昨今様々なパーソナルデータが蓄積されているが，ある個人のパーソナルデータは，店舗 A と施設 B のような別の主体によって管理されている場合が考えられる．このとき，店舗 A と施設 B の持つデータを名寄せできればより多くの情報を利活用できるが，店舗 A が名寄せデータを得ると，自身のデータと突き合わせることにより名寄せデータ中の個人を識別し，相関分析等には本来不必要な情報を得ることができてしまう．本論文では，名寄せデータを作成する際に，最終的に名寄せデータを得る主体以外は何も情報を得られず，且つ名寄せしたデータを得た主体も，名寄せデータから個人が識別できないようにするプロトコルを提案する．まず基本方式として，公開鍵暗号と Pk-匿名化を組み合わせたプロトコルを提案する．次に，基本方式を拡張し，より多様なデータや状況に対応する方法，およびより安全性を高める方法について述べる．
We propose join protocols with anonymity for vertically partitioned data. We first propose a basic protocol that produces the joined table with two security notions: secrecy of tables for all parties except the party that obtains the joined table, and (probabilistic) k-anonymity for the party. In the basic protocol, we consider only a categorical attribute, the risk of distinguishing an individual, and assume that the common records among all tables is known and the adversary's knowledge is restricted. We then show how to extend the basic protocol. We give a way to treat a numerical attribute while preserving the same security level, reduce the risk of attribute estimation, manage the protocol even if the common records is unknown, and make the basic protocol be secure against an adversary with any background knowledge.