JP2004192353A - 個人情報開示制御システム及び個人情報開示制御方法 - Google Patents
個人情報開示制御システム及び個人情報開示制御方法 Download PDFInfo
- Publication number
- JP2004192353A JP2004192353A JP2002359860A JP2002359860A JP2004192353A JP 2004192353 A JP2004192353 A JP 2004192353A JP 2002359860 A JP2002359860 A JP 2002359860A JP 2002359860 A JP2002359860 A JP 2002359860A JP 2004192353 A JP2004192353 A JP 2004192353A
- Authority
- JP
- Japan
- Prior art keywords
- personal information
- disclosure
- policy
- server
- arbitration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】個人情報利用者の個人情報要求が個人情報保有者のポリシーに合致しない場合であっても一律開示不可とするのではなく、ネットワーク上における調停により開示可能とするシステム、方法を提供する。
【解決手段】サーバが予め登録された利用ポリシーと対応するプライバシーポリシーを解析し、情報開示を承認するか拒絶するかを判定する(S3)。判定の結果、開示可の場合には利用ポリシーの内容に従って個人情報を開示する(S4)。開示不可の場合には、個人情報保有者端末に直接利用ポリシーを通知したり、再度利用ポリシーを作成する等して調停を行い(S5)、調停の結果(S6)、開示可の場合は個人情報を開示し(S4)、開示不可の場合は個人情報の開示は行わない(S7)。
【選択図】 図7
【解決手段】サーバが予め登録された利用ポリシーと対応するプライバシーポリシーを解析し、情報開示を承認するか拒絶するかを判定する(S3)。判定の結果、開示可の場合には利用ポリシーの内容に従って個人情報を開示する(S4)。開示不可の場合には、個人情報保有者端末に直接利用ポリシーを通知したり、再度利用ポリシーを作成する等して調停を行い(S5)、調停の結果(S6)、開示可の場合は個人情報を開示し(S4)、開示不可の場合は個人情報の開示は行わない(S7)。
【選択図】 図7
Description
【0001】
【発明の属する技術分野】
本発明は、ネットワークに接続された端末間において、個人情報保有者のプライバシーポリシーと、個人情報利用者の利用ポリシーを基に情報開示制御及び情報開示不可の場合の調停を制御することのできる個人情報開示制御システム及びその方法に関する。
【0002】
【従来の技術】
従来、利用者の個人情報の開示制御を利用者のポリシーに基づいて行うシステムとしては、例えば、W3C(World Wide Web Consortium)で検討されているP3P(Platform for Privacy Preference)やOASIS(Organization for the Advancement of Structured Information Standards)で検討されているXACML(XML Access Control Markup Lnguage)などが挙げられる。P3Pは、Webサイトとクライアントとの間での個人情報の流通方法を定めた仕様であり、Webサイトは個人情報の利用基準(プライバシーポリシー)を正確に開示し、利用者はプライバシーポリシーを読み、または、利用者がポリシー(プリファレンス)を設定することにより、個人情報を送るかどうか決定することを可能としている(例えば、非特許文献1)。また、特許文献1では、コンテンツ提供主体がコンテンツと開示利用規定を保持し、コンテンツ利用主体は、要求利用規定とコンテンツ利用認証主体から発行されたIDをコンテンツ要求としてコンテンツ提供主体に送付し、コンテンツ提供主体側では要求利用規定と開示利用規定に基づいて、コンテンツ利用主体に対して開示可能なコンテンツの検索、提示を行うことを可能としている。また、特許文献2では、個人情報の所有者から受けたアクセスポリシーと外部アクセス者から送信されてくる属性証明書の内容とを解析し、外部アクセス者に対するアクセス権限をロールとして割り当てアクセス制御してデータを利用させることを可能としている。
【0003】
【特許文献1】
特開2001−256193号公報
【特許文献2】
特開2002−14862号公報
【非特許文献1】
http://www.w3.org/P3P
【0004】
【発明が解決しようとする課題】
しかしながら、上記のような従来技術では、あくまでも個人情報保有者主導で制御が行われ、個人情報利用者の要求が個人情報保有者のポリシーを満足しない場合は個人情報の利用は不可となり、個人情報利用者が何とか個人情報を利用したいと考えてもその術はないため、ネットワーク上ではなく実際の場での交渉、調停といった方法をとるしか対処法がなかった。
【0005】
本発明は上記問題に鑑みてなされたものであり、その目的とするところは、個人情報利用者の要求が個人情報保有者のポリシーに合致しない場合であっても一律開示不可とするのではなく、個人情報利用者端末と個人情報保有者端末間での交渉、調停をネットワーク上で可能とするシステム、方法等を提供することにある。
【0006】
【課題を解決するための手段】
前記目的を達成するため、請求項1では、図1乃至図6に示すように、少なくとも一つの個人情報保有者端末と、少なくとも一つの個人情報利用者端末と、個人情報を蓄積するサーバとを具備し、該サーバによる制御のもと個人情報を個人情報利用者端末に対して開示する個人情報開示制御システムにおいて、前記個人情報保有者端末30は、個人情報の利用基準を定めるプライバシーポリシー60を作成するプライバシーポリシー作成手段31と、作成したプライバシーポリシー60を個人情報とともに前記サーバ40へ送信するプライバシーポリシー・個人情報送信手段32とを有し、前記個人情報利用者端末20は、個人情報の開示要求の範囲を定める利用ポリシー50を作成する利用ポリシー作成手段21と、作成した利用ポリシー50を前記サーバ40へ送信する利用ポリシー送信手段22とを有し、前記サーバ40は、前記プライバシーポリシー60を登録するプライバシーポリシー登録手段41と、個人情報を蓄積する個人情報蓄積手段42と、個人情報利用者端末20が要求する個人情報に対応するプライバシーポリシー60を前記プライバシーポリシー登録手段41から検索するプライバシーポリシー検索手段43と、前記利用ポリシー50の指定範囲が前記プライバシーポリシー60の範囲内にあるか否かを確認し、個人情報の開示可否を判定するポリシー判定手段44と、前記ポリシー判定手段44が個人情報の開示を承認した時に、対象の個人情報を前記個人情報蓄積手段42から検索する個人情報検索手段45と、前記ポリシー判定手段44が個人情報の開示を承認した時に、対象の個人情報を前記個人情報利用者端末20に送信する個人情報送信手段46と、前記ポリシー判定手段44が個人情報の開示を拒絶した時に、開示拒絶の旨を個人情報利用者端末20へ通知する開示拒絶通知手段47とを有し、プライバシーポリシー60と利用ポリシー50とが一致せずかつ個人情報保有者端末30が交渉を許容するときに、個人情報保有者端末30と個人情報利用者端末20とがネットワーク10上において交渉するための調停機構を前記個人情報利用者端末20と個人情報保有者端末30とサーバ40とが構成することを特徴とする個人情報開示制御システムをもって解決手段とする。
【0007】
請求項1の発明によれば、個人情報保有者端末30は自身の個人情報の利用に関するプライバシーポリシー60をサーバ40に登録し、個人情報利用者端末20はその個人情報を利用する際に、自身の要求に関する利用ポリシー50をサーバ40に送信する。利用ポリシー50を受信したサーバ40は、利用ポリシー50の内容を解析し、あらかじめ各個人情報保有者が登録しているプライバシーポリシーの中から、利用対象として要求されている個人情報に関するプライバシーポリシー60を参照し、利用ポリシー50とプライバシーポリシー60の内容に基づいて情報開示を承認するか拒絶するかを判定する。判定の結果、開示可の場合には利用ポリシー50の内容に従って当該個人情報を開示する。判定の結果、開示不可の場合には個人情報利用者端末20と個人情報保有者端末の30間で調停を実行する。
【0008】
請求項2では、前記構成に加え、前記サーバ40は、前記個情報報保有者端末30へ利用ポリシー50の内容を通知する調停時利用ポリシー通知手段48と、前記個人情報保有者端末30から個人情報の開示の承認を受けると、当該個人情報を前記個人情報蓄積手段42から検索する調停時個人情報検索手段49と、前記個人情報を前記個人情報利用者端末20に送信する調停時個人情報送信手段4Aと、前記個人情報保有者端末30から個人情報の開示の拒絶通知を受けると、前記個人情報利用者端末20に開示拒絶を通知する調停時開示拒絶通知手段4Bとを有し、前記個人情報保有者端末30は、前記利用者ポリシー50の内容により個人情報の開示要求を許可するか否かを判断する調停時個人情報開示判断手段33と、個人情報の開示要求を許可するか否かの判断結果を前記サーバ40へ通知する調停時判断結果通知手段34とを有することを特徴とする請求項1記載の個人情報開示制御システムをもって解決手段とする。
【0009】
請求項2によれば、サーバ40による判定の結果、開示不可の場合の調停において、ユーザへの直接的なインタラクションを可能とする。つまり、個人情報保有者端末30へ利用ポリシー50の内容を通知し、個人情報保有者端末30へ要求内容の許可判断を求め、その結果、開示可の場合は、要求内容に従って個人情報を開示し、開示不可の場合、開示不可の旨を個人情報利用者端末20へ通知する。
【0010】
請求項3では、前記利用ポリシー50は、個人情報を開示してもらう際の対価条件54を含むことを特徴とする請求項2記載の個人情報開示制御システムをもって解決手段とする。
【0011】
請求項3によれば、サーバ40による判定の結果、開示不可の場合の調停において、個人情報保有者端末30に対して対価条件54を提示する。つまり、個人情報利用者端末20は、対価として自身の個人情報を開示する、または、対価として個人情報保有者端末30に有益な情報を提供する等、個人情報を開示してもらう際の対価条件54を利用ポリシー50に含み、開示可の場合にはサーバ40へ開示承認を通知し、サーバ40は個人情報を個人情報利用者端末20に送信する。開示不可の場合は開示不可の旨を個人情報利用者端末20へ通知する。
【0012】
請求項4では、前記構成に加え、前記サーバ40は、前記プライバシーポリシー60と前記利用ポリシー50とを比較し、開示可能な条件を導出する調停時開示可能条件導出手段4Cと、導出した開示可能条件を個人情報利用者端末20に通知する調停時開示可能条件通知手段4Dと、再度作成された利用ポリシー50の記載範囲が前記プライバシーポリシー60の範囲内にあるか否かを確認し、個人情報の開示可否を判定する調停時ポリシー判定手段4Eと、前記調停時ポリシー判定手段4Eが調停により個人情報の開示を承認した時に、当該個人情報を前記個人情報蓄積手段42から検索する調停時個人情報検索手段4Fと、前記調停時ポリシー判定手段4Eが調停により個人情報の開示を承認した時に、個人情報を前記個人情報利用者端末20に送信する調停時個人情報送信手段4Gと、前記調停時ポリシー判定手段4Eが調停により個人情報の開示を拒絶した時に、開示拒絶の旨を個人情報利用者端末20へ通知する調停時開示拒絶通知手段4Hとを有し、前記個人情報利用者端末20は、前記サーバ40から開示可能条件通知を受けると再度利用ポリシー50を作成する調停時利用ポリシー作成手段23と、再度作成した利用ポリシー50を前記サーバ40へ送信する調停時利用ポリシー送信手段24とを有することを特徴とする請求項1乃至3何れか1項記載の個人情報開示制御システムをもって解決手段とする。
【0013】
請求項4の発明によれば、サーバ40による判定の結果、開示不可の場合の調停において、個人情報利用者端末20は開示可となるような利用ポリシー50の代替案の作成を促す。つまり、サーバ40において、プライバシーポリシー60と利用ポリシー50とから開示可能な条件を導出し、個人情報利用者端末20へ開示不可の旨を通知するとともに、導出した開示可能条件も通知し、新規利用ポリシー50の作成を促す。
【0014】
請求項5では、前記構成に加え、前記サーバ40は、前記個人情報保有者端末30へ個人情報の開示可能な条件を問い合わせる調停時開示可能条件問い合わせ手段4Iと、前記個人情報保有者端末30から受けた開示可能条件通知を前記個人情報利用者端末20に通知する調停時開示可能条件通知手段4Jとを有し、前記個人情報保有者端末30は、個人情報の開示可能条件の提示可否を判断する調停時開示可能条件開示可否判断手段35と、前記サーバ40に開示可能条件を通知する調停時開示可能条件通知手段36とを有することを特徴とする請求項4記載の個人情報開示制御システムをもって解決手段とする。
【0015】
請求項5の発明によれば、サーバ40による判定の結果、開示不可の場合の調停において、個人情報保有者端末30に開示可能条件を問い合わせ、その開示可能条件を基に、個人情報利用者端末20に利用ポリシー50の代替案の作成を促す。つまり、サーバ40は、個人情報保有者端末30へ開示可能条件を問い合わせ、個人情報保有者端末30が開示可能条件を提示した場合には、その開示可能条件を個人情報利用者端末20へ通知し、新規利用ポリシー50の作成を促す。
【0016】
請求項6では、前記プライバシーポリシー60は、調停方法または調停方法の優先順位を指定する調停条件を含むことを特徴とする請求項1乃至5何れか1項記載の個人情報開示制御システムをもって解決手段とする。
【0017】
請求項6の発明によれば、個人情報保有者端末30は好きな調停方法を選ぶことができる。
【0018】
請求項7では、図1に示すように、少なくとも一つの個人情報保有者端末と、少なくとも一つの個人情報利用者端末と、個人情報を蓄積するサーバ間において、該サーバによる制御のもと個人情報利用者端末に対して個人情報を開示する個人情報開示制御方法であって、前記個人情報保有者端末30が、個人情報の利用基準を定めるプライバシーポリシー60を作成する工程と、前記個人情報保有者端末30が、作成されたプライバシーポリシー60を対応する個人情報とともに前記サーバ40へ送信する工程と、前記個人情報利用者端末20が、個人情報の開示要求の範囲を定めるための利用ポリシー50を作成する工程と、前記個人情報利用者端末20が、作成された利用ポリシー50を前記サーバ40へ送信する工程と、前記サーバ40が、前記プライバシーポリシー60を登録する工程と、前記サーバ40が、個人情報を蓄積する工程と、前記サーバ40が、個人情報利用者端末20の要求する個人情報に対応するプライバシーポリシー60を検索する工程と、前記サーバ40が、前記利用ポリシー50の指定範囲が前記プライバシーポリシー60の範囲内にあるか否かを確認し、個人情報の開示可否を判定する工程と、前記サーバ40が個人情報の開示を承諾した時に、対象の個人情報を検索する工程と、前記サーバ40が個人情報の開示を承認した時に、個人情報を前記個人情報利用者端末20に送信する工程と、個人情報の開示を拒絶した時に、前記サーバ40が開示拒絶の旨を個人情報利用者端末20へ通知する工程とを有し、プライバシーポリシー60と利用ポリシー50とが一致せずかつ個人情報保有者端末が交渉を許容するときに、ネットワーク10上において交渉により調停を行うことを特徴とする個人情報開示制御方法をもって解決手段とする。
【0019】
請求項7の発明によれば、個人情報保有者端末30は自身の個人情報の利用に関するプライバシーポリシー60をサーバ40に登録し、個人情報利用者端末20はその個人情報を利用する際に、自身の要求に関する利用ポリシー50をサーバ40に送信する。利用ポリシー50を受信したサーバ40は、利用ポリシー50の内容を解析し、あらかじめ各個人情報保有者が登録しているプライバシーポリシーの中から、利用対象として要求されている個人情報に関するプライバシーポリシー60を参照し、利用ポリシー50とプライバシーポリシー60の内容に基づいて情報開示を承認するか拒絶するかを判定する。判定の結果、開示可の場合には利用ポリシー50の内容に従って当該個人情報を開示する。判定の結果、開示不可の場合には個人情報利用者端末20と個人情報保有者端末の30間で調停を実行する。
【0020】
請求項8では、前記工程に加え、前記サーバ40が、前記個人情報保有者端末30へ利用ポリシー50の内容を通知する工程と、前記サーバ40が、前記個人情報保有者端末30から個人情報の開示の承認を受けると、当該個人情報を検索する工程と、前記サーバ40が、前記個人情報を前記個人情報利用者端末20に送信する工程と、前記サーバ40が、前記個人情報保有者端末30から個人情報の開示の拒絶を受けると、前記個人情報利用者端末20に開示拒絶を通知する工程と、前記個人情報保有者端末30が、利用者ポリシー50の内容により個人情報の開示要求を許可するか否かを判断する工程と、前記個人情報保有者端末30が、個人情報の開示要求を許可するか否かの判断結果を前記サーバ40へ通知する工程とを有することを特徴とする請求項7記載の個人情報開示制御方法をもって解決手段とする。
【0021】
請求項8の発明によれば、サーバ40による判定の結果、開示不可の場合の調停において、ユーザへの直接的なインタラクションを可能とする。つまり、個人情報保有者端末30へ利用ポリシー50の内容を通知し、個人情報保有者端末30へ要求内容の許可判断を求め、その結果、開示可の場合は、要求内容に従って個人情報を開示し、開示不可の場合、開示不可の旨を個人情報利用者端末20へ通知する。
【0022】
請求項9では、前記個人情報保有者端末30が、利用者ポリシー50の内容により個人情報の開示要求を許可するか否かを判断する工程において、前記利用ポリシー50に含まれる対価条件により判断することを特徴とする請求項8記載の個人情報開示制御方法をもって解決手段とする。
【0023】
請求項9の発明によれば、サーバ40による判定の結果、開示不可の場合の調停において、個人情報保有者端末30に対して対価条件54を提示する。つまり、個人情報利用者端末20は、対価として自身の個人情報を開示する、または、対価として個人情報保有者端末30に有益な情報を提供する等、個人情報を開示してもらう際の対価条件54を利用ポリシー50に含み、開示可の場合にはサーバ40へ開示承認を通知し、サーバ40は個人情報を個人情報利用者端末20に送信する。開示不可の場合は開示不可の旨を個人情報利用者端末20へ通知する。
【0024】
請求項10では、前記工程に加え、前記サーバ40が、前記プライバシーポリシー60と前記利用ポリシー50とを比較し、個人情報の開示可能な条件を導出する工程と、前記サーバ40が、導出した個人情報の開示可能条件を個人情報利用者端末20に通知する工程と、前記サーバ40が、再度作成された利用ポリシー50の記載範囲が前記プライバシーポリシー60の範囲内にあるか否かを確認し、個人情報の開示可否を判定する工程と、調停時において、前記サーバ40が個人情報の開示を承認した時に、前記サーバ40が、当該個人情報を検索する工程と、調停時において、前記サーバ40が個人情報の開示を承認した時に、前記サーバ40が、個人情報を前記個人情報利用者端末20に送信する工程と、調停時において、前記サーバ40が個人情報の開示を拒絶した時に、前記サーバ40が、開示拒絶の旨を個人情報利用者端末20へ通知する工程とを有し、前記個人情報利用者端末20が、前記サーバ40から開示可能条件通知を受けると再度利用ポリシー50を作成する工程と、前記個人情報利用者端末20が、再度作成した利用ポリシー50を前記サーバ40へ送信する工程とを有することを特徴とする請求項7乃至9何れか1項記載の個人情報開示制御方法をもって解決手段とする。
【0025】
請求項10の発明によれば、サーバ40による判定の結果、開示不可の場合の調停において、個人情報利用者端末20は開示可となるような利用ポリシー50の代替案の作成を促す。つまり、サーバ40において、プライバシーポリシー60と利用ポリシー50とから開示可能な条件を導出し、個人情報利用者端末20へ開示不可の旨を通知するとともに、導出した開示可能条件も通知し、新規利用ポリシー50の作成を促す。
【0026】
請求項11では、前記工程に加え、前記サーバ40が、個人情報保有者端末30へ開示可能な条件を問い合わせる工程と、前記個人情報保有者端末30が、個人情報の開示可能条件の開示可否を判断する工程と、前記個人情報保有者端末30が、前記サーバ40に個人情報の開示可能条件を通知する工程と、前記サーバ40が、前記個人情報保有者端末30から受けた開示可能条件通知を前記個人情報利用者端末20に通知する工程とを有することを特徴とする請求項10記載の個人情報開示制御方法をもって解決手段とする。
【0027】
請求項11によれば、サーバ40による判定の結果、開示不可の場合の調停において、個人情報保有者端末30に開示可能条件を問い合わせ、その開示可能条件を基に、個人情報利用者端末20に利用ポリシー50の代替案の作成を促す。つまり、サーバ40は、個人情報保有者端末30へ開示可能条件を問い合わせ、個人情報保有者端末30が開示可能条件を提示した場合には、その開示可能条件を個人情報利用者端末20へ通知し、新規利用ポリシー50の作成を促す。
【0028】
請求項12では、前記個人情報保有者端末30は、前記プライバシーポリシー60に含まれる調停方法または調停方法の優先順位を指定する調停条件に従い調停方法を選択することを特徴とする請求項7乃至11何れか1項記載の個人情報開示制御方法をもって解決手段とする。
【0029】
請求項12の発明によれば、個人情報保有者端末30は好きな調停方法を選ぶことができる。
【0030】
【発明の実施の形態】
以下、図を用いて本発明の実施形態について説明する。
【0031】
図1は、本発明にかかるシステムの一実施形態の概要を示している。図1において、20はシステム上において個人情報の開示を要求、取得し、利用する少なくとも一つの個人情報利用者端末、30は個人情報を保有し、要求に従い個人情報を開示する少なくとも一つの個人情報保有者端末、50は個人情報利用者端末20が個人情報の開示を要求する際に個人情報の開示要求の範囲を定めており、個人情報保有者端末30が所有する個人情報を取得するときの承諾の基準となる利用ポリシー、60は個人情報保有者端末30が有する個人情報を開示可能とする条件を定めるプライバシーポリシー、40はプライバシーポリシー60とそれに対応する個人情報を蓄積し、プライバシーポリシー60と利用ポリシー50の関係から個人情報の開示の可否を決定するサーバ、10はこれら個人情報利用者端末20、個人情報保有者端末30、サーバ40を接続するネットワークである。
【0032】
個人情報保有者端末30は、自身の個人情報を更新する都度、新しい個人情報をネットワーク10に接続されたサーバ40へ送信する。サーバ40では、個人情報保有者端末30から受信した個人情報を蓄積するとともに、予め登録された個人情報利用者端末20へ送信することで、個人情報を相互に送受信する情報通信システムを構成する。
【0033】
ここで、予め個人情報の通知先として登録されていない利用者が他人の個人情報を利用する際に、個人情報利用者端末20は要求内容を記述した利用ポリシー50をサーバ40へ送信する。サーバ40は、受信した利用ポリシー50に対応するプライバシーポリシー60を参照し、開示可否判断を行う。その結果、開示を認める場合は、利用ポリシー50にしたがって個人情報を開示し、開示を拒絶する場合は、開示拒絶の旨を個人情報利用者端末20に通知する。また、開示拒絶の場合でも、プライバシーポリシー60がネットワーク10上での交渉による調停を認めている場合には、サーバ40と個人情報保有者端末30間あるいはサーバ40と個人情報利用者端末20間の二者間、またはサーバ40と個人情報保有者端末30と個人情報利用者端末20との三者間で調停処理を行う。
【0034】
図2は個人情報利用者端末20の機能ブロック図である。個人情報利用者端末20は、サーバ40における通常の開示可否判断過程において、利用ポリシー50を作成する利用ポリシー作成手段21と、作成した利用ポリシー50をサーバへ送信する利用ポリシー送信手段22とを標準的に具備している。さらに、サーバ40が個人情報の開示を拒絶した後の調停時にサーバ40または個人情報保有者端末30から通知を受けた個人情報の開示可能条件に基づき、再度、利用ポリシー50を作成する調停時利用ポリシー作成手段23と、再度作成した利用ポリシー50をサーバ40へ送信する調停時利用ポリシー送信手段24とを具備している。
【0035】
図3は個人情報保有者端末30の機能ブロック図である。個人情報保有者端末30は、サーバ40における通常の開示可否判断過程において、プライバシーポリシー60を作成するプライバシーポリシー作成手段31と、作成したプライバシーポリシー60とともに自身の個人情報をサーバ40へ送信するプライバシーポリシー60・個人情報送信手段32とを標準装備するとともに、サーバ40による開示拒否の後、調停時にサーバ40から利用ポリシー50の内容の通知を受けると、それを基に個人情報の開示の可否を判断する調停時個人情報開示判断手段33と、その判断結果をサーバ40に通知する調停時判断結果通知手段34とを有する。この時利用ポリシー50は、対価として自身の個人情報を開示する、または、対価として個人情報保有者端末30に有益な情報を提供する等、個人情報を利用するにあたり対価を支払うことを定める対価条件54を含む場合もある。
【0036】
個人情報保有者端末30はさらに、サーバ40から個人情報の開示可能条件の問い合わせを受けると、個人情報の開示可能条件を個人情報利用者端末20に通知するか否かを判断する調停時開示可能条件提示可否判断手段35と、個人情報の開示可能条件を個人情報利用者端末20に通知する調停時開示可能条件通知手段36とを有する。
【0037】
また、個人情報利用者端末20と個人情報保有者端末30は同一でよく、自身の個人情報を他人に通知するとともに他人の個人情報を利用することが可能である。
【0038】
図4はサーバ40の機能ブロック図である。サーバ40は、個人情報保有者端末30から送信されたプライバシーポリシー60をに登録するプライバシーポリシー登録手段41と、プライバシーポリシー60とともに送信された個人情報を蓄積する個人情報蓄積手段42と、個人情報利用者端末20から利用ポリシー50を受信すると、対応する個人情報のプライバシーポリシー60を検索するプライバシー検索手段43と、プライバシーポリシー60と利用ポリシー50との内容を比較し、利用ポリシー50の記述内容が、プライバシーポリシー60の規定する範囲にあるか否かにより対応する個人情報の開示可否を判定するポリシー判定手段44と、個人情報を開示すると決定したときに個人情報をサーバ40において検索する個人情報検索手段45と、検索した個人情報を個人情報利用者端末20へ送信する個人情報送信手段46と、個人情報の開示拒絶を決定したときに、個人情報利用者端末20に開示拒絶通知を行う開示拒絶通知手段47とを標準装備する。
【0039】
また、サーバ40は、サーバ40による開示拒否後の調停時に、利用ポリシー50を個人情報保有者端末30に通知する調停時利用ポリシー通知手段48と、調停時において個人情報保有者端末30あるいはサーバ40自身が個人情報の開示を承認すると、サーバ40に格納されている個人情報を検索する調停時個人情報検索手段49と、調停時に検索した個人情報を個人情報利用者端末20へ送信する調停時個人情報送信手段4Aと、調停時において個人情報保有者端末30が個人情報の開示を拒絶したとき、個人情報利用者端末20へ個人情報の開示が拒絶されたことを伝える調停時開示拒絶通知手段4Bとを有する。
【0040】
調停時利用ポリシー通知手段48は、特に、利用ポリシー50が含む、自身の個人情報を開示する、または、対価として個人情報保有者端末30に有益な情報を提供する等の個人情報を利用する際に払う対価を条件として記述する対価条件54を個人情報保有者端末30へ通知することがある。
【0041】
また、調停時に個人情報利用者端末20に個人情報の開示を認めるための条件である開示可能条件を導出する調停時開示可能条件導出手段4Cと、導出した開示可能条件または個人情報保有者端末30から通知を受けた開示可能条件を個人情報利用者端末20へ通知する調停時開示可能条件通知手段4Dと、開示可能条件の通知を受けた個人情報利用者端末20によって新たに作成された利用者ポリシーを受信すると、その利用者ポリシーにより個人情報を開示するか否かを判定する調停時ポリシー判定手段4Eと、個人情報を開示すると判定したときに個人情報の検索を行う調停時個人情報検索手段4Fと、検索した個人情報を個人情報利用者端末20へ送信する調停時個人情報送信手段4Gと、個人情報の開示を拒絶すると判定したときに、個人情報利用者端末20に個人情報の開示拒絶を通知する調停時開示拒絶通知手段4Hとを有する場合もある。
【0042】
さらに、調停時において、個人情報保有者端末30へ個人情報の開示可能条件を問い合わせる調停時開示可能条件問い合わせ手段4Iと、個人情報保有者端末30から通知を受けた開示可能条件を、個人情報利用者端末20に転送通知する調停時開示可能条件通知手段4Jとを有することもある。
【0043】
図5は、利用ポリシー50のデータ構造の一実施形態である。51は利用者自身を特定するための、名前、ID、属性認証情報等の利用者情報、52は利用したい情報を指定する対象情報(個人情報保有者の個人情報)、53はその対象情報を参照、更新、再配布等、どのように利用したいかを指定する操作種別、54は調停の際に個人情報を利用する際に支払う対価を条件として記述する対価条件である。利用ポリシー50は開示を要求する個人情報毎に作成しサーバ40へ送信する。
【0044】
図6は、プライバシーポリシー60のデータ構造の一実施形態である。61はプライバシーポリシー60を適用する対象の個人情報を指定する対象情報、62はプライベートポリシー60により制御対象とする利用者の名前、グループ、職業等の属性等を指定する開示先属性、63は対象情報61及び開示先属性62に対してどのような操作を許容するかを指定する操作種別、64は情報の利用の方法を定める利用種別、65は調停方法を指定する調停条件である。プライバシーポリシー60は、個人情報毎に作成されサーバ40で管理する。
【0045】
図7は、サーバ40における個人情報の開示処理の一実施形態にかかるフローチャートである。始めに、個人情報保有者端末30から送信された、個人情報に対するプライバシーポリシー60をサーバ40に登録する(S1)。個人情報を利用したい個人情報利用者端末20から要求内容を記述した利用ポリシー50を受信し(S2)、その利用ポリシー50と利用ポリシー50に記述された「対象情報」に対するプライバシーポリシー60を参照し、個人情報の開示可否を判定する(S3)。判定の結果、開示を承認する場合は、個人情報利用者端末20へ利用ポリシー50に従い個人情報の開示を行う(S4)。開示を拒絶する場合は、調停処理を実行する(S5)。調停処理の結果、開示を承認すると、利用ポリシー50に従って個人情報利用者端末20に個人情報を開示する(S4)。開示を拒絶すると、その旨を個人情報利用者端末20へ通知する(S7)。
【0046】
以下、図1〜図6を参照しながら図8〜図11の調停パターン毎に個人情報の開示制御の動作概要を説明する。
【0047】
図8は調停パターン1のシーケンスを示したものである。
【0048】
個人情報保有者端末30は、プライバシーポリシー作成手段31により自身の個人情報に関するプライバシーポリシー60を作成し、プライバシーポリシー・個人情報送信手段32により、個人情報とそれに関するプライバシーポリシー60をサーバ40に送信する。プライバシーポリシー60を受け取ったサーバ40は、プライバシーポリシー登録手段41によりプライバシーポリシー60をサーバ40に登録する。また、共に送られてきた個人情報を個人情報蓄積手段42によりサーバ40に蓄積する。
【0049】
個人情報利用者端末20は、個人情報保有者端末30の個人情報を利用する際に、利用ポリシー作成手段21により利用内容等に関する利用ポリシー50を作成し、利用ポリシー送信手段22により利用ポリシー50をサーバ40へ送信する。
【0050】
サーバ40は、利用ポリシー50を受信すると、プライバシーポリシー検索手段43により、利用者ポリシー50に記載の対象情報52に対応する対象情報61を有するプライバシーポリシー60を検索する。そして、利用ポリシー50とプライバシーポリシー60とを比較し、利用ポリシー50に記述してある利用範囲、権限、条件等がプライバシーポリシー60の条件の範囲内であるか否かをポリシー判定手段44により判定する。プライバシーポリシー60が利用ポリシー50の記述範囲内にあり、個人情報の開示を承認する場合は、個人情報検索手段45により当該個人情報を検索し、利用ポリシー50に従って個人情報送信手段46により個人情報利用者端末20へ当該個人情報を送信する。プライバシーポリシー60が利用ポリシー50の記述範囲内になく、個人情報の開示を拒絶する場合は、開示拒絶通知手段47により個人情報の開示を拒絶した旨を個人情報利用者端末20に通知し、プライバシーポリシー60に記載の調停条件65が規定する調停パターンにより、調停処理を行う(ここでは調停パターン1)。
サーバ40は個人情報の開示を拒絶すると、利用ポリシー通知手段48により利用ポリシー50の内容を個人情報保有者端末30に通知し、開示可否の問い合わせを行う。この通知内容は、利用者の名前、属性、利用目的、操作内容等である。
【0051】
利用ポリシー50の通知を受けた個人情報保有者端末30は、個人情報開示判断手段33により利用ポリシー50に従い個人情報を開示するか否かを判断する。その判断結果を、判断結果通知手段34によりサーバ40へ通知する。
【0052】
サーバ40は、個人情報の開示承認通知を受けたときは、調停時個人情報検索手段49により当該個人情報をサーバ40において検索し、調停時個人情報送信手段4Aにより当該個人情報を個人情報利用者端末20へ送信する。サーバ40が個人情報の開示拒絶通知を受けた時は、調停時開示拒絶通知手段4Bにより個人情報利用者端末20へ開示拒絶の通知を行う。
【0053】
図9は調停パターン2のシーケンスを示したものである。
【0054】
個人情報保有者端末30は、プライバシーポリシー作成手段31により自身の個人情報に関するプライバシーポリシー60を作成し、プライバシーポリシー・個人情報送信手段32により、個人情報とそれに関するプライバシーポリシー60をサーバ40に送信する。プライバシーポリシー60を受け取ったサーバ40は、プライバシーポリシー登録手段41によりプライバシーポリシー60をサーバ40に登録する。また、共に送られてきた個人情報を個人情報蓄積手段42によりサーバ40に蓄積する。
【0055】
個人情報利用者端末20は、個人情報保有者端末30の個人情報を利用する際に、利用ポリシー作成手段21により利用内容等及び調停を実施する際の対価条件を記述した利用ポリシー50を作成し、利用ポリシー送信手段22により利用ポリシー50をサーバ40へ送信する。
【0056】
サーバ40は、利用ポリシー50を受信すると、プライバシーポリシー検索手段43により、利用者ポリシー50に記載の対象情報52に対応する対象情報61を有するプライバシーポリシー60を検索する。そして、利用ポリシー50とプライバシーポリシー60とを比較し、利用ポリシー50に記述してある利用範囲、権限、条件等がプライバシーポリシー60の条件の範囲内であるか否かをポリシー判定手段44により判定する。プライバシーポリシー60が利用ポリシー50の記述範囲内にあり、個人情報の開示を承認する場合は、個人情報検索手段45により当該個人情報を検索し、利用ポリシー50に従って個人情報送信手段46により個人情報利用者端末20へ当該個人情報を送信する。プライバシーポリシー60が利用ポリシー50の記述範囲内になく、個人情報の開示を拒絶する場合は、開示拒絶通知手段47により個人情報の開示を拒絶した旨を個人情報利用者端末20に通知し、プライバシーポリシー60に記載の調停条件65が規定する調停パターンにより、調停処理を行う(ここでは調停パターン2)。
サーバ40は個人情報の開示を拒絶すると、利用ポリシー通知手段48により対価条件54の記載された利用ポリシー50を個人情報保有者端末30に通知し、開示可否の問い合わせを行う。このときの対価条件54の具体的な例としては、対象情報を利用する対価として自身の個人情報を開示することや、有益な情報を提供すること等が考えられる。有益な情報の例としては、エステティックサロン業者が店舗近くを通行する人に対して、パーソナライズした広告またはサービスを提供するために、「年齢、身長、体重等の個人情報を開示してくれれば、あなたに最適なダイエット方法を教えます」といった対価条件が可能であり、個人情報を引き出す仕組みとして利用することができる。
【0057】
対価条件54を含む利用ポリシー50の通知を受けた個人情報保有者端末30は、調停時個人情報開示判断手段33により利用ポリシー50に従い個人情報の開示の可否を判断する。その判断結果を、調停時判断結果通知手段34によりサーバ40へ通知する。
【0058】
サーバ40は、個人情報の開示承認通知を受けたときは、調停時個人情報検索手段49により当該個人情報をサーバ40において検索し、調停時個人情報送信手段4Aにより当該個人情報を個人情報利用者端末20へ送信する。サーバ40が、個人情報の開示拒絶通知を受けた時は、調停時開示拒絶通知手段4Bにより個人情報利用者端末20へ開示拒絶の通知を行う。
【0059】
この調停シーケンスを複数回繰り返すことにより、普段は開示していないプライバシー的な個人情報を叙々に引き出していくことが可能である。
【0060】
図10は調停パターン3のシーケンスを示したものである。
【0061】
個人情報保有者端末30は、プライバシーポリシー作成手段31により自身の個人情報に関するプライバシーポリシー60を作成し、プライバシーポリシー・個人情報送信手段32により、個人情報とそれに関するプライバシーポリシー60をサーバ40に送信する。プライバシーポリシー60を受け取ったサーバ40は、プライバシーポリシー登録手段41によりプライバシーポリシー60をサーバ40に登録する。また、共に送られてきた個人情報を個人情報蓄積手段42によりサーバ40に蓄積する。
【0062】
個人情報利用者端末20は、個人情報保有者端末30の個人情報を利用する際に、利用ポリシー作成手段21により利用内容等に関する利用ポリシー50を作成し、利用ポリシー送信手段22により利用ポリシー50をサーバ40へ送信する。
【0063】
サーバ40は、利用ポリシー50を受信すると、プライバシーポリシー検索手段43により、利用者ポリシー50に記載の対象情報52に対応する対象情報61を有するプライバシーポリシー60を検索する。そして、利用ポリシー50とプライバシーポリシー60とを比較し、利用ポリシー50に記述してある利用範囲、権限、条件等がプライバシーポリシー60の条件の範囲内であるか否かをポリシー判定手段44により判定する。プライバシーポリシー60が利用ポリシー50の記述範囲内にあり、個人情報の開示を承認する場合は、個人情報検索手段45により当該個人情報を検索し、利用ポリシー50に従って個人情報送信手段46により個人情報利用者端末20へ当該個人情報を送信する。プライバシーポリシー60が利用ポリシー50の記述範囲内になく、個人情報の開示を拒絶する場合は、開示拒絶通知手段47により個人情報の開示を拒絶した旨を個人情報利用者端末20に通知し、プライバシーポリシー60に記載の調停条件65が規定する調停パターンにより、調停処理を行う(ここでは調停パターン3)。
サーバ40は個人情報の開示を拒絶すると、調停時開示可能条件導出手段4Cにより、プライバシーポリシー60の条件の範囲内で利用ポリシーに要求される開示可能条件を導出し、調停時開示可能条件通知手段4Dにより導出した開示可能条件を個人情報利用者端末20に通知する。この開示可能条件の導出の例としては、個人情報利用者端末20が要求する対象情報がA、B、Cであるが、プライバシーポリシー60で許容される範囲は情報Bのみといった場合に、情報Bであれば利用可能とすることを導出、または、プライバシーポリシー60において、「同じコミュニティDに現在参加しているユーザには開示を許可する」といった場合に、個人情報利用者端末20はコミュニティDには参加していないので開示拒否となるが、コミュニティDに参加すれば開示可能とすること等を導出することが考えられる。
【0064】
開示可能条件の通知を受けた個人情報利用者端末20は、調停時利用ポリシー作成手段23によりその開示条件を満たすような新たな利用ポリシー50を作成する。この新しい利用ポリシー50を調停時利用ポリシー送信手段24によりサーバ40へ送信する。利用ポリシー50を受信したサーバ40は、新しい利用ポリシー50を受信すると、その利用ポリシー50とプライバシーポリシー60とを比較し、新しい利用ポリシー50に記述してある利用範囲、権限、条件等がプライバシーポリシー60の条件の範囲内であるか否かを調停時ポリシー判定手段4Eにより判定する。プライバシーポリシー60が利用ポリシー50の記述範囲内にあり、個人情報の開示を承認する場合は、調停時個人情報検索手段4Fによりサーバ40において当該個人情報を検索し、調停時個人情報送信手段4Gにより検索した個人情報を個人情報利用者端末20へ送信する。プライバシーポリシー60が、再度利用ポリシー50の記述範囲内になく、個人情報の開示を拒絶するときは、調停時開示拒絶通知手段4Hにより個人情報利用者端末20に個人情報の開示を拒絶する旨を通知する。
【0065】
図11は調停パターン4のシーケンスを示したものである。
【0066】
個人情報保有者端末30は、プライバシーポリシー作成手段31により自身の個人情報に関するプライバシーポリシー60を作成し、プライバシーポリシー・個人情報送信手段32により、個人情報とそれに関するプライバシーポリシー60をサーバ40に送信する。プライバシーポリシー60を受け取ったサーバ40は、プライバシーポリシー登録手段41によりプライバシーポリシー60をサーバ40に登録する。また、共に送られてきた個人情報を個人情報蓄積手段42によりサーバ40に蓄積する。
【0067】
個人情報利用者端末20は、個人情報保有者端末30の個人情報を利用する際に、利用ポリシー作成手段21により利用内容等に関する利用ポリシー50を作成し、利用ポリシー送信手段22により利用ポリシー50をサーバ40へ送信する。
【0068】
サーバ40は、利用ポリシー50を受信すると、プライバシーポリシー検索手段43により、利用者ポリシー50に記載の対象情報52に対応する対象情報61を有するプライバシーポリシー60を検索する。そして、利用ポリシー50とプライバシーポリシー60とを比較し、利用ポリシー50に記述してある利用範囲、権限、条件等がプライバシーポリシー60の条件の範囲内であるか否かをポリシー判定手段44により判定する。プライバシーポリシー60が利用ポリシー50の記述範囲内にあり、個人情報の開示を承認する場合は、個人情報検索手段45により当該個人情報を検索し、利用ポリシー50に従って個人情報送信手段46により個人情報利用者端末20へ当該個人情報を送信する。プライバシーポリシー60が利用ポリシー50の記述範囲内になく、個人情報の開示を拒絶する場合は、開示拒絶通知手段47により個人情報の開示を拒絶した旨を個人情報利用者端末20に通知し、プライバシーポリシー60に記載の調停条件65が規定する調停パターンにより、調停処理を行う(ここでは調停パターン4)。
サーバ40は個人情報の開示を拒絶すると、調停時開示可能条件問い合わせ手段4Iにより個人情報保有者端末30に個人情報を開示可能にするための条件を問い合わせる。問い合わせを受けた個人情報保有者端末30は、調停時開示可能条件提示可否判断手段35によりサーバ40、個人情報利用者端末20に開示可能条件の提示可否を判断する。開示可能条件の具体的な例としては、利用者側が個人情報を開示すれば自身の個人情報も開示する、または、有益な情報を提供してくれれば自身の個人情報を提供する等が考えられる。個人情報保有者端末30は、開示可能条件を提示することを決定すると、調停時開示可能条件通知手段36によりサーバ40へ開示可能条件を通知する。その通知を受けたサーバ40は、調停時開示可能条件通知手段4Jにより個人情報利用者端末20へ開示可能条件を通知する。この開示可能条件を受けた個人情報利用者端末20は、調停時利用ポリシー作成手段23によりその開示可能条件を満たすような新たな利用ポリシー50を作成する。この新しい利用ポリシー50を調停時利用ポリシー送信手段24によりサーバ40へ送信する。利用ポリシー50を受信したサーバ40は、新しい利用ポリシー50を受信すると、その利用ポリシー50とプライバシーポリシー60とを比較し、新しい利用ポリシー50に記述してある利用範囲、権限、条件等がプライバシーポリシー60の条件の範囲内であるか否かを調停時ポリシー判定手段4Eにより判定する。プライバシーポリシー60が利用ポリシー50の記述範囲内にあり、個人情報の開示を承認する場合は、調停時個人情報検索手段4Fによりサーバ40において当該個人情報を検索し、調停時個人情報送信手段4Gにより検索した個人情報を個人情報利用者端末20へ送信する。プライバシーポリシー60が、再度利用ポリシー50の記述範囲内になく、個人情報の開示を拒絶するときは、調停時開示拒絶通知手段4Hにより個人情報利用者端末20に個人情報の開示を拒絶する旨を通知する。
【0069】
以上、本発明の実施形態を示したが、基本的な個人情報の送受信の仕組みは、例えば、IETFで標準化が行われているSIMPLE(SIP for Instant Messaging and Presence Leveraging Extensions)や、PAM FORUMで標準化が行われているPAM(Presence and Availability Management)を利用することで容易に実現可能である。
【0070】
なお、上記の実施形態は、本発明の例を示したものであり、本発明はこれに限定されるものではない。
【0071】
【発明の効果】
以上説明したように、従来のポリシーベースの開示制御では、ポリシー判定の結果が開示拒否の場合には一律開示不可であったが、本発明によれば、利用者側の要求が個人情報保有者のポリシーと合致しない場合においても、ネットワーク上で利用者側と個人情報保有者の間での交渉による調停を行うことを可能とし、その結果、従来では開示拒否であった場合においても開示の承認を得、所望の個人情報を得ることができる。また、対価条件を提示して調停を行うことにより、徐々にプライバシー的な個人情報を引き出すことを可能とする。
【図面の簡単な説明】
【図1】本発明にかかるシステムの一実施形態の概要を示す図
【図2】本発明にかかるシステムの一実施形態における個人情報利用者端末の機能ブロック図
【図3】本発明にかかるシステムの一実施形態における個人情報保有者端末の機能ブロック図
【図4】本発明にかかるシステムの一実施形態におけるサーバの機能ブロック図
【図5】本発明にかかるシステムの一実施形態における利用ポリシーのデータ構造を示す図
【図6】本発明にかかるシステムの一実施形態におけるプライバシーポリシーのデータ構造を示す図
【図7】本発明の一実施形態にかかるサーバにおける個人情報の開示処理のフローチャート
【図8】調停パターン1のシーケンスを示した図
【図9】調停パターン2のシーケンスを示した図
【図10】調停パターン3のシーケンスを示した図
【図11】調停パターン4のシーケンスを示した図
【符号の説明】10…ネットワーク、20…個人情報利用者端末、21…利用ポリシー作成手段、22…利用ポリシー送信手段、23…調停時利用ポリシー作成手段、24…調停時利用ポリシー送信手段、30…個人情報保有者端末、31…プライバシーポリシー作成手段、32…プライバシーポリシー・個人情報送信手段、33…調停時個人情報開示判断手段、34…調停時判断結果通知手段、35…調停時開示可能条件提示可否判断手段、36…調停時開示可能条件通知手段、40…サーバ、41…プライバシーポリシー登録手段、42…個人情報蓄積手段、43…プライバシーポリシー検索手段、44…ポリシー判定手段、45…個人情報検索手段、46…個人情報送信手段、47…開示拒絶通知手段、48…調停時利用ポリシー通知手段、49…調停時個人情報検索手段、4A…調停時個人情報送信手段、4B…調停時開示拒絶通知手段、4C…調停時開示可能条件導出手段、4D…調停時開示可能条件通知手段、4E…調停時ポリシー判定手段、4F…調停時個人情報検索手段、4G…調停時個人情報送信手段、4H…調停時開示拒絶通知手段、4I…調停時開示可能条件問い合わせ手段、4J…調停時開示可能条件通知手段、50…利用ポリシー、51…利用者情報、52…対象情報、53…操作種別、54…対価条件、60…プライバシーポリシー、61…対象情報、62…開示先属性、63…操作種別、64…利用種別、65…調停条件。
【発明の属する技術分野】
本発明は、ネットワークに接続された端末間において、個人情報保有者のプライバシーポリシーと、個人情報利用者の利用ポリシーを基に情報開示制御及び情報開示不可の場合の調停を制御することのできる個人情報開示制御システム及びその方法に関する。
【0002】
【従来の技術】
従来、利用者の個人情報の開示制御を利用者のポリシーに基づいて行うシステムとしては、例えば、W3C(World Wide Web Consortium)で検討されているP3P(Platform for Privacy Preference)やOASIS(Organization for the Advancement of Structured Information Standards)で検討されているXACML(XML Access Control Markup Lnguage)などが挙げられる。P3Pは、Webサイトとクライアントとの間での個人情報の流通方法を定めた仕様であり、Webサイトは個人情報の利用基準(プライバシーポリシー)を正確に開示し、利用者はプライバシーポリシーを読み、または、利用者がポリシー(プリファレンス)を設定することにより、個人情報を送るかどうか決定することを可能としている(例えば、非特許文献1)。また、特許文献1では、コンテンツ提供主体がコンテンツと開示利用規定を保持し、コンテンツ利用主体は、要求利用規定とコンテンツ利用認証主体から発行されたIDをコンテンツ要求としてコンテンツ提供主体に送付し、コンテンツ提供主体側では要求利用規定と開示利用規定に基づいて、コンテンツ利用主体に対して開示可能なコンテンツの検索、提示を行うことを可能としている。また、特許文献2では、個人情報の所有者から受けたアクセスポリシーと外部アクセス者から送信されてくる属性証明書の内容とを解析し、外部アクセス者に対するアクセス権限をロールとして割り当てアクセス制御してデータを利用させることを可能としている。
【0003】
【特許文献1】
特開2001−256193号公報
【特許文献2】
特開2002−14862号公報
【非特許文献1】
http://www.w3.org/P3P
【0004】
【発明が解決しようとする課題】
しかしながら、上記のような従来技術では、あくまでも個人情報保有者主導で制御が行われ、個人情報利用者の要求が個人情報保有者のポリシーを満足しない場合は個人情報の利用は不可となり、個人情報利用者が何とか個人情報を利用したいと考えてもその術はないため、ネットワーク上ではなく実際の場での交渉、調停といった方法をとるしか対処法がなかった。
【0005】
本発明は上記問題に鑑みてなされたものであり、その目的とするところは、個人情報利用者の要求が個人情報保有者のポリシーに合致しない場合であっても一律開示不可とするのではなく、個人情報利用者端末と個人情報保有者端末間での交渉、調停をネットワーク上で可能とするシステム、方法等を提供することにある。
【0006】
【課題を解決するための手段】
前記目的を達成するため、請求項1では、図1乃至図6に示すように、少なくとも一つの個人情報保有者端末と、少なくとも一つの個人情報利用者端末と、個人情報を蓄積するサーバとを具備し、該サーバによる制御のもと個人情報を個人情報利用者端末に対して開示する個人情報開示制御システムにおいて、前記個人情報保有者端末30は、個人情報の利用基準を定めるプライバシーポリシー60を作成するプライバシーポリシー作成手段31と、作成したプライバシーポリシー60を個人情報とともに前記サーバ40へ送信するプライバシーポリシー・個人情報送信手段32とを有し、前記個人情報利用者端末20は、個人情報の開示要求の範囲を定める利用ポリシー50を作成する利用ポリシー作成手段21と、作成した利用ポリシー50を前記サーバ40へ送信する利用ポリシー送信手段22とを有し、前記サーバ40は、前記プライバシーポリシー60を登録するプライバシーポリシー登録手段41と、個人情報を蓄積する個人情報蓄積手段42と、個人情報利用者端末20が要求する個人情報に対応するプライバシーポリシー60を前記プライバシーポリシー登録手段41から検索するプライバシーポリシー検索手段43と、前記利用ポリシー50の指定範囲が前記プライバシーポリシー60の範囲内にあるか否かを確認し、個人情報の開示可否を判定するポリシー判定手段44と、前記ポリシー判定手段44が個人情報の開示を承認した時に、対象の個人情報を前記個人情報蓄積手段42から検索する個人情報検索手段45と、前記ポリシー判定手段44が個人情報の開示を承認した時に、対象の個人情報を前記個人情報利用者端末20に送信する個人情報送信手段46と、前記ポリシー判定手段44が個人情報の開示を拒絶した時に、開示拒絶の旨を個人情報利用者端末20へ通知する開示拒絶通知手段47とを有し、プライバシーポリシー60と利用ポリシー50とが一致せずかつ個人情報保有者端末30が交渉を許容するときに、個人情報保有者端末30と個人情報利用者端末20とがネットワーク10上において交渉するための調停機構を前記個人情報利用者端末20と個人情報保有者端末30とサーバ40とが構成することを特徴とする個人情報開示制御システムをもって解決手段とする。
【0007】
請求項1の発明によれば、個人情報保有者端末30は自身の個人情報の利用に関するプライバシーポリシー60をサーバ40に登録し、個人情報利用者端末20はその個人情報を利用する際に、自身の要求に関する利用ポリシー50をサーバ40に送信する。利用ポリシー50を受信したサーバ40は、利用ポリシー50の内容を解析し、あらかじめ各個人情報保有者が登録しているプライバシーポリシーの中から、利用対象として要求されている個人情報に関するプライバシーポリシー60を参照し、利用ポリシー50とプライバシーポリシー60の内容に基づいて情報開示を承認するか拒絶するかを判定する。判定の結果、開示可の場合には利用ポリシー50の内容に従って当該個人情報を開示する。判定の結果、開示不可の場合には個人情報利用者端末20と個人情報保有者端末の30間で調停を実行する。
【0008】
請求項2では、前記構成に加え、前記サーバ40は、前記個情報報保有者端末30へ利用ポリシー50の内容を通知する調停時利用ポリシー通知手段48と、前記個人情報保有者端末30から個人情報の開示の承認を受けると、当該個人情報を前記個人情報蓄積手段42から検索する調停時個人情報検索手段49と、前記個人情報を前記個人情報利用者端末20に送信する調停時個人情報送信手段4Aと、前記個人情報保有者端末30から個人情報の開示の拒絶通知を受けると、前記個人情報利用者端末20に開示拒絶を通知する調停時開示拒絶通知手段4Bとを有し、前記個人情報保有者端末30は、前記利用者ポリシー50の内容により個人情報の開示要求を許可するか否かを判断する調停時個人情報開示判断手段33と、個人情報の開示要求を許可するか否かの判断結果を前記サーバ40へ通知する調停時判断結果通知手段34とを有することを特徴とする請求項1記載の個人情報開示制御システムをもって解決手段とする。
【0009】
請求項2によれば、サーバ40による判定の結果、開示不可の場合の調停において、ユーザへの直接的なインタラクションを可能とする。つまり、個人情報保有者端末30へ利用ポリシー50の内容を通知し、個人情報保有者端末30へ要求内容の許可判断を求め、その結果、開示可の場合は、要求内容に従って個人情報を開示し、開示不可の場合、開示不可の旨を個人情報利用者端末20へ通知する。
【0010】
請求項3では、前記利用ポリシー50は、個人情報を開示してもらう際の対価条件54を含むことを特徴とする請求項2記載の個人情報開示制御システムをもって解決手段とする。
【0011】
請求項3によれば、サーバ40による判定の結果、開示不可の場合の調停において、個人情報保有者端末30に対して対価条件54を提示する。つまり、個人情報利用者端末20は、対価として自身の個人情報を開示する、または、対価として個人情報保有者端末30に有益な情報を提供する等、個人情報を開示してもらう際の対価条件54を利用ポリシー50に含み、開示可の場合にはサーバ40へ開示承認を通知し、サーバ40は個人情報を個人情報利用者端末20に送信する。開示不可の場合は開示不可の旨を個人情報利用者端末20へ通知する。
【0012】
請求項4では、前記構成に加え、前記サーバ40は、前記プライバシーポリシー60と前記利用ポリシー50とを比較し、開示可能な条件を導出する調停時開示可能条件導出手段4Cと、導出した開示可能条件を個人情報利用者端末20に通知する調停時開示可能条件通知手段4Dと、再度作成された利用ポリシー50の記載範囲が前記プライバシーポリシー60の範囲内にあるか否かを確認し、個人情報の開示可否を判定する調停時ポリシー判定手段4Eと、前記調停時ポリシー判定手段4Eが調停により個人情報の開示を承認した時に、当該個人情報を前記個人情報蓄積手段42から検索する調停時個人情報検索手段4Fと、前記調停時ポリシー判定手段4Eが調停により個人情報の開示を承認した時に、個人情報を前記個人情報利用者端末20に送信する調停時個人情報送信手段4Gと、前記調停時ポリシー判定手段4Eが調停により個人情報の開示を拒絶した時に、開示拒絶の旨を個人情報利用者端末20へ通知する調停時開示拒絶通知手段4Hとを有し、前記個人情報利用者端末20は、前記サーバ40から開示可能条件通知を受けると再度利用ポリシー50を作成する調停時利用ポリシー作成手段23と、再度作成した利用ポリシー50を前記サーバ40へ送信する調停時利用ポリシー送信手段24とを有することを特徴とする請求項1乃至3何れか1項記載の個人情報開示制御システムをもって解決手段とする。
【0013】
請求項4の発明によれば、サーバ40による判定の結果、開示不可の場合の調停において、個人情報利用者端末20は開示可となるような利用ポリシー50の代替案の作成を促す。つまり、サーバ40において、プライバシーポリシー60と利用ポリシー50とから開示可能な条件を導出し、個人情報利用者端末20へ開示不可の旨を通知するとともに、導出した開示可能条件も通知し、新規利用ポリシー50の作成を促す。
【0014】
請求項5では、前記構成に加え、前記サーバ40は、前記個人情報保有者端末30へ個人情報の開示可能な条件を問い合わせる調停時開示可能条件問い合わせ手段4Iと、前記個人情報保有者端末30から受けた開示可能条件通知を前記個人情報利用者端末20に通知する調停時開示可能条件通知手段4Jとを有し、前記個人情報保有者端末30は、個人情報の開示可能条件の提示可否を判断する調停時開示可能条件開示可否判断手段35と、前記サーバ40に開示可能条件を通知する調停時開示可能条件通知手段36とを有することを特徴とする請求項4記載の個人情報開示制御システムをもって解決手段とする。
【0015】
請求項5の発明によれば、サーバ40による判定の結果、開示不可の場合の調停において、個人情報保有者端末30に開示可能条件を問い合わせ、その開示可能条件を基に、個人情報利用者端末20に利用ポリシー50の代替案の作成を促す。つまり、サーバ40は、個人情報保有者端末30へ開示可能条件を問い合わせ、個人情報保有者端末30が開示可能条件を提示した場合には、その開示可能条件を個人情報利用者端末20へ通知し、新規利用ポリシー50の作成を促す。
【0016】
請求項6では、前記プライバシーポリシー60は、調停方法または調停方法の優先順位を指定する調停条件を含むことを特徴とする請求項1乃至5何れか1項記載の個人情報開示制御システムをもって解決手段とする。
【0017】
請求項6の発明によれば、個人情報保有者端末30は好きな調停方法を選ぶことができる。
【0018】
請求項7では、図1に示すように、少なくとも一つの個人情報保有者端末と、少なくとも一つの個人情報利用者端末と、個人情報を蓄積するサーバ間において、該サーバによる制御のもと個人情報利用者端末に対して個人情報を開示する個人情報開示制御方法であって、前記個人情報保有者端末30が、個人情報の利用基準を定めるプライバシーポリシー60を作成する工程と、前記個人情報保有者端末30が、作成されたプライバシーポリシー60を対応する個人情報とともに前記サーバ40へ送信する工程と、前記個人情報利用者端末20が、個人情報の開示要求の範囲を定めるための利用ポリシー50を作成する工程と、前記個人情報利用者端末20が、作成された利用ポリシー50を前記サーバ40へ送信する工程と、前記サーバ40が、前記プライバシーポリシー60を登録する工程と、前記サーバ40が、個人情報を蓄積する工程と、前記サーバ40が、個人情報利用者端末20の要求する個人情報に対応するプライバシーポリシー60を検索する工程と、前記サーバ40が、前記利用ポリシー50の指定範囲が前記プライバシーポリシー60の範囲内にあるか否かを確認し、個人情報の開示可否を判定する工程と、前記サーバ40が個人情報の開示を承諾した時に、対象の個人情報を検索する工程と、前記サーバ40が個人情報の開示を承認した時に、個人情報を前記個人情報利用者端末20に送信する工程と、個人情報の開示を拒絶した時に、前記サーバ40が開示拒絶の旨を個人情報利用者端末20へ通知する工程とを有し、プライバシーポリシー60と利用ポリシー50とが一致せずかつ個人情報保有者端末が交渉を許容するときに、ネットワーク10上において交渉により調停を行うことを特徴とする個人情報開示制御方法をもって解決手段とする。
【0019】
請求項7の発明によれば、個人情報保有者端末30は自身の個人情報の利用に関するプライバシーポリシー60をサーバ40に登録し、個人情報利用者端末20はその個人情報を利用する際に、自身の要求に関する利用ポリシー50をサーバ40に送信する。利用ポリシー50を受信したサーバ40は、利用ポリシー50の内容を解析し、あらかじめ各個人情報保有者が登録しているプライバシーポリシーの中から、利用対象として要求されている個人情報に関するプライバシーポリシー60を参照し、利用ポリシー50とプライバシーポリシー60の内容に基づいて情報開示を承認するか拒絶するかを判定する。判定の結果、開示可の場合には利用ポリシー50の内容に従って当該個人情報を開示する。判定の結果、開示不可の場合には個人情報利用者端末20と個人情報保有者端末の30間で調停を実行する。
【0020】
請求項8では、前記工程に加え、前記サーバ40が、前記個人情報保有者端末30へ利用ポリシー50の内容を通知する工程と、前記サーバ40が、前記個人情報保有者端末30から個人情報の開示の承認を受けると、当該個人情報を検索する工程と、前記サーバ40が、前記個人情報を前記個人情報利用者端末20に送信する工程と、前記サーバ40が、前記個人情報保有者端末30から個人情報の開示の拒絶を受けると、前記個人情報利用者端末20に開示拒絶を通知する工程と、前記個人情報保有者端末30が、利用者ポリシー50の内容により個人情報の開示要求を許可するか否かを判断する工程と、前記個人情報保有者端末30が、個人情報の開示要求を許可するか否かの判断結果を前記サーバ40へ通知する工程とを有することを特徴とする請求項7記載の個人情報開示制御方法をもって解決手段とする。
【0021】
請求項8の発明によれば、サーバ40による判定の結果、開示不可の場合の調停において、ユーザへの直接的なインタラクションを可能とする。つまり、個人情報保有者端末30へ利用ポリシー50の内容を通知し、個人情報保有者端末30へ要求内容の許可判断を求め、その結果、開示可の場合は、要求内容に従って個人情報を開示し、開示不可の場合、開示不可の旨を個人情報利用者端末20へ通知する。
【0022】
請求項9では、前記個人情報保有者端末30が、利用者ポリシー50の内容により個人情報の開示要求を許可するか否かを判断する工程において、前記利用ポリシー50に含まれる対価条件により判断することを特徴とする請求項8記載の個人情報開示制御方法をもって解決手段とする。
【0023】
請求項9の発明によれば、サーバ40による判定の結果、開示不可の場合の調停において、個人情報保有者端末30に対して対価条件54を提示する。つまり、個人情報利用者端末20は、対価として自身の個人情報を開示する、または、対価として個人情報保有者端末30に有益な情報を提供する等、個人情報を開示してもらう際の対価条件54を利用ポリシー50に含み、開示可の場合にはサーバ40へ開示承認を通知し、サーバ40は個人情報を個人情報利用者端末20に送信する。開示不可の場合は開示不可の旨を個人情報利用者端末20へ通知する。
【0024】
請求項10では、前記工程に加え、前記サーバ40が、前記プライバシーポリシー60と前記利用ポリシー50とを比較し、個人情報の開示可能な条件を導出する工程と、前記サーバ40が、導出した個人情報の開示可能条件を個人情報利用者端末20に通知する工程と、前記サーバ40が、再度作成された利用ポリシー50の記載範囲が前記プライバシーポリシー60の範囲内にあるか否かを確認し、個人情報の開示可否を判定する工程と、調停時において、前記サーバ40が個人情報の開示を承認した時に、前記サーバ40が、当該個人情報を検索する工程と、調停時において、前記サーバ40が個人情報の開示を承認した時に、前記サーバ40が、個人情報を前記個人情報利用者端末20に送信する工程と、調停時において、前記サーバ40が個人情報の開示を拒絶した時に、前記サーバ40が、開示拒絶の旨を個人情報利用者端末20へ通知する工程とを有し、前記個人情報利用者端末20が、前記サーバ40から開示可能条件通知を受けると再度利用ポリシー50を作成する工程と、前記個人情報利用者端末20が、再度作成した利用ポリシー50を前記サーバ40へ送信する工程とを有することを特徴とする請求項7乃至9何れか1項記載の個人情報開示制御方法をもって解決手段とする。
【0025】
請求項10の発明によれば、サーバ40による判定の結果、開示不可の場合の調停において、個人情報利用者端末20は開示可となるような利用ポリシー50の代替案の作成を促す。つまり、サーバ40において、プライバシーポリシー60と利用ポリシー50とから開示可能な条件を導出し、個人情報利用者端末20へ開示不可の旨を通知するとともに、導出した開示可能条件も通知し、新規利用ポリシー50の作成を促す。
【0026】
請求項11では、前記工程に加え、前記サーバ40が、個人情報保有者端末30へ開示可能な条件を問い合わせる工程と、前記個人情報保有者端末30が、個人情報の開示可能条件の開示可否を判断する工程と、前記個人情報保有者端末30が、前記サーバ40に個人情報の開示可能条件を通知する工程と、前記サーバ40が、前記個人情報保有者端末30から受けた開示可能条件通知を前記個人情報利用者端末20に通知する工程とを有することを特徴とする請求項10記載の個人情報開示制御方法をもって解決手段とする。
【0027】
請求項11によれば、サーバ40による判定の結果、開示不可の場合の調停において、個人情報保有者端末30に開示可能条件を問い合わせ、その開示可能条件を基に、個人情報利用者端末20に利用ポリシー50の代替案の作成を促す。つまり、サーバ40は、個人情報保有者端末30へ開示可能条件を問い合わせ、個人情報保有者端末30が開示可能条件を提示した場合には、その開示可能条件を個人情報利用者端末20へ通知し、新規利用ポリシー50の作成を促す。
【0028】
請求項12では、前記個人情報保有者端末30は、前記プライバシーポリシー60に含まれる調停方法または調停方法の優先順位を指定する調停条件に従い調停方法を選択することを特徴とする請求項7乃至11何れか1項記載の個人情報開示制御方法をもって解決手段とする。
【0029】
請求項12の発明によれば、個人情報保有者端末30は好きな調停方法を選ぶことができる。
【0030】
【発明の実施の形態】
以下、図を用いて本発明の実施形態について説明する。
【0031】
図1は、本発明にかかるシステムの一実施形態の概要を示している。図1において、20はシステム上において個人情報の開示を要求、取得し、利用する少なくとも一つの個人情報利用者端末、30は個人情報を保有し、要求に従い個人情報を開示する少なくとも一つの個人情報保有者端末、50は個人情報利用者端末20が個人情報の開示を要求する際に個人情報の開示要求の範囲を定めており、個人情報保有者端末30が所有する個人情報を取得するときの承諾の基準となる利用ポリシー、60は個人情報保有者端末30が有する個人情報を開示可能とする条件を定めるプライバシーポリシー、40はプライバシーポリシー60とそれに対応する個人情報を蓄積し、プライバシーポリシー60と利用ポリシー50の関係から個人情報の開示の可否を決定するサーバ、10はこれら個人情報利用者端末20、個人情報保有者端末30、サーバ40を接続するネットワークである。
【0032】
個人情報保有者端末30は、自身の個人情報を更新する都度、新しい個人情報をネットワーク10に接続されたサーバ40へ送信する。サーバ40では、個人情報保有者端末30から受信した個人情報を蓄積するとともに、予め登録された個人情報利用者端末20へ送信することで、個人情報を相互に送受信する情報通信システムを構成する。
【0033】
ここで、予め個人情報の通知先として登録されていない利用者が他人の個人情報を利用する際に、個人情報利用者端末20は要求内容を記述した利用ポリシー50をサーバ40へ送信する。サーバ40は、受信した利用ポリシー50に対応するプライバシーポリシー60を参照し、開示可否判断を行う。その結果、開示を認める場合は、利用ポリシー50にしたがって個人情報を開示し、開示を拒絶する場合は、開示拒絶の旨を個人情報利用者端末20に通知する。また、開示拒絶の場合でも、プライバシーポリシー60がネットワーク10上での交渉による調停を認めている場合には、サーバ40と個人情報保有者端末30間あるいはサーバ40と個人情報利用者端末20間の二者間、またはサーバ40と個人情報保有者端末30と個人情報利用者端末20との三者間で調停処理を行う。
【0034】
図2は個人情報利用者端末20の機能ブロック図である。個人情報利用者端末20は、サーバ40における通常の開示可否判断過程において、利用ポリシー50を作成する利用ポリシー作成手段21と、作成した利用ポリシー50をサーバへ送信する利用ポリシー送信手段22とを標準的に具備している。さらに、サーバ40が個人情報の開示を拒絶した後の調停時にサーバ40または個人情報保有者端末30から通知を受けた個人情報の開示可能条件に基づき、再度、利用ポリシー50を作成する調停時利用ポリシー作成手段23と、再度作成した利用ポリシー50をサーバ40へ送信する調停時利用ポリシー送信手段24とを具備している。
【0035】
図3は個人情報保有者端末30の機能ブロック図である。個人情報保有者端末30は、サーバ40における通常の開示可否判断過程において、プライバシーポリシー60を作成するプライバシーポリシー作成手段31と、作成したプライバシーポリシー60とともに自身の個人情報をサーバ40へ送信するプライバシーポリシー60・個人情報送信手段32とを標準装備するとともに、サーバ40による開示拒否の後、調停時にサーバ40から利用ポリシー50の内容の通知を受けると、それを基に個人情報の開示の可否を判断する調停時個人情報開示判断手段33と、その判断結果をサーバ40に通知する調停時判断結果通知手段34とを有する。この時利用ポリシー50は、対価として自身の個人情報を開示する、または、対価として個人情報保有者端末30に有益な情報を提供する等、個人情報を利用するにあたり対価を支払うことを定める対価条件54を含む場合もある。
【0036】
個人情報保有者端末30はさらに、サーバ40から個人情報の開示可能条件の問い合わせを受けると、個人情報の開示可能条件を個人情報利用者端末20に通知するか否かを判断する調停時開示可能条件提示可否判断手段35と、個人情報の開示可能条件を個人情報利用者端末20に通知する調停時開示可能条件通知手段36とを有する。
【0037】
また、個人情報利用者端末20と個人情報保有者端末30は同一でよく、自身の個人情報を他人に通知するとともに他人の個人情報を利用することが可能である。
【0038】
図4はサーバ40の機能ブロック図である。サーバ40は、個人情報保有者端末30から送信されたプライバシーポリシー60をに登録するプライバシーポリシー登録手段41と、プライバシーポリシー60とともに送信された個人情報を蓄積する個人情報蓄積手段42と、個人情報利用者端末20から利用ポリシー50を受信すると、対応する個人情報のプライバシーポリシー60を検索するプライバシー検索手段43と、プライバシーポリシー60と利用ポリシー50との内容を比較し、利用ポリシー50の記述内容が、プライバシーポリシー60の規定する範囲にあるか否かにより対応する個人情報の開示可否を判定するポリシー判定手段44と、個人情報を開示すると決定したときに個人情報をサーバ40において検索する個人情報検索手段45と、検索した個人情報を個人情報利用者端末20へ送信する個人情報送信手段46と、個人情報の開示拒絶を決定したときに、個人情報利用者端末20に開示拒絶通知を行う開示拒絶通知手段47とを標準装備する。
【0039】
また、サーバ40は、サーバ40による開示拒否後の調停時に、利用ポリシー50を個人情報保有者端末30に通知する調停時利用ポリシー通知手段48と、調停時において個人情報保有者端末30あるいはサーバ40自身が個人情報の開示を承認すると、サーバ40に格納されている個人情報を検索する調停時個人情報検索手段49と、調停時に検索した個人情報を個人情報利用者端末20へ送信する調停時個人情報送信手段4Aと、調停時において個人情報保有者端末30が個人情報の開示を拒絶したとき、個人情報利用者端末20へ個人情報の開示が拒絶されたことを伝える調停時開示拒絶通知手段4Bとを有する。
【0040】
調停時利用ポリシー通知手段48は、特に、利用ポリシー50が含む、自身の個人情報を開示する、または、対価として個人情報保有者端末30に有益な情報を提供する等の個人情報を利用する際に払う対価を条件として記述する対価条件54を個人情報保有者端末30へ通知することがある。
【0041】
また、調停時に個人情報利用者端末20に個人情報の開示を認めるための条件である開示可能条件を導出する調停時開示可能条件導出手段4Cと、導出した開示可能条件または個人情報保有者端末30から通知を受けた開示可能条件を個人情報利用者端末20へ通知する調停時開示可能条件通知手段4Dと、開示可能条件の通知を受けた個人情報利用者端末20によって新たに作成された利用者ポリシーを受信すると、その利用者ポリシーにより個人情報を開示するか否かを判定する調停時ポリシー判定手段4Eと、個人情報を開示すると判定したときに個人情報の検索を行う調停時個人情報検索手段4Fと、検索した個人情報を個人情報利用者端末20へ送信する調停時個人情報送信手段4Gと、個人情報の開示を拒絶すると判定したときに、個人情報利用者端末20に個人情報の開示拒絶を通知する調停時開示拒絶通知手段4Hとを有する場合もある。
【0042】
さらに、調停時において、個人情報保有者端末30へ個人情報の開示可能条件を問い合わせる調停時開示可能条件問い合わせ手段4Iと、個人情報保有者端末30から通知を受けた開示可能条件を、個人情報利用者端末20に転送通知する調停時開示可能条件通知手段4Jとを有することもある。
【0043】
図5は、利用ポリシー50のデータ構造の一実施形態である。51は利用者自身を特定するための、名前、ID、属性認証情報等の利用者情報、52は利用したい情報を指定する対象情報(個人情報保有者の個人情報)、53はその対象情報を参照、更新、再配布等、どのように利用したいかを指定する操作種別、54は調停の際に個人情報を利用する際に支払う対価を条件として記述する対価条件である。利用ポリシー50は開示を要求する個人情報毎に作成しサーバ40へ送信する。
【0044】
図6は、プライバシーポリシー60のデータ構造の一実施形態である。61はプライバシーポリシー60を適用する対象の個人情報を指定する対象情報、62はプライベートポリシー60により制御対象とする利用者の名前、グループ、職業等の属性等を指定する開示先属性、63は対象情報61及び開示先属性62に対してどのような操作を許容するかを指定する操作種別、64は情報の利用の方法を定める利用種別、65は調停方法を指定する調停条件である。プライバシーポリシー60は、個人情報毎に作成されサーバ40で管理する。
【0045】
図7は、サーバ40における個人情報の開示処理の一実施形態にかかるフローチャートである。始めに、個人情報保有者端末30から送信された、個人情報に対するプライバシーポリシー60をサーバ40に登録する(S1)。個人情報を利用したい個人情報利用者端末20から要求内容を記述した利用ポリシー50を受信し(S2)、その利用ポリシー50と利用ポリシー50に記述された「対象情報」に対するプライバシーポリシー60を参照し、個人情報の開示可否を判定する(S3)。判定の結果、開示を承認する場合は、個人情報利用者端末20へ利用ポリシー50に従い個人情報の開示を行う(S4)。開示を拒絶する場合は、調停処理を実行する(S5)。調停処理の結果、開示を承認すると、利用ポリシー50に従って個人情報利用者端末20に個人情報を開示する(S4)。開示を拒絶すると、その旨を個人情報利用者端末20へ通知する(S7)。
【0046】
以下、図1〜図6を参照しながら図8〜図11の調停パターン毎に個人情報の開示制御の動作概要を説明する。
【0047】
図8は調停パターン1のシーケンスを示したものである。
【0048】
個人情報保有者端末30は、プライバシーポリシー作成手段31により自身の個人情報に関するプライバシーポリシー60を作成し、プライバシーポリシー・個人情報送信手段32により、個人情報とそれに関するプライバシーポリシー60をサーバ40に送信する。プライバシーポリシー60を受け取ったサーバ40は、プライバシーポリシー登録手段41によりプライバシーポリシー60をサーバ40に登録する。また、共に送られてきた個人情報を個人情報蓄積手段42によりサーバ40に蓄積する。
【0049】
個人情報利用者端末20は、個人情報保有者端末30の個人情報を利用する際に、利用ポリシー作成手段21により利用内容等に関する利用ポリシー50を作成し、利用ポリシー送信手段22により利用ポリシー50をサーバ40へ送信する。
【0050】
サーバ40は、利用ポリシー50を受信すると、プライバシーポリシー検索手段43により、利用者ポリシー50に記載の対象情報52に対応する対象情報61を有するプライバシーポリシー60を検索する。そして、利用ポリシー50とプライバシーポリシー60とを比較し、利用ポリシー50に記述してある利用範囲、権限、条件等がプライバシーポリシー60の条件の範囲内であるか否かをポリシー判定手段44により判定する。プライバシーポリシー60が利用ポリシー50の記述範囲内にあり、個人情報の開示を承認する場合は、個人情報検索手段45により当該個人情報を検索し、利用ポリシー50に従って個人情報送信手段46により個人情報利用者端末20へ当該個人情報を送信する。プライバシーポリシー60が利用ポリシー50の記述範囲内になく、個人情報の開示を拒絶する場合は、開示拒絶通知手段47により個人情報の開示を拒絶した旨を個人情報利用者端末20に通知し、プライバシーポリシー60に記載の調停条件65が規定する調停パターンにより、調停処理を行う(ここでは調停パターン1)。
サーバ40は個人情報の開示を拒絶すると、利用ポリシー通知手段48により利用ポリシー50の内容を個人情報保有者端末30に通知し、開示可否の問い合わせを行う。この通知内容は、利用者の名前、属性、利用目的、操作内容等である。
【0051】
利用ポリシー50の通知を受けた個人情報保有者端末30は、個人情報開示判断手段33により利用ポリシー50に従い個人情報を開示するか否かを判断する。その判断結果を、判断結果通知手段34によりサーバ40へ通知する。
【0052】
サーバ40は、個人情報の開示承認通知を受けたときは、調停時個人情報検索手段49により当該個人情報をサーバ40において検索し、調停時個人情報送信手段4Aにより当該個人情報を個人情報利用者端末20へ送信する。サーバ40が個人情報の開示拒絶通知を受けた時は、調停時開示拒絶通知手段4Bにより個人情報利用者端末20へ開示拒絶の通知を行う。
【0053】
図9は調停パターン2のシーケンスを示したものである。
【0054】
個人情報保有者端末30は、プライバシーポリシー作成手段31により自身の個人情報に関するプライバシーポリシー60を作成し、プライバシーポリシー・個人情報送信手段32により、個人情報とそれに関するプライバシーポリシー60をサーバ40に送信する。プライバシーポリシー60を受け取ったサーバ40は、プライバシーポリシー登録手段41によりプライバシーポリシー60をサーバ40に登録する。また、共に送られてきた個人情報を個人情報蓄積手段42によりサーバ40に蓄積する。
【0055】
個人情報利用者端末20は、個人情報保有者端末30の個人情報を利用する際に、利用ポリシー作成手段21により利用内容等及び調停を実施する際の対価条件を記述した利用ポリシー50を作成し、利用ポリシー送信手段22により利用ポリシー50をサーバ40へ送信する。
【0056】
サーバ40は、利用ポリシー50を受信すると、プライバシーポリシー検索手段43により、利用者ポリシー50に記載の対象情報52に対応する対象情報61を有するプライバシーポリシー60を検索する。そして、利用ポリシー50とプライバシーポリシー60とを比較し、利用ポリシー50に記述してある利用範囲、権限、条件等がプライバシーポリシー60の条件の範囲内であるか否かをポリシー判定手段44により判定する。プライバシーポリシー60が利用ポリシー50の記述範囲内にあり、個人情報の開示を承認する場合は、個人情報検索手段45により当該個人情報を検索し、利用ポリシー50に従って個人情報送信手段46により個人情報利用者端末20へ当該個人情報を送信する。プライバシーポリシー60が利用ポリシー50の記述範囲内になく、個人情報の開示を拒絶する場合は、開示拒絶通知手段47により個人情報の開示を拒絶した旨を個人情報利用者端末20に通知し、プライバシーポリシー60に記載の調停条件65が規定する調停パターンにより、調停処理を行う(ここでは調停パターン2)。
サーバ40は個人情報の開示を拒絶すると、利用ポリシー通知手段48により対価条件54の記載された利用ポリシー50を個人情報保有者端末30に通知し、開示可否の問い合わせを行う。このときの対価条件54の具体的な例としては、対象情報を利用する対価として自身の個人情報を開示することや、有益な情報を提供すること等が考えられる。有益な情報の例としては、エステティックサロン業者が店舗近くを通行する人に対して、パーソナライズした広告またはサービスを提供するために、「年齢、身長、体重等の個人情報を開示してくれれば、あなたに最適なダイエット方法を教えます」といった対価条件が可能であり、個人情報を引き出す仕組みとして利用することができる。
【0057】
対価条件54を含む利用ポリシー50の通知を受けた個人情報保有者端末30は、調停時個人情報開示判断手段33により利用ポリシー50に従い個人情報の開示の可否を判断する。その判断結果を、調停時判断結果通知手段34によりサーバ40へ通知する。
【0058】
サーバ40は、個人情報の開示承認通知を受けたときは、調停時個人情報検索手段49により当該個人情報をサーバ40において検索し、調停時個人情報送信手段4Aにより当該個人情報を個人情報利用者端末20へ送信する。サーバ40が、個人情報の開示拒絶通知を受けた時は、調停時開示拒絶通知手段4Bにより個人情報利用者端末20へ開示拒絶の通知を行う。
【0059】
この調停シーケンスを複数回繰り返すことにより、普段は開示していないプライバシー的な個人情報を叙々に引き出していくことが可能である。
【0060】
図10は調停パターン3のシーケンスを示したものである。
【0061】
個人情報保有者端末30は、プライバシーポリシー作成手段31により自身の個人情報に関するプライバシーポリシー60を作成し、プライバシーポリシー・個人情報送信手段32により、個人情報とそれに関するプライバシーポリシー60をサーバ40に送信する。プライバシーポリシー60を受け取ったサーバ40は、プライバシーポリシー登録手段41によりプライバシーポリシー60をサーバ40に登録する。また、共に送られてきた個人情報を個人情報蓄積手段42によりサーバ40に蓄積する。
【0062】
個人情報利用者端末20は、個人情報保有者端末30の個人情報を利用する際に、利用ポリシー作成手段21により利用内容等に関する利用ポリシー50を作成し、利用ポリシー送信手段22により利用ポリシー50をサーバ40へ送信する。
【0063】
サーバ40は、利用ポリシー50を受信すると、プライバシーポリシー検索手段43により、利用者ポリシー50に記載の対象情報52に対応する対象情報61を有するプライバシーポリシー60を検索する。そして、利用ポリシー50とプライバシーポリシー60とを比較し、利用ポリシー50に記述してある利用範囲、権限、条件等がプライバシーポリシー60の条件の範囲内であるか否かをポリシー判定手段44により判定する。プライバシーポリシー60が利用ポリシー50の記述範囲内にあり、個人情報の開示を承認する場合は、個人情報検索手段45により当該個人情報を検索し、利用ポリシー50に従って個人情報送信手段46により個人情報利用者端末20へ当該個人情報を送信する。プライバシーポリシー60が利用ポリシー50の記述範囲内になく、個人情報の開示を拒絶する場合は、開示拒絶通知手段47により個人情報の開示を拒絶した旨を個人情報利用者端末20に通知し、プライバシーポリシー60に記載の調停条件65が規定する調停パターンにより、調停処理を行う(ここでは調停パターン3)。
サーバ40は個人情報の開示を拒絶すると、調停時開示可能条件導出手段4Cにより、プライバシーポリシー60の条件の範囲内で利用ポリシーに要求される開示可能条件を導出し、調停時開示可能条件通知手段4Dにより導出した開示可能条件を個人情報利用者端末20に通知する。この開示可能条件の導出の例としては、個人情報利用者端末20が要求する対象情報がA、B、Cであるが、プライバシーポリシー60で許容される範囲は情報Bのみといった場合に、情報Bであれば利用可能とすることを導出、または、プライバシーポリシー60において、「同じコミュニティDに現在参加しているユーザには開示を許可する」といった場合に、個人情報利用者端末20はコミュニティDには参加していないので開示拒否となるが、コミュニティDに参加すれば開示可能とすること等を導出することが考えられる。
【0064】
開示可能条件の通知を受けた個人情報利用者端末20は、調停時利用ポリシー作成手段23によりその開示条件を満たすような新たな利用ポリシー50を作成する。この新しい利用ポリシー50を調停時利用ポリシー送信手段24によりサーバ40へ送信する。利用ポリシー50を受信したサーバ40は、新しい利用ポリシー50を受信すると、その利用ポリシー50とプライバシーポリシー60とを比較し、新しい利用ポリシー50に記述してある利用範囲、権限、条件等がプライバシーポリシー60の条件の範囲内であるか否かを調停時ポリシー判定手段4Eにより判定する。プライバシーポリシー60が利用ポリシー50の記述範囲内にあり、個人情報の開示を承認する場合は、調停時個人情報検索手段4Fによりサーバ40において当該個人情報を検索し、調停時個人情報送信手段4Gにより検索した個人情報を個人情報利用者端末20へ送信する。プライバシーポリシー60が、再度利用ポリシー50の記述範囲内になく、個人情報の開示を拒絶するときは、調停時開示拒絶通知手段4Hにより個人情報利用者端末20に個人情報の開示を拒絶する旨を通知する。
【0065】
図11は調停パターン4のシーケンスを示したものである。
【0066】
個人情報保有者端末30は、プライバシーポリシー作成手段31により自身の個人情報に関するプライバシーポリシー60を作成し、プライバシーポリシー・個人情報送信手段32により、個人情報とそれに関するプライバシーポリシー60をサーバ40に送信する。プライバシーポリシー60を受け取ったサーバ40は、プライバシーポリシー登録手段41によりプライバシーポリシー60をサーバ40に登録する。また、共に送られてきた個人情報を個人情報蓄積手段42によりサーバ40に蓄積する。
【0067】
個人情報利用者端末20は、個人情報保有者端末30の個人情報を利用する際に、利用ポリシー作成手段21により利用内容等に関する利用ポリシー50を作成し、利用ポリシー送信手段22により利用ポリシー50をサーバ40へ送信する。
【0068】
サーバ40は、利用ポリシー50を受信すると、プライバシーポリシー検索手段43により、利用者ポリシー50に記載の対象情報52に対応する対象情報61を有するプライバシーポリシー60を検索する。そして、利用ポリシー50とプライバシーポリシー60とを比較し、利用ポリシー50に記述してある利用範囲、権限、条件等がプライバシーポリシー60の条件の範囲内であるか否かをポリシー判定手段44により判定する。プライバシーポリシー60が利用ポリシー50の記述範囲内にあり、個人情報の開示を承認する場合は、個人情報検索手段45により当該個人情報を検索し、利用ポリシー50に従って個人情報送信手段46により個人情報利用者端末20へ当該個人情報を送信する。プライバシーポリシー60が利用ポリシー50の記述範囲内になく、個人情報の開示を拒絶する場合は、開示拒絶通知手段47により個人情報の開示を拒絶した旨を個人情報利用者端末20に通知し、プライバシーポリシー60に記載の調停条件65が規定する調停パターンにより、調停処理を行う(ここでは調停パターン4)。
サーバ40は個人情報の開示を拒絶すると、調停時開示可能条件問い合わせ手段4Iにより個人情報保有者端末30に個人情報を開示可能にするための条件を問い合わせる。問い合わせを受けた個人情報保有者端末30は、調停時開示可能条件提示可否判断手段35によりサーバ40、個人情報利用者端末20に開示可能条件の提示可否を判断する。開示可能条件の具体的な例としては、利用者側が個人情報を開示すれば自身の個人情報も開示する、または、有益な情報を提供してくれれば自身の個人情報を提供する等が考えられる。個人情報保有者端末30は、開示可能条件を提示することを決定すると、調停時開示可能条件通知手段36によりサーバ40へ開示可能条件を通知する。その通知を受けたサーバ40は、調停時開示可能条件通知手段4Jにより個人情報利用者端末20へ開示可能条件を通知する。この開示可能条件を受けた個人情報利用者端末20は、調停時利用ポリシー作成手段23によりその開示可能条件を満たすような新たな利用ポリシー50を作成する。この新しい利用ポリシー50を調停時利用ポリシー送信手段24によりサーバ40へ送信する。利用ポリシー50を受信したサーバ40は、新しい利用ポリシー50を受信すると、その利用ポリシー50とプライバシーポリシー60とを比較し、新しい利用ポリシー50に記述してある利用範囲、権限、条件等がプライバシーポリシー60の条件の範囲内であるか否かを調停時ポリシー判定手段4Eにより判定する。プライバシーポリシー60が利用ポリシー50の記述範囲内にあり、個人情報の開示を承認する場合は、調停時個人情報検索手段4Fによりサーバ40において当該個人情報を検索し、調停時個人情報送信手段4Gにより検索した個人情報を個人情報利用者端末20へ送信する。プライバシーポリシー60が、再度利用ポリシー50の記述範囲内になく、個人情報の開示を拒絶するときは、調停時開示拒絶通知手段4Hにより個人情報利用者端末20に個人情報の開示を拒絶する旨を通知する。
【0069】
以上、本発明の実施形態を示したが、基本的な個人情報の送受信の仕組みは、例えば、IETFで標準化が行われているSIMPLE(SIP for Instant Messaging and Presence Leveraging Extensions)や、PAM FORUMで標準化が行われているPAM(Presence and Availability Management)を利用することで容易に実現可能である。
【0070】
なお、上記の実施形態は、本発明の例を示したものであり、本発明はこれに限定されるものではない。
【0071】
【発明の効果】
以上説明したように、従来のポリシーベースの開示制御では、ポリシー判定の結果が開示拒否の場合には一律開示不可であったが、本発明によれば、利用者側の要求が個人情報保有者のポリシーと合致しない場合においても、ネットワーク上で利用者側と個人情報保有者の間での交渉による調停を行うことを可能とし、その結果、従来では開示拒否であった場合においても開示の承認を得、所望の個人情報を得ることができる。また、対価条件を提示して調停を行うことにより、徐々にプライバシー的な個人情報を引き出すことを可能とする。
【図面の簡単な説明】
【図1】本発明にかかるシステムの一実施形態の概要を示す図
【図2】本発明にかかるシステムの一実施形態における個人情報利用者端末の機能ブロック図
【図3】本発明にかかるシステムの一実施形態における個人情報保有者端末の機能ブロック図
【図4】本発明にかかるシステムの一実施形態におけるサーバの機能ブロック図
【図5】本発明にかかるシステムの一実施形態における利用ポリシーのデータ構造を示す図
【図6】本発明にかかるシステムの一実施形態におけるプライバシーポリシーのデータ構造を示す図
【図7】本発明の一実施形態にかかるサーバにおける個人情報の開示処理のフローチャート
【図8】調停パターン1のシーケンスを示した図
【図9】調停パターン2のシーケンスを示した図
【図10】調停パターン3のシーケンスを示した図
【図11】調停パターン4のシーケンスを示した図
【符号の説明】10…ネットワーク、20…個人情報利用者端末、21…利用ポリシー作成手段、22…利用ポリシー送信手段、23…調停時利用ポリシー作成手段、24…調停時利用ポリシー送信手段、30…個人情報保有者端末、31…プライバシーポリシー作成手段、32…プライバシーポリシー・個人情報送信手段、33…調停時個人情報開示判断手段、34…調停時判断結果通知手段、35…調停時開示可能条件提示可否判断手段、36…調停時開示可能条件通知手段、40…サーバ、41…プライバシーポリシー登録手段、42…個人情報蓄積手段、43…プライバシーポリシー検索手段、44…ポリシー判定手段、45…個人情報検索手段、46…個人情報送信手段、47…開示拒絶通知手段、48…調停時利用ポリシー通知手段、49…調停時個人情報検索手段、4A…調停時個人情報送信手段、4B…調停時開示拒絶通知手段、4C…調停時開示可能条件導出手段、4D…調停時開示可能条件通知手段、4E…調停時ポリシー判定手段、4F…調停時個人情報検索手段、4G…調停時個人情報送信手段、4H…調停時開示拒絶通知手段、4I…調停時開示可能条件問い合わせ手段、4J…調停時開示可能条件通知手段、50…利用ポリシー、51…利用者情報、52…対象情報、53…操作種別、54…対価条件、60…プライバシーポリシー、61…対象情報、62…開示先属性、63…操作種別、64…利用種別、65…調停条件。
Claims (12)
- 少なくとも一つの個人情報保有者端末と、少なくとも一つの個人情報利用者端末と、個人情報を蓄積するサーバとを具備し、該サーバによる制御のもと個人情報を個人情報利用者端末に対して開示する個人情報開示制御システムにおいて、
前記個人情報保有者端末は、
個人情報の利用基準を定めるプライバシーポリシーを作成するプライバシーポリシー作成手段と、
作成したプライバシーポリシーを個人情報とともに前記サーバへ送信するプライバシーポリシー・個人情報送信手段とを有し、
前記個人情報利用者端末は、
個人情報の開示要求の範囲を定める利用ポリシーを作成する利用ポリシー作成手段と、
作成した利用ポリシーを前記サーバへ送信する利用ポリシー送信手段とを有し、
前記サーバは、
前記プライバシーポリシーを登録するプライバシーポリシー登録手段と、
個人情報を蓄積する個人情報蓄積手段と、
個人情報利用者端末が要求する個人情報に対応するプライバシーポリシーを前記プライバシーポリシー登録手段から検索するプライバシーポリシー検索手段と、
前記利用ポリシーの指定範囲が前記プライバシーポリシーの範囲内にあるか否かを確認し、個人情報の開示可否を判定するポリシー判定手段と、
前記ポリシー判定手段が個人情報の開示を承認した時に、対象の個人情報を前記個人情報蓄積手段から検索する個人情報検索手段と、
前記ポリシー判定手段が個人情報の開示を承認した時に、対象の個人情報を前記個人情報利用者端末に送信する個人情報送信手段と、
前記ポリシー判定手段が個人情報の開示を拒絶した時に、開示拒絶の旨を個人情報利用者端末へ通知する開示拒絶通知手段とを有し、
プライバシーポリシーと利用ポリシーとが一致せずかつ個人情報保有者端末が交渉を許容するときに、個人情報保有者端末と個人情報利用者端末とがネットワーク上において交渉するための調停機構を前記個人情報利用者端末と個人情報保有者端末とサーバとが構成する
ことを特徴とする個人情報開示制御システム。 - 前記構成に加え、前記サーバは、
前記個人情報保有者端末へ利用ポリシーの内容を通知する調停時利用ポリシー通知手段と、
前記個人情報保有者端末から個人情報の開示の承認を受けると、当該個人情報を個人情報蓄積手段から検索する調停時個人情報検索手段と、
前記個人情報を前記個人情報利用者端末に送信する調停時個人情報送信手段と、
前記個人情報保有者端末から個人情報の開示の拒絶通知を受けると、前記個人情報利用者端末に開示拒絶を通知する調停時開示拒絶通知手段とを有し、
前記個人情報保有者端末は、
前記利用者ポリシーの内容により個人情報の開示要求を許可するか否かを判断する調停時個人情報開示判断手段と、
個人情報の開示要求を許可するか否かの判断結果を前記サーバへ通知する調停時判断結果通知手段とを有する
ことを特徴とする請求項1記載の個人情報開示制御システム。 - 前記利用ポリシーは、個人情報を開示してもらう際の対価条件を含む
ことを特徴とする請求項2記載の個人情報開示制御システム。 - 前記構成に加え、前記サーバは、
前記プライバシーポリシーと前記利用ポリシーとを比較し、開示可能な条件を導出する調停時開示可能条件導出手段と、
導出した開示可能条件を個人情報利用者端末に通知する調停時開示可能条件通知手段と、
再度作成された利用ポリシーの記載範囲が前記プライバシーポリシーの範囲内にあるか否かを確認し、個人情報の開示可否を判定する調停時ポリシー判定手段と、
前記調停時ポリシー判定手段が調停により個人情報の開示を承認した時に、当該個人情報を前記個人情報蓄積手段から検索する調停時個人情報検索手段と、
前記調停時ポリシー判定手段が調停により個人情報の開示を承認した時に、個人情報を前記個人情報利用者端末に送信する調停時個人情報送信手段と、
前記調停時ポリシー判定手段が調停により個人情報の開示を拒絶した時に、開示拒絶の旨を個人情報利用者端末へ通知する調停時開示拒絶通知手段とを有し、
前記個人情報利用者端末は、
前記サーバから開示可能条件通知を受けると再度利用ポリシーを作成する調停時利用ポリシー作成手段と、
再度作成した利用ポリシーを前記サーバへ送信する調停時利用ポリシー送信手段とを有する
ことを特徴とする請求項1乃至3何れか1項記載の個人情報開示制御システム。 - 前記構成に加え、前記サーバは、
前記個人情報保有者端末へ個人情報の開示可能な条件を問い合わせる調停時開示可能条件問い合わせ手段と、
前記個人情報保有者端末から受けた開示可能条件通知を前記個人情報利用者端末に通知する調停時開示可能条件通知手段とを有し、
前記個人情報保有者端末は、
個人情報の開示可能条件の提示可否を判断する調停時開示可能条件開示可否判断手段と、
前記サーバに開示可能条件を通知する調停時開示可能条件通知手段とを有する
ことを特徴とする請求項4記載の個人情報開示制御システム。 - 前記プライバシーポリシーは、調停方法または調停方法の優先順位を指定する調停条件を含む
ことを特徴とする請求項1乃至5何れか1項記載の個人情報開示制御システム。 - 少なくとも一つの個人情報保有者端末と、少なくとも一つの個人情報利用者端末と、個人情報を蓄積するサーバ間において、該サーバによる制御のもと個人情報利用者端末に対して個人情報を開示する個人情報開示制御方法であって、
前記個人情報保有者端末が、個人情報の利用基準を定めるプライバシーポリシーを作成する工程と、
前記個人情報保有者端末が、作成されたプライバシーポリシーを対応する個人情報とともに前記サーバへ送信する工程と、
前記個人情報利用者端末が、個人情報の開示要求の範囲を定めるための利用ポリシーを作成する工程と、
前記個人情報利用者端末が、作成された利用ポリシーを前記サーバへ送信する工程と、
前記サーバが、前記プライバシーポリシーを登録する工程と、
前記サーバが、個人情報を蓄積する工程と、
前記サーバが、個人情報利用者端末の要求する個人情報に対応するプライバシーポリシーを検索する工程と、
前記サーバが、前記利用ポリシーの指定範囲が前記プライバシーポリシーの範囲内にあるか否かを確認し、個人情報の開示可否を判定する工程と、
前記サーバが個人情報の開示を承諾した時に、対象の個人情報をサーバ自身から検索する工程と、
前記サーバが個人情報の開示を承認した時に、個人情報を前記個人情報利用者端末に送信する工程と、
前記サーバが個人情報の開示を拒絶した時に、開示拒絶の旨を個人情報利用者端末へ通知する工程とを有し、
プライバシーポリシーと利用ポリシーとが一致せずかつ個人情報保有者端末が交渉を許容するときに、ネットワーク上において交渉により調停を行う
ことを特徴とする個人情報開示制御方法。 - 前記工程に加え、前記サーバが、前記個人情報保有者端末へ利用ポリシーの内容を通知する工程と、
前記サーバが、前記個人情報保有者端末から個人情報の開示の承認を受けると、当該個人情報を検索する工程と、
前記サーバが、前記個人情報を前記個人情報利用者端末に送信する工程と、
前記サーバが、前記個人情報保有者端末から個人情報の開示の拒絶を受けると、前記個人情報利用者端末に開示拒絶を通知する工程と、
前記個人情報保有者端末が、利用者ポリシーの内容により個人情報の開示要求を許可するか否かを判断する工程と、
前記個人情報保有者端末が、個人情報の開示要求を許可するか否かの判断結果を前記サーバへ通知する工程とを有する
ことを特徴とする請求項7記載の個人情報開示制御方法。 - 前記個人情報保有者端末が、利用者ポリシーの内容により個人情報の開示要求を許可するか否かを判断する工程において、前記利用ポリシーに含まれる対価条件により判断する
ことを特徴とする請求項8記載の個人情報開示制御方法。 - 前記工程に加え、前記サーバが、前記プライバシーポリシーと前記利用ポリシーとを比較し、個人情報の開示可能な条件を導出する工程と、
前記サーバが、導出した個人情報の開示可能条件を個人情報利用者端末に通知する工程と、
前記サーバが、再度作成された利用ポリシーの記載範囲が前記プライバシーポリシーの範囲内にあるか否かを確認し、個人情報の開示可否を判定する工程と、
調停時において、前記サーバが個人情報の開示を承認した時に、当該個人情報を検索する工程と、
調停時において、前記サーバが個人情報の開示を承認した時に、個人情報を前記個人情報利用者端末に送信する工程と、
調停時において、前記サーバが個人情報の開示を拒絶した時に、開示拒絶の旨を個人情報利用者端末へ通知する工程とを有し、
前記個人情報利用者端末が、前記サーバから開示可能条件通知を受けると再度利用ポリシーを作成する工程と、
前記個人情報利用者端末が、再度作成した利用ポリシーを前記サーバへ送信する工程とを有する
ことを特徴とする請求項7乃至9何れか1項記載の個人情報開示制御方法。 - 前記工程に加え、前記サーバが、個人情報保有者端末へ開示可能な条件を問い合わせる工程と、
前記個人情報保有者端末が、個人情報の開示可能条件の開示可否を判断する工程と、
前記個人情報保有者端末が、前記サーバに個人情報の開示可能条件を通知する工程と、
前記サーバが、前記個人情報保有者端末から受けた開示可能条件通知を前記個人情報利用者端末に通知する工程とを有する
ことを特徴とする請求項10記載の個人情報開示制御方法。 - 前記個人情報保有者端末は、前記プライバシーポリシーに含まれる調停方法または調停方法の優先順位を指定する調停条件に従い調停方法を選択する
ことを特徴とする請求項7乃至11何れか1項記載の個人情報開示制御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002359860A JP2004192353A (ja) | 2002-12-11 | 2002-12-11 | 個人情報開示制御システム及び個人情報開示制御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002359860A JP2004192353A (ja) | 2002-12-11 | 2002-12-11 | 個人情報開示制御システム及び個人情報開示制御方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004192353A true JP2004192353A (ja) | 2004-07-08 |
Family
ID=32759134
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002359860A Pending JP2004192353A (ja) | 2002-12-11 | 2002-12-11 | 個人情報開示制御システム及び個人情報開示制御方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004192353A (ja) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006285490A (ja) * | 2005-03-31 | 2006-10-19 | Hitachi Ltd | 個人情報閲覧更新システムおよび個人情報閲覧更新方法 |
WO2009101755A1 (ja) * | 2008-02-13 | 2009-08-20 | Nec Corporation | 個人情報流通制御システムおよび個人情報流通制御方法 |
JP2009199573A (ja) * | 2008-01-25 | 2009-09-03 | Nippon Telegr & Teleph Corp <Ntt> | 属性情報開示システム、属性情報開示方法および属性情報開示処理プログラム |
WO2010067535A1 (ja) * | 2008-12-08 | 2010-06-17 | 日本電気株式会社 | 個人情報交換システム、個人情報提供装置、そのデータ処理方法、およびそのコンピュータプログラム |
WO2012046670A1 (ja) * | 2010-10-05 | 2012-04-12 | 日本電気株式会社 | 個人情報送受信システム、個人情報送受信方法、個人情報提供装置、プリファレンス管理装置、およびコンピュータ・プログラム |
WO2012118205A1 (ja) | 2011-03-03 | 2012-09-07 | 日本電気株式会社 | ポリシ調停方法、調停サーバおよびプログラム |
JP2013536506A (ja) * | 2010-08-10 | 2013-09-19 | ベネフィットフォーカス ドット コム インコーポレーテッド | セキュアなエージェント情報のためのシステム及び方法 |
JP2014515855A (ja) * | 2011-04-05 | 2014-07-03 | アルカテル−ルーセント | 個人データの配布ルールを構成する方法及びシステム |
US9418233B2 (en) | 2012-02-17 | 2016-08-16 | Nec Corporation | Information processing device for handling privacy information, information processing system for handling privacy information, and information processing method and program for handling privacy information |
WO2016182856A1 (en) * | 2015-05-08 | 2016-11-17 | Visa International Service Association | Authenticating transactions using risk scores derived from detailed device information |
JP2018524727A (ja) * | 2015-06-30 | 2018-08-30 | モルフォトラスト・ユーエスエー・リミテッド ライアビリティ カンパニーMorphotrust Usa,Llc | 電子セキュリティコンテナ |
WO2020188665A1 (ja) * | 2019-03-15 | 2020-09-24 | 三菱電機株式会社 | 個人情報管理装置、個人情報管理システム、個人情報管理方法及びプログラム |
JPWO2021085064A1 (ja) * | 2019-10-31 | 2021-05-06 | ||
JP7528146B2 (ja) | 2022-03-31 | 2024-08-05 | 株式会社ジェーシービー | データ連携プログラム、データ連携システム及びデータ連携方法 |
-
2002
- 2002-12-11 JP JP2002359860A patent/JP2004192353A/ja active Pending
Cited By (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4664107B2 (ja) * | 2005-03-31 | 2011-04-06 | 株式会社日立製作所 | 事業者側装置、利用者側装置、個人情報閲覧更新システムおよび個人情報閲覧更新方法 |
JP2006285490A (ja) * | 2005-03-31 | 2006-10-19 | Hitachi Ltd | 個人情報閲覧更新システムおよび個人情報閲覧更新方法 |
JP2009199573A (ja) * | 2008-01-25 | 2009-09-03 | Nippon Telegr & Teleph Corp <Ntt> | 属性情報開示システム、属性情報開示方法および属性情報開示処理プログラム |
WO2009101755A1 (ja) * | 2008-02-13 | 2009-08-20 | Nec Corporation | 個人情報流通制御システムおよび個人情報流通制御方法 |
JP5348143B2 (ja) * | 2008-12-08 | 2013-11-20 | 日本電気株式会社 | 個人情報交換システム、個人情報提供装置、そのデータ処理方法、およびそのコンピュータプログラム |
WO2010067535A1 (ja) * | 2008-12-08 | 2010-06-17 | 日本電気株式会社 | 個人情報交換システム、個人情報提供装置、そのデータ処理方法、およびそのコンピュータプログラム |
JP2013536506A (ja) * | 2010-08-10 | 2013-09-19 | ベネフィットフォーカス ドット コム インコーポレーテッド | セキュアなエージェント情報のためのシステム及び方法 |
WO2012046670A1 (ja) * | 2010-10-05 | 2012-04-12 | 日本電気株式会社 | 個人情報送受信システム、個人情報送受信方法、個人情報提供装置、プリファレンス管理装置、およびコンピュータ・プログラム |
JP5939248B2 (ja) * | 2011-03-03 | 2016-06-22 | 日本電気株式会社 | ポリシ調停方法、調停サーバおよびプログラム |
JPWO2012118205A1 (ja) * | 2011-03-03 | 2014-07-07 | 日本電気株式会社 | ポリシ調停方法、調停サーバおよびプログラム |
US9374388B2 (en) | 2011-03-03 | 2016-06-21 | Nec Corporation | Policy arbitration method, policy arbitration server, and program |
WO2012118205A1 (ja) | 2011-03-03 | 2012-09-07 | 日本電気株式会社 | ポリシ調停方法、調停サーバおよびプログラム |
JP2014515855A (ja) * | 2011-04-05 | 2014-07-03 | アルカテル−ルーセント | 個人データの配布ルールを構成する方法及びシステム |
US9418233B2 (en) | 2012-02-17 | 2016-08-16 | Nec Corporation | Information processing device for handling privacy information, information processing system for handling privacy information, and information processing method and program for handling privacy information |
US11074585B2 (en) | 2015-05-08 | 2021-07-27 | Visa International Service Association | Authenticating transactions using risk scores derived from detailed device information |
WO2016182856A1 (en) * | 2015-05-08 | 2016-11-17 | Visa International Service Association | Authenticating transactions using risk scores derived from detailed device information |
US12033151B2 (en) | 2015-05-08 | 2024-07-09 | Visa International Service Association | Authenticating transactions using risk scores derived from detailed device information |
JP2018524727A (ja) * | 2015-06-30 | 2018-08-30 | モルフォトラスト・ユーエスエー・リミテッド ライアビリティ カンパニーMorphotrust Usa,Llc | 電子セキュリティコンテナ |
JPWO2020188665A1 (ja) * | 2019-03-15 | 2021-12-16 | 三菱電機株式会社 | 個人情報管理装置、個人情報管理システム、個人情報管理方法及びプログラム |
WO2020188665A1 (ja) * | 2019-03-15 | 2020-09-24 | 三菱電機株式会社 | 個人情報管理装置、個人情報管理システム、個人情報管理方法及びプログラム |
WO2021085064A1 (ja) * | 2019-10-31 | 2021-05-06 | 日本電気株式会社 | 情報取引装置、情報取引方法及びプログラム |
JPWO2021085064A1 (ja) * | 2019-10-31 | 2021-05-06 | ||
JP7351347B2 (ja) | 2019-10-31 | 2023-09-27 | 日本電気株式会社 | 情報取引システム、情報取引方法及びプログラム |
JP7528146B2 (ja) | 2022-03-31 | 2024-08-05 | 株式会社ジェーシービー | データ連携プログラム、データ連携システム及びデータ連携方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8255970B2 (en) | Personal information distribution management system, personal information distribution management method, personal information service program, and personal information utilization program | |
JP2004192353A (ja) | 個人情報開示制御システム及び個人情報開示制御方法 | |
US7076558B1 (en) | User-centric consent management system and method | |
US8185932B2 (en) | System and method for user-centric authorization to access user-specific information | |
US8819784B2 (en) | Method for managing access to protected resources and delegating authority in a computer network | |
US10462149B2 (en) | Device management system | |
KR100970771B1 (ko) | 웹 서비스들 사이의 보안 협정 동적 교섭 | |
US20120204221A1 (en) | Method for managing access to protected resources in a computer network, physical entities and computer programs therefor | |
US20100240398A1 (en) | System for aggregating and disseminating location information | |
CN101014958A (zh) | 管理用户认证和服务授权以获得单次登录来接入多个网络接口的系统和方法 | |
CN107113182A (zh) | 用于在服务层处支持协商服务的方法 | |
US20110137817A1 (en) | System and method for aggregating and disseminating personal data | |
CN105721433B (zh) | 一种在线社交网络用户私有数据的访问控制方法 | |
KR101321667B1 (ko) | 다큐먼트 포워딩을 위한 xdm 장치 및 방법 | |
WO2009101755A1 (ja) | 個人情報流通制御システムおよび個人情報流通制御方法 | |
Cheng et al. | Enabling web services policy negotiation with privacy preserved using XACML | |
JP2004310458A (ja) | 個人情報流通方法および個人情報管理システム並びにポリシー判定システム | |
US20120131648A1 (en) | Information management apparatus, information management method, and non-transitory computer-readable storage medium | |
JP4862852B2 (ja) | ファイル管理システム | |
JP4950369B1 (ja) | アイデンティティネットワークにおけるプライバシー管理のための方法、そのための物理エンティティおよびコンピュータプログラム | |
JP5434930B2 (ja) | 情報管理システム | |
Scheffler et al. | A privacy-aware localization service for healthcare environments | |
JP2003196500A (ja) | 情報仲介システム及び方法 | |
KR101084205B1 (ko) | 네트워크 상의 사용자 정보 관리 방법 | |
JP2020173523A (ja) | 情報処理装置および認証情報処理方法 |