具体实施方式
1.实施方式1
以下,使用附图对本发明的实施方式1的个人信息管理系统1进行说明。
1.1个人信息管理系统1的概要
如图1所示,个人信息管理系统1由服务器装置400、家庭服务器100、笔记本PC300构成。
家庭服务器100和服务器装置400与因特网20相连。另外,家庭服务器100和笔记本PC300被设置在同一家庭内,互相通过LAN10相连。
家庭服务器100具有接收电视广播的功能,使监视器15显示接收到的电视节目。另外,按照利用者的操作,对接收到的电视节目进行录像。
家庭服务器100被家庭内的多个利用者利用,但针对每个利用者生成电视广播的视听履历表。另外,除了电视节目、视听履历表以外,还存储有音乐、照片等各种信息。
服务器装置400从家庭服务器100取得各种信息,并根据所取得的信息,提供适合于家庭服务器100的利用者的信息或服务。例如,取得电视广播的视听履历表,推荐符合利用者的爱好的电视节目。
家庭服务器100在发送由服务器装置400请求的信息之前,验证在这些信息中是否含有个人信息。接着,验证是否含有虽不是个人信息,但根据该信息有可能参照个人信息的数据。以下,将个人信息以及虽不是个人信息但可以成为参照个人信息的密钥的信息合并,称为保护对象数据。保护对象数据,作为一例,考虑个人的姓名、住所、公司名、ID等。
在请求发送的信息中包含有保护对象数据时,在对根据需要而发送的信息中包含的保护对象数据进行加工后,进行发送。
1.2家庭服务器100
图2是功能性地表示家庭服务器100以及笔记本PC300的结构的功能框图。如图2所示,家庭服务器100由天线101、广播接收部102、输入输出部103、请求接收部104、检索部105、加工判断部106、控制部107、发送部108、LAN通信部109、信息存储部110、管理信息存储部111、输入部112以及显示输出部113构成。此外,图中的箭头表示装置内以及装置间的信息流。另外,虽然省略了具体的布线等,但控制部107与各构成要素相连。
家庭服务器100具体而言是包含RAM、ROM以及微处理器而构成的计算机系统,在所述RAM、ROM中存储了计算机程序。所述微处理器按照所述计算机程序而工作,由此,家庭服务器100实现其功能的一部分。
以下,对各构成要素进行说明。
(1)管理信息存储部111
管理信息存储部111由硬盘构成,作为一例,如图3所示,存储了保护对象表121、发送阈值131、访问履历表133。此外,在管理信息存储部111中,除此以外还存储了由控制部107使用的各种图像数据、声音数据、计算机程序等。
保护对象表121由多个保护对象信息122、123、124…构成,各保护对象信息包含保护对象类别名、频数、保护等级。保护对象类别名表示保护对象数据被分类的种类(以下称为保护对象类别)的名称。如图3所示,在保护对象类别中有姓名、住所、声音等。图3所示的保护对象表121中包含的保护对象类别名是一个例子,除此以外也考虑电话号码、便携式电话号码、邮件地址、年龄、性别等。以下,将保护对象类别名为“A”的保护对象类别记载为保护对象类别“A”或简记为“A”。
频数以0~10的数值表示基于属于该保护对象类别的保护对象数据的识别特定的个人的容易程度。值越大,根据属于该保护对象类别的保护对象数据越容易识别特定的个人。
保护等级表示是否相当于个人信息,保护等级“A”表示由于相当于个人信息因此一定要隐藏,保护等级“B”表示由于不相当于个人信息,因此不一定需要隐藏。
例如,保护对象信息122包含保护对象类别名“姓名”、频数“10”和保护等级“A”。相当于“姓名”的保护对象数据是表示特定的个人的名称,可以非常容易地识别特定的个人,所以这里使频数为最大的“10”。另外,属于保护对象类别“姓名”的保护对象数据是可以单独(即不参照其它信息)识别特定的个人的个人信息,因此使保护等级为“A”。
另外,保护对象信息124包含保护对象类别名“声音”、频数“8”和保护等级“B”。属于人的“声音”的保护对象数据虽然是与1个人对应的信息,但如果不对过去录音的声音数据等进行分析并比较分析结果,则无法识别特定的个人,因此使频数为“8”,使保护等级为“B”。
另外,保护对象信息125包含个人信息类别名“ID”、频数“5”和保护等级“B”。相当于“ID”的保护对象数据与属于“姓名”的信息同样,是与特定的个人一一对应的信息,但与属于“姓名”的信息不同,其自身只不过是字符以及数字的罗列,所以仅根据该字符串难以识别特定的个人,因此使频数为“5”,使保护等级为“B”。
保护对象表121也可以是在生产家庭服务器100时由制造商记录的表,也可以在出货后由输入部112接受利用者的操作,而由控制部107进行记录·编辑。
发送阈值131表示可以识别个人的信息的集合和不能识别个人的信息的集合的边界的个人识别容易性(是以个人识别容易性为尺度,划分可以识别个人的信息的集合和不能识别个人的信息的集合的阈值)。加工判断部106(在后面详细描述)计算识别频数,该识别频数表示基于从服务器装置400请求发送的信息以及与该信息关联的信息个人信息识别容易性(计算方法等在后面详细描述),当计算出的识别频数大于发送阈值时,将请求发送的信息加工成识别频数减小后进行发送。
访问履历表133表示家庭服务器100对外部设备发送了信息的履历,由多个访问履历信息134、135…构成。各访问履历信息由日期时间、IP地址和发送频数构成。
日期时间表示由外部设备请求发送信息的时间,IP地址是作为请求源的外部设备的IP地址。发送频数是家庭服务器100发送的信息中包含的保护对象数据的频数的总和。当同时发送了多个信息时,是全部信息中包含的保护对象数据的频数的总和。
(2)信息存储部110
信息存储部110包含硬盘而构成。例如图4所示,存储了所有者名141、所有者ID143、用户表146、视听履历表151、153…、照片158、160…、运动图像162、节目内容166以及保护标签142、144…。
所有者名141是家庭服务器100的所有者的姓名,在最初启动了该家庭服务器100时通过利用者的操作而被记录。在此,所有者名141仅由单一的文本数据“佐藤太郎”构成,该文本数据“佐藤太郎”是保护对象数据,属于保护对象类别“姓名”。
所有者ID143是与家庭服务器100的所有者唯一对应的识别符。所有者ID143由单一的数字串数据“0001”构成,数字串数据“0001”是属于保护对象类别“ID”的保护对象数据。
用户表146如图5(a)所示,由多个用户信息171、172…构成,各用户信息包含用户名和用户ID。各用户信息与利用家庭服务器100的人一对一地对应。用户名是表示利用者的名称。用户名通过利用者的操作而被输入、变更,是各用户的姓名、昵称等。用户ID是唯一表示利用者的识别信息。用户表146中包含的利用者ID“0001”、“0002”…“0005”都是属于保护对象类别“ID”的保护对象数据。
视听履历表151、153…是记录了各利用者的电视广播的视听履历的表,各个视听履历表与某个利用者相对应。
图5(b)表示视听履历表151的细节。如图5(b)所示,视听履历表151由用户ID175和多个视听履历信息176、177、178…构成。用户ID175表示与视听履历表151对应的利用者,在此,与用户表146的用户信息171中包含的用户ID“0001”一致。
各视听履历信息包含日期时间、频道、节目名和类型。节目名是用户ID175表示的利用者所视听的电视节目的名称,频道是广播该电视节目的频道。日期时间是利用者开始视听的时刻。类型表示该节目所属的类型。这些视听履历信息都是属于保护对象类别“视听履历”的保护对象数据。
视听履历表153…的结构与视听履历表151相同。
照片158、160…是通过数字照相机、便携式电话机等拍摄的静止图像,例如是JPEG格式的信息。图6(a)表示了照片158的具体例。图6(b)是将照片158的虚线部189放大后的图。如图6(a)所示,照片158是拍摄了持有ID卡的人物的照片。在照片158中反映了设置于电线杆的标识中记载的字符串181“M市××町○○番地”、ID卡中记载的字符串182“○×(株)”、字符串183“佐藤太郎”、字符串184“ID51”以及人物的脸186,这些都是保护对象数据。
“M市××町○○番地”属于保护对象类别“住所”。“○×(株)”属于保护对象类别“公司名”。“左藤太郎”属于保护对象类别“姓名”。“ID51”属于保护对象类别“ID”。人物的脸186属于保护对象类别“脸”。此外,ID卡中记载的人物的人脸照片185模糊到无法识别个人的程度,所以在此不作为保护对象数据。
照片160例如是拍摄了自然风景等的照片,不包含属于保护对象数据的数据。
运动图像162是通过数字摄像机拍摄的图像,例如是MPEG2或MPEG4格式的信息。运动图像162是拍摄了人物的动作或声音的图像,包含属于保护对象类别“脸”的图像数据以及相当于保护对象类别“声音”的声音数据。
节目内容是按照利用者的操作,对从广播电台广播的电视节目进行了录像的内容。
保护标签142、144、147…对应于在信息存储部110中存储的某个信息,表示对应的信息中包含的保护对象数据所属的保护对象类别。
例如,保护标签142与所有者名141相对应,表示所有者名141中包含的保护对象数据属于保护对象类别“姓名”。
保护标签152与视听履历表151相对应,表示在视听履历表151中包含属于保护对象类别“ID”的保护对象数据和属于保护对象类别“视听履历”的保护对象数据。另外,保护标签159与照片158相对应,表示在照片158中包含属于保护对象类别“姓名”、“脸”、“住所”、“ID”或“公司名”的多个保护对象数据。
(3)天线101以及广播接收部102
广播接收部102按照控制部107的控制,从天线101接收的广播波中选择规定的频带来实施信号处理,在规定的频道中生成所述节目内容。将生成的节目内容写入信息存储部110或者向显示输出部113输出。
(4)输入部112、显示输出部113以及监视器15
输入部112具有0~9数字键、确定键等各种按钮,接受基于利用者的操作的各种信息以及指示的输入。当接受输入时,将所接受的信息以及指示向控制部107输出。
显示输出部113与监视器15相连。显示输出部113从广播接收部102接收节目内容,根据所接收的节目内容生成图像数据以及声音数据,向监视器15输出。
另外,显示输出部113按照控制部107的控制,向监视器15输出菜单画面等各种图像数据、警告音等各种声音数据。
监视器15例如是液晶显示器,内置有扬声器。根据从显示输出部113输出的图像数据、声音数据,生成画面以及声音来进行显示和输出。
(5)输入输出部103
输入输出部103可以安装存储卡等记录介质,按照控制部107的控制从记录介质中读出信息。
(6)请求接收部104、发送部108以及LAN通信部109
请求接收部104在控制部107的控制下,从与因特网20相连的外部设备接收发送请求,并将接收到的发送请求输出至检索部105。发送请求请求发送“视听履历表”、“所有者名”、“照片”等各种信息,包含作为发送源的外部设备的IP地址。在此,所谓外部设备例如是服务器装置400。
发送部108在控制部107的控制下,向与因特网20相连的外部设备发送各种信息。
LAN通信部109按照控制部107、检索部105以及加工判断部106的指示,在其与连接在LAN10的终端设备之间进行各种信息的收发。连接在LAN10的终端设备例如是笔记本PC300。
(7)控制部107
控制部107是与家庭服务器100的各构成要素连接、控制各自的动作的功能部。
当按下电源按钮、开始电力供给时,控制部107经由输入输出部103、LAN通信部109,确认有没有安装记录介质、有没有能够经由LAN10进行通信的终端设备。接着,指示显示输出部113对利用者显示请求输入利用者ID的开始画面。从输入部112接收由利用者输入的利用者ID。当接收利用者ID时,控制部107指示显示数据部113显示“电视广播视听”、“设定变更”、“来自介质的信息传递”、“内容的再生”…等、显示家庭服务器100向利用者提供的功能的菜单画面。以后,经输入部112接受利用者的操作,按照接受的操作,进行管理信息存储部111所存储的信息的变更、从记录介质向信息存储部110的信息的传递、信息存储部110中存储的内容的再生等各种处理。特别是在信息存储部110中新写入信息时,分析信息的内容来检索保护对象数据,当从该信息中检索出保护对象数据时,生成表示检索出的保护对象数据所属的保护对象类别的保护标签,并将所生成的保护标签与该信息对应起来写入信息存储部。
在保护对象数据的检测中使用了声音识别、图像分析、字符识别、住所·姓名识别、人物的人脸图像的确定等各种公知技术。作为这些技术的一例,在专利文献2中公开了从字符串中确定姓名、住所的技术。另外,作为检测出在文件数据或图像数据中记载的ID的方法的一例,考虑如下的方法:当与通过上述公知技术确定的姓名或团体名连续(或在附近)记载,该字符串本身是无意义的字符的罗列时,将该字符串判定为ID。此外,该判定方法是一个例子,也可以使用其它方法。
另外,当请求接收部104从外部设备取得了发送请求时,暂时存储所取得的日期时间,并将取得的发送请求输出至检索部105。另外,当发送部108根据发送请求来发送信息时,生成访问履历信息,该访问履历信息由存储的日期时间、包含在发送请求中而接收到的外部设备的IP地址、加工判断部106计算出的对象频数(在后面详细描述)构成。在此,设加工判断部106计算出的对象频数为发送频数。然后,控制部107将生成的访问履历信息追加在访问履历表133中。
(8)检索部105
检索部105经由因特网20以及请求接收部104,从服务器装置400接收发送请求。当接收发送请求时解读接收到的发送请求,并在信息存储部110中检索与请求对应的信息。读出所检索出的信息以及与该信息对应的保护标签。
接着,若在LAN10连接了可通信的终端设备,则经由LAN通信部109,在所连接的终端设备中也检索与发送请求对应的信息,读出检索出的信息以及与各信息对应的保护标签。
例如,当如图1所示连接了笔记本PC300,所接收的发送请求请求发送照片时,从信息存储部110读出照片158、160…以及与各照片对应的保护标签,接着,经由LAN通信部109指示笔记本PC300检索与发送请求对应的信息。若笔记本PC300存储了照片,则经由LAN通信部109从笔记本PC300接收该照片以及对应的保护标签。
然后,将读出的信息以及保护标签向加工判断部106输出。此外,如图4所示的照片160那样没有对应的保护标签时,仅输出信息。
(9)加工判断部106
加工判断部106从检索部105接收信息以及与各信息对应的保护标签。其中,有时在接收的信息中没有保护标签。没有标签的信息不含有应该保护的数据。
当接收该信息时,从个人信息保护的观点出发,针对接收到的各信息判断是否可以直接发送各信息,当不可以发送时,加工(或删除)该信息中包含的保护对象数据。
当上述判断以及加工结束时,将加工后的信息输出至发送部108。
图7~图10是表示基于加工判断部106的上述判断以及加工处理的流程图。以下,使用图7~图10说明加工判断部106的处理。此外,为了便于说明,将成为判断以及加工对象的信息称为处理对象信息。
当从检索部105接收的处理对象信息中没有保护标签时(步骤S101:否),加工判断部106将接收的处理对象信息直接输出至发送部108(步骤S103),结束判断以及加工处理。
当所接收的处理对象信息中附加了保护标签时(步骤S101:是),根据所接收的保护标签,全部确定处理对象信息中包含的保护对象数据(步骤S102)。在保护对象数据的确定中,与控制部107相同地使用图像识别、字符识别、姓名·住所确定、人物的人脸图像确定等公知技术。
针对在此确定的n个(n在1以上)的保护对象数据,分别附加识别号码C1、C2…Cn。识别号码只要是能够在该信息中确定各保护对象数据的信息即可,因此可以仅是连续的号码或随机数,也可以是保存该保护对象数据的存储器上的地址,若处理对象信息是图像数据,则可以是包含该保护对象数据的像素位置等。另外,也可以将它们相结合。
然后,加工判断部106从管理信息存储部111读出保护对象表121(步骤S104)。从保护对象表121中提取出与确定的保护对象数据对应的频数和保护等级,生成对象频数表(S106)。图11表示在此生成的对象频数表201的细节。如图11所示,对象频数表201由n个(图中n=5)对象频数运算信息202、203、204、205以及206构成。各对象频数运算信息分别与被确定的保护对象数据对应。各对象频数运算信息包含识别号码、频数以及保护等级。识别号码是对各保护对象数据附加的上述识别号码,频数和保护等级是与识别号码表示的保护对象数据所属的保护对象类别相对应的频数和保护等级。
然后,在步骤S108~步骤S126中,加工判断部106针对对象频数表201中包含的识别号码C1~C5的每一个,重复以下的步骤S109~步骤S123的处理。
加工判断部106选择包含识别号码Cx(0≦x≦5)的对象频数运算信息(步骤S109),从所选择的对象频数运算信息中读出保护等级(步骤S111)。若保护等级不是“B”(步骤S113:否),则加工判断部106转移至与下一识别号码Cx相关的处理。
若保护等级是“B”(步骤S113:是),则在信息存储部110内检索包含与识别号码Cx表示的保护对象数据相同的数据的其它信息(以下,将与处理对象信息相关联的信息、且家庭服务器100可以容易地检索的信息称为关联信息。在本实施方式中,将包含与处理对象信息中包含的保护对象数据相同的数据的信息作为关联信息)(步骤S114)。当存在经由LAN10可进行通信的终端设备时,经由LAN通信部109对该终端设备请求检索关联信息。若从信息存储部110以及与LAN10连接的终端设备中未检测出关联信息(步骤S116:否),则加工判断部106转移至与下一识别号码Cx相关的处理。
若检测出关联信息(步骤S116:是),则加工判断部106读出与检测出的关联信息对应的保护标签(步骤S117)。
加工判断部106从保护对象表121中检测与读出的保护标签所表示的保护对象类别对应的保护等级(步骤S119)。若检测出的保护等级中存在保护等级“A”(步骤S121:是),则将包含识别号码Cx的对象频数运算信息中所包含的保护等级变更为“A”(步骤S123)。
若不包含保护等级“A”(步骤S121:否),则加工判断部106转移至与下一识别号码Cx相关的处理。
当步骤S108~步骤S126的重复结束时,加工判断部106在对象频数表中检测包含保护等级“A”的对象频数运算信息。在处理对象信息中,对检测出的对象频数运算信息中包含的识别号码所表示的保护对象数据进行加工(步骤S141)。加工的方法是任意的,但例如处理对象信息是照片,则对于拍摄有保护对象数据的部分施加马塞克。若处理对象数据是文本数据,则删除保护对象数据的一部分或者替换为无意义的字符串。
然后,加工判断部106将与加工后的保护对象数据对应的对象频数运算信息的频数除以2,将保护等级变更为“B”(步骤S142)。此外,当对象频数表中不存在包含保护等级“A”的对象频数运算信息时,省略步骤S141~步骤S142。
接着,加工判断部106计算构成对象频数表的各对象频数运算信息中包含的频数之和。将计算出的和称为对象频数(步骤S143)。
对象频数表示基于实际向发送请求的发送源发送的信息的个人识别容易性。对象频数越高,根据发送的信息越可以容易地识别特定的个人。
然后,加工判断部106从管理信息存储部111中读出访问履历表133(步骤S144),在读出的访问履历表133中检索访问履历信息(步骤S146),该访问履历信息包含与被包含在发送请求中而接收到的IP地址相同的IP地址。
若存在相应的访问履历信息(步骤S147:是),则从检测出的所有访问履历信息中读出发送频数(步骤S148),计算所读出的发送频数的总和。将计算出的和作为履历频数(步骤S149)。
履历频数表示,基于在过去向发送请求的发送源设备发送的信息的个人识别容易性。
在步骤S147中,当不存在相应的访问履历信息时(步骤S147:否),将履历频数设为“0”(步骤S151)。
接着,加工判断部106将对象频数和履历频数相加,来计算识别频数(步骤S153)。然后,从管理信息存储部111读出发送阈值131(步骤S154)。将读出的发送阈值131和计算出的识别频数进行比较,若计算出的识别频数在发送阈值131以下,则将加工后的处理对象信息输出至发送部108(步骤S163)。
当计算出的识别频数比发送阈值131大时(步骤S156:否),加工判断部106加工或删除在处理对象信息中包含的保护对象数据(步骤S157)。加工或删除哪个保护对象数据是任意的,例如可以从与对象频数表最前头的对象频数运算信息相对应的保护对象数据开始顺次加工或删除,也可以优先加工或删除频数大的保护对象数据。
然后,将与删除的保护对象数据对应的对象频数运算信息中包含的频数变更为“0”,将与加工后的保护对象数据对应的对象频数运算信息中包含的频数除以2(步骤S159)。
然后,加工判断部106根据步骤S159的处理后的对象频数表,重新计算对象频数,使用计算出的对象频数再次计算识别频数(步骤S161),返回步骤S156。
此外,在此为了易于说明,对于从检索部105接收到的信息为1个的情况进行了说明,但在接收到多个信息时,针对各信息重复步骤S101~步骤S142,针对各信息生成对象频数表,将所有对象频数表中包含的频数的总和作为对象频数。
1.3笔记本PC300
如图2所示,笔记本PC由LAN通信部301、检索部305、控制部307、信息存储部310、输入部312以及显示部313构成。另外,虽未具体地进行图示,但控制部107与构成笔记本PC300的各部相连,控制各部。
笔记本PC300具体而言是包含RAM、ROM以及微处理器而构成的计算机系统,在所述RAM、ROM中存储了计算机程序。所述微处理按照所述计算机程序来动作,由此笔记本PC300实现其功能的一部分。
以下,对各构成要素进行说明。
(1)LAN通信部301
LAN通信部301具有可与LAN10连接的接口,在与LAN10连接的外部设备和检索部305之间进行各种信息以及指示等的收发。在此,所谓外部设备是家庭服务器100。
(2)检索部305
检索部305经由LAN通信部301从家庭服务器100接受信息存储部310内的信息的检索、读出的指示,按照指示在信息存储部310内进行信息的检索以及读出。
(3)信息存储部310
信息存储部310包含硬盘而构成,存储了各种信息。例如图12所示,存储了所有者ID321、所有者名323、地址簿325、职员名册327以及与各信息对应的保护标签322、324、326、328。
所有者名323是笔记本PC300的所有者的名称,所有者ID321是唯一识别所述所有者的识别信息。地址簿325是由利用者生成的信息,包含多人的姓名、住所、电话号码等。职员名册327包含多人的姓名以及与各人对应的职员ID。
关于保护标签,与在上述的信息存储部110中说明的相同。
(4)控制部307
控制部307经由输入部312接受利用者的各种信息以及指示的输入,按照接受的指示,控制各部的动作。
另外,与家庭服务器100的控制部107同样地,当在信息存储部310中记录新的信息时,分析信息的内容来检索保护对象数据,当检测出了时,生成表示检索出的保护对象数据所属的保护对象类别的保护标签,并将生成的保护标签与该信息对应起来写入信息存储部310。
(5)输入部312以及显示部313
输入部312具有0~9数字键、字符键等各种键,接受利用者的各种信息以及指示的输入,将接受的信息以及指示输出至控制部307。
显示部313具有液晶显示器,按照控制部307的控制,显示各种画面。
1.4服务器装置400
服务器装置400,是按照操作者的操作从包含家庭服务器100在内的外部设备收集利用者的各种信息,并根据收集到的信息,提供符合利用者的兴趣、嗜好的服务或信息的装置。
作为通过服务器装置400提供的服务的一例,列举了收集电视广播的视听履历、告知符合利用者的喜好的电视广播的服务,或通知符合利用者的喜好的新创作的DVD的服务。
1.5动作
以下,以家庭服务器100为中心,说明个人信息管理系统1的各设备的动作。
(1)家庭服务器100的动作
图13~图16是表示家庭服务器100的动作的流程图。以下,使用图13~图16的流程图说明家庭服务器100的动作。
当向家庭服务器100接通电源、开始对各部供给电力时,控制部107经由LAN通信部109确认在LAN10上是否连接了可通信的其它终端设备(步骤S201)。在此,说明连接有笔记本PC300的情况。
然后,生成包含向利用者请求输入利用者ID的消息的开始画面,指示显示输出部113显示所生成的开始画面。显示输出部113按照控制部107的指示,使监视器15显示开始画面(步骤S202)。接着,控制部107从输入部112接收由利用者输入的利用者ID(步骤S203)。
另一方面,服务器装置400按照操作者的操作,经由因特网20向家庭服务器100发送发送请求(步骤S204)。
在接收到利用者ID后,当请求接收部104经由因特网20从服务器装置400接收发送请求时(步骤S206:是),控制部107指示请求接收部104向检索部105输出接收到的发送请求。
检索部105从请求接收部104接收发送请求,开始发送请求表示的信息的发送处理(在后面详细说明)(步骤S207)。
若未接收发送请求(步骤S206:否),则控制部107接着使监视器15显示表示家庭服务器100对利用者提供的各种功能的菜单画面,接受利用者的选择操作(步骤S208)。在菜单画面上例如排列了“设定变更”、“电视广播视听”、“来自介质的信息传递”等记载了功能的选项。
若经由输入部112接受请求设定变更的操作(步骤S208的“设定变更”),则按照利用者的操作,变更在管理信息存储部111中存储的保护对象表121、发送阈值131、在信息存储部110中存储的用户表146(步骤S209)。
若经由输入部112接受请求电视广播的视听的操作(步骤S208的“电视广播视听”),则开始电视节目的显示处理(在后面详细说明)(步骤S210)。
若经由输入部112接受请求来自存储卡等介质的信息的传递的操作(步骤S208的“来自介质的信息传递”),则控制部107进行信息传递处理(在后面详细说明)(步骤S211)。
另外,若经由输入部112接受请求其它处理的操作(步骤S208的“其它处理”),则进行该其它处理(步骤S212)。
与在步骤S208中接受的操作相对应的处理结束,则返回步骤S206。
(2)电视节目的显示
当通过利用者的操作请求电视广播的视听时,家庭服务器100进行电视节目的显示处理。以下,使用图14的流程图说明电视节目的显示处理。此外,它是图13的步骤S210的细节。
控制部107在信息存储部110内检索视听履历表(步骤S213),该视听履历表包含步骤S203中由利用者输入的利用者ID。当检测出包含所输入的利用者ID的视听履历表时(步骤S216:是),将处理转移至步骤S219。
当未检测出包含所输入的利用者ID的视听履历表时(步骤S216:否),控制部107生成包含所输入的利用者ID的新的视听履历表(步骤S217)。然后,控制部107生成保护标签“ID、视听履历”,并将生成的视听履历表和保护标签对应起来写入信息存储部110(步骤S218)。
接着,控制部107经由输入部112接受频道选择(步骤S219),并指示广播接收部102接收有关所选择的频道的广播。然后,控制部107生成包含所选择的频道号码等的新的视听履历信息,并在包含由利用者输入的利用者ID的视听履历表中追加生成的视听履历信息(步骤S221)。此外,虽未具体图示,但在信息存储部110中存储了EPG(Electronic ProgramGuide),每当生成新的视听履历信息时,控制部107从EPG取得节目名以及类型。
天线101以及广播接收部102按照控制部107的指示接收电视节目,显示输出部113使监视器15显示接收到的电视节目(步骤S223)。在电视节目的显示中,通过利用者的操作变更了频道时(步骤S224:是)、或者1个电视节目结束了时(步骤S226:是),返回步骤S221,追加新的视听履历信息。
在广播节目的显示过程中,当通过利用者进行了结束视听的操作时(步骤S227:是),控制部107结束电视节目的显示处理,返回步骤S206。若没有频道变更(步骤S224:否)、也没有利用者的视听结束操作(步骤S227:否),则继续显示广播节目,直到广播节目结束(步骤S226:否)。
(3)信息的传递
当经由输入部112接受请求来自存储卡等介质的信息的传递的操作时,家庭服务器100进行来自介质的信息的传递处理。以下,使用图15所示的流程图,说明信息的传递处理。此外,这是图13的步骤S211的细节。
控制部107经由输入输出部103读出在记录介质中记录的信息(步骤S231),分析读出的信息来检索保护对象数据(步骤S232)。在分析中使用图像识别、字符识别、声音识别等各种技术。
当读出的信息中不包含保护对象数据时(步骤S234:否),将读出的信息直接写入信息存储部110(步骤S236)。
当读出的信息包含保护对象数据时(步骤S234:是),生成表示检测出的保护对象数据所属的保护对象类别的保护标签(步骤S237),并将读出的信息和生成的保护标签对应起来写入信息存储部110(步骤S239)。
(4)信息发送
当从请求接收部104接收发送请求时,检索部105开始以下说明的信息发送处理。以下,使用图16所示的流程图说明信息的发送处理。这是图13的步骤S207的细节。
控制部107使请求接收部104将接收到的发送请求输出至检索部105。
检索部105接收发送请求,在信息存储部110内检索所请求的信息(步骤S246)。此时,若在LAN10上连接了笔记本PC(步骤S247:是),则检索部105经由LAN通信部109请求笔记本PC300检索发送请求所请求的信息(步骤S249)。
笔记本PC300的检索部305经由LAN通信部301接收来自家庭服务器100的检索请求。检索部305按照接收到的检索请求,在信息存储部310内进行检索(步骤S251),若检测出与符合请求的信息,则读出所检测出的信息和该信息所对应的保护标签(步骤S253),经由LAN通信部301将读出的信息以及保护标签发送给家庭服务器100(步骤S254)。若未检测出符合请求的信息,则取代步骤S253以及254,发送表示不存在相应信息的信号。
家庭服务器100的检索部105经由LAN通信部109从笔记本PC300接收信息以及保护标签。将接收到的信息以及在信息存储部110中检测出的信息、与各信息对应的保护标签输出给加工判断部106。
加工判断部106从检索部105接收信息以及保护标签,针对接收到的的信息,进行能否发送的判断以及无法发送的信息的加工(步骤S257)。关于步骤S257的细节,和使用图7~图10的流程图所说明的相同。
发送部108从加工判断部106接收加工后的信息,并经由因特网20将接收到的信息发送给服务器装置400(步骤S258)。
控制部107,关于所发送的信息,生成访问履历信息,并将生成的访问履历信息追加在管理信息存储部111所存储的访问履历表133中(步骤S261),所述访问履历信息包含由加工判断部106计算出的对象频数、从服务器装置400接收了发送请求的时刻、以及被包含在发送请求中而接收到的服务器装置400的IP地址。
(5)具体例
关于上述信息的发送处理,参照图6、图7~图10以及图16具体说明从服务器装置400接收到请求发送照片的发送请求的例子。此时,假定笔记本PC300与LAN10相连,处于可与家庭服务器100通信的状态。另外,假定服务器装置400的IP地址是“10.105.5.6”。
检索部105在信息存储部110内以及笔记本PC300的信息存储部310内检索照片,在信息存储部110内检测出照片158和照片160(步骤S246)。读出所检测出的照片158和照片160、以及与照片158对应的保护标签159,并输出给加工判断部106。
加工判断部106从检索部105接收照片158、保护标签159以及照片160。
照片160中没有对应的保护标签(步骤S101:否),因此加工判断部106直接向发送部108进行输出(步骤S103)。
在照片158中存在对应的保护标签159(步骤S101:是),因此加工判断部106分析照片158的图像,检测出与保护对象类别“住所”相应的字符串181、与保护对象类别“公司名”相应的字符串182、属于保护对象类别“姓名”的字符串183、属于保护对象类别“ID”的字符串184、与保护对象类别“脸”相应的人物的脸186(步骤S102)。对于检测出的5个保护对象数据顺次附加识别号码C1~C5。
此时,在作为保护对象数据的人物的脸186、字符串181、182、183的检索中,使用图像分析、字符识别、姓名/住所确定等技术。
另外,由于字符串184满足规定的条件,因此判别为属于个人信息类别“ID”,所述规定的条件是:该字符串本身没有意义,以字符串184的字符的大小为基准,在规定的范围内记载了相当于“公司名”的字符串181、相当于“姓名”的字符串183、人脸照片185(可以模糊到可以确定人物的程度)。此外,此方法是一例,也可以使用其它方法。
接着,从管理信息存储部111读出保护对象表121。然后,由于字符串181属于保护对象类别“住所”,因此加工判断部106从保护对象信息123中读出频数“8”以及保护等级“A”,生成由识别号码C1、频数“8”、以及保护等级“A”组成的对象频数运算信息202。同样地,关于其它保护对象数据也生成对象频数运算信息203、204、205、206,生成由它们构成的对象频数表201(步骤S106)。
然后,加工判断部106在对象频数表201中确定包含保护等级“B”的对象频数运算信息203以及205(步骤S109~113)。
加工判断部106在信息存储部110以及信息存储部310内,检索包含与对应于确定的对象频数运算信息203的字符串182“○×(株)”相同的保护对象数据的关联信息、和包含与对应于对象频数运算信息205的字符串184“ID51”相同的保护对象数据的关联信息(步骤S114)。在此,假定在笔记本PC300具有的信息存储部310中存储的职员名册327中包含与字符串184“ID51”一致的字符串“ID51”(步骤S116:是)。
加工判断部106经由LAN通信部109读出与职员名册327对应的保护标签328(步骤S117)。读出的保护标签328所表示的保护对象类别是“姓名”以及“ID”。
加工判断部106在保护对象表121中选择包含保护对象类别“姓名”和“ID”的保护对象信息122、125,并从所选择的保护对象信息122、125分别检测保护等级“A”、“B”(步骤S119)。由于检测出的保护等级中包含“A”(步骤S121:是),所以在对象频数表201中,将与字符串184“ID51”对应的对象频数运算信息205的保护等级从“B”变更为“A”(步骤S123)。在变更后的对象频数表201中,在对象频数运算信息202、204、205以及206中包含的保护等级是“A”。
接着,加工判断部106对与包含保护等级“A”的对象频数运算信息202、204、205以及206相对应的字符串181、183以及字符串184、人的脸186进行加工(步骤S141)。例如,对人的脸186的部分实施马赛克处理,用周边的颜色涂抹字符串181“M市××町○○番地”的“M市”以后的部分,用周边的颜色涂抹字符串183“佐藤太郎”的后一半的两个字符的部分,用周边的颜色涂抹字符串184“ID51”的第3个字符以后。然后,将对象频数运算信息202、204、205以及206中包含的保护等级变更为“B”,将各自包含的频数除以2(步骤S142)。小数点以后舍弃。
此时,各对象频数运算信息中包含的频数分别是“4”、“3”、“5”、“2”以及“5”。加工判断部106将它们相加,计算出对象频数“19”(步骤S143)。
接着,加工判断部106在访问履历表133中检索包含IP地址“10.101.5.6”的访问履历信息(步骤S146),检测访问履历信息134(步骤S147:是)。从检测出的访问履历信息134中读出履历频数“17”(步骤S148)。由于检测出的履历信息是一个,因此在这种情况下读出的发送频数“17”成为履历频数“17”(步骤S149)。
然后,加工判断部106将对象频数“19”和履历频数“17”相加,计算出识别频数“36”(步骤S153)。读出发送阈值131“30”,将识别频数“36”与发送阈值131“30”进行比较。由于识别频数大于发送阈值(步骤S156:否),因此进一步对照片158中包含的对象数据进行加工。在此,例如进一步加工与包含最大频数“5”的对象频数运算信息204以及206对应的字符串183“佐藤太郎”和人物的脸186(步骤S157)。例如将字符串183“佐藤太郎”全部用背景色涂抹,对人物的脸186实施更复杂的马赛克处理。接着,将对象频数运算信息204中包含的频数变更为“0”,将对象频数运算信息中包含的频数“5”除以2而得到“2”(步骤S159)。接着,将变更后的对象频数表201中包含的频数“4”、“3”、“0”、“2”以及“2”相加,再次计算出对象频数“11”,接着,将对象频数“11”和履历频数“17”相加,再次计算出识别频数“28”(步骤S161)。
再次计算出的识别频数“28”在判定阈值“30”以下(步骤S156:是),因此加工判断部106将加工后的照片158输出给发送部108(步骤S163)。
发送部108从加工判断部106接收照片160以及加工后的照片158,经由因特网20将它们发送给服务器装置400(步骤S258)。
控制部107生成新的访问履历信息,该访问履历信息包含接收到发送请求的日期时间、发送请求中包含的IP地址“10.101.5.6”和发送频数“11”。该发送频数“12”是加工判断部106最后计算出的对象频数“11”。
然后,将生成的访问履历信息追加到访问履历表133中(步骤S261)。
1.6总结·效果
如上所述,构成实施方式1的个人信息管理系统1的家庭服务器100,预先保存有针对保护对象数据的每个种类规定频数和保护等级的保护对象表121,当从服务器装置400请求发送信息时,从保护对象表中提取与请求相应的信息(处理对象信息)中包含的保护对象数据各自的频数和保护等级。
所提取出的保护等级为“A”的保护对象数据,无条件地成为加工的对象,不直接被发送给服务器装置400。
而且,关于所提取出的保护等级为“B”的保护对象数据,检索与该保护对象数据关联的关联信息,若关联信息中包含保护等级为“A”的保护对象数据,则将保护等级“B”变更为“A”。变更后,对保护等级为“A”的保护对象数据进行加工。
因此,即使是单独不成为个人信息的信息,当可以容易地与包含个人信息的关联信息进行对照时,不直接将该信息发送给服务器装置400。
不仅可以隐藏单独能够识别个人的信息,还能隐藏能够根据可容易对照的关联信息的存在来识别个人的信息,可以更可靠地保护个人信息。
而且,关于加工后的处理对象信息,分别计算出对象频数以及履历频数,将作为它们之和的识别频数与发送阈值进行比较,当大于发送阈值时,对保护等级为“B”的保护对象数据也进行加工。
即使是保护等级为“B”的数据,根据在接收到发送请求的时刻未与LAN连接的终端设备具有的个人信息、或此后在家庭服务器100等中记录的个人信息,此后有成为保护等级“A”的危险性。
如上所述,设置基于发送阈值的条件,对保护等级为“B”的信息也进行加工,由此可以降低这种危险性。
另外,结合履历频数来进行判断,因此从家庭服务器100发送的信息多数集中在服务器装置400中,由此可以抑制成为可以确定个人的状态的危险性。
在此,说明专利请求的范围的各权利要求中记载的发明与上述实施方式1中的具体构成要素的对应。
权利要求1的请求取得单元对应于请求接收部104,读出单元对应于检索部105,频数取得单元以及判断单元对应于加工判断部106。
权利要求2以及权利要求25的加工单元对应于加工判断部106,输出单元对应于发送部108。
权利要求3的禁止单元对应于家庭服务器100的加工判断部106。
权利要求4的第1取得单元对应于家庭服务器100的检索部105。
权利要求10的生成单元对应于家庭服务器100的控制部107。
权利要求11的变更单元对应于家庭服务器100的控制部107。
权利要求12的关联信息取得单元对应于家庭服务器100的加工判断部106。
权利要求24的通知单元对应于家庭服务器100的控制部107、显示输出部113以及发送部108。并且,通知单元的处理的结果通过图17(a)中记载的红色闪光501、(b)中记载的危险度显示条502、(c)中记载的接收邮件画面503等被通知给利用者。
1.7其它变形例
根据上述实施方式说明了本发明,但本发明当然不限定于上述实施方式。以下情况也包含在本发明内。
(1)在上述实施方式1中,在处理对象信息中包含的保护对象数据中的保护等级为“A”的保护对象数据无条件地进行加工;根据与加工后的各保护对象数据对应的频数的总和即对象频数、和基于访问履历表计算出的履历频数,计算出识别频数;根据计算出的识别频数来判断直接发送请求发送的信息还是进行加工,但加工的顺序、识别频数的计算方法以及判断方法不限于此。
作为一例,关于关联信息,可以是,计算与该关联信息中包含的所有保护对象数据对应的频数的总和(关联频数),将对象频数、关联频数以及履历频数的和作为识别频数。
另外,也可以如下这样。加工判断部106,当根据包含保护等级为“A”的保护对象数据的关联信息的存在,将对象频数运算信息的保护等级改写为“A”时,从保护对象表121中读出与关联信息中包含的保护等级为“A”的保护对象数据对应的频数,不仅改写保护等级,将频数也改写为读出的频数。然后,将对象频数表中包含的频数全部相加,计算出对象频数,将对象频数和履历频数相加来计算出识别频数。当计算出的识别频数大于发送阈值时,对处理对象信息进行加工。
另外,也可以不结合履历信息而比较对象频数和识别频数,决定是否加工处理对象信息。
另外,也可以仅进行基于保护等级的加工,发送加工后的处理对象信息。
(2)另外,也可以仅进行基于识别频数的加工,然后进行发送。在这种情况下,可以与处理对象信息中包含的保护对象数据的个数无关地,根据保护标签所表示的保护对象类别以及保护对象表121来计算出对象频数。
具体而言,在保护对象表121中确定包含与处理对象信息对应的保护标签所表示的保护对象类别的保护对象信息。读出在确定的保护对象信息中包含的频数。当保护标签包含多个保护对象类别时,针对各个保护对象类别读出频数。将读出的频数全部相加,计算出对象频数。在这种情况下,在接收发送请求后,在处理对象信息内检测不出各个保护对象信息,因此可以迅速判定是否需要加工。特别是当识别频数低于发送阈值时,可以迅速地发送处理对象信息。
另外,在保护标签中可以包含保护对象信息类别以及属于该保护对象类别的保护对象数据的个数。具体而言,如果是记载了3个人物的姓名的地址簿,则在与该地址簿对应的保护标签中包含个人信息类别“姓名”和个数“3”。此时,加工判断部106将与保护对象类别“姓名”对应的频数“10”和个数“3”相乘,计算出对象频数“30”。
(3)在实施方式1中,将含有与处理对象信息中包含的保护对象数据相同的数据的信息作为关联信息,但不限于相同数据,也可以将包含部分一致的数据的信息作为关联信息。
在公司等中向职员分配ID时,有时对隶属或入职年度相同的人,上位的几个字符分配相同的字符串,使下位的几个字符成为连号。
另外,对于使用同一设备、同一软件生成的文件,有时分配上位的几位相同的文件ID。例如,决定将上位8位作为利用者的识别信息,将接着的8位作为软件的识别信息,将下位的8位作为唯一分配给各文件的字符串。
因此,认为一部分一致的两个职员ID各自所表示的人存在某种关联。另外,认为一部分一致的文件ID所表示的文件,与同一人或者可以使用同一设备的环境中的多个人存在关联。因此,如本变形例所述,通过将含有与处理对象信息中包含的保护对象数据部分一致的保护对象数据的信息作为关联信息,可以更可靠地保护个人信息。
(4)上述家庭服务器100,作为向外部设备发送了信息的履历,存储了包含发送频数的访问履历表133,但也可以保存取代发送频数而包含实际发送的信息的绝对复制(dead copy)的访问履历表,根据绝对复制以及保护对象表121计算履历频数。或者也可以是检索部105检测出的信息(即加工前的信息)的绝对复制。
另外,也可以是取代发送频数而包含表示按照发送请求而由检索部105检测出的信息(即加工前的信息)的识别信息、存储了检测出的信息的地址等的访问履历表。
在这种情况下,加工判断部106,针对所述绝对复制或在所述地址记录的信息,检索出保护对象数据,将与检测出的保护对象数据对应的频数全部相加,计算出履历频数。
(5)另外,在实施方式1中,根据保护等级判断是否加工各保护对象数据,对保护等级为“A”的保护对象数据进行加工,然后,进一步根据识别频数判断是否对处理对象数据中包含的保护对象数据进行加工,但也可以仅是其中某一方。
(6)在实施方式1中,将包含与处理对象信息中包含的保护对象数据相同的数据的信息作为关联信息,但其是一个例子,只要是与处理对象信息关联的信息、且家庭服务器100可以容易检索的信息即可。
例如,可以将处理对象信息中包含的文件名、和保存目的地的地址所表示的信息作为关联信息。在这种情况下,当关联信息中包含保护等级为“A”的信息、即个人信息时,加工或删除在处理对象信息中包含的文件名、地址。
(7)另外,可以将特定设备具有的信息作为关联信息
例如,可以将同一LAN内的设备所具有的信息全部作为关联信息。
同一LAN内的设备多数情况下被同一人或家属等关联较深的人所拥有,因此,这些设备所具有的信息很可能都是与同一人相关的信息或者与关联较深的人们相关的信息。从而,如实施方式1那样,即使在处理对象信息内不含有与关联信息产生关联的数据,也可以容易地推定出处理对象信息和特定设备具有的信息存在关联。
此外,在这种情况下,由于处理对象信息和关联信息之间产生关联的原因不取决于处理对象信息的内容,因此即使对处理对象信息进行加工,与关联信息的关联也不会消失。因此,当关联信息包含可以识别个人的数据时,中止处理对象信息的发送。
另外,各设备间的通信不限于有线方式,也可以是无线方式,也可以将有线和无线结合。
(8)另外,作为另一例,可以将网络上存在于家庭服务器100的附近的设备具有的信息作为关联信息。
所谓存在于附近的设备,考虑例如在与家庭服务器100之间的通信所需要的时间在规定阈值以下的位置上存在的设备。
在这种情况下,设想在LAN电缆上连接了将因特网和LAN连接的路由器。LAN通信部109预先保存了家庭服务器100进行通信的设备(无论LAN内外)的地址。当检索部105检索来自服务器装置400的发送请求所对应的信息时,以及加工判断部106检索关联信息时,首先测量与存储的地址所表示的设备的通信时间。作为测量方法的一例,例如发送ping命令,而测量接收应答信号前的时间。
将所测量的时间和规定阈值进行比较,确定通信时间在所述阈值以下的设备。检索部105以及加工判断部106在所确定的设备具有的信息中检索处理对象信息以及关联信息。
在这种情况下,当检索出的关联信息可以识别个人时,也中止处理对象信息的发送。
另外,也可以取代测量通信时间而对中继设备的个数进行计数,将在与家庭服务器100间的中继设备的数量在规定阈值以下的位置上存在的设备具有的信息作为关联信息。
(9)在实施方式1中,家庭服务器100与因特网20和LAN10相连,在LAN内的设备具有的信息中,检索处理对象信息以及关联信息,但不限于此,也可以经由因特网在可通信的规定设备所具有的信息中进行检索。
在这种情况下,家庭服务器100预先注册作为检索对象的设备的地址。由此,即使在远离的场所设置同一人或家属等关联较深的人持有的设备时,也可以汇总已注册的设备(称为注册设备)的信息来进行保护。
(10)而且,在上述变形例(9)中,包含家庭服务器100在内的各个注册设备与家庭服务器100同样地具有从服务器装置400接收发送请求,对所请求的信息进行加工、发送的功能。
在这种情况下,在某一个设备中一起管理所有设备的发送履历,各设备在计算履历频数时,不仅考虑与自身在过去向服务器装置发送的信息相关的发送频数、而且还考虑与其它注册设备向服务器装置400发送的信息相关的发送频数,从而计算出履历频数。
(11)家庭服务器100,当通过检索部105检测出的处理对象信息包含保护等级为“A”的保护对象数据时,为了告知利用者已请求发送可以确定个人的信息、或与可以确定个人的信息关联的信息的情况,而可以向监视器15输出警告音、警告画面等。
更具体而言,检索部105向控制部107通知在检测出的处理对象信息中包含保护等级为“A”的保护对象数据的内容。控制部107当接收该通知时,指示显示输出部113生成警告音以及警告画面。画面输出部113根据来自控制部107的指示,生成警告音以及警告画面,向监视器15输出。
此外,显示输出部113可以不向监视器15输出警告音、警告画面等,而经由发送部108输出给通过LAN10与本装置连接的其它设备,也可以输出给通过无线LAN与本装置连接的可移动设备。
而且,家庭服务器100可以在通过警告音、警告画面等向利用者进行告知后,让利用者选择将处理对象信息不加工而直接发送,还是中止发送,还是在加工后发送。
另外,可以是,当保护等级为“A”的保护对象数据泄漏到网络时,家庭服务器100为了告知利用者个人信息已泄漏而将警告音、警告画面等输出给监视器15。
此外,家庭服务器100可以不将警告音、警告画面等输出给监视器15,而输出给通过LAN10与本装置连接的其它设备,也可以输出给通过无线LAN与本装置连接的可移动设备。在这种情况下,家庭服务器100在此时可以对使用中的设备优先输出警告音、警告画面等。在此,作为是否在使用中的判断方法的一例,可以将电源接通并且处于接受了来自利用者的输入的状态的设备视为“使用中的设备”。
另外,家庭服务器100可以取代警告音、警告画面等的输出,而通过对经由网络的电子邮件、经由电话网以及移动电话网的电话机的呼叫等,来告知请求个人信息的内容、以及个人信息泄漏的内容。
图17是表示上面说明的警告画面等的具体例的图。
(a)是电视机、PC等的监视器,在监视器上显示了红色闪光501。利用者通过监视器上显示的红色闪光501可以得知请求了个人信息的内容、以及个人信息泄漏的内容。
(b)是电视机、PC等的监视器,在监视器上显示了危险度显示条502。危险度显示条502通过多个阶段显示危险度。在此,危险度表示所请求的个人信息以及泄漏的个人信息的重要度。目前,该图的危险度显示条502可以通过4阶段表示危险度,表示了危险度为“1”的状态。利用者通过在监视器上显示的危险度显示条502可以得知请求了个人信息的内容、以及个人信息已泄漏的内容,而且也可以得知所请求的个人信息、以及泄漏的个人信息的重要度。
(c)是表示从家庭服务器100向利用者的便携式电话机发送了通知个人信息已泄漏的内容的电子邮件时,输出给便携式电话机的画面的接收邮件画面503的图。最近,持有便携式电话机的人很多,当向便携式电话机发送了这种警告邮件时,利用者可以迅速地得知个人信息已泄漏的情况。
(12)在实施方式1中,作为家庭服务器100管理的设备的一例,以通过LAN10连接的笔记本PC300为例进行了说明,但除此以外,也对应于便携式电话机、PDA、汽车导航系统、机器人、摄像机、硬盘录像机、其它信息家电等各种设备。
另外,如图3的保护对象表121所示,作为家庭服务器100保护的信息,以姓名、住所、声音、ID、公司名、视听履历等为例进行了说明,但除此以外,还考虑家庭账本、主页的访问履历、道路的通行履历、家庭内的房间布局或家具的布置图等与个人相关的各种信息。
(13)在实施方式1中,当关联信息中包含保护等级为“A”的保护对象数据时,将对该关联信息和处理对象信息建立关联的保护对象数据的保护等级从“B”变更为“A”,作为加工的对象。
但是,即使在关联信息中不包含保护等级为“A”的保护对象数据时,当处理对象信息和关联信息两方齐备时,在能够识别特定的个人的情况下,可以将处理对象信息中包含的保护对象数据作为加工的对象。
例如,假设在处理对象信息中包含职员ID,作为关联信息而检测出包含所述职员ID和作为该职员ID的发行源的公司名的报告书。在该公司中,与该职员ID对应的人物限于1人,因此当这种结构的处理对象信息和关联信息齐备时,存在容易确定与该职员ID对应的个人的危险性。
因此,加工判断部106预先存储了虽然是保护等级为“B”的保护对象数据、但通过两者齐备也非常容易识别特定的个人的信息的保护对象类别的组合。在此,存储了保护对象类别“ID”和“公司名”的组合。如保护对象表121所示,保护对象类别“ID”以及“公司名”都被定义为保护等级“B”。
加工判断部106,关于处理对象信息中包含的保护对象数据(假定识别号码Cx),检测关联信息,并读出与检测出的关联信息对应的保护标签。当读出的保护标签表示的保护对象类别中仅有保护等级“B”的保护对象类别时,在识别符Cx的保护对象数据的保护对象类别和保护标签表示的保护对象类别与所存储的组合一致的情况下,将识别号码Cx表示的保护对象数据的保护等级变更为“A”。
(14)家庭服务器100以及笔记本PC300,当在自身的信息存储部中写入新的信息时,分析该信息的内容来检测保护对象数据,生成表示所检测出的保护对象数据的保护标签,但不限于此。
例如,家庭服务器100以外的设备也可以不具有检测保护对象数据的功能。
另外,家庭服务器100当接收到发送请求时,可以由加工判断部106检测处理对象信息中包含的保护对象数据,确定检测出的保护对象数据所述的保护对象类别。
在这种情况下,加工判断部106在检测出关联信息后分析所检测出的关联信息,判断关联信息是否包含保护等级为“A”的保护对象数据。
(15)上述实施方式1中的加工判断部106,作为加工处理的一例,记载了当处理对象信息是照片时,对拍摄有保护对象数据的部分实施马塞克处理的情况,但在本发明中保护对象数据的加工处理不限于此,可以使用其它各种加工处理。
而且,不对保护对象数据的全体实施加工处理,而对其一部分实施加工处理的情况也包含在本发明中。
作为具体例,在处理对象信息是照片、保护对象数据是“脸”的情况下,加工处理部106可以如下进行加工,即不对照片中拍摄的人脸全体实施马塞克处理,仅对眼睛部分实施马塞克处理,不对其它部分实施马赛克处理。通过仅加工对于确定个人而言特别重要的眼睛,难以根据照片来确定被拍摄者,并且可以保留被拍摄者的人脸表情。
(16)上述各装置具体而言是由微处理器、ROM、RAM、硬盘单元、显示单元、键盘、鼠标等构成的计算机系统。在所述RAM或所述硬盘单元中存储了计算机程序。所述微处理器按照所述计算机程序进行动作,由此各装置实现其功能。在此,计算机程序为了实现规定的功能,是组合了多个表示针对计算机的指令的命令代码而构成的。
(17)构成上述各装置的构成要素的部分或全部,可以由1个系统LSI(Large Scale Integration:大规模集成电路)构成。系统LSI是在一个芯片上集成多个构成部而制造的超多功能LSI,具体而言,是包含微处理器、ROM、RAM等而构成的计算机系统。在所述RAM中存储了计算机程序。所述微处理器按照所述计算机程序而工作,由此,系统LSI实现其功能。
另外,集成电路化的方法不限于LSI,也可以通过专用电路或通用处理器来实现。在LSI制造后,可以利用可编程的FPGA(Field ProgrammableGate Array)或可以再构成LSI内部的电路元件的连接或设定的可重构处理器。
而且,如果由于半导体技术的进步或派生的其它技术,出现了替换LSI的集成电路化的技术,则当然可以使用该技术来进行功能块的集成化。生物技术的应用等也具有可能性。
(18)构成上述各装置的构成要素的一部分或全部,可以由可在各装置上装卸的IC卡或单体模块构成。该IC卡或该模块可以具有耐篡改性。
(19)本发明可以是上述表示的方法。另外,可以是通过计算机实现这些方法的计算机程序,也可以是由所述计算机程序构成的数字信号。
另外,本发明可以将所述计算机程序或所述数字信号记录在计算机可读取的记录介质,例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray Disc)、半导体存储器等中。另外,可以是在这些记录介质中记录的所述计算机程序或所述数字信号。
另外,本发明可以经由电气通信线路、无线或有线通信线路、以因特网为代表的网络、数据广播等而传输所述计算机程序或所述数字信号。
另外,本发明作为具有微处理器和存储器的计算机系统,所述存储器存储有所述计算机程序,所述微处理器可以按照所述计算机程序进行动作。
另外,通过将所述程序或所述数字信号记录在所述记录介质中来转送,或经由所述网络等转送所述程序或所述数字信号,可以通过独立的其它计算机系统来实施。
(20)可以将上述实施方式以及上述变形例分别组合。