Nothing Special   »   [go: up one dir, main page]

JP2017228255A - Evaluation device, evaluation method and program - Google Patents

Evaluation device, evaluation method and program Download PDF

Info

Publication number
JP2017228255A
JP2017228255A JP2016126008A JP2016126008A JP2017228255A JP 2017228255 A JP2017228255 A JP 2017228255A JP 2016126008 A JP2016126008 A JP 2016126008A JP 2016126008 A JP2016126008 A JP 2016126008A JP 2017228255 A JP2017228255 A JP 2017228255A
Authority
JP
Japan
Prior art keywords
target data
individual
identification risk
evaluation
risk
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016126008A
Other languages
Japanese (ja)
Other versions
JP6711519B2 (en
Inventor
平松 直人
Naoto Hiramatsu
直人 平松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Solution Innovators Ltd
Original Assignee
NEC Solution Innovators Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Solution Innovators Ltd filed Critical NEC Solution Innovators Ltd
Priority to JP2016126008A priority Critical patent/JP6711519B2/en
Publication of JP2017228255A publication Critical patent/JP2017228255A/en
Application granted granted Critical
Publication of JP6711519B2 publication Critical patent/JP6711519B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Medical Treatment And Welfare Office Work (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide an evaluation device, an evaluation method and a program which may evaluate data to which k-anonymization processing is performed.SOLUTION: An evaluation device 10 is a device for evaluating data including pieces of personal information acquired from plural individuals, as pieces of target data. The evaluation device 10 comprises: an identification risk evaluation part 11 for evaluating possibility in which, existence of an individual who is an acquisition source of personal information, is grasped, from the target data, as individual identification risk; an individual specification risk evaluation part 12 for evaluating possibility in which, an individual who is an acquisition source of personal information is specified from the target data, as individual specification risk; and a utility evaluation part 13 for evaluating utility when anonymization processing is performed to the target data.SELECTED DRAWING: Figure 1

Description

本発明は、匿名化した情報を評価する評価装置、評価方法及びこれを実現するためのプログラムに関する。   The present invention relates to an evaluation device and an evaluation method for evaluating anonymized information, and a program for realizing the evaluation method.

近年、IT技術の発展により、個人情報が非常に漏洩し易い状況となっている。このため、個人情報の保護の重要性が叫ばれており、個人情報に対して、個人の識別を困難にする加工処理を施すことが提案されている。このような加工処理の1つとして、k匿名化処理が知られている。   In recent years, with the development of IT technology, personal information is very easily leaked. For this reason, the importance of protecting personal information has been screamed, and it has been proposed to apply processing to personal information that makes it difficult to identify the individual. As one of such processing processes, k anonymization processing is known.

k匿名化処理では、対象となるデータ内に、同じ属性を持つデータがk件以上存在するようにデータが加工される。例えば、郵便番号、性別、年齢、趣味を項目とする個人データが存在する場合に、k=3が設定されているとする。この場合に、k匿名化処理が実行されると、各項目が全て一致する個人の数がk=3人以上となるように、郵便番号の下数桁を削除したり、年齢を切り上げたり、といったデータの加工が行なわれている。   In k anonymization processing, data is processed so that there are k or more data having the same attribute in the target data. For example, it is assumed that k = 3 is set when there is personal data whose items are zip code, sex, age, and hobby. In this case, when k anonymization processing is executed, the last digits of the postal code are deleted or the age is rounded up so that the number of individuals in which all the items all match is k = 3 or more, Data processing is performed.

これに関連し、例えば、特許文献1では、データベースに対して匿名化処理を施した際に、過度な情報損失が生じているか否かを判定し、判定した判定結果によって、情報有用性を算出することが開示されている。   In relation to this, for example, in Patent Document 1, when anonymization processing is performed on a database, it is determined whether excessive information loss has occurred, and information usefulness is calculated based on the determined determination result. Is disclosed.

また、特許文献2では、個人情報を含む匿名化データから個人が一意に特定されるリスクレベルを分析する情報匿名化システムが開示されている。開示された情報匿名化システムは、匿名化データを構成するレコードごとに、リスクを定量的に分析し、分析されたレコードごとのリスクに基づいて、特定の尺度に従って匿名化データのリスクレベルを算出し、算出されたリスクレベルを出力する。   Patent Document 2 discloses an information anonymization system that analyzes a risk level at which an individual is uniquely identified from anonymized data including personal information. The disclosed information anonymization system quantitatively analyzes the risk for each record that makes up the anonymized data, and calculates the risk level of the anonymized data according to a specific measure based on the risk of each analyzed record And output the calculated risk level.

特開2013−190838号公報JP 2013-190838 A 特開2015−176496号公報Japanese Patent Laying-Open No. 2015-17696

ここで、kの値を高く設定する程、個人情報の漏洩リスクを低減することになるが、個人情報を利用する際の有用性は低下することになる。一方、kの値を低く設定する程、個人情報を利用する際の有用性は高くなるが、個人情報の漏洩リスクは高まることになる。   Here, as the value of k is set higher, the risk of leakage of personal information is reduced, but usefulness when using personal information is reduced. On the other hand, the lower the value of k, the higher the usefulness when using personal information, but the risk of leakage of personal information increases.

特許文献1では、匿名化した個人の匿名化データに対し、過度に情報損失が生じているか否かの判定を行い、匿名化した個人情報の有用性の算出を行っているが、個人情報の漏洩リスクを妨げる点については考慮されていない。   In Patent Literature 1, it is determined whether or not information loss is excessive for the anonymized personal anonymized data, and the usefulness of the anonymized personal information is calculated. Points that prevent the risk of leakage are not considered.

特許文献2では、個人情報の漏洩リスクについてリスク分析装置を用い、リスクレベルを分析することで個人情報の漏洩リスクを解決しているが、過剰に漏洩リスクを防止すると情報の有用性が失われてしまうおそれがある、という点については考慮されていない。   In Patent Literature 2, the risk of personal information leakage is analyzed by using a risk analysis device and the risk level is analyzed to solve the personal information leakage risk. However, if the leakage risk is excessively prevented, the usefulness of the information is lost. It is not taken into consideration that there is a risk of being lost.

そこで、情報有用性と漏洩リスクの双方を評価し、kの値を適正な値に設定することが求められる。   Therefore, it is required to evaluate both information usefulness and leakage risk and set the value of k to an appropriate value.

本発明の目的の一例は、上記問題点を解消し、k匿名化処理を行なったデータに対する評価を行ない得る、評価装置、評価方法及びプログラムを提供することにある。   An example of the object of the present invention is to provide an evaluation device, an evaluation method, and a program that can solve the above-described problems and can evaluate data subjected to k anonymization processing.

上記目的を達成するため、本発明の一側面における評価装置は、複数の個人から取得された個人情報を含むデータを対象データとして評価を行なう評価装置であって、
前記対象データから前記個人情報の取得元の個人の存在が把握される可能性を、個人識別リスクとして評価する、個人識別リスク評価部と、
前記対象データから前記個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する、個人特定リスク評価部と、
前記対象データに対して匿名化処理が行なわれた場合の有用性を評価する、有用性評価部と、
を備えていることを特徴とする。 In order to achieve the above object, an evaluation apparatus according to one aspect of the present invention is an evaluation apparatus that evaluates data including personal information acquired from a plurality of individuals as target data,
A personal identification risk evaluation unit that evaluates, as a personal identification risk, the possibility of grasping the presence of the individual from which the personal information is acquired from the target data;
A personal identification risk evaluation unit that evaluates the possibility of identifying the individual from which the personal information is obtained from the target data as a personal identification risk;
A usefulness evaluation unit that evaluates the usefulness when anonymization processing is performed on the target data;
It is characterized by having.

また、上記目的を達成するため、本発明の一側面における評価方法は、複数の個人から取得された個人情報を含むデータを対象データとして評価を行なう評価方法であって、
(a)前記対象データから前記個人情報の取得元の個人の存在が把握される可能性を、個人識別リスクとして評価する、ステップと、
(b)前記対象データから前記個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する、ステップと、
(C)前記対象データに対して匿名化処理が行なわれた場合の有用性を評価するする、ステップと、を有することを特徴とする。 In order to achieve the above object, an evaluation method according to one aspect of the present invention is an evaluation method that evaluates data including personal information acquired from a plurality of individuals as target data,
(A) evaluating the possibility of grasping the presence of an individual from which the personal information is obtained from the target data as a personal identification risk;
(B) evaluating a possibility that an individual from which the personal information is obtained from the target data is identified as a personal identification risk;
(C) evaluating the usefulness when the anonymization process is performed on the target data.

また、上記目的を達成するため、本発明の一側面におけるプログラムは、
コンピュータによって、複数の個人から取得された個人情報を含むデータを対象データとして評価を行なうためのプログラムであって、
前記コンピュータに、
(a)前記対象データから前記個人情報の取得元の個人の存在が把握される可能性を、個人識別リスクとして評価する、ステップと、
(b)前記対象データから前記個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する、ステップと、
(C)前記対象データに対して匿名化処理が行なわれた場合の有用性を評価する、ステップと、
を実行させることを、を特徴とする。 In order to achieve the above object, a program according to one aspect of the present invention includes:
A program for evaluating, as target data, data including personal information acquired from a plurality of individuals by a computer,
In the computer,
(A) evaluating the possibility of grasping the presence of an individual from which the personal information is obtained from the target data as a personal identification risk;
(B) evaluating a possibility that an individual from which the personal information is obtained from the target data is identified as a personal identification risk;
(C) evaluating the usefulness when anonymization processing is performed on the target data; and
It is characterized by performing.

以上のように、本発明によれば、k匿名化処理を行なったデータに対する評価を行なうことができる。   As described above, according to the present invention, it is possible to evaluate data subjected to k anonymization processing.

図1は、本発明の実施形態1に係る評価装置の概略構成を示すブロック図である。FIG. 1 is a block diagram showing a schematic configuration of an evaluation apparatus according to Embodiment 1 of the present invention. 図2は、本実施の形態における評価装置を具体的に示すブロック図である。FIG. 2 is a block diagram specifically showing the evaluation apparatus in the present embodiment. 図3は、本発明の実施の形態における評価装置の動作を示すフロー図である。FIG. 3 is a flowchart showing the operation of the evaluation apparatus in the embodiment of the present invention. 図4は、本発明の実施形態において得られた個人識別リスクの評価の一例を示す図である。FIG. 4 is a diagram illustrating an example of evaluation of personal identification risk obtained in the embodiment of the present invention. 図5は、本発明の実施形態で行なわれる個人識別リスクの評価処理の一例を説明する図であり、図5(a)〜(c)は一連の処理の流れを示している。FIG. 5 is a diagram for explaining an example of the personal identification risk evaluation process performed in the embodiment of the present invention. FIGS. 5A to 5C show a flow of a series of processes. 図6は、本発明の実施形態で行なわれる個人識別リスクの評価処理の他の例を説明する図であり、図6(a)〜(d)は一連の処理の流れを示している。FIG. 6 is a diagram for explaining another example of the personal identification risk evaluation process performed in the embodiment of the present invention. FIGS. 6A to 6D show a flow of a series of processes. 図7は、本発明の実施形態で行なわれる個人識別リスクの評価処理の他の例を説明する図であり、図7(a)〜(e)は一連の処理の流れを示している。FIG. 7 is a diagram for explaining another example of the personal identification risk evaluation process performed in the embodiment of the present invention. FIGS. 7A to 7E show a flow of a series of processes. 図8は、本発明の実施の形態において行なわれる個人特定リスクの評価処理を説明するための図であり、個人情報の一例を示している。FIG. 8 is a diagram for explaining the personal identification risk evaluation process performed in the embodiment of the present invention, and shows an example of personal information. 図9は、本発明の実施の形態で行なわれた有用性の評価の一例を示す図である。FIG. 9 is a diagram showing an example of the usability evaluation performed in the embodiment of the present invention. 図10は、本発明の実施の形態における評価装置を実現するコンピュータの一例を示すブロック図である。FIG. 10 is a block diagram illustrating an example of a computer that implements the evaluation device according to the embodiment of the present invention.

(実施の形態)
以下、本発明の実施の形態における評価装置、評価方法及びプログラムについて、図1〜図10を参照しながら説明する。 (Embodiment)
Hereinafter, an evaluation apparatus, an evaluation method, and a program according to an embodiment of the present invention will be described with reference to FIGS.

[装置構成]
最初に、本実施の形態における評価装置の概略構成について図1を用いて説明する。図1は、本発明の実施形態1に係る評価装置の概略構成を示すブロック図である。 [Device configuration]
Initially, the schematic structure of the evaluation apparatus in this Embodiment is demonstrated using FIG. FIG. 1 is a block diagram showing a schematic configuration of an evaluation apparatus according to Embodiment 1 of the present invention.

図1に示す本実施の形態における評価装置10は、複数の個人の個人情報を含むデータを対象データとして評価を行なう装置である。図1に示すように、本実施形態における評価装置10は、個人識別リスク評価部11と、個人特定リスク評価部12と、有用性評価部13とを備えている。   An evaluation apparatus 10 according to the present embodiment shown in FIG. 1 is an apparatus that evaluates data including personal information of a plurality of individuals as target data. As shown in FIG. 1, the evaluation apparatus 10 in the present embodiment includes a personal identification risk evaluation unit 11, a personal identification risk evaluation unit 12, and a usability evaluation unit 13.

個人識別リスク評価部11は、対象データから個人情報の取得元の個人の存在が把握される可能性を、個人識別リスクとして評価する。個人特定リスク評価部12は、対象データから個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する。有用性評価部13は、対象データに対して匿名化処理が行なわれた場合の有用性を評価する。   The personal identification risk evaluation unit 11 evaluates the possibility that the presence of the individual from which the personal information is acquired from the target data as the personal identification risk. The individual identification risk evaluation unit 12 evaluates the possibility that the individual from which the personal information is acquired from the target data is identified as the individual identification risk. The usability evaluation unit 13 evaluates the usability when the anonymization process is performed on the target data.

ここで、「識別」とは、誰かひとりの情報がわかることと定義する。「特定」とは、誰の情報であるかがわかることと定義する。「識別」は、「特定」よりも広義の意である。「特定」されているならば、当然に「識別」されていることとなる。k匿名化は、「特定」を防止するために、「識別」を困難にする技術であると言える。   Here, “identification” is defined as knowing the information of each person. “Specific” is defined as knowing who the information is. “Identification” has a broader meaning than “specific”. If it is “specified”, it is naturally “identified”. It can be said that k anonymization is a technique that makes “identification” difficult in order to prevent “specification”.

このように、本実施の形態では、データは、個人識別リスク、個人特定リスク、有用性の三点において評価される。本実施の形態によれば、k匿名化処理を行なったデータに対する評価が可能となる。   As described above, in the present embodiment, data is evaluated in terms of the three points of personal identification risk, personal identification risk, and usefulness. According to the present embodiment, it is possible to evaluate data subjected to k anonymization processing.

続いて、図2を参照し、本実施の形態における評価システム1について更に具体的に説明する。図2は、本実施の形態における評価装置を具体的に示すブロック図である。   Then, with reference to FIG. 2, the evaluation system 1 in this Embodiment is demonstrated more concretely. FIG. 2 is a block diagram specifically showing the evaluation apparatus in the present embodiment.

図2に示すように、本実施の形態においては、評価装置10には、個人情報を管理するデータベース20と、評価者が利用する端末装置30とがネットワーク等を介して接続されている。   As shown in FIG. 2, in the present embodiment, a database 20 for managing personal information and a terminal device 30 used by an evaluator are connected to the evaluation apparatus 10 via a network or the like.

データベース20は、個人情報を格納している。また、データベース20は、匿名化された個人情報を格納していても良い。個人情報は、例えば、住所、氏名、電話番号、年齢、国籍といった、個人を特定する可能性を備えた準識別子を有しており、複数の準識別子で構成されている。また、匿名化は、例えば、設定されたレベルの値がAである場合に、準識別子が共通する個人がA人存在するように、準識別子の内容を変更することによって行なわれる。   The database 20 stores personal information. The database 20 may store anonymized personal information. The personal information has a quasi-identifier having a possibility of specifying an individual, such as an address, name, telephone number, age, nationality, and is composed of a plurality of quasi-identifiers. Anonymization is performed, for example, by changing the content of the quasi-identifier so that there are A individuals who share the quasi-identifier when the set level value is A.

また、図2に示すように、本実施の形態においては、評価装置10は、上述した個人識別リスク評価部11、個人特定リスク評価部12、及び有用性評価部13に加えて、データ取得部14とデータ出力部15とを備えている。   As shown in FIG. 2, in this embodiment, the evaluation apparatus 10 includes a data acquisition unit in addition to the above-described individual identification risk evaluation unit 11, individual identification risk evaluation unit 12, and usability evaluation unit 13. 14 and a data output unit 15.

データ取得部14は、データベース20から、個人情報又は匿名化された個人情報を対象データとして取得する。データ出力部15は、個人識別リスク評価部11から得られた個人識別リスクと、個人特定リスク評価部12から得られた個人特定リスクと、有用性評価部13から得られた有用性とを、端末装置30に送信する。これにより、端末装置30の画面上には、個人情報の各リスクと有用性とが表示される。   The data acquisition unit 14 acquires personal information or anonymized personal information as target data from the database 20. The data output unit 15 includes the individual identification risk obtained from the individual identification risk evaluation unit 11, the individual identification risk obtained from the individual identification risk evaluation unit 12, and the usefulness obtained from the usability evaluation unit 13. It transmits to the terminal device 30. Thereby, each risk and usefulness of personal information are displayed on the screen of the terminal device 30.

個人識別リスク評価部11は、本実施の形態では、対象データ中の個人情報を構成する準識別子の値が一致するレコードの個数を算出し、算出した個数から、対象データに対してk匿名化処理を実行した場合のk人に識別される人数を求めることによって、個人識別リスクを評価する。つまり、個人識別リスク評価部11は、準識別子から識別できるレコード数をカウントし、誰かのレコードに識別できるレコードがいくつ存在するかを、個人識別リスクとして算出する。   In this embodiment, the personal identification risk evaluation unit 11 calculates the number of records with the same quasi-identifier value constituting the personal information in the target data, and k anonymizes the target data from the calculated number. The individual identification risk is evaluated by obtaining the number of persons identified as k persons when the process is executed. That is, the personal identification risk evaluation unit 11 counts the number of records that can be identified from the quasi-identifier, and calculates how many records that can be identified by someone's record exist as the personal identification risk.

個人特定リスク評価部12は、本実施の形態では、個人識別リスク評価部12によって得られた個人識別リスクと、準識別子毎に予め設定された、各準識別子から個人が特定される危険性を示す係数とに基づいて、個人特定リスクを評価する。つまり、個人特定リスク評価部12は、個人識別の危険性の評価結果に対して、更に攻撃者がどの程度準識別子をしっているかを考慮して、個人特定リスクを算出する。   In this embodiment, the individual identification risk evaluation unit 12 determines the individual identification risk obtained by the individual identification risk evaluation unit 12 and the risk that an individual is specified from each quasi-identifier preset for each quasi-identifier. Based on the indicated coefficient, the personal identification risk is evaluated. That is, the individual identification risk evaluation unit 12 calculates the individual identification risk in consideration of how much the attacker uses the quasi-identifier for the evaluation result of the risk of personal identification.

有用性評価部13は、本実施の形態では、対象データのレコード数と、対象データに対して匿名化処理が行なわれた場合の対象データのレコード数とを用いて、有用性を評価する。具体的には、有用性評価部13は、対象データの匿名化前のレコード数と、匿名化後のレコード数とを比較し、匿名化によって、どの程度のレコードが削除されたかを評価する。   In the present embodiment, the usability evaluation unit 13 evaluates usability by using the number of records of the target data and the number of records of the target data when the anonymization process is performed on the target data. Specifically, the usability evaluation unit 13 compares the number of records before anonymization of the target data with the number of records after anonymization, and evaluates how many records have been deleted by anonymization.

[装置動作]
次に、本実施の形態における評価装置10の動作の一例について図3を用いて説明する。図3は、本発明の実施の形態における評価装置の動作を示すフロー図である。また、以下の説明においては、適宜図1および図2を参酌する。また、本実施の形態では、評価装置10を動作させることによって、評価方法が実施される。よって、本実施の形態における評価方法の説明は、以下の評価装置10の動作説明に代える。 [Device operation]
Next, an example of the operation of the evaluation apparatus 10 in the present embodiment will be described with reference to FIG. FIG. 3 is a flowchart showing the operation of the evaluation apparatus in the embodiment of the present invention. In the following description, FIGS. 1 and 2 are referred to as appropriate. Moreover, in this Embodiment, the evaluation method is implemented by operating the evaluation apparatus 10. Therefore, the description of the evaluation method in the present embodiment is replaced with the following description of the operation of the evaluation apparatus 10.

図3に示すように、最初に、データ取得部14は、データベース20から、対象データとして個人情報を取得する(ステップA1)。また、データ取得部14は、取得した対象データを、個人識別リスク評価部11、個人特定リスク評価部12、及び有用性評価部13に入力する。   As shown in FIG. 3, first, the data acquisition unit 14 acquires personal information as target data from the database 20 (step A1). In addition, the data acquisition unit 14 inputs the acquired target data to the individual identification risk evaluation unit 11, the individual identification risk evaluation unit 12, and the usability evaluation unit 13.

次に、個人識別リスク評価部11は、ステップA1で取得された対象データから、個人情報の取得元の個人の存在が把握される可能性を、個人識別リスクとして評価する(ステップA2)。また、個人識別リスク評価部11は、結果をデータ出力部15に入力する。   Next, the personal identification risk evaluation unit 11 evaluates, as a personal identification risk, the possibility that the existence of the individual from which the personal information is acquired is grasped from the target data acquired in step A1 (step A2). The personal identification risk evaluation unit 11 inputs the result to the data output unit 15.

次に、個人特定リスク評価部12は、対象データから個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する(ステップA3)。また、個人特定リスク評価部12も、結果をデータ出力部15に入力する。   Next, the individual identification risk evaluation unit 12 evaluates the possibility that the individual from which the personal information is acquired from the target data is identified as the individual identification risk (step A3). Further, the individual identification risk evaluation unit 12 also inputs the result to the data output unit 15.

次に、有用性評価部13は、対象データに対して匿名化処理が行なわれた場合の有用性を評価する(ステップA4)。また、有用性評価部13も、結果をデータ出力部15に入力する。   Next, the usability evaluation unit 13 evaluates the usability when the anonymization process is performed on the target data (step A4). The usability evaluation unit 13 also inputs the result to the data output unit 15.

次に、データ出力部15は、ステップA2からステップA4で行なわれた評価を端末措置30に出力する(ステップA5)。   Next, the data output unit 15 outputs the evaluation performed in Step A2 to Step A4 to the terminal measure 30 (Step A5).

続いて、上述したステップA2〜A4それぞれについて、以下により詳細に説明する。   Subsequently, each of steps A2 to A4 described above will be described in more detail below.

[ステップA2:個人識別リスク評価処理]
最初に、図4〜図7を用いて、個人識別リスク評価部11による個人識別リスクの評価処理について説明する。図4は、本発明の実施形態において得られた個人識別リスクの評価の一例を示す図である。図5は、本発明の実施形態で行なわれる個人識別リスクの評価処理の一例を説明する図であり、図5(a)〜(c)は一連の処理の流れを示している。図6は、本発明の実施形態で行なわれる個人識別リスクの評価処理の他の例を説明する図であり、図6(a)〜(d)は一連の処理の流れを示している。図7は、本発明の実施形態で行なわれる個人識別リスクの評価処理の他の例を説明する図であり、図7(a)〜(e)は一連の処理の流れを示している。 [Step A2: Personal identification risk evaluation process]
First, the personal identification risk evaluation process by the personal identification risk evaluation unit 11 will be described with reference to FIGS. FIG. 4 is a diagram illustrating an example of evaluation of personal identification risk obtained in the embodiment of the present invention. FIG. 5 is a diagram for explaining an example of the personal identification risk evaluation process performed in the embodiment of the present invention. FIGS. 5A to 5C show a flow of a series of processes. FIG. 6 is a diagram for explaining another example of the personal identification risk evaluation process performed in the embodiment of the present invention. FIGS. 6A to 6D show a flow of a series of processes. FIG. 7 is a diagram for explaining another example of the personal identification risk evaluation process performed in the embodiment of the present invention. FIGS. 7A to 7E show a flow of a series of processes.

図4に示すように、本実施の形態では、個人識別リスク評価部11は、個人情報が記録されたテーブルの特定の準識別子の部分におけるk匿名化処理されて得られたデータが、対象データとなっている。つまり、図4において、一行目の行は、「匿名化後テーブル_パターン1」の「年齢」及び「性別」のデータに対して、k=10でk匿名化処理を行なうことで得られた匿名化後データが、対象データであることを示している。   As shown in FIG. 4, in the present embodiment, the personal identification risk evaluation unit 11 uses the data obtained by performing the k-anonymization process in the specific quasi-identifier part of the table in which the personal information is recorded as the target data It has become. That is, in FIG. 4, the first row is obtained by performing k anonymization processing at “k = 10” on the “age” and “gender” data of “post-anonymization table_pattern 1”. It shows that the data after anonymization is the target data.

また、個人識別リスク評価部11は、対象データ中の特定の準識別子の値が一致するレコードの個数を算出し、算出した個数から、対象データに対してk匿名化処理を実行した場合のk人に識別される人数を求める。図4に示すように、この「人数」が、個人識別リスクの評価となる。   In addition, the personal identification risk evaluation unit 11 calculates the number of records in which the value of a specific quasi-identifier in the target data matches, and k when the k anonymization process is executed on the target data from the calculated number. Find the number of people identified by a person. As shown in FIG. 4, this “number of people” is an evaluation of the individual identification risk.

具体的には、例えば、対象データにおいて、特定の準識別子が、単一値の組み合わせであるとする。「単一値」は、単一属性のデータであり、年齢、性別といった個人が単一の値しか持たない準識別子である。この場合、図5に示すように、個人識別リスク評価部11は、対象データ(図5(a)参照)から、識別子Ql1及びQl2の組み合わせ毎に、該当するユーザの数(レコード数)を求める(図5(b)参照)。次に、個人識別リスク評価部11は、kの値毎に、k人に識別されるユーザの人数を求める(図5(c)参照)。   Specifically, for example, in the target data, it is assumed that a specific quasi-identifier is a combination of single values. “Single value” is data of a single attribute, and is a quasi-identifier that an individual has only a single value, such as age and sex. In this case, as shown in FIG. 5, the personal identification risk evaluation unit 11 obtains the number of corresponding users (number of records) for each combination of the identifiers Ql1 and Ql2 from the target data (see FIG. 5A). (See FIG. 5 (b)). Next, the personal identification risk evaluation unit 11 obtains the number of users identified by k for each value of k (see FIG. 5C).

また、例えば、対象データにおいて、特定の識別子が集合値であるとする。「集合値」は、複合属性のデータであり、病気の種類、地域(職場の場所、居住地)、といった個人が複数の値を持つ可能性がある準識別子である。この場合、図6に示すように、個人識別リスク評価部11は、対象データ(図6(a)参照)から、ユーザ毎に、該当する識別子「地域」の組み合わせを特定する(図6(b)参照)。次に、個人識別リスク評価部11は、識別子「地域」の組み合わせ毎に、該当するユーザの数(レコード数)を求める(図6(c)参照)。次に、個人識別リスク評価部11は、kの値毎に、k人に識別されるユーザの人数を求める(図6(d)参照)。   For example, in the target data, it is assumed that a specific identifier is a set value. “Aggregate value” is data of composite attributes, and is a quasi-identifier that an individual may have a plurality of values, such as the type of illness and the region (place of work, residence). In this case, as shown in FIG. 6, the personal identification risk evaluation unit 11 specifies a combination of the corresponding identifier “region” for each user from the target data (see FIG. 6A) (FIG. 6B). )reference). Next, the individual identification risk evaluation unit 11 obtains the number of corresponding users (number of records) for each combination of identifiers “regions” (see FIG. 6C). Next, the individual identification risk evaluation unit 11 obtains the number of users identified as k for each value of k (see FIG. 6D).

また、例えば、対象データにおいて、特定の識別子が単一値と集合値との組合せであるとする。この場合、図7に示すように、個人識別リスク評価部11は、まず、対象データの集合値の部分(図7(a)参照)と、対象データの単一値の部分(図7(b)参照)とを結合する(図7(c)参照)。次に、個人識別リスク評価部11は、識別子qi1と識別子「地域」との組み合わせ毎に、該当するユーザの数(レコード数)を求める(図7(c)参照)。次に、個人識別リスク評価部11は、kの値毎に、k人に識別されるユーザの人数を求める(図7(d)参照)。   For example, in the target data, it is assumed that the specific identifier is a combination of a single value and a set value. In this case, as shown in FIG. 7, the individual identification risk evaluation unit 11 firstly sets the set value portion of the target data (see FIG. 7A) and the single value portion of the target data (see FIG. 7B). (See FIG. 7 (c)). Next, the individual identification risk evaluation unit 11 obtains the number of corresponding users (number of records) for each combination of the identifier qi1 and the identifier “region” (see FIG. 7C). Next, the personal identification risk evaluation unit 11 obtains the number of users identified as k for each value of k (see FIG. 7D).

[ステップA3:個人特定リスク評価処理]
続いて、図8を用いて、個人特定リスク評価部12による個人特定リスクの評価処理について説明する。図8は、本発明の実施の形態において行なわれる個人特定リスクの評価処理を説明するための図であり、個人情報の一例を示している。 [Step A3: Individual Specific Risk Evaluation Process]
Next, the personal identification risk evaluation process performed by the individual identification risk evaluation unit 12 will be described with reference to FIG. FIG. 8 is a diagram for explaining the personal identification risk evaluation process performed in the embodiment of the present invention, and shows an example of personal information.

個人特定リスク評価部12は、個人識別リスク評価部11によって得られた個人識別リスクと、準識別子毎に予め設定された、各準識別子から個人が特定される危険性を示す係数とに基づいて、個人特定リスクを評価する。具体的には、個人特定リスク評価部12は、例えば、下記の数1に示す式によって、個人特定リスクfを算出する。   The individual identification risk evaluation unit 12 is based on the individual identification risk obtained by the individual identification risk evaluation unit 11 and a coefficient indicating the risk of identifying an individual from each quasi-identifier preset for each quasi-identifier. , Assess personal identification risk. Specifically, the individual identification risk evaluation unit 12 calculates the individual identification risk f by, for example, the following equation (1).

(数1)
f=(1/k)×r (Equation 1)
f = (1 / k) × r

上記数1において、kは、個人識別リスク評価部11によって算出された個人識別リスクである。rは、各準識別子から個人が特定される危険性を示す係数である。以下、rを「評価パラメータ」と表記する。   In the above equation 1, k is a personal identification risk calculated by the personal identification risk evaluation unit 11. r is a coefficient indicating the risk of identifying an individual from each quasi-identifier. Hereinafter, r is expressed as “evaluation parameter”.

評価パラメータは、準識別子の内容、準識別子の値、対象データの利用先等に基づいて、適宜設定される。例えば、個人情報が図5に示すものであるとする。   The evaluation parameter is appropriately set based on the content of the semi-identifier, the value of the semi-identifier, the usage destination of the target data, and the like. For example, assume that the personal information is as shown in FIG.

図8の例では、準識別子である、年齢、性別、診療年月、傷病は、外部の別のデータでも使用されている可能性があり、このうち、年齢及び性別は、傷病よりも別のデータに存在する可能性が高いと考えられる。従って、対象データにおける特定の識別子が傷病の場合は、特定の識別子が年齢及び性別の場合に比べて、個人が特定される可能性は低くなるので、評価パラメータrの値も小さく設定される。   In the example of FIG. 8, the quasi-identifiers such as age, sex, date of medical care, and injury and illness may be used in other external data. Of these, age and gender are different from those of injury and illness. It is likely that it exists in the data. Therefore, when the specific identifier in the target data is sick or sick, the possibility that an individual is specified is lower than when the specific identifier is age and gender, so the value of the evaluation parameter r is also set small.

また、対象データデータにおける特定の識別子が傷病である場合において、心臓病は、風邪よりも別のデータに存在する可能性が低いと考える。従って、対象データにおける特定の識別子が傷病である場合であっても、風邪のレコード数が比較的多い場合は、評価パラメータrの値は大きく設定され、風邪のレコード数が比較的少ない場合は、評価パラメータrの値は小さく設定される。   Further, when the specific identifier in the target data data is a sickness, it is considered that the heart disease is less likely to exist in other data than the common cold. Therefore, even when the specific identifier in the target data is sick and sick, if the number of cold records is relatively large, the value of the evaluation parameter r is set large, and if the number of cold records is relatively small, The value of the evaluation parameter r is set small.

また、個人特定リスク評価部12は、下記の数2に示す式によって、個人特定リスクfを算出することもできる。   In addition, the individual identification risk evaluation unit 12 can also calculate the individual identification risk f by the following equation (2).

(数2)
f=k×R (Equation 2)
f = k × R

上記数2において、kは、数1と同様に、個人識別リスク評価部11によって算出された個人識別リスクである。Rは、共有率である。共有率は、対象となる識別子を攻撃者がどのくらいの確率で事前知識として知っているかの可能性を示しており、0以上1以下の範囲で設定される。例えば、識別子が性別のみの場合は、知られやすいので0.9に設定され、年齢のみの場合は0.7に設定される。また、識別子が年齢と性別との組み合わせの場合は、多少知られにくくなるので、例えば、0.5に設定される。   In the above formula 2, k is the personal identification risk calculated by the personal identification risk evaluation unit 11 as in the case of the formula 1. R is a sharing rate. The sharing rate indicates the probability that the attacker knows the target identifier as prior knowledge, and is set in the range of 0 to 1. For example, when the identifier is only gender, it is easily known, so it is set to 0.9, and when it is only age, it is set to 0.7. Also, when the identifier is a combination of age and gender, it is somewhat difficult to know, so it is set to 0.5, for example.

[ステップA4:有用性評価処理]
次に、図9を用いて、有用性評価部13による有用性の評価処理について説明する。図9は、本発明の実施の形態で行なわれた有用性の評価の一例を示す図である。図9において、横軸は、k匿名化処理におけるkの値を示し、縦軸は、k匿名化処理の前後におけるレコードの減少率を示している。 [Step A4: Usability Evaluation Processing]
Next, usability evaluation processing by the usability evaluation unit 13 will be described with reference to FIG. FIG. 9 is a diagram showing an example of the usability evaluation performed in the embodiment of the present invention. In FIG. 9, the horizontal axis indicates the value of k in the k anonymization process, and the vertical axis indicates the record reduction rate before and after the k anonymization process.

図9に示すように、有用性評価部13は、対象データのレコード数と、対象データに対してk匿名化処理が行なわれた場合の対象データのレコード数とを用いて、有用性を評価している。具体的には、有用性評価部13は、kの値を変えて、対象データの匿名化前のレコード数に対する、k匿名化後のレコード数の割合(減少率)を算出し、算出結果をグラフ化する。   As illustrated in FIG. 9, the usability evaluation unit 13 evaluates usability using the number of records of the target data and the number of records of the target data when k anonymization processing is performed on the target data. doing. Specifically, the usefulness evaluation unit 13 changes the value of k, calculates the ratio (decrease rate) of the number of records after anonymization to the number of records before anonymization of the target data, and calculates the calculation result. Graph.

このように、図9に示すグラフによれば、評価者は、k匿名化処理によってどの程度のレコードが削除されるのかを視覚で把握することができる。この結果、評価者は、k匿名化後の評価対象データの有用性を把握できる。   Thus, according to the graph shown in FIG. 9, the evaluator can visually grasp how many records are deleted by the k anonymization process. As a result, the evaluator can grasp the usefulness of the evaluation target data after k anonymization.

[実施の形態における効果]
以上のように、本実施の形態よれば、個人特定リスク、個人識別リスク、有用性を評価するツールを提供でき、リスクと有用性とのバランスのとれたガイドライン策定に貢献することが可能となる。 [Effects of the embodiment]
As described above, according to this embodiment, it is possible to provide a tool for evaluating individual identification risk, individual identification risk, and usefulness, and it is possible to contribute to the formulation of a guideline that balances risk and usefulness. .

[プログラム]
本実施の形態におけるプログラムは、コンピュータに、図3に示すステップA1〜A5を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における評価装置10と評価方法とを実現することができる。この場合、コンピュータのCPU(Central Processing Unit)は、個人識別リスク評価部11、個人特定リスク評価部12、有用性評価部13、データ取得部14、及びデータ出力部15として機能し、処理を行なう。 [program]
The program in the present embodiment may be a program that causes a computer to execute steps A1 to A5 shown in FIG. By installing and executing this program on a computer, the evaluation apparatus 10 and the evaluation method in the present embodiment can be realized. In this case, a central processing unit (CPU) of the computer functions as the individual identification risk evaluation unit 11, the individual identification risk evaluation unit 12, the usability evaluation unit 13, the data acquisition unit 14, and the data output unit 15, and performs processing. .

また、本実施の形態におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されても良い。この場合は、例えば、各コンピュータが、それぞれ、個人識別リスク評価部11、個人特定リスク評価部12、有用性評価部13、データ取得部14、及びデータ出力部15のいずれかとして機能しても良い。   The program in the present embodiment may be executed by a computer system constructed by a plurality of computers. In this case, for example, each computer may function as any one of the individual identification risk evaluation unit 11, the individual identification risk evaluation unit 12, the usability evaluation unit 13, the data acquisition unit 14, and the data output unit 15, respectively. good.

ここで、本実施の形態におけるプログラムを実行することによって、評価装置10を実現するコンピュータについて図10を用いて説明する。図10は、本発明の実施の形態における評価装置を実現するコンピュータの一例を示すブロック図である。   Here, a computer that implements the evaluation apparatus 10 by executing the program according to the present embodiment will be described with reference to FIG. FIG. 10 is a block diagram illustrating an example of a computer that implements the evaluation device according to the embodiment of the present invention.

図10に示すように、コンピュータ110は、CPU111と、メインメモリ112と、記憶装置113と、入力インターフェイス114と、表示コントローラ115と、データリーダ/ライタ116と、通信インターフェイス117とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。   As shown in FIG. 10, the computer 110 includes a CPU 111, a main memory 112, a storage device 113, an input interface 114, a display controller 115, a data reader / writer 116, and a communication interface 117. These units are connected to each other via a bus 121 so that data communication is possible.

CPU111は、記憶装置113に格納された、本実施の形態におけるプログラム(コード)をメインメモリ112に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ112は、典型的には、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置である。また、本実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通するものであっても良い。   The CPU 111 performs various calculations by developing the program (code) in the present embodiment stored in the storage device 113 in the main memory 112 and executing them in a predetermined order. The main memory 112 is typically a volatile storage device such as a DRAM (Dynamic Random Access Memory). Further, the program in the present embodiment is provided in a state of being stored in a computer-readable recording medium 120. Note that the program in the present embodiment may be distributed on the Internet connected via the communication interface 117.

また、記憶装置113の具体例としては、ハードディスクドライブの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。   Specific examples of the storage device 113 include a hard disk drive and a semiconductor storage device such as a flash memory. The input interface 114 mediates data transmission between the CPU 111 and an input device 118 such as a keyboard and a mouse. The display controller 115 is connected to the display device 119 and controls display on the display device 119.

データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インターフェイス117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。   The data reader / writer 116 mediates data transmission between the CPU 111 and the recording medium 120, and reads a program from the recording medium 120 and writes a processing result in the computer 110 to the recording medium 120. The communication interface 117 mediates data transmission between the CPU 111 and another computer.

また、記録媒体120の具体例としては、CF(Compact Flash(登録商標))及びSD(Secure Digital)等の汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)等の磁気記憶媒体、又はCD−ROM(Compact Disk Read Only Memory)などの光学記憶媒体が挙げられる。   Specific examples of the recording medium 120 include general-purpose semiconductor storage devices such as CF (Compact Flash (registered trademark)) and SD (Secure Digital), magnetic storage media such as a flexible disk, or CD- An optical storage medium such as ROM (Compact Disk Read Only Memory) can be used.

また、本実施の形態における評価装置10は、プログラムがインストールされたコンピュータではなく、各部に対応したハードウェアを用いることによっても実現可能である。更に、評価装置10は、一部がプログラムで実現され、残りの部分がハードウェアで実現されていてもよい。   Moreover, the evaluation apparatus 10 according to the present embodiment can be realized by using hardware corresponding to each unit instead of a computer in which a program is installed. Further, part of the evaluation device 10 may be realized by a program, and the remaining part may be realized by hardware.

以上のように、本発明によれば、k匿名化処理を行なったデータに対する評価を行なうことができる。本発明は、個人情報の匿名化求められる種々の分野において有用である。   As described above, according to the present invention, it is possible to evaluate data subjected to k anonymization processing. The present invention is useful in various fields where anonymization of personal information is required.

10 評価装置
11 個人識別リスク評価部
12 個人特定リスク評価部
13 有用性評価部
14 データ取得部
15 データ出力部
20 データベース
30 端末装置
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス DESCRIPTION OF SYMBOLS 10 Evaluation apparatus 11 Individual identification risk evaluation part 12 Individual specific risk evaluation part 13 Usability evaluation part 14 Data acquisition part 15 Data output part 20 Database 30 Terminal apparatus 110 Computer 111 CPU
112 Main Memory 113 Storage Device 114 Input Interface 115 Display Controller 116 Data Reader / Writer 117 Communication Interface 118 Input Device 119 Display Device 120 Recording Medium 121 Bus

Claims (12)

複数の個人から取得された個人情報を含むデータを対象データとして評価を行なう評価装置であって、
前記対象データから前記個人情報の取得元の個人の存在が把握される可能性を、個人識別リスクとして評価する、個人識別リスク評価部と、
前記対象データから前記個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する、個人特定リスク評価部と、
前記対象データに対して匿名化処理が行なわれた場合の有用性を評価する、有用性評価部と、
を備えていることを特徴とする評価装置。 An evaluation apparatus that evaluates data including personal information acquired from a plurality of individuals as target data,
A personal identification risk evaluation unit that evaluates, as a personal identification risk, the possibility of grasping the presence of the individual from which the personal information is acquired from the target data;
A personal identification risk evaluation unit that evaluates the possibility of identifying the individual from which the personal information is obtained from the target data as a personal identification risk;
A usefulness evaluation unit that evaluates the usefulness when anonymization processing is performed on the target data;
An evaluation apparatus comprising: 前記個人識別リスク評価部は、前記個人情報を構成する準識別子の値が一致するレコードの個数を算出し、算出した個数から、前記対象データに対してk匿名化処理を実行した場合のk人に識別される人数を求めることによって、前記個人識別リスクを評価する、
請求項1に記載の評価装置。 The personal identification risk evaluation unit calculates the number of records with the same quasi-identifier value constituting the personal information, and k persons when k anonymization processing is executed on the target data from the calculated number Assessing the personal identification risk by determining the number of persons identified in
The evaluation apparatus according to claim 1. 個人特定リスク評価部は、前記個人識別リスクと、前記準識別子毎に予め設定された、当該準識別子から個人が特定される危険性を示す係数とに基づいて、前記個人特定リスクを評価する、
請求項2に記載の評価装置。 The personal identification risk evaluation unit evaluates the personal identification risk based on the personal identification risk and a coefficient indicating a risk of identifying an individual from the quasi-identifier preset for each quasi-identifier,
The evaluation apparatus according to claim 2. 有用性評価部は、前記対象データのレコード数と、前記対象データに対して匿名化処理が行なわれた場合の前記対象データのレコード数とを用いて、前記有用性を評価する、
請求項1〜3のいずれかに記載の評価装置。 The usability evaluation unit evaluates the usability by using the number of records of the target data and the number of records of the target data when anonymization processing is performed on the target data.
The evaluation apparatus in any one of Claims 1-3. 複数の個人から取得された個人情報を含むデータを対象データとして評価を行なう評価方法であって、
(a)前記対象データから前記個人情報の取得元の個人の存在が把握される可能性を、個人識別リスクとして評価する、ステップと、
(b)前記対象データから前記個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する、ステップと、
(C)前記対象データに対して匿名化処理が行なわれた場合の有用性を評価する、ステップと、
を有することを特徴とする評価方法。 An evaluation method for evaluating data including personal information acquired from a plurality of individuals as target data,
(A) evaluating the possibility of grasping the presence of an individual from which the personal information is obtained from the target data as a personal identification risk;
(B) evaluating a possibility that an individual from which the personal information is obtained from the target data is identified as a personal identification risk;
(C) evaluating the usefulness when anonymization processing is performed on the target data; and
The evaluation method characterized by having. 前記(a)のステップにおいて、前記個人情報を構成する準識別子の値が一致するレコードの個数を算出し、算出した個数から、前記対象データに対してk匿名化処理を実行した場合のk人に識別される人数を求めることによって、前記個人識別リスクを評価する、
請求項5に記載の評価方法。 In the step (a), the number of records having the same quasi-identifier value constituting the personal information is calculated, and k persons when k anonymization processing is executed on the target data from the calculated number Assessing the personal identification risk by determining the number of persons identified in
The evaluation method according to claim 5. 前記(b)のステップにおいて、前記個人識別リスクと、前記準識別子毎に予め設定された、当該準識別子から個人が特定される危険性を示す係数とに基づいて、前記個人特定リスクを評価する、
請求項6に記載の評価方法。 In the step (b), the individual identification risk is evaluated based on the individual identification risk and a coefficient indicating a risk of identifying an individual from the quasi-identifier preset for each quasi-identifier. ,
The evaluation method according to claim 6. 前記(c)のステップにおいて、前記対象データのレコード数と、前記対象データに対して匿名化処理が行なわれた場合の前記対象データのレコード数とを用いて、前記有用性を評価する、
請求項5〜7のいずれかに記載の評価方法。 In the step (c), the usefulness is evaluated using the number of records of the target data and the number of records of the target data when anonymization processing is performed on the target data.
The evaluation method according to claim 5. コンピュータによって、複数の個人から取得された個人情報を含むデータを対象データとして評価を行なうためのプログラムであって、
前記コンピュータに、
(a)前記対象データから前記個人情報の取得元の個人の存在が把握される可能性を、個人識別リスクとして評価する、ステップと、
(b)前記対象データから前記個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する、ステップと、
(C)前記対象データに対して匿名化処理が行なわれた場合の有用性を評価する、ステップと、
を実行させる、プログラム。 A program for evaluating, as target data, data including personal information acquired from a plurality of individuals by a computer,
In the computer,
(A) evaluating the possibility of grasping the presence of an individual from which the personal information is obtained from the target data as a personal identification risk;
(B) evaluating a possibility that an individual from which the personal information is obtained from the target data is identified as a personal identification risk;
(C) evaluating the usefulness when anonymization processing is performed on the target data; and
A program that executes 前記(a)のステップにおいて、前記個人情報を構成する準識別子の値が一致するレコードの個数を算出し、算出した個数から、前記対象データに対してk匿名化処理を実行した場合のk人に識別される人数を求めることによって、前記個人識別リスクを評価する、
請求項9に記載のプログラム。 In the step (a), the number of records having the same quasi-identifier value constituting the personal information is calculated, and k persons when k anonymization processing is executed on the target data from the calculated number Assessing the personal identification risk by determining the number of persons identified in
The program according to claim 9. 前記(b)のステップにおいて、前記個人識別リスクと、前記準識別子毎に予め設定された、当該準識別子から個人が特定される危険性を示す係数とに基づいて、前記個人特定リスクを評価する、
請求項10に記載のプログラム。 In the step (b), the individual identification risk is evaluated based on the individual identification risk and a coefficient indicating a risk of identifying an individual from the quasi-identifier preset for each quasi-identifier. ,
The program according to claim 10. 前記(c)のステップにおいて、前記対象データのレコード数と、前記対象データに対して匿名化処理が行なわれた場合の前記対象データのレコード数とを用いて、前記有用性を評価する、
請求項9〜11のいずれかに記載のプログラム。 In the step (c), the usefulness is evaluated using the number of records of the target data and the number of records of the target data when anonymization processing is performed on the target data.
The program according to any one of claims 9 to 11.
JP2016126008A 2016-06-24 2016-06-24 Evaluation device, evaluation method and program Active JP6711519B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016126008A JP6711519B2 (en) 2016-06-24 2016-06-24 Evaluation device, evaluation method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016126008A JP6711519B2 (en) 2016-06-24 2016-06-24 Evaluation device, evaluation method and program

Publications (2)

Publication Number Publication Date
JP2017228255A true JP2017228255A (en) 2017-12-28
JP6711519B2 JP6711519B2 (en) 2020-06-17

Family

ID=60889290

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016126008A Active JP6711519B2 (en) 2016-06-24 2016-06-24 Evaluation device, evaluation method and program

Country Status (1)

Country Link
JP (1) JP6711519B2 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110516967A (en) * 2019-08-28 2019-11-29 腾讯科技(深圳)有限公司 A kind of method and relevant apparatus of information evaluation
JP2019211899A (en) * 2018-06-01 2019-12-12 日本電気株式会社 Processing apparatus, processing method and program
KR20200122195A (en) * 2019-04-17 2020-10-27 연세대학교 산학협력단 Method and Apparatus for Measuring Quality of De-identified Data for Unstructured Transaction
DE112020005679T5 (en) 2020-01-14 2022-09-29 Mitsubishi Electric Corporation ANONYMOUS PROCESSING EVALUATION SYSTEM, ANONYMOUS PROCESSING EVALUATION PROCEDURE AND ANONYMOUS PROCESSING EVALUATION PROGRAM
WO2023073841A1 (en) * 2021-10-27 2023-05-04 株式会社日立製作所 Data value evaluation system and data value evaluation method

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014229039A (en) * 2013-05-22 2014-12-08 株式会社日立製作所 Privacy protection type data provision system
WO2016067566A1 (en) * 2014-10-29 2016-05-06 日本電気株式会社 Information processing device, information processing method, and recording medium

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014229039A (en) * 2013-05-22 2014-12-08 株式会社日立製作所 Privacy protection type data provision system
WO2016067566A1 (en) * 2014-10-29 2016-05-06 日本電気株式会社 Information processing device, information processing method, and recording medium

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
菊池 浩明: "匿名加工・再識別コンテストIce&Fireの設計", コンピュータセキュリティシンポジウム2015 論文集, vol. 2015, no. 3, JPN6020004171, 14 October 2015 (2015-10-14), JP, pages 363 - 370, ISSN: 0004208183 *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019211899A (en) * 2018-06-01 2019-12-12 日本電気株式会社 Processing apparatus, processing method and program
JP7070994B2 (en) 2018-06-01 2022-05-18 日本電気株式会社 Processing equipment, processing methods and programs
KR20200122195A (en) * 2019-04-17 2020-10-27 연세대학교 산학협력단 Method and Apparatus for Measuring Quality of De-identified Data for Unstructured Transaction
KR102218374B1 (en) * 2019-04-17 2021-02-19 연세대학교 산학협력단 Method and Apparatus for Measuring Quality of De-identified Data for Unstructured Transaction
CN110516967A (en) * 2019-08-28 2019-11-29 腾讯科技(深圳)有限公司 A kind of method and relevant apparatus of information evaluation
CN110516967B (en) * 2019-08-28 2024-05-10 腾讯科技(深圳)有限公司 Information evaluation method and related device
DE112020005679T5 (en) 2020-01-14 2022-09-29 Mitsubishi Electric Corporation ANONYMOUS PROCESSING EVALUATION SYSTEM, ANONYMOUS PROCESSING EVALUATION PROCEDURE AND ANONYMOUS PROCESSING EVALUATION PROGRAM
WO2023073841A1 (en) * 2021-10-27 2023-05-04 株式会社日立製作所 Data value evaluation system and data value evaluation method
WO2023074465A1 (en) * 2021-10-27 2023-05-04 株式会社日立製作所 Data value evaluation system and data value evaluation method

Also Published As

Publication number Publication date
JP6711519B2 (en) 2020-06-17

Similar Documents

Publication Publication Date Title
JP6007969B2 (en) Anonymization device and anonymization method
US9230132B2 (en) Anonymization for data having a relational part and sequential part
JP6711519B2 (en) Evaluation device, evaluation method and program
JP6597066B2 (en) Personal information anonymization method, program, and information processing apparatus
US20180012039A1 (en) Anonymization processing device, anonymization processing method, and program
US20140317758A1 (en) Focused personal identifying information redaction
CA2913647C (en) Method of re-identification risk measurement and suppression on a longitudinal dataset
KR102345142B1 (en) De-identification Method for Personal Information Protecting and Equipment Thereof
EP3040900B1 (en) Data securing device, data securing program, and data securing method
JP7151759B2 (en) Information processing device, information processing method, and program
JP2013200659A (en) Attribute selection device, information anonymity device, attribute selection method, information anonymity method, attribute selection program, and information anonymity program
US11238960B2 (en) Determining journalist risk of a dataset using population equivalence class distribution estimation
JP7154884B2 (en) Information anonymization method, information anonymization program, information anonymization device, and information providing system
JP6747438B2 (en) Information processing apparatus, information processing method, and program
JP2019211899A (en) Processing apparatus, processing method and program
JP6610334B2 (en) Leakage risk providing apparatus, leakage risk providing method, and leakage risk providing program
JP6879107B2 (en) Anonymity evaluation device, anonymity evaluation method and anonymity evaluation program
WO2016021039A1 (en) k-ANONYMIZATION PROCESSING SYSTEM AND k-ANONYMIZATION PROCESSING METHOD
WO2013190810A1 (en) Information processing device and information anonymizing method
JP2015170040A (en) information processing apparatus, information processing method and program
JP5875535B2 (en) Anonymization device, anonymization method, program
JP5875536B2 (en) Anonymization device, anonymization method, program
Vinodhini et al. A Recommendation System Based on AI for Storing Block Data in the Electronic Health Repository
US20240202623A1 (en) Human digital twinning method and system of emotional regulation for emotional labor in workplaces using multi-modal sensor data
JP5639094B2 (en) Database disturbance parameter determination apparatus, database disturbance system and method, and database disturbance apparatus

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190306

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200129

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200212

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200330

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200428

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200521

R150 Certificate of patent or registration of utility model

Ref document number: 6711519

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150