JP2008011360A - Personal information management system, personal information management server and personal information management program - Google Patents
Personal information management system, personal information management server and personal information management program Download PDFInfo
- Publication number
- JP2008011360A JP2008011360A JP2006181611A JP2006181611A JP2008011360A JP 2008011360 A JP2008011360 A JP 2008011360A JP 2006181611 A JP2006181611 A JP 2006181611A JP 2006181611 A JP2006181611 A JP 2006181611A JP 2008011360 A JP2008011360 A JP 2008011360A
- Authority
- JP
- Japan
- Prior art keywords
- personal information
- client terminal
- capsule
- file
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、特定の個人を識別可能な個人情報を、その特定の個人に関する複数の個人情報要素からなるデータセット(個人情報カプセル)として管理し、その個人情報カプセルから各利用者に応じた内容を取り出して各利用者に利用させる、個人情報の提供サービスを実現するための技術に関する。 The present invention manages personal information capable of identifying a specific individual as a data set (personal information capsule) composed of a plurality of personal information elements related to the specific individual, and the contents corresponding to each user from the personal information capsule It is related with the technique for implement | achieving the provision service of a personal information which takes out and uses for each user.
例えば、下記特許文献1には、携帯電話などのモバイル端末やパーソナルコンピュータへの電話や電子メール送信者の個人情報を、ネットワークを介して管理する技術が開示されている。この特許文献1に開示された技術において、利用者は、発信端末からネットワークを使用し、氏名,住所,電話番号,メールアドレス,写真等の個人情報を個人情報管理サーバに登録しておき、発信端末から着信端末に電話や電子メールを送信する際に個人情報通知許可が設定してある場合、電話や電子メールを受信した着信端末から個人情報取得操作を行なうことにより、サーバで電話番号,メールアドレスを索引として発信者の個人情報が検索され、検索された個人情報がサーバから着信端末に送信されるようになっている。
ところで、上記特許文献1に開示された技術のごとく個人情報を利用者に提供するシステムでは、個人情報取得操作を行なった利用者に対し、個人情報管理サーバに登録されている個人情報がそのまま送信・提供されることになる。 By the way, in the system that provides personal information to the user as in the technique disclosed in Patent Document 1, the personal information registered in the personal information management server is transmitted as it is to the user who performed the personal information acquisition operation.・ It will be provided.
個人情報の保護の意識が高まり個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することが望まれている昨今、上述のように個人情報取得操作を行なった全ての利用者に対し一律同じ内容の個人情報を送信・提供するのではなく、利用者に応じた内容の個人情報のみを送信・提供できるようにして、利用者にとって不必要と思われる内容(個人情報要素)までもが不用意に送信されるのを防止することが望まれている。 There is a growing awareness of the protection of personal information, and it has been desired to reliably prevent inadvertent leakage and leakage of personal information and unauthorized use of personal information. Rather than sending / providing personal information with the same content to the user, it is possible to send / provide only personal information according to the user's content. It is desired to prevent inadvertent transmission of elements).
例えば、企業等において、特定の個人を識別可能な各種個人情報要素を含む個人情報を一元的に管理しながら利用者が特定の個人の個人情報を閲覧・利用する際に、利用者がその特定の個人の上司や管理者である場合には詳細な内容(個人情報要素)を閲覧・利用可能にする一方で、利用者が同僚や部下である場合には個人情報の一部のみを閲覧・利用可能にするといったように、利用者に応じた内容の個人情報要素のみを利用者に提供できるようにしたシステムの構築が望まれている。 For example, when a user browses and uses personal information of a specific individual while managing personal information including various personal information elements that can identify a specific individual in a company, etc. If you are a personal supervisor or administrator, you can view and use detailed contents (personal information elements), while if you are a colleague or subordinate, you can view and view only a part of your personal information. It is desired to construct a system that can provide a user with only personal information elements having contents corresponding to the user, such as making it usable.
また、ドキュメント等の電子ファイルを取り扱う利用者端末(PC)は、どこへでも持ち運ぶことが可能であり、もちろん、輸出規制対象国〔例えばキャッチオール規制の対象とならないホワイト国(2006年5月現在で26カ国)以外の国〕や、利用者の所属する企業が許可しない国/地域に持ち込むことも可能である。そのような国や地域で、輸出規制対象の技術等に関連する技術者の個人情報ファイルを開いて閲覧したりすることは、輸出規制対象の技術等が輸出規制対象国や地域で流出する機会を生じさせることになるため好ましくない。従って、予め規定された国や地域において、特定の個人情報ファイルの開封を禁止できるようにすることが望まれている。 In addition, user terminals (PCs) that handle electronic files such as documents can be carried anywhere. Of course, countries subject to export control [for example, white countries not subject to catch-all regulations (as of May 2006) It is also possible to bring it into countries / regions other than 26 countries) or countries / regions that are not permitted by the company to which the user belongs. In such countries and regions, opening and browsing the personal information files of engineers related to technologies subject to export control, etc. is an opportunity for the export of technology subject to export control in countries and regions subject to export control. This is not preferable because it will cause Therefore, it is desired to be able to prohibit the opening of a specific personal information file in a pre-defined country or region.
また、以上の個人情報を管理するシステムにおいては、唯一無二の電子ファイルが生成されて保存されている必要があり、スキャナで文字を取り込む際に生じた誤字、あるいは、キー入力の際の入力や仮名漢字変換の誤り、例えば、「山田一郎」と「山田一朗」のような間違いによって、別個の電子ファイルが生じてしまうことは絶対に避けなければならない。 Also, in the system that manages the above personal information, it is necessary that a unique electronic file is generated and stored, which is a typographical error that occurs when a character is read by a scanner, or an input at the time of key input. It is absolutely necessary to avoid the occurrence of separate electronic files due to mistakes in kana-kanji conversion, such as “Ichiro Yamada” and “Ichiro Yamada”.
同様に、同じ読みであっても新字体と旧字体との違いのように、「広瀬和夫」と「廣瀬和夫」のような異なる文字が使用されることで、本来は同一の電子ファイルが別個に発生する事態も避けなければならない。 Similarly, even if the same reading is used, different characters such as “Kazuo Hirose” and “Kazuo Hirose” are used, as in the difference between the new font and the old font. You must also avoid the situation that occurs.
本発明は、このような状況に鑑み創案されたもので、特定の個人についての個人情報を利用する利用者に対し、その利用者あるいは利用者所在地に適した内容の個人情報要素のみを提供できるようにして、利用者にとって不必要と思われる内容が不用意に送信されるのを防止し、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止し、個人情報の保護を実現することを目的としている。 The present invention was devised in view of such circumstances, and can provide only a personal information element having contents suitable for the user or the user location to a user who uses personal information about a specific individual. In this way, content that seems unnecessary to users is prevented from being inadvertently transmitted, personal information is inadvertently leaked and leaked, and personal information is illegally used. Its purpose is to realize protection.
また、以上のような状況に鑑み創案されたもので、特定の個人についての個人情報を生成し、利用する利用者に対し、正確な個人情報要素のみを生成し提供できるようにして、個人情報の不用意な生成・流出・漏洩や個人情報の不正利用などを確実に防止し、個人情報の保護を実現することを目的としている。 In addition, it was created in view of the situation as described above, and it generates personal information about a specific individual, so that only accurate personal information elements can be generated and provided to the user. The purpose is to prevent personal information from being accidentally generated, leaked, leaked, or illegally used.
上記目的を達成するための本発明は、以下に列記するように構成されている。
(1)請求項1記載の発明は、特定の個人を識別可能な個人情報を、前記特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する管理サーバと、前記管理サーバと相互に通信可能に接続され、前記個人情報カプセルにアクセスして前記個人情報カプセル内の個人情報要素を利用しうるクライアント端末とを備えた個人情報管理システムであって、前記管理サーバが、前記個人情報カプセルを生成する生成手段と、前記生成手段によって生成された個人情報カプセルを保存する保存手段と、前記保存手段に保存された前記個人情報カプセルに前記クライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段と、前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段と、前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段と、前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段と、前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段と、前記個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の前記クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、前記暗号化ファイルを前記個人情報ファイルとして前記個人情報ファイル送信手段に送信させる暗号化手段と、前記クライアント端末から前記暗号化ファイルについての認証情報を受信する認証情報受信手段と、前記認証情報受信手段によって受信された前記認証情報に基づいて、前記クライアント端末が前記暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段と、前記暗号化ファイルを復号化するための復号鍵を保存する復号鍵保存手段と、前記判定手段によって前記クライアント端末が正当な送信先であると判定された場合に前記復号鍵を前記クライアント端末に送信する復号鍵送信手段とを備えて構成され、前記クライアント端末が、前記個人情報カプセルに対するアクセス要求を前記管理サーバに送信するアクセス要求送信手段と、前記管理サーバから前記アクセス要求に応じた前記個人情報ファイルを受信する個人情報ファイル受信手段と、前記個人情報ファイル受信手段によって受信された前記個人情報ファイルである暗号化ファイルを開く場合に、前記暗号化ファイルについての認証情報を前記管理サーバに送信する認証情報送信手段と、前記暗号化ファイルに応じた復号鍵を前記管理サーバから受信する復号鍵受信手段と、前記復号鍵受信手段によって受信された前記復号鍵を用いて前記暗号化ファイルを復号化し元の個人情報ファイルを復元する復号化手段とを備えて構成され、前記復号鍵保存手段は、前記個人情報カプセルの内容が変更された場合に、前記無効化手段からの無効化指令を受けて前記復号鍵を変更することにより、前記クライアント端末側での前記個人情報ファイルの復号化を不能にする、ことを特徴とする個人情報管理システムである。
In order to achieve the above object, the present invention is configured as listed below.
(1) The invention according to claim 1 is a management server that manages personal information capable of identifying a specific individual as a data set (hereinafter referred to as a personal information capsule) composed of a plurality of personal information elements related to the specific individual. A personal information management system comprising: a client terminal connected to the management server so as to communicate with each other and capable of accessing the personal information capsule and using a personal information element in the personal information capsule; A server may access the personal information capsule generated by the generation unit, a storage unit that stores the personal information capsule generated by the generation unit, and the personal information capsule stored in the storage unit from the client terminal. Filter setting means for setting a filter for defining a personal information element that can be used by the user for each user; An access request receiving means for receiving an access request for the personal information capsule from the user through the client terminal, and the filter setting for the user who has transmitted the access request when the access request is received by the access request receiving means. Filtering means for extracting personal information elements available to the user from the personal information capsule by performing filtering processing of the personal information elements in the personal information capsule using the filter set by the means; Personal information file transmitting means for transmitting the personal information element extracted from the personal information capsule by the filtering means to the client terminal as a personal information file; and changing means for changing the content of the personal information capsule stored in the storage means When the content of the personal information capsule is changed by the changing means, the invalidation for invalidating the personal information file extracted from the changed personal information capsule and transmitted to the client terminal before the change And a digital signature for the personal information capsule generated by the generating means, the personal information capsule changed by the changing means, or the personal information file obtained by the filtering means A digital signature assigning means; a personal information searching means for searching for personal information from the data in the client terminal; and a personal signature searched by the personal information searching means with a digital signature by the digital signature giving means The client who holds the personal information A user of a remote terminal wants to register the personal information as a management target of the management server, and registers and stores the personal information as a personal information capsule in the storage unit;
The personal information searched by the personal information searching means is not given a digital signature by the digital signature giving means, and a user of a client terminal holding the personal information receives the personal information from the management server If it is not desired to register as a management target, the deletion means for deleting the personal information from the client terminal and the personal information file transmitted by the personal information file transmission means in accordance with the client terminal of the transmission destination Encryption using an encryption key to create an encrypted file, and sending the encrypted file as the personal information file to the personal information file transmitting means; and from the client terminal about the encrypted file An authentication information receiving means for receiving authentication information, and the authentication information receiving means. Based on the received authentication information, a determination means for determining whether or not the client terminal is a valid destination of the encrypted file, and a decryption key for decrypting the encrypted file are stored And a decryption key transmission unit configured to transmit the decryption key to the client terminal when the determination unit determines that the client terminal is a valid transmission destination. An access request transmitting means for transmitting an access request for the personal information capsule to the management server; a personal information file receiving means for receiving the personal information file corresponding to the access request from the management server; and the personal information When opening an encrypted file that is the personal information file received by the file receiving means, Authentication information transmitting means for transmitting authentication information about the encrypted file to the management server, decryption key receiving means for receiving a decryption key corresponding to the encrypted file from the management server, and reception by the decryption key receiving means And decrypting means that decrypts the encrypted file using the decrypted key and restores the original personal information file, and the decrypting key storage means has the contents of the personal information capsule changed In this case, the personal information management is characterized in that the personal information file cannot be decrypted on the client terminal side by changing the decryption key in response to the invalidation command from the invalidation means. System.
(2)請求項2記載の発明は、前記クライアント端末が、該クライアント端末において前記個人情報ファイルを開封する際に、当該個人情報ファイルの開封要求としての復号鍵送信要求を前記管理サーバに送信する開封要求送信手段を備えて構成されるとともに、前記管理サーバが、前記クライアント端末から前記開封要求としての復号鍵送信要求を受信する開封要求受信手段と、前記開封要求受信手段によって前記開封要求としての復号鍵送信要求を受信した時点における前記クライアント端末の所在位置を検出する位置検出手段と、前記位置検出手段によって検出された前記所在位置が予め定められた所定条件を満たしているか否かを判定する判定手段と、前記判定手段によって前記所在位置が前記所定条件を満たしていると判定された場合に前記クライアント端末での前記個人情報ファイルの開封を許可する一方、前記所在位置が前記所定条件を満たしていないと判定された場合に前記クライアント端末での前記個人情報ファイルの開封を禁止する開封許否手段とをそなえて構成されている、ことを特徴とする請求項1記載の個人情報ファイル管理システムである。
(2) In the invention according to
(3)請求項3記載の発明は、特定の個人を識別可能な個人情報を、前記特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する管理サーバと、前記管理サーバと相互に通信可能に接続され、前記個人情報カプセルにアクセスして前記個人情報カプセル内の個人情報要素を利用しうるクライアント端末とを備えた個人情報管理システムであって、前記管理サーバが、前記個人情報カプセルを生成する生成手段と、前記生成手段によって生成された個人情報カプセルを保存する保存手段と、前記保存手段に保存された前記個人情報カプセルに前記クライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に
対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段と、前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段と、前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段と、前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段と、前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段と、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段と、を備えて構成され、前記生成手段は、前記クライアント端末からの個人情報カプセル生成要求に基づいて新たに生成しようとする個人情報カプセルについて、前記保存手段で保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、類似する個人情報カプセルが既に存在する場合には、クライアント端末に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成する、ことを特徴とする個人情報管理システムである。
(3) The invention described in
(4)請求項4記載の発明は、特定の個人を識別可能な個人情報を、前記特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバであって、前記個人情報カプセルを生成する生成手段と、前記生成手段によって生成された個人情報カプセルを保存する保存手段と、前記保存手段に保存された前記個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段と、前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段と、前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段と、前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段と、前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人
情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段と、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段と、前記個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の前記クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、前記暗号化ファイルを前記個人情報ファイルとして前記個人情報ファイル送信手段に送信させる暗号化手段と、前記クライアント端末から前記暗号化ファイルについての認証情報を受信する認証情報受信手段と、前記認証情報受信手段によって受信された前記認証情報に基づいて、前記クライアント端末が前記暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段と、前記暗号化ファイルを復号化するための復号鍵を保存する復号鍵保存手段と、前記判定手段によって前記クライアント端末が正当な送信先であると判定された場合に前記復号鍵を前記クライアント端末に送信する復号鍵送信手段とを備えて構成され、前記復号鍵保存手段は、前記個人情報カプセルの内容が変更された場合に、前記無効化手段からの無効化指令を受けて前記復号鍵を変更することにより、前記クライアント端末側での前記個人情報ファイルの復号化を不能にする、ことを特徴とする個人情報管理サーバである。
(4) In the invention according to claim 4, personal information management for managing personal information capable of identifying a specific individual as a data set (hereinafter referred to as a personal information capsule) composed of a plurality of personal information elements related to the specific individual. A server for generating the personal information capsule; a storage unit for storing the personal information capsule generated by the generating unit; and accessing the personal information capsule stored in the storage unit from a client terminal. Filter setting means for setting a filter that defines personal information elements available to the user for each possible user, and access request receiving means for receiving an access request for the personal information capsule from the user through the client terminal; When the access request is received by the access request receiving means, the access request is received. By filtering the personal information element in the personal information capsule using the filter set by the filter setting means for the user who transmitted the request, the personal information element usable by the user is Filtering means for extracting from the personal information capsule, personal information file transmitting means for transmitting the personal information element extracted from the personal information capsule by the filtering means to the client terminal as a personal information file, and stored in the storage means A change unit for changing the content of the personal information capsule; and when the content of the personal information capsule is changed by the change unit, the content is extracted from the changed personal information capsule before the change and transmitted to the client terminal Invalidate the personal information file Digital signature is applied to the personal information capsule generated by the effecting means and the personal information capsule generated by the generating means, the personal information capsule changed by the changing means, or the filtering means. A digital signature giving means for giving, a personal information searching means for searching for personal information from the data in the client terminal, and a digital signature by the digital signature giving means to the personal information searched by the personal information searching means If the user of the client terminal that holds the personal information wants to register the personal information as a management target of the management server, the personal information is stored in the storage means as a personal information capsule. The registration / storage means and the personal information exploration means The inspected personal information is not given a digital signature by the digital signature giving means, and the user of the client terminal holding the personal information registers the personal information as a management target of the management server. If this is not desired, the deletion means for deleting the personal information from the client terminal and the personal information file transmitted by the personal information file transmission means are encrypted using the encryption key corresponding to the client terminal of the transmission destination. To create an encrypted file and send the encrypted file as the personal information file to the personal information file transmitting means, and to receive authentication information about the encrypted file from the client terminal An information receiving means based on the authentication information received by the authentication information receiving means; Determining means for determining whether the client terminal is a valid destination of the encrypted file, a decryption key storage means for storing a decryption key for decrypting the encrypted file, A decryption key transmitting unit configured to transmit the decryption key to the client terminal when the determination unit determines that the client terminal is a valid transmission destination, and the decryption key storage unit includes the personal information Disabling the decryption of the personal information file on the client terminal side by changing the decryption key in response to an invalidation command from the invalidation means when the content of the capsule is changed Is a personal information management server characterized by
(5)請求項5記載の発明は、クライアント端末において前記個人情報ファイルが開封される際に、前記クライアント端末から前記開封要求としての復号鍵送信要求を受信する開封要求受信手段と、前記開封要求受信手段によって前記開封要求としての復号鍵送信要求を受信した時点における前記クライアント端末の所在位置を検出する位置検出手段と、前記位置検出手段によって検出された前記所在位置が予め定められた所定条件を満たしているか否かを判定する判定手段と、前記判定手段によって前記所在位置が前記所定条件を満たしていると判定された場合に前記クライアント端末での前記個人情報ファイルの開封を許可する一方、前記所在位置が前記所定条件を満たしていないと判定された場合に前記クライアント端末での前記個人情報ファイルの開封を禁止する開封許否手段とをそなえて構成されている、ことを特徴とする請求項4記載の個人情報ファイル管理サーバである。 (5) The invention according to claim 5 is an opening request receiving means for receiving a decryption key transmission request as the opening request from the client terminal when the personal information file is opened at the client terminal, and the opening request. A position detecting means for detecting the location of the client terminal at the time of receiving the decryption key transmission request as the opening request by the receiving means; and a predetermined condition in which the location detected by the position detecting means is predetermined. A determination unit that determines whether or not the determination is satisfied, and when the determination unit determines that the location satisfies the predetermined condition, while permitting the client terminal to open the personal information file, The individual at the client terminal when it is determined that the location does not satisfy the predetermined condition It is configured to include the opening permission means for inhibiting opening of the broadcast file, it is the personal information file management server according to claim 4, wherein.
(6)請求項6記載の発明は、特定の個人を識別可能な個人情報を、前記特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバであって、前記個人情報カプセルを生成する生成手段と、前記生成手段によって生成された個人情報カプセルを保存する保存手段と、前記保存手段に保存された前記個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段と、前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段と、前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段と、前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段と、前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、前記クライアント
端末におけるデータの中から個人情報を探査する個人情報探査手段と、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段と、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段と、前記生成手段は、前記クライアント端末からの個人情報カプセル生成要求に基づいて新たに生成しようとする個人情報カプセルについて、前記保存手段で保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、類似する個人情報カプセルが既に存在する場合には、クライアント端末に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成する、ことを特徴とする個人情報管理サーバである。
(6) According to the invention described in claim 6, personal information management for managing personal information capable of identifying a specific individual as a data set (hereinafter referred to as a personal information capsule) composed of a plurality of personal information elements related to the specific individual. A server for generating the personal information capsule; a storage unit for storing the personal information capsule generated by the generating unit; and accessing the personal information capsule stored in the storage unit from a client terminal. Filter setting means for setting a filter that defines personal information elements available to the user for each possible user, and access request receiving means for receiving an access request for the personal information capsule from the user through the client terminal; When the access request is received by the access request receiving means, the access request is received. By filtering the personal information element in the personal information capsule using the filter set by the filter setting means for the user who transmitted the request, the personal information element usable by the user is Filtering means for extracting from the personal information capsule, personal information file transmitting means for transmitting the personal information element extracted from the personal information capsule by the filtering means to the client terminal as a personal information file, and stored in the storage means A change unit for changing the content of the personal information capsule; and when the content of the personal information capsule is changed by the change unit, the content is extracted from the changed personal information capsule before the change and transmitted to the client terminal Invalidate the personal information file Digital signature is applied to the personal information capsule generated by the effecting means and the personal information capsule generated by the generating means, the personal information capsule changed by the changing means, or the filtering means. A digital signature giving means for giving, a personal information searching means for searching for personal information from the data in the client terminal, and a digital signature by the digital signature giving means to the personal information searched by the personal information searching means If the user of the client terminal that holds the personal information wants to register the personal information as a management target of the management server, the personal information is stored in the storage means as a personal information capsule. The registration / storage means and the personal information exploration means The inspected personal information is not given a digital signature by the digital signature giving means, and the user of the client terminal holding the personal information registers the personal information as a management target of the management server. If not desired, the deletion means for deleting the personal information from the client terminal, and the generation means, for the personal information capsule to be newly generated based on a personal information capsule generation request from the client terminal, Similarity determination is performed with the existing personal information capsule stored by the storage means to confirm the existence of a similar existing personal information capsule, and if a similar personal information capsule already exists, the client terminal is confirmed. A new personal information capsule is generated when confirmation is obtained. It is a broadcast management server.
(7)請求項7記載の発明は、特定の個人を識別可能な個人情報を、該特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバとしてコンピュータを機能させる個人情報管理プログラムであって、前記個人情報カプセルを生成する生成手段、前記生成手段によって生成された個人情報カプセルを保存する保存手段、前記保存手段に保存された前記個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段、利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段、前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段、前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段、前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段、前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段、前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段、前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段、前記個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の前記クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、前記暗号化ファイルを前記個人情報ファイルとして前記個人情報ファイル送信手段に送信させる暗号化手段、前記クライアント端末から前記暗号化ファイルについての認証情報を受信する認証情報受信手段、前記認証情報受信手段によって受信された前記認証情報に基づいて、前記クライアント端末が前記暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段、および、前記暗
号化ファイルを復号化するための復号鍵を保存するとともに、前記判定手段によって前記クライアント端末が正当な送信先であると判定された場合に前記復号鍵を前記クライアント端末に送信するとともに、前記個人情報カプセルの内容が変更された場合に、前記無効化手段からの無効化指令を受けて前記復号鍵を変更することにより、前記クライアント端末側での前記個人情報ファイルの復号化を不能にする復号鍵保存手段、として該コンピュータを機能させることを特徴とする個人情報管理プログラムである。
(7) The invention according to claim 7 is a personal information management for managing personal information capable of identifying a specific individual as a data set (hereinafter referred to as a personal information capsule) composed of a plurality of personal information elements related to the specific individual. A personal information management program for causing a computer to function as a server, wherein the generating unit generates the personal information capsule, the storing unit stores the personal information capsule generated by the generating unit, and the personal information stored in the storing unit For each user who can access the capsule from the client terminal, a filter setting means for setting a filter that defines personal information elements that can be used by the user, and receiving an access request for the personal information capsule from the user through the client terminal Access request receiving means, by the access request receiving means When the access request is received, the user who has transmitted the access request performs the filtering process of the personal information element in the personal information capsule using the filter set by the filter setting means, thereby Filtering means for extracting a personal information element available to the user from the personal information capsule, and a personal information file transmitting means for transmitting the personal information element extracted from the personal information capsule by the filtering means to the client terminal as a personal information file Change means for changing the content of the personal information capsule stored in the storage means; if the content of the personal information capsule is changed by the change means, extract from the changed personal information capsule before the change Sent to the client terminal The invalidation means for invalidating the personal information file, the personal information capsule generated by the generation means, the personal information capsule changed by the changing means, or the individual obtained by the filtering means Digital signature giving means for giving a digital signature to an information file, personal information searching means for searching personal information from data in the client terminal, and digital signature giving means for personal information searched by the personal information searching means If the client terminal user who holds the personal information does not have a digital signature and wants to register the personal information as a management target of the management server, the personal information Means for registering and storing in the storage means as a capsule; The personal information searched by the personal information searching means is not given the digital signature by the digital signature giving means, and the user of the client terminal holding the personal information stores the personal information in the management server If it is not desired to be registered as a management target, the deletion means for deleting the personal information from the client terminal and the personal information file transmitted by the personal information file transmission means are encrypted according to the client terminal of the transmission destination. Encryption using a key to create an encrypted file, and sending the encrypted file as the personal information file to the personal information file transmitting means; authentication information about the encrypted file from the client terminal Received by the authentication information receiving means. Based on the authentication information, determination means for determining whether or not the client terminal is a valid transmission destination of the encrypted file, and a decryption key for decrypting the encrypted file are stored In addition, when the determination unit determines that the client terminal is a valid destination, the decryption key is transmitted to the client terminal, and when the content of the personal information capsule is changed, the invalidation is performed. The computer is caused to function as decryption key storage means that disables decryption of the personal information file on the client terminal side by changing the decryption key in response to an invalidation instruction from the means. Personal information management program.
(8)請求項8記載の発明は、クライアント端末において前記個人情報ファイルが開封される際に、前記クライアント端末から前記開封要求としての復号鍵送信要求を受信する開封要求受信手段、前記開封要求受信手段によって前記開封要求としての復号鍵送信要求を受信した時点における前記クライアント端末の所在位置を検出する位置検出手段、前記位置検出手段によって検出された前記所在位置が予め定められた所定条件を満たしているか否かを判定する判定手段、前記判定手段によって前記所在位置が前記所定条件を満たしていると判定された場合に前記クライアント端末での前記個人情報ファイルの開封を許可する一方、前記所在位置が前記所定条件を満たしていないと判定された場合に前記クライアント端末での前記個人情報ファイルの開封を禁止する開封許否手段、として該コンピュータを機能させることを特徴とする請求項7記載の個人情報管理プログラムである。 (8) The invention according to claim 8 is an opening request receiving means for receiving a decryption key transmission request as the opening request from the client terminal when the personal information file is opened at the client terminal, and the opening request reception Position detecting means for detecting the location of the client terminal at the time when the decryption key transmission request as the opening request is received by the means, and the location detected by the position detecting means satisfies a predetermined condition. A determination unit that determines whether or not the personal information file is opened at the client terminal when the determination unit determines that the location satisfies the predetermined condition. When it is determined that the predetermined condition is not satisfied, the personal information frame at the client terminal is Opening permission means for inhibiting opening of yl, as a personal information management program according to claim 7, characterized in that the functioning of the said computer.
(9)請求項9記載の発明は、特定の個人を識別可能な個人情報を、該特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバとしてコンピュータを機能させる個人情報管理プログラムであって、前記個人情報カプセルを生成する生成手段、前記生成手段によって生成された個人情報カプセルを保存する保存手段、前記保存手段に保存された前記個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段、利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段、前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段、前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段、前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段、前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段、前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段、前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段、前記クライアント端末からの個人情報カプセル生成要求に基づいて新たに生成しようとする個人情報カプセルについて、前記保存手段で保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、類似する個人情報カプセルが既に存在する場合
には、クライアント端末に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成する手段、として該コンピュータを機能させることを特徴とする個人情報管理プログラムである。
(9) The invention according to claim 9 is a personal information management for managing personal information capable of identifying a specific individual as a data set (hereinafter referred to as a personal information capsule) composed of a plurality of personal information elements related to the specific individual. A personal information management program for causing a computer to function as a server, wherein the generating unit generates the personal information capsule, the storing unit stores the personal information capsule generated by the generating unit, and the personal information stored in the storing unit For each user who can access the capsule from the client terminal, a filter setting means for setting a filter that defines personal information elements that can be used by the user, and receiving an access request for the personal information capsule from the user through the client terminal Access request receiving means, by the access request receiving means When the access request is received, the user who has transmitted the access request performs the filtering process of the personal information element in the personal information capsule using the filter set by the filter setting means, thereby Filtering means for extracting a personal information element available to the user from the personal information capsule, and a personal information file transmitting means for transmitting the personal information element extracted from the personal information capsule by the filtering means to the client terminal as a personal information file Change means for changing the content of the personal information capsule stored in the storage means; if the content of the personal information capsule is changed by the change means, extract from the changed personal information capsule before the change Sent to the client terminal The invalidation means for invalidating the personal information file, the personal information capsule generated by the generation means, the personal information capsule changed by the changing means, or the individual obtained by the filtering means Digital signature giving means for giving a digital signature to an information file, personal information searching means for searching personal information from data in the client terminal, and digital signature giving means for personal information searched by the personal information searching means If the client terminal user who holds the personal information does not have a digital signature and wants to register the personal information as a management target of the management server, the personal information Means for registering and storing in the storage means as a capsule; The personal information searched by the personal information searching means is not given the digital signature by the digital signature giving means, and the user of the client terminal holding the personal information stores the personal information in the management server If it is not desired to register as a management target, the deletion means for deleting the personal information from the client terminal, the personal information capsule to be newly generated based on the personal information capsule generation request from the client terminal, Similarity determination is performed with the existing personal information capsule stored by the storage means to confirm the existence of a similar existing personal information capsule, and if a similar personal information capsule already exists, the client terminal is confirmed. As a means to generate a new personal information capsule when a confirmation is obtained Is a personal information management program for causing a computer to function.
上述した本発明によれば、以下に述べるような効果を得ることができる。
(1)請求項1記載の発明では、個人情報管理サーバ(管理サーバ)において、特定の個人を識別可能な個人情報が、標準化されたデータセットである個人情報カプセルとして一元的に管理される。そして、個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタが設定されており、利用者から個人情報カプセルに対するアクセス要求があると、その利用者に対し設定されたフィルタを用いて個人情報カプセル内の個人情報要素のフィルタリング処理が行なわれ当該利用者の利用可能な個人情報要素が個人情報カプセルから抽出され、抽出された個人情報要素が個人情報ファイルとしてクライアント端末に送信される。これにより、特定の個人についての個人情報を利用する利用者に対し、その利用者に応じた内容の個人情報要素のみを提供することができるので、利用者にとって不必要と思われる内容が不用意に送信されることがなくなり、個人情報の不用意な流出・漏洩や個人情報の不正利用などが確実に防止され、個人情報の保護を実現することができる。
According to the present invention described above, the following effects can be obtained.
(1) In the invention described in claim 1, personal information capable of identifying a specific individual is centrally managed as a personal information capsule which is a standardized data set in a personal information management server (management server). For each user who can access the personal information capsule from the client terminal, a filter that defines the personal information element that can be used by the user is set. The personal information element in the personal information capsule is filtered using the filter set for the user, and the personal information element usable by the user is extracted from the personal information capsule, and the extracted personal information element Is transmitted to the client terminal as a personal information file. This allows users who use personal information about a specific individual to be provided with only the personal information elements of the content according to the user, so content that seems unnecessary for the user is inadvertent The personal information can be prevented from being transmitted unintentionally, and inadvertent leakage / leakage of personal information and unauthorized use of personal information can be reliably prevented, and personal information can be protected.
ここで、個人情報ファイルを管理サーバからクライアント端末に送信する際、個人情報ファイルが、送信先のクライアント端末に応じた暗号鍵を用いて暗号化され、暗号化ファイルとして送信され、管理サーバによって認証される正当な利用者(正当な送信先であるクライアント端末の利用者)のみが暗号化ファイルを復号化してアクセスできるように構成することにより、管理サーバからクライアント端末に送信された個人情報ファイルの内容が不用意に流出・漏洩したり不正利用されたりするのを確実に防止でき、個人情報を確実に保護することができる。 Here, when the personal information file is transmitted from the management server to the client terminal, the personal information file is encrypted using an encryption key corresponding to the destination client terminal, transmitted as an encrypted file, and authenticated by the management server. By configuring the encrypted file so that only authorized users (client terminal users who are valid destinations) can decrypt and access the encrypted information, the personal information file sent from the management server to the client terminal It is possible to reliably prevent the contents from being leaked, leaked or illegally used, and to protect personal information with certainty.
そして、個人情報カプセルの内容が変更された場合に、無効化手段からの無効化指令を受けて復号鍵を変更することにより、クライアント端末側での個人情報ファイルの復号化を不能にすることで個人情報ファイルを無効化する。 When the content of the personal information capsule is changed, the decryption key is changed in response to an invalidation command from the invalidation means, thereby making it impossible to decrypt the personal information file on the client terminal side. Disable personal information file.
すなわち、個人情報管理サーバにおいて、変更を施された個人情報カプセルから変更前に抽出されてクライアント端末に送信された個人情報ファイルを無効化するように構成することにより、個人情報カプセルの内容が変更されると、変更前の個人情報ファイルが無効化され誰も利用できなくなるため、変更前の個人情報ファイルであっても不用意な流出・漏洩や不正利用が確実に防止され、個人情報を確実に保護することができる。 That is, in the personal information management server, the content of the personal information capsule is changed by invalidating the personal information file extracted before the change from the changed personal information capsule and transmitted to the client terminal. If this happens, the personal information file before the change will be invalidated and no one will be able to use it. Can be protected.
(2)請求項2記載の発明では、クライアント端末において利用者が電子ファイルを開封する際に、その個人情報ファイルの開封要求が管理サーバに送信され、この開封要求としての復号鍵送信要求を受けた管理サーバにおいて、個人情報ファイルの開封時におけるクライアント端末の所在位置(所在国)が検出され、検出された所在位置が所定条件〔所定の国(例えばホワイト国)であること〕を満たしているか否かが判定され、クライアント端末での個人情報ファイル開封直前にクライアント端末の所在位置を確認することができる。そして、クライアント端末の所在位置が所定条件(例えば輸出規制対象国内ではない)を満たす場合にのみ個人情報ファイルの開封を許可することにより、個人情報ファイルの内容が、輸出規制対象国や地域などで利用者の知らないうちに流出・漏洩してしまうのを確実に防止することができる。
(2) In the invention described in
ここで、以上のように復号鍵を変更した後、変更後の復号鍵についてのクライアント端末への送信を禁止することにより、個人情報ファイルを無効化している。このため、変更
前の個人情報ファイルの復号化が不能になり、確実に無効化され誰も利用できなくなるため、変更前の個人情報ファイルであっても不用意な流出・漏洩や不正利用が確実に防止され、個人情報を確実に保護することができる。
Here, after changing the decryption key as described above, the personal information file is invalidated by prohibiting transmission of the decryption key after the change to the client terminal. For this reason, it becomes impossible to decrypt the personal information file before the change, and it is securely invalidated so that no one can use it. And personal information can be reliably protected.
なお、変更前の個人情報ファイルを無効化する手段は、例えば、クライアント端末に送信されるべき復号鍵(暗号化ファイルを復号化するための鍵)を変更したり、その復号鍵の送信を禁止したり、送信履歴ログに基づき個人情報ファイルの送信先のクライアント端末に個人情報ファイルの削除指令を送信して個人情報ファイルを削除させたりすることにより、極めて容易に実現することができる。 The means for invalidating the personal information file before the change is, for example, changing the decryption key (key for decrypting the encrypted file) to be transmitted to the client terminal or prohibiting the transmission of the decryption key Or by sending a personal information file deletion command to the client terminal that is the destination of the personal information file based on the transmission history log to delete the personal information file.
また、管理サーバにおいて、クライアント端末からの個人情報カプセルに対するアクセス要求に応じて実行された個人情報ファイルの送信の履歴をログとして記録し、必要に応じてログの記録から削除指令を送信することにより、個人情報カプセルに対するアクセス状況が管理され、必要に応じて個人情報ファイルに対するアクセスを追跡管理可能になり、アクセスを追跡して無効化も可能になるので、個人情報の不正利用をより確実に防止することができる。 In addition, the management server records the history of the transmission of the personal information file executed in response to the access request for the personal information capsule from the client terminal as a log, and transmits a deletion command from the recorded log as necessary. In addition, access status to personal information capsules is managed, access to personal information files can be tracked and managed as needed, and access can be tracked and invalidated, preventing unauthorized use of personal information more reliably. can do.
また、以上のの発明では、管理サーバにおいて新たに生成された個人情報カプセルや変更を施された個人情報カプセルや個人情報ファイルに対しデジタル署名を付与することにより、個人情報カプセルや個人情報ファイルが改竄されていないことを保証することができ、第三者による偽造を防止することができる。その際、クライアント端末におけるデータの中から個人情報を探査し、探査された個人情報にデジタル署名が付与されていない場合には、その個人情報をクライアント端末から削除するように構成することにより、管理サーバでのデジタル署名を付与されていない個人情報は、管理サーバの管理下になく、クライアント端末等のローカルで作成された、正規ではない個人情報と判断され、クライアント端末から自動的に削除される。これにより、本発明のシステム内では、管理サーバによって一元的に管理される個人情報のみが存在して利用されることになり、個人情報を確実に管理して確実に保護することができる。 In the above invention, the personal information capsule or personal information file is created by giving a digital signature to the personal information capsule newly generated or changed in the management server or the personal information file. It can be assured that it has not been tampered with, and counterfeiting by a third party can be prevented. At that time, the personal information is searched from the data in the client terminal, and if the digital information is not attached to the searched personal information, the personal information is deleted from the client terminal. Personal information that is not assigned a digital signature at the server is not under the management of the management server, and is judged to be personal information created locally on the client terminal or the like, and is automatically deleted from the client terminal. . As a result, only the personal information managed centrally by the management server exists and is used in the system of the present invention, and the personal information can be reliably managed and reliably protected.
また、以上の発明では、管理サーバにおいて、個人情報ファイルを、コンテナ機能を有する完成文書ファイルに変換し、そのコンテナ機能を用いて個人情報ファイルのオリジナルファイルを添付した状態で完成文書ファイルを暗号化してから個人情報ファイルとしてクライアント端末に送信することにより、個人情報ファイルが改竄困難な完成文書ファイルとして送信され、個人情報ファイルを改竄されて不正利用されるのを防止しながら、コンテナ機能により添付されたオリジナルファイルを用いて編集等の操作を行なうことも可能になる。 In the above invention, the management server converts the personal information file into a completed document file having a container function, and encrypts the completed document file with the original personal information file attached using the container function. After that, the personal information file is sent to the client terminal as a personal information file, so that the personal information file is sent as a completed document file that is difficult to falsify. It is also possible to perform operations such as editing using the original file.
また、以上の発明では、管理サーバが、暗号化ファイルに対する所定のアクセス権限を、個人情報ファイルの送信先の利用者に応じて設定するようにしており、クライアント端末は、復号化手段によって復元された個人情報ファイルに対するアクセスとして、アクセス権限設定手段によって設定されたアクセス権限に応じたアクセスを許可されるため、オリジナルファイルの取出し権限をアクセス権限として付与された利用者のみが行なえるようになり、そのオリジナルファイルの不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。 In the above invention, the management server sets the predetermined access authority for the encrypted file according to the user to whom the personal information file is transmitted, and the client terminal is restored by the decryption means. As access to the personal information file, access according to the access authority set by the access authority setting means is permitted, so only users who have been granted access authority to retrieve the original file can be performed, It is possible to reliably prevent the original file from being inadvertently leaked or leaked or unauthorized use of personal information.
また、以上の発明では、利用者は、アクセス権限設定手段によって、該完成文書ファイルからオリジナルファイルを取り出す取出し権限と、取り出された前記オリジナルファイルの編集権限とを該所定のアクセス権限として設定されている場合には、クライアント端末において該編集手段によってオリジナルファイルを編集することを許可されるため、オリジナルファイルの取出し権限や編集権限をアクセス権限として付与された利用者のみが
行なえるようになるとともに、そのオリジナルファイルの不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
In the above invention, the user has set, as the predetermined access authority, the access authority setting means, with the access authority setting means, the authority to extract the original file from the completed document file and the authority to edit the extracted original file. If the user terminal is permitted to edit the original file by the editing means at the client terminal, only the user who has been given the access authority to take out and edit the original file can be performed, It is possible to reliably prevent the original file from being inadvertently leaked or leaked or unauthorized use of personal information.
また、以上の発明では、クライアント端末において、編集手段によって編集されたオリジナルファイルが該完成文書ファイル以外に保存されることが禁止されているため、編集等の操作は、オリジナルファイルの取出し権限や編集権限をアクセス権限として付与された利用者のみが行なえるようになるとともに、クライアント端末において編集後のオリジナルファイルは完成文書ファイル以外に保存されるのを禁止することにより、そのオリジナルファイルの不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。 In the above invention, since the original file edited by the editing means is prohibited from being saved other than the completed document file in the client terminal, the editing operation can be performed with the authority to retrieve the original file or the editing. Only users who have been granted access rights as an access right can do this, and the original file after editing is prohibited from being saved in files other than the completed document file on the client terminal. It is possible to reliably prevent spills and leaks and unauthorized use of personal information.
また、以上の発明で、個人情報ファイルを無効化した場合にその旨を管理サーバからクライアント端末に自動的に通知することで、個人情報カプセルに対するアクセス要求の再実行を利用者に促すことができ、その通知を受けた利用者は自分の判断で再度アクセス要求を行なうことにより、変更後の最新の個人情報ファイルを得ることが可能になり、利用者の利便性を向上させることができる。ここで、利用者は、個人情報ファイルが無効化されたことで個人情報ファイルを利用できなくなったことを認識すると、再度アクセス要求を行なって、変更後の最新の個人情報ファイルを得ることが可能になる。 In the above invention, when the personal information file is invalidated, the management server automatically notifies the client terminal to that effect, thereby prompting the user to re-execute the access request for the personal information capsule. The user who has received the notification makes an access request again at his / her discretion, so that the latest personal information file after the change can be obtained, and the convenience of the user can be improved. When the user recognizes that the personal information file can no longer be used because the personal information file has been invalidated, the user can request access again to obtain the latest personal information file after the change. become.
(3)請求項3の発明では、クライアント端末からの個人情報カプセル生成要求に基づ
いて新たに生成しようとする個人情報カプセルについて、保存手段で保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、類似する個人情報カプセルが既に存在する場合には、クライアント端末に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成するようにしているため、スキャナでの読み取りで生じる誤字や、仮名漢字変換における誤り、キー入力時の誤入力などに起因する誤ったデータの電子ファイルが作成されることがなくなり、個人情報を管理するシステムにおいて唯一無二の電子ファイルが生成されて保存されるようになる。
(3) In the invention of
この際、管理サーバからクライアント端末へ、類似する個人情報カプセルが既に存在する場合には、クライアント端末に対する確認要求、クライアント端末に対する類似する個人情報カプセル存在通知と確認要求、類似する個人情報カプセルがクライアント端末に存在する場合におけるクライアント端末に対する類似個人情報カプセルの存在通知、のいずれの手法を用いても良い。そして、クライアント端末に対する確認要求に基づいて、クライアント端末から確認が得られた場合に新たな個人情報カプセルを生成することが望ましい。 At this time, if a similar personal information capsule already exists from the management server to the client terminal, a confirmation request to the client terminal, a similar personal information capsule presence notification and confirmation request to the client terminal, and a similar personal information capsule to the client terminal Any method of notifying the existence of a similar personal information capsule to the client terminal when it exists in the terminal may be used. And based on the confirmation request | requirement with respect to a client terminal, when a confirmation is obtained from a client terminal, it is desirable to produce | generate a new personal information capsule.
以上の(1)〜(3)に対応する個人情報管理サーバによっても、(1)〜(3)の場合と同様に、個人情報ファイルの不用意な流出・漏洩や不正利用が確実に防止され、個人情報を確実に保護することができ、唯一無二の個人情報カプセルの電子ファイルが生成される効果が得られる。 As with the cases (1) to (3), the personal information management server corresponding to the above (1) to (3) can reliably prevent the personal information file from being inadvertently leaked or leaked or illegally used. The personal information can be surely protected, and an electronic file of a unique personal information capsule can be generated.
また、以上の(1)〜(3)に対応する個人情報管理サーバとしてコンピュータを動作させる個人情報管理プログラムによっても、(1)〜(3)の場合と同様に、個人情報ファイルの不用意な流出・漏洩や不正利用が確実に防止され、個人情報を確実に保護することができ、唯一無二の個人情報カプセルの電子ファイルが生成される効果が得られる。 In addition, the personal information management program for operating the computer as a personal information management server corresponding to the above (1) to (3) also causes an inadvertent personal information file to be created, as in the cases (1) to (3). Outflow / leakage and unauthorized use can be reliably prevented, personal information can be reliably protected, and an electronic file of a unique personal information capsule can be generated.
以下、図面を参照して本発明の実施の形態を説明する。
〔1〕本実施形態の個人情報管理システムの構成:
〔1−1〕個人情報管理システムの全体構成:
図2は本発明の一実施形態としての個人情報管理システムの全体概略構成を示すブロック図で、この図2に示す個人情報管理システム1は、個人情報管理サーバ10,クライアント端末20およびネットワーク30を備えて構成されている。また、図1は本発明の一実施形態としての個人情報管理システムの各部の構成を示すブロック図である。
Embodiments of the present invention will be described below with reference to the drawings.
[1] Configuration of personal information management system of this embodiment:
[1-1] Overall configuration of personal information management system:
FIG. 2 is a block diagram showing an overall schematic configuration of a personal information management system as an embodiment of the present invention. The personal information management system 1 shown in FIG. It is prepared for. FIG. 1 is a block diagram showing the configuration of each part of the personal information management system as an embodiment of the present invention.
個人情報管理サーバ(管理サーバ)10は、後述する個人情報カプセルデータベース11および認証情報/復号鍵保存手段12を付設されて構成され、特定の個人を識別可能な個人情報を、その特定の個人に関する複数の個人情報要素からなるデータセットとして管理するものである。本実施形態のシステム1では、複数の個人情報要素からなるデータセットが標準化され個人情報カプセルとして管理され、例えば企業等の社内における一社員に対して一つの個人情報カプセルが生成・保存される。
The personal information management server (management server) 10 is configured with a personal
個人情報カプセルに含まれる個人情報要素としては、例えば、氏名,性別,年齢,生年月日,血液型,自宅情報(自宅の住所,電話番号,FAX番号,メールアドレス等),勤務先情報(勤務先名,所属部署,役職のほか勤務先の住所/電話番号/FAX番号/メールアドレス等),家族構成,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号,通院履歴,病歴,投薬情報,診療履歴のほか、本人に係る画像情報や音声情報などが挙げられる。 The personal information elements included in the personal information capsule include, for example, name, gender, age, date of birth, blood type, home information (home address, telephone number, fax number, e-mail address, etc.), workplace information (work (Name, department, job title, work address / phone number / fax number / email address, etc.), family structure, basic resident register number, account number, credit card number, license number, passport number, hospital history, In addition to medical history, medication information, medical history, image information and audio information related to the person.
クライアント端末20は、企業等の社内において各社員(利用者)によって操作されるパーソナルコンピュータ等であり、インターネット,イントラネット,社内LAN(Local Area Network)等のネットワーク30を介して個人情報管理サーバ10と相互に通信可能に接続され、利用者の操作に応じ、個人情報管理サーバ10によって管理される個人情報カプセルにアクセスして個人情報カプセル内の個人情報要素を利用しうるものである。利用者は、クライアント端末20およびネットワーク30を通じ、個人情報管理サーバ10によって提供される個人情報管理サービスの提供を利用することになり、例えば、自分の個人情報カプセルの生成/変更を行なったり、個人情報管理サーバ10における各社員の個人情報カプセルにアクセスして個人情報要素を取得し個人情報要素を編集して名簿や住所録を作成したりすることができる。
The
〔1−2〕個人情報管理サーバの構成:
この図1に示すように、本実施形態の個人情報管理サーバ10は、上述したように個人情報カプセルデータベース11および認証情報/復号鍵保存手段12を付設されるとともに、後述する各種手段101〜119を備えて構成されている。これらの手段101〜119としての機能は、所定のアプリケーションプログラム(個人情報管理プログラム)を、サーバとして機能すべきコンピュータのCPU(Central Processing Unit)に実行さ
せることによって実現される。
[1-2] Configuration of personal information management server:
As shown in FIG. 1, the personal
個人情報カプセルデータベース(保存手段)11は、後述する生成手段102によって生成された個人情報カプセルを保存するとともに、各個人情報カプセルの利用者に対して後述するフィルタ設定手段103によって設定されたフィルタを、当該個人情報カプセルおよびその利用者に対応付けて保存する機能も果たしている。
The personal information capsule database (storage unit) 11 stores the personal information capsule generated by the
認証情報/復号鍵保存手段12は、本実施形態の個人情報管理サーバ10によるサービスを利用すべく予め登録された利用者の認証情報(識別番号およびパスワード)を保存するとともに、後述する暗号化手段107によって得られた暗号化ファイルを復号化するための復号鍵を保存する機能も果たしている。
The authentication information / decryption
個人情報カプセル生成/変更要求受信手段101は、ネットワーク30を介して、クライアント端末20から個人情報カプセル生成要求や個人情報カプセル変更要求を認証情報
(識別番号およびパスワード)とともに受信したり、個人情報管理サーバ10の入力装置(キーボードやマウス等)を通じて個人情報カプセル生成要求や個人情報カプセル変更要求を認証情報(識別番号およびパスワード)とともに受信したりするものである。その際、個人情報カプセルの内容として保存されるべき複数種類の個人情報要素、あるいは、既に登録されている個人情報カプセルに対する変更の内容も入力され個人情報カプセル生成/変更要求受信手段101によって受信されるものとする。つまり、個人情報要素や変更内容は、各社員(各個人)がクライアント端末20から入力してもよいし、社員の個人情報を管理する企業等における管理者が個人情報管理サーバ10に対して直接入力してもよい。個人情報要素や変更内容の入力は、利用者がキーボードやマウス等の入力装置を操作して行なってもよいし、用紙に印刷もしくは書き込まれた文字情報(名刺や名簿など)や画像情報をスキャナによって読み取ることによって行なってもよい。
The personal information capsule generation / change request receiving means 101 receives a personal information capsule generation request and a personal information capsule change request together with authentication information (identification number and password) from the
また、本実施形態の個人情報カプセル生成/変更要求受信手段101は、利用者によって入力された認証情報(識別番号およびパスワード)に基づいて、その利用者が本個人情報管理サービスの正当な利用者であるか否かの認証判定を行なう認証判定機能も併せもっているものとする。具体的には、利用者によって入力された識別番号およびパスワードが、認証情報/復号鍵保存手段12に予め登録・保存されている識別番号およびパスワードと一致するか否かを判定することにより、その利用者が正当な利用者であるか否かを判定・認証するものである。
Further, the personal information capsule generation / change request receiving means 101 of the present embodiment is based on the authentication information (identification number and password) input by the user, and the user is an authorized user of the personal information management service. It is assumed that an authentication determination function for performing authentication determination as to whether or not is also provided. Specifically, by determining whether or not the identification number and password input by the user match the identification number and password registered and stored in the authentication information / decryption
生成手段102は、個人情報カプセル生成/変更要求受信手段101の認証判定機能により正当な利用者であると判定された場合に、上述のごとく個人毎に入力・受信された複数種類の個人情報要素を含む所定フォーマットのデータセットを個人情報カプセルとして生成するものである。
When the authentication unit function of the personal information capsule generation / change
なお、この生成手段102は、クライアント端末20からの個人情報カプセル生成要求に基づいて新たに生成しようとする個人情報カプセルについて、個人情報カプセルデータベース11に保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、類似する個人情報カプセルが既に存在する場合には、クライアント端末20に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成する機能を有する。
Note that the
フィルタ設定手段103は、個人情報カプセルデータベース11に保存された個人情報カプセルにクライアント端末20からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するものである。ここで、個人情報カプセル毎や個人毎に対して異なるフィルタを設定してもよいし、同一のグループに属する利用者には同一のフィルタを設定してもよい。例えば、画像情報等を含む全ての個人情報を公開するレベルや、画像情報以外の個人情報を公開するレベルや、氏名および連絡先のみを公開するレベルといった、利用者のランク分けを行なうようにフィルタを設定することができる。また、例えば、企業等において、利用者が特定の社員の上司や管理者である場合には詳細な内容(個人情報要素)を閲覧・利用可能にする一方で、利用者が同僚や部下である場合には個人情報の一部のみを閲覧・利用可能にするといったように、フィルタを設定することもできる。
The filter setting means 103 sets a filter that defines personal information elements that can be used by the user for each user who can access the personal information capsule stored in the personal
なお、本実施形態において、フィルタ設定手段103によって設定されたフィルタは、個人情報カプセルデータベース11に保存されるものとする。その際、個人情報カプセル毎や利用者毎に対応付けて、あるいは、利用者のランクや役職に対応付けてフィルタを保存する。また、利用者毎に設定されるフィルタの内容については、個人情報カプセルの生成を要求した利用者本人がクライアント端末20から指示してもよいし、管理者が管理サーバ10で指示してもよいし、予め設定されたフィルタパターンを選択することで指示し
てもよいし、フィルタ設定対象の利用者のランクや役職等を認識しそのランク/役職等に応じて自動的に設定してもよい。
In the present embodiment, the filter set by the
アクセス要求受信手段104は、利用者からクライアント端末20およびネットワーク30を通じて個人情報カプセルに対するアクセス要求を認証情報(識別番号およびパスワード)とともに受信するものである。このアクセス要求受信手段104も、個人情報カプセル生成/変更要求受信手段101と同様、利用者によって入力された認証情報(識別番号およびパスワード)に基づいて、その利用者が本個人情報管理サービスの正当な利用者であるか否かの認証判定を行なう認証判定機能も併せもっているものとする。
The access
フィルタリング手段105は、アクセス要求受信手段104の認証判定機能により正当な利用者であると判定された場合に、アクセス要求対象の個人情報カプセルとその利用者について設定されたフィルタとを個人情報カプセルデータベース11から読み出し、読み出されたフィルタを用いて、読み出された個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を個人情報ファイルとして個人情報カプセルから抽出するものである。
When the authentication determination function of the access
変換手段106は、フィルタリング手段105によって抽出された個人情報ファイルを、コンテナ機能を有する完成文書ファイル〔ここでは、改竄操作の困難なPDF(Portable Document Format)ファイル〕に変換するものである。
The
暗号化手段107は、前記コンテナ機能を用いて当該PDFファイルに当該個人情報ファイルのオリジナルファイルを添付・格納してから、当該PDFファイルを、送信先のクライアント端末20に応じた暗号鍵で暗号化して暗号化ファイルを作成するものである。なお、PDFファイルへの変換は例えばPDFドライバによって行なわれ、このPDFドライバを起動することにより、管理対象ファイルがPDF化され、PDFファイルファイルが生成されるようになっている。
The
また、ここで暗号化のために用いられた暗号鍵に対応する復号鍵〔暗号化ファイルを復号化(平文化)するための鍵〕は、認証情報/復号鍵保存手段12において、利用者もしくは暗号化ファイル(個人情報ファイル)に対応付けられて保存されているものとする。なお、この認証情報/復号鍵保存手段12は、請求項における復号鍵保存手段を構成しており、所定の場合に無効化指令を受けて復号鍵を変更することにより、クライアント端末20側での個人情報ファイルの復号化を不能にする。
Also, the decryption key [the key for decrypting the encrypted file (plain culture)] corresponding to the encryption key used for encryption is stored in the authentication information / decryption key storage means 12 by the user or It is assumed that it is stored in association with an encrypted file (personal information file). The authentication information / decryption key storage means 12 constitutes the decryption key storage means in the claims, and changes the decryption key in response to an invalidation command in a predetermined case, so that the
アクセス権限設定手段108は、暗号化ファイルに対する所定のアクセス権限を、個人情報ファイルの送信先の利用者に応じて設定するものである。このアクセス権限設定手段108により、暗号化ファイルにアクセスする利用者について、暗号化ファイルへのアクセス権限(例えば、閲覧,注釈,印刷,コピーのほか、コンテナ機能により添付されたオリジナルファイルの取出しや、取り出されたファイルの編集などのアクセスの中から選択されたものを実行する権限)の設定が自動的にもしくは利用者(管理者)の指示によって行なわれるものとする。これにより、クライアント端末20において、利用者は、後述するごとく復号化手段226によって復元された個人情報ファイルに対するアクセスとして、アクセス権限設定手段108によって設定されたアクセス権限に応じたアクセスを許可されるようになっている。
The access authority setting means 108 sets a predetermined access authority for the encrypted file according to the user to whom the personal information file is transmitted. With this access authority setting means 108, for users who access the encrypted file, access authority to the encrypted file (for example, viewing, annotation, printing, copying, taking out the original file attached by the container function, It is assumed that the setting of the authority to execute the one selected from access such as editing of the retrieved file is automatically performed or according to the instruction of the user (administrator). As a result, in the
個人情報ファイル送信手段109は、暗号化手段107によって得られた暗号化ファイル(原ファイルはフィルタリング手段105によって個人情報カプセルから抽出された個人情報要素を含む個人情報ファイル)をネットワーク30経由でクライアント端末20に送信するものである。
The personal information
ログ記録手段110は、クライアント端末20からの個人情報カプセルに対するアクセス要求に応じて実行された個人情報ファイルの送信の履歴(送信日時,送信先情報,送信されたファイルを特定するための情報など)をログとして記録するものである。
The log recording means 110 transmits a personal information file transmission history (transmission date and time, transmission destination information, information for specifying a transmitted file, etc.) executed in response to an access request to the personal information capsule from the
認証情報受信手段111は、クライアント端末20において管理サーバ10から送信された暗号化ファイルを利用する際にクライアント端末20から送信されてくる暗号化ファイルについての認証情報(識別番号およびパスワード)を受信するものである。このとき、認証情報受信手段111は、認証情報とともに、暗号化ファイルを復号化するための開封要求としての復号鍵の送信要求もクライアント端末20から受信することになるため、開封要求受信手段を構成している。暗号化ファイルについての認証情報(識別番号およびパスワード)は、暗号化ファイル毎に設定されるものであるため、上述した個人情報カプセル生成/変更要求受信手段101,アクセス要求受信手段104の認証判定機能による利用者認証で必要になる認証情報とは異なるものであり、暗号化ファイルについての認証情報も、認証情報/復号鍵保存手段12に保存されているものとする。
The authentication information receiving unit 111 receives authentication information (identification number and password) about the encrypted file transmitted from the
判定手段112は、上述した個人情報カプセル生成/変更要求受信手段101やアクセス要求受信手段104の認証判定機能と同様の機能を果たすもので、認証情報受信手段111によって受信された認証情報に基づいて、クライアント端末20が暗号化ファイルの正当な送信先であるか否かの判定(クライアント端末20を通じて暗号化ファイルにアクセスする利用者が本個人情報管理サービスの正当な利用者であるか否かの認証判定)を行なうものである。
The determination unit 112 performs the same function as the authentication determination function of the personal information capsule generation / change
復号鍵送信手段113は、判定手段112によってクライアント端末20が正当な送信先であると判定された場合、アクセス要求対象の暗号化ファイルを復号化するための復号鍵を、認証情報/復号鍵保存手段12から読み出し、ネットワーク30経由でクライアント端末20に送信するものである。
When the determination unit 112 determines that the
なお、この復号鍵送信手段113は、判定手段112によって利用者の所在位置が、後述するような所定条件を満たしていると判定された場合にクライアント端末20での個人情報ファイルの開封を許可する一方、所在位置が後述するように所定条件を満たしていないと判定された場合に復号鍵の送信を禁止してクライアント端末20での個人情報ファイルの開封を禁止する開封許否手段をも兼ねている。
The decryption
変更手段114は、個人情報カプセル生成/変更要求受信手段101の認証判定機能により正当な利用者であると判定された場合に、上述のごとく入力・受信された個人情報カプセルに対する変更の内容に従って、個人情報カプセルデータベース11に保存された、変更対象の個人情報カプセルの内容を変更するものである。
When the authentication unit function of the personal information capsule generation / change
無効化手段115は、変更手段114によって個人情報カプセルの内容が変更された場合、変更を施された個人情報カプセルから変更前に抽出されてクライアント端末20に送信された個人情報ファイルを無効化するものである。
When the content of the personal information capsule is changed by the changing
この無効化手段115による無効化手法としては、その個人情報ファイルに対応する暗号化ファイルを復号化する復号鍵(認証情報/復号鍵保存手段12に保存されているもの)を変更して新たな復号鍵を生成する手法や、その個人情報ファイルに対応する暗号化ファイルに対するアクセス要求(認証情報)を受信し利用者認証がなされても復号鍵送信手段113による復号鍵の送信を禁止する手法や、ログ記録手段110によって記録されたログに基づきその個人情報ファイルに対応する暗号化ファイルの送信先のクライアント端末20にそのファイルの削除指令を送信し、クライアント端末20において個人情報ファ
イルを削除させる手法などが用いられる。
As an invalidation method by the invalidation means 115, a decryption key (stored in the authentication information / decryption key storage means 12) for decrypting the encrypted file corresponding to the personal information file is changed to a new one. A method of generating a decryption key, a method of prohibiting transmission of the decryption key by the decryption key transmission means 113 even when an access request (authentication information) to an encrypted file corresponding to the personal information file is received and user authentication is performed, A method of transmitting a deletion command of the file to the
通知手段116は、無効化手段115によって個人情報ファイル(暗号化ファイル)を無効化した場合に、その旨を、ネットワーク30経由で電子メール等によりクライアント端末20に通知することにより、無効化された個人情報ファイル(暗号化ファイル)に対応する個人情報カプセルに対するアクセス要求の再実行を利用者に促すものである。
When the invalidating unit 115 invalidates the personal information file (encrypted file), the notifying unit 116 has been invalidated by notifying the
デジタル署名付与手段117は、生成手段102によって生成された個人情報カプセルや、変更手段114によって変更された個人情報カプセルや、フィルタリング手段105によって得られた個人情報ファイルに対しデジタル署名を付与するものである。ここで、デジタル署名は、デジタル文書の正当性を保証するために付けられる暗号化された署名情報で、公開鍵暗号方式の応用によって、デジタル文書(ここでは個人情報カプセルや個人情報ファイル)の作成者を証明し、且つその文書が改竄されていないことを保証するものである。署名者(管理サーバ10側の管理者)は、自身の秘密鍵を用いて暗号化した署名をデジタル文書に付加して送る。受取人(クライアント端末20側の利用者)は、署名者の公開鍵を用いて署名を復号し、正しい内容かどうか確認する。これにより、第三者による偽造防止のほか、署名者がそのデジタル文書を作成したことの証明にも用いることができる。
The digital signature giving means 117 gives a digital signature to the personal information capsule generated by the generating means 102, the personal information capsule changed by the changing means 114, and the personal information file obtained by the filtering means 105. is there. Here, a digital signature is encrypted signature information attached to guarantee the validity of a digital document, and a digital document (here, a personal information capsule or a personal information file) is created by applying a public key cryptosystem. The document is certified and the document is guaranteed not to be tampered with. The signer (administrator on the
個人情報探査手段118は、クライアント端末20におけるデータの中から個人情報や個人情報ファイルを探査するもので、その探査はクライアント端末20のデータを管理サーバ10側に吸い上げて行なってもよいし、個人情報探査手段118により、各クライアント端末20に個人情報探査ツールを実現するための個人情報探査プログラムをインストールし、各クライアント端末20でその個人情報探査プログラムを実行させることで個人情報や個人情報ファイルの自己探査を実行させ、その自己探査の結果を各クライアント端末20から受信するようにしてもよい。
The personal information searching means 118 searches for personal information or a personal information file from data in the
ここで、個人情報ファイルの探査手法としては、後述する2つの探査手法のうちのいずれか一方を用いることができる。本実施形態において、個人情報ファイルの条件は、個人情報要素を含むレコードを所定数以上保有しているファイルであり、個人情報要素は、単体もしくは組合せによって特定の個人を識別することのできる文字列、例えば氏名,生年月日,連絡先(住所,居所,電話番号,メールアドレス)などである。また、個人情報要素としては、これら以外に、役職名,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号なども挙げられる。 Here, as a search method for the personal information file, any one of the two search methods described later can be used. In the present embodiment, the condition of the personal information file is a file that holds a predetermined number or more of records including personal information elements, and the personal information element is a character string that can identify a specific individual alone or in combination. For example, name, date of birth, contact information (address, residence, telephone number, e-mail address), etc. In addition to these, personal information elements include title, basic resident register number, account number, credit card number, license number, passport number, and the like.
削除手段119は、個人情報探査手段118によって探査された個人情報や個人情報ファイルにデジタル署名付与手段117によるデジタル署名が付与されていない場合、個人情報や個人情報ファイルをクライアント端末20から削除するものであり、この削除手段119も、管理サーバ10側に備え管理サーバ10からネットワーク30経由で削除指示をクライアント端末20へ送信するようにしてもよいし、この削除手段119としての機能を実現するためのプログラムを上記個人情報探査プログラムとともに各クライアント端末20にインストールしクライアント端末20側で削除手段119としての機能を実現させてもよい。
The deleting unit 119 deletes the personal information and the personal information file from the
この削除手段119による個人情報や個人情報ファイルの削除を実行する前に、探査によって見つかった個人情報や個人情報ファイルを、管理サーバ10の管理対象である個人情報カプセルとして登録するか否かを問い合わせる機能を備えてもよい。登録する場合には、生成手段102により、探査された個人情報や個人情報ファイルに基づき個人情報カプセルを生成し個人情報カプセルデータベース11に登録・保存する。一方、登録しない場合には、探査された個人情報や個人情報ファイルを削除手段119により削除してもよ
いし、一定期限を設定し、その一定期限内に登録しない場合に、削除手段119により、探査された個人情報や個人情報ファイルを自動的に削除してもよい。なお、上述のような問い合せ機能を用いることなく、探査された個人情報や個人情報ファイルを削除手段119により直ちに強制削除することもできる。
Before deleting the personal information or personal information file by the deleting means 119, an inquiry is made as to whether or not to register the personal information or personal information file found by the search as a personal information capsule to be managed by the
さらに、デジタル署名が付与されているが暗号化されていない個人情報や個人情報ファイルが探査された場合には、その個人情報や個人情報ファイルを暗号化ファイルに変換するか否かを問い合わせる機能を備えてもよい。暗号化ファイルに変換する場合、上述した変換手段106や暗号化手段107により、探査された個人情報や個人情報ファイルを暗号化ファイルに変換してもよい。一方、暗号化ファイルに変換しない場合、探査された個人情報や個人情報ファイルを削除手段119により削除してもよいし、一定期限を設定し、その一定期限内に暗号化ファイルに変換しない場合に、削除手段119により、探査された個人情報や個人情報ファイルを自動的に削除してもよい。なお、上述のような問い合せ機能を用いることなく、探査された個人情報や個人情報ファイルを変換手段106や暗号化手段107により直ちに暗号化ファイルに強制変換することもできる。 In addition, when a personal information or personal information file that has a digital signature but is not encrypted is searched, a function is provided for inquiring whether or not to convert the personal information or personal information file into an encrypted file. You may prepare. When converting to an encrypted file, the searched personal information or personal information file may be converted into an encrypted file by the conversion means 106 or the encryption means 107 described above. On the other hand, when not converting to an encrypted file, the searched personal information or personal information file may be deleted by the deleting means 119, or when a fixed period is set and the converted file is not converted into the encrypted file within the fixed period The searched personal information or personal information file may be automatically deleted by the deleting means 119. The searched personal information and personal information file can be immediately forcibly converted into an encrypted file by the converting means 106 and the encrypting means 107 without using the inquiry function as described above.
位置検出手段121は、認証情報受信手段111によって開封要求としての復号鍵送信要求を受信した時点におけるクライアント端末20の所在位置を検出するものである。より具体的に、本実施形態において、位置検出手段121は、認証情報受信手段111によって開封要求としての復号鍵送信要求を受信した時点におけるクライアント端末20の接続環境からクライアント端末20の所在国を前記所在位置として検出するものである。この位置検出手段121は、クライアント端末20の接続環境として、例えば、クライアント端末20が最初に接続されたアクセスポイントやプロバイダ等のグローバルIPアドレスを参照することにより、クライアント端末20の所在国を検出することが可能である。この場合、プロバイダに割り当てられたグローバルIPアドレスを参照することにより、所在国や所在国内の大まかな地域を特定することが可能である。
The
なお、クライアント端末20がGPS(Global Positioning System)機能を有してい
る場合には、そのGPS機能によって得られたクライアント端末20の所在地情報(緯度・経度情報)を、ネットワーク30を通じてクライアント端末20から受信することにより、位置検出手段121は、その緯度・経度情報からクライアント端末20の所在位置/所在国を検出するように構成してもよい。
When the
この場合、クライアント端末20側では定期的にGPS機能によって位置情報を取得することが望ましく、定期的に取得した所在地情報もしくは最終の所在地情報をネットワーク30を介して位置検出手段121に送信する。この場合、最新の所在地情報だけではなく、それ以前の経由地(経由国)なども、開封許否の判断対象とすることが望ましい。
In this case, it is desirable for the
なお、位置検出手段121では、クライアント端末20の位置情報が取得できなくなって一定時間が経過した時点で、クライアント端末20の位置情報を無効化する。すなわち、クライアント端末20の最新の位置が不明であるとして扱う。
Note that the
また、以上のようにGPS機能によるクライアント端末20の所在地情報が無効化された場合であっても、大手プロバイダのIPアドレス情報やアクセスポイントの情報が取得できる場合には、位置検出手段121は、クライアント端末20の所在地情報は有効なものとして扱う。
In addition, even when the location information of the
また、以上のようにGPS機能によるクライアント端末20の所在地情報が無効化された場合であって、中小のプロバイダのIPアドレス情報やアクセスポイントの情報が取得できる場合、あるいは、会社のサーバなどによるIPアドレス情報が取得できる場合は、
サーバから得られるクライアント端末20の所在地情報の信頼性が低いため、位置検出手段121は、クライアント端末20の所在地情報は無効なものとして扱うことが望ましい。
In addition, as described above, when the location information of the
Since the reliability of the location information of the
なお、個人情報カプセル生成/変更要求受信手段101,アクセス要求受信手段104,個人情報ファイル送信手段109,認証情報受信手段111,復号鍵送信手段113,通知手段116などとしての機能としては、管理サーバ10が本来有している送受信機能を用いて実現される。 The functions as the personal information capsule generation / change request receiving means 101, the access request receiving means 104, the personal information file transmitting means 109, the authentication information receiving means 111, the decryption key transmitting means 113, the notifying means 116, etc. 10 is realized by using a transmission / reception function that 10 originally has.
また、認証情報/復号鍵保存手段12,変換手段106,暗号化手段107,アクセス権限設定手段108,個人情報ファイル送信手段109,ログ記録手段110,認証情報受信手段111,判定手段112,復号鍵送信手段113としての機能は、本実施形態では個人情報管理サーバ10にもたせているが、個人情報管理サーバ10とは別体で、ネットワーク30を介してもしくは直接的に個人情報管理サーバ10と通信可能に接続されたファイルアクセス管理サーバによって実現してもよい。
Also, authentication information / decryption
同様に、個人情報探査手段118および削除手段119としての機能も、本実施形態では個人情報管理サーバ10にもたせているが、個人情報管理サーバ10とは別体で、ネットワーク30を介してもしくは直接的に個人情報管理サーバ10と通信可能に接続された他のサーバによって実現してもよく、その際、さらに、後述するPマークによる個人情報ファイルの管理を該他のサーバによって実行するようにしてもよい。
Similarly, the functions as the personal
〔1−3〕クライアント端末の構成:
図1に示すように、本実施形態のクライアント端末20は、後述する各種手段202,203,221〜227を備えて構成されている。これらの手段としての機能は、所定のアプリケーションプログラムを、クライアント端末として機能すべきコンピュータの制御手段220に実行させることによって実現される。なお、このクライアント端末20では、利用者からの各種操作や入力は操作手段202から入力される。また、クライアント端末20では、各種表示を表示手段203に行う。
[1-3] Configuration of client terminal:
As shown in FIG. 1, the
アクセス要求送信手段221は、利用者がクライアント端末20において管理サーバ10で管理されている個人情報カプセルの内容(個人情報要素)を利用して例えば名簿や住所録を作成する際に、個人情報カプセルに対するアクセス要求を認証情報(識別番号およびパスワード)とともにネットワーク30経由で管理サーバ10に送信するものである。
The access
個人情報ファイル受信手段222は、管理サーバ10から、アクセス要求送信手段221によって送信されたアクセス要求に応じた個人情報ファイルをネットワーク30経由で受信するものである。
The personal information
個人情報ファイル保存手段223は、個人情報ファイル受信手段222により管理サーバ10から受信された個人情報ファイルを保存するものである。
認証情報送信手段224は、個人情報ファイル保存手段223に保存されている個人情報ファイルである暗号化ファイルを開く場合に、暗号化ファイルについての認証情報(識別番号およびパスワード)をネットワーク30経由で管理サーバ10に送信するものである。
The personal information
The authentication
なお、認証情報送信手段224は、このクライアント端末20において個人情報ファイルを開封する際に、当該個人情報ファイルの開封要求としての復号鍵送信要求を個人情報管理サーバ10に送信する開封要求送信手段をも兼ねている。
The authentication
復号鍵受信手段225は、その暗号化ファイルに応じた復号鍵を管理サーバ10からネットワーク30経由で受信するものである。
復号化手段226は、復号鍵受信手段225によって受信された復号鍵を用いて暗号化ファイルを復号化し元の個人情報ファイルを復元するものである。
The decryption
The decrypting means 226 decrypts the encrypted file using the decryption key received by the decryption key receiving means 225 and restores the original personal information file.
編集手段227は、復号化手段226によって復元された個人情報ファイルであるPDFファイルから取り出されたオリジナルファイルを編集するものであり、クライアント端末20を利用する利用者は、管理サーバ10のアクセス権限設定手段108によって、PDFファイルからオリジナルファイルを取り出す取出し権限と、取り出されたオリジナルファイルの編集権限とを所定のアクセス権限として設定されている場合、編集手段227によってオリジナルファイルを編集することを許可される。そして、クライアント端末20において、編集手段227によって編集されたオリジナルファイルは、そのオリジナルファイルを取り出したPDFファイル以外に保存されることが禁止されるように構成されている。つまり、編集されたオリジナルファイルは、そのオリジナルファイルを取り出したPDFファイルにしか保存することができないようになっている。
The
〔1−4〕個人情報ファイルの探査手法:
ここで、本実施形態の個人情報探査手段118により個人情報ファイルを探査する際に用いられる、2つの探査手法について説明する。
[1-4] Personal information file search method:
Here, two search methods used when searching for a personal information file by the personal information search means 118 of this embodiment will be described.
(1-4-1-A)第1の探査手法:
第1の探査手法では、以下のように、住所,電話番号,メールアドレス,氏名の出現頻度を数値化し、個人情報ファイルの特定を行なっている。
(1-4-1-A) First exploration method:
In the first exploration method, the appearance frequency of an address, a telephone number, an e-mail address, and a name is quantified and the personal information file is specified as follows.
まず、クライアント端末20における、ある一つのファイルに含まれる文字もしくは文字列と個人情報において特徴的に出現する文字/文字列として予め設定された特徴文字/特徴文字列とを照合し、特徴文字/特徴文字列が当該ファイルにおいて出現する回数を計数する。ただし、文字列による照合・認識を行なうとCPUにかかる負荷が極めて大きくなるので、1文字ずつの照合・認識を行なうものとする。従って、前記条件としては、特徴文字が1文字ずつ設定されている。なお、CPUの演算処理能力が十分に高い場合には文字列による照合・認識を行なってもよい。
First, a character or character string included in a certain file in the
そして、当該ファイル(テキストファイル)から抽出された文字を、1文字ずつ、前記条件として設定された特徴文字と照合し、これらが一致する場合には、その特徴文字が出現したものと判断して、その特徴文字のカウント値を“1”カウントアップする。このようにして当該ファイルに含まれる全ての文字における、特徴文字の出現回数を計数してから、その計数結果に基づいて個人情報ファイルの特定(当該ファイルが個人情報ファイルであるか否かの判定)を行なっている。 Then, the characters extracted from the file (text file) are collated one by one with the characteristic character set as the condition, and if they match, it is determined that the characteristic character has appeared. The count value of the characteristic character is incremented by “1”. Thus, after counting the number of appearances of characteristic characters in all the characters included in the file, the personal information file is identified based on the count result (determination of whether the file is a personal information file). ).
ここで、前記条件として予め設定される特徴文字について具体的に説明する。一般的な個人情報では、通常、住所が必須となる。そこで、日本国内の住所において特徴的に出現する文字を特徴文字として前記条件に設定登録しておく。例えば、住所情報には“都”,“道”,“府”,“県”,“市”,“区”,“町”,“村”,“郡”などが含まれている可能性が高く、“東京都”の場合、“東”,“京”の文字は通常文書中にも出現するが住所情報の場合、“都”と組合わせて出現することになるので、“都”の出現回数を住所数として見なすことが可能になる。同様に“府”や“県”や“道”も住所の見なし情報となるほか、“@”についてはメールアドレスの見なし情報として用いることが可能になる。 Here, the characteristic character set in advance as the condition will be specifically described. In general personal information, an address is usually required. Therefore, a character that appears characteristically in an address in Japan is set and registered in the above condition as a characteristic character. For example, the address information may include “city”, “road”, “fu”, “prefecture”, “city”, “ward”, “town”, “village”, “county”, etc. In the case of “Tokyo”, the characters “East” and “Kyo” appear in ordinary documents, but in the case of address information, they will appear in combination with “City”. It becomes possible to regard the number of appearances as the number of addresses. Similarly, “prefecture”, “prefecture”, and “road” are considered as address information, and “@” can be used as e-mail address information.
具体的には、前記条件として以下のような特徴文字およびポイントが設定されている。
(1-4-1-A1)住所の見なし情報(特徴文字)として“東”,“京”,“都”,“大”,“
阪”,“府”,“北”,“海”,“道”が設定され、これらの特徴文字の計数値の合計が住所ポイント1として計数・算出される。
Specifically, the following characteristic characters and points are set as the conditions.
(1-4-1-A1) “East”, “Kyo”, “City”, “Large”, “
“Osaka”, “Fu”, “North”, “Sea”, “Road” are set, and the total of the count values of these characteristic characters is counted and calculated as address point 1.
(1-4-1-A2)住所の見なし情報(特徴文字)として、住所ポイント1以外の府県名、つまり“山”,“形”,“神”,“奈”,“川”,“埼”,“玉”,…,“福”,“岡”,“県”などが設定され、これらの特徴文字の計数値の合計が住所ポイント2として計数・算出される。
(1-4-1-A2) As presumed address information (characters), prefecture names other than address point 1, ie “mountain”, “form”, “god”, “na”, “river”, “saki “,” “Ball”,..., “Fortune”, “oka”, “prefecture”, etc. are set, and the total of the count values of these characteristic characters is counted and calculated as
(1-4-1-A3)住所の見なし情報(特徴文字)として“市”,“区”,“町”,“村”,“郡”が設定され、これらの特徴文字の計数値の合計が住所ポイント3として算出される。
(1-4-1-A4)メールアドレスの見なし情報(特徴文字)として“@”が設定され、この“@”の計数値がメールアドレスポイントとして用いられる。
(1-4-1-A3) “City”, “District”, “Town”, “Village”, and “County” are set as address disregard information (feature characters), and the sum of the count values of these feature characters Is calculated as the
(1-4-1-A4) “@” is set as the e-mail address disregard information (characteristic character), and the count value of “@” is used as the mail address point.
(1-4-1-A5)電話番号の見なし情報(特徴文字列)として、“N”(数字,ハイフンからなる所定桁数の数字列)が設定され、その計数値が電話番号ポイントとして用いられる。より具体的には、電話番号は“090-XXXX-XXXX”,“03-XXXX-XXXX”,“048-XXX-XXXX”
というように、携帯電話局番や市外局番に対応する特定の数字列“090”,“03”,“048”の後に8桁もしくは7桁の数字列が連続する構成となっており、このような数字列が出現した場合に電話番号ポイントを“1”カウントアップする。このとき、数字列中におけるハイフンの有無に関係なくカウントアップを行なう。
(1-4-1-A5) “N” (numeric string with a predetermined number of digits consisting of numbers and hyphens) is set as the telephone number disregard information (characteristic character string), and the counted value is used as the telephone number point. It is done. More specifically, the phone numbers are “090-XXXX-XXXX”, “03-XXXX-XXXX”, “048-XXX-XXXX”
In this way, a specific numeric string “090”, “03”, “048” corresponding to the mobile phone area code or area code is followed by an 8-digit or 7-digit numeric string. When a numeric string appears, the telephone number point is incremented by “1”. At this time, the count-up is performed regardless of the presence or absence of a hyphen in the numeric string.
(1-4-1-A6)氏名の見なし情報(特徴文字)として、例えば日本国内における苗字のベスト50に含まれる文字“佐”,“藤”,“田”,“中”,“高”,“橋”,…,“山”,“田”が設定され、これらの特徴文字の計数値の合計が氏名ポイントとして算出される。 (1-4-1-A6) As name disregard information (characteristic characters), for example, the characters “sa”, “wisteria”, “ta”, “middle”, “high” included in the 50 best surnames in Japan , “Bridge”,..., “Mountain”, “field” are set, and the sum of the count values of these characteristic characters is calculated as a name point.
(1-4-1-A7)合計ポイントとして、上述した項目(1-4-1-A1)〜(1-4-1-A6)の各ポイントの合計値が計数・算出される。
なお、上述のようにして得られた計数結果(出現回数)に基づいて各都道府県名の出現率を算出する際に、重複文字が存在する場合の取扱について説明する。例えば“東京都”と“京都府”とがテキストファイルに混在する場合、“都”が重複するため、“都”の計数値には“東京都”の計数値に“京都府”のカウントが混ざることになる。“京都府”の“府”は“大阪府”の“府”と重複するので、まず“大阪”の出現率を算定し、その出現率を“府”の出現率から減算すれば、“京都府”の出現率を予測することが可能になる。このようにして予測された“京都府”の出現率を“都”の出現率から減算することにより、“東京都”の出現率とすることができる。また、県名と市名とが重複するような場合(例えば大阪府大阪市)、“大阪”の出現率が2倍になるが、郵政省管理で公開されている日本の住所録に基づいて都道府県名別の重複率を算定し、算定された重複率に基づいて出現率の調整を行なうことにより、実際の出現率を推定することが可能である。
(1-4-1-A7) As the total points, the total value of each point of the items (1-4-1-A1) to (1-4-1-A6) described above is counted and calculated.
In addition, when calculating the appearance rate of each prefecture name based on the counting result (number of appearances) obtained as described above, handling when there are duplicate characters will be described. For example, if “Tokyo” and “Kyoto Prefecture” are mixed in a text file, “Metropolitan” is duplicated. It will be mixed. Since “Fu” in “Kyoto” overlaps with “Fu” in “Osaka”, first calculate the appearance rate of “Osaka”, and subtract that appearance rate from the appearance rate of “Fu”. It is possible to predict the appearance rate of “fu”. By subtracting the appearance rate of “Kyoto Prefecture” predicted in this way from the appearance rate of “Metropolitan”, the appearance rate of “Tokyo” can be obtained. In addition, if the prefecture name and city name overlap (for example, Osaka City, Osaka Prefecture), the appearance rate of “Osaka” will double, but based on the Japanese address book published by the Ministry of Posts and Telecommunications. It is possible to estimate the actual appearance rate by calculating the duplication rate for each prefecture name and adjusting the appearance rate based on the calculated duplication rate.
さらに、都道府県表示が無い場合の取扱について説明する。ファイルにおいて、都道府県名についてタイトルヘッダを用いる場合や、政令指定都市の住所表示や郵便番号を使用した住所表示では、“都”,“道”,“府”,“県”の出現率が極端に低下することになる。その代わり県名等の名称出現率が高くなるので、名称出現率から、ファイルが住所情報を含む個人情報ファイルであることの特定を行なうことが可能になる。 Furthermore, the handling when there is no state display will be described. In the file, when the title header is used for the prefecture name, or when the address display using the government-designated city or the postal code is used, the appearance rate of “city”, “road”, “prefecture”, “prefecture” is extremely high. Will be reduced. Instead, since the name appearance rate such as the prefecture name becomes high, it is possible to specify that the file is a personal information file including address information from the name appearance rate.
なお、前記条件では、住所,メールアドレス,電話番号,氏名において特徴的に出現する文字/文字列を特徴文字/特徴文字列として設定しているが、本発明は、これらに限定されるものでなく、生年月日,役職名,個人識別情報(例えば、住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号など)において特徴的に出現する文字/文字列を特徴文字/特徴文字列として設定してもよい。 In the above conditions, characters / character strings that appear characteristically in addresses, e-mail addresses, telephone numbers, and names are set as characteristic characters / character strings, but the present invention is not limited to these. Character / character string that appears characteristically in the date of birth, title, personal identification information (for example, Basic Resident Register Number, Account Number, Credit Card Number, License Number, Passport Number, etc.) It may be set as a character string.
そして、上述のようにして得られた計数結果に基づいて、当該ファイルが個人情報ファイルであるか否かを判定するための判定値が算出される。その判定値としては、(a)検疫
合計ポイント(上記項目(1-4-1-A7)参照)の値をそのまま用いてもよいし、(b)特徴文字
/特徴文字列の出現率が高いほど大きくなる判定ポイントを前記判定値として算出してもよいし、(c)特徴文字/特徴文字列毎に得られた計数結果に基づいて対象ファイルにおけ
る特徴文字/特徴文字列の出現パターンを求め、求められた出現パターンと特徴文字/特徴文字列の出現パターンとして予め設定された特徴出現パターンとの一致の度合いを示す一致度を前記判定値として算出してもよいし、(d)これら3種類の判定値のうちの2以上
を組み合わせ、2以上の判定値を所定関数に代入して算出された値を前記判定値として用いてもよい。
Based on the counting result obtained as described above, a determination value for determining whether or not the file is a personal information file is calculated. As the judgment value, the value of (a) quarantine total points (see item (1-4-1-A7) above) may be used as it is, or (b) the appearance rate of feature characters / feature character strings is high. The determination point that becomes larger may be calculated as the determination value, or (c) the appearance pattern of the characteristic character / characteristic character string in the target file is obtained based on the counting result obtained for each characteristic character / characteristic character string. The degree of coincidence indicating the degree of coincidence between the found appearance pattern and the feature appearance pattern preset as the appearance pattern of the feature character / feature character string may be calculated as the determination value, or (d) these 3 Two or more of the types of determination values may be combined, and a value calculated by substituting two or more determination values into a predetermined function may be used as the determination value.
このとき、当該ファイルに複数種類の情報(例えば住所,メールアドレス,電話番号,氏名の4種類)に係る特徴文字/特徴文字列が存在している場合、対象ファイル中に1種類の情報に係る特徴文字/特徴文字列が存在している場合よりも、前記判定値が大きくなるように、計数結果に対する重み付けを行なう。つまり、データファイル中に、個人を特定しうる複数種類の情報が含まれている場合には、そのデータファイルが個人情報ファイルである可能性は、個人を特定しうる情報が1種類だけ含まれている場合よりも高いと考えられるので、そのデータファイルについての判定値(重要度)が大きくなるように重み付けを行なう。また、その情報の種類数が多いほど、判定値が大きくなるように重み付けを行なうようにしてもよい。これにより、より確実に個人情報ファイルを特定することが可能になる。 At this time, if there are characteristic characters / characteristic strings related to multiple types of information (for example, four types of address, e-mail address, telephone number, and name) in the file, the target file relates to one type of information. The count result is weighted so that the determination value is larger than when a characteristic character / characteristic character string exists. In other words, when a data file includes a plurality of types of information that can identify an individual, the possibility that the data file is a personal information file includes only one type of information that can identify an individual. Therefore, weighting is performed so that the determination value (importance) for the data file becomes large. Further, weighting may be performed so that the determination value increases as the number of types of information increases. This makes it possible to specify the personal information file more reliably.
上述のような判定値が算出されると、その判定値に基づいて、当該ファイルが個人情報ファイルであるか否かを判定する。例えば、前記判定値が所定閾値を超えた場合に対象ファイルが個人情報ファイルであると判定する。 When the determination value as described above is calculated, it is determined whether or not the file is a personal information file based on the determination value. For example, if the determination value exceeds a predetermined threshold, it is determined that the target file is a personal information file.
このような判定を行なう際に、本実施形態では、さらに、判定値の大きさに応じたPマーク(プライベートレベルマーク)を当該ファイルに付与してPマークテーブル(図示省略)に設定・登録し、ランク付けを行なってもよい。このPマークは、前述した通り、対象ファイルが個人情報ファイルである可能性の高さを示すレベルであり、判定値が大きいほどPマークを高いランクに設定する。 When making such a determination, in this embodiment, a P mark (private level mark) corresponding to the size of the determination value is further assigned to the file and set and registered in the P mark table (not shown). , Ranking may be performed. As described above, the P mark is a level indicating the high possibility that the target file is a personal information file, and the higher the determination value, the higher the P mark is set.
例えば、前記判定値が10以上となった場合、当該ファイルが個人情報ファイルであると判定、つまり当該ファイルが管理対象ファイルであると判定する。また、前記判定値が10以上100未満である場合、Pマークとして“P1”を付与し、前記判定値が100以上1000未満である場合、Pマークとして“P2”を付与し、前記判定値が1000以上10000未満である場合、Pマークとして“P3”を付与し、前記判定値が10000以上である場合、Pマークとして“P4”を付与する。 For example, when the determination value is 10 or more, it is determined that the file is a personal information file, that is, the file is determined to be a management target file. When the determination value is 10 or more and less than 100, “P1” is assigned as the P mark, and when the determination value is 100 or more and less than 1000, “P2” is assigned as the P mark. When it is 1000 or more and less than 10,000, “P3” is assigned as the P mark, and when the determination value is 10000 or more, “P4” is assigned as the P mark.
上述のようにファイルに付与されたPマークのレベル(ランク)に応じて、管理サーバ10は、以下のようにファイルを管理対象ファイルとして管理してもよい。
例えば、Pマークのランクが“P1”である場合、警告情報によるリコメンドは行なわないが“P1”の管理対象ファイルが存在することをログとして記録する。Pマークのランクが“P2”である場合、その管理対象ファイルの利用者に対して注意を促すべくポップアップ表示による注意情報を通知する。Pマークのランクが“P3”である場合、その管理対象ファイルの返却を指示する。Pマークのランクが“P4”である場合、その管理対象ファイルをクライアント端末20から強制的に捕獲・回収する。なお、Pマークのランクが“P4”でなくても、“P3”のデータファイルが所定日数放置された場合には、そのデータファイルをクライアント端末20から強制的に捕獲・回収してもよい。
As described above, according to the level (rank) of the P mark given to the file, the
For example, when the rank of the P mark is “P1”, the recommendation based on the warning information is not performed, but the fact that the management target file of “P1” exists is recorded as a log. When the rank of the P mark is “P2”, notice information in a pop-up display is notified to call attention to the user of the management target file. When the rank of the P mark is “P3”, an instruction to return the management target file is given. When the rank of the P mark is “P4”, the management target file is forcibly captured and collected from the
(1-4-1-B)第2の探査手法:
第2の探査手法では、以下のようにして、個人情報ファイルの特定を行なっている。
まず、クライアント端末20におけるファイルのテキストデータ〔例えばCSV(Comma Separated Value)形式のデータ〕を抽出し、抽出されたテキストデータから、区切り
文字によって区切られた文字区間を切り出して、判定対象/照合対象としてバッファ(図示略)に順次書き出す。ここで、区切り文字は、例えば半角スペース,半角カンマ(半角カンマ+半角スペースも半角カンマと見なす),タブ文字(半角),CR(Carrige Return),LF(Line Feed)である。切り出される文字区間からは、英数文字,カタカナ,
ひらがな,漢字以外の記号、例えばハイフン,アンダバー,括弧記号などの記号文字が除去される。
(1-4-1-B) Second exploration method:
In the second exploration method, the personal information file is specified as follows.
First, text data (for example, CSV (Comma Separated Value) format data) of a file in the
Symbols other than hiragana and kanji, for example, symbol characters such as hyphens, underbars, and parenthesis symbols are removed.
上述のように切り出され記号文字を除去された文字区間における文字列(以下、単に文字列という)が、氏名以外の個人情報要素(具体的に本実施形態では電話番号,電子メールアドレス,住所のうちのいずれか一つ)に該当するか否かを判定する。ここでは、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で、上記文字列の判定処理を行なう。 A character string (hereinafter simply referred to as a character string) in a character section from which symbol characters have been removed as described above is a personal information element other than a name (specifically, in this embodiment, a telephone number, an e-mail address, and an address). It is determined whether it corresponds to any one of them. Here, the character string determination process is performed in the order of the lighter determination process load, that is, in the order of the telephone number, the e-mail address, and the address.
最初に、上記文字列が電話番号に該当するか否かを判定する。具体的には、上記文字列が前記条件として設定されている電話番号判定条件を満たす場合、上記文字列が電話番号に該当するものと判定する。本実施形態において、電話番号判定条件は、上記文字列中に9〜15桁の数字が含まれていることとする。 First, it is determined whether or not the character string corresponds to a telephone number. Specifically, if the character string satisfies the telephone number determination condition set as the condition, it is determined that the character string corresponds to the telephone number. In the present embodiment, it is assumed that the telephone number determination condition includes a 9-15 digit number in the character string.
ついで、上記文字列が電話番号に該当しないと判定された場合に、上記文字列が電子メールアドレスに該当するか否かを判定する。具体的には、上記文字列が前記条件として設定されている電子メールアドレス判定条件を満たす場合、上記文字列が電子メールアドレスに該当するものと判定する。本実施形態において、電子メールアドレス判定条件は、上記文字列中に「一文字以上のASCII(American Standard Code for Information Interchange)」+「@(アットマーク)」+「一文字以上のASCII」+「.(ドット)」+「一文字以上のASCII」となる文字列が含まれていることとする。この場合、最短の電子メールアドレスは例えば「a@a.a」となる。 Next, when it is determined that the character string does not correspond to a telephone number, it is determined whether or not the character string corresponds to an e-mail address. Specifically, when the character string satisfies the e-mail address determination condition set as the condition, it is determined that the character string corresponds to the e-mail address. In the present embodiment, the e-mail address determination condition is as follows: “One or more ASCII (American Standard Code for Information Interchange)” + “@ (at sign)” + “One or more ASCII characters” + “. It is assumed that a character string “dot)” + “ASCII of one or more characters” is included. In this case, the shortest e-mail address is “a@a.a”, for example.
さらに、上記文字列が電子メールアドレスに該当しないと判定された場合に、上記文字列が住所(居所)に該当するか否かを判定するもので、上記文字列が前記条件として設定されている住所判定条件を満たす場合、上記文字列が住所に該当するものと判定する。本実施形態において、住所判定条件は、上記文字列中に「一文字以上の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字」となる文字列が含まれていることとする。このとき、CPUの演算処理能力が十分に高い場合には、上記文字列に加え、郵便番号に対応する7桁の数字が含まれていることを住所判定条件に加えてもよい。また、住所判定条件は、上述した条件に代え、上記文字列中に、郵便番号に対応する7桁ちょうどの数字列が含まれていること、あるいは、「3桁の数字列」+「−(ハイフン)」+「4桁の数字列」となる数字列が含まれていることとしてもよい。 Further, when it is determined that the character string does not correspond to an e-mail address, it is determined whether or not the character string corresponds to an address (residence), and the character string is set as the condition. When the address determination condition is satisfied, it is determined that the character string corresponds to the address. In the present embodiment, the address determination condition includes a character string of “one or more double-byte characters” + “city” or “city” or “county” + “one or more double-byte characters” in the character string. Suppose that At this time, if the CPU has sufficiently high processing capability, it may be added to the address determination condition that a 7-digit number corresponding to the postal code is included in addition to the character string. In addition, the address determination condition is that the character string includes a 7-digit numeric string corresponding to the postal code or “3-digit numeric string” + “− (−” instead of the above-described conditions. Hyphens) ”+“ a digit string of four digits ”may be included.
そして、上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合に、その文字列が、前記条件として設定されている文字判定条件を満たすか否か、具体的には、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であるか否かを判定するものである。本実施形態において、文字判定条件は、上述したように、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であることであるが、ここで、上記所定範囲は、氏名(苗字だけの場合や名前だけの場合を含む)の文字数として一般的(適切)な数の範囲、
例えば1以上6以下に設定される。
When it is determined that the character string does not correspond to any of a telephone number, an e-mail address, and an address, whether or not the character string satisfies the character determination condition set as the condition, Specifically, it is determined whether or not the number of characters in the character string is within a predetermined range and all the characters in the character string are kanji. In the present embodiment, the character determination condition is that, as described above, the number of characters in the character string is within a predetermined range and all the characters in the character string are kanji characters. Is a general (appropriate) number range for the number of characters in a full name (including last names only and names only)
For example, it is set to 1 or more and 6 or less.
この後、電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された文字区間であって、さらに上記所定範囲内であり且つ全ての文字が漢字であると判定された文字区間について、当該文字区間に含まれる文字/文字列と氏名において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列とを照合することにより、当該文字区間が不適切文字/不適切文字列を含むか否かを判定する。 Thereafter, a character section determined not to correspond to any of a telephone number, an e-mail address, and an address, and further, a character section within the predetermined range and all characters determined to be kanji By comparing the character / character string included in the character section with an inappropriate character / unsuitable character string preset as a character / character string that cannot appear in the name, the character section is determined to be an inappropriate character. / Judge whether or not to include an inappropriate character string.
ここで、不適切文字/不適切文字列は、前記条件として予め設定されており、例えば、東京,大阪,名古屋,横浜,九州,北海道,京都,首都,個人,学園,店,株,県,大学,学院,東証,研究,管理,総務,経理,営業,統括,製薬,販売,学校,教育,専門,建築,機械,法人,工場,製,技術,商,図書,不明,次長,公開,出版,広告,放送,対象,卸売,小売,企画,人事,情報,部門,社長,取締,部長,課長,係長,役員,本社,支社,事業,業務,教務,精密,石油,運輸,経営,戦略,資材,技師,電気,生産,税務,広報,運送,主任,電算,財務,事務,開発,政策,制作,経済,産業,金融,銀行,調査,英語,品質,保証,設備,担当,主席,主事,監査,支援,設計,保険,金庫,事業,代表,交通,第一,第二,第三,第四,第五,第六,第七,第八,第九,特販,施設,氏名,郵便,名前,名称,市役,所属,特色,幼稚,基督,協会,教会,組合,教団,商工,全国,支部,連絡,議会,生活,消費,推進,市役所,区役所,総合,修正,機能,概要,構成,企業,組織,関連,削除,文書,期限,有効といった、一般的な氏名において出現し得ない文字/文字列、つまり、氏名としては不適切な文字/文字列である。 Here, inappropriate characters / inappropriate character strings are set in advance as the above-mentioned conditions. For example, Tokyo, Osaka, Nagoya, Yokohama, Kyushu, Hokkaido, Kyoto, capital, individual, school, store, stock, prefecture, University, academy, TSE, research, management, general affairs, accounting, sales, supervision, pharmaceutical, sales, school, education, specialization, architecture, machine, corporation, factory, manufacture, technology, commerce, books, unknown, deputy director, disclosure, Publication, Advertising, Broadcasting, Target, Wholesale, Retail, Planning, Human Resources, Information, Department, President, Regulatory, General Manager, Section Manager, General Manager, Officer, Head Office, Branch Office, Business, Business, Education, Precision, Petroleum, Transportation, Management, Strategy, material, engineer, electricity, production, tax, public relations, transportation, chief, computer, finance, office work, development, policy, production, economy, industry, finance, bank, research, English, quality, warranty, equipment, charge, President, Director, Audit, Support, Design, Insurance, Safe, Business, Representative, Transportation, First, Second, Third, Fourth, Fifth, Sixth, Seventh, Eighth, Ninth, Special Sales, Facility, Name, Mail, Name, Name, City Hall, Affiliation, Characteristic, Childhood, Christianity, Association, Church, Union, cult, commerce, nationwide, branch, contact, assembly, life, consumption, promotion, city hall, ward office, general, modification, function, overview, composition, company, organization, association, deletion, document, deadline, validity, etc. A character / character string that cannot appear in a typical name, that is, a character / character string that is inappropriate as a name.
そして、上述した電話番号判定結果,電子メールアドレス判定結果および住所判定結果と不適切文字/不適切文字列の照合判定結果とに基づいて、対象ファイルが個人情報ファイルであるか否かを判定する。より具体的に説明すると、電話番号,電子メールアドレス,住所のそれぞれに該当すると見なされた文字区間の数を計数するとともに、不適切文字/不適切文字列の照合判定結果を受け、不適切文字/不適切文字列を含まないと判定された文字区間を氏名に該当するものと見なし、その数を計数する。 Then, based on the above-described telephone number determination result, e-mail address determination result, address determination result, and inappropriate character / inappropriate character string collation determination result, it is determined whether or not the target file is a personal information file. . More specifically, the number of character sections considered to correspond to each of a telephone number, an e-mail address, and an address is counted, and an inappropriate character / unsuitable character string matching determination result is received. / The character section determined not to contain an inappropriate character string is regarded as corresponding to the name, and the number is counted.
電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数結果(4つの計数値;電話番号数,電子メールアドレス数,住所数,氏名数)に基づいて、これらの計数値が大きくなるほど大きくなる判定値を算出する。例えば、4つの計数値の総和を上記判定値として算出してもよいし、電話番号,電子メールアドレス,住所,氏名のそれぞれについて重み係数を予め設定しておき、各個人情報要素についての重み係数と計数値との乗算結果の総和を上記判定値として算出してもよく、上記判定値の算出手法は種々考えられる。 Based on the counting results (four counting values; the number of telephone numbers, the number of e-mail addresses, the number of addresses, the number of names) for each of the telephone number, e-mail address, address, and name, the larger the counting value, the larger the count value. A judgment value is calculated. For example, the sum of four count values may be calculated as the determination value, or a weighting factor is set in advance for each of the telephone number, e-mail address, address, and name, and the weighting factor for each personal information element The sum of multiplication results of the count value and the count value may be calculated as the determination value, and various methods for calculating the determination value are conceivable.
上述のような判定値が算出されると、その判定値に基づいて、対象ファイルが個人情報ファイルであるか否かを判定する。具体的には、前記判定値が所定閾値を超えた場合に対象ファイルが個人情報ファイルであると判定する。このとき、第1の探査手段においても説明したようにPマークを付与し、管理サーバ10により、そのPマークに応じた管理を行なうようにしてもよい。
When the determination value as described above is calculated, it is determined whether the target file is a personal information file based on the determination value. Specifically, when the determination value exceeds a predetermined threshold, it is determined that the target file is a personal information file. At this time, as described in the first exploration means, a P mark may be assigned, and management according to the P mark may be performed by the
なお、上述した第2の探査手法では、氏名以外の個人情報要素が、電話番号,電子メールアドレス,住所の3要素である場合について説明したが、本発明は、これに限定されるものでなく、氏名以外の個人情報要素としては、例えば、生年月日,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号などを用いてもよい。 In the second exploration method described above, the case where the personal information elements other than the name are the three elements of the telephone number, the e-mail address, and the address has been described. However, the present invention is not limited to this. As the personal information element other than the name, for example, the date of birth, the basic resident register number, the account number, the credit card number, the license number, the passport number, etc. may be used.
上述のような第1の探査手法もしくは第2の探査手法を用いて、個人情報探査手段11
8によって個人情報ファイルが探査され、その探査結果に応じて、上述したように、削除手段119による削除や各種問い合せが実行されることになる。
Using the first search method or the second search method as described above, the personal information search means 11
8, the personal information file is searched, and according to the search result, deletion and various inquiries by the deletion means 119 are executed as described above.
〔2〕本実施形態の個人情報管理システムの動作
次に、図3以降を参照しながら、上述のごとく構成された本実施形態の個人情報管理システム1の動作について説明する。
[2] Operation of the Personal Information Management System of the Present Embodiment Next, the operation of the personal information management system 1 of the present embodiment configured as described above will be described with reference to FIG.
なお、図3および図4ならびに図5は本実施形態における個人情報管理サーバ10の動作を説明するためのフローチャート、図6は本実施形態におけるクライアント端末20の動作を説明するためのフローチャートである。
3, 4 and 5 are flowcharts for explaining the operation of the personal
〔2−1〕個人情報管理サーバの動作:
まず、図3に示すフローチャート(ステップS10〜S14,S20〜S26,S30〜S39,S40〜S46)に従って、本実施形態の個人情報管理サーバ10の動作について説明する。
[2-1] Operation of personal information management server:
First, the operation of the personal
個人情報カプセル生成/変更要求受信手段101により、個人情報カプセル生成要求が、認証情報(識別番号およびパスワード)や個人情報カプセルの内容として保存されるべき複数種類の個人情報要素とともに受信されると(ステップS10のYESルート)、個人情報カプセル生成/変更要求受信手段101の認証判定機能により、認証情報(識別番号およびパスワード)に基づいて、個人情報カプセル生成要求を行なった利用者が本個人情報管理サービスの正当な利用者であるか否かの認証判定が実行される(ステップS11)。つまり、個人情報カプセル生成/変更要求受信手段101は、識別番号によって認証情報/復号鍵保存手段12を検索し、その識別番号に対応する登録パスワードを認証情報/復号鍵保存手段12から読み出し、認証情報に含まれるパスワードと、認証情報/復号鍵保存手段12から読み出された登録パスワードとを比較し、これらのパスワードが一致するか否かの判定を行なう。
When the personal information capsule generation / change request receiving means 101 receives a personal information capsule generation request together with a plurality of types of personal information elements to be stored as authentication information (identification number and password) and the contents of the personal information capsule ( YES route of step S10), the user who made the personal information capsule generation request based on the authentication information (identification number and password) by the authentication determination function of the personal information capsule generation / change request receiving means 101 performs the personal information management. An authentication determination as to whether or not the user is a valid user of the service is executed (step S11). That is, the personal information capsule generation / change
これらのパスワードが一致し、個人情報カプセル生成要求を行なった利用者が正当な利用者であることが認証されると(ステップS11のYESルート)、個人情報カプセル生成/変更要求受信手段101によって受信された複数種類の個人情報要素に基づいて、生成手段102により、個人情報カプセル(所定フォーマットのデータセット)が生成される(ステップS12)。その際、生成された個人情報カプセルに対し、デジタル署名付与手段117によりデジタル署名が付与される。
If these passwords match and it is authenticated that the user who made the personal information capsule generation request is a valid user (YES route in step S11), the personal information capsule generation / change
ここで、本システムでは、唯一無二の個人情報カプセルの電子ファイルが生成されて保存されている必要があり、スキャナで文字を取り込む際に生じた誤字、あるいは、キー入力の際の入力や仮名漢字変換の誤り、旧字体と新字体との間違いなどによって、例えば、「一郎」と「一朗」、あるいは、「広瀬」と」「廣瀬」のような間違いによって、別個の電子ファイルが生じてしまうことは絶対に避けなければならない。 Here, in this system, an electronic file of a unique personal information capsule needs to be generated and saved, and a typographical error that occurs when a character is read by a scanner, or an input or a pseudonym at the time of key input. Errors in Kanji conversion, mistakes in old and new fonts, etc., for example, errors such as “Ichiro” and “Ichiro”, or “Hirose” and “Hirose” cause separate electronic files. That must be avoided.
そこで、生成手段102は、クライアント端末からの個人情報カプセル生成要求に基づいて新たに生成(図3中のステップS12)しようとする個人情報カプセルについて、図3に示すサブルーチンに従って、個人情報カプセルデータベース11に保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認する(図4中のステップS121)。この類似判定としては、上述した探査手法と同様の手法を用いることが可能である。
Therefore, the
以上の類似判定により、新たに生成しようとする個人情報カプセルと既存の個人情報カプセルとの間に類似性が存在すると認められなければ(図4中のステップS122でNO
ルート)、個人情報カプセル生成要求に基づいた新規な個人情報カプセルを生成する(図4中のステップS128)。そして、図3のメインルーチンに戻る。
If it is not recognized by the above similarity determination that there is similarity between the personal information capsule to be newly generated and the existing personal information capsule (NO in step S122 in FIG. 4).
Route), a new personal information capsule based on the personal information capsule generation request is generated (step S128 in FIG. 4). Then, the process returns to the main routine of FIG.
なお、この実施形態において「個人情報カプセルの類似性」とは、唯一無二の原則に反するような、上述した誤字脱字などに起因して、本来は同一であるべきの電子ファイルが別個の電子ファイルとして存在する状態を意味している。 In this embodiment, “similarity of personal information capsule” means that the electronic file that should originally be the same is a separate electronic file due to the above-mentioned typographical omission, which is contrary to the principle of uniqueness. It means the state that exists as a file.
一方、以上の類似判定により、新たに生成しようとする個人情報カプセルと既存の個人情報カプセルとの間に類似性が存在すると認められれば(図4中のステップS122でYESルート)、生成手段102はクライアント端末20に対して、類似個人情報カプセルが個人情報カプセルデータベース11内に既に存在することを通知する(図4中のステップS123)。この通知を受けたクライアント端末20では、表示手段203に類似個人情報カプセルが個人情報カプセルデータベース11内に既に存在することが表示される。
On the other hand, if it is recognized by the above similarity determination that there is a similarity between the personal information capsule to be newly generated and the existing personal information capsule (YES route in step S122 in FIG. 4), the generating means 102 Notifies the
なお、ここで、生成手段102は、個人情報探査手段118と共に、クライアント端末20内に類似個人情報カプセルが存在するか否かを探査する(図4中のステップS124)。クライアント端末20内に類似個人情報カプセルが存在すれば(図4中のステップS124でYESルート)、類似個人情報カプセルに該当するクライアント端末20内の電子ファイルのファイル名をクライアント端末20に通知し、表示手段203に表示させる(図4中のステップS125)。
Here, the generating
また、必要に応じて、類似個人情報カプセルと新たに生成しようとする個人情報カプセルとの相違点を、生成手段102がクライアント端末20に通知し、クライアント端末20の表示手段203に表示させる(図4中のステップS127)。この場合、個人情報の漏洩に該当しないように、管理サーバ10からは最低限の相違のみを通知することが望ましい。
Further, if necessary, the
そして、生成手段102は、クライアント端末20に対して、新たに生成しようとする個人情報カプセルについて、生成するか否かの確認を要求する(図4中のステップS127)。すなわち、所定の確認メッセージをクライアント端末20の表示手段203に表示させる。例えば、上述した誤字などであれば、新たに個人情報カプセルを生成することを、利用者側がキャンセルする操作を、操作手段202から入力する。
Then, the
また、「山田一郎」、「山田二郎」などのように、類似するものの、兄弟などの別人が同一住所に存在するような場合には、新たな個人情報カプセルを生成する意志があることを、利用者が操作部手段202から生成続行などと入力する。
Also, if you have similar people, such as “Ichiro Yamada” and “Jiro Yamada”, but another person, such as a brother, exists at the same address, you will be willing to generate a new personal information capsule. The user inputs, for example, continue generation from the
以上のクライアント端末20の操作手段からの生成続行の操作(図4中のステップS128でYESルート)を受けた生成手段102は、個人情報カプセル生成要求に基づいた新たな個人情報カプセルを生成(図4中のステップS129)して、このサブルーチンを終了し、図3のメインルーチンに戻る。一方、以上のクライアント端末20の操作手段からの生成キャンセル(図4中のステップS128のNOルート)の操作受けた生成手段102は、新たな個人情報カプセルを生成することなく、このサブルーチンを終了し、図3のメインルーチンに戻る。
Upon receiving the above operation for continuing the generation from the operation unit of the client terminal 20 (YES route in step S128 in FIG. 4), the
以上のような動作により、スキャナでの読み取りで生じる誤字や、仮名漢字変換における誤り、キー入力時の誤入力などに起因する誤ったデータの電子ファイルが作成されることがなくなり、個人情報を管理するシステムにおいて唯一無二の電子ファイルが生成されて保存されるようになる。 The above operation prevents the creation of electronic files with incorrect data due to erroneous characters generated by scanning with the scanner, errors in kana-kanji conversion, input errors during key input, etc., and management of personal information A unique electronic file is generated and stored in the system.
また、個人情報カプセルが生成手段102によって生成されると、フィルタ設定手段103により、その個人情報カプセルをアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタが設定される(ステップS13)。上述のごとく生成・設定された個人情報カプセルおよびフィルタは、例えば個人情報カプセルや利用者に対応付けられて個人情報カプセルデータベース11に保存され(ステップS14)、ステップS10の処理に戻る。
When the personal information capsule is generated by the
また、個人情報カプセルが生成手段102によって生成されると、フィルタ設定手段103により、その個人情報カプセルをアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタが設定される(ステップS13)。上述のごとく生成・設定された個人情報カプセルおよびフィルタは、例えば個人情報カプセルや利用者に対応付けられて個人情報カプセルデータベース11に保存され(ステップS14)、ステップS10の処理に戻る。
When the personal information capsule is generated by the
個人情報カプセル生成/変更要求受信手段101により、個人情報カプセル変更要求が、認証情報(識別番号およびパスワード)や既に登録されている個人情報カプセルに対する変更の内容とともに受信されると(ステップS10のNOルートからステップS20のYESルート)、個人情報カプセル生成/変更要求受信手段101の認証判定機能により、上記ステップS11と同様の認証判定が行なわれる(ステップS21)。 When the personal information capsule generation / change request receiving means 101 receives the personal information capsule change request together with the authentication information (identification number and password) and the contents of the change to the already registered personal information capsule (NO in step S10). From the route (YES route in step S20), the authentication determination function of the personal information capsule generation / change request receiving means 101 performs the same authentication determination as in step S11 (step S21).
パスワードが一致し、個人情報カプセル変更要求を行なった利用者が正当な利用者であることが認証されると(ステップS21のYESルート)、変更手段114により、変更対象の個人情報カプセルが個人情報カプセルデータベース11から取り出され(ステップS22)、個人情報カプセル生成/変更要求受信手段101によって受信された変更内容(住所や電話番号などの変更等)に従って変更対象の個人情報カプセルの内容が変更される(ステップS23)。内容を変更された個人情報カプセルは、デジタル署名付与手段117によりデジタル署名を新たに付与された上で、個人情報カプセルデータベース11に保存される(ステップS24)。 When the passwords match and it is authenticated that the user who made the personal information capsule change request is a valid user (YES route in step S21), the changing means 114 changes the personal information capsule to be changed into the personal information. The content of the personal information capsule to be changed is changed according to the changed content (change of address, telephone number, etc.) taken out from the capsule database 11 (step S22) and received by the personal information capsule generation / change request receiving means 101. (Step S23). The personal information capsule whose contents have been changed is newly given a digital signature by the digital signature giving means 117 and then stored in the personal information capsule database 11 (step S24).
上述のごとく個人情報カプセルの内容が変更されると、無効化手段115により、変更を施された個人情報カプセルから変更前に抽出されてクライアント端末20に送信された個人情報ファイルが無効化される(ステップS25)。
When the contents of the personal information capsule are changed as described above, the invalidation means 115 invalidates the personal information file extracted from the changed personal information capsule and transmitted to the
その無効化とは、上述したように、その個人情報ファイルの暗号化に対応する暗号化ファイルを復号化する復号鍵(認証情報/復号鍵保存手段12に保存されているもの)を変更すると共に変更後の復号鍵の送信を禁止して復号化を不能にしたり、その個人情報ファイルに対応する暗号化ファイルに対するアクセス要求(認証情報)を受信し利用者認証がなされても復号鍵送信手段113による復号鍵の送信を禁止したり、ログ記録手段110によって記録されたログに基づきその個人情報ファイルに対応する暗号化ファイルの送信先のクライアント端末20にそのファイルの削除指令を送信し、クライアント端末20において個人情報ファイルを削除させたりすることで行なわれるが、いずれの場合もクライアント端末20側で暗号化ファイルの内容を参照することが不能な状態にしている。
The invalidation means changing the decryption key (stored in the authentication information / decryption key storage means 12) for decrypting the encrypted file corresponding to the encryption of the personal information file as described above. The decryption
そして、通知手段116により、その個人情報ファイル(暗号化ファイル)が無効化されたことが、ネットワーク30経由で電子メール等によりクライアント端末20に通知され(ステップS26)、無効化された個人情報ファイル(暗号化ファイル)に対応する個人情報カプセルに対するアクセス要求の再実行を利用者に促してから、ステップS10の処理に戻る。
Then, the notification means 116 notifies the
アクセス要求受信手段104により、個人情報カプセルに対するアクセス要求が認証情
報(識別番号およびパスワード)とともに受信されると(ステップS10のNOルート,ステップS20のNOルートからステップS30のYESルート)、アクセス要求受信手段104の認証判定機能により、上記ステップS11と同様の認証判定が行なわれる(ステップS31)。
When the access
パスワードが一致し、アクセス要求を行なった利用者が正当な利用者であることが認証されると(ステップS31のYESルート)、フィルタリング手段105により、アクセス要求対象の個人情報カプセルとその利用者について設定されたフィルタとが個人情報カプセルデータベース11から取り出され(ステップS32)、そのフィルタを用いて、アクセス要求対象の個人情報カプセル内の個人情報要素のフィルタリング処理が実行され、当該利用者の利用可能な個人情報要素が個人情報ファイルとして個人情報カプセルから抽出される(ステップS33)。なお、個人情報カプセルから抽出された個人情報ファイルには、デジタル署名付与手段117により、デジタル署名が付与される。 If the passwords match and it is authenticated that the user who made the access request is a valid user (YES route in step S31), the filtering means 105 causes the personal information capsule to be accessed and the user to be requested. The set filter is extracted from the personal information capsule database 11 (step S32), and the filtering process of the personal information element in the personal information capsule to be accessed is executed using the filter, and the user can use it. A personal information element is extracted from the personal information capsule as a personal information file (step S33). A digital signature is attached to the personal information file extracted from the personal information capsule by the digital signature attaching means 117.
デジタル署名を付与された個人情報ファイルは、変換手段106により、コンテナ機能を有するPDFファイルに変換され(ステップS34)、そのコンテナ機能を用いて当該PDFファイルに当該個人情報ファイルのオリジナルファイルが添付されてから(ステップS35)、そのPDFファイルは、送信先のクライアント端末20に応じた暗号鍵で暗号化され、暗号化ファイルが作成される(ステップS36)。このとき、当該暗号化ファイルにアクセスする利用者について、例えば、当該暗号化ファイルに対するアクセス権限(例えば閲覧権限や、オリジナルファイルの取出し権限/編集権限)が、アクセス権限設定手段108により設定される(ステップS37)。
The personal information file with the digital signature is converted into a PDF file having a container function by the converting means 106 (step S34), and the original file of the personal information file is attached to the PDF file using the container function. Thereafter (step S35), the PDF file is encrypted with an encryption key corresponding to the
上述のごとく作成された暗号化ファイルは、個人情報ファイル送信手段109によりネットワーク30経由でクライアント端末20に送信される(ステップS38)。その際、ログ記録手段110により、その暗号化ファイルの送信の履歴(送信日時,送信先情報,送信されたファイルを特定するための情報など)がログとして記録されてから(ステップS39)、ステップS10の処理に戻る。
The encrypted file created as described above is transmitted to the
認証情報受信手段111により、開封要求としての復号鍵の送信要求が暗号化ファイルについての認証情報(識別番号およびパスワード)とともに受信すると(ステップS10のNOルート,ステップS20のNOルート,ステップS30のNOルートからステップS40のYESルート)、判定手段112により、暗号化ファイルについての認証情報(識別番号およびパスワード)に基づいて、復号鍵の送信要求を行なった利用者(暗号化ファイルに対するアクセスを行なう利用者)が正当な登録者(正当な送信先)であるか否かの認証判定が実行される(ステップS41)。 When the authentication information receiving unit 111 receives a decryption key transmission request as an opening request together with authentication information (identification number and password) for the encrypted file (NO route in step S10, NO route in step S20, NO in step S30). Based on the authentication information (identification number and password) about the encrypted file by the determination means 112, the user who made the transmission request for the decryption key (use to access the encrypted file) Authentication determination is performed as to whether or not the user is a legitimate registrant (legal destination) (step S41).
この場合も、ステップS11と同様、判定手段112は、識別番号によって認証情報/復号鍵保存手段12を検索し、その識別番号に対応する登録パスワードを認証情報/復号鍵保存手段12から読み出し、認証情報に含まれるパスワードと、認証情報/復号鍵保存手段12から読み出された登録パスワードとを比較し、これらのパスワードが一致するか否かの判定を行なう。
Also in this case, as in step S11, the determination unit 112 searches the authentication information / decryption
これらのパスワードが一致し、利用者が正当な送信先であることが認証されると(ステップS41のYESルート)、位置検出手段121により、認証情報受信手段111によって開封要求としての復号鍵送信要求を受信した時点におけるクライアント端末20の接続環境からクライアント端末20の所在国が所在位置として検出される(ステップS42)。
When these passwords match and it is authenticated that the user is a valid transmission destination (YES route in step S41), the
ここで、判定手段112において、認証情報受信手段111によって受信されたファイ
ルIDや利用者認証情報に基づいて、クライアント端末20で管理対象の電子ファイルを開封しようとしている利用者が正当な利用者であるか否かの利用者認証判定が実行されるとともに、位置検出手段121によって検出された所在位置が所定条件を満たしているか否かの位置判定が実行される(ステップS43)。
Here, in the determination unit 112, based on the file ID or user authentication information received by the authentication information receiving unit 111, the user who is trying to open the electronic file to be managed by the
たとえば、本実施形態では、利用者の所在国が予め指定された所定の国であるか否かの位置判定、利用者の所在エリアが予め指定された所定のエリアであるか否かの位置判定などが実行される。 For example, in the present embodiment, position determination as to whether or not the user's location country is a predetermined country specified in advance, position determination as to whether or not the user's location area is a predetermined area specified in advance. Etc. are executed.
このとき、判定手段112による上記利用者認証判定に際しては、上述した通り、認証情報受信手段111によって受信されたファイルIDに対応する登録利用者IDが上記記憶部(データベース)から読み出され、読み出された登録利用者IDの中に認証情報受信手段111によって受信された利用者IDが含まれている場合、その登録利用者IDに対応する登録パスワードが上記記憶部(データベース)から読み出され、読み出された登録パスワードと、認証情報受信手段111によって受信されたパスワードとが比較され、これらが一致した場合に利用者が正当な利用者であることを認証する。 At this time, when the user authentication is determined by the determining unit 112, as described above, the registered user ID corresponding to the file ID received by the authentication information receiving unit 111 is read from the storage unit (database) and read. When the issued registered user ID includes the user ID received by the authentication information receiving unit 111, the registered password corresponding to the registered user ID is read from the storage unit (database). The read registration password and the password received by the authentication information receiving unit 111 are compared, and if they match, the user is authenticated as a valid user.
そして、判定手段112によって利用者が正当な利用者であることが認証され且つクライアント端末20の所在位置が前記所定条件を満たしていると判定された場合(ステップS44のYESルート)、クライアント端末20での電子ファイルの開封が許可され、管理対象の電子ファイルである暗号化ファイルを復号化する復号鍵が認証情報/復号鍵保存手段12から取り出され(ステップS45)、復号鍵送信手段113からネットワーク30を通じてクライアント端末20に送信される(ステップS46)。この後、ステップS10の処理に戻る。
When the determination unit 112 authenticates that the user is a valid user and determines that the location of the
一方、判定手段112によって、利用者が正当な利用者でないと判定された場合、もしくは、クライアント端末20の所在位置が前記所定条件を満たしていないと判定された場合(ステップ44のNOルート)、復号鍵の送信を実行させないことにより、クライアント端末20での電子ファイルの開封が禁止され、代わって、通知手段116により、その旨が、クライアント端末20の利用者やシステム管理者に対しエラー(アラート)として通知される(ステップS50)。
On the other hand, when the determination unit 112 determines that the user is not a valid user, or when it is determined that the location of the
なお、個人情報カプセル生成/変更要求受信手段101,アクセス要求受信手段104の認証判定機能や判定手段112によりパスワードが不一致であると判定された場合、もしくは、識別番号に対応する登録パスワードが認証情報/復号鍵保存手段12に登録されていなかった場合、または、クライアント端末20の所在位置が前記所定条件を満たしていないと判定された場合には、利用者が正当な利用者もしくは正当な送信先ではないと判定され(ステップS11,S21,S31,S41,S44のNOルート)、管理サーバ10からクライアント端末20にネットワーク30経由でエラー通知を行なってから(ステップS50)、ステップS10の処理に戻る。個人情報カプセル生成要求が管理サーバ10で入力されている場合には、そのエラー通知は管理サーバ10で個人情報カプセル生成要求を行なった利用者もしくは管理者に対して行なわれる。また、ステップS40でNO判定の場合にはステップS10の処理に戻る。
It should be noted that when it is determined that the passwords do not match by the authentication determination function of the personal information capsule generation / change
〔2−2〕個人情報管理システムの個人情報探査動作:
図5に示すフローチャート(ステップS51〜S58)に従って、本実施形態の個人情報管理システム1における個人情報探査動作について説明する。
[2-2] Personal information search operation of personal information management system:
The personal information search operation in the personal information management system 1 of the present embodiment will be described with reference to the flowchart shown in FIG. 5 (steps S51 to S58).
個人情報管理システム1では、予め設定された周期もしくは所定の起動タイミング(システムの起動時等)で、個人情報探査手段118による個人情報探査動作が実行されるよ
うになっている。
In the personal information management system 1, the personal information search operation by the personal information search means 118 is executed at a preset cycle or a predetermined start timing (when the system is started).
個人情報探査手段118が起動されると(ステップS51のYESルート)、本実施形態では、前述した通り、個人情報探査手段118により、各クライアント端末20に個人情報探査ツールを実現するための個人情報探査プログラムをインストールし、各クライアント端末20でその個人情報探査プログラムを実行させることで個人情報や個人情報ファイルの自己探査を実行させ(ステップS52)、その自己探査の結果を各クライアント端末20から受信する(ステップS53)。
When the personal
そして、管理サーバ10において、自己探査の結果に基づき個人情報/個人情報ファイルを保有しているクライアント端末20の存在を確認した場合(ステップS54のYESルート)、保有されている個人情報/個人情報ファイルに、管理サーバ10によるデジタル署名が付与されている否かを判定する(ステップS55)。個人情報/個人情報ファイルを保有しているクライアント端末20が存在しない場合(ステップS54のNOルート)やデジタル署名が付与されている場合(ステップS55のYESルート)、ステップS51に戻る。
When the
デジタル署名が付与されていない場合(ステップS55のNOルート)、その個人情報/個人情報ファイルを個人情報カプセルとして管理サーバ10に登録するか否かを、その個人情報/個人情報ファイルを保有しているクライアント端末20の利用者に問い合わせる(ステップS56)。利用者が登録することを望む場合(ステップS56のYESルート)、管理サーバ10において、生成手段102により、探査された個人情報/個人情報ファイルに基づき個人情報カプセルを生成し個人情報カプセルデータベース11に登録・保存する(ステップS57)。この後、ステップS51の処理に戻る。
If the digital signature has not been given (NO route of step S55), whether or not the personal information / personal information file is registered in the
利用者が登録することを望まない場合(ステップS56のNOルート)、削除手段119により、デジタル署名の施されていない個人情報/個人情報ファイルはクライアント端末20上から削除され(ステップS58)、ステップS51の処理に戻る。このとき、前述したように、一定期限を設定し、その一定期限内に利用者がその個人情報/個人情報ファイルを登録しない場合に、削除手段119により、探査された個人情報や個人情報ファイルを自動的に削除するようにしてもよい。 If the user does not want to register (NO route of step S56), the deletion means 119 deletes the personal information / personal information file that has not been digitally signed from the client terminal 20 (step S58). The process returns to S51. At this time, as described above, when a fixed period is set and the user does not register the personal information / personal information file within the predetermined period, the deleted personal information or personal information file is deleted by the deletion unit 119. You may make it delete automatically.
ここで、デジタル署名の有無を判定できる個人情報/個人情報ファイルは、当然、暗号化手段107による暗号化を施されていないもので、何らかの理由により、デジタル署名付与手段117によってデジタル署名を付与されたが暗号化されることなくクライアント端末20に流出したものと考えられる。そこで、デジタル署名が付与されているが暗号化されていない個人情報/個人情報ファイルが探査された場合(ステップS55のYES)には、前述したように、その個人情報/個人情報ファイルを暗号化ファイルに変換するか否かを問い合わせ、利用者が暗号化ファイルに変換することを望む場合、上述した変換手段106や暗号化手段107により、探査された個人情報や個人情報ファイルを暗号化ファイルに変換する一方、暗号化ファイルに変換することを望まない場合、その個人情報/個人情報ファイルを削除手段119により削除するようにしてもよい。
Here, the personal information / personal information file that can determine the presence or absence of the digital signature is naturally not encrypted by the encryption means 107, and is given a digital signature by the digital signature assignment means 117 for some reason. However, it is considered that the data leaked to the
〔2−3〕クライアント端末の動作:
図6に示すフローチャート(ステップS60〜S63,S70〜S81)に従って、本実施形態のクライアント端末20の動作について説明する。
[2-3] Operation of client terminal:
The operation of the
クライアント端末20では、利用者が管理サーバ10で管理されている個人情報カプセルの内容(個人情報要素)を利用して例えば名簿や住所録を作成すべくアクセス要求を発行する場合(ステップS60のYESルート)、アクセス要求送信手段221により、個
人情報カプセルに対するアクセス要求が認証情報(識別番号およびパスワード)とともにネットワーク30経由で管理サーバ10に送信される(ステップS61)。
In the
このアクセス要求に応じて、個人情報ファイル受信手段222により、管理サーバ10から、アクセス要求送信手段221によって送信されたアクセス要求に応じた個人情報ファイル(暗号化ファイル)がネットワーク30経由で受信された場合(ステップS62のファイルルート)、受信された個人情報ファイルを個人情報ファイル保存手段223に保存してから(ステップS63)、ステップS60の処理に戻る。一方、上記アクセス要求に応じて個人情報ファイルではなくエラー通知が受信された場合(ステップS62のエラールート)、クライアント端末20のディスプレイ等でエラー表示を行なってから(ステップS80)、ステップS60の処理に戻る。
In response to this access request, the personal information
また、利用者が個人情報ファイル保存手段223に保存されている個人情報ファイルである暗号化ファイルを開くべくファイルアクセス(復号鍵の送信要求)を行なう場合(ステップS60のNOルートからステップS70のYESルート)、認証情報送信手段224により、開封要求としての復号鍵の送信要求が暗号化ファイルについての認証情報(識別番号およびパスワード)とともにネットワーク30経由で管理サーバ10に送信される(ステップS71)。
When the user performs file access (decryption key transmission request) to open an encrypted file that is a personal information file stored in the personal information file storage unit 223 (YES in step S60 to YES in step S70). Root), the authentication information transmission means 224 transmits a decryption key transmission request as an unsealing request to the
この開封要求(復号鍵の送信要求)に応じて、復号鍵受信手段225により、アクセス対象の暗号化ファイルに応じた復号鍵が管理サーバ10からネットワーク30経由で受信された場合(ステップS72のYESルート)、復号化手段226により、復号鍵受信手段225で受信された復号鍵を用いて暗号化ファイルが復号化され元の個人情報ファイル(PDFファイル)が復元され(ステップS73)、クライアント端末20のディスプレイに表示される(ステップS74)。一方、復号鍵の送信要求に応じて復号鍵ではなくエラー通知が受信された場合(ステップS72のエラールート)、クライアント端末20のディスプレイ等でエラー表示を行なってから(ステップS80)、ステップS60の処理に戻る。
In response to the opening request (decryption key transmission request), the decryption
個人情報ファイルの表示後、利用者が、復元されたPDFファイルに添付されたオリジナルファイルの編集を望む場合(ステップS75のYESルート)、この利用者にオリジナルファイルの取出し権限および編集権限が設定されているか否かを判断し(ステップS76)、設定されていない場合(ステップS76のNOルート)、その旨のエラー表示を行なってから(ステップS81)、ステップS60の処理に戻る一方、設定されている場合(ステップS76のYESルート)、編集手段227によってオリジナルファイルに対する編集処理を実行する(ステップS77)。なお、利用者がオリジナルファイルの編集を望まない場合(ステップS75のNOルート)、ステップS60の処理に戻る。 After the personal information file is displayed, if the user wants to edit the original file attached to the restored PDF file (YES route in step S75), the user has the authority to extract and edit the original file. (Step S76), if not set (NO route of step S76), after displaying an error to that effect (step S81), the process returns to the process of step S60 while being set If it exists (YES route of step S76), the editing process for the original file is executed by the editing means 227 (step S77). If the user does not want to edit the original file (NO route in step S75), the process returns to step S60.
編集処理を終了する場合(ステップS78のYESルート)、編集手段227によって編集されたオリジナルファイルは、そのオリジナルファイルを取り出したPDFファイル以外に保存されることが禁止されているので、そのオリジナルファイルを取り出したPDFファイルに保存される(ステップS79)。この後、ステップS60の処理に戻る。
When the editing process is ended (YES route in step S78), the original file edited by the
〔3〕本実施形態の個人情報管理システムの効果:
(3−1)以上の実施形態の個人情報管理システム1によれば、個人情報管理サーバ10において、特定の個人を識別可能な個人情報が、標準化されたデータセットである個人情報カプセルとして一元的に管理される。そして、個人情報カプセルにクライアント端末20からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタが設定されており、利用者から個人情報カプセルに対するアクセス要求があると、その利用者に対し設定されたフィルタを用いて個人情報カプセル内の個人情報要素のフィ
ルタリング処理が行なわれ当該利用者の利用可能な個人情報要素が個人情報カプセルから抽出され、抽出された個人情報要素が個人情報ファイルとしてクライアント端末20に送信される。これにより、特定の個人についての個人情報を利用する利用者に対し、その利用者に応じた内容の個人情報要素のみを提供することができるので、利用者にとって不必要と思われる内容が不用意に送信されることがなくなり、個人情報の不用意な流出・漏洩や個人情報の不正利用などが確実に防止され、個人情報の保護を実現することができる。
[3] Effects of the personal information management system of this embodiment:
(3-1) According to the personal information management system 1 of the above embodiment, in the personal
ここで、個人情報ファイルを個人情報管理サーバ10からクライアント端末20に送信する際、個人情報ファイルが、送信先のクライアント端末20に応じた暗号鍵を用いて暗号化され、暗号化ファイルとして送信され、個人情報管理サーバ10によって認証される正当な利用者(正当な送信先であるクライアント端末20の利用者)のみが暗号化ファイルを復号化してアクセスできるように構成することにより、個人情報管理サーバ10からクライアント端末20に送信された個人情報ファイルの内容が不用意に流出・漏洩したり不正利用されたりするのを確実に防止でき、個人情報を確実に保護することができる。
Here, when the personal information file is transmitted from the personal
そして、個人情報カプセルの内容が変更された場合に、無効化手段からの無効化指令を受けて復号鍵を変更することにより、クライアント端末20側での個人情報ファイルの復号化を不能にすることで個人情報ファイルを無効化する。
When the content of the personal information capsule is changed, the decryption key is changed in response to the invalidation command from the invalidation means, thereby making it impossible to decrypt the personal information file on the
すなわち、個人情報管理サーバ10において、変更を施された個人情報カプセルから変更前に抽出されてクライアント端末20に送信された個人情報ファイルを無効化するように構成することにより、個人情報カプセルの内容が変更されると、変更前の個人情報ファイルが無効化され誰も利用できなくなるため、変更前の個人情報ファイルであっても不用意な流出・漏洩や不正利用が確実に防止され、個人情報を確実に保護することができる。
That is, the personal
このとき、例えば、画像情報等を含む全ての個人情報を公開するレベルや、画像情報以外の個人情報を公開するレベルや、氏名および連絡先のみを公開するレベルといった、利用者のランク分けを行なってフィルタ設定を行なうことにより、そのランクに応じた個人情報を提供することが可能になる。また、例えば、企業等において、特定の個人を識別可能な各種個人情報要素を含む個人情報を一元的に管理しながら利用者が特定の個人の個人情報を閲覧・利用する際に、上述のようなフィルタ設定を行なうことにより、利用者がその特定の個人の上司や管理者である場合には詳細な内容(個人情報要素)を閲覧・利用可能にする一方で、利用者が同僚や部下である場合には個人情報の一部のみを閲覧・利用可能にするといったように、利用者に応じた内容の個人情報要素のみを利用者に提供することができる。 At this time, for example, users are ranked such as a level at which all personal information including image information etc. is disclosed, a level at which personal information other than image information is disclosed, and a level at which only name and contact information are disclosed. By setting the filter, personal information corresponding to the rank can be provided. Also, for example, when a user browses / uses personal information of a specific individual while managing personal information including various personal information elements that can identify the specific individual in a company, for example, as described above. If the user is a supervisor or administrator of a specific individual, detailed contents (personal information elements) can be viewed and used while the user is a colleague or subordinate. In some cases, only a part of the personal information can be browsed and used, and only the personal information element with the content corresponding to the user can be provided to the user.
(3−2)以上の実施形態の個人情報管理システム1によれば、クライアント端末20において利用者が電子ファイルを開封する際に、その個人情報ファイルの開封要求が個人情報管理サーバ10に送信され、この開封要求としての復号鍵送信要求を受けた個人情報管理サーバ10において、個人情報ファイルの開封時におけるクライアント端末20の所在位置(所在国)が検出され、検出された所在位置が所定条件〔所定の国(例えばホワイト国)であること〕を満たしているか否かが判定され、クライアント端末20での個人情報ファイル開封直前にクライアント端末20の所在位置を確認することができる。そして、クライアント端末20の所在位置が所定条件(例えば輸出規制対象国内ではない)を満たす場合にのみ個人情報ファイルの開封を許可することにより、個人情報ファイルの内容が、輸出規制対象国や地域などで利用者の知らないうちに流出・漏洩してしまうのを確実に防止することができる。
(3-2) According to the personal information management system 1 of the above embodiment, when the user opens the electronic file at the
また、以上の実施形態の個人情報管理システム1によれば、以上のように復号鍵を変更した後、変更後の復号鍵についてのクライアント端末20への送信を禁止することにより
、個人情報ファイルを無効化している。このため、変更前の個人情報ファイルの復号化が不能になり、確実に無効化され誰も利用できなくなるため、変更前の個人情報ファイルであっても不用意な流出・漏洩や不正利用が確実に防止され、個人情報を確実に保護することができる。
Further, according to the personal information management system 1 of the above embodiment, after changing the decryption key as described above, by prohibiting transmission of the decryption key after the change to the
また、以上の実施形態の個人情報管理システム1によれば、個人情報管理サーバ10において、クライアント端末20からの個人情報カプセルに対するアクセス要求に応じて実行された個人情報ファイルの送信の履歴をログとして記録し、必要に応じてログの記録から削除指令を送信することにより、個人情報カプセルに対するアクセス状況が管理され、必要に応じて個人情報ファイルに対するアクセスを追跡管理可能になり、アクセスを追跡して無効化も可能になるので、個人情報の不正利用をより確実に防止することができる。
Further, according to the personal information management system 1 of the above embodiment, the personal
(3−3)また、以上の実施形態の個人情報管理システム1によれば、個人情報管理サーバ10において新たに生成された個人情報カプセルや変更を施された個人情報カプセルや個人情報ファイルに対しデジタル署名を付与することにより、個人情報カプセルや個人情報ファイルが改竄されていないことを保証することができ、第三者による偽造を防止することができる。その際、クライアント端末20におけるデータの中から個人情報を探査し、探査された個人情報にデジタル署名が付与されていない場合には、その個人情報をクライアント端末20から削除するように構成することにより、個人情報管理サーバ10でのデジタル署名を付与されていない個人情報は、個人情報管理サーバ10の管理下になく、クライアント端末20等のローカルで作成された、正規ではない個人情報と判断され、クライアント端末20から自動的に削除される。これにより、本発明のシステム内では、個人情報管理サーバ10によって一元的に管理される個人情報のみが存在して利用されることになり、個人情報を確実に管理して確実に保護することができる。
(3-3) In addition, according to the personal information management system 1 of the above embodiment, a personal information capsule newly generated in the personal
(3−4)また、以上の実施形態の個人情報管理システム1によれば、個人情報管理サーバ10において、個人情報ファイルを、コンテナ機能を有する完成文書ファイルに変換し、そのコンテナ機能を用いて個人情報ファイルのオリジナルファイルを添付した状態で完成文書ファイルを暗号化してから個人情報ファイルとしてクライアント端末20に送信することにより、個人情報ファイルが改竄困難な完成文書ファイルとして送信され、個人情報ファイルを改竄されて不正利用されるのを防止しながら、コンテナ機能により添付されたオリジナルファイルを用いて編集等の操作を行なうことも可能になる。
(3-4) Also, according to the personal information management system 1 of the above embodiment, the personal
すなわち、管理サーバ10において、個人情報ファイルを、コンテナ機能を有するPDFファイルに変換し、そのコンテナ機能を用いて個人情報ファイルのオリジナルファイルを添付した状態でPDFファイルを暗号化してから個人情報ファイルとしてクライアント端末20に送信することにより、個人情報ファイルが改竄困難なPDFファイルとして送信され、個人情報ファイルを改竄されて不正利用されるのを防止しながら、コンテナ機能により添付されたオリジナルファイルを用いて編集等の操作を行なうことも可能になる。
That is, in the
ただし、その際、編集等の操作は、オリジナルファイルの取出し権限や編集権限をアクセス権限としてアクセス権限設定手段108によって付与された利用者のみが行なえるようにするとともに、クライアント端末20において編集後のオリジナルファイルは、そのオリジナルファイルを取り出したPDFファイル以外に保存されるのを禁止することにより、そのオリジナルファイルの不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
At this time, however, editing and other operations can be performed only by the user granted by the access authority setting means 108 with the original file retrieval authority and editing authority as the access authority, and the
(3−5)また、以上の実施形態の個人情報管理システム1によれば、個人情報管理サーバ10が、暗号化ファイルに対する所定のアクセス権限を、個人情報ファイルの送信先の利用者に応じて設定するようにしており、クライアント端末20は、復号化手段によっ
て復元された個人情報ファイルに対するアクセスとして、アクセス権限設定手段108によって設定されたアクセス権限に応じたアクセスを許可されるため、オリジナルファイルの取出し権限をアクセス権限として付与された利用者のみが行なえるようになり、そのオリジナルファイルの不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
(3-5) Also, according to the personal information management system 1 of the above embodiment, the personal
(3−6)また、以上の実施形態の個人情報管理システム1によれば、利用者は、アクセス権限設定手段108によって、該完成文書ファイルからオリジナルファイルを取り出す取出し権限と、取り出された前記オリジナルファイルの編集権限とを該所定のアクセス権限として設定されている場合には、クライアント端末20において該編集手段227によってオリジナルファイルを編集することを許可されるため、オリジナルファイルの取出し権限や編集権限をアクセス権限として付与された利用者のみが行なえるようになるとともに、そのオリジナルファイルの不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
(3-6) Also, according to the personal information management system 1 of the above embodiment, the user can use the access authority setting means 108 to extract the original file from the completed document file, and the extracted original file. If the file editing authority is set as the predetermined access authority, the
(3−7)また、以上の実施形態の個人情報管理システム1によれば、クライアント端末20において、編集手段227によって編集されたオリジナルファイルが該完成文書ファイル以外に保存されることが禁止されているため、編集等の操作は、オリジナルファイルの取出し権限や編集権限をアクセス権限として付与された利用者のみが行なえるようになるとともに、クライアント端末20において編集後のオリジナルファイルは完成文書ファイル以外に保存されるのを禁止することにより、そのオリジナルファイルの不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
(3-7) Further, according to the personal information management system 1 of the above embodiment, the
(3−8)また、以上の実施形態の個人情報管理システム1によれば、個人情報ファイルを無効化した場合にその旨を個人情報管理サーバ10からクライアント端末20に自動的に通知することで、個人情報カプセルに対するアクセス要求の再実行を利用者に促すことができ、その通知を受けた利用者は自分の判断で再度アクセス要求を行なうことにより、変更後の最新の個人情報ファイルを得ることが可能になり、利用者の利便性を向上させることができる。ここで、利用者は、個人情報ファイルが無効化されたことで個人情報ファイルを利用できなくなったことを認識すると、再度アクセス要求を行なって、変更後の最新の個人情報ファイルを得ることが可能になる。
(3-8) According to the personal information management system 1 of the above embodiment, when the personal information file is invalidated, the personal
(3−9)また、以上の実施形態の個人情報管理システム1によれば、上述した第1の探査手法では、各クライアント端末20におけるファイル毎に、特徴文字や特徴文字列の出現回数に基づく判定値によって、そのファイルが個人情報ファイル(もしくは機密情報ファイル)であるか否かが判定され、個人情報ファイルを自動的に特定して探査することができるので、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する個人情報ファイル(個人情報ファイルである可能性の高いデータファイル)を確実に探査して洗い出し、管理サーバ10等による管理可能な状態に置くことができる。従って、個人情報の開示要求や訂正要求に確実に対応することができるとともに、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
(3-9) Moreover, according to the personal information management system 1 of the above embodiment, in the above-described first search method, based on the number of appearances of characteristic characters and characteristic character strings for each file in each
(3−10)また、上述した第2の探査手法では、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含む文字区間は、個人情報に関するものではないと見なされる一方、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含まない文字区間は、氏名に関するものであると見なされる。従って、電話番号,電子メールアドレス,住所のいずれか一つに該当すると判定された文字区間については、その判定がなされた時点で判定処理を終了し、電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間についての
み不適切文字/不適切文字列との照合処理が行なわれ、さらに、不適切文字/不適切文字列が一つでも文字区間に含まれると判定された時点で、その照合処理を終了させることができるので、氏名リストに含まれる全ての氏名文字列との照合を行なう従来手法に比べ、氏名の照合処理を高速に行なえ、つまりは個人情報ファイルの探索処理を高速に行なうことが可能になる。
(3-10) In the second exploration method described above, a character section that does not correspond to any of a telephone number, an e-mail address, and an address and includes an inappropriate character / unsuitable character string relates to personal information. On the other hand, a character section that does not correspond to any of a telephone number, an e-mail address, and an address and does not include an inappropriate character / inappropriate character string is considered to be related to a name. Therefore, for the character section determined to correspond to any one of the telephone number, e-mail address, and address, the determination process is terminated when the determination is made, and any of the telephone number, e-mail address, or address is terminated. Is also checked for inappropriate characters / unsuitable character strings only for character sections determined to be not applicable, and it is determined that even one inappropriate character / unsuitable character string is included in the character section. At that point, the collation process can be terminated, so that the name collation process can be performed at a higher speed than the conventional method that collates with all name strings contained in the name list. Processing can be performed at high speed.
このとき、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で文字区間における文字列の判定処理を行なうことで、判定処理をより高速に効率良く実行することが可能になる。 At this time, it is possible to execute the determination process more quickly and efficiently by performing the determination process of the character string in the character section in the order of the light load of the determination process, that is, in the order of the telephone number, the e-mail address, and the address. It becomes possible.
(3−11)また、不適切文字/不適切文字列を含まない文字区間を全て氏名に該当するものと見なすので、氏名についての不適切文字/不適切文字列を含まない電子ファイル、即ち、氏名情報を含む可能性が高く個人情報ファイルである可能性の高い電子ファイルを確実に探索することが可能になる。つまり、本実施形態によって個人情報ファイルであると判定される電子ファイルの数は、従来手法に比べよりも多くなり、個人情報ファイルである可能性の高い電子ファイル(疑わしい電子ファイル)を確実に洗い出すことができる。 (3-11) Since all character sections that do not include inappropriate characters / unsuitable character strings are regarded as corresponding to names, electronic files that do not contain inappropriate characters / unsuitable character strings for names, It becomes possible to reliably search for an electronic file that is highly likely to contain name information and is likely to be a personal information file. That is, the number of electronic files that are determined to be personal information files according to the present embodiment is larger than that of the conventional method, and an electronic file that is likely to be a personal information file (suspicious electronic file) is reliably identified. be able to.
さらに、文字区間の文字数が1以上6以下であって且つその文字区間の文字が全て漢字であるか否かを判定し、この文字判定条件を満たす文字区間のみを照合対象としているので、照合対象の文字区間が、より氏名の可能性の高い文字区間に絞り込まれることになり、氏名の照合精度を向上させることができるとともに、氏名の照合処理を高速に行なうことができる。また、文字数が6を超える長い文字区間が、照合対象から除外されるので、氏名の照合処理のさらなる高速化、つまりは個人情報ファイルの探索処理のさらなる高速化に寄与することになる。 Further, since it is determined whether or not the number of characters in the character section is 1 or more and 6 or less and all the characters in the character section are kanji characters, only the character section that satisfies this character determination condition is the target of verification. Are narrowed down to character sections that are more likely to be names, so that the matching accuracy of names can be improved and the name matching process can be performed at high speed. In addition, since a long character section having more than 6 characters is excluded from the object to be collated, it contributes to further speeding up the name collating process, that is, further speeding up the personal information file search process.
このように第2の探査手法によっても、個人情報ファイルを自動的に特定して探索することができるので、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する個人情報ファイル(個人情報ファイルである可能性の高い電子ファイル)を確実に探索して洗い出し管理サーバ10等による管理可能な状態に置くことができ、個人情報の開示要求や訂正要求に確実に対応することができるとともに、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
In this way, the personal information file can be automatically identified and searched by the second exploration method, so that, for example, a company can be obtained without obtaining human cooperation and applying a special load to the person in charge. Disclosure of personal information files (electronic files that are likely to be personal information files) that are distributed within the company, etc., can be surely searched and placed in a state that can be managed by the
(3−12)また、個人情報ファイルは、各個人情報ファイルに付与されたPマーク(ランク/レベル)に応じ、管理サーバ10等によって管理され、個人情報ファイルの利用者(保有者)に注意情報/警告情報を通知したり、個人情報ファイルをクライアント端末20から強制的に捕獲・回収したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したりすることが可能で、個人情報の不用意な流出・漏洩や個人情報の不正利用などをより確実に防止することができる。
(3-12) Also, the personal information file is managed by the
(3−13)また、本実施形態によれば、クライアント端末20からの個人情報カプセル生成要求に基づいて新たに生成しようとする個人情報カプセルについて、個人情報カプセルデータベース11で保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、類似する個人情報カプセルが既に存在する場合には、クライアント端末20に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成するようにしているため、スキャナでの読み取りで生じる誤字や、仮名漢字変換における誤り、キー入力時の誤入力などに起因する誤ったデータの電子ファイルが作成されることがなくなり、個人情報を管理するシステムにおいて唯一無二の電子ファイルが生成されて保存されるようになる。
(3-13) According to the present embodiment, the existing personal information capsule to be newly generated based on the personal information capsule generation request from the
この際、管理サーバからクライアント端末へ、類似する個人情報カプセルが既に存在する場合には、クライアント端末に対する確認要求、クライアント端末に対する類似する個人情報カプセル存在通知と確認要求、類似する個人情報カプセルがクライアント端末に存在する場合におけるクライアント端末に対する類似個人情報カプセルの存在通知、のいずれの手法を用いても良い。そして、クライアント端末に対する確認要求に基づいて、クライアント端末から確認が得られた場合に新たな個人情報カプセルを生成することが望ましい。これにより、一層確実に唯一無二の個人情報カプセルの電子ファイルを生成して管理することが可能になる。 At this time, if a similar personal information capsule already exists from the management server to the client terminal, a confirmation request to the client terminal, a similar personal information capsule presence notification and confirmation request to the client terminal, and a similar personal information capsule to the client terminal Any method of notifying the existence of a similar personal information capsule to the client terminal when it exists in the terminal may be used. And based on the confirmation request | requirement with respect to a client terminal, when a confirmation is obtained from a client terminal, it is desirable to produce | generate a new personal information capsule. This makes it possible to generate and manage an electronic file of a unique personal information capsule more reliably.
〔4〕その他の実施形態(変形例):
なお、本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
[4] Other embodiment (modification):
The present invention is not limited to the above-described embodiments, and various modifications can be made without departing from the spirit of the present invention.
例えば、上述した実施形態では、1種類の個人情報管理サーバ10によって実現しているが、個人情報カプセルデータベース11にアクセスする管理サーバと、認証情報/復号鍵保存手段12にアクセスする管理サーバとに分けて実現してもよい。
For example, in the above-described embodiment, it is realized by one type of personal
また、不正アクセス,情報漏洩,データ毀損などに対して保険金の支払いを行う保険が存在する場合において、以上の実施形態を用いることでリスクが大幅に減少することが予想されるため、本実施形態の個人情報管理サーバ10での認証された状態で個人情報を扱うクライアント端末20では、認証情報を個人情報管理サーバ10から保険会社のサーバに転送して保険会社側で確認することで、保険掛け金の割引きをすることも可能である。この場合、個人情報管理サーバ10側では認証を完了したデータやクライアント端末20の情報を保険会社に転送するだけであり、システムの大幅な改良を要しない。また、保険会社側でも、認証を完了したデータを受けることで、確実な状態を確保しつつ、料金(保険掛け金)の値下げを実行することが可能になる。
In addition, when there is insurance that pays insurance money against unauthorized access, information leakage, data damage, etc., it is expected that the risk will be greatly reduced by using the above embodiment. In the
また、上述した手段101〜119,21〜27としての機能(各手段の全部または一部の機能)は、コンピュータ(CPU,情報処理装置,各種端末を含む)が所定のアプリケーションプログラム(個人情報管理プログラム)を実行することによって実現される。
Further, the functions (all or a part of the functions of each means) as the
そのプログラムは、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど)等のコンピュータ読取可能な記録媒体に記録された形態で提供される。この場合、コンピュータはその記録媒体から分散型ストレージシステム用制御プログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。また、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信回線を介してコンピュータに提供するようにしてもよい。 The program is, for example, a computer such as a flexible disk, CD (CD-ROM, CD-R, CD-RW, etc.), DVD (DVD-ROM, DVD-RAM, DVD-R, DVD-RW, DVD + R, DVD + RW, etc.). It is provided in a form recorded on a readable recording medium. In this case, the computer reads the control program for the distributed storage system from the recording medium, transfers it to the internal storage device or the external storage device, and uses it. Further, the program may be recorded in a storage device (recording medium) such as a magnetic disk, an optical disk, or a magneto-optical disk, and provided from the storage device to a computer via a communication line.
ここで、コンピュータとは、ハードウエアとOS(オペレーティングシステム)とを含む概念であり、OSの制御の下で動作するハードウエアを意味している。また、OSが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンピュータに相当する。ハードウエアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたプログラムを読み取るための手段とを備えている。上記個人情報管理プログラムとしてのアプリケーションプログラムは、上述のようなコンピュータに、手段101〜119,21〜27としての機能を実現させるプログラムコードを含んでいる。また、その機能の一部は、アプリケーションプログラムではなくOSによって実現されてもよい。
Here, the computer is a concept including hardware and an OS (operating system), and means hardware operating under the control of the OS. Further, when the OS is unnecessary and the hardware is operated by the application program alone, the hardware itself corresponds to the computer. The hardware includes at least a microprocessor such as a CPU and means for reading a program recorded on a recording medium. The application program as the personal information management program includes a program code for causing the computer as described above to realize the functions as the
さらに、本実施形態における記録媒体としては、上述したフレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスクのほか、ICカード,ROMカートリッジ,磁気テープ,パンチカード,コンピュータの内部記憶装置(RAMやROMなどのメモリ),外部記憶装置等や、バーコードなどの符号が印刷された印刷物等の、コンピュータ読取可能な種々の媒体を利用することもできる。 Furthermore, as a recording medium in the present embodiment, in addition to the flexible disk, CD, DVD, magnetic disk, optical disk, and magneto-optical disk described above, an IC card, ROM cartridge, magnetic tape, punch card, computer internal storage device (RAM) In addition, various computer-readable media such as an external storage device or a printed matter on which a code such as a barcode is printed can be used.
1 個人情報管理システム
10 個人情報管理サーバ(管理サーバ)
11 個人情報カプセルデータベース(保存手段)
12 認証情報/復号鍵保存手段
101 個人情報カプセル生成/変更要求受信手段
102 生成手段
103 フィルタ設定手段
104 アクセス要求受信手段
105 フィルタリング手段
106 変換手段
107 暗号化手段
108 アクセス権限設定手段
109 個人情報ファイル送信手段
110 ログ記録手段
111 認証情報受信手段
112 判定手段
113 復号鍵送信手段
114 変更手段
115 無効化手段
116 通知手段
117 デジタル署名付与手段
118 個人情報探査手段
119 削除手段
121 位置検出手段
20 クライアント端末
202 操作手段
203 表示手段
221 アクセス要求送信手段
222 個人情報ファイル受信手段
223 個人情報ファイル保存手段
224 認証情報送信手段
225 復号鍵受信手段
226 復号化手段
227 編集手段
30 ネットワーク(社内LAN)
1 Personal
11 Personal Information Capsule Database (Storage)
12 Authentication Information / Decryption
Claims (9)
前記管理サーバが、
前記個人情報カプセルを生成する生成手段と、
前記生成手段によって生成された個人情報カプセルを保存する保存手段と、
前記保存手段に保存された前記個人情報カプセルに前記クライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、
利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、
前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段と、
前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段と、
前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段と、
前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段と、
前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、
前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段と、
前記個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の前記クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、前記暗号化ファイルを前記個人情報ファイルとして前記個人情報ファイル送信手段に送信させる暗号化手段と、
前記クライアント端末から前記暗号化ファイルについての認証情報を受信する認証情報受信手段と、
前記認証情報受信手段によって受信された前記認証情報に基づいて、前記クライアント端末が前記暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段と、
前記暗号化ファイルを復号化するための復号鍵を保存する復号鍵保存手段と、
前記判定手段によって前記クライアント端末が正当な送信先であると判定された場合に前記復号鍵を前記クライアント端末に送信する復号鍵送信手段とを備えて構成され、
前記クライアント端末が、
前記個人情報カプセルに対するアクセス要求を前記管理サーバに送信するアクセス要求送信手段と、
前記管理サーバから前記アクセス要求に応じた前記個人情報ファイルを受信する個人情報ファイル受信手段と、
前記個人情報ファイル受信手段によって受信された前記個人情報ファイルである暗号化ファイルを開く場合に、前記暗号化ファイルについての認証情報を前記管理サーバに送信する認証情報送信手段と、
前記暗号化ファイルに応じた復号鍵を前記管理サーバから受信する復号鍵受信手段と、
前記復号鍵受信手段によって受信された前記復号鍵を用いて前記暗号化ファイルを復号化し元の個人情報ファイルを復元する復号化手段とを備えて構成され、
前記復号鍵保存手段は、前記個人情報カプセルの内容が変更された場合に、前記無効化手段からの無効化指令を受けて前記復号鍵を変更することにより、前記クライアント端末側での前記個人情報ファイルの復号化を不能にする、
ことを特徴とする個人情報管理システム。 A management server that manages personal information that can identify a specific individual as a data set (hereinafter referred to as a personal information capsule) composed of a plurality of personal information elements related to the specific individual, and is connected to the management server so that they can communicate with each other A personal information management system comprising a client terminal that can access the personal information capsule and use a personal information element in the personal information capsule,
The management server is
Generating means for generating the personal information capsule;
Storage means for storing the personal information capsule generated by the generation means;
Filter setting means for setting a filter for defining a personal information element available to the user for each user who can access the personal information capsule stored in the storage means from the client terminal;
Access request receiving means for receiving an access request for the personal information capsule from a user through the client terminal;
When the access request is received by the access request receiving means, filtering of the personal information element in the personal information capsule is performed using the filter set by the filter setting means for the user who transmitted the access request. Filtering means for extracting personal information elements available to the user from the personal information capsule by performing,
Personal information file transmitting means for transmitting the personal information element extracted from the personal information capsule by the filtering means to the client terminal as a personal information file;
Changing means for changing the content of the personal information capsule stored in the storage means;
When the contents of the personal information capsule are changed by the changing means, the invalidating means for invalidating the personal information file extracted before the change from the changed personal information capsule and transmitted to the client terminal When,
Giving a digital signature to the personal information capsule generated by the generating means, the personal information capsule changed by the changing means, or the personal information file obtained by the filtering means Means,
Personal information exploration means for exploring personal information from data in the client terminal;
The personal information searched by the personal information searching means is not given a digital signature by the digital signature giving means, and a user of a client terminal holding the personal information receives the personal information from the management server Means for registering and storing the personal information as a personal information capsule in the storage means,
The personal information searched by the personal information searching means is not given a digital signature by the digital signature giving means, and a user of a client terminal holding the personal information receives the personal information from the management server A deletion means for deleting the personal information from the client terminal if it is not desired to register as a management target of
The personal information file transmitted by the personal information file transmitting means is encrypted using an encryption key corresponding to the client terminal of the transmission destination to create an encrypted file, and the encrypted file is used as the personal information file. Encryption means for causing the personal information file transmission means to transmit;
Authentication information receiving means for receiving authentication information about the encrypted file from the client terminal;
Determination means for determining whether or not the client terminal is a valid destination of the encrypted file based on the authentication information received by the authentication information receiving means;
Decryption key storage means for storing a decryption key for decrypting the encrypted file;
A decryption key transmission unit configured to transmit the decryption key to the client terminal when the determination unit determines that the client terminal is a valid transmission destination;
The client terminal is
Access request transmitting means for transmitting an access request for the personal information capsule to the management server;
Personal information file receiving means for receiving the personal information file in response to the access request from the management server;
Authentication information transmitting means for transmitting authentication information about the encrypted file to the management server when opening an encrypted file that is the personal information file received by the personal information file receiving means;
Decryption key receiving means for receiving a decryption key corresponding to the encrypted file from the management server;
Decryption means for decrypting the encrypted file using the decryption key received by the decryption key receiving means and restoring the original personal information file,
The decryption key storage means changes the decryption key in response to an invalidation instruction from the invalidation means when the content of the personal information capsule is changed, so that the personal information on the client terminal side is changed. Disable file decryption,
A personal information management system characterized by that.
該クライアント端末において前記個人情報ファイルを開封する際に、当該個人情報ファイルの開封要求としての復号鍵送信要求を前記管理サーバに送信する開封要求送信手段を備えて構成されるとともに、
前記管理サーバが、
前記クライアント端末から前記開封要求としての復号鍵送信要求を受信する開封要求受信手段と、
前記開封要求受信手段によって前記開封要求としての復号鍵送信要求を受信した時点における前記クライアント端末の所在位置を検出する位置検出手段と、
前記位置検出手段によって検出された前記所在位置が予め定められた所定条件を満たしているか否かを判定する判定手段と、
前記判定手段によって前記所在位置が前記所定条件を満たしていると判定された場合に前記クライアント端末での前記個人情報ファイルの開封を許可する一方、前記所在位置が前記所定条件を満たしていないと判定された場合に前記クライアント端末での前記個人情報ファイルの開封を禁止する開封許否手段とをそなえて構成されている、
ことを特徴とする請求項1記載の個人情報ファイル管理システム。 The client terminal is
When opening the personal information file in the client terminal, the client terminal is configured to include a decryption request transmission means for transmitting a decryption key transmission request as a request to open the personal information file to the management server,
The management server is
An opening request receiving means for receiving a decryption key transmission request as the opening request from the client terminal;
Position detecting means for detecting the location of the client terminal at the time when the decryption key transmission request as the opening request is received by the opening request receiving means;
Determining means for determining whether or not the location detected by the position detecting means satisfies a predetermined condition;
When the determination unit determines that the location satisfies the predetermined condition, the client terminal allows the personal information file to be opened, and determines that the location does not satisfy the predetermined condition. And an opening permission / refusal means for prohibiting the opening of the personal information file at the client terminal when
The personal information file management system according to claim 1.
前記管理サーバが、
前記個人情報カプセルを生成する生成手段と、
前記生成手段によって生成された個人情報カプセルを保存する保存手段と、
前記保存手段に保存された前記個人情報カプセルに前記クライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、
利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、
前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング
手段と、
前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段と、
前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段と、
前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段と、
前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、
前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段と、を備えて構成され、
前記生成手段は、前記クライアント端末からの個人情報カプセル生成要求に基づいて新たに生成しようとする個人情報カプセルについて、前記保存手段で保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、
類似する個人情報カプセルが既に存在する場合には、クライアント端末に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成する、
ことを特徴とする個人情報管理システム。 A management server that manages personal information that can identify a specific individual as a data set (hereinafter referred to as a personal information capsule) composed of a plurality of personal information elements related to the specific individual, and is connected to the management server so that they can communicate with each other A personal information management system comprising a client terminal that can access the personal information capsule and use a personal information element in the personal information capsule,
The management server is
Generating means for generating the personal information capsule;
Storage means for storing the personal information capsule generated by the generation means;
Filter setting means for setting a filter for defining a personal information element available to the user for each user who can access the personal information capsule stored in the storage means from the client terminal;
Access request receiving means for receiving an access request for the personal information capsule from a user through the client terminal;
When the access request is received by the access request receiving means, filtering of the personal information element in the personal information capsule is performed using the filter set by the filter setting means for the user who transmitted the access request. Filtering means for extracting personal information elements available to the user from the personal information capsule by performing,
Personal information file transmitting means for transmitting the personal information element extracted from the personal information capsule by the filtering means to the client terminal as a personal information file;
Changing means for changing the content of the personal information capsule stored in the storage means;
When the contents of the personal information capsule are changed by the changing means, the invalidating means for invalidating the personal information file extracted before the change from the changed personal information capsule and transmitted to the client terminal When,
Giving a digital signature to the personal information capsule generated by the generating means, the personal information capsule changed by the changing means, or the personal information file obtained by the filtering means Means,
Personal information exploration means for exploring personal information from data in the client terminal;
The personal information searched by the personal information searching means is not given a digital signature by the digital signature giving means, and a user of a client terminal holding the personal information receives the personal information from the management server Means for registering and storing the personal information as a personal information capsule in the storage means,
The personal information searched by the personal information searching means is not given a digital signature by the digital signature giving means, and a user of a client terminal holding the personal information receives the personal information from the management server And deleting means for deleting the personal information from the client terminal if it is not desired to be registered as a management target,
The generation unit is similar to a personal information capsule to be newly generated based on a personal information capsule generation request from the client terminal by performing similarity determination with an existing personal information capsule stored in the storage unit Confirm the existence of the existing personal information capsule,
If a similar personal information capsule already exists, request confirmation from the client terminal, and generate a new personal information capsule if confirmation is obtained.
A personal information management system characterized by that.
前記個人情報カプセルを生成する生成手段と、
前記生成手段によって生成された個人情報カプセルを保存する保存手段と、
前記保存手段に保存された前記個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、
利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、
前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段と、
前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段と、
前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段と、
前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段と、
前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得ら
れた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、
前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段と、
前記個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の前記クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、前記暗号化ファイルを前記個人情報ファイルとして前記個人情報ファイル送信手段に送信させる暗号化手段と、
前記クライアント端末から前記暗号化ファイルについての認証情報を受信する認証情報受信手段と、
前記認証情報受信手段によって受信された前記認証情報に基づいて、前記クライアント端末が前記暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段と、
前記暗号化ファイルを復号化するための復号鍵を保存する復号鍵保存手段と、
前記判定手段によって前記クライアント端末が正当な送信先であると判定された場合に前記復号鍵を前記クライアント端末に送信する復号鍵送信手段とを備えて構成され、
前記復号鍵保存手段は、前記個人情報カプセルの内容が変更された場合に、前記無効化手段からの無効化指令を受けて前記復号鍵を変更することにより、前記クライアント端末側での前記個人情報ファイルの復号化を不能にする、
ことを特徴とする個人情報管理サーバ。 A personal information management server that manages personal information that can identify a specific individual as a data set (hereinafter referred to as a personal information capsule) composed of a plurality of personal information elements related to the specific individual,
Generating means for generating the personal information capsule;
Storage means for storing the personal information capsule generated by the generation means;
Filter setting means for setting a filter that defines personal information elements available to the user for each user who can access the personal information capsule stored in the storage means from a client terminal;
Access request receiving means for receiving an access request for the personal information capsule from a user through the client terminal;
When the access request is received by the access request receiving means, filtering of the personal information element in the personal information capsule is performed using the filter set by the filter setting means for the user who transmitted the access request. Filtering means for extracting personal information elements available to the user from the personal information capsule by performing,
Personal information file transmitting means for transmitting the personal information element extracted from the personal information capsule by the filtering means to the client terminal as a personal information file;
Changing means for changing the content of the personal information capsule stored in the storage means;
When the contents of the personal information capsule are changed by the changing means, the invalidating means for invalidating the personal information file extracted before the change from the changed personal information capsule and transmitted to the client terminal When,
Giving a digital signature to the personal information capsule generated by the generating means, the personal information capsule changed by the changing means, or the personal information file obtained by the filtering means Means,
Personal information exploration means for exploring personal information from data in the client terminal;
The personal information searched by the personal information searching means is not given a digital signature by the digital signature giving means, and a user of a client terminal holding the personal information receives the personal information from the management server Means for registering and storing the personal information as a personal information capsule in the storage means,
The personal information searched by the personal information searching means is not given a digital signature by the digital signature giving means, and a user of a client terminal holding the personal information receives the personal information from the management server A deletion means for deleting the personal information from the client terminal if it is not desired to register as a management target of
The personal information file transmitted by the personal information file transmitting means is encrypted using an encryption key corresponding to the client terminal of the transmission destination to create an encrypted file, and the encrypted file is used as the personal information file. Encryption means for causing the personal information file transmission means to transmit;
Authentication information receiving means for receiving authentication information about the encrypted file from the client terminal;
Determination means for determining whether or not the client terminal is a valid destination of the encrypted file based on the authentication information received by the authentication information receiving means;
Decryption key storage means for storing a decryption key for decrypting the encrypted file;
A decryption key transmission unit configured to transmit the decryption key to the client terminal when the determination unit determines that the client terminal is a valid transmission destination;
The decryption key storage means changes the decryption key in response to an invalidation instruction from the invalidation means when the content of the personal information capsule is changed, so that the personal information on the client terminal side is changed. Disable file decryption,
A personal information management server characterized by that.
前記開封要求受信手段によって前記開封要求としての復号鍵送信要求を受信した時点における前記クライアント端末の所在位置を検出する位置検出手段と、
前記位置検出手段によって検出された前記所在位置が予め定められた所定条件を満たしているか否かを判定する判定手段と、
前記判定手段によって前記所在位置が前記所定条件を満たしていると判定された場合に前記クライアント端末での前記個人情報ファイルの開封を許可する一方、前記所在位置が前記所定条件を満たしていないと判定された場合に前記クライアント端末での前記個人情報ファイルの開封を禁止する開封許否手段とをそなえて構成されている、
ことを特徴とする請求項4記載の個人情報ファイル管理サーバ。 When the personal information file is opened at the client terminal, an opening request receiving means for receiving a decryption key transmission request as the opening request from the client terminal;
Position detecting means for detecting the location of the client terminal at the time when the decryption key transmission request as the opening request is received by the opening request receiving means;
Determining means for determining whether or not the location detected by the position detecting means satisfies a predetermined condition;
When the determination unit determines that the location satisfies the predetermined condition, the client terminal allows the personal information file to be opened, and determines that the location does not satisfy the predetermined condition. And an opening permission / refusal means for prohibiting the opening of the personal information file at the client terminal when
The personal information file management server according to claim 4.
前記個人情報カプセルを生成する生成手段と、
前記生成手段によって生成された個人情報カプセルを保存する保存手段と、
前記保存手段に保存された前記個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、
利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、
前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要
求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段と、
前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段と、
前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段と、
前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段と、
前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、
前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段と、
前記生成手段は、前記クライアント端末からの個人情報カプセル生成要求に基づいて新たに生成しようとする個人情報カプセルについて、前記保存手段で保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、
類似する個人情報カプセルが既に存在する場合には、クライアント端末に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成する、
ことを特徴とする個人情報管理サーバ。 A personal information management server that manages personal information that can identify a specific individual as a data set (hereinafter referred to as a personal information capsule) composed of a plurality of personal information elements related to the specific individual,
Generating means for generating the personal information capsule;
Storage means for storing the personal information capsule generated by the generation means;
Filter setting means for setting a filter that defines personal information elements available to the user for each user who can access the personal information capsule stored in the storage means from a client terminal;
Access request receiving means for receiving an access request for the personal information capsule from a user through the client terminal;
When the access request is received by the access request receiving means, filtering of the personal information element in the personal information capsule is performed using the filter set by the filter setting means for the user who transmitted the access request. Filtering means for extracting personal information elements available to the user from the personal information capsule by performing,
Personal information file transmitting means for transmitting the personal information element extracted from the personal information capsule by the filtering means to the client terminal as a personal information file;
Changing means for changing the content of the personal information capsule stored in the storage means;
When the contents of the personal information capsule are changed by the changing means, the invalidating means for invalidating the personal information file extracted before the change from the changed personal information capsule and transmitted to the client terminal When,
Giving a digital signature to the personal information capsule generated by the generating means, the personal information capsule changed by the changing means, or the personal information file obtained by the filtering means Means,
Personal information exploration means for exploring personal information from data in the client terminal;
The personal information searched by the personal information searching means is not given a digital signature by the digital signature giving means, and a user of a client terminal holding the personal information receives the personal information from the management server Means for registering and storing the personal information as a personal information capsule in the storage means,
The personal information searched by the personal information searching means is not given a digital signature by the digital signature giving means, and a user of a client terminal holding the personal information receives the personal information from the management server A deletion means for deleting the personal information from the client terminal if it is not desired to register as a management target of
The generation unit is similar to a personal information capsule to be newly generated based on a personal information capsule generation request from the client terminal by performing similarity determination with an existing personal information capsule stored in the storage unit Confirm the existence of the existing personal information capsule,
If a similar personal information capsule already exists, request confirmation from the client terminal, and generate a new personal information capsule if confirmation is obtained.
A personal information management server characterized by that.
前記個人情報カプセルを生成する生成手段、
前記生成手段によって生成された個人情報カプセルを保存する保存手段、
前記保存手段に保存された前記個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段、
利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段、
前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段、
前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段、
前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段、
前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個
人情報ファイルを無効化する無効化手段、
前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段、
前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段、
前記個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の前記クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、前記暗号化ファイルを前記個人情報ファイルとして前記個人情報ファイル送信手段に送信させる暗号化手段、
前記クライアント端末から前記暗号化ファイルについての認証情報を受信する認証情報受信手段、
前記認証情報受信手段によって受信された前記認証情報に基づいて、前記クライアント端末が前記暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段、および、
前記暗号化ファイルを復号化するための復号鍵を保存するとともに、前記判定手段によって前記クライアント端末が正当な送信先であると判定された場合に前記復号鍵を前記クライアント端末に送信するとともに、前記個人情報カプセルの内容が変更された場合に、前記無効化手段からの無効化指令を受けて前記復号鍵を変更することにより、前記クライアント端末側での前記個人情報ファイルの復号化を不能にする復号鍵保存手段、
として該コンピュータを機能させることを特徴とする個人情報管理プログラム。 A personal information management program that causes a computer to function as a personal information management server that manages personal information that can identify a specific individual as a data set (hereinafter referred to as a personal information capsule) that includes a plurality of personal information elements related to the specific individual. There,
Generating means for generating the personal information capsule;
Storage means for storing the personal information capsule generated by the generation means;
Filter setting means for setting, for each user who can access the personal information capsule stored in the storage means from a client terminal, a filter that defines personal information elements available to the user;
Access request receiving means for receiving an access request for the personal information capsule from a user through the client terminal;
When the access request is received by the access request receiving means, filtering of the personal information element in the personal information capsule is performed using the filter set by the filter setting means for the user who transmitted the access request. Filtering means for extracting personal information elements available to the user from the personal information capsule by performing,
Personal information file transmitting means for transmitting the personal information element extracted from the personal information capsule by the filtering means to the client terminal as a personal information file;
Change means for changing the content of the personal information capsule stored in the storage means;
When the contents of the personal information capsule are changed by the changing means, the invalidating means for invalidating the personal information file extracted before the change from the changed personal information capsule and transmitted to the client terminal ,
Giving a digital signature to the personal information capsule generated by the generating means, the personal information capsule changed by the changing means, or the personal information file obtained by the filtering means means,
Personal information exploration means for exploring personal information from data in the client terminal;
The personal information searched by the personal information searching means is not given a digital signature by the digital signature giving means, and a user of a client terminal holding the personal information receives the personal information from the management server Means for registering and storing the personal information as a personal information capsule in the storage means,
The personal information searched by the personal information searching means is not given a digital signature by the digital signature giving means, and a user of a client terminal holding the personal information receives the personal information from the management server Deleting means for deleting the personal information from the client terminal if it is not desired to register as a management target of
The personal information file transmitted by the personal information file transmitting means is encrypted using an encryption key corresponding to the client terminal of the transmission destination to create an encrypted file, and the encrypted file is used as the personal information file. Encryption means for causing the personal information file transmission means to transmit;
Authentication information receiving means for receiving authentication information about the encrypted file from the client terminal;
Determination means for determining whether or not the client terminal is a valid transmission destination of the encrypted file based on the authentication information received by the authentication information receiving means; and
A decryption key for decrypting the encrypted file is stored, and when the determination unit determines that the client terminal is a valid transmission destination, the decryption key is transmitted to the client terminal, and When the content of the personal information capsule is changed, the decryption key is changed in response to an invalidation instruction from the invalidation means, thereby making it impossible to decrypt the personal information file on the client terminal side Decryption key storage means,
A personal information management program for causing the computer to function as:
前記開封要求受信手段によって前記開封要求としての復号鍵送信要求を受信した時点における前記クライアント端末の所在位置を検出する位置検出手段、
前記位置検出手段によって検出された前記所在位置が予め定められた所定条件を満たしているか否かを判定する判定手段、
前記判定手段によって前記所在位置が前記所定条件を満たしていると判定された場合に前記クライアント端末での前記個人情報ファイルの開封を許可する一方、前記所在位置が前記所定条件を満たしていないと判定された場合に前記クライアント端末での前記個人情報ファイルの開封を禁止する開封許否手段、
として該コンピュータを機能させることを特徴とする請求項7記載の個人情報管理プログラム。 An opening request receiving means for receiving a decryption key transmission request as the opening request from the client terminal when the personal information file is opened at the client terminal;
Position detecting means for detecting the location of the client terminal at the time of receiving a decryption key transmission request as the opening request by the opening request receiving means;
Determination means for determining whether or not the location detected by the position detection means satisfies a predetermined condition;
When the determination unit determines that the location satisfies the predetermined condition, the client terminal allows the personal information file to be opened, and determines that the location does not satisfy the predetermined condition. Opening permission / refusal means for prohibiting the opening of the personal information file at the client terminal when
The personal information management program according to claim 7, wherein the computer is caused to function as:
前記個人情報カプセルを生成する生成手段、
前記生成手段によって生成された個人情報カプセルを保存する保存手段、
前記保存手段に保存された前記個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段、
利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段、
前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段、
前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段、
前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段、
前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段、
前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段、
前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段、
前記クライアント端末からの個人情報カプセル生成要求に基づいて新たに生成しようとする個人情報カプセルについて、前記保存手段で保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、類似する個人情報カプセルが既に存在する場合には、クライアント端末に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成する手段、
として該コンピュータを機能させることを特徴とする個人情報管理プログラム。
A personal information management program that causes a computer to function as a personal information management server that manages personal information that can identify a specific individual as a data set (hereinafter referred to as a personal information capsule) that includes a plurality of personal information elements related to the specific individual. There,
Generating means for generating the personal information capsule;
Storage means for storing the personal information capsule generated by the generation means;
Filter setting means for setting, for each user who can access the personal information capsule stored in the storage means from a client terminal, a filter that defines personal information elements available to the user;
Access request receiving means for receiving an access request for the personal information capsule from a user through the client terminal;
When the access request is received by the access request receiving means, filtering of the personal information element in the personal information capsule is performed using the filter set by the filter setting means for the user who transmitted the access request. Filtering means for extracting personal information elements available to the user from the personal information capsule by performing,
Personal information file transmitting means for transmitting the personal information element extracted from the personal information capsule by the filtering means to the client terminal as a personal information file;
Change means for changing the content of the personal information capsule stored in the storage means;
When the contents of the personal information capsule are changed by the changing means, the invalidating means for invalidating the personal information file extracted before the change from the changed personal information capsule and transmitted to the client terminal ,
Giving a digital signature to the personal information capsule generated by the generating means, the personal information capsule changed by the changing means, or the personal information file obtained by the filtering means means,
Personal information exploration means for exploring personal information from data in the client terminal;
The personal information searched by the personal information searching means is not given a digital signature by the digital signature giving means, and a user of a client terminal holding the personal information receives the personal information from the management server Means for registering and storing the personal information as a personal information capsule in the storage means,
The personal information searched by the personal information searching means is not given a digital signature by the digital signature giving means, and a user of a client terminal holding the personal information receives the personal information from the management server Deleting means for deleting the personal information from the client terminal if it is not desired to register as a management target of
The personal information capsule to be newly generated based on the personal information capsule generation request from the client terminal is similar to the existing personal information capsule stored in the storage unit and similar to the existing personal information capsule. Means for requesting confirmation from the client terminal if a similar personal information capsule already exists, and generating a new personal information capsule if confirmation is obtained,
A personal information management program for causing the computer to function as:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006181611A JP3909362B1 (en) | 2006-06-30 | 2006-06-30 | Personal information management system, personal information management server, and personal information management program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006181611A JP3909362B1 (en) | 2006-06-30 | 2006-06-30 | Personal information management system, personal information management server, and personal information management program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP3909362B1 JP3909362B1 (en) | 2007-04-25 |
JP2008011360A true JP2008011360A (en) | 2008-01-17 |
Family
ID=38036339
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006181611A Expired - Fee Related JP3909362B1 (en) | 2006-06-30 | 2006-06-30 | Personal information management system, personal information management server, and personal information management program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3909362B1 (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012504920A (en) * | 2008-10-03 | 2012-02-23 | アビニシオ テクノロジー エルエルシー | Detection of confidential information |
CN101714227B (en) * | 2008-10-03 | 2012-05-30 | 富士通株式会社 | Personal-information managing apparatus and personal-information handling apparatus |
JP2013069016A (en) * | 2011-09-21 | 2013-04-18 | Nec Corp | Information leakage prevention device and limitation information generation device |
JP2017219776A (en) * | 2016-06-09 | 2017-12-14 | 富士ゼロックス株式会社 | Communication data relay device and program |
WO2023002836A1 (en) * | 2021-07-19 | 2023-01-26 | 国立研究開発法人情報通信研究機構 | Personal information protection management system for genome data |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5146947B2 (en) * | 2007-05-02 | 2013-02-20 | レーザーテック株式会社 | Export control system, export control method and export control program |
EP2187334A4 (en) | 2007-08-02 | 2011-11-30 | Nec Corp | Information providing support device and information providing support method |
JP4228322B1 (en) * | 2007-12-27 | 2009-02-25 | クオリティ株式会社 | Portable terminal device, file management program, and file management system |
-
2006
- 2006-06-30 JP JP2006181611A patent/JP3909362B1/en not_active Expired - Fee Related
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012504920A (en) * | 2008-10-03 | 2012-02-23 | アビニシオ テクノロジー エルエルシー | Detection of confidential information |
CN101714227B (en) * | 2008-10-03 | 2012-05-30 | 富士通株式会社 | Personal-information managing apparatus and personal-information handling apparatus |
US9569528B2 (en) | 2008-10-03 | 2017-02-14 | Ab Initio Technology Llc | Detection of confidential information |
JP2013069016A (en) * | 2011-09-21 | 2013-04-18 | Nec Corp | Information leakage prevention device and limitation information generation device |
JP2017219776A (en) * | 2016-06-09 | 2017-12-14 | 富士ゼロックス株式会社 | Communication data relay device and program |
WO2023002836A1 (en) * | 2021-07-19 | 2023-01-26 | 国立研究開発法人情報通信研究機構 | Personal information protection management system for genome data |
Also Published As
Publication number | Publication date |
---|---|
JP3909362B1 (en) | 2007-04-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3909362B1 (en) | Personal information management system, personal information management server, and personal information management program | |
JP3959441B2 (en) | Management system, management server, and management program | |
JP4129586B2 (en) | Information processing system | |
JP3814655B1 (en) | File management system, information processing apparatus, and file management program | |
US20100211490A1 (en) | Search mediation system | |
JP3762935B1 (en) | Information processing apparatus, file management system, and file management program | |
JP3918023B2 (en) | Personal information management system | |
JP4206459B2 (en) | Personal information management terminal, personal information management system, and personal information management program | |
JP3878975B1 (en) | Management server and management program | |
JP3705439B1 (en) | Personal information search program, personal information management system, and information processing apparatus with personal information management function | |
JP3799479B1 (en) | Personal information management system, personal information management server, and personal information management program | |
US7912859B2 (en) | Information processing apparatus, system, and method for managing documents used in an organization | |
JP4175578B1 (en) | Management system and management program | |
JP4082520B2 (en) | Personal information search program | |
JP3799379B1 (en) | Information processing system | |
JP4251369B2 (en) | Personal information management system and personal information management program | |
JP3855022B1 (en) | E-mail system, e-mail transmission / reception program, and e-mail system program | |
JP4058467B1 (en) | E-mail system and e-mail transmission / reception program | |
JP3890367B1 (en) | Management system and management program | |
JP2007128387A (en) | Electronic circulation system | |
JP3978525B1 (en) | E-mail system and e-mail transmission / reception program | |
JP3823168B1 (en) | Management server and management program | |
JP4139919B2 (en) | Personal information search program | |
JP4175575B2 (en) | Personal information search program | |
JP4206466B2 (en) | Personal information search program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110202 Year of fee payment: 4 |
|
LAPS | Cancellation because of no payment of annual fees |