JP2016143417A - 個人の行動を表すデータの記憶及びアクセス制御のためのシステム、方法及び非一時的な記憶媒体 - Google Patents

個人の行動を表すデータの記憶及びアクセス制御のためのシステム、方法及び非一時的な記憶媒体 Download PDF

Info

Publication number
JP2016143417A
JP2016143417A JP2016010103A JP2016010103A JP2016143417A JP 2016143417 A JP2016143417 A JP 2016143417A JP 2016010103 A JP2016010103 A JP 2016010103A JP 2016010103 A JP2016010103 A JP 2016010103A JP 2016143417 A JP2016143417 A JP 2016143417A
Authority
JP
Japan
Prior art keywords
data
personalized
access
individual
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016010103A
Other languages
English (en)
Inventor
スネリング・デイヴィド
Snelling David
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of JP2016143417A publication Critical patent/JP2016143417A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms

Abstract

【課題】個人の行動を表すデータの記憶及びアクセス制御のためのシステム等を提供する。
【解決手段】システムは、個人の身元を示す識別情報に対応するリクエストをID生成装置へ提起し、匿名にされたユーザIDを見返りとして受け取って個人へ出力するID検索装置と、個人化された行動データを記憶しており、ID検索装置にはアクセス不可能なデータストア及び記憶されている個人化された行動データへのアクセスを制御するアクセスコントローラを有するデータエンジンとを有する。個人化された行動データは、個人の行動を表す行動データであって、匿名にされたユーザIDにより匿名で個人化されている。アクセスコントローラは、個人化された行動データが個人化されている匿名にされたユーザIDを特定するようサービスプロバイダからのデータアクセスリクエストに求めることによって、個人化された行動データへのアクセスを制御する。
【選択図】図2

Description

本発明は、個人化されたデータの記憶及びアクセス制御のためのシステムの分野に属する。特に、本発明は、個人化されたデータの匿名化及び匿名エンティティとしての個人へのサービスの提供に関する。
毎日の生活における個人の行動を表すデータの生成、個人化、記憶及びアクセスのためのプロトコル及びスキームが存在する。ユーザは、サービスをサービスプロバイダに登録することができ、サービスプロバイダは、ユーザによって又はユーザに代わって生成されたデータをサービスとして処理する。結果はユーザへ又は第三者に提供されてよい。
そのようなスキームは、あらゆる人が、行動データを扱うときに、進展したコンピュータ機能、モバイルデバイス及びクラウドネットワークから安全に恩恵を受けることを可能にするよう設計される。
このような極めて詳細な個人情報を記憶することは大いに繊細であるから、ユーザが匿名性を保つことを可能にすることが望ましい。
実施形態は、個人の行動を表すデータの記憶及びアクセス制御のためのシステムであって、
個人の身元を示す識別情報を受け取り、該受け取られた識別情報に対応するリクエストをID生成装置へ提起し、匿名にされたユーザIDを見返りとして受け取り、該匿名にされたユーザIDを前記個人へ出力するよう構成されるID検索装置と、
データストア及びアクセスコントローラを有し、前記データストアは、前記ID検索装置にはアクセス不可能であり、個人化された行動データを受けて記憶するよう構成され、該記憶されている個人化された行動データへのアクセスは、前記アクセスコントローラによって制御され、前記個人化された行動データは、前記個人の行動を表す行動データであって、前記匿名にされたユーザIDにより匿名で個人化されている、データエンジンと
を有し、
前記アクセスコントローラは、サービスプロバイダからのデータアクセスリクエストが、前記個人化された行動データにアクセスするために、該個人化された行動データが個人化されている前記匿名にされたユーザIDを特定することを要求することによって、前記個人化された行動データへのアクセスを制御するよう構成される、
システムを含む。
システムは、サービスプロバイダが、例えば、データ処理サービスを個人に提供する目的で、個人に固有のデータにアクセスするために使用することができる匿名にされた識別を個人が取得することを可能にする。個人の観点からは、個人自身の行動を表す行動データは、個人である物理的又は法的な身元が識別されないようにする非識別(すなわち、匿名にされた)ユーザIDにより個人化され得る。従って、個人は、行動データが個人に帰する(すなわち、名前を挙げることによる)危険性なしで、複数のサービスプロバイダがアクセス可能なデータエンジンに自身らの行動データをアップロードすることができる。このように、個人は、個人が識別されることなしに、個人に固有の行動データを使用する1つ以上のサービスプロバイダのサービスから恩恵を受けることができる。システムは、個人をペルソナ、すなわち、匿名にされたユーザIDの制御下に置く。匿名にされたユーザIDは、サービスを登録するために使用され得る。
個人の身元を示す個人識別情報を個人と関連付ける機能を備えたエンティティ(個人の身元は、個人である特定の物的存在又は合法的な組織を意味すると考えられる。)は、原理上、ID検索装置、場合によりID生成装置、及び個人自身である。ID検索装置によってID生成装置へ提起される、受け取られた識別情報に対応するリクエストは、場合により、処理された形において、受け取られた識別情報の一部又は全てを含んでよい。代替的に、受け取られた識別情報に対応するリクエストは、単に、受け取られた識別情報のいずれも含まないが、識別情報の受信によってトリガされる非識別リクエストであってよい。後者の場合に、識別情報とリクエストとの間の対応は、リクエストが識別情報の受信によってトリガされたことである。ID生成装置は、ステートレス・エンティティとして実現されてよく、その場合に、個人の身元を示す受け取られた識別情報を何ら保持しない。実際に、それは、識別情報が如何なる場合にも受け取られないことであってよい。ID検索装置は、個人の身元を示す如何なる識別情報も(実施に応じて)保持してもしなくてもよいが、如何なる場合でも、個人化された行動データを記憶するデータストアにアクセスすることはできず、よって、実際上、個人された行動データを特定の個人と関連付けることができない。個人は、自身の個人された行動データを自身の身元と関連付けることができる。
ID検索装置が匿名にされたユーザIDを見返りとして受け取ることは、提起したリクエストに対する見返りとしての匿名にされたユーザIDの受信である。従って、リクエストを受けることに対するID生成装置の応答は、匿名にされたユーザIDを生成し、該生成された匿名にされたユーザIDをID検索装置へ出力することである。IDは、本明細書の全体を通して身元(アイデンティティ)であると見なされる。
匿名にされたユーザIDは一意であり、それにより、同じ匿名にされたユーザIDが2人以上の個人に割り当てられることはない。ID生成装置は、不可逆的なハッシュ関数を実行して、提示された個人識別情報をはるかに大規模の匿名ユーザID空間上にマッピングするよう構成されてよい(すなわち、2つ以上の異なったバージョンの個人識別情報が同じ匿名にされたユーザIDにつながることはない。)。個人識別情報は、潜在的なシステムユーザの集団の中から特定のシステムユーザを識別するのに十分な情報である。ID検索装置からID生成装置へのリクエストが非識別的であって、匿名にされたリクエストと呼ばれ得る実施形態では、ID生成装置は、受け取られたリクエストに応答して匿名にされたユーザIDの生成の時点でシステムクロックから時間及び/又は日付情報を取り出し、不可逆的なハッシュ関数は、取り出された時間及び/又は日付情報の2つ以上の異なるインスタンスが同じ匿名にされたユーザIDにマッピングしないよう使用されることがあってよい。
行動データは、個人の測定された物理的性質を表してよく、あるいは、行動データのソースとなるインフラストラクチャとの個人の相互作用を表してよい。行動データは、匿名にされたユーザIDによって表されるペルソナとリンク又は関連付けされることによって、個人化される。従って、データストアによって記憶されている個人データは、たとえペルソナが匿名にされたユーザIDによってしか表されず、よって、ペルソナが、個人への匿名にされたユーザIDのマッピングを知っているエンティティによってしか個人にリンクされ得ないとしても、ペルソナにリンク若しくは関連付けされるか又は帰属せしめられる限りは個人化される。
データエンジン及びサービスプロバイダからのID検索装置及びID生成装置の分離は、個人が、自身らの匿名にされたユーザIDのみを用いて匿名でサービスにサインアップすることができることを意味し、個人識別情報はサービスプロバイダに示されない。ID検索装置は、サービスプロバイダにはアクセス不可能である。データエンジンは、ID検索装置及びID生成装置にはアクセス不可能である。
実施形態は、持続的に存在し、更には、ユーザによって選択可能な複数の匿名にされたペルソナの中の1つを用いて個人が操作することを可能にする匿名にされたユーザIDによって具現される匿名にされたペルソナを(単純な登録カウントとは対照的に)個人に提供する。実施形態は、この機能を、ユーザの個人情報を侵害すること又は未承認のサービスプロバイダ若しくはデータエンジンに付加的なアトム(atom(s))を示すことなしに、ユーザに提供する。
アクセスコントローラの機能の特定の例として、前記アクセスコントローラは、前記データストアにアクセスすることを許可されているサービスプロバイダのリストを保持し、受け取られたデータアクセスリクエストが前記サービスプロバイダのリストの中の1つからであるか否かを判定し、そうでない場合は当該データアクセスリクエストをブロックするよう構成される。
有利なことには、リストは、システムによって記憶されているデータへのアクセスを許可されているサービスプロバイダの経過を追うメカニズムを提供する。PKSのような認証スキームは、リクエストが、それらが主張するサービスプロバイダに由来することを確かめるために使用されてよい。サービスプロバイダは、システムを動作させることに関与する組織との同意に応じて、リストに対して追加及び削除され得る。
サービスプロバイダは、個人化された行動データを使用して、サービスを個人に提供する。サービスへのアクセスは、サービスユーザとしての個人が匿名性を保つことができるように制御される。例えば、システムは、前記データストアにアクセスすることを許可されている前記サービスプロバイダのうちの1つに代わって動作可能なサービス提供装置を更に有してよく、該サービス提供装置は、匿名で個人化された登録リクエストを前記個人から受け取り、該匿名で個人化された登録リクエストは前記匿名にされたユーザIDによってのみ個人化されており、前記匿名にされたユーザIDを特定するとともに該特定された匿名にされたユーザIDにより個人化されている前記行動データの範囲を特定する前記データエンジンへのデータアクセスリクエストを提起し、前記特定された範囲内からの行動データを前記データエンジンから受け取り、該受け取られた行動データに対するデータ処理を実行し、前記個人に代わってデータ処理結果を出力するよう構成される。
よって、匿名にされたユーザIDは、システム内のペルソナの表現又は実施形態として、更には、データストアによって記憶されている個人化された行動データへのアクセスをサービスプロバイダが許可されるキーとしても働く。個人は、サービスの見返りとして自身の身元を表す如何なる情報も提示するようサービスプロバイダによって求められない。サービスプロバイダによって要求される行動データの範囲は、誰にサービスが提供されているのかに代わって、匿名にされたユーザIDによってのみならず、データストアへの提示の発生の日付又は提示の日付と、(行動データがカテゴリ化されているシステムにおける)データのカテゴリと、データが起こるデバイス又はインフラストラクチャ(行動データソースデバイス)に対する制限とを含む行動データの特性によっても、定義されてよい。
行動データは、個人の物理的性質を測定することによって、あるいは、個人と行動データ生成インフラストラクチャとの間の相互作用を表すことによって、個人の行動の何らかの要素を表す。そのようなインフラストラクチャは、ユーザによって所有されるか、又はユーザがアクセス可能であるデバイスであってよい。データ生成インフラストラクチャは、行動データソースデバイスと呼ばれてよく、特定の実施では、行動データは、個人の行動を表す行動データを生成するように前記個人と相互作用するよう構成される行動データソースデバイスからである。
行動データソースデバイスは、インターネットのようなネットワーク上でデータエンジンへ接続可能であってよく、あるいは、中間デバイスへ接続可能であってよく、中間デバイスは、それ自身がネットワーク上でデータエンジンへ接続可能である。行動データソースデバイスは、それ自身が、生成された行動データに、個人の匿名にされたユーザIDによりラベルを付してよく、あるいは、行動データは、それらが匿名にされたユーザIDとの関連付けによって個人化される中間デバイスに到着するまで、個人化されていなくてよい。
行動データソースデバイスの例には、いわゆるスマート装置が含まれる。スマート装置は、それ自身がネットワーク化されており、ネットワーク上でデータを送信及び受信するよう構成される。行動データソースデバイスは、個人との相互作用を表す情報を記録してよく、該情報は、匿名にされたユーザIDを介してペルソナと関連付けられる(生成時に行動データと関連付けられるか、あるいは、データエンジンへの提示時に個人によって又は個人に代わってデバイスによって付加されてよい。)。それらの相互作用は、個人の物理的性質の測定であってよく、それにより、行動データソースデバイスはセンサ装置である。例えば、行動データソースデバイスは、センサ装置であってよく、該センサ装置は、前記個人の物理的性質の一連の測定を行動データとして記録するよう、且つ、前記行動データを前記センサ装置で前記個人の前記匿名にされたユーザIDにより匿名で個人化することによって、又は前記行動データが受け取られ、前記個人の前記匿名にされたユーザIDにより匿名で個人化され、個人化された行動データとして前記データエンジンへ転送される中間デバイスを介して、前記記録された一連の測定を個人化された行動データとして前記データエンジンへ提示するよう構成される。
他の例では、一連の測定よりむしろ単一の測定が、行動データとして記録され提示されてよい。個人の物理的性質は、例えば、物理的位置であってよく、あるいは、行われたステップの数と言った、移動に基づく物理的性質であってよい。他の例には、心拍、温度、呼吸数がある。中間デバイス及び/又はセンサ装置は、サービスプロバイダによって提供されてよく、あるいは、サービスプロバイダからダウンロードされたソフトウェアを実行してよい。
データエンジンは、行動データソースデバイスが、個人化された行動データを提示することができるインターフェイスを提供してよい。
行動データソースデバイスの更なる例として、行動データソースデバイスは、個人と相互作用し、該個人との相互作用を表す情報を記録するよう、且つ、行動データを前記行動データソースデバイスで前記個人の匿名にされたユーザIDにより匿名で個人化することによって、又は前記行動データが受け取られ、前記個人の前記匿名にされたユーザIDにより匿名で個人化され、個人化された行動データとしてデータエンジンへ転送される中間デバイスを介して、前記記録された情報を個人化された行動データとしてデータエンジンへ提示するよう構成される。
任意に、行動データソースデバイスは、実行される場合に前記行動データソースデバイスに個人データを生成させ且つ該生成されたデータをデータエンジンへ提示させるソフトウェアを受けてインストールするよう構成される。
換言すると、行動データソースデバイスは、スマートフォン又はタブレットのようなユーザデバイスであって、行動データの基礎として使用され得る測定を行うために、GPS、クロック、及び/又は加速度計のような、オペレーティングシステムを介してアプリケーションレベルのソフトウェアによってアクセスされ得るハードウェアを備えてよい。ソフトウェアは、データエンジンへの提示の前に、データを集め、データの前処理を実行するために、ユーザデバイスのハードウェアを利用するよう構成されるアプリケーションレベルのソフトウェアであってよい。例えば、ハードウェアによって出力された情報は、サービスプロバイダにとって有用であって、それ故にデータエンジンへ提示される形で、システムユーザの行動を表すデータを生成するために、アプリケーションレベルのソフトウェアによる処理を受けてよい。次いで、サービスプロバイダは、データエンジンを介して行動データにアクセスし、データエンジン又は他のサービスにおいて更なる処理を実行し、情報を個人へサービスとして、任意にユーザデバイスを介して提供する。
任意に、個人化された行動データは、アクセスコントローラによってマスクをかけられ得る。それにより、特定のサービスプロバイダは、特定のデータカテゴリに属するデータにのみアクセスすることができる。例えば、データカテゴリは、行動の異なる側面を表してよい。そのようなマスキングが実施され得る方法の例として、データストアは、受け取られた個人化された行動データを、所定のカテゴリ集合の中の1つ以上のカテゴリのカテゴリ化と関連付けて記憶するよう構成され、アクセスコントローラは、サービスプロバイダからデータアクセスリクエストを受け取ると、前記サービスプロバイダを識別し、該識別されたサービスプロバイダが前記所定のカテゴリ集合の中のどの1つ以上のカテゴリにアクセスすることを許可されているのかを決定し、前記サービスプロバイダがアクセスすることを許可されている前記1つ以上のカテゴリのうちの1つにおいてカテゴリ化されていない個人化された行動データに当該データアクセスリクエストがアクセスしないようにすることによって、前記個人化された行動データへのアクセスを制御するよう構成される。
有利なことには、データにラベルを付すためのカテゴリの使用は、あらゆるサービスプロバイダが全てのデータにアクセスすることができるわけではないようにすることで、アクセスコントローラに対して責任がある組織へ及び個人へ制御の要素を与える。例えば、レジャー活動に関連するものとしてカテゴリ化されている個人化された行動データにアクセスすることを許可されているが、健康に関連するものとしてカテゴリ化されている個人化された行動データにアクセスしないようにされている特定のサービスプロバイダが存在し得る。カテゴリへのアクセスに対する制御は、2つの方法のうちのいずれか一方又は両方において動作することができる。特定のサービスプロバイダは、特定のカテゴリに属している個人化された行動データにアクセスしないようにされ得、且つ/あるいは、特定のサービスプロバイダは、特定のカテゴリに属している個人化された行動データにアクセスすることしかできないように制限されたアクセスを有することができる。アクセスコントローラは、サービスプロバイダがアクセスを阻止されるカテゴリ、及び/又はサービスプロバイダがアクセスを許可されているカテゴリのみに関して、サービスプロバイダ及びアクセス許可のリスト又はディクショナリを保持してよい。
データが属するカテゴリは、行動データソースデバイスによって決定され、個人化された行動データの提示時に示されてよく、あるいは、行動データソースデバイスの識別に基づき、個人化された行動データの受信時に、データエンジンによって決定されてよい。
ID生成装置は、ID検索装置とは別個の装置であってよく、実際上、個人の身元を示す識別情報を、サービスプロバイダからのサービスを登録する際及び行動データを個人化する際に個人によって使用される匿名にされたユーザIDと交換するために、ID検索装置によって遠隔で呼び出され得るメソッドである。
特定の例では、実施形態は、ID生成装置を含み、該ID生成装置は、リクエストを受信することに応答して不可逆プロセスを実行することによって、匿名にされたユーザIDを生成し、該匿名にされたユーザIDを個人へID検索装置を介して出力するよう構成される。
データストアは、ID生成装置にはアクセス不可能であり、それ故に、個人の識別情報と個人の個人化された行動データとの間においてID生成装置によって関連付けがなされ得ない。更には、ID生成装置は、如何なる識別情報を受信しなくてよく、識別情報がID生成装置で受信される実施形態では、ID生成装置は如何なる識別情報も記憶しない。任意に、ID生成装置は、出力される匿名にされたユーザIDの記録を保持しない。
任意に、ID生成装置は、匿名にされたユーザIDを生成し出力するステップをステートレス・メソッドとして実行するよう構成される。
特定の個人は、システムとの関連で1つ以上のペルソナを用いて動作させたいと望んでよく、そのために、1つよりも多い匿名にされたユーザIDを要求してよい。特定のバージョンのシステムは、次のように、かかる機能を実現してよい。ID検索装置は、ID生成装置へのリクエストを、匿名にされたユーザIDに加えて、1つ以上の更なる匿名にされたユーザIDのためのリクエストと関連付けて提起し、前記1つ以上の更なる匿名にされたユーザIDを受け取り、該1つ以上の更なる匿名にされたユーザIDを前記個人へ出力するよう構成され、行動データソースデバイスは、又は利用される場合に中間デバイスは、前記匿名にされたユーザID及び前記1つ以上の更なる匿名にされたユーザIDの中からの1つの匿名にされたユーザIDの選択を前記個人から受け付け、該選択された匿名にされたユーザIDにより行動データを匿名で個人化するよう構成される。
ユーザデータを保護するために、実施形態は、暗号化及び認証を利用してよい。例えば、ID検索装置及び/又はID生成装置は、パブリック・キー・インフラストラクチャを介して認証されてよい。
実施形態は、匿名の且つ制限されたサービスの要望に対処する。この機能を実現するよう、先行技術のフレームワークは、プロトコル及び前提の基礎となるレベルで変更される。実施形態は、次の特徴を更に含んでよい。
・集団において個人を一意に特定するのに名前及び生年月日が適切でないことを前提として、何らかの更なる情報は、匿名にされたユーザIDの衝突を回避するよう、個人によってID生成装置へID検索装置を介して提供される個人識別情報から必要とされる。従って、例えば母親の旧姓、親又は他の親類の生年月日のような(名前及び生年月日を凌駕する)追加情報も、ID生成装置によって要求されてよい。追加情報は、要求される個人化された識別情報の高い水準に起因して、他の個人に成り代わって匿名にされたユーザIDを要求する一個人の能力をも低減する。個人識別情報は、集団の中から個人を一意に特定し且つ個人の身元を示す情報である。
・前の出来事において提起された匿名にされたユーザIDの新しい通知を受けるために、前の出来事において提起された同じ個人識別情報を個人が(ID生成装置へID検索装置を介して)再提起することが望ましいことがある。このために、日付フォーマットの変更、ある文字が大文字で書かれること、又はその他といった、同じ個人識別情報の表現の間の不一致は、異なる匿名にされたユーザIDが発せられることを生じさせないことが望ましい。従って、ID検索装置は、大文字で書かれるよう全てのテキストを設定すること、句読点を取ること、及び日付フォーマットを均一化することといった、フォーマット処理を実行することがあってよい。
・新しい匿名にされたユーザID(すなわち、前の出来事において生成された匿名にされたユーザIDとは異なる。)の要求とともに、前の出来事においてID検索装置に提起された同じ個人識別情報を個人が再提起する選択肢があってよい。この要求は、ID検索装置によって提供されるインターフェイスを介してよい。ID生成装置がステートレス・メソッドを作動させることに起因して、要求されている個人識別情報の組ごとに提起が1番目、2番目、3番目、又は他の新しい匿名にされたユーザIDのいずれであるかを特定するように、数値インジケータがID生成装置への全ての提起へ付加されることがあってよい。それによって、2番目の組は、1番目とは異なるようにされ得るが、どちらも再要求され得る。毎日の活動の異なる側面ごとに別個のペルソナをユーザが有して、ユーザに自身の個人情報に対する更なる制御を与えることも望ましい。
・個人は、ID検索装置とともに、パスワードにより保護されたユーザアカウントを有してよい。例えば、かかるユーザアカウントは、個人が、いくつの匿名にされたユーザIDを自身が過去に要求したことがあるのか、更には、場合により、その要求の日付/時間を知ることができるようにしてよい。
・ID生成装置によって提供されるサービス/機能のPKI証明書が実装されてよい。
他の態様の実施形態は、個人の行動を表すデータの記憶及びアクセス制御のための方法を含む。当該方法は、ID検索装置で、個人の身元を示す識別情報を受け取り、該受け取られた識別情報に対応するリクエストをID生成装置へ提起し、匿名にされたユーザIDを見返りとして受け取り、該匿名にされたユーザIDを前記個人へ出力する工程と、データストア及びアクセスコントローラを有するデータエンジンで、前記データストアは、前記ID検索装置にはアクセス不可能であり、個人化された行動データを受けて記憶し、該記憶されている個人化された行動データへのアクセスは、前記アクセスコントローラによって制御され、前記個人化された行動データは、前記個人の行動を表す行動データであって、前記匿名にされたユーザIDにより匿名で個人化されている工程と、前記アクセスコントローラで、サービスプロバイダからのデータアクセスリクエストが、前記個人化された行動データにアクセスするために、該個人化された行動データが個人化されている前記匿名にされたユーザIDを特定することを要求することによって、前記記憶されている個人化された行動データへのアクセスを制御する工程とを有する。
他の態様の実施形態は、コンピュータプログラムの組を含む。当該コンピュータプログラムは、複数の別個のコンピュータ装置によって実行される場合に、該複数の別個のコンピュータ装置に、本発明を具現する方法を実行させる。
他の態様の実施形態は、コンピュータプログラムの組であって、サーバによって実行される場合に、該サーバを実施形態のID検索装置として機能させるコンピュータプログラムと、サーバによって実行される場合に、該サーバを実施形態のデータエンジンとして機能させるコンピュータプログラムとを有するコンピュータプログラムの組を含む。
コンピュータプログラムの組は、サーバによって実行される場合に、該サーバを実施形態のID生成装置として機能させるコンピュータプログラムを更に有してよい。任意に、コンピュータプログラムの組は、ユーザデバイスによって実行される場合に、該ユーザデバイスを実施形態の行動データソースデバイス及び/又は中間デバイスとして機能させるコンピュータプログラムを有してよい。
更には、本発明の実施形態は、複数の相互接続されたコンピュータデバイスによって実行される場合に、該複数の相互接続されたコンピュータデバイスに、本発明を具現する方法を実行させるコンピュータプログラム又はコンピュータプログラムの組を含む。
本発明の実施形態は、複数の相互接続されたコンピュータデバイスによって実行される場合に、該複数の相互接続されたコンピュータデバイスを、先に又は本明細書における別なところで発明実施形態として定義されたコンピュータ装置として、機能させるコンピュータプログラム又はコンピュータプログラムの組を更に含む。
先に又は本明細書における別なところで発明実施形態として定義されたコンピュータ装置は、サーバ若しくはストレージユニット又は他のコンピュータであってよく、記載される機能は、コンピュータプログラムとして記憶されている命令の組をメモリにロードして、それらをプロセッサにより実行することによって、実施されてよい。コンピュータ装置は、メモリ、ストレージ、プロセッサ、ネットワークインターフェイス、及びI/Oデバイスのうちの1つ以上を含んでよい。
たとえ態様(ソフトウェア/方法/装置/システム)が別々に議論されるとしても、1つの態様に関して議論されるその特徴及び結果は、他の態様に同じく適用可能であることが理解されるべきである。従って、方法の特徴が議論される場合に、当然ながら、装置の実施形態は、その機能を実行するか又は適切な機能性を提供するよう構成されるユニット又は装置を含み、且つ、プログラムは、それらが実行されているコンピュータ装置に当該方法の特徴を実現させるよう構成される。
上記の態様のいずれにおいても、様々な特徴は、ハードウェアにおいて、又は1つ以上のプロセッサで実行されるソフトウェアモジュールとして、実装されてよい。1つの態様の特徴は、他の態様のいずれにも適用されてよい。
本発明は、ここで記載される方法のいずれかを実行するためのコンピュータプログラム又はコンピュータプログラム製品と、ここで記載される方法のいずれかを実行するためのプログラムを記憶しているコンピュータ可読媒体とを更に提供する。本発明を具現するコンピュータプログラムは、コンピュータ可読媒体において記憶されてよく、あるいは、それは、例えば、インターネットのウェブサイトから提供されるダウンロード可能なデータ信号のような信号の形をとってよく、又はそれは如何なる他の形であってもよい。
実施形態の具体例の詳細な説明は、添付の図面を参照して、以下で記載される。
実施形態のシステムを表す。 個人の行動を表すデータの記憶及びアクセス制御のための例となる方法又はプロトコルが如何にして図1のシステムを用いて実施されるのかを表す。 実施形態のシステム及びプロトコル/方法を表す。 実施形態のシステムの部分のハードウェア構成を表す。
図1は、実施形態のシステムを表す。システムは、ID(IDは、本明細書の全体を通じて、身元(identity)の簡単な表記として使用される。)生成装置12と、ID検索装置14と、アクセスコントローラ24及びデータストア22を有するデータエンジン20とを有する。
ID検索装置14は、個人の身元を示す識別情報を受け取り、受け取った識別情報に対応するリクエストをID生成装置12へ提起し、匿名にされたユーザIDを見返りとして受け取り、その匿名にされたユーザIDを個人へ出力するよう構成される。提起されるリクエストは匿名にされてよい。換言すると、提起されたリクエストは、受け取った識別情報のいずれも含まなくてよい。それにより、1つのリクエストは、他のリクエストと、それらが異なる時点に送出される場合以外では区別不可能である。代替案として、一意のシリアル番号がリクエストに帰属してよい。
ID検索装置14は、例えばインターネット上で、バラバラな地理的位置にある個人がアクセス可能であるサーバ又は他のネットワーク化されたコンピュータデバイスである。サーバは、ネットワークI/O機能と、メモリと、ID検索装置の機能を実現するプログラムを実行するよう構成されるプロセッサと、プログラムを(符号化された形で)記憶するよう少なくとも構成されるストレージユニットとを有する。ID検索装置は、特定の識別情報と、任意に、対応する匿名にされたユーザIDとを記憶するよう構成されてよい。それらのデータがID検索装置14によって記憶される場合は、それらは安全な方式で記憶され、例えば、パスワードにより保護されている。それにより、個人は、個人識別情報の提起時にパスワードを用意し、次いで、そのパスワードは、記憶されている個人識別情報又は対応する匿名にされたユーザIDにアクセスするために、提示されなければならない。
ID生成装置12は、ID検索装置14から個人識別情報を受け取り、受け取った個人識別情報に対して不可逆プロセスを実行することによってその受け取った個人識別情報に対応する匿名にされたユーザIDを生成し、匿名にされたユーザIDを個人へID検索装置14を介して出力するよう構成される。
ID生成装置12は、例えばインターネット上で又はセキュアネットワーク上で、ID検索装置14のみがアクセス可能であるサーバ又は他のネットワーク化されたコンピュータデバイスである。ID生成装置12は、1つよりも多いID検索装置14がアクセス可能であってよい。それにより、1つよりも多い異なったエンティティがID検索装置の役割を満足することができる。ID生成装置12の役割を果たすサーバは、ネットワークI/O機能と、メモリと、ID生成装置の機能を実現するプログラムを実行するよう構成されるプロセッサと、プログラムを(符号化された形で)記憶するよう少なくとも構成されるストレージユニットとを有する。プログラムは、簡易メッセージ(受け取られた個人識別情報)を、暗号ハッシュ関数を用いて、よりずっと大きいメッセージ空間(匿名にされたユーザIDを表す。)にマッピングするアルゴリズムであってよい。代替的に、ID検索装置14からのリクエストは、識別情報を含まなくてよく、簡易メッセージは、システムクロック又は外部の計時装置から読み出された時間/日付情報のような情報から成ってよい。よって、個人識別情報の2つの異なる組は、同じ匿名にされたユーザIDを生じさせず、故に、衝突は回避される。いくつかの実施形態では、無作為化された要素が組み込まれてよく、それにより、特定の匿名にされたユーザIDへのリクエストのマッピングは、少なくとも部分的に無作為化され、それ故に容易には再現され得ない。ID生成装置12は、如何なる個人識別情報も(実際には、いくつかの実施形態では、それはいずれも受信しない。)、又は出力される匿名にされたユーザIDの如何なる記録も記憶しない。ID生成装置は、その機能をステートレス・メソッドとして実行するよう構成される。
データエンジン20は、データストア22及びアクセスコントローラ24を有する。データストア22は、ID検索装置14にはアクセス不可能であり、個人化された行動データを受け取り、その個人化された行動データを、アクセスがアクセスコントローラ24によって制御される制御されたアクセス環境において記憶するよう構成される。個人化された行動データは、個人の行動を表す行動データであって、匿名にされたユーザIDにより匿名で個人化されている。データエンジン20は、単一のサーバによって、又はサーバのネットワークによって、実現されてよい。特に、アクセスコントローラ24は単一のサーバであってよく、このとき、データストア22は複数の相互接続されたストレージユニットである。代替的に、アクセスコントローラ24は、互いに協働して動作する複数のデータストレージサーバによって実行されるサービスであってよく、よって、複数のデータストレージサーバは、データストア22及びアクセスコントローラ24の両方の機能を実行するデータエンジン20である。データストア22を形成する1つ以上のストレージユニットは、制御されたアクセス環境であり、これは、その中に記憶されているデータにアクセスしたいと望む関係者が、例えば、パスワード、認証コード、又は他の技術を用いて、自身を認証しなければならないことを意味する。そのようにして、データエンジン20は、データストア22において記憶されている個人化された行動データにどの関係者がアクセスすることができるのかを制御することができ、特に、認証されたサービスプロバイダにのみアクセスを制限することができる。更には、アクセスコントローラ24は、認証を通った認証されたサービスプロバイダでさえ、特定の個人化された行動データが個人化されている匿名にされたユーザIDが、サービスプロバイダによって知られており且つデータアクセスリクエストにおいて提示される場合にしか、その特定の個人化された行動データにアクセスすることができないように、アクセスを制限するよう構成される。従って、夫々のサービスプロバイダは、サービスプロバイダに登録している個人の個人化された行動データにしかアクセスすることができない。更には、アクセスコントローラは、所定の行動データカテゴリ集合の中の1つ以上のカテゴリに属するものとして個人化された行動データを記憶し、肯定的(すなわち、サービスプロバイダは、彼らが肯定的にアクセスすることを認められているカテゴリに属する行動データにのみアクセスすることができる。)及び/又は否定的(すなわち、サービスプロバイダは、特定のカテゴリに属する行動データにアクセス不可能にされ得る。)アクセスポリシーを用いてアクセスを制限することによって、個人化された行動データへのアクセスを更に制限するよう構成されてよい。
システムのエンティティ及び/又はシステム外部のエンティティ間のインターネット又は他のネットワーク上でのデータ交換は、暗号化されてよい。
データストア22によって記憶されているデータは、ID検索装置14及びID生成装置12にはアクセス不可能である。データストア22によって記憶されているデータへのアクセスは、識別可能なサービスプロバイダに制限されてよく、認証スキームは、アクセスリクエストの出所を確認するために実施されてよい。
個人化された行動データは、個人のリクエストがあったときに、アクセスコントローラ24を介して、又は何らかの他のインターフェイスを介して、更には、場合により、データエンジン20へ接続可能な行動データソースデバイス及び/又は中間デバイスを介して(例えば、インターネットを介して)、データストア22へ書き込まれてよい。
アクセスコントローラ24は、サービスプロバイダからのデータアクセスリクエストが、個人化された行動データにアクセスするために、その個人化された行動データが個人化されている匿名にされたユーザIDを特定することを要求することによって、個人化された行動データへのアクセスを制御するよう構成される。
図2は、個人の行動を表すデータの記憶及びアクセス制御のための例となる方法又はプロトコルが如何にして図1のシステムを用いて実行されるのかを表す。個人40及びサービスプロバイダ30を含む更なるエンティティが、図2の特定の例には含まれている。サービスプロバイダは、実施に応じて、システムの内部又は外部にあると見なされてよい。
個人40は、個人識別情報によって特定の人又は合法的な組織として識別可能な人物である。個人40はシステムユーザであり、本明細書との関連で、語「個人」は、語「システムユーザ」と置き換え可能である。
サービスプロバイダ30は、サーバのようなサービス提供装置を有し、それにより、特定のペルソナの個人化された行動データを処理し、その処理の結果を用いて、ペルソナ(匿名にされたユーザIDによって表現されるペルソナ)が属する個人へサービスを提供する関係者である。従って、図2におけるサービスプロバイダ30は、暗号化され得る接続にわたってネットワーク(例えば、インターネット)を介してデータエンジン20へ接続可能なサーバによって表される。PKSシステム又は代替案は、サービスプロバイダ30の身元を認証するよう、データエンジン20に代わって作動してよい。
ステップS101で、個人40は、個人識別情報をID検索装置14へ提示する。個人識別情報は、個人40の身元を示す情報である。ID検索装置14は、提示された個人識別情報を受け取り、ステップS102で、識別情報(場合により、テキストの大文字化、日付フォーマットの正規化のような何らかの処理の後の情報)、又は識別情報の受信によってトリガされるが如何なる識別情報も含まない匿名にされたリクエストのいずれかであるリクエストをID生成装置12へ提起する。ID生成装置12は、個人識別情報に対応するリクエストをID検索装置14から受け取り、一意であって、個人識別情報を識別するよう可逆的に処理され得ない匿名にされたユーザIDを生成するアルゴリズムを実行する。ステップS103で、ID生成装置12は、受け取った個人識別情報の如何なる記録も記憶することなしに、生成したユーザIDを個人40へID検索装置14を介して出力する。ステップS104で、ID検索装置14は、匿名にされたユーザIDをID生成装置12から受け取り、それを個人40へ転送する。
ステップS101及びS104に関与することにおいて、個人40は、安全な接続(例えば、暗号化されたインターネット接続)にわたってID検索装置14へ接続可能である1つ以上のユーザデバイスを使用してよい。
ステップS105は、データエンジン20による個人40の行動に関する個人化された行動データの受信、具体的には、データストア22におけるそれらのデータの記憶を表す。現実には、個人40はデータストア22と直接には通信せず、実際上は行動データソースインフラストラクチャを利用して、行動データを生成し、その生成されたデータを(場合により、中間デバイスを用いて)匿名で個人化し、それらをデータストア22での記憶のためにデータエンジン20へ提示するので、ステップS105の線は破線である。
行動データは、個人40の1つ以上の物理的性質の測定、及び/又は個人40と行動データソースインフラストラクチャとの相互作用に関係がある。行動データは、個人40のために生成された匿名にされたユーザIDとのリンク、ラベル付け、又は何らかの他の形式の関連付けによって、匿名で個人化される。
アクセスコントローラ24は、データストア22において記憶されている個人化された行動データへのアクセスを制御する。ステップS106で、サービスプロバイダ30からのデータアクセスリクエストは、アクセスコントローラ24で受け取られる(データストア22は、アクセスコントローラ24を介する以外には、リードアクセスのために直接にはアクセス不可能である。)。アクセスコントローラ24は、サービスプロバイダ30から受け取ったデータアクセスリクエストが、個人化された行動データにアクセスするために、個人化された行動データが個人化されている匿名にされたユーザIDを特定することを求めることによって、記憶されている個人化された行動データへのアクセスを制御するよう構成される。換言すると、サービスプロバイダ30が、個人40のために生成された匿名にされたユーザIDを用いて個人化されている行動データにアクセスしたいと望むならば、サービスプロバイダ30は、ステップS106でのアクセスリクエストにおいて、匿名にされたユーザIDを特定しなければならない。ステップS107で、アクセスコントローラ24は、次いで、サービスプロバイダ30によって要求されているデータを用いて応答することができる。アクセスコントローラ24は、サービスプロバイダ30が匿名にされたユーザIDを知っていることに基づいて、個人40がサービスプロバイダ30に登録していると推測することができる。
図3は、実施形態のシステム及び方法/プロトコルの更なる例である。図3の例は、オープン“Coelition”標準(http://coelition.org/を参照)との関連で与えられているが、既存のCoelition標準化されたプロトコル及びアーキテクチャとは異なる。
IDA212は、ID発行オーソリティ、例えば、Coelitionに従うIDAである。IDA212は、本明細書において他の場所で記載されているID生成装置の例である。
ペルソナ装置214は、本明細書において他の場所で記載されているID検索装置の例である。
データエンジン220は、他の実施形態のデータエンジン20の更なる例である。同様に、サービスプロバイダ230は、他の実施形態のサービスプロバイダ又はサービス提供装置の更なる例である。
デバイス242は、本明細書において他の場所で記載されるセンサ装置の例であり、行動データソースデバイスの例でもある。アトムソース244は、行動データソースデバイスの例であり、必要に応じて、デバイス242とデータエンジン220との間の中間デバイスとしても機能してよい。
CoelitionID(CID)は、本明細書において他の場所で記載される匿名にされたユーザIDの例である。クエリは、本明細書において他の場所で記載されるデータアクセスリクエストの例である。アトムは、本明細書において他の場所で記載される行動データの例であり、例えばステップ208にあるように、CIDとアトムとの組み合わせは、個人化された行動データの例である。
Coelition運用要件は、ユーザがCoelitionIDAとの関連付けを形成することを禁止しており、従って、第三者が必要とされる。このペルソナ装置214は、第三者の役割を満足する。
図3の装置によって実行される動作の例となるシーケンスは、次のとおりである。
ステップS201で、任意に、何らかの追加情報により強化されており、任意に、クラスタマスクによってマスクをかけられている個人識別情報は、個人、又はシステムユーザ240によって、ペルソナ装置214へ提示される。S202で、個人識別情報の受信によってトリガされる匿名にされたリクエスト、又は個人識別情報の一部若しくは全てを含むリクエストは、ペルソナ装置214によってIDA212に提起される。ペルソナ装置214は、大文字化、句読点の除去、及び日付フォーマットの正規化のような何らかの処理を、受け取った個人識別情報に対して実行してよい。個人識別情報は、潜在的なユーザの集団の中から個人を一意に特定するのに十分であるべきである。名前及び生年月日のような基本的な個人識別情報は、ふた組の提示された個人識別情報が同じである確率を低減するよう、母親の生年月日のような追加の個人識別情報により強化されてよい。IDA212によって用いられる暗号ハッシュ関数は、2つの異なる組の入力された個人識別情報が、同じ出力される匿名にされたユーザIDにマッピングしないようにする。ステップS203で、IDA212は、匿名にされているか又は何らかの個人識別情報を含む受け取ったリクエストを、その受け取った個人識別情報に対応するCoelitionIDと交換するステートレス・メソッドを実行し、CoelitionIDをペルソナ装置214へ出力する。ID生成装置がステートレスである(すなわち、ステートレス・メソッドを実行する)ことの代替案として、ID生成装置は、ステートフルにされ、よって、同じ匿名にされたユーザIDを二度と発行しないように、出力される匿名にされたユーザIDのリストを記録するよう構成されてよい。クラスタマスクは、任意に、ステップS202で用いられる。
S204で、ペルソナ装置214は、生成されたCIDをユーザ240へ返す。このCIDは、ユーザがアトム(例えば、エクササイズ・アトム)をデータエンジン220において記憶するために使用する匿名のペルソナを表す。
ステップS205で、匿名のサービスを個人240に提供したいと望むサービスプロバイダ230は、匿名のユーザとして個人240を登録するメカニズムを提供する。インターフェイスがサービスプロバイダによって提供され、これによって、登録は、ユーザを識別する情報としてCIDを用意することしか要しない。換言すると、ユーザは、匿名にされたユーザIDがユーザに個人化されるのでサービスのユーザとして識別され得るが、ユーザの身元は登録によって明らかにされない。よって、サービスプロバイダ230は、ユーザがサービスに登録されていることと、ユーザがペルソナ装置214を利用して、匿名にされたユーザIDを受け取ったこととを知っているが、物理的な個人又は合法的な組織としてユーザを識別することはできない。
ステップS206で、ソフトウェアは、ユーザによってアトムソースデバイス244にダウンロードされる。ソフトウェアはCIDを用いて個人化され、それにより、ソフトウェアがアトムソースデバイス244によって実行される場合に、ステップ207での如何なる受け取られた又は生成された行動データも、CIDを用いて個人化されてデータエンジン220に提示され得る。特定のサービスプロバイダ230からのソフトウェアを実行するアトムソースデバイス244によってデータエンジン220に提示される個人化された行動データは、その特定のサービスプロバイダ230のみがアクセス可能であるようにデータエンジン220によって記憶されてよい。
ステップS209で、サービスプロバイダ230は、サービスプロバイダ230のソフトウェアを実行する場合にアトムソースデバイス244によって生成されるユーザ240に関する行動データについて、プライバシー保護の制限をかけられたクエリを行う。CIDは、クエリに含まれ、データエンジン220によって、要求されているデータを識別し且つサービスプロバイダ230によるアクセスを認証するためにキーとして使用される。サービスプロバイダ230のある認証は、データエンジン220によって実行されてよい。
ステップS211で、サービス(例えば、カロリーカウント)は、オペークのCIDにのみ基づき、ユーザに匿名で提供される。
S202、S203、S201、S209、S207及びS208の中のいずれかの個々のステップ又はステップの組み合わせは、PKIを介して保護されてよい。代替的に、又は付加的に、S201、S209、S207及びS208の中のいずれかの個々のステップ又はステップの組み合わせは、パスワードを介して保護されてよい。
図3の装置及び方法/プロトコルの使用ケースの例が、これより与えられる。これは、個々の患者の身体活動のレベルをモニタし、それを報告するNHSのようなヘルスサービスの代表としての医師のために、サービスプロバイダによって、患者が何者であるかをサービスプロバイダが知らずに、歩数計数サービスが提供される医療使用ケースである(ヘルスサービスのみ個人識別情報を保持する。)。この例において、ヘルスサービスは、ペルソナ装置214を作動させる権限を与えられている。
ステップS201〜S203:患者(個人)は、彼らの医師(ペルソナ装置214を作動させる権限を与えられているヘルスサービスの代表)を通じてCoelitionIDを登録する。
ステップS204:医師は、そのようにして得られたCIDを患者に提供する。
ステップS205:患者は、このCIDを用いて、歩数計数サービスプロバイダ230に匿名で登録する。
ステップS206〜S210:デバイスを腕に装着した患者は、携帯電話機244を介して、アプリケーションが患者の毎日の人間活動(この場合には、主として歩数計数)について報告し、それらのアトムをデータエンジン220に記憶する。歩数計数サービスプロバイダ230は、次いで、データエンジン220によって収集されたデータに対してクエリを行い、患者の活動レベルについての報告を(全ての歩数サービスがCIDを有するので、匿名で)生成する。
ステップS211:報告は、患者のCIDを用いて医師又は患者自身のいずれかによって読み出され得る。
図4は、実施形態のシステムの1つ以上の要素を実装するために使用され得る、例えばデータストレージサーバのようなコンピュータデバイスのブロック図である。例えば、ID生成装置、ID検索装置、又はデータエンジンは、図4において表されているような1つ以上のコンピュータデバイスによって夫々実施されてよい。データエンジンは、ネットワーク相互接続を介して協働する複数のそのようなコンピュータデバイスによって実現されてよい。コンピュータデバイスは、コンピュータプロセッシングユニット(CPU)933と、ランダムアクセスメモリ(RAM)のようなメモリ995と、ハードディスクのようなストレージ996とを有する。任意に、コンピュータデバイスは、実施形態の他のそのようなコンピュータデバイスとの通信のためのネットワークインターフェイス999を更に有する。例えば、実施形態は、そのようなコンピュータデバイスのネットワークから成ってよい。任意に、コンピュータデバイスは、リードオンリーメモリ(ROM)994と、キーボード及びマウスのような1つ以上の入力メカニズム998と、1つ以上のモニタのようなディスプレイユニット997とを更に有してよい。コンポーネントは、バス992を介して互いに接続可能である。
ID検索装置及びID生成装置は、データエンジンにアクセスすることができず、従って、データエンジンは、ID検索装置又はID生成装置のいずれかと同じコンピュータデバイスの部分として設けられない。
CPU993は、コンピュータデバイスを制御し、プロセッシング動作を実行するよう構成される。RAM995は、CPU993によって読み出され且つ書き込まれるデータを記憶する。ストレージユニット996は、例えば、不揮発性ストレージユニットであってよく、データを記憶するよう構成される。
ディスプレイユニット997は、コンピュータデバイスによって記憶されるデータの表現を表示し、ユーザとプログラムとの間の相互作用を可能にするカーソル並びにダイアログボックス及び画面と、コンピュータデバイスに記憶されているデータとを表示する。入力メカニズム998は、ユーザがコンピュータデバイスへデータ及び命令を入力できるようにする。
ネットワークインターフェイス(ネットワークI/F)999は、インターネットのようなネットワークへ接続され、ネットワークを介して他のそのようなコンピュータデバイスへ接続可能である。ネットワークI/F999は、ネットワークを介した他の装置とのデータ入出力を制御する。
マイクロホン、スピーカ、プリンタ、電源ユニット、ファン、ケース、スキャナ、トラックボールなどのような他の周辺デバイスは、コンピュータデバイスに含まれてよい。
ID生成装置、ID検索装置、及びデータエンジンのうちの1つ以上は、図4に表されているようなコンピュータデバイスによって実現される機能性として具現されてよい。本発明を具現する方法は、図4に表されているようなコンピュータデバイスにおいて実行されるか、又はそれによって実施されてよい。複数のそのようなコンピュータデバイスは、実施形態のソフトウェアを実行するために使用されてよい。実施形態を具現するか、又はそれを実施するために使用されるコンピュータデバイスは、図4に表されているあらゆるコンポーネントを有する必要はなく、それらのコンポーネントの一部から成ってよい。本発明を具現する方法は、ネットワークを介して1つ以上のデータストレージサーバと通信する単一のコンピュータデバイスによって実行されてよい。
ID生成装置は、ストレージユニット996において記憶されているプロセッシング命令と、該プロセッシング命令を実行するプロセッサ993と、前記プロセッシング命令の実行の間に情報オブジェクトを記憶するRAM995とを有してよい。
ID検索装置は、ストレージユニット996において記憶されているプロセッシング命令と、該プロセッシング命令を実行するプロセッサ993と、前記プロセッシング命令の実行の間に情報オブジェクトを記憶するRAM995とを有してよい。
データエンジンは、ストレージユニット996において記憶されているプロセッシング命令と、該プロセッシング命令を実行するプロセッサ993と、プロセッシング命令の実行の間に情報オブジェクトを記憶するRAM995とを有してよい。
上記の実施形態に加えて、以下の付記を開示する。
(付記1)
個人の行動を表すデータの記憶及びアクセス制御のためのシステムであって、
個人の身元を示す識別情報を受け取り、該受け取られた識別情報に対応するリクエストをID生成装置へ提起し、匿名にされたユーザIDを見返りとして受け取り、該匿名にされたユーザIDを前記個人へ出力するよう構成されるID検索装置と、
データストア及びアクセスコントローラを有し、前記データストアは、前記ID検索装置にはアクセス不可能であり、個人化された行動データを受けて記憶するよう構成され、該記憶されている個人化された行動データへのアクセスは、前記アクセスコントローラによって制御され、前記個人化された行動データは、前記個人の行動を表す行動データであって、前記匿名にされたユーザIDにより匿名で個人化されている、データエンジンと
を有し、
前記アクセスコントローラは、サービスプロバイダからのデータアクセスリクエストが、前記個人化された行動データにアクセスするために、該個人化された行動データが個人化されている前記匿名にされたユーザIDを特定することを要求することによって、前記個人化された行動データへのアクセスを制御するよう構成される、
システム。
(付記2)
前記アクセスコントローラは、前記データストアにアクセスすることを許可されているサービスプロバイダのリストを保持し、受け取られたデータアクセスリクエストが前記サービスプロバイダのリストの中の1つからであるか否かを判定し、そうでない場合は当該データアクセスリクエストをブロックするよう構成される、
付記1に記載のシステム。
(付記3)
前記データストアにアクセスすることを許可されている前記サービスプロバイダのうちの1つに代わって動作可能であって、匿名で個人化された登録リクエストを前記個人から受け取り、該匿名で個人化された登録リクエストは前記匿名にされたユーザIDによってのみ個人化されており、前記匿名にされたユーザIDを特定するとともに該特定された匿名にされたユーザIDにより個人化されている前記行動データの範囲を特定する前記データエンジンへのデータアクセスリクエストを提起し、前記特定された範囲内からの行動データを前記データエンジンから受け取り、該受け取られた行動データに対するデータ処理を実行し、前記個人に代わってデータ処理結果を出力するよう構成されるサービス提供装置を更に有する
付記2に記載のシステム。
(付記4)
前記行動データは、前記個人の行動を表す行動データを生成するように前記個人と相互作用するよう構成される行動データソースデバイスからである、
付記1に記載のシステム。
(付記5)
前記行動データソースデバイスは、センサ装置であり、該センサ装置は、前記個人の物理的性質の一連の測定を行動データとして記録するよう、且つ、前記行動データを前記センサ装置で前記個人の前記匿名にされたユーザIDにより匿名で個人化することによって、又は前記行動データが受け取られ、前記個人の前記匿名にされたユーザIDにより匿名で個人化され、個人化された行動データとして前記データエンジンへ転送される中間デバイスを介して、前記記録された一連の測定を個人化された行動データとして前記データエンジンへ提示するよう構成される、
付記4に記載のシステム。
(付記6)
前記行動データソースデバイスは、前記個人と相互作用し、該個人との相互作用を表す情報を記録するよう、且つ、前記行動データを前記行動データソースデバイスで前記個人の前記匿名にされたユーザIDにより匿名で個人化することによって、又は前記行動データが受け取られ、前記個人の前記匿名にされたユーザIDにより匿名で個人化され、個人化された行動データとして前記データエンジンへ転送される中間デバイスを介して、前記記録された情報を個人化された行動データとしてデータエンジンへ提示するよう構成される、
付記4に記載のシステム。
(付記7)
前記行動データソースデバイスは、実行される場合に前記行動データソースデバイスに個人データを生成させ且つ該生成されたデータを前記データエンジンへ提示させるソフトウェアを受けてインストールするよう構成される、
付記6に記載のシステム。
(付記8)
前記データストアは、前記受け取られた個人化された行動データを、所定のカテゴリ集合の中の1つ以上のカテゴリのカテゴリ化と関連付けて記憶するよう構成され、
前記アクセスコントローラは、サービスプロバイダからデータアクセスリクエストを受け取ると、前記サービスプロバイダを識別し、該識別されたサービスプロバイダが前記所定のカテゴリ集合の中のどの1つ以上のカテゴリにアクセスすることを許可されているのかを決定し、前記サービスプロバイダがアクセスすることを許可されている前記1つ以上のカテゴリのうちの1つにおいてカテゴリ化されていない個人化された行動データに当該データアクセスリクエストがアクセスしないようにすることによって、前記個人化された行動データへのアクセスを制御するよう構成される、
付記1に記載のシステム。
(付記9)
前記ID生成装置を更に有し、該ID生成装置は、前記リクエストを受信することに応答して不可逆プロセスを実行することによって前記匿名にされたユーザIDを生成し、該匿名にされたユーザIDを前記個人へ前記ID検索装置を介して出力するよう構成される、
付記1に記載のシステム。
(付記10)
前記ID生成装置は、前記匿名にされたユーザIDを生成し出力するステップをステートレス・メソッドとして実行するよう構成される、
付記9に記載のシステム。
(付記11)
前記ID検索装置は、前記ID生成装置へのリクエストを、前記匿名にされたユーザIDに加えて、1つ以上の更なる匿名にされたユーザIDのためのリクエストと関連付けて提起し、前記1つ以上の更なる匿名にされたユーザIDを受け取り、該1つ以上の更なる匿名にされたユーザIDを前記個人へ出力するよう構成され、
前記行動データソースデバイスは、又は利用される場合に中間デバイスは、前記匿名にされたユーザID及び前記1つ以上の更なる匿名にされたユーザIDの中からの1つの匿名にされたユーザIDの選択を前記個人から受け付け、該選択された匿名にされたユーザIDにより行動データを匿名で個人化するよう構成される、
付記4又は5に記載のシステム。
(付記12)
前記ID検索装置及び/又は前記ID生成装置は、パブリック・キー・インフラストラクチャを介して認証される、
付記1に記載のシステム。
(付記13)
個人の行動を表すデータの記憶及びアクセス制御のための方法であって、
ID検索装置で、個人の身元を示す識別情報を受け取り、該受け取られた識別情報に対応するリクエストをID生成装置へ提起し、匿名にされたユーザIDを見返りとして受け取り、該匿名にされたユーザIDを前記個人へ出力し、
データストア及びアクセスコントローラを有するデータエンジンで、前記データストアは、前記ID検索装置にはアクセス不可能であり、個人化された行動データを受けて記憶し、該記憶されている個人化された行動データへのアクセスは、前記アクセスコントローラによって制御され、前記個人化された行動データは、前記個人の行動を表す行動データであって、前記匿名にされたユーザIDにより匿名で個人化されており
前記アクセスコントローラで、サービスプロバイダからのデータアクセスリクエストが、前記個人化された行動データにアクセスするために、該個人化された行動データが個人化されている前記匿名にされたユーザIDを特定することを要求することによって、前記記憶されている個人化された行動データへのアクセスを制御する
ことを有する方法。
(付記14)
第1のサーバによって実行される場合に、該第1のサーバに、
個人の身元を示す識別情報を受け取り、該受け取られた識別情報に対応するリクエストをID生成装置へ提起し、匿名にされたユーザIDを見返りとして受け取り、該匿名にされたユーザIDを前記個人へ出力する工程
を実行させるコンピュータプログラムを記憶した第1の非一時的な記憶媒体エリアと、
前記第1のサーバにはアクセス不可能であるデータ記憶ユニットを有する第2のサーバによって実行される場合に、該第2のサーバに、
個人化された行動データを受けて記憶する工程であって、該記憶されている個人化された行動データへのアクセスは、前記第2のサーバによって制御され、前記個人化された行動データは、前記個人の行動を表す行動データであって、前記匿名にされたユーザIDにより匿名で個人化されている、工程と、
サービスプロバイダからのデータアクセスリクエストが、前記個人化された行動データにアクセスするために、該個人化された行動データが個人化されている前記匿名にされたユーザIDを特定することを要求することによって、前記記憶されている個人化された行動データへのアクセスを制御する工程と
を実行させるコンピュータプログラムを記憶した第2の非一時的な記憶媒体エリアと
を有する非一時的な記憶媒体。
(付記15)
第3のサーバによって実行される場合に、該第3のサーバに、
前記第1のサーバから前記リクエストを受け取り、該リクエストを受け取ることに応答して不可逆プロセスを実行することによって前記匿名にされたユーザIDを生成し、該匿名にされたユーザIDを前記個人へ前記第1のサーバを介して出力する工程
を実行させるコンピュータプログラムを記憶した第3の非一時的な記憶媒体エリアを更に有する
付記14に記載の非一時的な記憶媒体。
12 ID生成装置
14 ID検索装置
20,220 データエンジン
22 データストア
24 アクセスコントローラ
30,230 サービスプロバイダ
40 個人
212 IDA(ID生成装置)
214 ペルソナ装置(ID検索装置)
242 デバイス(センサ装置;行動データソースデバイス)
244 アトムソース(行動データソースデバイス;中間デバイス)

Claims (15)

  1. 個人の行動を表すデータの記憶及びアクセス制御のためのシステムであって、
    個人の身元を示す識別情報を受け取り、該受け取られた識別情報に対応するリクエストをID生成装置へ提起し、匿名にされたユーザIDを見返りとして受け取り、該匿名にされたユーザIDを前記個人へ出力するよう構成されるID検索装置と、
    データストア及びアクセスコントローラを有し、前記データストアは、前記ID検索装置にはアクセス不可能であり、個人化された行動データを受けて記憶するよう構成され、該記憶されている個人化された行動データへのアクセスは、前記アクセスコントローラによって制御され、前記個人化された行動データは、前記個人の行動を表す行動データであって、前記匿名にされたユーザIDにより匿名で個人化されている、データエンジンと
    を有し、
    前記アクセスコントローラは、サービスプロバイダからのデータアクセスリクエストが、前記個人化された行動データにアクセスするために、該個人化された行動データが個人化されている前記匿名にされたユーザIDを特定することを要求することによって、前記個人化された行動データへのアクセスを制御するよう構成される、
    システム。
  2. 前記アクセスコントローラは、前記データストアにアクセスすることを許可されているサービスプロバイダのリストを保持し、受け取られたデータアクセスリクエストが前記サービスプロバイダのリストの中の1つからであるか否かを判定し、そうでない場合は当該データアクセスリクエストをブロックするよう構成される、
    請求項1に記載のシステム。
  3. 前記データストアにアクセスすることを許可されている前記サービスプロバイダのうちの1つに代わって動作可能であって、匿名で個人化された登録リクエストを前記個人から受け取り、該匿名で個人化された登録リクエストは前記匿名にされたユーザIDによってのみ個人化されており、前記匿名にされたユーザIDを特定するとともに該特定された匿名にされたユーザIDにより個人化されている前記行動データの範囲を特定する前記データエンジンへのデータアクセスリクエストを提起し、前記特定された範囲内からの行動データを前記データエンジンから受け取り、該受け取られた行動データに対するデータ処理を実行し、前記個人に代わってデータ処理結果を出力するよう構成されるサービス提供装置を更に有する
    請求項2に記載のシステム。
  4. 前記行動データは、前記個人の行動を表す行動データを生成するように前記個人と相互作用するよう構成される行動データソースデバイスからである、
    請求項1に記載のシステム。
  5. 前記行動データソースデバイスは、センサ装置であり、該センサ装置は、前記個人の物理的性質の一連の測定を行動データとして記録するよう、且つ、前記行動データを前記センサ装置で前記個人の前記匿名にされたユーザIDにより匿名で個人化することによって、又は前記行動データが受け取られ、前記個人の前記匿名にされたユーザIDにより匿名で個人化され、個人化された行動データとして前記データエンジンへ転送される中間デバイスを介して、前記記録された一連の測定を個人化された行動データとして前記データエンジンへ提示するよう構成される、
    請求項4に記載のシステム。
  6. 前記行動データソースデバイスは、前記個人と相互作用し、該個人との相互作用を表す情報を記録するよう、且つ、前記行動データを前記行動データソースデバイスで前記個人の前記匿名にされたユーザIDにより匿名で個人化することによって、又は前記行動データが受け取られ、前記個人の前記匿名にされたユーザIDにより匿名で個人化され、個人化された行動データとして前記データエンジンへ転送される中間デバイスを介して、前記記録された情報を個人化された行動データとしてデータエンジンへ提示するよう構成される、
    請求項4に記載のシステム。
  7. 前記行動データソースデバイスは、実行される場合に前記行動データソースデバイスに個人データを生成させ且つ該生成されたデータを前記データエンジンへ提示させるソフトウェアを受けてインストールするよう構成される、
    請求項6に記載のシステム。
  8. 前記データストアは、前記受け取られた個人化された行動データを、所定のカテゴリ集合の中の1つ以上のカテゴリのカテゴリ化と関連付けて記憶するよう構成され、
    前記アクセスコントローラは、サービスプロバイダからデータアクセスリクエストを受け取ると、前記サービスプロバイダを識別し、該識別されたサービスプロバイダが前記所定のカテゴリ集合の中のどの1つ以上のカテゴリにアクセスすることを許可されているのかを決定し、前記サービスプロバイダがアクセスすることを許可されている前記1つ以上のカテゴリのうちの1つにおいてカテゴリ化されていない個人化された行動データに当該データアクセスリクエストがアクセスしないようにすることによって、前記個人化された行動データへのアクセスを制御するよう構成される、
    請求項1に記載のシステム。
  9. 前記ID生成装置を更に有し、該ID生成装置は、前記リクエストを受信することに応答して不可逆プロセスを実行することによって前記匿名にされたユーザIDを生成し、該匿名にされたユーザIDを前記個人へ前記ID検索装置を介して出力するよう構成される、
    請求項1に記載のシステム。
  10. 前記ID生成装置は、前記匿名にされたユーザIDを生成し出力するステップをステートレス・メソッドとして実行するよう構成される、
    請求項9に記載のシステム。
  11. 前記ID検索装置は、前記ID生成装置へのリクエストを、前記匿名にされたユーザIDに加えて、1つ以上の更なる匿名にされたユーザIDのためのリクエストと関連付けて提起し、前記1つ以上の更なる匿名にされたユーザIDを受け取り、該1つ以上の更なる匿名にされたユーザIDを前記個人へ出力するよう構成され、
    前記行動データソースデバイスは、又は利用される場合に中間デバイスは、前記匿名にされたユーザID及び前記1つ以上の更なる匿名にされたユーザIDの中からの1つの匿名にされたユーザIDの選択を前記個人から受け付け、該選択された匿名にされたユーザIDにより行動データを匿名で個人化するよう構成される、
    請求項4又は5に記載のシステム。
  12. 前記ID検索装置及び/又は前記ID生成装置は、パブリック・キー・インフラストラクチャを介して認証される、
    請求項1に記載のシステム。
  13. 個人の行動を表すデータの記憶及びアクセス制御のための方法であって、
    ID検索装置で、個人の身元を示す識別情報を受け取り、該受け取られた識別情報に対応するリクエストをID生成装置へ提起し、匿名にされたユーザIDを見返りとして受け取り、該匿名にされたユーザIDを前記個人へ出力し、
    データストア及びアクセスコントローラを有するデータエンジンで、前記データストアは、前記ID検索装置にはアクセス不可能であり、個人化された行動データを受けて記憶し、該記憶されている個人化された行動データへのアクセスは、前記アクセスコントローラによって制御され、前記個人化された行動データは、前記個人の行動を表す行動データであって、前記匿名にされたユーザIDにより匿名で個人化されており
    前記アクセスコントローラで、サービスプロバイダからのデータアクセスリクエストが、前記個人化された行動データにアクセスするために、該個人化された行動データが個人化されている前記匿名にされたユーザIDを特定することを要求することによって、前記記憶されている個人化された行動データへのアクセスを制御する
    ことを有する方法。
  14. 第1のサーバによって実行される場合に、該第1のサーバに、
    個人の身元を示す識別情報を受け取り、該受け取られた識別情報に対応するリクエストをID生成装置へ提起し、匿名にされたユーザIDを見返りとして受け取り、該匿名にされたユーザIDを前記個人へ出力する工程
    を実行させるコンピュータプログラムを記憶した第1の非一時的な記憶媒体エリアと、
    前記第1のサーバにはアクセス不可能であるデータ記憶ユニットを有する第2のサーバによって実行される場合に、該第2のサーバに、
    個人化された行動データを受けて記憶する工程であって、該記憶されている個人化された行動データへのアクセスは、前記第2のサーバによって制御され、前記個人化された行動データは、前記個人の行動を表す行動データであって、前記匿名にされたユーザIDにより匿名で個人化されている、工程と、
    サービスプロバイダからのデータアクセスリクエストが、前記個人化された行動データにアクセスするために、該個人化された行動データが個人化されている前記匿名にされたユーザIDを特定することを要求することによって、前記記憶されている個人化された行動データへのアクセスを制御する工程と
    を実行させるコンピュータプログラムを記憶した第2の非一時的な記憶媒体エリアと
    を有する非一時的な記憶媒体。
  15. 第3のサーバによって実行される場合に、該第3のサーバに、
    前記第1のサーバから前記リクエストを受け取り、該リクエストを受け取ることに応答して不可逆プロセスを実行することによって前記匿名にされたユーザIDを生成し、該匿名にされたユーザIDを前記個人へ前記第1のサーバを介して出力する工程
    を実行させるコンピュータプログラムを記憶した第3の非一時的な記憶媒体エリアを更に有する
    請求項14に記載の非一時的な記憶媒体。
JP2016010103A 2015-02-05 2016-01-21 個人の行動を表すデータの記憶及びアクセス制御のためのシステム、方法及び非一時的な記憶媒体 Pending JP2016143417A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GB1501934.2 2015-02-05
GB1501934.2A GB2534913B (en) 2015-02-05 2015-02-05 System, method, and program for storing and controlling access to data representing personal behaviour

Publications (1)

Publication Number Publication Date
JP2016143417A true JP2016143417A (ja) 2016-08-08

Family

ID=52746191

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016010103A Pending JP2016143417A (ja) 2015-02-05 2016-01-21 個人の行動を表すデータの記憶及びアクセス制御のためのシステム、方法及び非一時的な記憶媒体

Country Status (3)

Country Link
US (1) US9953188B2 (ja)
JP (1) JP2016143417A (ja)
GB (1) GB2534913B (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2549791B (en) * 2016-04-29 2021-10-20 Fujitsu Ltd System, method, and program for storing and controlling access to anonymous behavioural data
US20180309579A1 (en) * 2017-04-25 2018-10-25 Entit Software Llc Secure representation via a format preserving hash function
US10956606B2 (en) 2018-03-22 2021-03-23 International Business Machines Corporation Masking of sensitive personal information based on anomaly detection

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008204382A (ja) * 2007-02-22 2008-09-04 Fuji Xerox Co Ltd 情報処理システム及び情報処理プログラム
JP2010282401A (ja) * 2009-06-04 2010-12-16 Kddi Corp 位置情報管理システム、位置情報管理方法およびプログラム
US20140195919A1 (en) * 2003-11-03 2014-07-10 James W. Wieder Adaptive Personalized Playback or Presentation using Cumulative Time

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6148067A (en) * 1996-07-02 2000-11-14 At&T Corp. Anonymous voice communication
US7324972B1 (en) * 1997-03-07 2008-01-29 Clickshare Service Corporation Managing transactions on a network: four or more parties
US20040083184A1 (en) * 1999-04-19 2004-04-29 First Data Corporation Anonymous card transactions
US6938022B1 (en) * 1999-06-12 2005-08-30 Tara C. Singhal Method and apparatus for facilitating an anonymous information system and anonymous service transactions
CA2382139A1 (en) * 2000-06-09 2001-12-13 Blackbird Holdings, Inc. Systems and methods for reverse auction of financial instruments
US6983379B1 (en) * 2000-06-30 2006-01-03 Hitwise Pty. Ltd. Method and system for monitoring online behavior at a remote site and creating online behavior profiles
EP1388107A1 (en) * 2001-05-11 2004-02-11 Swisscom Mobile AG Method for transmitting an anonymous request from a consumer to a content or service provider through a telecommunication network
US7472423B2 (en) * 2002-03-27 2008-12-30 Tvworks, Llc Method and apparatus for anonymously tracking TV and internet usage
US7814119B2 (en) * 2004-03-19 2010-10-12 Hitachi, Ltd. Control of data linkability
US20070067297A1 (en) * 2004-04-30 2007-03-22 Kublickis Peter J System and methods for a micropayment-enabled marketplace with permission-based, self-service, precision-targeted delivery of advertising, entertainment and informational content and relationship marketing to anonymous internet users
US20060085454A1 (en) * 2004-10-06 2006-04-20 Blegen John L Systems and methods to relate multiple unit level datasets without retention of unit identifiable information
US20090150238A1 (en) * 2005-10-12 2009-06-11 Adam Marsh System and method for the reversible leasing of anonymous user data in exchange for personalized content including targeted advertisements
US20080022414A1 (en) * 2006-03-31 2008-01-24 Robert Cahn System and method of providing unique personal identifiers for use in the anonymous and secure exchange of data
GB2446199A (en) * 2006-12-01 2008-08-06 David Irvine Secure, decentralised and anonymous peer-to-peer network
KR100989477B1 (ko) * 2007-01-23 2010-10-22 도시바 솔루션 가부시끼가이샤 익명 주문용 프로그램을 기억한 기억 매체 및 장치
US8225386B1 (en) * 2008-03-28 2012-07-17 Oracle America, Inc. Personalizing an anonymous multi-application smart card by an end-user
US20120023247A1 (en) * 2009-04-15 2012-01-26 Takeaki Minamizawa Anonymous communication system, anonymous communication method, communication control apparatus, terminal apparatus and communication control program
US9678636B2 (en) * 2013-01-17 2017-06-13 American Well Corporation Modalities for brokered engagements

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140195919A1 (en) * 2003-11-03 2014-07-10 James W. Wieder Adaptive Personalized Playback or Presentation using Cumulative Time
JP2008204382A (ja) * 2007-02-22 2008-09-04 Fuji Xerox Co Ltd 情報処理システム及び情報処理プログラム
JP2010282401A (ja) * 2009-06-04 2010-12-16 Kddi Corp 位置情報管理システム、位置情報管理方法およびプログラム

Also Published As

Publication number Publication date
GB2534913A (en) 2016-08-10
GB2534913B (en) 2021-08-11
US20160232377A1 (en) 2016-08-11
GB201501934D0 (en) 2015-03-25
US9953188B2 (en) 2018-04-24

Similar Documents

Publication Publication Date Title
Tanwar et al. Blockchain-based electronic healthcare record system for healthcare 4.0 applications
Liang et al. Towards decentralized accountability and self-sovereignty in healthcare systems
US8725536B2 (en) Establishing a patient-provider consent relationship for data sharing
EP4170970A1 (en) Systems and methods for privacy management using a digital ledger
TW510997B (en) Privacy and security method and system for a world-wide-web site
AU2017315345A1 (en) Blockchain-based mechanisms for secure health information resource exchange
US20160034713A1 (en) Decentralized Systems and Methods to Securely Aggregate Unstructured Personal Data on User Controlled Devices
US8024273B2 (en) Establishing patient consent on behalf of a third party
US20130006865A1 (en) Systems, methods, apparatuses, and computer program products for providing network-accessible patient health records
US10164950B2 (en) Controlling access to clinical data analyzed by remote computing resources
Akinyele et al. Self-protecting electronic medical records using attribute-based encryption
US20210375408A1 (en) Blockchain-based distribution of medical data records
Azbeg et al. Access control and privacy-preserving blockchain-based system for diseases management
JP2022530535A (ja) コンピュータシステム及び匿名データを処理するためのコンピュータシステムの操作方法
JP5090425B2 (ja) 情報アクセス制御システム及び方法
Ghayvat et al. Sharif: Solid pod-based secured healthcare information storage and exchange solution in internet of things
JP2016143417A (ja) 個人の行動を表すデータの記憶及びアクセス制御のためのシステム、方法及び非一時的な記憶媒体
Lee et al. Privacy Preservation in Patient Information Exchange Systems Based on Blockchain: System Design Study
CN113722731A (zh) 一种医疗数据共享方法、装置、电子设备及存储介质
Aboelfotoh et al. A mobile-based architecture for integrating personal health record data
Thimmaiah et al. Decentralized electronic medical records
Liu et al. Design of secure access control scheme for personal health record‐based cloud healthcare service
CN116344013A (zh) 一种医疗数据管理方法和系统
Santos-Pereira et al. A mobile based authorization mechanism for patient managed role based access control
Huda et al. Privacy-aware access to patient-controlled personal health records in emergency situations

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180912

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190730

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190903

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191030

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200310

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20200915