專利名稱:信息管理設(shè)備�����、信息管理方法和信息管理程序的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及管理機密數(shù)據(jù)(confidential data)的信息管理設(shè)備���、信息管理方法和信息管理程序����。
背景技術(shù):
近年來��,提出了用于安全地分發(fā)隱私信息的許多技術(shù)�。例如,作為這種技術(shù),例示了在專利文獻1至3中描述的技術(shù)��。在專利文獻1中����,提出了一種數(shù)據(jù)公開設(shè)備,其可以在提供隱私數(shù)據(jù)的方法中提供一個人的隱私數(shù)據(jù)����,同時防止該人被推斷出來����。該數(shù)據(jù)公開設(shè)備設(shè)有保留一項或多項數(shù)據(jù)的保留部件,每項數(shù)據(jù)具有一個或多個屬性�。匿名性計算部件計算當(dāng)數(shù)據(jù)的特定屬性被公開時的匿名性。等級改變公開部件當(dāng)計算出的匿名性不具有期望匿名性時改變特定屬性的數(shù)據(jù)的等級�,并且公開滿足上述期望閾值的匿名性的屬性的數(shù)據(jù)。通過使描述等級粗略����, 這種數(shù)據(jù)公開設(shè)備可以公開由于確保匿名性的困難而不能被公開的個體數(shù)據(jù)(individual data)ο在專利文獻2中公開了一種在外部安全地公開隱私數(shù)據(jù)的信息中介(mediating) 系統(tǒng)。該信息中介系統(tǒng)具有用戶終端�、信息提供商終端和中介服務(wù)器。中介服務(wù)器設(shè)有收集和存儲來自信息提供商終端的提供數(shù)據(jù)的部件���、累積信息提供商的屬性數(shù)據(jù)的部件���、以及保留提供數(shù)據(jù)的每項和屬性數(shù)據(jù)的每項的組合的公開條件的部件���。中介服務(wù)器可以根據(jù)公開條件公開該組合,并且當(dāng)該組合的公開不允許時����,通過利用偽數(shù)據(jù)(dummy data)重寫用于收集每一姓名的提供數(shù)據(jù)和屬性數(shù)據(jù)的數(shù)據(jù)來提供數(shù)據(jù)。這種信息中介系統(tǒng)可以通過詳細地為用戶定義提供數(shù)據(jù)的公開范圍來改變數(shù)據(jù)公開的方法����。在專利文獻3中,公開了一種成員(member)數(shù)據(jù)管理中心設(shè)備��,其中在保護成員的隱私的同時向每個成員提供適當(dāng)?shù)姆?wù)�����。該成員數(shù)據(jù)管理中心設(shè)備設(shè)有用于管理與個體成員ID相關(guān)的個體成員數(shù)據(jù)的多個個體成員信息數(shù)據(jù)庫����、以及用于管理與次級成員ID相關(guān)的次級成員數(shù)據(jù)的次級成員數(shù)據(jù)數(shù)據(jù)庫。成員數(shù)據(jù)管理中心設(shè)備從成員服務(wù)提供設(shè)備 (其中個體成員ID和次級成員ID相關(guān))接收個體成員ID和次級成員ID之間的對應(yīng)關(guān)系, 針對每一姓名對成員數(shù)據(jù)分組��,并且通過執(zhí)行處理以防止成員被唯一地推斷出來來生成抽象的個體成員數(shù)據(jù)�。而且��,成員數(shù)據(jù)管理中心設(shè)備生成基于姓名的分組成員數(shù)據(jù)(其包含次級成員ID和抽象的個體成員數(shù)據(jù))并將其存儲在次級成員數(shù)據(jù)數(shù)據(jù)庫中�,并且丟棄次級成員ID和個體成員ID之間的對應(yīng)關(guān)系��。在這種成員數(shù)據(jù)管理中心設(shè)備中����,每一成員的詳細成員數(shù)據(jù)的掌握是困難的(即使成員數(shù)據(jù)被原樣暴露),并且成員的隱私可被保持在恒定的水平����。引文列表[專利文獻 1] JP 2007-219636A[專利文獻 2] JP 2007-264730A[專利文獻 3] JP 2006-268337A
發(fā)明內(nèi)容
在根據(jù)專利文獻1的技術(shù)中,抽象�、細分、匿名化等等的處理是在以下假設(shè)下執(zhí)行的允許范圍中的所有數(shù)據(jù)都被查看����,即使用戶僅查看了數(shù)據(jù)的一部分。結(jié)果����,在專利文獻 1中�,存在數(shù)據(jù)的精度降低的問題����。在根據(jù)專利文獻2的技術(shù)中�����,存在以下問題用戶需要認識到偽數(shù)據(jù)被包含在數(shù)據(jù)中并且偽數(shù)據(jù)被排除用于分析��。在根據(jù)專利文獻3的技術(shù)中��,存在以下問題當(dāng)提供經(jīng)歷每一用戶不同的抽象處理的次級成員數(shù)據(jù)時����,可以通過按每一用戶對數(shù)據(jù)分組來指定個體成員。本發(fā)明的目的是提供一種信息管理設(shè)備,其可以提供在實際使用的范圍中滿足匿名性的機密數(shù)據(jù)。本發(fā)明的信息管理設(shè)備包括機密數(shù)據(jù)存儲部件�����,被配置為存儲多個個體標識符 (ID)和與多個個體ID中的每一個相關(guān)的數(shù)據(jù)作為機密數(shù)據(jù)��;接收部件��,被配置為接收從第一服務(wù)提供單元發(fā)送來的�、用于獲取期望機密數(shù)據(jù)的第一搜索條件�;搜索部件���,被配置為從機密數(shù)據(jù)存儲部件中提取出與第一搜索條件匹配的第一候選數(shù)據(jù)��;發(fā)送記錄存儲部件��,被配置為存儲已被發(fā)送到第一服務(wù)提供單元的多條匿名化數(shù)據(jù);匿名化部件�����,被配置為通過基于多條匿名化數(shù)據(jù)中的第一數(shù)據(jù)執(zhí)行處理以包含第一候選數(shù)據(jù)和第一數(shù)據(jù)來生成第一發(fā)送數(shù)據(jù),第一數(shù)據(jù)具有與第一候選數(shù)據(jù)相同種類的數(shù)據(jù)��;以及發(fā)送部件,被配置為將第一發(fā)送數(shù)據(jù)發(fā)送到第一服務(wù)提供單元����。本發(fā)明的信息管理方法包括接收從第一服務(wù)提供單元發(fā)送來的�、用于獲取期望機密數(shù)據(jù)的第一搜索條件的步驟�;從機密數(shù)據(jù)存儲部件中提取出與第一搜索條件匹配的第一候選數(shù)據(jù)的步驟�����,機密數(shù)據(jù)存儲部件存儲多個個體ID和與多個個體ID中的每一個相關(guān)的數(shù)據(jù)作為機密數(shù)據(jù);通過基于已被發(fā)送到第一服務(wù)提供單元的多條匿名化數(shù)據(jù)中的第一數(shù)據(jù)執(zhí)行處理以包含第一候選數(shù)據(jù)和第一數(shù)據(jù)來生成第一發(fā)送數(shù)據(jù)的步驟,第一數(shù)據(jù)具有與第一候選數(shù)據(jù)相同種類的數(shù)據(jù)���;以及將第一發(fā)送數(shù)據(jù)發(fā)送到第一服務(wù)提供單元的步驟。本發(fā)明的計算機可執(zhí)行信息管理程序包括接收從第一服務(wù)提供單元發(fā)送來的、 用于獲取期望機密數(shù)據(jù)的第一搜索條件的步驟���;從機密數(shù)據(jù)存儲部件中提取出與第一搜索條件匹配的第一候選數(shù)據(jù)的步驟����,機密數(shù)據(jù)存儲部件存儲多個個體ID和與多個個體ID中的每一個相關(guān)的數(shù)據(jù)作為機密數(shù)據(jù);通過基于已被發(fā)送到第一服務(wù)提供單元的多條匿名化數(shù)據(jù)中的第一數(shù)據(jù)執(zhí)行處理以包含第一候選數(shù)據(jù)和第一數(shù)據(jù)來生成第一發(fā)送數(shù)據(jù)的步驟�, 第一數(shù)據(jù)具有與第一候選數(shù)據(jù)相同種類的數(shù)據(jù);以及將第一發(fā)送數(shù)據(jù)發(fā)送到第一服務(wù)提供單元的步驟�����。本發(fā)明的信息管理設(shè)備可以提供在實際使用的范圍中滿足匿名性的機密數(shù)據(jù)����。
以上發(fā)明的目的�、效果和特征將從下面結(jié)合附圖的實施例中變清楚圖1是示出根據(jù)本發(fā)明第一示例性實施例的信息管理設(shè)備100的配置的功能框圖���;圖2是示出第一示例性實施例中的信息管理設(shè)備100的硬件配置示例的框圖3是示出根據(jù)本發(fā)明第一示例性實施例的信息管理設(shè)備100的處理操作的流程圖�����;圖4是示出根據(jù)本發(fā)明第二示例性實施例的信息管理設(shè)備200的配置的功能框圖�����;圖5是示出根據(jù)本發(fā)明第二示例性實施例的信息管理設(shè)備200的處理操作的流程圖;圖6是示出根據(jù)本發(fā)明第三示例性實施例的信息管理設(shè)備300的配置的功能框圖��;圖7是示出根據(jù)本發(fā)明第三示例性實施例的信息管理設(shè)備300的處理操作的流程圖����;圖8是示出存儲在機密數(shù)據(jù)存儲部件101中的動作數(shù)據(jù)的示圖;圖9是示出存儲在發(fā)送記錄存儲部件104中的發(fā)送記錄10 的狀況的示圖�;圖10是當(dāng)(具有“個體Z”的個體ID的)人(其從住宅區(qū)移動到辦公區(qū)和購物區(qū)兩者)的動作數(shù)據(jù)被添加到圖8時的示圖;圖11是示出當(dāng)匿名化部件105將針對“個體Z”的個體ID的住宅區(qū)和辦公區(qū)中的位置數(shù)據(jù)轉(zhuǎn)換為與匿名化的“個體C”和“個體D”相同區(qū)域的位置數(shù)據(jù)時的方式的示圖;圖12是示出存儲在ID對應(yīng)關(guān)系存儲部件110中的個體ID和與個體ID相對應(yīng)的服務(wù)個體ID的表格��;圖13是示出存儲在機密數(shù)據(jù)存儲部件101中的��、具有“個體A”的個體ID的人的動作數(shù)據(jù)的示圖���;以及圖14是當(dāng)具有“個體B”的個體ID����、且從住宅區(qū)移動到購物區(qū)的人的動作數(shù)據(jù)被添加到圖13時的示圖��。
具體實施例方式下文中�����,將參考附圖描述根據(jù)本發(fā)明實施例的信息管理設(shè)備���、信息管理方法和信息管理程序��。[第一示例性實施例]將描述本發(fā)明的第一示例性實施例。圖1是示出根據(jù)本發(fā)明第一示例性實施例的信息管理設(shè)備100的配置的功能框圖�。本發(fā)明的信息管理設(shè)備100通過網(wǎng)絡(luò)的數(shù)據(jù)傳輸路徑與多個服務(wù)提供單元10(10a�、10b和IOc)相連����。多個服務(wù)提供單元10由各種服務(wù)提供商操作�����。本發(fā)明的信息管理設(shè)備100可以匿名化所存儲的機密數(shù)據(jù)并發(fā)送給各個服務(wù)提供單元10����。參考圖1��,信息管理設(shè)備100設(shè)有機密數(shù)據(jù)存儲部件101�����、接收部件102����、搜索部件 103、發(fā)送記錄存儲部件104�、匿名化部件105、管理部件106和發(fā)送部件107�����。機密數(shù)據(jù)存儲部件101存儲多條個體數(shù)據(jù)作為機密數(shù)據(jù)���。詳細地說����,機密數(shù)據(jù)存儲部件101存儲多個個體ID和與多個個體ID相關(guān)的數(shù)據(jù)(個體數(shù)據(jù))作為機密數(shù)據(jù)����。個體ID是標識諸如數(shù)據(jù)的所有者��、發(fā)送者、管理者之類的人的ID��。與多個個體ID中的每一個相關(guān)的數(shù)據(jù)包含指定人的數(shù)據(jù)(諸如姓名和地址)�����、諸如動作數(shù)據(jù)之類的數(shù)據(jù)、諸如購買數(shù)據(jù)之類的數(shù)據(jù)���、使得人的特性清楚的數(shù)據(jù)���、以及與隱私的侵犯相關(guān)的數(shù)據(jù)中的至少一者。應(yīng)當(dāng)注意�,只要信息管理設(shè)備100可以唯一地識別,個體ID的格式就足夠了����,并且個體ID可以是如同UUID(全局唯一標識符)的形式或者是如同URI (統(tǒng)一資源標識符)的形式,URI 被用在開放ID (OpenID)和XRI (可擴展資源標識符)中�����。接收部件102接收從服務(wù)提供單元10發(fā)送來的搜索請求以便獲取期望機密數(shù)據(jù)����。 搜索請求包含諸如人姓名、數(shù)據(jù)種類和數(shù)據(jù)有效的時段之類的搜索條件�����,以及用于標識服務(wù)提供單元10或服務(wù)提供商的服務(wù)ID��。接收部件102將所接收的搜索請求提供給搜索部件 103。搜索部件103從所接收的搜索請求中提取出搜索條件�。搜索部件103從存儲在機密數(shù)據(jù)存儲部件101中的機密數(shù)據(jù)中提取出與搜索條件匹配的多條數(shù)據(jù)(候選數(shù)據(jù))。候選數(shù)據(jù)包含個體ID和與個體ID相關(guān)的多條數(shù)據(jù)���。搜索部件103將搜索請求中包含的服務(wù) ID和多條候選數(shù)據(jù)提供給匿名化部件105��。發(fā)送記錄存儲部件104存儲發(fā)送記錄��。發(fā)送記錄是通過將已經(jīng)發(fā)送給各個服務(wù)提供單元10的多條匿名化數(shù)據(jù)(發(fā)送數(shù)據(jù))和用于標識作為發(fā)送數(shù)據(jù)的發(fā)送目的地的服務(wù)提供單元10的服務(wù)ID相關(guān)而獲得的��。匿名化數(shù)據(jù)(發(fā)送數(shù)據(jù))包含多個個體ID和多條經(jīng)處理數(shù)據(jù)�。經(jīng)處理數(shù)據(jù)示出了這樣的數(shù)據(jù)���,該數(shù)據(jù)已經(jīng)被處理(匿名化)以包含與多個個體ID相關(guān)的數(shù)據(jù)中的至少兩者,從而使得與101中各個個體ID相對應(yīng)的人不被指定�����。 應(yīng)當(dāng)注意����,后面將提到的匿名化部件105對機密數(shù)據(jù)進行匿名化,并且后面將提到的發(fā)送部件107發(fā)送發(fā)送數(shù)據(jù)��。只要信息管理設(shè)備100可以唯一地識別并且發(fā)送數(shù)據(jù)可以被發(fā)送到服務(wù)提供單元10,服務(wù)ID的格式就足夠了���,并且服務(wù)ID可以是如同URL(統(tǒng)一資源定位符)和URI的一般形式�。匿名化部件105從搜索部件103接收多條候選數(shù)據(jù)和服務(wù)ID�����。匿名化部件105參考發(fā)送記錄存儲部件104中的發(fā)送記錄(服務(wù)ID和發(fā)送數(shù)據(jù)的集合)���,并提取出和與所接收的服務(wù)ID相同的服務(wù)ID相關(guān)的多條發(fā)送數(shù)據(jù)�����。接下來���,匿名化部件105合并多條候選數(shù)據(jù)和多條提取出的發(fā)送數(shù)據(jù)以生成臨時發(fā)送數(shù)據(jù)。匿名化部件105利用多條發(fā)送數(shù)據(jù)對多條候選數(shù)據(jù)執(zhí)行諸如抽象����、模糊和部分刪除之類的處理(匿名化),以使得臨時發(fā)送數(shù)據(jù)滿足匿名性�����。換句話說,匿名化部件105執(zhí)行處理以包含至少一條候選數(shù)據(jù)和具有與候選數(shù)據(jù)相同種類的數(shù)據(jù)的至少一條發(fā)送數(shù)據(jù)����。在臨時發(fā)送數(shù)據(jù)滿足匿名性時,匿名化部件105 將匿名化的臨時發(fā)送數(shù)據(jù)與服務(wù)ID —起提供給管理部件106作為新的發(fā)送數(shù)據(jù)�。應(yīng)當(dāng)注意,當(dāng)任何發(fā)送數(shù)據(jù)都未被存儲在發(fā)送記錄存儲部件104中時�,匿名化部件105可以利用多條候選數(shù)據(jù)執(zhí)行處理以包含具有相同種類的數(shù)據(jù)的至少兩條候選數(shù)據(jù)并生成新的發(fā)送數(shù)據(jù)。管理部件106從匿名化部件105接收服務(wù)ID和新的發(fā)送數(shù)據(jù)��。管理部件106將發(fā)送到服務(wù)提供單元10的新的發(fā)送數(shù)據(jù)與服務(wù)ID —起提供給發(fā)送記錄存儲部件104�����。而且�,管理部件106將服務(wù)ID和新的發(fā)送數(shù)據(jù)提供給發(fā)送部件107。應(yīng)當(dāng)注意����,發(fā)送記錄存儲部件104將新的發(fā)送數(shù)據(jù)與服務(wù)ID相關(guān)并將其存儲在發(fā)送記錄中��。發(fā)送部件107接收服務(wù)ID和新的發(fā)送數(shù)據(jù)�����。發(fā)送部件107基于服務(wù)ID將新的發(fā)送數(shù)據(jù)發(fā)送給服務(wù)提供單元10。根據(jù)本發(fā)明實施例的信息管理設(shè)備100可利用計算機實現(xiàn)�。圖2是示出信息管理設(shè)備100的實施例的硬件配置示例的框圖。參考圖2�,本發(fā)明的信息管理設(shè)備100由計算機系統(tǒng)配置而成,該計算機系統(tǒng)設(shè)有CPU(中央處理單元)1�����、存儲器單元2����、輸入單元3、輸出單元4和連接這些單元的總線5�����。CPU 1基于存儲在存儲器單元2中的程序執(zhí)行本發(fā)明的信息管理設(shè)備100中的計算處理和控制處理�����。存儲器單元2是用于存儲數(shù)據(jù)的單元��,例如硬盤和存儲器��。存儲器單元2存儲從計算機可讀存儲介質(zhì)(例如CD-ROM和DVD)讀取的程序��、從輸入單元3輸入的信號和程序、以及CPU 1的處理結(jié)果�。輸入單元3是諸如鼠標、鍵盤和麥克風(fēng)之類的單元��, 用戶可向其輸入命令和信號�����。輸出單元4是諸如顯示器和揚聲器之類的單元�,其將輸出通知給用戶。應(yīng)當(dāng)注意���,本發(fā)明并不限于所示出的硬件配置示例�����,并且每個部件可以用硬件或軟件或者其組合實現(xiàn)���。圖3是示出根據(jù)本發(fā)明第一示例性實施例的信息管理設(shè)備100的處理操作的流程圖。參考圖3����,將描述根據(jù)本發(fā)明第一示例性實施例的處理操作�����。步驟SOl 接收部件102從服務(wù)提供單元10接收搜索請求。搜索請求包含諸如人的姓名����、數(shù)據(jù)種類和數(shù)據(jù)被生成且有效時的時段之類的搜索條件,以及用于標識服務(wù)提供單元10或服務(wù)提供商的服務(wù)ID��。接收部件102將所接收的搜索請求提供給搜索部件103。步驟S02 搜索部件103從所接收的搜索請求中提取出搜索條件�����。搜索部件103從存儲在機密數(shù)據(jù)存儲部件101中的機密數(shù)據(jù)中提取出與搜索條件匹配的多條數(shù)據(jù)(候選數(shù)據(jù))�����。候選數(shù)據(jù)包含個體ID和與個體ID相關(guān)的多條數(shù)據(jù)�����。搜索部件103將搜索請求中包含的服務(wù)ID和多條候選數(shù)據(jù)提供給匿名化部件105�。步驟S03 匿名化部件105從搜索部件103接收多條候選數(shù)據(jù)和服務(wù)ID��。匿名化部件105利用發(fā)送記錄對多條候選數(shù)據(jù)進行匿名化�����。詳細地說,匿名化部件105參考發(fā)送記錄存儲部件104中的發(fā)送記錄(服務(wù)ID和發(fā)送數(shù)據(jù)的集合)以提取出和與所接收的服務(wù)ID相同的服務(wù)ID相關(guān)的多條發(fā)送數(shù)據(jù)����。接下來,匿名化部件105合并多條候選數(shù)據(jù)和多條提取出的發(fā)送數(shù)據(jù)并生成臨時發(fā)送數(shù)據(jù)�。匿名化部件105利用多條發(fā)送數(shù)據(jù)對多條候選數(shù)據(jù)執(zhí)行諸如抽象、模糊和部分刪除之類的處理(匿名化)����,以使得臨時發(fā)送數(shù)據(jù)滿足匿名性。換句話說�,匿名化部件105執(zhí)行處理以包含至少一條候選數(shù)據(jù)和具有與候選數(shù)據(jù)相同種類的數(shù)據(jù)的至少一條發(fā)送數(shù)據(jù)。當(dāng)臨時發(fā)送數(shù)據(jù)滿足匿名性時�,匿名化部件105將匿名化的臨時發(fā)送數(shù)據(jù)與服務(wù)ID —起提供給管理部件106作為新的發(fā)送數(shù)據(jù)。應(yīng)當(dāng)注意�����,當(dāng)發(fā)送數(shù)據(jù)未被存儲在發(fā)送記錄存儲部件104中時��,匿名化部件105利用多條候選數(shù)據(jù)執(zhí)行處理以具有至少兩條相同種類的數(shù)據(jù)���,從而生成新的發(fā)送數(shù)據(jù)�。步驟S04 管理部件106從匿名化部件105接收服務(wù)ID和新的發(fā)送數(shù)據(jù)��。管理部件106將發(fā)送到服務(wù)提供單元10的新的發(fā)送數(shù)據(jù)與服務(wù)ID —起提供給發(fā)送記錄存儲部件 104�。而且,管理部件106將服務(wù)ID和新的發(fā)送數(shù)據(jù)提供給發(fā)送部件107�����。發(fā)送記錄存儲部件104將新的發(fā)送數(shù)據(jù)與服務(wù)ID相關(guān)并將其存儲在發(fā)送記錄中���。步驟S05 發(fā)送部件107接收服務(wù)ID和新的發(fā)送數(shù)據(jù)���。發(fā)送部件107基于服務(wù)ID 將新的發(fā)送數(shù)據(jù)發(fā)送到服務(wù)提供單元10。如上所述����,根據(jù)本發(fā)明第一示例性實施例的信息管理設(shè)備100可以匿名化從服務(wù)提供單元10請求的機密數(shù)據(jù)并將其與在過去發(fā)送給服務(wù)提供單元10的發(fā)送數(shù)據(jù)一起提供。即使當(dāng)在匿名化全部機密數(shù)據(jù)的情況下數(shù)據(jù)的精度下降太多時�,如果從服務(wù)提供單元 10請求的機密數(shù)據(jù)是機密數(shù)據(jù)的一部分,則數(shù)據(jù)精度的下降也可以被抑制到最小��。這樣����,根據(jù)本發(fā)明第一示例性實施例的信息管理設(shè)備100獲得了以下效果在確保要提供給服務(wù)提供單元10的機密數(shù)據(jù)的匿名性的處理中��,提高了數(shù)據(jù)的精度����。[第二示例性實施例]將描述本發(fā)明的第二示例性實施例����。根據(jù)本發(fā)明第二示例性實施例的信息管理設(shè)備200與根據(jù)第一示例性實施例的信息管理設(shè)備100的不同之處在于包含在機密數(shù)據(jù)中的個體ID被對于每一服務(wù)提供單元10進行轉(zhuǎn)換并被提供。圖4是示出根據(jù)本發(fā)明第二示例性實施例的信息管理設(shè)備200的配置的功能框圖���。參考圖4��,根據(jù)本發(fā)明第二示例性實施例的信息管理設(shè)備200設(shè)有機密數(shù)據(jù)存儲部件 101���、接收部件102、搜索部件103��、發(fā)送記錄存儲部件104���、匿名化部件105�、管理部件106����、發(fā)送部件107�、ID對應(yīng)關(guān)系存儲部件110和ID轉(zhuǎn)換部件111����。因為機密數(shù)據(jù)存儲部件101、接收部件102���、搜索部件103、發(fā)送記錄存儲部件104�、匿名化部件105、管理部件106和發(fā)送部件107與第一示例性實施例的相同��,因此省略對其的描述���。ID對應(yīng)關(guān)系存儲部件110存儲多個個體ID和多個服務(wù)個體ID (對于每一服務(wù)提供單元10是不同的)的集合����。ID轉(zhuǎn)換部件111從搜索部件103接收多條候選數(shù)據(jù)和服務(wù)ID��。ID轉(zhuǎn)換部件111 讀取包含在多條候選數(shù)據(jù)中的每一條中的個體ID�。ID轉(zhuǎn)換部件111參考ID對應(yīng)關(guān)系存儲部件110并提取出與所接收的服務(wù)ID和所讀取的個體ID相對應(yīng)的服務(wù)個體ID。ID轉(zhuǎn)換部件111利用提取出的服務(wù)個體ID來替換包含在多條候選數(shù)據(jù)中的每一條中的個體ID�����。 ID轉(zhuǎn)換部件111將服務(wù)ID和多條候選數(shù)據(jù)(每一條包含服務(wù)個體ID)提供給匿名化部件 105。圖5是示出根據(jù)本發(fā)明第二示例性實施例的信息管理設(shè)備200的處理操作的流程圖�。參考圖5,將描述根據(jù)本發(fā)明第二示例性實施例的處理操作��。步驟SlO 接收部件102從服務(wù)提供單元10接收搜索請求�。搜索請求包含諸如人的姓名、數(shù)據(jù)種類和數(shù)據(jù)被生成且有效時的時段之類的搜索條件����,以及用于標識服務(wù)提供單元10或服務(wù)提供商的服務(wù)ID。接收部件102將所接收的搜索請求提供給搜索部件103����。步驟Sll 搜索部件103從所接收的搜索請求中提取出搜索條件。搜索部件103從存儲在機密數(shù)據(jù)存儲部件101中的機密數(shù)據(jù)中提取出與搜索條件匹配的多條數(shù)據(jù)(候選數(shù)據(jù))����。候選數(shù)據(jù)包含個體ID和與個體ID相關(guān)的多條數(shù)據(jù)。搜索部件103將搜索請求中包含的服務(wù)ID和多條候選數(shù)據(jù)提供給ID轉(zhuǎn)換部件111��。步驟S12 =ID轉(zhuǎn)換部件111從搜索部件103接收多條候選數(shù)據(jù)和服務(wù)ID�����。ID轉(zhuǎn)換部件111讀取包含在多條候選數(shù)據(jù)中的每一條中的個體ID。ID轉(zhuǎn)換部件111參考ID對應(yīng)關(guān)系存儲部件110�,并提取出與所接收的服務(wù)ID和所讀取的個體ID相對應(yīng)的服務(wù)個體ID。 ID轉(zhuǎn)換部件111用提取出的服務(wù)個體ID來替換包含在多條候選數(shù)據(jù)中的每一條中的個體 ID��。ID轉(zhuǎn)換部件111將服務(wù)ID和多條候選數(shù)據(jù)(每一條包含服務(wù)個體ID)提供給匿名化部件105����。步驟S13 匿名化部件105從ID轉(zhuǎn)換部件111接收多條候選數(shù)據(jù)和服務(wù)ID。匿名化部件105利用發(fā)送記錄對多條候選數(shù)據(jù)進行匿名化�。匿名化的細節(jié)與第一示例性實施例中的相同。步驟S14 管理部件106從匿名化部件105接收服務(wù)ID和新的發(fā)送數(shù)據(jù)�。管理部件106將發(fā)送給服務(wù)提供單元10的新的發(fā)送數(shù)據(jù)與服務(wù)ID —起提供給發(fā)送記錄存儲部件104��。而且��,管理部件106將服務(wù)ID和新的發(fā)送數(shù)據(jù)提供給發(fā)送部件107����。發(fā)送記錄存儲部件104將新的發(fā)送數(shù)據(jù)與服務(wù)ID相關(guān)并將其存儲在發(fā)送記錄中。步驟S15 發(fā)送部件107接收服務(wù)ID和新的發(fā)送數(shù)據(jù)�。發(fā)送部件107基于服務(wù)ID 將新的發(fā)送數(shù)據(jù)發(fā)送到服務(wù)提供單元10。如上所述�,當(dāng)從各個服務(wù)提供單元10請求的機密數(shù)據(jù)的種類不同時,根據(jù)本發(fā)明第二示例性實施例的信息管理設(shè)備200可以提供匿名化的機密數(shù)據(jù)����,其包含對于每一服務(wù)提供單元10不同的服務(wù)個體ID����。因而�����,信息管理設(shè)備200獲得了以下效果其可以防止通過多個服務(wù)提供單元10的串通而導(dǎo)致數(shù)據(jù)針對每一人被收集����。換句話說,即使多個服務(wù)提供單元10串通��,也不擔(dān)心某一人會被指定��,因為每個服務(wù)提供單元10都不能確定所提供的機密數(shù)據(jù)是同一人的數(shù)據(jù)�����。因此�����,根據(jù)本發(fā)明第二示例性實施例的信息管理設(shè)備200可以將這些機密數(shù)據(jù)提供給不同的服務(wù)提供單元10,即使該人通過組合多個種類的匿名化機密數(shù)據(jù)而被指定時也是如此���。[第三示例性實施例]將描述本發(fā)明的第三示例性實施例����。根據(jù)本發(fā)明第三示例性實施例的信息管理設(shè)備300與根據(jù)第一示例性實施例的信息管理設(shè)備100的不同之處在于由于不滿足匿名性未被發(fā)送給服務(wù)提供單元10的數(shù)據(jù)被用于后續(xù)搜索請求的匿名性的處理。圖6是示出根據(jù)本發(fā)明第三示例性實施例的信息管理設(shè)備300的配置的功能框圖���。參考圖6����,根據(jù)本發(fā)明第三示例性實施例的信息管理設(shè)備300設(shè)有機密數(shù)據(jù)存儲部件
101��、接收部件102���、搜索部件103、發(fā)送記錄存儲部件104��、發(fā)送部件107���、未發(fā)送記錄存儲部件120����、第二匿名化部件121和第二管理部件122。因為機密數(shù)據(jù)存儲部件101���、接收部件
102��、搜索部件103����、發(fā)送記錄存儲部件104和發(fā)送部件107與第一和第二示例性實施例的相同��,因此省略對其的描述�。未發(fā)送記錄存儲部件120存儲未發(fā)送記錄。未發(fā)送記錄是通過將還未被發(fā)送到服務(wù)提供單元10的多條數(shù)據(jù)(未發(fā)送數(shù)據(jù))(因為它們不滿足匿名性���,即不能被匿名化)和每條未發(fā)送數(shù)據(jù)的發(fā)送目的地的服務(wù)ID相關(guān)而獲得的�。未發(fā)送數(shù)據(jù)是通過將個體ID和包含在候選數(shù)據(jù)中的��、與個體ID相關(guān)的多條數(shù)據(jù)中不能被匿名化的多條數(shù)據(jù)相關(guān)而獲得的��。第二匿名化部件121從搜索部件103接收多條候選數(shù)據(jù)和服務(wù)ID��。第二匿名化部件121參考發(fā)送記錄存儲部件104的發(fā)送記錄(服務(wù)ID和發(fā)送數(shù)據(jù)的集合),并提取出和與所接收的服務(wù)ID相同的服務(wù)ID相關(guān)的多條發(fā)送數(shù)據(jù)��。而且����,第二匿名化部件121參考未發(fā)送記錄存儲部件120的未發(fā)送記錄(服務(wù)ID和未發(fā)送數(shù)據(jù)的集合),并提取出和與所接收的服務(wù)ID相同的服務(wù)ID相關(guān)的多條未發(fā)送數(shù)據(jù)�����。接下來�����,第二匿名化部件121合并多條候選數(shù)據(jù)��、多條提取出的發(fā)送數(shù)據(jù)和多條提取出的未發(fā)送數(shù)據(jù)����,并且生成臨時發(fā)送數(shù)據(jù)�����。第二匿名化部件121針對臨時發(fā)送數(shù)據(jù)利用多條發(fā)送數(shù)據(jù)和多條未發(fā)送數(shù)據(jù)對多條候選數(shù)據(jù)執(zhí)行諸如抽象����、模糊和部分刪除之類的處理(匿名化)���,以便滿足匿名性。換句話說��,第二匿名化部件121執(zhí)行處理以包含至少一條候選數(shù)據(jù)和至少一條發(fā)送數(shù)據(jù)或者具有與候選數(shù)據(jù)相同種類的數(shù)據(jù)的至少一條未發(fā)送數(shù)據(jù)�。此時,第二匿名化部件121將與包含在候選數(shù)據(jù)中的個體ID相關(guān)的多條數(shù)據(jù)中的��、既不包含在未發(fā)送數(shù)據(jù)中也不包含在發(fā)送數(shù)據(jù)中的種類的數(shù)據(jù)確定為不能被匿名化的未發(fā)送數(shù)據(jù)���。第二匿名化部件121將匿名化的臨時發(fā)送數(shù)據(jù)設(shè)置為新的發(fā)送數(shù)據(jù)�,并劃分多條候選數(shù)據(jù)中不能被匿名化的數(shù)據(jù)作為新的未發(fā)送數(shù)據(jù)�����。第二匿名化部件121將匿名化的臨時發(fā)送數(shù)據(jù)與服務(wù)ID —起提供給第二管理部件122作為新的發(fā)送數(shù)據(jù)�����,并將多條候選數(shù)據(jù)中不能被匿名化的數(shù)據(jù)與服務(wù)ID —起提供給第二管理部件122作為新的未發(fā)送數(shù)據(jù)����。第二管理部件122將新的發(fā)送數(shù)據(jù)和服務(wù)ID提供給發(fā)送記錄存儲部件104�����,并將新的未發(fā)送數(shù)據(jù)和服務(wù)ID提供給未發(fā)送記錄存儲部件120��。圖7是示出根據(jù)本發(fā)明第三示例性實施例的信息管理設(shè)備300的處理操作的流程圖��。參考圖7����,將描述本發(fā)明第三示例性實施例的處理操作�。步驟S30 接收部件102從服務(wù)提供單元10中的任何一個接收搜索請求。搜索請求包含諸如人的姓名�����、數(shù)據(jù)種類和數(shù)據(jù)被生成且有效時的時段之類的搜索條件��,以及用于標識服務(wù)提供單元10或服務(wù)提供商的服務(wù)ID����。接收部件102將所接收的搜索請求提供給搜索部件103。步驟S31 搜索部件103從所接收的搜索請求中提取出搜索條件�。搜索部件103從存儲在機密數(shù)據(jù)存儲部件101中的機密數(shù)據(jù)中提取出與搜索條件匹配的多條數(shù)據(jù)(候選數(shù)據(jù))。候選數(shù)據(jù)包含個體ID和與個體ID相關(guān)的多條數(shù)據(jù)�。搜索部件103將搜索請求中包含的服務(wù)ID和多條候選數(shù)據(jù)提供給第二匿名化部件121。步驟S32 第二匿名化部件121從搜索部件103接收多條候選數(shù)據(jù)和服務(wù)ID�。第二匿名化部件121參考發(fā)送記錄存儲部件104中的發(fā)送記錄(服務(wù)ID和發(fā)送數(shù)據(jù)的集合), 并提取出和與所接收的服務(wù)ID相同的服務(wù)ID相關(guān)的多條發(fā)送數(shù)據(jù)����。而且,第二匿名化部件 121參考未發(fā)送記錄存儲部件120中的未發(fā)送記錄(服務(wù)ID和未發(fā)送數(shù)據(jù)的集合)���,并提取出和與所接收的服務(wù)ID相同的服務(wù)ID相關(guān)的多條未發(fā)送數(shù)據(jù)����。接下來�,第二匿名化部件 121合并多條候選數(shù)據(jù)、多條提取出的發(fā)送數(shù)據(jù)和多條提取出的未發(fā)送數(shù)據(jù)����,并且生成臨時發(fā)送數(shù)據(jù)。第二匿名化部件121利用多條發(fā)送數(shù)據(jù)和多條未發(fā)送數(shù)據(jù)對多條候選數(shù)據(jù)執(zhí)行諸如抽象���、模糊和部分刪除之類的處理(匿名化)����,以使得臨時發(fā)送數(shù)據(jù)滿足匿名性。換句話說�,第二匿名化部件121執(zhí)行處理以包含至少一條候選數(shù)據(jù)和至少一條發(fā)送數(shù)據(jù)或者具有與候選數(shù)據(jù)相同種類的數(shù)據(jù)的至少一條未發(fā)送數(shù)據(jù)。此時�,第二匿名化部件121將與包含在候選數(shù)據(jù)中的個體ID相關(guān)的多條數(shù)據(jù)中的、既不包含在未發(fā)送數(shù)據(jù)中也不包含在發(fā)送數(shù)據(jù)中的種類的數(shù)據(jù)確定為不能被匿名化的未發(fā)送數(shù)據(jù)����。第二匿名化部件121將匿名化的臨時發(fā)送數(shù)據(jù)設(shè)置為新的發(fā)送數(shù)據(jù),并分離多條候選數(shù)據(jù)中不能被匿名化的數(shù)據(jù)作為新的未發(fā)送數(shù)據(jù)����。第二匿名化部件121將匿名化的臨時發(fā)送數(shù)據(jù)與服務(wù)ID —起提供給第二管理部件122作為新的發(fā)送數(shù)據(jù),并將多條候選數(shù)據(jù)中不能被匿名化的數(shù)據(jù)與服務(wù)ID —起提供給第二管理部件122作為新的未發(fā)送數(shù)據(jù)���。步驟S33和步驟S34 第二管理部件122從第二匿名化部件121接收服務(wù)ID�����、新的發(fā)送數(shù)據(jù)和新的未發(fā)送數(shù)據(jù)���。第二管理部件122將服務(wù)ID和新的發(fā)送數(shù)據(jù)提供給發(fā)送記錄存儲部件104,并將服務(wù)ID和新的未發(fā)送數(shù)據(jù)提供給未發(fā)送記錄存儲部件120���。而且�����,第二管理部件122將服務(wù)ID和新的發(fā)送數(shù)據(jù)提供給發(fā)送部件107�。發(fā)送記錄存儲部件104將新的發(fā)送數(shù)據(jù)與服務(wù)ID相關(guān)并將其存儲在發(fā)送記錄中�。另外,未發(fā)送記錄存儲部件120將新的未發(fā)送數(shù)據(jù)與服務(wù)ID相關(guān)并將其存儲在未發(fā)送記錄中����。步驟S35 發(fā)送部件107從管理部件106接收服務(wù)ID和新的發(fā)送數(shù)據(jù)。發(fā)送部件 107基于服務(wù)ID將新的發(fā)送數(shù)據(jù)發(fā)送到服務(wù)提供單元10���。
如上所述���,根據(jù)本發(fā)明第三示例性實施例的信息管理設(shè)備300可以使用已經(jīng)從服務(wù)提供單元10請求但是由于不滿足匿名性而未被發(fā)送的數(shù)據(jù),以用于處理后面要發(fā)送的數(shù)據(jù)的匿名性���。例如�,因為通過假定先前還未被發(fā)送的數(shù)據(jù)被發(fā)送的情況數(shù)據(jù)能被匿名化��, 所以數(shù)據(jù)可以以更高的精度被發(fā)送�����。在上文中,盡管參考附圖描述了本發(fā)明的實施例中的信息管理設(shè)備100�����、200和 300�,但是這些都是本發(fā)明的示例,并且可以采用除了上述內(nèi)容以外的各種配置�����。例如����,實施例中的信息管理設(shè)備100、200和300可以累積先前來自服務(wù)提供單元10的請求���,然后可以集中地搜索機密數(shù)據(jù)�����,對其匿名化并將其返回到服務(wù)提供單元10(除了根據(jù)來自服務(wù)提供單元10的請求同步地返回匿名化的機密數(shù)據(jù)以外)�����。在這種情況下���,信息管理設(shè)備100�、200 和300可以具有可存儲搜索請求的存儲部件(未示出)���。另外�����,當(dāng)存儲在存儲部件中的來自相同服務(wù)提供單元10的搜索請求的數(shù)目達到預(yù)定數(shù)時�,搜索部件103可以從存儲部件中取出一個或多個搜索請求并搜索與每個搜索請求匹配的機密數(shù)據(jù)�����。而且,匿名化部件105和第二匿名化部件121可以對所有機密數(shù)據(jù)匿名化并集中地生成發(fā)送數(shù)據(jù)。根據(jù)該配置��,因為可以匿名化更多的機密數(shù)據(jù)�,因此可以提高機密數(shù)據(jù)的精度�。已經(jīng)關(guān)于機密數(shù)據(jù)根據(jù)最優(yōu)方法被匿名化的配置描述了匿名化部件105和第二匿名化部件121���。然而��,匿名化方法可以能夠被選擇����。例如,作為匿名化方法�����,可以執(zhí)行各種類型的處理以降低機密數(shù)據(jù)的精度�,刪除機密數(shù)據(jù)的一部分���,利用偽數(shù)據(jù)替換機密數(shù)據(jù)的一部分,以及向機密數(shù)據(jù)添加雜項數(shù)據(jù)���。即���,來自服務(wù)提供單元10的搜索請求可以包含搜索條件、服務(wù)ID和用于指定匿名化方法的策略��。在這種情況下����,取代匿名化部件105和第二匿名化部件121,可以提供這樣的匿名化部件,其解釋策略并按照指定方法對機密數(shù)據(jù)進行匿名化����。根據(jù)該配置,因為機密數(shù)據(jù)被以易于使用的形式提供給服務(wù)提供單元10�,因此機密數(shù)據(jù)可以得到完全地利用。應(yīng)當(dāng)注意�,即使本發(fā)明的表達通過上述組件的最優(yōu)組合在一種方法、一種設(shè)備��、一種系統(tǒng)�����、一種存儲介質(zhì)和一種計算機程序之間改變���,其作為本發(fā)明的種類來說也是有效的����。 另外����,本發(fā)明的各種組件并不一定要是獨立組件,并且多個組件可以被形成為一個組件����,一個組件可以由多個組件形成�,一個組件可以被形成為另一組件的一部分���,并且一個組件的一部分可以被兩個或更多個組件共享���。而且,本發(fā)明的數(shù)據(jù)處理方法和計算機程序的多個步驟并不一定在不同的定時執(zhí)行�。因此,一個步驟可以在另一步驟的執(zhí)行期間執(zhí)行�����,并且一個步驟的執(zhí)行和另一步驟的執(zhí)行可以部分地或全部地重疊�����。作為本發(fā)明的信息管理設(shè)備100���、200和300的示例,將描述以下情況個人的動作數(shù)據(jù)被管理作為機密數(shù)據(jù)并且動作數(shù)據(jù)被提供給服務(wù)提供單元10�。(示例 1)將利用其作為示例描述圖1中第一示例性實施例的信息管理設(shè)備100。機密數(shù)據(jù)存儲部件101存儲示出人的動作的動作數(shù)據(jù)作為與個體ID相關(guān)的數(shù)據(jù)��。尤其是,在該示例中�,機密數(shù)據(jù)存儲部件101存儲個體ID和從一個位置到另一位置的移動的數(shù)據(jù)作為動作數(shù)據(jù)(機密數(shù)據(jù))。更具體而言�,機密數(shù)據(jù)存儲部件101存儲由GPS測得的緯度和經(jīng)度示出的位置數(shù)據(jù)和利用基站對移動電話測得的區(qū)域數(shù)據(jù)等等,以及包含示出從一個位置到另一位置的移動的箭頭的圖示作為移動數(shù)據(jù)����。而且,機密數(shù)據(jù)存儲部件101可以將個人停留在某一位置時的時間和時區(qū)���、購買的內(nèi)容和該位置處的娛樂相關(guān)以存儲它們�����。
圖8是示出存儲在機密數(shù)據(jù)存儲部件101中的移動數(shù)據(jù)的示圖�����。參考圖8����,機密數(shù)據(jù)存儲部件101相關(guān)并存儲“個體A”��、“個體B”��、“個體C”和“個體D”以及個體ID的移動數(shù)據(jù)作為動作數(shù)據(jù)。與“個體A”和“個體B”中的每一個相關(guān)的動作數(shù)據(jù)示出了從住宅區(qū)中的一個位置到購物區(qū)中的一個位置的移動����。與“個體C”和“個體D”中的每一個相關(guān)的動作數(shù)據(jù)示出了從住宅區(qū)中的一個位置到辦公室中的一個位置的移動。圖9是示出存儲在發(fā)送記錄存儲部件104中的發(fā)送記錄10 的狀況的示圖���。參考圖9����,在初始狀況(a)中��,發(fā)送記錄10 是空的���。應(yīng)當(dāng)注意�����,當(dāng)記錄被處理以包含兩條或更多條動作數(shù)據(jù)時(當(dāng)存在采取相同動作的兩個或更多個人時)����,匿名化部件105確定匿名性已被滿足��。下文中�����,將參考圖3的流程圖進行描述��。接收部件102從服務(wù)提供單元IOa接收圖9中所示的搜索請求1 (圖3的步驟S01)��。搜索請求1包含搜索條件中“從住宅區(qū)移動到辦公區(qū)的人的動作數(shù)據(jù)”和用于標識服務(wù)提供單元IOa的服務(wù)ID的“http://serviCel. com”�。接收部件102將所接收的搜索請求提供給搜索部件103。搜索部件103從所接收的搜索請求中提取出搜索條件中的“從住宅區(qū)移動到辦公區(qū)的人的動作數(shù)據(jù)”����。搜索部件103從存儲在機密數(shù)據(jù)存儲部件101中的機密數(shù)據(jù)中提取出與搜索條件匹配的多條候選數(shù)據(jù)。換句話說��,搜索部件103提取出與“個體C”相關(guān)的動作數(shù)據(jù)和個體ID的“個體C”�,以及與“個體D”相關(guān)的動作數(shù)據(jù)和個體ID的“個體D”。搜索部件103將搜索請求中包含的服務(wù)ID和多條候選數(shù)據(jù)提供給匿名化部件105 (圖3的步驟 S02)���。匿名化部件105從搜索部件103接收多條候選數(shù)據(jù)和服務(wù)ID。匿名化部件105 利用發(fā)送記錄10 對多條候選數(shù)據(jù)進行匿名化。在狀況(a)中���,因為發(fā)送數(shù)據(jù)還未被存儲在發(fā)送記錄10 中�����,因此匿名化部件105通過利用多條候選數(shù)據(jù)執(zhí)行處理以包含兩條動作數(shù)據(jù)來生成新的發(fā)送數(shù)據(jù)。換句話說,匿名化部件105利用與“個體C”和“個體D”相關(guān)的兩條移動數(shù)據(jù)將住宅區(qū)和辦公區(qū)中的位置數(shù)據(jù)轉(zhuǎn)換為(匿名化為)具有區(qū)域程度以包含兩條位置數(shù)據(jù)的位置數(shù)據(jù)�。匿名化部件105將新的發(fā)送數(shù)據(jù)與服務(wù)ID —起提供給管理部件 106 (圖3的步驟S03)����。管理部件106從匿名化部件105接收服務(wù)ID和新的發(fā)送數(shù)據(jù)�����。管理部件106將發(fā)送給服務(wù)提供單元IOa的新的發(fā)送數(shù)據(jù)與服務(wù)ID —起提供給發(fā)送記錄存儲部件104�。而且��,管理部件106將服務(wù)ID和新的發(fā)送數(shù)據(jù)提供給發(fā)送部件107���。發(fā)送記錄存儲部件104 將新的發(fā)送數(shù)據(jù)與服務(wù)ID相關(guān)并將其存儲在發(fā)送記錄10 中。發(fā)送記錄10 改變到圖 9中所示的狀況(b)(圖3的步驟S04)���。發(fā)送部件107接收服務(wù)ID和新的發(fā)送數(shù)據(jù)����。發(fā)送部件107基于服務(wù)ID的“http // servicel. com”將新的發(fā)送數(shù)據(jù)發(fā)送到服務(wù)提供單元IOa(圖3的步驟S05)��。信息管理設(shè)備100以相同的方式對服務(wù)提供單元IOb執(zhí)行處理。詳細地說�,搜索部件103從所接收的搜索請求2中提取出搜索條件中的“從住宅區(qū)移動到繁忙的購物區(qū)的人的動作數(shù)據(jù)”。搜索部件103提取出和搜索條件匹配的與“個體A”的個體ID相對應(yīng)的動作數(shù)據(jù)和與“個體A”相關(guān)的移動數(shù)據(jù)����,以及與“個體B”的個體ID相對應(yīng)的動作數(shù)據(jù)和與 “個體B”相關(guān)的移動數(shù)據(jù),作為多條候選數(shù)據(jù)��。匿名化部件105利用發(fā)送記錄10 對多條候選數(shù)據(jù)進行匿名化�����。在狀況(b)中����,因為與服務(wù)提供單元IOb的服務(wù)ID相關(guān)的發(fā)送數(shù)據(jù)還未存儲在發(fā)送記錄10 中,因此匿名化部件105通過利用多條候選數(shù)據(jù)執(zhí)行處理以包含兩條動作數(shù)據(jù)來生成新的發(fā)送數(shù)據(jù)��。匿名化部件105將多條匿名化的候選數(shù)據(jù)與服務(wù)ID 一起提供給管理部件106作為新的發(fā)送數(shù)據(jù)��。之后����,發(fā)送記錄存儲部件104將新的發(fā)送數(shù)據(jù)與服務(wù)ID相關(guān)并將其存儲在發(fā)送記錄10 中。發(fā)送記錄10 改變到圖9中所示的狀況(C)。應(yīng)當(dāng)注意�,在圖9的狀況(c)中,上層是用于服務(wù)提供單元IOa的����,下層是用于服務(wù)提供單元IOb的����。接下來,假定從住宅區(qū)移動到辦公區(qū)和購物區(qū)兩者的人(具有“個體Z”的個體ID) 的動作數(shù)據(jù)被登記在機密數(shù)據(jù)存儲部件101中����。在圖10中,從住宅區(qū)移動到辦公區(qū)和購物區(qū)兩者的人(具有“個體ζ”的個體ID)的動作數(shù)據(jù)被添加到圖8���。這里���,假定服務(wù)提供單元IOa針對從住宅區(qū)移動到辦公區(qū)的人的動作數(shù)據(jù)向信息管理設(shè)備100發(fā)送搜索請求,該搜索請求包含用于搜索在上次搜索之后添加的動作數(shù)據(jù)的條件表達式(等式)���。換句話說��, 這種情況下的搜索條件是用于搜索在響應(yīng)于上次搜索請求執(zhí)行的搜索之后添加的數(shù)據(jù)的��, 并且與上次搜索請求是相同類型的����。接收部件102接收搜索請求(圖3的步驟S01)。搜索部件103提取出作為與搜索條件匹配的個體ID的“個體Z”和與“個體Z”和從住宅區(qū)到辦公區(qū)的移動相關(guān)的動作數(shù)據(jù)���,作為候選數(shù)據(jù)��。搜索部件103將搜索請求中包含的服務(wù)ID和候選數(shù)據(jù)提供給匿名化部件105 (圖3的步驟S02)�。匿名化部件105從搜索部件103接收候選數(shù)據(jù)和服務(wù)ID�。匿名化部件105利用發(fā)送記錄對候選數(shù)據(jù)進行匿名化(圖3的步驟SO; )�����。詳細地說�,匿名化部件105參考發(fā)送記錄存儲部件104中的發(fā)送記錄10 并提取出與服務(wù)提供單元IOa的服務(wù)ID相同的服務(wù) ID相關(guān)的發(fā)送數(shù)據(jù)。接下來��,匿名化部件105合并候選數(shù)據(jù)和提取出的發(fā)送數(shù)據(jù)并生成臨時發(fā)送數(shù)據(jù)��。匿名化部件105利用發(fā)送數(shù)據(jù)對候選數(shù)據(jù)執(zhí)行諸如抽象�、模糊和部分刪除之類的處理(匿名化),以使得臨時發(fā)送數(shù)據(jù)滿足匿名性��。換句話說,匿名化部件105執(zhí)行處理以包含從住宅區(qū)到辦公區(qū)的“個體V,的移動數(shù)據(jù)和從住宅區(qū)到辦公區(qū)的匿名化的“個體 C”和“個體D”的移動數(shù)據(jù)�����。圖11是示出當(dāng)匿名化部件105將與住宅區(qū)和辦公區(qū)中“個體 Z”的個體ID相對應(yīng)的位置數(shù)據(jù)轉(zhuǎn)換為對應(yīng)于與匿名化的“個體C”和“個體D”中相同的區(qū)域的位置數(shù)據(jù)時的方式的示圖�。匿名化部件105將新的發(fā)送數(shù)據(jù)與服務(wù)ID —起提供給管理部件106。管理部件106從匿名化部件105接收服務(wù)提供單元IOa的服務(wù)ID和新的發(fā)送數(shù)據(jù)�。管理部件106將發(fā)送到服務(wù)提供單元IOa的新的發(fā)送數(shù)據(jù)與服務(wù)ID —起提供給發(fā)送記錄存儲部件104。而且����,管理部件106將服務(wù)ID和新的發(fā)送數(shù)據(jù)提供給發(fā)送部件107����。發(fā)送記錄存儲部件104將新的發(fā)送數(shù)據(jù)與服務(wù)ID相關(guān)并將其存儲在發(fā)送記錄中(圖3的步驟S04)。發(fā)送部件107接收服務(wù)ID和新的發(fā)送數(shù)據(jù)����。發(fā)送部件107基于服務(wù)ID將新的發(fā)送數(shù)據(jù)發(fā)送到服務(wù)提供單元10(圖3的步驟S05)。(示例 2)接下來��,作為本發(fā)明第二示例性實施例中的信息管理設(shè)備200的示例��,將描述將個體ID轉(zhuǎn)換為對于作為請求源的服務(wù)提供單元10特有的ID的情況�。在該示例中,信息管理設(shè)備200的機密數(shù)據(jù)存儲部件101相關(guān)并存儲“個體A”、“個體B”�、“個體C”和“個體D” 這些個體ID和動作數(shù)據(jù),如同圖8的動作數(shù)據(jù)一樣����。ID對應(yīng)關(guān)系存儲部件110相關(guān)并存儲多個個體ID和對于每一服務(wù)提供單元10不同的多個服務(wù)個體ID。圖12是示出存儲在ID對應(yīng)關(guān)系存儲部件110中的個體ID和與個體ID相對應(yīng)的服務(wù)個體ID的表格�����。參考圖12���,針對“個體A”的個體ID�,“個體α ”的服務(wù)個體ID被設(shè)置為服務(wù)提供單元10a���,而“個體1”的服務(wù)個體ID被設(shè)置為服務(wù)提供單元 10b���。對于“個體B”、“個體C”和“個體D”是類似的�。下文中,將參考圖5的流程圖描述操作���。接收部件102從服務(wù)提供單元IOa接收圖9中所示的搜索請求1 (圖5的步驟S10)���。搜索請求1在搜索條件中包含“從住宅區(qū)移動到辦公區(qū)的人的動作數(shù)據(jù)”�����,并且包含“http://servicel.com”作為標識服務(wù)提供單元IOa 的服務(wù)ID�。接收部件102將所接收的搜索請求提供給搜索部件103���。搜索部件103從所接收的搜索請求中提取出搜索條件中的“從住宅區(qū)移動到辦公區(qū)的人的動作數(shù)據(jù)”�。搜索部件103從存儲在機密數(shù)據(jù)存儲部件101中的機密數(shù)據(jù)中提取出作為與搜索條件匹配的個體ID的“個體C”和與“個體C”相關(guān)的動作數(shù)據(jù)�,并且提取出作為個體ID的“個體D”和與“個體D”相關(guān)的動作數(shù)據(jù),作為多條候選數(shù)據(jù)��。搜索部件103 將多條候選數(shù)據(jù)和包含在搜索請求中的服務(wù)ID提供給ID轉(zhuǎn)換部件111 (圖5的步驟Sll)�����。ID轉(zhuǎn)換部件111從搜索部件103接收多條候選數(shù)據(jù)和服務(wù)ID�����。ID轉(zhuǎn)換部件111 讀取“個體C”和“個體D”作為包含在多條候選數(shù)據(jù)中的個體ID�����。ID轉(zhuǎn)換部件111關(guān)注與服務(wù)提供單元IOa相關(guān)的“個體C”和“個體D”�,并且從ID對應(yīng)關(guān)系存儲部件110中提取出與“個體C”相對應(yīng)的“個體Y”和與“個體D”相對應(yīng)的“個體δ”。ID轉(zhuǎn)換部件111利用提取出的服務(wù)個體ID來替換包含在多條候選數(shù)據(jù)中的每一條中的個體ID(圖5的步驟 S12)�。ID轉(zhuǎn)換部件111將服務(wù)個體ID和包含服務(wù)個體ID的多條候選數(shù)據(jù)提供給匿名化部件105。因為圖5的后續(xù)步驟S13至S 15與示例1的操作相同���,所以省略其描述�。(示例 3)接下來���,作為本發(fā)明第三示例性實施例中的信息管理設(shè)備300的示例�����,將描述未被發(fā)送到服務(wù)提供單元10的數(shù)據(jù)(由于其不滿足匿名性)被用于后續(xù)搜索請求的匿名性的示例����。在該示例中�����,假定機密數(shù)據(jù)存儲部件101在初始狀態(tài)中存儲具有“個體A”的個體 ID的人的動作數(shù)據(jù)��。圖13是示出存儲在機密數(shù)據(jù)存儲部件101中的�、具有“個體A”的個體ID的人的動作數(shù)據(jù)的示圖�����。參考圖13�,與作為個體ID的“個體A”相關(guān)的動作數(shù)據(jù)示出了從住宅區(qū)到購物區(qū)的移動�。應(yīng)當(dāng)注意,假定發(fā)送記錄存儲部件104中的發(fā)送記錄和未發(fā)送記錄存儲部件120中的未發(fā)送記錄在初始狀態(tài)中是空的�。假定服務(wù)提供單元10已將搜索請求發(fā)送到信息管理設(shè)備300,該搜索請求包含獲取從住宅區(qū)移動到購物區(qū)的人的動作數(shù)據(jù)的搜索條件����。信息管理設(shè)備300的接收部件102 接收搜索請求(圖7的步驟S30)。搜索部件103提取出“個體A”作為與搜索條件匹配的個體ID和與從住宅區(qū)移動到購物區(qū)的“個體A”相關(guān)的動作數(shù)據(jù)作為候選數(shù)據(jù)(圖7的步驟S31)��。搜索部件103將候選數(shù)據(jù)和包含在搜索請求中的服務(wù)ID提供給第二匿名化部件121����。第二匿名化部件121從搜索部件103接收候選數(shù)據(jù)和服務(wù)ID����。這里,因為發(fā)送記錄和未發(fā)送記錄是空的��,所以第二匿名化部件121將候選數(shù)據(jù)(具有“個體A”作為個體ID 的人的動作數(shù)據(jù))設(shè)置為新的未發(fā)送數(shù)據(jù)(圖7的步驟S3》�����。第二匿名化部件121將新的未發(fā)送數(shù)據(jù)與服務(wù)ID—起提供給第二管理部件122。未發(fā)送記錄存儲部件120存儲未發(fā)送數(shù)據(jù)(圖7的步驟S34)��。
接下來��,假定具有“個體B”作為個體ID并且從住宅區(qū)移動到購物區(qū)的人的動作數(shù)據(jù)被登記在機密數(shù)據(jù)存儲部件101中�。圖14是當(dāng)具有“個體B”作為個體ID并且從住宅區(qū)移動到購物區(qū)的人的動作數(shù)據(jù)被添加到圖13時的示圖。這里��,假定針對從住宅區(qū)移動到購物區(qū)的人的動作數(shù)據(jù)�,服務(wù)提供單元10已將搜索請求發(fā)送到信息管理設(shè)備300,該搜索請求包含用于搜索在上次搜索之后添加的動作數(shù)據(jù)的條件表達式�。換句話說,該示例中的搜索條件是在基于上次搜索請求的搜索之后添加的��、且具有與上次搜索請求相同種類的數(shù)據(jù)(與不能被匿名化的數(shù)據(jù)相同種類的數(shù)據(jù))的搜索���。接收部件102接收搜索請求(圖7 的步驟S30)���。搜索部件103從存儲在機密數(shù)據(jù)存儲部件101中的機密數(shù)據(jù)中提取出“個體 B”作為與搜索條件匹配的個體ID和與“個體B”相關(guān)的動作數(shù)據(jù),作為候選數(shù)據(jù)(圖7的步驟S31)��。搜索部件103將候選數(shù)據(jù)和包含在搜索請求中的服務(wù)ID提供給第二匿名化部件 121��。第二匿名化部件121從搜索部件103接收候選數(shù)據(jù)和服務(wù)ID。第二匿名化部件 121參考未發(fā)送記錄存儲部件120中的未發(fā)送記錄(服務(wù)ID和未發(fā)送數(shù)據(jù)的集合)���,并且提取出與服務(wù)提供單元10的服務(wù)ID相同的服務(wù)ID相關(guān)的未發(fā)送數(shù)據(jù)��。第二匿名化部件 121合并候選數(shù)據(jù)和提取出的未發(fā)送數(shù)據(jù)并且生成臨時發(fā)送數(shù)據(jù)�。第二匿名化部件121利用未發(fā)送數(shù)據(jù)對候選數(shù)據(jù)執(zhí)行諸如抽象��、模糊和部分刪除之類的處理(匿名化)��,以使得臨時發(fā)送數(shù)據(jù)滿足匿名性���。換句話說���,第二匿名化部件121執(zhí)行處理以包含候選數(shù)據(jù)(具有 “個體B”作為個體ID的人的動作數(shù)據(jù))和未發(fā)送數(shù)據(jù)(具有“個體A”作為個體ID的人的動作數(shù)據(jù))。此時���,第二匿名化部件121將與“個體B”的個體ID相關(guān)的多條數(shù)據(jù)中的�����、未包含在與“個體A”的個體ID相關(guān)的數(shù)據(jù)中的種類的數(shù)據(jù)確定為不能被匿名化的未發(fā)送數(shù)據(jù)。第二匿名化部件121將匿名化的臨時發(fā)送數(shù)據(jù)設(shè)置為新的發(fā)送數(shù)據(jù)�����,并且分離不能被匿名化的數(shù)據(jù)作為新的未發(fā)送數(shù)據(jù)。第二匿名化部件121將匿名化的臨時發(fā)送數(shù)據(jù)與服務(wù) ID 一起提供給第二管理部件122作為新的發(fā)送數(shù)據(jù)�,并且將不能被匿名化的數(shù)據(jù)與服務(wù)ID 一起提供給第二管理部件122作為新的未發(fā)送數(shù)據(jù)(圖7的步驟S32)。第二管理部件122從第二匿名化部件121接收服務(wù)ID���、新的發(fā)送數(shù)據(jù)和新的未發(fā)送數(shù)據(jù)���。第二管理部件122將服務(wù)ID和新的發(fā)送數(shù)據(jù)提供給發(fā)送記錄存儲部件104,并將服務(wù)ID和新的未發(fā)送數(shù)據(jù)提供給未發(fā)送記錄存儲部件120���。而且���,第二管理部件122將服務(wù)ID和新的發(fā)送數(shù)據(jù)提供給發(fā)送部件107。發(fā)送記錄存儲部件104將新的發(fā)送數(shù)據(jù)與服務(wù)ID相關(guān)并將其存儲在發(fā)送記錄中(圖7的步驟S3����; )。另外��,未發(fā)送記錄存儲部件120將新的未發(fā)送數(shù)據(jù)與服務(wù)ID相關(guān)并將其存儲在未發(fā)送記錄中(圖7的步驟S34)��。發(fā)送部件 107從管理部件106接收服務(wù)ID和新的發(fā)送數(shù)據(jù)。發(fā)送部件107基于服務(wù)ID將新的發(fā)送數(shù)據(jù)發(fā)送到服務(wù)提供單元10 (圖7的步驟S35)�。在上文中,通過參考以上實施例(和示例)描述了本發(fā)明�����。然而��,本發(fā)明并不限于以上實施例(和示例)���。對于本發(fā)明的配置和細節(jié)�,可以實現(xiàn)本領(lǐng)域技術(shù)人員在本發(fā)明的范圍內(nèi)可以理解的各種改變���。該專利申請要求2009年7月31日提交的日本專利申請No. 2009-180041的優(yōu)先權(quán)��,該申請的公開通過引用結(jié)合于此�����。
權(quán)利要求
1.一種信息管理設(shè)備���,包括機密數(shù)據(jù)存儲部件,被配置為存儲多個個體標識符ID和與所述多個個體ID中的每一個相關(guān)的數(shù)據(jù)作為機密數(shù)據(jù)�;接收部件����,被配置為接收從第一服務(wù)提供單元發(fā)送來的��、用于獲取期望機密數(shù)據(jù)的第一搜索條件�;搜索部件����,被配置為從所述機密數(shù)據(jù)存儲部件中提取出與所述第一搜索條件匹配的第一候選數(shù)據(jù);發(fā)送記錄存儲部件�,被配置為存儲已被發(fā)送到所述第一服務(wù)提供單元的多條匿名化數(shù)據(jù);匿名化部件����,被配置為通過基于所述多條匿名化數(shù)據(jù)中的第一數(shù)據(jù)執(zhí)行處理以包含所述第一候選數(shù)據(jù)和所述第一數(shù)據(jù)來生成第一發(fā)送數(shù)據(jù),所述第一數(shù)據(jù)具有與所述第一候選數(shù)據(jù)相同種類的數(shù)據(jù)���;以及發(fā)送部件�,被配置為將所述第一發(fā)送數(shù)據(jù)發(fā)送到所述第一服務(wù)提供單元�。
2.如權(quán)利要求1所述的信息管理設(shè)備,還包括ID對應(yīng)關(guān)系存儲部件��,被配置為相關(guān)并存儲所述多個個體ID和對于每一服務(wù)提供單元不同的多個服務(wù)個體ID �;以及ID轉(zhuǎn)換部件�����,被配置為接收所述第一候選數(shù)據(jù)并將包含在所述第一候選數(shù)據(jù)中的第一個體ID替換為與所述第一個體ID相對應(yīng)的第一服務(wù)個體ID����,其中所述發(fā)送部件將包含所述第一服務(wù)個體ID的第一發(fā)送數(shù)據(jù)發(fā)送到所述第一服務(wù)提供單元�����。
3.如權(quán)利要求1或2所述的信息管理設(shè)備���,還包括管理部件�����,被配置為接收所述第一發(fā)送數(shù)據(jù)以提供給所述發(fā)送記錄存儲部件��, 其中所述發(fā)送記錄存儲部件存儲所述第一發(fā)送數(shù)據(jù)以包含在所述多條匿名化數(shù)據(jù)中��。
4.如權(quán)利要求1至3中的任一項所述的信息管理設(shè)備�,還包括未發(fā)送記錄存儲部件���,被配置為存儲包含在所述第一候選數(shù)據(jù)中的�、不能被匿名化的數(shù)據(jù)作為未發(fā)送數(shù)據(jù),其中所述匿名化部件將包含在所述第一候選數(shù)據(jù)中的數(shù)據(jù)中的�����、未包含在所述第一數(shù)據(jù)中的種類的數(shù)據(jù)確定為不能被匿名化的數(shù)據(jù)���。
5.如權(quán)利要求4所述的信息管理設(shè)備,其中當(dāng)所述機密數(shù)據(jù)存儲部件存儲具有與不能被匿名化的數(shù)據(jù)相同種類的數(shù)據(jù)的第二數(shù)據(jù)時����,在與所述第一搜索條件匹配的第一候選數(shù)據(jù)被提取出來之后,所述接收部件從所述第一服務(wù)提供單元接收第二搜索條件�����,所述第二搜索條件用于獲取在基于所述第一搜素條件的搜索之后添加的��、且與不能被匿名化的數(shù)據(jù)相同種類的數(shù)據(jù)�����;所述搜索部件從所述機密數(shù)據(jù)存儲部件提取出與所述第二搜索條件匹配的第二數(shù)據(jù)作為第二候選數(shù)據(jù)����,并且所述匿名化部件通過執(zhí)行處理以包含所述第二候選數(shù)據(jù)以及所述多條匿名化數(shù)據(jù)中的��、未發(fā)送數(shù)據(jù)和具有與所述第二候選數(shù)據(jù)相同種類的數(shù)據(jù)的第三數(shù)據(jù)中的至少一者����,來生成第二發(fā)送數(shù)據(jù)�����,并且所述發(fā)送部件將所述第二發(fā)送數(shù)據(jù)發(fā)送到所述第一服務(wù)提供單元�。
6.一種信息管理方法,包括接收從第一服務(wù)提供單元發(fā)送來的��、用于獲取期望機密數(shù)據(jù)的第一搜索條件的步驟�����; 從機密數(shù)據(jù)存儲部件中提取出與所述第一搜索條件匹配的第一候選數(shù)據(jù)的步驟��,所述機密數(shù)據(jù)存儲部件存儲多個個體標識符ID和與所述多個個體ID中的每一個相關(guān)的數(shù)據(jù)作為機密數(shù)據(jù)����;通過基于已被發(fā)送到所述第一服務(wù)提供單元的多條匿名化數(shù)據(jù)中的第一數(shù)據(jù)執(zhí)行處理以包含所述第一候選數(shù)據(jù)和所述第一數(shù)據(jù)來生成第一發(fā)送數(shù)據(jù)的步驟,所述第一數(shù)據(jù)具有與所述第一候選數(shù)據(jù)相同種類的數(shù)據(jù)��;以及將所述第一發(fā)送數(shù)據(jù)發(fā)送到所述第一服務(wù)提供單元的步驟�����。
7.如權(quán)利要求6所述的信息管理方法,還包括基于ID對應(yīng)關(guān)系存儲部件將包含在所述第一候選數(shù)據(jù)中的第一個體ID替換為與所述第一個體ID相對應(yīng)的第一服務(wù)個體ID的步驟��,所述ID對應(yīng)關(guān)系存儲部件被配置為相關(guān)并存儲所述多個個體ID和對于每一服務(wù)提供單元不同的多個服務(wù)個體ID�����, 其中所述生成第一發(fā)送數(shù)據(jù)的步驟包括對所述第一候選數(shù)據(jù)執(zhí)行處理以包含所述第一候選數(shù)據(jù)和所述第一數(shù)據(jù)的步驟���,其中所述第一候選數(shù)據(jù)包含所述第一服務(wù)個體ID。
8.如權(quán)利要求6或7所述的信息管理方法����,其中所述生成第一發(fā)送數(shù)據(jù)的步驟包括 將包含在所述第一候選數(shù)據(jù)中的數(shù)據(jù)中的、不包含在所述第一數(shù)據(jù)中的種類的數(shù)據(jù)確定為不能被匿名化的數(shù)據(jù)的步驟�;以及將所述不能被匿名化的數(shù)據(jù)存儲為未發(fā)送數(shù)據(jù)的步驟。
9.如權(quán)利要求8所述的信息管理方法��,還包括在與所述第一搜索條件匹配的第一候選數(shù)據(jù)被提取出來之后���,將具有與不能被匿名化的數(shù)據(jù)相同種類的數(shù)據(jù)的第二數(shù)據(jù)存儲為機密數(shù)據(jù)的步驟��;從所述第一服務(wù)提供單元接收第二搜索條件的步驟��,所述第二搜索條件用于獲取在基于所述第一搜索條件的搜索之后添加的�����、且與不能被匿名化的數(shù)據(jù)相同種類的數(shù)據(jù)�����;從所述機密數(shù)據(jù)存儲部件提取出與所述第二搜索條件匹配的第二數(shù)據(jù)作為第二候選數(shù)據(jù)的步驟����;以及通過執(zhí)行處理以包含所述第二候選數(shù)據(jù)以及所述多條匿名化數(shù)據(jù)中的、未發(fā)送數(shù)據(jù)和具有與所述第二候選數(shù)據(jù)相同種類的數(shù)據(jù)的第三數(shù)據(jù)中的至少一者�,來生成第二發(fā)送數(shù)據(jù)的步驟;以及將所述第二發(fā)送數(shù)據(jù)發(fā)送到所述第一服務(wù)提供單元的步驟����。
10.一種使得計算機執(zhí)行如權(quán)利要求6至9中的任一項所述的方法的信息管理程序。
全文摘要
本發(fā)明公開了一種信息管理設(shè)備��,其設(shè)有敏感信息存儲單元����,用于存儲多個個人ID和與多個個人ID中的每一個相關(guān)聯(lián)的信息作為敏感信息;接收器,用于接收從第一服務(wù)提供裝置發(fā)送來的�����、用于獲取期望敏感信息的第一搜索條件����;搜索單元,用于從敏感信息存儲單元中提取出匹配第一搜索條件的第一候選信息�;發(fā)送歷史存儲單元,用于存儲已被第一服務(wù)提供裝置發(fā)送的去標識信息的多個單位���;去標識器���,用于生產(chǎn)第一發(fā)送信息,其已基于第一信息被處理以包括第一候選信息和第一信息��,所述第一信息具有去標識信息的多個單位中���、與第一候選信息相同類型的信息;以及發(fā)送器�����,用于將第一發(fā)送信息發(fā)送到第一服務(wù)提供裝置����。
文檔編號G06Q10/00GK102473227SQ20108003421
公開日2012年5月23日 申請日期2010年7月8日 優(yōu)先權(quán)日2009年7月31日
發(fā)明者宮川伸也 申請人:日本電氣株式會社