JP2010244272A - 個人属性情報管理方法、個人属性情報管理システムおよび個人属性情報管理プログラム - Google Patents

個人属性情報管理方法、個人属性情報管理システムおよび個人属性情報管理プログラム Download PDF

Info

Publication number
JP2010244272A
JP2010244272A JP2009091800A JP2009091800A JP2010244272A JP 2010244272 A JP2010244272 A JP 2010244272A JP 2009091800 A JP2009091800 A JP 2009091800A JP 2009091800 A JP2009091800 A JP 2009091800A JP 2010244272 A JP2010244272 A JP 2010244272A
Authority
JP
Japan
Prior art keywords
service
attribute information
personal attribute
information management
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009091800A
Other languages
English (en)
Inventor
Kenji Murai
健二 村井
Katsuaki Miyayasu
克明 宮保
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2009091800A priority Critical patent/JP2010244272A/ja
Publication of JP2010244272A publication Critical patent/JP2010244272A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

【課題】サービス提供者のサービスを利用する場合に、サービスの利用に必要な当該サービス利用者の個人属性情報を当該サービス利用者本人が自由な裁量で管理することが可能な個人属性情報管理方法を提供する。
【解決手段】サービス利用者の個人管理情報を保管する保管場所として、利用者端末20に装着可能な耐タンパ性を有する属性情報記録媒体10、および/または、サービス利用者およびサービス提供者の双方が信頼する信頼機関が運営する個人属性情報管理サーバ30に、当該サービス利用者からの指示に基づいて、第1個人属性情報13aおよび/または第2個人属性情報33aとして分散またはまとめて保管する。さらに、属性情報記録媒体10および/または個人属性情報管理サーバ30に保管されたサービス利用者の前記個人属性情報の提供を許容する提供先のサービス提供サーバ50を、当該サービス利用者からの指示に基づいて、あらかじめ設定する。
【選択図】図1

Description

本発明は、個人属性情報管理方法、個人属性情報管理システムおよび個人属性情報管理プログラムに関する。
何らかのサービスを提供することを目的としたクライアント/サーバ型の情報システムにおいては、一般に、サービス利用者のアカウント情報ならびにサービス利用に関する情報が、サービスを提供する情報提供サーバの情報格納部(ストレージデバイス)に保存・記録されている。
サービス利用者のアカウント情報並びにサービス利用に関する情報は、その特性において大きく二通りに分類される。一つは、利用者個人を特定し得る個人属性情報であり、もう一つは、利用者個人を特定することができないサービス属性情報である。ここで、個人属性情報とは、当該情報そのものもしくは当該情報と他の情報との照合から、個人を特定することが可能となる情報であるものと定義する。
サービス利用者は、クライアント端末(利用者端末)より情報システムの情報提供サーバにアクセスして、適切な認証を経た後に、該情報提供サーバの情報格納部(ストレージデバイス)に保存・記録された自らの個人属性情報を、閲覧、修正、追加することなどを実施することができる。かかる場合は、サービス利用者本人の個人属性情報にアクセスするものであり、「セルフサービス」と称する。
また、本情報システムの管理者は、情報提供サーバへの適切なアクセス認証の後、本情報システムのサービスを利用するサービス利用者の個人属性情報を閲覧、修正、追加すること等も実施することができる。情報システムの管理者は、特権を有しており、本情報システムのサービスを利用するサービス利用者の個人属性情報にアクセスすることができ、かかる場合は「特権サービス」に位置付けられる。
かくのごとく、クライアント/サーバ型の情報システムにおいては、一般に、サービス利用者である個人が、自らの個人属性情報の管理を完全に占有することができていない状況にある。
従来の情報システムにおいては、クライアント端末(利用者端末)から、サービス利用者が、アカウントのキー情報となる利用者ID(利用者識別子)と、操作者がサービス利用者本人であることを、情報システムのサービス提供サーバに認証してもらうために、利用者ID(利用者識別子)と対応付けられたパスワードとを、セキュアなデータ通信手段により提示することが一般的である。
ここで、サービスの特性により、認証方式が、前述のような利用者ID(利用者識別子)/パスワード認証ではなく、PKI(Public Key Infrastructure:公開鍵暗号基盤方式)認証の場合、クライアント端末の操作者が提示するのは、信頼された証明機関より発行された個人証明書になる。
また、利用者ID(利用者識別子)/パスワードや個人証明書等の情報の提示手段は、クライアント端末の入力デバイスへの操作による他、サービス利用者が保持するICカードのような可搬性があるデバイスより、データ通信による手段もある。
特開2002−334274号公報
前述のように、サービス利用者が、何らかのサービスを利用したいとき、当該サービスを提供するサービス提供者の要求に対して、サービス利用者個人を特定可能な個人属性情報を当該サービス提供者側にあらかじめ提供する必要があり、提供した個人属性情報がサービス提供サーバの情報格納部(ストレージデバイス)に保存・記録されるという状況は、個人属性情報の秘匿性を確保する上で課題である。これは、個人情報の保護に関する法律の下、如何に、サービスを提供する情報システムとして適切に情報管理がなされていたとしても、当該個人属性情報が、サービス利用者本人の同意なく利用され、また、流出・漏洩する可能性は、サービス提供者側の情報管理方法および情報システムに依存し、全くないというわけではないからである。
特に、複数のサービス提供者の連携に基づくサービスを利用する場合、サービス提供者間で、当該サービスに関するサービス属性情報以外に、当該サービスを利用しようとするサービス利用者の個人属性情報も流通可能にしているという現状は、個人属性情報を含む情報の名寄せにより、第三者が、或るサービス利用者個人の特定を容易に行うことも可能になるという点で、課題である。
本発明は、かかる課題に鑑みてなされたものであり、本発明が解決しようとする課題は、サービス提供者が提供するサービスをサービス利用者が利用する場合、当該サービス利用者の個人属性情報を、当該サービス利用者本人が自由な裁量で管理することを可能とし、かつ、第三者に利用される可能性を低減する仕組みを有する個人属性情報管理方法、個人属性情報管理システムおよび個人属性情報管理プログラムを提供することにある。
本発明は、前述の課題を解決するために、以下のごとき各技術手段から構成されている。
第1の技術手段は、サービス利用者が利用者端末を用いてサービス提供者のサービス提供サーバが提供するサービスを利用する際に必要になる当該サービス利用者の個人属性情報を管理する個人属性情報管理方法であって、前記個人管理情報を保管する保管場所として、前記利用者端末に装着することが可能な耐タンパ性を有する個人属性情報記録媒体と、前記サービス利用者および前記サービス提供者の双方が信頼する信頼機関が運営する個人属性情報管理サーバとの2つの保管場所を有し、前記サービス利用者の前記個人管理情報を、当該サービス利用者からの指示に基づいて、前記属性情報記録媒体および/または前記個人属性情報管理サーバ分散またはまとめて保管することを特徴とする。
第2の技術手段は、前記第1の技術手段に記載の個人属性情報管理方法において、前記属性情報記録媒体および/または前記個人属性情報管理サーバに保管された前記サービス利用者の前記個人属性情報を、前記サービス提供サーバへ提供する際の提供先を、当該サービス利用者からの指示に基づいて、あらかじめ設定することを特徴とする。
第3の技術手段は、前記第1または第2の技術手段に記載の個人属性情報管理方法において、前記サービス利用者が前記サービス提供者のサービス提供サーバが提供するサービスを利用する場合、サービスを利用しようとする前記サービス提供者に関する情報と当該サービス利用者の利用者識別子とを付したサービス利用要求を前記利用者端末から前記個人属性情報管理サーバに対して送信し、該サービス利用要求を受け取った前記個人属性情報管理サーバは、前記利用者識別子とは異なる匿名IDを一時的に生成して、該匿名IDを用いて、前記サービス利用要求によって指定された前記サービス提供者の前記サービス提供サーバに対してサービス利用要求を送信することを特徴とする。
第4の技術手段は、前記第3の技術手段に記載の個人属性情報管理方法において、前記個人属性情報管理サーバは、前記サービス利用要求を前記サービス提供サーバに送信する際に、または、前記サービス利用要求を送信した送信先の前記サービス提供サーバから、サービスの提供に必要とする前記個人属性情報の取得を送信元の当該個人属性情報管理サーバに要求してきた際に、当該サービス利用要求の要求元のサービス利用者が提供先として当該サービス提供サーバへの前記個人属性情報の提供を容認している場合には、当該個人属性情報管理サーバおよび/または前記個人属性情報記録媒体から前記個人属性情報を収集して、前記サービス提供サーバに対して送信することを特徴とする。
第5の技術手段は、前記第3または第4の技術手段に記載の個人属性情報管理方法において、前記サービス利用要求を受信した前記サービス提供サーバが、当該サービス利用要求を実行するために、他のサービス提供サーバとの連携動作を必要とする場合、前記他のサービス提供サーバへのサービス継続依頼を前記個人属性情報管理サーバに返送し、該サービス継続依頼を受信した前記個人属性情報管理サーバは、前記他のサービス提供サーバがサービスの提供に必要とする前記個人属性情報について、当該サービス利用要求の要求元のサービス利用者が提供先として当該他のサービス提供サーバへの提供を容認している場合には、当該個人属性情報管理サーバおよび/または前記個人属性情報記録媒体から前記個人属性情報を収集して、収集した前記個人属性情報と新たに一時的に生成した匿名IDとを付したサービス継続要求を前記他のサービス提供サーバに対して送信することを特徴とする。
第6の技術手段は、サービス利用者が利用者端末を用いてサービス提供者のサービス提供サーバが提供するサービスを利用する際に必要になる当該サービス利用者の個人属性情報を管理する個人属性情報管理システムであって、前記個人管理情報を保管する保管場所として、前記利用者端末に装着することが可能な耐タンパ性を有する個人属性情報記録媒体と、前記サービス利用者および前記サービス提供者の双方が信頼する信頼機関が運営する個人属性情報管理サーバとの2つの保管場所を有し、前記サービス利用者の前記個人管理情報を、当該サービス利用者からの指示に基づいて、前記属性情報記録媒体および/または前記個人属性情報管理サーバ分散またはまとめて保管することを特徴とする。
第7の技術手段は、前記第6の技術手段に記載の個人属性情報管理システムにおいて、前記属性情報記録媒体および/または前記個人属性情報管理サーバに保管された前記サービス利用者の前記個人属性情報を、前記サービス提供サーバへ提供する際の提供先を、当該サービス利用者からの指示に基づいて、あらかじめ設定することを特徴とする。
第8の技術手段は、前記第6または第7の技術手段に記載の個人属性情報管理システムにおいて、前記サービス利用者が前記サービス提供者のサービス提供サーバが提供するサービスを利用する場合、サービスを利用しようとする前記サービス提供者に関する情報と当該サービス利用者の利用者識別子とを付したサービス利用要求を前記利用者端末から前記個人属性情報管理サーバに対して送信し、該サービス利用要求を受け取った前記個人属性情報管理サーバは、前記利用者識別子とは異なる匿名IDを一時的に生成して、該匿名IDを用いて、前記サービス利用要求によって指定された前記サービス提供者の前記サービス提供サーバに対してサービス利用要求を送信することを特徴とする。
第9の技術手段は、前記第8の技術手段に記載の個人属性情報管理システムにおいて、前記個人属性情報管理サーバは、前記サービス利用要求を前記サービス提供サーバに送信する際に、または、前記サービス利用要求を送信した送信先の前記サービス提供サーバから、サービスの提供に必要とする前記個人属性情報の取得を送信元の当該個人属性情報管理サーバに要求してきた際に、当該サービス利用要求の要求元のサービス利用者が提供先として当該サービス提供サーバへの前記個人属性情報の提供を容認している場合には、当該個人属性情報管理サーバおよび/または前記個人属性情報記録媒体から前記個人属性情報を収集して、前記サービス提供サーバに対して送信することを特徴とする。
第10の技術手段は、前記第1ないし第5の技術手段のいずれかに記載の個人属性情報管理方法をコンピュータによって実行可能なプログラムとして実施している個人属性情報管理プログラムとすることを特徴とする。
本発明の個人属性情報管理方法、個人属性情報管理システムおよび個人属性情報管理プログラムによれば、以下のごとき効果を奏することができる。
(1)サービス利用者を個人として特定するための個人属性情報のうち、サービスの利用に必要とするすべてまたは一部の個人属性情報を、サービス利用者の自由な裁量により、サービス提供者側ではなく、サービス利用者個人が所持するICカードなど耐タンパ性を有するデバイス(個人属性情報記録媒体)、および/または、サービス利用者およびサービス提供者の双方が信頼する信頼機関が運営する個人属性情報管理サーバに、分散してまたはまとめて、管理することができ、個人が特定されてしまう個人特定率を低く抑えることができる。
(2)信頼機関が運営する個人属性情報管理サーバに個人属性情報を預託して該信頼機関に管理を委任する場合であっても、サービス利用者の自由な裁量により、当該サービス利用者の個人属性情報の取り扱い方法(例えば提供先)を適切に設定することができるので、サービス利用者が所望する形態で当該サービス利用者の個人属性情報を管理することができる。
(3)一方で、サービスの利用に必要とするすべてまたは一部の個人属性情報の管理を、信頼することができる信頼機関に委任することができ、柔軟なシステム設計を行うことができる。
本発明に係る個人属性情報管理システムのシステム構成の一例を示すシステム構成図である。 現状の一般的な個人属性情報管理システムにおけるサービス利用形態を示す説明図である。 本発明の一例として示した図1の個人属性情報管理システムにおけるサービス利用形態を説明するための説明図である。 図1に示す個人属性情報管理システムにおいてサービス利用者(U)の個人属性情報の保管形態の一例を説明するためのテーブルである。 図1に示す個人属性情報管理システムの動作の一例を説明するためのシーケンスチャートである。
以下に、本発明に係る個人属性情報管理方法、個人属性情報管理システムおよび個人属性情報管理プログラムの好適な実施形態について、その一例を、図面を参照しながら詳細に説明する。なお、以下の説明においては、本発明による個人属性情報管理システムおよび個人属性情報管理方法について説明するが、かかる個人属性情報管理方法をコンピュータにより実行可能な個人属性情報管理プログラムとして実施するようにしても良いし、さらに、かかる個人属性情報管理プログラムをコンピュータにより読み取り可能な記録媒体に記録するようにしても良いことは言うまでもない。
(本発明の特徴)
本発明の実施形態の説明に先立って、本発明の特徴についてその概要をまず説明する。本発明は、クライアント/サーバ型情報システムを用いたサービスを提供する際に必要となるサービス利用者の個人属性情報を管理する仕組みに関するものである。本発明においては、サービス利用者が、本人の個人属性情報の管理方法を、秘匿性を確保しつつ、本人の裁量で自由に選択することができるようにしている点に特徴がある。
具体的には、個人属性情報を、サービス利用者本人が所持するICカード等の耐タンパ性を有するデバイス(個人属性情報記録媒体)によって管理する第1個人属性情報と、サービス利用者およびサービス提供者の双方が信頼する信頼機関が運営する個人属性情報管理サーバによって管理する第2個人属性情報と、にサービス利用者の意思で任意に区分して管理する。
そして、サービス利用者からサービスの利用が要求される都度、サービス提供者が運営するサービス提供サーバがサービスの提供に必要とする個人属性情報のうち、当該サービス利用者が許容している個人属性情報のみを、当該個人属性情報を格納しているICカード等の個人属性情報記録媒体からタンパ性を有する個人属性情報管理サーバを介して、および/または、当該個人属性情報を格納している個人属性情報管理サーバから、サービス提供者によってのみ復号が可能な形式で暗号化された個人属性情報として、サービス提供サーバが取得することができる。
而して、サービス利用者の自由な裁量で、本人の個人属性情報の管理をより厳格に行うことを可能とし、個人属性情報の漏洩に伴うサービス利用者個人の特定率を低減することができる。
(個人属性情報管理システムの構成例)
次に、本発明に係る個人属性情報管理システムのシステム構成について、その一例を説明する。図1は、本発明に係る個人属性情報管理システムのシステム構成の一例を示すシステム構成図であり、個人属性情報管理システムを構成する各構成要素の関係を示している。
図1に示すように、個人属性情報管理システムは、ICカードなど耐タンパ性を有する情報格納/制御/処理手段である利用者側の個人属性情報記録媒体10、該個人属性情報記録媒体10を装着可能な個人属性情報管理クライアント端末である利用者端末20、信頼機関が運用する個人属性情報管理サーバ30、利用者端末20と個人属性情報管理サーバ30とを接続するネットワーク40によって構成される。
なお、図1には、利用者に対してサービスを提供するサービス提供サーバ50を図示しているが、サービス提供サーバ50は、クライアント/サーバ型システムとして、ネットワーク40を介して、利用者端末20と接続される構成となっているが、本個人属性情報管理システムにおいては、論理的には、サービス提供サーバ50は利用者端末20とネットワーク40を介して直接接続されるのではなく、個人属性情報管理サーバ30およびネットワーク40を介して利用者端末20と接続される。つまり、
利用者端末20 − ネットワーク40 − 個人属性情報管理サーバ30
− ネットワーク40 − サービス提供サーバ50
の接続形態で、クライアント/サーバ型のサービスが実施される。
個人属性情報記録媒体10は、利用者の個人属性情報のうち一部またはすべてを第1個人属性情報13aとして記録する耐タンパ性を有するICカード等の記録媒体であり、通信部11、情報制御部12、情報格納部13を少なくとも備えている。
通信部11は、当該個人属性情報記録媒体10を利用者端末20に装着した際に利用者端末20側との間で情報を送受信する通信手段であり、利用者端末20側の記録媒体用通信部22およびオブジェクト通信処理部24と対応する。
情報制御部12は、情報格納部13に格納される第1個人属性情報13a、プロファイル情報13bの読み書き、編集等の情報の格納/制御/処理手段であり、通信部11との間で情報を授受する。
情報格納部13は、サービス利用者の個人属性情報のうち当該個人属性情報記録媒体10側に記録される第1個人属性情報13a、および、個人属性情報管理サーバ30との通信を行うために必要となる情報である制御情報および基本情報からなるプロファイル情報13bを少なくとも格納する。第1個人属性情報13aは、個人属性情報管理サーバ30側に格納される第2個人属性情報33aと合わせて、サービス利用者がサービスを利用するために必要とする個人属性情報となる。また、プロファイル情報13bは、個人属性情報管理サーバ30側に格納されるプロファイル情報33bと対応する。
利用者端末20は、個人属性情報記録媒体10を装着することが可能であって、個人属性情報管理サーバ30を介して、サービス提供サーバ50のサービスを利用するクライアント側の端末であり、個人属性情報記録媒体10に記録される第1個人属性情報13aをサービス利用者本人が管理する個人属性情報管理クライアント端末でもある。利用者端末20は、通信部21、記録媒体用通信部22、情報制御部23、オブジェクト通信処理部24、情報閲覧部25を少なくとも備えている。
通信部21は、個人属性情報管理サーバ30との間でネットワーク40を介して情報の送受信を行うネットワーク通信手段であり、個人属性情報管理サーバ30の通信部31と対応する。
記録媒体用通信部22は、当該利用者端末20に装着された個人属性情報記録媒体10との間で情報を送受信する通信手段であり、個人属性情報記録媒体10がICカードの場合、ICカードリーダライタが該当する。
情報制御部23は、当該利用者端末20内の情報の編集や各種の処理を行うとともに、各部位の制御を行うことによって、当該利用者端末20の動作を制御する。
オブジェクト通信処理部24は、ActiveX等のオブジェクトを個人属性情報記録媒体10や個人属性情報管理サーバ30との間でやり取りする通信処理手段であり、個人属性情報記録媒体10側の通信部11、個人属性情報管理サーバ30側の通信処理部34と対応する。
情報閲覧部25は、Webブラウザ等の情報転送/表示/制御/処理を行う閲覧手段であり、個人属性情報管理サーバ30側のウェブサーバ部35と対応する。
次に、個人属性情報管理サーバ30は、利用者の個人属性情報のうち、個人属性情報記録媒体10側に記録される第1個人属性情報13a以外の個人属性情報を第2個人属性情報33aとして管理するサーバであり、信頼機関によって運営され、利用者端末20、サービス提供サーバ50との間で、ネットワーク40を介して、セキュアな通信手段を用いて、情報を送受信する。サービス利用者が、サービス提供者が提供するサービスを利用しようとする場合、サービス利用者の利用者端末20からのサービス利用要求を受け取って、以降、該サービス利用者の代行者として、個人属性情報管理サーバ30が、要求されたサービスを提供しているサービス提供サーバ50との間の情報のやり取りを行う。
サービス提供者のサービス提供サーバ50が提供するサービスを利用する際に必要となる利用者の個人属性情報は、サービス利用者が所持するICカード等の個人属性情報記録媒体10に記録される第1個人属性情報13aと個人属性情報管理サーバ30が管理する第2個人属性情報33aとに分割されて構成されるが、第1個人属性情報13aと第2個人属性情報33aとして、どの情報をそれぞれに割り当てるか、あるいは、いずれか一方にまとめて管理するかについては、利用者が任意に決定することができる。
個人属性情報管理サーバ30は、通信部31、情報制御部32、情報格納部33、通信処理部34、ウェブサーバ部35、サーバ間通信部36を少なくとも備えている。
通信部31は、ネットワーク40を介して利用者端末20やサービス提供サーバ50との間でネットワーク40を介して情報の送受信を行うネットワーク通信手段であり、利用者端末20の通信部21やサービス提供サーバ50のネットワーク通信手段と対応する。
情報制御部32は、当該個人属性情報管理サーバ30内の情報の編集や処理や格納を行うとともに、通信部31や情報格納部33や通信処理部34やウェブサーバ部35やサーバ間通信部36等の各部位の制御を行うことによって、当該個人属性情報管理サーバ30の動作を制御する。
情報格納部33は、HSM(Hardware Security Module)等の耐タンパ性を有する情報格納技術からなり、利用者の個人属性情報のうち当該個人属性情報管理サーバ30側で管理する第2個人属性情報33a、個人属性情報記録媒体10側に格納されるプロファイル情報13bと対応する制御情報および基本情報からなるプロファイル情報33bを少なくとも格納するデータベースである。
通信処理部34は、ActiveX等のオブジェクトを利用者端末20との間でやり取りする通信処理手段であり、利用者端末20側のオブジェクト通信処理部24と対応する。
ウェブサーバ部35は、HTTPS(Hypertext Transfer Protocol over Secure Socket Layer)等のプロトコル処理を行うとともに、情報表示/制御/処理を行うサーバ側のウェブ機能を実施する手段であり、利用者端末20の情報閲覧部25と対応する。
サーバ間通信部36は、サービス提供サーバ50との間で情報をやり取りするための通信手段であり、サービス提供サーバ50との間でセキュアな通信を行うとともに、情報制御部32の制御の下、情報格納部33や通信処理部34、ウェブサーバ部35との間でやり取りを行ったり、情報格納部33に記録される第2個人属性情報33aやプロファイル情報33bの編集や処理を行ったりする。
(個人属性情報管理システムのサービス利用上の前提)
次に、図1に示す個人属性情報管理システムにおいてサービスを利用する上で前提とする点について、図2、図3を用いて説明する。ここに、図2は、現状の一般的な個人属性情報管理システムにおけるサービス利用形態を示す説明図であり、図3は、本発明の一例として示した図1の個人属性情報管理システムにおけるサービス利用形態を説明するための説明図である。
図2の現状の個人属性情報管理システムにおいては、サービス利用者(U)は、特定のサービス提供者(S1)に対して、当該サービス利用者(U)に関する個人属性情報の預託および管理を委任し、該サービス提供者(S1)との間で、サービス利用者(U)を特定する個人ID(利用者ID)の提示/利用を行うことによって、該サービス提供者(S1)におけるサービスの提供に必要とする個人属性情報を参照して、サービスの利用/提供を実現する形態である。
さらに、サービス利用者(U)がサービス提供者(S1)のサービスの利用/提供形態として、他のサービス提供者S2,S3と連携して、他のサービス提供者S2,S3との間でサービスの利用/提供を継続して実施しようとする場合は、個人属性情報の預託および管理を委任した特定のサービス提供者(S1)から他のサービス提供者S2,S3との連携動作が直接行われることになり、該サービス提供者(S1)とサービス利用/提供を継続して行うサービス提供者S2,S3との間で、サービス利用者(U)を特定する個人ID(利用者ID)、個人属性情報、サービス属性情報の提供/利用が行われる。
これに対して、本発明の一例を示す図1の個人属性情報管理システムの場合、図3に示すように、サービス利用者(U)は、サービス提供者(S1,S2,S3)に個人属性情報を管理させる形態ではなく、信頼機関(K)に、サービスの利用/提供に必要な個人属性情報の一部またはすべての預託および管理を委任する形態であり、サービス利用者(U)の個人ID(利用者ID)を利用して、信頼機関(K)を介して、サービス提供者(S1,S2,S3)との間でサービス利用/提供を行う形態としている。
ここで、信頼機関(K)は、サービス利用者(U)の代行者として機能するものであり、サービス利用者(U)は、信頼機関(K)に対してサービス提供者(S1,S2,S3)に対するサービスの利用/提供要求を、個人ID(利用者ID)を用いて行い、該要求を受け取った信頼機関(K)が、個人ID(利用者ID)をキーとして、管理を委任されている個人属性情報を検索し、サービス利用者(U)が決定した利用方法にしたがって該個人属性情報の提供先を決定して、サービス提供者(S1,S2,S3)との間で、サービスの利用/提供に関するやり取りを行う。
この際、信頼機関(K)は、従来の個人属性情報管理システムの場合とは異なり、サービス提供者(S1,S2,S3)との間のやり取りは、サービス利用者(U)を特定する個人ID(利用者ID)ではなく、サービス利用者(U)を特定することが不可能な一時的な匿名IDを生成して用いる。つまり、個人属性情報管理サーバは、匿名ID、サービス提供者(S1,S2,S3)がサービス提供に必要とする特定の個人属性情報、要求するサービスの属性を示すサービス属性情報を、サービス提供者(S1,S2,S3)との間で提供/利用することにより、サービス提供者(S1,S2,S3)は、サービス利用者(U)が要求するサービスの利用/提供を実施し、その結果は、個人属性情報管理サーバを介して、サービス利用者(U)に転送される。
また、サービス提供者(S1)が、サービスを利用/提供するために、他のサービス提供者(S2,S3)との連携動作が必要になった場合、従来の個人属性情報管理システムの場合とは異なり、サービス提供者(S1)から直接他のサービス提供者(S2,S3)に対してサービスの利用/提供を継続させるための要求を行う形態ではなく、信頼機関(K)を介して、他のサービス提供者(S2,S3)に対してサービスの利用/提供を継続させるための依頼を行う形態としている。
さらに、図3の説明図について説明すると、サービス利用者(U)がサービスを利用する場合のサービス利用モデルは、次の点を前提としている。
(1)サービス利用者(U)は、個人属性情報の預託と管理の委任に関する信頼機関(K)との契約において、サービス利用の際に、サービス提供者(S1,S2,S3、…)が要求するサービス利用者(U)の個人属性情報の管理に、ICカードなど耐タンパ性があるデバイス(図1に示す個人属性情報記録媒体10)と、信頼機関(K)の情報システムである個人属性情報管理サーバ(図1に示す個人属性情報管理サーバ30)と、個人属性情報管理サーバ(図1に示す個人属性情報管理サーバ30)との間でセキュアな通信を行う利用者端末(図1に示す利用者端末20)とを利用する。
(2)また、信頼機関(K)は、サービス利用者(U)より預託された個人属性情報を、個人属性情報管理サーバ(図1に示す個人属性情報管理サーバ30)に実装されるデータベース(図1に示す情報格納部33)に記録・保存する。データベースに記録・保存される個人属性情報は、安全に管理された信頼機関(K)の鍵により暗号化されている。
(3)また、信頼機関(K)は、サービス利用者(U)の識別のために、サービス利用者(U)の利用者ID(個人ID)つまり利用者識別子uIDを用いる。利用者識別子uIDは、それ自体では、個人を特定・識別することができないユニークな識別子である。該利用者識別子uIDを、サービス利用者(U)の個人属性情報を検索するためのキーとすることによって、サービス利用者(U)を識別することができる。
(4)利用者識別子uIDは、サービス利用者(U)が信頼して個人属性情報の預託を行う信頼機関(K)により該当のサービス利用者(U)に対して発行される。信頼機関(K)がCA(Certificate Authority:認証機関)およびカード発行者として機能する場合は、信頼機関(K)は、サービス利用者(U)の秘密鍵、公開鍵証明書も発行し、利用者識別子uIDとともに、サービス利用者(U)に提供するICカードなど耐タンパ性があるデバイス(図1に示す個人属性情報記録媒体10の情報格納部13)にプロファイル情報として格納する。
(5)サービス利用者(U)がサービス提供者(S1,S2,S3,…)のサービスを利用する仕組み、および、信頼機関(K)とサービス提供者(S1,S2,S3,…)との間でサービス利用者(U)の個人属性情報が流通する仕組みは、従来の技術を利用することができるものとする。
(6)ICカードなど耐タンパ性があるデバイスの通信手段(図1に示す個人属性情報記録媒体10の通信部11、情報制御部12)と利用者端末の通信手段(図1に示す利用者端末20の記録媒体用通信部22、情報制御部23、オブジェクト通信処理部24)との間の通信方式、通信プロトコルについては、従来の技術を利用することができるものとする。
(個人属性情報管理システムの動作例)
次に、図1に示す個人属性情報管理システムの動作について、その一例を説明する。個人属性情報管理システムの動作の説明に先立って、サービス利用者(U)の個人属性情報の保管形態について、その一例を、図4を用いて説明する。図4は、図1に示す個人属性情報管理システムにおいてサービス利用者(U)の個人属性情報の保管形態の一例を説明するためのテーブルであり、サービス利用者(U)が所持する個人属性情報記録媒体10側と信頼機関(K)が運営する個人属性情報管理サーバ30側とで個人属性情報を分割して記録している論理的なイメージとともに、各サービス提供者(S1,S2,S3)のサービスを利用する際に必要とする個人属性情報(サービス提供者が利用する個人属性情報)についても合わせて示している。
図4の個人属性情報欄1の項目欄1aに示すように、或るサービス利用者(U)に関する個人属性情報は、当該サービス利用者(U)が利用しようとする各サービス提供者(S1,S2,S3)のサービスの利用に必要とする情報として、個人IDつまり利用者識別子uID、氏名、性別、生年月日、住所、電話番号、クレジット番号、…の各構成要素からなっており、個人属性情報欄1の値欄1bに示すような値を有している。
ここで、図4の情報管理方法欄2の保管先欄2aに示すように、各構成要素は、1箇所にまとめて保管されるのではなく、サービス利用者(U)の自由な裁量により、サービス利用者(U)つまり個人属性情報記録媒体10例えばICカード側と信頼機関(K)つまり個人属性情報管理サーバ30とに分散して保管することが可能である。
例えば、図4に示す本実施例においては、個人IDつまり利用者識別子uIDは、個人属性情報の検索用のキーとして個人属性情報記録媒体10例えばICカードと信頼機関(K)との双方に記録されるが、氏名、生年月日、電話番号に関する個人属性情報は、個人属性情報記録媒体10例えばICカード側に保管され、性別、住所、クレジット番号に関する情報は、信頼機関(K)側の個人属性情報管理サーバ30に保管される。
また、図4の情報管理方法欄2の提供先欄2bに示すように、個人属性情報の各構成要素の提供先(利用先)として、サービスを利用する際に必要とする各サービス提供者(S1,S2,S3)それぞれが設定されており、図4に示す本実施例においては、サービス提供者が利用する属性情報欄3にも示すように、サービス提供者(S1)は、性別と生年月日とを利用し、サービス提供者(S2)は、クレジット番号を利用し、サービス提供者(S3)は、住所を利用する場合を示している。
次に、図5のシーケンスチャートを用いて、図1に示す個人属性情報管理システムの動作について、その一例を説明する。ここに、図5は、図1に示す個人属性情報管理システムの動作の一例を説明するためのシーケンスチャートであり、サービス利用者(U)がサービス提供者(S1,S2,S3)のサービスを利用する際に必要とする個人属性情報の登録から、サービス利用者(U)からのサービス利用要求に対してサービス提供者(S1,S2,S3)が連携動作してサービスを実施するまでの動作を例にとって示している。
つまり、図5において、シーケンスSeq1からシーケンスSeq9までが、サービス利用者(U)の個人属性情報の登録動作に関する流れの一例を示し、シーケンスSeq10からシーケンスSeq25までが、サービス利用者(U)が、連携動作するサービス提供者(S1,S2,S3)のサービスを利用する際の動作に関する流れの一例を示している。
また、図5のシーケンスチャートは、説明を理解し易くするために、サービス利用者(U)が物品を購入するという具体的なオンラインサービスを利用する場合について例示しており、物品の購入、購入代金の支払決済、物品の発送までの一連のサービスを、複数のサービス提供者(S1,S2,S3)それぞれに跨って利用する場合を示している。ここで、サービス提供者(S1)がサービス利用者(U)からの物品の注文を受け付ける流通業者であり、サービス提供者(S2)がサービス利用者(U)の支払を決済する決済業者であり、サービス提供者(S3)が決済された受注物品をサービス利用者(U)へ発送する物流業者である場合を例にとって示している。
ただし、本個人属性情報管理システムは、かかる物品購入の場合のみに限るものではなく、如何なるアプリケーション分野であっても、全く同様に適用することができることは、図5に関する以下の説明からも明らかであり、他のアプリケーション分野への応用に関する説明は割愛する。
(個人属性情報の登録)
まず、サービス利用者(U)が、信頼機関(K)の個人属性情報管理サーバ30に対して、管理を委任する個人属性情報および管理を委任した個人属性情報の提供先を登録するまでの動作について説明する。
図5のシーケンスチャートにおいて、サービス利用者(U)が個人属性情報の預託と管理とを委任しようとする信頼機関(K)は、サービス提供者(S1,S2,S3)との間で、あらかじめ、情報の提供/利用に関する契約を締結している(シーケンスSeq1−1,Seq1−2,Seq1−3)。契約を締結したサービス提供者(S1,S2,S3)は、それぞれのサービス提供サーバからそれぞれのサービスを提供するために必要とする個人属性情報を信頼機関(K)の個人属性情報管理サーバ30に対して送信してくる(シーケンスSeq4−1,Seq4−2,Seq4−3)
一方、サービス利用者(U)は、個人属性情報の預託と管理とに関する委任契約を信頼機関(K)との間で締結する(シーケンスSeq2)。信頼機関(K)は、サービス利用者(U)との間で委任契約を取り交わすと、本人認証用の情報の記録・保持が可能なICカード等の耐タンパ性を有するデバイスつまり個人属性情報記録媒体10を発行し、契約したサービス利用者(U)に配布する(シーケンスSeq3)。該個人属性情報記録媒体10には、当該サービス利用者(U)の個人IDつまり利用者識別子uIDも記録されている。
個人属性情報記録媒体10を受け取ったサービス利用者(U)は、個人属性情報管理システムを利用するに当たって、まず、配布された個人属性情報記録媒体10例えばICカードを利用者端末20に装着して、信頼機関(K)の個人属性情報管理サーバ30へ利用登録するための操作を行う。
利用登録するための操作内容を受け取った情報制御部23は、記録媒体用通信部22を駆動して、装着している個人属性情報記録媒体10例えばICカードを利用者端末20に記録されている当該サービス利用者(U)の個人IDつまり利用者識別子uIDを読み出して、信頼機関(K)の個人属性情報管理サーバ30に対して、読み出した当該サービス利用者(U)の個人IDつまり利用者識別子uIDを通信部21を介して送信して、利用登録の要求を行う(シーケンスSeq5)。この際、個人属性情報記録媒体10例えばICカードの認証や本人認証の手続きが実行される。
認証が得られると、信頼機関(K)の個人属性情報管理サーバ30の情報制御部32は、当該サービス利用者(U)の個人IDつまり利用者識別子uIDを、情報格納部33にプロファイル情報33bの一つとして登録するとともに、通信処理部34、ウェブサーバ部35を駆動して、契約しているサービス提供者(S1,S2,S3)それぞれのサービスを利用する際に必要とする個人属性情報の各項目を含む管理メニューを生成して、個人属性情報の登録要求として、通信部31を介して、利用登録要求元の利用者端末20に対して送信する(シーケンスSeq6)。
該個人属性情報の登録要求には、当該サービス利用者(U)が利用するサービスに必要とする個人属性情報の登録を要求するとともに、当該サービス利用者(U)が登録する個人属性情報のうち、信頼機関(K)の個人属性情報管理サーバ30側で管理する個人属性情報の項目と、個人属性情報記録媒体10例えばICカード側に記録して、当該サービス利用者(U)自身が管理する項目と、に分離することを要求する内容が含まれている。
該個人属性情報の登録要求を通信部21を介して受信した利用者端末20の情報制御部23は、オブジェクト通信処理部24、情報閲覧部25により、受信した管理メニューを画面表示して、サービス利用者(U)に提示する。サービス利用者(U)は、管理メニューに含まれているサービス提供者(S1,S2,S3)それぞれが提供するサービスのうち、利用しようとするサービスを選択して、当該サービスに必要とする個人属性情報の各項目を、利用者端末20に入力するとともに、入力した個人属性情報のうち、信頼機関(K)の個人属性情報管理サーバ30側で管理する個人属性情報の項目を任意に選び出す。
利用者端末20の情報制御部23は、サービス利用者(U)によって選択された、各サービス、および、信頼機関(K)の個人属性情報管理サーバ30側で管理する個人属性情報の項目、例えば、図4に示す例では、性別(個人属性情報a)、クレジット番号(個人属性情報b)、住所(個人属性情報c)を、信頼機関(K)の公開鍵によって暗号化して、通信部21を介して個人属性情報管理サーバ30に返送し、個人属性情報の登録・更新を要求する(シーケンスSeq7)。
さらに、利用者端末20の情報制御部23は、サービス利用者(U)から入力された個人属性情報の残りの項目について、例えば、図4に示す例では、氏名(個人属性情報x)、生年月日(個人属性情報y)、電話番号(個人属性情報z)について、サービス利用者(U)の公開鍵によって暗号化して、記録媒体通信部22を介して、個人属性情報記録媒体10例えばICカードの情報格納部13に、第1個人属性情報13aとして記録する。個人属性情報記録媒体10例えばICカードの情報格納部13に記録された第1個人属性情報13aは、当該サービス利用者(U)の秘密鍵によってのみ復号することができる。
なお、個人属性情報管理サーバ30側に、性別(個人属性情報a)、クレジット番号(個人属性情報b)、住所(個人属性情報c)を返送する際に、サービス提供者(S1,S2,S3)それぞれが提供するサービスのうち、当該サービス利用者(U)が利用しようとするサービスを示す情報とともに、残りの個人属性情報が第1個人属性情報13aとして個人属性情報記録媒体10例えばICカードの情報格納部13に記録されていることを含めて、利用者端末20から個人属性情報管理サーバ30側に返送している。
信頼機関(K)の個人属性情報管理サーバ30側で管理する個人属性情報の項目を利用者端末20から受け取ると、個人属性情報管理サーバ30の情報制御部32は、受け取った個人属性情報の項目を、信頼機関(K)の公開鍵によって暗号化した状態のまま、耐タンパ性を有する情報格納部33に第2個人属性情報33aとして格納する。
なお、個人属性情報管理サーバ30の情報格納部33に格納される第2個人属性情報33aは、利用者端末20のオブジェクト通信処理部24、情報閲覧部25と個人属性情報管理サーバ30の通信処理部34、ウェブサーバ部35とにより、前述のように、セキュリティを維持した状態で通信が行われ、情報格納部33に信頼機関(K)の公開鍵によって暗号化して状態で格納されるが、格納された第2個人属性情報33aは、情報格納部33の耐タンパ性を有する領域に格納されている信頼機関(K)の秘密鍵によってのみ復号することができる。
また、信頼機関(K)に預託して管理を委任した第2個人属性情報33aは、サービス利用者(U)からの閲覧要求があった場合、利用者端末20のオブジェクト通信処理部24、情報閲覧部25と個人属性情報管理サーバ30の通信処理部34、ウェブサーバ部35とにより、情報制御部23、情報制御部32それぞれの制御の下、情報格納部33から読み出されて信頼機関(K)の秘密鍵によって復号されて、しかる後、当該サービス利用者(U)の公開鍵によって暗号化して、利用者端末20に返送することになる。
該第2個人属性情報は、利用者端末20の情報制御部23において、利用者端末20に装着された個人属性情報記録媒体10例えばICカードの情報格納部13に記録されている当該サービス利用者(U)の秘密鍵によって復号され、情報閲覧部25を駆動して、利用者端末20側で閲覧して確認することができる。
なお、サービス利用者(U)が指定した場合は、個人属性情報記録媒体10例えばICカードの情報格納部13に記録する第1個人属性情報13aのうち任意に指定した1ないし複数の個人属性情報の項目を、指定個人属性情報として、個人属性情報管理サーバ30と個人属性情報記録媒体10例えばICカードの情報格納部13との双方に記録することができる。
かかる場合、個人属性情報管理サーバ30は、利用者端末20から当該サービス利用者(U)の公開鍵によって暗号化されて転送されてきた指定個人属性情報を、情報格納部33の領域のうち当該サービス利用者(U)専用に割り当てられた領域に格納する。該領域に格納された指定個人属性情報は、当該サービス利用者(U)の個人属性情報記録媒体10例えばICカードの情報格納部13に記録されている秘密鍵によってのみ復号することができる。
さらに、個人属性情報管理サーバ30の情報制御部32は、管理を委任された第2個人属性情報33aのそれぞれについて、サービスの提供/利用契約を締結しているサービス提供者(S1,S2,S3)のいずれに提供することを認めるのかをサービス利用者(U)に問い合わせるために、サービスの提供/利用契約を締結しているサービス提供者(S1,S2,S3)のサービス情報の管理メニューを利用者端末20に対して送信し、当該サービス利用者(U)が第2個人属性情報33aを提供する提供先となるサービス提供者(S1,S2,S3)の選択を要求する(シーケンスSeq8)。
サービス情報の管理メニューを受け取ると、利用者端末20は、情報閲覧部25にて、受け取ったサービス情報の管理メニューを画面表示して、サービス利用者(U)に提示する。サービス利用者(U)は、画面表示されたサービス情報の管理メニューに基づいて、第2個人属性情報33aを提供する提供先のサービス提供者(S1,S2,S3)を選択して、選択結果を、個人属性情報の取り扱いを定義する情報として、信頼機関(K)の個人属性情報管理サーバ30に通信部21を介して返送する(シーケンスSeq9)。
例えば、図4に示す例においては、個人属性情報管理サーバ30からサービス情報の管理メニューを受け取った際に、該管理メニューを確認したサービス利用者(U)は、利用者端末20から、個人属性情報管理サーバ30側で管理する第2個人属性情報33aの各項目のうち、性別(個人属性情報a)はサービス提供者(S1)を提供先とする項目であり、クレジット番号(個人属性情報b)はサービス提供者(S2)を提供先とする項目であり、住所(個人属性情報c)はサービス提供者(S3)を提供先とする項目である旨を、第2個人属性情報33aの各項目に関する取り扱い定義として返送する。
さらに、個人属性情報記録媒体10例えばICカードの情報格納部13に第1個人属性情報13aとして記録されている個人属性情報の各項目のうち、生年月日(個人属性情報y)についてもサービス提供者(S1)を提供先とする項目である旨を記録する。
なお、第2個人属性情報33aの提供先を個人属性情報の取り扱いとして定義して設定するシーケンスSeq8,Seq9の動作を、シーケンスSeq7に含ませることとして、第2個人属性情報33aを個人属性情報管理サーバ30に登録する際に、登録しようとする第2個人属性情報33aの項目それぞれについて、サービス利用者(U)が自由な裁量で、提供先のサービス提供者(S1,S2,S3)を定義する情報も合わせて設定して、個人属性情報の登録要求と各個人属性情報の提供先に関する情報とを同時に個人属性情報管理サーバ30に対して送信するようにしても良い。
以上のような動作結果として、図4に示す実施例の場合、選択されたサービス提供者(S1,S2,S3)のいずれか例えばサービス提供者(S1)のサービスの利用を利用者端末20から要求された際に、信頼機関(K)の個人属性情報管理サーバ30は、サービスの利用が要求されたサービス提供者(S1)がサービスの提供に必要とする個人属性情報の項目のうち、事前の取り扱いの定義がなされた性別(個人属性情報a)に関しては、情報格納部33の第2個人属性情報33aから取り出して、サービス提供者(S1)のサービス提供サーバに送信する。
しかし、事前の取り扱いの定義がなされていない生年月日(個人属性情報y)に関しては、利用者端末20側に対して送信要求を行う。該送信要求を受け取った利用者端末20は、サービス利用者(U)に対して、生年月日(個人属性情報y)に関する個人属性情報のサービス提供者(S1)への提供の可否を問い合わせて、サービス利用者(U)から許容する旨の応答を受け取った場合は、利用者端末20に装着された個人属性情報記録媒体10例えばICカードの情報格納部13の第1個人属性情報13aから生年月日(個人属性情報y)を取り出して、個人属性情報管理サーバ30に返送する。個人属性情報管理サーバ30は、利用者端末20から転送されてきた生年月日(個人属性情報y)を、第2個人属性情報33aから取り出した性別(個人属性情報a)に引き続いて、サービスの利用を要求されたサービス提供者(S1)のサービス提供サーバに対して送信することになる。
(個人属性情報の利用)
次に、サービス利用者(U)が、信頼機関(K)の個人属性情報管理サーバ30に対して、登録した個人属性情報を利用して、例えばサービス提供者(S1)に対してサービスの利用を要求した場合の動作について説明する。ここで、前述したように、サービス利用者(U)は、流通業者のサービス提供者(S1)に対して或る物品の購入を要求し、該購入要求を受け付けたサービス提供者(S1)は、決済業者のサービス提供者(S2)、物流業者のサービス提供者(S3)と連携動作して、購入物品に対して代金の支払いに関する決済処理(注文決済処理)を行い、さらに、決済された購入物品を、サービス利用者(U)へ発送して届けるまでの動作シーケンスを例にとって説明する。
まず、サービス利用者(U)は、利用者端末20に個人属性情報記録媒体10例えばICカードを装着して、サービス提供者(S1)のサービスの利用を指示すると、利用者端末20の情報制御部23が、通信部21を介して、該利用者端末20から、当該サービス利用者(U)の個人属性情報の管理を委任している信頼機関(K)の個人属性情報管理サーバ30に対して、サービス提供者(S1)のサービスを利用する旨のサービス利用要求を送信する(シーケンスSeq10)。ここで、該サービス利用要求は、前述のように、或る物品に関するオンライン購入要求であるものとする。
該サービス利用要求例えば物品購入要求を通信部31を介して受け取った個人属性情報管理サーバ30の信頼機関(K)は、以降、サービス提供者(S1)に対しては、サービス利用者(U)の代行者として機能する。個人属性情報管理サーバ30は、情報制御部32において、サーバ間通信部36を駆動して、当該サービス利用者(U)からのサービス利用要求例えば物品購入要求をユニークに特定することが可能なIDを匿名ID(図5の場合は、匿名ID:A)として一時的に生成し、該匿名IDを付したサービス利用要求例えば物品購入要求を、サービス提供者(S1)のサービス提供サーバに通信部31を介して送信する(シーケンスSeq11)。
なお、サービス利用要求例えば物品購入要求には、サービス利用者(U)の個人IDつまり利用者識別子uIDも付されていないし、また、サービス要求元のサービス利用者(U)の個人属性情報も付与されていないので、該サービス利用要求例えば物品購入要求を受け取ったサービス提供者(S1)のサービス提供サーバ側では、サービス要求元のサービス利用者(U)を特定することはできない。
サービス提供者(S1)のサービス提供サーバは、受け取った該サービス利用要求例えば物品購入要求に応じて、サービスの利用に必要とするサービス利用者(U)の個人属性情報(サービス提供者(S1)の場合、前述のように、性別(個人属性情報a)および生年月日(個人属性情報y))の取得要求を、サービス利用要求を送信してきた代行者の信頼機関(K)の個人属性情報管理サーバ30に対して返送する(シーケンスSeq12)。
該個人属性情報の取得要求を通信部31を介して受け取った個人属性情報管理サーバ30は、情報制御部32において、当該個人属性情報管理サーバ30の情報格納部33に第2個人属性情報33aとして格納されている当該サービス利用者(U)の個人情報を確認し、該第2個人属性情報33aのうち、サービス提供者(S1)に提供可能な個人属性情報として事前に定義されている個人属性情報のみ(図4の場合、性別(個人属性情報a)のみ)を取り出して、サーバ間通信部36を駆動して、サービス提供者(S1)の公開鍵を用いて暗号化して、サービス提供者(S1)のサービス提供サーバに通信部31を介して返送する(シーケンスSeq13)。
さらに、サービス提供者(S1)のサービス提供サーバからの個人属性情報の取得要求を受け取った個人属性情報管理サーバ30の情報制御部32は、サービス提供者(S1)のサービス提供サーバが要求する個人属性情報のうち、当該信頼機関(K)には預託されておらず、当該個人属性情報管理サーバ30の情報格納部33には格納されていない個人属性情報があった場合、通信処理部34、ウェブサーバ部35を駆動して、サービス利用者(U)の利用者端末20に対して、当該個人属性情報(図4の場合、生年月日(個人属性情報y))のサービス提供者(S1)への提供可否問合せを通信部31を介して送信し、サービスの継続可否を問い合わせる(シーケンスSeq14)。
利用者端末20は、信頼機関(K)に預託されていない個人属性情報のサービス提供者(S1)への提供可否問合せを、個人属性情報管理サーバ30から通信部21を介して受け取ると、情報制御部23の制御の下、該問合せ通知を、オブジェクト通信処理部24、情報閲覧部25を駆動して画面表示する。
該画面表示を確認したサービス利用者(U)が、信頼機関(K)に預託していない個人属性情報のうち、個人属性情報(図4の場合、生年月日(個人属性情報y))を、サービス提供者(S1)へ提供することを認めた場合、サービス利用者(U)は、情報閲覧部25によって表示された表示画面に応じて提供許可を示す特定の操作を行う。情報制御部23は、該特定の操作が行われたことを検出すると、オブジェクト通信処理部24を駆動して、情報制御部23の制御の下、記録媒体用通信部22を介して、個人属性情報記録媒体10例えばICカードの情報格納部13の第1個人属性情報13aのうち、指定された個人属性情報(図4の場合、生年月日(個人属性情報y))を読み出す。
利用者端末20に読み出された当該個人属性情報(図4の場合、生年月日(個人属性情報y))は、オブジェクト通信処理部24、情報閲覧部25を介してサービス利用者(U)によって確認された後、信頼機関(K)の公開鍵によって暗号化されて、サービスの継続を要求するOK応答とともに個人属性情報管理サーバ30に対して通信部21を介して送信される(シーケンスSeq15)。
個人属性情報管理サーバ30は、利用者端末20からOK応答を受け取った場合、情報制御部32の制御の下、通信処理部34、ウェブサーバ部35により、利用者端末20から返送されてきた個人属性情報(図4の場合、生年月日(個人属性情報y))を、信頼機関(K)の秘密鍵によって復号し、さらに、サーバ間通信部36を駆動して、サービス提供者(S1)の公開鍵によって暗号化して、サービス利用者(S1)のサービス提供サーバに通信部31を介して送信する(シーケンスSeq16)。
なお、サービス利用者(U)が、信頼機関(K)に預託されていない個人属性情報のうち、個人属性情報(図4の場合、生年月日(個人属性情報y))を、サービス提供者(S1)へ提供することを認めなかった場合、サービスの継続を拒否する旨のNG応答が個人属性情報管理サーバ30に対して通信部21を介して送信される。利用者端末20からNG応答を受け取った個人属性情報管理サーバ30は、サーバ間通信部36を駆動して、サービスを打ち切る旨の指示をサービス提供者(S1)のサービス提供サーバに送信することにより、サービス提供者(S1)に要求していたサービスを打ち切る。
個人属性情報管理サーバ30から個人属性情報が返送されてきた場合、サービス利用者(S1)のサービス提供サーバは、個人属性情報管理サーバ30からの個人属性情報(図4の場合、生年月日(個人属性情報y))を、当該サービス利用者(S1)の秘密鍵で復号し、サービスの提供に必要とする個人属性情報をすべて受け取ったことが判明した場合には、該個人属性情報の正常性を確認して、匿名ID(図5の場合、匿名ID:A)によって指定されたサービス要求例えば物品購入要求を受け付け、指定されたサービスに必要な処理を継続して実施する。
ここで、要求元のサービス利用者(U)から要求されたサービスを完了させるために、サービス提供者(S1)以外の他のサービス提供者(S2,S3)との連携が必要であった場合、例えば、注文された物品の購入に関する決済を行い、かつ、注文された物品を発送してサービス利用者(U)まで届けることが必要であった場合、サービス提供者(S1)のサービス提供サーバは、連携する他のサービス提供者(S2)に対するサービス継続依頼を個人属性情報管理サーバ30に対して通知する。
つまり、サービス提供者(S1)のサービス提供サーバは、サービス提供者(S2)に対して依頼するサービス属性情報(例えば、注文決済処理を依頼する情報)を通知するために、個人属性情報管理サーバ30から受け取っていた匿名IDとサービス提供者(S2)に依頼するサービス(注文決済処理)をユニークに特定するサービス属性情報(注文決済依頼(s1))とを含むサービス継続依頼(S2サービス継続依頼)を、個人属性情報管理サーバ30に対して返送する(シーケンスSeq17)。
サービス提供者(S1)のサービス提供サーバから該サービス継続依頼(サービス提供者(S1)からサービス提供者(S2)への注文決済依頼(s1))を通信部31を介して受け取った個人属性情報管理サーバ30は、情報制御部32において、匿名ID(図5の場合、匿名ID:A)によって特定されるサービス利用者(U)の利用者識別子uIDとのマッピング処理(匿名ID:A=利用者識別子uID)を行い、サービス要求をしているサービス利用者(U)を特定するとともに、サービス属性情報(注文決済依頼(s1))とサービス提供者(S2)とをマッピング処理して、該サービスを提供するサービス提供者(S2)を識別する。
しかる後、当該サービス利用者(U)に関するサービスとしてさらに継続してサービス提供者(S2)のサービスを利用するために、当該個人属性情報管理サーバ30の情報格納部33に第2個人属性情報33aとして格納されている当該サービス利用者(U)の個人情報を確認し、該第2個人属性情報33aのうち、サービス提供者(S2)に提供可能な個人属性情報として事前に定義されている個人属性情報のみ(図4の場合、クレジット番号(個人属性情報b))を取り出す。
取り出した個人属性情報(図4の場合、クレジット番号(個人属性情報b))は、サーバ間通信部36において、サービス提供者(S2)の公開鍵を用いて暗号化されるとともに、サービス提供者(S2)へのサービス継続要求をユニークに特定することが可能な新たなIDを匿名ID(図5の場合、匿名ID:B)として生成して、該匿名IDを付したサービス提供者(S2)へのサービス継続要求を、暗号化した個人属性情報(図4の場合、クレジット番号(個人属性情報b))とともに、サービス提供者(S2)のサービス提供サーバに通信部31を介して送信する(シーケンスSeq18)。
ここで、サービス提供者(S2)へのサービス継続要求に付される匿名ID(図5の場合、匿名ID:B)は、サービス提供者(S1)へのサービス利用要求例えば物品購入要求として付した匿名ID(図5の場合、匿名ID:A)とは異なるID情報となっていて、サービス提供者(S1)とサービス提供者(S2)との間で名寄せができないようにしている。
サービス提供者(S2)のサービス提供サーバは、個人属性情報管理サーバ30から匿名ID付きのサービス継続要求を受け取ると、該サービス継続要求に含まれている個人属性情報(図4の場合、クレジット番号(個人属性情報b))を、当該サービス提供者(S2)の秘密鍵によって復号し、該個人属性情報の正常性を確認した後、サービス提供者(S2)において指定されたサービス例えば注文決済に関する処理を実施する。
ここで、サービス提供者(S2)のサービスを提供するために必要とする個人属性情報が不足していた場合には、個人属性情報管理サーバ30に対して不足する個人属性情報の返送を要求することになるが、図4の場合には、サービス提供者(S2)において必要とする個人属性情報は、サービス継続要求に含まれているクレジット番号(個人属性情報b)のみであり、個人属性情報管理サーバ30に対する新たな返送要求を行うことはない。
しかる後、サービス提供者(S2)のサービス提供サーバは、サービス処理(本実施例では注文決済処理)を完了すると、要求元のサービス利用者(U)から要求されたサービスを完了させるために、サービス提供者(S2)以外の他のサービス提供者(S3)との連携が必要である旨が、サービス提供者(S1)のサービス提供サーバからサービス提供者(S2)へのサービス継続要求に含まれていた場合は、サービス提供者(S2)のサービス提供サーバは、連携する他のサービス提供者(S3)に対するサービス継続依頼を個人属性情報管理サーバ30に対して返送する。
つまり、サービス提供者(S2)のサービス提供サーバは、サービス提供者(S3)に対して依頼するサービス属性情報(例えば、物品発送処理を示す情報)を通知するために、個人属性情報管理サーバ30から受け取っていた匿名ID(図5の場合、匿名ID:B)とサービス提供者(S3)に依頼するサービス(物品発送処理)をユニークに特定するサービス属性情報(物品発送依頼(s2))とを含むサービス継続依頼(S3サービス継続依頼)を、個人属性情報管理サーバ30に対して返送する(シーケンスSeq19)。
サービス提供者(S2)のサービス提供サーバから該サービス継続依頼(サービス提供者(S2)からサービス提供者(S3)への物品発送依頼(s2))を通信部31を介して受け取った個人属性情報管理サーバ30は、情報制御部32において、匿名ID(図5の場合、匿名ID:B)によって特定されるサービス利用者(U)の利用者識別子uIDとのマッピング処理(匿名ID:B=利用者識別子uID)を行い、サービス要求をしているサービス利用者(U)を特定するとともに、サービス属性情報(物品発送依頼(s2))とサービス提供者(S3)とをマッピング処理して、該サービスを提供するサービス提供者(S3)を識別する。
しかる後、当該サービス利用者(U)に関するサービスとしてさらに継続してサービス提供者(S3)のサービスを利用するために、当該個人属性情報管理サーバ30の情報格納部33に第2個人属性情報33aとして格納されている当該サービス利用者(U)の個人情報を確認し、該第2個人属性情報33aのうち、サービス提供者(S3)に提供可能な個人属性情報として事前に定義されている個人属性情報のみ(図4の場合、住所(個人属性情報c))を取り出す。
取り出した個人属性情報(図4の場合、住所(個人属性情報c))は、サーバ間通信部36において、サービス提供者(S3)の公開鍵を用いて暗号化されるとともに、サービス提供者(S3)へのサービス継続要求をユニークに特定することが可能な新たなIDを匿名ID(図5の場合、匿名ID:C)として生成して、該匿名IDを付したサービス提供者(S3)へのサービス継続要求を、暗号化した個人属性情報(図4の場合、住所(個人属性情報c))とともに、サービス提供者(S3)のサービス提供サーバに通信部31を介して送信する(シーケンスSeq20)。
ここで、サービス提供者(S3)へのサービス継続要求に付される匿名ID(図5の場合、匿名ID:C)は、サービス提供者(S1)へのサービス利用要求例えば物品購入要求として付した匿名ID(図5の場合、匿名ID:A)、サービス提供者(S2)へのサービス利用要求例えば注文決済要求として付した匿名ID(図5の場合、匿名ID:B)とは異なるID情報となっていて、サービス提供者(S1)とサービス提供者(S2)とサービス提供者(S3)との間のいずれについても名寄せができないようにしている。
サービス提供者(S3)のサービス提供サーバは、個人属性情報管理サーバ30から匿名ID付きのサービス継続要求を受け取ると、該サービス継続要求に含まれている個人属性情報(図4の場合、住所(個人属性情報c))を、当該サービス提供者(S3)の秘密鍵によって復号し、該個人属性情報の正常性を確認した後、サービス提供者(S3)において指定されたサービス例えば受注物品の発送に関する処理を実施する。
ここで、サービス提供者(S3)のサービスを提供するために必要とする個人属性情報が不足していた場合には、個人属性情報管理サーバ30に対して不足する個人属性情報の返送を要求することになるが、図4の場合には、サービス提供者(S3)において必要とする個人属性情報は、サービス継続要求に含まれている住所(個人属性情報c)のみであり、個人属性情報管理サーバ30に対する新たな返送要求を行うことはない。
しかる後、サービス提供者(S3)のサービス提供サーバは、サービス処理(本実施の例では受注物品発送処理)を完了すると、最初のサービスの提供を行った連携元のサービス提供者(S1)に対して要求されたサービスの実施結果を通知する旨が、サービス提供者(S2)のサービス提供サーバからサービス提供者(S3)へのサービス継続要求に含まれていた場合は、サービス提供者(S3)のサービス提供サーバは、個人属性情報管理サーバ30から受け取っていた匿名ID(図5の場合、匿名ID:C)とサービス提供者(S3)におけるサービス実施結果を示すサービス属性情報(受注物品発送完了(s3))とを含むサービス提供処理完了通知を、個人属性情報管理サーバ30に対して返送する(シーケンスSeq21)。
サービス提供者(S3)のサービス提供サーバから該サービス提供処理完了通知を通信部31を介して受け取った個人属性情報管理サーバ30は、情報制御部32において、匿名ID(図5の場合、匿名ID:C)によって特定されるサービス利用者(U)の利用者識別子uIDとのマッピング処理(匿名ID:C=利用者識別子uID)を行い、サービス要求をしているサービス利用者(U)を特定するとともに、サービス提供者(S1)へのサービス利用要求例えば物品購入要求として付していた匿名ID(図5の場合、匿名ID:A)を取り出し、該匿名IDとサービス提供者(S3)におけるサービス実施結果を示すサービス属性情報(受注物品発送完了)とを含むサービス提供処理完了通知(サービス提供者(S3)における受注物品発送完了(s3))を、サービス提供者(S1)のサービス提供サーバに通信部31を介して送信する(シーケンスSeq22)。
サービス提供処理完了通知(受注物品発送完了(s3))を受け取ったサービス提供者(S1)のサービス提供サーバは、送信元の個人属性情報管理サーバ30に対して、サービス提供処理完了通知の受信確認通知を返送する(シーケンスSeq23)。
個人属性情報管理サーバ30は、サービス提供者(S1)のサービス提供サーバからサービス提供処理完了通知の受信確認通知を通信部31を介して受け取ると、匿名ID(図5の場合、匿名ID:A)に該当するサービス要求元のサービス利用者(U)の利用者識別子uIDが示す利用者端末20に対して、サービス提供者(S1)に要求したサービスの実施が完了した旨を示すS1サービス完了通知(サービス属性として、物品購入(物品受注)+注文決済依頼(s1)+物品発送依頼(s2)+受注物品発送完了(s3)までを含む、物品受注〜注文決済〜受注物品発送完了に関する情報)を通信部31から送信する(シーケンスSeq24)。
利用者端末20では、該S1サービス完了通知を通信部21にて受信すると、情報制御部23において、オブジェクト通信処理部24、情報閲覧部25を駆動して、サービス提供者(S1)に対して要求したサービス(本実施例では、物品購入)が完了した旨を画面表示して、サービス利用者(U)に通知する。
しかる後、サービス提供者(S1)にて購入した物品が、商品お届けとして、物品の発送サービスを行うサービス提供者(S3)の物流業者から、先に個人属性情報として通知している住所に配送されてくる(シーケンスSeq25)。
なお、以上の本実施形態の場合であっても、サービス利用者(U)は、各サービス提供者(S1、S2,S3)のサービスを利用するために必要とする個人属性情報を、信頼機関(K)の個人属性情報管理サーバ30に預託して管理する第2個人属性情報33aと、サービス使用者(U)が所持する個人属性情報記録媒体10例えばICカードに格納する第1個人属性情報13aとで分離して管理するのではなく、サービス利用者(U)の自由な裁量によって、いずれか一方にまとめて管理するようにすることも可能である。
なお、場合によっては、個人属性情報の各項目のうち、いずれか1ないし複数の個人属性情報を、各サービス提供者(S1、S2,S3)が示すプライバシー・ポリシーの下、各サービス提供者(S1、S2,S3)が直接保有することを容認することも可能である。各サービス提供者(S1、S2,S3)に保有される場合は、サービス提供者(S1、S2,S3)のサービス提供サーバに、当該サービス提供者(S1、S2,S3)のサービスを利用するために必要とするサービス利用者(U)の個人属性情報の一部、あるいは、場合によっては、すべてが、保存・記録されることになるが、本実施形態においては、サービス利用者(U)からのサービス提供者(S1、S2,S3)のサービス提供サーバへのサービス利用要求は、個人属性情報管理サーバ30を介して実施されることに変わりはない。
(本実施形態の作用効果)
以上に詳細に説明したように、本実施形態によれば、次のような作用効果が得られる。
例えば、同一のサービスの利用を希望する二人のサービス利用者(A),(B)がいる場合について、説明する。
サービス提供者(S)のサービスの利用に際して、利用者を特定する個人属性情報として分類される項目のうち、例えば或る5種の項目について、サービス提供者(S)に対して提示することが必要であるものとする。
かかる場合において、例えば、サービス利用者(A)は、サービス提供者(S)のサービスを利用するために必要とする5種すべての個人属性情報を、サービス利用者(U)自身が管理する形態とし、信頼機関(K)が発行するサービス利用者(U)専用のICカードなどの耐タンパ性があるデバイス(個人属性情報記録媒体)を用いて管理することが可能である。
一方、利用者(B)は、当該5種の項目のうち、サービス提供者(S)のサービスを利用するために必要とする5種の個人属性情報のうち、1種の個人属性情報のみを、サービス提供者(S)が示すプライバシー・ポリシーの下、サービス提供者(S)が直接保有することを容認する。かかる場合、利用者(B)は、サービス提供者(S)が直接保有する必要がないと想定する残りの4種の個人属性情報については、サービス利用者(B)、サービス提供者(S)の双方が信頼する信頼機関(K)に、預託して管理を委任するか、あるいは、信頼機関(K)より発行されて、サービス利用者(B)が保持しているサービス利用者(B)専用のICカードなど耐タンパ性を有するデバイス(個人属性情報記録媒体)を用いて管理することによって、サービス提供者(S)のサービスを利用することを可能にすることを希望することになる。
以上のような双方のシナリオにおいて、サービス利用者(A),(B)の希望を満たす仕組みのことを、本発明においては、「個人属性情報の管理方法を、サービス利用者本人の自由な裁量の下、選択することができる仕組み」としている。これにより、本人が意図しない、または、本人の行為によらない個人属性情報の漏洩の発生の可能性を低減することができる。
前述のような仕組みの具体的な実現手順の一例は、以下の通りである。
(1)サービス利用者(U)は、サービス利用上に必要となる自らの個人属性情報の預託と管理とを、特定の信頼機関(K)に委任する。
(2)信頼機関(K)は、サービス利用者(U)に対し、サービス利用者(U)の本人認証が可能なICカードなどの耐タンパ性があるデバイス(サービス利用者(U)の利用者識別子uIDや個人属性情報の記録が可能な個人属性情報記録媒体10)を発行して配布する。
(3)サービス利用者(U)は、サービス利用に先立ち、各サービス提供者(S)が要求する個人属性情報の管理方法について、信頼機関(K)が運営する個人属性情報管理サーバ30上に、自らの意思と判断で、自由に設定を行うことができる。
(4)個人属性情報管理サーバ30上への個人属性情報の設定をサービス利用者(U)が自由に行うことを可能とすることにより、個人属性情報が管理されるデバイスは、個人属性情報の各項目ごとに、サービス利用者(U)に配布されたICカードなどの耐タンパ性を有するデバイス(個人属性情報記録媒体10)か、あるいは、サービス利用者(U)および各サービス提供者(S)から信頼されている信頼機関(K)が運営する個人属性情報管理サーバ30の情報格納部33(データベースなどストレージデバイス)か、あるいは、場合によっては、サービス提供者のプライバシー・ポリシーを信頼して、サービス提供者のサービス提供サーバのストレージデバイスかのいずれかになる。
(5)サービス利用者(U)自らが保持するICカードなどの耐タンパ性を有するデバイス(個人属性情報記録媒体10)で管理することを選択した場合、サービス利用者(U)自らの個人属性情報を自らが管理することになる。
(6)信頼機関(K)で管理することを選択した場合、信頼機関(K)にサービス利用者(U)自らの個人属性情報を預託し管理を委任することになる。
(7)信頼機関(K)で管理することを選択した場合であっても、当該個人属性情報の取り扱い方法(個人属性情報の提供を行う提供先などの選択)については、信頼機関(K)の提供する個人属性情報管理サーバ30上において、サービス利用者(U)自らの意思と判断で、自由に設定を行うことになる。
(8)而して、信頼機関(K)で管理することを選択した場合であっても、当該個人属性情報の取り扱い方法をサービス利用者(U)自らが自由に設定を行うことにより、信頼機関(K)は、サービス利用者(U)の許可なく、サービス利用者(U)の個人属性情報を、サービス提供者(S)に対して提供することはできなくなる。
1…個人属性情報欄、1a…項目欄、1b…値欄、2…情報管理方法欄、2a…保管先欄、2b…提供先、3…属性情報欄、10…個人属性情報記録媒体、11…通信部、12…情報制御部、13…情報格納部、13a…第1個人属性情報、13b…プロファイル情報、20…利用者端末、21…通信部、22…記録媒体用通信部、23…情報制御部、24…オブジェクト通信処理部、25…情報閲覧部、30…個人属性情報管理サーバ、31…通信部、32…情報制御部、33…情報格納部、33a…第2個人属性情報、33b…プロファイル情報、34…通信処理部、35…ウェブサーバ部、36…サーバ間通信部、40…ネットワーク、50…サービス提供サーバ。

Claims (10)

  1. サービス利用者が利用者端末を用いてサービス提供者のサービス提供サーバが提供するサービスを利用する際に必要になる当該サービス利用者の個人属性情報を管理する個人属性情報管理方法であって、前記個人管理情報を保管する保管場所として、前記利用者端末に装着することが可能な耐タンパ性を有する個人属性情報記録媒体と、前記サービス利用者および前記サービス提供者の双方が信頼する信頼機関が運営する個人属性情報管理サーバとの2つの保管場所を有し、前記サービス利用者の前記個人管理情報を、当該サービス利用者からの指示に基づいて、前記属性情報記録媒体および/または前記個人属性情報管理サーバ分散またはまとめて保管することを特徴とする個人属性情報管理方法。
  2. 請求項1に記載の個人属性情報管理方法において、前記属性情報記録媒体および/または前記個人属性情報管理サーバに保管された前記サービス利用者の前記個人属性情報を、前記サービス提供サーバへ提供する際の提供先を、当該サービス利用者からの指示に基づいて、あらかじめ設定することを特徴とする個人属性情報管理方法。
  3. 請求項1または2に記載の個人属性情報管理方法において、前記サービス利用者が前記サービス提供者のサービス提供サーバが提供するサービスを利用する場合、サービスを利用しようとする前記サービス提供者に関する情報と当該サービス利用者の利用者識別子とを付したサービス利用要求を前記利用者端末から前記個人属性情報管理サーバに対して送信し、該サービス利用要求を受け取った前記個人属性情報管理サーバは、前記利用者識別子とは異なる匿名IDを一時的に生成して、該匿名IDを用いて、前記サービス利用要求によって指定された前記サービス提供者の前記サービス提供サーバに対してサービス利用要求を送信することを特徴とする個人属性情報管理方法。
  4. 請求項3に記載の個人属性情報管理方法において、前記個人属性情報管理サーバは、前記サービス利用要求を前記サービス提供サーバに送信する際に、または、前記サービス利用要求を送信した送信先の前記サービス提供サーバから、サービスの提供に必要とする前記個人属性情報の取得を送信元の当該個人属性情報管理サーバに要求してきた際に、当該サービス利用要求の要求元のサービス利用者が提供先として当該サービス提供サーバへの前記個人属性情報の提供を容認している場合には、当該個人属性情報管理サーバおよび/または前記個人属性情報記録媒体から前記個人属性情報を収集して、前記サービス提供サーバに対して送信することを特徴とする個人属性情報管理方法。
  5. 請求項3または4に記載の個人属性情報管理方法において、前記サービス利用要求を受信した前記サービス提供サーバが、当該サービス利用要求を実行するために、他のサービス提供サーバとの連携動作を必要とする場合、前記他のサービス提供サーバへのサービス継続依頼を前記個人属性情報管理サーバに返送し、該サービス継続依頼を受信した前記個人属性情報管理サーバは、前記他のサービス提供サーバがサービスの提供に必要とする前記個人属性情報について、当該サービス利用要求の要求元のサービス利用者が提供先として当該他のサービス提供サーバへの提供を容認している場合には、当該個人属性情報管理サーバおよび/または前記個人属性情報記録媒体から前記個人属性情報を収集して、収集した前記個人属性情報と新たに一時的に生成した匿名IDとを付したサービス継続要求を前記他のサービス提供サーバに対して送信することを特徴とする個人属性情報管理方法。
  6. サービス利用者が利用者端末を用いてサービス提供者のサービス提供サーバが提供するサービスを利用する際に必要になる当該サービス利用者の個人属性情報を管理する個人属性情報管理システムであって、前記個人管理情報を保管する保管場所として、前記利用者端末に装着することが可能な耐タンパ性を有する個人属性情報記録媒体と、前記サービス利用者および前記サービス提供者の双方が信頼する信頼機関が運営する個人属性情報管理サーバとの2つの保管場所を有し、前記サービス利用者の前記個人管理情報を、当該サービス利用者からの指示に基づいて、前記属性情報記録媒体および/または前記個人属性情報管理サーバ分散またはまとめて保管することを特徴とする個人属性情報管理システム。
  7. 請求項6に記載の個人属性情報管理システムにおいて、前記属性情報記録媒体および/または前記個人属性情報管理サーバに保管された前記サービス利用者の前記個人属性情報を、前記サービス提供サーバへ提供する際の提供先を、当該サービス利用者からの指示に基づいて、あらかじめ設定することを特徴とする個人属性情報管理システム。
  8. 請求項6または7に記載の個人属性情報管理システムにおいて、前記サービス利用者が前記サービス提供者のサービス提供サーバが提供するサービスを利用する場合、サービスを利用しようとする前記サービス提供者に関する情報と当該サービス利用者の利用者識別子とを付したサービス利用要求を前記利用者端末から前記個人属性情報管理サーバに対して送信し、該サービス利用要求を受け取った前記個人属性情報管理サーバは、前記利用者識別子とは異なる匿名IDを一時的に生成して、該匿名IDを用いて、前記サービス利用要求によって指定された前記サービス提供者の前記サービス提供サーバに対してサービス利用要求を送信することを特徴とする個人属性情報管理システム。
  9. 請求項8に記載の個人属性情報管理システムにおいて、前記個人属性情報管理サーバは、前記サービス利用要求を前記サービス提供サーバに送信する際に、または、前記サービス利用要求を送信した送信先の前記サービス提供サーバから、サービスの提供に必要とする前記個人属性情報の取得を送信元の当該個人属性情報管理サーバに要求してきた際に、当該サービス利用要求の要求元のサービス利用者が提供先として当該サービス提供サーバへの前記個人属性情報の提供を容認している場合には、当該個人属性情報管理サーバおよび/または前記個人属性情報記録媒体から前記個人属性情報を収集して、前記サービス提供サーバに対して送信することを特徴とする個人属性情報管理システム。
  10. 請求項1ないし5のいずれかに記載の個人属性情報管理方法をコンピュータによって実行可能なプログラムとして実施していることを特徴とする個人属性情報管理プログラム。
JP2009091800A 2009-04-06 2009-04-06 個人属性情報管理方法、個人属性情報管理システムおよび個人属性情報管理プログラム Pending JP2010244272A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009091800A JP2010244272A (ja) 2009-04-06 2009-04-06 個人属性情報管理方法、個人属性情報管理システムおよび個人属性情報管理プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009091800A JP2010244272A (ja) 2009-04-06 2009-04-06 個人属性情報管理方法、個人属性情報管理システムおよび個人属性情報管理プログラム

Publications (1)

Publication Number Publication Date
JP2010244272A true JP2010244272A (ja) 2010-10-28

Family

ID=43097228

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009091800A Pending JP2010244272A (ja) 2009-04-06 2009-04-06 個人属性情報管理方法、個人属性情報管理システムおよび個人属性情報管理プログラム

Country Status (1)

Country Link
JP (1) JP2010244272A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012027582A (ja) * 2010-07-21 2012-02-09 National Institute Of Information & Communication Technology 個人id統合サーバシステム及び個人id統合サーバ及びハードウェアid登録サーバ
JP2012178111A (ja) * 2011-02-28 2012-09-13 Kddi Corp 認証システム、認証方法およびプログラム
JP2012181800A (ja) * 2011-03-03 2012-09-20 Kddi Corp 認証システム、認証方法およびプログラム
JP2014521155A (ja) * 2011-07-01 2014-08-25 マイクロソフト コーポレーション 個人メタデータの制御又は使用
JP2015511348A (ja) * 2012-01-20 2015-04-16 インターデイジタル パテント ホールディングス インコーポレイテッド ローカル機能での識別管理

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002117031A (ja) * 2000-10-06 2002-04-19 Internatl Business Mach Corp <Ibm> 情報配信方法、情報配信システム、情報処理装置およびコンピュータプログラム製品
JP2002297554A (ja) * 2001-04-02 2002-10-11 Nippon Telegr & Teleph Corp <Ntt> 情報処理システム、情報処理システムを構成する情報格納媒体及びサービスシステム、サービスシステムのプログラム、サービスシステムのプログラムを記録した媒体
JP2003085493A (ja) * 2001-09-10 2003-03-20 Nippon Telegr & Teleph Corp <Ntt> 個人情報統合管理システム及びそのプログラム並びにそのプログラムを記録した媒体
JP2004171343A (ja) * 2002-11-21 2004-06-17 Nippon Telegr & Teleph Corp <Ntt> 個人情報の分散開示制御方法及びシステム
JP2004214995A (ja) * 2002-12-27 2004-07-29 Mekiki Fashion City Kk プライバシデータの管理方法とそのシステム及び装置
JP2005038089A (ja) * 2003-07-17 2005-02-10 Toshiba Corp 個人情報管理システム、方法及びプログラム
JP2005049961A (ja) * 2003-07-30 2005-02-24 Hitachi Ltd 個人情報管理システム

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002117031A (ja) * 2000-10-06 2002-04-19 Internatl Business Mach Corp <Ibm> 情報配信方法、情報配信システム、情報処理装置およびコンピュータプログラム製品
JP2002297554A (ja) * 2001-04-02 2002-10-11 Nippon Telegr & Teleph Corp <Ntt> 情報処理システム、情報処理システムを構成する情報格納媒体及びサービスシステム、サービスシステムのプログラム、サービスシステムのプログラムを記録した媒体
JP2003085493A (ja) * 2001-09-10 2003-03-20 Nippon Telegr & Teleph Corp <Ntt> 個人情報統合管理システム及びそのプログラム並びにそのプログラムを記録した媒体
JP2004171343A (ja) * 2002-11-21 2004-06-17 Nippon Telegr & Teleph Corp <Ntt> 個人情報の分散開示制御方法及びシステム
JP2004214995A (ja) * 2002-12-27 2004-07-29 Mekiki Fashion City Kk プライバシデータの管理方法とそのシステム及び装置
JP2005038089A (ja) * 2003-07-17 2005-02-10 Toshiba Corp 個人情報管理システム、方法及びプログラム
JP2005049961A (ja) * 2003-07-30 2005-02-24 Hitachi Ltd 個人情報管理システム

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
CSNG200700819003; 小松 文子: 'プライバシ保護のためのアーキテクチャ' 情報処理 Vol. 48, No. 7, 20070715, pp. 737-743 *
JPN6013009618; 小松 文子: 'プライバシ保護のためのアーキテクチャ' 情報処理 Vol. 48, No. 7, 20070715, pp. 737-743 *
JPN6013025499; MIYATA, T., et al.: 'A Survey on Identity Management Protocols and Standards' IEICE transactions on information and systems Vol. E89-D, No. 1, 200601, pp. 112-123, [online] *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012027582A (ja) * 2010-07-21 2012-02-09 National Institute Of Information & Communication Technology 個人id統合サーバシステム及び個人id統合サーバ及びハードウェアid登録サーバ
JP2012178111A (ja) * 2011-02-28 2012-09-13 Kddi Corp 認証システム、認証方法およびプログラム
JP2012181800A (ja) * 2011-03-03 2012-09-20 Kddi Corp 認証システム、認証方法およびプログラム
JP2014521155A (ja) * 2011-07-01 2014-08-25 マイクロソフト コーポレーション 個人メタデータの制御又は使用
JP2015511348A (ja) * 2012-01-20 2015-04-16 インターデイジタル パテント ホールディングス インコーポレイテッド ローカル機能での識別管理
US9774581B2 (en) 2012-01-20 2017-09-26 Interdigital Patent Holdings, Inc. Identity management with local functionality

Similar Documents

Publication Publication Date Title
US8046379B1 (en) System and method for access control and for supply chain management via a shared bill of material
JP3871300B2 (ja) 企業間での職務ベースの認可のための方法
US20030158960A1 (en) System and method for establishing a privacy communication path
US20070208665A1 (en) Electronic document creating device, storage medium storing electronic document creating program, electronic document creating method, and storage medium storing electronic form
JP4548441B2 (ja) コンテンツ利用システム、及びコンテンツ利用方法
WO2014103663A1 (ja) 電子契約システム
WO2001046825A1 (en) Information exchange engine providing a critical infrastructure layer and methods of use thereof
JP7214000B2 (ja) 情報流通システム、情報流通方法及び記憶媒体
JP6042766B2 (ja) 電子取引システム、電子取引方法、及びプログラム
US20220321357A1 (en) User credential control system and user credential control method
JP7457270B2 (ja) デバイス管理装置及びプログラム
JP2008077633A (ja) 情報の管理と通信のためのインフラストラクチャ
JP2010244272A (ja) 個人属性情報管理方法、個人属性情報管理システムおよび個人属性情報管理プログラム
JP7171504B2 (ja) 個人情報管理サーバ、個人情報管理方法及び個人情報管理システム
JP2005310161A (ja) 複数の事業体間のやりとりを管理するシステム、方法、コンピュータ・プログラム
WO2001090968A1 (en) A system and method for establishing a privacy communication path
JP6027485B2 (ja) 電子取引システム、電子取引方法、及びプログラム
JP4527491B2 (ja) コンテンツ提供システム
JP5140619B2 (ja) コンテンツ利用権管理システム、コンテンツ利用権管理装置及び方法
JP2005309788A (ja) 電子契約方法およびこの方法を実施するシステム
US20040167826A1 (en) Anonymous electronic funds transfer system and method, and anonymous shipping system and method
JP2002222242A (ja) ネットワークサービス申込装置、ネットワークサービス申込方法及びプログラム
JP2004345760A (ja) 商品配送方法、配送業者側装置、顧客装置
JP2007249690A (ja) 会員管理システム、サービス提供端末、及びその方法
JP4067948B2 (ja) 電子商取引における営業担当者管理方法、サーバ及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110928

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20120530

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20120530

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130206

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130305

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130502

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20130604