特許ウォッチ

公開番号2025140305
公報種別公開特許公報(A)
公開日2025-09-29
出願番号2024039625
出願日2024-03-14
発明の名称システム、システムが実行する方法、プログラム
出願人株式会社日立製作所
代理人弁理士法人ウィルフォート国際特許事務所
主分類G06F 21/60 20130101AFI20250919BHJP(計算;計数)
要約【課題】機微情報の値が類推(再特定)される可能性が低減されるように、機微情報が秘匿化されつつ、情報の分析も行われることを、目的の1つとしてよい。
【解決手段】信頼される実行環境部102(TEE部)は、仮名化処理部123とTEE内確率的暗号化処理部124を有する。仮名化処理部123は、機微情報161を仮名情報163に変換する。TEE内確率的暗号化処理部124は、乱数164と仮名情報163を組み合わせたものに対して暗号化処理を行って、セキュアな機微情報165を生成する。データ分析プラットフォーム部103(DAP部)は、DAP内確率的暗号化解除部132とデータ分析部133を有する。DAP内確率的暗号化解除部132は、セキュアな機微情報165に対して復号化処理を行って、仮名情報163を生成する。データ分析部133は、仮名情報163と、機微情報以外の情報162の部分の一方または両方を用いて、分析を行う。
【選択図】図1
特許請求の範囲【請求項１】
システムであって、
前記システムは、信頼される実行環境部と、データ分析プラットフォーム部を有し、
前記信頼される実行環境部は、仮名化処理部と、信頼される実行環境内確率的暗号化処理部を有し、
前記仮名化処理部は、機微情報の部分と、前記機微情報以外の情報の部分を含むデータにおける前記機微情報を、当該機微情報に対応付けられる仮名情報に変換するものであり、
前記信頼される実行環境内確率的暗号化処理部は、乱数と前記仮名情報を組み合わせたものに対して暗号化処理を行って、セキュアな機微情報を生成するものであり、
前記データ分析プラットフォーム部は、データ分析プラットフォーム内確率的暗号化解除部と、データ分析部を有し、
前記データ分析プラットフォーム内確率的暗号化解除部は、前記セキュアな機微情報に対して復号化処理を行って、前記仮名情報を生成するものであり、
前記データ分析部は、前記データ分析プラットフォーム内確率的暗号化解除部により生成された前記仮名情報と、前記機微情報以外の情報の部分の一方または両方を用いて、前記データに関する分析を行うものである、システム。
続きを表示（約 2,900 文字）【請求項２】
請求項１に記載されたシステムであって、
前記信頼される実行環境部は、更に、受信データ復号化処理部と、仮名化解除部と、送信データ暗号化処理部を有し、
前記受信データ復号化処理部は、前記機微情報の部分と、前記機微情報以外の情報の部分を含む前記データが暗号化されたものである受信データに対して、復号化処理を行うものであり、
前記仮名化処理部は、前記受信データ復号化処理部が復号化処理を行った結果である前記データにおける前記機微情報を、前記仮名情報に変換するものであり、
前記仮名化解除部は、前記データ分析部による前記データに関する分析の結果に関連する分析結果関連情報に対応付けられる前記仮名情報を、当該仮名情報に対応付けられる前記機微情報に変換するものであり、
前記送信データ暗号化処理部は、前記仮名化解除部が生成した前記機微情報と、前記分析結果関連情報に対して、暗号化処理を行うことにより、送信データを生成するものである、システム。
【請求項３】
請求項２に記載されたシステムであって、
前記信頼される実行環境部は、更に、信頼される実行環境内確率的暗号化解除部を有し、
前記データ分析プラットフォーム部は、更に、データ分析プラットフォーム内確率的暗号化処理部を有し、
前記データ分析プラットフォーム内確率的暗号化処理部は、乱数と、前記分析結果関連情報に対応付けられる前記仮名情報を組み合わせたものに対して暗号化処理を行って、前記分析結果関連情報に対応付けられるセキュアな機微情報を生成するものであり、
前記信頼される実行環境内確率的暗号化解除部は、前記分析結果関連情報に対応付けられる前記セキュアな機微情報に対して復号化処理を行って、前記分析結果関連情報に対応付けられる前記仮名情報を生成するものであり、
前記仮名化解除部は、前記信頼される実行環境内確率的暗号化解除部が生成した前記仮名情報を、当該仮名情報に対応付けられる前記機微情報に変換するものである、システム。
【請求項４】
請求項１に記載されたシステムであって、
前記システムは、更に、データベースを有し、
前記データベースは、前記信頼される実行環境内確率的暗号化処理部が生成した前記セキュアな機微情報を記録するものであり、
前記データ分析プラットフォーム内確率的暗号化解除部は、前記データベースに記録されている前記セキュアな機微情報に対して復号化処理を行うものである、システム。
【請求項５】
請求項４に記載されたシステムであって、
前記データ分析プラットフォーム部は、更に、データベース書き込み部を有し、
前記データベース書き込み部は、前記信頼される実行環境内確率的暗号化処理部が生成した前記セキュアな機微情報を、データベースに書き込むものである、システム。
【請求項６】
請求項３に記載されたシステムであって、
前記システムは、更に、データベースを有し、
前記データベースは、前記データ分析プラットフォーム内確率的暗号化処理部が生成した、前記分析結果関連情報に対応付けられる前記セキュアな機微情報を記録するものであり、
前記信頼される実行環境内確率的暗号化解除部は、前記データベースに記録されている、前記分析結果関連情報に対応付けられる前記セキュアな機微情報に対して、復号化処理を行うものである、システム。
【請求項７】
請求項６に記載されたシステムであって、
前記データ分析プラットフォーム部は、更に、データベース読み出し部を有し、
前記データベース読み出し部は、前記信頼される実行環境内確率的暗号化解除部が復号化処理を行う対象である、前記分析結果関連情報に対応付けられる前記セキュアな機微情報を、前記データベースから読み出すものである、システム。
【請求項８】
請求項２に記載されたシステムであって、
前記仮名化処理部は、前記機微情報の値の如何に関わらず共通の第1の鍵を用いて、前記機微情報を前記仮名情報に変換するものであり、
前記信頼される実行環境内確率的暗号化処理部は、前記機微情報の値の如何に関わらず共通の第2の鍵を用いて、前記乱数と前記仮名情報を組み合わせたものに対して暗号化処理を行って、前記セキュアな機微情報を生成するものであり、
前記データ分析プラットフォーム内確率的暗号化解除部は、前記第2の鍵を用いて、前記セキュアな機微情報に対して復号化処理を行って、前記仮名情報を生成するものであり、
前記仮名化解除部は、前記第1の鍵を用いて、前記仮名情報を前記機微情報に変換するものである、システム。
【請求項９】
請求項１に記載されたシステムであって、
前記システムは、更に、データベースと、データベース管理部を有し、
前記データベースは、前記機微情報以外の情報の部分に由来する情報と、前記セキュアな機微情報を記録するものであり、
前記データベース管理部は、ダッシュボード表示制御部を有し、
前記ダッシュボード表示制御部は、前記データベースに記録される情報または前記システムで取り扱われる情報に関するダッシュボードを表示するように制御するものであり、
前記ダッシュボードは、前記データベースに記録される情報または前記システムで取り扱われる情報を表示するか、前記データベースに記録される情報または前記システムで取り扱われる情報に関する追加、変更または削除に関する指示を受け付けるためのものであり、
前記ダッシュボード表示制御部は、前記ダッシュボードに、前記データに含まれる前記機微情報に代えて、前記セキュアな機微情報を表示するように制御するものである、システム。
【請求項１０】
請求項２に記載されたシステムであって、
前記システムは、更に、データ受信部と、データ送信部を有し、
前記データ受信部は、前記機微情報が示す個人、集団または組織のための外部システムから送信される暗号化されたデータを、前記受信データとして受信するものであり、
前記データ送信部は、前記外部システム、または、前記機微情報が示す個人、集団または組織のための業務を行う個人、集団または組織のためのリテーラー外部システムへ、前記送信データを送信するものであり、
前記受信データ復号化処理部は、前記受信データを送信した前記外部システムに対応付けられる鍵を用いて、前記受信データに対して復号化処理を行うものであり、
前記送信データ暗号化処理部は、前記送信データを送信する先の前記外部システムまたは前記リテーラー外部システムに対応付けられる鍵を用いて暗号化処理を行うことにより、前記送信データを生成するものである、システム。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
本開示は、個人、集団または組織を識別するための識別情報(例えばcustomer ID)を始めとする、第三者への漏洩を防止すべき機微情報(センシティブ情報)を秘匿しつつ、機微情報と関連付けられる情報の分析を行う技術に関するものである。
続きを表示（約 2,600 文字）【背景技術】
【０００２】
個人、集団または組織を識別するための識別情報(例えばcustomer ID)を始めとする、第三者への漏洩を防止すべき機微情報(センシティブ情報)と関連付けられる情報の分析が行われることがある。この情報の分析に際して、本来はアクセス権限を有さない第三者に、機微情報が漏洩しないようにすることは肝要である。機微情報が漏洩しないための対策として、例えば、機微情報を匿名化すること(anonymization)や仮名化すること(pseudonyzation)がありうる。
【０００３】
特許文献1は、機微情報を匿名化する先行技術を開示する。特許文献1は、複数のエンティティ(Entity)からのデータを用いて分析を行うセキュリティマネジメントシステム(Security Management System)を開示する。特許文献1のセキュリティマネジメントシステムは、エンティティのそれぞれに対応する個別の信頼される実行環境(Trusted Execution Environment(TEE))と、共通の(common)信頼される実行環境(TEE)を有する。個別の信頼される実行環境(TEE)は、当該信頼される実行環境(TEE)に対応するエンティティからのデータに対して匿名化処理(anonymize)を行う。共通の(common)信頼される実行環境(TEE)は、個別の信頼される実行環境(TEE)のそれぞれから得た匿名化処理済みのデータを用いて分析を行う。
【先行技術文献】
【特許文献】
【０００４】
米国特許出願公開第２０２３／００２２５３９号明細書
【発明の概要】
【発明が解決しようとする課題】
【０００５】
機微情報に匿名化処理または仮名化処理が為されて匿名化処理済みの機微情報または仮名化処理済みの機微情報とされるとしても、依然として、本来はアクセス権限を有さない第三者に、匿名化処理済みの機微情報または仮名化処理済みの機微情報に基づいて、機微情報の内容が特定される恐れがある。例えば、匿名化処理済みの機微情報または仮名化処理済みの機微情報と、機微情報以外の情報が関連付けられて記録される情報源(例えばテーブル)の1つまたは複数が参照されることにより、匿名化処理前または仮名化処理前の機微情報の値が推定される(再特定(re-identify)される)恐れがある。つまり、機微情報に匿名化処理または仮名化処理が為されるだけでは、機微情報が漏洩しないための対策として充分であるとは言い難い。
【０００６】
特許文献1に開示された先行技術は、エンティティからのデータに匿名化処理を行い、匿名化処理済みのデータを用いてデータ分析を行うものであるが、既に指摘されたように、匿名化処理前のデータ(このデータには機微情報も含みうる)の値が推定(再特定)される恐れがある。
尚、特許文献1に開示された先行技術は、データを提供するエンティティの数が増えるにつれ、個別の信頼される実行環境(TEE)の数と、匿名化処理に用いるパラメータの数も増えることになる。そのため、特許文献1に開示された先行技術は、エンティティの数が増えてくると、計算資源を多く費やすようになるとともに、管理上の負担も重くなるという面も有する。
【０００７】
以上を踏まえて、機微情報と関連付けられる情報の分析が行われるに際して、本来はアクセス権限を有さない第三者に機微情報の値が推定(再特定)される可能性が低減されるように、機微情報が秘匿化されつつ、情報の分析も行われることを、本開示の目的の１つとしてよい。
【課題を解決するための手段】
【０００８】
上記目的のうちの少なくとも1つを達成するために、本開示が備えうる特徴は、例えば次のとおりである。
本開示の1つは、システムである。システムは、信頼される実行環境部と、データ分析プラットフォーム部を有する。信頼される実行環境部は、仮名化処理部と、信頼される実行環境内確率的暗号化処理部を有する。仮名化処理部は、機微情報の部分と、機微情報以外の情報の部分を含むデータにおける機微情報を、当該機微情報に対応付けられる仮名情報に変換する。信頼される実行環境内確率的暗号化処理部は、乱数と仮名情報を組み合わせたものに対して暗号化処理を行って、セキュアな機微情報を生成する。データ分析プラットフォーム部は、データ分析プラットフォーム内確率的暗号化解除部と、データ分析部を有する。データ分析プラットフォーム内確率的暗号化解除部は、セキュアな機微情報に対して復号化処理を行って、仮名情報を生成する。データ分析部は、データ分析プラットフォーム内確率的暗号化解除部により生成された仮名情報と、機微情報以外の情報の部分の一方または両方を用いて、データに関する分析を行う。
【発明の効果】
【０００９】
上記のように、本開示は、信頼される実行環境部(TEE部)において、仮名化処理にて機微情報を仮名情報に変換した上で、乱数と仮名情報を組み合わせたものに対して暗号化処理を行ってセキュアな機微情報を生成する。(乱数を用いた暗号化処理が行われるため、ある種の確率的暗号化処理であると言える。)暗号化処理において乱数が用いられるため、仮名情報(機微情報)の値が同じであっても、暗号化処理の毎にセキュアな機微情報の値が異なるようにすることが出来る。つまり、セキュアな機微情報に基づいて、仮名化処理及び確率的暗号化処理が行われる前の機微情報の値を推定(再特定)することは極めて困難となる。そのため、セキュアな機微情報が、信頼される実行環境(TEE)部の外に置かれても、コンピュータセキュリティ上の脅威を受ける可能性は低い。
【００１０】
また、本開示は、データ分析プラットフォーム部(DAP部)において、セキュアな機微情報に対して復号化処理を行って仮名情報とした上で、当該仮名情報と、(機微情報と関連付けられる)機微情報以外の情報の部分の一方または両方を用いて分析を行う。機微情報の値と仮名情報の値は概ね1対1対応するので、機微情報の内容そのものが分からない状態でも、仮名情報を活用したデータ分析は可能である。
（【００１１】以降は省略されています）

関連特許