JP2004178486A - 監視サーバおよび監視方法 - Google Patents

監視サーバおよび監視方法 Download PDF

Info

Publication number
JP2004178486A
JP2004178486A JP2002346911A JP2002346911A JP2004178486A JP 2004178486 A JP2004178486 A JP 2004178486A JP 2002346911 A JP2002346911 A JP 2002346911A JP 2002346911 A JP2002346911 A JP 2002346911A JP 2004178486 A JP2004178486 A JP 2004178486A
Authority
JP
Japan
Prior art keywords
communication
personal information
information
data
communication data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Abandoned
Application number
JP2002346911A
Other languages
English (en)
Inventor
Kenta Cho
健太 長
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2002346911A priority Critical patent/JP2004178486A/ja
Publication of JP2004178486A publication Critical patent/JP2004178486A/ja
Abandoned legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】サービス提供側で決定され、ユーザが同意される個人情報収集規定が、正しく守られて通信されるシステムの保証を行う監視サーバの提供。
【解決手段】監視サーバ20は、クライアント10とプロバイダ30との間の一連の通信シーケンスを監視する。監視サーバ20は、送受信部21と、データを匿名化する匿名化部25と、該端末と該情報提供装置間の一連の通信手続に、該情報提供装置の個人情報収集規定情報を反映させた通信シーケンステーブルを記憶する通信シーケンステーブル記憶部23と、監視制御部22とを備える。監視制御部22は、通信シーケンステーブルに従って、正常に通信がされていることの監視、および、匿名が必要なものは匿名化するよう指示する。
【選択図】 図2

Description

【0001】
【発明の属する技術分野】
本発明は、インターネットなどを利用した情報提供サービスに関する技術分野に属する。特に、ユーザからのアクセスにより、ユーザへ情報を提供しつつ、ユーザの個人情報を取得するサービス形態における正当な手続の監視に関する。
【0002】
【従来の技術】
近年、インターネットのWWWのホームページを利用したシステムとして、ホームページを提供するサイトは、個々のユーザからの要求により個々のユーザへ好みの情報を提供しつつ、個々のユーザの要求に基づく好み等を抽出しこれを含めた個人情報を取得して蓄積し、個々のユーザに対し、それら個人情報に基づき例えば追加情報を提供するものが増えている。例えば、このようなシステムとしては、インターネットオークションシステムがある。インターネットオークションシステムは、ある期間、インターネットのホームページ上で商品を提示し、不特定多数のユーザから購入要求のアクセスを受けて、所定の決定法(最も金額の高い、等)に基づいて、落札者を決定するものであるが、これと同時に、購入要求のアクセス履歴を取得しておき、落札できなかったユーザへ、アクセス履歴に含まれる、ユーザのクライアントIDや、要求商品等の個人情報に基づいて、要求商品と類似する商品などの情報を提供するような仕組みを含んでいるものがある。
【0003】
このようなシステムには、1)アクセスすることにより、ユーザが望まない個人情報を取得されてしまう、2)(不特定多数のユーザが対象であるから、)サイトへ不正にアクセスを受ける可能性が有る、等の問題があった。
【0004】
1)の問題を解決する方法としては、例えば、ユーザの端末がサービス提供装置へアクセスするときに、ユーザ識別子を匿名化する仲介装置を介してアクセスすることにより、サービス提供装置へユーザの個人情報の漏洩を防ぐものが提案されている(例えば、特許文献1参照)。
【0005】
また、2)の問題を解決する方法としては、例えば、ネットワークに接続される計算機間の通信データの通信状態を監視するネットワークアクセス制御装置により、各計算機で規定された通信シーケンスに従った通信がされているかを監視し、正常な通信のみ、通信を許す仕組みが提案されている(例えば、特許文献2参照)。
【0006】
【特許文献1】
特開2002−183092公報
【特許文献2】
特開2001−34553公報
【0007】
【発明が解決しようとする課題】
上記1)、上記2)の解決方法を組み合わせたシステムを提供することにより上記1)、2)の問題は個々には解決できる。しかしながら、上記1)の解決方法は、ユーザ側の意思によるものであって、サービス提供側にとって必要な個人情報が匿名化されてしまうことがあるため、サービス提供側で必要な個人情報を取得できないといった新たな問題点が生ずる。
【0008】
そこで、サービス提供側からユーザへ最初に情報を提供する前に、サービス提供側の個人情報収集規定(セキュリティポリシー)を文書化したものを、ユーザの画面上に提示した上で、これに同意したユーザのみがアクセスすることにより、この新たな問題点を解決するようになってきている。つまり、サービス提供側でユーザの個人情報の漏洩に配慮しながら、手続を決め、且つ、それをユーザへ提示し、ユーザが同意の上でシステムが動作する方法が取られている。
【0009】
しかし、このような方法で実現されるシステムは、ユーザからすれば、サービス提供側から提示されたセキュリティポリシー通りに、正しく個人情報の収集が行われていることの保証が無いシステムであり、この点が依然として問題点として残る。
【0010】
本発明は、上記問題点に鑑みなされたものであり、サービス提供側で決定され、ユーザが同意される個人情報収集規定(セキュリティポリシー)が、正しく守られて動作しているかを監視することにより、システムを保証する監視サーバ及び監視方法を、提供することを目的とする。
【0011】
【課題を解決するための手段】
上記課題を解決するための本発明の監視サーバは、ユーザが要求を指示する端末と、該端末からの要求に基づき該クライアントへ情報提供を行う情報提供装置と、ネットワークを介して接続される監視サーバであって、該ネットワークからの通信データを受信するとともに、該ネットワークへ通信データを送信する送受信手段と、入力されたデータを匿名化し出力する匿名化手段と、該端末と該情報提供装置間の一連の通信手続を示す通信シーケンス情報と該情報提供装置の個人情報収集規定情報とに基づいて、前記送受信手段で受信した通信データが、正しく通信されているかを監視し、該通信データが正しく通信されている場合に、該通信シーケンス情報と該個人情報収集規定とに基づいて、該通信データの少なくとも一部のデータを匿名化する必要があるか否かを確認し、必要があると確認された際に、前記匿名化手段で該少なくとも一部のデータを匿名化させて得た匿名化済データを該通信データの少なくとも一部のデータと置換し、置換後の通信データを前記送受信手段へ供給する監視制御手段と、を備えた。
【0012】
また、本発明の監視サーバは、ユーザが要求を指示する端末と、該端末からの要求に基づき該クライアントへ情報提供を行う情報提供装置と、ネットワークを介して接続される監視サーバであって、該ネットワークからの通信データを受信するとともに、該ネットワークへ通信データを送信する送受信手段と、入力されたデータを匿名化し出力する匿名化手段と、該端末と該情報提供装置間の一連の通信手続に、該情報提供装置の個人情報収集規定情報を反映させた通信シーケンステーブルに基づいて、前記送受信手段で受信した通信データが、正しく通信されているかを監視し、該通信データが正しく通信されている場合に、該通信シーケンステーブルに基づいて、該通信データの少なくとも一部のデータを匿名化する必要があるか否かを確認し、必要があると確認された際に、前記匿名化手段で該少なくとも一部のデータを匿名化させて得た匿名化済データを該通信データの少なくとも一部のデータと置換し、置換後の通信データを前記送受信手段へ供給する監視制御手段と、を備えた。
【0013】
より好ましくは、該通信シーケンス情報は予め登録されており、該個人情報収集規定情報はユーザが最初に指示した該クライアントへの要求に対応した応答の通信データに含まれているようにしても良い。
【0014】
また、該通信シーケンス情報と、該個人情報収集規定情報とは、ユーザが最初に指示した該クライアントへの要求に対応した応答の通信データに含まれているようにしても良い。
【0015】
本発明は、上記のようにしたことにより、情報提供装置の側で決定され、端末側が同意される個人情報収集規定(セキュリティポリシー)が、正しく守られて動作している場合にのみ、一連の通信が正常に行われるので、信頼性の高いシステムが構築可能になる。
【0016】
また、該通信シーケンス情報と該個人情報収集規定とに基づいて、個人情報生成方法を生成しておき、受信した通信データが個人情報生成依頼であることが判別された際に、該個人情報生成方法に基づいて個人情報を生成し、該情報提供装置へ生成された個人情報を送信するようにしても良い。
【0017】
これにより、更に情報提供装置は、望まれる個人情報の取得も可能になる。
【0018】
【発明の実施の形態】
以下、本発明の実施の形態を図面を用いて説明する。
【0019】
図1は、本発明の第一の実施形態に係るネットワークシステムの全体を示したものである。このネットワークシステムは、多数のクライアント10、管理サーバ20、多数のプロバイダ30とを備え、互いにネットワーク40を介して接続されており、各プロバイダ30は、各クライアントへ情報の提供を中心とした様々なサービスを提供するものである。
【0020】
各クライアント10は、ユーザからプロバイダ30への要求(ユーザ要求)を行うため、及び、プロバイダ30からユーザへの要求に対する応答(プロバイダ応答)を提示するためのユーザインターフェース(UI)部11と、UI部11からのプロバイダ30への要求を管理サーバ20へ送信を行うための、及び、プロバイダ30からユーザへのプロバイダ応答を管理サーバ20から受信してUI部11へ送信するためのインタフェースプロキシ部12とを備えたものである。このような各クライアント10は、例えば、パーソナルコンピュータ/PDA/携帯電話/コンビニエンスストアなどにある端末単体や、そのような端末それぞれとプロキシサーバとの組み合わせなどで実現可能である。
【0021】
プロバイダ30は、管理サーバ20から送られるユーザからプロバイダ30への要求(ユーザ要求)を受信し、ユーザの要求に対する応答(プロバイダ応答)を管理サーバ20へ送信するサイト・サーバ31を備える。また、プロバイダ30は、サイト・サーバ31へのユーザ要求から得られる個人情報を管理サーバ20から得て蓄積する、個人情報蓄積部32を備える。
【0022】
管理サーバ20は、主に、クライアント10とプロバイダ30との間の一連の通信を監視する機能と、プロバイダ30に対しユーザの個人情報を保護するために通信データの一部を選択的に匿名化を行う機能と、プロバイダ30によって予め定められた方法に従って、そのプロバイダ30へのユーザ要求から個人情報を生成し、そのプロバイダ30の個人情報蓄積部32へ送る機能と、を備える。なお、管理サーバ20は、クライアント10と、プロバイダ30とに中立的な立場で管理を行うものである。この管理サーバ20の機能ブロック構成を図2に示す。
【0023】
送受信部21は、ネットワーク40と接続されており、ネットワーク40から管理サーバ20宛てに送られてくる通信データを受信し、また、管理サーバ20からネットワーク40を介し、クライアント10、プロバイダ30へ通信データを送信するものである。
【0024】
監視制御部22は、送受信部21で受信した通信データがプロバイダ30の規定する通信シーケンスで通信されたものであるか否かの監視、及び、プロバイダ30の規定する通信シーケンスに従って匿名化、個人情報作成、通信データの転送等の制御指示を行なうものである。監視制御部22は、所定の通信シーケンスを監視する時に、後述の通信シーケンステーブルを一時的に保持するワークメモリ(図示しない)を備える。また、監視制御部22は、通信データの送信をランダムに遅延する機能を備え、個人情報生成部52によって生成された個人情報を取得した場合には、図示しないランダム遅延タイマを設定し、設定された時間遅延後に個人情報を送信する。この遅延を行う理由は、プロバイダ30に対し、匿名化した匿名IDがどのクライアントIDに対応するかを、通信シーケンスから推定されにくくするためである。
【0025】
ここで、プロバイダ30の規定する通信シーケンスの一例を図3に、この通信シーケンスの通信シーケンステーブルの一例を図4に示す。
【0026】
ここで言う通信シーケンスとは、プロバイダ30がクライアント10及び管理サーバ20との間で行われる、通信データを含む一連の通信のフローのことであり、プロバイダ30のシステム設計に依存する。プロバイダ30は、通信シーケンスを定める際に、プロバイダ30で規定する個人情報収集規定を勘案してシステム設計する。例えば、図3の通信シーケンスでは、順に、(1)クライアント10から管理サーバ20へ通信データ[ユーザがアクセス要求を行なうURL、クライアントID]が通信され、(2)管理サーバ20からサイト・サーバ31へ通信データ[URL、匿名ID]が通信され、(3)サイト・サーバ31から管理サーバ20へ通信データ[選択画面(例えば前記URLで指定されたWWWのホームページ)]が通信され、(4)管理サーバ20からクライアント10へ通信データ[選択画面]が通信され、(5)クライアント10から管理サーバ20へ通信データ[クライアントが選択画面から指定した曲名、クライアントID]が通信され、(6)管理サーバ20からサイト・サーバ31へ通信データ[曲名、匿名ID]が通信され、(7)サイト・サーバ31から管理サーバ20へ通信データ[その曲の音楽ジャンル(例えば、クラッシック、ポップス等)]が通信され、(8)サイト・サーバ31から管理サーバ20へ通信データ[曲名で指定されたコンテンツ]が通信され、(9)管理サーバ20からクライアント10へ通信データ[コンテンツ]が通信され、(10)管理サーバ20から個人情報蓄積部32へ通信データ[クライアントID、ジャンル]が通信されることを示している。
【0027】
これらの各通信(1)〜(10)は、管理サーバ20を除いた通信として考えた時、上記通信(1)と(2)、(3)と(4)、(5)と(6)、(7)と(10)、及び(8)と(9)とに組分けできる。上記通信(1)と(2)、(3)と(4)、(5)と(6)、及び(8)と(9)の4つの通信組は、もし管理サーバ20が介在しない時には、各1つの通信として直接行われるものである。一方、通信(7)と(10)との組は、上記の4つの通信組とは異なり、管理サーバ20へ処理を指示し、処理回答をもらうものであるが、ここでは一つの組として扱うこととする。
【0028】
また、図3の通信シーケンステーブルには、各通信組の通信時間の標準時間T(ここではn=1・・・5)が定められている。
【0029】
通信シーケンステーブルは、この通信シーケンスを、管理サーバ20内で解釈可能なように所定の形式に従ってデータ化したものであり、一連の通信シーケンスは一つのテーブルで構成される。図4の例においては、図3の通信シーケンスに対応する通信シーケンステーブルを示したものである。
【0030】
通信シーケンステーブルには、一意に特定するためのシーケンスIDが付される。テーブルの各行は、上記で示した各通信組毎の通信内容が示されており、これら通信組は、通信の開始順に並べられている。ここでは、上記の通信シーケンスの(1)(2)は通信シーケンステーブルの通信番号1で、上記の通信シーケンスの(3)(4)は通信シーケンステーブルの通信番号2で、上記の通信シーケンスの(5)(6)は通信シーケンステーブルの通信番号3で、上記の通信シーケンスの(7)(10)は通信シーケンステーブルの通信番号4で、上記の通信シーケンスの(8)(9)は通信シーケンステーブルの通信番号5で示されている。テーブルの各列は、通信番号、送信元、送信先、通信データ内容、匿名操作するデータ、通信組の最小通信時間間隔、同最大通信時間間隔とを記述するフィールドを備える。また、匿名操作フィールドは、データが記憶されている場合にはそのデータを匿名化することを示し、データが記憶されていない(図では「無し」)場合には匿名操作を行わないことを示す。
【0031】
また、以上説明した通信シーケンス及び通信シーケンステーブルは、ここで示したものに限るものではなく、通信シーケンスは、管理サーバ20の管理者が指定する表記方法に基づくもので何れの表記方法でも良く、また通信シーケンステーブルは、管理サーバ20が動作可能なデータ形式で定義されれば、何れのデータ形式でも良いことは勿論である。
【0032】
図2に戻って、通信シーケンステーブル記憶部23は、上記で示した通信シーケンステーブルを多数記憶するものである。通信シーケンステーブルの記憶部23への記憶は、テーブル登録部24によって、管理サーバ20の管理者が行う。
【0033】
匿名化部25は、乱数を発生する乱数発生手段(図示しない)を備え、ここでは、監視制御部22で監視した通信データに対応のシーケンステーブルの行の匿名化フィールドにデータが含まれている時、実行すべきデータ(ここでは、通信データに含まれるクライアントID)を、発生された乱数(ここでは、匿名IDと称す)に置き換え匿名化する。そして、匿名IDは、そのクライアントIDと対応づけて、匿名化対応テーブル記憶部26に記憶される。この記憶部26に記憶される内容の一例を図5を示す。
【0034】
匿名化部25によって得られた匿名IDは、監視制御部22によって、通信データに含まれるクライアントIDに置き換えられ、匿名IDを含む通信データは、送受信部21へ送られ、送受信部21はこの通信データを送る。
【0035】
個人情報生成部27は、監視制御部22からの指示により、監視制御部22から受けたシーケンス番号に対応する個人情報生成方法を個人情報生成方法記憶部28から読み出して、その個人情報生成方法に従って個人情報を生成する。個人情報生成方法記憶部28に記憶される個人情報生成方法は、通信シーケンステーブルを登録するときに個人情報生成方法登録部29から併せて登録される。図3、図4の例に対応する個人情報生成方法の例としては、「通信データの内容に含まれるジャンルをクライアントIDと対応づける」旨を記述し、登録する。生成された個人情報は、監視制御部22へ送られる。なお、監視制御部22は、監視している通信データの送信先が、個人情報蓄積部を示しているときに、プロバイダ30から個人情報生成の依頼を受けたと判断し、個人情報生成部27へ、この通信シーケンステーブルのシーケンスIDを送り、個人情報の生成を指示する。
【0036】
次に、本システムにおける動作を説明する。まず、本システムでは、前処理として、プロバイダ30が通信シーケンスを管理サーバ20へ登録依頼し、これを登録する必要がある。まず、この通信シーケンスの登録処理について図6を用いて説明する。
【0037】
プロバイダ30は、ユーザへ提供するサービスに従ったシステムの設計を行う(S101)。このとき、プロバイダ30は、一般にユーザとの通信のやり取りを行う際の一連の通信手順や通信データの内容決めるが、この他に、ユーザへ提示する個人情報収集規定(セキュリティポリシー)を決定し、この規約に沿って通信データの一部を匿名化するよう決定し、また、この規約に沿った個人情報の収集の依頼を通信手順を含めたシステムの設計とする。このシステム設計された際の通信手順がここでいう通信シーケンスである。
【0038】
次に、プロバイダ30は、システム設計された通信シーケンスを紙面、等で作成し、管理サーバ20の管理者へ登録依頼する(S102)。
【0039】
管理サーバ20の管理者は、依頼を受けた通信シーケンスに基づいて、通信シーケンステーブルを作成する(S103)。作成した通信シーケンステーブルに、このサービスを行なう通信シーケンスのシーケンスIDを付し、テーブル登録部24によって、通信シーケンステーブル記憶部23へ登録する(S104)。また、通信シーケンスで示される管理サーバ20で収集される個人情報についての生成方法を前記シーケンスIDと対応づけて個人情報生成方法登録部29によって個人情報生成方法記憶部28へ登録する(S105)。
【0040】
以上により、登録処理は完了する。なお、ここでは本実施の形態に係る動作を述べたに留まっているが、実際にサービスを行う際には、プロバイダ30から登録依頼された通信シーケンスが、プロバイダ30側の動作、セキュリティポリシーを正しく示したものであるか確認する必要があることは勿論である。
【0041】
次に、管理サーバ20の動作について図7のフロ−チャートを用い、説明する。
【0042】
管理サーバ20の送受信部21は、通信データを受信する(S201)。送受信部21は、この受信した通信データを監視制御部22へ渡し、監視制御部22は、受信した通信データが、クライアント10からプロバイダ30へのアクセス開始の通信か否かを判断する(S202)。この判断は、例えば、通信データにURLが含まれているか(ホームページの要求が行われているか)否かを確認することにより判断できる。なお、別の方法で判断しても良いことは勿論である。ここで、アクセス開始の通信データであると判断したとき、監視制御部22は、通信データの送信先(とURLと)で特定されるシーケンスIDで、通信シーケンステーブル記憶部23を検索し、ワークメモリへ読み出す(S203)。
なお、ここでは、説明の便宜上、同じ通信シーケンスを多数のユーザで並行してアクセス可能なことを想定せずに説明するが、例えば、クライアントIDおよびクライアント10内で一意になるよう管理されているアクセスIDを含めて通信を特定することにより、それぞれのクライアント10から同じ通信シーケンスを同時に複数動作しても識別でき、また、同じクライアント10から同じ通信シーケンスを同時に複数動作しても識別できる。
【0043】
ステップS203の次に、読み出したワークメモリに記憶した通信シーケンステーブルの1行目に現在実行中の通信を指すポインタを設定する(ポインタの初期設定)(S204)。
【0044】
次に、S202でアクセス開始の通信でないと判断された場合、すなわち既に通信監視中である場合、または、ステップS104にてポインタが初期設定された後、通信データの内容を、ワークメモリに記憶されるポインタが示すテーブルの行を参照して、通信シーケンステーブルに従った正しい通信データであるかを判断する(S205)。もし、通信シーケンステーブルに従ったものでないと判断された場合には、正しい通信がなされていないので、通信を遮断し(S206)、不正通信の後処理を行って(S207)、ワークメモリに記憶されるこの通信の通信シーケンステーブルを消去し(S217)、終了する。ここで、不正通信の後処理とは、例えば、管理サーバ20のモニタ(図示しない)へその旨を通知し、通信の異常を知らせることや、その通信のログを保存することなどが考えられる。
【0045】
一方、ステップS205で、通信シーケンステーブルに従ったものであると判断されると、次に通信データはプロバイダ30からの個人情報の生成依頼であるか否かを判定する(S208)。もし、個人情報の作成依頼であれば、個人情報生成部27で、シーケンス番号で特定される個人情報生成方法を個人情報生成方法記憶部28から読み出して、これに基づき個人情報の生成を行なう(S209)。生成された個人情報は、監視制御部22で一時保持され、監視制御部22は図示しないランダム遅延タイマを設定する(S210)。ランダム遅延タイマが0になった時に、個人情報を通信データとして送信する(S211)。なお、このステップS211は、このフローチャートの動作からは、独立して実施されるものである。ステップS210でランダム遅延タイマを設定した後、後述のステップS215へ進む。
【0046】
一方、ステップS208で、個人情報の作成依頼でないと判定されると、次に、通信シーケンステーブルのポインタが示す行の匿名化フィールドにデータが含まれているか否か調べ(S212)、データが含まれている場合には、そのデータを匿名化する処理を行う(S213)。この匿名化処理を図8に示す。
【0047】
通信シーケンステーブルのポインタが指す行の匿名化フィールドで指定されるデータ(ここではクライアントID)を通信データから取得した監視部22は、匿名化部25へクライアントIDを送り、実行指示を出す(S301)。匿名化部25は、実行指示に基づき、乱数を発生する(S302)。匿名化部25は、発生された乱数を匿名IDとし、監視制御部22から受け取ったクライアントIDと対応づけて匿名化対応テーブル記憶部26へ記憶する(S303)。また、匿名IDを監視制御部22へ送り、監視制御部22は、通信データの送信元を示すクライアントIDをこの匿名IDに置き換える(S304)。以上の様にして、匿名化処理が実行される。
【0048】
図7のフローに戻って、次に、ステップS212で匿名化フィールドにデータを含まない場合、または、ステップS212の匿名化処理が実行された後、通信データを送信先へ送信する(S214)。そして、その通信シーケンステーブルのポインタを一つ進める(S215)。なお、先に示したとおり、ステップS210の処理の後にも、このステップS215は行われる。
【0049】
次に、ステップS215で進めたポインタが指し示す行が通信シーケンステーブル内にあるか否かを判断し(S216)、あるときには、まだ通信の実行中であるからそのままにして終了し、次の通信受け付けを待つ。
【0050】
一方、ポインタが示す行が無い場合には、全ての通信が正常に終了したことを示すため、ワークメモリからこの通信シーケンステーブルを消去し(S217)、処理を終了する。
【0051】
以上の説明した本実施の形態によれば、プロバイダ側で個人情報収集規定を決めつつ、その規定に基づく処理を含む通信シーケンスに従った動作が行われるかの監視を、信頼のおける中立的な立場である管理サーバ20が行うから、プロバイダ30にとっては不正な個人情報の収集を行っていない旨ユーザへ表明しながら正当な個人情報の取得ができ、クライアント10にとっては正当な個人情報収集がなされていることが保証される。
ところで、個人情報収集規定は、通信シーケンスの最初のアクセス画面でユーザへ提示する場合が多い。そこで、この点に着目し、通信シーケンステーブルの事前登録を不要にした、第2の実施形態について、以下に説明する。
【0052】
第2の実施形態の全体システム構成のほとんどは、図9に示したとおり、第1の実施形態と同じであるが、第1の実施形態の通信シーケンステーブルの事前登録を行う管理サーバ20の代わりに、クライアント10からプロバイダ30のサイト・サーバ31へのアクセス要求(通信シーケンスにおける最初の通信)に対する、サイト・サーバ31の最初の応答時に送信される通信データから、都度通信シーケンステーブルを自動生成する管理サーバ50を用いた点が異なっている。なお、この第2の実施の形態においては、サイト・サーバ31のクライアント10からの最初のアクセス要求(通信シーケンスにおける最初の通信)に対する応答は、必ず、ユーザへ提示する表示内容に個人情報収集規定を含むこと、及び、個人情報収集規定を含まない通信シーケンステーブルを含むことを必要要件とする。
【0053】
図10は、管理サーバ50の機能ブロック構成を示したものである。
【0054】
送受信部21、匿名化部25、匿名化対応テーブル記憶部26は、第一の実施の形態と同様のものであり、ここでは説明を省略する。
【0055】
監視制御部51は、送受信部21で受信した通信データがプロバイダ30の規定する通信シーケンスで通信されたものであるか否かの監視、及び、プロバイダ30の規定する通信シーケンスに従って匿名化、個人情報作成、通信データの転送等の制御を行なうものである。監視制御部51は、所定の通信シーケンスを監視する時に、後述の通信シーケンステーブルを一時的に保持するワークメモリ(図示しない)を備える。また、監視制御部51は、通信データの送信をランダムに遅延する機能を備え、個人情報生成部27によって生成された個人情報を取得した場合には、図示しないランダム遅延タイマを設定し、設定された時間遅延後に個人情報を送信する。この遅延を行う理由は、プロバイダ30に対し、匿名化した匿名IDがどのクライアントIDに対応するかを、通信シーケンスから推定されにくくするためである。ここまでは、第1の実施形態の監視制御部22と同じであるが、監視制御部51は、更に、クライアント10からプロバイダ30のサイト・サーバ31へのアクセス要求(通信シーケンスにおける最初の通信)に対する、サイト・サーバ31の最初の応答時に送信される通信データから、ユーザへ提示する個人情報収集規定を含む表示内容と、表示に関係のない(個人情報収集規定を含まない)通信シーケンステーブルとを抽出し、通信シーケンステーブル生成部52へ供給する機能を有している。
【0056】
通信シーケンステーブル生成部52は、監視制御部51から供給されるユーザへ提示する個人情報収集規定を含む表示内容と、表示に関係のない(個人情報収集規定を含まない)通信シーケンステーブルとを受け取って、個人情報収集規定に基づく通信シーケンステーブルを生成する。また、個人情報収集規定に基づき個人情報生成方法を生成する。通信シーケンステーブル生成部52は、生成した個人情報収集規定に基づく通信シーケンステーブル、および個人情報生成方法を、監視制御部51へ供給し、監視制御部51内の図示しないワークメモリへ一時保持される。通信シーケンステーブル生成部52で生成される、通信シーケンステーブル及び個人情報生成方法は、第1の実施形態と同様なものである。
【0057】
ここで、通信シーケンステーブル生成部52は、サイト・サーバ31の最初のアクセス応答の表示データに含む個人情報収集規定の表記法により様々な構成を取り得るが、ここでは表記法の一例として、管理サーバ50側で予め定めた所定のテンプレートの中から選択する方法を用いた場合の構成例について簡単に説明する。
【0058】
この場合には、通信シーケンステーブル生成部52は、この所定のテンプレートの各テンプレートと、各テンプレートが選択された時の個人情報収集規定の通信シーケンステーブルへの反映方法とをそれぞれ対応付けたテーブルと、最初の応答の通信データを受けた時、このテーブルの各テンプレートと比較し、一致したテンプレートに対応する個人情報収集規定の通信シーケンステーブルへの反映方法を得る機能と、得られた反映方法によって、個人情報収集規定を反映させた通信シーケンステーブルを生成する機能とを備えれば良い。
【0059】
次に、個人情報収集規定を反映させた通信シーケンステーブルを生成するまでの管理サーバ50の動作フローについて、図11のフローチャートを用いて簡単に説明する。この図11は、第一の実施形態の図7のフローのステップS201〜S203を本第2の実施の形態に合わせて、変更したものである。
【0060】
まず、送受信部21で通信データを受け付けると(S401)、監視制御部51は、その通信データが、クライアント10からの最初の要求に対応する応答であるか否かを判断する(S402)。この判断は、例えば、この例においては通信データに通信シーケンステーブルを含んでいるか否かを確認することにより判断できる。
【0061】
この判断で、「否」と判断された場合には、図7のステップS205へ処理が続く。一方、この判断で「ある」と判断されると、次に、監視制御部51は、通信データから通信シーケンステーブルを抽出し、通信シーケンステーブル生成部52へ送る(S403)。次に、監視制御部51は、通信データから表示内容に含まれる個人情報収集規定を抽出し、通信シーケンステーブル生成部52へ送る(S404)。通信シーケンステーブル生成部52は、ステップS403、S404で受け取った通信シーケンステーブルと個人情報収集規定とから、個人情報収集規定を反映した通信シーケンステーブルを生成し、監視制御部51内のワークメモリへ供給する(S405)。また、通信シーケンステーブル生成部52は、通信シーケンステーブルと個人情報収集規定とに基づいて、個人情報作成方法を生成し、監視制御部51内のワークメモリへ供給する(S406)。その後、図7のステップS204へ処理が続く。以上のようにして、個人情報収集規定を反映させた通信シーケンステーブルが管理サーバ50上で一連の通信の開始時に生成される。なお、一連の通信シーケンスが正常に終了する際に図7のステップS217のワークメモリから通信シーケンステーブルを消去する処理が行われるから、一連の通信が終了した時点で、その一連の通信シーケンスに関する通信シーケンステーブルが管理サーバ50上に存在しなくなる。
【0062】
この第2の実施形態は、一連の通信シーケンスの開始時に、ユーザへ提示する(最新の)個人情報収集規定を反映した通信シーケンスの監視を行うから、ユーザへ提示した個人情報収集規定どおりに個人情報の収集がより確実に守られるから、提示する個人情報収集規定と実際収集される個人情報の不一致がなくなるという格段の利点を有する。
【0063】
また、以上説明した第一の実施形態および第二の実施形態は、通信シーケンステーブルを事前登録するか都度作成するかが大きく異なる点であるが、例えばこの中間の実施形態として、個人情報収集規定を含まない通信シーケンスは事前登録するとともに、個人情報収集規定は一連の通信の開始の都度得るようにし、個人情報収集規定を得た後に個人情報収集規定を反映させたシーケンステーブルを都度生成するような形態もあり得る。この形態の場合には、個人情報収集規定を含まない通信シーケンスを予め登録しておくので、通信そのものの変更には対応できないが、通信の変更を伴わない個人情報収集規定の変更には対応できる。つまり、通信シーケンステーブルの転送を伴わないので、第一の実施形態よりは劣るものの第二の実施形態よりは格段の高速化が行え、且つ、第二の実施形態よりは劣るものの第一の実施の形態よりは汎用性の高い管理サーバが提供できることになる。これら第一、第ニおよび第一と第二の中間の実施形態は、管理サーバのサービスの環境や制約条件などによって使い分けられるものであろう。
【0064】
【発明の効果】
本発明によれば、情報提供装置の側で決定され、端末側が同意される個人情報収集規定(セキュリティポリシー)が、正しく守られて動作している場合にのみ、一連の通信が正常に行われるので、信頼性の高いシステムが構築可能になった。
【図面の簡単な説明】
【図1】本発明の第一の実施形態に係るネットワークシステムの全体図。
【図2】本発明の第一の実施形態に係る管理サーバ20の機能ブロック図。
【図3】通信シーケンスの例。
【図4】通信シーケンステーブルの例。
【図5】匿名化対応テーブル記憶部26に記憶されるの内容の一例。
【図6】本発明の第一の実施形態に係る通信シーケンスの登録処理を示すフローチャート。
【図7】本発明の第一の実施形態に係る管理サーバ20の動作を示すフローチャート。
【図8】匿名化部25の匿名化処理を示すフローチャート。
【図9】本発明の第二の実施形態に係るネットワークシステムの全体図。
【図10】本発明の第二の実施形態に係る管理サーバ50の機能ブロック図。
【図11】本発明の第二の実施形態に係る個人情報収集規定を反映させた通信シーケンステーブルを生成するまでのフローチャート。
【符号の説明】
10・・・クライアント
11・・・ユーザインタフェース部
12・・・インタフェースプロキシ部
20、50・・・管理サーバ
21・・・送受信部
22、51・・・監視制御部
23・・・通信シーケンステーブル記憶部
24・・・テーブル登録部
25・・・匿名化部
26・・・匿名化対応テーブル記憶部
27・・・個人情報生成部
28・・・個人情報生成方法記憶部
29・・・個人情報生成方法登録部
30・・・プロバイダ
31・・・サイト・サーバ
32・・・個人情報蓄積部
52・・・通信シーケンステーブル生成部

Claims (13)

  1. ユーザが要求を指示する端末と、該端末からの要求に基づき該クライアントへ情報提供を行う情報提供装置と、ネットワークを介して接続される監視サーバであって、
    該ネットワークからの通信データを受信するとともに、該ネットワークへ通信データを送信する送受信手段と、
    入力されたデータを匿名化し出力する匿名化手段と、
    該端末と該情報提供装置間の一連の通信手続を示す通信シーケンス情報と該情報提供装置の個人情報収集規定情報とに基づいて、前記送受信手段で受信した通信データが、正しく通信されているかを監視し、該通信データが正しく通信されている場合に、該通信シーケンス情報と該個人情報収集規定とに基づいて、該通信データの少なくとも一部のデータを匿名化する必要があるか否かを確認し、必要があると確認された際に、前記匿名化手段で該少なくとも一部のデータを匿名化させて得た匿名化済データを該通信データの少なくとも一部のデータと置換し、置換後の通信データを前記送受信手段へ供給する監視制御手段と、を備えたことを特徴とする監視サーバ。
  2. 該通信シーケンス情報は予め登録されており、該個人情報収集規定情報はユーザが最初に指示した該クライアントへの要求に対応した応答の通信データに含まれていることを特徴とする請求項1記載の監視サーバ。
  3. 該通信シーケンス情報と、該個人情報収集規定情報とは、ユーザが最初に指示した該クライアントへの要求に対応した応答の通信データに含まれていることを特徴とする請求項1記載の監視サーバ。
  4. 該通信シーケンス情報と該個人情報収集規定とに基づいて、個人情報生成方法を生成しておき、受信した通信データが個人情報生成依頼であることが判別された際に、該個人情報生成方法に基づいて個人情報を生成し、該情報提供装置へ生成された個人情報を送信することを特徴とする請求項1記載の監視サーバ。
  5. 前記個人情報の送信は、ランダムに遅延させた後に送信することを特徴とする請求項4記載の監視サーバ。
  6. ユーザが要求を指示する端末と、該端末からの要求に基づき該クライアントへ情報提供を行う情報提供装置と、ネットワークを介して接続される監視サーバであって、
    該ネットワークからの通信データを受信するとともに、該ネットワークへ通信データを送信する送受信手段と、
    入力されたデータを匿名化し出力する匿名化手段と、
    該端末と該情報提供装置間の一連の通信手続に、該情報提供装置の個人情報収集規定情報を反映させた通信シーケンステーブルに基づいて、前記送受信手段で受信した通信データが、正しく通信されているかを監視し、該通信データが正しく通信されている場合に、該通信シーケンステーブルに基づいて、該通信データの少なくとも一部のデータを匿名化する必要があるか否かを確認し、必要があると確認された際に、前記匿名化手段で該少なくとも一部のデータを匿名化させて得た匿名化済データを該通信データの少なくとも一部のデータと置換し、置換後の通信データを前記送受信手段へ供給する監視制御手段と、を備えたことを特徴とする監視サーバ。
  7. 前記通信シーケンステーブルを予め登録する通信シーケンステーブル登録手段と、この登録手段によって登録された通信シーケンステーブルを記憶する記憶手段とを更に備えたことを特徴とする請求項6記載の監視サーバ。
  8. 該通信シーケンステーブルは、ユーザが最初に指示した該クライアントへの要求に対応した応答の通信データに含まれる該通信シーケンス情報と、該個人情報収集規定情報とに基づいて、生成されることを特徴とする請求項6記載の監視サーバ。
  9. 該通信シーケンス情報は予め登録されており、該個人情報収集規定情報はユーザが最初に指示した該クライアントへの要求に対応した応答の通信データに含まれており、これらによって得られた該通信シーケンス情報および該個人情報収集規定情報とに基づいて、該通信シーケンステーブルを生成することを特徴とする請求項6記載の監視サーバ。
  10. 該通信シーケンス情報と該個人情報収集規定とに基づいて、個人情報生成方法を生成しておき、受信した通信データが個人情報生成依頼であることが判別された際に、該個人情報生成方法に基づいて個人情報を生成し、該情報提供装置へ生成された個人情報を送信することを特徴とする請求項6記載の監視サーバ。
  11. 前記個人情報の送信は、ランダムに遅延させた後に送信することを特徴とする請求項4記載の監視サーバ。
  12. ユーザが要求を指示する端末と、該端末からの要求に基づき該クライアントへ情報提供を行う情報提供装置と、ネットワークを介して接続される監視サーバの監視方法であって、
    該端末と該情報提供装置間の一連の通信手続に、該情報提供装置の個人情報収集規定情報を反映させた通信シーケンステーブルを記憶手段へ記憶しておき、
    受信した通信データが、正しく通信されているかを前記記憶手段に記憶される通信シーケンステーブルを参照して監視し、
    該通信データが正しく通信されている場合に、前記記憶手段に記憶される該通信シーケンステーブルに基づいて、該通信データの少なくとも一部のデータを匿名化する必要があるか否かを確認し、
    必要があると確認された際に、前記匿名化手段で該少なくとも一部のデータを匿名化して該通信データを置換し、
    置換した該通信データを送信するようにしたことを特徴とする監視方法。
  13. 更に、該通信シーケンス情報と該個人情報収集規定とに基づいて、個人情報生成方法を生成しておき、
    受信した通信データが個人情報生成依頼であることが判別された際に、該個人情報生成方法に基づいて個人情報を生成し、
    該情報提供装置へ生成された個人情報を送信するようにした請求項12記載の監視方法。
JP2002346911A 2002-11-29 2002-11-29 監視サーバおよび監視方法 Abandoned JP2004178486A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002346911A JP2004178486A (ja) 2002-11-29 2002-11-29 監視サーバおよび監視方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002346911A JP2004178486A (ja) 2002-11-29 2002-11-29 監視サーバおよび監視方法

Publications (1)

Publication Number Publication Date
JP2004178486A true JP2004178486A (ja) 2004-06-24

Family

ID=32707657

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002346911A Abandoned JP2004178486A (ja) 2002-11-29 2002-11-29 監視サーバおよび監視方法

Country Status (1)

Country Link
JP (1) JP2004178486A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011034223A (ja) * 2009-07-30 2011-02-17 Ntt Docomo Inc 情報提供システム
JP2013534654A (ja) * 2010-06-01 2013-09-05 アンスティテュ ミーヌ−テレコム 特に情報技術および通信技術を用いるプロセスにおいて、デジタルデータおよび識別情報をセキュリティ保護する方法
KR102484093B1 (ko) * 2021-10-25 2023-01-04 주식회사 엘에스컴퍼니 서로 상이한 복수의 제어기로 제어 가능한 등기구 시스템

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011034223A (ja) * 2009-07-30 2011-02-17 Ntt Docomo Inc 情報提供システム
JP2013534654A (ja) * 2010-06-01 2013-09-05 アンスティテュ ミーヌ−テレコム 特に情報技術および通信技術を用いるプロセスにおいて、デジタルデータおよび識別情報をセキュリティ保護する方法
KR102484093B1 (ko) * 2021-10-25 2023-01-04 주식회사 엘에스컴퍼니 서로 상이한 복수의 제어기로 제어 가능한 등기구 시스템

Similar Documents

Publication Publication Date Title
RU2595761C2 (ru) Управляющая информация, связанная с сетевыми ресурсами
US7174289B2 (en) Translating system and translating apparatus in which translatable documents are associated with permission to translate
US7543145B2 (en) System and method for protecting configuration settings in distributed text-based configuration files
US20030095660A1 (en) System and method for protecting digital works on a communication network
US20070078785A1 (en) Method and system for account management
US8527576B2 (en) Data access control system and method according to position information of mobile terminal
US20080183721A1 (en) Method of and system for providing performance information in a uddi system
US20060294024A1 (en) Personal information distribution management system, personal information distribution management method, personal information service program, and personal information utilization program
JP4964338B2 (ja) ユーザ確認装置、方法及びプログラム
AU2019206136B2 (en) Data management system
WO2003091889A1 (fr) Serveur de collaboration, systeme de collaboration, son procede de gestion de session et programme
JP2004005435A (ja) ダウンロード管理システム
JP2010191807A (ja) 情報中継装置及びプログラム
JP2009129010A (ja) 情報処理装置、情報処理システム、および情報処理方法
JP2008015733A (ja) ログ管理計算機
JP2007041632A (ja) コンテンツアクセス方法および振分装置
JP2008158695A (ja) オンラインサービスを提供する情報処理システム及びプログラム
JP2009123062A (ja) コンテンツ表示制御システム及び方法
JP4429229B2 (ja) ディレクトリ情報提供方法、ディレクトリ情報提供装置、ディレクトリ情報提供システム、及びプログラム
JP2004178486A (ja) 監視サーバおよび監視方法
JP4887129B2 (ja) 更新情報生成装置、識別情報更新システム、識別情報更新方法およびプログラム
JP2005339008A (ja) アクセス制御方法およびプログラムと記録媒体
JP2005284573A (ja) アクセス管理システム
JP2004102760A (ja) ウェブページアクセス制御システム
JP2005032109A (ja) 文書データ管理装置,文書データアクセス用プログラム,文書データ管理プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040609

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20050415

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20050606

A762 Written abandonment of application

Free format text: JAPANESE INTERMEDIATE CODE: A762

Effective date: 20070625