第4章 提案手法
4.3.1 ユーザ背景情報の影響を避ける手法
(1)開示属性制御
課題は,「プロバイダのユーザ背景情報を開示属性に反映させること.つまり背景 情報と開示属性を合わせてLを確保できない場合は開示しないこと.」であった.そ の趣旨は,プライバシをプロバイダ(相手)に提供して,それに見合う何らかのサー ビスを受ける場合,万一そのプロバイダが既に自分に関するプライバシの一部を所有 していたとすれば,匿名度を損なう糸口を与えてしまうため,それは避けたいという ことである.このためには,何らかの方法によって事前にそのユーザ背景情報をモニ ターし,有していなければ意向を反映した情報を開示してサービスを受け,有してい れば再試行するなどの措置をとろうとするものである.トレードオフの観点より匿名 度や開示属性をきめ細かく制御しプライバシを保護しようとすれば,上記ポイントは 重要なその一つであると考える.
図4.7は,そのような考え方を取り入れ,表4.1の Alice を対象ユーザとした時 の開示属性の制御フローである.以下,概略説明である.
第 4 章 提 案 手 法
65
図 4.7 開示属性制御フロー
(1)PPSはLにおけるすべての開示パターンをユーザに告げ,最も属性の多いパ ターンを推薦し,ユーザは開示の意向を応答する.このとき,ユーザは推薦以 外のパターンを選んだり,開示したくない属性を避けたりできる.図4.7の事 例では,L=2(S=3)で(職業:学生),(血液型:A型),(初渡航:Yes),(職 業:学生,且つ初渡航:Yes)の4パターンが開示可能となり,(職業:学生,
且つ初渡航:Yes)がPPSより推薦され,そのとおり開示する.
(2)PPSは候補プロバイダの探索を行い,ユーザはその中より複数の好みのプロ バイダを選ぶ.PPSはそれらのユーザ背景情報をマイニングし,その有無を Jaccard 係数を用いて判定し,背景情報マトリックスを生成する.
(3)コミュニティ状況1によっては(1)で選んだ開示パターンを調整する.事例 では変化なしとする.
1 人数などコミュニティ状況が変化すれば,匿名度が変化し開示パターンに影響でる.
第 4 章 提 案 手 法
66
(4)PPSは,属性開示に当たり 背景情報マトリックスによ って問題のないプロバイダ,
つまり開示属性と背景属性 とを合わせてもLを損ねな いプロバイダを選定し,ユー ザの確認後,開示しサービス を受ける.事例では,(学生
且つ Yes)を開示するに当たり, 図 4.8 背景情報によるS値の変化 (米), (A), (女性) の背
景情報が無いプロバイダが対 象になり(図4.8参照),
このようなプロバイダは(a)
(c)であることから,これ
らの中よりユーザが選ぶ.
プロバイダにユーザ背景情報がある 場合,開示情報と背景情報とがリンク
されれば,実質的な匿名度が下がり, 図 4.9 背景情報の影響 希望した匿名度を守れなくなる場合が
発生することは,前述したとおりであるが,モデル的にその様子を図4.9に示す.ユ ーザは希望匿名度L=2で開示可能属性a,bを開示するとき,プロバイダがすでに cに相当する属性を背景として有するとすれば,それらを組み合わせれば,匿名度は 実質L=1に下がることを示している.
具体事例として,前述グループ(表4.1)において,Alice を対象にして,以下の ような状況が想定できる.
(1)L=2(S=3)で(職業:学生),(血液型:A型),(初渡航:Yes),(職業:学 生,且つ初渡航:Yes)の4パターンが開示可能となり,(職業:学生,且つ初 渡航:Yes)がPPSより推薦される.
(2)プロバイダは空港内の事業者で,搭乗者リスト(氏名,国籍,行先)などの情 報取得は可能であり,すでに,海外旅行に出かけようとしているあるグループ の氏名とそれぞれの目的地や初渡航かどうかの情報は得ているとする.つまり,
B社は初渡航者の情報,C社は目的地の情報を入手済みである.
(3)Alice は,B社には,(血液型:A型)の情報を,C社には(職業:学生)を 開示して情報サービスを受けようとしている.
第 4 章 提 案 手 法
67
(4)初渡航者の背景情報を持つB社 に対して(血液型:A型)を開 示してサービスを受けようとす るパターンは,3.4節で述べた 図3.20と同じ状況であり,
血液A型の情報は単独ではS=
3を確保できるが,初渡航者の 情報と紐づけられるとS=1と なりS=3が守れない.C社に 対して(職業:学生)を開示す るときも同じことが言え,(学
生)単独ではS=4であるが, 図 4.10 開示情報と背景情報の紐付け 目的地情報と紐づけられるとS
=2となりS=3が守れない.図4.10はこの様子を示す.
このような事態を避けるための考え方の一つとして,関連研究[59]において提案さ れているが,図4.11に示すように希望匿名度Lより1段階の高い(L+1)レベル を使ってLより少ない情報を開示し,そこでヒットしたプロバイダより暫定サービス を取得し(②),同時に背景情報の有無をも探り(③),背景情報があれば暫定サービス をそのまま受領し(⑥),なければ当初の希望匿名度Lにて情報開示し(④),よりレベ ルの高いサービスを受ける(⑤),という開示制御である.すなわち背景情報によって 匿名度が下がることを想定し,匿名度を予めプラスしたL´=L+1で決まる属性を 開示し同時に背景情報を探ろうという趣旨である.しかし,背景情報によってL´が どこまで下がるか分からず,また背景情報が無い場合の手続きが煩雑である.
これに対して,[59]は“予めプラス する匿名度をL+1ではなく,関連す
る統計データやプロバイダの信用度よ り背景情報を予測したりシステムの セキュリティポリシーなどを勘案し,
L+n (n:システム依存による正の 整数)に設定した処理が必要であると 考える.”とコメントしているがnの 設定は容易ではなく現実的ではない.
そこで,この考え方をベースにした 改善提案として,希望匿名度で許容さ
れる属性を開示する前に何らかの方法 図 4.11 開示制御[59]
第 4 章 提 案 手 法
68
でプロバイダのユーザ背景情報の有無を探り,その結果によってあとに続く開示コン トロールを変更する方法を提案する(提案手法).図4.9のサンプルをそのまま使い,
図4.12にその内容および手順などを示す.キーポイントは以下である.
(1)
候補プロバイダは,個人特定につながらない全員に共通する最小公倍数的な属 性によるクエリにより検索される.(2)各ユーザはヒットしたプロバイダのリストより自分の嗜好に合ったプロバイダ を数ヶ所(#H個,Hは集合)選択する.
(3)各ユーザが選んだHのプロバイダごとにその素性や実態をよく表していると思 われるページをダウンロードし,各ユーザの属性がどの程度含まれているかを Jaccard 係数を利用して探り,その係数がある閾値Tを超えればそのプロバイダ にはその属性情報が有ると判断する(詳細は4.3.2項で述べる).
(4)Lで開示可能な属性集合をR(図4.9のサンプルではa,b),および属性R を開示したときRと合わせてLを損なう可能性のある属性集合をQ(同c,d)
とし,Qを背景情報として所有していないプロバイダに対してのみ,Rの属性 を開示しサービスを受けることができる.
図 4.12 背景情報探索フロー[26]
第 4 章 提 案 手 法
69
(5)それ以外のプロバイダは,Rの属性を開示した場合,Lを保持できない可能性 があるのでLを変更して再試行するか,サービスを見送る.このステップは,
トレードオフ処理において重要な役割を果たす処理過程である.
この手法によれば,前述のような希望匿名度を守れないような事態は避けることが できる.
(2)開示情報と背景情報の紐付けの考え方
課題(プロバイダにユーザ背景がある場合の対処)に対する提案手法として,ユー ザ背景情報の影響を避ける手法について述べた.まとめると以下である.
(1)何らかのルートで,DBの断片{a}が漏れ,ユーザ背景情報となる.
(2)同じDBの属性{b}が開示されても,Lで 匿名化されていれば,{a}と紐 付けされ ない限りLは確保される.
(3){a}{b}が紐付けされても,元のDBにおいてこれらの組合せがLをキー プできてい れば問題ないが,キープできていなければLを損なう.
表 4.2 紐付けマトリックスによるS値
第 4 章 提 案 手 法
70
これに対する対処の基本的考え方は,事前に背景情報を探索し,開示情報との紐付 けにより,Lを損なう可能性のあるプロバイダからはサービスを控えることである.
表4.2は,事例モデルにおける開示属性と背景属性のすべての組合せにおける集合 匿名性のS値である.この値が希望匿名度Lに相当するS値より下回るとき,それら の組合せ属性は相互に開示属性と背景属性の“対”になることはできないことを示す.
マークしてある属性は,4.3.1項,図4.7の事例,および図4.10で説明した B社,C社の状況である.B社に初渡航:Yesの背景があるとき,4パターンのう ち,血液A型のみ開示できないことを示す.また,開示以前のマークは,背景属性に よっては,事前チェックにおいてそのプロバイダは利用できないことが判明し,ユー ザにその旨のアラームを出せることを示している.
DBの断片情報がユーザ背景情報として漏れるのを防ぐには限界があり,開示情報 と紐付けられてLを損なうリスクが発生する.事前に漏れている背景情報を探索し,
問題のあるプロバイダへの開示は控えるのが本研究の考え方である.背景情報として
“Alice は初渡航”があれば,本来“血液型:A”の開示は控えられるが,あえて開 示されたとき何が起こるかを,背景情報の量,レベルによる違いで考えてみる.図4.
13はその様子を示す.背景情報の状態1,2,3ともA社のPPSのDBから漏れ た断片情報である.背景情報の状態によって個人特定の度合いは違うが,最悪個人特 定に繋がることが表されている.個人特定のためには,組合せて特定できる完全なD Bの列情報が必要であるが,全ユーザの背景情報を探索するには限界がある.よって
図 4.13 背景情報の状態