JP2005301978A - 名寄せ制御方法 - Google Patents

名寄せ制御方法 Download PDF

Info

Publication number
JP2005301978A
JP2005301978A JP2004331334A JP2004331334A JP2005301978A JP 2005301978 A JP2005301978 A JP 2005301978A JP 2004331334 A JP2004331334 A JP 2004331334A JP 2004331334 A JP2004331334 A JP 2004331334A JP 2005301978 A JP2005301978 A JP 2005301978A
Authority
JP
Japan
Prior art keywords
anonymous
data
personal
personal data
database
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004331334A
Other languages
English (en)
Other versions
JP4396490B2 (ja
Inventor
Yoshinori Sato
嘉則 佐藤
Toyohisa Morita
豊久 森田
Hideyuki Maki
牧  秀行
Yasushi Fukumoto
▲恭▼ 福本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2004331334A priority Critical patent/JP4396490B2/ja
Publication of JP2005301978A publication Critical patent/JP2005301978A/ja
Application granted granted Critical
Publication of JP4396490B2 publication Critical patent/JP4396490B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification

Abstract

【課題】個人データを匿名で管理し、また、格納される個人データは暗号化しないで、個人情報を保護する。
【解決手段】購買履歴を匿名IDにより収集し、また匿名IDを個人IDに関連付ける操作には会員カードもしくは代理サーバの応答が必要となるようシステムを構成する。また個人データそれ自体は暗号化せずに個人IDと匿名IDをキーとして平文で格納し、匿名IDはサーバ側で個人IDと関連付けられるたびに更新されるようにする。このとき、あわせて蓄積されている購買履歴の収集キーになっている匿名IDも更新する。
【選択図】図2

Description

電子化された個人情報、医療情報、公文書等の秘匿性の高いデータを扱うデータベースシステムに係わる。
OECD(Organization for Economic Co-operation and Development)が1980年に採択した勧告"OECD RECOMMENDATION CONCERNING AND GUIDELINES GOVERNING THE PROTECTION OF PRIVACY AND TRANSBORDER FLOWS OF PERSONAL DATA"により、プライバシ保護に関する8原則が示された。OECDの8原則は、目的明確化、利用制限、収集制限、データ内容、安全保護、公開、個人参加、責任の各事項について、企業等の個人情報取扱事業者が従うべき原則を定めているものである。OECD加盟各国はプライバシ保護ないしは個人情報保護に向けて、8原則を踏襲する形で国内法、ガイドライン等の制度整備を進めており、その結果として個人情報を取り扱う企業はこのような制度への対応を迫られている。企業内では様々な新たな業務が発生し、そのための人的、金銭的なコストを要するようになってきた。
またコンピュータネットワークの出現は大量の個人情報を電子的な形態で受け渡しすることを容易にしたため、ひとたび個人情報漏洩事故が起きるとその被害は広範囲に及ぶ可能性がある。さらにインターネットの進展に伴い、情報漏洩事故に対する損害賠償という形の訴訟リスクがさらに大きくなりつつある。またプライバシに関する意識が高まりつつある昨今、企業は個人情報の取り扱いに対する法的な責任だけでなく、道義的責任までを問われるようになりつつあり、予期しない個人情報漏洩の危険性は、ブランドイメージ低下のリスク要因という形でも認識されつつある。すなわち、これらのリスクを回避するためにも、多くの企業では個人情報を適切に管理するコストをかけざるを得ない状況が生じている。
個人情報管理に関する業務を支えるシステムとしては、特に電子的な形態の個人情報のための、利用許諾に基づいたアクセス制御機能を備えた個人情報管理システムが知られている(以下、従来技術1と呼ぶ)。従来技術1については例えば非特許文献1に説明がある。
従来技術1は、利用目的や収集データ項目などを有する個人情報取扱方針として開示し、消費者、ユーザ等の個人情報の提供者から個人情報取扱方針に対する利用許諾を記録する機能を備える。また企業内における個人情報の利用を、適切なユーザに限定するアクセス制御機能を備える。利用許諾に基づくアクセスの制御は、コンピュータにより実行されるプログラムの権限に基づいて実現される。さらに従来技術1は、どのユーザがどのような利用目的で個人情報にアクセスしたかを記録する機能を備えている。
また、個人情報のうち、いわゆる「機微な情報」「sensitive data」を匿名管理する公知の手段としては、医療情報を扱うためのシステムがある(以下、従来技術2と呼ぶ)。従来技術2については例えば特許文献1に説明がある。従来技術2は、暗号化された氏名、住所、生年月日などの個人識別情報と、個人識別情報以外の遺伝子情報等の疾患情報を分離し、それぞれを異なる鍵で暗号化し、これらの復号鍵をICカード等の記録媒体に格納する。これにより個人識別情報及び疾患情報の利用を、ICカードの所有者がコントロールする事が可能になる。また、個人識別情報及び疾患情報を関連づける管理符号をシステムが割り振る。この管理符号を用いることにより、個人識別情報を用いずに匿名的な疾患情報の利用が可能になる。
http://www-6.ibm.com/jp/software/tivoli/products/privacy.html 特開2001−357130号
OECDの8原則に準じる各国の保護法、ガイドラインは、個人情報取扱方針に利用目的を明記し、情報提供者から利用許諾を得る事を必須の要件としている。従来技術1は利用許諾に基づいた蓄積個人情報へのアクセス制御を実現するものであるが、情報提供者からは個人情報の利用状況を把握できないという課題がある。この点は個人情報を用いた業務を外部に委託する場合でも同様であり、従来技術1は、委託企業が受託企業の情報利用状況を管理する手段を提供するものではない。
従来技術2は、疾患情報を必要としない個人識別情報の利用も制限されるという課題がある。従来技術2においては、疾患情報は暗号化しない事も可能であるが、匿名性を保証するために個人識別情報は必ず暗号化して保存される。そのため個人識別情報の復号には必ずICカード等に格納された復号鍵を必要とする。また、従来技術2では個人識別情報と疾患情報を関連づける管理符号は、暗号化されない平文であり、一度付与された管理符号は変更される事がない。そのため、復号された個人識別情報を一度でもシステム利用者が入手してしまえば、以降は自由に疾患情報と入手済みの個人識別情報を関連づける事ができ、匿名性に対する配慮はなされない事になる。
これらの従来技術2の課題は、適用分野によらない構成原理そのものに起因する課題である。例えば、従来技術2を小売店における顧客情報の管理に適用する場合、購買履歴を疾患情報として扱う事が考えられるが、コールセンター等の顧客窓口で身分照会のために個人識別情報のみを参照する用途には使えない。
本発明は、特定の個人を識別するための個人IDをキーとするハッシュ関数により生成された匿名IDと、1個以上の個人データ利用許可条件からなる匿名管理用データをクライアントから1個以上受信する処理を実行し、次に前記の受信した匿名IDが、サーバが格納している匿名IDと衝突するか否かを判定し、判定結果をクライアントに送信する処理を実行し、次に衝突が無かった場合にはデータベースに管理用匿名データを格納する処理を実行し、次に前記の受信した匿名IDと同じ個人IDから生成されたデータベース中の匿名IDを、前記の受信した匿名IDで置換する処理を実行する手段を有する。
またクライアントから匿名IDを受信し、次に個人データと照合することにより特定の個人を識別する事が可能な電子データを匿名IDをキーとして蓄積する手段を有する。
さらに上記の個人データ利用許可条件は、上記の格納された匿名IDを送信したクライアントに対して個人データ管理サーバが要求したときに、上記の格納された個人IDを受信できるか否かを制御できる。
これにより個人データを匿名で管理する事を可能にし、個人データを関連付けて利用する際は個人データ管理サーバがクライアントに許可を求めるよう、システムを構成できる。従って、従来技術1の課題の克服が可能になる。
また本発明においては匿名IDにより個人データ間の関連性を断ち切る仕組みになっているため、個人情報を保護するために、格納される個人データを暗号化する事は必須ではない。従って、従来技術2の課題の克服が可能になる。
本発明においては購買履歴は匿名IDにより収集され、また匿名IDを個人IDに関連付ける操作には会員カードもしくは代理サーバの応答が必要となるため、名寄せの類の個人データ利用の実績をシステム外部で記録する事ができる。これによりユーザは、個人情報取扱事業者に与えた利用許諾に従って個人データが正しく使われているかを確認する事ができる。
さらに本発明においては、個人データそれ自体は暗号化されず平文で格納されているが、匿名IDはサーバ側で個人IDと関連付けられるたびに更新され、あわせて蓄積されている購買履歴の収集キーになっている匿名IDも更新される。そのため、名寄せしない限りにおいては個人ID、匿名IDそれぞれをキーとするデータを、アクセス制御が許す範囲で自由に利用できるという融通性を与えつつ、無断の個人データの目的外利用を防止する効果を期待できる。
以下の記述における用語の定義は次の通りである。個人情報とは個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別する事ができるものである。個人情報には例えば住所のように、他の情報と容易に照合する事ができ、それにより特定の個人を識別する事ができる事となるものが含まれる。また、個人データとは、コンピュータが容易に検索できるようなデータベースを構成する、主に電子的な形態の個人情報の事である。
図1のシステム100は、本発明の基本構成を示している。101は匿名ID送信手段、102は匿名ID、103は匿名IDデータベース、104は個人IDデータベース、105は匿名ID発行手段、106は匿名ID登録手段、107は管理用匿名IDデータベース、108はID応答手段、109はデータ結合手段、110は分割格納個人データベース、111は利用履歴データベース、112は結合済みデータである。
個人IDデータベース104には、個人を特定するためのID(識別子)が格納される。匿名ID発行手段105は、個人IDデータベース104に格納されたデータを元に、匿名で扱うためのIDを発行する。この匿名IDは、その値から個人IDを推測する事が困難な性質を持っている。匿名IDは匿名ID登録手段106により管理用匿名IDデータベース107と匿名IDデータベース103に格納される。このとき、匿名ID登録手段106は、格納した匿名IDを用いて分割格納個人データベース110の格納済みデータを書き換える。匿名ID送信手段101は、システム100の外部からの要求に応じて、匿名IDデータベース103に格納されている匿名ID102をシステム100の外部に送信する。
分割格納個人データベース110は、個人データを個人IDと匿名IDで管理するデータベースである。分割格納個人データベース110は、送信された匿名ID102をキーとする個人データ、例えば購買履歴のようなデータを格納し、また個人IDベース104に格納された個人IDをキーとする氏名、住所などの個人データを格納する。データ結合手段109は匿名IDをキーとするデータと、個人IDをキーとするデータを結合し、結合済みデータ113としてシステム100の外部に出力する。結合するデータ操作とは、例えばRDBにおけるジョイン演算であり、個人データを扱う業務処理プログラムでは名寄せと呼ばれる処理として頻繁に発生する。ただしデータ結合手段109は、ID応答手段108の適切な応答がない限りデータを結合する事はない。ID応答手段108は、データ結合手段109からの要求とそれに対する応答を利用履歴データベース111に記録する。
本発明は、分割格納個人データベースに格納された個人データの集合を関連づける際に、ID応答手段108の適切な応答を必要とする構成を取っている。すなわち、ID応答手段108の動作を通じて、個人データの利用を管理、記録する事が可能になっている。
また図10のシステム1000では、データの結合操作もしくは名寄せを許可する個人データ管理者と、匿名IDのみを用いる利用者が異なる場合に適用される構成である。システム1000では、システム100における匿名ID応答手段108の代わりにID対応データ応答手段1005を、管理用匿名IDデータベース107の代わりに匿名ID更新履歴データベース1004を用いる。匿名ID更新履歴データベース1004には、匿名IDの更新履歴が格納される。匿名ID通信手段1002は、匿名ID同期手段1001から最新の匿名IDを取得して、複製匿名IDデータベース1003に格納する。ただし匿名ID通信手段1002は常にオンライン状態とは限らず、オフライン状態の間にも匿名ID発行手段105は匿名IDを更新することがある。 システム1000においては、分割格納個人データベースに格納された個人データの集合を関連づける際に、ID対応データ応答手段1005の適切な応答を必要とする構成を取っている。すなわち、ID応答手段1005の動作を通じて、個人データの利用を管理、記録する事が可能になっている。さらに匿名ID同期手段1001を用いることにより運用の柔軟性を持たせることができ、例えば個人IDデータベース104、匿名IDデータベース103を個人データ管理者に持たせ、複製匿名IDデータベースを他のシステム利用者に持たせる事が可能になる。
以下、実施形態を用いて本発明の詳細を説明する。それぞれの実施形態についてまずシステムの構成、内部データ、入力データ及び出力データを示し、続いて処理手順を示す。
図2は、本発明の小売店における適用例を示した第1の実施形態である。システム200は小売店向けの会員カードを用いる会員管理システムであり、会員カード201、業務データ生成サーバ202、個人データ利用プログラム204、アクセス制御サーバ208から構成されている。システム200は、会員カードを用いて購買履歴を収集し、またポイント211、DM(ダイレクトメール)宛先リスト212を出力する。クライアント装置としての会員カードはICチップにメモリ、プロセッサを搭載したものであり、原理上はPDA、携帯電話などでも代替する事が可能である。
会員カード201は、匿名ID送信手段101、匿名IDデータベース103、個人IDデータベース104、匿名ID発行手段105、ID応答手段108、利用履歴データベース111から構成されている。
データ300は個人IDデータベース104の格納データであり、個人IDを表すフィールド305と、利用許諾の条件を表すフィールドからなる。フィールド305の格納データ321は会員同士で重複しない整数値であり、会員カード発行の際にレコードデータ319が個人IDデータベース104に格納される。データ301の利用許諾条件を表すフィールドは0個以上あり、本実施形態においてはフィールドが307、308、309の3つが該当する。これらのフィールドはそれぞれ、DM宛先として個人データを利用する事の可否、個人を特定する分析に個人データを利用する事の可否、個人を特定しない統計分析に個人データを利用する事の可否を保持する。フィールド307、308、309には会員が与えた利用許諾に基づいて、個人データの利用を許す場合には値としてOK、許さない場合には値としてNGが格納される。
データ301は匿名IDデータベース103の格納データであり、匿名IDを表すフィールド306と、利用許諾の条件を表すフィールド307、308、309からなる。フィールド306の格納データ320には、説明の便宜上、データ320がデータ321から生成された値である事をわかりやすくするため「A1001」となっているが、実際のデータ320は、データ321をキーとするハッシュ値として生成される。データ320を生成するための典型的なハッシュ関数の一つはMD5である。このようなハッシュ関数を用いる場合、データ320は擬似的な乱数のような値を取り、データ320からデータ321を推測する事は極めて困難である。
業務データ生成サーバ202は、匿名ID登録手段106、管理用匿名IDデータベース107、データ結合手段109、分割格納個人データベース110からなる。ただし匿名ID登録手段106は耐タンパデバイス203内に構築されており、匿名ID登録手段106を勝手に書き換えたり、匿名ID登録手段106の内部処理を外部から自由に観測する事はできない。通常、匿名ID登録手段106は製造時に耐タンパデバイス203に構築される。
個人データ利用プログラム204は、購買記録実行手段205、ポイント管理手段206、購買傾向分析手段207からなる。購買商品ID210は、商品に付与されたJANコード等のIDであり、バーコードやRFIDタグ等を利用して店員がレジスタから入力する。システム200は入力された購買商品ID210に匿名IDを付与して記録する。匿名IDはレジスタに接続された会員カードが送信する。購買傾向分析手段207は、購買履歴を含む個人データを分析し、DMの発送により購買の誘発を期待できる会員のリストを出力する。
アクセス制御サーバ208は、アクセス制御手段209を有し、関連付けた(名寄せした)個人データへの個人データ利用プログラム204のアクセスを制御する。
データ302は管理用匿名IDデータベース107の格納データであり、1個のレコードデータが1人の会員に対応する。各フィールドはテーブル301と同様のフィールドからなる。個人IDが1001、2001、3001の会員の匿名IDが、それぞれA1001、A2001、A3001である。
データ303、データ304は分割格納個人データベース110の格納データである。データ303の各レコードは個人ID305をキーとする個人データであり、会員カード新規発行時に登録される。各レコードは個人ID、氏名、住所、年齢を表すフィールド305、310、311,312からなる。
データ304の各レコードは匿名ID306をキーとする個人データであり、購買実績記録手段205が登録する。各レコードは匿名IDを表すフィールド306と、購買履歴として購買日、購買品、金額を表すフィールド313、314、315からなる。フィールド313には、購買実績記録手段205がレコードを生成した日付が格納される。フィールド314にはバーコードが与えるJANコード、あるいはRFIDタグが与える個別の購買品コードを元に決定した購買品の分類が格納される。本発明の原理上、フィールド314はJANコードあるいは個別の購買品コードであっても良い。フィールド315には購買品の金額が格納される。また、データ304を構成するレコードにはデータ322のようなポイント管理用のものがある。データ322は、匿名会員A1001が2004/4/15にポイント1500円分を割引のために利用した事を表している。
データ316は、利用履歴データベース111の格納データである。データ316の各レコードは匿名ID、利用日、利用目的を表すフィールド306、317、318からなる。データ316のレコードはID応答手段108が生成、登録する。フィールド317は、ID応答手段108がデータ結合手段109からの個人データ利用の要求に応じた年月日である。フィールド318は、ID応答手段108がデータ結合手段109から通知された利用目的を記録したものである。
データ401は、ポイント管理手段206の出力データであり、典型的な利用例ではレシートに印刷される。各レコードは匿名ID、累計ポイント、利用ポイント、加算ポイントを表すフィールド306、404、405、406からなる。フィールド404は商品購買後の保有ポイントを表す。フィールド405は商品購買の割引に利用したポイントを表す。フィールド406は、商品購買により新たに加算されたポイントを表す。
データ402は、購買傾向分析手段207の出力データであり、典型的な利用例ではDMの宛名シールへの印刷データとなる。各レコードはDM発送処理に必要な個人データを表すフィールドと、分析結果を表すフィールドからなる。フィールド306、313、314はそれぞれ個人ID、氏名、住所を表し、フィールド407は肉類の商品案内に対する応答率予測値を表す。フィールド407のような分析結果を表すフィールドは2個以上であっても良い。データ402の利用例としては、肉類の商品案内のDMをある人数の会員に発送する場合に、購買行動の誘発を期待できる会員を優先的に選択する等である。
以上が第1の実施形態の構成、内部データ、入力データ及び出力データである。次にシーケンス図により処理手順を説明する。各シーケンス図において、終点が黒塗りの三角形は手続き呼び出しを表し、例えば処理701が該当する。手続き呼び出しでは処理が完了するまで呼び出し側(始点側)が次の処理を実行しないことを表す。終点が棒状の矢線は非同期型の通信を表し、例えば処理714が該当する。非同期型の通信では処理が並列に実行され、送信側(始点側)は通信処理完了を待つことなく次の処理を実行することを表す。
会員カード201と業務データ生成サーバ202に跨って発生する処理は、会員カード201と業務データサーバ202の相互認証が完了した後に起動し、また処理の間、会員カード201と業務データ生成サーバ202の通信経路は、物理的、暗号的な適切なセキュリティ機構により保護する。相互認証、通信経路保護の手段には公知の技術を用いる。
シーケンス500は、匿名IDをシステム200に登録する処理の流れを示している。匿名IDの登録処理は、会員カードを新規に発行した際と、ID応答手段108が匿名IDに関連づけられる個人IDを応答する際に実行される。会員カードがカードリーダに接続され、相互認証及び通信経路確立が完了すると、処理501において匿名ID登録手段106がランダムな正の整数値rを生成し、匿名ID発行手段105に対してrと共に匿名IDの発行を要求する。
次に処理502において匿名ID発行手段105が、フィールド306、307、308、309からなるレコードデータm個を生成する。フィールド307、308にはレコードデータ319の値が格納され、全てのレコードについて値が同じである。フィールド306の匿名IDの値は、MD5等のハッシュ関数h(i+r+m)により得られる、互いに異なるM個のハッシュ値である。ここでiはデータ321の個人ID、mは1以上のM以下の連続する整数(m=1,2,...,M-1)である。Mはカード発行時に与える1以上の整数をとる任意のパラメータであり、会員カード発行の際に会員が許諾した利用条件、及び購買実績データの利用形態によって予め決定しておく。本実施形態においてはポイント管理のためにM=1となるが、例えば課金の目的のみで購買実績データを利用する場合等は、M>=2であってもよい。
このようにハッシュ関数のキーが乱数値rを有する事、匿名ID発行手段105は耐タンパデバイスに格納されている事により、システム200を利用する小売店が個人IDを決定している場合であっても、個人IDからの匿名IDの推測を防ぐ事ができる。
処理502が終了すると、匿名ID発行手段105は処理501の手続き呼び出しの戻り値として、処理502で新たに生成したレコードデータと、過去に発行した匿名IDであるデータ320を匿名ID登録手段106に送信する。過去に発行した匿名IDが無くデータ320が空である場合には、欠損を示すコードをデータ320の代わりに送信する。
続いて、登録要求された匿名IDが107に登録済みの匿名IDと衝突するかを匿名ID登録手段106が判定し、衝突を検出した場合には処理501からやり直す。予め決めた回数以上に達した場合に、システムは例外を放出してシーケンス500を終了する。ただし計算方法に初期値敏感性の不可逆な一方向関数を含むMD5のようなハッシュ関数では、ハッシュ値が衝突する可能性は極めてまれであり、実装上は本実施形態の手続きで十分に機能する事が期待できる。衝突が検出されなければ処理503に進み、匿名ID登録手段106が匿名ID発行手段105に生成したIDを受け付けた事を通知する。
処理504において匿名ID発行手段105は、生成したレコードデータを匿名IDデータベース103に追加する。匿名IDデータベース103に格納済みのレコードデータは必要に応じて削除しても良い。
次に処理505に進み、匿名ID登録手段106が、処理501の戻り値として受信したレコードデータを管理用匿名IDデータベース107に追加する。
処理506で匿名ID登録手段106は、いったん待ち状態にはいる。次の会員カードが接続された場合には対して処理501実行する。待ち状態に入ってからT秒以上経過するか、もしくは会員カードから受信済みで未登録の新規の匿名IDがK・M個未満である場合には、処理507の実行に移る。ここでKは1以上の整数値をとる任意のパラメータであり、処理507で一度に複数個の会員カードの匿名IDを処理させたい場合に、望む会員カードの個数をKに指定する。Tはタイムアウトのパラメータであり、0より大きい実数値を秒単位で指定する。
処理507において匿名ID登録手段106は、処理503で受け取った過去の発行済み匿名IDを分割格納個人データベースから検索し、新たに生成した匿名IDで置き換える。M>=2である場合には、置換対象のレコードごとに新たな匿名IDをランダムに選択する。
以上がシーケンス500の処理である。
シーケンス600は、匿名IDを用いた購買実績記録の処理とそれに続くポイント更新の処理の流れを示している。購買実績記録手段205、ポイント管理手段206はレジスタから呼び出されるプログラムであり、典型的な例ではシーケンス600はレジスタでの会計で合計額が算出された後に起動する。以下では、会員カードがシステム200の外部にあるレジスタ606を通じてシステム200に接続しており、またレジスタ606には精算中の商品のIDが一時的に保持されているものとする。
処理601では、まず購買実績記録手段205が会員カード201に匿名IDを要求する。続いて会員カード201にある匿名ID送信手段101が、匿名IDデータベース103を参照してm個の匿名IDからランダムに1個を取り出し、レジスタ606に送信する。
処理602ではレジスタ606が一時的に保持している商品のIDと、処理601で受信した匿名IDを購買実績記録手段205に送信する。
処理603では購買実績記録手段205がデータ304の形式の新規レコードデータを成し、分割格納個人データベース107に格納する。
購買実績の記録が完了すると、レジスタ606は処理604により、ポイント管理手段206へ、処理601で受信した匿名IDを送信し、ポイント計算処理を起動する。
処理605ではポイント管理手段206が、受信した匿名IDをキーとして分割格納個人データベース110に格納されたデータ304を検索し、累計ポイントを算出する。ポイント計算の方法は様々であるが、例えば過去の利用ポイントの合計と、最近1年間の購買品の金額合計に基づいて利用可能な累計ポイントを算出する。処理605が終了すると、処理604の手続き呼び出しの結果としてレジスタ606が累計ポイントを得る。
処理607でレジスタ606は累計ポイント、会計中の商品データ、ポイント利用の有無のデータに基づいてをデータ401を生成し、レシートやレジスタの画面に出力する。
以上がシーケンス600の処理である。
シーケンス700は、個人IDで管理されるデータ303と、匿名IDで管理されるデータ304を結合して利用する場合の処理の流れを示しており、購買傾向分析手段207を用いてDM宛先リスト生成する際に起動される。シーケンス7700では、購買傾向分析手段207が分析用の個人データを要求すると、次に利用許諾が得られている会員を匿名IDで判定し、データ結合手段が会員カード接続待ち状態に入る。この状態で当該匿名IDを持つ会員カードが接続すると、個人IDを特定する処理が起動し、購買傾向分析手段207は分析用データを得る。シーケンス700の詳細は以下の通りである。
まず購買傾向分析手段207が処理701で分析データを要求する。具体的には、購買傾向分析手段207は業務データ生成サーバ内のアクセス制御手段209に対し、DM発送リスト作成に要するデータ名(テーブル名、フィールド名)を引数として与えて処理701を呼び出す。DM発送リスト作成ではデータ303、304のデータ名及びフィールド名を要求する。
続いて処理702に進み、アクセス制御手段209が分析データを要求したプログラムの種別から個人データの利用目的を判定する。要求プログラムは購買傾向分析手段207なので、利用目的=DM発送と決定する。またここで決定した利用目的を用いて、要求されたデータ名を利用しても良いかをアクセス制御手段209が判定し、利用を拒否する場合には処理701の戻り値として偽の値を購買傾向分析手段207に返す。許可する場合には処理703によりデータ結合要求を送信し、戻り値として真値を購買傾向分析手段207に返す。
処理703でデータ結合手段109は会員カードとの通信の待ち状態に入る。処理704、705、706は、データ結合手段109が待ち状態に入ってからX秒以内に接続した全ての会員カードに対して1回ずつ実行される。以下では説明の便宜上、1個の会員カードに対する処理の流れを説明する。
会員カードがシステム200に接続して通信経路が確立されると、処理704が起動し、データ結合手段109はまずID応答手段108から匿名IDを受け取り、管理用匿名IDデータベース107に格納されたデータ302を参照して利用許諾の判定を行う。DM発送がOKの場合には処理705に進み、NGの場合は何もしないでデータ結合手段109は再び待ち状態にはいる。
処理705では、データ結合手段109がID応答手段108に利用目的を送信し、個人IDを要求する。
処理706では、ID応答手段108が匿名IDデータベース106に格納されている利用許諾を用いて、受信した利用目的が許容されているものかを判定し、次にID応答手段108が匿名ID発行手段105に個人IDが要求されている事を伝達する。次に利用履歴データベース111に格納されたデータ316に新たなレコードを追加する。続いて匿名ID発行手段105は匿名ID登録手段106に匿名IDの更新を要求する。
処理707から711では、シーケンス500における処理501から505と同様の処理が実行され、分割格納個人データベース110に新たな匿名IDが登録される。
処理712では、データ結合手段109が処理705で要求されていた個人IDと、処理705の時点で使われていたM個の匿名IDを送信し、次にデータ結合手段109は分割個人データベース716を変更するための待機状態に入る。
処理713では、処理712で受け取った個人ID、匿名IDを用いてデータ結合手段109が分析用データを生成する。分割格納個人データベースのデータ303に格納された当該個人IDを有するレコードを抽出する。またデータ304に格納された当該匿名IDを有するレコードを抽出し、各レコードの匿名IDを対応する個人IDに置換する。
処理714では、データ結合手段109が、処理713で生成した分析用データを非同期で購買傾向分析手段207に送信する。
処理715、716ではシーケンス500の処理506、507と同様の処理を実行し、分割格納個人データベース109に格納されている匿名IDを更新する。
一方、購買傾向分析手段207は、処理714により分析用データを受信した予め指定しておいたデータ量を受信した時点で分析処理を起動し、処理718で分析結果としてデータ402を出力する。
このように、利用履歴データベース111に個人データの利用記録が残ることが本発明の特徴であり、本実施形態においては店舗内の端末や、PCに接続されたカードリーダに会員カードを読み取らせることで、参照することができる。
なお、図2における個人データ利用プログラム204は、典型的には業務データサーバ202とネットワークで結合された計算機に格納される。
ここで、図2は、機能ブロックを用いて説明しているが、これらの機能ブロックを用いた処理は、ハードウェア、ソフトウェア、またはそれらの組合せによって実現される。
つまり、図中における計算機、サーバ、カード等は、ハードウェアとしては、少なくとも、任意のCPUとメモリ、他のLSIのいずれかを有し、例えば、メモリにロードされた購買実績記録手段205、ポイント管理手段206、購買傾向分析手段207等のプログラムがCPUで実行されることで処理が実現される。また、個人データ利用プログラム204は、業務データ生成サーバ202と同一の計算機に格納されても良い。
次に図8にある本発明の第2の実施形態を説明する。図8のシステム800は、匿名ID発行処理、利用履歴記録処理を、会員カード外部のシステムで代理させる場合の構成である。会員カード201は個人IDデータベース104のみからなり、ID管理代理サーバ801は、匿名ID送信手段101、匿名IDデータベース103、匿名ID発行手段105、ID応答手段108からなり、ID応答手段108には有効ID判定手段802が組み込まれている。利用履歴管理サーバは利用履歴データベース111、利用履歴出力手段803からなり、利用履歴表示端末804が接続されている。業務データ生成サーバ202、個人データ利用プログラムはシステム200と同様である。
データ900は匿名IDデータベース105に格納されるデータであり、有効期限を表すフィールド904以外はデータ301と同様である。有効期限のフィールド値には、匿名ID発行手段105がデータ900を生成する際に、会員の指定値か会員カード発行時のデフォルト値が与えられる。データ901は、匿名管理IDデータベース107に格納されるデータであり、900と同様のフィールドからなる。これ以外のデータはシステム200と同様である。
システム800は、匿名ID発行処理、利用履歴記録処理を代理サーバに任せているため、会員カードがシステムに接続されていない場合であっても、ポイント計算やDM宛先リスト作成が可能である。ただし有効ID判定手段802が、匿名IDの有効期限や有効利用回数を判定する機能を備えており、来店しなくなった会員の個人データが勝手に使われ続ける事態を防止する事ができる。
以上の実施形態におけるシステム200、800は小売店における会員カード利用システムへの適用を前提にしているが、会員カードはICチップにメモリ、プロセッサを搭載したものであり、原理上はPDA、携帯電話等で代替する事が可能である。従って本発明は小売店向けの会員カード利用システムに限るものではない。また業務データ生成サーバ、202、個人データ利用プログラム204はネットワーク経由で接続されていても良く、従って本発明をネットワークを介した個人データ利用業務の委託に適用する事が可能である。例えばシステム200あるいは800における業務データ生成サーバ202を委託企業、個人データ利用プログラム204を受託企業に配置する事で、委託企業が受託企業の個人データ利用を監視し、コントロールする事が可能になる。
なお、図8における個人データ利用プログラム204は、典型的には業務データサーバ202とネットワークで結合された計算機に格納される。
ここで、図8は、機能ブロックを用いて説明しているが、これらの機能ブロックを用いた処理は、ハードウェア、ソフトウェア、またはそれらの組合せによって実現される。
つまり、図中における計算機、サーバ、カード等は、ハードウェアとしては、少なくとも、任意のCPUとメモリ、他のLSIのいずれかを有し、例えば、メモリにロードされた購買実績記録手段205、ポイント管理手段206、購買傾向分析手段207等のプログラムがCPUで実行されることで処理が実現される。また、個人データ利用プログラム204は、業務データ生成サーバ202と同一の計算機に格納されても良い。
次に図11にある本発明の第3の実施形態を説明する。システム1100は、会員カード1101、管理用カード1102、業務データ生成サーバ1106、アクセス制御サーバ208、個人データ利用プログラム204を備える。小売店において、消費者が会員カード1101を所持し、個人データ管理者が管理用カード1102を所持する場合の構成例である。消費者は商品購買時に会員カード1101を用いてポイントを蓄積もしくは使用する。消費者のポイントの蓄積・使用の際は、個人データ利用プログラム204にある購買実績記録手段、ポイント管理手段は、匿名IDで管理されるデータのみを処理する。
なお、図11における個人データ利用プログラム204は、典型的には業務データサーバ1106とネットワークで結合された計算機に格納される。
ここで、図11は、機能ブロックを用いて説明しているが、これらの機能ブロックを用いた処理は、ハードウェア、ソフトウェア、またはそれらの組合せによって実現される。
つまり、図中における計算機、サーバ、カード等は、ハードウェアとしては、少なくとも、任意のCPUとメモリ、他のLSIのいずれかを有し、例えば、メモリにロードされた購買実績記録手段205、ポイント管理手段206、購買傾向分析手段207等のプログラムがCPUで実行されることで処理が実現される。また、個人データ利用プログラム204は、業務データ生成サーバ1106と同一の計算機に格納されても良い。
購買傾向分析手段207は、匿名IDで管理されるデータと、個人IDで管理される氏名、住所等のデータと用いるが、管理用カード1102の適切な応答があったときのみこれらのデータを関連づけて利用することができる。
会員カード1101は、複製匿名IDデータベース1003、匿名ID通信手段1002からなる。管理用カード103はIDデータ応答手段1005からなり、個人IDデータベース104、匿名IDデータベース103はシステム200と同様のものである。業務データ生成サーバ1106は、耐タンパデバイスに格納された匿名ID同期手段1001、匿名ID更新履歴データベース1004、匿名ID登録手段106、管理用匿名IDデータベース107、データ結合手段109、分割格納個人データベース110からなる。
匿名ID更新履歴データベース1004は、管理用カードの保有者のみアクセスできるような形態であればよく、管理用カードに保存された暗号鍵で暗号化して、耐タンパデバイスの外に設置することも可能である。
匿名ID登録手段106、管理用匿名IDデータベース107、データ結合手段109、分割格納個人データベース110、アクセス制御サーバ208、個人データ利用プログラム204の構成はシステム200と同様のものである。
図12は、システム1100で用いるデータ構造を示している。テーブル1200は、匿名ID更新履歴データベース1004に格納される。各行のレコードデータが1回の更新履歴を表しており、フィールド1201は更新前の匿名ID、フィールド1202は更新後の匿名IDである。図の例では、A1001は個人ID「1001」に対して初めて発行された匿名IDであり、A1002はその次に発行された匿名IDであることを表している。レコードの並び順は、更新が発生した順である。
本実施形態では、テーブル1200があれば全体の処理は可能であるが、テーブル1200のレコード件数が極めて多いと、匿名ID同期手段1001の処理効率が実用上問題になることがある。これを回避するための実現手段の一つは、同期ID同期手段1001に予めテーブル1200をデータベースから読み込ませ、1203に示すデータ構造でメモリ上に展開しておくことである。テーブルに含まれているデータは、高速アクセス領域1204、シーケンシャルアクセス領域1205に分割して保持される。典型的な例では、高速アクセス領域1204には2分ツリー、ハッシュテーブルなどの検索時間コストに優れたデータ構造を与え、シーケンシャルアクセス領域1205には線形リスト、配列などのメモリコストに優れたデータ構造を与えておく。
図13に示すシーケンス1300は、分割格納個人データベース110にある個人IDで管理されるデータ303と、匿名IDで管理されるデータ304を結合し、この結合データを購買傾向分析手段207にて利用する場合の処理の流れを示している。
まず購買傾向分析手段207が処理701で分析データを要求して、シーケンス1300が開始する。処理701、702、703、704についてはシーケンス700と同様である。
処理704に続いて、データ結合手段109が処理1301で管理用カード1102に対してID対応データを要求する。要求を受け取った管理用カード1102は処理1302で匿名ID登録手段106に対して匿名ID更新を要求する。匿名ID登録手段106は処理1303で乱数を生成し、処理1304で管理用カードに乱数を送信する。管理用カード1102は処理1305で処理708と同様の処理を実行し、乱数と個人IDをキーとして匿名IDを発行する。続いて管理用カード1102は、処理1306で匿名ID登録手段106に発行した匿名IDを送信し、匿名ID管理手段106は既存の匿名IDと重複が無ければ受信した匿名IDを、匿名ID更新履歴データベース1004に登録する。管理用カード1102は、処理1308で更新完了の通知を匿名ID登録手段106から受け取ると、処理1309で発行した匿名IDを匿名IDデータベース103に格納する。
以上で匿名IDの更新処理が終了し、管理用カード1102は処理1310で、更新前の匿名IDと個人IDのID対応データをデータ結合手段109に返す。ID対応データは配列か、もしくは一塊のビット列にパディングされた1個のデータなど、管理用カードが扱えるデータ形式で匿名IDと更新前の匿名IDを格納したものである。続いてデータ結合手段109は、シーケンス700と同様の処理713を実行し、分析用のデータを抽出する。
次に、データ結合手段109は処理1311で匿名ID登録手段に分割格納個人データベースの更新を要求し、匿名ID登録手段106は、シーケンス700と同様の処理716を実行し、システムは処理1312に移行する。
ただし管理用カード1102の処理能力と、分割格納個人データベース110の処理能力のバランスによっては、更新要求に対して何もせずにいったん716処理を先送りにしおき、いくつかの更新要求をまとめて遅延実行した方が時間効率に優れる場合がある。本発明の原理上、このような処理に対応させることは原理上容易である。この場合は処理713において、匿名ID匿名更新データベース1004中の更新履歴を参照して、ある個人IDに対応する過去の匿名IDそれぞれに関してID対応データを作成し、結合処理を行う。また処理716では、システム利用者が予め決めておいた個数の受信要求を受けるまでは何もせずに次の処理1312に移る。この個数に達した場合は匿名ID更新履歴データベースを参照して、未だ分割格納個人データベース110で更新される必要がある匿名IDをチェックし、ID更新処理を実行した後に、処理1312に移る。
処理1312では、データ結合手段109が、処理713で抽出したデータをアクセス制御サーバ208に送信する。続いてアクセス制御サーバ208は、購買傾向分析手段207に受信した結合データを、処理701で要求されていた分析データとして送信する。続いて購買傾向分析手段207は、シーケンス700と同様の処理717、718を実行し、分析結果を出力する。
続いて、会員カードを用いる場合のシーケンスを図14に示す。シーケンス1400は、シーケンス600と同様の匿名IDを用いた購買実績の記録を行う場合に、会員カード1101がレジスタ606に応答する匿名IDを得るための処理を示している。処理1401でレジスタは匿名ID同期手段1001に匿名IDを要求し、続いて匿名ID同期手段1001が、処理1402、処理1403で会員カード1101に格納されている匿名IDを得る。処理1404では、匿名ID同期手段1001が匿名ID更新履歴データベース1004中のテーブル1200をオンメモリに展開したデータ1203を確認する。テーブル1200を直接確認する場合は、処理1403で得た匿名IDをキーにレコード検索してチェックする。データ1203を用いる場合は、まず高速アクセス領域を用いて古い匿名IDに該当するかを確認し、続いてシーケンシャルアクセス領域を確認することで処理を実現する。
更新履歴IDデータベース1004に新しい匿名IDが存在するならば、処理1405、1406で会員カード1101中に新しい匿名IDを複製I匿名IDデータベース1003に上書き格納する。続いて匿名ID同期手段1001は、処理1408で匿名ID更新履歴データから不要な履歴データを削除し、処理1049でレジスタに最新の匿名IDを返す。
以上が、本発明の第3の実施形態である。このように匿名ID同期手段1001を用いることによって、データの結合権限を有する管理用カードと、匿名IDの複製権を有する会員カードを併用しつつ、実施形態1、2に述べたたようなデータ結合の制御が容易になる。
なお、本発明の第3の実施形態では、システム1100で全てのID対応データを暗号化して業務データサーバ1106に持たせる構成を取ることにより、同様の効果を得ることも容易である。この場合、管理用カード1102は共通鍵を持ち、個人IDデータベース104、匿名IDデータベース103は不要である。管理用カード内のID対応データ応答手段1005は、ID対応データの代わりに共通鍵を応答するようにし、匿名ID発行手段105を業務データ生成サーバ1106に持たせる。このような構成をとる場合、処理1302で暗号鍵を渡し、処理1303で匿名ID登録手段106がID対応データを復号した後に、一連の処理を行う。処理1307では匿名ID登録手段106が更新済みの匿名IDを新たなID対応データとして構成、共通鍵で暗号化した後に保存する。処理1310では更新前のID対応データを応答する。
電子化された個人情報、医療情報、公文書等の秘匿性の高いデータを扱うデータベースシステムに適用できる。
本発明の基本構成である。 本発明の第1の実施の形態である。 第1の実施の形態の入力データ、内部データである。 第1の実施の形態の出力データである。 会員カードが匿名IDをシステムに登録する処理である。 匿名IDを用いたポイント計算の処理である。 購買傾向分析手段が使用する結合データの生成処理である。 本発明の第2の実施の形態である。 第2の実施の形態が用いる内部データである。 本発明の基本構成の代替案である。 本発明の第3の実施の形態である。 本発明の第3の実施の形態の内部データである。 管理用カード用いて、匿名ID対応データの更新をおよび分割格納個人データベースからのデータ抽出を表すシーケンスである。 会員カードを匿名IDの複製をサーバから取得する際のシーケンスである。
符号の説明
101・・・匿名ID送信手段、102・・・匿名ID、103・・・匿名IDデータベース、104・・・個人IDデータベース、105・・・匿名ID発行手段、106・・・匿名ID登録手段、107・・・管理用匿名IDデータベース、108・・・ID応答手段、109・・・データ結合手段、110・・・分割格納個人データベース、111・・・利用履歴データベース、112・・・結合済みデータ。

Claims (22)

  1. 個人データを格納するためのデータベースを有し、前記個人データは特定の個人を識別する事ができる電子データと、前記個人データと照合することにより特定の個人を識別する事が可能な電子データとを有する個人データ管理サーバに対してクライアント装置が接続処理を開始した場合に、クライアント装置内の記憶領域に格納された特定の個人を識別するための個人IDを参照する処理を実行し、
    個人IDキーとするハッシュ関数により、匿名IDを少なくとも1個以上生成する処理を実行し、前記の匿名IDと1個以上の個人データ利用許可条件からなる匿名管理用データを、前記個人データ管理サーバに送信する処理を実行し、
    前記個人データ管理サーバから前記匿名管理用データの登録結果を受信する処理を実行し、登録に失敗した場合には前記の匿名ID生成処理と匿名管理用データ送信処理を再度実行し、登録に成功した場合には、前記匿名管理用データをクライアント内の記憶領域に格納する処理を実行することを特徴とする名寄せ制御方法。
  2. 請求項1に記載の名寄せ制御方法において、上記の個人データ利用許可条件は、匿名IDを送信したクライアント装置に対して個人データ管理サーバから個人ID取得要求を受けた場合に、前記記憶領域に格納された個人IDを与えるか否かを制御する条件であることを特徴とする名寄せ制御方法。
  3. 請求項2に記載の名寄せ制御方法において、クライアント装置が個人IDを個人データ管理サーバに送信する前に、前記匿名ID生成処理により新規の匿名IDを生成する処理を実行し、前記新規の匿名IDを個人データ管理サーバに送信する処理を実行し、前記個人データ管理サーバによる新規匿名IDの登録結果を確認する処理を実行することを特徴とする名寄せ制御方法。
  4. 請求項1に記載の名寄せ制御方法において、前記個人データ管理サーバから受信したクライアント識別要求に対して、前記クライアント装置は、前記記憶領域に格納されている匿名IDを送信することを特徴とする名寄せ制御方法。
  5. 個人データを格納するためのデータベースを有し、前記個人データは特定の個人を識別する事ができる電子データと、前記個人データと照合することにより特定の個人を識別する事が可能な電子データとからなる個人データ管理サーバを用いた名寄せ制御方法において、特定の個人を識別するための個人IDをキーとするハッシュ関数により生成された匿名IDと、1個以上の個人データ利用許可条件からなる匿名管理用データをクライアント装置から1個以上受信する処理を実行し、前記の受信した匿名IDが、サーバが格納している匿名IDと衝突するか否かを判定し、判定結果をクライアント装置に送信する処理を実行し、衝突が無かった場合にはデータベースに管理用匿名データを格納する処理を実行し、前記の受信した匿名IDと同じ個人IDから生成されたデータベース中の匿名IDを、前記の受信した匿名IDで置換する処理を実行することを特徴とする名寄せ制御方法。
  6. 請求項5に記載の名寄せ制御方法において、上記の個人データ利用許可条件は、上記の格納された匿名IDを送信したクライアント装置に対して個人データ管理サーバが個人ID取得要求をしたときに、上記の格納された個人IDを受信できるか否かを制御できる条件であることを特徴とする名寄せ制御方法。
  7. 請求項5に記載の名寄せ制御方法において、上記のデータベースに管理用匿名データを格納する処理は、2個以上の管理用匿名データを受信した後に実行することを特徴とする名寄せ制御方法。
  8. 請求項5、6、7のいずれかに記載の名寄せ制御方法において、クライアント装置から匿名IDを受信し、次に個人データと照合することにより特定の個人を識別することが可能な電子データを匿名IDをキーとして蓄積することを特徴とする名寄せ制御方法。
  9. 請求項5、6、7、8のいずれかに記載の名寄せ制御方法において、各処理実行手段が耐タンパデバイスに格納されている事を特徴とする名寄せ制御方法。
  10. 請求項1又は5に記載の名寄せ制御方法において、上記の個人データ利用許可条件には、生成した匿名IDの有効期間が含まれることを特徴とする名寄せ制御方法。
  11. クライアント装置において、特定の個人を識別するための個人IDを有する記憶部と、前記記憶部に格納された個人IDを入力値とするハッシュ関数により、匿名IDを1個以上生成して、前記記憶部に格納する演算処理部と、を有し、前記匿名IDと個人データ管理サーバが保有する個人データに関する少なくとも1つの個人データ利用許可条件とを有する匿名管理用データを、前記記憶部に有し、 前記個人データ管理サーバからの個人IDの送信要求がされた場合に、前記個人IDを前記個人データ管理サーバに送信する前に、新規匿名IDを前記演算処理部により生成して、前記個人データ管理サーバへ送信し、当該新規匿名IDを前記記憶部に記憶させることを特徴とするクライアント装置。
  12. 個人データを格納するためのデータベースを有し、前記個人データは特定の個人を識別する事ができる電子データと、前記個人データと照合することにより特定の個人を識別する事が可能な電子データとを有する個人データ管理サーバに対してクライアント装置が接続処理を開始した場合に、クライアント装置内の記憶領域に格納された特定の個人を識別するための個人IDをおよび匿名IDを参照する処理を実行し、
    前記個人IDと匿名IDの対応関係を表すID対応データを生成し、
    個人IDをキーとするハッシュ関数により、新たな匿名IDを少なくとも1個以上生成する処理を実行し、前記の匿名IDを前記個人データ管理サーバに送信する処理を実行し、
    前記個人データ管理サーバから前記匿名IDの登録結果を受信する処理を実行し、登録に失敗した場合には前記の匿名ID生成処理と匿名管理用データ送信処理を再度実行し、登録に成功した場合には、前記匿名IDをクライアント内の記憶領域に格納し、
    前記ID対応データを前記個人データ管理サーバに送信する処理を実行することを特徴とする名寄せ制御方法。
  13. 個人データを格納するためのデータベースを有し、前記個人データは特定の個人を識別する事ができる電子データと、前記個人データと照合することにより特定の個人を識別する事が可能な電子データとを有する個人データ管理サーバがクライアント装置との接続処理を開始した場合に、クライアント装置内にある特定の個人を識別するための個人IDをキーとしてハッシュ関数により生成された匿名IDをクライアント装置から1個以上受信する処理を実行し、
    前記の受信した新たな匿名IDが、サーバが格納している匿名IDと衝突するか否かを判定し、判定結果を前記クライアント装置に送信する処理を実行し、
    衝突が無かった場合にはデータベースに前記の受信した新たな匿名IDを匿名ID更新履歴データベースに格納する処理を実行し、
    個人IDと更新前の匿名IDのID対応データを前記クライアント装置から受信することを特徴とする名寄せ制御方法。
  14. 個人データを格納するためのデータベースを有し、前記個人データは特定の個人を識別する事ができる電子データと、前記個人データと照合することにより特定の個人を識別する事が可能な電子データとを有する個人データ管理サーバがクライアント装置との接続処理を開始した場合に、クライアント装置内にある特定の個人を識別するための個人IDをキーとしてハッシュ関数により生成された新たな匿名IDをクライアント装置から1個以上受信する処理を実行し、
    前記の受信した新たな匿名IDが、サーバが格納している匿名IDと衝突するか否かを判定し、判定結果を前記クライアント装置に送信する処理を実行し、
    衝突が無かった場合にはデータベースに前記の受信した匿名IDを匿名ID更新履歴データベースに格納する処理を実行し、
    個人IDと更新前の匿名IDのID対応データを前記クライアント装置から受信し、
    前記個人データを格納するためのデータベース中に存在する前記の更新前の匿名IDを、前記の新たな匿名IDで置換する処理を実行することを特徴とする名寄せ制御方法。
  15. 請求項13、14に記載の名寄せ制御方法において、匿名ID更新履歴データベースに格納されるデータは、更新前の旧匿名IDと更新後の新匿名IDの組からなるレコードデータを有することを特徴とする、名寄せ制御方法。
  16. 個人データを格納するためのデータベースを有し、前記個人データは特定の個人を識別する事ができる電子データと、前記個人データと照合することにより特定の個人を識別する事が可能な電子データと、匿名ID更新履歴データベースを有する個人データ管理サーバがクライアント装置との接続処理を開始した場合に、
    クライアント装置から匿名IDを受信し、
    匿名ID更新履歴データベースに格納された、前記受信した匿名IDの更新系列を参照して、最新匿名IDを取り出し、
    前記受信した匿名IDが最新匿名IDよりも古い場合には、前記クライアント装置に匿名IDを送信し、
    前記匿名ID更新履歴データベースに格納された前記更新系列から、最新匿名IDよりも古く、なおかつ前記の個人データを格納するためのデータベースに存在しない匿名IDに関連する履歴データを削除することを特徴とする名寄せ制御装置。
  17. 個人データを格納するためのデータベースを有し、前記個人データは特定の個人を識別する事ができる電子データ1と、前記個人データと照合することにより特定の個人を識別する事が可能な電子データ2とを有する個人データ管理サーバが、電子データ1と電子データ2の結合処理を開始した場合に、
    請求項13に記載の処理によりID対応データを取得し、
    前記ID対応データを用いて電子データ1に対応する電子データ2のデータを結合することを特徴とする名寄せ制御方法。
  18. 個人データを格納するためのデータベースを有し、前記個人データは特定の個人を識別する事ができる電子データ1と、前記個人データと照合することにより特定の個人を識別する事が可能な電子データ2とを有する個人データ管理サーバが、電子データ1と電子データ2の結合処理を開始した場合に、
    請求項14に記載の処理によりID対応データを取得し、
    前記ID対応データを用いて電子データ1に対応する電子データ2のデータを結合することを特徴とする名寄せ制御方法。
  19. 請求項14に記載のデータベース中の匿名ID更新処理は、更新中に参照できないようデータをロックし、ロックしている間に2個以上の匿名IDを置換する事を特徴とする名寄せ制御方法。
  20. 個人データを格納するためのデータベースを有し、前記個人データは特定の個人を識別する事ができる電子データと、前記個人データと照合することにより特定の個人を識別する事が可能な電子データと、これらの電子データの対応データを暗号化して有する個人データ管理サーバがクライアント装置との接続処理を開始した場合に、クライアント装置内にある暗号鍵を受信し、サーバに格納された個人IDと更新前の匿名IDのID対応データを、前記受信した暗号鍵で復号することを特徴とする、名寄せ制御方法。
  21. データ管理システムであって、
    名寄せデータを取得する端末装置と、
    実名IDと実名との組み合わせを格納した第1の装置と、
    前記実名に関連するデータと該データに対応する匿名IDとを格納した第2の装置と、
    前記実名IDと匿名IDとの対応テーブルを格納した第3の装置と、
    前記実名IDに対応する匿名IDの更新履歴データを格納し、前記端末装置、前記第1の装置、前記第2の装置、及び前記第3の装置にネットワークを介して接続される制御装置とを有し、
    前記制御装置は、前記第2の装置にアクセスして前記匿名IDを更新した場合、前記第3の装置にアクセスして前記更新した匿名IDに対応する前記対応テーブルの値を更新し、該更新履歴情報を自機器の記憶装置に格納することを特徴とするデータ管理システム。
  22. 請求項21記載のデータ管理システムであって、
    前記制御装置は、第1の匿名IDを格納したICカードからアクセスがあった場合、
    前記更新履歴データを参照して、前記第1の匿名IDが更新されているか否かを判断し、
    前記第1の匿名IDが前記第2の匿名IDに更新されていた場合、前記ICカード上に格納された前記第1の匿名IDを前記第2の匿名IDに更新するとともに、対応する更新履歴情報を削除することを特徴とするデータ管理システム。
JP2004331334A 2004-03-19 2004-11-16 名寄せ制御方法 Expired - Fee Related JP4396490B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004331334A JP4396490B2 (ja) 2004-03-19 2004-11-16 名寄せ制御方法

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2004079453 2004-03-19
JP2004331334A JP4396490B2 (ja) 2004-03-19 2004-11-16 名寄せ制御方法

Publications (2)

Publication Number Publication Date
JP2005301978A true JP2005301978A (ja) 2005-10-27
JP4396490B2 JP4396490B2 (ja) 2010-01-13

Family

ID=35333369

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004331334A Expired - Fee Related JP4396490B2 (ja) 2004-03-19 2004-11-16 名寄せ制御方法

Country Status (1)

Country Link
JP (1) JP4396490B2 (ja)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008069011A1 (ja) * 2006-12-04 2008-06-12 Nec Corporation 情報管理システム、匿名化方法、及び記憶媒体
WO2008102754A1 (ja) 2007-02-21 2008-08-28 Nec Corporation 情報関連付けシステム、ユーザー情報を関連付ける方法およびプログラム
JP2011043946A (ja) * 2009-08-20 2011-03-03 Seikatsu Kyodo Kumiai Coop Sapporo 販売履歴管理システム、販売履歴管理サーバ、及び販売履歴管理プログラム
JP2012500519A (ja) * 2008-08-12 2012-01-05 ティヴォ インク データ匿名性システム
JP2013008175A (ja) * 2011-06-24 2013-01-10 Fujitsu Ltd 変換処理方法、装置及びプログラム、復元処理方法、装置及びプログラム
US9130949B2 (en) 2012-06-27 2015-09-08 Fujitsu Limited Anonymizing apparatus and anonymizing method
JP2016118931A (ja) * 2014-12-19 2016-06-30 ヤフー株式会社 名寄せ装置、名寄せ方法及び名寄せプログラム
US9497170B2 (en) 2013-03-27 2016-11-15 International Business Machines Corporation Computer assisted name-based aggregation system for identifying names of anonymized data
JPWO2016117354A1 (ja) * 2015-01-19 2017-10-26 ソニー株式会社 情報処理装置および方法、並びにプログラム
JP2018106759A (ja) * 2018-04-02 2018-07-05 ヤフー株式会社 名寄せ装置、名寄せ方法及び名寄せプログラム
JP2018128884A (ja) * 2017-02-09 2018-08-16 富士通株式会社 パーソナルデータ提供システム、パーソナルデータ提供方法及び情報処理装置
JP2020004111A (ja) * 2018-06-28 2020-01-09 株式会社ライト レジスター装置
WO2022185542A1 (ja) * 2021-03-05 2022-09-09 日本電気株式会社 サーバ装置、端末、システム、サーバの制御方法及び記憶媒体

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008069011A1 (ja) * 2006-12-04 2008-06-12 Nec Corporation 情報管理システム、匿名化方法、及び記憶媒体
JPWO2008069011A1 (ja) * 2006-12-04 2010-03-18 日本電気株式会社 情報管理システム、匿名化方法、及び記憶媒体
JP5083218B2 (ja) * 2006-12-04 2012-11-28 日本電気株式会社 情報管理システム、匿名化方法、及び記憶媒体
WO2008102754A1 (ja) 2007-02-21 2008-08-28 Nec Corporation 情報関連付けシステム、ユーザー情報を関連付ける方法およびプログラム
JP2012500519A (ja) * 2008-08-12 2012-01-05 ティヴォ インク データ匿名性システム
JP2014131322A (ja) * 2008-08-12 2014-07-10 Tivo Inc データ匿名性システム
JP2011043946A (ja) * 2009-08-20 2011-03-03 Seikatsu Kyodo Kumiai Coop Sapporo 販売履歴管理システム、販売履歴管理サーバ、及び販売履歴管理プログラム
JP2013008175A (ja) * 2011-06-24 2013-01-10 Fujitsu Ltd 変換処理方法、装置及びプログラム、復元処理方法、装置及びプログラム
US9130949B2 (en) 2012-06-27 2015-09-08 Fujitsu Limited Anonymizing apparatus and anonymizing method
US9497170B2 (en) 2013-03-27 2016-11-15 International Business Machines Corporation Computer assisted name-based aggregation system for identifying names of anonymized data
JP2016118931A (ja) * 2014-12-19 2016-06-30 ヤフー株式会社 名寄せ装置、名寄せ方法及び名寄せプログラム
JPWO2016117354A1 (ja) * 2015-01-19 2017-10-26 ソニー株式会社 情報処理装置および方法、並びにプログラム
JP2018128884A (ja) * 2017-02-09 2018-08-16 富士通株式会社 パーソナルデータ提供システム、パーソナルデータ提供方法及び情報処理装置
JP2018106759A (ja) * 2018-04-02 2018-07-05 ヤフー株式会社 名寄せ装置、名寄せ方法及び名寄せプログラム
JP2020004111A (ja) * 2018-06-28 2020-01-09 株式会社ライト レジスター装置
JP7121979B2 (ja) 2018-06-28 2022-08-19 株式会社ライト レジスター装置
WO2022185542A1 (ja) * 2021-03-05 2022-09-09 日本電気株式会社 サーバ装置、端末、システム、サーバの制御方法及び記憶媒体

Also Published As

Publication number Publication date
JP4396490B2 (ja) 2010-01-13

Similar Documents

Publication Publication Date Title
US7814119B2 (en) Control of data linkability
JP6989929B2 (ja) 暗号化装置のフィンガープリントを作成するシステム及び方法
JP2014515142A (ja) 端末によってエンティティを認証するための方法及びシステム
WO2012040820A1 (en) System and method for tracking transaction records in a network
JP4396490B2 (ja) 名寄せ制御方法
US20020034305A1 (en) Method and system for issuing service and method and system for providing service
Matsuyama et al. Distributed digital-ticket management for rights trading system
JP2016536717A (ja) カスタマープロファイル確立方法
US8635459B2 (en) Recording transactional information relating to an object
US20090076923A1 (en) Secure Customer Relationship Marketing System and Method
JP7085687B2 (ja) 個人情報管理システム、個人情報管理装置、および個人情報管理方法
WO2012020291A2 (en) System for checking the authenticity of articles
JP5126299B2 (ja) 購入管理サーバ装置、そのプログラム、購入管理システム、購入管理方法
Singhal et al. Anti-counterfeit product system using blockchain technology
JP5193935B2 (ja) 領収書管理システムおよび方法
JP2013242840A (ja) ポイント管理システムおよびポイント管理サーバ
JP2007265090A (ja) 情報処理装置及び情報処理システム
JP6846501B2 (ja) 購買情報管理システム、購買情報管理サーバおよび購買情報管理方法
JP2013137789A (ja) 検索仲介システム
JP4730364B2 (ja) 購入管理サーバ装置、そのプログラム、購入管理システム、購入管理方法
JP2006209676A (ja) セキュリティシステム及びセキュリティ方法
JP4236432B2 (ja) 販売促進支援システムおよび販売促進支援方法
JP6635787B2 (ja) 購買情報管理システム、購買情報管理サーバおよび購買情報管理方法
JP2017107306A (ja) 個人情報保護・利用サーバ
JP5565553B2 (ja) オンラインショッピングサイト管理装置

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20060425

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070312

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090611

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090630

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090828

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090929

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091012

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121030

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121030

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131030

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees