特許ウォッチ

公開番号2024099379
公報種別公開特許公報(A)
公開日2024-07-25
出願番号2023003286
出願日2023-01-12
発明の名称データ管理装置、方法、及びプログラム
出願人日本電信電話株式会社,国立大学法人群馬大学
代理人個人,個人,個人
主分類G06F 21/62 20130101AFI20240718BHJP(計算;計数)
要約【課題】複数の匿名化データを連結したデータの有用性悪化を低減するデータ管理装置等を提供する。
【解決手段】データ管理装置は、仮名化部、非識別化部、置換部及び連結部を備える。仮名化部は、他のデータ管理装置との間の協調計算により、識別子の値を仮名に置き換える。非識別化部は、1つ以上の属性の値を非識別化する。置換部は、非識別化後の垂直分割データを構成する各レコードをランダムに置換した仮名付き非識別化データを作成する。連結部は、他のデータ管理装置で作成された仮名付き非識別化データと、自身が作成した仮名付き非識別化データとを共通する仮名により連結した連結データを作成する。また、非識別化部は、与えられたプライバシ保護強度(ε,δ)の下でシャッフルモデルの性質を満たす(ε₀,δ₀)をプライバシ保護強度とする局所差分プライバシにより、垂直分割データを構成するレコード毎に、1つ以上の属性の値を非識別化する。
【選択図】図3
特許請求の範囲【請求項１】
１つの識別子と１つ以上の属性とを持つレコードで構成される垂直分割データを連結した連結データを作成するデータ管理装置であって、
他のデータ管理装置との間の協調計算により、前記識別子の値を仮名に置き換えるように構成されている仮名化部と、
前記１つ以上の属性の値を非識別化するように構成されている非識別化部と、
前記非識別化後の垂直分割データを構成する各レコードをランダムに置換した仮名付き非識別化データを作成するように構成されている置換部と、
前記他のデータ管理装置で作成された仮名付き非識別化データと、自身が作成した仮名付き非識別化データとを共通する仮名により連結した連結データを作成するように構成されている連結部と、を有し、
前記非識別化部は、
与えられたプライバシ保護強度（ε，δ）の下でシャッフルモデルの性質を満たす（ε
０
，δ
０
）をプライバシ保護強度とする局所差分プライバシにより、前記垂直分割データを構成するレコード毎に、前記１つ以上の属性の値を非識別化するように構成されている、データ管理装置。
続きを表示（約 2,000 文字）【請求項２】
前記非識別化部は、
前記垂直分割データに含まれるｉ番目のレコードをｘ
ｉ
、ｉ番目のレコードｘ
ｉ
に含まれる属性の値から前記仮名を除いたデータをｘ
ｉ
'、前記垂直分割データに含まれるレコード数をｍ、（ε
０
，δ
０
）をプライバシ保護強度とする局所差分プライバシを満たすメカニズムをＭ
（ｉ）
としたとき、Ｍ
（１）
（ｘ
１
'），・・・，Ｍ
（ｍ）
（ｘ
ｍ
'）により前記１つ以上の属性の値を非識別化するように構成されており、
前記置換部は、
｛１，・・・，ｍ｝をランダムに置換する置換関数をπ、ｉ番目のレコードに含まれる仮名をｃ
０
'（ｉ）としたとき、（（ｃ
０
'（π（１）），Ｍ
（π（１））
（ｘ
π（１）
'）），・・・，（ｃ
０
'（π（ｍ）），Ｍ
（π（ｍ））
（ｘ
π（ｍ）
'）））
τ
により前記仮名付き非識別化データを作成するように構成されている、請求項１に記載のデータ管理装置。
【請求項３】
前記シャッフルモデルの性質は、ε＝ｌｎ（１＋（（ｅ＾ε
０
－１）／（ｅ＾ε
０
＋１））（（８√（ｅ＾ε
０
ｌｎ（４／δ））／√ｍ）＋（８ｅ＾ε
０
）／ｍ））、δ＝δ'＋（ｅ＾ε＋１）（１＋ｅ＾（－ε
０
）／２）ｍδ
０
（ただし、δ'∈［０，１］はε
０
≦ｌｎ（ｍ／（１６ｌｎ（２／δ'）））を満たす。）である、請求項２に記載のデータ管理装置。
【請求項４】
前記連結データ、又は、前記連結データの統計量から、データ合成手法によって前記連結データの統計的性質を残すランダムな疑似データを生成するように構成されているデータ合成部を更に有する請求項１乃至３の何れか一項に記載のデータ管理装置。
【請求項５】
前記データ合成部は、
前記局所差分プライバシを実現するアルゴリズムに対応する統計量再構築手法により前記連結データの統計量の事後分布を推定して前記統計量を算出し、前記統計量から前記疑似データを生成するように構成されている、請求項４に記載のデータ管理装置。
【請求項６】
１つの識別子と１つ以上の属性とを持つレコードで構成される垂直分割データを連結した連結データを作成するデータ管理装置が、
他のデータ管理装置との間の協調計算により、前記識別子の値を仮名に置き換える仮名化手順と、
前記１つ以上の属性の値を非識別化する非識別化手順と、
前記非識別化後の垂直分割データを構成する各レコードをランダムに置換した仮名付き非識別化データを作成する置換手順と、
前記他のデータ管理装置で作成された仮名付き非識別化データと、自身が作成した仮名付き非識別化データとを共通する仮名により連結した連結データを作成する連結手順と、を実行し、
前記非識別化手順は、
与えられたプライバシ保護強度（ε，δ）の下でシャッフルモデルの性質を満たす（ε
０
，δ
０
）をプライバシ保護強度とする局所差分プライバシにより、前記垂直分割データを構成するレコード毎に、前記１つ以上の属性の値を非識別化する、データ管理方法。
【請求項７】
１つの識別子と１つ以上の属性とを持つレコードで構成される垂直分割データを連結した連結データを作成するデータ管理装置に、
他のデータ管理装置との間の協調計算により、前記識別子の値を仮名に置き換える仮名化手順と、
前記１つ以上の属性の値を非識別化する非識別化手順と、
前記非識別化後の垂直分割データを構成する各レコードをランダムに置換した仮名付き非識別化データを作成する置換手順と、
前記他のデータ管理装置で作成された仮名付き非識別化データと、自身が作成した仮名付き非識別化データとを共通する仮名により連結した連結データを作成する連結手順と、を実行させ、
前記非識別化手順は、
与えられたプライバシ保護強度（ε，δ）の下でシャッフルモデルの性質を満たす（ε
０
，δ
０
）をプライバシ保護強度とする局所差分プライバシにより、前記垂直分割データを構成するレコード毎に、前記１つ以上の属性の値を非識別化する、プログラム。

発明の詳細な説明【技術分野】
【０００１】
本開示は、データ管理装置、方法、及びプログラムに関する。
続きを表示（約 1,900 文字）【背景技術】
【０００２】
データ収集デバイスの多様化やＡＩ（Artificial Intelligence）の進化等に伴い、社会課題の解決やサービスの質向上等に資する手段としてパーソナルデータの利活用が注目を集めている。一方で、データ提供者となる個人のプライバシ意識も高まっており、パーソナルデータの利活用には、倫理、法規制、運用管理、技術等といった様々な観点を踏まえた適切な対応が強く求められる。特に、組織間で同一個人のデータを連結して組織横断的に利活用する場合は、新たな価値創造が期待できる反面、データ連結と匿名性のトレードオフ問題が生じる。すなわち、ある組織がパーソナルデータを匿名化して別の組織に提供する場合、一般に同一個人のデータ連結に用いることができる識別子が匿名性を損ねてしまう。この問題は、垂直分割データの協調匿名化問題として知られている。なお、識別子とは、データを一意に識別可能な情報のことである。
【０００３】
垂直分割データの協調匿名化問題を解決する従来技術として、各組織が保有する識別子の仮名化とその他の属性データの非識別化に加え、セキュアマルチパーティ計算又はＰｋ－匿名化を適用する垂直分割データ連結プロトコルが提案されている（非特許文献１）。
【先行技術文献】
【非特許文献】
【０００４】
千田浩司, 紀伊真昇, 市川敦謙, 野澤一真, 長谷川慶太, 堂面拓也, 中川智尋, 青野博, 寺田雅之: パーソナルデータの等結合に適した匿名化技術の考案, SCIS2022, 1F3-2 (2022).
【発明の概要】
【発明が解決しようとする課題】
【０００５】
しかしながら、一般に属性数が多いほど強い非識別化（データのランダム化）が必要となるため、従来技術では、連結データの有用性が著しく悪化してしまうという問題がある。
【０００６】
本開示は、上記の点に鑑みてなされたもので、複数の匿名化データを連結したデータの有用性悪化を低減する技術を提供する。
【課題を解決するための手段】
【０００７】
本開示の一態様によるデータ管理装置は、１つの識別子と１つ以上の属性とを持つレコードで構成される垂直分割データを連結した連結データを作成するデータ管理装置であって、他のデータ管理装置との間の協調計算により、前記識別子の値を仮名に置き換えるように構成されている仮名化部と、前記１つ以上の属性の値を非識別化するように構成されている非識別化部と、前記非識別化後の垂直分割データを構成する各レコードをランダムに置換した仮名付き非識別化データを作成するように構成されている置換部と、前記他のデータ管理装置で作成された仮名付き非識別化データと、自身が作成した仮名付き非識別化データとを共通する仮名により連結した連結データを作成するように構成されている連結部と、を有し、前記非識別化部は、与えられたプライバシ保護強度（ε，δ）の下でシャッフルモデルの性質を満たす（ε
０
，δ
０
）をプライバシ保護強度とする局所差分プライバシにより、前記垂直分割データを構成するレコード毎に、前記１つ以上の属性の値を非識別化するように構成されている。
【発明の効果】
【０００８】
複数の匿名化データを連結したデータの有用性悪化を低減する技術が提供される。
【図面の簡単な説明】
【０００９】
本実施形態に係るデータ管理装置が含まれるシステムの全体構成の一例を示す図である。
本実施形態に係るデータ管理装置のハードウェア構成の一例を示す図である。
本実施形態に係るデータ管理装置の機能構成の一例を示す図である。
本実施形態に係るデータ管理装置が実行する処理の流れの一例を示すフローチャートである。
【発明を実施するための形態】
【００１０】
以下、本発明の一実施形態について説明する。以下の実施形態では、垂直分割データをそれぞれ保持・管理する複数のデータ管理装置１０で垂直分割データ連結プロトコルにより連結データを作成する際に、シャッフルモデルに基づく局所差分プライバシにより非識別化することで、連結データの有用性悪化を低減する手法について説明する。また、データ管理装置１０で連結データ又はその統計量からデータ合成により疑似データを生成する手法についても説明する。なお、連結は「結合」や「名寄せ」等と呼ばれることもある。
（【００１１】以降は省略されています）

関連特許