JP2018180600A - Privacy protection apparatus, privacy protection method, and program - Google Patents
Privacy protection apparatus, privacy protection method, and program Download PDFInfo
- Publication number
- JP2018180600A JP2018180600A JP2017073948A JP2017073948A JP2018180600A JP 2018180600 A JP2018180600 A JP 2018180600A JP 2017073948 A JP2017073948 A JP 2017073948A JP 2017073948 A JP2017073948 A JP 2017073948A JP 2018180600 A JP2018180600 A JP 2018180600A
- Authority
- JP
- Japan
- Prior art keywords
- information
- unit
- combination
- privacy protection
- provision destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title description 32
- 239000000284 extract Substances 0.000 claims abstract description 5
- 238000012546 transfer Methods 0.000 claims description 72
- 230000005540 biological transmission Effects 0.000 claims description 34
- 230000008859 change Effects 0.000 claims description 22
- 238000000605 extraction Methods 0.000 claims description 17
- 238000004891 communication Methods 0.000 description 66
- 230000008569 process Effects 0.000 description 18
- UGODCLHJOJPPHP-AZGWGOJFSA-J tetralithium;[(2r,3s,4r,5r)-5-(6-aminopurin-9-yl)-4-hydroxy-2-[[oxido(sulfonatooxy)phosphoryl]oxymethyl]oxolan-3-yl] phosphate;hydrate Chemical compound [Li+].[Li+].[Li+].[Li+].O.C1=NC=2C(N)=NC=NC=2N1[C@@H]1O[C@H](COP([O-])(=O)OS([O-])(=O)=O)[C@@H](OP([O-])([O-])=O)[C@H]1O UGODCLHJOJPPHP-AZGWGOJFSA-J 0.000 description 17
- 230000006870 function Effects 0.000 description 10
- 230000008901 benefit Effects 0.000 description 8
- 230000006378 damage Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 239000000446 fuel Substances 0.000 description 2
- 238000003384 imaging method Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000008014 freezing Effects 0.000 description 1
- 238000007710 freezing Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 239000002245 particle Substances 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000011435 rock Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Abstract
Description
本発明の実施形態は、プライバシー保護装置、プライバシー保護方法、及びプログラムに関する。 Embodiments of the present invention relate to a privacy protection device, a privacy protection method, and a program.
ソーシャルネットワーキングサービス(social networking service:SNS)とは、インターネット上の交流を通して社会的ネットワーク(ソーシャルネットワーク)を構築するサービスのことである。ソーシャルネットワークの機能として、送出された個人情報の内容を監視し、必要に応じて個人情報を修正して外部へ提供する技術が知られている。
ソーシャルネットワークに関して、ウェブサービスにパーソナルデータを提供する仕組みに関する規格が知られている(例えば、非特許文献1参照)。
P3P(Platform for Privacy Preference)にしたがって利用者によって設定される該利用者の意向に基づいて、これに違反するサービスが利用されようとした際に警告を発する技術が知られている(例えば、非特許文献2参照)。
Social networking service (SNS) is a service that builds a social network (social network) through exchanges on the Internet. As a function of the social network, there is known a technique of monitoring the content of sent personal information, correcting the personal information as necessary, and providing it to the outside.
For social networks, standards relating to a mechanism for providing personal data to web services are known (see, for example, Non-Patent Document 1).
There is known a technique for issuing a warning when a violating service is to be used based on the user's intention set by the user according to P3P (Platform for Privacy Preference) (for example, non- Patent Document 2).
他人に知られたくない情報は、情報の提供先や、情報の種類によって異なる。しかし、情報の種類が数百種類にも及ぶ場合もあり、利用者が情報の提供先や情報の種類毎に提供してよいか否かを判断するとともに、提供してもよい粒度等に情報を修正することは、利用者にかなりの労力を強いることになる。このため、実際には、提供先毎に情報を送信するか否かが設定されているに過ぎない。情報を送信しないように設定されている提供先であっても、情報の種類や状況によっては送信してもよい場合があるが、現状では送信されないため、利用者は、情報を提供することによって得られるサービスが制限されている。
さらに、他人に知られたくない情報(以下、「センシティブ情報」と呼ぶ。)は、利用者の価値観や機微性によっても異なることが想定されるが、情報を提供するか否かを判定する際に利用者の価値観や機微性は考慮されていない。
さらに、リアルタイム性を要求しないサービスを利用する場合において、位置情報などの情報を、サービス提供者に直ちに通知することは、正常の場合には大きなプライバシーリスクとなる場合がある。しかし、異常が発生し緊急の場合には、サービス提供者に、情報を、直ちに通知したいという要求がある。
本発明は、上記問題を解決すべくなされたもので、その目的は、サービス提供者に情報を提供する場合に、サービス提供者が、情報を取得するタイミングを制御することにある。
Information that you do not want others to know depends on the information provision destination and the type of information. However, there may be hundreds of types of information, and it is determined whether the user may provide information for each provision destination or information type, and the information may be provided to the granularity etc. To fix the problem would put a lot of effort on the user. For this reason, in practice, it is merely set whether to transmit information for each provision destination. Even if it is a provision destination set not to transmit information, it may be transmitted depending on the type and situation of the information, but since it is not transmitted at present, the user can provide the information. The services available are limited.
Furthermore, although it is assumed that the information (hereinafter referred to as "sensitive information") that the user does not want to be known to others may differ depending on the user's sense of values and intimacy, it is determined whether to provide information. The values and intimacy of the users are not taken into account.
Furthermore, when using a service that does not require real-time capability, immediately notifying the service provider of information such as location information may be a major privacy risk if it is normal. However, in the event of an abnormality and an emergency, there is a demand for the service provider to immediately notify information.
The present invention has been made to solve the above problems, and its object is to control the timing at which a service provider acquires information when providing information to the service provider.
(1)本発明の一態様は、端末装置が送信した複数の情報から、提供先が要求する情報又は情報の組み合わせを抽出する情報抽出部と、前記情報抽出部が抽出した情報又は情報の組み合わせがセンシティブ情報に該当するか否かを判定する情報判定部と、前記情報判定部がセンシティブ情報に該当すると判定した情報又は情報の組み合わせについて、前記提供先へ送信するか否かを判定する転送判定部と、前記転送判定部が前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを開示するタイミングを示す開示情報に基づいて、暗号鍵を生成する暗号鍵生成部と、前記転送判定部が前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを、前記暗号鍵で暗号化する暗号化部と、前記暗号化部が前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを暗号化した結果を、前記提供先へ送信する送信部とを備える、プライバシー保護装置である。
(2)本発明の一態様は、上記(1)に記載のプライバシー保護装置において、補助情報を生成する補助情報生成部を備え、前記暗号鍵生成部は、前記補助情報生成部が生成した前記補助情報と前記開示情報とに基づいて、前記暗号鍵を生成し、前記送信部は、前記暗号化部が前記提供先へ送信すると判定した前記情報又は前記開示情報の組み合わせを暗号化した結果と前記補助情報とを別々に、前記提供先へ送信する、プライバシー保護装置である。
(3)本発明の一態様は、上記(1)に記載のプライバシー保護装置において、前記転送判定部によって前記提供先へ送信すると判定された前記情報又は前記情報の組み合わせについて、前記情報又は前記情報の組み合わせの粒度を変更する情報変更部を備え、前記暗号化部は、前記情報変更部によって情報の粒度が変更された前記情報又は前記情報の組み合わせを、前記暗号鍵で暗号化する、プライバシー保護装置である。
(4)本発明の一態様は、上記(3)に記載のプライバシー保護装置において、提供先へ送信する情報の保護のレベルを記憶する記憶部を備え、前記情報変更部は、前記記憶部に記憶された情報の保護のレベルに応じて、前記情報抽出部によって抽出された前記情報又は前記情報の組み合わせの粒度を変更する、プライバシー保護装置である。
(5)本発明の一態様は、上記(3)又は上記(4)に記載のプライバシー保護装置において、前記情報変更部は、所定の事象が発生しない場合に、前記情報又は前記情報の組み合わせの粒度を変更する、プライバシー保護装置である。
(6)本発明の一態様は、上記(3)から上記(5)のいずれか一項に記載のプライバシー保護装置において、前記情報変更部は、前記情報判定部によってセンシティブ情報に該当すると判定された前記情報又は前記情報の組み合わせの解像度、精度、又は鮮度を変更する、プライバシー保護装置である。
(7)本発明の一態様は、上記(3)から上記(6)のいずれか一項に記載のプライバシー保護装置において、補助情報を生成する補助情報生成部を備え、前記暗号鍵生成部は、前記補助情報生成部が生成した前記補助情報と前記開示情報とに基づいて、前記暗号鍵を生成し、前記暗号化部は、前記情報変更部によって情報の粒度が変更された前記情報又は前記情報の組み合わせを、前記暗号鍵で暗号化し、前記送信部は、前記暗号化部が前記情報の粒度が変更された情報又は情報の組み合わせを暗号化した結果と前記補助情報とを別々に、前記提供先へ送信する、プライバシー保護装置である。
(8)本発明の一態様は、上記(1)から上記(7)のいずれか一項に記載のプライバシー保護装置において、前記暗号化部は、時限式暗号化方式によって暗号化する、プライバシー保護装置である。
(9)本発明の一態様は、端末装置が送信した複数の情報から、提供先が要求する情報又は情報の組み合わせを抽出するステップと、前記抽出するステップで抽出した情報又は情報の組み合わせがセンシティブ情報に該当するか否かを判定するステップと、前記センシティブ情報に該当すると判定した情報又は情報の組み合わせについて、前記提供先へ送信するか否かを判定するステップと、前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを開示するタイミングを示す開示情報に基づいて、暗号鍵を生成するステップと、前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを、前記暗号鍵で暗号化するステップと、前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを暗号化した結果を、前記提供先へ送信するステップとを有する、プライバシー保護方法である。
(10)本発明の一態様は、プライバシー保護装置のコンピュータに、端末装置が送信した複数の情報から、提供先が要求する情報又は情報の組み合わせを抽出するステップと、前記抽出するステップで抽出した情報又は情報の組み合わせがセンシティブ情報に該当するか否かを判定するステップと、前記センシティブ情報に該当すると判定した情報又は情報の組み合わせについて、前記提供先へ送信するか否かを判定するステップと、前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを開示するタイミングを示す開示情報に基づいて、暗号鍵を生成するステップと、前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを、前記暗号鍵で暗号化するステップと、前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを暗号化した結果を、前記提供先へ送信するステップとを実行させる、プログラムである。
(1) One aspect of the present invention is an information extraction unit for extracting information or a combination of information requested by a provision destination from a plurality of information transmitted by a terminal device, and a combination of information or information extracted by the information extraction unit Information determination unit that determines whether or not the information corresponds to sensitive information, and transfer determination that determines whether to transmit the information or information combination that the information determination unit determines to correspond to the sensitive information to the provision destination And an encryption key generation unit that generates an encryption key based on disclosure information indicating the timing at which the transfer determination unit determines to transmit to the provision destination or a combination of the information, and the transfer determination unit An encryption unit that encrypts the information determined to be transmitted to the provision destination or the combination of the information using the encryption key, and the encryption unit transmits the information to the provision destination The result of encrypting the combination of the information or the information it is determined that, and a transmitter that transmits to the providing destination is a privacy protection device.
(2) One aspect of the present invention is the privacy protection device according to (1), further including an auxiliary information generation unit that generates auxiliary information, wherein the encryption key generation unit generates the auxiliary information generated by the auxiliary information generation unit. The encryption key is generated based on the auxiliary information and the disclosure information, and the transmission unit encrypts the combination of the information determined to be transmitted to the provision destination by the encryption unit or the disclosure information. It is a privacy protection device which transmits the auxiliary information separately to the provision destination.
(3) In one aspect of the present invention, in the privacy protection device according to (1), the information or the information regarding the information determined to be transmitted to the provision destination by the transfer determination unit or a combination of the information A privacy information protection unit configured to change the granularity of the combination of the information, and the encryption unit encrypts, with the encryption key, the information whose information granularity has been changed by the information modification unit or the combination of the information It is an apparatus.
(4) One aspect of the present invention is the privacy protection device according to the above (3), further comprising: a storage unit for storing the level of protection of information to be transmitted to the provision destination; The privacy protection device changes the granularity of the information extracted by the information extracting unit or the combination of the information according to the level of protection of the stored information.
(5) In one embodiment of the present invention, in the privacy protection device according to the above (3) or (4), the information changing unit does not generate the predetermined information or the combination of the information when a predetermined event does not occur. It is a privacy protection device that changes the granularity.
(6) In one aspect of the present invention, in the privacy protection device according to any one of (3) to (5), the information changing unit is determined to correspond to sensitive information by the information determining unit. A privacy protection device that changes the resolution, accuracy or freshness of the information or the combination of the information.
(7) One aspect of the present invention is the privacy protection device according to any one of (3) to (6), further including an auxiliary information generation unit for generating auxiliary information, wherein the encryption key generation unit The encryption key is generated based on the auxiliary information generated by the auxiliary information generation unit and the disclosure information, and the encryption unit is configured to change the granularity of the information by the information change unit; The combination of information is encrypted with the encryption key, and the transmitter separates the auxiliary information and the result of the encryption of the information or combination of information in which the granularity of the information is changed. It is a privacy protection device that transmits data to a provider.
(8) One aspect of the present invention is the privacy protection device according to any one of the above (1) to (7), wherein the encryption unit encrypts by a time-limited encryption method. It is an apparatus.
(9) One aspect of the present invention is a step of extracting information or a combination of information requested by a provision destination from a plurality of pieces of information transmitted by the terminal device, and a combination of the information or information extracted in the extracting step is sensitive. Determining whether the information corresponds to the information, determining whether the information or the combination of the information determined to correspond to the sensitive information is to be transmitted to the provision destination, and determining to transmit the provision destination A step of generating an encryption key based on disclosure information indicating a timing of disclosing the combination of the information or the information, and encrypting the information or the combination of the information determined to be transmitted to the provision destination using the encryption key And a result of encrypting the combination of the information or the information determined to be transmitted to the provision destination And a step of transmitting to the providing destination is a privacy protection method.
(10) In one aspect of the present invention, the computer of the privacy protection device extracts the information or combination of information requested by the provision destination from the plurality of information transmitted by the terminal device, and the extraction step Determining whether information or a combination of information corresponds to sensitive information, and determining whether information or a combination of information determined to correspond to the sensitive information is to be transmitted to the provision destination. A step of generating an encryption key based on the information determined to be transmitted to the provision destination or disclosure information indicating timing of disclosing the combination of the information, and the information or combination of information determined to be transmitted to the provision destination Encrypting the information with the encryption key, and the information determined to be transmitted to the provision destination Is the result of encrypting the combination of said information, and a step of transmitting to the providing destination, a program.
本発明によれば、サービス提供者に情報を提供する場合に、サービス提供者が、情報を取得するタイミングを制御することができる。 According to the present invention, when providing information to a service provider, the service provider can control the timing of acquiring information.
次に、本発明を実施するための形態を、図面を参照しつつ説明する。以下で説明する実施形態は一例に過ぎず、本発明が適用される実施形態は、以下の実施形態に限られない。
なお、実施形態を説明するための全図において、同一の機能を有するものは同一符号を用い、繰り返しの説明は省略する。
Next, an embodiment for carrying out the present invention will be described with reference to the drawings. The embodiments described below are merely examples, and the embodiments to which the present invention is applied are not limited to the following embodiments.
In all the drawings for explaining the embodiments, the same reference numerals are used for components having the same function, and the repeated description is omitted.
<実施形態>
<通信システムの構成>
図1は、実施形態に係るプライバシー保護装置が適用される通信システムの一例を示す。
通信システムは、プライバシー保護装置100と、パーソナルデータ送出装置200とを備える。パーソナルデータ送出装置200には、データd01、データd02、・・・、データd0N(Nは、N>2の整数)が供給される。パーソナルデータ送出装置200は、通信ネットワーク20と接続され、該通信ネットワーク20を経由してデータd01、データd02、・・・、データd0Nをプライバシー保護装置100へ送信する。通信ネットワーク20の一例は、移動通信ネットワークである。パーソナルデータ送出装置200の一例は、スマートフォン、タブレット端末、PC、車載端末等の端末装置である。
プライバシー保護装置100は、パーソナルエージェントとも呼ばれ、通信ネットワーク20及びインターネット50等のネットワークと接続される。プライバシー保護装置100には、プライバシーポリシーが設定される。プライバシーポリシーは、パーソナルデータ送出装置200から送信されたデータをそのまま転送するのか、一定の条件に基づいて加工して転送するのか、転送しないのか等のデータの取り扱いを定めた規範である。例えば、プライバシーポリシーは、データd01、データd02、・・・、データd0Nをパーソナルデータ送出装置200へ供給するプライバシー保護装置100の利用者によって設定される。
Embodiment
<Configuration of communication system>
FIG. 1 shows an example of a communication system to which a privacy protection apparatus according to an embodiment is applied.
The communication system comprises a
The
プライバシー保護装置100は、プライバシーポリシーに基づいて、パーソナルデータ送出装置200によって送信されたデータd01、データd02、・・・、データd0Nをどのように取り扱うのかを判定する。例えば、プライバシー保護装置100は、データd01、データd02、・・・、データd0Nの各々について、転送先へ転送するのか否か、転送する場合にデータを加工するのか否かを判定する。
そして、プライバシー保護装置100は、データを加工しないでインターネット50を経由して転送先T01、転送先T02、・・・、転送先T0Mのいずれか、或いは複数の転送先へ転送すると判定した場合に、パーソナルデータ送出装置200に対して当該データのプライバシー保護装置100への送信を許可する。プライバシー保護装置100は、当該データが位置情報等のサービス提供者へ直ちに通知することでプライバシーリスクにつながるおそれがあり、且つ緊急の場合には直ちに通知する情報に該当するか否かを判定する。プライバシー保護装置100は、該当すると判定した場合、転送先毎に設定された情報開示ポリシーと補助情報とに基づいて、時限式暗号化方式によって、暗号鍵を生成する。そして、プライバシー保護装置100は、当該データに時刻情報が含まれる場合には、その時刻情報を削除し、時刻情報を削除した当該データを、暗号鍵によって、暗号化する。プライバシー保護装置100は、暗号化した結果を、当該転送先へ転送する。プライバシー保護装置100は、暗号化した結果を転送先へ転送した後に、補助情報を転送先へ転送する。
The
Then, when it is determined that the
また、プライバシー保護装置100は、データを変更して転送先へ転送すると判定した場合に、パーソナルデータ送出装置200に対して当該データのプライバシー保護装置100への送信を許可する。プライバシー保護装置100は、当該データが位置情報等のサービス提供者へ直ちに通知することでプライバシーリスクにつながるおそれがあり、且つ緊急の場合には直ちに通知する情報に該当するか否かを判定する。プライバシー保護装置100は、該当すると判定した場合、転送先毎に設定された情報開示ポリシーと補助情報とに基づいて、時限式暗号化方式によって、暗号鍵を生成する。そして、プライバシー保護装置100は、当該データに時刻情報が含まれる場合には、その時刻情報を削除し、時刻情報を削除した当該データを適切な情報の粒度に変更し、適切な情報の粒度に変更した当該データを、暗号鍵によって、暗号化する。プライバシー保護装置100は、暗号化した結果を、インターネット50を経由して転送先T01、転送先T02、・・・、転送先T0Mのいずれか、或いは複数の転送先へ転送する。プライバシー保護装置100は、暗号化した結果を転送先へ転送した後に、補助情報を転送先へ転送する。パーソナルデータ送出装置200及びプライバシー保護装置100は、転送しないデータは破棄する。
以下、一例として、パーソナルデータ送出装置200に車載端末を適用した場合について説明を続ける。さらに、以下では、サービス提供者へ直ちに通知することでプライバシーリスクにつながるおそれがあり、且つ緊急の場合には直ちに通知する情報の一例として、位置情報を適用した場合について説明を続ける。
When it is determined that the data is changed and transferred to the transfer destination, the
Hereinafter, as an example, the description will be continued regarding the case where the in-vehicle terminal is applied to the personal
図2は、パーソナルデータ送出装置200に車載端末350を適用した場合の車両用通信システムの構成例を示す。
車両用通信システムは、プライバシー保護装置100と、車載端末350とを備える。車載端末350は、車両300に搭載され、車両300で取得される情報をプライバシー保護装置100へ送信する。車両300には、ECU(Electronic Control Unit)310a、ECU310b、ECU310c、ECU310d、GPS(Global Positioning System)330、及びゲートウェイ(G/W:gateway)320が設置される。ECU310aと、ECU310bと、ECU310cと、ECU310dと、G/W320との間は、CAN(Controller Area Network)315等の機器間のデータ転送に使われる規格にしたがって接続される。
ECU310a、ECU310b、ECU310c、及びECU310dは、エンジン、モーター、メーター、トランスミッション、ブレーキ、エアバック、ランプ、パワーステアリング、パワーウィンドウ、カーエアコン、電子キーの車両側受信部、カーオーディオ、カーナビゲーション等のシステムを制御する。ECU310a、ECU310b、ECU310c、及びECU310dは、速度情報、走行ルート情報、アクセス操作情報、ブレーキ操作情報、ハンドル操作情報、エンジン回転数情報、消費燃費情報等を取得し、車載端末350へ出力する。GPS330は、車両300の位置情報を取得する。
ECU310a、ECU310b、ECU310c、ECU310d、及びGPS330によって取得される情報(以下、「車両情報」という)は、G/W320から、データブローカ340へ出力される。データブローカ340は、車両情報を収集し、車載端末350へ出力する。車載端末350は、データブローカ340によって出力される車両情報をプライバシー保護装置100へ送信する。車載端末350によって出力される車両情報は、パーソナルデータ送出装置200の機能に相当するパーソナルデータ送出アプリケーション・プログラム(APPS#0)355によって、通信ネットワーク20を経由してプライバシー保護装置100へ送信される。
FIG. 2 shows a configuration example of a vehicular communication system in the case where the on-
The vehicular communication system includes the
The
Information obtained by the
プライバシー保護装置100は、インターネット50と接続される。インターネット50には、道路交通情報サーバ400a、データセンターのサーバ400b、保険会社・ロードサービス会社のサーバ400c、X社のサーバ400d、時報局500等が接続される。
道路交通情報サーバ400aは、車載端末350へ道路交通情報を提供する。データセンターのサーバ400bは、車載端末350へ各種データを提供する。保険会社・ロードサービス会社のサーバ400cは、車載端末350へ保険に関するサービスを提供する。X社のサーバ400dは、車載端末350へX社が提供するサービスを提供する。
以下、一例として、車載端末350を搭載した車両300のユーザが、X社のサーバ400dからX社のサービスの提供を受ける場合について説明を続ける。ただし、車載端末350を搭載した車両300のユーザが、X社のサーバ400dからX社のサービスの提供を受ける場合に限らず、道路交通情報サーバ400a、データセンターのサーバ400b、又は保険会社・ロードサービス会社のサーバ400cからサービスの提供を受ける場合についても適用できる。
車載端末350を搭載した車両300のユーザが、X社のサーバ400dからX社のサービスの提供を受ける場合、プライバシー保護装置100は、車両300から取得した車両情報をX社のサーバ400dへ転送するか否かを判定するとともに、転送すると判定した車両情報については該車両情報の粒度を変更するか否かを判定する。さらに、プライバシー保護装置100は、転送すると判定した車両情報が位置情報であり、且つその位置情報に時刻情報が含まれる場合には、時刻情報を削除する。そして、プライバシー保護装置100は、転送先毎に設定された情報開示ポリシーと補助情報とに基づいて、時限式暗号化方式によって、暗号鍵を生成する。プライバシー保護装置100は、生成した暗号鍵で、時刻情報を削除した位置情報を暗号化する。プライバシー保護装置100は、暗号化した結果を、当該転送先へ転送する。プライバシー保護装置100は、暗号化した結果を転送先へ転送した後に、補助情報を転送先へ転送する。
The
The road
Hereinafter, as an example, the case where the user of the
When the user of the
<車載端末>
車載端末350は、ハードウェア(HW)及びオペレーティングシステム(OS)(HW+OS)352と、ウェブランタイム(Webruntime)354と、パーソナルデータ送出アプリケーション・プログラム(APPS#0)355と、APPS#1と、APPS#2と、APPS#3、・・・、APPS#n(nは、n>3の整数)とを備える。
HWは、CPU(Central Processing Unit)と、ROM(Read Only Memory)と、RAM(Random Access Memory)と、不揮発性メモリと、通信I/F部と、各部を接続する内部バスとを備えている。
CPUは、車載端末350の動作を制御する制御プログラム等を不揮発性メモリから読み出し、RAMに展開して実行する。不揮発性メモリは、フラッシュメモリ、HDD(Hard Disk Drive)、SSD(Solid State Drive)、SD(Secure Digital)カード等によって構成される。不揮発性メモリは、車載端末350の動作を制御する制御プログラム等を記憶する。通信I/F部は、無線LANモジュール、移動通信モジュール等の通信モジュールによって構成され。通信I/F部は、移動通信によってプライバシー保護装置100等の外部の機器との間で通信を行う。
OSは、HWを機能毎に抽象化したインターフェースをアプリケーションソフトウェアに提供する。Webruntime354は、ウェブアプリケーション・プログラムを実行し、当該プログラムのライフサイクル、レイアウト及びセキュリティを管理する。
APPS#0、APPS#1、APPS#2、APPS#3、・・・、及びAPPS#nは、車両300に搭載されたECU310a、ECU310b、ECU310c、ECU310d、及びGPS330によって生成され、且つ出力される車両情報を取得する要求をウェブランタイム354に通知する。
ウェブランタイム354は、APPS#0−APPS#nの要求に応じて、データブローカ340を経由して、G/W320から車両情報を取得し、取得した当該車両情報をAPPS#0−APPS#n)へ通知する。
さらに、APPS#0のパーソナルデータ送出アプリケーション・プログラム355は、プライバシー保護装置100によって送出を許可された車両情報をプライバシー保護装置100へ送信する。
<Car-mounted terminal>
The on-
The HW includes a central processing unit (CPU), a read only memory (ROM), a random access memory (RAM), a non-volatile memory, a communication I / F unit, and an internal bus connecting the respective units. .
The CPU reads a control program or the like for controlling the operation of the on-
The OS provides an interface that abstracts the HW for each function to application software.
The
Furthermore, the personal data
実施形態に係る車載端末350は、複数のAPPS#0−APP#nの各々がプライバシー保護装置100へ送信するのではなく、APPS#0が他のAPPS#1−APPS#nから外部へ転送する車両データをまとめて、プライバシー保護装置100へ送信する。これによって、車載端末350とプライバシー保護装置100との間の通信回数を低減できるため、通信ネットワーク20への負荷を低減できる。また、車載端末350に撮像部を備え、車両300の画像を撮像し、車両情報としてプライバシー保護装置100へ送信するようにしてもよい。具体的には、撮像部は、車両300の車内外で発生している事象を検出できる画像を撮像する。
In the on-
<プライバシー保護装置>
実施形態に係るプライバシー保護装置100のハードウェア構成について説明する。プライバシー保護装置100は、CPUとメモリと不揮発性メモリと通信I/Fと内部バスとを備えている。CPUは、例えば不揮発性メモリに格納されるプログラムを実行し、メモリをワークメモリとして使用して、プライバシー保護装置100の各部を制御する。メモリは、半導体素子を利用した揮発性のメモリ等のRAMによって構成される。メモリは、CPUのワークメモリとして使用される。不揮発性メモリは、例えばハードディスク(HD)やROM等によって構成され、CPUによって実行されるプログラムが格納される。通信I/Fは、車載端末350等の外部機器と通信して、車両データ等の送受信を行うためのインターフェースである。さらに、通信I/Fは、インターネット50を経由して、サービスゲートウェイ、アプリケーションストア、道路交通情報サーバ400a、データセンターのサーバ400b、保険会社・ロードサービス会社のサーバ400c、X社のサーバ400d、及び時報局500と通信を行う。内部バスは、CPU、メモリ、不揮発性メモリ、及び通信I/Fを互いに接続する。内部バスに接続される各部は、内部バスを介して互いにデータのやりとりを行うことができるようにされている。
<Privacy Protection Device>
The hardware configuration of the
<プライバシー保護装置の機能構成>
図3は、プライバシー保護装置100の機能構成の一例を示す。
プライバシー保護装置100は、無線通信部152、通信部154、情報抽出部156、事象判定部158、情報判定部160、転送判定部162、情報変更部164、記憶部166、補助情報生成部168、暗号鍵生成部170、暗号化部172、及び上記各構成要素を図3に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン169を有している。これらの各部は、図3に示されている各構成要素のいずれかが、不揮発性メモリからメモリ上に展開されたプログラムを実行するCPUからの命令によって動作することで実現される機能である。
図3を用いて、プライバシー保護装置100の各機能構成について詳細に説明する。無線通信部152は、CPUからの命令、及び通信I/Fよって実現される。無線通信部152は、車載端末350等の他の装置との間で車両情報等の各種データの送受信を行う。通信部154は、CPUからの命令、及び通信I/Fによって実現される。通信部154は、インターネット50を経由して、道路交通情報サーバ400a、データセンターのサーバ400b、保険会社・ロードサービス会社のサーバ400c、X社のサーバ400d、時報局500等の他の装置との間で各種データの送受信を行う。
記憶部166には、プライバシー保護対象外事象判定テーブル1662、センシティブ情報判定テーブル1664、保護レベル判定テーブル1666、及び情報開示ポリシーDB1668が格納される。ここで、センシティブ情報(データ)は、他人には知られたくない情報である。センシティブ情報に対して、他人に知られても支障がない、或いは気にならならない情報はノンセンシティブ情報と呼ばれる。ノンセンシティブ情報と呼ばれる情報であっても、情報を複数組み合わせることによってセンシティブ情報となりうる場合がある。実施形態では、情報を複数組み合わせることによってセンシティブ情報となる情報を「コンテキストセンシティブ情報」と定義する。
プライバシー保護対象外事象とは、車載端末350から取得した車両情報がセンシティブ情報、或いはコンテキストセンシティブ情報であっても、該車両情報の粒度を変更することなく転送先へ送信すると判定される事象である。
情報開示ポリシーは、情報の提供先毎に、情報を開示するタイミングを示す開示情報が関連付けられる。
<Functional Configuration of Privacy Protection Device>
FIG. 3 shows an example of a functional configuration of the
The
Each functional configuration of the
The
An event that is not subject to privacy protection is an event that is determined to be transmitted to the transfer destination without changing the granularity of the vehicle information, even if the vehicle information acquired from the in-
The disclosure policy is associated with disclosure information indicating timing of information disclosure for each information provider.
<プライバシー保護対象外事象判定テーブル>
図4は、プライバシー保護対象外事象判定テーブル1662の一例を示す。プライバシー保護対象外事象判定テーブル1662は、プライバシー保護対象外事象の識別情報と、プライバシー保護対象外事象とを紐付けたテーブルである。センシティブ情報、コンテキストセンシティブ情報或いはDo Not Trackモード等によって車両情報の提供が拒否されている対象であっても、プライバシー保護対象外事象が発生した場合には、車両情報の削除や情報の粒度を変更する等による情報の保護は行わず、原車両情報を提供先へ送信しても、利用者個人から許容されることが多いと想定される。
プライバシー保護対象外事象には、識別情報「#a」に紐付けられる「生命・身体・財産の保護を目的とした事象」が含まれる。「生命・身体・財産の保護を目的とした事象」には、運転者、同乗者、歩行者等の生命を守る事象、或いは負傷等から救済するため、合理的に必要となる事象が含まれる。具体的には、エアバッグ展開、タイヤ破裂、車両異常警報時等が該当する。また、「生命・身体・財産の保護を目的とした事象」には、盗難、損傷を受けたと合理的に認定される車両の位置の特定や、状況把握及び発見支援(盗難の場合)を行うために、必要となる事象が含まれる。また、「生命・身体・財産の保護を目的とした事象」には、誘拐、テロ、殺人等の凶悪犯罪の捜査、車両の位置特定又は発見支援を行うため、法的権限内において合理的に必要となる事象が含まれる。また、「生命・身体・財産の保護を目的とした事象」には、天変地異等の発災時の橋梁倒壊、トンネル崩落、落盤等における被災車両・被災者の特定又は発見支援を行うため、法的権限内において合理的に必要となる事象が含まれる。
<Privacy protected non-subject event judgment table>
FIG. 4 shows an example of the privacy protection non-target event judgment table 1662. The privacy protection non-target event determination table 1662 is a table in which the identification information of the privacy protection non-target event and the privacy protection non-target event are linked. Even if the provision of vehicle information is denied due to sensitive information, context sensitive information or Do Not Track mode etc., deletion of vehicle information or change of information granularity will be performed if an event that is not subject to privacy protection occurs. It is assumed that even if the original vehicle information is transmitted to the provision destination without protection of the information by the user etc., it is often permitted from the user individual.
The events not subject to privacy protection include “events for the purpose of protecting life, body and property” linked to identification information “#a”. "Events aimed at protecting life, body and property" includes events that are reasonably necessary to save the driver, a passenger, a pedestrian, etc., from life, or injuries. . Specifically, air bag deployment, tire burst, vehicle abnormality warning, etc. correspond. In addition, for “events aimed at protecting life, body and property”, we will specify the location of a vehicle that is reasonably identified as stolen or damaged, and grasp the situation and support discovery (in the case of theft) To include the necessary events. In addition, “events for the purpose of protecting life, body and property” include the investigation of violent crimes such as abduction, terrorism, and homicide, and rationalization within legal authority in order to assist in locating or finding vehicles. It includes necessary events. In addition, in “event for the purpose of protection of life, body and property”, in order to support identification or detection of affected vehicles and victims in bridge collapse, tunnel collapse, fallout, etc. at the time of disaster such as natural disasters, Includes events that are reasonably necessary within legal authority.
プライバシー保護対象外事象には、識別情報「#b」に紐付けられる「後続・周辺車両等の安全・便益を目的とした事象」が含まれる。「後続・周辺車両等の安全・便益を目的とした事象」には、健康状態の急変、居眠り等によって自車が危険走行車両と判定される事象が含まれる。また、「後続・周辺車両等の安全・便益を目的とした事象」には、積雪、圧雪、凍結、半湿、湿潤、冠水等によって危険な路面状態や、事故車両・落石・陥没等の障害物、急ブレーキ・スポット(歩行者を含む飛び出し)等後続車両等へ通知する事象が含まれる。また、「後続・周辺車両等の安全・便益を目的とした事象」には、車線規制や大型パーキングの空きスペースを通知する事象が含まれる。
プライバシー保護対象外事象には、識別情報「#c」に紐付けられる「利用者の便益等を目的とした事象」が含まれる。「利用者の便益等を目的とした事象」には、一つのアプリケーション・プログラムが複数の提供サービスや動作モード等を有しており、一定の条件において、利用者の情報提供の対象や、粒度が異なっているために、プライバシー保護対象から除外される場合が含まれる。例えば、「利用者の便益等を目的とした事象」には、カーシェアやライドシェアでの客待ち、つまり待機モード(個人行動モード)と出迎え、つまり乗車モード(ビジネスモード)が含まれる。さらに、「利用者の便益等を目的とした事象」には、ある店舗から一定の距離内にいる場合にのみ受けたいクーポンや優待案内等が含まれる。
車両300のユーザは、プライバシー保護対象外事象として、識別情報#a、#b、及び#cのいずれか又は複数の識別情報を指定できるが、この例に限られない。例えば、利用者によって、識別情報#a、#b、及び#c以外の事象が登録されてもよい。
The events not subject to privacy protection include “events for the purpose of safety / benefit such as following / surrounding vehicles” linked to the identification information “#b”. The “event aimed at safety and benefit of the following and surrounding vehicles and the like” includes an event in which the host vehicle is determined to be a dangerous traveling vehicle due to a sudden change in health condition or a nap. Also, “events aimed at safety / benefits such as following / surrounding vehicles” include dangerous road surface conditions such as snow, pressure snow, freezing, half humidity, wetness, flood, etc., obstacles such as accident vehicles, falling rocks, depressions, etc. It includes events to notify the following vehicles, etc. such as objects, sudden brakes and spots (jumpers including pedestrians). In addition, “events aimed at safety and benefits such as following and surrounding vehicles” include events that notify lane regulation and large parking space.
The privacy protection non-target event includes the “event aimed at user's benefit etc.” linked to the identification information “#c”. In "event for the user's benefit etc.", one application program has a plurality of provided services and operation modes, etc., and under certain conditions, the user's information provision target, granularity Are excluded from the scope of privacy protection because they are different. For example, the “event intended for the benefit of the user” includes a wait for a car share or a ride share, that is, a waiting mode (individual action mode) and a meeting, that is, a riding mode (business mode). Furthermore, the “event intended for the benefit of the user” includes coupons and special offers etc. that you want to receive only when you are within a certain distance from a certain store.
The user of the
<センシティブ情報判定テーブル>
図5は、センシティブ情報判定テーブル1664の一例を示す。センシティブ情報判定テーブル1664は、車両情報又は車両情報を複数組み合わせたものがセンシティブ情報又はコンテキストセンシティブ情報に該当するか否かを判定する際に使用される。センシティブ情報判定テーブル1664は、センシティブ情報を識別する情報と、センシティブ情報とを紐付けたテーブルである。センシティブデータには、JIS規格 Q15001:2006「個人情報保護マネジメントシステム」で述べられている機微情報と一般的な個人情報とがあるが、車両及びその走行に関しては、利用者個人にもよるが、図5に示される情報がセンシティブ情報となりえる代表例である。
センシティブ情報には、識別情報「#A」に紐付けられる「自宅・勤務先・行先」が含まれる。「自宅・勤務先・行先」には、センシティブ・ロケーションと時刻・位置情報が含まれる。センシティブ情報には、識別情報「#B」に紐付けられる「交通違反と判断されうる情報」が含まれる。「交通違反と判断されうる情報」には、速度超過、徐行場所違反、駐停車違反、信号無視、一時不停止、踏切不停止、通行区分・通行帯違反が含まれる。さらに、徐行場所違反には、時刻・位置情報、制限速度情報、走行速度等が含まれる。駐停車違反には、時刻・位置情報、道路標識情報、速度、パーキングブレーキ、イグニッション・オフが含まれる。信号無視には、時刻・位置情報、交通信号、速度が含まれる。踏切不停止には、時刻・位置情報、道路標識情報、速度、ブレーキ等が含まれる。通行区分・通行帯違反には、時刻・位置情報、道路標識情報、速度が含まれる。
センシティブ情報には、識別情報「#C」に紐付けられる「ストーカや強盗被害等の危険性が高まる情報」が含まれる。「ストーカや強盗被害等の危険性が高まる情報」には、走行ルート、時刻・位置、速度、とくに現在位置が含まれる。センシティブ情報には、識別情報「#D」に紐付けられる「運転癖・技能」が含まれる。「運転癖・技能」には、アクセル/ブレーキ/ハンドル操作、車速、加速度、エンジン回転数、消費燃料量・電力量が含まれる。さらに、加速度には、急発進・急ブレーキが含まれる。
センシティブ情報判定テーブル1664によれば、位置情報はデータ単体でも、上記したJIS規格、及び一般的個人情報で掲げられている情報に関係するため、センシティブ情報となる可能性が高い。ただし、位置情報以外の情報については単一のデータでは殆どの場合、利用者個人にとってセンシティブ性が低く、データの組合せ(コンテキスト)によってセンシティブ性が高くなる。
<Sensitive information judgment table>
FIG. 5 shows an example of the sensitive information determination table 1664. The sensitive information determination table 1664 is used to determine whether a combination of vehicle information or vehicle information corresponds to sensitive information or context sensitive information. The sensitive information determination table 1664 is a table in which information identifying sensitive information and sensitive information are linked. Sensitive data includes sensitive information and general personal information described in JIS Standard Q15001: 2006 “Personal Information Protection Management System”. Vehicles and their travel depend on individual users, but This is a representative example in which the information shown in FIG. 5 can be sensitive information.
The sensitive information includes “home, work, destination” linked to the identification information “#A”. "Home, work, destination" includes sensitive location and time and position information. The sensitive information includes “information that may be determined as a traffic violation” linked to the identification information “#B”. "Information that may be judged as a traffic violation" includes overspeeding, slowing place violation, parking / parking violation, signal ignorance, temporary stop, crossing non-stop, traffic classification / passage zone violation. Furthermore, the speeding location violation includes time and position information, speed limit information, traveling speed and the like. The parking and parking violation includes time and position information, road sign information, speed, parking brake, and ignition off. Signal neglecting includes time and position information, traffic signal, and speed. The railroad crossing non-stop includes time and position information, road sign information, speed, brakes and the like. Traffic classification / traffic zone violations include time and position information, road sign information, and speed.
The sensitive information includes “information that increases the risk of damage such as a stalker or robbery” linked to the identification information “#C”. "Information that increases the risk of damage such as stalks and robbers" includes travel routes, time and location, speed, and in particular the current location. The sensitive information includes “driving skill / skill” linked to the identification information “#D”. "Driving habit / skill" includes accelerator / brake / steering wheel operation, vehicle speed, acceleration, engine speed, fuel consumption / electricity. Furthermore, acceleration includes sudden start and sudden braking.
According to the sensitive information determination table 1664, the position information is likely to be sensitive information because it relates to the information listed in the above-mentioned JIS standard and general personal information even if the data itself is only one. However, for information other than location information, in most cases, a single piece of data is less sensitive to the individual user, and the combination (context) of the data is more sensitive.
<保護レベル判定テーブル>
保護レベル判定テーブル1666は、車両情報に対する利用者個人の意向を登録したものである。ユーザが気になる情報の組み合わせや、センシティブ情報となる情報の組合せ(コンテキスト)は、転送先(情報の提供先)とその目的によって、情報の削除や情報の粒度の変更が必要となる場合がある。例えば、交通違反を気にする場合には、交通違反と判定されない走行であれば、ノンセンシティブ情報として、特に車両情報の変更や、削除を必要としない。また、走行時点検アプリ等も位置情報が不要であれば車両情報の変更や、削除を必要としない。
図6は、保護レベル判定テーブル1666の一例を示す。保護レベル判定テーブル1666は、利用者識別IDと、プライバシーとして保護を求める対象となる情報と、保護のレベルと、保護の例外とを紐付けたテーブルである。保護レベル判定テーブル1666の各欄は、車両300のユーザによって登録される。利用者識別IDは、X社のサーバ400dへ車両情報を提供してサービスを受ける車両300のユーザを識別する情報である。プライバシーとして保護を求める対象となる情報は、センシティブ情報に該当するデータが登録される。つまり、図5のセンシティブ情報判定テーブル1664の識別情報#A、#B、#C、及び#Dのいずれか又は複数の識別情報が登録される。利用者が、識別情報#A、#B、#C、及び#D以外の情報を登録してもよい。図6に示される例では、利用者識別IDが「100aa」であるユーザのプライバシーとして保護を求める対象となる情報は「#A」である。つまり、図5のセンシティブ情報判定テーブル1664の「自宅・勤務先・行先」が登録される。
保護のレベルは、センシティブ情報に該当する車両情報、又はコンテキストセンシティブ情報に該当する車両情報について、X社のサーバ400dへ送信するか否か、また、送信する場合に該車両情報へ適用する情報の粒度が登録される。具体的には、保護のレベルは、X社のサーバ400dへ送信しない場合には「提供不可」が登録される。さらに、プライバシーとして保護を求める対象となる情報に識別情報「#A」(自宅・勤務先・行先)が登録されている場合に、保護のレベルとして「原データレベル」、「市町村レベル」、「都道府県レベル」等のエリアの規模が登録される。また、プライバシーとして保護を求める対象となる情報に識別情報「#A」が登録されている場合に、保護のレベルとして緯度経度の粒度が登録されてもよい。例えば、北緯35.7011293度、東経139.740906度の位置情報を北緯35.70度、東経139.74度と変更するように情報の解像度を変更することが登録されてもよい。また、プライバシーとして保護を求める対象となる情報に識別情報「#B」(交通違反と判断されうる情報)が登録されている場合に、保護のレベルとして「原データレベル」、「10km/hの解像度」、「一般道10km/h未満か否か」、「高速道路30km/h未満か否か」等の情報の粒度が登録されてもよい。
<Protection level judgment table>
The protection level determination table 1666 is registered with the user's intention for the vehicle information. Depending on the transfer destination (the information provision destination) and the purpose of the combination of the information that the user is concerned with or the combination of the information to be sensitive information (context), it may be necessary to delete the information or change the granularity of the information. is there. For example, in the case of a traffic violation, if the vehicle is not determined to be a traffic violation, it is not necessary to change or delete vehicle information as non-sensitive information. In addition, when the traveling inspection application or the like does not require position information, it is not necessary to change or delete vehicle information.
FIG. 6 shows an example of the protection level determination table 1666. The protection level determination table 1666 is a table in which a user identification ID, information targeted for protection as privacy, a protection level, and a protection exception are linked. Each column of the protection level determination table 1666 is registered by the user of the
The level of protection indicates whether vehicle information corresponding to sensitive information or vehicle information corresponding to context sensitive information is to be transmitted to
また、プライバシーとして保護を求める対象となる情報に識別情報「#C」(ストーカや強盗被害等の危険性が高まる情報)が登録されている場合には、保護のレベルとして「原データレベル」、「市町村レベル」、「都道府県レベル」等のエリアの規模が登録される。また、プライバシーとして保護を求める対象となる情報に識別情報「#C」が登録されている場合に、保護のレベルとして緯度経度の粒度が登録されてもよい。また、プライバシーとして保護を求める対象となる情報に識別情報「#C」が登録されている場合に、保護のレベルとして「原データレベル」、「10km/hの解像度」、「一般道10km/h未満か否か」、「高速道路30km/h未満か否か」等の情報の粒度が登録されてもよい。また、プライバシーとして保護を求める対象となる情報に識別情報「#D」(運転癖・技能)が登録されている場合には、保護のレベルとして、識別情報「#A」、「#B」、「#C」とは異なる粒度が各センシティブ情報について登録されてもよい。図6に示される例では、「自宅・勤務先・行先」をX社のサーバ400dへ提供する場合に「市町村レベル」の粒度へ変更することが登録されている。
保護の例外は、センシティブ情報に該当する車両情報であっても、原車両情報のままX社のサーバ400dへ提供すると判定される事象が登録される。つまり、図4のプライバシー保護対象外事象判定テーブル1662の識別情報#a、#b、及び#cのいずれか又は複数の識別情報が登録される。利用者が、識別情報#a、#b、及び#c以外の情報が登録されてもよい。図6に示される例では、保護の例外として、図4のプライバシー保護対象外事象判定テーブル1662に示される識別情報が「#a」が登録されている。つまり、「生命・身体・財産の保護を目的とした事象」が発生した場合に、プライバシー保護装置100は、センシティブ情報に該当するデータであっても、原車両情報のままX社のサーバ400dへ提供する。
If the identification information “#C” (information that increases the risk of damage such as stalking or robbery) is registered in the information for which protection is requested as privacy, “original data level” as the protection level, Area sizes such as "city level" and "prefecture level" are registered. Further, when identification information “#C” is registered in the information for which protection is requested as privacy, the granularity of latitude and longitude may be registered as the level of protection. In addition, when the identification information "#C" is registered in the information for which protection is requested as privacy, "original data level", "resolution of 10 km / h", "general road 10 km / h" as the protection level The granularity of the information such as "less than or not less than" or "whether less than 30 km / h for expressway" may be registered. In addition, when identification information "#D" (driving habit / skill) is registered in information targeted for protection as privacy, identification information "#A", "#B", and so on as protection levels. A granularity different from "#C" may be registered for each sensitive information. In the example shown in FIG. 6, when providing "home, work, destination" to
Even if the exception of the protection is vehicle information corresponding to the sensitive information, an event determined to be provided to the
<情報開示ポリシーDB>
情報開示ポリシーDB1668は、車両情報の提供先毎に、提供した車両情報を開示するタイミングを登録したものである。情報開示ポリシーDB1668には、プライバシー保護装置100が、サービス提供者に車両情報を送信した場合に、サービス提供者がその車両情報を受信してから開示できるまでの時間が登録される。
図7は、情報開示ポリシーDB1668の一例を示す。情報開示ポリシーDB1668は、情報の提供先と、開示情報とを紐付けたテーブルである。情報開示ポリシーDB1668の各欄は、車両300のユーザによって登録される。情報の提供先は、道路交通情報サーバ400a、データセンターのサーバ400b、保険会社・ロードサービス会社のサーバ400c、X社のサーバ400d等の車両情報の送信先を示す。開示情報は、サービス提供者が車両情報を受信してから、該車両情報を開示できる時間を示す。図3へ戻り説明を続ける。
<Information Disclosure Policy DB>
The information
FIG. 7 shows an example of the information
情報抽出部156は、CPUからの命令、及び通信I/Fによって実現される。情報抽出部156には、インターネット50を経由して、X社のサーバ400dからX社が要求する車両情報を表す情報が供給される。例えば、X社のサーバ400dからX社が要求する車両情報の一覧SP1が供給される。さらに、情報抽出部156には、プライバシー保護装置100によって収集できる車両情報が登録された収集可能データテーブルT1が保持される。情報抽出部156は、収集可能データテーブルT1と、車両情報の一覧SP1を照合することによって、車両情報の一覧SP1に含まれる車両情報から、プライバシー保護装置100によって収集可能な車両情報を抽出する。情報抽出部156は、抽出した車両情報を車載端末350から取得し、情報判定部160へ出力する。
事象判定部158は、CPUからの命令によって実現される。事象判定部158は、車両300にプライバシー保護対象外事象が発生しているか否かを判定する。例えば、事象判定部158は、記憶部166に記憶されているプライバシー保護対象外事象判定テーブル1662、及び保護レベル判定テーブル1666を参照し、車載端末350が送信する車両情報が、保護レベル判定テーブル1666の保護の例外の欄に登録されているプライバシー保護対象外事象判定テーブル1662の識別情報#a、#b、及び#cのいずれかに該当するかを判定する。事象判定部158は、車両情報が、保護レベル判定テーブル1666の保護の例外の欄に登録されているプライバシー保護対象外事象判定テーブル1662の識別情報#a、#b、及び#cのいずれかに該当するか否かの判定結果を表す情報を情報判定部160へ出力する。
The
The event determination unit 158 is realized by an instruction from the CPU. The event determination unit 158 determines whether or not a privacy protection non-target event has occurred in the
情報判定部160は、CPUからの命令によって実現される。情報判定部160は、事象判定部158によって供給された判定結果が、プライバシー保護対象外事象が発生していることを表しているか否かを判定する。プライバシー保護対象外事象が発生している場合、情報判定部160は、記憶部166に記憶されているセンシティブ情報判定テーブル1664、及び保護レベル判定テーブル1666を参照し、情報抽出部156から供給された車両情報がセンシティブ情報に該当するか否かを判定する。具体的には、情報判定部160は、情報抽出部156から供給された車両情報が、保護レベル判定テーブル1666のプライバシーとして保護を求める対象となる情報の欄に登録されているセンシティブ情報判定テーブル1664の識別情報#A、#B、#C、及び#Dのいずれかに該当するかを判定する。そして、情報判定部160は、センシティブ情報に該当する車両情報を転送判定部162へ出力し、センシティブ情報に該当する車両情報以外の車両情報を通信部154へ出力する。つまり、情報判定部160は、コンテキストセンシティブ情報に該当しない、又はノンセンシティブ情報に該当する車両情報を通信部154へ出力する。
また、プライバシー保護対象外事象が発生していない場合、情報判定部160は、記憶部166に記憶されているセンシティブ情報判定テーブル1664、及び保護レベル判定テーブル1666を参照し、情報抽出部156から供給された車両情報がセンシティブ情報又はコンテキストセンシティブ情報に該当するか否かを判定する。具体的には、情報判定部160は、情報抽出部156から供給された車両情報又は車両情報を複数組み合わせたものが、保護レベル判定テーブル1666のプライバシーとして保護を求める対象となる情報の欄に登録されているセンシティブ情報判定テーブル1664の識別情報#A、#B、#C、及び#Dのいずれかに該当するかを判定する。そして、情報判定部160は、センシティブ情報又はコンテキストセンシティブ情報に該当する車両情報を転送判定部162へ出力し、センシティブ情報又はコンテキストセンシティブ情報に該当する車両情報以外の車両情報を通信部154へ出力する。つまり、情報判定部160は、ノンセンシティブ情報に該当する車両情報を通信部154へ出力する。
The information determination unit 160 is realized by an instruction from the CPU. The information determination unit 160 determines whether the determination result supplied by the event determination unit 158 indicates that a privacy protection non-target event has occurred. When an event not subject to privacy protection occurs, the information determination unit 160 refers to the sensitive information determination table 1664 and the protection level determination table 1666 stored in the
Further, when the privacy protection non-target event has not occurred, the information determination unit 160 refers to the sensitive information determination table 1664 and the protection level determination table 1666 stored in the
転送判定部162は、CPUからの命令によって実現される。転送判定部162は、情報判定部160によって供給された車両情報をX社のサーバ400dへ転送するか否かを判定する。具体的には、転送判定部162は、記憶部166に格納された保護レベル判定テーブル1666の保護レベルの欄を参照し、「提供不可」とされている場合には転送しないと判定し、「提供不可」以外とされている場合には転送すると判定する。転送判定部162は、「提供不可」とされている場合に情報判定部160によって供給された車両情報を削除し、「提供不可」以外とされている場合に情報判定部160によって供給された車両情報を情報変更部164へ出力する。
情報変更部164は、CPUからの命令によって実現される。情報変更部164は、転送判定部162によって供給された車両情報が位置情報であるか否かを判定する。位置情報でないと判定した場合、情報変更部164は、車両情報をX社のサーバ400dへ転送する場合に、該車両情報の粒度を変更する。一方、位置情報であると判定した場合、情報変更部164は、位置情報に時刻情報が含まれている場合には、時刻情報を削除し、時刻情報を削除した位置情報をX社のサーバ400dへ転送する場合に、必要に応じて、該車両情報の粒度を変更する。具体的には、情報変更部164は、記憶部166に格納された保護レベル判定テーブル1666の保護レベルの欄に登録されている情報の粒度にしたがって、必要に応じて、車両情報又は位置情報を変更する。そして、情報変更部164は、必要に応じて、情報の粒度を変更した位置情報を、暗号化部172へ出力するとともに、補助情報生成部168に、位置情報を送信することを通知する情報である位置情報送信通知を出力する。ここで、情報変更部164は、一つのデータに対して指定されている保護レベルが複数あり、且つ異なる場合には、保護レベルが高い方を採用するようにしてもよい。例えば、センシティブ・ロケーション域内において速度超過があった場合の位置情報として、住所コード(都道府県・市区郡・町村コード)が最も保護レベルが高い場合、該住所コードが採用されてもよい。
The transfer determination unit 162 is realized by an instruction from the CPU. The transfer determination unit 162 determines whether to transfer the vehicle information supplied by the information determination unit 160 to the
The
補助情報生成部168は、情報変更部164が出力した位置情報送信通知を取得した場合に、X社のサーバ400dが、暗号化した位置情報を復号するときに使用する情報を生成する。以下、X社のサーバ400dが、暗号化した位置情報を復号するときに使用する情報を、補助情報という。補助情報生成部168は、生成した補助情報を、暗号鍵生成部170と暗号化部172へ出力する。
暗号鍵生成部170は、補助情報生成部168が出力した補助情報を取得した場合、情報開示ポリシーDB1668に記載されている開示情報のうち、情報の提供先であるX社のサーバ400dに関連付けられている開示情報を取得する。ここでは、情報の提供先であるX社のサーバ400dに関連付けられている開示情報が、M3時間経過後開示、つまりM3時間経過後が位置情報を開示するタイミングである場合について説明を続ける。暗号鍵生成部170は、取得した補助情報と開示情報とに基づいて、時限式暗号化方式によって、M3時間経過後に位置情報を復号可能に暗号化する共通鍵等の暗号鍵を生成する。暗号鍵生成部170は、乱数rを生成し、生成した乱数rと補助情報wと開示情報t0(=M3)とに基づいて、s=e(rP,wP)を演算する。ここで、e(rP,wP)は、ペアリングと呼ばれる演算であり、双線形写像を与える。Pは、楕円曲線上の点であり、rP,wPは、楕円曲線上での掛け算に相当する。そして、暗号鍵生成部170は、演算した結果sのハッシュ値等のダイジェスト値を位置情報の暗号鍵とする。暗号鍵生成部170は、暗号鍵を、暗号化部172へ出力する。
暗号化部172は、情報変更部164が出力した位置情報と暗号化部172が出力した暗号鍵とを取得する。暗号化部172は、暗号鍵で、情報の粒度を変更した位置情報を暗号化する。暗号化部172は、暗号化した結果を、通信部154へ出力する。通信部154は、暗号化した結果を送信する。そして、暗号化部172は、通信部154が暗号化した結果を送信してから、M2時間経過後(M3>M2)に、通信部154へ、補助情報を出力する。通信部154は、補助情報を送信する。
When the auxiliary
When the encryption
The
(サーバ)
図8は、実施形態に係るサーバの一例を示す機能ブロック図である。ここでは、サーバ400の機能のうち、プライバシー保護装置100が送信した暗号化した結果と補助情報とを受信し、暗号化した結果を復号することによって位置情報を取得する機能について説明する。
サーバ400は、通信部402と記憶部410と制御部430とを備える。
通信部402は、通信モジュールによって実現される。通信部402は、インターネット50を介して、プライバシー保護装置100、時報局500などの他の装置との間で通信を行う。具体的には、通信部402は、プライバシー保護装置100が送信した暗号化した結果を受信し、受信した暗号化した結果を、制御部430へ出力する。また、通信部402は、プライバシー保護装置100が送信した補助情報wを受信し、受信した補助情報wを、制御部430へ出力する。また、通信部402は、M3時間経過後に、時報局500が送信した電子署名が付加された時刻情報を受信し、受信した電子署名が付加された時刻情報を、制御部430へ出力する。
記憶部410は、プログラム412を記憶する。プログラム412は、制御部430を、取得部432と復号部434として機能させる。
制御部430は、例えばCPU等の演算処理装置によって構成され、記憶部410に記憶されたプログラム412を実行することにより、取得部432と復号部434として機能する。取得部432は、通信部402が出力した暗号化した結果を取得し、取得した暗号化した結果を、復号部434へ出力する。また、取得部432は、通信部402が出力した補助情報wを取得し、取得した補助情報wを、復号部434へ出力する。ここで、取得部432は、暗号化した結果を取得してからM2時間経過後に補助情報wを取得し、暗号化した結果を取得してからM3時間経過後に電子署名が付加された時刻情報を取得する。
復号部434は、取得部432が出力した暗号化した結果と補助情報wと電子署名が付加された時刻情報を取得した場合に、電子署名を検証する。復号部434は、電子署名の検証が成功した場合に、取得した補助情報wと時刻情報t0(=M3)とに基づいて、e(r(t0+x)P,w/(x+t0)P)=sを演算する。そして、復号部434、演算した結果sのハッシュ値等のダイジェスト値を位置情報の復号鍵とする。復号部434は、復号鍵で、暗号化した結果を復号することによって、位置情報を取得する。
(server)
FIG. 8 is a functional block diagram showing an example of the server according to the embodiment. Here, among the functions of the
The
The
The
The
The
<プライバシー保護装置の動作>
図9は、実施形態に係るプライバシー保護装置100の動作(その1)の一例を示す。図9に示される例では、X社のサーバ400dからX会社が要求する車両情報の一覧SP1がプライバシー保護装置100へ供給された後の動作を示す。
(ステップS102) 無線通信部152は、車両300に搭載された車載端末350によって送信される車両情報を収集する。
(ステップS104) 情報抽出部156は、ステップS102において収集した車両情報から、情報提供先、つまりX会社から要求される車両情報を抽出する。
(ステップS106) 事象判定部158は、プライバシー保護の対象外となる事象が発生しているか否かを判定する。プライバシー保護の対象外となる事象が発生していない場合にはステップS108へ移行し、発生している場合には図10のステップS202へ移行する。
(ステップS108) 情報判定部160は、ステップS104において抽出した車両情報がセンシティブ情報又はコンテキストセンシティブ情報であるか否かを判定する。車両情報がセンシティブ情報である場合にはステップS110へ移行し、車両情報がセンシティブ情報でない場合には図10のステップS208へ移行する。
(ステップS110) 転送判定部162は、ステップS104において抽出した車両情報をX社のサーバ400dへ提供するか否かを判定する。X社のサーバ400dへ提供しないと判定した場合には終了し、提供すると判定した場合にはステップS112へ移行する。
(ステップS112) 情報変更部164は、車両情報が位置情報であるか否かを判定する。車両情報が位置情報であると判定した場合にはステップS114へ移行し、車両情報が位置情報でないと判定した場合には図10のステップS206へ移行する。
<Operation of privacy protection device>
FIG. 9 shows an example of the operation (part 1) of the
(Step S102) The
(Step S104) The
(Step S106) The event determining unit 158 determines whether an event that is not subject to privacy protection has occurred. If an event not subject to privacy protection has not occurred, the process proceeds to step S108. If an event has occurred, the process proceeds to step S202 of FIG.
(Step S108) The information determination unit 160 determines whether the vehicle information extracted in step S104 is sensitive information or context sensitive information. When vehicle information is sensitive information, it transfers to step S110, and when vehicle information is not sensitive information, it transfers to step S208 of FIG.
(Step S110) The transfer determination unit 162 determines whether the vehicle information extracted in step S104 is to be provided to the
(Step S112) The
(ステップS114) 情報変更部164は、車両情報に時刻情報が含まれる場合に、時刻情報を削除する。
(ステップS115) 情報変更部164は、保護レベル判定テーブル1666の保護レベルの欄に登録された情報の粒度にしたがって、必要に応じて、車両情報を変更する。
(ステップS116) 暗号鍵生成部170は、補助情報生成部168が生成した補助情報と情報開示ポリシー1668に記憶されているサーバ400dに関連付けられている開示情報とに基づいて、暗号鍵を生成する。
(ステップS118) 暗号化部172は、暗号鍵で、車両情報を暗号化する。
(ステップS120) 通信部154は、車両情報を暗号化した結果を含むメッセージセットを作成する。
(ステップS122) 通信部154は、X社のサーバ400dへ、作成したメッセージセットを送信する。
(ステップS124) 暗号化部172は、X社のサーバ400dに関連付けられている時刻関連情報で示される時間が経過したか否かを判定することによって、補助時間を送信する時間であるか否かを判定する。補助時間を送信する時間でない場合にはステップS124へ戻り、補助時間を送信する時間である場合にはステップS126へ移行する。
(ステップS126) 暗号化部172は、補助情報を送信する。
(Step S114) The
(Step S115) The
(Step S116) The encryption
(Step S118) The
(Step S120) The
(Step S122) The
(Step S124) Whether or not the auxiliary time is a time to transmit is determined by determining whether the time indicated by the time-related information associated with the
(Step S126) The
図10は、実施形態に係るプライバシー保護装置100の動作(その2)の一例を示す。図10に示される例では、図9のステップS106において、プライバシー保護の対象外となる事象が発生している場合の動作が示される。
(ステップS202) 情報判定部160は、ステップS104において抽出した車両情報がセンシティブ情報であるか否かを判定する。車両情報がセンシティブ情報でない場合、ステップS204へ移行する。
(ステップS204) 転送判定部162は、ステップS104において抽出した車両情報を情報提供先へ提供するか否かを判定する。情報提供先へ提供しないと判定した場合には終了し、提供すると判定した場合にはステップS206へ移行する。
(ステップS206) 情報変更部164は、保護レベル判定テーブル1666の保護レベルの欄に登録された情報の粒度にしたがって、必要に応じて、車両情報を変更する。
(ステップS208) 通信部154は、車両情報を暗号化した結果を含むメッセージセットを作成する。
(ステップS210) 通信部154は、X社のサーバ400dへ、作成したメッセージセットを送信する。
図9−図10に示されるフローチャートは一例であり、図9−図10とは異なる順序で処理が行われてもよい。例えば、ステップS106と、ステップS108、ステップS110、及びステップS112の順序が入れ替えられてもよい。
FIG. 10 shows an example of the operation (part 2) of the
(Step S202) The information determination unit 160 determines whether the vehicle information extracted in step S104 is sensitive information. If the vehicle information is not sensitive information, the process proceeds to step S204.
(Step S204) The transfer determination unit 162 determines whether to provide the vehicle information extracted in step S104 to the information provider. If it is determined that the information provision destination is not provided, the process ends. If it is determined that the information provision destination is provided, the process proceeds to step S206.
(Step S206) The
(Step S208) The
(Step S210) The
The flowcharts shown in FIGS. 9 to 10 are an example, and the processing may be performed in an order different from those in FIGS. 9 to 10. For example, the order of step S106, step S108, step S110, and step S112 may be reversed.
<サーバの動作>
図11は、実施形態に係るサーバの動作の一例を示す。図11に示される例では、プライバシー保護装置100が送信した暗号化した結果を、X社のサーバ400dが受信した後の動作を示す。
(ステップS302) 通信部402は、プライバシー保護装置100が送信した車両情報を受信する。この車両情報は、暗号化されている。
(ステップS304) 復号部434は、車両情報を受信してから時間M4が経過したか否かを判定する。ここで、時間M4は、時間M3よりも長い時間である。時間M4が経過していない場合にはステップS306へ移行し、時間M4が経過している場合には終了する。終了した場合、X社のサーバ400dは位置情報を取得できなかったことになる。
(ステップS306) 復号部434は、補助情報を受信したか否かを判定する。具体的には、復号部434は、車両情報を受信してからM2時間経過後に、補助情報を受信したか否かを判定する。補助情報を受信した場合にはステップS308へ移行し、受信していない場合にはステップS304へ移行する。
(ステップS308) 復号部434は、電子署名が付加された時刻情報を取得する。具体的には、復号部434は、車両情報を受信してからM3時間経過後に、電子署名が付加された時刻情報を取得する。
(ステップS310) 復号部434は、時刻情報と補助情報とに基づいて、復号鍵を生成する。
(ステップS312) 復号部434は、ステップS302で受信した車両情報を、復号する。
<Server operation>
FIG. 11 shows an example of the operation of the server according to the embodiment. The example shown in FIG. 11 shows the operation after the
(Step S302) The
(Step S304)
(Step S306) The
(Step S308) The
(Step S310) The
(Step S312) The
(位置情報の暗号化、及び復号処理)
前述したプライバシー保護装置100が実行する位置情報の暗号化処理、サービス提供者のサーバ400が実行する位置情報を暗号化した結果を復号する処理について説明する。(G1,+),(G2,×)をそれぞれ離散対数問題が困難な群とする。
e:G1×G1→G2をペアリング写像とする。つまり、e(nP,Q)=e(P,nQ)が成り立つ。
また、ペアリング演算では、式(1)が成り立つ。
e(xP,yP)=e(yP,xP)=e(P,P)^xy (1)
時報局500は、自然数xを秘密鍵とし、P∈G1(G1に含まれるP)を選択して(P,xP)を公開鍵として公開する。時報局500は、現在時刻tに対して、(t,1/(x+t)P)を正式な時報として毎秒発行する。
サーバ400は、e(1/(x+t)P,xP+tP)=e(P,P)が成立する場合に、署名が正式であると判定する。
プライバシー保護装置100は、乱数rと補助情報wとプライバシー要件によって定められた時刻t0を選択し、s=e(rP,wP)を計算する。プライバシー保護装置100は、計算した結果sのハッシュ値を位置情報の暗号鍵として、共通鍵暗号等の暗号化方式を用いて、C=E_s(P)のように暗号化する。暗号化された位置情報には、(t0,r(t0+x)P)をヘッダとして付加する。プライバシー保護装置100は、M2時間経過した後に、補助情報wをサービス提供者に送付する。
サーバ400は、M2時間経過した後に、補助情報wを受信する。また、サーバ400は、時刻t0になると正式な時報につけられた署名データ1/(x+t0)Pを時報局500から取得できる。このため、サーバ400は、e(r(t0+x)P,w/(x+t0)P)=e(rP,wP)^((t0+x)/(x+t0))=e(rP,wP)=sを計算し、計算によって得られたsのハッシュ値から復号鍵を導出できるため、位置情報を復号できる。
(Encryption and decryption of location information)
The process of encrypting the position information performed by the
e: Let G1 × G1 → G2 be a pairing map. That is, e (nP, Q) = e (P, nQ) holds.
Also, in the pairing operation, equation (1) holds.
e (xP, yP) = e (yP, xP) = e (P, P) ^ xy (1)
The
If e (1 / (x + t) P, xP + tP) = e (P, P) holds, the
The
The
(適用例)
データ或いはデータ群の転送対象として、時刻と位置情報とが含まれる場合、データ或いはデータ群を転送するプライバシー保護装置100は、車両のイグニッション・キーがオンにされ、走行を開始してからM1時間の間は、時刻と位置情報を転送対象から除外する。これによって、家等の車両の出発地点の位置情報が、サービス提供者へ送信されることを防ぐことができるため、プライバシーリスクを避けることができる。
さらに、データ或いはデータ群の転送対象として、時刻と位置情報が含まれる場合、データ或いはデータ群を転送するプライバシー保護装置100は、車両のイグニッション・キーがオフにされ、走行を停止したと判断される場合には、停止する前のM2時間の間、暗号化した結果を復号するのに必要とされる補助情報の送付を停止する。なお、M1は、出発地近傍の車両保管台数及び走行車両台数の統計と利用者の知られたくない度合い(N)によって決定される。これによって、家等の車両の到着地点の位置情報が、サービス提供者へ送信されることを防ぐことができるため、プライバシーリスクを避けることができる。
一方、データ或いはデータ群の転送対象として、時刻と位置情報とが含まれる場合、プライバシー保護装置100は、利用者によって予め指定された「情報保護対象外事象」が発生し、所定の機関・団体等からの開示リクエストを受領した場合には、すべての情報を所定の機関・団体に対して、開示する。これによって、異常が発生し緊急の場合には、サービス提供者に、情報を、直ちに通知することができる。
(Example of application)
When time and location information are included as data or data group transfer targets,
Furthermore, when time and position information are included as a transfer target of data or data group, it is determined that the ignition key of the vehicle is turned off and the travel is stopped in
On the other hand, when time and location information are included as transfer targets of data or data group, the
前述した実施形態において、プライバシー保護装置100は、インターネットへのアクセスログを一定数保存するようにしてもよい。そして、利用者によってアクセスログの全て、或いは一部を削除すること、並びに特定のサイトへのアクセスを禁じることができるようにしてもよい。また、プライバシー保護装置100は、指定された通信プロトコル以外の通信プロトコルにおいて、原データ或いはデータ群を転送先に伝送することを禁じるようにしてもよい。また、プライバシー保護装置100は、指定されたデータフォーマット以外のデータフォーマットにおいて、原データ或いはデータ群を転送先に伝送することを禁じるようにしてもよい。
また、プライバシー保護装置100は、提供先によって収集された車両情報を第三者へ提供する場合等の二次利用に関する事前承諾が、提供先から利用者へ求められた場合に、利用者に代行して回答するようにしてもよい。この場合、プライバシー保護装置100は、以下の(イ)、(ロ)、及び(ハ)の場合には二次利用を禁止する回答を返信してもよい。
(イ) 第三者が、利用者の意向により二次利用を禁じられている場合
(ロ) 第三者が、プライバシー保護装置において既に転送先である場合
(ハ) 第三者が、プライバシー保護装置において過去に転送先であり、その転送期間に二次利用データの対象期間が含まれる場合
In the embodiment described above, the
In addition, the
(B) When a third party is prohibited from secondary use by the user's intention (b) When a third party is already a transfer destination in the privacy protection device (b) Third party, privacy protection When the device is a transfer destination in the past, and the transfer period includes the target period of secondary usage data
前述した実施形態においては、サービス提供者へ直ちに通知することでプライバシーリスクにつながるおそれがあり、且つ緊急の場合には直ちに通知する情報の一例として、位置情報を適用した場合について説明したが、この例に限られない。例えば、位置情報以外の情報に適用することもできる。
前述した実施形態においては、プライバシー保護装置100が、開示情報と補助情報とに基づいて、時限式暗号方式によって暗号鍵を生成し、生成した暗号鍵で、位置情報を暗号化する場合について説明したが、この例に限られない。例えば、プライバシー保護装置100は、開示情報に基づいて、時限式暗号方式によって暗号鍵を生成し、生成した暗号鍵で、位置情報を暗号化するようにしてもよい。このように構成することによって、車両情報の提供先は、補助情報を受信することなく、開示情報で示される開示するタイミングで、暗号化した結果を復号できる。
前述した実施形態においては、利用者識別ID、及び情報の提供先毎に情報の粒度を変更する場合について説明したが、この例に限られない。例えば、車載端末350に搭載されているアプリケーション毎に情報の粒度を変更するようにしてもよい。さらに、プライバシー保護装置100では、プライバシー保護対象外の事象が発生しているか否かを判定できない場合には、車載端末350で判定されてもよいし、車載端末350以外の装置によって判定されてもよい。
前述した実施形態においては、パーソナルデータ送出装置200が通信ネットワーク20に接続される場合について説明したが、通信ネットワーク20に限られず、インターネット50に接続されてもよい。また、前述した実施形態においては、プライバシー保護装置100がインターネット50に接続される場合について説明したが、インターネットに限られず、インターネット以外のネットワークに接続されてもよい。さらに、パーソナルデータ送出装置200が、インターネット以外のネットワークに接続されてもよい。
前述した実施形態において、M1時間、M2時間、M3時間は、秒で表されてもよいし分で表されてもよい。
In the embodiment described above, the case where location information is applied is described as an example of information which may lead to privacy risk by immediately notifying a service provider, and in the case of emergency, information immediately notified. It is not limited to the example. For example, the present invention can be applied to information other than position information.
In the embodiment described above, the case where the
Although the case where the granularity of information is changed for every user identification ID and the provision destination of information was demonstrated in embodiment mentioned above, it is not restricted to this example. For example, the granularity of the information may be changed for each application installed in the on-
In the embodiment described above, although the case where the personal
In the embodiment described above, M1 hour, M2 hour, and M3 hour may be expressed in seconds or minutes.
また、前述した実施形態においては、プライバシー保護装置100が、データを、インターネット50を経由して転送先T01、転送先T02、・・・、転送先T0Mのいずれか、或いは複数の転送先へ転送すると判定した場合に、当該データをパーソナルデータ送出装置200にプライバシー保護装置100への送出を許可する場合について説明したが、この例に限られない。例えば、パーソナルデータ送出装置200は、プライバシー保護装置に全ての情報を(重複がないように)送信してもよい。この場合、プライバシー保護装置100は、パーソナルデータ送出装置200が送信したデータについて、転送可否、粒度変更を行う。このように構成することによって、パーソナルデータ送出装置200、及びプライバシー保護装置100を単純化或いは低コスト化することができる。
Also, in the embodiment described above, the
実施形態に係る通信システムによれば、提供元から提供先へ、プライバシー保護装置を経由して車両情報が送信される。プライバシー保護装置は、提供元から複数の車両情報を取集し、提供先毎に、提供元の意向に基づいて、車両情報が、提供先へ直ちに通知することでプライバシーリスクにつながるおそれがあり、且つ緊急の場合には直ちに通知する情報に該当する場合に、車両情報の変更や、削除を行い、変更した車両情報を暗号化して配信できる。
実施形態に係る通信システムによれば、車載端末350とサービス提供者との間に、プライバシー保護装置100を備えることによって、プライバシー保護装置100は、車両の走行中もサービスを享受するために、プライバシーポリシーにしたがって、ユーザの意思を代行する。このため、車載端末350とGWとの間のデータ伝送を削減することができる。
実施形態に係る通信システムによれば、プライバシー保護装置100は、位置情報等の提供先へ直ちに通知することでプライバシーリスクにつながるおそれがあり、且つ緊急の場合には直ちに通知する情報を送付する際の開示情報を定め、定めた開示情報にしたがって、時限式暗号方式等で暗号化を行い、暗号化した結果を送付する。このように構成することによって、サービスの形態やプライバシー要件に基づいて、サービス提供者が位置情報を取得できる時間をコントロールすることができる。
According to the communication system according to the embodiment, the vehicle information is transmitted from the provider to the provider via the privacy protection device. The privacy protection device may collect multiple pieces of vehicle information from the provider, and the vehicle information may immediately notify the provider based on the provider's intention for each provider, which may lead to a privacy risk. In the case of an emergency, if it corresponds to the information to be notified immediately, the vehicle information can be changed or deleted, and the changed vehicle information can be encrypted and distributed.
According to the communication system according to the embodiment, by providing the
According to the communication system according to the embodiment, the
前述した実施形態において、車載端末は、複数のアプリケーションが、個別に車両情報を取得し、情報の提供先に転送する場合に比べ、プライバシー保護装置100へ送信することによって、車載端末によって出力されるデータの伝送量を低減できるとともに、効率化できる。さらに、車両情報の変更は、解像度、精度、鮮度等の情報の粒度を変更することによって実現される。ユーザは、適用する情報の粒度について、どの程度抽象化した概念を採用するのかについて自己の状況に応じて選択できる。例えば、ユーザは、位置情報については緯度経度の桁数や市町村名、時刻については時分秒や朝昼夕晩等、自己の状況については平時であるのか、緊急事態等の特別な事象が発生した場合であるのかに応じて選択できる。
実施形態に係るプライバシー保護装置は、車両、及び車載端末から供給される車両情報に限定するものではなく、あらゆる端末装置によって供給される情報も収容し、前述した機能を提供することができる。これによって、多種多様なものがネットワークに接続されるようなIoT(Internet of Things)が適用される環境において、利用者がプライバシー保護のために生じる負担を一層軽減することができる。
前述した実施の形態において、車載端末は端末装置の一例であり、車載情報は情報の一例であり、X社のサーバ400dは提供先の一例であり、コンテキストは情報の組み合わせの一例であり、通信部は送信部の一例であり、パーソナルデータ送出装置200は取得部の一例である。
本発明は特定の実施例、変形例を参照しながら説明されてきたが、各実施例、変形例は単なる例示に過ぎず、当業者は様々な変形例、修正例、代替例、置換例等を理解するであろう。説明の便宜上、本発明の実施例に従った装置は機能的なブロック図を用いて説明されたが、そのような装置はハードウェアで、ソフトウェアでまたはそれらの組み合わせで実現されてもよい。本発明は上記実施例に限定されず、本発明の精神から逸脱することなく、様々な変形例、修正例、代替例、置換例等が包含される。
In the embodiment described above, the in-vehicle terminal is output by the in-vehicle terminal by transmitting to the
The privacy protection device according to the embodiment is not limited to the vehicle and the vehicle information supplied from the in-vehicle terminal, and can accommodate the information supplied by any terminal device, and can provide the above-described function. This can further reduce the burden on the user for privacy protection in an environment where IoT (Internet of Things) is applied where various things are connected to the network.
In the embodiment described above, the in-vehicle terminal is an example of a terminal device, the in-vehicle information is an example of information, the
Although the present invention has been described with reference to specific embodiments and variations, each embodiment and variation are merely examples, and those skilled in the art should understand that various variations, modifications, alternatives, substitutions, etc. Will understand. Although the apparatus according to the embodiments of the present invention has been described using a functional block diagram for convenience of explanation, such an apparatus may be realized in hardware, software or a combination thereof. The present invention is not limited to the above embodiments, and includes various modifications, alterations, alternatives, and replacements without departing from the spirit of the present invention.
20…通信ネットワーク、50…インターネット、100…プライバシー保護装置、152…無線通信部、154…通信部、156…情報抽出部、158…事象判定部、160…情報判定部、162…転送判定部、164…情報変更部、166…記憶部、168…補助情報生成部、170…暗号鍵生成部、172…暗号化部、1662…プライバシー保護対象外事象判定テーブル、1664…センシティブ情報判定テーブル、1666…保護レベル判定テーブル、1668…情報開示ポリシー、200…パーソナルデータ送出装置、300…車両、310a、310b、310c、310d…ECU、315…CAN、320…G/W、330…GPS、340…Data Broker、350…車載端末、352…HW+OS、354…Web runtime、355…パーソナルデータ送出アプリケーション・プログラム、400a…道路交通情報サーバ、400b…データセンターのサーバ、400c…保険会社・ロードサービス会社のサーバ、400d…X社のサーバ、402…通信部、410…記憶部、412…プログラム、430…制御部、432…取得部、434…復号部、500…時報局
Claims (10)
前記情報抽出部が抽出した情報又は情報の組み合わせがセンシティブ情報に該当するか否かを判定する情報判定部と、
前記情報判定部がセンシティブ情報に該当すると判定した情報又は情報の組み合わせについて、前記提供先へ送信するか否かを判定する転送判定部と、
前記転送判定部が前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを開示するタイミングを示す開示情報に基づいて、暗号鍵を生成する暗号鍵生成部と、
前記転送判定部が前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを、前記暗号鍵で暗号化する暗号化部と、
前記暗号化部が前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを暗号化した結果を、前記提供先へ送信する送信部と
を備える、プライバシー保護装置。 An information extraction unit that extracts information or a combination of information requested by a provision destination from a plurality of pieces of information transmitted by the terminal device;
An information determination unit that determines whether the information or combination of information extracted by the information extraction unit corresponds to sensitive information;
A transfer determination unit that determines whether the information determination unit determines that information or a combination of information determined to correspond to sensitive information is to be transmitted to the provision destination;
An encryption key generation unit that generates an encryption key based on disclosure information indicating the timing of disclosing the combination of the information or the combination determined to be transmitted to the provision destination by the transfer determination unit;
An encryption unit that encrypts, with the encryption key, the information determined to be transmitted to the provision destination by the transfer determination unit or a combination of the information;
A transmitter configured to transmit, to the provision destination, a result obtained by encrypting the information determined to be sent to the provision destination by the encryption unit or a combination of the information.
を備え、
前記暗号鍵生成部は、前記補助情報生成部が生成した前記補助情報と前記開示情報とに基づいて、前記暗号鍵を生成し、
前記送信部は、前記暗号化部が前記提供先へ送信すると判定した前記情報又は前記開示情報の組み合わせを暗号化した結果と前記補助情報とを別々に、前記提供先へ送信する、請求項1に記載のプライバシー保護装置。 An auxiliary information generation unit that generates auxiliary information;
The encryption key generation unit generates the encryption key based on the auxiliary information generated by the auxiliary information generation unit and the disclosure information.
The transmission unit separately transmits the auxiliary information and the result obtained by encrypting the combination of the information or the disclosure information determined to be transmitted to the provision destination by the encryption unit to the provision destination. Privacy protection device as described in.
を備え、
前記暗号化部は、前記情報変更部によって情報の粒度が変更された前記情報又は前記情報の組み合わせを、前記暗号鍵で暗号化する、請求項1に記載のプライバシー保護装置。 An information changing unit that changes the granularity of the information or the combination of the information determined as the information or the combination of the information determined to be transmitted to the provision destination by the transfer determination unit;
The privacy protection device according to claim 1, wherein the encryption unit encrypts the information or the combination of the information whose granularity of information has been changed by the information change unit, using the encryption key.
を備え、
前記情報変更部は、前記記憶部に記憶された情報の保護のレベルに応じて、前記情報抽出部によって抽出された前記情報又は前記情報の組み合わせの粒度を変更する、請求項3に記載のプライバシー保護装置。 A storage unit for storing the level of protection of information to be sent to the provision destination;
The privacy according to claim 3, wherein the information changing unit changes the granularity of the information extracted by the information extracting unit or the combination of the information according to the protection level of the information stored in the storage unit. Protection device.
を備え、
前記暗号鍵生成部は、前記補助情報生成部が生成した前記補助情報と前記開示情報とに基づいて、前記暗号鍵を生成し、
前記暗号化部は、前記情報変更部によって情報の粒度が変更された前記情報又は前記情報の組み合わせを、前記暗号鍵で暗号化し、
前記送信部は、前記暗号化部が前記情報の粒度が変更された情報又は情報の組み合わせを暗号化した結果と前記補助情報とを別々に、前記提供先へ送信する、請求項3から請求項6のいずれか一項に記載のプライバシー保護装置。 An auxiliary information generation unit that generates auxiliary information;
The encryption key generation unit generates the encryption key based on the auxiliary information generated by the auxiliary information generation unit and the disclosure information.
The encryption unit encrypts, with the encryption key, the information whose information granularity has been changed by the information change unit or a combination of the information.
The said transmission part transmits separately the result and the said auxiliary information to which the said encryption part encrypted the information or combination of information in which the granularity of the said information was changed, to the said provision destination. The privacy protection device according to any one of 6.
前記抽出するステップで抽出した情報又は情報の組み合わせがセンシティブ情報に該当するか否かを判定するステップと、
前記センシティブ情報に該当すると判定した情報又は情報の組み合わせについて、前記提供先へ送信するか否かを判定するステップと、
前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを開示するタイミングを示す開示情報に基づいて、暗号鍵を生成するステップと、
前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを、前記暗号鍵で暗号化するステップと、
前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを暗号化した結果を、前記提供先へ送信するステップと
を有する、プライバシー保護方法。 Extracting information or a combination of information requested by the provider from a plurality of pieces of information transmitted by the terminal device;
Determining whether the information or combination of information extracted in the extracting step corresponds to sensitive information;
Determining whether to transmit the information or the combination of the information determined to correspond to the sensitive information to the provision destination;
Generating an encryption key based on disclosure information indicating timing of disclosure of the information determined to be transmitted to the provision destination or a combination of the information;
Encrypting the information determined to be transmitted to the provision destination or the combination of the information with the encryption key;
Transmitting the encrypted information or the combination of the information determined to be transmitted to the provision destination to the provision destination.
端末装置が送信した複数の情報から、提供先が要求する情報又は情報の組み合わせを抽出するステップと、
前記抽出するステップで抽出した情報又は情報の組み合わせがセンシティブ情報に該当するか否かを判定するステップと、
前記センシティブ情報に該当すると判定した情報又は情報の組み合わせについて、前記提供先へ送信するか否かを判定するステップと、
前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを開示するタイミングを示す開示情報に基づいて、暗号鍵を生成するステップと、
前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを、前記暗号鍵で暗号化するステップと、
前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを暗号化した結果を、前記提供先へ送信するステップと
を実行させる、プログラム。 On the computer of the privacy protection device
Extracting information or a combination of information requested by the provider from a plurality of pieces of information transmitted by the terminal device;
Determining whether the information or combination of information extracted in the extracting step corresponds to sensitive information;
Determining whether to transmit the information or the combination of the information determined to correspond to the sensitive information to the provision destination;
Generating an encryption key based on disclosure information indicating timing of disclosure of the information determined to be transmitted to the provision destination or a combination of the information;
Encrypting the information determined to be transmitted to the provision destination or the combination of the information with the encryption key;
Transmitting the result of encrypting the combination of the information or the information determined to be transmitted to the provision destination to the provision destination.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017073948A JP6803291B2 (en) | 2017-04-03 | 2017-04-03 | Privacy protection devices, privacy protection methods, and programs |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017073948A JP6803291B2 (en) | 2017-04-03 | 2017-04-03 | Privacy protection devices, privacy protection methods, and programs |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018180600A true JP2018180600A (en) | 2018-11-15 |
JP6803291B2 JP6803291B2 (en) | 2020-12-23 |
Family
ID=64275433
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017073948A Active JP6803291B2 (en) | 2017-04-03 | 2017-04-03 | Privacy protection devices, privacy protection methods, and programs |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6803291B2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111556339A (en) * | 2020-04-15 | 2020-08-18 | 长沙学院 | Video information privacy protection system and method based on sensitive information measurement |
JP2021124549A (en) * | 2020-02-03 | 2021-08-30 | 日本放送協会 | Information processor and program |
WO2022054650A1 (en) * | 2020-09-08 | 2022-03-17 | ソフトバンク株式会社 | Information transmission device, personal information disclosure management device, and program |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009200696A (en) * | 2008-02-20 | 2009-09-03 | Nec Corp | Communication system, communication device and communication method |
JP2013057995A (en) * | 2011-09-07 | 2013-03-28 | Ntt Data Corp | Information disclosure system, information disclosure server, driving user terminal, and information disclosure method |
-
2017
- 2017-04-03 JP JP2017073948A patent/JP6803291B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009200696A (en) * | 2008-02-20 | 2009-09-03 | Nec Corp | Communication system, communication device and communication method |
JP2013057995A (en) * | 2011-09-07 | 2013-03-28 | Ntt Data Corp | Information disclosure system, information disclosure server, driving user terminal, and information disclosure method |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021124549A (en) * | 2020-02-03 | 2021-08-30 | 日本放送協会 | Information processor and program |
JP7458805B2 (en) | 2020-02-03 | 2024-04-01 | 日本放送協会 | Information processing device, information processing system, and program |
CN111556339A (en) * | 2020-04-15 | 2020-08-18 | 长沙学院 | Video information privacy protection system and method based on sensitive information measurement |
WO2022054650A1 (en) * | 2020-09-08 | 2022-03-17 | ソフトバンク株式会社 | Information transmission device, personal information disclosure management device, and program |
Also Published As
Publication number | Publication date |
---|---|
JP6803291B2 (en) | 2020-12-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111149324B (en) | Cryptography method and system for managing digital certificates with linked values | |
US10390221B2 (en) | Private vehicle-to-vehicle communication | |
Raya et al. | Securing vehicular communications | |
JP6706965B2 (en) | Communication system, terminal device, privacy protection device, privacy protection method, and program | |
JP5261614B2 (en) | Communication system, in-vehicle terminal, roadside device | |
US20200151971A1 (en) | Ledger management device, ledger management system, and vehicle-mounted information provision device | |
WO2012056688A1 (en) | Terminal device | |
JP6959155B2 (en) | Verification method, verification device and program | |
US11895250B2 (en) | Cryptographic methods and systems using activation codes for digital certificate revocation | |
JP2018097668A (en) | Road-vehicle communication system, roadside communication device, onboard communication device, and road-vehicle communication method | |
US11314893B2 (en) | Systems and methods for securing personally identifiable information within telematics data | |
JP6803291B2 (en) | Privacy protection devices, privacy protection methods, and programs | |
US11704107B2 (en) | Software updates based on transport-related actions | |
CN109196817B (en) | Communication system and in-vehicle communication device | |
JP7152579B2 (en) | Verification method, verification device and program | |
Zuo et al. | Cost-effective privacy-preserving vehicular urban sensing system | |
US20230382392A1 (en) | Broadcasting vehicle event to external source | |
US11870557B2 (en) | Process for generating transport keys for data communication based on actions performed by a transport | |
US20220274593A1 (en) | Transport-related object avoidance | |
US20220300915A1 (en) | Decommissioning transport batteries | |
US20220234466A1 (en) | Transport charge capability re-routing | |
JP4759461B2 (en) | Road information authenticity judgment method | |
US11555466B1 (en) | Minimal route determination | |
WO2023074072A1 (en) | Data storage system, mobile body, and data storage program | |
US20220217201A1 (en) | Provisioning of event-based keys to transports |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170404 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190610 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200318 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200421 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200612 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20201124 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20201130 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6803291 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |