JP2017162353A - 個人データ不正使用検知方法、個人データ提供元サーバ、プログラム - Google Patents

個人データ不正使用検知方法、個人データ提供元サーバ、プログラム Download PDF

Info

Publication number
JP2017162353A
JP2017162353A JP2016048217A JP2016048217A JP2017162353A JP 2017162353 A JP2017162353 A JP 2017162353A JP 2016048217 A JP2016048217 A JP 2016048217A JP 2016048217 A JP2016048217 A JP 2016048217A JP 2017162353 A JP2017162353 A JP 2017162353A
Authority
JP
Japan
Prior art keywords
data
personal data
personal
server
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016048217A
Other languages
English (en)
Inventor
恒子 倉
Tsuneko Kura
恒子 倉
芳浩 吉田
Yoshihiro Yoshida
芳浩 吉田
美穂 池田
Yoshio Ikeda
美穂 池田
良浩 伊藤
Yoshihiro Ito
良浩 伊藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2016048217A priority Critical patent/JP2017162353A/ja
Publication of JP2017162353A publication Critical patent/JP2017162353A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】個人データ提供先事業者から個人データが漏えいしていないか個人データ提供元事業者が検知することができる個人データ不正使用検知方法を提供する。【解決手段】個人データ不正使用検知方法は、使用環境取得ステップ、使用環境比較ステップ、管理データID取得ステップ、管理データID比較ステップを実行する。使用環境比較ステップ(S11−20)では、サーバが送信してきた属性データと、個人データ暗号化データ処理ツールの使用環境として事前に記録していた属性データとを比較し、一致しない場合には一致するとのダミーの比較結果をサーバに送信し、管理データID比較ステップ(S11−60)では、サーバが送信してきた管理データIDと、個人データ暗号化データを識別する情報として事前に記録していた管理データIDとを比較し、使用環境比較ステップでダミーの比較結果を送信していた場合は、処理を終了する。【選択図】図11

Description

本発明は、個人データの不正使用を検知する技術に関し、特に二次利用者から漏えいした個人データの不正使用を検知する技術に関する。
現在、例えばWebサイトを用いてオンラインショッピングを提供する事業者など個人情報を取り扱う事業者に対して、個人情報の漏えいに関する保険(以下、個人情報漏えい保険という)が保険会社各社から提供されている。しかし、この個人情報漏えい保険はあくまでも事業者が運営するサイトから個人情報が漏れたときの損害賠償金や、謝罪広告などの費用負担に対する補償であり、事業者が取得した個人情報を利用者本人の許諾のもと第三者に二次利用させていたときに個人情報が漏れたときの補償までは対象となっていない。
また、事業者と保険会社との保険契約を支援するための技術もいくつか提案されている。例えば、特許文献1では、コンテンツを提供するWebサイトAのセキュリティ状態に関する保険を提供するサイトC(保険会社)は、サイトAのセキュリティ監査を行なうサイトB(監査会社)によるWebサイトの監査結果情報を用いて、サイトAとの保険の内容を更新計算する処理を行なう。また、利用者がサイトAへアクセスした際、サイトBは、サイトAのセキュリティレベル等の情報やサイトCからの情報に基づく保険ランク等の情報を提供する機能を有する。しかし、サイトAが二次利用させた第三のサイトの監査結果も考慮してサイトAとの保険の内容を更新計算する処理を行なうものではないし、利用者に情報を提供するものでもない。つまり、個人情報を二次利用する第三者の存在を考慮した技術ではない。
特開2010−287117号公報
先述の通り、インターネット上でサービスを提供する事業者に個人に関する様々なデータ(以下、個人データという)を預けるにあたり、第三者への二次利用を許諾することがある。例えば、オンラインショッピング事業者が購入履歴の情報を購入履歴分析業者に提供することをオンラインショッピングサービス利用者が許諾するなどである。このような場合、二次利用する第三者から個人データが漏えいすることについても十分に対応をとる必要がある。
以下では、利用者から個人データを一次的に取得する事業者を個人データ提供元事業者という。また、個人データ提供元事業者から個人データを取得し、二次利用する者を個人データ提供先事業者という。
現時点において、個人データ提供先事業者からの個人データ漏えいに対する保険はないが、今後そのような保険が提供されるようになるかもしれない。この場合、個人データ提供元事業者は個人データ提供先事業者が個人データを適切に管理しているかどうかを判断する必要が生じてくるが、個人データが個人データ提供先事業者から流出した場合における不正使用の可能性を検知することすらできない。
そこで本発明では、個人データ提供先事業者から個人データが漏えいしていないか個人データ提供元事業者が検知することができる個人データ不正使用検知方法を提供することを目的とする。
本発明の一態様は、個人データを暗号化した個人データ暗号化データと前記個人データ暗号化データを利用するための個人データ暗号化データ処理ツールを生成する個人データ提供元サーバが、前記個人データ暗号化データ処理ツールを用いて前記個人データ暗号化データを利用しようとするサーバが前記個人データを不正に利用するものでないかを確認するための個人データ不正使用検知方法であって、前記サーバが、前記個人データ暗号化データ処理ツールを用いて前記個人データ暗号化データを利用しようとしたときに、前記サーバが、前記個人データ暗号化データ処理ツールの使用環境である自らを特定するための情報である属性データを取得し、前記属性データを前記個人データ提供元サーバに送信する使用環境取得ステップと、前記個人データ提供元サーバが、前記属性データと、前記個人データ暗号化データ処理ツールの使用環境として事前に記録していた属性データとを比較し、一致しない場合には一致するとのダミーの比較結果を前記サーバに送信する使用環境比較ステップと、前記サーバが、前記個人データ暗号化データを識別する管理データIDを取得し、前記管理データIDを前記個人データ提供元サーバに送信する管理データID取得ステップと、前記個人データ提供元サーバが、前記管理データIDと、前記個人データ暗号化データを識別する情報として事前に記録していた管理データIDとを比較し、前記使用環境比較ステップでダミーの比較結果を送信していた場合は、処理を終了する管理データID比較ステップとを実行する。
本発明によれば、個人データ提供元事業者が提供した暗号化済の個人データと当該暗号化済の個人データを利用するためのツールが流出したとしても、ツールを使用するサーバの環境の情報と流出した個人データを特定するための情報を個人データ提供元事業者のサーバが確認することにより、個人データを不正に使用しようとしていることを検知することが可能となる。
個人データ利用システム100の構成を示すブロック図。 保険契約手続きを示すシークエンス図。 サービス利用契約手続きを示すシークエンス図。 個人データ提供元サーバ200の構成を示すブロック図。 利用者登録データテーブルの一例を示す図。 個人データテーブルの一例を示す図。 個人データ提供先サーバ300の構成を示すブロック図。 個人データの二次利用の様子(事前処理)を示すシークエンス図。 提供個人データ管理データテーブルの一例を示す図。 提供個人データ暗号化データテーブルの一例を示す図。 個人データの二次利用の様子(分析処理)を示すシークエンス図。 個人データ不正使用報告手続きを示すシークエンス図。 個人データの二次利用の様子(分析処理)の変形例を示すシークエンス図。 提供用変換ユーザIDテーブルの一例を示す図。 個人データ使用状況確認処理を示すシークエンス図。
以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
<システム構成とステークホルダ>
以下、図1を参照して個人データ利用システム100について説明する。図1は、個人データ利用システム100の構成を示すブロック図である。図1に示すように個人データ利用システム100は、個人データ提供元サーバ200と、個人データ提供先サーバ300を含む。個人データ提供元サーバ200、個人データ提供先サーバ300、利用者端末400、保険会社端末500は、インターネットなどのネットワーク800に接続し、相互に通信可能である。
本システムは、個人データ提供元サーバ200を有する個人データ提供元事業者に利用者に関する個人データを預け、さらに個人データ提供先サーバ300を有する個人データ提供先事業者に二次利用を許諾する場合の保険契約に関係するものである。
利用者は、利用端末400を用いネットワーク800を通じて自分の個人データを個人データ提供元サーバ200に提供する。利用者は、個人データ提供元事業者だけでなく個人データ提供先事業者が個人データを利用することを許諾する。また、当該個人データが漏えいした場合に備え、保険会社と保険契約を結ぶ。
保険会社は、個人データ提供元事業者または個人データ提供先事業者から個人データが漏えいした場合、契約内容に基づき保険金を利用者に支払う。その際、例えば保険会社端末500を用いて、利用者から個人データ漏えいの有無に関する情報の提供を受ける。
個人データ提供元事業者は、利用者の個人データを取得し、個人データ提供元サーバ200に保持する。個人データ提供元事業者がオンラインショッピング事業者である場合は、氏名等の利用者自身の属性情報(利用者登録データ)に加え、購入履歴の情報などを取得する。この購入履歴の情報が個人データ提供元事業者に提供される個人データとなる。
個人データ提供先事業者は、個人データ提供元事業者から個人データの提供を受け、個人データ提供先サーバ300に保持する。個人データの提供を受けるにあたり個人データ提供元事業者との間で所定の契約を締結し、個人データや個人データ利用に必要になるツールの提供を受ける。この手順の詳細については後ほど説明する。
<利用者による契約とサービス利用>
利用者は、個人データの提供に際し、二つの契約を締結する。一つは、保険会社と締結するものであり、個人データ漏えい時の保険金支払いのための保険契約である。もう一つは、個人データ提供元事業者と締結するものであり、個人データの提供に関する契約である。
まず、図2を参照して、保険契約が利用者と保険会社との間で締結されるまでの手続きの流れを説明する。利用者は、当該保険の申し込みのため保険会社に見積もりを依頼する(S2−10)。保険会社は、見積もり額を算出し、補償内容等とともに利用者に提示する(S2−20)。その後、利用者と保険会社で交渉をする(S2−30)。交渉の結果、詳細が決定すると、契約成立に至る(S2−40)。
次に、図3を参照して、個人データを提供する利用者と個人データ提供元事業者との間のサービス利用契約が締結されるまでの手続きの流れを説明する。ここでは、個人データ提供元事業者はオンラインショッピング事業者であるとし、個人データであるオンラインショッピングでの購入履歴の分析を第三者の分析業者に委託する場合を想定する。この分析業者が個人データ提供先事業者となる。
まず、個人データ提供元事業者は、利用者に第三者への個人データ提供がありえることを明示して、オンラインショッピングサービスの内容・条件を記載した利用規約を提示する(S3−10)。利用者は、個人データ提供元事業者が提示する利用規約を読み、個人データを使用する場合のポリシを提示する(S3−20)。利用者と個人データ提供元事業者の間で合意が成立したら(S3−30)、個人データ提供元事業者は利用者にオンラインショッピングサービスを提供し、利用者は提供されたサービスを利用する(S3−40)。オンラインショッピングサービス利用に際して、利用者は利用者端末400を用いてオンラインショッピングサービスを提供する個人データ提供元サーバ200に接続する。
以下、図4を参照して個人データ提供元サーバ200について説明する。図4は、個人データ提供元サーバ200の構成を示すブロック図である。図4に示すように個人データ提供元サーバ200は、送受信部210と、認証処理部220と、ユーザサービス提供部230と、提供先データ作成処理部240と、提供先データ使用状況処理部250と、個人データ使用状況処理部260と、データ格納部290を含む。提供先データ作成処理部240は、匿名化処理部242と、暗号化処理部244と、電子署名処理部246を含む。提供先データ使用状況処理部250は、使用環境比較部252と、管理データID比較部254を含む。個人データ使用状況処理部260は、個人データ使用状況抽出部262と、レポート作成部264を含む。データ格納部290は、利用者登録データDB291、個人データDB292、提供先サーバ属性データDB293、提供個人データ管理データDB294、提供個人データ暗号化データDB295、ログデータDB296、提供先サーバログデータDB297の各DBにデータテーブルを格納する。
送受信部210は、個人データ提供先サーバ300や利用者端末400とデータを送受信する。例えば、利用者からのサービス利用要求を受け付ける。認証処理部220は、送受信部210からの要求に従い、アクセスしてきた者が正当なものであるか確認するための認証を行う。例えば、利用者からのサービス利用要求を受け付けた送受信部210からの要求に従い、利用者が正当な利用者であるか確認するためのユーザ認証を行う。
その際、例えば、ユーザID、パスワードなど利用者の属性情報を利用することになるが、これらの情報が利用者登録データである。利用者登録データは、サービス利用契約が成立したとき(S3−30)に利用者から個人データ提供元事業者に提供されるものであり、データ格納部290を用いて利用者登録データDB291に記録される。図5に利用者登録データをレコードとして格納する利用者登録データテーブルの一例を示す。この例では、サービス利用に必要となるユーザID、ユーザIDに対応する利用者の氏名、かな、住所、生年月日、性別、二次利用の許諾などの利用者の属性情報が含まれている。
ユーザサービス提供部230は、個人データ提供元事業者が利用者に提供する個々のサービスに関連する機能を実現するものである。ここでは、オンラインショッピングサービスに必要な機能が提供される。その他利用者に提供されるサービスがある場合は、それに応じたユーザサービス提供部が実現されることになる。利用者がサービスを利用した履歴は、個人データDB292に記録される。オンラインショッピングでの購入履歴は個人データであり、その個人データテーブルの一例を図6に示す。この例では、購入履歴を識別する番号(No.)、購入したユーザのユーザID、購入日、品番、数量などが含まれている。
提供先データ作成処理部240は、個人データの二次利用のために個人データ提供元事業者から個人データ提供先事業者に提供される提供先データを作成する。提供先データ使用状況処理部250は、個人データ提供先事業者が実際に個人データを二次利用しようとした場合に、個人データ提供先事業者に関するデータを処理する。個人データ使用状況処理部260は、利用者から個人データの使用状況に関して問い合わせがあった場合に必要な処理をする。提供先データ作成処理部240、提供先データ使用状況処理部250、個人データ使用状況処理部260における処理については、後ほど個々に詳説する。
データ格納部290は、上述の利用者登録データDB291、個人データDB292以外にも提供先サーバ属性データDB293、提供個人データ管理データDB294、提供個人データ暗号化データDB295、ログデータDB296、提供先サーバログデータDB297を有する。提供先サーバ属性データDB293、提供個人データ管理データDB294、提供個人データ暗号化データDB295は、提供先データ作成処理部240及び提供先データ使用状況処理部250における処理で用いられるものであり、ログデータDB296、提供先サーバログデータDB297は個人データ使用状況処理部260における処理で用いられるものである。そこで、これらのDBについては、個々の処理について説明する際にあわせて説明する。
<個人データの二次利用>
個人データ提供元事業者がオンラインショッピングの売り上げを伸ばすために購入履歴を分析しビジネス拡大に役立てたいと考えているが、自ら購入履歴を分析するためのノウハウを十分に持ち合わせていないとする。このような場合、利用者から個人データの二次利用に関する了解を取っているので、購入履歴分析の専門業者である個人データ提供先事業者に個人データを渡し、分析を依頼することが可能である。個人データ提供先事業者が個人データを二次利用する際に用いるのが個人データ提供先サーバ300である。
以下、図7を参照して個人データ提供先サーバ300について説明する。図7は、個人データ提供先サーバ300の構成を示すブロック図である。図7に示すように個人データ提供先サーバ300は、送受信部310と、認証処理部320と、提供元データ作成処理部330と、分析処理部340と、データ格納部390を含む。分析処理部340は、分析実行部342と、受領データ処理部349を含む。受領データ処理部349は、使用環境取得部3491と、管理データID取得部3492と、ログ作成部3493を含む。データ格納部390は、分析関連データDB391、ログデータDB392、受領個人データ暗号化データDB399の各DBにデータテーブルを格納する。
送受信部310は、個人データ提供元サーバ200とデータを送受信する。認証処理部320は、送受信部310からの要求に従い、個人データ提供元サーバ200が正当なサーバであるか確認する。
提供元データ作成処理部330は、個人データ提供元事業者から提供される、提供先データ作成処理部240が作成した提供先データを処理する。提供先データは、個人データを暗号化した個人データ暗号化データと個人データ暗号化データを処理するために用いる個人データ暗号化データ処理ツールが含まれる。個人データ暗号化データはデータ格納部390により受領個人データ暗号化データDB399に記録される。また、個人データ暗号化データ処理ツールは受領データ処理部349として分析処理部340に組み込まれる。
分析処理部340は、受領個人データ暗号化データDB399に記録した個人データ暗号化データの分析処理を行う。データ格納部390は、上述の受領個人データ暗号化データDB399以外にも分析関連データDB391、ログデータDB392を有する。分析関連データDB391、ログデータDB392は、分析処理部340における処理で用いられるものである。そこで、これらのDBについては、当該処理の説明の際にあわせて説明する。
以下、図8を参照して、個人データ提供先事業者による個人データの二次利用のための事前処理の流れを説明する。まず、個人データ提供先事業者と個人データ提供元事業者との間で、個人データの使用を含む分析業務に関する契約を結ぶ(S8−10)。契約成立後、個人データ提供先事業者は、個人データ分析に使用するサーバである個人データ提供先サーバ300の属性データを個人データ提供元サーバ200に送信する(S8−20)。個人データ提供先サーバの属性データとは、サーバの使用するOS、CPU、メモリ容量、MACアドレスなどサーバの特定に利用することができる情報である。データ格納部290は、属性データと個人データ提供先事業者を識別するための提供先コードとを組にして提供先サーバ属性データDBに記録する(S8−30)。なお、属性データを送信する際、電子署名を用いてもよい。
提供先データ作成処理部240の匿名化処理部242は、個人データDB292から二次利用の許諾を与えている利用者の個人データのみを抽出、個人が特定できないように匿名化処理を施し、個人データ管理データを生成、提供個人データ管理データDB294に記録する(S8−40)。匿名化されたデータを含む提供個人データ管理データテーブルの一例を図9に示す。各レコードは、テーブルのレコードを識別するための管理データID、提供先コード、匿名化の元データを示す個人データテーブルのNo.、利用者の性別、年代、住所、購入種別等を含む。性別、年代、住所、購入種別は、利用者の情報である性別、生年月日、住所や購入履歴の情報である品番の各データを丸めて匿名化したデータであり、どのような人が何を購入したのかが特定できないようにしている。この匿名化の例はあくまでも一例であり、分析したい内容に応じて、匿名化する項目、匿名化するレベルも異なるものとなる。
提供先データ作成処理部240の暗号化処理部244は、提供個人データ管理データDB294に記録した個人データ管理データを暗号化し、個人データ暗号化データを生成、提供個人データ暗号化データDB295に記録する(S8−50)。個人データ管理データを暗号化した個人データ暗号化データの一例を図10に示す。個人データ暗号化データは管理データIDと暗号化データの組である。暗号化データは、個人データ管理データのうち、個人データテーブルのNo.を用いて特定できるユーザIDと、性別、年代、住所、購入種別等を暗号化したデータである。ユーザIDを含めることにより、複数の購入履歴とユーザの対応を取りながら購入分析を行うことができる。
また、暗号化処理部244は、暗号化データを個人データ提供先サーバ300で処理するために用いる個人データ暗号化データ処理ツールをこの暗号化の方法にあわせて作成する(S8−50)。例えば、ライブラリの形式で実装され、分析処理部340に組み込まれる。
提供先データ作成処理部240の電子署名処理部246は、個人データ暗号化データ、個人データ暗号化データ処理ツールに署名を付与する(S8−60)。電子署名処理部246は、送受信部210を用いて個人データ提供先サーバ300に署名付き個人データ暗号化データ及び個人データ暗号化データ処理ツールを送信する(S8−70)。
個人データ提供先サーバ300は、送受信部310及び認証処理部320を用いて署名付き個人データ暗号化データ及び個人データ暗号化データ処理ツールを受信し、提供元データ作成処理部330を用いて署名を検証、問題なければ受信した個人データ暗号化データを受領個人データ暗号化データDB399に記録する(S8−80)。また、個人データ暗号化データ処理ツールを受領データ処理部349として分析処理部340に組み込む(S8−80)。
続いて、図11を参照して、個人データ提供先事業者による個人データ分析処理の流れを説明する。個人データ分析処理に先立ち、個人データの正当な利用権限を有するかの確認が行われる。
図11は、個人データ提供元事業者と契約を締結した正当な個人データ提供先事業者の個人データ提供先サーバ300と個人データ提供元サーバ200との間の処理の流れを示すシークエンス図である。不正に個人データ暗号化データや個人データ暗号化データ処理ツールを入手した可能性(疑い)がある者から個人データ提供元サーバ200にアクセスがあった場合は、S11−20やS11−60での処理が異なるものとなる。
以下、そのような者が個人データ暗号化データや個人データ暗号化データ処理ツールを用いて構成したサーバのことを個人データ処理サーバということにする。この個人データ処理サーバは、個人データ提供先サーバ300と同様、受領データ処理部349や受領個人データ暗号化データDB399を備えることになる。個人データ処理サーバは通常のサーバと同様、送受信部310、認証処理部320、データ格納部390などの構成要素を備えるものとなる。
受領データ処理部349の使用環境取得部3491は、分析に使うサーバである個人データ提供先サーバ300(個人データ処理サーバ)の属性データを取得し(S11−05)、送受信部310を用いて個人データ提供元サーバ200に送信する(S11−10)。
個人データ提供元サーバ200は、送受信部210及び認証処理部220を用いて属性データを受信する。提供先データ使用状況処理部250の使用環境比較部252は、データ格納部290が提供先サーバ属性データDB293から読出した属性データと、受信した属性データとを比較する(S11−20)。両者が一致する場合、使用環境比較部252は、送受信部210を用いて一致するとの比較結果を個人データ提供先サーバ300に送信する(S11−30)。その際、使用環境比較部252は、データ格納部290を用いて一致するとの比較結果を日時とともにログデータとしてログデータDB296に記録してもよい(S11−20)。
一致しなかった場合、個人データ提供先事業者に提供した個人データ暗号化データ処理ツールが不正に流出し、契約締結後(S8−10)に提供された属性データと異なるサーバにツールがインストールされ、使われている可能性がある。つまり、個人データ処理サーバからのアクセスである可能性がある。そこで、使用環境比較部252は、データ格納部290を用いて一致しないとの比較結果を日時とともにログデータとしてログデータDB296に記録する(S11−20)。また、使用環境比較部252は、送受信部210を用いて一致するとのダミーの比較結果を個人データ処理サーバに送信する(S11−30)。
個人データ提供先サーバ300(個人データ処理サーバ)が(ダミーも含め)一致との比較結果を受信した場合、受領データ処理部349の管理データID取得部3492は、受領個人データ暗号化データDB399から分析対象となる個人データ暗号化データを読み出す(S11−40)。そして、管理データID取得部3492は、送受信部310を用いて読み出された個人データ暗号化データに含まれる管理データIDを個人データ提供元サーバ200に送信する(S11−50)。ここで、一致するとのダミーの比較結果を受信したサーバは、個人データ処理サーバである。
個人データ提供元サーバ200は、送受信部210及び認証処理部220を用いて管理データIDを受信する。提供先データ使用状況処理部250の管理データID比較部254は、データ格納部290が提供個人データ暗号化データDB295から読出した管理データIDと、受信した管理データIDとを比較する(S11−60)。属性データが一致していた場合に管理データIDが一致したときは、管理データID比較部254は、一致するとの比較結果を個人データ提供先サーバ300に送信する(S11−70)。この場合は、正当な利用権限があると考えられる。送信に際して、管理データID比較部254は、データ格納部290を用いて一致するとの比較結果を日時とともにログデータとしてログデータDB296に記録してもよい(S11−60)。
なお、一致するとの比較結果を個人データ提供先サーバ300が受信すると、個人データ暗号化データを個人データ提供先サーバ300で分析処理できる状態となるため、例えばこの比較結果の情報自身がある程度複雑な情報であるなど、個人データ暗号化データ処理ツールに偽装した情報を与えることにより不正に使用されることがないように個人データ暗号化データ処理ツールが作成されていることが好ましい。
また、属性データが一致していた場合に管理データIDが一致しなかったときは、管理データID比較部254は、一致しないとの比較結果をログデータとしてログデータDB296に記録し、処理を終了する(S11−60)。この場合は、正当な使用環境にて個人データ暗号化データ処理ツールが利用されているが、個人データ暗号化データを利用する権限はなかったものと考えられる。S8−30〜S8−50の個人データ提供元サーバ200でのデータの対応付けのミスなど手続き上の何らかのミスがあることが考えられるため、適切な対応が必要となる。
属性データが不一致であった場合に管理データIDが一致したとき(この場合は個人データ処理サーバからのアクセスである)は、管理データID比較部254は、一致するとの比較結果をログデータとしてログデータDB296に記録し、処理を終了する(S11−60)。管理データID比較部254は、比較結果を記録するだけでなく、次のような処理をあわせておこなってもよい。管理データID比較部254は、管理データIDを用いて、個人データ暗号化データに含まれるユーザIDを特定する。当該ユーザIDは不正利用の可能性がある個人データの利用許諾をした利用者を特定するための情報となるため、ユーザIDもログデータとしてログデータDB296に記録する。その後、必要に応じて、個人データ提供元事業者は、利用者に対して不正使用の可能性があることを報告する。
図12は、報告フローの例である。まず、個人データ提供元事業者は、二次利用を許諾した利用者に対して個人データが不正使用された可能性があることを報告する(S12−10)。利用者は、不正使用に関する報告を受信後、保険会社に対して不正使用を報告、保険金の請求を行うなど適切な行動を実行する(S12−20)。また、保険会社では、利用者から送られてきた報告を審査し(S12−30)、審査結果に従い保険金を支払うなど適切な処理を実行する(S12−40)。
属性データが不一致であった場合に管理データIDが不一致になったとき(この場合も個人データ処理サーバからのアクセスである)は、管理データID比較部254は、一致しないとの比較結果をログデータとしてログデータDB296に記録し、処理を終了する(S11−60)。
個人データ提供先サーバ300は、一致との比較結果を受信した場合、分析処理部340の分析実行部342を用いて受領個人データ暗号化データDB399から読み出した暗号化データを復号し、分析処理を実行する(S11−80)。分析処理に必要な他のデータや設定情報等は、分析関連データDB391から読み出し、適宜分析処理に利用する。
分析実行部342による個人データの分析処理が終了すると、ログ作成部3493は、実行日時、分析結果等をログとして作成し、ログデータDB392に記録する(S11−85)。分析結果には、利用者ごとの特徴が分かるようにユーザIDが含まれる。個人データ提供先サーバ300は、個人データ暗号化データと個人データ暗号化データ処理ツールを削除する。その後、個人データ提供元サーバ200にログとともに削除通知を送信する(S11−90)。削除するのでなく、返却処理をするのでもよい。
個人データ提供元サーバ200は、送受信部210及び認証処理部220を用いてログ等を受信、データ格納部290を用いて分析結果を含むログを提供先サーバログデータDB297に記録する(S11−95)。このログには、分析結果以外にも分析したサーバ、日時などの情報が含まれる。
個人データの二次利用先である個人データ提供先事業者の個人データ提供先サーバ300において個人データ暗号化データを利用するためには、個人データ提供元事業者が提供するライブラリなど個人データ暗号化データ処理ツールを使うことが必須となっている。これにより当該ツールを持たない者による個人データの不正な利用を防ぐことができる。したがって、暗号化されている個人データが流出したとしても、ツールを持たない者は暗号化されている個人データを見るなど利用することができない。
また、正当な利用権限がある者による利用か否か確認するために、個人データ提供先サーバ300の属性データと個人データ暗号化データを識別する管理データIDをそれぞれ個人データ提供先サーバ300から個人データ提供元サーバ200に送信し、個人データ提供元サーバ200で管理している情報と比較、両者が一致して初めて個人データ提供先事業者が個人データを利用できるような仕組みとなっている。属性データの一致性を確認することにより、ツールを不正に入手したとしても正当な使用環境で使用しない限り個人データ暗号化データを利用することはできないし、不正使用の可能性(疑い)があることを個人データ提供元事業者は検知することができる。また、属性データが一致した場合に、管理データIDの一致性を確認することにより、個人データを利用しようとしている者がその個人データを利用する権限があるか否かの確認を取ることができる。一方、属性データが一致しないのに、一致するとのダミーの比較結果を送信、管理データIDの一致性を確認することにより、不正に利用される可能性がある個人データを特定し、当該個人データの利用を許諾した利用者に報告することができる。
なお、属性データと管理データIDを取得するために、個人データ暗号化データ処理ツールを用いるようにすることにより、これらの情報を不正に生成して送信することを防ぐこともできる。
以上述べたように、個人データ提供元事業者が個人データ提供先事業者以外による不正使用の可能性を把握することができる。
<変形例>
図11の個人データ分析処理の流れでは、S11−20で属性データが一致しなかった場合、S11−30でダミーの比較結果を送信し、管理データIDを個人データ処理サーバに送信させることにより、不正に流出した可能性がある個人データを特定した。以下では、図13を用いて、図11とは異なる、個人データの正当な利用権限を有するかの確認処理フローについて説明する。
前提として、個人データ提供先事業者に提供される個人データ暗号化データ処理ツールには、当該ツールの作成時(S8−50)に、ツールを識別するためのID(以下、ツールIDという)がツールに付与され、個人データ提供元事業者はこのツールIDを提供先コードとともに管理しているものとする。
受領データ処理部349の使用環境取得部3491は、分析に使うサーバである個人データ提供先サーバ300(個人データ処理サーバ)の属性データとツールIDを取得し(S13−05)、送受信部310を用いて個人データ提供元サーバ200に送信する(S13−10)。
個人データ提供元サーバ200は、送受信部210及び認証処理部220を用いて属性データとツールIDを受信する。提供先データ使用状況処理部250の使用環境比較部252は、データ格納部290が提供先サーバ属性データDB293から読出した属性データと、受信した属性データとを比較する(S13−20)。両者が一致する場合、使用環境比較部252は、送受信部210を用いて一致するとの比較結果を個人データ提供先サーバ300に送信する(S13−30)。なお、S13−20において、属性データの一致性に加えて、ツールIDの一致性も確認するようにしてもよい。このように二重に一致性を確認することにより、個人データ提供元サーバ200でのデータの対応付けのミスなど手続き上のミスの発見につながる可能性がある。
一致しなかった場合、個人データ提供先事業者に提供した個人データ暗号化データ処理ツールが不正に流出し、契約締結後(S8−10)に提供された属性データと異なるサーバにツールがインストールされ、使われている可能性がある。つまり、個人データ処理サーバからのアクセスである可能性がある。そこで、使用環境比較部252は、データ格納部290を用いて一致しないとの比較結果を日時とともにログデータとしてログデータDB296に記録し、処理を終了する(S13−20)。管理データID比較部254は、比較結果を記録するだけでなく、次のような処理をあわせておこなってもよい。管理データID比較部254は、ツールID(と対応する提供先コード)を用いて、当該ツールIDを有する個人データ暗号化データ処理ツールとセットで提供した個人データ暗号化データを特定する。この個人データ暗号化データにはユーザIDが含まれている。そこで、必要に応じて、個人データ提供元事業者は、特定した個人データ暗号化データに含まれるユーザIDに対応する利用者に対して不正使用の可能性があることを報告する。
個人データ提供先サーバ300が一致との比較結果を受信した場合、図11と同様の分析処理(S11−80〜S11−95)を行う。
正当な利用権限がある者による利用か否か確認するために、個人データ提供先サーバ300の属性データとツールIDを個人データ提供先サーバ300から個人データ提供元サーバ200に送信し、個人データ提供元サーバ200で管理している情報と比較、属性データが一致して初めて個人データ提供先事業者が個人データを利用できるような仕組みとなっている。属性データの一致性を確認することにより、ツールを不正に入手したとしても正当な使用環境で使用しない限り個人データ暗号化データを利用することはできないし、不正使用の可能性(疑い)があることを個人データ提供元事業者は検知することができる。また、属性データが一致しない場合には、ツールIDを用いて不正に利用される可能性がある個人データを特定し、当該個人データの利用を許諾した利用者に報告することができる。
<変形例2>
図8における処理S8−50、暗号化処理部244による個人データ暗号化データの生成では、暗号化データにユーザIDそのものを含める形で説明した。
しかし、暗号化データにユーザIDを含める形で個人データ提供先事業者に提供することとすると、個人データ提供先サーバ300における個人データの分析結果を含むログの中に、ユーザIDが書き込まれることになる。このとき、万が一、何らかの形で個人データ提供元サーバ200から個人情報である利用者登録データテーブル(図5)や個人データテーブル(図6)が流出した場合、ログに書き込まれたユーザIDと突き合わせることで重大な事故が起きてしまうことになりかねない。
そこで、図14にあるように、ユーザIDを提供用変換ユーザIDに置換し、この提供用変換ユーザIDを暗号化データに含めるようにする(以下、提供用変換ユーザIDテーブルという)。これにより、個人データ提供先サーバ300に、個人データ提供元事業者が管理しているユーザIDそのものが記録されることを避けることができる。したがって、上述したような重大な事故を防ぐことができる。また、この提供用変換ユーザIDテーブル自体を個人データ提供元サーバ200において暗号化して記録しておけば、より安全性が高めることもできる。
<個人データ使用状況確認処理>
利用者は、個人データの不正使用の可能性について個人データ提供元事業主から指摘されるだけでなく、自ら不正使用の可能性を確認することもできる。
以下、図15を参照して、利用者による個人データの使用状況確認処理の流れを説明する。利用者は、あるタイミングにおいて自分の個人データの使用状況を確認するため、利用端末400を用いて個人データ提供元サーバ200に対して個人データ使用に関するログ提示を要求する(S15−10)。
個人データ提供元サーバ200は、送受信部210及び認証処理部220を介してログ提示要求を受信、個人データ使用状況処理部260の個人データ使用状況抽出部262は、個人データ提供元サーバ200のログを記録しているログデータDB296と、個人データ提供先サーバ300での分析結果であるログを記録している提供先サーバログデータDB297から、利用者のユーザIDに対応するログを抽出する(S15−20)。レポート作成部264は、抽出したログを分析し、レポートを作成する(S15−30)。個人データ提供元サーバ200は、作成したレポートを利用者端末400に送信する(S15−40)。利用者は、レポートを確認、不正使用の可能性がある場合は保険会社に報告し、補償を請求するなど適切な行動を行う(図12参照)。
個人データの利用に関するログを利用者が確認することにより、自分の個人データが個人データの提供先も含め正しく利用されているかについて利用者自身が確認することができる。また、この結果を利用して利用者は現在および今後の個人データの提供ポリシに対する変更を適切に実施することができる。
なお、この発明は上記実施形態に限定されるものではない。テーブルは、格納するデータの一例を示したものであり、適宜フィールドを追加することができる。また、各々の処理においても、この発明の要旨を逸脱しない範囲で追加、変形することも可能であることはいうまでもない。
<補記>
本発明の装置は、例えば単一のハードウェアエンティティとして、キーボードなどが接続可能な入力部、液晶ディスプレイなどが接続可能な出力部、ハードウェアエンティティの外部に通信可能な通信装置(例えば通信ケーブル)が接続可能な通信部、CPU(Central Processing Unit、キャッシュメモリやレジスタなどを備えていてもよい)、メモリであるRAMやROM、ハードディスクである外部記憶装置並びにこれらの入力部、出力部、通信部、CPU、RAM、ROM、外部記憶装置の間のデータのやり取りが可能なように接続するバスを有している。また必要に応じて、ハードウェアエンティティに、CD−ROMなどの記録媒体を読み書きできる装置(ドライブ)などを設けることとしてもよい。このようなハードウェア資源を備えた物理的実体としては、汎用コンピュータなどがある。
ハードウェアエンティティの外部記憶装置には、上述の機能を実現するために必要となるプログラムおよびこのプログラムの処理において必要となるデータなどが記憶されている(外部記憶装置に限らず、例えばプログラムを読み出し専用記憶装置であるROMに記憶させておくこととしてもよい)。また、これらのプログラムの処理によって得られるデータなどは、RAMや外部記憶装置などに適宜に記憶される。
ハードウェアエンティティでは、外部記憶装置(あるいはROMなど)に記憶された各プログラムとこの各プログラムの処理に必要なデータが必要に応じてメモリに読み込まれて、適宜にCPUで解釈実行・処理される。その結果、CPUが所定の機能(上記、…部、…手段などと表した各構成要件)を実現する。
本発明は上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。また、上記実施形態において説明した処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されるとしてもよい。
既述のように、上記実施形態において説明したハードウェアエンティティ(本発明の装置)における処理機能をコンピュータによって実現する場合、ハードウェアエンティティが有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記ハードウェアエンティティにおける処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)等を、光磁気記録媒体として、MO(Magneto-Optical disc)等を、半導体メモリとしてEEP−ROM(Electronically Erasable and Programmable-Read Only Memory)等を用いることができる。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、ハードウェアエンティティを構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims (7)

  1. 個人データを暗号化した個人データ暗号化データと前記個人データ暗号化データを利用するための個人データ暗号化データ処理ツールを生成する個人データ提供元サーバが、前記個人データ暗号化データ処理ツールを用いて前記個人データ暗号化データを利用しようとするサーバが前記個人データを不正に利用するものでないかを確認するための個人データ不正使用検知方法であって、
    前記サーバが、前記個人データ暗号化データ処理ツールを用いて前記個人データ暗号化データを利用しようとしたときに、
    前記サーバが、前記個人データ暗号化データ処理ツールの使用環境である自らを特定するための情報である属性データを取得し、前記属性データを前記個人データ提供元サーバに送信する使用環境取得ステップと、
    前記個人データ提供元サーバが、前記属性データと、前記個人データ暗号化データ処理ツールの使用環境として事前に記録していた属性データとを比較し、一致しない場合には一致するとのダミーの比較結果を前記サーバに送信する使用環境比較ステップと、
    前記サーバが、前記個人データ暗号化データを識別する管理データIDを取得し、前記管理データIDを前記個人データ提供元サーバに送信する管理データID取得ステップと、
    前記個人データ提供元サーバが、前記管理データIDと、前記個人データ暗号化データを識別する情報として事前に記録していた管理データIDとを比較し、前記使用環境比較ステップでダミーの比較結果を送信していた場合は、処理を終了する管理データID比較ステップと
    を実行する個人データ不正使用検知方法。
  2. 前記使用環境取得ステップにおける前記属性データの取得及び前記管理データID取得ステップにおける前記管理データIDの取得に、前記個人データ暗号化データ処理ツールを用いる請求項1に記載の個人データ不正使用検知方法。
  3. 個人データを暗号化した個人データ暗号化データと前記個人データ暗号化データを利用するための個人データ暗号化データ処理ツールを生成する個人データ提供元サーバが、前記個人データ暗号化データ処理ツールを用いて前記個人データ暗号化データを利用しようとするサーバが前記個人データを不正に利用するものでないかを確認するための個人データ不正使用検知方法であって、
    前記サーバが、前記個人データ暗号化データ処理ツールを用いて前記個人データ暗号化データを利用しようとしたときに、
    前記サーバが、前記個人データ暗号化データ処理ツールの使用環境である自らを特定するための情報である属性データと、前記個人データ暗号化データ処理ツールを識別するツールIDとを取得し、前記属性データと前記ツールIDを前記個人データ提供元サーバに送信する使用環境取得ステップと、
    前記個人データ提供元サーバが、前記属性データと、前記個人データ暗号化データ処理ツールの使用環境として事前に記録していた属性データとを比較し、一致しない場合には、処理を終了する使用環境比較ステップと
    を実行する個人データ不正使用検知方法。
  4. 前記使用環境取得ステップにおける前記属性データと前記ツールIDの取得に、前記個人データ暗号化データ処理ツールを用いる請求項3に記載の個人データ不正使用検知方法。
  5. 個人データ暗号化データ処理ツールを用いて個人データを暗号化した個人データ暗号化データを利用しようとするサーバが前記個人データを不正に利用するものでないかを確認するための個人データ提供元サーバであって、
    前記個人データ暗号化データと前記個人データ暗号化データ処理ツールは、前記個人データ提供元サーバが生成するものであり、
    前記サーバが、前記個人データ暗号化データ処理ツールを用いて前記個人データ暗号化データを利用しようとしたときに、
    前記サーバから送信されてきた属性データと、前記個人データ暗号化データ処理ツールの使用環境として事前に記録していた属性データとを比較し、一致しない場合には一致するとのダミーの比較結果を前記サーバに送信する使用環境比較部と、
    前記サーバから送信されてきた管理データIDと、前記個人データ暗号化データを識別する情報として事前に記録していた管理データIDとを比較し、前記使用環境比較部がダミーの比較結果を送信していた場合は、処理を終了する管理データID比較部を備える
    ことを特徴とする個人データ提供元サーバ。
  6. 前記サーバから送信されてきた属性データと管理データIDは、前記個人データ暗号化データ処理ツールを用いて取得されたものである請求項5に記載の個人データ提供元サーバ。
  7. 請求項5または6に記載の個人データ提供元サーバとしてコンピュータを機能させるためのプログラム。
JP2016048217A 2016-03-11 2016-03-11 個人データ不正使用検知方法、個人データ提供元サーバ、プログラム Pending JP2017162353A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016048217A JP2017162353A (ja) 2016-03-11 2016-03-11 個人データ不正使用検知方法、個人データ提供元サーバ、プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016048217A JP2017162353A (ja) 2016-03-11 2016-03-11 個人データ不正使用検知方法、個人データ提供元サーバ、プログラム

Publications (1)

Publication Number Publication Date
JP2017162353A true JP2017162353A (ja) 2017-09-14

Family

ID=59857067

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016048217A Pending JP2017162353A (ja) 2016-03-11 2016-03-11 個人データ不正使用検知方法、個人データ提供元サーバ、プログラム

Country Status (1)

Country Link
JP (1) JP2017162353A (ja)

Similar Documents

Publication Publication Date Title
US11127491B2 (en) Systems and methods providing centralized encryption key management for sharing data across diverse entities
US10949555B2 (en) Encryption and decryption system and method
EP3520319B1 (en) Distributed electronic record and transaction history
KR20190132938A (ko) 블록 체인 기반 대상 데이터 관리 방법 및 장치
WO2020182005A1 (zh) 数字资产凭证继承转移中的信息处理方法、和相关装置
US20190044917A1 (en) System for secure verification of identity data
CN108389059A (zh) 基于权属的数字版权作品保护、交易和发行方法及系统
TW202021307A (zh) 跨區塊鏈的交互方法及系統、電腦設備及儲存媒體
TWI629658B (zh) 基於區塊鏈智能合約的kyc資料共享系統及其方法
WO2021003977A1 (zh) 违约信息查询方法、装置、计算机设备和存储介质
US11386232B2 (en) Distributed data management and verification
Sinha Blockchain—Opportunities and challenges for accounting professionals
CN112801827A (zh) 一种基于区块链的知识产权管理系统
CN110442654A (zh) 违约信息查询方法、装置、计算机设备和存储介质
JP2006260123A (ja) 債権管理システム、債権管理方法及びプログラム
US11556619B2 (en) Information processing system and computer readable medium
CN113498592B (zh) 用于数字财产认证和管理的方法和系统
CN114253660A (zh) 授权用户数据处理器访问用户数据的容器的系统和方法
JP2017162353A (ja) 個人データ不正使用検知方法、個人データ提供元サーバ、プログラム
Naranjo Rico Holistic business approach for the protection of sensitive data: study of legal requirements and regulatory compliance at international level to define and implement data protection measures using encryption techniques
Kamarinou et al. Responsibilities of controllers and processors of personal data in clouds
JPWO2020122095A1 (ja) 制御方法、サーバ、プログラム、および、データ構造
US20230273978A1 (en) Systems and methods for generating and using entity specific data assets
CN115906142B (zh) 一种企业在线交互数据管理方法
US20230262037A1 (en) Techniques for authenticating using uniquely assigned webpages