JP2004005583A - 個人情報保護方法およびシステム、ならびにプログラム、記録媒体 - Google Patents

個人情報保護方法およびシステム、ならびにプログラム、記録媒体 Download PDF

Info

Publication number
JP2004005583A
JP2004005583A JP2003110309A JP2003110309A JP2004005583A JP 2004005583 A JP2004005583 A JP 2004005583A JP 2003110309 A JP2003110309 A JP 2003110309A JP 2003110309 A JP2003110309 A JP 2003110309A JP 2004005583 A JP2004005583 A JP 2004005583A
Authority
JP
Japan
Prior art keywords
information
server
client
personal information
policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003110309A
Other languages
English (en)
Inventor
Toshiichi Takigawa
滝川 敏一
Shinsuke Honjo
本城 信輔
Nobuo Igarashi
五十嵐 信夫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2003110309A priority Critical patent/JP2004005583A/ja
Publication of JP2004005583A publication Critical patent/JP2004005583A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】P3Pにおけるポリシーやプレファレンス等の情報を適宜なタイミングで確実に保管可能な個人情報保護方法を提供する。
【解決手段】クライアントから取得するユーザの個人情報の取扱い基準を記述したサーバ由来のポリシー情報と、クライアントからサーバへの個人情報の提供内容をポリシー情報に応じて定義したクライアント由来のプレファレンス情報と、を互いに関係付けして適宜な記憶手段に登録するステップと、所定タイミングにおいてクライアントから取得したプレファレンス情報およびサーバから取得したポリシー情報と、該当クライアントおよびサーバについて前記記憶手段から抽出した前記登録済みのプレファレンス情報およびポリシー情報とをその照合処理を行う機関の端末に送信するか、又は当該照合処理を実行してその照合結果を出力装置に出力するステップとを実行する。
【選択図】   図3

Description

【0001】
【発明の属する技術分野】
本発明は、インターネット等のネットワーク上でやり取りされる個人情報の保護方法に関するものである。
【0002】
【発明の背景】
P3Pと呼ばれるWeb上でのプライバシー保護規格が存在する。これは、ウェブ関連の標準化団体W3C(World Wide Web Consortium)が開発中の規格であって、Webサイトの運営者が、住所、氏名、メールアドレス、cookie、IPアドレスといった個人情報の利用基準(ポリシー)を開示し、ユーザがそれに基づいて、個人情報の提供を判断できるようにする仕組みである。ユーザはそのクライアントに、前記ポリシーに応じてどのように個人情報を提供するかを記述したプレファレンスと呼ばれるファイルを保持する。図1に示すように、Webサーバ(情報提供サーバ20)とユーザクライアント10のWebブラウザーがこれら、ポリシー200やプレファレンス100といったプライバシーの規定をやり取りしてマッチング処理し、ユーザーが開示を許可している個人情報300のレベル(図中では氏名のみ)に応じてクッキー等の受け取りの許可、拒否を自動的に行うことも出来る。情報提供サーバ20ではこの個人情報に提供に応じて例えばマイページ等を生成して前記ユーザクライアント10に提供する。例えば、cookieを使うとユーザーのアクセス情報をWebサーバ側で収集可能である現状に対し、P3P等のネット上のプライバシー保護規定のニーズは高いといえるだろう。
【0003】
【発明が解決しようとする課題】
上記P3PはWeb上のプライバシー保護規定を実現する礎となりうるであろうが、しかし発展過程であるが故の改善すべき点も存在する。例えば、Webサーバが悪意をもって管理されているとすれば、前記ポリシーを都合のよい内容に随時書き換えてクライアント側に提示する可能性が否定できない。つまり、ある時点AでこのWebサーバにアクセスしたクライアントに対し、「入手した個人情報は当サイトのみで使用し、あなたの許可なく第三者に提供することはありません」といったポリシーを提示したとする。これをクライアントの画面で眺めたユーザが、もしくはクライアント自体が前記プレファレンスに基づき、このポリシー内容であれば問題ないだろうと判断し、個人情報をWebサーバに提供する。
【0004】
しかし、その後の時点Bで前記Webサーバが前記ポリシーの内容を書き換えて、「入手したあなたの個人情報は第三者に提供されることになります」とした場合、さきほどの個人情報はそのまま第三者に転送されてしまうことが容易に推定出来る。Webサーバの管理上、ポリシーを更新することはあろうが、その基本理念まで変更するような更新が行われて個人情報が気ままに取り扱われてしまえば、ユーザの立場からすれば騙されたということになりかねない。
【0005】
したがって、適宜なタイミングで上記のポリシーやプレファレンスを確実に保管して、以後の様々な事態に対処可能なシステムが必要となっていた。
【0006】
そこで本発明はこのような従来の課題に着目してなされたもので、P3Pにおけるポリシーやプレファレンス等の情報を適宜なタイミングで確実に保管可能な個人情報保護方法を提供することを目的とする。
【0007】
【課題を解決するための手段】
上記目的を達成する本発明の個人情報保護方法は、クライアントから取得するユーザの個人情報の取扱い基準を記述したサーバ由来のポリシー情報と、クライアントからサーバへの個人情報の提供内容をポリシー情報に応じて定義したクライアント由来のプレファレンス情報と、を互いに関係付けして適宜な記憶手段に登録するステップと、所定タイミングにおいてクライアントから取得したプレファレンス情報およびサーバから取得したポリシー情報と、該当クライアントおよびサーバについて前記記憶手段から抽出した前記登録済みのプレファレンス情報およびポリシー情報とをその照合処理を行う機関の端末に送信するか、又は当該照合処理を実行してその照合結果を出力装置に出力するステップと、を含むことを特徴とする。
【0008】
本発明には、上記の処理を実行する情報処理装置、本情報処理装置に上記の処理を実行させるプログラム、このプログラムを格納し情報処理装置で読取り可能な記憶媒体が含まれる。
【0009】
また、クライアントとサーバとを除く第1の情報管理装置が、クライアントからサーバへの個人情報の提供内容を定義したクライアント由来のプレファレンス情報と、当該プレファレンス情報に対応する前記個人情報とを、ユーザ毎に登録するステップと、クライアントから情報提供リクエストを受信し、当該情報提供リクエストを該当サーバに転送するステップと、前記情報提供リクエストが、当該第1の情報管理装置の端末と直接リンクするサーバ宛のものか否かを判定するステップと、直接リンクするサーバ宛のものであったならば、該当サーバより、前記情報提供リクエストに応じた、クライアントから取得するユーザの個人情報の取扱い基準を記述したポリシー情報を受信し、このポリシー情報と、該当クライアントに関して保持するプレファレンス情報とのマッチング処理およびその結果に応じたサーバへの個人情報提供を実行するステップと、直接リンクしないサーバ宛のものであったならば、前記クライアントについての該当サーバからのアクセス認証要求を、当該サーバが直接リンクされた第2の情報管理装置より受け付けて認証処理し、当該認証処理の結果を前記第2の情報管理装置に返信するステップと、前記アクセス認証を受けたクライアントに対する前記サーバからのポリシー情報を、前記第2の情報管理装置より受信し、当該ポリシー情報と該当クライアントに関して保持するプレファレンス情報とのマッチング処理を行うステップと、前記マッチング処理の結果に応じて、提供可能な該当ユーザの個人情報を特定するとともに、この個人情報を該当サーバ宛で前記第2の情報管理装置に提供するステップと、を含むことを特徴とする個人情報保護方法にかかる。
【0010】
更に、個人情報保護方法を実現する情報管理装置であって、クライアントからサーバへの個人情報の提供内容を定義したクライアント由来のプレファレンス情報と、当該プレファレンス情報に対応する前記個人情報とを、ユーザ毎に登録する手段と、クライアントから情報提供リクエストを受信し、当該情報提供リクエストを該当サーバに転送する手段と、前記情報提供リクエストが、第1の情報管理装置の端末と直接リンクするサーバ宛のものか否かを判定する手段と、直接リンクするサーバ宛のものであったならば、該当サーバより、前記情報提供リクエストに応じた、クライアントから取得するユーザの個人情報の取扱い基準を記述したポリシー情報を受信し、このポリシー情報と、該当クライアントに関して保持するプレファレンス情報とのマッチング処理およびその結果に応じたサーバへの個人情報提供を実行する手段と、直接リンクしないサーバ宛のものであったならば、前記クライアントについての該当サーバからのアクセス認証要求を、当該サーバが直接リンクされた第2の情報管理装置より受け付けて認証処理し、当該認証処理の結果を前記第2の情報管理装置に返信する手段と、前記アクセス認証を受けたクライアントに対する前記サーバからのポリシー情報を、前記第2の情報管理装置より受信し、当該ポリシー情報と該当クライアントに関して保持するプレファレンス情報とのマッチング処理を行う手段と、前記マッチング処理の結果に応じて、提供可能な該当ユーザの個人情報を特定するとともに、この個人情報を該当サーバ宛で前記第2の情報管理装置に提供する手段と、を備えることを特徴とする情報管理装置にかかる。
【0011】
また、個人情報保護方法をコンピュータ上で機能させるためのプログラムであって、クライアントとサーバとを除く第1の情報管理装置が、クライアントからサーバへの個人情報の提供内容を定義したクライアント由来のプレファレンス情報と、当該プレファレンス情報に対応する前記個人情報とを、ユーザ毎に登録するステップと、クライアントから情報提供リクエストを受信し、当該情報提供リクエストを該当サーバに転送するステップと、前記情報提供リクエストが、当該第1の情報管理装置の端末と直接リンクするサーバ宛のものか否かを判定するステップと、直接リンクするサーバ宛のものであったならば、該当サーバより、前記情報提供リクエストに応じた、クライアントから取得するユーザの個人情報の取扱い基準を記述したポリシー情報を受信し、このポリシー情報と、該当クライアントに関して保持するプレファレンス情報とのマッチング処理およびその結果に応じたサーバへの個人情報提供を実行するステップと、直接リンクしないサーバ宛のものであったならば、前記クライアントについての該当サーバからのアクセス認証要求を、当該サーバが直接リンクされた第2の情報管理装置より受け付けて認証処理し、当該認証処理の結果を前記第2の情報管理装置に返信するステップと、前記アクセス認証を受けたクライアントに対する前記サーバからのポリシー情報を、前記第2の情報管理装置より受信し、当該ポリシー情報と該当クライアントに関して保持するプレファレンス情報とのマッチング処理を行うステップと、前記マッチング処理の結果に応じて、提供可能な該当ユーザの個人情報を特定するとともに、この個人情報を該当サーバ宛で前記第2の情報管理装置に提供するステップと、を含むことを特徴とする個人情報保護プログラムにかかる。
【0012】
更に、個人情報保護プログラムを記録したコンピュータ読み取り可能な記録媒体にかかる。
【0013】
【発明の実施の形態】
以下、添付の図面を参照しつつ、本発明の実施の形態について詳細に説明する。図1で示したP3Pの一般的な処理流れの中で、本実施形態においてなされるべきは、図2に示すようなマッチング時のポリシー情報とプレファレンス情報との保存処理である。以降、全てこの保存処理までの前手順は終了しているものとして説明を行う。
【0014】
図3はプレファレンス情報およびポリシー情報の合意を第三者機関に保管する実施例を示す説明図であり、図4は図3の実施例における保管手順を示す流れ図、図5は図3の実施例における裁判時の処理手順を示す流れ図である。ポリシー情報やプレファレンス情報を授受するのは、前出のユーザクライアント10と情報提供サーバ20である。ユーザクライアント10としては、一般のパーソナルコンピュータ等が想定できる。また、情報提供サーバ20には、WWWサーバが想定できる。そして両者の間はインターネットなどのTCP/IPネットワークで結ばれ、HTTPリクエスト/レスポンスを交わす通信環境となっている。
【0015】
そして、両者の間に立って中立な立場にある電子公証役場が備えるのが公証役場端末30である。この電子公証役場はユーザ側、情報提供サーバ運営者側のそのどちらにも中立である。ここでの端末30はサーバ機能を備えて、ユーザクライアント10から保管依頼のあったマッチング時のプレファレンス情報とポリシー情報とをセットにして保管する一方、裁判所などの求めに応じて適宜なタイミングでその保管してある情報を裁判所等の端末に送信する。
【0016】
ユーザクライアント10および情報提供サーバ20でそれぞれ実行される処理の流れとしては、以下のようになる。ユーザクライアント10から情報提供サーバ20に対してHTTPリクエストが送信されると、これを受信した情報提供サーバ20は、ポリシー情報を該当ユーザクライアント10に対して返信する。このポリシー情報を受け取ったユーザクライアント10では、自身が格納しているプレファレンス情報と、情報提供サーバ20から受け取ったポリシー情報とをマッチングさせる。マッチングした範囲に応じてユーザの個人情報300の中から適宜な個人情報301を抽出して情報提供サーバ20に送信する。この時の待機画面が図14の画面50である。無表示であるが、この時点で情報提供サーバ20での情報提供を待っている。
【0017】
情報提供サーバ20ではこれを受けて、ユーザクライアント10の望む情報を適宜な記憶資源から抽出してユーザクライアント10に返信する。この提供情報は、例えばユーザの氏名が表示され、予めユーザ毎に指定された好みに応じてカスタマイズしたマイページの画面情報60(図14参照)であったりする。続いてユーザクライアント10では、前記マッチングしたポリシー情報とプレファレンス情報とに、ハッシュ関数を演算させてハッシュ値を生成する。それぞれのハッシュ値はセットにしてユーザクライアント10の保有する秘密鍵で署名する。つまり、ある時点でマッチングしたプレファレンス情報とポリシー情報とは暗号化され、電子署名450が施されるわけである。
【0018】
署名付きハッシュデータは400は、前記電子公証役場端末30に送信される。電子公証役場端末30では、受け取ったハッシュデータ400を、例えばユーザクライアント10および情報提供サーバ20に関係付けして登録日時と共にデータベース登録する。以後、時節到来まで保管される。
【0019】
時節とは、課題でも述べたように、例えば前記情報提供サーバ20が前記マッチング後にポリシー情報を変更し、ユーザ側が不利益を被ったと認識した状況が考えられる。そこで、不利益を被ったユーザ側が司法の場に訴えたとする。図5は図3の実施例における裁判時の処理手順を示す流れ図である。この場合、裁判所に対して提出する証拠としてプレファレンス情報100およびポリシー情報200が扱われる。各者の立場で切り分けて考えると、ユーザは、ユーザクライアント10に保持しているプレファレンス情報100を裁判所に提出し、情報提供サーバの運営者は同サーバ20に保持している現時点でのポリシー情報201を提出し、他方、電子公証役場は先に保管してある署名付きハッシュデータ400を提出する。
【0020】
裁判所の端末ではこれを受信し、まずユーザクライアント10から取得したプレファレンス情報100はハッシュ処理し、また、情報提供サーバ20から取得した現時点でのポリシー情報201もハッシュ処理する。両ハッシュ値が揃ったならば、電子公証役場端末30由来の署名付きハッシュデータ400とこれらの照合処理を行う。ハッシュデータが異なっていれば前記マッチング後に改竄が行われている証拠となるのである。裁判所ではこれを利用して手続を進めることができる。
【0021】
図6はプレファレンス情報およびポリシー情報の合意を第三者機関によらず保管する実施例を示す説明図であり、図7は図6の実施例における保管手順を示す流れ図、図8は図6の実施例における裁判時の処理手順を示す流れ図である。上記のように、電子公証役場等の第三者機関を利用せずに処理を行う場合も考えられる。この場合、マッチング後のプレファレンス情報100およびポリシー情報200は、ユーザクライアント10でハッシュ処理が行われて電子署名された後、ユーザクライアント10自身で保管する一方で、この署名付きハッシュデータ400を情報提供サーバ20にも転送することとなる。前記の裁判時においては、ユーザクライアント10と情報提供サーバ20の少なくともいずれかが署名付きハッシュデータ400を裁判所に送信する。
【0022】
また、ユーザクライアント10からプレファレンス情報100、情報提供サーバ20から現時点でのポリシー情報201をそれぞれ取得した裁判所では、これらのハッシュ値と前記提出された署名付きハッシュデータ400とを照合するのである。これにより、ハッシュデータが異なっていれば前記マッチング後に改竄が行われている証拠となるのである。裁判所ではこれを利用して手続を進めることができる。なお、ユーザクライアント10から情報提供サーバ20へHTTPリクエストが送信され、マッチングが行われる前までの処理については図4および図5に即して既に説明したため説明は省略する。
【0023】
図9は個人情報管理機関を設置してP3Pを適用した実施例を示す説明図である。ここでいう個人情報管理機関(図中では個人情報管理センタ。以下、管理センタとする)とは、ユーザの個人情報300やプレファレンス情報100をユーザ毎に予め登録して管理するとともに、ユーザクライアント10から情報提供サーバ20への情報提供リクエストに合わせて、該当サーバから得たポリシー情報200と、該当ユーザクライアント10に関して保持するプレファレンス情報100とのマッチング処理およびその結果に応じた情報提供サーバ20への個人情報提供を実行するコンピュータである。
【0024】
この管理センタ40のセキュリティ性を高めることで、個人ベースのパーソナルコンピュータ等に個人情報を保管しておくよりも、セキュリティ管理を一元化し管理の効率化および高セキュリティ性を確立しやすくなる。また、ユーザクライアント10で行う処理は、情報提供サーバ20に対するHTTPリクエストとそれに応じたレスポンスの受信だけとなり、負荷低減を図れる。勿論、社会的信用或る企業や公共団体等がこの管理センタ40を運営して、ユーザの登録資格を吟味すれば、登録・管理する個人情報にも信用性が高まる。
【0025】
例えば、マンションを管理する管理組合やマンション管理企業、不動産会社等が、この管理センタ40を運営して、マンション居住者にサービスを提供することが出来る。LANで結ばれた各居住者からこの管理センタ40(例:マンション毎に設けられる専用サーバ)に預けられた個人情報は、各自毎に登録されたプレファレンス情報に応じて、前記LANが接続するインターネットの先の情報提供サーバ20に適宜提供される。いわゆるITマンションが想定できるであろう。
【0026】
図10はプレファレンス情報およびポリシー情報の合意を個人情報管理機関に保管する実施例を示す説明図、図11は図10の実施例におけるプレファレンス情報および個人情報の登録手順を示す流れ図、図12は図10の実施例における保管手順を示す流れ図、図13は図10の実施例における裁判時の処理手順を示す流れ図である。上述したように、ユーザクライアント10からのHTTPリクエストを情報提供サーバ20に仲介し、その際に発生したプレファレンス情報100とポリシー情報200とのマッチング処理は、この管理センタ40において実行される。このため、図11に示すように、ユーザはユーザクライアント10を介してプレファレンス情報100と個人情報300とを管理センタ40に送信して登録しておく必要がある。
【0027】
プレファレンス情報100とポリシー情報200とのマッチング処理を実行した管理センタ40は、そのマッチング結果に応じて抽出した個人情報301を、情報提供サーバ20に送信する。一方で、これ応じて当該情報提供サーバ20から返信されてきた提供情報をユーザクライアント10に転送する。
【0028】
続いて、マッチングしたプレファレンス情報100とポリシー情報200とは、前記同様それぞれハッシュ処理してセットとなし、これに電子署名450を施す。こうして生成した署名付きハッシュデータ400は自身の適宜な記憶資源において、ユーザ(或いはユーザクライアント)毎にデータベース化して格納する。
【0029】
例えば上記してきたように、情報提供サーバ20が前記マッチング後にポリシー情報を変更し、ユーザ側が不利益を被ったと認識し、裁判が生じた場合、裁判所に対して提出する証拠として管理センタ40が保管していた署名付きハッシュデータ400が上げられる。また一方で、該当ユーザのプレファレンス情報100もこの管理センタ40から裁判所に提出される。他方、情報提供サーバ20からは同サーバ20に保持している現時点でのポリシー情報201を提出する。
【0030】
裁判所の端末ではこれらを受信し、管理センタ40から取得したプレファレンス情報100と、情報提供サーバ20から取得した現時点でのポリシー情報201とをハッシュ処理する。両ハッシュ値が揃ったならば、管理センタ40由来の署名付きハッシュデータ400とこれらの照合処理を行う。ハッシュデータが異なっていれば前記マッチング後に改竄が行われている証拠となるのである。裁判所ではこれを利用して手続を進めることができる。
【0031】
なお、ユーザクライアント10は、ラップトップタイプを含む一般のパーソナルコンピュータだけでなく、例えばネットワーク接続可能な携帯電話機、PDA、ゲーム機、ファックス機、デジタルTVなどネットワーク接続可能ないずれのコンピュータチップを備える機器でもよい。
【0032】
加えて、ユーザクライアント10と情報提供サーバ20、また電子公証役場端末30や個人情報管理センタ40らをそれぞれつなぐネットワークに関して本実施形態ではインターネットを想定するが、これに限らずWAN(Wide Area Network)、LAN、無線ネットワークなど様々なネットワークを採用することも出来る。また、VPNなど仮想専用ネットワーク技術を用いれば、インターネットにおいてセキュリティ性を高めた通信が確立され好適である。
【0033】
また他の実施形態として以下に示すものがある。図15はシングルサインオンに対応した個人情報管理方法を示す概要図である。例えばマルチドメイン環境下などにおいて個人情報の管理を行うとすれば、複数存在する前記個人情報管理センタ毎にユーザのプレファンレス100や個人情報300を登録する必要があった。しかしながら、本実施形態における手法を採用することで、シングルサインオンの処理が可能となり、ユーザにかかる手間が軽減されるることとなる。
【0034】
つまり、ユーザクライアント10から一カ所の個人情報管理センタ40(第1の情報管理装置)にのみユーザのプレファレンス100および個人情報300を登録しておく。そして、当該個人情報管理センタ40を例えばポータルサイトとすれば、このポータルサイトを入り口として直接リンクする情報提供サーバ20らへの情報提供リクエスト(ユーザクライアント10由来)については、上記実施形態と同様の処理がなされる。
【0035】
前記個人情報管理センタ40は、該当サーバ20より、この情報提供リクエストに応じた、ユーザの個人情報の取扱い基準を記述したポリシー情報200を受信し、このポリシー情報200と、該当ユーザクライアント10に関して保持するプレファレンス情報100とのマッチング処理およびその結果に応じた情報提供サーバ20への個人情報提供を実行するのである。
【0036】
一方、前記情報提供リクエストが、前記個人情報管理センタ40をポータルサイトとせず直接リンクしない情報提供サーバ25に宛てたものであったならば、前記ユーザクライアント10についての該当情報提供サーバ25からのアクセス認証要求を、当該サーバが直接リンクされた個人情報管理センタ45(第2の情報管理装置)より受け付ける。そしてこれの認証処理を実行し、当該認証処理の結果を前記個人情報管理センタ45に返信する。
【0037】
そして、前記アクセス認証を受けたユーザクライアント10に対する前記情報提供サーバ25からのポリシー情報200を、前記個人情報管理センタ45より受信し、当該ポリシー情報200と該当ユーザクライアント10に関して保持するプレファレンス100とのマッチング処理を行う。
【0038】
前記マッチング処理の結果に応じて、提供可能な該当ユーザの個人情報300を特定するとともに、この個人情報300を該当情報提供サーバ25宛で前記個人情報管理センタ45に提供する。
【0039】
なお、前記個人情報300を該当情報提供サーバ25宛で前記個人情報管理センタ45に提供するに際し、前記個人情報300を該当情報提供サーバ25の公開鍵で暗号化する。これにより、個人情報管理センタ45においては、この個人情報300を読み取ることは出来ない。勿論、情報提供サーバ45側では、自身の秘密鍵にて前記個人情報300を復号化し利用することとなる。
【0040】
図16は病院ポータルサイト(情報管理装置)を例とした実施形態を示すネットワーク構成図である。上記のような手法を、例えば医師がユーザとなって病院、薬局といったポータルサイトの情報提供サービスを受ける状況に適用したとする。この場合、前記医師についてのプレファレンス100および個人情報300は、個人情報管理センタ40としての病院ポータルサイトに登録されている。
【0041】
そしてこの医師はユーザクライアント10を通じて前記病院ポータルサイト40にアクセスし、情報提供サーバ20(病院Aの)などからカルテ情報等を閲覧することができる。他方、情報提供サーバ45としての薬局ポータルサイトを通じて前記アクセス認証を受けることで情報提供サーバ25(薬局Dの)から薬の在庫確認や処方情報などを得ることも可能となる。
【0042】
図17は病院ポータルサイト(情報管理装置)を基点としたデータフローを示す図である。以下、上記した医師のユーザクライアント10と病院ポータルサイト20、薬局ポータルサイト25とから構成されるネットワークにおける本実施形態の処理手順について、図18および図19のフロー図も参照しつつ説明を行う。なお、図19において、病院ポータルサイト20および薬局ポータルサイト25を、“ファーストメディエータ”と称している。また、情報提供サーバ20、25を“プロバイダ”と称している。
【0043】
まず、ユーザクライアント10から病院ポータルサイト20に対し、ログイン処理がなされる。病院ポータルサイト20ではこれを受けて認証処理を実行し、当該ログインに伴う情報提供リクエストも受診する。ここで受信した情報提供リクエストは、該当する情報提供サーバに転送する。
【0044】
但し、前記情報提供リクエストについては、当該病院ポータルサイト20と直接リンクする情報提供サーバ20宛のものか否かを判定する。この判定により、直接リンクするサーバ20宛のものであったならば、該当サーバ20より、前記情報提供リクエストに応じた、ポリシー情報200を受信し、このポリシー情報200と、該当ユーザクライアント10に関して保持するプレファレンス100とのマッチング処理およびその結果に応じたサーバ20への個人情報提供を実行する。
【0045】
前記情報提供リクエストが例えばカルテ閲覧といったものであり、前記個人情報が前記医師の医師免許のIDや氏名等である場合、前記情報提供サーバ20より提供される情報は、カルテ情報となる。
【0046】
一方、前記情報提供リクエストが、病院ポータルサイト20に直接リンクしないサーバ25宛(薬局D)のものであったならば、前記ユーザクライアント10についての該当サーバ25(薬局D)からのアクセス認証要求(図18:アクセス権限問合わせ)を、薬局ポータルサイト45より受け付けて認証処理する。当該認証処理の結果(図18:問合わせ結果)は前記薬局ポータルサイト45に返信する。
【0047】
前記アクセス認証が問題なければ、当該認証を受けたユーザクライアント10に対する前記サーバ25からのポリシー情報200を、前記薬局ポータルサイト45より受信する。当該ポリシー情報200は該当ユーザクライアント10に関して保持するプレファレンス100とのマッチング処理に供される。
【0048】
病院ポータルサイト20は、このマッチング処理の結果に応じて、提供可能な該当ユーザの個人情報300を特定するとともに、この個人情報300を該当サーバ25宛で前記薬局ポータルサイト45に提供する。
【0049】
なお、この時、前記個人情報300は該当サーバ25(薬局D)の公開鍵で暗号化して薬局ポータルサイト45に提供するものとする。この個人情報300の提供を受けた薬局ポータルサイト45は、これをサーバ25(薬局D)に転送する。サーバ25ではこれを自身の秘密鍵で複合化して利用し、ダイナミックな情報を前記ユーザクライアント10に対して提供する。
【0050】
本発明に係る実施の形態としては、前記目的を達成すべく、次の通りとしてもよい。前記個人情報保護方法において、前記記憶手段をクライアント、サーバ、及び第三者が運営する端末のいずれかのコンピュータに設け、前記所定タイミングが到来したならば、前記いずれかのコンピュータにおいて前記照合処理機関の端末への送信処理を行うか、又は前記照合処理を実行してその照合結果を出力装置に出力することとする。
【0051】
また、前記個人情報保護方法において、前記第三者の運営する端末が、ユーザの個人情報およびプレファレンス情報をユーザ毎に予め登録して管理するとともに、クライアントからサーバへの情報提供リクエストに合わせて、該当サーバから得たポリシー情報と、該当クライアントに関して保持するプレファレンス情報とのマッチング処理およびその結果に応じたサーバへの個人情報提供を実行する個人情報管理機能を備えて、前記照合処理機関の端末への送信処理又は当該照合処理を実行してその照合結果を出力装置に出力するステップを実行することとする。
【0052】
更に、前記個人情報保護方法において、前記第三者の運営する端末が、前記マッチング処理の結果に応じたサーバへの個人情報提供を実行するとともに、提供した個人情報に応じてサーバから得た提供情報を該当クライアントに転送することとする。
【0053】
また、個人情報保護方法を実現するコンピュータシステムであって、クライアントから取得するユーザの個人情報の取扱い基準を記述したサーバ由来のポリシー情報と、クライアントからサーバへの個人情報の提供内容をポリシー情報に応じて定義したクライアント由来のプレファレンス情報と、を互いに関係付けして適宜な記憶手段に登録する手段と、所定タイミングにおいてクライアントから取得したプレファレンス情報およびサーバから取得したポリシー情報と、該当クライアントおよびサーバについて前記記憶手段で参照した前記登録済みのプレファレンス情報およびポリシー情報とをその照合処理を行う機関の端末に送信するか、又は当該照合処理を実行してその照合結果を出力装置に出力する手段と、を含むことを特徴とする個人情報保護システムをなすこととする。
【0054】
更に、前記個人情報保護方法をコンピュータ上で機能させるためのプログラムであって、クライアントから取得するユーザの個人情報の取扱い基準を記述したサーバ由来のポリシー情報と、クライアントからサーバへの個人情報の提供内容をポリシー情報に応じて定義したクライアント由来のプレファレンス情報と、を互いに関係付けして適宜な記憶手段に登録するステップと、所定タイミングにおいてクライアントから取得したプレファレンス情報およびサーバから取得したポリシー情報と、該当クライアントおよびサーバについて前記記憶手段で参照した前記登録済みのプレファレンス情報およびポリシー情報とをその照合処理を行う機関の端末に送信するか、又は当該照合処理を実行してその照合結果を出力装置に出力するステップと、を含むことを特徴とする個人情報保護プログラムをなすこととする。
【0055】
また、前記個人情報保護プログラムを記録したコンピュータ読み取り可能な記録媒体をなすこととする。
【0056】
【発明の効果】
本発明によれば、P3Pにおけるポリシーやプレファレンス等の情報を適宜なタイミングで確実に保管可能な個人情報保護方法を提供可能となる。また、マルチドメイン環境にも対応し、シングルサインオンによるユーザ側の手間軽減につながる。
【図面の簡単な説明】
【図1】P3Pの一般的な処理の流れを示す説明図である。
【図2】P3Pにおいてポリシー情報とプレファレンス情報とのマッチングを行うまでの処理手順を示す説明図である。
【図3】プレファレンス情報およびポリシー情報の合意を第三者機関に保管する実施例を示す説明図である。
【図4】図3の実施例における保管手順を示す流れ図である。
【図5】図3の実施例における裁判時の処理手順を示す流れ図である。
【図6】プレファレンス情報およびポリシー情報の合意を第三者機関によらず保管する実施例を示す説明図である。
【図7】図6の実施例における保管手順を示す流れ図である。
【図8】図6の実施例における裁判時の処理手順を示す流れ図である。
【図9】個人情報管理機関を設置してP3Pを適用した実施例を示す説明図である。
【図10】プレファレンス情報およびポリシー情報の合意を個人情報管理機関に保管する実施例を示す説明図である。
【図11】図10の実施例におけるプレファレンス情報および個人情報の登録手順を示す流れ図である。
【図12】図10の実施例における保管手順を示す流れ図である。
【図13】図10の実施例における裁判時の処理手順を示す流れ図である。
【図14】ユーザがあるWebサイトを訪れて個人情報の提供を行う画面遷移を示すイメージ図である。
【図15】シングルサインオンに対応した個人情報管理方法を示す概要図である。
【図16】病院ポータルサイト(情報管理装置)を例とした実施形態を示すネットワーク構成図である。
【図17】病院ポータルサイト(情報管理装置)を基点としたデータフローを示す図である。
【図18】個人情報を提供されるサーバ側における処理のフロー図である。
【図19】ポータルサイト側における処理のフロー図である。
【符号の説明】
10 クライアント、ユーザクライアント
20 サーバ、情報提供サーバ
30 電子公証役場端末(第三者機関の端末)
40 個人情報管理機関端末(第三者の端末)
100 プレファレンス情報
200 ポリシー情報
300 個人情報

Claims (12)

  1. クライアントから取得するユーザの個人情報の取扱い基準を記述したサーバ由来のポリシー情報と、クライアントからサーバへの個人情報の提供内容をポリシー情報に応じて定義したクライアント由来のプレファレンス情報と、を互いに関係付けして適宜な記憶手段に登録するステップと、
    所定タイミングにおいてクライアントから取得したプレファレンス情報およびサーバから取得したポリシー情報と、該当クライアントおよびサーバについて前記記憶手段から抽出した前記登録済みのプレファレンス情報およびポリシー情報とをその照合処理を行う機関の端末に送信するか、又は当該照合処理を実行してその照合結果を出力装置に出力するステップと、
    を含むことを特徴とする個人情報保護方法。
  2. 前記記憶手段をクライアント、サーバ、及び第三者が運営する端末のいずれかのコンピュータに設け、前記所定タイミングが到来したならば、前記いずれかのコンピュータにおいて前記照合処理機関の端末への送信処理を行うか、又は前記照合処理を実行してその照合結果を出力装置に出力することを特徴とする請求項1に記載の個人情報保護方法。
  3. 前記第三者の運営する端末が、ユーザの個人情報およびプレファレンス情報をユーザ毎に予め登録して管理するとともに、クライアントから発信された情報提供リクエストをサーバに転送し、この情報提供リクエストに合わせて、該当サーバから得たポリシー情報と、該当クライアントに関して保持するプレファレンス情報とのマッチング処理およびその結果に応じたサーバへの個人情報提供を実行する個人情報管理機能を備えて、前記照合処理機関の端末への送信処理又は当該照合処理を実行してその照合結果を出力装置に出力する処理を実行することを特徴とする請求項2に記載の個人情報保護方法。
  4. 前記第三者の運営する端末が、前記マッチング処理の結果に応じたサーバへの個人情報提供を実行するとともに、提供した個人情報に応じてサーバから得た提供情報を該当クライアントに転送することを特徴とする請求項3に記載の個人情報保護方法。
  5. 個人情報保護方法を実現するコンピュータシステムであって、
    クライアントから取得するユーザの個人情報の取扱い基準を記述したサーバ由来のポリシー情報と、クライアントからサーバへの個人情報の提供内容をポリシー情報に応じて定義したクライアント由来のプレファレンス情報と、を互いに関係付けして適宜な記憶手段に登録する手段と、
    所定タイミングにおいてクライアントから取得したプレファレンス情報およびサーバから取得したポリシー情報と、該当クライアントおよびサーバについて前記記憶手段で参照した前記登録済みのプレファレンス情報およびポリシー情報とをその照合処理を行う機関の端末に送信するか、又は当該照合処理を実行してその照合結果を出力装置に出力する手段と、
    を含むことを特徴とする個人情報保護システム。
  6. 請求項1〜4のいずれかに記載の個人情報保護方法をコンピュータ上で機能させるためのプログラムであって、
    クライアントから取得するユーザの個人情報の取扱い基準を記述したサーバ由来のポリシー情報と、クライアントからサーバへの個人情報の提供内容をポリシー情報に応じて定義したクライアント由来のプレファレンス情報と、を互いに関係付けして適宜な記憶手段に登録するステップと、
    所定タイミングにおいてクライアントから取得したプレファレンス情報およびサーバから取得したポリシー情報と、該当クライアントおよびサーバについて前記記憶手段で参照した前記登録済みのプレファレンス情報およびポリシー情報とをその照合処理を行う機関の端末に送信するか、又は当該照合処理を実行してその照合結果を出力装置に出力するステップと、
    を含むことを特徴とする個人情報保護プログラム。
  7. 請求項6に記載の個人情報保護プログラムを記録したコンピュータ読み取り可能な記録媒体。
  8. クライアントとサーバとを除く第1の情報管理装置が、クライアントからサーバへの個人情報の提供内容を定義したクライアント由来のプレファレンス情報と、当該プレファレンス情報に対応する前記個人情報とを、ユーザ毎に登録するステップと、
    クライアントから情報提供リクエストを受信し、当該情報提供リクエストを該当サーバに転送するステップと、
    前記情報提供リクエストが、当該第1の情報管理装置の端末と直接リンクするサーバ宛のものか否かを判定するステップと、
    直接リンクするサーバ宛のものであったならば、該当サーバより、前記情報提供リクエストに応じた、クライアントから取得するユーザの個人情報の取扱い基準を記述したポリシー情報を受信し、このポリシー情報と、該当クライアントに関して保持するプレファレンス情報とのマッチング処理およびその結果に応じたサーバへの個人情報提供を実行するステップと、
    直接リンクしないサーバ宛のものであったならば、前記クライアントについての該当サーバからのアクセス認証要求を、当該サーバが直接リンクされた第2の情報管理装置より受け付けて認証処理し、当該認証処理の結果を前記第2の情報管理装置に返信するステップと、
    前記アクセス認証を受けたクライアントに対する前記サーバからのポリシー情報を、前記第2の情報管理装置より受信し、当該ポリシー情報と該当クライアントに関して保持するプレファレンス情報とのマッチング処理を行うステップと、
    前記マッチング処理の結果に応じて、提供可能な該当ユーザの個人情報を特定するとともに、この個人情報を該当サーバ宛で前記第2の情報管理装置に提供するステップと、
    を含むことを特徴とする個人情報保護方法。
  9. 前記個人情報を該当サーバ宛で前記第2の情報管理装置に提供するに際し、前記個人情報を該当サーバの公開鍵で暗号化するステップを含むことを特徴とする請求項8に記載の個人情報保護方法。
  10. 個人情報保護方法を実現する情報管理装置であって、
    クライアントからサーバへの個人情報の提供内容を定義したクライアント由来のプレファレンス情報と、当該プレファレンス情報に対応する前記個人情報とを、ユーザ毎に登録する手段と、
    クライアントから情報提供リクエストを受信し、当該情報提供リクエストを該当サーバに転送する手段と、
    前記情報提供リクエストが、第1の情報管理装置の端末と直接リンクするサーバ宛のものか否かを判定する手段と、
    直接リンクするサーバ宛のものであったならば、該当サーバより、前記情報提供リクエストに応じた、クライアントから取得するユーザの個人情報の取扱い基準を記述したポリシー情報を受信し、このポリシー情報と、該当クライアントに関して保持するプレファレンス情報とのマッチング処理およびその結果に応じたサーバへの個人情報提供を実行する手段と、
    直接リンクしないサーバ宛のものであったならば、前記クライアントについての該当サーバからのアクセス認証要求を、当該サーバが直接リンクされた第2の情報管理装置より受け付けて認証処理し、当該認証処理の結果を前記第2の情報管理装置に返信する手段と、
    前記アクセス認証を受けたクライアントに対する前記サーバからのポリシー情報を、前記第2の情報管理装置より受信し、当該ポリシー情報と該当クライアントに関して保持するプレファレンス情報とのマッチング処理を行う手段と、
    前記マッチング処理の結果に応じて、提供可能な該当ユーザの個人情報を特定するとともに、この個人情報を該当サーバ宛で前記第2の情報管理装置に提供する手段と、
    を備えることを特徴とする情報管理装置。
  11. 個人情報保護方法をコンピュータ上で機能させるためのプログラムであって、
    クライアントとサーバとを除く第1の情報管理装置が、クライアントからサーバへの個人情報の提供内容を定義したクライアント由来のプレファレンス情報と、当該プレファレンス情報に対応する前記個人情報とを、ユーザ毎に登録するステップと、
    クライアントから情報提供リクエストを受信し、当該情報提供リクエストを該当サーバに転送するステップと、
    前記情報提供リクエストが、当該第1の情報管理装置の端末と直接リンクするサーバ宛のものか否かを判定するステップと、
    直接リンクするサーバ宛のものであったならば、該当サーバより、前記情報提供リクエストに応じた、クライアントから取得するユーザの個人情報の取扱い基準を記述したポリシー情報を受信し、このポリシー情報と、該当クライアントに関して保持するプレファレンス情報とのマッチング処理およびその結果に応じたサーバへの個人情報提供を実行するステップと、
    直接リンクしないサーバ宛のものであったならば、前記クライアントについての該当サーバからのアクセス認証要求を、当該サーバが直接リンクされた第2の情報管理装置より受け付けて認証処理し、当該認証処理の結果を前記第2の情報管理装置に返信するステップと、
    前記アクセス認証を受けたクライアントに対する前記サーバからのポリシー情報を、前記第2の情報管理装置より受信し、当該ポリシー情報と該当クライアントに関して保持するプレファレンス情報とのマッチング処理を行うステップと、
    前記マッチング処理の結果に応じて、提供可能な該当ユーザの個人情報を特定するとともに、この個人情報を該当サーバ宛で前記第2の情報管理装置に提供するステップと、
    を含むことを特徴とする個人情報保護プログラム。
  12. 請求項11に記載の個人情報保護プログラムを記録したコンピュータ読み取り可能な記録媒体。
JP2003110309A 2002-04-15 2003-04-15 個人情報保護方法およびシステム、ならびにプログラム、記録媒体 Pending JP2004005583A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003110309A JP2004005583A (ja) 2002-04-15 2003-04-15 個人情報保護方法およびシステム、ならびにプログラム、記録媒体

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2002112088 2002-04-15
JP2003110309A JP2004005583A (ja) 2002-04-15 2003-04-15 個人情報保護方法およびシステム、ならびにプログラム、記録媒体

Publications (1)

Publication Number Publication Date
JP2004005583A true JP2004005583A (ja) 2004-01-08

Family

ID=30447013

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003110309A Pending JP2004005583A (ja) 2002-04-15 2003-04-15 個人情報保護方法およびシステム、ならびにプログラム、記録媒体

Country Status (1)

Country Link
JP (1) JP2004005583A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006277401A (ja) * 2005-03-29 2006-10-12 Nec Corp 個人情報流通管理システム及び方法並びにプログラム
WO2007148562A1 (ja) 2006-06-22 2007-12-27 Nec Corporation 共有管理システム、共有管理方法およびプログラム
JP2011141719A (ja) * 2010-01-07 2011-07-21 Nippon Telegr & Teleph Corp <Ntt> アクセス制御装置、アクセス制御方法、及びそのプログラム
US8245034B2 (en) 2005-06-10 2012-08-14 Nec Corporation Personal information distribution management system, personal information distribution management method, personal information service program, and personal information utilization program

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006277401A (ja) * 2005-03-29 2006-10-12 Nec Corp 個人情報流通管理システム及び方法並びにプログラム
US8245034B2 (en) 2005-06-10 2012-08-14 Nec Corporation Personal information distribution management system, personal information distribution management method, personal information service program, and personal information utilization program
US8255970B2 (en) 2005-06-10 2012-08-28 Nec Corporation Personal information distribution management system, personal information distribution management method, personal information service program, and personal information utilization program
WO2007148562A1 (ja) 2006-06-22 2007-12-27 Nec Corporation 共有管理システム、共有管理方法およびプログラム
US8332908B2 (en) 2006-06-22 2012-12-11 Nec Corporation Sharing management system, sharing management method and program
JP2011141719A (ja) * 2010-01-07 2011-07-21 Nippon Telegr & Teleph Corp <Ntt> アクセス制御装置、アクセス制御方法、及びそのプログラム

Similar Documents

Publication Publication Date Title
US7444666B2 (en) Multi-domain authorization and authentication
CN102597981B (zh) 模块化装置认证框架
EP1645971B1 (en) Database access control method, database access controller, agent processing server, database access control program, and medium recording the program
JP4757430B2 (ja) インターネットサイトに対するアクセス制御方法
JP4301482B2 (ja) サーバ、情報処理装置及びそのアクセス制御システム並びにその方法
US6985953B1 (en) System and apparatus for storage and transfer of secure data on web
US7774612B1 (en) Method and system for single signon for multiple remote sites of a computer network
EP1766852B1 (en) Device for user identity management
US11791990B2 (en) Apparatus and method for managing personal information
JP2005538434A (ja) 連携型(フェデレーテッド)環境におけるユーザ判定による認証のための方法およびシステム
KR101387600B1 (ko) 전자 파일 전달 방법
US20030051172A1 (en) Method and system for protecting digital objects distributed over a network
CN104718526A (zh) 安全移动框架
JP2002523973A (ja) コンピュータ・ネットワークにおけるサービスへの安全なアクセスを可能にするシステムおよび方法
CN108123930A (zh) 访问计算机网络中的主机
JP2016063417A (ja) Vpnアクセス制御システム、その作動方法及びプログラム、並びにvpnルータ及びサーバ
TWI242968B (en) System for establishing and regulating connectivity from a user&#39;s computer
JP2011070513A (ja) アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム
NO20120022A1 (no) System og fremgangsmate for kontroll av tilgang til opphavsrettsbeskyttede data
JP4932154B2 (ja) アイデンティティ管理ネットワークにおいてユーザーの認証をメンバーサイトに与える方法及びシステム、アイデンティティ管理ネットワークに属するホームサイトでユーザーの認証を行う方法、コンピュータ読み取り可能な媒体、ならびに、階層的分散アイデンティティ管理のためのシステム
JP2009093580A (ja) ユーザ認証システム
JP2004005583A (ja) 個人情報保護方法およびシステム、ならびにプログラム、記録媒体
CA2468351C (en) Distributed hierarchical identity management system authentication mechanisms
JP2008134871A (ja) 医療情報提供システム及び提供サーバ
JP2007323235A (ja) 属性利用承認システム