专利名称:信息共享系统和信息共享方法
技术领域:
本发明涉及一种将收集信息用于进行数据挖掘(data mining)等同时保持包含在收集信息中的私人信息的私密性的系统。
背景技术:
近年来,计算机无处不在。帮助日常生活的无所不在的计算和连接到处的计算机的无所不在的网络正在受到广泛地研究(“Toward Realization of a Ubiquitous Network”,Study Group onFuture Prospects of Ubiquitous Network Technology in Ministry ofGeneral Affairs,<URLhttp//www.soumu.go.jp/s-news/2002/pdf/020611_4_1.pdf>)具有IrDA的重量计(scale)在市场上可以买到。当用户称自己的重量时,该重量计自动地通过网络将测量出的重量和体脂肪百分比发送给个人计算机。家庭护理系统也正在开发之中,其中当用户上卫生间时,体重、血压、脉搏和血糖水平被测量出并通过网络发送给健康控制中心等。
随着加速度传感器的尺寸不断减小,在市场上可以买到高性能步程计(pedmeter)。现有一些市售的步程计,它们可以使得个人计算机能够通过USB(通用串行总线)来管理测量数据。
铁路公司2002年以大量广告推出了一种服务,它使用采用非接触IC卡的通行证和预付卡的组合。在结合了通行证和非接触IC卡的这个服务中,可以规定每个非接触IC卡通行证的拥有者。服务供应商即铁路公司可以获取每个非接触IC卡通行证的拥有者的运动和其动作的时间,但是其应用范围只限于那个公司的铁路网络。
为了解决恶性犯罪增加的问题,在银行ATM机、普通商店(convenience store)、娱乐中心和电梯门厅或多层公寓的电梯厢中安装有许多安全/监视摄像机。这些监视摄像机全天24小时以1至10秒的间隔持续地感测出图像。在出现实际犯罪的情况中,所记录的这些图像将被提供给警察等。
由安装用来观察河流的水位或降雨的监视摄像机感测到的图像通过有线TV或网络向公众公开。有线TV是只用于用户的专用设施,因此是收费的。但是,有一些图像可以以10分钟的间隔实时地观看而不用付费(Keihin Office of River的主页,<URLhttp//www.keihin.ktr.mlit.go.jp/index_top.html>)。
也就是说,为了各种目的例如防止犯罪和健康控制,各种感测装置例如照相机和生命或活体传感器安装在公共场所例如银行、车站、普通商店和娱乐中心或者私人场所例如家,或者由个人配戴。
另一方面,医疗机构想要不仅管理糖尿病人的血糖水平而且还想要收集和挖掘大量有关“生活方式”疾病的储量的数据并且利用该数据来进行医疗和健康指导。所有病人只想让自己和医生来浏览他们的数据。即使在病人知道该数据对于预防医学有用时,他们也不想其名字被显示出。如果该数据将用于预防医学研究的话,这些病人希望应该完全删除与该病人的私密性相关的信息,并且只应该公开研究所需要的摘要信息,例如“女,年龄35,身高163cm,体重48kg,血压116-72,...”。
但是,当前保持个人信息秘密的这种工作主要由使用该数据进行研究的医生来做。只有少数医生知道有关信息保护例如防火墙的知识或者可以进行编程来使该信息保密。即使在医生具有这种知识或能力时,他们中的大多数也没有足够的时间来处理和管理信息。
在包括普通商店和超市在内的销售业中,需要知道每个年龄组和性别的商品购买倾向并且利用该信息来进行下一步的商品采购。目前在普通商店中,店员看一下顾客并且进行估计,然后输入例如“中年,男人”。如果引入采用积分卡或便携式电话的结算,则可以自动地获取该数据。
另一方面,铁路公司可以获取使用非接触IC卡通行证的乘客的流量。基于该数据,公司可以作出列车运行服务计划表或者改进站台设施。但是,每个非接触IC卡通行证用户希望即使其数据被使用的情况下其个人信息也会受到保护。
还没有被处理作为具有清楚认识的内容的包括个人信息或私人信息在内的大量信息(例如街道照相机的图像、可用的铁路信息、个人生命数据和个人购买信息)可以被处理作为电子数据并且通过网络销售。每个人都想要保护包含个人信息的信息。另一方面,公司、铁路公司。医疗机构和销售业都想要挖掘数据并且将它们用作在工厂和设备上进行销售或投资的基础数据。在这两方之间存在利益的瓶颈问题。
如上所述,一般来说,目前不存在为了各种目的而有效使用包含个人信息的信息或与个人信息相对应的信息例如生命信息或购买信息同时保护个人信息的环境。
因此,本发明的目的在于提供一种信息共享方法和信息共享系统,从而使得第三方能够有效地使用包含个人信息的信息同时保护该个人信息。
发明内容
(1)根据本发明的第一方面,提供一种信息共享设备,它与对应于用户中的第一用户的至少一个终端通信,该设备包括一获取单元,构成用来获取包含有匿名信息项和个人信息项的第一信息项,该个人信息项对应于匿名信息项的提供消息者;一分离单元,它构成用来将个人信息项从第一信息项中分出来,从而获得匿名信息项;第一存储单元,它构成用来存储个人信息项和匿名信息项;第二存储单元,它构成用来存储分配给用户中只可以从匿名信息项和个人信息项中访问匿名信息项的第一用户组的第一访问等级,并且存储分配给用户中可以访问匿名信息项和个人信息项的第二用户组的第二访问等级;一接收单元,构成用来接收为了访问第一信息项的请求消息,该请求消息从终端发送出;第一发送单元,构成用来在预定给第一用户的访问等级等于第一访问等级时响应于请求消息从匿名信息项和个人信息项中只将匿名信息项发送给终端;第二发送单元,构成用来在第一用户的访问等级等于第二访问等级时响应于请求消息将匿名信息项和个人信息项两者发送出。
(2)根据本发明的第二方面,提供一种信息共享设备,它与对应于用户中的第一用户的至少一个终端通信,该设备包括一获取单元,它构成用来获取包含个人信息项的第二信息项;一提取单元,它构成用来从第二信息项中提取个人信息项,从而获取提取的个人信息项;一产生单元,它构成为通过删除在第二信息项中的个人信息项来产生匿名信息项;第一存储单元,它构成用来存储被提取的个人信息项和匿名信息项;第二存储单元,它构成用来存储分配给用户中只可以从匿名信息项和个人信息项中访问匿名信息项的第一用户组的第一访问等级,并且存储分配给用户中可以访问匿名信息项和个人信息项的第二用户组的第二访问等级;一接收单元,它构成用来接收为了访问第二信息项的请求消息,该请求消息从终端发送出;第一发送单元,它构成用来在预定给第一用户的访问等级等于第一访问层时响应于请求消息从匿名信息项和个人信息项中只将匿名信息项发送给终端;合成单元,它构成为使个人信息项与匿名信息项合成在一起,从而获得重新产生的第二信息项;第二发送单元,构成用来在所述第一用户的访问等级等于第二访问等级时响应于请求消息发送出重新产生的第二信息项。
图1为一方框图,示意性地显示出根据本发明第一实施方案的信息匿名系统的结构;图2显示出与在图1中所示的感测单元相对应的终端的外形;图3为一方框图,显示出在图1中所示的感测单元的示意布置;图4为一曲线图,显示出生命数据的详细实施例;图5为一图表,显示出生命数据和附加信息在存储单元中的存储的实施例;图6显示出个人信息在存储单元中的存储的实施例;图7为一程序图表,用来说明在图1中所示的信息匿名系统在记录信息中的处理操作;图8为一方框图,显示出在图1中所示的感测单元的另一个布置;图9为用来说明从所获取的信息中提取出与个人信息相对应的信息部分的方法的视图;图10为用来说明从所获取的信息中提取出与个人信息相对应的信息部分的另一种方法的视图;图11显示出包含个人信息的图像信息的详细实施例,该图像信息由感测单元获取;图12显示出包含在图1中所示的图像中的个人信息;图13显示出通过从在图11中所示的图像中删除个人信息而获得的匿名信息;图14为一程序图表,显示出在图1中所示的信息匿名系统在记录信息中的处理操作;图15为一程序图表,用来说明在图1中所示的信息匿名信息在使用信息中的处理操作;图16显示出根据由在图1中所示的信息匿名系统中提供的信息产生出的报告的实施例;图17为一方框图,示意性地显示出根据本发明第一实施方案的信息匿名系统的另一种结构;图18显示出匿名信息的一实施例;并且图19用来说明采用在第一实施方案中所述的信息匿名系统的信息使用服务的机理。
具体实施例方式
下面将参照附图对本发明的实施方案进行说明。
(第一实施方案)图1显示出根据本发明第一实施方案的信息匿名系统100的示意性结构。感测单元1是例如安装在街道上的照相机或者终端设备(图2),用于测量用户的生命数据(脉搏、GSR(皮肢电反射)、反映用户运动状态的加速度等)。当感测单元1为照相机时,该照相机所感测的图像(包括静态图像和移动图像)传送给收发信机单元4。当感测单元1为终端设备时(如图2所示),由配戴该终端设备的用户所检测到的生命数据传送给收发信机单元4。
图2所示的终端设备主要包括一主部件51和一PDA(个人数字助理)53。将要缠绕在用户的手指上的传感器模块头52与用户配戴的手表形主部件51连接。该传感器模块头52具有用来测量GSR、脉搏、加速度等的传感器。这些传感器测量出每毫秒的GSR、脉搏、加速度等。每隔例如50毫秒通过短距离无线通信(例如,蓝牙)将测量结果发送给PDA 53。
GSR为在皮肤表面上的两个点之间的电阻值。一般来说,当男人其皮肤表面出汗时,该皮肤电阻值降低。当开始紧张时,皮肤开始出汗。由于GSR表示紧张程度,所以它用在测谎器等中。
PDA 53分析从主部件51发送出的这些生命数据片段(piece)并且确定出用户的动作类型例如走路、跑步、工作、休息或吃饭。PDA53还给用户建议例如“饭后30分钟吃药”或者“您是否测量了血糖?”。
图3显示出在图2中所示的终端设备例如感测单元1的功能布置。感测单元1由生命数据测量单元11和通信单元15构成。该生命数据测量单元12包括一GSR测量单元12,它测量出GSR和皮肤温度;一测波单元13,它使得光电脉搏波动传感器等测量脉搏;以及一加速度测量单元14,它使得一双轴加速度传感器能够测量加速度。通信单元15无线地传送结果。例如,在图3中所示的生命数据测量单元11对应于包括在图2中所示的传感器模块头52的主部件51。通信单元15对应于在图2中所示的PDA 53。
图4显示出由这些测量单元测量出的生命数据例如皮肤温度、脉搏、GSR和加速度。从通信单元15将多种生命数据发送给在图1中所示的收发信机单元4作为感测信息。
图4为实际测量出的皮肤温度、脉搏、GSR和加速度的曲线图。皮肤温度、脉搏、GSR和加速度按照每次测量时间按年代顺序存储。如在图4的下部所示,从加速度确定出动作类型例如“PC工作”、“坐”、“站”、“走路”和“跑步”。
在上述说明书中,感测单元1获取生命数据作为感测信息。但是,本发明并不限于此。可以获取生命数据之外的信息。
生命数据通常用于一组生命数据和附加信息,该附加信息使得能够识别出该生命数据属于哪个人。更具体地说,可以用来识别出单个人的这种信息(例如,个人信息例如个人ID或姓名)总是与生命数据结合在一起并被管理。但是,在根据该实施方案的信息匿名系统中,用来说明个人情况的这种信息(“要保密的信息”)与生命数据分开并且被存储,从而生命数据可以用来随后进行的数据挖掘等。
个人信息包括指定了个人的信息片断,例如名字、地址、电话号码、面部照片、保险号码和个人的银行帐号以及其它必须对第三方保密的私人信息。这种个人信息可以被当作必须保密的秘密信息,即“要保密的信息”。
信息处理单元2将随后用来访问感测信息的信息加入到由感测单元1收集的信息(感测信息)中。当“要保密的信息”包含在感测信息自身中或者与之相关时,信息处理单元2将“要保密的信息”与感测信息分开以产生出要被记录在结构化可访问信息存储单元3中。该信息处理单元2包括一添加单元21、信息关联单元22和匿名信息构造单元23。
当感测单元1输出多种感测信息时,如在图4中所示一样,信息关联单元22使多种感测信息在测量时间顺序上彼此相关。
添加单元21产生出将要被添加到每个感测信息中的附加信息(即,包括感测信息类型指示器、信息获取日期/时间、感测信息加密方法、表示限制了可以访问感测信息的访问用户的访问权限等级的信息(等级信息)以及有关感测信息来源的信息)。添加单元21还产生出包括有生命数据和附加信息的记录信息。在这里所产生出的记录信息也包括“要保密的信息”和无需保密的信息。匿名信息构造单元23使“要保密的信息”(尤其是个人信息)与记录信息分开。之后,该记录信息以例如在图5中所示的格式被存储在结构化可访问信息存储单元3中。
参照图5,标识符“B1”、“B2”、...被添加到感测信息项中。这些感测信息项自身被加密并且与附加信息无关地存储在结构化可访问信息存储单元3中。
下面将对在图5中所示的记录信息进行说明。“信息类型”表示信息类型和信息的存储方式。例如,可以根据该信息类型来立即确定该信息对销售是否有用。“访问权限”根据每个记录信息项来提前限定以限制记录信息的用户(可访问的用户)。包含在这些记录信息项中的生命信息被赋予高级别的访问权限。当存在三个级别的访问权限即“低”、“中”和“高”时,最高级别“高”分配给生命数据。
“区域ID”表示信息来源存在的区域。“加密类型”表示用来给感测信息加密的加密方法。不仅可以采用公钥加密方法或私钥加密方法而且还可以采用部分加密方法、全部加密方法或者多种加密方法的组合。“加密类型”指的是加密的这种类型。在图5中,类型由数值表示。
由于生命数据是一种“要保密的信息”,所以将它加密并存储。每个人的个人信息包括姓名和提供生命数据的信息来源的地址也是“要保密的信息”。因此,该个人信息也被加密并存储在结构化可访问信息存储单元3中。该个人信息与包括生命数据和在图5中所示的附加信息的记录信息分开并且作为单独信息单独存储。因此,在图5中所示的记录信息为被匿名的信息,即匿名信息。如在图5中所示一样,存储在结构化可访问信息存储单元3中的每个生命数据与个人信息(被匿名)分开存储。因此,该生命数据是匿名信息。
图6用来说明个人信息在结构化可访问的信息存储单元3中的存储的实施例。每个个人信息具有用来识别它的ID(个人ID)。这些个人ID在图6中由“P1”、“P2”、...表示。为了简单起见图6只显示出个人ID作为个人信息。实际上,每个个人信息还包括例如姓名和地址的数据项(这些数据项在图6中没有显示出)。
只有分配给在图5中所示的每个记录信息的暂时ID使得在图6中所示的个人信息对应于(与之相关)在图5中所示的生命数据和其它附加信息。通过信息关联单元22使得暂时ID对应于个人ID(个人信息的ID(标识符))。随机将暂时ID给予这些记录信息片段。只有信息关联单元22知道暂时ID和个人ID之间的相关性。也就是说,表示暂时ID和个人ID之间的相关性的信息记录在信息关联单元22中,从而只有信息关联单元22可以读出该信息。
在图5中所示的这些记录信息片段中,信息类型、访问权限、区域ID、性别、年龄和获取日期没有被加密。这些信息片段可以被查阅甚至不用任何专门的访问权限(即使在例如可访问用户具有最低级别的访问权限时)。
在图1中所示的信息匿名信息还具有收发信机单元4、验证单元5和信息匿名单元7。
收发信机单元4接收针对从信息源侧发送出的感测信息的记录请求或者来自想要使用记录在结构化可访问信息存储单元3中的感测信息的可访问用户的访问请求。收发信机单元4还将由可访问用户请求的信息发送给在请求来源处的那个可访问用户。
验证单元5验证从可访问用户侧发送出并且由收发信机单元4接收的验证信息。匿名单元7根据由验证单元5验证的可访问用户的访问权限处理存储在结构化可访问信息存储单元3中的信息片段中的所要匿名的部分。
在信息处理单元2中的匿名信息构造单元23使“要保密的信息”与包括从信息源方面提供(发送)的信息的记录信息分开。
图7为一程序图表,用来说明信息匿名系统直到包括由感测单元1获得的信息(例如生命数据)的记录信息被匿名并且存储在结构化可访问信息存储单元3中为止的处理操作。
下面将对一实施例进行说明,其中由在图3中所示的终端设备构成的感测单元1获取生命数据并且如在图4中所示一样通过通信单元15将该生命数据发送给收发信机单元4。在该情况中,在生命数据发送之前,感测单元1首先发送包括有验证信息的验证请求。该验证请求通过收发信机单元4发送给验证单元5(步骤S1)。验证信息例如可以是信息来源的手指印或面孔的照片,在装在与图3中所示的感测单元1相对应的终端设备中的IC卡上的生命数据例如作为验证信息的虹膜,或者验证数据(例如验证号或密码)。
根据包含在验证请求中的验证信息,验证单元5执行个人验证。如果验证请求为可信的,则验证单元5将已验证的ID(通过ID)(已验证的ID的数值为“x1”)发送给信息关联单元22。同时,验证单元5将其数值与已验证的ID相同的已验证ID返回给感测单元1(步骤S3和S4)。如果验证请求是不可信的,则验证单元5不给出任何已验证ID,并且处理中断。
与验证请求同步,通过收发信机单元4将用来记录从在信息匿名系统中的感测单元1中通过收发信机单元4发送出的生命数据的记录请求和匿名请求发送给信息关联单元22(步骤S2)。信息关联单元22接收来自验证单元5的确定结果。如果确定结果是“可信的”,则信息关联单元22保持从验证单元5发送出的验证ID并且等待从感测单元1发送出的生命数据。如果验证结果是“不可信的”,则信息关联单元22删除记录请求和匿名请求而不用等待来自感测单元1的生命数据,并且处理中断。
在接收到表示“可信”的验证结果时,感测单元1再次通过通信单元15将所接收到的已验证ID和生命数据发送给收发信机单元4(步骤5)。感测单元1还可以将个人信息例如用来识别生命数据来源的个人ID与生命数据一起发送。个人信息提前登记在例如与感测单元1对应的终端(例如在图3中所示的PDA)中。
假设从感测单元1发送出添加有个人信息的生命数据。例如,在信息匿名系统中,信息来源的个人信息提前记录在结构化可访问信息存储单元3中。添加有个人ID的生命信息从感测单元1中发出。例如,信息关联单元22从个人ID中获取个人信息的其它片段例如与个人ID相对应的姓名。使得个人信息的这些片段与从感测单元1中发送出的生命信息相对应。
收发信机单元4将个人信息、生命数据和已验证ID发送给信息关联单元22。信息关联单元22确定所保持的已验证ID(“x1”)是否与所接收的已验证ID一致。
当已验证ID相互一致时,随机产生出与包含在个人信息中的个人ID相对应的暂时ID。将表示在所产生的暂时ID和个人ID之间的相关性的数据存储在表格中(步骤S6)。如果没有任何个人ID,则可以生成标识该个人信息的ID,并且将它用作个人ID。将所产生的暂时ID、生命数据、个人信息、记录请求和匿名请求发送给添加单元21(步骤S7)。
提前将个人信息定义为“要保密的信息”。用于它的访问权限具有最高等级(优选为比生命数据的访问权限更高的等级)。
添加单元21产生与暂时ID相对应的限定了访问权限等级的等级信息,该访问权限等级限制了可以访问生命数据和附加信息的可访问用户(必要时,通过参考包含在生命数据的来源的记录请求或个人信息中的信息)。添加单元21输出包括有附加信息、生命数据和个人信息的记录信息。
将暂时ID、记录信息、记录请求和匿名请求发送给匿名信息构造单元23以将记录信息匿名(步骤S8)。
匿名信息构造单元23使“要保密的信息”与记录信息分开。“要保密的信息”指的是个人信息和生命数据。在记录信息中,除了生命数据和个人信息之外的信息片段是“无需保密的信息”。
在包含在记录信息中的“要保密的信息”片段中,使将要与个人ID结合的信息(即,个人信息)与记录信息分开。在“要保密的信息”片段中,除了个人信息之外的信息(即,生命数据)被加密并且与暂时ID一起发送给结构化可访问信息存储单元3(步骤S9)。这时,还将“无需保密的信息”片段发送给结构化可访问信息存储单元3。
匿名信息构造单元23将从记录信息中分出来的个人信息与暂时ID一起发送给信息关联单元22,从而将个人信息与个人ID结合在一起(步骤S10)。信息关联单元22从存储有表示相关性的信息项的表格中获得与暂时ID相对应的个人ID,并且将该个人信息与个人ID结合,给该个人信息加密,并且将它发送给结构化可访问信息存储单元3(步骤S11)。
如在图6中所示一样,结构化可访问信息存储单元3存储了从信息关联单元22发送出的加密个人信息(包括个人ID)。结构化可访问信息存储单元3按照在图5中所示的格式存储了从匿名信息构造单元23发送出的暂时ID和包括加密生命数据和“无需保密信息”片段的匿名信息。实际上,由于生命数据和个人信息被加密,所以这些信息片段的内容不容易读出。另外,如果个人信息已经存储在结构化可访问信息存储单元3中,则在步骤S10和S11中加密和存储个人信息的处理不必总是进行。更具体地说,在步骤S9中,个人信息与记录信息分开,生命数据被加密,并且包括有加密生命数据和其它“无需保密的信息”片段的匿名信息和暂时ID存储在结构化可访问信息存储单元3中。在该情况中,步骤S10和S12可以省略。
当记录匿名信息时,结构化可访问信息存储单元3通过相关单元22将表示记录结束的回复返回给感测单元1(步骤S13)。
通过上述处理,与相应个人信息一起发送的感测信息与个人信息分开并且记录在结构化可访问信息存储单元3中。
在上面的实施例中,生命数据自身没有包含任何确定个人的信息。但是,如在图8中所示一样,当感测单元1包括一成像单元16和通信单元15时,由成像单元16获取的图像可以包括个人信息例如可以识别出个人的个人面貌。当由感测单元1感测到的信息包括与个人私密性相关的“要保密的信息”时,个人信息提取单元24提取出“要保密的信息”。
在日本专利申请KOKAI特许公开No.2000-311251的段落 和 中,描述了一种采用分形法(fractal)从图像中提取目标图像的方法。例如,采用如在图9和10中所示的两种提取方法。图9和10显示出其中从相同图像中提取建筑物的轮廓的实施例。在图9中的图像A1和在图10中的图像B1在相同的图像中具有相同的初始轮廓(粗线)。在图9中的图像A2表示建筑物的轮廓,它是通过采用分形方法从在图像A1中的初始轮廓中提取的。在图10中的图像B2表示建筑物的轮廓,它是通过采用弯曲方法(snake)从在图像B1中的初始轮廓中提取的。
图10显示出被称为弯曲的方法,该方法提取出具有最小能量的物体的轮廓(在图10中包围着建筑物的白色弯曲线)。在该情况中,由于能量最小,该轮廓被圆化,如在图像B2中所示一样。因此难以准确地提取这些建筑物的尖锐部分的轮廓。
相反,在图9中所示的分形法甚至可以通过增加分形数值(类似形状的反复程度)提取尖锐部分的轮廓。因此,与弯曲方法不一样,如在图像A2中所示一样,甚至可以精确地提取出建筑物的尖锐部分的轮廓。
通过采用上述提取方法可以从例如在图11中所示的图像中只是提取与个人的私密性相关的部分(“要保密的信息”)。
图12显示出一个人的图像信息,该信息被获取作为通过个人信息提取单元24从在图11中所示的图像中提取的个人信息。图13显示出通过删除在图11中所示的图像中的个人信息或者给它加马赛克以使该个人信息(在图12中所示人的图像)保密而获得的匿名信息。
图14为一程序图表,用来说明信息匿名系统的另一种处理操作。图14显示出在个人信息提取单元24从由感测单元1获取的信息(图像信息)中提取出“要保密的信息”(个人信息)之后直到由该感测单元1所获取的信息被匿名并且存储在结构化可访问信息存储单元3为止的处理操作。在该图像信息中的个人信息是个人的图像。因此,在该情况中,个人信息提前包括在由感测单元1获取的作为感测信息的图像中。该情况与在图7中所示的情况相同,其中由感测单元1获取的作为感测信息的部分生命数据是个人信息。在图14中在步骤S1至S8中的步骤与在图7中的相同,并且其说明将被省略。在图14中的步骤S6中,产生出个人ID并且将它与暂时ID相对应地存储。
下面将对在图14中从步骤S8开始的处理进行说明。具体地说,在步骤S8中,将暂时ID、包括有附加信息和包含个人信息的图像信息等的记录信息、记录请求以及匿名请求发送给匿名信息构造单元23。记录信息和暂时ID与请求一起被发送给个人信息提取单元34以从记录信息中提取个人信息(步骤S9a)。
个人信息提取单元24通过采用分形方法从在记录信息中的图像信息中提取个人的图像部分,即个人信息作为“要保密的信息”(步骤S9b)。将所提取的个人信息(个人的图像部分)和暂时ID发送给信息关联单元22以通过匿名信息构造单元23与个人ID结合(步骤S9c和S10)。
另一方面,个人信息提取单元24将在记录信息中的图像信息转换成匿名信息。更具体地说,个人信息提取单元24通过删除与从图像信息中提取出的个人信息相对应的部分或给它加上马赛克来对该图像信息执行匿名处理。例如,个人信息提取单元24通过用任意符号重写该个人信息部分来删除与从图像信息中提取出的个人信息相对应的部分。通过这种匿名处理而获得的匿名信息与暂时ID一起被传送给结构化可访问信息存储单元3。可以对该匿名信息加密。在信息处理单元2中的添加单元21添加等级信息作为附加信息,该信息限定了访问权限的级别,它限制了可访问用户对从图像信息中提取的个人信息的访问。
该信息关联单元22根据提前存储在表格中的暂时ID和个人ID之间的相关性来将个人信息与个人ID结合。信息关联单元22然后给个人信息加密,并且将它发送给结构化可访问信息存储单元3(步骤S11)。
该结构化可访问信息存储单元3按照例如在图5和6中所示的格式存储了从信息关联单元22发送出的加密个人信息和匿名信息(匿名信息可以被加密)以及从匿名信息构造单元23中发送出的暂时ID(步骤S12)。之后,该结构化可访问信息存储单元3将表示记录结束的答复返回给感测单元1(步骤S13)。
接下来将参照图15对信息匿名系统在接收到来自可访问用户的访问请求时的处理操作进行说明。
假设一可访问用户想要知道在PC工作期间的集中程度在一个星期中是如何随着工作时间变化的。在该情况中,可以从GSR数值中知道集中程度。因此,例如,以下检索请求文本以XML(可扩展置标语言)格式被描述并且被发送。
(类别男&女,项目1PC工作时间/星期,项目2集中程度)对于该检索请求文本而言,访问用户的终端侧或者例如已经接收到该检索请求文本的信息匿名系统的信息管理单元6可以将表示在检索请求文本中所要检索的信息类型的“项目”名称转换成表示实际存储在结构化可访问信息存储单元3中的信息类型的名称,从而检索信息文本自身可以适用于该信息匿名系统。例如,将该检索请求文本转换成{类别男&女,项目1PC工作时间/星期,项目2GSR}。
在可访问用户的终端发出包含有检索请求文本的访问请求之前,通过收发信机单元4将包含有验证信息的验证请求发送给验证单元5(步骤S21)。之后,发送出访问请求(步骤S22)。验证单元5确认是否允许用户进行访问。通过单独设置的验证部分来给出使用在该系统中的信息的许可。采用给定的公共密钥来验证事先被允许使用在该系统中的信息的可访问用户。
如果公共密钥不正确,则验证单元5不给出任何已验证的ID。因此,该可访问用户不能够再使用该信息。
当可访问用户成功地被验证单元5验证,则包括有限定了为可访问用户限定的访问权限等级的已验证ID被传送给收发信机单元4(步骤S23)。或者,已验证ID通过收发信机单元4暂时发送给可访问用户的终端。可以接收从可访问用户终端发送出的已验证ID。
收发信机单元4将从可访问用户发送出的访问请求和从验证单元5返回的已验证ID(或从可访问用户的终端发送出的)一起发送给信息匿名单元7(步骤S25)。
根据所接收到的访问请求,信息匿名单元7向结构化可访问信息存储单元3发出读取请求以读出所请求的信息(例如,与包含在访问请求中的检索请求文本相对应的信息)(步骤S26)。如在图5和6中所示一样,结构化可访问信息存储单元3单独地存储匿名信息和个人信息。
要由具有指定“类别”的检索请求文本(如上述检索请求文本)检索的信息不涉及个人信息。为此,根据可访问用户的访问权限的等级,将具有可以对该可访问用户公开的等级的信息提供给他/她。
类别为“男&女”。在图5中所示的所有信息片段属于这个类别。因此,在图5中所示的所有信息片段(包括单独记录的加密生命数据片段)被读出并且发送给匿名单元7(步骤S27)。
当读出信息包括根据包含在已验证ID中的访问权限等级匿名的信息时,匿名单元7将该信息匿名。当读出信息包括不应该对可访问用户公开的信息时,匿名单元7删除该信息(步骤S28)。例如在图5中所示的每个信息没有任何要保密的信息,因为个人信息已经被分开。但是,用来关联个人信息的暂时ID仍然存在。因此,在该实施例中,从每个读出的匿名信息中删除了暂时ID。
提前为每个可访问用户限定访问权限。访问权限是为每个可访问用户规定可用信息等级的信息。在上面的实施例中,可以从检索请求文本中接收生命数据的可访问用户必须提前具有对至少生命数据访问的许可。即使在可访问用户被允许访问生命数据时,如果他/她没有被许可访问个人信息的话,他/她也不能知道该生命数据属于谁。当管理生命数据来源的医师是可访问用户时,可以如此限定访问权限,从而该可访问用户可以访问生命数据和生命数据来源的个人信息。
另外,在记录“要保密的信息”例如生命数据时,可以将为所要记录的“要保密信息”限定的访问权限(“低”、“中”和“高”)用作可访问用户的访问权限。例如,当对生命数据的访问权限为“中”时,可以访问生命数据的可访问用户的访问权限必须为“中”或者“中”和“高”中的一个。当对个人信息的访问权限为 “高”,则可以访问个人信息的可访问用户的访问权限必须为“高”。
将已经经过信息匿名单元7的必要处理的信息(匿名信息)传送给可访问用户的终端(步骤S29)。
一旦接收到从信息匿名系统中发送出的匿名信息,则如在例如图16中所示一样,可访问用户的终端将这些数据设置在匿名信息中,从而可以获得一个报告,包括有每周的PC工作时间、正在做那个动作的行为人的比例、所有人的平均集中程度以及只是男人的平均集中程度。
可访问用户付给收费管理单元信息使用费(步骤S30)。允许信息使用的验证部门也用作收费管理单元。可以对每个信息来源付给与信息提供量相对应的报酬。或者,与信息来源有合同的银行代理商可以用作收费管理单元,从而可以对银行代理商进行支付。
假设发出对信息例如上述图像信息的访问请求。提前将图像信息匿名并且将它记录。如果给予该可访问用户的访问权限等级太低以至于不能访问在图像信息中的个人信息,则只提供存储在结构化可访问信息存储单元3中的匿名信息。如果给予该可访问用户的访问权限等级允许访问在图像信息中的个人信息,则可以从结构化可访问信息存储单元3中读出匿名信息。同时,从存储在信息关联单元22中的表格中获得与匿名信息(其暂时ID)相对应的个人ID。然后,从结构化可访问信息存储单元3中读出与该个人ID相对应的个人信息。例如,该信息匿名单元7用匿名信息分析读出的个人信息以产生出原始图像信息。通过收发信机单元4将包含合成个人信息的原始图像发送给在信息请求源处的可访问用户。这样,匿名单元7还进行处理以便使在匿名信息中的经处理部分(即与个人信息相对应的部分)恢复成原始状态。
在上面的实施方案中,感测单元1单独地设置作为终端设备。该感测单元1通过无线通信接收来自装在家庭服务器等中的信息匿名系统的数据或将数据发送给它。本发明并不限于这种布置。由于开发出小型装置技术,所以在当前的家庭服务器中可以确保大存储容量。可以使用如在图17中所示的装在信息匿名系统中的便携式感测单元1。
如在图1中相同的参考标号在图17中表示相同的部件。图17与图1的不同之处只在于,感测单元1装在信息匿名系统中。
上面的实施方案假设医疗机构是可访问用户,并且个人是信息的来源。但是,本发明并不限于此。例如,个人可以是可访问用户,而警察等可以是信息的来源。
例如,想要知道Roppongi的当前状态的个人用户请求由安装在Roppongi街道上的照相机所感测到的图像。该用户发出包括有检索请求文本的访问请求。
{类别未指定,项目1Roppongi,项目2实时}控制着安装在Roppongi中的照相机的国家警察机构从感测到的图像中(通过使用个人信息提取单元24)提供例如如在图18中所示一样的匿名图像信息(匿名信息),即通过除去个人信息(例如,面部的图像信息)而获得的信息。
如上所述,根据上述实施方案,获取包括有匿名信息(例如包括与那个人相关的脉搏和体温的生命数据)和个人信息(例如,个人ID)的第一信息。将个人信息与第一信息分开以获得匿名信息(即没有加入或与个人信息相关的)。匿名信息和个人信息中的每一个都被分配有一等级,所述等级限定了限制可访问用户访问的访问权限等级。匿名信息和个人信息作为独立的信息分开存储在结构化可访问信息存储单元3中。只有暂时ID使得这两个信息片段相互对应。代表暂时ID和标识个人信息的个人ID之间的对应性的信息项存储在相关单元22中。
当接收到要访问第一信息的访问请求,并且针对已经发送出该访问请求的用户提前限定的访问权限等级允许访问第一信息的匿名信息时,该匿名信息被提供给在请求来源处的用户。当该访问权限等级还允许访问个人信息时,则匿名信息与个人信息一起被提供给在请求来源处的用户。
当获取到包括有个人信息的第二信息时,使个人信息与第二信息分开以产生出匿名信息(它不包括个人信息)。匿名信息和个人信息中的每一个都分配有限制了可访问用户的访问权限等级。匿名信息和个人信息作为独立的信息分开存储在结构化可访问信息存储单元3中。只有暂时ID使得这两个信息片段相互对应。代表暂时ID和标识个人信息的个人ID之间的相关性的信息项存储在相关单元22中。
当接收到要访问第二信息的访问请求,并且针对已经发送出该访问请求的用户提前限定的访问权限等级限制了对个人信息的访问时,与访问请求相对应的第二信息的匿名信息被读出并提供。当该访问权限等级允许访问个人信息时,从个人信息和与第二信息相对应的匿名信息中产生出原始的第二信息。将所产生出的原始第二信息提供给在请求来源处的用户。
在上述方法中,当获取加入有个人信息的信息或包括有个人信息的信息时,使加入在或包含在该信息中的个人信息与获取的信息分开以产生出匿名信息。所产生出的匿名信息和个人信息作为单独信息分开存储。该匿名信息和个人信息被提前分开并存储。为此,当将匿名信息(“不必保密的信息”)提供给另一个用户时,不可能根据所提供的信息检索到个人信息(“要保密的信息”)。因此,甚至包含生命数据的信息和个人信息或包含个人信息的信息(例如,图像信息)可以由第三方使用而不会被他/她访问。
根据这个实施方案的信息匿名系统在保护个人的私密性的同时有利于信息的使用,因此可以大大有助于在医疗机构等中的研究和开发。由于给“要保密的信息”例如个人信息事先限定访问权限,具有允许访问该信息的访问权限等级的任何用户都可以查阅甚至“要保密的信息”例如个人信息。
因此,可以实现一种信息共享环境,其中在防止重要信息例如个人信息在没有得到许可情况下向第三方开放的同时,可以灵活地使用匿名信息,从而可以容易且有效地进行数据挖掘。
(第二实施方案)接下来将对使用了在第一实施方案中所述的信息匿名系统100的信息使用服务的机理进行说明作为第二实施方案。
图18用来说明使用了信息匿名系统100的信息使用设施的机理。参照图19,根据第一实施方案的信息匿名系统100通过安装在作为信息来源的用户上的感测单元1获取信息例如包含生命数据的信息和个人信息或包含个人信息的图像信息。当“要保密的信息”例如个人信息包含在所获取的信息中时,使“要保密的信息”(例如,可以确定一个人的个人信息)与所获取的信息分开,并且如在第一实施方案中一样单独存储匿名信息和个人信息。只有在信息匿名系统中是有效的暂时ID用作这两个信息片段的链路密钥。(这两个信息片段为匿名信息和个人信息。)另一方面,通过用作代理(proxy agent)的服务器设备101接收从可访问用户的终端例如医生处发送的包含检索请求文本的访问请求。该服务器设备101将访问请求传送给信息匿名系统100。根据所获取的匿名信息,该服务器设备101产生出如在图15中所示一样的适用于检索请求文本的报告。
该服务器设备101付给信息来源与由该信息来源提供的信息相对应的信息费。该服务器设备101从可访问用户中收集信息使用费。
根据在图19中所示的信息提供服务系统,提供通过使个人信息提前与添加有或包含有个人信息的信息分开而获得的匿名信息。因此,包含有“要保密的信息”例如由个人提供的个人信息可以由第三方流畅且有效地使用,同时可以可靠地将“要保密的信息”保密。
在本发明的这些实施方案中所述的本发明的方法可以存储在例如磁盘(例如,软盘或硬盘)、光盘(例如,CD-ROM或DVD)或半导体存储器之类的记录介质上并且作为程序销售以由计算机来执行。
其它优点和改进对于本领域普通技术人员而言将是显而易见的。因此,本发明在其更广义的方面中并不限于在这里所示和所述的具体细节和代表性实施方案。因此,在不脱离由所附权限要求和它们的等同方案所限定的总体发明构思的精神或范围的情况下可以作出各种改变。
权利要求
1.一种信息共享设备,该设备与对应于用户中的第一用户的至少一个终端通信,该设备包括一获取单元,构成用来获取包含有匿名信息项和个人信息项的第一信息项,该个人信息项对应于匿名信息项的提供消息者;一分离单元,它构成用来将个人信息项从第一信息项中分出来,从而获得匿名信息项;第一存储单元,它构成用来存储个人信息项和匿名信息项;第二存储单元,它构成用来存储分配给用户中只可以从匿名信息项和个人信息项中访问匿名信息项的第一用户组的第一访问等级,并且存储分配给用户中可以访问匿名信息项和个人信息项的第二用户组的第二访问等级;一接收单元,构成用来接收访问第一信息项的请求消息,该请求消息从终端发送出;第一发送单元,构成用来在预定给第一用户的访问等级等于第一访问等级时,响应于请求消息从匿名信息项和个人信息项中只将匿名信息项发送给终端;第二发送单元,构成用来在第一用户的访问等级等于第二访问等级时,响应于请求消息将匿名信息项和个人信息项两者发送出。
2.一种信息共享设备,它与对应于用户中的第一用户的至少一个终端通信,该设备包括一获取单元,它构成用来获取包含个人信息项的第二信息项;一提取单元,它构成用来从第二信息项中提取个人信息项,从而获取所提取的个人信息项;一产生单元,它构成为通过删除在第二信息项中的个人信息项来产生匿名信息项;第一存储单元,它构成用来存储被提取的个人信息项和匿名信息项;第二存储单元,它构成用来存储分配给用户中只可以从匿名信息项和个人信息项中访问匿名信息项的第一用户组的第一访问等级,并且存储分配给用户中可以访问匿名信息项和个人信息项的第二用户组的第二访问等级;一接收单元,它构成用来接收用于访问第二信息项的请求消息,该请求消息从所述终端发送出;第一发送单元,它构成用来在预定给第一用户的访问等级等于第一访问等级时,响应于所述请求消息从匿名信息项和个人信息项中只将匿名信息项发送给终端;合成单元,它构成为使个人信息项与匿名信息项结合在一起,从而获得重新产生的第二信息项;第二发送单元,构成用来在所述第一用户的访问等级等于第二访问等级时,响应于请求消息发送出重新产生的第二信息项。
3.如权限要求1所述的设备,其中所述匿名信息项为消息提供者的生命数据项。
4.如权限要求2所述的设备,其中所述第二信息项为一图像,并且个人信息项为个人面部的图像。
5.如权限要求1所述的设备,还包括一加密单元,它构成用来给匿名信息项加密以获得加密匿名信息项;并且,其中所述第一存储单元存储着所述加密匿名信息项。
6.如权限要求1所述的设备,其中所述匿名信息项包括各个信息项,并且第一发送单元和第二发送单元发送各个信息项中的一个或多个所请求的信息项;所述一个或多个信息项由请求消息请求。
7.如权限要求1所述的设备,还包括一第三存储单元,构成用来存储个人信息项和匿名信息项中每一个的一对ID;第二获取单元,构成用来根据这对ID的一个ID获取该对ID中的另一个,所述一个ID对应于匿名信息项;以及第三获取单元,构成用来从第一存储单元获取与所述另一个ID相对应的并且将要响应于请求信息发送出的个人信息项。
8.如权限要求2所述的设备,还包括一第三存储单元,构成用来存储所提取出的个人信息项和匿名信息项中的每一个的一对ID;第二获取单元,构成用来根据这对ID的一个ID获取该对ID中的另一个,所述一个ID对应于匿名信息项;以及第三获取单元,构成用来从第一存储单元获取与所述一个ID相对应的并且将要与匿名信息合成在一起的所提取的个人信息项。
9.如权限要求2所述的设备,其中所述产生单元通过用任意符号重写入与个人信息项对应的区域中来产生出匿名信息。
10.一种与分别与多个用户相对应的多个终端共享所获取的信息项的方法,该方法包括获取第一信息项,该信息项包括一匿名信息项和一个人信息项,所述个人信息项对应于匿名信息项的消息提供者;使所述个人信息项与所述第一信息项分开,从而获得所述匿名信息项;将所述个人信息项和所述匿名信息项存储在所述第一存储器装置中;将分配给用户中只可以访问匿名信息项和个人信息项中的匿名信息项的第一组用户的第一访问等级和分配给用户中可以获取匿名信息项和个人信息项的第二组用户的第二访问等级存储在第二存储器装置中;接收用于访问第一信息项的请求消息,该请求消息从其中一个终端中发送出;当预定给用户中与其中一个终端对应的第一用户的访问等级等于第一访问等级时,响应于所述请求消息只将匿名信息项和个人信息项中的匿名信息项发送给其中一个终端;当所述第一用户的访问等级等于所述第二访问等级时,响应于所述请求消息发送匿名信息项和个人信息项。
11.一种与分别与多个用户相对应的多个终端共享所获取的信息项的方法,该方法包括获取包含有个人信息项的第二信息项;从所述第二信息项中提取所述个人信息项,从而获得提取的个人信息项;通过从所述第二信息项中删除所述个人信息项来产生出匿名信息项;将所述提取的个人信息项和所述匿名信息项存储在第一存储器装置中;存储分配给用户中只可以访问匿名信息项和个人信息项中的匿名信息项的第一组用户的第一访问等级和分配给用户中可以访问匿名信息项和个人信息项的第二组用户的第二访问等级;接收用于访问第二信息项的请求消息,该请求消息从其中一个终端中发送出;当预定给用户中与其中一个终端对应的第一用户的访问等级等于第一访问等级时,响应于所述请求消息只将匿名信息项和个人信息项中的匿名信息项发送给其中一个终端;将所述个人信息项与所述匿名信息项合成在一起,从而获得一重新产生的第二信息项;当所述第一用户的所述访问等级等于所述第二访问等级时,响应于所述请求消息发送所述重新产生的第二信息项。
12.如权限要求10所述的方法,其中所述匿名信息项为消息提供者的生命数据项。
13.如权限要求11所述的方法,其中所述第二信息项为一图像,并且个人信息项为个人面部的图像。
14.如权限要求10所述的方法,其中所述匿名信息项包括各种信息项,并且只发送匿名信息项发送出各个信息项中的一个或多个所请求的信息项,所述一个或多个信息项由请求消息请求;并且发送匿名信息项和个人信息项发送出各个信息项中的一个或多个所请求的信息项。
15.如权限要求10所述的方法,该方法包括将个人信息项和匿名信息项中每一个的一对ID存储在第三存储装置中;根据这对ID的一个ID获取该对ID中的另一个,所述一个ID对应于匿名信息项;并且从所述第一存储器装置中获取与所述另一个ID相对应的并且将要响应于请求消息发送出的个人信息项。
16.如权限要求11所述的方法,该方法包括将所提取出的个人信息项和匿名信息项中的每一个的一对ID存储在所述第三存储装置中;根据这对ID的一个ID获取该对ID中的另一个,所述一个ID对应于匿名信息项;以及从所述第一存储器装置中获取与所述另一个ID相对应的并且将要与匿名信息合成在一起的所提取的个人信息项。
17.如权限要求11所述的方法,其中所述产生步骤通过用任意符号重写入与个人信息项对应的区域中来产生出匿名信息。
全文摘要
本发明提供信息共享设备和方法,包括提取单元,从包含个人信息项的所获取的信息项中提取个人信息项;产生单元,通过从所获取的信息项中删除个人信息项产生匿名信息项;存储单元,存储个人信息项和匿名信息项,该存储单元存储分配给用户中只可访问匿名信息项和个人信息项中的匿名信息项的第一组用户的第一访问等级,并存储分配给用户中可访问匿名信息项和个人信息项的第二组用户的第二访问等级;接收单元,接收用来访问所获取信息项的请求消息;发送单元,在预定给该用户的访问等级等于第一访问等级时只发送匿名信息项;合成单元,合成个人信息项与匿名信息项;发送单元,在用户访问等级等于第二访问等级时发送重新产生的第二信息项。
文档编号G06F21/60GK1497427SQ200310102710
公开日2004年5月19日 申请日期2003年10月22日 优先权日2002年10月22日
发明者土井美和子 申请人:株式会社东芝