(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】2019144723
(43)【公開日】20190829
(54)【発明の名称】匿名加工装置、情報匿名化方法、およびプログラム
(51)【国際特許分類】
   G06F 21/62 20130101AFI20190802BHJP
   G06F 16/00 20190101ALI20190802BHJP
【FI】
   !G06F21/62 354
   !G06F17/30 120A
【審査請求】未請求
【請求項の数】10
【出願形態】OL
【全頁数】12
(21)【出願番号】2018026742
(22)【出願日】20180219
(71)【出願人】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
【住所又は居所】東京都港区芝五丁目7番1号
(74)【代理人】
【識別番号】100109313
【弁理士】
【氏名又は名称】机 昌彦
(74)【代理人】
【識別番号】100124154
【弁理士】
【氏名又は名称】下坂 直樹
(72)【発明者】
【氏名】▲高▼屋 正裕
【住所又は居所】東京都港区芝五丁目7番1号 日本電気株式会社内
(57)【要約】
【課題】匿名加工情報の流通や利活用を容易に促進させる。
【解決手段】匿名加工装置は、法律に則ったガイドラインに記載される加工についてのルールを電子データ化した匿名加工ルール情報を格納するルール情報データベースから、匿名加工ルール情報を取得し、取得した匿名加工ルール情報に基づいて個人情報を加工して匿名加工情報を作成する匿名加工処理手段を備える。
【選択図】 図1
【特許請求の範囲】
【請求項1】
法律に則ったガイドラインに記載される加工についてのルールを電子データ化した匿名加工ルール情報を格納するルール情報データベースから、前記匿名加工ルール情報を取得し、取得した前記匿名加工ルール情報に基づいて個人情報を加工して匿名加工情報を作成する匿名加工処理手段
を備えることを特徴とする匿名加工装置。
【請求項2】
前記ガイドラインは、個人情報の保護に関する法律についてのガイドラインであることを特徴とする請求項1記載の匿名加工装置。
【請求項3】
前記個人情報は、第1属性情報と、前記第1属性情報についての個別個人情報とで構成され、前記匿名加工ルール情報は、第2属性情報と、前記第2属性情報についての個別加工ルール情報とで構成され、
前記匿名加工処理手段は、前記匿名加工ルール情報内に、前記第1属性情報と同一の前記第2属性情報が存在するか否かを判定することを特徴とする請求項1または2記載の匿名加工装置。
【請求項4】
同一の前記第2属性情報が存在すると判定された場合、前記匿名加工処理手段は、同一の前記第2属性情報の前記個別加工ルール情報に基づいて、前記第2属性情報と同一の前記第1属性情報の前記個別個人情報を匿名加工することを特徴とする請求項3記載の匿名加工装置。
【請求項5】
同一の前記第2属性情報が存在しないと判定された場合、前記匿名加工処理手段は、同一の前記第2属性情報が存在しない前記第1属性情報の前記個別個人情報を匿名加工しないことを特徴とする請求項3または4記載の匿名加工装置。
【請求項6】
前記匿名加工処理手段は、公開用個人情報データベースに、前記個別個人情報が匿名加工された前記匿名個人情報を、第三者に公開可能な公開用個人情報として格納することを特徴とする請求項1−5のいずれか1項に記載の匿名加工装置。
【請求項7】
前記ルール情報データベースを内蔵することを特徴とする請求項1−6のいずれか1項に記載の匿名加工装置。
【請求項8】
請求項1−7のいずれか1項に記載の匿名加工装置と、
前記個人情報についての匿名加工処理を所望するユーザの情報処理装置と、
を備え、
前記匿名加工装置は、ネットワークを介して、前記情報処理装置と通信可能に接続され、
前記匿名加工装置は、前記情報処理装置の依頼に基づいて前記個人情報に対して匿名加工処理を実施することを特徴とする匿名加工システム。
【請求項9】
法律に則ったガイドラインに記載される加工についてのルールを電子データ化した匿名加工ルール情報を格納するルール情報データベースから、前記匿名加工ルール情報を取得し、取得した前記匿名加工ルール情報に基づいて個人情報を加工して匿名加工情報を作成する
ことを特徴とする匿名加工方法。
【請求項10】
匿名加工装置のコンピュータに、
法律に則ったガイドラインに記載される加工についてのルールを電子データ化した匿名加工ルール情報を格納するルール情報データベースから、前記匿名加工ルール情報を取得し、取得した前記匿名加工ルール情報に基づいて個人情報を加工して匿名加工情報を作成する処理
を実行させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報、特に、個人情報を匿名加工するための匿名加工装置、情報匿名化方法、およびプログラムに関する。
【背景技術】
【0002】
個人情報の取得および流通(第三者への提供)を実現する場合には、本人の同意を得る必要がある。個人情報は、たとえば、生存する個人に関する情報であって、氏名、生年月日、住所等により特定の個人を識別できる情報である。
【0003】
これに対して、匿名加工情報は、本人の同意を得る必要はない。匿名加工情報は、個人情報を加工した情報であり、個人を特定することができず、かつ、加工する前の個人情報へと戻すことができない状態にした情報のことである。従って、匿名加工情報は、個人情報とは異なり、比較的自由に利活用することができる。
【0004】
上記に関連して、例えば、特許文献1には、出現率および残存率に基づいて匿名化する属性を選択する技術が記載されている。また、特許文献2、3には、匿名化のための所定の匿名加工ルールに基づいて匿名化を行う技術が記載されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2013−200659号公報
【特許文献2】特開2017−168130号公報
【特許文献3】特表2012−063546号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
平成28年(2016年)11月に、日本の内閣府の外局である個人情報保護委員会から、「個人情報の保護に関する法律についてのガイドライン」が発行されるまで、匿名加工情報を加工するためのガイドラインに沿った匿名加工ルールは存在しなかった。
【0007】
また、匿名加工情報を作成する場合であっても、業者は、所定の匿名加工ルールを遵守しなければならない。上記において、業者とは、たとえば、匿名加工情報を保有する保有業者や、匿名加工情報を利活用する利活用業者のことである。また、上記において、所定の匿名加工ルールとは、個人を特定することができず、かつ、加工する前の個人情報へと戻すことができない状態を維持するためのルールのことである。この匿名加工ルールに従わなかった場合、法違反と判断される可能性がある。そこで、例えば、保有業者は、法違反とならないように、個人を特定可能なデータ項目を、丸ごと削除する等して対応していた。
【0008】
匿名加工ルールが存在しない場合、情報が必要以上に一般化されたり、業者毎にデータ仕様が不均一になる。その結果、匿名加工情報の流通や利活用が阻害される。
【0009】
特許文献2、3で使用される匿名化ルールは、上記ガイドラインに沿った匿名加工ルールではないため、匿名加工情報の流通や利活用の促進に課題がある。
【0010】
本発明は、上記課題を解決するためになされたものであり、匿名加工情報の流通や利活用を容易に促進させることが可能な匿名加工装置、情報匿名化方法、およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0011】
本発明の匿名加工装置は、法律に則ったガイドラインに記載される加工についてのルールを電子データ化した匿名加工ルール情報を格納するルール情報データベースから、前記匿名加工ルール情報を取得し、取得した前記匿名加工ルール情報に基づいて個人情報を加工して匿名加工情報を作成する匿名加工処理手段を備える。
【0012】
本発明の匿名加工方法は、法律に則ったガイドラインに記載される加工についてのルールを電子データ化した匿名加工ルール情報を格納するルール情報データベースから、前記匿名加工ルール情報を取得し、取得した前記匿名加工ルール情報に基づいて個人情報を加工して匿名加工情報を作成することを特徴とする。
【0013】
本発明のプログラムは、匿名加工装置のコンピュータに、法律に則ったガイドラインに記載される加工についてのルールを電子データ化した匿名加工ルール情報を格納するルール情報データベースから、前記匿名加工ルール情報を取得し、取得した前記匿名加工ルール情報に基づいて個人情報を加工して匿名加工情報を作成する処理を実行させるためのプログラムである。
【発明の効果】
【0014】
本発明によれば、匿名加工情報の流通や利活用を容易に促進させることが可能となる。
【図面の簡単な説明】
【0015】
【図1】本発明の第1の実施形態に係る匿名加工装置の構成例を示すブロック図である。
【図2】図1に示される匿名加工装置の動作例(匿名加工方法)を説明するフローチャートである。
【図3】本発明の第2の実施形態に係る匿名加工装置の構成例を示すブロック図である。
【図4】個人情報のデータ構成例を示す。
【図5】匿名加工ルール情報のデータ構成例を示す。
【図6】公開用個人情報のデータ構成例を示す。
【図7】図3に示される匿名加工装置の動作例(匿名加工方法)を説明するためのフローチャートである。
【図8】本発明の第3の実施形態に係る匿名加工装置の構成例を示すブロック図である。
【図9】本発明の第4の実施形態に係る匿名加工システムの構成例を示すブロック図である。
【発明を実施するための形態】
【0016】
[第1の実施形態]
図1は、本発明の第1の実施形態に係る匿名加工装置10の構成例を示すブロック図である。匿名加工装置10は、個人情報に対して匿名加工処理を実施して匿名加工情報を作成する装置である。
【0017】
個人情報とは、生存する個人に関する情報であって、氏名、生年月日、住所等により特定の個人を識別できる情報のことである。一方、「個人情報の保護に関する法律についてのガイドライン」によれば、匿名加工情報とは、個人情報を個人情報の区分に応じて定められた措置を講じて特定の個人を識別することができないように加工して得られる個人に関する情報である。「個人情報の保護に関する法律についてのガイドライン」は、平成28年(2016年)11月に、日本の内閣府の外局である個人情報保護委員会から発行されたものである。以下、本書では、「個人情報の保護に関する法律についてのガイドライン」は、略して、「個人情報保護法ガイドライン」と呼ばれる。
【0018】
匿名加工装置10は、匿名加工処理部14(匿名加工処理手段の一例)を備える。
【0019】
匿名加工処理部14は、法律に則ったガイドラインに記載される加工についてのルールを電子データ化した匿名加工ルール情報を格納するルール情報データベース(図1において不図示)から、匿名加工ルール情報を取得する。匿名加工処理部14は、取得した匿名加工ルール情報に基づいて個人情報を加工して匿名加工情報を作成する。
【0020】
ルール情報データベースは、法律に則ったガイドライン、例えば、個人情報保護法ガイドラインに記載される加工についてのルールを電子データ化した匿名加工ルール情報を格納する。
【0021】
ルール情報データベースは、匿名加工装置10の内部に存在してもよいし、匿名加工装置10の外部に存在してもよい。ルール情報データベースが匿名加工装置10の外部に存在する場合、ルール情報データベースは、所定の通信インタフェースを介して、匿名加工装置10と通信可能に接続される。
【0022】
図2は、図1に示される匿名加工装置10の動作例(匿名加工方法)を説明するフローチャートである。なお、匿名加工処理の実施に先だって、ルール情報データベースには、上述した匿名加工ルール情報が予め格納されているものとする。また、以下の説明では、法律に則ったガイドラインが、例えば、個人情報保護法ガイドラインである場合を例に挙げる。
【0023】
まず、匿名加工処理部14は、個人情報を取得する。個人情報の取得方法は任意である。例えば、個人情報は、匿名加工装置10の内部に設けられる個人情報データベース(図1において不図示)から読み出されるか、あるいは、匿名加工装置10の外部の装置から供給される。
【0024】
匿名加工処理部14は、ルール情報データベースから匿名加工ルール情報を取得する(ステップS1)。
【0025】
匿名加工処理部14は、匿名加工ルール情報に基づいて個人情報を加工して匿名加工情報を作成する(ステップS2)。
【0026】
なお、個人情報や匿名加工ルール情報の各内容、および匿名加工処理部14における匿名加工処理については、以下の第2の実施形態にて説明するものが採用されてもよい。
【0027】
以上説明した第1の実施形態によれば、匿名加工装置10において、匿名加工処理は、法律に則ったガイドライン、例えば、個人情報保護法ガイドラインに定義される匿名加工ルール情報に基づいて実施される。要するに、公的機関によりオーソライズされた匿名加工ルール情報に基づいて匿名加工処理を実施することができるため、法違反を意識する必要はなくなり、個人情報が必要以上に匿名化されることもなく、さらに、業者毎にデータ仕様が不均一となることもない。すなわち、第1の実施形態によれば、匿名加工情報の流通や利活用を容易に促進させることが可能となる。
[第2の実施形態]
(構成の説明)
図3は、本発明の第2の実施形態に係る匿名加工装置100の構成例を示すブロック図である。匿名加工装置100は、図1に示す匿名加工装置10を基本とする構成を含み、匿名加工装置10と同様に、個人情報に対して匿名加工処理を実施して匿名加工情報を作成する。
【0028】
匿名加工装置100は、匿名加工処理部102(匿名加工処理手段の一例)と、個人情報データベース104と、ルール情報データベース106と、公開用個人情報データベース108と、を備える。
【0029】
個人情報データベース104は、個人情報200を格納する。図4は、個人情報200のデータ構成例を示す。個人情報200は、属性を示す情報である第1属性情報202と、第1属性情報202の属性値を示す情報である個別個人情報204とで構成される。
【0030】
図4では、個人情報200が1つであり、第1属性情報202が4つの属性(例えば、「氏名」、「年齢」、「住所」、および「職業」)のそれぞれである場合が例示される。この場合、第1属性情報202の属性値である個別個人情報204は、4つの属性値(例えば、「日電太郎」、「39」、「神奈川県川崎市中原区」、および「会社員」)のそれぞれである。もちろん、個人情報200の数は、2以上であってもよい。また、第1属性情報202の数は、3以下であってもよく、5以上であってもよい。
【0031】
ルール情報データベース106は、法律に則ったガイドラインに記載される加工についてのルールを電子化した匿名加工ルール情報210を格納する。
【0032】
本実施形態では、匿名加工ルール情報210が個人情報保護法ガイドラインに記載される匿名加工ルール情報である場合を例に挙げる。図5は、匿名加工ルール情報210のデータ構成例を示す。匿名加工ルール情報210は、図5に示されるように、第2属性情報212(例えば、「氏名」、「年齢」、「住所」、および「職業」のそれぞれ)と、第2属性情報212の各々の加工ルールをである個別加工ルール情報214(例えば、「削除」、「一桁目を切り捨て」、「都道府県と市のみを残す」、および「残す」のそれぞれ)と、で構成される。もちろん、第2属性情報212の数は、3以下であってもよく、5以上であってもよい。
【0033】
公開用個人情報データベース108は、少なくとも1つの個別個人情報204が匿名加工された個人情報であり、第三者に公開可能な公開用個人情報220を格納する。図6は、公開用個人情報220のデータ構成例を示す。公開用個人情報220は、加工済個別個人情報222(例えば、「30代」、「神奈川県川崎市」、および「会社員」のそれぞれ)で構成される。
【0034】
匿名加工処理部102は、基本的には、図1に示す匿名加工処理部14と同様に、取得した個人情報200に対して、匿名加工ルール情報210に基づいて匿名加工処理を実施する。
【0035】
具体的には、匿名加工処理部102は、個人情報データベース104から個人情報200を取得する。匿名加工処理部102は、取得した個人情報200のそれぞれの第1属性情報202と、匿名加工ルール情報210内の全ての第2属性情報212とを総当たりで比較する。すなわち、匿名加工処理部102は、匿名加工ルール情報210内に、各第1属性情報202と同一の第2属性情報212が存在するか否かを判定する。
【0036】
匿名加工処理部102は、ある第1属性情報202と同一の第2属性情報212が存在すると判定した場合、その同一の第2属性情報212の個別加工ルール情報214を取得する。匿名加工処理部102は、取得した個別加工ルール情報214に基づいて、個人情報200における、第2属性情報212と同一の第1属性情報202に対応する個別個人情報204を匿名加工する。
【0037】
匿名加工処理部102は、少なくとも1つの個別個人情報204が匿名加工された個人情報である公開用個人情報220を、公開用個人情報データベース108に格納する。
【0038】
なお、個人情報200には、匿名加工の対象とならない情報が含まれる場合がある。すなわち、個人情報200には、匿名加工ルール情報210内の全ての第2属性情報212と一致しない第1属性情報202を有する情報が含まれる場合がある。このような情報は、本実施形態では、属性不一致情報と呼ばれる。属性不一致情報に対して匿名加工は実施されない。また、属性不一致情報の扱いは任意である。例えば、属性不一致情報は、匿名加工処理されずにそのままの状態で公開用個人情報データベース108に格納されてもよい。
【0039】
匿名加工処理部102は、例えば、IC(Integrated Circuit)やFPGA(Field Programmable Gate Array)等の電子回路で構成されてもよい。あるいは、匿名加工処理部102は、コンピュータ(たとえば、CPU(Central Processing Unit))がメモリに記憶されたプログラムを実行する構成であってもよい。もちろん、匿名加工処理部102は、電子回路とコンピュータの組み合わせにて構成されてもよい。
(動作の説明)
図7は、図3に示す匿名加工装置100の動作例(匿名加工方法)を説明するためのフローチャートである。なお、図7で説明するステップS10〜S14は、匿名加工処理部102で実行される処理を説明するものである。これらの処理の実施に先だって、ルール情報データベース106には、匿名加工ルール情報210が予め格納されているものとする。
【0040】
匿名加工処理部102は、個人情報200を取得する(ステップS10)。
【0041】
匿名加工処理部102は、匿名加工ルール情報210内に、各第1属性情報202と同一の第2属性情報212が存在するか否かを判定する(ステップS11)。匿名加工処理部102は、ある1つの個人情報200のある1つの第1属性情報202と、匿名加工ルール情報210内の全ての第2属性情報212とを総当たりで比較する。同一の第2属性情報212が存在しない情報は、上述したとおり、属性不一致情報と呼ばれる。
【0042】
ある1つの第1属性情報202と同一の第2属性情報212が存在する場合(ステップS11においてYes)、匿名加工処理部102は、当該第1属性情報202の個別個人情報204を、同一の第2属性情報212の個別加工ルール情報214に基づいて匿名加工する(ステップS12)。
【0043】
例えば、ある1つの第1属性情報202が「氏名」である場合、匿名加工処理部102は、第1属性情報202が「氏名」の個別個人情報204の「日電太郎」を、「氏名」の個別加工ルール情報214が「削除」に従い削除する。
【0044】
一方、ある1つの第1属性情報202と同一の第2属性情報212が存在しない場合(ステップS11においてNo)、匿名加工処理部102は、当該第1属性情報202の個別個人情報204に対して匿名加工処理を実施しない(ステップS13)。
【0045】
なお、図7では示されてはいないが、ある1つの個人情報200の全ての第1属性情報202についての総当たり比較が終了されるまで、ステップS11〜S13の処理が繰り返し実行される。さらに、個人情報データベース104に複数の個人情報200が格納されている場合には、全ての個人情報200についての処理が終了するまで、ステップS10〜S13の処理が繰り返し実行される。
【0046】
匿名加工処理部102は、個別個人情報204が匿名加工された個人情報である公開用個人情報220を、公開用個人情報データベース108に格納する(ステップS14)。匿名加工処理部102は、例えば図6に示される公開用個人情報220を、公開用個人情報データベース108に格納する。図6は、図4に示される個人情報200が、図5に示される匿名加工ルール情報210に基づいて匿名加工した公開用個人情報220を示している。
(効果の説明)
以上説明した第2の実施形態において、匿名加工処理は、匿名加工ルール情報210に基づいて実施される。そして、匿名加工ルール情報210は、個人情報の保護に関する法律についてのガイドラインである個人情報保護法ガイドラインに沿った匿名加工ルール情報である。要するに、公的機関によりオーソライズされた匿名加工ルール情報に基づいて匿名加工処理を実施することができるため、法違反を意識する必要はなくなり、個人情報が必要以上に匿名化されることもなく、さらに、業者毎にデータ仕様が不均一となることもない。すなわち、第2の実施形態によれば、匿名加工情報の流通や利活用が促進される。具体的には、個人情報を収集する事業者と、公開用個人情報(匿名化済個人情報)を利活用する事業者との間でのデータ流通が促進され、さらに、利活用事業者における利活用が活発化する。
【0047】
また、個人情報保護法ガイドラインに沿った匿名加工ルール情報である匿名加工ルール情報210を格納するルール情報データベース106の保持は、データ流通を指向する業者のアカウンタビリティ(説明責任)にも利用できる。
【0048】
さらに、第2の実施形態の匿名加工装置100では、少なくとも1つの個別個人情報204が匿名加工された個人情報である公開用個人情報220が、個人情報データベース104とは別の公開用個人情報データベース108に格納される。すなわち、公開用の情報である公開用個人情報220は、基本的には公開することができない個人情報200と分離されて格納されるので、個人情報漏洩リスクを低減されることができる。
【0049】
なお、以上説明した第2の実施形態では、個人情報200を格納する個人情報データベース104が匿名加工装置100に内蔵されている例が示されているが、個人情報データベース104は、匿名加工装置100の外部にあってもよい。ただし、その場合、個人情報データベース104と匿名加工装置100との間のネットワークには、個人情報が漏洩しないような対策が施されている。
[第3の実施形態]
図8は、本発明の第3の実施形態に係る匿名加工装置300の構成例を示すブロック図であり、詳細には、図1に示す匿名加工装置10、または図3に示す匿名加工装置100を、コンピュータによって実現した匿名加工装置300のブロック図である。匿名加工装置300は、記憶装置302と、プロセッサ等を含む演算装置304(コンピュータ)と、を備える。記憶装置302は、コンピュータ読み取り可能な記録媒体であり、コンピュータプログラム350を記憶する。コンピュータプログラム350は、例えば、第1の実施形態で説明した動作や第2の実施形態で説明した動作を演算装置304に実行させるためのプログラムである。例えば、コンピュータプログラム350は、法律に則ったガイドラインに記載される加工についてのルールを電子データ化した匿名加工ルール情報を格納するルール情報データベースから、匿名加工ルール情報を取得し、取得した匿名加工ルール情報に基づいて個人情報を加工して匿名加工情報を作成する処理である。
【0050】
なお、演算装置304の例としては、例えば、プログラムを読み取り実行する、1つまたはそれ以上のCPUと、CPUが実行する命令を記憶するメモリを挙げることができる。また、コンピュータ読み取り可能な記録媒体は、例えば、非一時的な記憶装置である。非一時的な記憶装置の例としては、例えば、光ディスク、磁気ディスク、ROM(Read Only Memory)、不揮発性半導体メモリ等の可搬媒体、コンピュータシステムに内蔵されるハードディスクを挙げることができる。また、コンピュータ読み取り可能な記録媒体は、一時的な記憶装置であってもよい。一時的な記憶装置の例としては、例えば、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の信号線、あるいは、コンピュータシステム内部の揮発性メモリを挙げることができる。
【0051】
以上説明した第3の実施形態によれば、第1および第2の実施形態と同様に、第3の実施形態によれば、匿名加工情報の流通や利活用が促進される。
[第4の実施形態]
図9は、本発明の第4の実施形態に係る匿名加工システム400の構成例を示すブロック図である。匿名加工システム400は、匿名加工装置402と、情報処理装置404と、を備える。 匿名加工装置402は、インターネット等のネットワーク406を介して、情報処理装置404と通信可能に接続される。
【0052】
情報処理装置404は、個人情報についての匿名加工処理を所望するユーザの装置である。 匿名加工装置402は、例えば、第1〜3の実施形態のいずれかの匿名加工装置である。匿名加工装置402は、情報処理装置404の依頼に基づいて個人情報に対して匿名加工処理を実施する。匿名加工処理は、上述したとおりである。
【0053】
以上説明した第4の実施形態によれば、例えば、匿名加工装置402をクラウド上に設けることが可能となる。すなわち、本実施形態によれば、ネットワーク越しに匿名加工サービスを提供することが可能となる。
【0054】
以上、各実施形態を用いて本発明を説明したが、本発明の技術的範囲は、上記各実施形態の記載に限定されない。上記各実施形態に多様な変更又は改良を加えることが可能であることは当業者にとって自明である。従って、そのような変更又は改良を加えた形態もまた本発明の技術的範囲に含まれることは説明するまでもない。また、以上説明した各実施形態において使用される、数値や各構成の名称等は例示的なものであり適宜変更可能である。
【符号の説明】
【0055】
10 匿名加工装置
14 匿名加工処理部
100 匿名加工装置
102 匿名加工処理部
104 個人情報データベース
106 ルール情報データベース
108 公開用個人情報データベース
200 個人情報
202 第1属性情報
204 個別個人情報
210 匿名加工ルール情報
212 第2属性情報
214 個別加工ルール情報
220 公開用個人情報
300 匿名加工装置
302 記憶装置
304 演算装置
350 コンピュータプログラム
400 匿名加工システム
402 匿名加工装置
404 情報処理装置
406 ネットワーク
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】