JP2005506642A - 個人情報アクセス制御方法及び装置 - Google Patents
個人情報アクセス制御方法及び装置 Download PDFInfo
- Publication number
- JP2005506642A JP2005506642A JP2003539265A JP2003539265A JP2005506642A JP 2005506642 A JP2005506642 A JP 2005506642A JP 2003539265 A JP2003539265 A JP 2003539265A JP 2003539265 A JP2003539265 A JP 2003539265A JP 2005506642 A JP2005506642 A JP 2005506642A
- Authority
- JP
- Japan
- Prior art keywords
- data
- service provider
- communication server
- privacy
- user device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
- Telephone Function (AREA)
- Computer And Data Communications (AREA)
Abstract
サービスプロバイダに対して定義されるプライバシーポリシーに従って個人情報へのアクセスの制御に対する、方法が開示される、この方法は、サービスプロバイダからエンドユーザ装置へサービスプロバイダリクエストを提供するステップと、このサービスプロバイダリクエストは、サービスプロバイダによってアクセスされるエンドユーザ装置のユーザの個人情報を示し、サービスプロバイダによって要求されるユーザの少なくとも1つの個人情報、あるいはサービスプロバイダによって要求される個人情報の拒否を含む第1ユーザデータをサービスプロバイダへ提供するステップと、第1ユーザデータと、サービスプロバイダを示すデータを含むプライバシー受信確認データを生成するステップと、エンドユーザ装置でプライバシー受信確認データを提供するステップを有する。
Description
【技術分野】
【0001】
<技術分野>
本発明は、テクニカルシステムで提供され、かつ通信される個人情報に関連するものである。特に、本発明は、電気通信システムを介して、サービスを要求するユーザからサービスプロバイダへ提供されるユーザの個人情報に関するものである。
【0002】
<従来技術>
多くのネットワーク及びサービスプロバイダ、例えば、移動通信ネットワーク及びインターネットプロバイダは、ユーザによって要求されるサービスを配信するために、ユーザの個人情報を要求する。例えば、接続先のサービスプロバイダによる個人情報の誤使用を保護することを保証するために、また、様々な地域に存在する個人情報の保護に関する法規制に従うために、個人情報のプライバシー及び保護は、益々重要な課題である。
【0003】
インターネットに対しては、ワールドワイドウェブコンソーシアムは、インターネットプライバシープロトコル、いわゆる、P3P(プライバシープリファレンス用プラットホーム)を開発している。このプロトコルは、ユーザエージェントに基づいており、また、オペレータサービスネットワーク及び他のサービスプロバイダに、専用シンタックス及びシマンティックスでプライベートポリシーを実現することを強制している。また、ユーザは、自身の固有のプライバシーポリシーを構成する必要がある。
【0004】
ユーザ及びサービスプロバイダのプライバシーポリシーは、互いに相互チェックされる。この目的のために、サービスプロバイダのプライバシーポリシーは、装置で読出可能である必要があり、また、ユーザは、詳細な質問を読み出し、かつその質問の確認/回答あるいは拒否を行う必要がある。この方法は、次のようなユーザ行動をもたらすことになる、つまり、例えば、「受託」ボタンを単にクリックすることによって、サービスプロバイダのプライバシーポリシーが完全に読み出されず、かつ無批判で受理されるユーザ行動である。また、P3Pプロトコルは、大容量データの通信と、多くの「双方向(round trip)」通信(即ち、サービスプロバイダとユーザ間のデータ通信)を必要とする。
【0005】
このような欠点のために、本来、インターネットの有線環境に対して開発されたP3Pプロトコルは、無線通信リンクによってモバイルエンドユーザ装置にサービスを提供するシステム/ネットワークに対して適切なソリューションにはなっていない。このような移動環境の例には、移動電話、ポータブルコンピュータシステム、ページング装置及びその類を有する電気通信システム(例えば、GSMネットワーク、UMTSネットワーク)が含まれる。
【0006】
現在、以下のような情報へのユーザアクセスを可能にする移動環境で利用可能な機能は存在しない。
【0007】
−送信された個人情報が存在するか?
−どのような種類の個人情報が送信されているか?
−個人情報がだれに送信されているか?
−個人情報を取得しているパーティのプライバシーポリシーは何か?
このような情報は、移動環境で提供されるユーザ及びサービスに対して不可欠なものである、これは、通常、以下の2つの基本オプションが存在するからである。
【0008】
ユーザは、各移動環境を提供するオペレータのサービスネットワークからのサービスを要求することができる。このような状況においては、オペレータには、実際に移動環境を制御するオペレータと、移動環境のプロバイダとして動作するオペレータが含まれる。選択的には、ユーザは、別のサービスプロバイダパーティによって提供されるサービスを使用することができる。後者に対しては、プライバシー問題はより不可欠なものとなる、これは、いくつかのサービスは、例えば、住所、地理的位置、銀行アカウント、クレジットカード番号及びサービスを要求するユーザの類の個人情報を必要とするからである。ユーザの同意の後、個人情報は、移動環境のオペレータによってサービスプロバイダパーティだけに提供されなければならない。そうでなければ、ユーザは、移動環境オペレータの信用を落とし、また、移動環境は、信頼のあるシステムの状態を失う、特に、移動環境オペレータ以外のパーティによって提供されるサービスについて信頼のあるシステムの状態を失うことになる。また、ユーザのプライバシーが適切に保護される場合にのみ、ユーザは、サービスプロバイダと協同する。
【0009】
<発明の目的>
本発明の目的は、サードパーティによってアクセスされる個人情報の提供を、容易に制御し、かつ監視することができる、ソリューションを提供することである。また、本発明は、提供される個人情報がどのようにしてアクセスされかつ使用されるかの情報を提供する。特に、本発明は、例えば、移動通信システムのような移動環境でのアプリケーションに対するソリューションを提供する。
【0010】
<発明の簡単な説明>
本発明の基本概念は、サービスプロバイダのようなサードパーティに個人情報を送信するユーザに、いわゆるプライバシー受信確認(receipt)を提供することである。プライバシー受信確認には、ユーザによって、あるいはサードパーティ、特に、サービスプロバイダに関係する通信に対してユーザによって採用されるオペレータによって、いつユーザの個人情報が提供され、かつどのような種類の情報が提供されているかについてをだれが取得しているかを示すデータを含んでいる。
【0011】
また、プライバシー受信確認は、ユーザの個人情報が送信されるサードパーティのプライバシーポリシーに関連する情報を持つことができる。このような関係では、プライバシーポリシーは、サードパーティが提供される個人データの扱いをどのようにして自身にバインドするかについてを定義しており、ここで、プライバシーポリシーは、サードパーティに対して定義することもできるし、サードパーティによって定義されることもでき、また、汎用的な及び法的な少なくも一方のルール及び規制に基づくこともできる。特に、このようなプライバシーポリシーは、サービスプロバイダに対して有効であることが想定される。しかしながら、提案する方法は、サードパーティのプライバシーポリシーが存在しない場合でも、あるいはユーザが未知である場合でも、適用可能である。
【0012】
特に、本発明は、移動電話のようなエンドユーザ移動端末と、無線通信リンクを含むシステム及び環境に適しているソリューションを提供する。また、本発明は、例えば、提供された個人情報を受信するサードパーティによって、個人情報の提供に対して受け入れられるプライバシーポリシーの操作が、連続的に実行されないことを補償する。
【0013】
より詳細には、本発明に従う方法は、個人情報アクセス制御を提供する、ここで、個人情報を提供するユーザは、プライバシー受信確認を受信する、このプライバシー受信確認は、個人情報を受信するサードパーティの情報と、また、どのような種類の個人情報が提供されるかについての情報を取得するためにユーザによって使用される。
【0014】
提供されるべき個人情報の種類をユーザに通知するために、インターネットサービスプロバイダのようなサービスプロバイダは、サービスプロバイダリクエストデータを、各ユーザのエンドユーザ装置へ送信する。サービスプロバイダリクエストデータは、そのサービスプロバイダによてアクセスされ、かつ使用されるユーザの個人情報を定義している。
【0015】
サービスプロバイダリクエストデータは、エンドユーザ装置からサービスプロバイダに送信されるサービスリクエストデータの応答において、サービスプロバイダによって提供され、ここで、サービスリクエストデータは、サービスプロバイダによって提供されるあるいは配信されるサービスに対するユーザのリクエストを示している。
【0016】
サービスプロバイダリクエストデータに基づいて、ユーザデータが、サービスプロバイダに提供される。ユーザデータは、要求される個人情報のすべてあるいは要求される個人情報のいくつかと、残りの要求された個人情報の拒否を含むことができる。通常、要求されたサービスを提供する/配信するために事前に必須となる個人情報を要求するサービスプロバイダは、最小限の個人情報がユーザによって提供されることを要求する。それにもかかわらず、ユーザデータには、サービスプロバイダによる個人情報リクエストの拒否だけを、例えば、ユーザがどのような個人情報も提供したくないことだけを含ませることができることが想定される。
【0017】
上述のプライバシー受信確認を生成するために、プライバシー受信確認データが生成され、これには、ユーザデータ及びサービスプロバイダを特徴づけるデータの少なくとも一方(少なくとも一部)を含んでいる。
【0018】
例えば、ユーザデータをどのパーティが取得するかについてを制御するために、プライバシー受信確認データが、エンドユーザ装置及びそのユーザそれぞれによるアクセスのために提供される。
【0019】
いくつかのサービスプロバイダは、個人情報の提供を必要とするばかりか、個人情報を提供すること及びその個人情報へアクセスすることをユーザが同意していることを示す確認を要求する。この観点では、プライバシー受信確認データは、プライバシー受信確認データをサービスプロバイダに提供することによって、そのような確認を実現することができる。
【0020】
上述のように、本方法は、プライバシーポリシーがサービスプロバイダに対して有効である場合に適用可能である。
【0021】
エンドユーザ装置とサービスプロバイダ間の通信のために、通信サーバを提供することができる。通信サーバの例には、コンピュータ及び電話ネットワークオペレータ、有線及び無線通信リンクを利用するプロバイダ、システム及び基地局、コンピュータネットワークサーバ、及びその類の少なくとも1つを含んでいる。
【0022】
実在の通信サーバとは独立して、ユーザデータは、エンドユーザ装置によってサービスプロバイダに提供することができる。
【0023】
通信サーバが適用される場合では、ユーザデータは、通信サーバによってサービスプロバイダに提供することができる、ここで、ユーザデータは、エンドユーザ装置からの指示に従って判定される。このような指示には、サービスプロバイダリクエストの応答で、サービスプロバイダに提供することができる個人データに関する情報と、サービスプロバイダに送信されるべきでない個人データの情報との少なくとも一方を含んでいる。
【0024】
ユーザデータを受信すると、サービスプロバイダは、個人情報にアクセスすることができ、要求される場合には、サービスを配信することができる。
【0025】
また、サービスプロバイダは、プライバシー受信確認データに含めることができる自身のプライバシーポリシーを提供することが可能である。
【0026】
プライバシーポリシーあるいはそれを示すデータが、プライバシー受信確認に含まれている場合、エンドユーザ装置は、追加の動作することなく、プライバシーポリシーにアクセスすることができる。多くの場合、ユーザは、プライバシーポリシー自身に関心はなく、サービスプロバイダに送信される個人情報に関する情報のみに関心がある。ここで、プライバシーポリシーに通常関与しないユーザに、各プライバシーポリシーを取得することを可能にするために、選択的にはプライバシーポリシーを含むプライバシー受信確認データが、エンドユーザ装置によるリクエストに対し、サービスプロバイダあるいはサードパーティによって提供されることが好ましい。
【0027】
プライバシー受信確認データは、ユーザの個人情報の提供に関する更なる情報を含むことができ、この個人情報は、例えば、ユーザデータがサービスプロバイダに提供される時間、プライバシー受信確認データの生成時間、ユーザのアイデンティティ、エンドユーザ装置のアイデンティティの類を示すデータである。また、プライバシー受信確認データは、プライバシーポリシーあるいは各データが提供されていることを示す情報を含めることができる。
【0028】
プライバシー受信確認データの生成に対しては、エンドユーザ装置に対して通信サーバを採用することができる。ここで、プライバシー受信確認データのエンドユーザ装置への提供は、プライバシー受信確認データを通信サーバからエンドユーザ装置へ送信することによって実行される。
【0029】
本発明に従う実施形態の方法において、サービスプロバイダは、サービスプロバイダリクエストに自身のプライバシーポリシーを示すプライバシーポリシーデータを含め、かつそれと同じものを通信サーバに送信する。通信サーバは、サービスプロバイダリクエストデータからプライバシーポリシーデータを削除し、かつ選択的にはプライバシーポリシーデータを含むプライバシー受信確認データを生成する。必要記憶容量を削減するために、例えば、ユーザが、同一のサービスプロバイダからデータリクエストを受信する場合、あるいは、ユーザが、頻繁に定常的にサービスプロバイダにアクセスする場合は、プライバシーポリシーを別々に記憶することが想定される。このため、プライバシー受信確認データは、検索のために、プライバシーポリシーにポインタを含ませることができる。
【0030】
サービスプロバイダリクエストデータで定義される、要求された個人情報に基づいて、通信サーバは、どの個人情報がサービスプロバイダによって要求されているかを示す通信サーバリクエストデータを生成し、その通信サーバリクエストデータをエンドユーザ装置へ送信する。これの応答において、エンドユーザ装置は、提供された要求された個人情報及び拒否された要求された個人情報の少なくとも一方を示す応答データを通信サーバに送信する。通信サーバは、通信サーバデータをサービスプロバイダに送信する、ここで、通信サーバデータは、応答データに含まれる個人情報、あるいはエンドユーザ装置から取得される指示に従って判定される個人情報を有している。個人情報の指示がある場合、エンドユーザ装置は、どの種類の個人情報をサービスプロバイダに提供することを通信サーバが許可しているかについての情報以外の個人情報を提供しない。個人情報に対するサービスプロバイダリクエストに関連し、かつこのような指示に従って、通信サーバは、各個人情報にアクセスするあるいは判定し、それと同じものをサービスプロバイダに送信する。このような指示には、ユーザの名前、住所、銀行アカウント、クレジットカード番号等、ユーザ及びエンドユーザ装置の位置データの提供を含み、この位置データは、移動通信システムのオペレータとして動作する通信サーバによって判定できる。好ましくは、通信サーバからサービスプロバイダに提供される個人情報は、「ハード(固定)」データ、即ち、個人情報を含む実際のデータとして送信される。セキュリティ目的のために、このような「ハード」データは、暗号化することができる。
【0031】
個人情報の提供を容易にするために、エンドユーザ装置あるいはそのユーザによる追加動作なしで自動的に、あるいはユーザの確認あるいは選択に従って、各リクエストの応答時にサービスプロバイダに送信することができる、ユーザデータを定義することができる。自動的に送信される場合、ユーザデータは、すべての要求された個人情報を含み、ユーザ動作は必要ない、あるいはユーザは、データ送信を確認するだけ、好ましくは、送信用のデータを選択するだけで良い。
【0032】
エンドユーザ装置のユーザが個人情報を提供することに同意している場合にのみ、個人情報がサービスプロバイダに提供されることを保証するために、応答データがサービスプロバイダによる要求に応じた個人情報の少なくとも1つを含んでいる場合には、ユーザデータが自動的にサービスプロバイダに送信することが想定される、即ち、応答データは、要求された個人情報の拒否だけを含むことはない。
【0033】
好ましくは、ユーザは、リクエストデータのリストを受信して、そのリストから、提供されるリクエストデータを選択する。これに従い、通信サーバに指示が提供される、この通信サーバは、例えば、ユーザデータに含まれる各個人情報をサービスプロバイダに提供することができる。
【0034】
通信サーバからエンドユーザ装置へ送信されるデータ量の削減のために、通信サーバリクエストデータを、プライバシーポリシーデータに含めないことができる。また、プライバシーポリシーデータは通信サーバによって記憶されることで、エンドユーザ装置が、必要に応じて、各リクエストを通信サーバに送信することによって、プライバシーポリシーを取得できることが好ましい。
【0035】
更なる実施形態では、サービスプロバイダとエンドユーザ装置間のデータ通信は暗号化される、そうすることで、通信サーバによる、サービスプロバイダ及びエンドユーザ装置のデータへのアクセス及び読出を禁止することができる。ここで、データ暗号化が実行されることで、通信サーバは、サービスプロバイダが、プライバシー受信確認データを生成するために個人情報を要求していることを認識することができる。また、データ暗号化は、通信サーバに、プライバシーポリシーデータを削除させることを可能にする。
【0036】
別の実施形態では、エンドユーザ装置に対する通信サーバをトンネルすることによって、即ち、通信サーバに、サービスプロバイダとエンドユーザ装置間で交換されるデータ通信(データトラフィック)をアクセスさせないことによって、サービスプロバイダリクエストデータは、サービスプロバイダから直接エンドユーザ装置によって送信される。類似の方法には、通信サーバをトンネルすることによって、ユーザデータをサービスプロバイダへ直接送信することができる。
【0037】
プライバシー受信確認データを生成するために、エンドユーザ装置は、更に、ユーザデータを通信サーバへ送信し、通信サーバは、それの応答として、プライバシー受信確認データを生成する。
【0038】
ここで、サービスプロバイダリクエストデータは、サービスプロバイダのプライバシーポリシーを含むことが想定され、これによって、エンドユーザ装置は、各プライバシーポリシーデータあるいはプライバシーポリシーを通信サーバに送信することができる。そして、通信サーバは、そのプライバシーポリシーデータをプライバシー受信確認データに記憶することができる。
【0039】
また、通信サーバあるいは他の任意のサードパーティによるアクセスを禁止するために、サービスプロバイダとエンドユーザ装置間のデータ交換を暗号化することができる。
【0040】
個人情報に対する注目のサービスプロバイダリクエストに対するプライバシーポリシーが実際のサービスプロバイダポリシーであるかどうかを証明するために、サービスプロバイダリクエストデータに対するプライバシーポリシーと、サービスプロバイダから取得される更なるプライバシーポリシーとを比較し、比較されたプライバシーポリシーが異なる場合をエンドユーザ装置へ通知することができる。その比較が、プライバシーポリシー同士が等しいことを示している場合、プライバシー受信確認データを生成することができる。この比較は、任意のフォーマットのプライバシーポリシー、例えば、テキストファイルで実行することができる。
【0041】
通信サーバの場合、通信サーバからのリクエストは、更なるプライバシーポリシーを要求するためにサービスプロバイダに送信することができる。次に、要求されたプライバシーポリシーは、通信サーバに送信され、通信サーバは、現在のサービスプロバイダリクエストに対するプライバシーポリシーと、通信サーバリクエストにおいてサービスプロバイダから取得されるプライバシーポリシーとを比較する、これは、その比較が異なる場合にエンドユーザ装置へ警告を行う、あるいはプライバシー受信確認データを生成するためである。
【0042】
上述のように、エンドユーザ装置は、プライバシーポリシーの受信確認においてプライバシーポリシーにアクセスするために、各リクエストデータによってプライバシーポリシーを要求することができる。通信サーバの場合、このようなプライバシーポリシーリクエストデータは、エンドユーザ装置から通信サーバに送信することができる、その通信サーバは、そのプライバシーポリシー、あるいはプライバシーポリシーデータを示すデータをエンドユーザ装置へ送信する。
【0043】
また、本発明は、例えば、通信サーバ、エンドユーザ装置及びコンピュータソフトウェアプログラム製品のようなシステム、装置、コンポーネント及びその類を提供する、これらは、本発明に従う基本概念、特に、プライバシー受信確認データの生成を実現し、かつ実行するように適合され、かつプログラムされている。また、これらは、上述で定義されるような本発明に従う方法を実行するように、適合され、かつプログラムされるべきである。
【0044】
<実施形態の詳細>
図1に示されるように、本発明を実行するために適合され、かつプログラムされる通信環境は、通信サーバ2を有している。通常、通信サーバ2は、オペレータの通信システム、例えば、不図示のGSMあるいはUMTSネットワークの一部である。通信サーバ2は、関係するエンドユーザ装置との間での通信を可能にしかつ制御する、このエンドユーザ装置は、例えば、図1では、移動電話4、固定電話6、ポータブルコンピュータ8及びデスクトップコンピュータシステム10を示している。
【0045】
通信のために、エンドユーザ装置4、6、8及び10は、無線通信リンク12及び14と、有線通信リンク16及び18を確立することができる。
【0046】
また、通信サーバ2は、システム、ネットワーク、装置及びサービスプロバイダ20、22及び24としてサービスを提供する類と接続される。通信サーバ2とサービスプロバイダ20、22及び24間の通信リンクは、有線及び無線通信リンク26、28及び30となり得る。
【0047】
以下では、通信サーバ2、移動電話4、無線通信リンク12、サービスプロバイダ20及び図1の有線通信リンク26を示す図2を参照する。
【0048】
図3に示されるように、移動電話4は、アンテナ32及び互いに接続されている送信/受信ユニット34を有している。アンテナ32及び送信/受信ユニット34は、通信サーバ2とのデータ通信用の通信インタフェースとして機能する。移動電話4の動作の制御に対しては、制御/処理ユニット36が、アンテナ32、送信/受信ユニット34、少なくとも1つのセキュリティアイデンティティモジュールSIM38及び無線アイデンティティモジュールWIM40及びメモリ42に対して制御するように構成されている。セキュリティアイデンティティモジュール38及び無線アイデンティティモジュール40は、別ユニットとして実現することができる、あるいは単一ユニットあるいはある要素で実現されるユニット、例えば、SIM38及びWIM40の機能を提供するチップで実現することができる。
【0049】
通信サーバ2は、図4に示されるように、移動電話4とサービスプロバイダ20との通信リンク用の通信インタフェースユニット44と、自身の動作を制御するためのプロセッサユニット46及び以下で説明されるデータを記憶するためのメモリ48を有している。
【0050】
状況A
移動電話4のユーザ(不図示)は、サービスプロバイダ20に、配信対象/提供対象のサービスを要求する。ここでは、ユーザは、移動電話4によって、サービスリクエストを、通信サーバ2を介してあるいは直接サービスプロバイダ20へ送信する。
【0051】
サービスリクエストが通信サーバ2に送信される場合、、通信サーバ2は、そのサービスリクエストをサービスプロバイダ20へ送信する。選択的には、通信サーバ2は、移動電話4からのサービスリクエストを「秘匿(bliend)」している、即ち、そのサービスリクエストのソースは、サービスプロバイダ20に未知のままであり、移動電話4とそのユーザはそれぞれ識別できない。
【0052】
移動電話4によって要求されたサービスを配信するために、サービスプロバイダ20は、ユーザ個人情報を要求する。このような個人情報の例には、名前、住所、地理的位置、銀行アカウント、クレジットカード番号、年齢、性別及びユーザの類、移動電話4の電話番号等が含まれる。個人情報保護に対しては、サービスプロバイダ20に対し有効なプライバシーポリシーが適用される、これには、個人情報が、サービスプロバイダ20によってどのようにしてアクセスされ、処理され、配信され、記憶される等のルール及び規制が含まれている。
【0053】
個人情報及びプライバシポリシーに対するリクエストは、図5に示されるリクエストPIR1として通信サーバ2に送信される。リクエストPIR1は、フラグPI−Flag、詳細個人情報リクエストPI−Request及び添付されたプライバシーポリシーPPを含んでいる。フラグPI−Flagは、受信する通信サーバ2に、サービスプロバイダから送信されるデータが個人情報に対するリクエストを含んでいることを通知する。
【0054】
リクエストPIR1の受信においては、通信サーバは、有効なフラグPI−Flagを読み出し、かつ受信確認番号PI−RNを次の情報フローに割り当てる。また、プライバシーポリシーPPは、サービスプロバイダ20で受信されたデータから消去/削除され、プライバシー受信確認データの一部として記憶される、これについては、図7を参照して以下に説明する。
【0055】
通信サーバ20は、個人情報リクエストPI−Requestを、図6に示されるリクエストPIR2によって送信する。リクエストPIR2は、詳細個人情報リクエストPI−Requestを有している、一方、プライバシーポリシーPPは、受信確認番号PI−RNによって置換されている。移動電話4に送信されたリクエストPIR2はユーザから参照することができ、このユーザは、個人情報リクエストPI−Request(一部あるいは全部)に従って(いくつかのあるいはすべての)個人情報を提供する、あるいは拒否する。例えば、様々なフィールドあるいは質問を満足する/回答する、受諾する、あるいは拒否することによって、これは達成され得る。
【0056】
ユーザが、サービスプロバイダ20に対して有効なプライバシーポリシを知りたい場合、各リクエストが、移動電話4から通信サーバ2へ送信される。このリクエストは受信確認番号PI−RNを含み、これに基づいて、通信サーバ2は移動電話4へプライバシーポリシーPPを返信する。これのために、受信確認番号PI−RNは、移動電話で表示することができる、かつ/あるいは移動電話4の、例えば、SIM38、WIM40あるいはメモリ42(図4参照)に記憶することができる。
【0057】
ユーザによって提供される個人情報は、通信サーバ2へ送信される、通信サーバ2は、例えば、ユーザがそうすることを許容している各フィールドを埋めることによって、サービスプロバイダ20からの個人情報リクエストに応答する。また、通信サーバ2は、ユーザの個人情報自身と、プライバシー受信確認データでユーザによって提供されている個人情報の種類が何であるかの情報の少なくとも一方を記憶する。更に、通信サーバ2は、プライバシー受信確認データに使用したセキュリティ方法(例えば、TLS1.0あるいはWTLS)を含み、かつ、個人情報を取得した後のサービスプロバイダ20によって、例えば、ユーザ及び自身によるプライバシーポリシーの変更を防ぐために、通信サーバ2を示すタイムスタンプ及び署名でプライバシー受信確認にサインする。
【0058】
図7では、得られるプライバシー受信確認データが示され、これには、受信確認番号PI−RN、プライバシーポリシーPP、個人情報PI−Data、使用したセキュリティ方法を識別するデータSM、通信サーバ2のタイムスタンプT及び署名2を含んでいる。
【0059】
次に、通信サーバ2は、ユーザによって提供される個人情報PI−Dataに基づいて生成されるデータを、サービスプロバイダ20へ送信する。要求された個人情報あるいは少なくともその最小部分の受信において、サービスプロバイダ20は、その要求されたサービスを配信する。この場合、通信サーバ2は、サービスプロバイダ20に関係する移動電話4を「秘匿」している場合、通信サーバ2は、要求されたサービスを配信するために、サービスプロバイダ20と移動電話4間でのマッピングを行わなければならない。そうでなければ、サービスは、移動電話4に直接配信される。
【0060】
移動電話4のユーザが、通信サーバ2によって記憶されるプライバシー受信確認データにアクセスしたいと想定し、例えば、プライバシーポリシー違反であることをユーザが認めている場合、プライバシー受信確認リクエストが移動電話4から通信サーバ2へ送信され、通信サーバ2は、プライバシー受信確認リクエストに含まれる受信確認番号PI−RNに基づいて、要求されたプライバシー受信確認データを返信する。
【0061】
プライバシー受信確認リクエストは、受信確認番号PI−RNが移動電話4で利用可能である限り、プライバシー受信確認データに含まれる実際のデータとは独立している上述の処理中あるいは処理後に、移動電話4からいつでも発行することができることに注意されたい。
【0062】
選択的には、ユーザによって移動電話4で提供される個人情報PI−Dataは、個人情報PI−Dataをプライバシー受信確認データに追加する代りに、移動電話4に記憶することができる。この場合、個人情報PI−Dataは、移動電話4での受信において、通信サーバ2から要求されるプライバシー受信確認とマージすることができる。
【0063】
状況B
通信サーバ2が、移動電話4とサービスプロバイダ20間のデータ交換、特に、ユーザによって提供される個人情報へのアクセス及び読出が許容されない状態で、移動電話4のユーザが、データ通信のために、サービスプロバイダ20との接続を要求したいと想定すると、以下の処理を適用することができる。
【0064】
状況Aと比較すると、サービスリクエストは、移動電話4からサービスプロバイダ20へ送信される。次に、移動電話4とサービスプロバイダ20間のデータ通信用に採用されるセキュリティ方法として、例えば、暗号化、認証、証明方法及びその類が取り決められ、かつ合意される。
【0065】
次に、サービスプロバイダ20は、図8に示されるリクエストPIR3を通信サーバ2へ送信する。リクエストPIR3は、合意されたセキュリティ方法によって保護される、例えば、リクエストPIR3は、少なくとも一部が暗号化される。暗号化セキュリティ方法は、個人情報がサービスプロバイダによって要求され、かつプライバシー受信確認が生成されるべきであることを通知するために、通信サーバ2がフラグPI−Flagを認識/読出できることを保証しなければならない。
【0066】
また、セキュリティ方法は、通信サーバ2が上述のプライバシーポリシーPPを削除できることを許容すべきである。例えば、リクエストPIR3は暗号化できるので、詳細個人情報リクエストPI−Requestだけが暗号化され、フラグPI−Flag及びプライバシーポリシーPPは暗号化されない。選択的には、プライバシーポリシーPPを暗号化し、追加のフラグを付加することができるので、通信サーバ2は、このフラグによってプライバシーポリシーPPを削除することができる。このような状況では、移動電話4及びサービスプロバイダ20によって採用されるセキュリティ方法は、移動電話4とサービスプロバイダ20に対する個々のプライバシーポリシーとして見なすことができるので、セキュリティ方法を、プライバシーポリシーPPに含めることができる。
【0067】
リクエストPIR3の受信において、通信サーバ2は、フラグPI−Flagを「通知」し、受信確認番号PI−RNをこのリクエストに割り当てる。また、通信サーバ2は、プライバシーポリシーPPを切り離し、受信確認番号PI−RNと一緒にプライバシー受信確認データに記憶する。これについては、以下で、図10を参照して説明する。
【0068】
このようなリクエストPIR3の暗号化は図8で示され、ここでは、イタリック表記が暗号化データを示している。
【0069】
以下では、通信サーバ2は、リクエストPIR4を移動電話4へ送信する、これには、図9に示される、受信確認番号PI−RN及び暗号化個人情報リクエストPI−Requestを含んでいる。リクエストPIR2(図6参照)と比較すると、リクエストPIR4は、プライバシーポリシーPPを含んでない。図9のイタリック部分が、暗号化されるデータを示している。
【0070】
移動電話4は、リクエストPIR4を解読し、個人情報リクエストの(一部あるいは全部)に回答するあるいは拒否し、提供される個人情報PI−Dataを暗号化し、そして、同一のものを通信サーバ2へ返信する。
【0071】
通信サーバ2は、移動電話4からの暗号化個人情報PI−Dataをプライバシー受信確認データに記憶し、これには、上述のものに加えて、図10に示されるプライバシー受信確認データとなるデータを含んでいる。ここで、図10のイタリック部分は、暗号化データを示している。
【0072】
暗号化個人情報PI−Dataは、サービスプロバイダ20へ送信される、このサービスプロバイダ20は、その応答において、要求されたサービスを移動電話4へ配信する。
【0073】
選択的には、個人情報PI−Dataは、異なるキーで暗号化された2つのコピーで、通信サーバ2へ送信される。第1のコピーは、プライバシー受信確認データに記憶し、ユーザによって解読するために、ユーザのキーで暗号化される。第2のコピーは、サービスプロバイダの公開キーによって暗号化され、解読するサービスプロバイダへ送信される。選択的には、個人情報PI−Dataの1つの暗号化コピーが送信される。
【0074】
但し、後者では、ユーザ及びサービスプロバイダがその情報を解読できることを必要とする。これは問題が発生し得る、これは、ユーザとサービスプロバイダの組み合わせそれぞれに対してキーの組が帰属する場合、ユーザ及びサービスプロバイダによる解読を管理することが難しくなるからである。
【0075】
状況Aで説明されるように、移動電話4は、各プライバシー受信確認リクエストによってプライバシー受信確認データにアクセスすることができる。ここで、合意されたセキュリティ方法は、暗号化データ部分を解読する移動電話4で利用可能であるべきことに注意する必要がある。
【0076】
状況A+B
例えば、機能を満足する個人情報リクエスト用、ユーザの移動電話4あるいは個人プリファレンスの地理的位置のような任意の情報用及び、暗号化及び非暗号化データを含む移動電話4及びサービスプロバイダ20間のデータ通信を実行するために、状況A及びBの組み合わせあるいは混合も可能である。
【0077】
状況C
以下では、移動電話4及びサービスプロバイダ20間のデータ通信の少なくとも一部が、同一の「トンネリング(tunneling)」によって通信サーバ2で直接実行される処理を示す、つまり、通信サーバ2は、移動電話4及びサービスプロバイダ20間のデータトラフィックにはアクセスすることができない。
【0078】
セキュリティ方法が移動電話4及びサービスプロバイダ20間のデータ通信で合意されるまでは、状況Cの処理は、状況Bで説明される各ステップに対応する。ここで、適用されるべきセキュリティ方法は、通信サーバ2がトンネルされるべきということの同意を含んでいる。
【0079】
次に、サービスプロバイダ20は、個人情報リクエストを移動電話4送信する、ここで、上述のPI−Flagは要求されない。選択的には、サービスプロバイダ20は、このリクエストに自身のプライバシーポリシーを含める。
【0080】
そのリクエストの応答においては、移動電話4は、個人情報をサービスプロバイダ20へ返信し、更に、個人情報を、選択的には、暗号化データとして、記憶用の通信サーバ2へ送信する。
【0081】
プライバシー受信確認の生成に対しては、通信サーバ2は、受信確認番号を、移動電話4から取得される暗号化個人情報に割り当て、その受信確認番号を移動電話4へ返信する。上述のように、プライバシー受信確認は、通信サーバ2に関連付けられているタイムスタンプ、署名及びその類を含んでいる。
【0082】
移動電話4によって通信サーバ2からプライバシー受信確認を取得するために、上述の説明が参照される。
【0083】
プライバシー受信確認にプライバシーポリシーを含めるために、個人情報リクエストでサービスプロバイダから受信されるプライバシーポリシーは、移動電話4によって通信サーバ2へ送信される。セキュリティの拡張レベルに対しては、通信サーバ2は、更に、サービスプロバイダ20からプライバシーポリシーを要求して、移動電話から受信するプライバシーポリシーと、サービスプロバイダ20から受信するプライバシーポリシーとを比較することができる。この比較が、受信したプライバシーポリシー同士が等しいことを示している場合、プライバシーポリシーはプライバシー受信確認に記憶される。そうでなければ、通信サーバ2は、各警告メッセージを発信することによって、移動電話4のユーザに警告する。
【0084】
状況D
別の実施形態あるいは上述の実施形態の更なる追加構成として、サービスプロバイダ20への個人情報の提供を、移動電話4から取得され、またそのユーザによって定義される指示に従って通信サーバ2によって実行することができる。この指示あるいはインジケータデータは、どの種類の個人データを、ユーザが、個人情報のリクエストの応答でサービスプロバイダ20へ送信することを許容しているかについてを示す通信サーバ2に対する情報を有している。例えば、この指示は、サービスプロバイダ20からのリクエストにおいて、名前、住所、銀行アカウント、クレジットカード番号及びユーザの類がサービスプロバイダ20へ提供されることを通信サーバ2に通知する。サービスプロバイダ20へ個人情報を提供する方法は、ユーザ及び移動電話4が、それぞれ、実際に提供する個人情報を含めないという利点があり、これは、ユーザに対する快適性の向上、かつ移動電話4と通信サーバ2間で通信されるデータ量の削減をもたらす。個人情報に対するサービスプロバイダリクエストがリストあるいは質問票の形態である場合、通信サーバ2は、移動電話4からの指示に従って、各フィールドを埋める、あるいは各質問に回答する。
【0085】
また、このサービスプロバイダへの個人情報を提供する方法は、エンドユーザ装置あるいはそのユーザには実際には提供されない、あるいは追加の動作でのみ提供される、個人情報の通信を可能にする。例えば、このような個人情報には、エンドユーザ装置及びそのユーザの地理的位置、実効データ転送率あるいは帯域幅、通信リンクの信頼性及びその類を含んでいる。また、このような個人情報は、例えば、エンドユーザ装置の位置の移動環境オペレータとして動作する通信サーバの場合、たいてい、その通信サーバによって提供することができる。次に、各指示において、通信サーバは、このような個人情報を、その指示に従って提供する。
【0086】
例えば、各注文に対して、ユーザの名前、住所及びクレジットカード番号を要求する食品配達サービスの定期注文を行うユーザは、毎回、その情報を提供することで信頼される。つまり、上述の通信サーバ2による個人情報の提供は、ユーザに対するこのようなサービスの要求を簡略化する。一方、この処理は、個人情報に対するセキュリティを損なわない、これは、ユーザが、どのような個人情報が食品配達サービスに提供されなければならず、各プライバシーポリシーの観点で必要な情報を提供することに同意し、そして、通信サーバにこれらの情報を提供することを許可する、そうでなければ、食品の注文が達成されないことを知っているからである。
【0087】
別構成
移動電話4のユーザは、個人情報の専用セット、あるいは移動電話4の技術データのような追加のユーザ関連情報をサービスプロバイダ20に送信することに同意することができる。このようなデータは、サービスプロバイダ20への送信、プライバシー受信確認データ、移動電話4及び通信サーバ2による記憶、暗号化等に関する上述の個人情報と類似の方法で処理することができる。
【0088】
これは、通信サーバ2が各データを提供し、個人情報に対するサービスプロバイダリクエストの応答及び個人情報の提供の少なくとも一方で、通信サーバ2に記憶されているデータを自動的にサービスプロバイダ20へ送信することを可能にすることによって達成することができる。
【0089】
また、自動的に送信する送信対象のデータは、移動電話4によって提供され、これは、例えば、SIM38、WIM40あるいはメモリ42に記憶され、そして、実際の環境に関係する通信サーバ2及びサービスプロバイダ20へ送信することができる。
【0090】
これは、特に、(個人)情報が頻繁にあるいは定期的に要求される場合には、サービスプロバイダ20に対して要求したサービスをユーザが取得することを容易にする。加えて、この処理は、移動電話4と通信サーバ2間のデータ通信を最小化する。個人情報保護のために、このようなサービスプロバイダ20への(個人)情報の自動送信は、移動電話4のユーザが、現在要求しているサービスについて個人情報を提供することを実際に同意している場合にのみ許可されるべきである。
【0091】
通信サーバ2及び移動電話4の少なくとも一方によって記憶されるデータを最小化するために、現在要求されているサービスに関連する、実際に受信したプライバシーポリシーが既に記憶されているかどうかをチェックすることができる。
【0092】
プライバシー受信確認へのアクセスのために、エンドユーザ装置のディスプレイ上にアイコンを提供することができる。このようなアイコンは、サービスプロバイダに個人データが送信されたか否かに依存して、様々な形態を持たせることができる。アイコンがアクセスされる場合には、個人データが送信されたサービスプロバイダのリストが表示されることが好ましく、また、そのリストから所望の個人情報の送信を選択すると、選択されたサービスプロバイダに対する各プライバシー受信確認が提供される、例えば、エンドユーザ装置へダウンロードされる。
【0093】
例えば、アイコンは、以下の表現及び機能を有する目(eye)の形態を持つことができる。
【0094】
閉じた目:個人情報は提供されていない。
【0095】
開いた目:個人情報が、実際のセッション中に提供されている。この状況において、セッションは、ユーザ装置との通信期間あるいは所定使用時間「動作する(switched on)」ことができる。
【0096】
上述のように、この目は、サードパーティに対する個人情報送信履歴へのアクセス、即ち、プライバシー受信確認のアクセスのために使用することができる。
【0097】
適用例
本発明を実行する方法例によって、以下の適用が説明される。ユーザは、現金で辛いピザの配達を注文する。オペレータ(即ち、上述の説明での通信サーバ)は、そのユーザの「ピザプロファイル」を記憶している、これには、ピザの注文によって提供されるユーザの個人情報を含んでいる。ユーザは、オペレータからピーザ配達サービスを選択する、オペレータは、その応答として、注文を、配達を行うピザ店に送信する。ピザ店は、例えば、ユーザの位置、クレジットカード番号、ピザプロファイルを要求し、オペレータに自身のプライバシーポリシーを送信する。オペレータは、プライバシー受信確認を生成し、その要求をユーザへ送信する。次に、ユーザは、位置及びピザプロファイルに関連する情報を提供することに同意するが、クレジットカード番号を提供することを拒否する。ユーザのこの応答はオペレータへ送信される、オペレータは、位置及びユーザのピザプロファイルは含めるが、クレジットカード番号は含めずに、それらをピザ店へ送信する。オペレータは、どのような種類の個人情報がピザ店に送信されたかを記憶する。
【0098】
上述のアイコンを参照すると、目は起動される、即ち、個人情報を提供するユーザの同意がオペレータに送信される場合には、目が開かれる。このユーザは、提供されるべき個人情報が送信されるサービスのリストを有する目をクリックすることができる。例えば、ユーザは、ピザ配達サービスを選択し、それによって、オペレータからプライバシー受信確認を要求し、同様のものをユーザへ返信する。
【図面の簡単な説明】
【0099】
【図1】本発明を使用するための通信環境を示す図である。
【図2】図1の通信環境の一部を示す図である。
【図3】本発明に従うエンドユーザ装置を示す図である。
【図4】本発明に従う通信サーバを示す図である。
【図5】本発明に従うデータ構造を示す図である。
【図6】本発明に従うデータ構造を示す図である。
【図7】本発明に従うデータ構造を示す図である。
【図8】本発明に従うデータ構造を示す図である。
【図9】本発明に従うデータ構造を示す図である。
【図10】本発明に従うデータ構造を示す図である。
【0001】
<技術分野>
本発明は、テクニカルシステムで提供され、かつ通信される個人情報に関連するものである。特に、本発明は、電気通信システムを介して、サービスを要求するユーザからサービスプロバイダへ提供されるユーザの個人情報に関するものである。
【0002】
<従来技術>
多くのネットワーク及びサービスプロバイダ、例えば、移動通信ネットワーク及びインターネットプロバイダは、ユーザによって要求されるサービスを配信するために、ユーザの個人情報を要求する。例えば、接続先のサービスプロバイダによる個人情報の誤使用を保護することを保証するために、また、様々な地域に存在する個人情報の保護に関する法規制に従うために、個人情報のプライバシー及び保護は、益々重要な課題である。
【0003】
インターネットに対しては、ワールドワイドウェブコンソーシアムは、インターネットプライバシープロトコル、いわゆる、P3P(プライバシープリファレンス用プラットホーム)を開発している。このプロトコルは、ユーザエージェントに基づいており、また、オペレータサービスネットワーク及び他のサービスプロバイダに、専用シンタックス及びシマンティックスでプライベートポリシーを実現することを強制している。また、ユーザは、自身の固有のプライバシーポリシーを構成する必要がある。
【0004】
ユーザ及びサービスプロバイダのプライバシーポリシーは、互いに相互チェックされる。この目的のために、サービスプロバイダのプライバシーポリシーは、装置で読出可能である必要があり、また、ユーザは、詳細な質問を読み出し、かつその質問の確認/回答あるいは拒否を行う必要がある。この方法は、次のようなユーザ行動をもたらすことになる、つまり、例えば、「受託」ボタンを単にクリックすることによって、サービスプロバイダのプライバシーポリシーが完全に読み出されず、かつ無批判で受理されるユーザ行動である。また、P3Pプロトコルは、大容量データの通信と、多くの「双方向(round trip)」通信(即ち、サービスプロバイダとユーザ間のデータ通信)を必要とする。
【0005】
このような欠点のために、本来、インターネットの有線環境に対して開発されたP3Pプロトコルは、無線通信リンクによってモバイルエンドユーザ装置にサービスを提供するシステム/ネットワークに対して適切なソリューションにはなっていない。このような移動環境の例には、移動電話、ポータブルコンピュータシステム、ページング装置及びその類を有する電気通信システム(例えば、GSMネットワーク、UMTSネットワーク)が含まれる。
【0006】
現在、以下のような情報へのユーザアクセスを可能にする移動環境で利用可能な機能は存在しない。
【0007】
−送信された個人情報が存在するか?
−どのような種類の個人情報が送信されているか?
−個人情報がだれに送信されているか?
−個人情報を取得しているパーティのプライバシーポリシーは何か?
このような情報は、移動環境で提供されるユーザ及びサービスに対して不可欠なものである、これは、通常、以下の2つの基本オプションが存在するからである。
【0008】
ユーザは、各移動環境を提供するオペレータのサービスネットワークからのサービスを要求することができる。このような状況においては、オペレータには、実際に移動環境を制御するオペレータと、移動環境のプロバイダとして動作するオペレータが含まれる。選択的には、ユーザは、別のサービスプロバイダパーティによって提供されるサービスを使用することができる。後者に対しては、プライバシー問題はより不可欠なものとなる、これは、いくつかのサービスは、例えば、住所、地理的位置、銀行アカウント、クレジットカード番号及びサービスを要求するユーザの類の個人情報を必要とするからである。ユーザの同意の後、個人情報は、移動環境のオペレータによってサービスプロバイダパーティだけに提供されなければならない。そうでなければ、ユーザは、移動環境オペレータの信用を落とし、また、移動環境は、信頼のあるシステムの状態を失う、特に、移動環境オペレータ以外のパーティによって提供されるサービスについて信頼のあるシステムの状態を失うことになる。また、ユーザのプライバシーが適切に保護される場合にのみ、ユーザは、サービスプロバイダと協同する。
【0009】
<発明の目的>
本発明の目的は、サードパーティによってアクセスされる個人情報の提供を、容易に制御し、かつ監視することができる、ソリューションを提供することである。また、本発明は、提供される個人情報がどのようにしてアクセスされかつ使用されるかの情報を提供する。特に、本発明は、例えば、移動通信システムのような移動環境でのアプリケーションに対するソリューションを提供する。
【0010】
<発明の簡単な説明>
本発明の基本概念は、サービスプロバイダのようなサードパーティに個人情報を送信するユーザに、いわゆるプライバシー受信確認(receipt)を提供することである。プライバシー受信確認には、ユーザによって、あるいはサードパーティ、特に、サービスプロバイダに関係する通信に対してユーザによって採用されるオペレータによって、いつユーザの個人情報が提供され、かつどのような種類の情報が提供されているかについてをだれが取得しているかを示すデータを含んでいる。
【0011】
また、プライバシー受信確認は、ユーザの個人情報が送信されるサードパーティのプライバシーポリシーに関連する情報を持つことができる。このような関係では、プライバシーポリシーは、サードパーティが提供される個人データの扱いをどのようにして自身にバインドするかについてを定義しており、ここで、プライバシーポリシーは、サードパーティに対して定義することもできるし、サードパーティによって定義されることもでき、また、汎用的な及び法的な少なくも一方のルール及び規制に基づくこともできる。特に、このようなプライバシーポリシーは、サービスプロバイダに対して有効であることが想定される。しかしながら、提案する方法は、サードパーティのプライバシーポリシーが存在しない場合でも、あるいはユーザが未知である場合でも、適用可能である。
【0012】
特に、本発明は、移動電話のようなエンドユーザ移動端末と、無線通信リンクを含むシステム及び環境に適しているソリューションを提供する。また、本発明は、例えば、提供された個人情報を受信するサードパーティによって、個人情報の提供に対して受け入れられるプライバシーポリシーの操作が、連続的に実行されないことを補償する。
【0013】
より詳細には、本発明に従う方法は、個人情報アクセス制御を提供する、ここで、個人情報を提供するユーザは、プライバシー受信確認を受信する、このプライバシー受信確認は、個人情報を受信するサードパーティの情報と、また、どのような種類の個人情報が提供されるかについての情報を取得するためにユーザによって使用される。
【0014】
提供されるべき個人情報の種類をユーザに通知するために、インターネットサービスプロバイダのようなサービスプロバイダは、サービスプロバイダリクエストデータを、各ユーザのエンドユーザ装置へ送信する。サービスプロバイダリクエストデータは、そのサービスプロバイダによてアクセスされ、かつ使用されるユーザの個人情報を定義している。
【0015】
サービスプロバイダリクエストデータは、エンドユーザ装置からサービスプロバイダに送信されるサービスリクエストデータの応答において、サービスプロバイダによって提供され、ここで、サービスリクエストデータは、サービスプロバイダによって提供されるあるいは配信されるサービスに対するユーザのリクエストを示している。
【0016】
サービスプロバイダリクエストデータに基づいて、ユーザデータが、サービスプロバイダに提供される。ユーザデータは、要求される個人情報のすべてあるいは要求される個人情報のいくつかと、残りの要求された個人情報の拒否を含むことができる。通常、要求されたサービスを提供する/配信するために事前に必須となる個人情報を要求するサービスプロバイダは、最小限の個人情報がユーザによって提供されることを要求する。それにもかかわらず、ユーザデータには、サービスプロバイダによる個人情報リクエストの拒否だけを、例えば、ユーザがどのような個人情報も提供したくないことだけを含ませることができることが想定される。
【0017】
上述のプライバシー受信確認を生成するために、プライバシー受信確認データが生成され、これには、ユーザデータ及びサービスプロバイダを特徴づけるデータの少なくとも一方(少なくとも一部)を含んでいる。
【0018】
例えば、ユーザデータをどのパーティが取得するかについてを制御するために、プライバシー受信確認データが、エンドユーザ装置及びそのユーザそれぞれによるアクセスのために提供される。
【0019】
いくつかのサービスプロバイダは、個人情報の提供を必要とするばかりか、個人情報を提供すること及びその個人情報へアクセスすることをユーザが同意していることを示す確認を要求する。この観点では、プライバシー受信確認データは、プライバシー受信確認データをサービスプロバイダに提供することによって、そのような確認を実現することができる。
【0020】
上述のように、本方法は、プライバシーポリシーがサービスプロバイダに対して有効である場合に適用可能である。
【0021】
エンドユーザ装置とサービスプロバイダ間の通信のために、通信サーバを提供することができる。通信サーバの例には、コンピュータ及び電話ネットワークオペレータ、有線及び無線通信リンクを利用するプロバイダ、システム及び基地局、コンピュータネットワークサーバ、及びその類の少なくとも1つを含んでいる。
【0022】
実在の通信サーバとは独立して、ユーザデータは、エンドユーザ装置によってサービスプロバイダに提供することができる。
【0023】
通信サーバが適用される場合では、ユーザデータは、通信サーバによってサービスプロバイダに提供することができる、ここで、ユーザデータは、エンドユーザ装置からの指示に従って判定される。このような指示には、サービスプロバイダリクエストの応答で、サービスプロバイダに提供することができる個人データに関する情報と、サービスプロバイダに送信されるべきでない個人データの情報との少なくとも一方を含んでいる。
【0024】
ユーザデータを受信すると、サービスプロバイダは、個人情報にアクセスすることができ、要求される場合には、サービスを配信することができる。
【0025】
また、サービスプロバイダは、プライバシー受信確認データに含めることができる自身のプライバシーポリシーを提供することが可能である。
【0026】
プライバシーポリシーあるいはそれを示すデータが、プライバシー受信確認に含まれている場合、エンドユーザ装置は、追加の動作することなく、プライバシーポリシーにアクセスすることができる。多くの場合、ユーザは、プライバシーポリシー自身に関心はなく、サービスプロバイダに送信される個人情報に関する情報のみに関心がある。ここで、プライバシーポリシーに通常関与しないユーザに、各プライバシーポリシーを取得することを可能にするために、選択的にはプライバシーポリシーを含むプライバシー受信確認データが、エンドユーザ装置によるリクエストに対し、サービスプロバイダあるいはサードパーティによって提供されることが好ましい。
【0027】
プライバシー受信確認データは、ユーザの個人情報の提供に関する更なる情報を含むことができ、この個人情報は、例えば、ユーザデータがサービスプロバイダに提供される時間、プライバシー受信確認データの生成時間、ユーザのアイデンティティ、エンドユーザ装置のアイデンティティの類を示すデータである。また、プライバシー受信確認データは、プライバシーポリシーあるいは各データが提供されていることを示す情報を含めることができる。
【0028】
プライバシー受信確認データの生成に対しては、エンドユーザ装置に対して通信サーバを採用することができる。ここで、プライバシー受信確認データのエンドユーザ装置への提供は、プライバシー受信確認データを通信サーバからエンドユーザ装置へ送信することによって実行される。
【0029】
本発明に従う実施形態の方法において、サービスプロバイダは、サービスプロバイダリクエストに自身のプライバシーポリシーを示すプライバシーポリシーデータを含め、かつそれと同じものを通信サーバに送信する。通信サーバは、サービスプロバイダリクエストデータからプライバシーポリシーデータを削除し、かつ選択的にはプライバシーポリシーデータを含むプライバシー受信確認データを生成する。必要記憶容量を削減するために、例えば、ユーザが、同一のサービスプロバイダからデータリクエストを受信する場合、あるいは、ユーザが、頻繁に定常的にサービスプロバイダにアクセスする場合は、プライバシーポリシーを別々に記憶することが想定される。このため、プライバシー受信確認データは、検索のために、プライバシーポリシーにポインタを含ませることができる。
【0030】
サービスプロバイダリクエストデータで定義される、要求された個人情報に基づいて、通信サーバは、どの個人情報がサービスプロバイダによって要求されているかを示す通信サーバリクエストデータを生成し、その通信サーバリクエストデータをエンドユーザ装置へ送信する。これの応答において、エンドユーザ装置は、提供された要求された個人情報及び拒否された要求された個人情報の少なくとも一方を示す応答データを通信サーバに送信する。通信サーバは、通信サーバデータをサービスプロバイダに送信する、ここで、通信サーバデータは、応答データに含まれる個人情報、あるいはエンドユーザ装置から取得される指示に従って判定される個人情報を有している。個人情報の指示がある場合、エンドユーザ装置は、どの種類の個人情報をサービスプロバイダに提供することを通信サーバが許可しているかについての情報以外の個人情報を提供しない。個人情報に対するサービスプロバイダリクエストに関連し、かつこのような指示に従って、通信サーバは、各個人情報にアクセスするあるいは判定し、それと同じものをサービスプロバイダに送信する。このような指示には、ユーザの名前、住所、銀行アカウント、クレジットカード番号等、ユーザ及びエンドユーザ装置の位置データの提供を含み、この位置データは、移動通信システムのオペレータとして動作する通信サーバによって判定できる。好ましくは、通信サーバからサービスプロバイダに提供される個人情報は、「ハード(固定)」データ、即ち、個人情報を含む実際のデータとして送信される。セキュリティ目的のために、このような「ハード」データは、暗号化することができる。
【0031】
個人情報の提供を容易にするために、エンドユーザ装置あるいはそのユーザによる追加動作なしで自動的に、あるいはユーザの確認あるいは選択に従って、各リクエストの応答時にサービスプロバイダに送信することができる、ユーザデータを定義することができる。自動的に送信される場合、ユーザデータは、すべての要求された個人情報を含み、ユーザ動作は必要ない、あるいはユーザは、データ送信を確認するだけ、好ましくは、送信用のデータを選択するだけで良い。
【0032】
エンドユーザ装置のユーザが個人情報を提供することに同意している場合にのみ、個人情報がサービスプロバイダに提供されることを保証するために、応答データがサービスプロバイダによる要求に応じた個人情報の少なくとも1つを含んでいる場合には、ユーザデータが自動的にサービスプロバイダに送信することが想定される、即ち、応答データは、要求された個人情報の拒否だけを含むことはない。
【0033】
好ましくは、ユーザは、リクエストデータのリストを受信して、そのリストから、提供されるリクエストデータを選択する。これに従い、通信サーバに指示が提供される、この通信サーバは、例えば、ユーザデータに含まれる各個人情報をサービスプロバイダに提供することができる。
【0034】
通信サーバからエンドユーザ装置へ送信されるデータ量の削減のために、通信サーバリクエストデータを、プライバシーポリシーデータに含めないことができる。また、プライバシーポリシーデータは通信サーバによって記憶されることで、エンドユーザ装置が、必要に応じて、各リクエストを通信サーバに送信することによって、プライバシーポリシーを取得できることが好ましい。
【0035】
更なる実施形態では、サービスプロバイダとエンドユーザ装置間のデータ通信は暗号化される、そうすることで、通信サーバによる、サービスプロバイダ及びエンドユーザ装置のデータへのアクセス及び読出を禁止することができる。ここで、データ暗号化が実行されることで、通信サーバは、サービスプロバイダが、プライバシー受信確認データを生成するために個人情報を要求していることを認識することができる。また、データ暗号化は、通信サーバに、プライバシーポリシーデータを削除させることを可能にする。
【0036】
別の実施形態では、エンドユーザ装置に対する通信サーバをトンネルすることによって、即ち、通信サーバに、サービスプロバイダとエンドユーザ装置間で交換されるデータ通信(データトラフィック)をアクセスさせないことによって、サービスプロバイダリクエストデータは、サービスプロバイダから直接エンドユーザ装置によって送信される。類似の方法には、通信サーバをトンネルすることによって、ユーザデータをサービスプロバイダへ直接送信することができる。
【0037】
プライバシー受信確認データを生成するために、エンドユーザ装置は、更に、ユーザデータを通信サーバへ送信し、通信サーバは、それの応答として、プライバシー受信確認データを生成する。
【0038】
ここで、サービスプロバイダリクエストデータは、サービスプロバイダのプライバシーポリシーを含むことが想定され、これによって、エンドユーザ装置は、各プライバシーポリシーデータあるいはプライバシーポリシーを通信サーバに送信することができる。そして、通信サーバは、そのプライバシーポリシーデータをプライバシー受信確認データに記憶することができる。
【0039】
また、通信サーバあるいは他の任意のサードパーティによるアクセスを禁止するために、サービスプロバイダとエンドユーザ装置間のデータ交換を暗号化することができる。
【0040】
個人情報に対する注目のサービスプロバイダリクエストに対するプライバシーポリシーが実際のサービスプロバイダポリシーであるかどうかを証明するために、サービスプロバイダリクエストデータに対するプライバシーポリシーと、サービスプロバイダから取得される更なるプライバシーポリシーとを比較し、比較されたプライバシーポリシーが異なる場合をエンドユーザ装置へ通知することができる。その比較が、プライバシーポリシー同士が等しいことを示している場合、プライバシー受信確認データを生成することができる。この比較は、任意のフォーマットのプライバシーポリシー、例えば、テキストファイルで実行することができる。
【0041】
通信サーバの場合、通信サーバからのリクエストは、更なるプライバシーポリシーを要求するためにサービスプロバイダに送信することができる。次に、要求されたプライバシーポリシーは、通信サーバに送信され、通信サーバは、現在のサービスプロバイダリクエストに対するプライバシーポリシーと、通信サーバリクエストにおいてサービスプロバイダから取得されるプライバシーポリシーとを比較する、これは、その比較が異なる場合にエンドユーザ装置へ警告を行う、あるいはプライバシー受信確認データを生成するためである。
【0042】
上述のように、エンドユーザ装置は、プライバシーポリシーの受信確認においてプライバシーポリシーにアクセスするために、各リクエストデータによってプライバシーポリシーを要求することができる。通信サーバの場合、このようなプライバシーポリシーリクエストデータは、エンドユーザ装置から通信サーバに送信することができる、その通信サーバは、そのプライバシーポリシー、あるいはプライバシーポリシーデータを示すデータをエンドユーザ装置へ送信する。
【0043】
また、本発明は、例えば、通信サーバ、エンドユーザ装置及びコンピュータソフトウェアプログラム製品のようなシステム、装置、コンポーネント及びその類を提供する、これらは、本発明に従う基本概念、特に、プライバシー受信確認データの生成を実現し、かつ実行するように適合され、かつプログラムされている。また、これらは、上述で定義されるような本発明に従う方法を実行するように、適合され、かつプログラムされるべきである。
【0044】
<実施形態の詳細>
図1に示されるように、本発明を実行するために適合され、かつプログラムされる通信環境は、通信サーバ2を有している。通常、通信サーバ2は、オペレータの通信システム、例えば、不図示のGSMあるいはUMTSネットワークの一部である。通信サーバ2は、関係するエンドユーザ装置との間での通信を可能にしかつ制御する、このエンドユーザ装置は、例えば、図1では、移動電話4、固定電話6、ポータブルコンピュータ8及びデスクトップコンピュータシステム10を示している。
【0045】
通信のために、エンドユーザ装置4、6、8及び10は、無線通信リンク12及び14と、有線通信リンク16及び18を確立することができる。
【0046】
また、通信サーバ2は、システム、ネットワーク、装置及びサービスプロバイダ20、22及び24としてサービスを提供する類と接続される。通信サーバ2とサービスプロバイダ20、22及び24間の通信リンクは、有線及び無線通信リンク26、28及び30となり得る。
【0047】
以下では、通信サーバ2、移動電話4、無線通信リンク12、サービスプロバイダ20及び図1の有線通信リンク26を示す図2を参照する。
【0048】
図3に示されるように、移動電話4は、アンテナ32及び互いに接続されている送信/受信ユニット34を有している。アンテナ32及び送信/受信ユニット34は、通信サーバ2とのデータ通信用の通信インタフェースとして機能する。移動電話4の動作の制御に対しては、制御/処理ユニット36が、アンテナ32、送信/受信ユニット34、少なくとも1つのセキュリティアイデンティティモジュールSIM38及び無線アイデンティティモジュールWIM40及びメモリ42に対して制御するように構成されている。セキュリティアイデンティティモジュール38及び無線アイデンティティモジュール40は、別ユニットとして実現することができる、あるいは単一ユニットあるいはある要素で実現されるユニット、例えば、SIM38及びWIM40の機能を提供するチップで実現することができる。
【0049】
通信サーバ2は、図4に示されるように、移動電話4とサービスプロバイダ20との通信リンク用の通信インタフェースユニット44と、自身の動作を制御するためのプロセッサユニット46及び以下で説明されるデータを記憶するためのメモリ48を有している。
【0050】
状況A
移動電話4のユーザ(不図示)は、サービスプロバイダ20に、配信対象/提供対象のサービスを要求する。ここでは、ユーザは、移動電話4によって、サービスリクエストを、通信サーバ2を介してあるいは直接サービスプロバイダ20へ送信する。
【0051】
サービスリクエストが通信サーバ2に送信される場合、、通信サーバ2は、そのサービスリクエストをサービスプロバイダ20へ送信する。選択的には、通信サーバ2は、移動電話4からのサービスリクエストを「秘匿(bliend)」している、即ち、そのサービスリクエストのソースは、サービスプロバイダ20に未知のままであり、移動電話4とそのユーザはそれぞれ識別できない。
【0052】
移動電話4によって要求されたサービスを配信するために、サービスプロバイダ20は、ユーザ個人情報を要求する。このような個人情報の例には、名前、住所、地理的位置、銀行アカウント、クレジットカード番号、年齢、性別及びユーザの類、移動電話4の電話番号等が含まれる。個人情報保護に対しては、サービスプロバイダ20に対し有効なプライバシーポリシーが適用される、これには、個人情報が、サービスプロバイダ20によってどのようにしてアクセスされ、処理され、配信され、記憶される等のルール及び規制が含まれている。
【0053】
個人情報及びプライバシポリシーに対するリクエストは、図5に示されるリクエストPIR1として通信サーバ2に送信される。リクエストPIR1は、フラグPI−Flag、詳細個人情報リクエストPI−Request及び添付されたプライバシーポリシーPPを含んでいる。フラグPI−Flagは、受信する通信サーバ2に、サービスプロバイダから送信されるデータが個人情報に対するリクエストを含んでいることを通知する。
【0054】
リクエストPIR1の受信においては、通信サーバは、有効なフラグPI−Flagを読み出し、かつ受信確認番号PI−RNを次の情報フローに割り当てる。また、プライバシーポリシーPPは、サービスプロバイダ20で受信されたデータから消去/削除され、プライバシー受信確認データの一部として記憶される、これについては、図7を参照して以下に説明する。
【0055】
通信サーバ20は、個人情報リクエストPI−Requestを、図6に示されるリクエストPIR2によって送信する。リクエストPIR2は、詳細個人情報リクエストPI−Requestを有している、一方、プライバシーポリシーPPは、受信確認番号PI−RNによって置換されている。移動電話4に送信されたリクエストPIR2はユーザから参照することができ、このユーザは、個人情報リクエストPI−Request(一部あるいは全部)に従って(いくつかのあるいはすべての)個人情報を提供する、あるいは拒否する。例えば、様々なフィールドあるいは質問を満足する/回答する、受諾する、あるいは拒否することによって、これは達成され得る。
【0056】
ユーザが、サービスプロバイダ20に対して有効なプライバシーポリシを知りたい場合、各リクエストが、移動電話4から通信サーバ2へ送信される。このリクエストは受信確認番号PI−RNを含み、これに基づいて、通信サーバ2は移動電話4へプライバシーポリシーPPを返信する。これのために、受信確認番号PI−RNは、移動電話で表示することができる、かつ/あるいは移動電話4の、例えば、SIM38、WIM40あるいはメモリ42(図4参照)に記憶することができる。
【0057】
ユーザによって提供される個人情報は、通信サーバ2へ送信される、通信サーバ2は、例えば、ユーザがそうすることを許容している各フィールドを埋めることによって、サービスプロバイダ20からの個人情報リクエストに応答する。また、通信サーバ2は、ユーザの個人情報自身と、プライバシー受信確認データでユーザによって提供されている個人情報の種類が何であるかの情報の少なくとも一方を記憶する。更に、通信サーバ2は、プライバシー受信確認データに使用したセキュリティ方法(例えば、TLS1.0あるいはWTLS)を含み、かつ、個人情報を取得した後のサービスプロバイダ20によって、例えば、ユーザ及び自身によるプライバシーポリシーの変更を防ぐために、通信サーバ2を示すタイムスタンプ及び署名でプライバシー受信確認にサインする。
【0058】
図7では、得られるプライバシー受信確認データが示され、これには、受信確認番号PI−RN、プライバシーポリシーPP、個人情報PI−Data、使用したセキュリティ方法を識別するデータSM、通信サーバ2のタイムスタンプT及び署名2を含んでいる。
【0059】
次に、通信サーバ2は、ユーザによって提供される個人情報PI−Dataに基づいて生成されるデータを、サービスプロバイダ20へ送信する。要求された個人情報あるいは少なくともその最小部分の受信において、サービスプロバイダ20は、その要求されたサービスを配信する。この場合、通信サーバ2は、サービスプロバイダ20に関係する移動電話4を「秘匿」している場合、通信サーバ2は、要求されたサービスを配信するために、サービスプロバイダ20と移動電話4間でのマッピングを行わなければならない。そうでなければ、サービスは、移動電話4に直接配信される。
【0060】
移動電話4のユーザが、通信サーバ2によって記憶されるプライバシー受信確認データにアクセスしたいと想定し、例えば、プライバシーポリシー違反であることをユーザが認めている場合、プライバシー受信確認リクエストが移動電話4から通信サーバ2へ送信され、通信サーバ2は、プライバシー受信確認リクエストに含まれる受信確認番号PI−RNに基づいて、要求されたプライバシー受信確認データを返信する。
【0061】
プライバシー受信確認リクエストは、受信確認番号PI−RNが移動電話4で利用可能である限り、プライバシー受信確認データに含まれる実際のデータとは独立している上述の処理中あるいは処理後に、移動電話4からいつでも発行することができることに注意されたい。
【0062】
選択的には、ユーザによって移動電話4で提供される個人情報PI−Dataは、個人情報PI−Dataをプライバシー受信確認データに追加する代りに、移動電話4に記憶することができる。この場合、個人情報PI−Dataは、移動電話4での受信において、通信サーバ2から要求されるプライバシー受信確認とマージすることができる。
【0063】
状況B
通信サーバ2が、移動電話4とサービスプロバイダ20間のデータ交換、特に、ユーザによって提供される個人情報へのアクセス及び読出が許容されない状態で、移動電話4のユーザが、データ通信のために、サービスプロバイダ20との接続を要求したいと想定すると、以下の処理を適用することができる。
【0064】
状況Aと比較すると、サービスリクエストは、移動電話4からサービスプロバイダ20へ送信される。次に、移動電話4とサービスプロバイダ20間のデータ通信用に採用されるセキュリティ方法として、例えば、暗号化、認証、証明方法及びその類が取り決められ、かつ合意される。
【0065】
次に、サービスプロバイダ20は、図8に示されるリクエストPIR3を通信サーバ2へ送信する。リクエストPIR3は、合意されたセキュリティ方法によって保護される、例えば、リクエストPIR3は、少なくとも一部が暗号化される。暗号化セキュリティ方法は、個人情報がサービスプロバイダによって要求され、かつプライバシー受信確認が生成されるべきであることを通知するために、通信サーバ2がフラグPI−Flagを認識/読出できることを保証しなければならない。
【0066】
また、セキュリティ方法は、通信サーバ2が上述のプライバシーポリシーPPを削除できることを許容すべきである。例えば、リクエストPIR3は暗号化できるので、詳細個人情報リクエストPI−Requestだけが暗号化され、フラグPI−Flag及びプライバシーポリシーPPは暗号化されない。選択的には、プライバシーポリシーPPを暗号化し、追加のフラグを付加することができるので、通信サーバ2は、このフラグによってプライバシーポリシーPPを削除することができる。このような状況では、移動電話4及びサービスプロバイダ20によって採用されるセキュリティ方法は、移動電話4とサービスプロバイダ20に対する個々のプライバシーポリシーとして見なすことができるので、セキュリティ方法を、プライバシーポリシーPPに含めることができる。
【0067】
リクエストPIR3の受信において、通信サーバ2は、フラグPI−Flagを「通知」し、受信確認番号PI−RNをこのリクエストに割り当てる。また、通信サーバ2は、プライバシーポリシーPPを切り離し、受信確認番号PI−RNと一緒にプライバシー受信確認データに記憶する。これについては、以下で、図10を参照して説明する。
【0068】
このようなリクエストPIR3の暗号化は図8で示され、ここでは、イタリック表記が暗号化データを示している。
【0069】
以下では、通信サーバ2は、リクエストPIR4を移動電話4へ送信する、これには、図9に示される、受信確認番号PI−RN及び暗号化個人情報リクエストPI−Requestを含んでいる。リクエストPIR2(図6参照)と比較すると、リクエストPIR4は、プライバシーポリシーPPを含んでない。図9のイタリック部分が、暗号化されるデータを示している。
【0070】
移動電話4は、リクエストPIR4を解読し、個人情報リクエストの(一部あるいは全部)に回答するあるいは拒否し、提供される個人情報PI−Dataを暗号化し、そして、同一のものを通信サーバ2へ返信する。
【0071】
通信サーバ2は、移動電話4からの暗号化個人情報PI−Dataをプライバシー受信確認データに記憶し、これには、上述のものに加えて、図10に示されるプライバシー受信確認データとなるデータを含んでいる。ここで、図10のイタリック部分は、暗号化データを示している。
【0072】
暗号化個人情報PI−Dataは、サービスプロバイダ20へ送信される、このサービスプロバイダ20は、その応答において、要求されたサービスを移動電話4へ配信する。
【0073】
選択的には、個人情報PI−Dataは、異なるキーで暗号化された2つのコピーで、通信サーバ2へ送信される。第1のコピーは、プライバシー受信確認データに記憶し、ユーザによって解読するために、ユーザのキーで暗号化される。第2のコピーは、サービスプロバイダの公開キーによって暗号化され、解読するサービスプロバイダへ送信される。選択的には、個人情報PI−Dataの1つの暗号化コピーが送信される。
【0074】
但し、後者では、ユーザ及びサービスプロバイダがその情報を解読できることを必要とする。これは問題が発生し得る、これは、ユーザとサービスプロバイダの組み合わせそれぞれに対してキーの組が帰属する場合、ユーザ及びサービスプロバイダによる解読を管理することが難しくなるからである。
【0075】
状況Aで説明されるように、移動電話4は、各プライバシー受信確認リクエストによってプライバシー受信確認データにアクセスすることができる。ここで、合意されたセキュリティ方法は、暗号化データ部分を解読する移動電話4で利用可能であるべきことに注意する必要がある。
【0076】
状況A+B
例えば、機能を満足する個人情報リクエスト用、ユーザの移動電話4あるいは個人プリファレンスの地理的位置のような任意の情報用及び、暗号化及び非暗号化データを含む移動電話4及びサービスプロバイダ20間のデータ通信を実行するために、状況A及びBの組み合わせあるいは混合も可能である。
【0077】
状況C
以下では、移動電話4及びサービスプロバイダ20間のデータ通信の少なくとも一部が、同一の「トンネリング(tunneling)」によって通信サーバ2で直接実行される処理を示す、つまり、通信サーバ2は、移動電話4及びサービスプロバイダ20間のデータトラフィックにはアクセスすることができない。
【0078】
セキュリティ方法が移動電話4及びサービスプロバイダ20間のデータ通信で合意されるまでは、状況Cの処理は、状況Bで説明される各ステップに対応する。ここで、適用されるべきセキュリティ方法は、通信サーバ2がトンネルされるべきということの同意を含んでいる。
【0079】
次に、サービスプロバイダ20は、個人情報リクエストを移動電話4送信する、ここで、上述のPI−Flagは要求されない。選択的には、サービスプロバイダ20は、このリクエストに自身のプライバシーポリシーを含める。
【0080】
そのリクエストの応答においては、移動電話4は、個人情報をサービスプロバイダ20へ返信し、更に、個人情報を、選択的には、暗号化データとして、記憶用の通信サーバ2へ送信する。
【0081】
プライバシー受信確認の生成に対しては、通信サーバ2は、受信確認番号を、移動電話4から取得される暗号化個人情報に割り当て、その受信確認番号を移動電話4へ返信する。上述のように、プライバシー受信確認は、通信サーバ2に関連付けられているタイムスタンプ、署名及びその類を含んでいる。
【0082】
移動電話4によって通信サーバ2からプライバシー受信確認を取得するために、上述の説明が参照される。
【0083】
プライバシー受信確認にプライバシーポリシーを含めるために、個人情報リクエストでサービスプロバイダから受信されるプライバシーポリシーは、移動電話4によって通信サーバ2へ送信される。セキュリティの拡張レベルに対しては、通信サーバ2は、更に、サービスプロバイダ20からプライバシーポリシーを要求して、移動電話から受信するプライバシーポリシーと、サービスプロバイダ20から受信するプライバシーポリシーとを比較することができる。この比較が、受信したプライバシーポリシー同士が等しいことを示している場合、プライバシーポリシーはプライバシー受信確認に記憶される。そうでなければ、通信サーバ2は、各警告メッセージを発信することによって、移動電話4のユーザに警告する。
【0084】
状況D
別の実施形態あるいは上述の実施形態の更なる追加構成として、サービスプロバイダ20への個人情報の提供を、移動電話4から取得され、またそのユーザによって定義される指示に従って通信サーバ2によって実行することができる。この指示あるいはインジケータデータは、どの種類の個人データを、ユーザが、個人情報のリクエストの応答でサービスプロバイダ20へ送信することを許容しているかについてを示す通信サーバ2に対する情報を有している。例えば、この指示は、サービスプロバイダ20からのリクエストにおいて、名前、住所、銀行アカウント、クレジットカード番号及びユーザの類がサービスプロバイダ20へ提供されることを通信サーバ2に通知する。サービスプロバイダ20へ個人情報を提供する方法は、ユーザ及び移動電話4が、それぞれ、実際に提供する個人情報を含めないという利点があり、これは、ユーザに対する快適性の向上、かつ移動電話4と通信サーバ2間で通信されるデータ量の削減をもたらす。個人情報に対するサービスプロバイダリクエストがリストあるいは質問票の形態である場合、通信サーバ2は、移動電話4からの指示に従って、各フィールドを埋める、あるいは各質問に回答する。
【0085】
また、このサービスプロバイダへの個人情報を提供する方法は、エンドユーザ装置あるいはそのユーザには実際には提供されない、あるいは追加の動作でのみ提供される、個人情報の通信を可能にする。例えば、このような個人情報には、エンドユーザ装置及びそのユーザの地理的位置、実効データ転送率あるいは帯域幅、通信リンクの信頼性及びその類を含んでいる。また、このような個人情報は、例えば、エンドユーザ装置の位置の移動環境オペレータとして動作する通信サーバの場合、たいてい、その通信サーバによって提供することができる。次に、各指示において、通信サーバは、このような個人情報を、その指示に従って提供する。
【0086】
例えば、各注文に対して、ユーザの名前、住所及びクレジットカード番号を要求する食品配達サービスの定期注文を行うユーザは、毎回、その情報を提供することで信頼される。つまり、上述の通信サーバ2による個人情報の提供は、ユーザに対するこのようなサービスの要求を簡略化する。一方、この処理は、個人情報に対するセキュリティを損なわない、これは、ユーザが、どのような個人情報が食品配達サービスに提供されなければならず、各プライバシーポリシーの観点で必要な情報を提供することに同意し、そして、通信サーバにこれらの情報を提供することを許可する、そうでなければ、食品の注文が達成されないことを知っているからである。
【0087】
別構成
移動電話4のユーザは、個人情報の専用セット、あるいは移動電話4の技術データのような追加のユーザ関連情報をサービスプロバイダ20に送信することに同意することができる。このようなデータは、サービスプロバイダ20への送信、プライバシー受信確認データ、移動電話4及び通信サーバ2による記憶、暗号化等に関する上述の個人情報と類似の方法で処理することができる。
【0088】
これは、通信サーバ2が各データを提供し、個人情報に対するサービスプロバイダリクエストの応答及び個人情報の提供の少なくとも一方で、通信サーバ2に記憶されているデータを自動的にサービスプロバイダ20へ送信することを可能にすることによって達成することができる。
【0089】
また、自動的に送信する送信対象のデータは、移動電話4によって提供され、これは、例えば、SIM38、WIM40あるいはメモリ42に記憶され、そして、実際の環境に関係する通信サーバ2及びサービスプロバイダ20へ送信することができる。
【0090】
これは、特に、(個人)情報が頻繁にあるいは定期的に要求される場合には、サービスプロバイダ20に対して要求したサービスをユーザが取得することを容易にする。加えて、この処理は、移動電話4と通信サーバ2間のデータ通信を最小化する。個人情報保護のために、このようなサービスプロバイダ20への(個人)情報の自動送信は、移動電話4のユーザが、現在要求しているサービスについて個人情報を提供することを実際に同意している場合にのみ許可されるべきである。
【0091】
通信サーバ2及び移動電話4の少なくとも一方によって記憶されるデータを最小化するために、現在要求されているサービスに関連する、実際に受信したプライバシーポリシーが既に記憶されているかどうかをチェックすることができる。
【0092】
プライバシー受信確認へのアクセスのために、エンドユーザ装置のディスプレイ上にアイコンを提供することができる。このようなアイコンは、サービスプロバイダに個人データが送信されたか否かに依存して、様々な形態を持たせることができる。アイコンがアクセスされる場合には、個人データが送信されたサービスプロバイダのリストが表示されることが好ましく、また、そのリストから所望の個人情報の送信を選択すると、選択されたサービスプロバイダに対する各プライバシー受信確認が提供される、例えば、エンドユーザ装置へダウンロードされる。
【0093】
例えば、アイコンは、以下の表現及び機能を有する目(eye)の形態を持つことができる。
【0094】
閉じた目:個人情報は提供されていない。
【0095】
開いた目:個人情報が、実際のセッション中に提供されている。この状況において、セッションは、ユーザ装置との通信期間あるいは所定使用時間「動作する(switched on)」ことができる。
【0096】
上述のように、この目は、サードパーティに対する個人情報送信履歴へのアクセス、即ち、プライバシー受信確認のアクセスのために使用することができる。
【0097】
適用例
本発明を実行する方法例によって、以下の適用が説明される。ユーザは、現金で辛いピザの配達を注文する。オペレータ(即ち、上述の説明での通信サーバ)は、そのユーザの「ピザプロファイル」を記憶している、これには、ピザの注文によって提供されるユーザの個人情報を含んでいる。ユーザは、オペレータからピーザ配達サービスを選択する、オペレータは、その応答として、注文を、配達を行うピザ店に送信する。ピザ店は、例えば、ユーザの位置、クレジットカード番号、ピザプロファイルを要求し、オペレータに自身のプライバシーポリシーを送信する。オペレータは、プライバシー受信確認を生成し、その要求をユーザへ送信する。次に、ユーザは、位置及びピザプロファイルに関連する情報を提供することに同意するが、クレジットカード番号を提供することを拒否する。ユーザのこの応答はオペレータへ送信される、オペレータは、位置及びユーザのピザプロファイルは含めるが、クレジットカード番号は含めずに、それらをピザ店へ送信する。オペレータは、どのような種類の個人情報がピザ店に送信されたかを記憶する。
【0098】
上述のアイコンを参照すると、目は起動される、即ち、個人情報を提供するユーザの同意がオペレータに送信される場合には、目が開かれる。このユーザは、提供されるべき個人情報が送信されるサービスのリストを有する目をクリックすることができる。例えば、ユーザは、ピザ配達サービスを選択し、それによって、オペレータからプライバシー受信確認を要求し、同様のものをユーザへ返信する。
【図面の簡単な説明】
【0099】
【図1】本発明を使用するための通信環境を示す図である。
【図2】図1の通信環境の一部を示す図である。
【図3】本発明に従うエンドユーザ装置を示す図である。
【図4】本発明に従う通信サーバを示す図である。
【図5】本発明に従うデータ構造を示す図である。
【図6】本発明に従うデータ構造を示す図である。
【図7】本発明に従うデータ構造を示す図である。
【図8】本発明に従うデータ構造を示す図である。
【図9】本発明に従うデータ構造を示す図である。
【図10】本発明に従うデータ構造を示す図である。
Claims (26)
- サービスプロバイダ(20)によって要求されるユーザデータに対する個人情報アクセス制御方法であって、
サービスプロバイダリクエストデータ(PIR1、PIR3)をサービスプロバイダ(20)からエンドユーザ装置(4)へ提供するステップと、前記サービスプロバイダリクエストデータ(PIR1、PIR3)は、前記サービスプロバイダ(20)によってアクセスされる前記エンドユーザ装置(4)のユーザの個人情報を示し、
前記サービスプロバイダ(20)によって要求される前記ユーザの個人情報及び前記サービスプロバイダ(20)によって要求される個人情報の拒否との少なくとも一方を含む第1ユーザデータ(PI−Data)を前記サービスプロバイダ(20)に提供するステップと、
前記第1ユーザデータ(PI−Data)あるいはその一部と、前記サービスプロバイダ(20)を示すデータとの少なくとも一方を含むプライバシ受信確認データを生成するステップと、
前記エンドユーザ装置(4)によるアクセス用に、前記プライバシ受信確認データを提供するステップと
を備えることを特徴とする方法。 - 前記サービスプロバイダ(20)に対し、プライバシポリシーが有効となっている
ことを特徴とする請求項1に記載の方法。 - 前記エンドユーザ装置(4)と前記サービスプロバイダ(20)間の通信は、通信サーバ(2)を介して実行される
ことを特徴とする請求項1あるいは2に記載の方法。 - 前記第1ユーザデータ(PI−Data)は、前記エンドユーザ装置(4)によって、前記サービスプロバイダ(20)に提供される
ことを特徴とする請求項1乃至3のいずれか1項に記載の方法。 - 前記第1ユーザデータ(PI−Data)は、前記サービスプロバイダ(20)に提供される個人情報の前記エンドユーザ装置(4)の指示に従って、前記通信サーバ(2)より、前記サービスプロバイダ(20)に提供される
ことを特徴とする請求項3あるいは4に記載の方法。 - 前記プライバシー受信確認データは、前記エンドユーザ装置(4)からのプライバシー受信確認リクエストデータの応答で提供される
ことを特徴とする請求項1乃至5のいずれか1項に記載の方法。 - エンドユーザ装置サービスリクエストを前記サービスプロバイダ(20)へ送信するステップと、前記エンドユーザ装置サービスリクエストは、前記サービスプロバイダ(20)によってサービスが配信される前記エンドユーザ装置(4)からのリクエストを示し、
前記個人情報(PI−Data)の受信確認において、前記サービスプロバイダ(20)によってサービスを配信するステップとの少なくとも1つを更に備える
ことを特徴とする請求項1乃至6のいずれか1項に記載の方法。 - 前記サービスプロバイダリクエストデータ(PIR1、PIR3)を前記サービスプロバイダ(20)から前記通信サーバ(2)に送信するステップと、
前記通信サーバ(2)によって前記プライバシー受信確認データを生成するステップと、
前記通信サーバ(2)によって、前記要求された個人情報を示す通信サーバリクエストデータ(PIR2、PIR4)を生成するステップと、
前記通信サーバリクエストデータ(PIR2、PIR4)を前記通信サーバ(2)から前記エンドユーザ装置(4)へ送信するステップと
を更に備えることを特徴とする請求項3乃至7のいずれか1項に記載の方法。 - 前記第1ユーザデータ(PI−Data)を前記エンドユーザ装置(4)から前記通信サーバ(2)へ送信するステップと、
前記第1ユーザデータ(PI−Data)に従って個人情報の少なくとも一部を含む通信サーバデータを、前記通信サーバ(2)から前記サービスプロバイダ(20)へ送信するステップと
を更に備えることを特徴とする請求項8に記載の方法。 - インジケータデータを前記エンドユーザ装置(4)から前記通信サーバ(2)へ送信するステップと、前記インジケータデータは、前記サービスプロバイダ(20)から提供される個人情報を示し、
前記インジケータに従って個人情報の少なくとも一部を含む通信サーバデータを、前記通信サーバ(2)から前記サービスプロバイダ(20)へ送信するステップと
を更に備えることを特徴とする請求項3乃至9のいずれか1項に記載の方法。 - 前記通信サーバ(2)をトンネルすることによって、前記サービスプロバイダリクエストデータ(PIR1、PIR3)を前記サービスプロバイダ(20)から前記エンドユーザ装置(4)へ直接送信するステップと、
前記通信サーバ(2)をトンネルすることによって、前記第1ユーザデータ(PI−Data)を前記エンドユーザ装置(4)から前記サービスプロバイダ(20)へ直接送信するステップとの少なくとも1つを更に備える
ことを特徴とする請求項3乃至10のいずれか1項に記載の方法。 - 前記第1ユーザデータ(PI−Data)を前記エンドユーザ装置(4)から前記通信サーバ(2)へ送信するステップと、
前記第1ユーザデータ(PI−Data)の受信確認において、前記通信サーバ(2)によって前記プライバシー受信確認データを生成するステップと
を更に備えることを特徴とする請求項11に記載の方法。 - 前記サービスプロバイダリクエストデータ(PIR1、PIR3)に、前記プライバシポリシーを示すプライバシーポリシーデータ(PP)を含ませるステップと
を更に備えることを特徴とする請求項2乃至12のいずれか1項に記載の方法。 - 前記サービスプロバイダリクエストデータ(PIR1、PIR3)から前記プライバシーポリシーデータ(PP)を削除するステップと、
前記プライバシー受信確認データに、前記プライバシーポリシーデータ(PP)あるいは前記プライバシーポリシーデータ(PP)を示すポインターデータを含ませるステップと
を更に備えることを特徴とする請求項13に記載の方法。 - 前記エンドユーザ装置(4)に提供されるサービスプロバイダリクエストデータ(PIR1、PIR3)は、前記サービスプロバイダリクエストデータ(PIR1、PIR3)の提供に対して割り当てられている受信確認番号データ(PI−RN)を有する
ことを特徴とする請求項1乃至14のいずれか1項に記載の方法。 - 前記受信確認番号データ(PI−RN)は、前記プライバシー受信確認データに記憶される
ことを特徴とする請求項15に記載の方法。 - 前記プライバシーポリシーデータ(PP)を、前記エンドユーザ装置(4)から前記通信サーバ(2)へ送信するステップと、
前記通信サーバ(2)によって、前記プライバシーポリシーデータ(PP)を、前記プライバシー受信確認データに含ませるステップと
を更に備えることを特徴とする請求項13乃至16のいずれか1項に記載の方法。 - 前記サービスプロバイダリクエスト(PIR1、PIR3)に対するプライバシーポリシーデータ(PP)と、前記サービスプロバイダ(20)から取得される更なるプライバシーポリシーデータとを比較するステップと
を更に備えることを特徴とする請求項1乃至17のいずれか1項に記載の方法。 - 前記比較が異なる場合、前記エンドユーザ装置(4)へ警告データを提供するステップと、前記警告データは、前記サービスプロバイダリクエストデータ(PIR1、PIR3)に対する前記プライバシーポリシーデータ(PP)と、前記更なるプライバシーポリシーデータとが等しくないことを示し、
前記比較が、前記サービスプロバイダリクエストデータ(PIR1、PIR3)に対する前記プライバシーポリシーデータ(PP)と、前記更なるプライバシーポリシーデータとが等しいことを示している場合、前記プライバシー受信確認データを生成するステップとの少なくとも1つを更に備える
ことを特徴とする請求項18に記載の方法。 - 通信サーバプライバシーポリシーリクエストデータを、前記通信サーバ(2)から前記サービスプロバイダ(20)へ送信するステップと、前記通信サーバプライバシーポリシーリクエストデータは、前記更なるプライバシーポリシーデータを示し、
前記更なるプライバシーポリシーデータを、前記サービスプロバイダ(20)から前記通信サーバ(2)へ送信するステップと、
前記通信サーバ(2)によって、前記プライバシーポリシーデータの前記比較を実行するステップと
を更に備えることを特徴とする請求項18あるいは19に記載の方法。 - 前記エンドユーザ装置(4)からのプライバシーポリシーリクエストデータを送信するステップと、前記プライバシーポリシーデータは、前記プライバシーポリシーデータ(PP)へアクセスするための前記エンドユーザ装置(4)のリクエストを示し、
前記エンドユーザ装置(4)によるアクセスのために、前記プライバシーポリシーデータを、前記エンドユーザ装置(4)へ送信するステップと
を更に備えることを特徴とする請求項1乃至20のいずれか1項に記載の方法。 - エンドユーザ装置(4)とサービスプロバイダの少なくとも一方と、データ通信を行う通信手段(44)と、
サービスプロバイダ(20)による要求において、前記エンドユーザ装置(4)によって提供される個人情報を示すプライバシー受信確認データを生成する手段(46、48)と
を備えることを特徴とする通信サーバ。 - 前記通信手段(44)及び前記プライバシー受信確認データを生成する手段(46、48)の少なくとも一方は、請求項1乃至21のいずれか1項に従うステップを実行するように、適合され、かつプログラムされている
ことを特徴とする請求項22に記載の通信サーバ。 - エンドユーザ装置(4)であって、
通信プロバイダ(2)とサービスプロバイダ(20)の少なくとも一方と、データ通信を行う通信手段(32、34)と、
請求項1乃至21のいずれか1項に従うステップを実行するように、適合され、かつプログラムされている手段(36、38、40、42)と
を備えることを特徴とするエンドユーザ装置。 - 請求項1乃至21のいずれか1項に従うステップを実行するためのプログラムコード部分を備えることを特徴とするコンピュータプログラム製品。
- コンピュータ可読記録媒体に記憶されていることを特徴とする請求項25に記載のコンピュータプログラム製品。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP01125568A EP1307019A1 (en) | 2001-10-25 | 2001-10-25 | Method and apparatus for personal information access control |
PCT/EP2002/011416 WO2003036900A2 (en) | 2001-10-25 | 2002-10-11 | Method and apparatus for personal information access control |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005506642A true JP2005506642A (ja) | 2005-03-03 |
Family
ID=8179080
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003539265A Pending JP2005506642A (ja) | 2001-10-25 | 2002-10-11 | 個人情報アクセス制御方法及び装置 |
Country Status (8)
Country | Link |
---|---|
US (1) | US20050086061A1 (ja) |
EP (2) | EP1307019A1 (ja) |
JP (1) | JP2005506642A (ja) |
CN (1) | CN1575578B (ja) |
AT (1) | ATE516650T1 (ja) |
AU (1) | AU2002340554A1 (ja) |
CA (1) | CA2463952A1 (ja) |
WO (1) | WO2003036900A2 (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007522723A (ja) * | 2004-02-02 | 2007-08-09 | サムスン エレクトロニクス カンパニー リミテッド | イベント情報が含まれた動画データが記録された記録媒体、再生装置及びその再生方法 |
JP2010092110A (ja) * | 2008-10-03 | 2010-04-22 | Fujitsu Ltd | 個人情報システム |
JP2012523756A (ja) * | 2009-04-08 | 2012-10-04 | ティヴォ インク | コンタクト情報自動送信システム |
US9467439B2 (en) | 2012-09-19 | 2016-10-11 | Panasonic Intellectual Property Corporation Of America | Access control method, access control system, communication terminal, and server |
Families Citing this family (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7469416B2 (en) * | 2002-11-05 | 2008-12-23 | International Business Machines Corporation | Method for automatically managing information privacy |
US20050076233A1 (en) * | 2002-11-15 | 2005-04-07 | Nokia Corporation | Method and apparatus for transmitting data subject to privacy restrictions |
US7631048B2 (en) * | 2003-09-24 | 2009-12-08 | Microsoft Corporation | Method and system for personal policy-controlled automated response to information transfer requests |
US8464311B2 (en) * | 2004-10-28 | 2013-06-11 | International Business Machines Corporation | Method and system for implementing privacy notice, consent, and preference with a privacy proxy |
EP1829316B1 (en) * | 2004-12-22 | 2011-06-22 | Telefonaktiebolaget LM Ericsson (publ) | Means and method for control of personal data |
US20060161666A1 (en) * | 2005-01-18 | 2006-07-20 | International Business Machines Corporation | Apparatus and method for controlling use of instant messaging content |
FR2881303A1 (fr) | 2005-01-24 | 2006-07-28 | France Telecom | Procede de gestion des donnees personnelles des utilisateurs de services vocaux et serveur d'application pour la mise en en oeuvre de ce procede |
US8326767B1 (en) * | 2005-01-31 | 2012-12-04 | Sprint Communications Company L.P. | Customer data privacy implementation |
KR100851976B1 (ko) * | 2006-11-14 | 2008-08-12 | 삼성전자주식회사 | 신뢰할 수 있는 장치를 사용하여 개인정보를 전송하는 방법및 장치 |
US20080270802A1 (en) * | 2007-04-24 | 2008-10-30 | Paul Anthony Ashley | Method and system for protecting personally identifiable information |
CN101232442A (zh) * | 2008-01-09 | 2008-07-30 | 中兴通讯股份有限公司 | 一种策略控制的方法 |
US20120066037A1 (en) * | 2009-05-22 | 2012-03-15 | Glen Luke R | Identity non-disclosure multi-channel auto-responder |
CN102405475B (zh) * | 2009-07-16 | 2015-07-29 | 松下电器产业株式会社 | 访问控制装置、访问控制方法、程序、记录介质及集成电路 |
CN102098271B (zh) | 2009-12-10 | 2015-01-07 | 华为技术有限公司 | 用户信息的获取方法、装置和系统 |
CN103986728B (zh) * | 2014-05-30 | 2017-05-24 | 华为技术有限公司 | 用户数据的处理方法和装置 |
CN104754057A (zh) * | 2015-04-13 | 2015-07-01 | 成都双奥阳科技有限公司 | 一种数据通信中用户信息保护方法 |
US10693954B2 (en) * | 2017-03-03 | 2020-06-23 | International Business Machines Corporation | Blockchain-enhanced mobile telecommunication device |
JP7207114B2 (ja) * | 2019-04-09 | 2023-01-18 | 富士通株式会社 | 情報処理装置および認証情報処理方法 |
US10880331B2 (en) * | 2019-11-15 | 2020-12-29 | Cheman Shaik | Defeating solution to phishing attacks through counter challenge authentication |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6104716A (en) * | 1997-03-28 | 2000-08-15 | International Business Machines Corporation | Method and apparatus for lightweight secure communication tunneling over the internet |
US6438544B1 (en) * | 1998-10-02 | 2002-08-20 | Ncr Corporation | Method and apparatus for dynamic discovery of data model allowing customization of consumer applications accessing privacy data |
US6073106A (en) * | 1998-10-30 | 2000-06-06 | Nehdc, Inc. | Method of managing and controlling access to personal information |
AU4821000A (en) * | 1999-05-05 | 2000-11-17 | Contact Networks, Inc. | Method and apparatus for publishing and synchronizing selected user information over a network |
US6269349B1 (en) * | 1999-09-21 | 2001-07-31 | A6B2, Inc. | Systems and methods for protecting private information |
US6678516B2 (en) * | 2001-05-21 | 2004-01-13 | Nokia Corporation | Method, system, and apparatus for providing services in a privacy enabled mobile and Ubicom environment |
-
2001
- 2001-10-25 EP EP01125568A patent/EP1307019A1/en not_active Withdrawn
-
2002
- 2002-10-11 AT AT02774703T patent/ATE516650T1/de not_active IP Right Cessation
- 2002-10-11 AU AU2002340554A patent/AU2002340554A1/en not_active Abandoned
- 2002-10-11 US US10/493,710 patent/US20050086061A1/en not_active Abandoned
- 2002-10-11 CA CA002463952A patent/CA2463952A1/en not_active Abandoned
- 2002-10-11 CN CN02821059XA patent/CN1575578B/zh not_active Expired - Fee Related
- 2002-10-11 EP EP02774703A patent/EP1438819B1/en not_active Expired - Lifetime
- 2002-10-11 JP JP2003539265A patent/JP2005506642A/ja active Pending
- 2002-10-11 WO PCT/EP2002/011416 patent/WO2003036900A2/en active Application Filing
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007522723A (ja) * | 2004-02-02 | 2007-08-09 | サムスン エレクトロニクス カンパニー リミテッド | イベント情報が含まれた動画データが記録された記録媒体、再生装置及びその再生方法 |
JP2010092110A (ja) * | 2008-10-03 | 2010-04-22 | Fujitsu Ltd | 個人情報システム |
US8640185B2 (en) | 2008-10-03 | 2014-01-28 | Fujitsu Limited | Personal-information managing apparatus and personal-information handling apparatus |
JP2012523756A (ja) * | 2009-04-08 | 2012-10-04 | ティヴォ インク | コンタクト情報自動送信システム |
US9467439B2 (en) | 2012-09-19 | 2016-10-11 | Panasonic Intellectual Property Corporation Of America | Access control method, access control system, communication terminal, and server |
Also Published As
Publication number | Publication date |
---|---|
EP1438819B1 (en) | 2011-07-13 |
EP1438819A2 (en) | 2004-07-21 |
WO2003036900A2 (en) | 2003-05-01 |
CN1575578A (zh) | 2005-02-02 |
ATE516650T1 (de) | 2011-07-15 |
AU2002340554A1 (en) | 2003-05-06 |
EP1307019A1 (en) | 2003-05-02 |
CA2463952A1 (en) | 2003-05-01 |
CN1575578B (zh) | 2010-06-23 |
US20050086061A1 (en) | 2005-04-21 |
WO2003036900A3 (en) | 2003-09-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2005506642A (ja) | 個人情報アクセス制御方法及び装置 | |
US7054648B2 (en) | Location privacy proxy server and method in a telecommunication network | |
US7418256B2 (en) | Method of invoking privacy | |
EP1561322B1 (en) | Method and apparatus for transmitting data subject to privacy restrictions | |
US7110372B2 (en) | Transmission of carry-on objects using a wireless ad-hoc networking environment | |
US7076558B1 (en) | User-centric consent management system and method | |
US7752272B2 (en) | System and method for filter content pushed to client device | |
US20130173712A1 (en) | Method for selectively distributing information in a computer or communication network, and physical entities therefor | |
US20030236867A1 (en) | System for managing program stored in storage block of mobile terminal | |
JP2006338587A (ja) | アクセス制御サーバ、利用者端末及び情報アクセス制御方法 | |
JP2005536787A (ja) | プライバシーポリシーに従ってクッキーを管理する方法及びシステム | |
CN102301674A (zh) | 有助于至接入网络的连接的系统和方法 | |
US7120695B2 (en) | Method for limiting conveyance information of user profile within mobile Internet transactions | |
US7877598B2 (en) | Method for transmitting encrypted user data objects | |
EP1531641A2 (en) | A server apparatus | |
US7930765B2 (en) | Control of consumption of media objects | |
JP2003248659A (ja) | コンテンツへのアクセス制御のための方法とコンテンツへのアクセス制御のためのシステム | |
Nilsson et al. | Privacy enhancements in the mobile internet | |
CN110263529A (zh) | 应用智能合约的摇号数据上链方法及其设备 | |
US20050015617A1 (en) | Internet security | |
JP2003281089A (ja) | データ処理方法、情報通信端末装置、サーバ及びソフトウェアプログラム | |
WO2012136652A1 (en) | System of communicating user information for web services | |
US20070124808A1 (en) | System and method for providing bi-directional communication service | |
KR20060088790A (ko) | 웹하드 및 모바일 하드를 이용한 시간인증 방법과 시스템 | |
Holtmanns | Privacy in a mobile environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050527 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081208 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090224 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090319 |