WO2013084563A1

WO2013084563A1 - プライバシー情報管理装置、方法及びプログラム

Info

Publication number: WO2013084563A1
Application number: PCT/JP2012/074110
Authority: WO
Inventors: 隼人桐山; 直史津村; 知宏塩谷
Original assignee: インターナショナル・ビジネス・マシーンズ・コーポレーション; 日本アイ・ビー・エム株式会社
Priority date: 2011-12-05
Filing date: 2012-09-20
Publication date: 2013-06-13
Also published as: DE112012005074T5; CN103975339B; US20140344948A1; CN103975339A; JP5588074B2; JPWO2013084563A1; US9280682B2

Abstract

個々のユーザが容易にプライバシールールの設定及び適用を行えるプライバシー情報管理装置、方法及びプログラムを提供するために、プライバシー情報管理装置１は、ユーザ端末３ａから設定データを受信することにより、プライバシー情報の公開を制限する条件及び制限方法を定めたプライバシールールを生成する。そして、プライバシー情報管理装置１は、公開前画像データの中に、ユーザのプライバシー情報が含まれている場合に、この公開前画像データに含まれているメタデータを抽出し、プライバシー情報の公開を制限する条件を満たすか否かを判定し、条件を満たすと判定された場合に、プライバシールールにより定められている制限方法を実行する。

Description

プライバシー情報管理装置、方法及びプログラム

　本発明は、プライバシー情報の漏洩を抑制する装置、方法及びプログラムに関する。

　従来、インターネット上で、ＳＮＳ（Ｓｏｃｉａｌ　Ｎｅｔｗｏｒｋｉｎｇ　Ｓｅｒｖｉｃｅ）等、個々のユーザが情報を公開するＷｅｂサービスが提供されている。このようなＷｅｂサービスでは、通常、あるユーザに関する情報が、別のユーザによって公開されることに制限はないが、公開される投稿メッセージや投稿画像の中には、投稿者以外のユーザに関するプライバシー情報が含まれている場合がある。

　このような状況において、事前設定されたキーワードが公開された場合にアラートを出力するサービスが提供されている（例えば、非特許文献１参照）。また、プライバシー侵害を警告する技術（例えば、特許文献１参照）、投稿データを解析して緊急性を算出する技術（例えば、特許文献２参照）、プライバシー設定を自動更新する技術（例えば、特許文献３参照）、プロフィールを自動生成する技術（例えば、特許文献４参照）等が提案されている。

特開２０１０－９７３３６号公報特開２０１０－２３８２３７号公報特表２０１０－５３９５６５号公報特表２００８－５１７４０２号公報

Ｍｅ　ｏｎ　ｔｈｅ　Ｗｅｂ、［平成２３年１１月２４日］、インターネット＜ｈｔｔｐ：／／ｗｗｗ．ｇｏｏｇｌｅ．ｃｏｍ／ｓｕｐｐｏｒｔ／ａｃｃｏｕｎｔｓ／ｂｉｎ／ａｎｓｗｅｒ．ｐｙ？ｈｌ＝ｊａ＆ａｎｓｗｅｒ＝１１８１７９３＞

　ところで、Ｗｅｂサービスにおいて公開される情報には、静止画像又は動画像等の画像データが含まれる場合が多い。この場合、画像データ中に、あるユーザを特定できる顔やカーナンバー等の画像が含まれていると、この画像データが作成（撮影）された日時又は場所等のメタデータとの組み合わせ条件によっては、この画像データは、ユーザにとってのプライバシー情報となり得る。

　しかしながら、上述した従来の技術では、メタデータとの組み合わせ条件によりプライバシー情報となる画像データを検出し、この画像データが公開される前に事前に公開を制限することは難しかった。また、このような組み合わせ条件は、ユーザ毎に異なり、さらに、複雑なものとなるため、これらの条件を網羅したプライバシールールを事前に設定することは難しかった。

　本発明は、個々のユーザが容易にプライバシールールの設定及び適用を行えるプライバシー情報管理装置、方法及びプログラムを提供することを目的とする。

　本発明の第１の形態によると、プライバシー情報の漏洩を抑制するプライバシー情報管理装置を提供する。プライバシー情報管理装置は、ユーザの端末から設定データを受信することにより、プライバシー情報の公開を制限する条件及び制限方法を定めたプライバシールールを生成する。そして、プライバシー情報管理装置は、公開前画像データの中に、ユーザのプライバシー情報が含まれている場合に、この公開前画像データに含まれているメタデータを抽出し、プライバシー情報の公開を制限する条件を満たすか否かを判定し、条件を満たすと判定された場合に、プライバシールールにより定められている制限方法を実行する。

　また、プライバシー情報管理装置は、ユーザの端末から開始指示を受け付けた時刻から後、この端末の測位位置周辺で撮影された画像について、この画像に含まれるユーザのプライバシー情報の公開を制限することを特徴とする。

　また、本発明は、別の形態として、コンピュータが上記のプライバシー情報管理装置の機能を実行する方法、及び当該方法をコンピュータに実行させるためのプログラムとしても提供可能である。

　本発明によれば、プライバシー情報管理装置は、ユーザの端末から受信した設定データに基づいて、プライバシー情報の公開を制限する条件及び制限方法を定めたプライバシールールを生成して適用することにより、公開前画像データに含まれる条件に合致したプライバシー情報の公開を事前に制限できる。したがって、個々のユーザが容易にプライバシールールの設定及び適用を行える。

実施形態に係るプライバシー情報管理装置を含むシステムの全体構成を示すブロック図である。実施形態に係るプライバシールールを定義するための第１の画面表示例を示す図である。実施形態に係るプライバシールールを定義するための第２の画面表示例を示す図である。実施形態に係るプライバシールールの一例を示す図である。実施形態に係るプライバシー情報の公開を禁止する場合のプライバシールールの一例を示す図である。実施形態に係る投稿者のユーザ端末において表示されるアラート画面の一例を示す図である。実施形態に係るプライバシー情報の公開に関する承認依頼を行う場合のプライバシールールの一例を示す図である。実施形態に係るユーザ端末において表示されるアラート画面の一例を示す図である。実施形態に係るプライバシールールの適用を開始するまでの処理を示すフローチャートである。実施形態に係るプライバシー情報の制御処理を示すフローチャートである。実施形態に係るプライバシー情報管理装置のハードウェア構成を示す図である。

　以下、本発明の実施形態の一例について図を参照しながら説明する。
　本実施形態に係るプライバシー情報管理装置１は、ＳＮＳにおいてプライバシー情報の漏洩を抑制する機能を提供するサーバ装置である。

　図１は、本実施形態に係るプライバシー情報管理装置１を含むシステムの全体構成を示すブロック図である。
　プライバシー情報管理装置１は、オブジェクトサーバ２と直接に又はネットワークを介して接続され、さらに、複数のユーザそれぞれが使用するＰＣ又は携帯端末等のユーザ端末３からの要求に応じて、このユーザ端末３と有線又は無線通信を行う。

　プライバシー情報管理装置１は、ユーザプロファイル１１（プロファイル記憶部）と、ルールレポジトリ１２（プライバシールール記憶部）と、プライバシールール設定部１３（第１の受信部）と、プライバシールール生成部１４（生成部）と、プライバシールール適用部１５と、プライバシー情報制御部１６とを備える。
　さらに、プライバシー情報制御部１６は、投稿データ入力部１６１と、データ解析部１６２と、オブジェクト参照部１６３と、設定参照部１６４と、プライバシールール判定部１６５（判定部）と、アクション制御部１６６（実行部、送信要求部、第２の受信部）とを備える。

　オブジェクトサーバ２は、画像認識部２１と、オブジェクト判定部２２とを備える。
　また、プライバシールールを設定するユーザ端末３ａ（第１のユーザの端末）は、プライバシー設定入力部３１を備え、画像を投稿するユーザ端末３ｂ（第２のユーザの端末）は、データ投稿部３２と、データ表示部３３とを備える。

　ユーザプロファイル１１は、ユーザ毎のプライバシー情報を示すプロファイルデータを記憶する。プロファイルデータは、例えば、自身又は友人等の顔、車両ナンバー、ペット、持ち物等の画像データ、又は音声データ等を含み、画像データ（静止画像又は動画像）の撮影日時又は撮影場所との組み合わせによってプライバシー情報となり得るデータである。
　なお、説明を簡略化するために、以下では、プロファイルデータは画像データであるとする。

　また、ユーザプロファイル１１は、後述する他ユーザとのプライバシールールの相互参照の関係を記憶する。

　ルールレポジトリ１２は、後述のプライバシールール生成部１４により生成されたユーザ毎のプライバシールールを記憶する。

　プライバシールール設定部１３は、ユーザ端末３ａから、プライバシー情報の公開を制限する条件及び制御アクション（制限方法）を定めたプライバシールールを生成するための設定データ（第１の設定データ）を受信する。
　ここで、設定データは、予め設けられている条件項目のテンプレートに対するパラメータを含む。また、設定データは、予め設けられている所定種類の制御アクションからの選択指示データを含む。

　図２は、本実施形態に係るユーザ端末３ａにおいてプライバシールールを定義するための第１の画面表示例を示す図である。

　この例では、ユーザ端末３ａのプライバシー設定入力部３１は、ユーザアカウント「Ａ」に関して、「８月１日１７：００」から「同日２３：００」までの間に、ユーザ端末３ａの現在地から半径１０ｋｍの範囲で撮影された画像に含まれるプロファイルデータをプライバシー情報とする条件を受け付ける。なお、ユーザ端末３ａの現在地は、例えば、ＧＰＳによる測位情報又は基地局情報により得られる。

　また、プライバシー設定入力部３１は、ＳＮＳにおいて投稿された公開前画像データの中にプライバシー情報が含まれる場合に実行される制御アクションとして、公開を許可するか否かを都度確認する「承認通知」の選択を受け付けている。

　そして、これらの条件及び制御アクションを示す設定データがプライバシー情報管理装置１へ送信される。

　図３は、本実施形態に係るユーザ端末３ａにおいてプライバシールールを定義するための第２の画面表示例を示す図である。

　この例では、開始ボタンが押下されると、開始指示がプライバシー情報管理装置１へ通知され、この開始指示が受け付けられた時がプライバシー情報の判定条件である撮影日時の開始日時となる。また、終了ボタンが押下されると、終了指示がプライバシー情報管理装置１へ通知され、この終了指示が受け付けられた時がプライバシー情報の判定条件である撮影日時の終了日時となる。
　つまり、開始ボタンが押下されてから終了ボタンが押下されるまでの、「記録中」の状態である間は、ユーザに関する画像がプライバシー情報として判定され、公開が制限される。なお、開始日時及び終了日時は、ユーザ端末３ａ又はプライバシー情報管理装置１が有する時計機能によって提供される時刻である。

　また、「記録中」の状態では、位置測位されたユーザ端末３ａの位置を含む所定距離の範囲が撮影場所となっている場合に、ユーザに関するプロファイルデータがプライバシー情報として判定される。なお、このユーザ端末３ａの位置は、定期的にプライバシー情報管理装置へ通知されることとしてよい。

　プライバシールール生成部１４は、プライバシールール設定部１３により受信された設定データに基づいて、ユーザ毎のプライバシールールを生成する。そして、プライバシールール生成部１４は、生成したプライバシールールを、ルールレポジトリ１２に記憶する。

　図４は、本実施形態に係るルールレポジトリ１２に記憶されるプライバシールールの一例を示す図である。

　この例では、条件比較対象の値が＜ＡｔｔｒｉｂｕｔｅＶａｌｕｅ＞タグに記載されている。具体的には、ユーザ「Ａ」が含まれ、撮影日時「２０１１年８月１日１７：００－２３：００」、及び撮影場所「渋谷（北緯３５．６５８７３５，東経１３９．７０１３６３）から１００００（ｍ）」の条件に合致する画像データを、公開が制限される画像データと定義している。

　このとき、条件判定のための評価関数として、例えば、人物オブジェクト判定を用いて画像データに指定した人物が含まれているか否かを判定する関数（ｆｕｎｃｔｉｏｎ：ｐｅｒｓｏｎ－ｍａｔｃｈ）、日時標準フォーマットを用いて条件を満たす日時が含まれているか否かを判定する関数（ｆｕｎｃｔｉｏｎ：ｄａｔｅＴｉｍｅ－［ｇｒｅａｔｅｒ｜ｌｅｓｓ］－ｔｈａｎ）、又は緯度経度を用いて指定場所近辺の情報が含まれているか否かを判定する関数（ｆｕｎｃｔｉｏｎ：ｌｏｃａｔｉｏｎ－ａｒｏｕｎｄ）等が利用される。

　また、画像データにプライバシー情報が含まれていると判定された場合に実行される制御アクションが＜Ｏｂｌｉｇａｔｉｏｎｓ＞タグに記載されている。
　なお、制御アクションとしては、公開禁止、マスキングによる公開許可、承認通知、公開されたことの通知等が、上述の設定データに応じて定義される。

　プライバシールール適用部１５は、ルールレポジトリ１２に記憶されたプライバシールールを適用することを、プライバシー情報制御部１６に指示する。

　プライバシー情報制御部１６は、プライバシールール適用部１５により適用を指示されたプライバシールールに基づいて、公開前画像データに含まれるプライバシー情報を検出し、所定の制御アクションを実行する。

　投稿データ入力部１６１は、ユーザ端末３ｂ（第２のユーザの端末）のデータ投稿部３２によりユーザから受け付けられたＳＮＳの投稿データを受信する。

　データ解析部１６２は、投稿データに含まれている公開前画像データ、及びこの公開前画像データに付加されているメタデータを解析し、プライバシールールの判定基準となるオブジェクトを抽出する。具体的には、データ解析部１６２は、オブジェクト参照部１６３を介して、オブジェクトサーバ２による画像データとプロファイルデータとの比較結果を取得し、さらに、メタデータから条件比較対象であるデータを抽出して、プライバシールール判定部１６５へ提供する。

　オブジェクト参照部１６３は、データ解析部１６２からの要求に応じて、オブジェクトサーバ２にアクセスし、公開前画像データとプロファイルデータとの比較結果を取得して、データ解析部１６２へ提供する。

　ここで、オブジェクトサーバ２の画像認識部２１は、画像データ中に存在しているオブジェクトを識別する。
　また、オブジェクト判定部２２は、画像認識部２１により識別されたオブジェクトと、ユーザプロファイル１１に記憶されているプロファイルデータとを比較し、画像データの中にプライバシー情報になり得る画像が含まれているか否かを判定する。

　設定参照部１６４は、ルールレポジトリ１２からユーザ毎のプライバシールールを、ユーザプロファイル１１からプライバシールールの相互参照の関係を取得し、プライバシールール判定部１６５へ提供する。

　プライバシールール判定部１６５は、ＳＮＳにおいて公開が要求された公開前画像データの中に、あるユーザのプロファイルデータにより示されるプライバシー情報が含まれている場合に、この公開前画像データに含まれているメタデータを抽出し、プライバシー情報の公開を制限する条件を満たすか否かを判定する。
　ここで、メタデータは、例えば、画像データのＥｘｉｆ情報等であり、撮影時間及び撮影場所が格納されている。プライバシールール判定部１６５は、これらの情報が、ユーザ毎のプライバシールールで定義されている条件に合致しているか否かを判定する。

　アクション制御部１６６は、プライバシールール判定部１６５により条件を満たすと判定された場合に、プライバシールールに定義されている制御アクションを実行する。具体的には、例えば、投稿データを閲覧するユーザ端末３においてデータを表示するデータ表示部３３に対して、プライバシー情報をマスキングした画像データを提供したり、公開が禁止される場合には、公開を要求したユーザ端末３ｂのデータ表示部３３に対して、公開できないことを示す表示データを提供したりする。

　図５は、本実施形態に係るプライバシー情報の公開を禁止する場合のプライバシールールの一例を示す図である。
　この例では、アクション制御部１６６は、ユーザ「Ａ」の画像を他人がアップロードすることを禁止し、投稿者のユーザ端末３ｂに対してアラート画面を表示させる。

　図６は、本実施形態に係る投稿者のユーザ端末３ｂにおいて表示されるアラート画面の一例を示す図である。
　この例では、投稿者が公開を要求した画像データの中に、ユーザ「Ａ」のプライバシー情報が含まれていたため、画像を公開できないことが表示され、投稿者に対して確認を求めている。

　なお、アクション制御部１６６は、公開前画像データの公開を要求した第２のユーザのユーザ端末３ｂ（データ投稿部３２）によって制御アクションの実行が承認された場合に、この制御アクションを実行してもよい。例えば、第１のユーザと第２のユーザとの間で、予め相互にプライバシールールの適用を承認し合う相互参照の設定がユーザプロファイル１１に記憶されている場合に、制御アクションが実行される。あるいは、ＳＮＳを利用する前提として、全てのプライバシールールが自動的に適用されることとしてもよい。

　また、アクション制御部１６６は、制御アクションとして「承認通知」が選択されている場合には、プライバシールール判定部１６５により条件を満たすと判定された際に、第１のユーザのユーザ端末３ａ（プライバシー設定入力部３１）から、制御アクションを示す第２の設定データを受信する。この場合、アクション制御部１６６は、プライバシールールにより予め定められている制御アクションに代えて、受信した第２の設定データにより示される制御アクションを実行する。
　なお、この第２の設定データは、複数種類の制御アクションの候補からの選択データ、又はプライバシールールに予め定められている制御アクションの実行許可若しくは不許可を示すデータであってよい。

　このとき、アクション制御部１６６は、プライバシールール判定部１６５により条件を満たすと判定された場合に、第１のユーザのユーザ端末３ａへ、公開前画像データを送信して第２の設定データの送信を要求する。

　図７は、本実施形態に係るプライバシー情報の公開に関する承認依頼を行う場合のプライバシールールの一例を示す図である。
　この例では、アクション制御部１６６は、公開前画像データの中にユーザ「Ａ」のプライバシー情報が含まれていると判定された場合に、ユーザ「Ａ」のユーザ端末３ａに対してアラート画面を表示させる。

　図８は、本実施形態に係るユーザ端末３ａにおいて表示されるアラート画面の一例を示す図である。
　この例では、プライバシー情報に対する制御アクションの選択肢が表示され、ユーザ「Ａ」が選択した制御アクションがアクション制御部１６６により実行される。なお、選択肢は、許可又は不許可の２択でもよく、この場合、「ＹＥＳ」又は「ＮＯ」のいずれかのボタン押下により選択されてもよい。

　また、アラート画面内には、制御アクションの対象となる公開前画像データへのリンクが表示される。これにより、ユーザ「Ａ」は、実際の画像を確認しつつ、適切な制御アクションを選択できる。なお、この公開前画像データの中にユーザ「Ａ」以外のユーザのプライバシー情報が含まれている場合には、これらのプライバシー情報がマスキングされることが好ましい。

　図９は、本実施形態に係るプライバシールールの適用を開始するまでの処理を示すフローチャートである。

　ステップＳ１において、プライバシールール設定部１３は、ユーザ端末３からプライバシールールを定義するための設定データの入力を受け付ける。

　ステップＳ２において、プライバシールール生成部１４は、ステップＳ１で受け付けられた設定データに基づいて、ユーザ毎のプライバシールールを生成する。

　ステップＳ３において、プライバシールール生成部１４は、ステップＳ２で生成されたプライバシールールを、ルールレポジトリ１２に登録する。

　ステップＳ４において、プライバシールール適用部１５は、プライバシー情報管理装置１が自動でプライバシールールの適用を行うか否かを判定する。この判定がＹＥＳの場合、全てのプライバシールールの承認が得られているものとして、処理はステップＳ７に移り、判定がＮＯの場合、処理はステップＳ５に移る。

　ステップＳ５において、プライバシールール適用部１５は、ユーザ端末３からの指示に応じて、他ユーザへ相互参照の承認を要求する。

　ステップＳ６において、プライバシールール適用部１５は、ステップＳ５で承認を要求した相手のユーザ端末３から、相互参照の承認を受け付ける。

　ステップＳ７において、プライバシールール適用部１５は、承認が得られたプライバシールールの適用を開始する。

　なお、ステップＳ５及びステップＳ６における相互参照の承認を得る処理は、ＳＮＳの標準的フレンド登録シーケンスと共に実行されてもよい。

　図１０は、本実施形態に係るプライバシー情報の制御処理を示すフローチャートである。

　ステップＳ１１において、投稿データ入力部１６１は、ユーザ端末３ｂから投稿された公開前画像データを読み込む。

　ステップＳ１２において、データ解析部１６２は、ステップＳ１１で読み込まれた公開前画像データを、オブジェクト参照部１６３を介してオブジェクトサーバ２（画像認識部２１）を用いて解析し、プライバシー情報となり得る人物等のオブジェクトを検出する。

　ステップＳ１３において、データ解析部１６２は、ステップＳ１２で検出されたオブジェクトのユーザアカウントを、オブジェクト参照部１６３を介してオブジェクトサーバ２（オブジェクト判定部２２）を用いて特定する。

　ステップＳ１４において、プライバシールール判定部１６５は、ステップＳ１３で特定されたユーザアカウントに対するプライバシールールを、設定参照部１６４を介してルールレポジトリ１２から抽出する。

　ステップＳ１５において、データ解析部１６２は、公開前画像データに含まれているメタデータから、プライバシールールにおける条件比較対象の値である撮影日時又は撮影場所等を抽出する。

　ステップＳ１６において、プライバシールール判定部１６５は、ステップＳ１５で抽出された値がプライバシールールの条件に合致しているか否かを判定する。この判定がＹＥＳの場合、処理はステップＳ１７に移り、判定がＮＯの場合、処理はステップＳ１８に移る。

　ステップＳ１７において、アクション制御部１６６は、ステップＳ１６で公開前画像データにプライバシー情報が含まれていることが判定されたので、プライバシールールで定義されている制御アクションを実行する。

　ステップＳ１８において、アクション制御部１６６は、ステップＳ１７の制御アクションに基づいて投稿データを、あるいは、ステップＳ１６でプライバシー情報が含まれていないと判定された場合には投稿データそのものを出力する。

　以上、本実施形態によれば、プライバシー情報管理装置１は、ユーザ端末３ａからテンプレートに基づく設定データを受け付け、ユーザ毎のプライバシールールを生成する。そして、プライバシー情報管理装置１は、投稿されたデータに対してプライバシールールを適用することで、プライバシー情報が含まれる公開前画像データに対して所定の制御アクションを実行することができる。したがって、第１のユーザは、テンプレートに基づく設定データを入力することにより、容易にプライバシールールの設定及び適用を行える。

　このとき、プライバシー情報管理装置１は、プライバシー情報が含まれることを判定する条件として、時間範囲に加えて場所の範囲を用いることにより、判定の精度を向上できると共に、検索の範囲を限定できるので、処理負荷が低減される。

　また、プライバシー情報管理装置１は、ユーザ端末３ａから時間範囲の開始時刻及び終了時刻を、ボタン押下等で指示されることにより、リアルタイムでプライバシールールを適用できる。したがって、第１のユーザは、簡易なインタフェースによってプライバシールールを適時に適用できる。

　また、プライバシー情報管理装置１は、ユーザ端末３ａの測位情報をテンプレートに適用することにより、プライバシー情報を判定する場所の範囲を自動的に取得できる。したがって、第１のユーザは、自身の現在位置を条件とするプライバシールールを容易に適用できる。

　なお、ユーザ端末３ａは、携帯端末であることが好ましい。この場合、第１のユーザは、現在の時刻及び位置を条件とするプライバシールールを容易に、かつ適時に適用できる。

　また、制御アクションは、予め設けられている所定種類から選択されるので、第１のユーザは、容易にプライバシールールを定義することができる。
　さらに、第１のユーザは、投稿データの承認依頼を受けた時に制御アクションを選択できるので、制御アクションを適宜変更、確認でき、利便性が向上する。また、第１のユーザは、プライバシー情報管理装置１から送信される公開前画像データを確認することで、適切な制御アクションを実行させることができる。

　また、プライバシー情報管理装置１は、プライバシールールの相互参照を行うことにより、サイトの管理者権限でプライバシールールを適用できない場合であっても、ユーザ間で互いの投稿データに対してプライバシールールを適用し合うことができる。

　図１１は、本実施形態に係るプライバシー情報管理装置１のハードウェア構成を示す図である。以下は、プライバシー情報管理装置１を、コンピュータを典型とする情報処理装置１０００として全般的な構成を説明するが、専用機や組み込み型装置の場合、その環境に応じて必要最小限な構成を選択できることはいうまでもない。また、以下には、プライバシー情報管理装置１のハードウェア構成を示すが、オブジェクトサーバ２及びユーザ端末３のハードウェア構成も、プライバシー情報管理装置１と同様のものとする。

　情報処理装置１０００は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）１０１０、バスライン１００５、通信Ｉ／Ｆ１０４０、メインメモリ１０５０、ＢＩＯＳ（Ｂａｓｉｃ　Ｉｎｐｕｔ　Ｏｕｔｐｕｔ　Ｓｙｓｔｅｍ）１０６０、パラレルポート１０８０、ＵＳＢポート１０９０、グラフィック・コントローラ１０２０、ＶＲＡＭ１０２４、音声プロセッサ１０３０、Ｉ／Ｏコントローラ１０７０、並びにキーボード及びマウス・アダプタ１１００等の入力手段を備える。Ｉ／Ｏコントローラ１０７０には、フレキシブル・ディスク（ＦＤ）ドライブ１０７２、ハードディスク１０７４、光ディスク・ドライブ１０７６、半導体メモリ１０７８等の記憶手段を接続することができる。

　グラフィック・コントローラ１０２０には、表示装置１０２２が接続されている。また、音声プロセッサ１０３０には、増幅回路１０３２、及びスピーカ１０３４が接続される。

　ＢＩＯＳ１０６０は、情報処理装置１０００の起動時にＣＰＵ１０１０が実行するブートプログラムや、情報処理装置１０００のハードウェアに依存するプログラム等を格納する。ＦＤ（フレキシブル・ディスク）ドライブ１０７２は、フレキシブル・ディスク１０７１からプログラム又はデータを読み取り、Ｉ／Ｏコントローラ１０７０を介してメインメモリ１０５０又はハードディスク１０７４に提供する。図１１には、情報処理装置１０００の内部にハードディスク１０７４が含まれる例を示したが、バスライン１００５又はＩ／Ｏコントローラ１０７０に外部機器接続用インタフェース（図示せず）を接続し、情報処理装置１０００の外部にハードディスクを接続又は増設してもよい。

　光ディスク・ドライブ１０７６としては、例えば、ＤＶＤ－ＲＯＭドライブ、ＣＤ－ＲＯＭドライブ、ＤＶＤ－ＲＡＭドライブ、ＢＤ（Ｂｌｕ－ｒａｙ　Ｄｉｓｋ）－ＲＯＭドライブ等を使用することができる。この際は各ドライブに対応した光ディスク１０７７を使用する必要がある。光ディスク・ドライブ１０７６は光ディスク１０７７からプログラム又はデータを読み取り、Ｉ／Ｏコントローラ１０７０を介してメインメモリ１０５０又はハードディスク１０７４に提供することもできる。

　情報処理装置１０００に提供されるコンピュータ・プログラムは、フレキシブル・ディスク１０７１、光ディスク１０７７、又はメモリカード等の記録媒体に格納されて利用者によって提供される。このコンピュータ・プログラムは、Ｉ／Ｏコントローラ１０７０を介して、記録媒体から読み出され、又は通信Ｉ／Ｆ１０４０を介してダウンロードされることによって、情報処理装置１０００にインストールされ実行される。コンピュータ・プログラムが情報処理装置に働きかけて行わせる動作は、既に説明した装置における動作と同一であるので省略する。

　前述のコンピュータ・プログラムは、外部の記憶媒体に格納されてもよい。記憶媒体としてはフレキシブル・ディスク１０７１、光ディスク１０７７、又はメモリカードの他に、ＭＤ等の光磁気記録媒体、テープ媒体を用いることができる。また、専用通信回線やインターネットに接続されたサーバシステムに設けたハードディスク又は光ディスク・ライブラリ等の記憶装置を記録媒体として使用し、通信回線を介してコンピュータ・プログラムを情報処理装置１０００に提供してもよい。

　以上の例は、情報処理装置１０００について主に説明したが、コンピュータに、情報処理装置で説明した機能を有するプログラムをインストールして、そのコンピュータを情報処理装置として動作させることにより上記で説明した情報処理装置と同様な機能を実現することができる。したがって、本発明において１つの実施形態として説明した情報処理装置は、方法及びそのコンピュータ・プログラムによっても実現可能である。

　本装置は、ハードウェア、ソフトウェア、又はハードウェア及びソフトウェアの組み合わせとして実現可能である。ハードウェアとソフトウェアの組み合わせによる実施では、所定のプログラムを有するコンピュータ・システムでの実施が典型的な例として挙げられる。係る場合、該所定のプログラムが該コンピュータ・システムにロードされ実行されることにより、該プログラムは、コンピュータ・システムに本発明に係る処理を実行させる。このプログラムは、任意の言語、コード、又は表記によって表現可能な命令群から構成される。そのような命令群は、システムが特定の機能を直接実行すること、又は（１）他の言語、コード、若しくは表記への変換、（２）他の媒体への複製、のいずれか一方若しくは双方が行われた後に、実行することを可能にするものである。もちろん、本発明は、そのようなプログラム自体のみならず、プログラムを記録した媒体を含むプログラム製品もその範囲に含むものである。本発明の機能を実行するためのプログラムは、フレキシブル・ディスク、ＭＯ、ＣＤ－ＲＯＭ、ＤＶＤ、ハードディスク装置、ＲＯＭ、ＲＡＭ、Ｍ－ＲＡＭ（Ｍａｇｎｅｔｏｒｅｓｉｓｔｉｖｅ　ＲＡＭ）、フラッシュメモリ等の任意のコンピュータ可読媒体に格納することができる。係るプログラムは、コンピュータ可読媒体への格納のために、通信回線で接続する他のコンピュータ・システムからダウンロードしたり、他の媒体から複製したりすることができる。また、係るプログラムは、圧縮し、又は複数に分割して、単一又は複数の記録媒体に格納することもできる。

　以上、本発明の実施形態について説明したが、本発明は上述した実施形態に限るものではない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施形態に記載されたものに限定されるものではない。

　例えば、上述の実施形態では、プロファイルデータとして画像データを説明したが、音声データであっても同様に扱うことができる。この場合、画像認識部２１の他、動画像データに含まれる音声データの声紋等を解析する音声解析部（図示せず）が設けられる。

　また、プライバシー情報管理装置１は、オブジェクトサーバ２の機能を包含していてもよい。あるいは、プライバシー情報管理装置１は、上述の複数の機能ブロックを分散させた複数の装置（サーバ）により構成されてもよい。

　１　プライバシー情報管理装置
　２　オブジェクトサーバ
　３、３ａ、３ｂ　ユーザ端末
　１１　ユーザプロファイル
　１２　ルールレポジトリ
　１３　プライバシールール設定部
　１４　プライバシールール生成部
　１５　プライバシールール適用部
　１６　プライバシー情報制御部
　１６１　投稿データ入力部
　１６２　データ解析部
　１６３　オブジェクト参照部
　１６４　設定参照部
　１６５　プライバシールール判定部
　１６６　アクション制御部

Claims

　第１のユーザのプライバシー情報を示すプロファイルデータを記憶するプロファイル記憶部と、
　前記第１のユーザの端末から、前記プライバシー情報の公開を制限する条件及び制限方法を定めたプライバシールールを生成するための所定のテンプレートに対する第１の設定データを受信する第１の受信部と、
　前記第１の受信部により受信された前記第１の設定データに基づいて、前記プライバシールールを生成する生成部と、
　前記生成部により生成された前記プライバシールールを記憶するプライバシールール記憶部と、
　所定のＷｅｂサイトにおいて公開が要求された公開前画像データの中に、前記プロファイルデータにより示される前記プライバシー情報が含まれている場合に、当該公開前画像データに含まれているメタデータを抽出し、当該プライバシー情報の公開を制限する条件を満たすか否かを判定する判定部と、
　前記判定部により前記条件を満たすと判定された場合に、前記プライバシールールにより定められている制限方法を実行する実行部と、を備えるプライバシー情報管理装置。
　前記プライバシー情報の公開を制限する条件は、前記公開前画像データの撮影日時の範囲を含む請求項１に記載のプライバシー情報管理装置。
　前記撮影日時の範囲は、前記第１のユーザの端末から開始指示を受け付けた時から、終了指示を受け付けた時までの範囲である請求項２に記載のプライバシー情報管理装置。
　前記プライバシー情報の公開を制限する条件は、前記公開前画像データの撮影場所の範囲を含む請求項１から請求項３のいずれかに記載のプライバシー情報管理装置。
　前記撮影場所の範囲は、前記第１のユーザの端末が測位された位置を含む所定の範囲である請求項４に記載のプライバシー情報管理装置。
　前記第１の受信部は、前記第１のユーザの端末から、前記プライバシー情報の公開を制限する制限方法を定めるために、予め設けられている所定種類の制限方法からの選択指示を含む前記第１の設定データを受信する請求項１から請求項５のいずれかに記載のプライバシー情報管理装置。
　前記実行部は、前記公開前画像データの公開を要求した第２のユーザによって、前記制限方法の実行が承認された場合に、当該制限方法を実行する請求項１から請求項６のいずれかに記載のプライバシー情報管理装置。
　前記判定部により前記条件を満たすと判定された場合に、前記第１のユーザの端末から、前記制限方法を示す第２の設定データを受信する第２の受信部を備え、
　前記実行部は、前記第２の設定データが受信された場合には、前記プライバシールールにより定められている制限方法に代えて、当該第２の設定データにより示される制限方法を実行する請求項１から請求項７のいずれかに記載のプライバシー情報管理装置。
　前記判定部により前記条件を満たすと判定された場合に、前記第１のユーザの端末へ、前記公開前画像データを送信して前記第２の設定データの送信を要求する送信要求部を備える請求項８に記載のプライバシー情報管理装置。
　コンピュータがプライバシー情報の漏洩を抑制する方法であって、
　前記コンピュータは、ユーザのプライバシー情報を示すプロファイルデータを記憶するプロファイル記憶部を備え、
　前記ユーザの端末から、前記プライバシー情報の公開を制限する条件及び制限方法を定めたプライバシールールを生成するための所定のテンプレートに対する設定データを受信する受信ステップと、
　前記受信ステップにおいて受信された前記設定データに基づいて、前記プライバシールールを生成する生成ステップと、
　前記生成ステップにおいて生成された前記プライバシールールを記憶するプライバシールール記憶ステップと、
　所定のＷｅｂサイトにおいて公開が要求された公開前画像データの中に、前記プロファイルデータにより示される前記プライバシー情報が含まれている場合に、当該公開前画像データに含まれているメタデータを抽出し、当該プライバシー情報の公開を制限する条件を満たすか否かを判定する判定ステップと、
　前記判定ステップにおいて前記条件を満たすと判定された場合に、前記プライバシールールにより定められている制限方法を実行する実行ステップと、を含む方法。
　請求項１０に記載の方法の各ステップをコンピュータに実行させるためのプログラム。