JP4813278B2 - TERMINAL DEVICE, HISTORY SERVICE USING METHOD, HISTORY SERVICE USING PROGRAM, SERVER DEVICE, AND HISTORY SERVICE PROVIDING SYSTEM - Google Patents

TERMINAL DEVICE, HISTORY SERVICE USING METHOD, HISTORY SERVICE USING PROGRAM, SERVER DEVICE, AND HISTORY SERVICE PROVIDING SYSTEM Download PDF

Info

Publication number
JP4813278B2
JP4813278B2 JP2006195678A JP2006195678A JP4813278B2 JP 4813278 B2 JP4813278 B2 JP 4813278B2 JP 2006195678 A JP2006195678 A JP 2006195678A JP 2006195678 A JP2006195678 A JP 2006195678A JP 4813278 B2 JP4813278 B2 JP 4813278B2
Authority
JP
Japan
Prior art keywords
information
history
usage
record
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006195678A
Other languages
Japanese (ja)
Other versions
JP2008026955A (en
Inventor
和美 齋藤
健 米田
英憲 太田
規 松田
伊藤  隆
充洋 服部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2006195678A priority Critical patent/JP4813278B2/en
Publication of JP2008026955A publication Critical patent/JP2008026955A/en
Application granted granted Critical
Publication of JP4813278B2 publication Critical patent/JP4813278B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To utilize history service while securing a user's anonymity. <P>SOLUTION: A service providing device 810 stores utilization record information 620 not specifying users who used service. A user terminal unit 100 receives the utilization record information 620 from the service providing device 810 and acquires the tendency of users' utilization of service. Based on this, the user terminal unit 100 determines anonymity of information which records service used by himself or herself, and generates anonymous history information 63 from highly anonymous information. The service providing device 810 receives the anonymous history information 630 from the user terminal 100 and provides history service based on this. <P>COPYRIGHT: (C)2008,JPO&amp;INPIT

Description

この発明は、利用者を特定する手がかりを与えずに、履歴サービスを利用する技術に関する。   The present invention relates to a technique for using a history service without giving a clue for specifying a user.

履歴サービスとは、サービスの利用者が過去に利用したサービスの内容(例えば、購入した商品)に基づいて、利用者の嗜好や傾向を把握し、利用者が利用しそうなサービスを予測して、その利用者にとって有用な情報を提供するなどのサービスを行うものである。
従来の履歴サービスは、サービス提供者が利用者のサービス利用履歴を保存し、利用者が誰であるかを特定した上で、提供されるものである。 The history service is based on the contents of the service used by the user of the service in the past (for example, the purchased product) to understand the preferences and trends of the user, predict the service that the user is likely to use, It provides services such as providing useful information for the user.
A conventional history service is provided after a service provider saves a user's service usage history and identifies who the user is.

また、利用者がサービス利用履歴を保存し、サービスを利用する際に、自己の利用履歴をサービス提供者に教えることにより、利用者を特定せずに履歴サービスの提供を受けるものもある。
特開2001−256395号公報 特開2005−051671号公報 繁富利恵、大塚玲、Keith Martin、今井秀樹「部分的なlinkabilityを付加したRefreshable Tokens」情報処理学会研究報告、2004−CSEC−26(52)、359〜366ページ A.J.Menezes、Paul C.Van Oorschot、Scott A.Vanstone「Handbook of Applied Cryptography」CRC Press、405ページ In addition, when a user saves a service usage history and uses the service, the user may be provided with a history service without specifying the user by teaching the service usage history to the service provider.
JP 2001-256395 A JP-A-2005-05671 Toshie Shigefumi, Satoshi Otsuka, Keith Martin, Hideki Imai “Refreshable Tokens with Partial Linkability” Information Processing Society of Japan, 2004-CSEC-26 (52), pages 359-366 A. J. et al. Menezes, Paul C.M. Van Oorschot, Scott A. Vanstone “Handbook of Applied Cryptography” CRC Press, page 405

サービス提供者が利用者を特定して利用者のサービス利用履歴を保存する方式は、利用者を特定できるため、匿名性を保ったままサービスを利用したい利用者は、利用することができないという課題がある。
利用者がサービス利用履歴を保存する方式の場合、サービス提供者の側で保存したサービス利用履歴と照合することにより、利用者を特定されてしまうという課題がある。
また、データマイニング技術の発達により、サービス利用履歴の一部だけをサービス提供者に教えた場合であっても、バラバラの利用履歴から関連性を把握し、利用者のサービス利用の全貌を明らかにすることができる場合がある。 The method in which the service provider specifies the user and saves the service usage history of the user can specify the user, so that the user who wants to use the service while maintaining anonymity cannot use it There is.
In the case of the method in which the user saves the service usage history, there is a problem that the user is specified by collating with the service usage history saved on the service provider side.
In addition, with the development of data mining technology, even if only part of the service usage history is taught to the service provider, the relationship between the usage history of individual users is grasped and the entire picture of the user's service usage is revealed. You may be able to.

この発明は、例えば、上記のような課題を解決するためになされたものであり、利用者が匿名性を保ったまま、履歴サービスを利用できるようにすることを目的とする。   The present invention has been made, for example, in order to solve the above-described problems, and an object thereof is to allow a user to use a history service while maintaining anonymity.

この発明にかかる端末装置は、
情報を記憶する記憶装置と、
情報を処理する処理装置と、
利用したサービス内容を記録した利用記録情報を複数記憶するサーバ装置と通信する通信装置と、
上記記憶装置を用いて、上記サーバ装置が記憶した上記利用記録情報のうち、所定の利用者が利用した上記サービス内容についての利用記録情報を利用履歴情報として記憶する利用履歴記憶部と、
上記通信装置を用いて、上記サーバ装置から、上記利用記録情報を複数受信し、上記処理装置を用いて、受信した複数の上記利用記録情報を出力する利用記録受信部と、
上記処理装置を用いて、上記利用記録受信部が出力した複数の上記利用記録情報と、上記利用履歴記憶部が記憶した上記利用履歴情報とを入力し、上記処理装置を用いて、入力した複数の上記利用記録情報に基づいて、入力した上記利用履歴情報のうち上記サーバ装置に送信しても上記所定の利用者が特定されにくい情報を判別し、上記処理装置を用いて、判別した上記情報を匿名履歴情報として出力する匿名履歴判別部と、
上記処理装置を用いて、上記匿名履歴判別部が出力した上記匿名履歴情報を入力し、上記通信装置を用いて、上記サーバ装置に対して、入力した上記匿名履歴情報を送信する匿名履歴送信部とを有することを特徴とする。 The terminal device according to the present invention is
A storage device for storing information;
A processing device for processing information;
A communication device that communicates with a server device that stores a plurality of usage record information in which used service content is recorded;
Of the use record information stored by the server device using the storage device, a use history storage unit that stores use record information about the service content used by a predetermined user as use history information;
A plurality of usage record information received from the server device using the communication device, and a plurality of usage record information received using the processing device;
Using the processing device, the plurality of usage record information output from the usage record receiving unit and the usage history information stored in the usage history storage unit are input, and the plurality of input information is input using the processing device. Based on the usage record information, the information on the input usage history information that is difficult to identify the predetermined user even if transmitted to the server device is determined, and the determined information is determined using the processing device. Anonymity history discriminating section for outputting as anonymous history information,
Anonymous history transmission unit that inputs the anonymous history information output by the anonymous history determination unit using the processing device and transmits the input anonymous history information to the server device using the communication device. It is characterized by having.

この実施の形態における利用者端末装置100によれば、利用者が特定されにくい情報を匿名履歴判別部130が匿名履歴情報630として判別し、判別した匿名履歴情報630を匿名履歴送信部141がサービス提供装置810に対して送信するので、この情報送信によりサービス提供装置810が利用者を特定できないという効果を奏する。   According to the user terminal device 100 in this embodiment, the anonymous history discriminating unit 130 discriminates information that is difficult to identify the user as the anonymous history information 630, and the anonymous history transmitting unit 141 services the discriminated anonymous history information 630. Since it transmits with respect to the provision apparatus 810, there exists an effect that the service provision apparatus 810 cannot identify a user by this information transmission.

実施の形態1.
実施の形態1について、図1〜図9を用いて説明する。 Embodiment 1 FIG.
The first embodiment will be described with reference to FIGS.

図1は、この実施の形態における履歴サービス提供システム800の全体構成の一例を示すシステム構成図である。
履歴サービス提供システム800は、利用者が過去に利用したサービスの内容に基づいて、その利用者が利用するであろうサービスを予測し、その利用者にとって有用な情報を利用者に提供するシステムである。
例えば、商店において、顧客が過去に購入した商品についての情報から、その顧客が購入しそうな商品を予測し、その商品についての値引き情報などをその顧客に提供する。 FIG. 1 is a system configuration diagram showing an example of the overall configuration of a history service providing system 800 in this embodiment.
The history service providing system 800 is a system that predicts a service that the user will use based on the contents of the service that the user has used in the past, and provides the user with useful information for the user. is there.
For example, in a store, a product that the customer is likely to purchase is predicted from information about a product that the customer has purchased in the past, and discount information about the product is provided to the customer.

サービス提供装置810は、サービスを利用する複数の利用者が過去に利用したサービスの内容を記録した情報(以下「利用記録情報」という)を記憶している。ただし、個人情報を保護するため、そのサービスを利用した利用者を特定できる情報は記録していない。
サービス提供装置810は、サーバ装置の一例である。 The service providing apparatus 810 stores information (hereinafter referred to as “usage record information”) in which contents of services used in the past by a plurality of users who use the service are recorded. However, in order to protect personal information, information that can identify the user who uses the service is not recorded.
The service providing device 810 is an example of a server device.

利用者端末装置100は、サービスを利用する利用者がそれぞれ所持している装置である。利用者端末装置100は、所持している利用者が過去に利用したサービスの内容を記録した情報(以下「利用履歴情報」という)を記憶している。
利用者端末装置100は、端末装置の一例である。 The user terminal device 100 is a device possessed by each user who uses the service. The user terminal device 100 stores information (hereinafter referred to as “use history information”) in which the contents of services used by the user in the past are recorded.
The user terminal device 100 is an example of a terminal device.

利用者端末装置100は、利用履歴情報をサービス提供装置810に対して送信する。しかし、利用者端末装置100は、利用者を特定できる情報は送信しない。
サービス提供装置810は、利用者端末装置100が送信してきた利用履歴情報を受信し、受信した利用履歴情報に基づいて、利用者の嗜好などを分析する。サービス提供装置810は、分析結果に基づいて、利用者によって有用であろう情報を判別し、利用者端末装置100に対して送信する。
利用者端末装置100は、サービス提供装置810が送信してきた情報を受信し、受信した情報を画面に表示するなどして、利用者に通知する。 The user terminal device 100 transmits usage history information to the service providing device 810. However, the user terminal device 100 does not transmit information that can identify the user.
The service providing device 810 receives the usage history information transmitted from the user terminal device 100, and analyzes the user's preferences and the like based on the received usage history information. The service providing apparatus 810 determines information that may be useful by the user based on the analysis result, and transmits the information to the user terminal apparatus 100.
The user terminal device 100 receives the information transmitted by the service providing device 810 and notifies the user by displaying the received information on a screen.

サービス提供装置810は利用記録情報を記憶しているので、利用者端末装置100が送信してきた利用履歴情報と、利用記録情報とを照合することにより、利用者を特定できてしまう危険がある。
そこで、この実施の形態における利用者端末装置100は、利用履歴情報のうち、利用記録情報と照合しても容易に利用者を特定できない情報(以下「匿名履歴情報」という)を判別し、判別した匿名履歴情報のみをサービス提供装置810に対して送信する。 Since the service providing device 810 stores the usage record information, there is a risk that the user can be identified by comparing the usage history information transmitted by the user terminal device 100 with the usage record information.
Therefore, the user terminal device 100 according to this embodiment discriminates information (hereinafter referred to as “anonymous history information”) that cannot easily identify the user even after collating with the usage record information among the usage history information. Only the anonymous history information is transmitted to the service providing apparatus 810.

図2は、この実施の形態におけるサービス提供装置810の外観の一例を示す図である。
サービス提供装置810は、システムユニット910、CRT(Cathode・Ray・Tube)やLCD(液晶)の表示画面を有する表示装置901、キーボード902(Key・Board:K/B)、マウス903、FDD904(Flexible・Disk・Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907などのハードウェア資源を備え、これらはケーブルや信号線で接続されている。
システムユニット910は、コンピュータであり、ファクシミリ機932、電話器931とケーブルで接続され、また、ローカルエリアネットワーク942(LAN)、ゲートウェイ941を介してインターネット940に接続されている。 FIG. 2 is a diagram showing an example of the appearance of the service providing apparatus 810 in this embodiment.
The service providing apparatus 810 includes a system unit 910, a display apparatus 901 having a CRT (Cathode / Ray / Tube) or LCD (liquid crystal) display screen, a keyboard 902 (Key / Board: K / B), a mouse 903, an FDD 904 (Flexible). (Disk / Drive), compact disk device 905 (CDD), printer device 906, scanner device 907, and other hardware resources, which are connected by a cable or a signal line.
The system unit 910 is a computer, and is connected to the facsimile machine 932 and the telephone 931 via a cable, and is connected to the Internet 940 via a local area network 942 (LAN) and a gateway 941.

図3は、この実施の形態におけるサービス提供装置810のハードウェア資源の一例を示す図である。
サービス提供装置810は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、通信装置915、表示装置901、キーボード902、マウス903、FDD904、CDD905、プリンタ装置906、スキャナ装置907、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信装置915、キーボード902、スキャナ装置907、FDD904などは、入力部、入力装置の一例である。
また、通信装置915、表示装置901、プリンタ装置906などは、出力部、出力装置の一例である。 FIG. 3 is a diagram illustrating an example of hardware resources of the service providing apparatus 810 according to this embodiment.
The service providing apparatus 810 includes a CPU 911 (also referred to as a central processing unit, a central processing unit, a processing unit, an arithmetic unit, a microprocessor, a microcomputer, and a processor) that executes a program. The CPU 911 is connected to the ROM 913, the RAM 914, the communication device 915, the display device 901, the keyboard 902, the mouse 903, the FDD 904, the CDD 905, the printer device 906, the scanner device 907, and the magnetic disk device 920 via the bus 912, and the hardware. Control the device. Instead of the magnetic disk device 920, a storage device such as an optical disk device or a memory card read / write device may be used.
The RAM 914 is an example of a volatile memory. The storage media of the ROM 913, the FDD 904, the CDD 905, and the magnetic disk device 920 are an example of a nonvolatile memory. These are examples of a storage device or a storage unit.
A communication device 915, a keyboard 902, a scanner device 907, an FDD 904, and the like are examples of an input unit and an input device.
Further, the communication device 915, the display device 901, the printer device 906, and the like are examples of an output unit and an output device.

通信装置915は、ファクシミリ機932、電話器931、LAN942等に接続されている。通信装置915は、LAN942に限らず、インターネット940、ISDN等のWAN(ワイドエリアネットワーク)などに接続されていても構わない。インターネット940或いはISDN等のWANに接続されている場合、ゲートウェイ941は不用となる。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。 The communication device 915 is connected to a facsimile machine 932, a telephone 931, a LAN 942, and the like. The communication device 915 is not limited to the LAN 942, and may be connected to the Internet 940, a WAN (wide area network) such as ISDN, or the like. When connected to a WAN such as the Internet 940 or ISDN, the gateway 941 is unnecessary.
The magnetic disk device 920 stores an operating system 921 (OS), a window system 922, a program group 923, and a file group 924. The programs in the program group 923 are executed by the CPU 911, the operating system 921, and the window system 922.

上記プログラム群923には、以下に述べる実施の形態の説明において「〜部」、「〜手段」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の計算結果」、「〜の処理結果」として説明する情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disc)等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。 The program group 923 stores programs for executing functions described as “˜unit” and “˜means” in the description of the embodiments described below. The program is read and executed by the CPU 911.
The file group 924 includes information, data, signal values, variable values, and parameters that are described as “determination results of”, “calculation results of”, and “processing results of” in the description of the embodiments described below. Are stored as items of “˜file” and “˜database”. The “˜file” and “˜database” are stored in a recording medium such as a disk or a memory. Information, data, signal values, variable values, and parameters stored in a storage medium such as a disk or memory are read out to the main memory or cache memory by the CPU 911 via a read / write circuit, and extracted, searched, referenced, compared, Used for CPU operations such as calculation, calculation, processing, output, printing, and display. Information, data, signal values, variable values, and parameters are temporarily stored in the main memory, cache memory, and buffer memory during the CPU operations of extraction, search, reference, comparison, operation, calculation, processing, output, printing, and display. Is remembered.
In addition, the arrows in the flowcharts described in the following description of the embodiments mainly indicate input / output of data and signals. The data and signal values are the RAM 914 memory, the FDD 904 flexible disk, the CDD 905 compact disk, and the magnetic field. Recording is performed on a recording medium such as a magnetic disk of the disk device 920, other optical disks, mini disks, and DVDs (Digital / Versatile / Disc). Data and signals are transmitted online via a bus 912, signal lines, cables, or other transmission media.

また、以下に述べる実施の形態の説明において「〜部」、「〜手段」として説明するものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」、「〜手段」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、以下に述べる「〜部」、「〜手段」としてコンピュータを機能させるものである。あるいは、以下に述べる「〜部」、「〜手段」の手順や方法をコンピュータに実行させるものである。   In addition, in the description of the embodiments described below, what is described as “to part” and “to means” may be “to circuit”, “to device”, and “to device”. It may be “step”, “˜procedure”, “˜processing”. That is, what is described as “˜unit” and “˜means” may be realized by firmware stored in the ROM 913. Alternatively, it may be implemented only by software, or only by hardware such as elements, devices, substrates, and wirings, by a combination of software and hardware, or by a combination of firmware. Firmware and software are stored as programs in a recording medium such as a magnetic disk, a flexible disk, an optical disk, a compact disk, a mini disk, and a DVD. The program is read by the CPU 911 and executed by the CPU 911. That is, the program causes the computer to function as “to part” and “to means” described below. Alternatively, the procedure or method of “˜unit” and “˜means” described below is executed by a computer.

図4は、この実施の形態における利用者端末装置100及びサービス提供装置810のハードウェア構成の一例を示すハードウェア構成図である。   FIG. 4 is a hardware configuration diagram illustrating an example of a hardware configuration of the user terminal device 100 and the service providing device 810 in this embodiment.

利用者端末装置100は、例えば、携帯電話であり、商店に来店した利用者が所持しているものである。
利用者端末装置100は、通信装置915、表示装置901、キーボード902などの入力装置、CPU911などの処理装置、RAM914などの記憶装置、カード部200などを有する。
通信装置915は、無線通信や赤外線通信等を用いて他の機器との通信をする。
表示装置901は、CPU911などの処理装置から送られた情報を画面に表示する。
キーボード902などの入力装置は、操作ボタンやタッチパネル等を用いて利用者が情報を入力する。
CPU911などの処理装置は、利用者端末装置100の処理を制御する。
RAM914などの記憶装置は、利用者端末装置100の処理に必要なプログラムやデータを格納する。
カード部200は、内部にUIM210(User Identity Module)を装着する。
UIM210は、通信装置915、CPU911などの処理装置、RAM914などの記憶装置を有する。
通信装置915は、無線通信やその他の通信手段を用いて他の機器との通信をする。
CPU911などの処理装置は、UIM210の処理を制御する。
RAM914などの記憶装置は、UIM210の処理に必要なプログラムやデータを格納する。
利用者は、サービスを利用する前に、利用者端末装置100を用いて履歴サービスを利用するために必要なプログラムやデータを利用者端末装置100に格納する。
格納方法としては、専用端末に利用者端末装置100を接続してダウンロードしたり、CD−ROM等の外部記憶媒体を利用者の計算機に設置し、利用者端末装置101を接続してダウンロードしたりする。 The user terminal device 100 is, for example, a mobile phone, and is possessed by a user who visits a store.
The user terminal device 100 includes a communication device 915, a display device 901, an input device such as a keyboard 902, a processing device such as a CPU 911, a storage device such as a RAM 914, a card unit 200, and the like.
The communication device 915 communicates with other devices using wireless communication, infrared communication, or the like.
The display device 901 displays information sent from a processing device such as the CPU 911 on the screen.
An input device such as a keyboard 902 is used by a user to input information using operation buttons, a touch panel, or the like.
A processing device such as the CPU 911 controls processing of the user terminal device 100.
A storage device such as the RAM 914 stores programs and data necessary for processing of the user terminal device 100.
The card unit 200 has a UIM 210 (User Identity Module) installed therein.
The UIM 210 includes a communication device 915, a processing device such as a CPU 911, and a storage device such as a RAM 914.
The communication device 915 communicates with other devices using wireless communication or other communication means.
A processing device such as the CPU 911 controls processing of the UIM 210.
A storage device such as the RAM 914 stores programs and data necessary for processing of the UIM 210.
Before using the service, the user uses the user terminal device 100 to store programs and data required for using the history service in the user terminal device 100.
As a storage method, the user terminal device 100 is connected to a dedicated terminal and downloaded, or an external storage medium such as a CD-ROM is installed in the user's computer and the user terminal device 101 is connected and downloaded. To do.

なお、上記の構成は一例であり、利用者端末装置は携帯電話に限らず、携帯情報端末であってもよいし、他の装置であってもよい。
また、利用者が利用するサービスが、実在の店舗によって提供されるものではなく、例えば、インターネットを介して提供される仮想商店のようなサービスである場合には、利用者端末装置は、利用者がインターネットに接続してサービスを利用するコンピュータなどの装置であってもよい。 In addition, said structure is an example and a user terminal device is not restricted to a mobile telephone, A portable information terminal may be sufficient and another apparatus may be sufficient.
In addition, when the service used by the user is not provided by an actual store, for example, a service such as a virtual store provided via the Internet, the user terminal device is a user May be a device such as a computer that uses the service by connecting to the Internet.

サービス提供装置810は、例えば、店舗が保持しているサーバ装置であり、利用者の購入情報をIDと共に保有したり、購入履歴から利用者に最適な商品情報を提供したりという履歴サービスを行う装置である。
サービス提供装置810は、通信装置915、表示装置901、キーボード902などの入力装置、CPU911などの処理装置、磁気ディスク装置920などの記憶装置を有する。
通信装置915は、インターネット通信や無線通信・赤外線通信等を用いて利用者端末装置100や他の機器との通信をする。
表示装置901は、CPU911などの処理装置から送られた情報を画面に表示する。
キーボード902などの入力装置は、キーボードやタッチパネル等を用いて店員が情報を入力する。
CPU911などの処理装置は、サービス提供装置810の処理を制御する。
磁気ディスク装置920などの記憶装置は、サービス提供装置810の処理に必要なプログラムやデータを格納する。
店員は、履歴サービスを構築する際に、サービスを提供する際に必要なプログラムやデータをサービス提供装置810に格納する。
格納方法としては、管理サーバにサービス提供装置810を接続してダウンロードしたり、CDD905等の外部記憶装置をサービス提供装置810に設置して、インストールしたりする。 The service providing device 810 is, for example, a server device held by a store, and provides a history service such as holding user purchase information together with an ID, or providing optimal product information to a user from a purchase history. Device.
The service providing device 810 includes a communication device 915, a display device 901, an input device such as a keyboard 902, a processing device such as a CPU 911, and a storage device such as a magnetic disk device 920.
The communication device 915 communicates with the user terminal device 100 and other devices using Internet communication, wireless communication, infrared communication, or the like.
The display device 901 displays information sent from a processing device such as the CPU 911 on the screen.
As for input devices, such as a keyboard 902, a store clerk inputs information using a keyboard, a touch panel, etc.
A processing device such as the CPU 911 controls processing of the service providing device 810.
A storage device such as the magnetic disk device 920 stores programs and data necessary for processing of the service providing device 810.
When the clerk constructs the history service, the store clerk stores programs and data necessary for providing the service in the service providing apparatus 810.
As a storage method, the service providing apparatus 810 is connected to the management server and downloaded, or an external storage device such as the CDD 905 is installed in the service providing apparatus 810 and installed.

図5は、この実施の形態における利用者端末装置100の機能ブロックの構成の一例を示すブロック構成図である。
利用者端末装置100は、利用記録受信部111、利用履歴受信部112、利用履歴記憶部121、匿名履歴判別部130、匿名履歴送信部141などを有する。 FIG. 5 is a block configuration diagram showing an example of a functional block configuration of the user terminal device 100 in this embodiment.
The user terminal device 100 includes a usage record reception unit 111, a usage history reception unit 112, a usage history storage unit 121, an anonymous history determination unit 130, an anonymous history transmission unit 141, and the like.

利用記録受信部111は、通信装置915を用いて、サービス提供装置810が送信してきた利用記録情報を受信する。利用記録受信部111は、CPU911などの処理装置を用いて、受信した利用記録情報を出力する。
サービス提供装置810は、利用者を特定できる情報を記録しないので、利用記録情報がどの利用者についてのものか知らない。サービス提供装置810は、利用者端末装置100を所持している利用者についての利用記録情報だけでなく、他の利用者についての利用記録情報も送信してくる。利用記録受信部111は、利用者端末装置100を処理している利用者についての利用記録情報だけでなく、他の利用者についての利用記録情報も受信し、出力する。 The usage record receiving unit 111 receives the usage record information transmitted from the service providing apparatus 810 using the communication device 915. The usage record receiving unit 111 outputs the received usage record information using a processing device such as the CPU 911.
Since the service providing apparatus 810 does not record information that can identify the user, the service providing apparatus 810 does not know which user the usage record information is for. The service providing apparatus 810 transmits not only the usage record information about the user who owns the user terminal device 100 but also the usage record information about other users. The usage record receiver 111 receives and outputs not only usage record information about the user who is processing the user terminal device 100 but also usage record information about other users.

利用履歴受信部112は、通信装置915を用いて、サービス提供装置810が送信してきた利用履歴情報を受信する。利用履歴受信部112は、CPU911などの処理装置を用いて、受信した利用履歴情報を出力する。
サービス提供装置810が送信してくる利用履歴情報は、今回利用者が利用したサービスについてのものである。サービス提供装置810は、利用者を特定できる情報を記録しないが、いまサービスを提供したばかりなので、その利用履歴情報を送信すべき利用者端末装置100がどれかを判別できる。利用履歴受信部112は、その利用者端末装置100を所持している利用者が今回利用したサービスについての利用履歴情報を受信し、出力する。 The usage history receiving unit 112 uses the communication device 915 to receive usage history information transmitted from the service providing device 810. The usage history receiving unit 112 outputs the received usage history information using a processing device such as the CPU 911.
The usage history information transmitted by the service providing apparatus 810 is for the service used by the user this time. Although the service providing apparatus 810 does not record information that can identify the user, but has just provided the service, the service providing apparatus 810 can determine which user terminal apparatus 100 should transmit the usage history information. The usage history receiving unit 112 receives and outputs usage history information about the service used this time by the user who owns the user terminal device 100.

利用履歴記憶部121は、CPU911などの処理装置を用いて、利用履歴受信部112が出力した利用履歴情報を入力する。
利用履歴記憶部121は、メモリなどの記憶装置を用いて、入力した利用履歴情報を記憶する。 The usage history storage unit 121 inputs the usage history information output by the usage history reception unit 112 using a processing device such as the CPU 911.
The usage history storage unit 121 stores input usage history information using a storage device such as a memory.

利用履歴記憶部121が記憶した利用履歴情報は、次回サービスを利用するときに使用する。利用履歴記憶部121は、サービスを利用するたびに利用履歴情報を記憶していき、利用履歴記憶部121が記憶している利用履歴情報が増えていく。   The usage history information stored in the usage history storage unit 121 is used when the service is used next time. The usage history storage unit 121 stores usage history information every time a service is used, and the usage history information stored in the usage history storage unit 121 increases.

匿名履歴判別部130は、CPU911などの処理装置を用いて、利用記録受信部111が出力した利用記録情報を入力する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、利用履歴記憶部121が記憶した(前回までの)利用履歴情報を入力する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、入力した利用記録情報に基づいて、入力した利用履歴情報のうち、サービス提供装置810に送信しても利用者端末装置100を所持している利用者を特定されにくい情報(匿名履歴情報)を判別する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、判別した匿名履歴情報を出力する。 The anonymous history discriminating unit 130 inputs the usage record information output by the usage record receiving unit 111 using a processing device such as the CPU 911.
The anonymous history discriminating unit 130 inputs the usage history information (up to the previous time) stored in the usage history storage unit 121 using a processing device such as the CPU 911.
The anonymous history discriminating unit 130 possesses the user terminal device 100 even if it is transmitted to the service providing device 810 among the input usage history information based on the input usage record information using a processing device such as the CPU 911. The information (anonymity history information) that is difficult to identify the user is identified.
The anonymous history determination unit 130 outputs the determined anonymous history information using a processing device such as the CPU 911.

匿名履歴送信部141は、CPU911などの処理装置を用いて、匿名履歴判別部130が出力した匿名履歴情報を入力する。
匿名履歴送信部141は、通信装置915を用いて、サービス提供装置810に対して、入力した匿名履歴情報を送信する。 The anonymous history transmission unit 141 inputs the anonymous history information output by the anonymous history determination unit 130 using a processing device such as the CPU 911.
The anonymous history transmission unit 141 transmits the input anonymous history information to the service providing device 810 using the communication device 915.

サービス提供装置810は、利用者端末装置100が送信した匿名履歴情報を受信し、これを分析してその利用者端末装置100を所持している利用者の嗜好などを把握し、その利用者にとって有用であろう情報を判別して、利用者端末装置100に対して送信する。
利用者端末装置100がこれを受信し、表示装置901に表示するなどして、利用者に通知する。利用者は、自分の嗜好にあった情報を得ることができる。 The service providing device 810 receives the anonymous history information transmitted by the user terminal device 100, analyzes this information, grasps the preferences of the user who owns the user terminal device 100, and the like for the user. Information that may be useful is determined and transmitted to the user terminal device 100.
The user terminal device 100 receives this and displays it on the display device 901 to notify the user. The user can obtain information according to his / her preference.

その後、利用者がサービスを利用すると、利用履歴受信部112が利用履歴情報を受信して、利用履歴記憶部121が記憶する。   Thereafter, when the user uses the service, the usage history receiving unit 112 receives the usage history information and the usage history storage unit 121 stores it.

サービス提供装置810は、利用者を特定できる情報を記録しないが、利用者端末装置100が送信した匿名履歴情報を、記憶した利用記録情報と照合することで、利用者を特定しようとするかもしれない。しかし、利用者端末装置100が送信した匿名履歴情報は、利用者を特定されにくいと、匿名履歴判別部130が判断した情報であるから、サービス提供装置810が利用者を特定することはできない。   The service providing apparatus 810 does not record information that can identify the user, but may attempt to identify the user by comparing the anonymous history information transmitted by the user terminal apparatus 100 with the stored use record information. Absent. However, since the anonymous history information transmitted by the user terminal device 100 is information determined by the anonymous history determination unit 130 when it is difficult to specify the user, the service providing device 810 cannot specify the user.

匿名履歴判別部130は、匿名性判断部131を有する。
匿名性判断部131は、CPU911などの処理装置を用いて、利用履歴情報が記録したサービスの内容についての情報をサービス提供装置810に送信しても利用者を特定されにくいか否かを判断する。 The anonymous history determination unit 130 includes an anonymity determination unit 131.
The anonymity determination unit 131 uses a processing device such as the CPU 911 to determine whether it is difficult to identify a user even if information about the service content recorded in the usage history information is transmitted to the service providing device 810. .

次に、匿名性判断部131が利用者を特定されやすいか否かを判断する判断方式について説明する。   Next, a determination method for determining whether or not the anonymity determination unit 131 easily identifies a user will be described.

匿名性判断部131は、CPU911などの処理装置を用いて、匿名履歴判別部130が入力した利用記録情報を分析して、利用記録情報が記録したサービスの内容を判別する。
匿名性判断部131は、CPU911などの処理装置を用いて、判別したサービスの内容のそれぞれについて、そのサービス内容を利用した利用回数を算出する。
匿名性判断部131は、CPU911などの処理装置を用いて、算出した利用回数を所定の回数と比較し、算出した利用回数のほうが多い場合に、そのサービス内容についての情報をサービス提供装置810に送信しても利用者を特定されにくいと判断する。 The anonymity determination unit 131 analyzes the usage record information input by the anonymous history determination unit 130 using a processing device such as the CPU 911 to determine the content of the service recorded by the usage record information.
The anonymity determining unit 131 uses a processing device such as the CPU 911 to calculate the number of times of using the service content for each of the determined service content.
The anonymity determination unit 131 uses a processing device such as the CPU 911 to compare the calculated number of usages with a predetermined number of times, and when the calculated number of usages is larger, information on the service content is given to the service providing device 810. It is determined that it is difficult to identify the user even if it is transmitted.

利用記録受信部111が受信した利用記録情報には、その利用者が利用したサービスについてのものだけでなく、他の利用者が利用したサービスについてのものも含まれる。
そこで、匿名性判断部131は、利用記録情報を分析して、他の利用者も含めたサービスの利用者が利用したサービスの利用回数を算出する。 The usage record information received by the usage record receiving unit 111 includes not only the service used by the user but also the service used by other users.
Therefore, the anonymity determining unit 131 analyzes the usage record information and calculates the number of times the service is used by the service users including other users.

利用者端末装置100を所持している利用者が利用したことのあるサービスを、他の誰も利用したことがない場合、そのサービスを利用したという情報をサービス提供装置810に送信すると、サービス提供装置810は、2つの利用記録情報を同一の利用者によるものとして結びつけることができる。
サービス提供装置810が、このような結びつけをいくつも集めることにより、一人の利用者によるサービス利用の全体像を把握できてしまう危険がある。
したがって、このような情報をサービス提供装置810に送信すると、利用者を特定されやすい。 If no one else has used a service that has been used by the user who owns the user terminal device 100, the service providing device 810 transmits information that the service has been used to provide the service. The device 810 can link two pieces of usage record information as being from the same user.
There is a risk that the service providing apparatus 810 collects a large number of such associations and can grasp an overall picture of service use by a single user.
Therefore, when such information is transmitted to the service providing apparatus 810, the user is easily identified.

利用者端末装置100を所持している利用者が利用したことのあるサービスを、他の利用者が利用したことがある場合でも、その回数が少なければ、サービス提供装置810は、100%確実ではないものの、2つの利用記録情報を同一の利用者によるものである可能性が高いものとして結びつけることができる。
したがって、他の誰も利用したことがない場合と比べると、利用者を特定される危険は少ないものの、利用者を特定されやすいということができる。 Even if other users have used a service that the user who owns the user terminal device 100 has used, if the number of times is small, the service providing device 810 is not 100% reliable. Although there is no information, two pieces of usage record information can be linked as having a high possibility of being from the same user.
Therefore, it can be said that the user can be easily identified although the risk of identifying the user is small compared to the case where no one else has used it.

そのサービスを他の利用者が利用した回数が多ければ多いほど、利用者を特定される危険は小さくなる。
また、そのサービスをその利用者しか利用していない場合であっても、その回数が多ければ、サービス提供装置810はそれが同一の利用者によるものか、異なる利用者によるものかを知らないので、利用者を特定される危険は小さい。
以下、利用者を特定されにくい程度のことを「匿名性」と呼ぶこととする。 The greater the number of times other users have used the service, the smaller the risk that the user will be identified.
Even if the service is used only by the user, if the number of times is large, the service providing apparatus 810 does not know whether the service is provided by the same user or a different user. The risk of identifying users is small.
Hereinafter, the degree of difficulty in identifying the user is referred to as “anonymity”.

ここで、匿名性を表わす指標として、「利用者特定率」を定義する。利用者特定率は、(利用者特定率)=1/(同一のサービスを利用した回数)×100(%)と定義する。
「同一のサービス」とは、例えば、商店での商品販売というサービスであれば、利用者が購入した商品が同じ場合を「同一のサービス」であるとする。匿名性判断部131は、利用記録情報を分析して、サービスの利用者が購入した商品を求め、利用者端末装置100の所持者が過去に購入したことのある商品と同一の商品を、サービスの利用者が購入した回数を算出する。
匿名性判断部131は、算出した「同一の商品を購入した回数」を所定の閾値と比較し、「同一の商品を購入した回数」のほうが多ければ、匿名性が高い(利用者を特定されにくい)と判断する。
あるいは、匿名性判断部131は、算出した「同一の商品を購入した回数」に基づいて、上述した「利用者特定率」を算出し、算出した「利用者特定率」を所定の閾値と比較し、「利用者特定率」のほうが小さければ、匿名性が高いと判断してもよい。
比較の対象となる閾値は、あらかじめ定めたものを、メモリなどの記憶装置を用いて記憶しておいてもよいし、利用者端末装置100のキーボード902などの入力装置を用いて、利用者が設定した閾値を利用者端末装置100が入力し、メモリなどの記憶装置を用いて記憶しておいてもよい。
閾値を安全性が高くなるように(利用回数の閾値であれば大きく、利用者特定率の閾値であれば小さく)設定すると、利用者を特定されにくくなるが、匿名履歴情報としてサービス提供装置810に送信できる情報量が少なくなるので、サービス提供装置810が利用者にとって有用な情報を判別しにくくなり、その結果、利用者は、有用な情報を受け取り損なったり、不必要な情報を見せられたりする可能性がある。逆に、安全性が低くなるように閾値を設定すると、利用者にぴったりの情報を通知してもらうことができるかわりに、利用者を特定される危険が高くなる。 Here, “user identification rate” is defined as an index representing anonymity. The user identification rate is defined as (user identification rate) = 1 / (number of times the same service has been used) × 100 (%).
The “same service” is, for example, a service for selling products at a store, and “same service” is defined when the product purchased by the user is the same. The anonymity determination unit 131 analyzes the usage record information, obtains a product purchased by the user of the service, and obtains the same product as the product that the owner of the user terminal device 100 has purchased in the past. Calculate the number of purchases made by users.
The anonymity determination unit 131 compares the calculated “number of times the same product has been purchased” with a predetermined threshold, and if the “number of times the same product has been purchased” is greater, the anonymity is higher (the user is identified). Difficult).
Alternatively, the anonymity determination unit 131 calculates the above-described “user specification rate” based on the calculated “number of times the same product has been purchased”, and compares the calculated “user specification rate” with a predetermined threshold value. If the “user identification rate” is smaller, the anonymity may be determined to be higher.
As the threshold value to be compared, a predetermined threshold value may be stored using a storage device such as a memory, or an input device such as a keyboard 902 of the user terminal device 100 may be used by the user. The set threshold value may be input by the user terminal device 100 and stored using a storage device such as a memory.
If the threshold value is set so as to increase safety (large if the threshold is the number of times of use and small if the threshold is the user identification rate), it becomes difficult to identify the user, but the service providing apparatus 810 as anonymous history information Since the amount of information that can be transmitted to the service is reduced, it becomes difficult for the service providing apparatus 810 to determine useful information for the user, and as a result, the user may fail to receive useful information or may display unnecessary information. there's a possibility that. On the other hand, if the threshold value is set so as to reduce the safety, the risk of specifying the user increases instead of allowing the user to be notified of perfect information.

匿名履歴送信部141がサービス提供装置810に対して送信する匿名履歴情報は、「過去に購入したことのある商品」だけでなく、例えば、「購入した商品の個数」を示す情報を含んでもよい。
その場合、その商品と同一の商品を同一の個数購入した場合に「同一のサービス」であるとして、匿名性判断部131が、利用回数を算出し、匿名性を判断する。 The anonymous history information that the anonymous history transmission unit 141 transmits to the service providing apparatus 810 may include not only “a product that has been purchased in the past” but also information indicating “the number of purchased products”, for example. .
In that case, the anonymity determination unit 131 calculates the number of times of use and determines anonymity, assuming that the same service is purchased when the same number of the same products are purchased.

そのほか、匿名履歴送信部141が送信する匿名履歴情報は、「商品を購入した時間帯」や「その商品と同時に購入した他の商品」など、履歴サービスにおいて利用者に有用な情報をサービス提供装置810が判別するために利用できる様々な情報を含んでもよい。
その場合、その匿名履歴情報によって特定できる「サービス内容」と同一の内容のサービスを「同一のサービス」とし、匿名性判断部131が利用回数を算出して、匿名性を判断する。 In addition, the anonymous history information transmitted by the anonymous history transmission unit 141 is a service providing device that provides information useful to the user in the history service, such as “time period when the product was purchased” and “other products purchased at the same time as the product”. Various information that can be used by 810 for determination may be included.
In this case, the service having the same content as the “service content” that can be specified by the anonymous history information is set to “the same service”, and the anonymity determination unit 131 calculates the number of uses and determines anonymity.

図6は、この実施の形態における利用履歴情報610の一例を示す図である。
利用者端末装置100を所持している利用者がサービスを利用すると、サービス提供装置810が利用者端末装置100に対して利用履歴情報610を送信する。
利用履歴受信部112は、通信装置915を用いて、サービス提供装置810が送信してきた利用履歴情報610を受信する。
利用履歴情報610は、例えば、商品コード611、購入個数612、購入日時613などからなる。
商品コード611は、利用者が購入した商品の商品コードを示す情報である。
購入個数612は、利用者が購入した商品の個数を示す情報である。
購入日時613は、利用者がその商品を購入した日時を示す情報である。
この例では、利用者が1月18日15時21分に商品Aを2個、商品Bを2個購入したことを示す利用履歴情報610を、利用履歴受信部112が受信する。 FIG. 6 is a diagram showing an example of usage history information 610 in this embodiment.
When a user possessing the user terminal device 100 uses a service, the service providing device 810 transmits usage history information 610 to the user terminal device 100.
The usage history receiving unit 112 receives the usage history information 610 transmitted from the service providing device 810 using the communication device 915.
The usage history information 610 includes, for example, a product code 611, a purchase quantity 612, a purchase date and time 613, and the like.
The product code 611 is information indicating the product code of the product purchased by the user.
The purchased number 612 is information indicating the number of products purchased by the user.
The purchase date and time 613 is information indicating the date and time when the user purchased the product.
In this example, the usage history receiving unit 112 receives usage history information 610 indicating that the user purchased two products A and two products B at 15:21 on January 18.

利用履歴受信部112が受信した利用履歴情報610は、利用履歴記憶部121がメモリなどの記憶装置を用いて記憶する。利用履歴記憶部121は、それまで記憶していた利用履歴情報610に追加する形で、新たな利用履歴情報610を記憶する。
この例では、過去3回分の利用履歴情報610を利用履歴記憶部121が既に記憶している。利用履歴記憶部121は、新たに利用履歴受信部112が受信した利用履歴情報610をこれに追加して、合計4つの利用履歴情報610を記憶する。 Usage history information 610 received by the usage history receiving unit 112 is stored by the usage history storage unit 121 using a storage device such as a memory. The usage history storage unit 121 stores new usage history information 610 in addition to the usage history information 610 stored so far.
In this example, the usage history storage unit 121 has already stored the usage history information 610 for the past three times. The usage history storage unit 121 adds the usage history information 610 newly received by the usage history reception unit 112 and stores a total of four usage history information 610.

なお、商品コード611は、商品に付されたバーコードが示す情報などを用いてもよいし、サービス提供装置810が独自に生成した非公開の情報を用いてもよい。   Note that the product code 611 may use information indicated by a barcode attached to the product, or may use private information generated uniquely by the service providing apparatus 810.

図7は、この実施の形態における利用記録情報620の一例を示す図である。
サービス提供装置810は、サービスの利用者が来店したときなどに、その利用者が所持している利用者端末装置100に対して、利用記録情報620を送信する。
利用記録受信部111は、通信装置915を用いて、サービス提供装置810が送信してきた利用記録情報620を受信する。
利用記録情報620は、例えば、商品コード621、購入個数622などからなる。
商品コード621は、商品コード611と同様、利用者が購入した商品の商品コードを示す情報である。
購入個数622は、購入個数612と同様、利用者がそのときに購入した商品の個数を示す情報である。
この例では、8つの利用記録情報620がサービス提供装置810から送信され、利用記録受信部111が受信する。
一番目の利用記録情報620は、「商品Aを1個、商品Bを2個、商品Dを2個」購入した利用者がいたことを示している。図6に示した利用履歴記憶部121が記憶している利用履歴情報610と照らし合わせると、この利用記録情報620と一致する内容の利用履歴情報610を利用履歴記憶部121が記憶しているので、この利用記録情報620は、利用者端末装置100を所持している利用者自身のサービス利用を記録したものであることがわかる。しかし、サービス提供装置810は、利用者を特定できる情報を記録していないので、そのことを判別できない。
二番目の利用記録情報620は、「商品Aを3個、商品Bを1個」購入した利用者がいたことを示している。図6に示した利用履歴記憶部121が記憶している利用履歴情報610と照らし合わせると、この利用記録情報620と一致する内容の利用履歴情報610を利用履歴記憶部121が記憶していないので、この利用記録情報620は、利用者端末装置100を所持している利用者以外の他の利用者のサービス利用を記録したものであることがわかる。しかし、サービス提供装置810は、利用者を特定できる情報を記録していないので、そのことを判別できない。
したがって、サービス提供装置810は、その利用者が利用したサービスの利用記録情報620も、他の利用者が利用したサービスの利用記録情報620も、区別せずに送信する。 FIG. 7 is a diagram showing an example of the usage record information 620 in this embodiment.
When the service user visits the service, the service providing apparatus 810 transmits the usage record information 620 to the user terminal apparatus 100 possessed by the user.
The usage record receiving unit 111 receives the usage record information 620 transmitted by the service providing apparatus 810 using the communication device 915.
The usage record information 620 includes, for example, a product code 621, a purchase quantity 622, and the like.
The product code 621 is information indicating the product code of the product purchased by the user, like the product code 611.
The purchased number 622 is information indicating the number of products purchased by the user at that time, as with the purchased number 612.
In this example, eight usage record information 620 are transmitted from the service providing apparatus 810 and received by the usage record receiving unit 111.
The first usage record information 620 indicates that there was a user who purchased “one product A, two products B, and two products D”. When compared with the usage history information 610 stored in the usage history storage unit 121 illustrated in FIG. 6, the usage history storage unit 121 stores the usage history information 610 having the same content as the usage record information 620. This usage record information 620 shows that the service usage of the user who owns the user terminal device 100 is recorded. However, since the service providing apparatus 810 does not record information that can identify the user, the service providing apparatus 810 cannot determine this.
The second usage record information 620 indicates that there was a user who purchased “three products A and one product B”. When compared with the usage history information 610 stored in the usage history storage unit 121 illustrated in FIG. 6, the usage history storage unit 121 does not store the usage history information 610 that matches the usage record information 620. This usage record information 620 shows that service usage of other users other than the user who owns the user terminal device 100 is recorded. However, since the service providing apparatus 810 does not record information that can identify the user, the service providing apparatus 810 cannot determine this.
Therefore, the service providing apparatus 810 transmits the service use record information 620 used by the user and the service use record information 620 used by other users without distinction.

匿名性判断部131は、CPU911などの処理装置を用いて、利用記録受信部111が受信した利用記録情報620に基づいて、サービスの利用回数を算出する。
この例では、購入した商品が同じ場合を「同一のサービス」として数えることとし、匿名性判断部131は、商品Aの利用回数(購入回数)が6回、商品Bが5回、商品Cが1回、商品Dが3回であることを求める。
なお、利用記録受信部111が受信した利用記録情報620には、商品Eについてのサービス利用も記録されているが、図6に示した利用履歴記憶部121が記憶している利用履歴情報610によれば、利用者端末装置100を所持している利用者は商品Eを購入したことがなく、「商品Eを購入したことがある」という内容の匿名履歴情報を匿名履歴送信部141が送信することはあり得ないので、商品Eについての利用回数は算出していない。
匿名性判断部131は、CPU911などの処理装置を用いて、算出した利用回数に基づいて利用者特定率を算出する。 The anonymity determination unit 131 calculates the service usage count based on the usage record information 620 received by the usage record reception unit 111 using a processing device such as the CPU 911.
In this example, the case where the purchased product is the same is counted as “the same service”, and the anonymity determination unit 131 uses the product A for the number of uses (purchase count) 6 times, the product B 5 times, and the product C It asks for the goods D to be 3 times once.
In the usage record information 620 received by the usage record receiving unit 111, the service usage for the product E is also recorded, but the usage history information 610 stored in the usage history storage unit 121 shown in FIG. According to this, the user having the user terminal device 100 has never purchased the product E, and the anonymous history transmitting unit 141 transmits the anonymous history information with the content that “the product E has been purchased”. Since there is no possibility, the number of uses for the product E is not calculated.
The anonymity determination unit 131 uses a processing device such as the CPU 911 to calculate a user identification rate based on the calculated number of uses.

匿名性判断部131は、CPU911などの処理装置を用いて、算出した利用回数または利用者特定率を所定の閾値と比較して、匿名性を判断する。
この例では、匿名性判断部131が利用回数を閾値「4回」と比較し、あるいは、利用者特定率を閾値「25%」と比較して、商品A及び商品Bの購入履歴については、匿名性が高いと判断する。また、商品C及び商品Dの購入履歴については、匿名性が低く、サービス提供装置810に送信すると利用者を特定される危険があると判断する。 The anonymity determination unit 131 determines the anonymity by using the processing device such as the CPU 911 and comparing the calculated use frequency or the user specifying rate with a predetermined threshold.
In this example, the anonymity determination unit 131 compares the number of uses with the threshold “4 times”, or compares the user identification rate with the threshold “25%”, and purchase history of the products A and B is as follows: Judge that anonymity is high. In addition, the purchase history of the product C and the product D is low in anonymity, and if transmitted to the service providing apparatus 810, it is determined that there is a risk of specifying the user.

匿名履歴判別部130は、CPU911などの処理装置を用いて、匿名性判断部131が判断した判断結果に基づいて、匿名履歴情報630を生成する。
匿名履歴情報630は、例えば、商品コード631などからなる。
商品コード631は、利用者が購入したことがある商品の商品コードを示す情報である。
この例では、商品Aと商品Bを購入したことがあることを、サービス提供装置810に知らせても、利用者を特定されにくいと匿名性判断部131が判断したので、匿名履歴判別部130は、「商品Aを購入したことがある」ことを示す匿名履歴情報630と、「商品Bを購入したことがある」ことを示す匿名履歴情報630とを生成する。 The anonymity history determination unit 130 generates anonymity history information 630 based on the determination result determined by the anonymity determination unit 131 using a processing device such as the CPU 911.
The anonymous history information 630 includes, for example, a product code 631.
The product code 631 is information indicating a product code of a product that the user has purchased.
In this example, since the anonymity determination unit 131 determines that it is difficult to identify the user even if the service providing apparatus 810 is notified that the product A and the product B have been purchased, the anonymous history determination unit 130 , Anonymous history information 630 indicating that “product A has been purchased” and anonymous history information 630 indicating that “product B has been purchased” are generated.

匿名履歴判別部130は、CPU911などの処理装置を用いて、生成した匿名履歴情報630を出力する。
匿名履歴送信部141は、CPU911などの処理装置を用いて、匿名履歴判別部130が出力した匿名履歴情報630を入力する。
匿名履歴送信部141は、通信装置915を用いて、サービス提供装置810に対して、入力した匿名履歴情報630を送信する。 The anonymous history discriminating unit 130 outputs the generated anonymous history information 630 using a processing device such as the CPU 911.
The anonymous history transmission unit 141 inputs the anonymous history information 630 output by the anonymous history determination unit 130 using a processing device such as the CPU 911.
The anonymous history transmitting unit 141 transmits the input anonymous history information 630 to the service providing device 810 using the communication device 915.

図8は、この実施の形態における履歴サービス提供システム800が履歴サービスを提供する履歴サービス提供処理の全体の流れの一例を示すフローチャート図である。
履歴サービス提供処理は、履歴サービス利用方法の一例である。 FIG. 8 is a flowchart showing an example of the entire flow of the history service providing process in which the history service providing system 800 in this embodiment provides a history service.
The history service providing process is an example of a history service utilization method.

S11において、サービス提供装置810は、磁気ディスク装置920などの記憶装置を用いて記憶した利用記録情報620を読み出す。
サービス提供装置810は、通信装置915を用いて、利用者端末装置100に対して、読み出した利用記録情報620を送信する。 In S11, the service providing apparatus 810 reads the usage record information 620 stored using a storage device such as the magnetic disk device 920.
The service providing apparatus 810 transmits the read usage record information 620 to the user terminal apparatus 100 using the communication apparatus 915.

S21(利用記録受信工程)において、利用記録受信部111は、通信装置915を用いて、S11でサービス提供装置810が送信してきた利用記録情報620を受信する。
利用記録受信部111は、CPU911などの処理装置を用いて、受信した利用記録情報620を出力する。 In S21 (use record receiving step), the use record receiving unit 111 uses the communication device 915 to receive the use record information 620 transmitted by the service providing device 810 in S11.
The usage record receiving unit 111 outputs the received usage record information 620 using a processing device such as the CPU 911.

S22(匿名履歴判別工程)において、匿名履歴判別部130は、CPU911などの処理装置を用いて、S21で利用記録受信部111が出力した利用記録情報620と、利用履歴記憶部121が記憶した利用履歴情報610とを入力する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、入力した利用記録情報620に基づいて、入力した利用履歴情報610のうちサービス提供装置810に送信しても利用者を特定されにくい情報を判別する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、判別した情報に基づいて匿名履歴情報630を生成する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、生成した匿名履歴情報630を出力する。 In S22 (anonymity history determination step), the anonymous history determination unit 130 uses the processing device such as the CPU 911 and the usage record information 620 output by the usage record reception unit 111 in S21 and the usage history storage unit 121 stores the usage history. The history information 610 is input.
Anonymity history discriminating unit 130 uses a processing device such as CPU 911, and based on input usage record information 620, information that is difficult to identify a user even if transmitted to service providing device 810 among input usage history information 610. Is determined.
The anonymous history determination unit 130 generates anonymous history information 630 based on the determined information using a processing device such as the CPU 911.
The anonymous history discriminating unit 130 outputs the generated anonymous history information 630 using a processing device such as the CPU 911.

S23(匿名履歴送信工程)において、匿名履歴送信部141は、CPU911などの処理装置を用いて、S22で匿名履歴判別部130が出力した匿名履歴情報630を入力する。
匿名履歴送信部141は、通信装置915を用いて、サービス提供装置810に対して、入力した匿名履歴情報630を送信する。
なお、匿名履歴送信部141は、送信すべき匿名履歴情報630がない場合、履歴サービス提供システム800の処理を先に進めるため、サービス提供装置810に対して、空の情報を送信する。送信すべき匿名履歴情報630がない場合とは、例えば、利用者がそのサービスを初めて利用する場合などである。 In S23 (anonymous history transmission step), the anonymous history transmission unit 141 inputs the anonymous history information 630 output by the anonymous history determination unit 130 in S22 using a processing device such as the CPU 911.
The anonymous history transmitting unit 141 transmits the input anonymous history information 630 to the service providing device 810 using the communication device 915.
When there is no anonymous history information 630 to be transmitted, the anonymous history transmission unit 141 transmits empty information to the service providing apparatus 810 in order to advance the process of the history service providing system 800 first. The case where there is no anonymous history information 630 to be transmitted is, for example, the case where the user uses the service for the first time.

S12において、サービス提供装置810は、通信装置915を用いて、S23で利用者端末装置100が送信した匿名履歴情報630を受信する。   In S12, the service providing apparatus 810 uses the communication apparatus 915 to receive the anonymous history information 630 transmitted by the user terminal apparatus 100 in S23.

S13において、サービス提供装置810は、CPU911などの処理装置を用いて、S12で受信した匿名履歴情報630に基づいて、利用者にとって有用そうな情報を判別し、利用者に通知する履歴サービス情報を生成する。   In step S13, the service providing apparatus 810 uses a processing apparatus such as the CPU 911 to determine information that is likely to be useful to the user based on the anonymous history information 630 received in step S12, and provides history service information to be notified to the user. Generate.

S14において、サービス提供装置810は、通信装置915を用いて、利用者端末装置100に対して、S13で生成した履歴サービス情報を送信する。
なお、サービス提供装置810は、生成した履歴サービス情報を利用者端末装置100に送信するのではなく、例えば、店内に設置したディスプレイ画面に表示するなどして、利用者に通知してもよい。 In S14, the service providing apparatus 810 transmits the history service information generated in S13 to the user terminal apparatus 100 using the communication apparatus 915.
The service providing apparatus 810 may notify the user by, for example, displaying the generated history service information on the display screen installed in the store instead of transmitting the generated history service information to the user terminal apparatus 100.

S24において、利用者端末装置100は、通信装置915を用いて、S14でサービス提供装置810が送信してきた履歴サービス情報を受信する。   In S24, the user terminal device 100 receives the history service information transmitted from the service providing device 810 in S14 using the communication device 915.

S25において、利用者端末装置100は、表示装置901を用いて、S24で受信した履歴サービス情報を表示し、利用者に通知する。   In S25, the user terminal device 100 displays the history service information received in S24 using the display device 901 and notifies the user.

S31において、利用者は、利用者端末装置100の表示装置901に表示された履歴サービス情報を見て、情報を取得する。   In S31, the user views the history service information displayed on the display device 901 of the user terminal device 100, and acquires information.

S32において、利用者は、S31で取得した情報を参考にして、サービスを利用する。   In S32, the user uses the service with reference to the information acquired in S31.

S15において、サービス提供装置810は、CPU911などの処理装置を用いて、S32で利用者が利用したサービスの内容を記録した利用履歴情報610を生成する。   In S15, the service providing apparatus 810 uses the processing apparatus such as the CPU 911 to generate usage history information 610 that records the contents of the service used by the user in S32.

S16において、サービス提供装置810は、通信装置915を用いて、利用者端末装置100に対して、S15で生成した利用履歴情報610を送信する。   In S <b> 16, the service providing apparatus 810 transmits the usage history information 610 generated in S <b> 15 to the user terminal apparatus 100 using the communication apparatus 915.

S17において、サービス提供装置810は、磁気ディスク装置920などの記憶装置を用いて、S15で生成した利用履歴情報610を、利用記録情報620として記憶する。
サービス提供装置810は、記憶した利用記録情報620を分析することにより、サービス利用者の利用傾向などの情報を得ることができる。しかし、複数の利用記録情報620を結びつけることはできないので、それにより、利用者を特定することはできない。 In S <b> 17, the service providing apparatus 810 stores the usage history information 610 generated in S <b> 15 as usage record information 620 using a storage device such as the magnetic disk device 920.
The service providing apparatus 810 can obtain information such as the usage tendency of the service user by analyzing the stored usage record information 620. However, since a plurality of usage record information 620 cannot be linked, the user cannot be specified thereby.

S26において、利用履歴受信部112は、通信装置915を用いて、S16でサービス提供装置810が送信してきた利用履歴情報610を受信する。
利用履歴受信部112は、CPU911などの処理装置を用いて、受信した利用履歴情報610を出力する。 In S <b> 26, the usage history receiving unit 112 receives the usage history information 610 transmitted from the service providing apparatus 810 in S <b> 16 using the communication device 915.
The usage history receiving unit 112 outputs the received usage history information 610 using a processing device such as the CPU 911.

S27において、利用履歴記憶部121は、CPU911などの処理装置を用いて、S26で利用履歴受信部112が出力した利用履歴情報610を入力する。
利用履歴記憶部121は、メモリなどの記憶装置を用いて、入力した利用履歴情報610を記憶する。 In S27, the usage history storage unit 121 inputs the usage history information 610 output by the usage history reception unit 112 in S26 using a processing device such as the CPU 911.
The usage history storage unit 121 stores the input usage history information 610 using a storage device such as a memory.

図9は、この実施の形態における匿名履歴判別部130が匿名履歴情報を判別する匿名履歴判別処理の流れの一例を示すフローチャート図である。
匿名履歴判別処理は、図8のS22(匿名履歴判別工程)に相当する処理である。 FIG. 9 is a flowchart showing an example of a flow of anonymous history determination processing in which the anonymous history determination unit 130 determines anonymous history information in this embodiment.
The anonymous history determination process is a process corresponding to S22 (anonymous history determination step) in FIG.

S41において、匿名履歴判別部130は、CPU911などの処理装置を用いて、利用履歴記憶部121が記憶した利用履歴情報610を入力する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、入力した利用履歴情報610に基づいて、購入したことのある商品を判別する。 In S <b> 41, the anonymous history determination unit 130 inputs the usage history information 610 stored in the usage history storage unit 121 using a processing device such as the CPU 911.
The anonymous history determination unit 130 determines a product that has been purchased based on the input usage history information 610 using a processing device such as the CPU 911.

S42において、匿名性判断部131は、CPU911などの処理装置を用いて、利用記録受信部111が出力した利用記録情報620を入力する。
匿名性判断部131は、CPU911などの処理装置を用いて、入力し利用記録情報620に基づいて、他の利用者も含むサービスの利用者が、購入した商品を判別する。
匿名性判断部131は、CPU911などの処理装置を用いて、判別した商品のうち、S41で判別した商品のリストに含まれる商品について、購入記録の出現回数(購入回数)を数える。 In S <b> 42, the anonymity determination unit 131 inputs the usage record information 620 output by the usage record reception unit 111 using a processing device such as the CPU 911.
The anonymity determination unit 131 uses a processing device such as the CPU 911 to determine a product purchased by a user of a service including other users based on the input record information 620.
The anonymity determination unit 131 uses a processing device such as the CPU 911 to count the number of appearances of purchase records (the number of purchases) for the products included in the product list determined in S41 among the determined products.

S43において、匿名性判断部131は、CPU911などの処理装置を用いて、S42で数えた購入回数を、あらかじめメモリなどの記憶装置を用いて記憶していた所定の閾値と比較し、その商品についての購入情報の匿名性を判断する。
匿名性が高いと判断した商品については、S44へ進む。
匿名性が低いと判断した商品については、匿名履歴判別処理を終了する。 In S43, the anonymity determination unit 131 uses a processing device such as the CPU 911 to compare the number of purchases counted in S42 with a predetermined threshold value stored in advance using a storage device such as a memory, and about the product. Determine the anonymity of your purchase information.
For products determined to have high anonymity, the process proceeds to S44.
For the product determined to be low in anonymity, the anonymous history determination process is terminated.

S44において、匿名履歴判別部130は、CPU911などの処理装置を用いて、匿名履歴情報630を生成する。匿名履歴情報630は、S43で匿名性が高いと判断した商品を購入したことがあることを示す情報である。
匿名履歴判別部130は、CPU911などの処理装置を用いて、生成した匿名履歴情報630を出力する。 In S <b> 44, the anonymous history determination unit 130 generates anonymous history information 630 using a processing device such as the CPU 911. Anonymity history information 630 is information indicating that a product that has been determined to have high anonymity in S43 has been purchased.
The anonymous history discriminating unit 130 outputs the generated anonymous history information 630 using a processing device such as the CPU 911.

このように、他の利用者も含むサービスの利用者が過去にサービスを利用した内容を記録した利用記録情報620に基づいて、匿名履歴判別部130が利用履歴情報610の匿名性を判断し、匿名性の高い情報のみで構成された匿名履歴情報630を生成する。
サービス提供装置810に対して、匿名性の高い情報のみで構成された匿名履歴情報630を、匿名履歴送信部141が送信することで、利用者は履歴サービスを受ける。
これにより、利用者を特定されることなく、利用者が履歴サービスを受けることができる。 As described above, based on the usage record information 620 in which the users of the service including other users recorded the contents of using the service in the past, the anonymous history determination unit 130 determines the anonymity of the usage history information 610, Anonymity history information 630 composed only of highly anonymous information is generated.
The anonymous history transmission unit 141 transmits anonymous history information 630 composed only of highly anonymous information to the service providing apparatus 810, so that the user receives a history service.
Thereby, the user can receive the history service without specifying the user.

この実施の形態における利用者端末装置100(端末装置)は、
情報を記憶するメモリなどの記憶装置と、
情報を処理するCPU911などの処理装置と、
利用したサービス内容を記録した利用記録情報620を複数記憶するサービス提供装置810(サーバ装置)と通信する通信装置915と、
メモリなどの記憶装置を用いて、サービス提供装置810が記憶した利用記録情報620のうち、利用者端末装置100を所持する利用者が利用したサービス内容についての利用記録情報620を利用履歴情報610として記憶する利用履歴記憶部121と、
通信装置915を用いて、サービス提供装置810から、利用記録情報620を複数受信し、CPU911などの処理装置を用いて、受信した複数の利用記録情報620を出力する利用記録受信部111と、
CPU911などの処理装置を用いて、利用記録受信部111が出力した複数の利用記録情報620と、利用履歴記憶部121が記憶した利用履歴情報610とを入力し、CPU911などの処理装置を用いて、入力した複数の利用記録情報620に基づいて、入力した利用履歴情報610のうちサービス提供装置810に送信しても利用者が特定されにくい情報を判別し、CPU911などの処理装置を用いて、判別した情報を匿名履歴情報630として出力する匿名履歴判別部130と、
CPU911などの処理装置を用いて、匿名履歴判別部130が出力した匿名履歴情報630を入力し、通信装置915を用いて、サービス提供装置810に対して、入力した匿名履歴情報630を送信する匿名履歴送信部141とを有することを特徴とする。 The user terminal device 100 (terminal device) in this embodiment is
A storage device such as a memory for storing information;
A processing device such as a CPU 911 for processing information;
A communication device 915 that communicates with a service providing device 810 (server device) that stores a plurality of usage record information 620 that records the service content used;
Of the usage record information 620 stored by the service providing device 810 using a storage device such as a memory, the usage record information 620 about the service content used by the user who owns the user terminal device 100 is used as the usage history information 610. A usage history storage unit 121 for storing;
A usage record receiving unit 111 that receives a plurality of usage record information 620 from the service providing device 810 using the communication device 915 and outputs the received plurality of usage record information 620 using a processing device such as the CPU 911;
Using a processing device such as the CPU 911, a plurality of usage record information 620 output from the usage record receiving unit 111 and usage history information 610 stored in the usage history storage unit 121 are input, and the processing device such as the CPU 911 is used. Based on a plurality of input usage record information 620, information that is difficult to identify a user even if transmitted to the service providing apparatus 810 from the input usage history information 610 is determined, and using a processing device such as the CPU 911, Anonymous history discriminating unit 130 that outputs the discriminated information as anonymous history information 630;
Anonymity history information 630 output by the anonymous history determination unit 130 is input using a processing device such as the CPU 911, and the anonymous history information 630 is transmitted to the service providing device 810 using the communication device 915. And a history transmission unit 141.

この実施の形態における利用者端末装置100によれば、利用者が特定されにくい情報を匿名履歴判別部130が匿名履歴情報630として判別し、判別した匿名履歴情報630を匿名履歴送信部141がサービス提供装置810に対して送信するので、この情報送信によりサービス提供装置810が利用者を特定できないという効果を奏する。   According to the user terminal device 100 in this embodiment, the anonymous history discriminating unit 130 discriminates information that is difficult to identify the user as the anonymous history information 630, and the anonymous history transmitting unit 141 services the discriminated anonymous history information 630. Since it transmits with respect to the provision apparatus 810, there exists an effect that the service provision apparatus 810 cannot identify a user by this information transmission.

この実施の形態における利用者端末装置100(端末装置)は、
匿名履歴判別部130が、
CPU911などの処理装置を用いて、入力した複数の利用記録情報620のそれぞれについて、利用記録情報620が記録したサービス内容を判別し、CPU911などの処理装置を用いて、判別したサービス内容のそれぞれについて、そのサービス内容を利用した利用回数を算出し、CPU911などの処理装置を用いて、算出した利用回数が所定の回数よりも多い場合に、そのサービス内容についての情報をサービス提供装置810に送信しても利用者が特定されにくいと判断する匿名性判断部131を有することを特徴とする。 The user terminal device 100 (terminal device) in this embodiment is
Anonymity history determination unit 130
Using the processing device such as the CPU 911, the service content recorded by the usage record information 620 is determined for each of the plurality of input usage record information 620, and the determined service content is determined using the processing device such as the CPU 911. Then, the number of times of using the service content is calculated, and when the calculated number of times of use is greater than a predetermined number using a processing device such as the CPU 911, information about the service content is transmitted to the service providing device 810. However, it is characterized by having an anonymity determination unit 131 that determines that the user is difficult to identify.

この実施の形態における利用者端末装置100によれば、匿名性判断部131が、同一内容のサービスが利用された回数が多い場合に、そのサービス内容についての情報をサービス提供装置810に送信しても利用者が特定されにくいと判断するので、その情報の匿名性を的確に判断することができるという効果を奏する。   According to the user terminal device 100 in this embodiment, the anonymity determining unit 131 transmits information about the service content to the service providing device 810 when the service having the same content is frequently used. Since it is determined that the user is difficult to be identified, the anonymity of the information can be accurately determined.

この実施の形態における利用者端末装置100が履歴サービスを利用する履歴サービス利用方法は、
情報を記憶するメモリなどの記憶装置と、情報を処理するCPU911などの処理装置と、利用したサービス内容を記録した利用記録情報620を複数記憶するサービス提供装置810(サーバ装置)と通信する通信装置915とを有する利用者端末装置100(端末装置)が、サービス提供装置810が提供する履歴サービスを利用する履歴サービス利用方法において、
メモリなどの記憶装置が、サービス提供装置810が記憶した利用記録情報620のうち、所定の利用者が利用したサービス内容についての利用記録情報620を利用履歴情報610として記憶する利用履歴記憶工程と、
通信装置915が、サービス提供装置810から、利用記録情報620を複数受信し、CPU911などの処理装置が、受信した複数の利用記録情報620を出力する利用記録受信工程と、
CPU911などの処理装置が、利用記録受信工程でCPU911などの処理装置が出力した複数の利用記録情報620と、利用履歴記憶工程でメモリなどの記憶装置が記憶した利用履歴情報610とを入力し、CPU911などの処理装置を用いて、入力した複数の利用記録情報620に基づいて、入力した利用履歴情報610のうちサービス提供装置810に送信しても利用者が特定されにくい情報を判別し、CPU911などの処理装置が、判別した情報を匿名履歴情報630として出力する匿名履歴判別工程と、
CPU911などの処理装置が、匿名履歴判別工程でCPU911などの処理装置が出力した匿名履歴情報630を入力し、通信装置915が、サービス提供装置810に対して、入力した匿名履歴情報630を送信する匿名履歴送信工程とを有することを特徴とする。 The history service using method in which the user terminal device 100 in this embodiment uses the history service is:
A communication device that communicates with a storage device such as a memory that stores information, a processing device such as a CPU 911 that processes information, and a service providing device 810 (server device) that stores a plurality of usage record information 620 that records used service contents In the history service use method in which the user terminal device 100 (terminal device) having 915 uses the history service provided by the service providing device 810,
A usage history storage step in which a storage device such as a memory stores usage record information 620 on service contents used by a predetermined user as usage history information 610 among usage record information 620 stored by the service providing device 810;
A communication device 915 receives a plurality of usage record information 620 from the service providing device 810, and a processing device such as the CPU 911 outputs a plurality of usage record information 620 received;
A processing device such as the CPU 911 inputs a plurality of usage record information 620 output from the processing device such as the CPU 911 in the usage record receiving step and usage history information 610 stored in a storage device such as a memory in the usage history storage step. Using a processing device such as the CPU 911, based on the plurality of input usage record information 620, information that is difficult to identify a user even if transmitted to the service providing device 810 is determined from the input usage history information 610. An anonymous history determination step for outputting the determined information as anonymous history information 630 by a processing device such as
The processing device such as the CPU 911 inputs the anonymous history information 630 output from the processing device such as the CPU 911 in the anonymous history determination step, and the communication device 915 transmits the input anonymous history information 630 to the service providing device 810. An anonymous history transmitting step.

この実施の形態における履歴サービス利用方法によれば、利用者が特定されにくい情報を匿名履歴判別工程で処理装置が匿名履歴情報630として判別し、判別した匿名履歴情報630を匿名履歴送信工程で通信装置915がサービス提供装置810に対して送信するので、この情報送信によりサービス提供装置810が利用者を特定できないという効果を奏する。   According to the history service utilization method in this embodiment, the processing device determines information that is difficult to identify a user as anonymous history information 630 in the anonymous history determination step, and communicates the determined anonymous history information 630 in the anonymous history transmission step. Since the apparatus 915 transmits to the service providing apparatus 810, this information transmission has an effect that the service providing apparatus 810 cannot identify the user.

この実施の形態における利用者端末装置100(端末装置)は、情報を記憶するメモリなどの記憶装置と、情報を処理するCPU911などの処理装置と、利用したサービス内容を記録した利用記録情報620を複数記憶するサービス提供装置810(サーバ装置)と通信する通信装置915とを有するコンピュータに、コンピュータをこの実施の形態における利用者端末装置100(端末装置)として機能させる履歴サービス利用プログラムを実行させることにより、実現することができる。   The user terminal device 100 (terminal device) in this embodiment includes a storage device such as a memory for storing information, a processing device such as a CPU 911 for processing information, and usage record information 620 in which used service content is recorded. Causing a computer having a communication device 915 that communicates with a plurality of service providing devices 810 (server devices) to execute a history service utilization program that causes the computer to function as the user terminal device 100 (terminal device) in this embodiment. Can be realized.

この実施の形態における履歴サービス利用プログラムによれば、利用者が特定されにくい情報を匿名履歴判別部130が匿名履歴情報630として判別し、判別した匿名履歴情報630を匿名履歴送信部141がサービス提供装置810に対して送信するので、この情報送信によりサービス提供装置810が利用者を特定できない利用者端末装置100を、容易に実現できるという効果を奏する。   According to the history service use program in this embodiment, the anonymous history discriminating unit 130 discriminates information that is difficult to identify the user as the anonymous history information 630, and the anonymous history transmitting unit 141 provides the discriminated anonymous history information 630 as a service. Since it transmits to the apparatus 810, there exists an effect that the user provision apparatus 100 which the service provision apparatus 810 cannot identify a user by this information transmission can be implement | achieved easily.

この実施の形態における履歴サービス提供システム800は、この実施の形態における利用者端末装置100を有することを特徴とする。   The history service providing system 800 according to this embodiment has the user terminal device 100 according to this embodiment.

この実施の形態における履歴サービス提供システム800によれば、利用者を特定される心配をせずに、利用者が履歴サービスを利用できるという効果を奏する。   According to the history service providing system 800 in this embodiment, there is an effect that the user can use the history service without worrying about identifying the user.

この実施の形態における利用者端末装置100は、サービスを利用した履歴をサービス提供装置810へ送信する前に、サービス提供装置810が保有するサービス利用記録の情報(利用記録情報620)を入手して、その情報を元に“履歴に含まれる情報によって利用者が特定され易いか否か”を判断し、特定される可能性が高い情報は含めないように履歴(匿名履歴情報630)を作成することを特徴とする。   The user terminal device 100 in this embodiment obtains service usage record information (usage record information 620) held by the service providing device 810 before transmitting the service usage history to the service providing device 810. Then, based on the information, it is determined whether or not a user is easily specified by information included in the history, and a history (anonymous history information 630) is created so as not to include information that is highly likely to be specified. It is characterized by that.

これにより、利用者が履歴を送信する前に、予め店舗から履歴に関する情報を入手し、それら情報を用いて、利用者は自身が店舗によって特定されない購入情報から購入履歴を作成し店舗に送信することによって、利用者はプライバシーを保護された状態で且つ匿名で履歴サービスを利用できる。   Thus, before the user transmits the history, information on the history is obtained from the store in advance, and using the information, the user creates a purchase history from purchase information that is not specified by the store and transmits the purchase history to the store. Thus, the user can use the history service anonymously with privacy protected.

実施の形態2.
実施の形態2について、図10〜図12を用いて説明する。
この実施の形態における履歴サービス提供システム800の全体構成、利用者端末装置100及びサービス提供装置810のハードウェア構成は、実施の形態1で説明したものと同様なので、ここでは説明を省略する。 Embodiment 2. FIG.
The second embodiment will be described with reference to FIGS.
Since the overall configuration of the history service providing system 800 and the hardware configuration of the user terminal device 100 and the service providing device 810 in this embodiment are the same as those described in the first embodiment, description thereof is omitted here.

図10は、この実施の形態における利用者端末装置100の機能ブロックの構成の一例を示すブロック構成図である。
なお、実施の形態1で説明したブロックと共通するブロックについては、同一の符号を付し、ここでは説明を省略する。 FIG. 10 is a block configuration diagram illustrating an example of a functional block configuration of the user terminal device 100 according to this embodiment.
Note that blocks that are the same as the blocks described in the first embodiment are denoted by the same reference numerals, and description thereof is omitted here.

利用者端末装置100は、更に、信頼性判断部151を有する。
信頼性判断部151は、CPU911などの処理装置を用いて、利用記録受信部111が出力した利用記録情報620と、利用履歴記憶部121が記憶した利用履歴情報610とを入力する。
信頼性判断部151は、CPU911などの処理装置を用いて、入力した利用記録情報620と、入力した利用履歴情報610とに基づいて、利用記録情報620が信頼できるか否かを判断する。
信頼性判断部151は、CPU911などの処理装置を用いて、判断結果を示す情報を出力する。 The user terminal device 100 further includes a reliability determination unit 151.
The reliability determination unit 151 inputs the usage record information 620 output from the usage record reception unit 111 and the usage history information 610 stored in the usage history storage unit 121 using a processing device such as the CPU 911.
The reliability determination unit 151 determines whether the usage record information 620 is reliable based on the input usage record information 620 and the input usage history information 610 using a processing device such as the CPU 911.
The reliability determination unit 151 outputs information indicating the determination result using a processing device such as the CPU 911.

匿名履歴判別部130は、CPU911などの処理装置を用いて、信頼性判断部151が出力した判断結果を示す情報を入力する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、入力した情報に基づいて、利用記録情報620が信頼できると信頼性判断部151が判断した場合に、実施の形態1で説明した処理を行い、匿名履歴情報630を出力する。 The anonymous history determination unit 130 inputs information indicating the determination result output by the reliability determination unit 151 using a processing device such as the CPU 911.
The anonymous history determination unit 130 uses the processing device such as the CPU 911 and the processing described in the first embodiment when the reliability determination unit 151 determines that the usage record information 620 is reliable based on the input information. And anonymous history information 630 is output.

したがって、利用記録情報620が信頼できないと信頼性判断部151が判断した場合には処理を行わず、サービス提供装置810に対して匿名履歴情報630を送信しない。   Therefore, when the reliability determination unit 151 determines that the usage record information 620 is not reliable, no processing is performed and the anonymous history information 630 is not transmitted to the service providing apparatus 810.

実施の形態1では、サービス提供装置810から送信された利用記録情報620が信頼できることを前提として、受信した利用記録情報620に基づいて、匿名履歴情報630を判別し、サービス提供装置810に対して送信する。   In the first embodiment, on the assumption that the usage record information 620 transmitted from the service providing apparatus 810 is reliable, the anonymous history information 630 is determined based on the received usage record information 620, and the service providing apparatus 810 is notified. Send.

しかし、サービス提供装置810が、「嘘の」利用記録情報620を送信し、利用者端末装置100を騙すことにより、利用者を特定しようとする場合がある。
例えば、サービス提供装置810が記憶している利用記録情報620が、図7に示したものであり、サービス提供装置810は、商品Cを購入した利用者を特定したいものとする。
サービス提供装置810が記憶している利用記録情報620を、利用者端末装置100に対して正直に送信すると、実施の形態1で説明したように、商品Cを購入したことがあるという情報は匿名性が低いと、匿名性判断部131が判断する。したがって、匿名履歴送信部141がサービス提供装置810に対して送信する匿名履歴情報630には、商品Cを購入したことがあることを示す情報は含まれず、サービス提供装置810は、商品Cを購入した利用者を特定することができない。 However, the service providing apparatus 810 may attempt to identify the user by transmitting the “lie” usage record information 620 and tricking the user terminal apparatus 100.
For example, it is assumed that the usage record information 620 stored in the service providing apparatus 810 is as shown in FIG. 7, and the service providing apparatus 810 wants to specify the user who purchased the product C.
When the usage record information 620 stored in the service providing apparatus 810 is honestly transmitted to the user terminal apparatus 100, the information that the product C has been purchased is anonymous as described in the first embodiment. If the property is low, the anonymity determination unit 131 determines. Therefore, the anonymous history information 630 transmitted to the service providing apparatus 810 by the anonymous history transmitting unit 141 does not include information indicating that the product C has been purchased, and the service providing apparatus 810 purchases the product C. The user who made it cannot be specified.

そこで、サービス提供装置810は、利用記録情報620を改変し、「嘘の」利用記録情報620を送信することにより、商品Cを購入したことがあるという情報を送信させ、商品Cを購入した利用者を特定しようと試みる。   Therefore, the service providing apparatus 810 transmits information indicating that the product C has been purchased by modifying the usage record information 620 and transmitting the “lie” usage record information 620, and the usage of the product C purchased. Attempt to identify the person.

図11は、サービス提供装置810が嘘の利用記録情報620を送信した場合について説明する図である。
利用記録受信部111は、通信装置915を用いて、サービス提供装置810が送信してきた「嘘の」利用記録情報620を受信する。
この図において、利用記録情報620が改変された部分を太枠で示している。 FIG. 11 is a diagram illustrating a case where the service providing apparatus 810 transmits lie usage record information 620.
The usage record receiving unit 111 receives the “lie” usage record information 620 transmitted by the service providing apparatus 810 using the communication device 915.
In this figure, the part in which the usage record information 620 is modified is indicated by a thick frame.

匿名性判断部131は、CPU911などの処理装置を用いて、利用記録受信部111が受信した利用記録情報620を入力し、商品Cを購入したというサービスの利用記録を数えて、5つあると判断する。これは、利用回数の閾値(4回)と比べて多いので、匿名性判断部131は、(騙されて)商品Cについての情報は匿名性が高いと判断する。
この判断に基づいて、匿名履歴判別部130は、CPU911などの処理装置を用いて、商品Cを購入したことがあることを示す匿名履歴情報630を生成する。匿名履歴送信部141は、通信装置915を用いて、サービス提供装置810に対して、生成した匿名履歴情報630を送信する。
サービス提供装置810は、利用者端末装置100が送信してきた匿名履歴情報630を受信し、以前に商品Cを購入した利用者を特定する。 The anonymity determination unit 131 inputs the usage record information 620 received by the usage record reception unit 111 using a processing device such as the CPU 911, and counts the usage records of the service that the product C has been purchased. to decide. Since this is more than the threshold (4 times) of the number of uses, the anonymity determination unit 131 determines that the information about the product C (has been deceived) has high anonymity.
Based on this determination, the anonymous history determination unit 130 generates anonymous history information 630 indicating that the product C has been purchased using a processing device such as the CPU 911. The anonymous history transmission unit 141 transmits the generated anonymous history information 630 to the service providing device 810 using the communication device 915.
The service providing device 810 receives the anonymous history information 630 transmitted by the user terminal device 100, and identifies the user who has previously purchased the product C.

このように、サービス提供装置810は、実際には利用されたことの少ないサービスを、あたかも多く利用されているかのように見せかけるよう改変した「嘘の」利用記録情報620を利用者端末装置100に対して送信することにより、そのサービスを利用した利用者を特定することが可能である。   As described above, the service providing apparatus 810 provides the user terminal apparatus 100 with the “lie” usage record information 620 that is modified so as to make it appear as if many services that have not been used are actually used. By transmitting to the user, it is possible to specify the user who uses the service.

この実施の形態における利用者端末装置100は、このような改変を見破ることにより、匿名性の低い情報を送信しないようにしたものである。   The user terminal device 100 in this embodiment is configured not to transmit information with low anonymity by overlooking such a modification.

図12は、この実施の形態における信頼性判断部151が利用記録情報620の信頼性を判断する信頼性判断処理の流れの一例を示すフローチャート図である。   FIG. 12 is a flowchart showing an example of the flow of the reliability determination process in which the reliability determination unit 151 determines the reliability of the usage record information 620 in this embodiment.

S51において、信頼性判断部151は、CPU911などの処理装置を用いて、利用履歴記憶部121が記憶した利用履歴情報610と、利用記録受信部111が出力した利用記録情報620とを入力する。
信頼性判断部151は、CPU911などの処理装置を用いて、入力した利用履歴情報610すべてについて同じ内容を示す利用記録情報620が存在するか否かを判断する。
利用履歴情報610すべてについて同じ内容の利用記録情報620があると判断した場合は、S52へ進む。
利用履歴情報610のなかに同じ内容の利用記録情報620がないと判断した場合は、S53へ進む。 In S <b> 51, the reliability determination unit 151 inputs the usage history information 610 stored in the usage history storage unit 121 and the usage record information 620 output from the usage record reception unit 111 using a processing device such as the CPU 911.
The reliability determination unit 151 determines whether or not usage record information 620 indicating the same content exists for all the input usage history information 610 using a processing device such as the CPU 911.
If it is determined that there is usage record information 620 having the same contents for all the usage history information 610, the process proceeds to S52.
When it is determined that there is no usage record information 620 having the same contents in the usage history information 610, the process proceeds to S53.

S52において、信頼性判断部151は、CPU911などの処理装置を用いて、利用記録情報620が信頼できると判断する。
その後、S54へ進む。 In S <b> 52, the reliability determination unit 151 determines that the usage record information 620 is reliable using a processing device such as the CPU 911.
Thereafter, the process proceeds to S54.

S53において、信頼性判断部151は、CPU911などの処理装置を用いて、利用記録情報620が信頼できないと判断する。   In S53, the reliability determination unit 151 determines that the usage record information 620 is unreliable using a processing device such as the CPU 911.

S54において、信頼性判断部151は、CPU911などの処理装置を用いて、判断結果を匿名履歴判別部130に通知する。   In S <b> 54, the reliability determination unit 151 notifies the determination result to the anonymous history determination unit 130 using a processing device such as the CPU 911.

匿名履歴判別部130は、この通知を受け、利用記録情報620が信頼できると信頼性判断部151が判断した場合のみ、処理を行い、匿名履歴情報630を出力する。利用記録情報620が信頼できないと信頼性判断部151が判断した場合、匿名履歴判別部130は処理を止め、匿名履歴情報630を出力しない。   The anonymous history discriminating unit 130 receives this notification and performs processing only when the reliability determining unit 151 determines that the usage record information 620 is reliable, and outputs the anonymous history information 630. When the reliability determination unit 151 determines that the usage record information 620 is not reliable, the anonymous history determination unit 130 stops processing and does not output the anonymous history information 630.

例えば、図6に示した利用履歴情報610を利用履歴記憶部121が記憶している利用者端末装置100に対して、図11に示した利用記録情報620が、サービス提供装置810から送信されてきた場合を例にして、説明する。   For example, the usage record information 620 illustrated in FIG. 11 is transmitted from the service providing apparatus 810 to the user terminal device 100 in which the usage history storage unit 121 stores the usage history information 610 illustrated in FIG. An example will be described.

信頼性判断部151は、図6の1つ目(1月5日)の利用履歴情報610に記録されている内容「商品Aを1個、商品Bを2個、商品Dを2個購入した」と、同一の内容を有する利用記録情報620があるか否かを判断する。図11の1つ目の利用記録情報620がこれに該当するので、この情報は改変がないことがわかる。
信頼性判断部151は、同様に、図6の2つ目(1月10日)の利用履歴情報610に記録されている内容「商品Bを1個購入した」と、同一の内容を有する利用記録情報620があるか否かを判断する。図11の利用記録情報620にはこれに該当する利用記録情報620がない。したがって、この情報が改変されていることがわかる。
1つでも改変されている情報を見つけた場合、信頼性判断部151は、利用記録情報620全体が信頼できないと判断する。 The reliability determination unit 151 purchases the content “one product A, two products B, and two products D” recorded in the first usage history information 610 of FIG. 6 (January 5). It is determined whether there is usage record information 620 having the same content. Since the first usage record information 620 in FIG. 11 corresponds to this, it is understood that this information is not altered.
Similarly, the reliability determination unit 151 uses the same content as the content “purchased 1 product B” recorded in the second usage history information 610 in FIG. 6 (January 10). It is determined whether there is recorded information 620. The usage record information 620 in FIG. 11 does not have the corresponding usage record information 620. Therefore, it can be seen that this information has been altered.
When even one piece of information that has been modified is found, the reliability determination unit 151 determines that the entire usage record information 620 is not reliable.

これにより、匿名履歴判別部130は処理を止め、匿名履歴情報630を出力しない。したがって、「商品Cを購入したことがある」ことを示す匿名履歴情報630がサービス提供装置810に対して送信されるのを未然に防ぐことができ、サービス提供装置810に利用者を特定されずに済む。   Thereby, the anonymous history discriminating unit 130 stops the process and does not output the anonymous history information 630. Therefore, it is possible to prevent the anonymous history information 630 indicating that “the product C has been purchased” from being transmitted to the service providing apparatus 810, and the user is not identified in the service providing apparatus 810. It will end.

サービス提供装置810に、送信した利用記録情報620が信頼されなかったことがわかると、改変した利用記録情報620のなかに、その利用者についての利用記録情報620があることがわかり、利用者を特定する手がかりとなる可能性がある。
そこで、匿名履歴送信部141は、利用記録情報620が信頼できないと信頼性判断部151が判断して、匿名履歴判別部130が匿名履歴情報630を出力しなかった場合、サービス提供装置810に対して、空の情報を送信する。
これは、その利用者がサービスを初めて利用する場合の手順と同じなので、サービス提供装置810は、利用記録情報620が信頼されなかったのか、その利用者がサービスを初めて利用するのか区別できない。これにより、サービス提供装置810に利用者を特定する手がかりを与えずに済む。 If the service providing apparatus 810 knows that the transmitted usage record information 620 has not been trusted, it can be seen that the usage record information 620 for the user is present in the modified usage record information 620, and the user is identified. May be a clue to identify.
Therefore, if the reliability determination unit 151 determines that the usage record information 620 is not reliable and the anonymous history determination unit 130 does not output the anonymous history information 630, the anonymous history transmission unit 141 determines that the usage record information 620 is not reliable. Send empty information.
Since this is the same procedure as when the user uses the service for the first time, the service providing apparatus 810 cannot distinguish whether the usage record information 620 is not trusted or whether the user uses the service for the first time. This eliminates the need to give the service providing apparatus 810 a clue to identify the user.

この実施の形態における利用者端末装置100は、更に、
CPU911などの処理装置を用いて、利用履歴記憶部121が記憶した利用履歴情報610と利用記録受信部111が出力した利用記録情報620とを入力し、CPU911などの処理装置を用いて、入力した利用記録情報620のなかに、入力した利用履歴情報610が記録したサービス内容と一致するサービス内容を記録した利用記録情報620が存在するか否かを判断し、一致するサービス内容を記録した利用記録情報620があると判断した場合に、利用記録情報620が信頼できると判断する信頼性判断部151を有し、
匿名履歴判別部130が、CPU911などの処理装置を用いて、利用記録情報620が信頼できると信頼性判断部151が判断した場合に、匿名履歴情報630を出力することを特徴とする。 The user terminal device 100 in this embodiment further includes:
Using the processing device such as the CPU 911, the usage history information 610 stored in the usage history storage unit 121 and the usage record information 620 output from the usage record receiving unit 111 are input and input using the processing device such as the CPU 911. In the usage record information 620, it is determined whether there is usage record information 620 that records the service content that matches the service content recorded by the input usage history information 610, and the usage record that records the service content that matches. A reliability determination unit 151 that determines that the usage record information 620 is reliable when it is determined that the information 620 exists;
The anonymous history determination unit 130 outputs the anonymous history information 630 when the reliability determination unit 151 determines that the usage record information 620 is reliable using a processing device such as the CPU 911.

この実施の形態における利用者端末装置100によれば、信頼性判断部151が利用記録情報620の改変を見破り、利用記録情報620が改変されている場合には、匿名履歴判別部130が匿名履歴情報630を出力しないので、匿名履歴送信部141がサービス提供装置810に対して匿名履歴情報630を送信せず、匿名性の低い情報により利用者を特定されるのを防ぐことができるという効果を奏する。   According to the user terminal device 100 in this embodiment, when the reliability judgment unit 151 has overlooked the modification of the usage record information 620 and the usage record information 620 has been altered, the anonymous history determination unit 130 Since the information 630 is not output, the anonymous history transmitting unit 141 does not transmit the anonymous history information 630 to the service providing apparatus 810, and it is possible to prevent the user from being specified by information having low anonymity. Play.

このような構成を有する利用者端末装置100に利用記録情報620の改変を見破られないようにするためには、サービス提供装置810は、その利用者についての利用記録情報620は改変せず、他の利用者についての利用記録情報620だけを改変する必要がある。
しかし、サービス提供装置810は、利用者を特定できる情報を記録していないので、利用記録情報620がどの利用者についてのものか判別できず、他の利用者についての利用記録情報620だけを改変することはできない。 In order to prevent the user terminal device 100 having such a configuration from seeing the alteration of the usage record information 620, the service providing device 810 does not alter the usage record information 620 for the user, It is necessary to modify only the usage record information 620 for the user.
However, since the service providing apparatus 810 does not record information that can identify the user, the service providing apparatus 810 cannot determine which user the usage record information 620 belongs to, and only modifies the usage record information 620 for other users. I can't do it.

このように、利用者は、店舗から入手する履歴に関する情報のうちいずれかを検証可能であるが、店舗は利用者が検証する情報を特定できないため、店舗が情報を都合の良い値に改ざんすることを防止できる。   In this way, the user can verify any of the information regarding the history obtained from the store, but the store cannot specify the information to be verified by the store, so the store alters the information to a convenient value. Can be prevented.

サービス提供装置810は、記憶した利用記録情報620のうち、ごく一部だけを改変すれば、改変した利用記録情報620が記録したサービスの利用者以外の利用者には、改変を見破られない。
しかし、このような改変が1回でも発覚すれば、顧客の信用を失い、顧客を失うことになるので、たとえ実際に見破ることができる可能性が低いとしても、このような改変を抑止する効果を期待することができる。 If the service providing apparatus 810 modifies only a part of the stored usage record information 620, the modification cannot be detected by a user other than the user of the service recorded by the modified usage record information 620.
However, if such a modification is detected even once, the customer's trust is lost and the customer is lost, so even if it is unlikely that it can actually be seen, the effect of suppressing such modification Can be expected.

なお、1回でも改変を見破った場合、利用者端末装置100は、そのことをメモリなどの記憶装置を用いて記憶しておき、以後、同じサービス提供装置810からの情報はすべて信頼しない構成としてもよい。
あるいは、利用者端末装置100は、利用者が店を出たあとで、個人情報を収集している可能性があることを表示装置901を用いて表示し、利用者に警告してもよい(その場で警告しないのは、見破ったことを店側に悟られないためである)。 In the case where the modification is confirmed even once, the user terminal device 100 stores the information using a storage device such as a memory, and thereafter, the information from the same service providing device 810 is not trusted. Also good.
Alternatively, the user terminal device 100 may use the display device 901 to display a warning that the user may have collected personal information after leaving the store and warn the user ( The reason we don't warn on the spot is that the store doesn't realize that we have seen it.)

実施の形態3.
実施の形態3について、図13〜図15を用いて説明する。
この実施の形態における履歴サービス提供システム800の全体構成、利用者端末装置100及びサービス提供装置810のハードウェア構成は、実施の形態1で説明したものと同様なので、ここでは説明を省略する。
また、この実施の形態における利用者端末装置100の機能ブロックの構成は、実施の形態2で説明したものと同様なので、ここでは説明を省略する。 Embodiment 3 FIG.
The third embodiment will be described with reference to FIGS.
Since the overall configuration of the history service providing system 800 and the hardware configuration of the user terminal device 100 and the service providing device 810 in this embodiment are the same as those described in the first embodiment, description thereof is omitted here.
In addition, since the functional block configuration of the user terminal device 100 in this embodiment is the same as that described in the second embodiment, the description thereof is omitted here.

図13は、この実施の形態における利用履歴受信部112が受信し、利用履歴記憶部121が記憶する利用履歴情報610の一例を示す図である。
なお、実施の形態1で図6を用いて説明した利用履歴情報610と共通する部分については、同一の符号を付し、ここでは説明を省略する。 FIG. 13 is a diagram showing an example of the usage history information 610 received by the usage history receiving unit 112 and stored in the usage history storage unit 121 in this embodiment.
Note that portions common to the usage history information 610 described with reference to FIG. 6 in Embodiment 1 are denoted by the same reference numerals, and description thereof is omitted here.

利用履歴受信部112は、通信装置915を用いて、サービス提供装置810が送信してきた利用履歴情報610を受信する。
利用履歴受信部112が受信する利用履歴情報610には、履歴識別情報614が含まれている。
利用履歴受信部112は、CPU911などの処理装置を用いて、受信した利用履歴情報610を出力する。利用履歴受信部112が出力する利用履歴情報610には、受信した履歴識別情報614が含まれている。利用履歴受信部112は、受信した履歴識別情報614を利用履歴情報610とともに出力する。 The usage history receiving unit 112 receives the usage history information 610 transmitted from the service providing device 810 using the communication device 915.
The usage history information 610 received by the usage history receiving unit 112 includes history identification information 614.
The usage history receiving unit 112 outputs the received usage history information 610 using a processing device such as the CPU 911. The usage history information 610 output by the usage history receiving unit 112 includes the received history identification information 614. The usage history receiving unit 112 outputs the received history identification information 614 together with the usage history information 610.

履歴識別情報614は、利用履歴情報610を識別する情報である。履歴識別情報614は、利用履歴情報610ごとに異なる。   The history identification information 614 is information for identifying the usage history information 610. The history identification information 614 differs for each usage history information 610.

利用履歴記憶部121は、CPU911などの処理装置を用いて、利用履歴受信部112が出力した利用履歴情報610と履歴識別情報614とを入力する。
利用履歴記憶部121は、メモリなどの記憶装置を用いて、入力した利用履歴情報610と履歴識別情報614とを記憶する。 The usage history storage unit 121 inputs the usage history information 610 and the history identification information 614 output from the usage history reception unit 112 using a processing device such as the CPU 911.
The usage history storage unit 121 stores input usage history information 610 and history identification information 614 using a storage device such as a memory.

図14は、この実施の形態における利用記録受信部111が受信する利用記録情報620の一例を示す図である。
なお、実施の形態1で図7を用いて説明した利用記録情報620と共通する部分については、同一の符号を付し、ここでは説明を省略する。 FIG. 14 is a diagram showing an example of usage record information 620 received by the usage record receiver 111 in this embodiment.
Note that portions common to the usage record information 620 described with reference to FIG. 7 in Embodiment 1 are denoted by the same reference numerals, and description thereof is omitted here.

利用記録受信部111は、通信装置915を用いて、サービス提供装置810が送信してきた利用記録情報620を受信する。
利用記録受信部111が受信する利用記録情報620には、記録識別情報624が含まれている。
利用記録受信部111は、CPU911などの処理装置を用いて、受信した利用記録情報620を出力する。利用記録受信部111が出力する利用記録情報620には、受信した記録識別情報624が含まれている。利用記録受信部111は、受信した記録識別情報624を利用記録情報620とともに出力する。 The usage record receiving unit 111 receives the usage record information 620 transmitted by the service providing apparatus 810 using the communication device 915.
The usage record information 620 received by the usage record receiver 111 includes record identification information 624.
The usage record receiving unit 111 outputs the received usage record information 620 using a processing device such as the CPU 911. The usage record information 620 output by the usage record receiving unit 111 includes the received record identification information 624. The usage record receiver 111 outputs the received record identification information 624 together with the usage record information 620.

記録識別情報624は、利用記録情報620を識別する情報である。記録識別情報624は、利用記録情報620ごとに異なる。   The record identification information 624 is information for identifying the usage record information 620. The record identification information 624 is different for each use record information 620.

サービス提供装置810は、利用者がサービスを利用したことを記録した利用履歴情報610に、履歴識別情報614を含めて、利用者端末装置100に対して送信する。サービス提供装置810は、その利用履歴情報610を利用記録情報620として記憶する際、利用者端末装置100に対して送信した履歴識別情報614を、記録識別情報624として、利用記録情報620に含めて記憶しておく。
サービス提供装置810は、利用者端末装置100に対して、利用記録情報620を送信するにあたり、その利用記録情報620の記録識別情報624を一緒に送信する。 The service providing apparatus 810 includes the history identification information 614 in the usage history information 610 that records that the user has used the service, and transmits it to the user terminal device 100. When the service providing apparatus 810 stores the usage history information 610 as usage record information 620, the history identification information 614 transmitted to the user terminal device 100 is included in the usage record information 620 as record identification information 624. Remember.
When transmitting the usage record information 620 to the user terminal device 100, the service providing apparatus 810 transmits the record identification information 624 of the usage record information 620 together.

実施の形態2において、信頼性判断部151は、利用履歴情報610と同一内容を示す利用記録情報620があるか否かに基づいて、利用記録情報620が信頼できるか否かを判断する。
しかし、他の利用者についての利用記録情報620のなかに、まったく同一内容を示す利用記録情報620があった場合、両者を区別できなければ、利用記録情報620を見破ることができない。 In the second embodiment, the reliability determination unit 151 determines whether or not the usage record information 620 is reliable based on whether or not the usage record information 620 showing the same content as the usage history information 610 exists.
However, if there is usage record information 620 showing exactly the same contents in the usage record information 620 for other users, the usage record information 620 cannot be detected unless the two can be distinguished.

この実施の形態の利用者端末装置100は、利用記録情報620を識別する記録識別情報624を用いて、サービス内容が同一の利用記録情報620を区別できるようにしたものである。   The user terminal device 100 of this embodiment uses the record identification information 624 for identifying the usage record information 620 so that the usage record information 620 having the same service content can be distinguished.

図15は、この実施の形態における信頼性判断部151が利用記録情報620の信頼性を判断する信頼性判断処理の流れの一例を示すフローチャート図である。
なお、実施の形態2で図12を用いて説明した処理と共通する処理については、同一の符号を付し、ここでは説明を省略する。 FIG. 15 is a flowchart showing an example of the flow of the reliability determination process in which the reliability determination unit 151 determines the reliability of the usage record information 620 in this embodiment.
In addition, the same code | symbol is attached | subjected about the process which is common in the process demonstrated using FIG. 12 in Embodiment 2, and description is abbreviate | omitted here.

S55において、信頼性判断部151は、CPU911などの処理装置を用いて、利用履歴記憶部121が記憶した履歴識別情報614と、利用記録受信部111が出力した記録識別情報624とを入力する。
信頼性判断部151は、CPU911などの処理装置を用いて、入力した履歴識別情報614と入力した記録識別情報624とが一致するものについて、利用履歴記憶部121が記録した利用履歴情報610と、利用記録受信部111が出力した利用記録情報620とを入力する。
すなわち、信頼性判断部151は、CPU911などの処理装置を用いて、利用記録受信部111が出力した利用記録情報620のなかから、利用履歴記憶部121が記憶した利用履歴情報610の履歴識別情報614と一致する記録識別情報624を有する利用記録情報620を抽出する。
入力した利用記録情報620のなかに、履歴識別情報614と一致する記録識別情報624を有する利用記録情報620がない場合には、S53へ進み、利用記録情報620が信頼できないと判断する。
入力した履歴識別情報614すべてについて、一致する記録識別情報624を有する利用記録情報620がある場合には、S56へ進む。 In S55, the reliability determination unit 151 inputs the history identification information 614 stored in the usage history storage unit 121 and the record identification information 624 output from the usage record reception unit 111 using a processing device such as the CPU 911.
The reliability determination unit 151 uses the processing history information 610 recorded by the usage history storage unit 121 for the input history identification information 614 and the input record identification information 624 that match using a processing device such as the CPU 911, and the like. The usage record information 620 output by the usage record receiver 111 is input.
That is, the reliability determination unit 151 uses the processing device such as the CPU 911 to identify the history identification information of the usage history information 610 stored in the usage history storage unit 121 from the usage record information 620 output from the usage record reception unit 111. Usage record information 620 having record identification information 624 that matches 614 is extracted.
If there is no usage record information 620 having the record identification information 624 that matches the history identification information 614 in the input usage record information 620, the process proceeds to S53 and it is determined that the usage record information 620 is not reliable.
If there is usage record information 620 having record identification information 624 that matches all the history identification information 614 input, the process proceeds to S56.

S56において、信頼性判断部151は、CPU911などの処理装置を用いて、履歴識別情報614と記録識別情報624とが一致する利用履歴情報610と利用記録情報620とについて、利用履歴情報610が記録したサービス内容と、利用記録情報620が記録したサービス内容とが一致するか否かを判断する。
サービス内容が一致する場合は、S52へ進み、利用記録情報620が信頼できると判断する。
サービス内容が一致しない場合は、S53へ進み、利用記録情報620が信頼できないと判断する。 In S56, the reliability determination unit 151 uses the processing device such as the CPU 911 to record the usage history information 610 and the usage record information 620 in which the history identification information 614 and the recording identification information 624 match. It is determined whether or not the service content recorded matches the service content recorded by the usage record information 620.
If the service contents match, the process proceeds to S52, and it is determined that the usage record information 620 is reliable.
If the service contents do not match, the process proceeds to S53, and it is determined that the usage record information 620 is not reliable.

このように、信頼性判断部151は、履歴識別情報614と記録識別情報624とが一致する利用履歴情報610と利用記録情報620とについて、記録したサービス内容が一致するか否かに基づいて、利用記録情報620が信頼できるか否かを判断するので、同じサービス内容を記録した利用記録情報620が他にある場合でも、利用記録情報620の改変を見破ることができる。   As described above, the reliability determination unit 151 determines whether or not the recorded service contents match between the use history information 610 and the use record information 620 in which the history identification information 614 and the record identification information 624 match. Since it is determined whether or not the usage record information 620 is reliable, even when there is another usage record information 620 that records the same service content, the alteration of the usage record information 620 can be detected.

また、サービス提供装置810は、利用記録情報620の内容を改変せず、一部の利用記録情報620をわざと利用者端末装置100に送信しないことにより、匿名性判断部131が判断の基礎とする情報を偏らせ、匿名性判断部131の判断を誤らせようとする可能性もある。   In addition, the service providing apparatus 810 does not modify the contents of the usage record information 620 and does not intentionally transmit a part of the usage record information 620 to the user terminal device 100, so that the anonymity determination unit 131 makes a basis for the determination. There is a possibility that the information is biased and the anonymity determination unit 131 tries to make a mistake.

この実施の形態の利用者端末装置100は、記録した利用履歴情報610の履歴識別情報614と一致する記録識別情報624を有する利用記録情報620がすべて送信されているか否かを判断することにより、そのような意図的な不送信を見破ることができる。   The user terminal device 100 according to this embodiment determines whether or not all the usage record information 620 having the record identification information 624 that matches the history identification information 614 of the recorded usage history information 610 is transmitted. Such intentional non-transmission can be detected.

利用記録情報620の改変や意図的な不送信を見破った場合、信頼性判断部151は、利用記録情報620が信頼できないと判断し、匿名履歴判別部130は、匿名履歴情報630を出力しない。
したがって、匿名履歴送信部141は、サービス提供装置810に対して匿名履歴情報630を送信せず、匿名性の低い情報により利用者を特定されるのを防ぐことができる。 If the usage record information 620 is altered or intentionally untransmitted, the reliability determination unit 151 determines that the usage record information 620 is not reliable, and the anonymous history determination unit 130 does not output the anonymous history information 630.
Therefore, the anonymous history transmitting unit 141 can prevent the anonymous history information 630 from being transmitted to the service providing apparatus 810 and prevent the user from being specified by information having low anonymity.

この実施の形態における利用者端末装置100(端末装置)は、
利用履歴記憶部121が、
メモリなどの記憶装置を用いて、利用履歴情報610と利用履歴情報610を識別する履歴識別情報614とを記憶し、
利用記録受信部111が、
通信装置915を用いて、複数の利用記録情報620と複数の利用記録情報620をそれぞれ識別する複数の記録識別情報624とを受信し、CPU911などの処理装置を用いて、受信した複数の利用記録情報620と受信した複数の記録識別情報624とを出力し、
利用者端末装置100が、更に、
CPU911などの処理装置を用いて、利用履歴記憶部121が記憶した履歴識別情報614と、利用記録受信部111が出力した複数の記録識別情報624とを入力し、CPU911などの処理装置を用いて、入力した履歴識別情報614と入力した記録識別情報624とが一致するものについて、利用履歴記憶部121が記憶した利用履歴情報610のうち、履歴識別情報614によって識別される利用履歴情報610と、利用記録受信部111が出力した利用履歴情報610のうち、記録識別情報624によって識別される利用記録情報620とを入力し、CPU911などの処理装置を用いて、入力した利用履歴情報610が記録したサービス内容と、入力した利用記録情報620が記録したサービス内容とが一致するか否かを判断し、CPU911などの処理装置を用いて、サービス内容が一致すると判断した場合に、利用記録情報620が信頼できると判断する信頼性判断部151を有し、
匿名履歴判別部130が、
CPU911などの処理装置を用いて、利用記録情報620が信頼できると信頼性判断部151が判断した場合に、匿名履歴情報630を出力することを特徴とする。 The user terminal device 100 (terminal device) in this embodiment is
Usage history storage unit 121
Using a storage device such as a memory, the usage history information 610 and the history identification information 614 for identifying the usage history information 610 are stored,
Usage record receiver 111
The communication device 915 is used to receive the plurality of usage record information 620 and the plurality of record identification information 624 for identifying the plurality of usage record information 620, and the received plurality of usage records using the processing device such as the CPU 911. Output information 620 and a plurality of received record identification information 624;
The user terminal device 100 further includes
The history identification information 614 stored in the usage history storage unit 121 and the plurality of record identification information 624 output from the usage record reception unit 111 are input using a processing device such as the CPU 911, and the processing device such as the CPU 911 is used. The usage history information 610 identified by the history identification information 614 among the usage history information 610 stored by the usage history storage unit 121 for the input history identification information 614 that matches the input record identification information 624, The usage record information 620 identified by the record identification information 624 is input from the usage history information 610 output by the usage record receiving unit 111, and the input usage history information 610 is recorded using a processing device such as the CPU 911. It is determined whether or not the service content matches the service content recorded by the input usage record information 620. , Using the processing device, such as a CPU 911, when it is determined that the service content is matched, has the reliability determination unit 151 determines that the usage record information 620 is reliable,
Anonymity history determination unit 130
When the reliability determination unit 151 determines that the usage record information 620 is reliable using a processing device such as the CPU 911, the anonymous history information 630 is output.

この実施の形態における利用者端末装置100によれば、履歴識別情報614と記録識別情報624とが一致するものについて、利用履歴情報610が示すサービスの内容と利用記録情報620が示すサービスの内容とが一致するか否かを信頼性判断部151が判断して、利用記録情報620の信頼性を判断するので、同じ内容のサービスについての利用記録情報620が他にある場合でも、利用記録情報620の改変を見破ることができるという効果を奏する。   According to the user terminal device 100 in this embodiment, the service content indicated by the usage history information 610 and the service content indicated by the usage record information 620 are the same for the history identification information 614 and the record identification information 624 that match. Since the reliability determination unit 151 determines whether or not they match, the reliability of the usage record information 620 is determined. Therefore, even if there is another usage record information 620 for a service having the same content, the usage record information 620 There is an effect that it is possible to see through the alteration.

この実施の形態における利用者端末装置100は、
信頼性判断部151が、更に、
CPU911などの処理装置を用いて、入力した利用記録情報620のなかに、利用履歴記憶部121が記憶した履歴識別情報614と一致する記録識別情報624を含む利用記録情報620がない場合に、利用記録情報620が信頼できないと判断することを特徴とする。 The user terminal device 100 in this embodiment is
The reliability determination unit 151 further includes:
Use when there is no use record information 620 including record identification information 624 that matches the history identification information 614 stored in the use history storage unit 121 in the input use record information 620 using a processing device such as the CPU 911. The record information 620 is determined to be unreliable.

この実施の形態における利用者端末装置100によれば、
サービス提供装置810が、利用記録情報620の一部を送信しないことにより、利用者端末装置100を誤誘導して、匿名性の低い情報を送信させようとした場合、そのことを見破ることができるので、匿名性の低い情報により、利用者を特定されるのを防ぐことができるという効果を奏する。 According to the user terminal device 100 in this embodiment,
If the service providing apparatus 810 does not transmit a part of the usage record information 620 and misleads the user terminal apparatus 100 to transmit information with low anonymity, it can be detected. As a result, it is possible to prevent the user from being specified by information having low anonymity.

なお、履歴識別情報614(及び記録識別情報624)は、サービス提供装置810が生成して、利用者端末装置100に対して送信することとしているが、利用者端末装置100が生成して、サービス提供装置810に対して送信することとしてもよい。そのほうが、サービス提供装置810が履歴識別情報614に何らかの規則性を持たせて、利用者を特定する手がかりにするのを防ぐことができるので、好ましい。   The history identification information 614 (and the record identification information 624) is generated by the service providing apparatus 810 and transmitted to the user terminal apparatus 100. However, the user terminal apparatus 100 generates the service identification information 614 It is good also as transmitting with respect to the provision apparatus 810. FIG. This is preferable because the service providing apparatus 810 can prevent the history identification information 614 from having a certain regularity as a clue to identify the user.

実施の形態4.
実施の形態4について、図16〜図18を用いて説明する。
この実施の形態における履歴サービス提供システム800の全体構成、利用者端末装置100及びサービス提供装置810のハードウェア構成は、実施の形態1で説明したものと同様なので、ここでは説明を省略する。 Embodiment 4 FIG.
The fourth embodiment will be described with reference to FIGS.
Since the overall configuration of the history service providing system 800 and the hardware configuration of the user terminal device 100 and the service providing device 810 in this embodiment are the same as those described in the first embodiment, description thereof is omitted here.

図16は、この実施の形態における利用者端末装置100の機能ブロックの構成の一例を示すブロック構成図である。
なお、実施の形態2で説明した機能ブロックと共通するブロックについては、同一の符号を付し、ここでは説明を省略する。 FIG. 16 is a block configuration diagram illustrating an example of a functional block configuration of the user terminal device 100 according to this embodiment.
Note that blocks common to the functional blocks described in the second embodiment are denoted by the same reference numerals, and description thereof is omitted here.

利用者端末装置100は、更に、記録識別受信部113、記録識別選択部152、選択識別送信部142を有する。   The user terminal device 100 further includes a record identification receiving unit 113, a record identification selecting unit 152, and a selection identification transmitting unit 142.

記録識別受信部113は、通信装置915を用いて、サービス提供装置810が送信してきた記録識別情報624のリストを受信する。
記録識別受信部113は、CPU911などの処理装置を用いて、受信した記録識別情報624のリストを出力する。 The record identification receiving unit 113 uses the communication device 915 to receive a list of record identification information 624 transmitted by the service providing device 810.
The record identification receiving unit 113 outputs a list of received record identification information 624 using a processing device such as the CPU 911.

記録識別選択部152は、CPU911などの処理装置を用いて、記録識別受信部113が出力した記録識別情報624のリストを入力する。
記録識別選択部152は、CPU911などの処理装置を用いて、入力した記録識別情報624のリストのなかから、適当な数の記録識別情報624を選択する。
記録識別選択部152は、CPU911などの処理装置を用いて、選択した記録識別情報624を出力する。 The record identification selection unit 152 inputs a list of the record identification information 624 output from the record identification reception unit 113 using a processing device such as the CPU 911.
The recording identification selection unit 152 selects an appropriate number of recording identification information 624 from the input list of recording identification information 624 using a processing device such as the CPU 911.
The record identification selection unit 152 outputs the selected record identification information 624 using a processing device such as the CPU 911.

選択識別送信部142は、CPU911などの処理装置を用いて、記録識別選択部152が出力した記録識別情報624を入力する。
選択識別送信部142は、通信装置915を用いて、サービス提供装置810に対して、入力した記録識別情報624を送信する。 The selection identification transmission unit 142 inputs the record identification information 624 output from the recording identification selection unit 152 using a processing device such as the CPU 911.
The selection identification transmission unit 142 transmits the input record identification information 624 to the service providing apparatus 810 using the communication apparatus 915.

サービス提供装置810は、CPU911などの処理装置を用いて、記憶した利用記録情報620について、利用記録情報620を識別する記録識別情報624すべてのリストを生成し、通信装置915を用いて、利用者端末装置100に対して送信する。
サービス提供装置810は、通信装置915を用いて、利用者端末装置100が選択した記録識別情報624を受信する。
サービス提供装置810は、通信装置915を用いて、利用者端末装置100に対して、受信した記録識別情報624に対応する利用記録情報620を送信する。 The service providing apparatus 810 uses a processing device such as the CPU 911 to generate a list of all record identification information 624 identifying the use record information 620 for the stored use record information 620, and uses the communication apparatus 915 to create a user. It transmits with respect to the terminal device 100.
The service providing apparatus 810 uses the communication apparatus 915 to receive the record identification information 624 selected by the user terminal apparatus 100.
Using the communication device 915, the service providing device 810 transmits usage record information 620 corresponding to the received record identification information 624 to the user terminal device 100.

利用記録受信部111は、通信装置915を用いて、サービス提供装置810から、選択識別送信部142が送信した記録識別情報624によって識別される利用記録情報620を受信する。   The usage record reception unit 111 receives the usage record information 620 identified by the record identification information 624 transmitted by the selection identification transmission unit 142 from the service providing apparatus 810 using the communication device 915.

実施の形態3では、サービス提供装置810が利用者端末装置100に対して送信する利用記録情報620を恣意的に選択することを防ぐため、サービス提供装置810が記憶している利用記録情報620をすべて送信させている。   In the third embodiment, in order to prevent the service providing apparatus 810 from arbitrarily selecting the usage record information 620 transmitted to the user terminal apparatus 100, the usage record information 620 stored in the service providing apparatus 810 is stored. All are sent.

しかし、利用記録情報620の数は膨大なものになる場合があり、利用者端末装置100のCPU911などの処理装置の処理能力、通信装置915の通信能力などの制約により、すべての利用記録情報620を送信させることは非現実的である場合がある。   However, the number of usage record information 620 may be enormous, and all the usage record information 620 is limited by restrictions on the processing capability of the processing device such as the CPU 911 of the user terminal device 100 and the communication capability of the communication device 915. It may be impractical to have

この実施の形態の利用者端末装置100は、サービス提供装置810が記憶した利用記録情報620のうち、記録識別選択部152が選択した記録識別情報624によって識別される利用記録情報620を送信させることにより、サービス提供装置810が恣意的に利用記録情報620を選択することを防ぐものである。   The user terminal device 100 according to this embodiment causes the usage record information 620 identified by the record identification information 624 selected by the record identification selection unit 152 to be transmitted among the usage record information 620 stored by the service providing device 810. This prevents the service providing apparatus 810 from arbitrarily selecting the usage record information 620.

図17は、この実施の形態における履歴サービス提供システム800が履歴サービスを提供する履歴サービス提供処理の全体の流れの一例を示すフローチャート図である。   FIG. 17 is a flowchart showing an example of the entire flow of the history service providing process in which the history service providing system 800 provides the history service in this embodiment.

S18において、サービス提供装置810は、CPU911などの処理装置を用いて、記憶している利用記録情報620すべてについて、利用記録情報620を識別する記録識別情報624を読み出し、すべての記録識別情報624のリストを生成する。
サービス提供装置810は、通信装置915を用いて、利用者端末装置100に対して、生成したすべての記録識別情報624のリストを送信する。 In S <b> 18, the service providing apparatus 810 reads out the record identification information 624 identifying the use record information 620 for all the stored use record information 620 using a processing device such as the CPU 911, and stores all the record identification information 624. Generate a list.
Using the communication device 915, the service providing device 810 transmits a list of all the generated record identification information 624 to the user terminal device 100.

S28において、記録識別受信部113は、通信装置915を用いて、S18でサービス提供装置810が送信してきた記録識別情報624のリストを受信する。
記録識別受信部113は、CPU911などの処理装置を用いて、受信した記録識別情報624のリストを出力する。 In S28, the record identification receiving unit 113 uses the communication device 915 to receive the list of record identification information 624 transmitted by the service providing apparatus 810 in S18.
The record identification receiving unit 113 outputs a list of received record identification information 624 using a processing device such as the CPU 911.

S29において、記録識別選択部152は、CPU911などの処理装置を用いて、S28で記録識別受信部113が出力した記録識別情報624のリストを入力する。
記録識別選択部152は、CPU911などの処理装置を用いて、入力した記録識別情報624のリストのなかから、複数の記録識別情報624を選択する。
記録識別選択部152は、CPU911などの処理装置を用いて、選択した複数の記録識別情報624を出力する。 In S29, the record identification selection unit 152 inputs a list of the record identification information 624 output by the record identification reception unit 113 in S28 using a processing device such as the CPU 911.
The recording identification selection unit 152 selects a plurality of recording identification information 624 from the input list of recording identification information 624 using a processing device such as the CPU 911.
The record identification selection unit 152 outputs a plurality of selected record identification information 624 using a processing device such as the CPU 911.

S20において、選択識別送信部142は、CPU911などの処理装置を用いて、S29で記録識別選択部152が出力した複数の記録識別情報624を入力する。
選択識別送信部142は、通信装置915を用いて、サービス提供装置810に対して、入力した複数の記録識別情報624を送信する。 In S <b> 20, the selection identification transmission unit 142 inputs a plurality of pieces of recording identification information 624 output by the recording identification selection unit 152 in S <b> 29 using a processing device such as the CPU 911.
The selection identification transmission unit 142 transmits a plurality of input record identification information 624 to the service providing apparatus 810 using the communication apparatus 915.

S19において、サービス提供装置810は、通信装置915を用いて、S20で選択識別送信部142が送信した複数の記録識別情報624を受信する。   In S19, the service providing apparatus 810 uses the communication apparatus 915 to receive the plurality of record identification information 624 transmitted by the selection identification transmission unit 142 in S20.

S11において、サービス提供装置810は、通信装置915を用いて、利用者端末装置100に対して、受信した複数の記録識別情報624によって識別される複数の利用記録情報620を送信する。   In S <b> 11, the service providing apparatus 810 uses the communication apparatus 915 to transmit a plurality of usage record information 620 identified by the received plurality of record identification information 624 to the user terminal apparatus 100.

S21において、利用記録受信部111は、通信装置915を用いて、S11でサービス提供装置810が送信してきた利用記録情報620を受信する。
利用記録受信部111は、CPU911などの処理装置を用いて、受信した利用記録情報620を出力する。 In S21, the usage record reception unit 111 receives the usage record information 620 transmitted from the service providing apparatus 810 in S11 using the communication device 915.
The usage record receiving unit 111 outputs the received usage record information 620 using a processing device such as the CPU 911.

以後の処理の流れは、実施の形態1で図8を用いて説明したものと同様である。   The subsequent processing flow is the same as that described with reference to FIG. 8 in the first embodiment.

図18は、この実施の形態における記録識別選択部152が記録識別情報624を選択する記録識別選択処理の流れの一例を示すフローチャート図である。   FIG. 18 is a flowchart showing an example of the flow of the record identification selection process in which the record identification selection unit 152 selects the record identification information 624 in this embodiment.

S61において、記録識別選択部152は、CPU911などの処理装置を用いて、利用履歴記憶部121が記憶した履歴識別情報614と、記録識別受信部113が出力した記録識別情報624のリストとを入力する。
記録識別選択部152は、CPU911などの処理装置を用いて、入力した記録識別情報624のリストのなかに、入力した履歴識別情報614と一致する記録識別情報624がすべて含まれているか否かを判断する。
履歴識別情報614と一致する記録識別情報624がすべて含まれている場合は、S63へ進む。
履歴識別情報614と一致する記録識別情報624が含まれていない場合は、S62へ進む。 In S <b> 61, the recording identification selection unit 152 inputs the history identification information 614 stored in the usage history storage unit 121 and the list of recording identification information 624 output from the recording identification reception unit 113 using a processing device such as the CPU 911. To do.
The record identification selection unit 152 uses a processing device such as the CPU 911 to determine whether or not all the record identification information 624 that matches the input history identification information 614 is included in the list of the input record identification information 624. to decide.
If all the record identification information 624 that matches the history identification information 614 is included, the process proceeds to S63.
When the record identification information 624 that matches the history identification information 614 is not included, the process proceeds to S62.

S62において、記録識別選択部152は、CPU911などの処理装置を用いて、記録識別情報624のリストが信頼できないと判断する。
記録識別選択部152は、メモリなどの記憶装置を用いて、判断結果を示す情報を記憶する。 In S62, the record identification selection unit 152 determines that the list of the record identification information 624 is unreliable using a processing device such as the CPU 911.
The record identification selection unit 152 stores information indicating the determination result using a storage device such as a memory.

記録識別情報624のリストのなかに、履歴識別情報614と一致する記録識別情報624がすべて含まれていない場合、サービス提供装置810が記録識別情報624をすべて送信していないことがわかる。この時点で処理を中止してもよいが、そうすると、サービス提供装置810には、送信しなかった記録識別情報624のなかに、利用者端末装置100を所持している利用者についての利用記録情報620を識別する記録識別情報624があることがわかり、利用者を特定する手がかりになる。   If the list of record identification information 624 does not include all the record identification information 624 that matches the history identification information 614, it can be seen that the service providing apparatus 810 has not transmitted all the record identification information 624. At this point, the process may be stopped, but in this case, the service providing apparatus 810 uses the record identification information 624 that has not been transmitted to the use record information about the user who owns the user terminal apparatus 100. It can be seen that there is record identification information 624 identifying 620, which is a clue for identifying the user.

そこで、この時点では信頼できないことを記憶しておくにとどめ、あとで、信頼性判断部151が利用記録情報620の信頼性を判断するときに、利用記録情報620が信頼できないと判断することにする。
これにより、匿名履歴判別部130が匿名履歴情報630を出力せず、匿名履歴送信部141が匿名履歴情報630を送信しないので、匿名性の低い情報により利用者を特定されるのを防ぐことができる。
また、実施の形態2で説明したように、匿名履歴送信部141が匿名履歴情報630を送信しなくても、サービス提供装置810は見破ったことを判別できないので、利用者を特定する手がかりを与えずに済む。 Therefore, only the fact that it is unreliable at this point is stored, and later, when the reliability determination unit 151 determines the reliability of the usage record information 620, it is determined that the usage record information 620 is not reliable. To do.
Thereby, since the anonymous history discriminating unit 130 does not output the anonymous history information 630 and the anonymous history transmitting unit 141 does not transmit the anonymous history information 630, it is possible to prevent the user from being specified by information with low anonymity. it can.
In addition, as described in the second embodiment, even if the anonymous history transmission unit 141 does not transmit the anonymous history information 630, the service providing apparatus 810 cannot determine that it has been detected, and thus provides a clue to identify the user. You do n’t have to.

S63において、記録識別選択部152は、CPU911などの処理装置を用いて、S61で入力した記録識別情報624のリストのなかから、S61で入力した履歴識別情報614と一致する記録識別情報624を選択する。
このとき、記録識別選択部152は、履歴識別情報614と一致する記録識別情報624をすべて選択してもよいし、履歴識別情報614と一致する記録識別情報624の一部を選択してもよいが、信頼性判断部151が利用記録情報620の信頼性を検証するために十分な数の記録識別情報624を選択するものとする。 In S63, the record identification selection unit 152 uses a processing device such as the CPU 911 to select the record identification information 624 that matches the history identification information 614 input in S61 from the list of the record identification information 624 input in S61. To do.
At this time, the record identification selection unit 152 may select all the record identification information 624 that matches the history identification information 614, or may select a part of the record identification information 624 that matches the history identification information 614. However, it is assumed that the reliability determination unit 151 selects a sufficient number of record identification information 624 for verifying the reliability of the usage record information 620.

また、履歴識別情報614と一致する記録識別情報624をすべて選択する場合は、一定の確率で一部選択しない場合があるように構成することが好ましい。必ずすべて選択することとすると、サービス提供装置810は、選択されなかった記録識別情報624がその利用者についての利用記録情報620のものではないことを判別できるので、利用者を特定する手がかりになる場合があるからである。   In addition, when all the record identification information 624 that matches the history identification information 614 is selected, it is preferable that a part of the record identification information 624 may not be selected with a certain probability. If all the items are selected, the service providing apparatus 810 can determine that the record identification information 624 that has not been selected is not the use record information 620 for the user, which is a clue for identifying the user. Because there are cases.

S64において、記録識別選択部152は、CPU911などの処理装置を用いて、S61で入力した記録識別情報624のリストのなかから、S61で入力した履歴識別情報614と一致しない記録識別情報624をランダムに選択する。
このとき、記録識別選択部152は、匿名性判断部131が情報の匿名性を判断するのに十分な数の記録識別情報624を選択する。他の利用者についての利用記録情報620を十分な数得られなければ、情報の匿名性を正しく判断できないからである。
履歴識別情報614と一致しない記録識別情報624を選択する数は、最低でも、履歴識別情報614と一致する記録識別情報624を選択した数より多いことが好ましい。
できれば、履歴識別情報614と一致する記録識別情報624を選択した数の10倍以上であることが、更に好ましい。 In S64, the record identification selection unit 152 uses a processing device such as the CPU 911 to randomly select the record identification information 624 that does not match the history identification information 614 input in S61 from the list of the record identification information 624 input in S61. Select
At this time, the record identification selection unit 152 selects a sufficient number of record identification information 624 for the anonymity determination unit 131 to determine the anonymity of the information. This is because anonymity of information cannot be correctly determined unless a sufficient number of usage record information 620 for other users can be obtained.
The number of record identification information 624 that does not match the history identification information 614 is preferably at least as large as the number of record identification information 624 that matches the history identification information 614.
If possible, it is more preferable that the number of the record identification information 624 that matches the history identification information 614 is 10 times or more.

また、履歴識別情報614と一致しない記録識別情報624を十分な数選択することにより、サービス提供装置810が記録識別情報624を選択したことに基づいて、利用者と利用記録情報620とを結びつけ、利用者を特定する手がかりとするのを防ぐことができる。   Further, by selecting a sufficient number of record identification information 624 that does not match the history identification information 614, the service providing apparatus 810 links the user and the usage record information 620 based on the selection of the record identification information 624, This can prevent a user from being identified as a clue.

S65において、記録識別選択部152は、CPU911などの処理装置を用いて、選択した記録識別情報624を出力する。   In S65, the record identification selection unit 152 outputs the selected record identification information 624 using a processing device such as the CPU 911.

これにより、利用者端末装置100は、CPU911などの処理装置の処理能力や通信装置915の通信能力に見合った量の利用記録情報620を、サービス提供装置810に送信させることができる。
また、送信させる利用記録情報620は、利用者端末装置100が選択したものであるから、サービス提供装置810が恣意的に送信する利用記録情報620を選択し、信頼性判断部151の判断を狂わせることができない。 Accordingly, the user terminal device 100 can cause the service providing device 810 to transmit usage record information 620 in an amount commensurate with the processing capability of the processing device such as the CPU 911 and the communication capability of the communication device 915.
Also, since the usage record information 620 to be transmitted is selected by the user terminal device 100, the usage record information 620 that is arbitrarily transmitted by the service providing device 810 is selected, and the determination of the reliability determination unit 151 is distorted. I can't.

この実施の形態における利用者端末装置100(端末装置)は、更に、
通信装置915を用いて、サービス提供装置810(サーバ装置)が記憶した利用記録情報620を識別する記録識別情報624のリストを受信し、CPU911などの処理装置を用いて、受信した記録識別情報624のリストを出力する記録識別受信部113と、
CPU911などの処理装置を用いて、記録識別受信部113が出力した記録識別情報624のリストのなかから、複数の記録識別情報624を選択し、CPU911などの処理装置を用いて、選択した複数の記録識別情報624を出力する記録識別選択部152と、
CPU911などの処理装置を用いて、記録識別選択部152が出力した複数の記録識別情報624を入力し、通信装置915を用いて、サービス提供装置810に対して、入力した複数の記録識別情報624を送信する選択識別送信部142とを有し、
利用記録受信部111が、
通信装置915を用いて、サービス提供装置810から、選択識別送信部142が送信した複数の記録識別情報624によって識別される複数の利用記録情報620を受信することを特徴とする。 The user terminal device 100 (terminal device) in this embodiment further includes:
The communication device 915 is used to receive a list of record identification information 624 for identifying the usage record information 620 stored by the service providing device 810 (server device), and the received record identification information 624 is received using a processing device such as the CPU 911. A record identification receiving unit 113 that outputs a list of
A plurality of record identification information 624 is selected from the list of record identification information 624 output by the record identification receiving unit 113 using a processing device such as the CPU 911, and a plurality of selected items are selected using the processing device such as the CPU 911. A record identification selection unit 152 that outputs record identification information 624;
A plurality of record identification information 624 output from the record identification selection unit 152 is input using a processing device such as the CPU 911, and a plurality of input record identification information 624 is input to the service providing device 810 using the communication device 915. A selection identification transmission unit 142 for transmitting
Usage record receiver 111
A plurality of usage record information 620 identified by the plurality of record identification information 624 transmitted by the selection identification transmission unit 142 is received from the service providing apparatus 810 using the communication device 915.

この実施の形態における利用者端末装置100によれば、記録識別選択部152が選択した記録識別情報624の数と等しい数の利用記録情報620を、サービス提供装置810に送信させるので、利用者端末装置100のCPU911などの処理装置の処理能力や、通信装置915の通信能力に見合った量の利用記録情報620を利用記録受信部111が受信することができるという効果を奏する。
すなわち、CPU911などの処理装置の処理能力が低い利用者端末装置100であれば、受信する利用記録情報620の量を減らして、処理を円滑に進めることができ、CPU911などの処理装置が高い利用者端末装置100であれば、受信する利用記録情報620の量を増やして、匿名性判断部131が匿名性をより正確に判断できるようにすることができる。
また、サービス提供装置810が送信する利用記録情報620を恣意的に選択することができないので、匿名性判断部131の判断を狂わせられる危険がない。 According to the user terminal device 100 in this embodiment, the service providing device 810 transmits the same number of usage record information 620 as the number of the record identification information 624 selected by the record identification selection unit 152, so that the user terminal There is an effect that the usage record receiving unit 111 can receive the usage record information 620 corresponding to the processing capability of the processing device such as the CPU 911 of the device 100 and the communication capability of the communication device 915.
That is, if the user terminal device 100 has a low processing capability of a processing device such as the CPU 911, the amount of usage record information 620 to be received can be reduced and the processing can proceed smoothly, and the processing device such as the CPU 911 is highly utilized. If it is person terminal device 100, the quantity of usage record information 620 to be received can be increased, and anonymity judgment part 131 can judge anonymity more correctly.
In addition, since the usage record information 620 transmitted by the service providing apparatus 810 cannot be arbitrarily selected, there is no risk that the determination of the anonymity determination unit 131 may be upset.

この実施の形態における利用者端末装置100(端末装置)は、
記録識別選択部152が、更に、
CPU911などの処理装置を用いて、利用履歴記憶部121が記憶した履歴識別情報614を入力し、
CPU911などの処理装置を用いて、入力した履歴識別情報614と一致する記録識別情報624を選択し、
CPU911などの処理装置を用いて、入力した履歴識別情報614と一致しない記録識別情報624をランダムに選択することを特徴とする。 The user terminal device 100 (terminal device) in this embodiment is
The record identification selection unit 152 further
Using the processing device such as the CPU 911, the history identification information 614 stored in the usage history storage unit 121 is input,
Using a processing device such as the CPU 911, select the record identification information 624 that matches the input history identification information 614,
The recording identification information 624 that does not match the input history identification information 614 is selected at random using a processing device such as the CPU 911.

この実施の形態における利用者端末装置100によれば、記録識別選択部152が、履歴識別情報614と一致する記録識別情報624と、履歴識別情報614と一致しない記録識別情報624とをバランスよく選択するので、利用記録受信部111がサービス提供装置810から受信した利用記録情報620のうち、履歴識別情報614と一致する記録識別情報624によって識別される利用記録情報620は、信頼性判断部151が利用記録情報620の信頼性を検証するために利用し、履歴識別情報614と一致しない記録識別情報624によって識別される利用記録情報620は、匿名性判断部131が匿名性を判断するために利用することができるという効果を奏する。
また、サービス提供装置810が、記録識別選択部152が選択した記録識別情報624から、利用者を特定する手がかりを得ることができないという効果を奏する。 According to the user terminal device 100 in this embodiment, the record identification selection unit 152 selects the record identification information 624 that matches the history identification information 614 and the record identification information 624 that does not match the history identification information 614 in a balanced manner. Therefore, the usage record information 620 identified by the record identification information 624 that matches the history identification information 614 among the usage record information 620 received by the usage record reception unit 111 from the service providing apparatus 810 is displayed by the reliability determination unit 151. The usage record information 620 that is used to verify the reliability of the usage record information 620 and is identified by the record identification information 624 that does not match the history identification information 614 is used by the anonymity determination unit 131 to determine anonymity. There is an effect that can be done.
In addition, there is an effect that the service providing apparatus 810 cannot obtain a clue for identifying the user from the record identification information 624 selected by the record identification selection unit 152.

これにより、利用者が店舗から入手する履歴に関する情報量は利用者によって制御できるため、利用者の携帯端末の性能に応じて最適な情報量を調整可能である。   Thereby, since the information amount regarding the history which the user obtains from the store can be controlled by the user, the optimum information amount can be adjusted according to the performance of the user's mobile terminal.

実施の形態5.
実施の形態5について、図19〜図20を用いて説明する。
この実施の形態における履歴サービス提供システム800の全体構成、利用者端末装置100及びサービス提供装置810のハードウェア構成は、実施の形態1で説明したmのと同様なので、ここでは説明を省略する。
また、この実施の形態における利用者端末装置100の機能ブロックの構成は、実施の形態4で説明したものと同様なので、ここでは説明を省略する。 Embodiment 5 FIG.
The fifth embodiment will be described with reference to FIGS.
Since the overall configuration of the history service providing system 800 and the hardware configuration of the user terminal device 100 and the service providing device 810 in this embodiment are the same as those described in the first embodiment, description thereof is omitted here.
In addition, since the functional block configuration of the user terminal device 100 in this embodiment is the same as that described in the fourth embodiment, description thereof is omitted here.

図19は、この実施の形態における利用記録受信部111が受信する利用記録情報620の一例を示す図である。
なお、実施の形態1で図7を用いて説明した利用記録情報620と共通する部分については、同一の符号を付し、ここでは説明を省略する。 FIG. 19 is a diagram showing an example of the usage record information 620 received by the usage record receiver 111 in this embodiment.
Note that portions common to the usage record information 620 described with reference to FIG. 7 in Embodiment 1 are denoted by the same reference numerals, and description thereof is omitted here.

利用記録受信部111は、通信装置915を用いて、サービス提供装置810が送信してきた利用記録情報620を受信する。
利用記録受信部111が受信する利用記録情報620には、ハッシュ値625が含まれている。
利用記録受信部111は、CPU911などの処理装置を用いて、受信した利用記録情報620を出力する。利用記録受信部111が出力する利用記録情報620には、受信したハッシュ値625が含まれている。利用記録受信部111は、受信したハッシュ値625も利用記録情報620とともに出力する。 The usage record receiving unit 111 receives the usage record information 620 transmitted by the service providing apparatus 810 using the communication device 915.
The usage record information 620 received by the usage record reception unit 111 includes a hash value 625.
The usage record receiving unit 111 outputs the received usage record information 620 using a processing device such as the CPU 911. The usage record information 620 output by the usage record receiving unit 111 includes the received hash value 625. The usage record receiver 111 also outputs the received hash value 625 together with the usage record information 620.

一般的に「ハッシュ値」とは、所定のデータを変換して生成した値である。
ハッシュ値は、通常、元のデータよりも情報量が少ないので、ハッシュ値から元のデータを復元することはできない。
ハッシュ値は、元のデータの要約とも呼ばれ、元のデータが異なれば、通常、ハッシュ値も異なる。
ハッシュ値は、通常、元のデータよりも情報量が少ないので、異なるデータから生成したハッシュ値が同一になる場合もある(これをハッシュ値の衝突という)が、同一のハッシュ値が生成される別のデータを予測することは極めて困難である。
ハッシュ値はこのような性質を有しているので、例えば、電子署名などにおいて、元のデータが改変されていないかどうかを検証するために用いられる。 In general, the “hash value” is a value generated by converting predetermined data.
Since the hash value usually has a smaller amount of information than the original data, the original data cannot be restored from the hash value.
The hash value is also called a summary of the original data. If the original data is different, the hash value is usually different.
Since hash values usually have less information than the original data, hash values generated from different data may be the same (this is called hash value collision), but the same hash value is generated. It is very difficult to predict other data.
Since the hash value has such a property, it is used for verifying whether the original data has not been altered in, for example, an electronic signature.

この実施の形態におけるハッシュ値625は、サービス提供装置810が、CPU911などの処理装置を用いて、利用記録情報620の記録識別情報624と、利用記録情報620の内容(商品コード621や購入個数622など)とから生成する。
ハッシュ値625は、実施の形態3で説明した記録識別情報624の代わりとなるものであり、利用記録情報620を識別するために利用する。 In this embodiment, the hash value 625 is obtained by the service providing apparatus 810 using the processing device such as the CPU 911 and the record identification information 624 of the usage record information 620 and the contents of the usage record information 620 (the product code 621 and the number of purchases 622). Etc.).
The hash value 625 is used instead of the record identification information 624 described in the third embodiment, and is used to identify the use record information 620.

また、この実施の形態における利用記録情報620は、サービス提供装置810が、利用者端末装置100に対して送信する順番がランダムであり、選択識別送信部142が送信した記録識別情報624の順番とは無関係である。したがって、送信した記録識別情報624の順番から、対応する利用記録情報620を判別することはできない。   In addition, the usage record information 620 in this embodiment has a random order in which the service providing apparatus 810 transmits to the user terminal apparatus 100, and the order of the record identification information 624 transmitted by the selection identification transmission unit 142. Is irrelevant. Therefore, the corresponding usage record information 620 cannot be determined from the order of the transmitted record identification information 624.

実施の形態3や実施の形態4では、記録識別情報624を含む利用記録情報620を、サービス提供装置810が利用者端末装置100に対して送信する。
そのため、利用者が何らかの方法で、他の利用者が利用したサービスを記録した利用記録情報620の記録識別情報624を知ることができれば、他の利用者が利用したサービスの内容を知ることができる。 In the third embodiment and the fourth embodiment, the service providing apparatus 810 transmits usage record information 620 including the record identification information 624 to the user terminal apparatus 100.
Therefore, if the user can know the record identification information 624 of the usage record information 620 that records the service used by another user by some method, the contents of the service used by the other user can be known. .

この実施の形態の履歴サービス提供システム800は、記録識別情報624を他の利用者から隠蔽することにより、このような形での個人情報漏洩を防ぐものである。   The history service providing system 800 according to this embodiment prevents the leakage of personal information in this way by concealing the record identification information 624 from other users.

図20は、この実施の形態における信頼性判断部151が、利用記録情報620の信頼性を判断する信頼性判断処理の流れの一例を示すフローチャート図である。   FIG. 20 is a flowchart showing an example of the flow of the reliability determination process in which the reliability determination unit 151 in this embodiment determines the reliability of the usage record information 620.

S57において、信頼性判断部151は、CPU911などの処理装置を用いて、利用履歴記憶部121が記憶した利用履歴情報610のうち、記録識別選択部152が選択した記録識別情報624と一致する履歴識別情報614によって識別される利用履歴情報610を入力する。
信頼性判断部151は、CPU911などの処理装置を用いて、入力した利用履歴情報610の記録識別情報624と、利用履歴情報610の内容(商品コード611や購入個数612など)とから、ハッシュ値を生成する。 In S57, the reliability determination unit 151 uses a processing device such as the CPU 911 to match the record identification information 624 selected by the record identification selection unit 152 among the use history information 610 stored by the use history storage unit 121. The usage history information 610 identified by the identification information 614 is input.
The reliability determination unit 151 uses a processing device such as the CPU 911 to calculate a hash value from the record identification information 624 of the input usage history information 610 and the contents of the usage history information 610 (product code 611, purchased quantity 612, etc.). Is generated.

S55’において、信頼性判断部151は、CPU911などの処理装置を用いて、利用記録受信部111が出力したハッシュ値625を入力する。
信頼性判断部151は、CPU911などの処理装置を用いて、入力したハッシュ値625とS57で生成したハッシュ値とが一致するものについて、利用記録受信部111が出力した利用記録情報620を入力する。
すなわち、信頼性判断部151は、CPU911などの処理装置を用いて、利用記録受信部111が出力した利用記録情報620のなかから、利用履歴記憶部121が記憶した利用履歴情報610の履歴識別情報614と一致する記録識別情報624を有する利用記録情報620を抽出する。
入力した利用記録情報620のなかに、算出したハッシュ値と一致するハッシュ値625を有する利用記録情報620がない場合には、S53へ進み、利用記録情報620が信頼できないと判断する。
入力した履歴識別情報614すべてについて、一致する記録識別情報624を有する利用記録情報620がある場合には、S56へ進む。 In S55 ′, the reliability determination unit 151 inputs the hash value 625 output from the usage record reception unit 111 using a processing device such as the CPU 911.
The reliability determination unit 151 uses the processing device such as the CPU 911 to input the usage record information 620 output from the usage record reception unit 111 for the input hash value 625 that matches the hash value generated in S57. .
That is, the reliability determination unit 151 uses the processing device such as the CPU 911 to identify the history identification information of the usage history information 610 stored in the usage history storage unit 121 from the usage record information 620 output from the usage record reception unit 111. Usage record information 620 having record identification information 624 that matches 614 is extracted.
If there is no usage record information 620 having a hash value 625 that matches the calculated hash value in the input usage record information 620, the process proceeds to S53, and it is determined that the usage record information 620 is not reliable.
If there is usage record information 620 having record identification information 624 that matches all the history identification information 614 input, the process proceeds to S56.

このように、記録識別情報624によって利用記録情報620を識別する代わりに、ハッシュ値625によって利用記録情報620を識別し、内容が正しいかどうかを検証する。
ハッシュ値の算出方法(ハッシュ関数)は、利用者端末装置100とサービス提供装置810とで同じものを使用する。したがって、元のデータが等しければ、算出されるハッシュ値も等しくなる。 In this way, instead of identifying the usage record information 620 by the record identification information 624, the usage record information 620 is identified by the hash value 625, and whether the contents are correct is verified.
The same hash value calculation method (hash function) is used by the user terminal device 100 and the service providing device 810. Therefore, if the original data is equal, the calculated hash values are also equal.

サービス提供装置810は、利用者端末装置100に対して、記録識別情報624を送信しない代わりに、記録識別情報624をもとに算出したハッシュ値625を送信する。
利用者端末装置100は、履歴識別情報614をもとに算出したハッシュ値を、受信したハッシュ値625と比較することにより、受信していない記録識別情報624と、履歴識別情報614とを比較するのと同じ効果を得る。
信頼性判断部151は、ハッシュ値が一致した利用記録情報620の内容と利用履歴情報610の内容とを比較して、内容が改変されていないかを調べ、受信した利用記録情報620が信頼できるか否かを判断する。 The service providing apparatus 810 transmits a hash value 625 calculated based on the recording identification information 624 to the user terminal apparatus 100 instead of transmitting the recording identification information 624.
The user terminal device 100 compares the record identification information 624 not received with the history identification information 614 by comparing the hash value calculated based on the history identification information 614 with the received hash value 625. To get the same effect.
The reliability determination unit 151 compares the contents of the usage record information 620 with the matching hash value with the contents of the usage history information 610 to check whether the contents have been altered, and the received usage record information 620 can be trusted. Determine whether or not.

また、ハッシュ値を算出する元のデータには、利用記録情報620(または利用履歴情報610)が含まれているので、ハッシュ値を比較することにより、利用記録情報620と利用履歴情報610とを比較するのと同じ効果を得ることになる。したがって、ハッシュ値が一致するものについて、利用記録情報620と利用履歴情報610とを比較すれば、二重のチェックをすることになる。   Further, since the original data for calculating the hash value includes the usage record information 620 (or usage history information 610), the usage record information 620 and the usage history information 610 are obtained by comparing the hash values. You get the same effect as comparing. Therefore, if the usage record information 620 and the usage history information 610 are compared with respect to those having the same hash value, a double check is performed.

また、ハッシュ値の衝突により、同じハッシュ値625を有する利用記録情報620が複数送信されてくる可能性もある。その場合、利用履歴情報610と利用記録情報620とを比較すれば、どの利用記録情報620と利用履歴情報610とが一致するものであるか判断できる。   In addition, a plurality of usage record information 620 having the same hash value 625 may be transmitted due to a hash value collision. In that case, by comparing the usage history information 610 and the usage record information 620, it can be determined which usage record information 620 and the usage history information 610 match.

他の利用者は、ハッシュ値625から元のデータを復元できないので、その利用記録情報620の記録識別情報624を知ることはできない。したがって、ある利用者が利用したサービス内容を記録した利用記録情報620の記録識別情報624を知っていたとしても、どの利用記録情報620がそれにあたるのか判別できず、その利用者が利用したサービス内容を知ることはできない。   Other users cannot know the record identification information 624 of the use record information 620 since the original data cannot be restored from the hash value 625. Therefore, even if the user knows the record identification information 624 of the usage record information 620 that records the service content used by a certain user, it cannot determine which usage record information 620 corresponds to it, and the service content used by the user. I can't know.

なお、利用記録受信部111が受信する利用記録情報620は、選択識別送信部142が送信した記録識別情報624についてのものであるから、送信した記録識別情報624と、受信した利用記録情報620の内容とを、総当りで組み合わせて、ハッシュ値を算出し、受信したハッシュ値625と比較すれば、記録識別情報624と利用記録情報620との対応関係を判別できる可能性がある。
そのため、サービス提供装置810は、選択識別送信部142が送信した記録識別情報624の数が少ない場合には、利用記録情報620の送信を拒否することとしてもよい。 Note that the usage record information 620 received by the usage record receiving unit 111 is for the record identification information 624 transmitted by the selection identification transmitting unit 142, and thus the transmitted record identification information 624 and the received usage record information 620 are included. If the hash value is calculated by combining the contents with the brute force and compared with the received hash value 625, the correspondence between the record identification information 624 and the use record information 620 may be determined.
Therefore, the service providing apparatus 810 may reject the transmission of the usage record information 620 when the number of the record identification information 624 transmitted by the selection identification transmission unit 142 is small.

また、ハッシュ値625を算出する元となるデータに、利用履歴情報610には含まれるが、サービス提供装置810が送信する利用記録情報620には含まれない情報(例えば、購入日時613)を含める構成としてもよい。
そうすれば、他の利用者は購入日時613を知らないので、ハッシュ値を算出できず、記録識別情報624と利用記録情報620との対応関係を判別できない。 In addition, the data that is the basis for calculating the hash value 625 includes information that is included in the usage history information 610 but is not included in the usage record information 620 transmitted by the service providing apparatus 810 (for example, purchase date and time 613). It is good also as a structure.
Then, since the other users do not know the purchase date and time 613, the hash value cannot be calculated, and the correspondence between the record identification information 624 and the use record information 620 cannot be determined.

この実施の形態における利用者端末装置100(端末装置)は、
利用履歴記憶部121が、
メモリなどの記憶装置を用いて、利用履歴情報610と利用履歴情報610を識別する履歴識別情報614とを記憶し、
利用記録受信部111が、
通信装置915を用いて、複数のハッシュ値625と、複数のハッシュ値625それぞれに対応する複数の利用記録情報620とを受信し、CPU911などの処理装置を用いて、受信した複数のハッシュ値625と受信した複数の利用記録情報620とを出力し、
利用者端末装置100は、更に、
CPU911などの処理装置を用いて、利用履歴記憶部121が記憶した履歴識別情報614と利用履歴情報610と、利用記録受信部111が出力した複数のハッシュ値625とを入力し、CPU911などの処理装置を用いて、入力した履歴識別情報614と入力した利用履歴情報610とに基づいて、ハッシュ値を算出し、CPU911などの処理装置を用いて、入力したハッシュ値625と算出した上記ハッシュ値とが一致するものについて、利用記録受信部111が出力した利用記録情報620のうち、ハッシュ値625に対応する利用記録情報620を入力し、CPU911などの処理装置を用いて、入力した利用履歴情報610が記録したサービス内容と、入力した利用記録情報620が記録したサービス内容とが一致するか否かを判断し、CPU911などの処理装置を用いて、上記サービス内容が一致すると判断した場合に、利用記録情報620が信頼できると判断する信頼性判断部151を有し、
匿名履歴判別部130が、
CPU911などの処理装置を用いて、利用記録情報620が信頼できると信頼性判断部151が判断した場合に、匿名履歴情報630を出力することを特徴とする。 The user terminal device 100 (terminal device) in this embodiment is
Usage history storage unit 121
Using a storage device such as a memory, the usage history information 610 and the history identification information 614 for identifying the usage history information 610 are stored,
Usage record receiver 111
The communication device 915 is used to receive a plurality of hash values 625 and a plurality of usage record information 620 corresponding to each of the plurality of hash values 625, and the received plurality of hash values 625 using a processing device such as the CPU 911. And a plurality of usage record information 620 received,
The user terminal device 100 further includes:
Using the processing device such as the CPU 911, the history identification information 614 and the usage history information 610 stored in the usage history storage unit 121 and the plurality of hash values 625 output from the usage record reception unit 111 are input, and the processing such as the CPU 911 is performed. A hash value is calculated based on the input history identification information 614 and the input usage history information 610 using a device, and the input hash value 625 and the calculated hash value are calculated using a processing device such as the CPU 911. Of the usage record information 620 output by the usage record receiving unit 111, the usage record information 620 corresponding to the hash value 625 is input, and the input usage history information 610 is input using a processing device such as the CPU 911. Is the service content recorded by the user and the service content recorded by the input usage record information 620 match? Determine, using the processing device, such as a CPU 911, when it is determined that the service content is matched, has the reliability determination unit 151 determines that the usage record information 620 is reliable,
Anonymity history determination unit 130
When the reliability determination unit 151 determines that the usage record information 620 is reliable using a processing device such as the CPU 911, the anonymous history information 630 is output.

この実施の形態における利用者端末装置100によれば、履歴識別情報614に基づいて算出したハッシュ値と、受信したハッシュ値625とが一致するものについて、利用履歴情報610が示すサービスの内容と利用記録情報620が示すサービスの内容とが一致するか否かを信頼性判断部151が判断するので、他の利用者に記録識別情報624と利用記録情報620との対応関係を知られることがなく、個人情報を保護できるという効果を奏する。   According to the user terminal device 100 in this embodiment, the content and usage of the service indicated by the usage history information 610 for the hash value calculated based on the history identification information 614 and the received hash value 625 match. Since the reliability determination unit 151 determines whether or not the content of the service indicated by the record information 620 matches, other users do not know the correspondence between the record identification information 624 and the use record information 620. The personal information can be protected.

実施の形態6.
実施の形態6について、図21〜図23を用いて説明する。
この実施の形態における履歴サービス提供システム800の全体構成、利用者端末装置100及びサービス提供装置810のハードウェア構成は、実施の形態1で説明したものと同様なので、ここでは説明を省略する。
また、この実施の形態における利用者端末装置100の機能ブロックの構成は、実施の形態4で説明したものと同様なので、ここでは説明を省略する。 Embodiment 6 FIG.
The sixth embodiment will be described with reference to FIGS.
Since the overall configuration of the history service providing system 800 and the hardware configuration of the user terminal device 100 and the service providing device 810 in this embodiment are the same as those described in the first embodiment, description thereof is omitted here.
In addition, since the functional block configuration of the user terminal device 100 in this embodiment is the same as that described in the fourth embodiment, description thereof is omitted here.

図21は、この実施の形態における利用履歴受信部112が受信し、利用履歴記憶部121が記憶する利用履歴情報610の一例を示す図である。
なお、実施の形態3で図13を用いて説明した利用記録情報620と共通する部分については、同一の符号を付し、ここでは説明を省略する。 FIG. 21 is a diagram illustrating an example of the usage history information 610 received by the usage history reception unit 112 and stored in the usage history storage unit 121 in this embodiment.
Note that portions common to the usage record information 620 described with reference to FIG. 13 in Embodiment 3 are denoted by the same reference numerals, and description thereof is omitted here.

利用履歴受信部112は、通信装置915を用いて、サービス提供装置810が送信してきた利用履歴情報610を受信する。
利用履歴受信部112が受信する利用履歴情報610には、サービス暗号鍵616が含まれている。
利用履歴受信部112は、CPU911などの処理装置を用いて、受信した利用履歴情報610を出力する。利用履歴受信部112が出力する利用履歴情報610には、受信したサービス暗号鍵616が含まれている。利用履歴受信部112は、受信したサービス暗号鍵616を利用履歴情報610とともに出力する。 The usage history receiving unit 112 receives the usage history information 610 transmitted from the service providing device 810 using the communication device 915.
The use history information 610 received by the use history receiving unit 112 includes a service encryption key 616.
The usage history receiving unit 112 outputs the received usage history information 610 using a processing device such as the CPU 911. The usage history information 610 output from the usage history receiving unit 112 includes the received service encryption key 616. The usage history receiving unit 112 outputs the received service encryption key 616 together with the usage history information 610.

サービス暗号鍵616は、利用したサービス内容の種別ごとに異なる。この例では、購入した商品ごとにサービス内容の種別が異なるものとし、商品ごとにサービス暗号鍵616が異なっている。例えば、「商品A」のサービス暗号鍵616は「3565」、「商品B」のサービス暗号鍵616は「8431」である。   The service encryption key 616 is different for each type of service content used. In this example, the type of service content is different for each purchased product, and the service encryption key 616 is different for each product. For example, the service encryption key 616 of “product A” is “3565”, and the service encryption key 616 of “product B” is “8431”.

利用履歴記憶部121は、CPU911などの処理装置を用いて、利用履歴受信部112が出力した利用履歴情報610とサービス暗号鍵616とを入力する。
利用履歴記憶部121は、メモリなどの記憶装置を用いて、入力した利用履歴情報610とサービス暗号鍵616とを記憶する。
この例では、利用履歴記憶部121が、利用履歴情報610とサービス暗号鍵616とを別々に記憶しているが、受信した利用履歴情報610の形式のまま、一緒に記憶することとしてもよい。 The usage history storage unit 121 inputs the usage history information 610 and the service encryption key 616 output from the usage history reception unit 112 using a processing device such as the CPU 911.
The usage history storage unit 121 stores the input usage history information 610 and the service encryption key 616 using a storage device such as a memory.
In this example, the usage history storage unit 121 stores the usage history information 610 and the service encryption key 616 separately. However, the usage history information may be stored together in the format of the received usage history information 610.

サービス暗号鍵616は、サービス内容の種別ごとに異なり、サービスを利用すると、サービス提供装置810が、利用者端末装置100に対して、利用したサービスを記録した利用履歴情報610とともに送信する。
この例では、利用者が「商品A」「商品B」「商品C」「商品D」を購入したことがあるので、利用履歴記憶部121は、これらの商品についてのサービス暗号鍵616を記憶している。それ以外の商品は利用者が購入したことがないので、利用履歴記憶部121は、それ以外の商品についてのサービス暗号鍵616を記憶していない。 The service encryption key 616 differs depending on the type of service content. When a service is used, the service providing apparatus 810 transmits the service used to the user terminal apparatus 100 together with usage history information 610 that records the used service.
In this example, since the user has purchased “product A”, “product B”, “product C”, and “product D”, the usage history storage unit 121 stores the service encryption key 616 for these products. ing. Since the user has not purchased any other products, the usage history storage unit 121 does not store the service encryption key 616 for the other products.

図22は、この実施の形態における利用記録受信部111が受信する暗号化記録情報640の一例を示す図である。   FIG. 22 is a diagram showing an example of the encrypted record information 640 received by the usage record receiving unit 111 in this embodiment.

利用記録受信部111は、通信装置915を用いて、サービス提供装置810が送信してきた暗号化記録情報640を受信する。
暗号化記録情報640は、サービス提供装置810が利用記録情報620を暗号化したものである。
この例では、利用記録情報620のうち、購入個数622を暗号化して暗号化購入個数642としたものを暗号化記録情報640とし、他の部分は暗号化していない。しかし、他の部分も暗号化してもよい。 The usage record receiving unit 111 receives the encrypted record information 640 transmitted by the service providing apparatus 810 using the communication apparatus 915.
The encrypted record information 640 is obtained by encrypting the use record information 620 by the service providing apparatus 810.
In this example, of the usage record information 620, the purchase quantity 622 is encrypted to be the encrypted purchase quantity 642, and the encrypted record information 640 is obtained, and the other parts are not encrypted. However, other parts may be encrypted.

サービス提供装置810は、CPU911などの処理装置を用いて、利用記録情報620を、その利用記録情報620が記録したサービス内容の種別に対応するサービス暗号鍵616で暗号化する。
この例では、購入した商品ごとにサービス内容の種別が異なることとしているので、1つの利用記録情報620に複数の種別のサービスが記録されている。そこで、それぞれのサービス種別ごとに、異なるサービス暗号鍵616で暗号化し、暗号化記録情報640とする。
すなわち、「商品A」の購入個数622は「商品A」のサービス暗号鍵616で暗号化して暗号化購入個数642とし、「商品B」の購入個数622は「商品B」のサービス暗号鍵616で暗号化して暗号化購入個数642とする。 The service providing apparatus 810 uses a processing device such as the CPU 911 to encrypt the usage record information 620 with the service encryption key 616 corresponding to the type of service content recorded by the usage record information 620.
In this example, since the type of service content is different for each purchased product, a plurality of types of services are recorded in one usage record information 620. Therefore, encryption is performed with a different service encryption key 616 for each service type to obtain encrypted recording information 640.
That is, the purchase number 622 of “product A” is encrypted with the service encryption key 616 of “product A” to be an encrypted purchase number 642, and the purchase number 622 of “product B” is the service encryption key 616 of “product B”. Encryption is performed to obtain an encryption purchase number 642.

この例において、サービス提供装置810は、CPU911などの処理装置を用いて、サービス暗号鍵616にランダムな整数を乗じ、購入個数622を加えることにより、暗号化購入個数642を算出する。例えば、サービス提供装置810は、CPU911などの処理装置を用いて、「商品A」のサービス暗号鍵616「3563」にランダムな整数「267」を乗じ、購入個数622「1」を加えて、暗号化購入個数642「951322」を算出する。
なお、暗号化の方式は、このような単純なものではなく、もっと高度な方式を用いてもよい。 In this example, the service providing device 810 calculates the encrypted purchase number 642 by using a processing device such as the CPU 911 and multiplying the service encryption key 616 by a random integer and adding the purchase number 622. For example, the service providing apparatus 810 uses a processing apparatus such as the CPU 911 to multiply the service encryption key 616 “3563” of “product A” by a random integer “267”, add the purchased number 622 “1”, and The number of purchases 642 “951322” is calculated.
The encryption method is not as simple as this, and a more advanced method may be used.

利用記録受信部111は、CPU911などの処理装置を用いて、利用履歴記憶部121が記憶したサービス暗号鍵616を入力する。
利用記録受信部111は、CPU911などの処理装置を用いて、受信した暗号化記録情報640を、入力したサービス暗号鍵616で復号して、利用記録情報620を取得する。
利用記録受信部111は、CPU911などの処理装置を用いて、取得した利用記録情報620を出力する。 The usage record receiving unit 111 inputs the service encryption key 616 stored in the usage history storage unit 121 using a processing device such as the CPU 911.
The usage record receiving unit 111 uses the processing device such as the CPU 911 to decrypt the received encrypted recording information 640 with the input service encryption key 616 to obtain the usage recording information 620.
The usage record receiving unit 111 outputs the acquired usage record information 620 using a processing device such as the CPU 911.

この例において、利用記録受信部111は、CPU911などの処理装置を用いて、暗号化購入個数642をサービス暗号鍵616で割った剰余を求めることにより、購入個数622を算出する。例えば、利用記録受信部111は、CPU911などの処理装置を用いて、利用履歴記憶部121が記憶した「商品A」についてのサービス暗号鍵616「3563」を入力し、「商品A」についての暗号化購入個数642「951322」を「3463」で割った剰余を算出し、購入個数622「1」を取得する。   In this example, the usage record receiving unit 111 calculates the purchase number 622 by obtaining a remainder obtained by dividing the encrypted purchase number 642 by the service encryption key 616 using a processing device such as the CPU 911. For example, the usage record receiving unit 111 uses a processing device such as the CPU 911 to input the service encryption key 616 “3563” for “product A” stored in the usage history storage unit 121, and the encryption for “product A”. The remainder obtained by dividing the total purchase quantity 642 “951322” by “3463” is calculated, and the purchase quantity 622 “1” is acquired.

利用記録受信部111が受信した利用記録情報620のなかには、「商品E」についてのものがある。しかし、利用者端末装置100を所持している利用者が「商品E」を購入したことがないので、利用履歴記憶部121は「商品E」についてのサービス暗号鍵616を記憶していない。したがって、利用記録受信部111は、「商品E」についての暗号化購入個数642を復号することができない。   Among the usage record information 620 received by the usage record receiving unit 111, there is information about “product E”. However, since the user possessing the user terminal device 100 has never purchased “product E”, the usage history storage unit 121 does not store the service encryption key 616 for “product E”. Therefore, the usage record receiver 111 cannot decrypt the encrypted purchase quantity 642 for “product E”.

利用者端末装置100は、利用記録受信部111が出力した利用記録情報620を、匿名履歴判別部130が情報の匿名性を判断するために使用する。また、信頼性判断部151が利用記録情報620の信頼性を検証するためにも使用する。   The user terminal device 100 uses the usage record information 620 output from the usage record reception unit 111 so that the anonymous history determination unit 130 determines the anonymity of the information. Further, the reliability determination unit 151 is also used for verifying the reliability of the usage record information 620.

匿名履歴判別部130が情報の匿名性を判断するのは、例えば、利用者が購入したことのある商品についての情報をサービス提供装置810に対して送信しても、利用者を特定されにくいか判断し、匿名履歴情報630を生成するためである。
したがって、利用者が利用したことのないサービスについては、匿名性を判断する必要がない。例えば、利用者が購入したことのない「商品E」についての情報を取得できなくても、匿名履歴判別部130は、匿名履歴情報630を生成できる。 Anonymity history discriminating unit 130 determines the anonymity of information, for example, is it difficult to identify a user even if information about a product that the user has purchased is transmitted to service providing device 810? This is for making determination and generating anonymous history information 630.
Therefore, it is not necessary to determine anonymity for services that have not been used by the user. For example, even if the information about “product E” that has not been purchased by the user can be acquired, the anonymous history determination unit 130 can generate the anonymous history information 630.

信頼性判断部151が利用記録情報620の信頼性を検証する場合、利用履歴記憶部121が記憶した利用者自身の利用履歴情報610と比較することにより、利用記録情報620に改変がないかを調べる。
利用者が利用したことのないサービスについての情報を含む利用記録情報620は、利用者自身の利用履歴情報610ではあり得ないから、その利用記録情報620を取得できなくても、信頼性判断部151は、利用記録情報620の信頼性を検証できる。 When the reliability judgment unit 151 verifies the reliability of the usage record information 620, the usage record information 620 is compared with the user's own usage history information 610 stored in the usage history storage unit 121 to determine whether the usage record information 620 has been altered. Investigate.
The usage record information 620 including information about services that the user has not used cannot be the user's own usage history information 610. Therefore, even if the usage record information 620 cannot be obtained, the reliability determination unit 151 can verify the reliability of the usage record information 620.

すなわち、利用者が利用したことがないサービスについての利用記録情報620は本来必要ないものである。しかし、サービス提供装置810は、その利用者を特定できず、その利用者がそのサービスを利用したことがないことも知らないので、不要な情報も送信する。   That is, the usage record information 620 for services that have not been used by the user is essentially unnecessary. However, since the service providing apparatus 810 cannot identify the user and does not know that the user has never used the service, the service providing apparatus 810 also transmits unnecessary information.

例えば、利用者のなかに、ライバル店の店員がいた場合、すべての商品についての利用記録情報620を知られてしまうと、その店の売れ筋商品がわかり、営業上不利になる場合がある。
この実施の形態における履歴サービス提供システム800によれば、その利用者が利用したことがないサービスについての利用記録情報620は、利用者端末装置100が取得することができないので、そのような形での営業秘密の漏洩を避けることができる。 For example, if there is a rival store clerk among users, if the usage record information 620 for all products is known, the best-selling products of the store can be known, which may be disadvantageous in terms of business.
According to the history service providing system 800 in this embodiment, the usage record information 620 for a service that has not been used by the user cannot be acquired by the user terminal device 100. To avoid leakage of trade secrets.

図23は、この実施の形態における利用記録受信部111が受信する利用記録情報620の別の例を示す図である。
この例において、暗号化記録情報640は、すべての商品についての暗号化購入個数642を含む。暗号化購入個数642は、例えば、商品コード順に並んでおり、左から順に「商品A」「商品B」「商品C」「商品D」「商品E」についてのものである。 FIG. 23 is a diagram showing another example of the usage record information 620 received by the usage record receiver 111 in this embodiment.
In this example, the encrypted record information 640 includes the encrypted purchase quantity 642 for all products. The encrypted purchase quantity 642 is, for example, arranged in the order of product codes, and is “Product A”, “Product B”, “Product C”, “Product D”, and “Product E” in order from the left.

サービス提供装置810は、CPU911などの処理装置を用いて、利用記録情報620を暗号化して暗号化記録情報640を生成する。利用記録情報620において利用されていないサービスについては、そのサービスが利用されていないことを示す情報を暗号化して、暗号化記録情報640に含める。例えば、「商品A」を購入していないのであれば、購入個数622を「0」とし、これを暗号化して暗号化購入個数642とする。
これにより、暗号化購入個数642を復号できなければ、その商品の売れた数だけでなく、売れたのか売れなかったのかもわからない。 The service providing apparatus 810 encrypts the usage record information 620 using a processing device such as the CPU 911 to generate the encrypted record information 640. For a service that is not used in the usage record information 620, information indicating that the service is not used is encrypted and included in the encrypted record information 640. For example, if “Product A” has not been purchased, the purchase quantity 622 is set to “0”, and this is encrypted to obtain an encrypted purchase quantity 642.
Thus, if the encrypted purchase number 642 cannot be decrypted, it is not only possible to know whether the product has been sold, or whether it has been sold or not.

サービス提供装置810がこのような形式の暗号化記録情報640を生成し、利用者端末装置100に対して送信することにより、更に強力に営業秘密を保護することができ、好ましい。   The service providing apparatus 810 generates encrypted recording information 640 of such a format and transmits it to the user terminal apparatus 100, so that the trade secret can be more strongly protected, which is preferable.

この実施の形態における利用者端末装置100(端末装置)は、更に、
通信装置915を用いて、利用者端末装置100を所持している利用者がサービス内容を利用した場合に、サービス提供装置810(サーバ装置)から、利用したサービス内容を記録した利用記録情報620とそのサービス内容の種別に対応する暗号鍵とを受信し、CPU911などの処理装置を用いて、受信した利用記録情報620を利用履歴情報610として出力し、受信した暗号鍵をサービス暗号鍵616として出力する利用履歴受信部112を有し、
利用履歴記憶部121が、
CPU911などの処理装置を用いて、利用履歴受信部112が出力した利用履歴情報610とサービス暗号鍵616とを入力し、メモリなどの記憶装置を用いて、入力した利用履歴情報610とサービス暗号鍵616とを記憶し、
利用記録受信部111が、
通信装置915を用いて、サービス提供装置810から、複数の利用記録情報620を、利用記録情報620が記録したサービス内容の種別ごとに異なる暗号鍵でそれぞれ暗号化した複数の暗号化記録情報640を受信し、CPU911などの処理装置を用いて、利用履歴記憶部121が記憶したサービス暗号鍵616を入力し、CPU911などの処理装置を用いて、受信した複数の暗号化記録情報640を、入力したサービス暗号鍵616でそれぞれ復号して、複数の利用記録情報620を取得し、CPU911などの処理装置を用いて、取得した複数の利用記録情報620を出力することを特徴とする。 The user terminal device 100 (terminal device) in this embodiment further includes:
When the user possessing the user terminal device 100 uses the communication device 915 to use the service content, the service providing device 810 (server device) records usage record information 620 that records the service content used. The encryption key corresponding to the type of service content is received, the received usage record information 620 is output as usage history information 610 using a processing device such as the CPU 911, and the received encryption key is output as the service encryption key 616. Use history receiving unit 112,
Usage history storage unit 121
The usage history information 610 and the service encryption key 616 output from the usage history receiving unit 112 are input using a processing device such as the CPU 911, and the input usage history information 610 and the service encryption key are input using a storage device such as a memory. 616,
Usage record receiver 111
Using the communication device 915, a plurality of encrypted record information 640 obtained by encrypting a plurality of usage record information 620 from the service providing device 810 with a different encryption key for each type of service content recorded by the usage record information 620. The service encryption key 616 received by the usage history storage unit 121 is input using a processing device such as the CPU 911, and a plurality of received encrypted recording information 640 is input using the processing device such as the CPU 911. A plurality of usage record information 620 is obtained by decryption with each of the service encryption keys 616, and the obtained plurality of usage record information 620 is output using a processing device such as a CPU 911.

この実施の形態における利用者端末装置100によれば、利用履歴記憶部121は、利用したことのあるサービス内容の種別についてのサービス暗号鍵616を記憶し、利用したことのないサービス内容の種別についてのサービス暗号鍵616を記憶していないので、利用記録受信部111は、利用したことのあるサービス内容の種別についての暗号化記録情報640だけを復号して、利用記録情報620を取得することができ、利用者端末装置100は、信頼性判断・匿名性判断に必要のない情報を得られないので、利用記録情報620の不必要な漏洩を防ぐことができるという効果を奏する。   According to the user terminal device 100 in this embodiment, the usage history storage unit 121 stores the service encryption key 616 for the type of service content that has been used, and the type of service content that has not been used. Since the service encryption key 616 is not stored, the usage record reception unit 111 can obtain only the usage record information 620 by decrypting only the encrypted record information 640 for the type of service content that has been used. In addition, since the user terminal device 100 cannot obtain information unnecessary for the reliability determination / anonymity determination, there is an effect that unnecessary leakage of the usage record information 620 can be prevented.

これにより、店舗から入手する履歴に関する情報のうち利用者が知ることができる情報は、利用者自身が過去に購入した商品に関する情報のみであり、他の利用者の購入情報は保護される。   Thereby, the information which the user can know among the information regarding the history acquired from the store is only the information regarding the product purchased by the user in the past, and the purchase information of other users is protected.

なお、この実施の形態では、暗号化記録情報640を識別するための情報として記録識別情報624を使用しているが、実施の形態5で説明したハッシュ値625を使用してもよい。   In this embodiment, the record identification information 624 is used as information for identifying the encrypted record information 640. However, the hash value 625 described in the fifth embodiment may be used.

実施の形態7.
実施の形態7について、図24〜図27を用いて説明する。
この実施の形態における履歴サービス提供システム800の全体構成、利用者端末装置100及びサービス提供装置810のハードウェア構成は、実施の形態1で説明したものと同様なので、ここでは説明を省略する。
また、この実施の形態における利用者端末装置100の機能ブロックの構成は、実施の形態4で説明したものと同様なので、ここでは説明を省略する。 Embodiment 7 FIG.
A seventh embodiment will be described with reference to FIGS.
Since the overall configuration of the history service providing system 800 and the hardware configuration of the user terminal device 100 and the service providing device 810 in this embodiment are the same as those described in the first embodiment, description thereof is omitted here.
In addition, since the functional block configuration of the user terminal device 100 in this embodiment is the same as that described in the fourth embodiment, description thereof is omitted here.

図24は、この実施の形態における利用履歴受信部112が受信し、利用履歴記憶部121が記憶する利用履歴情報610の一例を示す図である。
なお、実施の形態3で図13を用いて説明した利用履歴情報610と共通する部分については、同一の符号を付し、ここでは説明を省略する。 FIG. 24 is a diagram illustrating an example of the usage history information 610 received by the usage history receiving unit 112 and stored in the usage history storage unit 121 in this embodiment.
Note that portions common to the usage history information 610 described with reference to FIG. 13 in Embodiment 3 are denoted by the same reference numerals, and description thereof is omitted here.

利用履歴受信部112は、通信装置915を用いて、サービス提供装置810が送信してきた利用履歴情報610を受信する。
利用履歴受信部112が受信する利用履歴情報610には、履歴暗号鍵617が含まれている。
利用履歴受信部112は、CPU911などの処理装置を用いて、受信した利用履歴情報610を出力する。利用履歴受信部112が出力する利用履歴情報610には、受信した履歴暗号鍵617が含まれている。利用履歴受信部112は、受信した履歴暗号鍵617を利用履歴情報610とともに出力する。 The usage history receiving unit 112 receives the usage history information 610 transmitted from the service providing device 810 using the communication device 915.
The usage history information 610 received by the usage history receiving unit 112 includes a history encryption key 617.
The usage history receiving unit 112 outputs the received usage history information 610 using a processing device such as the CPU 911. The usage history information 610 output by the usage history receiving unit 112 includes the received history encryption key 617. The usage history receiving unit 112 outputs the received history encryption key 617 together with the usage history information 610.

履歴暗号鍵617は、その利用履歴情報610に対応する暗号鍵である。履歴暗号鍵617は、利用履歴情報610ごとに異なる。   The history encryption key 617 is an encryption key corresponding to the usage history information 610. The history encryption key 617 differs for each usage history information 610.

利用履歴記憶部121は、CPU911などの処理装置を用いて、利用履歴受信部112が出力した利用履歴情報610と履歴暗号鍵617とを入力する。
利用履歴記憶部121は、メモリなどの記憶装置を用いて、入力した利用履歴情報610と履歴暗号鍵617とを記憶する。 The usage history storage unit 121 inputs the usage history information 610 and the history encryption key 617 output by the usage history reception unit 112 using a processing device such as the CPU 911.
The usage history storage unit 121 stores the input usage history information 610 and the history encryption key 617 using a storage device such as a memory.

サービス提供装置810は、利用者がサービスを利用すると、CPU911などの処理装置を用いて、利用したサービスの内容を記録した利用履歴情報610を生成する。サービス提供装置810は、通信装置915を用いて、利用者端末装置100に対して、生成した利用履歴情報610を送信する。
サービス提供装置810は、更に、CPU911などの処理装置を用いて、その利用履歴情報610に対応する履歴暗号鍵617を生成する。サービス提供装置810は、通信装置915を用いて、利用者端末装置100に対して、生成した履歴暗号鍵617を、利用履歴情報610とともに送信する。
サービス提供装置810は、磁気ディスク装置920などの記憶装置を用いて、利用履歴情報610と履歴暗号鍵617とを、利用記録情報620と記録暗号鍵627として記憶する。 When the user uses the service, the service providing apparatus 810 uses the processing apparatus such as the CPU 911 to generate usage history information 610 that records the contents of the used service. The service providing apparatus 810 transmits the generated usage history information 610 to the user terminal apparatus 100 using the communication apparatus 915.
The service providing apparatus 810 further generates a history encryption key 617 corresponding to the usage history information 610 using a processing device such as the CPU 911. The service providing device 810 transmits the generated history encryption key 617 together with the usage history information 610 to the user terminal device 100 using the communication device 915.
The service providing apparatus 810 stores the use history information 610 and the history encryption key 617 as the use record information 620 and the record encryption key 627 using a storage device such as the magnetic disk device 920.

なお、履歴暗号鍵617(記録暗号鍵627)は、このようにサービス提供装置810が生成して利用者端末装置100に対して利用履歴情報610とともに送信するのではなく、利用者端末装置100が生成して、サービス提供装置810に対して送信することとしてもよい。あるいは、今回のサービス利用に伴って利用者端末装置100とサービス提供装置810とが通信するために利用した暗号鍵を、履歴暗号鍵617(記録暗号鍵627)として再利用することとし、利用者端末装置100及びサービス提供装置810が記憶しておいてもよい。   The history encryption key 617 (recording encryption key 627) is not generated by the service providing device 810 and transmitted to the user terminal device 100 together with the usage history information 610 in this way. It is good also as producing | generating and transmitting with respect to the service provision apparatus 810. FIG. Alternatively, the encryption key used for communication between the user terminal device 100 and the service providing device 810 with the use of this service is reused as the history encryption key 617 (recording encryption key 627), and the user The terminal device 100 and the service providing device 810 may store them.

図25は、この実施の形態における利用記録受信部111が受信する暗号化記録情報640と暗号化暗号鍵650との一例を示す図である。
なお、実施の形態6で図23を用いて説明した暗号化記録情報640と共通する部分については、同一の符号を付し、ここでは説明を省略する。 FIG. 25 is a diagram showing an example of the encrypted record information 640 and the encrypted encryption key 650 received by the usage record receiver 111 in this embodiment.
Note that portions common to the encrypted recording information 640 described with reference to FIG. 23 in Embodiment 6 are denoted by the same reference numerals, and description thereof is omitted here.

暗号化記録情報640は、実施の形態6で図23を用いて説明した暗号化記録情報640とほぼ同様である。異なる点は、暗号化購入個数642の順番が商品コード順ではない点である。
サービス提供装置810は、CPU911などの処理装置を用いて、ランダムな順番を生成し、生成した順番に暗号化購入個数642を並べて暗号化記録情報640とする。
暗号化購入個数642の順番は、一回に送信される暗号化記録情報640の間では同じ順番である。次回の送信、あるいは、他の利用者端末装置100に対して送信するときには、異なる順番となる。 The encrypted record information 640 is substantially the same as the encrypted record information 640 described with reference to FIG. 23 in the sixth embodiment. The difference is that the order of the encrypted purchase number 642 is not in the order of the product code.
The service providing device 810 uses a processing device such as the CPU 911 to generate a random order, and arranges the encrypted purchase quantity 642 in the generated order as the encrypted recording information 640.
The order of the encryption purchase number 642 is the same order among the encrypted record information 640 transmitted at a time. When it is transmitted next time or transmitted to another user terminal device 100, the order is different.

サービス提供装置810は、暗号化記録情報640のほかに、記録識別情報624と暗号化暗号鍵650とのペアからなるリストを、利用者端末装置100に対して送信する。
暗号化暗号鍵650は、それぞれの記録識別情報624によって識別される利用記録情報620を暗号化した暗号化記録情報640について、暗号化の鍵を、利用記録情報620に対応する記録暗号鍵627で暗号化したものである。
サービス提供装置810は、利用者端末装置100に対して送信した暗号化記録情報640と同じ数の暗号化暗号鍵650を、利用者端末装置100に対して送信する。それぞれの暗号化暗号鍵650は、それぞれの暗号化記録情報640に対応している。 In addition to the encrypted record information 640, the service providing apparatus 810 transmits a list composed of pairs of the record identification information 624 and the encrypted encryption key 650 to the user terminal device 100.
The encryption encryption key 650 is the encryption key 627 corresponding to the use record information 620 for the encryption record information 640 obtained by encrypting the use record information 620 identified by each record identification information 624. It is encrypted.
The service providing apparatus 810 transmits the same number of encrypted encryption keys 650 as the encrypted record information 640 transmitted to the user terminal apparatus 100 to the user terminal apparatus 100. Each encryption encryption key 650 corresponds to each encryption record information 640.

なお、この例では、暗号化記録情報640と暗号化暗号鍵650との双方に、記録識別情報624を付けて、その対応関係を明確にしているが、実施の形態5で説明したハッシュ値625を記録識別情報624の代わりに付けてもよい。その場合、暗号化記録情報640と暗号化暗号鍵650とのどちらか一方は、記録識別情報624を付け、他方はハッシュ値625を付けることにより、暗号化記録情報640と暗号化暗号鍵650との対応がわからないようにすることが好ましい。更に、暗号化記録情報640の順番と暗号化暗号鍵650の順番をランダムにし、異なる順番とする。また、ハッシュ値625を、暗号化記録情報640にも、暗号化暗号鍵650にも付ける場合には、異なるハッシュ関数を用いるなどして、異なるハッシュ値625が付くようにし、暗号化記録情報640と暗号化暗号鍵650との対応関係がわからないようにする。   In this example, the record identification information 624 is attached to both the encrypted record information 640 and the encrypted encryption key 650 to clarify the correspondence, but the hash value 625 described in the fifth embodiment is used. May be added instead of the record identification information 624. In that case, either the encrypted record information 640 or the encrypted encryption key 650 is attached with the record identification information 624, and the other is attached with the hash value 625, so that the encrypted record information 640 and the encrypted encryption key 650 are It is preferable not to know the correspondence. Further, the order of the encryption record information 640 and the order of the encryption encryption key 650 are made random and different orders. In addition, when the hash value 625 is attached to the encrypted record information 640 and the encrypted encryption key 650, a different hash function 625 is used so that a different hash value 625 is attached. And the encryption encryption key 650 are not understood.

利用記録受信部111は、通信装置915を用いて、サービス提供装置810が送信してきた暗号化記録情報640と暗号化暗号鍵650とを受信する。
利用記録受信部111は、CPU911などの処理装置を用いて、利用履歴記憶部121が記憶した履歴暗号鍵617を入力する。
利用記録受信部111は、CPU911などの処理装置を用いて、履歴暗号鍵617が対応する利用履歴情報610の履歴識別情報614と一致する記録識別情報624を付された暗号化暗号鍵650を、履歴暗号鍵617で復号する。 The usage record reception unit 111 receives the encrypted record information 640 and the encrypted encryption key 650 transmitted from the service providing apparatus 810 using the communication apparatus 915.
The usage record receiving unit 111 inputs the history encryption key 617 stored in the usage history storage unit 121 using a processing device such as the CPU 911.
Using the processing device such as the CPU 911, the usage record receiving unit 111 uses the encryption encryption key 650 attached with the record identification information 624 that matches the history identification information 614 of the usage history information 610 to which the history encryption key 617 corresponds, Decrypt with the history encryption key 617.

利用履歴記憶部121は、利用者端末装置100を所持している利用者が利用したサービスを記録した利用記録情報620に対応する記録暗号鍵627を、履歴暗号鍵617として記憶しているので、利用履歴情報610の履歴識別情報614と一致する記録識別情報624が付された暗号化暗号鍵650を復号することができる。しかし、他の利用者が利用したサービスを記録した利用記録情報620についての記録暗号鍵627は記憶していないので、他の暗号化暗号鍵650を復号することはできない。   The usage history storage unit 121 stores a recording encryption key 627 corresponding to the usage record information 620 that records the service used by the user who owns the user terminal device 100 as the history encryption key 617. The encrypted encryption key 650 to which the record identification information 624 that matches the history identification information 614 of the usage history information 610 can be decrypted. However, since the recording encryption key 627 for the usage record information 620 recording the service used by another user is not stored, the other encryption encryption key 650 cannot be decrypted.

利用記録受信部111は、CPU911などの処理装置を用いて、暗号化暗号鍵650を履歴暗号鍵617で復号し、商品コード651、位置652、サービス暗号鍵656からなるリストを取得する。
商品コード651は、対応する利用記録情報620に記録された商品コード621と同じものである。
位置652は、暗号化記録情報640のなかで、商品コード651に対応する暗号化購入個数642の位置を示す情報である。
サービス暗号鍵656は、その暗号化購入個数642を復号するために必要な暗号鍵である。 The usage record receiving unit 111 uses a processing device such as the CPU 911 to decrypt the encryption encryption key 650 with the history encryption key 617 and obtain a list including the product code 651, the position 652, and the service encryption key 656.
The product code 651 is the same as the product code 621 recorded in the corresponding usage record information 620.
The position 652 is information indicating the position of the encrypted purchase number 642 corresponding to the product code 651 in the encrypted record information 640.
The service encryption key 656 is an encryption key necessary for decrypting the encryption purchase number 642.

なお、商品コードは、商品に付されたバーコードが示す情報のように公開された情報ではなく、サービス提供装置810が独自に生成した情報を用いるほうが好ましい。そうすれば、利用者端末装置100は、利用履歴情報610に基づいて、購入したことのある商品の商品コードを知ることができるが、購入したことのない商品の商品コードを知ることができない。   In addition, it is preferable to use information uniquely generated by the service providing apparatus 810 instead of information that is disclosed as information indicated by a barcode attached to the product as the product code. Then, the user terminal device 100 can know the product code of the product that has been purchased based on the usage history information 610, but cannot know the product code of the product that has not been purchased.

この例では、「商品A」についての暗号化購入個数642は、暗号化記録情報640の「3番目」に位置し、それを復号するための暗号鍵は「3563」であることを示している。
記録識別情報624「0576」で識別される利用記録情報620には、利用者が「商品A」「商品B」「商品D」を購入したことが記憶されているので、記録識別情報624「0576」に対応する暗号化暗号鍵650を復号すると、利用記録受信部111は、「商品A」「商品B」「商品D」についての位置652、サービス暗号鍵656を取得できる。
また、記録識別情報624「1085」に対応する暗号化暗号鍵650を復号すると、利用記録受信部111は、「商品A」「商品C」についての位置652、サービス暗号鍵656を取得できる。 In this example, the encrypted purchase number 642 for “product A” is positioned at the “third” in the encrypted record information 640, and the encryption key for decrypting it is “3563”. .
The usage record information 620 identified by the record identification information 624 “0576” stores that the user has purchased “product A”, “product B”, and “product D”, so the record identification information 624 “0576” is stored. When the encrypted encryption key 650 corresponding to “product A” is decrypted, the usage record receiver 111 can obtain the position 652 and the service encryption key 656 for “product A”, “product B”, and “product D”.
When the encrypted encryption key 650 corresponding to the record identification information 624 “1085” is decrypted, the usage record receiver 111 can obtain the position 652 and the service encryption key 656 for “product A” and “product C”.

このようにして、利用記録受信部111は、購入したことがあるすべての商品についての位置652、サービス暗号鍵656を取得する。しかし、購入したことがない商品については、暗号化暗号鍵650を復号できないので、位置652やサービス暗号鍵656を取得することはできない。   In this way, the usage record receiver 111 acquires the position 652 and the service encryption key 656 for all the products that have been purchased. However, since the encryption encryption key 650 cannot be decrypted for a product that has not been purchased, the position 652 and the service encryption key 656 cannot be acquired.

利用記録受信部111は、CPU911などの処理装置を用いて、暗号化購入個数642を取得したサービス暗号鍵656で復号し、購入個数622を取得する。
利用記録受信部111は、CPU911などの処理装置を用いて、復号して得た利用記録情報620を出力する。 The usage record receiving unit 111 uses the processing device such as the CPU 911 to decrypt the encrypted purchase number 642 with the acquired service encryption key 656 and obtain the purchase number 622.
The usage record receiving unit 111 outputs the usage record information 620 obtained by decoding using a processing device such as the CPU 911.

実施の形態6では、1つのサービス内容の種別については、常に同一のサービス暗号鍵で暗号化している。
しかし、暗号鍵を頻繁に変えるほうが、解読されにくくなるので好ましい。
この実施の形態は、暗号化記録情報640を1回送信するごとにサービス暗号鍵656を変化させることにより、暗号を解読されにくくするものである。 In the sixth embodiment, one service content type is always encrypted with the same service encryption key.
However, it is preferable to change the encryption key frequently because it becomes difficult to decrypt.
In this embodiment, the service encryption key 656 is changed every time the encrypted record information 640 is transmitted, thereby making it difficult to decrypt the encryption.

図26は、この実施の形態におけるサービス提供装置810が暗号化記録情報640を送信する利用記録送信処理の流れの一例を示すフローチャート図である。
利用記録送信処理は、図17のS11に相当する処理である。 FIG. 26 is a flowchart showing an example of the flow of usage record transmission processing in which the service providing apparatus 810 in this embodiment transmits encrypted record information 640.
The usage record transmission process is a process corresponding to S11 of FIG.

S71において、サービス提供装置810は、CPU911などの処理装置を用いて、すべての商品について、それぞれのサービス暗号鍵656をランダムに生成する。
また、サービス提供装置810は、CPU911などの処理装置を用いて、利用記録情報620において暗号化購入個数642を並べる順番をランダムに生成する。 In S <b> 71, the service providing apparatus 810 generates a service encryption key 656 for each product at random using a processing apparatus such as the CPU 911.
In addition, the service providing apparatus 810 randomly generates an order in which the encrypted purchase number 642 is arranged in the usage record information 620 using a processing apparatus such as the CPU 911.

S72において、サービス提供装置810は、CPU911などの処理装置を用いて、利用者端末装置100から受信した記録識別情報624によって識別される利用記録情報620を、磁気ディスク装置920などの記憶装置から読み出す。
サービス提供装置810は、CPU911などの処理装置を用いて、読み出した利用記録情報620に含まれる購入個数622を、その商品についてS71で生成したサービス暗号鍵656で暗号化し、暗号化購入個数642を生成する。
サービス提供装置810は、CPU911などの処理装置を用いて、生成した暗号化購入個数642を、S71で生成した順序に並べて、暗号化記録情報640を生成する。 In step S <b> 72, the service providing apparatus 810 reads the usage record information 620 identified by the record identification information 624 received from the user terminal apparatus 100 from the storage device such as the magnetic disk device 920 using a processing device such as the CPU 911. .
Using the processing device such as the CPU 911, the service providing apparatus 810 encrypts the purchase quantity 622 included in the read usage record information 620 with the service encryption key 656 generated in S71 for the product, and obtains the encrypted purchase quantity 642. Generate.
The service providing apparatus 810 uses the processing apparatus such as the CPU 911 to arrange the generated encrypted purchase quantity 642 in the order generated in S71 and generate the encrypted record information 640.

S73において、サービス提供装置810は、CPU911などの処理装置を用いて、S72で読み出した利用記録情報620に対応する記録暗号鍵627を、磁気ディスク装置920などの記憶装置から読み出す。
サービス提供装置810は、CPU911などの処理装置を用いて、S72で読み出した利用記録情報620に購入したことが記録されている商品についてS71で生成したサービス暗号鍵656を、読み出した記録暗号鍵627で暗号化して、暗号化暗号鍵650を生成する。 In S73, the service providing apparatus 810 reads the recording encryption key 627 corresponding to the usage record information 620 read in S72 from a storage device such as the magnetic disk device 920 using a processing device such as the CPU 911.
The service providing apparatus 810 uses the processing apparatus such as the CPU 911 to read the service encryption key 656 generated in S71 for the product recorded as purchased in the usage record information 620 read in S72, and the read record encryption key 627. To generate an encrypted encryption key 650.

S74において、サービス提供装置810は、通信装置915を用いて、利用者端末装置100に対して、S72で生成した暗号化記録情報640と、S73で生成した暗号化暗号鍵650とを送信する。   In S74, the service providing apparatus 810 uses the communication apparatus 915 to transmit the encrypted recording information 640 generated in S72 and the encrypted encryption key 650 generated in S73 to the user terminal apparatus 100.

図27は、この実施の形態における利用記録受信部111が、暗号化記録情報640を受信して復号する利用記録受信処理の流れの一例を示すフローチャート図である。   FIG. 27 is a flowchart showing an example of the flow of usage record reception processing in which the usage record receiving unit 111 in this embodiment receives and decrypts the encrypted record information 640.

S81において、利用記録受信部111は、通信装置915を用いて、サービス提供装置810が送信してきた暗号化記録情報640と暗号化暗号鍵650とを受信する。   In step S <b> 81, the usage record receiving unit 111 receives the encrypted record information 640 and the encrypted encryption key 650 transmitted from the service providing apparatus 810 using the communication apparatus 915.

S82において、利用記録受信部111は、CPU911などの処理装置を用いて、利用履歴記憶部121が記憶した履歴暗号鍵617のなかから、S81で受信した暗号化暗号鍵650に対応する履歴暗号鍵617を抽出する。
利用記録受信部111は、CPU911などの処理装置を用いて、S81で受信した暗号化暗号鍵650を、抽出した履歴暗号鍵617で復号し、商品コード651、位置652、サービス暗号鍵656を取得する。 In S <b> 82, the usage record receiving unit 111 uses a processing device such as the CPU 911 to select the history encryption key corresponding to the encrypted encryption key 650 received in S <b> 81 from the history encryption key 617 stored in the usage history storage unit 121. 617 is extracted.
The usage record receiving unit 111 uses a processing device such as the CPU 911 to decrypt the encrypted encryption key 650 received in S81 with the extracted history encryption key 617, and obtains the product code 651, the position 652, and the service encryption key 656. To do.

S83において、利用記録受信部111は、CPU911などの処理装置を用いて、S81で受信した利用記録情報620に含まれる暗号化購入個数642のうち、S82で取得した位置652にある暗号化購入個数642を、S82で取得したサービス暗号鍵656で復号し、購入個数622を取得する。
利用記録受信部111は、CPU911などの処理装置を用いて、S82で取得した商品コード651と、取得した購入個数622とから、利用記録情報620を生成する。 In S83, the usage record receiving unit 111 uses the processing device such as the CPU 911, and out of the encrypted purchase number 642 included in the usage record information 620 received in S81, the encrypted purchase number at the position 652 acquired in S82. 642 is decrypted with the service encryption key 656 acquired in S82, and the purchase quantity 622 is acquired.
The usage record receiving unit 111 generates usage record information 620 from the product code 651 acquired in S82 and the acquired purchase quantity 622 using a processing device such as the CPU 911.

S84において、利用記録受信部111は、CPU911などの処理装置を用いて、S83で生成した利用記録情報620を出力する。   In S <b> 84, the usage record receiving unit 111 outputs the usage record information 620 generated in S <b> 83 using a processing device such as the CPU 911.

このように、2段階の暗号化処理をすることで、サービス暗号鍵656を毎回変えることができ、暗号を解読されにくくすることができる。
また、暗号化記録情報640のなかにおける暗号化購入個数642の位置を毎回変えることにより、更に暗号を解読されにくくすることができる。 In this way, by performing the two-stage encryption process, the service encryption key 656 can be changed every time, and the encryption can be made difficult to be decrypted.
Further, by changing the position of the encryption purchase number 642 in the encryption record information 640 every time, it is possible to make the encryption more difficult to decipher.

この実施の形態における利用者端末装置100(端末装置)は、更に、
通信装置915を用いて、利用者端末装置100を所持している利用者がサービス内容を利用した場合に、サービス提供装置810(サーバ装置)から、利用したサービス内容を記録した利用記録情報620と利用記録情報620に対応する暗号鍵とを受信し、CPU911などの処理装置を用いて、受信した利用記録情報620を利用履歴情報610として出力し、受信した暗号鍵を履歴暗号鍵617として出力する利用履歴受信部112を有し、
利用履歴記憶部121が、
CPU911などの処理装置を用いて、利用履歴受信部112が出力した利用履歴情報610と履歴暗号鍵617とを入力し、メモリなどの記憶装置を用いて、入力した利用履歴情報610と履歴暗号鍵617とを記憶し、
利用記録受信部111が、
通信装置915を用いて、サービス提供装置810から、複数の利用記録情報620を、利用記録情報620が記録したサービス内容の種別ごとに異なるサービス暗号鍵656でそれぞれ暗号化した複数の暗号化記録情報640と、利用記録情報620が記録したサービス内容の種別に対応するサービス暗号鍵656を、利用記録情報620に対応する記録暗号鍵627でそれぞれ暗号化した複数の暗号化暗号鍵650とを受信し、CPU911などの処理装置を用いて、利用履歴記憶部121が記憶した履歴暗号鍵617を入力し、CPU911などの処理装置を用いて、受信した複数の暗号化暗号鍵650の少なくともいずれかを、入力した履歴暗号鍵617で復号して、サービス暗号鍵656を取得し、CPU911などの処理装置を用いて、受信した複数の暗号化記録情報640を、取得したサービス暗号鍵656でそれぞれ復号して、複数の利用記録情報620を取得し、CPU911などの処理装置を用いて、取得した複数の利用記録情報620を出力することを特徴とする。 The user terminal device 100 (terminal device) in this embodiment further includes:
When the user possessing the user terminal device 100 uses the communication device 915 to use the service content, the service providing device 810 (server device) records usage record information 620 that records the service content used. The encryption key corresponding to the usage record information 620 is received, the received usage record information 620 is output as the usage history information 610 using a processing device such as the CPU 911, and the received encryption key is output as the history encryption key 617. A usage history receiver 112;
Usage history storage unit 121
The usage history information 610 and the history encryption key 617 output from the usage history receiving unit 112 are input using a processing device such as the CPU 911, and the input usage history information 610 and the history encryption key are input using a storage device such as a memory. 617,
Usage record receiver 111
Using the communication device 915, a plurality of encrypted record information obtained by encrypting a plurality of usage record information 620 from the service providing device 810 with different service encryption keys 656 for each type of service content recorded by the usage record information 620. 640 and a plurality of encrypted encryption keys 650 obtained by encrypting the service encryption key 656 corresponding to the type of service content recorded in the usage record information 620 with the recording encryption key 627 corresponding to the usage record information 620, respectively. The history encryption key 617 stored in the usage history storage unit 121 is input using a processing device such as the CPU 911, and at least one of the received plurality of encrypted encryption keys 650 is processed using the processing device such as the CPU 911. The service encryption key 656 is obtained by decrypting with the input history encryption key 617, and a processing device such as the CPU 911 is installed. The plurality of received encrypted record information 640 is decrypted with the acquired service encryption key 656, respectively, and a plurality of usage record information 620 is acquired. Using the processing device such as the CPU 911, the plurality of acquired usage records are acquired. Information 620 is output.

この実施の形態における利用者端末装置100によれば、利用記録受信部111が受信した暗号化暗号鍵650を復号して取得したサービス暗号鍵656で、利用記録受信部111が受信した暗号化記録情報640を復号するので、サービス暗号鍵656を毎回変えることができ、暗号を解読されにくくすることができるという効果を奏する。   According to the user terminal device 100 in this embodiment, the encrypted record received by the usage record receiving unit 111 with the service encryption key 656 obtained by decrypting the encrypted encryption key 650 received by the usage record receiving unit 111. Since the information 640 is decrypted, the service encryption key 656 can be changed every time, and the encryption can be made difficult to be decrypted.

実施の形態8.
実施の形態8について、図28〜図36を用いて説明する。
この実施の形態における履歴サービス提供システム800の全体構成、利用者端末装置100及びサービス提供装置810のハードウェア構成は、実施の形態1で説明したものと同様なので、ここでは説明を省略する。
また、この実施の形態における利用者端末装置100の機能ブロックの構成は、実施の形態4で説明したものと同様なので、ここでは説明を省略する。 Embodiment 8 FIG.
The eighth embodiment will be described with reference to FIGS.
Since the overall configuration of the history service providing system 800 and the hardware configuration of the user terminal device 100 and the service providing device 810 in this embodiment are the same as those described in the first embodiment, description thereof is omitted here.
In addition, since the functional block configuration of the user terminal device 100 in this embodiment is the same as that described in the fourth embodiment, description thereof is omitted here.

利用者端末装置100の記憶装置は、サービス利用プログラムなどのプログラムを格納している。サービス利用プログラムは、履歴サービスを利用するための処理を行うプログラムである。利用者端末装置100のCPU911などの処理装置が、サービス利用プログラムを実行することにより、利用者端末装置100の機能ブロックが実現される。   The storage device of the user terminal device 100 stores a program such as a service use program. The service use program is a program that performs processing for using the history service. The processing device such as the CPU 911 of the user terminal device 100 executes the service use program, whereby the functional blocks of the user terminal device 100 are realized.

利用者端末装置100のUIM210の記憶装置は、サービス利用記録群や利用者特定率設定情報などのデータを記憶している。
サービス利用記録群とは、利用履歴記憶部121が記憶した利用履歴情報610のことである。サービス利用記録群は、利用者の購入した商品の購入情報の集まりであり、利用者が商品を購入する度に追加される。
利用者特定率設定情報とは、匿名性判断部131が匿名性を判断するために、利用者特定率と比較する閾値を示す情報である。利用者特定率設定情報は、店舗が履歴に含まれる購入情報から利用者を特定できる確率(利用者特定率)を記した情報であり、利用者端末装置100の匿名履歴判別部130は、購入情報を履歴(匿名履歴情報630)に含めるか否かを、この値を用いて判断する。 The storage device of the UIM 210 of the user terminal device 100 stores data such as a service usage record group and user specific rate setting information.
The service usage record group is usage history information 610 stored in the usage history storage unit 121. The service usage record group is a collection of purchase information of products purchased by the user, and is added each time the user purchases a product.
The user identification rate setting information is information indicating a threshold value to be compared with the user identification rate so that the anonymity determination unit 131 determines anonymity. The user identification rate setting information is information describing the probability (user identification rate) that the store can identify the user from the purchase information included in the history. It is determined using this value whether information is included in the history (anonymous history information 630).

図28は、この実施の形態におけるサービス提供装置810の機能ブロックの構成の一例を示すブロック構成図である。
サービス提供装置810は、利用履歴生成部821、利用履歴送信部822、利用記録記憶部823、記録識別送信部824、選択識別受信部825、送信利用記録生成部826、利用記録送信部827、匿名履歴受信部831、サービス情報記憶部832、サービス情報選択部833、サービス情報送信部834、秘密鍵記憶部841、証明書記憶部842などを有する。
以下に説明するサービス提供装置810の機能ブロックは、サービス提供装置810の磁気ディスク装置920などの記憶装置が記憶したサービス提供プログラムを、サービス提供装置810のCPU911などの処理装置が実行することにより実現する。
サービス提供プログラムは、履歴サービスを提供するための処理を行うプログラムである。 FIG. 28 is a block configuration diagram showing an example of a functional block configuration of the service providing apparatus 810 in this embodiment.
The service providing apparatus 810 includes a usage history generation unit 821, a usage history transmission unit 822, a usage record storage unit 823, a record identification transmission unit 824, a selection identification reception unit 825, a transmission usage record generation unit 826, a usage record transmission unit 827, and an anonymity. A history receiving unit 831, a service information storage unit 832, a service information selection unit 833, a service information transmission unit 834, a secret key storage unit 841, a certificate storage unit 842 are included.
The functional blocks of the service providing apparatus 810 described below are realized by a processing apparatus such as the CPU 911 of the service providing apparatus 810 executing a service providing program stored in a storage device such as the magnetic disk device 920 of the service providing apparatus 810. To do.
The service providing program is a program that performs processing for providing a history service.

利用履歴生成部821は、利用者がサービスを利用した場合に、CPU911などの処理装置を用いて、利用者が利用したサービスについての情報を入力し、履歴として記録するための利用履歴情報610を生成する。
利用履歴生成部821は、CPU911などの処理装置を用いて、生成した利用履歴情報610を出力する。
利用履歴生成部821は、例えば、店内のレジなどと通信して情報を入力し、利用履歴情報610を生成する。 When the user uses the service, the usage history generation unit 821 uses the processing device such as the CPU 911 to input information about the service used by the user and records usage history information 610 for recording as a history. Generate.
The usage history generation unit 821 outputs the generated usage history information 610 using a processing device such as the CPU 911.
For example, the usage history generation unit 821 inputs information by communicating with a cash register in a store, and generates usage history information 610.

利用履歴送信部822は、CPU911などの処理装置を用いて、利用履歴生成部821が出力した利用履歴情報610を入力する。
利用履歴送信部822は、通信装置915を用いて、入力した利用履歴情報610を、その利用者の所持する利用者端末装置100に対して送信する。 The usage history transmission unit 822 inputs the usage history information 610 output from the usage history generation unit 821 using a processing device such as the CPU 911.
The usage history transmission unit 822 uses the communication device 915 to transmit the input usage history information 610 to the user terminal device 100 possessed by the user.

利用記録記憶部823は、CPU911などの処理装置を用いて、利用履歴生成部821が出力した利用履歴情報610を入力する。
利用記録記憶部823は、磁気ディスク装置920などの記憶装置を用いて、入力した利用履歴情報610を利用記録情報620として記憶する。 The usage record storage unit 823 receives the usage history information 610 output from the usage history generation unit 821 using a processing device such as the CPU 911.
The usage record storage unit 823 stores the input usage history information 610 as usage record information 620 using a storage device such as the magnetic disk device 920.

利用履歴生成部821が生成する利用履歴情報610には、利用者を特定できる情報(利用者の固定ID(Identifier)や、利用者端末装置100の機器番号など)は含まれていない。
利用履歴情報610は、利用者がサービスを利用するごとに個別に生成され、利用記録記憶部823が利用記録情報620として蓄積していく。利用記録記憶部823が記憶する利用記録情報620は、利用者がサービスを利用するたびに追加されて増えていく。 The usage history information 610 generated by the usage history generation unit 821 does not include information (such as a user fixed ID (Identifier) or the device number of the user terminal device 100) that can identify the user.
The usage history information 610 is individually generated every time the user uses the service, and the usage record storage unit 823 accumulates it as the usage record information 620. The usage record information 620 stored in the usage record storage unit 823 is added and increased every time the user uses the service.

利用記録情報620には、利用者を特定できる情報が含まれていないので、サービス提供装置810は、利用記録記憶部823が記憶した利用記録情報620のうち、いずれが同一の利用者のものであり、いずれが異なる利用者のものであるかを判別できない。   Since the usage record information 620 does not include information that can identify the user, the service providing apparatus 810 is the usage record information 620 stored in the usage record storage unit 823, which is the same user. Yes, it is not possible to determine which one belongs to a different user.

以下、利用記録記憶部823が記憶した利用記録情報620の一つ一つをサービス利用記録情報と呼び、利用記録記憶部823が記憶した利用記録情報620の全体をサービス利用記録情報群と呼ぶ。   Hereinafter, each of the usage record information 620 stored in the usage record storage unit 823 is referred to as service usage record information, and the entire usage record information 620 stored in the usage record storage unit 823 is referred to as a service usage record information group.

記録識別送信部824は、CPU911などの処理装置を用いて、利用記録記憶部823が記憶したすべての利用記録情報620について、その利用記録情報620を識別する記録識別情報624を入力する。
記録識別送信部824は、通信装置915を用いて、利用者端末装置100に対して、入力した記録識別情報624を送信する。
この例では、記録識別情報624として、サービス利用記録情報に含まれるID番号を使用する。 The record identification transmission unit 824 inputs record identification information 624 for identifying the usage record information 620 for all the usage record information 620 stored by the usage record storage unit 823 using a processing device such as the CPU 911.
The record identification transmitting unit 824 transmits the input record identification information 624 to the user terminal device 100 using the communication device 915.
In this example, the ID number included in the service use record information is used as the record identification information 624.

選択識別受信部825は、通信装置915を用いて、利用者端末装置100が送信してきた選択識別情報を受信する。
選択識別受信部825は、CPU911などの処理装置を用いて、受信した選択識別情報を出力する。
選択識別情報とは、記録識別送信部824が送信した記録識別情報624のなかから利用者端末装置100が選択した記録識別情報624を示す情報である。 The selection identification receiving unit 825 receives the selection identification information transmitted from the user terminal device 100 using the communication device 915.
The selection identification receiving unit 825 outputs the received selection identification information using a processing device such as the CPU 911.
The selection identification information is information indicating the record identification information 624 selected by the user terminal device 100 from the record identification information 624 transmitted by the record identification transmission unit 824.

送信利用記録生成部826は、CPU911などの処理装置を用いて、選択識別受信部825が出力した選択識別情報を入力する。
送信利用記録生成部826は、CPU911などの処理装置を用いて、利用記録記憶部823が記憶した利用記録情報620のうち、入力した選択識別情報に基づいて、利用者端末装置100が選択した記録識別情報624によって識別される利用記録情報620を入力する。
送信利用記録生成部826は、CPU911などの処理装置を用いて、入力した利用記録情報620に、暗号化などの処理を加えて、送信利用記録情報を生成する。
送信利用記録生成部826は、CPU911などの処理装置を用いて、生成した送信利用記録情報を出力する。 The transmission use record generation unit 826 inputs the selection identification information output by the selection identification reception unit 825 using a processing device such as the CPU 911.
The transmission use record generation unit 826 uses a processing device such as the CPU 911 to record the record selected by the user terminal device 100 based on the input selection identification information among the use record information 620 stored by the use record storage unit 823. The usage record information 620 identified by the identification information 624 is input.
The transmission usage record generation unit 826 generates a transmission usage record information by performing processing such as encryption on the input usage record information 620 using a processing device such as the CPU 911.
The transmission usage record generation unit 826 outputs the generated transmission usage record information using a processing device such as the CPU 911.

なお、あまりに多くの記録識別情報624を利用者端末装置100が選択した場合、利用者端末装置100が、送信利用記録情報から、匿名履歴情報630の生成に必要な情報以上の情報を取得してしまう可能性がある。
そこで、例えば、選択できる記録識別情報624の数に上限を設けてもよい。すなわち、送信利用記録生成部826は、CPU911などの処理装置を用いて、利用者端末装置100が選択した記録識別情報624の数を数える。送信利用記録生成部826は、CPU911などの処理装置を用いて、数えた記録識別情報624の数を所定の閾値と比較して、利用者端末装置100が選択した記録識別情報624の数が適正であるか(多すぎないか)を判断する。利用者端末装置100が選択した記録識別情報624の数が適正であると判断した場合のみ、送信利用記録生成部826は、CPU911などの処理装置を用いて、送信利用記録情報を生成し、利用者端末装置100が選択した記録識別情報624の数が適正でない(多すぎる)と判断した場合は、送信利用記録生成部826は、送信利用記録情報を生成しない。
これにより、例えば、ライバル店の店員が売れ筋商品を調べるなど、履歴サービスを利用する以外の目的で、利用記録情報を得ようとした場合に、情報が流出するのを防ぐことができる。 In addition, when the user terminal device 100 selects too much record identification information 624, the user terminal device 100 acquires information more than information necessary for generating the anonymous history information 630 from the transmission use record information. There is a possibility.
Therefore, for example, an upper limit may be provided for the number of record identification information 624 that can be selected. That is, the transmission use record generation unit 826 counts the number of record identification information 624 selected by the user terminal device 100 using a processing device such as the CPU 911. Using the processing device such as the CPU 911, the transmission usage record generation unit 826 compares the number of the recorded identification information 624 with a predetermined threshold, and the number of the recording identification information 624 selected by the user terminal device 100 is appropriate. It is judged whether it is (it is not too much). Only when it is determined that the number of record identification information 624 selected by the user terminal device 100 is appropriate, the transmission usage record generation unit 826 generates transmission usage record information using a processing device such as the CPU 911 and uses it. If it is determined that the number of record identification information 624 selected by the person terminal device 100 is not appropriate (too many), the transmission usage record generation unit 826 does not generate transmission usage record information.
Thereby, for example, when a salesclerk of a rival store searches for a hot selling product and tries to obtain usage record information for a purpose other than using the history service, it is possible to prevent the information from leaking.

利用記録送信部827は、CPU911などの処理装置を用いて、送信利用記録生成部826が出力した送信利用記録情報を入力する。
利用記録送信部827は、通信装置915を用いて、利用者端末装置100に対して、入力した送信利用記録情報を送信する。 The usage record transmission unit 827 inputs the transmission usage record information output by the transmission usage record generation unit 826 using a processing device such as the CPU 911.
The usage record transmission unit 827 transmits the input transmission usage record information to the user terminal device 100 using the communication device 915.

匿名履歴受信部831は、通信装置915を用いて、利用者端末装置100が送信してきた匿名履歴情報630を受信する。
匿名履歴受信部831は、CPU911などの処理装置を用いて、受信した匿名履歴情報630を出力する。
匿名履歴情報630とは、利用者が過去にサービスを利用した履歴を示す情報であり、利用者端末装置100が生成して、送信する。利用者端末装置100は、利用履歴送信部822が送信した利用履歴情報610を受信して記憶しておくことにより、利用者端末装置100を所持している利用者がサービスを利用した利用履歴情報610をすべて記憶している。利用者端末装置100は、利用記録送信部827が送信した送信利用記録情報に基づいて、記憶した利用履歴情報610のなかから利用者を特定されにくい情報を判別し、匿名履歴情報630を生成する。 The anonymous history receiving unit 831 receives the anonymous history information 630 transmitted by the user terminal device 100 using the communication device 915.
The anonymous history receiving unit 831 outputs the received anonymous history information 630 using a processing device such as the CPU 911.
The anonymous history information 630 is information indicating a history of a user's use of the service in the past, and is generated and transmitted by the user terminal device 100. The user terminal device 100 receives and stores the usage history information 610 transmitted by the usage history transmission unit 822, whereby the usage history information on the use of the service by the user who owns the user terminal device 100 is stored. All 610 are stored. Based on the transmission usage record information transmitted by the usage record transmission unit 827, the user terminal device 100 discriminates information that is difficult to identify the user from the stored usage history information 610 and generates anonymous history information 630. .

サービス情報記憶部832は、磁気ディスク装置920などの記憶装置を用いて、サービス情報を記憶する。
サービス情報とは、利用者に対して提供すべきサービスについての情報である。例えば、商品の値引き情報などである。 The service information storage unit 832 stores service information using a storage device such as the magnetic disk device 920.
Service information is information about services to be provided to users. For example, product discount information.

サービス情報選択部833は、CPU911などの処理装置を用いて、匿名履歴受信部831が出力した匿名履歴情報630を入力する。
サービス情報選択部833は、CPU911などの処理装置を用いて、サービス情報記憶部832が記憶したサービス情報のうち、入力した匿名履歴情報630に基づいて、その利用者にとって有用であろうサービス情報を選択して、入力する。
サービス情報選択部833は、CPU911などの処理装置を用いて、入力したサービス情報を出力する。 The service information selection unit 833 inputs the anonymous history information 630 output by the anonymous history reception unit 831 using a processing device such as the CPU 911.
The service information selection unit 833 uses a processing device such as the CPU 911 to select service information that would be useful to the user based on the input anonymous history information 630 among the service information stored in the service information storage unit 832. Select and enter.
The service information selection unit 833 outputs the input service information using a processing device such as the CPU 911.

サービス情報送信部834は、CPU911などの処理装置を用いて、サービス情報選択部833が出力したサービス情報を入力する。
サービス情報送信部834は、通信装置915を用いて、利用者端末装置100に対して、入力したサービス情報を送信する。
利用者端末装置100は、サービス情報送信部834が送信したサービス情報を受信し、表示装置901に表示するなどして、利用者に通知する。 The service information transmission unit 834 receives the service information output from the service information selection unit 833 using a processing device such as the CPU 911.
The service information transmission unit 834 transmits the input service information to the user terminal device 100 using the communication device 915.
The user terminal device 100 receives the service information transmitted by the service information transmission unit 834 and displays it on the display device 901 to notify the user.

サービス情報には、その店舗が扱っている多数の商品それぞれについての情報がある。利用者は、その店舗が扱っている商品すべてに興味があるとは限らないので、すべてのサービス情報を送信されても迷惑である。自分が買いたい商品についての値引き情報があっても、他の不必要な情報のなかに埋もれて見逃してしまう危険もある。   The service information includes information about each of a large number of products handled by the store. Since the user is not necessarily interested in all the products handled by the store, it is annoying even if all service information is transmitted. Even if there is discount information about a product you want to buy, there is a risk that it will be buried in other unnecessary information and missed.

そこで、サービス情報選択部833は、匿名履歴情報630に基づいて、例えば、過去に利用者が購入したことのある商品を判別し、その商品やその商品に関係のある商品についてのサービス情報を選択する。
これにより、利用者は、厳選された情報のみを見ることができ、有用な情報を見逃す心配がない。 Therefore, the service information selection unit 833 determines, for example, a product that the user has purchased in the past based on the anonymous history information 630, and selects service information about the product or a product related to the product. To do.
Thereby, the user can see only carefully selected information, and there is no worry of missing useful information.

秘密鍵記憶部841は、磁気ディスク装置920などの記憶装置を用いて、サービス提供者の秘密鍵を記憶する。
サービス提供者の秘密鍵とは、サービス提供装置810が利用者端末装置100と通信するために用いる公開鍵暗号方式における秘密鍵であり、サービス提供装置810が他者に知られないよう保管しているものである。 The secret key storage unit 841 stores the secret key of the service provider using a storage device such as the magnetic disk device 920.
The service provider's private key is a secret key in the public key cryptosystem used for the service providing apparatus 810 to communicate with the user terminal apparatus 100, and is stored so that the service providing apparatus 810 is not known to others. It is what.

証明書記憶部842は、磁気ディスク装置920などの記憶装置を用いて、公開鍵証明書を記憶する。
公開鍵証明書とは、サービス提供装置810が利用者端末装置100と通信するために用いる公開鍵暗号方式において、秘密鍵記憶部841が記憶した秘密鍵と対になる公開鍵が、本当にそのサービス提供装置810の秘密鍵と対をなすものであることを証明する情報である。
公開鍵証明書は、サービス提供装置810の秘密鍵と対をなす公開鍵を示す情報を含み、証明書発行機関あるいはその店舗自身が発行する。 The certificate storage unit 842 stores the public key certificate using a storage device such as the magnetic disk device 920.
The public key certificate is a public key encryption method used for the service providing apparatus 810 to communicate with the user terminal apparatus 100, and the public key paired with the private key stored in the private key storage unit 841 is really the service. This is information that proves that it is paired with the secret key of the providing apparatus 810.
The public key certificate includes information indicating a public key paired with the private key of the service providing apparatus 810, and is issued by the certificate issuing organization or the store itself.

図29は、この実施の形態における利用記録記憶部823が記憶するサービス利用記録情報群710の一例を示す図である。
サービス利用記録情報群710は、1以上のサービス利用記録情報711を有する。
サービス利用記録情報711は、ID番号712、共通鍵713、サービス利用記録714などを含む。
ID番号712は、商品購入などのサービス利用時に利用者が用いた可変の匿名IDを示す情報である。ID番号712は、記録識別情報624の一例である。
共通鍵713は、商品購入などのサービス利用時に利用者との通信を暗号化するためにい用いた共通鍵暗号の鍵を示す情報である。
サービス利用記録714は、商品購入などのサービス利用を記録した情報であり、商品コード、個数、購入時刻などが含まれる。
例えば、ID番号712「ID1」のサービス利用記録情報には、そのときの通信に用いた共通鍵が「共通鍵1」であること、そのときに購入した商品が「商品Aが3個」「商品Bが1個」であり、購入時刻が「1月15日10時30分」であることが記録されている。
同様に、ID番号712「ID2」のサービス利用記録情報には、共通鍵が「共通鍵2」、購入した商品が「商品Aが2個」「商品Cが1個」「商品Dが2個」、購入時刻が「1月15日14時15分」であることが記録されている。 FIG. 29 is a diagram showing an example of the service use record information group 710 stored in the use record storage unit 823 in this embodiment.
The service usage record information group 710 includes one or more service usage record information 711.
The service usage record information 711 includes an ID number 712, a common key 713, a service usage record 714, and the like.
The ID number 712 is information indicating a variable anonymous ID used by the user when using a service such as product purchase. The ID number 712 is an example of the record identification information 624.
The common key 713 is information indicating a common key encryption key used for encrypting communication with the user when using a service such as product purchase.
The service usage record 714 is information that records service usage such as product purchase, and includes a product code, the number, the purchase time, and the like.
For example, in the service use record information of ID number 712 “ID1”, the common key used for the communication at that time is “common key 1”, and the product purchased at that time is “product 3”, “ It is recorded that “Product B is 1” and the purchase time is “January 15 10:30”.
Similarly, in the service use record information of ID number 712 “ID2”, the common key is “common key 2”, the purchased product is “two products A”, “one product C”, “two products D”. ", The purchase time is recorded as" January 15 14:15 ".

ID番号712は、そのとき1回限りのサービス利用時に使われるものであり、次回のサービス利用時には、また異なるID番号712を使う。したがって、サービス提供装置810は、ID番号712から利用者を特定することができない。   The ID number 712 is used when the service is used only once, and a different ID number 712 is used when the service is used next time. Therefore, the service providing apparatus 810 cannot identify the user from the ID number 712.

なお、サービス利用記録714に含まれる商品コードは、商品に付されたバーコードが示す情報のように公開された情報ではなく、サービス提供装置810が独自に生成した非公開の情報を用いる。   Note that the product code included in the service usage record 714 is not publicly disclosed information such as the information indicated by the barcode attached to the product, but private information generated by the service providing apparatus 810 independently.

サービス提供装置810は、サービス利用記録情報711を分析することにより、時間帯や季節ごとの売れ筋商品を判別したり、利用者が同時に購入した商品から利用者の購入傾向を判別したりすることができ、経営戦略に役立てることができる。
しかも、サービス提供装置810は、サービス利用記録情報711から利用者を特定できないので、利用者は安心してサービスを利用することができる。 The service providing apparatus 810 may analyze the service usage record information 711 to determine the best selling product for each time zone or season, or may determine the purchase tendency of the user from the products purchased by the user at the same time. Can be used for management strategy.
In addition, since the service providing apparatus 810 cannot identify the user from the service use record information 711, the user can use the service with peace of mind.

図30は、この実施の形態における履歴サービス提供システム800が履歴サービスを提供する履歴サービス提供処理の全体の流れを示すフローチャート図である。   FIG. 30 is a flowchart showing the overall flow of the history service providing process in which the history service providing system 800 in this embodiment provides the history service.

まず、利用者は、履歴サービスの利用登録をする。利用者は、例えば、サービス利用プログラムをダウンロードして、利用者端末装置100に格納する。これにより、履歴サービスを利用する準備が整う。   First, the user registers to use the history service. For example, the user downloads a service use program and stores it in the user terminal device 100. Thus, preparation for using the history service is completed.

次に、利用者が、サービス利用プログラムを格納した利用者端末装置100を持って来店する。
履歴サービス提供システム800は、店舗の入口などに設置されたセンサー端末などによって、利用者の来店を検知する。
サービス提供装置810は、利用者端末装置100との間の通信を確立する(通信確立処理)。 Next, the user visits the store with the user terminal device 100 storing the service use program.
The history service providing system 800 detects the visit of the user by a sensor terminal installed at the entrance of the store.
The service providing device 810 establishes communication with the user terminal device 100 (communication establishment process).

サービス提供装置810と利用者端末装置100との間の通信により、利用者端末装置100にサービス情報が送られる。利用者端末装置100がサービス情報を表示装置901に表示するなどして、利用者にサービス情報が提供される(情報提供処理)。
利用者は、提供されたサービス情報を参考にして、商品を購入する。
サービス提供装置810は、利用者が購入した商品などを示すサービス利用記録情報を生成し、記憶する。サービス提供装置810は、生成したサービス利用記録情報を利用者端末装置100に送信し、利用者端末装置100も、サービス利用記録情報を記憶する(利用記録処理)。 Service information is sent to the user terminal device 100 by communication between the service providing device 810 and the user terminal device 100. The service information is provided to the user by the user terminal device 100 displaying the service information on the display device 901 (information providing process).
The user purchases a product with reference to the provided service information.
The service providing apparatus 810 generates and stores service usage record information indicating products purchased by the user. The service providing apparatus 810 transmits the generated service use record information to the user terminal apparatus 100, and the user terminal apparatus 100 also stores the service use record information (use record process).

利用者が帰ると、サービス提供装置810は、利用者端末装置100との間の通信を切断し、1回の利用が終わる(通信切断処理)。   When the user returns, the service providing apparatus 810 disconnects the communication with the user terminal apparatus 100, and one use ends (communication disconnection process).

利用者が次に来店したときも同様の処理が行われる。サービス提供装置810は、利用者を特定できる情報を有していないので、同じ利用者が再び来店したのか、異なる利用者が来店したのか、区別することはできない。   The same processing is performed when the user next visits the store. Since the service providing apparatus 810 does not have information that can identify the user, it cannot be distinguished whether the same user has visited the store again or a different user has visited the store.

次に、各処理の詳細を説明する。   Next, details of each process will be described.

図31は、この実施の形態における履歴サービス提供システム800が、利用者端末装置100とサービス提供装置810との間の通信を確立する通信確立処理の流れの一例を示すフローチャート図である。   FIG. 31 is a flowchart showing an example of the flow of communication establishment processing in which the history service providing system 800 in this embodiment establishes communication between the user terminal device 100 and the service providing device 810.

T11において、サービス提供装置810が利用者の来店を検知すると、サービス提供装置810は、通信装置915を用いて、利用者端末装置100に対して、証明書記憶部842が記憶した公開鍵証明書を送信する。   When the service providing device 810 detects the visit of the user at T11, the service providing device 810 uses the communication device 915 to store the public key certificate stored in the certificate storage unit 842 with respect to the user terminal device 100. Send.

T12において、利用者端末装置100は、通信装置915を用いて、サービス提供装置810が送信してきた公開鍵証明書を受信する。
利用者端末装置100は、CPU911などの処理装置を用いて、受信した公開鍵証明書を検証し、サービス提供装置810を認証する。 In T <b> 12, the user terminal device 100 receives the public key certificate transmitted from the service providing device 810 using the communication device 915.
The user terminal device 100 verifies the received public key certificate using a processing device such as the CPU 911 and authenticates the service providing device 810.

認証に成功した場合、T13において、利用者端末装置100は、CPU911などの処理装置を用いて、今回の通信に使う共通鍵をランダムに生成する。
利用者端末装置100は、CPU911などの処理装置を用いて、生成した共通鍵を、サービス提供装置810の公開鍵証明書に含まれるサービス提供装置810の公開鍵で暗号化する。
利用者端末装置100は、通信装置915を用いて、サービス提供装置810に対して、暗号化した共通鍵を送信する。 When the authentication is successful, at T13, the user terminal device 100 randomly generates a common key used for the current communication using a processing device such as the CPU 911.
The user terminal device 100 uses a processing device such as the CPU 911 to encrypt the generated common key with the public key of the service providing device 810 included in the public key certificate of the service providing device 810.
The user terminal device 100 transmits the encrypted common key to the service providing device 810 using the communication device 915.

T14において、サービス提供装置810は、通信装置915を用いて、利用者端末装置100が送信してきた暗号化した共通鍵を受信する。
サービス提供装置810は、CPU911などの処理装置を用いて、受信した暗号化した共通鍵を、秘密鍵記憶部841が記憶した秘密鍵で復号し、共通鍵を取得する。 In T14, the service providing apparatus 810 uses the communication apparatus 915 to receive the encrypted common key transmitted from the user terminal apparatus 100.
The service providing apparatus 810 uses a processing device such as the CPU 911 to decrypt the received encrypted common key with the secret key stored in the secret key storage unit 841 and obtain the common key.

この手順により、利用者端末装置100とサービス提供装置810とは共有鍵を共有し、この共有鍵によって暗号化した通信が確立する。以後、通信切断まで、この共有鍵により暗号化した通信により、利用者端末装置100とサービス提供装置810との間の通信が行われる。   Through this procedure, the user terminal device 100 and the service providing device 810 share a shared key, and communication encrypted with the shared key is established. Thereafter, until the communication is disconnected, communication between the user terminal device 100 and the service providing device 810 is performed by communication encrypted with the shared key.

共有鍵は、利用者端末装置100がその都度ランダムに生成し、今回のサービス利用に用いた共有鍵と、次回のサービス利用に用いる共有鍵との間には、何の関連性もない。したがって、サービス提供装置810は、共有鍵に基づいて利用者端末装置100及び利用者を特定することはできない。
また、通信確立処理の過程において、利用者端末装置100の公開鍵など利用者端末装置100を特定できる情報は、サービス提供装置810に送信されていない。したがって、サービス提供装置810は、通信確立処理で得た情報に基づいて利用者端末装置100及び利用者を特定することはできない。 The shared key is randomly generated by the user terminal device 100 each time, and there is no relationship between the shared key used for the current service use and the shared key used for the next service use. Therefore, the service providing apparatus 810 cannot specify the user terminal apparatus 100 and the user based on the shared key.
In addition, information that can identify the user terminal device 100 such as a public key of the user terminal device 100 is not transmitted to the service providing device 810 in the process of establishing communication. Therefore, the service providing apparatus 810 cannot specify the user terminal apparatus 100 and the user based on the information obtained by the communication establishment process.

店内に複数の利用者端末装置100がある場合、サービス提供装置810は、共有鍵によって利用者端末装置100を区別する。したがって、サービス提供装置810が利用者端末装置100を特定しなくとも、サービス提供装置810と利用者端末装置100との間の1対1通信を正常に行うことができる。
共有鍵が衝突する可能性はほとんどないが、万が一衝突した場合には、サービス提供装置810が通信を切断し、通信確立処理を最初からやり直すこととしてもよい。 When there are a plurality of user terminal devices 100 in the store, the service providing device 810 distinguishes the user terminal devices 100 by the shared key. Therefore, the one-to-one communication between the service providing apparatus 810 and the user terminal apparatus 100 can be normally performed without the service providing apparatus 810 specifying the user terminal apparatus 100.
There is almost no possibility that the shared keys will collide, but in the event of a collision, the service providing apparatus 810 may disconnect the communication and restart the communication establishment process from the beginning.

なお、通信確立処理における認証方式・共通鍵共有方式は、非特許文献2に記載の方式など、一般的な方式を用いてもよい。   Note that a general method such as the method described in Non-Patent Document 2 may be used as the authentication method / common key sharing method in the communication establishment process.

T15において、利用者端末装置100は、CPU911などの処理装置を用いて、今回のサービス利用を識別する匿名IDをランダムに生成する。
利用者端末装置100は、通信装置915を用いて、サービス提供装置810に対して、生成した匿名IDを送信する。 In T15, the user terminal device 100 randomly generates an anonymous ID for identifying the current service use, using a processing device such as the CPU 911.
The user terminal device 100 transmits the generated anonymous ID to the service providing device 810 using the communication device 915.

匿名IDは、今回のサービス利用の間に限り、利用者端末装置100を識別する情報である。匿名IDは、利用者端末装置100がその都度ランダムに生成し、今回のサービス利用に用いた匿名IDと、次回のサービス利用に用いる匿名IDとの間には、何の関連性もない。したがって、サービス提供装置810は、今回のサービス利用の間は、匿名IDに基づいて利用者端末装置100を識別できるが、その後は、匿名IDに基づいて利用者端末装置100及び利用者を特定することはできない。   The anonymous ID is information for identifying the user terminal device 100 only during the current service use. The anonymous ID is randomly generated by the user terminal device 100 each time, and there is no relevance between the anonymous ID used for the current service use and the anonymous ID used for the next service use. Therefore, the service providing apparatus 810 can identify the user terminal apparatus 100 based on the anonymous ID during the current service use, but thereafter specifies the user terminal apparatus 100 and the user based on the anonymous ID. It is not possible.

匿名IDは、また、今回のサービス利用をサービス利用記録情報として記録する際に、利用記録記憶部823が記憶したサービス利用記録情報群710のなかでサービス利用記録情報711を識別するID番号712として使用する。   The anonymous ID is also used as an ID number 712 that identifies the service usage record information 711 in the service usage record information group 710 stored in the usage record storage unit 823 when the current service usage is recorded as service usage record information. use.

T16において、サービス提供装置810は、通信装置915を用いて、利用者端末装置100が送信してきた匿名IDを受信する。
サービス提供装置810は、CPU911などの処理装置を用いて、利用記録記憶部823が記憶したサービス利用記録情報711のID番号712を入力する。
サービス提供装置810は、CPU911などの処理装置を用いて、入力したID番号712のなかに、受信した匿名IDと同一のものがないか判断する。 In T16, the service providing apparatus 810 uses the communication apparatus 915 to receive the anonymous ID transmitted by the user terminal apparatus 100.
The service providing device 810 inputs the ID number 712 of the service usage record information 711 stored in the usage record storage unit 823 using a processing device such as the CPU 911.
The service providing apparatus 810 uses a processing apparatus such as the CPU 911 to determine whether the input ID number 712 is identical to the received anonymous ID.

同一のID番号712が既にある場合(匿名IDの衝突)、サービス提供装置810は、通信装置915を用いて、そのことを利用者端末装置100に通知する情報を送信する。
利用者端末装置100は、通信装置915を用いてこれを受信し、CPU911などの処理装置を用いて別の匿名IDを生成し、通信装置915を用いてサービス提供装置810に対して送信する。 When the same ID number 712 already exists (anonymous ID collision), the service providing apparatus 810 uses the communication apparatus 915 to transmit information notifying the user terminal apparatus 100 of this.
The user terminal device 100 receives this using the communication device 915, generates another anonymous ID using a processing device such as the CPU 911, and transmits it to the service providing device 810 using the communication device 915.

同一のID番号712がない場合、T17において、サービス提供装置810は、通信装置915を用いて、そのことを利用者端末装置100に通知する情報を送信し、匿名IDを用いた通信が確立する。以後、通信切断まで、利用者端末装置100は、自己をサービス提供装置810に識別させる情報として、匿名IDを使用する。これにより、店内に複数の利用者端末装置100がある場合でも、サービス提供装置810は、発信元の利用者端末装置100を識別でき、送信先の利用者端末装置100を指定できる。   When there is no identical ID number 712, at T17, the service providing apparatus 810 uses the communication apparatus 915 to transmit information notifying the user terminal apparatus 100 of this, and communication using the anonymous ID is established. . Thereafter, until the communication is disconnected, the user terminal device 100 uses the anonymous ID as information for identifying the service providing device 810 itself. Thereby, even when there are a plurality of user terminal devices 100 in the store, the service providing device 810 can identify the user terminal device 100 that is the transmission source, and can specify the user terminal device 100 that is the transmission destination.

なお、この例では、匿名IDの衝突があるか否かをサービス提供装置810が判断しているが、以下で説明するように、サービス提供装置810は、利用者端末装置100に対してID番号712の一覧を送信するので、利用者端末装置100が匿名IDの衝突があるか否かを判断することもできる。
例えば、この時点では、現在通信中の他の利用者端末装置100との間で匿名IDが衝突していなければよいことにして、これを仮匿名IDとする。その後、利用者端末装置100は、仮匿名IDによる通信により、ID番号712の一覧を受信し、受信したID番号712の一覧から、衝突しない匿名IDを判別する。これを正式な匿名IDとして、サービス提供装置810に送信し、以後は、正式な匿名IDによる通信を行う。 In this example, the service providing apparatus 810 determines whether or not there is an anonymous ID collision. However, as will be described below, the service providing apparatus 810 provides an ID number to the user terminal apparatus 100. Since the list of 712 is transmitted, the user terminal device 100 can also determine whether or not there is an anonymous ID collision.
For example, at this time, it is assumed that the anonymous ID does not have to collide with another user terminal device 100 currently communicating, and this is set as the temporary anonymous ID. Thereafter, the user terminal device 100 receives a list of ID numbers 712 through communication using a temporary anonymous ID, and determines an anonymous ID that does not collide from the received list of ID numbers 712. This is transmitted to the service providing apparatus 810 as a formal anonymous ID, and thereafter communication using the formal anonymous ID is performed.

図32は、この実施の形態における履歴サービス提供システム800が、履歴サービスを提供する情報提供処理の流れの一例を示すフローチャート図である。   FIG. 32 is a flowchart showing an example of a flow of information providing processing in which the history service providing system 800 according to this embodiment provides a history service.

匿名ID一覧送信工程において、記録識別送信部824は、CPU911などの処理装置を用いて、利用記録記憶部823が記憶しているサービス利用記録情報群710に含まれるすべてのID番号712を入力する。
記録識別送信部824は、CPU911などの処理装置を用いて、入力したID番号712の一覧を作成する。
記録識別送信部824は、通信装置915を用いて、利用者端末装置100に対して、作成したID番号712の一覧を送信する。 In the anonymous ID list transmission step, the record identification transmission unit 824 inputs all ID numbers 712 included in the service usage record information group 710 stored in the usage record storage unit 823, using a processing device such as the CPU 911. .
The record identification transmitting unit 824 creates a list of input ID numbers 712 using a processing device such as the CPU 911.
The record identification transmission unit 824 transmits a list of the created ID numbers 712 to the user terminal device 100 using the communication device 915.

匿名ID一覧受信工程において、記録識別受信部113は、通信装置915を用いて、匿名ID一覧送信工程でサービス提供装置810が送信したID番号712の一覧を受信する。
記録識別受信部113は、CPU911などの処理装置を用いて、受信したID番号712の一覧を出力する。 In the anonymous ID list receiving step, the record identification receiving unit 113 uses the communication device 915 to receive a list of ID numbers 712 transmitted by the service providing device 810 in the anonymous ID list transmitting step.
The record identification receiving unit 113 outputs a list of received ID numbers 712 using a processing device such as the CPU 911.

匿名ID選択工程において、記録識別選択部152は、CPU911などの処理装置を用いて、匿名ID一覧受信工程で記録識別受信部113が出力したID番号712の一覧を入力する。
記録識別選択部152は、CPU911などの処理装置を用いて、入力したID番号712の一覧のうち、利用履歴記憶部121が記憶しているサービス利用記録情報群710(利用履歴情報610)に含まれるすべてのID番号712(履歴識別情報614)を選択する。
記録識別選択部152は、CPU911などの処理装置を用いて、入力したID番号712の一覧のうち、更に、それ以外のID番号712を十分な数選択する。
記録識別選択部152は、CPU911などの処理装置を用いて、選択したID番号712のリストを出力する。 In the anonymous ID selection step, the record identification selection unit 152 inputs a list of ID numbers 712 output by the record identification reception unit 113 in the anonymous ID list reception step using a processing device such as the CPU 911.
The record identification selection unit 152 is included in the service use record information group 710 (use history information 610) stored in the use history storage unit 121 in the list of input ID numbers 712 using a processing device such as the CPU 911. All ID numbers 712 (history identification information 614) to be selected are selected.
The recording identification selection unit 152 selects a sufficient number of other ID numbers 712 from the list of input ID numbers 712 using a processing device such as the CPU 911.
The record identification selection unit 152 outputs a list of the selected ID numbers 712 using a processing device such as the CPU 911.

匿名IDサブセット送信工程において、選択識別送信部142は、CPU911などの処理装置を用いて、匿名ID選択工程で記録識別選択部152が出力したID番号712のリストを入力する。
選択識別送信部142は、通信装置915を用いて、サービス提供装置810に対して、入力したID番号712のリストを送信する。 In the anonymous ID subset transmission step, the selection identification transmission unit 142 inputs a list of ID numbers 712 output by the recording identification selection unit 152 in the anonymous ID selection step using a processing device such as the CPU 911.
The selection identification transmission unit 142 transmits the list of the input ID numbers 712 to the service providing apparatus 810 using the communication apparatus 915.

匿名IDサブセット受信工程において、選択識別受信部825は、通信装置915を用いて、匿名IDサブセット送信工程で選択識別送信部142が送信したID番号712のリストを受信する。
選択識別受信部825は、CPU911などの処理装置を用いて、受信したID番号712のリストを出力する。 In the anonymous ID subset receiving step, the selection identification receiving unit 825 receives the list of ID numbers 712 transmitted by the selection identification transmitting unit 142 in the anonymous ID subset transmission step using the communication device 915.
The selection identification receiving unit 825 outputs a list of received ID numbers 712 using a processing device such as the CPU 911.

履歴生成用情報作成工程において、送信利用記録生成部826は、CPU911などの処理装置を用いて、匿名IDサブセット受信工程で選択識別受信部825が出力したID番号712のリストを入力する。
送信利用記録生成部826は、CPU911などの処理装置を用いて、入力したID番号712それぞれについて、利用記録記憶部823が記憶したサービス利用記録情報711を入力する。
送信利用記録生成部826は、CPU911などの処理装置を用いて、入力したサービス利用記録情報711から送信利用記録情報を作成する。
送信利用記録生成部826は、CPU911などの処理装置を用いて、作成した送信利用記録情報を出力する。
なお、送信利用記録情報は、利用者端末装置100が匿名履歴情報630を生成するために使用するものなので、履歴生成用情報と呼ぶ場合がある。 In the history generation information creation step, the transmission use record generation unit 826 inputs a list of ID numbers 712 output by the selection identification reception unit 825 in the anonymous ID subset reception step using a processing device such as the CPU 911.
The transmission usage record generation unit 826 inputs service usage record information 711 stored in the usage record storage unit 823 for each input ID number 712 using a processing device such as the CPU 911.
The transmission usage record generation unit 826 creates transmission usage record information from the input service usage record information 711 using a processing device such as the CPU 911.
The transmission usage record generation unit 826 outputs the generated transmission usage record information using a processing device such as the CPU 911.
Note that the transmission usage record information is used by the user terminal device 100 to generate the anonymous history information 630 and may be referred to as history generation information.

履歴生成用情報送信工程において、利用記録送信部827は、CPU911などの処理装置を用いて、履歴生成用情報作成工程で送信利用記録生成部826が作成した送信利用記録情報を入力する。
利用記録送信部827は、通信装置915を用いて、利用者端末装置100に対して、入力した送信利用記録情報を送信する。 In the history generation information transmission step, the usage record transmission unit 827 inputs the transmission usage record information created by the transmission usage record generation unit 826 in the history generation information creation step using a processing device such as the CPU 911.
The usage record transmission unit 827 transmits the input transmission usage record information to the user terminal device 100 using the communication device 915.

履歴生成用情報受信工程において、利用記録受信部111は、通信装置915を用いて、履歴生成用情報送信工程で利用記録送信部827が送信した送信利用記録情報(暗号化記録情報640)を受信する。
利用記録受信部111は、CPU911などの処理装置を用いて、受信した送信利用記録情報から利用記録情報620を取得する。
利用記録受信部111は、CPU911などの処理装置を用いて、取得した利用記録情報620を出力する。 In the history generation information reception step, the usage record reception unit 111 receives the transmission usage record information (encrypted recording information 640) transmitted by the usage record transmission unit 827 in the history generation information transmission step using the communication device 915. To do.
The usage record receiving unit 111 acquires the usage record information 620 from the received transmission usage record information using a processing device such as the CPU 911.
The usage record receiving unit 111 outputs the acquired usage record information 620 using a processing device such as the CPU 911.

履歴生成用情報検証工程において、信頼性判断部151は、CPU911などの処理装置を用いて、利用記録受信部111が出力した利用記録情報620を入力する。
信頼性判断部151は、CPU911などの処理装置を用いて、入力した利用記録情報620が改竄されていないかを検証する。
利用記録情報620が改竄されていないと、信頼性判断部151が判断した場合は、履歴生成工程を実行する。 In the history generation information verification step, the reliability determination unit 151 inputs the usage record information 620 output from the usage record reception unit 111 using a processing device such as the CPU 911.
The reliability determination unit 151 verifies whether the input usage record information 620 has been tampered with using a processing device such as the CPU 911.
If the reliability determination unit 151 determines that the usage record information 620 has not been tampered with, the history generation process is executed.

履歴生成工程において、匿名履歴判別部130は、CPU911などの処理装置を用いて、利用記録受信部111が出力した利用記録情報620を入力する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、入力した利用記録情報620に基づいて、個々の商品について利用者特定率を算出する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、算出した利用者特定率と、利用者特定率設定情報が示す閾値とを比較して、その商品についての情報の匿名性を判断する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、匿名性が高いと判断した商品についての情報から、匿名履歴情報630を生成する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、生成した匿名履歴情報630を出力する。 In the history generation process, the anonymous history determination unit 130 inputs the usage record information 620 output by the usage record reception unit 111 using a processing device such as the CPU 911.
The anonymous history discriminating unit 130 calculates a user identification rate for each product based on the input usage record information 620 using a processing device such as the CPU 911.
The anonymity history determination unit 130 compares the calculated user identification rate with the threshold indicated by the user identification rate setting information using a processing device such as the CPU 911, and determines the anonymity of information about the product. .
The anonymity history determination unit 130 generates anonymity history information 630 from information about a product determined to have high anonymity using a processing device such as the CPU 911.
The anonymous history discriminating unit 130 outputs the generated anonymous history information 630 using a processing device such as the CPU 911.

履歴送信工程において、匿名履歴送信部141は、CPU911などの処理装置を用いて、履歴生成工程で匿名履歴判別部130が出力した匿名履歴情報630を入力する。
匿名履歴送信部141は、通信装置915を用いて、サービス提供装置810に対して、入力した匿名履歴情報630を送信する。 In the history transmission step, the anonymous history transmission unit 141 inputs the anonymous history information 630 output by the anonymous history determination unit 130 in the history generation step using a processing device such as the CPU 911.
The anonymous history transmitting unit 141 transmits the input anonymous history information 630 to the service providing device 810 using the communication device 915.

匿名履歴判別部130が匿名履歴情報630を出力しない場合、匿名履歴送信部141は、匿名履歴情報630として、空の情報を送信する。
匿名履歴判別部130が匿名履歴情報630を出力しない場合とは、例えば、利用者が商品を購入したことがなく、送信すべき履歴が存在しない場合である。
あるいは、利用記録情報620が改竄されていると信頼性判断部151が判断した結果、匿名履歴判別部130が匿名履歴情報630を出力しない場合もある。
また、購入したことがあるすべての商品について、匿名性が低いと匿名履歴判別部130が判断した結果、匿名履歴情報630を出力しない場合もある。 When the anonymous history determination unit 130 does not output the anonymous history information 630, the anonymous history transmission unit 141 transmits empty information as the anonymous history information 630.
The case where the anonymous history discriminating unit 130 does not output the anonymous history information 630 is, for example, a case where the user has never purchased a product and there is no history to be transmitted.
Alternatively, as a result of the reliability determination unit 151 determining that the usage record information 620 has been tampered with, the anonymous history determination unit 130 may not output the anonymous history information 630.
Moreover, as a result of the anonymous history determination unit 130 determining that anonymity is low for all products that have been purchased, the anonymous history information 630 may not be output.

匿名履歴送信部141は、これらの場合を区別せず、サービス提供装置810に対して、空の情報を送信する。サービス提供装置810に利用者を特定する手がかりを与えないためである。   The anonymous history transmitting unit 141 transmits empty information to the service providing apparatus 810 without distinguishing between these cases. This is because the service providing apparatus 810 is not given a clue for identifying the user.

履歴受信工程において、匿名履歴受信部831は、通信装置915を用いて、履歴送信工程で利用者端末装置100が送信した匿名履歴情報630を受信する。
匿名履歴受信部831は、CPU911などの処理装置を用いて、受信した匿名履歴情報630を出力する。 In the history receiving step, the anonymous history receiving unit 831 receives the anonymous history information 630 transmitted by the user terminal device 100 in the history transmitting step using the communication device 915.
The anonymous history receiving unit 831 outputs the received anonymous history information 630 using a processing device such as the CPU 911.

サービス情報選択工程において、サービス情報選択部833は、CPU911などの処理装置を用いて、履歴受信工程で匿名履歴受信部831が出力した匿名履歴情報630を入力する。
サービス情報選択部833は、CPU911などの処理装置を用いて、入力した匿名履歴情報630を分析して、利用者が購入したことがある商品などのサービス利用履歴を取得する。
サービス情報選択部833は、CPU911などの処理装置を用いて、取得したサービス利用履歴に基づいて、サービス情報記憶部832が記憶したサービス情報のなかから、その利用者にとって有用そうな情報を選択する。
サービス情報選択部833は、CPU911などの処理装置を用いて、選択したサービス情報を出力する。 In the service information selection step, the service information selection unit 833 inputs the anonymous history information 630 output by the anonymous history reception unit 831 in the history reception step using a processing device such as the CPU 911.
The service information selection unit 833 analyzes the input anonymous history information 630 by using a processing device such as the CPU 911 and acquires a service usage history such as a product that the user has purchased.
The service information selection unit 833 uses a processing device such as the CPU 911 to select information that is likely to be useful to the user from the service information stored in the service information storage unit 832 based on the acquired service usage history. .
The service information selection unit 833 outputs the selected service information using a processing device such as the CPU 911.

サービス情報送信工程において、サービス情報送信部834は、CPU911などの処理装置を用いて、サービス情報選択工程でサービス情報選択部833が出力したサービス情報を入力する。
サービス情報送信部834は、通信装置915を用いて、利用者端末装置100に対して、入力したサービス情報を送信する。 In the service information transmission step, the service information transmission unit 834 inputs the service information output by the service information selection unit 833 in the service information selection step using a processing device such as the CPU 911.
The service information transmission unit 834 transmits the input service information to the user terminal device 100 using the communication device 915.

サービス情報受信工程において、利用者端末装置100は、通信装置915を用いて、サービス情報送信工程でサービス情報送信部834が送信したサービス情報を受信する。   In the service information receiving process, the user terminal device 100 receives the service information transmitted by the service information transmitting unit 834 in the service information transmitting process using the communication device 915.

サービス情報表示工程において、利用者端末装置100は、表示装置901を用いて、サービス情報受信工程で受信したサービス情報を表示する。   In the service information display step, the user terminal device 100 uses the display device 901 to display the service information received in the service information reception step.

図33は、この実施の形態における履歴サービス提供システム800において、サービス提供装置810と利用者端末装置100とがやり取りする情報の一例を示す図である。   FIG. 33 is a diagram illustrating an example of information exchanged between the service providing apparatus 810 and the user terminal apparatus 100 in the history service providing system 800 according to this embodiment.

サービス提供装置810の利用記録記憶部823は、図29に示したサービス利用記録情報群710を記憶しているものとする。
利用記録記憶部823は、「ID1」「ID2」「ID3」「ID4」「ID5」の5つのサービス利用記録情報711を記憶している。 It is assumed that the usage record storage unit 823 of the service providing apparatus 810 stores the service usage record information group 710 shown in FIG.
The usage record storage unit 823 stores five pieces of service usage record information 711 of “ID1”, “ID2”, “ID3”, “ID4”, and “ID5”.

利用者端末装置100の利用履歴記憶部121は、このうち「ID3」「ID5」のサービス利用記録情報711を、利用履歴情報610として記憶している。
すなわち、この2回のサービス利用記録は、この利用者端末装置100を所持している利用者のものである。しかし、サービス提供装置810は、そのことを知らない。 Of these, the usage history storage unit 121 of the user terminal device 100 stores service usage record information 711 of “ID3” and “ID5” as usage history information 610.
That is, these two service usage records are those of the user who possesses this user terminal device 100. However, the service providing apparatus 810 does not know that.

記録識別送信部824は、利用記録記憶部823が記憶したサービス利用記録情報群710に含まれるID番号712をすべて一覧にして、利用者端末装置100に対して送信する。この例では、記録識別送信部824が送信するID番号712の一覧は、「ID1」「ID2」「ID3」「ID4」「ID5」の5つのID番号712からなる。
記録識別受信部113は、記録識別送信部824が送信したID番号712の一覧を受信する。 The record identification transmission unit 824 lists all the ID numbers 712 included in the service usage record information group 710 stored in the usage record storage unit 823 and transmits the list to the user terminal device 100. In this example, the list of ID numbers 712 transmitted by the record identification transmission unit 824 includes five ID numbers 712 of “ID1”, “ID2”, “ID3”, “ID4”, and “ID5”.
The record identification receiving unit 113 receives the list of ID numbers 712 transmitted by the record identification transmitting unit 824.

記録識別選択部152は、記録識別受信部113が受信したID番号712の一覧のなかからID番号712を選択する。この例では、記録識別選択部152は、利用履歴記憶部121が記憶したサービス利用記録情報711に含まれるID番号712である「ID3」「ID5」を選択し、更に、それ以外のID番号712から「ID2」「ID4」を選択する。   The record identification selecting unit 152 selects the ID number 712 from the list of ID numbers 712 received by the record identification receiving unit 113. In this example, the record identification selection unit 152 selects “ID3” and “ID5”, which are ID numbers 712 included in the service usage record information 711 stored in the usage history storage unit 121, and other ID numbers 712. “ID2” and “ID4” are selected.

選択識別送信部142は、記録識別選択部152が選択したID番号712のリストを、サービス提供装置810に対して送信する。この例では、選択識別送信部142が送信するID番号のリストは、「ID2」「ID3」「ID4」「ID5」の4つのID番号712からなる。
選択識別受信部825は、選択識別送信部142が送信したID番号712のリストを受信する。 The selection identification transmission unit 142 transmits the list of ID numbers 712 selected by the recording identification selection unit 152 to the service providing apparatus 810. In this example, the list of ID numbers transmitted by the selection identification transmitter 142 includes four ID numbers 712 of “ID2”, “ID3”, “ID4”, and “ID5”.
The selection identification receiving unit 825 receives the list of ID numbers 712 transmitted by the selection identification transmission unit 142.

図34は、この実施の形態における送信利用記録生成部826が生成する履歴生成用情報740の一例を示す図である。   FIG. 34 is a diagram showing an example of history generation information 740 generated by the transmission usage record generation unit 826 in this embodiment.

送信利用記録生成部826が生成する履歴生成用情報740は、サービス情報群741と検証用情報群751とからなる。
サービス情報群741は、1以上のサービス記録情報742からなる。
サービス記録情報742は、利用記録記憶部823が記憶したサービス利用記録情報711に対応する情報である。サービス記録情報742は、利用記録記憶部823が記憶したサービス利用記録情報群710において、選択識別受信部825が受信したID番号712のリストに含まれるID番号712によって識別されるサービス利用記録情報711に基づいて、送信利用記録生成部826が生成する。
サービス記録情報742は、ID番号743と暗号化個別サービス情報群744とからなる。
ID番号743は、元のサービス利用記録情報711のID番号712である。
暗号化個別サービス情報群744は、元のサービス利用記録情報711のサービス利用記録714から生成した情報である。暗号化個別サービス情報群744は、暗号化変換情報群の一例である。
暗号化個別サービス情報群744は、1以上の暗号化個別サービス情報745からなる。
暗号化個別サービス情報745は、サービス利用記録714に含まれる商品コード、購入個数などを暗号化して生成した情報である。暗号化個別サービス情報745は、暗号化変換情報の一例である。
ここで、「E」は「暗号化」を意味し、「E(…)」は、暗号化の結果生成されたデータを示す。「E」の添え字は暗号化に用いた共通鍵を意味し、例えば「E」は、「共通鍵2」による暗号化を示す。
例えば、「E(商品A:2:4:3:15)」は、「商品A:2:4:3:15」というデータ(文字列)を、「共通鍵2」で暗号化して生成したデータを示す。
送信利用記録生成部826は、サービス利用記録情報711の共通鍵713で暗号化することにより、暗号化個別サービス情報745を生成する。 The history generation information 740 generated by the transmission usage record generation unit 826 includes a service information group 741 and a verification information group 751.
The service information group 741 includes one or more service record information 742.
The service record information 742 is information corresponding to the service use record information 711 stored in the use record storage unit 823. The service record information 742 is service use record information 711 identified by the ID number 712 included in the list of ID numbers 712 received by the selection identification receiving unit 825 in the service use record information group 710 stored in the use record storage unit 823. Is generated by the transmission usage record generation unit 826.
The service record information 742 includes an ID number 743 and an encrypted individual service information group 744.
The ID number 743 is the ID number 712 of the original service usage record information 711.
The encrypted individual service information group 744 is information generated from the service usage record 714 of the original service usage record information 711. The encrypted individual service information group 744 is an example of an encrypted conversion information group.
The encrypted individual service information group 744 includes one or more encrypted individual service information 745.
The encrypted individual service information 745 is information generated by encrypting the product code, purchase quantity, and the like included in the service usage record 714. The encrypted individual service information 745 is an example of encryption conversion information.
Here, “E” means “encryption”, and “E (...)” Indicates data generated as a result of encryption. The subscript “E” means a common key used for encryption. For example, “E 2 ” indicates encryption using “common key 2”.
For example, “E 2 (Product A: 2: 4: 3: 15)” is generated by encrypting the data (character string) “Product A: 2: 4: 3: 15” with “Common Key 2”. Data is shown.
The transmission usage record generation unit 826 generates encrypted individual service information 745 by encrypting with the common key 713 of the service usage record information 711.

なお、暗号化個別サービス情報745をそれぞれ暗号化するのではなく、暗号化個別サービス情報群744全体を暗号化してもよい。   Instead of encrypting the encrypted individual service information 745, the entire encrypted individual service information group 744 may be encrypted.

利用者端末装置100の利用履歴記憶部121は、サービス利用記録情報711のなかに共通鍵713を記憶しているので、利用者端末装置100は、自己の利用記録であるサービス利用記録情報711から生成したサービス記録情報742に含まれる暗号化個別サービス情報群744を復号して、商品コード、購入個数などを取得することができる。しかし、他の利用者の利用記録であるサービス利用記録情報711から生成したサービス記録情報742に含まれる暗号化個別サービス情報群744は、共通鍵がわからないので、復号することができない。   Since the usage history storage unit 121 of the user terminal device 100 stores the common key 713 in the service usage record information 711, the user terminal device 100 uses the service usage record information 711 that is its own usage record. The encrypted individual service information group 744 included in the generated service record information 742 can be decrypted to obtain a product code, the number of purchases, and the like. However, the encrypted individual service information group 744 included in the service record information 742 generated from the service use record information 711 that is the use record of another user cannot be decrypted because the common key is not known.

検証用情報群751は、1以上の検証用情報752からなる。
検証用情報752は、利用記録記憶部823が記憶したサービス利用記録情報711に対応する情報である。検証用情報752は、利用記録記憶部823が記憶したサービス利用記録情報群710において、選択識別受信部825が受信したID番号712のリストに含まれるID番号712によって識別されるサービス利用記録情報711に基づいて、送信利用記録生成部826が生成する。 The verification information group 751 includes one or more verification information 752.
The verification information 752 is information corresponding to the service usage record information 711 stored in the usage record storage unit 823. The verification information 752 is the service usage record information 711 identified by the ID number 712 included in the list of ID numbers 712 received by the selection identification receiving unit 825 in the service usage record information group 710 stored in the usage record storage unit 823. Is generated by the transmission usage record generation unit 826.

検証用情報752は、サービス記録情報742と異なり、ID番号を含まない。したがって、検証用情報752がどのサービス利用記録情報711から生成したものであるか、検証用情報752を見ただけではわからない。
送信利用記録生成部826は、検証用情報752をランダムな順番に並べて、検証用情報群751を生成する。したがって、検証用情報752の順番から、どのサービス利用記録情報711から生成したものであるかを知ることもできない。 Unlike the service record information 742, the verification information 752 does not include an ID number. Therefore, it is not known from which service usage record information 711 the verification information 752 is generated from just looking at the verification information 752.
The transmission use record generation unit 826 generates the verification information group 751 by arranging the verification information 752 in a random order. Therefore, it is impossible to know which service usage record information 711 is generated from the order of the verification information 752.

検証用情報752は、個別サービス情報検証用情報群753、個別サービス個数算出用情報群755からなる。
個別サービス情報検証用情報群753は、1以上の個別サービス情報検証用情報754からなる。
個別サービス情報検証用情報754は、サービス記録情報742が改竄されていないかを利用者端末装置100が検証するための情報である。
個別サービス情報検証用情報754は、元のサービス利用記録情報711のID番号712、サービス利用記録714に含まれる商品コード、購入個数などから生成したハッシュ値である。
ここで、「H」は「ハッシュ関数」を意味し、「H(…)」は、ハッシュ関数により算出したハッシュ値を示す。例えば、「H(ID3,C,0)」は、「ID3,C,0」というデータ(文字列)から算出したハッシュ値を示す。
この例では、ID番号、商品コード、購入個数を「,」で区切って連結した文字列をハッシュ関数の引数としている。 The verification information 752 includes an individual service information verification information group 753 and an individual service number calculation information group 755.
The individual service information verification information group 753 includes one or more pieces of individual service information verification information 754.
The individual service information verification information 754 is information for the user terminal device 100 to verify whether the service record information 742 has been tampered with.
The individual service information verification information 754 is a hash value generated from the ID number 712 of the original service usage record information 711, the product code included in the service usage record 714, the number of purchases, and the like.
Here, “H” means “hash function”, and “H (...)” Indicates a hash value calculated by the hash function. For example, “H (ID3, C, 0)” indicates a hash value calculated from data (character string) “ID3, C, 0”.
In this example, a character string obtained by connecting an ID number, a product code, and the number of purchases separated by “,” is used as an argument of the hash function.

個別サービス情報検証用情報754は、送信利用記録生成部826が、商品の種別ごとに別々に生成する。この例では、商品の種別として、「商品A」「商品B」「商品C」「商品D」の4つがあるので、1つの個別サービス情報検証用情報群753は4つの個別サービス情報検証用情報754から構成される。元のサービス利用記録情報711のサービス利用記録714に、その商品を購入したことが記録されていない場合には、購入個数が「0」であるものとして、送信利用記録生成部826が個別サービス情報検証用情報754を生成する。   The individual service information verification information 754 is generated separately by the transmission usage record generation unit 826 for each type of product. In this example, since there are four types of products, “product A”, “product B”, “product C”, and “product D”, one individual service information verification information group 753 includes four pieces of information for individual service information verification. 754. If the service usage record 714 of the original service usage record information 711 does not record that the product has been purchased, the transmission usage record generation unit 826 assumes that the purchase number is “0” and the transmission usage record generation unit 826 determines the individual service information Verification information 754 is generated.

送信利用記録生成部826は、個別サービス情報検証用情報754をランダムな順番に並べて、個別サービス情報検証用情報群753を生成する。したがって、個別サービス情報検証用情報群753における個別サービス情報検証用情報754の位置から、その個別サービス情報検証用情報754がどの商品についてのものであるかを知ることはできない。
ただし、1つの検証用情報群751に含まれる個別サービス情報検証用情報群753において、送信利用記録生成部826は、同じ順番に個別サービス情報検証用情報754を並べて、個別サービス情報検証用情報群753を生成する。 The transmission usage record generation unit 826 generates the individual service information verification information group 753 by arranging the individual service information verification information 754 in a random order. Accordingly, it is impossible to know which product the individual service information verification information 754 belongs to from the position of the individual service information verification information 754 in the individual service information verification information group 753.
However, in the individual service information verification information group 753 included in one verification information group 751, the transmission usage record generation unit 826 arranges the individual service information verification information 754 in the same order, and the individual service information verification information group 753 is generated.

個別サービス個数算出用情報群755は、他の利用者の利用記録であるサービス利用記録情報711について、共通鍵713を知らないために暗号化個別サービス情報群744を復号できない利用者端末装置100が、購入個数など利用したサービスの内容を取得できるように構成した情報である。個別サービス個数算出用情報群755は、個別サービス内容取得用情報群の一例である。
個別サービス個数算出用情報群755は、1以上の個別サービス個数算出用情報756からなる。
個別サービス個数算出用情報756は、送信利用記録生成部826がサービス利用記録情報711に基づいて、商品の種別ごとに生成する。この例では、商品の種別が4つあるので、1つの個別サービス個数算出用情報群755は、4つの個別サービス個数算出用情報756から構成される。個別サービス個数算出用情報756は、個別サービス内容取得用情報の一例である。
送信利用記録生成部826は、個別サービス個数算出用情報756をランダムな順番に並べて、個別サービス個数算出用情報群755を生成する。個別サービス個数算出用情報群755における個別サービス個数算出用情報756の順番と、個別サービス情報検証用情報群753における個別サービス情報検証用情報754の順番とは、無関係である。したがって、個別サービス個数算出用情報群755における個別サービス個数算出用情報756の位置から、その個別サービス個数算出用情報756がどの商品についてのものであるかを知ることはできない。
ただし、1つの検証用情報群751に含まれる個別サービス個数算出用情報群755において、送信利用記録生成部826は、同じ順番に個別サービス個数算出用情報756を並べて、個別サービス個数算出用情報群755を生成する。 The information group 755 for calculating the number of individual services includes a user terminal device 100 that cannot decrypt the encrypted individual service information group 744 because the user does not know the common key 713 for the service usage record information 711 that is a usage record of another user. This is information configured so that the contents of the service used, such as the number of purchases, can be acquired. The individual service number calculation information group 755 is an example of an individual service content acquisition information group.
The individual service number calculation information group 755 includes one or more individual service number calculation information 756.
The individual service number calculation information 756 is generated for each type of product by the transmission usage record generation unit 826 based on the service usage record information 711. In this example, since there are four types of products, one individual service number calculation information group 755 includes four pieces of individual service number calculation information 756. The individual service number calculation information 756 is an example of individual service content acquisition information.
The transmission usage record generation unit 826 generates the individual service number calculation information group 755 by arranging the individual service number calculation information 756 in a random order. The order of the individual service number calculation information 756 in the individual service number calculation information group 755 and the order of the individual service information verification information 754 in the individual service information verification information group 753 are irrelevant. Therefore, from the position of the individual service number calculation information 756 in the individual service number calculation information group 755, it is impossible to know which product the individual service number calculation information 756 belongs to.
However, in the individual service number calculation information group 755 included in one verification information group 751, the transmission usage record generation unit 826 arranges the individual service number calculation information 756 in the same order, and the individual service number calculation information group 755 is generated.

次に、暗号化個別サービス情報745、個別サービス情報検証用情報754、個別サービス個数算出用情報756について詳しく説明する。   Next, the encrypted individual service information 745, the individual service information verification information 754, and the individual service number calculation information 756 will be described in detail.

図35は、この実施の形態における送信利用記録生成部826が、暗号化個別サービス情報745、個別サービス情報検証用情報754、個別サービス個数算出用情報756を生成する生成方法を説明するための図である。   FIG. 35 is a diagram for explaining a generation method in which the transmission usage record generation unit 826 in this embodiment generates encrypted individual service information 745, individual service information verification information 754, and individual service number calculation information 756. It is.

送信利用記録生成部826が、暗号化個別サービス情報745を生成するために共通鍵713で暗号化するデータは、商品コード715、購入個数716、検証用位置761、算出用位置762、算出用数値763からなる。
商品コード715は、元のサービス利用記録情報711のサービス利用記録714に含まれる商品コードである。
購入個数716は、元のサービス利用記録情報711のサービス利用記録714に含まれれる購入個数である。 Data to be encrypted with the common key 713 by the transmission usage record generation unit 826 to generate the encrypted individual service information 745 includes a product code 715, a purchase quantity 716, a verification position 761, a calculation position 762, and a numerical value for calculation. 763.
The product code 715 is a product code included in the service usage record 714 of the original service usage record information 711.
The purchase quantity 716 is the purchase quantity included in the service usage record 714 of the original service usage record information 711.

検証用位置761は、その商品についての個別サービス情報検証用情報754が個別サービス情報検証用情報群753のなかのどこにあるかを示す情報である。この例では、商品Aについての個別サービス情報検証用情報754は、個別サービス情報検証用情報群753のなかの個別サービス情報検証用情報754のうち4番目に位置するので、検証用位置761は「4」である。   The verification position 761 is information indicating where the individual service information verification information 754 for the product is in the individual service information verification information group 753. In this example, since the individual service information verification information 754 for the product A is located in the fourth of the individual service information verification information 754 in the individual service information verification information group 753, the verification position 761 is “ 4 ".

算出用位置762は、その商品についての個別サービス個数算出用情報756が個別サービス個数算出用情報群755のなかのどこにあるかを示す情報である。この例では、商品Aについての個別サービス個数算出用情報756は、個別サービス個数算出用情報群755のなかの個別サービス個数算出用情報756のうち3番目に位置するので、算出用位置762は「3」である。   The calculation position 762 is information indicating where the individual service number calculation information 756 for the product is in the individual service number calculation information group 755. In this example, since the individual service number calculation information 756 for the product A is located in the third of the individual service number calculation information 756 in the individual service number calculation information group 755, the calculation position 762 is “ 3 ".

算出用数値763は、個別サービス個数算出用情報756を算出するために用いる数値である。
検証用位置761及び算出用位置762及び算出用数値763は、サービス変換情報の一例である。また、算出用数値763は、サービス暗号鍵の一例である。 The calculation numerical value 763 is a numerical value used for calculating the individual service number calculation information 756.
The verification position 761, the calculation position 762, and the calculation numerical value 763 are examples of service conversion information. The numerical value for calculation 763 is an example of a service encryption key.

送信利用記録生成部826は、これらの情報を含むデータを、共通鍵713で暗号化して暗号化個別サービス情報745を生成する。   The transmission usage record generation unit 826 encrypts data including these pieces of information with the common key 713 to generate encrypted individual service information 745.

送信利用記録生成部826が、個別サービス情報検証用情報754を生成するための元となるデータは、ID番号712、商品コード715、購入個数716からなる。
送信利用記録生成部826は、ID番号712、商品コード715、購入個数716からなるデータのハッシュ値を算出して、個別サービス情報検証用情報754を生成する。 Data from which the transmission usage record generating unit 826 generates the individual service information verification information 754 includes an ID number 712, a product code 715, and a purchase quantity 716.
The transmission usage record generation unit 826 calculates a hash value of data including the ID number 712, the product code 715, and the purchase quantity 716, and generates individual service information verification information 754.

送信利用記録生成部826は、算出したハッシュ値(=個別サービス情報検証用情報754)に、購入個数716を加え、更に、算出用数値763を整数倍したものを加えて、個別サービス個数算出用情報756を生成する。   The transmission usage record generation unit 826 adds the purchase number 716 to the calculated hash value (= individual service information verification information 754), and further adds an integer multiple of the calculation value 763 to calculate the number of individual services. Information 756 is generated.

この例において、送信利用記録生成部826は、ID番号712「ID2」、商品コード715「商品A」、購入個数716「2」から、ハッシュ値「H(ID2,A,2)」を算出して、個別サービス情報検証用情報754とし、それに購入個数716「2」を加え、更に、算出用数値763「15」の5倍である「75」を加えて、個別サービス個数算出用情報756とする。
送信利用記録生成部826は、生成した個別サービス情報検証用情報754を、検証用位置761が示す位置に並べて、個別サービス情報検証用情報群753を生成する。同様に、送信利用記録生成部826は、生成した個別サービス個数算出用情報756を、算出用位置762が示す位置に並べて、個別サービス個数算出用情報群755を生成する。 In this example, the transmission usage record generation unit 826 calculates the hash value “H (ID2, A, 2)” from the ID number 712 “ID2”, the product code 715 “product A”, and the purchase quantity 716 “2”. The individual service information verification information 754 is added with the purchase quantity 716 “2”, and further added with “75”, which is five times the numerical value for calculation 763 “15”. To do.
The transmission usage record generating unit 826 generates the individual service information verification information group 753 by arranging the generated individual service information verification information 754 at the position indicated by the verification position 761. Similarly, the transmission usage record generation unit 826 generates the individual service number calculation information group 755 by arranging the generated individual service number calculation information 756 at the position indicated by the calculation position 762.

次に、このようにして生成した履歴生成用情報740を、利用者端末装置100がどのように復元するかについて説明する。   Next, how the user terminal device 100 restores the history generation information 740 generated in this way will be described.

図33において、選択識別送信部142は、4つのID番号712「ID2」「ID3」「ID4」「ID5」からなるリストを、サービス提供装置810に対して送信する。
サービス提供装置810では、選択識別受信部825がこれを受信し、送信利用記録生成部826がこれに対応する履歴生成用情報740を生成する。図34が生成された履歴生成用情報740である。利用記録送信部827が、利用者端末装置100に対して、履歴生成用情報740を送信する。 In FIG. 33, the selection identification transmission unit 142 transmits a list including four ID numbers 712 “ID2”, “ID3”, “ID4”, and “ID5” to the service providing apparatus 810.
In the service providing apparatus 810, the selection identification receiving unit 825 receives this, and the transmission use record generating unit 826 generates history generation information 740 corresponding thereto. FIG. 34 shows the generated history generation information 740. The usage record transmission unit 827 transmits history generation information 740 to the user terminal device 100.

利用者端末装置100の利用記録受信部111が、通信装置915を用いて、履歴生成用情報740を受信する。
利用記録受信部111は、CPU911などの処理装置を用いて、受信した履歴生成用情報740に含まれるサービス情報群741のなかから、利用履歴記憶部121が記憶したサービス利用記録情報群710に含まれるID番号712と一致するID番号743を有するサービス記録情報742を抽出する。
この例において、利用記録受信部111は、「ID3」と「ID5」の2つのサービス記録情報742を抽出する。 The usage record receiving unit 111 of the user terminal device 100 receives the history generation information 740 using the communication device 915.
The usage record receiving unit 111 is included in the service usage record information group 710 stored in the usage history storage unit 121 from the service information group 741 included in the received history generation information 740 using a processing device such as the CPU 911. Service record information 742 having an ID number 743 that matches the ID number 712 to be extracted is extracted.
In this example, the usage record receiver 111 extracts two pieces of service record information 742 of “ID3” and “ID5”.

利用記録受信部111は、CPU911などの処理装置を用いて、抽出したサービス記録情報742に含まれる暗号化個別サービス情報745を、対応する共通鍵713で復号し、元のデータを取得する。
この例において、利用記録受信部111は、「ID3」のサービス記録情報742から、「商品A:2:4:3:15」と「商品B:2:2:1:13」を取得し、「ID5」のサービス記録情報742から、「商品A:2:4:3:15」と「商品C:1:1:2:11」を取得する。
利用記録受信部111は、これに基づいて、「商品A」についての検証用位置761「4」、算出用位置762「3」、算出用数値763「15」を取得する。同様に、「商品B」についての検証用位置761「2」、算出用位置762「1」、算出用数値763「13」、「商品C」についての検証用位置761「1」、算出用位置762「2」、算出用数値763「11」を取得する。
利用記録受信部111は、「商品D」についての検証用位置761などは取得できない。利用者が「商品D」を購入したことがないので、「ID3」や「ID5」のサービス記録情報742には、「商品D」についての情報は含まれていない。「ID2」や「ID4」のサービス記録情報742には、「商品D」についての情報が含まれているが、利用履歴記憶部121が「ID2」や「ID4」に対応する共通鍵713を記憶していないので、復号することができない。 The usage record receiving unit 111 uses a processing device such as the CPU 911 to decrypt the encrypted individual service information 745 included in the extracted service record information 742 with the corresponding common key 713 to obtain the original data.
In this example, the usage record receiving unit 111 acquires “product A: 2: 4: 3: 15” and “product B: 2: 2: 1: 13” from the service record information 742 of “ID3”. From the service record information 742 of “ID5”, “product A: 2: 4: 3: 15” and “product C: 1: 1: 2: 11” are acquired.
Based on this, the usage record receiving unit 111 acquires a verification position 761 “4”, a calculation position 762 “3”, and a calculation numerical value 763 “15” for “product A”. Similarly, a verification position 761 “2”, a calculation position 762 “1”, a calculation numerical value 763 “13” for “product B”, a verification position 761 “1” for “product C”, and a calculation position 762 “2” and a numerical value for calculation 763 “11” are acquired.
The usage record receiver 111 cannot obtain the verification position 761 for “product D”. Since the user has never purchased “product D”, the service record information 742 of “ID3” and “ID5” does not include information on “product D”. The service record information 742 of “ID2” and “ID4” includes information about “product D”, but the usage history storage unit 121 stores a common key 713 corresponding to “ID2” and “ID4”. I can't decrypt it.

また、利用記録受信部111は、「ID3」のサービス記録情報742に基づいて、商品コード715「商品A」、購入個数716「2」を取得する。また、商品コード715「商品B」、購入個数716「2」を取得する。同様に、「ID5」のサービス記録情報742に基づいて、商品コード715「商品A」、購入個数716「2」、商品コード715「商品C」、購入個数716「1」を取得する。   Further, the usage record receiving unit 111 acquires the product code 715 “product A” and the purchase quantity 716 “2” based on the service record information 742 of “ID3”. Also, the product code 715 “product B” and the purchase quantity 716 “2” are acquired. Similarly, the product code 715 “product A”, the purchase number 716 “2”, the product code 715 “product C”, and the purchase number 716 “1” are acquired based on the service record information 742 of “ID5”.

信頼性判断部151は、CPU911などの処理装置を用いて、利用記録受信部111が取得した商品コード715及び購入個数716を、利用履歴記憶部121が記憶したサービス利用記録情報711と照合し、合っているかどうか検証する。合っていなければ、履歴生成用情報740が信頼できないと判断する。   The reliability determination unit 151 uses a processing device such as the CPU 911 to collate the product code 715 and the purchase quantity 716 acquired by the usage record reception unit 111 with the service usage record information 711 stored in the usage history storage unit 121, Verify that it matches. If not, it is determined that the history generation information 740 is not reliable.

信頼性判断部151は、更に詳しく検証するため、CPU911などの処理装置を用いて、ID番号743「ID3」、商品コード715「商品A」、購入個数716「2」をもとにハッシュ値「H(ID3,A,2)」を算出する。
検証用情報群751のなかで、検証用情報752はランダムな順番に並んでいるので、「ID3」についての検証用情報752がどれかはわからない。しかし、サービス記録情報742を解読した結果、「商品A」についての個別サービス情報検証用情報754は、個別サービス情報検証用情報群753のなかの4番目にあることがわかっている。 The reliability determination unit 151 uses a processing device such as the CPU 911 to verify the hash value “ID3” based on the ID number 743 “ID3”, the product code 715 “product A”, and the purchase quantity 716 “2”. H (ID3, A, 2) "is calculated.
Since the verification information 752 is arranged in a random order in the verification information group 751, it is not known which of the verification information 752 for “ID3” is. However, as a result of decoding the service record information 742, it is known that the individual service information verification information 754 for the “product A” is the fourth in the individual service information verification information group 753.

信頼性判断部151は、CPU911などの処理装置を用いて、検証用情報群751に含まれる検証用情報752のなかから、個別サービス情報検証用情報群753の4番目の個別サービス情報検証用情報754が、算出したハッシュ値「H(ID3,A,2)」と一致するものを検索する。
この例では、検証用情報群751のなかの1番目の検証用情報752が条件に合致する。
信頼性判断部151は、CPU911などの処理装置を用いて、これが「ID3」についての検証用情報752であるか、更に詳しく検証する。
信頼性判断部151は、CPU911などの処理装置を用いて、他の商品についてもハッシュ値を算出する。「商品B」については「H(ID3,B,2)」を、「商品C」については「H(ID3,C,0)」を算出する。なお、購入したことのない「商品D」については、商品コードが不明なので、信頼性判断部151はハッシュ値「H(ID3,D,0)」を算出することができない。
「商品B」についての個別サービス情報検証用情報754は、個別サービス情報検証用情報群753のなかの2番目にあることがわかっているので、信頼性判断部151は、CPU911などの処理装置を用いて、算出したハッシュ値「H(ID3,B,2)」と、2番目の個別サービス情報検証用情報754とを比較して、一致することを確認する。
「商品C」についても同様に、信頼性判断部151は、CPU911などの処理装置を用いて、算出したハッシュ値「H(ID3、C,0)」と、1番目の個別サービス情報検証用情報754とを比較して、一致することを確認する。
これで、この検証用情報752が「ID3」についてのものであることが確認できる。 The reliability determination unit 151 uses the processing device such as the CPU 911 to check the fourth individual service information verification information in the individual service information verification information group 753 from the verification information 752 included in the verification information group 751. 754 searches for a match with the calculated hash value “H (ID3, A, 2)”.
In this example, the first verification information 752 in the verification information group 751 matches the condition.
The reliability determination unit 151 uses a processing device such as the CPU 911 to verify in more detail whether this is verification information 752 for “ID3”.
The reliability determination unit 151 calculates a hash value for other products using a processing device such as the CPU 911. “H (ID3, B, 2)” is calculated for “product B”, and “H (ID3, C, 0)” is calculated for “product C”. In addition, since the product code is unknown for “product D” that has not been purchased, the reliability judgment unit 151 cannot calculate the hash value “H (ID3, D, 0)”.
Since it is known that the individual service information verification information 754 for “product B” is second in the individual service information verification information group 753, the reliability determination unit 151 uses a processing device such as the CPU 911. The calculated hash value “H (ID3, B, 2)” is compared with the second individual service information verification information 754 to confirm that they match.
Similarly for “product C”, the reliability determination unit 151 uses a processing device such as the CPU 911 to calculate the calculated hash value “H (ID3, C, 0)” and the first individual service information verification information. 754 and confirm that they match.
Thus, it can be confirmed that the verification information 752 is for “ID3”.

「商品D」については、信頼性判断部151がサービス記録情報742から検証用位置761を取得できないので、個別サービス情報検証用情報754が個別サービス情報検証用情報群753のなかのどこにあるかわかっていない。また、信頼性判断部151は、ハッシュ値「H(ID3,D,0)」を算出することができないので、検証用情報群751を検索して「商品D」についての個別サービス情報検証用情報754の位置を知ることもできない。
なお、この例では、購入したことのない商品が1つだけなので、残る位置である3番目の個別サービス情報検証用情報754が「商品D」についてのものであることが特定できる。しかし、実際には、取り扱う商品の種類がもっと多いので、購入したことのない商品が1つだけであるという状況は極めて稀であり、信頼性判断部151は購入したことのない商品についての情報を知ることはできないといってよい。 For “product D”, since the reliability judgment unit 151 cannot obtain the verification position 761 from the service record information 742, it is known where the individual service information verification information 754 is in the individual service information verification information group 753. Not. Further, since the reliability determination unit 151 cannot calculate the hash value “H (ID3, D, 0)”, the verification information group 751 is searched and the individual service information verification information for “product D” is searched. The position of 754 cannot be known.
In this example, since there is only one product that has not been purchased, it is possible to specify that the third individual service information verification information 754 that is the remaining position is for “product D”. However, in reality, since there are more types of products to handle, the situation that there is only one product that has never been purchased is extremely rare, and the reliability judgment unit 151 has information on products that have not been purchased. It can be said that we cannot know.

「商品D」は購入したことのない商品であるから、信頼性判断部151は「商品D」についての情報を知らなくても履歴生成用情報740の信頼性を判断することができる。これにより、利用者端末装置100に知らせる必要のない情報が流出するのを防ぐことができる。   Since the “product D” is a product that has not been purchased, the reliability determination unit 151 can determine the reliability of the history generation information 740 without knowing the information about the “product D”. Thereby, it is possible to prevent information that does not need to be notified to the user terminal device 100 from being leaked.

確認の途中で一致しないものがでてきた場合、信頼性判断部151は、CPU911などの処理装置を用いて、他に一致しそうな検証用情報752があればそれを検査し、なければ、暗号化記録情報640が信頼できないと判断する。   If something that does not match appears in the middle of the confirmation, the reliability judgment unit 151 uses a processing device such as the CPU 911 to inspect other verification information 752 that is likely to match, otherwise, It is determined that the digitized record information 640 is not reliable.

一方、利用記録受信部111は、暗号化個別サービス情報745を復号して取得した情報に基づいて、個別サービス個数算出用情報群755からサービス記録情報を取得する。
利用記録受信部111は、CPU911などの処理装置を用いて、検証用情報群751に含まれるすべての検証用情報752から、「商品A」についての個別サービス個数算出用情報756を取得する。暗号化個別サービス情報745の復号結果から、「商品A」についての個別サービス個数算出用情報756は、個別サービス個数算出用情報群755のなかの3番目にあることがわかっている。
また、利用記録受信部111は、CPU911などの処理装置を用いて、検証用情報群751に含まれるすべての検証用情報752から、「商品A」についての個別サービス情報検証用情報754を取得する。暗号化個別サービス情報745の復号結果から、「商品A」についての個別サービス情報検証用情報754は、個別サービス情報検証用情報群753のなかの4番目にあることがわかっている。
利用記録受信部111は、CPU911などの処理装置を用いて、取得した個別サービス個数算出用情報756から個別サービス情報検証用情報754を減算する。利用記録受信部111は、CPU911などの処理装置を用いて、更にその結果を、暗号化個別サービス情報745の復号結果から取得した算出用数値763「15」で割り、余りを求める。
この例では、例えば、1番目の検証用情報752であれば、個別サービス個数算出用情報756「H(ID3,A,2)+62」−個別サービス情報検証用情報754「H(ID3,A,2)」=「62」、「62÷15=4あまり2」である。これは、このサービス記録情報742において、「商品A」の購入個数が「2個」であることを示している。 On the other hand, the usage record receiving unit 111 acquires service record information from the individual service number calculation information group 755 based on the information acquired by decrypting the encrypted individual service information 745.
The usage record receiving unit 111 uses the processing device such as the CPU 911 to acquire the individual service number calculation information 756 for “product A” from all the verification information 752 included in the verification information group 751. From the decryption result of the encrypted individual service information 745, it is known that the individual service number calculation information 756 for “product A” is the third in the individual service number calculation information group 755.
In addition, the usage record receiving unit 111 acquires the individual service information verification information 754 for “product A” from all the verification information 752 included in the verification information group 751 using a processing device such as the CPU 911. . From the decryption result of the encrypted individual service information 745, it is known that the individual service information verification information 754 for “product A” is the fourth in the individual service information verification information group 753.
The usage record receiving unit 111 subtracts the individual service information verification information 754 from the acquired individual service number calculation information 756 using a processing device such as the CPU 911. The usage record receiving unit 111 uses a processing device such as the CPU 911 and further divides the result by the calculation numerical value 763 “15” acquired from the decryption result of the encrypted individual service information 745 to obtain a remainder.
In this example, for example, in the case of the first verification information 752, the individual service number calculation information 756 “H (ID3, A, 2) +62” −the individual service information verification information 754 “H (ID3, A, 2) ”=“ 62 ”and“ 62 ÷ 15 = 4 is too much 2 ”. This indicates that the number of purchases of “product A” is “2” in the service record information 742.

1番目の検証用情報752は、「ID3」についてのものであるから、信頼性判断部151が、利用履歴記憶部121が記憶したサービス利用記録情報711と比較することにより、正しいか否か検証する。正しくないときは、履歴生成用情報740が信頼できないと判断する。
利用記録受信部111は、他の利用者の利用記録についても同様の演算により、購入個数を求めることができる。また、「商品B」「商品C」についても同様に、購入個数を求めることができる。
しかし、「商品D」については、商品コード715も算出用位置762も算出用数値763もわからないので、購入個数を求めることができない。 Since the first verification information 752 is for “ID3”, the reliability judgment unit 151 verifies whether or not it is correct by comparing with the service usage record information 711 stored in the usage history storage unit 121. To do. If not correct, it is determined that the history generation information 740 is not reliable.
The usage record receiver 111 can obtain the number of purchases by using the same calculation for the usage records of other users. Similarly, for “product B” and “product C”, the purchase quantity can be obtained.
However, for “Product D”, the product code 715, the calculation position 762, and the calculation numerical value 763 are not known, and therefore the purchase quantity cannot be obtained.

図36は、この実施の形態における利用記録受信部111が復号したサービス利用記録情報721の一例を示す図である。
この例は、利用記録受信部111が、図34に示した履歴生成用情報740を復号した場合を示している。 FIG. 36 is a diagram showing an example of the service usage record information 721 decrypted by the usage record receiver 111 in this embodiment.
This example shows a case where the usage record receiver 111 decrypts the history generation information 740 shown in FIG.

利用記録受信部111は、通信装置915を用いて、サービス提供装置810が送信してきた履歴生成用情報740を受信する。
利用記録受信部111が受信した履歴生成用情報740は、4つのID番号743「ID2」「ID3」「ID4」「ID5」についてのサービス記録情報742及び検証用情報752が含まれている。このうち、「ID3」と「ID5」についてのサービス利用記録情報711は、利用履歴記憶部121が記憶している。
利用記録受信部111は、CPU911などの処理装置を用いて、サービス情報群741のうち、ID番号743「ID3」と「ID5」についてのサービス記録情報742を、利用履歴記憶部121が記憶した共通鍵713で復号して、サービス利用記録724を取得する。
また、利用記録受信部111は、CPU911などの処理装置を用いて、「ID3」と「ID5」についてのサービス記録情報742を復号して取得した検証用位置761、算出用位置762、算出用数値763に基づいて、検証用情報群751に含まれるすべての検証用情報752を復号し、サービス利用記録724を取得する。
このとき、「ID3」についてのサービス記録情報742を復号して取得できる商品コード715、検証用位置761、算出用位置762、算出用数値763は、「商品A」及び「商品B」についてのものである。また、「ID5」についてのサービス記録情報742を復号して取得できるのは、「商品A」及び「商品C」についてのものである。したがって、「商品D」についての商品コード715、検証用位置761、算出用位置762、算出用数値763は得られていない。
したがって、利用記録受信部111は、検証用情報群751に基づいて、購入したことのない商品が1つあることは判別できるものの、その商品の商品コードが「商品D」であることは判別できず、「商品D」についてのサービス利用記録724も復号できない。
しかし、匿名履歴判別部130が生成する匿名履歴情報630に、購入したことのない「商品D」についての情報が含まれることはないので、匿名履歴判別部130は「商品D」についての情報の匿名性を判断する必要はない。したがって、匿名履歴判別部130は、「商品D」についての情報を知らなくても、判断する必要のある情報の匿名性を判断することができる。 The usage record receiver 111 uses the communication device 915 to receive the history generation information 740 transmitted by the service providing device 810.
The history generation information 740 received by the usage record reception unit 111 includes service record information 742 and verification information 752 for four ID numbers 743 “ID2”, “ID3”, “ID4”, and “ID5”. Among these, the service usage record information 711 for “ID3” and “ID5” is stored in the usage history storage unit 121.
The usage record receiving unit 111 uses a processing device such as the CPU 911 to share the service record information 742 for the ID numbers 743 “ID3” and “ID5” in the service information group 741 in the usage history storage unit 121. The service usage record 724 is obtained by decrypting with the key 713.
In addition, the usage record receiving unit 111 decrypts the service record information 742 for “ID3” and “ID5” by using a processing device such as the CPU 911, the verification position 761, the calculation position 762, and the numerical value for calculation. Based on 763, all the verification information 752 included in the verification information group 751 is decrypted, and the service usage record 724 is acquired.
At this time, the product code 715, the verification position 761, the calculation position 762, and the calculation numerical value 763 that can be obtained by decrypting the service record information 742 for “ID3” are those for “Product A” and “Product B”. It is. Also, the service record information 742 for “ID5” can be decrypted and acquired for “product A” and “product C”. Therefore, the product code 715, the verification position 761, the calculation position 762, and the calculation numerical value 763 for “product D” are not obtained.
Therefore, the usage record receiving unit 111 can determine that there is one product that has not been purchased based on the verification information group 751, but can determine that the product code of the product is “product D”. In addition, the service usage record 724 for “product D” cannot be decrypted.
However, since the anonymous history information 630 generated by the anonymous history discriminating unit 130 does not include information about the “product D” that has not been purchased, the anonymous history discriminating unit 130 stores the information about the “product D”. There is no need to judge anonymity. Therefore, the anonymity history determination unit 130 can determine the anonymity of information that needs to be determined without knowing the information about the “product D”.

また、検証用情報752には、ID番号743から算出したハッシュ値が含まれているが、ID番号そのものの情報は含まれていないので、利用記録受信部111は、他の利用者の検証用情報752について、どのID番号の検証用情報752であるかを知ることができない。
しかし、匿名履歴判別部130は、情報の匿名性を判断するために他の利用者が購入した商品についての情報を利用するが、その商品を購入した利用者が誰であるかを知る必要はないので、他の利用者のID番号743を知らなくても、判断する必要のある情報の匿名性を判断することができる。 The verification information 752 includes the hash value calculated from the ID number 743, but does not include the information of the ID number itself. As for the information 752, it is impossible to know which ID number the verification information 752 is.
However, the anonymity history discriminating unit 130 uses information about products purchased by other users to determine the anonymity of information, but it is necessary to know who the users who purchased the products are. Therefore, the anonymity of information that needs to be determined can be determined without knowing the ID number 743 of another user.

したがって、利用記録受信部111は、信頼性判断部151が履歴生成用情報740の信頼性を判断するために必要な情報と、匿名履歴判別部130が情報の匿名性を判断するために必要な情報のみを取得し、それ以外の情報は取得できない。
これにより、利用者端末装置100に知らせる必要のない情報が流出するのを防ぐことができる。 Therefore, the usage record receiving unit 111 is necessary for the reliability determination unit 151 to determine the reliability of the history generation information 740 and the anonymous history determination unit 130 to determine the anonymity of the information. Only information is acquired, and other information cannot be acquired.
Thereby, it is possible to prevent information that does not need to be notified to the user terminal device 100 from being leaked.

このようにして取得したサービス利用記録情報721について、信頼性判断部151は、CPU911などの処理装置を用いて、利用履歴記憶部121が記憶したサービス利用記録情報711と比較することにより、履歴生成用情報740が信頼できるか否かを判断する。   The reliability determination unit 151 compares the service usage record information 721 acquired in this way with the service usage record information 711 stored in the usage history storage unit 121 by using a processing device such as the CPU 911 to generate a history. It is determined whether the usage information 740 is reliable.

また、履歴生成用情報740が信頼できると信頼性判断部151が判断した場合、サービス利用記録情報721に基づいて、匿名履歴判別部130は、CPU911などの処理装置を用いて、利用者特定率を算出し、利用履歴記憶部121が記憶したサービス利用記録情報群710のなかから、利用者特定率が低いと判断した情報を判別して、匿名履歴判別部130を生成し、出力する。   In addition, when the reliability determination unit 151 determines that the history generation information 740 is reliable, the anonymous history determination unit 130 uses the processing device such as the CPU 911 based on the service usage record information 721 to identify the user identification rate. And the information determined that the user identification rate is low is determined from the service usage record information group 710 stored in the usage history storage unit 121, and the anonymous history determination unit 130 is generated and output.

この例において、匿名履歴判別部130は、CPU911などの処理装置を用いて、利用履歴記憶部121が記憶したサービス利用記録情報群710を入力する。
利用履歴記憶部121が記憶したサービス利用記録情報群710によれば、利用者が「商品Aを2個」購入したことがあるので、匿名履歴判別部130は、この情報をサービス提供装置810に送信した場合の利用者特定率を算出する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、利用記録受信部111が出力したサービス利用記録情報721を入力する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、入力したサービス利用記録情報721に基づいて、「商品Aを購入した」ことの記録がいくつあるか数える。この例では、「商品Aを購入した」記録は、3つある。
また、匿名履歴判別部130は、CPU911などの処理装置を用いて、入力したサービス利用記録情報721に基づいて、商品Aを「2個」購入したことの記録がいくつあるか数える。この例では、「商品Aを2個購入した」記録は、3つある。
このように、匿名履歴判別部130は、単に「購入したことがある」記録と、「購入した個数が同じ」記録の双方を数える。 In this example, the anonymous history discriminating unit 130 inputs the service usage record information group 710 stored in the usage history storage unit 121 using a processing device such as the CPU 911.
According to the service usage record information group 710 stored in the usage history storage unit 121, since the user has purchased “two products A”, the anonymous history determination unit 130 sends this information to the service providing apparatus 810. Calculate the user identification rate when it is sent.
The anonymous history determination unit 130 inputs the service usage record information 721 output by the usage record reception unit 111 using a processing device such as the CPU 911.
The anonymity history discriminating unit 130 counts how many records “purchase product A” are based on the input service usage record information 721 using a processing device such as the CPU 911. In this example, there are three records of “purchased product A”.
Further, the anonymous history discriminating unit 130 counts the number of records indicating that “two” products A have been purchased based on the input service usage record information 721 using a processing device such as the CPU 911. In this example, there are three records of “purchased two products A”.
In this way, the anonymous history discriminating unit 130 simply counts both “already purchased” records and “same purchase quantity” records.

同様に、利用履歴記憶部121が記憶したサービス利用記録情報群710によれば、「商品B」は利用者が「2個」購入したことがあり、「商品C」は利用者が「1個」購入したことがあるので、匿名履歴判別部130は、CPU911などの処理装置を用いて、「商品Bを購入した」記録、「商品Bを2個購入した」記録、「商品Cを購入した」記録、「商品Cを1個購入した」記録を算出する。   Similarly, according to the service usage record information group 710 stored in the usage history storage unit 121, “product B” has been purchased by the user “2”, and “product C” has been purchased by the user “1”. The anonymous history discriminating unit 130 uses a processing device such as the CPU 911 to record “purchased product B”, “purchased two products B”, and “purchased product C”. ”Record,“ Purchase of one product C ”is calculated.

「(利用者特定率)=1/(利用回数)×100」であるから、匿名履歴判別部130は、CPU911などの処理装置を用いて、それぞれの利用者特定率を算出する。
この例において、匿名履歴判別部130は、「商品Aを購入したことがある」という情報の利用者特定率は「33.3%」、「商品Aを2個購入したことがある」という情報の利用者特定率は「33.3%」、「商品Bを購入したことがある」という情報の利用者特定率は「100%」、「商品Bを2個購入したことがある」という情報の利用者特定率は「100%」、「商品Cを購入したことがある」という情報の利用者特定率は「33.3%」、「商品Cを1個購入したことがある」という情報の利用者特定率は「50%」であると算出する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、算出した利用者特定率と、記憶した利用者特定率設定情報が示す値とを比較して、その情報の匿名性が高いか否かを判断する。例えば、利用者特定率設定情報が「50%」である場合、匿名履歴判別部130は、利用者特定率が「50%」より低い場合に、その情報の匿名性が高いと判断する。
この例では、匿名履歴判別部130は、「商品Aを購入したことがある」「商品Aを2個購入したことがある」「商品Cを購入したことがある」という情報は匿名性が高いと判断する。また、「商品Bを購入したことがある」「商品Bを2個購入したことがある」「商品Cを1個購入したことがある」という情報は匿名性が低いと判断する。 Since “(user specification rate) = 1 / (number of times of use) × 100”, the anonymous history determination unit 130 calculates each user specification rate using a processing device such as the CPU 911.
In this example, the anonymous history discriminating unit 130 has the information that “the user has purchased product A” has a user identification rate of “33.3%” and “has purchased two products A”. The user identification rate of the information “33.3%”, “has purchased product B” is the user identification rate of “100%”, and “has purchased 2 products B” The user identification rate of the information “100%”, “has purchased product C” is the user identification rate of “33.3%”, and “has purchased one product C” The user identification rate is calculated to be “50%”.
Anonymity history discriminating unit 130 uses a processing device such as CPU 911 to compare the calculated user identification rate with the value indicated by the stored user identification rate setting information, and whether the information is highly anonymous Determine whether. For example, when the user identification rate setting information is “50%”, the anonymity history determination unit 130 determines that the anonymity of the information is high when the user identification rate is lower than “50%”.
In this example, the anonymous history discriminating unit 130 has high anonymity for information that “has purchased product A”, “has purchased 2 products A”, and “has purchased product C”. Judge. In addition, it is determined that information such as “has purchased product B”, “has purchased 2 products B”, “has purchased 1 product C” has low anonymity.

匿名履歴判別部130は、CPU911などの処理装置を用いて、匿名性が高いと判断した情報からなる匿名履歴情報630を生成する。
この例において、匿名履歴判別部130が生成する匿名履歴情報630は、「商品Aを2個購入したことがある」こと及び「商品Cを購入したことがある」ことを示す情報を含む。
しかし、匿名履歴判別部130は、匿名性が低いと判断した情報は、匿名履歴情報630に含めない。
この例において、匿名履歴判別部130が生成する匿名履歴情報630は、「商品Bを購入したことがある」こと及び「商品Cを1個購入したことがある」ことを示す情報を含まない。 The anonymity history determination unit 130 generates anonymity history information 630 including information determined to have high anonymity using a processing device such as the CPU 911.
In this example, the anonymous history information 630 generated by the anonymous history determination unit 130 includes information indicating that “two products A have been purchased” and “a product C has been purchased”.
However, the anonymous history discriminating unit 130 does not include the information determined to have low anonymity in the anonymous history information 630.
In this example, the anonymous history information 630 generated by the anonymous history determination unit 130 does not include information indicating that “the product B has been purchased” and “the product C has been purchased one”.

なお、この例では、「その商品を購入したことがある」「その商品を購入した個数」という2段階の情報について利用者特定率を算出し、匿名性を判断しているが、どちらか一方だけでもよい。
また、2段階の情報のうち、概略的な情報(「その商品を購入したことがある」)の匿名性が低い(利用者特定率が閾値以上)場合、詳細な情報(「その商品を購入した個数」)にはその上位概念である概略的な情報が含まれる(「商品Cを1個購入したことがある」という情報には「商品Cを購入したことがある」という情報が含まれる)ので、詳細な情報の利用者特定率を算出するまでもなく、詳細な情報の匿名性は低い。
そこで、匿名履歴判別部130は、CPU911などの処理装置を用いて、概略的な情報の匿名性を判断し、匿名性が高い場合のみ、詳細な情報の匿名性を判断することとしてもよい。 In this example, the user identification rate is calculated and the anonymity is determined for the two-stage information of “the product has been purchased” and “the number of the product that has been purchased”. Just be fine.
In addition, when the anonymity of the rough information (“I have purchased the product”) is low (the user identification rate is greater than or equal to the threshold), the detailed information (“Purchase the product” ”) Includes general information that is a superordinate concept thereof (information that“ has purchased one product C ”includes information that“ has purchased product C ”) Therefore, it is not necessary to calculate the user identification rate of detailed information, and the anonymity of detailed information is low.
Therefore, the anonymity history determination unit 130 may determine the anonymity of the schematic information using a processing device such as the CPU 911, and may determine the anonymity of the detailed information only when the anonymity is high.

また、匿名履歴判別部130は、CPU911などの処理装置を用いて、詳細な情報の利用者特定率が閾値よりも低いと判断した場合でも、一定の確率で匿名性が低いと判断するよう構成してもよい。
これは、詳細な情報の利用者特定率が閾値よりも低い場合に、詳細な情報をサービス提供装置810に対して必ず送信するよう構成すると、概略的な情報だけ送信して、詳細な情報を送信しなかった場合に、サービス提供装置810に利用者を特定する手がかりを与えてしまう場合があるからである。
例えば、「商品Aを購入したことがある」利用者がたくさんいて、ほとんどの人が「2個購入」しているのに対して、一人だけ「1個購入」したことがある場合、「商品Aを購入したことがある」という概略的な情報も、「商品Aを2個購入したことがある」という詳細な情報も、利用者特定率が低い。
利用者特定率が低い場合に必ず送信する構成だと、この例で「商品Aを購入したことがある」という情報しか送信しなければ、サービス提供装置810には「商品Aを2個購入したことがある」のではないということがわかる。したがって、「商品Aを1個購入したことがある」という利用者特定率の高い情報は、サービス提供装置810に送信していないが、サービス提供装置810に知られてしまうことになる。
詳細な情報について利用者特定率が低い場合でも、一定の確率で匿名性が低いと判断し、サービス提供装置810に対して送信しない構成とすれば、「商品Aを購入したことがある」という情報しか送信しなくても、サービス提供装置810から見ると「商品Aを2個購入したことがある」かもしれず、送信していない利用者特定率の高い情報を、サービス提供装置810に知られてしまうのを防ぐことができる。 Further, the anonymous history discriminating unit 130 is configured to determine that anonymity is low with a certain probability even when it is determined that the user identification rate of detailed information is lower than the threshold using a processing device such as the CPU 911. May be.
This is because if detailed information is configured to be transmitted to the service providing apparatus 810 when the user identification rate of the detailed information is lower than the threshold, only the schematic information is transmitted and the detailed information is transmitted. This is because if the information is not transmitted, the service providing apparatus 810 may be given a clue to identify the user.
For example, if there are many users who “purchased product A” and most people “buy 2”, but only one person has purchased “1”, Both the general information “has purchased A” and the detailed information “has purchased two products A” have low user identification rates.
In this example, if only the information that “the product A has been purchased” is transmitted, the service providing apparatus 810 “has purchased two products A”. You can see that there is no “something”. Therefore, information with a high user identification rate “has purchased one product A” has not been transmitted to the service providing apparatus 810, but is known to the service providing apparatus 810.
Even if the user identification rate is low for detailed information, if it is determined that anonymity is low with a certain probability and it is not transmitted to the service providing apparatus 810, “the product A has been purchased” Even if only information is transmitted, it may be “has purchased two products A” when viewed from the service providing apparatus 810, and the service providing apparatus 810 knows information that has not been transmitted and has a high user identification rate. Can be prevented.

この実施の形態におけるサービス提供装置810(サーバ装置)は、
情報を記憶する磁気ディスク装置920などの記憶装置と、
情報を処理するCPU911などの処理装置と、
利用したサービス内容を記録した利用履歴情報を記憶する複数の利用者端末装置100(端末装置)と通信する通信装置915と、
磁気ディスク装置920などの記憶装置を用いて、利用されたサービス内容を記憶したサービス利用記録情報711(利用記録情報)と、サービス利用記録情報711を識別するID番号712(記録識別情報)とを複数記憶する利用記録記憶部823と、
CPU911などの処理装置を用いて、利用記録記憶部823が記憶したID番号712を入力し、CPU911などの処理装置を用いて、入力したID番号712のリストを生成し、通信装置915を用いて、利用者端末装置100に対して、生成したID番号712のリストを送信する記録識別送信部824と、
通信装置915を用いて、利用者端末装置100から、記録識別送信部824が送信したID番号712のリストのなかから、利用者端末装置100が選択した複数のID番号712を受信し、CPU911などの処理装置を用いて、受信したID番号712を出力する選択識別受信部825と、
CPU911などの処理装置を用いて、選択識別受信部825が出力した複数の上記ID番号712を入力し、CPU911などの処理装置を用いて、入力した複数のID番号712によって識別される複数のサービス利用記録情報711を入力し、CPU911などの処理装置を用いて、入力した複数のサービス利用記録情報711に基づいて、利用者端末装置100に対して送信する履歴生成用情報740(送信利用記録情報)を生成し、CPU911などの処理装置を用いて、生成した履歴生成用情報740を出力する送信利用記録生成部826と、
CPU911などの処理装置を用いて、送信利用記録生成部826が出力した履歴生成用情報740を入力し、通信装置915を用いて、利用者端末装置100に対して、入力した履歴生成用情報740を送信する利用記録送信部827と、
通信装置915を用いて、利用者端末装置100が記憶したサービス利用記録情報711(利用履歴情報)のうち、利用記録送信部827が送信した履歴生成用情報740に基づいて、匿名性が高いと利用者端末装置100が判別した情報を、通信装置915から受信し、CPU911などの処理装置を用いて、受信した情報を匿名履歴情報630として出力する匿名履歴受信部831と、
磁気ディスク装置920などの記憶装置を用いて、利用者端末装置100に対して提供すべきサービス情報を記憶するサービス情報選択部833と、
CPU911などの処理装置を用いて、匿名履歴受信部831が出力した匿名履歴情報630を入力し、CPU911などの処理装置を用いて、サービス情報記憶部832が記憶したサービス情報のなかから、入力した匿名履歴情報630に基づいて、利用者端末装置100にとって有用な情報を選択し、CPU911などの処理装置を用いて、選択したサービス情報を出力するサービス情報選択部833とを有することを特徴とする。 The service providing apparatus 810 (server apparatus) in this embodiment is
A storage device such as a magnetic disk device 920 for storing information;
A processing device such as a CPU 911 for processing information;
A communication device 915 that communicates with a plurality of user terminal devices 100 (terminal devices) that store usage history information in which used service content is recorded;
Using a storage device such as the magnetic disk device 920, service usage record information 711 (usage record information) in which used service contents are stored, and an ID number 712 (record identification information) for identifying the service usage record information 711 A usage record storage unit 823 for storing a plurality of records;
The ID number 712 stored in the usage record storage unit 823 is input using a processing device such as the CPU 911, a list of the input ID numbers 712 is generated using the processing device such as the CPU 911, and the communication device 915 is used. A record identification transmission unit 824 that transmits a list of generated ID numbers 712 to the user terminal device 100;
The communication device 915 is used to receive a plurality of ID numbers 712 selected by the user terminal device 100 from the list of ID numbers 712 transmitted by the record identification transmission unit 824 from the user terminal device 100, and the CPU 911. A selection identification receiving unit 825 that outputs the received ID number 712 using the processing device of
A plurality of ID numbers 712 output by the selection identification receiving unit 825 are input using a processing device such as the CPU 911, and a plurality of services identified by the plurality of input ID numbers 712 using the processing device such as the CPU 911. Usage record information 711 is input, and history generation information 740 (transmission usage record information to be transmitted to user terminal device 100 based on a plurality of input service usage record information 711 using a processing device such as CPU 911. ), And using a processing device such as the CPU 911, the transmission use record generation unit 826 that outputs the generated history generation information 740;
The history generation information 740 output from the transmission usage record generation unit 826 is input using a processing device such as the CPU 911, and the input history generation information 740 is input to the user terminal device 100 using the communication device 915. A usage record transmission unit 827 for transmitting
When the anonymity is high based on the history generation information 740 transmitted by the usage record transmission unit 827 among the service usage record information 711 (use history information) stored by the user terminal device 100 using the communication device 915. Anonymous history receiving unit 831 that receives information determined by user terminal device 100 from communication device 915 and outputs the received information as anonymous history information 630 using a processing device such as CPU 911;
A service information selection unit 833 for storing service information to be provided to the user terminal device 100 using a storage device such as the magnetic disk device 920;
Anonymous history information 630 output by the anonymous history receiving unit 831 is input using a processing device such as the CPU 911, and input from the service information stored in the service information storage unit 832 using a processing device such as the CPU 911. A service information selection unit 833 that selects information useful for the user terminal device 100 based on the anonymous history information 630 and outputs the selected service information using a processing device such as the CPU 911. .

この実施の形態におけるサービス提供装置810によれば、匿名性が高いと利用者端末装置100が判別した情報だけを受信し、受信した情報に基づいて、履歴サービスを提供するので、利用者を特定されることを心配せず、安心して利用できる履歴サービスを提供することができるという効果を奏する。   According to the service providing apparatus 810 in this embodiment, only the information determined by the user terminal device 100 as having high anonymity is received, and the history service is provided based on the received information. It is possible to provide a history service that can be used with peace of mind without worrying about being done.

この実施の形態における履歴生成用情報740(送信利用記録情報)のデータ構造は、
複数の商品(サービス種別)のうち少なくともいずれかの商品を購入(サービス種別に属するサービス内容を利用)したことを記録したサービス利用記録情報群710(複数の利用記録情報)に基づいて生成する履歴生成用情報740のデータ構造において、
履歴生成用情報740は、サービス情報群741と検証用情報群751とを有し、
サービス情報群741は、複数のサービス利用記録情報711(利用記録情報)それぞれについてのサービス記録情報742を複数並べたリストであり、
サービス記録情報742は、サービス利用記録情報711を識別するID番号712と、暗号化個別サービス情報群744(暗号化変換情報群)とを有し、
暗号化個別サービス情報群744は、サービス利用記録情報711が記録した購入商品(サービス内容が属するサービス種別)それぞれについての暗号化個別サービス情報745(暗号化変換情報)を並べたリストであり、
暗号化個別サービス情報745は、商品に対応する検証用位置761・算出用位置762・算出用数値763(サービス変換情報)を、商品を購入(サービス内容を利用)した際に通知した共通鍵713(履歴暗号鍵)で暗号化した情報であり、
検証用情報群751は、複数のサービス利用記録情報711それぞれについての検証用情報752をランダムな順番で並べたリストであり、
検証用情報752は、個別サービス情報検証用情報群753と個別サービス個数算出用情報群755(個別サービス内容取得用情報群)とを有し、
個別サービス情報検証用情報群753は、複数の商品それぞれについての個別サービス情報検証用情報754を、検証用位置761(サービス変換情報)が示すランダムな第一の順番で並べたリストであり、
個別サービス情報検証用情報754は、サービス利用記録情報711を識別するID番号712とサービス利用記録情報711が記録した商品コード715・購入個数716(サービス内容)とから生成したハッシュ値であり、
個別サービス個数算出用情報群755は、複数の商品それぞれについての個別サービス個数算出用情報756(個別サービス内容取得用情報)を、算出用位置762(サービス変換情報)が示すランダムな第二の順番で並べたリストであり、
個別サービス個数算出用情報756は、サービス利用記録情報711が記録した購入個数716(サービス内容)を個別サービス情報検証用情報754に基づいて変換し、算出用数値763(サービス変換情報に含まれるサービス暗号鍵)で暗号化した情報であることを特徴とする。 The data structure of the history generation information 740 (transmission use record information) in this embodiment is:
History generated based on a service usage record information group 710 (a plurality of usage record information) that records that at least one of a plurality of products (service types) has been purchased (service contents belonging to the service type are used) In the data structure of the generation information 740,
The history generation information 740 includes a service information group 741 and a verification information group 751.
The service information group 741 is a list in which a plurality of service record information 742 for each of a plurality of service use record information 711 (use record information) are arranged.
The service record information 742 has an ID number 712 for identifying the service use record information 711 and an encrypted individual service information group 744 (encrypted conversion information group).
The encrypted individual service information group 744 is a list in which encrypted individual service information 745 (encrypted conversion information) for each purchased product (service type to which the service content belongs) recorded by the service use record information 711 is arranged.
The encrypted individual service information 745 includes a verification position 761, a calculation position 762, and a calculation numerical value 763 (service conversion information) corresponding to the product, which are notified when the product is purchased (service contents are used). (History encryption key) encrypted information,
The verification information group 751 is a list in which verification information 752 for each of the plurality of service usage record information 711 is arranged in a random order.
The verification information 752 includes an individual service information verification information group 753 and an individual service number calculation information group 755 (individual service content acquisition information group).
The individual service information verification information group 753 is a list in which individual service information verification information 754 for each of a plurality of products is arranged in a random first order indicated by the verification position 761 (service conversion information).
The individual service information verification information 754 is a hash value generated from the ID number 712 for identifying the service usage record information 711 and the product code 715 and the number of purchases 716 (service contents) recorded by the service usage record information 711.
The individual service number calculation information group 755 is a random second order in which the calculation position 762 (service conversion information) indicates the individual service number calculation information 756 (individual service content acquisition information) for each of a plurality of products. Is a list arranged in
The individual service number calculation information 756 converts the purchase number 716 (service contents) recorded by the service usage record information 711 based on the individual service information verification information 754, and calculates a calculation numerical value 763 (service included in the service conversion information). It is information encrypted with an encryption key.

この実施の形態における履歴生成用情報740のデータ構造によれば、履歴生成用情報740を受信した利用者端末装置100が、サービスを利用した際に通知された共通鍵713により、暗号化個別サービス情報745を復号し、符号した暗号化個別サービス情報745に含まれる検証用位置761・算出用位置762・算出用数値763に基づいて、検証用情報752に含まれる商品コード715・購入個数716などの情報を復元できるので、利用履歴記憶部121が記憶したサービス利用記録情報711と比較することで、情報の改変がないかを検証することができるという効果を奏する。
また、検証用情報752に含まれる情報のうち、利用したことのないサービス種別についての情報は復元できないので、利用者端末装置100は、他の利用者の利用記録については、検証及び匿名性の判断に必要な情報だけを取得し、不必要な情報の拡散を防ぐことができるという効果を奏する。 According to the data structure of the history generation information 740 in this embodiment, the user terminal device 100 that has received the history generation information 740 uses the common key 713 notified when the service is used to encrypt the individual service. Based on the verification position 761, the calculation position 762, and the calculation numerical value 763 included in the encrypted individual service information 745 obtained by decrypting the information 745, the product code 715 included in the verification information 752, the purchase quantity 716, and the like Therefore, it is possible to verify whether the information has been altered by comparing with the service usage record information 711 stored in the usage history storage unit 121.
In addition, since the information about the service type that has not been used among the information included in the verification information 752 cannot be restored, the user terminal device 100 can verify and anonymize the usage records of other users. Only the information necessary for the determination is acquired, and there is an effect that unnecessary information can be prevented from spreading.

この実施の形態における履歴サービス提供システム800によれば、利用者が履歴を送信する前に、予め店舗から履歴に関する情報を入手し、それらの情報を用いて、利用者は自身が店舗によって特定されない購入情報から購入履歴を作成し店舗に送信することによって、利用者はプライバシーを保護された状態で且つ匿名で履歴サービスを利用できる。
また、利用者が店舗から入手する履歴に関する情報量は利用者によって制御できるため、利用者の携帯端末の性能に応じて最適な情報量を調整可能である。
また、利用者は、店舗から入手する履歴に関する情報のうちいずれかを検証可能であるが、店舗は利用者が検証する情報を特定できないため、店舗が情報を都合の良い値に改竄することを防止できる。
また、店舗から入手する履歴に関する情報のうち利用者が知ることができる情報は、利用者自身が過去に購入した商品に関する情報のみであり、他の利用者の購入情報は保護される。
また、利用者の携帯端末と店舗のサーバ間の通信データは暗号化されているため、第三者の盗聴を防止できる。 According to the history service providing system 800 in this embodiment, before a user transmits a history, information about the history is obtained from the store in advance, and the user is not specified by the store using the information. By creating a purchase history from the purchase information and transmitting it to the store, the user can use the history service anonymously with privacy protected.
In addition, since the amount of information related to the history that the user obtains from the store can be controlled by the user, the optimum amount of information can be adjusted according to the performance of the user's mobile terminal.
In addition, the user can verify any of the information related to the history obtained from the store, but the store cannot specify the information to be verified by the user, so the store may tamper with the information to a convenient value. Can be prevented.
Further, the information that the user can know among the information related to the history obtained from the store is only the information related to the product purchased by the user in the past, and the purchase information of other users is protected.
Further, since communication data between the user's mobile terminal and the store server is encrypted, it is possible to prevent eavesdropping by a third party.

実施の形態9.
実施の形態9について、図37〜図41を用いて説明する。
図37は、この実施の形態における履歴サービス提供システム800の全体構成及びハードウェア構成の一例を示すシステム構成図である。
なお、実施の形態1で説明した履歴サービス提供システム800と共通する部分については、同一の符号を付し、ここでは説明を省略する。
履歴サービス提供システム800は、更に、ID管理装置850を有する。
ID管理装置850は、例えば、サーバ装置である。
ID管理装置850のハードウェア構成は、サービス提供装置810と同様である。
ID管理装置850は、通信装置915を用いて、利用者端末装置100と通信する。また、ID管理装置850は、通信装置915を用いて、サービス提供装置810と通信する。
ID管理装置850は、利用者の匿名IDを管理する。 Embodiment 9 FIG.
The ninth embodiment will be described with reference to FIGS.
FIG. 37 is a system configuration diagram showing an example of the overall configuration and hardware configuration of the history service providing system 800 in this embodiment.
In addition, the same code | symbol is attached | subjected about the part which is common in the log | history service provision system 800 demonstrated in Embodiment 1, and description is abbreviate | omitted here.
The history service providing system 800 further includes an ID management device 850.
The ID management device 850 is, for example, a server device.
The hardware configuration of the ID management device 850 is the same as that of the service providing device 810.
The ID management device 850 communicates with the user terminal device 100 using the communication device 915. Also, the ID management device 850 communicates with the service providing device 810 using the communication device 915.
The ID management device 850 manages the user's anonymous ID.

利用者端末装置100が情報の匿名性を正確に判断するには、十分な数のサービス利用記録情報721に基づいて、利用者特定率を算出する必要がある。しかし、利用者端末装置100は、例えば、携帯電話などであり、CPU911などの処理装置の処理能力や、通信装置915の通信性能などによる制約により、十分な数のサービス利用記録情報721を処理することができない場合がある。   In order for the user terminal device 100 to accurately determine the anonymity of information, it is necessary to calculate the user identification rate based on a sufficient number of service usage record information 721. However, the user terminal device 100 is a mobile phone, for example, and processes a sufficient number of service usage record information 721 depending on the processing capability of the processing device such as the CPU 911 and the communication performance of the communication device 915. It may not be possible.

この実施の形態の履歴サービス提供システム800は、信頼できるID管理装置850が利用者特定率を算出することにより、利用者端末装置100の処理能力にかかわらず、正確に情報の匿名性を判断するものである。   The history service providing system 800 according to this embodiment accurately determines the anonymity of information regardless of the processing capability of the user terminal device 100 by calculating the user identification rate by the reliable ID management device 850. Is.

図38は、この実施の形態における利用者端末装置100及びID管理装置850の機能ブロックの構成の一例を示すブロック構成図である。
なお、実施の形態4で説明した機能ブロックと共通するブロックについては、同一の符号を付し、ここでは説明を省略する。
また、サービス提供装置810の機能ブロックの構成は、実施の形態8で説明したものと同様なので、ここでは説明を省略する。 FIG. 38 is a block configuration diagram showing an example of the functional block configuration of the user terminal device 100 and the ID management device 850 in this embodiment.
Note that blocks common to the functional blocks described in the fourth embodiment are denoted by the same reference numerals, and description thereof is omitted here.
Further, the functional block configuration of the service providing apparatus 810 is the same as that described in the eighth embodiment, and the description thereof is omitted here.

利用者端末装置100は、利用履歴受信部112、利用履歴記憶部121、匿名履歴判別部130、匿名履歴送信部141、信頼性判断部151、識別生成要求送信部161、生成識別受信部163、記録識別送信部164、利用者用履歴受信部172を有する。   The user terminal device 100 includes a usage history reception unit 112, a usage history storage unit 121, an anonymous history determination unit 130, an anonymous history transmission unit 141, a reliability determination unit 151, an identification generation request transmission unit 161, a generation identification reception unit 163, A record identification transmission unit 164 and a user history reception unit 172 are included.

識別生成要求送信部161は、利用者端末装置100を所持した利用者がサービス提供装置810のある店舗に来店するなどして、サービス提供装置810との通信を確立する必要が生じた場合に、通信装置915を用いて、ID管理装置850に対して、匿名ID(記録識別情報)の生成を要求する情報(以下「識別生成要求情報」という)を送信する。   The identification generation request transmission unit 161, when the user who has the user terminal device 100 needs to establish communication with the service providing device 810, for example, by visiting a store where the service providing device 810 exists. Using the communication device 915, information (hereinafter referred to as “identification generation request information”) for requesting generation of an anonymous ID (record identification information) is transmitted to the ID management device 850.

生成識別受信部163は、識別生成要求送信部161が送信した識別生成要求情報に対する応答として、ID管理装置850が送信してきた匿名IDを、通信装置915を用いて受信する。
生成識別受信部163は、CPU911などの処理装置を用いて、受信した匿名IDを出力する。 The generation identification receiving unit 163 receives the anonymous ID transmitted from the ID management device 850 using the communication device 915 as a response to the identification generation request information transmitted by the identification generation request transmission unit 161.
The generation identification receiving unit 163 outputs the received anonymous ID using a processing device such as the CPU 911.

記録識別送信部164は、CPU911などの処理装置を用いて、生成識別受信部163が出力した匿名IDを入力する。
記録識別送信部164は、通信装置915を用いて、サービス提供装置810に対して、入力した匿名IDを送信し、匿名IDによる通信を確立する。 The record identification transmission unit 164 inputs the anonymous ID output by the generation identification reception unit 163 using a processing device such as the CPU 911.
Using the communication device 915, the record identification transmission unit 164 transmits the input anonymous ID to the service providing device 810, and establishes communication using the anonymous ID.

利用者用履歴受信部172は、通信装置915を用いて、ID管理装置850が送信してきた利用者用履歴情報を受信する。
利用者用履歴受信部172は、CPU911などの処理装置を用いて、受信した利用者用履歴情報を出力する。 The user history receiving unit 172 receives the user history information transmitted from the ID management device 850 using the communication device 915.
The user history receiving unit 172 outputs the received user history information using a processing device such as the CPU 911.

利用者用履歴情報とは、利用者特定率を示す利用者特定率情報と、利用者端末装置100を所持している利用者についての履歴生成用情報740とを含む情報である。
利用者用履歴情報は、ID管理装置850がサービス提供装置810から受信した履歴生成用情報740に基づいて生成する。 The user history information is information including user identification rate information indicating the user identification rate and history generation information 740 for the user who owns the user terminal device 100.
The user history information is generated based on the history generation information 740 received from the service providing apparatus 810 by the ID management apparatus 850.

信頼性判断部151は、CPU911などの処理装置を用いて、利用者用履歴受信部172が出力した利用者用履歴情報と、利用履歴記憶部121が記憶したサービス利用記録情報711とを入力する。
信頼性判断部151は、CPU911などの処理装置を用いて、入力した利用者用利k例情報に含まれるサービス利用記録情報721と、入力したサービス利用記録情報711とを比較して、一致するか否かを判断する。一致すると判断した場合には、履歴生成用情報740が信頼できると判断し、一致しないと判断した場合には、履歴生成用情報740が信頼できないと判断する。 The reliability determination unit 151 inputs the user history information output from the user history reception unit 172 and the service usage record information 711 stored in the usage history storage unit 121 using a processing device such as the CPU 911. .
Using the processing device such as the CPU 911, the reliability determination unit 151 compares the service usage record information 721 included in the input user usage example information with the input service usage record information 711 so as to match. Determine whether or not. When it is determined that they match, it is determined that the history generation information 740 is reliable, and when it is determined that they do not match, it is determined that the history generation information 740 is not reliable.

匿名履歴判別部130は、履歴生成用情報740が信頼できると信頼性判断部151が判断した場合に、CPU911などの処理装置を用いて、利用者用履歴受信部172が出力した利用者用履歴情報を入力する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、入力した利用者用履歴情報に含まれる利用者特定率情報に基づいて、情報の匿名性を判断し、匿名履歴情報630を生成して、出力する。 The anonymous history discriminating unit 130 uses the processing device such as the CPU 911 and the user history output by the user history receiving unit 172 when the reliability determining unit 151 determines that the history generation information 740 is reliable. Enter information.
The anonymity history determination unit 130 determines the anonymity of the information based on the user identification rate information included in the input user history information using a processing device such as the CPU 911, and generates anonymous history information 630. And output.

ID管理装置850は、利用記録受信部111、記録識別受信部113、記録識別選択部152、選択識別送信部142、識別生成要求受信部861、記録識別生成部862、生成識別送信部863、記録識別記憶部864、利用者用履歴生成部871、利用者用履歴送信部872を有する。   The ID management device 850 includes a usage record reception unit 111, a record identification reception unit 113, a record identification selection unit 152, a selection identification transmission unit 142, an identification generation request reception unit 861, a record identification generation unit 862, a generation identification transmission unit 863, a recording It has an identification storage unit 864, a user history generation unit 871, and a user history transmission unit 872.

利用記録受信部111、記録識別受信部113、記録識別選択部152、選択識別送信部142は、実施の形態4で利用者端末装置100の機能ブロックであったものと同様である。   The usage record reception unit 111, the record identification reception unit 113, the record identification selection unit 152, and the selection identification transmission unit 142 are the same as those used in the functional block of the user terminal device 100 in the fourth embodiment.

識別生成要求受信部861は、通信装置915を用いて、利用者端末装置100が送信してきた識別生成要求情報を受信する。   The identification generation request receiving unit 861 receives the identification generation request information transmitted from the user terminal device 100 using the communication device 915.

記録識別生成部862は、識別生成要求受信部861が識別生成要求情報を受信した場合に、CPU911などの処理装置を用いて、匿名IDを生成する。記録識別生成部862は、CPU911などの処理装置を用いて、記録識別記憶部864が記憶した匿名IDに基づいて、匿名IDが衝突しないように新しい匿名IDを生成する。
記録識別生成部862は、CPU911などの処理装置を用いて、生成した匿名IDを出力する。 When the identification generation request receiving unit 861 receives the identification generation request information, the record identification generation unit 862 generates an anonymous ID using a processing device such as the CPU 911. The record identification generation unit 862 generates a new anonymous ID using a processing device such as the CPU 911 based on the anonymous ID stored by the record identification storage unit 864 so that the anonymous ID does not collide.
The record identification generation unit 862 outputs the generated anonymous ID using a processing device such as the CPU 911.

生成識別送信部863は、CPU911などの処理装置を用いて、記録識別生成部862が出力した匿名IDを入力する。
生成識別送信部863は、通信装置915を用いて、利用者端末装置100に対して、入力した匿名IDを送信する。 The generation identification transmission unit 863 inputs the anonymous ID output by the recording identification generation unit 862 using a processing device such as the CPU 911.
The generation identification transmission unit 863 transmits the input anonymous ID to the user terminal device 100 using the communication device 915.

記録識別記憶部864は、CPU911などの処理装置を用いて、記録識別生成部862が出力した匿名IDを入力する。
記録識別記憶部864は、磁気ディスク装置920などの記憶装置を用いて、入力した匿名IDを、利用者端末装置100の実名IDと関連づけて記憶する。 The record identification storage unit 864 inputs the anonymous ID output by the record identification generation unit 862 using a processing device such as the CPU 911.
The recording identification storage unit 864 stores the input anonymous ID in association with the real name ID of the user terminal device 100 using a storage device such as the magnetic disk device 920.

これにより、ID管理装置850は、複数の匿名IDが同一の利用者のものであるか、異なる利用者のものであるかを判別できる。その代わり、ID管理装置850は、その匿名IDを有する利用者が利用したサービスについての情報は持っていない。   Thus, the ID management device 850 can determine whether the plurality of anonymous IDs belong to the same user or different users. Instead, the ID management device 850 does not have information on the service used by the user having the anonymous ID.

利用者用履歴生成部871は、CPU911などの処理装置を用いて、利用記録受信部111が受信した履歴生成用情報740(暗号化記録情報640)と、記録識別記憶部864が記憶した匿名IDとを入力する。
利用者用履歴生成部871は、CPU911などの処理装置を用いて、入力した履歴生成用情報740に基づいて、利用者特定率を算出する。
利用者用履歴生成部871は、CPU911などの処理装置を用いて、入力した履歴生成用情報740のうち、利用者端末装置100を所持している利用者についての履歴生成用情報740を抽出する。
利用者用履歴生成部871は、CPU911などの処理装置を用いて、算出した利用者特定率を示す利用者特定率情報と、抽出した履歴生成用情報740とを含む利用者用履歴情報を生成する。
利用者用履歴生成部871は、CPU911などの処理装置を用いて、生成した利用者用履歴情報を出力する。 The history generation unit 871 for the user uses the processing device such as the CPU 911 and the history generation information 740 (encrypted recording information 640) received by the usage record reception unit 111 and the anonymous ID stored by the recording identification storage unit 864. Enter.
The user history generation unit 871 calculates a user identification rate based on the input history generation information 740 using a processing device such as the CPU 911.
The user history generation unit 871 extracts the history generation information 740 for the user who owns the user terminal device 100 from the input history generation information 740 using a processing device such as the CPU 911. .
The user history generation unit 871 generates user history information including the user identification rate information indicating the calculated user identification rate and the extracted history generation information 740 using a processing device such as the CPU 911. To do.
The user history generation unit 871 outputs the generated user history information using a processing device such as the CPU 911.

利用者用履歴送信部872は、CPU911などの処理装置を用いて、利用者用履歴生成部871が出力した利用者用履歴情報を入力する。
利用者用履歴送信部872は、通信装置915を用いて、利用者端末装置100に対して、生成した利用者用履歴情報を送信する。 The user history transmission unit 872 inputs the user history information output by the user history generation unit 871 using a processing device such as the CPU 911.
The user history transmission unit 872 transmits the generated user history information to the user terminal device 100 using the communication device 915.

次に、動作について説明する。
この実施の形態における履歴サービス提供システム800が履歴サービスを提供する履歴サービス提供処理の全体の流れは、実施の形態8で図30を用いて説明したものと同様なので、ここでは説明を省略する。 Next, the operation will be described.
The overall flow of the history service providing process in which the history service providing system 800 in this embodiment provides a history service is the same as that described in the eighth embodiment with reference to FIG.

図39は、この実施の形態における履歴サービス提供システム800が、利用者端末装置100とサービス提供装置810との間の通信を確立する通信確立処理の流れの一例を示すフローチャート図である。   FIG. 39 is a flowchart showing an example of the flow of communication establishment processing in which the history service providing system 800 in this embodiment establishes communication between the user terminal device 100 and the service providing device 810.

T11において、サービス提供装置810が利用者の来店を検知すると、サービス提供装置810は、通信装置915を用いて、利用者端末装置100に対して、証明書記憶部842が記憶した公開鍵証明書を送信する。
以下T14まで、実施の形態8で説明したのと同様の手順により、利用者端末装置100とサービス提供装置810とは共有鍵を共有し、この共有鍵によって暗号化した通信が確立する。以後、通信切断まで、この共有鍵により暗号化した通信により、利用者端末装置100とサービス提供装置810との間の通信が行われる。 When the service providing device 810 detects the visit of the user at T11, the service providing device 810 uses the communication device 915 to store the public key certificate stored in the certificate storage unit 842 with respect to the user terminal device 100. Send.
Thereafter, the user terminal device 100 and the service providing device 810 share a shared key by the same procedure as described in the eighth embodiment until T14, and communication encrypted with the shared key is established. Thereafter, until the communication is disconnected, communication between the user terminal device 100 and the service providing device 810 is performed by communication encrypted with the shared key.

次に、利用者端末装置100とID管理装置850との間の通信を確立する。
T21において、利用者端末装置100とID管理装置850との間では、相互認証を行い、共通鍵による通信を確立する。
例えば、利用者端末装置100は、通信装置915を用いて、ID管理装置850に対して、公開鍵証明書の送付を要求する情報を送信する。
ID管理装置850は、CPU911などの処理装置を用いて、磁気ディスク装置920などの記憶装置が記憶したID管理装置850の公開鍵証明書を読み出し、通信装置915を用いて、利用者端末装置100に対して、送信する。
利用者端末装置100は、通信装置915を用いて、ID管理装置850が送信してきた公開鍵証明書を受信し、CPU911などの処理装置を用いて、受信した公開鍵証明書の内容を確認して、ID管理装置850を認証する。
利用者端末装置100は、CPU911などの処理装置を用いて、メモリなどの記憶装置が記憶した利用者端末装置100の公開鍵証明書を読み出し、ID管理装置850の公開鍵で暗号化し、通信装置915を用いて、ID管理装置850に対して送信する。
ID管理装置850は、通信装置915を用いて、利用者端末装置100が送信してきた暗号化された公開鍵証明書を受信し、CPU911などの処理装置を用いて、ID管理装置850の秘密鍵で復号した上で、内容を確認し、利用者端末装置100を認証する。
その後、利用者端末装置100及びID管理装置850は、今回の通信に用いる共通鍵の素を生成し、相手の公開鍵で暗号化して、送信する。利用者端末装置100及びID管理装置850は、受信した共通鍵の素を自身の秘密鍵で復号し、自身が生成した共通鍵の素と合成して、今回の通信に用いる共通鍵を生成する。 Next, communication between the user terminal device 100 and the ID management device 850 is established.
At T21, mutual authentication is performed between the user terminal device 100 and the ID management device 850, and communication using a common key is established.
For example, the user terminal device 100 uses the communication device 915 to transmit information requesting the public key certificate to the ID management device 850.
The ID management device 850 reads the public key certificate of the ID management device 850 stored in the storage device such as the magnetic disk device 920 using a processing device such as the CPU 911 and uses the communication device 915 to read the user terminal device 100. Against.
The user terminal device 100 receives the public key certificate transmitted from the ID management device 850 using the communication device 915, and confirms the content of the received public key certificate using a processing device such as the CPU 911. Then, the ID management device 850 is authenticated.
The user terminal device 100 reads out the public key certificate of the user terminal device 100 stored in a storage device such as a memory using a processing device such as the CPU 911, encrypts it with the public key of the ID management device 850, and communicates with the communication device. 915 is used for transmission to the ID management device 850.
The ID management device 850 receives the encrypted public key certificate transmitted from the user terminal device 100 using the communication device 915, and uses the processing device such as the CPU 911 to use the private key of the ID management device 850. After decrypting, the contents are confirmed and the user terminal device 100 is authenticated.
Thereafter, the user terminal device 100 and the ID management device 850 generate a common key element used for the current communication, encrypt it with the other party's public key, and transmit it. The user terminal device 100 and the ID management device 850 decrypt the received prime of the common key with its own secret key, synthesize it with the prime of the common key generated by itself, and generate a common key used for this communication .

このようにして、利用者端末装置100とID管理装置850とは、互いに相手を特定して、通信を確立する。利用者端末装置100を特定できる情報である利用者端末装置100の公開鍵証明書は、ID管理装置850の公開鍵で暗号化して送信するので、サービス提供装置810が傍受しても、利用者端末装置100を特定されることはない。   In this way, the user terminal device 100 and the ID management device 850 identify each other and establish communication. Since the public key certificate of the user terminal device 100, which is information that can identify the user terminal device 100, is encrypted and transmitted with the public key of the ID management device 850, even if the service providing device 810 intercepts, the user The terminal device 100 is not specified.

以後、利用者端末装置100とID管理装置850との間の通信は、この手順によって共有した共通鍵によって暗号化する。したがって、これをサービス提供装置810が傍受しても、内容を知ることはできない。   Thereafter, communication between the user terminal device 100 and the ID management device 850 is encrypted with the common key shared by this procedure. Therefore, even if the service providing apparatus 810 intercepts this, the contents cannot be known.

なお、通信確立処理における認証方式・共通鍵共有方式は、「ISO/IEC 11770−3 Key Transport Mechanism 6」に記載の方式など、一般的な方式を用いてもよい。   Note that a general method such as the method described in “ISO / IEC 11770-3 Key Transport Mechanism 6” may be used as the authentication method / common key sharing method in the communication establishment process.

T22において、利用者端末装置100の識別生成要求送信部161は、CPU911などの処理装置を用いて、識別生成要求情報を生成する。識別生成要求送信部161は、通信装置915を用いて、ID管理装置850に対して、生成した識別生成要求情報を送信する。   In T22, the identification generation request transmission unit 161 of the user terminal device 100 generates identification generation request information using a processing device such as the CPU 911. The identification generation request transmission unit 161 transmits the generated identification generation request information to the ID management device 850 using the communication device 915.

ID管理装置850の識別生成要求受信部861は、通信装置915を用いて、利用者端末装置100が送信してきた識別生成要求情報を受信する。   The identification generation request receiving unit 861 of the ID management device 850 receives the identification generation request information transmitted from the user terminal device 100 using the communication device 915.

ID管理装置850の記録識別生成部862は、CPU911などの処理装置を用いて、匿名IDをランダムに生成する。
記録識別生成部862は、CPU911などの処理装置を用いて、生成した匿名IDと、記録識別記憶部864が記憶した匿名IDとが衝突しているか否かを判断する。
衝突している場合、記録識別生成部862は、CPU911などの処理装置を用いて、匿名IDの生成をやり直し、衝突しない匿名IDを生成するまで繰り返す。
衝突していない場合、記録識別生成部862は、CPU911などの処理装置を用いて、生成した匿名IDを出力する。 The record identification generating unit 862 of the ID management device 850 randomly generates an anonymous ID using a processing device such as the CPU 911.
The record identification generation unit 862 determines whether the generated anonymous ID and the anonymous ID stored in the record identification storage unit 864 collide with each other using a processing device such as the CPU 911.
If there is a collision, the record identification generation unit 862 uses a processing device such as the CPU 911 to generate an anonymous ID again and repeats until an anonymous ID that does not collide is generated.
When there is no collision, the record identification generation unit 862 outputs the generated anonymous ID using a processing device such as the CPU 911.

ID管理装置850の記録識別記憶部864は、CPU911などの処理装置を用いて、記録識別生成部862が出力した匿名IDを入力する。
記録識別記憶部864は、磁気ディスク装置920などの記憶装置を用いて、入力した匿名IDを、利用者端末装置100を識別する情報(例えば、実名ID)と関連づけて記憶する。 The record identification storage unit 864 of the ID management device 850 inputs the anonymous ID output by the record identification generation unit 862 using a processing device such as the CPU 911.
The recording identification storage unit 864 stores the input anonymous ID in association with information (for example, real name ID) for identifying the user terminal device 100 using a storage device such as the magnetic disk device 920.

ID管理装置850の生成識別送信部863は、CPU911などの処理装置を用いて、記録識別生成部862が出力した匿名IDを入力する。
生成識別送信部863は、通信装置915を用いて、利用者端末装置100に対して、入力した匿名IDを送信する。 The generation identification transmission unit 863 of the ID management device 850 inputs the anonymous ID output by the recording identification generation unit 862 using a processing device such as the CPU 911.
The generation identification transmission unit 863 transmits the input anonymous ID to the user terminal device 100 using the communication device 915.

利用者端末装置100の生成識別受信部163は、通信装置915を用いて、ID管理装置850が送信してきた匿名IDを受信する。
生成識別受信部163は、CPU911などの処理装置を用いて、受信した匿名IDを出力する。 The generation identification receiving unit 163 of the user terminal device 100 receives the anonymous ID transmitted from the ID management device 850 using the communication device 915.
The generation identification receiving unit 163 outputs the received anonymous ID using a processing device such as the CPU 911.

記録識別送信部164は、CPU911などの処理装置を用いて、生成識別受信部163が出力した匿名IDを入力する。
記録識別送信部164は、通信装置915を用いて、サービス提供装置810に対して、入力した匿名IDを送信する。 The record identification transmission unit 164 inputs the anonymous ID output by the generation identification reception unit 163 using a processing device such as the CPU 911.
The record identification transmitting unit 164 transmits the input anonymous ID to the service providing apparatus 810 using the communication apparatus 915.

ID管理装置850は、すべての匿名IDを管理している。利用者端末装置100がサービス提供装置810に対して送信する匿名IDは、衝突がないことを確認済なので、これにより、利用者端末装置100とサービス提供装置810との間で、匿名IDにより識別される通信が確立する。   The ID management device 850 manages all anonymous IDs. Since the anonymous ID transmitted from the user terminal device 100 to the service providing device 810 has been confirmed to have no collision, the anonymous ID is identified between the user terminal device 100 and the service providing device 810 by this. Communication established.

なお、実施の形態8で説明したように、利用者端末装置100が匿名IDを生成して、匿名IDを決定してもよい。その場合、決定された匿名IDを利用者端末装置100がID管理装置850に対して送信し、ID管理装置850が記憶する。   As described in the eighth embodiment, the user terminal device 100 may generate an anonymous ID and determine the anonymous ID. In this case, the user terminal device 100 transmits the determined anonymous ID to the ID management device 850, and the ID management device 850 stores it.

サービス提供装置810とID管理装置850との間でも、相互認証・共有鍵共有の手順により、通信を確立する。   Communication is also established between the service providing apparatus 810 and the ID management apparatus 850 by the mutual authentication / shared key sharing procedure.

こうして、利用者端末装置100、サービス提供装置810、ID管理装置850の三者は、それぞれ一対一の通信を確立する。それぞれの一対一通信は、暗号化されていて、残りの一者を含む他者はその内容を知ることができない。
以下、それぞれの一対一通信で用いられる共通鍵を区別するため、利用者端末装置100とサービス提供装置810との間の共通鍵を「共通鍵US」、利用者端末装置100とID管理装置850との間の共通鍵を「共通鍵UI」、サービス提供装置810とID管理装置850との間の共通鍵を「共通鍵IS」と呼ぶ。 Thus, the three of the user terminal device 100, the service providing device 810, and the ID management device 850 each establish one-to-one communication. Each one-to-one communication is encrypted, and others including the remaining one cannot know the contents.
Hereinafter, in order to distinguish the common key used in each one-to-one communication, the common key between the user terminal device 100 and the service providing device 810 is “common key US”, and the user terminal device 100 and the ID management device 850 are used. A common key between the service providing apparatus 810 and the ID management apparatus 850 is referred to as a “common key IS”.

図40は、この実施の形態における履歴サービス提供システム800が、履歴サービスを提供する情報提供処理の流れの一例を示すフローチャート図である。   FIG. 40 is a flowchart showing an example of a flow of information providing processing in which the history service providing system 800 according to this embodiment provides a history service.

匿名ID一覧送信工程において、サービス提供装置810の記録識別送信部824は、CPU911などの処理装置を用いて、利用記録記憶部823が記憶しているサービス利用記録情報群710に含まれるすべてのID番号712を入力する。
記録識別送信部824は、CPU911などの処理装置を用いて、入力したID番号712の一覧を作成する。
記録識別送信部824は、通信装置915を用いて、ID管理装置850に対して、作成したID番号712の一覧を送信する。
また、記録識別送信部824は、通信装置915を用いて、ID管理装置850に対して、利用者端末装置100の匿名IDを、ID番号712の一覧とともに送信する。 In the anonymous ID list transmission step, the record identification transmission unit 824 of the service providing device 810 uses all the IDs included in the service usage record information group 710 stored in the usage record storage unit 823 using a processing device such as the CPU 911. Enter the number 712.
The record identification transmitting unit 824 creates a list of input ID numbers 712 using a processing device such as the CPU 911.
The record identification transmission unit 824 transmits a list of the created ID numbers 712 to the ID management device 850 using the communication device 915.
Further, the record identification transmission unit 824 transmits the anonymous ID of the user terminal device 100 together with the list of ID numbers 712 to the ID management device 850 using the communication device 915.

匿名ID一覧受信工程において、記録識別受信部113は、通信装置915を用いて、匿名ID一覧送信処理でサービス提供装置810が送信したID番号712の一覧と利用者端末装置100の匿名IDとを受信する。
記録識別受信部113は、CPU911などの処理装置を用いて、受信したID番号712の一覧と利用者端末装置100の匿名IDとを出力する。 In the anonymous ID list receiving step, the record identification receiving unit 113 uses the communication device 915 to obtain the list of ID numbers 712 transmitted by the service providing device 810 and the anonymous ID of the user terminal device 100 in the anonymous ID list transmission process. Receive.
The record identification receiving unit 113 outputs a list of received ID numbers 712 and an anonymous ID of the user terminal device 100 using a processing device such as the CPU 911.

匿名ID選択工程において、記録識別選択部152は、CPU911などの処理装置を用いて、匿名ID一覧受信工程で記録識別受信部113が出力したID番号712の一覧と利用者端末装置100の匿名IDとを入力する。
記録識別選択部152は、CPU911などの処理装置を用いて、入力したID番号712の一覧のうちから、記録識別記憶部864が記憶した匿名IDと一致するID番号712を抽出し、実在ID番号とする。
記録識別選択部152は、CPU911などの処理装置を用いて、記録識別記憶部864が記憶した匿名IDに基づいて、入力した匿名IDと同一の利用者の匿名IDを判別する。
記録識別選択部152は、CPU911などの処理装置を用いて、入力したID番号712の一覧のうち、判別した匿名IDと同一のID番号712(履歴識別情報614)をすべて選択する。
記録識別選択部152は、CPU911などの処理装置を用いて、抽出した実在ID番号のうちから、更に、それ以外のID番号712を十分な数選択する。
記録識別選択部152は、CPU911などの処理装置を用いて、選択したID番号712のリストを出力する。 In the anonymous ID selection step, the record identification selection unit 152 uses a processing device such as the CPU 911 and the list of ID numbers 712 output by the record identification reception unit 113 in the anonymous ID list reception step and the anonymous ID of the user terminal device 100. Enter.
The recording identification selection unit 152 uses a processing device such as the CPU 911 to extract the ID number 712 that matches the anonymous ID stored in the recording identification storage unit 864 from the list of input ID numbers 712, and the real ID number And
The recording identification selection unit 152 uses a processing device such as the CPU 911 to determine the anonymous ID of the same user as the input anonymous ID based on the anonymous ID stored in the recording identification storage unit 864.
The record identification selection unit 152 selects all the ID numbers 712 (history identification information 614) that are the same as the determined anonymous ID from the list of input ID numbers 712 using a processing device such as the CPU 911.
The record identification selection unit 152 further selects a sufficient number of other ID numbers 712 from the extracted real ID numbers using a processing device such as the CPU 911.
The record identification selection unit 152 outputs a list of the selected ID numbers 712 using a processing device such as the CPU 911.

匿名IDサブセット送信工程において、選択識別送信部142は、CPU911などの処理装置を用いて、匿名ID選択工程で記録識別選択部152が出力したID番号712のリストを入力する。
選択識別送信部142は、通信装置915を用いて、サービス提供装置810に対して、入力したID番号712のリストを送信する。 In the anonymous ID subset transmission step, the selection identification transmission unit 142 inputs a list of ID numbers 712 output by the recording identification selection unit 152 in the anonymous ID selection step using a processing device such as the CPU 911.
The selection identification transmission unit 142 transmits the list of the input ID numbers 712 to the service providing apparatus 810 using the communication apparatus 915.

匿名IDサブセット受信工程において、選択識別受信部825は、通信装置915を用いて、匿名IDサブセット送信工程で選択識別送信部142が送信したID番号712のリストを受信する。
選択識別受信部825は、CPU911などの処理装置を用いて、受信したID番号712のリストを出力する。 In the anonymous ID subset receiving step, the selection identification receiving unit 825 receives the list of ID numbers 712 transmitted by the selection identification transmitting unit 142 in the anonymous ID subset transmission step using the communication device 915.
The selection identification receiving unit 825 outputs a list of received ID numbers 712 using a processing device such as the CPU 911.

履歴生成用情報作成工程において、送信利用記録生成部826は、CPU911などの処理装置を用いて、匿名IDサブセット受信工程で選択識別受信部825が出力したID番号712のリストを入力する。
送信利用記録生成部826は、CPU911などの処理装置を用いて、入力したID番号712それぞれについて、利用記録記憶部823が記憶したサービス利用記録情報711を入力する。
送信利用記録生成部826は、CPU911などの処理装置を用いて、入力したサービス利用記録情報711から履歴生成用情報740を作成する。
送信利用記録生成部826は、CPU911などの処理装置を用いて、作成した履歴生成用情報740を出力する。 In the history generation information creation step, the transmission use record generation unit 826 inputs a list of ID numbers 712 output by the selection identification reception unit 825 in the anonymous ID subset reception step using a processing device such as the CPU 911.
The transmission usage record generation unit 826 inputs service usage record information 711 stored in the usage record storage unit 823 for each input ID number 712 using a processing device such as the CPU 911.
The transmission usage record generation unit 826 generates history generation information 740 from the input service usage record information 711 using a processing device such as the CPU 911.
The transmission use record generation unit 826 outputs the generated history generation information 740 using a processing device such as the CPU 911.

履歴生成用情報送信工程において、利用記録送信部827は、CPU911などの処理装置を用いて、履歴生成用情報作成工程で送信利用記録生成部826が作成した送信利用記録情報を入力する。
利用記録送信部827は、通信装置915を用いて、ID管理装置850に対して、入力した送信利用記録情報を送信する。 In the history generation information transmission step, the usage record transmission unit 827 inputs the transmission usage record information created by the transmission usage record generation unit 826 in the history generation information creation step using a processing device such as the CPU 911.
The usage record transmission unit 827 transmits the input transmission usage record information to the ID management device 850 using the communication device 915.

履歴生成用情報受信工程において、利用記録受信部111は、通信装置915を用いて、履歴生成用情報送信工程で利用記録送信部827が送信した履歴生成用情報740(暗号化記録情報640)を受信する。
利用記録受信部111は、CPU911などの処理装置を用いて、受信した送信利用記録情報からサービス利用記録情報721(利用記録情報620)を取得する。
利用記録受信部111は、CPU911などの処理装置を用いて、取得したサービス利用記録情報721を出力する。 In the history generation information reception step, the usage record reception unit 111 uses the communication device 915 to transmit the history generation information 740 (encrypted recording information 640) transmitted by the usage record transmission unit 827 in the history generation information transmission step. Receive.
The usage record receiving unit 111 acquires service usage record information 721 (usage record information 620) from the received transmission usage record information using a processing device such as the CPU 911.
The usage record receiving unit 111 outputs the acquired service usage record information 721 using a processing device such as the CPU 911.

利用者用履歴生成工程において、利用者用履歴生成部871は、CPU911などの処理装置を用いて、履歴生成用情報受信工程で利用記録受信部111が出力したサービス利用記録情報721と、記録識別記憶部864が記憶した匿名IDとを入力する。
利用者用履歴生成部871は、CPU911などの処理装置を用いて、入力したサービス利用記録情報721に基づいて、個々の商品について利用者特定率を算出する。
利用者用履歴生成部871は、CPU911などの処理装置を用いて、入力したサービス利用記録情報721のなかから、利用者端末装置100を所持している利用者についてのサービス利用記録情報721を抽出する。
利用者用履歴生成部871は、CPU911などの処理装置を用いて、算出した利用者特定率を示す利用者特定率情報と、抽出したサービス利用記録情報721とを含む利用者用履歴情報を生成する。
利用者用履歴生成部871は、CPU911などの処理装置を用いて、生成した利用者用履歴情報を出力する。 In the user history generation step, the user history generation unit 871 uses the processing device such as the CPU 911 and the service usage record information 721 output by the usage record reception unit 111 in the history generation information reception step, and the record identification. The anonymous ID stored in the storage unit 864 is input.
The user history generation unit 871 calculates a user identification rate for each product based on the input service usage record information 721 using a processing device such as the CPU 911.
The user history generation unit 871 uses a processing device such as the CPU 911 to extract service usage record information 721 about the user who owns the user terminal device 100 from the input service usage record information 721. To do.
The user history generation unit 871 generates user history information including the user specification rate information indicating the calculated user specification rate and the extracted service use record information 721 using a processing device such as the CPU 911. To do.
The user history generation unit 871 outputs the generated user history information using a processing device such as the CPU 911.

利用者用履歴送信工程において、利用者用履歴送信部872は、利用者用履歴生成工程で利用者用履歴生成部871が出力した利用者用履歴情報を入力する。
利用者用履歴送信部872は、通信装置915を用いて、利用者端末装置100に対して、入力した利用者用履歴情報を送信する。 In the user history transmission step, the user history transmission unit 872 inputs the user history information output by the user history generation unit 871 in the user history generation step.
The user history transmission unit 872 transmits the input user history information to the user terminal device 100 using the communication device 915.

利用者用履歴情報は、ID管理装置850が利用者端末装置100に対して直接送信してもよいし、サービス提供装置810を経由して送信してもよい。サービス提供装置810を経由して送信する場合であっても、利用者用履歴情報は、ID管理装置850と利用者端末装置100との間で共有している共有鍵で暗号化されているので、サービス提供装置810に内容を知られることはないし、サービス提供装置810に内容を改竄されることもない。   The user history information may be transmitted directly to the user terminal device 100 by the ID management device 850 or may be transmitted via the service providing device 810. Even in the case of transmission via the service providing apparatus 810, the user history information is encrypted with the shared key shared between the ID management apparatus 850 and the user terminal apparatus 100. The service providing apparatus 810 does not know the contents, and the service providing apparatus 810 does not alter the contents.

利用者用履歴受信工程において、利用者用履歴受信部172は、通信装置915を用いて、利用者用履歴送信工程で利用者用履歴送信部872が送信してきた利用者用履歴情報を受信する。
利用者用履歴受信部172は、CPU911などの処理装置を用いて、受信した利用者用履歴情報を出力する。 In the user history receiving step, the user history receiving unit 172 receives the user history information transmitted by the user history transmitting unit 872 in the user history transmitting step using the communication device 915. .
The user history receiving unit 172 outputs the received user history information using a processing device such as the CPU 911.

履歴生成用情報検証工程において、信頼性判断部151は、CPU911などの処理装置を用いて、利用者用履歴受信部172が出力した利用者用履歴情報を入力する。
信頼性判断部151は、CPU911などの処理装置を用いて、入力した利用者用履歴情報に含まれるサービス利用記録情報721が改竄されていないかを検証する。
サービス利用記録情報721が改竄されていないと、信頼性判断部151が判断した場合は、履歴生成工程を実行する。 In the history generation information verification step, the reliability determination unit 151 inputs the user history information output from the user history reception unit 172 using a processing device such as the CPU 911.
The reliability determination unit 151 verifies whether the service usage record information 721 included in the input user history information has been tampered with using a processing device such as the CPU 911.
When the reliability determination unit 151 determines that the service usage record information 721 has not been tampered with, the history generation process is executed.

履歴生成工程において、匿名履歴判別部130は、CPU911などの処理装置を用いて、利用者用履歴受信部172が出力した利用者用履歴情報を入力する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、入力した利用者用履歴情報に含まれる利用者特定率情報が示す利用者特定率と、利用者特定率設定情報が示す閾値とを比較して、その商品についての情報の匿名性を判断する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、匿名性が高いと判断した商品についての情報から、匿名履歴情報630を生成する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、生成した匿名履歴情報630を出力する。 In the history generation step, the anonymous history determination unit 130 inputs the user history information output by the user history reception unit 172 using a processing device such as the CPU 911.
Anonymity history discriminating unit 130 uses a processing device such as CPU 911 to obtain the user identification rate indicated by the user identification rate information included in the input user history information and the threshold value indicated by the user identification rate setting information. In comparison, the anonymity of the information about the product is determined.
The anonymity history determination unit 130 generates anonymity history information 630 from information about a product determined to have high anonymity using a processing device such as the CPU 911.
The anonymous history discriminating unit 130 outputs the generated anonymous history information 630 using a processing device such as the CPU 911.

以下の処理の流れは、実施の形態8で説明したものと同様なので、説明を省略する。   Since the following processing flow is the same as that described in the eighth embodiment, a description thereof will be omitted.

サービス提供装置810が生成する履歴生成用情報740に含まれる情報のうち、その利用者についてのサービス利用記録情報721は、履歴生成用情報740が信頼できるか否かを検証するために使用し、他の利用者についてのサービス利用記録情報721は、利用者特定率を算出し、匿名性を判断するために使用する。   Of the information included in the history generation information 740 generated by the service providing apparatus 810, the service usage record information 721 for the user is used to verify whether the history generation information 740 is reliable, The service usage record information 721 for other users is used to calculate the user identification rate and determine anonymity.

この実施の形態における履歴サービス提供システム800では、ID管理装置850が利用者特定率を算出するので、利用者端末装置100は、他の利用者についてのサービス利用記録情報721を処理する必要がない。
一方、ID管理装置850は、サービス利用記録情報711を記憶していないので、信頼性を検証することができない。
そこで、ID管理装置850は、その利用者についてのサービス利用記録情報721だけを利用者端末装置100に対して送信し、利用者端末装置100が信頼性を検証する。 In the history service providing system 800 in this embodiment, since the ID management device 850 calculates the user identification rate, the user terminal device 100 does not need to process the service usage record information 721 for other users. .
On the other hand, since the ID management device 850 does not store the service usage record information 711, the reliability cannot be verified.
Therefore, the ID management device 850 transmits only the service usage record information 721 for the user to the user terminal device 100, and the user terminal device 100 verifies the reliability.

図41は、この実施の形態における送信利用記録生成部826が生成する履歴生成用情報740及び利用者用履歴生成部871が生成する利用者用履歴情報780の一例を示す図である。   FIG. 41 is a diagram showing an example of history generation information 740 generated by the transmission usage record generation unit 826 and user history information 780 generated by the user history generation unit 871 in this embodiment.

履歴生成用情報740は、サービス種別情報群771とサービス情報群741とからなる。
サービス種別情報群771は、1以上の暗号化サービス種別情報772からなる。
暗号化サービス種別情報772は、送信利用記録生成部826が、CPU911などの処理装置を用いて、サービスの種別を示す情報(この例では、商品コード)を、利用者端末装置100とサービス提供装置810との間で今回の通信に使用している共通鍵USで暗号化して生成した情報である。
サービス種別情報群771は、送信利用記録生成部826が、CPU911などの処理装置を用いて、暗号化サービス種別情報772をランダムな順番に並べて生成する。
これにより、ID管理装置850は、履歴生成用情報740から、利用されたサービスの種別を知ることができない。 The history generation information 740 includes a service type information group 771 and a service information group 741.
The service type information group 771 includes one or more encrypted service type information 772.
As for the encrypted service type information 772, the transmission usage record generating unit 826 uses a processing device such as the CPU 911 to send information indicating the type of service (product code in this example), the user terminal device 100, and the service providing device. This is information generated by encrypting with the common key US used for the current communication with 810.
The service type information group 771 is generated by the transmission usage record generation unit 826 using the processing device such as the CPU 911 to arrange the encrypted service type information 772 in a random order.
As a result, the ID management device 850 cannot know the type of service used from the history generation information 740.

サービス情報群741は、1以上のサービス記録情報742からなる。
サービス記録情報742は、利用記録記憶部823が記録したサービス利用記録情報711に対応する情報である。サービス記録情報742は、利用記録記憶部823が記憶したサービス利用記録情報群710において、選択識別受信部825が受信したID番号712のリストに含まれるID番号712によって識別されるサービス利用記録情報711に基づいて、送信利用記録生成部826が生成する。
サービス記録情報742は、ID番号743と個別サービス情報群746とからなる。
ID番号743は、元のサービス利用記録情報711のID番号712である。
個別サービス情報群746は、元のサービス利用記録情報711のサービス利用記録714から生成した情報である。
個別サービス情報群746は、1以上の個別サービス情報747からなる。
個別サービス情報747は、利用されたサービスの内容を示す情報(この例では、購入個数)である。
個別サービス情報群746は、送信利用記録生成部826が、CPU911などの処理装置を用いて、個別サービス情報747を、サービス種別情報群771における暗号化サービス種別情報772と同じ順番に並べて生成する。
これにより、ID管理装置850は、どの個別サービス情報747がどの暗号化サービス種別情報772に対応するものであるかを知ることができる。 The service information group 741 includes one or more service record information 742.
The service record information 742 is information corresponding to the service use record information 711 recorded by the use record storage unit 823. The service record information 742 is service use record information 711 identified by the ID number 712 included in the list of ID numbers 712 received by the selection identification receiving unit 825 in the service use record information group 710 stored in the use record storage unit 823. Is generated by the transmission usage record generation unit 826.
The service record information 742 includes an ID number 743 and an individual service information group 746.
The ID number 743 is the ID number 712 of the original service usage record information 711.
The individual service information group 746 is information generated from the service usage record 714 of the original service usage record information 711.
The individual service information group 746 includes one or more individual service information 747.
The individual service information 747 is information (in this example, the number of purchases) indicating the contents of the used service.
In the individual service information group 746, the transmission usage record generating unit 826 generates the individual service information 747 in the same order as the encrypted service type information 772 in the service type information group 771 using a processing device such as the CPU 911.
Thereby, the ID management apparatus 850 can know which individual service information 747 corresponds to which encrypted service type information 772.

送信利用記録生成部826が生成した履歴生成用情報740は、利用記録送信部827がID管理装置850に対して送信し、ID管理装置850の利用記録受信部111が受信する。利用記録受信部111は、受信した履歴生成用情報740を出力し、利用者用履歴生成部871が入力する。   The history record generation information 740 generated by the transmission usage record generation unit 826 is transmitted by the usage record transmission unit 827 to the ID management device 850 and received by the usage record reception unit 111 of the ID management device 850. The usage record reception unit 111 outputs the received history generation information 740 and the user history generation unit 871 inputs the information.

利用者用履歴生成部871は、CPU911などの処理装置を用いて、記録識別記憶部864が記憶した匿名IDを入力する。
利用者用履歴生成部871は、CPU911などの処理装置を用いて、入力した匿名IDから、利用者端末装置100の利用者の匿名IDを判別し、判別した匿名IDと一致するID番号743を有するサービス記録情報742を、入力したサービス記録情報742から抽出する。
この例において、利用者用履歴生成部871は、「ID3」と「ID5」のサービス記録情報742を抽出する。 The user history generation unit 871 inputs the anonymous ID stored in the record identification storage unit 864 using a processing device such as the CPU 911.
The user history generation unit 871 uses a processing device such as the CPU 911 to determine the anonymous ID of the user of the user terminal device 100 from the input anonymous ID, and obtains the ID number 743 that matches the determined anonymous ID. The service record information 742 is extracted from the input service record information 742.
In this example, the user history generation unit 871 extracts the service record information 742 of “ID3” and “ID5”.

利用者用履歴生成部871は、CPU911などの処理装置を用いて、抽出したサービス記録情報742に基づいて、個別サービス情報747が示す購入個数がすべて「0」である商品(購入したことがない商品)を判別する。利用者用履歴生成部871は、CPU911などの処理装置を用いて、判別した商品以外の商品(購入したことがある)について、利用者特定率を算出する。
この例において、利用者用履歴生成部871は、3番目の商品以外の商品について、利用者特定率を算出する。 The user history generation unit 871 uses a processing device such as the CPU 911, and based on the extracted service record information 742, products for which the purchase numbers indicated by the individual service information 747 are all “0” (never purchased) Product). The user history generation unit 871 uses a processing device such as the CPU 911 to calculate a user identification rate for products other than the determined product (has been purchased).
In this example, the user history generation unit 871 calculates a user identification rate for products other than the third product.

利用者用履歴生成部871が生成する利用者用履歴情報780は、サービス種別情報群771、サービス情報群741、利用者特定率情報群781からなる。
サービス種別情報群771は、送信利用記録生成部826が生成した履歴生成用情報740に含まれるサービス種別情報群771から、利用者用履歴生成部871が、購入したことがないと判別した商品についての暗号化サービス情報を除いて生成する。
サービス情報群741は、送信利用記録生成部826が生成した履歴生成用情報740に含まれるサービス情報群741のサービス記録情報742のうちから、利用者用履歴生成部871が、その利用者についてのサービス記録情報742だけを抽出し、更に、購入したことがないと判別した商品についての個別サービス情報747を除いて生成する。
利用者特定率情報群781は、利用者用履歴生成部871が算出した利用者特定率を示す利用者特定率情報782を、利用者用履歴生成部871が、サービス種別情報群771における暗号化サービス種別情報772と同じ順序に並べて生成する。 The user history information 780 generated by the user history generation unit 871 includes a service type information group 771, a service information group 741, and a user identification rate information group 781.
The service type information group 771 is a service type information group 771 included in the history generation information 740 generated by the transmission use record generation unit 826, and the user history generation unit 871 determines that the product has not been purchased. It is generated excluding the encryption service information.
The service information group 741 includes the service record information 742 of the service information group 741 included in the history generation information 740 generated by the transmission usage record generation unit 826. Only the service record information 742 is extracted, and further, the service record information 742 is generated by excluding the individual service information 747 for the product determined to have not been purchased.
The user identification rate information group 781 encrypts the user identification rate information 782 indicating the user identification rate calculated by the user history generation unit 871, and the user history generation unit 871 encrypts the service identification information group 771. They are generated in the same order as the service type information 772.

なお、この例では、「その商品を購入したことがある」という情報の利用者特定率を算出しているが、購入個数も含めた情報の利用者特定率を算出してもよい。
また、利用者特定率ではなく、利用回数を算出してもよい。 In this example, the user identification rate of the information “has purchased the product” is calculated, but the user identification rate of information including the number of purchases may be calculated.
Moreover, you may calculate the frequency | count of use instead of a user specific rate.

利用者用履歴生成部871が生成した利用者用履歴情報780は、利用者用履歴送信部872が利用者端末装置100に対して送信し、利用者端末装置100の利用者用履歴受信部172が受信する。   The user history information 780 generated by the user history generation unit 871 is transmitted to the user terminal device 100 by the user history transmission unit 872, and the user history reception unit 172 of the user terminal device 100 is transmitted. Receive.

利用者用履歴受信部172は、CPU911などの処理装置を用いて、利用者用履歴情報780のサービス種別情報群771を、共通鍵USで復号して、商品コードを取得する。
利用者用履歴受信部172は、CPU911などの処理装置を用いて、復号した商品コードを含む利用者用履歴情報780を出力する。 Using a processing device such as the CPU 911, the user history receiving unit 172 decrypts the service type information group 771 of the user history information 780 with the common key US, and acquires the product code.
The user history receiving unit 172 outputs the user history information 780 including the decrypted product code using a processing device such as the CPU 911.

信頼性判断部151は、CPU911などの処理装置を用いて、利用者用履歴受信部172が出力した利用者用履歴情報780と、利用履歴記憶部121が記憶したサービス利用記録情報711とを入力する。
信頼性判断部151は、CPU911などの処理装置を用いて、利用者用履歴情報780が示す利用したサービス内容と、サービス利用記録情報711が示す利用したサービス内容とを比較し、一致するか否かを判断する。
一致すると判断した場合、信頼性判断部151は、ID管理装置850が受信した履歴生成用情報740が信頼できると判断する。
一致しないと判断した場合、信頼性判断部151は、ID管理装置850が受信した履歴生成用情報740が信頼できないと判断する。 The reliability determination unit 151 inputs the user history information 780 output from the user history reception unit 172 and the service usage record information 711 stored in the usage history storage unit 121 using a processing device such as the CPU 911. To do.
Using the processing device such as the CPU 911, the reliability determination unit 151 compares the service content used by the user history information 780 with the service content used by the service usage record information 711, and whether or not they match. Determine whether.
When it is determined that they match, the reliability determination unit 151 determines that the history generation information 740 received by the ID management device 850 is reliable.
When it is determined that they do not match, the reliability determination unit 151 determines that the history generation information 740 received by the ID management device 850 is not reliable.

履歴生成用情報740が信頼できると信頼性判断部151が判断した場合、匿名履歴判別部130は、CPU911などの処理装置を用いて、利用者用履歴受信部172が出力した利用者用履歴情報780を入力する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、入力した利用者用履歴情報780が示す利用者特定率に基づいて、対応する商品を購入したことがあることを示す情報の匿名性を判断する。
匿名履歴判別部130は、匿名性が高いと判断した情報から、匿名履歴情報630を生成し、出力する。 When the reliability determination unit 151 determines that the history generation information 740 is reliable, the anonymous history determination unit 130 uses the processing device such as the CPU 911 to output the user history information output by the user history reception unit 172. Enter 780.
Anonymity history discriminating unit 130 uses a processing device such as CPU 911 and anonymity of information indicating that the corresponding product has been purchased based on the user identification rate indicated by input user history information 780. Judging.
The anonymous history discriminating unit 130 generates and outputs anonymous history information 630 from information determined to have high anonymity.

このように、利用者端末装置100は、ID管理装置850が算出した利用者特定率に基づいて、情報の匿名性を判断するので、CPU911などの処理装置の処理能力や通信装置915の通信能力が低い場合でも、情報の匿名性を正確に判断することができる。
利用者端末装置100は、例えば携帯電話であり、ID管理装置850は、例えばサーバ装置であるから、一般にID管理装置850のほうが利用者端末装置100よりもCPU911などの処理装置の処理能力、通信装置915の通信能力が高く、より多くのサービス利用記録に基づいて、利用者特定率を算出できるからである。 Thus, since the user terminal device 100 determines the anonymity of information based on the user identification rate calculated by the ID management device 850, the processing capability of the processing device such as the CPU 911 and the communication capability of the communication device 915 Even if is low, the anonymity of information can be accurately determined.
The user terminal device 100 is, for example, a mobile phone, and the ID management device 850 is, for example, a server device. This is because the communication capability of the device 915 is high and the user identification rate can be calculated based on more service usage records.

利用者端末装置100が匿名性が高いと判断した情報から生成した匿名履歴情報630をサービス提供装置810に対して送信して、履歴サービスを利用するので、サービス提供装置810は、利用者を特定することができない。   Since the anonymous history information 630 generated from the information that the user terminal device 100 has determined to have high anonymity is transmitted to the service providing device 810 and the history service is used, the service providing device 810 identifies the user. Can not do it.

一方、ID管理装置850は、利用者を特定することができ、その利用者のサービス利用記録情報711のつながりを把握している。
しかし、ID管理装置850は、サービス利用記録情報711のID番号712の間のつながりを知っているが、サービス利用記録情報711の内容は知らないので、利用者が利用したサービス内容の全貌を、ID管理装置850が知ることはない。 On the other hand, the ID management device 850 can identify the user and grasps the connection of the service usage record information 711 of the user.
However, the ID management device 850 knows the connection between the ID numbers 712 of the service use record information 711, but does not know the contents of the service use record information 711, so the entire contents of the service contents used by the user are The ID management device 850 does not know.

ID管理装置850は、利用者特定率を算出するため、サービス利用記録情報711の内容の一部(この例では、購入個数)を取得するが、それに対応する商品コードを復号できないので、その利用者が「何を」購入したのかはわからない。   The ID management device 850 obtains a part of the contents of the service usage record information 711 (in this example, the number of purchases) in order to calculate the user identification rate, but the product code corresponding thereto cannot be decrypted. I don't know what they bought "what".

このように、サービス利用記録の具体的内容はサービス提供装置810が記憶し、サービス利用記録のつながりだけをID管理装置850が記憶するので、情報が分散される。万が一、ID管理装置850が記憶している情報が漏洩したとしても、その情報だけでは利用者がどのようなサービスを利用したか知ることはできず、利用者の個人情報を保護できる。   Thus, the specific contents of the service usage record are stored in the service providing apparatus 810, and only the connection of the service usage record is stored in the ID management apparatus 850, so that the information is distributed. Even if the information stored in the ID management device 850 is leaked, it is impossible to know what service the user has used only by the information, and the personal information of the user can be protected.

この実施の形態における履歴サービス提供システム800によれば、利用者端末装置100が有するCPU911などの処理装置の処理能力や通信装置915の通信能力が低い場合でも、ID管理装置850が利用者特定率を算出するので、情報の匿名性を正確に判断することができ、サービス提供装置810に利用者を特定されにくくすることができるという効果を奏する。   According to the history service providing system 800 in this embodiment, even when the processing capability of the processing device such as the CPU 911 and the communication capability of the communication device 915 included in the user terminal device 100 are low, the ID management device 850 has the user identification rate. Therefore, it is possible to accurately determine the anonymity of the information, and it is possible to make it difficult for the service providing apparatus 810 to identify the user.

なお、この例では、ID管理装置850が利用者特定率を算出しているが、ID管理装置850とは別に利用者特定率算出装置を設け、利用者特定率算出装置が利用者特定率を算出する構成としてもよい。
また、匿名IDの管理は、利用者端末装置100がそれぞれ行うこととしてID管理装置850をなくし、利用者特定率算出装置が、利用者特定率の算出を代行する処理だけを行う構成としてもよい。 In this example, the ID management device 850 calculates the user identification rate. However, a user identification rate calculation device is provided separately from the ID management device 850, and the user identification rate calculation device calculates the user identification rate. It is good also as a structure to calculate.
Further, the anonymous ID management may be performed by the user terminal device 100 without the ID management device 850, and the user identification rate calculation device may perform only the process of substituting the calculation of the user identification rate. .

この実施の形態における履歴サービス提供システム800によれば、サービス種別(この例では、商品コード)を暗号化して、ID管理装置850が知ることができないようにすることにより、ID管理装置850がサービス利用記録の全貌を把握できないようにしているので、万が一情報が漏洩した場合でも、利用者の個人情報を保護することができるという効果を奏する。   According to the history service providing system 800 in this embodiment, the ID type management apparatus 850 is configured to encrypt the service type (product code in this example) so that the ID management apparatus 850 cannot know the service type. Since the entire usage record cannot be grasped, the personal information of the user can be protected even if information is leaked.

また、この実施の形態における履歴サービス提供システム800は、サービス提供装置810が嘘の履歴生成用情報740により利用者端末装置100を欺き、利用者を特定できる情報を収集しようとするのを防ぐため、ID管理装置850が、サービス提供装置810から取得した履歴生成用情報740のうちから、利用者端末装置100が記憶したサービス利用記録情報711と照合することにより、履歴生成用情報740の信頼性を判断できるサービス記録情報742だけを抽出し、利用者端末装置100に対して送信する。
これにより、利用者端末装置100が受信する利用者用履歴情報780は、ID管理装置850がサービス提供装置810から受信する履歴生成用情報740よりも、はるかに少ない情報量となるので、利用者端末装置100の通信装置915の通信能力が低くても、履歴生成用情報740の信頼性を判断することができる。 Further, the history service providing system 800 in this embodiment prevents the service providing apparatus 810 from deceiving the user terminal device 100 using the lie history generation information 740 and collecting information that can identify the user. The ID management device 850 compares the history generation information 740 acquired from the service providing device 810 with the service usage record information 711 stored in the user terminal device 100, whereby the reliability of the history generation information 740 is verified. Only the service record information 742 that can be determined is extracted and transmitted to the user terminal device 100.
As a result, the user history information 780 received by the user terminal device 100 has a much smaller amount of information than the history generation information 740 received by the ID management device 850 from the service providing device 810. Even if the communication capability of the communication device 915 of the terminal device 100 is low, the reliability of the history generation information 740 can be determined.

また、サービス提供装置810は、ID管理装置850がどのサービス記録情報742を抽出したか判別できないので、利用者を特定できない。更に、サービス提供装置810は、どのサービス記録情報742が信頼性の判断に用いられるか判別できないので、サービス記録情報742を改竄して、利用者端末装置100を欺くことができない。   Further, since the service providing apparatus 810 cannot determine which service record information 742 the ID management apparatus 850 has extracted, the service providing apparatus 810 cannot identify the user. Furthermore, since the service providing apparatus 810 cannot determine which service record information 742 is used for the determination of reliability, the service providing information 742 cannot be falsified and the user terminal apparatus 100 cannot be deceived.

更に、サービス提供装置810は、架空の匿名IDを生成し、架空のサービス記録情報742により、利用者端末装置100を欺こうとする可能性がある。架空の匿名IDであれば、それを検証できる利用者端末装置100が存在しないので、都合のよい内容をもつサービス記録情報742を生成しても、利用者端末装置100の信頼性判断部150によって、履歴生成用情報740が信頼できないと判断されることはないからである。
この実施の形態におけるID管理装置850は、記録識別受信部113が受信したID番号712の一覧のうちから、記録識別選択部152が、記録識別記憶部864が記憶した匿名IDに基づいて、実在するID番号を抽出し、そのなかから履歴生成用情報740を生成するためのID番号を選択するので、サービス提供装置810が送信してきたID番号712の一覧のなかに架空のID番号が含まれている場合でも、履歴生成用情報740には、実在するID番号に対応するサービス記録情報742しか含まれない。 Furthermore, the service providing apparatus 810 may generate a fictitious anonymous ID and attempt to deceive the user terminal apparatus 100 with the fictitious service record information 742. Since there is no user terminal device 100 that can verify the fictitious anonymous ID, even if the service record information 742 having convenient contents is generated, the reliability judgment unit 150 of the user terminal device 100 generates This is because the history generation information 740 is not determined to be unreliable.
In this embodiment, the ID management device 850 is configured so that the record identification selection unit 152 from the list of ID numbers 712 received by the record identification receiving unit 113 is based on the anonymous ID stored by the record identification storage unit 864. Since the ID number for generating the history generation information 740 is selected from among the ID numbers to be extracted, a fictitious ID number is included in the list of ID numbers 712 transmitted by the service providing apparatus 810. Even in this case, the history generation information 740 includes only the service record information 742 corresponding to the existing ID number.

したがって、ID管理装置850は、架空のサービス記録情報742によって、サービス提供装置810が意図する誤った利用者特定率を算出することはなく、利用者特定率を正しく算出する。これにより、サービス提供装置810は、架空のサービス記録情報742により、利用者端末装置100を騙すこともできない。   Therefore, the ID management device 850 correctly calculates the user identification rate without calculating the erroneous user identification rate intended by the service providing device 810 based on the fictitious service record information 742. Thereby, the service providing apparatus 810 cannot trick the user terminal apparatus 100 by the fictitious service record information 742.

この実施の形態における履歴サービス提供システム800によれば、利用者が履歴を送信する前に、予めID管理装置850を仲介することによって店舗から履歴に関する情報を入手し、それら情報を用いて、利用者は自身が店舗によって特定されない購入情報から購入履歴を作成し店舗に送信することによって、利用者はプライバシーを保護された状態で且つ匿名で履歴サービスを利用できる。
また、店舗から入手する履歴に関する情報量はID管理装置850によって制御できるため、ID管理装置850や利用者端末装置100の性能に応じて最適な情報量を調整可能である。
また、利用者端末装置100は、店舗から入手する履歴に関する情報のいずれかを検証可能であるが、店舗は利用者が検証する情報を特定できないため、店舗が情報を都合の良い値に改竄することを防止できる。
また、店舗から入手する履歴に関する情報のうちID管理装置850が知ることができる情報は、商品の個数に関する情報のみであり、商品を特定する商品コードは保護される。
また、店舗は、ID管理装置850から匿名IDや利用者特定率を含んだ情報を中継する場合であっても、情報は暗号化されているため、店舗はこれらの情報を閲覧して利用者を特定することはできない。
また、利用者端末装置100と店舗のサービス提供装置810間、利用者端末装置100とID管理装置850間、店舗のサービス提供装置810とID管理装置850間の通信データは暗号化されているため、第三者の盗聴を防止できる。 According to the history service providing system 800 in this embodiment, before a user transmits a history, information relating to the history is obtained from the store by mediating the ID management device 850 in advance, and the information is used using the information. By creating a purchase history from purchase information that is not specified by the store and transmitting the purchase history to the store, the user can use the history service anonymously with privacy protected.
Moreover, since the information amount regarding the history acquired from the store can be controlled by the ID management device 850, the optimum information amount can be adjusted according to the performance of the ID management device 850 and the user terminal device 100.
In addition, the user terminal device 100 can verify any of the information regarding the history acquired from the store, but the store cannot specify the information to be verified by the user, so the store falsifies the information to a convenient value. Can be prevented.
Further, the information that can be known by the ID management device 850 among the information on the history acquired from the store is only information on the number of products, and the product code that identifies the product is protected.
Further, even if the store relays information including an anonymous ID and a user identification rate from the ID management device 850, since the information is encrypted, the store browses the information and uses the information. Cannot be specified.
Further, communication data between the user terminal device 100 and the store service providing device 810, between the user terminal device 100 and the ID management device 850, and between the store service providing device 810 and the ID management device 850 is encrypted. , Preventing eavesdropping by third parties.

実施の形態10.
実施の形態10について、図42〜図43を用いて説明する。
この実施の形態における履歴サービス提供システム800の全体構成、利用者端末装置100及びサービス提供装置810のハードウェア構成は、実施の形態1で説明したものと同様なので、ここでは説明を省略する。
また、この実施の形態におけるサービス提供装置810の機能ブロックの構成は、実施の形態8で説明したものと同様なので、ここでは説明を省略する。 Embodiment 10 FIG.
The tenth embodiment will be described with reference to FIGS.
Since the overall configuration of the history service providing system 800 and the hardware configuration of the user terminal device 100 and the service providing device 810 in this embodiment are the same as those described in the first embodiment, description thereof is omitted here.
In addition, since the functional block configuration of the service providing apparatus 810 in this embodiment is the same as that described in the eighth embodiment, description thereof is omitted here.

図42は、この実施の形態における利用者端末装置100の機能ブロックの構成の一例を示すブロック構成図である。
なお、実施の形態4で説明した機能ブロックと共通するブロックについては、同一の符号を付し、ここでは説明を省略する。 FIG. 42 is a block configuration diagram illustrating an example of a functional block configuration of the user terminal device 100 according to this embodiment.
Note that blocks common to the functional blocks described in the fourth embodiment are denoted by the same reference numerals, and description thereof is omitted here.

利用者端末装置100は、更に、利用履歴入力部181、種別識別判別部182、種別識別記憶部183を有する。   The user terminal device 100 further includes a usage history input unit 181, a type identification determination unit 182, and a type identification storage unit 183.

利用履歴入力部181は、キーボード902などの入力装置を用いて、利用者が利用したサービスの種別・内容を示す情報を入力する。
ここで、利用者が利用したサービスの種別とは、例えば、利用者が今回購入した商品のことである。また、利用者が利用したサービスの内容とは、例えば、利用者が今回購入した商品の個数のことである。
利用履歴入力部181は、CPU911などの処理装置を用いて、入力したサービスの種別・内容を示す情報を出力する。 The usage history input unit 181 inputs information indicating the type and content of the service used by the user using an input device such as a keyboard 902.
Here, the type of service used by the user is, for example, a product purchased by the user this time. The content of the service used by the user is, for example, the number of products purchased by the user this time.
The usage history input unit 181 outputs information indicating the type and content of the input service using a processing device such as the CPU 911.

種別識別判別部182は、CPU911などの処理装置を用いて、利用履歴入力部181が出力したサービスの種別・内容を示す情報と、利用履歴受信部112が出力した利用履歴情報610とを入力する。
種別識別判別部182は、CPU911などの処理装置を用いて、入力した利用履歴情報610と、入力したサービスの種別・内容を示す情報とを照合し、利用履歴情報610に含まれる商品コード611などのサービスの種別を示す情報(以下「種別識別情報」という)が、実際にどのサービス種別に対応するかを判別する。
種別識別判別部182は、CPU911などの処理装置を用いて、種別識別情報と、その種別識別情報が示すサービスの種別を示す情報とを出力する。 The type identification determination unit 182 uses a processing device such as the CPU 911 to input information indicating the type and contents of the service output from the usage history input unit 181 and the usage history information 610 output from the usage history reception unit 112. .
The type identification determination unit 182 uses a processing device such as the CPU 911 to collate the input usage history information 610 with information indicating the type and content of the input service, and the product code 611 included in the usage history information 610 It is determined to which service type the information indicating the service type (hereinafter referred to as “type identification information”) actually corresponds.
The type identification determination unit 182 uses a processing device such as the CPU 911 to output type identification information and information indicating the type of service indicated by the type identification information.

種別識別記憶部183は、CPU911などの処理装置を用いて、種別識別判別部182が出力した種別識別情報と、その種別識別情報が示すサービスの種別を示す情報とを入力する。
種別識別記憶部183は、CPU911などの処理装置を用いて、入力した種別識別情報と、その種別識別情報が示すサービスの種別との対応関係が、既に記憶している対応関係と矛盾しないか判断する。
矛盾がないと判断した場合、種別識別記憶部183は、メモリなどの記憶装置を用いて、種別識別情報と、その種別識別情報が示すサービスの種別を示す情報とを記憶する。
矛盾があると判断した場合、種別識別記憶部183は、メモリなどの記憶装置を用いて、種別識別情報と、その種別識別情報が示すサービスの種別を示す情報とを記憶し、更に、その種別識別情報が信頼できないことを示す情報を記憶する。 The type identification storage unit 183 uses the processing device such as the CPU 911 to input the type identification information output from the type identification determination unit 182 and information indicating the type of service indicated by the type identification information.
The type identification storage unit 183 uses a processing device such as the CPU 911 to determine whether the correspondence between the input type identification information and the type of service indicated by the type identification information is consistent with the correspondence already stored. To do.
When it is determined that there is no contradiction, the type identification storage unit 183 stores type identification information and information indicating the type of service indicated by the type identification information, using a storage device such as a memory.
If it is determined that there is a contradiction, the type identification storage unit 183 stores the type identification information and information indicating the type of service indicated by the type identification information using a storage device such as a memory, and further, the type Information indicating that the identification information is not reliable is stored.

例えば、利用者が同じサービスを以前に利用したことがある場合、種別識別記憶部183は、そのサービス種別についての種別識別情報を既に記憶している。種別識別記憶部183は、種別識別判別部182が出力した種別識別情報と、既に記憶している種別識別情報とが一致するか否かを判断する。一致しない場合、種別識別記憶部183は、矛盾があると判断する。
また、逆に、種別識別判別部182が出力した種別識別情報と一致する種別識別情報を、種別識別記憶部183が既に記憶している場合、種別識別記憶部183は、対応するサービス種別が一致するか否かを判断する。一致しない場合、種別識別記憶部183は、矛盾があると判断する。 For example, if the user has used the same service before, the type identification storage unit 183 already stores type identification information for the service type. The type identification storage unit 183 determines whether or not the type identification information output from the type identification determination unit 182 matches the type identification information already stored. If they do not match, the type identification storage unit 183 determines that there is a contradiction.
Conversely, if the type identification storage unit 183 has already stored type identification information that matches the type identification information output by the type identification determination unit 182, the type identification storage unit 183 matches the corresponding service type. Judge whether to do. If they do not match, the type identification storage unit 183 determines that there is a contradiction.

匿名履歴判別部130は、CPU911などの処理装置を用いて、匿名性を判断しようとしている情報の種別識別情報について、種別識別記憶部183が記憶した情報に基づいて、その種別識別情報が信頼できるか否かを判断する。すなわち、種別識別記憶部183が、その種別識別情報が信頼できないことを示す情報を記憶しているか否かを判断する。
その種別識別情報が信頼できないと判断した場合、匿名履歴判別部130は、CPU911などの処理装置を用いて、その種別識別情報にかかわる情報は匿名性が低いと判断する。 Anonymity history discriminating unit 130 can trust the type identification information based on the information stored in type identification storage unit 183 for the type identification information of the information whose anonymity is to be determined using a processing device such as CPU 911. Determine whether or not. That is, it is determined whether or not the type identification storage unit 183 stores information indicating that the type identification information is not reliable.
When it is determined that the type identification information is not reliable, the anonymous history determination unit 130 determines that the information related to the type identification information is low in anonymity using a processing device such as the CPU 911.

商品コード611などの種別識別情報として、サービス提供装置810が独自に生成した非公開の情報を用いる場合、利用者端末装置100は、種別識別情報をあらかじめ知ることができない。
そのため、サービス提供装置810が種別識別情報に何らかの細工をして、利用者を特定しようとする可能性がある。例えば、同じサービスに複数の種別識別情報を割り当てて、利用者を絞り込む手がかりにすることができる可能性がある。 When the private information generated uniquely by the service providing apparatus 810 is used as the type identification information such as the product code 611, the user terminal device 100 cannot know the type identification information in advance.
Therefore, there is a possibility that the service providing apparatus 810 attempts to identify the user by performing some sort of the type identification information. For example, there is a possibility that a plurality of type identification information can be assigned to the same service and used as a clue to narrow down users.

この実施の形態の利用者端末装置100は、サービスを利用した際に、利用者が実際に利用したサービスについての情報を入力し、種別識別情報に何らかの細工がされていないかを検証するものである。   The user terminal device 100 according to this embodiment, when using a service, inputs information about the service actually used by the user and verifies whether the type identification information has been crafted. is there.

図43は、この実施の形態における利用者端末装置100が種別識別情報に矛盾がないか判定する種別識別判定処理の流れの一例を示すフローチャート図である。   FIG. 43 is a flowchart showing an example of the flow of type identification determination processing in which the user terminal device 100 according to this embodiment determines whether there is a contradiction in the type identification information.

T31において、利用履歴受信部112は、通信装置915を用いて、サービス提供装置810が送信してきた利用履歴情報610を受信する。
利用履歴受信部112は、CPU911などの処理装置を用いて、受信した利用履歴情報610を出力する。 In T <b> 31, the usage history receiving unit 112 receives the usage history information 610 transmitted from the service providing device 810 using the communication device 915.
The usage history receiving unit 112 outputs the received usage history information 610 using a processing device such as the CPU 911.

T32において、利用履歴入力部181は、キーボード902などの入力装置を用いて、利用者が利用したサービスの種別・内容を示す情報を入力する。
例えば、利用履歴入力部181は、表示装置901を用いて、利用者に入力を促すメッセージを表示し、利用者がキーボード902などの入力装置を操作した操作内容に基づいて、利用者が利用したサービスの種別・内容を示す情報を入力する。
利用履歴入力部181は、CPU911などの処理装置を用いて、入力したサービスの種別・内容を示す情報を出力する。 In T32, the usage history input unit 181 inputs information indicating the type and content of the service used by the user using an input device such as the keyboard 902.
For example, the usage history input unit 181 uses the display device 901 to display a message for prompting the user to input, and the user uses the content based on the operation content of the user operating the input device such as the keyboard 902. Enter information indicating the type and content of the service.
The usage history input unit 181 outputs information indicating the type and content of the input service using a processing device such as the CPU 911.

T33において、種別識別判別部182は、CPU911などの処理装置を用いて、T31で利用履歴受信部112が出力した利用履歴情報610を入力する。
また、種別識別判別部182は、CPU911などの処理装置を用いて、T32で利用履歴入力部181が出力したサービスの種別・内容を示す情報を入力する。
種別識別判別部182は、CPU911などの処理装置を用いて、入力した利用履歴情報610と、入力したサービスの種別・内容を示す情報とを照合し、利用履歴情報610に含まれる商品コード611などの種別識別情報と、その種別識別情報が示すサービス種別との対応関係を判別する。
種別識別判別部182は、CPU911などの処理装置を用いて、種別識別情報とその種別識別情報が示すサービス種別との対応関係を示す情報を出力する。 At T33, the type identification determination unit 182 inputs the usage history information 610 output from the usage history reception unit 112 at T31 using a processing device such as the CPU 911.
In addition, the type identification determination unit 182 inputs information indicating the type and content of the service output from the usage history input unit 181 in T32 using a processing device such as the CPU 911.
The type identification determination unit 182 uses a processing device such as the CPU 911 to collate the input usage history information 610 with information indicating the type and content of the input service, and the product code 611 included in the usage history information 610 The correspondence relationship between the type identification information and the service type indicated by the type identification information is determined.
The type identification determination unit 182 outputs information indicating the correspondence between the type identification information and the service type indicated by the type identification information, using a processing device such as the CPU 911.

例えば、利用者が商品「XYZ」を1個購入した場合、利用履歴入力部181は、商品名「XYZ」と、購入個数「1個」とを入力する。
利用履歴受信部112が受信した利用履歴情報610には、商品コード「商品A」と購入個数「1」を示す情報が含まれている。
種別識別判別部182は、CPU911などの処理装置を用いて、この情報を照合し、商品コード「商品A」が示す商品の商品名が「XYZ」であることを判別する。
このように、種別識別判別部182は、利用したサービスの内容が一致する場合に、種別識別情報と、入力したサービス種別とを結びつけ、対応関係を判別する。 For example, when the user purchases one product “XYZ”, the usage history input unit 181 inputs the product name “XYZ” and the purchase quantity “1”.
The usage history information 610 received by the usage history receiving unit 112 includes information indicating the product code “product A” and the number of purchases “1”.
The type identification determination unit 182 collates this information using a processing device such as the CPU 911 and determines that the product name of the product indicated by the product code “product A” is “XYZ”.
As described above, when the contents of the used services match, the type identification determination unit 182 associates the type identification information with the input service type and determines the correspondence.

また、利用者が商品「PQR」を2個、商品「UVW」を3個購入した場合には、利用履歴入力部181は、商品名「PQR」及び商品名「UVW」と、それぞれの購入個数とを入力する。
利用履歴受信部112が受信した利用履歴情報610には、商品コード「商品B」と購入個数「2」、商品コード「商品C」と購入個数「3」を示す情報が含まれている。
種別識別判別部182は、CPU911などの処理装置を用いて、この情報を照合し、商品コード「商品B」が示す商品の商品名が「PQR」であり、商品コード「商品C」が示す商品の商品名が「UVW」であることを判別する。
このように、1回のサービス利用に際して、複数の種別のサービスを利用した場合、種別識別判別部182は、利用したサービスの内容が一致するものを結びつけ、対応関係を判別する。 When the user purchases two products “PQR” and three products “UVW”, the usage history input unit 181 displays the product name “PQR”, the product name “UVW”, and the number of items purchased. Enter.
The usage history information 610 received by the usage history receiving unit 112 includes information indicating the product code “product B” and the purchase quantity “2”, the product code “product C” and the purchase quantity “3”.
The type identification determination unit 182 uses a processing device such as the CPU 911 to collate this information, the product name of the product indicated by the product code “product B” is “PQR”, and the product indicated by the product code “product C”. Is determined to be “UVW”.
As described above, when a plurality of types of services are used in one service use, the type identification determination unit 182 determines that the corresponding service contents match and determines the correspondence.

T34において、種別識別記憶部183は、CPU911などの処理装置を用いて、T33で種別識別判別部182が出力した種別識別情報とその種別識別情報が示すサービス種別との対応関係を示す情報(以下「種別識別対応情報」という)を入力する。
種別識別記憶部183は、CPU911などの処理装置を用いて、既に記憶している種別識別対応情報のなかから、種別識別情報あるいはサービス種別のいずれかが、入力した種別識別対応情報と一致する種別識別対応情報を検索する。 At T34, the type identification storage unit 183 uses a processing device such as the CPU 911 to display information indicating the correspondence between the type identification information output by the type identification determination unit 182 at T33 and the service type indicated by the type identification information (hereinafter referred to as “type identification information”). "Type identification correspondence information").
The type identification storage unit 183 uses a processing device such as the CPU 911 to select a type in which either the type identification information or the service type matches the input type identification correspondence information from the type identification correspondence information already stored. Search for identification correspondence information.

検索の結果、種別識別情報かサービス種別のどちらかが入力した種別識別対応情報と一致する情報が見つからない場合、種別識別記憶部183は、CPU911などの処理装置を用いて、入力した種別識別対応情報が示す対応関係に矛盾がないと判断する。
検索の結果、種別識別情報かサービス種別のどちらかが入力した種別識別対応情報と一致する情報が見つかった場合、種別識別記憶部183は、CPU911などの処理装置を用いて、種別識別情報およびサービス種別の双方が一致するか否かを判断する。
検索の結果見つけた種別識別対応情報のなかに、種別識別情報かサービス種別のどちらか一方は入力した種別識別対応情報と一致するが、他方は一致しない種別識別対応情報があると判断した場合、種別識別記憶部183は、CPU911などの処理装置を用いて、対応関係に矛盾があると判断する。
検索の結果見つかったすべての種別識別対応情報について、種別識別情報及びサービス種別の双方が入力した種別識別対応情報と一致すると判断した場合、種別識別記憶部183は、CPU911などの処理装置を用いて、対応関係に矛盾がないと判断する。
対応関係に矛盾がないと判断した場合、T35へ進む。
対応関係に矛盾があると判断した場合、T36へ進む。 As a result of the search, if no information is found that matches either the type identification information or the type identification corresponding information entered, the type identification storage unit 183 uses the processing device such as the CPU 911 to input the type identification correspondence. It is determined that there is no contradiction in the correspondence relationship indicated by the information.
As a result of the search, when information matching either the type identification information or the type identification correspondence information input is found, the type identification storage unit 183 uses the processing device such as the CPU 911 to execute the type identification information and the service. It is determined whether or not both types match.
If it is determined that there is type identification information that matches either the type identification information or the service type that is entered, but the other does not match, among the type identification information found as a result of the search, The type identification storage unit 183 uses a processing device such as the CPU 911 to determine that there is a contradiction in the correspondence.
When it is determined that all of the type identification correspondence information found as a result of the search matches the type identification correspondence information entered, the type identification storage unit 183 uses a processing device such as the CPU 911. Judge that there is no contradiction in the correspondence.
If it is determined that there is no contradiction in the correspondence relationship, the process proceeds to T35.
If it is determined that there is a contradiction in the correspondence, the process proceeds to T36.

なお、検索の結果見つかった種別識別対応情報のいずれかに信頼できないことを示す情報が付加されている場合、種別識別記憶部183は、CPU911などの処理装置を用いて、対応関係に矛盾があると判断することとしてもよい。   When information indicating that the information is not reliable is added to any of the type identification correspondence information found as a result of the search, the type identification storage unit 183 uses the processing device such as the CPU 911 and the correspondence relationship is inconsistent. It is good also as judging.

T35において、種別識別記憶部183は、メモリなどの記憶装置を用いて、入力した種別識別対応情報を記憶する。
その後、種別識別判定処理を終了する。 At T35, the type identification storage unit 183 stores the input type identification correspondence information using a storage device such as a memory.
Thereafter, the type identification determination process ends.

T36において、種別識別記憶部183は、CPU911などの処理装置を用いて、入力した種別識別対応情報に、それが信頼できないことを示す情報を付加し、メモリなどの記憶装置を用いて記憶する。
また、種別識別記憶部183は、CPU911などの処理装置を用いて、T33で検索の結果見つけた種別識別対応情報にも、それが信頼できないことを示す情報を付加し、メモリなどの記憶装置を用いて記憶する。
その後、種別識別判定処理を終了する。 At T36, the type identification storage unit 183 uses a processing device such as the CPU 911 to add information indicating that it is unreliable to the input type identification correspondence information, and stores the information using a storage device such as a memory.
In addition, the type identification storage unit 183 uses a processing device such as the CPU 911 to add information indicating that it is unreliable to the type identification correspondence information found as a result of the search in T33, and stores a storage device such as a memory. Use and remember.
Thereafter, the type identification determination process ends.

サービス提供装置810が種別識別情報になんらかの細工をしている場合、サービス提供装置810から送られてきた種別識別情報と、実際に利用者が利用したサービス種別との対応関係が一致しないことがある。そこで、利用者端末装置100は、種別識別判定処理により、対応関係が常に一致するかを判定する。   When the service providing apparatus 810 has some sort of work on the type identification information, the correspondence between the type identification information sent from the service providing apparatus 810 and the service type actually used by the user may not match. . Therefore, the user terminal device 100 determines whether or not the correspondence relationship always matches through the type identification determination process.

対応関係が一致しないことを発見した場合、サービス提供装置810が種別識別情報になんらかの細工をしている可能性があるので、その種別識別情報を含む情報は、匿名性が低い可能性がある。
そこで、情報の匿名性を判断するに際し、匿名履歴判別部130は、CPU911などの処理装置を用いて、種別識別記憶部183が記憶した種別識別対応情報のなかから、匿名性を判断したい情報に含まれる種別識別情報についての種別識別対応情報を検索する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、検索の結果見つかった種別識別対応情報のなかに、信頼できないことを示す情報が付加されたものがあるか否かを判断する。
信頼できないことを示す情報が付加された種別識別対応情報がある場合、匿名履歴判別部130は、CPU911などの処理装置を用いて、匿名性が低いと判断する。
信頼できないことを示す情報が付加された種別識別対応情報がない場合、匿名履歴判別部130は、CPU911などの処理装置を用いて、利用者特定率を算出するなどして、通常どおり匿名性を判断する。 When it is found that the correspondence relationship does not match, the service providing apparatus 810 may have crafted the type identification information in some way, and thus the information including the type identification information may have low anonymity.
Therefore, when determining the anonymity of information, the anonymity history discriminating unit 130 uses the processing device such as the CPU 911 to select the information for which anonymity is to be determined from the type identification correspondence information stored in the type identification storage unit 183. The type identification correspondence information for the type identification information included is searched.
The anonymity history discriminating unit 130 uses a processing device such as the CPU 911 to determine whether there is information to which unreliable information is added in the type identification correspondence information found as a result of the search.
If there is type identification correspondence information to which information indicating that it is not reliable is added, the anonymous history determination unit 130 determines that anonymity is low using a processing device such as the CPU 911.
When there is no type identification correspondence information to which information indicating that the information is not reliable is added, the anonymous history determination unit 130 calculates the user identification rate by using a processing device such as the CPU 911, so that anonymity is obtained as usual. to decide.

この実施の形態における利用者端末装置100(端末装置)は、更に、
CPU911などの処理装置を用いて、利用履歴受信部112が出力した利用履歴情報610を入力し、CPU911などの処理装置を用いて、入力した利用履歴情報610から、利用者が利用したサービスの種別を識別する種別識別情報を取得し、CPU911などの処理装置を用いて、取得した種別識別情報と、実際に利用者が利用したサービス種別との対応関係を判別し、CPU911などの処理装置を用いて、判別した対応関係を示す情報を出力する種別識別判別部182と、
CPU911などの処理装置を用いて、種別識別判別部182が出力した対応関係を示す情報を、種別識別対応情報として入力し、CPU911などの処理装置を用いて、記憶した種別識別対応情報のなかから、入力した種別識別対応情報が示す種別識別情報と一致する種別識別情報についての種別識別対応情報と、入力した種別識別対応情報が示すサービス種別と一致するサービス種別についての種別識別対応情報とを検索し、CPU911などの処理装置を用いて、検索した種別識別対応情報が示す対応関係と、入力した種別識別対応情報が示す対応関係とを比較して、対応関係が一致しないものがあるか否かを判断し、CPU911などの処理装置を用いて、対応関係が一致しないものがないと判断した場合、メモリなどの記憶装置を用いて、入力した種別識別対応情報を記憶し、CPU911などの処理装置を用いて、対応関係が一致しないものがあると判断した場合、入力した種別識別対応情報に、信頼できないことを示す情報を付加し、メモリなどの記憶装置を用いて、信頼できないことを示す情報を付加した種別識別対応情報を記憶する種別識別記憶部183とを有し、
匿名履歴判別部130は、更に、
CPU911などの処理装置を用いて、入力した利用履歴情報610から、種別識別情報を取得し、CPU911などの処理装置を用いて、種別識別記憶部183が記憶した種別識別対応情報のなかから、取得した種別識別情報についての種別識別対応情報を検索し、CPU911などの処理装置を用いて、検索した種別識別対応情報に、信頼できないことを示す情報が付加されているか否かを判断し、CPU911などの処理装置を用いて、信頼できないことを示す情報が付加されている場合、入力した利用履歴情報610は利用者が特定されやすいと判断することを特徴とする。 The user terminal device 100 (terminal device) in this embodiment further includes:
The usage history information 610 output from the usage history receiving unit 112 is input using a processing device such as the CPU 911, and the type of service used by the user is input from the input usage history information 610 using the processing device such as the CPU 911. Type identification information is obtained, and the correspondence between the acquired type identification information and the service type actually used by the user is determined using a processing device such as the CPU 911, and the processing device such as the CPU 911 is used. A type identification determination unit 182 that outputs information indicating the determined correspondence;
Using the processing device such as the CPU 911, the information indicating the correspondence output from the type identification determining unit 182 is input as the type identification correspondence information, and from the stored type identification correspondence information using the processing device such as the CPU 911. Search for type identification correspondence information for type identification information that matches the type identification information indicated by the type identification correspondence information that has been input, and type identification correspondence information for a service type that matches the type of service indicated by the type identification correspondence information that has been input. Then, using a processing device such as the CPU 911, the correspondence relationship indicated by the retrieved type identification correspondence information is compared with the correspondence relationship indicated by the input type identification correspondence information, and whether or not there is a mismatch between the correspondence relationships. If a processing device such as the CPU 911 determines that there is no correspondence relationship, a storage device such as a memory is installed. If the input type identification correspondence information is stored and it is determined that there is a mismatch in correspondence using a processing device such as the CPU 911, information indicating that the type identification correspondence information is not reliable is added to the input type identification correspondence information. And using a storage device such as a memory, a type identification storage unit 183 that stores type identification correspondence information to which information indicating that it is not reliable is added,
The anonymous history discriminating unit 130 further
The type identification information is acquired from the input usage history information 610 using a processing device such as the CPU 911, and acquired from the type identification correspondence information stored in the type identification storage unit 183 using the processing device such as the CPU 911. The type identification correspondence information is searched for the type identification information, and using a processing device such as the CPU 911, it is determined whether or not information indicating that the type identification correspondence information is not trusted is added to the searched type identification correspondence information. When the information indicating that it is not reliable is added using the processing device, the input usage history information 610 is determined to be easily identified by the user.

この実施の形態における利用者端末装置100によれば、利用履歴受信部112が受信した利用履歴情報610に含まれる商品コードなどの種別識別情報と、利用者が実際に利用したサービスの種別(例えば、購入した商品)との対応関係を、種別識別判別部182が判別し、種別識別記憶部183が、過去の記録と比較して、対応関係に矛盾がないか判断し、対応関係に矛盾がある場合には、匿名履歴判別部130が、その種別識別情報を含む情報の匿名性が低いと判断するので、サービス提供装置810が種別識別情報に細工をして、利用者を特定する手がかりにしようとした場合、細工された種別識別情報を含む情報を、サービス提供装置810に送信せず、サービス提供装置810が利用者を特定する手がかりを得ることができないという効果を奏する。   According to the user terminal device 100 in this embodiment, type identification information such as a product code included in the usage history information 610 received by the usage history receiving unit 112 and the type of service actually used by the user (for example, The type identification discriminating unit 182 discriminates the correspondence relationship with the purchased product), and the type identification storage unit 183 determines whether the correspondence relationship is consistent with the past record. In some cases, the anonymous history discriminating unit 130 determines that the anonymity of the information including the type identification information is low, so that the service providing apparatus 810 crafts the type identification information to identify the user. If an attempt is made, information including the crafted type identification information is not transmitted to the service providing apparatus 810, and the service providing apparatus 810 cannot obtain a clue for specifying the user. The effect say.

実施の形態11.
実施の形態11について、図44〜図47を用いて説明する。 Embodiment 11 FIG.
The eleventh embodiment will be described with reference to FIGS.

図44は、この実施の形態における履歴サービス提供システム800の全体構成及びハードウェア構成の一例を示すシステム構成図である。
なお、実施の形態1で説明した履歴サービス提供システム800と共通する部分については、同一の符号を付し、ここでは説明を省略する。
履歴サービス提供システム800は、更に、ID署名装置880を有する。
ID署名装置880は、例えば、信頼できる第三者機関が有するサーバ装置である。
ID署名装置880のハードウェア構成は、サービス提供装置810と同様である。
ID署名装置880は、通信装置915を用いて、利用者端末装置100と通信する。
ID署名装置880は、利用者端末装置100が生成した匿名IDに署名を付し、サービス提供装置810が捏造した架空の匿名IDでないことを保証する。 FIG. 44 is a system configuration diagram showing an example of the overall configuration and hardware configuration of the history service providing system 800 in this embodiment.
In addition, the same code | symbol is attached | subjected about the part which is common in the log | history service provision system 800 demonstrated in Embodiment 1, and description is abbreviate | omitted here.
The history service providing system 800 further includes an ID signature device 880.
The ID signature device 880 is, for example, a server device owned by a reliable third party organization.
The hardware configuration of the ID signature device 880 is the same as that of the service providing device 810.
The ID signature device 880 communicates with the user terminal device 100 using the communication device 915.
The ID signature device 880 attaches a signature to the anonymous ID generated by the user terminal device 100 and ensures that it is not a fictitious anonymous ID created by the service providing device 810.

この実施の形態は、実施の形態9の構成にあるID管理装置850がない構成でも、サービス提供装置810が架空の匿名IDにより利用者端末装置100を騙すことができないようにしたものである。   In this embodiment, even if the ID management device 850 in the configuration of the ninth embodiment is not provided, the service providing device 810 cannot deceive the user terminal device 100 with a fictitious anonymous ID.

図45は、この実施の形態における利用者端末装置100及びID署名装置880の機能ブロックの構成の一例を示すブロック構成図である。
なお、実施の形態4で説明した機能ブロックと共通するブロックについては、同一の符号を付し、ここでは説明を省略する。
また、サービス提供装置810の機能ブロックの構成は、実施の形態8で説明したものと同様なので、ここでは説明を省略する。 FIG. 45 is a block configuration diagram showing an example of the functional block configuration of the user terminal device 100 and the ID signature device 880 in this embodiment.
Note that blocks common to the functional blocks described in the fourth embodiment are denoted by the same reference numerals, and description thereof is omitted here.
Further, the functional block configuration of the service providing apparatus 810 is the same as that described in the eighth embodiment, and the description thereof is omitted here.

ID署名装置880(識別署名装置ともいう)は、署名要求受信部881、署名生成部882、署名送信部883を有する。   The ID signature device 880 (also referred to as an identification signature device) includes a signature request reception unit 881, a signature generation unit 882, and a signature transmission unit 883.

署名要求受信部881は、通信装置915を用いて、利用者端末装置100が送信してきた署名要求情報(識別署名要求情報)を受信する。
署名要求情報は、署名してほしい情報(以下「署名対象情報」という)を含む。利用者端末装置100は、署名対象情報として匿名ID(あるいは、匿名IDを変換した情報)を含む署名要求情報を、ID署名装置880に対して送信する。
署名要求受信部881は、CPU911などの処理装置を用いて、受信した署名要求情報から署名対象情報を取得し、取得した署名対象情報を出力する。 The signature request receiving unit 881 receives the signature request information (identification signature request information) transmitted from the user terminal device 100 using the communication device 915.
The signature request information includes information desired to be signed (hereinafter referred to as “signature target information”). The user terminal device 100 transmits signature request information including an anonymous ID (or information obtained by converting the anonymous ID) as signature target information to the ID signature device 880.
The signature request receiving unit 881 uses a processing device such as the CPU 911 to acquire signature target information from the received signature request information and outputs the acquired signature target information.

署名生成部882は、CPU911などの処理装置を用いて、署名要求受信部881が出力した署名対象情報を入力する。
署名生成部882は、CPU911などの処理装置を用いて、入力した署名対象情報を、ID署名装置880の秘密鍵で暗号化して、電子署名情報を生成する。
署名生成部882は、CPU911などの処理装置を用いて、生成した電子署名情報を出力する。 The signature generation unit 882 inputs the signature target information output from the signature request reception unit 881 using a processing device such as the CPU 911.
The signature generation unit 882 generates electronic signature information by encrypting the input signature target information with the secret key of the ID signature device 880 using a processing device such as the CPU 911.
The signature generation unit 882 outputs the generated electronic signature information using a processing device such as the CPU 911.

署名送信部883は、CPU911などの処理装置を用いて、署名生成部882が出力した電子署名情報を入力する。
署名送信部883は、通信装置915を用いて、利用者端末装置100に対して、入力した電子署名情報を送信する。 The signature transmission unit 883 inputs the electronic signature information output from the signature generation unit 882 using a processing device such as the CPU 911.
The signature transmission unit 883 transmits the input electronic signature information to the user terminal device 100 using the communication device 915.

ID署名装置880の公開鍵は公開されており、署名送信部883が送信した電子署名情報は、公開されたID署名装置880の公開鍵を用いて、誰でも復号することができる。復号して得た情報と、元の署名対象情報とを比較することにより、署名対象情報が改竄されているか否かを、誰でも判断できる。   The public key of the ID signature device 880 is open to the public, and the electronic signature information transmitted by the signature transmission unit 883 can be decrypted by anyone using the public key of the public ID signature device 880. By comparing the information obtained by decryption with the original signature target information, anyone can determine whether the signature target information has been tampered with.

利用者端末装置100は、更に、記録識別生成部862、識別署名要求送信部191、識別署名受信部192、記録識別送信部164、署名検証部193を有する。   The user terminal device 100 further includes a recording identification generation unit 862, an identification signature request transmission unit 191, an identification signature reception unit 192, a recording identification transmission unit 164, and a signature verification unit 193.

記録識別生成部862は、CPU911などの処理装置を用いて、匿名IDを生成する。
記録識別生成部862は、CPU911などの処理装置を用いて、生成した匿名IDを出力する。 The record identification generation unit 862 generates an anonymous ID using a processing device such as the CPU 911.
The record identification generation unit 862 outputs the generated anonymous ID using a processing device such as the CPU 911.

識別署名要求送信部191は、CPU911などの処理装置を用いて、記録識別生成部862が出力した匿名IDを入力する。
識別署名要求送信部191は、CPU911などの処理装置を用いて、入力した匿名IDを変換する。
識別署名要求送信部191は、通信装置915を用いて、ID署名装置880に対して、匿名IDを変換した情報を含む署名要求情報(以下「識別署名要求情報」という)を送信する。 The identification signature request transmission unit 191 inputs the anonymous ID output by the recording identification generation unit 862 using a processing device such as the CPU 911.
The identification signature request transmission unit 191 converts the input anonymous ID using a processing device such as the CPU 911.
Using the communication device 915, the identification signature request transmission unit 191 transmits signature request information (hereinafter referred to as “identification signature request information”) including information obtained by converting the anonymous ID to the ID signature device 880.

識別署名受信部192は、通信装置915を用いて、ID署名装置880が送信してきた電子署名情報を受信する。
識別署名受信部192は、CPU911などの処理装置を用いて、受信した電子署名情報を変換して、匿名IDについての電子署名情報(以下「識別署名情報」という)を取得する。
識別署名受信部192は、CPU911などの処理装置を用いて、取得した識別署名情報を出力する。 The identification signature receiving unit 192 receives the electronic signature information transmitted from the ID signature device 880 using the communication device 915.
The identification signature receiving unit 192 converts the received electronic signature information using a processing device such as the CPU 911 to obtain electronic signature information (hereinafter referred to as “identification signature information”) for the anonymous ID.
The identification signature receiving unit 192 outputs the acquired identification signature information using a processing device such as the CPU 911.

利用者端末装置100とID署名装置880との間の通信は、相互認証を行うため、ID署名装置880は、利用者端末装置100を特定できる。
利用者端末装置100がID署名装置880に対して、署名してほしい匿名IDをそのまま送信すると、ID署名装置880のなかに、利用者端末装置100と匿名IDとの対応関係が残ってしまう可能性がある。
そこで、この実施の形態では、ブラインド署名方式により、ID署名装置880に署名してもらう。 Since the communication between the user terminal device 100 and the ID signature device 880 performs mutual authentication, the ID signature device 880 can identify the user terminal device 100.
If the user terminal device 100 transmits the anonymous ID to be signed as it is to the ID signature device 880, the correspondence between the user terminal device 100 and the anonymous ID may remain in the ID signature device 880. There is sex.
Therefore, in this embodiment, the ID signature device 880 is signed by the blind signature method.

ブラインド署名方式とは、署名してほしい情報の内容を、署名する装置(この場合はID署名装置880)に知らせることなく、署名をしてもらう電子署名方式のことである。
すなわち、署名してほしい情報(匿名ID)を変換した情報を署名対象情報として、ID署名装置880に送信し、署名してもらう。このとき、ID署名装置880は、署名してほしい情報を変換した変換式を知らないので、署名してほしい情報を復元することはできず、ID署名装置880に署名してほしい情報を知られることはない。
利用者端末装置100は、ID署名装置880が署名した電子署名情報を受信し、署名してほしい情報を変換したのと逆の変換をする。これにより、利用者端末装置100は、署名してほしい情報に、ID署名装置880が直接署名した場合と同じ情報を取得することができる。 The blind signature scheme is an electronic signature scheme in which a signature is made without notifying the signing device (in this case, the ID signature device 880) of the contents of information to be signed.
That is, information obtained by converting the information to be signed (anonymous ID) is transmitted as signature target information to the ID signature device 880 to be signed. At this time, since the ID signature device 880 does not know the conversion formula obtained by converting the information to be signed, the information desired to be signed cannot be restored, and the information desired to be signed by the ID signature device 880 is known. There is nothing.
The user terminal device 100 receives the electronic signature information signed by the ID signature device 880, and performs a reverse conversion to the conversion of the information desired to be signed. As a result, the user terminal device 100 can acquire the same information as the case where the ID signature device 880 directly signed the information desired to be signed.

記録識別送信部164は、CPU911などの処理装置を用いて、記録識別生成部862が出力した匿名IDと、識別署名受信部192が出力した識別署名情報とを入力する。
記録識別送信部164は、CPU911などの処理装置を用いて、入力した匿名IDに、入力した識別署名情報を付加した情報(以下「署名付き匿名ID」という)を生成する。
記録識別送信部164は、通信装置915を用いて、サービス提供装置810に対して、生成した署名付き匿名IDを送信する。 The recording identification transmitting unit 164 inputs the anonymous ID output from the recording identification generating unit 862 and the identification signature information output from the identification signature receiving unit 192 using a processing device such as the CPU 911.
The recording identification transmitting unit 164 uses a processing device such as the CPU 911 to generate information (hereinafter referred to as “anonymous ID with signature”) in which the input identification signature information is added to the input anonymous ID.
The record identification transmission unit 164 transmits the generated anonymous ID with signature to the service providing apparatus 810 using the communication apparatus 915.

以後の処理では、署名付き匿名IDを匿名ID・ID番号として使用する。
例えば、記録識別受信部113が受信するID番号712(匿名ID)の一覧は、署名付き匿名IDの一覧となる。 In subsequent processing, the anonymous ID with signature is used as the anonymous ID / ID number.
For example, the list of ID numbers 712 (anonymous IDs) received by the record identification receiving unit 113 is a list of signed anonymous IDs.

署名検証部193は、CPU911などの処理装置を用いて、記録識別受信部113が受信した署名付き匿名IDの一覧を入力する。
署名検証部193は、CPU911などの処理装置を用いて、入力した署名付き匿名IDの一覧に含まれるすべての署名付き匿名IDについて署名を検証し、匿名IDが捏造・改竄されていないか判断する。 The signature verification unit 193 inputs a list of signed anonymous IDs received by the record identification reception unit 113 using a processing device such as the CPU 911.
The signature verification unit 193 verifies the signatures for all the anonymous IDs with signatures included in the list of anonymous IDs with signatures using a processing device such as the CPU 911, and determines whether the anonymous IDs are forged or falsified. .

すなわち、署名検証部193は、CPU911などの処理装置を用いて、署名付き匿名IDから、匿名IDと識別署名情報とを取得する。
署名検証部193は、CPU911などの処理装置を用いて、取得した識別署名情報を、ID署名装置880の公開鍵で復号する。
署名検証部193は、CPU911などの処理装置を用いて、取得した匿名IDと、復号して得た情報とを比較して、一致するか否かを判断する。
一致すると判断した場合、署名検証部193は、CPU911などの処理装置を用いて、その匿名IDが捏造・改竄されたものではないと判断する。
一致しないと判断した場合、署名検証部193は、CPU911などの処理装置を用いて、その匿名IDが捏造・改竄されたものであると判断する。 That is, the signature verification unit 193 acquires an anonymous ID and identification signature information from the anonymous ID with signature using a processing device such as the CPU 911.
The signature verification unit 193 decrypts the acquired identification signature information with the public key of the ID signature device 880 using a processing device such as the CPU 911.
The signature verification unit 193 uses a processing device such as the CPU 911 to compare the acquired anonymous ID with the information obtained by decryption to determine whether or not they match.
If it is determined that they match, the signature verification unit 193 determines that the anonymous ID has not been forged or altered using a processing device such as the CPU 911.
If it is determined that they do not match, the signature verification unit 193 determines that the anonymous ID has been forged / tampered using a processing device such as the CPU 911.

署名検証部193は、CPU911などの処理装置を用いて、捏造・改竄されていないと判断した匿名ID(ID番号)の一覧を生成し、生成したID番号の一覧を出力する。   The signature verification unit 193 uses a processing device such as the CPU 911 to generate a list of anonymous IDs (ID numbers) determined not to be forged / tampered, and outputs the generated list of ID numbers.

記録識別選択部152は、CPU911などの処理装置を用いて、署名検証部193が出力したID番号の一覧を入力し、入力したID番号の一覧から、ID番号を選択する。   The recording identification selection unit 152 uses a processing device such as the CPU 911 to input a list of ID numbers output from the signature verification unit 193 and selects an ID number from the input ID number list.

この実施の形態では、サービス提供装置810が架空の匿名IDを捏造して、利用者端末装置100を騙そうとする場合、捏造した匿名IDに識別署名情報を付加する必要がある。
しかし、サービス提供装置810は、ID署名装置880の秘密鍵を知らないので、捏造した匿名IDについての識別署名情報を生成できない。 In this embodiment, when the service providing device 810 attempts to forge the user terminal device 100 by forging a fictitious anonymous ID, it is necessary to add identification signature information to the forged anonymous ID.
However, since the service providing apparatus 810 does not know the secret key of the ID signature apparatus 880, it cannot generate identification signature information for the fabricated anonymous ID.

署名検証部193が署名を検証し、捏造されたものではないと判断した匿名IDのなかから、記録識別選択部152がID番号を選択するので、架空の匿名IDについての架空の利用記録情報がサービス提供装置810から送られてくることはなく、匿名履歴判別部130は、騙されることなく、情報の匿名性を正しく判断できる。   Since the record identification selection unit 152 selects an ID number from among the anonymous IDs that the signature verification unit 193 verifies the signature and determines that the signature is not forged, the fictitious usage record information about the fictitious anonymous ID is obtained. It is not sent from the service providing apparatus 810, and the anonymous history determination unit 130 can correctly determine the anonymity of the information without being deceived.

図46は、この実施の形態における履歴サービス提供システム800が、利用者端末装置100とサービス提供装置810との間の通信を確立する通信確立処理の流れの一例を示すフローチャート図である。
なお、実施の形態8において図31で説明した通信確立処理と共通する工程については、同一の符号を付し、説明を省略する。 FIG. 46 is a flowchart showing an example of a flow of communication establishment processing in which the history service providing system 800 in this embodiment establishes communication between the user terminal device 100 and the service providing device 810.
Note that steps common to the communication establishment process described in FIG. 31 in the eighth embodiment are denoted by the same reference numerals and description thereof is omitted.

T41において、記録識別生成部862は、CPU911などの処理装置を用いて、今回のサービス利用を識別する匿名IDを生成する。
記録識別生成部862は、CPU911などの処理装置を用いて、生成した匿名IDを出力する。
T41で生成した匿名IDは、他の匿名IDと衝突している可能性があるので、仮の匿名IDである。 In T41, the record identification generation unit 862 generates an anonymous ID for identifying the current service use, using a processing device such as the CPU 911.
The record identification generation unit 862 outputs the generated anonymous ID using a processing device such as the CPU 911.
The anonymous ID generated at T41 is a temporary anonymous ID because it may collide with another anonymous ID.

T42において、記録識別送信部164は、CPU911などの処理装置を用いて、T41で記録識別生成部862が出力した匿名IDを入力する。
記録識別送信部164は、通信装置915を用いて、サービス提供装置810に対して、入力した匿名IDを送信する。
この段階では、まだ仮の匿名IDなので署名はつけず、匿名IDだけを送信する。 At T42, the record identification transmission unit 164 inputs the anonymous ID output by the record identification generation unit 862 at T41 using a processing device such as the CPU 911.
The record identification transmitting unit 164 transmits the input anonymous ID to the service providing apparatus 810 using the communication apparatus 915.
At this stage, since it is still a temporary anonymous ID, no signature is attached and only the anonymous ID is transmitted.

T16において、サービス提供装置810は、通信装置915を用いて、T42で利用者端末装置100の記録識別送信部164が送信してきた匿名IDを受信する。サービス提供装置810は、CPU911などの処理装置を用いて、受信した匿名IDが他の匿名IDと衝突していないかを判断する。サービス提供装置810は、通信装置915を用いて、利用者端末装置100に対して、判断結果を示す情報を送信する。
利用者端末装置100は、通信装置915を用いて、サービス提供装置810が送信してきた判断結果を示す情報を受信する。
受信した判断結果に基づいて、他の匿名IDと衝突している場合には、T41に戻り、別の匿名IDを生成する。
他の匿名IDと衝突していない場合には、T43へ進む。 At T16, the service providing apparatus 810 uses the communication apparatus 915 to receive the anonymous ID transmitted by the record identification transmitting unit 164 of the user terminal apparatus 100 at T42. The service providing device 810 uses a processing device such as the CPU 911 to determine whether the received anonymous ID has collided with another anonymous ID. The service providing apparatus 810 transmits information indicating the determination result to the user terminal apparatus 100 using the communication apparatus 915.
The user terminal device 100 uses the communication device 915 to receive information indicating the determination result transmitted by the service providing device 810.
If there is a collision with another anonymous ID based on the received determination result, the process returns to T41 to generate another anonymous ID.
If there is no collision with another anonymous ID, the process proceeds to T43.

T43において、識別署名要求送信部191は、CPU911などの処理装置を用いて、T41で記録識別生成部862が出力した匿名IDを入力する。
識別署名要求送信部191は、CPU911などの処理装置を用いて、入力した匿名IDを変換して署名対象情報を生成する。
識別署名要求送信部191は、通信装置915を用いて、ID署名装置880に対して、生成した署名対象情報を含む識別署名要求情報を送信する。 At T43, the identification signature request transmission unit 191 inputs the anonymous ID output by the recording identification generation unit 862 at T41 using a processing device such as the CPU 911.
The identification signature request transmission unit 191 uses a processing device such as the CPU 911 to convert the input anonymous ID and generate signature target information.
Using the communication device 915, the identification signature request transmission unit 191 transmits identification signature request information including the generated signature target information to the ID signature device 880.

なお、ID署名装置880に対する送信に先立って、利用者端末装置100とID署名装置880とは相互認証を行い、共通鍵により暗号化された通信を確立している。これにより、利用者端末装置100とID署名装置との間の通信を、サービス提供装置810などの第三者が傍受しても、内容を知ることはできない。   Prior to transmission to the ID signature device 880, the user terminal device 100 and the ID signature device 880 perform mutual authentication and establish communication encrypted with a common key. Thereby, even if a third party such as the service providing device 810 intercepts communication between the user terminal device 100 and the ID signature device, the contents cannot be known.

T44において、識別署名受信部192は、通信装置915を用いて、T43で送信した識別署名要求情報に対する応答としてID署名装置880が送信してきた電子署名情報を受信する。
識別署名受信部192は、CPU911などの処理装置を用いて、T43で識別署名要求送信部191が匿名IDを変換したのと逆の変換を、受信した電子署名情報に対して行い、識別署名情報を取得する。
識別署名受信部192は、CPU911などの処理装置を用いて、取得した識別署名情報を出力する。 In T44, using the communication device 915, the identification signature receiving unit 192 receives the electronic signature information transmitted by the ID signature device 880 as a response to the identification signature request information transmitted in T43.
Using the processing device such as the CPU 911, the identification signature receiving unit 192 performs reverse conversion on the received electronic signature information, which is the reverse of the conversion of the anonymous ID by the identification signature request transmission unit 191 in T43, and the identification signature information To get.
The identification signature receiving unit 192 outputs the acquired identification signature information using a processing device such as the CPU 911.

T45において、記録識別送信部164は、CPU911などの処理装置を用いて、T44で識別署名受信部192が出力した識別署名情報を入力する。
記録識別送信部164は、CPU911などの処理装置を用いて、T42で入力した匿名IDに、入力した識別署名情報を付加して、署名付き匿名IDを生成する。
記録識別送信部164は、通信装置915を用いて、サービス提供装置810に対して、生成した署名付き匿名IDを送信する。
この段階では、匿名IDが衝突していないことを確認済みなので、正式の匿名IDとして、署名付き匿名IDを送信する。 At T45, the record identification transmitting unit 164 inputs the identification signature information output by the identification signature receiving unit 192 at T44 using a processing device such as the CPU 911.
The recording identification transmitting unit 164 adds a received identification signature information to the anonymous ID input at T42 using a processing device such as the CPU 911, and generates a signed anonymous ID.
The record identification transmission unit 164 transmits the generated anonymous ID with signature to the service providing apparatus 810 using the communication apparatus 915.
At this stage, since it has been confirmed that the anonymous ID has not collided, the signed anonymous ID is transmitted as the official anonymous ID.

なお、匿名IDは、既にサービス提供装置810に対して送信済みなので、記録識別送信部164は、署名付き匿名IDではなく、識別署名情報だけを送信することとしてもよい。   Since the anonymous ID has already been transmitted to the service providing apparatus 810, the record identification transmitting unit 164 may transmit only the identification signature information instead of the signed anonymous ID.

図47は、この実施の形態における履歴サービス提供システム800が、履歴サービスを提供する情報提供処理の流れの一例を示すフローチャート図である。   FIG. 47 is a flowchart showing an example of a flow of information providing processing in which the history service providing system 800 according to this embodiment provides a history service.

匿名ID一覧送信工程において、記録識別送信部824は、CPU911などの処理装置を用いて、利用記録記憶部823が記憶しているサービス利用記録情報群710に含まれるすべてのID番号712と、そのID番号712についての識別署名情報とを入力する。
記録識別送信部824は、CPU911などの処理装置を用いて、入力したID番号712の一覧を作成する。このとき、それぞれのID番号712には、そのID番号712についての識別署名情報を付加する。
記録識別送信部824は、通信装置915を用いて、利用者端末装置100に対して、作成したID番号712の一覧(署名付き)を送信する。 In the anonymous ID list transmission step, the record identification transmission unit 824 uses all the ID numbers 712 included in the service usage record information group 710 stored in the usage record storage unit 823 using a processing device such as the CPU 911, The identification signature information for the ID number 712 is input.
The record identification transmitting unit 824 creates a list of input ID numbers 712 using a processing device such as the CPU 911. At this time, identification signature information about the ID number 712 is added to each ID number 712.
The record identification transmission unit 824 transmits a list (with a signature) of the created ID numbers 712 to the user terminal device 100 using the communication device 915.

匿名ID一覧受信工程において、記録識別受信部113は、通信装置915を用いて、匿名ID一覧送信工程でサービス提供装置810が送信したID番号712の一覧(署名付き)を受信する。
記録識別受信部113は、CPU911などの処理装置を用いて、受信したID番号712の一覧(署名付き)を出力する。 In the anonymous ID list receiving step, the record identification receiving unit 113 uses the communication device 915 to receive the list (with signature) of the ID numbers 712 transmitted by the service providing device 810 in the anonymous ID list transmitting step.
The record identification receiving unit 113 outputs a list (with a signature) of the received ID numbers 712 using a processing device such as the CPU 911.

署名検証工程において、署名検証部193は、CPU911などの処理装置を用いて、匿名ID一覧受信工程で記録識別受信部113が出力したID番号712の一覧(署名付き)を入力する。
署名検証部193は、CPU911などの処理装置を用いて、入力したID番号712の一覧(署名付き)から、すべてのID番号712と、そのID番号712についての識別署名情報とを取得する。
署名検証部193は、CPU911などの処理装置を用いて、取得した識別署名情報を、ID署名装置880の公開鍵で復号する。
署名検証部193は、CPU911などの処理装置を用いて、復号して得た情報と、取得したID番号712とを比較し、一致するか否かを判断する。
署名検証部193は、CPU911などの処理装置を用いて、一致すると判断したID番号712の一覧を生成する。
署名検証部193は、CPU911などの処理装置を用いて、生成したID番号712の一覧を出力する。 In the signature verification process, the signature verification unit 193 inputs a list (with a signature) of ID numbers 712 output by the record identification reception unit 113 in the anonymous ID list reception process using a processing device such as the CPU 911.
The signature verification unit 193 acquires all ID numbers 712 and identification signature information for the ID numbers 712 from the list of input ID numbers 712 (with signatures) using a processing device such as the CPU 911.
The signature verification unit 193 decrypts the acquired identification signature information with the public key of the ID signature device 880 using a processing device such as the CPU 911.
The signature verification unit 193 compares the information obtained by decryption with the acquired ID number 712 using a processing device such as the CPU 911 and determines whether or not they match.
The signature verification unit 193 uses a processing device such as the CPU 911 to generate a list of ID numbers 712 determined to match.
The signature verification unit 193 outputs a list of generated ID numbers 712 using a processing device such as the CPU 911.

匿名ID選択工程において、記録識別選択部152は、CPU911などの処理装置を用いて、署名検証工程で署名検証部193が出力したID番号712の一覧を入力する。
記録識別選択部152は、CPU911などの処理装置を用いて、入力したID番号712の一覧のうち、利用履歴記憶部121が記憶しているサービス利用記録情報群710(利用履歴情報610)に含まれるすべてのID番号712(履歴識別情報614)を選択する。
記録識別選択部152は、CPU911などの処理装置を用いて、入力したID番号712の一覧のうち、更に、それ以外のID番号712を十分な数選択する。
記録識別選択部152は、CPU911などの処理装置を用いて、選択したID番号712のリストを出力する。 In the anonymous ID selection step, the record identification selection unit 152 inputs a list of ID numbers 712 output by the signature verification unit 193 in the signature verification step using a processing device such as the CPU 911.
The record identification selection unit 152 is included in the service use record information group 710 (use history information 610) stored in the use history storage unit 121 in the list of input ID numbers 712 using a processing device such as the CPU 911. All ID numbers 712 (history identification information 614) to be selected are selected.
The recording identification selection unit 152 selects a sufficient number of other ID numbers 712 from the list of input ID numbers 712 using a processing device such as the CPU 911.
The record identification selection unit 152 outputs a list of the selected ID numbers 712 using a processing device such as the CPU 911.

匿名IDサブセット送信工程・匿名IDサブセット受信工程以降の処理は、実施の形態8において図32で説明した処理と共通なので、ここでは説明を省略する。   Since the processing after the anonymous ID subset transmission step and the anonymous ID subset reception step is the same as the processing described in FIG. 32 in the eighth embodiment, the description thereof is omitted here.

この実施の形態における利用者端末装置100(端末装置)は、更に、
CPU911などの処理装置を用いて、匿名ID(記録識別情報)を生成し、CPU911などの処理装置を用いて、生成した匿名IDを出力する記録識別生成部862と、
CPU911などの処理装置を用いて、記録識別生成部862が出力した匿名IDを入力し、通信装置915を用いて、入力した匿名IDについての署名を要求する識別署名要求情報を、ID署名装置880(識別署名装置)に対して送信する識別署名要求送信部191と、
通信装置915を用いて、識別署名要求送信部191が送信した識別署名要求情報に対する応答として、ID署名装置880が送信した電子署名情報を受信し、CPU911などの処理装置を用いて、受信した電子署名情報から、匿名IDについての電子署名情報を取得し、取得した電子署名情報を識別署名情報として出力する識別署名受信部192と、
CPU911などの処理装置を用いて、記録識別生成部862が出力した匿名IDと、識別署名受信部192が出力した識別署名情報とを入力し、通信装置915を用いて、サービス提供装置810(サーバ装置)に対して、入力した匿名IDと、入力した識別署名情報とを送信する記録識別送信部164と、
通信装置915を用いて、サービス提供装置810が記憶した利用記録情報を識別するID番号712(記録識別情報)と、そのID番号712についての識別署名情報とのリストを受信し、CPU911などの処理装置を用いて、受信したID番号712と識別署名情報とのリストを出力する記録識別受信部113と、
CPU911などの処理装置を用いて、記録識別受信部113が出力したID番号712の一覧と、識別署名情報とを入力し、CPU911などの処理装置を用いて、入力した識別署名情報に基づいて、入力したID番号712の一覧に含まれるID番号712が改変されているか否かを判断し、CPU911などの処理装置を用いて、改変されていないと判断したID番号712の一覧(記録識別情報のリスト)を生成し、CPU911などの処理装置を用いて、生成したID番号712の一覧を出力する署名検証部193と、
CPU911などの処理装置を用いて、署名検証部193が出力したID番号712の一覧のなかから、複数のID番号712を選択し、CPU911などの処理装置を用いて、選択した複数のID番号712を出力する記録識別選択部152と、
CPU911などの処理装置を用いて、記録識別選択部152が出力した複数のID番号712を入力し、通信装置915を用いて、サービス提供装置810に対して、入力した複数のID番号712を送信する選択識別送信部142とを有し、
利用記録受信部111は、
通信装置915を用いて、サービス提供装置810から、選択識別送信部142が送信した複数のID番号712によって識別される複数の利用記録情報を受信することを特徴とする。 The user terminal device 100 (terminal device) in this embodiment further includes:
A record identification generating unit 862 that generates an anonymous ID (record identification information) using a processing device such as the CPU 911 and outputs the generated anonymous ID using a processing device such as the CPU 911;
Using a processing device such as the CPU 911, the anonymous ID output by the record identification generating unit 862 is input, and using the communication device 915, identification signature request information for requesting a signature for the input anonymous ID is input to the ID signature device 880. An identification signature request transmission unit 191 that transmits to (identification signature device);
The electronic signature information transmitted by the ID signature device 880 is received as a response to the identification signature request information transmitted by the identification signature request transmission unit 191 using the communication device 915, and the received electronic signature information is received using a processing device such as the CPU 911. An identification signature receiving unit 192 that acquires electronic signature information about the anonymous ID from the signature information, and outputs the acquired electronic signature information as identification signature information;
Using a processing device such as the CPU 911, the anonymous ID output from the record identification generating unit 862 and the identification signature information output from the identification signature receiving unit 192 are input, and the service providing device 810 (server) is used using the communication device 915. Device), a record identification transmitting unit 164 that transmits the input anonymous ID and the input identification signature information,
Using the communication device 915, a list of ID numbers 712 (record identification information) for identifying the usage record information stored in the service providing device 810 and identification signature information for the ID numbers 712 is received, and the processing of the CPU 911, etc. A record identification receiving unit 113 that outputs a list of received ID numbers 712 and identification signature information using the apparatus;
A list of ID numbers 712 output by the record identification receiving unit 113 and identification signature information are input using a processing device such as the CPU 911, and based on the input identification signature information using a processing device such as the CPU 911. It is determined whether or not the ID number 712 included in the input ID number 712 list has been modified, and a list of ID numbers 712 determined to have not been modified using a processing device such as the CPU 911 (recording identification information A signature verification unit 193 that generates a list of ID numbers 712 using a processing device such as the CPU 911,
A plurality of ID numbers 712 are selected from the list of ID numbers 712 output by the signature verification unit 193 using a processing device such as the CPU 911, and a plurality of selected ID numbers 712 are selected using the processing device such as the CPU 911. A record identification selection unit 152 that outputs
A plurality of ID numbers 712 output from the record identification selection unit 152 are input using a processing device such as the CPU 911, and the input plurality of ID numbers 712 are transmitted to the service providing device 810 using the communication device 915. And a selection identification transmission unit 142 for
The usage record receiver 111
A plurality of usage record information identified by a plurality of ID numbers 712 transmitted by the selection identification transmission unit 142 is received from the service providing apparatus 810 using the communication apparatus 915.

この実施の形態における利用者端末装置100によれば、署名検証部193がID番号712に付された電子署名を検証し、改変されていないと判断したID番号712のなかから、記録識別選択部152が、サービス提供装置810に利用記録情報を送信させるID番号712を選択するので、匿名履歴判別部130が情報の匿名性を判断する基礎となる利用記録情報には架空の利用記録情報が含まれず、サービス提供装置810が利用者端末装置100を騙して利用者を特定する手がかりを得ようとした場合でも、情報の匿名性を正しく判断することができ、サービス提供装置810に利用者を特定する手がかりを与えないという効果を奏する。   According to the user terminal device 100 in this embodiment, the signature verification unit 193 verifies the electronic signature attached to the ID number 712 and determines the record identification selection unit from among the ID numbers 712 determined not to be altered. 152 selects the ID number 712 that causes the service providing apparatus 810 to transmit the usage record information, so the usage record information that is the basis for the anonymous history determination unit 130 to determine the anonymity of the information includes fictitious usage record information. Even if the service providing apparatus 810 tries to obtain a clue to identify the user by deceiving the user terminal device 100, the anonymity of the information can be correctly determined, and the user is identified in the service providing apparatus 810. The effect of not giving clues to do.

実施の形態12.
実施の形態12について、図48〜図51を用いて説明する。
図48は、この実施の形態における履歴サービス提供システム800の全体構成の一例を示すシステム構成図である。
なお、実施の形態1で説明した履歴サービス提供システム800と共通する部分については、同一の符号を付し、ここでは説明を省略する。 Embodiment 12 FIG.
The twelfth embodiment will be described with reference to FIGS.
FIG. 48 is a system configuration diagram showing an example of the overall configuration of the history service providing system 800 in this embodiment.
In addition, the same code | symbol is attached | subjected about the part which is common in the log | history service provision system 800 demonstrated in Embodiment 1, and description is abbreviate | omitted here.

この実施の形態における履歴サービス提供システム800は、サービス提供装置810(サーバ装置)、複数のID管理装置850(識別管理装置)、多数の利用者端末装置100(端末装置)を有する。
サービス提供装置810、ID管理装置850、利用者端末装置100のハードウェア構成は、実施の形態9で説明したものと同様なので、ここでは説明を省略する。 The history service providing system 800 in this embodiment includes a service providing device 810 (server device), a plurality of ID management devices 850 (identification management devices), and a large number of user terminal devices 100 (terminal devices).
Since the hardware configurations of the service providing apparatus 810, the ID management apparatus 850, and the user terminal apparatus 100 are the same as those described in the ninth embodiment, description thereof is omitted here.

ID管理装置850は、利用者の匿名IDを分担して管理する。
利用者端末装置100は、サービスを利用する際、ID管理装置850のいずれかとの通信を確立し、匿名IDを発行してもらい、サービスを利用する。
利用者端末装置100は、サービスを利用するごとに、異なるID管理装置850に匿名IDを発行してもらってもよいし、同一のID管理装置850に匿名IDを発行してもらってもよい。
ID管理装置850は、自己が発行した匿名IDを管理する。 The ID management device 850 shares and manages the user's anonymous ID.
When using the service, the user terminal device 100 establishes communication with one of the ID management devices 850, issues an anonymous ID, and uses the service.
Each time the user terminal device 100 uses a service, the user ID device 850 may issue an anonymous ID, or the same ID device 850 may issue an anonymous ID.
The ID management device 850 manages the anonymous ID issued by itself.

図49は、この実施の形態におけるID管理装置850の機能ブロックの構成の一例を示すブロック構成図である。
なお、実施の形態9において図38で説明したID管理装置850の機能ブロックと共通するブロックについては、同一の符号を付し、ここでは説明を省略する。
また、利用者端末装置100及びサービス提供装置810の機能ブロックの構成は、実施の形態9で説明したものと同様なので、ここでは説明を省略する。 FIG. 49 is a block configuration diagram showing an example of a functional block configuration of the ID management device 850 in this embodiment.
Note that blocks common to the functional blocks of the ID management device 850 described in FIG. 38 in Embodiment 9 are denoted by the same reference numerals, and description thereof is omitted here.
In addition, the functional block configurations of the user terminal device 100 and the service providing device 810 are the same as those described in the ninth embodiment, and thus description thereof is omitted here.

ID管理装置850は、更に、署名生成部882、署名検証部193、利用記録検証部194を有する。   The ID management device 850 further includes a signature generation unit 882, a signature verification unit 193, and a usage record verification unit 194.

署名生成部882は、CPU911などの処理装置を用いて、記録識別生成部862が出力した匿名ID(記録識別情報)を入力する。
署名生成部882は、CPU911などの処理装置を用いて、入力した匿名IDを、ID管理装置850の秘密鍵で暗号化し、識別署名情報を生成する。
署名生成部882は、CPU911などの処理装置を用いて、生成した識別署名情報を出力する。 The signature generation unit 882 inputs the anonymous ID (record identification information) output by the record identification generation unit 862 using a processing device such as the CPU 911.
The signature generation unit 882 encrypts the input anonymous ID with the secret key of the ID management device 850 using a processing device such as the CPU 911, and generates identification signature information.
The signature generation unit 882 outputs the generated identification signature information using a processing device such as the CPU 911.

生成識別送信部863は、CPU911などの処理装置を用いて、記録識別生成部862が出力した匿名IDと、署名生成部882が出力した記録識別情報とを入力する。
生成識別送信部863は、CPU911などの処理装置を用いて、入力した匿名IDに、入力した記録識別情報を付加して、署名付き匿名IDを生成する。
生成識別送信部863は、通信装置915を用いて、利用者端末装置100に対して、生成した署名付き匿名IDを送信する。 The generation identification transmitting unit 863 inputs the anonymous ID output from the recording identification generation unit 862 and the recording identification information output from the signature generation unit 882 using a processing device such as the CPU 911.
Using the processing device such as the CPU 911, the generation identification transmission unit 863 adds the input record identification information to the input anonymous ID to generate a signed anonymous ID.
The generation identification transmission unit 863 transmits the generated anonymous ID with signature to the user terminal device 100 using the communication device 915.

なお、この実施の形態におけるID管理装置850が生成する匿名IDには、その匿名IDを生成したID管理装置850を示す情報が含まれている。
したがって、ID管理装置850が生成した匿名IDが、他のID管理装置850が生成した匿名IDと衝突する可能性はない。 Note that the anonymous ID generated by the ID management device 850 in this embodiment includes information indicating the ID management device 850 that generated the anonymous ID.
Therefore, there is no possibility that the anonymous ID generated by the ID management device 850 collides with the anonymous ID generated by another ID management device 850.

記録識別受信部113は、通信装置915を用いて、サービス提供装置810が送信してきたID番号712(匿名ID)の一覧を受信する。
この実施の形態における記録識別受信部113が受信するID番号712の一覧には、それぞれのID番号712についての識別署名情報が含まれる。
記録識別受信部113は、CPU911などの処理装置を用いて、受信したID番号712の一覧(署名付き)を出力する。 The record identification receiving unit 113 uses the communication device 915 to receive a list of ID numbers 712 (anonymous IDs) transmitted by the service providing device 810.
The list of ID numbers 712 received by the record identification receiving unit 113 in this embodiment includes identification signature information for each ID number 712.
The record identification receiving unit 113 outputs a list (with a signature) of the received ID numbers 712 using a processing device such as the CPU 911.

署名検証部193は、CPU911などの処理装置を用いて、記録識別受信部113が出力したID番号712の一覧(署名付き)を入力する。
署名検証部193は、CPU911などの処理装置を用いて、入力したID番号712の一覧(署名付き)から、すべてのID番号712と、そのID番号712についての識別署名情報とを取得する。
署名検証部193は、CPU911などの処理装置を用いて、ID番号712に基づいて、そのID番号712を生成したID管理装置850を判別する。
署名検証部193は、CPU911などの処理装置を用いて、取得した識別署名情報を、判別したID管理装置850の公開鍵で復号する。
署名検証部193は、CPU911などの処理装置を用いて、復号して得た情報と、取得したID番号712とを比較し、一致するか否かを判断する。
署名検証部193は、CPU911などの処理装置を用いて、一致すると判断したID番号712の一覧を生成する。
署名検証部193は、CPU911などの処理装置を用いて、生成したID番号712の一覧を出力する。 The signature verification unit 193 inputs a list (with a signature) of the ID numbers 712 output by the recording identification reception unit 113 using a processing device such as the CPU 911.
The signature verification unit 193 acquires all ID numbers 712 and identification signature information for the ID numbers 712 from the list of input ID numbers 712 (with signatures) using a processing device such as the CPU 911.
The signature verification unit 193 determines the ID management device 850 that generated the ID number 712 based on the ID number 712 using a processing device such as the CPU 911.
The signature verification unit 193 decrypts the acquired identification signature information with the public key of the identified ID management device 850 using a processing device such as the CPU 911.
The signature verification unit 193 compares the information obtained by decryption with the acquired ID number 712 using a processing device such as the CPU 911 and determines whether or not they match.
The signature verification unit 193 uses a processing device such as the CPU 911 to generate a list of ID numbers 712 determined to match.
The signature verification unit 193 outputs a list of generated ID numbers 712 using a processing device such as the CPU 911.

なお、ID番号712のうち、自己が生成したID番号712については、署名を検証するのではなく、記録識別記憶部864が記憶した匿名IDのなかに一致するものがあるか否かを判断することにより、出力するID番号712の一覧に含めるか否かを決定してもよい。   Of the ID numbers 712, the self-generated ID number 712 does not verify the signature but determines whether there is a matching anonymous ID stored in the record identification storage unit 864. Thus, it may be determined whether or not to include in the list of ID numbers 712 to be output.

記録識別選択部152は、CPU911などの処理装置を用いて、署名検証部193が出力したID番号の一覧を入力し、入力したID番号の一覧から、ID番号を選択する。   The recording identification selection unit 152 uses a processing device such as the CPU 911 to input a list of ID numbers output from the signature verification unit 193 and selects an ID number from the input ID number list.

この実施の形態では、ID管理装置850が複数あるので、他のID管理装置850が生成した匿名IDについては、記録識別記憶部864が記憶していない。
そのため、実施の形態11で説明したのと同様、ID番号に付加した署名を検証することにより、サービス提供装置810が送信してきたID番号712の一覧のなかに、架空のID番号が含まれていないかを検証する。 In this embodiment, since there are a plurality of ID management devices 850, the record identification storage unit 864 does not store anonymous IDs generated by other ID management devices 850.
Therefore, as described in the eleventh embodiment, a fictitious ID number is included in the list of ID numbers 712 transmitted by the service providing apparatus 810 by verifying the signature added to the ID number. Verify if there is any.

記録識別選択部152は、CPU911などの処理装置を用いて、記録識別記憶部864が記憶した匿名IDに基づいて、利用者端末装置100に対応する匿名IDを抽出する。
記録識別選択部152は、CPU911などの処理装置を用いて、入力したID番号712の一覧のうち、判別した匿名IDと同一のID番号712(履歴識別情報614)をすべて選択する。
記録識別選択部152は、CPU911などの処理装置を用いて、抽出した実在ID番号のうちから、更に、それ以外のID番号712を十分な数選択する。
記録識別選択部152は、CPU911などの処理装置を用いて、選択したID番号712のリストを出力する。 The recording identification selection unit 152 extracts an anonymous ID corresponding to the user terminal device 100 based on the anonymous ID stored in the recording identification storage unit 864 using a processing device such as the CPU 911.
The record identification selection unit 152 selects all the ID numbers 712 (history identification information 614) that are the same as the determined anonymous ID from the list of input ID numbers 712 using a processing device such as the CPU 911.
The record identification selection unit 152 further selects a sufficient number of other ID numbers 712 from the extracted real ID numbers using a processing device such as the CPU 911.
The record identification selection unit 152 outputs a list of the selected ID numbers 712 using a processing device such as the CPU 911.

ID管理装置850が管理している匿名IDは全匿名IDの一部であり、ID管理装置850が利用者端末装置100と匿名IDとの対応を知っているのは、自己が発行した匿名IDに限られる。
したがって、記録識別選択部152が選択するID番号には、利用者端末装置100が利用したサービスを記録した利用記録情報を識別するID番号のうち、ID管理装置850自身が生成したID番号(匿名ID)はすべて含まれるが、他のID管理装置850が生成したID番号は含まれない場合がある。
例えば、利用者端末装置100が他のID管理装置850に匿名IDを発行してもらったことはあるが、そのID管理装置850に匿名IDを発行してもらうのが初めてである場合、記録識別選択部152が選択するID番号に、その利用者端末装置100が利用したサービスを記録した利用記録情報を識別するID番号がまったく含まれず、利用者端末装置100が履歴生成用情報740の信頼性を判断できない可能性もある。 The anonymous ID managed by the ID management device 850 is a part of the total anonymous ID, and the ID management device 850 knows the correspondence between the user terminal device 100 and the anonymous ID because the anonymous ID issued by itself Limited to.
Therefore, the ID number selected by the record identification selection unit 152 is an ID number (anonymous) generated by the ID management device 850 itself among the ID numbers for identifying the usage record information in which the service used by the user terminal device 100 is recorded. ID) are all included, but ID numbers generated by other ID management devices 850 may not be included.
For example, if the user terminal device 100 has had another ID management device 850 issue an anonymous ID, but this is the first time that the ID management device 850 has issued an anonymous ID, the record identification The ID number selected by the selection unit 152 does not include any ID number for identifying the usage record information that records the service used by the user terminal device 100, and the user terminal device 100 determines the reliability of the history generation information 740. It may not be possible to judge.

しかし、サービス提供装置810には、履歴生成用情報740に含まれるサービス記録情報742のうち、どのサービス記録情報742が信頼性の判断に利用されるかわからないので、サービス提供装置810がサービス記録情報742を改変することはできない。   However, since the service providing apparatus 810 does not know which service record information 742 of the service record information 742 included in the history generation information 740 is used for determination of reliability, the service providing apparatus 810 does not know the service record information. 742 cannot be modified.

なお、利用者端末装置100が、ID管理装置850に対して、利用したサービスを記録した利用記録情報を識別するID番号のうち、他のID管理装置850が生成したID番号を送信し、ID管理装置850に、利用者端末装置100とID番号との対応を教え、記録識別選択部152は、それに基づいて、ID番号712を選択することとしてもよい。
あるいは、ID管理装置850が、他のID管理装置850に問い合わせることにより、他のID管理装置850が生成したID番号と、利用者端末装置100との対応を示す情報を取得することとしてもよい。 The user terminal device 100 transmits to the ID management device 850 the ID number generated by the other ID management device 850 among the ID numbers identifying the usage record information recording the used service, and the ID The management device 850 may be instructed about the correspondence between the user terminal device 100 and the ID number, and the recording identification selection unit 152 may select the ID number 712 based on the correspondence.
Alternatively, the ID management device 850 may acquire information indicating the correspondence between the ID number generated by the other ID management device 850 and the user terminal device 100 by making an inquiry to the other ID management device 850. .

利用記録検証部194は、CPU911などの処理装置を用いて、利用記録受信部111が出力したサービス利用記録情報711を入力する。
利用記録検証部194は、CPU911などの処理装置を用いて、入力したサービス利用記録情報711を検証し、利用記録受信部111が受信した履歴生成用情報740が改竄されているか否かを判断する。
利用記録検証部194は、CPU911などの処理装置を用いて、判断結果を示す情報を出力する。 The usage record verification unit 194 receives the service usage record information 711 output from the usage record reception unit 111 using a processing device such as the CPU 911.
The usage record verification unit 194 verifies the input service usage record information 711 using a processing device such as the CPU 911 and determines whether or not the history generation information 740 received by the usage record reception unit 111 has been falsified. .
The usage record verification unit 194 outputs information indicating the determination result using a processing device such as the CPU 911.

利用者用履歴生成部871は、CPU911などの処理装置を用いて、利用記録受信部111が出力したサービス利用記録情報711と、利用記録検証部194が出力した判断結果を示す情報を入力する。
利用記録受信部111が受信した履歴生成用情報740が改竄されていないと利用記録検証部194が判断した場合、利用者用履歴生成部871は、CPU911などの処理装置を用いて、実施の形態9で説明したのと同様の動作により、利用者用履歴情報780を生成する。
利用記録受信部111が受信した履歴生成用情報740が改竄されていると利用記録検証部194が判断した場合、利用者用履歴生成部871は、CPU911などの処理装置を用いて、空の利用者用履歴情報780を生成する。
利用者用履歴生成部871は、CPU911などの処理装置を用いて、生成した利用者用履歴情報780を出力する。 The user history generation unit 871 inputs service usage record information 711 output by the usage record reception unit 111 and information indicating the determination result output by the usage record verification unit 194 using a processing device such as the CPU 911.
When the usage record verification unit 194 determines that the history generation information 740 received by the usage record reception unit 111 has not been tampered with, the user history generation unit 871 uses a processing device such as the CPU 911 to execute the embodiment. The user history information 780 is generated by the same operation as described in FIG.
When the usage record verification unit 194 determines that the history generation information 740 received by the usage record reception unit 111 has been tampered with, the user history generation unit 871 uses an empty usage by using a processing device such as the CPU 911. The user history information 780 is generated.
The user history generation unit 871 outputs the generated user history information 780 using a processing device such as the CPU 911.

図50は、この実施の形態における履歴生成用情報740の一例を示す図である。
履歴生成用情報740は、サービス提供装置810の送信利用記録生成部826が生成し、利用記録送信部827が、ID管理装置850に対して送信し、ID管理装置850の利用記録受信部111が受信するものである。
なお、実施の形態8において図34で説明した履歴生成用情報740と共通する情報については、同一の符号を付し、ここでは説明を省略する。 FIG. 50 is a diagram showing an example of history generation information 740 in this embodiment.
The history generation information 740 is generated by the transmission usage record generation unit 826 of the service providing device 810, the usage record transmission unit 827 transmits it to the ID management device 850, and the usage record reception unit 111 of the ID management device 850. To receive.
Note that the same reference numerals are given to the information common to the history generation information 740 described in FIG. 34 in the eighth embodiment, and the description thereof is omitted here.

暗号化個別サービス情報745は、サービス利用記録714に含まれる商品コード(種別識別情報)、購入個数などから、サービス提供装置810の送信利用記録生成部826が生成する。このうち、商品コードは、サービス提供装置810と利用者端末装置100との間の共通鍵USで暗号化する。したがって、ID管理装置850は、利用者が利用したサービスの商品コードを知ることはできない。   The encrypted individual service information 745 is generated by the transmission usage record generating unit 826 of the service providing apparatus 810 from the product code (type identification information) included in the service usage record 714 and the number of purchases. Among these, the product code is encrypted with the common key US between the service providing device 810 and the user terminal device 100. Therefore, the ID management device 850 cannot know the product code of the service used by the user.

個別サービス情報検証用情報754は、元のサービス利用記録情報711のID番号712、サービス利用記録714に含まれる商品コードを共通鍵USで暗号化した情報、購入個数などから、送信利用記録生成部826が生成したハッシュ値である。
ID管理装置850は、商品コードを知らないが、商品コードを共通鍵で暗号化した情報は、暗号化個別サービス情報745から取得できるので、ハッシュ値を計算することが可能である。 The individual service information verification information 754 includes a transmission usage record generation unit based on the ID number 712 of the original service usage record information 711, information obtained by encrypting the product code included in the service usage record 714 with the common key US, the number of purchases, and the like. A hash value 826 is generated.
Although the ID management device 850 does not know the product code, the information obtained by encrypting the product code with the common key can be acquired from the encrypted individual service information 745, so that the hash value can be calculated.

個別サービス個数算出用情報756は、購入個数716に、ハッシュ値(=個別サービス情報検証用情報754)と、算出用数値763の整数倍を加えたものである。個別サービス個数算出用情報756は、ハッシュ値を算出する元となる商品コードが共通鍵USで暗号化されたものである点を除けば、実施の形態8で説明したものと同様である。
ID管理装置850は、商品コードを知らないが、ハッシュ値を計算することができ、算出用位置762、算出用数値763を暗号化個別サービス情報745から取得できるので、個別サービス個数算出用情報756から購入個数を算出することが可能である。 The individual service number calculation information 756 is obtained by adding the hash value (= individual service information verification information 754) and an integer multiple of the calculation numerical value 763 to the purchase number 716. The individual service number calculation information 756 is the same as that described in the eighth embodiment except that the product code from which the hash value is calculated is encrypted with the common key US.
The ID management device 850 does not know the product code, but can calculate a hash value and can acquire the calculation position 762 and the calculation numerical value 763 from the encrypted individual service information 745. Therefore, the individual service number calculation information 756 The number of purchases can be calculated from

ID管理装置850の利用記録受信部111は、実施の形態8で説明した利用者端末装置100の利用記録受信部111と同様の動作により、履歴生成用情報740に基づいて、サービス利用記録情報711を復元する。なお、ID管理装置850は、商品コードを復号できないので、暗号化された商品コードのまま復元する。
利用記録受信部111は、CPU911などの処理装置を用いて、復元したサービス利用記録情報711を出力する。 The usage record reception unit 111 of the ID management device 850 operates in the same manner as the usage record reception unit 111 of the user terminal device 100 described in the eighth embodiment, and based on the history generation information 740, the service usage record information 711. To restore. Since the ID management device 850 cannot decrypt the product code, the ID management device 850 restores the encrypted product code as it is.
The usage record receiving unit 111 outputs the restored service usage record information 711 using a processing device such as the CPU 911.

利用記録検証部194は、CPU911などの処理装置を用いて、利用記録受信部111が出力したサービス利用記録情報711を入力する。
利用記録検証部194は、CPU911などの処理装置を用いて、入力したサービス利用記録情報711に基づいて、利用記録受信部111が受信した履歴生成用情報740が改竄されているか否かを判断する。
すなわち、利用記録検証部194は、利用記録受信部111がサービス情報群741から復元した購入個数などの情報と、検証用情報群751から復元した情報とを比較し、一致するか否かを判断し、一致しないと判断した場合に、履歴生成用情報740が改竄されていると判断する。 The usage record verification unit 194 receives the service usage record information 711 output from the usage record reception unit 111 using a processing device such as the CPU 911.
The usage record verification unit 194 determines whether or not the history generation information 740 received by the usage record reception unit 111 has been falsified based on the input service usage record information 711 using a processing device such as the CPU 911. .
That is, the usage record verification unit 194 compares the information such as the number of purchases restored from the service information group 741 by the usage record reception unit 111 with the information restored from the verification information group 751 and determines whether or not they match. If it is determined that they do not match, it is determined that the history generation information 740 has been falsified.

サービス情報群741と検証用情報群751とは、サービス提供装置810が同じ情報から生成するものであるから、両者から復元した情報は一致するはずである。
したがって、サービス情報群741から復元した情報と検証用情報群751から復元した情報とが一致しない場合には、履歴生成用情報740がサービス提供装置810からID管理装置850へ送信される途中で、第三者により改竄された可能性が高い。
そこで、サービス情報群741から復元した情報と検証用情報群751から復元した情報とが一致しない場合、利用記録検証部194は、履歴生成用情報740が改竄されていると判断する。 Since the service information group 741 and the verification information group 751 are generated by the service providing apparatus 810 from the same information, the information restored from both should match.
Therefore, when the information restored from the service information group 741 and the information restored from the verification information group 751 do not match, the history generation information 740 is being transmitted from the service providing apparatus 810 to the ID management apparatus 850. There is a high possibility that it has been tampered with by a third party.
Therefore, when the information restored from the service information group 741 and the information restored from the verification information group 751 do not match, the usage record verification unit 194 determines that the history generation information 740 has been falsified.

なお、ID管理装置850は、サービス利用記録情報721を記憶していないので、両者が一致する場合には、その内容が改竄されているかを検証することはできない。
そこで、利用記録検証部194は、両者が一致する場合には、とりあえず改竄はないものと判断し、利用者用履歴生成部871が利用者用履歴情報780を生成する。
実施の形態9で説明したように、利用者用履歴情報780には、その利用者が利用したサービスを記録したサービス記録情報742が含まれているので、利用者端末装置100がこれを受信し、利用者端末装置100が記憶したサービス利用記録情報721と比較することにより、履歴生成用情報740が改竄されているか否かを最終的に判断する。 Since the ID management device 850 does not store the service usage record information 721, if the two match, the ID management device 850 cannot verify whether the content has been tampered with.
Therefore, when the two match, the usage record verification unit 194 determines that there is no falsification for the time being, and the user history generation unit 871 generates the user history information 780.
As described in the ninth embodiment, since the user history information 780 includes service record information 742 that records the service used by the user, the user terminal device 100 receives this information. By comparing with the service usage record information 721 stored in the user terminal device 100, it is finally determined whether or not the history generation information 740 has been falsified.

図51は、この実施の形態における履歴サービス提供システム800が、履歴サービスを提供する情報提供処理の流れの一例を示すフローチャート図である。
なお、実施の形態9において図40を用いて説明した工程と共通する工程については、同一の名称を付し、ここでは説明を省略する。 FIG. 51 is a flowchart showing an example of a flow of information providing processing in which the history service providing system 800 according to this embodiment provides a history service.
Note that steps that are the same as those described in Embodiment 9 with reference to FIG. 40 are given the same names, and descriptions thereof are omitted here.

匿名ID一覧送信工程において、サービス提供装置810の記録識別送信部824は、CPU911などの処理装置を用いて、利用記録記憶部823が記憶しているサービス利用記録情報群710に含まれるすべてのID番号712と、そのID番号712についての識別署名情報とを入力する。
記録識別送信部824は、CPU911などの処理装置を用いて、入力したID番号の一覧(署名付き)を生成する。
記録識別送信部824は、通信装置915を用いて、ID管理装置850に対して、生成したID番号712の一覧(署名付き)と利用者端末装置100の匿名IDとを送信する。 In the anonymous ID list transmission step, the record identification transmission unit 824 of the service providing device 810 uses all the IDs included in the service usage record information group 710 stored in the usage record storage unit 823 using a processing device such as the CPU 911. A number 712 and identification signature information for the ID number 712 are input.
The record identification transmission unit 824 generates a list of input ID numbers (with a signature) using a processing device such as the CPU 911.
The record identification transmission unit 824 transmits the list (with signature) of the generated ID numbers 712 and the anonymous ID of the user terminal device 100 to the ID management device 850 using the communication device 915.

匿名ID一覧受信工程において、ID管理装置850の記録識別受信部113は、通信装置を用いて、匿名ID一覧送信工程でサービス提供装置810が送信したID番号712の一覧(署名付き)と利用者端末装置100の匿名IDとを受信する。
記録識別受信部113は、CPU911などの処理装置を用いて、受信したID番号712の一覧(署名付き)と利用者端末装置100の匿名IDとを出力する。 In the anonymous ID list receiving step, the record identification receiving unit 113 of the ID management device 850 uses the communication device to list the ID numbers 712 (with a signature) transmitted by the service providing device 810 in the anonymous ID list transmitting step and the user. The anonymous ID of the terminal device 100 is received.
The record identification receiving unit 113 outputs a list (with a signature) of the received ID numbers 712 and the anonymous ID of the user terminal device 100 using a processing device such as the CPU 911.

署名検証工程において、ID管理装置850の署名検証部193は、CPU911などの処理装置を用いて、匿名ID一覧受信工程で記録識別受信部113が出力したID番号712の一覧(署名付き)を入力する。
署名検証部193は、CPU911などの処理装置を用いて、入力したID番号712の一覧(署名付き)に含まれるすべてのID番号712について、署名を検証し、検証の結果、改変されていないと判断したID番号712の一覧を生成する。
署名検証部193は、CPU911などの処理装置を用いて、生成したID番号712の一覧を出力する。 In the signature verification process, the signature verification unit 193 of the ID management apparatus 850 inputs a list (with signature) of the ID numbers 712 output by the record identification reception unit 113 in the anonymous ID list reception process using a processing device such as the CPU 911. To do.
The signature verification unit 193 verifies the signatures of all ID numbers 712 included in the input ID number 712 list (with signatures) using a processing device such as the CPU 911. A list of the determined ID numbers 712 is generated.
The signature verification unit 193 outputs a list of generated ID numbers 712 using a processing device such as the CPU 911.

匿名ID選択工程において、ID管理装置850の記録識別選択部152は、CPU911などの処理装置を用いて、署名検証工程で署名検証部193が出力したID番号712の一覧と、匿名ID一覧受信工程で記録識別受信部113が出力した利用者端末装置100の匿名IDとを入力する。
記録識別選択部152は、CPU911などの処理装置を用いて、入力したID番号712の一覧のなかから、十分な数のID番号712を選択し、選択したID番号712のリストを出力する。 In the anonymous ID selection step, the record identification selection unit 152 of the ID management device 850 uses a processing device such as the CPU 911 to receive a list of ID numbers 712 output by the signature verification unit 193 in the signature verification step and an anonymous ID list reception step. The anonymous ID of the user terminal device 100 output by the record identification receiving unit 113 is input.
The recording identification selection unit 152 selects a sufficient number of ID numbers 712 from the list of input ID numbers 712 using a processing device such as the CPU 911 and outputs a list of the selected ID numbers 712.

匿名IDサブセット送信工程において、ID管理装置850の選択識別送信部142は、CPU911などの処理装置を用いて、匿名ID選択工程で記録識別選択部152が出力したID番号712のリストを入力する。
選択識別送信部142は、通信装置915を用いて、サービス提供装置810に対して、入力したID番号712のリストを送信する。 In the anonymous ID subset transmission step, the selection identification transmission unit 142 of the ID management device 850 inputs a list of ID numbers 712 output by the recording identification selection unit 152 in the anonymous ID selection step using a processing device such as the CPU 911.
The selection identification transmission unit 142 transmits the list of the input ID numbers 712 to the service providing apparatus 810 using the communication apparatus 915.

匿名IDサブセット受信工程において、サービス提供装置810の選択識別受信部825は、通信装置915を用いて、匿名IDサブセット送信工程でID管理装置850が送信したID番号712のリストを受信する。
選択識別受信部825は、CPU911などの処理装置を用いて、受信したID番号712のリストを出力する。 In the anonymous ID subset receiving process, the selection identification receiving unit 825 of the service providing apparatus 810 receives the list of the ID numbers 712 transmitted by the ID management apparatus 850 in the anonymous ID subset transmitting process using the communication device 915.
The selection identification receiving unit 825 outputs a list of received ID numbers 712 using a processing device such as the CPU 911.

履歴生成用情報作成工程において、サービス提供装置810の送信利用記録生成部826は、CPU911などの処理装置を用いて、入力したID番号712に基づいて、利用記録記憶部823が記憶したサービス利用記録情報711を入力し、図50に示した履歴生成用情報740(送信利用記録情報)を生成する。
送信利用記録生成部826は、CPU911などの処理装置を用いて、生成した履歴生成用情報740を出力する。 In the history generation information creation step, the transmission usage record generation unit 826 of the service providing device 810 uses the processing device such as the CPU 911 to store the service usage record stored in the usage record storage unit 823 based on the input ID number 712. Information 711 is input, and history generation information 740 (transmission use record information) shown in FIG. 50 is generated.
The transmission use record generation unit 826 outputs the generated history generation information 740 using a processing device such as the CPU 911.

履歴生成用情報送信工程において、サービス提供装置810の利用記録送信部827は、CPU911などの処理装置を用いて、履歴生成用情報作成工程で送信利用記録生成部826が出力した履歴生成用情報740を入力する。
利用記録送信部827は、通信装置915を用いて、ID管理装置850に対して、入力した履歴生成用情報740を送信する。 In the history generation information transmission step, the usage record transmission unit 827 of the service providing apparatus 810 uses a processing device such as the CPU 911 to output the history generation information 740 output from the transmission usage record generation unit 826 in the history generation information generation step. Enter.
The usage record transmission unit 827 transmits the input history generation information 740 to the ID management device 850 using the communication device 915.

履歴生成用情報受信工程において、ID管理装置850の利用記録受信部111は、通信装置915を用いて、履歴生成用情報送信工程でサービス提供装置810が送信した履歴生成用情報740を受信する。
利用記録受信部111は、CPU911などの処理装置を用いて、受信した履歴生成用情報740に基づいて、サービス利用記録情報711(利用記録情報)を復元する。
利用記録受信部111は、CPU911などの処理装置を用いて、復元したサービス利用記録情報711を出力する。 In the history generation information reception step, the usage record reception unit 111 of the ID management device 850 receives the history generation information 740 transmitted by the service providing device 810 in the history generation information transmission step using the communication device 915.
The usage record receiving unit 111 restores the service usage record information 711 (use record information) based on the received history generation information 740 using a processing device such as the CPU 911.
The usage record receiving unit 111 outputs the restored service usage record information 711 using a processing device such as the CPU 911.

利用者用履歴生成工程において、ID管理装置850の利用記録検証部194は、CPU911などの処理装置を用いて、履歴生成用情報受信工程で利用記録受信部111が出力したサービス利用記録情報711を入力する。
利用記録検証部194は、CPU911などの処理装置を用いて、入力したサービス利用記録情報711に基づいて、履歴生成用情報受信工程で利用記録受信部111が受信した履歴生成用情報740に改竄があるか否かを判断する。
利用記録検証部194は、CPU911などの処理装置を用いて、判断結果を示す情報を出力する。 In the user history generation step, the usage record verification unit 194 of the ID management device 850 uses the processing device such as the CPU 911 to store the service usage record information 711 output by the usage record reception unit 111 in the history generation information reception step. input.
The usage record verification unit 194 uses a processing device such as the CPU 911 to modify the history generation information 740 received by the usage record reception unit 111 in the history generation information reception step based on the input service usage record information 711. Judge whether there is.
The usage record verification unit 194 outputs information indicating the determination result using a processing device such as the CPU 911.

利用者用履歴生成工程において、ID管理装置850の利用者用履歴生成部871は、CPU911などの処理装置を用いて、履歴生成用情報受信工程で利用記録受信部111が出力したサービス利用記録情報711と、利用記録検証工程で利用記録検証部194が出力した判断結果を示す情報とを入力する。
利用記録検証部194が履歴生成用情報740に改竄がないと判断した場合、利用者用履歴生成部871は、CPU911などの処理装置を用いて、入力したサービス利用記録情報711に基づいて、利用者用履歴情報780を生成する。
利用記録検証部194が履歴生成用情報740に改竄があると判断した場合、利用者用履歴生成部871は、CPU911などの処理装置を用いて、空の利用者用履歴情報780を生成する。
利用者用履歴生成部871は、CPU911などの処理装置を用いて、生成した利用者用履歴情報780を出力する。 In the user history generation process, the user history generation unit 871 of the ID management device 850 uses the processing device such as the CPU 911 to output the service usage record information output by the usage record reception unit 111 in the history generation information reception process. 711 and information indicating the determination result output by the usage record verification unit 194 in the usage record verification process.
When the usage record verification unit 194 determines that the history generation information 740 is not falsified, the user history generation unit 871 uses a processing device such as the CPU 911 based on the input service usage record information 711. The user history information 780 is generated.
When the usage record verification unit 194 determines that the history generation information 740 is falsified, the user history generation unit 871 generates empty user history information 780 using a processing device such as the CPU 911.
The user history generation unit 871 outputs the generated user history information 780 using a processing device such as the CPU 911.

利用者用履歴送信工程において、利用者用履歴送信部872は、CPU911などの処理装置を用いて、利用者用履歴生成工程で利用者用履歴生成部871が生成した利用者用履歴情報780を入力する。
利用者用履歴送信部872は、通信装置915を用いて、利用者端末装置100に対して、入力した利用者用履歴情報780を送信する。 In the user history transmission step, the user history transmission unit 872 uses the processing device such as the CPU 911 to store the user history information 780 generated by the user history generation unit 871 in the user history generation step. input.
The user history transmission unit 872 transmits the input user history information 780 to the user terminal device 100 using the communication device 915.

利用者用履歴受信工程において、利用者端末装置の利用者用履歴受信部172は、通信装置915を用いて、利用者用履歴送信工程でID管理装置850が送信した利用者用履歴情報780を受信する。
利用者用履歴受信部172は、CPU911などの処理装置を用いて、受信した利用者用履歴情報780を出力する。 In the user history receiving process, the user history receiving unit 172 of the user terminal device uses the communication device 915 to store the user history information 780 transmitted by the ID management apparatus 850 in the user history transmitting process. Receive.
The user history receiving unit 172 outputs the received user history information 780 using a processing device such as the CPU 911.

履歴生成用情報検証工程において、信頼性判断部151は、CPU911などの処理装置を用いて、利用者用履歴受信工程で利用者用履歴受信部172が出力した利用者用履歴情報を入力する。
信頼性判断部151は、CPU911などの処理装置を用いて、入力した利用者用履歴情報780に基づいて、履歴生成用情報740の信頼性を判断する。
信頼性判断部151が入力した利用者用履歴情報780が空である場合、履歴生成用情報740が改竄されているとID管理装置850が判断したことを示しているので、信頼性判断部151は、履歴生成用情報740が信頼できないと判断する。
それ以外の場合、信頼性判断部151は、実施の形態9で説明したのと同様の動作により、履歴生成用情報740の信頼性を判断する。 In the history generation information verification step, the reliability determination unit 151 inputs the user history information output from the user history reception unit 172 in the user history reception step using a processing device such as the CPU 911.
The reliability determination unit 151 determines the reliability of the history generation information 740 based on the input user history information 780 using a processing device such as the CPU 911.
When the user history information 780 input by the reliability determination unit 151 is empty, it indicates that the ID management device 850 has determined that the history generation information 740 has been tampered with. Therefore, the reliability determination unit 151 Determines that the history generation information 740 is not reliable.
In other cases, the reliability determination unit 151 determines the reliability of the history generation information 740 by the same operation as described in the ninth embodiment.

履歴生成工程・履歴受信工程以降の処理は、実施の形態9において図40で説明したのと同様なので、ここでは説明を省略する。   The processing after the history generation step / history reception step is the same as that described with reference to FIG. 40 in the ninth embodiment, and thus description thereof is omitted here.

このように、ID管理装置850が複数ある場合には、1つのID管理装置850が匿名IDのすべてを管理しているわけではないので、ID管理装置850が匿名IDを発行する際に署名を付け、これを検証することにより、架空IDを発見することができる。   In this way, when there are a plurality of ID management devices 850, since one ID management device 850 does not manage all of the anonymous IDs, a signature is issued when the ID management device 850 issues an anonymous ID. By attaching and verifying this, a fictitious ID can be found.

利用者端末装置100は、複数のID管理装置850のいずれに匿名IDを発行してもらってもよいので、サービス提供装置810は、匿名IDを発行したID管理装置850に基づいて、利用者端末装置100を特定する手がかりを得ることはできない。   Since the user terminal device 100 may have any of the plurality of ID management devices 850 issue an anonymous ID, the service providing device 810 is based on the ID management device 850 that has issued the anonymous ID. You can't get a clue to identify 100.

ID管理装置850は、履歴生成用情報740に含まれるサービス情報群741と検証用情報群751との間に矛盾がないか検証するので、サービス提供装置810からID管理装置850へ送信される間に、第三者が履歴生成用情報740を改竄したことを発見することができる。   Since the ID management device 850 verifies whether there is a contradiction between the service information group 741 and the verification information group 751 included in the history generation information 740, while being transmitted from the service providing device 810 to the ID management device 850 In addition, it can be discovered that a third party has falsified the history generation information 740.

利用者端末装置100は、ID管理装置850が履歴生成用情報740から生成した利用者用履歴情報780に含まれるサービス情報群741と、記憶したサービス利用記録情報711とを比較して、履歴生成用情報740の信頼性を判断するので、サービス提供装置810は、サービス利用記録情報721を改竄することができない。   The user terminal device 100 generates a history by comparing the service information group 741 included in the user history information 780 generated from the history generation information 740 by the ID management device 850 with the stored service usage record information 711. Since the reliability of the service information 740 is determined, the service providing apparatus 810 cannot falsify the service usage record information 721.

実施の形態1における履歴サービス提供システム800の全体構成の一例を示すシステム構成図。1 is a system configuration diagram illustrating an example of an overall configuration of a history service providing system 800 according to Embodiment 1. FIG. 実施の形態1におけるサービス提供装置810の外観の一例を示す図。FIG. 3 is a diagram illustrating an example of an appearance of a service providing apparatus 810 according to Embodiment 1. 実施の形態1におけるサービス提供装置810のハードウェア資源の一例を示す図。FIG. 3 is a diagram illustrating an example of hardware resources of a service providing apparatus 810 according to Embodiment 1. 実施の形態1における利用者端末装置100及びサービス提供装置810のハードウェア構成の一例を示すハードウェア構成図。2 is a hardware configuration diagram illustrating an example of a hardware configuration of a user terminal device 100 and a service providing device 810 according to Embodiment 1. FIG. 実施の形態1における利用者端末装置100の機能ブロックの構成の一例を示すブロック構成図。FIG. 3 is a block configuration diagram showing an example of a functional block configuration of a user terminal device 100 according to the first embodiment. 実施の形態1における利用履歴情報610の一例を示す図。FIG. 6 shows an example of usage history information 610 in the first embodiment. 実施の形態1における利用記録情報620の一例を示す図。FIG. 6 shows an example of usage record information 620 in the first embodiment. 実施の形態1における履歴サービス提供システム800が履歴サービスを提供する履歴サービス提供処理の全体の流れの一例を示すフローチャート図。The flowchart figure which shows an example of the whole flow of the history service provision process in which the history service provision system 800 in Embodiment 1 provides a history service. 実施の形態1における匿名履歴判別部130が匿名履歴情報を判別する匿名履歴判別処理の流れの一例を示すフローチャート図。The flowchart figure which shows an example of the flow of the anonymous history discrimination | determination process in which the anonymous history discrimination | determination part 130 in Embodiment 1 discriminate | determines anonymous history information. 実施の形態2における利用者端末装置100の機能ブロックの構成の一例を示すブロック構成図。FIG. 6 is a block configuration diagram showing an example of a functional block configuration of a user terminal device 100 according to a second embodiment. サービス提供装置810が嘘の利用記録情報620を送信した場合について説明する図。The figure explaining the case where the service provision apparatus 810 transmitted the false use record information 620. 実施の形態2における信頼性判断部151が利用記録情報620の信頼性を判断する信頼性判断処理の流れの一例を示すフローチャート図。The flowchart figure which shows an example of the flow of the reliability judgment process in which the reliability judgment part 151 in Embodiment 2 judges the reliability of the utilization record information 620. 実施の形態3における利用履歴受信部112が受信し、利用履歴記憶部121が記憶する利用履歴情報610の一例を示す図。FIG. 14 is a diagram illustrating an example of usage history information 610 received by the usage history receiving unit 112 and stored in the usage history storage unit 121 according to the third embodiment. 実施の形態3における利用記録受信部111が受信する利用記録情報620の一例を示す図。FIG. 14 is a diagram illustrating an example of usage record information 620 received by a usage record reception unit 111 according to the third embodiment. 実施の形態3における信頼性判断部151が利用記録情報620の信頼性を判断する信頼性判断処理の流れの一例を示すフローチャート図。The flowchart figure which shows an example of the flow of the reliability judgment process in which the reliability judgment part 151 in Embodiment 3 judges the reliability of the utilization record information 620. 実施の形態4における利用者端末装置100の機能ブロックの構成の一例を示すブロック構成図。FIG. 10 is a block configuration diagram illustrating an example of a functional block configuration of a user terminal device 100 according to a fourth embodiment. 実施の形態4における履歴サービス提供システム800が履歴サービスを提供する履歴サービス提供処理の全体の流れの一例を示すフローチャート図。The flowchart figure which shows an example of the whole flow of the history service provision process in which the history service provision system 800 in Embodiment 4 provides a history service. 実施の形態4における記録識別選択部152が記録識別情報624を選択する記録識別選択処理の流れの一例を示すフローチャート図。The flowchart figure which shows an example of the flow of the recording identification selection process in which the recording identification selection part 152 in Embodiment 4 selects the recording identification information 624. 実施の形態5における利用記録受信部111が受信する利用記録情報620の一例を示す図。FIG. 18 is a diagram illustrating an example of usage record information 620 received by a usage record reception unit 111 according to the fifth embodiment. 実施の形態5における信頼性判断部151が、利用記録情報620の信頼性を判断する信頼性判断処理の流れの一例を示すフローチャート図。FIG. 16 is a flowchart showing an example of a flow of a reliability determination process in which the reliability determination unit 151 in Embodiment 5 determines the reliability of usage record information 620. 実施の形態6における利用履歴受信部112が受信し、利用履歴記憶部121が記憶する利用履歴情報610の一例を示す図。FIG. 18 is a diagram illustrating an example of usage history information 610 received by the usage history receiving unit 112 and stored in the usage history storage unit 121 according to the sixth embodiment. 実施の形態6における利用記録受信部111が受信する暗号化記録情報640の一例を示す図。FIG. 20 is a diagram illustrating an example of encrypted recording information 640 received by a usage record reception unit 111 according to the sixth embodiment. 実施の形態6における利用記録受信部111が受信する利用記録情報620の別の例を示す図。FIG. 20 is a diagram illustrating another example of usage record information 620 received by the usage record reception unit 111 according to the sixth embodiment. 実施の形態7における利用履歴受信部112が受信し、利用履歴記憶部121が記憶する利用履歴情報610の一例を示す図。FIG. 18 is a diagram illustrating an example of usage history information 610 received by the usage history receiving unit 112 and stored in the usage history storage unit 121 according to the seventh embodiment. 実施の形態7における利用記録受信部111が受信する暗号化記録情報640と暗号化暗号鍵650との一例を示す図。FIG. 20 is a diagram illustrating an example of encrypted record information 640 and an encrypted encryption key 650 received by a usage record reception unit 111 according to the seventh embodiment. 実施の形態7におけるサービス提供装置810が暗号化記録情報640を送信する利用記録送信処理の流れの一例を示すフローチャート図。FIG. 18 is a flowchart showing an example of a flow of usage record transmission processing in which the service providing apparatus 810 in Embodiment 7 transmits encrypted record information 640. 実施の形態7における利用記録受信部111が、暗号化記録情報640を受信して復号する利用記録受信処理の流れの一例を示すフローチャート図。FIG. 18 is a flowchart illustrating an example of a flow of usage record reception processing in which the usage record receiving unit 111 according to the seventh embodiment receives and decrypts encrypted recording information 640. 実施の形態8におけるサービス提供装置810の機能ブロックの構成の一例を示すブロック構成図。FIG. 20 is a block configuration diagram illustrating an example of a functional block configuration of a service providing apparatus 810 according to an eighth embodiment. 実施の形態8における利用記録記憶部823が記憶するサービス利用記録情報群710の一例を示す図。FIG. 20 is a diagram illustrating an example of a service use record information group 710 stored in a use record storage unit 823 in the eighth embodiment. 実施の形態8における履歴サービス提供システム800が履歴サービスを提供する履歴サービス提供処理の全体の流れを示すフローチャート図。The flowchart figure which shows the flow of the whole history service provision process in which the history service provision system 800 in Embodiment 8 provides a history service. 実施の形態8における履歴サービス提供システム800が、利用者端末装置100とサービス提供装置810との間の通信を確立する通信確立処理の流れの一例を示すフローチャート図。The flowchart figure which shows an example of the flow of the communication establishment process in which the historical service provision system 800 in Embodiment 8 establishes communication between the user terminal device 100 and the service provision apparatus 810. 実施の形態8における履歴サービス提供システム800が、履歴サービスを提供する情報提供処理の流れの一例を示すフローチャート図。FIG. 20 is a flowchart showing an example of a flow of information providing processing in which the history service providing system 800 according to the eighth embodiment provides a history service. 実施の形態8における履歴サービス提供システム800において、サービス提供装置810と利用者端末装置100とがやり取りする情報の一例を示す図。FIG. 20 is a diagram illustrating an example of information exchanged between a service providing device 810 and a user terminal device 100 in a history service providing system 800 according to an eighth embodiment. 実施の形態8における送信利用記録生成部826が生成する履歴生成用情報740の一例を示す図。FIG. 20 is a diagram illustrating an example of history generation information 740 generated by a transmission usage record generation unit 826 according to Embodiment 8. 実施の形態8における送信利用記録生成部826が、暗号化個別サービス情報745、個別サービス情報検証用情報754、個別サービス個数算出用情報756を生成する生成方法を説明するための図。The figure for demonstrating the production | generation method in which the transmission usage record production | generation part 826 in Embodiment 8 produces | generates the encryption separate service information 745, the information for individual service information verification 754, and the information 756 for individual service number calculation. 実施の形態8における利用記録受信部111が復号したサービス利用記録情報721の一例を示す図。FIG. 20 is a diagram illustrating an example of service usage record information 721 decrypted by the usage record reception unit 111 according to the eighth embodiment. 実施の形態9における履歴サービス提供システム800の全体構成及びハードウェア構成の一例を示すシステム構成図。FIG. 10 is a system configuration diagram illustrating an example of an overall configuration and a hardware configuration of a history service providing system 800 according to a ninth embodiment. 実施の形態9における利用者端末装置100及びID管理装置850の機能ブロックの構成の一例を示すブロック構成図。The block block diagram which shows an example of a structure of the functional block of the user terminal device 100 in Embodiment 9, and the ID management apparatus 850. FIG. 実施の形態9における履歴サービス提供システム800が、利用者端末装置100とサービス提供装置810との間の通信を確立する通信確立処理の流れの一例を示すフローチャート図。The flowchart figure which shows an example of the flow of the communication establishment process in which the log | history service provision system 800 in Embodiment 9 establishes communication between the user terminal device 100 and the service provision apparatus 810. 実施の形態9における履歴サービス提供システム800が、履歴サービスを提供する情報提供処理の流れの一例を示すフローチャート図。FIG. 25 is a flowchart showing an example of a flow of information providing processing in which the history service providing system 800 according to the ninth embodiment provides a history service. 実施の形態9における送信利用記録生成部826が生成する履歴生成用情報740及び利用者用履歴生成部871が生成する利用者用履歴情報780の一例を示す図。FIG. 20 is a diagram illustrating an example of history generation information 740 generated by a transmission usage record generation unit 826 and user history information 780 generated by a user history generation unit 871 according to the ninth embodiment. 実施の形態10における利用者端末装置100の機能ブロックの構成の一例を示すブロック構成図。FIG. 25 is a block configuration diagram showing an example of a functional block configuration of a user terminal device 100 according to the tenth embodiment. 実施の形態10における利用者端末装置100が種別識別情報に矛盾がないか判定する種別識別判定処理の流れの一例を示すフローチャート図。The flowchart figure which shows an example of the flow of the classification identification determination process which the user terminal device 100 in Embodiment 10 determines whether there is no contradiction in classification identification information. 実施の形態11における履歴サービス提供システム800の全体構成及びハードウェア構成の一例を示すシステム構成図。FIG. 20 is a system configuration diagram showing an example of the overall configuration and hardware configuration of a history service providing system 800 in an eleventh embodiment. 実施の形態11における利用者端末装置100及びID署名装置880の機能ブロックの構成の一例を示すブロック構成図。FIG. 25 is a block configuration diagram showing an example of functional block configurations of a user terminal device 100 and an ID signature device 880 in the eleventh embodiment. 実施の形態11における履歴サービス提供システム800が、利用者端末装置100とサービス提供装置810との間の通信を確立する通信確立処理の流れの一例を示すフローチャート図。The flowchart figure which shows an example of the flow of the communication establishment process in which the historical service provision system 800 in Embodiment 11 establishes communication between the user terminal device 100 and the service provision apparatus 810. 実施の形態11における履歴サービス提供システム800が、履歴サービスを提供する情報提供処理の流れの一例を示すフローチャート図。The flowchart figure which shows an example of the flow of the information provision process in which the historical service provision system 800 in Embodiment 11 provides a historical service. 実施の形態12における履歴サービス提供システム800の全体構成の一例を示すシステム構成図。FIG. 20 is a system configuration diagram illustrating an example of an overall configuration of a history service providing system 800 according to Embodiment 12. 実施の形態12におけるID管理装置850の機能ブロックの構成の一例を示すブロック構成図。FIG. 25 is a block configuration diagram illustrating an example of a functional block configuration of an ID management device 850 according to Embodiment 12. 実施の形態12における履歴生成用情報740の一例を示す図。20 is a diagram illustrating an example of history generation information 740 according to Embodiment 12. FIG. 実施の形態12における履歴サービス提供システム800が、履歴サービスを提供する情報提供処理の流れの一例を示すフローチャート図。The flowchart figure which shows an example of the flow of the information provision process in which the historical service provision system 800 in Embodiment 12 provides a historical service.

符号の説明Explanation of symbols

100 利用者端末装置、111 利用記録受信部、112 利用履歴受信部、113 記録識別受信部、121 利用履歴記憶部、130 匿名履歴判別部、131 匿名性判断部、141 匿名履歴送信部、142 選択識別送信部、151 信頼性判断部、152 記録識別選択部、161 識別生成要求送信部、163 生成識別受信部、164 記録識別送信部、172 利用者用履歴受信部、181 利用履歴入力部、182 種別識別判別部、183 種別識別記憶部、191 識別署名要求送信部、192 識別署名受信部、193 署名検証部、200 カード部、210 UIM、610 利用履歴情報、611,621,631,651 商品コード、612,622 購入個数、613 購入日時、614 履歴識別情報、616,656 サービス暗号鍵、617 履歴暗号鍵、620 利用記録情報、624,654 記録識別情報、625 ハッシュ値、627 記録暗号鍵、630 匿名履歴情報、640 暗号化記録情報、642 暗号化購入個数、650 暗号化暗号鍵、652 位置、710 サービス利用記録情報群、711,721 サービス利用記録情報、712 ID番号、713 共通鍵、714,724 サービス利用記録、715 商品コード、716 購入個数、740 履歴生成用情報、741 サービス情報群、742 サービス記録情報、743 ID番号、744 暗号化個別サービス情報群、745 暗号化個別サービス情報、746 個別サービス情報群、747 個別サービス情報、751 検証用情報群、752 検証用情報、753 個別サービス情報検証用情報群、754 個別サービス情報検証用情報、755 個別サービス個数算出用情報群、756 個別サービス個数算出用情報、761 検証用位置、762 算出用位置、763 算出用数値、771 サービス種別情報群、772 暗号化サービス種別情報、780 利用者用履歴情報、781 利用者特定率情報群、782 利用者特定率情報、800 履歴サービス提供システム、810 サービス提供装置、821 利用履歴生成部、822 利用履歴送信部、823 利用記録記憶部、824 記録識別送信部、825 選択識別受信部、826 送信利用記録生成部、827 利用記録送信部、831 匿名履歴受信部、832 サービス情報記憶部、833 サービス情報選択部、834 サービス情報送信部、841 秘密鍵記憶部、842 証明書記憶部、850 ID管理装置、861 識別生成要求受信部、862 記録識別生成部、863 生成識別送信部、864 記録識別記憶部、871 利用者用履歴生成部、872 利用者用履歴送信部、880 ID署名装置、881 署名要求受信部、882 署名生成部、883 署名送信部、901 表示装置、902 キーボード、903 マウス、904 FDD、905 CDD、906 プリンタ装置、907 スキャナ装置、910 システムユニット、911 CPU、912 バス、913 ROM、914 RAM、915 通信装置、920 磁気ディスク装置、921 OS、922 ウィンドウシステム、923 プログラム群、924 ファイル群、931 電話器、932 ファクシミリ機、940 インターネット、941 ゲートウェイ、942 LAN。   DESCRIPTION OF SYMBOLS 100 User terminal device, 111 Usage record receiving part, 112 Usage history receiving part, 113 Record identification receiving part, 121 Usage history storage part, 130 Anonymity history discrimination | determination part, 131 Anonymity judgment part, 141 Anonymity history transmission part, 142 selection Identification transmission unit, 151 Reliability determination unit, 152 Recording identification selection unit, 161 Identification generation request transmission unit, 163 Generation identification reception unit, 164 Recording identification transmission unit, 172 User history reception unit, 181 Usage history input unit, 182 Type identification determination unit, 183 Type identification storage unit, 191 Identification signature request transmission unit, 192 Identification signature reception unit, 193 Signature verification unit, 200 Card unit, 210 UIM, 610 Usage history information, 611, 621, 631, 651 Product code 612, 622 Purchased quantity, 613 Purchase date and time, 614 History identification information, 616, 6 6 Service encryption key, 617 History encryption key, 620 Usage record information, 624, 654 Record identification information, 625 Hash value, 627 Record encryption key, 630 Anonymity history information, 640 Encryption record information, 642 Encrypted purchase quantity, 650 encryption Encryption key, 652 position, 710 service use record information group, 711, 721 service use record information, 712 ID number, 713 common key, 714, 724 service use record, 715 product code, 716 purchased quantity, 740 history generation information 741 Service information group, 742 Service record information, 743 ID number, 744 Encrypted individual service information group, 745 Encrypted individual service information, 746 Individual service information group, 747 Individual service information, 751 Verification information group, 752 For verification Information, 753 Individual service Service information verification information group, 754 individual service information verification information, 755 individual service number calculation information group, 756 individual service number calculation information, 761 verification position, 762 calculation position, 763 calculation numerical value, 771 service type Information group, 772 Encryption service type information, 780 User history information, 781 User identification rate information group, 782 User identification rate information, 800 History service provision system, 810 Service provision device, 821 Usage history generation unit, 822 Usage history transmission unit, 823 Usage record storage unit, 824 Record identification transmission unit, 825 Selection identification reception unit, 826 Transmission usage record generation unit, 827 Usage record transmission unit, 831 Anonymity history reception unit, 832 Service information storage unit, 833 service Information selection unit, 834 Service information transmission unit, 841 Secret Storage unit, 842 certificate storage unit, 850 ID management device, 861 identification generation request receiving unit, 862 recording identification generation unit, 863 generation identification transmission unit, 864 recording identification storage unit, 871 user history generation unit, 872 user History transmission unit, 880 ID signature device, 881 signature request reception unit, 882 signature generation unit, 883 signature transmission unit, 901 display device, 902 keyboard, 903 mouse, 904 FDD, 905 CDD, 906 printer device, 907 scanner device, 910 system unit, 911 CPU, 912 bus, 913 ROM, 914 RAM, 915 communication device, 920 magnetic disk device, 921 OS, 922 window system, 923 program group, 924 file group, 931 telephone, 932 facsimile machine, 940 Internet, 941 gateway, 942 LAN.

Claims (13)

情報を記憶する記憶装置と、
情報を処理する処理装置と、
利用したサービス内容を記録した利用記録情報を複数記憶するサーバ装置と通信する通信装置と、
上記記憶装置を用いて、上記サーバ装置が記憶した上記利用記録情報のうち、所定の利用者が利用した上記サービス内容についての利用記録情報を利用履歴情報として記憶する利用履歴記憶部と、
上記通信装置を用いて、上記サーバ装置から、上記利用記録情報を複数受信し、上記処理装置を用いて、受信した複数の上記利用記録情報を出力する利用記録受信部と、
上記処理装置を用いて、上記利用記録受信部が出力した複数の上記利用記録情報と、上記利用履歴記憶部が記憶した上記利用履歴情報とを入力し、上記処理装置を用いて、入力した複数の上記利用記録情報に基づいて、入力した上記利用履歴情報のうち上記サーバ装置に送信しても上記所定の利用者が特定されにくい情報を判別し、上記処理装置を用いて、判別した上記情報を匿名履歴情報として出力する匿名履歴判別部と、
上記処理装置を用いて、上記匿名履歴判別部が出力した上記匿名履歴情報を入力し、上記通信装置を用いて、上記サーバ装置に対して、入力した上記匿名履歴情報を送信する匿名履歴送信部とを有し、
上記匿名履歴判別部は、上記処理装置を用いて、入力した複数の上記利用記録情報のそれぞれについて、上記利用記録情報が記録した上記サービス内容を判別し、上記処理装置を用いて、判別した上記サービス内容のそれぞれについて、上記サービス内容を利用した利用回数を算出し、上記処理装置を用いて、算出した上記利用回数が所定の回数よりも多い場合に、上記サービス内容についての情報を上記サーバ装置に送信しても上記所定の利用者が特定されにくいと判断する匿名性判断部を有することを特徴とする端末装置。 A storage device for storing information;
A processing device for processing information;
A communication device that communicates with a server device that stores a plurality of usage record information in which used service content is recorded;
Of the use record information stored by the server device using the storage device, a use history storage unit that stores use record information about the service content used by a predetermined user as use history information;
A plurality of usage record information received from the server device using the communication device, and a plurality of usage record information received using the processing device;
Using the processing device, the plurality of usage record information output from the usage record receiving unit and the usage history information stored in the usage history storage unit are input, and the plurality of input information is input using the processing device. Based on the usage record information, the information on the input usage history information that is difficult to identify the predetermined user even if transmitted to the server device is determined, and the determined information is determined using the processing device. Anonymity history discriminating section for outputting as anonymous history information,
Anonymous history transmission unit that inputs the anonymous history information output by the anonymous history determination unit using the processing device and transmits the input anonymous history information to the server device using the communication device. It has a door,
The anonymous history discriminating unit discriminates the service content recorded by the usage record information for each of the plurality of input usage record information input using the processing device, and discriminates the service content using the processing device. For each service content, the number of uses of the service content is calculated, and when the calculated number of uses is greater than a predetermined number using the processing device, information about the service content is stored in the server device. A terminal device comprising an anonymity determining unit that determines that the predetermined user is difficult to be identified even if transmitted to the terminal. 情報を記憶する記憶装置と、
情報を処理する処理装置と、
利用したサービス内容を記録した利用記録情報を複数記憶するサーバ装置と通信する通信装置と、
上記記憶装置を用いて、上記サーバ装置が記憶した上記利用記録情報のうち、所定の利用者が利用した上記サービス内容についての利用記録情報を利用履歴情報として記憶する利用履歴記憶部と、
上記通信装置を用いて、上記サーバ装置から、上記利用記録情報を複数受信し、上記処理装置を用いて、受信した複数の上記利用記録情報を出力する利用記録受信部と、
上記処理装置を用いて、上記利用記録受信部が出力した複数の上記利用記録情報と、上記利用履歴記憶部が記憶した上記利用履歴情報とを入力し、上記処理装置を用いて、入力した複数の上記利用記録情報に基づいて、入力した上記利用履歴情報のうち上記サーバ装置に送信しても上記所定の利用者が特定されにくい情報を判別し、上記処理装置を用いて、判別した上記情報を匿名履歴情報として出力する匿名履歴判別部と、
上記処理装置を用いて、上記匿名履歴判別部が出力した上記匿名履歴情報を入力し、上記通信装置を用いて、上記サーバ装置に対して、入力した上記匿名履歴情報を送信する匿名履歴送信部とを有し、
上記利用履歴記憶部は、上記記憶装置を用いて、上記利用履歴情報と上記利用履歴情報を識別する履歴識別情報とを記憶し、
上記利用記録受信部は、上記通信装置を用いて、複数の上記利用記録情報と複数の上記利用記録情報をそれぞれ識別する複数の記録識別情報とを受信し、上記処理装置を用いて、受信した複数の上記利用記録情報と受信した複数の上記記録識別情報とを出力し、
に、
上記処理装置を用いて、上記利用履歴記憶部が記憶した上記履歴識別情報と、上記利用記録受信部が出力した複数の上記記録識別情報とを入力し、上記処理装置を用いて、入力した上記履歴識別情報と入力した上記記録識別情報とが一致するものについて、上記利用履歴記憶部が記憶した上記利用履歴情報のうち、上記履歴識別情報によって識別される利用履歴情報と、上記利用記録受信部が出力した上記利用記録情報のうち、上記記録識別情報によって識別される利用記録情報とを入力し、上記処理装置を用いて、入力した上記利用履歴情報が記録したサービス内容と、入力した上記利用記録情報が記録したサービス内容とが一致するか否かを判断し、上記処理装置を用いて、上記サービス内容が一致すると判断した場合に、上記利用記録情報が信頼できると判断する信頼性判断部を有し、
上記匿名履歴判別部は、上記処理装置を用いて、上記利用記録情報が信頼できると上記信頼性判断部が判断した場合に、上記匿名履歴情報を出力することを特徴とする端末装置。 A storage device for storing information;
A processing device for processing information;
A communication device that communicates with a server device that stores a plurality of usage record information in which used service content is recorded;
Of the use record information stored by the server device using the storage device, a use history storage unit that stores use record information about the service content used by a predetermined user as use history information;
A plurality of usage record information received from the server device using the communication device, and a plurality of usage record information received using the processing device;
Using the processing device, the plurality of usage record information output from the usage record receiving unit and the usage history information stored in the usage history storage unit are input, and the plurality of input information is input using the processing device. Based on the usage record information, the information on the input usage history information that is difficult to identify the predetermined user even if transmitted to the server device is determined, and the determined information is determined using the processing device. Anonymity history discriminating section for outputting as anonymous history information,
Anonymous history transmission unit that inputs the anonymous history information output by the anonymous history determination unit using the processing device and transmits the input anonymous history information to the server device using the communication device. And
The usage history storage unit stores the usage history information and history identification information for identifying the usage history information using the storage device,
The usage record receiving unit receives the plurality of usage record information and the plurality of record identification information respectively identifying the plurality of usage record information using the communication device, and receives the plurality of usage record information using the processing device. Outputting a plurality of the use record information and the received plurality of record identification information;
In further,
Using the processing device, the history identification information stored in the usage history storage unit and the plurality of record identification information output by the usage record receiving unit are input, and the input of the history information is performed using the processing device. Of the usage history information stored by the usage history storage unit, the usage history information identified by the history identification information and the usage record reception unit for the history identification information that matches the input record identification information. The usage record information identified by the record identification information is input from among the usage record information output by the user, and the service content recorded by the input usage history information using the processing device and the input usage It is determined whether or not the recorded service content matches the recorded service content, and the use record is determined when it is determined that the service content matches using the processing device. A reliability determining unit which determines that the broadcast is reliable,
The said anonymous log | history discrimination | determination part outputs the said anonymous log | history information, when the said reliability judgment part judges that the said usage record information can be trusted using the said processing apparatus. 情報を記憶する記憶装置と、
情報を処理する処理装置と、
利用したサービス内容を記録した利用記録情報を複数記憶するサーバ装置と通信する通信装置と、
上記記憶装置を用いて、上記サーバ装置が記憶した上記利用記録情報のうち、所定の利用者が利用した上記サービス内容についての利用記録情報を利用履歴情報として記憶する利用履歴記憶部と、
上記通信装置を用いて、上記サーバ装置から、上記利用記録情報を複数受信し、上記処理装置を用いて、受信した複数の上記利用記録情報を出力する利用記録受信部と、
上記処理装置を用いて、上記利用記録受信部が出力した複数の上記利用記録情報と、上記利用履歴記憶部が記憶した上記利用履歴情報とを入力し、上記処理装置を用いて、入力した複数の上記利用記録情報に基づいて、入力した上記利用履歴情報のうち上記サーバ装置に送信しても上記所定の利用者が特定されにくい情報を判別し、上記処理装置を用いて、判別した上記情報を匿名履歴情報として出力する匿名履歴判別部と、
上記処理装置を用いて、上記匿名履歴判別部が出力した上記匿名履歴情報を入力し、上記通信装置を用いて、上記サーバ装置に対して、入力した上記匿名履歴情報を送信する匿名履歴送信部とを有し、
上記利用履歴記憶部は、上記記憶装置を用いて、上記利用履歴情報と上記利用履歴情報を識別する履歴識別情報とを記憶し、
上記利用記録受信部は、上記通信装置を用いて、複数のハッシュ値と、複数の上記ハッシュ値それぞれに対応する複数の上記利用記録情報とを受信し、上記処理装置を用いて、受信した複数の上記ハッシュ値と受信した複数の上記利用記録情報とを出力し、
に、
上記処理装置を用いて、上記利用履歴記憶部が記憶した上記履歴識別情報と上記利用履歴情報と、上記利用記録受信部が出力した複数の上記ハッシュ値とを入力し、上記処理装置を用いて、入力した上記履歴識別情報と入力した上記利用履歴情報とに基づいて、ハッシュ値を算出し、上記処理装置を用いて、入力した上記ハッシュ値と算出した上記ハッシュ値とが一致するものについて、上記利用記録受信部が出力した上記利用記録情報のうち、上記ハッシュ値に対応する利用記録情報を入力し、上記処理装置を用いて、入力した上記利用履歴情報が記録したサービス内容と、入力した上記利用記録情報が記録したサービス内容とが一致するか否かを判断し、上記処理装置を用いて、上記サービス内容が一致すると判断した場合に、上記利用記録情報が信頼できると判断する信頼性判断部を有し、
上記匿名履歴判別部は、上記処理装置を用いて、上記利用記録情報が信頼できると上記信頼性判断部が判断した場合に、上記匿名履歴情報を出力することを特徴とす端末装置。 A storage device for storing information;
A processing device for processing information;
A communication device that communicates with a server device that stores a plurality of usage record information in which used service content is recorded;
Of the use record information stored by the server device using the storage device, a use history storage unit that stores use record information about the service content used by a predetermined user as use history information;
A plurality of usage record information received from the server device using the communication device, and a plurality of usage record information received using the processing device;
Using the processing device, the plurality of usage record information output from the usage record receiving unit and the usage history information stored in the usage history storage unit are input, and the plurality of input information is input using the processing device. Based on the usage record information, the information on the input usage history information that is difficult to identify the predetermined user even if transmitted to the server device is determined, and the determined information is determined using the processing device. Anonymity history discriminating section for outputting as anonymous history information,
Anonymous history transmission unit that inputs the anonymous history information output by the anonymous history determination unit using the processing device and transmits the input anonymous history information to the server device using the communication device. And
The usage history storage unit stores the usage history information and history identification information for identifying the usage history information using the storage device,
The usage record receiving unit receives a plurality of hash values and a plurality of usage record information corresponding to the plurality of hash values using the communication device, and receives the plurality of received usage information using the processing device. Output the hash value and a plurality of received use record information,
In further,
Using the processing device, the history identification information stored in the usage history storage unit, the usage history information, and the plurality of hash values output from the usage record reception unit are input, and the processing device is used. The hash value is calculated based on the input history identification information and the input usage history information, and the input hash value matches the calculated hash value using the processing device. Of the usage record information output by the usage record receiver, the usage record information corresponding to the hash value is input, and using the processing device, the service content recorded by the input usage history information is input. It is determined whether or not the service content recorded by the usage record information matches, and when it is determined that the service content matches using the processing device, A reliability determining unit which determines that the recording information is reliable,
The anonymous history determination unit, using the processing device, when the reliability judging unit when the usage record information is reliable is determined, the terminal apparatus you and outputting the anonymous history information. 上記利用履歴記憶部は、上記記憶装置を用いて、上記利用履歴情報と上記利用履歴情報を識別する履歴識別情報とを記憶し、
上記利用記録受信部は、上記通信装置を用いて、複数の上記利用記録情報と複数の上記利用記録情報をそれぞれ識別する複数の記録識別情報とを受信し、上記処理装置を用いて、受信した複数の上記利用記録情報と受信した複数の上記記録識別情報とを出力し、
上記端末装置は、更に、
上記処理装置を用いて、上記利用履歴記憶部が記憶した上記履歴識別情報と、上記利用記録受信部が出力した複数の上記記録識別情報とを入力し、上記処理装置を用いて、入力した上記履歴識別情報と入力した上記記録識別情報とが一致するものについて、上記利用履歴記憶部が記憶した上記利用履歴情報のうち、上記履歴識別情報によって識別される利用履歴情報と、上記利用記録受信部が出力した上記利用記録情報のうち、上記記録識別情報によって識別される利用記録情報とを入力し、上記処理装置を用いて、入力した上記利用履歴情報が記録したサービス内容と、入力した上記利用記録情報が記録したサービス内容とが一致するか否かを判断し、上記処理装置を用いて、上記サービス内容が一致すると判断した場合に、上記利用記録情報が信頼できると判断する信頼性判断部を有し、
上記匿名履歴判別部は、上記処理装置を用いて、上記利用記録情報が信頼できると上記信頼性判断部が判断した場合に、上記匿名履歴情報を出力することを特徴とする請求項1に記載の端末装置。 The usage history storage unit stores the usage history information and history identification information for identifying the usage history information using the storage device,
The usage record receiving unit receives the plurality of usage record information and the plurality of record identification information respectively identifying the plurality of usage record information using the communication device, and receives the plurality of usage record information using the processing device. Outputting a plurality of the use record information and the received plurality of record identification information;
The terminal device further includes:
Using the processing device, the history identification information stored in the usage history storage unit and the plurality of record identification information output by the usage record receiving unit are input, and the input of the history information is performed using the processing device. Of the usage history information stored by the usage history storage unit, the usage history information identified by the history identification information and the usage record reception unit for the history identification information that matches the input record identification information. The usage record information identified by the record identification information is input from among the usage record information output by the user, and the service content recorded by the input usage history information using the processing device and the input usage It is determined whether or not the recorded service content matches the recorded service content, and the use record is determined when it is determined that the service content matches using the processing device. A reliability determining unit which determines that the broadcast is reliable,
The anonymous history determination unit outputs the anonymous history information when the reliability determination unit determines that the usage record information is reliable using the processing device. Terminal equipment. 上記端末装置は、更に、
上記通信装置を用いて、上記サーバ装置が記憶した利用記録情報を識別する上記記録識別情報のリストを受信し、上記処理装置を用いて、受信した上記記録識別情報のリストを出力する記録識別受信部と、
上記処理装置を用いて、上記記録識別受信部が出力した上記記録識別情報のリストのなかから、複数の記録識別情報を選択し、上記処理装置を用いて、選択した複数の上記記録識別情報を出力する記録識別選択部と、
上記処理装置を用いて、上記記録識別選択部が出力した複数の上記記録識別情報を入力し、上記通信装置を用いて、上記サーバ装置に対して、入力した複数の上記記録識別情報を送信する選択識別送信部と有し、
上記利用記録受信部は、上記通信装置を用いて、上記サーバ装置から、上記選択識別送信部が送信した複数の上記記録識別情報によって識別される複数の上記利用記録情報を受信することを特徴とする請求項2または請求項4に記載の端末装置。 The terminal device further includes:
Record identification reception for receiving the list of record identification information for identifying the use record information stored in the server device using the communication device, and outputting the list of the received record identification information for the processing device. And
Using the processing device, select a plurality of recording identification information from the list of recording identification information output by the recording identification receiving unit, and use the processing device to select the plurality of recording identification information selected. A record identification selection unit to output;
The plurality of record identification information output from the record identification selection unit is input using the processing device, and the plurality of input record identification information is transmitted to the server device using the communication device. and a selection identifying transmitting unit,
The usage record receiving unit receives the plurality of usage record information identified by the plurality of record identification information transmitted by the selection identification transmission unit from the server device using the communication device. The terminal device according to claim 2 or 4 . 上記記録識別選択部は、更に、上記処理装置を用いて、上記利用履歴記憶部が記憶した上記履歴識別情報を入力し、上記処理装置を用いて、入力した上記履歴識別情報と一致する上記記録識別情報を選択し、上記処理装置を用いて、入力した上記履歴識別情報と一致しない上記記録識別情報をランダムに選択することを特徴とする請求項5に記載の端末装置。   The record identification selection unit further inputs the history identification information stored in the usage history storage unit using the processing device, and uses the processing device to match the record identification information input. 6. The terminal device according to claim 5, wherein identification information is selected, and the record identification information that does not match the input history identification information is selected at random using the processing device. 上記利用履歴記憶部は、上記記憶装置を用いて、上記利用履歴情報と上記利用履歴情報を識別する履歴識別情報とを記憶し、
上記利用記録受信部は、上記通信装置を用いて、複数のハッシュ値と、複数の上記ハッシュ値それぞれに対応する複数の上記利用記録情報とを受信し、上記処理装置を用いて、受信した複数の上記ハッシュ値と受信した複数の上記利用記録情報とを出力し、
上記端末装置は、更に、
上記処理装置を用いて、上記利用履歴記憶部が記憶した上記履歴識別情報と上記利用履歴情報と、上記利用記録受信部が出力した複数の上記ハッシュ値とを入力し、上記処理装置を用いて、入力した上記履歴識別情報と入力した上記利用履歴情報とに基づいて、ハッシュ値を算出し、上記処理装置を用いて、入力した上記ハッシュ値と算出した上記ハッシュ値とが一致するものについて、上記利用記録受信部が出力した上記利用記録情報のうち、上記ハッシュ値に対応する利用記録情報を入力し、上記処理装置を用いて、入力した上記利用履歴情報が記録したサービス内容と、入力した上記利用記録情報が記録したサービス内容とが一致するか否かを判断し、上記処理装置を用いて、上記サービス内容が一致すると判断した場合に、上記利用記録情報が信頼できると判断する信頼性判断部を有し、
上記匿名履歴判別部は、上記処理装置を用いて、上記利用記録情報が信頼できると上記信頼性判断部が判断した場合に、上記匿名履歴情報を出力することを特徴とする請求項1に記載の端末装置。 The usage history storage unit stores the usage history information and history identification information for identifying the usage history information using the storage device,
The usage record receiving unit receives a plurality of hash values and a plurality of usage record information corresponding to the plurality of hash values using the communication device, and receives the plurality of received usage information using the processing device. Output the hash value and a plurality of received use record information,
The terminal device further includes:
Using the processing device, the history identification information stored in the usage history storage unit, the usage history information, and the plurality of hash values output from the usage record reception unit are input, and the processing device is used. The hash value is calculated based on the input history identification information and the input usage history information, and the input hash value matches the calculated hash value using the processing device. Of the usage record information output by the usage record receiver, the usage record information corresponding to the hash value is input, and using the processing device, the service content recorded by the input usage history information is input. It is determined whether or not the service content recorded by the usage record information matches, and when it is determined that the service content matches using the processing device, A reliability determining unit which determines that the recording information is reliable,
The anonymous history determination unit outputs the anonymous history information when the reliability determination unit determines that the usage record information is reliable using the processing device. Terminal equipment. 上記端末装置は、更に、
上記通信装置を用いて、上記所定の利用者が上記サービス内容を利用した場合に、上記サーバ装置から、利用した上記サービス内容を記録した利用記録情報と上記サービス内容の種別に対応する暗号鍵とを受信し、上記処理装置を用いて、受信した上記利用記録情報を利用履歴情報として出力し、受信した上記暗号鍵をサービス暗号鍵として出力する利用履歴受信部を有し、
上記利用履歴記憶部は、上記処理装置を用いて、上記利用履歴受信部が出力した上記利用履歴情報と上記サービス暗号鍵とを入力し、上記記憶装置を用いて、入力した上記利用履歴情報と上記サービス暗号鍵とを記憶し、
上記利用記録受信部は、上記通信装置を用いて、上記サーバ装置から、複数の上記利用記録情報を、上記利用記録情報が記録したサービス内容の種別ごとに異なる暗号鍵でそれぞれ暗号化した複数の暗号化記録情報を受信し、上記処理装置を用いて、上記利用履歴記憶部が記憶した上記サービス暗号鍵を入力し、上記処理装置を用いて、受信した複数の上記暗号化記録情報を、入力した上記サービス暗号鍵でそれぞれ復号して、複数の上記利用記録情報を取得し、上記処理装置を用いて、取得した複数の上記利用記録情報を出力することを特徴とする請求項1乃至請求項7のいずれかに記載の端末装置。 The terminal device further includes:
When the predetermined user uses the service content using the communication device, the server records the usage record information recording the service content used and the encryption key corresponding to the type of the service content. And using the processing device, the received usage record information is output as usage history information, and the received encryption key is output as a service encryption key.
The usage history storage unit inputs the usage history information and the service encryption key output from the usage history reception unit using the processing device, and the input usage history information and the service encryption key. Memorize the service encryption key,
The usage record receiving unit uses the communication device to encrypt a plurality of the usage record information from the server device with different encryption keys for each type of service content recorded by the usage record information. Receive encrypted record information, input the service encryption key stored in the usage history storage unit using the processing device, and input the plurality of received encrypted record information using the processing device. decodes respectively the service cryptographic key, acquires a plurality of said usage records information, using the processing device, according to claim 1 to claim and outputs the acquired plurality of said usage records information The terminal device according to any one of 7 . 上記端末装置は、更に、
上記通信装置を用いて、上記所定の利用者が上記サービス内容を利用した場合に、上記サーバ装置から、利用した上記サービス内容を記録した利用記録情報と上記利用記録情報に対応する暗号鍵とを受信し、上記処理装置を用いて、受信した上記利用記録情報を利用履歴情報として出力し、受信した上記暗号鍵を履歴暗号鍵として出力する利用履歴受信部を有し、
上記利用履歴記憶部は、上記処理装置を用いて、上記利用履歴受信部が出力した上記利用履歴情報と上記履歴暗号鍵とを入力し、上記記憶装置を用いて、入力した上記利用履歴情報と上記履歴暗号鍵とを記憶し、
上記利用記録受信部は、上記通信装置を用いて、上記サーバ装置から、複数の上記利用記録情報を、上記利用記録情報が記録したサービス内容の種別ごとに異なるサービス暗号鍵でそれぞれ暗号化した複数の暗号化記録情報と、上記利用記録情報が記録したサービス内容の種別に対応する上記サービス暗号鍵を、上記利用記録情報に対応する暗号鍵でそれぞれ暗号化した複数の暗号化暗号鍵とを受信し、上記処理装置を用いて、上記利用履歴記憶部が記憶した上記履歴暗号鍵を入力し、上記処理装置を用いて、受信した複数の上記暗号化暗号鍵の少なくともいずれかを、入力した上記履歴暗号鍵で復号して、上記サービス暗号鍵を取得し、上記処理装置を用いて、受信した複数の上記暗号化記録情報を、取得した上記サービス暗号鍵でそれぞれ復号して、複数の上記利用記録情報を取得し、上記処理装置を用いて、取得した複数の上記利用記録情報を出力することを特徴とする請求項1乃至請求項7のいずれかに記載の端末装置。 The terminal device further includes:
When the predetermined user uses the service content using the communication device, the server device uses the usage record information recording the used service content and the encryption key corresponding to the usage record information. Receiving and using the processing device, outputting the received usage record information as usage history information, and having a usage history receiving unit that outputs the received encryption key as a history encryption key,
The usage history storage unit inputs the usage history information and the history encryption key output from the usage history reception unit using the processing device, and uses the storage device to input the usage history information and Memorize the above history encryption key,
The usage record receiving unit uses the communication device to encrypt a plurality of usage record information from the server device with different service encryption keys for each type of service content recorded by the usage record information. And a plurality of encrypted encryption keys obtained by encrypting the service encryption key corresponding to the type of service content recorded by the usage record information with the encryption key corresponding to the usage record information. The history encryption key stored in the usage history storage unit is input using the processing device, and at least one of the received plurality of encrypted encryption keys is input using the processing device. The service encryption key is obtained by decrypting with the history encryption key, and the received plurality of pieces of encrypted record information are obtained with the obtained service encryption key using the processing device. Decoding to acquire a plurality of said usage record information, by using the processing device, according to any one of claims 1 to 7 and outputs the acquired plurality of said usage records information Terminal device. 情報を記憶する記憶装置と、情報を処理する処理装置と、利用したサービス内容を記録した利用記録情報を複数記憶するサーバ装置と通信する通信装置とを有する端末装置が、上記サーバ装置が提供する履歴サービスを利用する履歴サービス利用方法において、
上記記憶装置が、上記サーバ装置が記憶した上記利用記録情報のうち、所定の利用者が利用した上記サービス内容についての利用記録情報を利用履歴情報として記憶する利用履歴記憶工程と、
上記通信装置が、上記サーバ装置から、上記利用記録情報を複数受信し、上記処理装置が、受信した複数の上記利用記録情報を出力する利用記録受信工程と、
上記処理装置が、上記利用記録受信工程で上記処理装置が出力した複数の上記利用記録情報と、上記利用履歴記憶工程で上記記憶装置が記憶した上記利用履歴情報とを入力し、上記処理装置が、入力した複数の上記利用記録情報に基づいて、入力した上記利用履歴情報のうち上記サーバ装置に送信しても上記所定の利用者が特定されにくい情報を判別し、上記処理装置が、判別した上記情報を匿名履歴情報として出力する匿名履歴判別工程と、
上記処理装置が、上記匿名履歴判別工程で上記処理装置が出力した上記匿名履歴情報を入力し、上記通信装置が、上記サーバ装置に対して、入力した上記匿名履歴情報を送信する匿名履歴送信工程とを有し、
上記匿名履歴判別工程は、上記処理装置が、入力した複数の上記利用記録情報のそれぞれについて、上記利用記録情報が記録した上記サービス内容を判別し、上記処理装置が、判別した上記サービス内容のそれぞれについて、上記サービス内容を利用した利用回数を算出し、上記処理装置が、算出した上記利用回数が所定の回数よりも多い場合に、上記サービス内容についての情報を上記サーバ装置に送信しても上記所定の利用者が特定されにくいと判断する匿名性判断工程を有することを特徴とする履歴サービス利用方法。 Provided by the server device is a terminal device having a storage device that stores information, a processing device that processes information, and a communication device that communicates with a server device that stores a plurality of usage record information in which used service content is recorded. In the history service usage method that uses the history service,
A usage history storage step in which the storage device stores usage record information about the service content used by a predetermined user among the usage record information stored by the server device as usage history information;
The communication device receives a plurality of the usage record information from the server device, and the processing device outputs a plurality of the received usage record information;
The processing device inputs the plurality of usage record information output by the processing device in the usage record receiving step and the usage history information stored in the storage device in the usage history storage step. Based on the plurality of input usage record information, the information that is difficult to identify the predetermined user even if transmitted to the server device among the input usage history information is determined, and the processing device determines Anonymous history determination step for outputting the above information as anonymous history information,
Anonymous history transmission step in which the processing device inputs the anonymous history information output by the processing device in the anonymous history determination step, and the communication device transmits the input anonymous history information to the server device. And
In the anonymous history determination step, the processing device determines the service content recorded by the usage record information for each of the plurality of usage record information input, and the processing device determines each of the determined service contents. The number of times of use of the service content is calculated, and the processing device transmits the information about the service content to the server device when the calculated number of uses is greater than a predetermined number of times. A history service utilization method comprising an anonymity determination step of determining that a predetermined user is difficult to be identified . 情報を記憶する記憶装置と、情報を処理する処理装置と、利用したサービス内容を記録した利用記録情報を複数記憶するサーバ装置と通信する通信装置とを有するコンピュータを、請求項1乃至請求項9のいずれかに記載の端末装置として機能させることを特徴とする履歴サービス利用プログラム。 A storage device for storing information, and a processor for processing information, a computer having a communication device communicating with the server apparatus for storing a plurality of usage records information recorded services utilizing, claims 1 to 9 A history service use program that causes the terminal device to function as described in any of the above. 情報を記憶する記憶装置と、
情報を処理する処理装置と、
利用したサービス内容を記録した利用履歴情報を記憶する複数の端末装置と通信する通信装置と、
上記記憶装置を用いて、利用されたサービス内容を記憶した利用記録情報と、上記利用記録情報を識別する記録識別情報とを複数記憶する利用記録記憶部と、
上記処理装置を用いて、上記利用記録記憶部が記憶した上記記録識別情報を入力し、上記処理装置を用いて、入力した上記記録識別情報のリストを生成し、上記通信装置を用いて、上記端末装置に対して、生成した上記記録識別情報のリストを送信する記録識別送信部と、
上記通信装置を用いて、上記端末装置から、上記記録識別送信部が送信した上記記録識別情報のリストのなかから、上記端末装置が選択した複数の記録識別情報を受信し、上記処理装置を用いて、受信した上記記録識別情報を出力する選択識別受信部と、
上記処理装置を用いて、上記選択識別受信部が出力した複数の上記記録識別情報を入力し、上記処理装置を用いて、入力した複数の上記記録識別情報によって識別される複数の上記利用記録情報を入力し、上記処理装置を用いて、入力した複数の上記利用記録情報に基づいて、上記端末装置に対して送信する送信利用記録情報を生成し、上記処理装置を用いて、生成した上記送信利用記録情報を出力する送信利用記録生成部と、
上記処理装置を用いて、上記送信利用記録生成部が出力した上記送信利用記録情報を入力し、上記通信装置を用いて、上記端末装置に対して、入力した上記送信利用記録情報を送信する利用記録送信部と、
上記通信装置を用いて、上記端末装置が記憶した利用履歴情報上記利用記録送信部が送信した上記送信利用記録情報に基づい上記端末装置が生成した上記端末装置が利用したサービス内容に関する情報を、上記端末装置から受信し、上記処理装置を用いて、受信した上記情報を匿名履歴情報として出力する匿名履歴受信部と、
上記記憶装置を用いて、上記端末装置に対して提供すべきサービス情報を記憶するサービス情報記憶部と、
上記処理装置を用いて、上記匿名履歴受信部が出力した上記匿名履歴情報を入力し、上記処理装置を用いて、上記サービス情報記憶部が記憶したサービス情報のなかから、入力した上記匿名履歴情報に基づいて、上記端末装置にとって有用な情報を選択し、上記処理装置を用いて、選択した上記サービス情報を出力するサービス情報選択部と、
を有することを特徴とするサーバ装置。 A storage device for storing information;
A processing device for processing information;
A communication device that communicates with a plurality of terminal devices that store usage history information in which used service content is recorded;
A use record storage unit for storing a plurality of use record information storing the used service content and record identification information for identifying the use record information using the storage device;
The record identification information stored in the usage record storage unit is input using the processing device, the list of the record identification information input is generated using the processing device, and the list is input using the communication device. A record identification transmitter for transmitting the generated list of record identification information to the terminal device;
Using the communication device, the terminal device receives a plurality of record identification information selected by the terminal device from the list of record identification information transmitted by the record identification transmitter, and uses the processing device. A selection identification receiving unit for outputting the received record identification information;
Using the processing device, the plurality of record identification information output by the selection identification receiving unit is input, and using the processing device, the plurality of use record information identified by the plurality of input record identification information. And using the processing device to generate transmission usage record information to be transmitted to the terminal device based on the plurality of input usage record information, and using the processing device to generate the transmission A transmission usage record generator for outputting usage record information;
Use of the processing device to input the transmission usage record information output from the transmission usage record generation unit, and to transmit the input transmission usage record information to the terminal device using the communication device A recording transmission unit;
By using the communication device, information about the services that the terminal device generated by the terminal device is used under the above-described terminal device the transmission usage record information use history information and the usage log transmission unit which stores sent An anonymous history receiving unit that outputs the received information as anonymous history information using the processing device,
A service information storage unit for storing service information to be provided to the terminal device using the storage device;
Using the processing device, the anonymous history information output by the anonymous history receiving unit is input, and using the processing device, the input anonymous history information from the service information stored in the service information storage unit. A service information selection unit that selects information useful for the terminal device and outputs the selected service information using the processing device;
The server apparatus characterized by having. 請求項1乃至請求項9のいずれかに記載の端末装置を有することを特徴とする履歴サービス提供システム。 A history service providing system comprising the terminal device according to claim 1 .
JP2006195678A 2006-07-18 2006-07-18 TERMINAL DEVICE, HISTORY SERVICE USING METHOD, HISTORY SERVICE USING PROGRAM, SERVER DEVICE, AND HISTORY SERVICE PROVIDING SYSTEM Expired - Fee Related JP4813278B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006195678A JP4813278B2 (en) 2006-07-18 2006-07-18 TERMINAL DEVICE, HISTORY SERVICE USING METHOD, HISTORY SERVICE USING PROGRAM, SERVER DEVICE, AND HISTORY SERVICE PROVIDING SYSTEM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006195678A JP4813278B2 (en) 2006-07-18 2006-07-18 TERMINAL DEVICE, HISTORY SERVICE USING METHOD, HISTORY SERVICE USING PROGRAM, SERVER DEVICE, AND HISTORY SERVICE PROVIDING SYSTEM

Publications (2)

Publication Number Publication Date
JP2008026955A JP2008026955A (en) 2008-02-07
JP4813278B2 true JP4813278B2 (en) 2011-11-09

Family

ID=39117556

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006195678A Expired - Fee Related JP4813278B2 (en) 2006-07-18 2006-07-18 TERMINAL DEVICE, HISTORY SERVICE USING METHOD, HISTORY SERVICE USING PROGRAM, SERVER DEVICE, AND HISTORY SERVICE PROVIDING SYSTEM

Country Status (1)

Country Link
JP (1) JP4813278B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5956272B2 (en) * 2012-07-26 2016-07-27 Kddi株式会社 User reliability estimation apparatus, method, program and recording medium in social media
JP7146023B1 (en) 2021-06-04 2022-10-03 三菱電機株式会社 Anonymization device, analysis system, anonymization method and anonymization program

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001290934A (en) * 2000-04-06 2001-10-19 Toshiba Tec Corp Information terminal device
JP4322455B2 (en) * 2002-01-11 2009-09-02 株式会社日立製作所 Method and system for confirming originality of recorded information
JP4417132B2 (en) * 2004-02-19 2010-02-17 日本電信電話株式会社 Privacy information management server, method and program

Also Published As

Publication number Publication date
JP2008026955A (en) 2008-02-07

Similar Documents

Publication Publication Date Title
JP6814147B2 (en) Terminals, methods, non-volatile storage media
KR101497782B1 (en) System and method for communicating between different entities using different data portions for different channels
JP4866863B2 (en) Security code generation method and user device
EP3465523B1 (en) Secure collection of sensitive data
US20100153273A1 (en) Systems for performing transactions at a point-of-sale terminal using mutating identifiers
JP2008269610A (en) Protecting sensitive data intended for remote application
US20120005474A1 (en) Information system and method of identifying a user by an application server
WO2004095772A1 (en) Device authentication system
KR101745706B1 (en) Apparatus and method for authentication based on biometric information
JP4979210B2 (en) Login information management apparatus and method
JP4611988B2 (en) Terminal device
JPWO2003105037A1 (en) Data communication intermediary device that works with the purchaser&#39;s mobile terminal
JP4813278B2 (en) TERMINAL DEVICE, HISTORY SERVICE USING METHOD, HISTORY SERVICE USING PROGRAM, SERVER DEVICE, AND HISTORY SERVICE PROVIDING SYSTEM
JP2002157226A (en) Centralized password managing system
WO2011058629A1 (en) Information management system
JP2008011092A (en) Encrypted-content retrieval system
JP2008502045A (en) Secure electronic commerce
JP3497936B2 (en) Personal authentication method
JP2006302116A (en) Authentication system, authentication server, terminal device, authentication method and program
JP7306170B2 (en) Communication program and communication method
CN116527230B (en) Financial credit information data leakage prevention method and system
US8607047B2 (en) Mobile system, service system, and service providing method to securely transmit private information for use in service
JP5257202B2 (en) Information provision system
JP2006311112A (en) Method and apparatus for managing id
KR20230080676A (en) Method and system for managing DID using a high speed block-chain network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090511

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110427

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110510

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110629

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110719

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110808

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110823

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110824

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140902

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees