病院への導入シナリオ

第 ４ 章 提 案 手 法

81

開示しますか（Yes/No）」などのメッセージを事前に伝えることで意向確認を踏まえ た開示制御を行う．一旦開示した属性の開示を中止する場合もあり得る．交通信号の 上流のある地点を観測し，交通信号に到着する車両を予側し信号を制御する方式の考 え方に近い[42]．

図４.１９は，上に述べた内容の処理フローである．ステップ（１）→（２）→（３）

→（４）が，開示属性を追加し少しでも高レベルサービスを受けられるケース，ステ ップ（１）→（２）→（６）→（７）がやむを得ず開示属性を減らざるを得ないケー スである．

４．４ サービスシナリオ

第 ４ 章 提 案 手 法

82

は皮膚科の入院患者で退院後の生活情報を得たいと思い，ＰＰＳを利用して情報サー ビスを受けた．以下，その手順である．

(1) 病院の既存ＤＢを流用し本サービス用ＤＢを生成し，１００人規模でスタート．

(2) Ａさんは皮膚科の入院患者で，匿名で退院後の生活情報を得ようと思った．

(3) ＡさんはＬの意義を理解したうえでＬ＝２を設定．【ＰＰＳは開示可能属性パ ターンを弁別し「性別：男性，血圧：正常，食事：和食」を推薦】Ａさんは欲 しいコンテンツのために診療科目：皮膚科を追加要望．【ＰＰＳはＬ＝２の範 囲では皮膚科を含むパターンはないことを判別し，Ｌ＝１なら「性別：男性，

血圧：正常，食事：和食，科目：皮膚科」が可能と告げる】Ａさんは変更を了 解．

(4) 【ＰＰＳは候補プロバイダを探索し，３箇所のプロバイダがヒット】Ａさんは 適切と思われる２箇所Ｆ，Ｇを指定．

(5) 【ＰＰＳはそれら２箇所の信頼性をチェックいずれも問題なしと判定】Ａさん はＧに開示しコンテンツ受領．

以上，特徴は，ＰＰＳによるプロバイダの信頼性チェックによりＬ＝１が損なわれ る危険性を避け，想定していた以上に自分が絞られ病名などがばれるリスクが回避さ れた例である．また，最初Ｌ＝２で推薦された開示属性には皮膚科は含まれず，これ では欲しいサービスが得られないと思いＬを２から１に妥協してサービスを優先させ

図４.２０ トレードオフ事例

第 ４ 章 提 案 手 法

83

たシナリオ例である¹ ．図４.２０にトレードオフ振舞の流れ，動作図などを示す．

４．５ 結言

本章では，課題解決へ向けての匿名度制御および開示制御について述べたあと，課 題に対する解決手段としての提案手法および課題に付随する考察事項（コミュニティ 状況の考察）について述べた．開示制御については，ある６人グループのパーソナル 情報を事例にし，「決定木の生成」や「希望匿名度Ｌの導入」などについて述べた．

提案手法は，希望匿名度で許容される属性を開示する前に，Jaccard 係数を使いそ のプロバイダのユーザ背景情報の有無を探索し，有している場合はサービスを控える など，探索結果によってあとに続く開示コントロールを変更する方法である．

付随する考察事項に対しては，コミュニティの人数変化によって匿名度が変化し当 初の開示属性が変化する場合，その変化をセンサなどで事前把握し，匿名度変化およ び開示属性の変化を予測することで，開示属性の調整を可能にする方法について述べ た．

提案手法によって意図しない情報開示避けることができ，また希望匿名度を再設定 することなく，匿名度に妥協し開示属性を変更しサービス性を優先させることでトレ ードオフコントロールを可能とする事例をシナリオ例で示した．考察事項では，開示 属性を増やせるチャンスを生かしサービスアップに寄与できることを示した．

特に，提案手法では，事前にユーザ背景情報を探索し，開示情報と合わせても希望 匿名度Ｌを損ねないプロバイダのみよりサービスを受ける，というアイデアより，

① 開示属性を明示的に制御し意図しない開示を防ぐ．例えば，開示可能でも開示を 望まない属性の開示リスクを未然に防ぐ．

② 漏えいなどにより意図しない情報の流出による被害を最小限に留める．例えば，

漏れた情報が原因で個人が特定され攻撃されるリスクが減少する．

などの貢献が期待できる．結果，ユーザのプライバシの不安が払拭され，安心して 情報提供ができ，結果プロバイダに信頼できる多くの情報が集まりやすくなる．また，

マーケティング，サービス向上に寄与できライフログビジネスの進展に貢献できる．

1 Ｌ＝２ではＳ＝３１～７０の幅，Ｌ＝１ではＳ＝２～３０の幅があり，Ｌ＝２でＳ＝

５０から徐々にＳを小さくしたが，Ｓ＝３１になっても希望する属性が表れず，Ｌ＝１ とし，Ｓを３０から徐々に下げ，Ｓ＝１３で希望属性が追加されたという経過である．