JP2006350813A - Personal information protection management system and method - Google Patents
Personal information protection management system and method Download PDFInfo
- Publication number
- JP2006350813A JP2006350813A JP2005178003A JP2005178003A JP2006350813A JP 2006350813 A JP2006350813 A JP 2006350813A JP 2005178003 A JP2005178003 A JP 2005178003A JP 2005178003 A JP2005178003 A JP 2005178003A JP 2006350813 A JP2006350813 A JP 2006350813A
- Authority
- JP
- Japan
- Prior art keywords
- personal information
- user
- protection operation
- information protection
- disclosure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、不特定多数のプロバイダ(通信ネットワークを介してユーザにサービスを提供するサービス提供者)に対する、ユーザの個人情報の利用提供に係わり、ユーザの個人情報の提供に際して、利便性とユーザの匿名性確保とを行うことを目的とする個人情報保護運用システムおよび個人情報保護運用方法に関する。 The present invention relates to the use and provision of user personal information to an unspecified number of providers (service providers providing services to users via a communication network). The present invention relates to a personal information protection operation system and a personal information protection operation method for the purpose of ensuring anonymity.
将来のネットワーク環境は、インターネットを中心としたホモジニアスな(Homogeneous:均質な)世界から、携帯電話,センサ,PC(パーソナルコンピュータ)及び情報家電などの様々な端末の接続されるヘテロジニアスな(Heterogeneous:不均質な)世界へと変化することが予測される。このようなネットワーク環境を実現するための基盤技術が、ユビキタスネットワーキング技術である。そして通信ネットワークに接続される多種多量な端末は、多様化及び遍在化し、互いに協調連携しながら、ユーザの嗜好や置かれている環境に適した広域アプリケーションサービスを提供する。 Future network environments are heterogeneous (Heterogeneous :) where various terminals such as mobile phones, sensors, PCs (personal computers) and information appliances are connected from the homogeneous world centered on the Internet. It is expected to change into a heterogeneous world. The basic technology for realizing such a network environment is the ubiquitous networking technology. Various kinds of terminals connected to the communication network are diversified and ubiquitous, and provide a wide-area application service suitable for the user's preference and the environment in which they are cooperating with each other.
ユビキタスネットワーキング環境においては、各種センサやアクチュエータが通信ネットワークに接続されることにより、物理世界とアプリケーションサービスの連携がスムーズになる。これは、ネットワーク環境がユーザを支援するユーザ支援型のサービスシナリオであり、ユーザにとっては、アプリケーションサービス起動のための入力が軽減され、個人情報と組み合わせることで、意識することなくサービスを受けることができる。 In a ubiquitous networking environment, various sensors and actuators are connected to a communication network, which facilitates the coordination between the physical world and application services. This is a user-supported service scenario where the network environment supports the user. For the user, the input for starting the application service is reduced, and the user can receive the service without being aware of it by combining it with personal information. it can.
上述のサービスの前提とするシステムの構成とアプリケーション例を図12に示す。
ネットワーク15には、携帯電話やPCなどのユーザ端末10,11や、プロバイダ端末12,13、ディスプレイ機能付きテーブル14など様々なユビキタス端末が接続されている。また、ネットワーク15には、認証サーバ16や位置情報管理サーバ17など各種サーバが接続されている。
FIG. 12 shows a system configuration and application examples on the premise of the above service.
Various ubiquitous terminals such as user terminals 10 and 11 such as mobile phones and PCs, provider terminals 12 and 13 and a table 14 with a display function are connected to the network 15. Various servers such as an authentication server 16 and a location information management server 17 are connected to the network 15.
そして、人検知や体温測定などを行うセンサにより構成されるセンサネットワーク18がある。このセンサネットワーク18において収集したセンス情報(体温、人検知時刻など)は、ネットワーク15にあるセンス情報管理サーバ19で管理される。またユーザはユーザ端末10を保持しており、このユーザ端末10においては、ユーザ自身が設定したユーザの嗜好情報やユーザ自身を特定する情報、また嗜好・脆弱性情報を元に端末ソフトウェアが生成したアクセス制御リスト(ACL)、またGPS(Global Positioning System)やネットワーク上の位置情報管理サーバ17からの位置情報などを取得する。 There is a sensor network 18 composed of sensors that perform human detection and body temperature measurement. Sense information (body temperature, human detection time, etc.) collected in the sensor network 18 is managed by a sense information management server 19 in the network 15. In addition, the user holds the user terminal 10, and in this user terminal 10, the terminal software is generated based on the user preference information set by the user himself / herself, information specifying the user himself / herself, and preference / vulnerability information. An access control list (ACL), GPS (Global Positioning System), location information from the location information management server 17 on the network, and the like are acquired.
ユーザ端末10は、移動先で適宜ネットワークと接続され、ネットワーク15を介してプロバイダ端末12,13から提供されるアプリケーションサービスを利用する。
ネットワーク15には、インターネットの他に、ホームネットワーク,センサネットワーク18,アドホックネットワークといったような様々な種類があり、それらは、ゲートウェイ110などを介して相互接続されている。
The user terminal 10 is appropriately connected to the network at the destination, and uses application services provided from the provider terminals 12 and 13 via the network 15.
In addition to the Internet, the network 15 includes various types such as a home network, a sensor network 18, and an ad hoc network, and these are interconnected via a
次に、アプリケーション例を用いて、本発明で想定しているシステムの概要を説明する。
(1)ユーザ端末10は、ユーザが自宅からレストランの前に移動したことを検出する。
(2)プロバイダの前に立ったユーザを、センサネットワーク18を構成する人検出センサが検出し、センス情報としてセンス情報管理サーバ19に通知する。プロバイダ端末13で提供されるサービスは、センス情報管理サーバ19をポーリングし、必要な個人情報を取得する。プロバイダ端末は、ユーザ端末10にサービスに関するメッセージを送信する。
Next, an outline of a system assumed in the present invention will be described using an application example.
(1) The user terminal 10 detects that the user has moved from home to the restaurant.
(2) The user standing in front of the provider is detected by the human detection sensor constituting the sensor network 18 and notified to the sense information management server 19 as sense information. The service provided by the provider terminal 13 polls the sense information management server 19 and acquires necessary personal information. The provider terminal transmits a message regarding the service to the user terminal 10.
(3)ユーザは、ディスプレイ機能付きテーブル14に座る。椅子についている人検知センサによりユーザが席についたことを検出し、同時にディスプレイ機能付きテーブル14のデバイスIDをセンサネットワーク18経由でセンス情報管理サーバ19に通知する。プロバイダ端末12で提供されるビデオコンテンツ配送サービスは、センス情報管理サーバ19をポーリングすることでデバイスIDと人検知情報を入手する。本情報元に、ビデオコンテンツをディスプレイ機能付きテーブル14に流す。 (3) A user sits on the table 14 with a display function. The person detection sensor on the chair detects that the user has taken a seat, and simultaneously notifies the sense information management server 19 of the device ID of the table 14 with display function via the sensor network 18. The video content delivery service provided by the provider terminal 12 obtains the device ID and the person detection information by polling the sense information management server 19. Based on this information source, the video content is sent to the table 14 with display function.
個人情報とは、ユーザIDに付随した個人に関する情報である。これまでの個人情報とは、名前,住所,年齢,性別,病歴,家族構成などのユーザの属性,嗜好,意図,および、これらの履歴などのユーザが端末から入力した静的な情報(静的個人情報:S−Privacy)に関する情報が主であった。
しかし、ユビキタスネットワーキング環境においては、生体,温度,人検知などのセンサによって取得できる情報,位置,時刻,電子マネーや乗車記録などのユーザの行動に付随して取得できる情報、およびこれらの履歴などユーザの挙動や振る舞いをシステムが感知して取得する動的な情報(動的個人情報:D−Privacy)も個人情報に含まれるようになり、これらのユーザのプライバシに関する個人情報は増加の一途を辿ると考えられる。
Personal information is information about an individual associated with a user ID. Conventional personal information includes user information such as name, address, age, gender, medical history, family structure, preferences, intentions, and static information input by the user from the terminal (static Mainly information on personal information: S-Privacy).
However, in a ubiquitous networking environment, information that can be acquired by sensors such as a living body, temperature, and human detection, information that can be acquired in association with user actions such as position, time, electronic money and boarding records, and a history such as these Information (dynamic personal information: D-Privacy) that the system senses and acquires the behavior and behavior of the user is also included in the personal information, and the personal information regarding the privacy of these users continues to increase. it is conceivable that.
一般に、個人情報の利用において、匿名性と利便性とはトレードオフの関係にある。よって、個人情報利用のシステム化のためには、匿名性を適正に評価する手法の確立が必要である。
これに対応して、ネットワーク上にあるprivacy proxy を介して、ユーザとプロバイダのend-to-endにおける公開可能な個人情報のネゴシエーションを行う方法が提案されている(非特許文献1参照)。
In general, in the use of personal information, anonymity and convenience are in a trade-off relationship. Therefore, in order to systemize the use of personal information, it is necessary to establish a method for appropriately evaluating anonymity.
Corresponding to this, a method has been proposed in which personal information that can be disclosed in end-to-end between a user and a provider is negotiated via a privacy proxy on the network (see Non-Patent Document 1).
しかし、非特許文献1の従来技術で前提としているのは、S−Privacyに対応するであり、D-privacyを個人情報に含めた形で本従来技術を実現した場合、個人情報の情報量の増加とサービス提供頻度とが増加するため、情報公開可能か否かの判定のためのユーザ:プロバイダ間のネゴシエーションの回数が増加し、サービスに必要な処理が煩雑になる。 However, the premise of the prior art of Non-Patent Document 1 is that it corresponds to S-Privacy, and when this prior art is realized with D-privacy included in personal information, Since the increase and the service providing frequency increase, the number of negotiations between the user and the provider for determining whether or not information can be disclosed increases, and processing necessary for the service becomes complicated.
またユーザIDと個人情報とを分離して、サービス起動制御を行う提案方式では、ユーザIDを用いず、位置情報をトリガにしてサービスを提案/提供するものである(非特許文献2及び3参照)。
しかしながら、上述した従来例においては、位置情報以外のD−Privacy情報,および個人情報の組み合わせによるユーザの推定などについては、何ら規定がない。
Further, in the proposed method in which the service activation control is performed by separating the user ID and the personal information, the service is proposed / provided using the location information as a trigger without using the user ID (see Non-Patent Documents 2 and 3). ).
However, in the above-described conventional example, there is no provision for estimation of a user by a combination of D-Privacy information other than position information and personal information.
ユーザ嗜好フィルタを用いて、ユーザの嗜好にあったサービスを検索する方式は、ユーザがS/D−Privacyを元にあらかじめユーザ嗜好フィルタを生成し、フィルタを元にネットワーク上に該当するサービスがないかを検索する(非特許文献4参照)。
この従来技術においては、行動が変化する度にフィルタを生成し直す必要があり、ユーザの処理が煩雑になる。
In the method of searching for a service that matches the user's preference using the user preference filter, the user generates a user preference filter in advance based on S / D-Privacy, and there is no corresponding service on the network based on the filter. (See Non-Patent Document 4).
In this prior art, it is necessary to regenerate the filter every time the behavior changes, and the user's processing becomes complicated.
また、非特許文献4の従来技術は、ネットワークにフィルタを送信する際、ユーザIDとフィルタ送信ログをとることで不特定多数のプロバイダに個人情報を知られてしまう。
アンケートに協力したユーザが自分を含めたアンケート結果を知るといったアプリケーション利用例のように、個人情報を提供したユーザ自身が、個人情報の利用者になる場合がある。このように、上記従来技術は、ユーザとプロバイダに限った場合だけではなく、ユーザが、他のユーザの個人情報を利用する場合も同様の問題が発生する。
The user who provided the personal information may become a user of the personal information as in the application usage example in which the user who cooperated with the questionnaire knows the result of the questionnaire including himself / herself. As described above, the above-described conventional technique causes the same problem not only when the user and the provider are limited, but also when the user uses personal information of another user.
そこで本発明は、D−Privacyの情報により、privacy proxyを介した場合の処理の煩雑化やフィルタを利用した場合の処理の煩雑さや個人情報の露見のような事情に鑑みてなされ、かつ個人情報を保護しながらビジネスとして運用することのできる、個人情報保護運用システムおよび個人情報保護運用方法を提供することを目的としている。 Therefore, the present invention has been made in view of circumstances such as complexity of processing when using a privacy proxy, complexity of processing when using a filter, and disclosure of personal information based on D-Privacy information. It is an object to provide a personal information protection operation system and a personal information protection operation method that can be operated as a business while protecting the personal information.
上記目的を達成するために、本発明は、サービス利用者のユーザ端末、サービス提供者のプロバイダ端末、サービス利用者の個人情報の保護と開示を管理する個人情報保護運用装置とが通信ネットワークを介して接続された個人情報保護運用システムであって、前記ユーザ端末は、自身の個人情報を前記個人情報保護運用装置に登録する個人情報登録手段を備え、前記プロバイダ端末は、サービス提供に必要なユーザの個人情報の開示要求を前記個人情報保護運用装置に送信する開示要求手段を備え、前記個人情報保護運用装置は、ユーザの個人情報を格納するデータベースと、前記開示要求に含まれる個人情報が前記データベースに存在するか否かを判定し、存在する場合は前記サービス利用者の特定が困難か否かを予め定めた閾値で判断して、前記閾値以上である場合に、前記開示要求に対応する個人情報を返信する開示可否判定手段と、前記個人情報の開示の対価となる利用を算出する利用料算出手段と、前記利用料の決済処理を行う支払処理手段とを備えることを特徴とする個人情報保護運用システムである。
これにより、利用料の計算や料金の支払いを行うので、サービス利用者プライバシーを保護しつつ、個人情報を運用してビジネスを行うことができる。
To achieve the above object, according to the present invention, a user terminal of a service user, a provider terminal of a service provider, and a personal information protection operation device that manages protection and disclosure of personal information of the service user are connected via a communication network. Connected to the personal information protection operation system, wherein the user terminal includes personal information registration means for registering personal information of the user terminal in the personal information protection operation device, and the provider terminal is a user required for providing the service. The personal information protection operation device includes a database for storing personal information of a user, and the personal information included in the disclosure request includes the personal information protection operation device. Determine whether it exists in the database, and if it exists, determine whether it is difficult to identify the service user using a predetermined threshold A disclosure availability determination unit that returns personal information corresponding to the disclosure request, a usage fee calculation unit that calculates usage for the disclosure of the personal information, and the usage fee A personal information protection operation system comprising payment processing means for performing payment processing.
As a result, the usage fee is calculated and the fee is paid, so that business can be performed using personal information while protecting the privacy of the service user.
また本発明は、前記個人情報保護運用装置が、個人情報の提供としての対価としての特典を管理する特典提供管理手段を備え、当該特典提供管理手段は、前記個人情報の開示の対価として前記サービス利用者に提供する特典に関する情報をデータベースから読み込んで、その特典の情報を前記サービス利用者に対して与えると決定することを特徴とする。
これにより、個人情報提供による見返りとして、プロバイダがユーザに特典を与え、特典によって、特典別に閥値を変更し、ユーザの個人情報の開示量を変えることができる。
In the present invention, the personal information protection operation device includes a privilege provision management unit that manages a privilege as a consideration as provision of personal information, and the privilege provision management unit includes the service as a consideration for disclosure of the personal information. It is determined that information relating to a privilege to be provided to a user is read from a database, and the privilege information is given to the service user.
Thereby, the provider gives a privilege to the user in return for providing personal information, and the privilege can be changed according to the privilege, thereby changing the disclosure amount of the user's personal information.
また本発明は、前記個人情報保護運用装置が、サービス利用者が個人情報を安全に保管するための保管料を計算する保管料計算手段と、サービス利用者の個人情報保管料の支払処理を行う保管料支払手段と、を備えることを特徴とする。
これにより、ユーザの個人情報を安全に保管する維持管理費を徴収することができ、したがって、機密性の高い個人情報の保管を高いセキュリティ機能を投じて保管することができる。
Further, according to the present invention, the personal information protection operation apparatus performs storage fee calculation means for calculating a storage fee for the service user to safely store the personal information, and payment processing of the personal information storage fee of the service user. And a storage fee payment means.
As a result, it is possible to collect a maintenance cost for safely storing the personal information of the user. Therefore, it is possible to store highly confidential personal information with a high security function.
また本発明は、前記個人情報保護運用装置の開示可否判定手段が、アンケート情報に登録されたアンケートの項目と回答との対応関係と、前記データベースにおける予め定められた閾値とに基づいて、前記データベースに登録されているユーザを特定することのないアンケート項目と回答との対応関係を抽出し、前記プロバイダ端末へ送信することを特徴とする。 Further, according to the present invention, the disclosure permission determination unit of the personal information protection operation apparatus is configured to use the database based on a correspondence relationship between questionnaire items and answers registered in the questionnaire information and a predetermined threshold in the database. A correspondence relationship between a questionnaire item and an answer that does not specify a user registered in is extracted and transmitted to the provider terminal.
また本発明は、前記個人情報保護運用装置が、前記データベースに登録されているユーザが特定できるアンケート項目への入力を検出した場合には、前記ユーザ端末へ警告情報を送信する警告手段を備えることを特徴とする。 In addition, the present invention includes a warning unit that transmits warning information to the user terminal when the personal information protection operation apparatus detects an input to a questionnaire item that can be specified by a user registered in the database. It is characterized by.
また本発明は、前記開示可否判定手段が、前記ユーザ端末より受信した複数の個人情報について、前記データベースに存在するか否かを判定し、存在する場合は前記サービス利用者の特定が困難か否かを予め定めた閾値で判断して、前記閾値以上である場合に、当該閾値以上の個人情報を転送することを特徴とする。 Further, according to the present invention, the disclosure permission determination unit determines whether or not a plurality of personal information received from the user terminal exists in the database, and if it exists, it is difficult to identify the service user. This is characterized in that it is determined by a predetermined threshold value, and if it is equal to or greater than the threshold value, personal information equal to or greater than the threshold value is transferred.
また本発明は、サービス利用者のユーザ端末、サービス提供者のプロバイダ端末、サービス利用者の個人情報の保護と開示を管理する個人情報保護運用装置とが通信ネットワークを介して接続された個人情報保護運用システムにおける個人情報保護運用方法であって、前記ユーザ端末が、自身の個人情報を前記個人情報保護運用装置に登録し、前記プロバイダ端末が、サービス提供に必要なユーザの個人情報の開示要求を前記個人情報保護運用装置に送信し、前記個人情報保護運用装置が、ユーザの個人情報をデータベースに格納し、前記個人情報保護運用装置が、前記開示要求に含まれる個人情報が前記データベースに存在するか否かを判定し、存在する場合は前記サービス利用者の特定が困難か否かを予め定めた閾値で判断して、前記閾値以上である場合に、前記開示要求に対応する個人情報を返信し、前記個人情報保護運用装置が、前記個人情報の開示の対価となる利用を算出し、前記個人情報保護運用装置が、前記利用料の決済処理を行うことを特徴とする個人情報保護運用方法である。 In addition, the present invention provides personal information protection in which a user terminal of a service user, a provider terminal of a service provider, and a personal information protection operation apparatus that manages protection and disclosure of personal information of the service user are connected via a communication network. A personal information protection operation method in an operation system, in which the user terminal registers its own personal information in the personal information protection operation device, and the provider terminal issues a request for disclosure of user personal information necessary for providing a service. The personal information protection operation device stores the personal information of the user in a database, and the personal information protection operation device has the personal information included in the disclosure request in the database. And if it exists, it is determined whether or not it is difficult to identify the service user using a predetermined threshold, and the threshold In the case of the above, the personal information corresponding to the disclosure request is returned, the personal information protection operation device calculates a use that is a price for the disclosure of the personal information, and the personal information protection operation device It is a personal information protection operation method characterized by performing a fee settlement process.
本発明によれば、個人情報の保護と運用を実現するものであり、ユーザがネットワーク上の個人情報保護運用装置に登録した個人情報に対して、個人特定困難なレベルでプロバイダに個人情報を開示し、プロバイダのサービス提供につなげることができる。 According to the present invention, personal information is protected and operated, and the personal information registered in the personal information protection operation device on the network is disclosed to the provider at a level where it is difficult to identify the individual. And it can be connected to the service provision of the provider.
以下、本発明の一実施形態による個人情報保護運用システムを図面を参照して説明する。図1は同実施形態による個人情報保護運用システムの構成を示すブロック図である。この図において、符号1はユーザ端末である。また2はプロバイダ端末である。ユーザ端末1は例えばユーザの自宅に備えられたり、またはユーザ自身が携帯する端末である。そして、ユーザはプロバイダ端末2からの各種サービスの提供を受ける。また3はユーザ端末1の認証などを行う認証・鍵管理サーバである。また4はユーザが検知された際の各種情報を保持するセンス情報管理サーバである。また5はプロバイダ端末2からの個人情報送信要求に応じて、個人情報保護の処理を行う共にユーザの個人情報をプロバイダ端末2へ送信する個人情報保護運用サーバである。また6は例えばユーザ端末1の無線発信するIDなどを受信してそのIDの情報をセンス情報管理サーバ4へ送信する無線タグである。また7は街頭カメラでありユーザを検知するとともに撮影したユーザの識別情報やその時刻などをセンス情報管理サーバへ送信する。そして、図1に示した各端末や装置はそれぞれが通信ネットワークを介して接続されている。
Hereinafter, a personal information protection operation system according to an embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing a configuration of a personal information protection operation system according to the embodiment. In this figure, reference numeral 1 denotes a user terminal. Reference numeral 2 denotes a provider terminal. The user terminal 1 is, for example, a terminal provided at the user's home or carried by the user himself / herself. Then, the user receives provision of various services from the provider terminal 2. An authentication / key management server 3 authenticates the user terminal 1 and the like. Reference numeral 4 denotes a sense information management server that holds various types of information when a user is detected. Reference numeral 5 denotes a personal information protection operation server that performs personal information protection processing and transmits user personal information to the provider terminal 2 in response to a personal information transmission request from the provider terminal 2.
図2は個人情報保護運用サーバの機能ブロックを示す図である。
次に図2を用いて個人情報保護運用サーバについて説明する。
個人情報保護運用サーバ5において、符号501は通信ネットワークを介して他サーバや端末などと情報を送受信する通信処理部である。また502は個人情報保護運用サーバ5内の各処理部を制御する制御部である。また503は個人情報の開示可否を判定する開示可否判定処理部である。また504は開示する個人情報をプロバイダ端末2などへ送信する処理を行う開示処理部である。また505はデータベースの情報を管理するデータベース管理部である。また506は個人情報の開示によりプロバイダに対して課金される利用料を算出する利用料管理部である。また507は個人情報の開示により個人のユーザに支払われる対価を算出する支払処理部である。また508は各種個人情報を記憶するデータベースである。
FIG. 2 is a diagram showing functional blocks of the personal information protection operation server.
Next, the personal information protection operation server will be described with reference to FIG.
In the personal information protection operation server 5,
図3は個人情報保護運用サーバのデータベースが保持するデータテーブルの例を示す図である。この図が示すように、データベース508は、個人情報(S−Privacy/D−Privacy)とユーザIDが対応付けて記録されている。ここで、D−Privacyは、データベース管理部505により、一定時間毎か、または新たな個人情報が入力された時点において、FIFO (First In First out)方式により書換えが行われる。D−Privacyの情報は図3においては、属性3(夕食の場所)、属性4(一緒に食べた人)、属性5(19時の居場所)である。その他の属性はS−Privacyの個人情報である。
FIG. 3 is a diagram showing an example of a data table held in the database of the personal information protection operation server. As shown in this figure, in the
次に、個人情報保護運用サーバ5における開示可否判定処理部503の処理について説明する。
本発明では個人情報を保護するという観点から、決定木学習アルゴリズムを考える。プロバイダに対して、匿名にしたい対象の個人情報は例えばユーザの名前である。そして保護したいユーザの名前(つまり個人を特定できてしまうユーザの名前という情報をプロバイダに通知しないことにより、ユーザIDのような個人情報を保護する)に対して、プロバイダから開示要求された個人情報の情報利得を計算し、情報利得が少ない個人情報であれば開示を許可する処理を行う。
Next, the processing of the disclosure permission
In the present invention, a decision tree learning algorithm is considered from the viewpoint of protecting personal information. The personal information to be made anonymous with respect to the provider is, for example, the name of the user. The personal information requested to be disclosed by the provider for the name of the user to be protected (that is, the personal information such as the user ID is protected by not notifying the provider of the name of the user who can identify the individual). The information gain is calculated, and if the personal information has a small information gain, the disclosure is permitted.
情報利得の計算には「情報エントロピー(以下エントロピーと略す)」を用いる。エントロピーとは、情報の集合である情報源に対して、その要素である情報を受け取る前後の不確定度を定量的に表す量である。本願発明では、ある個人情報を受け取ることによって得られる情報量の期待値をエントロピーで表現する。 “Information entropy (hereinafter abbreviated as entropy)” is used to calculate the information gain. Entropy is a quantity that quantitatively represents the degree of uncertainty before and after receiving information as an element for an information source that is a set of information. In the present invention, the expected value of the amount of information obtained by receiving certain personal information is expressed by entropy.
エントロピーの概要を説明する為に、例として50人ずつの男女からなる100人のユーザの集合を考えるとする。エントロピー値が最大になるのは「性別」のような全てが同じ確率で発生する情報を与えられた場合であり、このとき匿名性が最も高いと定義する。逆にエントロピーが最小になるのは、発生確率が1になる個人情報を与えた場合であり、この時、匿名性が最も低いと定義する。つまり100人の中で「Alice」という名前のユーザが一人しかいない場合、Aliceという名前を情報として受け取ることで匿名性が最小(つまり匿名性が無い)となる。匿名性が最小である情報を開示することは個人情報保護の観点から問題である。 In order to explain the outline of entropy, let us consider a set of 100 users composed of 50 men and women as an example. The entropy value is maximized when information such as “gender” is generated with the same probability and is defined as having the highest anonymity. Conversely, the entropy is minimized when personal information having an occurrence probability of 1 is given, and at this time, it is defined that the anonymity is the lowest. That is, if there is only one user named “Alice” out of 100 people, receiving the name Alice as information minimizes anonymity (that is, there is no anonymity). Disclosing information with minimal anonymity is a problem from the viewpoint of personal information protection.
ユーザの個人情報をエントロピー計算のための情報源とし、個人情報を受け取る前後でのユーザIDの特定に関する不確かさの減少量をエントロピーで表現し、匿名性の定量化を実現する。個人情報は上述したように、S−PrivacyとD−Privacyがあり、データベース508にユーザIDに対応付けて属性種別と属性値のペアとして記憶する。属性とは性別や年齢などである。
Using the personal information of the user as an information source for entropy calculation, the amount of uncertainties related to the identification of the user ID before and after receiving the personal information is expressed by entropy, and anonymity is quantified. As described above, personal information includes S-Privacy and D-Privacy, and is stored in the
エントロピーを用いることの利点は、匿名にしたい対象が図3の「属性6:名前―Alice」のように一人を特定できてしまう属性値であっても、「属性1:性別―男」や「属性2:職業―学生」のような共通の属性値をもつユーザ集合を匿名対象としても同じ手法で計算できるという点である。 The advantage of using entropy is that even if the object to be anonymous is an attribute value that can identify one person, such as “Attribute 6: Name—Alice” in FIG. 3, “Attribute 1: Gender—Male” or “ A user set having a common attribute value such as “attribute 2: occupation—student” can be calculated by the same method even if it is an anonymous object.
そして図1で示したようなユビキタスネットワーキング環境では、通信ネットワークに接続されるユーザ数が時間と共に変化する。よって、ユビキタスネットワーキング環境における個人情報保護にエントロピーの概念を適用する場合、エントロピー計算の前提であるユーザの集合が一定という条件は、通常成り立たない。よってユーザ集合に依存しない匿名性の定量化が必要となる。そこで、ユビキタスネットワーキング環境における離脱/参加や移動によるユーザ集合の変化が無視できる時間をΔtとし、Δt時間単位にエントロピーを計算し、その計算結果であるエントロピー値を正規化することでユーザ集合の変化を吸収する。 In the ubiquitous networking environment as shown in FIG. 1, the number of users connected to the communication network changes with time. Therefore, when applying the concept of entropy to protect personal information in a ubiquitous networking environment, the condition that the set of users, which is the premise of entropy calculation, is usually not satisfied. Therefore, it is necessary to quantify anonymity that does not depend on the user set. Therefore, the time when the change of the user set due to withdrawal / participation or movement in the ubiquitous networking environment can be ignored is Δt, the entropy is calculated in Δt time units, and the change of the user set is normalized by normalizing the calculated entropy value. To absorb.
そしてこの正規化した値を匿名性の評価尺度に用いる。ユーザ集合はΔt時間毎に変わるので、個人情報保護運用サーバ5はその都度データベース508を書き換える。属性の数や種類、およびその属性値の分布はユーザ集合が違えば、それらも異なる。
The normalized value is used as an anonymity evaluation scale. Since the user set changes every Δt time, the personal information protection operation server 5 rewrites the
ここで正規化の方式には様々な方式が考えられるが、本実施形態いにおいては、以下のような方式を採用する。まず保護したい属性において、匿名にしたいユーザと同じ属性値のユーザを正、そうでない属性値を負という二つのクラスに分ける。ユーザ集合において、匿名にしたいユーザの正負に関するエントロピーをHO、ある属性Fが判明した時のエントロピーをHFとした場合に、Fを知ることにより減少するエントロピーの割合を、DFとし、これを匿名性の定量的評価尺度に用いる Here, various methods can be considered as a normalization method. In this embodiment, the following method is adopted. First, in the attribute to be protected, the user having the same attribute value as that of the user to be made anonymous is divided into two classes, that is, positive, and the attribute value not so is negative. In user set, entropy regarding positive and negative user to be anonymous H O, the entropy when an attribute F has been found in the case of the H F, the ratio of the entropy decreases by knowing the F, and D F, which Is used as a quantitative measure of anonymity
上述の式において、
P+:全てのユーザ集合において、正である確率
P−:全てのユーザ集合において、負である確率
Pi:Fの属性値の集合を{ν1,ν2,ν3,ν4,・・・,νn}とした場合、Fがνiである場合において正である確率
Pi+:Fの属性値の集合を{ν1,ν2,ν3,ν4,・・・,νn}とした場合、Fがνiである集合において正である確率
Pi−:Fの属性値の集合を{ν1,ν2,ν3,ν4,・・・,νn}とした場合、Fがνiである集合において負である確率
である。
In the above formula,
P + : Probability that is positive in all user sets P − : Probability that is negative in all user sets P i : Set of attribute values of F {ν 1 , ν 2 , ν 3 , ν 4 ,. .., Ν n }, a probability P i + that is positive when F is ν i : A set of attribute values of F is represented by {ν 1 , ν 2 , ν 3 , ν 4 ,. n }, a set of attribute values of probability P i− : F that is positive in a set where F is ν i is {ν 1 , ν 2 , ν 3 , ν 4 ,..., ν n } The probability of being negative in the set where F is ν i .
個人情報保護運用サーバ5の開示可否判定処理部503は、アプリケーションやシステムのセキュリティ要求条件により、DFの閾値を予め設定しておく。そしてプロバイダ端末2から指定された開示要求に含まれる属性種別と属性値の組合せに対するDFの計算結果が閾値以上の場合にその属性種別と属性値の組合せに対応するユーザの個人情報をプロバイダに開示し、閾値未満である場合には、属性種別と属性値に対応するユーザの個人情報を開示しないといった処理を行う。
The disclosure permission
次に、具体例を示して開示可否判定の処理について説明する。
まず、以下に述べる実施形態では、個人情報をネットワークサービスの提供者(以下、「サービス提供者」または「プロバイダ」と記す)が要求するものとして説明する。個人情報保護運用サーバ5は、サービスを提供するにあたり必要なユーザの個人情報の要求メッセージ(開示要求)をプロバイダ端末2から受信した際に、データベース508を検索して、この個人情報を検索すると、開示可否判定処理部503が登録ユーザ総数に対するその個人情報を有するユーザの割合を計算し、あらかじめ定めた閾値以上である場合、前記プロバイダ端末2に個人情報を送信し、閾値以下である場合、個人情報を公開しないといった処理を行う。以下その処理の詳細について説明する。
Next, the disclosure availability determination process will be described with a specific example.
First, in the embodiment described below, it is assumed that personal information is requested by a network service provider (hereinafter referred to as “service provider” or “provider”). When the personal information protection operation server 5 receives the request message (disclosure request) of the user's personal information necessary for providing the service from the provider terminal 2, the personal information protection operation server 5 searches the
まず、ユーザは、ユーザ端末1を通信ネットワークに接続した際、ユビキタスサービスを受けるのと引き換えに提示してもよいS−privacyを、当該端末1を用いて個人情報保護運用サーバ5へ登録する。またD−privacyの情報についても、街頭カメラ7や無線タグ6によって取得されセンス情報管理サーバ4に登録される。データベース管理部505はΔtの時間毎にセンス情報管理サーバ4から登録されたD−privacy(ユーザID、属性種別、属性値)の情報を取得してデータベース508に登録する。
First, when the user connects the user terminal 1 to the communication network, the user registers the S-privacy that may be presented in exchange for receiving the ubiquitous service in the personal information protection operation server 5 using the terminal 1. Also, D-privacy information is acquired by the
次に、プロバイダ端末2は、あらかじめ定めた契機において、サービスを利用してくれるユーザがネットワークに接続されているかを検出するために、属性種別と属性値を少なくとも保持する開示要求を個人情報保護運用サーバ5へ送信する。このとき、プロバイダ端末2は、複数の属性種類と属性値のペアを保持した開示要求を送信するようにしてもよい。 Next, in order to detect whether a user who uses the service is connected to the network at a predetermined opportunity, the provider terminal 2 issues a disclosure request that holds at least the attribute type and the attribute value. Send to server 5. At this time, the provider terminal 2 may transmit a disclosure request holding a plurality of attribute type / attribute value pairs.
図4は個人情報保護運用サーバにおける開示要求判定処理のフローを示す図である。
次に、図4より、個人情報保護運用サーバ5が開示要求を受信し(ステップS101)、データベース管理部505がデータベース508から開示要求に含まれる属性種類と属性値のペアに該当する情報があるか否かを検索して確認する(ステップS102)。次に開示可否判定処理部503は、データベース管理部505が該当する開示要求の属性種類と属性値のペアが記録されていることを検出すると、このネットワークに接続されているユーザ端末1の数により、ユーザ総数(データベース208に登録されているユーザIDの数から検出)の中で、開示要求で指定された属性種類と属性値のペアを持つユーザ数を計算する(ステップS103)。
FIG. 4 is a diagram showing a flow of disclosure request determination processing in the personal information protection operation server.
Next, referring to FIG. 4, the personal information protection operation server 5 receives the disclosure request (step S101), and the
次に、開示可否判定処理部503は、属性種類と属性値のペアを持つユーザのユーザ総数に占める割合を計算して、この割合がシステムであらかじめ設定した閾値より多い(以上である)か否かを判定し(ステップS104)、その結果閾値より多い場合には、システムで定めた匿名性の基準を満足しているとみなし、開示要求で指定された属性種類と属性値を保持するユーザIDの各ユーザに対する個人情報であって、ユーザIDを特定することのできない個人情報をプロバイダ端末2へ通知する(ステップS105)。一方、開示可否判定処理部503は、属性種類と属性値のペアを持つユーザのユーザ総数に占める割合を計算した結果、この割合がシステムであらかじめ設定した閾値より少ない場合、システムが指定した匿名性を満足していないとみなし、開示処理部504が該当するユーザがいない旨をプロバイダ端末2へ通知する(ステップS106)。また、ステップS102において開示要求で指定された属性種類と属性値のペアが検出されない場合、開示処理部504は、該当するユーザがいない旨をプロバイダ端末2に通知する(ステップS107)。
Next, the disclosure permission / inhibition
これにより、プロバイダ端末2は、通知された個人情報に基づいて各種サービスを行う。以上の処理により、通信ネットワークに接続しているユーザ端末1とプロバイダ端末2は、個別にend-to-endで公開可能な個人情報の通知をしなくとも、あらかじめ規定した匿名性レベルを確保しながら、通知可能となる。
さらに、ユーザの個人情報登録とは非同期に個人情報を利用できるため、プロバイダまたはユーザといった個人情報利用者の個人情報(特にD−Privacyの情報)に対する利便性が向上する。
Thereby, the provider terminal 2 performs various services based on the notified personal information. Through the above processing, the user terminal 1 and the provider terminal 2 connected to the communication network ensure a predetermined anonymity level without notifying individual information that can be disclosed end-to-end individually. However, notification is possible.
Furthermore, since the personal information can be used asynchronously with the personal information registration of the user, the convenience of the personal information user (particularly D-Privacy information) of the provider or user is improved.
そして、利用料管理部506は、個人情報がプロバイダ端末2へ通知されると、個人情報の提供による対価としての料金を計算する。この計算手法は、例えば、属性種別に対応する料金テーブルなどから料金を読み取って、通知した属性種別分だけ合算して計算するなどの処理により行う。または利用の度に利用料管理部506が料金を計算し、支払処理部507が計算結果の金額を通信ネットワークを介して接続された銀行の決済システム等に送信して、個人情報提供による対価の決済処理を行うようにしても良い。
Then, when the personal information is notified to the provider terminal 2, the usage
図5は個人情報保護運用サーバを利用したサービスの例を示す第1の図である。
個人情報保護運用サーバ5は図5に示すように、個人情報の運用による対価として金銭や商品などの特典を与える特典提供管理部509を備えるようにしても良い。例えば特典提供管理部509は、個人情報として通知した属性種別の数をカウントし、その数が閾値以上であれば、属性種別の数に応じた商品識別番号をデータベース508などから取得し、その商品識別番号についての発送フラグと個人情報を提供したユーザIDとを対応付けてデータベース508に書き込み、これにより後日、商品などの特典がユーザに配送されるよう処理する。これによって、ユーザは、個人情報を提供した対価として、特典という利益を得ることができる。ユーザは、特典の内容によって個人情報の開示範囲が変わる。例えば、我々が実施した調査によると、ユーザは、100円の商品券の特典を得るために最大限開示してもよい個人情報の種類は数種類であるが、1000円の商品券のためであれば、100円の場合の倍以上の個人情報を開示してもよいと考えている。このように、個人情報の開示量には、対価として得られる特典の内容に依存する。なおこの開示可否判定処理部503は、特典毎に、閥値を変え、ユーザにとって有用な特典の場合、閥値を下げることで、プロバイダにより多くの個人情報を開示するようにしてもよい。
FIG. 5 is a first diagram illustrating an example of a service using a personal information protection operation server.
As shown in FIG. 5, the personal information protection operation server 5 may include a privilege
図6は個人情報保護運用サーバを利用したサービスの例を示す第2の図である。
個人情報保護運用サーバ5はアンケート調査およびその結果を公表するサービスを行うようにしてもよい。この処理を行う場合には、図6に示すようにプロバイダ端末2が個人情報を収集するためのアンケートを作成するアンケート作成部201を備える。
プロバイダは、プロバイダ端末2にアンケート作成を指示すると、アンケート作成部201がアンケートを作成する。そして作成されたアンケートは通信ネットワークを介してユーザ端末1へ送信される。このアンケートは例えばウェブページのデータによって配信されるようにしてもよい。ユーザは、ユーザ端末1の表示部に表示されたアンケート画面からアンケート結果を入力し、個人情報保護運用サーバ5へ送信する。個人情報保護運用サーバ5は、回収したアンケートをデータベース508へ登録する。そしてアンケートを回収し終わると、例えば、アンケートに登録されているアンケート結果の属性種別(質問内容)と属性値(回答)ごとに、ユーザが特定されないアンケート結果か否かを上記式(1)〜(3)と閾値とを用いて上記ステップS104と同様に判定する。そして、開示可否判定処理部503は、ユーザが特定されないアンケート項目と回答を抽出し、その結果をプロバイダ端末1に送信する。
FIG. 6 is a second diagram showing an example of a service using a personal information protection operation server.
The personal information protection operation server 5 may perform a questionnaire survey and a service for announcing the result. When performing this process, the provider terminal 2 includes a
When the provider instructs the provider terminal 2 to create a questionnaire, the
図7は個人情報保護運用サーバを利用したサービスの例を示す第3の図である。
個人情報保護運用サーバ5において、ユーザを特定される危険性がある場合、つまり、開示可否判定処理部503の処理において閥値以下ならば個人を特定されやすいと判断し、アンケートに答える際に警告を出す処理を行うようにしても良い。この場合図7で示すように、個人情報保護運用サーバ5が新たに警告処理部510を備える。
まずアンケートの回収があらかじめ定めた分量以上になった場合、事前に開示可否判定処理部503により、ユーザ個人が特定されやすいアンケート項目を抽出する。そして、新たにアンケートに登録しようとするユーザが、個人特定されやすい項目にマーキングを行った場合、警告処理部510が警告情報をユーザ端末1へ送信する処理を行う。これによりユーザは、個人が特定され易いアンケート項目に対して、答えなくてもよくなる。
FIG. 7 is a third diagram illustrating an example of a service using a personal information protection operation server.
In the personal information protection operation server 5, if there is a risk of specifying the user, that is, if it is below the threshold in the processing of the disclosure permission
First, when the collection of questionnaires exceeds a predetermined amount, the disclosure possibility
図8は個人情報保護運用サーバを利用したサービスの例を示す第4の図である。
個人情報保護運用サーバ5が防犯サービスを行うに処理について説明する。この場合、図8で示すようにプロバイダ端末2が防犯上問題がある場合に警告を送信する警告処理部202を備え、また個人情報保護運用サーバ5に、プロバイダからの警告メッセージを受信し、データベース508に登録してあるユーザに警告メールを送信するプロバイダメッセージ管理部511を供えるようにする。
FIG. 8 is a fourth diagram showing an example of a service using a personal information protection operation server.
Processing for the personal information protection operation server 5 to perform a crime prevention service will be described. In this case, as shown in FIG. 8, the provider terminal 2 includes a
ユーザは、不審者や喧嘩などの犯罪に繋がるような出来事に遭遇した場合、遭遇した場所や時間など出来事に関係する情報と通報者の個人に関する情報をユーザ端末1を用いて個人情報保護運用サーバ5に送信する。個人情報保護運用サーバ5は、通報者から通知された個人情報の中で、通報者が特定されやすい個人情報を、上記式(1)〜(3)と閾値とを用いて上記ステップS104と同様に判定する。そして個人情報の中で通報者が特定されやすいと判定された個人情報を削除し、出来事の情報を防犯関連のサービスを行うプロバイダ端末2へ通知する。プロバイダ端末2は、送られてきた出来事情報の内容により、対応に緊急性があると判断した場合、警察のサーバ等にその情報を送信し通報する。そして経過観察の場合、警告処理部202は、個人情報保護運用サーバ5に、ユーザに警告メールを送るよう指示する。個人情報保護運用サーバ5のプロバイダメッセージ管理部511は、データベース508に登録されているユーザ端末1のメールアドレスを読み込んで、当該メールアドレス宛てに警告メッセージのメールを送信する。これにより、ユーザは、従来に通報に比べて、気軽に不審者などの目撃情報の通報ができるようになり、地域の防犯効果が向上する。
When a user encounters an event that leads to a crime such as a suspicious person or a quarrel, the personal information protection operation server uses the user terminal 1 for information related to the event, such as the location and time of encounter, and information about the individual of the whistleblower. Send to 5. The personal information protection operation server 5 uses the above formulas (1) to (3) and the threshold value as personal information that is easy to identify the reporter among the personal information notified from the reporter, as in step S104. Judgment. Then, the personal information determined to easily identify the reporter in the personal information is deleted, and the event information is notified to the provider terminal 2 that provides crime prevention related services. If the provider terminal 2 determines that the response is urgent based on the content of the event information sent, the provider terminal 2 transmits the information to a police server or the like for notification. In the case of follow-up observation, the
図9は個人情報保護運用サーバを利用したサービスの例を示す第5の図である。
個人情報保護運用サーバ5は、ユーザの個人情報の維持管理を料金制として行うようにしてもよい。この場合、図9で示すように、個人情報保護運用サーバ5は、ユーザの個人情報をデータベース508に格納している期間、個人情報を外部に漏洩させることなく管理するための保管料計算部512と、保管料をユーザから徴収する保管料支払処理部513を備える。保管料計算部512はユーザID毎に、期間×単価などにより保管料を算出し、また保管料支払処理部513は算出された保管料を通信ネットワークに接続されている決済システムに送信するなどして、決済処理を行う。これにより、個人情報保護運用サーバ5では、データベース508に登録されているユーザの個人情報に対して高いセキュリティ技術を用いた個人情報管理をすることになる。ユーザは、秘密性の高い個人情報も、個人情報保護運用サーバ5で運用可能となる。
FIG. 9 is a fifth diagram illustrating an example of a service using a personal information protection operation server.
The personal information protection operation server 5 may perform maintenance and management of the user's personal information as a fee system. In this case, as shown in FIG. 9, the personal information protection operation server 5 stores the personal information of the user in the
図10は個人情報保護運用サーバを利用したサービスの例を示す第6の図である。
個人情報保護運用サーバ5は、内部告発サービスの処理を行うようにしても良い。まずプロバイダは、企業もしくは第3者機関から委託された不正監視を行うサービスを実施する。この処理を行う場合、図10に示すように、内部告発による企業不正を監視するプロバイダのプロバイダ端末3に対し、企業Aの不正管理部門や警察に通報するための通報処理部203を備える。
FIG. 10 is a sixth diagram illustrating an example of a service using a personal information protection operation server.
The personal information protection operation server 5 may perform a whistleblower service. First, the provider implements a fraud monitoring service entrusted by a company or a third party organization. When this process is performed, as shown in FIG. 10, a
企業Aの社員であるユーザは、ユーザ端末1を用いて、目撃などして知りえた企業A内の不正行為に関する情報を、通報者であるユーザの個人情報とともに、個人情報保護運用サーバ5に通知する。個人情報保護運用サーバ5のデータベース管理部505は、通知された情報をデータベース508に格納する。次に、開示可否判定処理部503は、通報に受けた個人情報に対応付けられてデータベース508に記録されている個人情報のうち、上記式(1)〜(3)と閾値とを用いて上記ステップS104と同様に、通報者であるユーザを特定するのが困難な個人情報を特定し、開示処理部504が通報者の個人情報として目撃情報とともに、企業の不正監視を行うプロバイダ端末3に通知する。情報提供料は、利用料管理部506と支払処理部507により、提供料金の計算と支払い処理を行う。通知されたプロバイダは、緊急性があれば、通報処理部203が警察などに目撃情報と個人情報を送信することにより通知する。緊急性がなければ、通報処理部203により、企業Aの不正を監視する部門のプロバイダ端末4に、不正行為に対する情報を通知し警告を促す。
これにより、企業Aで働く社員は、通報者が自分であることを知られることなく、社内の不正を暴くことが可能となる。
The user who is an employee of the company A uses the user terminal 1 to notify the personal information protection operation server 5 of the information regarding the illegal activity in the company A which is known by witnessing together with the personal information of the user who is the reporter. To do. The
As a result, the employee working at the company A can uncover fraud in the company without knowing that the whistleblower is himself.
図11は個人情報保護運用サーバを利用したサービスの例を示す第7の図である。
個人情報保護運用サーバ5は、大衆の嗜好や行動にあったmassユーザ向け広告配送サービスを行うようにしても良い。具体的には、待ち合わせ場所などに設置してあるモニタに対して、タイムサービスなどの企業広告を、居合わせたユーザに向けに配信するサービスである。このサービスを行うに当たり、通信ネットワークには、massユーザ向け広告を流す広告用モニタ8が接続される。
FIG. 11 is a seventh diagram illustrating an example of a service using a personal information protection operation server.
The personal information protection operation server 5 may perform an advertisement delivery service for mass users according to the preference and behavior of the masses. Specifically, it is a service for delivering a corporate advertisement such as a time service to a user who is present on a monitor installed at a meeting place. In performing this service, an advertisement monitor 8 that sends advertisements for mass users is connected to the communication network.
待ち合わせ場所に到着したユーザは、ユーザ端末1を用いて、自身のプロフィールと本日の予定など、個人が特定されなければプロバイダからのサービスを受けるために開示してもよい個人情報を個人情報保護運用サーバ5に登録する。個人情報保護運用サーバ5のデータベース管理部505は、受付けたユーザの個人情報をデータベース508へ登録する。次に開示可否判定処理部503は、登録された個人情報を含めて、データベース508に登録されている開示可能な個人情報がどれであるかを上記式(1)〜(3)と閾値とを用いて上記ステップS104と同様に判別する。プロバイダ端末2は、定期的に開示可否判定処理部503に問い合わせをしてもよいし、開示要求情報登録部に、プロバイダが欲する個人情報をあらかじめ登録しておき、欲しい個人情報を持つユーザ数があらかじめ設定した割合より多い場合は、プロバイダに通知するようにしてもよい。
この際、利用料管理部506で利用料を計算し、料金も一緒に通知する。プロバイダが、個人情報保護運用サーバ5からの情報を利用する場合は、支払処理部507を介して、利用料を払う。通知されたプロバイダ端末3は、自身のサービスに興味があるユーザが待ち合わせ場所に一定割合以上いるとみなし、自身のサービス広告を広告用モニタ8に送信する。または、プロバイダメッセージ管理部511が、データベース508に登録されているあるユーザの端末1に広告メールを送信するようにしてもよい。
これにより、待ち合わせ場所にいるユーザが動的に変動しても、ユーザの嗜好や行動にあった的確な広告を配送できる。
The user who has arrived at the meeting place uses the user terminal 1 to protect personal information, such as his profile and today's schedule, which may be disclosed to receive services from the provider if the individual is not specified. Register with server 5. The
At this time, the usage
Thereby, even if the user in the meeting place fluctuates dynamically, it is possible to deliver an accurate advertisement suited to the user's preference and behavior.
また個人情報保護運用サーバ5は、企業のコンサルティングの処理を行うようにしても良い。企業に対する顧客ニーズを把握するために、企業のコンサルティングを行うプロバイダは、プロバイダ端末2を介して、企業のサービス内容に対するアンケートをユーザに実施する。アンケート結果は個人情報保護運用サーバ5に送信される。そして開示可否判定処理部503が、アンケート結果の属性種別(質問内容)と属性値(回答)ごとに、ユーザが特定されることのないアンケート結果の情報か否かを上記式(1)〜(3)と閾値とを用いて上記ステップS104と同様に判定する。そして、開示可否判定処理部503は、ユーザが特定されることないアンケート項目の情報と回答を抽出し、その結果をプロバイダ端末1に送信する。または、内部告発により、企業の実態を把握し、結果は、通報者が識別困難な形式で、企業コンサルティングを行うプロバイダ端末2に通知する。企業コンサルティングを行うプロバイダは、アンケート結果や内部告発の情報を個人情報保護運用サーバ5から受け取る際に、個人情報保護運用サーバ5の利用料管理部506と支払処理部507の処理に基づいて、情報開示料を支払う。また企業コンサルティングを行うプロバイダは、結果を元に、企業Aのコンサルティングを行う。
Further, the personal information protection operation server 5 may perform a company consulting process. In order to grasp the customer needs for the company, the provider that consults the company conducts a questionnaire on the service contents of the company to the user via the provider terminal 2. The questionnaire result is transmitted to the personal information protection operation server 5. Then, the disclosure possibility
本発明により、個人情報の秘匿と運用の両方が実現できる、よって、個々のプロバイダは、個別にユーザから個人情報を収集しなくとも、必要なユーザの個人情報が収集でき、サービス提供ができる。また、プロバイダ個別にユーザの個人情報を管理する必要がなくなるため、個人情報の管理コストを削減することができる。また、プロバイダは、個人情報を管理しないため、仮に個人情報が漏洩したとしても、プロバイダのイメージダウンを避けることができる。個人を特定されることなくユーザの行動に追従した広告配送サービスや、ユーザの防犯に対する協力体制の確保、内部告発による企業の犯罪防止効果を高めることが可能となる。 According to the present invention, both concealment and operation of personal information can be realized. Therefore, each provider can collect necessary personal information and provide a service without individually collecting personal information from the user. Moreover, since it is not necessary to manage the personal information of the user for each provider, the management cost of the personal information can be reduced. Further, since the provider does not manage personal information, even if personal information is leaked, the provider's image can be avoided. It becomes possible to increase the crime prevention effect of the company by the advertisement delivery service that follows the user's action without specifying the individual, the securing of the cooperation system for the user's crime prevention, and the whistle-blowing.
なお上述の各サーバや端末など内部に、コンピュータシステムを有している。そして、上述した処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。 Each of the above-described servers and terminals has a computer system. The process described above is stored in a computer-readable recording medium in the form of a program, and the above process is performed by the computer reading and executing this program. Here, the computer-readable recording medium means a magnetic disk, a magneto-optical disk, a CD-ROM, a DVD-ROM, a semiconductor memory, or the like. Alternatively, the computer program may be distributed to the computer via a communication line, and the computer that has received the distribution may execute the program.
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。 The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.
1・・・ユーザ端末
2・・・プロバイダ端末
3・・・認証・鍵管理サーバ
4・・・センス情報管理サーバ
5・・・個人情報保護運用サーバ
6・・・無線タグ
7・・・街頭カメラ
8・・・広告用モニタ
DESCRIPTION OF SYMBOLS 1 ... User terminal 2 ... Provider terminal 3 ... Authentication and key management server 4 ... Sense information management server 5 ... Personal information
Claims (7)
前記ユーザ端末は、
自身の個人情報を前記個人情報保護運用装置に登録する個人情報登録手段を備え、
前記プロバイダ端末は、
サービス提供に必要なユーザの個人情報の開示要求を前記個人情報保護運用装置に送信する開示要求手段を備え、
前記個人情報保護運用装置は、
ユーザの個人情報を格納するデータベースと、
前記開示要求に含まれる個人情報が前記データベースに存在するか否かを判定し、存在する場合は前記サービス利用者の特定が困難か否かを予め定めた閾値で判断して、前記閾値以上である場合に、前記開示要求に対応する個人情報を返信する開示可否判定手段と、
前記個人情報の開示の対価となる利用を算出する利用料算出手段と、
前記利用料の決済処理を行う支払処理手段とを備える
ことを特徴とする個人情報保護運用システム。 A personal information protection operation system in which a user terminal of a service user, a provider terminal of a service provider, and a personal information protection operation device that manages the protection and disclosure of personal information of the service user are connected via a communication network. ,
The user terminal is
Comprising personal information registration means for registering own personal information in the personal information protection operation device;
The provider terminal is
A disclosure request means for transmitting a disclosure request for personal information of a user necessary for providing a service to the personal information protection operation device;
The personal information protection operation device
A database for storing user personal information;
It is determined whether or not the personal information included in the disclosure request exists in the database, and if there is, it is determined whether or not it is difficult to identify the service user by a predetermined threshold, In a case where there is a disclosure permission determination means for returning personal information corresponding to the disclosure request,
Usage fee calculating means for calculating usage as a consideration for disclosure of the personal information;
A personal information protection operation system comprising: a payment processing means for performing a settlement process for the usage fee.
個人情報の提供としての対価としての特典を管理する特典提供管理手段を備え、
当該特典提供管理手段は、
前記個人情報の開示の対価として前記サービス利用者に提供する特典に関する情報をデータベースから読み込んで、その特典の情報を前記サービス利用者に供与すると特典と決定する
ことを特徴とする請求項1に記載の個人情報保護運用システム。 The personal information protection operation device
A privilege provision management means for managing benefits as consideration for providing personal information,
The privilege provision management means
The information regarding the privilege provided to the service user as a consideration for the disclosure of the personal information is read from a database, and the privilege information is determined to be provided to the service user. Personal information protection operation system.
サービス利用者が個人情報を安全に保管するための保管料を計算する保管料計算手段と、
サービス利用者の個人情報保管料の支払処理を行う保管料支払手段と、
を備えることを特徴とする請求項1または請求項2に記載の個人情報保護運用システム。 The personal information protection operation device
A storage fee calculation means for calculating a storage fee for the service user to securely store personal information;
A storage fee payment method for processing payment of personal information storage fee of the service user,
The personal information protection operation system according to claim 1, further comprising:
アンケート情報に登録されたアンケートの項目と回答との対応関係と、前記データベースにおける予め定められた閾値とに基づいて、前記データベースに登録されているユーザを特定することのないアンケート項目と回答との対応関係を抽出し、前記プロバイダ端末へ送信する
ことを特徴とする請求項1から請求項3に記載の個人情報保護運用システム。 Disclosure permission determination means of the personal information protection operation device,
Based on the correspondence between the questionnaire items registered in the questionnaire information and the responses, and the predetermined threshold in the database, the questionnaire items and the responses that do not specify the user registered in the database The personal information protection operation system according to any one of claims 1 to 3, wherein a correspondence relationship is extracted and transmitted to the provider terminal.
前記データベースに登録されているユーザが特定できるアンケート項目への入力を検出した場合には、前記ユーザ端末へ警告情報を送信する警告手段
を備えることを特徴とする請求項4に記載の個人情報保護運用システム。 The personal information protection operation device
The personal information protection according to claim 4, further comprising: warning means for transmitting warning information to the user terminal when an input to a questionnaire item that can be identified by a user registered in the database is detected. Operational system.
前記ユーザ端末より受信した複数の個人情報について、前記データベースに存在するか否かを判定し、存在する場合は前記サービス利用者の特定が困難か否かを予め定めた閾値で判断して、前記閾値以上である場合に、当該閾値以上の個人情報を転送する
ことを特徴とする請求項1に記載の個人情報保護運用システム。 The disclosure permission determination means includes:
For a plurality of personal information received from the user terminal, determine whether it exists in the database, and if it exists, determine whether it is difficult to specify the service user by a predetermined threshold, The personal information protection operation system according to claim 1, wherein personal information that is equal to or greater than the threshold is transferred when the threshold is equal to or greater than the threshold.
前記ユーザ端末が、自身の個人情報を前記個人情報保護運用装置に登録し、
前記プロバイダ端末が、サービス提供に必要なユーザの個人情報の開示要求を前記個人情報保護運用装置に送信し、
前記個人情報保護運用装置が、ユーザの個人情報をデータベースに格納し、
前記個人情報保護運用装置が、前記開示要求に含まれる個人情報が前記データベースに存在するか否かを判定し、存在する場合は前記サービス利用者の特定が困難か否かを予め定めた閾値で判断して、前記閾値以上である場合に、前記開示要求に対応する個人情報を返信し、
前記個人情報保護運用装置が、前記個人情報の開示の対価となる利用を算出し、
前記個人情報保護運用装置が、前記利用料の決済処理を行う
ことを特徴とする個人情報保護運用方法。
Personal information in a personal information protection operation system in which a user terminal of a service user, a provider terminal of a service provider, and a personal information protection operation device that manages the protection and disclosure of personal information of the service user are connected via a communication network A protection operation method,
The user terminal registers its own personal information in the personal information protection operation device,
The provider terminal transmits a request for disclosure of personal information of a user necessary for service provision to the personal information protection operation device,
The personal information protection operation device stores user personal information in a database,
The personal information protection operation device determines whether the personal information included in the disclosure request exists in the database, and if it exists, determines whether it is difficult to identify the service user with a predetermined threshold. Judgment, if it is greater than or equal to the threshold, return personal information corresponding to the disclosure request,
The personal information protection operation device calculates usage that is a consideration for the disclosure of the personal information,
The personal information protection operation method, wherein the personal information protection operation device performs a settlement process of the usage fee.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005178003A JP2006350813A (en) | 2005-06-17 | 2005-06-17 | Personal information protection management system and method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005178003A JP2006350813A (en) | 2005-06-17 | 2005-06-17 | Personal information protection management system and method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006350813A true JP2006350813A (en) | 2006-12-28 |
Family
ID=37646564
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005178003A Pending JP2006350813A (en) | 2005-06-17 | 2005-06-17 | Personal information protection management system and method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006350813A (en) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4566270B1 (en) * | 2009-07-31 | 2010-10-20 | 東屋株式会社 | Information collection system |
| JP2012133451A (en) * | 2010-12-20 | 2012-07-12 | Kddi R & D Laboratories Inc | Importance determination system, data importance determination method and program |
| JP2013512525A (en) * | 2009-12-18 | 2013-04-11 | インテル コーポレイション | Techniques for providing context to service providers using incentives and user-managed privacy |
| KR101259579B1 (en) | 2012-11-08 | 2013-04-30 | (주)유와이즈원 | System and method of opertating information security task |
| JP2014127037A (en) * | 2012-12-26 | 2014-07-07 | Fujitsu Ltd | Information processing program, information processing method, and apparatus |
| JP2014174824A (en) * | 2013-03-11 | 2014-09-22 | Japan Research Institute Ltd | Privilege offer server, privilege offer system, privilege offer method and program thereof |
| JP2015022543A (en) * | 2013-07-19 | 2015-02-02 | Spサービス株式会社 | Internal report web management system |
| JP5979132B2 (en) * | 2011-03-24 | 2016-08-24 | 日本電気株式会社 | Information monitoring apparatus and information monitoring method |
| JP2016154011A (en) * | 2016-02-29 | 2016-08-25 | ヤフー株式会社 | Information transaction device, information transaction method, and information transaction program |
| US9984400B2 (en) | 2013-11-26 | 2018-05-29 | Yahoo Japan Corporation | Network apparatus and method for control of an electronic data exchange between provider terminal and user terminal based on factor information |
| US10082574B2 (en) | 2011-08-25 | 2018-09-25 | Intel Corporation | System, method and computer program product for human presence detection based on audio |
| KR20190050691A (en) * | 2017-11-03 | 2019-05-13 | 한국전자통신연구원 | Total periodic non-identification management apparatus and method |
| WO2020115863A1 (en) * | 2018-12-06 | 2020-06-11 | 本田技研工業株式会社 | Data disclosure device, data disclosure method, and program |
| JP2020154481A (en) * | 2019-03-18 | 2020-09-24 | Necソリューションイノベータ株式会社 | Anonymization level determination device, anonymization level determination method and program |
| WO2020230290A1 (en) * | 2019-05-15 | 2020-11-19 | 三菱電機株式会社 | Information processing device, information processing system, program, and information processing method |
| JP2022055940A (en) * | 2020-09-29 | 2022-04-08 | 楽天グループ株式会社 | Payment system, information providing method, and program |
-
2005
- 2005-06-17 JP JP2005178003A patent/JP2006350813A/en active Pending
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011013740A1 (en) * | 2009-07-31 | 2011-02-03 | 東屋株式会社 | Information collection system |
| JP2014063203A (en) * | 2009-07-31 | 2014-04-10 | Higashiya Co Ltd | Information collection system |
| JP4566270B1 (en) * | 2009-07-31 | 2010-10-20 | 東屋株式会社 | Information collection system |
| JP2013512525A (en) * | 2009-12-18 | 2013-04-11 | インテル コーポレイション | Techniques for providing context to service providers using incentives and user-managed privacy |
| JP2012133451A (en) * | 2010-12-20 | 2012-07-12 | Kddi R & D Laboratories Inc | Importance determination system, data importance determination method and program |
| JP5979132B2 (en) * | 2011-03-24 | 2016-08-24 | 日本電気株式会社 | Information monitoring apparatus and information monitoring method |
| US10082574B2 (en) | 2011-08-25 | 2018-09-25 | Intel Corporation | System, method and computer program product for human presence detection based on audio |
| KR101259579B1 (en) | 2012-11-08 | 2013-04-30 | (주)유와이즈원 | System and method of opertating information security task |
| JP2014127037A (en) * | 2012-12-26 | 2014-07-07 | Fujitsu Ltd | Information processing program, information processing method, and apparatus |
| JP2014174824A (en) * | 2013-03-11 | 2014-09-22 | Japan Research Institute Ltd | Privilege offer server, privilege offer system, privilege offer method and program thereof |
| JP2015022543A (en) * | 2013-07-19 | 2015-02-02 | Spサービス株式会社 | Internal report web management system |
| US9984400B2 (en) | 2013-11-26 | 2018-05-29 | Yahoo Japan Corporation | Network apparatus and method for control of an electronic data exchange between provider terminal and user terminal based on factor information |
| JP2016154011A (en) * | 2016-02-29 | 2016-08-25 | ヤフー株式会社 | Information transaction device, information transaction method, and information transaction program |
| KR20190050691A (en) * | 2017-11-03 | 2019-05-13 | 한국전자통신연구원 | Total periodic non-identification management apparatus and method |
| KR102490529B1 (en) * | 2017-11-03 | 2023-01-20 | 한국전자통신연구원 | Total periodic non-identification management apparatus and method |
| JPWO2020115863A1 (en) * | 2018-12-06 | 2021-09-30 | 本田技研工業株式会社 | Data Disclosure Device, Data Disclosure Method, and Program |
| JP7187576B2 (en) | 2018-12-06 | 2022-12-12 | 本田技研工業株式会社 | Data disclosure device, data disclosure method, and program |
| WO2020115863A1 (en) * | 2018-12-06 | 2020-06-11 | 本田技研工業株式会社 | Data disclosure device, data disclosure method, and program |
| JP2020154481A (en) * | 2019-03-18 | 2020-09-24 | Necソリューションイノベータ株式会社 | Anonymization level determination device, anonymization level determination method and program |
| JP7226782B2 (en) | 2019-03-18 | 2023-02-21 | Necソリューションイノベータ株式会社 | Anonymization level determination device, anonymization level determination method and program |
| WO2020230290A1 (en) * | 2019-05-15 | 2020-11-19 | 三菱電機株式会社 | Information processing device, information processing system, program, and information processing method |
| JPWO2020230290A1 (en) * | 2019-05-15 | 2021-10-28 | 三菱電機株式会社 | Information processing equipment, information processing system, program and information processing method |
| JP7203963B2 (en) | 2019-05-15 | 2023-01-13 | 三菱電機株式会社 | Information processing device, information processing system, program and information processing method |
| JP2022055940A (en) * | 2020-09-29 | 2022-04-08 | 楽天グループ株式会社 | Payment system, information providing method, and program |
| JP7093388B2 (en) | 2020-09-29 | 2022-06-29 | 楽天グループ株式会社 | Payment systems, information provision methods, and programs |
| TWI811698B (en) * | 2020-09-29 | 2023-08-11 | 日商樂天集團股份有限公司 | Payment system, information provision method and program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2006350813A (en) | Personal information protection management system and method | |
| Duckham et al. | Location privacy and location-aware computing | |
| US8280359B2 (en) | Methods of authorizing actions | |
| US8775323B2 (en) | Method and system for providing user tailored service using social network service | |
| US11710132B2 (en) | User controlled event record system | |
| Goldfarb et al. | Why managing consumer privacy can be an opportunity | |
| WO2008141307A1 (en) | System and method for providing services via a network in an emergency context | |
| WO2014052006A2 (en) | Selecting anonymous users based on user location history | |
| JP2009020668A (en) | Sample distribution system, sample distribution device, sample distribution information server, sample distribution method and sample distribution information processing program | |
| EP3120313A1 (en) | System and method for identifying user habits | |
| CN102246195A (en) | Information management support method, management information visualization device, information management system, and management information visualization method | |
| JP5982533B1 (en) | Advertisement distribution device | |
| JP4417132B2 (en) | Privacy information management server, method and program | |
| Prince | Location as health | |
| JP2004362045A (en) | Group identification system, server device, program, recording medium and group identification method | |
| KR101719198B1 (en) | Method for managing personal information and payment information in user terminal or device and recommendation system using the same | |
| JP6214167B2 (en) | Information processing system, information processing method, and information processing program | |
| JP2009252060A (en) | Electronic content distribution system, electronic content distribution method and electronic content distribution program | |
| JP2007094819A (en) | Information distribution system, method, device and program | |
| US20140359784A1 (en) | Method of Anonymising an Interaction Between Devices | |
| Fujinami et al. | " Take me with you!" a case study of context-aware application integrating cyber and physical spaces | |
| Geiger | A Framework for Digital Signage Privacy | |
| Jaeckel | Cell Phone Location Tracking: Reforming the Standard to Reflect Modern Privacy Expectations | |
| JP3649723B2 (en) | E-mail delivery system, method and program | |
| Tan et al. | Designs of privacy protection in location-aware mobile social networking applications |