ユーザ背景情報及びコミュニティ状況を考慮 した匿名度制御によるプライバシ保護手法の研究
浜 本 一 知
電気通信大学大学院情報システム学研究科 博士(工学)の学位申請論文
2013 年 3 月
ユーザ背景情報及びコミュニティ状況を考慮 した匿名度制御によるプライバシ保護手法の研究
博士論文審査委員会
主査 大須賀昭彦 教授
委員 渡辺 俊典 教授
委員 田中 健次 教授
委員 田野 俊一 教授
委員 田原 康之 准教授
著 作 権 所 有 者
浜 本 一 知
2013 年 3 月
Research on Privacy Protection Methods By Anonymization Based on User Background
Information and Community Status
Kazutomo Hamamoto
Abstract
When a user receives personal services, such as content recommendation service or action support service, from a service provider by supplying personal information including one’s life-log, preference, age, etc., privacy protection is essential. If the information given to the provider is generally large and detailed, the received service quality increases although the anonymity level lowers. However, for privacy protection, the offered information should be reduced as much as possible to prevent the anonymity level from lowering. This indicates that a trade-off exists between privacy protection and service quality.
Considering these circumstances, this paper proposes a method that realizes avoidance of unwanted information disclosure by controlling openable attributes (i.e., the attributes disclosable as per required anonymity level) according to the results from monitoring two elements: the user background information of the provider (i.e., the information that the service provider already possesses about the user) and the user community status (i.e., head count etc. of the community including the user) that influences the anonymity level. This monitoring is done before disclosing individual attributes corresponding to the privacy policy (i.e., the required anonymity level) set by each user.
This paper aims to propose such privacy protection methods to enable service acquisition corresponding to the offered information without any unintended
personal information leakage.
The validity of the proposed methods was confirmed by a desk model.
ユーザ背景情報及びコミュニティ状況を考慮 した匿名度制御によるプライバシ保護手法の研究
浜 本 一 知 概 要
ネットワーク機器や携帯端末の高機能化,普及に伴い,個人情報や行動履歴な どから構成されるパーソナル情報を利活用したビジネスが注目され,今後発展が 期待されるなかで,プライバシ保護の点で利用者に不安感や不快感が存在し,新 規サービスの展開が円滑に進まない可能性が指摘されている.個人情報保護法は 個人を特定できる情報を対象にしており,必ずしも個人の特定に繋がらない行動 履歴などは原則対象外であるが,その組み合わせによっては個人の特定に繋がり,
十分留意する必要がある.そのような状況を鑑み総務省は行動履歴などライフロ グ利活用のための配慮原則を勧告しているが,規制色の弱い緩やかなガイドライ ンでしかなく,実サービス展開におけるプライバシ保護に関する実効的規制は各 プロバイダに任されている.
本研究の意図は,このような状況下において,プロバイダのユーザ背景情報及 びユーザコミュニティ状況を考慮した匿名度制御によるプライバシ保護手法を提 案することでプロバイダの配慮原則に沿った活動に資することである.ユーザが 抵抗感なく少しでも安心して情報提供できるシステム構築により,ユーザとプロ バイダ双方の満足度を向上させ,相互に Win-Win の好関係を構築していくことを 狙う.具体的には以下に述べるように,独自の課題を掲げ,その解決へ向けての 具体的提案手法を示す.
情報推薦などのパーソナルサービスを受ける場合,多くのパーソナル情報を提 供することで更に品質の高いパーソナルサービスを受けることができる反面,情 報の漏洩や流用などによるプライバシ侵害の危険性も増える.つまりプライバシ 保護とサービス品質の間でトレードオフの関係が成り立つ.その際,意図しない 情報の開示を避けつついかに早くそれらの妥協点に到達するかがキーになるが,
本研究では,ユーザ毎に設定する希望匿名度に対応する属性を開示する前に,匿 名度に影響を及ぼすプロバイダのユーザ背景情報をコミュニティ状況を考慮しつ つチェックし,その結果によって開示属性を調整し,結果,意図しない無用な情 報開示を避けることを考える.
つまり,プロバイダにユーザ背景情報があるとき,いかに対処するかという課
題に対し,希望匿名度が損なわれるリスクを想定し,事前に Jaccard 係数による テキストマイニングを行うことでユーザ背景情報を探索し,その結果により実質 的に希望匿名度を守れないと判断される場合,その旨をユーザに伝え意志を反映 したオプトイン(事前承諾)による開示コントロール行い,意図しない情報開示 を避ける.希望匿名度を損なうかどうかの判定には,開示情報とユーザ背景情報 とが紐づけられたときでも,確保できる同じ属性を持つ集合匿名性の考え方を導 入した. 併せて,コミュニティの人数変化によって匿名度が変化する場合を考察 し,変化を事前把握し,開示属性を事前調整することで受けるサービスの満足度 の向上を可能にする方法を示した。
以上,課題を分析し,パーソナル情報や匿名性の扱いにおいて新たな考え方を 導入することで解決への提案手法を明らかにし,またモデル事例による操作フロ ーやフィージビリティ確認実験により,意図しないパーソナル情報を開示する危 険性がないことや,意図に反する匿名度の犠牲がないことの視点より提案手法の 妥当性と有効性を確認した.
併せてトレードオフ制御においても,バランスがとりやすくいち早く妥協点に 到達できることや,意図しない匿名度の犠牲がないことの視点より提案手法が有 効であることを確認した.
1
目 次
第1章 はじめに ........................6
1.1 本研究の背景...........................6 1.2 本研究の目的と内容........................9 1. 2. 1 本研究の狙いと課題.................... 9 1. 2. 2 本研究の内容.......................11 1.3 本論文の構成...........................13
第2章 関連研究 .......................16
2. 1 緒言...............................16 2. 2 パーソナル情報の保存場所.....................16 2. 3 パーソナル情報開示の条件.....................18 2. 4 プライバシ保護手法........................20 2. 5 プロバイダによる特定個人の識別性.................21 2. 6 サービス性と匿名度間のトレードオフ................23 2. 7 他プロバイダによるパーソナル情報の二次使用............25 2. 8 結言...............................27
第3章 課題分析 .......................28
3.1 緒言...............................28 3. 2 パーソナルサービスの背景.....................28 3. 2. 1 現状と課題の整理.....................28 3. 2. 2 パーソナル情報の扱い...................30 3. 2. 3 フレームワーク......................35 3.3 トレードオフの考え方.......................41 3. 3. 1 プライバシと信頼・信用とのトレードオフ..........41 3. 3. 2 本研究におけるトレードオフの考え方............42 3. 3. 3 信用・信頼度,匿名度・プライバシの測定方法........43 3. 4 課題,考察事項..........................47 3. 4. 1 課題:ユーザ背景情報の扱い方...............47 3. 4. 2 考察事項:コミュニティ状況への対応............50 3. 5 結言...............................51
2
第4章 提案手法 .......................52
4.1 緒言...............................52 4. 2 匿名化制御および開示制御.....................52 4. 2. 1 匿名化制御........................52 4. 2. 2 開示制御.........................53 4. 3 ユーザ背景情報への対処(提案手法)................64 4. 3. 1 ユーザ背景情報の影響を避ける手法.............64 4. 3. 2 ユーザ背景情報の探索手法.................74 4. 3. 3 コミュニティ状況の考察..................78 4. 4 サービスシナリオ.........................81 4. 4. 1 大学研究室における導入シナリオ..............81 4. 4. 2 病院への導入シナリオ...................81 4.5 結言.............................. 83
第5章 提案手法の評価,検証 ................84
5. 1 緒言...............................84 5.2 提案手法(ユーザ背景情報への対処)の評価,検証..........84 5. 2. 1 ユーザ背景情報探索検証実験................84 5. 2. 2 机上モデルによるプライバシ保護の評価...........87 5. 2. 3 コミュニティ状況考察結果の評価,検証...........88 5. 3 トレードオフにおける評価.....................96 5. 4 提案手法の限界..........................98 5. 5 結言...............................98
第6章 今後の課題と留意点 ................100
6. 1 緒言...............................100 6.2 今後の課題............................100 6. 2. 1 処理シーケンス...................... 100 6. 2. 2 アーキテクチャ......................103 6. 2. 3 UI画面.........................106 6. 3 今後の展開における留意点.....................108 6. 3. 1 プライバシ保護に関する二つの留意点............108 6. 3. 2 二次使用におけるプライバシ保護..............110 6. 3. 3 プロバイダにおけるプライバシ保護.............115
3
6. 4 結言...............................118
第 7 章 おわりに .......................120
謝辞 ..............................123
参考文献 ............................124
関連論文の印刷公表の方法および時期 .............131
著者略歴 ............................133
図目次
1. 1 パーソナルサービスのイメージおよび現状の課題 ...........7 1. 2 一方通行かつ行き止まりトレードオフ................12 2. 1 代表的なフレームワークにおけるパーソナル情報の保存場所......17 2. 2 プライバシ制御レベル.......................19 2. 3 パーソナル情報を端末外に出さない方式の例.............21 2. 4 Shadow attack ..........................22 2. 5 セキュリティフレームワーク....................24 2. 6 パーソナル情報のライフサイクル..................26 3. 1 課題整理.............................29 3. 2 取り扱いがあいまいな行動履歴情報.................30 3. 3 ライフログの扱い.........................31 3. 4 パーソナルサービス提供の注意点..................33 3. 5 ユーザ・プロバイダ間の Win-Win 関係................34 3. 6 本研究の対象スコープ.......................35 3. 7 サーバの役割と責任........................36 3. 8 耐タンパモジュールによる信頼性確保................39 3. 9 フレームワークおよび処理シーケンス概要..............40 3.10 信用獲得のための標準的手段....................41
4
3.11 トレードオフの考え方.......................43 3.12 集団の中に個人を隠すときの匿名度表示...............44 3.13 エントロピーの変化........................45 3.14 エントロピーと匿名性の関係....................45 3.15 Entropy 変化の例.........................46 3.16 希望匿名度L...........................46 3.17 ユーザ背景情報の扱い方......................47 3.18 ユーザ背景情報の考え方......................48 3.19 プライバシ保護の2ステップ....................48 3.20 紐付けの様子...........................49 3.21 コミュニティ状況への対応.....................50 4. 1 決定木の例............................54 4. 2 複数の属性を開示の場合の決定木の例................57 4. 3 二人を保護する場合の例......................58 4. 4 情報利得とD...........................60 4. 5 Dの距離概念...........................60 4. 6 Dのシミュレーション.......................62 4. 7 開示属性制御フロー........................65 4. 8 背景情報によるS値の変化.....................66 4. 9 背景情報の影響..........................66 4.10 開示情報と背景情報の紐付け....................67 4.11 開示制御.............................67 4.12 背景情報探索フロー........................68 4.13 背景情報の状態..........................70 4.14 Lの意義.............................71 4.15 限界とリスクの関係........................72 4.16 個人特定のシーケンス.......................73 4.17 背景情報探索実験.........................77 4.18 匿名度の変化...........................79 4.19 開示属性予測フロー........................80 4.20 トレードオフ事例.........................82 5. 1 探索ソースコード.........................86 5. 2 コミュニティ変動シミュレーション.................89 5. 3 匿名度変化シミュレーション....................90 5. 4 人工社会シミュレーション.....................93 5. 5 歩行者移動ルール.........................94
5
5. 6 歩行者エージェントソースコード..................95 5. 7 トレードオフ(1)........................96 5. 8 トレードオフ(2)........................97 5. 9 DBの偏り............................98 6. 1 処理シーケンス..........................101 6. 2 探索シーケンス..........................102 6. 3 システムアーキテクチャ......................103 6. 4 モジュール構成..........................105 6. 5 UI画面の例...........................107 6. 6 ブラウザUI画面の例.......................108 6. 7 ライフログ二次使用のイメージ図..................109 6. 8 二次使用のパターン........................110 6. 9 リンケージ推論..........................112 6.10 曖昧化,抽象化の考え方......................113 6.11 位置情報の曖昧化.........................114 6.12 サービス合成における匿名度確保のイメージ図............116 6.13 サービス合成における匿名度確保の概念...............117
表目次
2. 1 関連研究.............................27 4. 1 あるグループのプライバシ情報...................54 4. 2 紐付けマトリックス........................69 4. 3 背景情報マトリックス.......................76 4. 4 LとSの関係...........................78 5. 1 Mike の各属性の共起度......................84 5. 2 提案手法実用に向けての検討項目..................85 5. 3 提案手法のプライバシ保護の評価・検証...............88 5. 4 シミュレーションにおける残課題..................90 5. 5 コミュニティ状況考察結果におけるプライバシ保護の評価・検証....91 5. 6 トレードオフにおける評価.....................97 5. 7 シミュレーションの結論......................99 6. 1 アーキテクチャの対応......................105 6. 2 セマンティックメタ属性の例...................117
第 1 章 は じ め に
6
第1章 はじめに
1.1 本研究の背景
スマートフォンやセンサネットワーク(NW),ソーシャルNWのような多種多様 な端末やNWの遍在化によりビッグデータ時代の到来とも言われ,あらゆるモノやコ ンピュータがネットワークにつながるユビキタスネットワーキング環境を背景に,環 境適応型サービスが本格化しつつある.いわゆるユビキタスサービスであり,最近で は環境の他にあらゆる生活記録をも加えて分析し,趣味・嗜好にマッチした個人向け サービスという意味でライフログ活用サービスとも言われる[72].実空間の情報がイ ンターネットの仮想空間の情報やサービスと連携あるいは融合し,いつでもどこでも 生活において必要となるコンテンツやサービスを適切なタイミングで,さまざまなデ バイスを通じて,それぞれのユーザに合わせた形で提供される.あたかも周りにサー ビスが偏在するかのように,「いつでも,どこでも,誰/何とでも」その時々の状況 や個人のニーズにマッチしたサービスが実現される.図1.1はそのイメージである.
これらの個人向けサービス1 を受けるために,ユーザはサービス提供者2 に何らか の形で個人に関する情報を提供する必要があり,年齢や性別のような属性情報を入力 したり,カテゴリ分けされたキーワードを選択したり,商品を購入したりすることで プロバイダに個人に関する情報を開示している.
今後ユビキタス環境が整うにつれて,年齢,性別,住所のような静的な属性だけで なく,現在地のような動的な属性,体温・心拍数のような生体的な属性,行動履歴・
購入履歴のような生活記録的な属性,気温・湿度のような環境的な属性など,いわゆ るライフログと言われる様々な生活情報をも含めた,個人を取り巻く情報3 がますま す収集され,蓄積され,利用されるようになっていくと考えられる.
ユビキタス環境は,いつでも,どこでもコンピュータという偏在性(Ubiquity)と,
その存在が意識されないという不可視性(Invisibility)が特徴であるが,裏を返せ ば多くのセキュリティ課題が存在し,これらにいかに適切に対処していくかがパーソ ナルサービス実現のキーである.ユーザの嗜好や環境に適応した多くのパーソナルサ ービスが普及し,利用されることはすなわち多くのパーソナル情報がプロバイダに開
1 以降,個人に関するあらゆる情報を活用したサービスを広く“パーソナルサービス”
と呼ぶが文脈によって“ユビキタスサービス”などと呼ぶこともある.
2 以降,“プロバイダ”と呼ぶが文脈によって“サービス事業者”などと呼ぶこともある.
3 以降,住所・氏名など個人識別性を有する“個人情報”も含め総称して“パーソナル情 報”と呼ぶが,文脈によって“プライバシ情報”などと呼ぶこともある.
第 1 章 は じ め に
7
示されることを意味し,ユーザの知らぬ間にどんどん収集・蓄積され,意図しない用 途への流用,漏えいなどの危険性も増え,プライバシ上の懸念が生じる.パーソナル 情報を安全かつ便利に利用できる仕組みについて,プロバイダ側の要求だけでなく,
特にユーザ側からのプライバシ保護に対する要求を考慮した情報開示の機構は不可欠 である[19].
図1.1 パーソナルサービスのイメージおよび現状と課題
提供するパーソナル情報の機密レベルによって二つのサービスタイプが考えられる [27,56].一つは,盗聴,漏洩などによりユーザが深刻な危害を受ける可能性があるク レジットカード番号や資産情報,住所・氏名など機密性の高いパーソナル情報を扱う サービス,もう一つは,攻撃によって深刻な危害が及ぶことはないができることなら 知られたくない嗜好や行動履歴,年齢,職業など機密性が中程度以下のパーソナル情 報を扱うサービスである.
前者は,オンラインショッピング,会員サービスなどユーザとプロバイダ間の高い 信頼関係に基づいた永続的なサービスであり,提供されるパーソナル情報は個人情報 保護法[71]によって原則保護される.後者はいわゆるユビキタスサービスであり,そ の場かぎりの揮発的なサービスとも言え,位置情報サービスや行動ターゲティング広
第 1 章 は じ め に
8
告など最近注目されているライフログ活用サービスはこれに相当する.ユーザの趣 味・嗜好や各種センサから集まるリアルタイムの生活そのものの行動データである「ラ イフログ」を収集し,その内容を解析することで各ユーザにマッチした適切な情報を 提供するサービスである.本研究は,この後者のサービスタイプを対象とする.
パーソナルサービスのなかでライフログ活用サービスが注目される背景には,単に ネットワーク機器や端末・センサの普及だけでなく,それらの高性能化や高機能化な どにともなって,さまざまなデータの記憶・蓄積の技術進歩があり,いまや「情報革 命」の次のステップとなる「生活革命」をもたらすものと言われている.しかし,今 後発展が期待される分野である一方,個人情報保護やプライバシ保護の面で利用者に 不安感や不快感を与える懸念が存在し,新規サービスの展開が円滑に進まない可能性 が指摘されている[73].本研究は,こうした問題意識に基づく.図1.1にパーソナル サービスのイメージおよび現状と課題を示す.
個人情報保護法によって保護されるパーソナル情報の対象は,特定の個人を識別で きる情報であり,たとえば最も主要なライフログ活用サービスであるレコメンドサー ビスや行動ターゲティング広告において扱われるパーソナル情報には,個人識別性を 有する氏名・住所などは含まれず,閲覧履歴,購買履歴,あるいは携帯やカーナビで 取得された位置情報など,個人識別性を有しないがゆえに,個人情報保護法の対象に ならない.しかし,その第2条第1項において,「個人情報」とは,「生存する個人に 関する情報であって,当該情報に含まれる氏名,生年月日その他の記述等により特定 の個人を識別することができるもの(他の情報と容易に照合することができ,それに より特定の個人を識別することができることとなるものを含む.)」とあり,ライフロ グを利活用するとき,この点をいかに配慮するかがキーになる.例えば,通信事業者 の契約者固有のIDは,ブラウザや端末を特定する情報ではあるが,個人を特定しな い情報であり,単独で利用する場合,個人情報保護法の対象にはならないが,事業者 のデータベースにおいて,そのIDと氏名・住所などの契約者情報とは対応でき,そ の点において契約者固有のIDは「個人情報」並みに扱う必要がある.
また個人識別性を持たない情報であっても,組み合わせ方によって個人の特定につ ながる場合もあり,そういう面からもライフログの利用には万全の配慮が必要となる.
ここでプライバシとは「他人の干渉を許さない,各個人の私生活上の自由」(広辞苑) であり,プライバシ保護とは,パーソナル情報の意図しない流出によってその個人が 識別されたり,攻撃を受けたり,第三者に悪用されたりするのを避けること,つまり システムで扱うパーソナル情報によって実本人が特定されない状況を作りだすことで ある,と定義する.
第 1 章 は じ め に
9
情報の組み合わせによる個人特定を防ぐ技術として,匿名化技術はこの役割を果た す中心的な技術であり,本研究においても,同じ属性を持つ人数を一定以上に制御す ることで匿名性を担保する集合匿名性をベースにする.匿名化には,単に氏名を削除 したり,年齢は20代とあいまいにしたりすることで個人を特定できないようにする
「単純匿名化」と,束ねたり類型化することによって個人を特定できないように安全 性を担保する「統合匿名化」があるが,集合匿名性は後者に属する[67].データベー ス(DB)のタプルを対象にした概念であるK-匿名性[5]もこの範疇と考えるが.本 研究における集合匿名性とは区別する.
本研究が対象とする代表的なサービスは,既存の組織や団体など全体が把握されて いるある一定のユーザ集合1 のユーザに対するユビキタスサービスであり,例えば,
学生など大学研究室の人たち,入院患者など病院の人たちなどに対する,個人向け情 報推薦サービスや行動支援サービスである.
1.2 本研究の目的と内容
1.2.1 本研究の狙いと課題
ネットワーク機器や携帯端末の高機能化,普及に伴い,個人の生活の履歴であるラ イフログを利活用したビジネスが注目され,今後発展が期待されるなかで,個人情報 保護やプライバシ保護の点で利用者に不安感や不快感が存在し,新規サービスの展開 が円滑に進まない可能性が指摘されていることは,前節で述べた.
パーソナルサービスの提供の際,たとえ個人識別性のないパーソナル情報を使う場 合であっても,その組み合わせ方によって「個人情報」相当になりうるので十分留意 する必要がある旨も述べた.しかし,何をもって「個人情報」相当と判断すればいい のか,制度的に明確な指針や基準は何もなく極めて曖昧な状況である.2010年5 月,そのように懸念される状況において,法的問題点をも含め主に個人情報保護とプ ライバシ保護の観点から検討が行われ,行政(総務省)より,利用者の不安感等を緩 和し,安心なインターネット利用環境を確保する観点から,プロバイダに一定の配慮 を求める下記のような配慮原則が策定され,発表された[72].
(1)広報,普及・啓発活動の推進 (2)透明性の確保
(3)利用者関与の機会の確保
1 企業内部署など静的な集合とホテル宿泊客のような動的な集合がある.以降“コミ ュニティ”と呼ぶ.
第 1 章 は じ め に
10 (4)適正な手段による取得の確保 (5)適切な安全管理の確保
(6)苦情・質問への対応体制の確保
この趣旨は,ライフログ活用サービスは揺籃期にあり,プロバイダに過度の負担を 課し,当該サービスの発展を妨げることは避けるべきであることから,規制色の強い 行政等によるガイドライン化を避けての,緩やかな配慮原則の策定である.ライフロ グ活用サービスの態様が多岐に渡ることや,今後の発展形態が想定し難いことも,緩 やかな配慮原則の策定にとどまった要因である.
この配慮原則を遵守しつつビジネスを展開するなかで,各業態における業態固有の 事情を加味した自主的なガイドラインの策定を促しつつ制度的な次のステップを模索 していく方向のハズであった.しかし,ここ2年以上,ライフログ活用サービスは実 用に向けて期は熟してきているにも関わらず,次のスッテプに向けての制度的な枠組 みには何ら手が打たれていない状況である.
つまり,各プロバイダは相変わらずこの配慮原則を踏まえ,業態固有の事情を加味 した自主的なガイドライン等を策定しつつサービスを推進することが継続的に求めら れている.少なくとも,自主的なガイドライン策定につながる,何らかの具体的な手 段を講じていく必要がある.最終的には,コストとの兼ね合いになろうが,何らかの 具体的なヒントや,考え方,手法が各方面から提案されれば業界にとって大歓迎であ ることには間違いない.
本研究の意図は,このような観点,つまり“配慮原則に沿うプライバシ保護”の実 践を支援するという立場で,ユーザとプロバイダ双方に関わる何らかの手法によるプ ライバシ保護を提案することにより,プロバイダの配慮原則遵守に資することである.
同時に,本研究のアイデアを実システムに組み込む実践過程においてもたらされる セキュリティレベルの向上により,サイバーテロによるプライバシ侵害の防御への貢 献である.いわゆるDOS攻撃,踏み台攻撃,不正アクセス,なりすまし,盗聴・改 ざん,ウイルス攻撃などのサイバーテロの脅威のなかで,本人の意図しない間に本人 情報が攻撃されて,第三者によって悪用されることがないように,厳重なプライバシ の保護である.
以上述べたように,プライバシ課題への対処が本研究の主たる狙いではあるが,す べての人のパーソナル情報を収集し,解析し,利活用することによる新たなビジネス や市場の創造に成功するためには,そのようなプライバシ課題を解決した上で,ユー ザとプロバイダ相互に Win-Win の好関係を構築していく必要がある.この点について は,パーソナルサービスは,ややもすると,“小さな親切,大きなお世話”と揶揄さ れるが,そうならないように,あらゆる手を使ってユーザの満足度を向上させていく
第 1 章 は じ め に
11 という視点での貢献を考える.
すなわち,以下の課題を本研究における具体解決課題として取り組むことで,上述 ハイレベルな課題の解決に資する.
課題:プロバイダにユーザ背景情報がある場合,如何に対処するかということ.
併せて,コミュニティ状況をも考慮する.
匿名化手法によって,意図しないパーソナル情報がプロバイダ側に漏れることを防 ぎ安心感を与えることを狙う.つまり,ユーザの希望する匿名度に従ってプロバイダ に情報を提示する際,万一プロバイダがユーザに関する何らかの背景情報を持ってい るとき,実質匿名度が下がる可能性があるので,事前にユーザ背景情報をチェックす ることで,開示する情報の見直しをユーザに告げ安心させ,何らかの手を打つことで 意図しない余計な情報開示を避ける.
そのとき,匿名度に影響するコミュニティの人数などを考慮する.すなわち,コミ ュニティ人数の変動を事前に調べ匿名度が上がり開示情報を増やせることが予想でき る場合は,可能な限り開示情報を増やしてクオリティの高いサービスを受けられるよ うにすることを考える.
1.2.2 本研究の内容
プロバイダにパーソナル情報を提供してサービを受ける際,提供する情報の種類や 粒度は受けるサービスによって異なるが,一般的にプロバイダに提供する情報の量が 多ければ多いほど,また詳細であればあるほど,匿名度は下がるが受けるサービスの 品質は高まる.例えば“食”に関するグルメ情報の推薦を受ける場合,提供するパー ソナル情報(和/洋食?好みの料理?などの嗜好情報のほかに場所,値段,年齢,性別 などの情報)が多いほど的確なサービスが受けられる.あるいは,天気予報サービス を受ける際,詳細な位置情報であればあるほどピンポイント的な予報サービスが受け られる.しかし,プライバシ保護のためには提供する嗜好情報や位置情報はできるだ け少なくし粒度を粗くし,曖昧にしたい.つまりプライバシ保護(プライバシ秘匿レ ベル)とサービス品質の間でトレードオフの関係が発生する.
本研究ではここに焦点を当て,前述したプライバシ秘匿レベルとサービスレベルと のトレードオフ問題を解決しながら,群集の中に個人を隠す保護手法,つまり集合匿 名性の確保によりプライバシを保護する手法について述べる.トレードオフにおいて,
サービスに満足できない場合,ユーザは匿名性を犠牲にすることを承知の上で開示情 報を増やしサービス品質の向上を図ることができるが,クリティカルライン近づいた 状況では匿名性を優先させるか開示情報量を増やしサービス性を上げるかの2者択一
第 1 章 は じ め に
12 の選択に迫られる.
このとき不本意にも開示情報を増やし過ぎてしまったり,あるいはサービスには十 分満足できたという理由で開示情報量を絞りたい,あるいは開示済み情報を引き上げ たいという要望は意味をなさない.なぜなら一旦開示された情報のキャンセルや回収 はその性格上極めて困難であるからである.そういう意味ではこのトレードオフ制御 は一方通行且つ行止まりのある制御となる.この様子を図1.2に示すが,この図にお いて,(1)→(2)のように一度下げた匿名度を上げることはできない.
これに対する本研究の提案手法は,
ユーザ毎に設定可能な匿名化ポリシ ー(以下希望匿名度と呼ぶ)を導入 し,各設定における開示情報をデー タベース(DB)化されたパーソナ ル情報より導出し,明示的にユーザ に提示することによって,段階的に 開示情報を調整し,受けるサービス 品質や満足度との適切なバランスを 取る.その際,意図しない無用な情 報開示を避けるため匿名度に影響を 及ぼすプロバイダのユーザ背景情報 を勘案しつつ制御する.つまり,プ ロバイダにユーザについての背景情 報があり,実質的に希望匿名度を守 れない場合,そのプロバイダからは,
サービスを控える,などである. 図1.2一方通行かつ行止まりトレードオフ1 併せて,コミュニティ状況をも考
慮し,コミュニティ人数などに変動があり,匿名度が変化し希望匿名度を守れない場 合,事前にその変化を予側することで予めユーザにその旨を伝え承諾を得る.開示情 報が増やせ,サービス向上が図れるときは,オプトイン(事前承諾)による開示が可 能となる.
以上,本研究の目的は,プロバイダのユーザ背景情報の有無の状況や刻々変化する コミュニティ状況を各ユーザの匿名度に反映させ,開示情報をコントロールすること により,意図しない情報流出を防ぎ相応のサービス品質取得を可能とするパーソナル
1 トレードオフラインは,両者(匿名度とサービス性)が適度に満足されるラインあり,
そういう意味で妥協ラインと考えるのが実際的である.第3章,図3.11参照
第 1 章 は じ め に
13
情報開示制御手法を提案することである.かくして,前述したようにプロバイダの“配 慮原則に沿うプライバシ保護”の実践を支援し,プロバイダの配慮原則の遵守に資す る.ひいてはユーザ満足度の高いプロバイダのサービス提供活動の活性化に貢献する.
1.3 本論文の構成
本論文は次章以降,全7章で構成される.以下に,各章の概要を述べる.
第2章では,本研究と方向性が類似しており,機密性がそう高くないパーソナル情 報を対象にしたプライバシ保護に関する関連研究のなかで,代表的な 14件に注目し,
下記6点の視点にてサーベイした結果を整理し,本研究の研究ポイントとも関連づけ ながら,各研究の特徴やコメントを含め,述べる.
(1)パーソナル情報の保護場所
(2)パーソナル情報の開示条件
(3)プライバシ保護手法
(4)プロバイダによる特定個人の識別性
(5)トレードオフ
(6)他プロバイダによるパーソナル情報の二次使用の観点
なお,経済産業省主管,産官学で推進され平成22年3月に終了した情報大航海プ ロジェクトのマイライフ・アシストサービスや,Webサイトがパーソナル情報を収 集するときの基準を規定しているP3P(Platform for Privacy Preferences)につ いても含める.
第3章では,パーソナルサービスの現状と課題を整理するなかで,配慮原則やトレ ードオフの位置づけを明確にし,本研究が前提とするフレームワークについて述べ,
本研究における解決課題を分析し明らかにする.
匿名度とサービス性のトレードオフの本質は,プライバシと信用・信頼間に発生す るトレードオフにあり,信用・信頼度や匿名度・プライバシの定量的測定の考え方が ベースになっていることを述べ,フレームワークは以降の議論の前提となるもので,
ユーザ,サーバ,プロバイダの3者構成とするが,特にサーバの役割は本研究の要で あり,そのセキュリティ確保に向けた考え方についても重点的に述べる.
次に,処理の流れなどについて述べ,最後に,課題:ユーザ背景情報の扱い方,併 せて,コミュニティ状況への対応,について述べる.
第 1 章 は じ め に
14
第4章では,課題解決に向けて綿密な匿名度制御に基づく情報開示制御について述 べ,課題解決への基本的な考え方,および提案手法について述べる.
提案手法は,プロバイダに希望匿名度で許容される属性を開示する前に,ユーザ背 景情報の有無を探索し,その結果によってあとに続く処理を変更して意図しない情報 開示を防ぐ方法である.ユーザ背景情報により希望匿名度が損なわれる場合があり,
事前にユーザ背景情報を探索し,開示情報と合わせても希望匿名度を損なわないプロ バイダからのみサービスを受ける考え方であり,本研究のコアアイデアである.
併せて,コミュニティの人数変化によって匿名度が変化する場合を考察し,変化を 事前把握し,開示属性を事前調整することで受けるサービスの満足度の向上を可能に する方法をも示す.
匿名化制御については,全ユーザの情報をDB化し,エントロピーモデルによって 匿名度を管理することでユーザごとの希望匿名度に対応した開示属性を導出すること を述べ,それらをユーザ背景情報などで調整し,意図しない情報開示を防ぐ考え方を 示す.
第5章では,第4章で述べた課題解決へ向けての提案手法などの考え方について,
(1)実現性の確認.つまり何らかの手段で提案手法の実現性(実現イメージ)の 確認ができること,
(2)以下の2点の視点において問題がないことの確認ができること,
①意図しないパーソナル情報を開示する危険性がないこと
②意図に反する匿名度の犠牲がないこと
の2点より,評価および検証を行い,それらの考え方が妥当であることを述べる.(1)
の実現性の確認については,提案手法では第4章で採りあげた事例グループを机上モ デルとして使い評価検証する.また,トレードオフの観点からそれぞれの考え方の評 価を行い,それぞれ効率の良いトレードオフを行ううえで効果的であることを検証す る.コミュニティ状況考察結果に対しては,マルチエージェントシミュレータを使い 実現性等の検証を行った.
第6章では,今後の課題と今後の展開における留意点について述べる.今後の課題 として,今後実用に向けてシステムデザインする場合に欠かせない検討項目として,
・処理シーケンス ・アーキテクチャ ・UI画面
の3項目,本研究に直接関わる項目,内容ではないが,将来展開時において十分留意 しておくべき関連項目として,
第 1 章 は じ め に
15
・パーソナル情報の二次使用におけるプライバシ保護 ・プロバイダにおけるプライバシ保護
の2項目について述べる.
最後の第7章では,本研究をまとめる.
第 2 章 関 連 研 究
16
第2章 関連研究
2.1 緒言
プライバシ保護に関する関連研究は,いわゆる個人情報保護法の立場で機密性の高 いパーソナル情報に対しては,認証や暗号技術などを中心に,以前よりかなり見られ る.機密性がそう高くないパーソナル情報に対しても,ユビキタスサービスや,最近 ではライフログを利活用したビジネスが注目され,近年多い.それらより主だった関 連研究を14件(表2.1)選び出し,下記に示す6点の視点で調査した.
(1)パーソナル情報の保護場所
(2)パーソナル情報の開示条件
(3)プライバシ保護手法
(4)プロバイダによる特定個人の識別性
(5)サービス性と匿名度間のトレードオフ
(6)他プロバイダによるパーソナル情報の二次使用の観点
なお,経済産業省主管,産官学で推進され昨年度(平成22年3月)終了した情報 大航海プロジェクト[70]のマイライフ・アシストサービス[58]およびWebサイトが パーソナル情報を収集するときの基準を規定しているP3P(Platform for Privacy Preference)[74]も含めた.
上記6点の視点でサーベイした結果を整理しつつ,本研究の研究ポイントとも関連 づけながら各研究の特徴をコメントを含め,次節以降に述べる.
2.2 パーソナル情報の保存場所
ユーザが提供するパーソナル情報の保存場所は,発生源とも言えるユーザ端末,あ るいはビジネスのプラットフォーマとも言えるサーバの2ヶ所,考えられる.
サーバは,ユーザ端末とプロバイダ間に置かれ,プロバイダからのサービス提供に 当たり,両者を仲立ちするブローカでもあり,セキュアな機構が前提となる.そこで 各ユーザから提示されるパーソナル情報を一旦預かり,一括処理によるデータ解析や,
匿名化制御,開示制御などが行われる[4,7,58].
ユーザ端末で保存する場合,プロキシを含む場合もあり[3,57],ユーザとプロバイ ダ間でダイレクトに1対1で,各パーソナル情報の使用目的や使用期限,希望匿名度 などのポリシーが照合され開示制御が行われる.
第 2 章 関 連 研 究
17
ユーザの嗜好,行動履歴,性別,年齢といったような,攻撃によって深刻な危害を 受けることはないが,できれば知られたくない,機密性が中程度のパーソナル情報は,
センサネットワークなどを通じて取得される位置情報,温度なども含み,ユビキタス 環境では膨大になる.プロバイダも,この類のパーソナル情報を多く利用してパーソ ナルサービスを提供していくものと考えられる.よって,これらの利用可否判断をQ
&A方式による1対1の交渉では,プロバイダのパーソナル情報に対する利便性の低 下を招くだけでなく,移動中のユーザに対しても環境変化に応じたサービスをリアル タイムに提供することを困難にする.
したがって,パーソナルサービスの実現に向けては,ユーザの行動に追従してサー ビスを提供でき,リアルタイム性の確保とプライバシ保護を同時に満足させる仕組み,
すなわち,膨大なパーソナル情報に対する利便性と匿名性の両方を適度なバランスで 満たす技術の実現が必須となる.また,さまざまなプロバイダのサービスを統合した 複合的なサービスが発生することを考慮する必要があり,一度登録したパーソナル情 報を各プロバイダが共有できれば,ユーザもプロバイダも開示処理の手間が省け利便 性が上がる.
サーバでパーソナル情報を一旦預かり,そこで匿名化を含む開示制御など一括処理 をするサーバ方式は,そのような要望を満たす一方式であり,今後主流になると思わ れる.本研究においてもこの考え方をベースにするが,実運用の際は,前述したよう に保持するパーソナル情報の安全性確保のため,セキュアな機構が必須となりコスト パフォーマンスが課題となる.サービスシステムが小規模な場合は,ユーザ端末で保 持するが,開示交渉などはサーバで一括して行うような折衷サーバ方式も有りうる.
(a)ユーザ端末が保存場所[57] (b)サーバが保存場所[28]
図 2.1 代表的なフレームワークにおけるパーソナル情報の保存場所
第 2 章 関 連 研 究
18
図2.1は,代表的なフレームワークにおけるパーソナル情報の保存場所を示す.(a) は,ユーザ端末が保存場所の例[57]で,左側の端末側に保存され,(b)においては,下 方のデバイスより位置情報などが中央のサーバ(Loxy)に登録され保存される例[28]
を示す.
なお,14件の関連研究のサーベイの結果,パーソナル情報の保存場所としては,
7件が「ユーザ端末」,7件が「サーバ」であった.
2.3 パーソナル情報開示の条件
どのような場合にパーソナル情報の開示を許すかという情報開示の条件は,
(1)ユーザとプロバイダ間で開示ポリシーを照合し条件が一致した場合
(2)セキュリティの評価値を定義しその値がある閾値を超えた場合
(3)双方で予め定義した開示制御レベルを参照するなどその他の場合 と,大きく3つの場合に分類できる.
(1)のポリシーは,双方がP3Pで定義されているスキーマを用いて,情報の使 用方法(情報種別,使用目的,使用者,使用期間など)を定め,これらが一致するか,
あるいはプロバイダの条件がユーザの条件を満足している場合のみ開示する.一致し ない場合,ユーザプレファレンスである開示嗜好をユーザコンテキストとして参照し たり [53],UI1 を使ってユーザに不一致の内容を知らせ,“どうしますか.開示 Yes/No?”などと判断を仰ぐケースもある[53,56].
(2)のセキュリティ評価値は,匿名度[5,6,27,28]や特定確率2 [55]などであり,
ユーザやシステムがサービスのセキュリティ度合いを勘案し設定する.地図上のある 領域に滞在する対象となるユーザ数を,アノニミティセットと呼ぶ匿名度として扱う 位置情報サービスシステムに関する研究もある[28].
本研究においては,集合匿名性をプライバシ保護を定量的に表すセキュリティ評価 値として使い,これをクリアする属性を開示可能とする考え方とする.
(3)のその他場合は,ユーザの開示制御レベルの指示などによる方式である [7,56,58].つまり,各ユーザ(またはシステム)は各開示レベル(段階)ごとに開示 してもよいパーソナル情報を予め設定しておき,プロバイダとのやりとりのなかで享 受するサービス内容(レベル)と開示するパーソナル情報を確認し,承諾後開示する.
1 ユーザインタフェース,すなわちユーザ端末の画面.
2 該個人が特定される確率.
第 2 章 関 連 研 究
19
図2.2は,プライバシ制御レベルの考え方の一例であり,(a)は開示の段階数の例,
(b)はユーザの開示承諾を得るイメージを表す[56].
段階数の定義によって,ユーザはプロバイダに対して段階的に自身のパーソナル情 報を開示していくことが可能になるが,いくつ用意するかは実装される各サービスに よって異なる.サービスによっては五段階必要かもしれないし,二段階で十分かもし れない.例えば,図2(a)のサービスA,Bは段階を二段階に定義し,サービスC は 四段階に定義している. プライバシ制御状態の段階は低ければ低いほど揮発的サービ スに近く,段階を上げるに連れて永続的サービスに近づいていく.また,各段階で開 示できるパーソナル情報を,どの程度まで開示することを第一段階, 第二段階とする のかは開発されるサービスによって異なり, サービスによって定義されるべきもので ある.実際の開示に当たっては, ユーザが開示されている定義情報を確認することで,
どの段階にどのパーソナル情報が割り当てられているか理解し, 自身で情報の開示の 制御を行うことができるようにすべきであり, こうすることでユーザが意図しない間 にサービスにパーソナル情報が提供されるという事態を避けることができる.図2.
2(b)は,そのイメージを示す.開示レベルの呼称もサービス内容によって適宜定 められ,楽観的,悲観的,オープン型,クローズ型などと呼ぶ研究もある[7].
なお,14件の関連研究のサーベイの結果,パーソナル情報開示の条件としては,
「ポリシー照合の結果が一致した場合」が6件,「セキュリティの評価値がある閾値 を超えた場合」が5件,「その他」が3件であった.ポリシー照合による開示が最も 多く,次がセキュリティ評価値であった.
(a)プライバシ制御レベル (b)ユーザによるプライバシ制御
図 2.2 プライバシ制御レベル[56]
第 2 章 関 連 研 究
20
2.4 プライバシ保護手法
前節で述べたように,適切に定義された各パーソナル情報の開示条件を満たす場合 のみ開示すること自体が,実際的なプライバシ保護になっている.したがって,プラ イバシ保護手法を,意図しないパーソナル情報の開示を避けるという手法と捉えれば,
ポリシーを照合すること,匿名度を閾値基準とすること,開示段階を設けること,そ れぞれがプライバシ保護手法であると言える.これらそれぞれにおいて,ブレークダ ウンされた,例えば,照合の手法や匿名度計算の手法などに踏み込むことまではここ で議論しないが,これらのいずれもが,ユーザ端末より“外”のプロバイダに開示す ることを前提としており,しかもそれぞれにおいて開示の最終段階で原則ユーザの承 諾を得るという,プライバシ保護の原点であるオプトイン(事前承諾)の考え方をし ている.
匿名度の確保はK-匿名性を含む集合匿名性の他,情報粒度の粗化,精度の曖昧化 などの手法が採られ[28,55],閾値を基準に開示可能情報が決まる. 開示レベル制御 では,各レベルごとに開示可能情報が定義され,その範囲で開示する[7,56,58]が,一 定の条件さえ満たせば,その都度ユーザの承諾を得ないで開示し得る場合もあり,意 図しない開示につながる危険性がある.その場合,危険かどうかを察知でき“No”
や“開示拒否”を指示できるユーザ主導の仕組みが必須であるが明示的に言及されて いない.
ユーザ端末外に開示しないという特徴的な手法もある.これは,プロバイダよりモ バイルエージェントやアプリケーションルールを端末に移動させ,端末内でパーソナ ル情報にアクセスすることによりエージェントやアプリケーションルールが“サービ スの振舞い”や“コンテンツ”を生成し,そのまま端末でサービスが実行されたり,
サーバにアップロードされた後,サービスの具体化がなされる形態をとる[54,57].図 2.3はこれらの動作概要を示したものである.ただし,プロバイダ機能の一部を端末 に移動させる考え方なので,この方式によってなされるサービスには限界があるのは やむを得ない.
なお,14件の関連研究のサーベイの結果,プライバシ保護手法として,「ポリシ ーによるユーザ承諾内で開示」が4件,「一定の匿名度を確保」が5件,「開示レベ ルで制御」が3件,「端末外にださない」が2件であった.なお,本研究におけるプ ライバシ保護手法は,本研究独自の考え方に基づく一定匿名度確保,集合匿名性をベ ースにする.つまり,開示属性とユーザの持つユーザ背景情報と合わせても同じ属性 を持つ人数をS人1 以上に制御することで匿名性を担保する考え方とする.
1 詳細は,第3章3.3.3項,第4章4.2.2項を参照.
第 2 章 関 連 研 究
21
(a)モバイルエージェント方式[57] (b)アプリケーションルール[54]
図 2.3 パーソナル情報を端末外に出さない方式の例
2.5 プロバイダによる特定個人の識別性
プライバシ問題とは,例えば,ユーザの住所や電話番号などが,意図しない第3者 に知られてしまうように,ユーザの知られたくないパーソナル情報が意図しない他者 に知られてしまうことである.これを防ぐには,プロバイダ等に提供したパーソナル 情報によってある個人が特定されることがないようにすることであり,本研究におけ るプライバシ保護の定義もそのように考え,本研究の意図もそこにある.つまりプラ イバシ保護手法として集合匿名性を適用し,プロバイダにおいて,提供されたパーソ ナル情報により特定個人が識別されないことの実現である.プロバイダがすでに有し ているユーザ背景情報と合わせても集合匿名性が損なわれないことが理想である.
サーベイした関連研究のなかで,システム的に氏名などの取り扱いが可能な場合は 当然個人特定は可能となる[3,7,53,74].これらの研究においては,システムの仕組み として単に氏名などの扱いが可能になるだけであって,氏名などを使ったアプリケー ションを積極的に考慮したり推進しているわけではないが,個人情報保護法に則って 保持する情報のセキュリティには十分留意することは義務である.
システム的に氏名などの扱いが不可能であり,断片的な個別情報のみでは個人の特
第 2 章 関 連 研 究
22
定は不可能であっても,それらの組み合わせがある個人につながるというケースは,
今後あらゆるパーソナル情報が流通することを考えると,十分有りうる.匿名性を十 分確保するなどの配慮が必要である.K-匿名性や本研究の考え方としている集合匿名 性は有力な手法ではあるが,如何なる場合でも安全であるとは必ずしも言えず,その 技術的な特質,欠点などをよく知った上で適用していく必要がある.
アタッカーがプロバイダの内部事情に通じている場合,K-匿名性手法は必ずしも 万全ではないという研究がある.プロバイダより提供されたサービスをどのユーザが 利用しているかをモニターすることにより個人を識別する研究(Shadow attack)であ る[6].つまり,匿名化された属性を提供してサービスを受ける場合,提供時K-匿名 性が保たれている場合でもプロバイダより提供されたサービスをどのユーザが利用し ているかを監視することで,匿名化された本人を特定する研究である.図2.4にその イメージを示す.
図2.4は,スポーツジムにおいてユーザが,位置や使用用具,心拍などの個人デー タをCTA(安全な匿名化サーバ)を介してVT1 に送り,VTが,次のプログラム2 をユーザに返すというモデルである.アタッカーは,プロバイダの関連システムにつ いての知識を有しており,要求に対するレスポンスに含まれる情報を知ることができ,
ユーザの振る舞いを監視することで個人を特定できる.これを防ぐには,レスポンス に含まれる振る舞いを複数にし,ユーザはその中から選ぶようにすれば,アタッカー の攻撃は,確率的にしか,発生しないことが報告されている.
図 2.4 Shadow attack[6]
なお,14件の関連研究のサーベイの結果,そのような特定個人の識別が「可能」
なのが5件,「不可能」なのが9件であった.
1 ジムのバーチャルトレーナ.
2 どこでどの用具を使って何をする,など.
第 2 章 関 連 研 究
23
2.6 サービス性と匿名度間のトレードオフ
冒頭1 にて述べたように,サービス性と匿名度の間に存在するトレードオフの解決 は,本研究の目指すところの一つである.
トレードオフを解決するためには,開示したパーソナル情報に対するサービス内容 をチェックし,それが満足できるか否かを判断するプロセスを経る必要があり,必然 的にユーザの介入が入ってくるのはやむをえない.これを自動化するためには,開示 する属性ごとにサービス品質に及ぼす影響を,満足するか否かも含め,網羅的に調べ 上げDB化し,トレードオフを解決するアルゴリズムが必要となる.満足状況は各ユ ーザごとに,また時間が経過すれば異なることもあって,網羅的なDB化には無理が あり,できたとしてもサービス範囲は限定される.
サービス満足度などを勘案した機械学習の結果をふまえ,特定確率2 に見合う開示 属性の種類や粒度を自動探索する研究[55]があるが,そこではプライバシ保護とサー ビス品質のトレードオフを,以下のように解釈している.
・
特定確率がユーザの指定よりも高い情報に制御された場合,ユーザはその情 報の開示を受け入れない.・
特定確率がユーザの指定よりも低い情報に制御された場合,ユーザは最低限 満足する.・
特定確率がユーザの指定よりも低い情報に制御された場合,ユーザはサービ ス品質が高い情報に制御するほうがより満足する.・
サービス品質が同程度の場合,特定確率が低い開示情報に制御するほうが ユーザは満足する.ユーザが指定した特定確率を満たす開示情報の組み合わせが複数存在する場合,そ の中からトレードオフを解決している情報に制御する必要がある.しかし,どのパー ソナル情報を開示することでどの程度ユーザが満足できるサービスを受けることがで きるかを事前に知ることはできない.したがって,ユーザの要求するプライバシを保 護しつつ,パーソナル情報の種類や粒度によるサービス品質への影響度を調べ,トレ ードオフを解決するパーソナル情報に制御するアルゴリズムが必要である.以上のよ うな要求のもと,ユーザ端末内でパーソナル情報の管理やユーザプロファイルの生成 などを行うユーザエージェントを導入し,事前にユーザの要求した特定確率に適した 範囲内でプライバシとサービス品質のトレードオフを解決するパーソナル情報の種類 やその粒度の組み合わせを探索し,開示するパーソナル情報を制御する.制御された
1 第1章「1.2 本研究の目的と内容」.
2 個人が特定される確率.
