移動物に関連するトレース・データの開示を制御する方法、並びにそのコンピュータ及びコンピュータ・プログラム
【課題】本発明は、V2X通信システムから収集されるレコード・データから導出されるトレース・データが一定条件を満足した場合にのみ開示される技法を提供することを目的とする。
【解決手段】本発明は、移動物に関連するトレース・データの開示を制御する技法を提供する。当該技法は、一定範囲のL個の領域を一定時間以内に通過するという条件を満たし、且つ移動物がk個(kは2以上の整数)以上存在するように、上記L個の領域ごとに、範囲wj及び/又は当該範囲wjの通過時間レンジ(sj,ej)(jは1,2,・・・,Lの整数)を計算し、移動物が、上記計算された範囲wjを上記計算された通過時間レンジ(sj,ej)に移動していることに応じて、上記計算されたトレース・データ又は当該トレース・データの一部を検索結果として返すことを特徴とする。
【解決手段】本発明は、移動物に関連するトレース・データの開示を制御する技法を提供する。当該技法は、一定範囲のL個の領域を一定時間以内に通過するという条件を満たし、且つ移動物がk個(kは2以上の整数)以上存在するように、上記L個の領域ごとに、範囲wj及び/又は当該範囲wjの通過時間レンジ(sj,ej)(jは1,2,・・・,Lの整数)を計算し、移動物が、上記計算された範囲wjを上記計算された通過時間レンジ(sj,ej)に移動していることに応じて、上記計算されたトレース・データ又は当該トレース・データの一部を検索結果として返すことを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、移動物に関連するトレース・データの開示を制御する技法に関する。特には、本発明は、データ・プロバイダ・システムに接続されたサーバ・コンピュータが、移動物に関連するトレース・データの開示を制御する技法に関する。
【背景技術】
【0002】
車車間(Vehicle to Vehicle, V2V)、車路間(Vehicle to Roadside, V2R)及び車外間(Vehicle to Infrastructure, V2I)を包含するV2X(vehicle-to-any)通信システムにおいて、データ・アグリゲータ・システムは、各データ・プロバイダ・システムが車又はヒトから収集されたデータをレコードとして集約し、当該集約されたレコードをサービス・プロバイダ・システムに提供する責任を有する。上記収集されたデータの権限所有主体は、車両の所有者若しくは運転者、又は車両に関連付けられた管理者にある。また、上記収集されたデータ及び上記集約されたレコードは、個人、個人の行動、又は個人の関心事を特定するために使用することが可能である。従って、データ・アグリゲータ・システムは、個人情報保護の観点から、上記収集されたデータ又は上記集約されたレコードが適切な管理の下にサービス・プロバイダ・システムに対して開示されるように制御する必要がある。
【0003】
下記非特許文献1は、位置ベース・サービス(LBS)のために報告された各位置がK個の異なるフットプリント(すなわち、異なるモバイル・ノードの履歴位置)を含む秘匿領域であることを保証することによって位置情報を没個性化し、それ故に、サービス要求者の正確な識別及び位置は、LBSサービス提供者から秘匿のままである旨を記載する(Abstract)。
【0004】
下記非特許文献2は、中央化された位置ブローカー・サービスによって使用さうれうるミドルウェア・アーキテクチャー及びアルゴリズムを開示し、適用可能なアルゴリズムは、所定の領域内の位置サービスを使用しているエンティティに基づいて、特定の秘匿制約に合致する空間的な又は一時的な次元に沿って位置情報の解決を調節する旨を記載する(Abstract)。
【0005】
下記非特許文献3は、出力摂動によるデータプライバシー確保すること、そのために差分プライバシーの概念を導入する旨を記載する。
【0006】
下記特許文献1は、プライバシー情報を含むデータを管理するデータ開示装置におけるデータ開示方法において、前記データ管理装置は、1つ以上の属性から構成されるデータを1つ以上保持し、前記データの特定の属性を開示する場合の秘匿性を計算し、前記計算した秘匿性が所望する秘匿性を有しない場合には、前記特定の属性のデータの粒度を変更し、所望の閾値以上の秘匿性を有するようにして前記属性のデータを開示することを記載する(請求項1)。
【0007】
下記特許文献2は、情報を管理運用する個人情報管理運用装置において用いられる情報秘匿方法を記載する(請求項1)。各情報は、属性と属性値からなる1つ以上のペアで格納されており、属性の開示により、秘匿したい属性の属性値の特定のし易さを示す秘匿性を統計的に計算し、前記秘匿性があらかじめ設定した秘匿性の閾値よりも秘匿性が確保される属性を選択し、前記選択した属性と、前記選択した属性の属性値を開示することを記載する(請求項1)。
【0008】
下記特許文献3は、目標の装置の精密な位置情報を希薄化するための方法であって、精密な位置の測定された緯度の弧の値を、直線距離に変換することと、所定の直線精度の直線距離を、調整直線距離値へ丸めることと、調整直線距離値を、調整された緯度の弧の値に変換することと、調整された緯度の弧の値に対応する測定経度直線距離を判断することと、第2の所定の直線精度内の測定経度直線距離を、調整された測定経度直線距離へ丸めることと、調整された測定経度直線距離を、調整された経度の弧の値へ変換することと、調整された緯度の弧の値および調整された経度の弧の値を、要求側エンティティへ伝送することを含む方法を記載する(段落0008)。
【0009】
下記特許文献4は、利用者個人のプライバシーに関わるデータを含んだプライバシー情報を用いて利用者に各種のサービスを提供する際に、このプライバシー情報と、それを外部に公開できる条件を記述したプライバシープリファレンスと、をプライバシーカプセルとして一体で管理し、前記プライバシー情報の利用者の利用条件を記述したプライバシーポリシと、前記プライバシープリファレンスと比較して条件を満足する場合に、前記プライバシー情報を前記プライバシーカプセル内で使用することを許可するとともに、前記プライバシー情報を前記プライバシーカプセル外に流出するのを防止することにより、前記プライバシーカプセル外部から前記プライバシー情報を隠蔽するプライバシー情報保護方法を記載する(段落0008)。
【先行技術文献】
【特許文献】
【0010】
【特許文献1】特開2007−219636号公報
【特許文献2】特開2007−219635号公報
【特許文献3】特開2009−278632号公報
【特許文献4】特開2005−99944号公報
【非特許文献】
【0011】
【非特許文献1】Toby Xu, Ying Cai, “Exploring Historical Location Data for Anonymity Preservation in Location-based Services”, IEEE INFOCOM 2008, p547-555, April, 15-17, 2008 (URL:http://www.di.unito.it/~matteo/I09/DATA08/W3-1-3.PDFから入手可能)
【非特許文献2】Anonymous Usage of Location-Based Services Through Spatial and Temporal Cloaking, Marco Gruteser and Dirk Grunwald, (URL:http://www.winlab.rutgers.edu/~gruteser/papers/gruteser_anonymous_lbs.pdfから入手可能)
【非特許文献3】鹿島 久嗣、「16章:出力摂動によるデータプライバシーの確保 Chapter 16: Private Data Analysis via Output Perturbation in Aggarwal & Yu (Eds.): Privacy-preserving Data Mining」, The University of Tokyo, Depatment of Mathematical Informatics, 、[online]、(URL: http://www.geocities.jp/kashi_pong/PPDM_chap16.pdfから入手可能)
【発明の概要】
【発明が解決しようとする課題】
【0012】
V2X通信システムから収集されるレコード・データから導出されるトレース・データは、いつ、どこに、どんな車両若しくは搭乗者又はヒトが位置しているか又はどんな行動をしているかについての個人情報を含む。当該個人情報は、例えば消費者の行動又は購買意欲を分析するための情報として又は移動物の環境(例えば道路交通環境)を分析するための情報として、例えば市場又は政策上において大きな価値を生み出しうる。一方、トレース・データは、例えば行動に関する情報(例えばどこに、いつ立ち寄ったかという情報)と関連付きやすい(又は紐付きやすい)。また、車又はヒトの位置情報を匿名化する方法は知られているが、当該方法はトレース・データを保護できない。何故ならば、データ・プロバイダが、個別のトレース・データから個々の車両若しくは搭乗者、又はヒトの振る舞いを特定することができでしまうためである。従って、結果として個人情報保護上の問題が生じやすい。そこで、個人情報保護上の問題を回避するために、一定条件を満足した場合においてのみトレース・データが開示される技法が必要とされている。
【課題を解決するための手段】
【0013】
本発明は、移動物に関連するトレース・データの開示を制御する方法、並びにそのコンピュータ及びコンピュータ・プログラムを提供する。
【0014】
特には、本発明は、少なくとも1つのデータ・プロバイダ・システムに接続されたサーバ・コンピュータが上記データ・プロバイダ・システムから提供されたデータの開示を制御する方法を提供する。当該方法は、
第1の時空間領域における1又は複数の移動物について、1つの移動物を特定するための識別子と当該識別子に関連付けられた少なくとも1つの属性値とをレコード単位として含む第1のレコード集合体を、少なくとも1つのデータ・プロバイダ・システムから受信するステップと、
第2の時空間領域における1又は複数の移動物について、1つの移動物を特定するための識別子と当該識別子に関連付けられた少なくとも1つの属性値とをレコード単位として含む第2のレコード集合体を、少なくとも1つのデータ・プロバイダ・システムから受信するステップであって、上記第2のレコード集合体中にある移動物の識別子は上記第1のレコード集合体中にある移動物の識別子と同一の識別子を少なくとも1つ含む、上記第2のレコードを受信するステップと、
移動物に関連するデータ検索要求の受信に応じて、上記受信した第1及び第2のレコード集合体中の同一の識別子に関連付けられた各属性値から、上記データ検索要求に対応する移動物に関連するトレース・データを計算するステップと、
一定範囲のL個の領域を一定時間以内に通過するという条件を満たし、且つ移動物がk個(kは2以上の整数)以上存在するように、上記L個の領域ごとに、範囲wj及び/又は当該範囲wjの通過時間レンジ(sj,ej)(jは1,2,・・・,Lの整数)を計算するステップと、
上記受信した第1及び第2のレコード集合体中の上記同一の識別子を有する移動物が上記計算された範囲wjを上記計算された通過時間レンジ(sj,ej)に移動していることに応じて、上記計算されたトレース・データ又は当該トレース・データの一部を検索結果として返すステップと
を含む。
【0015】
本発明の1つの実施態様において、上記検索結果として返すステップが、上記受信した第1及び第2のレコード中の上記同一の識別子に関連付けられたポリシーに従って、上記計算されたトレース・データ又は当該トレース・データの一部の開示を制限するステップを含みうる。また、本発明の1つの実施態様において、上記同一の識別子に関連付けられたポリシーが、当該同一の識別子を有する移動物についてのトレース・データの開示回数又は開示先の制約データを含み、上記検索結果として返すステップが、上記開示回数又は開示先の制約データに従って、上記データ検索要求に対応する移動物に関連する上記計算されたトレース・データ又は当該トレース・データの一部の開示を制限するステップを含みうる。
【0016】
本発明の1つの実施態様において、上記検索結果として返すステップが、
第1の移動物が上記計算された範囲wjにあり且つ上記計算された通過時間レンジ(sj,ej)にあり、及び、第2の移動物が上記計算された範囲wjにあり且つ上記計算された通過時間レンジ(sj,ej)にある場合に、上記受信した第1及び第2のレコード集合体中の上記第1の移動物の識別子に関連付けられた少なくとも1つの属性値(第1の属性値)から計算される第1の値を、上記受信した第1及び第2のレコード集合体中の上記第2の移動物の識別子に関連付けられた少なくとも1つの属性値(第2の属性値)から計算される第2の値と入れ替えて、当該第2の値に入れ替えられた後に計算される集計値が上記第1の値から計算される集計値と完全一致になるように上記第1の属性値の取り方を制御するステップであって、上記第2の属性値から計算される値は上記第1の属性値から値を求める方法と同じ方法によって計算される、上記制御するステップと
上記制御によって、上記第2の値に入れ替えられた後に計算される集計値が上記第1の値から計算される集計値と完全一致することに応じて、上記データ検索要求に対応する移動物に関連する上記計算されたトレース・データ若しくは当該トレース・データの一部又は上記制御された属性値を検索結果として返すステップと
を含みうる。本発明の1つの実施態様において、上記検索結果として返すステップが、上記受信した第1及び第2のレコード中の上記同一の識別子に関連付けられたポリシーに従って、上記計算されたトレース・データ又は当該トレース・データの一部の開示を制限するステップを含みうる。また、本発明の1つの実施態様において、上記同一の識別子に関連付けられたポリシーが、当該同一の識別子を有する移動物についてのトレース・データの開示回数又は開示先の制約データを含み、上記検索結果として返すステップが、上記開示回数又は開示先の制約データに従って、上記データ検索要求に対応する移動物に関連する上記計算されたトレース・データ又は当該トレース・データの一部の開示を制限するステップを含みうる。
【0017】
本発明の1つの実施態様において、上記検索結果として返すステップが、上記開示回数又は開示先を履歴として記録するステップをさらに含みうる。
【0018】
本発明の1つの実施態様において、上記ポリシーが、ポリシー・レポジトリから取り出される。本発明の1つの実施態様において、上記ポリシーが、上記移動物又は上記データ・プロバイダ・システムに関連付けられたデータ・オーナーにより設定されうる。
【0019】
本発明の1つの実施態様において、上記サーバ・コンピュータが、上記受信した第1及び第2のレコード集合体をレコード・レポジトリに格納するステップをさらに含みうる。
【0020】
本発明の1つの実施態様において、上記計算するステップが、上記データ検索要求に応じて、上記レコード・レポジトリに格納された第1及び第2のレコード集合体からトレース・データを作成するステップをさらに含みうる。
【0021】
本発明の1つの実施態様において、上記計算するステップが、上記第1及び上記第2のレコード集合体を一つの統合レコード集合体にまとめて、当該統合レコード集合体中の同一の識別子に関連付けられたレコードを時刻データ順にソートするステップをさらに含みうる。
【0022】
本発明の1つの実施態様において、上記移動物が車である場合に、上記属性値が、車両の識別子、車両の色、車両ナンバー、車種、時刻tにおけるスピード、車両の機器に関する値、運転者又は同乗者の名前、年齢若しくは性別、搭乗者の数、又は、車内外の時刻tにおける状態、若しくは搭乗者の時刻tにおける状態の少なくとも一つを含みうる。
【0023】
また、特には、本発明は、少なくとも1つのデータ・プロバイダ・システムに接続されたサーバ・コンピュータが上記データ・プロバイダ・システムから提供されたデータの開示を制御するコンピュータ・プログラムを提供する。当該コンピュータ・プログラムは、サーバ・コンピュータに、上記方法のいずれか一つの態様に記載の各ステップを実行させる。
【0024】
また、特には、本発明は、少なくとも1つのデータ・プロバイダ・システムに接続されており、上記データ・プロバイダ・システムから提供されたデータの開示を制御するコンピュータを提供する。当該コンピュータは、
第1の時空間領域における1又は複数の移動物について、1つの移動物を特定するための識別子と当該識別子に関連付けられた少なくとも1つの属性値とをレコード単位として含む第1のレコード集合体を、少なくとも1つのデータ・プロバイダ・システムから受信し、且つ、第2の時空間領域における1又は複数の移動物について、1つの移動物を特定するための識別子と当該識別子に関連付けられた少なくとも1つの属性値とをレコード単位として含む第2のレコード集合体を、少なくとも1つのデータ・プロバイダ・システムから受信する受信部であって、上記第2のレコード集合体中にある移動物の識別子は上記第1のレコード集合体中にある移動物の識別子と同一の識別子を少なくとも1つ含む、上記受信部と、
移動物に関連するデータ検索要求の受信に応じて、上記受信した第1及び第2のレコード集合体中の同一の識別子に関連付けられた各属性値から、上記データ検索要求に対応する移動物に関連するトレース・データを計算し、及び、一定範囲のL個の領域を、一定時間以内に通過するという条件を満たし、且つ移動物がk個(kは2以上の整数)以上存在するように、上記L個の領域ごとに、範囲wj及び/又は当該範囲wjの通過時間レンジ(sj,ej)(jは1,2,・・・,Lの整数)を計算する計算部と、
上記受信した第1及び第2のレコード集合体中の上記同一の識別子を有する移動物が上記計算された範囲wjを上記計算された通過時間レンジ(sj,ej)に移動していることに応じて、上記計算されたトレース・データ又は当該トレース・データの一部を検索結果として返す秘匿部と
を含む。
【発明の効果】
【0025】
本発明の実施態様に従うと、トレース・データのプライバシー保護が図られる。このことは、V2X通信システムの実装において、安全にトレース・データが利用できる基盤の構築を可能にする。
また、特には、本発明の実施態様に従うと、移動物の所有者を包含するデータの権限所有主体(以下、データ・オーナーともいう)によって設定されたポリシーに従ってトレース・データを開示することができる。このことは、データ・オーナーの意思に基づいてトレース・データの開示を可能にし、従って、プライバシーを懸念するデータ・オーナーからのデータ提供を促進することを容易にする。
また、特には、本発明の実施態様に従うと、データ・アグリゲータ・システム毎に、データ開示を制御することが可能になる。このことは、データ利用者に対するアクセス制御及び課金制御の基盤の構築を容易にする。
【図面の簡単な説明】
【0026】
【図1】本発明の実施形態において使用されうるコンピュータ・ハードウェアの基本的なブロック図を示す。
【図2】本発明の実施態様において使用されうるデータ・プロバイダ・システム、データ・アグリゲータ・コンピュータ、サービス・プロバイダ・コンピュータ、データ・オーナー・サーバ・コンピュータ、及びユーザ端末を示す。
【図3】図1に示すコンピュータ・ハードウェアの機能を有し、本発明の実施態様において使用されうるデータ・アグリゲータ・コンピュータの機能ブロック図を示す。
【図4】本発明の実施態様において使用されうるデータ・プロバイダ・システムが、移動物についての情報をレコード集合体として記録する態様を示す。
【図5】本発明の実施態様において使用されうるレコード集合体の例を示す。
【図6】本発明の実施態様において、範囲wを広げることによって、広げた後の範囲wj内に入る移動物の数が増えること(図6A)、及び、通過時間レンジ(sj, ej)を広げる又は前後にずらすことによって、広げた後の又はずらした後の時間レンジ(sj,ej)内に入る移動物の数が増えること(図6B)を示す。
【図7】本発明の実施態様において、レコード集合体の各属性値を使用して集計値を求めるために、各属性値を数値化することを示す表である。
【図8】本発明の実施態様において、データ・アグリゲータ・コンピュータが、集計値に影響がないように属性の取り方を変更することを示す例を示す。
【図9A】本発明の実施態様において、データ・アグリゲータ・コンピュータが、集計値に影響がないことを確認して、トレース・データを開示するためのフローチャートを示す。
【図9B】本発明の実施態様において、データ・アグリゲータ(202)が、集計値が完全に一致することに応じて、トレース・データを開示するための具体例を1及び2示す。
【図10】本発明の実施態様において、時空間領域をつなげて得られるトレース・データを秘匿化した後に得られる秘匿化後トレース・データとレコード中の属性との関係を示す図である。
【図11】本発明の実施態様において、個人情報を保護するために使用されうるポリシー設定において使用されうるシステム環境図を示す。
【図12】本発明の実施態様において、トレース・データの開示を制御するために使用されうるポリシーの例を示す。
【図13】本発明の実施態様において、データ検索要求において使用されうるシステム環境図を示す。
【図14】本発明の実施態様において、ポリシーを取得すること、レコード集合体を受信すること、及び、データ検索要求を受信することに応じて、トレース・データを取得し、当該取得したトレース・データを処理(匿名化)して、その処理結果を検索結果として送信することの各フローチャートを示す図である。
【発明を実施するための形態】
【0027】
本発明の実施形態を、以下に図面に従って説明する。以下の図を通して、特に断らない限り、同一の符号は同一の対象を指す。本発明の実施形態は、本発明の好適な態様を説明するためのものであり、本発明の範囲をここで示すものに限定する意図はないことを理解されたい。
【0028】
図1は、本発明の実施形態において使用されうるコンピュータ・ハードウェアの基本的なブロック図を示す。
コンピュータ(101)は、CPU(102)とメイン・メモリ(103)とを備えており、これらはバス(104)に接続されている。CPU(102)は好ましくは、32ビット又は64ビットのアーキテクチャーに基づくものであり、例えば、インテル社のCore i(商標)シリーズ、Core 2(商標)シリーズ、Xeon(商標)シリーズ、Pentium(Intel Corporationの登録商標)シリーズ、Celeron(Intel Corporation登録商標)シリーズ、Atom(商標)シリーズ、AMD社のPhenom(商標)シリーズ、Athlon(商標)シリーズ、Turion(商標)シリーズ又はSempron(商標)が使用されうる。バス(104)には、ディスプレイ・コントローラ(105)を介して、ディスプレイ(106)、例えば液晶ディスプレイ(LCD)が接続されうる。ディスプレイ(106)は、コンピュータの管理のために、通信回線を介してネットワークに接続されたコンピュータについての情報と、そのコンピュータ上で動作中のソフトウェアについての情報を、適当なグラフィック・ユーザ・インタフェースで表示するために使用される。バス(104)にはまた、SATA又はIDEコントローラ(107)を介して、記憶装置(108)、例えばハードディスク又はソリッド・ステート・ドライブと、ドライブ(109)、例えばCD、DVD又はBDドライブとが接続されうる。バス(104)にはさらに、キーボード・マウス・コントローラ(110)又はUSBバス(図示せず)を介して、キーボード(111)及びマウス(112)が接続されうる。
【0029】
ディスク(108)には、オペレーティング・システム、J2EEなどのJava(Sun Microsystemの登録商標)処理環境、Java(登録商標)アプリケーション、Java(登録商標)仮想マシン(JVM)、Java(登録商標)実行時(JIT)コンパイラを提供するプログラム、その他のプログラム、及びデータが、メイン・メモリにロード可能に記憶されている。
ドライブ(109)は、必要に応じて、CD−ROM、DVD−ROM又はBDからプログラムをディスク(108)にインストールするために使用される。
【0030】
通信インタフェース(114)は、例えばイーサネット(登録商標)・プロトコルに従う。通信インタフェース(114)は、通信コントローラ(113)を介してバス(104)に接続され、コンピュータ(101)を通信回線(115)に物理的に接続する役割を担い、コンピュータ(101)のオペレーティング・システムの通信機能のTCP/IP通信プロトコルに対して、ネットワーク・インタフェース層を提供する。なお、通信回線は、有線LAN環境、又は例えばIEEE802.11a/b/g/nなどの無線LAN接続規格に基づく無線LAN環境であってもよい。
【0031】
図2は、本発明の実施態様において使用されうるデータ・プロバイダ・システム(以下、「データ・プロバイダ」という)、データ・アグリゲータ・コンピュータ(以下、「データ・アグリゲータ」という)、サービス・プロバイダ・コンピュータ(以下、「サービス・プロバイダ」という)、データ・オーナー・サーバ・コンピュータ(以下、「データ・オーナー・サーバ」という)、及びユーザ端末を示す。
【0032】
データ・プロバイダ(201−1〜201−n、nは整数である)は、移動物又は移動物に取り付けられた無線機器と通信し、移動物についての情報を取得し又は受信することが可能な装置でありうる。データ・プロバイダ(201−1〜201−n)は、例えばカメラ/センサであり、例えば道路カメラ/センサでありうる。移動物についての情報は、時空間データを含む。時空間データは、例えば位置piで時刻tiに観測された移動物についてのレコードであり、移動物又はそれに関連付けられた属性に対する属性値を含む。例えば、上記カメラ/センサは、移動物についての情報、例えば車の場合、例えば車両の識別子、車両の色、車両ナンバー、車種、時刻tにおけるスピード(車速)、車両の機器に関する値、運転者又は同乗者の名前、年齢若しくは性別、搭乗者の数、又は移動物が立ち寄った場所(例えば施設)を検出し又は求めうる。車両の識別子は、例えばVIN(Vehicle Identification Number)又は車両ナンバーでありうる。VINは、例えばISO3779の場合、(1)先頭の3桁が車両製造会社識別コード(WMI: World Manufacturer Identifier)であり、(2)4桁目から7桁目が車種識別コード(VDS: Vehicle Descriptor Section)であり、及び(3)末尾8桁が車両個々識別コード(VIS: Vehicle Identifier Section)である。または、上記識別子は、車両のナンバープレート上の記号、文字、数字若しくはそれらの組み合わせ、又は車両上に記載された番号(例えば、列車の各車両を特定する番号)でありうる。また、カメラ/センサは、移動物についての画像又は動画を記録しうる。データ・プロバイダ(201−1〜201−n)は、上記検出した情報を移動物に固有の識別子に関連付けて、レコードとして記録する。識別子は、当該移動物を特定するために使用されうる。また、識別子は、同一の移動物についての複数のレコードを特定するために使用されうる。レコードは、移動物に固有の識別子、時刻t、位置p、及びその他の属性値を有する一単位のデータである。その他の属性値は、移動物に固有の属性値だけでなく、位置p及び時刻tにおいて検出される属性値を含む。その他の属性値は、例えば移動物が車両の場合、例えば、車両の色、車両ナンバー、車種、時刻tにおけるスピード(車速)、車両の機器に関する値、運転者又は同乗者の名前、年齢若しくは性別、搭乗者の数、又は移動物が立ち寄った場所(例えば施設)でありうる。データ・プロバイダ(201−1〜201−n)が複数の移動物(すなわち、異なる識別子を有する)についての情報を検出した場合、データ・プロバイダ(201−1〜201−n)は各移動物についてのレコードを生成し、当該生成されたレコードを複数のレコードにまとめてレコード集合体としうる(図5を参照)。
【0033】
また、データ・プロバイダ(201−1〜201−n)は、移動物(221−1〜221−n)から送信されるレコードを受信しうる端末でありうる。レコードは、上記に述べたレコードと同じ内容でありうる。レコードは、データ・プロバイダ(201−1〜201−n)からのレコード送信要求に応じて、又は、自動的に(例えば所定の時間間隔毎に)、データ・プロバイダ(201−1〜201−n)からデータ・アグリゲータ(202)に提供されうる。データ・プロバイダ(201−1〜201−n)と移動物(221−1〜221−n)との間の通信は、例えば、車路間(Vehicle to Roadside, V2R)及び車外間(Vehicle to Infrastructure, V2I)を包含するV2X(vehicle-to-any)通信システムに従い行われうる。
【0034】
データ・プロバイダ(201−1)は、例えば、一定時間中に一定の範囲(「時空間領域」ともいう)を移動中の移動物についての情報を検出し、又は、一定時間中に一定の範囲を移動中の移動物からレコードを受信しうる。また、データ・プロバイダ(201−1)がカバーする所定の範囲と、データ・プロバイダ(201−1)と異なるデータ・プロバイダ(201−2)がカバーする所定の範囲とは重複してもよい。
【0035】
データ・プロバイダ(201−1〜201−n)は、有線又は無線ネットワークを介して、データ・アグリゲータ・コンピュータ(202)に接続されうる。本発明の実施態様において、少なくとも1つのデータ・プロバイダが使用されうる。
【0036】
データ・アグリゲータ(202)は、データ・プロバイダ(201−1〜201−n)から、上記レコード又はレコードの集合体を受け取る。データ・プロバイダ(201−1〜201−n)は、データ・プロバイダ(201−1〜201−n)からのレコード送信要求に応じて、又は、自動的に(例えば所定の時間間隔毎に)、データ・アグリゲータ(202)に送信しうる。データ・アグリゲータ(202)は、データ・プロバイダ(201−1〜201−n)からの上記レコード若しくはレコード集合体、又は複数のレコード集合体をさらにまとめた統合レコード集合体(以下、本明細書において「レコード集合体」という場合、レコード、レコード集合体、又は統合レコード集合体を包含するものとして理解されたい、特許請求の範囲においても同じである)を、データ・アグリゲータ(202)からアクセス可能なレコード・レポジトリ(211)に格納しうる。
【0037】
データ・アグリゲータ(202)は、サービス・プロバイダ(203−1〜203−n)の少なくとも1つからのデータ検索要求に応じて、上記レポジトリから上記レコード集合体を取得する。引き続き、データ・アグリゲータ(202)は、上記レコード集合体中の同一の識別子に関連付けられた各属性値から、上記データ検索要求に対応する移動物に関連するトレース・データを求めうる。
【0038】
データ・アグリゲータ(202)は、データ検索要求に応じて開示するレコードに関連付けられている移動物において、一定範囲のL個(Lは1以上の整数)の領域を、一定時間以内に通過するという条件を満たし、且つ移動物がk個(kは2以上の整数)以上存在するように、上記L個の領域ごとに、範囲wj及び/又は当該範囲wjの通過時間レンジ(sj,ej)を計算する。ここで、sは開始時間(start time)、eは終了時間(end time)、及びjは1,2,・・・,Lの整数を示す。そして、データ・アグリゲータ(202)は、1又は複数のレコード集合体中の同一の識別子を有する移動物が上記計算された範囲wjを上記計算された通過時間レンジ(sj,ej)に移動していることに応じて、上記計算された求められたデータ又は当該データの一部を検索結果として、データ検索要求を送信したサービス・プロバイダに返す。データ・アグリゲータ(202)は、上記求められたデータ又は当該データの一部を、ポリシー・レポジトリ(212)から取り出したポリシーに従って、開示制限することが可能である。当該ポリシーは、検索結果を作成するために使用されるデータのデータ・オーナーによって作成されたポリシーでありうる。データ・オーナーは、移動物の所有者若しくは管理者、又は当該移動物の所有者若しくは管理者からデータの管理を委任された者若しくはシステムを包含する。
【0039】
また、データ・アグリゲータ(202)は、第1の移動物が上記計算された範囲wjにあり且つ上記計算された通過時間レンジ(sj,ej)にあり、且つ、第2の移動物が上記計算された範囲wjにあり且つ上記計算された通過時間レンジ(sj,ej)にある場合に、レコード集合体中の第1の移動物の識別子に関連付けられた少なくとも1つの属性値(第1の属性値)から計算される第1の値を、上記レコード集合体中の第2の移動物の識別子に関連付けられた少なくとも1つの属性値(第2の属性値)から計算される第2の値と入れ替えて、当該第2の値に入れ替えられた後に計算される集計値が当該第1の値から計算される集計値と完全一致になるように上記第1の属性値の取り方を制御することが可能である。なお、上記第2の属性値から計算される値は、上記第1の属性値から値を求める方法と同じ方法(すなわち、同じ属性を用いて計算する)によって計算される。データ・アグリゲータ(202)は、上記のようにして第1の属性値の取り方を制御し、上記第2の値に入れ替えられた後に計算される集計値が上記第1の値から計算される集計値と完全一致することに応じて、上記求められたデータ若しくは当該データの一部又は上記制御された属性値を検索結果として、データ検索要求を送信したサービス・プロバイダに返す。データ・アグリゲータ(202)は、上記求められたデータ又は当該データの一部を、ポリシー・レポジトリ(212)から取り出したポリシーに従って、開示制限することが可能である。当該ポリシーは、検索結果を作成するために使用されるデータのデータ・オーナーによって作成されたポリシーでありうる。
【0040】
データ・アグリゲータ(202)は、有線又は無線ネットワークを介して、サービス・プロバイダ(203−1〜203−n)、並びにレコード・レポジトリ(211)及びポリシー・レポジトリ(212)に接続されうる。データ・アグリゲータ(202)は、1つ又は複数のコンピュータからなっていてもよく、又は、サーバ、例えばエンタプライズ・サーバであってもよい。データ・アグリゲータ(202)は、データ・プロバイダ(201−1〜201−n)又はサービス・プロバイダ(203−1〜203−n)との関係において、サーバでありうる。
【0041】
データ・アグリゲータ(202)は、移動物についてのデータのデータ・オーナーから、当該データ・オーナーの移動物についてのデータの開示を制限するポリシーを受け取る。データ・アグリゲータ(202)は、ポリシーを、当該データ・アグリゲータ(202)からアクセス可能なポリシー・レポジトリ(212)に格納する。また、データ・オーナーは、ユーザ端末(204)を介してポリシーの設定又は変更しうる。
【0042】
サービス・プロバイダ(203−1〜203−n)は、データ・アグリゲータ(202)に対して、データ・プロバイダ(201−1〜201−n)からのデータ(すなわち、移動物についてのデータ、及び当該データから求められるデータである)検索を要求しうる。サービス・プロバイダ(203−1〜203−n)は、データ検索の要求を例えばSQL規格に従い要求しうる。データ検索要求者(リクエスターともいう)は、サービス・プロバイダ(203−1〜203−n)上で、又はサービス・プロバイダ(203−1〜203−n)に接続されたユーザ端末(204)を通じて、データ・プロバイダ(201−1〜201−n)からのデータ検索を要求しうる。データ検索要求者は、例えば、グラフィカル・ユーザ・インターフェス(GUI)を介して、要求するデータの条件又は条件式を入力しうる。
【0043】
ユーザ端末(204)は、データ・オーナーが、上記ポリシーを設定し又は変更するために使用されうる。また、ユーザ端末(204)は、データ検索要求者が移動物についてのデータを要求するために使用されうる。なお、データ・オーナーが使用するユーザ端末とデータ検索要求者が使用するユーザ端末が、同一である必要はない。
【0044】
ユーザ端末(204)は、有線又は無線ネットワークを介して、データ・アグリゲータ(202)に接続されうる。
【0045】
ユーザ端末(204)は、コンピュータ、パーソナル・デジタル・アシスタント、携帯電話、スマートフォン、及びゲーム機器を包含する。
【0046】
移動物(221−1〜221−n)は、例えば車両であり、車両は、例えば業種で分類すると建設車両、農業車両、産業車両、鉄道車両、又は軍用車両を包含し、さらに、例えば日本の道路交通法上でいう自動車、原動機付き自転車、軽車両又はトローリバスを包含する。移動物(221−1〜221−n)は、また、航空機でありうる。また、移動物(221−1〜221−n)は、ヒト又はその他の動物でありうる。
【0047】
移動物(221−1〜221−n)は、当該移動物を唯一に特定するための識別子を有する。識別子は、当該移動物を特定するために使用されうる。また、識別子は、同一の移動物についての複数のレコードを特定するために使用されうる。移動物が車両の場合、例えば、上記に述べたVIN、ナンバープレート上の記号、文字、数字又はそれらの組み合わせ、又は車両上に記載された番号でありうる。また、識別子は、移動物がヒト又はその他の動物である場合、ヒト又は動物に装着された電子機器(例えば、時計、腕輪)に固有の識別子でありうる。
【0048】
本発明は、種々の移動物に適用可能であり、また、種々の場面において移動物に関連するトレース・データの開示を制限するために使用されうる。例えば、運送、輸送若しくは駐車場における車両又はヒト(移動物である)の管理、作業現場における車両又はヒト(移動物である)の管理、ビルにおけるヒト(移動物である)の管理において、必要なトレース・データを取得する際に、個人情報が保護されるように、本発明が適用されうる。
【0049】
図3は、図1に示すコンピュータ・ハードウェアの機能を有し、本発明の実施態様において使用されうるデータ・アグリゲータ(202)の機能ブロック図を示す。
データ・アグリゲータ(202)は、レコード/ポリシー受信部(301)、検索要求受信/検索結果送信部(302)、計算部(303)及び秘匿部(304)を備えている。
【0050】
レコード/ポリシー受信部(301)は、少なくとも1つのデータ・プロバイダ(201−1〜201−n)から、レコード集合体を受け取り、当該受け取ったレコード集合体をレコード・レポジトリ(211)に格納する。レコード/ポリシー受信部(301)は、異なるデータ・プロバイダから、異なるレコード集合体(例えば、第1のレコード集合体及び第2のレコード集合体)を受け取り、又は、同じデータ・プロバイダから、異なるレコード集合体(例えば、第1のレコード集合体及び第2のレコード集合体)を受け取ってもよい。
【0051】
また、レコード/ポリシー受信部(301)は、ユーザ端末(204)からポリシーを受け取り、当該受け取ったポリシーをポリシー・レポジトリ(212)に格納する。ユーザ端末(204)は、移動物のデータ・オーナーに関連付けている。
【0052】
検索要求受信/検索結果送信部(302)は、サービス・プロバイダ(203−1〜203−n)の少なくとも1つから、移動物に関連するデータ検索要求を受信する。検索要求受信/検索結果送信部(302)は、当該受信したデータ検索要求を計算部(303)に渡す。また、検索要求受信/検索結果送信部(302)は、秘匿部(304)からの検索結果を、データ検索要求を送信したサービス・プロバイダ(203−1〜203−n)に送信する。
【0053】
計算部(303)は、検索要求受信/検索結果送信部(302)から、移動物に関連するデータ検索要求を受け取る。当該データ検索要求を受け取ることに応じて、計算部(303)は、当該データ検索要求を構文解析し、当該構文解析の結果に応じて、当該データ検索要求に必要とされうるレコード集合体をレコード・レポジトリ(211)から取得する。計算部(303)は、例えば、第1のレコード集合体及び第2のレコード集合体中の同一の識別子に関連付けられた各属性値から、データ検索要求に対応する移動物に関連するトレース・データを計算する。
【0054】
計算部(303)は、データ検索要求に応じて開示するレコードに関連付けられている移動物において、一定範囲のL個(Lは1以上の整数)の領域を、一定時間以内に通過するという条件を満たし、且つ移動物がk個(kは2以上の整数)以上存在するように、上記L個の領域ごとに、範囲wj及び/又は当該範囲wjの通過時間レンジ(sj,ej)を計算する。そして、計算部(303)は当該計算結果を秘匿部(304)に渡し、秘匿部(304)は、1又は複数のレコード集合体中の同一の識別子を有する移動物が上記計算された範囲wjを上記計算された通過時間レンジ(sj,ej)に移動していることに応じて、上記計算されたトレース・データ又は当該トレース・データの一部を、検索結果として検索要求受信/検索結果送信部(302)に渡す。本明細書において、秘匿部(304)の上記処理を秘匿化という。検索要求受信/検索結果送信部(302)は、データ検索要求を送信したサービス・プロバイダ・コンピュータに、上記検索結果を返す。また、秘匿部(304)は、上記計算されたトレース・データ又は当該トレース・データの一部を、ポリシー・レポジトリ(212)から取り出したポリシーに従って、開示制限することが可能である。当該ポリシーは、1又は複数のレコード集合体中の同一の識別子を有する移動物に関連付けられたポリシーでありうる。
【0055】
秘匿部(304)は、第1の移動物が上記計算された範囲wjにあり且つ上記計算された通過時間レンジ(sj,ej)にあり、及び、第2の移動物が上記計算された範囲wjにあり且つ上記計算された通過時間レンジ(sj,ej)にある場合に、1又は複数のレコード集合体中の上記第1の移動物の識別子に関連付けられた少なくとも1つの属性値(第1の属性値)から計算される第1の値を、上記1又は複数のレコード集合体中の上記第2の移動物の識別子に関連付けられた少なくとも1つの属性値(第2の属性値)から計算される第2の値と入れ替えて、当該第2の値に入れ替えられた後に計算される集計値が上記第1の値から計算される集計値と完全一致になるように上記第1の属性値の取り方を制御する。なお、上記第2の属性値から計算される値は、上記第1の属性値から値を求める方法と同じ方法によって計算される。そして、秘匿部(304)は、上記制御によって、上記第2の値に入れ替えられた後に計算される集計値が上記第1の値から計算される集計値と完全一致することに応じて、上記データ検索要求に対応する移動物に関連する上記計算されたトレース・データ若しくは当該トレース・データの一部又は上記制御された属性値を、検索結果として検索要求受信/検索結果送信部(302)に渡す。本明細書において、秘匿部(304)の上記処理もまた秘匿化という。検索要求受信/検索結果送信部(302)は、データ検索要求を送信したサービス・プロバイダ・コンピュータに、上記検索結果を返す。また、秘匿部(304)は、上記1又は複数のレコード集合体中の上記同一の識別子に関連付けられたポリシーに従って、上記計算されたトレース・データ又は当該トレース・データの一部の開示を制限する。当該ポリシーは、1又は複数のレコード集合体中の同一の識別子を有する移動物に関連付けられたポリシーでありうる。
【0056】
図4は、本発明の実施態様において使用されうるデータ・プロバイダ(201−1〜201−3)が、移動物(421〜423)についての情報を収集してレコード集合体として記録し、又は、移動物から送信されるレコード集合体を受信して記録する態様を示す。
データ・プロバイダ(201−1)は、時空間領域(411及び412)の移動物からの情報を受け取る。データ・プロバイダ(201−2)は、時空間領域(413)の移動物からの情報を受け取る。データ・プロバイダ(201−3)は、時空間領域(414及び415)の移動物からの情報を受け取る。
時空間領域(411、412、413、414及び415)の領域はそれぞれ、例えば、東京、銀座、品川、新宿、及び池袋であるとする。また、時空間領域(411)の時間幅は9時〜11時であり、時空間領域(412)の時間幅は11〜13時であり、時空間領域(413)の時間幅は13〜15時であり、時空間領域(414)の時間幅は15〜17時であり、及び時空間領域(415)の時間幅は17〜19時であるとする。
【0057】
移動物(421)を20代男性が運転しており、その識別子はXXXXであり、車両の色は赤色、車種は貨物車であるとする。移動物(421)は、東京、銀座、品川、新宿、及び池袋の地域を走行しているとする。
移動物(422)を50代男性が運転しており、その識別子はYYYYYであり、車両の色は茶色、車種はトラックであるとする。移動物(422)は、東京、銀座、品川、新宿、及び池袋の地域を走行しているとする。
移動物(423)を30代女性が運転しており、その識別子はZZZZZであり、車両の色は白色、車種はセダンであるとする。移動物(423)は、東京、銀座、品川、新宿、及び池袋の地域を走行しているとする。
【0058】
移動物(421)は、時刻t1において位置p1(時空間領域(411)に属する)を時速45km/時間で走行しているとする。
移動物(422)は、時刻t2において位置p2(時空間領域(411)に属する)を時速55km/時間で走行しているとする。
移動物(423)は、時刻t3において位置p3(時空間領域(411)に属する)を時速50km/時間で走行しているとする。
【0059】
データ・プロバイダ(201−1)は、移動物(421)から、識別子XXXXX、時刻t1、位置p1、車両の色(赤色)、車種(貨物車)、車速(45km/時間)及び20代男性というレコード1を受け取る。
データ・プロバイダ(201−1)は、移動物(422)から、識別子YYYYY、時刻t2、位置p2、車両の色(茶色)、車種(トラック)、車速(55km/時間)、及び50代男性というレコード2を受け取る。
データ・プロバイダ(201−1)は、移動物(423)から、識別子ZZZZZ、時刻t3、位置p3、車両の色(白色)、車種(セダン)、車速(50km/時間)及び30代女性というレコード3を受け取る。
【0060】
データ・プロバイダ(201−1)は、レコード1〜3をレコード集合体1としてまとめる。レコード集合体1の例を図5に示す(501)。レコード集合体1(501)は、レコード1(511)、レコード(512)及びレコード3(513)を含む。データ・プロバイダ(201−1)は、レコード集合体1(501)をデータ・アグリゲータ(202)に送信する。なお、データ・プロバイダ(201−1)は、レコード集合体1の代わりにレコード1〜3それぞれをデータ・アグリゲータ(202)に送信してもよい。レコード1〜3それぞれがデータ・アグリゲータ(202)に送信された場合には、データ・アグリゲータ(202)がレコード1〜3をレコード集合体1(501)としてまとめうる。データ・アグリゲータ(202)は、レコード集合体1(501)をレコード・レポジトリ(211)に格納しうる。
【0061】
また、移動物(421)は、時刻t4において位置p4(時空間領域(412)に属する)を時速50km/時間で走行しているとする。
また、移動物(422)は、時刻t5において位置p5(時空間領域(412)に属する)を時速55km/時間で走行しているとする。
また、移動物(423)は、時刻t6において位置p6(時空間領域(412)に属する)を時速60km/時間で走行しているとする。
【0062】
データ・プロバイダ(201−1)は、移動物(421)から、識別子XXXXX、時刻t4、位置p4、車両の色(赤色)、車種(貨物車)、車速(50km/時間)及び20代男性というレコード4を受け取る。
データ・プロバイダ(201−1)は、移動物(422)から、識別子YYYYY、時刻t5、位置p5、車両の色(茶色)、車種(トラック)、車速(55km/時間)及び50代男性というレコード5を受け取る。
データ・プロバイダ(201−1)は、移動物(423)から、識別子ZZZZZ、時刻t6、位置p6、車両の色(白色)、車種(セダン)、車速(60km/時間)及び30代女性というレコード6を受け取る。
【0063】
データ・プロバイダ(201−1)は、レコード4〜6をレコード集合体2としてまとめる。データ・プロバイダ(201−1)は、レコード集合体2をデータ・アグリゲータ(202)に送信する。なお、データ・プロバイダ(201−1)は、レコード集合体2の代わりにレコード4〜6それぞれをデータ・アグリゲータ(202)に送信してもよい。レコード4〜6それぞれがデータ・アグリゲータ(202)に送信された場合には、データ・アグリゲータ(202)がレコード4〜6をレコード集合体2としてまとめうる。データ・アグリゲータ(202)は、レコード集合体2をレコード・レポジトリ(211)に格納しうる。
【0064】
また、データ・プロバイダ(201−1)は、レコード集合体1とレコード集合体2それぞれに同じ識別子を有するレコードが存在していることから、レコード集合体1とレコード集合体2とをまとめて、統合レコード集合体Aとすることができる。統合レコード集合体Aの例を図5に示す(502)。統合レコード集合体A(502)では、識別子を第1キー、時刻tを第2キーとして各レコード(521〜526)がソートされているが、ソートは必ずしも必要でない。
【0065】
移動物(421、422及び423)それぞれが時空間領域(413)を通過した場合の各レコード集合体は、データ・プロバイダ(201−2)からデータ・アグリゲータ(202)に送信される。同様に、移動物(421、422及び423)それぞれが時空間領域(414)及び時空間領域(415)を通過した場合の各レコード集合体も、データ・プロバイダ(201−3)からデータ・アグリゲータ(202)に送信される。
【0066】
データ・アグリゲータ(202)は、データ検索要求に応じて、識別子XXXXXについてのレコードをレコード・レポジトリ(211)から取得しうる。データ・アグリゲータ(202)は、識別子XXXXXを含む識別子として含む複数のレコードを関連付ける。当該関連付けによって、データ・アグリゲータ(202)は、識別子XXXXXから特定される移動物(421)が、いつ、どこで、どのように移動したかについての情報に加えて、移動物(421)に関連付けられた個人情報、例えば、車両の色(赤)、車種(貨物車)、運転者の年代(20代)、及び性別(男)などを知ることができる。
【0067】
同様に、データ・アグリゲータ(202)は、データ検索要求に応じて、識別子YYYYYについてのレコードをレコード・レポジトリ(211)から取得しうる。データ・アグリゲータ(202)は、識別子YYYYYを含む識別子として含む複数のレコードを関連付ける。当該関連付けによって、データ・アグリゲータ(202)は、識別子YYYYYから特定される移動物(422)が、いつ、どこで、どのように移動したかについての情報に加えて、移動物(422)に関連付けられた個人情報、例えば、車両の色(茶)、車種(トラック)、運転者の年代(50代)、及び性別(男)などを知ることができる。
【0068】
同様に、データ・アグリゲータ(202)は、データ検索要求に応じて、識別子ZZZZZについてのレコードをレコード・レポジトリ(211)から取得しうる。データ・アグリゲータ(202)は、識別子ZZZZZを含む識別子として含む複数のレコードを関連付ける。当該関連付けによって、データ・アグリゲータ(202)は、識別子ZZZZZから特定される移動物(423)が、いつ、どこで、どのように移動したかについての情報に加えて、移動物(423)に関連付けられた個人情報、例えば、車両の色(白)、車種(セダン)、運転者の年代(30代)、及び性別(女)などを知ることができる。
【0069】
上記のようにして、データ・アグリゲータ(202)は、車両の色、車種、運転者の年代、及び性別などを知ることができる。上記に示した例の場合、車両の色、車種、運転手の年代、又は性別であることのいずれかのデータが開示されることによって、移動物(421)、移動物(422)及び移動物(423)のいずれのデータであるかが特定されてしまう。このことは個人情報の漏洩につながり、個人情報保護の観点から問題である。
【0070】
そこで、本願発明の実施態様に従うと、個人情報の保護を図るために、データ・アグリゲータ(202)は、以下の処理を行う。すなわち、データ検索要求に応じて開示するレコードに関連付けられている移動物において、一定範囲のL個(Lは1以上の整数)の領域を、一定時間以内に通過するという条件を満たす移動物がk個(kは2以上の整数)以上存在するように、L個の領域ごとに、範囲wj及び/又は当該範囲wjの通過時間レンジ(sj, ej)(sjは通過時間の開始時間であり、ejは通過時間の終了時間であり、及びjは1,2,・・・,Lの整数である)を計算する。
【0071】
図4の例では、5個の時空間領域(411〜415)がある。そこで、時空間領域(411〜415)ごとに、一定時間以内に通過するという条件を満たす移動物がk個(kは2以上の整数)以上存在するように、当該時空間領域の範囲wj及び/又は当該範囲wjの通過時間レンジ(sj, ej)を計算する。範囲wを広げることによって、広げた後の範囲wj内に入る移動物の数が増える(以下の図6Aを参照)。また、通過時間レンジ(sj, ej)を広げる又は前後にずらすことによって、広げた後の又はずらした後の時間レンジ(sj, ej)内に入る移動物の数が増える(以下の図6Bを参照)。また、範囲wを広げ且つ通過時間レンジ(sj, ej)を広げる又は前後にずらすことによって、広げた後の範囲wj及び広げた後の又はずらした後の通過時間レンジ(sj, ej)内に入る移動物の数が増える。
【0072】
図5は、本発明の実施態様において使用されうるレコード集合体の例を示す。
レコード集合体(501及び502)は各レコードを含む。レコードは一単位のデータであり、各レコードは、移動物の識別子、及び当該識別子に関連付けられた各属性値を有する。各属性値は、時刻t及び位置pという時空間を決めるための属性値に加えて、時刻t及び位置pにおける移動物に関する各属性についての属性値を含む。
【0073】
図6Aは、本発明の実施態様において、範囲wを広げることによって、広げた後の範囲wj内に入る移動物の数が増えることを示す。
範囲wを広げる前に、時空間領域(411)にある移動物は421、422及び423で示される3台である。一方、時空間領域(411)の範囲wを広げることによって(611、wj)、移動物は421、422及び423で示される3台に加えて、621、622及び623で示される3台を加えた合計6台になる。従って、当該範囲wj内に、移動物(421)に関連付けられた属性値、例えば車種(貨物車)を有する移動物が複数台存在(421、621、622及び623)することによって、移動物(421)が属性値(貨物車)が公開された場合であっても、当該公開された属性値(貨物車)から移動物(421)が特定されることがなくなる。言い換えれば、移動物(421、621、622及び623)は、同一の振る舞いと、同一の属性値(貨物車)を持つ車であるとして開示される。従って、移動物(421)の属性値(貨物車)が公開された場合であっても、移動物(421)のデータ・オーナーの個人情報の保護が図られる。
【0074】
図6Bは、本発明の実施態様において、通過時間レンジ(sj, ej)を広げる又は前後にずらすことによって、広げた後の又はずらした後の時間レンジ(sj,ej)内に入る移動物の数が増えることを示す。
通過時間レンジ(sj, ej)を広げる又は前後にずらす前に、時空間領域(411)にある移動物は421、422及び423で示される3台である。一方、通過時間レンジ(sj, ej)を広げる又は前後にずらすことによって(612)、移動物は421、422及び423で示される3台に加えて、631、632及び633で示される3台を加えた合計6台になる。従って、広げた後の又はずらした後の時間レンジ(sj,ej)内に、移動物(421)に関連付けられた属性値、例えば車種(貨物車)を有する移動物が複数台存在(421、631、632及び633)することによって、移動物(421)が属性値(貨物車)公開された場合であっても、当該公開された属性値(貨物車)から移動物(421)が特定されることがなくなる。言い換えれば、移動物(421、631、632及び633)は、同一の振る舞いと、同一の属性値(貨物車)を持つ車であるとして開示される。従って、移動物(421)の属性値(貨物車)が公開された場合であっても、移動物(421)のデータ・オーナーの個人情報の保護が図られる。
【0075】
図7は、本発明の実施態様において使用されるレコードにおいて、各属性値を使用して集計値を求めるために、各属性値を数値に変換する態様を示す。
各属性値を使用して求められる集計値は、集計値を開示してよいかどうかを判断するために使用される。具体的には、秘匿部(304)は、第1の移動物が上記計算された範囲wjにあり且つ上記計算された通過時間レン(sj,ej)にあり、且つ、第2の移動物が上記計算された範囲wjにあり且つ上記計算された通過時間レンジ(sj,ej)にある場合に、レコード集合体中の第1の移動物の識別子に関連付けられた少なくとも1つの属性値(第1の属性値)から計算される第1の値を、上記レコード集合体中の第2の移動物の識別子に関連付けられた少なくとも1つの属性値(第2の属性値)から計算される第2の値と入れ替えて、当該第2の値に入れ替えられた後に計算される集計値が当該第1の値から計算される集計値と完全一致になるように上記第1の属性値の取り方を制御することが可能である。
【0076】
以下に、図7のレコード集合体(701)を例にして、上記第1の属性値の取り方を説明する。
【0077】
レコード集合体(701)は、図5のレコード集合体(501)のレコード(511〜513)と同一のレコード(721〜723)を含む。また、レコード集合体(701)は、レコード(721〜723)に加えて、レコード(724及び725)を含む。なお、時刻t1〜t5及び位置p1〜p5は1つのデータ・プロバイダが検出する1つの時空間領域内(例えば、図4の411)にあるとする。
【0078】
データ・アグリゲータ(202)の計算部(303)は、属性値を所定のルールに従い数値化する。属性「時刻」の属性値は、例えば、シリアル値に変換されうる。属性「位置」の属性値は、例えばdegree度分秒表示に変換されうる。属性「色」の属性値は、例えば色コードに変換されうる。属性「車速」の属性値は、数値であるので変更されなくてもよく、又は、「0〜10km未満/時間」を1、「10〜20km未満/時間」を2、「20〜30km未満/時間」を3、「30〜40km未満/時間」を4、「40〜50km未満/時間」を5、(以降、同様)のように数値化されてもよい。属性「運転者」は、例えば、年代(数値)と男(数値「1」とする)又は女(数値「0」とする)との各数値が組み合わされた属性値に変換されうる。その結果のレコード集合体が図7の702に示されている。
【0079】
計算部(303)は、レコード集合体(702)のレコード(731、732及び733)について、属性1(色)、属性2(車種)、属性3(車速)及び属性4(運転者)の4つの各属性値から、所定の関数にこれら属性値を代入して集計値(第1の集計値)を計算するとする。
一方、計算部(303)は、レコード(731、732及び733)のうち、レコード(731)の属性値をレコード(732)の属性値の全てと入れ替えたとする。すなわち、計算部(303)は、レコード(732、732及び733)について、属性1(色)、属性2(車種)、属性3(車速)及び属性4(運転者)の4つの各属性値から、上記所定の関数にこれら属性値を代入して集計値(第2の集計値)を計算する。そうすると、第1の集計値と第2の集計値とは一致しない。従って、レコード(731)の識別子によって特定される属性値、又は当該属性値から求められるデータを公開することは、レコード(731)の識別子によって特定されるデータ・オーナーの個人情報を開示することにつながる。
【0080】
同様に、計算部(303)は、レコード(731、732及び733)のうち、レコード(731)の属性値をレコード(733)の属性値の全てと入れ替えたとする。すなわち、計算部(303)は、レコード(733、732及び733)について、属性1(色)、属性2(車種)、属性3(車速)及び属性4(運転者)の4つの各属性値から、上記所定の関数にこれら属性値を代入して集計値(第3の集計値)を計算する。そうすると、第1の集計値と第3の集計値とは一致しない。従って、レコード(731)の識別子によって特定される属性値、又は当該属性値から求められるデータを公開することは、レコード(731)の識別子によって特定されるデータ・オーナーの個人情報を開示することにつながる。
【0081】
従って、レコード(731〜733)しかない場合、レコード(731)の識別子によって特定される属性値、又は当該属性値から求められるデータを公開することはできない。同様に、レコード(732)又はレコード(733)の識別子によって特定される属性値、又は当該属性値から求められるデータを公開することはできない。
【0082】
そこで、本発明の1つの実施態様では、以下の処理を行う。計算部(303)は、例えば、レコード(731、732、733及び734)について、属性1(色)、属性2(車種)、属性3(車速)及び属性4(運転者)の4つの各属性値から、所定の関数にこれら属性値を代入して集計値(第4の集計値)を計算するとする。
一方、計算部(303)は、レコード(731、732、733及び734)のうち、レコード(731)の属性1〜4の属性値全てをレコード(734)の属性1〜4の属性値と入れ替えたとする。すなわち、計算部(303)は、レコード(734、732、733及び734)について、属性1(色)、属性2(車種)、属性3(車速)及び属性4(運転者)の4つの各属性値から、上記所定の関数にこれら属性値を代入して集計値(第5の集計値)を計算する。そうすると、レコード(731)の属性1〜属性4の各値は、レコード(734)の属性1〜属性4の各値と同じであることから、レコード(731)の属性1〜4の各属性値全てをレコード(734)の属性1〜4の各属性値と入れ替えたとしても、第5の集計値は第4の集計値と完全に一致する。すなわち、レコード(731)の属性1〜4の各属性値全てをレコード(734)の属性1〜4の各属性値と入れ替えたとしても、集計値は影響されない。従って、レコード(731)の識別子によって特定される各属性値1〜4、又は当該属性値1〜4から求められるデータを公開したとしても、レコード(731)の識別子によって特定されるデータ・オーナーの個人情報を開示することにつながらない。計算部(303)は、上記のようにして、集計値として使用するレコードを集計値が同じになるように取捨選択することによって、公開可能なレコード及びその属性を決定することが可能である。
【0083】
次に、計算部(303)は、例えば、レコード(731、732、733及び735)について、属性1(色)、属性2(車種)、属性3(車速)及び属性4(運転者)の4つの各属性値から、所定の関数にこれら属性値を代入して集計値(第6の集計値)を計算するとする。
一方、計算部(303)は、レコード(731、732、733及び735)のうち、レコード(731)の属性1〜4の属性値全てをレコード(735)の属性1〜4の属性値と入れ替えたとする。すなわち、計算部(303)は、レコード(734、732、733及び735)について、属性1(色)、属性2(車種)、属性3(車速)及び属性4(運転者)の4つの各属性値から、上記所定の関数にこれら属性値を代入して集計値(第7の集計値)を計算する。そうすると、レコード(735)の属性1の値(#ffffff)は、レコード(731)の属性1の値(#ff0000)と異なることから、レコード(731)の属性1〜4の各属性値全てをレコード(735)の属性1〜4の各属性値と入れ替えた場合には、第7の集計値は第6の集計値と完全に一致しない。すなわち、レコード(731)の属性1〜4の各属性値全てをレコード(735)の属性1〜4の各属性値と入れ替えた場合には、集計値が影響される。従って、レコード(731)の識別子によって特定される属性値(例えば属性1)を公開すると、レコード(731)の識別子によって特定されるデータ・オーナーの個人情報を開示することにつながらない。
【0084】
そこで、本発明の他の実施態様では、以下の処理を行う。計算部(303)は、レコード(731、732、733及び735)のうち、レコード(731)の属性1を除く属性2〜4の属性値全てをレコード(735)の属性1を除く属性2〜4の属性値と入れ替えたとする。すなわち、計算部(303)は、レコード(735、732、733及び735)について、属性1(色)を除く、属性2(車種)、属性3(車速)及び属性4(運転者)の3つの各属性値から、所定の関数にこれら属性値を代入して集計値(第8の集計値)を計算する。そうすると、レコード(735)の属性2〜属性4の各値は、レコード(731)の属性2〜属性4の各値と全て同じであることから、レコード(731)の属性2〜4の各属性値全てをレコード(735)の属性2〜4の各属性値と入れ替えたとしても、第8の集計値は第7の集計値と完全に一致する。すなわち、レコード(731)の属性2〜4の各属性値全てをレコード(735)の属性2〜4の各属性値と入れ替えたとしても、集計値は影響されない。従って、レコード(731)の識別子によって特定される各属性値2〜4、又は当該属性値2〜4から求められるデータを公開したとしても、レコード(731)の識別子によって特定されるデータ・オーナーの個人情報を開示することにつながらない。計算部(303)は、上記のようにして、集計値として使用する属性を集計値が同じになるように取捨選択することによって、公開可能なレコード及びその属性を決定することが可能である。
【0085】
図8は、本発明の実施態様において、データ・アグリゲータ(202)が、集計値に影響がないように属性の取り方を変更することを示す例を示す。
移動物A〜Dの各識別子に、属性1〜4についての各属性値が関連付けられている(801〜804)。属性1〜4の各属性値は、便宜的に記号○、△及び□のいずれかで示されている。移動物Aの属性1〜4の各属性値は○○○○であり、移動物Bの属性1〜4の各属性値は○○△○であり、移動物Cの属性1〜4の各属性値は○□△○であり、及び、移動物Dの属性1〜4の各属性値は○□○○である。
【0086】
計算部(303)は、移動物A〜Dそれぞれの4つの各属性値から、所定の関数にこれら属性値を代入して集計値(第1の集計値)を計算するとする(801)。次に、計算部(303)は、移動物Aの属性値全てを移動物Dの属性値と入れ替えたとする(802)。すなわち、計算部(303)は、移動物D、B、C及びDそれぞれの4つの各属性値から、上記所定の関数にこれら属性値を代入して集計値(第2の集計値)を計算するとする。移動物Dの属性2の属性値□と、移動物Aの属性2の属性値○は異なる。従って、第2の集計値は、第1の集計値と一致しない。従って、移動物Aによって特定される属性値又は当該属性値から求められるデータ(すなわち、トレース・データ)を公開することは、移動物Aの識別子によって特定されるデータ・オーナーの個人情報を開示することにつながる。
【0087】
そこで、本発明の1つの実施態様では、以下の処理を行う。計算部(303)は、移動物A〜Dそれぞれの属性1〜4のうち、属性2を除く属性1及び3〜4の属性値を選択して、所定の関数にこれら選択した属性値を代入して集計値(第3の集計値)を計算するとする(811)。次に、移動物Aの属性2を除く属性1及び3〜4の属性値全てを移動物Dの属性2を除く属性1及び3〜4の属性値と入れ替えたとする(812)。すなわち、計算部(303)は、移動物D、B、C及びDそれぞれの3つの各属性値から、上記所定の関数にこれら属性値を代入して集計値(第4の集計値)を計算するとする。移動物Dの属性1及び属性3〜4の各属性値は、移動物Aの属性1及び属性3〜4の各属性値と同じである。従って、第4の集計値は、第3の集計値と完全に一致する。すなわち、移動物Aの属性1及び2〜4の各属性値全てを移動物Dの属性1及び3〜4の各属性値と入れ替えたとしても、集計値(すなわち、第3の集計値及び第4の集計値)は影響されない。従って、移動物Aの識別子によって特定される各属性値1及び3〜4又は当該属性値1及び3〜4から求められるデータ(すなわち、トレース・データ)を公開したとしても、移動物Aの識別子によって特定されるデータ・オーナーの個人情報を開示することにつながらない。上記のようにして、計算部(303)は、属性値の取り方を集計値が完全に一致するように制御することによって(言い換えれば、集計のために利用する属性値を集計値が完全に一致するように選択することによって)、公開可能なトレース・データを決定することが可能である。
【0088】
図9Aは、本発明の実施態様において、データ・アグリゲータ(202)が、集計値に影響がないことを確認して、トレース・データを開示するためのフローチャートを示す。
ステップ901では、計算部(303)は、移動物(例えば、A、B及びC)の各識別子を含むレコードからの属性値から集計値(AV1)を求める。
ステップ902では、計算部(303)は、移動物(例えば、A、B及びC)のうち、移動物Aの識別子を含むレコードの属性値を移動物B又はCの識別子を含むレコードの属性値全てと入れ替えて、ステップ901で集計値を求めた同じ方法(例えば、所定の関数)に従い集計値(AV2)を求める。
ステップ903では、計算部(303)は、集計値(AV1)と集計値(AV2)とを比較し、集計値(AV1)と集計値(AV2)とが完全一致するかどうかを判断する。集計値(AV1)と集計値(AV2)とが完全一致する場合には、ステップ904に進み、一方、集計値(AV1)と集計値(AV2)とが完全一致しない場合には、ステップ902に戻る。
ステップ904では、秘匿部(304)は、集計値(AV1)と集計値(AV2)とが完全一致することに応じて、移動物(A)の属性値(固有データでもある)の影響が集計値から求められないと判断する。
一方、集計値(AV1)と集計値(AV2)とが完全一致しないことに応じて、秘匿部(304)は、ステップ902の処理に戻り、集計値(AV1)と集計値(AV2)とが完全一致するように、例えば、移動物の識別子を含むレコードからの属性値を変更したり、移動物(A)の属性値を入れ替える移動物を他の移動物に変更して、属性値を変更したり、又は移動物を入れ替えたり若しくは増減することによって属性値を変更する。そして、処理は、再度ステップ903に戻り、計算部(303)は、集計値(AV1)と集計値(AV2)とを比較する。なお、属性値を変更することによって、開示可能なトレース・データが減少しうる場合がある。
【0089】
図9Bは、本発明の実施態様において、データ・アグリゲータ(202)が、集計値が完全に一致することに応じて、トレース・データを開示するための具体例1及び2を示す。
具体例1は、移動物に関連するトレース・データの集計値として、60歳未満というデータを開示してよいかという条件1(「60歳未満か否か」)に従って、開示してよいトレース・データを調べる例である。移動物の数についての閾値kは3であるとする。
具体例2は、移動物に関連するトレース・データの集計値として、40歳未満というデータを開示してよいかという条件2(「40歳未満か否か」)に従って、開示してよいトレース・データかを調べる例である。移動物の数についての閾値kは3であるとする。
【0090】
ステップ911において、計算部(303)は、3つの移動物A、B及びCの各識別子をそれぞれ含むレコードの属性値を使用して、トレース・データA、B及びCをそれぞれ求める。その結果、トレース・データAは、A:F1:50km/h,F2:45km/h,F3:30km/h,属性値:20代男、であり、トレース・データBは、B:F1:50km/h,F2:45km/h,F3:30km/h,属性値:30代女、であり、及びトレース・データCは、C:F1:50km/h,F2:45km/h,F3:30km/h,属性値:40代男、であるとする。
トレース・データA、B及びCにおいて、3つの時空間領域F1、F2及びF3と、各時空間領域に関連付けられた属性(平均速度)の属性値(F1:50km/h,F2:45km/h,F3:30km/h)は全て一致するように選択されている。従って、トレース・データA、B及びCにおいて、時空間領域F1、F2及びF3と、各時空間領域に関連付けられた属性(平均速度)を見るだけでは、移動物A、B及びCは全く同じであり区別できない。従って、閾値kが3であるという匿名性は満たされている。
しかしながら、トレース・データA、B及びCの各属性(世代、年代)を見ると、20代男、30代女性及び40代男であるので、当該属性(世代、年代)から、移動物A、B及びCは特定可能である。従って、当該属性(世代、年代)を開示してしまうと、移動物A、B及びCは特定されてしまう。従って、閾値kが3であるという匿名性は満たされていない。
一方、属性(世代、年代)を直接ではなく、上記具体例1及び2に挙げたように、属性値の取り方を制御する集計処理をすることによって、トレース・データA、B及びCを開示できる可能性がある。
【0091】
以下に具体例1について、説明する。
ステップ912において、計算部(303)は、トレース・データA、B及びCから集計値AVを計算する。ステップ912では、条件1(「60歳未満か否か」)は満たされている。
ステップ913において、計算部(303)は、トレース・データAの属性値(20代男)をトレース・データBの属性値(30代女)に置換する。
ステップ914では、計算部(303)は、トレース・データB、B及びCの属性値から、ステップ912と同じ方法に従い集計値AV_1を計算する。ステップ914では、条件1(「60歳未満か否か」)は満たされている。
ステップ915において、計算部(303)は、トレース・データAの属性値(20代男)をトレース・データCの属性値(40代男)に置換する。
ステップ916において、計算部(303)は、トレース・データC、B及びCの属性値から、ステップ912と同じ方法に従い集計値AV_2を計算する。ステップ916では、条件1(「60歳未満か否か」)は満たされている。
ステップ917において、計算部(303)は、集計値AV、AV_1及びAV_2を比較する。具体例1では、ステップ914及びステップ916でそれぞれ計算される集計値AV_1及びAV_2は、ステップ912で計算される集計値AVと一致する。従って、処理は、ステップ918に進む。
ステップ918において、秘匿部(304)は、集計値AV、AV_1及びAV_2の全部が一致することから、トレース・データ及び制御された属性(60歳未満)を開示可能であると判断する。何故ならば、ステップ913において、トレース・データAの属性値(20代男)をトレース・データBの属性値(30代女)に置換しても、及び、トレース・データAの属性値(20代男)をトレース・データCの属性値(40代男)に置換しても、条件1(「60歳未満か否か」)は満たされているからである。従って、「60歳未満か否か」という制御された属性を開示しても、移動物A、B及びCのうちから、移動物Aを区別するだけのデータは漏れないということが確認できる。従って、具体例1では、秘匿部(304)は、トレース・データ及び必要に応じて制御された属性値(派生の属性情報の属性値)は開示可能であると判断する。従って、開示可能なデータ(秘匿化された検索結果)は、F1:50km/h,F2:45km/h,F3:30km/h,60歳未満である。
【0092】
以下に具体例2について、説明する。
ステップ912において、計算部(303)は、トレース・データA、B及びCから集計値AVを計算する。ステップ912では、条件2(「40歳未満か否か」)は満たされている。
ステップ913において、計算部(303)は、トレース・データAの属性値(20代男)をトレース・データBの属性値(30代女)に置換する。
ステップ914では、計算部(303)は、トレース・データB、B及びCの属性値から、ステップ912と同じ方法に従い集計値AV_1を計算する。ステップ914では、条件2(「40歳未満か否か」)は満たされている。
ステップ915において、計算部(303)は、トレース・データAの属性値(20代男)をトレース・データCの属性値(40代男)に置換する。
ステップ916において、計算部(303)は、トレース・データC、B及びCの属性値から、ステップ912と同じ方法に従い集計値AV_2を計算する。ステップ916では、条件2(「40歳未満か否か」)は満たされていない。
ステップ917において、計算部(303)は、集計値AV、AV_1及びAV_2を比較する。具体例2では、ステップ914で計算される集計値AV_1はステップ912で計算される集計値AVに一致する。しかし、ステップ916で計算される集計値AV_2はステップ912で計算される集計値AVに一致しない。従って、処理は、ステップ919に進む。
ステップ919において、秘匿部(304)は、集計値AV、AV_1及びAV_2の間でずれが生じていることから、「40歳未満か否か」という制御された属性を開示可能であると判断する。何故ならば、ステップ913において、トレース・データAの属性値(20代男)をトレース・データBの属性値(30代女)に置換しても条件2(「60歳未満か否か」)は満たされるが、一方、トレース・データAの属性値(20代男)をトレース・データCの属性値(40代男)に置換すると、条件2(「60歳未満か否か」)は満たさないからである。従って、「40歳未満か否か」という結果を開示すると、移動物A、B及びCのうちから、移動物Cを区別するだけのデータが漏れてしまうということが確認できる。従って、具体例2では、秘匿部(304)は、トレース・データの一部は開示可能であるが、制御された属性値(40歳未満)は開示可能でない、と判断する。従って、開示可能なデータ(秘匿化された検索結果)は、F1:50km/h,F2:45km/h,F3:30km/hであり、制御された属性値(40歳未満)は開示されない。
【0093】
図10は、本発明の実施態様において、時空間領域をつなげて得られるトレース・データを秘匿化した後に得られる秘匿化後トレース・データとレコード中の属性との関係を示す図である。
トレース・データとは、同一の識別子を有する複数のレコードを集めて、例えば古い時刻から新しい時刻へと時刻順にソートすることによって得られる、移動物の時刻変化による位置(又は空間)の推移を示すデータである。すなわち、本明細書において、トレース・データは、同一の識別子を有する移動物から得られるトレース情報である。トレース・データは、例えば、図4に示されているように、時空間領域(411)における移動物(421)のレコード1、時空間領域(412)における移動物(421)のレコード2、時空間領域(413)における移動物(421)のレコード3、時空間領域(414)における移動物(421)のレコード4、及び時空間領域(415)における移動物(421)のレコード5を集めて、時刻順にソートすることによって得られる。
【0094】
秘匿化後トレース・データは、上記トレース・データが秘匿部(304)によって秘匿された後に求められるトレース・データであり、公開対象となりうるトレース・データである。従って、秘匿化後トレース・データは、秘匿前のトレース・データの全部又は一部でありうる。秘匿化後トレース・データが秘匿前のトレース・データの全部である場合とは、全てのトレース・データを公開してよい場合である。一方、秘匿化後トレース・データが秘匿前のトレース・データの一部である場合とは、一部のトレース・データを公開してよい場合である。秘匿化トレース・データには、レコード1〜5の中の各属性が関連付けられている。当該関連付けられている属性は、例えば、トレース・データ検索要求内に指示されうる。例えば、各時空間領域の平均速度である。計算部(303)は、データ検索要求に応じて、秘匿化後トレース・データについて情報開示を行うことが可能である。なお、秘匿化後トレース・データについての情報開示において、レコード自体が含まれるとは限らず、例えば、位置の遷移に関する情報が含まれうる。
【0095】
時空間上の領域の関数Fi(iは1以上の整数)は、図10の各時空間領域F1〜F5(1001〜1005)を配列した関数である。時空間領域F1〜F5(1001〜1005)それぞれは、上記レコード1〜5に対応しているとする。
時空間上の領域の関数Fの配列は、位置p及び時間tについて、F(p,t)=trueである場合は領域内であり、F(p,t)=falseである場合は領域外となるような関数である。関数Fは、直感的には、「ある範囲にある時間帯にあるか」という判断の結果を表す関数である。すなわち、位置p1を中心とした半径dの領域に時間t1〜t2に存在する点は、数学的に表現すれば、下記式によって表されうる:|p-p1| > d and(t-t1)(t2-t)>0。
なお、関数Fをどのようにするかは、データ検索要求内において定義されうる。
【0096】
図10の時空間領域F1〜F5(1001〜1005)において、各時空間領域の関数Fi(iは1以上の整数)に、各属性情報(attr1,attr2,attr3,attr4,attr5)(1021〜1025)が関連付けられる場合がある。各属性情報(1021〜1025)は、同じものであっても、異なるものであってもよい。各属性情報が異なる場合とは、例えば、各時空間領域の平均速度である。この場合、属性情報(1021〜1025)は、当該時空間領域中に位置及び時刻(例えば、レコード中の位置及び時刻の情報)が含まれるレコード中の属性情報、又は、当該レコードの属性情報から生成されうる属性情報(すなわち、派生の属性情報)でありうる。当該派生の属性情報は、例えば「各時空間領域の平均速度」であり、派生の属性情報「各時空間領域の平均速度」は、1つの時空間領域内に複数のレコードが含まれていて、平均速度が当該複数のレコードの属性情報「速度」の平均である場合である。各属性情報(1021〜1025)の各領域における生成方法は、データ検索要求内において定義されうる。
【0097】
図11は、本発明の実施態様において、個人情報を保護するために使用されうるポリシー設定において使用されうるシステム環境図を示す。
データ・オーナーが、ユーザ端末(204)を介して、上記ポリシーを設定し又は変更しうる。ポリシーの例を、図12に示す。ポリシーは、データ・アグリゲータ(202)からアクセス可能なポリシー・レポジトリ(212)に格納される。
【0098】
ポリシー・レポジトリ(212)は、図10において説明したトレース・データを利用するために必要となるポリシーも格納している。トレース・データの利用も、上記ポリシーに準拠する必要がある。ポリシーの具体例を以下に説明する。
【0099】
ポリシーは、各トレース・データの秘匿化の閾値を定義する。トレースは、「F1, F2, ..., FN」で表されるN個の時空間領域の配列である。トレース・データは、N個の時空間領域を通過する、具体的なレコードの配列(配列長N)である。トレース・データT1, ..., Tkは、k個存在しなくてはならず、当該kが上記秘匿化の閾値である。トレースF1, F2, ..., FN及びそれに関連付けられている属性情報attr1, attr2, ..., attrNは、
(1)k個のトレース・データT1, ..., Tkがあって、(2)各トレース・データTiは、F1(r1)=true, F2(r2)=true, ..., FN(rN)=trueとなるようなレコードの配列r1,r2,...,rNを含み、A(Ti)=attrとなる、を満足する、という意味である。
ここで、kは、各トレース・データのデータ・オーナーがポリシー内において定義した閾値の最大値でありうる。閾値の最大値でありうる理由は、以下の通りである。レコード毎にデータ・オーナーがいて、各データ・オーナーが各レコードについて異なるポリシーを定義している場合がある。従って、各レコードについて、異なる閾値kが定義されている場合がある。そのような場合には、異なる閾値kの中でも、最大値の閾値が閾値として用いられるのである。
F1, F2, ..., FN及びattrは、検索結果内に含まれる。
トレース・データT1, ..., Tk及びレコードの配列r1, r2, ..., rNは、秘匿化時に利用する内部変数である。トレース・データT1, ... , Tkは時空間領域の配列であるので、秘匿化時において、時空間領域の推移を捉えるために使用されうる。レコードの配列r1, r2, ..., rNは、秘匿化時において、各時空間領域の属性情報を計算するために使用されうる。
Aは、属性情報attr1, attr2, ..., attrNの生成関数であり、データ検索要求内に含まれる。
【0100】
秘匿部(304)は、ポリシーにおいて使用されうるデータの開示回数又は開示先を含むデータを例えばポリシー・レポジトリ(212)内に格納しうる。当該データは、当該データに関連付けられた移動物のポリシーに関連付けて格納されうる。
【0101】
図12は、本発明の実施態様において、トレース・データの開示を制御するために使用されうるポリシーの例を示す。
ポリシー(1201)は、例えば、ポリシーを識別するための識別子(例えば、移動物の識別子と同じであってもよい)、移動物の識別子、移動物のデータの開示回数、及びその閾値、移動物のデータの開示先、移動物のデータの開示を拒否する属性、及び移動物のトレース・データの閾値を含みうる。ポリシーを使用してトレース・データの開示が制御されるために、ポリシーを設定したデータ・オーナーの意思に基づいて又は秘匿部(304)に設定されたデフォルトのポリシー設定に基づいて移動物に関連する個人情報を保護することが可能である。
【0102】
以下に、ポリシーを使用して、トレース・データがどのように秘匿化されるかを説明する。以下では、図5のレコード集合体1(501)を例にして説明する。
レコード集合体1(501)は、一つのデータ・プロバイダ(例えば201−1)からデータ・アグリゲータ(202)に提供されるレコードの集合である。このようなレコード集合体が、1つ又は複数のデータ・プロバイダからデータ・アグリゲータ(202)に提供される。そうすると、データ・アグリゲータ(202)は、移動物の識別子XXXXXについて、下記に示すような、データを複数行もつことになる。
【0103】
(XXXXX,t1 ,p1 ,赤,貨物車,45,20代男,・・・)※
(XXXXX,t11,p11,赤,貨物車,55,20代男,・・・)
(XXXXX,t12,p12,赤,貨物車,35,20代男,・・・)
(XXXXX,t13,p13,赤,貨物車,15,20代男,・・・)
(XXXXX,t14,p14,赤,貨物車,35,20代男,・・・)
(注: レコード(511)に対応する)
【0104】
そこで、計算部(303)は、上記各レコードを、時間順でソートする。そうすると、上記例において、車速以外は固定属性であるので、下記のようにまとめられる。
【0105】
XXXXX−(赤,貨物車,20代男,・・・・)
(t1, p1, 45) ・・・・F1
(t11,p11,55) ・・・・F1
(t12,p12,35) ・・・・F2
(t13,p13,15) ・・・・F2
(t14,p14,35) ・・・・F3
ここで、F1、F2及びF3は、時空間領域を示す。
【0106】
上記結果が、トレース・データである。(t1,p1)と(t11,p11)とが近く、(t12,p12)と(t13,p13)とが近いとする。そして、結果として、秘匿化処理の結果、トレース・データが3つの時空間領域F1、F2及びF3を包含するとする。各時空間領域の属性情報を「速度平均」とすると、
XXXXX−(F1,50)→(F2,25)→(F3,35)
というのが、秘匿化したトレース・データである(なお、XXXXXは外部に明かさない)。
【0107】
秘匿化が完了していることから、同じ属性を持つ移動物はk個あるはずである。ここで、ポリシーにおいてk=3であると設定されているとする。
k=3である場合、
XXXXX−(F1,50)→(F2,25)→(F3,35)
YYYYY−(F1,50)→(F2,25)→(F3,35)
ZZZZZ−(F1,50)→(F2,25)→(F3,35)
という3つの移動物がある。しかし、秘匿化後の検索結果として返すのは、
(F1,50)→(F2,25)→(F3,35)
になる。
【0108】
図13は、本発明の実施態様において、データ検索要求において使用されうるシステム環境図を示す。
データ検索要求者は、ユーザ端末(204)にデータ検索要を入力して、又は、サービス・プロバイダ(203−1〜203−n)にデータ検索要求を入力して、移動物についてのデータ検索をデータ・アグリゲータ(202)に対して要求しうる。
【0109】
以下に、トレース・データの検索要求について説明する。
トレース・データの検索要求は、距離関数を含む。距離関数は、例えば、下記に示される3つのいずれかでありうる。
(1)距離関数=位置のずれ(時間帯=∞、位置範囲=最小);この式は、時間幅に拘らずに、細粒度の距離精度で通過したことのある移動物のトレースを取得するために使用される。
(2)距離関数=時刻の差(時間帯=最小、位置範囲=∞);この式は、範囲の大きさに拘らずに、細粒度の時間精度でその時間帯に移動物がいたことを知りたい場合に使用される。
(3)距離関数=c1*時間幅^2+c2*位置のずれ^2;この式は、c1及びc2を重み係数として、時間幅、距離を調整して時空間範囲を知りたい場合に使用される。
また、トレース・データの検索要求は、各時空間領域に関連付けられている属性情報をトレース・データからどう作って関連付けるかの定義を含む。当該定義は、例えば派生の属性情報であり、例えば、その時空間領域を通過したときの速度の平均値である。
【0110】
図14は、本発明の実施態様において、(A)ポリシーを取得すること、(B)レコード集合体を受信すること、及び、(C)データ検索要求を受信することに応じて、トレース・データを取得し、当該取得したトレース・データを処理(匿名化)して、その処理結果を検索結果として送信することの各フローチャートを示す図である。
【0111】
(A)ポリシーを取得すること
ステップ1401において、データ・アグリゲータ(202)は、ポリシーを取得する処理を開始する。
ステップ1402において、データ・アグリゲータ(202)は、データ・オーナーのユーザ端末(204)から送信されたポリシーを受信する。当該ポリシーは、新しく作成されたポリシー又は修正されたポリシーでありうる。
ステップ1403において、データ・アグリゲータ(202)は、当該受信したポリシーを、ポリシー・レポジトリ(212)に格納する。
ステップ1404において、データ・アグリゲータ(202)は、ポリシーを取得する処理を終了する。
【0112】
(B)レコード集合体を受信すること
ステップ1411において、データ・アグリゲータ(202)のレコード/ポリシー受信部(301)は、レコード集合体を受信する処理を開始する。
ステップ1412において、レコード/ポリシー受信部(301)は、少なくとも1つのデータ・プロバイダ(201−1〜201−n)から、レコード集合体を受信する。
ステップ1413において、レコード/ポリシー受信部(301)は、受信したレコード集合体をレコード・レポジトリ(211)に格納する。なお、受信したレコード集合体は、まとめられて統合レコード集合体としてレコード・レポジトリ(211)に格納されてもよい。
ステップ1414では、レコード/ポリシー受信部(301)は、レコード集合体を受信する処理を終了する。
【0113】
(C)データ検索要求を受信して、検索結果を送信すること
ステップ1421において、データ・アグリゲータ(202)は、トレース・データの検索処理を開始する。
ステップ1422において、検索要求受信/検索結果送信部(302)は、データ検索要求者からのデータ検索要求を少なくとも1つのサービス・プロバイダ(203−1〜203−n)から受信する。検索要求受信/検索結果送信部(302)は、当該データ検索要求を計算部(303)に渡す。
ステップ1423において、計算部(303)は、当該データ検索要求に従って、レコード・レポジトリ(211)中のレコード集合体からデータを検索する。検索された結果が、トレース・データである。計算部(303)は、トレース・データを秘匿部(304)に渡す。
ステップ1424において、ステップ1423からのトレース・データに対して、秘匿化を行う。秘匿部(304)は、例えば、秘匿部(304)が保持している(又は秘匿部(304)に設定されている)固有の閾値kを使用して、又は、ポリシー・レポジトリ(212)からポリシーを取得し、当該ポリシー中の閾値kを使用して、トレース・データの秘匿化を行う。また、秘匿部(304)は、さらに上記ポリシー中の他の条件に従って、トレース・データの秘匿化を行いうる。ポリシーのポリシー・レポジトリ(212)からの取得は、例えば、移動物の識別子を特定し、当該特定された識別子からデータ・オーナーを特定し、そして、当該特定されたデータ・オーナーから、当該データ・オーナーが提出したポリシーを特定することによって行われうる。具体的には、ポリシーの取得は、移動物が例えば車両である場合、VIN(又はプレート・ナンバー)を特定し、当該特定されたVINからデータ・オーナーを特定し、当該データ・オーナーが提出したポリシーを特定することによって行われうる。秘匿部(304)は、秘匿化を行った検索結果(秘匿化後トレース・データである)を検索要求受信/検索結果送信部(302)に送信する。
ステップ1425において、検索要求受信/検索結果送信部(302)は、秘匿化を行った上記検索結果を、データ検索要求を送信したサービス・プロバイダに送信する。
ステップ1426において、データ・アグリゲータ(202)は、トレース・データの検索処理を終了する。
【技術分野】
【0001】
本発明は、移動物に関連するトレース・データの開示を制御する技法に関する。特には、本発明は、データ・プロバイダ・システムに接続されたサーバ・コンピュータが、移動物に関連するトレース・データの開示を制御する技法に関する。
【背景技術】
【0002】
車車間(Vehicle to Vehicle, V2V)、車路間(Vehicle to Roadside, V2R)及び車外間(Vehicle to Infrastructure, V2I)を包含するV2X(vehicle-to-any)通信システムにおいて、データ・アグリゲータ・システムは、各データ・プロバイダ・システムが車又はヒトから収集されたデータをレコードとして集約し、当該集約されたレコードをサービス・プロバイダ・システムに提供する責任を有する。上記収集されたデータの権限所有主体は、車両の所有者若しくは運転者、又は車両に関連付けられた管理者にある。また、上記収集されたデータ及び上記集約されたレコードは、個人、個人の行動、又は個人の関心事を特定するために使用することが可能である。従って、データ・アグリゲータ・システムは、個人情報保護の観点から、上記収集されたデータ又は上記集約されたレコードが適切な管理の下にサービス・プロバイダ・システムに対して開示されるように制御する必要がある。
【0003】
下記非特許文献1は、位置ベース・サービス(LBS)のために報告された各位置がK個の異なるフットプリント(すなわち、異なるモバイル・ノードの履歴位置)を含む秘匿領域であることを保証することによって位置情報を没個性化し、それ故に、サービス要求者の正確な識別及び位置は、LBSサービス提供者から秘匿のままである旨を記載する(Abstract)。
【0004】
下記非特許文献2は、中央化された位置ブローカー・サービスによって使用さうれうるミドルウェア・アーキテクチャー及びアルゴリズムを開示し、適用可能なアルゴリズムは、所定の領域内の位置サービスを使用しているエンティティに基づいて、特定の秘匿制約に合致する空間的な又は一時的な次元に沿って位置情報の解決を調節する旨を記載する(Abstract)。
【0005】
下記非特許文献3は、出力摂動によるデータプライバシー確保すること、そのために差分プライバシーの概念を導入する旨を記載する。
【0006】
下記特許文献1は、プライバシー情報を含むデータを管理するデータ開示装置におけるデータ開示方法において、前記データ管理装置は、1つ以上の属性から構成されるデータを1つ以上保持し、前記データの特定の属性を開示する場合の秘匿性を計算し、前記計算した秘匿性が所望する秘匿性を有しない場合には、前記特定の属性のデータの粒度を変更し、所望の閾値以上の秘匿性を有するようにして前記属性のデータを開示することを記載する(請求項1)。
【0007】
下記特許文献2は、情報を管理運用する個人情報管理運用装置において用いられる情報秘匿方法を記載する(請求項1)。各情報は、属性と属性値からなる1つ以上のペアで格納されており、属性の開示により、秘匿したい属性の属性値の特定のし易さを示す秘匿性を統計的に計算し、前記秘匿性があらかじめ設定した秘匿性の閾値よりも秘匿性が確保される属性を選択し、前記選択した属性と、前記選択した属性の属性値を開示することを記載する(請求項1)。
【0008】
下記特許文献3は、目標の装置の精密な位置情報を希薄化するための方法であって、精密な位置の測定された緯度の弧の値を、直線距離に変換することと、所定の直線精度の直線距離を、調整直線距離値へ丸めることと、調整直線距離値を、調整された緯度の弧の値に変換することと、調整された緯度の弧の値に対応する測定経度直線距離を判断することと、第2の所定の直線精度内の測定経度直線距離を、調整された測定経度直線距離へ丸めることと、調整された測定経度直線距離を、調整された経度の弧の値へ変換することと、調整された緯度の弧の値および調整された経度の弧の値を、要求側エンティティへ伝送することを含む方法を記載する(段落0008)。
【0009】
下記特許文献4は、利用者個人のプライバシーに関わるデータを含んだプライバシー情報を用いて利用者に各種のサービスを提供する際に、このプライバシー情報と、それを外部に公開できる条件を記述したプライバシープリファレンスと、をプライバシーカプセルとして一体で管理し、前記プライバシー情報の利用者の利用条件を記述したプライバシーポリシと、前記プライバシープリファレンスと比較して条件を満足する場合に、前記プライバシー情報を前記プライバシーカプセル内で使用することを許可するとともに、前記プライバシー情報を前記プライバシーカプセル外に流出するのを防止することにより、前記プライバシーカプセル外部から前記プライバシー情報を隠蔽するプライバシー情報保護方法を記載する(段落0008)。
【先行技術文献】
【特許文献】
【0010】
【特許文献1】特開2007−219636号公報
【特許文献2】特開2007−219635号公報
【特許文献3】特開2009−278632号公報
【特許文献4】特開2005−99944号公報
【非特許文献】
【0011】
【非特許文献1】Toby Xu, Ying Cai, “Exploring Historical Location Data for Anonymity Preservation in Location-based Services”, IEEE INFOCOM 2008, p547-555, April, 15-17, 2008 (URL:http://www.di.unito.it/~matteo/I09/DATA08/W3-1-3.PDFから入手可能)
【非特許文献2】Anonymous Usage of Location-Based Services Through Spatial and Temporal Cloaking, Marco Gruteser and Dirk Grunwald, (URL:http://www.winlab.rutgers.edu/~gruteser/papers/gruteser_anonymous_lbs.pdfから入手可能)
【非特許文献3】鹿島 久嗣、「16章:出力摂動によるデータプライバシーの確保 Chapter 16: Private Data Analysis via Output Perturbation in Aggarwal & Yu (Eds.): Privacy-preserving Data Mining」, The University of Tokyo, Depatment of Mathematical Informatics, 、[online]、(URL: http://www.geocities.jp/kashi_pong/PPDM_chap16.pdfから入手可能)
【発明の概要】
【発明が解決しようとする課題】
【0012】
V2X通信システムから収集されるレコード・データから導出されるトレース・データは、いつ、どこに、どんな車両若しくは搭乗者又はヒトが位置しているか又はどんな行動をしているかについての個人情報を含む。当該個人情報は、例えば消費者の行動又は購買意欲を分析するための情報として又は移動物の環境(例えば道路交通環境)を分析するための情報として、例えば市場又は政策上において大きな価値を生み出しうる。一方、トレース・データは、例えば行動に関する情報(例えばどこに、いつ立ち寄ったかという情報)と関連付きやすい(又は紐付きやすい)。また、車又はヒトの位置情報を匿名化する方法は知られているが、当該方法はトレース・データを保護できない。何故ならば、データ・プロバイダが、個別のトレース・データから個々の車両若しくは搭乗者、又はヒトの振る舞いを特定することができでしまうためである。従って、結果として個人情報保護上の問題が生じやすい。そこで、個人情報保護上の問題を回避するために、一定条件を満足した場合においてのみトレース・データが開示される技法が必要とされている。
【課題を解決するための手段】
【0013】
本発明は、移動物に関連するトレース・データの開示を制御する方法、並びにそのコンピュータ及びコンピュータ・プログラムを提供する。
【0014】
特には、本発明は、少なくとも1つのデータ・プロバイダ・システムに接続されたサーバ・コンピュータが上記データ・プロバイダ・システムから提供されたデータの開示を制御する方法を提供する。当該方法は、
第1の時空間領域における1又は複数の移動物について、1つの移動物を特定するための識別子と当該識別子に関連付けられた少なくとも1つの属性値とをレコード単位として含む第1のレコード集合体を、少なくとも1つのデータ・プロバイダ・システムから受信するステップと、
第2の時空間領域における1又は複数の移動物について、1つの移動物を特定するための識別子と当該識別子に関連付けられた少なくとも1つの属性値とをレコード単位として含む第2のレコード集合体を、少なくとも1つのデータ・プロバイダ・システムから受信するステップであって、上記第2のレコード集合体中にある移動物の識別子は上記第1のレコード集合体中にある移動物の識別子と同一の識別子を少なくとも1つ含む、上記第2のレコードを受信するステップと、
移動物に関連するデータ検索要求の受信に応じて、上記受信した第1及び第2のレコード集合体中の同一の識別子に関連付けられた各属性値から、上記データ検索要求に対応する移動物に関連するトレース・データを計算するステップと、
一定範囲のL個の領域を一定時間以内に通過するという条件を満たし、且つ移動物がk個(kは2以上の整数)以上存在するように、上記L個の領域ごとに、範囲wj及び/又は当該範囲wjの通過時間レンジ(sj,ej)(jは1,2,・・・,Lの整数)を計算するステップと、
上記受信した第1及び第2のレコード集合体中の上記同一の識別子を有する移動物が上記計算された範囲wjを上記計算された通過時間レンジ(sj,ej)に移動していることに応じて、上記計算されたトレース・データ又は当該トレース・データの一部を検索結果として返すステップと
を含む。
【0015】
本発明の1つの実施態様において、上記検索結果として返すステップが、上記受信した第1及び第2のレコード中の上記同一の識別子に関連付けられたポリシーに従って、上記計算されたトレース・データ又は当該トレース・データの一部の開示を制限するステップを含みうる。また、本発明の1つの実施態様において、上記同一の識別子に関連付けられたポリシーが、当該同一の識別子を有する移動物についてのトレース・データの開示回数又は開示先の制約データを含み、上記検索結果として返すステップが、上記開示回数又は開示先の制約データに従って、上記データ検索要求に対応する移動物に関連する上記計算されたトレース・データ又は当該トレース・データの一部の開示を制限するステップを含みうる。
【0016】
本発明の1つの実施態様において、上記検索結果として返すステップが、
第1の移動物が上記計算された範囲wjにあり且つ上記計算された通過時間レンジ(sj,ej)にあり、及び、第2の移動物が上記計算された範囲wjにあり且つ上記計算された通過時間レンジ(sj,ej)にある場合に、上記受信した第1及び第2のレコード集合体中の上記第1の移動物の識別子に関連付けられた少なくとも1つの属性値(第1の属性値)から計算される第1の値を、上記受信した第1及び第2のレコード集合体中の上記第2の移動物の識別子に関連付けられた少なくとも1つの属性値(第2の属性値)から計算される第2の値と入れ替えて、当該第2の値に入れ替えられた後に計算される集計値が上記第1の値から計算される集計値と完全一致になるように上記第1の属性値の取り方を制御するステップであって、上記第2の属性値から計算される値は上記第1の属性値から値を求める方法と同じ方法によって計算される、上記制御するステップと
上記制御によって、上記第2の値に入れ替えられた後に計算される集計値が上記第1の値から計算される集計値と完全一致することに応じて、上記データ検索要求に対応する移動物に関連する上記計算されたトレース・データ若しくは当該トレース・データの一部又は上記制御された属性値を検索結果として返すステップと
を含みうる。本発明の1つの実施態様において、上記検索結果として返すステップが、上記受信した第1及び第2のレコード中の上記同一の識別子に関連付けられたポリシーに従って、上記計算されたトレース・データ又は当該トレース・データの一部の開示を制限するステップを含みうる。また、本発明の1つの実施態様において、上記同一の識別子に関連付けられたポリシーが、当該同一の識別子を有する移動物についてのトレース・データの開示回数又は開示先の制約データを含み、上記検索結果として返すステップが、上記開示回数又は開示先の制約データに従って、上記データ検索要求に対応する移動物に関連する上記計算されたトレース・データ又は当該トレース・データの一部の開示を制限するステップを含みうる。
【0017】
本発明の1つの実施態様において、上記検索結果として返すステップが、上記開示回数又は開示先を履歴として記録するステップをさらに含みうる。
【0018】
本発明の1つの実施態様において、上記ポリシーが、ポリシー・レポジトリから取り出される。本発明の1つの実施態様において、上記ポリシーが、上記移動物又は上記データ・プロバイダ・システムに関連付けられたデータ・オーナーにより設定されうる。
【0019】
本発明の1つの実施態様において、上記サーバ・コンピュータが、上記受信した第1及び第2のレコード集合体をレコード・レポジトリに格納するステップをさらに含みうる。
【0020】
本発明の1つの実施態様において、上記計算するステップが、上記データ検索要求に応じて、上記レコード・レポジトリに格納された第1及び第2のレコード集合体からトレース・データを作成するステップをさらに含みうる。
【0021】
本発明の1つの実施態様において、上記計算するステップが、上記第1及び上記第2のレコード集合体を一つの統合レコード集合体にまとめて、当該統合レコード集合体中の同一の識別子に関連付けられたレコードを時刻データ順にソートするステップをさらに含みうる。
【0022】
本発明の1つの実施態様において、上記移動物が車である場合に、上記属性値が、車両の識別子、車両の色、車両ナンバー、車種、時刻tにおけるスピード、車両の機器に関する値、運転者又は同乗者の名前、年齢若しくは性別、搭乗者の数、又は、車内外の時刻tにおける状態、若しくは搭乗者の時刻tにおける状態の少なくとも一つを含みうる。
【0023】
また、特には、本発明は、少なくとも1つのデータ・プロバイダ・システムに接続されたサーバ・コンピュータが上記データ・プロバイダ・システムから提供されたデータの開示を制御するコンピュータ・プログラムを提供する。当該コンピュータ・プログラムは、サーバ・コンピュータに、上記方法のいずれか一つの態様に記載の各ステップを実行させる。
【0024】
また、特には、本発明は、少なくとも1つのデータ・プロバイダ・システムに接続されており、上記データ・プロバイダ・システムから提供されたデータの開示を制御するコンピュータを提供する。当該コンピュータは、
第1の時空間領域における1又は複数の移動物について、1つの移動物を特定するための識別子と当該識別子に関連付けられた少なくとも1つの属性値とをレコード単位として含む第1のレコード集合体を、少なくとも1つのデータ・プロバイダ・システムから受信し、且つ、第2の時空間領域における1又は複数の移動物について、1つの移動物を特定するための識別子と当該識別子に関連付けられた少なくとも1つの属性値とをレコード単位として含む第2のレコード集合体を、少なくとも1つのデータ・プロバイダ・システムから受信する受信部であって、上記第2のレコード集合体中にある移動物の識別子は上記第1のレコード集合体中にある移動物の識別子と同一の識別子を少なくとも1つ含む、上記受信部と、
移動物に関連するデータ検索要求の受信に応じて、上記受信した第1及び第2のレコード集合体中の同一の識別子に関連付けられた各属性値から、上記データ検索要求に対応する移動物に関連するトレース・データを計算し、及び、一定範囲のL個の領域を、一定時間以内に通過するという条件を満たし、且つ移動物がk個(kは2以上の整数)以上存在するように、上記L個の領域ごとに、範囲wj及び/又は当該範囲wjの通過時間レンジ(sj,ej)(jは1,2,・・・,Lの整数)を計算する計算部と、
上記受信した第1及び第2のレコード集合体中の上記同一の識別子を有する移動物が上記計算された範囲wjを上記計算された通過時間レンジ(sj,ej)に移動していることに応じて、上記計算されたトレース・データ又は当該トレース・データの一部を検索結果として返す秘匿部と
を含む。
【発明の効果】
【0025】
本発明の実施態様に従うと、トレース・データのプライバシー保護が図られる。このことは、V2X通信システムの実装において、安全にトレース・データが利用できる基盤の構築を可能にする。
また、特には、本発明の実施態様に従うと、移動物の所有者を包含するデータの権限所有主体(以下、データ・オーナーともいう)によって設定されたポリシーに従ってトレース・データを開示することができる。このことは、データ・オーナーの意思に基づいてトレース・データの開示を可能にし、従って、プライバシーを懸念するデータ・オーナーからのデータ提供を促進することを容易にする。
また、特には、本発明の実施態様に従うと、データ・アグリゲータ・システム毎に、データ開示を制御することが可能になる。このことは、データ利用者に対するアクセス制御及び課金制御の基盤の構築を容易にする。
【図面の簡単な説明】
【0026】
【図1】本発明の実施形態において使用されうるコンピュータ・ハードウェアの基本的なブロック図を示す。
【図2】本発明の実施態様において使用されうるデータ・プロバイダ・システム、データ・アグリゲータ・コンピュータ、サービス・プロバイダ・コンピュータ、データ・オーナー・サーバ・コンピュータ、及びユーザ端末を示す。
【図3】図1に示すコンピュータ・ハードウェアの機能を有し、本発明の実施態様において使用されうるデータ・アグリゲータ・コンピュータの機能ブロック図を示す。
【図4】本発明の実施態様において使用されうるデータ・プロバイダ・システムが、移動物についての情報をレコード集合体として記録する態様を示す。
【図5】本発明の実施態様において使用されうるレコード集合体の例を示す。
【図6】本発明の実施態様において、範囲wを広げることによって、広げた後の範囲wj内に入る移動物の数が増えること(図6A)、及び、通過時間レンジ(sj, ej)を広げる又は前後にずらすことによって、広げた後の又はずらした後の時間レンジ(sj,ej)内に入る移動物の数が増えること(図6B)を示す。
【図7】本発明の実施態様において、レコード集合体の各属性値を使用して集計値を求めるために、各属性値を数値化することを示す表である。
【図8】本発明の実施態様において、データ・アグリゲータ・コンピュータが、集計値に影響がないように属性の取り方を変更することを示す例を示す。
【図9A】本発明の実施態様において、データ・アグリゲータ・コンピュータが、集計値に影響がないことを確認して、トレース・データを開示するためのフローチャートを示す。
【図9B】本発明の実施態様において、データ・アグリゲータ(202)が、集計値が完全に一致することに応じて、トレース・データを開示するための具体例を1及び2示す。
【図10】本発明の実施態様において、時空間領域をつなげて得られるトレース・データを秘匿化した後に得られる秘匿化後トレース・データとレコード中の属性との関係を示す図である。
【図11】本発明の実施態様において、個人情報を保護するために使用されうるポリシー設定において使用されうるシステム環境図を示す。
【図12】本発明の実施態様において、トレース・データの開示を制御するために使用されうるポリシーの例を示す。
【図13】本発明の実施態様において、データ検索要求において使用されうるシステム環境図を示す。
【図14】本発明の実施態様において、ポリシーを取得すること、レコード集合体を受信すること、及び、データ検索要求を受信することに応じて、トレース・データを取得し、当該取得したトレース・データを処理(匿名化)して、その処理結果を検索結果として送信することの各フローチャートを示す図である。
【発明を実施するための形態】
【0027】
本発明の実施形態を、以下に図面に従って説明する。以下の図を通して、特に断らない限り、同一の符号は同一の対象を指す。本発明の実施形態は、本発明の好適な態様を説明するためのものであり、本発明の範囲をここで示すものに限定する意図はないことを理解されたい。
【0028】
図1は、本発明の実施形態において使用されうるコンピュータ・ハードウェアの基本的なブロック図を示す。
コンピュータ(101)は、CPU(102)とメイン・メモリ(103)とを備えており、これらはバス(104)に接続されている。CPU(102)は好ましくは、32ビット又は64ビットのアーキテクチャーに基づくものであり、例えば、インテル社のCore i(商標)シリーズ、Core 2(商標)シリーズ、Xeon(商標)シリーズ、Pentium(Intel Corporationの登録商標)シリーズ、Celeron(Intel Corporation登録商標)シリーズ、Atom(商標)シリーズ、AMD社のPhenom(商標)シリーズ、Athlon(商標)シリーズ、Turion(商標)シリーズ又はSempron(商標)が使用されうる。バス(104)には、ディスプレイ・コントローラ(105)を介して、ディスプレイ(106)、例えば液晶ディスプレイ(LCD)が接続されうる。ディスプレイ(106)は、コンピュータの管理のために、通信回線を介してネットワークに接続されたコンピュータについての情報と、そのコンピュータ上で動作中のソフトウェアについての情報を、適当なグラフィック・ユーザ・インタフェースで表示するために使用される。バス(104)にはまた、SATA又はIDEコントローラ(107)を介して、記憶装置(108)、例えばハードディスク又はソリッド・ステート・ドライブと、ドライブ(109)、例えばCD、DVD又はBDドライブとが接続されうる。バス(104)にはさらに、キーボード・マウス・コントローラ(110)又はUSBバス(図示せず)を介して、キーボード(111)及びマウス(112)が接続されうる。
【0029】
ディスク(108)には、オペレーティング・システム、J2EEなどのJava(Sun Microsystemの登録商標)処理環境、Java(登録商標)アプリケーション、Java(登録商標)仮想マシン(JVM)、Java(登録商標)実行時(JIT)コンパイラを提供するプログラム、その他のプログラム、及びデータが、メイン・メモリにロード可能に記憶されている。
ドライブ(109)は、必要に応じて、CD−ROM、DVD−ROM又はBDからプログラムをディスク(108)にインストールするために使用される。
【0030】
通信インタフェース(114)は、例えばイーサネット(登録商標)・プロトコルに従う。通信インタフェース(114)は、通信コントローラ(113)を介してバス(104)に接続され、コンピュータ(101)を通信回線(115)に物理的に接続する役割を担い、コンピュータ(101)のオペレーティング・システムの通信機能のTCP/IP通信プロトコルに対して、ネットワーク・インタフェース層を提供する。なお、通信回線は、有線LAN環境、又は例えばIEEE802.11a/b/g/nなどの無線LAN接続規格に基づく無線LAN環境であってもよい。
【0031】
図2は、本発明の実施態様において使用されうるデータ・プロバイダ・システム(以下、「データ・プロバイダ」という)、データ・アグリゲータ・コンピュータ(以下、「データ・アグリゲータ」という)、サービス・プロバイダ・コンピュータ(以下、「サービス・プロバイダ」という)、データ・オーナー・サーバ・コンピュータ(以下、「データ・オーナー・サーバ」という)、及びユーザ端末を示す。
【0032】
データ・プロバイダ(201−1〜201−n、nは整数である)は、移動物又は移動物に取り付けられた無線機器と通信し、移動物についての情報を取得し又は受信することが可能な装置でありうる。データ・プロバイダ(201−1〜201−n)は、例えばカメラ/センサであり、例えば道路カメラ/センサでありうる。移動物についての情報は、時空間データを含む。時空間データは、例えば位置piで時刻tiに観測された移動物についてのレコードであり、移動物又はそれに関連付けられた属性に対する属性値を含む。例えば、上記カメラ/センサは、移動物についての情報、例えば車の場合、例えば車両の識別子、車両の色、車両ナンバー、車種、時刻tにおけるスピード(車速)、車両の機器に関する値、運転者又は同乗者の名前、年齢若しくは性別、搭乗者の数、又は移動物が立ち寄った場所(例えば施設)を検出し又は求めうる。車両の識別子は、例えばVIN(Vehicle Identification Number)又は車両ナンバーでありうる。VINは、例えばISO3779の場合、(1)先頭の3桁が車両製造会社識別コード(WMI: World Manufacturer Identifier)であり、(2)4桁目から7桁目が車種識別コード(VDS: Vehicle Descriptor Section)であり、及び(3)末尾8桁が車両個々識別コード(VIS: Vehicle Identifier Section)である。または、上記識別子は、車両のナンバープレート上の記号、文字、数字若しくはそれらの組み合わせ、又は車両上に記載された番号(例えば、列車の各車両を特定する番号)でありうる。また、カメラ/センサは、移動物についての画像又は動画を記録しうる。データ・プロバイダ(201−1〜201−n)は、上記検出した情報を移動物に固有の識別子に関連付けて、レコードとして記録する。識別子は、当該移動物を特定するために使用されうる。また、識別子は、同一の移動物についての複数のレコードを特定するために使用されうる。レコードは、移動物に固有の識別子、時刻t、位置p、及びその他の属性値を有する一単位のデータである。その他の属性値は、移動物に固有の属性値だけでなく、位置p及び時刻tにおいて検出される属性値を含む。その他の属性値は、例えば移動物が車両の場合、例えば、車両の色、車両ナンバー、車種、時刻tにおけるスピード(車速)、車両の機器に関する値、運転者又は同乗者の名前、年齢若しくは性別、搭乗者の数、又は移動物が立ち寄った場所(例えば施設)でありうる。データ・プロバイダ(201−1〜201−n)が複数の移動物(すなわち、異なる識別子を有する)についての情報を検出した場合、データ・プロバイダ(201−1〜201−n)は各移動物についてのレコードを生成し、当該生成されたレコードを複数のレコードにまとめてレコード集合体としうる(図5を参照)。
【0033】
また、データ・プロバイダ(201−1〜201−n)は、移動物(221−1〜221−n)から送信されるレコードを受信しうる端末でありうる。レコードは、上記に述べたレコードと同じ内容でありうる。レコードは、データ・プロバイダ(201−1〜201−n)からのレコード送信要求に応じて、又は、自動的に(例えば所定の時間間隔毎に)、データ・プロバイダ(201−1〜201−n)からデータ・アグリゲータ(202)に提供されうる。データ・プロバイダ(201−1〜201−n)と移動物(221−1〜221−n)との間の通信は、例えば、車路間(Vehicle to Roadside, V2R)及び車外間(Vehicle to Infrastructure, V2I)を包含するV2X(vehicle-to-any)通信システムに従い行われうる。
【0034】
データ・プロバイダ(201−1)は、例えば、一定時間中に一定の範囲(「時空間領域」ともいう)を移動中の移動物についての情報を検出し、又は、一定時間中に一定の範囲を移動中の移動物からレコードを受信しうる。また、データ・プロバイダ(201−1)がカバーする所定の範囲と、データ・プロバイダ(201−1)と異なるデータ・プロバイダ(201−2)がカバーする所定の範囲とは重複してもよい。
【0035】
データ・プロバイダ(201−1〜201−n)は、有線又は無線ネットワークを介して、データ・アグリゲータ・コンピュータ(202)に接続されうる。本発明の実施態様において、少なくとも1つのデータ・プロバイダが使用されうる。
【0036】
データ・アグリゲータ(202)は、データ・プロバイダ(201−1〜201−n)から、上記レコード又はレコードの集合体を受け取る。データ・プロバイダ(201−1〜201−n)は、データ・プロバイダ(201−1〜201−n)からのレコード送信要求に応じて、又は、自動的に(例えば所定の時間間隔毎に)、データ・アグリゲータ(202)に送信しうる。データ・アグリゲータ(202)は、データ・プロバイダ(201−1〜201−n)からの上記レコード若しくはレコード集合体、又は複数のレコード集合体をさらにまとめた統合レコード集合体(以下、本明細書において「レコード集合体」という場合、レコード、レコード集合体、又は統合レコード集合体を包含するものとして理解されたい、特許請求の範囲においても同じである)を、データ・アグリゲータ(202)からアクセス可能なレコード・レポジトリ(211)に格納しうる。
【0037】
データ・アグリゲータ(202)は、サービス・プロバイダ(203−1〜203−n)の少なくとも1つからのデータ検索要求に応じて、上記レポジトリから上記レコード集合体を取得する。引き続き、データ・アグリゲータ(202)は、上記レコード集合体中の同一の識別子に関連付けられた各属性値から、上記データ検索要求に対応する移動物に関連するトレース・データを求めうる。
【0038】
データ・アグリゲータ(202)は、データ検索要求に応じて開示するレコードに関連付けられている移動物において、一定範囲のL個(Lは1以上の整数)の領域を、一定時間以内に通過するという条件を満たし、且つ移動物がk個(kは2以上の整数)以上存在するように、上記L個の領域ごとに、範囲wj及び/又は当該範囲wjの通過時間レンジ(sj,ej)を計算する。ここで、sは開始時間(start time)、eは終了時間(end time)、及びjは1,2,・・・,Lの整数を示す。そして、データ・アグリゲータ(202)は、1又は複数のレコード集合体中の同一の識別子を有する移動物が上記計算された範囲wjを上記計算された通過時間レンジ(sj,ej)に移動していることに応じて、上記計算された求められたデータ又は当該データの一部を検索結果として、データ検索要求を送信したサービス・プロバイダに返す。データ・アグリゲータ(202)は、上記求められたデータ又は当該データの一部を、ポリシー・レポジトリ(212)から取り出したポリシーに従って、開示制限することが可能である。当該ポリシーは、検索結果を作成するために使用されるデータのデータ・オーナーによって作成されたポリシーでありうる。データ・オーナーは、移動物の所有者若しくは管理者、又は当該移動物の所有者若しくは管理者からデータの管理を委任された者若しくはシステムを包含する。
【0039】
また、データ・アグリゲータ(202)は、第1の移動物が上記計算された範囲wjにあり且つ上記計算された通過時間レンジ(sj,ej)にあり、且つ、第2の移動物が上記計算された範囲wjにあり且つ上記計算された通過時間レンジ(sj,ej)にある場合に、レコード集合体中の第1の移動物の識別子に関連付けられた少なくとも1つの属性値(第1の属性値)から計算される第1の値を、上記レコード集合体中の第2の移動物の識別子に関連付けられた少なくとも1つの属性値(第2の属性値)から計算される第2の値と入れ替えて、当該第2の値に入れ替えられた後に計算される集計値が当該第1の値から計算される集計値と完全一致になるように上記第1の属性値の取り方を制御することが可能である。なお、上記第2の属性値から計算される値は、上記第1の属性値から値を求める方法と同じ方法(すなわち、同じ属性を用いて計算する)によって計算される。データ・アグリゲータ(202)は、上記のようにして第1の属性値の取り方を制御し、上記第2の値に入れ替えられた後に計算される集計値が上記第1の値から計算される集計値と完全一致することに応じて、上記求められたデータ若しくは当該データの一部又は上記制御された属性値を検索結果として、データ検索要求を送信したサービス・プロバイダに返す。データ・アグリゲータ(202)は、上記求められたデータ又は当該データの一部を、ポリシー・レポジトリ(212)から取り出したポリシーに従って、開示制限することが可能である。当該ポリシーは、検索結果を作成するために使用されるデータのデータ・オーナーによって作成されたポリシーでありうる。
【0040】
データ・アグリゲータ(202)は、有線又は無線ネットワークを介して、サービス・プロバイダ(203−1〜203−n)、並びにレコード・レポジトリ(211)及びポリシー・レポジトリ(212)に接続されうる。データ・アグリゲータ(202)は、1つ又は複数のコンピュータからなっていてもよく、又は、サーバ、例えばエンタプライズ・サーバであってもよい。データ・アグリゲータ(202)は、データ・プロバイダ(201−1〜201−n)又はサービス・プロバイダ(203−1〜203−n)との関係において、サーバでありうる。
【0041】
データ・アグリゲータ(202)は、移動物についてのデータのデータ・オーナーから、当該データ・オーナーの移動物についてのデータの開示を制限するポリシーを受け取る。データ・アグリゲータ(202)は、ポリシーを、当該データ・アグリゲータ(202)からアクセス可能なポリシー・レポジトリ(212)に格納する。また、データ・オーナーは、ユーザ端末(204)を介してポリシーの設定又は変更しうる。
【0042】
サービス・プロバイダ(203−1〜203−n)は、データ・アグリゲータ(202)に対して、データ・プロバイダ(201−1〜201−n)からのデータ(すなわち、移動物についてのデータ、及び当該データから求められるデータである)検索を要求しうる。サービス・プロバイダ(203−1〜203−n)は、データ検索の要求を例えばSQL規格に従い要求しうる。データ検索要求者(リクエスターともいう)は、サービス・プロバイダ(203−1〜203−n)上で、又はサービス・プロバイダ(203−1〜203−n)に接続されたユーザ端末(204)を通じて、データ・プロバイダ(201−1〜201−n)からのデータ検索を要求しうる。データ検索要求者は、例えば、グラフィカル・ユーザ・インターフェス(GUI)を介して、要求するデータの条件又は条件式を入力しうる。
【0043】
ユーザ端末(204)は、データ・オーナーが、上記ポリシーを設定し又は変更するために使用されうる。また、ユーザ端末(204)は、データ検索要求者が移動物についてのデータを要求するために使用されうる。なお、データ・オーナーが使用するユーザ端末とデータ検索要求者が使用するユーザ端末が、同一である必要はない。
【0044】
ユーザ端末(204)は、有線又は無線ネットワークを介して、データ・アグリゲータ(202)に接続されうる。
【0045】
ユーザ端末(204)は、コンピュータ、パーソナル・デジタル・アシスタント、携帯電話、スマートフォン、及びゲーム機器を包含する。
【0046】
移動物(221−1〜221−n)は、例えば車両であり、車両は、例えば業種で分類すると建設車両、農業車両、産業車両、鉄道車両、又は軍用車両を包含し、さらに、例えば日本の道路交通法上でいう自動車、原動機付き自転車、軽車両又はトローリバスを包含する。移動物(221−1〜221−n)は、また、航空機でありうる。また、移動物(221−1〜221−n)は、ヒト又はその他の動物でありうる。
【0047】
移動物(221−1〜221−n)は、当該移動物を唯一に特定するための識別子を有する。識別子は、当該移動物を特定するために使用されうる。また、識別子は、同一の移動物についての複数のレコードを特定するために使用されうる。移動物が車両の場合、例えば、上記に述べたVIN、ナンバープレート上の記号、文字、数字又はそれらの組み合わせ、又は車両上に記載された番号でありうる。また、識別子は、移動物がヒト又はその他の動物である場合、ヒト又は動物に装着された電子機器(例えば、時計、腕輪)に固有の識別子でありうる。
【0048】
本発明は、種々の移動物に適用可能であり、また、種々の場面において移動物に関連するトレース・データの開示を制限するために使用されうる。例えば、運送、輸送若しくは駐車場における車両又はヒト(移動物である)の管理、作業現場における車両又はヒト(移動物である)の管理、ビルにおけるヒト(移動物である)の管理において、必要なトレース・データを取得する際に、個人情報が保護されるように、本発明が適用されうる。
【0049】
図3は、図1に示すコンピュータ・ハードウェアの機能を有し、本発明の実施態様において使用されうるデータ・アグリゲータ(202)の機能ブロック図を示す。
データ・アグリゲータ(202)は、レコード/ポリシー受信部(301)、検索要求受信/検索結果送信部(302)、計算部(303)及び秘匿部(304)を備えている。
【0050】
レコード/ポリシー受信部(301)は、少なくとも1つのデータ・プロバイダ(201−1〜201−n)から、レコード集合体を受け取り、当該受け取ったレコード集合体をレコード・レポジトリ(211)に格納する。レコード/ポリシー受信部(301)は、異なるデータ・プロバイダから、異なるレコード集合体(例えば、第1のレコード集合体及び第2のレコード集合体)を受け取り、又は、同じデータ・プロバイダから、異なるレコード集合体(例えば、第1のレコード集合体及び第2のレコード集合体)を受け取ってもよい。
【0051】
また、レコード/ポリシー受信部(301)は、ユーザ端末(204)からポリシーを受け取り、当該受け取ったポリシーをポリシー・レポジトリ(212)に格納する。ユーザ端末(204)は、移動物のデータ・オーナーに関連付けている。
【0052】
検索要求受信/検索結果送信部(302)は、サービス・プロバイダ(203−1〜203−n)の少なくとも1つから、移動物に関連するデータ検索要求を受信する。検索要求受信/検索結果送信部(302)は、当該受信したデータ検索要求を計算部(303)に渡す。また、検索要求受信/検索結果送信部(302)は、秘匿部(304)からの検索結果を、データ検索要求を送信したサービス・プロバイダ(203−1〜203−n)に送信する。
【0053】
計算部(303)は、検索要求受信/検索結果送信部(302)から、移動物に関連するデータ検索要求を受け取る。当該データ検索要求を受け取ることに応じて、計算部(303)は、当該データ検索要求を構文解析し、当該構文解析の結果に応じて、当該データ検索要求に必要とされうるレコード集合体をレコード・レポジトリ(211)から取得する。計算部(303)は、例えば、第1のレコード集合体及び第2のレコード集合体中の同一の識別子に関連付けられた各属性値から、データ検索要求に対応する移動物に関連するトレース・データを計算する。
【0054】
計算部(303)は、データ検索要求に応じて開示するレコードに関連付けられている移動物において、一定範囲のL個(Lは1以上の整数)の領域を、一定時間以内に通過するという条件を満たし、且つ移動物がk個(kは2以上の整数)以上存在するように、上記L個の領域ごとに、範囲wj及び/又は当該範囲wjの通過時間レンジ(sj,ej)を計算する。そして、計算部(303)は当該計算結果を秘匿部(304)に渡し、秘匿部(304)は、1又は複数のレコード集合体中の同一の識別子を有する移動物が上記計算された範囲wjを上記計算された通過時間レンジ(sj,ej)に移動していることに応じて、上記計算されたトレース・データ又は当該トレース・データの一部を、検索結果として検索要求受信/検索結果送信部(302)に渡す。本明細書において、秘匿部(304)の上記処理を秘匿化という。検索要求受信/検索結果送信部(302)は、データ検索要求を送信したサービス・プロバイダ・コンピュータに、上記検索結果を返す。また、秘匿部(304)は、上記計算されたトレース・データ又は当該トレース・データの一部を、ポリシー・レポジトリ(212)から取り出したポリシーに従って、開示制限することが可能である。当該ポリシーは、1又は複数のレコード集合体中の同一の識別子を有する移動物に関連付けられたポリシーでありうる。
【0055】
秘匿部(304)は、第1の移動物が上記計算された範囲wjにあり且つ上記計算された通過時間レンジ(sj,ej)にあり、及び、第2の移動物が上記計算された範囲wjにあり且つ上記計算された通過時間レンジ(sj,ej)にある場合に、1又は複数のレコード集合体中の上記第1の移動物の識別子に関連付けられた少なくとも1つの属性値(第1の属性値)から計算される第1の値を、上記1又は複数のレコード集合体中の上記第2の移動物の識別子に関連付けられた少なくとも1つの属性値(第2の属性値)から計算される第2の値と入れ替えて、当該第2の値に入れ替えられた後に計算される集計値が上記第1の値から計算される集計値と完全一致になるように上記第1の属性値の取り方を制御する。なお、上記第2の属性値から計算される値は、上記第1の属性値から値を求める方法と同じ方法によって計算される。そして、秘匿部(304)は、上記制御によって、上記第2の値に入れ替えられた後に計算される集計値が上記第1の値から計算される集計値と完全一致することに応じて、上記データ検索要求に対応する移動物に関連する上記計算されたトレース・データ若しくは当該トレース・データの一部又は上記制御された属性値を、検索結果として検索要求受信/検索結果送信部(302)に渡す。本明細書において、秘匿部(304)の上記処理もまた秘匿化という。検索要求受信/検索結果送信部(302)は、データ検索要求を送信したサービス・プロバイダ・コンピュータに、上記検索結果を返す。また、秘匿部(304)は、上記1又は複数のレコード集合体中の上記同一の識別子に関連付けられたポリシーに従って、上記計算されたトレース・データ又は当該トレース・データの一部の開示を制限する。当該ポリシーは、1又は複数のレコード集合体中の同一の識別子を有する移動物に関連付けられたポリシーでありうる。
【0056】
図4は、本発明の実施態様において使用されうるデータ・プロバイダ(201−1〜201−3)が、移動物(421〜423)についての情報を収集してレコード集合体として記録し、又は、移動物から送信されるレコード集合体を受信して記録する態様を示す。
データ・プロバイダ(201−1)は、時空間領域(411及び412)の移動物からの情報を受け取る。データ・プロバイダ(201−2)は、時空間領域(413)の移動物からの情報を受け取る。データ・プロバイダ(201−3)は、時空間領域(414及び415)の移動物からの情報を受け取る。
時空間領域(411、412、413、414及び415)の領域はそれぞれ、例えば、東京、銀座、品川、新宿、及び池袋であるとする。また、時空間領域(411)の時間幅は9時〜11時であり、時空間領域(412)の時間幅は11〜13時であり、時空間領域(413)の時間幅は13〜15時であり、時空間領域(414)の時間幅は15〜17時であり、及び時空間領域(415)の時間幅は17〜19時であるとする。
【0057】
移動物(421)を20代男性が運転しており、その識別子はXXXXであり、車両の色は赤色、車種は貨物車であるとする。移動物(421)は、東京、銀座、品川、新宿、及び池袋の地域を走行しているとする。
移動物(422)を50代男性が運転しており、その識別子はYYYYYであり、車両の色は茶色、車種はトラックであるとする。移動物(422)は、東京、銀座、品川、新宿、及び池袋の地域を走行しているとする。
移動物(423)を30代女性が運転しており、その識別子はZZZZZであり、車両の色は白色、車種はセダンであるとする。移動物(423)は、東京、銀座、品川、新宿、及び池袋の地域を走行しているとする。
【0058】
移動物(421)は、時刻t1において位置p1(時空間領域(411)に属する)を時速45km/時間で走行しているとする。
移動物(422)は、時刻t2において位置p2(時空間領域(411)に属する)を時速55km/時間で走行しているとする。
移動物(423)は、時刻t3において位置p3(時空間領域(411)に属する)を時速50km/時間で走行しているとする。
【0059】
データ・プロバイダ(201−1)は、移動物(421)から、識別子XXXXX、時刻t1、位置p1、車両の色(赤色)、車種(貨物車)、車速(45km/時間)及び20代男性というレコード1を受け取る。
データ・プロバイダ(201−1)は、移動物(422)から、識別子YYYYY、時刻t2、位置p2、車両の色(茶色)、車種(トラック)、車速(55km/時間)、及び50代男性というレコード2を受け取る。
データ・プロバイダ(201−1)は、移動物(423)から、識別子ZZZZZ、時刻t3、位置p3、車両の色(白色)、車種(セダン)、車速(50km/時間)及び30代女性というレコード3を受け取る。
【0060】
データ・プロバイダ(201−1)は、レコード1〜3をレコード集合体1としてまとめる。レコード集合体1の例を図5に示す(501)。レコード集合体1(501)は、レコード1(511)、レコード(512)及びレコード3(513)を含む。データ・プロバイダ(201−1)は、レコード集合体1(501)をデータ・アグリゲータ(202)に送信する。なお、データ・プロバイダ(201−1)は、レコード集合体1の代わりにレコード1〜3それぞれをデータ・アグリゲータ(202)に送信してもよい。レコード1〜3それぞれがデータ・アグリゲータ(202)に送信された場合には、データ・アグリゲータ(202)がレコード1〜3をレコード集合体1(501)としてまとめうる。データ・アグリゲータ(202)は、レコード集合体1(501)をレコード・レポジトリ(211)に格納しうる。
【0061】
また、移動物(421)は、時刻t4において位置p4(時空間領域(412)に属する)を時速50km/時間で走行しているとする。
また、移動物(422)は、時刻t5において位置p5(時空間領域(412)に属する)を時速55km/時間で走行しているとする。
また、移動物(423)は、時刻t6において位置p6(時空間領域(412)に属する)を時速60km/時間で走行しているとする。
【0062】
データ・プロバイダ(201−1)は、移動物(421)から、識別子XXXXX、時刻t4、位置p4、車両の色(赤色)、車種(貨物車)、車速(50km/時間)及び20代男性というレコード4を受け取る。
データ・プロバイダ(201−1)は、移動物(422)から、識別子YYYYY、時刻t5、位置p5、車両の色(茶色)、車種(トラック)、車速(55km/時間)及び50代男性というレコード5を受け取る。
データ・プロバイダ(201−1)は、移動物(423)から、識別子ZZZZZ、時刻t6、位置p6、車両の色(白色)、車種(セダン)、車速(60km/時間)及び30代女性というレコード6を受け取る。
【0063】
データ・プロバイダ(201−1)は、レコード4〜6をレコード集合体2としてまとめる。データ・プロバイダ(201−1)は、レコード集合体2をデータ・アグリゲータ(202)に送信する。なお、データ・プロバイダ(201−1)は、レコード集合体2の代わりにレコード4〜6それぞれをデータ・アグリゲータ(202)に送信してもよい。レコード4〜6それぞれがデータ・アグリゲータ(202)に送信された場合には、データ・アグリゲータ(202)がレコード4〜6をレコード集合体2としてまとめうる。データ・アグリゲータ(202)は、レコード集合体2をレコード・レポジトリ(211)に格納しうる。
【0064】
また、データ・プロバイダ(201−1)は、レコード集合体1とレコード集合体2それぞれに同じ識別子を有するレコードが存在していることから、レコード集合体1とレコード集合体2とをまとめて、統合レコード集合体Aとすることができる。統合レコード集合体Aの例を図5に示す(502)。統合レコード集合体A(502)では、識別子を第1キー、時刻tを第2キーとして各レコード(521〜526)がソートされているが、ソートは必ずしも必要でない。
【0065】
移動物(421、422及び423)それぞれが時空間領域(413)を通過した場合の各レコード集合体は、データ・プロバイダ(201−2)からデータ・アグリゲータ(202)に送信される。同様に、移動物(421、422及び423)それぞれが時空間領域(414)及び時空間領域(415)を通過した場合の各レコード集合体も、データ・プロバイダ(201−3)からデータ・アグリゲータ(202)に送信される。
【0066】
データ・アグリゲータ(202)は、データ検索要求に応じて、識別子XXXXXについてのレコードをレコード・レポジトリ(211)から取得しうる。データ・アグリゲータ(202)は、識別子XXXXXを含む識別子として含む複数のレコードを関連付ける。当該関連付けによって、データ・アグリゲータ(202)は、識別子XXXXXから特定される移動物(421)が、いつ、どこで、どのように移動したかについての情報に加えて、移動物(421)に関連付けられた個人情報、例えば、車両の色(赤)、車種(貨物車)、運転者の年代(20代)、及び性別(男)などを知ることができる。
【0067】
同様に、データ・アグリゲータ(202)は、データ検索要求に応じて、識別子YYYYYについてのレコードをレコード・レポジトリ(211)から取得しうる。データ・アグリゲータ(202)は、識別子YYYYYを含む識別子として含む複数のレコードを関連付ける。当該関連付けによって、データ・アグリゲータ(202)は、識別子YYYYYから特定される移動物(422)が、いつ、どこで、どのように移動したかについての情報に加えて、移動物(422)に関連付けられた個人情報、例えば、車両の色(茶)、車種(トラック)、運転者の年代(50代)、及び性別(男)などを知ることができる。
【0068】
同様に、データ・アグリゲータ(202)は、データ検索要求に応じて、識別子ZZZZZについてのレコードをレコード・レポジトリ(211)から取得しうる。データ・アグリゲータ(202)は、識別子ZZZZZを含む識別子として含む複数のレコードを関連付ける。当該関連付けによって、データ・アグリゲータ(202)は、識別子ZZZZZから特定される移動物(423)が、いつ、どこで、どのように移動したかについての情報に加えて、移動物(423)に関連付けられた個人情報、例えば、車両の色(白)、車種(セダン)、運転者の年代(30代)、及び性別(女)などを知ることができる。
【0069】
上記のようにして、データ・アグリゲータ(202)は、車両の色、車種、運転者の年代、及び性別などを知ることができる。上記に示した例の場合、車両の色、車種、運転手の年代、又は性別であることのいずれかのデータが開示されることによって、移動物(421)、移動物(422)及び移動物(423)のいずれのデータであるかが特定されてしまう。このことは個人情報の漏洩につながり、個人情報保護の観点から問題である。
【0070】
そこで、本願発明の実施態様に従うと、個人情報の保護を図るために、データ・アグリゲータ(202)は、以下の処理を行う。すなわち、データ検索要求に応じて開示するレコードに関連付けられている移動物において、一定範囲のL個(Lは1以上の整数)の領域を、一定時間以内に通過するという条件を満たす移動物がk個(kは2以上の整数)以上存在するように、L個の領域ごとに、範囲wj及び/又は当該範囲wjの通過時間レンジ(sj, ej)(sjは通過時間の開始時間であり、ejは通過時間の終了時間であり、及びjは1,2,・・・,Lの整数である)を計算する。
【0071】
図4の例では、5個の時空間領域(411〜415)がある。そこで、時空間領域(411〜415)ごとに、一定時間以内に通過するという条件を満たす移動物がk個(kは2以上の整数)以上存在するように、当該時空間領域の範囲wj及び/又は当該範囲wjの通過時間レンジ(sj, ej)を計算する。範囲wを広げることによって、広げた後の範囲wj内に入る移動物の数が増える(以下の図6Aを参照)。また、通過時間レンジ(sj, ej)を広げる又は前後にずらすことによって、広げた後の又はずらした後の時間レンジ(sj, ej)内に入る移動物の数が増える(以下の図6Bを参照)。また、範囲wを広げ且つ通過時間レンジ(sj, ej)を広げる又は前後にずらすことによって、広げた後の範囲wj及び広げた後の又はずらした後の通過時間レンジ(sj, ej)内に入る移動物の数が増える。
【0072】
図5は、本発明の実施態様において使用されうるレコード集合体の例を示す。
レコード集合体(501及び502)は各レコードを含む。レコードは一単位のデータであり、各レコードは、移動物の識別子、及び当該識別子に関連付けられた各属性値を有する。各属性値は、時刻t及び位置pという時空間を決めるための属性値に加えて、時刻t及び位置pにおける移動物に関する各属性についての属性値を含む。
【0073】
図6Aは、本発明の実施態様において、範囲wを広げることによって、広げた後の範囲wj内に入る移動物の数が増えることを示す。
範囲wを広げる前に、時空間領域(411)にある移動物は421、422及び423で示される3台である。一方、時空間領域(411)の範囲wを広げることによって(611、wj)、移動物は421、422及び423で示される3台に加えて、621、622及び623で示される3台を加えた合計6台になる。従って、当該範囲wj内に、移動物(421)に関連付けられた属性値、例えば車種(貨物車)を有する移動物が複数台存在(421、621、622及び623)することによって、移動物(421)が属性値(貨物車)が公開された場合であっても、当該公開された属性値(貨物車)から移動物(421)が特定されることがなくなる。言い換えれば、移動物(421、621、622及び623)は、同一の振る舞いと、同一の属性値(貨物車)を持つ車であるとして開示される。従って、移動物(421)の属性値(貨物車)が公開された場合であっても、移動物(421)のデータ・オーナーの個人情報の保護が図られる。
【0074】
図6Bは、本発明の実施態様において、通過時間レンジ(sj, ej)を広げる又は前後にずらすことによって、広げた後の又はずらした後の時間レンジ(sj,ej)内に入る移動物の数が増えることを示す。
通過時間レンジ(sj, ej)を広げる又は前後にずらす前に、時空間領域(411)にある移動物は421、422及び423で示される3台である。一方、通過時間レンジ(sj, ej)を広げる又は前後にずらすことによって(612)、移動物は421、422及び423で示される3台に加えて、631、632及び633で示される3台を加えた合計6台になる。従って、広げた後の又はずらした後の時間レンジ(sj,ej)内に、移動物(421)に関連付けられた属性値、例えば車種(貨物車)を有する移動物が複数台存在(421、631、632及び633)することによって、移動物(421)が属性値(貨物車)公開された場合であっても、当該公開された属性値(貨物車)から移動物(421)が特定されることがなくなる。言い換えれば、移動物(421、631、632及び633)は、同一の振る舞いと、同一の属性値(貨物車)を持つ車であるとして開示される。従って、移動物(421)の属性値(貨物車)が公開された場合であっても、移動物(421)のデータ・オーナーの個人情報の保護が図られる。
【0075】
図7は、本発明の実施態様において使用されるレコードにおいて、各属性値を使用して集計値を求めるために、各属性値を数値に変換する態様を示す。
各属性値を使用して求められる集計値は、集計値を開示してよいかどうかを判断するために使用される。具体的には、秘匿部(304)は、第1の移動物が上記計算された範囲wjにあり且つ上記計算された通過時間レン(sj,ej)にあり、且つ、第2の移動物が上記計算された範囲wjにあり且つ上記計算された通過時間レンジ(sj,ej)にある場合に、レコード集合体中の第1の移動物の識別子に関連付けられた少なくとも1つの属性値(第1の属性値)から計算される第1の値を、上記レコード集合体中の第2の移動物の識別子に関連付けられた少なくとも1つの属性値(第2の属性値)から計算される第2の値と入れ替えて、当該第2の値に入れ替えられた後に計算される集計値が当該第1の値から計算される集計値と完全一致になるように上記第1の属性値の取り方を制御することが可能である。
【0076】
以下に、図7のレコード集合体(701)を例にして、上記第1の属性値の取り方を説明する。
【0077】
レコード集合体(701)は、図5のレコード集合体(501)のレコード(511〜513)と同一のレコード(721〜723)を含む。また、レコード集合体(701)は、レコード(721〜723)に加えて、レコード(724及び725)を含む。なお、時刻t1〜t5及び位置p1〜p5は1つのデータ・プロバイダが検出する1つの時空間領域内(例えば、図4の411)にあるとする。
【0078】
データ・アグリゲータ(202)の計算部(303)は、属性値を所定のルールに従い数値化する。属性「時刻」の属性値は、例えば、シリアル値に変換されうる。属性「位置」の属性値は、例えばdegree度分秒表示に変換されうる。属性「色」の属性値は、例えば色コードに変換されうる。属性「車速」の属性値は、数値であるので変更されなくてもよく、又は、「0〜10km未満/時間」を1、「10〜20km未満/時間」を2、「20〜30km未満/時間」を3、「30〜40km未満/時間」を4、「40〜50km未満/時間」を5、(以降、同様)のように数値化されてもよい。属性「運転者」は、例えば、年代(数値)と男(数値「1」とする)又は女(数値「0」とする)との各数値が組み合わされた属性値に変換されうる。その結果のレコード集合体が図7の702に示されている。
【0079】
計算部(303)は、レコード集合体(702)のレコード(731、732及び733)について、属性1(色)、属性2(車種)、属性3(車速)及び属性4(運転者)の4つの各属性値から、所定の関数にこれら属性値を代入して集計値(第1の集計値)を計算するとする。
一方、計算部(303)は、レコード(731、732及び733)のうち、レコード(731)の属性値をレコード(732)の属性値の全てと入れ替えたとする。すなわち、計算部(303)は、レコード(732、732及び733)について、属性1(色)、属性2(車種)、属性3(車速)及び属性4(運転者)の4つの各属性値から、上記所定の関数にこれら属性値を代入して集計値(第2の集計値)を計算する。そうすると、第1の集計値と第2の集計値とは一致しない。従って、レコード(731)の識別子によって特定される属性値、又は当該属性値から求められるデータを公開することは、レコード(731)の識別子によって特定されるデータ・オーナーの個人情報を開示することにつながる。
【0080】
同様に、計算部(303)は、レコード(731、732及び733)のうち、レコード(731)の属性値をレコード(733)の属性値の全てと入れ替えたとする。すなわち、計算部(303)は、レコード(733、732及び733)について、属性1(色)、属性2(車種)、属性3(車速)及び属性4(運転者)の4つの各属性値から、上記所定の関数にこれら属性値を代入して集計値(第3の集計値)を計算する。そうすると、第1の集計値と第3の集計値とは一致しない。従って、レコード(731)の識別子によって特定される属性値、又は当該属性値から求められるデータを公開することは、レコード(731)の識別子によって特定されるデータ・オーナーの個人情報を開示することにつながる。
【0081】
従って、レコード(731〜733)しかない場合、レコード(731)の識別子によって特定される属性値、又は当該属性値から求められるデータを公開することはできない。同様に、レコード(732)又はレコード(733)の識別子によって特定される属性値、又は当該属性値から求められるデータを公開することはできない。
【0082】
そこで、本発明の1つの実施態様では、以下の処理を行う。計算部(303)は、例えば、レコード(731、732、733及び734)について、属性1(色)、属性2(車種)、属性3(車速)及び属性4(運転者)の4つの各属性値から、所定の関数にこれら属性値を代入して集計値(第4の集計値)を計算するとする。
一方、計算部(303)は、レコード(731、732、733及び734)のうち、レコード(731)の属性1〜4の属性値全てをレコード(734)の属性1〜4の属性値と入れ替えたとする。すなわち、計算部(303)は、レコード(734、732、733及び734)について、属性1(色)、属性2(車種)、属性3(車速)及び属性4(運転者)の4つの各属性値から、上記所定の関数にこれら属性値を代入して集計値(第5の集計値)を計算する。そうすると、レコード(731)の属性1〜属性4の各値は、レコード(734)の属性1〜属性4の各値と同じであることから、レコード(731)の属性1〜4の各属性値全てをレコード(734)の属性1〜4の各属性値と入れ替えたとしても、第5の集計値は第4の集計値と完全に一致する。すなわち、レコード(731)の属性1〜4の各属性値全てをレコード(734)の属性1〜4の各属性値と入れ替えたとしても、集計値は影響されない。従って、レコード(731)の識別子によって特定される各属性値1〜4、又は当該属性値1〜4から求められるデータを公開したとしても、レコード(731)の識別子によって特定されるデータ・オーナーの個人情報を開示することにつながらない。計算部(303)は、上記のようにして、集計値として使用するレコードを集計値が同じになるように取捨選択することによって、公開可能なレコード及びその属性を決定することが可能である。
【0083】
次に、計算部(303)は、例えば、レコード(731、732、733及び735)について、属性1(色)、属性2(車種)、属性3(車速)及び属性4(運転者)の4つの各属性値から、所定の関数にこれら属性値を代入して集計値(第6の集計値)を計算するとする。
一方、計算部(303)は、レコード(731、732、733及び735)のうち、レコード(731)の属性1〜4の属性値全てをレコード(735)の属性1〜4の属性値と入れ替えたとする。すなわち、計算部(303)は、レコード(734、732、733及び735)について、属性1(色)、属性2(車種)、属性3(車速)及び属性4(運転者)の4つの各属性値から、上記所定の関数にこれら属性値を代入して集計値(第7の集計値)を計算する。そうすると、レコード(735)の属性1の値(#ffffff)は、レコード(731)の属性1の値(#ff0000)と異なることから、レコード(731)の属性1〜4の各属性値全てをレコード(735)の属性1〜4の各属性値と入れ替えた場合には、第7の集計値は第6の集計値と完全に一致しない。すなわち、レコード(731)の属性1〜4の各属性値全てをレコード(735)の属性1〜4の各属性値と入れ替えた場合には、集計値が影響される。従って、レコード(731)の識別子によって特定される属性値(例えば属性1)を公開すると、レコード(731)の識別子によって特定されるデータ・オーナーの個人情報を開示することにつながらない。
【0084】
そこで、本発明の他の実施態様では、以下の処理を行う。計算部(303)は、レコード(731、732、733及び735)のうち、レコード(731)の属性1を除く属性2〜4の属性値全てをレコード(735)の属性1を除く属性2〜4の属性値と入れ替えたとする。すなわち、計算部(303)は、レコード(735、732、733及び735)について、属性1(色)を除く、属性2(車種)、属性3(車速)及び属性4(運転者)の3つの各属性値から、所定の関数にこれら属性値を代入して集計値(第8の集計値)を計算する。そうすると、レコード(735)の属性2〜属性4の各値は、レコード(731)の属性2〜属性4の各値と全て同じであることから、レコード(731)の属性2〜4の各属性値全てをレコード(735)の属性2〜4の各属性値と入れ替えたとしても、第8の集計値は第7の集計値と完全に一致する。すなわち、レコード(731)の属性2〜4の各属性値全てをレコード(735)の属性2〜4の各属性値と入れ替えたとしても、集計値は影響されない。従って、レコード(731)の識別子によって特定される各属性値2〜4、又は当該属性値2〜4から求められるデータを公開したとしても、レコード(731)の識別子によって特定されるデータ・オーナーの個人情報を開示することにつながらない。計算部(303)は、上記のようにして、集計値として使用する属性を集計値が同じになるように取捨選択することによって、公開可能なレコード及びその属性を決定することが可能である。
【0085】
図8は、本発明の実施態様において、データ・アグリゲータ(202)が、集計値に影響がないように属性の取り方を変更することを示す例を示す。
移動物A〜Dの各識別子に、属性1〜4についての各属性値が関連付けられている(801〜804)。属性1〜4の各属性値は、便宜的に記号○、△及び□のいずれかで示されている。移動物Aの属性1〜4の各属性値は○○○○であり、移動物Bの属性1〜4の各属性値は○○△○であり、移動物Cの属性1〜4の各属性値は○□△○であり、及び、移動物Dの属性1〜4の各属性値は○□○○である。
【0086】
計算部(303)は、移動物A〜Dそれぞれの4つの各属性値から、所定の関数にこれら属性値を代入して集計値(第1の集計値)を計算するとする(801)。次に、計算部(303)は、移動物Aの属性値全てを移動物Dの属性値と入れ替えたとする(802)。すなわち、計算部(303)は、移動物D、B、C及びDそれぞれの4つの各属性値から、上記所定の関数にこれら属性値を代入して集計値(第2の集計値)を計算するとする。移動物Dの属性2の属性値□と、移動物Aの属性2の属性値○は異なる。従って、第2の集計値は、第1の集計値と一致しない。従って、移動物Aによって特定される属性値又は当該属性値から求められるデータ(すなわち、トレース・データ)を公開することは、移動物Aの識別子によって特定されるデータ・オーナーの個人情報を開示することにつながる。
【0087】
そこで、本発明の1つの実施態様では、以下の処理を行う。計算部(303)は、移動物A〜Dそれぞれの属性1〜4のうち、属性2を除く属性1及び3〜4の属性値を選択して、所定の関数にこれら選択した属性値を代入して集計値(第3の集計値)を計算するとする(811)。次に、移動物Aの属性2を除く属性1及び3〜4の属性値全てを移動物Dの属性2を除く属性1及び3〜4の属性値と入れ替えたとする(812)。すなわち、計算部(303)は、移動物D、B、C及びDそれぞれの3つの各属性値から、上記所定の関数にこれら属性値を代入して集計値(第4の集計値)を計算するとする。移動物Dの属性1及び属性3〜4の各属性値は、移動物Aの属性1及び属性3〜4の各属性値と同じである。従って、第4の集計値は、第3の集計値と完全に一致する。すなわち、移動物Aの属性1及び2〜4の各属性値全てを移動物Dの属性1及び3〜4の各属性値と入れ替えたとしても、集計値(すなわち、第3の集計値及び第4の集計値)は影響されない。従って、移動物Aの識別子によって特定される各属性値1及び3〜4又は当該属性値1及び3〜4から求められるデータ(すなわち、トレース・データ)を公開したとしても、移動物Aの識別子によって特定されるデータ・オーナーの個人情報を開示することにつながらない。上記のようにして、計算部(303)は、属性値の取り方を集計値が完全に一致するように制御することによって(言い換えれば、集計のために利用する属性値を集計値が完全に一致するように選択することによって)、公開可能なトレース・データを決定することが可能である。
【0088】
図9Aは、本発明の実施態様において、データ・アグリゲータ(202)が、集計値に影響がないことを確認して、トレース・データを開示するためのフローチャートを示す。
ステップ901では、計算部(303)は、移動物(例えば、A、B及びC)の各識別子を含むレコードからの属性値から集計値(AV1)を求める。
ステップ902では、計算部(303)は、移動物(例えば、A、B及びC)のうち、移動物Aの識別子を含むレコードの属性値を移動物B又はCの識別子を含むレコードの属性値全てと入れ替えて、ステップ901で集計値を求めた同じ方法(例えば、所定の関数)に従い集計値(AV2)を求める。
ステップ903では、計算部(303)は、集計値(AV1)と集計値(AV2)とを比較し、集計値(AV1)と集計値(AV2)とが完全一致するかどうかを判断する。集計値(AV1)と集計値(AV2)とが完全一致する場合には、ステップ904に進み、一方、集計値(AV1)と集計値(AV2)とが完全一致しない場合には、ステップ902に戻る。
ステップ904では、秘匿部(304)は、集計値(AV1)と集計値(AV2)とが完全一致することに応じて、移動物(A)の属性値(固有データでもある)の影響が集計値から求められないと判断する。
一方、集計値(AV1)と集計値(AV2)とが完全一致しないことに応じて、秘匿部(304)は、ステップ902の処理に戻り、集計値(AV1)と集計値(AV2)とが完全一致するように、例えば、移動物の識別子を含むレコードからの属性値を変更したり、移動物(A)の属性値を入れ替える移動物を他の移動物に変更して、属性値を変更したり、又は移動物を入れ替えたり若しくは増減することによって属性値を変更する。そして、処理は、再度ステップ903に戻り、計算部(303)は、集計値(AV1)と集計値(AV2)とを比較する。なお、属性値を変更することによって、開示可能なトレース・データが減少しうる場合がある。
【0089】
図9Bは、本発明の実施態様において、データ・アグリゲータ(202)が、集計値が完全に一致することに応じて、トレース・データを開示するための具体例1及び2を示す。
具体例1は、移動物に関連するトレース・データの集計値として、60歳未満というデータを開示してよいかという条件1(「60歳未満か否か」)に従って、開示してよいトレース・データを調べる例である。移動物の数についての閾値kは3であるとする。
具体例2は、移動物に関連するトレース・データの集計値として、40歳未満というデータを開示してよいかという条件2(「40歳未満か否か」)に従って、開示してよいトレース・データかを調べる例である。移動物の数についての閾値kは3であるとする。
【0090】
ステップ911において、計算部(303)は、3つの移動物A、B及びCの各識別子をそれぞれ含むレコードの属性値を使用して、トレース・データA、B及びCをそれぞれ求める。その結果、トレース・データAは、A:F1:50km/h,F2:45km/h,F3:30km/h,属性値:20代男、であり、トレース・データBは、B:F1:50km/h,F2:45km/h,F3:30km/h,属性値:30代女、であり、及びトレース・データCは、C:F1:50km/h,F2:45km/h,F3:30km/h,属性値:40代男、であるとする。
トレース・データA、B及びCにおいて、3つの時空間領域F1、F2及びF3と、各時空間領域に関連付けられた属性(平均速度)の属性値(F1:50km/h,F2:45km/h,F3:30km/h)は全て一致するように選択されている。従って、トレース・データA、B及びCにおいて、時空間領域F1、F2及びF3と、各時空間領域に関連付けられた属性(平均速度)を見るだけでは、移動物A、B及びCは全く同じであり区別できない。従って、閾値kが3であるという匿名性は満たされている。
しかしながら、トレース・データA、B及びCの各属性(世代、年代)を見ると、20代男、30代女性及び40代男であるので、当該属性(世代、年代)から、移動物A、B及びCは特定可能である。従って、当該属性(世代、年代)を開示してしまうと、移動物A、B及びCは特定されてしまう。従って、閾値kが3であるという匿名性は満たされていない。
一方、属性(世代、年代)を直接ではなく、上記具体例1及び2に挙げたように、属性値の取り方を制御する集計処理をすることによって、トレース・データA、B及びCを開示できる可能性がある。
【0091】
以下に具体例1について、説明する。
ステップ912において、計算部(303)は、トレース・データA、B及びCから集計値AVを計算する。ステップ912では、条件1(「60歳未満か否か」)は満たされている。
ステップ913において、計算部(303)は、トレース・データAの属性値(20代男)をトレース・データBの属性値(30代女)に置換する。
ステップ914では、計算部(303)は、トレース・データB、B及びCの属性値から、ステップ912と同じ方法に従い集計値AV_1を計算する。ステップ914では、条件1(「60歳未満か否か」)は満たされている。
ステップ915において、計算部(303)は、トレース・データAの属性値(20代男)をトレース・データCの属性値(40代男)に置換する。
ステップ916において、計算部(303)は、トレース・データC、B及びCの属性値から、ステップ912と同じ方法に従い集計値AV_2を計算する。ステップ916では、条件1(「60歳未満か否か」)は満たされている。
ステップ917において、計算部(303)は、集計値AV、AV_1及びAV_2を比較する。具体例1では、ステップ914及びステップ916でそれぞれ計算される集計値AV_1及びAV_2は、ステップ912で計算される集計値AVと一致する。従って、処理は、ステップ918に進む。
ステップ918において、秘匿部(304)は、集計値AV、AV_1及びAV_2の全部が一致することから、トレース・データ及び制御された属性(60歳未満)を開示可能であると判断する。何故ならば、ステップ913において、トレース・データAの属性値(20代男)をトレース・データBの属性値(30代女)に置換しても、及び、トレース・データAの属性値(20代男)をトレース・データCの属性値(40代男)に置換しても、条件1(「60歳未満か否か」)は満たされているからである。従って、「60歳未満か否か」という制御された属性を開示しても、移動物A、B及びCのうちから、移動物Aを区別するだけのデータは漏れないということが確認できる。従って、具体例1では、秘匿部(304)は、トレース・データ及び必要に応じて制御された属性値(派生の属性情報の属性値)は開示可能であると判断する。従って、開示可能なデータ(秘匿化された検索結果)は、F1:50km/h,F2:45km/h,F3:30km/h,60歳未満である。
【0092】
以下に具体例2について、説明する。
ステップ912において、計算部(303)は、トレース・データA、B及びCから集計値AVを計算する。ステップ912では、条件2(「40歳未満か否か」)は満たされている。
ステップ913において、計算部(303)は、トレース・データAの属性値(20代男)をトレース・データBの属性値(30代女)に置換する。
ステップ914では、計算部(303)は、トレース・データB、B及びCの属性値から、ステップ912と同じ方法に従い集計値AV_1を計算する。ステップ914では、条件2(「40歳未満か否か」)は満たされている。
ステップ915において、計算部(303)は、トレース・データAの属性値(20代男)をトレース・データCの属性値(40代男)に置換する。
ステップ916において、計算部(303)は、トレース・データC、B及びCの属性値から、ステップ912と同じ方法に従い集計値AV_2を計算する。ステップ916では、条件2(「40歳未満か否か」)は満たされていない。
ステップ917において、計算部(303)は、集計値AV、AV_1及びAV_2を比較する。具体例2では、ステップ914で計算される集計値AV_1はステップ912で計算される集計値AVに一致する。しかし、ステップ916で計算される集計値AV_2はステップ912で計算される集計値AVに一致しない。従って、処理は、ステップ919に進む。
ステップ919において、秘匿部(304)は、集計値AV、AV_1及びAV_2の間でずれが生じていることから、「40歳未満か否か」という制御された属性を開示可能であると判断する。何故ならば、ステップ913において、トレース・データAの属性値(20代男)をトレース・データBの属性値(30代女)に置換しても条件2(「60歳未満か否か」)は満たされるが、一方、トレース・データAの属性値(20代男)をトレース・データCの属性値(40代男)に置換すると、条件2(「60歳未満か否か」)は満たさないからである。従って、「40歳未満か否か」という結果を開示すると、移動物A、B及びCのうちから、移動物Cを区別するだけのデータが漏れてしまうということが確認できる。従って、具体例2では、秘匿部(304)は、トレース・データの一部は開示可能であるが、制御された属性値(40歳未満)は開示可能でない、と判断する。従って、開示可能なデータ(秘匿化された検索結果)は、F1:50km/h,F2:45km/h,F3:30km/hであり、制御された属性値(40歳未満)は開示されない。
【0093】
図10は、本発明の実施態様において、時空間領域をつなげて得られるトレース・データを秘匿化した後に得られる秘匿化後トレース・データとレコード中の属性との関係を示す図である。
トレース・データとは、同一の識別子を有する複数のレコードを集めて、例えば古い時刻から新しい時刻へと時刻順にソートすることによって得られる、移動物の時刻変化による位置(又は空間)の推移を示すデータである。すなわち、本明細書において、トレース・データは、同一の識別子を有する移動物から得られるトレース情報である。トレース・データは、例えば、図4に示されているように、時空間領域(411)における移動物(421)のレコード1、時空間領域(412)における移動物(421)のレコード2、時空間領域(413)における移動物(421)のレコード3、時空間領域(414)における移動物(421)のレコード4、及び時空間領域(415)における移動物(421)のレコード5を集めて、時刻順にソートすることによって得られる。
【0094】
秘匿化後トレース・データは、上記トレース・データが秘匿部(304)によって秘匿された後に求められるトレース・データであり、公開対象となりうるトレース・データである。従って、秘匿化後トレース・データは、秘匿前のトレース・データの全部又は一部でありうる。秘匿化後トレース・データが秘匿前のトレース・データの全部である場合とは、全てのトレース・データを公開してよい場合である。一方、秘匿化後トレース・データが秘匿前のトレース・データの一部である場合とは、一部のトレース・データを公開してよい場合である。秘匿化トレース・データには、レコード1〜5の中の各属性が関連付けられている。当該関連付けられている属性は、例えば、トレース・データ検索要求内に指示されうる。例えば、各時空間領域の平均速度である。計算部(303)は、データ検索要求に応じて、秘匿化後トレース・データについて情報開示を行うことが可能である。なお、秘匿化後トレース・データについての情報開示において、レコード自体が含まれるとは限らず、例えば、位置の遷移に関する情報が含まれうる。
【0095】
時空間上の領域の関数Fi(iは1以上の整数)は、図10の各時空間領域F1〜F5(1001〜1005)を配列した関数である。時空間領域F1〜F5(1001〜1005)それぞれは、上記レコード1〜5に対応しているとする。
時空間上の領域の関数Fの配列は、位置p及び時間tについて、F(p,t)=trueである場合は領域内であり、F(p,t)=falseである場合は領域外となるような関数である。関数Fは、直感的には、「ある範囲にある時間帯にあるか」という判断の結果を表す関数である。すなわち、位置p1を中心とした半径dの領域に時間t1〜t2に存在する点は、数学的に表現すれば、下記式によって表されうる:|p-p1| > d and(t-t1)(t2-t)>0。
なお、関数Fをどのようにするかは、データ検索要求内において定義されうる。
【0096】
図10の時空間領域F1〜F5(1001〜1005)において、各時空間領域の関数Fi(iは1以上の整数)に、各属性情報(attr1,attr2,attr3,attr4,attr5)(1021〜1025)が関連付けられる場合がある。各属性情報(1021〜1025)は、同じものであっても、異なるものであってもよい。各属性情報が異なる場合とは、例えば、各時空間領域の平均速度である。この場合、属性情報(1021〜1025)は、当該時空間領域中に位置及び時刻(例えば、レコード中の位置及び時刻の情報)が含まれるレコード中の属性情報、又は、当該レコードの属性情報から生成されうる属性情報(すなわち、派生の属性情報)でありうる。当該派生の属性情報は、例えば「各時空間領域の平均速度」であり、派生の属性情報「各時空間領域の平均速度」は、1つの時空間領域内に複数のレコードが含まれていて、平均速度が当該複数のレコードの属性情報「速度」の平均である場合である。各属性情報(1021〜1025)の各領域における生成方法は、データ検索要求内において定義されうる。
【0097】
図11は、本発明の実施態様において、個人情報を保護するために使用されうるポリシー設定において使用されうるシステム環境図を示す。
データ・オーナーが、ユーザ端末(204)を介して、上記ポリシーを設定し又は変更しうる。ポリシーの例を、図12に示す。ポリシーは、データ・アグリゲータ(202)からアクセス可能なポリシー・レポジトリ(212)に格納される。
【0098】
ポリシー・レポジトリ(212)は、図10において説明したトレース・データを利用するために必要となるポリシーも格納している。トレース・データの利用も、上記ポリシーに準拠する必要がある。ポリシーの具体例を以下に説明する。
【0099】
ポリシーは、各トレース・データの秘匿化の閾値を定義する。トレースは、「F1, F2, ..., FN」で表されるN個の時空間領域の配列である。トレース・データは、N個の時空間領域を通過する、具体的なレコードの配列(配列長N)である。トレース・データT1, ..., Tkは、k個存在しなくてはならず、当該kが上記秘匿化の閾値である。トレースF1, F2, ..., FN及びそれに関連付けられている属性情報attr1, attr2, ..., attrNは、
(1)k個のトレース・データT1, ..., Tkがあって、(2)各トレース・データTiは、F1(r1)=true, F2(r2)=true, ..., FN(rN)=trueとなるようなレコードの配列r1,r2,...,rNを含み、A(Ti)=attrとなる、を満足する、という意味である。
ここで、kは、各トレース・データのデータ・オーナーがポリシー内において定義した閾値の最大値でありうる。閾値の最大値でありうる理由は、以下の通りである。レコード毎にデータ・オーナーがいて、各データ・オーナーが各レコードについて異なるポリシーを定義している場合がある。従って、各レコードについて、異なる閾値kが定義されている場合がある。そのような場合には、異なる閾値kの中でも、最大値の閾値が閾値として用いられるのである。
F1, F2, ..., FN及びattrは、検索結果内に含まれる。
トレース・データT1, ..., Tk及びレコードの配列r1, r2, ..., rNは、秘匿化時に利用する内部変数である。トレース・データT1, ... , Tkは時空間領域の配列であるので、秘匿化時において、時空間領域の推移を捉えるために使用されうる。レコードの配列r1, r2, ..., rNは、秘匿化時において、各時空間領域の属性情報を計算するために使用されうる。
Aは、属性情報attr1, attr2, ..., attrNの生成関数であり、データ検索要求内に含まれる。
【0100】
秘匿部(304)は、ポリシーにおいて使用されうるデータの開示回数又は開示先を含むデータを例えばポリシー・レポジトリ(212)内に格納しうる。当該データは、当該データに関連付けられた移動物のポリシーに関連付けて格納されうる。
【0101】
図12は、本発明の実施態様において、トレース・データの開示を制御するために使用されうるポリシーの例を示す。
ポリシー(1201)は、例えば、ポリシーを識別するための識別子(例えば、移動物の識別子と同じであってもよい)、移動物の識別子、移動物のデータの開示回数、及びその閾値、移動物のデータの開示先、移動物のデータの開示を拒否する属性、及び移動物のトレース・データの閾値を含みうる。ポリシーを使用してトレース・データの開示が制御されるために、ポリシーを設定したデータ・オーナーの意思に基づいて又は秘匿部(304)に設定されたデフォルトのポリシー設定に基づいて移動物に関連する個人情報を保護することが可能である。
【0102】
以下に、ポリシーを使用して、トレース・データがどのように秘匿化されるかを説明する。以下では、図5のレコード集合体1(501)を例にして説明する。
レコード集合体1(501)は、一つのデータ・プロバイダ(例えば201−1)からデータ・アグリゲータ(202)に提供されるレコードの集合である。このようなレコード集合体が、1つ又は複数のデータ・プロバイダからデータ・アグリゲータ(202)に提供される。そうすると、データ・アグリゲータ(202)は、移動物の識別子XXXXXについて、下記に示すような、データを複数行もつことになる。
【0103】
(XXXXX,t1 ,p1 ,赤,貨物車,45,20代男,・・・)※
(XXXXX,t11,p11,赤,貨物車,55,20代男,・・・)
(XXXXX,t12,p12,赤,貨物車,35,20代男,・・・)
(XXXXX,t13,p13,赤,貨物車,15,20代男,・・・)
(XXXXX,t14,p14,赤,貨物車,35,20代男,・・・)
(注: レコード(511)に対応する)
【0104】
そこで、計算部(303)は、上記各レコードを、時間順でソートする。そうすると、上記例において、車速以外は固定属性であるので、下記のようにまとめられる。
【0105】
XXXXX−(赤,貨物車,20代男,・・・・)
(t1, p1, 45) ・・・・F1
(t11,p11,55) ・・・・F1
(t12,p12,35) ・・・・F2
(t13,p13,15) ・・・・F2
(t14,p14,35) ・・・・F3
ここで、F1、F2及びF3は、時空間領域を示す。
【0106】
上記結果が、トレース・データである。(t1,p1)と(t11,p11)とが近く、(t12,p12)と(t13,p13)とが近いとする。そして、結果として、秘匿化処理の結果、トレース・データが3つの時空間領域F1、F2及びF3を包含するとする。各時空間領域の属性情報を「速度平均」とすると、
XXXXX−(F1,50)→(F2,25)→(F3,35)
というのが、秘匿化したトレース・データである(なお、XXXXXは外部に明かさない)。
【0107】
秘匿化が完了していることから、同じ属性を持つ移動物はk個あるはずである。ここで、ポリシーにおいてk=3であると設定されているとする。
k=3である場合、
XXXXX−(F1,50)→(F2,25)→(F3,35)
YYYYY−(F1,50)→(F2,25)→(F3,35)
ZZZZZ−(F1,50)→(F2,25)→(F3,35)
という3つの移動物がある。しかし、秘匿化後の検索結果として返すのは、
(F1,50)→(F2,25)→(F3,35)
になる。
【0108】
図13は、本発明の実施態様において、データ検索要求において使用されうるシステム環境図を示す。
データ検索要求者は、ユーザ端末(204)にデータ検索要を入力して、又は、サービス・プロバイダ(203−1〜203−n)にデータ検索要求を入力して、移動物についてのデータ検索をデータ・アグリゲータ(202)に対して要求しうる。
【0109】
以下に、トレース・データの検索要求について説明する。
トレース・データの検索要求は、距離関数を含む。距離関数は、例えば、下記に示される3つのいずれかでありうる。
(1)距離関数=位置のずれ(時間帯=∞、位置範囲=最小);この式は、時間幅に拘らずに、細粒度の距離精度で通過したことのある移動物のトレースを取得するために使用される。
(2)距離関数=時刻の差(時間帯=最小、位置範囲=∞);この式は、範囲の大きさに拘らずに、細粒度の時間精度でその時間帯に移動物がいたことを知りたい場合に使用される。
(3)距離関数=c1*時間幅^2+c2*位置のずれ^2;この式は、c1及びc2を重み係数として、時間幅、距離を調整して時空間範囲を知りたい場合に使用される。
また、トレース・データの検索要求は、各時空間領域に関連付けられている属性情報をトレース・データからどう作って関連付けるかの定義を含む。当該定義は、例えば派生の属性情報であり、例えば、その時空間領域を通過したときの速度の平均値である。
【0110】
図14は、本発明の実施態様において、(A)ポリシーを取得すること、(B)レコード集合体を受信すること、及び、(C)データ検索要求を受信することに応じて、トレース・データを取得し、当該取得したトレース・データを処理(匿名化)して、その処理結果を検索結果として送信することの各フローチャートを示す図である。
【0111】
(A)ポリシーを取得すること
ステップ1401において、データ・アグリゲータ(202)は、ポリシーを取得する処理を開始する。
ステップ1402において、データ・アグリゲータ(202)は、データ・オーナーのユーザ端末(204)から送信されたポリシーを受信する。当該ポリシーは、新しく作成されたポリシー又は修正されたポリシーでありうる。
ステップ1403において、データ・アグリゲータ(202)は、当該受信したポリシーを、ポリシー・レポジトリ(212)に格納する。
ステップ1404において、データ・アグリゲータ(202)は、ポリシーを取得する処理を終了する。
【0112】
(B)レコード集合体を受信すること
ステップ1411において、データ・アグリゲータ(202)のレコード/ポリシー受信部(301)は、レコード集合体を受信する処理を開始する。
ステップ1412において、レコード/ポリシー受信部(301)は、少なくとも1つのデータ・プロバイダ(201−1〜201−n)から、レコード集合体を受信する。
ステップ1413において、レコード/ポリシー受信部(301)は、受信したレコード集合体をレコード・レポジトリ(211)に格納する。なお、受信したレコード集合体は、まとめられて統合レコード集合体としてレコード・レポジトリ(211)に格納されてもよい。
ステップ1414では、レコード/ポリシー受信部(301)は、レコード集合体を受信する処理を終了する。
【0113】
(C)データ検索要求を受信して、検索結果を送信すること
ステップ1421において、データ・アグリゲータ(202)は、トレース・データの検索処理を開始する。
ステップ1422において、検索要求受信/検索結果送信部(302)は、データ検索要求者からのデータ検索要求を少なくとも1つのサービス・プロバイダ(203−1〜203−n)から受信する。検索要求受信/検索結果送信部(302)は、当該データ検索要求を計算部(303)に渡す。
ステップ1423において、計算部(303)は、当該データ検索要求に従って、レコード・レポジトリ(211)中のレコード集合体からデータを検索する。検索された結果が、トレース・データである。計算部(303)は、トレース・データを秘匿部(304)に渡す。
ステップ1424において、ステップ1423からのトレース・データに対して、秘匿化を行う。秘匿部(304)は、例えば、秘匿部(304)が保持している(又は秘匿部(304)に設定されている)固有の閾値kを使用して、又は、ポリシー・レポジトリ(212)からポリシーを取得し、当該ポリシー中の閾値kを使用して、トレース・データの秘匿化を行う。また、秘匿部(304)は、さらに上記ポリシー中の他の条件に従って、トレース・データの秘匿化を行いうる。ポリシーのポリシー・レポジトリ(212)からの取得は、例えば、移動物の識別子を特定し、当該特定された識別子からデータ・オーナーを特定し、そして、当該特定されたデータ・オーナーから、当該データ・オーナーが提出したポリシーを特定することによって行われうる。具体的には、ポリシーの取得は、移動物が例えば車両である場合、VIN(又はプレート・ナンバー)を特定し、当該特定されたVINからデータ・オーナーを特定し、当該データ・オーナーが提出したポリシーを特定することによって行われうる。秘匿部(304)は、秘匿化を行った検索結果(秘匿化後トレース・データである)を検索要求受信/検索結果送信部(302)に送信する。
ステップ1425において、検索要求受信/検索結果送信部(302)は、秘匿化を行った上記検索結果を、データ検索要求を送信したサービス・プロバイダに送信する。
ステップ1426において、データ・アグリゲータ(202)は、トレース・データの検索処理を終了する。
【特許請求の範囲】
【請求項1】
少なくとも1つのデータ・プロバイダ・システムに接続されたサーバ・コンピュータが前記データ・プロバイダ・システムから提供されたデータの開示を制御する方法であって、前記サーバ・コンピュータが、
第1の時空間領域における1又は複数の移動物について、1つの移動物を特定するための識別子と当該識別子に関連付けられた少なくとも1つの属性値とをレコード単位として含む第1のレコード集合体を、少なくとも1つのデータ・プロバイダ・システムから受信するステップと、
第2の時空間領域における1又は複数の移動物について、1つの移動物を特定するための識別子と当該識別子に関連付けられた少なくとも1つの属性値とをレコード単位として含む第2のレコード集合体を、少なくとも1つのデータ・プロバイダ・システムから受信するステップであって、前記第2のレコード集合体中にある移動物の識別子は前記第1のレコード集合体中にある移動物の識別子と同一の識別子を少なくとも1つ含む、前記第2のレコードを受信するステップと、
移動物に関連するデータ検索要求の受信に応じて、前記受信した第1及び第2のレコード集合体中の同一の識別子に関連付けられた各属性値から、前記データ検索要求に対応する移動物に関連するトレース・データを計算するステップと、
一定範囲のL個の領域を一定時間以内に通過するという条件を満たし、且つ移動物がk個(kは2以上の整数)以上存在するように、前記L個の領域ごとに、範囲wj及び/又は当該範囲wjの通過時間レンジ(sj,ej)(jは1,2,・・・,Lの整数)を計算するステップと、
前記受信した第1及び第2のレコード集合体中の前記同一の識別子を有する移動物が前記計算された範囲wjを前記計算された通過時間レンジ(sj,ej)に移動していることに応じて、前記計算されたトレース・データ又は当該トレース・データの一部を検索結果として返すステップと
を実行することを含む、前記方法。
【請求項2】
前記検索結果として返すステップが、
第1の移動物が前記計算された範囲wjにあり且つ前記計算された通過時間レンジ(sj,ej)にあり、及び、第2の移動物が前記計算された範囲wjにあり且つ前記計算された通過時間レンジ(sj,ej)にある場合に、前記受信した第1及び第2のレコード集合体中の前記第1の移動物の識別子に関連付けられた少なくとも1つの属性値(第1の属性値)から計算される第1の値を、前記受信した第1及び第2のレコード集合体中の前記第2の移動物の識別子に関連付けられた少なくとも1つの属性値(第2の属性値)から計算される第2の値と入れ替えて、当該第2の値に入れ替えられた後に計算される集計値が前記第1の値から計算される集計値と完全一致になるように前記第1の属性値の取り方を制御するステップであって、前記第2の属性値から計算される値は前記第1の属性値から値を求める方法と同じ方法によって計算される、前記制御するステップと
前記制御によって、前記第2の値に入れ替えられた後に計算される集計値が前記第1の値から計算される集計値と完全一致することに応じて、前記データ検索要求に対応する移動物に関連する前記計算されたトレース・データ若しくは当該トレース・データの一部又は前記制御された属性値を検索結果として返すステップと
を含む、請求項1に記載の方法。
【請求項3】
前記検索結果として返すステップが、
前記受信した第1及び第2のレコード中の前記同一の識別子に関連付けられたポリシーに従って、前記計算されたトレース・データ又は当該トレース・データの一部の開示を制限するステップ
を含む、請求項1に記載の方法。
【請求項4】
前記検索結果として返すステップが、
前記受信した第1及び第2のレコード中の前記同一の識別子に関連付けられたポリシーに従って、前記計算されたトレース・データ又は当該トレース・データの一部の開示を制限するステップ
を含む、請求項2に記載の方法。
【請求項5】
前記同一の識別子に関連付けられたポリシーが、当該同一の識別子を有する移動物についてのトレース・データの開示回数又は開示先の制約データを含み、
前記検索結果として返すステップが、前記開示回数又は開示先の制約データに従って、前記データ検索要求に対応する移動物に関連する前記計算されたトレース・データ又は当該トレース・データの一部の開示を制限するステップを含む、請求項3に記載の方法。
【請求項6】
前記同一の識別子に関連付けられたポリシーが、当該同一の識別子を有する移動物についてのトレース・データの開示回数又は開示先の制約データを含み、
前記検索結果として返すステップが、前記開示回数又は開示先の制約データに従って、前記データ検索要求に対応する移動物に関連する前記計算されたトレース・データ又は当該トレース・データの一部の開示を制限するステップを含む、請求項4に記載の方法。
【請求項7】
前記検索結果として返すステップが、前記開示回数又は開示先を履歴として記録するステップをさらに含む、請求項5又は6に記載の方法。
【請求項8】
前記ポリシーが、ポリシー・レポジトリから取り出される、請求項3〜6のいずれか一項に記載の方法。
【請求項9】
前記ポリシーが、前記移動物又は前記データ・プロバイダ・システムに関連付けられたデータ・オーナーにより設定される、請求項3〜6のいずれか一項に記載の方法。
【請求項10】
前記サーバ・コンピュータが、前記受信した第1及び第2のレコード集合体をレコード・レポジトリに格納するステップをさらに含む、請求項1に記載の方法。
【請求項11】
前記計算するステップが、前記データ検索要求に応じて、前記レコード・レポジトリに格納された第1及び第2のレコード集合体からトレース・データを作成するステップをさらに含む、請求項10に記載の方法。
【請求項12】
前記計算するステップが、前記第1及び前記第2のレコード集合体を一つの統合レコード集合体にまとめて、当該統合レコード集合体中の同一の識別子に関連付けられたレコードを時刻データ順にソートするステップをさらに含む、請求項1に記載の方法。
【請求項13】
前記移動物が車である場合に、前記属性値が、車両の識別子、車両の色、車両ナンバー、車種、時刻tにおけるスピード、車両の機器に関する値、運転者又は同乗者の名前、年齢若しくは性別、搭乗者の数、又は、車内外の時刻tにおける状態、若しくは搭乗者の時刻tにおける状態の少なくとも一つを含む、請求項1に記載の方法。
【請求項14】
少なくとも1つのデータ・プロバイダ・システムに接続されており、前記データ・プロバイダ・システムから提供されたデータの開示を制御するコンピュータであって、
第1の時空間領域における1又は複数の移動物について、1つの移動物を特定するための識別子と当該識別子に関連付けられた少なくとも1つの属性値とをレコード単位として含む第1のレコード集合体を、少なくとも1つのデータ・プロバイダ・システムから受信し、且つ、第2の時空間領域における1又は複数の移動物について、1つの移動物を特定するための識別子と当該識別子に関連付けられた少なくとも1つの属性値とをレコード単位として含む第2のレコード集合体を、少なくとも1つのデータ・プロバイダ・システムから受信する受信部であって、前記第2のレコード集合体中にある移動物の識別子は前記第1のレコード集合体中にある移動物の識別子と同一の識別子を少なくとも1つ含む、前記受信部と、
移動物に関連するデータ検索要求の受信に応じて、前記受信した第1及び第2のレコード集合体中の同一の識別子に関連付けられた各属性値から、前記データ検索要求に対応する移動物に関連するトレース・データを計算する計算部と、
一定範囲のL個の領域を、一定時間以内に通過するという条件を満たし、且つ移動物がk個(kは2以上の整数)以上存在するように、前記L個の領域ごとに、範囲wj及び/又は当該範囲wjの通過時間レンジ(sj,ej)(jは1,2,・・・,Lの整数)を計算する秘匿部と、
前記受信した第1及び第2のレコード集合体中の前記同一の識別子を有する移動物が前記計算された範囲wjを前記計算された通過時間レンジ(sj,ej)に移動していることに応じて、前記計算されたトレース・データ又は当該トレース・データの一部を検索結果として返す送信部と
を含む、前記コンピュータ。
【請求項15】
前記秘匿部が、
第1の移動物が前記計算された範囲wjにあり且つ前記計算された通過時間レンジ(sj,ej)にあり、及び、第2の移動物が前記計算された範囲wjにあり且つ前記計算された通過時間レンジ(sj,ej)にある場合に、前記受信した第1及び第2のレコード集合体中の前記第1の移動物の識別子に関連付けられた少なくとも1つの属性値(第1の属性値)から計算される第1の値を、前記受信した第1及び第2のレコード集合体中の前記第2の移動物の識別子に関連付けられた少なくとも1つの属性値(第2の属性値)から計算される第2の値と入れ替えて、当該第2の値に入れ替えられた後に計算される集計値が前記第1の値から計算される集計値と完全一致になるように前記第1の属性値の取り方を制御し、ここで、前記第2の属性値から計算される値は前記第1の属性値から値を求める方法と同じ方法によって計算され、
前記制御によって、前記第2の値に入れ替えられた後に計算される集計値が前記第1の値から計算される集計値と完全一致することに応じて、前記データ検索要求に対応する移動物に関連する前記計算されたトレース・データ若しくは当該トレース・データの一部又は前記制御された属性値を検索結果として返す、
請求項14に記載のコンピュータ。
【請求項16】
前記秘匿部が、前記受信した第1及び第2のレコード中の前記同一の識別子に関連付けられたポリシーに従って、前記計算されたトレース・データ又は当該トレース・データの一部の開示を制限する、請求項14に記載のコンピュータ。
【請求項17】
前記秘匿部が、前記受信した第1及び第2のレコード中の前記同一の識別子に関連付けられたポリシーに従って、前記計算されたトレース・データ又は当該トレース・データの一部の開示を制限する、請求項16に記載のコンピュータ。
【請求項18】
前記同一の識別子に関連付けられたポリシーが、当該同一の識別子を有する移動物についてのトレース・データの開示回数又は開示先の制約データを含み、
前記秘匿部が、前記開示回数又は開示先の制約データに従って、前記データ検索要求に対応する移動物に関連する前記計算されたトレース・データ又は当該トレース・データの一部の開示を制限する、請求項16に記載のコンピュータ。
【請求項19】
前記同一の識別子に関連付けられたポリシーが、当該同一の識別子を有する移動物についてのトレース・データの開示回数又は開示先の制約データを含み、
前記秘匿部が、前記開示回数又は開示先の制約データに従って、前記データ検索要求に対応する移動物に関連する前記計算されたトレース・データ又は当該トレース・データの一部の開示を制限する、請求項17に記載のコンピュータ。
【請求項20】
サーバ・コンピュータに、請求項1〜13のいずれか一項に記載の方法の各ステップを実行させるコンピュータ・プログラム。
【請求項1】
少なくとも1つのデータ・プロバイダ・システムに接続されたサーバ・コンピュータが前記データ・プロバイダ・システムから提供されたデータの開示を制御する方法であって、前記サーバ・コンピュータが、
第1の時空間領域における1又は複数の移動物について、1つの移動物を特定するための識別子と当該識別子に関連付けられた少なくとも1つの属性値とをレコード単位として含む第1のレコード集合体を、少なくとも1つのデータ・プロバイダ・システムから受信するステップと、
第2の時空間領域における1又は複数の移動物について、1つの移動物を特定するための識別子と当該識別子に関連付けられた少なくとも1つの属性値とをレコード単位として含む第2のレコード集合体を、少なくとも1つのデータ・プロバイダ・システムから受信するステップであって、前記第2のレコード集合体中にある移動物の識別子は前記第1のレコード集合体中にある移動物の識別子と同一の識別子を少なくとも1つ含む、前記第2のレコードを受信するステップと、
移動物に関連するデータ検索要求の受信に応じて、前記受信した第1及び第2のレコード集合体中の同一の識別子に関連付けられた各属性値から、前記データ検索要求に対応する移動物に関連するトレース・データを計算するステップと、
一定範囲のL個の領域を一定時間以内に通過するという条件を満たし、且つ移動物がk個(kは2以上の整数)以上存在するように、前記L個の領域ごとに、範囲wj及び/又は当該範囲wjの通過時間レンジ(sj,ej)(jは1,2,・・・,Lの整数)を計算するステップと、
前記受信した第1及び第2のレコード集合体中の前記同一の識別子を有する移動物が前記計算された範囲wjを前記計算された通過時間レンジ(sj,ej)に移動していることに応じて、前記計算されたトレース・データ又は当該トレース・データの一部を検索結果として返すステップと
を実行することを含む、前記方法。
【請求項2】
前記検索結果として返すステップが、
第1の移動物が前記計算された範囲wjにあり且つ前記計算された通過時間レンジ(sj,ej)にあり、及び、第2の移動物が前記計算された範囲wjにあり且つ前記計算された通過時間レンジ(sj,ej)にある場合に、前記受信した第1及び第2のレコード集合体中の前記第1の移動物の識別子に関連付けられた少なくとも1つの属性値(第1の属性値)から計算される第1の値を、前記受信した第1及び第2のレコード集合体中の前記第2の移動物の識別子に関連付けられた少なくとも1つの属性値(第2の属性値)から計算される第2の値と入れ替えて、当該第2の値に入れ替えられた後に計算される集計値が前記第1の値から計算される集計値と完全一致になるように前記第1の属性値の取り方を制御するステップであって、前記第2の属性値から計算される値は前記第1の属性値から値を求める方法と同じ方法によって計算される、前記制御するステップと
前記制御によって、前記第2の値に入れ替えられた後に計算される集計値が前記第1の値から計算される集計値と完全一致することに応じて、前記データ検索要求に対応する移動物に関連する前記計算されたトレース・データ若しくは当該トレース・データの一部又は前記制御された属性値を検索結果として返すステップと
を含む、請求項1に記載の方法。
【請求項3】
前記検索結果として返すステップが、
前記受信した第1及び第2のレコード中の前記同一の識別子に関連付けられたポリシーに従って、前記計算されたトレース・データ又は当該トレース・データの一部の開示を制限するステップ
を含む、請求項1に記載の方法。
【請求項4】
前記検索結果として返すステップが、
前記受信した第1及び第2のレコード中の前記同一の識別子に関連付けられたポリシーに従って、前記計算されたトレース・データ又は当該トレース・データの一部の開示を制限するステップ
を含む、請求項2に記載の方法。
【請求項5】
前記同一の識別子に関連付けられたポリシーが、当該同一の識別子を有する移動物についてのトレース・データの開示回数又は開示先の制約データを含み、
前記検索結果として返すステップが、前記開示回数又は開示先の制約データに従って、前記データ検索要求に対応する移動物に関連する前記計算されたトレース・データ又は当該トレース・データの一部の開示を制限するステップを含む、請求項3に記載の方法。
【請求項6】
前記同一の識別子に関連付けられたポリシーが、当該同一の識別子を有する移動物についてのトレース・データの開示回数又は開示先の制約データを含み、
前記検索結果として返すステップが、前記開示回数又は開示先の制約データに従って、前記データ検索要求に対応する移動物に関連する前記計算されたトレース・データ又は当該トレース・データの一部の開示を制限するステップを含む、請求項4に記載の方法。
【請求項7】
前記検索結果として返すステップが、前記開示回数又は開示先を履歴として記録するステップをさらに含む、請求項5又は6に記載の方法。
【請求項8】
前記ポリシーが、ポリシー・レポジトリから取り出される、請求項3〜6のいずれか一項に記載の方法。
【請求項9】
前記ポリシーが、前記移動物又は前記データ・プロバイダ・システムに関連付けられたデータ・オーナーにより設定される、請求項3〜6のいずれか一項に記載の方法。
【請求項10】
前記サーバ・コンピュータが、前記受信した第1及び第2のレコード集合体をレコード・レポジトリに格納するステップをさらに含む、請求項1に記載の方法。
【請求項11】
前記計算するステップが、前記データ検索要求に応じて、前記レコード・レポジトリに格納された第1及び第2のレコード集合体からトレース・データを作成するステップをさらに含む、請求項10に記載の方法。
【請求項12】
前記計算するステップが、前記第1及び前記第2のレコード集合体を一つの統合レコード集合体にまとめて、当該統合レコード集合体中の同一の識別子に関連付けられたレコードを時刻データ順にソートするステップをさらに含む、請求項1に記載の方法。
【請求項13】
前記移動物が車である場合に、前記属性値が、車両の識別子、車両の色、車両ナンバー、車種、時刻tにおけるスピード、車両の機器に関する値、運転者又は同乗者の名前、年齢若しくは性別、搭乗者の数、又は、車内外の時刻tにおける状態、若しくは搭乗者の時刻tにおける状態の少なくとも一つを含む、請求項1に記載の方法。
【請求項14】
少なくとも1つのデータ・プロバイダ・システムに接続されており、前記データ・プロバイダ・システムから提供されたデータの開示を制御するコンピュータであって、
第1の時空間領域における1又は複数の移動物について、1つの移動物を特定するための識別子と当該識別子に関連付けられた少なくとも1つの属性値とをレコード単位として含む第1のレコード集合体を、少なくとも1つのデータ・プロバイダ・システムから受信し、且つ、第2の時空間領域における1又は複数の移動物について、1つの移動物を特定するための識別子と当該識別子に関連付けられた少なくとも1つの属性値とをレコード単位として含む第2のレコード集合体を、少なくとも1つのデータ・プロバイダ・システムから受信する受信部であって、前記第2のレコード集合体中にある移動物の識別子は前記第1のレコード集合体中にある移動物の識別子と同一の識別子を少なくとも1つ含む、前記受信部と、
移動物に関連するデータ検索要求の受信に応じて、前記受信した第1及び第2のレコード集合体中の同一の識別子に関連付けられた各属性値から、前記データ検索要求に対応する移動物に関連するトレース・データを計算する計算部と、
一定範囲のL個の領域を、一定時間以内に通過するという条件を満たし、且つ移動物がk個(kは2以上の整数)以上存在するように、前記L個の領域ごとに、範囲wj及び/又は当該範囲wjの通過時間レンジ(sj,ej)(jは1,2,・・・,Lの整数)を計算する秘匿部と、
前記受信した第1及び第2のレコード集合体中の前記同一の識別子を有する移動物が前記計算された範囲wjを前記計算された通過時間レンジ(sj,ej)に移動していることに応じて、前記計算されたトレース・データ又は当該トレース・データの一部を検索結果として返す送信部と
を含む、前記コンピュータ。
【請求項15】
前記秘匿部が、
第1の移動物が前記計算された範囲wjにあり且つ前記計算された通過時間レンジ(sj,ej)にあり、及び、第2の移動物が前記計算された範囲wjにあり且つ前記計算された通過時間レンジ(sj,ej)にある場合に、前記受信した第1及び第2のレコード集合体中の前記第1の移動物の識別子に関連付けられた少なくとも1つの属性値(第1の属性値)から計算される第1の値を、前記受信した第1及び第2のレコード集合体中の前記第2の移動物の識別子に関連付けられた少なくとも1つの属性値(第2の属性値)から計算される第2の値と入れ替えて、当該第2の値に入れ替えられた後に計算される集計値が前記第1の値から計算される集計値と完全一致になるように前記第1の属性値の取り方を制御し、ここで、前記第2の属性値から計算される値は前記第1の属性値から値を求める方法と同じ方法によって計算され、
前記制御によって、前記第2の値に入れ替えられた後に計算される集計値が前記第1の値から計算される集計値と完全一致することに応じて、前記データ検索要求に対応する移動物に関連する前記計算されたトレース・データ若しくは当該トレース・データの一部又は前記制御された属性値を検索結果として返す、
請求項14に記載のコンピュータ。
【請求項16】
前記秘匿部が、前記受信した第1及び第2のレコード中の前記同一の識別子に関連付けられたポリシーに従って、前記計算されたトレース・データ又は当該トレース・データの一部の開示を制限する、請求項14に記載のコンピュータ。
【請求項17】
前記秘匿部が、前記受信した第1及び第2のレコード中の前記同一の識別子に関連付けられたポリシーに従って、前記計算されたトレース・データ又は当該トレース・データの一部の開示を制限する、請求項16に記載のコンピュータ。
【請求項18】
前記同一の識別子に関連付けられたポリシーが、当該同一の識別子を有する移動物についてのトレース・データの開示回数又は開示先の制約データを含み、
前記秘匿部が、前記開示回数又は開示先の制約データに従って、前記データ検索要求に対応する移動物に関連する前記計算されたトレース・データ又は当該トレース・データの一部の開示を制限する、請求項16に記載のコンピュータ。
【請求項19】
前記同一の識別子に関連付けられたポリシーが、当該同一の識別子を有する移動物についてのトレース・データの開示回数又は開示先の制約データを含み、
前記秘匿部が、前記開示回数又は開示先の制約データに従って、前記データ検索要求に対応する移動物に関連する前記計算されたトレース・データ又は当該トレース・データの一部の開示を制限する、請求項17に記載のコンピュータ。
【請求項20】
サーバ・コンピュータに、請求項1〜13のいずれか一項に記載の方法の各ステップを実行させるコンピュータ・プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9A】
【図9B】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9A】
【図9B】
【図10】
【図11】
【図12】
【図13】
【図14】
【公開番号】特開2012−159997(P2012−159997A)
【公開日】平成24年8月23日(2012.8.23)
【国際特許分類】
【出願番号】特願2011−18948(P2011−18948)
【出願日】平成23年1月31日(2011.1.31)
【出願人】(390009531)インターナショナル・ビジネス・マシーンズ・コーポレーション (4,084)
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MASCHINES CORPORATION
【復代理人】
【識別番号】100085545
【弁理士】
【氏名又は名称】松井 光夫
【復代理人】
【識別番号】100118599
【弁理士】
【氏名又は名称】村上 博司
【公開日】平成24年8月23日(2012.8.23)
【国際特許分類】
【出願日】平成23年1月31日(2011.1.31)
【出願人】(390009531)インターナショナル・ビジネス・マシーンズ・コーポレーション (4,084)
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MASCHINES CORPORATION
【復代理人】
【識別番号】100085545
【弁理士】
【氏名又は名称】松井 光夫
【復代理人】
【識別番号】100118599
【弁理士】
【氏名又は名称】村上 博司
[ Back to top ]