JP2019040537A - 本人確認情報提供方法および本人確認情報提供サーバ - Google Patents
本人確認情報提供方法および本人確認情報提供サーバ Download PDFInfo
- Publication number
- JP2019040537A JP2019040537A JP2017163814A JP2017163814A JP2019040537A JP 2019040537 A JP2019040537 A JP 2019040537A JP 2017163814 A JP2017163814 A JP 2017163814A JP 2017163814 A JP2017163814 A JP 2017163814A JP 2019040537 A JP2019040537 A JP 2019040537A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- information
- level
- user attribute
- identity verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】ユーザのプライバシ保護や利便性を満たしながら、サービス事業者へのユーザ属性情報の提示を可能とする。【解決手段】本人確認情報提供サーバ100は、ユーザ属性情報を含む本人確認情報DB200を記憶する記憶部を備える。本人確認情報提供サーバ100は、Webサイト400が提示を要求する要求ユーザ属性情報をユーザ端末300から受信するステップと、Webサイトの信頼レベルが高い場合には、提示を許容するユーザ属性情報の詳細度を高く、Webサイトの信頼レベルが低い場合には、提示を許容するユーザ属性情報の詳細度を低く決定するステップと、前記要求ユーザ属性情報に含まれるユーザ属性について、決定したユーザ属性情報の詳細度に応じて、本人確認情報DB200から取得したユーザ属性情報を変換して、変換したユーザ属性情報を含む証明書を発行し、ユーザ端末300に送信するステップとを実行する。【選択図】図1
Description
本発明は、ネットワークを用いるサービスのユーザ登録時やサービス提供時に行われる本人確認に適したユーザ属性情報を提供する本人確認情報提供方法および本人確認情報提供サーバに関する。
商品の購入やオークションへの出品などインターネット上でサービスを受けるにあたっては、氏名、住所、生年月日、電子メールアドレスなどのユーザ自身の属性情報(ユーザ属性情報)をWebサイトに登録する必要がある。Webサイトは、登録されたユーザ属性情報を参照して、ユーザがサービス提供の条件を満たしていることを確認する。
ユーザが登録したユーザ属性情報の真正性を確認するために、Webサイトが、本人確認書類(運転免許証など)の写しのWebサイトへのアップロードないしは郵送を求める場合がある。この場合には、Webサイトは、登録されたユーザ属性情報と本人確認書類に記載の情報とを照合する必要がある。
書類ベースの本人確認(ユーザ属性情報の確認)の他に、マイナンバーカードに含まれるような電子的な本人確認情報(証明書)を利用することも可能となっている(非特許文献1)。ユーザは、ユーザ登録時に入力フォームに自身のユーザ属性情報を入力し、ユーザ端末に保管された証明書を提示して、Webサイトにユーザ登録を申請する。Webサイトは、証明書のデジタル署名を検証し、入力フォームにあるユーザ属性情報と証明書中のユーザ属性情報とを照合した上で、ユーザがサービス提供の条件を満たしていることを確認する。
マイナンバー制度の民間活用について、経済産業省情報プロジェクト室、平成27年9月、[online]、[平成29年7月26日検索]、インターネット<URL:http://www.meti.go.jp/policy/it_policy/id_renkei/150917_1_METI.pdf>
非特許文献1に記載されるような証明書を用いることで、Webサイトは、登録されたユーザ属性情報と本人確認書類に記載の情報とを照合する手間を削減することができる。しかしながら、以下に示すような課題がある。
第1に、Webサイトは、サービス利用期間中に亘ってユーザがサービス提供条件を満たしているかを正確には確認できない。詳しくは、住所や氏名などのユーザ属性情報は、引越しや結婚などのライフサイクルにともない変更される。しかし、ユーザ属性情報は、ユーザ登録時に証明書にて提示されたのみであり、サービス利用時には提示されておらず、更新されていない。したがって、Webサイトは、サービス利用期間中に亘ってユーザがサービス提供条件を満たしているかを正確には確認できない。
第2に、証明書に記載されるユーザ属性情報は、Webサイト利用に必要な範囲を超えた不要なユーザ属性情報を含む場合がある。不要なユーザ属性情報がWebサイトに提供される場合があり、ユーザのプライバシ保護が十分ではない。
第3に、ユーザ属性情報の漏洩といった、セキュリティ上の脅威がある。ユーザが、Webサイトの運営者であるサービス提供事業者の信頼レベル(悪意のあるサービス提供事業者であるリスクの度合い)の調査を行うのは困難または手間がかかる。ユーザが信頼レベルの見極めができず、フィッシングのような詐欺サイトを含め、犯罪者に個人情報であるユーザ属性情報を渡してしまう可能性がある。
第4に、証明書の保管管理が必要であり、ユーザの利便性を損なう。ユーザ端末に保管された証明書は、公的に認められた機関が発行しており、機微な属性情報が含まれる場合もある。このために、不正使用されないように厳重に管理する必要があるが、ユーザの利便性を損なってしまう。
このような背景を鑑みて本発明がなされたのであり、本発明は、ユーザのプライバシ保護や利便性を満たしながら、サービス事業者へのユーザ属性情報の提示を可能とする本人確認情報提供方法および本人確認情報提供サーバを提供することを課題とする。
前記した課題を解決するため、請求項1に記載の発明は、ネットワークを経由してサービスを提供するWebサイトと、前記サービスにアクセスするユーザ端末と、前記ユーザ端末が前記Webサイトに提示するユーザ属性情報を含む本人確認情報の証明書を発行する本人確認情報提供サーバとから構成され、前記Webサイトと前記ユーザ端末と前記本人確認情報提供サーバとがネットワークを介して接続されている本人確認情報提供サービスシステムにおける本人確認情報提供サーバの本人確認情報提供方法であって、前記本人確認情報提供サーバが、前記ユーザ属性情報を含む本人確認情報DB(Database)を記憶する記憶部を備え、所定の決定手法により、前記Webサイトの信頼レベルを決定し、当該Webサイトの信頼レベルが高い場合には、提示を許容する前記ユーザ属性情報の詳細度を示す提示可能ユーザ属性情報詳細度を高く、当該Webサイトの信頼レベルが低い場合には、前記提示可能ユーザ属性情報詳細度を低くなるように、前記ユーザ属性情報の種類ごとに前記提示可能ユーザ属性情報詳細度を決定するWebサイト検証ステップと、前記Webサイトが提示を要求するユーザ属性情報の種類と詳細度とを示し、前記ユーザ端末から受信した情報である要求ユーザ属性情報に含まれる、各ユーザ属性情報の種類の前記提示可能ユーザ属性情報詳細度を前記Webサイト検証ステップを実行することにより決定し、前記本人確認情報DBを参照して取得した当該ユーザ属性情報の種類に対応するそれぞれのユーザ属性情報を、決定した当該提示可能ユーザ属性情報詳細度と前記要求ユーザ属性情報に含まれるユーザ属性情報の詳細度とに応じて所定の変換手法で変換する本人確認情報制御ステップと、前記要求ユーザ属性情報に含まれるユーザ属性情報の種類であって、前記本人確認情報制御ステップにより変換されたユーザ属性情報を含む証明書を発行して、前記ユーザ端末に送信する証明書発行ステップと、を実行することを特徴とする本人確認情報提供方法とした。
また、請求項9に記載の発明は、ネットワークを経由してサービスを提供するWebサイトと、前記サービスにアクセスするユーザ端末と、前記ユーザ端末が前記Webサイトに提示するユーザ属性情報を含む本人確認情報の証明書を発行する本人確認情報提供サーバとから構成され、前記Webサイトと前記ユーザ端末と前記本人確認情報提供サーバとがネットワークを介して接続されている本人確認情報提供サービスシステムの本人確認情報提供サーバであって、前記ユーザ属性情報を含む本人確認情報DBを記憶する記憶部と、所定の決定手法により、前記Webサイトの信頼レベルを決定し、当該Webサイトの信頼レベルが高い場合には、提示を許容する前記ユーザ属性情報の詳細度を示す提示可能ユーザ属性情報詳細度を高く、当該Webサイトの信頼レベルが低い場合には、前記提示可能ユーザ属性情報詳細度を低くなるように、前記ユーザ属性情報の種類ごとに前記提示可能ユーザ属性情報詳細度を決定するWebサイト検証部と、前記Webサイトが提示を要求するユーザ属性情報の種類と詳細度とを示し、前記ユーザ端末から受信した情報である要求ユーザ属性情報に含まれる、各ユーザ属性情報の種類の前記提示可能ユーザ属性情報詳細度を前記Webサイト検証部から取得し、前記本人確認情報DBを参照して取得した当該ユーザ属性情報の種類に対応するそれぞれのユーザ属性情報を、取得した提示可能ユーザ属性情報詳細度と前記要求ユーザ属性情報に含まれるユーザ属性情報の詳細度とに応じて所定の変換手法で変換する本人確認情報制御部と、前記要求ユーザ属性情報に含まれるユーザ属性情報の種類であって、前記本人確認情報制御部が変換したユーザ属性情報を含む証明書を発行して、前記ユーザ端末に送信する証明書発行部と、を備えることを特徴とする本人確認情報提供サーバとした。
このような構成にすることで、本人確認情報提供サーバは、Webサイトの信頼レベルに応じた詳細度のユーザ属性情報を含んだ証明書をユーザ端末に送信し、ユーザ端末はWebサイトに証明書を提示する。これにより、信頼レベルが低いWebサイトには詳細度の低いユーザ属性情報しか提示されず、本人確認情報提供サーバは、ユーザのプライバシを保護することができる。また、本人確認情報提供サーバは、Webサイトから要求のあったユーザ属性情報のみを含んだ証明書を発行する。要求されていないユーザ属性情報は、Webサイトには提示されず、ユーザのプライバシ保護がさらに向上する。
また、本人確認情報提供サーバは、Webサイトに、本人確認情報提供サーバが保有する本人確認情報に基づいてサービス提供の可否を判断させることができる。さらに、ユーザは、Webサイトに応じて提示する証明書を選択する必要がなくなり、本人確認情報提供サーバは、ユーザの利便性を向上させることができる。
ユーザ端末は、Webサイトにアクセスするたびに本人確認情報提供サーバから証明書を取得することが可能となり、ユーザ端末に証明書を保管する必要がなくなる。このために、証明書への不正アクセスのリスクが軽減し、本人確認情報提供サーバは、ユーザによるユーザ端末管理の負担を軽減させることができる。
また、本人確認情報提供サーバは、Webサイトに、本人確認情報提供サーバが保有する本人確認情報に基づいてサービス提供の可否を判断させることができる。さらに、ユーザは、Webサイトに応じて提示する証明書を選択する必要がなくなり、本人確認情報提供サーバは、ユーザの利便性を向上させることができる。
ユーザ端末は、Webサイトにアクセスするたびに本人確認情報提供サーバから証明書を取得することが可能となり、ユーザ端末に証明書を保管する必要がなくなる。このために、証明書への不正アクセスのリスクが軽減し、本人確認情報提供サーバは、ユーザによるユーザ端末管理の負担を軽減させることができる。
請求項2に記載の発明は、前記記憶部が、証明書識別情報と、当該証明書識別情報で識別される証明書を前記ユーザ端末が提示する先の前記Webサイトの識別情報とが関連付けられて格納される証明書本人確認情報DB、および、前記証明書識別情報と前記ユーザ端末の識別情報とが関連付けられて格納される証明書発行先端末DBを、さらに記憶し、前記本人確認情報提供サーバが、前記証明書の証明書識別情報と当該証明書の提示先のWebサイトの識別情報とを関連付けて前記証明書本人確認情報DBに格納し、前記証明書の証明書識別情報と前記ユーザ端末の識別情報とを関連付けて前記証明書発行先端末DBに格納するステップ、をさらに実行することを特徴とする請求項1に記載の本人確認情報提供方法とした。
このような構成にすることで、本人確認情報提供サーバは、証明書本人確認情報DBと証明書発行先端末DBとを参照することで、発行した証明書に関して、どのユーザ端末がどのWebサイトに提示したか、管理することが可能になり、ユーザ端末での管理を不要とすることができる。また、Webサイトは、この情報を取得することで、ユーザの複数種類の端末(マルチ端末)の利用状況を把握して対応することができるようになる。
前記した課題を解決するため、請求項3に記載の発明は、ネットワークを経由してサービスを提供するWebサイトと、前記サービスにアクセスするユーザ端末と、前記ユーザ端末が前記Webサイトに提示するユーザ属性情報を含む本人確認情報の証明書を発行する本人確認情報提供サーバとから構成され、前記Webサイトと前記ユーザ端末と前記本人確認情報提供サーバとがネットワークを介して接続されている本人確認情報提供サービスシステムにおける本人確認情報提供サーバの本人確認情報提供方法であって、前記本人確認情報提供サーバが、前記ユーザ属性情報の種類および詳細度を含めた本人確認情報と、前記本人確認情報の精細度を示す本人確認レベルとが関連付けられて格納される本人確認レベルDB、前記本人確認レベルDBに格納されたユーザ属性情報の種類および詳細度に応じた本人確認情報を含む証明書の証明書識別情報が前記本人確認レベルに関連付けられて格納される証明書本人確認情報DB、および、前記証明書識別情報と当該証明書とが関連付けられて格納される証明書DBを記憶する記憶部を備え、所定の決定手法により、前記Webサイトの信頼レベルを決定し、当該Webサイトの信頼レベルが高い場合には、提示を許容する前記ユーザ属性情報の詳細度を示す提示可能ユーザ属性情報詳細度を高く、当該Webサイトの信頼レベルが低い場合には、前記提示可能ユーザ属性情報詳細度を低くなるように、前記ユーザ属性情報の種類ごとに前記提示可能ユーザ属性情報詳細度を決定するWebサイト検証ステップと、前記Webサイトが提示を要求するユーザ属性情報の種類と詳細度とを示し、前記ユーザ端末から受信した情報である要求ユーザ属性情報と、前記決定した提示可能ユーザ属性情報詳細度とから所定の手続きにより、前記本人確認レベルDBを参照して前記本人確認レベルを決定する本人確認情報制御ステップと、前記本人確認情報制御ステップにより決定した本人確認レベルに関連付けられた証明書識別情報を前記証明書本人確認情報DBから取得し、取得した証明書識別情報に関連付けられた証明書を前記証明書DBから取得する証明書管理ステップと、前記証明書管理ステップで取得した証明書を前記ユーザ端末に送信する証明書発行ステップと、を実行することを特徴とする本人確認情報提供方法とした。
また、請求項10に記載の発明は、ネットワークを経由してサービスを提供するWebサイトと、前記サービスにアクセスするユーザ端末と、前記ユーザ端末が前記Webサイトに提示するユーザ属性情報を含む本人確認情報の証明書を発行する本人確認情報提供サーバとから構成され、前記Webサイトと前記ユーザ端末と前記本人確認情報提供サーバとがネットワークを介して接続されている本人確認情報提供サービスシステムの本人確認情報提供サーバであって、前記ユーザ属性情報の種類および詳細度を含めた本人確認情報と、前記本人確認情報の精細度を示す本人確認レベルとが関連付けられて格納される本人確認レベルDB、前記本人確認レベルDBに格納されたユーザ属性情報の種類および詳細度に応じた本人確認情報を含む証明書の証明書識別情報が前記本人確認レベルに関連付けられて格納される証明書本人確認情報DB、および、前記証明書識別情報と当該証明書とが関連付けられて格納される証明書DBを記憶する記憶部と、所定の決定手法により、前記Webサイトの信頼レベルを決定し、当該Webサイトの信頼レベルが高い場合には、提示を許容する前記ユーザ属性情報の詳細度を示す提示可能ユーザ属性情報詳細度を高く、当該Webサイトの信頼レベルが低い場合には、前記提示可能ユーザ属性情報詳細度を低くなるように、前記ユーザ属性情報の種類ごとに前記提示可能ユーザ属性情報詳細度を決定するWebサイト検証部と、前記Webサイトが提示を要求するユーザ属性情報の種類と詳細度とを示し、前記ユーザ端末から受信した情報である要求ユーザ属性情報と、前記Webサイト検証部から取得した提示可能ユーザ属性情報詳細度とから所定の手続きにより、前記本人確認レベルDBを参照して前記本人確認レベルを決定する本人確認情報制御部と、前記本人確認情報制御部が決定した本人確認レベルに関連付けられた証明書識別情報を前記証明書本人確認情報DBから取得し、取得した証明書識別情報に関連付けられた証明書を前記証明書DBから取得する証明書管理部と、前記証明書管理部が取得した証明書を前記ユーザ端末に送信する証明書発行部と、を備えることを特徴とする本人確認情報提供サーバとした。
このような構成にすることで、本人確認情報提供サーバは、Webサイトの信頼レベルに応じた詳細度のユーザ属性情報を含んだ証明書をユーザ端末に送信し、ユーザ端末はWebサイトに証明書を提示する。これにより、信頼レベルが低いWebサイトには詳細度の低いユーザ属性情報しか提示されず、本人確認情報提供サーバは、ユーザのプライバシを保護することができる。ユーザ端末が証明書を要求した時点で既に証明書は生成済みであり、本人確認情報提供サーバは、即時に証明書をユーザ端末に送信することができる。
また、本人確認情報提供サーバは、Webサイトに、本人確認情報提供サーバが保有する本人確認情報に基づいてサービス提供の可否を判断させることができる。さらに、ユーザ端末が、Webサイトに応じて提示する証明書を選択する必要がなくなり、本人確認情報提供サーバは、ユーザの利便性を向上させることができる。
ユーザ端末は、Webサイトにアクセスするたびに本人確認情報提供サーバから証明書を取得することが可能となり、ユーザ端末自身に証明書を保管する必要がなくなる。このために、証明書への不正アクセスのリスクが軽減し、本人確認情報提供サーバは、ユーザによるユーザ端末管理の負担を軽減させることができる。
また、本人確認情報提供サーバは、Webサイトに、本人確認情報提供サーバが保有する本人確認情報に基づいてサービス提供の可否を判断させることができる。さらに、ユーザ端末が、Webサイトに応じて提示する証明書を選択する必要がなくなり、本人確認情報提供サーバは、ユーザの利便性を向上させることができる。
ユーザ端末は、Webサイトにアクセスするたびに本人確認情報提供サーバから証明書を取得することが可能となり、ユーザ端末自身に証明書を保管する必要がなくなる。このために、証明書への不正アクセスのリスクが軽減し、本人確認情報提供サーバは、ユーザによるユーザ端末管理の負担を軽減させることができる。
請求項4に記載の発明は、前記本人確認情報制御ステップにおいて、前記本人確認レベルDBの本人確認情報を参照して、前記要求ユーザ属性情報に含まれるユーザ属性情報の種類を含み、前記要求ユーザ属性情報に含まれるユーザ属性情報の詳細度以上のユーザ属性情報を含み、前記要求ユーザ属性情報に含まれるユーザ属性情報の詳細度との差が最小であるユーザ属性情報の詳細度を含んだ本人確認情報を特定し、当該本人確認情報と関連付けられた本人確認レベルに決定することを特徴とする請求項3に記載の本人確認情報提供方法とした。
このような構成にすることで、本人確認情報提供サーバは、Webサイトが要求するユーザ属性情報の条件を満足しつつ、不必要なユーザ属性情報の提示を最小にする証明書を発行することができ、ユーザのWebサイトへのアクセス機会を守りつつ、ユーザのプライバシ保護を向上させることが可能となる。
請求項5に記載の発明は、前記本人確認情報制御ステップにおいて、前記本人確認レベルDBの本人確認情報を参照して、前記要求ユーザ属性情報に含まれるユーザ属性情報の種類を含み、前記要求ユーザ属性情報に含まれるユーザ属性情報の詳細度以下のユーザ属性情報を含み、前記要求ユーザ属性情報に含まれるユーザ属性情報の詳細度との差が最小であるユーザ属性情報の詳細度を含んだ本人確認情報を特定し、当該本人確認情報と関連付けられた本人確認レベルに決定することを特徴とする請求項3に記載の本人確認情報提供方法とした。
このような構成にすることで、本人確認情報提供サーバは、Webサイトの信頼レベルに合わせたユーザ属性情報の詳細度の制限を守りつつ、Webサイトが要求するユーザ属性情報の条件を最大限満足する証明書を発行することができ、ユーザのプライバシを保護しつつ、ユーザのWebサイトへのアクセス機会を向上させることが可能となる。
請求項6に記載の発明は、前記記憶部が、証明書識別情報と、当該証明書識別情報で識別される証明書を前記ユーザ端末が提示する先のWebサイトの識別情報とが関連付けられて格納される証明書提示先WebサイトDB、および、前記証明書識別情報と前記ユーザ端末の識別情報とが関連付けられて格納される証明書発行先端末DBを、さらに記憶し、前記本人確認情報提供サーバが、前記証明書の証明書識別情報と当該証明書の提示先のWebサイトの識別情報とを関連付けて前記証明書提示先WebサイトDBに格納し、前記証明書の証明書識別情報と前記ユーザ端末の識別情報とを関連付けて前記証明書発行先端末DBに格納するステップをさらに実行することを特徴とする請求項3に記載の本人確認情報提供方法とした。
このような構成にすることで、本人確認情報提供サーバは、証明書提示先WebサイトDBと証明書発行先端末DBとを参照することで、発行した証明書に関して、どのユーザ端末がどのWebサイトに提示したか、管理することが可能になり、ユーザ端末での管理を不要とすることができる。また、Webサイトは、この情報を取得することで、ユーザの複数種類の端末(マルチ端末)の利用状況を把握して対応することができるようになる。
請求項7に記載の発明は、前記ユーザ端末から前記要求ユーザ属性情報と前記Webサイトの識別情報と前記ユーザ端末の識別情報とを受信し、前記証明書提示先WebサイトDBを参照し前記Webサイトの識別情報と関連付けられている証明書識別情報を検索し、前記証明書発行先端末DBの中で前記ユーザ端末の識別情報と関連付けられている証明書識別情報を検索し、検索の結果同一である証明書識別情報が存在した場合には、前記証明書DBを参照し当該証明書識別情報と関連付けられている証明書を抽出して前記ユーザ端末に送信するステップをさらに実行することを特徴とする請求項6に記載の本人確認情報提供方法とした。
このような構成にすることで、本人確認情報提供サーバは、過去に同じユーザ端末から同じWebサイトに証明書を提示したことがあった場合に、Webサイト検証ステップや本人確認情報制御ステップを経ることなく、より短時間で証明書をユーザ端末に送信することができる。
請求項8に記載の発明は、前記本人確認情報提供サーバが、前記Webサイト検証ステップにおいて、前記Webサイトの信頼レベルが所定のレベルより低い場合には、証明書発行不可と決定し、当該証明書発行不可と決定した場合には、前記証明書発行ステップにおいて、証明書を前記ユーザ端末に送信しないことを特徴とする請求項1または3に記載の本人確認情報提供方法とした。
このような構成にすることで、本人確認情報提供サーバは、Webサイトの信頼レベルが所定のレベルより低い場合には、証明書を発行しない。これにより、信頼レベルが所定レベルより低いWebサイトには、ユーザ属性情報が提示されることがなく、個人情報が漏洩することを防ぐことができる。
本発明によれば、ユーザのプライバシ保護や利便性を満たしながら、サービス事業者へのユーザ属性情報の提示を可能とする本人確認情報提供方法および本人確認情報提供サーバを提供することができる。
≪第1の実施形態:全体構成≫
以下に、本発明を実施するための形態(実施形態)における本人確認情報提供サーバを含む本人確認情報提供システムを説明する。図1は、第1の実施形態に係る本人確認情報提供システム10の全体構成を例示する図である。本人確認情報提供システム10は、店舗端末600と接続される本人確認情報提供サーバ100、ユーザ端末300、Webサイト400を含んで構成され、インターネット500により接続される。
以下に、本発明を実施するための形態(実施形態)における本人確認情報提供サーバを含む本人確認情報提供システムを説明する。図1は、第1の実施形態に係る本人確認情報提供システム10の全体構成を例示する図である。本人確認情報提供システム10は、店舗端末600と接続される本人確認情報提供サーバ100、ユーザ端末300、Webサイト400を含んで構成され、インターネット500により接続される。
最初に、本人確認情報提供システム10における大まかな処理の流れを説明する。ユーザは、店舗端末600が設置してある店舗に出向き、本人確認情報提供システム10へのユーザ登録を行う。登録されると、ユーザ属性情報(本人確認情報)が本人確認情報提供サーバ100に格納される。ユーザ端末300がWebサイト400にユーザ登録する際に、ユーザ端末300は、本人確認情報提供サーバ100から証明書を取得してWebサイト400に提示する。Webサイト400は、証明書に含まれるユーザ属性情報を確認した上でユーザを登録する。ユーザ登録後に、ユーザ端末300がサービスを受けるためにWebサイト400にログインする際にも、証明書を本人確認情報提供サーバ100から取得して、Webサイト400に提示する。
本人確認情報提供サーバ100が発行する証明書は、Webサイト400ごとに異なる。詳しくは、Webサイト400の信頼レベルやWebサイト400が求めるユーザ属性情報に応じて、本人確認情報提供サーバ100は、証明書発行の可否を判断し、証明書に含めるユーザ属性情報を選択して、証明書を発行する。また、証明書には、Webサイト400がユーザないしはユーザ端末300を認証する際に用いる公開鍵が含まれる。以下に、上記した処理の流れに沿って、本人確認情報提供システム10の構成要素を説明する。
店舗端末600は、本人確認情報提供サーバ100を運営する本人確認情報提供サービス事業者が運営する店舗ないしは本人確認情報提供サービス事業者と提携している店舗に設置される端末である。店員は、ユーザの運転免許証などの本人確認書類を参照して、店舗端末600からユーザ属性情報(本人確認情報)を本人確認情報提供サーバ100に登録する。
本人確認情報提供サーバ100は、登録された本人確認情報に基づいて、Webサイト400に応じた本人確認情報を含んだ証明書を発行し、ユーザ端末300に送信する。登録された本人確認情報と、証明書に含まれる本人確認情報とが異なる例として、住所がある。登録された住所には都道府県から番地まで含まれているが、Webサイト400に応じて本人確認情報提供サーバ100は、都道府県のみの住所や市町村レベルまでの住所に変換し、変換後の住所を含んだ証明書を発行する。ユーザ端末300への証明書発行の他に、本人確認情報提供サーバ100は、Webサイト400からの証明書の有効性の問い合わせに対して、証明書が有効か無効かを回答する。
本人確認情報提供サーバ100は、制御部110、入出力部120および記憶部130を含んで構成される。入出力部120は、店舗端末600やユーザ端末300、Webサイト400との通信データを送受信する。記憶部130は、本人確認情報提供サーバ100を機能させるプログラム(不図示)の他に、後述する各種DB(Database)を記憶する。
制御部110は、記憶部130に記憶されるプログラム(不図示)を実行することにより、本人確認情報提供サーバ100のユーザ登録や証明書発行、証明書有効性検証などの処理を実行する。制御部110は、ユーザ登録部111、本人確認情報制御部112、証明書発行部113、証明書管理部114、Webサイト検証部115、および、証明書検証部116を含んで構成される。
ユーザ登録部111は、店舗端末600で入力された本人確認情報(ユーザ属性情報)を後述する本人確認情報DB200(図2参照)に格納する。本人確認情報に変更があった場合には、変更された情報が店舗端末600で入力され、ユーザ登録部111が本人確認情報DB200を更新する。
図2は、第1の実施形態に係る本人確認情報DB200のデータ構成を例示する図である。本人確認情報DB200は、例えば表形式のデータであり、1つのレコード(行)は、1人のユーザの情報を示し、ユーザID201、認証情報202、氏名203、住所204、および、生年月日205を含む。他に、電子メールアドレス、本人確認情報登録時の本人確証書類の種別(運転免許証、マイナンバーカードなど)を含むが図示していない。
ユーザID201は、本人確認情報提供サーバ100におけるユーザの識別情報である。認証情報202は、ユーザ端末300が、本人確認情報提供サーバ100にアクセスする際の認証情報である。認証情報の例として、例えばFIDO(Fast IDentity Online)の認証技術における公開鍵がある。第1の実施形態では、公開鍵を認証情報とする。
氏名203は、ユーザの氏名であり、本人確認書類で確認された氏名である。住所204は、ユーザの住所であり、本人確認書類で確認された住所である。生年月日205は、ユーザの生年月日であり、本人確認書類で確認された生年月日である。
レコード209は、ユーザID201が「U0382」であるユーザの情報を示しており、認証情報202は当該ユーザの公開鍵であって、氏名203は「佐藤一郎」であり、住所204は東京都杉並区内であって、生年月日は「1994年4月24日」であることを示す。
図1に戻り、本人確認情報制御部112は、本人確認情報DB200から本人確認情報を取得し、証明書に含まれる本人確認情報を生成する。例えば、本人確認情報制御部112は、住所204から都道府県のみを含む住所、生年月日205から30代などの年齢区分を生成する。都道府県、市町村、年齢区分などの生成する本人確認情報の詳細度は、後述するWebサイト検証部115が証明書の提示先であるWebサイト400の信頼レベルから決定し、この決定に従って本人確認情報制御部112が本人確認情報を生成する。
証明書発行部113は、本人確認情報制御部112が生成した本人確認情報を含んだ証明書を発行し、ユーザ端末300に送信する。証明書には、本人確認情報提供サーバ100、または、本人確認情報提供サービスの提供事業者のデジタル署名が含まれる。ユーザ端末300は、証明書をWebサイト400に提示し、Webサイト400は、デジタル署名を検証することで証明書が、本人確認情報提供サーバ100が発行した真正の証明書であることを確認できる。また、Webサイト400は、証明書が無効化されていないかを後述する証明書検証部116に問い合わせた後に、証明書の中の本人確認情報を参照する。
証明書管理部114は、証明書発行部113が発行した証明書を管理する。詳しくは、証明書管理部114は、発行された証明書を後述する証明書DB210(図3参照)に、証明書に含まれた情報を後述する証明書本人確認情報DB220(図4参照)に、証明書が送信されたユーザ端末300に関する情報を証明書発行先端末DB230(図5参照)に格納する。
図3は、第1の実施形態に係る証明書DB210のデータ構成を例示する図である。証明書DB210は、例えば表形式のデータであり、1つのレコード(行)は、1つの証明書を示し、証明書番号211、証明書212、および、秘密鍵213を含む。
証明書番号211は、本人確認情報提供サーバ100が発行した証明書に付与されるシリアル番号である。証明書212は、証明書そのもののデータである。秘密鍵213は、証明書212に含まれる公開鍵に対応した秘密鍵であり、暗号化されている。レコード219は、証明書番号211が「7463」である証明書とその秘密鍵を含むレコードである。
証明書番号211は、本人確認情報提供サーバ100が発行した証明書に付与されるシリアル番号である。証明書212は、証明書そのもののデータである。秘密鍵213は、証明書212に含まれる公開鍵に対応した秘密鍵であり、暗号化されている。レコード219は、証明書番号211が「7463」である証明書とその秘密鍵を含むレコードである。
図4は、第1の実施形態に係る証明書本人確認情報DB220のデータ構成を例示する図である。証明書本人確認情報DB220は、例えば表形式のデータであり、1つのレコード(行)は、1つの証明書に係る情報を示し、ユーザID221、Webサイト222、証明書番号223、本人確認情報224、有効期間225、および、有効状態226を含む。
ユーザID221は、証明書の発行先のユーザを示すユーザの識別情報であり、本人確認情報DB200のユーザID201に対応する。Webサイト222は、証明書の提示先のWebサイト400を識別するための情報であり、例えば、Webサイト400のURL(Universal Resource Locator)である。証明書番号223は、証明書のシリアル番号であり、証明書DB210の証明書番号211に対応する。本人確認情報224は、証明書に含まれる本人確認情報を示す。有効期間225は証明書の有効期間を示す。有効状態226は証明書が「有効」であるか「無効」であるかを示す。本人確認情報に変更があると、古い本人確認情報を含んだ証明書は無効となる。
レコード229に示される証明書は、ユーザID221が「U0382」であるユーザの証明書であり、URLが「https://a.b.c/」であるWebサイト400向けの証明書であって、証明書番号223は「7463」であり、証明書に含まれる本人確認情報224は、氏名と都道府県レベルの住所と生年月日である「佐藤一郎」と「東京都」と「1994年4月24日」とであって、有効期間225は「2017年4月24日から2018年4月24日」であり、有効状態226は「有効」であることを示す。
図5は、第1の実施形態に係る証明書発行先端末DB230のデータ構成を例示する図である。証明書発行先端末DB230は、例えば表形式のデータであり、1つのレコード(行)は、証明書の発行先のユーザ端末300を示し、証明書番号231と、端末識別情報232とを含む。
証明書番号231は、本人確認情報提供サーバ100が発行した証明書に付与されるシリアル番号であり、証明書DB210の証明書番号211に対応する。端末識別情報232は、発行先のユーザ端末300の識別情報であり、例えば、IMEI(International Mobile Equipment Identity)である。レコード239は、証明書番号231が「7463」である証明書が、端末識別情報232が「13746293847」であるユーザ端末300に発行されたことを示す。
証明書番号231は、本人確認情報提供サーバ100が発行した証明書に付与されるシリアル番号であり、証明書DB210の証明書番号211に対応する。端末識別情報232は、発行先のユーザ端末300の識別情報であり、例えば、IMEI(International Mobile Equipment Identity)である。レコード239は、証明書番号231が「7463」である証明書が、端末識別情報232が「13746293847」であるユーザ端末300に発行されたことを示す。
図1に戻り、Webサイト検証部115は、証明書の提示先のWebサイト400の情報(例えばURL)から、証明書の発行可否を判断したり、証明書に含められるユーザの本人確認情報の詳細度を算出する。なお、本人確認情報の詳細度は、後記する提示可能ユーザ属性情報詳細度を意味する。詳しくは、Webサイト検証部115は、後述するWebサイト信頼レベルDB240(後述する図6参照)を参照して信頼レベルを取得し、信頼レベルから後述する信頼レベル別詳細度DB250(後述する図7参照)を参照して詳細度を取得し、証明書の発行可否や本人確認情報の詳細度を決定する。
図6は、第1の実施形態に係るWebサイト信頼レベルDB240のデータ構成を例示する図である。Webサイト信頼レベルDB240は、例えば表形式のデータであり、1つのレコード(行)は、1つのWebサイトとその信頼度を示し、Webサイト241、および、信頼レベル242を含む。
Webサイト241は、証明書の提示先のWebサイト400を識別するための情報であり、例えば、Webサイト400のURLである。信頼レベル242は、当該Webサイト241の信頼レベルであり、後述する信頼レベル別詳細度DB250の信頼レベル251に対応する。レコード249は、URLが「https://a.b.c/」であるWebサイト400の信頼レベル242は「SL2」であることを示す。
Webサイト241は、証明書の提示先のWebサイト400を識別するための情報であり、例えば、Webサイト400のURLである。信頼レベル242は、当該Webサイト241の信頼レベルであり、後述する信頼レベル別詳細度DB250の信頼レベル251に対応する。レコード249は、URLが「https://a.b.c/」であるWebサイト400の信頼レベル242は「SL2」であることを示す。
図7は、第1の実施形態に係る信頼レベル別詳細度DB250のデータ構成を例示する図である。信頼レベル別詳細度DB250は、例えば表形式のデータであり、1つのレコード(行)は、信頼度レベル別の本人確認情報の詳細度を示し、信頼レベル251と、詳細度252とを含む。
信頼レベル251は、Webサイト400の信頼レベルであり、詳細度252は、当該信頼レベル251に対する本人確認情報の詳細度を示す。レコード257は、信頼レベル251が「SL1」のWebサイト400に対しては、氏名、住所、生年月日、電子メールアドレスの本人確認情報を提示可能であり、証明書に含めてよいことを示している。レコード258は、信頼レベル251が「SL2」のWebサイト400に対しては、氏名と電子メールアドレスは、そのまま提示可能であるが、住所は都道府県のみ、生年月日は年のみが提示可能であり、証明書に含めてよいことを示している。レコード259は、信頼レベル251が「SL9」のWebサイト400に対しては、証明書発行不可であることを示している。Webサイトの信頼レベル251が低ければ、当該Webサイトに提示可能な本人確認情報の詳細度252は低くなる。
信頼レベル251は、Webサイト400の信頼レベルであり、詳細度252は、当該信頼レベル251に対する本人確認情報の詳細度を示す。レコード257は、信頼レベル251が「SL1」のWebサイト400に対しては、氏名、住所、生年月日、電子メールアドレスの本人確認情報を提示可能であり、証明書に含めてよいことを示している。レコード258は、信頼レベル251が「SL2」のWebサイト400に対しては、氏名と電子メールアドレスは、そのまま提示可能であるが、住所は都道府県のみ、生年月日は年のみが提示可能であり、証明書に含めてよいことを示している。レコード259は、信頼レベル251が「SL9」のWebサイト400に対しては、証明書発行不可であることを示している。Webサイトの信頼レベル251が低ければ、当該Webサイトに提示可能な本人確認情報の詳細度252は低くなる。
図1に戻り、証明書検証部116は、Webサイト400の証明書の有効状態の問い合わせに対して、有効か無効かを回答する。問い合わせには、証明書番号が含まれており、証明書検証部116は、証明書本人確認情報DB220(図4参照)を参照して、証明書番号223に対応するレコードに含まれる有効状態226を回答する。
≪第1の実施形態:処理の概要≫
本人確認情報提供サービスの処理は、(1)本人確認情報提供サーバ100へのユーザの本人確認情報の登録、(2)Webサイト400へのユーザ登録、(3)Webサイト400へのログインに分かれる。以下、図8を参照して、本人確認情報提供サーバ100への本人確認情報の登録処理を説明する。また、図9を参照して、本人確認情報提供サーバ100に登録済みの本人確認情報の更新処理を説明する。次に、図10〜図13を参照して、(2)Webサイト400へのユーザ登録、および、(3)Webサイト400へのログインに共通の証明書発行処理を説明する。続いて、図14を参照して(2)Webサイト400へのユーザ登録処理、図15を参照して(3)Webサイト400へのログイン処理を説明する。
本人確認情報提供サービスの処理は、(1)本人確認情報提供サーバ100へのユーザの本人確認情報の登録、(2)Webサイト400へのユーザ登録、(3)Webサイト400へのログインに分かれる。以下、図8を参照して、本人確認情報提供サーバ100への本人確認情報の登録処理を説明する。また、図9を参照して、本人確認情報提供サーバ100に登録済みの本人確認情報の更新処理を説明する。次に、図10〜図13を参照して、(2)Webサイト400へのユーザ登録、および、(3)Webサイト400へのログインに共通の証明書発行処理を説明する。続いて、図14を参照して(2)Webサイト400へのユーザ登録処理、図15を参照して(3)Webサイト400へのログイン処理を説明する。
≪第1の実施形態:本人確認情報の登録処理≫
図8は、第1の実施形態に係る本人確認情報提供サーバ100への本人確認情報の登録処理を示すシーケンス図である。図8を参照しながら、ユーザが、店舗端末600が設置されている店舗に来店し、本人確認書類を店員に提示して、本人確認情報提供サーバ100にユーザの本人確認情報が登録される処理を説明する。
図8は、第1の実施形態に係る本人確認情報提供サーバ100への本人確認情報の登録処理を示すシーケンス図である。図8を参照しながら、ユーザが、店舗端末600が設置されている店舗に来店し、本人確認書類を店員に提示して、本人確認情報提供サーバ100にユーザの本人確認情報が登録される処理を説明する。
ステップS101において、ユーザが店員に本人確認書類を提示し、店員が本人確認書類を確認して本人確認情報を店舗端末600に入力する。さらに、認証情報(図2の符号202参照)としてユーザ端末300の認証情報(公開鍵)が、ユーザ端末300から店舗端末600に送信される。
ステップS102において、店舗端末600は、本人確認情報提供サーバ100にユーザ登録を要求する。詳しくは、店舗端末600は、認証情報と、氏名、住所、生年月日、電子メールアドレスなどの本人確認情報とを送信して、ユーザ登録を依頼する。
ステップS103において、本人確認情報提供サーバ100のユーザ登録部111は、ユーザ登録の要求を受信し、新規のユーザIDを生成する。
ステップS104において、ユーザ登録部111は、本人確認情報を本人確認情報DB200(図2参照)に登録する。詳しくは、ユーザ登録部111は、本人確認情報DB200にレコードを追加し、ユーザID、認証情報、氏名、住所、生年月日および電子メールアドレスを、追加したレコードのユーザID201、認証情報202、氏名203、住所204、生年月日205および電子メールアドレス(不図示)に格納する。
ステップS104において、ユーザ登録部111は、本人確認情報を本人確認情報DB200(図2参照)に登録する。詳しくは、ユーザ登録部111は、本人確認情報DB200にレコードを追加し、ユーザID、認証情報、氏名、住所、生年月日および電子メールアドレスを、追加したレコードのユーザID201、認証情報202、氏名203、住所204、生年月日205および電子メールアドレス(不図示)に格納する。
ステップS105において、ユーザ登録部111は、ユーザIDとともにユーザ登録が完了したことを店舗端末600に通知する。店舗端末600は、ユーザIDをユーザ端末300に送信する。
以上の本人確認情報の登録処理により、本人確認情報が本人確認情報DB200に登録され、本人確認情報提供サーバ100は、ユーザの本人確認情報を含む証明書が発行可能となる。
以上の本人確認情報の登録処理により、本人確認情報が本人確認情報DB200に登録され、本人確認情報提供サーバ100は、ユーザの本人確認情報を含む証明書が発行可能となる。
≪第1の実施形態:本人確認情報の更新処理≫
次に、登録した本人確認情報を更新する処理を説明する。図9は、第1の実施形態に係る本人確認情報提供サーバ100に登録された本人確認情報の更新処理を示すシーケンス図である。図9を参照しながら、ユーザが、店舗端末600が設置されている店舗に来店し、本人確認書類を店員に提示して、本人確認情報提供サーバ100に登録済み本人確認情報が更新される処理を説明する。新規に本人確認情報を追加する場合も同様の処理となる。
次に、登録した本人確認情報を更新する処理を説明する。図9は、第1の実施形態に係る本人確認情報提供サーバ100に登録された本人確認情報の更新処理を示すシーケンス図である。図9を参照しながら、ユーザが、店舗端末600が設置されている店舗に来店し、本人確認書類を店員に提示して、本人確認情報提供サーバ100に登録済み本人確認情報が更新される処理を説明する。新規に本人確認情報を追加する場合も同様の処理となる。
ステップS121において、ユーザが店員に本人確認書類を提示し、店員が本人確認書類を確認して変更のあった本人確認情報を店舗端末600に入力する。
ステップS122において、店舗端末600は、本人確認情報提供サーバ100に本人確認情報の更新を要求する。詳しくは、店舗端末600は、ユーザIDおよび変更があった本人確認情報を送信して、更新を依頼する。
ステップS122において、店舗端末600は、本人確認情報提供サーバ100に本人確認情報の更新を要求する。詳しくは、店舗端末600は、ユーザIDおよび変更があった本人確認情報を送信して、更新を依頼する。
ステップS123において、本人確認情報提供サーバ100のユーザ登録部111は、本人確認情報DB200(図2参照)に格納されている本人確認情報を更新する。詳しくは、ユーザ登録部111は、送信されたユーザIDに等しいユーザID201をもつ本人確認情報DB200のレコードを検索し、当該レコードの本人確認情報を更新する。
ステップS124において、ユーザ登録部111は、ユーザIDと、変更のあった本人確認情報とを証明書管理部114に出力して、更新された本人確認情報を含む証明書の失効を要求する。
ステップS125において、証明書管理部114は、証明書本人確認情報DB220(図4参照)を検索して、更新された本人確認情報を含む証明書を失効とする。詳しくは、証明書管理部114は、証明書本人確認情報DB220のレコードであって、ユーザID221が出力されたユーザIDであり、本人確認情報224に変更があった本人確認情報を含むレコードを検索し、当該レコードの有効状態226を無効とする。なお、レコードは1件とは限らず、0件または複数の場合もある。
ステップS125において、証明書管理部114は、証明書本人確認情報DB220(図4参照)を検索して、更新された本人確認情報を含む証明書を失効とする。詳しくは、証明書管理部114は、証明書本人確認情報DB220のレコードであって、ユーザID221が出力されたユーザIDであり、本人確認情報224に変更があった本人確認情報を含むレコードを検索し、当該レコードの有効状態226を無効とする。なお、レコードは1件とは限らず、0件または複数の場合もある。
ステップS126において、証明書管理部114は、無効とした証明書を証明書DB210から削除する。詳しくは、証明書管理部114は、証明書DB210(図3参照)のレコードであって、その証明書番号211がステップS125の検索結果に含まれるレコードの証明書番号223と同じであるレコードを削除する。
ステップS127において、証明書管理部114は、証明書失効が完了したことをユーザ登録部111に通知する。
ステップS128において、ユーザ登録部111は、本人確認情報の更新が完了したことを店舗端末600に通知する。
ステップS128において、ユーザ登録部111は、本人確認情報の更新が完了したことを店舗端末600に通知する。
以上の本人確認情報の更新処理により、本人確認情報提供サーバ100は、登録済みの本人確認情報を更新するとともに、古い本人確認情報を含む証明書を無効化した。後述するように、ユーザ端末300から証明書の要求があれば、更新された本人確認情報を含んだ証明書が新規に生成されて、ユーザ端末300に送付される。このために、ユーザ端末300は、最新の本人確認情報を含む証明書を取得してWebサイト400に提示し、Webサイト400は、最新の本人確認情報に基づいてサービス提供の可否を判定することができる。
≪第1の実施形態:証明書発行処理≫
続いて、Webサイト400へのユーザ登録時やログイン時に、Webサイト400に提示される証明書の発行処理を説明する。図10は、第1の実施形態に係る証明書発行処理を示すシーケンス図(1)である。図11は、第1の実施形態に係る証明書発行処理を示すシーケンス図(2)である。図12は、第1の実施形態に係る証明書発行処理を示すシーケンス図(3)である。図13は、第1の実施形態に係る証明書発行処理を示すシーケンス図(4)である。図10〜図13を参照しながら、ユーザ端末300が本人確認情報提供サーバ100に証明書を要求し、本人確認情報提供サーバ100が証明書を生成して、ユーザ端末300が証明書を取得するまでの処理を説明する。処理に先立ち、ユーザ端末300と本人確認情報提供サーバ100とは、TLS(Transport Layer Secrity)のような安全な通信路で接続されている。なお、安全な通信路の接続時に参照されるユーザ端末300の認証情報は、本人確認情報DB200の認証情報202(図2参照)に格納されている。
続いて、Webサイト400へのユーザ登録時やログイン時に、Webサイト400に提示される証明書の発行処理を説明する。図10は、第1の実施形態に係る証明書発行処理を示すシーケンス図(1)である。図11は、第1の実施形態に係る証明書発行処理を示すシーケンス図(2)である。図12は、第1の実施形態に係る証明書発行処理を示すシーケンス図(3)である。図13は、第1の実施形態に係る証明書発行処理を示すシーケンス図(4)である。図10〜図13を参照しながら、ユーザ端末300が本人確認情報提供サーバ100に証明書を要求し、本人確認情報提供サーバ100が証明書を生成して、ユーザ端末300が証明書を取得するまでの処理を説明する。処理に先立ち、ユーザ端末300と本人確認情報提供サーバ100とは、TLS(Transport Layer Secrity)のような安全な通信路で接続されている。なお、安全な通信路の接続時に参照されるユーザ端末300の認証情報は、本人確認情報DB200の認証情報202(図2参照)に格納されている。
ステップS201において、ユーザ端末300が、本人確認情報提供サーバ100に証明書発行を要求する。要求のパラメータには、ユーザID、アクセス先のWebサイト400のURL、端末識別情報などのユーザ端末300の端末属性、および、要求ユーザ属性情報が含まれる。要求ユーザ属性情報とは、証明書に含まれることが要求される本人確認情報であり、Webサイト400から提示が要求されたユーザ属性情報の種類と詳細度であって、例えば、氏名、住所、生年月日などがある。Webサイト400によって要求ユーザ属性情報に含まれるユーザ属性情報の種類は異なり、「氏名、住所」であったり、「氏名、メールアドレス」であったりする。また、Webサイト400によって要求ユーザ属性情報に含まれるユーザ属性情報の詳細度は異なり、住所であっても都道府県レベルの住所であったり、番地まで含めた住所であったりする。生年月日であっても、年だけであったり、日までであったりする。
ステップS202において、ユーザ端末300からの証明書発行要求を受信した本人確認情報提供サーバ100の証明書発行部113は、証明書管理部114に証明書を要求する。証明書発行部113は、ユーザIDとURLと端末属性とを証明書管理部114に出力して、証明書を要求する。
ステップS203において、証明書管理部114は、証明書が発行済みであるかを判断する。詳しくは、証明書管理部114は、証明書本人確認情報DB220(図4参照)のレコードの中で、ユーザID221が証明書発行部113が出力したユーザIDであり、Webサイト222が証明書発行部113が出力したURLであって、有効期間225が現時刻を含み、有効状態226が有効であるレコードを検索する。レコードが存在すれば(S203→Y)、証明書は発行済みであり、ステップS231(図13参照)に進み、レコードが存在しなければ(S203→N)、ステップS204に進む。
ステップS204において、証明書管理部114は、証明書要求への応答として、証明書発行部113に証明書は未発行であると応答する。
ステップS205において、証明書発行部113は、Webサイト検証部115に、要求ユーザ属性情報とURLとを出力し、証明書発行の可否を問い合わせる。
ステップS205において、証明書発行部113は、Webサイト検証部115に、要求ユーザ属性情報とURLとを出力し、証明書発行の可否を問い合わせる。
ステップS206において、Webサイト検証部115は、Webサイトの信頼レベルを取得する。詳しくは、Webサイト検証部115は、Webサイト信頼レベルDB240(図6参照)を検索して、Webサイト241に含まれるURLに対応した信頼レベル242を取得する。
ステップS207において、Webサイト検証部115は、証明書の発行可否を判断し、発行可ならユーザ属性情報の詳細度を算出する。詳しくは、Webサイト検証部115は、信頼レベル別詳細度DB250(図7参照)を検索し、ステップS206で取得した信頼レベルと同一の信頼レベル251のレコードから、詳細度252を取得する。詳細度252が発行不可であれば、Webサイト検証部115は、発行不可と判断する。詳細度252が発行不可でなければ、ステップS205の問い合わせに含まれていた要求ユーザ属性情報に対応する詳細度を詳細度252から算出する。例えば、要求ユーザ属性情報が住所と生年月日であり、信頼レベルがSL2である場合には、Webサイト検証部115は、ユーザ属性情報の詳細度として、詳細度252の中で要求ユーザ属性情報と種類が同じである住所(都道府県)と生年月日(年)とを選択して、算出結果とする。
ステップS208において、Webサイト検証部115は、証明書発行の可否、ユーザ属性情報の詳細度(提示可能ユーザ属性情報詳細度)を証明書発行部113に応答する。
図11に移り、ステップS209において、証明書発行部113は、ステップS208で取得した証明書発行可否について、発行可であれば(S209→Y)、ステップS210に進み、発行否であれば(S209→N)、ステップS251(図13参照)に進む。
ステップS210において、証明書発行部113は、ユーザIDと、ユーザ属性情報の詳細度と、要求ユーザ属性情報とを本人確認情報制御部112に出力して、証明書に含める本人確認情報(ユーザ属性情報)を要求する。例えば、証明書発行部113は、「住所(都道府県)、生年月日」というユーザ属性情報の詳細度と、「住所、生年月日(年)」という要求ユーザ属性情報とを出力して要求し、「東京都、1994年」という証明書に含める本人確認情報を得る。
ステップS210において、証明書発行部113は、ユーザIDと、ユーザ属性情報の詳細度と、要求ユーザ属性情報とを本人確認情報制御部112に出力して、証明書に含める本人確認情報(ユーザ属性情報)を要求する。例えば、証明書発行部113は、「住所(都道府県)、生年月日」というユーザ属性情報の詳細度と、「住所、生年月日(年)」という要求ユーザ属性情報とを出力して要求し、「東京都、1994年」という証明書に含める本人確認情報を得る。
ステップS211において、本人確認情報制御部112は、要求ユーザ属性情報に対応した本人確認情報を、本人確認情報DB200(図2参照)から取得する。例えば、要求ユーザ属性情報が、住所(都道府県のみ)と生年月日であるならば、本人確認情報DB200の中でユーザ属性情報の種類が同じである住所204と生年月日205とから本人確認情報を取得する。
ステップS212において、本人確認情報制御部112は、ステップS207で取得したユーザ属性情報の詳細度と要求ユーザ属性情報に含まれるユーザ属性情報の詳細度とを比較して低い方の詳細度に応じて、ステップS211にて取得した本人確認情報を変換する。例えば、ユーザ属性情報の詳細度が「住所(都道府県)」であり、要求ユーザ属性情報の詳細度が「住所」であって、本人確認情報DB200から取得した住所が「東京都港区虎ノ門9999番地」である場合には、本人確認情報制御部112は、「東京都」と変換する。
ステップS213において、本人確認情報制御部112は、変換した本人確認情報を証明書発行部113に出力して、本人確認情報要求に応答する。
図12に移り、ステップS214において、証明書発行部113は証明書を生成する。詳しくは、証明書発行部113は、公開鍵暗号の鍵ペアを生成して、公開鍵とステップS213で取得した本人確認情報を含む証明書を生成する。証明書には、有効期間が含まれ、本人確認情報提供サーバ100のデジタル署名が付与される。
ステップS215において、証明書発行部113は、ユーザID、証明書、秘密鍵、URLおよび端末属性を証明書管理部114に出力して、証明書を発行したことを通知する。
ステップS216において、証明書管理部114が、証明書と秘密鍵を証明書DB210(図3参照)に格納する。詳しくは、証明書管理部114は、証明書DB210にレコードを追加し、証明書の中の証明書番号を追加したレコードの証明書番号211に格納し、証明書自体を証明書212に、秘密鍵を秘密鍵213に格納する。秘密鍵は、本人確認情報DB200(図2参照)の認証情報202にある公開鍵で暗号化されて格納される。
ステップS216において、証明書管理部114が、証明書と秘密鍵を証明書DB210(図3参照)に格納する。詳しくは、証明書管理部114は、証明書DB210にレコードを追加し、証明書の中の証明書番号を追加したレコードの証明書番号211に格納し、証明書自体を証明書212に、秘密鍵を秘密鍵213に格納する。秘密鍵は、本人確認情報DB200(図2参照)の認証情報202にある公開鍵で暗号化されて格納される。
ステップS217において、証明書管理部114は、証明書本人確認情報DB220(図4参照)に証明書の情報を格納する。詳しくは、証明書管理部114は、証明書本人確認情報DB220にレコードを追加し、ユーザID221に出力されたユーザIDを、Webサイト222にURLを、証明書番号223に証明書に含まれる証明書番号を、本人確認情報224に証明書に含まれる本人確認情報を、有効期間225に証明書に含まれる有効期間を格納し、有効状態226を「有効」とする。
ステップS218において、証明書管理部114が、端末属性を証明書発行先端末DB230(図5参照)に格納する。詳しくは、証明書管理部114は、証明書発行先端末DB230にレコードを追加し、証明書から証明書番号を取得して追加したレコードの証明書番号231に格納し、端末属性の中の端末識別情報を端末識別情報232に格納する。
ステップS219において、証明書管理部114が、証明書発行通知に対して応答する。
ステップS220において、証明書発行部113は、ステップS214で生成した証明書と秘密鍵とをユーザ端末300に送付する。秘密鍵は、認証情報202(図2参照)に格納されている公開鍵で暗号化されてから送付されてもよい。
ステップS220において、証明書発行部113は、ステップS214で生成した証明書と秘密鍵とをユーザ端末300に送付する。秘密鍵は、認証情報202(図2参照)に格納されている公開鍵で暗号化されてから送付されてもよい。
以上で、新規に証明書を生成して発行する場合の処理を説明した。図13に移り、証明書が発行済みの場合の処理の説明を続ける。この処理は、ステップS203(図10参照)において発行済みである場合(S203→Y)の処理である。
ステップS231において、証明書管理部114は、証明書と秘密鍵とを証明書DB210(図3)から取得する。詳しくは、証明書管理部114は、ステップS203において検索した証明書本人確認情報DB220(図4参照)のレコードの証明書番号223を取得し、証明書DB210のレコードで、この証明書番号223を証明書番号211とするレコードを検索して、証明書212から証明書を、秘密鍵213から秘密鍵を取得する。
ステップS232において、証明書管理部114は、端末識別情報を証明書発行先端末DB230(図5)に格納する。詳しくは、証明書管理部114は、証明書発行先端末DB230のレコードの中で、証明書番号231が証明書中の証明書番号であり、端末識別情報232がステップS202で出力された端末属性の中の端末識別情報であるレコードを検索する。レコードが存在しなければ、証明書発行先端末DB230に新規のレコードを追加して、証明書番号と端末識別情報を格納する。
ステップS233において、証明書管理部114が、ステップS231において取得した証明書と秘密鍵を証明書発行部113に出力して、証明書要求に応答する。
ステップS234において、証明書発行部113は、証明書と秘密鍵とをユーザ端末300に送付する。
ステップS234において、証明書発行部113は、証明書と秘密鍵とをユーザ端末300に送付する。
以上で、証明書が発行済みである場合の処理を説明した。続いて、証明書が発行不可の場合の処理の説明を続ける。この処理は、ステップS209(図11参照)において発行不可である場合(S209→N)の処理である。
ステップS251において、証明書発行部113は、証明書が発行不可であることをユーザ端末300に通知する。
以上で、証明書の発行処理を説明した。ステップS201(図10参照)におけるユーザ端末300からの証明書発行の要求に対して、本人確認情報提供サーバ100が、新規に証明書を生成して秘密鍵とともにユーザ端末300に送付したり(図12記載のステップS220参照)、生成済みの証明書を秘密鍵とともにユーザ端末300に送付したり(図13記載のステップS234参照)する。証明書提示先のWebサイト400の信頼レベルが低い場合には、発行されない(図13記載のステップS251参照)。これにより、ユーザ属性情報の漏洩といった、セキュリティ上の脅威を回避できる。
以上で、証明書の発行処理を説明した。ステップS201(図10参照)におけるユーザ端末300からの証明書発行の要求に対して、本人確認情報提供サーバ100が、新規に証明書を生成して秘密鍵とともにユーザ端末300に送付したり(図12記載のステップS220参照)、生成済みの証明書を秘密鍵とともにユーザ端末300に送付したり(図13記載のステップS234参照)する。証明書提示先のWebサイト400の信頼レベルが低い場合には、発行されない(図13記載のステップS251参照)。これにより、ユーザ属性情報の漏洩といった、セキュリティ上の脅威を回避できる。
証明書に含まれる本人確認情報は、証明書提示先のWebサイト400の信頼レベルに応じた詳細度に変換されて証明書に含まれている。信頼レベルの低いWebサイト400には、詳細度が低い、例えば住所のうち都道府県のみなど、粗い情報しか含まれていない。このために、Webサイトには粗い個人情報しか提示されず、ユーザのプライバシ保護が可能となる。
また、証明書に含まれる本人確認情報は、要求ユーザ属性情報に含まれているユーザ属性情報の種類のみである。要求されていないユーザ属性情報は、Webサイト400には提示されず、ユーザのプライバシ保護が可能となる。
また、証明書に含まれる本人確認情報は、要求ユーザ属性情報に含まれているユーザ属性情報の種類のみである。要求されていないユーザ属性情報は、Webサイト400には提示されず、ユーザのプライバシ保護が可能となる。
≪第1の実施形態:Webサイトへのユーザ登録処理≫
続いて、ユーザ端末300がWebサイト400にユーザ登録する処理を説明する。図14は、第1の実施形態に係るWebサイト400へのユーザ登録処理を示すシーケンス図である。
続いて、ユーザ端末300がWebサイト400にユーザ登録する処理を説明する。図14は、第1の実施形態に係るWebサイト400へのユーザ登録処理を示すシーケンス図である。
ステップS301において、ユーザ端末300が、Webサイト400にユーザ登録を要求する。
ステップS302において、Webサイト400が、ユーザ端末300に本人確認情報の提示を要求する。要求には、氏名、住所(都道府県のみ)などの提示を要求する本人確認情報(要求ユーザ属性情報)が含まれる。
ステップS302において、Webサイト400が、ユーザ端末300に本人確認情報の提示を要求する。要求には、氏名、住所(都道府県のみ)などの提示を要求する本人確認情報(要求ユーザ属性情報)が含まれる。
ステップS303は、図10に記載のステップS201であり、ユーザ端末300が、本人確認情報提供サーバ100に証明書を要求する。
ステップS304は、図10〜図13に記載の本人確認情報提供サーバ100が証明書を発行する処理である。
ステップS304は、図10〜図13に記載の本人確認情報提供サーバ100が証明書を発行する処理である。
ステップS305は、図12に記載のステップS220、または、図13に記載のステップS234の処理である。本人確認情報提供サーバ100が、ユーザ端末300に証明書と秘密鍵とを送信する。
ステップS306において、ユーザ端末300は、Webサイト400に証明書を送信して本人確認情報を提示する。このとき、ユーザ端末300は、ステップS305で取得した秘密鍵を用いて、証明書に対応したユーザであること示す情報を、Webサイト400に送信する。例えば、Webサイト400が送信した乱数に対するデジタル署名を秘密鍵を用いて生成して、送信する。
ステップS306において、ユーザ端末300は、Webサイト400に証明書を送信して本人確認情報を提示する。このとき、ユーザ端末300は、ステップS305で取得した秘密鍵を用いて、証明書に対応したユーザであること示す情報を、Webサイト400に送信する。例えば、Webサイト400が送信した乱数に対するデジタル署名を秘密鍵を用いて生成して、送信する。
ステップS307において、Webサイト400は、証明書に含まれる証明書番号を本人確認情報提供サーバ100に送信して、証明書の有効性を問い合わせる。
ステップS308において、本人確認情報提供サーバ100の証明書検証部116は、証明書本人確認情報DB220(図4参照)を参照して、Webサイト400が送信した証明書番号に対応するレコードの有効状態226を取得して、Webサイト400に応答する。この応答は、証明書番号を含んでいて、本人確認情報提供サーバ100のデジタル署名が付与されてもよい。
ステップS308において、本人確認情報提供サーバ100の証明書検証部116は、証明書本人確認情報DB220(図4参照)を参照して、Webサイト400が送信した証明書番号に対応するレコードの有効状態226を取得して、Webサイト400に応答する。この応答は、証明書番号を含んでいて、本人確認情報提供サーバ100のデジタル署名が付与されてもよい。
ステップS309において、Webサイト400は、証明書を検証する。詳しくは、ステップS308が有効の応答であり、証明書の有効期間内であり、証明書のデジタル署名の検証に成功すれば、証明書検証は成功である。検証に失敗したならば、Webサイト400は、ユーザ登録処理を中止して、ユーザ端末300に中止を通知する。続いて、Webサイト400は、証明書の中の公開鍵を用いて、ステップS306のデジタル署名を検証する。以下、検証に成功したとして、説明を続ける。
ステップS310において、Webサイト400は、ユーザ登録処理を実行する。
ステップS311において、Webサイト400は、ユーザ登録が完了したことを、ユーザ端末300に通知する。
ステップS311において、Webサイト400は、ユーザ登録が完了したことを、ユーザ端末300に通知する。
以上のユーザ登録処理において、ユーザ端末300は、最新の本人確認情報を含む証明書を本人確認情報提供サーバ100に要求して取得し、Webサイト400に提示している。Webサイト400は、最新の本人確認情報に基づいてユーザ登録の可否を判断してユーザ登録することができる。また、本人確認情報提供サーバ100は、Webサイト400の信頼レベルに応じて証明書に含まれる本人確認情報の詳細度を決定しており、信頼レベルの低いWebサイト400に詳細な本人確認情報(個人情報)が提示されることがなく、ユーザのプライバシ保護が可能となる。また、信頼できないWebサイト400に対しては、本人確認情報提供サーバ100は証明書を発行しないので、本人確認情報(個人情報)が漏洩したり悪用されたりすることを防止できる。
≪第1の実施形態:Webサイトへのログイン処理≫
続いて、Webサイト400のサービス利用時にユーザ端末300がログインする処理を説明する。図15は、第1の実施形態に係るWebサイト400へのログイン処理を示すシーケンス図である。
続いて、Webサイト400のサービス利用時にユーザ端末300がログインする処理を説明する。図15は、第1の実施形態に係るWebサイト400へのログイン処理を示すシーケンス図である。
ステップS321において、ユーザ端末300が、Webサイト400にログインを要求する。
ステップS322〜S329は、ステップS302〜S309(図14参照)と同じ処理である。
ステップS322〜S329は、ステップS302〜S309(図14参照)と同じ処理である。
ステップS330において、Webサイト400は、ログイン処理を実行する。
ステップS311において、Webサイト400は、ログインに応答する。
ステップS311において、Webサイト400は、ログインに応答する。
以上のログイン処理においても、図14記載のユーザ登録と同様に、Webサイト400は、最新の本人確認情報によりログイン可否を判断して、サービス提供の可否を判断できるようになる。また、ユーザのプライバシ保護が可能であり、本人確認情報(個人情報)が漏洩したり悪用されたりすることも防止できる。
≪第2の実施形態:全体構成≫
続いて第2の実施形態を説明する。第1の実施形態では、本人確認情報提供サーバ100は、Webサイトごとに証明書を発行しているが、第2の実施形態では、本人確認レベルごとに証明書を発行する点が異なる。本人確認レベルとは、証明書に含まれる本人確認情報(ユーザ属性情報)の属性種類および詳細度を示すレベルであり、レベルが上位であるほど、属性種類が増加し、詳細度が高くなる。なお、属性種類とは、住所、氏名、電子メールアドレスなどのユーザ属性情報の種類のことである。
続いて第2の実施形態を説明する。第1の実施形態では、本人確認情報提供サーバ100は、Webサイトごとに証明書を発行しているが、第2の実施形態では、本人確認レベルごとに証明書を発行する点が異なる。本人確認レベルとは、証明書に含まれる本人確認情報(ユーザ属性情報)の属性種類および詳細度を示すレベルであり、レベルが上位であるほど、属性種類が増加し、詳細度が高くなる。なお、属性種類とは、住所、氏名、電子メールアドレスなどのユーザ属性情報の種類のことである。
また、第1の実施形態では、本人確認情報提供サーバ100は、ユーザ端末からの要求に応じて証明書を生成していたが、第2の実施形態では、ユーザの本人確認情報の登録または更新時に証明書を生成する点も異なる。第2の実施形態において、ユーザ端末から証明書発行が要求されると、本人確認情報提供サーバは、証明書DB210に格納された生成済みの証明書をユーザ端末に送信する。
以下、第2の実施形態における本人確認情報提供サーバを含む本人確認情報提供システムを説明する。図16は、第2の実施形態に係る本人確認情報提供システム10Aの全体構成を例示する図である。第1の実施形態との違いは、本人確認情報提供サーバ100Aの記憶部130Aに含まれるDBであり、証明書本人確認情報DB220Aの構成が変わり、新たに証明書提示先WebサイトDB260と本人確認レベルDB270とが追加される。また、制御部110Aについては、ユーザ登録部111A、本人確認情報制御部112A、証明書発行部113A、および、証明書管理部114Aが実行する処理内容が第1の実施形態とは異なる。
図17は、第2の実施形態に係る証明書本人確認情報DB220Aのデータ構成を例示する図である。証明書本人確認情報DB220Aは、例えば表形式のデータであり、1つのレコード(行)は、1つの証明書に係る情報を示し、ユーザID221、証明書番号223、本人確認レベル227、有効期間225、および、有効状態226を含む。
本人確認レベル227は、レコードが示す証明書の本人確認レベルを示し、後述する本人確認レベルDB270(図19参照)の本人確認レベル271に対応する。本人確認レベルは、証明書に含まれる本人確認情報(ユーザ属性情報)の属性種類や詳細度(本人確認情報の精細度)を示す。属性種類または詳細度が増加すれば、本人確認情報の精細度が増加する。例えば、「氏名、電子メールアドレス」より「氏名、住所(都道府県のみ)、電子メールアドレス」が精細度が高い。また、「氏名、住所(都道府県のみ)」より「氏名、住所(都道府県から番地まで)」が精細度が高い。レコードの他の属性であるユーザID221、証明書番号223、有効期間225、および、有効状態226は、第1の実施形態と同じである。
レコード229Aに示される証明書は、ユーザID221が「U0382」であるユーザの証明書であり、証明書番号223は「3463」、本人確認レベル227は「IL2」、有効期間225は「2017年4月24日から2018年4月24日」であり、有効状態226は「有効」であることを示す。
図18は、第2の実施形態に係る証明書提示先WebサイトDB260のデータ構成を例示する図である。証明書提示先WebサイトDB260は、例えば表形式のデータであり、1つのレコード(行)は、証明書の提示先のWebサイト400を示し、証明書番号261と、Webサイト262とを含む。
証明書番号261は、本人確認情報提供サーバ100が発行した証明書に付与するシリアル番号であり、証明書DB210(図3参照)の証明書番号211に対応する。Webサイト262は、証明書の提示先のWebサイト400の識別情報であり、例えば、URLである。レコード269は、証明書番号261が「3463」である証明書が、URLが「https://a.b.c/」であるWebサイトへの提示用に発行されたことを示す。
証明書番号261は、本人確認情報提供サーバ100が発行した証明書に付与するシリアル番号であり、証明書DB210(図3参照)の証明書番号211に対応する。Webサイト262は、証明書の提示先のWebサイト400の識別情報であり、例えば、URLである。レコード269は、証明書番号261が「3463」である証明書が、URLが「https://a.b.c/」であるWebサイトへの提示用に発行されたことを示す。
図19は、第2の実施形態に係る本人確認レベルDB270のデータ構成を例示する図である。本人確認レベルDB270は、例えば表形式のデータであり、1つのレコード(行)は、本人確認レベル別の詳細度を含めた本人確認情報を示し、本人確認レベル271、および、本人確認情報272を含む。
本人確認レベル271は、当該レコードが示す本人確認レベルであり、本人確認情報272は、本人確認レベル271に対する属性種類と詳細度を含めた本人確認情報を示す。レコード278は、本人確認レベル271が「IL1」の本人確認情報は、氏名、住所、生年月日、電子メールアドレスからなる本人確認情報であることを示している。レコード279は、本人確認レベル271が「IL2」の本人確認情報は、氏名と電子メールアドレスは、そのまま提示可能であるが、住所は都道府県のみ、生年月日は年のみである本人確認情報であることを示している。
本人確認レベル271は、当該レコードが示す本人確認レベルであり、本人確認情報272は、本人確認レベル271に対する属性種類と詳細度を含めた本人確認情報を示す。レコード278は、本人確認レベル271が「IL1」の本人確認情報は、氏名、住所、生年月日、電子メールアドレスからなる本人確認情報であることを示している。レコード279は、本人確認レベル271が「IL2」の本人確認情報は、氏名と電子メールアドレスは、そのまま提示可能であるが、住所は都道府県のみ、生年月日は年のみである本人確認情報であることを示している。
ユーザ登録部111Aは、本人確認情報の更新処理において、本人確認情報の変更により影響を受ける本人確認レベルを特定し、証明書の失効や再発行を証明書管理部114Aや証明書発行部113Aに指示する。
本人確認情報制御部112Aは、Webサイト400が要求する要求ユーザ属性情報やWebサイト検証部115から取得したユーザ属性情報の詳細度に応じた本人確認レベルを特定する。
本人確認情報制御部112Aは、Webサイト400が要求する要求ユーザ属性情報やWebサイト検証部115から取得したユーザ属性情報の詳細度に応じた本人確認レベルを特定する。
証明書発行部113Aは、本人確認レベルDB270の本人確認情報272にあるユーザ属性情報に応じた証明書を、本人確認レベル271ごとに発行する。
証明書管理部114Aは、証明書発行部113Aが発行した証明書を証明書DB210(図3参照)に、証明書の提示先のWebサイト400に関する情報を証明書提示先WebサイトDB260(図18参照)に、証明書が送信されたユーザ端末300に関する情報を証明書発行先端末DB230(図5参照)に格納する。
証明書管理部114Aは、証明書発行部113Aが発行した証明書を証明書DB210(図3参照)に、証明書の提示先のWebサイト400に関する情報を証明書提示先WebサイトDB260(図18参照)に、証明書が送信されたユーザ端末300に関する情報を証明書発行先端末DB230(図5参照)に格納する。
≪第2の実施形態:本人確認情報の登録処理≫
図20は、第2の実施形態に係る本人確認情報提供サーバ100Aへの本人確認情報の登録処理を示すシーケンス図である。図20を参照しながら、ユーザが店舗端末600がある店舗に来店し、本人確認書類を店員に提示して、本人確認情報提供サーバ100Aにユーザの本人確認情報が登録される処理を説明する。
図20は、第2の実施形態に係る本人確認情報提供サーバ100Aへの本人確認情報の登録処理を示すシーケンス図である。図20を参照しながら、ユーザが店舗端末600がある店舗に来店し、本人確認書類を店員に提示して、本人確認情報提供サーバ100Aにユーザの本人確認情報が登録される処理を説明する。
ステップS401〜S404は、図8に記載のステップS101〜S104と同様の処理である。
ステップS405において、ユーザ登録部111Aは、証明書発行部113AにユーザIDを出力して、証明書発行を要求する。
ステップS405において、ユーザ登録部111Aは、証明書発行部113AにユーザIDを出力して、証明書発行を要求する。
ステップS406において、証明書発行部113Aは、本人確認レベルDB270に含まれる本人確認レベル271ごとに、ステップS407〜S411の処理を繰り返す。
ステップS407において、証明書発行部113Aは証明書を生成する。詳しくは、証明書発行部113Aは、公開鍵暗号の鍵ペアを生成する。次に、証明書発行部113Aは、本人確認レベルDB270(図19参照)の本人確認レベル271に対応した本人確認情報272に含まれる本人確認情報を本人確認情報DB200(図2参照)から取得する。続いて、証明書発行部113Aは、本人確認情報272に含まれる本人確認情報の詳細度に応じて、本人確認情報DB200から取得した本人確認情報を変換する。次に、証明書発行部113Aは、変換された本人確認情報や有効期間を含み、デジタル署名が付与された証明書を生成する。
ステップS407において、証明書発行部113Aは証明書を生成する。詳しくは、証明書発行部113Aは、公開鍵暗号の鍵ペアを生成する。次に、証明書発行部113Aは、本人確認レベルDB270(図19参照)の本人確認レベル271に対応した本人確認情報272に含まれる本人確認情報を本人確認情報DB200(図2参照)から取得する。続いて、証明書発行部113Aは、本人確認情報272に含まれる本人確認情報の詳細度に応じて、本人確認情報DB200から取得した本人確認情報を変換する。次に、証明書発行部113Aは、変換された本人確認情報や有効期間を含み、デジタル署名が付与された証明書を生成する。
例えば、ステップS406〜S412のループ処理における本人確認レベルがIL2である場合を説明する。本人確認情報272(図19参照)は、氏名と、住所(都道府県)と、生年月日(年)と、電子メールアドレスである。証明書発行部113Aは、本人確認情報DB200からユーザIDに対応する氏名203と、住所204、生年月日205、電子メールアドレス(不図示)を取得し、住所を都道府県のみに、生年月日を年だけに変換する。レコード209(図2参照)を例にすると、「佐藤一郎」、「東京都」、「1994年」および電子メールアドレスが証明書に含まれる。
ステップS408において、証明書発行部113Aは、ユーザID、本人確認レベル、証明書、秘密鍵を証明書管理部114Aに出力して、証明書を発行したことを通知する。
ステップS409は、ステップS216(図12参照)と同様の処理であり、証明書管理部114Aが、証明書と秘密鍵とを証明書DB210(図3参照)に格納する。
ステップS409は、ステップS216(図12参照)と同様の処理であり、証明書管理部114Aが、証明書と秘密鍵とを証明書DB210(図3参照)に格納する。
ステップS410において、証明書管理部114Aは、証明書本人確認情報DB220A(図17参照)に証明書に係る情報を格納する。詳しくは、証明書管理部114Aは、証明書本人確認情報DB220Aにレコードを追加し、ユーザID221に出力されたユーザIDを、証明書番号223に証明書に含まれる証明書番号を、本人確認レベル227に本人確認レベルを、有効期間225に証明書に含まれる有効期間を格納し、有効状態226を「有効」とする。
ステップS411において、証明書管理部114Aが、証明書発行通知に対して応答する。
ステップS412において、証明書発行部113Aは、本人確認レベルDB270に含まれる全ての本人確認レベル271ごとに、ステップS407〜S411の処理を繰り返したか判断する。全ての本人確認レベル271での処理を終えたならば、ステップS413に進み、未処理の本人確認レベル271があれば、当該本人確認レベル271について、ステップS407〜S411の処理を実行する。
ステップS412において、証明書発行部113Aは、本人確認レベルDB270に含まれる全ての本人確認レベル271ごとに、ステップS407〜S411の処理を繰り返したか判断する。全ての本人確認レベル271での処理を終えたならば、ステップS413に進み、未処理の本人確認レベル271があれば、当該本人確認レベル271について、ステップS407〜S411の処理を実行する。
ステップS413において、証明書発行部113Aは、証明書発行が完了したことをユーザ登録部111Aに通知する。
ステップS414において、ユーザ登録部111Aは、ユーザIDとともに登録が完了したことを店舗端末600に通知する。店舗端末600は、ユーザIDをユーザ端末300に送信する。
ステップS414において、ユーザ登録部111Aは、ユーザIDとともに登録が完了したことを店舗端末600に通知する。店舗端末600は、ユーザIDをユーザ端末300に送信する。
以上の本人確認情報の登録処理により、本人確認情報提供サーバ100は、本人確認レベルごとのユーザの証明書を発行して、証明書DB210に格納した。ユーザ端末300からの要求があれば、本人確認情報提供サーバ100は、本人確認レベルに合った証明書を証明書DB210から取得して送信することができる。
≪第2の実施形態:本人確認情報の更新処理≫
次に、登録した本人確認情報を更新する処理を説明する。図21は、第2の実施形態に係る本人確認情報提供サーバ100Aに登録された本人確認情報の更新処理を示すシーケンス図である。図21を参照しながら、ユーザが店舗端末600がある店舗に来店し、本人確認書類を店員に提示して、本人確認情報提供サーバ100Aに登録済み本人確認情報が更新される処理を説明する。新規に本人確認情報を追加する場合も同様の処理となる。
次に、登録した本人確認情報を更新する処理を説明する。図21は、第2の実施形態に係る本人確認情報提供サーバ100Aに登録された本人確認情報の更新処理を示すシーケンス図である。図21を参照しながら、ユーザが店舗端末600がある店舗に来店し、本人確認書類を店員に提示して、本人確認情報提供サーバ100Aに登録済み本人確認情報が更新される処理を説明する。新規に本人確認情報を追加する場合も同様の処理となる。
ステップS421〜S423は、図9に記載のステップS121〜S123と同様の処理である。
ステップS424において、ユーザ登録部111Aは、変更の影響がある本人確認レベルを特定する。詳しくは、ユーザ登録部111Aは、本人確認レベルDB270の本人確認情報272において、変更があった本人確認情報を含む本人確認レベルを特定する。例えば、住所の変更であれば、本人確認情報272に住所を含む本人確認レベル271を特定する。変更があった本人確認情報を含む本人確認レベルは、0個の場合もあれば複数の場合もある。
ステップS424において、ユーザ登録部111Aは、変更の影響がある本人確認レベルを特定する。詳しくは、ユーザ登録部111Aは、本人確認レベルDB270の本人確認情報272において、変更があった本人確認情報を含む本人確認レベルを特定する。例えば、住所の変更であれば、本人確認情報272に住所を含む本人確認レベル271を特定する。変更があった本人確認情報を含む本人確認レベルは、0個の場合もあれば複数の場合もある。
ステップS425において、ユーザ登録部111Aは、ユーザIDと、影響がある本人確認レベルとを証明書管理部114Aに出力して、影響がある本人確認情報を含む証明書の失効を要求する。
ステップS426において、証明書管理部114Aは、証明書本人確認情報DB220A(図17参照)を検索して、影響がある本人確認情報を含む証明書を失効とする。詳しくは、証明書管理部114Aは、証明書本人確認情報DB220Aのレコードであって、ユーザID221が出力されたユーザIDであり、本人確認レベル227に出力された本人確認レベルを含むレコードを検索し、当該レコードの有効状態226を無効とする。
ステップS426において、証明書管理部114Aは、証明書本人確認情報DB220A(図17参照)を検索して、影響がある本人確認情報を含む証明書を失効とする。詳しくは、証明書管理部114Aは、証明書本人確認情報DB220Aのレコードであって、ユーザID221が出力されたユーザIDであり、本人確認レベル227に出力された本人確認レベルを含むレコードを検索し、当該レコードの有効状態226を無効とする。
ステップS427において、証明書管理部114Aは、無効とした証明書の削除を証明書DB210から削除する。詳しくは、証明書管理部114Aは、証明書DB210(図3参照)のレコードであって、その証明書番号211がステップS426の検索結果に含まれるレコードの証明書番号223と同じであるレコードを削除する。
ステップS428において、証明書管理部114Aは、証明書失効が完了したことをユーザ登録部111Aに通知する。
ステップS429において、ユーザ登録部111Aは、証明書発行部113AにユーザIDと影響がある本人確認レベルを出力して、証明書発行を要求する。
ステップS429において、ユーザ登録部111Aは、証明書発行部113AにユーザIDと影響がある本人確認レベルを出力して、証明書発行を要求する。
ステップS430において、証明書発行部113Aは、影響がある本人確認レベルごとに、ステップS431〜S435の処理を繰り返す。
ステップS431〜S435は、S407〜S411と同じ処理である。
ステップS431〜S435は、S407〜S411と同じ処理である。
ステップS436において、証明書発行部113Aは、影響がある全ての本人確認レベルごとに、ステップS431〜S435の処理を繰り返したか判断する。影響がある全ての本人確認レベルでの処理を終えたならば、ステップS437に進み、未処理の本人確認レベルがあれば、当該本人確認レベルについて、ステップS431〜S435の処理を実行する。
ステップS437において、証明書発行部113Aは、証明書発行が完了したことをユーザ登録部111Aに通知する。
ステップS438において、ユーザ登録部111Aは、本人確認情報更新が完了したことを店舗端末600に通知する。
ステップS438において、ユーザ登録部111Aは、本人確認情報更新が完了したことを店舗端末600に通知する。
以上の本人確認情報の更新処理により、本人確認情報提供サーバ100Aは、登録済みの本人確認情報を更新するとともに、古い本人確認情報を含む証明書を無効化した。ユーザ端末300からの要求があれば、本人確認情報提供サーバ100Aは、本人確認レベルに合った証明書を証明書DB210から取得して送信することができる。このために、ユーザ端末300は、最新の本人確認情報を含む証明書を取得してWebサイト400に提示し、Webサイト400は、最新の本人確認情報に基づいてサービスを提供することができる。
≪第2の実施形態:証明書発行処理≫
続いて、Webサイト400へのユーザ登録時やログイン時に、Webサイト400に提示される証明書の発行処理を説明する。図22は、第2の実施形態に係る証明書発行処理を示すシーケンス図(1)である。図23は、第2の実施形態に係る証明書発行処理を示すシーケンス図(2)である。図22〜図23を参照しながら、ユーザ端末300が本人確認情報提供サーバ100Aに証明書を要求して、本人確認情報提供サーバ100Aが生成済みの証明書をユーザ端末300に送付するまでの処理を説明する。処理に先立ち、ユーザ端末300と本人確認情報提供サーバ100AとはTLSのような安全な通信路で接続されている。なお、安全な通信路の接続時に参照されるユーザ端末300の認証情報は、本人確認情報DB200の認証情報202(図2参照)に格納されている。
続いて、Webサイト400へのユーザ登録時やログイン時に、Webサイト400に提示される証明書の発行処理を説明する。図22は、第2の実施形態に係る証明書発行処理を示すシーケンス図(1)である。図23は、第2の実施形態に係る証明書発行処理を示すシーケンス図(2)である。図22〜図23を参照しながら、ユーザ端末300が本人確認情報提供サーバ100Aに証明書を要求して、本人確認情報提供サーバ100Aが生成済みの証明書をユーザ端末300に送付するまでの処理を説明する。処理に先立ち、ユーザ端末300と本人確認情報提供サーバ100AとはTLSのような安全な通信路で接続されている。なお、安全な通信路の接続時に参照されるユーザ端末300の認証情報は、本人確認情報DB200の認証情報202(図2参照)に格納されている。
ステップS501は、図10に記載のステップS201と同様である。
ステップS502〜S505は、図10に記載のステップS205〜S208と同様である。
ステップS502〜S505は、図10に記載のステップS205〜S208と同様である。
ステップS506において、証明書発行部113Aは、ステップS505で取得した証明発行可否について、発行可であれば(S506→Y)、ステップS507に進み、発行否であれば(S506→N)、ステップS531(図23参照)に進む。
ステップS507において、証明書発行部113Aは、本人確認情報制御部112AにユーザID、URL、端末属性、要求ユーザ属性情報、ユーザ属性情報の詳細度を出力して証明書を要求する。
ステップS508において、本人確認情報制御部112Aは、発行する証明書の本人確認レベルを特定する。本人確認情報制御部112Aは、本人確認レベルDB270(図19参照)の本人確認情報272が、要求ユーザ属性情報に含まれる個々のユーザ属性情報の種類を含み、要求ユーザ属性情報に含まれるユーザ属性情報の詳細度を満たしている(詳細度以上の)本人確認レベル271を特定する。上記の条件を満たす複数の本人確認レベル271がある場合には、要求ユーザ属性情報に含まれるユーザ属性情報の詳細度と本人確認レベル271の詳細度の差が小さい本人確認レベル271を選択する。
ステップS508において、本人確認情報制御部112Aは、発行する証明書の本人確認レベルを特定する。本人確認情報制御部112Aは、本人確認レベルDB270(図19参照)の本人確認情報272が、要求ユーザ属性情報に含まれる個々のユーザ属性情報の種類を含み、要求ユーザ属性情報に含まれるユーザ属性情報の詳細度を満たしている(詳細度以上の)本人確認レベル271を特定する。上記の条件を満たす複数の本人確認レベル271がある場合には、要求ユーザ属性情報に含まれるユーザ属性情報の詳細度と本人確認レベル271の詳細度の差が小さい本人確認レベル271を選択する。
例えば、要求ユーザ属性情報が、氏名と住所(都道府県のみ)と生年月日(年のみ)と電子メールアドレスであった場合には、本人確認レベルIL1もIL2も要求ユーザ属性情報の種類を含んでいるが、詳細度の差が小さいIL2を選択する。
詳細度の差としては、詳細度の異なるユーザ属性情報の種類(属性種類)の数を用いる方法がある。例えば、要求ユーザ属性情報が、氏名と住所(都道府県のみ)と生年月日(年のみ)と電子メールアドレスであった場合には、IL1との詳細度の差は2であり、IL2との差は0である。
詳細度の差としては、詳細度の異なるユーザ属性情報の種類(属性種類)の数を用いる方法がある。例えば、要求ユーザ属性情報が、氏名と住所(都道府県のみ)と生年月日(年のみ)と電子メールアドレスであった場合には、IL1との詳細度の差は2であり、IL2との差は0である。
また、1つの属性種類において詳細度の違いの程度を加味して、詳細度の差を算出してもよい。例えば、住所については、住所(都道府県のみ)、住所(市区町村まで)、住所と3段階に分け、生年月日については、生年月日(年のみ)、生年月日(年月)、生年月日と3段階に分けて、各属性種類の段階の差を加算して詳細度の差としてもよい。例えば、要求ユーザ属性情報が、氏名と住所(都道府県のみ)と生年月日(年月)と電子メールアドレスであった場合には、IL1との詳細度の差は3であり、IL2との差は1である。
さらに、詳細度の差が同一の複数の本人確認レベルが存在した場合には、詳細度の差を重視する属性種類の優先順位を定めておき、優先順位の高い属性種類の詳細度の差が小さい本人確認レベルを選択するようにしてもよい。
さらに、詳細度の差が同一の複数の本人確認レベルが存在した場合には、詳細度の差を重視する属性種類の優先順位を定めておき、優先順位の高い属性種類の詳細度の差が小さい本人確認レベルを選択するようにしてもよい。
図23に移り、ステップS509において、本人確認情報制御部112Aは、証明書管理部114AにユーザID、URL、端末属性、ステップS508で特定した本人確認レベルを出力して、証明書を要求する。
ステップS510において、証明書管理部114Aは、証明書と秘密鍵を証明書DB210(図3)から取得する。詳しくは、証明書管理部114Aは、証明書本人確認情報DB220A(図17参照)のレコードで、ユーザID221が出力されたユーザIDであり、本人確認レベル227が出力された本人確認レベルであって、有効期間225が現時刻を含み、有効状態226が有効であるレコードを検索して証明書番号223を取得する。続いて、証明書管理部114Aは、証明書DB210のレコードで、この証明書番号223を証明書番号211とするレコードを検索して、証明書212から証明書を、秘密鍵213から秘密鍵を取得する。
ステップS510において、証明書管理部114Aは、証明書と秘密鍵を証明書DB210(図3)から取得する。詳しくは、証明書管理部114Aは、証明書本人確認情報DB220A(図17参照)のレコードで、ユーザID221が出力されたユーザIDであり、本人確認レベル227が出力された本人確認レベルであって、有効期間225が現時刻を含み、有効状態226が有効であるレコードを検索して証明書番号223を取得する。続いて、証明書管理部114Aは、証明書DB210のレコードで、この証明書番号223を証明書番号211とするレコードを検索して、証明書212から証明書を、秘密鍵213から秘密鍵を取得する。
ステップS511において、証明書管理部114Aは、URLを証明書提示先WebサイトDB260(図18)に格納する。詳しくは、証明書管理部114Aは、証明書提示先WebサイトDB260のレコードの中で、証明書番号261が証明書中の証明書番号であり、Webサイト262がURLであるレコードを検索する。レコードが存在しなければ、証明書提示先WebサイトDB260に新規のレコードを追加して、証明書番号とURLを格納する。
ステップS512は、図13記載のステップS232と同様である。
ステップS513において、証明書管理部114Aは、証明書と秘密鍵を本人確認情報制御部112Aに出力する。
ステップS513において、証明書管理部114Aは、証明書と秘密鍵を本人確認情報制御部112Aに出力する。
ステップS514において、本人確認情報制御部112Aは、証明書と秘密鍵を証明書発行部113Aに出力する。
ステップS515において、証明書発行部113Aは、証明書と秘密鍵をユーザ端末300に送付する。
ステップS515において、証明書発行部113Aは、証明書と秘密鍵をユーザ端末300に送付する。
以上で、証明書が発行可である場合の処理を説明した。続いて、証明書が発行不可の場合の処理の説明を続ける。この処理は、ステップS506(図22参照)において発行不可である場合(S506→N)の処理である。
ステップS531において、証明書発行部113Aは、証明書が発行不可であることをユーザ端末300に通知する。
以上で、証明書の発行処理を説明した。ステップS501(図22)におけるユーザ端末からの証明書発行の要求に対して、本人確認情報提供サーバ100Aが、生成済みの証明書を秘密鍵とともにユーザ端末300に送付する(図23記載のステップS515参照)。証明書提示先のWebサイト400の信頼レベルが低い場合には、発行されない(図23記載のステップS531参照)。これにより、ユーザ属性情報の漏洩といった、セキュリティ上の脅威を回避できる。
以上で、証明書の発行処理を説明した。ステップS501(図22)におけるユーザ端末からの証明書発行の要求に対して、本人確認情報提供サーバ100Aが、生成済みの証明書を秘密鍵とともにユーザ端末300に送付する(図23記載のステップS515参照)。証明書提示先のWebサイト400の信頼レベルが低い場合には、発行されない(図23記載のステップS531参照)。これにより、ユーザ属性情報の漏洩といった、セキュリティ上の脅威を回避できる。
発行された証明書は、証明書提示先のWebサイト400の信頼レベルに応じた本人確認レベルの証明書であり、レベルに応じた本人確認情報が含まれている。信頼レベルの低いWebサイト400には、詳細度が低い、例えば住所のうち都道府県のみなど、粗い情報しか提示されない。このために、ユーザのプライバシ保護が可能となる。
≪第2の実施形態:Webサイトへのユーザ登録処理とログイン処理≫
第2の実施形態におけるWebサイトへのユーザ登録処理とログイン処理は、証明書発行処理を除いて第1の実施形態と同様である。第1の実施形態におけるWebサイトへのユーザ登録処理における証明書発行(図14記載のステップS304)は、図10〜図13に記載の本人確認情報提供サーバ100が証明書を発行する処理である。第2の実施形態では、図22〜図23に記載の本人確認情報提供サーバ100Aが証明書を発行する処理である。ログイン処理についても同様である。
第2の実施形態におけるWebサイトへのユーザ登録処理とログイン処理は、証明書発行処理を除いて第1の実施形態と同様である。第1の実施形態におけるWebサイトへのユーザ登録処理における証明書発行(図14記載のステップS304)は、図10〜図13に記載の本人確認情報提供サーバ100が証明書を発行する処理である。第2の実施形態では、図22〜図23に記載の本人確認情報提供サーバ100Aが証明書を発行する処理である。ログイン処理についても同様である。
≪変形例≫
Webサイト検証部115は、Webサイト信頼レベルDB240を参照してWebサイトの信頼レベルを判断している。Webサイト信頼レベルDB240に替わりに本人確認情報提供サーバ100の外部のサービスに問い合わせてWebサイトの信頼レベルを判断してもよい。例えば、マルウェアの配布元や指令元、フィッシングサイトなどになっているインターネット上のサーバの情報を提供するセキュリティ脅威インテリジェンスのサービスを利用してもよい。
Webサイト検証部115は、Webサイト信頼レベルDB240を参照してWebサイトの信頼レベルを判断している。Webサイト信頼レベルDB240に替わりに本人確認情報提供サーバ100の外部のサービスに問い合わせてWebサイトの信頼レベルを判断してもよい。例えば、マルウェアの配布元や指令元、フィッシングサイトなどになっているインターネット上のサーバの情報を提供するセキュリティ脅威インテリジェンスのサービスを利用してもよい。
本人確認情報の詳細度を低くする例として、住所の中で都道府県のみ、生年月日の中で年のみなど、情報の一部を残して他を削除する例を示した。他の例として、電子メールアドレスにおいて、フリーメールのように使い捨て可能な電子メールアドレスを詳細度の低い本人確認情報としてもよい。スパムメールなどの被害に遭った場合には、当該電子メールアドレスを廃棄して、次のフリーメールアドレスを登録するようにしてもよい。また、決済に使われる詳細度の低い本人確認情報として、利用限度額が低いクレジットカードの情報や少額のプリペイドカードの情報を用いてもよい。
第1と第2の実施形態では、証明書にはユーザないしはユーザ端末の認証に用いられる公開鍵が含まれている。公開鍵に替わりに、属性証明書(Attribute Certificate、IETF RFC 3281「An Internet Attribute Certificate Profile for Authorization」参照)のように、証明書の持ち主の識別情報を含めてもよい。
ユーザの本人確認情報の登録や変更は、ユーザが店舗に来店して店員が店舗端末から登録していた(図8のステップS101、図9のステップS121、図20のステップS401および図21のステップS421参照)。最初の来店時に暗証番号を取得して、この暗証番号でユーザ認証して、ユーザ自身が店舗端末から本人確認情報を変更するようにしてもよい。または、ネットワークを経由してユーザが本人確認情報提供サーバへ本人確認情報を登録し、本人確認書類を郵送ないしはその写しを本人確認情報提供サーバにアップロードするようにしてもよい。
Webサイトアクセス後に、ユーザ端末は、証明書や秘密鍵を削除するようにしてもよい。こうすることで、不正なプログラムがユーザ端末で動作しても、秘密鍵を悪用されたり、本人確認情報を盗まれることを防ぐことができる。再度Webサイトにアクセスする場合には、本人確認情報提供サーバから証明書と秘密鍵を取得することができる。
ステップS508(図22参照)において、本人確認情報制御部112Aは、本人確認レベルを決定するときに、本人確認レベルDB270(図19参照)の中で、要求ユーザ属性情報に含まれる個々のユーザ属性情報の種類を含み、要求ユーザ属性情報に含まれるユーザ属性情報の詳細度を満たしている本人確認レベル271を選択していた。こうすることで、Webサイトが要求する要求ユーザ属性情報を満たしつつ、最小のユーザ属性情報の詳細度を含む本人確認レベルを決定できる。これとは逆に、本人確認情報制御部112Aは、本人確認レベルDB270の中で、要求ユーザ属性情報に含まれる個々のユーザ属性情報の種類を含み、要求ユーザ属性情報に含まれるユーザ属性情報の詳細度以下であって、詳細度の差が小さい本人確認レベル271を選択するようにしてもよい。こうすることで、Webサイト検証部が決定したWebサイトの信頼レベルに応じたユーザ属性情報の詳細度を満たしつつ、最大の要求ユーザ属性情報の詳細度を含む本人確認レベルを決定できる。
例えば、要求ユーザ属性情報が、氏名と住所(都道府県のみ)と生年月日と電子メールアドレスであった場合には、この4つのユーザ属性情報を含み、それぞれのユーザ属性情報の詳細度が低いIL2を選択する。
第2の実施形態において、本人確認情報提供サーバ100Aは、ユーザ端末300からの要求があるたびに、本人確認情報制御部112Aが本人確認レベルを決定し、証明書DB210から証明書を取得して、ユーザ端末300に送信していた。本人確認レベルを決定する前に、ユーザ端末300から受信したWebサイト400のURLをもとに証明書提示先WebサイトDB260を検索して関連付けられた証明書番号を取得し、さらに端末識別情報をもとに証明書発行先端末DB230を検索して証明書番号を取得して、同一の証明書番号が存在した場合には、当該証明書番号の証明書を証明書DB210から取得して、ユーザ端末300に送信するようにしてもよい。証明書提示先WebサイトDB260と証明書発行先端末DB230との検索順序は逆でも良い。
≪効果≫
ユーザ端末は、Webサイトへのアクセス時(ユーザ登録、ログイン)に、本人確認情報提供サーバから証明書を取得して、Webサイトに提示する。本人確認情報提供サーバは、最新の本人確認情報提供を含んだ証明書をユーザ端末に送信しており、Webサイトは、ユーザの最新の本人確認情報に基づいて、ユーザ登録やサービス提供の可否判断ができるようになる。
ユーザ端末は、Webサイトへのアクセス時(ユーザ登録、ログイン)に、本人確認情報提供サーバから証明書を取得して、Webサイトに提示する。本人確認情報提供サーバは、最新の本人確認情報提供を含んだ証明書をユーザ端末に送信しており、Webサイトは、ユーザの最新の本人確認情報に基づいて、ユーザ登録やサービス提供の可否判断ができるようになる。
本人確認情報提供サーバは、Webサイトの信頼レベルに応じて証明書に含まれる本人確認情報(ユーザ属性情報)の属性種類や詳細度を変えている。Webサイトの信頼レベルが低い場合には、属性種類が少なく、詳細度の低い本人確認情報を含む証明書を発行するので、詳細な個人情報がWebサイトに提示されることがなく、ユーザのプライバシが保護できるようになる。また、ユーザは、Webサイトに応じて提示する証明書を選択することが必要がなく、ユーザの利便性が向上する。
また、Webサイトの信頼レベルが所定より低い場合には、本人確認情報提供サーバは、証明書を発行しない。このために、ユーザの個人情報が漏洩してしまうことを防止することができるようになる。
本人確認情報提供サーバにユーザ登録すれば、ユーザ端末はいつでも証明書を要求して取得することができる。このために、ユーザ端末は、Webサイトにアクセスしないときには証明書を保持する必要がない。このために、証明書が不正使用されないようにユーザ端末を厳重に管理する必要がなくなり、ユーザの利便性が向上する。
本人確認情報提供サーバにユーザ登録すれば、ユーザ端末はいつでも証明書を要求して取得することができる。このために、ユーザ端末は、Webサイトにアクセスしないときには証明書を保持する必要がない。このために、証明書が不正使用されないようにユーザ端末を厳重に管理する必要がなくなり、ユーザの利便性が向上する。
100、100A 本人確認情報提供サーバ
111、111A ユーザ登録部
112、112A 本人確認情報制御部
113、113A 証明書発行部
114、114A 証明書管理部
115 Webサイト検証部
116 証明書検証部
200 本人確認情報DB
210 証明書DB
220、220A 証明書本人確認情報DB
230 証明書発行先端末DB
240 Webサイト信頼レベルDB
250 信頼レベル別詳細度
260 証明書提示先WebサイトDB
270 本人確認レベルDB
300 ユーザ端末
400 Webサイト
600 店舗端末
111、111A ユーザ登録部
112、112A 本人確認情報制御部
113、113A 証明書発行部
114、114A 証明書管理部
115 Webサイト検証部
116 証明書検証部
200 本人確認情報DB
210 証明書DB
220、220A 証明書本人確認情報DB
230 証明書発行先端末DB
240 Webサイト信頼レベルDB
250 信頼レベル別詳細度
260 証明書提示先WebサイトDB
270 本人確認レベルDB
300 ユーザ端末
400 Webサイト
600 店舗端末
Claims (10)
- ネットワークを経由してサービスを提供するWebサイトと、前記サービスにアクセスするユーザ端末と、前記ユーザ端末が前記Webサイトに提示するユーザ属性情報を含む本人確認情報の証明書を発行する本人確認情報提供サーバとから構成され、前記Webサイトと前記ユーザ端末と前記本人確認情報提供サーバとがネットワークを介して接続されている本人確認情報提供サービスシステムにおける本人確認情報提供サーバの本人確認情報提供方法であって、
前記本人確認情報提供サーバは、
前記ユーザ属性情報を含む本人確認情報DB(Database)を記憶する記憶部を備え、
所定の決定手法により、前記Webサイトの信頼レベルを決定し、当該Webサイトの信頼レベルが高い場合には、提示を許容する前記ユーザ属性情報の詳細度を示す提示可能ユーザ属性情報詳細度を高く、当該Webサイトの信頼レベルが低い場合には、前記提示可能ユーザ属性情報詳細度を低くなるように、前記ユーザ属性情報の種類ごとに前記提示可能ユーザ属性情報詳細度を決定するWebサイト検証ステップと、
前記Webサイトが提示を要求するユーザ属性情報の種類と詳細度とを示し、前記ユーザ端末から受信した情報である要求ユーザ属性情報に含まれる、各ユーザ属性情報の種類の前記提示可能ユーザ属性情報詳細度を前記Webサイト検証ステップを実行することにより決定し、前記本人確認情報DBを参照して取得した当該ユーザ属性情報の種類に対応するそれぞれのユーザ属性情報を、決定した当該提示可能ユーザ属性情報詳細度と前記要求ユーザ属性情報に含まれるユーザ属性情報の詳細度とに応じて所定の変換手法で変換する本人確認情報制御ステップと、
前記要求ユーザ属性情報に含まれるユーザ属性情報の種類であって、前記本人確認情報制御ステップにより変換されたユーザ属性情報を含む証明書を発行して、前記ユーザ端末に送信する証明書発行ステップと、
を実行することを特徴とする本人確認情報提供方法。 - 前記記憶部は、証明書識別情報と、当該証明書識別情報で識別される証明書を前記ユーザ端末が提示する先の前記Webサイトの識別情報とが関連付けられて格納される証明書本人確認情報DB、および、前記証明書識別情報と前記ユーザ端末の識別情報とが関連付けられて格納される証明書発行先端末DBを、さらに記憶し、
前記本人確認情報提供サーバは、前記証明書の証明書識別情報と当該証明書の提示先のWebサイトの識別情報とを関連付けて前記証明書本人確認情報DBに格納し、前記証明書の証明書識別情報と前記ユーザ端末の識別情報とを関連付けて前記証明書発行先端末DBに格納するステップ、
をさらに実行することを特徴とする請求項1に記載の本人確認情報提供方法。 - ネットワークを経由してサービスを提供するWebサイトと、前記サービスにアクセスするユーザ端末と、前記ユーザ端末が前記Webサイトに提示するユーザ属性情報を含む本人確認情報の証明書を発行する本人確認情報提供サーバとから構成され、前記Webサイトと前記ユーザ端末と前記本人確認情報提供サーバとがネットワークを介して接続されている本人確認情報提供サービスシステムにおける本人確認情報提供サーバの本人確認情報提供方法であって、
前記本人確認情報提供サーバは、
前記ユーザ属性情報の種類および詳細度を含めた本人確認情報と、前記本人確認情報の精細度を示す本人確認レベルとが関連付けられて格納される本人確認レベルDB、前記本人確認レベルDBに格納されたユーザ属性情報の種類および詳細度に応じた本人確認情報を含む証明書の証明書識別情報が前記本人確認レベルに関連付けられて格納される証明書本人確認情報DB、および、前記証明書識別情報と当該証明書とが関連付けられて格納される証明書DBを記憶する記憶部を備え、
所定の決定手法により、前記Webサイトの信頼レベルを決定し、当該Webサイトの信頼レベルが高い場合には、提示を許容する前記ユーザ属性情報の詳細度を示す提示可能ユーザ属性情報詳細度を高く、当該Webサイトの信頼レベルが低い場合には、前記提示可能ユーザ属性情報詳細度を低くなるように、前記ユーザ属性情報の種類ごとに前記提示可能ユーザ属性情報詳細度を決定するWebサイト検証ステップと、
前記Webサイトが提示を要求するユーザ属性情報の種類と詳細度とを示し、前記ユーザ端末から受信した情報である要求ユーザ属性情報と、前記決定した提示可能ユーザ属性情報詳細度とから所定の手続きにより、前記本人確認レベルDBを参照して前記本人確認レベルを決定する本人確認情報制御ステップと、
前記本人確認情報制御ステップにより決定した本人確認レベルに関連付けられた証明書識別情報を前記証明書本人確認情報DBから取得し、取得した証明書識別情報に関連付けられた証明書を前記証明書DBから取得する証明書管理ステップと、
前記証明書管理ステップで取得した証明書を前記ユーザ端末に送信する証明書発行ステップと、
を実行することを特徴とする本人確認情報提供方法。 - 前記本人確認情報制御ステップにおいて、
前記本人確認レベルDBの本人確認情報を参照して、前記要求ユーザ属性情報に含まれるユーザ属性情報の種類を含み、前記要求ユーザ属性情報に含まれるユーザ属性情報の詳細度以上のユーザ属性情報を含み、前記要求ユーザ属性情報に含まれるユーザ属性情報の詳細度との差が最小であるユーザ属性情報の詳細度を含んだ本人確認情報を特定し、当該本人確認情報と関連付けられた本人確認レベルに決定すること
を特徴とする請求項3に記載の本人確認情報提供方法。 - 前記本人確認情報制御ステップにおいて、
前記本人確認レベルDBの本人確認情報を参照して、前記要求ユーザ属性情報に含まれるユーザ属性情報の種類を含み、前記要求ユーザ属性情報に含まれるユーザ属性情報の詳細度以下のユーザ属性情報を含み、前記要求ユーザ属性情報に含まれるユーザ属性情報の詳細度との差が最小であるユーザ属性情報の詳細度を含んだ本人確認情報を特定し、当該本人確認情報と関連付けられた本人確認レベルに決定すること
を特徴とする請求項3に記載の本人確認情報提供方法。 - 前記記憶部は、証明書識別情報と、当該証明書識別情報で識別される証明書を前記ユーザ端末が提示する先のWebサイトの識別情報とが関連付けられて格納される証明書提示先WebサイトDB、および、前記証明書識別情報と前記ユーザ端末の識別情報とが関連付けられて格納される証明書発行先端末DBを、さらに記憶し、
前記本人確認情報提供サーバは、前記証明書の証明書識別情報と当該証明書の提示先のWebサイトの識別情報とを関連付けて前記証明書提示先WebサイトDBに格納し、前記証明書の証明書識別情報と前記ユーザ端末の識別情報とを関連付けて前記証明書発行先端末DBに格納するステップ
をさらに実行することを特徴とする請求項3に記載の本人確認情報提供方法。 - 前記ユーザ端末から前記要求ユーザ属性情報と前記Webサイトの識別情報と前記ユーザ端末の識別情報とを受信し、前記証明書提示先WebサイトDBを参照し前記Webサイトの識別情報と関連付けられている証明書識別情報を検索し、前記証明書発行先端末DBの中で前記ユーザ端末の識別情報と関連付けられている証明書識別情報を検索し、検索の結果同一である証明書識別情報が存在した場合には、前記証明書DBを参照し当該証明書識別情報と関連付けられている証明書を抽出して前記ユーザ端末に送信するステップ
をさらに実行することを特徴とする請求項6に記載の本人確認情報提供方法。 - 前記本人確認情報提供サーバは、
前記Webサイト検証ステップにおいて、前記Webサイトの信頼レベルが所定のレベルより低い場合には、証明書発行不可と決定し、
当該証明書発行不可と決定した場合には、前記証明書発行ステップにおいて、証明書を前記ユーザ端末に送信しないこと
を特徴とする請求項1または3に記載の本人確認情報提供方法。 - ネットワークを経由してサービスを提供するWebサイトと、前記サービスにアクセスするユーザ端末と、前記ユーザ端末が前記Webサイトに提示するユーザ属性情報を含む本人確認情報の証明書を発行する本人確認情報提供サーバとから構成され、前記Webサイトと前記ユーザ端末と前記本人確認情報提供サーバとがネットワークを介して接続されている本人確認情報提供サービスシステムの本人確認情報提供サーバであって、
前記ユーザ属性情報を含む本人確認情報DBを記憶する記憶部と、
所定の決定手法により、前記Webサイトの信頼レベルを決定し、当該Webサイトの信頼レベルが高い場合には、提示を許容する前記ユーザ属性情報の詳細度を示す提示可能ユーザ属性情報詳細度を高く、当該Webサイトの信頼レベルが低い場合には、前記提示可能ユーザ属性情報詳細度を低くなるように、前記ユーザ属性情報の種類ごとに前記提示可能ユーザ属性情報詳細度を決定するWebサイト検証部と、
前記Webサイトが提示を要求するユーザ属性情報の種類と詳細度とを示し、前記ユーザ端末から受信した情報である要求ユーザ属性情報に含まれる、各ユーザ属性情報の種類の前記提示可能ユーザ属性情報詳細度を前記Webサイト検証部から取得し、前記本人確認情報DBを参照して取得した当該ユーザ属性情報の種類に対応するそれぞれのユーザ属性情報を、取得した提示可能ユーザ属性情報詳細度と前記要求ユーザ属性情報に含まれるユーザ属性情報の詳細度とに応じて所定の変換手法で変換する本人確認情報制御部と、
前記要求ユーザ属性情報に含まれるユーザ属性情報の種類であって、前記本人確認情報制御部が変換したユーザ属性情報を含む証明書を発行して、前記ユーザ端末に送信する証明書発行部と、
を備えることを特徴とする本人確認情報提供サーバ。 - ネットワークを経由してサービスを提供するWebサイトと、前記サービスにアクセスするユーザ端末と、前記ユーザ端末が前記Webサイトに提示するユーザ属性情報を含む本人確認情報の証明書を発行する本人確認情報提供サーバとから構成され、前記Webサイトと前記ユーザ端末と前記本人確認情報提供サーバとがネットワークを介して接続されている本人確認情報提供サービスシステムの本人確認情報提供サーバであって、
前記ユーザ属性情報の種類および詳細度を含めた本人確認情報と、前記本人確認情報の精細度を示す本人確認レベルとが関連付けられて格納される本人確認レベルDB、前記本人確認レベルDBに格納されたユーザ属性情報の種類および詳細度に応じた本人確認情報を含む証明書の証明書識別情報が前記本人確認レベルに関連付けられて格納される証明書本人確認情報DB、および、前記証明書識別情報と当該証明書とが関連付けられて格納される証明書DBを記憶する記憶部と、
所定の決定手法により、前記Webサイトの信頼レベルを決定し、当該Webサイトの信頼レベルが高い場合には、提示を許容する前記ユーザ属性情報の詳細度を示す提示可能ユーザ属性情報詳細度を高く、当該Webサイトの信頼レベルが低い場合には、前記提示可能ユーザ属性情報詳細度を低くなるように、前記ユーザ属性情報の種類ごとに前記提示可能ユーザ属性情報詳細度を決定するWebサイト検証部と、
前記Webサイトが提示を要求するユーザ属性情報の種類と詳細度とを示し、前記ユーザ端末から受信した情報である要求ユーザ属性情報と、前記Webサイト検証部から取得した提示可能ユーザ属性情報詳細度とから所定の手続きにより、前記本人確認レベルDBを参照して前記本人確認レベルを決定する本人確認情報制御部と、
前記本人確認情報制御部が決定した本人確認レベルに関連付けられた証明書識別情報を前記証明書本人確認情報DBから取得し、取得した証明書識別情報に関連付けられた証明書を前記証明書DBから取得する証明書管理部と、
前記証明書管理部が取得した証明書を前記ユーザ端末に送信する証明書発行部と、
を備えることを特徴とする本人確認情報提供サーバ。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017163814A JP6688266B2 (ja) | 2017-08-28 | 2017-08-28 | 本人確認情報提供方法および本人確認情報提供サーバ |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017163814A JP6688266B2 (ja) | 2017-08-28 | 2017-08-28 | 本人確認情報提供方法および本人確認情報提供サーバ |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019040537A true JP2019040537A (ja) | 2019-03-14 |
| JP6688266B2 JP6688266B2 (ja) | 2020-04-28 |
Family
ID=65725729
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017163814A Active JP6688266B2 (ja) | 2017-08-28 | 2017-08-28 | 本人確認情報提供方法および本人確認情報提供サーバ |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6688266B2 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3806005A1 (en) | 2019-10-09 | 2021-04-14 | Fujitsu Limited | Identity verification program, control apparatus, and method for identity verification |
| EP3806012A1 (en) | 2019-10-09 | 2021-04-14 | Fujitsu Limited | Identity verification purogram, management apparatus, and method for identity verification |
| WO2021176537A1 (ja) * | 2020-03-02 | 2021-09-10 | 日本電信電話株式会社 | ユーザ情報管理システム、ユーザ情報管理方法、ユーザエージェントおよびプログラム |
| WO2023132049A1 (ja) * | 2022-01-07 | 2023-07-13 | 富士通株式会社 | 個人情報制御方法、情報処理装置、及び個人情報制御プログラム |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002269295A (ja) * | 2001-03-07 | 2002-09-20 | Hitachi Ltd | 個人情報の変更を自動通知する戸籍情報管理システムおよびプログラム |
| JP2003006161A (ja) * | 2001-06-20 | 2003-01-10 | Mitsubishi Electric Corp | クライアントコンピュータにサービスを提供するサーバ、サービスを提供する方法およびサービスを提供するためのプログラム |
| JP2003218864A (ja) * | 2002-01-22 | 2003-07-31 | Hitachi Ltd | 本人認証方法およびシステム |
| JP2007058781A (ja) * | 2005-08-26 | 2007-03-08 | Nec Corp | 身分証明システム,方法,ユーザ携帯端末,身分証明書管理サーバおよびプログラム |
| JP2010063069A (ja) * | 2008-09-08 | 2010-03-18 | Jword Kk | 認証局システム、電子証明書の発行方法及び情報処理方法 |
| JP2013223171A (ja) * | 2012-04-18 | 2013-10-28 | Nippon Telegr & Teleph Corp <Ntt> | 公開鍵認証基盤統制システム、認証局サーバ、利用者端末、公開鍵認証基盤統制方法、およびプログラム |
| US20160080347A1 (en) * | 2013-12-16 | 2016-03-17 | Matthew B. Rappaport | Systems and methods for verifying attributes of users of online systems |
| JP2016200962A (ja) * | 2015-04-09 | 2016-12-01 | ニフティ株式会社 | 機器間通信の情報配信装置 |
-
2017
- 2017-08-28 JP JP2017163814A patent/JP6688266B2/ja active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002269295A (ja) * | 2001-03-07 | 2002-09-20 | Hitachi Ltd | 個人情報の変更を自動通知する戸籍情報管理システムおよびプログラム |
| JP2003006161A (ja) * | 2001-06-20 | 2003-01-10 | Mitsubishi Electric Corp | クライアントコンピュータにサービスを提供するサーバ、サービスを提供する方法およびサービスを提供するためのプログラム |
| JP2003218864A (ja) * | 2002-01-22 | 2003-07-31 | Hitachi Ltd | 本人認証方法およびシステム |
| JP2007058781A (ja) * | 2005-08-26 | 2007-03-08 | Nec Corp | 身分証明システム,方法,ユーザ携帯端末,身分証明書管理サーバおよびプログラム |
| JP2010063069A (ja) * | 2008-09-08 | 2010-03-18 | Jword Kk | 認証局システム、電子証明書の発行方法及び情報処理方法 |
| JP2013223171A (ja) * | 2012-04-18 | 2013-10-28 | Nippon Telegr & Teleph Corp <Ntt> | 公開鍵認証基盤統制システム、認証局サーバ、利用者端末、公開鍵認証基盤統制方法、およびプログラム |
| US20160080347A1 (en) * | 2013-12-16 | 2016-03-17 | Matthew B. Rappaport | Systems and methods for verifying attributes of users of online systems |
| JP2016200962A (ja) * | 2015-04-09 | 2016-12-01 | ニフティ株式会社 | 機器間通信の情報配信装置 |
Non-Patent Citations (1)
| Title |
|---|
| 本城 信輔 SHINSUKE HONJO: "プライバシに配慮したWWWにおける個人属性認証・アクセス制御システム Private Attributes Based Authe", 情報処理学会論文誌 第43巻 第8号 IPSJ JOURNAL, vol. 第43巻 第8号, JPN6008002085, 15 August 2002 (2002-08-15), JP, pages 2573 - 2586, ISSN: 0004199251 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3806005A1 (en) | 2019-10-09 | 2021-04-14 | Fujitsu Limited | Identity verification program, control apparatus, and method for identity verification |
| EP3806012A1 (en) | 2019-10-09 | 2021-04-14 | Fujitsu Limited | Identity verification purogram, management apparatus, and method for identity verification |
| US11799653B2 (en) | 2019-10-09 | 2023-10-24 | Fujitsu Limited | Computer-readable recording medium, management apparatus, and method for identity verification |
| WO2021176537A1 (ja) * | 2020-03-02 | 2021-09-10 | 日本電信電話株式会社 | ユーザ情報管理システム、ユーザ情報管理方法、ユーザエージェントおよびプログラム |
| WO2023132049A1 (ja) * | 2022-01-07 | 2023-07-13 | 富士通株式会社 | 個人情報制御方法、情報処理装置、及び個人情報制御プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6688266B2 (ja) | 2020-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111316303B (zh) | 用于基于区块链的交叉实体认证的系统和方法 | |
| CN111213147B (zh) | 用于基于区块链的交叉实体认证的系统和方法 | |
| US11451544B2 (en) | Systems and methods for secure online credential authentication | |
| KR102179543B1 (ko) | 블록체인 기반 디지털 신분증 및 이의 발급과 신원확인 방법 및 시스템 | |
| US11870769B2 (en) | System and method for identifying a browser instance in a browser session with a server | |
| US20180352005A1 (en) | Data sensitivity based authentication and authorization | |
| JP6054457B2 (ja) | 制御された情報開示によるプライベート解析 | |
| CN110874464A (zh) | 用户身份认证数据的管理方法和设备 | |
| JP6688266B2 (ja) | 本人確認情報提供方法および本人確認情報提供サーバ | |
| US20120204239A1 (en) | Terminal management system and terminal management method | |
| CN110535807B (zh) | 一种业务鉴权方法、装置和介质 | |
| US11621844B2 (en) | Secure data transfer system and method | |
| CN110209691B (zh) | 一种数据处理方法及装置 | |
| US20150280920A1 (en) | System and method for authorization | |
| JP5743946B2 (ja) | サービス提供装置、共同署名検証装置、利用者の識別・認証方法及びプログラム | |
| CN113326327B (zh) | 一种基于区块链的凭证查询方法、系统及装置 | |
| JP6719413B2 (ja) | セキュリティゲートウェイ装置、方法、及びプログラム | |
| Gruschka et al. | Analysis of the current state in website certificate validation | |
| JP5899351B2 (ja) | 認証局装置、証明書更新装置および証明書管理方法 | |
| US20240146523A1 (en) | Access control using a blockchain identity and policy based authorization | |
| JP7267349B2 (ja) | プログラム、情報処理装置、及び情報処理方法 | |
| EP4224351A1 (en) | Verification method, verification program, and information processing device | |
| EP3830782A1 (en) | Privacy-preserving assertion system and method | |
| JPWO2022070339A5 (ja) | ||
| KR20030001224A (ko) | 웹사이트 인증 부여 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190221 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191226 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200128 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200326 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200331 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200403 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6688266 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |