[发明专利]匿名化装置和匿名化方法

说明书

技术领域

本发明涉及一种匿名化装置和一种匿名化方法。

背景技术

近年来，用于隐私保护数据公开以允许对公司所拥有的个人信息(微数据)进行二次使用同时保护用户隐私的技术引起了注意。非专利文档1提出了一种用于隐私保护数据公开的技术。在各种用户信息(微数据)中，通过与其他背景知识组合可以识别个人的属性信息的集合被称为准标识符。用户不希望公开的属性信息被称为敏感数据。在用于隐私保护数据公开的技术之一的匿名化中，不仅删除显式的用户标识符，而且使形成准标识符的属性信息是含糊的，以避免从这些种类的属性信息的组合识别个人，或者可以减弱准标识符与敏感数据之间的关联，由此改进用户信息的匿名性。

用于匿名化的具体操作包括用于以较高级别的概念来替代数据的泛化(generalization)、用于抑制数据的抑制、用于分割表并且减弱标识信息与秘密信息关联的剖析(anatomization)，用于在一组数据中交换在数据被泛化时期准标识符相同的标识信息与秘密信息的置换以及用于对数据添加噪声等的扰动。在作为此类操作中的最常见方法的泛化中，数据条目根据准标识符的属性被分组，针对每个分组对准标识符的属性值进行泛化，并且相同的泛化准标识符被给予属于相同准标识符组的数据条目。

作为用于泛化的估计隐私保护的基本索引，有k-匿名性。k-匿名性表明：存在具有相同的泛化准标识符的k个或更多个数据条目。此外，称为I-多样性的索引表明：I类或更多类的敏感数据值存在于具有相同泛化准标识符的数据条目中。基本上，k和I的值越大，认为隐私被越有力地保护。已经研究了在抑制信息丢失的同时实现泛化以增大k和I的值的方法。

k-匿名性和I-多样性是关注泛化数据集的单个提供的隐私保护的索引。此外，非专利文档2提出了一种称为m-不变性的索引，它将在数据被多次提供时由组合这些数据的泛化数据集而泄露隐私的风险纳入考虑。m-不变性表明在连续发布的泛化数据集中所包括的所有准标识符分组中存在具有不同敏感数据值的m个或更多个数据条目，并且表明跨多个泛化数据集而存在的数据条目所属的泛化准标识符分组中包括的敏感数据值的集合是相同的。如果m-不变性被确保，则I-多样性被同时满足。为了确保m-不变性，给出了一种在添加伪条目之后执行准标识符组的泛化的方法。

非专利文档1：Chen，B.；Kifer，D.；Lefevre，K.；Machanavajjhala，A.，“Privacy-Preserving Data Publishing”，Foundations and Trends in Databases，2009年，第二卷，第1-167页。

非专利文档2：X.Xiao and Y.Tao“m-invariance：Towards privacy preserving republication of dynamic datasets”，Proceedings of the ACM SIGMOD International Conference on Management of Data，2007。

但是，例如当数据结合被重复提供时，后续添加的数据条目的属性信息可能大幅度脱离初始假设的值的范围。

当这些值是形成准标识符的属性时，利用传统的泛化方法难以保证k-匿名性和应用有意义的泛化。因此，需要从目标数据移除添加的数据条目或执行具有相当高级别抽象的泛化。由此造成了信息丢失。

还存在一个问题：每当数据集中发生改变时，适于该数据集特性的匿名化被执行，此时准标识符泛化的方法对于每个数据集而言是不同的，各个数据条目所属的分组是完全不同的，并且难以在时间序列中观察数据集的特性以及在时间序列中跟踪特定的数据条目。

例如，图23示出了原始数据集。在这个数据集中，形成准标识符的属性是性别和出生地。疾病名称是敏感数据。图24和图25中所示的用于出生地的泛化规则被应用于数据集，泛化由此被执行并且获得图26中所示的泛化之后的数据集。如图26所示，泛化之后的数据集满足k＝2匿名性以及I＝2多样性。

图27示出后续添加到图23所示的数据集的数据条目。后续添加的数据条目的出生地的值是“伦敦”，它是无法根据图24和图25中所示的泛化规则被泛化的值。因此，需要用于泛化该值的新泛化规则。