JP2004185176A

JP2004185176A - Confidential data browsing system

Info

Publication number: JP2004185176A
Application number: JP2002349435A
Authority: JP
Inventors: Kazutaka Hayashi; 和孝林
Original assignee: APURIKO SYSTEM KK
Current assignee: APURIKO SYSTEM KK
Priority date: 2002-12-02
Filing date: 2002-12-02
Publication date: 2004-07-02

Abstract

<P>PROBLEM TO BE SOLVED: To safely browse confidential data through an open communication line by a reliable method for a user. <P>SOLUTION: Confidential data are transferred to a user by a safe means, and retrieval conditions are transferred through an open communication line to a server, and the server retrieves the data, and returns only the identifier of the pertinent data to terminal equipment. The terminal equipment refers to the confidential data transferred and set to the user. The server transfers data erasure information with the identifier. The server transfers only the identifier and update information. Trace information is added to the confidential data for each user. <P>COPYRIGHT: (C)2004,JPO&NCIPI

Description

【０００１】
【発明の属する技術分野】
通信回線又はインターネットを介して秘密データの検索、閲覧、データ保守を安全に行うおこなう通信回線応用システム又はインタネット応用システムに関するものである。
【０００２】
【従来の技術】
通信回線で閉じた回線網の中でサーバにアクセスして秘密データを検索、閲覧するシステムや、インターネットのサーバにアクセス制限をして秘密データを検索、閲覧するシステム、端末機に秘密データと専用ソフトを入れて秘密データを検索、閲覧するシステムなどがある。
【０００３】
【発明が解決しようとする課題】
閉じた通信網はコストの見合いで回線速度が遅くまた設備もコストがかかる。インターネットなどのオープンな通信網に比べ通信コストもかさむ。オープンな通信回線網で安全に秘密データを閲覧することでこれらの問題を防ぐことができる。
インターネットのサーバにアクセス制限をすることで一部問題は解決できるが、インターネットのオープン性のため秘密データをインターネットに載せることは信頼されずに、敬遠されている。また盗聴や、ハッキングなどの問題があるため秘密データを通信回線で送ることや、サーバに保存すること自体危険である。秘密データをインターネットを介さずに渡し、端末機で必要なときにその渡されたデータを参照することによってこの問題が解決される。
秘密データの保守が容易にできること。端末機に秘密データと専用ソフトを入れて秘密データを検索閲覧することでも安全ではあるが、秘密データの保守が容易ではない。サーバに接続して保守情報を受け取り保守することによりデータを容易に最新のものに保つことができる。
秘密データの遺漏に対して追跡ができること。利用者から故意、過失により秘密データが遺漏した場合に追跡ができるようにする。
【０００４】
【課題を解決するための手段】
秘密データを安全な手段で利用者に渡し、オープンな通信回線で検索条件をサーバに渡し、サーバは検索を行い該当するデータの識別子だけを端末機に返す。端末機が利用者に渡されセットされた秘密データを参照する。
サーバがデータ削除情報を識別子で渡す。サーバがデータの更新情報として識別子と更新情報のみを渡す。
利用者ごとに秘密データに追跡情報を入れることにより遺漏した場合の追跡が可能となる。
【０００５】
【発明の実施と形態】
検索の一般論
多数のデータを閲覧する際は一度に閲覧できる件数が限られているので何らかの形で絞り込まれなければならない。暗黙の了解で条件が決まっている場合でも新しい順に最初の２０件と言うように必ず検索が行われる。検索は多数のデータの一部を閲覧する際に必ず行われる。
また検索するするために必要なデータは検索のために使われる内容で充分であり、一般に、参照する詳細データより粗くすることができる。例えば人事の秘密データの場合職業はＡ会社社員ではなく、会社員で充分であることが多い。また秘密データに画像や、音声のデータが含まれている場合はそれらの画像データや音声データは通常では検索の対象とはならずに、詳細を端末機で表示したり再生する場合にのみ必要である。一般に検索のデータベースは秘密データをより粗くしたり詳細を省いた秘密性の薄れたものになる。そのためサーバにはより秘密性の少ない検索用のデータのみを保存することにより、例えハッキングされてデータが遺漏してもリスクを最小限にとどめることができる。
【０００６】
図１を参照して通信回線を介して秘密データを受け取り閲覧する方法を説明する。
ａ１）利用者は予め複数の秘密データ（Ｈ）とそれぞれの秘密データの識別子（Ｓ）を通信回線を介して受け取り、ａ２）利用者の端末機（Ｔ）内で上記識別子（Ｓ）からそれぞれの秘密データ（Ｈ）を参照できるようにする。ｂ）利用者の要求により、上記端末機（Ｔ）は秘密データ閲覧システムのサーバ（Ｚ）に通信回線を介して接続し上記サーバ（Ｚ）に検索条件（Ｋ）を提示し検索を要求する。ｃ１）上記サーバ（Ｚ）はそのサーバ（Ｚ）上の上記秘密データ（Ｈ）のデータベース（Ｂ）を利用して検索し、ｃ２）少なくとも該当する秘密データ（Ｈ）の識別子（Ｇ）を通信回線を介して上記端末機（Ｔ）に返す。この際にａで予め受け取った秘密データ（Ｈ）にない公開データや、予め受け取った以降変更されたデータを返して予め受け取った秘密データ（Ｈ）を補完することができる。ｄ）上記端末機（Ｔ）は上記返された識別子（Ｇ）を用い、上記ａで参照できるようにされた秘密データ（Ｈ）の中から該当する秘密データ（Ｆ）を参照し上記端末機（Ｔ）の表示装置（Ｄ）に表示するか再生装置で再生する。
表示はインターネット技術を応用し、サーバ（Ｚ）をＷＷＷサーバとして端末機（Ｔ）のブラウザと秘密データ（Ｈ）を参照するブラウザのプラグインソフトで実現すれば簡便に実現できる。コストをかければインターネットの標準ブラウザやＷＷＷサーバを使うことなく専用ソフトでも実現できることは勿論である。
この際に画像データの場合は画像として表示し、音声の場合は再生する。
【０００７】
予め受け取る秘密データ（Ｈ）は専用線等の閉鎖回線を使う、データを暗号化するなど確立されたセキュリティ手法をもちいて公開回線でおこなう、ＶＰＮ（ｖｉｒＴＵａｌｐｒｉｖａＴｅｎｅＴｗｏｒｋ）等の通信回線を用いるなど安全に行うことが望ましい。また秘密データ（Ｈ）のサーバ（Ｚ）上の保存場所も専用のＣＧＩだけがアクセスでき、一般の公開回線ではアクセスできないような場所に保存することが望ましい。この際の安全性は検索条件（Ｋ）を提示し識別子（Ｓ）を返す回線よりも高いことが要求される。また期限を切ってサーバ（Ｚ）に秘密データ（Ｈ）を保存し上記安全性の高い通信回線で受け取るなどの方法で、秘密データ（Ｈ）をサーバ（Ｚ）上に常時保存しないようにすることも重要である。
【０００８】
検索する際は識別子（Ｓ）だけを検索条件（Ｋ）として提示し、そのデータがまだ登録されているか否かだけを調べることもできる。
また秘密データ（Ｈ）にデータ全体を通してユニークな値がある場合は識別子（Ｓ）を別途設けることなくその値を識別子（Ｓ）として機能させても同じ効果が得られる。
秘密データ（Ｈ）の識別子（Ｓ）からの参照は個々の秘密データを個別のファイルにしてそのファイル名を識別子（Ｓ）としてそのファイルからデータを参照してもよい。複数のデータを識別子（Ｓ）と共に端末機（Ｔ）のデータベースにいれて識別子（Ｓ）から個々のデータを参照できるようにして実現することもできる。
【０００９】
検索条件（Ｋ）にはなりにくい、つまり本システムを実施する際にサーバ（Ｚ）に保存する必要のない画像データや、音声データが高度の秘密性を持っていることが多い。画像データや、音声データを安全性が高い通信回線で受け取り、通信回線を介して検索した識別子（Ｓ）をサーバ（Ｚ）から受け取り、該当する画像データ、音声データを端末機（Ｔ）で表示再生することにより高度な安全性が実現される。
【００１０】
図２を参照して記録媒体を介して秘密データを受け取り閲覧する方法を説明する。
ａ１）利用者は予め複数の秘密データ（Ｈ）とそれぞれの秘密データの識別子（Ｓ）を記録媒体（Ｍ）を介して受け取り、ａ２）そのデータ（Ｈ）と上記識別子（Ｓ）を利用者の端末機（Ｔ）に保存するかまたは／及び上記記録媒体（Ｍ）を端末機（Ｔ）に装着して、上記識別子（Ｓ）からそれぞれの秘密データ（Ｈ）を参照できるようにする。上記記録媒体（Ｍ）の受け取りは安全性の高い運送等により行われる。ｂ）利用者の要求により、上記端末機（Ｔ）は秘密データ閲覧システムのサーバ（Ｚ）に通信回線を介して接続し上記サーバ（Ｚ）に検索条件（Ｋ）を提示し検索を要求する。ｃ１）上記サーバ（Ｚ）はそのサーバ（Ｚ）上の上記秘密データ（Ｈ）のデータベース（Ｂ）を利用して検索し、ｃ２）少なくとも該当する秘密データ（Ｈ）の識別子（Ｇ）を通信回線を介して上記端末機（Ｔ）に返す。この際にａで予め受け取った秘密データ（Ｈ）にない公開データや、予め受け取った以降変更されたデータを返して予め受け取った秘密データ（Ｈ）を補完することができる。ｄ）上記端末機は上記返された識別子（Ｇ）を用い、上記ａで参照できるようにされた秘密データ（Ｈ）の中から該当する秘密データ（Ｆ）を参照し上記端末機（Ｔ）の表示装置（Ｄ）に表示するか再生装置で再生する。
表示はインターネット技術を応用し、サーバ（Ｚ）をＷＷＷサーバとして端末機（Ｔ）のブラウザと秘密データ（Ｈ）を参照するブラウザのプラグインソフトで実現すれば簡便に実現できる。コストをかければインターネットの標準ブラウザやＷＷＷサーバを使うことなく専用ソフトでも実現できることは勿論である。
表示する際に画像データの場合は画像として表示し、音声の場合は再生する。
【００１１】
検索する際は識別子（Ｓ）だけを検索条件（Ｋ）として提示し、そのデータがまだ登録されているか否かだけを調べることもできる。
また秘密データ（Ｈ）にデータ全体を通してユニークな値がある場合は識別子（Ｓ）を別途設けることなくその値を識別子（Ｓ）として機能させても同じ効果が得られる。
秘密データ（Ｈ）の識別子（Ｓ）からの参照は個々の秘密データ（Ｈ）を個別のファイルにしてそのファイル名を識別子（Ｓ）としてそのファイルからデータを参照してもよい。複数のデータを識別子（Ｓ）と共に端末機（Ｔ）のデータベースにいれて識別子（Ｓ）から個々のデータを参照できるようにして実現することもできる。
秘密データ（Ｈ）を記録する記録媒体（Ｍ）の受け取りは郵送や、運送で行う事となるので通信傍受、パスワードの悪用、誤用、ハッキングなどから完全に逃れることになる。
【００１２】
検索条件（Ｋ）にはなりにくい、つまり本システムを実施する際にサーバ（Ｚ）に保存する必要のない画像データや、音声データが高度の秘密性を持っていることが多い。画像データや、音声データを安全性が高い運送、郵送手段で受け取り、通信回線を介して検索した識別子（Ｓ）をサーバ（Ｚ）から受け取り、該当する画像データ、音声データを端末機（Ｔ）で表示再生することにより高度な安全性が実現される。
【００１３】
図３を参照してインターネットを用い秘密データを閲覧する方法を説明する。
ａ１）利用者は予め複数の秘密データ（Ｈ）とそれぞれのデータの識別子（Ｓ）を通信回線を介して受け取り、ａ２）、利用者の端末機（Ｔ）内で上記識別子からそれぞれの秘密データ（Ｈ）を参照できるようにする。ｂ）上記端末機（Ｔ）で参照できる秘密データ（Ｈ）は、個々のデータ（Ｈ）の識別子（Ｓ）から規則的に作成される別々のファイル名（図中では識別子ファイル名）（Ｎ）のファイル（以下秘密ファイル）（Ｅ）で保存する。ｃ１）利用者の要求により上記端末機（Ｔ）は秘密データ閲覧システムのサーバ（Ｚ）にインターネットを介して接続し検索条件提示用ホームページ（Ｌ）をブラウザで開き、ｃ２）上記サーバに検索条件（Ｋ）を提示し検索を要求する。ｄ１）上記サーバ（Ｚ）はそのサーバ（Ｚ）上の上記秘密データのデータベース（Ｂ）を利用して上記検索条件（Ｋ）に基づいて検索し、ｄ２）該当する秘密データ（Ｆ）の識別子（Ｓ１）から上記ｂで規則的に作成されるファイル名（Ｎ）で保存された上記端末機（Ｔ）の秘密データ（Ｈ）のファイル（Ｅ）を参照するホームページ（Ｐ）を返す。ｅ）端末機（Ｔ）は上記ホームページ（Ｐ）を表示し、その中で参照する端末機（Ｔ）のファイル（Ｅ）から秘密データ（Ｈ）を参照して表示するか再生装置で再生する。
【００１４】
予め受け取る秘密データ（Ｈ）は専用線等の閉鎖回線を使う、データを暗号化するなど確立されたセキュリティ手法を用いて公開回線でおこなう、ＶＰＮ（ｖｉｒＴＵａｌｐｒｉｖａＴｅｎｅＴｗｏｒｋ）等の通信回線を用いるなど安全に行うことが望ましい。また秘密データ（Ｈ）のサーバ（Ｚ）上の保存場所も専用のＣＧＩだけが特殊なプロトコル（例えばＩＰＸ／ＳＰＸ）でアクセスでき、一般の公開回線とプロトコル（例えばＴＣＰ／ＩＰ）では直接アクセスできないような場所に保存することが望ましい。その際は通信回線を介して秘密データを受け取るために上記ＣＧＩをアクセスする。予め秘密データ（Ｈ）を受け取る際の安全性は検索条件（Ｋ）を提示し識別子（Ｓ）を返すインターネット通信回線よりも高いことが要求される。また期限を切ってサーバ（Ｚ）に秘密データ（Ｈ）を保存し上記安全性の高い通信回線で受け取るなどの方法で、秘密データ（Ｈ）をサーバ（Ｚ）上に常時保存しないようにすることも重要である。
【００１５】
インターネットで検索条件（Ｋ）を提示して検索する方法は広くＣＧＩなどを利用して実現されている。
秘密データ（Ｈ）のファイル（Ｅ）を参照してブラウザに表示するにはブラウザのフレーム機能を利用して実現する。ブラウザのプラグインソフトを作成して秘密データ（Ｈ）をページ（Ｐ）の中に取り込む手法でも実現できる。
また秘密にしたい画像データを参照してブラウザに表示するには画像データが入ったファイルをホームページの中で参照するだけで実現できる。この場合は参照するファイル名を識別子（Ｓ）から規則的に作成されるファイル名（Ｎ）にすればよい。
【００１６】
秘密データ（Ｈ）を個々のデータの識別子（Ｓ）から規則的に作成されるファイル名（Ｎ）のファイルで保存するためには識別子（Ｓ）から作成されるファイル名（Ｎ）のファイルに秘密データ（Ｈ）を入れて秘密データ（Ｈ）を受け取り、端末機（Ｔ）に保存すればよい。あるいはそれぞれの秘密データ（Ｈ）と識別子（Ｓ）をうけとり、それぞれの識別子（Ｓ）から規則的に作成されるファイル名（Ｎ）のファイルを端末機（Ｔ）で作成して個々のデータを入れ保存して実現してもよい。
識別子（Ｓ）から規則的に作成されるファイル名（Ｎ）は識別子（Ｓ）そのものをファイル名（Ｎ）としても構わないことは明白である。識別子（Ｓ）から作成されるファイル名（Ｎ）のファイルに秘密データ（Ｈ）を入れて秘密データ（Ｈ）を受け取れば、識別子（Ｓ）はファイル名（Ｎ）から受け取ることが出来るので別途識別子（Ｓ）を受け取る必要はない。
【００１７】
端末機（Ｔ）の秘密ファイル（Ｅ）の保存場所は参照するファイルの場所でなければならない。秘密データ（Ｈ）のファイル（Ｅ）を端末機（Ｔ）に保存する場合に特定の場所に保存するようにして上記ホームページ（Ｐ）の中で参照する秘密ファイル（Ｅ）の場所を同じ場所にすればよい。あるいは検索条件（Ｋ）を提示する際に秘密ファイル（Ｅ）の保存場所をサーバ（Ｚ）に通知することでも解決できる。
【００１８】
図４を参照してインターネットと記録媒体を用い秘密データを閲覧する方法を説明する。
ａ１）利用者は予め複数の秘密データ（Ｈ）とそれぞれのデータの識別子（Ｓ）を記録媒体（Ｍ）を介して受け取り、ａ２）そのデータを端末機（Ｔ）に保存するか、記録媒体（Ｍ）を端末機（Ｔ）に装着して参照できるようにする。ｂ）上記端末機（Ｔ）で参照できる秘密データ（Ｈ）又は上記装着される記録媒体（Ｍ）の秘密データ（Ｈ）は、個々のデータ（Ｈ）の識別子（Ｓ）から規則的に作成されるファイル名（識別子ファイル名）（Ｎ）のファイル（以下秘密ファイル）（Ｅ）で保存する。ｃ１）利用者の要求により上記端末機（Ｔ）は秘密データ閲覧システムのサーバ（Ｚ）にインターネットを介して接続し検索条件提示用ホームページ（Ｌ）をブラウザで開き、ｃ２）上記サーバに検索条件（Ｋ）を提示し検索を要求する。ｄ１）上記サーバ（Ｚ）はそのサーバ（Ｚ）上の上記秘密データのデータベース（Ｂ）を利用して上記検索条件（Ｋ）に基づいて検索し、ｄ２）該当する秘密データ（Ｆ）の識別子（Ｓ１）から上記ｂで規則的に作成されるファイル名（Ｎ）で保存された上記端末機（Ｔ）の秘密データ（Ｈ）のファイル（Ｅ）を参照するホームページ（Ｐ）を返す。ｅ）端末機（Ｔ）は上記ホームページ（Ｐ）を表示し、その中で参照する端末機（Ｔ）のファイル（Ｅ）から秘密データ（Ｈ）を参照して表示するか再生装置で再生する。
【００１９】
インターネットで検索条件（Ｋ）を提示して検索する方法は広くＣＧＩなどを利用して実現されている。
秘密データ（Ｈ）のファイル（Ｅ）を指定してブラウザに表示するにはブラウザのフレーム機能を利用して実現する。ブラウザのプラグインソフトを作成して秘密データ（Ｈ）をページ（Ｐ）の中に取り込む手法でも実現できる。
また秘密にしたい画像データを参照してブラウザに表示するには画像データが入ったファイルをホームページの中で参照するだけで実現できる。この場合は参照するファイル名を識別子（Ｓ）から規則的に作成されるファイル名（Ｎ）にすればよい。
【００２０】
秘密データ（Ｈ）を個々のデータの識別子（Ｓ）から規則的に作成されるファイル名（Ｎ）のファイルで保存するためには識別子（Ｓ）から作成されるファイル名（Ｎ）のファイルに秘密データ（Ｈ）を入れて秘密データ（Ｈ）を受け取り、端末機（Ｔ）に保存すればよい。あるいはそれぞれの秘密データ（Ｈ）と識別子（Ｓ）をうけとり、それぞれの識別子（Ｓ）から規則的に作成されるファイル名（Ｎ）のファイルを端末機（Ｔ）で作成して個々のデータを入れ保存して実現してもよい。
識別子（Ｓ）から規則的に作成されるファイル名（Ｎ）は識別子（Ｓ）そのものをファイル名（Ｎ）としても構わないことは明白である。識別子（Ｓ）から作成されるファイル名（Ｎ）のファイルに秘密データ（Ｈ）を入れて秘密データ（Ｈ）を受け取れば、識別子（Ｓ）はファイル名（Ｎ）から受け取ることが出来るので別途識別子（Ｓ）を受け取る必要はない。
【００２１】
端末機（Ｔ）の秘密ファイル（Ｅ）の保存場所は参照するファイルの場所でなければならない。秘密データ（Ｈ）のファイル（Ｅ）を端末機（Ｔ）に保存する場合に特定の場所に保存するようにして上記ホームページ（Ｐ）の中で参照する秘密ファイル（Ｅ）の場所を同じ場所にすればよい。あるいは検索条件（Ｋ）を提示する際に秘密ファイル（Ｅ）の保存場所をサーバ（Ｚ）に通知することでも解決できる。
【００２２】
図５を参照してクッキーを利用して参照させるファイルの場所を得る方法を説明する。
ａ）秘密データ（Ｈ）を端末機（Ｔ）にファイル（Ｅ）で保存する保存場所（Ｏ）を秘密データ閲覧システムのサーバ（Ｚ）が読むことができる端末機（Ｔ）上のクッキー（Ｕ）に設定する。ｂ）秘密データ閲覧システムのサーバ（Ｚ）はインターネットを介して検索の要求がきたときに、ｃ）端末機（Ｔ）上のクッキー（Ｕ）を読み、ｄ）保存場所（Ｂ）にあるファイル（Ｅ）を参照するようにしてホームページ（Ｐ）を返す。
【００２３】
図６を参照してサーバの情報に基づき保存された秘密データを削除する方法を説明する。
ａ）利用者の要求に基づき端末機（Ｔ）は通信回線を介して秘密データ（Ｈ）閲覧システムのサーバ（Ｚ）に接続し、ｂ）削除する秘密データの識別子（Ｒ）を受け取り、ｃ）該当する参照できるようにされた秘密データ（Ｉ）及び／又は識別子（Ｑ）を削除する。
【００２４】
本システムではでは常にサーバ（Ｚ）のデータをもとに検索するのでサーバ（Ｚ）のデータを削除して保守すれば検索した結果には削除したデータは反映されない。しかし端末機（Ｔ）で参照できるようにされたデータは端末機（Ｔ）に残ったままである。サーバ（Ｚ）上のマスタデータを常に最新に保ちサーバ（Ｚ）から端末機（Ｔ）が削除データの識別子（Ｓ）を受け取り削除することで無駄な保存を排除できる。
【００２５】
図７を参照してサーバの情報に基づき秘密データを削除する方法を説明する。
ａ１）利用者は予め複数の秘密データ（Ｈ）とそれぞれのデータの識別子（Ｓ）を受け取り、ａ２）利用者の端末機（Ｔ）内で上記識別子（Ｓ）からそれぞれの秘密データ（Ｈ）を参照できるようにする。ｂ１）利用者の要求に基づき端末機（Ｔ）は秘密データ閲覧システムのサーバ（Ｚ）に接続し、ｂ２）削除する秘密データの識別子（Ｒ）を受け取り、ｂ３）上記ａ１、ａ２で参照できるようにされた秘密データ（Ｈ）の中から該当する秘密データ（Ｉ）及び／又は識別子（Ｑ）を削除する。
【００２６】
利用者が受け取った秘密データ（Ｈ）がその後に削除するようなデータの場合、手間がかかるのがそのデータ（Ｈ）の保守である。サーバ（Ｚ）上のマスタデータを常に最新に保ち、端末機（Ｔ）がそのサーバ（Ｚ）から削除データの識別子（Ｓ）を受け取り削除することで解決する。
【００２７】
図８を参照してサーバの情報に基づき秘密データを更新する方法を説明する。
ａ１）利用者は予め複数の秘密データ（Ｈ）とそれぞれのデータの識別子（Ｓ）を受け取り、ａ２）、利用者の端末機（Ｔ）内で上記識別子（Ｓ）からそれぞれの秘密データ（Ｈ）を参照できるようにする。ｂ１）利用者の要求に基づき端末機（Ｔ）は秘密データ閲覧システムのサーバ（Ｚ）に接続し、ｂ２）更新された秘密データ（Ｉ）とそのデータの識別子（Ｑ）を受け取り、ａで参照できるようにされた該当する秘密データを更新する。
【００２８】
利用者が受け取った秘密データ（Ｈ）がその後に変更するようなデータの場合、手間がかかるのがそのデータ（Ｈ）の保守である。サーバ（Ｚ）上のマスタデータを常に最新に保ち、端末機（Ｔ）がそのサーバ（Ｚ）から更新された秘密データ（Ｉ）とその識別子（Ｑ）を受け取り更新することで解決する。
【００２９】
図９を参照して秘密データの遺漏を追跡する方法を説明する。
予め受け取る個々の秘密データ（Ｈ）に利用者毎に異なる追跡データ（Ｗ１〜Ｗ３）を入れる。
故意、過失により秘密データ（Ｈ）の一部が遺漏する。遺漏した秘密データの中の利用者ごとに異なる追跡データ（Ｗ１〜Ｗ３）を調べることによりどの利用者が受け取った秘密データ（Ｈ）が遺漏したか分別できる。個々の秘密データ（Ｈ）に追跡データ（Ｗ１〜Ｗ３）を入れることによりどの秘密データが遺漏してもどの利用者に渡したものか追跡することができる。
【図面の簡単な説明】
【図１】通信回線を介して秘密データを受け取り閲覧する方法
【図２】記録媒体を介して秘密データを受け取り閲覧する方法
【図３】インターネットを用い秘密データを閲覧する方法
【図４】インターネットと記録媒体を用い秘密データを閲覧する方法
【図５】クッキーを利用して参照させるファイルの場所を得る方法
【図６】サーバの情報に基づき保存された秘密データを削除する方法
【図７】サーバの情報に基づき秘密データを削除する方法
【図８】サーバの情報に基づき秘密データを更新する方法
【図９】秘密データの遺漏を追跡する方法
【符号の説明】
（図１）
Ｂ．秘密データのデータベース；Ｄ．表示装置；Ｆ．該当秘密データ；Ｇ．該当識別子；Ｈ．秘密データ；Ｋ．検索条件；Ｓ．識別子；Ｔ．利用者の端末機；Ｚ．サーバ；
（図２）
Ｂ．秘密データのデータベース；Ｄ．表示装置；Ｆ．該当秘密データ；Ｇ．該当識別子；Ｈ．秘密データ；Ｋ．検索条件；Ｍ．記録媒体；Ｓ．識別子；Ｔ．利用者の端末機；Ｚ．サーバ；
（図３）
Ｂ．秘密データのデータベース；Ｄ．表示装置；Ｅ．秘密ファイル；Ｆ．該当秘密データ；Ｇ．該当識別子；Ｈ．秘密データ；Ｋ．検索条件；Ｌ．検索条件提示用ホームページ；Ｎ．識別子から規則的に作成されるファイル名（識別子ファイル名）；Ｐ．秘密ファイルを参照するホームページ；Ｒ．ホームページ画面；Ｓ．識別子；Ｔ．利用者の端末機；Ｚ．サーバ；
（図４）
Ｂ．秘密データのデータベース；Ｄ．表示装置；Ｅ．秘密ファイル；Ｆ．該当秘密データ；Ｇ．該当識別子；Ｈ．秘密データ；Ｋ．検索条件；Ｌ．検索条件提示用ホームページ；Ｍ．記録媒体；Ｎ．識別子から規則的に作成されるファイル名（識別子ファイル名）；Ｐ．秘密ファイルを参照するホームページ；；Ｒ．ホームページ画面；Ｓ．識別子；Ｔ．利用者の端末機；Ｚ．サーバ；
（図５）
Ｅ．ファイル；Ｈ．秘密データ；Ｏ．保存場所；Ｐ．保存場所のファイルを
参照するホームページＴ．利用者の端末機；Ｕ．クッキー；Ｚ．サーバ；
（図６）
Ａ．削除するデータの識別子；Ｃ．ゴミ箱；Ｈ．秘密データ；Ｉ．該当秘密データ；Ｑ：該当識別子；Ｓ．識別子；Ｔ．利用者の端末機；Ｚ．サーバ；
（図７）
Ａ．削除するデータの識別子；Ｃ．ゴミ箱；Ｈ．秘密データ；Ｉ．該当秘密データ；Ｑ：該当識別子；Ｓ．識別子；Ｔ．利用者の端末機；Ｚ．サーバ；
（図８）
Ａ：更新するデータの識別子；Ｈ．秘密データ；Ｉ．更新する秘密データＳ．識別子；Ｔ．利用者の端末機；Ｚ．サーバ；
（図９）
Ｈ．秘密データ；Ｊ１〜Ｊ３．利用者１〜３；Ｓ．識別子；Ｔ１〜Ｔ３．利用者１〜３の端末機；Ｗ．利用者ごとに替える追跡データ；Ｗ１〜Ｗ３；追跡データ１〜３；Ｚ．サーバ；[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a communication line application system or an Internet application system for performing secure search, browsing, and data maintenance of secret data via a communication line or the Internet.
[0002]
[Prior art]
A system that searches and browses confidential data by accessing a server in a network closed by a communication line, a system that searches and browses confidential data by restricting access to an Internet server, and a system that exclusively uses confidential data for terminals There is a system for searching and browsing confidential data by inserting software.
[0003]
[Problems to be solved by the invention]
Closed communication networks have low line speeds and costly equipment in proportion to cost. Communication costs are higher than in open communication networks such as the Internet. These problems can be prevented by securely browsing confidential data through an open communication network.
Although some problems can be solved by restricting access to Internet servers, posting open data on the Internet is unreliable and avoided because of the openness of the Internet. Also, since there are problems such as eavesdropping and hacking, it is dangerous to send confidential data through a communication line or store it in a server. This problem is solved by passing the secret data without passing through the Internet and referring to the passed data when necessary at the terminal.
Easy maintenance of confidential data. It is safe to search and browse secret data by putting secret data and dedicated software in the terminal, but maintenance of the secret data is not easy. By connecting to the server and receiving and maintaining the maintenance information, the data can be easily kept up to date.
Be able to track the loss of secret data. It is possible to trace confidential data leaked by the user intentionally or by negligence.
[0004]
[Means for Solving the Problems]
The secret data is passed to the user by a secure means, the search condition is passed to the server via an open communication line, and the server performs the search and returns only the identifier of the corresponding data to the terminal. The terminal refers to the secret data passed to the user and set.
The server passes data deletion information by identifier. The server passes only the identifier and the update information as data update information.
By including tracking information in the secret data for each user, it is possible to track a case in which the data is omitted.
[0005]
DESCRIPTION OF THE PREFERRED EMBODIMENTS
When browsing a large amount of data, the number of data that can be browsed at a time is limited, so it must be narrowed down in some way. Even if the condition is determined by tacit understanding, the search is always performed in the order of newest first 20 cases. Search is always performed when browsing a part of a large number of data.
In addition, the data required for the search is sufficient for the content used for the search, and can be generally coarser than the detailed data to be referred. For example, in the case of secret data of personnel affairs, the occupation is often not a company A employee but a company employee. Also, if the secret data contains image or audio data, the image data or audio data is not normally searched for, and is only necessary for displaying or reproducing details on the terminal. It is. In general, the search database will be less confidential, making the secret data coarser and less detailed. Therefore, by storing only the less confidential search data in the server, the risk can be minimized even if the data is leaked due to hacking.
[0006]
A method for receiving and viewing confidential data via a communication line will be described with reference to FIG.
a1) The user previously receives a plurality of secret data (H) and identifiers (S) of the respective secret data via a communication line. a2) Each of the identifiers (S) in the user terminal (T) from the identifier (S) To be able to refer to the secret data (H). b) At the request of the user, the terminal (T) connects to the server (Z) of the secret data browsing system via a communication line, presents the search condition (K) to the server (Z), and requests a search. . c1) The server (Z) searches using the database (B) of the secret data (H) on the server (Z), and c2) communicates at least the identifier (G) of the corresponding secret data (H). Return to the terminal (T) via the line. At this time, it is possible to supplement the secret data (H) previously received by returning the public data not present in the secret data (H) previously received in a or the data changed after being received in advance. d) The terminal (T) uses the returned identifier (G), refers to the corresponding secret data (F) from among the secret data (H) that can be referred to in a, and refers to the terminal (T). It is displayed on the display device (D) of (T) or reproduced by the reproducing device.
The display can be easily realized by applying the Internet technology and realizing the server (Z) as a WWW server with plug-in software of a browser of the terminal (T) and a browser referring to the secret data (H). Needless to say, if the cost is increased, it can be realized with dedicated software without using a standard browser or WWW server on the Internet.
At this time, in the case of image data, it is displayed as an image, and in the case of audio, it is reproduced.
[0007]
The secret data (H) to be received in advance is secured by using a closed line such as a dedicated line, by performing an open line using an established security method such as encrypting data, or by using a communication line such as a VPN (virTual private Network). It is desirable to carry out. Also, it is desirable that the storage location of the secret data (H) on the server (Z) be stored in a location that can be accessed only by the dedicated CGI and cannot be accessed by a general public line. The security at this time is required to be higher than the line that presents the search condition (K) and returns the identifier (S). The secret data (H) is not always stored on the server (Z) by a method such as storing the secret data (H) in the server (Z) after the expiration date and receiving the secret data (H) through the highly secure communication line. It is also important.
[0008]
When searching, only the identifier (S) can be presented as the search condition (K), and it can be checked only whether or not the data is still registered.
If the secret data (H) has a unique value throughout the data, the same effect can be obtained even if the value is made to function as the identifier (S) without separately providing the identifier (S).
When referring to the secret data (H) from the identifier (S), each piece of the secret data may be converted into an individual file, and the file name may be referred to as the identifier (S) from the file. A plurality of data may be implemented together with the identifier (S) in the database of the terminal (T) so that individual data can be referenced from the identifier (S).
[0009]
Image data and audio data that do not easily become search conditions (K), that is, do not need to be stored in the server (Z) when implementing this system, often have a high degree of confidentiality. Image data and audio data are received via a highly secure communication line, an identifier (S) retrieved via the communication line is received from a server (Z), and the corresponding image data and audio data are displayed on a terminal (T). High security is realized by reproduction.
[0010]
With reference to FIG. 2, a method for receiving and viewing secret data via a recording medium will be described.
a1) The user previously receives a plurality of secret data (H) and an identifier (S) of each secret data via the recording medium (M). a2) The user receives the data (H) and the identifier (S). Or the storage medium (M) is attached to the terminal (T) so that the secret data (H) can be referenced from the identifier (S). The receiving of the recording medium (M) is performed by highly secure transportation or the like. b) At the request of the user, the terminal (T) connects to the server (Z) of the secret data browsing system via a communication line, presents the search condition (K) to the server (Z), and requests a search. . c1) The server (Z) searches using the database (B) of the secret data (H) on the server (Z), and c2) communicates at least the identifier (G) of the corresponding secret data (H). Return to the terminal (T) via the line. At this time, it is possible to supplement the secret data (H) previously received by returning the public data not present in the secret data (H) previously received in a or the data changed after being received in advance. d) Using the returned identifier (G), the terminal refers to the corresponding secret data (F) from the secret data (H) referred to in the above a, and refers to the terminal (T). Is displayed on the display device (D) or reproduced by the reproducing device.
The display can be easily realized by applying the Internet technology and realizing the server (Z) as a WWW server with plug-in software of a browser of the terminal (T) and a browser referring to the secret data (H). Needless to say, if the cost is increased, it can be realized with dedicated software without using a standard browser or WWW server on the Internet.
When the image data is displayed, it is displayed as an image in the case of image data, and is reproduced in the case of audio.
[0011]
When searching, only the identifier (S) can be presented as the search condition (K), and it can be checked only whether or not the data is still registered.
If the secret data (H) has a unique value throughout the data, the same effect can be obtained even if the value is made to function as the identifier (S) without separately providing the identifier (S).
When referring to the secret data (H) from the identifier (S), the individual secret data (H) may be converted into an individual file, and the file name may be referred to as the identifier (S) from the file. A plurality of data may be implemented together with the identifier (S) in the database of the terminal (T) so that individual data can be referenced from the identifier (S).
Since the receiving of the recording medium (M) for recording the secret data (H) is performed by mail or transportation, the communication medium is completely escaped from interception of the communication, misuse, misuse, and hacking of the password.
[0012]
Image data and audio data that do not easily become search conditions (K), that is, do not need to be stored in the server (Z) when implementing this system, often have a high degree of confidentiality. Image data and audio data are received by highly secure transportation and mailing means, the identifier (S) retrieved via the communication line is received from the server (Z), and the corresponding image data and audio data are transmitted to the terminal (T). By displaying and reproducing with, high security is realized.
[0013]
A method of browsing confidential data using the Internet will be described with reference to FIG.
a1) The user previously receives a plurality of secret data (H) and identifiers (S) of the respective data via a communication line, and a2) receives the respective secret data from the identifiers in the user terminal (T). (H) can be referred to. b) The secret data (H) that can be referred to by the terminal (T) is a separate file name (identifier file name in the figure) (N in the figure) that is regularly created from the identifier (S) of each data (H). ) (Hereinafter referred to as a secret file) (E). c1) At the request of the user, the terminal (T) connects to the server (Z) of the secret data browsing system via the Internet and opens the homepage (L) for presenting search conditions with a browser. c2) The search conditions are transmitted to the server. (K) is presented and a search is requested. d1) The server (Z) performs a search based on the search condition (K) using the database (B) of the secret data on the server (Z), and d2) an identifier of the corresponding secret data (F) From (S1), a home page (P) referring to the file (E) of the secret data (H) of the terminal (T) stored under the file name (N) regularly created in b above is returned. e) The terminal (T) displays the above homepage (P), and refers to the secret data (H) from the file (E) of the terminal (T) referred to in the homepage (P) for display or reproduction by the reproducing device. .
[0014]
The secret data (H) to be received in advance is secured by using a closed line such as a dedicated line, by performing an open line using an established security method such as data encryption, or by using a communication line such as a VPN (virTual private Network). It is desirable to carry out. Also, the storage location of the secret data (H) on the server (Z) can be accessed only by the special CGI using a special protocol (for example, IPX / SPX), and cannot be directly accessed by a general public line and protocol (for example, TCP / IP). It is desirable to save it in a place. In this case, the CGI is accessed to receive the secret data via the communication line. It is required that the security at the time of receiving the secret data (H) be higher than that of an Internet communication line that presents the search condition (K) and returns the identifier (S). The secret data (H) is not always stored on the server (Z) by a method such as storing the secret data (H) in the server (Z) after the expiration date and receiving the secret data (H) through the highly secure communication line. It is also important.
[0015]
A method of performing a search by presenting a search condition (K) on the Internet is widely realized using CGI or the like.
Displaying on the browser with reference to the file (E) of the secret data (H) is realized using the frame function of the browser. It can also be realized by a method of creating plug-in software for the browser and taking in the secret data (H) into the page (P).
In addition, image data to be kept secret can be referred to and displayed on a browser simply by referring to a file containing the image data on a homepage. In this case, the file name to be referred to may be a file name (N) created regularly from the identifier (S).
[0016]
In order to store the secret data (H) as a file with a file name (N) regularly created from the identifier (S) of each data, a file with a file name (N) created from the identifier (S) must be stored. The secret data (H) may be inserted and the secret data (H) may be received and stored in the terminal (T). Alternatively, each terminal receives the secret data (H) and the identifier (S), creates a file having a file name (N) regularly created from each identifier (S) at the terminal (T), and stores the individual data. It may be realized by storing.
Obviously, the file name (N) regularly created from the identifier (S) may be the same as the file name (N). If the secret data (H) is received in the file having the file name (N) created from the identifier (S) and the secret data (H) is received, the identifier (S) can be received from the file name (N). There is no need to receive the identifier (S).
[0017]
The storage location of the secret file (E) of the terminal (T) must be the location of the file to be referenced. When the file (E) of the secret data (H) is stored in the terminal (T), the location of the secret file (E) to be referred to in the home page (P) is the same as that of the file (E). What should I do? Alternatively, the problem can be solved by notifying the server (Z) of the storage location of the secret file (E) when presenting the search condition (K).
[0018]
A method for browsing confidential data using the Internet and a recording medium will be described with reference to FIG.
a1) The user previously receives a plurality of secret data (H) and identifiers (S) of the respective data via the recording medium (M), and a2) stores the data in the terminal (T) or (M) is attached to the terminal (T) so that it can be referred to. b) The secret data (H) that can be referred to by the terminal (T) or the secret data (H) of the attached recording medium (M) is regularly created from the identifier (S) of each data (H). File (identifier file name) (N) (hereinafter referred to as a secret file) (E). c1) At the request of the user, the terminal (T) connects to the server (Z) of the secret data browsing system via the Internet and opens the homepage (L) for presenting search conditions with a browser. c2) The search conditions are transmitted to the server. (K) is presented and a search is requested. d1) The server (Z) performs a search based on the search condition (K) using the database (B) of the secret data on the server (Z), and d2) an identifier of the corresponding secret data (F) From (S1), a home page (P) referring to the file (E) of the secret data (H) of the terminal (T) stored under the file name (N) regularly created in b above is returned. e) The terminal (T) displays the above homepage (P), and refers to the secret data (H) from the file (E) of the terminal (T) referred to in the homepage (P) for display or reproduction by the reproducing device. .
[0019]
A method of performing a search by presenting a search condition (K) on the Internet is widely realized using CGI or the like.
Designating the file (E) of the secret data (H) and displaying it on the browser is realized by using the frame function of the browser. It can also be realized by a method of creating plug-in software for the browser and taking in the secret data (H) into the page (P).
In addition, image data to be kept secret can be referred to and displayed on a browser simply by referring to a file containing the image data on a homepage. In this case, the file name to be referred to may be a file name (N) created regularly from the identifier (S).
[0020]
In order to store the secret data (H) as a file with a file name (N) regularly created from the identifier (S) of each data, a file with a file name (N) created from the identifier (S) must be stored. The secret data (H) may be inserted and the secret data (H) may be received and stored in the terminal (T). Alternatively, each terminal receives the secret data (H) and the identifier (S), creates a file having a file name (N) regularly created from each identifier (S) at the terminal (T), and stores the individual data. It may be realized by storing.
Obviously, the file name (N) regularly created from the identifier (S) may be the same as the file name (N). If the secret data (H) is received in the file having the file name (N) created from the identifier (S) and the secret data (H) is received, the identifier (S) can be received from the file name (N). There is no need to receive the identifier (S).
[0021]
The storage location of the secret file (E) of the terminal (T) must be the location of the file to be referenced. When the file (E) of the secret data (H) is stored in the terminal (T), the location of the secret file (E) to be referred to in the home page (P) is the same as that of the file (E). What should I do? Alternatively, the problem can be solved by notifying the server (Z) of the storage location of the secret file (E) when presenting the search condition (K).
[0022]
Referring to FIG. 5, a method of obtaining the location of a file to be referred by using a cookie will be described.
a) A cookie on the terminal (T) from which the server (Z) of the secret data browsing system can read a storage location (O) for storing the secret data (H) in the terminal (T) as a file (E). Set to U). b) The server (Z) of the secret data browsing system receives a search request via the Internet, c) reads the cookie (U) on the terminal (T), and d) stores the file in the storage location (B). Return home page (P) by referring to (E).
[0023]
With reference to FIG. 6, a method for deleting stored secret data based on server information will be described.
a) The terminal (T) connects to the server (Z) of the secret data (H) browsing system via a communication line based on the user's request, and b) receives the identifier (R) of the secret data to be deleted, c ) Delete the corresponding referenced private data (I) and / or identifier (Q).
[0024]
In the present system, the search is always performed based on the data of the server (Z). Therefore, if the data of the server (Z) is deleted and maintained, the deleted data is not reflected in the search result. However, the data that can be referred to by the terminal (T) remains in the terminal (T). By keeping the master data on the server (Z) always up-to-date, the terminal (T) receives and deletes the identifier (S) of the deleted data from the server (Z), thereby eliminating unnecessary storage.
[0025]
A method of deleting secret data based on server information will be described with reference to FIG.
a1) The user receives a plurality of secret data (H) and the identifiers (S) of the respective data in advance, and a2) the respective secret data (H) from the identifier (S) in the user terminal (T). To be able to refer to. b1) The terminal (T) connects to the server (Z) of the secret data browsing system based on the user's request, b2) receives the identifier (R) of the secret data to be deleted, and b3) can be referred to by the above a1 and a2. The corresponding secret data (I) and / or identifier (Q) are deleted from the secret data (H).
[0026]
In the case where the secret data (H) received by the user is data to be subsequently deleted, maintenance of the data (H) is troublesome. The master data on the server (Z) is always kept up-to-date, and the terminal (T) receives the identifier (S) of the deleted data from the server (Z) and deletes it.
[0027]
A method of updating secret data based on server information will be described with reference to FIG.
a1) The user receives a plurality of secret data (H) and the identifiers (S) of the respective data in advance, and a2) receives the respective secret data (H) from the identifier (S) in the user terminal (T). ). b1) At the request of the user, the terminal (T) connects to the server (Z) of the secret data browsing system, b2) receives the updated secret data (I) and the identifier (Q) of the data, and Update the corresponding secret data that can be referred to.
[0028]
In the case where the secret data (H) received by the user is data that is subsequently changed, the maintenance of the data (H) is troublesome. The master data on the server (Z) is always kept up-to-date, and the terminal (T) receives the updated secret data (I) and its identifier (Q) from the server (Z) and resolves them by updating.
[0029]
A method of tracking omission of secret data will be described with reference to FIG.
Tracking data (W1 to W3) different for each user is put in each piece of secret data (H) received in advance.
A part of the secret data (H) is intentionally lost due to negligence. By examining the different tracking data (W1 to W3) for each user in the leaked secret data, it is possible to distinguish which user has received the secret data (H) that has been leaked. By putting the tracking data (W1 to W3) in the individual secret data (H), it is possible to track which secret data has been passed to which user even if any secret data is missing.
[Brief description of the drawings]
FIG. 1 A method of receiving and browsing confidential data via a communication line. FIG. 2 A method of receiving and browsing confidential data via a recording medium. FIG. 3 A method of browsing confidential data using the Internet. FIG. Method of browsing confidential data using a computer and a recording medium [FIG. 5] Method of obtaining the location of a file to be referred using a cookie [FIG. 6] Method of deleting stored confidential data based on server information [FIG. 7] Method of deleting secret data based on server information [FIG. 8] Method of updating secret data based on server information [FIG. 9] Method of tracking omission of secret data [Description of symbols]
(Fig. 1)
B. A database of secret data; Display device; Applicable secret data; Applicable identifier; Secret data; Search condition; Identifier; User's terminal; server;
(Fig. 2)
B. A database of secret data; Display device; Applicable secret data; Applicable identifier; Secret data; Search condition; Recording medium; Identifier; User's terminal; server;
(Fig. 3)
B. A database of secret data; Display device; A secret file; Applicable secret data; Applicable identifier; Secret data; Search condition; Homepage for presenting search conditions; A file name regularly created from the identifier (identifier file name); Home page referring to secret file; Homepage screen; Identifier; User's terminal; server;
(FIG. 4)
B. A database of secret data; Display device; A secret file; Applicable secret data; Applicable identifier; Secret data; Search condition; Homepage for presenting search conditions; Recording medium; A file name regularly created from the identifier (identifier file name); A home page referring to the secret file; Homepage screen; Identifier; User's terminal; server;
(FIG. 5)
E. FIG. File; Secret data; Storage location; Homepage that refers to the file in the storage location User's terminal; U. Cookies; server;
(FIG. 6)
A. B. identifier of data to be deleted; Trash; Secret data; I. Applicable secret data; Q: applicable identifier; Identifier; User's terminal; server;
(FIG. 7)
A. B. identifier of data to be deleted; Trash; Secret data; I. Applicable secret data; Q: applicable identifier; Identifier; User's terminal; server;
(FIG. 8)
A: identifier of data to be updated; Secret data; I. Secret data to be updated Identifier; User's terminal; server;
(FIG. 9)
H. Secret data; J1 to J3. Users 1-3; Identifier; T1 to T3. Terminals of users 1 to 3; Tracking data changed for each user; W1 to W3; tracking data 1 to 3; server;

Claims

A secret data browsing system a. The user receives in advance a plurality of pieces of secret data and identifiers of the respective pieces of secret data via a communication line, and makes it possible to refer to the respective pieces of secret data from the identifiers in the user terminal.
b. At the request of the user, the terminal connects to a server of the secret data browsing system via a communication line, presents search conditions to the server, and requests a search.
c. The server performs a search based on the search condition using the secret data database on the server, and returns at least an identifier of the corresponding secret data to the terminal via a communication line.
d. Using the returned identifier, the terminal refers to the corresponding secret data from among the secret data referred to in a above and displays the secret data on the display device of the terminal or reproduces the data on the reproducing device.

A secret data browsing system a. The user receives in advance a plurality of pieces of secret data and identifiers of the respective pieces of secret data via a recording medium, and makes it possible to refer to the respective pieces of secret data from the identifiers in the user terminal.
b. At the request of the user, the terminal connects to the server of the secret data browsing system via a communication line, presents search conditions to the server, and requests a search.
c. The server performs a search based on the search condition using the secret data database on the server, and returns at least an identifier of the corresponding secret data to the terminal via a communication line.
d. Using the returned identifier, the terminal refers to the corresponding secret data from among the secret data referred to in a above and displays the secret data on the display device of the terminal or reproduces the data on the reproducing device.

A secret data browsing system a. The user receives in advance a plurality of pieces of secret data and identifiers of the respective pieces of secret data via a communication line, and makes it possible to refer to the respective pieces of secret data from the identifiers in the user terminal.
b. The secret data that can be referred to by the terminal is stored as files having different file names regularly created from identifiers of individual data.
c. At the request of the user, the terminal connects to the server of the secret data browsing system via the Internet, presents search conditions to the server, and requests a search.
d. The server searches the server based on the search condition using the database of the secret data on the server, and stores the terminal with the file name regularly created in the step b from the identifier of the corresponding secret data. Returns a home page that references the secret data file.

A secret data browsing system a. The user receives in advance a plurality of pieces of secret data and identifiers of the respective pieces of secret data via the recording medium, and makes it possible to refer to the respective pieces of secret data from the identifiers in the user terminal.
b. The secret data that can be referred to by the terminal is stored in a file having a file name regularly created from the identifier of each data.
c. At the request of the user, the terminal connects to the server of the secret data browsing system via the Internet, presents search conditions to the server, and requests a search.
d. The server searches the server based on the search condition using the database of the secret data on the server, and stores the terminal with the file name regularly created in the step b from the identifier of the corresponding secret data. Returns a home page that references the secret data file.

The storage location for storing the secret data in a file according to claim 3 or 4 is set in a cookie on a terminal which can be read by a server of the secret data browsing system. 4 secret data browsing system.

The terminal connects to a server of the secret data browsing system via a communication line based on a request of the user, receives the identifier of the deleted secret data, and receives the identifier of the deleted secret data. The secret data browsing system according to claim 1, 2, 3, or 4, wherein the corresponding secret data and / or identifier referred to in (a) is deleted.

A secret data browsing system a. The user receives a plurality of pieces of secret data and identifiers of the respective pieces of secret data in advance, and makes it possible to refer to the respective pieces of secret data from the identifiers in the user terminal.
b. Based on the user's request, the terminal connects to the server of the secret data browsing system via a communication line, receives the identifier of the secret data to be deleted, and selects the corresponding data from the secret data referred to in a. And / or delete the identifier.

A secret data browsing system a. The user receives a plurality of pieces of secret data and identifiers of the respective data in advance, and makes it possible to refer to the respective secret data from the identifiers in the user terminal.
b. Based on the user's request, the terminal connects to the server of the secret data browsing system via a communication line, receives the secret data to be updated and the identifier of the data, and updates the corresponding secret data that can be referred to by a. I do.

Claim 1, wherein different tracing data for each user is entered in each of the secret data received in a of Claim 1, Claim 2, Claim 3, Claim 4, Claim 7, or Claim 8. The secret data browsing system according to claim 2, claim 3, claim 4, claim 7, or claim 8.