JP2020505835A - データファイリング方法およびシステム - Google Patents

データファイリング方法およびシステム Download PDF

Info

Publication number
JP2020505835A
JP2020505835A JP2019538320A JP2019538320A JP2020505835A JP 2020505835 A JP2020505835 A JP 2020505835A JP 2019538320 A JP2019538320 A JP 2019538320A JP 2019538320 A JP2019538320 A JP 2019538320A JP 2020505835 A JP2020505835 A JP 2020505835A
Authority
JP
Japan
Prior art keywords
data
filing system
data element
filing
encryption key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2019538320A
Other languages
English (en)
Inventor
ガイザルマンズ,フランシス
クレール,ローラン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bmi System
Original Assignee
Bmi System
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bmi System filed Critical Bmi System
Publication of JP2020505835A publication Critical patent/JP2020505835A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2143Clearing memory, e.g. to prevent the data from being stolen

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Storage Device Security (AREA)

Abstract

データファイリング方法において、データファイリングシステムは、データファイルに含まれることになるデータ要素を受信する。データファイリングシステムは、暗号鍵がデータファイリングシステムにおける別のデータ要素に割り当てられるのを回避するために、暗号鍵をデータ要素にランダムに割り当てる。データファイリングシステムは、データ要素についての有効期限を定義し、暗号鍵を定義された有効期限に関連付けて内部に格納する。データファイリングシステムは、暗号化されたデータ要素を取得するために、暗号鍵に基づいてデータ要素を暗号化する。データファイリングシステムは、暗号化されたデータ要素をデータファイルに含める。データファイリングシステムは、暗号鍵に関連付けられた有効期限が到達した場合、暗号鍵を削除する。これにより、データファイリングシステムにおける監査証跡の集積は確保しつつ、忘れられる権利を尊重することができる。【選択図】図7

Description

本発明の一観点は、データファイリング方法に関する。本方法は、例えば、個人データを含むデータ要素をファイリングするために使用されてもよい。本方法は、例えば、通常はそれぞれ頭字語CRM、ERP、およびCMSと表されるいわゆる顧客関係管理システム、企業資源計画システム、およびコンテンツ管理システムにおいて使用されてもよい。本発明の他の観点は、データファイリングシステムおよびコンピュータープログラムに関する。
データファイリングシステムは、個人データを含んでいてもよい。個人データは、いわゆる忘れられる権利を有する個人に直接的または間接的に関連するデータと理解される。つまり、人は、特定の日付の後、少なくとも自身以外の人が自身の個人データにアクセスできなくなり、データファイリングシステムから取り出せなくなる権利を有する。忘れられる権利を尊重する1つの方法は、当該日付の後にデータファイリングシステムから個人データを削除することである。
特許文献1には、格納装置に格納された個人情報の利用を制限する個人情報制御システムが記載されている。このシステムでは、各個人情報についての個人情報保護方針は、個人情報のユーザーが個人情報を使用することのできる特定の利用可能期間と関連して制御されている。個人情報保護方針は、利用可能期間を特定する情報である。暗号鍵は、暗号のために取得され、この暗号は、個人情報保護方針の管理者により解号され得るが、個人情報のユーザーにより解号され得ない。暗号鍵は、個人情報保護方針により特定される利用可能期間が満了すれば、ユーザーが個人情報を利用できないように個人情報を暗号化するために使用される。
特許文献2には、データをアーカイブする方法が記載されている。この方法では、データアーカイブ用コンピュータシステムが各固有暗号鍵と共に格納するための受信された各データファイルを暗号化する。データアーカイブ用コンピュータシステムは、各データファイルの各固有暗号鍵を削除することによって1つまたは複数のデータファイルを削除してもよい。
米国特許出願公開第2005/0105719号明細書 米国特許出願公開第2014/0372393号明細書
忘れられる権利をより良い方法で尊重することができるデータファイリング技術が必要である。
この必要性により良く対処するために、請求項1において規定されるような本発明の一観点によると、データファイリング方法は、データファイリングシステムがデータファイルに含まれることになるデータ要素を受信するデータ受信ステップと、前記データ要素が個人データを含む余地があるかどうかをデータファイリングシステムが判断するデータ分類ステップであって、前記データ要素が個人データを含む余地がある場合、前記データ要素に時間制限アクセシビリティプロセスを行うデータ分類ステップとを含み、前記時間制限アクセシビリティプロセスは、データファイリングシステムが有効期限を前記データ要素に割り当てる有効期限割当ステップと、暗号鍵がデータファイリングシステムにおける別のデータ要素に割り当てられるのを回避するために、前記データファイリングシステムが暗号鍵を前記データ要素にランダムに割り当てる鍵割当ステップと、前記データファイリングシステムが、定義された前記有効期限に関連して前記暗号鍵を内部に格納する鍵格納ステップと、前記データファイリングシステムが前記暗号鍵に基づいて前記データ要素を暗号化して暗号化されたデータ要素を取得するデータ暗号化ステップと、前記データファイリングシステムが暗号化されたデータ要素をデータファイルに組み込むデータ組込ステップと、前記暗号鍵に関連付けられた有効期限に到達した場合に前記データファイリングシステムが前記暗号鍵を削除する鍵削除ステップであって、前記データ要素が個人データを含む余地が無い場合、前記データファイルがアクセス可能なままである限り前記データ要素がアクセス可能なままであるように、前記時間制限アクセシビリティプロセスを適用せずに前記データ要素が前記データファイルに組み込まれる鍵削除ステップとを含む。
本発明の他の態様によれば、請求項14および15にそれぞれ記載のコンピュータープログラムおよびデータファイリングシステムが提供される。
これらの態様の各々において、忘れられる権利を尊重することができ、一方、データファイルのデータ集積は確保される。個人データを含み得るデータ要素を削除する必要がないため、データ集積は確保される。暗号化された形態で格納されているデータ要素は、暗号鍵を削除することによりアクセス不可となる。暗号鍵は、プレーンテキストでのデータ要素の取得を可能にするものである。したがって、データ要素は、忘れられる権利により決定される特定の日付、すなわち有効期限の後も暗号化された形態で残ってもよい。このことは、データファイリングシステムにファイルされたデータ要素に関する監査証跡を保持するデータファイリングシステムにおいて有利であり得る。
説明のため、添付の図を参照して本発明の複数の実施形態を詳細に記載する。この記載は、前述の特徴に加えてさらなる特徴と、それらさらなる特徴が提供し得る利点とを提示するものである。
図1は、データファイリングシステムのブロック図である。 図2は、データファイリングシステムにおけるデータファイルのテーブル図である。 図3は、データファイリングシステムにおける暗号鍵テーブルのテーブル図である。 図4は、データファイリングシステムにおける有効期限テーブルにおけるテーブル図である。 図5は、データファイリングシステムにおける監査証跡記録のテーブル図である。 図6は、データファイリングシステムを含む、データファイリング方法におけるデータファイリングセッションのフローチャート図である。 図7は、データファイリング方法における鍵管理プロセスのフローチャート図である。 図8は、データファイリング方法におけるデータ読取セッションのフローチャート図である。
図1は、データファイリングシステム100を概略的に示す。データファイリングシステム100は、ブロック図で表されている。データファイリングシステム100は、例えばインターネットまたはローカルエリアネットワークまたはその両方などのネットワークを介してアクセスされ得るサーバーの形態であってもよい。データファイリングシステム100は、通常はそれぞれ頭字語CRM、ERP、およびCMSで表されるいわゆる顧客関係管理システム、企業資源計画システム、またはコンテンツ管理システムを構成しているか、またはその一部を構成していてもよい。
データファイリングシステム100は、プロセッサ101と、プログラムメモリー102と、データメモリー103と、ユーザーインターフェース104と、通信インターフェース105とを含む。プログラムメモリー102は、1つまたは複数のメモリー回路、または、1つまたは複数の磁気ディスク、またはこれらの組み合わせなどの様々なデータ格納装置で構成されていてもよい。同様のことがデータメモリー103にも当てはまる。ユーザーインターフェース104は、例えば、キーボードの形態であってもよいデータ入力装置と、データ表示装置とを備えていてもよい。通信インターフェース105は、インターネットまたはローカルエリアネットワークまたはその両方と接続されていてもよい。
より詳細には、プログラムメモリー102は、データファイリングソフトウエアプログラム106を備え、データファイリングソフトウエアプログラム106は、鍵生成モジュール107および鍵管理モジュール108を有する。データファイリングソフトウエアプログラム106は、プロセッサ101が実施する可能性のある1セットのインストラクションを含む。これにより、データファイリングシステム100は、以下でより詳細に説明する動作を行うことができる。
データメモリー103は、種々のデータファイル109、110、111、暗号鍵テーブル112、終了遅延テーブル113、および種々の監査証跡記録114、115、116を含んでいてもよい。これらのデータ実体は、以下で詳細に説明する。説明および簡単化のため、図1は、3つのデータファイル109、110、111、および3つの監査証跡記録114、115、116のみを示す。データメモリー103は、これらデータ実体を多少含んでいてもよい。また、データメモリー103は、図1に示す暗号鍵テーブル112および終了遅延テーブル113に加えてそれぞれ少なくとも1つのさらなる暗号鍵テーブルと少なくとも1つのさらなる終了遅延テーブルとを備えていてもよい。
図2は、データファイリングシステム100におけるデータファイル109を概略的に示す。データファイル109は、テーブル図で表され、テーブル図は、種々の行201、202、203と種々の欄204、205とを含む。データファイル109は、右手欄205において表される種々の暗号化されたデータ要素206、207、208を含む。暗号化されたデータ要素は、データファイル109にファイルするためのファイリングシステムにより受信されたデータ要素の暗号化版であってもよい。暗号化されたデータ要素は、データファイリングシステム100に存在する別の暗号化されたデータ要素へのリンクの暗号化版であってもよい。
例えば、データファイル109は、契約に関連してもよい。この例では、暗号化されたデータ要素は、契約の当事者である人の姓、名、またはその両方の暗号化版であってもよい。あるいは、暗号化されたデータ要素は、データファイリングシステム100に存在する人の姓、名、またはその両方の暗号化版へのリンクの暗号化版であってもよい。前者の場合、暗号化されたデータ要素は、契約の当事者である人の、暗号化された形態での、直接的定義である。後者の場合、暗号化されたデータ要素は、その人の、暗号化された形態での、参照による、間接的定義である。どちらの場合も、データ要素の暗号化版は、データ要素と一義的に関連付けられていてもよい暗号鍵に基づいて得られた。
データファイル109は、左手欄204に表される種々の識別子209、210、211をさらに含む。テーブル図の同じ行における識別子およびデータ要素は、互いに一義的に関連付けられていてもよい。データファイリングシステム100における他のデータファイル110、111は、図2に示し、以下で説明されるデータファイル109と同様でもよい。
図3は、暗号鍵テーブル112を概略的に示す。暗号鍵テーブル112は、種々の行301、302、303と種々の欄304、305、306とを含むテーブル図において表されている。暗号鍵テーブル112は、中央の欄305に表されている種々の暗号鍵307、308、309を含む。暗号鍵は、データファイル109におけるファイリングのためのデータファイリングシステム100により受信されたデータ要素の暗号化版を取得するために使用された。暗号鍵テーブル112は、左手欄304に表されている種々の識別子310、311、312をさらに含む。テーブル図の同じ行における識別子および暗号鍵は、互いに一義的に関連付けられていてもよい。
暗号鍵テーブル112における識別子は、このテーブルにおける暗号鍵と関連付けられているが、データファイル109、110、111においても生じてもよい。当該データファイルにおいて、識別子は、データ要素と関連付けられており、このデータ要素の暗号化版はデータファイルに存在する。暗号化版は、暗号鍵に基づいて取得された。なぜなら、両方とも同じ識別子と関連付けられているからである。逆に、データファイル109、110、111における識別子は、このファイルにおけるデータ要素の暗号化版と関連付けられているが、暗号鍵テーブル112においても生じてもよい。暗号鍵テーブル112において、識別子は、暗号鍵と関連付けられている。暗号鍵は、データ要素の暗号化版を取得するために使用された。なぜなら、両方とも同じ識別子に関連付けられているからである。したがって、暗号鍵およびデータ要素は、データ要素の暗号鍵と暗号化版とが同じ識別子に関連付けられている場合、互いに関連付けることができる。
暗号鍵テーブル112は、右手欄306に表される種々の有効期限313、314、315をさらに含む。テーブル図の同じ行における有効期限および暗号鍵は、互いに一義的に対応付けられていてもよい。有効期限は、データファイリングシステム100からいつ暗号鍵を削除すべきかを示す。
データファイリングシステム100は、認証されていないアクセスにから暗号鍵テーブル112を保護してもよい。例えば、データファイリングシステム100は、テーブル暗号鍵に基づいて暗号鍵テーブル112自体を暗号化してもよい。より一層のセキュリティの為に、テーブル暗号鍵は、時間と共に、規則的に、またはランダムに繰り返し更新されてもよい。暗号鍵テーブル112は、認証されていないアクセスから物理的に保護されたデータメモリー103の一部に含まれていてもよい。
図4は、終了遅延テーブル113を概略的に示す。終了遅延テーブル113は、種々の行401、402、403と種々の欄404、405とを含むテーブル図に表されている。終了遅延テーブル113は、右手欄405に表されている種々の終了遅延406、407、408を含む。データファイル109は、左手欄404に表されるデータ要素409、410、411のカテゴリの種々の定義をさらに含む。テーブル図の同じ行における終了遅延およびデータ要素カテゴリの定義は、互いに一義的に関連付けられていてもよい。終了遅延は、遅延を示す。この遅延後は、当該カテゴリに属するデータ要素はデータファイリングシステム100から読み取り可能でなくなるべきである。
データ要素カテゴリは、例えばデータ要素が関連する国に基づいて定義されていてもよい。他の例としては、データ要素カテゴリは、データ要素が含む、例えば、人の名前、その人の住所、その人の誕生日またはその人の担当医などの情報のタイプに基づいて定義されてもよい。さらに別の例としては、データ要素カテゴリは、データ要素の使用目的に基づいて定義されてもよい。
図5はデータファイリングシステム100における監査証跡記録114を概略的に示す。監査証跡記録114は、種々の行501、502、503と種々の欄504、505、506、507とを含むテーブル図において表されている。監査証跡記録114は、図2に示すデータファイル109などのデータファイルと一義的に関連付けられていてもよい。この例において、監査証跡記録114は、監査証跡記録114が関連付けられたデータファイル109においても表されているデータ要素の種々の暗号化版508、509、510を含む。データ要素の暗号化版508、509、510は、左手欄504に表されている。監査証跡記録114は、データファイル109、110、112における識別子と同様の識別子と先述の暗号鍵テーブル112とを備えていてもよい。
監査証跡記録114は、データ要素のための種々のファイリングコンテクスト指標511、512、513をさらに含んでいてもよい。図5のテーブル図において、ファイリングコンテクスト指標は、欄において表されており、データ要素と関連付けられていてもよく、このデータ要素の暗号化版は、ファイリングコンテクスト指標と同じ行に在る。例えば、左中央欄505は、ファイリングの方法がデータ要素に対していつ適用されたかの指標511を含んでいてもよい。右中央欄506はデータ要素がどのように受信されたかの指標512を含んでいてもよい。右手欄507は、ファイリングの方法を誰が開始したかの指標513を含んでいてもよい。データファイリングシステム100における他の監査証跡記録115、116は、図5に示された先述の監査証跡記録114と同様であってもよい。
図6、7、および8は、データファイリング方法を概略的に示す。この方法は、フローチャート図で示されている。この方法は、プロセッサ101がデータファイリングソフトウエアプログラム106を実行した場合にデータファイリングシステム100が実行する一連のステップを含む。フローチャート図は、プログラムメモリー102におけるデータファイリングソフトウエアプログラム106の少なくとも一部を代表するものと見なされてもよい。
図6は、データファイリング方法におけるデータファイリングセッション600を概略的に示す。データファイリングシステム100と通信している遠隔装置は、このようなデータファイリングセッション600を開始させてもよい。遠隔装置は、例えば、インターネットなどのネットワークを介してデータファイリングシステム100と通信してもよい。データファイリングセッション600において、遠隔装置は、クライアント装置として動作してもよく、一方、データファイリングシステム100は、サーバーとして動作する。データファイリングセッション600は、以下のステップを含んでいてもよい。
データ受信ステップ601において、データファイリングシステム100は、図2に示すようなデータファイル109などのデータファイルに含まれることになるデータ要素602を受信する。データファイリングシステム100は、前記遠隔装置からデータ要素602を受信してもよい。データファイリングシステム100は、遠隔装置が表示可能なウェブページを提供してもよい。ウェブページは、種々のフィールドを含んでいてもよい。その後、遠隔装置のユーザーは、フィールドにおけるデータ要素を特定してもよい。
例えば、対象のデータファイルが契約に関する場合、契約の当事者である人の姓および名についての1つのフィールドまたは複数のフィールドがあってもよい。その後、ユーザーは、フィールドに一連の英数字を入力することにより名前および姓を直接特定してもよい。これは、例えば、データファイリングシステム100において人が未だ定義されていない場合であってもよい。あるいは、ユーザーは、表示された名前のリストから名および姓を選択してもよい。このようなリストは、ユーザーが当該フィールドに一連の英数字の入力を開始する場合に提案として現れてもよく、この場合、リストはデータファイリングシステム100に既存の名前を表示する。
したがって、データファイリングシステム100は、データ要素602を一連の英数字の形態もしくは一連の英数字に対するリンクすなわちリファレンスの形態で受信してもよく、または、データファイリングシステム100に既存の別のタイプのデータ要素を受信してもよい。データファイリングシステム100は、データファイリングシステム100に向けられたデータストリームの一部としてデータ要素602を受信してもよい。データストリームは、XMLフォーマットでもよい。
データファイリングシステム100は、データ要素602についての有効期限の定義も含んでいてもよいデータオブジェクトの形態でデータ要素602を受信してもよい。有効期限の定義は、例えば、メタデータの形態であってもよい。有効期限はいつデータ要素がアクセスできなくなるべきかを示している。あるいは、データファイリングシステム100は、有効期限の何らかの明確な指示なしにデータ要素602を受信してもよい。
データ評価ステップ603において、データファイリングシステム100は、受信されたデータ要素602が個人データを含む余地があるかどうかを評価する。個人データは、忘れられる権利を有する人に直接的または間接的に関連するデータと理解されるものとする。データ要素602が個人データを含む余地があるかどうかをデータファイリングシステム100によって評価することができる種々の方法が在る。例えば、先述のように、有効期限に関連付けられたデータ要素602をデータファイリングシステム100が受信する場合、データファイリングシステム100は、データ要素602が個人データを含むと直接評価してもよい。
データファイリングシステム100は、先述のような種々のフィールドを有する形態を含むウェブページを提供してもよい。この場合、1つまたは複数のフィールドは、個人データを特定するために当てられていてもよく、一方、1つまたは複数の他のフィールドは、非個人データを特定するために当てられていてもよい。その後、データファイリングシステム100は、データ要素602が派生する当該フィールドに基づいてデータ要素602が個人データを含むか否かを評価することができる。別の例として、データファイリングシステム100は、データファイリングシステム100が受信するXMLデータストリーム等において、データ要素602と関連付けられた記述データに基づいてこのような評価を行うことができる。
データ要素602が個人データを含んでいない場合、データファイリングシステム100は、データ要素602をプレーンテキストでファイルしてもよい。データファイリングシステム100は、従来のファイリングプロセス604を適用することによりこれを行ってもよい。データ要素602が個人データを含んでいない場合、データファイリングシステム100は、データ要素602に以下で説明する種々のステップを含む時間制限アクセシビリティプロセスを行う。
鍵生成ステップ605において、データファイリングシステム100は、データ要素602のための暗号鍵606を生成する。そのため、データ評価ステップ603においてデータ要素602が個人データを含むとされた場合、データファイリングシステム100は、図1に記載の鍵生成モジュール107を体系的に起動してもよい。鍵生成モジュール107は、例えば、疑似乱数値を生成する擬似乱数生成器を備えていてもよく、疑似乱数値は、暗号鍵606を形成してもよく、または、少なくともその一部を形成してもよい。
鍵割当ステップ607において、データファイリングシステム100は、生成された暗号鍵606をデータ要素602に割り当てる。したがって、この実施形態において、データファイリングシステム100は、データ要素602に暗号鍵606をランダムに割り当てた。暗号鍵606のこのようなランダムな割り当ては、同じ暗号鍵606が先に受信された別のデータ要素602に既に割り当てられていることを回避し、かつ、同じ暗号鍵606が未だ受信されていない別のデータ要素602に割り当てられることを回避する。
識別子関連付ステップ608において、データファイリングシステム100は、識別子609をデータ要素602に関連付ける。さらに、データファイリングシステム100は、識別子609を暗号鍵606に関連付ける。識別子609は、例えば、データ要素602から計算されたハッシュでもよい。識別子609は、データ要素602および暗号鍵606に一義的に関連付けられていてもよい。したがって、識別子609は、データ要素602を暗号鍵606に一義的に関連付けてもよいし、その逆でもよい。
有効期限割当ステップ610において、データファイリングシステム100は、有効期限611をデータ要素602に割り当てる。有効期限611は、日付であり、この日付の後、データ要素602は、データファイリングシステム100から読み込めなくなるべきである。データファイリングシステム100が有効期限と関連してデータ要素602を受信する場合、先述のように、データファイリングシステム100は、その有効期限をデータ要素602に直接割り当ててもよい。この場合、データ要素に割り当てられた有効期限611は、実行時間が定義された有効期限と考えられてもよい。
他の場合、有効期限611は、データ要素602が属するカテゴリに基づいて割り当てられてもよい。カテゴリは、以下の特徴、すなわち、データ要素602が関連する国、データ要素602が含む情報のタイプ、およびデータ要素602の使用目的の少なくとも1つに関係していてもよい。したがって、異なる国については異なる有効期限、異なるタイプの情報については異なる有効期限、異なる使用目的については異なる有効期限がある場合もある。
有効期限割り当ては、図4に示すような例えば終了遅延テーブル113などのデータ要素の各カテゴリについての各終了遅延のテーブルを含んでいてもよい。有効期限割当ステップ610において、データファイリングシステム100は、データ要素602が属するカテゴリについての終了遅延をこのテーブルから選択してもよい。その後、データファイリングシステム100は、テーブルから選択された終了遅延に基づいて有効期限611を定義してもよい。有効期限611は、終了遅延が追加される現在のデータであってもよい。データファイリングシステム100は、終了遅延テーブル提供ステップにおいて各終了遅延の前記テーブルが備えられてもよい。このステップは、データファイリングセッション600がまず実施される前に実施されてもよい。この場合、データ要素602に割り当てられた有効期限611は、設計時に定義された有効期限と見なされてもよい。
有効期限更新ステップにおいて、データファイリングシステム100は、1つまたは複数の有効期限を更新してもよく、1つまたは複数の有効期限は、データ要素602に現在割り当てられる有効期限611に続く他のデータ要素に事前に割り当てられている。例えば、データ要素602が、現在割り当てられる有効期限よりも早期の別の有効期限に関連して事前にファイルされた別のデータ要素に対するリンクであるとする。他の、早期の有効期限が維持される場合、リンクは、この日以後は意味がなくなり、一方、リンク自体は、依然としてアクセス可能であり、機能することが好ましい。これを回避するため、データファイリングシステム100は、他の早期の有効期限を再定義して、例えば、現在割り当てられた有効期限としてもよい。
鍵格納ステップ612において、データファイリングシステム100は、有効期限611に関連して暗号鍵606を内部に格納する。例えば、データファイリングシステム100は、図3に示す暗号鍵テーブル112に暗号鍵606および有効期限611を格納してもよい。そのため、データファイリングシステム100は、行をこのテーブルに追加し、暗号鍵606および有効期限611をこの行において、それぞれ、中央欄305および右手欄306に書き込んでもよい。データファイリングシステム100は、同じ行であって左手欄304に、暗号鍵606と関連付けられた識別子609をさらに書き込む。
データ暗号化ステップ613において、データファイリングシステム100は、データ要素602を暗号鍵606に基づいて暗号化する。したがって、暗号化されたデータ要素614が得られる。そのため、データファイリングシステム100は、十分に強固であり、かつ、十分な性能を提供する暗号化アルゴリズムを実行してもよい。種々の異なる暗号化アルゴリズムは、これらの要求を満たす可能性がある。したがって、データファイリング方法は、データファイリングシステム100にロードされ、実行される暗号化アルゴリズムに比較的こだわらない。
データ組込ステップ615において、データファイリングシステム100は、対象の1つまたは複数のデータファイルにおいて暗号化されたデータ要素613を含む。データファイリングシステム100は、暗号化されたデータ要素613が含まれることになる対象のデータファイルを、データファイリングシステム100が受信したデータ要素611と関連づけられた情報に基づいて特定してもよい。例えば、データ要素611は、データファイリングシステム100が提供したウェブページにおける契約者を特定するためのフィールドにおける入力を考察してもよく、この場合、ウェブページは契約を特定する役割を果たす。この例では、データファイリングシステム100は、対象の契約に関するデータファイルに暗号化されたデータ要素613を格納してもよい。このデータファイルは、例えば、図2に示すデータファイル109の形態であってもよい。この例では、データファイリングシステム100は、行をデータファイル109に追加し、この行に識別子609および暗号化されたデータ要素613をそれぞれ左手欄204と右手欄205とに書き込んでもよい。
データ要素611が契約者を特定する上記の例において、暗号化されたデータ要素613は、別のデータファイルにおける別のデータ要素へのリンクの暗号化版でもよく、前記別のデータファイルは、暗号化された形態における各契約者を定義する各暗号化されたデータ要素を含む契約者のデータベースを構成している。データ要素611が、契約者に関するこのデータファイルに未だ存在していない契約者に関連する場合、データファイリングシステム100は、対象の契約者を定義する新しい暗号化されたデータ要素が暗号化された形態で、このデータファイルに含まれていてもよい。その後、データファイリングシステム100は、先述の方法でこの暗号化されたデータ要素に暗号鍵および有効期限を割り当ててもよい。先述の有効期限は、対象の契約に関するデータファイルにおけるリンクを構成する暗号化されたデータ要素613に割り当てられたものと同じであってもよい。
監査データ生成ステップ616において、データファイリングシステム100は、監査データ617〜620を生成し、監査データ617〜620は、データ要素602をファイルする先述のステップに関連する。監査データ617〜620は、データ要素602に対して適用されるファイリングの方法に関する少なくとも1つのファイリングコンテクスト指標およびデータ要素602の暗号化版617を含んでいてもよい。データ要素602の暗号化版617は、データ要素602に割り当てられた暗号鍵606に基づいて取得される。監査データは、例えば、データ要素602にいつファイリングの方法が適用されたかの指標618、データ要素602がどのように受信されたかの指標619、ファイリングの方法を開始した人の指標620、または、これらファイリングコンテクスト指標の任意の組み合わせをさらに含んでいてもよい。
監査データ617〜620に含まれるデータ要素602の暗号化版617は、データ暗号化ステップ613において取得された暗号化されたデータ要素613に対応してもよい。別の例として、データ要素602の暗号化版617は、監査データ617〜620の一部に含まれてもよく、監査データ617〜620の一部は、データ要素602に割り当てられた暗号鍵606に基づいて暗号化され、データ要素602を含む。つまり、データ要素602は、データ要素602に適用されるファイリングの方法に関する少なくとも1つの情報要素をさらに含むデータパッケージの一部であってもよい。その後、データファイリングシステム100は、データ要素602に割り当てられた暗号鍵606に基づいてこのデータパッケージを暗号化してもよい。したがって、暗号化されたデータパッケージは、監査データ617〜620、または、少なくともその一部を形成してもよい。
監査データ記録ステップ621において、データファイリングシステム100は、監査データ617〜620を監査証跡記録に記録する。例えば、データファイリングシステム100は、図5に示す監査証跡記録114に監査データ617〜620を格納する。そのため、データファイリングシステム100は、行を監査証跡記録114に追加して、この行に監査データ617〜620を書き込みしてもよい。データ要素602の暗号化版617は、その後、左手欄504に書き込まれる。ファイリングコンテクスト指標は、左中央欄505、右中央欄506、右手欄507に書き込まれる。
図6に示すデータファイリングセッション600は、監査データ記録ステップ621で終了してもよい。あるいは、データファイリングセッション600は継続してもよい。その場合、図6に示す一連のステップは、ファイルしようとする新しいデータ要素のために新しく実施されてもよい。
図7は、データファイリング方法における鍵管理プロセス700を概略的に示す。データファイリングシステム100は、鍵管理プロセス700を定期的に実施してもよい。データファイリングシステム100は、図1に示すプログラムメモリー102において鍵管理モジュール108を定期液に実行することによりそれを行ってもよい。鍵管理プロセス700は、以下のステップを含んでいてもよい。
有効期限検定ステップ701において、データファイリングシステム100は、格納されていた各暗号鍵に関連付けられた各有効期限をチェックする。例えば、データファイリングシステム100は、図3に示す暗号鍵テーブル112の右手欄306を通してスクロールしてもよい。このテーブルにおいて、各有効期限313、314、315は、各暗号鍵307、308、309に関連して格納される。暗号鍵テーブル112を通してスクロールする間に、データファイリングシステム100は、暗号鍵703に関連付けられた有効期限702を現在の日付704と比較してもよい。例えば、有効期限702が現在の日付704に対応するか、または、現在の日付704よりも前であるならば、データファイリングシステム100は、有効期限702になったと評価してもよい。
データファイリングシステム100は、到達した有効期限702に関連付けられた暗号鍵703について鍵削除ステップ705を実施する。鍵削除ステップ705において、データファイリングシステム100は、当該暗号鍵703を削除する。例えば、図3に示す暗号鍵テーブル112において、行303は、暗号鍵309と識別子312とそれに関連付けられた有効期限315とを備え、有効期限315は到達したとする。次に、データファイリングシステム100は、例えば、当該の行303における暗号鍵309を削除し、一方、この行における識別子312および有効期限315を、暗号鍵テーブル112のそれぞれ左手欄304および右手欄306に保持する。暗号鍵309と関連付けられたこれらの要素は、暗号鍵309の削除後であっても有用情報を提供してもよい。
データファイリングシステム100は、削除された暗号鍵703が別の暗号化されたデータ要素へのリンクを構成する暗号化されたデータ要素と関連付けられている場合、データクリーニングステップをさらに実施してもよい。データクリーニングステップにおいて、データファイリングシステム100は、リンクが指す他の暗号化されたデータ要素も、少なくとも1つの他のリンクによって指されているかどうかを検証してもよい。されていなければ、他の暗号化されたデータ要素を維持する理由がなくなるように、他の暗号化されたデータ要素がデータファイリングシステム100内で切断されたことを暗示する。その後、データファイリングシステム100は、他の暗号化されたデータ要素と関連付けられた暗号鍵も削除する。
別の実施形態において、データファイリングシステム100は、特定データクリーニングプロセスを実施してもよく、特定データクリーニングプロセスにおいて、データファイリングシステム100は、接続されていない暗号化されたデータ要素があるかどうかを検証し、この暗号化されたデータ要素は、少なくとも1つの他のデータ要素を参照せず少なくとも1つの他のデータ要素によって参照されない。データファイリングシステム100が接続されていない暗号化されたデータ要素を特定すると、その後、データファイリングシステム100は、接続されていないデータが暗号化されたデータ要素と関連付けられた暗号鍵を削除してもよい。したがって、このプロセスは、忘れられる権利に関連する規制に沿うことに加えて、データファイリングシステム100内の個人データをそれが必要である期間だけ保持することに寄与する。
先述のデータファイリング方法により、特定の日、つまり、有効期限までのみデータ要素を読み込めるようにデータ要素をファイリングできる。データ要素は、この日以後は読み込めなくなり、これは、忘れられる権利を確保する。また、これは、たとえ、読み込めなくなったデータ要素602に関する監査データがコンテキスト情報を含んでいても、監査データの集積を確保して達成される。読み込めなくなったデータ要素は、監査データから回収できず、監査データから推定もできない。したがって、信頼性のある総括的な監査は忘れられる権利にも関わらず実施することができる。
図8は、データファイリング方法におけるデータ読取セッション800を概略的に示す。データファイリングシステム100と通信している遠隔装置は、データ読取セッション800を開始してもよい。データ読取セッション800において、遠隔装置は、クライアント装置として動作してもよく、一方、データファイリングシステム100は、サーバーとして動作する。データ読取セッション800は、以下のステップを含む。
読取要求ステップ801において、データファイリングシステム100は、データファイルからデータ要素802を読み込むための要求を受信する。要求は、例えば、先述の遠隔装置から派生していてもよい。データファイリングシステム100は、遠隔装置が表示可能なウェブページを提供してもよい。ウェブページはファイルナビゲーションツールを備えていてもよく、ファイルナビゲーションツールによって、遠隔装置のユーザーは関心のあるデータファイルを選択することができ、関心のあるデータ要素802を指定することができる。要求が関連するデータ要素802は先述のようにデータファイリングセッション600においてファイルされているものとする。
鍵検査ステップ803において、データファイリングシステム100は、データ要素802に割り当てられた暗号鍵804がデータファイリングシステム100に存在しているかどうかを試験する。例えば、読み込みが要求されたデータ要素802が図1に示すデータファイル109におけるデータ要素207であると仮定する。データファイリングシステム100は、データ要素207が存在する行202を特定してもよい。したがって、データファイリングシステム100は、左手欄204からデータ要素207に関連付けられた識別子210を取得する。
その後、図3に示す暗号鍵テーブル112を参照し、データファイリングシステム100は、左手欄304において同じ識別子311を含むこのテーブルにおける行302を特定してもよい。その後、データファイリングシステム100は、暗号鍵テーブル112のこの行302における中央欄305に要素があるかどうかを試験する。要素が在る場合、この要素はデータ要素207に割り当てられた暗号鍵308である。要素が無い場合、または、ダミー要素のみである場合、データファイリングシステム100は、暗号鍵308が存在しなくなっていると結論し得る。
暗号鍵804が存在する場合に実施される読込ステップ805において、データファイリングシステム100は、当該データファイルから暗号化されたデータ要素を取得する。データファイリングシステム100は、プレーンテキストでのデータ要素802を取得するために暗号化されたデータ要素を解号する。その後、データファイリングシステム100は、データ要素802を、例えば、読取セッションを開始した遠隔装置へ通信してもよい。
暗号鍵804が存在しない場合に行われる指標提供ステップ806において、データファイリングシステム100は、データ要素802がデータファイリングシステム100に存在するが、つまり、暗号化された形態で、読み込めなくなっているという指標を提供してもよい。データファイリングシステム100は、有効期限をさらに指示してもよく、この有効期限の後はデータ要素802にアクセス不可になる。
別の実施形態において、代替のデータファイリングシステムは、代替のデータファイリングシステムが、例えば、異なるサーバーで個別に動作してもよい基本データファイリングサブシステムと監査可能期間満了監視サブシステムとを備えるという点で先述のデータファイリングシステム100とは異なっていてもよい。基本データファイリングサブシステムは、有効期限の一覧を保持する必要が無く、有効期限に達したかどうかを監視する必要がない。さらに、基本データファイリングサブシステムは、監査証跡を保持する必要が無い。基本データファイリングサブシステムは、これらのタスクを、いわば、監査可能期間満了監視サブシステムへ委任し、監査可能期間満了監視サブシステムは、例えば、ウェブサービスの形態であってもよい。
したがって、基本データファイリングシステムは、種々のデータ実体を含む必要がなく、図3、4、および5をそれぞれ参照して説明された暗号鍵テーブル、有効期限テーブル、または暗号鍵テーブルなどの種々のデータ実体は、先述のデータファイリングシステム100に存在していてもよい。また、基本データファイリングシステムは、図7を参照して説明した鍵管理プロセス700などの鍵管理プロセスを実施する必要はない。
基本データファイリングシステムは、受信データ要素が個人データを含む余地があるかどうかを検査してもよい。この検査で含まない場合、基本データファイリングシステムは、プレーンテキストで受信データ要素をファイルしてもよい。この検査で含む場合、基本データファイリングシステムは、受信データ要素を暗号化された形態でファイルしてもよい。これらの動作を考察する限り、それ自体では、基本データファイリングシステムは、先述のデータファイリングシステム100と同様であってもよい。しかしながら、データ要素暗号化のための固有キーを使用する必要がない。あるいは、基本データファイリングシステムは、全ての受信データ要素をプレーンテキストで、または、暗号化された形態で、個人データを含む余地があるデータ要素とそうでないデータ要素とを区別せずにファイルしてもよい。
基本データファイリングシステムは、データ要素を受信しファイリングする場合、データ要素を監査可能期間満了監視サブシステムへ送信する。データ要素のコピーは、データ要素が個人データを含む余地がある場合、有効期限指示を伴う。有効期限指示は、例えば、データ要素が属するカテゴリの指示を含んでいてもよい。別の例としては、基本データファイリングシステムが有効期限、または、適用されることになる有効期限ルールに関連付けられたデータ要素を受信する場合、有効期限指示は、有効期限または有効期限ルールにそれぞれ対応してもよい。基本データファイリングシステムが監査可能期間満了監視サブシステムへ送信するデータ要素のコピーは、基本データファイリングシステムがデータ要素に関連付けた識別子をさらに伴っていてもよい。
監査可能期間満了監視サブシステムは、先述のデータファイリングシステム100がデータ要素をファイルする場合と同様に、データ要素ともしあればそれに関連付けられた識別子とのコピーをファイルする。その結果、監査可能期間満了監視サブシステムは、有効期限指示に基づいてデータ要素のコピーに有効期限を割り当ててもよい。その後、監査可能期間満了監視サブシステムは、格納のためのデータ要素の暗号化版を取得するために、データ要素のコピーを暗号化するために使用される固有キーと関連付けてこの有効期限を格納してもよい。
したがって、監査可能期間満了監視サブシステムは、図3を参照して説明されたものと同様の暗号鍵テーブルを保持してもよい。したがって、有効期限をデータ要素に割り当てるために、監査可能期間満了監視サブシステムは、図4を参照して説明されたものと同様の終了遅延テーブルを保持してもよい。さらに、監査可能期間満了監視サブシステムは、図5を参照して説明したものと同様の監査証跡記録114を保持してもよい。
監査可能期間満了監視サブシステムは、図7を参照して説明した鍵管理プロセス700と同様の鍵管理プロセスを規則的に実施してもよい。したがって、このプロセスにおいて、監査可能期間満了監視サブシステムは、到達した有効期限と関連付けられたデータ要素を特定してもよい。その後、監査可能期間満了監視サブシステムは、到達した有効期限に関連付けられた暗号鍵を削除してもよい。したがって、このプロセスにおいて、監査可能期間満了監視サブシステムも到達した有効期限についてのデータ要素を特定する。
監査可能期間満了監視サブシステムは、基本データファイリングシステムに、到達した有効期限についてのデータ要素を通知する。そのため、監査可能期間満了監視サブシステムは、基本データファイリングシステムと通信を確立してもよく、これは、コールバックと考えられてもよい。この通信において、監査可能期間満了監視サブシステムは、有効期限が直接到達したデータ要素を直接、または、これらデータ要素に関連付けられた識別子によって、特定してもよい。これに応じて、基本データファイリングシステムは、当該データ要素がアクセス不可になるように当該データを削除する。監査可能期間満了監視サブシステムに暗号化された形態で存在するこれらデータ要素のコピーは、これらを暗号化するために使用された暗号鍵が削除されているのでアクセス可能ではない。関心のある監査証跡記録は、依然として有効であり、保持されてもよいが、個人データ(これから監査証跡記録が生成された)は、アクセス不可になっている。
この実施形態において、異なる機関に属していてもよい複数の基本データファイリングシステムは、いわば、同じ監査可能期間満了監視サブシステムを共有していてもよい。つまり、監査可能期間満了監視サブシステムは、例えば、基本データファイリングシステム(これからデータ要素コピーが受信される)を特定することによって、および、有効期限に到達しそれゆえに削除されるべきデータ要素の各基本データファイリングシステムを個別に通知することによって、複数の基本データファイリングシステムを提供してもよい。
図面を参照した先述の詳細な説明は、本発明がどのように実施されるかを説明するものである。本発明は、種々の異なる方法で実施されてもよい。これを説明するため、複数の代替を簡単に示す。
本発明は、データファイリングに関連する複数のタイプの製品または方法に適用されてもよい。例えば、本発明は、忘れられる権利を有する人に関連するデータを含む任意の種類のインフラストラクチャーにおいて適用されてもよい。
本発明は、複数の方法で実施されてもよい。例えば、データファイリングシステムがデータファイルに含まれることになるデータ要素を受信してもよい複数の異なる方法がある。先述の詳細な説明は、データファイリングシステムがデータ要素を遠隔装置から受信する例を説明している。別の例として、データファイリングシステムは図1に示すユーザーインターフェースなどのユーザーインターフェースからデータ要素を受信してもよい。
データ要素に暗号鍵をランダムに割り当てる種々の異なる方法がある。先述の詳細な説明は、鍵生成を含む例を説明する。別の例として、暗号鍵は、異なる暗号鍵の事前確立されたプールからランダムに選択されてもよい。
データ要素のための有効期限を定義する種々の異なる方法がある。先述の詳細な説明は、終了遅延テーブルを含む例を説明する。別の例として、データファイリングシステムは、データ要素に関連付けられて受信されたデータに基づいてデータ要素についての有効期限を定義してもよい。このデータは、例えば、ユーザーによって特定されていてもよい。
有効期限に関連付けて暗号鍵を格納する種々の異なる方法がある。先述の詳細な説明は、暗号鍵および有効期限がテーブルに格納されている例を説明する。暗号鍵および有効期限は、テーブルにおける同じ行にあれば、互いに関連付けられている。他の例として、暗号鍵は、1つのテーブルに格納されていてもよく、それと関連付けられた有効期限は、別のテーブルに格納されていてもよい。これらそれぞれのテーブルにおいて、暗号鍵および有効期限は、これらを互いに関連付ける同じ識別子を有していてもよい。
暗号鍵に基づいてデータ要素を暗号化する種々の異なる方法がある。データファイルに格納された暗号化されたデータ要素を取得するために、例えば、暗号鍵の一部のみをデータ要素を暗号化するために使用してもよい。暗号鍵の別の部分を、監査データに含まれるデータ要素の暗号化版を取得するために、データ要素を暗号化するために使用してもよい。
したがって、用語「暗号鍵」は、広い意味で理解されるものとする。この用語は、少なくとも一部がデータ要素の暗号化を定義する任意の形態のデータ、または、任意のセットのデータを含んでいてもよい。
監査証跡を保持する種々の異なる方法がある。例えば、単一の監査証跡記録は、種々のデータファイルのために、または、本発明に係るデータファイリングシステムに存在する全てのデータファイルのためにさえ保持されてもよい。つまり、複数のデータファイルは、いわば、同じ監査証跡記録を共有してもよい。
一般的に、本発明を実施する種々の異なる方法があり、それにより、異なる実施は異なる形態を有する。任意の形態において、単一モジュールは、複数の機能を実施してもよく、または、複数のモジュールが合同で単一の機能を実施してもよい。この点に関し、図面は非常に図式的である。ハードウエア、ソフトウエア、またはその両方によって実施されてもよい複数の機能がある。ソフトウエアベースの実施の説明は、ハードウエアベースの実施を排除せず、その逆も同じである。1つまたは複数の専用の回路および1つまたは複数の適切にプログラムされたプロセッサとを含む組み合わせの実施も可能である。例えば、図面を参照して説明された種々の機能は、1つまたは複数の専用の回路によって実施されてもよく、これにより、特定の回路形態は特定の機能を定義している。
1セットの指示を格納し、分配する複数の方法、つまり、本発明に係るデータのファイリングを可能にするソフトウエアがある。例えば、ソフトウエアは、例えばメモリー回路、磁気ディスク、光ディスクなどの適切な装置により読み取り可能な媒体に格納されてもよい。ソフトウエアが格納される、装置により読み取り可能な媒体は、個々の製品として、または別の製品と共に供給されてもよく、これはソフトウエアを実行してもよい。このような媒体は、ソフトウエアを実行することができる製品の一部でもよい。ソフトウエアは、有線、無線、またはその混合でもよい通信ネットワークを介して配布されてもよい。例えば、ソフトウエアはインターネットを介して配布されてもよい。ソフトウエアは、サーバーを利用してダウンロードするために利用できるようになっていてもよい。ダウンロードは、支払いの対象でもよい。
先述の意見は、図面を参照した詳細な説明が本発明の説明であって限定ではないことを示す。本発明は、添付の請求項の範囲内の複数の代替の方法で実施され得る。請求項の等価の意味および範囲内で行われる全ての変更は、請求項の範囲内となる。請求項における任意の参照符号は請求項を限定するものではない。用語「備える」は、請求項に挙げられたもの以外の要素またはステップの存在を排除しない。要素またはステップに先行する用語「a」「an」は、複数のその要素またはステップの存在を排除しない。各従属請求項が各追加の特徴を定義するという単なる事実は、請求項において反映されたもの以外の追加の特徴の組み合わせを排除しない。

Claims (15)

  1. データファイリングシステム(100)がデータファイル(109)に含まれることになるデータ要素(602)を受信するデータ受信ステップ(601)と、
    前記データ要素が個人データを含む余地があるかどうかを前記データファイリングシステムが判断するデータ評価ステップ(603)であって、前記データ要素が個人データを含む余地がある場合、前記データ要素に時間制限アクセシビリティプロセスを行うデータ評価ステップ(603)とを含み、
    前記時間制限アクセシビリティプロセスは、
    前記データファイリングシステムが有効期限を前記データ要素に割り当てる有効期限割当ステップ(610)と、
    前記暗号鍵が前記データファイリングシステムにおける別のデータ要素に割り当てられるのを回避するために、前記データファイリングシステムが暗号鍵(606)を前記データ要素にランダムに割り当てる鍵割当ステップ(607)と、
    前記データファイリングシステムが、定義された前記有効期限に関連して前記暗号鍵を内部に格納する鍵格納ステップ(612)と、
    前記データファイリングシステムが、前記暗号鍵に基づいて前記データ要素を暗号化して暗号化されたデータ要素(614)を取得するデータ暗号化ステップ(613)と、
    前記データファイリングシステムが前記暗号化されたデータ要素を前記データファイルに組み込むデータ組込ステップ(615)と、
    前記暗号鍵に関連付けられた前記有効期限に到達した場合に前記データファイリングシステムが前記暗号鍵を削除する鍵削除ステップ(705)であって、前記データ要素が個人データを含む余地が無い場合、前記データファイルがアクセス可能なままである限り前記データ要素がアクセス可能なままであるように、前記時間制限アクセシビリティプロセスを適用せずに前記データ要素が前記データファイルに組み込まれる鍵削除ステップ(705)とを含む、データファイリング方法。
  2. 請求項1に係るデータファイリング方法において、
    前記データファイリングシステム(100)が監査データ(617〜620)を生成する監査データ生成ステップ(616)であって、前記監査データは、前記データ要素(602)の暗号化版(617)と前記データ要素に適用されるファイリングの前記方法に関する少なくとも1つのファイリングコンテクスト指標(618,619,620)とを含み、前記データ要素の前記暗号化版は、前記データ要素に割り当てられた前記暗号鍵(606)に基づいて得られる監査データ生成ステップ(616)と、
    前記データファイリングシステムが前記監査データを監査証跡記録(114)に記録する監査データ記録ステップ(621)とを含むデータファイリング方法。
  3. 請求項2に記載のデータファイリング方法において、
    前記監査データ(617〜620)は、以下のファイリングコンテクスト指標、すなわち、ファイリングの前記方法がいつ前記データ要素に適用されたかの指標(617)、前記データ要素がどのように受信されたかの指標(618)、および、ファイリングの前記方法を誰が開始したかの指標(619)の少なくとも1つを含むデータファイリング方法。
  4. 請求項1から3のいずれか1項に記載のデータファイリング方法において、
    前記有効期限割当ステップ(610)において、前記データファイリングシステム(100)は、前記データ要素(602)が属するカテゴリに基づいて、前記有効期限(611)を割り当てるデータファイリング方法。
  5. 請求項4に記載のデータファイリング方法において、
    前記データファイリングシステム(100)にデータ要素(409,410,411)の各カテゴリについての各終了遅延(406,407,408)のテーブル(113)を設ける終了遅延テーブル提供ステップを含み、
    前記有効期限割当ステップ(610)において、前記データファイリングシステムは、前記データ要素が属する前記カテゴリについての前記終了遅延を前記テーブルから選択し、前記有効期限(611)を前記終了遅延に基づいて割り当てるデータファイリング方法。
  6. 請求項4および5のいずれか1項に記載のデータファイリング方法において、
    カテゴリ(409,410,411)は、前記データ要素が関連する国、前記データ要素が含む情報のタイプ、および前記データ要素の使用目的の少なくとも1つを含むデータファイリング方法。
  7. 請求項1から3のいずれか1項に記載のデータファイリング方法において、
    前記データファイリングシステム(100)が前記データ要素(602)と関連して有効期限の定義を受信する場合、前記データファイリングシステム(100)は、前記有効期限(611)を前記定義に基づいて割り当てるデータファイリング方法。
  8. 請求項1から7のいずれか1項に記載のデータファイリング方法において、
    前記データファイリングシステム(100)が格納された各暗号鍵(307,308,309)に関連付けられた各有効期限(313,314,315)をチェックする有効期限検定ステップ(701)を含み、
    前記鍵削除ステップ(705)は、到達した有効期限(702)に関連付けられた暗号鍵(703)のために実施され、
    前記データファイリングシステムは、前記有効期限検定ステップを規則的に実施するデータファイリング方法。
  9. 請求項1から8のいずれか1項に記載のデータファイリング方法において、
    前記データファイリングシステム(100)が識別子(609)を前記データ要素(602)に関連付け、前記識別子を前記暗号鍵(606)に関連付ける識別子関連付ステップ(608)を含むデータファイリング方法。
  10. 請求項9に記載のデータファイリング方法において、
    前記識別子(609)は、前記データ要素(602)から計算されたハッシュであるデータファイリング方法。
  11. 請求項1から10のいずれか1項に記載のデータファイリング方法において、
    前記データファイリングシステム(100)が前記データ受信ステップ(601)での擬似乱数生成器を用いて前記暗号鍵(606)を生成する鍵生成ステップ(605)を含むデータファイリング方法。
  12. 請求項1から11のいずれか1項に記載のデータファイリング方法において、
    暗号化されたデータ要素が別のデータ要素に関連づけられているかどうかを前記データファイリングシステム(100)が確認し、
    前記暗号化されたデータ要素が関連を有していない場合、前記データファイリングシステムが前記暗号化されたデータ要素に関連付けられた前記暗号鍵を削除し、
    前記暗号化されたデータ要素が少なくとも1つの関連を有している場合、前記暗号鍵は維持されるデータクリーニングステップを含むデータファイリング方法。
  13. 請求項1から12のいずれか1項に記載のデータファイリング方法において、
    前記データファイリングシステム(100)が前記データファイルから前記データ要素(802)を読み込む要求を受信する読取要求ステップ(801)と、
    前記データファイリングシステムが、前記データ要素に割り当てられた前記暗号鍵(804)が前記データファイリングシステムに存在するかどうかを検査する鍵検査ステップ(803)と、
    前記暗号鍵が存在している場合に実施される読込ステップ(805)であって、前記データファイリングシステムは、前記暗号化されたデータ要素を前記データファイルから取得し、前記データファイリングシステムは、前記暗号化されたデータ要素を解号して前記データ要素をプレーンテキストで取得する読込ステップ(805)と、
    前記暗号鍵が存在していない場合に実施される指標提供ステップ(806)であって、前記データファイリングシステムは、前記データ要素が前記データファイルに存在するが読み込めなくなっているという指標を提供する指標提供ステップ(806)と、
    を備えるデータファイリング方法。
  14. プロセッサ(101)がデータファイリングシステム(100)において請求項1から13のいずれかに係る方法を実施することを可能にする1セットの指示を含むコンピュータープログラム(106)。
  15. 請求項1から13のいずれか1項に記載の方法を実施するように適合されたデータファイリングシステム(100)。

JP2019538320A 2017-01-10 2018-01-10 データファイリング方法およびシステム Pending JP2020505835A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP17305025.3 2017-01-10
EP17305025.3A EP3346414A1 (en) 2017-01-10 2017-01-10 Data filing method and system
PCT/EP2018/050599 WO2018130593A1 (en) 2017-01-10 2018-01-10 Data filing method and system

Publications (1)

Publication Number Publication Date
JP2020505835A true JP2020505835A (ja) 2020-02-20

Family

ID=57882038

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019538320A Pending JP2020505835A (ja) 2017-01-10 2018-01-10 データファイリング方法およびシステム

Country Status (5)

Country Link
US (1) US20210150035A1 (ja)
EP (2) EP3346414A1 (ja)
JP (1) JP2020505835A (ja)
CN (1) CN110366728A (ja)
WO (1) WO2018130593A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20240152973A1 (en) * 2019-05-07 2024-05-09 Sachin Mehta System And Methods For Creating, Organizing, Publishing, And Disseminating Data-Files With Finite Lifetimes In Real-Time
US20240195610A1 (en) * 2022-12-09 2024-06-13 Yuen Ping Lee Systems and Methods for Programmable Corporate Policies and Management Intervention

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007220122A (ja) * 2006-02-15 2007-08-30 Ntt Docomo Inc 外部記憶媒体とそれに関連する装置
JP2009506405A (ja) * 2005-08-09 2009-02-12 ネクサン テクノロジーズ カナダ インコーポレイテッド データアーカイブシステム
JP2009104485A (ja) * 2007-10-24 2009-05-14 Fuji Xerox Co Ltd 印刷システム、ユーザ装置、印刷装置、認証装置、及びプログラム
US8429420B1 (en) * 2010-04-12 2013-04-23 Stephen Waller Melvin Time-based key management for encrypted information

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7748045B2 (en) * 2004-03-30 2010-06-29 Michael Frederick Kenrich Method and system for providing cryptographic document retention with off-line access
JP4059321B2 (ja) 2003-10-30 2008-03-12 インターナショナル・ビジネス・マシーンズ・コーポレーション 個人情報管理システム、情報処理システム、個人情報管理方法、プログラム、及び記録媒体
US20060224902A1 (en) * 2005-03-30 2006-10-05 Bolt Thomas B Data management system for removable storage media
US20070174362A1 (en) * 2006-01-18 2007-07-26 Duc Pham System and methods for secure digital data archiving and access auditing
US9111568B2 (en) * 2007-08-20 2015-08-18 International Business Machines Corporation Bulk data erase utilizing an encryption technique
US20140281516A1 (en) * 2013-03-12 2014-09-18 Commvault Systems, Inc. Automatic file decryption

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009506405A (ja) * 2005-08-09 2009-02-12 ネクサン テクノロジーズ カナダ インコーポレイテッド データアーカイブシステム
JP2007220122A (ja) * 2006-02-15 2007-08-30 Ntt Docomo Inc 外部記憶媒体とそれに関連する装置
JP2009104485A (ja) * 2007-10-24 2009-05-14 Fuji Xerox Co Ltd 印刷システム、ユーザ装置、印刷装置、認証装置、及びプログラム
US8429420B1 (en) * 2010-04-12 2013-04-23 Stephen Waller Melvin Time-based key management for encrypted information

Also Published As

Publication number Publication date
EP3346414A1 (en) 2018-07-11
EP3568798B1 (en) 2020-07-08
US20210150035A1 (en) 2021-05-20
WO2018130593A1 (en) 2018-07-19
EP3568798A1 (en) 2019-11-20
CN110366728A (zh) 2019-10-22

Similar Documents

Publication Publication Date Title
US11755935B2 (en) Managing information for model training using distributed blockchain ledger
US11558360B2 (en) Selective encryption of profile fields for multiple consumers
JP6101874B2 (ja) 要求された情報を削除するための方法およびシステム
US7694134B2 (en) System and method for encrypting data without regard to application
US7865537B2 (en) File sharing system and file sharing method
CN102394894B (zh) 一种基于云计算的网络虚拟磁盘文件安全管理方法
US10951396B2 (en) Tamper-proof management of audit logs
US11907199B2 (en) Blockchain based distributed file systems
US11151280B2 (en) Simplified deletion of personal private data in cloud backup storage for GDPR compliance
JP5443236B2 (ja) 分散型データベースシステム
JP2020505835A (ja) データファイリング方法およびシステム
US9202069B2 (en) Role based search
JP2004054779A (ja) アクセス権管理システム
JP7378791B2 (ja) 情報処理装置、情報処理方法、及びプログラム
JP2021047568A (ja) 情報連携システム、情報連携方法及びアクセス制御サーバ
KR101635005B1 (ko) 클라우드 기반 디지털 데이터 금고 시스템에서 메타데이터 관리 방법
KR102584597B1 (ko) 데이터베이스에 대한 api 기반의 접근 제어 시스템 및 방법
US12124972B2 (en) Managing information for model training using distributed blockchain ledger
EP2105836A1 (en) Archive system storing archive data from a computer-based information system and method of operating such a system
JP5895093B1 (ja) ナンバー復元システム並びに支援装置及び復元支援方法
JP2023165471A (ja) データ匿名化処理システム、データ匿名化処理装置およびデータ匿名化処理方法
Vadlamudi Dynamic Data Possession in Cloud Storage Systems
JP5389216B2 (ja) 情報提供システム
JP2008124837A (ja) データ管理システム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20190801

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7426

Effective date: 20190801

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201223

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211126

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211207

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20220628