[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP7579478B1 - Information processing device, information processing system, and information processing method - Google Patents

Information processing device, information processing system, and information processing method Download PDF

Info

Publication number
JP7579478B1
JP7579478B1 JP2024081002A JP2024081002A JP7579478B1 JP 7579478 B1 JP7579478 B1 JP 7579478B1 JP 2024081002 A JP2024081002 A JP 2024081002A JP 2024081002 A JP2024081002 A JP 2024081002A JP 7579478 B1 JP7579478 B1 JP 7579478B1
Authority
JP
Japan
Prior art keywords
noise
data
unit
budget
attributes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2024081002A
Other languages
Japanese (ja)
Inventor
清良 披田野
茂莉 黒川
求 山口
善則 浅川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2024081002A priority Critical patent/JP7579478B1/en
Application granted granted Critical
Publication of JP7579478B1 publication Critical patent/JP7579478B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】匿名化したデータ群を提供する場合にプライバシーリスクの増大を抑制する。【解決手段】情報処理装置1は、複数の属性それぞれのデータを含むデータ群を管理する第1装置2から、属性の数を示す属性数情報と、複数の属性それぞれのデータの所定の期間における更新頻度を示す更新頻度情報とを受信する受信部131と、受信した属性数情報が示す属性の数と、更新頻度情報が示す更新頻度と、データ群に対して付与できるノイズの量を示すプライバシー予算とに基づいて、データ群に含まれる1つの属性のデータにノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量を決定する決定部132と、プライバシー予算と、決定部132が決定した前予算消費量とを第1装置2に送信する送信部133と、を有する。【選択図】図2[Problem] To suppress an increase in privacy risk when providing an anonymized data set. [Solution] An information processing device (1) has a receiving unit (131) that receives attribute number information indicating the number of attributes and update frequency information indicating the update frequency of data of each of the multiple attributes in a predetermined period from a first device (2) that manages a data set including data of each of multiple attributes, a determining unit (132) that determines a budget consumption amount, which is the amount of the privacy budget to be reduced for adding noise once to data of one attribute included in the data set, based on the number of attributes indicated by the received attribute number information, the update frequency indicated by the update frequency information, and a privacy budget indicating the amount of noise that can be added to the data set, and a transmitting unit (133) that transmits the privacy budget and the previous budget consumption amount determined by the determining unit (132) to the first device (2). [Selected Figure] Figure 2

Description

本発明は、情報処理装置、情報処理システム及び情報処理方法に関する。 The present invention relates to an information processing device, an information processing system, and an information processing method.

従来、ユーザに関する情報であるユーザ情報を収集し、データ分析を行うことが実施されている。この場合、ユーザのプライバシーを保護するために、ユーザ情報の少なくとも一部に対してノイズの付与等を行い、ユーザ情報を匿名化することが行われている(例えば、特許文献1参照)。 Conventionally, user information, which is information about users, is collected and data analysis is performed. In this case, in order to protect the privacy of users, noise is added to at least a part of the user information to make the user information anonymous (see, for example, Patent Document 1).

特開2011-117679号公報JP 2011-117679 A

データ分析を行う場合、様々な観点からデータ分析を行うことが多く、同一のデータ群の取得要求が複数回行われることがある。同一のデータ群に対する取得要求が複数回行われる場合に、同一のデータ群に対してユーザ情報の匿名化が複数回繰り返されると、同一のデータ群に対応する複数のバリエーションのデータ群が生成される。この場合、複数のバリエーションのデータ群を分析することにより、匿名化が行われる前のデータ群の内容を推測しやすくなり、ユーザの識別性が上がる等のプライバシーリスクが増大するという問題が発生する。特に、複数事業者が連携してデータ分析を行う場合はプライバシーリスク増大が顕著になる。 When performing data analysis, data analysis is often performed from various perspectives, and multiple requests to acquire the same data group may be made. When multiple requests to acquire the same data group are made, if user information is anonymized multiple times for the same data group, multiple variations of data groups corresponding to the same data group will be generated. In this case, by analyzing multiple variations of data groups, it becomes easier to guess the contents of the data group before anonymization, which gives rise to problems such as increased privacy risks such as increased user identifiability. The increased privacy risk is particularly noticeable when multiple businesses collaborate on data analysis.

そこで、本発明はこれらの点に鑑みてなされたものであり、匿名化したデータ群を提供する場合にプライバシーリスクの増大を抑制することを目的とする。 The present invention has been made in consideration of these points, and aims to prevent an increase in privacy risks when providing anonymized data groups.

本発明の第1の態様に係る情報処理装置は、複数の属性それぞれのデータを含むデータ群を管理する装置から、前記属性の数を示す属性数情報と、複数の前記属性それぞれのデータの所定の期間における更新頻度を示す更新頻度情報とを受信する受信部と、受信した前記属性数情報が示す属性の数と、前記更新頻度情報が示す更新頻度と、前記データ群に対して付与できるノイズの量を示すプライバシー予算とに基づいて、前記データ群に含まれる1つの属性のデータに前記ノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量を決定する決定部と、前記プライバシー予算と、前記決定部が決定した前記予算消費量とを前記装置に送信する送信部と、を有する。 The information processing device according to the first aspect of the present invention has a receiving unit that receives attribute number information indicating the number of attributes and update frequency information indicating the update frequency of data of each of the multiple attributes in a predetermined period from a device that manages a data group including data of each of the multiple attributes, a determining unit that determines a budget consumption amount, which is the amount of the privacy budget to be reduced for adding the noise once to data of one attribute included in the data group, based on the number of attributes indicated by the received attribute number information, the update frequency indicated by the update frequency information, and a privacy budget indicating the amount of noise that can be added to the data group, and a transmitting unit that transmits the privacy budget and the budget consumption amount determined by the determining unit to the device.

前記受信部は、複数の異なるデータ群それぞれを管理する複数の装置から、前記装置が管理するデータ群に対応する前記属性数情報と前記更新頻度情報とを受信し、前記決定部は、複数の装置それぞれから受信した前記属性数情報が示す属性の数と、前記更新頻度情報が示す更新頻度と、前記複数の前記データ群に対して付与できるノイズの量を示す前記プライバシー予算に基づいて、複数の前記装置それぞれが管理する複数のデータ群それぞれに対する前記予算消費量を決定し、複数のデータ群それぞれに対する前記予算消費量と、複数のデータ群それぞれに対する前記属性の数とに基づいて、複数のデータ群それぞれに対応するプライバシー予算である個別プライバシー予算を決定し、前記送信部は、複数の前記装置それぞれに、当該装置に対応する前記データ群に対して前記決定部が決定した個別プライバシー予算と、前記予算消費量とを送信してもよい。 The receiving unit may receive, from a plurality of devices that manage a plurality of different data groups, the attribute number information and the update frequency information corresponding to the data groups managed by the devices, and the determination unit may determine the budget consumption amount for each of the plurality of data groups managed by each of the plurality of devices based on the number of attributes indicated by the attribute number information received from each of the plurality of devices, the update frequency indicated by the update frequency information, and the privacy budget indicating the amount of noise that can be added to the plurality of data groups, and determine an individual privacy budget, which is a privacy budget corresponding to each of the plurality of data groups, based on the budget consumption amount for each of the plurality of data groups and the number of attributes for each of the plurality of data groups, and the transmission unit may transmit, to each of the plurality of devices, the individual privacy budget and the budget consumption amount determined by the determination unit for the data group corresponding to the device.

前記決定部は、前記更新頻度情報が示す複数の属性それぞれのデータの更新頻度のうち最大の更新頻度を特定し、前記属性数情報が示す属性の数と、特定した前記最大の更新頻度と、前記プライバシー予算とに基づいて、前記予算消費量を決定してもよい。 The determination unit may identify a maximum update frequency among the update frequencies of data for each of the multiple attributes indicated by the update frequency information, and determine the budget consumption amount based on the number of attributes indicated by the attribute count information, the identified maximum update frequency, and the privacy budget.

本発明の第2の態様に係る情報処理装置は、複数の属性それぞれのデータを含むデータ群を管理する情報処理装置であって、前記属性の数と、複数の前記属性それぞれのデータの所定の期間における更新頻度とを特定する特定部と、前記特定部が特定した前記属性の数を示す属性数情報と、前記更新頻度を示す更新頻度情報とを、前記データ群に対して付与できるノイズの量を示すプライバシー予算を管理する管理装置に送信する送信部と、前記管理装置から、前記属性数情報が示す属性の数と、前記更新頻度情報が示す更新頻度と、前記プライバシー予算とに基づいて決定された、前記データ群に含まれる1つの属性のデータにノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量と、前記プライバシー予算とを示す予算情報を受信する受信部と、受信した前記プライバシー予算を記憶部に記憶させる記憶制御部と、前記データ群に含まれる一以上の属性それぞれのデータである対象データにノイズを付与する場合に、前記予算消費量に基づいて、当該ノイズの付与に対応する前記プライバシー予算の減算量を特定し、前記記憶部に記憶されているプライバシー予算が、特定した減算量以上であることを条件として前記対象データに対してノイズを付与するノイズ付与部と、前記ノイズ付与部がノイズを付与したことに応じて、前記記憶部に記憶されているプライバシー予算から当該ノイズの付与に対応する前記減算量を減算する減算部と、を有する。 An information processing device according to a second aspect of the present invention is an information processing device that manages a data group including data for each of a plurality of attributes, and includes an identification unit that identifies the number of the attributes and the update frequency of the data for each of the plurality of attributes in a predetermined period of time, a transmission unit that transmits attribute number information indicating the number of the attributes identified by the identification unit and update frequency information indicating the update frequency to a management device that manages a privacy budget that indicates the amount of noise that can be added to the data group, and a privacy budget that is reduced relative to adding noise once to data for one attribute included in the data group, the privacy budget being determined from the management device based on the number of attributes indicated by the attribute number information, the update frequency indicated by the update frequency information, and the privacy budget. The data processing apparatus includes a receiving unit that receives budget information indicating a budget consumption amount, which is an amount of data, and the privacy budget; a storage control unit that stores the received privacy budget in a storage unit; a noise adding unit that, when adding noise to target data, which is data for one or more attributes included in the data group, specifies a subtraction amount of the privacy budget corresponding to the addition of the noise based on the budget consumption amount and adds noise to the target data on condition that the privacy budget stored in the storage unit is equal to or greater than the specified subtraction amount; and a subtraction unit that subtracts the subtraction amount corresponding to the addition of the noise from the privacy budget stored in the storage unit in response to the noise being added by the noise adding unit.

前記情報処理装置は、前記管理装置から、前記対象データの取得要求を受け付ける受付部をさらに有し、前記ノイズ付与部は、前記受付部が受け付けた前記取得要求に対応する前記対象データにノイズを付与する場合に、当該ノイズの付与に対応する前記減算量を特定し、前記記憶部に記憶されているプライバシー予算が、特定した減算量以上であることを条件として前記対象データに対してノイズを付与し、前記送信部は、前記ノイズ付与部によりノイズが付与された前記対象データであるノイズ付与済データを前記管理装置に送信してもよい。 The information processing device may further include a reception unit that receives an acquisition request for the target data from the management device, and the noise adding unit, when adding noise to the target data corresponding to the acquisition request received by the reception unit, may specify the subtraction amount corresponding to the addition of noise, and add noise to the target data on condition that the privacy budget stored in the memory unit is equal to or greater than the specified subtraction amount, and the transmission unit may transmit noise-added data, which is the target data to which noise has been added by the noise adding unit, to the management device.

前記記憶制御部は、前記ノイズ付与済データを前記記憶部に記憶させ、前記送信部は、前記受付部が受け付けた前記取得要求に対応する前記対象データに対して前記ノイズ付与部がノイズを付与しなかった場合に、前記記憶部に記憶されている当該対象データに対応する前記ノイズ付与済データを前記管理装置に送信してもよい。 The memory control unit may store the noise-added data in the memory unit, and the transmission unit may transmit the noise-added data corresponding to the target data stored in the memory unit to the management device when the noise adding unit does not add noise to the target data corresponding to the acquisition request received by the reception unit.

前記記憶制御部は、前記ノイズ付与済データを前記記憶部に記憶させ、前記ノイズ付与部は、前記受付部が受け付けた前記取得要求に対応する前記対象データにノイズを付与する場合に、前記記憶部に記憶されているプライバシー予算が、特定した減算量以上であることを条件として、前記記憶部に記憶されている、前記対象データに対応する前記ノイズ付与済データに対してノイズを付与してもよい。 The memory control unit stores the noise-added data in the memory unit, and when the noise adding unit adds noise to the target data corresponding to the acquisition request accepted by the accepting unit, the noise adding unit may add noise to the noise-added data corresponding to the target data stored in the memory unit, on condition that the privacy budget stored in the memory unit is equal to or greater than a specified subtraction amount.

前記記憶制御部は、前記ノイズ付与済データを前記記憶部に記憶させ、前記ノイズ付与部は、前記受付部が受け付けた前記対象データに対応する前記ノイズ付与済データが前記記憶部に記憶されている場合において、前記ノイズ付与済データが前記記憶部に記憶された後に、当該対象データに対する更新があったときには、前記記憶部に記憶されている当該対象データに対してノイズを付与してもよい。 The storage control unit stores the noise-added data in the storage unit, and when the noise-added data corresponding to the target data accepted by the accepting unit is stored in the storage unit, the noise adding unit may add noise to the target data stored in the storage unit when the target data is updated after the noise-added data is stored in the storage unit.

前記ノイズ付与部は、前記データ群のうち、前記ノイズが付与されていないデータ群の全体に対してノイズを付与した場合における前記減算量を第2減算量として特定し、前記プライバシー予算が前記第2減算量以上であるともに、前記プライバシー予算から前記取得要求に対応する減算量を減算した後のプライバシー予算が前記第2減算量未満となる場合に、前記ノイズが付与されていないデータ群の全体に対してノイズを付与し、前記減算部は、前記ノイズ付与部が、前記ノイズが付与されていないデータ群の全体に対してノイズを付与したことに応じて、前記記憶部に記憶されているプライバシー予算から当該ノイズの付与に対応する前記減算量を減算してもよい。 The noise adding unit may identify the subtraction amount when noise is added to the entire data group to which the noise is not added as a second subtraction amount, and when the privacy budget is equal to or greater than the second subtraction amount and the privacy budget after subtracting the subtraction amount corresponding to the acquisition request from the privacy budget is less than the second subtraction amount, add noise to the entire data group to which the noise is not added, and the subtraction unit may subtract the subtraction amount corresponding to the addition of the noise from the privacy budget stored in the storage unit in response to the noise adding unit adding noise to the entire data group to which the noise is not added.

前記ノイズ付与部は、前記データ群の全体に対しノイズを付与するとともに、前記予算消費量に基づいて、当該ノイズの付与に対応する前記プライバシー予算の減算量を特定し、前記減算部は、前記ノイズ付与部が前記データ群の全体に対してノイズを付与したことに応じて、前記記憶部に記憶されているプライバシー予算から当該ノイズの付与に対応する前記減算量を減算し、前記記憶制御部は、ノイズが付与された前記データ群をノイズ付与済データ群として前記記憶部に記憶させ、前記情報処理装置は、前記管理装置から、前記対象データの取得要求を受け付ける受付部をさらに有し、前記送信部は、前記ノイズ付与済データ群のうち、前記受付部が受け付けた前記取得要求が示す対象データに対応するデータをノイズ付与済データとして前記管理装置に送信してもよい。 The noise adding unit adds noise to the entire data group and determines a subtraction amount of the privacy budget corresponding to the addition of the noise based on the budget consumption amount, the subtraction unit subtracts the subtraction amount corresponding to the addition of the noise from the privacy budget stored in the memory unit in response to the noise adding unit adding noise to the entire data group, the memory control unit stores the data group to which noise has been added in the memory unit as a noise-added data group, the information processing device further has a reception unit that receives an acquisition request for the target data from the management device, and the transmission unit may transmit data from the noise-added data group corresponding to the target data indicated by the acquisition request received by the reception unit to the management device as noise-added data.

前記ノイズ付与部は、前記対象データが有する属性の数に、前記予算消費量を乗算することにより、前記プライバシー予算の減算量を特定してもよい。 The noise adding unit may determine the amount of the privacy budget to be subtracted by multiplying the number of attributes possessed by the target data by the budget consumption amount.

本発明の第3の態様に係る情報処理システムは、複数の属性それぞれのデータを含むデータ群を管理するデータ管理装置と、情報処理装置とを有する情報処理システムであって、前記データ管理装置は、前記属性の数と、複数の前記属性それぞれのデータの所定の期間における更新頻度とを特定する特定部と、前記特定部が特定した前記属性の数を示す属性数情報と、前記更新頻度を示す更新頻度情報とを、前記データ群に対して付与できるノイズの量を示すプライバシー予算を管理する管理装置に送信する送信部と、を有し、前記情報処理装置は、前記データ管理装置から、前記属性数情報と、前記更新頻度情報とを受信する受信部と、受信した前記属性数情報が示す属性の数と、前記更新頻度情報が示す更新頻度と、前記データ群に対して付与できるノイズの量を示すプライバシー予算とに基づいて、前記データ群に含まれる1つの属性のデータに前記ノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量を決定する決定部と、前記プライバシー予算と、前記決定部が決定した前記予算消費量とを示す予算情報を前記データ管理装置に送信する送信部と、を有し、前記データ管理装置は、前記情報処理装置から、前記予算情報を受信する受信部と、受信した前記プライバシー予算を記憶部に記憶させる記憶制御部と、前記データ群に含まれる一以上の属性それぞれのデータである対象データにノイズを付与する場合に、前記予算消費量に基づいて、当該ノイズの付与に対応する前記プライバシー予算の減算量を特定し、前記記憶部に記憶されているプライバシー予算が、特定した減算量以上であることを条件として前記対象データに対してノイズを付与するノイズ付与部と、前記ノイズ付与部がノイズを付与したことに応じて、前記記憶部に記憶されているプライバシー予算から当該ノイズの付与に対応する前記減算量を減算する減算部と、をさらに有してもよい。 An information processing system according to a third aspect of the present invention is an information processing system having a data management device that manages a data group including data for each of a plurality of attributes, and an information processing device, wherein the data management device has an identification unit that identifies the number of the attributes and the update frequency of the data for each of the plurality of attributes in a predetermined period, and a transmission unit that transmits attribute number information indicating the number of the attributes identified by the identification unit and update frequency information indicating the update frequency to a management device that manages a privacy budget that indicates the amount of noise that can be added to the data group, and the information processing device has a reception unit that receives the attribute number information and the update frequency information from the data management device, and reduces the amount of noise added to data of one attribute included in the data group, based on the number of attributes indicated by the received attribute number information, the update frequency indicated by the update frequency information, and the privacy budget that indicates the amount of noise that can be added to the data group, for example. The data management device may further include a determination unit that determines a budget consumption amount, which is an amount of a privacy budget, and a transmission unit that transmits budget information indicating the privacy budget and the budget consumption amount determined by the determination unit to the data management device. The data management device may further include a reception unit that receives the budget information from the information processing device, a storage control unit that stores the received privacy budget in a storage unit, a noise addition unit that, when adding noise to target data that is data of one or more attributes included in the data group, specifies a subtraction amount of the privacy budget corresponding to the addition of the noise based on the budget consumption amount, and adds noise to the target data on the condition that the privacy budget stored in the storage unit is equal to or greater than the specified subtraction amount, and a subtraction unit that subtracts the subtraction amount corresponding to the addition of the noise from the privacy budget stored in the storage unit in response to the addition of noise by the noise addition unit.

本発明の第4の態様に係る情報処理方法は、コンピュータが実行する、複数の属性それぞれのデータを含むデータ群を管理する装置から、前記属性の数を示す属性数情報と、複数の前記属性それぞれのデータの所定の期間における更新頻度を示す更新頻度情報とを受信するステップと、受信した前記属性数情報が示す属性の数と、前記更新頻度情報が示す更新頻度と、前記データ群に対して付与できるノイズの量を示すプライバシー予算とに基づいて、前記データ群に含まれる1つの属性のデータに前記ノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量を決定するステップと、前記プライバシー予算と、決定した前記予算消費量とを前記装置に送信するステップと、を有する。 The information processing method according to the fourth aspect of the present invention includes the steps of receiving, from a device that manages a data set including data for each of a plurality of attributes, attribute number information indicating the number of the attributes and update frequency information indicating the update frequency of the data for each of the plurality of attributes in a predetermined period, determining a budget consumption amount, which is the amount of the privacy budget to be reduced for adding the noise once to data for one attribute included in the data set, based on the number of attributes indicated by the received attribute number information, the update frequency indicated by the update frequency information, and a privacy budget indicating the amount of noise that can be added to the data set, and transmitting the privacy budget and the determined budget consumption amount to the device.

本発明の第5の態様に係る情報処理方法は、複数の属性それぞれのデータを含むデータ群を管理するコンピュータが実行する、前記属性の数と、複数の前記属性それぞれのデータの所定の期間における更新頻度とを特定するステップと、特定した前記属性の数を示す属性数情報と、前記更新頻度を示す更新頻度情報とを、前記データ群に対して付与できるノイズの量を示すプライバシー予算を管理する管理装置に送信するステップと、前記管理装置から、前記属性数情報が示す属性の数と、前記更新頻度情報が示す更新頻度と、前記プライバシー予算とに基づいて決定された、前記データ群に含まれる1つの属性のデータにノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量と、前記プライバシー予算とを示す予算情報を受信するステップと、受信した前記プライバシー予算を記憶部に記憶させるステップと、前記データ群に含まれる一以上の属性それぞれのデータである対象データにノイズを付与する場合に、前記予算消費量に基づいて、当該ノイズの付与に対応する前記プライバシー予算の減算量を特定し、前記記憶部に記憶されているプライバシー予算が、特定した減算量以上であることを条件として前記対象データに対してノイズを付与するステップと、前記対象データに対してノイズを付与したことに応じて、前記記憶部に記憶されているプライバシー予算から当該ノイズの付与に対応する前記減算量を減算するステップと、を有する。 An information processing method according to a fifth aspect of the present invention includes the steps of: identifying the number of attributes and the update frequency of data for each of the multiple attributes in a predetermined period, executed by a computer that manages a data set including data for each of the multiple attributes; transmitting attribute number information indicating the identified number of attributes and update frequency information indicating the update frequency to a management device that manages a privacy budget indicating the amount of noise that can be added to the data set; and transmitting from the management device an amount of privacy budget that is reduced per adding noise once to data for one attribute included in the data set, the amount being determined based on the number of attributes indicated by the attribute number information, the update frequency indicated by the update frequency information, and the privacy budget. The method includes the steps of receiving budget information indicating a certain budget consumption amount and the privacy budget, storing the received privacy budget in a storage unit, specifying a subtraction amount of the privacy budget corresponding to the addition of the noise based on the budget consumption amount when adding noise to target data that is data of one or more attributes included in the data group, and adding noise to the target data on condition that the privacy budget stored in the storage unit is equal to or greater than the specified subtraction amount, and subtracting the subtraction amount corresponding to the addition of the noise from the privacy budget stored in the storage unit in response to adding noise to the target data.

本発明によれば、匿名化したデータ群を提供する場合にプライバシーリスクの増大を抑制することができるという効果を奏する。 The present invention has the effect of preventing an increase in privacy risks when providing anonymized data groups.

情報処理システムの概要を説明する図である。FIG. 1 is a diagram illustrating an overview of an information processing system. 情報処理装置の機能構成を示す図である。FIG. 2 is a diagram illustrating a functional configuration of an information processing device. 第1装置の機能構成を示す図である。FIG. 2 is a diagram illustrating a functional configuration of a first device. 情報処理装置1が第1装置及び第2装置からデータを収集するまでの情報処理システムSにおける処理の流れを示すシーケンス図である。1 is a sequence diagram showing a flow of processing in an information processing system S until an information processing device 1 collects data from a first device and a second device. 第1装置が対象データに対してノイズを付与する処理の流れを示すフローチャートである。10 is a flowchart showing a process flow in which the first device adds noise to target data.

[情報処理システムSの概要]
図1は、情報処理システムSの概要を説明する図である。情報処理システムSは、情報処理装置1と、第1データ群を管理する第1装置2と、第2データ群を管理する第2装置3とを有し、情報処理装置1にデータ群を集約するためのシステムである。 [Overview of Information Processing System S]
1 is a diagram illustrating an overview of an information processing system S. The information processing system S has an information processing device 1, a first device 2 that manages a first data group, and a second device 3 that manages a second data group, and is a system for aggregating data groups in the information processing device 1.

情報処理装置1は、例えばデータを集約し、集約後のデータを提供するサービスを提供する集約事業者により運用されており、第1装置2及び第2装置3等の外部装置と、インターネットや携帯電話回線等の通信ネットワーク(不図示)を介して通信可能に接続されている。 The information processing device 1 is operated by an aggregation business that provides a service of aggregating data and providing the aggregated data, and is communicatively connected to external devices such as a first device 2 and a second device 3 via a communication network (not shown) such as the Internet or a mobile phone line.

第1装置2は、例えば第1の事業者により運用されているコンピュータである。第1装置2は、データを識別するためのデータ識別情報としてのデータIDと第1データとを関連付けた複数の第1レコードを含む第1データ群を管理する第1データ管理装置として機能する。第2装置3は、例えば第2の事業者により運用されているコンピュータである。第2装置3は、第1データ群に含まれているデータIDと共通のデータIDと、第2データとを関連付けた複数の第2レコードを含む第2データ群を管理する第2データ管理装置として機能する。第1データ群及び第2データ群は、複数の属性それぞれのデータを含んでいる。 The first device 2 is, for example, a computer operated by a first business operator. The first device 2 functions as a first data management device that manages a first data group including a plurality of first records that associate a data ID as data identification information for identifying data with the first data. The second device 3 is, for example, a computer operated by a second business operator. The second device 3 functions as a second data management device that manages a second data group including a plurality of second records that associate a data ID common to the data IDs included in the first data group with the second data. The first data group and the second data group each include data of a plurality of attributes.

情報処理装置1は、第1装置2及び第2装置3からデータを集約する際に、集約するデータのプライバシーリスクが増大することを抑制するために、データ群に付与できるノイズの量を示すプライバシー予算を管理する予算管理装置として機能する。そして、情報処理装置1は、データ群に含まれる1つの属性のデータにノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量を決定する。 When aggregating data from the first device 2 and the second device 3, the information processing device 1 functions as a budget management device that manages a privacy budget that indicates the amount of noise that can be added to a data group in order to suppress an increase in privacy risk of the aggregated data. The information processing device 1 then determines a budget consumption amount, which is the amount of the privacy budget that is reduced for adding noise once to data of one attribute included in the data group.

具体的には、情報処理装置1は、第1装置2及び第2装置3のそれぞれから、データ群に含まれているデータの属性の数を示す属性数情報と、複数の属性それぞれのデータの所定の期間における更新頻度を示す更新頻度情報とを受信する。そして、情報処理装置1は、属性数情報が示す属性の数と、更新頻度情報が示す更新頻度と、プライバシー予算とに基づいて、データ群に含まれる1つの属性のデータにノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量を決定する。情報処理装置1は、決定した予算消費量と、プライバシー予算とを第1装置2と第2装置3とに送信する。 Specifically, the information processing device 1 receives, from each of the first device 2 and the second device 3, attribute number information indicating the number of attributes of the data included in the data group, and update frequency information indicating the update frequency of the data of each of the multiple attributes in a specified period. Then, based on the number of attributes indicated by the attribute number information, the update frequency indicated by the update frequency information, and the privacy budget, the information processing device 1 determines a budget consumption amount, which is the amount of the privacy budget to be reduced for adding noise once to data of one attribute included in the data group. The information processing device 1 transmits the determined budget consumption amount and privacy budget to the first device 2 and the second device 3.

第1装置2と第2装置3とのそれぞれは、情報処理装置1から受信したプライバシー予算と予算消費量に基づいて、プライバシー予算がなくならないようにデータ群に対してノイズを付与してノイズが付与されたデータ群であるノイズ付与済データを生成する。そして、第1装置2と第2装置3とのそれぞれは、生成したノイズ付与済データを情報処理装置1に送信する。このようにすることで、情報処理システムSでは、同一のデータ群に対してノイズ付与が複数回繰り返されることにより、匿名化が行われる前のデータ群の内容を推測しやすくなることを抑制し、プライバシーリスクが増大することを抑制することができる。 The first device 2 and the second device 3 each add noise to the data group based on the privacy budget and budget consumption amount received from the information processing device 1 so that the privacy budget is not depleted, thereby generating noise-added data, which is a data group to which noise has been added. Then, the first device 2 and the second device 3 each transmit the generated noise-added data to the information processing device 1. In this way, the information processing system S can prevent the content of the data group before anonymization from being easily guessed due to the same data group being added multiple times, and can prevent an increase in privacy risks.

[情報処理装置1の機能構成]
続いて、情報処理装置1の機能構成について説明する。図2は、情報処理装置1の機能構成を示す図である。 [Functional configuration of information processing device 1]
Next, a description will be given of the functional configuration of the information processing device 1. FIG.

図2に示すように、情報処理装置1は、通信部11と、記憶部12と、制御部13とを有する。
通信部11は、第1装置2及び第2装置3等と通信ネットワークを介してデータを送受信するための通信インターフェースである。 As shown in FIG. 2 , the information processing device 1 includes a communication unit 11 , a storage unit 12 , and a control unit 13 .
The communication unit 11 is a communication interface for transmitting and receiving data to and from the first device 2, the second device 3, and the like via a communication network.

記憶部12は、各種のデータを記憶する記憶媒体であり、ROM(Read Only Memory)、RAM(Random Access Memory)、ハードディスク、SSD(Solid State Drive)、及びフラッシュメモリ等を有する。記憶部12は、制御部13が実行するプログラムを記憶する。記憶部12は、制御部13を、受信部131、決定部132及び送信部133として機能させるプログラムを記憶する。 The storage unit 12 is a storage medium that stores various types of data, and includes a ROM (Read Only Memory), a RAM (Random Access Memory), a hard disk, an SSD (Solid State Drive), and a flash memory. The storage unit 12 stores programs executed by the control unit 13. The storage unit 12 stores programs that cause the control unit 13 to function as a receiving unit 131, a determining unit 132, and a transmitting unit 133.

制御部13は、例えばCPU(Central Processing Unit)である。制御部13は、記憶部12に記憶されたプログラムを実行することにより、受信部131、決定部132及び送信部133として機能する。制御部13の詳細については後述する。 The control unit 13 is, for example, a CPU (Central Processing Unit). The control unit 13 functions as a receiving unit 131, a determining unit 132, and a transmitting unit 133 by executing a program stored in the storage unit 12. The control unit 13 will be described in detail later.

[第1装置2及び第2装置3の機能構成]
続いて、第1装置2及び第2装置3の機能構成について説明する。図3は、第1装置2の機能構成を示す図である。第2装置3の機能構成は、第1装置2の機能構成と同じであるので説明を省略する。 [Functional configuration of first device 2 and second device 3]
Next, a description will be given of the functional configurations of the first device 2 and the second device 3. Fig. 3 is a diagram showing the functional configuration of the first device 2. The functional configuration of the second device 3 is the same as that of the first device 2, and therefore a description thereof will be omitted.

図3に示すように、第1装置2は、通信部21と、記憶部22と、制御部23とを有する。
通信部21は、情報処理装置1等と通信ネットワークを介してデータを送受信するための通信インターフェースである。 As shown in FIG. 3 , the first device 2 includes a communication unit 21 , a storage unit 22 , and a control unit 23 .
The communication unit 21 is a communication interface for transmitting and receiving data to and from the information processing device 1 and the like via a communication network.

記憶部22は、各種のデータを記憶する記憶媒体であり、ROM、RAM、ハードディスク、SSD、及びフラッシュメモリ等を有する。記憶部22は、制御部23が実行するプログラムを記憶する。記憶部22は、制御部23を、特定部231、送信部232、受信部233、記憶制御部234、受付部235、ノイズ付与部236及び減算部237として機能させるプログラムを記憶する。 The memory unit 22 is a storage medium that stores various types of data, and includes a ROM, a RAM, a hard disk, an SSD, and a flash memory. The memory unit 22 stores a program executed by the control unit 23. The memory unit 22 stores a program that causes the control unit 23 to function as an identification unit 231, a transmission unit 232, a reception unit 233, a memory control unit 234, a reception unit 235, a noise addition unit 236, and a subtraction unit 237.

また、記憶部22には、第1データ群が記憶されている。第1データ群は、不定期で更新されるものとし、例えば、第1データ群のバージョンと、当該バージョンに対応する第1データ群が関連付けて記憶部22に記憶されているものとする。また、記憶部22には、第1データ群に含まれる一以上の属性それぞれのデータである対象データに対してノイズが付与されたノイズ付与済データであって、過去に情報処理装置1に送信されたノイズ付与済データが記憶されているものとする。 The storage unit 22 also stores a first data group. The first data group is updated irregularly, and for example, a version of the first data group is associated with the first data group corresponding to that version and stored in the storage unit 22. The storage unit 22 also stores noise-added data in which noise is added to target data, which is data for each of one or more attributes included in the first data group, and which has been previously transmitted to the information processing device 1.

制御部23は、例えばCPUである。制御部23は、記憶部22に記憶されたプログラムを実行することにより、特定部231、送信部232、受信部233、記憶制御部234、受付部235、ノイズ付与部236及び減算部237として機能する。 The control unit 23 is, for example, a CPU. The control unit 23 executes a program stored in the memory unit 22, thereby functioning as an identification unit 231, a transmission unit 232, a reception unit 233, a memory control unit 234, a reception unit 235, a noise adding unit 236, and a subtraction unit 237.

[プライバシー予算と予算消費量との通知]
続いて、制御部13及び制御部23の詳細についてシーケンス図及びフローチャートを参照しながら説明する。まず、情報処理装置1が第1装置2及び第2装置3からデータを収集するまでの情報処理システムSにおける処理の流れについて説明する。 [Notification of Privacy Budget and Budget Consumption]
Next, details of the control unit 13 and the control unit 23 will be described with reference to a sequence diagram and a flowchart. First, a process flow in the information processing system S until the information processing device 1 collects data from the first device 2 and the second device 3 will be described.

図4は、情報処理装置1が第1装置2及び第2装置3からデータを収集するまでの情報処理システムSにおける処理の流れを示すシーケンス図である。
まず、第1装置2の特定部231は、複数の属性それぞれのデータを含む第1データ群における、属性の数と、複数の属性それぞれのデータの所定の期間における更新頻度とを特定する(S1)。 FIG. 4 is a sequence diagram showing a flow of processing in the information processing system S until the information processing device 1 collects data from the first device 2 and the second device 3.
First, the identifying unit 231 of the first device 2 identifies the number of attributes in a first data group including data of each of a plurality of attributes, and the update frequency of the data of each of the plurality of attributes in a predetermined period (S1).

例えば、特定部231は、第1データ群を構成する複数のカラムそれぞれに対応するデータの属性を特定することにより、属性の数を特定する。また、第1装置2の記憶部22には、所定の期間における異なるバージョンの第1データ群が記憶されており、特定部231は、異なるバージョンの複数の第1データ群におけるデータの更新回数を特定することにより、複数の属性それぞれのデータの所定の期間における更新頻度を特定する。 For example, the identification unit 231 identifies the number of attributes by identifying the attributes of data corresponding to each of the multiple columns constituting the first data group. Also, the storage unit 22 of the first device 2 stores different versions of the first data group over a specified period, and the identification unit 231 identifies the update frequency of data for each of the multiple attributes over a specified period by identifying the number of times data in the multiple first data groups of different versions has been updated.

送信部232は、特定部231が特定した属性の数を示す属性数情報と、更新頻度を示す更新頻度情報とを、データ群に対して付与できるノイズの量を示すプライバシー予算を管理する情報処理装置1に送信する(S2)。 The transmission unit 232 transmits attribute number information indicating the number of attributes identified by the identification unit 231 and update frequency information indicating the update frequency to the information processing device 1 that manages the privacy budget indicating the amount of noise that can be added to the data group (S2).

同様に、第2装置3は、属性の数と複数の属性それぞれのデータの所定の期間における更新頻度とを特定し(S3)、属性数情報及び更新頻度情報を情報処理装置1に送信する(S4)。 Similarly, the second device 3 identifies the number of attributes and the update frequency of the data for each of the multiple attributes during a specified period (S3), and transmits attribute number information and update frequency information to the information processing device 1 (S4).

受信部131は、複数の属性それぞれのデータを含むデータ群を管理する複数の装置である第1装置2及び第2装置3それぞれから、当該データ群に含まれるデータの属性の数を示す属性数情報と、複数の属性それぞれのデータの所定の期間における更新頻度を示す更新頻度情報とを受信する。 The receiving unit 131 receives attribute number information indicating the number of attributes of the data included in the data group and update frequency information indicating the update frequency of the data of each of the multiple attributes during a specified period from each of the first device 2 and the second device 3, which are multiple devices that manage a data group including data of each of the multiple attributes.

決定部132は、第1装置2及び第2装置3それぞれにおいて管理されているデータ群に含まれる1つの属性のデータにノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量を決定する(S5)。 The determination unit 132 determines the budget consumption amount, which is the amount of the privacy budget to be reduced for adding noise once to data of one attribute included in the data group managed by each of the first device 2 and the second device 3 (S5).

決定部132は、受信部131が受信した属性数情報が示す、データ群に含まれるデータに対応する属性の数と、受信した更新頻度情報が示す、複数の属性それぞれのデータの所定の期間における更新頻度と、データ群に対して付与できるノイズの量を示すプライバシー予算とに基づいて、データ群に含まれる1つの属性のデータにノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量を決定する。 The determination unit 132 determines the budget consumption amount, which is the amount of the privacy budget to be reduced for adding noise once to data of one attribute included in the data group, based on the number of attributes corresponding to the data included in the data group indicated by the attribute number information received by the receiving unit 131, the update frequency of the data of each of the multiple attributes during a specified period indicated by the received update frequency information, and the privacy budget indicating the amount of noise that can be added to the data group.

具体的には、決定部132は、第1装置2及び第2装置3それぞれから受信した属性数情報が示す属性の数と、更新頻度情報が示す更新頻度と、複数のデータ群に対して付与できるノイズの総量を示す総プライバシー予算に基づいて、第1装置2及び第2装置3それぞれが管理する複数のデータ群それぞれに対する予算消費量を決定する。 Specifically, the determination unit 132 determines the budget consumption amount for each of the multiple data groups managed by each of the first device 2 and the second device 3 based on the number of attributes indicated by the attribute count information received from each of the first device 2 and the second device 3, the update frequency indicated by the update frequency information, and the total privacy budget indicating the total amount of noise that can be added to the multiple data groups.

例えば、決定部132は、複数の属性それぞれのデータの所定の期間における更新頻度のうち、最大の更新頻度を特定する。そして、決定部132は、第1装置2及び第2装置3それぞれから受信した属性数情報が示す属性の数と、特定した最大の更新頻度と、総プライバシー予算とに基づいて、予算消費量を決定する。第1装置2が管理する第1データ群に含まれるデータの属性の数n、第2装置3が管理する第2データ群に含まれるデータの属性の数をn、総プライバシー予算をε、複数のデータ群に含まれる1つの属性のデータにノイズを1回付与したときの予算消費量ε、最大の更新頻度をkとした場合、決定部132は、予算消費量εを以下の式(1)により決定する。 For example, the determination unit 132 identifies the maximum update frequency among the update frequencies of data of each of the multiple attributes in a predetermined period. Then, the determination unit 132 determines the budget consumption amount based on the number of attributes indicated by the attribute number information received from each of the first device 2 and the second device 3, the identified maximum update frequency, and the total privacy budget. When the number of attributes of data included in the first data group managed by the first device 2 is n A , the number of attributes of data included in the second data group managed by the second device 3 is n B , the total privacy budget is ε, the budget consumption amount ε 1 when noise is added once to data of one attribute included in the multiple data groups is ε 1 , and the maximum update frequency is k, the determination unit 132 determines the budget consumption amount ε 1 by the following formula (1).

また、決定部132は、複数のデータ群それぞれに対して決定した予算消費量εと、複数のデータ群それぞれに対する属性の数n及びnとに基づいて、複数のデータ群それぞれに対応するプライバシー予算である個別プライバシー予算を決定する(S6)。第1データ群に対応する個別プライバシー予算をε、第2データ群に対応する個別プライバシー予算をεとした場合、決定部132は、以下の式(2)、(3)により、個別プライバシー予算をε、εを決定する。 Furthermore, the determination unit 132 determines an individual privacy budget, which is a privacy budget corresponding to each of the multiple data groups, based on the budget consumption amount ε 1 determined for each of the multiple data groups and the numbers of attributes n A and n B for each of the multiple data groups (S6). If the individual privacy budget corresponding to the first data group is ε A and the individual privacy budget corresponding to the second data group is ε B , the determination unit 132 determines the individual privacy budgets ε A and ε B by the following formulas (2) and (3).

なお、決定部132は、最大の更新頻度に基づいて個別プライバシー予算を決定したが、これに限らない。決定部132は、複数の属性それぞれのデータの所定の期間における更新頻度に基づいて、更新頻度の平均回数や更新頻度の総和を特定してもよい。そし、決定部132は、最大の更新頻度の代わりに、更新頻度の平均回数や更新頻度の総和に基づいて個別プライバシー予算を決定してもよい。 Note that the determination unit 132 determines the individual privacy budget based on the maximum update frequency, but this is not limited to the above. The determination unit 132 may determine the average update frequency or the sum of the update frequencies based on the update frequency of the data of each of the multiple attributes during a specified period. The determination unit 132 may then determine the individual privacy budget based on the average update frequency or the sum of the update frequencies instead of the maximum update frequency.

送信部133は、プライバシー予算と、決定部132が決定した予算消費量とを、データ群を管理する装置に送信する。具体的には、送信部133は、複数の装置である第1装置2及び第2装置3に、これらの装置に対応するデータ群に対して決定部132が決定した個別プライバシー予算と、予算消費量とを示す予算情報を送信する(S7、S8)。 The transmission unit 133 transmits the privacy budget and the budget consumption amount determined by the determination unit 132 to the device that manages the data group. Specifically, the transmission unit 133 transmits budget information indicating the individual privacy budget and the budget consumption amount determined by the determination unit 132 for the data group corresponding to these devices to the first device 2 and the second device 3, which are multiple devices (S7, S8).

第1装置2の受信部233は、情報処理装置1から予算情報を受信する。受信部233は、情報処理装置1から、予算消費量と、第1装置2に対して決定部132が決定した個別プライバシー予算とを示す予算情報とを受信する。同様に、第2装置3も、情報処理装置1から予算情報を受信する。 The receiving unit 233 of the first device 2 receives budget information from the information processing device 1. The receiving unit 233 receives budget information from the information processing device 1 indicating the budget consumption amount and the individual privacy budget determined by the determination unit 132 for the first device 2. Similarly, the second device 3 also receives budget information from the information processing device 1.

第1装置2の記憶制御部234は、受信部233が受信した予算情報を記憶部12に記憶させることにより、予算消費量と、個別プライバシー予算とを記憶部12に記憶させる(S9)。同様に、第2装置3も、受信した予算情報を自身の記憶部に記憶させることにより、予算消費量と、個別プライバシー予算とを自身の記憶部に記憶させる(S10)。 The memory control unit 234 of the first device 2 stores the budget information received by the receiving unit 233 in the memory unit 12, thereby storing the budget consumption amount and the individual privacy budget in the memory unit 12 (S9). Similarly, the second device 3 stores the received budget information in its own memory, thereby storing the budget consumption amount and the individual privacy budget in its own memory (S10).

続いて、情報処理装置1の送信部133は、第1装置2に、第1装置2が管理する第1データ群に含まれる一以上の属性それぞれのデータである対象データの取得要求を行う(S11)。対象データの取得要求には、対象データに対してノイズを付与し、ノイズが付与された対象データを取得するクエリが含まれている。 Then, the transmission unit 133 of the information processing device 1 makes a request to the first device 2 to acquire target data, which is data for each of one or more attributes included in the first data group managed by the first device 2 (S11). The request to acquire the target data includes a query to add noise to the target data and acquire the target data with the noise added.

第1装置2の受付部235は、情報処理装置1から、第1データ群に含まれる一以上の属性それぞれのデータである対象データの取得要求を受け付ける。第1装置2のノイズ付与部236は、受付部235が受け付けた取得要求に対応する対象データにノイズを付与することにより、ノイズが付与された対象データであるノイズ付与済データを取得する(S12)。ノイズ付与部236の詳細については後述する。 The reception unit 235 of the first device 2 receives, from the information processing device 1, a request to acquire target data, which is data for each of one or more attributes included in the first data group. The noise addition unit 236 of the first device 2 acquires noise-added data, which is the target data to which noise has been added, by adding noise to the target data corresponding to the acquisition request received by the reception unit 235 (S12). Details of the noise addition unit 236 will be described later.

第1装置2の送信部232は、ノイズ付与部236が取得したノイズ付与済データを情報処理装置1に送信する(S13)。なお、第1装置2の送信部232は、ノイズ付与部236がノイズ付与済データを取得できなかった場合には、ノイズ付与済データが取得できなかったことを示すエラー情報を情報処理装置1に送信する。情報処理装置1の受信部131は、第1装置2からノイズ付与済データを受信し、記憶部12に記憶させる。 The transmission unit 232 of the first device 2 transmits the noise-added data acquired by the noise adding unit 236 to the information processing device 1 (S13). If the noise adding unit 236 fails to acquire the noise-added data, the transmission unit 232 of the first device 2 transmits error information indicating that the noise-added data could not be acquired to the information processing device 1. The reception unit 131 of the information processing device 1 receives the noise-added data from the first device 2 and stores it in the memory unit 12.

また、情報処理装置1の送信部133は、第2装置3に対しても、第2装置3が管理する第2データ群に含まれる一以上の属性それぞれのデータである対象データの取得要求を行う(S14)。第2装置3は、情報処理装置1から受け付けた取得要求に対応する対象データにノイズを付与することにより、ノイズが付与された対象データであるノイズ付与済データを取得し(S15)、ノイズ付与済データを情報処理装置1に送信する(S16)。情報処理装置1の受信部131は、第2装置3からノイズ付与済データを受信し、記憶部12に記憶させる。 The transmitting unit 133 of the information processing device 1 also makes a request to the second device 3 to acquire target data, which is data for each of one or more attributes included in the second data group managed by the second device 3 (S14). The second device 3 acquires noise-added data, which is the target data to which noise has been added, by adding noise to the target data corresponding to the acquisition request received from the information processing device 1 (S15), and transmits the noise-added data to the information processing device 1 (S16). The receiving unit 131 of the information processing device 1 receives the noise-added data from the second device 3 and stores it in the memory unit 12.

[対象データに対するノイズの付与の詳細]
続いて、第1装置2及び第2装置3が対象データに対してノイズを付与する処理の流れについて説明する。図5は、第1装置2が対象データに対してノイズを付与する処理の流れを示すフローチャートである。なお、第2装置3が対象データに対してノイズを付与する処理の流れは、第1装置2が対象データに対してノイズを付与する処理の流れと同じであるので説明を省略する。 [Details on adding noise to the target data]
Next, the flow of the process in which the first device 2 and the second device 3 add noise to the target data will be described. Fig. 5 is a flowchart showing the flow of the process in which the first device 2 adds noise to the target data. Note that the flow of the process in which the second device 3 adds noise to the target data is the same as the flow of the process in which the first device 2 adds noise to the target data, so the description will be omitted.

ノイズ付与部236は、受付部235が受け付けた取得要求に対応する対象データにノイズを付与する場合に、予算消費量に基づいて、当該ノイズの付与に対応するプライバシー予算の減算量を特定する(S101)。 When adding noise to target data corresponding to an acquisition request received by the reception unit 235, the noise addition unit 236 determines the amount of subtraction from the privacy budget corresponding to the addition of the noise based on the budget consumption amount (S101).

例えば、ノイズ付与部236は、受付部235が受け付けた取得要求に含まれるクエリに基づいて、抽出対象のデータのカラム数を、ノイズを付与する属性数と特定する。そして、ノイズ付与部236は、特定した属性数に、記憶部22に記憶されている予算消費量を乗算することにより、対象データにノイズを付与することによるプライバシー予算の減算量を特定する。 For example, the noise adding unit 236 identifies the number of columns of the data to be extracted as the number of attributes to add noise to, based on the query included in the acquisition request received by the receiving unit 235. Then, the noise adding unit 236 multiplies the identified number of attributes by the budget consumption amount stored in the storage unit 22, thereby identifying the amount of deduction from the privacy budget due to adding noise to the target data.

ノイズ付与部236は、記憶部22に記憶されているプライバシー予算が、特定した減算量以上であることを条件として対象データに対してノイズを付与し、ノイズ付与済データを取得する。例えば、ノイズ付与部236は、記憶部22に記憶されているプライバシー予算が、特定した減算量以上であるか否かを判定する(S102)。ノイズ付与部236は、プライバシー予算が、特定した減算量以上であると判定すると(S102のYES)、S103に処理を移す。また、ノイズ付与部236は、プライバシー予算が、特定した減算量未満であると判定すると(S102のNO)、S106に処理を移し、受付部235が受け付けた取得要求に対応する対象データに対してノイズを付与しないように制御する。 The noise adding unit 236 adds noise to the target data on the condition that the privacy budget stored in the storage unit 22 is equal to or greater than the specified subtraction amount, and acquires the noise-added data. For example, the noise adding unit 236 determines whether the privacy budget stored in the storage unit 22 is equal to or greater than the specified subtraction amount (S102). If the noise adding unit 236 determines that the privacy budget is equal to or greater than the specified subtraction amount (YES in S102), it proceeds to S103. If the noise adding unit 236 determines that the privacy budget is less than the specified subtraction amount (NO in S102), it proceeds to S106, and performs control so as not to add noise to the target data corresponding to the acquisition request accepted by the acceptance unit 235.

S103において、ノイズ付与部236は、対象データに対してノイズを付与することにより、ノイズ付与済データを取得する。ここで、ノイズ付与部236は、受付部235が受け付けた取得要求に対応する対象データにノイズを付与する場合において、記憶部22に当該対象データに対応するノイズ付与済データが記憶されている場合には、当該ノイズ付与済データに対してノイズを付与するようにしてもよい。 In S103, the noise adding unit 236 adds noise to the target data to obtain noise-added data. Here, when adding noise to the target data corresponding to the acquisition request accepted by the accepting unit 235, if noise-added data corresponding to the target data is stored in the storage unit 22, the noise adding unit 236 may add noise to the noise-added data.

また、ノイズ付与部236は、受付部235が受け付けた対象データに対応するノイズ付与済データが記憶部22に記憶されている場合において、ノイズ付与済データが記憶部22に記憶された後に、当該対象データに対する更新があったときには、記憶部22に記憶されている当該対象データに対してノイズを付与するようにしてもよい。このようにすることで、第1装置2は、最新の対象データに対応するノイズ付与済データを生成することができる。 In addition, in a case where noise-added data corresponding to the target data accepted by the accepting unit 235 is stored in the storage unit 22, when the target data is updated after the noise-added data is stored in the storage unit 22, the noise adding unit 236 may add noise to the target data stored in the storage unit 22. In this way, the first device 2 can generate noise-added data corresponding to the latest target data.

続いて、減算部237は、ノイズ付与部236が対象データに対してノイズを付与し、ノイズ付与済データを取得したことに応じて、記憶部22に記憶されているプライバシー予算から、S101において特定された、当該ノイズの付与に対応する減算量を減算する(S104)。 Next, in response to the noise adding unit 236 adding noise to the target data and acquiring the noise-added data, the subtraction unit 237 subtracts the subtraction amount corresponding to the addition of the noise identified in S101 from the privacy budget stored in the memory unit 22 (S104).

続いて、記憶制御部234は、ノイズ付与部236によりノイズが付与された対象データであるノイズ付与済データを記憶部22に記憶させる(S105)。例えば、記憶制御部234は、受付部235が受け付けた取得要求が示すクエリと、当該クエリに対応するノイズ付与済データとを関連付けて記憶部22に記憶させる。 Next, the memory control unit 234 stores in the memory unit 22 the noise-added data, which is the target data to which noise has been added by the noise adding unit 236 (S105). For example, the memory control unit 234 associates the query indicated by the acquisition request accepted by the acceptance unit 235 with the noise-added data corresponding to the query, and stores them in the memory unit 22.

S106において、ノイズ付与部236は、記憶部12に、取得要求に対応する対象データに対してノイズが付与されたノイズ付与済データが記憶されているか否かを判定する。例えば、ノイズ付与部236は、取得要求が示すクエリと関連付けてノイズ付与済データが記憶部22に記憶されているか否かを判定することにより、取得要求に対応する対象データに対してノイズが付与されたノイズ付与済データが記憶されているか否かを判定する。 In S106, the noise adding unit 236 determines whether or not noise-added data in which noise has been added to the target data corresponding to the acquisition request is stored in the storage unit 12. For example, the noise adding unit 236 determines whether or not noise-added data in which noise has been added to the target data corresponding to the acquisition request is stored by determining whether or not noise-added data is stored in the storage unit 22 in association with the query indicated by the acquisition request.

ノイズ付与部236は、記憶部12にノイズ付与済データが記憶されていると判定すると(S106のYES)、S107に処理を移し、記憶部22に記憶されているノイズ付与済データを取得する。
また、ノイズ付与部236は、記憶部12にノイズ付与済データが記憶されていないと判定すると(S106のNO)、本フローチャートに係る処理を終了する。 When the noise adding unit 236 determines that the noise-added data is stored in the storage unit 12 (YES in S106), the process proceeds to S107, and the noise adding unit 236 obtains the noise-added data stored in the storage unit 22.
Moreover, when the noise adding unit 236 determines that the noise-added data is not stored in the storage unit 12 (NO in S106), the noise adding unit 236 ends the process according to this flowchart.

なお、プライバシー予算が減算量未満であるとともに、記憶部12にノイズ付与済データが記憶されていない場合には、ノイズ付与済データが情報処理装置1に送信されないこととなる。これを防ぐために、ノイズ付与部236が、予めデータ群の全体に対しノイズを付与することにより、ノイズが付与されたデータ群であるノイズ付与済データ群を生成し、記憶制御部224が、当該ノイズ付与済データ群を記憶部22に記憶させてもよい。 If the privacy budget is less than the subtraction amount and the noise-added data is not stored in the memory unit 12, the noise-added data will not be transmitted to the information processing device 1. To prevent this, the noise adding unit 236 may add noise to the entire data group in advance to generate a noise-added data group, which is a data group to which noise has been added, and the memory control unit 224 may store the noise-added data group in the memory unit 22.

この場合、ノイズ付与部236は、受信部233が情報処理装置1から予算情報を受信したことに応じて、データ群の全体に対しノイズを付与してノイズ付与済データ群を生成するとともに、予算消費量に基づいて、当該ノイズの付与に対応する個別プライバシー予算の減算量を特定する。 In this case, in response to the receiving unit 233 receiving budget information from the information processing device 1, the noise adding unit 236 adds noise to the entire data group to generate a noise-added data group, and determines the amount of subtraction from the individual privacy budget corresponding to the addition of the noise based on the budget consumption amount.

減算部237は、ノイズ付与部236がデータ群の全体に対してノイズを付与したことに応じて、記憶部22に記憶されているプライバシー予算から当該ノイズの付与に対応する減算量を減算する。また、記憶制御部234は、ノイズが付与されたデータ群をノイズ付与済データ群として記憶部22に記憶させる。 When the noise adding unit 236 adds noise to the entire data group, the subtraction unit 237 subtracts a subtraction amount corresponding to the addition of noise from the privacy budget stored in the storage unit 22. In addition, the storage control unit 234 stores the data group to which noise has been added in the storage unit 22 as a noise-added data group.

その後、受付部235は、情報処理装置1から、対象データの取得要求を受け付け、送信部232は、記憶部22に記憶されているノイズ付与済データ群のうち、受付部235が受け付けた取得要求が示す対象データに対応するデータをノイズ付与済データとして情報処理装置1に送信する。 Then, the reception unit 235 receives a request to acquire the target data from the information processing device 1, and the transmission unit 232 transmits, from the group of noise-added data stored in the memory unit 22, data corresponding to the target data indicated by the acquisition request received by the reception unit 235 as noise-added data to the information processing device 1.

また、ノイズ付与部236は、受付部235が対象データの取得要求を受け付けたことに応じて、第1データ群のうち、ノイズが付与されていないデータ群の全体に対してノイズを付与した場合における減算量を第2減算量として特定してもよい。そして、ノイズ付与部236は、プライバシー予算が第2減算量以上であるともに、プライバシー予算から、取得要求に対応する減算量を減算した後のプライバシー予算が、第2減算量未満となる場合に、ノイズが付与されていないデータ群の全体に対してノイズを付与してもよい。 In addition, in response to the reception unit 235 receiving the request to acquire the target data, the noise adding unit 236 may specify, as the second subtraction amount, the amount of subtraction that would be obtained if noise were added to the entire data group to which no noise has been added, among the first data group. Then, when the privacy budget is equal to or greater than the second subtraction amount and the privacy budget after subtracting the subtraction amount corresponding to the acquisition request from the privacy budget is less than the second subtraction amount, the noise adding unit 236 may add noise to the entire data group to which no noise has been added.

そして、減算部237は、ノイズ付与部236が、ノイズが付与されていないデータ群の全体に対してノイズを付与したことに応じて、記憶部22に記憶されているプライバシー予算から当該ノイズの付与に対応する第2減算量を減算する。また、記憶制御部234は、ノイズが付与されていないデータ群の全体に対してノイズを付与することにより生成されたノイズ付与済データを記憶部22に記憶させる。このようにすることで、情報処理装置1は、第1データ群全体に予めノイズを付与してノイズ付与済データ群を生成するのと同様に、ノイズ付与済データが情報処理装置1に送信されないことを防止することができる。 Then, in response to the noise adding unit 236 adding noise to the entire data group to which noise has not been added, the subtraction unit 237 subtracts a second subtraction amount corresponding to the addition of the noise from the privacy budget stored in the storage unit 22. Furthermore, the storage control unit 234 stores in the storage unit 22 the noise-added data generated by adding noise to the entire data group to which noise has not been added. In this way, the information processing device 1 can prevent the noise-added data from not being transmitted to the information processing device 1, in the same way as in the case of generating a noise-added data group by adding noise to the entire first data group in advance.

[情報処理装置1による効果]
以上説明したように、本実施の形態に係る情報処理システムSにおいて、情報処理装置1は、複数の属性それぞれのデータを含むデータ群を管理する第1装置2及び第2装置3から、属性の数を示す属性数情報と、複数の属性それぞれのデータの所定の期間における更新頻度を示す更新頻度情報とを受信し、当該属性数情報が示す属性の数と、当該更新頻度情報が示す更新頻度と、データ群に対して付与できるノイズの量を示すプライバシー予算とに基づいて、データ群に含まれる1つの属性のデータにノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量を決定し、プライバシー予算と、決定した予算消費量とを第1装置2及び第2装置3に送信する。 [Effects of information processing device 1]
As described above, in the information processing system S of this embodiment, the information processing device 1 receives attribute number information indicating the number of attributes and update frequency information indicating the update frequency of data for each of the multiple attributes in a specified period from the first device 2 and the second device 3 that manage a data group including data for each of the multiple attributes, and determines a budget consumption amount, which is the amount of the privacy budget to be reduced for adding noise once to data of one attribute included in the data group, based on the number of attributes indicated by the attribute number information, the update frequency indicated by the update frequency information, and a privacy budget indicating the amount of noise that can be added to the data group, and transmits the privacy budget and the determined budget consumption amount to the first device 2 and the second device 3.

また、本実施の形態に係る情報処理システムSにおいて、第1装置2及び第2装置3は、属性数情報と、更新頻度情報とを、情報処理装置1に送信し、情報処理装置1から、属性数情報が示す属性の数と、更新頻度情報が示す更新頻度と、プライバシー予算とに基づいて決定された予算消費量と、プライバシー予算とを示す予算情報を受信して記憶部22に記憶させる。そして、第1装置2及び第2装置3は、データ群に含まれる一以上の属性それぞれのデータである対象データにノイズを付与する場合に、予算消費量に基づいて、当該ノイズの付与に対応するプライバシー予算の減算量を特定し、記憶部22に記憶されているプライバシー予算が、特定した減算量以上であることを条件として対象データに対してノイズを付与し、記憶部22に記憶されているプライバシー予算から当該ノイズの付与に対応する減算量を減算する。このようにすることで、情報処理システムSは、匿名化したデータ群を提供する場合にプライバシーリスクの増大を抑制することができる。 In the information processing system S according to the present embodiment, the first device 2 and the second device 3 transmit attribute number information and update frequency information to the information processing device 1, receive from the information processing device 1 budget information indicating the number of attributes indicated by the attribute number information, the update frequency indicated by the update frequency information, and the budget consumption amount determined based on the privacy budget, and store the budget in the storage unit 22. When adding noise to target data, which is data of one or more attributes included in a data group, the first device 2 and the second device 3 specify a subtraction amount of the privacy budget corresponding to the addition of the noise based on the budget consumption amount, add noise to the target data on the condition that the privacy budget stored in the storage unit 22 is equal to or greater than the specified subtraction amount, and subtract the subtraction amount corresponding to the addition of the noise from the privacy budget stored in the storage unit 22. In this way, the information processing system S can suppress an increase in privacy risk when providing an anonymized data group.

なお、本発明により、国連が主導する持続可能な開発目標(SDGs)の目標9「産業と技術革新の基盤をつくろう」に貢献することが可能となる。 Furthermore, this invention will make it possible to contribute to Goal 9 of the United Nations' Sustainable Development Goals (SDGs), which is "Build resilient infrastructure, promote inclusive and sustainable industrialization, and promote innovation and infrastructure."

以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されず、その要旨の範囲内で種々の変形及び変更が可能である。例えば、上述の実施の形態では、情報処理装置1が、第1装置2及び第2装置3の2つの装置が管理する2つのデータ群に対して、予算消費量と個別プライバシー予算とを決定したが、これに限らない。情報処理装置1は、3つ以上の装置に対して予算消費量と個別プライバシー予算とを決定してもよい。 Although the present invention has been described above using an embodiment, the technical scope of the present invention is not limited to the scope described in the above embodiment, and various modifications and changes are possible within the scope of the gist of the present invention. For example, in the above embodiment, the information processing device 1 determines the budget consumption amount and individual privacy budget for two data groups managed by two devices, the first device 2 and the second device 3, but this is not limited to this. The information processing device 1 may determine the budget consumption amount and individual privacy budget for three or more devices.

また、装置の全部又は一部は、任意の単位で機能的又は物理的に分散・統合して構成することができる。また、複数の実施の形態の任意の組み合わせによって生じる新たな実施の形態も、本発明の実施の形態に含まれる。組み合わせによって生じる新たな実施の形態の効果は、もとの実施の形態の効果を併せ持つ。 In addition, all or part of the device can be configured in any unit, functionally or physically, distributed or integrated. New embodiments resulting from any combination of multiple embodiments are also included in the embodiments of the present invention. The effect of the new embodiment resulting from the combination also has the effect of the original embodiment.

1 情報処理装置
2 第1装置
3 第2装置
11 通信部
12 記憶部
13 制御部
21 通信部
22 記憶部
23 制御部
131 受信部
132 決定部
133 送信部
231 特定部
232 送信部
233 受信部
234 記憶制御部
235 受付部
236 ノイズ付与部
237 減算部
S 情報処理システム Reference Signs List 1 Information processing device 2 First device 3 Second device 11 Communication unit 12 Memory unit 13 Control unit 21 Communication unit 22 Memory unit 23 Control unit 131 Receiving unit 132 Determining unit 133 Transmitting unit 231 Identifying unit 232 Transmitting unit 233 Receiving unit 234 Memory control unit 235 Receiving unit 236 Noise adding unit 237 Subtracting unit S Information processing system

Claims (14)

複数の属性それぞれのデータを含むデータ群を管理する装置から、前記属性の数を示す属性数情報と、複数の前記属性それぞれのデータの所定の期間における更新頻度を示す更新頻度情報とを受信する受信部と、
受信した前記属性数情報が示す属性の数と、前記更新頻度情報が示す更新頻度と、前記データ群に対して付与できるノイズの量を示すプライバシー予算とに基づいて、前記データ群に含まれる1つの属性のデータに前記ノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量を決定する決定部と、
前記プライバシー予算と、前記決定部が決定した前記予算消費量とを前記装置に送信する送信部と、
を有する情報処理装置。 a receiving unit that receives attribute number information indicating the number of attributes and update frequency information indicating an update frequency of data of each of the plurality of attributes in a predetermined period from a device that manages a data group including data of each of the plurality of attributes;
a decision unit that decides a budget consumption amount, which is an amount of the privacy budget to be reduced for adding the noise once to data of one attribute included in the data group, based on the number of attributes indicated by the received attribute number information, the update frequency indicated by the update frequency information, and a privacy budget indicating an amount of noise that can be added to the data group; and
a transmitter for transmitting the privacy budget and the budget consumption amount determined by the determiner to the device;
An information processing device having the above configuration. 前記受信部は、複数の異なるデータ群それぞれを管理する複数の装置から、前記装置が管理するデータ群に対応する前記属性数情報と前記更新頻度情報とを受信し、
前記決定部は、複数の装置それぞれから受信した前記属性数情報が示す属性の数と、前記更新頻度情報が示す更新頻度と、前記複数の異なるデータ群に対して付与できるノイズの量を示す前記プライバシー予算に基づいて、複数の前記装置それぞれが管理する複数のデータ群それぞれに対する前記予算消費量を決定し、複数のデータ群それぞれに対する前記予算消費量と、複数のデータ群それぞれに対する前記属性の数とに基づいて、複数のデータ群それぞれに対応するプライバシー予算である個別プライバシー予算を決定し、
前記送信部は、複数の前記装置それぞれに、当該装置に対応する前記データ群に対して前記決定部が決定した個別プライバシー予算と、前記予算消費量とを送信する、
請求項1に記載の情報処理装置。 The receiving unit receives, from a plurality of devices managing a plurality of different data groups, the attribute count information and the update frequency information corresponding to the data groups managed by the devices;
The determination unit determines the budget consumption for each of a plurality of data groups managed by each of the plurality of devices based on the number of attributes indicated by the attribute count information received from each of the plurality of devices, the update frequency indicated by the update frequency information, and the privacy budget indicating an amount of noise that can be added to the plurality of different data groups, and determines an individual privacy budget that is a privacy budget corresponding to each of the plurality of data groups based on the budget consumption for each of the plurality of data groups and the number of attributes for each of the plurality of data groups;
the transmission unit transmits, to each of the plurality of devices, the individual privacy budget determined by the determination unit for the data group corresponding to the device and the budget consumption amount;
The information processing device according to claim 1 . 前記決定部は、前記更新頻度情報が示す複数の属性それぞれのデータの更新頻度のうち最大の更新頻度を特定し、前記属性数情報が示す属性の数と、特定した前記最大の更新頻度と、前記プライバシー予算とに基づいて、前記予算消費量を決定する、
請求項1に記載の情報処理装置。 the determination unit identifies a maximum update frequency among update frequencies of data of each of a plurality of attributes indicated by the update frequency information, and determines the budget consumption amount based on the number of attributes indicated by the attribute number information, the identified maximum update frequency, and the privacy budget.
The information processing device according to claim 1 . 複数の属性それぞれのデータを含むデータ群を管理する情報処理装置であって、
前記属性の数と、複数の前記属性それぞれのデータの所定の期間における更新頻度とを特定する特定部と、
前記特定部が特定した前記属性の数を示す属性数情報と、前記更新頻度を示す更新頻度情報とを、前記データ群に対して付与できるノイズの量を示すプライバシー予算を管理する管理装置に送信する送信部と、
前記管理装置から、前記属性数情報が示す属性の数と、前記更新頻度情報が示す更新頻度と、前記プライバシー予算とに基づいて決定された、前記データ群に含まれる1つの属性のデータにノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量と、前記プライバシー予算とを示す予算情報を受信する受信部と、
受信した前記プライバシー予算を記憶部に記憶させる記憶制御部と、
前記データ群に含まれる一以上の属性それぞれのデータである対象データにノイズを付与する場合に、前記予算消費量に基づいて、当該ノイズの付与に対応する前記プライバシー予算の減算量を特定し、前記記憶部に記憶されているプライバシー予算が、特定した減算量以上であることを条件として前記対象データに対してノイズを付与するノイズ付与部と、
前記ノイズ付与部がノイズを付与したことに応じて、前記記憶部に記憶されているプライバシー予算から当該ノイズの付与に対応する前記減算量を減算する減算部と、
を有する情報処理装置。 An information processing device that manages a data group including data of each of a plurality of attributes,
An identification unit that identifies the number of the attributes and an update frequency of data of each of the plurality of the attributes in a predetermined period;
a transmission unit that transmits attribute number information indicating the number of the attributes identified by the identification unit and update frequency information indicating the update frequency to a management device that manages a privacy budget that indicates an amount of noise that can be added to the data group;
a receiving unit that receives from the management device budget information indicating a budget consumption amount, which is an amount of the privacy budget to be reduced for adding noise once to data of one attribute included in the data group, the budget consumption amount being determined based on the number of attributes indicated by the attribute number information, the update frequency indicated by the update frequency information, and the privacy budget, and the privacy budget;
a storage control unit that stores the received privacy budget in a storage unit;
a noise adding unit that, when adding noise to target data, which is data on one or more attributes included in the data group, specifies an amount to be subtracted from the privacy budget corresponding to the addition of the noise based on the budget consumption amount, and adds noise to the target data under the condition that the privacy budget stored in the storage unit is equal to or greater than the specified amount to be subtracted;
a subtraction unit that subtracts the subtraction amount corresponding to the addition of the noise from the privacy budget stored in the storage unit in response to the noise addition unit adding the noise;
An information processing device having the above configuration. 前記管理装置から、前記対象データの取得要求を受け付ける受付部をさらに有し、
前記ノイズ付与部は、前記受付部が受け付けた前記取得要求に対応する前記対象データにノイズを付与する場合に、当該ノイズの付与に対応する前記減算量を特定し、前記記憶部に記憶されているプライバシー予算が、特定した減算量以上であることを条件として前記対象データに対してノイズを付与し、
前記送信部は、前記ノイズ付与部によりノイズが付与された前記対象データであるノイズ付与済データを前記管理装置に送信する、
請求項4に記載の情報処理装置。 a receiving unit that receives a request to acquire the target data from the management device,
the noise adding unit, when adding noise to the target data corresponding to the acquisition request accepted by the accepting unit, specifies the subtraction amount corresponding to the addition of the noise, and adds noise to the target data on condition that the privacy budget stored in the storage unit is equal to or greater than the specified subtraction amount;
The transmission unit transmits, to the management device, noise-added data, which is the target data to which noise has been added by the noise adding unit.
The information processing device according to claim 4. 前記記憶制御部は、前記ノイズ付与済データを前記記憶部に記憶させ、
前記送信部は、前記受付部が受け付けた前記取得要求に対応する前記対象データに対して前記ノイズ付与部がノイズを付与しなかった場合に、前記記憶部に記憶されている当該対象データに対応する前記ノイズ付与済データを前記管理装置に送信する、
請求項5に記載の情報処理装置。 The storage control unit stores the noise-added data in the storage unit,
the transmission unit, when the noise adding unit has not added noise to the target data corresponding to the acquisition request accepted by the acceptance unit, transmits the noise-added data corresponding to the target data stored in the storage unit to the management device.
The information processing device according to claim 5 . 前記記憶制御部は、前記ノイズ付与済データを前記記憶部に記憶させ、
前記ノイズ付与部は、前記受付部が受け付けた前記取得要求に対応する前記対象データにノイズを付与する場合に、前記記憶部に記憶されているプライバシー予算が、特定した減算量以上であることを条件として、前記記憶部に記憶されている、前記対象データに対応する前記ノイズ付与済データに対してノイズを付与する、
請求項5に記載の情報処理装置。 The storage control unit stores the noise-added data in the storage unit,
the noise adding unit, when adding noise to the target data corresponding to the acquisition request accepted by the accepting unit, adds noise to the noise-added data corresponding to the target data stored in the storage unit, on condition that the privacy budget stored in the storage unit is equal to or greater than a specified subtraction amount;
The information processing device according to claim 5 . 前記記憶制御部は、前記ノイズ付与済データを前記記憶部に記憶させ、
前記ノイズ付与部は、前記受付部が受け付けた前記対象データに対応する前記ノイズ付与済データが前記記憶部に記憶されている場合において、前記ノイズ付与済データが前記記憶部に記憶された後に、当該対象データに対する更新があったときには、前記記憶部に記憶されている当該対象データに対してノイズを付与する、
請求項7に記載の情報処理装置。 The storage control unit stores the noise-added data in the storage unit,
the noise adding unit, in a case where the noise-added data corresponding to the target data accepted by the accepting unit is stored in the storage unit, when the target data is updated after the noise-added data is stored in the storage unit, adds noise to the target data stored in the storage unit;
The information processing device according to claim 7. 前記ノイズ付与部は、前記データ群のうち、前記ノイズが付与されていないデータ群の全体に対してノイズを付与した場合における前記減算量を第2減算量として特定し、前記プライバシー予算が前記第2減算量以上であるともに、前記プライバシー予算から前記取得要求に対応する減算量を減算した後のプライバシー予算が前記第2減算量未満となる場合に、前記ノイズが付与されていないデータ群の全体に対してノイズを付与し、
前記減算部は、前記ノイズ付与部が、前記ノイズが付与されていないデータ群の全体に対してノイズを付与したことに応じて、前記記憶部に記憶されているプライバシー予算から当該ノイズの付与に対応する前記減算量を減算する、
請求項5に記載の情報処理装置。 the noise adding unit specifies the subtraction amount in a case where noise is added to the entire data group to which the noise is not added among the data group as a second subtraction amount, and adds noise to the entire data group to which the noise is not added when the privacy budget is equal to or greater than the second subtraction amount and the privacy budget after subtracting the subtraction amount corresponding to the acquisition request from the privacy budget is less than the second subtraction amount;
the subtraction unit subtracts the subtraction amount corresponding to the addition of the noise from the privacy budget stored in the storage unit in response to the noise addition unit adding noise to the entire data group to which the noise has not been added.
The information processing device according to claim 5 . 前記ノイズ付与部は、前記データ群の全体に対しノイズを付与するとともに、前記予算消費量に基づいて、当該ノイズの付与に対応する前記プライバシー予算の減算量を特定し、
前記減算部は、前記ノイズ付与部が前記データ群の全体に対してノイズを付与したことに応じて、前記記憶部に記憶されているプライバシー予算から当該ノイズの付与に対応する前記減算量を減算し、
前記記憶制御部は、ノイズが付与された前記データ群をノイズ付与済データ群として前記記憶部に記憶させ、
前記管理装置から、前記対象データの取得要求を受け付ける受付部をさらに有し、
前記送信部は、前記ノイズ付与済データ群のうち、前記受付部が受け付けた前記取得要求が示す対象データに対応するデータをノイズ付与済データとして前記管理装置に送信する、
請求項4に記載の情報処理装置。 the noise adding unit adds noise to the entire data group, and determines a subtraction amount of the privacy budget corresponding to the addition of the noise based on the budget consumption amount;
the subtraction unit, in response to the noise adding unit adding noise to the entire data group, subtracts the subtraction amount corresponding to the addition of the noise from the privacy budget stored in the storage unit;
The storage control unit stores the data group to which noise has been added as a noise-added data group in the storage unit,
a receiving unit that receives a request to acquire the target data from the management device,
The transmission unit transmits, to the management device, data from the noise-added data group corresponding to the target data indicated by the acquisition request accepted by the acceptance unit as noise-added data.
The information processing device according to claim 4. 前記ノイズ付与部は、前記対象データが有する属性の数に、前記予算消費量を乗算することにより、前記プライバシー予算の減算量を特定する、
請求項4に記載の情報処理装置。 The noise adding unit multiplies the number of attributes included in the target data by the budget consumption amount to identify the amount of subtraction from the privacy budget.
The information processing device according to claim 4. 複数の属性それぞれのデータを含むデータ群を管理するデータ管理装置と、情報処理装置とを有する情報処理システムであって、
前記データ管理装置は、
前記属性の数と、複数の前記属性それぞれのデータの所定の期間における更新頻度とを特定する特定部と、
前記特定部が特定した前記属性の数を示す属性数情報と、前記更新頻度を示す更新頻度情報とを、前記データ群に対して付与できるノイズの量を示すプライバシー予算を管理する管理装置に送信する送信部と、
を有し、
前記情報処理装置は、
前記データ管理装置から、前記属性数情報と、前記更新頻度情報とを受信する受信部と、
受信した前記属性数情報が示す属性の数と、前記更新頻度情報が示す更新頻度と、前記データ群に対して付与できるノイズの量を示すプライバシー予算とに基づいて、前記データ群に含まれる1つの属性のデータに前記ノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量を決定する決定部と、
前記プライバシー予算と、前記決定部が決定した前記予算消費量とを示す予算情報を前記データ管理装置に送信する送信部と、
を有し、
前記データ管理装置は、
前記情報処理装置から、前記予算情報を受信する受信部と、
受信した前記プライバシー予算を記憶部に記憶させる記憶制御部と、
前記データ群に含まれる一以上の属性それぞれのデータである対象データにノイズを付与する場合に、前記予算消費量に基づいて、当該ノイズの付与に対応する前記プライバシー予算の減算量を特定し、前記記憶部に記憶されているプライバシー予算が、特定した減算量以上であることを条件として前記対象データに対してノイズを付与するノイズ付与部と、
前記ノイズ付与部がノイズを付与したことに応じて、前記記憶部に記憶されているプライバシー予算から当該ノイズの付与に対応する前記減算量を減算する減算部と、
をさらに有する、
情報処理システム。 An information processing system having a data management device that manages a data group including data of each of a plurality of attributes, and an information processing device,
The data management device includes:
An identification unit that identifies the number of the attributes and an update frequency of data of each of the plurality of the attributes in a predetermined period;
a transmission unit that transmits attribute number information indicating the number of the attributes identified by the identification unit and update frequency information indicating the update frequency to a management device that manages a privacy budget that indicates an amount of noise that can be added to the data group;
having
The information processing device includes:
a receiving unit that receives the attribute number information and the update frequency information from the data management device;
a decision unit that decides a budget consumption amount, which is an amount of the privacy budget to be reduced for adding the noise once to data of one attribute included in the data group, based on the number of attributes indicated by the received attribute number information, the update frequency indicated by the update frequency information, and a privacy budget indicating an amount of noise that can be added to the data group; and
a transmission unit that transmits to the data management device budget information indicating the privacy budget and the budget consumption amount determined by the determination unit;
having
The data management device includes:
A receiving unit that receives the budget information from the information processing device;
a storage control unit that stores the received privacy budget in a storage unit;
a noise adding unit that, when adding noise to target data, which is data on one or more attributes included in the data group, specifies an amount to be subtracted from the privacy budget corresponding to the addition of the noise based on the budget consumption amount, and adds noise to the target data under the condition that the privacy budget stored in the storage unit is equal to or greater than the specified amount to be subtracted;
a subtraction unit that subtracts the subtraction amount corresponding to the addition of the noise from the privacy budget stored in the storage unit in response to the noise addition unit adding the noise;
Further comprising
Information processing system. コンピュータが実行する、
複数の属性それぞれのデータを含むデータ群を管理する装置から、前記属性の数を示す属性数情報と、複数の前記属性それぞれのデータの所定の期間における更新頻度を示す更新頻度情報とを受信するステップと、
受信した前記属性数情報が示す属性の数と、前記更新頻度情報が示す更新頻度と、前記データ群に対して付与できるノイズの量を示すプライバシー予算とに基づいて、前記データ群に含まれる1つの属性のデータに前記ノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量を決定するステップと、
前記プライバシー予算と、決定した前記予算消費量とを前記装置に送信するステップと、
を有する情報処理方法。 The computer executes
receiving attribute number information indicating the number of attributes and update frequency information indicating an update frequency of data of each of the plurality of attributes in a predetermined period from a device that manages a data group including data of each of the plurality of attributes;
determining a budget consumption amount, which is an amount of the privacy budget to be reduced for adding the noise once to data of one attribute included in the data group, based on the number of attributes indicated by the received attribute number information, the update frequency indicated by the update frequency information, and a privacy budget indicating the amount of noise that can be added to the data group;
transmitting the privacy budget and the determined budget consumption to the device;
An information processing method comprising the steps of: 複数の属性それぞれのデータを含むデータ群を管理するコンピュータが実行する、
前記属性の数と、複数の前記属性それぞれのデータの所定の期間における更新頻度とを特定するステップと、
特定した前記属性の数を示す属性数情報と、前記更新頻度を示す更新頻度情報とを、前記データ群に対して付与できるノイズの量を示すプライバシー予算を管理する管理装置に送信するステップと、
前記管理装置から、前記属性数情報が示す属性の数と、前記更新頻度情報が示す更新頻度と、前記プライバシー予算とに基づいて決定された、前記データ群に含まれる1つの属性のデータにノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量と、前記プライバシー予算とを示す予算情報を受信するステップと、
受信した前記プライバシー予算を記憶部に記憶させるステップと、
前記データ群に含まれる一以上の属性それぞれのデータである対象データにノイズを付与する場合に、前記予算消費量に基づいて、当該ノイズの付与に対応する前記プライバシー予算の減算量を特定し、前記記憶部に記憶されているプライバシー予算が、特定した減算量以上であることを条件として前記対象データに対してノイズを付与するステップと、
前記対象データに対してノイズを付与したことに応じて、前記記憶部に記憶されているプライバシー予算から当該ノイズの付与に対応する前記減算量を減算するステップと、
を有する情報処理方法。 A computer that manages a data group including data on each of a plurality of attributes executes the
determining a number of said attributes and a frequency of update of data for each of said plurality of attributes over a predetermined period of time;
transmitting attribute number information indicating the number of the identified attributes and update frequency information indicating the update frequency to a management device that manages a privacy budget indicating an amount of noise that can be added to the data group;
receiving, from the management device, budget information indicating a budget consumption amount, which is an amount of the privacy budget to be reduced for adding noise once to data of one attribute included in the data group, determined based on the number of attributes indicated by the attribute number information, the update frequency indicated by the update frequency information, and the privacy budget, and indicating the privacy budget;
storing the received privacy budget in a storage unit;
a step of, when adding noise to target data which is data of one or more attributes included in the data group, specifying a subtraction amount of the privacy budget corresponding to the addition of the noise based on the budget consumption amount, and adding noise to the target data under the condition that the privacy budget stored in the storage unit is equal to or greater than the specified subtraction amount;
In response to adding noise to the target data, subtracting the subtraction amount corresponding to the addition of the noise from the privacy budget stored in the storage unit;
An information processing method comprising the steps of:
JP2024081002A 2024-05-17 2024-05-17 Information processing device, information processing system, and information processing method Active JP7579478B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2024081002A JP7579478B1 (en) 2024-05-17 2024-05-17 Information processing device, information processing system, and information processing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2024081002A JP7579478B1 (en) 2024-05-17 2024-05-17 Information processing device, information processing system, and information processing method

Publications (1)

Publication Number Publication Date
JP7579478B1 true JP7579478B1 (en) 2024-11-07

Family

ID=93332257

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2024081002A Active JP7579478B1 (en) 2024-05-17 2024-05-17 Information processing device, information processing system, and information processing method

Country Status (1)

Country Link
JP (1) JP7579478B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016002086A1 (en) 2014-07-04 2016-01-07 株式会社日立製作所 Anonymized data providing device and method
US20170359364A1 (en) 2016-06-12 2017-12-14 Apple Inc. Emoji frequency detection and deep link frequency

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016002086A1 (en) 2014-07-04 2016-01-07 株式会社日立製作所 Anonymized data providing device and method
US20170359364A1 (en) 2016-06-12 2017-12-14 Apple Inc. Emoji frequency detection and deep link frequency

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
紀伊 真昇 他,反復ベイズ法を用いた垂直分割データからのプライバシ保護データ合成,マルチメディア,分散,協調とモバイル(DICOMO2023)シンポジウム論文集 情報処理学会シンポジウムシリーズ Vol.2023 No.1 [DVD-ROM] IPSJ Symposium Series,日本,一般社団法人情報処理学会,2023年08月18日,第2023巻、第1号,pp1055-1065

Similar Documents

Publication Publication Date Title
US9659265B2 (en) Methods and systems for collecting and analyzing enterprise activities
US8706856B2 (en) Service directory
US20120131030A1 (en) Information management apparatus, information management method, and information control program
US20220188835A1 (en) Blockchain-based personal data management systems
CN113553363B (en) Query processing method and device
US10242102B2 (en) Network crawling prioritization
CN112631879A (en) Data acquisition method and device, computer readable medium and electronic equipment
JP2019117647A (en) Information anonymity method and information anonymity device
JP7579478B1 (en) Information processing device, information processing system, and information processing method
US20140025630A1 (en) Data-store management apparatus, data providing system, and data providing method
US9769185B2 (en) Method and system for managing suspicious devices on network
JP5442543B2 (en) Content similarity calculation device and content similarity calculation method
AU2019293104B2 (en) Service support system and service support method
US20170034299A1 (en) Cash management device, cash management method, and program
JP7542769B1 (en) Information processing device, information processing method, and program
CN113408817B (en) Traffic distribution method, device, equipment and storage medium
JP2006092023A (en) Document control computer program, document control device and method
CN109243554A (en) Acquisition methods, system and the server of medical information
US11998838B2 (en) Content data holding system, storage medium, content data holding server, and data management method
WO2021012899A1 (en) Data association method and apparatus, and electronic device and computer-readable storage medium
US20150095457A1 (en) Information processing system, information processing method, user terminal and storage medium
JP2021117807A (en) Data access control program, data access control method and authorization server
JP7422699B2 (en) Data distribution intermediary system and data distribution intermediary method
JP7393484B1 (en) Information processing device and information processing method
US20240256294A1 (en) Program management system, program management method, and information storage medium