@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00201500,
 author = {小栗, 秀暢 and 山岡, 裕司 and 鎌倉, 健 and Hidenobu, Oguri and Yuji, Yamaoka and Ken, Kamakura},
 book = {コンピュータセキュリティシンポジウム2019論文集},
 month = {Oct},
 note = {企業内における多くのパーソナルデータは，集計表や仮名表など，使用目的ごとに様々な形式に加工され，派生データとして利用される．多くの派生データは単独では個人を識別できなくとも，結合して元データを復元できる可能性がある．近年，サービス運営者には，ユーザからの削除要求に応じてパーソナルデータ中から特定のレコードを削除加工する義務が課されているが，派生データを削除する基準は曖昧であり，管理する手法が必要とされている．本稿では，派生データ間の属性ごとの結合可能性を計測し，グラフ構造でその関係性を管理する手法を提案する．その上で，派生データ間の結合可能性を経路として探索することで，パーソナルデータを再結合して復元できるリスクを計測する．また，探索した経路の中で，最も結合可能性の高い属性のみを差分プライバシーを用いてかく乱することで，派生データ群全体の復元可能性を減少させる手法について提案する．実験によって元情報に復元できないプライバシー保護指標の値域を求め，その効果を検証した．, A lot of personal data in the company are processed into various formats for each purpose of use, such as aggregate tables, and are generally stored as derived data. Even if derived data cannot identify individuals by themselves, there is a possibility that the original data can be restored by combining to other derived data. In recent years, companies have been obligated to erase personal data appropriately according to user requests, but the criteria for how much of the derived data should be erased are ambiguous. In this paper, we propose a system to measure the connectability of derived data and clarify the relationship with graph structure. The risk that personal data can be restored is measured by searching the connectability of derived data as a route. In addition, we propose a method to reduce the overall restoration possibility by disturbing only the attribute with the highest connectability among the searched routes by using differential privacy. Experiments showed how to obtain index range at a level that cannot be restored to the original information, and verified the effect.},
 pages = {1469--1476},
 publisher = {情報処理学会},
 title = {個人情報の結合可能性の評価方式と差分プライバシーを用いたデータ削除要求への対応手法},
 volume = {2019},
 year = {2019}
}