JP2006099548A - データ共有システム、データ共有方法、データ保有者デバイスおよびデータサーバ - Google Patents

データ共有システム、データ共有方法、データ保有者デバイスおよびデータサーバ Download PDF

Info

Publication number
JP2006099548A
JP2006099548A JP2004286424A JP2004286424A JP2006099548A JP 2006099548 A JP2006099548 A JP 2006099548A JP 2004286424 A JP2004286424 A JP 2004286424A JP 2004286424 A JP2004286424 A JP 2004286424A JP 2006099548 A JP2006099548 A JP 2006099548A
Authority
JP
Japan
Prior art keywords
data
server
terminal
holder device
sharer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004286424A
Other languages
English (en)
Inventor
Yuichiro Nakagawa
雄一郎 中川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2004286424A priority Critical patent/JP2006099548A/ja
Publication of JP2006099548A publication Critical patent/JP2006099548A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】 データサーバの管理者によるデータの覗き見、漏洩、改ざん、消去を防止または発見することを課題とする。
【解決手段】 データサーバ1、データ保有者デバイス4、データ共有者デバイス3および端末2とを有して構成されるデータ共有システムにおいて、データ保有者のデータは、データ保有者デバイス4内で暗号化され、通し番号と署名を付与された後、データサーバ1に書き込まれる。そして、データサーバ1からデータ保有者のデータを読み出す場合は、データ保有者デバイス4あるいはデータ共有者デバイス3内で、読み出したデータを復号化する。
【選択図】 図1

Description

本発明は、データ保有者のデータをネットワーク上のデータサーバに格納し、データ保有者とデータ共有者が有するICカードなどのデバイスを用いてデータの暗復号化やアクセス制御を行うことにより、データを安全に共有するデータ共有システム、データ共有方法、データ保有者デバイスおよびデータサーバに関する。
情報化社会の高度化が進行する現代において、個人情報の管理が重要課題となってきている。つまり、電子化された個人情報を集めたデータベースなどを多数の者が利用する場面が多く、悪意ある者によってそれらの個人情報が盗まれたり改ざんされたりする危険性が少なからず存在するというのが現状である。
たとえば、特許文献1では、ネットワーク上のデータサーバを用いてデータを共有するシステムおよび方法として、個人の健康医療情報を共有するシステムおよび方法が開示されている。具体的には、まず、データ保有者である患者は、データサーバに、データ共有者である医者などのアクセス権限、つまり、どのデータ共有者がどのデータにアクセスしてよいのかなど、を設定する。そして、データ共有者は、データサーバにログインした後、データサーバに設定されているアクセス権限に従い、データ操作を実施する。これにより、アクセス権限のない者はデータにアクセスできないという効果を奏する。また、データサーバに格納されるデータは、データサーバ内で暗号化することもでき、暗号化しておけば、データがデータサーバ外部へ漏洩しても内容を解読されることはない。
特開2001−325372号公報(段落0005〜段落0008、図1)
しかしながら、特許文献1の技術では、データ共有者のアクセス制御や格納データの暗号化をデータサーバ内で実施するため、データサーバの管理者によるデータの覗き見、漏洩、改ざん、消去を防止または発見できないという問題がある。
本発明は、このような背景に鑑みてなされたものであり、データサーバの管理者によるデータの覗き見、漏洩、改ざん、消去を防止または発見できるデータ共有システム、データ共有方法、データ保有者デバイスおよびデータサーバを提供することを目的とする。
前記課題を解決するために、本発明は、データサーバ、データ保有者デバイス、データ共有者デバイスおよび端末とを有して構成されるデータ共有システムにおいて、データ保有者のデータは、データ保有者デバイス内で暗号化され、通し番号と署名を付与された後、データサーバに書き込まれる。そして、データサーバからデータ保有者のデータを読み出す場合は、データ保有者デバイスあるいはデータ共有者デバイス内で、読み出したデータを復号化する。
本発明によれば、データサーバの管理者によるデータの覗き見、漏洩、改ざん、消去を防止または発見することができる。
本発明の実施形態に関して、病院などの医療機関にデータ共有システムを導入した例について説明する。この場合、データ保有者はたとえば患者であり、データ共有者はたとえば医者である。そして、データ保有者のデータ(たとえばカルテ)をデータサーバに書き込むには、データ保有者デバイス(たとえばICカード)が必ず必要となる。また、そのデータを読み出す場合は、データ保有者デバイスあるいはデータ共有者デバイス(たとえばICカード)のいずれかがあれば可能である。さらに、データ共有システムの運営者(以下、単に運営者と記載)は、たとえば医療機関の経営者であり、データ共有システムの直接の管理者(たとえば現場責任者)を監督する立場の者などがなればよい。以下、適宜図面を参照しながら、構成、動作の順で、詳細に説明する。
<<<構成>>>
<<全体>>
図1は、本実施形態に係るデータ共有システムの全体構成図である。データ共有システムは、データサーバ1、端末2、データ共有者デバイス3、および、データ保有者デバイス4を含んで構成される。
<データサーバ>
データサーバ1は、データ保有者とデータ共有者の間で共有するデータを格納するネットワーク上のサーバであり、CPU10、メモリ11、記憶部12、通信部13を備えている。記憶部12には、端末2からのデータ書込/読出要求に応じてデータの書込/読出を行うためのデータ書込プログラム120とデータ読出プログラム121、および、データ保有者のデータを格納するデータ格納部122が格納されている。そして、データの書込/読出時には、データ書込プログラム120/データ読出プログラム121がメモリ11に読み込まれ、CPU10によって実行される。
また、データ格納部122には、データ保有者のデータが、データ保有者デバイス4が有するデータ暗復号鍵により暗号化された状態で格納される。また、データサーバ1は、データ書込時、データ共有者やデータ保有者によるデータの改ざんを防止するため、データの追記のみを許可する構成となっており、その詳細については後記する。データサーバ1としては、たとえば、ワークステーション、ホストコンピュータ、PC(Personal Computer)サーバなどが挙げられ、医療機関の管理室などに設置される。
<端末>
端末2は、データ保有者またはデータ共有者が、データサーバ1上の共有データの閲覧や、データサーバ1への共有データの書き込みを行うための情報端末であり、CPU20、メモリ21、記憶部22、通信部23、通信部24、通信部25、キーボードやマウス、キーボタン、音声入力などの入力部26、ディスプレイなどの表示部27を備えている。記憶部22には、データサーバ1上の共有データの読み出し、および、データサーバ1への共有データの書き込みを行うためのデータ書込プログラム220とデータ読出プログラムプログラム221が格納されている。そして、データの書込/読出時には、データ書込プログラム220/データ読出プログラム221がメモリ21に読み込まれ、CPU20によって実行される。
なお、前記した通り、データサーバ1上の共有データは、データ保有者デバイス4が有するデータ暗復号鍵により暗号化された状態で格納される。そのため、原則として、データ保有者デバイス4がないと共有データの読出/書込は不可能である。しかし、運営者から当該データ暗復号鍵を共有することを認められたデータ共有者は、データ保有者の合意を得て当該データ暗復号鍵を共有することにより、データ保有者デバイス4がなくても共有データを読み出すことが可能となる。
したがって、データサーバ1へのデータ書込方法には、データ保有者デバイス4とデータ共有者デバイス3の両方を用いる方法と、データ保有者デバイス4のみを用いる方法との2通りが存在する。また、データ読出方法には、データ保有者デバイス4とデータ共有者デバイス3の両方を用いる方法と、データ保有者デバイス4のみを用いる方法と、データ共有者デバイス3のみを用いる方法の3通りが存在する。各書込/読出方法の詳細に関しては、後記する。端末2としては、たとえば、PC、携帯電話、PDA(Personal Digital Assistant;携帯情報端末)などが挙げられ、医療機関の診察室などに設置される。
<データ共有者デバイス>
データ共有者デバイス3は、データ保有者のデータを共有することを、運営者から認められたデータ共有者が有するデバイスであり、CPU30、メモリ31、記憶部32、通信部33を備えている。記憶部32には、データサーバ1から読み出されたデータを復号化するための読出データ復号化プログラム320、および、データ共有者がデータの書込/読出を行う際に必要なデータを格納するデータ格納部321が格納されている。そして、データサーバ1から読み出されたデータを復号化する際、読出データ復号化プログラム320は、メモリ31に読み込まれ、CPU30によって実行される。
また、データ共有者デバイス3は、データ暗復号鍵や共有データなどの重要情報の漏洩を防止するため、耐タンパ性(データへの不正アクセス防止能力)の高いものが望ましい。データ共有者デバイス3としては、たとえば、CPU機能を有するメモリカードやICカードなどが挙げられる。
<データ保有者デバイス>
データ保有者デバイス4は、データ保有者が有するデバイスであり、CPU40、メモリ41、記憶部42、通信部43を備えている。記憶部42には、データサーバ1に書き込むデータを暗号化するための書込データ暗号化プログラム420と、データサーバ1から読み出されたデータを復号化するための読出データ復号化プログラム421、運営者からデータ暗復号鍵を共有することを認められたデータ共有者と当該データ暗復号鍵を共有するためのデータ暗復号鍵共有プログラム422、書込/読出データの暗号化/復号化やデータ暗復号鍵の共有を行う際に必要なデータを格納するデータ格納部423が格納されている。
そして、書込/読出データの暗号化/復号化やデータ暗復号鍵の共有を行う際、書込データ暗号化プログラム420や読出データ復号化プログラム421、データ暗復号鍵共有プログラム422は、メモリ41に読み込まれ、CPU40によって実行される。また、データ保有者デバイス4は、データ暗復号鍵や共有データなどの重要情報の漏洩を防止するため、耐タンパ性の高いものが望ましい。データ保有者デバイス4としては、たとえば、CPU機能を有するメモリカードやICカードなどが挙げられる。
<通信状態など>
そして、データサーバ1と端末2の間、端末2とデータ共有者デバイス3の間、および、端末2とデータ保有者デバイス4の間は、それぞれ、通信部13と通信部23、通信部24と通信部33、および、通信部25と通信部43を介して相互に通信可能である。なお、通信部13と通信部23は、たとえば、インターネット、専用回線、LAN(Local Area Network)、WAN(Wide Area Network)、公衆回線などを利用して通信を行う。また、通信部24と通信部33、および、通信部25と通信部43は、ISO(International Organization for Standardization)14443規格などに基づいた非接触ICカードまたは非接触ICチップ、バーコード、IrDA(Infrared Data Association)が規定した赤外線通信などの無線通信や、接触型リーダライタやシリアルケーブルなどを利用する有線通信を利用して通信を行う。
また、図1では、1台のデータサーバ1に対し、データ保有者デバイスが1つしか存在しないが、実際には複数存在してもよい。さらに、1つのデータ保有者デバイス4に対して、端末2およびデータ共有者デバイス3が各1つしか存在していないが、実際にはそれぞれ複数存在してもよい。また、端末2とデータ共有者デバイス3をそれぞれ独立の装置としているが、情報端末としてそれらが一体化されていてもよい。
<<データ項目>>
<データサーバのデータ格納部>
図2は、データサーバ1のデータ格納部122に格納されるデータ項目である。なお、このデータ項目は、データ保有者デバイス4の1つ分のデータ項目である。したがって、データサーバ1を複数のデータ保有者デバイス4が利用する場合、データ格納部122には、図2に示したデータ項目が、データ保有者デバイス4の個数分格納されることになる。また、以下では、このデータ保有者デバイス4の1つ分のデータ項目全体のことを共有データと呼ぶ。
データ保有者ID1220は、データ保有者およびデータ共有者に対して運営者が固有に割り当てる利用者ID(識別情報)のうち、データ保有者デバイス4に割り当てられた利用者IDである。署名検証用公開鍵1221は、データ保有者デバイス4から署名生成用秘密鍵を用いて署名を付与して送られてきたデータの正当性を検証するためのデータである。つまり、このように署名を使用することによって、データが途中で改ざんされていたり、不正な者からのデータであったりすることを防止または発見できるのである。なお、署名の生成・検証を行う公開鍵暗号アルゴリズムとしては、たとえば、楕円曲線暗号やRSA(Rivest,Shamir,Adleman)暗号などが挙げられるが、それらは公知技術であるので、説明は省略する。
鍵データリスト1222には、後記するデータ暗復号鍵を共有したデータ共有者のデータ共有者ID1230と、当該データ共有者が有するデータ暗復号鍵共有用公開鍵で暗号化されたデータ暗復号鍵(暗号化)1231、当該データ共有者が有するデータ暗復号鍵共有用公開鍵で暗号化された署名検証用公開鍵(暗号化)1232、データ保有者デバイス4が自身が有する署名生成用秘密鍵を用いてデータ暗復号鍵(暗号化)1231と署名検証用公開鍵(暗号化)1232に対して付与した署名1233が格納される。
データリスト1223には、データID1234、データ種別ID1235、データ(暗号化)1236および署名1237が格納される。データID1234は、データ種別ID1235、データ(暗号化)1236および署名1237からなるワンセットのデータをこのデータリスト1223に書き込む際に、順番に割り当てられる通し番号である。本実施例では、一例として、データID1234を1から順番に割り当てることとする。
データ種別ID1235は、運営者がデータの種別毎に割り当てた識別情報であり、たとえば内科、外科、レントゲン、投薬などの項目が考えられる。データサーバ1にはデータが暗号化された状態で格納されるため、データ保有者およびデータ共有者は、本データ種別ID1235を用いて、格納されているデータの種別を識別する。データ(暗号化)1236は、データ保有者デバイス4が自身が有するデータ暗復号鍵で暗号化したデータ保有者のデータである。署名1237は、データ保有者デバイス4が自身が有する署名生成用秘密鍵を用いて、データID1234とデータ種別ID1235、データ(暗号化)1236に対して付与した署名である。
<データ共有者デバイスのデータ格納部>
図3は、データ共有者デバイス3のデータ格納部321に格納されるデータ項目である。データ共有者ID3210は、データ保有者デバイスおよびデータ共有者デバイスに対して運営者が固有に割り当てる利用者IDのうち、データ共有者デバイス3に割り当てられた利用者IDである。
アクセス権限情報3211は、データ共有者デバイス3がアクセス可能なデータ種別IDを示すデータである。このアクセス権限情報3211は、運営者が設定するデータであり、データ種別IDリスト3220と、データ種別IDリスト3220に対して運営者が付与した署名3221からなる。署名3221の生成アルゴリズムとしては、たとえば、楕円曲線暗号やRSA暗号などの公開鍵暗号アルゴリズムや、DES(Data Encryption Standard)やAES(Advanced Encryption Standard)などの共通鍵暗号アルゴリズム、鍵付きハッシュアルゴリズムなどが挙げられるが、それらは公知技術であるので、説明を省略する。
データ暗復号鍵共有許可情報3212は、運営者がデータ保有者デバイス4とデータ暗復号鍵を共有することを認めたデータ共有者デバイス3に対して与えるデータであり、データ暗復号鍵共有用公開鍵3222と署名3223からなる。データ暗復号鍵共有用公開鍵3222は、データ保有者デバイス4とデータ暗復号鍵を共有する際に、当該データ暗復号鍵、および、データ保有者デバイス4が有する署名生成用公開鍵を暗号化するために利用される。署名3223は、データ暗復号鍵共有用公開鍵3222に対して運営者が付与するデータであり、生成アルゴリズムとしては、たとえば、楕円曲線暗号やRSA暗号などの公開鍵暗号アルゴリズムや、DESやAESなどの共通鍵暗号アルゴリズム、鍵付きハッシュアルゴリズムなどが挙げられる。
データ暗復号鍵共有用秘密鍵3213は、データ暗復号鍵共有用公開鍵3222で暗号化されたデータ暗復号鍵と署名検証用公開鍵を復号化するために利用される。データ暗復号鍵と署名検証用公開鍵の暗号化・復号化を行う公開鍵暗号アルゴリズムとしては、たとえば、楕円曲線暗号やRSA暗号などが挙げられる。なお、データ暗復号鍵共有用公開鍵3222、および、データ暗復号鍵共有用秘密鍵3213は、セキュリティの面からデータ共有者デバイス3内で生成されることが望ましい。
<データ保有者デバイスのデータ格納部>
図4は、データ保有者デバイス4のデータ格納部423に格納されるデータ項目である。データ保有者ID4230は、データ保有者デバイスおよびデータ共有者デバイスに対して運営者が固有に割り当てる利用者IDのうち、データ保有者デバイス4に割り当てられた利用者IDである。
アクセス権限情報4231は、データ保有者デバイス4がデータサーバ1においてアクセス可能なデータのデータ種別IDを示すデータである。このアクセス権限情報4231は、運営者が設定するデータであり、データ種別IDリスト4240と、当該データ種別IDリスト4240に対して運営者が付与した署名4241からなる。署名4241の生成アルゴリズムは、署名3221の生成アルゴリズムと同様でよく、たとえば、楕円曲線暗号やRSA暗号などの公開鍵暗号アルゴリズムや、DESやAESなどの共通鍵暗号アルゴリズム、鍵付きハッシュアルゴリズムなどが挙げられる。
アクセス権限情報検証用データ4232は、データ共有者デバイス3が有するアクセス権限情報3211に含まれる署名3221の正当性を検証するためのデータであり、格納されるデータは署名3221の生成アルゴリズムに依存する。データ暗復号鍵4233は、データ保有者のデータの暗復号化を行うための鍵データであり、暗復号化アルゴリズムとしては、たとえば、楕円曲線暗号やRSA暗号などの公開鍵暗号アルゴリズムや,DESやAESなどの共通鍵暗号アルゴリズムが挙げられる。
署名生成用秘密鍵4234は、データサーバ1に書き込むデータに対し、署名を生成するためのデータである。署名検証用公開鍵4235は、署名生成用秘密鍵4234を用いて生成した署名の正当性を検証するためのデータである。なお、署名の生成・検証を行う公開鍵暗号アルゴリズムとしては、たとえば、楕円曲線暗号やRSA暗号などが挙げられる。また、署名検証用秘密鍵4234、および、署名検証用公開鍵4235は、セキュリティの面からデータ保有者デバイス4内で生成されることが望ましい。
データ書込回数4236は、データサーバ1にデータを書き込んだ回数を示すデータであり、データを書き込む毎に1加算される。データ暗復号鍵共有許可情報検証用データ4237は、データ共有者デバイス3とデータ暗復号鍵4233を共有する際に、データ共有者デバイス3が有するデータ暗復号鍵共有許可情報3212に含まれる署名3223の正当性を検証するためのデータであり、格納されるデータは署名3223の生成アルゴリズムに依存する。
利用者識別データ4238は、データ保有者デバイス4の利用者本人しか知らない、または、保有しないデータであり、データ保有者デバイス4の利用者の正当性検証に利用される。利用者識別データ4238としては、たとえば、パスワード、指紋情報、虹彩情報などが挙げられる。データサーバURL4239は、データサーバ1のURLであるが、端末2に格納する構成でもよい。
<<<動作>>>
<<書込動作>>
図1のシステム構成において、データサーバ1にデータを書き込む方法に関して説明する。データ書込方法としては、データ保有者デバイス4とデータ共有者デバイス3を用いてデータを書き込む方法(書込動作1)と、データ保有者デバイス4のみを用いてデータを書き込む方法(書込動作2)の2通りが存在する。
<書込動作1>
データ保有者デバイス4とデータ共有者デバイス3を用いてデータを書き込む方法について、図1から図4までを適宜参照しながら、図5のフローチャートに沿って説明する。この動作は、たとえば、医療機関において、医者であるデータ共有者が、患者であるデータ保有者のカルテを書き込む場合などの動作である。本動作では、データサーバ1、端末2およびデータ保有者デバイス4上で、それぞれ、データ書込プログラム120、データ書込プログラム220および書込データ暗号化プログラム420が実行される。
データ共有者が、端末2に対してデータ共有者デバイス3とデータ保有者デバイス4を通信可能状態にセットし、データ書き込みのための所定の操作を行うと、S(ステップ;以下同じ)101において、端末2はデータ共有者デバイス3にアクセス権限情報3211の送信を要求し、S102において、データ共有者デバイス3は端末2にアクセス権限情報3211を送信する。
次に、端末2は、データ共有者に対して、データサーバ1に書き込むデータの指定を要求し、S103において、データ共有者は、端末2の入力部26などを用いて、データサーバ1へ書き込むデータ(本動作において、以下、データ(平文)と記載)、および、データ(平文)のデータ種別IDを指定する。なお、データ(平文)とデータ種別IDは、その場で直接入力してもよいし、あるいは端末2に既に入っているデータから選択するようにしてもよい。
S104において、端末2は、S102で受信したアクセス権限情報3211と、データ共有者から指定されたデータ(平文)およびデータ種別IDを、データ保有者デバイス4に送信する。
S105において、データ保有者デバイス4は、受信したアクセス権限情報3211の正当性を、アクセス権限情報3211における署名3221およびアクセス権限情報検証用データ4232を用いて検証する。これにより、アクセス権限情報3211の改ざんなどを発見することができ、不正な者によるデータの書き込みを防止することができる。
S105の検証によりアクセス権限情報3211が正当でないと判断された場合、S106において、データ保有者デバイス4は、その旨を端末2に通知し、データ書込処理を終了する。
S105の検証によりアクセス権限情報3211が正当であると判断された場合、S107において、データ保有者デバイス4は、受信したアクセス権限情報3211に含まれるデータ種別IDリスト3220に、受信したデータ種別IDが含まれるか、つまり受信したデータ種別IDがデータサーバ1へのアクセス権限を有するか否かを判断する。
S107でデータ種別IDが含まれていない、つまりアクセス権限がない場合、S108において、データ保有者デバイス4は、データ共有者デバイス3には書込権限がないことを端末2に通知し、データ書込処理を終了する。これにより、たとえば、外科医が、担当外である内科のデータを書き込んだりすることを防止することができる。
S107でデータ種別IDが含まれていた、つまりアクセス権限がある場合、S109において、データ保有者デバイス4は、受信したデータ(平文)をデータ暗復号鍵4233を用いて暗号化する。このように、データ保有者デバイス4内で暗号化を行うことで、システムの管理者によってもデータ(平文)の内容を覗き見られることはない。なお、暗号化されたデータ(平文)は、以下、データ(暗号化)と表記する。
S110において、データ保有者デバイス4は、データ書込回数4236を1加算した後、データ(暗号化)に対して当該データ書込回数4236をデータIDとして割り当てる。
S111において、データ保有者デバイス4は、データ種別ID、データ(暗号化)およびデータIDを連結したデータから、署名生成用秘密鍵4234を用いて署名を生成し、付与する。なお、本動作において、これらのデータ種別ID、データ(暗号化)、データIDおよび署名のひとまとまりを、書込データと呼ぶ。
S112において、データ保有者デバイス4は、データ保有者ID4230、データサーバURL4239および書込データを端末2に送信する。
S113において、端末2は、受信したデータサーバURL4239を元に、データ保有者ID4230および書込データをデータサーバ1に転送する。
S114において、データサーバ1は、データ格納部122内のデータ保有者ID1220をチェックし、データ保有者ID4230を有する共有データが存在するか否か確認する。
S114で当該共有データが存在しない場合、S115において、データサーバ1は、共有データが存在しない旨を端末2に通知した後、データ書込処理を終了する。なお、共有データに最初に書き込みを行う場合は、運営者の設定により共有データが存在するようにしておけばよい。
S114で共有データが存在する場合、S116において、データサーバ1は、受信した書込データの正当性を、書込データのうちの署名および署名検証用公開鍵1221を用いて検証する。これにより、たとえば、S113などで書込データが改ざんされていたとしても、発見することができる。
S116で書込データが正当でないと判断された場合、S117において、データサーバ1は、書込データが正当でない旨を端末2に通知し、データ書込処理を終了する。
S116で書込データが正当であると判断された場合、S118において、データサーバ1は、書込データのデータIDがデータリスト1223内のデータID1234に存在するか否かを判断する。
S118でデータIDが存在していた場合、S119において、データサーバ1は、当該データIDを有する書込データが既に存在する旨を端末2に通知し、データ書込処理を終了する。これにより、不正な書込データが書き込まれることを防止することができる。なぜなら、正常な書き込みが行われ続けている場合は、書込データのデータIDは1つずつ増えていくはずだからである。なお、S118では、書込データのデータIDが、前回書き込まれた書込データのデータIDに1加算した値であることを同時にチェックしてもよい。データサーバ1は書込データについて修正や削除は不可で追記のみ可の構成となっていることともあわせて、そうすることで、不当に大きな数字のデータIDを有する不正な書込データや、以前書き込まれた正当な書込データが消去されたという事実を、発見することができる。
S118でデータIDが存在していなかった場合、S120において、データサーバ1は、受信した書込データのデータID、データ種別ID、データ(暗号化)および署名を、それぞれ、データリスト1223内のデータID1234、データ種別ID1235、データ(暗号化)1236、署名1237に追記する。このように、暗号化されたデータを保存することで、そのデータが外部に漏洩してもその内容までは知られることがない。
S121において、データサーバ1は、データの追記が完了した旨を端末2に通知し、書込処理を終了する。
<書込動作2>
データ保有者デバイス4のみを用いてデータを書き込む方法について、図1から図4までを適宜参照しながら、図6のフローチャートに沿って説明する。この動作は、たとえば、患者であるデータ保有者が、自宅のパソコンである端末2を使って体温や血圧などのデータを書き込む場合などの動作である。本動作では、データサーバ1、端末2およびデータ保有者デバイス4上で、それぞれ、データ書込プログラム120、および、データ書込プログラム220、書込データ暗号化プログラム420が実行される。
データ保有者が、端末2に対してデータ保有者デバイス4を通信可能状態にセットし、データ書き込みのための所定の操作を行うと、端末2は、データ保有者に対して、利用者識別データの入力を要求し、S201において、データ保有者は、端末2の入力部26を用いて、利用者識別データを入力する。利用者識別データは、前記したように、たとえば、パスワード、指紋情報、虹彩情報などである。
端末2は、データ保有者に対して、データサーバ1に書き込むデータの指定を要求し、S202において、データ保有者は、端末2の入力部26などを用いて、データサーバ1へ書き込むデータ(本動作において、以下、データ(平文)と記載)、および、本データのデータ種別IDを指定する。
S203において、端末2は、利用者識別データ、データ種別IDおよびデータ(平文)を、データ保有者デバイス4に送信する。
S204において、データ保有者デバイス4は、受信した利用者識別データと利用者識別データ4238が一致するか否かチェックする。
S204で一致しなかった場合、S205において、データ保有者デバイス4は、その旨を端末2に通知し、データ書込処理を終了する。これにより、不正な者によるデータの書き込みを防止することができる。
S204で一致した場合、S206において、データ保有者デバイス4は、受信したデータ種別IDがアクセス権限情報4231内のデータ種別IDリスト4240に含まれるか、つまり受信したデータ種別IDがデータサーバ1へのアクセス権限を有するか否かを判断する。
S206でデータ種別IDが含まれていない、つまりアクセス権限がない場合、S207において、データ保有者デバイス4は、その旨を端末2に通知し、データ書込処理を終了する。これにより、たとえば、外科のみに通う患者であるデータ保有者が、勝手に内科など別のデータ種別のデータを書き込んだりすることなどを防止できる。
なお、S203でデータ種別IDを送信する際、当該データ種別IDから生成した署名を付与しておき、受信したデータ保有者デバイス4側で、その署名を利用してデータ種別IDの正当性を判断するようにすれば、セキュリティレベルをさらに上げることができる。逆に、端末2を使用する者がデータ保有者以外に考えられない場合などには、S201の利用者識別データ入力およびそれに関連する処理を省略することもできる。
S206でデータ種別IDが含まれている、つまりアクセス権限がある場合、S208に進むが、S208〜S220の処理は、図5のS109〜S121の処理とまったく同様であり、説明を省略する。
<<読出動作>>
図1のシステム構成において、データサーバ1上のデータを読み出す方法に関して説明する。データ読出方法としては、データ共有者デバイス3とデータ保有者デバイス4を用いてデータを読み出す方法(読出動作1)、データ保有者デバイス4のみを用いて読み出す方法(読出動作2)、データ共有者デバイス3のみを用いて読み出す方法(読出動作3)の3通りが存在する。
<読出動作1>
データ共有者デバイス3とデータ保有者デバイス4を用いてデータを読み出す方法について、図1から図4までを適宜参照しながら、図7のフローチャートに沿って説明する。この動作は、たとえば、医療機関において、医者であるデータ共有者が、患者であるデータ保有者のカルテを読み出す場合などの動作である。本動作では、データサーバ1、端末2、および、データ保有者デバイス4上で、それぞれ、データ読出プログラム121、データ読出プログラム221および読出データ復号化プログラム421が実行される。
データ共有者が、端末2に対してデータ共有者デバイス3とデータ保有者デバイス4を通信可能状態にセットし、データ読み出しのための所定の操作を行うと、S301において、端末2は、データ共有者デバイス3にアクセス権限情報3211の送信を要求する。
S302において、データ共有者デバイス3は、端末2にアクセス権限情報3211を送信し、S303において、端末2はデータ保有者デバイス4にアクセス権限情報3211を転送する。
S304において、データ保有者デバイス4は、受信したアクセス権限情報3211の正当性を、アクセス権限情報3211における署名3221およびアクセス権限情報検証用データ4232を用いて検証する。これにより、アクセス権限情報3211の改ざんなどを発見することができ、不正な者によるデータの読み出しを防止することができる。
S304の検証によりアクセス権限情報3211が正当でないと判断された場合、S305において、データ保有者デバイス4は、その旨を端末2に通知し、データ読出処理を終了する。
S304の検証によりアクセス権限情報3211が正当であると判断された場合、S306において、データ保有者デバイス4は、データ保有者ID4230およびデータサーバURL4239を端末2に送信する。
端末2は、データ共有者に対して、読み出したいデータのデータ種別IDの指定を要求し、S307において、データ共有者は、端末2の入力部26などを用いて、読み出したいデータのデータ種別IDを入力する。なお、端末2は、データ共有者にデータ種別IDの指定を要求する際に、S303の直前に受信しているアクセス権限情報3211に含まれるデータ種別IDリスト3220を表示部27に表示してもよい。
S308において、端末2は、受信したデータサーバURL4239を元に、データ保有者ID4230およびデータ種別IDをデータサーバ1に送信する。
なお、端末2は、S307の直前にデータ共有者にデータ種別IDの指定を要求することを省略し、S302でデータ共有者デバイス3が送信したアクセス権限情報3211に含まれるデータ種別IDリスト3220をS308でデータサーバ1に送信するようにしてもよい。これによれば、たとえば、医者であるデータ共有者のデータ種別IDリスト3220が1つだけ(たとえば内科のみ)の場合、読み出すデータのデータ種別は確定(内科)なので、S307のデータ共有者による入力の手間を省くことができるのである。
S309において、データサーバ1は、データ格納部122内のデータ保有者ID1220をチェックし、データ保有者ID4230を有する共有データが存在するか否か確認する。
S309で当該共有データが存在しない場合、S310において、データサーバ1は、共有データが存在しない旨を端末2に通知し、データ読出処理を終了する。
S309で共有データが存在する場合、S311において、データサーバ1は、データリスト1223内のデータ種別ID1235をチェックし、当該データ種別IDを有するデータのデータID、データ種別ID、データ(暗号化)および署名を端末2に送信する。なお、本動作において、これらのデータID、データ種別ID、データ(暗号化)および署名のひとまとまりを、読出データと呼ぶ。
S312において、端末2は、受信した読出データをデータ保有者デバイス4に転送する。
S313において、データ保有者デバイス4は、受信した読出データの正当性を、読出データのうちの署名および署名検証用公開鍵4235を用いて検証する。これにより、たとえば、S312などで読出データが改ざんされていたとしても、発見することができる。
S313で読出データが正当でないと判断された場合、S314において、データ保有者デバイス4は、読出データが正当でない旨を端末2に通知し、データ読出処理を終了する。
S313で読出データが正当であると判断された場合、S315において、データ保有者デバイス4は、S304の直前に受信したアクセス権限情報3211に含まれるデータ種別IDリスト3220に、読出データのデータ種別IDが含まれるか、つまり受信したデータ種別IDがデータへのアクセス権限を有するか否かを判断する。
S315でデータ種別IDが含まれない、つまりアクセス権限がないと判断された場合、S316において、データ保有者デバイス4は、その旨を端末2に通知し、データ読出処理を終了する。これにより、たとえば、外科の医者であるデータ共有者が、患者であるデータ保有者のデータのうち、自分の担当外の内科のデータを見ることなどを防止することができる。
S315でデータ種別IDが含まれる、つまりアクセス権限があると判断された場合、S317において、データ保有者デバイス4は、読出データのうちのデータ(暗号化)を、データ暗復号鍵4233を用いて復号化する。
S318において、データ保有者デバイス4は、データ(平文)を端末2に返信する。
その後、端末2でデータ(平文)を表示などすることにより、データ共有者がそのデータ(平文)を見たり操作したりすることができる。
なお、本動作では、データサーバ1から読み出される読出データは1つであるが、複数のデータを読み出すようにしてもよい。その場合、S313からS318までの処理を、読み出された個々の読出データに対して適用すればよい。
<読出動作2>
データ保有者デバイス4のみを用いてデータを読み出す方法について、図1から図4までを適宜参照しながら、図8のフローチャートに沿って説明する。この動作は、たとえば、患者であるデータ保有者が、自宅のパソコンである端末2を使ってデータサーバ1のデータを読み出す場合などの動作である。本動作では、データサーバ1、端末2、および、データ保有者デバイス4上で、それぞれ、データ読出プログラム121、データ読出プログラム221、および、読出データ復号化プログラム421が実行される。
データ保有者が、端末2に対してデータ保有者デバイス4を通信可能状態にセットし、データ読み出しのための所定の操作を行うと、端末2は、データ保有者に対して、利用者識別データの入力を要求し、S401において、データ保有者は、端末2の入力部26を用いて、利用者識別データを入力する。利用者識別データは、前記したように、たとえば、パスワード、指紋情報、虹彩情報などである。
S402において、端末2は、S401で入力した利用者識別データをデータ保有者デバイス4に送信する。
S403において、データ保有者デバイス4は、受信した利用者識別データと利用者識別データ4238が一致するか否かチェックする。
S403で一致しなかった場合、S404において、データ保有者デバイス4は、その旨を端末2に通知し、データ読出処理を終了する。これにより、不正な者によるデータの読み出しを防止することができる。また、不正な者が端末2を使用する可能性がなければ、S401からS403までは省略してもかまわない。
S403で一致した場合、S405において、データ保有者デバイス4は、データ保有者ID4230、データサーバURL4239およびアクセス権限情報4231に含まれるデータ種別IDリスト4240を端末2に送信する。
次に、端末2は、データ保有者に対して、読み出したいデータのデータ種別IDの指定を要求し、S406において、データ保有者は、端末2の入力部26などを用いて、読み出したいデータのデータ種別IDを入力する。なお、端末2は、データ保有者にデータ種別IDの指定を要求する際に、S405でデータ保有者デバイス4が送信したデータ種別IDリスト4240を表示部27に表示してもよい。
S407において、端末2は、受信したデータサーバURL4239を元に、データ保有者ID4230およびデータ種別IDをデータサーバ1に送信する。
なお、端末2は、S406の直前でデータ保有者にデータ種別IDの指定を要求することを省略し、S405でデータ保有者デバイス4が送信したデータ種別IDリスト4240をS407でデータサーバ1に送信してもよい。
S408〜S417の処理は、図7のS309〜S318の処理とまったく同様であり、説明を省略する。
<読出動作3>
データ共有者デバイス3のみを用いてデータを読み出す方法について説明する。この動作は、たとえば、医療機関において、医者であるデータ共有者が、患者であるデータ保有者のデータ保有者デバイス4なしでデータサーバ1からデータを読み出す場合などの動作である。この場合、データ共有者デバイス3は、以下の準備1、準備2の動作でデータ保有者デバイス4のデータ暗復号鍵4233を取得し、その後に、読出の動作を行うことになる。
〔準備1(データサーバへのデータ暗復号鍵の書込)〕
データ共有者がデータ保有者デバイス4のデータ暗復号鍵4233をデータサーバ1に書き込む方法について、図1から図4までを適宜参照しながら、図9のフローチャートに沿って説明する。本動作では、データサーバ1、端末2、および、データ保有者デバイス4上で、それぞれ、データ読出プログラム121、データ読出プログラム221、および、読出データ復号化プログラム421が実行される。
データ共有者が、端末2に対してデータ共有者デバイス3およびデータ保有者デバイス4を通信可能状態にセットし、所定の操作を行うと、S501において、端末2は、データ共有者デバイス3にデータ共有者ID3210およびデータ暗復号鍵共有許可情報3212の送信を要求する。
S502において、データ共有者デバイス3は、データ共有者ID3210およびデータ暗復号鍵共有許可情報3212を端末2に送信し、S503において、端末2は、データ共有者ID3210およびデータ暗復号鍵共有許可情報3212をデータ保有者デバイス4に転送する。
S504において、データ保有者デバイス4は、受信したデータ暗復号鍵共有許可情報3212の正当性を、署名3223およびデータ暗復号鍵共有許可情報検証用データ4237を用いて検証する。
S504で検証したデータ暗復号鍵共有許可情報3212が正当でなかった場合、S505において、データ保有者デバイス4は、その旨を端末2に通知し、処理を終了する。
S504で検証したデータ暗復号鍵共有許可情報3212が正当であった場合、S506において、データ保有者デバイス4は、データ暗復号鍵共有許可情報3212に含まれるデータ暗復号鍵共有用公開鍵3222を用いて、データ暗復号鍵4233、および、署名検証用公開鍵4235を暗号化する。以下、暗号化したデータ暗復号鍵4233、および、署名検証用公開鍵4235を、それぞれ、データ暗復号鍵(暗号化)、および、署名検証用公開鍵(暗号化)と呼ぶ。
S507において、データ保有者デバイス4は、データ暗復号鍵(暗号化)と署名検証用公開鍵(暗号化)を連結したデータに対し、署名生成用秘密鍵4234を用いて署名を生成し、付与する。なお、本動作において、以下、データ共有者ID、データ暗復号鍵(暗号化)、署名検証用公開鍵(暗号化)および署名のひとまとまりを、鍵データと呼ぶ。
S508において、データ保有者デバイス4は、データ保有者ID4230、データサーバURL4239および鍵データを端末2に送信する。
S509において、端末2は、データサーバURL4239を元に、データ保有者ID4230および鍵データをデータサーバ1に転送する。
S510において、データサーバ1は、データ格納部122内の利用者ID1220をチェックし、受信したデータ保有者ID4230を有するデータ保有者デバイスの共有データが存在するか否か確認する。
S510で当該共有データが存在しない場合、S511において、データサーバ1は、共有データが存在しない旨を端末2に通知し、データ処理を終了する。
S510で共有データが存在する場合、S512において、データサーバ1は、受信した鍵データの正当性を、鍵データの署名および署名検証用公開鍵1221を用いて検証する。
S512で鍵データが正当でないと判断された場合、S513において、データサーバ1は、鍵データが正当でない旨を端末2に通知し、データ処理を終了する。
S512で鍵データが正当であると判断された場合、S514において、データサーバ1は、鍵データのデータ共有者ID3210、データ暗復号鍵(暗号化)、署名検証用公開鍵(暗号化)および署名を、それぞれ、鍵データリスト1222のデータ共有者ID1230、データ暗復号鍵(暗号化)1231、署名検証用公開鍵(暗号化)1232および署名1233に書き込む。
S515において、データサーバ1は、鍵データの書き込みが完了した旨を端末2に通知する。
〔準備2(データ暗復号鍵の取得)〕
データ共有者デバイス3がデータ保有者デバイス4のデータ暗復号鍵4233を取得する方法について、図1から図4までを適宜参照しながら、図10のフローチャートに沿って説明する。本動作では、データサーバ1、端末2、および、データ共有者デバイス3上で、それぞれ、データ読出プログラム121、データ読出プログラム221、および、読出データ復号化プログラム320が実行される。
データ共有者が、端末2に対してデータ共有者デバイス3を通信可能状態にセットし、所定の操作を行うと、S601において、端末2は、データ共有者デバイス3に対してデータ共有者ID3210の送信を要求する。
S602において、データ共有者デバイス3は、端末2にデータ共有者ID3210を送信する。
次に、端末2は、データ共有者に対して、データ保有者ID4230およびデータサーバURL4239の指定を要求し、S603において、データ共有者は、端末2の入力部26などを用いて、データ保有者ID4230およびデータサーバURL4239を指定する。
S604において、端末2は、データサーバURL4239を元に、データ保有者ID4230およびデータ共有者ID3210をデータサーバ1に送信する。
S605において、データサーバ1は、データ格納部122内の利用者ID1220をチェックし、受信したデータ保有者ID4230を有するデータ保有者デバイスの共有データが存在するか否か確認する。
S605で当該共有データが存在しない場合、S606において、データサーバ1は、共有データが存在しない旨を端末2に通知し、データ処理を終了する。
S605で共有データが存在する場合、S607において、データサーバ1は、鍵データリスト1222内のデータ共有者ID1230をチェックし、データ共有者ID3210に対応するデータ暗復号鍵(暗号化)、署名検証用公開鍵(暗号化)および署名を端末2に送信し、S608において、端末2は、データ暗復号鍵(暗号化)、署名検証用公開鍵(暗号化)および署名をデータ共有者デバイス3に転送する。
S609において、データ共有者デバイス3は、受信したデータ暗復号鍵(暗号化)および署名検証用公開鍵(暗号化)を、データ暗復号鍵共有用秘密鍵3213を用いて復号化し、データ暗復号鍵4233および署名検証用公開鍵4235を取得する。
S610において、データ共有者デバイス3は、データ暗復号鍵4233および署名検証用公開鍵4235の正当性を、S609の直前に受信した署名および署名検証用公開鍵4235を用いて検証する。これにより、S608でデータ暗復号鍵(暗号化)あるいは署名検証用公開鍵(暗号化)が改ざんされていた場合などでも発見することができる。
S610でデータ暗復号鍵4233および署名検証用公開鍵4235が正当でなかった場合、S611において、データ共有者デバイス3は、その旨を端末2に通知し、データ処理を終了する。
S610でデータ暗復号鍵4233および署名検証用公開鍵4235が正当であった場合、S612において、データ共有者デバイス3は、データ暗複合鍵の取得が完了した旨を端末2に通知する。
〔読出〕
データ共有者デバイス3がデータサーバ1からデータを読み出す方法について、図1から図4までを適宜参照しながら、図11のフローチャートに沿って説明する。本動作では、データサーバ1、端末2、および、データ共有者デバイス3上で、それぞれ、データ読出プログラム121、データ読出プログラム221、および、読出データ復号化プログラム320が実行される。なお、本動作は、前記準備2の動作と独立して行うようにしてもよいが、ここでは前記準備2の動作から継続して行うものとする。
前記準備2の動作から引き続いて、S701において、データ共有者は、端末2の入力部26などを用いて、読み出したいデータのデータ種別IDを入力する。なお、その際、端末2がデータ共有者デバイス3からデータ種別IDリスト3220を読み出して、端末2の表示部27に表示するようにしてもよい。また、データ共有者がデータ種別IDを入力することなく、端末2がデータ共有者デバイス3からデータ種別IDリスト3220を読み出してデータサーバ1に送信するようにしてもよい。
S702において、端末2は、S603(図10)で指定されたデータサーバURL4239を元に、S603(図10)で指定されたデータ保有者ID4230、および、S701で入力されたデータ種別IDを、データサーバ1に送信する。
S703において、データサーバ1は、データ格納部122内のデータ保有者ID1220をチェックし、データ保有者ID4230を有する共有データが存在するか否か確認する。
S703で当該共有データが存在しない場合、S704において、データサーバ1は、共有データが存在しない旨を端末2に通知し、データ読出処理を終了する。
S703で共有データが存在する場合、S705において、データサーバ1は、データリスト1223内のデータ種別ID1235をチェックし、当該データ種別IDを有するデータのデータID、データ種別ID、データ(暗号化)および署名を端末2に送信する。なお、本動作において、これらのデータID、データ種別ID、データ(暗号化)および署名のひとまとまりを、読出データと呼ぶ。
S706において、端末2は、受信した読出データをデータ共有者デバイス3に転送する。
S707において、データ共有者デバイス3は、受信した読出データの正当性を、読出データのうちの署名および署名検証用公開鍵4235を用いて検証する。これにより、たとえば、S706などで読出データが改ざんされていたとしても、発見することができる。
S707で読出データが正当でないと判断された場合、S708において、データ共有者デバイス3は、読出データが正当でない旨を端末2に通知し、データ読出処理を終了する。
S707で読出データが正当であると判断された場合、S709において、データ共有者デバイス3は、データ種別IDリスト3220にS707の直前に受信した読出データのデータ種別IDが含まれるか、つまり受信したデータ種別IDがデータへのアクセス権限を有するか否かを判断する。
S709でデータ種別IDが含まれない、つまりアクセス権限がないと判断された場合、S710において、データ共有者デバイス3は、その旨を端末2に通知し、データ読出処理を終了する。これにより、たとえば、外科の医者であるデータ共有者が、患者であるデータ保有者のデータのうち、自分の担当外の内科のデータを見ることなどを防止することができる。
S709でデータ種別IDが含まれる、つまりアクセス権限があると判断された場合、S711において、データ共有者デバイス3は、読出データのうちのデータ(暗号化)を、データ暗復号鍵4233を用いて復号化する。
S712において、データ共有者デバイス3は、データ(平文)を端末2に返信する。
その後、端末2でデータ(平文)を表示などすることにより、データ共有者がそのデータ(平文)を見たり操作したりすることができる。
なお、本動作では、データサーバ1から読み出される読出データは1つであるが、複数のデータを読み出すようにしてもよい。その場合、S707からS712までの処理を、読み出された個々の読出データに対して適用すればよい。
このように、本実施形態に係るデータ共有システムによれば、データ保有者デバイス4で書込データの暗号化を行い、データサーバ1に追記することで、データサーバ1から書込データが漏洩しても内容が解読されることがないというだけでなく、システムの管理者によっても書込データの内容を覗き見ることはできない。また、書込データは、修正や削除は不可で追記のみを可能とし、さらに、書込データに通し番号であるデータIDを付与することで、書込データの消去を容易に発見することができる。また、各種データの送信の際に署名を生成および付与し、受信側で検証することで、各種データの改ざんを防止または発見することができる。
以上で実施形態の説明を終えるが、本発明の態様はこれらに限定されるものではない。本発明は、たとえば、医療機関でなくても、システム管理者などによる個人情報への不正アクセスを防止するべきデータ共有システムを使用する機関であれば、企業、行政機関などへも広く適用することができる。その他、具体的な構成について、本発明の主旨を逸脱しない範囲で適宜変更が可能である。
本実施形態に係るデータ共有システムの全体構成図である。 データサーバのデータ格納部に格納されるデータ項目である。 データ共有者デバイスのデータ格納部に格納されるデータ項目である。 データ保有者デバイスのデータ格納部に格納されるデータ項目である。 データ保有者デバイスとデータ共有者デバイスを用いたデータ書込方法に関するフローチャートである。 データ保有者デバイスのみを用いたデータ書込方法に関するフローチャートである。 データ保有者デバイスとデータ共有者デバイスを用いたデータ読出方法に関するフローチャートである。 データ共有者デバイスのみを用いたデータ読出方法に関するフローチャートである。 データ保有者デバイスのデータ暗復号鍵をデータサーバに書き込む方法に関するフローチャートである。 データ共有者デバイスがデータ保有者デバイスのデータ暗復号鍵を取得する方法に関するフローチャートである。 データ保有者デバイスのみを用いたデータ読出方法に関するフローチャートである。
符号の説明
1 データサーバ
10 CPU
11 メモリ
12 記憶部
13 通信部
2 端末
20 CPU
21 メモリ
22 記憶部
23、24、25 通信部
26 入力部
27 表示部
3 データ共有者デバイス
30 CPU
31 メモリ
32 記憶部
33 通信部
4 データ保有者デバイス
40 CPU
41 メモリ
42 記憶部
43 通信部

Claims (12)

  1. データを記憶、管理するデータサーバと、データ保有者が所有するデータ保有者デバイスと、前記データサーバおよび前記データ保有者デバイスと通信可能な端末とを有して構成され、前記データ保有者のデータを前記データサーバに記憶させるデータ共有システムであって、
    前記データ保有者デバイスは、前記端末から前記データサーバに書き込む当該データを暗号化する暗号化手段と、暗号化された当該データを前記データサーバから前記端末に読み出すときに前記データサーバから読み出された暗号化された当該データを復号化する第一復号化手段を有することを特徴とするデータ共有システム。
  2. 前記データ保有者デバイスは、さらに、暗号化された当該データを元に改ざん防止用の署名を生成し暗号化された当該データに付与する署名生成付与手段と、前記データサーバから当該データを読み出したときに前記署名によって当該データの改ざんの有無を検証する署名検証手段とを有することを特徴とする請求項1に記載のデータ共有システム。
  3. 前記データ保有者デバイスは、さらに、前記データサーバに書き込む当該データに対して通し番号を付与する通番付与手段を有し、
    前記データサーバは、当該データを記憶するときは追加記憶を許可する追記許可手段を有し、前記追記許可手段は受信した当該データに付与された通し番号がすでに存在するときには追加記憶を拒否することを特徴とする請求項1または請求項2に記載のデータ共有システム。
  4. 前記データ保有者デバイスは、さらに、前記データサーバに記憶されたデータへのアクセス権限に関する情報であるデータ保有者アクセス権限情報を有し、前記データ保有者アクセス権限情報により許可された範囲で前記データサーバに対してデータの読み出しあるいは書き込みを行うことを特徴とする請求項1から請求項3までのいずれか1項に記載のデータ共有システム。
  5. 前記データ共有システムは、前記端末と通信可能なデータ共有者デバイスをさらに含んで構成され、
    前記データ共有者デバイスは、前記データサーバに記憶されたデータへのアクセス権限に関する情報であるデータ共有者アクセス権限情報を有し、
    前記データ保有者デバイスは、さらに、前記データ共有者デバイスが前記データサーバに対してデータの書き込みまたは読み出しの権限を有しているか否かを前記データ共有者アクセス権限情報から判断するアクセス制御手段を有することを特徴とする請求項1から請求項4までのいずれか1項に記載のデータ共有システム。
  6. 前記データ共有システムは、前記端末と通信可能なデータ共有者デバイスをさらに含んで構成され、
    前記データ共有者デバイスは、暗号化して前記データサーバに記憶されている前記第一復号化手段を復号化する第二復号化手段を有し、前記データサーバから前記第一復号化手段を読み出して前記第二復号化手段で復号化することにより前記データ保有者デバイスの前記第一復号化手段と同一の前記第一復号化手段を取得し、前記データサーバから読み出した前記データ保有者のデータを前記第一復号化手段で復号化することを特徴とする請求項1から請求項4までのいずれか1項に記載のデータ共有システム。
  7. 前記端末と前記データ共有者デバイスが一体の情報機器として構成されていることを特徴とする請求項5または請求項6に記載のデータ共有システム。
  8. データを記憶、管理するデータサーバと、データ保有者が所有するデータ保有者デバイスと、前記データサーバおよび前記データ保有者デバイスと通信可能な端末とを有して構成され、前記データ保有者のデータを前記データサーバに記憶させるデータ共有システムによるデータ共有方法であって、
    前記データ保有者デバイスが、
    前記端末から受信した当該データを暗号化するステップと、
    暗号化した当該データを前記データサーバに書き込むステップと、
    前記データサーバから暗号化された当該データを読み出すステップと、
    暗号化された当該データを復号化するステップと、を実行することを特徴とするデータ共有方法。
  9. データを記憶、管理するデータサーバと、データ保有者が所有するデータ保有者デバイスと、前記データサーバおよび前記データ保有者デバイスと通信可能な端末とを有して構成され、前記データ保有者のデータを前記データサーバに記憶させるデータ共有システムによるデータ共有方法であって、
    前記データ保有者デバイスが、
    前記端末から受信した当該データを暗号化するステップと、
    暗号化した当該データを元に改ざん防止用の署名を生成して暗号化した当該データに付与するステップと、
    暗号化した当該データおよび前記署名を前記データサーバに書き込むステップと、
    前記データサーバから暗号化された当該データおよび前記署名を読み出すステップと、
    前記署名によって当該データの改ざんの有無を検証するステップと、
    暗号化された当該データを復号化するステップと、を実行することを特徴とするデータ共有方法。
  10. 前記データ保有者デバイスが、
    暗号化した当該データを前記データサーバに書き込む前に、暗号化した当該データに対して通し番号を付与するステップを実行することを特徴とする請求項9に記載のデータ共有方法。
  11. データを記憶、管理するデータサーバと、データ保有者が所有するデータ保有者デバイスと、前記データサーバおよび前記データ保有者デバイスと通信可能な端末とを有して構成され、前記データ保有者のデータを前記データサーバに記憶させるデータ共有システムにおける前記データ保有者デバイスであって、
    前記端末から前記データサーバに書き込む当該データを暗号化する暗号化手段と、暗号化された当該データを前記データサーバから前記端末に読み出すときに前記データサーバから読み出された暗号化された当該データを復号化する復号化手段を有することを特徴とするデータ保有者デバイス。
  12. データを記憶、管理するデータサーバと、データ保有者が所有するデータ保有者デバイスと、前記データサーバおよび前記データ保有者デバイスと通信可能な端末とを有して構成され、前記データ保有者のデータを前記データサーバに記憶させるデータ共有システムにおける前記データサーバであって、
    暗号化された当該データを受信し、記憶するときに、追加記憶を許可する追記許可手段を有することを特徴とするデータサーバ。
JP2004286424A 2004-09-30 2004-09-30 データ共有システム、データ共有方法、データ保有者デバイスおよびデータサーバ Pending JP2006099548A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004286424A JP2006099548A (ja) 2004-09-30 2004-09-30 データ共有システム、データ共有方法、データ保有者デバイスおよびデータサーバ

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004286424A JP2006099548A (ja) 2004-09-30 2004-09-30 データ共有システム、データ共有方法、データ保有者デバイスおよびデータサーバ

Publications (1)

Publication Number Publication Date
JP2006099548A true JP2006099548A (ja) 2006-04-13

Family

ID=36239276

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004286424A Pending JP2006099548A (ja) 2004-09-30 2004-09-30 データ共有システム、データ共有方法、データ保有者デバイスおよびデータサーバ

Country Status (1)

Country Link
JP (1) JP2006099548A (ja)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008219177A (ja) * 2007-02-28 2008-09-18 Kddi Corp 端末装置、データ管理装置およびコンピュータプログラム
JP2009055402A (ja) * 2007-08-28 2009-03-12 Kddi Corp 鍵生成装置、端末装置、ストレージサーバおよびコンピュータプログラム
WO2012144380A1 (ja) * 2011-04-22 2012-10-26 ソニー株式会社 情報処理装置および情報処理方法
JP2015090680A (ja) * 2013-11-07 2015-05-11 富士通株式会社 書式データ管理方法、書式データ管理プログラム、及び書式データ管理装置
JP2015526048A (ja) * 2012-08-15 2015-09-07 ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. 記録のための暗号化データ記憶装置
JP2018067941A (ja) * 2013-02-12 2018-04-26 アマゾン テクノロジーズ インコーポレイテッド フェデレーテッドキー管理
US10834139B2 (en) 2012-06-07 2020-11-10 Amazon Technologies, Inc. Flexibly configurable data modification services
US11036869B2 (en) 2013-02-12 2021-06-15 Amazon Technologies, Inc. Data security with a security module
US11323479B2 (en) 2013-07-01 2022-05-03 Amazon Technologies, Inc. Data loss prevention techniques
US11368300B2 (en) 2014-06-27 2022-06-21 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
US11372993B2 (en) 2013-02-12 2022-06-28 Amazon Technologies, Inc. Automatic key rotation
US11470054B2 (en) 2013-06-13 2022-10-11 Amazon Technologies, Inc. Key rotation techniques
US11626996B2 (en) 2014-09-15 2023-04-11 Amazon Technologies, Inc. Distributed system web of trust provisioning

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008219177A (ja) * 2007-02-28 2008-09-18 Kddi Corp 端末装置、データ管理装置およびコンピュータプログラム
JP2009055402A (ja) * 2007-08-28 2009-03-12 Kddi Corp 鍵生成装置、端末装置、ストレージサーバおよびコンピュータプログラム
WO2012144380A1 (ja) * 2011-04-22 2012-10-26 ソニー株式会社 情報処理装置および情報処理方法
US9626504B2 (en) 2011-04-22 2017-04-18 Sony Corporation Information processing device and information processing method
US10834139B2 (en) 2012-06-07 2020-11-10 Amazon Technologies, Inc. Flexibly configurable data modification services
JP2015526048A (ja) * 2012-08-15 2015-09-07 ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. 記録のための暗号化データ記憶装置
US9940469B2 (en) 2012-08-15 2018-04-10 Entit Software Llc Encrypted data store for records
US10666436B2 (en) 2013-02-12 2020-05-26 Amazon Technologies, Inc. Federated key management
JP2018067941A (ja) * 2013-02-12 2018-04-26 アマゾン テクノロジーズ インコーポレイテッド フェデレーテッドキー管理
US11036869B2 (en) 2013-02-12 2021-06-15 Amazon Technologies, Inc. Data security with a security module
US11372993B2 (en) 2013-02-12 2022-06-28 Amazon Technologies, Inc. Automatic key rotation
US11695555B2 (en) 2013-02-12 2023-07-04 Amazon Technologies, Inc. Federated key management
US11470054B2 (en) 2013-06-13 2022-10-11 Amazon Technologies, Inc. Key rotation techniques
US11323479B2 (en) 2013-07-01 2022-05-03 Amazon Technologies, Inc. Data loss prevention techniques
JP2015090680A (ja) * 2013-11-07 2015-05-11 富士通株式会社 書式データ管理方法、書式データ管理プログラム、及び書式データ管理装置
US11368300B2 (en) 2014-06-27 2022-06-21 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
US11626996B2 (en) 2014-09-15 2023-04-11 Amazon Technologies, Inc. Distributed system web of trust provisioning

Similar Documents

Publication Publication Date Title
EP2731042B1 (en) Computer system for storing and retrieval of encrypted data items using a tablet computer and computer-implemented method
US8572392B2 (en) Access authentication method, information processing unit, and computer product
JP6245782B1 (ja) 個人情報保護システム
WO2020000825A1 (zh) 医疗数据处理方法、系统、计算机设备及可读存储介质
JP4597784B2 (ja) データ処理装置
JP4485528B2 (ja) メモリカード、データ交換システム及びデータ交換方法
CA2374655A1 (en) System and methods for maintaining and distributing personal security devices
JP4097623B2 (ja) 本人認証インフラストラクチャシステム
Hupperich et al. Flexible patient-controlled security for electronic health records
KR20020060572A (ko) 개인용 컴퓨터가 허가되지 않은 사용자에 의해 사용되는것을 방지하기 위한 보안 시스템
KR101701304B1 (ko) 클라우드 환경에서 속성기반 암호를 이용한 의료 데이터 관리 방법 및 시스템
JP2005033778A (ja) 携帯式安全情報アクセスシステム及びその方法
JP2006099548A (ja) データ共有システム、データ共有方法、データ保有者デバイスおよびデータサーバ
JP2010049490A (ja) 認証システム
JP2005242740A (ja) 情報セキュリティシステムのプログラム、記憶媒体、及び情報処理装置
JP2011012511A (ja) 電気錠制御システム
JPH09282393A (ja) 保健医療カードとオンラインデータベースの連携方法
TW201223225A (en) Method for personal identity authentication utilizing a personal cryptographic device
JPH10111897A (ja) 診療情報共有化方法
JP4253167B2 (ja) 個人情報アクセス制御方法、端末、システム、並びに、プログラム
JP2006524352A (ja) バイオメトリクスに基づいたアイデンティティベースの暗号化方法および装置
US20090241184A1 (en) Method for generating access data for a medical device
JP2000331101A (ja) 医療関連情報管理システム及びその方法
JP2002279062A (ja) 個人情報管理システム及び個人情報管理方法
JPH04245368A (ja) 電子ファイルキャビネットシステム