JP2006004301A - データを管理する方法および情報処理装置 - Google Patents
データを管理する方法および情報処理装置 Download PDFInfo
- Publication number
- JP2006004301A JP2006004301A JP2004181912A JP2004181912A JP2006004301A JP 2006004301 A JP2006004301 A JP 2006004301A JP 2004181912 A JP2004181912 A JP 2004181912A JP 2004181912 A JP2004181912 A JP 2004181912A JP 2006004301 A JP2006004301 A JP 2006004301A
- Authority
- JP
- Japan
- Prior art keywords
- data
- identifier
- encrypted
- partial
- element data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】 簡単な手順により達成された効果的な個人情報保護方法を提供する情報処理装置を提供すること。
【解決手段】 本発明による情報処理装置は、データを複数の部分データに分割するステップ(207)と、それぞれの部分データに前記複数の部分データの間の相互関係を一意的に定義する識別子を割り当てるステップ(207)と、前記識別子を暗号化して、暗号化識別子を生成するステップ(208)と、前記複数の部分データと前記複数の部分データを構成するそれぞれの部分データに付加され暗号化された暗号化識別子とを記憶手段に記憶するステップと、前記記憶手段に記憶されている前記暗号化識別子を前期識別子に復号し、前記記憶手段に記憶されている前記複数の部分データを、前記復号された識別子によって定義される相互関係を用いて分割前のデータに復元するステップを実行するものである。
【選択図】 図2
【解決手段】 本発明による情報処理装置は、データを複数の部分データに分割するステップ(207)と、それぞれの部分データに前記複数の部分データの間の相互関係を一意的に定義する識別子を割り当てるステップ(207)と、前記識別子を暗号化して、暗号化識別子を生成するステップ(208)と、前記複数の部分データと前記複数の部分データを構成するそれぞれの部分データに付加され暗号化された暗号化識別子とを記憶手段に記憶するステップと、前記記憶手段に記憶されている前記暗号化識別子を前期識別子に復号し、前記記憶手段に記憶されている前記複数の部分データを、前記復号された識別子によって定義される相互関係を用いて分割前のデータに復元するステップを実行するものである。
【選択図】 図2
Description
本発明は、広くは、データの保護に関し、より詳しくは、個人情報を含むデータの一部または全部が第三者に漏洩した場合であっても全体としての個人情報が保護されるようにデータを分割および管理する方法に関する。
近年、個人情報保護の大切さが注目されている。個人情報を扱う企業や団体は、個人情報の漏洩があると、社会的信用を失うことになる。 近年、企業においては、一時の利益を得ることよりも、社会的信用を得ることの大切さが注目されている。企業が社会的信用を失わないためには、扱う個人情報の保護が必須事項である。
従来、個人情報の保護には、個人情報を扱う人の制限、扱う人が使用できる権限の制限などを行うために、アクセス制限、認証、ログ管理などの対策が行われてきた。 これら対策は、非常に効果的である。しかしながら、これまでの技術では、データ入力を請け負う会社内での作業は、個人情報を見ずには仕事ができないために、個人情報が漏洩するかどうかは、作業に関係する人間のモラルに依存しるしかなく問題であった。
また、個人情報を扱うデータベースシステムを管理する、外部コンピュータ業者は、大量の個人情報を覗きみたり、盗難することがあり、大きな社会問題となっている。
鈴木英男:簡単で効果的な個人情報保護の方法 ---- データ保存法とデータ入力法 ----, 情報処理学会研究報告 (ISSN 0919-6072), Vol. 2003, No. 126, pp. 31-36, 2003年12月19日.
鈴木英男:簡単で効果的な個人情報保護の方法 ---- データ保存法とデータ入力法 ----, 情報処理学会研究報告 (ISSN 0919-6072), Vol. 2003, No. 126, pp. 31-36, 2003年12月19日.
本発明によるデータ管理方法および情報処理装置では、個人情報の性質に着目することにより、その新たな保護方法を達成している。一般にある一人の個人情報には様々な項目がある。第三者がその一項目のみの情報を知り得た場合に、その情報に重要性が少ない場合も多い。 例えば、氏名、性別、住所、郵便番号、電話番号などの個人情報があった場合に、氏名+性別を項目群aに、住所+郵便番号を項目群bに、電話番号を項目群cに分割すると、1つの項目群を知り得ても、個人情報が成立しない。 それならば、データを入力したり保存する場合にも、各項目群に分割しておけば、個人情報の漏洩に結びつき難くなる。 ただ、分割したままでは、データの活用ができなくなってしまう。 そこで本発明によるデータ管理方法および情報処理装置では、項目群間をブロック暗号で保護しつつ連結させることで、この問題を解決し、データ入力法・保存法に関して、簡単で効果的な個人情報の保護方法を提案している。
本発明によると、(a)各データを複数の部分データ(項目群)に分割する手段と、(b)前記各部分データ(項目群)に対して、どのデータから分割され、何番目の部分データ(項目群)を認識するための識別子(シリアル番号SER)を割り当てる手段と、(c)前記各部分データ(項目群)と対応する識別子(シリアル番号SER)を結合することで要素データを構成する手段と、を含む情報処理装置を提案する。
本発明によると、(d)前記各要素データを、部分データ(項目群)と識別子(シリアル番号SER)に分離する手段と、(e)前記識別子(シリアル番号SER)をもとにして、手段(a)で分割する前の各データに復元する手段と、を含む情報処理装置を提案し、データ入力時やデータ保存時に、手段(c)で得られた要素データのみを扱えば、扱う人間が個人情報を覗きみることがなくなり、万が一、盗難したとしても意味のある個人情報が得るためには、前記識別子(シリアル番号SER)をもとにして、関連付けを強いることになり、手間をかけさせることになり、盗難する動機を減少させる効果が得られるというものである。
本発明によると、(a)各データを複数の部分データ(項目群)に分割する手段と、(b)前記各部分データ(項目群)に対して、どのデータから分割され、何番目の部分データ(項目群)かを認識するための識別子(シリアル番号SER)を割り当てる手段と、(c)前記各部分データ(項目群)と対応する識別子(シリアル番号SER)を結合することで要素データを構成する手段と、(f)前記各要素データの中の識別子(シリアル番号SER)の部分を、鍵を用いて暗号化して、暗号化識別子(暗号化シリアル番号ESER)を生成する手段と、(g)前記各要素データの中の識別子(シリアル番号SER)を、対応する暗号化識別子(暗号化シリアル番号ESER)に置き換えて、暗号化要素データを構成する手段と、(h)各暗号化要素データを、部分データ(項目群)と暗号化識別子(暗号化シリアル番号ESER)に分離する手段と、(i)前記各暗号化識別子(暗号化シリアル番号ESER)を鍵を用いて復号し、識別子(シリアル番号SER)を復元する手段と、(j)手段(h)で分離した部分データ(項目群)と、手段(i)で復元した識別子(シリアル番号SER)を結合することで、前記手段(c)で得られたものと同じ、要素データを復元する手段、(d)前記各要素データを、部分データ(項目群)と識別子(シリアル番号SER)に分離する手段と、(e)前記識別子(シリアル番号SER)をもとにして、手段(a)で分割する前の各データに復元する手段と、を含む情報処理装置を提案し、データ入力時やデータ保存時に、手段(g)で得られた暗号化要素データのみを扱えば、扱う人間が個人情報を覗きみることがなくなり、万が一、盗難したとしても意味のある個人情報が得られないというものである。
本発明によると、(a)各データを複数の部分データ(項目群)に分割する手段と、(b)前記各部分データ(項目群)に対して、どのデータから分割され、何番目の部分データ(項目群)かを認識するための識別子(シリアル番号SER)を割り当てる手段と、(c)前記各部分データ(項目群)と対応する識別子(シリアル番号SER)を結合することで要素データを構成する手段と、(f)前記各要素データの中の識別子(シリアル番号SER)の部分を、鍵を用いて暗号化して、暗号化識別子(暗号化シリアル番号ESER)を生成する手段と、(g)前記各要素データの中の識別子(シリアル番号SER)を、対応する暗号化識別子(暗号化シリアル番号ESER)に置き換えて、暗号化要素データを構成する手段と、(k)前記手段(g)で得られた各暗号化要素データを、各暗号化要素データの中の暗号化識別子(暗号化シリアル番号ESER)の値をキーとして、並べ替える手段と、(h)各暗号化要素データを、部分データ(項目群)と暗号化識別子(暗号化シリアル番号ESER)に分離する手段と、(i)前記各暗号化識別子(暗号化シリアル番号ESER)を鍵を用いて復号し、識別子(シリアル番号SER)を復元する手段と、(j)手段(h)で分離した部分データ(項目群)と、手段(i)で復元した識別子(シリアル番号SER)を結合することで、前記手段(c)で得られたものと同じ、要素データを復元する手段、(d)前記各要素データを、部分データ(項目群)と識別子(シリアル番号SER)に分離する手段と、(e)前記識別子(シリアル番号SER)をもとにして、手段(a)で分割する前の各データに復元する手段と、を含む情報処理装置を提案し、データ入力時やデータ保存時に、手段(k)で得られた暗号化要素データのみを扱えば、扱う人間が個人情報を覗きみることがなくなり、万が一、盗難したとしても意味のある個人情報が得られないというものである。さらに、手段(k)を加えたことで、暗号化要素データの並びによる解読が困難とした点である。細心の注意を払えば、手段(k)で並び替えた後は、タイムスタンプも変更しておく必要がある。そうすることで、データ分割時の順序を完全に消すことができるのである。
本発明によると、(a)各データを複数の部分データ(項目群)に分割する手段と、(b)前記各部分データ(項目群)に対して、どのデータから分割され、何番目の部分データ(項目群)かを認識するための識別子(シリアル番号SER)を割り当てる手段と、(c)前記各部分データ(項目群)と対応する識別子(シリアル番号SER)を結合することで要素データを構成する手段と、(f)前記各要素データの中の識別子(シリアル番号SER)の部分を、鍵を用いて暗号化して、暗号化識別子(暗号化シリアル番号ESER)を生成する手段と、(g)前記各要素データの中の識別子(シリアル番号SER)を、対応する暗号化識別子(暗号化シリアル番号ESER)に置き換えて、暗号化要素データを構成する手段と、(k)前記手段(g)で得られた各暗号化要素データを、各暗号化要素データの中の暗号化識別子(暗号化シリアル番号ESER)の値をキーとして、並べ替える手段と、(l)手段(k)で並べ替えられた後の暗号化要素データの順番通りの番号、すなわち番号識別子(リスト番号LIST)を生成する手段と、(m)前記各暗号化要素データの中の暗号化識別子(暗号化シリアル番号ESER)と番号識別子(リスト番号LIST)との対応表を作成する手段と、(n)前記各暗号化要素データの中の暗号化識別子(暗号化シリアル番号ESER)を、対応する番号識別子(リスト番号LIST)に置き換えて、リスト番号化要素データを構成する手段と、(o)前記各リスト番号化要素データを、部分データ(項目群)と番号識別子(リスト番号LIST)に分離する手段と、(p)手段(m)で得られた暗号化識別子(暗号化シリアル番号ESER)と番号識別子(リスト番号LIST)の対応表により、前記各リスト番号化要素データの中の番号識別子(リスト番号LIST)を暗号化識別子(暗号化シリアル番号ESER)に置き換えることで、各リスト番号化要素データを暗号化要素データに変換する手段と、(h)各暗号化要素データを、部分データ(項目群)と暗号化識別子(暗号化シリアル番号ESER)に分離する手段と、(i)前記各暗号化識別子(暗号化シリアル番号ESER)を鍵を用いて復号し、識別子(シリアル番号SER)を復元する手段と、(j)手段(h)で分離した部分データ(項目群)と、手段(i)で復元した識別子(シリアル番号SER)を
結合することで、前記手段(c)で得られたものと同じ、要素データを復元する手段、(d)前記各要素データを、部分データ(項目群)と識別子(シリアル番号SER)に分離する手段と、(e)前記識別子(シリアル番号SER)をもとにして、手段(a)で分割する前の各データに復元する手段と、を含む情報処理装置を提案し、データ入力時やデータ保存時に、手段(n)で得られたリスト番号化要素データのみを扱えば、扱う人間が個人情報を覗きみることがなくなり、万が一、盗難したとしても意味のある個人情報が得られないというものである。さらに、リスト番号化要素データには、もともとの識別子(シリアル番号SER)の情報をまったく含まず、解読の根拠を与えない。しかも、番号識別子(リスト番号LIST)は、暗号化識別子(暗号化シリアル番号ESER)よりもデータサイズが小さくて済むので、扱うデータが小さくなるという利点が得られるというものである。ここでも、細心の注意を払えば、手段(k)で並び替えた後は、タイムスタンプも変更しておく必要がある。そうすることで、データ分割時の順序を完全に消すことができるのである。
結合することで、前記手段(c)で得られたものと同じ、要素データを復元する手段、(d)前記各要素データを、部分データ(項目群)と識別子(シリアル番号SER)に分離する手段と、(e)前記識別子(シリアル番号SER)をもとにして、手段(a)で分割する前の各データに復元する手段と、を含む情報処理装置を提案し、データ入力時やデータ保存時に、手段(n)で得られたリスト番号化要素データのみを扱えば、扱う人間が個人情報を覗きみることがなくなり、万が一、盗難したとしても意味のある個人情報が得られないというものである。さらに、リスト番号化要素データには、もともとの識別子(シリアル番号SER)の情報をまったく含まず、解読の根拠を与えない。しかも、番号識別子(リスト番号LIST)は、暗号化識別子(暗号化シリアル番号ESER)よりもデータサイズが小さくて済むので、扱うデータが小さくなるという利点が得られるというものである。ここでも、細心の注意を払えば、手段(k)で並び替えた後は、タイムスタンプも変更しておく必要がある。そうすることで、データ分割時の順序を完全に消すことができるのである。
本発明の情報処理装置においては、手段(k)で得られた暗号化要素データは、(q)手段(f)および手段(i)における暗号化および復号に用いられる鍵を、USBメモリなどの着脱できる記憶媒体に格納して利用すると、必要に応じて、USBメモリを外すことで暗号化要素データを解読できない状態にすることができる。これは、外部コンピュータ業者の人間に、コンピュータのメンテナンスを依頼するときに、USBメモリを外すことで、コンピュータの中にある大量の個人情報を覗き見たり、盗難することができないようにすることが可能となる。このことは、リスト番号化要素データでも同様のことが可能となる。
本発明の情報処理装置においては、暗号化要素データやリスト番号化要素データを、CD-Rなどの記憶媒体に格納して利用し、メンテナンス時はデータそのものをコンピュータ上から削除することで安全性をさらに高めることができる。
本発明の情報処理装置においては、(r)要素データや暗号化要素データやリスト番号化要素データの中の部分データ (項目群)が、文字を含む画像データであり、その画像からテキストデータに変換する手段を更に含む情報処理装置も含む。これは、文字を含む画像データを、テキストデータに変換する場合に、個人情報を見せずに作業できるので、データ入力時に個人情報を保護できるというものである。
本発明の情報処理装置においては、(s)手段(a)で扱う大元のデータが複数の項目からなるデータである場合、当該データを部分データ(項目群)に分割する際に、1個または複数個の項目で1つの部分データ(項目群)を構成していることも考えられる。
本発明の情報処理装置においては、(t)手段(a)で扱うデータが複数の項目からなるデータである場合、当該データを部分データ(項目群)に分割する際に、1個の項目を分割したものが1つの部分データ(項目群)を構成していることも考えられる。
本発明によると、(a2)各データを複数の部分データ(項目群)に分割するステップと、(b2)前記各部分データ(項目群)に対して、どのデータから分割され、何番目の部分データ(項目群)かを認識するための識別子(シリアル番号SER)を割り当てるステップと、(c2)前記各部分データ(項目群)と対応する識別子(シリアル番号SER)を結合することで要素データを構成するステップと、含むデータ管理方法を提案する。
本発明によると、(d2)前記各要素データを、部分データ(項目群)と識別子(シリアル番号SER)に分離するステップと、(e2)前記識別子(シリアル番号SER)をもとにして、ステップ(a2)で分割する前の各データに復元するステップと、を含むデータ管理方法を提案し、データ入力時やデータ保存時に、ステップ(c2)で得られた要素データのみを扱えば、扱う人間が個人情報を覗きみることがなくなり、万が一、盗難したとしても意味のある個人情報が得るためには、前記識別子(シリアル番号SER)をもとにして、関連付けを強いることになり、手間をかけさせることになり、盗難する動機を減少させる効果が得られるというものである。
本発明によると、(a2)各データを複数の部分データ(項目群)に分割するステップと、(b2)前記各部分データ(項目群)に対して、どのデータから分割され、何番目の部分データ(項目群)かを認識するための識別子(シリアル番号SER)を割り当てるステップと、(c2)前記各部分データ(項目群)と対応する識別子(シリアル番号SER)を結合することで要素データを構成するステップと、(f2)前記各要素データの中の識別子(シリアル番号SER)の部分を、鍵を用いて暗号化して、暗号化識別子(暗号化シリアル番号ESER)を生成するステップと、(g2)前記各要素データの中の識別子(シリアル番号SER)を、対応する暗号化識別子(暗号化シリアル番号ESER)に置き換えて、暗号化要素データを構成するステップと、(h2)各暗号化要素データを、部分データ(項目群)と暗号化識別子(暗号化シリアル番号ESER)に分離するステップと、(i2)前記各暗号化識別子(暗号化シリアル番号ESER)を鍵を用いて復号し、識別子(シリアル番号SER)を復元するステップと、(j2)ステップ(h2)で分離した部分データ(項目群)と、ステップ(i2)で復元した識別子(シリアル番号SER)を結合することで、前記ステップ(c2)で得られたものと同じ、要素データを復元するステップ、(d2)前記各要素データを、部分データ(項目群)と識別子(シリアル番号SER)に分離するステップと、(e2)前記識別子(シリアル番号SER)をもとにして、ステップ(a2)で分割する前の各データに復元するステップと、を含むデータ管理方法を提案し、データ入力時やデータ保存時に、ステップ(g2)で得られた暗号化要素データのみを扱えば、扱う人間が個人情報を覗きみることがなくなり、万が一、盗難したとしても意味のある個人情報が得られないというものである。
本発明によると、(a2)各データを複数の部分データ(項目群)に分割するステップと、(b2)前記各部分データ(項目群)に対して、どのデータから分割され、何番目の部分データ(項目群)かを認識するための識別子(シリアル番号SER)を割り当てるステップと、(c2)前記各部分データ(項目群)と対応する識別子(シリアル番号SER)を結合することで要素データを構成するステップと、(f2)前記各要素データの中の識別子(シリアル番号SER)の部分を、鍵を用いて暗号化して、暗号化識別子(暗号化シリアル番号ESER)を生成するステップと、(g2)前記各要素データの中の識別子(シリアル番号SER)を、対応する暗号化識別子(暗号化シリアル番号ESER)に置き換えて、暗号化要素データを構成するステップと、(k2)前記ステップ(g2)で得られた各暗号化要素データを、各暗号化要素データの中の暗号化識別子(暗号化シリアル番号ESER)の値をキーとして、並べ替えるステップと、(h2)各暗号化要素データを、部分データ(項目群)と暗号化識別子(暗号化シリアル番号ESER)に分離するステップと、(i2)前記各暗号化識別子(暗号化シリアル番号ESER)を鍵を用いて復号し、識別子(シリアル番号SER)を復元するステップと、(j2)ステップ(h2)で分離した部分データ(項目群)と、ステップ(i2)で復元した識別子(シリアル番号SER)を結合することで、前記ステップ(c2)で得られたものと同じ、要素データを復元するステップ、(d2)前記各要素データを、部分データ(項目群)と識別子(シリアル番号SER)に分離するステップと、(e2)前記識別子(シリアル番号SER)をもとにして、ステップ(a2)で分割する前の各データに復元するステップと、を含むデータ管理方法を提案し、データ入力時やデータ保存時に、ステップ(k2)で得られた暗号化要素データのみを扱えば、扱う人間が個人情報を覗きみることがなくなり、万が一、盗難したとしても意味のある個人情報が得られないというものである。さらに、ステップ(k2)を加えたことで、暗号化要素データの並びによる解読が困難とした点である。細心の注意を払えば、ステップ(k2)で並び替えた後は、タイムスタンプも変更しておく必要がある。そうすることで、データ分割時の順序を完全に消すことができるのである。
本発明によると、(a2)各データを複数の部分データ(項目群)に分割するステップと、(b2)前記各部分データ(項目群)に対して、どのデータから分割され、何番目の部分データ(項目群)かを認識するための識別子(シリアル番号SER)を割り当てるステップと、(c2)前記各部分データ(項目群)と対応する識別子(シリアル番号SER)を結合することで要素データを構成するステップと、(f2)前記各要素データの中の識別子(シリアル番号SER)の部分を、鍵を用いて暗号化して、暗号化識別子(暗号化シリアル番号ESER)を生成するステップと、(g2)前記各要素データの中の識別子(シリアル番号SER)を、対応する暗号化識別子(暗号化シリアル番号ESER)に置き換えて、暗号化要素データを構成するステップと、(k2)前記ステップ(g2)で得られた各暗号化要素データを、各暗号化要素データの中の暗号化識別子(暗号化シリアル番号ESER)の値をキーとして、並べ替えるステップと、(l2)ステップ(k2)で並べ替えられた後の暗号化要素データの順番通りの番号、すなわち番号識別子(リスト番号LIST)を生成するステップと、(m2)前記各暗号化要素データの中の暗号化識別子(暗号化シリアル番号ESER)と番号識別子(リスト番号LIST)との対応表を作成するステップと、(n2)前記各暗号化要素データの中の暗号化識別子(暗号化シリアル番号ESER)を、対応する番号識別子(リスト番号LIST)に置き換えて、リスト番号化要素データを構成するステップと、(o2)前記各リスト番号化要素データを、部分データ(項目群)と番号識別子(リスト番号LIST)に分離するステップと、(p2)ステップ(m2)で得られた暗号化識別子(暗号化シリアル番号ESER)と番号識別子(リスト番号LIST)の対応表により、前記各リスト番号化要素データの中の番号識別子(リスト番号LIST)を暗号化識別子(暗号化シリアル番号ESER)に置き換えることで、各リスト番号化要素データを暗号化要素データに変換するステップと、(h2)各暗号化要素データを、部分データ(項目群)と暗号化識別子(暗号化シリアル番号ESER)に分離するステップと、(i2)前記各暗号化識別子(暗号化シリアル番号ESER)を鍵を用いて復号し、識別子(シリアル番号SER)を復元するステップと、(j
2)ステップ(h2)で分離した部分データ(項目群)と、ステップ(i2)で復元した識別子(シリアル番号SER)を結合することで、前記ステップ(c2)で得られたものと同じ、要素データを復元するステップ、(d2)前記各要素データを、部分データ(項目群)と識別子(シリアル番号SER)に分離するステップと、(e2)前記識別子(シリアル番号SER)をもとにして、ステップ(a2)で分割する前の各データに復元するステップと、を含むデータ管理方法を提案し、データ入力時やデータ保存時に、ステップ(n2)で得られたリスト番号化要素データのみを扱えば、扱う人間が個人情報を覗きみることがなくなり、万が一、盗難したとしても意味のある個人情報が得られないというものである。さらに、リスト番号化要素データには、もともとの識別子(シリアル番号SER)の情報をまったく含まず、解読の根拠を与えない。しかも、番号識別子(リスト番号LIST)は、暗号化識別子(暗号化シリアル番号ESER)よりもデータサイズが小さくて済むので、扱うデータが小さくなるという利点が得られるというものである。ここでも、細心の注意を払えば、ステップ(k2)で並び替えた後は、タイムスタンプも変更しておく必要がある。そうすることで、データ分割時の順序を完全に消すことができるのである。
2)ステップ(h2)で分離した部分データ(項目群)と、ステップ(i2)で復元した識別子(シリアル番号SER)を結合することで、前記ステップ(c2)で得られたものと同じ、要素データを復元するステップ、(d2)前記各要素データを、部分データ(項目群)と識別子(シリアル番号SER)に分離するステップと、(e2)前記識別子(シリアル番号SER)をもとにして、ステップ(a2)で分割する前の各データに復元するステップと、を含むデータ管理方法を提案し、データ入力時やデータ保存時に、ステップ(n2)で得られたリスト番号化要素データのみを扱えば、扱う人間が個人情報を覗きみることがなくなり、万が一、盗難したとしても意味のある個人情報が得られないというものである。さらに、リスト番号化要素データには、もともとの識別子(シリアル番号SER)の情報をまったく含まず、解読の根拠を与えない。しかも、番号識別子(リスト番号LIST)は、暗号化識別子(暗号化シリアル番号ESER)よりもデータサイズが小さくて済むので、扱うデータが小さくなるという利点が得られるというものである。ここでも、細心の注意を払えば、ステップ(k2)で並び替えた後は、タイムスタンプも変更しておく必要がある。そうすることで、データ分割時の順序を完全に消すことができるのである。
本発明のデータ管理方法においては、ステップ(k2)で得られた暗号化要素データは、(q2)ステップ(f2)およびステップ(i2)における暗号化および復号に用いられる鍵を、USBメモリなどの着脱できる記憶媒体に格納して利用すると、必要に応じて、USBメモリを外すことで暗号化要素データを解読できない状態にすることができる。これは、外部コンピュータ業者の人間に、コンピュータのメンテナンスを依頼するときに、USBメモリを外すことで、コンピュータの中にある大量の個人情報を覗き見たり、盗難することができないようにすることが可能となる。このことは、リスト番号化要素データでも同様のことが可能となる。
本発明のデータ管理方法においては、暗号化要素データやリスト番号化要素データを、CD-Rなどの記憶媒体に格納して利用し、メンテナンス時はデータそのものをコンピュータ上から削除することで安全性をさらに高めることができる。
本発明のデータ管理方法においては、(r2)要素データや暗号化要素データやリスト番号化要素データの中の部分データ (項目群)が、文字を含む画像データであり、その画像からテキストデータに変換するステップを更に含むデータ管理方法も含む。これは、文字を含む画像データを、テキストデータに変換する場合に、個人情報を見せずに作業できるので、データ入力時に個人情報を保護できるというものである。
本発明のデータ管理方法においては、(s2)ステップ(a2)で扱う大元のデータが複数の項目からなるデータである場合、当該データを部分データ(項目群)に分割する際に、1個または複数個の項目で1つの部分データ(項目群)を構成していることも考えられる。
本発明のデータ管理方法においては、(t2)ステップ(a2)で扱うデータが複数の項目からなるデータである場合、当該データを部分データ(項目群)に分割する際に、1個の項目を分割したものが1つの部分データ(項目群)を構成していることも考えられる。
図1には、本発明によるデータ管理方法におけるデータ処理の手順が(1−1)から(1−5)までの5つの段階として時系列的に示されている。最初の段階である(1−1)では、n人の個人情報が、それぞれ、氏名、性別、住所、郵便番号および電話番号という5項目から構成されている。例えば、応募者の個人情報が手書きされたキャンペーン応募葉書をスキャナで読み、葉書ごとにファイル化した状態である。第2の段階である(1−2)では、氏名+性別を項目群aに、住所+郵便番号を項目群bに、電話番号を項目群cに分割されている。この状態では、1つの項目群を知り得ても、個人情報としてほとんど意味を有さない。例えば、項目群aが第三者に漏洩したとしても、ある氏名を有する人間の性別がわかるだけであり、その人間の住所も電話番号もわからない。また、項目bが漏洩しても、ある郵便番号を有する住所があるということしかわからない。項目cが漏洩した場合には、そのリストにある誰かの電話番号であるということだけしかわからない。
このように、個人情報が複数の項目群に分割され項目群の相互関係が明示されていない状態でデータの入力および管理がなされれば、個々の項目群が第三者に知られたとしても、全体として個人情報の深刻な漏洩は生じにくい。もちろん、分割されたままの状態ではデータの活用ができないから、項目群相互間の関連付けは明確になされなければならない。そこで次に、項目群相互間を暗号化し保護しつつ関連付けるデータの入力および管理方法について考察する。
以下では、添付の図面を参照しながら、本発明によるデータ管理方法の実施例について具体的に説明する。ビールなどを販売する会社が、シールを集めて葉書を用いて応募すると景品が当たるキャンペーンを実施中であるとする。そして、このビール会社は、キャンペーン集計作業を別会社に委託し、キャンペーン集計会社は、更に、個人情報の含まれる葉書データ入力を外部データ入力会社に委託しているとする。
キャンペーン集計会社が、キャンペーン参加者からの応募葉書をデータ入力依頼会社(ビール会社)から受け取り、それらの葉書の上の個人情報を電子データ化して、データ入力依頼会社に戻すまでのキャンペーン集計作業の概略が、図2(方式A)および図3(方式B)に示されている。図2(方式A)および図3(方式B)は、キャンペーン集計会社の立場から述べることとする。
図2のステップ201では、キャンペーン集計会社が、n枚のカード(葉書)をデータ入力依頼会社であるビール会社から受け取る。ステップ202では、ステップ208の暗号化で用いられる鍵K(256 bit)を用意する。ステップ203では、ステップ219の暗号化で用いられるK2(256 bit)を用意する。ステップ204では、ステップ216の暗号化で用いられるK3(256 bit)を用意する。ただし、鍵K2と鍵K3については、分割後の項目群ごとに別の鍵が用いられるので, 項目群の数だけ異なるものが必要となる。
この実施例では、暗号化はすべて、ブロック暗号化方式の1つであるAES256を用いている。他の暗号化方式を用いても本発明を実現できる。換言すれば、本発明は、暗号化のアルゴリズム自体を新たに提案するものではなく、用いられる暗号化方式はAES256に限定されない。
ここでAESとは、Advanced Encryption Standardの略である。なお、AES(Rijndael)暗号は、データブロック128bitと規定されているが、Rijndael暗号そのものは256bitを扱うことができるので、この出願では、本発明によるデータ管理方法において用いられるデータブロック256bit、鍵サイズ256bitのRijndael暗号をAES256と呼ぶことにする。AES(Rijndael)暗号など最近の暗号方式の特徴はアルゴリズムを公開しても、安全性が保たれるので、秘密に守るべきものは鍵だけで良いという利点がある。本発明の実施にあたって、暗号方式の選択に制約はないが、利便性のために、アルゴリズムを公開しても、安全性が保たれる暗号方式を選ぶのが望ましい。AES(Rijndael)暗号の参考文献は、Joan Daemen and Vincent Rijmen : The Design of Rijndael, Springer-Verlag, New York, Jan. 2002. および Advanced Encryption Standard, FIPS-197 http://csrc.nist.gov/CryptoToolkit/aes/ などで得られる。図5ないし図11には、分割の結果得られた項目群の識別子であるシリアル番号を、実際にAES256を用いて暗号化を行った例が示されている。
次に、ステップ205では、 n枚のカード(葉書)をスキャナで読み取り, 葉書上のデータを画像ファイルに変換する。 1枚のカードに1つのファイルが対応するから、n枚のカードからn個のファイルが生成される。ステップ206では、分割して得られたn個の画像ファイルのそれぞれに, ファイル名として176 bitの基本シリアル番号SER(1)〜SER(n)を割り当てる。この結果が、図1の(1−1)として示されている段階である。この基本シリアル番号の構造は、図11に示すように、入力依頼会社コード(16 bit)、カード種別コード(24 bit)、日付コード(64 bit)、外部入力会社コード(8 bit)、区分コード(16 bit)、束番号コード(24 bit)、束内シリアル番号(24 bit)の合計176 bitである。
このようにして生成されたn個の画像ファイルは、ステップ207において、項目群に分割され、別々のファイルが生成される。どのように項目群を設定するかは目的に応じて決定されるが任意であり、本発明の基本的なアイデアはどのような項目群に分割しても達成される。この実施例では、図1に示し、上述したように、氏名+性別の項目群aと、住所+郵便番号を項目群bと、電話番号を項目群cとに3分割されている。ステップ207では、更に、3n個の項目群すなわちファイルに対し、ファイル名としてシリアル番号SER(1a)〜SER(nc)を割り当てる。ここで割り当てられたシリアル番号SER(1a)〜SER(nc)は、分割後のそれぞれのファイルを別のファイルとして区別するための識別子として機能する。このステップ207は、図1では、(1−2)の段階に相当する。シリアル番号は、図11に示すように、基本シリアル番号の176bitに、項目群番号(16bit)、予備項目(0bit)、および乱数R(64bit)を加えた256bitである。将来的には、乱数Rのビット数を減らすことにより、予備項目のビット数を増やすことができる。乱数Rは、暗号化後の値のランダム性を増すためのものであり、カードごと項目群ごとに異なる。
次に、ステップ208では、3n個すべての画像ファイルについて、それぞれのファイル名である 256bitのシリアル番号SERを、ステップ202で用意した鍵Kを用いて、ブロック暗号AES256により暗号化する。さらに、暗号化された256bitのシリアル番号の先頭に、暗号化されていない32bitの追加コード(暗号化方式コード(8bit)+予備コード(8bit)+項目群番号(16bit))を追加し、288bitの暗号化シリアル番号が得られる(図11参照)。なお、追加された暗号化方式コードは、将来の暗号化方式変更を許容し、SERおよびESERの書式変更を可能とするものである。このステップ208により、図1(1−3)に示されているように、画像ファイルのファイル名が、シリアル番号SER(1a)〜SER(nc)から暗号化シリアル番号ESER(1a)〜ESER(nc)に変換される。
しかし、この時点では、暗号化シリアル番号ESER(1a)〜ESER(nc)をファイル名にもつ各ファイルは、ステップ205においてスキャナで読み取ったときの順番に並んでいる可能性がある。したがって、ステップ209として、乱数にも見える暗号化シリアル番号ESER(1a)〜ESER(nc)の値をキーとして、並べ替え(ソート)を行う。この結果が、図1の(1−4)である。図1の(1−4)では、ソート後の暗号化シリアル番号は、単にESERと表現している。また、ソート後であっても、各ファイルのタイムスタンプは、カード順になっている可能性があるので、ステップ210として、3n個すべての画像ファイルを同じ日付, 同じ時間に変更する。変更後の日付は、シリアル番号SERの中の日付と同じでも構わない。
ここで説明しているビール会社の新製品キャンペーンの例では、以上のプロセスにより生成された288bitの暗号化シリアル番号ESERをファイル名としてもつ、3n個の画像ファイルが、VPN(Virtual Private Network)などの安全な通信回線を経由して、データ入力会社まで伝送される(ステップ211)。データ入力会社において、画像データの内容を電子データ化することが目的である。また、予めステップ204で用意しておいた分割された項目群の数に等しいすなわち3個の鍵K3を、やはり、VPNなどの安全な通信回線で、データ入力会社まで伝送する(ステップ212)。
データ入力会社の側では、288bitの暗号化シリアルESERをファイル名としてもつ、3n個の画像ファイルを、通信回線を介して受信する(ステップ213)。そして、データ入力会社では、項目群aに相当する氏名+性別を内容としてもつ、n個の画像ファイルを、画像スキャナと画像文字認識ソフトウェアなどを用いて、n個のテキストデータファイルへと変換する(ステップ214)。続いて、そのn個のテキストデータファイルは、各行に氏名+性別+ESERの3項目を含み、n行のデータで構成される1つのテキストデータファイルへ集約される(ステップ215)。次に、項目群bに相当する住所+郵便番号を内容としてもつ、n個の画像ファイルを、画像スキャナと画像文字認識ソフトウェアなどを用いて、n個のテキストデータファイルへと変換する(ステップ214)。続いて、そのn個のテキストデータファイルは、各行に住所+郵便番号+ESERの3項目を含み、n行のデータで構成される1つのテキストデータファイルへ集約される(ステップ215)。そして、項目群cに相当する電話番号を内容としてもつ、n個の画像ファイルを、画像スキャナと画像文字認識ソフトウェアなどを用いて、n個のテキストデータファイルへと変換する(ステップ214)。続いて、そのn個のテキストデータファイルは、各行に電話番号+ESERの2項目を含み、n行のデータで構成される1つのテキストデータファイルへ集約される(ステップ215)。この段階で、3n個の画像ファイルが、3個のテキストデータファイルへと集約された。この結果が、図1の(1−5)である。
前段落におけるデータ入力会社内では、その仕事内容から、氏名+性別、住所+郵便番号、電話番号などすべての個人情報を扱うことになる。従来、このデータ入力会社の段階が、個人情報漏洩のもっとも危険なポイントとされてきたが、本発明においては、すべての個人情報が露呈していても、それぞれの項目群の関連性が、ESERとして暗号化されているので、どの氏名+性別が、どの住所+郵便番号と対応するのかを関連付けるのが非常に困難となるので各項目群単体では意味をなさない情報となり、セキュリティが確保できることになる。この点が、ステップ207で画像ファイルを項目群ごとに分割したことの意味であった。
データ入力会社の側では、更に、ステップ215で得られた3個のテキストデータファイルを、ステップ212で受信した3個それぞれの鍵K3を用いて、ブロック暗号AES256により暗号化する(ステップ216)。ここで用いることができる暗号化方式はAES256に限定されない。ステップ215の3n個のファイルを3個のファイルに集約する処理と、ステップ216の暗号化の処理は、安全性の保たれたサーバ内で閉じて行うことが望ましい。本発明では、従来もっとも危険とされてきたデータ入力会社において、ESERを用いて項目群間の関連性をなくしたことと、露呈しても構わない各項目群のテキストデータではあるが、念には念を入れて暗号化することで機密性を高め、最後の処理は安全性の保たれたサーバ内で行うことで、最高のセキュリティを得ることができるようになった。
以上で生成された3個のファイルは、VPNなどの安全な回線を経由してデータ入力会社からキャンペーン集計会社まで伝送される(ステップ217)。キャンペーン集計会社では、受信した3個のファイルを、それぞれ3つの鍵K3を用いて、ブロック暗号AES256により復号する(ステップ218)。復号された3個のファイルは、それぞれ、ステップ203で用意した、新たな3つの鍵K2を用いて、ブロック暗号AES256により再度暗号化する(ステップ219)。こうすることで、データ入力会社が知り得た鍵K3とは無関係なファイルに変換される。鍵K2で暗号化された3個のファイルは、CD-Rなどの記憶媒体に保存する(ステップ220)。そして、この記憶媒体の形で、データ入力依頼会社に納入される(ステップ221)。このとき納入される情報は、鍵K2で暗号化された3個のファイル、3つの鍵K2、ESERを復号するための鍵Kである。
以上で説明した図2のフローチャートに示されている方式Aにおけるセキュリティ確保のポイントは、カード(葉書)の枚数nを大きくすることである。nは1000以上が望ましい。
この方式Aでは、項目群相互間の関係を決定するシリアル番号SERをデータ入力会社に隠すために、ブロック暗号AES256を用いて暗号化シリアル番号ESERに変換している。AESを含む近年のブロック暗号では、暗号化および復号ソフトウェアを公開しても、鍵さえ安全に管理しておけば暗号文から平文を解読することが困難であるため、鍵のみを秘密にしておけば良いという特徴があり、非常に使いやすい。本発明で利用する暗号方式は、どのようなブロック暗号でも適用可能であるが、利便性を考えると、暗号化および復号ソフトウェアを公開しても安全性が保たれる暗号方式を選択するのが望ましい。
また、暗号文のセキュリティ確保のためには、鍵と平文(暗号文)のビットサイズを大きくしておく必要がある。この結果、暗号化シリアル番号ESERは288bitと長くなり、それぞれの処理過程で毎回288bitのデータがつきまとうという短所も存在する。実は、方式Aのステップ214におけるデータ入力で必要なのは、ステップ209での並べ替えの後の各項目群内での順番だけである。この特徴を基に改良したものが図3に示す方式Bである。
方式Bの特徴は、方式Aと同じように非常に簡単で効果的な個人情報の保護を実現しながら、方式Aの場合と比較して、扱うデータ量をESERの288bitからLISTの64bitへと格段に減少させることができる点にある。更に、データ入力会社が鍵Kを知り得たとしても、復号が必要なESERやSERそのものを隠蔽できる。データ入力会社が、SERを知る機会がなければ、各項目群間の関連付けができないので、方式Aよりも扱うデータ量が小さいだけの利点に留まらず、セキュリティをも向上させることができるのである。方式Bおいてもセキュリティ確保のポイントは、カード(葉書)の枚数nを大きくすることである。nは1000以上が望ましい。
図3のステップ301からステップ304は、図2のステップ201からステップ204に対応し、同じ作業が行われる。次にステップ305において、分割後の項目群の中のそれぞれの画像ファイルに対するシリアル番号SER(256bit)を用意する。SERの構成は、方式Aの場合と同様である。画像ファイルの分割はステップ312でなされるが、この実施例でも、方式Aの場合と同様に3つの項目群に分割するとすると、n枚のカード(葉書)をそれぞれ3つに分割するのであるから、3n個のシリアル番号SERを用意することになる。
ステップ306では、鍵K(256 bit)を用いて、ブロック暗号AES256により、3n個のシリアルSER(256 bit)を暗号化し、更に、方式Aの場合と同様にして32bitの追加コードを追加して、3n個の暗号化シリアルESER(288 bit)を計算し、各項目群ごとに3つのSER(256 bit)とESER(288 bit)の対応表(n行2列)を作成する。
次にステップ307において、乱数にも見える暗号化シリアルESER(288 bit)の値をキーとして、SER(256 bit)とESER(288 bit)の対応表(n行2列)の並べ換え(ソート)を行う。並べ替えは、各項目群ごとの3つの対応表に対して行う。ステップ307のソートが済んだそれぞれの対応表について、1行目からn行目までに、通し番号である64bitのリスト番号LISTを付ける(ステップ308)。つまり、それぞれの対応表は、LISTの列が追加されたことで、SER(256 bit)とESER(288 bit)とLIST(64 bit)の対応表(n行3列)に変更された。
図11に示すように、LIST(64 bit)は、上位32bitには, ESERと同じ暗号化方式コード(8 bit), 予備コード(8 bit), 項目群番号(16 bit)を、下位32bitには、通し番号32bitが書き込まれる(ステップ309)。そして、SER(256 bit)の値をキーとして、それぞれの対応表(n行3列)の並べ換え(ソート)を行う(ステップ310)。
次にステップ311では、n枚のカード(葉書)をスキャナで読み取り, 葉書上のデータを画像ファイルに変換する。 1枚のカードに1つのファイルが対応するから、全体ではn枚のカードからn個のファイルが生成される。ステップ312では、このようにして生成されたn個の画像ファイルは、項目群に分割され、別々のファイルが生成される。方式Aに関して既に述べたのと同様に、どのように項目群を設定するかは目的に応じて決定されるが任意であり、本発明の基本的なアイデアはどのような項目群に分割しても達成される。この実施例においても、図1に示し、上述したように、氏名+性別の項目群aと、住所+郵便番号を項目群bと、電話番号を項目群cとに3分割する。そして分割後のファイル名としてリスト番号LIST(64bit)を割り当てる(ステップ312)。
この時点で各ファイルは、ステップ311においてスキャナで読み取ったときの順番に並んでいる可能性がある。したがって、ステップ313として、乱数にも見えるリスト番号LISTの値をキーとして、並べ替え(ソート)を行う。この結果を、図9に示す。また、ソート後であっても、各ファイルのタイムスタンプは、カード順になっている可能性があるので、ステップ210として、3n個すべての画像ファイルを同じ日付, 同じ時間に変更する。変更後の日付は、シリアル番号SERの中の日付と同じでも構わない。
以上のプロセスにより生成された64bitのリスト番号LISTをファイル名としてもつ、3n個の画像ファイルが、VPN(Virtual Private Network)などの安全な通信回線を経由して、データ入力会社まで伝送される(ステップ315)。データ入力会社において、画像データの内容を電子データ化することが目的である。また、予めステップ304で用意しておいた分割された項目群の数に等しいすなわち3個の鍵K3を、やはり、VPNなどの安全な通信回線で、データ入力会社まで伝送する(ステップ316)。
データ入力会社の側では、64bitのリスト番号LISTをファイル名としてもつ、3n個の画像ファイルを、通信回線を介して受信する(ステップ317)。そして、データ入力会社では、項目群aに相当する氏名+性別を内容としてもつ、n個の画像ファイルを、画像スキャナと画像文字認識ソフトウェアなどを用いて、n個のテキストデータファイルへと変換する(ステップ318)。続いて、そのn個のテキストデータファイルは、各行に氏名+性別+LISTの3項目を含み、n行のデータで構成される1つのテキストデータファイルへ集約される(ステップ319)。次に、項目群bに相当する住所+郵便番号を内容としてもつ、n個の画像ファイルを、画像スキャナと画像文字認識ソフトウェアなどを用いて、n個のテキストデータファイルへと変換する(ステップ318)。続いて、そのn個のテキストデータファイルは、各行に住所+郵便番号+LISTの3項目を含み、n行のデータで構成される1つのテキストデータファイルへ集約される(ステップ319)。そして、項目群cに相当する電話番号を内容としてもつ、n個の画像ファイルを、画像スキャナと画像文字認識ソフトウェアなどを用いて、n個のテキストデータファイルへと変換する(ステップ318)。続いて、そのn個のテキストデータファイルは、各行に電話番号+LISTの2項目を含み、n行のデータで構成される1つのテキストデータファイルへ集約される(ステップ319)。この段階で、3n個の画像ファイルが、3個のテキストデータファイルへと集約された。
前段落におけるデータ入力会社内では、その仕事内容から、氏名+性別、住所+郵便番号、電話番号などすべての個人情報を扱うことになる。従来、このデータ入力会社の段階が、個人情報漏洩のもっとも危険なポイントとされてきたが、本発明においては、すべての個人情報が露呈していても、それぞれの項目群の関連性が、LISTとして暗号化されているので、どの氏名+性別が、どの住所+郵便番号と対応するのかを関連付けるのが非常に困難となるので各項目群単体では意味をなさない情報となり、セキュリティが確保できることになる。この点が、ステップ312で画像ファイルを項目群ごとに分割したことの意味であった。
データ入力会社の側では、更に、ステップ319で得られた3個のテキストデータファイルを、ステップ316で受信した3個それぞれの鍵K3を用いて、ブロック暗号AES256により暗号化する(ステップ320)。ここで用いることができる暗号化方式はAES256に限定されない。ステップ319の3n個のファイルを3個のファイルに集約する処理と、ステップ320の暗号化処理は、安全性の保たれたサーバ内で閉じて行うことが望ましい。本発明では、従来もっとも危険とされてきたデータ入力会社において、LISTを用いて項目群間の関連性をなくしたことと、露呈しても構わない各項目群のテキストデータではあるが、念には念を入れて暗号化することで機密性を高め、最後の処理は安全性の保たれたサーバ内で行うことで、最高のセキュリティを得ることができるようになった。
以上で生成された3個のファイルは、VPNなどの安全な回線を経由してデータ入力会社からキャンペーン集計会社まで伝送される(ステップ321)。キャンペーン集計会社では、受信した3個のファイルを、それぞれ3つの鍵K3を用いて、ブロック暗号AES256により復号する(ステップ322)。ステップ310で得られた3つのSER(256 bit)とESER(288 bit)とLIST(64 bit)の対応表(n行3列)により、3個のファイル中のLIST(64 bit)をESER(288 bit)に変換する(ステップ323)。
変換された3個のファイルは、それぞれ、ステップ303で用意した、新たな3つの鍵K2を用いて、ブロック暗号AES256により再度暗号化する(ステップ324)。こうすることで、データ入力会社が知り得た鍵K3とは無関係なファイルに変換される。鍵K2で暗号化された3個のファイルは、CD-Rなどの記憶媒体に保存する(ステップ325)。そして、この記憶媒体の形で、データ入力依頼会社に納入される(ステップ326)。このとき納入される情報は、鍵K2で暗号化された3個のファイル、3つの鍵K2、ESERを復号するための鍵Kである。
既に述べたように、方式Bでは、扱うデータ量を削減し、さらには、セキュリティも向上させて、簡単で効果的な個人情報の保護が達成される。
方式Aと方式Bでは、外部データ入力会社における個人情報漏洩の危険性を述べ、対策できることを述べた。実は、外部データ入力会社に依頼しているから危険であったのではなくて、従来技術における、分割されていない個人情報が丸見えの状態でのデータ入力に問題があったので、社内のデータ入力部門に同じ仕事を任せても同じ問題が起こっていた。その意味で、方式Aと方式Bにおける外部データ入力会社の記述は、社内データ入力部門にも適用できるものである。また、社内であっても、外部のときと同様に、方式Aと方式Bのすべてのステップについて、フローを変える必要はなく、VPN回線を使うぐらいの細心の注意が必要である。
更に、図12には、ステップ221やステップ326でデータ入力依頼会社に納入された形態の、本発明による新しいデータ管理方法を活用するための、新たなデータベース利用方法を示す。まず、個人情報管理者は、個人情報管理者は鍵K, 鍵K2をUSBメモリやメモリスティックなどに書き込み、データベースサーバに挿入する(ステップ1201)。次に、ステップ221やステップ326のような新しいデータ管理方法で得られた3つの暗号化ファイルをCD-Rのままデータベース用サーバに準備するか、CD-Rから一旦データベース用サーバのHDD(ハードディスク)内にコピーして準備する(ステップ1202)。そして、3個の暗号化ファイルを、鍵K2を用いてブロック暗号AES256により復号する(ステップ1203)。ただし、この復号作業は、メイン・メモリ内のみで行い、復号された3個のファイルはメイン・メモリのみに保存するように注意する。すなわち、HDD(ハードディスク)やUSBメモリやメモリスティックなどには保存しない。そして、データベースを利用するときのみ、復号された3個のファイルの中の暗号化シリアル番号ESERを、鍵Kを用いてブロック暗号AES256により復号し、シリアル番号SERを得る(ステップ1204)。データベースを利用するときのみ、同じSERを有する項目群を連結し、完全な個人情報テーブルを作成する(ステップ1205)。ステップ1204とステップ1205の処理は、メイン・メモリ内で、データベースを利用する度に行い、利用が終了したときは、必ずデータを削除する。
この方法のようにデータベースを利用すると、鍵がUSBメモリやメモリスティックなどにあるため、容易に取り外すことができ、取り外した状態では、CD-RやHDD(ハードディスク)の中で完全な個人情報が得られない。ここで、USBメモリやメモリスティックなどは、着脱可能な記憶媒体なら何でも構わない。個人情報管理者が、個人情報保護を徹底するため暗号鍵を別管理するというデータ管理方法である。本発明による、このデータ管理方法を用いれば、データベースシステムの保守時(故障時やメンテナンス時)には、着脱可能記憶媒体を取り外すことで、保守を別会社に依頼しても、個人情報保護が実現できる。この保守を行う会社における個人情報の漏洩事件は、これまで対策に苦慮していたが、本発明はこの問題を解決する。
以上の実施形態で述べた、データ管理方法は、プログラムで実行される。そのプログラムは情報処理装置の記憶媒体に格納されており、情報処理装置内のプロセッサにより実行される。ここで言う情報処理装置とは、プロセッサを内蔵するものを指し、具体的には、スパーコンピュータ、ミニコンピュータ、ワークステーション、パソコン、PDA、ハンドヘルドコンピュータ、ゲーム機、家電製品、電子手帳、携帯電話、PHS、ICカード、集積回路、チップなど限定されたものではなく、プロセッサを内蔵する様々な様態のもののことである。プログラムが格納されている記憶媒体とは、メイン・メモリ、キャッシュ、HDD(ハードディスク)、USBメモリ、メモリスティック、CD、CD-R/RW、DVD、DVD-R/RW、DVD+RW、DVD-RAMなど限定されたものではなく、記憶機能のある様々な様態のもののことである。
以上では、ビール会社のキャンペーン葉書を例に挙げて、個人情報の具体的処理手順を示した。本発明によるこれら手順は、任意の個人情報に利用できる手法である。最近は、コストを削減する目的で、会社業務の一部を外部の専門会社に外部することが珍しくない。そして、外部されるデータの中には機密データが含まれる場合もあり得る。もちろん、機密が漏洩した場合に契約責任を追及できるように、外部企業との間に秘密保持契約を締結するのは当然である。しかし、上述したように、特に顧客などの個人情報が漏洩した場合には、事後的な処理だけでは回復困難な損害が生じる恐れがある。そこで、本発明によるデータ管理方法を用いれば、従来から、行われている様々なセキュリティ保護対策では対処が困難な場合でも、一定の保護を達成できる。
このように、本発明によるデータ管理方法を用いれば、機密データ処理の外部に伴う機密漏洩のリスクを最小限にすることが可能になり、機密漏洩の可能性は小さいが高コストである社内処理と、低コストではあるがリスクが大きな外部処理との間に存在するトレードオフの関係を解消するという効果が達成できる。
抽象的に言えば、本発明によるデータ管理方法の核心は、(1)任意のデータを複数の部分データに分割して保存する(分割の態様は任意であるが、実際問題としては、分割後の部分データが個別に漏洩しても分割前のデータが有していた意味内容が推測できない単位での分割が望ましい)こと、(2)部分データから分割前のデータを再構成するために、部分データの間の相互関係を決定する識別子を部分データに付与し、この識別子を暗号化すること、(3)データ自体は暗号化されないこと、である。このように考察すると、この明細書では、個人情報保護を中心に説明を行ったが、本発明によるデータ管理方法は、個人情報に限らず、様々な機密データに適用可能であり、特に扱うデータに制約もない。
また、ビール会社による新製品キャンペーンに関する以上の説明では、応募葉書の枚数nが比較的多いことがセキュリティ確保のポイントである点を強調した。たしかに、1枚の葉書しかない場合には、どのように分割しても、個人情報は保護できないからである。しかし、抽象的なレベルで、任意のデータを分割する場合を考察すると、分割の対象が1つのデータである場合でも、本発明によるデータ管理方法は適用可能である。
Claims (27)
- (a)各データを複数の部分データに分割する手段と、
(b)前記各部分データに対して、どのデータから分割され、何番目の部分データかを認識するための識別子を割り当てる手段と、
(c)前記各部分データと対応する識別子を結合することで要素データを構成する手段と、を含むことを特徴とする情報処理装置。 - 請求項1記載の情報処理装置において、
(d)前記各要素データを、部分データと識別子に分離する手段と、
(e)前記識別子をもとにして、手段(a)で分割する前の各データに復元する手段と、を更に含むことを特徴とする情報処理装置。 - 請求項1または請求項2のいずれか1項記載の情報処理装置において、
(f)前記各要素データの中の識別子の部分を、鍵を用いて暗号化して、暗号化識別子を生成する手段と、
(g)前記各要素データの中の識別子を、対応する暗号化識別子に置き換えて、暗号化要素データを構成する手段と、を含むことを特徴とする情報処理装置。 - 請求項3記載の情報処理装置において、
(h)各暗号化要素データを、部分データと暗号化識別子に分離する手段と、
(i)前記各暗号化識別子を鍵を用いて復号し、識別子を復元する手段と、
(j)手段(h)で分離した部分データと、手段(i)で復元した識別子を結合することで、前記手段(c)で得られたものと同じ、要素データを復元する手段を含むことで、部分データ間の関連性を隠蔽することを特徴とする情報処理装置。 - 請求項1ないし請求項4のいずれか1項記載の情報処理装置において、
(k)前記手段(g)で得られた各暗号化要素データを、各暗号化要素データの中の暗号化識別子の値をキーとして、並べ替える手段を含むことで、部分データ間の関連性をより強く隠蔽することを特徴とする情報処理装置。 - 請求項1ないし請求項5のいずれか1項記載の情報処理装置において、
(l)手段(k)で並べ替えられた後の暗号化要素データの順番通りの番号、すなわち番号識別子を生成する手段と、
(m)前記各暗号化要素データの中の暗号化識別子と番号識別子との対応表を作成する手段と、
(n)前記各暗号化要素データの中の暗号化識別子を、対応する番号識別子に置き換えて、リスト番号化要素データを構成する手段と、を含むことを特徴とする情報処理装置。 - 請求項6記載の情報処理装置において、
(o)前記各リスト番号化要素データを、部分データと番号識別子に分離する手段と、
(p)手段(m)で得られた暗号化識別子と番号識別子の対応表により、前記各リスト番号化要素データの中の番号識別子を暗号化識別子に置き換えることで、各リスト番号化要素データを暗号化要素データに変換する手段を更に含むことを特徴とする情報処理装置。 - 請求項1ないし請求項7のいずれか1項記載の情報処理装置において、
(q)手段(f)および手段(i)における暗号化および復号に用いられる鍵の記憶領域や記憶媒体、手段(a)のデータや各部分データの記憶領域や記憶媒体、手段(c)の要素データの記憶領域や記憶媒体、手段(g)の暗号化要素データの記憶領域や記憶媒体、手段(n)のリスト番号化要素データの記憶領域や記憶媒体の、それぞれは異なる記憶領域や記憶媒体に格納することを特徴とする情報処理装置。 - 請求項1ないし請求項8のいずれか1項記載の情報処理装置において、
(r)要素データまたは暗号化要素データまたはリスト番号化要素データ中の部分データが、文字を含む画像データであり、その画像からテキストデータに変換する手段を更に含むことを特徴とする情報処理装置。 - 請求項1ないし請求項9のいずれか1項記載の情報処理装置において、
(s)手段(a)で扱うデータが複数の項目からなるデータである場合、当該データを部分データに分割する際に、1個または複数個の項目で1つの部分データを構成していることを特徴とする情報処理装置。 - 請求項1ないし請求項9のいずれか1項記載の情報処理装置において、
(t)手段(a)で扱うデータが複数の項目からなるデータである場合、当該データを部分データに分割する際に、1個の項目を分割したものが1つの部分データを構成していることを特徴とする情報処理装置。 - (a2)各データを複数の部分データに分割するステップと、
(b2)前記各部分データに対して、どのデータから分割され、何番目の部分データかを認識するための識別子を割り当てるステップと、
(c2)前記各部分データと対応する識別子を結合することで要素データを構成するステップと、を含むことを特徴とするデータ管理方法。 - 請求項12記載のデータ管理方法において、
(d2)前記各要素データを、部分データと識別子に分離するステップと、
(e2)前記識別子をもとにして、ステップ(a2)で分割する前の各データに復元するステップと、を更に含むことを特徴とするデータ管理方法。 - 請求項12または請求項13のいずれか1項記載のデータ管理方法において、
(f2)前記各要素データの中の識別子の部分を、鍵を用いて暗号化して、暗号化識別子を生成するステップと、
(g2)前記各要素データの中の識別子を、対応する暗号化識別子に置き換えて、暗号化要素データを構成するステップと、を含むことを特徴とするデータ管理方法。 - 請求項14記載のデータ管理方法において、
(h2)各暗号化要素データを、部分データと暗号化識別子に分離するステップと、
(i2)前記各暗号化識別子を鍵を用いて復号し、識別子を復元するステップと、
(j2)ステップ(h2)で分離した部分データと、ステップ(i2)で復元した識別子を結合することで、前記ステップ(c2)で得られたものと同じ、要素データを復元するステップを含むことで、部分データ間の関連性を隠蔽することを特徴とするデータ管理方法。 - 請求項12ないし請求項15のいずれか1項記載のデータ管理方法において、
(k2)前記ステップ(g2)で得られた各暗号化要素データを、各暗号化要素データの中の暗号化識別子の値をキーとして、並べ替えるステップを含むことで、部分データ間の関連性をより強く隠蔽することを特徴とするデータ管理方法。 - 請求項12ないし請求項16のいずれか1項記載のデータ管理方法において、
(l2)ステップ(k2)で並べ替えられた後の暗号化要素データの順番通りの番号、すなわち番号識別子を生成するステップと、
(m2)前記各暗号化要素データの中の暗号化識別子と番号識別子との対応表を作成するステップと、
(n2)前記各暗号化要素データの中の暗号化識別子を、対応する番号識別子に置き換えて、リスト番号化要素データを構成するステップと、を含むことを特徴とするデータ管理方法。 - 請求項17記載のデータ管理方法において、
(o2)前記各リスト番号化要素データを、部分データと番号識別子に分離するステップと、
(p2)ステップ(m2)で得られた暗号化識別子と番号識別子の対応表により、前記各リスト番号化要素データの中の番号識別子を暗号化識別子に置き換えることで、各リスト番号化要素データを暗号化要素データに変換するステップを更に含むことを特徴とするデータ管理方法。 - 請求項12ないし請求項18のいずれか1項記載のデータ管理方法において、
(q2)ステップ(f2)およびステップ(i2)における暗号化および復号に用いられる鍵の記憶領域や記憶媒体、ステップ(a2)のデータや各部分データの記憶領域や記憶媒体、ステップ(c2)の要素データの記憶領域や記憶媒体、ステップ(g2)の暗号化要素データの記憶領域や記憶媒体、ステップ(n2)のリスト番号化要素データの記憶領域や記憶媒体の、それぞれは異なる記憶領域や記憶媒体に格納することを特徴とするデータ管理方法。 - 請求項12ないし請求項19のいずれか1項記載のデータ管理方法において、
(r2)要素データまたは暗号化要素データまたはリスト番号化要素データ中の部分データが、文字を含む画像データであり、その画像からテキストデータに変換するステップを更に含むことを特徴とするデータ管理方法。 - 請求項12ないし請求項20のいずれか1項記載のデータ管理方法において、
(s2)ステップ(a2)で扱うデータが複数の項目からなるデータである場合、当該データを部分データに分割する際に、1個または複数個の項目で1つの部分データを構成していることを特徴とするデータ管理方法。 - 請求項12ないし請求項21のいずれか1項記載のデータ管理方法において、
(t2)ステップ(a2)で扱うデータが複数の項目からなるデータである場合、当該データを部分データに分割する際に、1個の項目を分割したものが1つの部分データを構成していることを特徴とするデータ管理方法。 - コンピュータに、
(a2)各データを複数の部分データに分割するステップと、
(b2)前記各部分データに対して、どのデータから分割され、何番目の部分データかを認識するための識別子を割り当てるステップと、
(c2)前記各部分データと対応する識別子を結合することで要素データを構成するステップと、を実行させるプログラム。 - (a)各データを複数の部分データに分割する手段と、
(b)前記各部分データに対して、どのデータから分割され、何番目の部分データかを認識するための識別子を割り当てる手段と、
(c)前記各部分データと対応する識別子を結合することで要素データを構成する手段と、を具備するデータ作成装置により作成された要素データを受信するデータ分離・復元処理装置において、
(d)前記各要素データを、部分データと識別子に分離する手段と、
(e)前記識別子をもとにして、手段(a)で分割する前の各データに復元する手段と、を含むことを特徴とするデータ分離・復元処理装置。 - (a)各データを複数の部分データに分割する手段と、
(b)前記各部分データに対して、どのデータから分割され、何番目の部分データかを認識するための識別子を割り当てる手段と、
(c)前記各部分データと対応する識別子を結合することで要素データを構成する手段と、
(f)前記各要素データの中の識別子の部分を、鍵を用いて暗号化して、暗号化識別子を生成する手段と、
(g)前記各要素データの中の識別子を、対応する暗号化識別子に置き換えて、暗号化要素データを構成する手段と、を具備するデータ作成装置により作成された暗号化要素データを受信するデータ分離・復元処理装置において、
(h)各暗号化要素データを、部分データと暗号化識別子に分離する手段と、
(i)前記各暗号化識別子を鍵を用いて復号し、識別子を復元する手段と、
(j)手段(h)で分離した部分データと、手段(i)で復元した識別子を結合することで、前記手段(c)で得られたものと同じ、要素データを復元する手段と、
を含むことを特徴とするデータ分離・復元処理装置。 - (a)各データを複数の部分データに分割する回路と、
(b)前記各部分データに対して、どのデータから分割され、何番目の部分データかを認識するための識別子を割り当てる回路と、
(c)前記各部分データと対応する識別子を結合することで要素データを構成する回路と、を含むことを特徴とする情報処理回路。 - 請求項26記載の情報処理回路において、
(d)前記各要素データを、部分データと識別子に分離する回路と、
(e)前記識別子をもとにして、回路(a)で分割する前の各データに復元する回路と、を更に含むことを特徴とする情報処理回路。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004181912A JP2006004301A (ja) | 2004-06-18 | 2004-06-18 | データを管理する方法および情報処理装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004181912A JP2006004301A (ja) | 2004-06-18 | 2004-06-18 | データを管理する方法および情報処理装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006004301A true JP2006004301A (ja) | 2006-01-05 |
Family
ID=35772632
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004181912A Pending JP2006004301A (ja) | 2004-06-18 | 2004-06-18 | データを管理する方法および情報処理装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006004301A (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007249874A (ja) * | 2006-03-17 | 2007-09-27 | Ntt Data Corp | 個人情報解析装置及びハードウエアキー装置 |
WO2011078535A2 (ko) * | 2009-12-22 | 2011-06-30 | Lee Soon Goo | 개인 정보를 순서 정보와 내용 정보로 분리하여 암호화하고 합성하는 방법, 장치, 서버 및 기록 매체 |
KR101045222B1 (ko) * | 2009-12-22 | 2011-07-01 | 이순구 | 개인 정보를 순서 정보와 내용 정보로 분리하여 암호화하고 합성하는 방법, 장치,서버 및 기록 매체 |
JP2016006579A (ja) * | 2014-06-20 | 2016-01-14 | 第一コンピュータサービス株式会社 | 手書き文書セキュリティ装置およびコンピュータプログラム |
JP2017090905A (ja) * | 2015-11-03 | 2017-05-25 | パロ アルト リサーチ センター インコーポレイテッド | 暗号化済データを匿名化するためのコンピュータで実施されるシステムおよび方法 |
-
2004
- 2004-06-18 JP JP2004181912A patent/JP2006004301A/ja active Pending
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007249874A (ja) * | 2006-03-17 | 2007-09-27 | Ntt Data Corp | 個人情報解析装置及びハードウエアキー装置 |
WO2011078535A2 (ko) * | 2009-12-22 | 2011-06-30 | Lee Soon Goo | 개인 정보를 순서 정보와 내용 정보로 분리하여 암호화하고 합성하는 방법, 장치, 서버 및 기록 매체 |
KR101045222B1 (ko) * | 2009-12-22 | 2011-07-01 | 이순구 | 개인 정보를 순서 정보와 내용 정보로 분리하여 암호화하고 합성하는 방법, 장치,서버 및 기록 매체 |
WO2011078535A3 (ko) * | 2009-12-22 | 2011-10-20 | Lee Soon Goo | 개인 정보를 순서 정보와 내용 정보로 분리하여 암호화하고 합성하는 방법, 장치, 서버 및 기록 매체 |
JP2016006579A (ja) * | 2014-06-20 | 2016-01-14 | 第一コンピュータサービス株式会社 | 手書き文書セキュリティ装置およびコンピュータプログラム |
JP2017090905A (ja) * | 2015-11-03 | 2017-05-25 | パロ アルト リサーチ センター インコーポレイテッド | 暗号化済データを匿名化するためのコンピュータで実施されるシステムおよび方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI750223B (zh) | 區塊鏈加密射頻晶片存儲設計方法 | |
US11652608B2 (en) | System and method to protect sensitive information via distributed trust | |
US10419416B2 (en) | Encryption and decryption techniques using shuffle function | |
US7864952B2 (en) | Data processing systems with format-preserving encryption and decryption engines | |
US9514330B2 (en) | Meta-complete data storage | |
US8855296B2 (en) | Data processing systems with format-preserving encryption and decryption engines | |
US8204213B2 (en) | System and method for performing a similarity measure of anonymized data | |
US8938067B2 (en) | Format preserving encryption methods for data strings with constraints | |
US10452320B2 (en) | Encrypted data storage and retrieval system | |
Hoffman | Building in big brother: the cryptographic policy debate | |
US20130198525A1 (en) | Systems for structured encryption using embedded information in data strings | |
US8600048B1 (en) | Format-translating encryption systems | |
CN113836558A (zh) | 文件加密方法、装置及文件解密方法 | |
JP2002351742A (ja) | データ保護装置 | |
JPH11272681A (ja) | 個人情報の記録方法およびその記録媒体 | |
JP2002539545A (ja) | 匿名化の方法 | |
CN113449320A (zh) | 一种数据库敏感数据脱敏方法及系统 | |
JP2007140869A (ja) | 電子情報管理方法、電子情報管理システム、コンピュータプログラム | |
JP2006004301A (ja) | データを管理する方法および情報処理装置 | |
EP3582133B1 (en) | Method for de-identifying data | |
JP6592301B2 (ja) | 匿名化装置、検索装置、方法及びプログラム | |
US11989325B1 (en) | Protecting membership in a secure multi-party computation and/or communication | |
Shaik et al. | A compatible hexadecimal encryption-booster algorithm for augmenting security in the advanced encryption standard | |
JP2005182275A (ja) | データ管理方法 | |
US11886617B1 (en) | Protecting membership and data in a secure multi-party computation and/or communication |