コミュニティ状況の考察

第 ４ 章 提 案 手 法

78

うな類似度Ｓｉｍ（Ｕｓｅｒ，Ｓｉｔｅ）が定義できる．

Ｓｉｍ（Ｕｓｅｒ，Ｓｉｔｅ）＝Σ（｜Ａ∩Ｂ｜）／ Σ（｜Ａ∪Ｂ｜）

但し，Σは５属性の集計を意味する

なお，背景情報の有無を判断する閾値Ｔやプロバイダを代表する適切なページの抽 出手法，また属性を表す単語の類似語の扱い方などがキーになるが，閾値Ｔは，セキ ュリティに影響する，例えば下記に示すような諸要素を鑑みて決める必要がある．

（ａ）システムが要求するセキュリティレベル（セキュリティポリシー）

（ｂ）特別なセキュリティ配慮が必要な業界かどうか（例えば，ナーバスで機微 な情報を扱う医療界など）

（ｃ）対象とするユーザに関する世間のうわさ，風評，口コミ，コミュニティ[41]

などへの配慮

これらの各要素の影響度合いによって，実際に適用される閾値Ｔのイメージとして 下記のような式が想定される．

実際に適用されるＴ＝（常識的なＴ）＋（ａ）＋（ｂ）－（ｃ）

第 ４ 章 提 案 手 法

79

増やしている．すなわち，図４.１８において，６人グループ(表ａ)，８人グループ(表 ｂ，ｃ)それぞれにおけるＬ，Ｋおよびエントロピーの関係は表４.２の通りであり，

Ｌ＝２の時，６人グループでは，Ｓ＝３，その時のエントロピーは０.４６となり，そ れ以上のエントロピーを持つ属性は，性別：男，血液：Ａ，初渡航：Ｎｏで，これら が開示可能となる．８人グループの場合も同様な考え方で，（表ａ）の場合，（表ｂ）

の場合それぞれにおいて開示属性が変化する．

図 ４.１８ 匿名度の変化[26]

このような事態は集合匿名性をベースにしコミュニティに変動がある限り避けられ ないが，同じ属性が時間帯によって開示できたり開示できなかったりすることや人数 変動に起因する何らかの要因で予め相互承諾された開示属性以外の属性が開示される ようなことは，“意図しない情報開示を防ぐ”趣旨から見て本意ではなくできるなら 避けたい．コミュニティ変動の影響を少しでも緩和する方法として匿名度計算に人数

第 ４ 章 提 案 手 法

80

の移動平均や正規化エントロピー[27]¹ などを用いる方法があるがいずれも人数変動 の影響をゼロにはできず抜本的な対処にならない．また，各ライフログの発生統計や コミュニティの性格，サービス内容，セキュリティポリシーなどを勘案した属性開示 指標を設定する考え方もあるが，膨大なデータ解析や機械学習などが前提となり容易 ではない．

つまり，抜本的な対処の要件は“コミュニティ変動の影響をゼロにすること”であ るが，モバイル環境を前提にするかぎり，変動を容認のうえでその影響を実質ゼロに する何らかの考え方，手法を導入する必要がある．変動自体を結果としてユーザに見 えなくし認識させないか，あるいは積極的に伝えて，納得尽，想定内にすることで実 質の影響を無くするか，などの方策が考えられる．エントロピー計算の場合も，計算 対象の要素集合に変動がないことが条件となるが，本論文ではサービス開始時の状態 がサービス終了まで維持され変わらないという前者の考え方で対処している² ．

ここでは，コミュニティ変動を事前に把握することで確認済みの開示可能属性に変 化があればユーザに連絡し，事前承諾を踏まえた開示制御を考える．つまり，変動を ユーザに予め伝え，承諾を得て意図する範疇にすることで，変動の影響を無くすると いう後者の考え方である．すなわち，サービス開始時ユーザとＰＰＳで相互承諾した 開示可能属性がコミュニティ変動によって変化する場合，とりわけ同じ属性の人が増 えて匿名度が上がり開示情報を増やすことにより，より高レベルのサービスを受けら れる場合を配慮し，サービスを受ける直前の開示属性の変更を考慮する．ただしその 場合何らかの手段にて変動を予測しユーザとの事前協議により変更の事前承諾を得る，

という手法である．これは変更の事前承諾を得ることで変動の影響を実質なくそうと するもので，前述した要件「コミュニティの変動の影響をゼロにすること」を結果と して満たしているといえる．より具体的

な実現イメージをマルチエージェントシ ミュレータを使って次章にて示すが，概 要は以下である．

サービスエリアであるコミュニティ広 場に通ずる通路において人の流れや付帯 する属性情報などを予めセンスし，予想 されるユーザの匿名度が希望匿名度Ｌを 上回る場合，追加可能な開示属性につい て，ユーザに「状況変化により“職業：

会社員”は開示できる見込みです． 図 ４.１９ 開示属性予測フロー

1 「４.２.２項（３）人数変化に影響されにくい指標」にて述べた．

2 詳細は，第６章「６.２.２ 処理シーケンス」で述べる．

第 ４ 章 提 案 手 法

81

開示しますか（Yes/No）」などのメッセージを事前に伝えることで意向確認を踏まえ た開示制御を行う．一旦開示した属性の開示を中止する場合もあり得る．交通信号の 上流のある地点を観測し，交通信号に到着する車両を予側し信号を制御する方式の考 え方に近い[42]．

図４.１９は，上に述べた内容の処理フローである．ステップ（１）→（２）→（３）

→（４）が，開示属性を追加し少しでも高レベルサービスを受けられるケース，ステ ップ（１）→（２）→（６）→（７）がやむを得ず開示属性を減らざるを得ないケー スである．

４．４ サービスシナリオ