JP2008191917A - 秘密情報配送システムおよび秘密情報配送方法 - Google Patents

秘密情報配送システムおよび秘密情報配送方法 Download PDF

Info

Publication number
JP2008191917A
JP2008191917A JP2007025442A JP2007025442A JP2008191917A JP 2008191917 A JP2008191917 A JP 2008191917A JP 2007025442 A JP2007025442 A JP 2007025442A JP 2007025442 A JP2007025442 A JP 2007025442A JP 2008191917 A JP2008191917 A JP 2008191917A
Authority
JP
Japan
Prior art keywords
data
delivery
secret information
secret
piece
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007025442A
Other languages
English (en)
Other versions
JP4895378B2 (ja
Inventor
Hisao Kato
久男 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SENKEN CO Ltd
Original Assignee
SENKEN CO Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SENKEN CO Ltd filed Critical SENKEN CO Ltd
Priority to JP2007025442A priority Critical patent/JP4895378B2/ja
Priority to KR1020097016338A priority patent/KR20090117722A/ko
Priority to EP08703800A priority patent/EP2116956A1/en
Priority to PCT/JP2008/050972 priority patent/WO2008096608A1/ja
Priority to US12/525,782 priority patent/US20100049966A1/en
Publication of JP2008191917A publication Critical patent/JP2008191917A/ja
Application granted granted Critical
Publication of JP4895378B2 publication Critical patent/JP4895378B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/556Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Abstract

【課題】 秘密分散法を利用して保管されている秘密情報データを外部に引き渡す際の情報漏洩を防止する。
【解決手段】 秘密情報データの配送先に渡すべきデータを秘密分散法を用いて複数のデータピースに分割し、一部のデータピースは、データ配送元によって可搬型記憶媒体に格納されて、宅配便などの手段によりデータ配送先に配達される。残りのデータピースは、データ配送先が所定のウェブサイトにアクセスしてダウンロードする。データ配送先のコンピュータは、このような2種類のルートで取得したデータピースから元の秘密情報データを復元する。
【選択図】 図1

Description

秘密分散法により原データを分割し、分割されたデータピースを別ルートで配送し、配送先にて原データを復元する秘密情報配送システムおよび秘密情報配送方法に関する。
秘密情報を保存するにあたり、機密保持に十分に配慮することが求められており、そのための方法が種々考案されている。例えば、特開2004−145755号公報(特許文献1)に開示されている方法は、他者から秘密にすべきデータを保管する場合、原データを単に暗号化するのではなく、秘密分散をして保管するとともに、これらの分散保管されたデータから原データを復元可能とするものである。
しかし、特許文献1に記載の技術は、秘密情報の機密保護に主眼が置かれ、この保護された情報の活用法及びその利便性には特に注意が払われていない。厳重に保護された情報に、ユーザが、どのようにしてアクセスし、自己の業務に活用するかというユーザレベルの利用法については言及がない。
そのため、本出願人は、特開2006−189925号公報(特許文献2)において、秘密分散法を利用することにより、情報の機密保持に万全を期しつつ、情報の容易な活用を実現する技術を提案している。
ここで、特許文献2に記載の発明(以下、「従来技術」)の概要を以下に記す。なお、この発明では、情報を構成するデータ項目の保護レベルに応じて適切に取り扱い、ユーザの使い勝手を良好にしている。しかし、本願発明では、保護レベルという概念は特に問題とすることなく、秘密情報データを秘密分散法によって管理することを前提としている。したがって、以下の従来技術に関する説明において、保護レベルに関する記述は省略する。
図10にこの従来技術のシステム構成を示す。
秘密情報管理装置101は、インターネット等の通信ネットワークN101を介してユーザ端末102と接続している。また、秘密情報管理装置101は、通信ネットワークN102を介して秘密情報データ分散管理サーバ103(以下「分散管理サーバ103」)と接続している。この分散管理サーバ103は、原データをいくつかの部分に分割して保存するための記憶媒体104を複数個備えている。
さらに、秘密情報管理装置101は、検策用キーワード管理データベース105(以下「キーワード管理DB105」)にアクセス可能である。キーワード管理DB105は、秘密情報管理装置101の内蔵記憶装置あるいは外付けの記憶装置に格納されていてもよく、秘密情報管理装置101とは別個のコンピュータであるデータベースサーバの記憶装置に格納されていてもよい。
図11に従い、秘密情報管理装置101のソフトウェア構成を説明する。
フロントエンドモジュール106は、ユーザ端末102からの入力を受け付けて、秘密情報を扱う業務処理を行うソフトウェアである。このフロントエンドモジュール106は、業務要件に応じたビジネスロジックとユーザインタフェースを実装している。バックエンドモジュール107は、フロントエンドモジュール106においてデータの保管やデータの取得をする必要が生じたときに、フロントエンドモジュール106に代わって、データ保管・取得処理を担当するとともに、分散管理サーバ103およびキーワード管理DB105とのインタフェース(図示せず)を介してデータの送受信を行う。
このように、バックエンドモジュール107が、機密保護に配慮したデータ管理を行うので、フロントエンドモジュール106は、特に情報の保護を意識しなくて済む。
バックエンドモジュール107は、データ保管手段108と、データ取得手段109を備える。
このような構成を備える秘密情報管理装置101は、分散管理サーバ103とキーワード管理DB105とを含む秘密情報管理システム100において、システム管理サーバとしての役割を担うと考えることができる。
ところで、氏名のように個人を特定しうる個人特定情報は、分散管理サーバ103の管理下におき、一切の検索や抽出のキーにならないことが望ましい。しかし、業務処理の内容によっては、個人特定情報で検索できなければならないこともある。そのため、分散管理サーバ103とは別にキーワード管理DB105にその属性値を格納し、一意検索を可能とすることにした。ただし、属性値をそのまま、つまり平文ではセキュリティの観点から問題であるため、非可逆な状態である一方向性ハッシュ値に加工して格納する。
次に、図12に従い、フロントエンドモジュール106から新規にデータ保管要求があった場合の、バックエンドモジュール107、特にデータ保管手段108の動作について説明する。
フロントエンドモジュール106からバックエンドモジュール107に対し、保管すべき内容とユーザIDとを特定し、データ保管要求が送られる(ステップS101)。
バックエンドモジュール107は、保管すべき内容にユーザIDを付加して、所定のフォーマットのデータを生成する(ステップS102)。この生成されたデータが、分散管理サーバ103が分割して保管すべき原データとなる。分散管理サーバ103は、保管要求(ステップS103)を受け付けると、あらかじめ定められた公知の方法で原データを分割し、複数の記憶媒体104に保存する(ステップS104)。このとき、分散管理サーバ103は、分割データを復元するための情報である文書IDを生成する。分散管理サーバ103は、分割保存および文書IDの生成を終えると、バックエンドモジュール107に対し、文書IDを送信する(ステップS105)。以後、バックエンドモジュール107は、この文書IDを分散管理サーバ103に送信すれば、分割保存されているデータを取得できることになる。
次に、バックエンドモジュール107は、分割保存したデータと関連付けられたテーブルをキーワード管理DB105に登録しなければならない。そのため、適宜属性値を予め定められたハッシュ関数に代入してハッシュ値を計算したり、暗号化したりする(ステップS106)。このハッシュ化等をした各属性値に、文書ID、ユーザIDを付加して、キーワード管理DB105に登録をする(ステップS107)。
次に、図13に従い、フロントエンドモジュール106からデータ取得要求があった場合の、バックエンドモジュール107、特にデータ取得手段109の動作について説明する。
フロントエンドモジュール106からバックエンドモジュール107に対し、ユーザ名を指定して、データ取得要求が送られる(ステップS201)。
バックエンドモジュール107は、指定されたユーザ名をハッシュ計算し(ステップS202)、このハッシュ値でキーワード管理DB105を検索する(ステップS203)。ハッシュ値が一致した場合、文書IDを抽出する(ステップS204)。次に、バックエンドモジュール107が、この文書IDを分散管理サーバ103に送信し、該当文書の復元と送信を要求する(ステップS205)と、分散管理サーバ103は、復元データを送信する(ステップS206)。
バックエンドモジュール107は、送信された復元データに含まれるユーザ名と、フロントエンドモジュール106によって特定されたユーザ名とを照合し(ステップS207)、一致すれば、フロントエンドモジュール106にデータを送る(ステップS208)。
なお、ユーザ名が異なる場合でも、ハッシュ計算の結果、同一のハッシュ値を持つことがある。その場合は、ステップS204で複数の文書IDが返されるので、ユーザ名同士が一致するものが見つかるまで、ステップS205〜S207の処理を繰り返す。
一般に、原本データは、分散管理されることにより非常に強固に保護される。しかし、秘密情報データは複数媒体に分散されているので、基本的には復号のための情報(以下、「復号用インデックスキー」)による検索しか行えない。そのため、秘密情報の内容(例えば、氏名)による検索ができないのが通常である。しかし、従来技術では、検索用キーワードになりうる情報(例えば、ユーザ名)と復号用インデックスキー(文書IDが相当)とを対応付けて別個の記憶媒体で管理している。これにより、分散された情報を必要な都度復元して活用することが可能となる。
特開2004−145755号公報 特開2006−189925号公報
しかしながら、特許文献2に記載の発明は、安全確実に分散保管されている情報を容易に活用できるという利点はあるものの、情報を外部へ引き渡す際の情報漏洩の防止について特に配慮していない。
例えば、図10において、ユーザ端末102が秘密情報管理装置101側から秘密情報データの送信を受ける際、通信回線N101を介するときに暗号化などの対策が施されているならば、ユーザ端末102と秘密情報管理装置101を含む秘密情報管理システムとの間のセキュリティは確保される。しかし、ユーザ端末102からさらに他者の端末200へ秘密情報を送信する場合、適切な対策を講じなければ、データの盗難・紛失時に秘密情報が漏洩するおそれがある。ここで問題となるのは、データが盗難にあったり紛失したりすること自体ではなく、盗難・紛失などにあったデータが外部の者によってその内容を読み取られてしまうことである。もし、他人によって秘密情報データの内容が容易に読み取られるようであっては、秘密分散法を利用して万全に保護をしていたことが無駄になってしまう。
本発明は、かかる問題点にかんがみ、秘密情報データを外部へ引き渡す際における、データ盗難・紛失時の可読性を排除する仕組みを設けることにより、外部への安全な情報配送を実現することを目的とする。
前記の目的を達成するために、本発明は、以下の構成をとる。
請求項1の秘密情報配送システムは、秘密情報データを秘密分散法によりデータピースに分割して保管するとともに、各データピースから元の秘密情報データを復元する処理を行う秘密情報管理システムと、前記秘密情報管理システムに保存されている秘密情報データを、データ配送先に配送することを管理するデータ配送元端末と、前記秘密情報管理システムに保存されている秘密情報データのデータピースを入手し復元するデータ配送先端末とから構成される秘密情報配送システムであって、前記秘密情報管理システムは、システム前置サーバを含み構成され、前記システム前置サーバは、前記データ配送元端末からの秘密情報抽出要求を受信すると、前記秘密情報管理システムに分散保管されているデータを復元し、復元された1以上のデータを一括して配送対象情報データを作成し、この配送対象情報データを秘密分散法に基づき2個以上のデータピースに分割するデータ抽出・再分割手段と、前記の配送対象情報データを構成するデータピース群の一部を前記データ配送元端末に送信するとともに、残りのデータピースをダウンロード専用ウェブサイトへアップロードするデータピース配送手段と、前記ダウンロード専用ウェブサイトのURLを通知する電子メールを前記データ配送先端末へ送信するメール作成・送信手段とを少なくとも備え、前記データ配送元端末は、入力手段と、画面表示手段と、通信ネットワークを介して前記システム前置サーバと接続する通信インターフェース手段と、不揮発性のエリアを有する可搬型記憶媒体と接続する記憶媒体インターフェース手段と、前記システム前置サーバに対して配送対象情報データを要求するデータ抽出要求手段と、前記システム前置サーバから送信されてきたデータピースを前記可搬型記憶媒体の不揮発性エリアに書きこむデータピース書込手段とを少なくとも備え、前記データ配送先端末は、入力手段と、画面表示手段と、インターネットと接続する通信インターフェース手段と、前記可搬型記憶媒体と接続する記憶媒体インターフェース手段と、前記システム管理サーバから送信された電子メールを受信し、前記ダウンロード専用ウェブサイトのURLを取り出すURL抽出手段と、インターネットを介して前記所定のサイトにアクセスし、データピースをダウンロードするデータピース取得手段と、前記可搬型記憶媒体の不揮発性エリアに格納されているデータピースを読み出し、このデータピースと前記ダウンロードされたデータピースとから元の配送対象情報データを復元するデータ復元手段とを備えることを特徴とする。
これにより、元の秘密情報データは複数のデータピースに分割され、別ルートを経て配送先に届けられる。万が一、いずれかのデータピースが紛失・盗難等にあっても、1個のデータピースからは元のデータの復元ができないため、極めて高いレベルで秘密情報を保護できる。
本発明において、「秘密情報」とは、秘密情報に代表される秘密にすべき内容を含む情報一般の意味である。したがって、狭義の秘密情報(氏名、住所、電話番号、メールアドレス、勤務先など)に限るものではない。
「秘密分散法」という用語は、データを分割して保管する方法の代表としての意義を有するにすぎず、他の名称で呼ばれる方法であっても、データを分割して保管し、分割された一部のデータピースからだけでは原データの復元ができない方法であればよい。
「データ配送元」とは、契約等により秘密情報管理システムが提供するサービスを受けることができる者をいう。たとえば、いわゆる名簿業者が、貸金庫に貴重品を預けるような感覚で、自ら収集した秘密情報を安全に保存するために、秘密情報管理システムを利用する場合、この名簿業者は「データ配送元」となる。「データ配送先」とは、ダイレクトメールの発送などの目的により、データ配送元から秘密情報を購入等しようとしている者が考えられる。
「配送対象情報」とは、データ配送元がデータ配送先に提供する秘密情報データをいう。本発明では、配送対象情報自体がデータ配送先に配送されるのではなく、秘密分散法によって、2個以上の情報の断片に分割されて、異なる2ルートで配送される。この情報の断片を「データピース」と呼ぶ。
請求項2は、請求項1に記載の秘密情報配送システムにおいて、前記システム前置サーバから前記データ配送先端末へ送信される電子メールには、前記ダウンロード専用ウェブサイトのURLと、この専用ウェブサイトへアクセスするために必要となるパスワードとが記載されたファイルが暗号化されて添付されていることを特徴とする。
これにより、秘密情報管理システムが配送先にのみダウンロードサイトのURLとこのサイトにアクセスするために必要なパスワードを通知するので、配送先以外はこのサイトからデータピースをダウンロードすることが困難となる。
請求項3は、請求項1または2のいずれかに記載の秘密情報配送システムにおいて、前記配送対象情報データを分割して得られたデータピース群の一部が前記データ配送元端末へ送信された後、前記システム前置サーバは、前記配送対象情報データを再度分割して予備データピース群を作成することを特徴とする。
これにより、データピースに紛失などによって、元のデータの復元が不可能となっても、予備データピースを同様の方法で配送すれば復元ができる。
請求項4は、請求項1〜3のいずれか一に記載の秘密情報配送システムにおいて、前記可搬型記憶媒体は、不揮発性エリアと、揮発性エリアと、不可視エリアとを備えたUSBメモリであることを特徴とする。
これにより、一つのUSBメモリが、ハードディスクとメモリの機能を同時に果たすことができ、データの種類によって、どのエリアに格納すればよいか柔軟に使い分けることができる。
請求項5は、請求項4に記載の秘密情報配送システムにおいて、前記データ復元手段は、前記不揮発性エリアに格納してある復元用プログラムを前記揮発性エリアに読み出し実行されることによって実現されるとともに、前記データ復元手段は、前記揮発性エリア上で、前記専用ウェブサイトからダウンロードされたデータピースと、前記不揮発性エリアに格納されていたデータピースとから元の配送対象情報データを復元することを特徴とする。
これにより、データの復元処理は、USBメモリの内部で実行できるので、配送元を経由して入手したデータピースをUSBメモリの外部に出さなくてすむ。そのため、セキュリティが確保される。
請求項6は、請求項4または5のいずれかに記載の秘密情報配送システムにおいて、前記可搬型記憶媒体は、USBキーとしての機能を兼ね備えていることを特徴とする。
これにより、配送元端末および配送先端末をシンクライアントとすることができ、セキュリティの確保が万全になる。
請求項7は、秘密情報配送方法であって、秘密情報データを取り扱うデータ配送元のコンピュータであって、秘密分散法に基づき秘密情報を分散管理している秘密情報管理システムにアクセスし、該システムの提供するサービスを受けることができるコンピュータが、データ配送先から依頼された秘密情報データを該データ配送先のコンピュータに安全に配送するための秘密情報配送方法であって、前記配送元のコンピュータが、前記秘密情報管理システムにアクセスし、前記配送先のコンピュータに配送する秘密情報データの抽出を要求すると、前記秘密情報管理システムは、要求された秘密情報データを抽出し、2個以上のデータピースに分割し、分割されたデータピースの一部を前記配送元のコンピュータに送信するとともに、残りのデータピースをダウンロードするための専用ウェブサイトのURLを通知する電子メールを前記配送先のコンピュータに送信する一方、前記配送元のコンピュータは、可搬型記憶媒体に前記秘密情報管理システムから送信されたデータピースを記録し、前記配送先のコンピュータは、前記電子メールで通知されたURLを用いて前記専用ウェブサイトにアクセスし、残りの情報データピースをダウンロードするとともに、前記可搬型記憶媒体と接続した状態で、前記ダウンロードしたデータピースと、前記可搬型記憶媒体に記録されていたデータピースとから元の秘密情報データを復元することを特徴とする。
本発明によれば、秘密情報データを分割し、それぞれを別ルートで配送し、配送先にて復元する。しかも、分割された情報の断片、すなわちデータピースが揃わなければ元の秘密情報データを復元できない。このように可読性が排除されているので、配送途中で一部のデータピースが盗難にあったり紛失したりしても、情報が漏洩することはない。したがって、秘密情報を秘密分散法により慎重に保存しているにもかかわらず、その秘密情報を外部に引き渡す際に漏洩するという不都合を回避できる。
〔1.システム構成〕
〔1.システム構成〕
図1に本発明の実施形態のシステム構成を示す。
本実施形態の主要な構成要素は、データ配送元端末1と、秘密情報管理システム2と、データ配送先端末3である。秘密情報管理システム2として、秘密分散法あるいは多重分散法と呼ばれるサービスシステムを利用する。このようなシステムとして、例えば、エヌ・ティ・ティ・コミュニケーションズ株式会社が提供する秘密分散サービスであるSecuredArchiveなどがある。
システム前置サーバ4は、秘密情報管理システム2において、データ配送元端末1からの要求を受付、要求された処理を行う。秘密情報管理システム2は、図10に示す従来技術におけるシステム100に相当するので、システム前置サーバ4は、図10の秘密情報管理装置101に相当する。秘密情報管理システム2は、情報を分散保管するために、図10の分散管理サーバ103、キーワード管理DB105に相当する構成要素を含むが、以下の説明において、これらの構成要素について言及することなく、秘密情報管理システム2の機能をシステム前置サーバ4の機能と同視して説明する。
このシステム前置サーバ4は、ダウンロード専用ウェブサイト5を開設するウェブサーバと接続できる。なお、システム前置サーバ4とこのウェブサーバとは同一のコンピュータであってもよい。
データ配送元端末1は、通信ネットワークN1を介してシステム前置サーバ4と接続できる。
データ配送先端末3は、インターネットN2を介してウェブサイト5にアクセスでき、かつ、通信ネットワークN3を介してシステム前置サーバ4から電子メールを受信することができる。
データ配送元端末1は、秘密情報管理システム2を利用して秘密情報データの保管と取得のサービスを受ける秘密情報管理システム2のユーザの端末である。このユーザは、自分が取り扱っている秘密情報データの提供依頼を顧客から受けると、秘密情報管理システム2から当該秘密情報データを取り出して顧客に提供する。この顧客の端末が、データ配送先端末3である。つまり、データ配送元端末1は、図10に示す従来技術におけるユーザ端末102に対応し、データ配送先端末3は、図10の他者の端末200に対応する。
システム前置サーバ4は、処理部6と記憶部7と図示しない通信インターフェース手段を含む。
処理部6は、データ抽出・再分割手段8と、データピース配送手段9と、メール作成・送信手段10とを含む。
データ抽出・再分割手段8は、データ配送元端末1から抽出要求のあった配送対象情報データを取り出し、この情報データを秘密分散法に基づき2以上のデータピースに分割する処理を行う。
データピース配送手段9は、配送対象情報データを構成するデータピースの一部をデータ配送元端末1に送信するとともに、残りのデータピースをウェブサイト5へアップロードする処理を行う。
メール作成・送信手段10は、ダウンロード専用ウェブサイト5のURLを通知する電子メールをデータ配送先端末3へ送信する処理を行う。これらの各手段の作用については、後に詳しく説明する。
なお、処理部6の各手段は、主として、図示しないCPUが必要なコンピュータプログラムを実行することによって実現する。
記憶部7は、処理部6の各手段がその機能を実現するためのコンピュータプログラム、このプログラムが実行される過程で得られる中間データ、データ配送元端末1からの処理要求の履歴などを記憶する。
データ配送元端末1は、処理部11と、可搬型記憶媒体12との通信を確立するための記憶媒体インターフェース手段13を含む。
処理部11は、データ抽出要求手段14と、データピース書込手段15とを含む。
データ抽出要求手段14は、データ配送先に提供するための情報データの取り出しをシステム前置サーバ4に要求する処理を行う。
データピース書込手段15は、システム前置サーバ4からデータピースをダウンロードし、これを可搬型記憶媒体12に書きこむ処理を行う。処理部11の各手段は、主として、図示しないCPUが必要なコンピュータプログラムを実行することによって実現する。これらの各手段の作用については、後に詳しく説明する。
データ配送元端末1は、他に、図示しないキーボードやマウスなどの入力手段、画面表示手段、通信手段N1を介してシステム前置サーバ4などとの送受信を行うための通信インターフェース手段も備える。
データ配送先端末3は、処理部16と、可搬型記憶媒体12との通信を確立するための記憶媒体インターフェース手段17と、通信ネットワークN2,N3と接続するための通信インターフェース手段(図示せず)とを含む。
処理部16は、URL抽出手段18と、データピース取得手段19と、データ復元手段20を含む。
URL抽出手段18は、システム前置サーバ4から送信された電子メールを受信し、ダウンロード専用ウェブサイト5のURLを取り出す処理を行う。
データピース取得手段19は、専用ウェブサイト5からデータピースをダウンロードし、データ復元手段20は、このデータピースと、可搬型記憶媒体12に格納されているデータピースとから元の配送対象情報データを復元する処理を行う。
処理部16の各手段は、主として、図示しないCPUが必要なコンピュータプログラムを実行することによって実現する。これらの各手段の作用については、後に詳しく説明する。なお、データ復元手段20は、可搬型記憶媒体12に格納したプログラムを可搬型記憶媒体12の内部で実行させることによって実現されるようにしてもよい。
データ配送先端末3は、他に、図示しないキーボードやマウスなどの入力手段、画面表示手段なども備える。
本システムでは、データ配送元端末1に可搬型記憶媒体12を接続し、一部のデータピースを書き込み、この可搬型記憶媒体12を、届け保証付きの宅配便などを利用してデータ配送先に送り、データ配送先端末3がこれと接続し、データピースを読み取る。
可搬型の記憶媒体であれば、ハードディスク、フレキシブルディスク、MOなどでもよいが、セキュリティの見地からは、次のような本実施形態に専用のUSBメモリを用いることが望ましい。
この専用USBメモリは、不可視エリアと、不揮発性エリアと、揮発性エリアの3つのエリアから構成される。不揮発性エリアとは、コンピュータに装着されていないとき、つまり電源の供給がないときであっても書き込まれているデータを保持できるエリアである。データ配送元端末1は、このエリアにダウンロードしたデータピースを書き込む。揮発性エリアは、電源の供給がないときはデータを保持できないエリアであって、データ配送先端末3がダウンロードしたデータピースは、このエリアに書き込まれる。このエリアの内容は、電源の供給がなければ、人手を介入させずにクリアされる。不可視エリアに書き込まれた内容は、専用のソフトウェアあるいはハードウェアによらなければ、その内容を参照できない。そのため、改竄されると無意味になる情報、例えば操作履歴情報などの書き込みエリアとして適している。つまり、この専用USBメモリの各エリアを、データの性質に従い使い分けるとよい。
〔2.システムの作用の概要〕
本実施形態のシステムの作用の概要を図2に従い説明する。
データ配送業者のオペレータが、データ配送元端末1を介して必要な情報の抽出要求を秘密情報管理システム2に送信する(ステップS1)。必要な情報とは、ダイレクトメール発送業者などの配送先から要求のあった情報である。
システム前置サーバ4は、要求された情報データを抽出しメモリ上に展開した後、展開された情報データに対して再度の秘密分散処理を行い2個以上のデータピースに分割する(ステップS2)。なお、説明の便宜上、2個のデータピースDa、Dbに分割されるものとする。
分割されたデータピースの1つ(Da)をデータ配送元端末1がダウンロードし、専用USBメモリの不揮発性エリアに書き込む(ステップS3)。専用USBメモリ12は、宅配便などの手段によって配送先へ届けられる(ステップS4)。
システム前置サーバ4は、データピースDbをダウンロードするための専用ウェブサイト5のURLを記載したファイルを添付した電子メールを配送先に送信する(ステップS5)。
配送先のオペレータは、受信した電子メールに添付されているファイルに記載されているURLを参照し、ダウンロード専用ウェブサイト5にアクセスする(ステップS6)と、システム前置サーバ4は、データピースDbを専用ウェブサイト5にアップロードする(ステップS7)ので、データ配送先端末3はDbをダウンロードする(ステップS8)。USBメモリ12のデータ復元機能によってデータピースDa,Dbとから元の配送対象情報データが揮発性エリアに復元される(ステップS9)。USBメモリ12が復元機能を実現するために、不揮発性エリアにデータ復元用ソフトが格納されているか、データ復元のためのハードウェア構成を含んでいるか、が必要である。なお、復元後のデータの扱いは、本発明の範囲外である。
ところで、データピースDbをダウンロード(ステップS8)する以前に、USBメモリ12は配送先端末3に接続されているものとする。また、図2において、配送元からのUSBメモリ12の受領(ステップS4)と、システム前置サーバ4からのメールの受信(ステップS5)とのタイミングはいずれが先でも差し支えない。
〔3.システムの作用の詳細〕
本システムの作用について、データ配送元端末1側の処理から説明する。
所定の権限を持ったオペレータがキーボード、マウスなどの入力手段を介して、データ配送元端末1を操作する。オペレータの権限の確認のための処理などは公知の方法によって適宜行うものとする。
データ配送元端末1のデータ抽出要求手段14は、秘密情報管理システム2に秘密情報の抽出を依頼するために、入力手段を介して所定の項目を秘密情報管理システム2に送信しなくてはならない。このときの入力画面21の一例を図3に示す。図3に記載の項目は例示にすぎない。
送り先会社名欄t1には、秘密情報の配送先の名称を入力する。
送り先メールアドレス欄t2には、配送先のオペレータのメールアドレスを入力する。
添付ファイルパスワード欄t3には、配送先において、圧縮された添付ファイルを解凍するためのパスワードを入力する。
必要な項目の入力を終えると、「次へ」ボタンb1をマウスでクリックし、システム前置サーバ4にこれらの情報が送信される。データ配送元端末1の画面には、次の抽出対象選択画面22が表示される。この画面は、秘密情報管理システム2からの抽出対象とすることができる項目を指定するもので、画面表示例を図4に示す。
たとえば、配送先が東京都港区に住む20代の女性にダイレクトメールを発送することを希望しているとする。この場合、配送元は、住所欄t4に「東京都港区」、性別欄t5に「女性」、年齢欄t6に「20−29」を入力すればよい。このように必要な項目欄に入力を終えると、「実行」ボタンb2をマウスでクリックし、秘密情報管理システム2側に、これらの条件を送信する。
システム前置サーバ4では、データ抽出・再分割手段8が、指定された条件に合致する秘密情報を検索する。条件に合致する個人がN人いたとし、1人あたり1件のデータが対応しているとする。秘密情報管理システム2では1件ずつのデータを分散して保管しているので、各件のデータを構成するデータピースを取り出し復元する。復元されたN件のデータを一括し、メモリ上に展開することとし、ハードディスクには保存しないようにする。このメモリ上に展開された内容が配送先に提供される配送対象情報データである。この配送対象情報データを秘密分散法に基づき2個以上のデータピースに分割する。説明の便宜上、2個のデータピースDa,Dbに分割されたとする。
なお、分割後は、配送対象情報データはメモリ上から削除され、システム前置サーバ4のハードディスクなどに保存されることなく、秘密情報管理システム2に分散して保管される。
システム前置サーバ4のデータ抽出・再分割手段8によるデータ抽出処理が完了すると、システム前置サーバ4は、図5に例示するようなピースダウンロード画面23をデータ配送元端末1の画面上に表示させる。
この画面23上でデータ件名などを確認後に「ピースダウンロード」ボタンb3をクリックすると、データ配送元端末1のデータピース書込手段15は、秘密情報管理システム2に分散保管されていたデータピースDaをダウンロードできる。ここで注意すべきことは、Daはシステム前置サーバ4に一時保管されていたのではなく、ダウンロード要求を受信してから、データピース配送手段9が分散保管されていた記憶媒体から取り出し、データ配送元端末1に送信した、という点である。
データピースのダウンロードを終了すると、図6に例示するような画面が表示される。
この画面上で、「完了画面へ」ボタンb4をクリックすると、システム前置サーバ4のメール作成・送信手段10は、配送先の担当者へメールを送信するとともに、データ配送元端末1にダウンロード完了画面(図示せず)を表示させる。
データ配送元端末1のデータピース書込手段15は、ダウンロードしたデータピースDaを、USBメモリ12の不揮発性エリアに書き込む。ダウンロードしたデータピースDaは、データ配送元端末1のメモリ上あるいはハードディスクなどの記憶媒体に書き込まれることなく、直接USBメモリ12に書き込まれることが望ましい。配送元では、このUSBメモリ12を、データ配送元端末1の記憶媒体インターフェース手段13から取り外し、宅配便などを使って、配送先へ配達する。配達の手段は本発明の範囲外であり、どのような手段でもよい。
次に、図6の「完了画面へ」ボタンb4がデータ配送元端末1のマウスを介してクリックされた場合、秘密情報管理システム2のシステム前置サーバ4の動作を説明する。
システム前置サーバ4では、データ配送元端末1によるデータピースのダウンロードが完了した時点で、予備データピース群を作成する。配送元または配送先にて、秘密分散した各データピースを取得した後に、紛失・破壊などによりデータピースが失われると、本実施形態では同じデータピースを再度ダウンロードすることはできない仕組みとするため、元の情報データの復元が不可能になる。そのため、システム前置サーバ4はデータの再作成処理を行い、予備データピース群を予め作成しておくわけである。
もし、データピースを紛失・破壊した場合は、配送元および配送先は予備データピースを取得し、それで元の情報データを復元する。なお、データピースがDa,Dbであり、予備データピースがDα、Dβであるとすると、データが復元できるのは(Da,Db)と(Dα、Dβ)の組み合わせに限られ、(Da,Dα)、(Da,Dβ)、(Db,Dα)、(Db,Dβ)のいずれの組み合わせによってもデータの復元ができない。
例えば、図7に示すようにダウンロードしたデータピースDaを破壊・紛失したとする。データ配送元端末1は、秘密情報管理システム2に再ダウンロードを要求するとシステム前置サーバ4は、予備データピースDαを送信する。データ配送元端末1による予備データピースの取得が完了すると、システム2では、さらに別の予備データピース群を作成する。なお、図7の場合、紛失したピースグループ(Da,Db)による復元は不可能である。
システム前置サーバ4のメール作成・送信手段9は、データ配送元端末1へのデータピースDaのダウンロードを完了すると、図8に例示するような項目を記載したファイルを、配送先の担当者へ電子メールへの添付という形式で送信する。これらの項目はデータ配送先端末3がデータピースをダウンロードするために必要な情報であり、セキュリティの観点から電子メールの本文に記載することは適当でない。そのため、電子メールへの添付ファイルにするとともに、暗号化して配送先へ届けることとした。添付ファイルは公知のzip形式などで圧縮し、圧縮する際にパスワードによる暗号化保護を行う。ここで使用するパスワードは、データ配送元端末1が画面21(図3)において入力欄t3に入力した添付ファイルパスワードである。
なお、データ配送元端末1を介さずに、秘密情報管理システム2側から直接データ配送先端末3側へURLなどを通知するようにしたのは、情報の漏洩防止の趣旨を徹底するためである。これにより、配送元では元の情報データの復元ができない。最近、秘密情報の漏洩事件が多発しているが、これらの事件は従業員などの内部関係者によって引き起こされることも多い。これは企業の信用にかかわる問題であり、損害賠償責任などが発生しかねない。本実施形態のシステムによれば、情報配送元のオペレータなどがダウンロード専用サイト5のURLを知ることができないので、配送元の内部関係者による情報漏洩の心配がない。
図8において、項目番号(4)は、データピースDaに付与されたファイル名であり、項目番号(5)は、データピースDbに付与されたファイル名である。
項目番号(6)は、この例では、DaとDbの組み合わせ情報である。
次は、データ配送先端末3側からの本システムの作用を説明する。
配送先へは、配送元から宅配便などによってUSBメモリ12が届けられているものとする。また、データ配送先端末3の記憶媒体インターフェース手段17にUSBメモリ12が装着されて、USBメモリ12との入出力ができる状態になっているとする。
データ配送先端末3のURL抽出手段18は、システム前置サーバ4から受信した電子メールの添付ファイルを復号化して、専用ダウンロードサイトのURL(図8の項目(1))とログインパスワード(図8の項目(2))とを抽出する。なお、添付ファイルを復号化するために用いるパスワードは、配送元から何らかの手段によって配送先に通知されているものとする。あるいは、USBメモリ12の不可視領域に書き込まれている当該USBメモリに固有の情報などをパスワードとしてもよい。
このURLを使用して専用ウェブサイト5にアクセスすると、図9に例示するようなダウンロードログイン画面が表示される。ログインパスワードの入力が促されるので、添付ファイルから抽出したログインパスワードを入力し、ログインボタンをクリックするとダウンロード画面(図5とほぼ同様のため、図示を省略)へ遷移する。
このログインパスワードは制限付きのパスワードであり、有効期限が設けてある。ログインパスワードが無効になる条件は、所定の有効期限を経過した場合、あるいは、対象となるデータピースのダウンロードがすべて完了した場合である。
ここで、(Da,Db)の組み合わせのいずれかが、紛失・破損などされた場合は、予備データピース(Dα、Dβ)を再ダウンロードしなくてはならない。この場合、配送元による予備データピースのダウンロード完了後にシステム前置サーバ4からのメール送信が行われ、新たなファイルが添付されてくるので、前回のダウンロード時に送られた添付ファイルは無効となる。
データ配送先端末3が専用ウェブサイト5へのアクセスに成功すると、システム前置サーバ4は、配送先端末3のデータピース取得手段19によってダウンロードされるデータピースDbを、秘密情報管理システム2から取り出し、ダウンロード専用ウェブサイト5にアップロードする。ここで、注意すべきは、データピースDbは、システム前置サーバ4に一時保存されていたわけではないことである。
データ配送先端末3が専用ウェブサイト5へアクセスする際の通信プロトコルはHTTPSを用いるとともに、URLには、末尾にメール固有情報を付加(例:https://www.xxx.com/xxx/xxxxxx.do?p=xxxxxxxx)し、付加されているURL以外からのアクセスではログインできないようにするとよい。
なお、ダウンロードファイルが置かれる直上のディレクトリは、ランダムで一意の英数字が混在する名称をつけ、常に一定のディレクトリ名を意識させないといった配慮をすることが望ましい。
対象となるデータピースDbは、データ配送先端末3のデータピース取得手段19が専用ウェブサイト5にログインしたときに、システム前置サーバ4によってウェブサイト5上に引出され、1回のダウンロードのみ許可される。
ダウンロードされたデータピースDbは、データ配送先端末3の任意の場所に格納されるが、専用USBメモリ12の揮発性エリアが望ましい。データ配送先端末3のハードディスクなどの不揮発性記憶媒体に記録させないように、データピース取得手段19は、専用USBメモリ12の揮発性エリアを指定してダウンロードするようにしてもよい。
以上のように、元の配送対象情報データを復元するのに必要なデータピースDa,Dbは、それぞれ別ルートを経て、配送先に配送されたことになる。これらの2つのルートの一方あるいは双方においてデータピースの紛失・破損などがあった場合、外部への情報の漏洩は生じない。復元に必要なデータピースがすべて揃うのは配送先端末3に限られるので、万が一情報の漏洩が発生した場合は、漏洩箇所を絞り込むことができる。
なお、データピースDbはダウンロード後、専用ウェブサイト5から削除される。つまり、データピースのダウンロード回数は1回に制限される。もし、データピースDbを紛失などした場合は、システム前置サーバ4が先に準備しておいた予備データピースをダウンロードすることになる。
また、データピース群は使用される可能性がなくなったとき、つまりダウンロード済みの場合、ログインパスワードが期限切れのためダウンロードができなくなった場合、あるいは、予備データピースがダウンロードされることになり、最初の分割で生成されたデータピースが不要になった場合は、秘密情報管理システム2より削除される。さらに、元のデータピース群が事故無くダウンロードされた場合、予備データピース群が使用される可能性がない。そのため、予備データピース群も、秘密情報管理システム2から削除される。
なお、システム前置サーバ4は、接続する記憶媒体に、データピースの取り扱い履歴を登録し、二度目のダウンロードを許可しないように制御したり、紛失した場合の無効処理をしたりできることが望ましい。
専用ウェブサイト5からダウンロードされたデータピースDbと、USBメモリ12の不揮発性エリアに格納されていたデータピースDaとはいずれも揮発性エリアに展開され、USBメモリ12に格納されている復元用プログラムを使用して揮発性エリアに復元される。この復元用プログラムは、不揮発性エリアにあるデータピースDaを復元直後に削除する。なお、元の情報データを復元するためのプログラムがUSBメモリ12に内蔵されている場合、このプログラムは請求項1のデータ復元手段に該当する。
このように、秘密情報の復元処理は、専用USBメモリ12内で実行できるため、配送先のオペレータがデータの内容を視認することなく復元・出力ができる。これも、内部関係者による情報漏洩を防止する方策の一つである。
復元された情報データはファイルに出力される。例えば、CSV形式の平文テキストファイルであって、そのフォーマットは、1行につき1人の秘密情報(客ID,客名、生年月日、郵便番号、住所など)を記述するようなファイルが考えられる。以上の処理により、配送先において所望の秘密情報データが入手できたことになる。
なお、配送元におけるデータピースのダウンロード、配送先における復元などの操作履歴は、USBメモリ12の不可視エリアに記録されることが望ましい。
〔4.他の実施形態〕
前記の実施形態のUSBメモリにUSBキーとしての機能も持たせているならば、シンクライアント機能によるデータ配送元端末1およびデータ配送先端末3の制御が可能になる。端末にUSBキーを装着することによって専用のOSを起動させ、このOSでは、専用USBメモリ以外の媒体への書き込みを不可としたり、USBキーのメモリエリアへのプログラムからの書き込みのみを許可したり、処理途中でUSBキーを取り外した場合は画面ロックをかけたりすることによって、情報の漏洩防止の一端を担わせることができる。また、USBキー自体に有効期限を設けることで、安全性を一層高めることもできる。
前記の実施形態では、可搬型記憶媒体として専用のUSBメモリを使用するものとして説明した。
しかし、専用のUSBメモリに限らず、可搬型の記憶媒体であれば、外付けハードディスクやMOなどでも差し支えない。宅配便などの人手を介した手段によって、一部のデータピースを配送先に届けることができ、配送ルートの複数化が実現できるからである。また、揮発性エリアを持たない通常のUSBメモリを使用しても差し支えない。
前記の実施形態では、専用のUSBメモリに復元処理用のプログラムが格納されているとともに、データピースDaをUSBメモリの外部に取り出さないようにするために、USBメモリの揮発性エリア上で復元処理を実行する。しかし、復元処理用プログラムは、専用サイトからデータピースDbとともにダウンロードする等の方法で入手してもよい。また、復元処理の完了後には、メモリをクリアするという条件のもとであれば、データ配送先端末3のメモリ上にデータピースDaを展開してもよい。
顧客からの依頼により秘密情報を提供する業種等において、本発明の技術は用いられる。
実施形態のシステム構成を示す図である。 実施形態のシステムの処理概要を示す図である。 実施形態のデータ配送元端末の画面表示例を示す図である。 実施形態のデータ配送元端末の画面表示例を示す図である。 実施形態のデータ配送元端末の画面表示例を示す図である。 実施形態のデータ配送元端末の画面表示例を示す図である。 実施形態のデータピースが紛失等した場合に予備データピースで代替されることを説明する図である。 実施形態の電子メールに添付されるファイルの記載項目を例示する図である。 実施形態のデータ配送先端末の画面表示例を示す図である。 従来技術のシステム構成図である。 従来技術のブロック図である。 従来技術のデータ保管処理を説明する流れ図である。 従来技術のデータ取得処理を説明する流れ図である。
符号の説明
1 データ配送元端末
2 秘密情報管理システム
3 データ配送先端末
4 システム前置サーバ
5 ダウンロード専用ウェブサイト
8 データ抽出・再分割手段
9 データピース配送手段
10 メール作成・送信手段
12 可搬型記憶媒体
13 記憶媒体インターフェース手段
14 データ抽出要求手段
15 データピース書込手段
17 記憶媒体インターフェース手段
18 URL抽出手段
19 データピース取得手段
20 データ復元手段

Claims (7)

  1. 秘密情報データを秘密分散法によりデータピースに分割して保管するとともに、各データピースから元の秘密情報データを復元する処理を行う秘密情報管理システムと、
    前記秘密情報管理システムに保存されている秘密情報データを、データ配送先に配送することを管理するデータ配送元端末と、
    前記秘密情報管理システムに保存されている秘密情報データのデータピースを入手し復元するデータ配送先端末とから構成される秘密情報配送システムであって、
    前記秘密情報管理システムは、システム前置サーバを含み構成され、
    前記システム前置サーバは、
    前記データ配送元端末からの秘密情報抽出要求を受信すると、前記秘密情報管理システムに分散保管されているデータを復元し、復元された1以上のデータを一括して配送対象情報データを作成し、この配送対象情報データを秘密分散法に基づき2個以上のデータピースに分割するデータ抽出・再分割手段と、
    前記の配送対象情報データを構成するデータピース群の一部を前記データ配送元端末に送信するとともに、残りのデータピースをダウンロード専用ウェブサイトへアップロードするデータピース配送手段と、
    前記ダウンロード専用ウェブサイトのURLを通知する電子メールを前記データ配送先端末へ送信するメール作成・送信手段とを少なくとも備え、
    前記データ配送元端末は、
    入力手段と、画面表示手段と、
    通信ネットワークを介して前記システム前置サーバと接続する通信インターフェース手段と、
    不揮発性のエリアを有する可搬型記憶媒体と接続する記憶媒体インターフェース手段と、
    前記システム前置サーバに対して配送対象情報データを要求するデータ抽出要求手段と、
    前記システム前置サーバから送信されてきたデータピースを前記可搬型記憶媒体の不揮発性エリアに書きこむデータピース書込手段とを少なくとも備え、
    前記データ配送先端末は、
    入力手段と、画面表示手段と、
    インターネットと接続する通信インターフェース手段と、
    前記可搬型記憶媒体と接続する記憶媒体インターフェース手段と、
    前記システム管理サーバから送信された電子メールを受信し、前記ダウンロード専用ウェブサイトのURLを取り出すURL抽出手段と、
    インターネットを介して前記専用ウェブサイトにアクセスし、データピースをダウンロードするデータピース取得手段と、
    前記可搬型記憶媒体の不揮発性エリアに格納されているデータピースを読み出し、このデータピースと前記ダウンロードされたデータピースとから元の配送対象情報データを復元するデータ復元手段とを備えることを特徴とする秘密情報配送システム。
  2. 前記システム前置サーバから前記データ配送先端末へ送信される電子メールには、前記ダウンロード専用ウェブサイトのURLと、この専用ウェブサイトへアクセスするために必要となるパスワードとが記載されたファイルが暗号化されて添付されていることを特徴とする請求項1に記載の秘密情報配送システム。
  3. 前記配送対象情報データを分割して得られたデータピース群の一部が前記データ配送元端末へ送信された後、前記システム前置サーバは、前記配送対象情報データを再度分割して予備データピース群を作成することを特徴とする請求項1または2のいずれかに記載の秘密情報配送システム。
  4. 前記可搬型記憶媒体は、不揮発性エリアと、揮発性エリアと、不可視エリアとを備えたUSBメモリであることを特徴とする請求項1〜3のいずれか1に記載の秘密情報配送システム。
  5. 前記データ復元手段は、前記不揮発性エリアに格納してある復元用プログラムを前記揮発性エリアに読み出し実行されることによって実現されるとともに、
    前記データ復元手段は、前記揮発性エリア上で、前記専用ウェブサイトからダウンロードされたデータピースと、前記不揮発性エリアに格納されていたデータピースとから元の配送対象情報データを復元することを特徴とする請求項4に記載の秘密情報配送システム。
  6. 前記可搬型記憶媒体は、USBキーとしての機能を兼ね備えていることを特徴とする請求項4または5のいずれかに記載の秘密情報配送システム。
  7. 秘密情報データを取り扱うデータ配送元のコンピュータであって、秘密分散法に基づき秘密情報を分散管理している秘密情報管理システムにアクセスし、該システムの提供するサービスを受けることができるコンピュータが、データ配送先から依頼された秘密情報データを該データ配送先のコンピュータに安全に配送するための秘密情報配送方法であって、
    前記配送元のコンピュータが、前記秘密情報管理システムにアクセスし、前記配送先のコンピュータに配送する秘密情報データの抽出を要求すると、
    前記秘密情報管理システムは、要求された秘密情報データを抽出し、2個以上のデータピースに分割し、分割されたデータピースの一部を前記配送元のコンピュータに送信するとともに、残りのデータピースをダウンロードするための専用ウェブサイトのURLを通知する電子メールを前記配送先のコンピュータに送信する一方、
    前記配送元のコンピュータは、可搬型記憶媒体に前記秘密情報管理システムから送信されたデータピースを記録し、
    前記配送先のコンピュータは、前記電子メールで通知されたURLを用いて前記専用ウェブサイトにアクセスし、残りの情報データピースをダウンロードするとともに、前記可搬型記憶媒体と接続した状態で、前記ダウンロードしたデータピースと、前記可搬型記憶媒体に記録されていたデータピースとから元の秘密情報データを復元すること
    を特徴とする秘密情報配送方法。
JP2007025442A 2007-02-05 2007-02-05 秘密情報配送システムおよび秘密情報配送方法 Expired - Fee Related JP4895378B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2007025442A JP4895378B2 (ja) 2007-02-05 2007-02-05 秘密情報配送システムおよび秘密情報配送方法
KR1020097016338A KR20090117722A (ko) 2007-02-05 2008-01-24 비밀 정보 배송 시스템 및 비밀 정보 배송 방법
EP08703800A EP2116956A1 (en) 2007-02-05 2008-01-24 Confidential information distribution system and confidential information distribution method
PCT/JP2008/050972 WO2008096608A1 (ja) 2007-02-05 2008-01-24 秘密情報配送システムおよび秘密情報配送方法
US12/525,782 US20100049966A1 (en) 2007-02-05 2008-01-24 Secret information delivery system and secret information delivery method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007025442A JP4895378B2 (ja) 2007-02-05 2007-02-05 秘密情報配送システムおよび秘密情報配送方法

Publications (2)

Publication Number Publication Date
JP2008191917A true JP2008191917A (ja) 2008-08-21
JP4895378B2 JP4895378B2 (ja) 2012-03-14

Family

ID=39681519

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007025442A Expired - Fee Related JP4895378B2 (ja) 2007-02-05 2007-02-05 秘密情報配送システムおよび秘密情報配送方法

Country Status (5)

Country Link
US (1) US20100049966A1 (ja)
EP (1) EP2116956A1 (ja)
JP (1) JP4895378B2 (ja)
KR (1) KR20090117722A (ja)
WO (1) WO2008096608A1 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013157765A (ja) * 2012-01-30 2013-08-15 Denso It Laboratory Inc 情報通信方法及び情報通信システム
JP2016021649A (ja) * 2014-07-14 2016-02-04 パナソニックIpマネジメント株式会社 画像処理システム、画像処理装置、及び画像処理方法
JP6267387B1 (ja) * 2017-05-30 2018-01-24 株式会社日立システムズエンジニアリングサービス データ転送システム、及びデータ転送方法
JP6322763B1 (ja) * 2017-12-20 2018-05-09 株式会社日立システムズエンジニアリングサービス データ転送システム、及びデータ転送方法

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8650283B1 (en) * 2010-06-07 2014-02-11 Purplecomm Inc. Content delivery technology
DE102011079109B4 (de) 2011-07-13 2013-03-07 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. Verfahren und Vorrichtung zur sicheren Datenübertragung
US9514326B1 (en) * 2013-10-15 2016-12-06 Sandia Corporation Serial interpolation for secure membership testing and matching in a secret-split archive
US9652621B2 (en) * 2014-05-15 2017-05-16 Michael E. Johnson Electronic transmission security process
CN104283975B (zh) * 2014-11-06 2017-06-09 福建合诚信息科技有限公司 文件分发方法和装置
US10419225B2 (en) 2017-01-30 2019-09-17 Factom, Inc. Validating documents via blockchain
US10411897B2 (en) 2017-02-17 2019-09-10 Factom, Inc. Secret sharing via blockchains
US20180260889A1 (en) * 2017-03-10 2018-09-13 Factom Sourcing Mortgage Documents via Blockchains
US20180268504A1 (en) * 2017-03-15 2018-09-20 Factom Indexing Mortgage Documents via Blockchains
US10817873B2 (en) 2017-03-22 2020-10-27 Factom, Inc. Auditing of electronic documents
US10685399B2 (en) 2017-03-31 2020-06-16 Factom, Inc. Due diligence in electronic documents
US10270599B2 (en) 2017-04-27 2019-04-23 Factom, Inc. Data reproducibility using blockchains
JP6718175B2 (ja) * 2017-09-08 2020-07-08 ヘルスメディア株式会社 秘密情報復元可能値分散システムおよび方法
US11134120B2 (en) 2018-05-18 2021-09-28 Inveniam Capital Partners, Inc. Load balancing in blockchain environments
US10783164B2 (en) 2018-05-18 2020-09-22 Factom, Inc. Import and export in blockchain environments
US11170366B2 (en) 2018-05-18 2021-11-09 Inveniam Capital Partners, Inc. Private blockchain services
US20200042982A1 (en) 2018-08-06 2020-02-06 Factom Digital Contracts in Blockchain Environments
US11164250B2 (en) 2018-08-06 2021-11-02 Inveniam Capital Partners, Inc. Stable cryptocurrency coinage
US11044095B2 (en) 2018-08-06 2021-06-22 Factom, Inc. Debt recordation to blockchains
US11328290B2 (en) 2018-08-06 2022-05-10 Inveniam Capital Partners, Inc. Stable cryptocurrency coinage
US11343075B2 (en) 2020-01-17 2022-05-24 Inveniam Capital Partners, Inc. RAM hashing in blockchain environments

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005099910A (ja) * 2003-09-22 2005-04-14 Dainippon Printing Co Ltd デジタルコンテンツの提供方法および提供装置
JP3673274B1 (ja) * 2002-05-13 2005-07-20 トレック・2000・インターナショナル・リミテッド ポータブルデータ記憶デバイスに記憶されたデータを圧縮および解凍するためのシステムおよび装置
JP2005227331A (ja) * 2004-02-10 2005-08-25 Ntt Communications Kk 機密情報管理システム、機密情報管理方法、および機密情報管理プログラム
JP2006189925A (ja) * 2004-12-28 2006-07-20 Senken:Kk 個人情報管理システム、個人情報管理プログラムおよび個人情報保護方法
JP2007004609A (ja) * 2005-06-24 2007-01-11 Nippon Telegr & Teleph Corp <Ntt> シェア作成方法および装置、復元方法および装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5117458A (en) * 1989-11-01 1992-05-26 Hitachi, Ltd. Secret information service system and method
JP2003304523A (ja) * 2002-02-08 2003-10-24 Ntt Docomo Inc 情報配信システム、情報配信方法、情報配信サーバ、コンテンツ配信サーバ及び端末
JP4133215B2 (ja) 2002-10-25 2008-08-13 エヌ・ティ・ティ・コミュニケーションズ株式会社 データ分割方法及びデータ復元方法並びにプログラム
US8085938B2 (en) * 2004-02-10 2011-12-27 Ntt Communications Corporation Secret information management scheme based on secret sharing scheme
JP2007135170A (ja) * 2005-10-12 2007-05-31 Hitachi Ltd 電子データ送受信方法
BRPI0720132A2 (pt) * 2006-12-05 2015-07-21 Security First Corp Método de backup de fita aperfeiçoado que utiliza um analisador de dados seguros.
WO2008130672A1 (en) * 2007-04-20 2008-10-30 Info Tech Inc. An improved system and mehtod of electronic information delivery

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3673274B1 (ja) * 2002-05-13 2005-07-20 トレック・2000・インターナショナル・リミテッド ポータブルデータ記憶デバイスに記憶されたデータを圧縮および解凍するためのシステムおよび装置
JP2005099910A (ja) * 2003-09-22 2005-04-14 Dainippon Printing Co Ltd デジタルコンテンツの提供方法および提供装置
JP2005227331A (ja) * 2004-02-10 2005-08-25 Ntt Communications Kk 機密情報管理システム、機密情報管理方法、および機密情報管理プログラム
JP2006189925A (ja) * 2004-12-28 2006-07-20 Senken:Kk 個人情報管理システム、個人情報管理プログラムおよび個人情報保護方法
JP2007004609A (ja) * 2005-06-24 2007-01-11 Nippon Telegr & Teleph Corp <Ntt> シェア作成方法および装置、復元方法および装置

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013157765A (ja) * 2012-01-30 2013-08-15 Denso It Laboratory Inc 情報通信方法及び情報通信システム
JP2016021649A (ja) * 2014-07-14 2016-02-04 パナソニックIpマネジメント株式会社 画像処理システム、画像処理装置、及び画像処理方法
JP6267387B1 (ja) * 2017-05-30 2018-01-24 株式会社日立システムズエンジニアリングサービス データ転送システム、及びデータ転送方法
JP2018205809A (ja) * 2017-05-30 2018-12-27 株式会社日立システムズエンジニアリングサービス データ転送システム、及びデータ転送方法
JP6322763B1 (ja) * 2017-12-20 2018-05-09 株式会社日立システムズエンジニアリングサービス データ転送システム、及びデータ転送方法
JP2018206345A (ja) * 2017-12-20 2018-12-27 株式会社日立システムズエンジニアリングサービス データ転送システム、及びデータ転送方法

Also Published As

Publication number Publication date
JP4895378B2 (ja) 2012-03-14
EP2116956A1 (en) 2009-11-11
KR20090117722A (ko) 2009-11-12
WO2008096608A1 (ja) 2008-08-14
US20100049966A1 (en) 2010-02-25

Similar Documents

Publication Publication Date Title
JP4895378B2 (ja) 秘密情報配送システムおよび秘密情報配送方法
US9767299B2 (en) Secure cloud data sharing
TW545019B (en) Controlling and tracking access to disseminated information
US11943350B2 (en) Systems and methods for re-using cold storage keys
US20080002830A1 (en) Method, system, and computer-readable medium to maintain and/or purge files of a document management system
US20050228994A1 (en) Method for encryption backup and method for decryption restoration
JPWO2009004732A1 (ja) 共有暗号ファイルの暗号化、復号処理方法
JP2003508995A (ja) 内容が参照可能な情報を、安全に記憶し転送し検索するためのシステムおよび方法
US20140156988A1 (en) Medical emergency-response data management mechanism on wide-area distributed medical information network
US10594473B2 (en) Terminal device, database server, and calculation system
CN109039997B (zh) 密钥获得方法、装置及系统
JP2006244095A (ja) 個人情報の漏洩を回避した個人認証システム
JP6784394B2 (ja) ファイル分割・結合システム及びその方法
EP4270365A1 (en) Data file encoding transmision/reception system, and data file encoding transmission/reception method
JP4521514B2 (ja) 医療情報流通システム及びその情報アクセス制御方法、コンピュータプログラム
JP2005051614A (ja) 情報管理システム、キー配信サーバ、情報管理方法、及びプログラム
JP5185176B2 (ja) ドキュメント提供装置,方法,およびプログラム
JP5969681B1 (ja) 秘密情報管理システム
JP2002342145A (ja) 電磁的記録の認証システム、および、プログラム
JP2020155801A (ja) 情報管理システム及びその方法
JP6993021B2 (ja) ファイル分割・結合システム及びその方法
US9560022B1 (en) Avoiding collection of biometric data without consent
JP2001298447A (ja) 電子データ取得方法、電子データ払い出し方法及び記憶媒体
KR101712153B1 (ko) 전자문서화 처리 방법
JP2006155074A (ja) アクセス制御システム

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20090427

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20090427

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100129

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111122

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111219

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150106

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees