JP2016157394A - データ管理システム及びid管理方法 - Google Patents

データ管理システム及びid管理方法 Download PDF

Info

Publication number
JP2016157394A
JP2016157394A JP2015036671A JP2015036671A JP2016157394A JP 2016157394 A JP2016157394 A JP 2016157394A JP 2015036671 A JP2015036671 A JP 2015036671A JP 2015036671 A JP2015036671 A JP 2015036671A JP 2016157394 A JP2016157394 A JP 2016157394A
Authority
JP
Japan
Prior art keywords
data
server
principal
password
database
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015036671A
Other languages
English (en)
Inventor
康弘 笠井
Yasuhiro Kasai
康弘 笠井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2015036671A priority Critical patent/JP2016157394A/ja
Publication of JP2016157394A publication Critical patent/JP2016157394A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】本人ID及び本人パスワードを安全に再設定する。
【解決手段】問い合わせ処理部は、利用者を特定可能な認証情報を利用者端末から受信すると、受信した認証情報を第1サーバに送信し、第1サーバは、受信した認証情報を用いて第1データベースを検索して、データID及びデータパスワードを特定し、特定されたデータID及びデータパスワードを問い合わせ処理部に返信し、問い合わせ処理部は、受信したデータID及びデータパスワードを第2サーバに送信し、第2サーバは、受信したデータID及びデータパスワードを用いて第2データベースを検索して、本人ID及び本人パスワードを特定し、特定された本人IDに関する情報を問い合わせ処理部に返信し、問い合わせ処理部は、受信した本人IDに関する情報を、利用者端末に送信する。
【選択図】図1

Description

本発明は、匿名化した情報を管理するデータ管理システムにおけるIDの管理方法に関する。
近年、安価なサービスや情報を集約化するため、クラウドコンピューティングが急速に普及している。しかし、クラウドコンピューティングにおけるセキュリティやプライバシーに対する配慮はまだ必ずしも十分とはいえない状況である。
このため、個人を特定可能な非匿名情報と匿名化した機微情報(匿名情報)と直接に関連付けることなく管理する方法として特開2013−109577号公報(特許文献1)がある。特許文献1に記載された情報管理システムは、利用者に提供するサービス種別に応じたサービス識別情報を生成し、そのサービス識別情報と利用者識別情報との組を第2の記憶手段に登録する第2の手段と、前記サービス識別情報と当該サービス識別情報に対応した匿名情報の組を前記第2の記憶手段に登録する第3の手段とを備えたサービス事業者サーバと、第2の記憶手段に登録された前記匿名情報に対する取得要求に対し、要求された準匿名情報を読み出して要求元に送信する第4の手段を備えたデータセンタサーバとを有し、前記サービス事業者サーバが、前記利用者から受付けた非匿名情報を当該利用者から受付けた暗号鍵情報により暗号化して前記第2の記憶手段に登録する第5の手段を備える。
一方、データへのアクセスを認証するために、ID及びパスワードを用いた認証が広く採用されている。ID及びパスワードを用いた認証では、パスワードを忘れたユーザにパスワードを再発行する。
高いセキュリティ環境下でパスワードを再発行する技術として特開2008−269381号公報(特許文献2)がある。特許文献2に記載された認証サーバは、ユーザ端末からのパスワード再発行要求に応じて、一時的に用いられる一時パスワードの入力を要求する手段と、一時パスワードの受信に応じて、初期化パスワードを生成する手段とを具える。生成された初期化パスワードは一時パスワードで暗号化され、当該ユーザIDの電子メールアドレスに送信する。電子メールが送信された後、所定の時間期間内にユーザ端末から復号化した初期化パスワードが入力されると、復号化された初期化パスワードを検証し、正当な権限を有する者からのパスワード再発行要求であると認定し、ユーザ情報データベースの当該ユーザのパスワードを、ユーザにより入力された新たなパスワードに書き換える。
特開2013−109577号公報 特開2008−269381号公報
前述した情報管理システムでは、管理事業者は、本人ID及び本人パスワードを対応付けて利用者の機微情報(例えば、健診機関などの健康事業者で行われた健康結果)を匿名化してデータベースに記録する。管理事業者が管理するデータには、レコード毎にデータID及びデータパスワードが関連付けられている。そして、ユーザは、データベースにアクセスし、本人ID及び本人パスワードを入力することによって、データを閲覧することができる。管理事業者サーバは、ユーザの非匿名情報と本人IDとを対応付けずにデータを管理するので、高い匿名性でデータを管理している。
このような情報管理システムにおいて、利用者が本人ID、本人パスワードを忘れた場合、管理事業者は、ユーザと本人IDとを対応付けて管理していないので、本人ID及び本人パスワードを回答できない。
本願において開示される発明の代表的な一例を示せば以下の通りである。すなわち、第1データベースと第2データベースとがデータIDによって関連付けられてデータを格納するデータ管理システムであって、前記第1データベースへ格納されるデータを管理する第1サーバと、前記第2データベースへ格納されるデータを管理する第2サーバと、利用者端末からの認証に関する問い合わせを処理する問い合わせ処理部を有する第3サーバとを備え、前記第2データベースは、格納されるデータを保有する利用者を一意に識別するための本人IDと、格納されるデータを一意に識別するためのデータIDとを関連付けて管理し、前記第1データベースは、利用者を特定できる個人情報を、前記データIDと関連付けて管理し、前記問い合わせ処理部は、利用者を特定可能な認証情報を利用者端末から受信すると、受信した認証情報を前記第1サーバに送信し、前記第1サーバは、受信した前記認証情報を用いて前記第1データベースを検索して、データID及びデータパスワードを特定し、前記特定されたデータID及びデータパスワードを前記問い合わせ処理部に返信し、前記問い合わせ処理部は、受信した前記データID及び前記データパスワードを前記第2サーバに送信し、前記第2サーバは、受信した前記データID及び前記データパスワードを用いて前記第2データベースを検索して、本人ID及び本人パスワードを特定し、前記特定された本人IDに関する情報を前記問い合わせ処理部に返信し、前記問い合わせ処理部は、受信した前記本人IDに関する情報を、前記利用者端末に送信する。
本発明の代表的な実施の形態によれば、匿名情報と非匿名情報とが独立して管理されるシステムにおいて、本人ID及び本人パスワードを安全に再設定することができる。前述した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。
第1実施例のコンピュータシステムの構成を示す図である。 第1実施例のコンピュータシステムの論理的な構成を示す図である。 第1実施例の本人情報管理データベースの構成例を示す図である。 第1実施例の本人ID管理データベースの構成例を示す図である。 第1実施例のデータID/PWメッセージの構成例を示す図である。 第1実施例の本人ID/PWメッセージの構成例を示す図である。 第1実施例の本人ID及び本人パスワードを問い合わせる第1の処理のシーケンス図である。 第1実施例の本人ID及びパスワードを問い合わせる第2の処理のシーケンス図である。 第2実施例のコンピュータシステムの構成を示す図である。 第2実施例の本人ID及び本人パスワードを問い合わせる第1の処理のシーケンス図である。 第2実施例の本人ID及びパスワードを問い合わせる第2の処理のシーケンス図である。
<第1実施例>
図1は、本発明の第1実施例のコンピュータシステムの構成を示す図である。
第1実施例のコンピュータシステムは、サービスの利用者が使用する利用者コンピュータ101、利用者コンピュータ101からの問い合わせを受け付ける問い合わせ処理部107を有する問い合わせサーバ102、健康管理事業を提供する健康事業者が使用する健康事業者サーバ103、健康事業者サーバ103に接続され、健康管理事業に使用するデータ(例えば、利用者の氏名、住所)を格納する本人情報管理データベース104、利用者とデータとの関連する管理事業者サーバ105、及び、管理事業者サーバ105に接続され、利用者とデータとを関連付けるための情報(例えば、本人ID、データID)を格納する本人ID管理データベース106を有する。
健康管理事業者は、例えば、医療行為、健康診断事業、保健指導事業などの健康管理事業を提供する、医療機関、健診機関、保健指導事業者や、利用者の健康状態に基づきサービスを提供する民間のサービス事業者などである。管理事業者は、個人を特定可能な非匿名情報(氏名、住所、電話番号など)と関連付けることなく、機微情報(例えば、健診結果)を匿名化として管理するコンピュータサービス事業者(例えば、クラウド事業者)である。
利用者コンピュータ101、問い合わせサーバ102及び管理事業者サーバ105は、ネットワークを介して接続される。また、問い合わせサーバ102、健康事業者サーバ103及び管理事業者サーバ105は、ネットワークを介して接続される。この二つのネットワークは、一つのネットワークで構成されてもよい。
図2は、第1実施例のコンピュータシステムの論理的な構成を示す図である。
利用者コンピュータ101は、プログラムを実行するプロセッサ(CPU)、プログラムを格納するメモリ、プログラムの実行時に使用されるデータを格納する不揮発性記憶装置、入出力インターフェース(キーボード、マウス、ディスプレイ装置など)、及び通信インターフェースを有するコンピュータである。利用者コンピュータ101は、認証情報入力部1011及びデータ表示部1012を有する。認証情報入力部1011及びデータ表示部1012は、プロセッサがメモリに格納されたプログラムを実行することによって、その機能を発揮する。
認証情報入力部1011は、利用者が入力した本人認証情報を受け付け、問い合わせサーバ102に送信する。データ表示部1012は、問い合わせサーバ102から送信された情報(本人ID及び本人パスワード、本人IDを再設定するための情報)を表示する。利用者コンピュータ101では、ウェブブラウザが実行されており、認証情報入力部1011及びデータ表示部1012の機能を実現する。なお、利用者コンピュータ101に専用のアプリケーションプログラムをインストールして、問い合わせサーバ102から出力された情報を用いて、利用者コンピュータ101が表示画面を生成してもよい。
問い合わせサーバ102は、プログラムを実行するプロセッサ(CPU)、プログラムを格納するメモリ、プログラムの実行時に使用されるデータを格納する不揮発性記憶装置、入出力インターフェース(キーボード、マウス、ディスプレイ装置など)、及び通信インターフェースを有するコンピュータである。問い合わせサーバ102の問い合わせ処理部107は、認証情報受領部1021、データID問い合わせ部1022、データID受領部1023、本人ID問い合わせ部1024、本人ID受領部1025及びデータ送信部1026を有する。認証情報受領部1021、データID問い合わせ部1022、データID受領部1023、本人ID問い合わせ部1024、本人ID受領部1025及びデータ送信部1026は、プロセッサがメモリに格納されたプログラムを実行することによって、その機能を発揮する。
認証情報受領部1021は、利用者コンピュータ101から本人認証情報を受信する。データID問い合わせ部1022は、健康事業者サーバ103に本人認証情報を送信する。データID受領部1023は、健康事業者サーバ103からデータID及びデータパスワードを受信する。本人ID問い合わせ部1024は、管理事業者サーバ105にデータID及びデータパスワードを送信する。本人ID受領部1025は、管理事業者サーバ105から本人ID及び本人パスワードを受信する。データ送信部1026は、利用者コンピュータ101に本人ID及び本人パスワードを送信する。
健康事業者サーバ103は、プログラムを実行するプロセッサ(CPU)、プログラムを格納するメモリ、プログラムの実行時に使用されるデータを格納する不揮発性記憶装置、入出力インターフェース(キーボード、マウス、ディスプレイ装置など)、及び通信インターフェースを有するコンピュータである。健康事業者サーバ103は、認証情報受領部1031、データID検索部1032及びデータID送信部1033を有する。認証情報受領部1031、データID検索部1032及びデータID送信部1033は、プロセッサがメモリに格納されたプログラムを実行することによって、その機能を発揮する。
認証情報受領部1031は、問い合わせサーバ102から本人認証情報を受信する。データID検索部1032は、本人情報管理データベース104にアクセスして、データID及びデータパスワードを取得する。データID送信部1033は、問い合わせサーバ102にデータID及びデータパスワードを送信する。
本人情報管理データベース104は、本人認証情報及びデータID/PWを格納する。本人認証情報とデータID/PWとは対応付けられて格納される。本人情報管理データベース104の構成は、図3を用いて後述する。
管理事業者サーバ105は、プログラムを実行するプロセッサ(CPU)、プログラムを格納するメモリ、プログラムの実行時に使用されるデータを格納する不揮発性記憶装置、入出力インターフェース(キーボード、マウス、ディスプレイ装置など)、及び通信インターフェースを有するコンピュータである。管理事業者サーバ105は、データID受領部1051、本人ID検索部1052、本人ID返却部1053及び本人ID再設定部1054を有する。データID受領部1051、本人ID検索部1052、本人ID返却部1053及び本人ID再設定部1054は、プロセッサがメモリに格納されたプログラムを実行することによって、その機能を発揮する。
データID受領部1051は、問い合わせサーバ102からデータID及びデータパスワードを受信する。本人ID検索部1052は、本人ID管理データベース106にアクセスして、本人ID及び本人パスワードを取得する。本人ID返却部1053は、問い合わせサーバ102に本人ID及び本人パスワードを送信する。本人ID再設定部1054は、利用者コンピュータ101から本人IDの再設定要求を受け付け、本人ID管理データベースに新しい本人ID及び本人パスワードを登録する。
本人ID管理データベース106は、データID/PW及び本人ID/PWを格納する。データID、データパスワード、本人ID及び本人パスワードとは対応付けられて格納される。本人ID管理データベース106の構成は、図4を用いて後述する。
各サーバ102、103、105のプロセッサが実行するプログラムは、リムーバブルメディア(CD−ROM、フラッシュメモリなど)又はネットワークを介して各サーバに提供され、非一時的記憶媒体である不揮発性記憶装置に格納される。このため、各サーバは、リムーバブルメディアからデータを読み込むインターフェースを有するとよい。
各サーバ102、103、105は、物理的に一つの計算機上で、又は、論理的又は物理的に複数の計算機上で構成される計算機システムであり、前述したプログラムが、同一の計算機上で別個のスレッドで動作してもよく、複数の物理的計算機資源上に構築された仮想計算機上で動作してもよい。
図3は、第1実施例の本人情報管理データベース104の構成例を示す図である。
本人情報管理データベース104は、データを一意に識別するための識別情報1041利用者の氏名1042、利用者の住所1043、利用者の電話番号1044、利用者の電子メールアドレス1045、利用者が健診を受けている健診機関名1046、本人情報管理データベース104に格納されるデータを一意に識別するためのデータID1047及び当該データにアクセスするために使用されるパスワード(データPW)1048を含む。図示した項目の他、氏名1042、住所1043、電話番号1044及び電子メールアドレス1045は、利用者本人を識別するための本人認証情報である。本人認証情報は、利用者の年齢など、利用者を特定する(又は、絞り込む)ために有効な情報を含んでもよい。
一人の利用者が複数のデータに関連付けられる場合、氏名1042〜電子メールアドレス1045が同じ複数のレコードが本人情報管理データベース104に登録されてもよく、データID1047及びデータパスワード1048の複数の組が一つのレコードに登録されてもよい。
図4は、第1実施例の本人ID管理データベース106の構成例を示す図である。
本人ID管理データベース106は、データベースに格納されるデータと関連付けられる利用者を一意に識別するための本人ID1061、当該利用者のデータにアクセスするために使用されるパスワード(本人PW)1062、本人ID管理データベース106に格納されるデータを一意に識別するためのデータID1063、当該データにアクセスするために使用されるパスワード(データPW)1064及び健診データ1065を含む。
本人ID1061及び本人PW1062は、利用者を一意に識別し、当該利用者のデータにアクセスするために使用される。データID1063及びデータPW1064は、利用者のデータを一意に識別し、当該データにアクセスするために使用される。データID1063及びデータPW1064は、本人情報管理データベース104のデータID1047及びデータPW1048と同じである。健診データ1065は、利用者の健康診断の結果であり、身長、体重、BMI、血圧、血糖値、既往歴などを含む。健診データは、受診年月日毎に異なるレコードで記録するとよい。
利用者は、本人ID管理データベース106へ健診データを登録する。健診データは、利用者が保持するデータを管理事業者サーバ105にアップロードしても、利用者からの要求によって健康事業者サーバ103が管理事業者サーバ105にデータを転送してもよい。健診データは、既存又は新規に作成されたデータID及びデータパスワードと共に、本人ID管理データベース106に登録される。
以上に説明したように、本人情報管理データベース104は、利用者を特定できる個人情報(氏名、住所、電話番号、電子メールアドレスなど)を格納するが、本人ID管理データベース106は、利用者を特定できる個人情報を格納せず、匿名化された本人IDによって管理する。
図5は、第1実施例のデータID/PWメッセージの構成例を示す図である。
データID/PWメッセージは、本人ID管理データベース106に格納されるデータにアクセスするために、健康事業者サーバ103から問い合わせサーバ102に送信され、さらに、問い合わせサーバ102から管理事業者サーバ105へ送信される(図2参照)。データID/PWメッセージは、本人ID管理データベース106に格納されるデータを一意に識別するためのデータID及び当該データにアクセスするために使用されるパスワード(データPW)を含む。
図6は、第1実施例の本人ID/PWメッセージの構成例を示す図である。
本人ID/PWメッセージは、本人ID管理データベース106に格納されるデータにアクセスするために、管理事業者サーバ105から問い合わせサーバ102に送信される(図2参照)。本人ID/PWメッセージは、本人ID管理データベース106に格納されるデータと関連付けられる利用者を一意に識別するための本人ID及び当該利用者のデータにアクセスするために使用されるパスワード(本人PW)を含む。
次に、第1実施例のコンピュータシステムで行われる処理について説明する。
図7は、第1実施例の本人ID及びPWを問い合わせる第1の処理のシーケンス図である。
まず、利用者は利用者コンピュータ101を操作して本人認証情報を入力する(1001)。本人認証情報は、氏名、生年月日、健診機関、予め設定された秘密の質問など、一つ又は複数の組み合わせによって利用者を特定できる情報である。利用者コンピュータ101は、利用者が入力した本人認証情報を問い合わせサーバ102に送信する(1002)。なお、秘密の質問は、利用者を特定できる情報ではないので、健康事業者サーバ103で管理しても、管理事業者サーバ105で管理してもよい。
問い合わせサーバ102は、本人認証情報を受信すると、データIDを健康事業者サーバ103に問い合わせる処理を行う(1003)。具体的には、問い合わせサーバ102は、利用者コンピュータ101から受信した本人認証情報を健康事業者サーバ103に送信する(1004)。健康事業者サーバ103は、受信した本人認証情報を本人情報管理データベース104に送る(1005)。
本人情報管理データベース104は、本人認証情報をキーにして検索し、本人認証情報に対応するデータID及びデータパスワードを取得し、健康事業者サーバ103に送る(1006)。
健康事業者サーバ103は、本人情報管理データベース104から取得したデータID及びデータパスワードを問い合わせサーバ102に送る(1007)。
問い合わせサーバ102は、データID及びデータパスワードを受信すると、本人ID問い合わせ処理を実行する(1008)。具体的には、問い合わせサーバ102は、健康事業者サーバ103から受信したデータID及びデータパスワードを管理事業者サーバ105に送信する(1009)。管理事業者サーバ105は、受信したデータID及びデータパスワードを本人ID管理データベース106に送る(1010)。
本人ID管理データベース106は、データID及びデータパスワードをキーにして検索し、データID及びデータパスワードに対応する本人ID及び本人パスワードを取得し、管理事業者サーバ105に送る(1011)。
管理事業者サーバ105は、本人ID管理データベース106から取得した本人ID及び本人パスワードを問い合わせサーバ102に送る(1012)。
問い合わせサーバ102は、本人ID及び本人パスワードを受信すると、本人ID返却処理を実行し(1013)、管理事業者サーバ105から受信した本人ID及び本人パスワードを利用者コンピュータ101に送る(1014)。
利用者コンピュータ101が問い合わせサーバ102から本人ID及び本人パスワードを取得することによって(1015)、利用者は本人情報を取得することができる。
図8は、第1実施例の本人ID及びパスワードを問い合わせる第2の処理のシーケンス図である。
第1実施例では、本人ID及びパスワードは、前述した第1の処理のように、管理事業者サーバ105から返信してもよいが、利用者が再設定できればよい。このため、第2の処理では、本人ID及びパスワードを利用者コンピュータ101に送信するのではなく、管理事業者サーバの本人ID再設定機能へリダイレクトすることによって、本人ID及びパスワードを再設定する。以下、第2の処理の例を説明する。
まず、利用者は利用者コンピュータ101を操作して本人認証情報を入力する(1101)。本人情報は、氏名、生年月日、健診機関、予め設定された秘密の質問など、一つ又は複数の組み合わせによって利用者を特定できる情報である。利用者コンピュータ101は、利用者が入力した本人認証情報を問い合わせサーバ102に送信する(1102)。
問い合わせサーバ102は、本人認証情報を受信すると、データIDを健康事業者サーバ103に問い合わせる処理を行う(1103)。具体的には、問い合わせサーバ102は、利用者コンピュータ101から受信した本人認証情報を健康事業者サーバ103に送信する(1104)。健康事業者サーバ103は、受信した本人認証情報を本人情報管理データベース104に送る(1105)。
本人情報管理データベース104は、本人認証情報をキーにして検索し、本人認証情報に対応するデータID及びデータパスワードを取得し、健康事業者サーバ103に送る(1106)。
健康事業者サーバ103は、本人情報管理データベース104から取得したデータID及びデータパスワードを問い合わせサーバ102に送る(1107)。
問い合わせサーバ102は、データID及びデータパスワードを受信すると、本人ID問い合わせ処理を実行する(1108)。具体的には、問い合わせサーバ102は、健康事業者サーバ103から受信したデータID及びデータパスワードを管理事業者サーバ105に送信する(1109)。管理事業者サーバ105は、受信したデータID及びデータパスワードを本人ID管理データベース106に送る(1110)。
本人ID管理データベース106は、データID及びデータパスワードをキーにして検索し、データID及びデータパスワードに対応する本人ID及び本人パスワードを取得し、管理事業者サーバ105に送る(1111)。
管理事業者サーバ105は、本人ID管理データベース106から本人ID及び本人パスワードを取得すると、本人IDを再設定するためのアドレスを問い合わせサーバ102に送る(1112)。なお、本人ID及び本人パスワードは管理事業者サーバ105で管理されるので、本人IDを再設定するためのアドレスは管理事業者サーバ105のアドレスである。
問い合わせサーバ102は、管理事業者サーバ105から受信した本人IDを再設定するためのアドレスを利用者コンピュータ101に送る(1113)。
利用者コンピュータ101は本人ID再設定処理を実行する(1114)。具体的には、利用者コンピュータ101が受信した再設定用アドレスにアクセスし、新たに設定される本人ID及び本人パスワードを管理事業者サーバ105に送る(1115)。なお、利用者の操作によって再設定用アドレスにアクセスしても、利用者コンピュータ101が(例えば、専用アプリケーションの機能や、HTTPリダイレクトによって)自動的に再設定用アドレスにアクセスしてもよい。
管理事業者サーバ105は、新たに設定される本人ID及び本人パスワードを受信すると、受信した本人ID及び本人パスワードを本人ID管理データベース106に登録する(1116)。
本人ID管理データベース106は、新しい本人ID及び本人パスワードの設定結果を管理事業者サーバ105に送信する(1117)。管理事業者サーバ105は、管理事業者サーバ105への設定結果を利用者コンピュータ101に送る(1118)。
以上の処理によって、利用者は本人情報を再設定することができる。
以上に説明したように、本発明の第1実施例によると、利用者が利用者コンピュータ101を用いて問い合わせサーバ102にアクセスし、利用者を特定可能な本人認証情報(例えば、健診機関名、氏名、生年月日など)を送信する。問い合わせサーバ102(問い合わせ処理部107)は、受信した本人認証情報を健康事業者サーバ103に送信する。健康事業者サーバ103は、受信した認証情報を用いて本人情報管理データベース104を検索して、データID及びデータパスワードを特定し、特定されたデータID及びデータパスワードを問い合わせサーバ102に返信する。問い合わせサーバ102は、受信したデータID及びデータパスワードを管理事業者サーバ105に送信する。管理事業者サーバ105は、受信したデータID及びデータパスワードを用いて本人ID管理データベース106を検索して、本人ID及び本人パスワードを特定し、特定された本人ID及び本人パスワードを問い合わせサーバ102に返信する。問い合わせサーバ102は、受信した本人ID及び本人パスワードを利用者コンピュータ101に送信する。このため、匿名情報と非匿名情報とが独立して管理されるシステムにおいて、本人ID及び本人パスワードを安全に再設定することができる。
また、第2の処理では、管理事業者サーバ105は、特定された本人ID及び本人パスワードに代えて、特定された本人ID及び本人パスワードを再設定するための情報(例えば、本人IDを再設定するための管理事業者サーバ105のアドレス)を、問い合わせサーバ102に送信する。問い合わせサーバ102は、本人ID及び本人パスワードに代えて、本人ID及び本人パスワードを再設定するためのアクセス先のアドレスを利用者コンピュータ101に送信する。このため、利用者は、管理事業者サーバ105にアクセスして、新しい本人ID及び本人パスワードを安全に再設定することができる。
<第2実施例>
次に、本発明の第2実施例について説明する。
第2実施例では、健康事業者サーバ103が問い合わせ処理部107を有し、問い合わせサーバ102は設けられていない。なお、第2実施例では、前述した第1実施例と異なる部分について説明し、第1実施例と同じ構成及び処理についての説明は省略する。
図9は、本発明の第2実施例のコンピュータシステムの構成を示す図である。
第2実施例のコンピュータシステムは、サービスの利用者が使用する利用者コンピュータ101、健康管理事業を提供する健康事業者が使用する健康事業者サーバ103、健康事業者サーバ103に接続され、健康管理事業に使用するデータ(例えば、利用者の氏名、住所)を格納する本人情報管理データベース104、利用者とデータとの関連を管理する管理事業者サーバ105、及び、管理事業者サーバ105に接続され、利用者とデータとを関連付けるための情報(例えば、本人ID、データID)を格納する本人ID管理データベース106を有する。
利用者コンピュータ101及び管理事業者サーバ105は、ネットワークを介して接続される。また、問い合わせサーバ102、健康事業者サーバ103及び管理事業者サーバ105は、ネットワークを介して接続される。この二つのネットワークは、一つのネットワークで構成されてもよい。
第2実施例の健康事業者サーバ103は、問い合わせ処理部107を有する。問い合わせ処理部107は、利用者コンピュータ101からの問い合わせを受け付ける。
図10は、第2実施例の本人ID及び本人パスワードを問い合わせる第1の処理のシーケンス図である。
まず、利用者は利用者コンピュータ101を操作して本人認証情報を入力する(1001)。本人情報は、氏名、生年月日、健診機関、予め設定された秘密の質問など、一つ又は複数の組み合わせによって利用者を特定できる情報である。利用者コンピュータ101は、利用者が入力した本人認証情報を問い合わせ処理部107に送信する(1002)。
問い合わせ処理部107は、本人認証情報を受信すると、データIDを健康事業者サーバ103に問い合わせる処理を行う(1003)。具体的には、問い合わせ処理部107は、利用者コンピュータ101から受信した本人認証情報を健康事業者サーバ103に送信する(1004)。健康事業者サーバ103は、受信した本人認証情報を本人情報管理データベース104に送る(1005)。
本人情報管理データベース104は、本人認証情報をキーにして検索し、本人認証情報に対応するデータID及びデータパスワードを取得し、健康事業者サーバ103に送る(1006)。
健康事業者サーバ103は、本人情報管理データベース104から取得したデータID及びデータパスワードを問い合わせ処理部107に送る(1007)。
問い合わせ処理部107は、データID及びデータパスワードを受信すると、本人ID問い合わせ処理を実行する(1008)。具体的には、問い合わせ処理部107は、健康事業者サーバ103から受信したデータID及びデータパスワードを管理事業者サーバ105に送信する(1009)。管理事業者サーバ105は、受信したデータID及びデータパスワードを本人ID管理データベース106に送る(1010)。
本人ID管理データベース106は、データID及びデータパスワードをキーにして検索し、データID及びデータパスワードに対応する本人ID及び本人パスワードを取得し、管理事業者サーバ105に送る(1011)。
管理事業者サーバ105は、本人ID管理データベース106から本人ID及び本人パスワードを取得すると、本人ID及び本人パスワードを確認できるwebサイトのアドレスを問い合わせ処理部107に送る(1021)。なお、本人ID及び本人パスワードは管理事業者サーバ105によって提供されるので、本人ID及び本人パスワードを確認できるwebサイトのアドレスは、管理事業者サーバ105のアドレスである。
問い合わせ処理部107は、管理事業者サーバ105から確認用アドレスを受信すると、本人ID返却処理を実行し(1022)、受信した確認用アドレスを利用者コンピュータ101に送る(1023)。
利用者コンピュータ101が受信した確認用アドレスにアクセスする(1024)。なお、利用者の操作によって確認用アドレスにアクセスしても、利用者コンピュータ101が(例えば、専用アプリケーションの機能や、HTTPリダイレクトによって)自動的に確認用アドレスにアクセスしてもよい。
管理事業者サーバ105は、本人ID及び本人パスワードを利用者コンピュータ101に送る(1025)。
利用者コンピュータ101が管理事業者サーバ105から本人ID及び本人パスワードを取得することによって(1026)、利用者は本人情報を取得することができる。
図11は、第2実施例の本人ID及びパスワードを問い合わせる第2の処理のシーケンス図である。
まず、利用者は利用者コンピュータ101を操作して本人認証情報を入力する(1101)。本人情報は、氏名、生年月日、健診機関、予め設定された秘密の質問など、一つ又は複数の組み合わせによって利用者を特定できる情報である。利用者コンピュータ101は、利用者が入力した本人認証情報を問い合わせ処理部107に送信する(1102)。
問い合わせ処理部107は、本人認証情報を受信すると、データIDを健康事業者サーバ103に問い合わせる処理を行う(1103)。具体的には、問い合わせ処理部107は、利用者コンピュータ101から受信した本人認証情報を健康事業者サーバ103に送信する(1104)。健康事業者サーバ103は、受信した本人認証情報を本人情報管理データベース104に送る(1105)。
本人情報管理データベース104は、本人認証情報をキーにして検索し、本人認証情報に対応するデータID及びデータパスワードを取得し、健康事業者サーバ103に送る(1106)。
健康事業者サーバ103は、本人情報管理データベース104から取得したデータID及びデータパスワードを問い合わせ処理部107に送る(1107)。
問い合わせ処理部107は、データID及びデータパスワードを受信すると、本人ID問い合わせ処理を実行する(1108)。具体的には、問い合わせ処理部107は、健康事業者サーバ103から受信したデータID及びデータパスワードを管理事業者サーバ105に送信する(1109)。管理事業者サーバ105は、受信したデータID及びデータパスワードを本人ID管理データベース106に送る(1110)。
本人ID管理データベース106は、データID及びデータパスワードをキーにして検索し、データID及びデータパスワードに対応する本人ID及び本人パスワードを取得し、管理事業者サーバ105に送る(1111)。
管理事業者サーバ105は、本人ID管理データベース106から本人ID及び本人パスワードを取得すると、本人IDを再設定するためのアドレスを問い合わせ処理部107に送る(1112)。なお、本人ID及び本人パスワードは管理事業者サーバ105で管理されるので、本人IDを再設定するためのアドレスは管理事業者サーバ105のアドレスである。
問い合わせ処理部107は、本人ID返却処理を実行し(1131)、管理事業者サーバ105から受信した再設定用アドレスを利用者コンピュータ101に送る(1113)。
利用者コンピュータ101は本人ID再設定処理を実行する(1114)。具体的には、利用者コンピュータ101が受信した再設定用アドレスにアクセスし、新たに設定される本人ID及び本人パスワードを管理事業者サーバ105に送る(1115)。なお、利用者の操作によって再設定用アドレスにアクセスしても、利用者コンピュータ101が(例えば、専用アプリケーションの機能や、HTTPリダイレクトによって)自動的に再設定用アドレスにアクセスしてもよい。
管理事業者サーバ105は、受信した新たに設定される本人ID及び本人パスワードを本人ID管理データベース106に登録する(1116)。
本人ID管理データベース106は、新しい本人ID及び本人パスワードの設定結果を管理事業者サーバ105に送信する(1117)。管理事業者サーバ105は、管理事業者サーバ105への設定結果を利用者コンピュータ101に送る(1118)。
以上の処理によって、利用者は本人情報を再設定することができる。
以上に説明したように、本発明の第2実施例によると、利用者が利用者コンピュータ101を用いて健康事業者サーバ103にアクセスし、利用者を特定可能な本人認証情報(例えば、健診機関名、氏名、生年月日など)を問い合わせ処理部107に送信する。健康事業者サーバ103は、問い合わせ処理部107が利用者コンピュータ101から受信した本人認証情報を用いて本人情報管理データベース104を検索して、データID及びデータパスワードを特定し、特定されたデータID及びデータパスワードを管理事業者サーバ105に送信する。管理事業者サーバ105は、受信したデータID及びデータパスワードを用いて本人ID管理データベース106を検索して、本人ID及び本人パスワードを特定し、特定された本人ID及び本人パスワードを健康事業者サーバ103(問い合わせ処理部107)に返信する。健康事業者サーバ103は、受信した本人ID及び本人パスワードを利用者コンピュータ101に送信する。このため、前述した第1実施例のように、別途問い合わせサーバを設けることなく、本人ID及び本人パスワードを安全に再設定することができる。
また、第2の処理では、管理事業者サーバ105は、特定された本人ID及び本人パスワードに代えて、特定された本人ID及び本人パスワードを再設定するための情報(例えば、本人IDを再設定するための管理事業者サーバ105のアドレス)を、健康事業者サーバ103(問い合わせ処理部107)に送信する。健康事業者サーバ103は、本人ID及び本人パスワードに代えて、本人ID及び本人パスワードを再設定するための情報を利用者コンピュータ101に送信する。このため、利用者は、新しい本人ID及び本人パスワードを安全に再設定することができる。
なお、本発明は前述した実施例に限定されるものではなく、添付した特許請求の範囲の趣旨内における様々な変形例及び同等の構成が含まれる。例えば、前述した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに本発明は限定されない。また、ある実施例の構成の一部を他の実施例の構成に置き換えてもよい。また、ある実施例の構成に他の実施例の構成を加えてもよい。また、各実施例の構成の一部について、他の構成の追加・削除・置換をしてもよい。
また、前述した各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等により、ハードウェアで実現してもよく、プロセッサがそれぞれの機能を実現するプログラムを解釈し実行することにより、ソフトウェアで実現してもよい。
各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、SSD(Solid State Drive)等の記憶装置、又は、ICカード、SDカード、DVD等の記録媒体に格納することができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、実装上必要な全ての制御線や情報線を示しているとは限らない。実際には、ほとんど全ての構成が相互に接続されていると考えてよい。
101 利用者コンピュータ
102 問い合わせサーバ
103 健康事業者サーバ
104 本人情報管理データベース
105 管理事業者サーバ
106 本人ID管理データベース
107 問い合わせ処理部

Claims (6)

  1. 第1データベースと第2データベースとがデータIDによって関連付けられてデータを格納するデータ管理システムであって、
    前記第1データベースへ格納されるデータを管理する第1サーバと、
    前記第2データベースへ格納されるデータを管理する第2サーバと、
    利用者端末からの認証に関する問い合わせを処理する問い合わせ処理部を有する第3サーバとを備え、
    前記第2データベースは、格納されるデータを保有する利用者を一意に識別するための本人IDと、格納されるデータを一意に識別するためのデータIDとを関連付けて管理し、
    前記第1データベースは、利用者を特定できる個人情報を、前記データIDと関連付けて管理し、
    前記問い合わせ処理部は、利用者を特定可能な認証情報を利用者端末から受信すると、受信した認証情報を前記第1サーバに送信し、
    前記第1サーバは、受信した前記認証情報を用いて前記第1データベースを検索して、データID及びデータパスワードを特定し、前記特定されたデータID及びデータパスワードを前記問い合わせ処理部に返信し、
    前記問い合わせ処理部は、受信した前記データID及び前記データパスワードを前記第2サーバに送信し、
    前記第2サーバは、受信した前記データID及び前記データパスワードを用いて前記第2データベースを検索して、本人ID及び本人パスワードを特定し、前記特定された本人IDに関する情報を前記問い合わせ処理部に返信し、
    前記問い合わせ処理部は、受信した前記本人IDに関する情報を、前記利用者端末に送信することを特徴とするデータ管理システム。
  2. 第1データベースと第2データベースとがデータIDによって関連付けられてデータを格納するデータ管理システムであって、
    前記第1データベースへ格納されるデータを管理する第1サーバと、
    前記第2データベースへ格納されるデータを管理する第2サーバとを備え、
    前記第1サーバは、利用者端末からの認証に関する問い合わせを処理する問い合わせ処理部を有し、
    前記第2データベースは、格納されるデータを保有する利用者を一意に識別するための本人IDと、格納されるデータを一意に識別するためのデータIDとを関連付けて管理し、
    前記第1データベースは、前記データIDと関連付けて、利用者を特定できる個人情報を管理し、
    前記第1サーバは、
    前記問い合わせ処理部が利用者を特定可能な認証情報を利用者端末から受信すると、受信した前記認証情報を用いて前記第1データベースを検索して、データID及びデータパスワードを特定し、
    前記特定されたデータID及びデータパスワードを前記第2サーバに送信し、
    前記第2サーバは、受信した前記データID及び前記データパスワードを用いて前記第2データベースを検索して、本人ID及び本人パスワードを特定し、前記特定された本人IDに関する情報を前記第1サーバに返信し、
    前記第1サーバの問い合わせ処理部は、受信した前記本人IDに関する情報を、前記利用者端末に送信することを特徴とするデータ管理システム。
  3. 請求項1又は2に記載のデータ管理システムであって、
    前記第2サーバは、前記本人IDに関する情報として、前記特定された本人ID及び本人パスワードを、前記問い合わせ処理部に送信し、
    前記問い合わせ処理部は、前記第2サーバから受信した前記本人ID及び本人パスワードを、前記利用者端末に送信することを特徴とするデータ管理システム。
  4. 請求項1又は2に記載のデータ管理システムであって、
    前記第2サーバは、前記本人IDに関する情報として、前記特定された本人ID及び本人パスワードを再設定するための情報を、前記問い合わせ処理部に送信し、
    前記問い合わせ処理部は、前記第2サーバから受信した前記本人ID及び本人パスワードを再設定するためのアクセス先の情報を前記利用者端末に送信することを特徴とするデータ管理システム。
  5. 第1データベースと第2データベースとがデータIDによって関連付けられてデータを格納するデータ管理システムにおけるID管理方法であって、
    前記データ管理システムは、前記第1データベースへ格納されるデータを管理する第1サーバと、前記第2データベースへ格納されるデータを管理する第2サーバと、利用者端末からの認証に関する問い合わせを処理する問い合わせ処理部を有する第3サーバとを有し、
    前記第2データベースは、格納されるデータを保有する利用者を一意に識別するための本人IDと、格納されるデータを一意に識別するためのデータIDとを関連付けて管理し、
    前記第1データベースは、前記データIDと関連付けて、利用者を特定できる個人情報を管理し、
    前記方法は、
    前記問い合わせ処理部が、利用者を特定可能な認証情報を利用者端末から受信すると、受信した前記認証情報を前記第1サーバに送信し、
    前記第1サーバが、受信した前記認証情報を用いて前記第1データベースを検索して、データID及びデータパスワードを特定し、前記特定されたデータID及びデータパスワードを前記問い合わせ処理部に返信し、
    前記問い合わせ処理部が、受信した前記データID及び前記データパスワードを前記第2サーバに送信し、
    前記第2サーバが、受信した前記データID及び前記データパスワードを用いて前記第2データベースを検索して、本人ID及び本人パスワードを特定し、前記特定された本人IDに関する情報を前記問い合わせ処理部に返信し、
    前記問い合わせ処理部が、受信した前記本人IDに関する情報を、前記利用者端末に送信することを特徴とするID管理方法。
  6. 第1データベースと第2データベースとがデータIDによって関連付けられてデータを格納するデータ管理システムにおけるID管理方法であって、
    前記データ管理システムは、前記第1データベースへ格納されるデータを管理する第1サーバと、前記第2データベースへ格納されるデータを管理する第2サーバとを有し、
    前記第1サーバは、利用者端末からの認証に関する問い合わせを処理する問い合わせ処理部を有し、
    前記第2データベースは、格納されるデータを保有する利用者を一意に識別するための本人IDと、格納されるデータを一意に識別するためのデータIDとを関連付けて管理し、
    前記第1データベースは、前記データIDと関連付けて、利用者を特定できる個人情報を管理し、
    前記方法は、
    前記問い合わせ処理部が利用者を特定可能な認証情報を利用者端末から受信すると、前記第1サーバが、受信した前記認証情報を用いて前記第1データベースを検索して、データID及びデータパスワードを特定し、
    前記第1サーバが、前記特定されたデータID及びデータパスワードを前記第2サーバに送信し、
    前記第2サーバが、受信した前記データID及び前記データパスワードを用いて前記第2データベースを検索して、本人ID及び本人パスワードを特定し、前記特定された本人IDに関する情報を前記第1サーバに返信し、
    前記第1サーバの問い合わせ処理部が、受信した前記本人IDに関する情報を、前記利用者端末に送信することを特徴とするID管理方法。
JP2015036671A 2015-02-26 2015-02-26 データ管理システム及びid管理方法 Pending JP2016157394A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015036671A JP2016157394A (ja) 2015-02-26 2015-02-26 データ管理システム及びid管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015036671A JP2016157394A (ja) 2015-02-26 2015-02-26 データ管理システム及びid管理方法

Publications (1)

Publication Number Publication Date
JP2016157394A true JP2016157394A (ja) 2016-09-01

Family

ID=56826185

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015036671A Pending JP2016157394A (ja) 2015-02-26 2015-02-26 データ管理システム及びid管理方法

Country Status (1)

Country Link
JP (1) JP2016157394A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108400982A (zh) * 2018-02-12 2018-08-14 天津天地伟业信息系统集成有限公司 一种嵌入式设备密码找回方法
JP7383142B2 (ja) 2020-09-29 2023-11-17 グーグル エルエルシー オンライン対話における情報へのアクセスの保護

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108400982A (zh) * 2018-02-12 2018-08-14 天津天地伟业信息系统集成有限公司 一种嵌入式设备密码找回方法
JP7383142B2 (ja) 2020-09-29 2023-11-17 グーグル エルエルシー オンライン対話における情報へのアクセスの保護
US11841978B2 (en) 2020-09-29 2023-12-12 Google Llc Protecting access to information in online interactions

Similar Documents

Publication Publication Date Title
US20230010452A1 (en) Zero-Knowledge Environment Based Networking Engine
CN111434084B (zh) 来自实体的访问信息的许可
US10454901B2 (en) Systems and methods for enabling data de-identification and anonymous data linkage
CN105100034B (zh) 一种网络应用中访问功能的方法和设备
CN116114025A (zh) 敏感信息的安全存储和检索
US20120254320A1 (en) Distributing collected information to data consumers based on global user consent information
JP5320433B2 (ja) 統合検索装置、統合検索システム、統合検索方法
US20220278830A1 (en) Secure information sharing systems and methods
CN114026823A (zh) 用于处理匿名数据的计算机系统及其操作方法
US10148658B2 (en) Information processing apparatus and method, and program
JP6250497B2 (ja) 情報管理システム
US20160246994A1 (en) Information collection apparatus and method
JP2021527858A (ja) アクセス管理されたリソースへの所在地ベースのアクセス
JP5090425B2 (ja) 情報アクセス制御システム及び方法
JP2016157394A (ja) データ管理システム及びid管理方法
US9953188B2 (en) System, method, and program for storing and controlling access to data representing personal behavior
KR20150116537A (ko) 가상 사설 클라우드 시스템에서의 사용자 인증 방법 및 가상 사설 클라우드 서비스 제공 장치
KR20120127339A (ko) 소셜 네트워크 서비스를 제공받는 사용자들 사이의 데이터 공유 방법 및 그 장치
JP7308631B2 (ja) 情報連携システムおよび情報管理方法
Masi et al. Security analysis of standards-driven communication protocols for healthcare scenarios
CN102867152B (zh) 使用主动化身保护资源的系统和方法
GB2549791A (en) System, method, and program for storing and controlling access to anonymous behavioural data
JP6965885B2 (ja) 情報処理装置、情報処理方法、及び、プログラム
KR102573773B1 (ko) 개인정보 비식별 처리를 적용한 디지털 치료제 처방 데이터 교환 시스템 및 방법
KR20140043628A (ko) 보안 로그인 처리 방법