JP2004171343A - 個人情報の分散開示制御方法及びシステム - Google Patents
個人情報の分散開示制御方法及びシステム Download PDFInfo
- Publication number
- JP2004171343A JP2004171343A JP2002337674A JP2002337674A JP2004171343A JP 2004171343 A JP2004171343 A JP 2004171343A JP 2002337674 A JP2002337674 A JP 2002337674A JP 2002337674 A JP2002337674 A JP 2002337674A JP 2004171343 A JP2004171343 A JP 2004171343A
- Authority
- JP
- Japan
- Prior art keywords
- information
- disclosure
- terminal
- user
- requesting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title claims abstract description 17
- 230000001939 inductive effect Effects 0.000 claims abstract description 3
- 230000005540 biological transmission Effects 0.000 claims description 14
- 230000001419 dependent effect Effects 0.000 description 9
- 230000036772 blood pressure Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 8
- 238000007726 management method Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000036651 mood Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
【課題】個人情報の分散ポリシ及び開示ポリシを動的に制御し、開示可能な範囲で個人情報を開示するように誘引するような個人情報の分散開示制御方法及びシステムを提供する。
【解決手段】利用者側端末は、分散ポリシ情報及び開示ポリシ情報を対応付けたテーブル情報を有し、分散ポリシに基づいて情報要素及び開示ポリシ情報を分散記憶し、情報開示請求側端末が、帰属情報と情報要素名とからなる開示要求メッセージを、利用者側端末又は情報開示サーバへ送信し、利用者側端末又は情報開示サーバが、開示要求された全ての情報要素について、該情報要素に対応する開示ポリシと、情報開示請求側の帰属情報とを比較し、個人情報の情報要素の開示の可否を決定し、情報要素の開示ができない場合、開示拒否メッセージを情報開示請求側端末へ送信する。
【選択図】 図6
【解決手段】利用者側端末は、分散ポリシ情報及び開示ポリシ情報を対応付けたテーブル情報を有し、分散ポリシに基づいて情報要素及び開示ポリシ情報を分散記憶し、情報開示請求側端末が、帰属情報と情報要素名とからなる開示要求メッセージを、利用者側端末又は情報開示サーバへ送信し、利用者側端末又は情報開示サーバが、開示要求された全ての情報要素について、該情報要素に対応する開示ポリシと、情報開示請求側の帰属情報とを比較し、個人情報の情報要素の開示の可否を決定し、情報要素の開示ができない場合、開示拒否メッセージを情報開示請求側端末へ送信する。
【選択図】 図6
Description
【0001】
【発明の属する技術分野】
本発明は、個人情報の分散開示制御方法及びシステムに関する。
【0002】
【従来の技術】
従来、利用者の個人情報を第三者に開示する一方で、その対価としてその利用者に有益な情報を配信するシステムがある。このようなシステムは、利用者側端末と、情報開示サーバと、情報開示請求側端末とが、ネットワークを介して接続されたものである。一般的に、利用者側端末から送信された個人情報を情報開示サーバが蓄積し、情報開示請求側端末から、情報開示サーバにアクセスすることによって特定の個人情報を取得することができる。
【0003】
ここで、個人情報の情報要素としては、例えば、趣昧、嗜好、思考、位置情報、気分、行動目的、生体情報、居住地情報等がある。従って、その中にはプライバシ性の高いものも存在するため、無条件に個人情報を外部に開示することには抵抗を感じる場合も多い。一方で、個人情報を外部に開示しないと、利用者が真に求める情報を得ることが困難な場合もある。
【0004】
このような問題を解決するべく、個人情報の分散管理方法が提案されている。その方法は、例えば、利用者が登録しても良いと考える情報要素だけを情報開示サーバで管理し、それ以外の利用者の秘密情報は利用者側端末で管理するものである(例えば特許文献1参照)。
【0005】
【特許文献1】
特開2002−117031号公報
【0006】
【発明が解決しようとする課題】
しかしながら、個人情報の開示に対する条件である開示ポリシは、利用者の置かれた状況に応じて変化することも考えられる。例えば、一般的には公開したくない情報であっても、同じ趣味をもつサークルのメンバに対しては、逆に積極的に公開し、有益な情報を入手しようとする場合が考えられる。また、情報開示請求側端末から提示された条件である開示誘引情報(インセンティブ等)によっては、個人情報を開示してもよいとする場合も考えられる。
【0007】
従来の方法では、情報開示サーバに管理された情報のみが外部に開示され、一旦、利用者側端末に管理された情報は、いかなる場合であっても外部に開示されないため、前述したような要求に応じることができないという問題があった。
【0008】
そこで、本発明は、前述した問題を解決するべく、個人情報の分散ポリシ及び開示ポリシを動的に制御し、開示可能な範囲で個人情報を開示するように誘引するような個人情報の分散開示制御方法及びシステムを提供することを目的とする。
【0009】
【課題を解決するための手段】
本発明の個人情報の分散開示制御方法によれば、
利用者側端末は、個人情報の複数の情報要素に対して、分散ポリシ情報及び開示ポリシ情報を対応付けたテーブル情報を有し、
分散ポリシ情報に基づいて、情報要素及び開示ポリシ情報を、利用者側端末又は情報開示サーバのいずれか一方に分散記憶する第1のステップと、
情報開示請求側端末が、情報開示請求側の帰属情報と、開示を要求する1つ以上の情報要素名とからなる開示要求メッセージを、利用者側端末又は情報開示サーバへ送信する第2のステップと、
利用者側端末又は情報開示サーバが、開示要求された全ての情報要素について、該情報要素に対応する開示ポリシと、情報開示請求側の帰属情報とを比較し、個人情報の情報要素の開示の可否を決定する第3のステップと、
利用者側端末又は情報開示サーバが、開示要求された全ての情報要素の開示ができる場合、全ての情報要素を情報開示請求側端末へ送信し、情報要素の開示ができない場合、開示拒否メッセージを情報開示請求側端末へ送信する第4のステップと、を有することを特徴とする。
【0010】
本発明における分散開示制御方法の他の実施形態によれば、
第4のステップは、利用者側端末又は情報開示サーバが、情報開示請求側端末から開示要求された全ての情報要素については開示できないが、一部の情報要素については開示できる場合、開示可能な情報要素名を情報開示請求側端末へ送信することも好ましい。
【0011】
本発明における分散開示制御方法の他の実施形態によれば、
テーブル情報は、情報要素に対して更に開示可能条件を有し、
情報開示請求側端末が、開示を強く要求する情報要素名と、開示誘引情報とからなる交渉メッセージを、利用者側端末又は情報開示サーバへ送信する第5のステップと、
利用者側端末又は情報開示サーバが、情報要素名に対応する開示可能条件と、開示誘引情報とを比較し、個人情報の開示の可否を決定する第6のステップと、利用者側端末又は情報開示サーバが、情報要素の開示ができる場合、情報要素を情報開示請求側端末へ送信し、情報要素の開示ができない場合、開示拒否メッセージを情報開示請求側端末へ送信する第7のステップと
を有することも好ましい。
【0012】
本発明における分散開示制御方法の他の実施形態によれば、
テーブル情報は、情報要素に対して更に開示可能条件を有し、
利用者側端末又は情報開示サーバが、開示可能条件からなる交渉メッセージを、情報開示請求側端末へ送信する第5のステップと、
情報開示請求側端末が、開示可能条件の受け入れの可否を決定する第6のステップと、
情報開示請求側端末が、開示可能条件の内容の提供ができる場合、了承メッセージを利用者側端末又は情報開示サーバへ送信する第7のステップと
を有することも好ましい。
【0013】
本発明における分散開示制御システムによれば、
利用者側端末は、個人情報の複数の情報要素に対して、分散ポリシ情報及び開示ポリシ情報を対応付けたテーブル情報を有し、
分散ポリシ情報に基づいて、情報要素及び開示ポリシ情報を、利用者側端末又は情報開示サーバのいずれか一方に分散記憶するように構成されており、
情報開示請求側端末は、情報開示請求側の帰属情報と、開示を要求する1つ以上の情報要素名とからなる開示要求メッセージを、利用者側端末又は情報開示サーバへ送信する送信手段を有し、
利用者側端末又は情報開示サーバは、開示要求された全ての情報要素について、該情報要素に対応する開示ポリシと、情報開示請求側の帰属情報とを比較し、個人情報の情報要素の開示の可否を決定する決定手段と、開示要求された全ての情報要素の開示ができる場合、全ての情報要素を情報開示請求側端末へ送信し、情報要素の開示ができない場合、開示拒否メッセージを情報開示請求側端末へ送信する送信手段と、を有することを特徴とする。
【0014】
本発明における分散開示制御システムの他の実施形態によれば、
利用者側端末又は情報開示サーバの送信手段は、情報開示請求側端末から開示要求された全ての情報要素については開示できないが、一部の情報要素については開示できる場合、開示可能な情報要素名を情報開示請求側端末へ送信するように構成されていることも好ましい。
【0015】
本発明における分散開示制御システムの他の実施形態によれば、
テーブル情報は、情報要素に対して更に開示可能条件を有し、
情報開示請求側端末は、開示を強く要求する情報要素名と、開示誘引情報とからなる交渉メッセージを、利用者側端末又は情報開示サーバへ送信する手段を有し、
利用者側端末又は情報開示サーバは、情報要素名に対応する開示可能条件と、開示誘引情報とを比較し、個人情報の開示の可否を決定する手段と、情報要素の開示ができる場合、情報要素を情報開示請求側端末へ送信し、情報要素の開示ができない場合、開示拒否メッセージを情報開示請求側端末へ送信する手段とを有する、ことも好ましい。
【0016】
本発明における分散開示制御システムの他の実施形態によれば、
テーブル情報は、情報要素に対して更に開示可能条件を有し、
利用者側端末又は情報開示サーバは、開示可能条件からなる交渉メッセージを、情報開示請求側端末へ送信する手段を有し、
情報開示請求側端末は、開示可能条件の受け入れの可否を決定する手段と、開示可能条件の内容の提供ができる場合、了承メッセージを利用者側端末又は情報開示サーバへ送信する手段とを有する、ことも好ましい。
【0017】
【発明の実施の形態】
以下、本発明の実施の形態を図面に基づいて詳細に説明する。但し、本発明は、多くの異なる態様において実施することが可能であり、本実施の形態の記載内容に限定して解釈するべきではない。
【0018】
図1は、本発明のシステム構成図である。
【0019】
図1において、インターネット等であるネットワーク01を介して、利用者側端末11、12及び13(PC(Personal Computer)、PDA(Personal DigitalAssistant)、携帯電話機等)と、情報開示サーバ21(サービス提供主体端末)と、情報開示請求側端末31と、調停者端末41とが接続されている。利用者側端末11は、分散ポリシに基づいて、個人情報の情報要素を、情報開示サーバ21へ送信する。情報開示請求側端末31は、情報開示サーバ21又は利用者側端末11へアクセスし、当該個人情報の情報要素の開示を要求する。尚、情報開示サーバ21の中に調停者端末41の機能が包含される形態も考えられる。
【0020】
情報要素毎の分散ポリシ、開示ポリシ及び開示可能条件の具体例を、表1に示すことにより、以下では、本発明をより具体的に説明する。
【0021】
【表1】
【0022】
本発明で扱う個人情報は、静的な情報(「氏名」「住所」等)と、動的に変化する情報(「現在位置」「状況」等)とを含む。
【0023】
分散ポリシは、情報の管理主体を決定する。分散ポリシに記述する情報の表現方法としては、「氏名」「住所」等の具体的な情報項目名を指定してもよいし、「現在情報」「生体情報」等のように情報の性質を指定してもよい。
【0024】
開示ポリシには、開示を許可する対象を列挙する。例えば、情報開示請求側の帰属情報であってもよい。情報開示請求側が、この開示ポリシに含まれる場合には、個人情報の開示を許可する。表1によれば、個人情報の各情報要素と開示ポリシとの関係が記述されているが、無条件で開示を許可する個人情報の場合には、開示ポリシと個人情報の関係は記述されない。例えば、「氏名」「性別」「職業」がこれに該当する。
【0025】
図2は、本発明による利用者側端末11の機能構成図である。
【0026】
利用者側端末11は、端末表示手段101と、端末操作手段102と、データ送受信手段103と、分散ポリシ蓄積手段104と、個人情報蓄積手段105と、開示ポリシ蓄積手段106と、状況依存型開示制御手段107と、端末制御手段108とを有する。
【0027】
端末表示手段101は、利用者に対して個人情報の入力を促すようなユーザインタフェースを表示する。端末操作手段102は、利用者が個人情報を入力する際に使用する情報入力手段である。データ送受信手段103は、端末制御手段108の制御によって、ネットワーク01を介してデータを送受信する。
【0028】
分散ポリシ蓄積手段104は、個人情報の情報要素毎に記憶先となる装置を指定した分散ポリシを蓄積する。利用者側端末11の分散ポリシ蓄積手段104には、表1の情報要素毎の分散ポリシが蓄積されている。ここでは、氏名「鈴木一子」について、「住所」、「電話番号」、「身長」、「体重」、「血圧」、「趣味」及び「好きな選手」の情報要素が利用者側端末に蓄積され、「性別」、「職業」、「現在位置」及び「現在状況」の情報要素が情報開示サーバに蓄積されることを示している。
【0029】
個人情報蓄積手段105は、分散ポリシ蓄積手段104に蓄積された分散ポリシに基づいて、利用者側端末11で蓄積管理するように定義されている個人情報の情報要素を蓄積する。表1によれば、利用者側端末11の個人情報蓄積手段105には、氏名「鈴木一子」について、「住所=東京都新宿区」、「電話番号=03−1234−5678」、「身長=160cm」、「体重=50kg」、「血圧=70,140」、「趣味=野球観戦」及び「好きな選手=イチロー」の情報要素が蓄積されている。
【0030】
開示ポリシ蓄積手段106は、個人情報蓄積手段105に蓄積された個人情報の情報要素毎の開示条件である開示ポリシと、開示拒否された場合の開示可能条件とを蓄積する。開示ポリシとは、例えば、情報開示請求側の帰属情報であってもよく、情報開示請求側が「病院」であれば開示するが、「エステティックサロン」には開示しないとするように指定することができる。表1によれば、利用者側端末の開示ポリシ蓄積手段105には、氏名「鈴木一子」について、「住所=会社関係者、病院」、「電話番号=会社関係者、病院」、「身長=病院、エステティックサロン」、「体重=病院」、「血圧=病院、エスティクサロン」、「趣味=サークルメンバ、ファンクラブ」及び「好きな選手=サークルメンバ、ファンクラブ」が蓄積されている。開示可能条件とは、例えば、情報開示請求側が提供できるサービスであってもよく、「健康メニュー提供」では開示しないが、「無料健康相談券提供」であれば開示するというように指定することができる。表1によれば、「身長=健康メニュー提供」、「体重=無料健康相談券提供」及び「血圧=健康メニュー提供」が蓄積されている。
【0031】
状況依存型開示制御手段107は、開示可能な範囲で個人情報を開示するように誘引するように制御するものである。例えば、以下のように制御される。
【0032】
(1)開示要求された1つ以上の情報要素が、開示ポリシに合致しないために開示を拒否する場合、その情報開示誘引情報によっては、開示可能な情報要素名のみをデータ送受信手段103を介して情報開示請求側端末31へ送信するよう制御する。
(2)データ送受信手段103を介して情報開示請求側端末31から、当初開示要求された情報要素よりも限定された情報要素の開示を求める交渉メッセージを受信した場合、開示可能か否かを判断するよう制御する。
(3)データ送受信手段103を介して情報開示請求側端末31から、更なるサービス提供を打診する開示誘引情報が含まれた交渉メッセージを受信した場合、その開示誘引情報が、利用者に指定された開示可能条件に含まれるものであるか否かを判断し、開示可能か否かを判断するように制御する。
(4)開示誘引情報を端末表示手段101へ表示し、端末操作手段102によって利用者に開示するか否かの指定の操作をさせ、その結果によって個人情報の開示するか否かを制御する。
(5)調停者端末41から調停メッセージを受信した場合、その内容に従って個人情報を開示するように制御する。
【0033】
開示誘引情報の例としては、身長、体重等の生体情報を開示することにより、利用者個人の特性にあった詳細な「健康メニュー提供」というようなサービスが挙げられる。利用者が、「健康メニュー提供」というサービスを受け入れるのであれば、開示ポリシに合致していなかったとしても、その生体情報を開示することを了承する。
【0034】
生体情報の開示の例において、利用者は詳細な「健康メニュー提供」だけでは情報開示に応じられないが、更に「無料健康相談」が追加されれば情報開示に応じるという条件を情報開示請求側端末へ送信し、その情報開示請求側端末のそれに対する了承メッセージを応答し、情報開示を成立させることもできる。
【0035】
端末制御手段108は、101から107の各手段問の連携をつかさどり、利用者側端末全体の動作を制御する。
【0036】
図3は、情報開示サーバ21の構成図である。
【0037】
情報開示サーバ21は、データ送受信手段201と、個人情報蓄積手段202と、開示ポリシ蓄積手段203と、状況依存型開示御手段204と、調停手段205と、サーバ制御手段206とを有する。
【0038】
データ送受信手段201は、ネットワーク01を介してデータを送受信する。
【0039】
個人情報蓄積手段202は、分散ポリシ蓄積手段104に蓄積された分散ポリシに基づいて、情報開示サーバ21に管理するように定義されている個人情報の情報要素を蓄積する。表1によれば、氏名「鈴木一子」について、「性別=女」、「職業=会社員」、「現在位置=オフィス」、「状況=在席中」の情報要素が蓄積されている。
【0040】
開示ポリシ蓄積手段203は、個人情報蓄積手段202に蓄積された個人情報についての開示ポリシを蓄積する。表1によれば、氏名「鈴木一子」について、「性別=病院」、「職業=病院」、「現在位置=会社関係者」、「状況=会社関係者」の情報要素が蓄積されている。
【0041】
状況依存型開示制御手段204は、利用者側端末11の状況依存型開示制御手段107に対応して、以下のような制御を行う。
(1)開示要求された1つ以上の情報要素が、開示ポリシに合致しないために開示を拒否された場合、利用者側端末11から開示可能な情報要素名を受信したとき、その情報要素だけでよいか否かを判断し、了承メッセージを利用者側端末11へ送信するよう制御する。
(2)開示要求された1つ以上の情報要素が、開示ポリシに合致しないために開示を拒否された場合、当初開示要求した情報要素よりも限定された情報要素の開示を求める交渉メッセージを送信するよう制御する。
(3)開示要求された1つ以上の情報要素が、開示ポリシに合致しないために開示を拒否された場合、更なるサービス提供等を打診する開示誘引情報が含まれた交渉メッセージを送信するよう制御する。
(4)調停者端末41から調停メッセージを受信した場合、その内容に従って個人情報を開示してもらうように制御する。
【0042】
調停手段205は、利用者と情報開示請求側端末の情報開示に対するポリシが異なる場合に、互いの利便を図るべく、情報開示の方向へと誘引することである。情報開示に対する条件を一方又は双方に提示する本条件提示のステップは、複数回繰り返される場合も考えられる。尚、調停手段205は、情報開示サーバ21内部の一機能として実現してもよいし、調停者端末41という形態で、情報開示サーバ21の外部の機能として実現してもよい。
【0043】
サーバ制御手段206は、201から205の各手段間の連携をつかさどり、情報開示サーバ全体の動作を制御する。
【0044】
図4は、本発明による個人情報の分散制御のフローチャートである。
【0045】
ステップ01において、分散ポリシ蓄積手段104に蓄積される情報要素毎の分散ポリシを定義する。分散ポリシには、利用者自身が端末操作手段102を用いて定義するものと、サービス提供主体が定義し、ネットワーク01を介して分散ポリシ蓄積手段104に蓄積されるものとがある。尚、分散ポリシは、必須のものではなく、利用者及びサービス提供主体が必要と考える場合のみ定義すればよい情報である。
【0046】
ステップ02において、ステップ01で定義した分散ポリシを利用者側端末11の分散ポリシ蓄積手段104に蓄積し、管理する。尚、分散ポリシの蓄積は、利用者側端末11の全てに対して行ってもよいし、現在使用中の利用者側端末だけに行い、利用する端末を変更する際に一情報の引継ぎを行う形態をとってもよい。以下の記述においても、利用者側端末に情報を蓄積する際には同様のことが成立するが、記述は省略する。
【0047】
ステップ03において、利用者は、利用者側端末11の端末操作手段102を用いて、自身の個人情報の情報要素を入力する。
【0048】
ステップ04において、更に、利用者は、端末操作手段102を用いて、ステップ03で入力した個人情報の情報要素毎に開示ポリシを定義する。
【0049】
ステップ05において、利用者側端末11は、分散ポリシ蓄積手段104で管理される分散ポリシを参照し、ステップ03において入力された個人情報の管理主体が利用者側端末11なのか、情報開示サーバ21なのかを判定する。
【0050】
ステップ05において、個人情報に関する分散ポリシが定義されていない場合、ステップ06において、端末表示手段101を用いて、利用者に該個人情報の管理主体を問い合わせることもできる。
【0051】
ステップ05において、個人情報が利用者側端末11で管理される情報と判断した場合、又は、ステップ06において、利用者が該個人情報の管理主体を利用者側端末11と指定した場合には、ステップ07において、個人情報の情報要素は利用者側端末11の個人情報蓄積手段105に蓄積され、個人情報の情報要素に対する開示ポリシは利用者側端末11の開示ポリシ蓄積手段106に蓄積される。
【0052】
ステップ05において、個人情報が情報開示サーバ21で管理される情報と判断した場合、又は、ステップ06において、利用者が該個人情報の管理主体を情報開示サーバ21と指定した場合には、ステップ08において、個人情報の情報要素は情報開示サーバ21の個人情報蓄積手段202に蓄積され、個人情報の情報要素に対する開示ポリシは情報開示サーバ210の開示ポリシ蓄積手段203に蓄積される。
【0053】
ステップ09において、さらに入力すべき個人情報の情報要素の有無を判定する。該当する情報がある場合にはステップ03に戻り、次の個人情報の入力を行う。該当する情報がない場合には個人情報の蓄積を終了する。
【0054】
図5は、本発明による個人情報の開示制御のフローチャートである。
【0055】
ステップ11において、情報開示請求側者端末31から、ある特定利用者の個人情報の開示要求メッセージが、情報開示サーバ21へ送信される。開示要求メッセージには、情報開示請求側の帰属情報と、開示を要求する個人情報の1つ以上の情報要素とが含まれる。
【0056】
ステップ12において、個人情報の情報要素が、情報開示サーバ21の個人情報蓄積手段202に管理されている情報か否かをチェックする。
【0057】
個人情報の情報要素が、情報開示サーバ21の個人情報蓄積手段202に管理されていない情報であった場合、ステップ13において、個人情報が利用者側端末11の個人情報蓄積手段105に管理されている情報か否かをチェックする。
【0058】
個人情報の情報要素が、利用者側端末11の個人情報蓄積手段105に管理されていない情報であった場合、ステップ19において、データ送受信手段103を用いて、情報開示請求側端末31に対して、該個人情報の開示不可(該当情報なし)を通知し、個人情報開示制御を終了する。
【0059】
ステップ12において、個人情報が情報開示サーバ21の個人情報蓄積手段202に管理される情報であった場合、ステップ14において、情報開示サーバ21の開示ポリシ蓄積手段203に蓄積されている該個人情報の開示ポリシをチェックする。
【0060】
ステップ13において、該個人情報が利用者側端末11の個人情報蓄積手段105において管理されている情報であった場合、ステップ15において、利用者側端末11の開示ポリシ蓄積手段106に蓄積されている該個人情報の開示ポリシをチェックする。
【0061】
ステップ14において、該個人情報の開示が許容された場合には、ステップ16において、データ送受信手段201を用いて、該個人情報を情報開示請求側端末31に開示し、個人情報開示制御を終了する。
【0062】
ステップ15において、該個人情報の開示が許容された場合には、ステップ17において、データ送受信手段103を用いて、該個人情報を情報開示請求側端末31に開示し、個人情報開示制御を終了する。
【0063】
ステップ14又はステップ15において、該個人情報の開示が許容されなかった場合には、ステップ18において、利用者側端末11、情報開示請求側端末31、調停者端末41又は調停手段205からの追加条件の提示の有無をチェックする。
【0064】
ステップ18において、追加条件の提示が無い場合には、ステップ21において、該個人情報が、個人情報蓄積手段105に管理されている場合にはデータ送受信手段103を用いて、また、個人情報蓄積手段202に管理されている場合にはデータ送受信手段201を用いて、情報開示請求側端末に対して該個人情報の開示不可を通知し、個人情報開示制御を終了する。
【0065】
ステップ18において、追加条件の提示があった場合には、ステップ19において、該個人情報が、個人情報蓄積手段105に管理されている場合には状況依存型開示制御手段107を介して、また、個人情報蓄積手段202に管理されている場合には状況依存型開示制御手段204を介して、追加条件を利用者側端末11又は情報開示請求側端末31に提示し、該個人情報の情報開示請求側端末への開示への道を模索する。
【0066】
ステップ19は、場合によっては、提示する条件を変更しながら複数回繰り返すことも考えられる。ステップ19において、利用者が該個人情報の開示を許可した場合には、ステップ20において、該個人情報が、個人情報蓄積手段105に管理されている場合にはデータ送受信手段103を用いて、また、個人情報蓄積手段202に管理されている場合にはデータ送受信手段201を用いて、該個人情報を情報開示請求側端末31に開示し、個人情報開示制御を終了する。
【0067】
ステップ18において、利用者が該個人情報の開示を許可しなかった場合には、ステップ21において、該個人情報が個人情報蓄積手段105に管理されている場合にはデータ送受信手段103、個人情報蓄積手段202に管理されている場合にはデータ送受信手段201を用いて、情報開示請求側端末に対して該個人情報の開示不可を通知し、個人情報開示制御を終了する。
【0068】
図6は、本発明による利用者側端末と情報開示請求側端末との間のシーケンス図である。
【0069】
(S1)例えば、情報開示請求者が「エステティックサロン」である場合を想定する。情報開示請求側端末31は、利用者側端末11へ、開示要求メッセージを送信する。そのメッセージには、「情報開示請求側の帰属情報=エステティックサロン」と、「開示情報=身長、体重、血圧」と、「開示誘引情報=健康メニュー提供」とが含まれている。このメッセージを受信した利用者側端末11は、開示ポリシによれば、「身長」及び「血圧」については、「健康メニュー提供」のサービスもあるので、「エステティックサロン」に開示可能であるが、「体重」については開示可能ではない。従って、利用者側端末11は、開示拒否メッセージを情報開示請求側端末31へ返答する。
【0070】
(S2)ここで、利用者側端末11は、情報開示請求側端末31から「健康メニュー提供」を開示誘引情報として打診していることを考慮し、なるべく個人情報の開示をすべく、情報開示請求側端末31へ情報開示条件提示メッセージを送信する。そのメッセージには、「身長」及び「血圧」の情報要素名について開示が可能である旨が含まれる。このメッセージを受信した情報開示請求側端末31は、その開示内容のみでよい場合、了承メッセージを利用者側端末11へ送信する。了承メッセージを受信した利用者側端末11は、「身長」及び「血圧」の情報を情報開示請求側端末31へ送信し、情報開示する。
【0071】
(S3)一方、他の実施形態として、情報開示請求側端末31が、情報開示誘引条件メッセージを利用者側端末11へ送信することもできる。そのメッセージには、例えば「無料健康相談券提供」が含まれている。このメッセージを受信した利用者側端末11は、「無料健康相談券提供」のサービスが得られるのであれば「体重」の情報を開示してもよいと判断した場合、了承の旨及び「体重」の情報を情報開示請求側端末31へ送信し、情報開示する。これに対して、情報開示請求側端末31は、個人情報に基づく「健康メニュー提供」だけでなく、「無料健康相談券提供」も行う。
【0072】
(S4)更に、他の実施形態として、利用者側11が、情報開示可能条件メッセージを利用者側端末11へ送信することもできる。そのメッセージには、例えば「無料健康相談券提供」が含まれている。このメッセージを受信した情報開示請求側端末31が、「無料健康相談券提供」のサービスを提供できるのであれば、その旨の了承メッセージを利用者側端末11へ送信し、その利用者側端末11から「体重」の情報を受信することができる。
【0073】
【発明の効果】
本発明による個人情報の分散開示制御方法及びシステムによれば、ネットワークを介して個人情報を管理する上で、分散ポリシによって個人情報の機密性を保持しつつ、開示ポリシによって状況に応じた個人情報の開示をすることが可能となる。また、分散ポリシ及び開示ポリシを動的に制御することにより、利用者の置かれた状況に応じて、より柔軟に個人情報を分散及び開示することが可能となる。
【0074】
具体的には、利用者側端末で管理されるような機密性の高い個人情報であっても、開示ポリシに合致する場合(例えば、同じ趣味をもつ「サークルメンバ」)には個人情報を外部に開示することが可能となる。また、逆に、情報開示サーバで管理される情報であっても、開示ポリシに合致しない場合には個人情報の外部への開示を制限することが可能となる。更に、開示ポリシに合致しない個人情報であっても、利用者の置かれた状況に応じて開示可能となるよう促すように制御される。
【図面の簡単な説明】
【図1】本発明のシステム構成図である。
【図2】本発明による利用者側端末11の機能構成図である。
【図3】情報開示サーバ21の構成図である。
【図4】本発明による個人情報の分散制御のフローチャートである。
【図5】本発明による個人情報の開示制御のフローチャートである。
【図6】本発明による利用者側端末と情報開示請求側端末との間のシーケンス図である。
【符号の説明】
01 ネットワーク 11、12、13 利用者側端末
21 情報開示サーバ
31 情報開示請求側端末
41 調停者端末
101 端末表示手段
102 端末操作手段
103 データ送受信手段
104 分散ポリシ蓄積手段
105 個人情報蓄積手段
106 開示ポリシ蓄積手段
107 状況依存型開示制御手段
108 端末制御手段
201 データ送受信手段
202 個人情報蓄積手段
203 開示ポリシ蓄積手段
204 状況依存型開示制御手段
205 調停手段
206 サーバ制御手段
【発明の属する技術分野】
本発明は、個人情報の分散開示制御方法及びシステムに関する。
【0002】
【従来の技術】
従来、利用者の個人情報を第三者に開示する一方で、その対価としてその利用者に有益な情報を配信するシステムがある。このようなシステムは、利用者側端末と、情報開示サーバと、情報開示請求側端末とが、ネットワークを介して接続されたものである。一般的に、利用者側端末から送信された個人情報を情報開示サーバが蓄積し、情報開示請求側端末から、情報開示サーバにアクセスすることによって特定の個人情報を取得することができる。
【0003】
ここで、個人情報の情報要素としては、例えば、趣昧、嗜好、思考、位置情報、気分、行動目的、生体情報、居住地情報等がある。従って、その中にはプライバシ性の高いものも存在するため、無条件に個人情報を外部に開示することには抵抗を感じる場合も多い。一方で、個人情報を外部に開示しないと、利用者が真に求める情報を得ることが困難な場合もある。
【0004】
このような問題を解決するべく、個人情報の分散管理方法が提案されている。その方法は、例えば、利用者が登録しても良いと考える情報要素だけを情報開示サーバで管理し、それ以外の利用者の秘密情報は利用者側端末で管理するものである(例えば特許文献1参照)。
【0005】
【特許文献1】
特開2002−117031号公報
【0006】
【発明が解決しようとする課題】
しかしながら、個人情報の開示に対する条件である開示ポリシは、利用者の置かれた状況に応じて変化することも考えられる。例えば、一般的には公開したくない情報であっても、同じ趣味をもつサークルのメンバに対しては、逆に積極的に公開し、有益な情報を入手しようとする場合が考えられる。また、情報開示請求側端末から提示された条件である開示誘引情報(インセンティブ等)によっては、個人情報を開示してもよいとする場合も考えられる。
【0007】
従来の方法では、情報開示サーバに管理された情報のみが外部に開示され、一旦、利用者側端末に管理された情報は、いかなる場合であっても外部に開示されないため、前述したような要求に応じることができないという問題があった。
【0008】
そこで、本発明は、前述した問題を解決するべく、個人情報の分散ポリシ及び開示ポリシを動的に制御し、開示可能な範囲で個人情報を開示するように誘引するような個人情報の分散開示制御方法及びシステムを提供することを目的とする。
【0009】
【課題を解決するための手段】
本発明の個人情報の分散開示制御方法によれば、
利用者側端末は、個人情報の複数の情報要素に対して、分散ポリシ情報及び開示ポリシ情報を対応付けたテーブル情報を有し、
分散ポリシ情報に基づいて、情報要素及び開示ポリシ情報を、利用者側端末又は情報開示サーバのいずれか一方に分散記憶する第1のステップと、
情報開示請求側端末が、情報開示請求側の帰属情報と、開示を要求する1つ以上の情報要素名とからなる開示要求メッセージを、利用者側端末又は情報開示サーバへ送信する第2のステップと、
利用者側端末又は情報開示サーバが、開示要求された全ての情報要素について、該情報要素に対応する開示ポリシと、情報開示請求側の帰属情報とを比較し、個人情報の情報要素の開示の可否を決定する第3のステップと、
利用者側端末又は情報開示サーバが、開示要求された全ての情報要素の開示ができる場合、全ての情報要素を情報開示請求側端末へ送信し、情報要素の開示ができない場合、開示拒否メッセージを情報開示請求側端末へ送信する第4のステップと、を有することを特徴とする。
【0010】
本発明における分散開示制御方法の他の実施形態によれば、
第4のステップは、利用者側端末又は情報開示サーバが、情報開示請求側端末から開示要求された全ての情報要素については開示できないが、一部の情報要素については開示できる場合、開示可能な情報要素名を情報開示請求側端末へ送信することも好ましい。
【0011】
本発明における分散開示制御方法の他の実施形態によれば、
テーブル情報は、情報要素に対して更に開示可能条件を有し、
情報開示請求側端末が、開示を強く要求する情報要素名と、開示誘引情報とからなる交渉メッセージを、利用者側端末又は情報開示サーバへ送信する第5のステップと、
利用者側端末又は情報開示サーバが、情報要素名に対応する開示可能条件と、開示誘引情報とを比較し、個人情報の開示の可否を決定する第6のステップと、利用者側端末又は情報開示サーバが、情報要素の開示ができる場合、情報要素を情報開示請求側端末へ送信し、情報要素の開示ができない場合、開示拒否メッセージを情報開示請求側端末へ送信する第7のステップと
を有することも好ましい。
【0012】
本発明における分散開示制御方法の他の実施形態によれば、
テーブル情報は、情報要素に対して更に開示可能条件を有し、
利用者側端末又は情報開示サーバが、開示可能条件からなる交渉メッセージを、情報開示請求側端末へ送信する第5のステップと、
情報開示請求側端末が、開示可能条件の受け入れの可否を決定する第6のステップと、
情報開示請求側端末が、開示可能条件の内容の提供ができる場合、了承メッセージを利用者側端末又は情報開示サーバへ送信する第7のステップと
を有することも好ましい。
【0013】
本発明における分散開示制御システムによれば、
利用者側端末は、個人情報の複数の情報要素に対して、分散ポリシ情報及び開示ポリシ情報を対応付けたテーブル情報を有し、
分散ポリシ情報に基づいて、情報要素及び開示ポリシ情報を、利用者側端末又は情報開示サーバのいずれか一方に分散記憶するように構成されており、
情報開示請求側端末は、情報開示請求側の帰属情報と、開示を要求する1つ以上の情報要素名とからなる開示要求メッセージを、利用者側端末又は情報開示サーバへ送信する送信手段を有し、
利用者側端末又は情報開示サーバは、開示要求された全ての情報要素について、該情報要素に対応する開示ポリシと、情報開示請求側の帰属情報とを比較し、個人情報の情報要素の開示の可否を決定する決定手段と、開示要求された全ての情報要素の開示ができる場合、全ての情報要素を情報開示請求側端末へ送信し、情報要素の開示ができない場合、開示拒否メッセージを情報開示請求側端末へ送信する送信手段と、を有することを特徴とする。
【0014】
本発明における分散開示制御システムの他の実施形態によれば、
利用者側端末又は情報開示サーバの送信手段は、情報開示請求側端末から開示要求された全ての情報要素については開示できないが、一部の情報要素については開示できる場合、開示可能な情報要素名を情報開示請求側端末へ送信するように構成されていることも好ましい。
【0015】
本発明における分散開示制御システムの他の実施形態によれば、
テーブル情報は、情報要素に対して更に開示可能条件を有し、
情報開示請求側端末は、開示を強く要求する情報要素名と、開示誘引情報とからなる交渉メッセージを、利用者側端末又は情報開示サーバへ送信する手段を有し、
利用者側端末又は情報開示サーバは、情報要素名に対応する開示可能条件と、開示誘引情報とを比較し、個人情報の開示の可否を決定する手段と、情報要素の開示ができる場合、情報要素を情報開示請求側端末へ送信し、情報要素の開示ができない場合、開示拒否メッセージを情報開示請求側端末へ送信する手段とを有する、ことも好ましい。
【0016】
本発明における分散開示制御システムの他の実施形態によれば、
テーブル情報は、情報要素に対して更に開示可能条件を有し、
利用者側端末又は情報開示サーバは、開示可能条件からなる交渉メッセージを、情報開示請求側端末へ送信する手段を有し、
情報開示請求側端末は、開示可能条件の受け入れの可否を決定する手段と、開示可能条件の内容の提供ができる場合、了承メッセージを利用者側端末又は情報開示サーバへ送信する手段とを有する、ことも好ましい。
【0017】
【発明の実施の形態】
以下、本発明の実施の形態を図面に基づいて詳細に説明する。但し、本発明は、多くの異なる態様において実施することが可能であり、本実施の形態の記載内容に限定して解釈するべきではない。
【0018】
図1は、本発明のシステム構成図である。
【0019】
図1において、インターネット等であるネットワーク01を介して、利用者側端末11、12及び13(PC(Personal Computer)、PDA(Personal DigitalAssistant)、携帯電話機等)と、情報開示サーバ21(サービス提供主体端末)と、情報開示請求側端末31と、調停者端末41とが接続されている。利用者側端末11は、分散ポリシに基づいて、個人情報の情報要素を、情報開示サーバ21へ送信する。情報開示請求側端末31は、情報開示サーバ21又は利用者側端末11へアクセスし、当該個人情報の情報要素の開示を要求する。尚、情報開示サーバ21の中に調停者端末41の機能が包含される形態も考えられる。
【0020】
情報要素毎の分散ポリシ、開示ポリシ及び開示可能条件の具体例を、表1に示すことにより、以下では、本発明をより具体的に説明する。
【0021】
【表1】
本発明で扱う個人情報は、静的な情報(「氏名」「住所」等)と、動的に変化する情報(「現在位置」「状況」等)とを含む。
【0023】
分散ポリシは、情報の管理主体を決定する。分散ポリシに記述する情報の表現方法としては、「氏名」「住所」等の具体的な情報項目名を指定してもよいし、「現在情報」「生体情報」等のように情報の性質を指定してもよい。
【0024】
開示ポリシには、開示を許可する対象を列挙する。例えば、情報開示請求側の帰属情報であってもよい。情報開示請求側が、この開示ポリシに含まれる場合には、個人情報の開示を許可する。表1によれば、個人情報の各情報要素と開示ポリシとの関係が記述されているが、無条件で開示を許可する個人情報の場合には、開示ポリシと個人情報の関係は記述されない。例えば、「氏名」「性別」「職業」がこれに該当する。
【0025】
図2は、本発明による利用者側端末11の機能構成図である。
【0026】
利用者側端末11は、端末表示手段101と、端末操作手段102と、データ送受信手段103と、分散ポリシ蓄積手段104と、個人情報蓄積手段105と、開示ポリシ蓄積手段106と、状況依存型開示制御手段107と、端末制御手段108とを有する。
【0027】
端末表示手段101は、利用者に対して個人情報の入力を促すようなユーザインタフェースを表示する。端末操作手段102は、利用者が個人情報を入力する際に使用する情報入力手段である。データ送受信手段103は、端末制御手段108の制御によって、ネットワーク01を介してデータを送受信する。
【0028】
分散ポリシ蓄積手段104は、個人情報の情報要素毎に記憶先となる装置を指定した分散ポリシを蓄積する。利用者側端末11の分散ポリシ蓄積手段104には、表1の情報要素毎の分散ポリシが蓄積されている。ここでは、氏名「鈴木一子」について、「住所」、「電話番号」、「身長」、「体重」、「血圧」、「趣味」及び「好きな選手」の情報要素が利用者側端末に蓄積され、「性別」、「職業」、「現在位置」及び「現在状況」の情報要素が情報開示サーバに蓄積されることを示している。
【0029】
個人情報蓄積手段105は、分散ポリシ蓄積手段104に蓄積された分散ポリシに基づいて、利用者側端末11で蓄積管理するように定義されている個人情報の情報要素を蓄積する。表1によれば、利用者側端末11の個人情報蓄積手段105には、氏名「鈴木一子」について、「住所=東京都新宿区」、「電話番号=03−1234−5678」、「身長=160cm」、「体重=50kg」、「血圧=70,140」、「趣味=野球観戦」及び「好きな選手=イチロー」の情報要素が蓄積されている。
【0030】
開示ポリシ蓄積手段106は、個人情報蓄積手段105に蓄積された個人情報の情報要素毎の開示条件である開示ポリシと、開示拒否された場合の開示可能条件とを蓄積する。開示ポリシとは、例えば、情報開示請求側の帰属情報であってもよく、情報開示請求側が「病院」であれば開示するが、「エステティックサロン」には開示しないとするように指定することができる。表1によれば、利用者側端末の開示ポリシ蓄積手段105には、氏名「鈴木一子」について、「住所=会社関係者、病院」、「電話番号=会社関係者、病院」、「身長=病院、エステティックサロン」、「体重=病院」、「血圧=病院、エスティクサロン」、「趣味=サークルメンバ、ファンクラブ」及び「好きな選手=サークルメンバ、ファンクラブ」が蓄積されている。開示可能条件とは、例えば、情報開示請求側が提供できるサービスであってもよく、「健康メニュー提供」では開示しないが、「無料健康相談券提供」であれば開示するというように指定することができる。表1によれば、「身長=健康メニュー提供」、「体重=無料健康相談券提供」及び「血圧=健康メニュー提供」が蓄積されている。
【0031】
状況依存型開示制御手段107は、開示可能な範囲で個人情報を開示するように誘引するように制御するものである。例えば、以下のように制御される。
【0032】
(1)開示要求された1つ以上の情報要素が、開示ポリシに合致しないために開示を拒否する場合、その情報開示誘引情報によっては、開示可能な情報要素名のみをデータ送受信手段103を介して情報開示請求側端末31へ送信するよう制御する。
(2)データ送受信手段103を介して情報開示請求側端末31から、当初開示要求された情報要素よりも限定された情報要素の開示を求める交渉メッセージを受信した場合、開示可能か否かを判断するよう制御する。
(3)データ送受信手段103を介して情報開示請求側端末31から、更なるサービス提供を打診する開示誘引情報が含まれた交渉メッセージを受信した場合、その開示誘引情報が、利用者に指定された開示可能条件に含まれるものであるか否かを判断し、開示可能か否かを判断するように制御する。
(4)開示誘引情報を端末表示手段101へ表示し、端末操作手段102によって利用者に開示するか否かの指定の操作をさせ、その結果によって個人情報の開示するか否かを制御する。
(5)調停者端末41から調停メッセージを受信した場合、その内容に従って個人情報を開示するように制御する。
【0033】
開示誘引情報の例としては、身長、体重等の生体情報を開示することにより、利用者個人の特性にあった詳細な「健康メニュー提供」というようなサービスが挙げられる。利用者が、「健康メニュー提供」というサービスを受け入れるのであれば、開示ポリシに合致していなかったとしても、その生体情報を開示することを了承する。
【0034】
生体情報の開示の例において、利用者は詳細な「健康メニュー提供」だけでは情報開示に応じられないが、更に「無料健康相談」が追加されれば情報開示に応じるという条件を情報開示請求側端末へ送信し、その情報開示請求側端末のそれに対する了承メッセージを応答し、情報開示を成立させることもできる。
【0035】
端末制御手段108は、101から107の各手段問の連携をつかさどり、利用者側端末全体の動作を制御する。
【0036】
図3は、情報開示サーバ21の構成図である。
【0037】
情報開示サーバ21は、データ送受信手段201と、個人情報蓄積手段202と、開示ポリシ蓄積手段203と、状況依存型開示御手段204と、調停手段205と、サーバ制御手段206とを有する。
【0038】
データ送受信手段201は、ネットワーク01を介してデータを送受信する。
【0039】
個人情報蓄積手段202は、分散ポリシ蓄積手段104に蓄積された分散ポリシに基づいて、情報開示サーバ21に管理するように定義されている個人情報の情報要素を蓄積する。表1によれば、氏名「鈴木一子」について、「性別=女」、「職業=会社員」、「現在位置=オフィス」、「状況=在席中」の情報要素が蓄積されている。
【0040】
開示ポリシ蓄積手段203は、個人情報蓄積手段202に蓄積された個人情報についての開示ポリシを蓄積する。表1によれば、氏名「鈴木一子」について、「性別=病院」、「職業=病院」、「現在位置=会社関係者」、「状況=会社関係者」の情報要素が蓄積されている。
【0041】
状況依存型開示制御手段204は、利用者側端末11の状況依存型開示制御手段107に対応して、以下のような制御を行う。
(1)開示要求された1つ以上の情報要素が、開示ポリシに合致しないために開示を拒否された場合、利用者側端末11から開示可能な情報要素名を受信したとき、その情報要素だけでよいか否かを判断し、了承メッセージを利用者側端末11へ送信するよう制御する。
(2)開示要求された1つ以上の情報要素が、開示ポリシに合致しないために開示を拒否された場合、当初開示要求した情報要素よりも限定された情報要素の開示を求める交渉メッセージを送信するよう制御する。
(3)開示要求された1つ以上の情報要素が、開示ポリシに合致しないために開示を拒否された場合、更なるサービス提供等を打診する開示誘引情報が含まれた交渉メッセージを送信するよう制御する。
(4)調停者端末41から調停メッセージを受信した場合、その内容に従って個人情報を開示してもらうように制御する。
【0042】
調停手段205は、利用者と情報開示請求側端末の情報開示に対するポリシが異なる場合に、互いの利便を図るべく、情報開示の方向へと誘引することである。情報開示に対する条件を一方又は双方に提示する本条件提示のステップは、複数回繰り返される場合も考えられる。尚、調停手段205は、情報開示サーバ21内部の一機能として実現してもよいし、調停者端末41という形態で、情報開示サーバ21の外部の機能として実現してもよい。
【0043】
サーバ制御手段206は、201から205の各手段間の連携をつかさどり、情報開示サーバ全体の動作を制御する。
【0044】
図4は、本発明による個人情報の分散制御のフローチャートである。
【0045】
ステップ01において、分散ポリシ蓄積手段104に蓄積される情報要素毎の分散ポリシを定義する。分散ポリシには、利用者自身が端末操作手段102を用いて定義するものと、サービス提供主体が定義し、ネットワーク01を介して分散ポリシ蓄積手段104に蓄積されるものとがある。尚、分散ポリシは、必須のものではなく、利用者及びサービス提供主体が必要と考える場合のみ定義すればよい情報である。
【0046】
ステップ02において、ステップ01で定義した分散ポリシを利用者側端末11の分散ポリシ蓄積手段104に蓄積し、管理する。尚、分散ポリシの蓄積は、利用者側端末11の全てに対して行ってもよいし、現在使用中の利用者側端末だけに行い、利用する端末を変更する際に一情報の引継ぎを行う形態をとってもよい。以下の記述においても、利用者側端末に情報を蓄積する際には同様のことが成立するが、記述は省略する。
【0047】
ステップ03において、利用者は、利用者側端末11の端末操作手段102を用いて、自身の個人情報の情報要素を入力する。
【0048】
ステップ04において、更に、利用者は、端末操作手段102を用いて、ステップ03で入力した個人情報の情報要素毎に開示ポリシを定義する。
【0049】
ステップ05において、利用者側端末11は、分散ポリシ蓄積手段104で管理される分散ポリシを参照し、ステップ03において入力された個人情報の管理主体が利用者側端末11なのか、情報開示サーバ21なのかを判定する。
【0050】
ステップ05において、個人情報に関する分散ポリシが定義されていない場合、ステップ06において、端末表示手段101を用いて、利用者に該個人情報の管理主体を問い合わせることもできる。
【0051】
ステップ05において、個人情報が利用者側端末11で管理される情報と判断した場合、又は、ステップ06において、利用者が該個人情報の管理主体を利用者側端末11と指定した場合には、ステップ07において、個人情報の情報要素は利用者側端末11の個人情報蓄積手段105に蓄積され、個人情報の情報要素に対する開示ポリシは利用者側端末11の開示ポリシ蓄積手段106に蓄積される。
【0052】
ステップ05において、個人情報が情報開示サーバ21で管理される情報と判断した場合、又は、ステップ06において、利用者が該個人情報の管理主体を情報開示サーバ21と指定した場合には、ステップ08において、個人情報の情報要素は情報開示サーバ21の個人情報蓄積手段202に蓄積され、個人情報の情報要素に対する開示ポリシは情報開示サーバ210の開示ポリシ蓄積手段203に蓄積される。
【0053】
ステップ09において、さらに入力すべき個人情報の情報要素の有無を判定する。該当する情報がある場合にはステップ03に戻り、次の個人情報の入力を行う。該当する情報がない場合には個人情報の蓄積を終了する。
【0054】
図5は、本発明による個人情報の開示制御のフローチャートである。
【0055】
ステップ11において、情報開示請求側者端末31から、ある特定利用者の個人情報の開示要求メッセージが、情報開示サーバ21へ送信される。開示要求メッセージには、情報開示請求側の帰属情報と、開示を要求する個人情報の1つ以上の情報要素とが含まれる。
【0056】
ステップ12において、個人情報の情報要素が、情報開示サーバ21の個人情報蓄積手段202に管理されている情報か否かをチェックする。
【0057】
個人情報の情報要素が、情報開示サーバ21の個人情報蓄積手段202に管理されていない情報であった場合、ステップ13において、個人情報が利用者側端末11の個人情報蓄積手段105に管理されている情報か否かをチェックする。
【0058】
個人情報の情報要素が、利用者側端末11の個人情報蓄積手段105に管理されていない情報であった場合、ステップ19において、データ送受信手段103を用いて、情報開示請求側端末31に対して、該個人情報の開示不可(該当情報なし)を通知し、個人情報開示制御を終了する。
【0059】
ステップ12において、個人情報が情報開示サーバ21の個人情報蓄積手段202に管理される情報であった場合、ステップ14において、情報開示サーバ21の開示ポリシ蓄積手段203に蓄積されている該個人情報の開示ポリシをチェックする。
【0060】
ステップ13において、該個人情報が利用者側端末11の個人情報蓄積手段105において管理されている情報であった場合、ステップ15において、利用者側端末11の開示ポリシ蓄積手段106に蓄積されている該個人情報の開示ポリシをチェックする。
【0061】
ステップ14において、該個人情報の開示が許容された場合には、ステップ16において、データ送受信手段201を用いて、該個人情報を情報開示請求側端末31に開示し、個人情報開示制御を終了する。
【0062】
ステップ15において、該個人情報の開示が許容された場合には、ステップ17において、データ送受信手段103を用いて、該個人情報を情報開示請求側端末31に開示し、個人情報開示制御を終了する。
【0063】
ステップ14又はステップ15において、該個人情報の開示が許容されなかった場合には、ステップ18において、利用者側端末11、情報開示請求側端末31、調停者端末41又は調停手段205からの追加条件の提示の有無をチェックする。
【0064】
ステップ18において、追加条件の提示が無い場合には、ステップ21において、該個人情報が、個人情報蓄積手段105に管理されている場合にはデータ送受信手段103を用いて、また、個人情報蓄積手段202に管理されている場合にはデータ送受信手段201を用いて、情報開示請求側端末に対して該個人情報の開示不可を通知し、個人情報開示制御を終了する。
【0065】
ステップ18において、追加条件の提示があった場合には、ステップ19において、該個人情報が、個人情報蓄積手段105に管理されている場合には状況依存型開示制御手段107を介して、また、個人情報蓄積手段202に管理されている場合には状況依存型開示制御手段204を介して、追加条件を利用者側端末11又は情報開示請求側端末31に提示し、該個人情報の情報開示請求側端末への開示への道を模索する。
【0066】
ステップ19は、場合によっては、提示する条件を変更しながら複数回繰り返すことも考えられる。ステップ19において、利用者が該個人情報の開示を許可した場合には、ステップ20において、該個人情報が、個人情報蓄積手段105に管理されている場合にはデータ送受信手段103を用いて、また、個人情報蓄積手段202に管理されている場合にはデータ送受信手段201を用いて、該個人情報を情報開示請求側端末31に開示し、個人情報開示制御を終了する。
【0067】
ステップ18において、利用者が該個人情報の開示を許可しなかった場合には、ステップ21において、該個人情報が個人情報蓄積手段105に管理されている場合にはデータ送受信手段103、個人情報蓄積手段202に管理されている場合にはデータ送受信手段201を用いて、情報開示請求側端末に対して該個人情報の開示不可を通知し、個人情報開示制御を終了する。
【0068】
図6は、本発明による利用者側端末と情報開示請求側端末との間のシーケンス図である。
【0069】
(S1)例えば、情報開示請求者が「エステティックサロン」である場合を想定する。情報開示請求側端末31は、利用者側端末11へ、開示要求メッセージを送信する。そのメッセージには、「情報開示請求側の帰属情報=エステティックサロン」と、「開示情報=身長、体重、血圧」と、「開示誘引情報=健康メニュー提供」とが含まれている。このメッセージを受信した利用者側端末11は、開示ポリシによれば、「身長」及び「血圧」については、「健康メニュー提供」のサービスもあるので、「エステティックサロン」に開示可能であるが、「体重」については開示可能ではない。従って、利用者側端末11は、開示拒否メッセージを情報開示請求側端末31へ返答する。
【0070】
(S2)ここで、利用者側端末11は、情報開示請求側端末31から「健康メニュー提供」を開示誘引情報として打診していることを考慮し、なるべく個人情報の開示をすべく、情報開示請求側端末31へ情報開示条件提示メッセージを送信する。そのメッセージには、「身長」及び「血圧」の情報要素名について開示が可能である旨が含まれる。このメッセージを受信した情報開示請求側端末31は、その開示内容のみでよい場合、了承メッセージを利用者側端末11へ送信する。了承メッセージを受信した利用者側端末11は、「身長」及び「血圧」の情報を情報開示請求側端末31へ送信し、情報開示する。
【0071】
(S3)一方、他の実施形態として、情報開示請求側端末31が、情報開示誘引条件メッセージを利用者側端末11へ送信することもできる。そのメッセージには、例えば「無料健康相談券提供」が含まれている。このメッセージを受信した利用者側端末11は、「無料健康相談券提供」のサービスが得られるのであれば「体重」の情報を開示してもよいと判断した場合、了承の旨及び「体重」の情報を情報開示請求側端末31へ送信し、情報開示する。これに対して、情報開示請求側端末31は、個人情報に基づく「健康メニュー提供」だけでなく、「無料健康相談券提供」も行う。
【0072】
(S4)更に、他の実施形態として、利用者側11が、情報開示可能条件メッセージを利用者側端末11へ送信することもできる。そのメッセージには、例えば「無料健康相談券提供」が含まれている。このメッセージを受信した情報開示請求側端末31が、「無料健康相談券提供」のサービスを提供できるのであれば、その旨の了承メッセージを利用者側端末11へ送信し、その利用者側端末11から「体重」の情報を受信することができる。
【0073】
【発明の効果】
本発明による個人情報の分散開示制御方法及びシステムによれば、ネットワークを介して個人情報を管理する上で、分散ポリシによって個人情報の機密性を保持しつつ、開示ポリシによって状況に応じた個人情報の開示をすることが可能となる。また、分散ポリシ及び開示ポリシを動的に制御することにより、利用者の置かれた状況に応じて、より柔軟に個人情報を分散及び開示することが可能となる。
【0074】
具体的には、利用者側端末で管理されるような機密性の高い個人情報であっても、開示ポリシに合致する場合(例えば、同じ趣味をもつ「サークルメンバ」)には個人情報を外部に開示することが可能となる。また、逆に、情報開示サーバで管理される情報であっても、開示ポリシに合致しない場合には個人情報の外部への開示を制限することが可能となる。更に、開示ポリシに合致しない個人情報であっても、利用者の置かれた状況に応じて開示可能となるよう促すように制御される。
【図面の簡単な説明】
【図1】本発明のシステム構成図である。
【図2】本発明による利用者側端末11の機能構成図である。
【図3】情報開示サーバ21の構成図である。
【図4】本発明による個人情報の分散制御のフローチャートである。
【図5】本発明による個人情報の開示制御のフローチャートである。
【図6】本発明による利用者側端末と情報開示請求側端末との間のシーケンス図である。
【符号の説明】
01 ネットワーク 11、12、13 利用者側端末
21 情報開示サーバ
31 情報開示請求側端末
41 調停者端末
101 端末表示手段
102 端末操作手段
103 データ送受信手段
104 分散ポリシ蓄積手段
105 個人情報蓄積手段
106 開示ポリシ蓄積手段
107 状況依存型開示制御手段
108 端末制御手段
201 データ送受信手段
202 個人情報蓄積手段
203 開示ポリシ蓄積手段
204 状況依存型開示制御手段
205 調停手段
206 サーバ制御手段
Claims (8)
- ネットワークを介して接続された利用者側端末と情報開示サーバと情報開示請求側端末との間で、利用者の個人情報を送受信する個人情報の分散開示制御方法であって、
前記利用者側端末は、前記個人情報の複数の情報要素に対して、分散ポリシ情報及び開示ポリシ情報を対応付けたテーブル情報を有し、
前記分散ポリシ情報に基づいて、前記情報要素及び前記開示ポリシ情報を、前記利用者側端末又は前記情報開示サーバのいずれか一方に分散記憶する第1のステップと、
前記情報開示請求側端末が、情報開示請求側の帰属情報と、開示を要求する1つ以上の情報要素名とからなる開示要求メッセージを、前記利用者側端末又は前記情報開示サーバへ送信する第2のステップと、
前記利用者側端末又は前記情報開示サーバが、開示要求された前記全ての情報要素について、該情報要素に対応する前記開示ポリシと、前記情報開示請求側の帰属情報とを比較し、前記個人情報の情報要素の開示の可否を決定する第3のステップと、
前記利用者側端末又は前記情報開示サーバが、開示要求された全ての前記情報要素の開示ができる場合、前記全ての情報要素を前記情報開示請求側端末へ送信し、前記情報要素の開示ができない場合、開示拒否メッセージを前記情報開示請求側端末へ送信する第4のステップと
を有することを特徴とする個人情報の分散開示制御方法。 - 前記第4のステップは、前記利用者側端末又は前記情報開示サーバが、前記情報開示請求側端末から開示要求された全ての情報要素については開示できないが、一部の情報要素については開示できる場合、開示可能な情報要素名を前記情報開示請求側端末へ送信することを特徴とする請求項1に記載の個人情報の分散開示制御方法。
- 前記テーブル情報は、前記情報要素に対して更に開示可能条件を有し、
前記情報開示請求側端末が、開示を強く要求する情報要素名と、開示誘引情報とからなる交渉メッセージを、前記利用者側端末又は前記情報開示サーバへ送信する第5のステップと、
前記利用者側端末又は前記情報開示サーバが、前記情報要素名に対応する前記開示可能条件と、前記開示誘引情報とを比較し、前記個人情報の開示の可否を決定する第6のステップと、
前記利用者側端末又は前記情報開示サーバが、前記情報要素の開示ができる場合、前記情報要素を前記情報開示請求側端末へ送信し、前記情報要素の開示ができない場合、開示拒否メッセージを前記情報開示請求側端末へ送信する第7のステップと
を有することを特徴とする請求項1又は2に記載の個人情報の分散開示制御方法。 - 前記テーブル情報は、前記情報要素に対して更に開示可能条件を有し、
前記利用者側端末又は前記情報開示サーバが、前記開示可能条件からなる交渉メッセージを、前記情報開示請求側端末へ送信する第5のステップと、
前記情報開示請求側端末が、前記開示可能条件の受け入れの可否を決定する第6のステップと、
前記情報開示請求側端末が、前記開示可能条件の内容の提供ができる場合、了承メッセージを前記利用者側端末又は前記情報開示サーバへ送信する第7のステップと
を有することを特徴とする請求項1又は2に記載の個人情報の分散開示制御方法。 - ネットワークを介して接続された利用者側端末と情報開示サーバと情報開示請求側端末との間で、利用者の個人情報を送受信するように構成された個人情報の分散開示制御システムであって、
前記利用者側端末は、前記個人情報の複数の情報要素に対して、分散ポリシ情報及び開示ポリシ情報を対応付けたテーブル情報を有し、
前記分散ポリシ情報に基づいて、前記情報要素及び前記開示ポリシ情報を、前記利用者側端末又は前記情報開示サーバのいずれか一方に分散記憶するように構成されており、
前記情報開示請求側端末は、情報開示請求側の帰属情報と、開示を要求する1つ以上の情報要素名とからなる開示要求メッセージを、前記利用者側端末又は前記情報開示サーバへ送信する送信手段を有し、
前記利用者側端末又は前記情報開示サーバは、開示要求された前記全ての情報要素について、該情報要素に対応する前記開示ポリシと、前記情報開示請求側の帰属情報とを比較し、前記個人情報の情報要素の開示の可否を決定する決定手段と、開示要求された全ての前記情報要素の開示ができる場合、前記全ての情報要素を前記情報開示請求側端末へ送信し、前記情報要素の開示ができない場合、開示拒否メッセージを前記情報開示請求側端末へ送信する送信手段と
を有することを特徴とする個人情報の分散開示制御システム。 - 前記利用者側端末又は前記情報開示サーバの前記送信手段は、前記情報開示請求側端末から開示要求された全ての情報要素については開示できないが、一部の情報要素については開示できる場合、開示可能な情報要素名を前記情報開示請求側端末へ送信するように構成されていることを特徴とする請求項5に記載の個人情報の分散開示制御システム。
- 前記テーブル情報は、前記情報要素に対して更に開示可能条件を有し、
前記情報開示請求側端末は、開示を強く要求する情報要素名と、開示誘引情報とからなる交渉メッセージを、前記利用者側端末又は前記情報開示サーバへ送信する手段を有し、
前記利用者側端末又は前記情報開示サーバは、前記情報要素名に対応する前記開示可能条件と、前記開示誘引情報とを比較し、前記個人情報の開示の可否を決定する手段と、前記情報要素の開示ができる場合、前記情報要素を前記情報開示請求要求側端末へ送信し、前記情報要素の開示ができない場合、開示拒否メッセージを前記情報開示請求側端末へ送信する手段とを有する
ことを特徴とする請求項5又は6に記載の個人情報の分散開示制御システム。 - 前記テーブル情報は、前記情報要素に対して更に開示可能条件を有し、
前記利用者側端末又は前記情報開示サーバは、前記開示可能条件からなる交渉メッセージを、前記情報開示請求側端末へ送信する手段を有し、
前記情報開示請求側端末は、前記開示可能条件の受け入れの可否を決定する手段と、前記開示可能条件の内容の提供ができる場合、了承メッセージを前記利用者側端末又は前記情報開示サーバへ送信する手段とを有する
ことを特徴とする請求項5又は6に記載の個人情報の分散開示制御システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002337674A JP2004171343A (ja) | 2002-11-21 | 2002-11-21 | 個人情報の分散開示制御方法及びシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002337674A JP2004171343A (ja) | 2002-11-21 | 2002-11-21 | 個人情報の分散開示制御方法及びシステム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004171343A true JP2004171343A (ja) | 2004-06-17 |
Family
ID=32701112
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002337674A Withdrawn JP2004171343A (ja) | 2002-11-21 | 2002-11-21 | 個人情報の分散開示制御方法及びシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004171343A (ja) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006146707A (ja) * | 2004-11-22 | 2006-06-08 | Alpine Electronics Inc | 情報交換システム |
| JP2007122323A (ja) * | 2005-10-27 | 2007-05-17 | Japan Research Institute Ltd | 販売促進支援装置、販売促進支援方法および販売促進支援プログラム |
| JP2010244272A (ja) * | 2009-04-06 | 2010-10-28 | Nippon Telegr & Teleph Corp <Ntt> | 個人属性情報管理方法、個人属性情報管理システムおよび個人属性情報管理プログラム |
| US7836512B2 (en) | 2005-09-28 | 2010-11-16 | Ntt Docomo, Inc. | Information transmission terminal, information transmission method, article information transmission system and article information transmission method |
| JP2013512525A (ja) * | 2009-12-18 | 2013-04-11 | インテル コーポレイション | インセンティブを利用してサービス・プロバイダーにコンテキストを提供する技法およびユーザー管理されるプライバシー |
| JP2014002771A (ja) * | 2008-08-21 | 2014-01-09 | Intellectual Ventures Fund 83 Llc | ユーザによって管理されるプロファイルおよびその選択的伝送 |
| JPWO2013121790A1 (ja) * | 2012-02-17 | 2015-05-11 | 日本電気株式会社 | プライバシ情報を扱う情報処理装置、プライバシ情報を扱う情報処理システム、プライバシ情報を扱う情報処理方法及びプログラム |
| US10082574B2 (en) | 2011-08-25 | 2018-09-25 | Intel Corporation | System, method and computer program product for human presence detection based on audio |
| JP2019512793A (ja) * | 2016-03-22 | 2019-05-16 | マジック リープ, インコーポレイテッドMagic Leap,Inc. | バイオメトリック情報を交換するように構成された頭部搭載型ディスプレイシステム |
| WO2019107405A1 (ja) * | 2017-12-01 | 2019-06-06 | オムロンヘルスケア株式会社 | 生体情報測定装置、通信装置、システム、方法及びプログラム |
| WO2023166719A1 (ja) * | 2022-03-04 | 2023-09-07 | 日本電気株式会社 | 処理装置、処理システム、処理方法、および記録媒体 |
-
2002
- 2002-11-21 JP JP2002337674A patent/JP2004171343A/ja not_active Withdrawn
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006146707A (ja) * | 2004-11-22 | 2006-06-08 | Alpine Electronics Inc | 情報交換システム |
| JP4563150B2 (ja) * | 2004-11-22 | 2010-10-13 | アルパイン株式会社 | 情報交換システム |
| US7836512B2 (en) | 2005-09-28 | 2010-11-16 | Ntt Docomo, Inc. | Information transmission terminal, information transmission method, article information transmission system and article information transmission method |
| JP2007122323A (ja) * | 2005-10-27 | 2007-05-17 | Japan Research Institute Ltd | 販売促進支援装置、販売促進支援方法および販売促進支援プログラム |
| JP2014002771A (ja) * | 2008-08-21 | 2014-01-09 | Intellectual Ventures Fund 83 Llc | ユーザによって管理されるプロファイルおよびその選択的伝送 |
| JP2010244272A (ja) * | 2009-04-06 | 2010-10-28 | Nippon Telegr & Teleph Corp <Ntt> | 個人属性情報管理方法、個人属性情報管理システムおよび個人属性情報管理プログラム |
| JP2013512525A (ja) * | 2009-12-18 | 2013-04-11 | インテル コーポレイション | インセンティブを利用してサービス・プロバイダーにコンテキストを提供する技法およびユーザー管理されるプライバシー |
| US10082574B2 (en) | 2011-08-25 | 2018-09-25 | Intel Corporation | System, method and computer program product for human presence detection based on audio |
| JPWO2013121790A1 (ja) * | 2012-02-17 | 2015-05-11 | 日本電気株式会社 | プライバシ情報を扱う情報処理装置、プライバシ情報を扱う情報処理システム、プライバシ情報を扱う情報処理方法及びプログラム |
| JP2019512793A (ja) * | 2016-03-22 | 2019-05-16 | マジック リープ, インコーポレイテッドMagic Leap,Inc. | バイオメトリック情報を交換するように構成された頭部搭載型ディスプレイシステム |
| US11436625B2 (en) | 2016-03-22 | 2022-09-06 | Magic Leap, Inc. | Head mounted display system configured to exchange biometric information |
| JP7233927B2 (ja) | 2016-03-22 | 2023-03-07 | マジック リープ, インコーポレイテッド | バイオメトリック情報を交換するように構成された頭部搭載型ディスプレイシステム |
| JP7416552B2 (ja) | 2016-03-22 | 2024-01-17 | マジック リープ, インコーポレイテッド | バイオメトリック情報を交換するように構成された頭部搭載型ディスプレイシステム |
| WO2019107405A1 (ja) * | 2017-12-01 | 2019-06-06 | オムロンヘルスケア株式会社 | 生体情報測定装置、通信装置、システム、方法及びプログラム |
| JP2019101752A (ja) * | 2017-12-01 | 2019-06-24 | オムロンヘルスケア株式会社 | 生体情報測定装置、通信装置、システム、方法及びプログラム |
| JP7064854B2 (ja) | 2017-12-01 | 2022-05-11 | オムロンヘルスケア株式会社 | 生体情報測定装置、通信装置、システム、方法及びプログラム |
| WO2023166719A1 (ja) * | 2022-03-04 | 2023-09-07 | 日本電気株式会社 | 処理装置、処理システム、処理方法、および記録媒体 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4764451B2 (ja) | 属性情報開示システム、属性情報開示方法および属性情報開示処理プログラム | |
| US8566109B2 (en) | Common interest community service via presence messaging | |
| US20080104495A1 (en) | Profile display in virtual social networks | |
| EP1875719B1 (en) | A method and arrangement for providing context information | |
| US8798544B2 (en) | Wireless communications using coinciding multiple pairing criteria | |
| US9009236B2 (en) | Information delivery system, delivery destination control method and delivery destination control program | |
| WO2007068195A1 (fr) | Procede et systeme de demande d'informations d'utilisateur, agent de recherche, client et serveur | |
| US20130304488A1 (en) | Method to support an advanced home services coordination platform | |
| JP2003524269A (ja) | 健康情報を配布するための方法およびシステム | |
| EP1379971A2 (en) | Schemas for a notification platform and related information services | |
| JP2004139525A (ja) | 個人情報提供システム、個人情報提供方法 | |
| JP2004171343A (ja) | 個人情報の分散開示制御方法及びシステム | |
| WO2012070571A1 (ja) | Sns統括サイト管理装置、及びsns統括サイトを利用した情報開示方法 | |
| JP2006309737A (ja) | 開示情報提示装置、個人特定度算出装置、id度取得装置、アクセス制御システム、開示情報提示方法、個人特定度算出方法、id度取得方法、及びプログラム | |
| JP2002073561A (ja) | 通信網を介してアクセスするユーザの認証方法及び認証システム、並びに、これらを利用した情報処理システム | |
| JP4372936B2 (ja) | 代行管理方法及びエージェント装置 | |
| WO2020066276A1 (ja) | 予約管理装置、予約管理方法およびプログラム | |
| US20140082075A1 (en) | Method for managing converged address book capability | |
| KR100303094B1 (ko) | 네트워크 의료 서비스 시스템 및 방법 | |
| EP3026617A1 (en) | Method and apparatus for controlling access to user profiles | |
| JP2024072773A (ja) | 情報処理システム、情報処理装置、プログラムおよび情報処理方法 | |
| JP4155809B2 (ja) | 情報開示支援方法とサーバ、並びに情報開示支援プログラム | |
| JP2001109800A (ja) | ネットワークコミュニケーションシステム、コミュニケーションサーバ装置及びコミュニケーション相手紹介方法 | |
| EP3026618A1 (en) | Method and apparatus for controlling access to user profiles | |
| US9307074B1 (en) | Information transmission device and system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20060207 |