Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6748612B2 - Anonymity evaluation device, anonymity evaluation method, and program - Google Patents
[go: Go Back, main page]

JP6748612B2 - Anonymity evaluation device, anonymity evaluation method, and program - Google Patents

Anonymity evaluation device, anonymity evaluation method, and program Download PDF

Info

Publication number
JP6748612B2
JP6748612B2 JP2017136798A JP2017136798A JP6748612B2 JP 6748612 B2 JP6748612 B2 JP 6748612B2 JP 2017136798 A JP2017136798 A JP 2017136798A JP 2017136798 A JP2017136798 A JP 2017136798A JP 6748612 B2 JP6748612 B2 JP 6748612B2
Authority
JP
Japan
Prior art keywords
time
data
anonymity
arbitrary
discrete
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017136798A
Other languages
Japanese (ja)
Other versions
JP2019020880A (en
Inventor
彰伍 正木
彰伍 正木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2017136798A priority Critical patent/JP6748612B2/en
Publication of JP2019020880A publication Critical patent/JP2019020880A/en
Application granted granted Critical
Publication of JP6748612B2 publication Critical patent/JP6748612B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、軌跡データを秘匿化して得られた秘匿化軌跡データの匿名性を評価する技術に関する。 The present invention relates to a technique for evaluating anonymity of anonymized trajectory data obtained by anonymizing trajectory data.

非特許文献1では、マルコフ連鎖モデルを用いて、地図上のメッシュ間の移動履歴を学習することで個人を識別する攻撃と、その攻撃結果によって匿名性を評価する方法を提案している。 Non-Patent Document 1 proposes an attack that identifies an individual by learning a movement history between meshes on a map using a Markov chain model, and a method of evaluating anonymity based on the attack result.

Shokri R, Theodorakopoulos G, Boudec JYL, Hubaux JP, “Quantifying location privacy,” In: Proceedings of the 2011 IEEE Symposium on Security and Privacy (S&P’11), 2011, pp. 247-262.Shokri R, Theodorakopoulos G, Boudec JYL, Hubaux JP, “Quantifying location privacy,” In: Proceedings of the 2011 IEEE Symposium on Security and Privacy (S&P′11), 2011, pp. 247-262.

ある移動体の軌跡データが複数の事業者によって取得される場合がある。例えば、GPS機能付きスマートフォンを携帯しながら、カーナビゲーションを搭載した車両で移動した場合、位置情報を利用するスマートフォンアプリ事業者とカーナビゲーションシステムを運用する事業者、双方が当該個人の軌跡データを取得できる。このことから、軌跡データの保有者が強力な背景知識を持つ攻撃者になる可能性がある。しかし、この可能性を考慮して移動体の匿名性を評価した手法はこれまで無い。 The locus data of a certain moving body may be acquired by a plurality of businesses. For example, when carrying a car equipped with a GPS function and moving in a vehicle equipped with a car navigation system, both the smartphone application company that uses the location information and the company that operates the car navigation system acquire the trajectory data of the individual. it can. Therefore, the holder of trajectory data may become an attacker with strong background knowledge. However, there is no method to evaluate the anonymity of the mobile body in consideration of this possibility.

本発明はこのような点に鑑みてなされたものであり、軌跡データを背景知識として持つ攻撃者に対する移動体の軌跡データの匿名性を評価することを目的とする。 The present invention has been made in view of the above circumstances, and an object thereof is to evaluate the anonymity of trajectory data of a moving body with respect to an attacker who has trajectory data as background knowledge.

匿名性評価装置は、複数の移動体の集合SETに含まれた移動体Sの複数の任意の時刻d(n).timeでの離散的な位置d(n).coを表す軌跡データdから推定される、移動体Sの複数の任意の時刻a(r).timeでの離散的な推定位置a(r).coを表す背景知識データaを得る。さらに匿名性評価装置は、複数の移動体の集合SETsdに含まれた移動体Sの軌跡データdを秘匿化して得られた移動体Sの複数の任意の時刻sd(sn).timeでの離散的な秘匿化位置sd(sn).coを表す秘匿化軌跡データsdから推定される、移動体Sの複数の任意の時刻a(r).timeでの離散的な推定秘匿化位置sa(r).coと、移動体Sの複数の任意の時刻a(r).timeでの離散的な推定位置a(r).coと、の距離を最小にする移動体Sが移動体Sである程度を表す匿名性評価値を得る。 The anonymity evaluation apparatus sets a plurality of arbitrary times d i (n i ). of mobiles S i included in a set SET d of a plurality of mobiles. Discrete position d i (n i ) at time. A plurality of arbitrary times a i (r i ). of the moving body S i estimated from the trajectory data d i representing co. Discrete estimated position a i (r i ) at time. Obtain background knowledge data a i representing co. Further, the anonymity evaluation apparatus conceals the trajectory data d j of the moving body S j included in the set SET sd of the plurality of moving bodies and obtains a plurality of arbitrary times sd j (sn j of the moving body S j obtained by concealing the trajectory data d j of the moving body S j. ). Discrete concealment positions sd j (sn j ). A plurality of arbitrary times a i (r i ) of the moving body S j estimated from the anonymized trajectory data sd j representing the co. Discrete estimated concealment positions sa j (r i ) at time. co and any time a i plurality of mobile S i (r i). Discrete estimated position a i (r i ) at time. An anonymity evaluation value indicating a degree that the moving body S j that minimizes the distance between co and the moving body S i is obtained.

これにより、軌跡データを背景知識として持つ攻撃者に対する移動体の軌跡データの匿名性を評価できる。 This makes it possible to evaluate the anonymity of the trajectory data of the moving body with respect to an attacker who has the trajectory data as background knowledge.

図1は実施形態の匿名性評価装置の機能構成を例示するブロック図である。FIG. 1 is a block diagram illustrating the functional configuration of the anonymity evaluation apparatus of the embodiment. 図2Aはデータ生成部の機能構成を例示するブロック図である。図2Bはデータ比較部の機能構成を例示するブロック図である。FIG. 2A is a block diagram illustrating the functional configuration of the data generation unit. FIG. 2B is a block diagram illustrating the functional configuration of the data comparison unit. 図3は実施形態の匿名性評価方法を例示するフロー図である。FIG. 3 is a flowchart illustrating the anonymity evaluation method of the embodiment. 図4はデータ生成部の処理を例示するフロー図である。FIG. 4 is a flowchart illustrating the processing of the data generation unit. 図5はデータ比較部の処理を例示するフロー図である。FIG. 5 is a flowchart illustrating the processing of the data comparison unit. 図6は実施形態の線形補間を説明するための図である。FIG. 6 is a diagram for explaining the linear interpolation of the embodiment. 図7は実施形態の線形補間を説明するための図である。FIG. 7 is a diagram for explaining the linear interpolation of the embodiment.

以下、図面を参照して本発明の実施形態を説明する。
<定義>
まず、実施形態で用いる用語を定義する。
≪移動体≫
移動体とは、移動を行うものを意味する。移動体の例は、人間、人の指などの体の一部、人間以外の動物、自動車などの乗り物、ドローンやロボットなどの遠隔操作式または自律式の移動物、仮想空間やゲーム空間での仮想的な移動物などである。予め定められた複数の移動体を要素とする集合をSETと表現し、集合SETに属する移動体をS∈SETと表現する。集合SETに属する移動体Sの総数をNdと表記する。ただし、Ndは2以上の整数である。iは移動体Sを識別するインデックスである。説明の便宜上、以下ではi=1,…,Ndとする(iは整数)。しかし、移動体Sを識別できればどのような値がiであってもよい。同様に、予め定められた複数の移動体を要素とする集合をSETsdと表現し、集合SETsdに属する移動体をS∈SETsdと表現する。SETsd=SETであってもよいし、SETsd=SETでなくてもよい。ただし、集合SETsdはSETに属する少なくとも一部の移動体を含み、SETsd∩SETは空集合ではない。集合SETsdに属する移動体Sの総数をNsdと表記する。jは移動体Sを識別するインデックスである。説明の便宜上、以下ではj=1,…,Nsdとする(jは整数)。しかし、移動体Sを識別できれば、どのような値がjであってもよい。
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
<Definition>
First, terms used in the embodiment will be defined.
≪Mobile object≫
The moving body means something that moves. Examples of moving objects include humans, parts of the body such as human fingers, non-human animals, vehicles such as automobiles, remote-controlled or autonomous moving objects such as drones and robots, virtual spaces and game spaces. For example, a virtual moving object. A set of a plurality of mobile predetermined and elements represented with the SET d, a mobile belonging to the set SET d is expressed as S i ∈SET d. The total number of mobile units S i belonging to the set SET d is represented by Nd. However, Nd is an integer of 2 or more. i is an index for identifying the mobile unit S i . For convenience of explanation, it is assumed that i=1,..., Nd (i is an integer). However, any value may be i as long as it can identify the moving body S i . Similarly, a set of a plurality of mobile predetermined and elements represented with the SET sd, mobile belonging to the set SET sd expressed as S j ∈SET sd. SET sd =SET d may or may not be SET sd =SET d . However, the set SET sd includes at least a part of moving bodies belonging to SET d , and SET sd ∩SET d is not an empty set. The total number of moving objects S j belonging to the set SET sd is denoted by Nsd. j is an index for identifying the moving body S j . For convenience of explanation, it is assumed that j=1,..., Nsd (j is an integer). However, any value may be j as long as the moving object S j can be identified.

≪軌跡データ≫
軌跡データは、複数の任意の時刻での離散的な位置(位置情報)を表す時系列データである。離散的な位置の例は、緯度と経度との組み合わせからなる座標、緯度または経度の何れか一方、緯度と経度と高度との組み合わせ、スクリーン上の座標、仮想空間上の座標、所定の基準点に対する相対位置などである。軌跡データはGPS等による実測データであってもよいし、シミュレーションデータであってもよいし、仮想空間やゲーム空間で得られたデータであってもよい。dは移動体Sの複数の任意の時刻d(n).timeでの離散的な位置d(n).coを表す軌跡データを表す。例えば、軌跡データdは、複数のnについて時刻d(n).timeと位置d(n).coとが対応付けられた時系列データである。|d|は、軌跡データdに含まれる離散的な位置d(n).coの総数(すなわち、時刻d(n).timeの総数)を表す。ただし、|d|は2以上の整数であり、例えば、3以上の整数である。nは時刻d(n).timeに対応するインデックスである。例えば、小さなnに対応する時刻d(n).timeほど古い時刻を表す。この場合、位置d(n).coは移動体Sのn番目の位置を表す。説明の便宜上、以下ではn=1,…,|d|とする(nは整数)。しかし、時刻d(n).timeを識別できればどのような値がnであってもよい。
≪Track data≫
The trajectory data is time-series data that represents discrete positions (positional information) at a plurality of arbitrary times. Examples of discrete positions are coordinates consisting of a combination of latitude and longitude, either latitude or longitude, a combination of latitude and longitude and altitude, coordinates on screen, coordinates in virtual space, predetermined reference points. Relative position to. The trajectory data may be actual measurement data by GPS or the like, simulation data, or data obtained in a virtual space or a game space. d i is an arbitrary time d i multiple mobile S i (n i). Discrete position d i (n i ) at time. Represents locus data representing co. For example, the trajectory data d i, for a plurality of n i times d i (n i). time and position d i (n i ). It is time-series data associated with co. | D i |, the discrete positions d i included in the locus data d i (n i). represents the total number of co (that is, the total number of times d i (n i ).time). However, |d i | is an integer of 2 or more, for example, an integer of 3 or more. n i is the time d i (n i ). It is an index corresponding to time. For example, a time d i (n i) corresponding to a small n i. The time is as old as time. In this case, the position d i (n i ). co represents the n i- th position of the moving body S i . For convenience of explanation, it is assumed that n i =1,..., |d i | (n i is an integer). However, at time d i (n i ). any value as long identify time may be an n i.

≪元データ≫
元データDは、集合SETに含まれた移動体S∈SETの軌跡データdを要素とする集合である。例えば、i=1,…,Ndである場合、D={d,…,dNd}である。元データDに含まれた軌跡データdの総数はNdである。i=1,…,Ndであり、位置d(n).coが緯度d(n).latと経度d(n).lonとの組み合わせからなる座標である場合、例えば、元データDは以下のようになる。

Figure 0006748612
≪Original data≫
The original data D is a set whose elements are the trajectory data d i of the moving body S i εSET d included in the set SET d . For example, when i=1,..., Nd, D={d 1 ,..., D Nd }. The total number of locus data d i included in the original data D is Nd. i=1,..., Nd and the position d i (n i ). co is the latitude d i (n i ). lat and longitude d i (n i ). When the coordinate is a combination with lon, the original data D is as follows, for example.
Figure 0006748612

≪秘匿化軌跡データ≫
秘匿化軌跡データsdは、移動体S∈SETsdの複数の任意の時刻sd(sn).timeでの離散的な秘匿化位置sd(sn).coを表す。例えば、秘匿化軌跡データsdは、複数のsnについて時刻sd(sn).timeと位置sd(sn).coとが対応付けられた時系列データである。秘匿化軌跡データsdは、移動体S∈SETsdの軌跡データdを秘匿化して得られたものである。例えば、秘匿化軌跡データsdは、軌跡データdに含まれたいくつかの時刻での位置を変更または削除したり、軌跡データdに新たな時刻での位置を追加したりしたものである。秘匿化軌跡データsdは、元データDに含まれた軌跡データdを秘匿化したものであってもよいし、元データDに含まれない軌跡データdを秘匿化したものであってもよい。|sd|は、秘匿化軌跡データsdに含まれる離散的な秘匿化位置sd(sn).coの総数(すなわち、時刻sd(sn).timeの総数)を表す。ただし、|sd|は2以上の整数であり、例えば3以上の整数である。snは時刻sd(sn).timeに対応するインデックスである。例えば、小さなsnに対応する時刻sd(sn).timeほど古い時刻を表す。この場合、秘匿化位置sd(sn).coは移動体Sのsn番目の秘匿化位置を表す。説明の便宜上、以下ではsn=1,…,|sd|とする(snは整数)。しかし、時刻sd(sn).timeを識別できればどのような値がsnであってもよい。
≪Anonymous trajectory data≫
The anonymity trajectory data sd j includes a plurality of arbitrary times sd j (sn j ).s of the moving body S j εSET sd . Discrete concealment positions sd j (sn j ). represents co. For example, concealing locus data sd j, a plurality of sn i for time sd j (sn j). time and position sd j (sn j ). It is time-series data associated with co. Concealed locus data sd j is the locus data d j mobile S j ∈SET sd those obtained by concealed. For example, concealing locus data sd j is obtained by change or add or delete position at some time included in the locus data d j, the position of a new time in the locus data d j is there. Concealed locus data sd j is may be one that concealed the trajectory data d j included in the original data D, be one obtained by concealing the locus data d j is not included in the original data D Good. |sd j | is a discrete concealment position sd j (sn j ).s contained in the concealment trajectory data sd j . represents the total number of co (that is, the total number of times sd j (sn j ).time). However, |sd j | is an integer of 2 or more, for example, an integer of 3 or more. sn j is the time sd j (sn j ). It is an index corresponding to time. For example, the time sd j (sn j) corresponding to the small sn j. The time is as old as time. In this case, the concealment positions sd j (sn j ). co represents the sn j- th concealed position of the mobile S j . For convenience of explanation, it is assumed that sn j =1,..., |sd j | (sn j is an integer). However, at times sd j (sn j ). Any value may be sn j as long as the time can be identified.

≪秘匿化データ≫
秘匿化データSDは、集合SETsdに含まれた移動体S∈SETsdの秘匿化軌跡データsdを要素とする集合を意味する。秘匿化データSDに含まれた秘匿化軌跡データsdの総数はNsdである。例えば、j=1,…,Nsdである場合、SD={sd,…,sdNsd}である。
≪Confidential data≫
The concealment data SD means a set having the concealment trajectory data sd j of the moving body S j εSET sd included in the set SET sd as an element. The total number of the confidential trajectory data sd j included in the confidential data SD is Nsd. For example, when j=1,..., Nsd, SD={sd 1 ,..., sd Nsd }.

≪背景知識データ≫
背景知識データaは、移動体Sの複数の任意の時刻a(r).timeでの離散的な推定位置a(r).coを表す。例えば、背景知識データaは、複数のrについて時刻a(r).timeと推定位置a(r).coとが対応付けられた時系列データである。背景知識データaは軌跡データdから推定される。|a|は、背景知識データaに含まれる離散的な推定位置a(r).coの総数(すなわち、時刻a(r).timeの総数)を表す。ただし、|a|は2以上の整数であり、例えば3以上の整数である。rは時刻a(r).timeに対応するインデックスである。例えば、小さなrに対応する時刻a(r).timeほど古い時刻を表す。この場合、推定位置a(r).coは移動体Sのr番目の秘匿化位置を表す。説明の便宜上、以下ではr=1,…,|a|とする(rは整数)。しかし、時刻a(r).timeを識別できればどのような値がrであってもよい。
≪Background knowledge data≫
Background knowledge data a i is an arbitrary time a i plurality of mobile S i (r i). Discrete estimated position a i (r i ) at time. represents co. For example, background knowledge data a i is the time for a plurality of r i a i (r i) . time and the estimated position a i (r i ). It is time-series data associated with co. The background knowledge data a i is estimated from the trajectory data d i . | A i |, the discrete estimated position included in background knowledge data a i a i (r i) . It represents the total number of co (that is, the total number of times a i (r i ).time). However, |a i | is an integer of 2 or more, for example, an integer of 3 or more. r i is the time a i (r i ). It is an index corresponding to time. For example, the time a i (r i) corresponding to the small r i. The time is as old as time. In this case, the estimated position a i (r i ). co represents the r i- th concealed position of the mobile S i . For convenience of explanation, it is assumed that r i =1,..., |a i | (r i is an integer). However, at time a i (r i ). Any value can be used as r i as long as it can identify the time.

≪背景知識≫
背景知識Aは、集合SETに含まれた移動体S∈SETについての背景知識データaを要素とする集合である。背景知識Aに含まれた背景知識データaの総数はNdである。例えば、i=1,…,Ndである場合、A={a,…,aNd}である。
≪Background knowledge≫
The background knowledge A is a set having the background knowledge data a i for the moving body S i εSET d included in the set SET d as an element. The total number of background knowledge data a i included in the background knowledge A is Nd. For example, when i=1,..., Nd, A={a 1 ,..., A Nd }.

<構成>
図1に例示するように、本形態の匿名性評価装置1は、データ生成部11、データ比較部12、データ記憶部13、定数記憶部14、および制御部15を有し、制御部15の制御のもとで各処理を実行する。図2Aに例示するように、データ生成部11は、例えば、範囲選択部111、時刻選択部112、線形補間部113、制御部114、および生成部115を有する。図2Bに例示するように、データ比較部12は、例えば、代入部121、区間探索部122、線形補間部123、距離計算部124、平均距離計算部125、最小判定部126、評価値生成部127、および制御部128を有する。
<Structure>
As illustrated in FIG. 1, the anonymity evaluation apparatus 1 of the present embodiment includes a data generation unit 11, a data comparison unit 12, a data storage unit 13, a constant storage unit 14, and a control unit 15, and the control unit 15 includes Each process is executed under control. As illustrated in FIG. 2A, the data generation unit 11 includes, for example, a range selection unit 111, a time selection unit 112, a linear interpolation unit 113, a control unit 114, and a generation unit 115. As illustrated in FIG. 2B, the data comparison unit 12 includes, for example, the substitution unit 121, the section search unit 122, the linear interpolation unit 123, the distance calculation unit 124, the average distance calculation unit 125, the minimum determination unit 126, and the evaluation value generation unit. It has 127 and the control part 128.

<処理>
次に、本形態の処理について説明する。
本形態では秘匿化データSDの匿名性を評価する。処理の大まかな手順は、以下の通りである。
1.元データDから攻撃者の背景知識Aを構築。
2.背景知識Aを用いて秘匿化データSDに対する攻撃(再識別)を実行して匿名性を評価。
<Process>
Next, the processing of this embodiment will be described.
In this embodiment, the anonymity of the anonymized data SD is evaluated. The general procedure of processing is as follows.
1. Construct the background knowledge A of the attacker from the original data D.
2. Anonymity is evaluated by executing an attack (re-identification) on the anonymized data SD using the background knowledge A.

以下、処理の詳細を説明する。
≪前処理≫
前処理として、匿名性評価装置1のデータ記憶部13に元データDおよび秘匿化データSDが格納され、定数記憶部14に攻撃者の背景知識の量を表す正値のパラメータfが格納される。ここで説明する例では、D={d,…,dNd}であり、SD={sd,…,sdNsd}であり、d(ただし、i=1,…,Nd)は、n=1,…,|d|について、複数の任意の時刻d(n).timeと、緯度d(n).latと、経度d(n).lonと、が対応付けられた時系列データであり、秘匿化軌跡データsd(ただし、j=1,…,Nsd)は、sn=1,…,|sd|について、複数の任意の時刻sd(sn).timeと、緯度sd(sn).latと、経度sd(sn).lonと、が対応付けられた時系列データである。
The details of the processing will be described below.
<<Pretreatment>>
As preprocessing, the original data D and the concealment data SD are stored in the data storage unit 13 of the anonymity evaluation apparatus 1, and the constant value storage unit 14 stores a positive parameter f representing the amount of background knowledge of the attacker. .. In the example described here, D={d 1 ,..., D Nd }, SD={sd 1 ,..., sd Nsd }, and d i (where i=1,..., Nd) is For n i =1,..., |d i |, a plurality of arbitrary times d i (n i ). time and the latitude d i (n i ). lat and the longitude d i (n i ). lon is associated with time-series data, and the concealed trajectory data sd j (where j=1,..., Nsd) is a plurality of arbitrary random numbers for sn j =1,..., |sd j | Time sd j (sn j ). time and the latitude sd i (sn i ). lat and longitude sd i (sn i ). lon is time-series data associated with.

≪処理の全体≫
図3に例示するように、まず匿名性評価装置1のデータ生成部11(図1)が、元データD={d,…,dNd}から攻撃者の背景知識A={a,…,aNd}を構築するデータ生成処理を実行する(ステップS11)。次に、データ比較部12が背景知識Aを用いて秘匿化データSD={sd,…,sdNsd}に対する攻撃を実行して匿名性を評価するデータ比較処理を実行する(ステップS12)。
<<Overall processing>>
As illustrated in FIG. 3, first, the data generation unit 11 (FIG. 1) of the anonymity evaluation apparatus 1 uses the original data D={d 1 ,..., D Nd } to obtain the background knowledge A={a 1 , , A Nd } is constructed (step S11). Then, the data comparison unit 12 is concealed data SD = with background knowledge A {sd 1, ..., sd Nsd} running attacks on performing the data comparison process for evaluating the anonymity (step S12).

≪データ生成処理(ステップS11)≫
データ生成部11は、データ記憶部13の元データD={d,…,dNd}および定数記憶部14のパラメータfを用い、i=1,…,Naについて、移動体S∈SETの複数の任意の時刻d(n).timeでの緯度d(n).latおよび経度d(n).lon(「離散的な位置d(n).co」に相当)を用い、移動体Sの複数の任意の時刻a(r).timeでの緯度a(r).latおよび経度a(r).lon(「離散的な推定位置a(r).co」に相当)を表す背景知識データaを推定し、背景知識A={a,…,aNd}を得て出力する。
<<Data Generation Process (Step S11)>>
The data generation unit 11 uses the original data D={d 1 ,..., D Nd } of the data storage unit 13 and the parameter f of the constant storage unit 14, and for i=1,..., Na, the moving body S i ∈SET. d arbitrary times d i (n i ). Latitude d i (n i ) at time. lat and longitude d i (n i ). lon ( "discrete positions d i (n i) .co" considerably) used, any time a i plurality of mobile S i (r i). Latitude a i (r i ) at time. lat and longitude a i (r i ). The background knowledge data a i representing lon (corresponding to “discrete estimated position a i (r i ).co”) is estimated, and background knowledge A={a 1 ,..., A Nd } is obtained and output.

ここで、実際の攻撃者はどの時刻のデータを所持しているかが不明である。特に、元データDと異なる手段で移動体Sの位置データを取得した攻撃者が、元データDと完全に同一の時刻のデータを所持していることは稀である。このような状況を考慮した評価を行うため、複数の任意の時刻a(r).time(ただし、r=1,…,|a|)の少なくとも一部は、複数の任意の時刻d(n).time(ただし、n=1,…,|d|)以外の時刻とすることが望ましい。より好ましくは、すべての任意の時刻a(r).timeは、複数の任意の時刻d(n).time以外の時刻であることが望ましい。同様な理由から、複数の任意の時刻a(r).timeは、複数の任意の時刻d(n).timeからランダムに選択された最小値と最大値との間からランダムに選択された時刻であることが望ましい。 Here, it is unknown at what time the actual attacker possesses the data. In particular, it is rare that an attacker who has acquired the position data of the moving body S i by means different from the original data D possesses the data at exactly the same time as the original data D. In order to perform the evaluation in consideration of such a situation, a plurality of arbitrary times a i (r i ). At least a part of the time (where r i =1,..., |a i |) is a plurality of arbitrary times d i (n i ). It is desirable that the time is other than time (however, n i =1,..., |d i |). More preferably, at any arbitrary time a i (r i ). time is a plurality of arbitrary times d i (n i ). It is desirable that the time is other than time. For a similar reason, a plurality of arbitrary times a i (r i ). time is a plurality of arbitrary times d i (n i ). It is desirable that the time is randomly selected from the minimum value and the maximum value randomly selected from the time.

データ生成処理の具体例:
図4を用い、データ生成処理(ステップS11)の具体例を説明する。
まず、データ生成部11(図2A)の制御部114がi=1に設定する(ステップS1141)。次に、制御部114がr=1に設定する(ステップS1142)。
Specific example of data generation process:
A specific example of the data generation process (step S11) will be described with reference to FIG.
First, the control unit 114 of the data generation unit 11 (FIG. 2A) sets i=1 (step S1141). Next, the control unit 114 sets r i =1 (step S1142).

範囲選択部111は、元データDの軌跡データdを参照し、閉区間[1,|d|−1]に属する整数zをランダムに生成して出力する(ステップS111)。 The range selection unit 111 refers to the locus data d i of the original data D and randomly generates and outputs an integer z belonging to the closed interval [1, |d i |−1] (step S111).

時刻選択部112は整数zを入力とし、元データDの軌跡データdを参照し、閉区間[d(z).time,d(z+1).time]に属する時刻をランダムに選択し、それをa(r).timeに代入して出力する。すなわち、a(r).timeは、複数の任意の時刻d(n).timeからランダムに選択された最小値(d(z).time)と最大値(d(z+1).time)との間からランダムに選択された時刻である(ステップS112)。 The time selection unit 112 receives the integer z as an input, refers to the trajectory data d i of the original data D, and closes the closed section [d i (z). time, d i (z+1). time] is randomly selected, and the time is selected as a i (r i ). Substitute for time and output. That is, a i (r i ). time is a plurality of arbitrary times d i (n i ). It is a time randomly selected from the minimum value (d i (z).time) and the maximum value (d i (z+1).time) randomly selected from the time (step S112).

線形補間部113は、軌跡データdのd(z).lat,d(z+1).lat,d(z).time,d(z+1).time、および時刻選択部112から出力されたa(r).timeを入力とし、以下のような線形補間によって、時刻a(r).timeでの緯度a(r).lat(「推定位置a(r).co」を構成)を得て出力する(図6参照)。

Figure 0006748612

同様に、線形補間部113は、軌跡データdのd(z).lon,d(z+1).lon、d(z).time,d(z+1).time、および時刻選択部112から出力されたa(r).timeを入力とし、以下のような線形補間によって、時刻a(r).timeでの経度a(r).lon(「推定位置a(r).co」を構成)を得て出力する。
Figure 0006748612

このような線形補間により、任意の時刻a(r).timeでの緯度a(r).latおよび経度a(r).lon(推定位置a(r).co)が推定される(ステップS113)。 Linear interpolation unit 113, the locus data d i d i (z). lat,d i (z+1). lat, d i (z). time, d i (z+1). time, and a i (r i ). output from the time selection unit 112. time as an input, and time a i (r i ). Latitude a i (r i ) at time. lat (constructing “estimated position a i (r i ).co”) is obtained and output (see FIG. 6).
Figure 0006748612

Similarly, the linear interpolation unit 113, the locus data d i d i (z). lon,d i (z+1). lon, d i (z). time, d i (z+1). time, and a i (r i ). output from the time selection unit 112. time as an input, and time a i (r i ). Longitude a i (r i ) at time. lon (constructing “estimated position a i (r i ).co”) is obtained and output.
Figure 0006748612

By such linear interpolation, at any time a i (r i ). Latitude a i (r i ) at time. lat and longitude a i (r i ). lon (estimated position a i (r i ).co) is estimated (step S113).

次に、制御部114がr=H(f,i)であるかを判定する。ただし、H(f,i)はパラメータf、iに対応する整数の関数値である。例えば、H(f,i)はf×|d|の整数の関数値である。H(f,i)の一例はf×|d|の床関数値floor(f×|d|)である。H(f,i)は、背景知識データaに含まれる離散的な推定位置a(r).coの総数|a|となる。r=H(f,i)でなければ、制御部114はrを1だけインクリメントし(r+1を新たなrとし)(ステップS1144)、処理をステップS111に戻す。一方、r=H(f,i)であれば、処理をステップS1145に進める(ステップS1143)。 Next, the control unit 114 determines whether r i =H(f,i). However, H(f,i) is an integer function value corresponding to the parameters f and i. For example, H(f,i) is an integer function value of f×|d i |. An example of a H (f, i) is f × | a d i | floor function value floor (f × | | d i ). H (f, i) is the discrete estimated position a i included in the background knowledge data a i (r i). The total number of cos is |a i |. If r i =H(f,i) is not satisfied, the control unit 114 increments r i by 1 (r i +1 is set as a new r i ) (step S1144) and returns the process to step S111. On the other hand, if r i =H(f,i), the process proceeds to step S1145 (step S1143).

ステップS1145では、制御部114がi=Ndであるかを判定する。i=Ndでなければ、制御部114はiを1だけインクリメントし(i+1を新たなiとし)(ステップS1146)、処理をステップS1142に戻す。i=Ndであれば、生成部115はr=1,…,|a|についての任意の時刻a(r).timeと緯度a(r).latおよび緯度a(r).lonとからなる組を背景知識データaとし、背景知識A={a,…,aNd}を得て出力する(ステップS115)。 In step S1145, the control unit 114 determines whether i=Nd. If i=Nd is not satisfied, the control unit 114 increments i by 1 (i+1 is a new i) (step S1146) and returns the process to step S1142. If i=Nd, the generation unit 115 determines that any time a i (r i ). r i =1,..., |a i | time and latitude a i (r i ). lat and latitude a i (r i ). lon is used as background knowledge data a i, and background knowledge A={a 1 ,..., A Nd } is obtained and output (step S115).

≪データ比較処理(ステップS12)≫
データ比較処理では、背景知識Aを用いて秘匿化データSDに対する攻撃を実行して匿名性を評価する。すなわち、データ比較処理では、秘匿化軌跡データsdから推定される移動体Sの複数の任意の時刻a(r).timeでの離散的な推定秘匿化位置sa(r).coと、移動体Sの複数の任意の時刻a(r).timeでの離散的な推定位置a(r).coと、の距離を最小にする移動体Sを移動体Sとして再識別する。ただし、秘匿化軌跡データsdは、複数の移動体の集合SETsdに含まれた移動体Sの軌跡データdを秘匿化して得られたものであり、移動体Sの複数の任意の時刻sd(sn).timeでの離散的な秘匿化位置sd(sn).coを表す。すなわち、この攻撃は、背景知識データaと秘匿化軌跡データsdとの距離を集合SETsdに含まれたすべての移動体Sについて測定し、その内で最も距離が小さい移動体Sを移動体Sとして識別する。この際、秘匿化軌跡データsdから背景知識データaの複数の任意の時刻a(r).timeでの離散的な推定秘匿化位置sa(r).coが推定され、これらと背景知識データaの複数の任意の時刻a(r).timeでの離散的な推定位置a(r).coとの距離が評価される。この距離の評価は平均距離やそれに対応する値が用いられる。この再識別が成功すること(すなわち、移動体Sとして識別された移動体Sが真の移動体Sであること)は、攻撃者が背景知識Aを用いて秘匿化データSDから移動体Sを識別できたことを意味する。そのため、移動体Sが移動体Sである程度を表す匿名性評価値を用いることで、軌跡データを背景知識Aとして持つ攻撃者に対する移動体の匿名性を評価できる。
<<Data comparison processing (step S12)>>
In the data comparison process, the background knowledge A is used to execute an attack on the anonymity data SD to evaluate anonymity. That is, in the data comparison process, a plurality of arbitrary times a i (r i ). of the moving body S j estimated from the anonymized trajectory data sd j . Discrete estimated concealment positions sa j (r i ) at time. co and any time a i plurality of mobile S i (r i). Discrete estimated position a i (r i ) at time. The moving object S j that minimizes the distance between co and co is re-identified as the moving object S i . However, the concealed trajectory data sd j is obtained by concealing the trajectory data d j of the moving body S j included in the set SET sd of the plurality of moving bodies, and the plurality of arbitrary moving body S j. At time sd j (sn j ). Discrete concealment positions sd j (sn j ). represents co. In other words, this attack, background knowledge data a i and the distance between the concealed trajectory data sd j measured for all mobile S j included in the set SET sd, mobile S j whose distance among the small Are identified as mobiles S i . At this time, from the anonymity trajectory data sd j to the background knowledge data a i at a plurality of arbitrary times a i (r i ). Discrete estimated concealment positions sa j (r i ) at time. co is estimated, a plurality of arbitrary time a i of the background knowledge data a i (r i). Discrete estimated position a i (r i ) at time. The distance from co is evaluated. The average distance and the corresponding value are used for the evaluation of this distance. That the re-identification is successful (i.e., that the moving body S j that are identified as mobile S i is a true mobile S i) moving an attacker from concealing data SD using the background knowledge A This means that the body S i could be identified. Therefore, by using the anonymity evaluation value that represents the degree to which the moving body S j is the moving body S i , it is possible to evaluate the anonymity of the moving body with respect to an attacker who has the trajectory data as the background knowledge A.

実際の攻撃者が取得した背景知識Aと秘匿化データSDとの間でデータに対応する時刻が完全に一致することは稀である。このような状況を考慮した評価を行うため、複数の任意の時刻a(r).time(ただし、r=1,…,|a|)の少なくとも一部は、複数の任意の時刻sd(sn).time(ただし、sd=1,…,|sd|)以外の時刻であることが望ましい。より好ましくは、すべての任意の時刻a(r).timeが、複数の任意の時刻sd(sn).time以外の時刻であることが望ましい。 It is rare that the time corresponding to the data is completely the same between the background knowledge A acquired by the actual attacker and the anonymized data SD. In order to perform the evaluation in consideration of such a situation, a plurality of arbitrary times a i (r i ). At least a part of the time (where r i =1,..., |a i |) is a plurality of arbitrary times sd j (sn j ). It is desirable that the time is other than time (however, sd j =1,..., |sd j |). More preferably, at any arbitrary time a i (r i ). time is a plurality of arbitrary times sd j (sn j ). It is desirable that the time is other than time.

データ生成処理の具体例:
図5を用い、データ比較処理(ステップS12)の具体例を説明する。
まず、データ比較部12(図2B)の制御部128がi=1およびScore=0に設定する(ステップS1281)。次に、制御部128がj=1に設定する(ステップS1282)。さらに、制御部128がr=1に設定する(ステップS1283)。
Specific example of data generation process:
A specific example of the data comparison process (step S12) will be described with reference to FIG.
First, the control unit 128 of the data comparison unit 12 (FIG. 2B) sets i=1 and Score=0 (step S1281). Next, the control unit 128 sets j=1 (step S1282). Further, the control unit 128 sets r i =1 (step S1283).

代入部121は、入力された背景知識Aの背景知識データaが含む時刻a(r).timeを時刻sa(r).timeに代入して出力する(ステップS121)。 The substituting unit 121 includes the time a i (r i ).h included in the background knowledge data a i of the input background knowledge A. time to time sa i (r i ). Substitute for time and output (step S121).

区間探索部122は、秘匿化データSDの秘匿化軌跡データsdを参照し、時刻sd(1).time,…,sd(|sd|).timeのうち隣り合う時刻の時間区間から、時刻sa(r).timeを含む時間区間を探索し、その両端の時刻をsd(m).timeおよびsd(m+1).timeとして出力する。すなわち、sd(m).time≦sa(r).time≦sd(m+1).timeを満たす(図7参照)。 The section search unit 122 refers to the anonymity trajectory data sd j of the anonymity data SD, and acquires the time points sd j (1). time,..., Sd j (|sd j |). From the time intervals of adjacent times in the time, the times sa i (r i ). The time interval including time is searched, and the times at both ends are searched as sd j (m). time and sd j (m+1). Output as time. That is, sd j (m). time≦sa i (r i ). time≦sd j (m+1). satisfy time (see FIG. 7).

線形補間部123は、区間探索部122から出力されたsd(m).time,sd(m+1).time、これらを用いて秘匿化軌跡データsdから抽出した軌跡データdのsd(m).lat,sd(m+1).lat、および代入部121から出力された時刻sa(r).timeを入力とし、以下のような線形補間によって、時刻sa(r).timeでの緯度sa(r).lat(「推定秘匿化位置sa(r).co」を構成)を得て出力する(図7参照)。

Figure 0006748612

同様に、線形補間部123は、区間探索部122から出力されたsd(m).time,sd(m+1).time、これらを用いて秘匿化軌跡データsdから抽出した軌跡データdのsd(m).lon,sd(m+1).lon、および代入部121から出力された時刻sa(r).timeを入力とし、以下のような線形補間によって、時刻sa(r).timeでの経度sa(r).lon(「推定秘匿化位置sa(r).co」を構成)を得て出力する。
Figure 0006748612

このような線形補間により、移動体Sの複数の任意の時刻a(r).timeでの緯度sa(r).latおよび経度sa(r).lon(推定秘匿化位置sa(r).co)が推定される(ステップS123)。 The linear interpolation unit 123 outputs the sd j (m). time, sd j (m+1). time, sd j (m). of the trajectory data d i extracted from the anonymized trajectory data sd j using these. lat, sd j (m+1). lat, and the time sa i (r i ) output from the substitution unit 121. time as an input and time sa i (r i ). Latitude sa j (r i ) at time. lat (constructing the “estimated concealment position sa j (r i ).co”) is obtained and output (see FIG. 7).
Figure 0006748612

Similarly, the linear interpolation unit 123 outputs the sd j (m). time, sd j (m+1). time, sd j (m). of the trajectory data d i extracted from the anonymized trajectory data sd j using these. lon, sd j (m+1). lon, and the time sa i (r i ) output from the substitution unit 121. time as an input and time sa i (r i ). Longitude sa j (r i ) at time. lon (constructing the “estimated concealment position sa j (r i ).co”) is obtained and output.
Figure 0006748612

Such by linear interpolation, the mobile S j of the plurality of arbitrary time a i (r i). Latitude sa i (r i ) at time. lat and longitude sa i (r i ). lon (estimated concealment position sa i (r i ).co) is estimated (step S123).

距離計算部124には、背景知識データaが含む時刻a(r).timeでの緯度a(r).latおよび経度a(r).lon、線形補間部123から出力された時刻sa(r).timeでの緯度sa(r).latおよび経度sa(r).lonが入力される。距離計算部124は、これらを用いて座標(a(r).lat,a(r).lon)と座標(sa(r).lat,sa(r).lon)との距離Lgeo(a(r),sa(r))を計算して出力する(ステップS124)。 The distance calculation unit 124, the time a i including background knowledge data a i (r i). Latitude a i (r i ) at time. lat and longitude a i (r i ). lon, the time sa i (r i ) output from the linear interpolation unit 123. Latitude sa j (r i ) at time. lat and longitude sa j (r i ). lon is input. The distance calculation unit 124 uses these to calculate the coordinates (a i (r i ).lat, a i (r i ).lon) and the coordinates (sa j (r i ).lat,sa j (r i ).lon. ) To L geo (a i (r i ), sa j (r i )) are calculated and output (step S124).

次に、制御部128がr=|a|であるかを判定する。r=|a|でなければ、制御部128はrを1だけインクリメントし(r+1を新たなrとし)(ステップS1286)、処理をステップS121に戻す。一方、r=|a|であれば、処理をステップS125に進める(ステップS1285)。 Next, the control unit 128 determines whether r i =|a i |. If r i =|a i | is not true, the control unit 128 increments r i by 1 (r i +1 is set as a new r i ) (step S1286) and returns the process to step S121. On the other hand, if r i =|a i |, the process proceeds to step S125 (step S1285).

ステップS125では、平均距離計算部125が、r=1,…,|a|についての距離Lgeo(a(r),sa(r))を入力とし、それらの平均距離L(a,sa)を以下のように求めて出力する(ステップS125)。

Figure 0006748612
In step S125, the average distance calculation unit 125 inputs the distance L geo (a i (r i ), sa j (r i )) for r i =1,..., |a i | L(a i , sa j ) is obtained and output as follows (step S125).
Figure 0006748612

次に、制御部128がj=Nsdであるかを判定する。j=Nsdでなければ、制御部128はjを1だけインクリメントし(j+1を新たなjとし)(ステップS1288)、処理をステップS1283に戻す。一方、j=Nsdであれば、処理をステップS126に進める(ステップS1287)。 Next, the control unit 128 determines whether j=Nsd. If j=Nsd is not satisfied, the control unit 128 increments j by 1 (j+1 is a new j) (step S1288) and returns the process to step S1283. On the other hand, if j=Nsd, the process proceeds to step S126 (step S1287).

ステップS126では、最小判定部126が、j=1,…,Nsdについての平均距離L(a,sa)のうち最小のものを特定し、最小の平均距離L(a,sa)に対応するjをjminとして出力する(ステップS126)。 In step S126, the minimum determination unit 126, j = 1, ..., to identify the smallest of the average distance L (a i, sa j) for NSD, minimum average distance L (a i, sa j) Is output as j min (step S126).

評価値生成部127はjminおよびiを入力とし、jminに対応する移動体Sjminがiに対応する移動体Sであるかを判定する。例えば、評価値生成部127はjmin=iであるかを判定する。評価値生成部127は、移動体Sjminが移動体Sであれば、Scoreに1を加算したものを新たなScoreに更新し、そうでなければScoreを維持する(ステップS1271)。 The evaluation value generation unit 127 receives j min and i as inputs, and determines whether the moving body S jmin corresponding to j min is the moving body S i corresponding to i . For example, the evaluation value generation unit 127 determines whether j min =i. If the moving body S jmin is the moving body S i , the evaluation value generation unit 127 updates the value obtained by adding 1 to the Score to a new Score, and otherwise maintains the Score (step S1271).

次に、制御部128がi=Ndであるかを判定する。i=Ndでなければ、制御部128はiを1だけインクリメントし(i+1を新たなiとし)(ステップS1280)、処理をステップS1282に戻す。一方、i=Ndであれば、処理をステップS1272に進める(ステップS1289)。 Next, the control unit 128 determines whether i=Nd. If not i=Nd, the control unit 128 increments i by 1 (i+1 is a new i) (step S1280), and returns the process to step S1282. On the other hand, if i=Nd, the process proceeds to step S1272 (step S1289).

ステップS1272では、評価値生成部127が、匿名性評価値e=Score/Nを計算して出力する。匿名性評価値eは上述の攻撃が成功した割合を表す。匿名性評価値eが高いほど匿名性が低く、逆に匿名性評価値eが低いほど匿名性が高い。匿名性評価値eを用いることで、軌跡データを背景知識として持つ攻撃者に対する移動体の匿名性を評価できる。 In step S1272, the evaluation value generating unit 127, and calculates and outputs anonymity evaluation value e = Score / N D. The anonymity evaluation value e represents the ratio of successful attacks described above. The higher the anonymity evaluation value e, the lower the anonymity, and conversely, the lower the anonymity evaluation value e, the higher the anonymity. By using the anonymity evaluation value e, it is possible to evaluate the anonymity of the moving body with respect to the attacker who has the trajectory data as background knowledge.

[その他の変形例等]
なお、本発明は上述の実施形態に限定されるものではない。例えば、上記の実施形態では、データ記憶部13に格納された元データDおよび秘匿化データSD、および定数記憶部14に格納されたパラメータfを用いて各処理が実行された。しかし、元データD、秘匿化データSD、およびパラメータfの少なくとも一部が匿名性評価装置1に入力されてもよい。この場合、匿名性評価装置1は、外部から入力されるか、もしくはデータ記憶部13または定数記憶部14から読み出された元データD、秘匿化データSD、およびパラメータfを用いて各処理を実行する。このような構成の場合、匿名性評価装置1がデータ記憶部13および定数記憶部14の少なくとも一方を有しなくてもよい。
[Other modifications]
The present invention is not limited to the above embodiment. For example, in the above embodiment, each process is executed using the original data D and the concealed data SD stored in the data storage unit 13 and the parameter f stored in the constant storage unit 14. However, at least part of the original data D, the confidential data SD, and the parameter f may be input to the anonymity evaluation device 1. In this case, the anonymity evaluation apparatus 1 performs each process using the original data D, the anonymized data SD, and the parameter f that are input from the outside or read from the data storage unit 13 or the constant storage unit 14. Execute. In such a configuration, the anonymity evaluation device 1 does not have to have at least one of the data storage unit 13 and the constant storage unit 14.

上記の実施形態では、移動体Sの複数の任意の時刻a(r).timeでの離散的な推定位置a(r).coが、移動体Sの複数の任意の時刻d(n).timeでの離散的な位置d(n).coの線形補間によって得られた。しかし、その他の方法によって、軌跡データdから背景知識データaを推定してもよい。例えば、ARモデルや機械学習されたモデルによって軌跡データdから背景知識データaを推定してもよい。 In the above embodiments, the mobile S i of a plurality of arbitrary time a i (r i). Discrete estimated position a i (r i ) at time. co is, any time d i multiple mobile S i (n i). Discrete position d i (n i ) at time. Obtained by linear interpolation of co. However, the background knowledge data a i may be estimated from the trajectory data d i by another method. For example, the background knowledge data a i may be estimated from the trajectory data d i by an AR model or a machine-learned model.

同様に上記の実施形態では、移動体Sの複数の任意の時刻sa(r).timeでの離散的な推定秘匿化位置sa(r).coは、移動体Sの複数の任意の時刻sd(sn).timeでの離散的な秘匿化位置sd(sn).coの線形補間によって得られた。しかし、その他の方法によって、秘匿化位置sd(sn).coから推定秘匿化位置sa(r).coを推定してもよい。 Also, in the above embodiments, the mobile S j of the plurality of arbitrary time sa i (r i). Discrete estimated concealment positions sa j (r i ) at time. co, the mobile S j of the plurality of arbitrary time sd j (sn j). Discrete concealment positions sd j (sn j ). Obtained by linear interpolation of co. However, according to other methods, the concealment positions sd j (sn j ). from the estimated concealment position sa j (r i ). You may estimate co.

上記の実施形態では、e=Score/Nを匿名性評価値とした。しかし、平均距離L(a,sa)を最小にする移動体Sが移動体Sである程度を表すその他の値を匿名性評価値としてもよい。例えば、eの単調増加関数値を匿名性評価値としてもよいし、eの単調減少関数値を匿名性評価値としてもよい。また、平均距離L(a,sa)に代えて、r=1,…,|a|についての距離Lgeo(a(r),sa(r))の平均値の関数値、r=1,…,|a|についての距離Lgeo(a(r),sa(r))の中央値、または当該中央値の関数値をL(a,sa)として用いてもよい。 In the above embodiment, the e = Score / N D and anonymity evaluation value. However, the anonymity evaluation value may be another value that represents the degree to which the moving body S j that minimizes the average distance L(a i , sa j ) is the moving body S i . For example, the monotonically increasing function value of e may be the anonymity evaluation value, or the monotonically decreasing function value of e may be the anonymity evaluation value. Further, instead of the average distance L(a i , sa j ), the average value of the distance L geo (a i (r i ), sa j (r i )) for r i =1,..., |a i | , The median value of the distance L geo (a i (r i ), sa j (r i )) for r i =1,..., |a i |, or the function value of the median value is L(a i , sa j ) may be used.

また、上記の実施形態では、背景知識Aに含まれた背景知識データaの総数をNdとしたが、背景知識Aに含まれた背景知識データaの総数がNd未満であってもよい。集合SETに属する移動体Sの一部についてのみ背景知識データaが生成されてもよい。 Further, in the above embodiment, although the total number of background knowledge data a i included in the background knowledge A was Nd, the total number of background knowledge data a i included in the background knowledge A may be less than Nd .. The background knowledge data a i may be generated only for a part of the mobile body S i belonging to the set SET d .

上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。 The various processes described above are not only executed in time series according to the description, but may be executed in parallel or individually according to the processing capability of the device that executes the process or the need. Needless to say, other changes can be made without departing from the spirit of the present invention.

上記装置は、例えば、CPU(central processing unit)等のプロセッサ(ハードウェア・プロセッサ)およびRAM(random-access memory)・ROM(read-only memory)等のメモリ等を備える汎用または専用のコンピュータが所定のプログラムを実行することで構成される。このコンピュータは1個のプロセッサやメモリを備えていてもよいし、複数個のプロセッサやメモリを備えていてもよい。このプログラムはコンピュータにインストールされてもよいし、予めROM等に記録されていてもよい。また、CPUのようにプログラムが読み込まれることで機能構成を実現する電子回路(circuitry)ではなく、プログラムを用いることなく処理機能を実現する電子回路を用いて一部またはすべての処理部が構成されてもよい。1個の装置を構成する電子回路が複数のCPUを含んでいてもよい。 The device is, for example, a general-purpose or special-purpose computer provided with a processor (hardware processor) such as a CPU (central processing unit) and a memory such as a RAM (random-access memory) and a ROM (read-only memory). It is configured by executing the program. This computer may be provided with one processor and memory, or may be provided with a plurality of processors and memory. This program may be installed in a computer or may be recorded in a ROM or the like in advance. Further, some or all of the processing units are configured by using an electronic circuit that realizes a processing function without using a program, rather than an electronic circuit that realizes a functional configuration by reading a program like a CPU. May be. The electronic circuit that constitutes one device may include a plurality of CPUs.

上述の構成をコンピュータによって実現する場合、装置が有すべき機能の処理内容はプログラムによって記述される。このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体の例は、非一時的な(non-transitory)記録媒体である。このような記録媒体の例は、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等である。 When the above configuration is realized by a computer, the processing contents of the functions that the device should have are described by a program. By executing this program on a computer, the above processing functions are realized on the computer. The program describing the processing contents can be recorded in a computer-readable recording medium. An example of a computer-readable recording medium is a non-transitory recording medium. Examples of such a recording medium are a magnetic recording device, an optical disc, a magneto-optical recording medium, a semiconductor memory and the like.

このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。 The distribution of this program is performed by, for example, selling, transferring, or lending a portable recording medium such as a DVD or a CD-ROM in which the program is recorded. Further, the program may be stored in a storage device of a server computer and transferred from the server computer to another computer via a network to distribute the program.

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。処理の実行時、このコンピュータは、自己の記憶装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。 A computer that executes such a program first stores, for example, the program recorded in a portable recording medium or the program transferred from the server computer in its own storage device. When executing the process, this computer reads the program stored in its own storage device and executes the process according to the read program. As another execution form of this program, the computer may directly read the program from the portable recording medium and execute processing according to the program, and further, each time the program is transferred from the server computer to this computer. The processing according to the received program may be sequentially executed. The above-described processing may be executed by a so-called ASP (Application Service Provider) type service that does not transfer the program from the server computer to this computer but realizes the processing function only by executing the execution instruction and the result acquisition. Good.

コンピュータ上で所定のプログラムを実行させて本装置の処理機能が実現されるのではなく、これらの処理機能の少なくとも一部がハードウェアで実現されてもよい。 The processing functions of the present apparatus may not be realized by executing a predetermined program on a computer, but at least a part of these processing functions may be realized by hardware.

1 匿名性評価装置
11 データ生成部
12 データ比較部
1 Anonymity Evaluation Device 11 Data Generation Unit 12 Data Comparison Unit

Claims (8)

秘匿化軌跡データの匿名性を評価する匿名性評価装置であって、
複数の移動体の集合SETに含まれた移動体Sの複数の任意の時刻d(n).timeでの離散的な位置d(n).coを表す軌跡データdから推定される、前記移動体Sの複数の任意の時刻a(r).timeでの離散的な推定位置a(r).coを表す背景知識データaを得るデータ生成部と、
複数の移動体の集合SETsdに含まれた移動体Sの軌跡データdを秘匿化して得られた前記移動体Sの複数の任意の時刻sd(sn).timeでの離散的な秘匿化位置sd(sn).coを表す秘匿化軌跡データsdから推定される、前記移動体Sの複数の前記任意の時刻a(r).timeでの離散的な推定秘匿化位置sa(r).coと、前記移動体Sの複数の前記任意の時刻a(r).timeでの離散的な推定位置a(r).coと、の距離を最小にする前記移動体Sが前記移動体Sである程度を表す匿名性評価値を得るデータ比較部と、
を有する匿名性評価装置。
An anonymity evaluation device for evaluating anonymity of anonymized trajectory data,
A plurality of arbitrary times d i (n i ) of mobiles S i included in a set SET d of a plurality of mobiles. Discrete position d i (n i ) at time. A plurality of arbitrary times a i (r i ). of the moving body S i estimated from the trajectory data d i representing co. Discrete estimated position a i (r i ) at time. a data generation unit for obtaining background knowledge data a i representing co,
A plurality of arbitrary time sd j of the plurality mobile included in the set SET sd moving body of S j of the trajectory data d j the movable body S j obtained by concealing (sn j). Discrete concealment positions sd j (sn j ). .., a plurality of the arbitrary times a i (r i ). of the moving body S j estimated from the concealed trajectory data sd j representing co. Discrete estimated concealment positions sa j (r i ) at time. co, a plurality of said arbitrary time a i of the moving body S i (r i). Discrete estimated position a i (r i ) at time. and a data comparison unit that obtains an anonymity evaluation value that represents a degree to which the moving body S j is the moving body S i that minimizes the distance between co and
Anonymity evaluation device having.
請求項1の匿名性評価装置であって、
複数の前記任意の時刻a(r).timeの少なくとも一部は、複数の前記任意の時刻d(n).time以外の時刻である、匿名性評価装置。
The anonymity evaluation apparatus according to claim 1, wherein
A plurality of the arbitrary times a i (r i ). At least a part of the time is a plurality of arbitrary times d i (n i ). Anonymity evaluation device that is a time other than time.
請求項1または2の匿名性評価装置であって、
複数の前記任意の時刻a(r).timeの少なくとも一部は、複数の前記任意の時刻sd(sn).time以外の時刻である、匿名性評価装置。
The anonymity evaluation apparatus according to claim 1 or 2, wherein
A plurality of the arbitrary times a i (r i ). At least part of the time is a plurality of arbitrary times sd j (sn j ). Anonymity evaluation device that is a time other than time.
請求項1から3の何れかの匿名性評価装置であって、
すべての前記任意の時刻a(r).timeは、複数の前記任意の時刻d(n).time以外の時刻であり、かつ、複数の前記任意の時刻sd(sn).time以外の時刻である、匿名性評価装置。
The anonymity evaluation device according to any one of claims 1 to 3,
All said arbitrary times a i (r i ). time is a plurality of arbitrary times d i (n i ). Times other than time, and a plurality of the arbitrary times sd j (sn j ). Anonymity evaluation device that is a time other than time.
請求項1から4の何れかの匿名性評価装置であって、
複数の前記任意の時刻a(r).timeは、複数の前記任意の時刻d(n).timeからランダムに選択された最小値と最大値との間からランダムに選択された時刻である、匿名性評価装置。
The anonymity evaluation apparatus according to any one of claims 1 to 4,
A plurality of the arbitrary times a i (r i ). time is a plurality of arbitrary times d i (n i ). An anonymity evaluation device that is a time randomly selected from a minimum value and a maximum value randomly selected from time.
請求項1から5の何れかの匿名性評価装置であって、
前記移動体Sの複数の前記任意の時刻a(r).timeでの離散的な推定位置a(r).coは、前記移動体Sの複数の前記任意の時刻d(n).timeでの離散的な位置d(n).coの線形補間によって得られ、
前記移動体Sの複数の前記任意の時刻sa(r).timeでの離散的な推定秘匿化位置sa(r).coは、前記移動体Sの複数の任意の時刻sd(sn).timeでの離散的な秘匿化位置sd(sn).coの線形補間によって得られる、匿名性評価装置。
The anonymity evaluation apparatus according to any one of claims 1 to 5,
A plurality of the arbitrary times a i (r i ) of the mobile body S i . Discrete estimated position a i (r i ) at time. co, a plurality of said arbitrary time d i of said mobile S i (n i). Discrete position d i (n i ) at time. obtained by linear interpolation of co,
A plurality of said arbitrary time sa i of the moving body S j (r i). Discrete estimated concealment positions sa j (r i ) at time. co, the mobile S j of the plurality of arbitrary time sd j (sn j). Discrete concealment positions sd j (sn j ). Anonymity evaluation device obtained by linear interpolation of co.
秘匿化軌跡データの匿名性を評価する匿名性評価装置の匿名性評価方法であって、
前記匿名性評価装置のデータ生成部が、複数の移動体の集合SETに含まれた移動体Sの複数の任意の時刻d(n).timeでの離散的な位置d(n).coを表す軌跡データdから推定される、前記移動体Sの複数の任意の時刻a(r).timeでの離散的な推定位置a(r).coを表す背景知識データaを得るデータ生成ステップと、
前記匿名性評価装置のデータ比較部が、複数の移動体の集合SETsdに含まれた移動体Sの軌跡データdを秘匿化して得られた前記移動体Sの複数の任意の時刻sd(sn).timeでの離散的な秘匿化位置sd(sn).coを表す秘匿化軌跡データsdから推定される、前記移動体Sの複数の前記任意の時刻a(r).timeでの離散的な推定秘匿化位置sa(r).coと、前記移動体Sの複数の前記任意の時刻a(r).timeでの離散的な推定位置a(r).coと、の距離を最小にする前記移動体Sが前記移動体Sである程度を表す匿名性評価値を得るデータ比較ステップと、
を有する匿名性評価方法。
An anonymity evaluation method of an anonymity evaluation device for evaluating anonymity of anonymity trajectory data,
The data generation unit of the anonymity evaluation apparatus uses a plurality of arbitrary times d i (n i ). of mobile units S i included in a set SET d of multiple mobile units. Discrete position d i (n i ) at time. A plurality of arbitrary times a i (r i ). of the moving body S i estimated from the trajectory data d i representing co. Discrete estimated position a i (r i ) at time. a data generation step of obtaining background knowledge data a i representing co,
The data comparison unit of the anonymity evaluation apparatus conceals the trajectory data d j of the mobile body S j included in the set SET sd of the plurality of mobile bodies, and obtains a plurality of arbitrary times of the mobile body S j. sd j (sn j ). Discrete concealment positions sd j (sn j ). .., a plurality of the arbitrary times a i (r i ). of the moving body S j estimated from the concealed trajectory data sd j representing co. Discrete estimated concealment positions sa j (r i ) at time. co, a plurality of said arbitrary time a i of the moving body S i (r i). Discrete estimated position a i (r i ) at time. and a data comparing step of obtaining an anonymity evaluation value indicating a degree to which the moving body S j is the moving body S i that minimizes the distance between co and
Anonymity evaluation method having.
請求項1から6の何れかの匿名性評価装置としてコンピュータを機能させるためのプログラム。 A program for causing a computer to function as the anonymity evaluation apparatus according to claim 1.
JP2017136798A 2017-07-13 2017-07-13 Anonymity evaluation device, anonymity evaluation method, and program Active JP6748612B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017136798A JP6748612B2 (en) 2017-07-13 2017-07-13 Anonymity evaluation device, anonymity evaluation method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017136798A JP6748612B2 (en) 2017-07-13 2017-07-13 Anonymity evaluation device, anonymity evaluation method, and program

Publications (2)

Publication Number Publication Date
JP2019020880A JP2019020880A (en) 2019-02-07
JP6748612B2 true JP6748612B2 (en) 2020-09-02

Family

ID=65354748

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017136798A Active JP6748612B2 (en) 2017-07-13 2017-07-13 Anonymity evaluation device, anonymity evaluation method, and program

Country Status (1)

Country Link
JP (1) JP6748612B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12125054B2 (en) 2018-09-25 2024-10-22 Valideck International Corporation System, devices, and methods for acquiring and verifying online information

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109977108B (en) * 2019-04-03 2021-04-27 深圳市甲易科技有限公司 A Multiple Trajectory Collision Analysis Method Based on Behavior Trajectory Library
JP7805984B2 (en) * 2023-03-22 2026-01-26 株式会社東芝 Information processing method, information processing device, and information processing program

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6471699B2 (en) * 2014-02-04 2019-02-20 日本電気株式会社 Information determination apparatus, information determination method, and program
JP2016148942A (en) * 2015-02-10 2016-08-18 日本電信電話株式会社 Anonymity determination system and anonymity determination method
JP6464849B2 (en) * 2015-03-19 2019-02-06 トヨタ自動車株式会社 Moving path data anonymization apparatus and method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12125054B2 (en) 2018-09-25 2024-10-22 Valideck International Corporation System, devices, and methods for acquiring and verifying online information

Also Published As

Publication number Publication date
JP2019020880A (en) 2019-02-07

Similar Documents

Publication Publication Date Title
Schmitt et al. ssdm: An r package to predict distribution of species richness and composition based on stacked species distribution models
Jesus et al. Deep deterministic policy gradient for navigation of mobile robots in simulated environments
Godsoe et al. Effects of biotic interactions on modeled species' distribution can be masked by environmental gradients
Zank et al. Climate change and the distribution of neotropical red-bellied toads (Melanophryniscus, Anura, Amphibia): how to prioritize species and populations?
Benito et al. The impact of modelling choices in the predictive performance of richness maps derived from species‐distribution models: Guidelines to build better diversity models
MacGregor-Fors et al. Contrasting diversity values: statistical inferences based on overlapping confidence intervals
Warton et al. Advancing our thinking in presence‐only and used‐available analysis
CN112560886A (en) Training-like conditional generation of countermeasure sequence network
JP6748612B2 (en) Anonymity evaluation device, anonymity evaluation method, and program
WO2023136020A1 (en) Pathfinding apparatus, pathfinding method, and non-transitory computer-readable storage medium
CN110989602B (en) Method and system for path planning of autonomous guided vehicles in medical pathology laboratory
Chuangpishit et al. Average case-worst case tradeoffs for evacuating 2 robots from the disk in the face-to-face model
Salloum et al. Mini-scale traffic flow optimization: an iterative QUBOs approach converting from hybrid solver to pure quantum processing unit
Fusic et al. Autonomous vehicle path planning for smart logistics mobile applications based on modified heuristic algorithm
Garg Cooperative multi-robot target searching and tracking using velocity inspired robotic fruit fly algorithm
JP2022550407A (en) Spatio-temporal pose/object database
Wasik et al. Inferring mathematical equations using crowdsourcing
KR20230045826A (en) Method, computer system, and computer program for reinforcement learning-based navigation adaptable to sensor configuration and robot shape
CN116301022B (en) UAV swarm mission planning method and device based on deep reinforcement learning
Wang et al. HKSCSO: A Novel Enhanced Sand Cat Swarm Optimization Algorithm for UAV Three‐Dimensional Path Planning
Mohammadi et al. Metaheuristic algorithms for integrated navigation systems
CN115113627B (en) Robot, path planning method, and computer-readable storage medium
Juraszek et al. Extended Kalman filter for large scale vessels trajectory tracking in distributed stream processing systems
Cosar Path planning via swarm intelligence algorithms in unmanned aerial vehicle population
CN110795631B (en) Push model optimization and prediction method and device based on factorization machine

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190819

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200416

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200602

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200716

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200804

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200807

R150 Certificate of patent or registration of utility model

Ref document number: 6748612

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350