JP2015225385A - Information processing system, information processing method and program - Google Patents

Information processing system, information processing method and program Download PDF

Info

Publication number
JP2015225385A
JP2015225385A JP2014108219A JP2014108219A JP2015225385A JP 2015225385 A JP2015225385 A JP 2015225385A JP 2014108219 A JP2014108219 A JP 2014108219A JP 2014108219 A JP2014108219 A JP 2014108219A JP 2015225385 A JP2015225385 A JP 2015225385A
Authority
JP
Japan
Prior art keywords
security level
data element
data
access
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014108219A
Other languages
Japanese (ja)
Inventor
公洋 山越
Koyo Yamakoshi
公洋 山越
雄一 小松
Yuichi Komatsu
雄一 小松
英朗 山本
Hideaki Yamamoto
英朗 山本
田中 政志
Masashi Tanaka
政志 田中
賢一 神崎
Kenichi Kanzaki
賢一 神崎
泰典 和田
Taisuke Wada
泰典 和田
鈴木 勝彦
Katsuhiko Suzuki
勝彦 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2014108219A priority Critical patent/JP2015225385A/en
Publication of JP2015225385A publication Critical patent/JP2015225385A/en
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To enable access control in a data element unit in accordance with the security level of personal data and the security level for each device such as a server, terminal and the like using the personal data.SOLUTION: An information processing system comprises a first device, a second device and an access control server. A control part of the access control server acquires a disclosure request of a data element of personal data with respect to the second device and an ID of the second device from the first device or the second device, refers to a device ID-security level DB storing the ID of the second device in association with the security level and a data element-security level DB storing the data element in association with the security level, and determines access propriety of the second device to the data element on the basis of the security level of the second device.

Description

本発明は、パーソナルデータを利用する装置のセキュリティレベルに応じた情報処理システム、情報処理方法及びプログラムに関する。   The present invention relates to an information processing system, an information processing method, and a program according to the security level of an apparatus that uses personal data.

一般に、パーソナルデータ(個人識別性のある個人情報に限らず、広く個人に関する個人識別性のない情報を含むデータ)は、歩数計や活動量計のデータから、電子マネーのバリューや認証の鍵データまで多岐にわたる。従来、パーソナルデータをサーバや端末で利用する場合、SSLなどでデータを一律に暗号化して流通させることが知られている(例えば、非特許文献1)。この場合、通信における情報の秘匿性は保証されるが、さらに、情報のセキュリティレベルと利用者のセキュリティレベルに応じてデータへのアクセス可否をきめ細かく制御することが好ましい。そこで、利用者のセキュリティレベルを定義したユーザ管理データベースと、情報のセキュリティレベルを定義したコンテンツ管理データベースとから、利用者が情報(コンテンツ)にアクセス可能か否かを判断する技術が知られている(例えば、特許文献1)。   In general, personal data (data including not only personal information with individual identities but also information with a wide range of personal identities) is derived from pedometer and activity meter data, and the value of electronic money and key data for authentication. To a wide range. Conventionally, when personal data is used in a server or a terminal, it is known that the data is uniformly encrypted and distributed by SSL or the like (for example, Non-Patent Document 1). In this case, the confidentiality of information in communication is guaranteed, but it is preferable to finely control whether data can be accessed according to the security level of information and the security level of the user. Therefore, a technique for determining whether a user can access information (content) from a user management database that defines a user security level and a content management database that defines an information security level is known. (For example, patent document 1).

特許第4116137号公報Japanese Patent No. 4116137

“PKI関連技術情報 7.1節 TLS(SSL)、IPA、[Online]、[平成26年5月15日検索]、インターネット<http://www.ipa.go.jp/security/pki/071.html>“PKI-related technical information section 7.1 TLS (SSL), IPA, [Online], [May 15, 2014 search], Internet <http://www.ipa.go.jp/security/pki/071 .html> “平成11年度 スマートカードの安全性に関する調査 調査報告書、IV.1.1 セキュリティレベル、IPA、[Online]、[平成26年5月15日検索]、インターネット<http://www.ipa.go.jp/security/enc/smartcard/node59.html>“Fiscal 1999 Smart Card Safety Survey Report, IV.1.1 Security Level, IPA, [Online], [May 15, 2014 Search], Internet <http: //www.ipa. go.jp/security/enc/smartcard/node59.html>

特許文献1に示した方法では、ユーザのセキュリティレベルと情報のセキュリティレベルとを比較することによりアクセスの可否判断を行っている。しかしながら、昨今のユーザ端末は、携帯電話だけでなく、タブレットやスマートウォッチなどのウェアラブル(身につけられる)機器など多岐に渡る。これらの機器では、耐タンパ性を備えたデバイスを実装しているか否かなどによりセキュリティ耐性が機器毎に異なる。このため、利用者のセキュリティレベルだけから一律にアクセス対象情報へのアクセス可否を判定することができない。例えば、歩数計のデータのようなライフログ情報へのアクセスであればデータの管理に耐タンパ性までは必要としない。一方で、電子マネーなどのバリューへのアクセスでは改竄防止や秘匿などの耐タンパ性が必要となる。このため、マルチデバイスの利用環境においては、個々のデバイスのセキュリティレベルを考慮しつつパーソナルデータのセキュリティレベルに応じたアクセス制御が必要である。これに関連して、暗号モジュールのセキュリティレベルが定義されている(例えば、非特許文献2)。   In the method disclosed in Patent Document 1, access permission is determined by comparing the security level of the user with the security level of the information. However, recent user terminals include not only mobile phones but also wearable devices such as tablets and smart watches. These devices have different security tolerances depending on whether or not a device having tamper resistance is mounted. For this reason, it is impossible to determine whether or not access to the access target information can be made uniformly only from the security level of the user. For example, if access is made to life log information such as pedometer data, tamper resistance is not required for data management. On the other hand, tamper resistance such as falsification prevention and secrecy is required for access to values such as electronic money. For this reason, in a multi-device usage environment, it is necessary to perform access control in accordance with the security level of personal data while considering the security level of each device. In relation to this, the security level of the cryptographic module is defined (for example, Non-Patent Document 2).

かかる点に鑑みてなされた本発明の目的は、パーソナルデータのセキュリティレベルと、パーソナルデータを利用するサーバや端末等の装置毎のセキュリティレベルとに応じたデータ要素単位のアクセス制御を可能とする、情報処理システム、情報処理方法及びプログラムを提供することにある。   An object of the present invention made in view of the above point is to enable access control in units of data elements according to the security level of personal data and the security level of each device such as a server or a terminal that uses personal data. To provide an information processing system, an information processing method, and a program.

上記課題を解決するため、本発明に係る情報処理システムは、第1の装置と、第2の装置と、アクセス制御サーバとを備え、前記アクセス制御サーバの制御部は、前記第2の装置に対するパーソナルデータのデータ要素の開示要求と前記第2の装置のIDとを前記第1の装置又は前記第2の装置から取得し、前記第2の装置のIDをセキュリティレベルと対応付けて記憶する装置ID―セキュリティレベルDBと、前記データ要素をセキュリティレベルと対応付けて記憶するデータ要素―セキュリティレベルDBと、を参照して、前記第2の装置のセキュリティレベルに基づいて前記第2の装置による前記データ要素へのアクセス可否を判定することを特徴とする。   In order to solve the above-described problem, an information processing system according to the present invention includes a first device, a second device, and an access control server, and the control unit of the access control server controls the second device. A device that acquires a disclosure request for a data element of personal data and an ID of the second device from the first device or the second device, and stores the ID of the second device in association with a security level. With reference to the ID—security level DB and the data element—security level DB that stores the data element in association with the security level, based on the security level of the second device, It is characterized by determining whether or not the data element can be accessed.

また、上記課題を解決するため、本発明に係る情報処理方法は、第1の装置と、第2の装置と、アクセス制御サーバとを備える情報処理システムによる情報処理方法において、前記アクセス制御サーバの制御部により、前記第2の装置に対するパーソナルデータのデータ要素の開示要求と前記第2の装置のIDとを前記第1の装置又は前記第2の装置から取得するステップと、前記アクセス制御サーバの制御部により、前記第2の装置のIDをセキュリティレベルと対応付けて記憶する装置ID―セキュリティレベルDBと、前記データ要素をセキュリティレベルと対応付けて記憶するデータ要素―セキュリティレベルDBと、を参照して、前記第2の装置のセキュリティレベルに基づいて前記第2の装置による前記データ要素へのアクセス可否を判定するステップとを含むことを特徴とする。   In order to solve the above-mentioned problem, an information processing method according to the present invention is an information processing method by an information processing system including a first device, a second device, and an access control server. Obtaining a disclosure request of a data element of personal data for the second device and an ID of the second device from the first device or the second device by the control unit; The control unit refers to a device ID that stores the second device ID in association with a security level—a security level DB, and a data element that stores the data element in association with a security level—a security level DB. And accessing the data element by the second device based on the security level of the second device. Characterized in that it comprises a step of determining whether.

また、上記課題を解決するため、本発明に係るプログラムは、コンピュータに、第2の装置に対するパーソナルデータのデータ要素の開示要求と前記第2の装置のIDとを第1の装置又は前記第2の装置から取得する手順と、前記第2の装置のIDをセキュリティレベルと対応付けて記憶する装置ID―セキュリティレベルDBと、前記データ要素をセキュリティレベルと対応付けて記憶するデータ要素―セキュリティレベルDBと、を参照して、前記第2の装置のセキュリティレベルに基づいて前記第2の装置による前記データ要素へのアクセス可否を判定する手順とを実行させる。   In order to solve the above-described problem, a program according to the present invention causes a computer to send a disclosure request for a data element of personal data to a second device and an ID of the second device to the first device or the second device. A device ID that stores the ID of the second device in association with a security level—a security level DB; and a data element that stores the data element in association with a security level—a security level DB And a procedure for determining whether or not the second device can access the data element based on the security level of the second device.

本発明によれば、パーソナルデータのセキュリティレベルと、パーソナルデータを利用するサーバや端末等の装置毎のセキュリティレベルとに応じたデータ要素単位のアクセス制御が可能となる。   According to the present invention, it is possible to perform access control in units of data elements according to the security level of personal data and the security level of each device such as a server or a terminal that uses the personal data.

本発明の一実施形態に係る情報処理システムの概略構成を示す図である。It is a figure showing a schematic structure of an information processing system concerning one embodiment of the present invention. (a)は図1の情報処理システムにおける第1の装置の機能ブロック図、(b)は図1の情報処理システムにおける第2の装置の機能ブロック図である。(A) is a functional block diagram of the 1st apparatus in the information processing system of FIG. 1, (b) is a functional block diagram of the 2nd apparatus in the information processing system of FIG. 図1の情報処理システムにおけるアクセス制御サーバの機能ブロック図である。It is a functional block diagram of the access control server in the information processing system of FIG. 図1の情報処理システムにおけるパーソナルデータ管理サーバの機能ブロック図である。It is a functional block diagram of the personal data management server in the information processing system of FIG. 本発明の実施形態1に係る装置ID―セキュリティレベルDB及びデータ要素―セキュリティレベルDBの一例を示す図である。It is a figure which shows an example of apparatus ID-security level DB and data element-security level DB which concern on Embodiment 1 of this invention. 本発明のアクセス制御サーバによるアクセス可否判定結果の一例を示す図である。It is a figure which shows an example of the access determination result by the access control server of this invention. 本発明の実施形態1に係る情報処理システムの動作フローを示す図である。It is a figure which shows the operation | movement flow of the information processing system which concerns on Embodiment 1 of this invention. 本発明の実施形態2に係る装置ID―セキュリティレベルDB、データ要素―セキュリティレベルDB及び利用者―セキュリティレベルDBの一例を示す図である。It is a figure which shows an example of apparatus ID-security level DB, data element-security level DB, and user-security level DB which concern on Embodiment 2 of this invention. 本発明の実施形態2に係る情報処理システムの動作フローを示す図である。It is a figure which shows the operation | movement flow of the information processing system which concerns on Embodiment 2 of this invention. 本発明の実施形態3に係る装置ID―セキュリティレベルDB及びデータ要素―セキュリティレベルDBの一例を示す図である。It is a figure which shows an example of apparatus ID-security level DB and data element-security level DB which concern on Embodiment 3 of this invention. 本発明の実施形態3に係る情報処理システムの動作フローを示す図である。It is a figure which shows the operation | movement flow of the information processing system which concerns on Embodiment 3 of this invention.

以下、本発明の各実施形態を図面に基づいて説明する。   Hereinafter, each embodiment of the present invention will be described with reference to the drawings.

図1は、本発明の一実施形態に係る情報処理システムの概略構成を示す図である。図1に示す概略構成は一例であり、各構成は任意に組み合わせることが可能であることに留意されたい。一実施形態においては、ネットワークNWを介して第1の装置1、第2の装置2及びアクセス制御サーバ3が接続され、アクセス制御サーバ3にはパーソナルデータ管理サーバ4が接続される。ネットワークNWに接続される装置の数は限定されない。装置は、設置型の端末、携帯型の端末又はサーバ等のいずれであってもよい。   FIG. 1 is a diagram showing a schematic configuration of an information processing system according to an embodiment of the present invention. It should be noted that the schematic configuration illustrated in FIG. 1 is an example, and each configuration can be arbitrarily combined. In one embodiment, the first device 1, the second device 2, and the access control server 3 are connected via the network NW, and the personal data management server 4 is connected to the access control server 3. The number of devices connected to the network NW is not limited. The apparatus may be any of a stationary terminal, a portable terminal, a server, and the like.

図2(a)は、本発明の一実施形態に係る情報処理システムにおける第1の装置1の機能ブロック図で、図2(b)は本発明の一実施形態に係る情報処理システムにおける第2の装置2の機能ブロック図である。本発明に係る情報処理システムの各機能を説明するが、情報処理システムが備える他の機能を排除することを意図したものではないことに留意されたい。   2A is a functional block diagram of the first device 1 in the information processing system according to the embodiment of the present invention, and FIG. 2B is a second block diagram of the information processing system according to the embodiment of the present invention. It is a functional block diagram of apparatus 2 of. Each function of the information processing system according to the present invention will be described, but it should be noted that it is not intended to exclude other functions of the information processing system.

第1の装置1は、制御部11、通信部12及びパーソナルデータ管理部13を備える。制御部11は、第1の装置1の各種動作を制御する。例えば、制御部11は、通信部12を制御して、アクセス制御サーバ3に対してデータ要素の開示要求を行う。パーソナルデータ管理部13は、第1の装置1の利用者のパーソナルデータのデータ要素を管理(記憶)する。   The first device 1 includes a control unit 11, a communication unit 12, and a personal data management unit 13. The control unit 11 controls various operations of the first device 1. For example, the control unit 11 controls the communication unit 12 to make a data element disclosure request to the access control server 3. The personal data management unit 13 manages (stores) data elements of personal data of the user of the first device 1.

第2の装置2は制御部21、通信部22及び位置情報取得部23を備える。制御部21は、第2の装置2の各種動作を制御する。例えば、制御部21は、通信部22を制御して、アクセス制御サーバ3からパーソナルデータを取得する。位置情報取得部23は、GPS(Global Positioning System、全地球測位網)等を用いて、第2の装置2の位置情報を取得する。取得された位置情報は、例えば、アクセス制御サーバ3に送信されて、よりきめ細かくアクセス制御を行うために用いられる。   The second device 2 includes a control unit 21, a communication unit 22, and a position information acquisition unit 23. The control unit 21 controls various operations of the second device 2. For example, the control unit 21 controls the communication unit 22 to acquire personal data from the access control server 3. The position information acquisition unit 23 acquires the position information of the second device 2 using GPS (Global Positioning System). The acquired location information is transmitted to the access control server 3, for example, and used for finer access control.

図3は、図1の情報処理システムにおけるアクセス制御サーバの機能ブロック図である。アクセス制御サーバ3は、制御部31、通信部32、アクセス制御ファイル管理部33、鍵管理部34及びデータ処理部35を備える。アクセス制御サーバ3に耐タンパ領域を設ける場合、制御部31、アクセス制御ファイル管理部33、鍵管理部34及びデータ処理部35が耐タンパ領域に含まれる。   FIG. 3 is a functional block diagram of the access control server in the information processing system of FIG. The access control server 3 includes a control unit 31, a communication unit 32, an access control file management unit 33, a key management unit 34, and a data processing unit 35. When providing a tamper resistant area in the access control server 3, the control unit 31, the access control file management unit 33, the key management unit 34, and the data processing unit 35 are included in the tamper resistant area.

制御部31は、アクセス制御サーバ3の各種動作を制御する。例えば、制御部31は、通信部32を制御して、パーソナルデータの開示先候補である第2の装置2のID2を第1の装置1又は第2の装置2から取得する。また、制御部31は、データ処理部35を制御して、パーソナルデータのデータ要素へのアクセス可否を判定する。更に、制御部31は、通信部32を制御して、パーソナルデータのデータ要素へのアクセスが可能と判定された第2の装置2に対して、そのデータ要素を送信(開示)する。   The control unit 31 controls various operations of the access control server 3. For example, the control unit 31 controls the communication unit 32 to acquire the ID 2 of the second device 2 that is a personal data disclosure destination candidate from the first device 1 or the second device 2. In addition, the control unit 31 controls the data processing unit 35 to determine whether or not access to the data element of personal data is possible. Further, the control unit 31 controls the communication unit 32 to transmit (disclose) the data element to the second device 2 that is determined to be able to access the data element of personal data.

アクセス制御ファイル管理部33は、装置ID―セキュリティレベルDB(データベース)33a、データ要素―セキュリティレベルDB33b及び利用者―セキュリティレベルDB33cを備える。これらのDBは、例えば、第2の装置2が特定のパーソナルデータのデータ要素に対してアクセス可能か否か、すなわち、第2の装置2に対してパーソナルデータを開示可能か否かを判定するためなどに用いられる。   The access control file management unit 33 includes a device ID-security level DB (database) 33a, a data element-security level DB 33b, and a user-security level DB 33c. These DBs determine, for example, whether or not the second device 2 can access data elements of specific personal data, that is, whether or not personal data can be disclosed to the second device 2. Used for such purposes.

装置ID―セキュリティレベルDB33aは、データ要素の開示を要求する装置又はパーソナルデータのデータ要素の開示先の装置のIDと、セキュリティレベルとを対応付けて記憶する。   The device ID-security level DB 33a stores the ID of the device requesting the disclosure of the data element or the disclosure destination device of the data element of personal data and the security level in association with each other.

装置のセキュリティレベルは、例えば以下のように定められる。セキュリティレベル1の装置は、攻撃耐性が低く、正しく暗号アルゴリズムを実装するがタンパ検出機能を備えない。セキュリティレベル2の装置は、中程度の攻撃耐性を持ち、タンパ検出機能を備える。セキュリティレベル3の装置は、強固な攻撃耐性を持ち、タンパ検出機能を備えるだけでなく、タンパ検出時に秘密情報を消去する機能等を備える。   The security level of the device is determined as follows, for example. A security level 1 device has low attack resistance and correctly implements a cryptographic algorithm, but does not have a tamper detection function. A security level 2 device has a moderate attack resistance and a tamper detection function. The security level 3 apparatus has a strong attack resistance and has not only a tamper detection function but also a function of deleting secret information at the time of tamper detection.

データ要素―セキュリティレベルDB33bは、利用者ID毎に、パーソナルデータのデータ要素を、セキュリティレベル及びデータ要素の管理場所と対応付けて記憶する。   The data element-security level DB 33b stores the data element of personal data in association with the security level and the management location of the data element for each user ID.

パーソナルデータのデータ要素のセキュリティレベルは、例えば以下のように定められる。セキュリティレベル1のデータ要素は、秘匿性や真正性が比較的要求されないパーソナルデータやライフログデータ等である。セキュリティレベル2のデータ要素は、中程度の秘匿性や真正性が要求されるパーソナルデータ、住所、氏名、身体のヘルスデータ、電子マネー情報等である。セキュリティレベル3のデータ要素は、秘匿性や真正性が強く要求されるパーソナルデータ、クレジットカード情報、機密度の高いパーソナルデータ等である。   The security level of the data element of personal data is determined as follows, for example. The data element of security level 1 is personal data, life log data, or the like that requires relatively little confidentiality or authenticity. Data elements of security level 2 are personal data, address, name, physical health data, electronic money information, etc. that require medium confidentiality and authenticity. Data elements of security level 3 are personal data, credit card information, highly sensitive personal data, and the like that are strongly required to be concealed and authentic.

利用者―セキュリティレベルDB33cは、第1の装置1及び/又は第2の装置2の利用者を、セキュリティレベルと対応付けて記憶する。   The user-security level DB 33c stores the users of the first device 1 and / or the second device 2 in association with the security level.

利用者のセキュリティレベルは、例えば利用者の所属グループや役職等の属性情報に応じた、データ要素へのアクセス可否を定めたレベルである。利用者のセキュリティレベルを用いることにより、例えば、利用者が会社の共有サーバに記憶される資料(データ要素)にアクセスしようとしたとき、利用者のセキュリティレベルと資料のセキュリティレベルとに応じて、利用者がアクセス可能な資料に差を設けるというアクセス制御が可能である。   The security level of the user is a level that determines whether or not the data element can be accessed, for example, according to attribute information such as the user's belonging group or job title. By using the user's security level, for example, when the user tries to access the material (data element) stored in the shared server of the company, depending on the security level of the user and the security level of the material, It is possible to perform access control by making a difference between materials accessible to the user.

鍵管理部34は、アクセス制御サーバ3の証明書の管理、パーソナルデータの暗号鍵の管理、利用者認証及び端末認証鍵の管理並びにセッション鍵の生成及び管理等を行う。   The key management unit 34 performs management of certificates of the access control server 3, management of encryption keys of personal data, management of user authentication and terminal authentication keys, generation and management of session keys, and the like.

データ処理部35は、利用者認証や、デバイス等の装置認証を行う。データ処理部35は、セッション鍵を用いたパーソナルデータの暗号化及び復号化並びにパーソナルデータ管理サーバ4に保管するパーソナルデータの暗号化及び復号化を行う。また、データ処理部35は、パーソナルデータのセキュリティレベル、デバイス等の装置のセキュリティレベル、及び利用者のセキュリティレベルに基づいたアクセス制御を行う。更に、データ処理部35は、利用者携帯端末の所在位置に基づくアクセス制御、装置上のデータの遠隔操作による消去及びタイマ処理等をも行う。   The data processing unit 35 performs user authentication and device authentication of devices and the like. The data processing unit 35 encrypts and decrypts personal data using the session key, and encrypts and decrypts personal data stored in the personal data management server 4. The data processing unit 35 performs access control based on the security level of personal data, the security level of a device such as a device, and the security level of a user. Furthermore, the data processing unit 35 also performs access control based on the location of the user portable terminal, erasing data on the device by remote operation, timer processing, and the like.

図4は、図1の情報処理システムにおけるパーソナルデータ管理サーバの機能ブロック図である。パーソナルデータ管理サーバ4は、制御部41、通信部42及びパーソナルデータ管理部43を備える。   FIG. 4 is a functional block diagram of the personal data management server in the information processing system of FIG. The personal data management server 4 includes a control unit 41, a communication unit 42, and a personal data management unit 43.

制御部41は、パーソナルデータ管理サーバ4の各種動作を制御する。例えば、制御部41は、通信部42を制御して、管理対象のパーソナルデータをアクセス制御サーバ3から取得する。パーソナルデータ管理部43は、取得したパーソナルデータを管理(記憶)する。   The control unit 41 controls various operations of the personal data management server 4. For example, the control unit 41 controls the communication unit 42 and acquires personal data to be managed from the access control server 3. The personal data management unit 43 manages (stores) the acquired personal data.

[実施形態1]
以下、本発明の実施形態1を説明する。 [Embodiment 1]
Hereinafter, Embodiment 1 of the present invention will be described.

実施形態1においては、第1の装置1を利用者端末1とし、第2の装置2をWebサーバ2とする。また、利用者端末1の利用者のIDをIDa、利用者端末1のIDをID1、Webサーバ2のIDをID2、パーソナルデータ管理サーバ4のIDをID3とする。   In the first embodiment, the first device 1 is a user terminal 1 and the second device 2 is a Web server 2. The user ID of the user terminal 1 is IDa, the ID of the user terminal 1 is ID1, the ID of the Web server 2 is ID2, and the ID of the personal data management server 4 is ID3.

また、前提として、パーソナルデータのセキュリティレベル並びに利用者端末1及びWebサーバ2のセキュリティレベルは、アクセス制御サーバ3の装置ID―セキュリティレベルDB33a又はデータ要素―セキュリティレベルDB33bに登録されているものとする。   As a premise, the security level of personal data and the security levels of the user terminal 1 and the Web server 2 are registered in the device ID-security level DB 33a or the data element-security level DB 33b of the access control server 3. .

実施形態1では、パーソナルデータは、暗号化された状態でパーソナルデータ管理部43に記憶されている。   In the first embodiment, personal data is stored in the personal data management unit 43 in an encrypted state.

利用者端末1は、Webサーバ2にアクセスする。Webサーバ2は、利用者端末1の利用者のパーソナルデータへアクセスするため、利用者端末1へ、必要なパーソナルデータのデータ要素を特定する情報を送信する。   The user terminal 1 accesses the Web server 2. In order to access the personal data of the user of the user terminal 1, the Web server 2 transmits information for specifying a data element of necessary personal data to the user terminal 1.

利用者端末1は、アクセス制御サーバ3にアクセスし、アクセス制御サーバ3は、利用者端末1の利用者をIDaで、利用者端末1をID1で認証する。また、利用者端末1とアクセス制御サーバ3とは相互認証を行う。アクセス制御サーバ3による認証は、データ処理部35によって行われる。また、利用者端末1は、アクセス制御サーバ3とセッション鍵を共有する。   The user terminal 1 accesses the access control server 3, and the access control server 3 authenticates the user of the user terminal 1 with IDa and the user terminal 1 with ID1. The user terminal 1 and the access control server 3 perform mutual authentication. Authentication by the access control server 3 is performed by the data processing unit 35. The user terminal 1 shares a session key with the access control server 3.

利用者端末1は、開示要求元装置のIDとしてのID1、開示先装置のIDとしてのID2及びWebサーバ2が開示を要求するパーソナルデータのデータ要素を特定する情報をアクセス制御サーバ3に送信する。   The user terminal 1 transmits to the access control server 3 ID1 as the ID of the disclosure request source apparatus, ID2 as the ID of the disclosure destination apparatus, and information specifying the data element of the personal data that the Web server 2 requests to disclose. .

これらの情報を取得した後、データ処理部35は、アクセス制御ファイル管理部33を参照して、Webサーバ2による、Webサーバ2が指定したデータ要素へのアクセスが可能か否かを判定する。   After acquiring these pieces of information, the data processing unit 35 refers to the access control file management unit 33 to determine whether or not the Web server 2 can access the data element designated by the Web server 2.

具体的には、データ処理部35は、下記のアクセス条件式を参照して、アクセス可否判定に必要な情報が何かを判定する。
(アクセス条件式)
・データ要素のセキュリティレベル≦ID1のセキュリティレベル
・データ要素のセキュリティレベル≦ID2のセキュリティレベル Specifically, the data processing unit 35 refers to the following access condition formula to determine what information is necessary for determining whether access is possible.
(Access conditional expression)
・ Data element security level ≦ ID1 security level ・ Data element security level ≦ ID2 security level

上記アクセス条件式より、アクセス可否判定に必要な情報は、データ要素のセキュリティレベル、ID1のセキュリティレベル及びID2のセキュリティレベルである。   From the above access conditional expression, the information necessary for determining whether access is possible is the security level of the data element, the security level of ID1, and the security level of ID2.

データ処理部35は、図5に示すような装置ID―セキュリティレベルDB33aを参照して、ID1及びID2のセキュリティレベルがそれぞれ3及び2であると判定する。従って、実施形態1において、上記のアクセス条件式を満たすデータ要素のセキュリティレベルは、上記アクセス条件式から、3以下且つ2以下、すなわち、2以下である。   The data processing unit 35 refers to the device ID-security level DB 33a as shown in FIG. 5 and determines that the security levels of ID1 and ID2 are 3 and 2, respectively. Therefore, in the first embodiment, the security level of the data element satisfying the access condition expression is 3 or less and 2 or less, that is, 2 or less from the access condition expression.

データ処理部35は、図5に示すデータ要素―セキュリティレベルDB33bを参照する。Webサーバ2が開示を要求したデータ要素をデータ要素1から4とすると、データ処理部35は、データ要素1から4のセキュリティレベルをそれぞれ3、2、3及び1と判定する。これらのうちセキュリティレベルが2以下であるデータ要素は、データ要素2及び4であるから、データ処理部35は、データ要素1から4のうち、データ要素2及び4のみをアクセス可能と判定する。   The data processing unit 35 refers to the data element-security level DB 33b shown in FIG. If the data elements requested to be disclosed by the Web server 2 are data elements 1 to 4, the data processing unit 35 determines that the security levels of the data elements 1 to 4 are 3, 2, 3, and 1, respectively. Since the data elements having a security level of 2 or less among these are the data elements 2 and 4, the data processing unit 35 determines that only the data elements 2 and 4 among the data elements 1 to 4 are accessible.

上記で説明した数値例に限らず、開示要求元装置、開示先装置及びデータ要素のセキュリティレベルが様々な値を取る場合のアクセス可否判定の結果の例を図6に示す。   In addition to the numerical examples described above, FIG. 6 illustrates an example of the result of access permission determination when the disclosure request source device, the disclosure destination device, and the data element have various security levels.

実施形態1の説明に戻る。データ要素2及び4のみをアクセス可能と判定した後、データ処理部35はWebサーバ2と相互認証を行う。また、鍵管理部34はセッション鍵を生成し、Webサーバ2とセッション鍵を共有する。通信部32は、アクセス可能と判定されデータ処理部35により復号されたデータ要素又はアクセス可能と判定されたデータ要素の復号鍵を、Webサーバ2にセキュア通信により送信する。復号鍵が送信された場合、Webサーバ2は、パーソナルデータ管理サーバ4からデータ要素を取得して復号する。生成されたセッション鍵は鍵管理部34で管理される。   Returning to the description of the first embodiment. After determining that only the data elements 2 and 4 are accessible, the data processing unit 35 performs mutual authentication with the Web server 2. The key management unit 34 generates a session key and shares the session key with the Web server 2. The communication unit 32 transmits the data element determined to be accessible and decrypted by the data processing unit 35 or the decryption key of the data element determined to be accessible to the Web server 2 by secure communication. When the decryption key is transmitted, the Web server 2 acquires the data element from the personal data management server 4 and decrypts it. The generated session key is managed by the key management unit 34.

Webサーバ2は、データ要素2及び4を用いて任意の所定の処理を行い、処理の終了後、処理完了通知をアクセス制御サーバ3に送信する。   The Web server 2 performs an arbitrary predetermined process using the data elements 2 and 4, and transmits a process completion notification to the access control server 3 after the process ends.

データ処理部35は、処理完了通知を取得すると、データ要素の消去要求をWebサーバ2に送信し、データ要素又は復号鍵を遠隔操作により消去させる。消去後、Webサーバ2は、消去完了通知をアクセス制御サーバ3に送信する。   When acquiring the processing completion notification, the data processing unit 35 transmits a data element deletion request to the Web server 2 to delete the data element or the decryption key by remote operation. After erasure, the Web server 2 transmits an erasure completion notification to the access control server 3.

図7は、本発明の実施形態1に係る情報処理システムの動作フローを示す図である。利用者端末1がWebサーバ2にアクセスすると(ステップS1)、Webサーバ2は、パーソナルデータのデータ要素を開示するよう要求する(ステップS2)。利用者端末1は、アクセス制御サーバ3との間で利用者認証、相互認証及びセッション鍵共有を行う(ステップS3)。また利用者端末1は、開示要求元装置のIDとしてのID1、開示先装置のIDとしてのID2及びデータ要素を特定する情報をアクセス制御サーバ3に送信する(ステップS4)。アクセス制御サーバ3は、取得した情報に基づいてアクセス制御ファイル管理部33を参照し、Webサーバ2が開示を要求するパーソナルデータのデータ要素に対するアクセス可否を判定する(ステップS5)。アクセス制御サーバ3がアクセス不可と判定した場合(ステップS5のNo)、アクセス制御サーバ3は、アクセス不可通知をWebサーバ2に送信する。   FIG. 7 is a diagram showing an operation flow of the information processing system according to the first embodiment of the present invention. When the user terminal 1 accesses the Web server 2 (Step S1), the Web server 2 requests to disclose data elements of personal data (Step S2). The user terminal 1 performs user authentication, mutual authentication, and session key sharing with the access control server 3 (step S3). In addition, the user terminal 1 transmits ID1 as the ID of the disclosure request source apparatus, ID2 as the ID of the disclosure destination apparatus, and information specifying the data element to the access control server 3 (step S4). The access control server 3 refers to the access control file management unit 33 based on the acquired information, and determines whether or not access is possible to the data element of the personal data that the Web server 2 requests to disclose (step S5). When the access control server 3 determines that access is not possible (No in step S5), the access control server 3 transmits an access impossibility notification to the web server 2.

一方、アクセス制御サーバ3がアクセス可能と判定した場合(ステップS5のYes)、アクセス制御サーバ3は、Webサーバ2と相互認証を行い、セッション鍵を共有する(ステップS6)。次いでアクセス制御サーバ3は、アクセス可能と判定されたデータ要素等(復号済みデータ要素、データ要素の復号鍵等)をWebサーバ2に送信する(ステップS7)。Webサーバ2は、データ要素等に基づいて任意の所定の処理を行う(ステップS8)。所定の処理の完了後、Webサーバ2は、処理完了通知をアクセス制御サーバ3に送信する(ステップS9)。アクセス制御サーバ3は、処理完了通知を取得すると、Webサーバ2にデータ要素等の消去要求を行う(ステップS10)。Webサーバ2は、消去要求に応じて消去を行い(ステップS11)、アクセス制御サーバ3に消去完了通知を送信する(ステップS12)。   On the other hand, when it is determined that the access control server 3 is accessible (Yes in step S5), the access control server 3 performs mutual authentication with the Web server 2 and shares a session key (step S6). Next, the access control server 3 transmits data elements determined to be accessible (decrypted data elements, data element decryption keys, etc.) to the Web server 2 (step S7). The Web server 2 performs an arbitrary predetermined process based on the data element or the like (step S8). After completion of the predetermined process, the Web server 2 transmits a process completion notification to the access control server 3 (step S9). When the access control server 3 obtains the processing completion notification, the access control server 3 sends a deletion request for data elements or the like to the Web server 2 (step S10). The Web server 2 performs erasure in response to the erasure request (step S11), and transmits an erasure completion notification to the access control server 3 (step S12).

[実施形態2]
以下、別の実施形態として、本発明の実施形態2を説明する。 [Embodiment 2]
Hereinafter, the second embodiment of the present invention will be described as another embodiment.

実施形態2においては、第1の装置1をデータ管理者端末1とし、第2の装置2を利用者携帯端末2とする。また、データ管理者端末1の利用者のIDをIDa、データ管理者端末1のIDをID1、利用者携帯端末2の利用者のIDをIDb、利用者携帯端末2のIDをID2とする。   In the second embodiment, the first device 1 is the data manager terminal 1 and the second device 2 is the user portable terminal 2. The ID of the user of the data manager terminal 1 is IDa, the ID of the data manager terminal 1 is ID1, the ID of the user of the user portable terminal 2 is IDb, and the ID of the user portable terminal 2 is ID2.

また、前提として、パーソナルデータのセキュリティレベル、データ管理者端末1及び利用者携帯端末2のセキュリティレベル並びにデータ管理者端末1及び利用者携帯端末2の利用者のセキュリティレベルは、アクセス制御サーバ3の装置ID―セキュリティレベルDB33a、データ要素―セキュリティレベルDB33b又は利用者―セキュリティレベルDB33cに登録されているものとする。   As a premise, the security level of personal data, the security level of the data manager terminal 1 and the user portable terminal 2, and the security level of the user of the data manager terminal 1 and the user portable terminal 2 are It is assumed that it is registered in the device ID-security level DB 33a, data element-security level DB 33b, or user-security level DB 33c.

実施形態2では、パーソナルデータは、暗号化された状態でパーソナルデータ管理部43に記憶されている。パーソナルデータは、データ管理者(データ管理者端末1の利用者)により登録される。   In the second embodiment, personal data is stored in the personal data management unit 43 in an encrypted state. Personal data is registered by a data manager (a user of the data manager terminal 1).

パーソナルデータには、必要に応じて利用者ID毎にアクセス可否が設定されてもよい。利用者ID毎にアクセス可否が設定されており、アクセス不可と設定された利用者からのアクセス要求があったときは、後述するアクセス可否判定処理を行わずにアクセス不可と判定してよい。   In the personal data, access permission may be set for each user ID as necessary. When access permission is set for each user ID and there is an access request from a user who is set to be inaccessible, it may be determined that access is not possible without performing an access permission determination process described later.

利用者携帯端末2は、アクセス制御サーバ3にアクセスし、アクセス制御サーバ3は、利用者携帯端末2の利用者をIDbで、利用者携帯端末2をID2で認証する。また、利用者携帯端末2とアクセス制御サーバ3とは相互認証を行う。アクセス制御サーバ3による認証は、データ処理部35によって行われる。また、利用者携帯端末2は、アクセス制御サーバ3とセッション鍵を共有する。   The user portable terminal 2 accesses the access control server 3, and the access control server 3 authenticates the user of the user portable terminal 2 with IDb and the user portable terminal 2 with ID2. The user portable terminal 2 and the access control server 3 perform mutual authentication. Authentication by the access control server 3 is performed by the data processing unit 35. The user portable terminal 2 shares a session key with the access control server 3.

利用者携帯端末2は、開示要求元装置及び開示先装置の利用者のIDとしてのIDb、開示要求元装置及び開示先装置のIDとしてのID2、利用者携帯端末2が開示を要求するパーソナルデータのデータ要素を特定する情報及び利用者携帯端末2の位置情報をアクセス制御サーバ3に送信する。   The user portable terminal 2 includes IDb as the ID of the user of the disclosure request source device and the disclosure destination device, ID2 as the ID of the disclosure request source device and the disclosure destination device, and personal data requested by the user portable terminal 2 to be disclosed. The information specifying the data element and the location information of the user portable terminal 2 are transmitted to the access control server 3.

位置情報は、位置情報取得部23により取得される。位置情報は、ID情報をアクセス制御サーバ3に送信するときに共に送信されてもよいし、アクセス制御サーバ3に要求されたとき等に送信されてもよい。   The position information is acquired by the position information acquisition unit 23. The location information may be transmitted together with transmitting the ID information to the access control server 3, or may be transmitted when requested by the access control server 3.

これらの情報を取得した後、データ処理部35は、アクセス制御ファイル管理部33を参照して、利用者携帯端末2による、利用者携帯端末2が指定したデータ要素へのアクセスが可能か否かを判定する。すなわち、データ処理部35は、利用者携帯端末2に対してデータ要素を開示してもよいか否かを判定する。   After acquiring these pieces of information, the data processing unit 35 refers to the access control file management unit 33 and determines whether or not the user portable terminal 2 can access the data element designated by the user portable terminal 2. Determine. That is, the data processing unit 35 determines whether or not the data element may be disclosed to the user portable terminal 2.

具体的には、データ処理部35は、下記のアクセス条件式を参照して、アクセス可否判定に必要な情報が何かを判定する。
(アクセス条件式)
・データ要素のセキュリティレベル≦ID2のセキュリティレベル
・データ要素にアクセス可能なエリア内にID2が存在
・データ要素のセキュリティレベル≦IDbのセキュリティレベル Specifically, the data processing unit 35 refers to the following access condition formula to determine what information is necessary for determining whether access is possible.
(Access conditional expression)
・ Data element security level ≦ ID2 security level ・ ID2 exists in an area accessible to the data element ・ Data element security level ≦ IDb security level

上記アクセス条件式より、アクセス可否判定に必要な情報は、データ要素のセキュリティレベル、ID2のセキュリティレベル、ID2の位置情報及びIDbのセキュリティレベルである。   From the above access conditional expression, the information necessary for determining whether access is possible is the security level of the data element, the security level of ID2, the location information of ID2, and the security level of IDb.

そこで、データ処理部35は、図8に示すような装置ID―セキュリティレベルDB33aを参照して、ID2のセキュリティレベルが2であると判定する。また、データ処理部35は、図8に示すような利用者―セキュリティレベルDB33cを参照して、IDbのセキュリティレベルが3であると判定する。   Therefore, the data processing unit 35 determines that the security level of ID2 is 2 with reference to the device ID-security level DB 33a as shown in FIG. Further, the data processing unit 35 determines that the security level of IDb is 3 with reference to the user-security level DB 33c as shown in FIG.

実施形態2において、上記のアクセス条件式を満たすデータ要素は、セキュリティレベルが2以下且つ3以下、すなわち2以下のものであって、且つデータ要素にアクセス可能なエリア内にID2が存在するものである。   In the second embodiment, a data element satisfying the above access condition expression has a security level of 2 or less and 3 or less, that is, 2 or less, and ID2 exists in an area accessible to the data element. is there.

データ処理部35は、データ要素―セキュリティレベルDB33bを参照する。利用者携帯端末2が開示を要求したデータ要素をデータ要素1から4とすると、データ処理部35は、データ要素1から4のセキュリティレベルをそれぞれ3、2(エリアA)、3及び1と判定する。これらのうちセキュリティレベルが2以下であるデータ要素は、データ要素2及び4である。   The data processing unit 35 refers to the data element-security level DB 33b. If the data elements that the user portable terminal 2 requested to disclose are data elements 1 to 4, the data processing unit 35 determines that the security levels of the data elements 1 to 4 are 3, 2 (area A), 3 and 1, respectively. To do. Among these, data elements having a security level of 2 or less are data elements 2 and 4.

データ要素―セキュリティレベルDB33bにおいて、データ要素2及び4のうちデータ要素2は、開示先装置の位置情報がエリアAを示すことを条件として要求する。一方で、データ要素4は、開示先装置の位置情報がエリアAを示すことを条件としては要求していない。   In the data element-security level DB 33b, the data element 2 of the data elements 2 and 4 requests on the condition that the position information of the disclosure destination device indicates the area A. On the other hand, the data element 4 does not request on condition that the position information of the disclosure destination device indicates the area A.

データ処理部35は、利用者携帯端末2の位置情報がエリアAを示す場合、データ要素2及び4をアクセス可能と判定する。一方で、利用者携帯端末2の位置情報がエリアA以外のエリアを示す場合又は利用者携帯端末2の位置情報が取得されなかった場合、データ要素4のみをアクセス可能と判定する。アクセス可能と判定されたデータ要素がない場合、アクセス制御サーバ3は、利用者携帯端末2にアクセス不可通知を送信する。   The data processing unit 35 determines that the data elements 2 and 4 are accessible when the position information of the user portable terminal 2 indicates the area A. On the other hand, when the position information of the user portable terminal 2 indicates an area other than the area A or when the position information of the user portable terminal 2 is not acquired, it is determined that only the data element 4 is accessible. When there is no data element determined to be accessible, the access control server 3 transmits an access impossible notification to the user portable terminal 2.

アクセス可能と判定されたデータ要素がある場合、データ処理部35は利用者携帯端末2と相互認証を行う。また、鍵管理部34はセッション鍵を生成し、利用者携帯端末2とセッション鍵を共有する。通信部32は、アクセス可能と判定されデータ処理部35により復号されたデータ要素又はアクセス可能と判定されたデータ要素の復号鍵を、利用者携帯端末2にセキュア通信により送信する。復号鍵が送信されると、利用者携帯端末2は、パーソナルデータ管理サーバ4からデータ要素を取得して復号する。生成されたセッション鍵は鍵管理部34で管理される。   If there is a data element determined to be accessible, the data processing unit 35 performs mutual authentication with the user portable terminal 2. In addition, the key management unit 34 generates a session key and shares the session key with the user portable terminal 2. The communication unit 32 transmits the data element determined to be accessible and decrypted by the data processing unit 35 or the decryption key of the data element determined to be accessible to the user portable terminal 2 by secure communication. When the decryption key is transmitted, the user portable terminal 2 acquires the data element from the personal data management server 4 and decrypts it. The generated session key is managed by the key management unit 34.

利用者携帯端末2は、データ要素を用いて任意の所定の処理を行う。   The user portable terminal 2 performs an arbitrary predetermined process using the data element.

データ処理部35は、タイマを起動する。タイマで設定した時間が経過すると、アクセス制御サーバ3は利用者携帯端末2に、位置情報を要求する。データ処理部35は、利用者携帯端末2から位置情報を取得すると、その位置情報がエリアAを示しているか否かを判定する。   The data processing unit 35 starts a timer. When the time set by the timer elapses, the access control server 3 requests location information from the user portable terminal 2. When the position information is acquired from the user portable terminal 2, the data processing unit 35 determines whether or not the position information indicates the area A.

位置情報がエリアAを示している場合は、データ処理部35はその後所定の時点でタイマを起動し、設定した時間の経過後、位置情報を利用者携帯端末2に再度要求する。位置情報がエリアAを示す限り、データ処理部35は、所定の時間間隔(一定の頻度)で位置情報を要求し取得する。   If the position information indicates area A, the data processing unit 35 then starts a timer at a predetermined time point, and requests the user portable terminal 2 for the position information again after the set time has elapsed. As long as the position information indicates the area A, the data processing unit 35 requests and acquires the position information at a predetermined time interval (fixed frequency).

一方で位置情報がエリアAを示していない場合や位置情報を取得できない場合は、アクセス制御サーバ3は、利用者携帯端末2に該当するデータ要素又はその復号鍵を消去するよう要求する消去要求を送信することで、遠隔操作により消去させる。   On the other hand, when the position information does not indicate the area A or when the position information cannot be acquired, the access control server 3 issues an erasure request for erasing the data element corresponding to the user portable terminal 2 or its decryption key. By sending it, it is deleted by remote control.

一定時間経過しても消去完了通知が利用者携帯端末2から送信されない場合、アクセス制御サーバ3は、消去要求を再送する。   If the deletion completion notification is not transmitted from the user portable terminal 2 even after a predetermined time has elapsed, the access control server 3 retransmits the deletion request.

図9は、本発明の実施形態2に係る情報処理システムの動作フローを示す図である。データ管理者端末1は、アクセス制御サーバ3に対してパーソナルデータのデータ要素を登録する(ステップS21)。アクセス制御サーバ3は、利用者携帯端末2との間で利用者認証、相互認証及びセッション鍵共有を行う(ステップS22)。また利用者携帯端末2は、開示要求元装置及び開示先装置の利用者のIDとしてのIDb、開示要求元装置及び開示先装置のIDとしてのID2、データ要素を特定する情報及び開示先装置の位置情報をアクセス制御サーバ3に送信する(ステップS23)。アクセス制御サーバ3は、取得した情報に基づいてアクセス制御ファイル管理部33を参照し、利用者携帯端末2が開示を要求するパーソナルデータのデータ要素に対するアクセス可否を判定する(ステップS24)。アクセス制御サーバ3がアクセス不可と判定した場合(ステップS24のNo)、アクセス制御サーバ3は、アクセス不可通知を利用者携帯端末2に送信する。   FIG. 9 is a diagram showing an operation flow of the information processing system according to the second embodiment of the present invention. The data manager terminal 1 registers a data element of personal data in the access control server 3 (step S21). The access control server 3 performs user authentication, mutual authentication, and session key sharing with the user portable terminal 2 (step S22). Further, the user portable terminal 2 includes IDb as the ID of the user of the disclosure request source device and the disclosure destination device, ID2 as the ID of the disclosure request source device and the disclosure destination device, information specifying the data element, and the disclosure destination device The position information is transmitted to the access control server 3 (step S23). The access control server 3 refers to the access control file management unit 33 based on the acquired information, and determines whether or not access to the data element of the personal data requested by the user portable terminal 2 is made (step S24). When the access control server 3 determines that access is not possible (No in step S24), the access control server 3 transmits an access prohibition notification to the user portable terminal 2.

一方、アクセス制御サーバ3がアクセス可能と判定した場合(ステップS24のYes)、アクセス制御サーバ3は、利用者携帯端末2と相互認証を行い、セッション鍵を共有する(ステップS25)。次いでアクセス制御サーバ3は、アクセス可能と判定されたデータ要素等(復号済みデータ要素、データ要素の復号鍵等)を利用者携帯端末2に送信する(ステップS26)。利用者携帯端末2は、データ要素等に基づいて任意の所定の処理を行う(ステップS27)。   On the other hand, when it is determined that the access control server 3 is accessible (Yes in step S24), the access control server 3 performs mutual authentication with the user portable terminal 2 and shares a session key (step S25). Next, the access control server 3 transmits the data element determined to be accessible (decrypted data element, decryption key of the data element, etc.) to the user portable terminal 2 (step S26). The user portable terminal 2 performs arbitrary predetermined processing based on the data element or the like (step S27).

アクセス制御サーバ3はタイマを起動する(ステップS28)。タイマにより設定した時間が経過すると、アクセス制御サーバ3は、利用者携帯端末2に位置情報を要求する(ステップS29)。アクセス制御サーバ3が、利用者携帯端末2から位置情報を取得すると(ステップS30)、アクセス制御サーバ3は、新たに取得した位置情報を元に再度アクセス可否を判定する(ステップS31)。アクセス制御サーバ3がアクセス可能と判定した場合(ステップS31のYes)、利用者携帯端末2及びアクセス制御サーバ3は、ステップS28からステップS30を繰り返す。   The access control server 3 starts a timer (step S28). When the time set by the timer elapses, the access control server 3 requests location information from the user portable terminal 2 (step S29). When the access control server 3 acquires position information from the user portable terminal 2 (step S30), the access control server 3 determines again whether or not access is possible based on the newly acquired position information (step S31). When it determines with the access control server 3 being accessible (Yes of step S31), the user portable terminal 2 and the access control server 3 repeat step S30 from step S28.

アクセス制御サーバ3がアクセス不可と判定した場合(ステップS31のNo)、アクセス制御サーバ3は、利用者携帯端末2にデータ要素等の消去要求を送信する(ステップS32)。利用者携帯端末2は、データ要素等の消去を行い(ステップS33)、消去完了通知をアクセス制御サーバ3に対して送信する(ステップS34)。アクセス制御サーバ3は、一定時間経過しても消去完了通知を取得できないときは、消去要求を再送する(ステップS35)。   When the access control server 3 determines that access is not possible (No in step S31), the access control server 3 transmits a deletion request for data elements and the like to the user portable terminal 2 (step S32). The user portable terminal 2 deletes the data element or the like (step S33), and transmits a deletion completion notification to the access control server 3 (step S34). The access control server 3 resends the erasure request when the erasure completion notification cannot be acquired even after a predetermined time has elapsed (step S35).

[実施形態3]
以下、更に別の実施形態として、本発明の実施形態3を説明する。 [Embodiment 3]
Hereinafter, a third embodiment of the present invention will be described as still another embodiment.

実施形態3においては、第1の装置1を利用者端末1とし、第2の装置2を、利用者端末1の利用者と同一の利用者の利用者端末2とする。また、利用者端末1及び利用者端末2の利用者のIDを共にIDaとする。   In the third embodiment, the first device 1 is the user terminal 1, and the second device 2 is the user terminal 2 of the same user as the user of the user terminal 1. Also, IDs of the users of the user terminal 1 and the user terminal 2 are both IDa.

また、前提として、パーソナルデータのセキュリティレベル並びに利用者端末1及び利用者端末2のセキュリティレベルは、アクセス制御サーバ3の装置ID―セキュリティレベルDB33a又はデータ要素―セキュリティレベルDB33bに登録されているものとする。   As a premise, the security level of personal data and the security levels of the user terminal 1 and the user terminal 2 are registered in the device ID-security level DB 33a or the data element-security level DB 33b of the access control server 3. To do.

実施形態3では、パーソナルデータは、暗号化された状態又は平文の状態で利用者端末1に記憶されている。   In the third embodiment, personal data is stored in the user terminal 1 in an encrypted state or a plain text state.

利用者端末1は、アクセス制御サーバ3にアクセスし、アクセス制御サーバ3は、利用者端末1の利用者をIDaで、利用者端末1をID1で認証する。また、利用者端末1とアクセス制御サーバ3とは相互認証を行う。アクセス制御サーバ3による認証は、データ処理部35によって行われる。また、利用者端末1は、アクセス制御サーバ3とセッション鍵を共有する。   The user terminal 1 accesses the access control server 3, and the access control server 3 authenticates the user of the user terminal 1 with IDa and the user terminal 1 with ID1. The user terminal 1 and the access control server 3 perform mutual authentication. Authentication by the access control server 3 is performed by the data processing unit 35. The user terminal 1 shares a session key with the access control server 3.

利用者端末1は、開示要求元装置のIDとしてのID1、開示先装置のIDとしてのID2及び利用者端末2への開示が要求されるパーソナルデータのデータ要素を特定する情報をアクセス制御サーバ3に送信する。   The user terminal 1 receives ID1 as the ID of the disclosure request source apparatus, ID2 as the ID of the disclosure destination apparatus, and information specifying the data element of the personal data required to be disclosed to the user terminal 2 as the access control server 3. Send to.

これらの情報を取得した後、データ処理部35は、アクセス制御ファイル管理部33を参照して、利用者端末2によるデータ要素へのアクセスが可能か否かを判定する。すなわち、データ処理部35は、利用者端末2に対してデータ要素を開示してもよいか否かを判定する。   After acquiring these pieces of information, the data processing unit 35 refers to the access control file management unit 33 to determine whether or not the user terminal 2 can access the data element. That is, the data processing unit 35 determines whether or not the data element may be disclosed to the user terminal 2.

具体的には、データ処理部35は、下記のアクセス条件式を参照して、アクセス可否判定に必要な情報が何かを判定する。
(アクセス条件式)
・データ要素のセキュリティレベル≦ID1のセキュリティレベル
・データ要素のセキュリティレベル≦ID2のセキュリティレベル Specifically, the data processing unit 35 refers to the following access condition formula to determine what information is necessary for determining whether access is possible.
(Access conditional expression)
・ Data element security level ≦ ID1 security level ・ Data element security level ≦ ID2 security level

上記アクセス条件式より、アクセス可否判定に必要な情報は、データ要素のセキュリティレベル、ID1のセキュリティレベル及びID2のセキュリティレベルである。   From the above access conditional expression, the information necessary for determining whether access is possible is the security level of the data element, the security level of ID1, and the security level of ID2.

そこで、データ処理部35は、図10に示すような装置ID―セキュリティレベルDB33aを参照して、ID1及びID2のセキュリティレベルがそれぞれ3及び2であると判定する。   Therefore, the data processing unit 35 refers to the device ID-security level DB 33a as shown in FIG. 10 and determines that the security levels of ID1 and ID2 are 3 and 2, respectively.

実施形態3において、上記のアクセス条件式を満たすデータ要素のセキュリティレベルは、3以下且つ2以下、すなわち、2以下である。   In the third embodiment, the security level of the data element satisfying the access condition formula is 3 or less and 2 or less, that is, 2 or less.

データ処理部35は、図10に示すようなデータ要素―セキュリティレベルDB33bを参照する。Webサーバ2が開示を要求したデータ要素をデータ要素1から4とすると、データ処理部35は、データ要素1から4のセキュリティレベルをそれぞれ3、2、3及び1と判定する。これらのうちセキュリティレベルが2以下であるデータ要素は、データ要素2及び4であるため、データ処理部35は、データ要素1から4のうち、データ要素2及び4のみをアクセス可能と判定する。   The data processing unit 35 refers to a data element-security level DB 33b as shown in FIG. If the data elements requested to be disclosed by the Web server 2 are data elements 1 to 4, the data processing unit 35 determines that the security levels of the data elements 1 to 4 are 3, 2, 3, and 1, respectively. Since the data elements having a security level of 2 or less among these are the data elements 2 and 4, the data processing unit 35 determines that only the data elements 2 and 4 among the data elements 1 to 4 are accessible.

データ要素2及び4のみをアクセス可能と判定した後、データ処理部35は利用者端末2と相互認証を行う。また、鍵管理部34はセッション鍵を生成し、利用者端末2とセッション鍵を共有する。アクセス制御サーバ3は、利用者端末1からデータ要素2及び4を取得する。   After determining that only the data elements 2 and 4 are accessible, the data processing unit 35 performs mutual authentication with the user terminal 2. In addition, the key management unit 34 generates a session key and shares the session key with the user terminal 2. The access control server 3 acquires the data elements 2 and 4 from the user terminal 1.

データ処理部35は、データ要素―セキュリティレベルDB33bを参照して、データ要素2及び4のうち、データ要素2はコピー不可であり、データ要素4はコピー可であると判定する。データ処理部35は、利用者端末1に対しデータ要素2の消去要求を送信する。すなわち、アクセス制御サーバ3は、遠隔操作によりデータ要素2を消去させる。   The data processing unit 35 refers to the data element-security level DB 33b and determines that, of the data elements 2 and 4, the data element 2 is not copyable and the data element 4 is copyable. The data processing unit 35 transmits a deletion request for the data element 2 to the user terminal 1. That is, the access control server 3 deletes the data element 2 by remote operation.

通信部32は、利用者端末1から消去完了通知を取得すると、アクセス可能と判定されデータ処理部35により復号されたデータ要素、アクセス可能と判定されたデータ要素の復号鍵又はアクセス可能と判定されたデータ要素(データ要素が平文の状態で利用者端末1に記憶されていた場合)を、利用者端末2にセキュア通信により送信する。復号鍵が送信されると、利用者端末2は、利用者端末1からデータ要素を取得して復号する。生成されたセッション鍵は鍵管理部34で管理される。利用者端末2は、取得した情報を書き込む。   When the communication unit 32 obtains the deletion completion notification from the user terminal 1, the communication unit 32 determines that the data element is determined to be accessible and is decrypted by the data processing unit 35, the decryption key of the data element determined to be accessible, or is accessible. The data element (when the data element is stored in the user terminal 1 in a plain text state) is transmitted to the user terminal 2 by secure communication. When the decryption key is transmitted, the user terminal 2 acquires the data element from the user terminal 1 and decrypts it. The generated session key is managed by the key management unit 34. The user terminal 2 writes the acquired information.

別の処理手順として、アクセス制御サーバ3は、データ要素2及び4のみをアクセス可能と判定した後、利用者端末1からデータ要素2及び4を取得せずに、利用者端末2に対して、データ要素2及び4のコピーを許可するトークンを発行してもよい。この場合、利用者端末2は、利用者端末1にトークンを提示することで、アクセス制御サーバ3を経由せずにデータ要素2及び4を取得する。アクセス制御サーバ3がデータ要素2及び4がコピー可能か否かを判定してコピー不可であれば利用者端末1にコピー不可のデータ要素を消去させる処理は、本処理手順でも同様である。   As another processing procedure, the access control server 3 determines that only the data elements 2 and 4 are accessible, and then acquires the data elements 2 and 4 from the user terminal 1 and A token may be issued that allows copying of data elements 2 and 4. In this case, the user terminal 2 presents the data elements 2 and 4 without going through the access control server 3 by presenting the token to the user terminal 1. The process in which the access control server 3 determines whether or not the data elements 2 and 4 are copyable and if the copy is not possible, causes the user terminal 1 to delete the non-copyable data element is the same in this processing procedure.

実施形態3において、利用者端末1に記憶されていたデータ要素2は、削除された後に利用者端末2にコピーされるので、データ要素2の唯一性は保証される。   In the third embodiment, the data element 2 stored in the user terminal 1 is copied to the user terminal 2 after being deleted, so that the uniqueness of the data element 2 is guaranteed.

図11は、本発明の実施形態3に係る情報処理システムの動作フローを示す図である。利用者端末1は、アクセス制御サーバ3との間で利用者認証、相互認証及びセッション鍵共有を行う(ステップS41)。また利用者端末1は、開示要求元装置のIDとしてのID1、開示先装置のIDとしてのID2及びデータ要素を特定する情報をアクセス制御サーバ3に送信する(ステップS42)。アクセス制御サーバ3は、取得した情報に基づいてアクセス制御ファイル管理部33を参照し、利用者端末2が開示を要求するパーソナルデータのデータ要素に対するアクセス可否を判定する(ステップS43)。アクセス制御サーバ3がアクセス不可と判定した場合(ステップS43のNo)、アクセス制御サーバ3は、アクセス不可通知を利用者端末2に送信する。   FIG. 11 is a diagram illustrating an operation flow of the information processing system according to the third embodiment of the present invention. The user terminal 1 performs user authentication, mutual authentication, and session key sharing with the access control server 3 (step S41). Further, the user terminal 1 transmits ID1 as the ID of the disclosure request source apparatus, ID2 as the ID of the disclosure destination apparatus, and information specifying the data element to the access control server 3 (step S42). The access control server 3 refers to the access control file management unit 33 based on the acquired information, and determines whether or not access to the data element of the personal data requested by the user terminal 2 is made (step S43). When the access control server 3 determines that access is not possible (No in step S43), the access control server 3 transmits an access impossibility notification to the user terminal 2.

一方、アクセス制御サーバ3がアクセス可能と判定した場合(ステップS43のYes)、アクセス制御サーバ3は、利用者端末2と相互認証を行い、セッション鍵を共有する(ステップS44)。次いでアクセス制御サーバ3は、アクセス可能と判定されたデータ要素を取得し(ステップS45)、データ要素のそれぞれについてコピー可又はコピー不可の属性を判定する(ステップS46)。コピー不可である場合(ステップS46のYes)、アクセス制御サーバ3は、利用者端末1に、コピー不可と判定されたデータ要素の消去要求を送信する(ステップS47)。利用者端末2は、消去要求に応じて消去を行い(ステップS48)、アクセス制御サーバ3に消去完了通知を送信する(ステップS49)。アクセス制御サーバ3がコピー可能と判定した場合(ステップS46のNo)、ステップS47からステップS49は行わない。   On the other hand, when it is determined that the access control server 3 is accessible (Yes in step S43), the access control server 3 performs mutual authentication with the user terminal 2 and shares a session key (step S44). Next, the access control server 3 acquires a data element determined to be accessible (step S45), and determines a copy enabled or non-copyable attribute for each data element (step S46). If copy is not possible (Yes in step S46), the access control server 3 transmits to the user terminal 1 a request to delete the data element determined to be uncopyable (step S47). The user terminal 2 performs erasure in response to the erasure request (step S48), and transmits an erasure completion notification to the access control server 3 (step S49). When the access control server 3 determines that copying is possible (No in step S46), steps S47 to S49 are not performed.

アクセス制御サーバ3は、アクセス可能と判定されたデータ要素等を利用者端末2に送信する(ステップS50)。利用者端末2は、取得したデータ要素等を利用者端末2に書き込む(ステップS51)。   The access control server 3 transmits the data element determined to be accessible to the user terminal 2 (step S50). The user terminal 2 writes the acquired data element or the like in the user terminal 2 (step S51).

以上、実施形態1から3で説明したとおり、パーソナルデータのセキュリティレベルと、パーソナルデータを利用するサーバや端末等の装置毎のセキュリティレベルとに応じたデー要素単位のアクセス制御が可能となる。   As described above, as described in the first to third embodiments, it is possible to perform access control in units of data elements according to the security level of personal data and the security level of each device such as a server or a terminal that uses personal data.

これらの本発明に係る第1の装置1、第2の装置2、アクセス制御サーバ3及び/又はパーソナルデータ管理サーバ4をコンピュータで構成した場合、各機能を実現する処理内容を記述したプログラムを、当該コンピュータの内部又は外部の記憶部に格納しておき、当該コンピュータの中央演算処理装置(CPU)によってこのプログラムを読み出して実行させることで実現することができる。また、このようなプログラムは、例えばDVD又はCD−ROM等の可搬型記録媒体の販売、譲渡、貸与等により流通させることができるほか、そのようなプログラムを、例えばネットワーク上にあるサーバの記憶部に記憶しておき、ネットワークを介してサーバから他のコンピュータにそのプログラムを転送することにより、流通させることができる。また、そのようなプログラムを実行するコンピュータは、例えば、可搬型記録媒体に記録されたプログラム又はサーバから転送されたプログラムを、一旦、自己の記憶部に記憶することができる。また、このプログラムの別の実施態様として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、更に、このコンピュータにサーバからプログラムが転送される度に、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。従って、本発明は、前述した実施形態に限定されるものではなく、その主旨を逸脱しない範囲において組み合わせたり一部削除したりするなどして種々変更可能である。   When the first device 1, the second device 2, the access control server 3 and / or the personal data management server 4 according to the present invention are configured by a computer, a program describing processing contents for realizing each function is provided. It can be realized by storing the program in a storage unit inside or outside the computer, and reading and executing the program by a central processing unit (CPU) of the computer. In addition, such a program can be distributed by selling, transferring, or lending a portable recording medium such as a DVD or a CD-ROM, and such a program is stored in a storage unit of a server on a network, for example. And the program can be distributed by transferring the program from the server to another computer via the network. In addition, a computer that executes such a program can temporarily store, for example, a program recorded on a portable recording medium or a program transferred from a server in its own storage unit. As another embodiment of the program, the computer may directly read the program from a portable recording medium and execute processing according to the program, and each time the program is transferred from the server to the computer. In addition, the processing according to the received program may be executed sequentially. Therefore, the present invention is not limited to the above-described embodiments, and various modifications can be made by combining or partially deleting the same without departing from the spirit of the present invention.

1 第1の装置
2 第2の装置
3 アクセス制御サーバ
4 パーソナルデータ管理サーバ
11 制御部
12 通信部
13 パーソナルデータ管理部
21 制御部
22 通信部
23 位置情報取得部
31 制御部
32 通信部
33 アクセス制御ファイル管理部
33a 装置ID―セキュリティレベルDB
33b データ要素―セキュリティレベルDB
33c 利用者―セキュリティレベルDB
34 鍵管理部
35 データ処理部
41 制御部
42 通信部
43 パーソナルデータ管理部 DESCRIPTION OF SYMBOLS 1 1st apparatus 2 2nd apparatus 3 Access control server 4 Personal data management server 11 Control part 12 Communication part 13 Personal data management part 21 Control part 22 Communication part 23 Location information acquisition part 31 Control part 32 Communication part 33 Access control File management unit 33a Device ID-Security level DB
33b Data element-Security level DB
33c User-Security Level DB
34 Key management unit 35 Data processing unit 41 Control unit 42 Communication unit 43 Personal data management unit

Claims (8)

第1の装置と、第2の装置と、アクセス制御サーバとを備える情報処理システムにおいて、
前記アクセス制御サーバの制御部は、
前記第2の装置に対するパーソナルデータのデータ要素の開示要求と前記第2の装置のIDとを前記第1の装置又は前記第2の装置から取得し、
前記第2の装置のIDをセキュリティレベルと対応付けて記憶する装置ID―セキュリティレベルDBと、前記データ要素をセキュリティレベルと対応付けて記憶するデータ要素―セキュリティレベルDBと、を参照して、前記第2の装置のセキュリティレベルに基づいて前記第2の装置による前記データ要素へのアクセス可否を判定する
ことを特徴とする情報処理システム。 In an information processing system comprising a first device, a second device, and an access control server,
The control unit of the access control server is
Obtaining a disclosure request of the data element of personal data for the second device and the ID of the second device from the first device or the second device;
With reference to the device ID—security level DB for storing the ID of the second device in association with the security level and the data element for storing the data element in association with the security level—security level DB, An information processing system for determining whether or not the second device can access the data element based on a security level of the second device. 請求項1に記載の情報処理システムにおいて、
前記情報処理システムは更に、前記パーソナルデータのデータ要素を記憶するパーソナルデータ管理サーバを備え、
前記アクセス制御サーバの制御部は、更に、
前記開示要求と前記第2の装置のIDとを前記第1の装置から取得し、
前記第1の装置のIDを前記第1の装置から取得し、
前記第1の装置のIDをセキュリティレベルと対応付けて記憶する前記装置ID―セキュリティレベルDBを参照して、前記第1の装置のセキュリティレベルに基づいてアクセス可否を判定し、
前記判定の結果アクセス可能と判定した場合、前記第2の装置へ、前記データ要素の復号鍵又は前記データ要素を送信する
ことを特徴とする情報処理システム。 The information processing system according to claim 1,
The information processing system further includes a personal data management server that stores data elements of the personal data.
The control unit of the access control server further includes:
Obtaining the disclosure request and the ID of the second device from the first device;
Obtaining an ID of the first device from the first device;
With reference to the device ID-security level DB that stores the ID of the first device in association with the security level, whether access is possible is determined based on the security level of the first device;
If it is determined that access is possible as a result of the determination, the information processing system transmits a decryption key for the data element or the data element to the second device. 請求項1に記載の情報処理システムにおいて、
前記情報処理システムは更に、前記パーソナルデータのデータ要素を記憶するパーソナルデータ管理サーバを備え、
前記アクセス制御サーバの制御部は、更に、
前記開示要求と前記第2の装置のIDとを前記第2の装置から取得し、
前記第2の装置の位置情報を前記第2の装置から取得し、
更に、データ要素へのアクセスが可能となる位置情報を記憶する前記装置ID―セキュリティレベルDBを参照して、前記位置情報に基づいてアクセス可否を判定し、
前記判定の結果アクセス可能と判定された場合、前記第2の装置へ、前記データ要素の復号鍵又は前記データ要素を送信し、所定の時間間隔で新たな位置情報を取得して前記判定を再度行い、
前記再度の判定の結果、前記新たな位置情報が前記データ要素―セキュリティレベルDBに記憶された条件を満たさないと判定するのに応じて、又は、前記データ要素を用いた処理が完了したとの通知を前記第2の装置から取得するのに応じて、前記データ要素の復号鍵又は前記データ要素を消去させる消去要求を送信する
ことを特徴とする情報処理システム。 The information processing system according to claim 1,
The information processing system further includes a personal data management server that stores data elements of the personal data.
The control unit of the access control server further includes:
Obtaining the disclosure request and the ID of the second device from the second device;
Obtaining location information of the second device from the second device;
Further, referring to the device ID-security level DB that stores location information that enables access to the data element, it is determined whether access is possible based on the location information,
If it is determined that the access is possible as a result of the determination, the decryption key of the data element or the data element is transmitted to the second device, new position information is acquired at a predetermined time interval, and the determination is performed again. Done
As a result of the determination again, in response to determining that the new position information does not satisfy the condition stored in the data element-security level DB, or that the processing using the data element has been completed. An information processing system for transmitting a decryption key for the data element or an erasure request for erasing the data element in response to obtaining a notification from the second device. 請求項1に記載の情報処理システムにおいて、
前記第1の装置は、前記パーソナルデータのデータ要素を記憶し、
前記アクセス制御サーバの制御部は更に、
前記開示要求と前記第2の装置のIDとを前記第1の装置から取得し、
前記第1の装置のIDを前記第1の装置から取得し、
前記第1の装置のIDをセキュリティレベルと対応付けて記憶する前記装置ID―セキュリティレベルDBを参照して、前記第1の装置のIDに基づいてアクセス可否を判定し、
前記判定の結果アクセス可能と判定し、更に、前記データ要素―セキュリティレベルDBを参照してコピー不可のデータ要素が存在すると判定した場合、前記第1の装置に対して、前記コピー不可と判定されたデータ要素を消去する消去要求を送信する
ことを特徴とする情報処理システム。 The information processing system according to claim 1,
The first device stores data elements of the personal data;
The control unit of the access control server further includes:
Obtaining the disclosure request and the ID of the second device from the first device;
Obtaining an ID of the first device from the first device;
Refer to the device ID-security level DB that stores the ID of the first device in association with the security level, and determine whether access is possible based on the ID of the first device;
As a result of the determination, if it is determined that access is possible, and it is further determined that there is a data element that cannot be copied with reference to the data element-security level DB, it is determined that the first device cannot copy. An information processing system for transmitting an erasure request for erasing a data element. 請求項4に記載の情報処理システムにおいて、
前記制御部は更に、前記判定の結果アクセス可能と判定した場合、前記第2の装置に対して、前記データ要素のコピーを許可するトークンを発行し、
前記第2の装置は、前記トークンを前記第1の装置に示すことにより前記第1の装置から前記データ要素を取得する
ことを特徴とする情報処理システム。 The information processing system according to claim 4,
If the control unit further determines that the access is possible as a result of the determination, the control unit issues a token that permits copying of the data element to the second device,
The information processing system, wherein the second device acquires the data element from the first device by indicating the token to the first device. 請求項1から5のいずれか1項に記載の情報処理システムにおいて、
前記制御部は更に、
前記第2の装置の利用者のIDを取得し、
前記第2の装置の利用者のIDをセキュリティレベルと対応付けて記憶する利用者―セキュリティレベルDBを参照して、前記第2の装置の利用者のセキュリティレベルに基づいて判定する
ことを特徴とする情報処理システム。 The information processing system according to any one of claims 1 to 5,
The control unit further includes:
Obtaining the ID of the user of the second device;
The determination is made based on the security level of the user of the second device with reference to the user-security level DB that stores the ID of the user of the second device in association with the security level. Information processing system. 第1の装置と、第2の装置と、アクセス制御サーバとを備える情報処理システムによる情報処理方法において、
前記アクセス制御サーバの制御部により、前記第2の装置に対するパーソナルデータのデータ要素の開示要求と前記第2の装置のIDとを前記第1の装置又は前記第2の装置から取得するステップと、
前記アクセス制御サーバの制御部により、前記第2の装置のIDをセキュリティレベルと対応付けて記憶する装置ID―セキュリティレベルDBと、前記データ要素をセキュリティレベルと対応付けて記憶するデータ要素―セキュリティレベルDBと、を参照して、前記第2の装置のセキュリティレベルに基づいて前記第2の装置による前記データ要素へのアクセス可否を判定するステップと
を含むことを特徴とする情報処理方法。 In an information processing method by an information processing system including a first device, a second device, and an access control server,
Obtaining from the first device or the second device the disclosure request of the data element of the personal data to the second device and the ID of the second device by the control unit of the access control server;
Device ID that stores the ID of the second device in association with a security level by the control unit of the access control server—Security level DB; and Data element that stores the data element in association with a security level—Security level An information processing method, comprising: referring to DB; and determining whether or not the second device can access the data element based on a security level of the second device. コンピュータに、
第2の装置に対するパーソナルデータのデータ要素の開示要求と前記第2の装置のIDとを第1の装置又は前記第2の装置から取得する手順と、
前記第2の装置のIDをセキュリティレベルと対応付けて記憶する装置ID―セキュリティレベルDBと、前記データ要素をセキュリティレベルと対応付けて記憶するデータ要素―セキュリティレベルDBと、を参照して、前記第2の装置のセキュリティレベルに基づいて前記第2の装置による前記データ要素へのアクセス可否を判定する手順と、
を実行させるためのプログラム。 On the computer,
A procedure for obtaining a disclosure request for a data element of personal data to the second device and an ID of the second device from the first device or the second device;
With reference to the device ID—security level DB for storing the ID of the second device in association with the security level and the data element for storing the data element in association with the security level—security level DB, A procedure for determining whether the second device can access the data element based on a security level of the second device;
A program for running
JP2014108219A 2014-05-26 2014-05-26 Information processing system, information processing method and program Pending JP2015225385A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014108219A JP2015225385A (en) 2014-05-26 2014-05-26 Information processing system, information processing method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014108219A JP2015225385A (en) 2014-05-26 2014-05-26 Information processing system, information processing method and program

Publications (1)

Publication Number Publication Date
JP2015225385A true JP2015225385A (en) 2015-12-14

Family

ID=54842106

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014108219A Pending JP2015225385A (en) 2014-05-26 2014-05-26 Information processing system, information processing method and program

Country Status (1)

Country Link
JP (1) JP2015225385A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019016151A (en) * 2017-07-06 2019-01-31 富士ゼロックス株式会社 Information processing system, information processing device, and program
JP2019164664A (en) * 2018-03-20 2019-09-26 日本電気株式会社 Management system, control device, management method and program
WO2019239635A1 (en) * 2018-06-13 2019-12-19 株式会社日立製作所 Work support device and work support system
JP2022081506A (en) * 2018-03-20 2022-05-31 日本電気株式会社 Management system, control device, management method and program

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019016151A (en) * 2017-07-06 2019-01-31 富士ゼロックス株式会社 Information processing system, information processing device, and program
JP2019164664A (en) * 2018-03-20 2019-09-26 日本電気株式会社 Management system, control device, management method and program
JP7031408B2 (en) 2018-03-20 2022-03-08 日本電気株式会社 Management system, control device, management method and program
JP2022081506A (en) * 2018-03-20 2022-05-31 日本電気株式会社 Management system, control device, management method and program
JP7231082B2 (en) 2018-03-20 2023-03-01 日本電気株式会社 Management system, control device, management method and program
WO2019239635A1 (en) * 2018-06-13 2019-12-19 株式会社日立製作所 Work support device and work support system
JP2019215712A (en) * 2018-06-13 2019-12-19 株式会社日立製作所 Work assisting device and work assisting system

Similar Documents

Publication Publication Date Title
CN111434084B (en) Permission to access information from an entity
US8886964B1 (en) Protecting remote asset against data exploits utilizing an embedded key generator
RU2406116C2 (en) Migration of digital licence from first platform to second platform
KR100608605B1 (en) Method and apparatus for digital rights management
WO2018152519A1 (en) Performance of distributed system functions using a trusted execution environment
JP2005228346A (en) Method for associating content with user
US20120317414A1 (en) Method and system for securing documents on a remote shared storage resource
JP6543743B1 (en) Management program
CN105378649A (en) Multiple authority data security and access
MX2007008543A (en) Device and method for digital rights management.
JPWO2019082442A1 (en) Data registration methods, data decryption methods, data structures, computers, and programs
JP2014109826A (en) Data management mechanism in emergency for wide-area distributed medical information network
JP2011012511A (en) Electric lock control system
JP2015225385A (en) Information processing system, information processing method and program
KR102131976B1 (en) User terminal apparatus and method for providing personal information thereby
KR20160040399A (en) Personal Information Management System and Personal Information Management Method
JP2007129413A (en) Information processing system and computer program
JP2005346424A (en) Contents communication method, contents communication permission/prohibition determining program, and contents communication system
JP7172709B2 (en) Information processing system and program
JP2005071071A (en) Information access management system
KR101980432B1 (en) Apparatus and method for managing personal information
JPWO2020122095A1 (en) Control methods, servers, programs, and data structures
JP6560859B2 (en) Data usage control system and method
JP2019071552A (en) Encryption communication method, encryption communication system, key issuing device, and program
Zichichi et al. Blockchain-Based Data Management for Smart Transportation