JP2006189925A - 個人情報管理システム、個人情報管理プログラムおよび個人情報保護方法 - Google Patents
個人情報管理システム、個人情報管理プログラムおよび個人情報保護方法 Download PDFInfo
- Publication number
- JP2006189925A JP2006189925A JP2004381710A JP2004381710A JP2006189925A JP 2006189925 A JP2006189925 A JP 2006189925A JP 2004381710 A JP2004381710 A JP 2004381710A JP 2004381710 A JP2004381710 A JP 2004381710A JP 2006189925 A JP2006189925 A JP 2006189925A
- Authority
- JP
- Japan
- Prior art keywords
- personal information
- data
- information data
- stored
- index key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】 個人情報を機密保持に配慮して保管するとともに、保管された情報の活用を容易にすることを可能とする個人情報管理システム、プログラムおよび個人情報保護方法を提供する。
【解決手段】 個人情報データを秘密分散法によって暗号化し、復号用インデックスキーによって復号化する機能を提供する個人情報データ分散管理サーバ3との接続機能を有する個人情報を扱うための個人情報管理システムであって、前記復号用インデックスキーを格納した検策用キーワード管理データベース5と、個人情報管理装置1を備え、機密保護を必要とする個人情報データの保管要求があれば、該個人情報データを、前記個人情報データ分散管理サーバ3に分割保管させるとともに、前記復号用インデックスキーと対応付けて前記検索用キーワード管理データベース5に格納することを特徴とする。
【選択図】 図1
【解決手段】 個人情報データを秘密分散法によって暗号化し、復号用インデックスキーによって復号化する機能を提供する個人情報データ分散管理サーバ3との接続機能を有する個人情報を扱うための個人情報管理システムであって、前記復号用インデックスキーを格納した検策用キーワード管理データベース5と、個人情報管理装置1を備え、機密保護を必要とする個人情報データの保管要求があれば、該個人情報データを、前記個人情報データ分散管理サーバ3に分割保管させるとともに、前記復号用インデックスキーと対応付けて前記検索用キーワード管理データベース5に格納することを特徴とする。
【選択図】 図1
Description
個人情報を機密保持に配慮して保管するとともに、保管された情報の活用を容易にすることを可能とする個人情報管理システム、個人情報管理プログラムおよび個人情報保護方法に関する。
個人情報を機密保持に配慮しつつ保存するための方法は種々考案されている。例えば、特開2004−145755公報に開示されている方法は、重要な秘密データを保管する場合、元データを単に暗号化するのではなく、秘密分散をして保管するとともに、各分散データを一括管理することなく、復元可能とするものである。
特開2004−145755
しかし、従来の技術は、秘密情報・個人情報のデータの機密保護に主眼が置かれ、この保護されたデータの活用法及びその利便性には特に注意が払われていない。特開2004−145755公報に開示の方法も、厳重に保護されたデータに、ユーザが、どのようにしてアクセスし、自己の業務に活用するかというユーザレベルの利用法については言及がない。
そのため、本発明では、ユーザの欲する情報を自在に検索できるユーザフレンドリーな機能を提供することを課題とした。言い換えれば、情報の機密保護と活用における利便性という相反する目的を両立させることを意図した。
そのため、本発明では、ユーザの欲する情報を自在に検索できるユーザフレンドリーな機能を提供することを課題とした。言い換えれば、情報の機密保護と活用における利便性という相反する目的を両立させることを意図した。
上述の技術的課題を解決するために、本発明は、以下の構成をとる。
請求項1の個人情報管理システムは、個人情報データを秘密分散法によって暗号化し、復号用インデックスキーによって復号化する機能を提供する個人情報データ分散管理サーバとの接続機能を有する個人情報を扱うための個人情報管理システムであって、検策用キーワード管理データベースと、個人情報管理装置を備え、検策用キーワード管理データベースには、個人情報のキーワード群と対応付けられた前記復号用インデックスキーが格納され、前記個人情報管理装置は、個人情報の保護レベルを判定し、それに基づいて保管形態を決定する保管取扱手段と、機密保護を必要とする個人情報データの保管要求があれば、該個人情報データを前記個人情報データ分散管理サーバに送信し、前記個人情報データ分散管理サーバから復号用インデックスキーを取得して、該個人情報データを前記復号用インデックスキーと対応付けて前記検索用キーワード管理データベースに格納するデータ保管手段と、個人情報データの取得要求があれば、前記検索用キーワード管理データベースを参照して復号用インデックスキーを取り出し、前記個人情報データ分散管理サーバに送信して、前記復号用インデックスキーによって復号化された個人情報データを、前記個人情報データ分散管理サーバから受信するデータ取得手段とを備えていることを特徴とする。
請求項1の個人情報管理システムは、個人情報データを秘密分散法によって暗号化し、復号用インデックスキーによって復号化する機能を提供する個人情報データ分散管理サーバとの接続機能を有する個人情報を扱うための個人情報管理システムであって、検策用キーワード管理データベースと、個人情報管理装置を備え、検策用キーワード管理データベースには、個人情報のキーワード群と対応付けられた前記復号用インデックスキーが格納され、前記個人情報管理装置は、個人情報の保護レベルを判定し、それに基づいて保管形態を決定する保管取扱手段と、機密保護を必要とする個人情報データの保管要求があれば、該個人情報データを前記個人情報データ分散管理サーバに送信し、前記個人情報データ分散管理サーバから復号用インデックスキーを取得して、該個人情報データを前記復号用インデックスキーと対応付けて前記検索用キーワード管理データベースに格納するデータ保管手段と、個人情報データの取得要求があれば、前記検索用キーワード管理データベースを参照して復号用インデックスキーを取り出し、前記個人情報データ分散管理サーバに送信して、前記復号用インデックスキーによって復号化された個人情報データを、前記個人情報データ分散管理サーバから受信するデータ取得手段とを備えていることを特徴とする。
請求項2は、請求項1に記載の個人情報管理システムにおいて、前記保管取扱手段は、個人情報のデータ特性を規定したデータモデル属性定義を参照し、個人を一意に特定する情報は高位の保護レベル、複数個によって個人を特定しうる情報は中位の保護レベル、個人を特定しえない情報は低位の保護レベルであると判定し、保護レベルに応じて保管形態を決定することを特徴とする。
請求項3は、請求項2に記載の個人情報管理システムにおいて、前記検策用キーワード管理データベースに格納される個人情報データは、保護レベルが高位の属性はハッシュ化され、中位の属性は暗号化されて格納され、低位の属性は平文のままで格納されることを特徴とする。
請求項4〜6は、請求項1〜3に記載の個人情報管理システムにおける個人情報管理装置に、データの管理(保管、取得)をおこなわせるためのプログラムであることを特徴とする。
請求項7は、個人情報保護方法であって、個人情報を構成するデータ項目について、機密保護の必要があるデータ項目は、秘密分散法によって暗号化して保管するとともに、この暗号化されたデータを復号化するためのインデックスキーを格納するデータベースを設け、このデータベースには、前記インデックスキーと対応付けて、機密保護の必要があるデータ項目はハッシュ化あるいは暗号化し、必要の無い項目は平文のまま格納することを特徴とする。
この発明において、「個人情報」とは、個人情報に代表される秘密にすべき内容を含む情報の意味である。したがって、狭義の個人情報に限るものではない。
「秘密分散法によって暗号化し、復号用インデックスキーによって復号化」とは、データを分割して保管し、分割データの持つ復元のための情報によって元データを復元することをいう。ここで、データを分割して保管する方法の代表として「秘密分散法」と表現したにすぎず、他の方法で分割してもよい。
元データへの復元のための情報は、キーワード等とも呼ばれるが、本発明では、検策用キーワード管理データベース内の検索用キーワード群と区別するために「復号用インデックスキー」と表現する。実施形態では、「文書ID」と「文書件名」とが該当する。
元データへの復元のための情報は、キーワード等とも呼ばれるが、本発明では、検策用キーワード管理データベース内の検索用キーワード群と区別するために「復号用インデックスキー」と表現する。実施形態では、「文書ID」と「文書件名」とが該当する。
「検策用キーワード管理データベース」とは、復号用インデックスキーを介して、分割保管されたデータを取得するためのキーワード群を格納するデータベースである。このデータベースには、統計情報やアクセスログのようにキーワードとして用いられない情報も含む。しかし、主たる目的はキーワード群の格納であるため、「検策用キーワード管理」データベースと表現した。
「保護レベル」とは、一意の個人を特定しえない情報、一意の個人を特定する情報および複数の属性が組み合わさると一意の個人を特定しうる情報の別を表すものであり、実施形態では、それぞれ非機密情報、個人特定情報、準個人特定情報という。
請求項1〜7に記載の発明によれば、秘密情報を安全に保管でき、かつ、容易に活用するという本来相容れない機能が両立実現できる。
一般に、原本データは、分散管理されることにより非常に強固に保護される。しかし、個人情報データは複数媒体に分散されているので、基本的には復号用インデックスキーによる検索しか行えない。そのため、個人情報の内容(例えば、氏名)による検索ができないのが通常である。しかし、本発明では、検索用キーワードになりうる情報と復号用インデックスキーとを対応付けて別個の記憶媒体で管理している。そこで、本発明では、分散された情報を必要な都度復元して活用することが可能となる。
一般に、原本データは、分散管理されることにより非常に強固に保護される。しかし、個人情報データは複数媒体に分散されているので、基本的には復号用インデックスキーによる検索しか行えない。そのため、個人情報の内容(例えば、氏名)による検索ができないのが通常である。しかし、本発明では、検索用キーワードになりうる情報と復号用インデックスキーとを対応付けて別個の記憶媒体で管理している。そこで、本発明では、分散された情報を必要な都度復元して活用することが可能となる。
請求項2、請求項5に記載の発明によれば、データモデル属性定義の記述によって、秘密保護レベルを自由に設定することができ、そのレベルに応じて適切な形態のデータ管理ができる。また、当該ファイルの変更だけで、業務処理の変更に対応でき、ソフトウェアの改造を伴わずにすむ。
請求項3、請求項6に記載の発明によれば、秘密にすべき程度によって、ハッシュ化、暗号化、あるいは平文のままで検策用キーワード管理データベースに格納している。このように、保護の必要の高いものほど、扱いを厳しくするとともに、秘密にする必要がない情報は平文で格納することにより、集計処理等の便宜も図っている。
1.システム構成
図1にこの実施形態のシステム構成を示す。
個人情報管理装置1は、インターネット等の通信ネットワークN1を介してユーザ端末2と接続している。また、個人情報管理装置1は、通信ネットワークN2を介して個人情報データ分散管理サーバ3(以下「分散管理サーバ3」)と接続している。この分散管理サーバ3は、元データをいくつかの部分に分割して保存するための記憶媒体4を複数個備えている。
図1にこの実施形態のシステム構成を示す。
個人情報管理装置1は、インターネット等の通信ネットワークN1を介してユーザ端末2と接続している。また、個人情報管理装置1は、通信ネットワークN2を介して個人情報データ分散管理サーバ3(以下「分散管理サーバ3」)と接続している。この分散管理サーバ3は、元データをいくつかの部分に分割して保存するための記憶媒体4を複数個備えている。
さらに、個人情報管理装置1は、検策用キーワード管理データベース5(以下「キーワード管理DB5」)にアクセス可能である。キーワード管理DB5は、個人情報管理装置1の内蔵記憶装置あるいは外付けの記憶装置に格納されていてもよく、個人情報管理装置1とは別個のコンピュータであるデータベースサーバの記憶装置に格納されていてもよい。
なお、ネットワークN1、N2上を送受信する場合において、通信経路上何らかの暗号化が施されていることが望ましい。
なお、ネットワークN1、N2上を送受信する場合において、通信経路上何らかの暗号化が施されていることが望ましい。
バックエンドモジュール(コアシステムを含む)の構成
図2に従い、個人情報管理装置1のソフトウェア構成を説明する。
フロントエンドモジュール6(以下「フロントエンド6」)は、ユーザ端末2からの入力を受け付けて、個人情報を扱う業務処理を行うソフトウェアである。このフロントエンド6は、業務要件に応じたビジネスロジックとユーザインタフェースを実装している。狭義のバックエンドモジュール7は、フロントエンド6においてデータの保管やデータの取得をする必要が生じたときに、フロントエンド6に代わって、データ保管・取得処理を担当する。業務要件に応じたデータの特性を記述したデータモデル属性定義11を参照して、分散管理サーバ3とキーワード管理DB5のいずれか一方あるいは双方にデータの保管などをする。コアシステム8は、業務要件にまったく依存しない汎用的なソフトウェアであり、分散管理サーバ3とのインタフェース10とキーワード管理DB5とのインタフェース9を介してデータの送受信を行う。
図2に従い、個人情報管理装置1のソフトウェア構成を説明する。
フロントエンドモジュール6(以下「フロントエンド6」)は、ユーザ端末2からの入力を受け付けて、個人情報を扱う業務処理を行うソフトウェアである。このフロントエンド6は、業務要件に応じたビジネスロジックとユーザインタフェースを実装している。狭義のバックエンドモジュール7は、フロントエンド6においてデータの保管やデータの取得をする必要が生じたときに、フロントエンド6に代わって、データ保管・取得処理を担当する。業務要件に応じたデータの特性を記述したデータモデル属性定義11を参照して、分散管理サーバ3とキーワード管理DB5のいずれか一方あるいは双方にデータの保管などをする。コアシステム8は、業務要件にまったく依存しない汎用的なソフトウェアであり、分散管理サーバ3とのインタフェース10とキーワード管理DB5とのインタフェース9を介してデータの送受信を行う。
このように、バックエンド12が、機密保護に配慮したデータ管理を行うので、フロントエンド6は、特に情報の保護を意識しなくて済む。
ところで、フロントエンド6からは、狭義のバックエンドモジュール7もコアシステム8もデータの管理(保管、取得)を行うことに変わりはない。そこで、以下の説明では、特に断らない限り、狭義のバックエンドモジュール7とコアシステム8を併せて、(広義の)バックエンドモジュール12(以下「バックエンド12」)ということにする。
ところで、フロントエンド6からは、狭義のバックエンドモジュール7もコアシステム8もデータの管理(保管、取得)を行うことに変わりはない。そこで、以下の説明では、特に断らない限り、狭義のバックエンドモジュール7とコアシステム8を併せて、(広義の)バックエンドモジュール12(以下「バックエンド12」)ということにする。
バックエンド12は、図3に示すように、保管取扱手段13と、データ保管手段14と、データ取得手段15を備える。各手段の詳細については後に説明する。
データ属性とデータの物理的保管形態との関連
(1)保護レベルの説明
データ保管手段14が、保管すべきデータを分散管理サーバ3とキーワード管理DB5とに振り分けるにあたり、対象データの保護レベルを考慮する。
図4に示すように、保護レベルは、データモデルの保護レベルと属性の保護レベルの2種類がある。データモデルとは、1以上の属性の集合であり、業務処理において1つのまとまりある意味を持つ。例えば、アンケート処理において、アンケートへの回答者の個人情報を構成する氏名や性別等が属性に相当し、それらの体系化された結合がデータモデルに相当する。
上記の2種類の保護レベルによって、データの保管場所(分散管理サーバ3か、キーワード管理DB5か)と保管データの形態(ハッシュ値、暗号文、平文のいずれか)が定まる。
(1)保護レベルの説明
データ保管手段14が、保管すべきデータを分散管理サーバ3とキーワード管理DB5とに振り分けるにあたり、対象データの保護レベルを考慮する。
図4に示すように、保護レベルは、データモデルの保護レベルと属性の保護レベルの2種類がある。データモデルとは、1以上の属性の集合であり、業務処理において1つのまとまりある意味を持つ。例えば、アンケート処理において、アンケートへの回答者の個人情報を構成する氏名や性別等が属性に相当し、それらの体系化された結合がデータモデルに相当する。
上記の2種類の保護レベルによって、データの保管場所(分散管理サーバ3か、キーワード管理DB5か)と保管データの形態(ハッシュ値、暗号文、平文のいずれか)が定まる。
図4のタイプAのデータモデルは、個人特定情報a1を含むので、慎重な取り扱いを要する。そこで、基本的には分散管理サーバ3に保管する。個人特定情報は、分散管理サーバ3の管理下におき、一切の検索や抽出のキーにならないことが望ましい。しかし、業務処理の内容によっては、個人特定情報で検索できなければならないこともある。そのため、分散管理サーバ3とは別にキーワード管理DB5にその属性値を格納し、一意検索を可能とすることにした。ただし、属性値をそのまま、つまり平文ではセキュリティの観点から問題であるため、非可逆な状態である一方向性ハッシュ値に加工して格納する。
準個人特定情報a2は、検索可能としたいのであれば、属性値を暗号化してキーワード管理DB5に格納する。準個人特定情報a2は、単独では、個人を特定しないが、複数集まると特定の個人を示唆しうるので、平文で格納することは危険だからである。
非機密情報a3は、検索可能としたいのであれば、キーワード管理DB5に平文で格納する。平文なので、これをキーとして、一意検索だけでなく範囲検索や前方一致検索も容易にできる。
なお、個人特定情報a1、準個人特定情報a2、非機密情報a3のいずれも検索対象外であれば、キーワード管理DB5に格納する必要はない。
このように、保護レベルがタイプAのデータモデルの属性値は、分散管理サーバ3にすべて保管するとともに、その中で検索対象となる属性のみを格納したテーブルをキーワード管理DB5に設けることにする。
非機密情報a3は、検索可能としたいのであれば、キーワード管理DB5に平文で格納する。平文なので、これをキーとして、一意検索だけでなく範囲検索や前方一致検索も容易にできる。
なお、個人特定情報a1、準個人特定情報a2、非機密情報a3のいずれも検索対象外であれば、キーワード管理DB5に格納する必要はない。
このように、保護レベルがタイプAのデータモデルの属性値は、分散管理サーバ3にすべて保管するとともに、その中で検索対象となる属性のみを格納したテーブルをキーワード管理DB5に設けることにする。
図4のタイプBのデータモデルは、個人特定情報を含まないので、分散管理サーバ3に保管しない。準個人特定情報b1は、属性値を暗号化し、非機密情報b2は、属性値を平文のままキーワード管理DB5に格納する。
図4のタイプCのデータモデルは、個人特定情報も準個人特定情報も含まないので、分散管理サーバ3に保管せず、各属性値を平文のままキーワード管理DB5に格納する。
図4のタイプCのデータモデルは、個人特定情報も準個人特定情報も含まないので、分散管理サーバ3に保管せず、各属性値を平文のままキーワード管理DB5に格納する。
(2)データの物理的保管形態の決定
次に、対象となるデータが、キーワード管理DB5のテーブルと分散管理サーバ3に、どのように振り分けて保存されるのかを説明する。
なお、分散管理サーバ3の保管データは、実際は、複数の記憶媒体に分割されているが、以下の説明では、復元統合された原本データとする。
次に、対象となるデータが、キーワード管理DB5のテーブルと分散管理サーバ3に、どのように振り分けて保存されるのかを説明する。
なお、分散管理サーバ3の保管データは、実際は、複数の記憶媒体に分割されているが、以下の説明では、復元統合された原本データとする。
保管取扱手段13が、データモデル属性定義11を参照し、データの保管形態をどのように決めるかを、図5に従って説明する。
ところで、データモデル属性定義11は、図4に例示した取り決めをデータモデルの各属性について記述したデータであり、個人情報管理装置1の図示しない記憶部に格納され、必要に応じて読み出される。データモデル属性定義11には、暗号方式や暗号鍵を記述してもよい。その場合、セキュリティの観点から、分散管理サーバ3に分割保管しておき、必要に応じて取得することが望ましい。要は、機密保護と利便性が両立できればよい。
ところで、データモデル属性定義11は、図4に例示した取り決めをデータモデルの各属性について記述したデータであり、個人情報管理装置1の図示しない記憶部に格納され、必要に応じて読み出される。データモデル属性定義11には、暗号方式や暗号鍵を記述してもよい。その場合、セキュリティの観点から、分散管理サーバ3に分割保管しておき、必要に応じて取得することが望ましい。要は、機密保護と利便性が両立できればよい。
図5の左側に、データモデル属性定義11を例示する。
データモデル“回答者情報”は、個人特定情報である”ユーザID”と”ユーザ名”を属性に持つので、データモデル自体の保護レベルはタイプAである。そこで、保管取扱手段13は、属性値を分散管理サーバ3に保管するものと判断する。
”ユーザID”と”ユーザ名”は保護レベルがa1であり、検索対象なので、属性値のハッシュ値をキーワード管理DB5に格納する。
”生年月日”は、保護レベルがa3であり、検索対象なので、平文のままでキーワード管理DB5に格納する。
”職種”は、保護レベルがa2であり、検索対象なので、暗号化してキーワード管理DB5に格納する。一方、”勤務先名称”は、保護レベルがa2であるが、検索対象外なのでキーワード管理DB5には格納しない。
データモデル“回答者情報”は、個人特定情報である”ユーザID”と”ユーザ名”を属性に持つので、データモデル自体の保護レベルはタイプAである。そこで、保管取扱手段13は、属性値を分散管理サーバ3に保管するものと判断する。
”ユーザID”と”ユーザ名”は保護レベルがa1であり、検索対象なので、属性値のハッシュ値をキーワード管理DB5に格納する。
”生年月日”は、保護レベルがa3であり、検索対象なので、平文のままでキーワード管理DB5に格納する。
”職種”は、保護レベルがa2であり、検索対象なので、暗号化してキーワード管理DB5に格納する。一方、”勤務先名称”は、保護レベルがa2であるが、検索対象外なのでキーワード管理DB5には格納しない。
図5の右側は、キーワード管理DB5のテーブルと分散管理サーバ3の保管データとの対応を示している。両者をリンクするために、文書IDを双方に格納する。この文書IDは、分割されたデータを復元するために使用されるものである。
次に、図6に従い、データモデルの保護レベルがBの場合の保管形態を説明する。
図6の左にデータモデル属性定義11を例示する。図6の右上に示したのは、キーワード管理DB5に格納するテーブルである。
データモデル“回答者別アンケート回答”は保護レベルがBなので、分散管理サーバ3に保管する必要はない。ただし、分散管理サーバ3に保管されている個人情報と対応付けるために、分散管理サーバ3に格納されている“文書件名”を、キーワード管理DB5にも格納する。この“文書件名”は特定個人にユニークな情報なので、キーワード管理DB5には暗号化して格納する。
図6の左にデータモデル属性定義11を例示する。図6の右上に示したのは、キーワード管理DB5に格納するテーブルである。
データモデル“回答者別アンケート回答”は保護レベルがBなので、分散管理サーバ3に保管する必要はない。ただし、分散管理サーバ3に保管されている個人情報と対応付けるために、分散管理サーバ3に格納されている“文書件名”を、キーワード管理DB5にも格納する。この“文書件名”は特定個人にユニークな情報なので、キーワード管理DB5には暗号化して格納する。
ところで、保護レベルがタイプAのデータモデルに対応するテーブルには、特定個人にユニークな情報として“ユーザID”を付した(図5参照)。この“ユーザID”と“文書件名”とは異なる情報である。“ユーザID”と“文書件名”と個人を一意に特定する情報との対応関係は、分散管理サーバ3に分散保管されている情報にのみ存在する。本発明がこのような作りとしたのは、個人情報の保護を万全にするためである。
なお、データモデル属性を、ソフトウェアとは独立に、データモデル属性定義11に規定したことによって、次のような利点を生ずる。すなわち、業務の変更や新規データモデルへの対応の場合、データモデル属性定義11の内容を変更するだけで、バックエンド12の変更を最小限、あるいは変更なしにすることができるという点である。
4.データの保管
次に、図7に従い、フロントエンド6から新規にデータ保管要求があった場合の、バックエンド12の動作について説明する。
次に、図7に従い、フロントエンド6から新規にデータ保管要求があった場合の、バックエンド12の動作について説明する。
フロントエンド6からバックエンド12に対し、保管するべき内容とユーザIDとを特定し、データ保管要求が送られる(ステップS1)。
バックエンド12は、予め定められたルールに従い文書件名を生成し(ステップS2)、保管するべき内容にユーザIDと文書件名とを付加して、分散管理サーバ3に所定のフォーマットのデータを生成する(ステップS3)。この生成されたデータが、分散管理サーバ3が分割して保管すべき元データとなる。分散管理サーバ3は、保管要求(ステップS4)を受け付けると、あらかじめ定められた方法で元データを分割し、複数の記憶媒体に保存する。このとき、分散管理サーバ3は、分割データを復元するための情報である文書IDを生成する。分散管理サーバ3は、分割保存および文書IDの生成を終えると、バックエンド12に対し、文書IDを送信する(ステップS5)。以後、バックエンド12は、この文書IDを分散管理サーバ3に送信すれば、分割保存されているデータを取得できることになる。
バックエンド12は、予め定められたルールに従い文書件名を生成し(ステップS2)、保管するべき内容にユーザIDと文書件名とを付加して、分散管理サーバ3に所定のフォーマットのデータを生成する(ステップS3)。この生成されたデータが、分散管理サーバ3が分割して保管すべき元データとなる。分散管理サーバ3は、保管要求(ステップS4)を受け付けると、あらかじめ定められた方法で元データを分割し、複数の記憶媒体に保存する。このとき、分散管理サーバ3は、分割データを復元するための情報である文書IDを生成する。分散管理サーバ3は、分割保存および文書IDの生成を終えると、バックエンド12に対し、文書IDを送信する(ステップS5)。以後、バックエンド12は、この文書IDを分散管理サーバ3に送信すれば、分割保存されているデータを取得できることになる。
次に、バックエンド12は、分割保存したデータと関連付けられたテーブルをキーワード管理DB5に登録しなければならない。そのため、保管取扱手段13によるデータ属性定義11の参照結果に基づき、適宜属性値を予め定められたハッシュ関数に代入してハッシュ値を計算したり、暗号化したりする(ステップS6)。このハッシュ化等をした各属性値に、文書ID、ユーザIDを付加して、キーワード管理DB5に登録をする(ステップS7)。
5.データの取得
次に、図8に従い、フロントエンド6からデータ取得要求があった場合の、バックエンド12の動作について説明する。
フロントエンド6からバックエンド12に対し、ユーザ名を指定して、データ取得要求が送られる(ステップS11)。
バックエンド12は、データ属性定義を参照し、ユーザ名の保護レベルを取り出す。保護レベルがa1なので、キーワード管理DB5には、ユーザ名が平文ではなくハッシュ値で格納されていることがわかる。そこで、指定されたユーザ名をハッシュ計算し(ステップS12)、このハッシュ値でキーワード管理DB5を検索する(ステップS13)。ハッシュ値が一致した場合、文書IDを抽出する(ステップS14)。次に、バックエンド12が、この文書IDを分散管理サーバ3に送信し、該当文書の復元と送信を要求する(ステップS15)と、分散管理サーバ3は、復元データを送信する(ステップS16)。
次に、図8に従い、フロントエンド6からデータ取得要求があった場合の、バックエンド12の動作について説明する。
フロントエンド6からバックエンド12に対し、ユーザ名を指定して、データ取得要求が送られる(ステップS11)。
バックエンド12は、データ属性定義を参照し、ユーザ名の保護レベルを取り出す。保護レベルがa1なので、キーワード管理DB5には、ユーザ名が平文ではなくハッシュ値で格納されていることがわかる。そこで、指定されたユーザ名をハッシュ計算し(ステップS12)、このハッシュ値でキーワード管理DB5を検索する(ステップS13)。ハッシュ値が一致した場合、文書IDを抽出する(ステップS14)。次に、バックエンド12が、この文書IDを分散管理サーバ3に送信し、該当文書の復元と送信を要求する(ステップS15)と、分散管理サーバ3は、復元データを送信する(ステップS16)。
バックエンド12は、送信された復元データに含まれるユーザ名と、フロントエンド6によって特定されたユーザ名とを照合し(ステップS17)、一致すれば、フロントエンド6にデータを送る(ステップS18)。
なお、ユーザ名が異なる場合でも、ハッシュ計算の結果、同一のハッシュ値を持つことがある。その場合は、ステップS14で複数の文書IDが返されるので、ユーザ名同士が一致するものが見つかるまで、ステップS15〜S17の処理を繰り返す。
なお、ユーザ名が異なる場合でも、ハッシュ計算の結果、同一のハッシュ値を持つことがある。その場合は、ステップS14で複数の文書IDが返されるので、ユーザ名同士が一致するものが見つかるまで、ステップS15〜S17の処理を繰り返す。
以上の説明では、“ユーザ名”によって検索・抽出する場合を例にとったが、他の属性による場合も、考え方は同様である。ただし、保護レベルがa2の場合は、ステップS12で暗号化する必要がある。保護レベルがa3の場合は、ステップS12は省略し、ステップS13において、平文のままで検索すればよい。
その他
上記の実施形態では、フロントエンド6とバックエンド12は、同一のコンピュータにインストールされて、動作しているが、異なるコンピュータにインストールしてもよい。
また、業務処理をユーザ端末をクライアントとし、フロントエンドをサーバとする構成で実行しているが、これは例示であり、このようなシステム構成に限るものではない。
上記の実施形態では、フロントエンド6とバックエンド12は、同一のコンピュータにインストールされて、動作しているが、異なるコンピュータにインストールしてもよい。
また、業務処理をユーザ端末をクライアントとし、フロントエンドをサーバとする構成で実行しているが、これは例示であり、このようなシステム構成に限るものではない。
上記の実施形態では、保護レベルを3段階に分けているが、あくまでも例示であり、これに限るものではない。
また、準個人特定情報の暗号鍵は、1つに限らず、属性ごとに異なる暗号鍵を持たせても良い。
また、準個人特定情報の暗号鍵は、1つに限らず、属性ごとに異なる暗号鍵を持たせても良い。
要するに、上記のように開示された実施の形態はすべての点で例示であって、制限的なものではない。したがって、種々の変形が可能である。しかし、その変形が特許請求の範囲に記載された技術思想に基づくものである限り、その変形は本発明の技術的範囲に含まれる。
1 個人情報管理装置
3 個人情報データ分散管理サーバ
5 検索用キーワード管理データベース
11 データモデル属性定義(ファイル)
13 保管取扱手段
14 データ保管手段
15 データ取得手段
3 個人情報データ分散管理サーバ
5 検索用キーワード管理データベース
11 データモデル属性定義(ファイル)
13 保管取扱手段
14 データ保管手段
15 データ取得手段
Claims (7)
- 個人情報データを秘密分散法によって暗号化し、復号用インデックスキーによって復号化する機能を提供する個人情報データ分散管理サーバとの接続機能を有する個人情報を扱うための個人情報管理システムであって、
検策用キーワード管理データベースと、個人情報管理装置を備え、
検策用キーワード管理データベースには、
個人情報のキーワード群と対応付けられた前記復号用インデックスキーが格納され、
前記個人情報管理装置は、
個人情報の保護レベルを判定し、それに基づいて保管形態を決定する保管取扱手段と、
機密保護を必要とする個人情報データの保管要求があれば、該個人情報データを前記個人情報データ分散管理サーバに送信し、前記個人情報データ分散管理サーバから復号用インデックスキーを取得して、該個人情報データを前記復号用インデックスキーと対応付けて前記検索用キーワード管理データベースに格納するデータ保管手段と、
個人情報データの取得要求があれば、前記検索用キーワード管理データベースを参照して復号用インデックスキーを取り出し、前記個人情報データ分散管理サーバに送信して、前記復号用インデックスキーによって復号化された個人情報データを、前記個人情報データ分散管理サーバから受信するデータ取得手段とを備えていることを特徴とする個人情報管理システム。 - 前記保管取扱手段は、個人情報のデータ特性を規定したデータモデル属性定義を参照し、個人を一意に特定する情報は高位の保護レベル、複数個によって個人を特定しうる情報は中位の保護レベル、個人を特定しえない情報は低位の保護レベルであると判定し、保護レベルに応じて保管形態を決定することを特徴とする、請求項1に記載の個人情報管理システム。
- 前記検策用キーワード管理データベースに格納される個人情報データは、保護レベルが高位の属性はハッシュ化され、中位の属性は暗号化されて格納され、低位の属性は平文のままで格納されることを特徴とする、請求項2に記載の個人情報管理システム。
- 個人情報データを秘密分散法によって暗号化し、復号用インデックスキーによって復号化する機能を提供する個人情報データ分散管理サーバとの接続機能を有し、前記復号用インデックスキーと個人情報とを格納する検策用キーワード管理データベースにアクセス可能であり、かつ、個人情報を扱う業務処理を実行するコンピュータに、個人情報の保管処理および取得処理を行わせるための個人情報管理プログラムであって、
個人情報の保護レベルを判定し、それに基づいて保管形態を決定し、
機密保護を必要とする個人情報データの保管要求があれば、該個人情報データを前記個人情報データ分散管理サーバに送信し、前記個人情報データ分散管理サーバから復号用インデックスキーを取得して、該個人情報データを前記復号用インデックスキーと対応付けて前記検索用キーワード管理データベースに格納し、
個人情報データの取得要求があれば、前記検索用キーワード管理データベースを参照して復号用インデックスキーを取り出し、前記個人情報データ分散管理サーバに送信して、前記復号用インデックスキーによって復号化された個人情報データを、前記個人情報データ分散管理サーバから受信する処理をコンピュータに行わせることを特徴とする個人情報管理プログラム。 - 個人情報のデータ特性を規定したデータモデル属性定義を参照し、個人を一意に特定する情報は高位の保護レベル、複数あつまれば個人を特定しうる情報は中位の保護レベル、個人を特定しえない情報は低位の保護レベルであると判定し、保護レベルに応じて保管形態を決定することを特徴とする、請求項4に記載の個人情報管理プログラム。
- 前記検策用キーワード管理データベースに格納される個人情報データは、保護レベルが高位の属性はハッシュ化され、中位の属性は暗号化されて格納され、低位の属性は平文のままで格納されることを特徴とする、請求項5に記載の個人情報管理プログラム。
- 個人情報を構成するデータ項目について、機密保護の必要があるデータ項目は、秘密分散法によって暗号化して保管するとともに、この暗号化されたデータを復号化するためのインデックスキーを格納するデータベースを設け、このデータベースには、前記インデックスキーと対応付けて、機密保護の必要があるデータ項目はハッシュ化あるいは暗号化し、必要の無い項目は平文のまま格納することを特徴とする個人情報保護方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004381710A JP4594078B2 (ja) | 2004-12-28 | 2004-12-28 | 個人情報管理システムおよび個人情報管理プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004381710A JP4594078B2 (ja) | 2004-12-28 | 2004-12-28 | 個人情報管理システムおよび個人情報管理プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006189925A true JP2006189925A (ja) | 2006-07-20 |
| JP4594078B2 JP4594078B2 (ja) | 2010-12-08 |
Family
ID=36797090
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004381710A Expired - Fee Related JP4594078B2 (ja) | 2004-12-28 | 2004-12-28 | 個人情報管理システムおよび個人情報管理プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4594078B2 (ja) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100828628B1 (ko) * | 2006-10-17 | 2008-05-09 | 한국개인신용주식회사 | 신용 정보를 관리하는 방법 및 그 시스템. |
| WO2008096608A1 (ja) | 2007-02-05 | 2008-08-14 | Senken Co., Ltd. | 秘密情報配送システムおよび秘密情報配送方法 |
| JP2009180912A (ja) * | 2008-01-30 | 2009-08-13 | Toshiba Solutions Corp | 秘密分散装置及びプログラム |
| US7930560B2 (en) | 2007-07-17 | 2011-04-19 | Kabushiki Kaisha Oricom | Personal information management system, personal information management program, and personal information protecting method |
| WO2013065544A1 (ja) * | 2011-11-01 | 2013-05-10 | 株式会社野村総合研究所 | データ分散管理システム |
| JP5667702B2 (ja) * | 2011-11-01 | 2015-02-12 | 株式会社野村総合研究所 | データ分散管理システム |
| WO2016043120A1 (ja) * | 2014-09-19 | 2016-03-24 | 日本電気株式会社 | 情報処理装置及び協調分散保存システム |
| JP2020046920A (ja) * | 2018-09-19 | 2020-03-26 | 富士通株式会社 | データ管理レベル判定プログラム、およびデータ管理レベル判定方法 |
| WO2021010317A1 (ja) * | 2019-07-17 | 2021-01-21 | ソニー株式会社 | 情報システム、情報端末、情報処理方法および情報提供方法 |
| KR20210109978A (ko) * | 2020-02-28 | 2021-09-07 | 주식회사 엑소게임즈 | 개인 정보의 유출을 방지하는 게임 제공 서버, 방법 및 컴퓨터 프로그램 |
| JP2022500800A (ja) * | 2019-04-19 | 2022-01-04 | ▲騰▼▲訊▼科技(深▲セン▼)有限公司 | ブロックチェーンに基づく情報処理方法、装置及びコンピュータプログラム |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102252861B1 (ko) * | 2020-07-29 | 2021-05-14 | 윤성민 | 데이터 보안 시스템 및 그 방법 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH023215A (ja) * | 1988-06-17 | 1990-01-08 | Matsushita Electric Ind Co Ltd | フィルムコンデンサのリード線溶接装置 |
| JPH11272681A (ja) * | 1998-03-19 | 1999-10-08 | Hitachi Information Systems Ltd | 個人情報の記録方法およびその記録媒体 |
| JP2001101316A (ja) * | 1999-07-23 | 2001-04-13 | Toshiba Corp | 電子入札方法、デジタル署名方法及び記録媒体並びに情報証明方法 |
| JP2004259202A (ja) * | 2003-02-27 | 2004-09-16 | Fujitsu Ltd | セキュリティシステム、情報管理システム、暗号化支援システム、およびコンピュータプログラム |
| JP2004318391A (ja) * | 2003-04-15 | 2004-11-11 | Mitsubishi Electric Corp | 情報提供装置及び情報提供システム及び分散データベースシステム |
-
2004
- 2004-12-28 JP JP2004381710A patent/JP4594078B2/ja not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH023215A (ja) * | 1988-06-17 | 1990-01-08 | Matsushita Electric Ind Co Ltd | フィルムコンデンサのリード線溶接装置 |
| JPH11272681A (ja) * | 1998-03-19 | 1999-10-08 | Hitachi Information Systems Ltd | 個人情報の記録方法およびその記録媒体 |
| JP2001101316A (ja) * | 1999-07-23 | 2001-04-13 | Toshiba Corp | 電子入札方法、デジタル署名方法及び記録媒体並びに情報証明方法 |
| JP2004259202A (ja) * | 2003-02-27 | 2004-09-16 | Fujitsu Ltd | セキュリティシステム、情報管理システム、暗号化支援システム、およびコンピュータプログラム |
| JP2004318391A (ja) * | 2003-04-15 | 2004-11-11 | Mitsubishi Electric Corp | 情報提供装置及び情報提供システム及び分散データベースシステム |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100828628B1 (ko) * | 2006-10-17 | 2008-05-09 | 한국개인신용주식회사 | 신용 정보를 관리하는 방법 및 그 시스템. |
| WO2008096608A1 (ja) | 2007-02-05 | 2008-08-14 | Senken Co., Ltd. | 秘密情報配送システムおよび秘密情報配送方法 |
| JP2008191917A (ja) * | 2007-02-05 | 2008-08-21 | Senken Co Ltd | 秘密情報配送システムおよび秘密情報配送方法 |
| US7930560B2 (en) | 2007-07-17 | 2011-04-19 | Kabushiki Kaisha Oricom | Personal information management system, personal information management program, and personal information protecting method |
| JP2009180912A (ja) * | 2008-01-30 | 2009-08-13 | Toshiba Solutions Corp | 秘密分散装置及びプログラム |
| WO2013065544A1 (ja) * | 2011-11-01 | 2013-05-10 | 株式会社野村総合研究所 | データ分散管理システム |
| JP5667702B2 (ja) * | 2011-11-01 | 2015-02-12 | 株式会社野村総合研究所 | データ分散管理システム |
| JPWO2016043120A1 (ja) * | 2014-09-19 | 2017-08-17 | 日本電気株式会社 | 情報処理装置及び協調分散保存システム |
| WO2016043120A1 (ja) * | 2014-09-19 | 2016-03-24 | 日本電気株式会社 | 情報処理装置及び協調分散保存システム |
| US10802888B2 (en) | 2014-09-19 | 2020-10-13 | Nec Corporation | Information processing device and cooperative distributed storage system |
| JP2020046920A (ja) * | 2018-09-19 | 2020-03-26 | 富士通株式会社 | データ管理レベル判定プログラム、およびデータ管理レベル判定方法 |
| JP7121276B2 (ja) | 2018-09-19 | 2022-08-18 | 富士通株式会社 | データ管理レベル判定プログラム、およびデータ管理レベル判定方法 |
| US11429747B2 (en) | 2018-09-19 | 2022-08-30 | Fujitsu Limited | Data management level determining method |
| JP2022500800A (ja) * | 2019-04-19 | 2022-01-04 | ▲騰▼▲訊▼科技(深▲セン▼)有限公司 | ブロックチェーンに基づく情報処理方法、装置及びコンピュータプログラム |
| US11442912B2 (en) | 2019-04-19 | 2022-09-13 | Tencent Technology (Shenzhen) Company Limited | Blockchain-based information processing method and apparatus and computer-readable storage medium |
| JP7154676B2 (ja) | 2019-04-19 | 2022-10-18 | ▲騰▼▲訊▼科技(深▲セン▼)有限公司 | ブロックチェーンに基づく情報処理方法、装置及びコンピュータプログラム |
| WO2021010317A1 (ja) * | 2019-07-17 | 2021-01-21 | ソニー株式会社 | 情報システム、情報端末、情報処理方法および情報提供方法 |
| KR20210109978A (ko) * | 2020-02-28 | 2021-09-07 | 주식회사 엑소게임즈 | 개인 정보의 유출을 방지하는 게임 제공 서버, 방법 및 컴퓨터 프로그램 |
| KR102315593B1 (ko) | 2020-02-28 | 2021-10-22 | 주식회사 엑소게임즈 | 개인 정보의 유출을 방지하는 게임 제공 서버, 방법 및 컴퓨터 프로그램 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4594078B2 (ja) | 2010-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Zhang et al. | Searchable encryption for healthcare clouds: A survey | |
| US10013574B2 (en) | Method and apparatus for secure storage and retrieval of encrypted files in public cloud-computing platforms | |
| CN107209787B (zh) | 提高专用加密数据的搜索能力 | |
| US10985902B2 (en) | Dynamic symmetric searchable encryption | |
| JP6180177B2 (ja) | プライバシーを保護することができる暗号化データの問い合わせ方法及びシステム | |
| US10235335B1 (en) | Systems and methods for cryptographically-secure queries using filters generated by multiple parties | |
| US7930560B2 (en) | Personal information management system, personal information management program, and personal information protecting method | |
| US20130238646A1 (en) | Partial-Match Searches of Encrypted Data Sets | |
| EP1763796A2 (en) | Encrypted table indexes and searching encrypted tables | |
| Handa et al. | Searchable encryption: a survey on privacy‐preserving search schemes on encrypted outsourced data | |
| US10216940B2 (en) | Systems, methods, apparatuses, and computer program products for truncated, encrypted searching of encrypted identifiers | |
| Al Sibahee et al. | Efficient encrypted image retrieval in IoT-cloud with multi-user authentication | |
| EP4227841A1 (en) | Systems and methods for tracking propagation of sensitive data | |
| JP4594078B2 (ja) | 個人情報管理システムおよび個人情報管理プログラム | |
| US11829503B2 (en) | Term-based encrypted retrieval privacy | |
| CN110062941B (zh) | 消息发送系统及方法、通信终端、服务器装置、记录介质 | |
| KR20220092811A (ko) | 암호화 데이터를 저장하는 방법 및 장치 | |
| JP2002297606A (ja) | 問合せ内容を隠蔽可能なデータベースのアクセス方法およびシステム | |
| CN108170753A (zh) | 一种共有云中Key-Value数据库加密与安全查询的方法 | |
| CN114579998A (zh) | 一种区块链辅助的医疗大数据搜索机制与隐私保护方法 | |
| JP2003296331A (ja) | データ検索方法、データ検索システム、検索キーワード生成装置、及びコンピュータプログラム | |
| Lin et al. | A Privacy‐Preserving Intelligent Medical Diagnosis System Based on Oblivious Keyword Search | |
| Handa et al. | Keyword binning-based efficient search on encrypted cloud data | |
| JP2008140202A (ja) | 情報提供制御装置、情報提供制御方法、及び、プログラム | |
| JP5969681B1 (ja) | 秘密情報管理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061211 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20090427 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20090427 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100601 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100730 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100907 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100916 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130924 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4594078 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |