Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6883508B2 - Anonymization device, anonymization method and anonymization program - Google Patents
[go: Go Back, main page]

JP6883508B2 - Anonymization device, anonymization method and anonymization program - Google Patents

Anonymization device, anonymization method and anonymization program Download PDF

Info

Publication number
JP6883508B2
JP6883508B2 JP2017232732A JP2017232732A JP6883508B2 JP 6883508 B2 JP6883508 B2 JP 6883508B2 JP 2017232732 A JP2017232732 A JP 2017232732A JP 2017232732 A JP2017232732 A JP 2017232732A JP 6883508 B2 JP6883508 B2 JP 6883508B2
Authority
JP
Japan
Prior art keywords
anonymization
output
rule
data set
input
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017232732A
Other languages
Japanese (ja)
Other versions
JP2019101808A (en
Inventor
知明 三本
知明 三本
清本 晋作
晋作 清本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2017232732A priority Critical patent/JP6883508B2/en
Publication of JP2019101808A publication Critical patent/JP2019101808A/en
Application granted granted Critical
Publication of JP6883508B2 publication Critical patent/JP6883508B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、データセットを匿名化するための装置、方法及びプログラムに関する。 The present invention relates to devices, methods and programs for anonymizing datasets.

従来、例えば、ユーザ属性と共に移動履歴又は購買履歴等の個人情報を含むデータセットを解析し、広告配信等に利用する際には、レコードから個人が識別され個人情報が漏洩するリスクを回避する必要があった。このため、個人情報を含むデータセットは、匿名化の処理をした後に提供される。
データセットを自動で匿名化する際には、距離の近いレコードを丸めてクラスタ化する、あるいは、各属性に木構造を持たせ、汎化を繰り返すことでk−匿名化する手法が用いられている(例えば、非特許文献1及び2参照)。
Conventionally, for example, when analyzing a data set including personal information such as movement history or purchase history together with user attributes and using it for advertisement distribution, it is necessary to avoid the risk that an individual is identified from a record and personal information is leaked. was there. Therefore, the data set including the personal information is provided after the anonymization process.
When automatically anonymizing a dataset, a method is used in which records that are close to each other are rounded and clustered, or each attribute has a tree structure and k-anonymization is repeated by repeating generalization. (See, for example, Non-Patent Documents 1 and 2).

Ji−Won Byun , Ashish Kamra , Elisa Bertino , Ninghui Li, Efficient k−anonymization using clustering techniques, Proceedings of the 12th international conference on Database systems for advanced applications, April 09−12, 2007, Bangkok, ThailandJi-Won Byun, Ashish Kamra, Elisa Bertino, Ninghui Li, Efficient k-anonymization using clustering techniques, Proceedings of the 12th international conference on Database systems for advanced applications, April 09-12, 2007, Bangkok, Thailand Kristen LeFevre , David J. DeWitt , Raghu Ramakrishnan, Incognito: efficient full−domain K−anonymity, Proceedings of the 2005 ACM SIGMOD international conference on Management of data, June 14−16, 2005, Baltimore, MarylandKristen LeFevre, David J. et al. DeWitt, Raghu Ramakrishnan, Incognito: effective full-domin K-anonymity, Proceedings of the 2005 ACM SIGMOD intermediary Mention6

しかしながら、自動で距離の近いレコードを丸める方式では、データの持つ意味を考慮することなく、単純なレコード間の距離によってクラスタ化されるため、例えば年齢「17−21」というように、利用者にとって有用性の低い汎化が行われていた。
また、木構造に基づく場合であっても、目的はk−匿名化を実施することであり、属性の数が増えると、ほとんどの属性に対して大幅な汎化が行われ、結果として利用価値の低いデータセットとなることが多かった。
However, in the method of automatically rounding records that are close to each other, the records are clustered according to the distance between simple records without considering the meaning of the data. Therefore, for the user, for example, age "17-21". Generalization with low usefulness was performed.
Also, even if it is based on a tree structure, the purpose is to implement k-anonymization, and as the number of attributes increases, most of the attributes are significantly generalized, resulting in utility value. Often the data set was low.

本発明は、有用性を残し、かつ、安全なレコードのみを出力できる匿名化装置、匿名化方法及び匿名化プログラムを提供することを目的とする。 An object of the present invention is to provide an anonymization device, an anonymization method, and an anonymization program that can output only safe records while leaving usefulness.

本発明に係る匿名化装置は、複数のレコードからなるデータセットに含まれる属性それぞれに対して、一般化した上位ノードを有する一般化階層木の入力を受け付ける階層木入力部と、前記データセットの利用方法に応じた匿名化ルールの入力を受け付ける匿名化ルール入力部と、個人が識別されるリスクに基づく出力可能なレコードの条件を定めた出力ルールの入力を受け付ける出力ルール入力部と、前記匿名化ルールに基づいて前記データセットの全体を匿名化する匿名化処理部と、前記匿名化処理部により匿名化されたデータセットから、前記出力ルールに合致したレコードのみを出力する匿名化データ出力部と、を備える。 The anonymization device according to the present invention has a hierarchical tree input unit that accepts input of a generalized hierarchical tree having a generalized upper node for each attribute included in a data set composed of a plurality of records, and a hierarchical tree input unit of the data set. An anonymization rule input unit that accepts input of anonymization rules according to usage, an output rule input unit that accepts output rule input that defines conditions for outputable records based on the risk of identifying an individual, and the anonymous An anonymization processing unit that anonymizes the entire data set based on the anonymization rule, and an anonymization data output unit that outputs only records that match the output rule from the data set anonymized by the anonymization processing unit. And.

前記出力ルールは、前記レコード毎に独立して定められてもよい。 The output rule may be defined independently for each record.

前記出力ルールは、前記データセットの提供先に応じて定められてもよい。 The output rule may be determined according to the destination of the data set.

本発明に係る匿名化方法は、複数のレコードからなるデータセットに含まれる属性それぞれに対して、一般化した上位ノードを有する一般化階層木の入力を受け付ける階層木入力ステップと、前記データセットの利用方法に応じた匿名化ルールの入力を受け付ける匿名化ルール入力ステップと、個人が識別されるリスクに基づく出力可能なレコードの条件を定めた出力ルールの入力を受け付ける出力ルール入力ステップと、前記匿名化ルールに基づいて前記データセットの全体を匿名化する匿名化処理ステップと、前記匿名化処理ステップにおいて匿名化されたデータセットから、前記出力ルールに合致したレコードのみを出力する匿名化データ出力ステップと、をコンピュータが実行する。 The anonymization method according to the present invention includes a hierarchical tree input step that accepts input of a generalized hierarchical tree having a generalized upper node for each attribute included in a data set consisting of a plurality of records, and a hierarchical tree input step of the data set. Anonymization rule input step that accepts input of anonymization rule according to usage method, output rule input step that accepts output rule input that defines conditions of outputable records based on the risk of identifying an individual, and the anonymous An anonymization processing step that anonymizes the entire data set based on the anonymization rule, and an anonymization data output step that outputs only records that match the output rule from the data set that was anonymized in the anonymization processing step. And the computer executes.

本発明に係る匿名化プログラムは、複数のレコードからなるデータセットに含まれる属性それぞれに対して、一般化した上位ノードを有する一般化階層木の入力を受け付ける階層木入力ステップと、前記データセットの利用方法に応じた匿名化ルールの入力を受け付ける匿名化ルール入力ステップと、個人が識別されるリスクに基づく出力可能なレコードの条件を定めた出力ルールの入力を受け付ける出力ルール入力ステップと、前記匿名化ルールに基づいて前記データセットの全体を匿名化する匿名化処理ステップと、前記匿名化処理ステップにおいて匿名化されたデータセットから、前記出力ルールに合致したレコードのみを出力する匿名化データ出力ステップと、をコンピュータに実行させるためのものである。 The anonymization program according to the present invention has a hierarchical tree input step that accepts input of a generalized hierarchical tree having a generalized upper node for each attribute included in a data set consisting of a plurality of records, and a hierarchical tree input step of the data set. Anonymization rule input step that accepts input of anonymization rule according to usage method, output rule input step that accepts output rule input that defines conditions of outputable records based on the risk of identifying an individual, and the anonymous An anonymization processing step that anonymizes the entire data set based on the anonymization rule, and an anonymization data output step that outputs only records that match the output rule from the data set that was anonymized in the anonymization processing step. Is for letting the computer execute.

本発明によれば、データセットを匿名化する際に、有用性を残し、かつ、安全なレコードのみを出力できる。 According to the present invention, when anonymizing a data set, it is possible to output only a safe record while leaving usefulness.

第1実施形態に係る匿名化装置の機能構成を示す図である。It is a figure which shows the functional structure of the anonymization apparatus which concerns on 1st Embodiment. 第1実施形態に係る匿名化装置の入出力情報を示す図である。It is a figure which shows the input / output information of the anonymization apparatus which concerns on 1st Embodiment. 第2実施形態に係る匿名化装置の入出力情報を示す図である。It is a figure which shows the input / output information of the anonymization apparatus which concerns on 2nd Embodiment.

以下、本発明の第1実施形態について説明する。
図1は、本実施形態に係る匿名化装置1の機能構成を示す図である。
匿名化装置1は、サーバ装置又はパーソナルコンピュータ等の情報処理装置(コンピュータ)であり、制御部10、記憶部20、及び各種の入出力デバイスを備える。
Hereinafter, the first embodiment of the present invention will be described.
FIG. 1 is a diagram showing a functional configuration of the anonymization device 1 according to the present embodiment.
The anonymization device 1 is an information processing device (computer) such as a server device or a personal computer, and includes a control unit 10, a storage unit 20, and various input / output devices.

制御部10は、匿名化装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における機能を実現している。制御部10は、CPUであってよい。 The control unit 10 is a part that controls the entire anonymization device 1, and realizes the functions in the present embodiment by appropriately reading and executing various programs stored in the storage unit 20. The control unit 10 may be a CPU.

記憶部20は、ハードウェア群を匿名化装置1として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスク(HDD)等であってよい。具体的には、記憶部20は、本実施形態の機能を制御部10に実行させるための匿名化プログラムの他、処理対象のデータセット及び各種のファイル群等を記憶する。 The storage unit 20 is a storage area for various programs and various data for making the hardware group function as the anonymization device 1, and may be a ROM, a RAM, a flash memory, a hard disk (HDD), or the like. Specifically, the storage unit 20 stores a data set to be processed, various file groups, and the like, in addition to an anonymization program for causing the control unit 10 to execute the function of the present embodiment.

また、制御部10は、データセット入力部11と、階層木入力部12と、匿名化ルール入力部13と、出力ルール入力部14と、設定情報入力部15と、匿名化処理部16と、匿名化データ出力部17とを備える。 Further, the control unit 10 includes a data set input unit 11, a hierarchical tree input unit 12, an anonymization rule input unit 13, an output rule input unit 14, a setting information input unit 15, an anonymization processing unit 16, and the like. It includes an anonymized data output unit 17.

データセット入力部11は、複数のレコードからなる同一の属性を持つデータセットの入力をバッチ処理等により定期的に受け付ける。例えば、1日1回、1日分のデータセットが取り込まれ、匿名化処理部16に提供される。 The data set input unit 11 periodically receives input of a data set having the same attribute composed of a plurality of records by batch processing or the like. For example, once a day, the data set for one day is taken in and provided to the anonymization processing unit 16.

匿名化の対象となるデータセットの各レコードは、複数の属性からなる。各属性のデータの種類は、質的データ、量的データ、コード型データ等を含む。
質的データは、例えば、「東京」、「京都」といった住所が該当する。
量的データは、例えば、「1.5」、「30」といった数値データが該当する。
コード型データは、例えば、郵便番号のように、各桁に意味を持つデータが該当する。
Each record in the dataset to be anonymized consists of multiple attributes. The data type of each attribute includes qualitative data, quantitative data, code type data, and the like.
The qualitative data corresponds to addresses such as "Tokyo" and "Kyoto", for example.
The quantitative data corresponds to, for example, numerical data such as "1.5" and "30".
The code type data corresponds to data having a meaning in each digit, such as a zip code.

階層木入力部12は、データセットに含まれる属性それぞれに対して、一般化した上位ノードを有する一般化階層木の入力を受け付ける。
一般化階層木では、例えば、質的データである「東京」又は「京都」といったノードの上位階層に、それぞれ「関東」又は「関西」といったノードが設けられる。また、量的データである「13」、「14」、「15」といったノードの上位階層には、「13−15」又は「未成年」といったノードが設けられる。また、コード型データである「123−4567」といったノードの上位階層には、「123−45**」といった一部の桁を省略したノードが設けられる。
The hierarchical tree input unit 12 receives input of a generalized hierarchical tree having a generalized upper node for each attribute included in the data set.
In the generalized hierarchical tree, for example, nodes such as "Kanto" or "Kansai" are provided above the nodes such as "Tokyo" or "Kyoto" which are qualitative data. In addition, nodes such as "13-15" or "minors" are provided in the upper hierarchy of nodes such as "13", "14", and "15" which are quantitative data. Further, in the upper layer of the node such as "123-4567" which is the code type data, a node such as "123-45 **" in which some digits are omitted is provided.

匿名化ルール入力部13は、データセットの利用方法に応じた匿名化ルールのファイル入力を受け付ける。
匿名化ルールでは、例えば、属性xを木の高さhまで汎化する、属性yの一部又は全部を削除する、同一レコード数がn以上のレコードに対して、属性zを木の高さhまで汎化する等、汎化ルール、又は条件付きの汎化ルールが定義される。条件は複数設けられてもよく、例えばand又はorを用いて定義される。
なお、匿名化ルールは、一般化階層木に基づく汎化に限らず、例えば、サンプリング、スワッピング、ノイズ付与等の匿名化の手法が用いられてもよい。
The anonymization rule input unit 13 accepts the file input of the anonymization rule according to the usage method of the data set.
In the anonymization rule, for example, the attribute x is generalized to the height h of the tree, a part or all of the attribute y is deleted, and the attribute z is the height of the tree for the records having the same number of records n or more. Generalization rules, such as generalization to h, or conditional generalization rules are defined. A plurality of conditions may be provided, and are defined using, for example, and or or.
The anonymization rule is not limited to generalization based on the generalization hierarchy tree, and for example, anonymization methods such as sampling, swapping, and noise addition may be used.

出力ルール入力部14は、データセットのレコードの情報から個人が識別されるリスクを所定未満に抑えるために、出力可能なレコードの条件を定めた出力ルールのファイル入力を受け付ける。
出力ルールは、例えば、重複するレコード数k、又は個人識別確率p等の閾値で表現されてよい。
また、出力ルールは、レコード毎に独立して定められてもよい。さらに、出力ルールは、データセットの提供先に応じて定められてもよい。例えば、あるレコードは、企業規模がxx以上の企業に対しては同一レコード数k≧2、yy以下の企業に対してはk>10であれば開示してよい等、条件付きの閾値が出力ルールとして定められてもよい。
The output rule input unit 14 accepts a file input of an output rule that defines conditions for records that can be output in order to reduce the risk of an individual being identified from the record information of the data set to less than a predetermined value.
The output rule may be expressed by a threshold value such as the number of duplicate records k or the personal identification probability p.
Further, the output rule may be set independently for each record. Further, the output rule may be determined according to the data set destination. For example, a certain record may be disclosed if the same number of records k ≧ 2 for a company with a company size of xx or more and k> 10 for a company with yy or less, and a conditional threshold value is output. It may be defined as a rule.

設定情報入力部15は、匿名化後のデータセット、ログファイル等の各種出力情報の保存先を指定したファイルの入力を受け付ける。 The setting information input unit 15 accepts input of a file that specifies a storage destination of various output information such as a data set and a log file after anonymization.

匿名化処理部16は、匿名化ルールに基づいてデータセットの全体を匿名化する。
これにより得られたデータセットは、データの利用目的に合わせたレベルまで匿名化されている。
The anonymization processing unit 16 anonymizes the entire data set based on the anonymization rule.
The resulting dataset is anonymized to a level tailored to the intended use of the data.

匿名化データ出力部17は、匿名化処理部16により匿名化されたデータセットから、出力ルールに合致したレコードのみを出力する。
なお、出力ルールに合致しなかったレコードについて、匿名化データ出力部17は、データセットから削除、マスク処理、出力ルールに合致するまで汎化を繰り返す等の加工を適宜実行する。
これにより、安全性が担保された匿名化データセットが出力される。
The anonymized data output unit 17 outputs only the records that match the output rule from the data set anonymized by the anonymization processing unit 16.
The anonymized data output unit 17 appropriately executes processing such as deletion from the data set, mask processing, and repetition of generalization until the record does not match the output rule.
As a result, a secure anonymized data set is output.

また、匿名化データ出力部17は、匿名化データセットと共に、各種のログファイル及びレポートを出力し、記憶部20に格納する。 Further, the anonymized data output unit 17 outputs various log files and reports together with the anonymized data set and stores them in the storage unit 20.

図2は、本実施形態に係る匿名化装置1の入出力情報を示す図である。
匿名化装置1は、前述のように、匿名化の対象とするデータセットの他、一般化階層木、匿名化ルールファイル、出力ルールファイル、その他の設定ファイルを入力として受け付ける。
そして、匿名化装置1は、匿名化データセットを出力した際に、匿名化ログファイル、エラーログファイル、及び匿名化レポートを出力する。
FIG. 2 is a diagram showing input / output information of the anonymization device 1 according to the present embodiment.
As described above, the anonymization device 1 accepts a generalization hierarchy tree, an anonymization rule file, output rule file, and other setting files in addition to the data set to be anonymized.
Then, when the anonymization device 1 outputs the anonymization data set, it outputs the anonymization log file, the error log file, and the anonymization report.

匿名化ログファイルには、出力ルールに合致しなかったレコードを、匿名化データセットと紐付けるためのIDと、このレコードが匿名化される前の元の属性情報が記録される。
エラーログファイルには、匿名化の処理が正常に終了しなかった場合のエラーメッセージが記録される。
匿名化レポートには、安全管理措置のため、匿名化ルールに基づきどのような匿名化を実施し、出力ルールに基づきどの程度のリスクが残っているかが記述される。
In the anonymization log file, the ID for associating the record that does not match the output rule with the anonymization data set and the original attribute information before this record is anonymized are recorded.
In the error log file, an error message is recorded when the anonymization process is not completed normally.
The anonymization report describes what kind of anonymization is performed based on the anonymization rule and how much risk remains based on the output rule for safety management measures.

本実施形態によれば、匿名化装置1は、利用目的に合わせた匿名化ルールに基づいて汎化等の匿名化処理を行った後、個人が識別されるリスクを所定未満にするための出力ルールに合致した匿名化レコードのみを出力する。
従来の匿名化の手法では、出力条件に合致するようにデータセットの全体を加工するので、外れ値を他のレコードと合わせて大幅に汎化してしまい、有用性が低下していた。本実施形態の匿名化装置1は、ユースケースに応じて異なる残したい情報を匿名化ルールで明確化した上で、匿名化の後に出力ルールに合致する安全なレコードのみを出力することにより、安全性が所定未満の外れ値を除外して高い有用性を維持できる。
この結果、匿名化装置1は、従来の自動匿名化の手法とは異なり、ある一定の加工のルールと安全性の担保が可能であるため、匿名化データの利用者にとって有用なデータセットを生成できる。
According to the present embodiment, the anonymization device 1 outputs an output for reducing the risk of identifying an individual to less than a predetermined value after performing anonymization processing such as generalization based on an anonymization rule according to the purpose of use. Output only anonymized records that match the rules.
In the conventional anonymization method, since the entire data set is processed so as to match the output conditions, the outliers are greatly generalized together with other records, and the usefulness is reduced. The anonymization device 1 of the present embodiment is safe by clarifying the information to be kept, which differs depending on the use case, by the anonymization rule, and then outputting only the safe record that matches the output rule after the anonymization. High usefulness can be maintained by excluding outliers whose sex is less than a predetermined value.
As a result, unlike the conventional automatic anonymization method, the anonymization device 1 can guarantee certain processing rules and safety, and thus generates a data set useful for the user of the anonymized data. it can.

さらに、匿名化装置1は、出力ルールをデータセットのレコード毎に独立して定めることにより、各レコードの安全性をより適切に定義できる。
また、匿名化装置1は、出力ルールをデータセットの提供先に応じて定めることにより、利用目的に合わせた適切なデータセットを出力できる。
Further, the anonymization device 1 can more appropriately define the security of each record by independently defining the output rule for each record of the data set.
Further, the anonymization device 1 can output an appropriate data set according to the purpose of use by defining an output rule according to the data set provider.

[第2実施形態]
以下、本発明の第2実施形態について説明する。
なお、第1実施形態と同様の構成については、同一の符号を付し、説明を省略又は簡略化する。
[Second Embodiment]
Hereinafter, the second embodiment of the present invention will be described.
The same components as those in the first embodiment are designated by the same reference numerals, and the description thereof will be omitted or simplified.

データセットを自動で匿名化する際、他の類似したレコードが存在せず外れ値となるようなレコードは、大幅な汎化、又はレコードの全部若しくは一部の削除等の処理により、情報量が大きく削減されていた。また、第1実施形態においても、出力ルールに基づく安全性を満たすために、一部のレコードの削除又は大幅な汎化が行われると、有用性の低下が考えられる。
しかしながら、定期的にデータセットが入力される場合、時間経過に伴って、外れ値に類似したレコードの増加が期待できるため、汎化の度合いを抑えられる可能性がある。
そこで、本実施形態では、匿名化装置1は、出力ルールに合致しなかったレコードを、後に入力されたデータセットと統合して処理することで、有用性を維持する。
When automatically anonymizing a data set, records that do not have other similar records and have outliers will have a large amount of information due to processing such as significant generalization or deletion of all or part of the records. It was greatly reduced. Further, also in the first embodiment, if some records are deleted or significantly generalized in order to satisfy the safety based on the output rule, the usefulness may be reduced.
However, when the data set is input regularly, the number of records similar to outliers can be expected to increase with the passage of time, so that the degree of generalization may be suppressed.
Therefore, in the present embodiment, the anonymization device 1 maintains the usefulness by integrating and processing the records that do not match the output rule with the data set input later.

本実施形態では、匿名化処理部16及び匿名化データ出力部17の機能が第1実施形態とは異なる。
匿名化データ出力部17は、出力ルールに合致せず出力対象としなかった退避レコードを、匿名化前の元の状態で、過剰匿名化対象データセットとして、記憶部20(退避レコード記憶部)に記憶する。
匿名化処理部16は、記憶部20に記憶されている過剰匿名化対象データセットを、データセット入力部11により次回以降に受け付けたデータセットに追加した後に匿名化する。
In the present embodiment, the functions of the anonymization processing unit 16 and the anonymization data output unit 17 are different from those of the first embodiment.
The anonymized data output unit 17 stores the saved record that does not match the output rule and is not output as the storage unit 20 (save record storage unit) as an over-anonymization target data set in the original state before the anonymization. Remember.
The anonymization processing unit 16 adds the over-anonymization target data set stored in the storage unit 20 to the data set received by the data set input unit 11 from the next time onward, and then anonymizes the data set.

なお、匿名化ルールとしてサンプリングを採用した場合、出力ルールに関わらず出力対象とならないレコードが発生するが、これらのレコードは、過剰匿名化対象データセットに含めなくてよい。 When sampling is adopted as the anonymization rule, some records are not output targets regardless of the output rule, but these records need not be included in the over-anonymization target data set.

ここで、匿名化データ出力部17は、退避レコードに日時情報の属性が含まれる場合、この日時情報を削除した上で、過剰匿名化対象データセットとする。日時情報は、次回(例えば、翌日)以降に入力されるデータセットのレコードと同一値にならない。したがって、この日時情報が匿名化のための加工対象である場合、匿名化データ出力部17は、退避レコードから日時情報を削除することにより、次回以降の匿名化処理においても外れ値となり続けることを抑制できる。
なお、匿名化処理部16は、匿名化処理の際に、過剰匿名化対象データセットのうち所定期間の経過したレコードを削除してもよい。
Here, when the saved record includes the attribute of the date and time information, the anonymization data output unit 17 deletes the date and time information and sets it as the excessive anonymization target data set. The date and time information does not have the same value as the record of the data set input after the next time (for example, the next day). Therefore, when this date and time information is a processing target for anonymization, the anonymization data output unit 17 deletes the date and time information from the saved record so that it will continue to be an outlier in the next and subsequent anonymization processes. Can be suppressed.
In addition, the anonymization processing unit 16 may delete the record for which a predetermined period has passed from the data set to be over-anonymized during the anonymization processing.

図3は、本実施形態に係る匿名化装置1の入出力情報を示す図である。
第2実施形態において、匿名化装置1は、第1実施形態における出力データに加えて、過剰匿名化対象データセットを出力すると、記憶部20の退避用データベース(DB)に格納する。このとき、退避用DBに格納されるデータセットからは、日時情報が削除される。
そして、匿名化装置1は、次回の匿名化処理の際に、退避用DBに格納されているデータセットを匿名化対象データセットに加えて匿名化を行う。
FIG. 3 is a diagram showing input / output information of the anonymization device 1 according to the present embodiment.
In the second embodiment, when the anonymization device 1 outputs the over-anonymization target data set in addition to the output data in the first embodiment, it stores it in the save database (DB) of the storage unit 20. At this time, the date and time information is deleted from the data set stored in the backup DB.
Then, at the next anonymization process, the anonymization device 1 adds the data set stored in the backup DB to the anonymization target data set to perform anonymization.

本実施形態によれば、匿名化装置1は、出力ルールに合致しなかった退避レコードを、匿名化前の状態で退避用DBに格納し、次回以降に入力されるデータセットに加えることで匿名化処理に再利用する。
したがって、匿名化装置1は、同じ属性を持つデータセットに対して繰り返し匿名化処理を行う場合、リスクの高いレコードを一時退避して後から匿名化処理を行うことで、今回は外れ値であっても次回以降に出力対象となる可能性を高め、有用性を向上できる。
According to the present embodiment, the anonymization device 1 stores the save record that does not match the output rule in the save DB in the state before the anonymization, and adds it to the data set to be input from the next time onward to make it anonymous. Reuse for conversion process.
Therefore, when the anonymization device 1 repeatedly performs anonymization processing on a data set having the same attribute, it temporarily saves a high-risk record and then performs anonymization processing, which is an outlier this time. However, it is possible to increase the possibility that it will be output from the next time onward and improve its usefulness.

さらに、匿名化装置1は、レコードに日時情報の属性が含まれる場合、退避用DBには、この日時情報を削除して格納するので、次回(例えば、翌日)のデータセットの中で外れ値となる事態を回避し、出力対象となる可能性を高められる。
また、匿名化装置1は、退避用DBから、所定期間の経過したレコードを削除することにより、処理対象として統合することが適当でないレコードを除外でき、出力データの有用性を高められる。
Further, when the anonymization device 1 includes the attribute of the date and time information in the record, the date and time information is deleted and stored in the backup DB, so that the outlier value is stored in the next data set (for example, the next day). It is possible to avoid such a situation and increase the possibility of being an output target.
Further, the anonymization device 1 can exclude records that are not suitable for integration as processing targets by deleting records for which a predetermined period has passed from the backup DB, and the usefulness of the output data can be enhanced.

以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。 Although the embodiments of the present invention have been described above, the present invention is not limited to the above-described embodiments. Moreover, the effects described in the above-described embodiments are merely a list of the most preferable effects arising from the present invention, and the effects according to the present invention are not limited to those described in the embodiments.

匿名化装置1による匿名化方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。 The anonymization method by the anonymization device 1 is realized by software. When realized by software, the programs that make up this software are installed in the information processing device (computer). Further, these programs may be recorded on a removable medium such as a CD-ROM and distributed to the user, or may be distributed by being downloaded to the user's computer via a network. Further, these programs may be provided to the user's computer as a Web service via a network without being downloaded.

1 匿名化装置
10 制御部
11 データセット入力部
12 階層木入力部
13 匿名化ルール入力部
14 出力ルール入力部
15 設定情報入力部
16 匿名化処理部
17 匿名化データ出力部
20 記憶部
1 Anonymization device 10 Control unit 11 Data set input unit 12 Hierarchical tree input unit 13 Anonymization rule input unit 14 Output rule input unit 15 Setting information input unit 16 Anonymous processing unit 17 Anonymous data output unit 20 Storage unit

Claims (5)

複数のレコードからなるデータセットに含まれる属性それぞれに対して、一般化した上位ノードを有する一般化階層木の入力を受け付ける階層木入力部と、
前記データセットの利用方法に応じた匿名化ルールの入力を受け付ける匿名化ルール入力部と、
個人が識別されるリスクに基づく出力可能なレコードの条件を定めた出力ルールの入力を受け付ける出力ルール入力部と、
前記匿名化ルールに基づいて前記データセットの全体を匿名化する匿名化処理部と、
前記匿名化処理部により匿名化されたデータセットから、前記出力ルールに合致したレコードのみを出力する匿名化データ出力部と、
前記出力ルールに合致しなかったレコードを、前記匿名化されたデータセットと紐付けて匿名化前の状態で記憶する記憶部と、を備える匿名化装置。
A hierarchical tree input section that accepts input from a generalized hierarchical tree that has generalized higher-level nodes for each attribute contained in a dataset consisting of multiple records.
Anonymization rule input unit that accepts input of anonymization rule according to the usage method of the data set,
An output rule input unit that accepts input of output rules that define the conditions of records that can be output based on the risk of identifying an individual,
An anonymization processing unit that anonymizes the entire data set based on the anonymization rule,
An anonymized data output unit that outputs only records that match the output rule from the data set anonymized by the anonymization processing unit.
An anonymization device including a storage unit that stores records that do not match the output rule in a state before anonymization by associating them with the anonymized data set.
前記出力ルールは、前記レコード毎に独立して定められる請求項1に記載の匿名化装置。 The anonymization device according to claim 1, wherein the output rule is independently determined for each record. 前記出力ルールは、前記データセットの提供先に応じて定められる請求項1又は請求項2に記載の匿名化装置。 The anonymization device according to claim 1 or 2, wherein the output rule is determined according to the provider of the data set. 複数のレコードからなるデータセットに含まれる属性それぞれに対して、一般化した上位ノードを有する一般化階層木の入力を受け付ける階層木入力ステップと、
前記データセットの利用方法に応じた匿名化ルールの入力を受け付ける匿名化ルール入力ステップと、
個人が識別されるリスクに基づく出力可能なレコードの条件を定めた出力ルールの入力を受け付ける出力ルール入力ステップと、
前記匿名化ルールに基づいて前記データセットの全体を匿名化する匿名化処理ステップと、
前記匿名化処理ステップにおいて匿名化されたデータセットから、前記出力ルールに合致したレコードのみを出力する出力ステップと、
前記出力ルールに合致しなかったレコードを、前記匿名化されたデータセットと紐付けて匿名化前の状態で記憶する記憶ステップと、をコンピュータが実行する匿名化方法。
A hierarchical tree input step that accepts input from a generalized hierarchical tree that has generalized higher-level nodes for each attribute contained in a dataset consisting of multiple records.
Anonymization rule input step that accepts input of anonymization rule according to the usage method of the data set, and
An output rule input step that accepts input of an output rule that defines the conditions of records that can be output based on the risk of identifying an individual, and an output rule input step.
Anonymization processing steps that anonymize the entire dataset based on the anonymization rules,
An output step that outputs only records that match the output rule from the data set anonymized in the anonymization processing step, and an output step.
An anonymization method in which a computer executes a storage step of associating a record that does not match the output rule with the anonymized data set and storing it in a state before anonymization.
複数のレコードからなるデータセットに含まれる属性それぞれに対して、一般化した上位ノードを有する一般化階層木の入力を受け付ける階層木入力ステップと、
前記データセットの利用方法に応じた匿名化ルールの入力を受け付ける匿名化ルール入力ステップと、
個人が識別されるリスクに基づく出力可能なレコードの条件を定めた出力ルールの入力を受け付ける出力ルール入力ステップと、
前記匿名化ルールに基づいて前記データセットの全体を匿名化する匿名化処理ステップと、
前記匿名化処理ステップにおいて匿名化されたデータセットから、前記出力ルールに合致したレコードのみを出力する匿名化データ出力ステップと、
前記出力ルールに合致しなかったレコードを、前記匿名化されたデータセットと紐付けて匿名化前の状態で記憶する記憶ステップと、をコンピュータに実行させるための匿名化プログラム。
A hierarchical tree input step that accepts input from a generalized hierarchical tree that has generalized higher-level nodes for each attribute contained in a dataset consisting of multiple records.
Anonymization rule input step that accepts input of anonymization rule according to the usage method of the data set, and
An output rule input step that accepts input of an output rule that defines the conditions of records that can be output based on the risk of identifying an individual, and an output rule input step.
Anonymization processing steps that anonymize the entire dataset based on the anonymization rules,
Anonymized data output step that outputs only records that match the output rule from the data set anonymized in the anonymization processing step, and
An anonymization program for causing a computer to perform a storage step of associating a record that does not match the output rule with the anonymized data set and storing it in a state before anonymization.
JP2017232732A 2017-12-04 2017-12-04 Anonymization device, anonymization method and anonymization program Active JP6883508B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017232732A JP6883508B2 (en) 2017-12-04 2017-12-04 Anonymization device, anonymization method and anonymization program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017232732A JP6883508B2 (en) 2017-12-04 2017-12-04 Anonymization device, anonymization method and anonymization program

Publications (2)

Publication Number Publication Date
JP2019101808A JP2019101808A (en) 2019-06-24
JP6883508B2 true JP6883508B2 (en) 2021-06-09

Family

ID=66973825

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017232732A Active JP6883508B2 (en) 2017-12-04 2017-12-04 Anonymization device, anonymization method and anonymization program

Country Status (1)

Country Link
JP (1) JP6883508B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7075063B2 (en) * 2020-04-06 2022-05-25 株式会社4Din Anonymous processing equipment, anonymous processing method and anonymous processing program

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6078437B2 (en) * 2013-08-28 2017-02-08 株式会社日立ソリューションズ Personal information anonymization system
JP6161750B2 (en) * 2016-02-23 2017-07-12 富士通クラウドテクノロジーズ株式会社 Determination method, determination apparatus, and determination program
JP2017174458A (en) * 2017-05-29 2017-09-28 Keepdata株式会社 Information anonymization method

Also Published As

Publication number Publication date
JP2019101808A (en) 2019-06-24

Similar Documents

Publication Publication Date Title
US10817621B2 (en) Anonymization processing device, anonymization processing method, and program
US10824758B2 (en) System and method for managing enterprise data
US9230132B2 (en) Anonymization for data having a relational part and sequential part
US20170154188A1 (en) Context-sensitive copy and paste block
US20130138698A1 (en) Identity information de-identification device
CN111079174A (en) Electricity data desensitization method and system based on anonymization and differential privacy technology
US20140317756A1 (en) Anonymization apparatus, anonymization method, and computer program
US8631500B2 (en) Generating minimality-attack-resistant data
US11093340B2 (en) Summary file change log for faster forever incremental backup
US20160070763A1 (en) Parallel frequent sequential pattern detecting
US11244073B2 (en) Method and system for anonymising data stocks
CN107111722A (en) Database security
WO2022160702A1 (en) List generation method and apparatus
CN114490865A (en) Database synchronization method, device, equipment and computer storage medium
EP3196798A1 (en) Context-sensitive copy and paste block
WO2014181541A1 (en) Information processing device that verifies anonymity and method for verifying anonymity
KR102509748B1 (en) System for providing pseudonymization processing service using metadata and deeplearning security control
KR20140048396A (en) System and method for searching file in cloud storage service, and method for controlling file therein
JP6779854B2 (en) Anonymization device, anonymization method and anonymization program
US10747438B1 (en) Reporting using archived data
CN112579705A (en) Metadata acquisition method and device, computer equipment and storage medium
CN112889039A (en) Identification of records for post-clone tenant identifier conversion
JP6883508B2 (en) Anonymization device, anonymization method and anonymization program
CN108595685B (en) A data processing method and device
KR101804426B1 (en) Parallel processing method of data anonymization using gpgpu

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191209

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200925

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201006

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201126

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210420

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210510

R150 Certificate of patent or registration of utility model

Ref document number: 6883508

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150