第3章 課題分析
3.3.3 信用・信頼度,匿名度・プライバシの測定方法
(1)信用・信頼度の測定方法
信用もプライバシも何らかの定量的な計測方法がなければ,獲得の目当てもその検 証確認もできない.以下,それらの測定方法の考え方について述べる.まず信用度の 定量化について考え,次項でプライバシについて考える.
信頼度の測定方法は,いろいろな方法が考えられようが,ここでは定量化するため の手法として「3ステップ手法」について述べる.
第 1 ステップ:n段階の信用レベルを設定する.各信用レベルに対応するサービス 内容と考えてよく,サービスプロバイダがアプリケーションのサービスコンテンツ の内容を鑑みて定義する.例えば,n=5であれば,n=1より段階順にNo_Service,
1 具体事例を第4章4.4.2(図4.20)に示す.
第 3 章 課 題 分 析
44
Minimal_Service, Limited_Service, Full_Service, Privileged_Service などと命名 され,その中身はプロバイダが決める.
第2ステップ:それぞれの信用レベルti に対するTrust benefit function B(ti) を定義 する.B(ti) の値は,サービスプロバイダかユーザのいずれかが決め,相互に確認,
承諾し合うとする.
第3ステップ:信用レベルがt1からt2に増加する場合,以下に示す式により,B(ti) の値によってTrust gain G(t1, t2) の値が計算される.計算式は以下である.
Trust gain = G(new_trust_level, old_trust_level)
= B(new_trust_level) – B(old_trust_level) ここでは,測定手法の基本的な考え方について述べるに留める.
(2)匿名度・プライバシの測定方法
次にプライバシの測定方法について述べる.いろいろなプライバシ保護手法が適用 される場合,どの程度のパーソナル情報の開示や取得などのやりとりによって,どの 程度のプライバシが犠牲になったり守られたりするのかを,プライバシ保護方式の如 何に関わらず定量的に測定でき,評価,検証できるための手法が必要である.二つ方 法がある.Anonymity set size 方式とEntropy base方式である.
Anonymity set size方式は,集団の 中に個人を隠す考え方で,
Anonymity set と呼ばれるAのサイ
ズが大きければ,匿名度が大きくな るというものである.そのイメージ を図3.12に示す.図は,集団の規 模が小さければ匿名度は小さく,集
団の規模が大きければ匿名度も大き 図 3.12 集団の中に個人を隠すときの いことを示している. 匿名度表示[9]
Anonymity setは,piを対象siの割当
て確率(出現確率:プライバシデータのアクセス確率)とすれば,
A = {(s1, p1), (s2, p2), ..., (sn, pn)}
で表され,実効的なAnonymity set size Lは,piを考慮すれば次の式で表され,これ を匿名度として使う.piは通常均一と考え要素数nが匿名度となる.
第 3 章 課 題 分 析
45
一方,Entropy base方式は,Entropyがシステムのランダム性を表す概念を持つこと を利用して匿名性を定量化する.つまり全体の中である対象に注目するとき,全体の 中でその注目する対象の占める割合が多ければEntropyは下がり,注目する対象の大 きさが同じでも全体が大きくなって占める割合が小さくなればEntropyは上がる性質 を利用する.図3.13にそのイメージを示す.
図 3.13 エントロピーの変化[9]
エントロピーの概念を説明する例として 50 人の男女から成る 100 人のユーザの集合 を考える.エントロピーが最大になるのは「性別」のような全てが同じ確率で発生す る情報を与えられた場合であり,この時匿名性が最も高いと定義する.この状態は,
ある一人を選んだとき,男性にあ たるか女性にあたるかが最も分か りにくい状態である.逆にエント ロピーが最小になるのは,発生確 率が1になるプライバシ情報を与 えた場合であり,この時匿名性が 最も低いと定義する.つまり,100 人の中で「Alice」という名前の人 が1人しかいない場合,Alice と
いう名前を情報として受け取ること 図 3.14 エントロピーと匿名性の関係 で匿名性が最小になる.(図3.14参照)
属性の開示などで状況が変化する場合,開示前後のプライバシロスは,Entropy変化 Gで表され,以下の式となる.
G H
0 H
A但し,H0,HAはそれぞれ属性を開示する前のEntropy最大の状態および開示後の
Entropyである.Hは以下のエントロピー定義式である.ただしpiは開示属性によっ
て決まる発生確率である.
エ ン ト ロ ピ
│
p 0.5
不確定度 最大 → 最も匿名性が高い
0 1.0
不確定度 最小 → 最も匿名性が低い エ
ン ト ロ ピ
│
p 0.5
不確定度 最大 → 最も匿名性が高い
0 1.0
不確定度 最小 → 最も匿名性が低い
第 3 章 課 題 分 析
46 図3.15は,エントロピー変化の例であ る.属性開示前,6人中1人(対象:Alice)
の Entropy は0.65だったのが,属性開示
後,男性4人,女性2人(含 Alice)に分類 図 3.15 Entropy 変化の例 後, Entropy は0.33に減ることを表している.
全体の枠組みと対象が定義されれば,Anonymity set size方式とEntropy base方式と は互換性があり,双方での匿名度の値は一対一で対応し,どちらを利用するかは該当 するシステムでの利便性による.Anonymity set size方式を利用するとき,場合の組合 せの数 nCrを数え上げる状況が発生する場合があり,その際はEntropy base方式の 方が処理コスト的に有利になる場合もある.
(3)本研究における匿名度・プライバ シの測定方法
本研究においては,ユーザ処理の面では
Anonymity set size方式(集合匿名性),内部処
理的にはEntropy base方式の折衷方式である.
但し,ユーザ集合の規模に依存しない汎用的な 匿名レベル(4レベルの希望匿名度L)を導入 し,Anonymity set sizeとしては,Lの各レベル
に応じたSを定義し匿名性を担保する. 図3.16 希望匿名度L Lは各ユーザごとに設定され,レベル数やレベル間の切れ目は実装オプションであ る.100人規模のときの各Lに対応するSの範囲を図3.16に示す.なお,Lが意味 を持つにはある程度のDB規模が必要であるが,既存の団体など一定のユーザ集合を ベースにスタートすることでコールドスタート問題を避ける.
Anonymity 方式で学会,業界で広く認知されているK-匿名性の基本概念は,DB
のどのタプルを取り出しても同じタプルがK個以上存在する状態をいうが,本研究に おける匿名性は,①タプルではなく属性の組合せとして取出したい.②取出すときプ ロバイダの背景情報と組合せたときの匿名性を考えたい.③属性値は元のままとし,
何の操作も加えない.を基本に属性開示の際,同じ属性を持つ人数を一定S以上にし たいという趣旨で,本研究独自の考え方に基づく集合匿名性“S”を導入する.
第 3 章 課 題 分 析
47
3.4 課題,考察事項
本章の3.2.1項で述べた解決課題を,図3.9を参照して述べる.パーソナル情報 などをPPSに集約し,ユーザ背景情報やコミュニティ状況をチェックし,その結果 を匿名度調整や開示情報調整に反映させ,調整された開示情報をプロバイダに提供し サービスコンテンツを受けるという一連の流れのなかで,(2)~(3)においてど のようにチェックし,どのように匿名化処理や開示処理に反映させるかが課題である.
以下,基本的な対処の考え方も含め,それらについて述べる.