JP2005339205A - 個人情報管理システム - Google Patents
個人情報管理システム Download PDFInfo
- Publication number
- JP2005339205A JP2005339205A JP2004157223A JP2004157223A JP2005339205A JP 2005339205 A JP2005339205 A JP 2005339205A JP 2004157223 A JP2004157223 A JP 2004157223A JP 2004157223 A JP2004157223 A JP 2004157223A JP 2005339205 A JP2005339205 A JP 2005339205A
- Authority
- JP
- Japan
- Prior art keywords
- personal information
- personal
- information
- browsing
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
【課題】
業務上ある条件下で、特定個人の許可に基づき個人の個人情報のほかに、その個人の関係者の個人情報を閲覧可能とする。
【解決手段】
サーバーによって個人情報を管理する個人情報管理システムにおいて、個人に関する情報を格納する個人情報DBと、個人との関係者を管理する個人関係DBと、システムの利用者に対して閲覧を許可する個人関係を管理する個人情報閲覧資格DBとを備える。サーバーは、個人情報閲覧資格DBを参照して業務の遂行に閲覧可能な個人情報を取得して、端末に出力して特定個人の承認を得る処理と、個人情報を閲覧する際に個人関係DBを参照して閲覧可能な個人関係にある個人の関係者についての個人情報を、該個人情報DBから取得して、閲覧対象として端末に出力する処理を行う。
【選択図】 図2
業務上ある条件下で、特定個人の許可に基づき個人の個人情報のほかに、その個人の関係者の個人情報を閲覧可能とする。
【解決手段】
サーバーによって個人情報を管理する個人情報管理システムにおいて、個人に関する情報を格納する個人情報DBと、個人との関係者を管理する個人関係DBと、システムの利用者に対して閲覧を許可する個人関係を管理する個人情報閲覧資格DBとを備える。サーバーは、個人情報閲覧資格DBを参照して業務の遂行に閲覧可能な個人情報を取得して、端末に出力して特定個人の承認を得る処理と、個人情報を閲覧する際に個人関係DBを参照して閲覧可能な個人関係にある個人の関係者についての個人情報を、該個人情報DBから取得して、閲覧対象として端末に出力する処理を行う。
【選択図】 図2
Description
本発明は、個人情報管理システムに係り、更に詳しくは、集積された個人情報の閲覧に関して、業務担当者が業務遂行に必要な個人情報を閲覧できるが、業務遂行に不必要な個人情報の閲覧をできないようにして、個人情報を管理するシステム或いは方法に関するものであり、例えば地方自治体の役所等における住民情報の管理に適した技術に関するものである。
通常、個人情報の管理システムでは、個人情報のセキュリティのためにシステムの利用者に対してIDとパスワードの入力を求めている。
たとえば、非特許文献1に開示されているように、地方自治体では住民の個人情報を住民基本台帳ネットワークシステムで管理しているが、住民基本台帳ネットワークシステムでは取り扱う個人情報を、氏名、生年月日、性別、住所、住民票コード、付随情報に限定し、さらにシステム利用者は操作者用ICカードとパスワードによる認証を行って個人情報の保護を実現している。個人情報以外の情報は、部署毎に設置された業務システム等で管理されているが、業務システムについても部署の職員のみが閲覧できるようにIDとパスワードによる認証を行っている。
たとえば、非特許文献1に開示されているように、地方自治体では住民の個人情報を住民基本台帳ネットワークシステムで管理しているが、住民基本台帳ネットワークシステムでは取り扱う個人情報を、氏名、生年月日、性別、住所、住民票コード、付随情報に限定し、さらにシステム利用者は操作者用ICカードとパスワードによる認証を行って個人情報の保護を実現している。個人情報以外の情報は、部署毎に設置された業務システム等で管理されているが、業務システムについても部署の職員のみが閲覧できるようにIDとパスワードによる認証を行っている。
しかし、システムで管理されている個人情報の中には、システムの利用者に閲覧されることがプライバシー上問題となる項目がある場合が想定される。元来、システムの利用者といえども、個人の許可無しにその個人情報を閲覧可能とすることはセキュリティ上望ましいとは言えない。このような問題を解決するために、システム利用者の閲覧できる個人情報を制御する手法が提案されている。
たとえば、特許文献1(特開2003−223352公報)に開示される個人情報管理システムでは、個人に情報閲覧を許容された業者が当該個人との間で個人DBのレコード識別子及び業者DBのレコード識別子を関連付ける連携手段と、個人情報を閲覧する業者の所属する業種分野に応じて表示する個人情報の項目をフィルタする手段とを備えることにより、業者の閲覧できる個人情報の範囲を業者の業種毎に制限し、かつ個人が許可を得た業者だけに個人情報を表示するようにしている。
「住民基本台帳ネットワークシステムの概要」住民基本台帳ネットワークシステム推進協議会、住民基本台帳ネットワークシステム全国センター編P31
しかしながら、上述のような個人情報管理システムにおいて個人情報を扱う際に、以下のような問題がある。
すなわち、システム利用者の業務によっては、特定個人の個人情報のほか、その個人の関係者に関する個人情報の参照が必要となる場合がある。このような場合、関係者全員に対して個人情報の登録と閲覧許可を得るか、又は個人の個人情報と併せてその関係者の個人情報も管理せざるを得ない。
すなわち、システム利用者の業務によっては、特定個人の個人情報のほか、その個人の関係者に関する個人情報の参照が必要となる場合がある。このような場合、関係者全員に対して個人情報の登録と閲覧許可を得るか、又は個人の個人情報と併せてその関係者の個人情報も管理せざるを得ない。
ところが、個人の関係者に対して個人情報の登録と閲覧許可を得ることは、実用上問題がある。たとえば役所で世帯全員の個人情報が記載された住民票の写しを取得するのに、世帯全員の閲覧許可を取ることは使い勝手が悪く、不便である。
また、ある個人の個人情報として関係者の個人情報も含めて管理することは、関係者の個人情報が重複して管理されることになるため、非効率であるばかりでなく、個人情報の更新が複雑になるという問題がある。
本発明の目的は、業務上ある条件下で、特定個人の許可に基づき個人の個人情報のほかに、その個人の関係者の個人情報を閲覧可能とする個人情報管理方法およびシステムを提供することにある。
本発明は、サーバーによって個人情報を管理する個人情報管理システムにおいて、個人に関する情報を格納する個人情報DBと、個人との関係者を管理する個人関係DBと、システムの利用者に対して閲覧を許可する個人関係を管理する個人情報閲覧資格DBとを備え、サーバーは、個人情報閲覧資格DBを参照して業務の遂行に閲覧可能な個人情報を取得して、端末に出力して特定個人の承認を得る処理と、個人情報を閲覧する際に、個人関係DBを参照して閲覧可能な個人関係にある個人の関係者についての個人情報を、個人情報DBから取得して、閲覧対象として端末に出力する処理を行う。
好ましい例では、前記端末に表示する個人情報に関係者個人のIDが含まれている場合には、関係者の個人情報もあわせて表示する。
また、一例では、前記個人情報DBには、それぞれ個人の関係者の情報が含まれ、業務遂行に必要な個人情報に関係者情報が相当する場合には、関係者の個人情報も端末に出力する。
好ましい例では、前記端末に表示する個人情報に関係者個人のIDが含まれている場合には、関係者の個人情報もあわせて表示する。
また、一例では、前記個人情報DBには、それぞれ個人の関係者の情報が含まれ、業務遂行に必要な個人情報に関係者情報が相当する場合には、関係者の個人情報も端末に出力する。
本発明は、好ましくは、サーバーを利用して個人情報を管理するシステムにおいて、システムの利用者の情報を格納して管理する利用者DBと、個人情報を格納して管理する個人情報DBと、個人情報DBに管理されている個人の関係を格納して管理する個人関係DBと、個人情報DBと個人関係DBに登録されている情報の閲覧資格を格納して管理する個人情報閲覧資格DBと、情報の表示部及び入力部を有する端末から得られる利用者の認証情報、及び利用者DBの情報を用いて利用者の認証処理を行う利用者認証処理部と、利用者認証処理部からの通知を受けて、該端末から得られる対象者及び業務に関する情報と、個人情報閲覧資格DBの情報を用いて業務において閲覧資格のある個人情報項目を取得する処理を行う閲覧対象決定処理部と、閲覧対象決定処理部からの通知を受けて、端末から得られる対象者によって入力される対象者の認証情報と、個人情報DBの情報を用いて対象者の認証処理を行う対象者認証処理部と、対象者認証処理部からの通知を受けて、個人関係DBから対象者の関係者の情報を取得し、個人情報DBから対象者と関係者の個人情報を取得し、端末に出力する処理を行う個人情報検索処理部とを有する個人情報管理システムである。
一例では、前記利用者認証処理部は、端末に利用者認証用の画面を出力し、利用者認証画面に入力される利用者の認証情報を取得し、前記閲覧対象決定処理部は、端末に業務・対象者入力画面を出力し、業務・対象者入力画面に入力される対象者のID及び業務の情報を取得し、前記対象者認証処理部は、端末に承認依頼画面を出力し、承認依頼画面に対象者によって入力される対象者の認証情報を取得し、前記個人情報検索処理部は、個人情報DBから得られた対象者と関係者の個人情報を含む個人情報閲覧画面を端末に出力する処理を行う。
また、一例では、前記個人情報DBは、個人IDを付与して個人ごとの個人情報を格納し、前記個人関係DBは、ある個人に関係する者の個人IDを格納し、前記個人情報閲覧資格DBは、業務ごとに個人IDをキーとして必要な情報を格納し、利用者に遂行される業務と、その業務の対象となる個人の個人IDと、個人の暗証番号の情報を端末より入力して個人情報の出力を要求すると、遂行業務に必要な個人情報のみが出力されるように処理される。
好ましい例では、前記個人情報閲覧資格DBは、行政サービスIDと行政サービス毎に参照する必要のある個人情報のデータ項目を記憶し、前記個人情報DBは、住民ID及びその住民の暗証番号を記憶し、住民IDと暗証番号と行政サービスIDを用いて端末からサーバーへアクセスされたときに、サーバーは、行政サービスIDに関連して参照が必要なデータ項目の個人情報を端末に出力する住民情報管理システムである。
一例では、前記利用者認証処理部は、端末に利用者認証用の画面を出力し、利用者認証画面に入力される利用者の認証情報を取得し、前記閲覧対象決定処理部は、端末に業務・対象者入力画面を出力し、業務・対象者入力画面に入力される対象者のID及び業務の情報を取得し、前記対象者認証処理部は、端末に承認依頼画面を出力し、承認依頼画面に対象者によって入力される対象者の認証情報を取得し、前記個人情報検索処理部は、個人情報DBから得られた対象者と関係者の個人情報を含む個人情報閲覧画面を端末に出力する処理を行う。
また、一例では、前記個人情報DBは、個人IDを付与して個人ごとの個人情報を格納し、前記個人関係DBは、ある個人に関係する者の個人IDを格納し、前記個人情報閲覧資格DBは、業務ごとに個人IDをキーとして必要な情報を格納し、利用者に遂行される業務と、その業務の対象となる個人の個人IDと、個人の暗証番号の情報を端末より入力して個人情報の出力を要求すると、遂行業務に必要な個人情報のみが出力されるように処理される。
好ましい例では、前記個人情報閲覧資格DBは、行政サービスIDと行政サービス毎に参照する必要のある個人情報のデータ項目を記憶し、前記個人情報DBは、住民ID及びその住民の暗証番号を記憶し、住民IDと暗証番号と行政サービスIDを用いて端末からサーバーへアクセスされたときに、サーバーは、行政サービスIDに関連して参照が必要なデータ項目の個人情報を端末に出力する住民情報管理システムである。
本発明によれば、システム利用者は特定個人の許可に基づき、業務遂行に必要な個人の個人情報と、特定個人の関係者の個人情報を閲覧することができ、個人は自分の承認なしに個人情報を閲覧されないため、自分の知らないうちに個人情報を閲覧される心配なく個人情報を提供することができる。
以下、図面を用いて本発明の実施の形態を説明する。
図1は、本発明の一実施例による自治体の住民情報サービスシステムに適用した個人情報管理システムの全体構成図である。
このシステムは、インターネット又は自治体内LAN等のネットワーク102に接続された個人情報管理サーバー101と、各業務部署に設置され、職員によって個人情報の検索や閲覧の操作、及び検索結果の表示を行う業務端末103〜108を備えて構成される。
図1は、本発明の一実施例による自治体の住民情報サービスシステムに適用した個人情報管理システムの全体構成図である。
このシステムは、インターネット又は自治体内LAN等のネットワーク102に接続された個人情報管理サーバー101と、各業務部署に設置され、職員によって個人情報の検索や閲覧の操作、及び検索結果の表示を行う業務端末103〜108を備えて構成される。
業務端末103〜108は、個人情報管理サーバー101がネットワークを介して提供するインタフェース画面を通してデータの表示、書込み、保存が行える機能を有する、例えばパーソナルコンピュータ(PC)のような、表示部及び入力部、処理部、記憶部を有する情報処理装置である。勿論、PCに限定されるものではない。
図2は、個人情報管理システムにおける個人情報管理サーバー101の機能構成を示す図である。
個人情報管理サーバー101は、ネットワーク102を介して業務端末103〜108と通信を行う通信処理部201と、情報処理部210と、データベース(以下、DBという)群から構成される。DB群は、システムの利用者である各部署の職員の情報を格納しDBとして管理する利用者DB202と、個人情報を格納しDBとして管理する個人情報DB203と、個人情報DB202に管理されている個人の関係を格納し、DBとして管理する個人関係DB204と、個人情報DB202と個人関係DB204に登録されている情報の閲覧資格を記憶し、DBとして管理する個人情報閲覧資格DB205とを含む。
個人情報管理サーバー101は、ネットワーク102を介して業務端末103〜108と通信を行う通信処理部201と、情報処理部210と、データベース(以下、DBという)群から構成される。DB群は、システムの利用者である各部署の職員の情報を格納しDBとして管理する利用者DB202と、個人情報を格納しDBとして管理する個人情報DB203と、個人情報DB202に管理されている個人の関係を格納し、DBとして管理する個人関係DB204と、個人情報DB202と個人関係DB204に登録されている情報の閲覧資格を記憶し、DBとして管理する個人情報閲覧資格DB205とを含む。
情報処理部210は、各処理部206〜209を有する。
利用者認証処理部206は、通信処理部201を介して業務端末103〜108に利用者認証用の画面を出力し、利用者認証画面に入力される利用者の認証情報と、利用者DB202の情報を用いて利用者の認証処理を行い、認証が成功した場合は閲覧対象決定処理部207にその旨を通知する処理を行う。
利用者認証処理部206は、通信処理部201を介して業務端末103〜108に利用者認証用の画面を出力し、利用者認証画面に入力される利用者の認証情報と、利用者DB202の情報を用いて利用者の認証処理を行い、認証が成功した場合は閲覧対象決定処理部207にその旨を通知する処理を行う。
閲覧対象決定処理部207は、利用者認証処理部206からの通知を受けて、通信処理部201を介して業務端末103〜108に業務・対象者入力画面を出力し、業務・対象者入力画面に入力される対象者と、業務情報と、個人情報閲覧資格DB205の情報を用いて業務において閲覧資格のある個人情報項目を取得し、対象者承認処理部208に通知する処理を行う。
対象者認証処理部208は、閲覧対象決定処理部207からの通知を受けて、通信処理部201を介して業務端末に承認依頼画面を出力し、承認依頼画面に対象者によって入力される対象者の認証情報と、個人情報DB203の情報を用いて対象者の認証処理を行い、認証が成功した場合は、個人情報検索処理部209に、閲覧資格のある個人情報項目と対象者の情報を通知する処理を行う。
個人情報検索処理部209は、対象者認証処理部208からの通知を受けて、個人関係DB204から対象者の関係者の情報を取得し、個人情報DB203から対象者と関係者の個人情報を取得し、通信処理部201を介して業務端末に個人情報閲覧画面を出力する処理を行う。
ここで、個人情報管理サーバー201の各処理部206〜209の機能は、メモリおよびCPU(中央演算装置)により構成されたハードウェア上にOSを搭載し、そのOS上に各機能を実現するためのプログラムをメモリにロードして実行することにより、その機能を実現することができる。尚、上記構成機能の全部または一部は、専用のハードウェアにより実現されてもよい。
また、利用者DB202、個人情報閲覧資格DB205、個人情報DB203、個人関係DB204は、データを格納するハードディスク装置等の補助記憶装置内に形成することにより実現できる。
また、利用者DB202、個人情報閲覧資格DB205、個人情報DB203、個人関係DB204は、データを格納するハードディスク装置等の補助記憶装置内に形成することにより実現できる。
次に、利用者DB202、個人情報閲覧資格DB205、個人情報DB203、個人関係DB204の夫々の記憶データ構造について説明する。
図3は、利用者DB202のデータ構造の一例を模擬的に示したものである。
利用者DB202は、利用者の識別子を示すID301と、利用者の氏名を示す氏名302と、利用者が所属する部署を示す部署303と、利用者を認証するための暗証番号304と、利用者の担当業務である担当業務305の項目を有する。この例では、利用者DB202のデータは、総合受付窓口の管理者により予め格納されている。図中306〜309はそれぞれ登録された利用者の情報を示している。
図3は、利用者DB202のデータ構造の一例を模擬的に示したものである。
利用者DB202は、利用者の識別子を示すID301と、利用者の氏名を示す氏名302と、利用者が所属する部署を示す部署303と、利用者を認証するための暗証番号304と、利用者の担当業務である担当業務305の項目を有する。この例では、利用者DB202のデータは、総合受付窓口の管理者により予め格納されている。図中306〜309はそれぞれ登録された利用者の情報を示している。
図4は、個人情報DB203のデータ構造の一例を模擬的に示したものである。
個人情報DB203は、個人の識別子を示すID401と、個人の氏名を示す氏名402と、個人の生年月日を示す生年月日403と、個人の性別を示す性別404と、個人の住所を示す住所405と、個人の職業を示す職業406と、個人の前年度所得を示す前年所得407と、個人が国民健康保険の加入者であるか否かを示す国保408と、個人が固定資産の保有者であるか否かを示す固定資産409と、個人が軽自動車を保有するかどうかを示す軽自動車410と、個人が障害者であるかどうかを示す障害者411と、個人を認証するための暗証番号412の項目を有する。住民情報管理システムに適用される例では、上記個人識別子ID401は好ましくは住民IDである。
個人情報DB203は、個人の識別子を示すID401と、個人の氏名を示す氏名402と、個人の生年月日を示す生年月日403と、個人の性別を示す性別404と、個人の住所を示す住所405と、個人の職業を示す職業406と、個人の前年度所得を示す前年所得407と、個人が国民健康保険の加入者であるか否かを示す国保408と、個人が固定資産の保有者であるか否かを示す固定資産409と、個人が軽自動車を保有するかどうかを示す軽自動車410と、個人が障害者であるかどうかを示す障害者411と、個人を認証するための暗証番号412の項目を有する。住民情報管理システムに適用される例では、上記個人識別子ID401は好ましくは住民IDである。
この例において、個人情報DB203のデータは、システムの管理者により予め格納されている。図中413〜419はそれぞれ登録された個人の情報を示している。
図5は、個人関係DB204のデータ構造の一例を模擬的に示したものである。
個人関係DB204は、個人の識別子を示すID501と、個人の世帯主のID又はその個人が世帯主の場合にはアスタリスク「*」で示す世帯主502と、個人の配偶者のIDを示す配偶503と、個人が扶養している者のIDを示す扶養504と、個人が扶養されている者のIDを示す被扶養505と、個人が生計をともにする者のIDを示す生計同一506と、個人と同居している者のIDを示す同居507の項目を有する。
この例においては、個人関係DB204のデータは、システムの管理者により予め格納されている。図中508〜514はそれぞれ登録された個人の情報を示している。たとえば、508は個人IDが「001」である個人の個人関係情報であり、この人は世帯主であり、配偶者に個人ID「002」の人、扶養者に個人ID「003」の人、生計を同一にする人に「002」「003」の人、同居人に「002」「003」「004」「005」の人が存在することを示している。
個人関係DB204は、個人の識別子を示すID501と、個人の世帯主のID又はその個人が世帯主の場合にはアスタリスク「*」で示す世帯主502と、個人の配偶者のIDを示す配偶503と、個人が扶養している者のIDを示す扶養504と、個人が扶養されている者のIDを示す被扶養505と、個人が生計をともにする者のIDを示す生計同一506と、個人と同居している者のIDを示す同居507の項目を有する。
この例においては、個人関係DB204のデータは、システムの管理者により予め格納されている。図中508〜514はそれぞれ登録された個人の情報を示している。たとえば、508は個人IDが「001」である個人の個人関係情報であり、この人は世帯主であり、配偶者に個人ID「002」の人、扶養者に個人ID「003」の人、生計を同一にする人に「002」「003」の人、同居人に「002」「003」「004」「005」の人が存在することを示している。
図6は、個人情報閲覧資格DB205のデータ構造の一例を模擬的に示したものである。
個人情報閲覧資格DB205は、一例では業務毎に設定される。そのデータ構造は、業務の識別子を示すID601と、業務の名称を示す業務名602と、個人関係DB204の項目である世帯主502の閲覧資格を示す世帯主603と、同じく配偶503の閲覧資格を示す配偶604と、扶養504の閲覧資格を示す扶養605と、被扶養505の閲覧資格を示す被扶養606と、生計同一506の閲覧資格を示す生計同一607と、同居507の閲覧資格を示す配偶608と、個人情報DB203の項目である「生年月日」403の閲覧資格を示す生年月日609と、同じく項目「性別」404の閲覧資格を示す性別610と、項目「住所」405の閲覧資格を示す住所611と、項目「職業」406の閲覧資格を示す職業612と、項目「前年所得」407の閲覧資格を示す前年所得613と、項目「国保」408の閲覧資格を示す国保614と、項目「固定資産」409の閲覧資格を示す固定資産615と、項目「軽自動車」410の閲覧資格を示す軽自動車616と、項目「障害者」411の閲覧資格を示す障害者617との各項目を有して構成される。住民情報管理システムに適用される例では、業務識別子ID601は好ましくは、行政サービスIDである。
この例においては、個人情報閲覧資格DB205のデータは、システムの管理者により予め格納されている。また閲覧資格項目には「関係情報」と「個人情報」に分類され、603〜607が関係情報、608〜617が個人情報である。
個人情報閲覧資格DB205は、一例では業務毎に設定される。そのデータ構造は、業務の識別子を示すID601と、業務の名称を示す業務名602と、個人関係DB204の項目である世帯主502の閲覧資格を示す世帯主603と、同じく配偶503の閲覧資格を示す配偶604と、扶養504の閲覧資格を示す扶養605と、被扶養505の閲覧資格を示す被扶養606と、生計同一506の閲覧資格を示す生計同一607と、同居507の閲覧資格を示す配偶608と、個人情報DB203の項目である「生年月日」403の閲覧資格を示す生年月日609と、同じく項目「性別」404の閲覧資格を示す性別610と、項目「住所」405の閲覧資格を示す住所611と、項目「職業」406の閲覧資格を示す職業612と、項目「前年所得」407の閲覧資格を示す前年所得613と、項目「国保」408の閲覧資格を示す国保614と、項目「固定資産」409の閲覧資格を示す固定資産615と、項目「軽自動車」410の閲覧資格を示す軽自動車616と、項目「障害者」411の閲覧資格を示す障害者617との各項目を有して構成される。住民情報管理システムに適用される例では、業務識別子ID601は好ましくは、行政サービスIDである。
この例においては、個人情報閲覧資格DB205のデータは、システムの管理者により予め格納されている。また閲覧資格項目には「関係情報」と「個人情報」に分類され、603〜607が関係情報、608〜617が個人情報である。
図7は、システムの利用者が個人情報を閲覧する場合の手順を示す図である。なお、システム利用者に対して個人が個人情報の閲覧を許可するために、個人認証用にあらかじめ暗証番号(パスワード)が設定されるものとする。
システム利用者は、業務端末103〜108を利用し、ネットワーク102を介して個人情報管理サーバー101に接続する。個人情報管理サーバー101の利用者認証処理部206は通信処理部201で業務端末(例えば103)からの接続要求を受け取ると、業務端末103に図8に示すような「利用者認証画面」を生成して送信する(701)。
システム利用者は、業務端末103〜108を利用し、ネットワーク102を介して個人情報管理サーバー101に接続する。個人情報管理サーバー101の利用者認証処理部206は通信処理部201で業務端末(例えば103)からの接続要求を受け取ると、業務端末103に図8に示すような「利用者認証画面」を生成して送信する(701)。
利用者認証画面801は、図8に示すように、システムログインの際に利用者の認証情報を取得するために個人情報管理サーバー101が出力する画面であり、利用者ID入力欄802と、暗証番号入力欄803と、ログインボタン804を備える。利用者ID入力欄802及び暗証番号入力欄803にデータが入力された状態で、ログインボタン803が操作されると、そのデータは業務端末103から個人情報管理サーバー101へ送信される(702)。
個人情報管理サーバー101の利用者認証処理部202は、利用者DB202を参照し、受信した利用者IDと暗証番号の照合を行う。照合の結果、一致したら正当な利用者による接続であると判定して次の処理704に進む。一方、一致しなかった場合には、不正な利用者による接続であると判定し処理を終了する(703)。
個人情報管理サーバー101の閲覧対象決定処理部207は、業務端末103へ、図9に示すような「業務・対象者入力画面」を生成して送信する(704)。
業務・対象者入力画面901は、図9に示すように、処理する業務と対象者を決定する際に業務IDと対象者の個人IDを取得するために個人情報管理サーバー101が出力する画面であり、業務ID入力欄902と、個人ID入力欄903と、送信ボタン904を備える。業務ID入力欄902及び業務ID入力欄903にデータが入力された状態で、送信ボタン904が操作されると、それらのデータは個人情報管理サーバー101へ送信される(705)。
業務・対象者入力画面901は、図9に示すように、処理する業務と対象者を決定する際に業務IDと対象者の個人IDを取得するために個人情報管理サーバー101が出力する画面であり、業務ID入力欄902と、個人ID入力欄903と、送信ボタン904を備える。業務ID入力欄902及び業務ID入力欄903にデータが入力された状態で、送信ボタン904が操作されると、それらのデータは個人情報管理サーバー101へ送信される(705)。
個人情報管理サーバー101の閲覧対象決定処理部207は、業務IDと対象者IDを受信した後、個人情報閲覧資格DB205を参照して業務IDによって示される業務遂行に際して閲覧可能な個人情報を取得し、個人情報DB203を参照して対象者の氏名を取得して次の処理に進む(706)。
個人情報管理サーバー101の対象者承認処理部208は、業務端末に図10に示すような「承認依頼画面」を生成して送信する(707)。
対象者承認依頼画面1001は、図10に示すように、対象者に個人情報閲覧の承認を得る際に、閲覧する個人情報と閲覧者を明示して対象者の意思を確認するため画面であり、これから閲覧する個人情報についての情報を表示する閲覧内容表示欄1002と、対象者の個人ID入力欄1003と、暗証番号入力欄1004と、承認可否情報1005と、送信ボタン1006を備える。利用者は利用者端末に表示されたこの画面を対象者に見せて、個人IDと暗証番号承認可否情報の入力を依頼する。個人ID欄1003と暗証番号1004と承認可否情報1005に、データが入力された状態で送信ボタン1006が操作されると、これらのデータ(即ち対象者の暗証番号と承認可否情報)は個人情報管理サーバー101へ送信される(708)。
対象者承認依頼画面1001は、図10に示すように、対象者に個人情報閲覧の承認を得る際に、閲覧する個人情報と閲覧者を明示して対象者の意思を確認するため画面であり、これから閲覧する個人情報についての情報を表示する閲覧内容表示欄1002と、対象者の個人ID入力欄1003と、暗証番号入力欄1004と、承認可否情報1005と、送信ボタン1006を備える。利用者は利用者端末に表示されたこの画面を対象者に見せて、個人IDと暗証番号承認可否情報の入力を依頼する。個人ID欄1003と暗証番号1004と承認可否情報1005に、データが入力された状態で送信ボタン1006が操作されると、これらのデータ(即ち対象者の暗証番号と承認可否情報)は個人情報管理サーバー101へ送信される(708)。
個人情報管理サーバー101の対象者承認処理部208は、個人情報DB203を参照し、受信した暗証番号の照合を行う。照合の結果、暗証番号が一致し、かつ承認可否情報が「承認します」である場合には、対象者による閲覧の承認が得られたものと判定して次の処理710に進む。それ以外の場合には対象者による承認が得られなかったと判定して処理を終了する(709)。
個人情報管理サーバー101の個人情報検索処理部209は、処理706で取得した閲覧可能な個人情報に、閲覧可能な関係情報が含まれる場合、個人関係DB204から、対象者IDと閲覧可能な関係情報にある関係者を検索する。次に個人情報DB203から、対象者と関係者についての閲覧可能な個人情報を取得する(710)。そして、個人情報検索処理部209は、業務端末103へ図11に示すような「個人情報閲覧画面」を生成して送信する(711)。
個人情報閲覧画面1101は、図11に示すように、個人情報を表示するための画面であり、表示している個人情報についての情報を表示する閲覧内容表示欄1101と、閲覧個人情報1103を備える。図示の例では、本人日立太郎と配偶者日立花子の生年月日と前年所得が表示されている。
業務端末103は、取得した「個人情報閲覧画面」1101を表示する(712)。
業務端末103は、取得した「個人情報閲覧画面」1101を表示する(712)。
このようにして業務端末103〜108に表示された個人情報を閲覧しながら、利用者は業務を遂行することができる。なお、処理708における「承認依頼画面」に対して暗証番号と承認可否情報を入力するのは、利用者ではなく対象者本人である。
以上説明したようなフローに従って個人情報閲覧が行われる。また本実施例の個人情報管理サーバー101の運用にあたり、業務端末における対象者の個人情報閲覧の承認方法は、各業務端末にICカードリーダを備えておき、対象者に事前に発行されたICカードをICカードリーダに挿入し、暗証番号を入力する方式で行ってもよい。また、承認可否情報を省略して入力された暗証番号の照合のみを持って判定するようにしてもよい。
尚、上述した図8〜図11に示す表示画面は、個人情報管理サーバー101が、業務端末103〜108に提供するインタフェース画面の一例を模擬的に示したものであり、表示形式は図示のものに限定されない。また、業務端末へのインタフェースの提供方法としては、例えばインターネット上のウェブ画面でインタフェース画面を提供し、業務端末からのデータ入力を受け付ける方法等を用いてもよい。
本実施例に係る個人情報管理システムは、たとえば役所において個人が窓口に申請を行う窓口の職員によって利用される際に、以下のような流れで動作する。申請の処理にあたり職員Cはシステムにログインし、申請業務と申請者の入力を行うと、申請者である個人Aの個人情報Xと、個人Aの配偶者の個人情報Yが必要であることを本システムの出力により知ることができる。そして個人情報Xと個人情報Yを閲覧するために、閲覧内容がXとYであり閲覧者がCであることを明示した上で、個人Aに対して閲覧の承認を求める。個人Aが承認したことは、個人Aしか知らない暗証番号の入力をもって判断するので、職員Cが勝手に個人情報を閲覧することはできないため、プライバシーの保護が可能である。また個人Aの権限で関係者の個人情報も含めて閲覧の承認ができるため、職員Cは関係者全員の承認を取るといった手間を省くことができる。
なお、本実施例の構成によれば、個人情報の持ち主(対象者)に対して、閲覧実施以前に閲覧内容と閲覧者を確認させ、対象者の承認を得る「対象者承認処理部」と、対象者の関係者の個人情報も必要に応じて検索する「個人情報検索処理部」を備えている。しかしこれは一例であり、本発明はこれに限定されない。例えば、利用者の認証方式として暗証番号の照合による方式ではなく、PKIを用いた個人認証の方式を用いても良い。
また、対象者の閲覧承認方式として、業務端末における暗証番号入力による方式ではなく、対象者の所有する携帯電話機のような別の端末から送信する方式を用いても良い。具体的には、対象者に対して電子メール等で対象者承認依頼画面へアクセスを求め、そこから暗証番号の入力を依頼する方式が考えられる。この方式によれば、対象者が業務端末の付近に居なくても個人情報の閲覧の承認が可能であるし、対象者の使い慣れた情報端末を利用できるという利点がある。さらに別の端末から送信されるデータには対象者のデジタル署名を付加することで対象者の本人確認を行うことが可能である。
また、本実施例によれば、個人情報閲覧資格DBを部署毎に管理することにより、システムを共有しつつ部署内でのみ必要な個人情報を部外の利用者の閲覧されることなく管理することができる。
また、個人情報閲覧資格DBを業務毎に管理することにより、業務の遂行に必要な個人情報のみを閲覧できるため、システム利用者の利便性がよくなり作業効率を向上できる。
また、個人情報閲覧資格DBを業務毎に管理することにより、業務の遂行に必要な個人情報のみを閲覧できるため、システム利用者の利便性がよくなり作業効率を向上できる。
尚、個人情報閲覧資格DBは、図6で業務ごとに閲覧資格を管理しているが、代替例によれば、システム利用者ごとや、所属部署ごとに管理してもよい。
また、本発明は上記した実施例による自治体の住民情報サービスシステムに限定されずに、多数の個人情報を管理し、本人の要請により本人以外の者に個人情報を閲覧されるなどプライバシーの保護が必要なシステム全般に適用できる。
また、本発明は上記した実施例による自治体の住民情報サービスシステムに限定されずに、多数の個人情報を管理し、本人の要請により本人以外の者に個人情報を閲覧されるなどプライバシーの保護が必要なシステム全般に適用できる。
101:個人情報管理サーバー、 102:ネットワーク、
201:通信処理部、 202:利用者DB、
203:個人情報DB、 204:個人関係DB、
205:個人情報閲覧資格DB、 206:利用者認証処理部、
207:閲覧対象決定処理部、 208:対象者承認処理部、
209:個人情報検索処理部、 801:利用者認証画面、
901:業務・対象者入力画面、 1001:対象者承認依頼画面、
1101:個人情報閲覧画面
201:通信処理部、 202:利用者DB、
203:個人情報DB、 204:個人関係DB、
205:個人情報閲覧資格DB、 206:利用者認証処理部、
207:閲覧対象決定処理部、 208:対象者承認処理部、
209:個人情報検索処理部、 801:利用者認証画面、
901:業務・対象者入力画面、 1001:対象者承認依頼画面、
1101:個人情報閲覧画面
Claims (9)
- サーバーによって個人情報を管理する個人情報管理システムにおいて、
個人に関する情報を格納する個人情報DBと、個人との関係者を管理する個人関係DBと、システムの利用者に対して閲覧を許可する個人関係を管理する個人情報閲覧資格DBとを備え、
該サーバーは、該個人情報閲覧資格DBを参照して業務の遂行に閲覧可能な個人情報を取得して、端末に出力して特定個人の承認を得る処理と、
個人情報を閲覧する際に、該個人関係DBを参照して閲覧可能な個人関係にある個人の関係者についての個人情報を、該個人情報DBから取得して、閲覧対象として端末に出力する処理を行うことを特徴とする個人情報管理システム。 - 前記端末に表示する個人情報に関係者個人のIDが含まれている場合には、関係者の個人情報もあわせて表示することを特徴とする請求項1の個人情報管理システム。
- 前記個人情報DBには、それぞれ個人の関係者の情報が含まれ、業務遂行に必要な個人情報に関係者情報が相当する場合には、関係者の個人情報も該端末に出力することを特徴とする請求項1の個人情報管理システム。
- サーバーを利用して個人情報を管理するシステムにおいて、
システムの利用者の情報を格納して管理する利用者DBと、個人情報を格納して管理する個人情報DBと、該個人情報DBに管理されている個人の関係を格納して管理する個人関係DBと、該個人情報DBと該個人関係DBに登録されている情報の閲覧資格を格納して管理する個人情報閲覧資格DBと、
情報の表示部及び入力部を有する端末から得られる利用者の認証情報、及び該利用者DBの情報を用いて利用者の認証処理を行う利用者認証処理部と、
該利用者認証処理部からの通知を受けて、該端末から得られる対象者及び業務に関する情報と、該個人情報閲覧資格DBの情報を用いて業務において閲覧資格のある個人情報項目を取得する処理を行う閲覧対象決定処理部と、
該閲覧対象決定処理部からの通知を受けて、該端末から得られる対象者によって入力される対象者の認証情報と、該個人情報DBの情報を用いて対象者の認証処理を行う対象者認証処理部と、
該対象者認証処理部からの通知を受けて、該個人関係DBから対象者の関係者の情報を取得し、該個人情報DBから対象者と関係者の個人情報を取得し、該端末に出力する処理を行う個人情報検索処理部とを有することを特徴とする個人情報管理システム。 - 前記利用者認証処理部は、該端末に利用者認証用の画面を出力し、利用者認証画面に入力される利用者の認証情報を取得し、
前記閲覧対象決定処理部は、該端末に業務・対象者入力画面を出力し、業務・対象者入力画面に入力される対象者のID及び業務の情報を取得し、
前記対象者認証処理部は、該端末に承認依頼画面を出力し、該承認依頼画面に対象者によって入力される対象者の認証情報を取得し、
前記個人情報検索処理部は、該個人情報DBから得られた対象者と関係者の個人情報を含む個人情報閲覧画面を該端末に出力する処理を行うことを特徴とする請求項4個人情報管理システム。 - 前記個人情報DBは、個人IDを付与して個人ごとの個人情報を格納し、
前記個人関係DBは、ある個人に関係する者の個人IDを格納し、
前記個人情報得売らん資格DBは、業務ごとに個人IDをキーとして必要な情報を格納し、
利用者に遂行される業務と、その業務の対象となる個人の個人IDと、個人の暗証番号の情報を該端末より入力して個人情報の出力を要求すると、遂行業務に必要な個人情報のみが出力されるように処理されること特徴とする請求項4又は5の個人情報管理システム。 - 前記個人情報閲覧資格DBは、行政サービスIDと行政サービス毎に参照する必要のある個人情報のデータ項目を記憶し、
前記個人情報DBは、住民ID及びその住民の暗証番号を記憶し、
住民IDと暗証番号と行政サービスIDを用いて該端末からサーバーへアクセスされたときに、該サーバーは、該行政サービスIDに関連して参照が必要なデータ項目の個人情報を端末に出力することを特徴とする請求項4乃至6のいずれかに記載のシステムを利用した住民情報管理システム。 - 個人情報を管理するサーバーであって、
個人に関する個人情報と、個人との関係者を示す個人関係情報と、システムの利用者に対して閲覧を許可する個人関係を示す個人情報閲覧資格情報と格納して管理するDBを有し、
該DBの該個人情報閲覧資格情報を参照して業務の遂行に閲覧可能な個人情報を取得して、端末に出力して特定個人の承認を得る処理と、
個人情報を閲覧する際に、該DBの個人関係情報を参照して閲覧可能な個人関係にある個人の関係者についての個人情報を、該DBから取得して、閲覧対象として端末に出力する処理と、
を行うことを特徴とする個人情報管理用サーバー。 - サーバーを用いて個人情報を管理する方法であって、
個人に関する個人情報と、個人との関係者を示す個人関係情報と、システムの利用者に対して閲覧を許可する個人関係を示す個人情報閲覧資格情報と格納して管理するDBを用意するステップと、
該サーバーの処理により、該DBの該個人情報閲覧資格情報を参照して業務の遂行に閲覧可能な個人情報を取得して、端末に出力して特定個人の承認を得るステップと、
該サーバーの処理により、個人情報を閲覧する際に、該DBの個人関係情報を参照して閲覧可能な個人関係にある個人の関係者についての個人情報を、該DBから取得して、閲覧対象として端末に出力するステップと、
を含むことを特徴とする個人情報管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004157223A JP4718131B2 (ja) | 2004-05-27 | 2004-05-27 | 個人情報管理システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004157223A JP4718131B2 (ja) | 2004-05-27 | 2004-05-27 | 個人情報管理システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005339205A true JP2005339205A (ja) | 2005-12-08 |
| JP4718131B2 JP4718131B2 (ja) | 2011-07-06 |
Family
ID=35492709
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004157223A Expired - Fee Related JP4718131B2 (ja) | 2004-05-27 | 2004-05-27 | 個人情報管理システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4718131B2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008250916A (ja) * | 2007-03-30 | 2008-10-16 | Casio Comput Co Ltd | 印刷装置および印刷制御プログラム |
| JP2014027385A (ja) * | 2012-07-25 | 2014-02-06 | Oki Electric Ind Co Ltd | 情報処理装置、情報処理システム、情報処理方法、及びプログラム |
| JP2014215707A (ja) * | 2013-04-23 | 2014-11-17 | 日本電信電話株式会社 | 個人情報管理装置、方法及びプログラム |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1139381A (ja) * | 1997-07-16 | 1999-02-12 | Hitachi Ltd | 要介護者の親族データ管理方法 |
| JPH1152047A (ja) * | 1997-08-01 | 1999-02-26 | Omron Corp | 超音波式物体検出装置 |
| JPH11353376A (ja) * | 1998-06-08 | 1999-12-24 | Oki Electric Ind Co Ltd | 個人情報を記録した書類の発行システム及び書類発行装置 |
| JP2002109667A (ja) * | 2000-10-04 | 2002-04-12 | Sekisui Chem Co Ltd | 生活見守り用管理装置 |
| JP2002197186A (ja) * | 2000-12-27 | 2002-07-12 | Fujitsu Ltd | 個人情報管理装置 |
| JP2003223352A (ja) * | 2002-01-31 | 2003-08-08 | Nextware Ltd | 個人情報管理システム |
| JP2003323379A (ja) * | 2002-04-26 | 2003-11-14 | Shoji Sato | 電子メールアドレスの提供方法、提供サーバーおよび提供プログラム |
| JP2003331045A (ja) * | 2002-05-15 | 2003-11-21 | Fujitsu Ltd | ポータルサイトサーバシステム、ポータルサイト方法、およびポータルサイトプログラム |
| JP2004102381A (ja) * | 2002-09-05 | 2004-04-02 | Sony Corp | 情報提供装置および方法、並びにプログラム |
-
2004
- 2004-05-27 JP JP2004157223A patent/JP4718131B2/ja not_active Expired - Fee Related
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1139381A (ja) * | 1997-07-16 | 1999-02-12 | Hitachi Ltd | 要介護者の親族データ管理方法 |
| JPH1152047A (ja) * | 1997-08-01 | 1999-02-26 | Omron Corp | 超音波式物体検出装置 |
| JPH11353376A (ja) * | 1998-06-08 | 1999-12-24 | Oki Electric Ind Co Ltd | 個人情報を記録した書類の発行システム及び書類発行装置 |
| JP2002109667A (ja) * | 2000-10-04 | 2002-04-12 | Sekisui Chem Co Ltd | 生活見守り用管理装置 |
| JP2002197186A (ja) * | 2000-12-27 | 2002-07-12 | Fujitsu Ltd | 個人情報管理装置 |
| JP2003223352A (ja) * | 2002-01-31 | 2003-08-08 | Nextware Ltd | 個人情報管理システム |
| JP2003323379A (ja) * | 2002-04-26 | 2003-11-14 | Shoji Sato | 電子メールアドレスの提供方法、提供サーバーおよび提供プログラム |
| JP2003331045A (ja) * | 2002-05-15 | 2003-11-21 | Fujitsu Ltd | ポータルサイトサーバシステム、ポータルサイト方法、およびポータルサイトプログラム |
| JP2004102381A (ja) * | 2002-09-05 | 2004-04-02 | Sony Corp | 情報提供装置および方法、並びにプログラム |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008250916A (ja) * | 2007-03-30 | 2008-10-16 | Casio Comput Co Ltd | 印刷装置および印刷制御プログラム |
| JP2014027385A (ja) * | 2012-07-25 | 2014-02-06 | Oki Electric Ind Co Ltd | 情報処理装置、情報処理システム、情報処理方法、及びプログラム |
| JP2014215707A (ja) * | 2013-04-23 | 2014-11-17 | 日本電信電話株式会社 | 個人情報管理装置、方法及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4718131B2 (ja) | 2011-07-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11928197B2 (en) | Method for providing an authenticated digital identity | |
| US11790118B2 (en) | Cloud-based system for protecting sensitive information in shared content | |
| US9805213B1 (en) | Identity validation and verification system and associated methods | |
| US11411959B2 (en) | Execution of application in a container within a scope of user-granted permission | |
| US20090307755A1 (en) | System and method for facilitating cross enterprises data sharing in a healthcare setting | |
| US11386224B2 (en) | Method and system for managing personal digital identifiers of a user in a plurality of data elements | |
| US20090012817A1 (en) | System and method for facilitating cross enterprise data sharing in a healthcare setting | |
| US20080312962A1 (en) | System and method for providing services via a network in an emergency context | |
| US20140108049A1 (en) | System and method for facilitating cross enterprise data sharing in a health care setting | |
| US11126999B1 (en) | Officially authorized virtual identification cards | |
| JP6871296B2 (ja) | 仲介サーバ、プログラム、及び情報処理方法 | |
| JP5107885B2 (ja) | 個人情報提供装置、個人情報提供方法 | |
| JP4718131B2 (ja) | 個人情報管理システム | |
| US11610196B1 (en) | Officially authorized virtual identification cards | |
| JP5409871B2 (ja) | 個人情報提供装置、および個人情報提供方法 | |
| JP2009258907A (ja) | 承認者選択方法、システム及び装置 | |
| US10726365B2 (en) | Secure facility resident grievance/request filing system | |
| JP2004295507A (ja) | 携帯機器を用いた身分証明方法,システム及びプログラム | |
| JP6828311B2 (ja) | 情報処理システム、情報処理装置及びプログラム | |
| JP6685118B2 (ja) | 個人情報保護・利用サーバ | |
| JP2009245097A (ja) | 入館受付システムおよび入館受付方法 | |
| CN115001799A (zh) | 基于入住信息的页面交互方法、系统、设备及存储介质 | |
| KR101798581B1 (ko) | 모바일 단말기를 이용한 대부적격 심사 및 계약서 작성 시스템 | |
| Terry | HIPAA and your mobile devices | |
| WO2022238948A1 (en) | Method and system for transforming personally identifiable information |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070201 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20070201 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100713 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100913 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110315 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110331 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140408 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |