信息处理方法、信息处理设备及计算机可读记录介质与流程

本文论述的实施方式涉及其中存储有信息处理程序的计算机可读记录介质、信息处理方法和信息处理设备。

背景技术：

随着诸如传感器和摄像装置的装置的性能以及网络速度的提高，使用诸如移动图像和静止图像的多媒体数据的服务趋于增加。

作为辅助开发和执行诸如提供这样的服务的应用的程序的开发库，已经已知使用基于流的编程(flow-basedprogramming)(在下文称为“fbp”)的数据处理服务。

fbp是数据流编程的示例。fbp是一种通过在图形用户界面(gui)上组合处理部分来实现程序开发的工具。每个“处理部分”是被定义为执行诸如数据的获取、处理、检测或分析的“处理”的功能块，并且是“模块”的示例。

使用fbp，即使不熟悉处理部分和编码，程序(服务)的开发者也可以容易或快速地开发程序。

引用列表

专利文献

[专利文献1]日本公开特许公报第2017-188771号

技术实现要素：

本发明要解决的问题

要在借助于fbp创建的程序中处置(处理)的数据可能包括敏感信息。“敏感信息”是要考虑的信息，并且是个人可识别信息的示例。

当要处理敏感信息时，需要适当的措施，例如，事先征得个人可识别信息的所有者的许可以及在时间段和地点的限制下进行存储。如果未采取这些措施，则安全风险将增加，这可能会导致违规或行政指导，并且可能对业务造成损害。

程序的开发者需要确定要通过程序处理的数据中是否包括敏感信息，并且采取有意识的措施。然而，数据中敏感信息的存在或不存在可能随程序(服务)的执行环境而变化。另外，数据和处理的一些组合可能会生成或去除敏感信息。

为此，难以适当地掌握在处理部分之间传送敏感信息的范围。因此，存在由于开发者对敏感信息的疏忽而没有针对敏感信息采取适当措施的风险。特别地，如果不熟悉处理部分的开发者要开发程序，则可能会增加风险。

一方面，本发明的目的之一是准确地检测从处理输出的数据是否包括敏感信息。

解决问题的手段

根据实施方式的一个方面，一种其中存储有信息处理程序的计算机可读记录介质，所述信息处理程序使计算机执行处理，所述处理包括：通过对包括敏感信息的第一数据执行第一处理来提取第二数据；以及基于由与敏感信息相关联地被存储的模块对第二数据执行第二处理的结果来确定敏感信息是否被包括在第二数据中，所述模块执行第二处理，所述第二处理确定敏感信息是否被包括。

本发明的效果

一方面，可以准确地检测从处理输出的数据是否包括敏感信息。

附图说明

图1是示出根据一个实施方式的应用开发系统的图；

图2是示出风险警报的显示的比较示例的图；

图3是示出有助于对敏感信息的风险确定的第一方案的示例的图；

图4是示出显示第一方案中的处理结果的示例的图；

图5是示出有助于对敏感信息的风险确定的第二方案的示例的图；

图6是示出显示第二方案中的处理结果的示例的图；

图7是示出显示第一方案中的处理结果和第二方案中的处理结果的示例的图；

图8是示出有助于对敏感信息的风险确定的第三方案的示例的图；

图9是示意地示出根据一个实施方式的服务器的功能配置的示例的框图；

图10是示出处理部分信息的示例的图；

图11是示出图信息的示例的图；

图12是示出输出表的示例的图；

图13是示出需求表的示例的图；

图14是示出输出确定处理的操作的示例的流程图；

图15是示出输出确定处理的操作的示例的图；

图16是示出显示处理的操作的示例的流程图；

图17是示出显示处理的操作的示例的图；

图18是示出需求确定处理的操作的示例的流程图；

图19是示出需求确定处理的操作的示例的图；

图20是示出显示处理的操作的示例的流程图；

图21是示出显示处理的操作的示例的图；

图22是示出改变处理的操作的示例的流程图；

图23是示出改变处理的操作的示例的图；

图24是示出确定敏感信息是否存在的示例的图；

图25是示出删除敏感信息的处理部分的示例的图；

图26是示出需要敏感信息的处理部分的示例的图；

图27是示出改变处理的操作的示例的流程图；

图28是示出改变处理的操作的示例的图；

图29是示意性地示出显示控制器的功能配置的示例的框图；

图30是示出对图在显示屏幕上的显示方案的修改的图；以及

图31是示出根据一个实施方式的硬件配置的示例的图。

具体实施方式

在下文中，现在将参照附图描述本发明的实施方式。然而，以下描述的一个实施方式仅是说明性的，并且在不脱离其范围的情况下可以对本实施方式进行不同地修改和实现。在以下描述中要使用的附图中，除非另有说明，否则相同的附图标记表示相同或相似的部分。

(1)一个实施方式：

(1-1)一个实施方式的说明

图1是示出根据一个实施方式的应用开发系统1的图。如图1所示，应用开发系统1可以说明性地包括服务器10和终端装置20。在图1的示例中，应用开发系统1包括一个终端装置20，但是可以替选地包括两个或更多个终端装置20。

应用开发系统1是用于开发诸如应用(换句话说，服务)的程序的系统，并且是信息处理系统的示例。

终端装置20是由程序(例如，应用)的开发者操作的信息处理终端的示例。例如，终端装置20通过未示出的网络连接至服务器10，并且使用诸如web浏览器的应用来操作由服务器10提供并且显示服务器10发送的风险警报的开发屏幕100。

终端装置20的示例是各种计算机例如个人计算机(pc)和服务器。

服务器10是提供用于开发和执行程序(例如，应用)的开发环境的服务器，并且是信息处理设备或计算机的示例。例如，服务器10可以提供终端装置20的使用fbp的数据处理服务作为这样的开发环境。

例如，服务器10可以是虚拟服务器(虚拟机(vm))或物理服务器。可以通过单个计算机或者两个或更多个计算机实现服务器10的功能。此外，可以通过使用在云环境中提供的硬件(hw)资源和网络(nw)资源来实现服务器10的功能的至少一部分。

服务器10可以通过网络连接至另一设备，例如一个或更多个终端装置20，以便能够彼此通信。网络的示例可以包括广域网(wan)、局域网(lan)及其组合。wan可以包括因特网，并且lan可以包括虚拟专用网(vpn)。

如图1所示，服务器10可以说明性地存储和管理多个处理部分11a。服务器10可以根据终端装置20的操作(例如，在gui上的操作)通过组合选择的处理部分11a来辅助对应用110的开发和执行。

每个处理部分11a可以用作在服务器10提供的数据处理服务上具有特有(特定)功能的功能块(功能单元)。处理部分11a具有通过其输入数据(信息)的输入端口和通过其输出数据(信息)的输出端口中的一者或两者，并且是对数据执行预定处理的模块的示例。处理部分11a也可以被称为“节点”、“功能块”和“对象”。

如图1所示，处理部分11a的示例是各种过滤器：人物检测过滤器、性别检测过滤器、面部检测过滤器、面部模糊过滤器和颜色检测过滤器。处理部分11a的另一示例是各种处理或功能，例如如图1中所示的面部识别。处理部分11a的其他另外示例是各种设备和处理，例如输入装置(摄像装置)、识别结果数据库(db)、输出识别结果。

服务器10通过响应于来自终端装置20的由开发者进行的操作在开发屏幕100上布置并连接处理部分11a来开发执行预定处理的应用110。开发屏幕100可以显示在终端装置20的万维网浏览器的显示区域上。万维网浏览器可以显示在终端装置20的输出装置例如监视器上。

在图1的示例中，服务器10生成应用110，该应用110按输入装置111例如摄像装置、面部识别112、识别结果db113和输出识别结果114的顺序级联处理部分11a。

在应用110中，敏感信息可以被包括在每个处理部分11a的输入和输出中的一者或两者中。包括敏感信息的示例是以下中的至少一个或更多个：来自用作起始元素的处理部分11a的输出、用作中间元素的处理部分11a的输入和输出中的一者或两者、以及用作结束元素的处理部分11a的输入。在图1的示例中，图像a可以被包括在输入装置111的输出和面部识别112的输入中；图像中人物的名称b可以被包括在面部识别112的输出和识别结果db113的输入中；并且此外，图像中人物的名称c可以被包括在识别结果db113的输入中并且也可以被包括在输出识别结果114中。

一个实施方式的服务器10在应用110的开发中做出与处理部分11a和敏感信息有关的风险警报。在下文中，现在将关于由一个实施方式的服务器10输出风险警报的示例进行描述。

首先，现在将关于风险警报的比较示例进行描述。图2是示出显示风险警报的比较示例的图。

根据比较示例的服务器10'确定图像(移动图像或静止图像)始终包括具有高敏感度的信息。具有高敏感度的信息通过诸如人的面部或车号的敏感信息来例示。

如图2所示，假设以下情况：开发者使用开发屏幕100'上的处理部分11a之中的处理图像的过滤器中的一个过滤器例如面部检测过滤器115。在这种情况下，服务器10'确定通过使用面部识别过滤器115开发的应用110'具有风险，并且在开发屏幕100'上显示(呈现)指示应用110'包括风险的警报。

然而，服务器10'有时可能无法正确确定图像中包括的风险。例如，在开发屏幕100'中使用降低风险的处理部分11a例如面部模糊过滤器的情况下，输出不包括敏感信息(因为被去除)，但是由于图像用作输入，因此服务器10'确定图像包括风险。

以上述方式，当在使用可能包括敏感信息的数据例如图像作为输入的应用110'的开发阶段中服务器10'基于处理部分11a是否处理图像来一致地确定风险的存在或不存在时，存在无法预先正确地进行风险确定的可能性。

例如，通过监测布置在例如购物街中的摄像装置而获得的图像可以包括作为敏感信息的大量的人物的面部。通过布置在例如高速公路上的定点摄像装置而获得的图像不包括人物的面部，而是可以包括作为敏感信息的车(例如，车号)。此外，包括门牌和定位信息的图像可能包括作为敏感信息的地址信息。相比之下，在摄像装置图像与运动检测过滤器组合的情况下，运动检测过滤器的输出可以包括运动检测的结果(例如，运动的存在或不存在)，但是有时不包括敏感信息。

如上所述，存在以下可能性：图像可能包括各种类型的敏感信息，但是难以预先确定实际图像中包括哪种类型的敏感信息。因此，在应用110'的开发阶段难以预先掌握与图像有关的风险。

作为上述的解决方案，一个实施方式的服务器10提供了以下方案：该方案通过以下方案(a)-(c)中的一个方案或者两个或更多个方案的组合，在应用110的开发阶段有助于与敏感信息有关的风险确定。

(a)服务器10检测作为处理结果输出的数据是否包括敏感信息。例如，服务器10可以执行以下处理(a-1)和处理(a-2)。

(a-1)服务器10通过对包括敏感信息的第一数据执行第一处理来提取第二数据。

(a-2)服务器10基于通过以下模块对第二数据执行第二处理的结果来确定第二数据是否包括敏感信息，该模块与敏感信息相关联地被存储并且还执行用于确定是否包括敏感信息的第二处理。

在上述方案(a)中，处理(第一处理)可以是由处理部分11a执行的处理。

图3是示出上述方案(a)的示例的图。如图3中所示，过滤器11c是与包括在第一数据11b中的敏感信息相关联地被存储并且还执行用于确定是否包括敏感信息的第二处理的模块的示例。作为示例，第一数据11b是包括用作敏感信息的人物的面部的样本图像，并且过滤器11c可以是执行第二处理的面部检测过滤器，该第二处理输出根据输入数据检测面部的检测结果(例如，面部是否被检测到)。服务器10可以预先彼此相关联地存储第一数据11b和过滤器11c的组合(集合)。

如在图3的上行中所示，当第一数据11b被输入到过滤器11c中时，过滤器11c输出呈现敏感信息被包括(例如，面部被检测到)的信息。

在上述方案(a)中，如图3的下行中所示，服务器10将第一数据11b输入到第一处理例如处理部分11a中，并且提取作为根据第一处理的输出(处理结果)的第二数据，并且将第二数据输入到过滤器11c中。

例如，在过滤器11c输出指示包括敏感信息的信息的情况下，处理部分11a按原样输出包括敏感信息的第二数据，这意味着处理部分11a具有与敏感信息有关的风险。

相比之下，在过滤器11c输出指示不包括敏感信息的信息的情况下，处理部分11a输出从其擦除(删除)了敏感信息的第二信息，这意味着处理部分11a不具有与敏感信息有关的风险。

以上述方式，服务器10使用预先准备的第一数据11b和检测敏感信息的过滤器11c，检测通过第一处理输出的第二数据是否包括敏感信息。

如上所述，在上述方案(a)中服务器10可以准确地检测通过处理(第一处理)输出的数据(第二数据)是否包括敏感信息。

每当处理部分11a被注册到服务器10中时，服务器10可以针对每个处理部分11a执行上述方案(a)中的检测。

如图4所示，服务器10可以在例如开发屏幕100上显示确定在第二数据中是否包括敏感信息的结果(方案(a)的处理结果)。例如，可以显示确定结果以便以下述显示样式中的至少一种显示样式来区分从处理部分11a输出的数据中是否包括敏感信息：所述显示样式为例如字母串、说明、图像以及连接至处理部分11a的线的类型(例如，颜色、线型和/或线宽)。确定结果可以在如图4的示例中所示的显示包括要显示的处理部分11a(例如，应用110)的多个处理部分11a的组合的开发屏幕100上显示，或者可以在显示单个处理部分11a的开发屏幕100上显示。在确定结果是指示包括敏感信息(存在风险)的信息的情况下，在开发屏幕100上显示信息是显示风险警报(警报)的示例。

(b)服务器10确定处理是否使用敏感信息。例如，服务器10可以执行以下处理(b-1)至(b-3)。

(b-1)服务器10通过对包括敏感信息的第一数据执行第一处理来提取第二数据。

(b-2)服务器10对经历了用于从第一数据中删除敏感信息的第二处理的第三数据执行第一处理，并且输出通过第二处理获得的第四数据。

(b-3)服务器10基于对第二数据和第四数据进行比较的结果来确定第一处理是否是使用敏感信息的处理。

在上述方案(b)中，处理(第一处理)可以是通过处理部分11a执行的处理。

图5是示出上述方案(b)的示例的图。如图5所示，过滤器11c是执行用于删除包括在第一数据11b中的敏感信息的第二处理的模块的示例。作为示例，第一数据11b可以是包括作为敏感信息的人物的面部的图像的样本图像，并且过滤器11c可以是输出通过对包括在输入数据中的图像中的面部进行模糊而获得的数据的面部模糊过滤器。服务器10可以预先彼此关联地存储第一数据11b和过滤器11c的组合(集合)。

在上述方案(b)中，如图5中的上排中所示，服务器10将第一数据11b输入到第一处理例如处理部分11a中，并且从来自第一处理的输出(处理结果)中提取第二数据(图5的示例中的“输出a”)。

此外，如图5的下排中所示，服务器10将第一数据11b输入到第二处理例如过滤器11c中。然后，服务器10将从第二处理输出并且从其擦除了敏感信息的第三数据输入到第一处理中，并且提取作为来自第一处理的输出的第四数据(在示例5中，“输出b”)。

如图5所示，服务器10将来自向其输入包括敏感信息的第一数据的第一处理的输出a与来自向其输入不包括敏感信息的第三数据的第一处理的输出b进行比较。然后，服务器10基于比较结果来确定第一处理是否是使用敏感信息的处理。

例如，在输出a与输出b相同(匹配)的情况下，不管存在还是不存在敏感信息，处理部分11a都输出相同的处理结果。换句话说，由于处理部分11a不使用敏感信息(即，不需要敏感信息)，因此服务器110可以通过连接在处理部分11a的输入侧执行第二处理的模块例如过滤器11c来进行操作。在这种情况下，可以说处理部分11a不具有与敏感信息有关的风险。

相比之下，在输出a与输出b不同(不匹配)的情况下，处理部分11a输出随着存在或不存在敏感信息而不同的处理结果。换句话说，由于处理部分11a使用(需要)敏感信息，因此处理部分11a具有与敏感信息有关的风险。

以上述方式，服务器10使用预先准备的第一数据11b和删除敏感信息的过滤器11c、基于对在包括或不包括敏感信息的情况下的第一处理的输出进行比较的结果，来确定第一处理是否使用敏感信息。

如上所述，在上述方案(b)中服务器10可以准确地确定处理(第一处理)是否使用敏感信息。

每当处理部分11a被注册到服务器10中时，服务器10可以针对每个处理部分11a执行上述方案(b)的检测。

输出a和输出b两者均可以是指示例如确定或检测除数据图像以外的输出数据的处理结果的信息。换句话说，上述方案(b)中的第一处理可以是处理部分11a，该处理部分11a输出至少表示例如确定或检测的处理结果的信息。替选地，处理部分11a可以从与对输出a或输出b进行输出的输出端口不同的输出端口输出图像的输出数据。

此外，如图6所示，例如，服务器10可以在开发屏幕100等上显示第一处理是否使用敏感信息的确定结果(方案(b)的处理结果)。例如，可以显示确定结果以便以下述显示样式中的至少一种显示样式来区分是否需要敏感信息：所述显示样式为例如字母串、说明、图像和连接至处理部分11a的线的类型(例如，颜色、线型和/或线宽)。确定结果可以在如图6的示例中所示的显示包括要显示的处理部分11a(例如，应用110)的多个处理部分11a的组合的开发屏幕100上显示，或者可以在显示单个处理部分11a的开发屏幕100上显示。在确定结果是指示敏感信息不能删除(即，需要敏感信息)的信息即表示存在风险的信息的情况下，在开发屏幕100上显示信息是显示风险警报(警报)的示例。

在以上方案(a)和方案(b)彼此结合地执行的情况下，可以对某个处理部分11a顺序地执行以上方案(a)和方案(b)。方案(a)或方案(b)可以被在先执行。在这种情况下，如图7所示，服务器10可以在开发屏幕100上共同地显示以上方案(a)中的确定结果和方案(b)中的确定结果，或者如图4和图6所示，服务器10可以在开发屏幕100上分别显示以上方案(a)中的确定结果和方案(b)中的确定结果。

(c)服务器10使包括敏感信息的数据流可视化。例如，服务器10可以执行以下处理。

在彼此关联地在屏幕上显示表示与装置或处理有关的信息的多个图标的情况下，服务器10根据在由相关联的多个图标标识的装置或处理之间传送的数据是否包括敏感信息来改变图标之间的关联的显示样式。

例如，服务器10可以确定由多个处理部分11a(装置或处理)中的每一个进行的敏感信息的生成或去除。然后，在多个处理部分11a的图标彼此关联(例如，彼此连接)并且作为应用110输出到开发屏幕100上的情况下，服务器10可以估计敏感信息被传送的范围并且在开发屏幕100上突出显示所估计的范围。

图8是示出以上方案(c)的示例的图。如图8所示，以上方案(c)中与装置有关的信息可以是与由输入装置111、识别结果db113(存储到db)和声音蜂鸣器117示例的装置有关的处理部分11a。与处理有关的信息的示例可以是与由各种过滤器、面部识别112、移动对象检测116示例的处理或功能有关的处理部分11a。另外，屏幕可以是显示多个处理部分11a被布置并且彼此连接的状态的开发屏幕100。

例如，在输入装置111如摄像装置输出包括人的面部的图像数据的情况下，服务器10以下列方式基于确定生成或去除每个处理部分11a的敏感信息的结果来估计敏感信息在处理部分11a之间传送的范围。

-在输入装置111的输出与移动对象检测116和面部识别112中的每一个的输入之间(在范围a中)，传送与敏感信息相对应的显示面部的图像。

-在面部识别112的输出与识别结果db113的输入(存储到db)之间(在范围b中)，传送基于与敏感信息相对应的图像识别的人的名称。

-在移动对象检测116与声音蜂鸣器117之间(在范围c中)，传送与敏感信息不对应的图像中运动存在或不存在。

因此，服务器10在开发屏幕100上改变在其中传送敏感信息的范围a和范围b中的图标之间的关联的显示样式。作为示例，服务器10可以改变图标之间的连接线的颜色。在图8的示例中，图标之间的连接线之中的在范围a和范围b中的连接线(图8中的虚线)为红色，并且范围c的连接线(图8中的实线)为黑色或灰色。

如以上在开发屏幕100上视觉地呈现具有与敏感信息有关的风险的处理部分11a的信息使得开发者可以在应用110的开发阶段中容易地确定每个处理部分11a的风险。

如以上，在以上方案(c)中服务器10可以使包括敏感信息的数据流可视化。

代替或除了改变连接线的颜色以外，改变图标之间的关联的显示样式可以包括例如根据是否包括敏感信息来改变连接图标的连接线的线型和线宽之一或两者。

为了在以上方案(c)中确定在由彼此相关联的多个图标标识的多个装置或处理之间传送的数据是否包括敏感信息，可以使用以上方案(a)或方案(b)的处理结果之一或两者。除此之外，为了确定，可以使用确定通过与以上方案(a)或方案(b)不同的方案获得的数据是否包括敏感信息的处理的处理结果。

将以上方案(a)和方案(b)之一或两者与以上方案(c)组合可以视为例如在开发屏幕100上显示以上方案(a)和方案(b)之一或两者的处理结果的示例(图4、图6和图7)的一个实施方式(示例)。

如上所述，服务器10可以依据以上方案(a)至方案(c)中的至少一种来提供开发环境，该开发环境有助于在应用110的开发阶段确定与敏感信息有关的风险。

(1-2)服务器的功能配置示例：

接下来，现在将参照图9、关于根据一个实施方式的服务器10进行描述。图9是示意性地示出根据一个实施方式的服务器10的功能配置的示例的框图。

如图9所示，服务器10可以示例性地包括存储器单元11、信息管理器12、敏感度评估器13和评估结果呈现器14。

存储器单元11是存储区域的示例，并且存储用于执行用作开发库的数据处理服务的各个信息块。如图9所示，存储器单元11示例性地存储多个处理部分11a、多个数据块11b、多个过滤器11c、处理部分信息11d、多个图信息块11e、输出表11f和需求表11g。

在下面的说明中，处理部分信息11d、多个图信息块11e、输出表11f和需求表11g各自以表形式呈现，但是这些信息块的形式不限于此。这些信息块的数据形式可以是由db或序列示例的各种形式。

处理部分11a是在开发库中注册的模块的示例。数据11b可以是包括敏感信息的样本数据。例如，数据11b可以针对敏感信息(例如，人的面部和车号)的每种类型存储在存储器单元11中。过滤器11c可以是与数据11b相关联的过滤器，并且可以是可以检测和去除数据11b中包括的敏感信息的过滤器。过滤器11c可以是处理部分11a之一，或者可以是两个或更多个处理部分11a的组合。

信息管理器12根据处理部分11a的开发者使用的终端装置20在开发屏幕100上进行的操作来管理处理部分信息11d和图信息11e。信息管理器12可以示例性地包括处理部分管理器12a、图管理器12b和风险管控器12c。

处理部分管理器12a管理在开发库中注册的处理部分11a。例如，当要在服务器10(例如，存储器单元11)中注册(例如，存储)处理部分11a时，处理部分管理器12a将处理部分11a存储到存储器单元11中，并且还生成或更新处理部分信息11d。

图10是示出处理部分信息11d的示例的图。如图10所示，处理部分信息11d可以包括以下项：“id”、“处理部分”、“输入端口”和“输出端口”。

“id”项是处理部分11a的标识信息的示例。例如，在“处理部分”项中，可以将处理部分11a的名称设置为用于标识处理部分11a的信息。例如，在“输入端口”项中，可以将端口的id和名称之一或两者设置为用于标识处理部分11a的输入侧(流的上游)的端口的信息。例如，在“输出端口”项中，可以将端口的id和名称之一或两者设置为用于标识处理部分11a的输出侧(流的下游)的端口的信息。在作为图的起点的处理部分11a(例如，输入装置111)的“输入端口”项以及作为图的终点的处理部分11a(例如，声音蜂鸣器117或识别结果db113(存储到db))的“输出端口”项中，可以不设置信息。

如图1所示，图管理器12b根据终端装置20在开发屏幕100上进行的操作将多个处理部分11a关联(例如连接)作为应用110，并且将该关联作为图信息11e存储到存储器单元11中。

图11是示出图信息11e的示例的图。图信息11e是定义图的信息，该图意指表示数据流的流。图管理器12b可以管理终端装置20生成或更新的每个图的图信息11e。

如图11所示，图信息11e可以包括以下项：“处理部分”、“输出端口”和“输出侧的处理部分”。在“处理部分”项中，可以设置图中包括的处理部分11a的id和名称(参见图10)之一或两者。可以按照从位于图的起点处的“处理部分”到位于图的终点处的“处理部分”的顺序来将条目注册到图信息11e中。

在“输出端口”项中，可以设置用于标识“处理单元”的输出端口(参见图10)中的连接至“输出侧的处理部分”的输出端口的信息，例如，端口的id和名称之一或两者。在“输出侧的处理部分”项中，可以设置连接至“处理部分”的处理部分11a的id和名称之一或两者。

在敏感度评估器13已经确定不使用敏感信息的处理部分11a要布置在开发屏幕100上的情况下，风险管控器12c执行用于降低(例如，消除)与处理部分11a的敏感信息有关的风险的处理。例如，风险管控器12c可以在处理部分11a的输入侧放置过滤器11c以删除敏感信息。下面将详细说明风险管控器12c。

敏感度评估器13评估包括以下之一或两者的敏感度：在以上方案(a)和方案(b)之一或两者中，处理部分11a是否输出敏感信息以及处理部分11a是否使用敏感信息。例如，当由处理部分管理器12a将处理部分11a存储到存储器单元11中时，敏感度评估器13可以将处理部分11a视为评估目标来评估敏感度。敏感度评估器13示例性地包括执行器13a、确定器13b和信息注册器13c。

执行器13a使用数据11b和过滤器11c，对作为评估目标的处理部分11a执行以上方案(a)和方案(b)之一或两者，从而获得要用于评估的数据。

确定器13b使用执行器13a获得的数据来评估作为评估目标的处理部分11a的敏感度。

基于确定器13b的确定结果(评估结果)，信息注册器13c生成或更新输出表11f和需求表11g之一或二者。

图12是示出输出表11f的示例的图。如图12所示，输出表11f可以包括以下项：“编号”，“处理部分”、“输出端口”和“敏感信息类型”。在输出表11f中，针对每个“处理部分”以及还针对每个“输出端口”注册条目，使得可以累积过去的评估结果。

“编号”项是输出表11f中的条目的标识信息。在“处理部分”项中，可以设置作为评估目标的处理部分11a的id和名称之一或两者。在“输出端口”项中，可以设置输出端口的id和名称之一或两者。

在“敏感信息类型”项中，可以针对用作评估目标的每种敏感度类型设置评估结果。在图12的示例中，将指示人的面部的“面部信息”和表示车号的“车号信息”设置为“敏感信息类型”。

如上所述，输出表11f是表示在将包括敏感信息的数据输入到用作评估目标的处理部分11a中的情况下从每个输出端口输出的数据针对每种类型的敏感信息是否包括敏感信息的信息。换句话说，输出表11f是表示以上方案(a)的处理结果的信息。

图13是示出需求表11g的示例的图。如图13所示，需求表11g可以包括以下项：“编号”、“处理部分”，“输入端口”和“敏感信息类型”。在需求表11g中，针对每个“处理部分”以及还针对每个“输入端口”注册条目，从而可以累积过去的评估结果。

“编号”项是需求表11g中的条目的标识信息。在“处理部分”项中，可以设置作为评估目标的处理部分11a的id和名称之一或两者。在“输入端口”项中，可以设置输入端口的id和名称之一或两者。

在“敏感信息类型”项中，可以针对用作评估目标的每种敏感度类型设置评估结果。在图13的示例中，将指示人的面部的“面部信息”和表示车号的“车号信息”设置为“敏感信息类型”。

如上所述，图13的需求表11g是针对每种敏感信息类型指示作为评估目标的处理部分11a是否使用输入数据中包括的敏感信息的信息。换句话说，需求表11g是表示以上方案(b)的处理结果的信息。

评估结果呈现器14向应用110的开发者呈现由敏感度评估器13做出的敏感度的评估结果。例如，评估结果呈现器14可以在根据由应用110的开发者使用的终端装置20在开发屏幕100上进行的操作生成图的情况下、基于评估结果控制在图中使用的每个个体处理部分11a的图标的显示样式。

出于此目的，评估结果呈现器14可以示例性地包括搜索器14a、显示确定器14b和显示输出单元14c。

搜索器14a基于图信息11e来搜索在开发屏幕100上显示的图中的多个处理部分11a之间的关联，换句话说，搜索多个处理部分11a之间的连接关系。

显示确定器14b基于输出表11f和需求表11g、针对由搜索器14a搜索的处理部分11a确定是否改变在开发屏幕100上的关联的显示样式。

显示输出单元14c基于由显示确定器14b做出的确定结果来控制开发屏幕100上的显示样式。

此外，显示输出单元14c可以根据由显示确定器14b做出的确定结果，与风险管控器12c协作地执行将过滤器11c放置在开发屏幕100上显示的图中的控制。

在下文中，现在将关于以上敏感度评估器13和评估结果呈现器14进行详细描述。在以下描述中，将详细描述由敏感度评估器13执行的敏感信息的输出确定处理和需求确定处理以及由评估结果呈现器14执行的对显示样式的改变处理。此处，服务器10可以彼此独立地执行输出确定处理、需求确定处理和改变处理，或者可替选地，服务器10可以彼此并行地或者按时间顺序地执行这些处理中的两个或更多个。

(1-3)敏感信息的输出确定处理的操作的示例：

首先，现在将关于由敏感度评估器13进行的敏感信息的输出确定处理进行描述。输出确定处理是以上方案(a)的示例。图14是示出输出确定处理的操作的示例的流程图，并且图15是示出输出确定处理的操作的示例的图。

例如，如图14所示，敏感度评估器13的执行器13a通过来自处理部分管理器12a的通知或者对处理部分信息11d的监测来检测处理部分11a通过处理部分管理器12a被注册在存储器单元11中(步骤a1)。

执行器13a从处理部分信息11d中提取一个注册的(未评估的)处理部分11a作为评估目标的处理部分11a(步骤a2)。所提取的处理部分11a是第一处理的一个示例。

例如，执行器13a可以提取新添加至处理部分信息11d的一个或更多个条目中的一个条目的信息。在图15的示例中，执行器13a提取移动对象检测过滤器或面部模糊过滤器的信息。

执行器13a从存储器单元11提取数据11b和过滤器11c的一种组合(步骤a3)。所提取的数据11b是第一数据的示例，并且所提取的过滤器11c是第二处理的示例。

在图15的示例中，执行器13a提取包括面部的图像的样本数据作为数据11b，并且提取面部检测过滤器作为与该数据相关联的过滤器11c。如上所述，在输出确定处理中使用的过滤器11c可以是可以“检测”与过滤器11c相关联的数据11b中的敏感信息的过滤器。假设数据11b是包括车号的图像的样本数据，则过滤器11c可以是检测车号的过滤器。

接下来，执行器13a将所提取的数据11b输入到作为评估目标的处理部分11a中，并且将来自同一处理部分11a的输出输入到所提取的过滤器11c中(步骤a4，参见图3的下部行)。过滤器11c是第二处理的示例。执行器13a是通过对包括敏感信息的第一数据执行第一处理来提取第二数据的提取器的示例。

在图15的示例中，执行器13a将面部图像的样本数据输入到处理部分11a中，并且将来自同一处理部分11a的输出输入到面部检测过滤器中。执行器13a可以通过参考处理部分信息11d来指定连接至过滤器11c的输入端口的处理部分11a的输出端口，使得输入端口的数据形式与输出端口的数据形式匹配。

确定器13b确定来自过滤器11c的输出是否指示检测到敏感信息(步骤a5)。在图15的示例中，确定器13b确定面部检测过滤器在从处理部分11a输出的数据中是否检测到面部信息。

换句话说，确定器13b基于由下述模块对第二数据执行第二处理的结果来确定第二数据是否包括敏感信息：所述模块与敏感信息相关联地存储并且还执行确定是否包括敏感信息的第二处理。

例如，评估结果呈现器14可以输出关于敏感信息是否包括在第二数据中的确定结果。换句话说，评估结果呈现器14是输出由确定器13b做出的确定结果的确定结果输出单元的示例。例如，评估结果呈现器14可以以消息的形式将确定结果输出到开发屏幕100上，以日志的形式输出到存储器单元11，或者以各种其他形式来输出确定结果。

在确定来自过滤器11c的输出呈现出检测到敏感信息的情况下(步骤a5中的是)，信息注册器13c生成用作评估目标的处理部分11a的输出端口的条目并且将评估结果注册在输出表11f中(步骤a6)。此时，信息注册器13c在条目中设置“是”，“是”意味着与数据b相关联的敏感信息被输出(参见图12中的“编号1、编号2、编号4和编号5”项)。

在确定来自过滤器11c的输出未呈现出检测到敏感信息的情况下(步骤a5中的否)，信息注册器13c生成用作评估目标的处理部分11a的输出端口的条目并且将评估结果注册在输出表11f中(步骤a7)。此时，信息注册器13c在条目中设置“否”，“否”意味着与数据b相关联的敏感信息未被输出(参见图12中的“编号3和编号6”项)。

这意味着：在确定器13b确定从处理部分11a输出的数据中包括敏感信息的情况下，信息注册器13c将处理部分11a和与敏感信息有关的信息相关联地存储在输出表11f中。

然后，执行器13a确定数据11b和过滤器11c的另一未使用的组合是否被存储在存储器单元11中(步骤a8)。

在确定另一未使用的组合要被存储的情况下(步骤a8中的是)，处理移动至步骤a3，以提取数据11b和过滤器11c的另一未使用的组合，并且执行敏感信息的输出确定处理。在图15的示例中，执行器13a可以提取例如包括车号的图像的样本数据和用于检测车号的过滤器。

另一方面，在确定另一未使用的组合未被存储的情况下(步骤a8中的否)，执行器13a通过参考例如处理部分信息11d来确定存储器单元11中是否存在另一未评估的处理部分11a(步骤a9)。

在确定存储器单元11中存在另一未评估的处理部分11a的情况下(步骤a9中的是)，处理移动至步骤a2，并且执行器13a使用另一未评估的处理部分11a执行敏感信息的输出确定处理。

相比之下，在确定存储器单元11中不存在另一未评估的处理部分11a的情况下(步骤a9中的否)，处理结束。

如上所述，根据一个实施方式的示例来执行敏感信息的输出确定处理的服务器10可以检测来自处理部分11a的与样本数据(样本信息)有关的敏感信息的输出存在或不存在。因此，在应用110的开发中，开发者可以基于检测结果来进行与处理部分11a的敏感信息有关的风险确定。

此处，在输出表11f中已经存储有其注册被检测到的处理部分11a或与同一处理部分11a类似的处理部分11a的情况下，确定器13b可以基于输出表11f中的注册内容来确定来自处理部分11a的敏感信息的输出存在或不存在。与其注册被检测到的处理部分11a类似的处理部分11a可以例如是对输入数据执行相同处理的处理部分11a。

换句话说，确定器13b基于与第一处理相关联地存储的敏感信息来确定敏感信息是否包括在第二数据中。因此，服务器10由此可以省略输出确定处理的至少一部分，从而可以减轻处理负荷。另外，在这种情况下，评估结果呈现器14可以输出由确定器13b做出的确定结果。

(显示处理的示例)

接下来，现在将关于显示处理进行描述，该显示处理显示由敏感度评估器13执行的输出确定处理的处理结果。图16是示出显示处理的操作的示例的流程图。图17是示出显示处理的操作的示例的图。

如图16所示，评估结果呈现器14通过例如来自图管理器12b的通知检测到在开发屏幕100上使用了处理部分11a，例如处理部分11a被布置在开发屏幕100上(步骤a11)。在图17的示例中，评估结果呈现器14检测到在开发屏幕100上已经布置了移动对象检测过滤器和面部模糊过滤器。

评估结果呈现器14通过参考已经预先评估的输出表11f来确定检测到的处理部分11a是否输出敏感信息(步骤a12)。

在确定检测到的处理部分11a输出敏感信息的情况下(步骤a12中为是)，评估结果呈现器14在开发屏幕100上呈现风险警报(步骤a13)，然后处理结束。在图17的示例中，由于在输出表11f中注册了移动对象检测过滤器输出面部信息，因此评估结果呈现器14确定处理部分11a输出敏感信息，并在开发屏幕100上显示表示存在风险的警报。

换句话说，评估结果呈现器14是警报单元的示例，该警报单元确定是否与敏感信息相关联地存储处理部分11a，并且在确定与敏感信息相关联地存储处理部分11a的情况下，在没有由敏感度评估器13基于过滤器11c进行确定的情况下输出警报。

相反，在确定检测到的处理部分11a不输出敏感信息的情况下(步骤a12中为否)，评估结果呈现部14不在开发屏幕100上显示风险警报或呈现存在风险的指示(步骤a14)，并且处理结束。在图17的示例中，由于在输出表11f中注册了面部模糊过滤器不输出敏感信息，因此评估结果呈现部14确定处理部分11a不输出敏感信息，并在开发屏幕100上显示不存在风险的消息。

如上所述，当基于用作输出确定处理的确定结果的输出表11f检测到(评估到)处理部分11a输出敏感信息时，服务器10向终端设备20呈现风险警报。如上所述，服务器10可以在开发屏幕100上视觉上呈现应用110处理敏感信息。因此，呈现器可以容易地进行风险确定。

图16和图17所示的显示处理是参照图4描述的显示处理的一个示例。

(1-4)敏感信息的需求确定处理的说明：

现在将关于由敏感度评估器13执行的对敏感信息的需求确定处理进行接下来的描述。需求确定处理是上述方案(b)的示例。图18是示出需求确定处理的操作的示例的流程图，图19是示出需求确定处理的操作的示例的图。

如图18所示，如图14的步骤a1和a2一样，在检测到处理部分11a的注册的情况下(步骤b1)，敏感度评估器13的执行器13a从处理部分信息11d中提取一个注册的处理部分11a(步骤b2)。在图19的示例中，执行器13a提取性别检测过滤器或颜色检测过滤器的信息。

执行器13a从存储单元11提取数据11b和过滤器11c的一个组合(步骤b3)。提取的数据11b是第一数据的示例，提取的过滤器11c是第二处理的示例。

在图19的示例中，执行器13a提取包括面部的图像的样本数据作为数据11b，并且提取面部模糊过滤器作为与提取的数据相关联的过滤器11c。如上所述，在需求确定处理中使用的过滤器11c可以是可以“去除”与过滤器11c相关联的数据11b中的敏感信息的过滤器。假设数据11b是包括车号的图像的样本数据，则过滤器11c可以是去除(例如模糊)车号的过滤器。

接下来，执行器13a将提取的数据11b输入到评估目标的处理部分11a中，并从相同的处理部分11a获得输出a(步骤b4，参见图5的上排)。换句话说，执行器13a是提取器的示例，该提取器通过对包括敏感信息的第一数据执行第一处理来提取第二数据。

执行器13a将提取的数据11b输入到提取的过滤器11c中，并且将来自相同的过滤器11c的输出输入到评估目标的处理部分11a中，以从相同的处理部分11a获得输出b(步骤b5，参见图5的下排)。换句话说，执行器13a是输出单元的示例，该输出单元对通过对第一数据执行第二处理以删除敏感信息而获得的第三数据执行第一处理并输出所得的第四数据。

在图19的示例中，执行器13a将面部图像的样本数据输入到处理部分11a中以获得输出a，将面部图像的样本数据输入到面部模糊过滤器中，并且将来自相同过滤器的输出输入到处理部分11a中以获得输出b。执行器13a可以通过参考处理部分信息11d来指定要连接到处理部分11a的输入端口的过滤器11c的输出端口，以使输入端口的数据形式与输出端口的数据形式匹配。

确定器13b确定在步骤b4中获得的输出a是否与在步骤b5中获得的输出b相匹配(步骤b6)。在图19的示例中，确定器13b确定通过输入包括面部的图像的样本数据获得的处理部分11a的输出a是否与通过输入从中去除了面部的图像的样本数据获得的处理部分11a的输出b相匹配。换句话说，确定器13b基于第二数据与第四数据之间的比较结果来确定第一处理是否是使用敏感信息的处理。

另外，例如，评估结果呈现器14可以输出关于第一处理是否是使用敏感信息的处理的确定结果。换句话说，评估结果呈现器14是输出由确定器13b作出的确定结果的确定结果输出单元的示例。例如，评估结果呈现器14可以以消息的形式在开发屏幕100上输出确定结果、将确定结果以日志输出来输出到存储单元11或者以各种其他形式输出确定结果。

在确定输出a与输出b匹配的情况下(步骤b6中为是)，信息注册器13c生成用作评估目标的处理部分11a的输入端口的条目，并将评估结果注册到需求表11g(步骤b7)。此时，信息注册器13c在条目中设置“不需要”，这意味着处理部分11a不需要与数据11b有关的敏感信息(参见图13中的“编号1”、“编号3”和“编号4”的项)。

在确定输出a与输出b不匹配的情况下(步骤b6中为否)，信息注册器13c生成用作评估目标的处理部分11a的输入端口的条目，并将评估结果注册在需求表11g中(步骤b8)。此时，信息注册器13c在条目中设置“需要”，这意味着处理部分11a需要与数据b有关的敏感信息(参见图13中的“编号2”的项)。

然后，执行器13a确定数据11b和过滤器11c的另一未使用的组合是否被存储在存储单元11中(步骤b9)。

在确定存储有另一未使用的组合的情况下(步骤b9中为是)，处理进行至步骤b3，执行器13a提取数据11b和过滤器11c的未使用的组合，并执行敏感信息的需求确定处理。在图19的示例中，执行器13a可以提取例如包括车号的图像的样本数据和过滤器以模糊车号。

另一方面，在确定未存储另一未使用的组合的情况下(步骤b9中为否)，执行器13a确定存储单元11中是否存在另一未评估的处理部分11a(步骤b10)。

在确定存储单元11中存在另一未评估的处理部分11a的情况下(步骤b10中为是)，处理进行至步骤b2，并且执行器13a使用另一未评估的处理部分11a执行敏感信息的需求确定处理。

相反，在确定在存储单元11中不存在另一未评估的处理部分11a的情况下(步骤b10中为否)，处理结束。

如上所述，根据一个实施方式的示例的执行敏感信息的需求确定处理的服务器10可以通过改变样本数据(样本图像)中的敏感信息的存在或不存在并比较处理部分11a的输出的变化来确定是否需要处理部分11a的敏感信息。因此，在应用110的开发中，开发者可以基于确定结果来进行与处理部分11a的敏感信息有关的风险确定。

另外，由于服务器10确定处理部分11a是否需要敏感信息，因此可以输出比开发者作出的确定结果更精确的确定结果。

在服务器10执行输出确定处理和需求确定处理两者的情况下，令人满意地执行图14的步骤a1和a2的处理以及图18的步骤b1和b2的处理中的任一个。步骤a3至a8的处理和步骤b3至b9的处理可以按时间顺序连续地执行或彼此并行地执行。在步骤a3中提取的数据11b和过滤器11c可以与在步骤b3中提取的数据11b和过滤器11c不同。

(显示处理的示例)

接下来，现在将关于显示处理的示例进行描述，该显示处理显示由敏感度评估器13执行的需求确定处理的处理结果。图20是示出显示处理的操作的示例的流程图。图21是示出显示处理的操作的示例的图。

如图20所示，如图16的步骤a11一样，评估结果呈现器14检测到在开发屏幕100上使用了处理部分11a(步骤b11)。在图21的示例中，评估结果呈现器14检测到性别检测过滤器和颜色检测过滤器已经布置在开发屏幕100上。使用处理部分11a是接收对第一数据进行第一处理的指令的示例。

评估结果呈现器14通过参考已经预先评估的需求表11g来确定检测到的处理部分11a是否使用(需要)敏感信息(步骤b12)。

在确定检测到的处理部分11a使用敏感信息的情况下(步骤b12中为是)，评估结果呈现器14在开发屏幕100上呈现风险警报(步骤b13)，并且处理结束。在图21的示例中，由于在需求表11g中注册了性别检测过滤器使用敏感信息，因此评估结果呈现器14确定处理部分11a使用敏感信息，并且在开发屏幕100上显示指示存在风险的警报。

相反，在确定检测到的处理部分11a不使用敏感信息的情况下(步骤b12中为否)，评估结果呈现器14指示风险管控器12c放置过滤器11c以删除检测到的处理部分11a使用的敏感信息。例如，评估结果呈现器14可以通过参考需求表11g来指定要放置的过滤器。

风险管控器12c将指定的过滤器11c放置(布置)在布置在开发屏幕100上的处理部分11a的输入侧，并且将过滤器11c的输出端口与处理部分11a的输入端口连接(步骤b14)。此外，为了将放置的过滤器11c结合到图中，风险管控器12c可以更新图信息11e。

在图21的示例中，由于在需求表11g中注册了颜色检测过滤器不使用敏感信息，因此，评估结果呈现器14确定处理部分11a不使用敏感信息，并指示风险管控器12c放置面部模糊过滤器。风险管控器12c将面部模糊过滤器放置在颜色检测过滤器的输入侧，并连接这些过滤器。

接下来，评估结果呈现器14在开发屏幕100上显示指示不存在风险(管控已完成)的消息(步骤b15)，并且处理结束。

此外，在步骤b12中为否的情况下，评估结果呈现器14可以在步骤b14之前执行以下步骤b16和b17的处理。

例如，评估结果呈现器14显示指示风险可管控的风险警报(步骤b16)，并向终端设备20询问是否要执行风险管控(参见图21中的“提议管控”。

评估结果呈现器14确定是否从终端设备20接收到风险管控请求(步骤b17)，并且在接收到该请求的情况下(步骤b17为是)，执行步骤b14的处理。相反，在评估结果呈现器14未从终端设备20接收到风险管控请求的情况下(例如，在接收到不需要风险管控的指示的情况下)(步骤b17中为否)，处理结束。

如上所述，评估结果呈现器14是警报单元的示例，该警报单元在第一处理是使用敏感信息的处理的情况下输出警报。

此外，评估结果呈现器14和风险管控器12c用作警报单元，该警报单元在第一处理是不使用敏感信息的处理的情况下，输出与从第一数据中去除敏感信息的第二处理有关的信息或者对第一数据执行第二处理。

如上所述，在要在开发屏幕100中使用基于表示需求确定处理中的确定结果的需求表11g被确定(评估)为使用敏感信息的处理部分11a的情况下，服务器10向终端设备20呈现风险警报。如上所述，服务器10可以在开发屏幕100上视觉地呈现对应用110中的敏感信息的处理。这使得开发者容易地进行风险确定。

在要在开发屏幕100上使用被确定(评估)为不使用敏感信息的处理部分11a的情况下，服务器10将用于去除敏感信息的过滤器11c放置在处理部分11a的输入侧并将过滤器11c连接到处理部分11a。利用这种配置，即使在当前讨论的处理部分11a的上游布置输出敏感信息的另一处理部分11a，也可以通过过滤器11c去除敏感信息，使得可以降低(例如，消除)与敏感信息有关的风险。

在此，图20和图21的显示处理是参照图6描述的显示处理的示例。

在服务器10执行输出确定处理和需求确定处理两者的情况下，令人满意地执行图16的步骤a11的处理和图20的步骤b11的处理中的任一个。步骤a12至a14的处理和步骤b12至b17的处理可以按时间顺序连续地执行或彼此并行地执行。在这种情况下执行的显示处理是参照图7描述的显示处理的示例。

(1-5)显示样式的改变处理的说明：

现在将关于评估结果呈现器14的显示样式的改变处理进行接下来的描述。改变处理是上述方案(c)的示例。在下文中，现在将关于改变处理的三个实施方式进行描述。

(改变处理的第一实施方式)

在第一实施方式中，现在将关于在评估结果呈现器14既不使用输出表11f也不使用需求表11g的情况下，或者在评估结果呈现器14使用输出表11f的情况下执行的操作的示例进行描述。图22是示出改变处理的操作的示例的流程图，图23是示出改变处理的操作的示例的图。

如图22所示，评估结果呈现器14通过由图管理器12b在开发屏幕100上生成图或者检测图信息11e的生成或更新来检测图的注册(步骤c1)。

评估结果呈现器14的搜索器14a从图信息11e中提取注册的图的起点处的处理部分11a(步骤c2)。在这种情况下，搜索器14a可以以例如通过使用图算法搜索不具有上级节点的节点的方案从图信息11e中搜索起点处的处理部分11a。在图23的示例中，搜索器14a从图信息11e(参见图11)中提取输入装置111作为起点处的处理部分11a。

显示确定器14b确定来自起点处的处理部分11a的输出是否包括敏感信息(步骤c3)。例如，显示确定器14b可以根据起点处的处理部分11a的类型来确定输出是否包括敏感信息。

例如，如图24所示，在起点处的处理部分11a是诸如摄像装置的输入装置111的情况下，显示确定器14b可以确定来自输入装置111的输出包括由意外捕获到图像中而产生的敏感信息。

另一方面，在服务器10执行输出确定处理的情况下，显示确定器14b可以通过参考生成的输出表11f来确定是否从起点处的处理部分11a的输出端口输出敏感信息。

在确定起点处的处理部分11a的输出不包括敏感信息的情况下(步骤c3中为否)，处理结束。

与上述相反，在确定起点处的处理部分11a的输出包括敏感信息的情况下(步骤c3中为是)，显示确定器14b确定通过例如在上述方案中以红色来呈现相同处理部分11a的输出来改变显示样式(步骤c4)。

搜索器14a确定在图信息11e中是否存在未确定的处理部分11a(步骤c5)。

例如，搜索器14a可以通过参考图信息11e来确定在确定的处理部分11a的输出侧是否存在输出侧的未确定的处理部分。在不存在输出侧的处理部分的情况下，搜索器14a可以通过参考图信息11e来确定在连接到确定的处理部分11a的输入侧的处理部分11a中是否存在输出侧的另一未确定的处理部分。如上所述，搜索器14a可以在例如使用例如图算法搜索下级节点的方案中从图的起点到终点顺序地搜索未确定的处理部分11a。

在图23的示例中，搜索器14a将作为输入装置111的输出侧的处理部分的移动对象检测116和面部识别112指定为未确定的处理部分11a。

在确定图信息11e中不存在未确定的处理部分11a的情况下(步骤c5中为否)，显示输出单元14c根据由显示确定器14b作出的确定结果改变图在开发屏幕100上的显示样式(步骤c10)，处理结束。

在确定在图信息11e中存在未确定的处理部分11a的情况下(步骤c5中为是)，搜索器14a从图信息11e中提取一个未确定的处理部分11a(步骤c6)。在图23的示例中，搜索器14a选择移动对象检测116。

显示确定器14b确定提取的处理部分11a的输出是否包括敏感信息(步骤c7)。例如，显示确定器14b可以根据提取的处理部分11a的类型来确定输出是否包括敏感信息。

作为示例，如图25所示，在提取的处理部分11a是删除敏感信息的处理部分11a诸如面部模糊过滤器和移动对象检测过滤器的情况下，显示确定器14b可以确定提取的处理部分11a输出不包括敏感信息的数据。由于移动对象检测过滤器取决于其输出端口有时包括敏感信息(参见图10中的“检测移动对象”)，因此显示确定器14b可以考虑图信息11e中的提取的处理部分11a的输出端口来进行确定。

显示确定器14b可以基于关于与数据相关联的协议或数据的存储位置的信息来确定从处理部分11a输出的数据是否是包括敏感信息的数据。例如，在要处理敏感信息的情况下，可以在数据提供者或个人可识别信息的所有者与开发器之间产生与事先同意确认有关的协议或者存储的时间段和位置受限的数据存储。这意味着数据是否是敏感信息有时可能会随存储位置和协议的条件而变化。

考虑到上述情况，显示确定器14b可以基于与存储位置和协议有关的信息来确定要由处理部分11a处理的数据是否是在这样的事先同意确认下的数据。例如，在数据是针对其进行事先同意确认的数据或者在受限的存储位置中存储的数据的情况下，即使从处理部分11a输出的数据包括敏感信息，显示确定器14b也可以确定不改变显示样式。

另一方面，在服务器10执行输出确定处理的情况下，显示确定器14b可以通过参考生成的输出表11f来确定是否从提取的处理部分11a的输出端口输出敏感信息。

在确定提取的处理部分11a的输出不包括敏感信息的情况下(步骤c7中为否)，显示确定器14b确定不改变显示样式(步骤9)，并且处理进行至步骤c5。

相反，在确定提取的处理部分11a的输出包括敏感信息的情况下(步骤c7中为是)，显示确定器14b确定通过例如在上述方案中以红色呈现相同处理部分11a的输出来确定改变显示样式(步骤c8)。然后，处理进行至步骤c5。

在图23的示例中，由于如图23和图25所示，移动对象检测116的输出端口不输出2,敏感信息，因此显示确定器14b确定移动对象检测116的输出不包括敏感信息。在这种情况下，搜索器14a可以禁止搜索移动对象检测116的输出侧的处理部分并且搜索另一未确定的处理部分11a。

由于如图23和图26所示，面部识别112的输出端口1在敏感信息被输入其中时输出敏感信息，因此显示确定器14b确定面部识别112的输出包括敏感信息。

另一方面，在服务器10执行输出确定处理的情况下，显示确定器14b可以通过参考所生成的输出表11f来确定移动对象检测116的输出端口2和面部识别112的输出端口2中的每个输出端口的敏感信息(例如，面部信息)的存在或不存在。

在图23的示例中，在面部识别112之后执行的步骤c5和步骤c6中，搜索器14a提取存储到db113作为面部识别112的输出侧的处理部分。

由于存储到db113不具有输出，因此显示确定器14b确定不改变存储到db113的下游(输出侧)的显示样式。在存储到db113中，从输入侧输入的敏感信息被没有任何修改地进行存储。因此，例如，在存储到db113是与健康或医疗主题有关的存储到db的情况下，可以将健康数据视为敏感信息。如上所述，显示确定器14b可以根据数据的存储位置来确定图标之间的数据是否包括敏感信息。

存储到db113是图的终点，因此在输出侧上不具有处理部分。对于上述，在对存储到db113进行确定之后在步骤c5中处理的结果变为“否”，显示输出单元14c对图的显示样式改变(参见图23)，并且处理结束。

在改变显示样式时，显示输出单元14c可以改变包括敏感信息的起点和终点处的相关图标中的至少任一个的显示样式。在图23的示例中，显示输出单元14c可以改变输入装置111与移动对象检测116之间、输入装置111与面部识别112之间以及面部识别112与存储到db113之间的显示样式。

(改变处理的第二实施方式)

在第二实施方式中，现在将关于评估结果呈现器14既不使用输出表11f也不使用需求表11g以及评估结果呈现器14使用需求表11g的情况下的操作示例进行描述。图27是示出改变处理的操作的示例的流程图。在下面的描述中，将省略与图22的流程图中的处理相同的处理。

如图27所示，在步骤c6中提取未确定的处理部分11a的情况下，显示确定器14b确定提取的处理部分11a是否需要敏感信息(步骤c11)。例如，显示确定器14b可以根据提取的处理部分11a的类型来确定处理部分11a是否需要敏感信息。

作为示例，在提取的处理部分11a是需要敏感信息的处理部分11a例如图26所示的面部识别的情况下，显示确定器14b可以基于提取的处理部分11a的输入中是否包括敏感信息来确定是否需要敏感信息。

另一方面，在服务器10执行需求确定处理的情况下，显示确定器14b可以通过参考生成的需求表11g来确定提取的处理部分11a是否需要敏感信息。

在显示确定器14b确定提取的处理部分11a不需要敏感信息的情况下(步骤c11中为否)，处理进行至步骤c9。相反，在显示确定器14b确定提取的处理部分11a需要敏感信息的情况下(步骤c11中为是)，处理进行至步骤c8。

可替选地，在第二实施方式中，在随后的步骤c5和c6中，搜索器14a可以提取在其显示样式在步骤c9中被确定为不改变的处理部分11a的输出侧上的处理部分。

(改变处理的第三实施方式)

在第三实施方式中，现在将关于评估结果呈现器14使用输出表11f和需求表11g两者的情况下的操作示例进行描述。图28是示出改变处理的操作的示例的流程图。在下面的描述中，将省略与图22和图27的流程图中的处理的相同的处理。

如图28所示，在步骤c6中提取未确定的处理部分11a的情况下，显示确定器14b确定提取的处理部分11a是否需要敏感信息(步骤c13)。例如，显示确定器14b通过参考需求表11g来确定提取的处理部分11a的输入端口是否需要敏感信息。

在提取的处理部分11a不需要敏感信息的情况下(步骤c13中为否)，显示确定器14b确定提取的处理部分11a的输出是否包括敏感信息(步骤c15)。例如，显示确定器14b通过参考生成的输出表11f来确定来自提取的处理部分11a的输出端口的输出是否包括敏感信息。

在输出中不包括敏感信息的情况下(步骤c15中为否)，处理进行至步骤c9。即，显示确定器14b确定不改变显示样式。

在输出中包括敏感信息的情况下(步骤c15中为是)，处理进行至步骤c8。即，显示确定器14b确定改变显示样式。

在图23的示例中，显示确定器14b确定移动对象检测116的输入端口不需要敏感信息(例如，面部信息)(参见图13中的“编号：1”)。另外，显示确定器14b确定移动对象检测116的输出端口2没有输出敏感信息(参见图12中的“编号：3”)。因此，显示确定器14b确定不改变移动对象检测116的输出的显示样式(步骤c9)。

在对移动对象检测116进行确定之后，显示确定器14b确定由搜索器14a检测到的声音蜂鸣器117不需要敏感信息，并且还确定声音蜂鸣器117的输出不包括敏感信息，因为声音蜂鸣器117不具有输出端口。

在步骤c13中确定提取的处理部分11a需要敏感信息的情况下(步骤c13中为是)，显示确定器14b确定提取的处理部分11a的输入是否包括敏感信息(步骤c14)。例如，显示确定器14b可以基于先前的确定结果来确定在连接至提取的处理部分11a的输入侧的处理部分11a(输入侧的处理部分)的输出中是否包括敏感信息。

在确定输入不包括敏感信息的情况下(步骤c14中为否)，显示确定器14b确定呈现风险警报(步骤c16)，并且处理进行至步骤c5。

在确定输入包括敏感信息的情况下(步骤c14中为是)，处理进行至步骤c15。例如，如上所述，显示确定器14b确定提取的处理部分11a的输出是否包括敏感信息。

在输出不包括敏感信息的情况下(步骤c15中为否)，处理进行至步骤c9。即，显示确定器14b确定不改变显示样式。

在输出包括敏感信息的情况下(步骤c15中为是)，处理进行至步骤c8。即，显示确定器14b确定改变显示样式。

在图23的示例中，显示确定器14b确定面部识别112的输入端口需要敏感信息(例如，面部信息)(参见图13中的“编号：2”)，并且还确定面部识别112的输出端口2输出敏感信息(参见图12中的“编号：5”)。因此，显示确定器14b确定改变面部识别112的输出的显示样式(步骤c8)。

如上所述，根据一个实施方式的示例，执行显示样式的改变处理的服务器10可以基于在开发屏幕100上显示的处理部分11a之间传送的数据中存在或不存在敏感信息来改变相同处理部分11a之间的显示样式。从而，开发者可以在应用110的开发阶段中借助于视觉呈现容易地确定与敏感信息有关的风险。

换句话说，评估结果呈现器14是显示控制器的示例，该显示控制器在表示与装置或处理有关的信息的多个图标彼此关联地显示在开发屏幕100上的状态下，根据由多个相关联的图标指定的装置或处理之间传送的数据是否包括敏感信息来改变图标之间的显示样式。

从另一方面，执行上述处理的评估结果呈现器14的功能可以被视为图29中示例性示出的显示控制器140。

显示控制器140可以示例性地包括敏感信息生成点检测器140a、敏感信息去除点检测器140b、敏感信息范围估计器140c以及突出显示单元140d。显示控制器140还可以包括处理部分信息11d、图信息11e、输出表11f以及需求表11g作为这些功能块140a至140d参考的信息。

敏感信息生成点检测器140a和敏感信息去除点检测器140b分别检测针对其生成敏感信息的处理部分11a和针对其去除敏感信息的处理部分11a，并且分别是搜索器14a和显示确定器14b的示例。

敏感信息范围估计器140c估计在图中的处理部分11a之间传送的数据包括敏感信息的范围，并且是显示确定器14b的示例。

突出显示单元140d(例如，以读方式呈现)突出显示在由敏感信息范围估计器140c估计的范围内的处理部分11a之间的连接线，并且是显示输出单元14c的示例。

(1-6)变型：

一个实施方式的敏感度评估器13针对每种类型的敏感信息确定处理部分11a是否输出敏感信息以及处理部分11a是否使用敏感信息。变型的评估结果呈现器14可以针对每种类型的敏感信息输出由敏感度评估器13做出的评估结果。

图30是示出在开发屏幕100上的图的显示样式的变型的图。如图30所示，开发屏幕100可以包括：选择区域101，其用于选择要在开发屏幕100上显示的敏感信息的类型(类别)；以及一个或多个显示区域102，其用于显示与所选择的类型相关联的评估结果。

例如，在选择区域101上选择了项“全部”的情况下，评估结果呈现器14可以在开发屏幕100上显示与敏感信息的种类数量一样多的显示区域102，并且还可以在开发屏幕100上与显示区域102中的对应的显示区域102相关联地显示每种类型的敏感信息的图。可以根据对应类型的敏感信息的评估结果来改变每个图的显示样式。

在选择区域101上选择了多种类型的敏感信息中的一种敏感信息的情况下，评估结果呈现器14可以在开发屏幕100上显示一个显示区域102，并且与所选择的敏感信息相关联地显示根据评估结果改变了显示样式的图。

这使开发者容易地做出每种类型的敏感信息的风险确定。

(1-7)硬件配置的示例：

图31是示意性地示出实现服务器10的功能的计算机30的硬件配置的示例的框图。在使用多个计算机作为实现服务器10的功能的硬件资源的情况下，每个计算机可以具有图31中示例性示出的硬件配置。

如图31所示，计算机30可以示例性地包括作为硬件配置的处理器30a、存储器30b、存储装置30c、if(接口)装置30d、i/o(输入/输出)装置30e以及读取器30f。

处理器30a是执行各种控制和算术运算的算术处理设备的示例。处理器30a可以经由总线30i可通信地连接至计算机30中的块。在一个实施方式中，处理器30a可以是包括多个处理器的多处理器，或者是具有多个处理器核的多核处理器，或者具有由多个多核处理器组成的配置。

处理器30a的示例是集成电路(ic)，例如中央处理单元(cpu)、微处理单元(mpu)、图形处理单元(gpu)、加速处理单元(apu)、数字信号处理器(dsp)、专用ic(asic)和现场可编程门阵列(fpga)。可替选地，处理器30a可以是如上例示的两个或更多个ic的组合。

存储器30b是存储诸如各种数据片段和程序之类的信息的硬件装置的示例。存储器30b的示例包括诸如动态随机存取存储器(dram)的易失性存储器和诸如持久性存储器(pm)的非易失性存储器中的一者或两者。

存储装置30c是存储各种数据和程序的硬件装置的示例。存储装置30c的示例是由诸如硬盘驱动器(hdd)的磁盘装置、诸如固态驱动器(ssd)的半导体驱动装置和非易失性存储器例示的各种存储装置。非易失性存储器的示例是闪存、存储类存储器(scm)和只读存储器(rom)。

存储装置30c可以存储实现计算机30的全部或部分功能的程序30g(信息处理程序和屏幕显示程序中的一者或两者)。例如，服务器10的处理器30a将存储在存储装置30c中的程序30g扩展到存储器30b上，并执行扩展的程序30g，使得可以实现作为图9或图29所示的服务器10的功能。

由存储器30b和存储装置30c中的至少一个拥有的存储区域是存储单元11的示例，并且可以存储各种信息片段11a至11g。

if装置30d是控制与网络的连接和与网络的通信的通信if的示例。例如，if装置30d可以包括与诸如以太网(注册商标)之类的lan和诸如光纤通道(fc)之类的光通信兼容的适配器。适配器可以与有线和无线通信方案中的一者或二者兼容。例如，程序30g可以通过通信if从网络下载到计算机30，然后存储到存储装置30c中。

i/o装置30e可以包括输入装置和输出装置中的一者或两者。输入装置的示例是键盘、鼠标和触摸屏。输出装置的示例是监视器、投影仪和打印机。

读取器30f是读取记录在记录介质30h上的数据和程序的信息的读取器的示例。读取器30f可以包括记录介质30h可以连接或插入至的连接端子或装置。读取器30f的示例包括符合例如通用串行总线(usb)的适配器、访问记录盘的驱动设备以及访问诸如sd卡之类的闪存的读卡器。程序30g可以存储在记录介质30h中。读取器30f可以从记录介质30h读取程序30g，并且将读取的程序30g存储到存储装置30c中。

记录介质30h的示例是诸如磁盘/光盘之类的非暂态记录介质和闪存。磁盘/光盘的示例包括软盘、致密盘(cd)、数字多功能光盘(dvd)、蓝光盘和全息多功能光盘(hvd)。闪存的示例包括诸如usb存储器和sd卡的半导体存储器。

上述计算机30的硬件配置仅是示例性的。因此，计算机30可以适当地进行硬件的增加或减少(例如，任意块的添加或删除)、划分、以任意组合的集成以及总线的添加或删除。例如，在服务器10中可以省略i/o装置30e和读取器30f中的至少一个。

可以通过与上述计算机30相同的硬件配置来实现用作信息处理终端的示例的终端装置20的功能。例如，终端装置20的处理器30a可以通过将存储在存储装置30c中的程序30g扩展到存储器30b上并执行扩展的程序30g来实现作为终端装置20的功能。

(2)其他：

可以如下修改或改变在以上一个实施方式中公开的技术。

例如，图9和图29所示的功能块可以以任何任意组合进行合并或分离。

在上面的一个实施方式和变型中，假定敏感信息是图像，但是敏感信息不限于图像。可替选地，敏感信息可以是包括个人可识别信息的字母串或包括个人可识别信息的声音(例如，语音)。处理部分11a和过滤器11c令人满意地执行适合于敏感信息形式的处理。例如，在敏感信息是字母串或声音的情况下，处理部分11a和过滤器11c可以是对字母串或声音执行诸如处理(process)、检测和去除的处理(processing)的模块。

此外，在一个实施方式和变型中，灵敏度评估器13针对每种类型的敏感信息进行评估，并且进一步，在变型中的评估结果呈现器14针对每种类型的敏感信息显示图。然而，评估和显示不限于此。可以处理一种类型的敏感信息。

[附图标记列表]

1应用开发系统

10服务器

11存储单元

11a处理部分

11b数据

11c过滤器

11d处理部分信息

11e图信息

11f输出表

11g需求表

12信息管理器

12a处理部分管理器

12b图管理器

12c风险管控器

13敏感度评估器

13a执行器

13b确定器

13c信息注册器

14评估结果呈现器

14a搜索器

14b显示确定器

14c显示输出单元

20终端装置

30计算机

100开发屏幕

140显示控制器

140a敏感信息生成点检测器

140b敏感信息去除点检测器

140c敏感信息范围估计器

140d突出显示单元