JP2022187370A - データ管理システム、データ管理方法、及びデータ管理プログラム - Google Patents

データ管理システム、データ管理方法、及びデータ管理プログラム Download PDF

Info

Publication number
JP2022187370A
JP2022187370A JP2021095370A JP2021095370A JP2022187370A JP 2022187370 A JP2022187370 A JP 2022187370A JP 2021095370 A JP2021095370 A JP 2021095370A JP 2021095370 A JP2021095370 A JP 2021095370A JP 2022187370 A JP2022187370 A JP 2022187370A
Authority
JP
Japan
Prior art keywords
computer
biometric information
data
encryption
type
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021095370A
Other languages
English (en)
Other versions
JP2022187370A5 (ja
Inventor
志江 本宮
Yukie Motomiya
峻行 羽渕
Toshiyuki Hanebuchi
健太 高橋
Kenta Takahashi
健 長沼
Takeshi Naganuma
のん 川名
Non KAWANA
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2021095370A priority Critical patent/JP2022187370A/ja
Priority to CN202210511729.XA priority patent/CN115514512A/zh
Priority to EP22176262.8A priority patent/EP4102766A1/en
Priority to US17/832,103 priority patent/US20220391518A1/en
Publication of JP2022187370A publication Critical patent/JP2022187370A/ja
Publication of JP2022187370A5 publication Critical patent/JP2022187370A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Bioethics (AREA)
  • Biomedical Technology (AREA)
  • Collating Specific Patterns (AREA)

Abstract

【課題】個人が携行するデバイスを利用せずとも、安全にデータを管理する。【解決手段】第1計算機は、データを暗号化する暗号化用生体情報の種類を決定し、第1計算機のユーザの当該決定した種類の暗号化用生体情報それぞれから、所定のアルゴリズムに基づいて公開鍵を生成し、当該公開鍵を第2計算機に送信し、当該公開鍵を用いて暗号化したデータを第3計算機に送信し、当該暗号化したデータを第3計算機から取得し、第1計算機のユーザの当該決定した種類の復号化用生体情報を取得し、当該取得した復号化用生体情報それぞれから、当該所定のアルゴリズムに基づいて秘密鍵を生成し、当該暗号化されたデータを、当該秘密鍵を用いて復号化し、当該復号化した登録対象データそれぞれを提示する。【選択図】図1

Description

本発明は、データ管理システム、データ管理方法、及びデータ管理プログラムに関する。
本発明の背景技術として、特開2021-5870号公報(特許文献1)がある。この公報には、「利用許可証発行装置1は、利用者毎に認証データおよび認証方式を1以上の利用者の識別情報に紐付けて記憶しており、設定端末5から利用許可証発行依頼を受け付けると、利用許可証を発行し署名を生成するとともに、この発行依頼に含まれている利用者の識別情報および認証方式に紐付けられている認証データを特定し、これらの利用許可証、署名、および認証データを含む設定情報を設定端末5に通知する。設定端末5は設定情報を利用許可証通知装置4に登録する。利用許可証通知装置4は、利用者から認証データを取得して、これを含む設定情報の利用許可証および署名を利用制御装置3に送信する。利用制御装置3は、署名を検証し、署名検証が成立したならば、利用許可証に含まれている利用条件を満足する場合に利用対象の利用制限を解錠する。」と記載されている(要約参照)。
特開2021-5870号公報
特許文献1には利用許可証通知装置が生体認証の方式を利用可能であることが記載されているが、生体情報の保管方法については具体的には記載されておらず、生体情報が漏洩してプライバシーが侵害されたり、不正利用されたりするおそれがある。また、特許文献1に記載の技術において、利用許可証を紛失する、又は盗難される等して悪用されると、利用許可証を発行された本人になりすまされるおそれがある。そこで、本発明の一態様は、利用データや秘密鍵管理のための個人が携行するデバイスを利用せずとも、安全にデータを管理する。
上記課題を解決するため、本発明の一態様は以下の構成を採用する。第1計算機、第2計算機、第3計算機を含むデータ管理システムであって、データ登録処理において、前記第1計算機は、データを保持し、前記データを暗号化する暗号化用生体情報の種類を決定し、前記第1計算機のユーザの前記決定した種類の暗号化用生体情報を取得し、前記取得した暗号化用生体情報それぞれから、所定のアルゴリズムに基づいて公開鍵を生成し、前記公開鍵を用いて前記データを暗号化し、前記公開鍵を前記第2計算機に送信し、前記暗号化したデータを前記第3計算機に送信し、データ提示処理において、前記第1計算機は、前記暗号化したデータを前記第3計算機から取得し、前記第1計算機のユーザの前記決定した種類の復号化用生体情報を取得し、前記取得した復号化用生体情報それぞれから、前記所定のアルゴリズムに基づいて秘密鍵を生成し、前記暗号化されたデータを、前記秘密鍵を用いて復号化し、前記復号化した登録対象データそれぞれを提示する、データ管理システム。
本発明の一態様によれば、個人が携行するデバイスを利用せずとも、安全にデータを管理することができる。
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
実施例1におけるデータ管理システムの構成例を示すブロック図である。 実施例1におけるウォレット作成処理の一例を示すシーケンス図である。 実施例1における暗号化用・同意用生体認証テンプレート登録処理の一例を示すフローチャートである。 実施例1におけるガイダンス情報登録処理の一例を示すフローチャートである。 実施例1におけるウォレット利用処理の一例を示すフローチャートである。 実施例1におけるデータ取得処理の一例を示すフローチャートである。 実施例1における暗号化用生体情報登録処理の一例を示すフローチャートである。 実施例1における同意用生体情報登録処理の一例を示すフローチャートである。 実施例1における特性チェックシートの一例である。 実施例1におけるガイダンス情報更新処理の一例を示すフローチャートである。 実施例1におけるデータ提示処理の一例を示すフローチャートである。 実施例1における復号化処理の一例を示すフローチャートである。 実施例1における同意処理の一例を示すフローチャートである。
以下、本発明の実施形態を図面に基づいて詳細に説明する。本実施形態において、同一の構成には原則として同一の符号を付け、繰り返しの説明は省略する。なお、本実施形態は本発明を実現するための一例に過ぎず、本発明の技術的範囲を限定するものではないことに注意すべきである。
図1は、データ管理システムの構成例を示すブロック図である。データ管理システムは、例えば、インターネット等のネットワークで接続された、登録端末100、利用端末200、認証サーバ300、及びPDS(Pesonal Data Store)400を含む。なお、図1の例では、登録端末100、利用端末200、及びPDS400は1つずつ描かれているが、データ管理システムは、複数の登録端末100を含んでもよいし、複数の利用端末200を含んでもよいし、複数のPDS400を含んでもよい。
登録端末100は、例えば、CPU(Central Processing Unit)101、メモリ102、補助記憶装置103、通信装置104、入力装置105、出力装置106、及び生体情報取得装置107を有する計算機によって構成される。
CPU101は、プロセッサを含み、メモリ102に格納されたプログラムを実行する。メモリ102は、不揮発性の記憶素子であるROM(Read Only Memory)及び揮発性の記憶素子であるRAM(Random Access Memory)を含む。ROMは、不変のプログラム(例えば、BIOS(Basic Input/Output System))などを格納する。RAMは、DRAM(Dynamic Random Access Memory)のような高速かつ揮発性の記憶素子であり、CPU101が実行するプログラム及びプログラムの実行時に使用されるデータを一時的に格納する。
補助記憶装置103は、例えば、磁気記憶装置(HDD(Hard Disk Drive))、フラッシュメモリ(SSD(Solid State Drive))等の大容量かつ不揮発性の記憶装置であり、CPU101が実行するプログラム及びプログラムの実行時に使用されるデータを格納する。すなわち、プログラムは、補助記憶装置103から読み出されて、メモリ102にロードされて、CPU101によって実行される。
入力装置105は、キーボードやマウスなどの、オペレータからの入力を受ける装置である。出力装置106は、ディスプレイ装置やプリンタなどの、プログラムの実行結果をオペレータが視認可能な形式で出力する装置である。
通信装置104は、所定のプロトコルに従って、他の装置との通信を制御するネットワークインターフェース装置である。また、通信装置104は、例えば、USB(Universal Serial Bus)等のシリアルインターフェースを含む。
CPU101が実行するプログラムの一部またはすべては、非一時的記憶媒体であるリムーバブルメディア(CD-ROM、フラッシュメモリなど)又は、非一時的記憶装置を備える外部計算機からネットワークを介して登録端末100に提供され、非一時的記憶媒体である不揮発性の補助記憶装置103に格納されてもよい。このため、登録端末100は、リムーバブルメディアからデータを読み込むインターフェースを有するとよい。これは、利用端末200、認証サーバ300、及びPDS400についても同様である。
生体情報取得装置107は、ユーザの生体情報を取得する。例えば、ユーザの顔画像を撮影するカメラ、及びユーザの指紋や指静脈を取得するスキャナなどは、生体情報取得装置107の一例である。
登録端末100は、物理的に一つの計算機上で、又は、論理的又は物理的に構成された複数の計算機上で構成される計算機システムであり、同一の計算機上で別個のスレッドで動作してもよく、複数の物理的計算機資源上に構築された仮想計算機上で動作してもよい。これは利用端末200、認証サーバ300、及びPDS400についても同様である。
CPU101は、例えば、ウォレット名指定部111、生体情報取得部112、入力部113、及び暗号化部114を含む。ウォレット名指定部111は、ウォレットの名称を指定する。生体情報取得部112は、生体情報取得装置107を介して、ユーザの生体情報を取得する。入力部113は、入力装置105を介してユーザからの入力を受け付ける。暗号化部114は、登録対象のデータを暗号化したり、暗号化された登録データ(提示対象データ)を復号化したりする。
例えば、CPU101は、メモリ102にロードされたウォレット名指定プログラムに従って動作することで、ウォレット名指定部111として機能し、メモリ102にロードされた生体情報取得プログラムに従って動作することで、生体情報取得部112として機能する。CPU101に含まれる他の機能部についても、プログラムと機能部の関係は同様である。また、利用端末200のCPU201、認証サーバ300のCPU301、及びPDS400のCPU401、それぞれに含まれる後述する機能部についても、プログラムと機能部の関係は同様である。
なお、CPU101、利用端末200のCPU201、認証サーバ300のCPU301、及びPDS400のCPU401に含まれる機能部による機能の一部又は全部が、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field-Programmable Gate Array)等のハードウェアによって実現されてもよい。
補助記憶装置103、利用端末200の補助記憶装置203、認証サーバ300の補助記憶装置303、及びPDS400の補助記憶装置403に格納されている一部又は全部の情報は、それぞれ、メモリ102、メモリ202、メモリ302、及びメモリ402に格納されていてもよいし、当該装置に接続されている他のデータベースに格納されていてもよい。
なお、本実施形態において、データ管理システムが使用する情報は、データ構造に依存せずどのようなデータ構造で表現されていてもよい。本実施形態ではテーブル形式で情報が表現されているが、例えば、リスト、データベース又はキューから適切に選択したデータ構造体が、情報を格納することができる。
利用端末200は、例えば、CPU201、メモリ202、補助記憶装置203、通信装置204、入力装置205、出力装置206、生体情報取得装置207、及びデータリーダ208を有する計算機によって構成される。
CPU201、メモリ202、補助記憶装置203、通信装置204、入力装置205、出力装置206、及び生体情報取得装置207のハードウェアとしての説明は、CPU101、メモリ102、補助記憶装置103、通信装置104、入力装置105、出力装置106、及び生体情報取得装置107のハードウェアとしての説明と同様であるため省略する。データリーダ208は、例えば、二次元コード及びICチップ等からデータを読み取る装置である。
CPU201は、例えば、ウォレット名指定部211、生体情報取得部212、入力部213、暗号化部214、データ登録部215、生体情報選択部216、及び同意部217を含む。
ウォレット名指定部211は、ウォレットの名称を指定する。生体情報取得部212は、生体情報取得装置207を介して、ユーザの生体情報を取得する。入力部213は、入力装置205を介してユーザからの入力を受け付ける。暗号化部214は、登録対象のデータを暗号化したり、暗号化された登録データ(提示対象データ)を復号化したりする。
データ登録部215は、暗号化され登録対象のデータをPDS400に登録する。生体情報選択部216は、暗号化に用いられる生体情報の種類(モダリティ)、及び同意に用いられる生体情報のモダリティを選択する。同意部217は、提示対象のデータの利用目的に対する同意の電子署名を生成する。
補助記憶装置203は、例えば、特性チェックシート221を保持する。特性チェックシート221は、ユーザの個人の性格及び特性を判定するためのチェックシートである。生体情報選択部216は、暗号化及び同意の機能それぞれに対して用いられる生体情報の種類を認証用の生体情報の種類と共通にするかを判定し、共通にしないと判定した場合に例えば、特性チェックシート221を用いた判定結果によって、暗号化に用いられる生体情報の種類及び同意に用いられる生体情報の種類を決定することができる(特性チェックシート221に基づいて判定した結果として共通になる可能性はある)。特性チェックシート221は予め定められている。
認証サーバ300は、例えば、CPU301、メモリ302、補助記憶装置303、通信装置304、入力装置305、及び出力装置306を有する計算機によって構成される。CPU301、メモリ302、補助記憶装置303、通信装置304、入力装置305、及び出力装置306のハードウェアとしての説明は、CPU101、メモリ102、補助記憶装置103、通信装置104、入力装置105、及び出力装置106のハードウェアとしての説明と同様であるため省略する。
CPU301は、例えば、ウォレット管理部311、テンプレート管理部312、及びガイダンス管理部313を含む。ウォレット管理部311は、PDS400が保持するウォレットの名称を管理したり、暗号化データの登録先であるPDS400のウォレットを指定したりする。テンプレート管理部312は、ウォレット名に紐づく公開鍵等を管理する。ガイダンス管理部313は、復号化処理時及び同意処理時において取得されるべき生体情報の種類を示すガイダンスを表示する。
補助記憶装置303は、例えば、個人情報DB(DataBase)321及び認証テンプレート情報DB322を保持する。個人情報DB321は、ウォレット名と、当該ウォレット名のウォレットを保持するPDSを示すポインタと、を保持する。
認証テンプレート情報DB322は、ウォレット名と、公開鍵と、ガイダンスの表示の有無を示す情報と、を保持する。なお、個人情報DB321に格納される情報と、認証テンプレート情報DB322に格納される情報と、は後述する処理によって生成される。
PDS400は、例えば、CPU401、メモリ402、補助記憶装置403、通信装置404、入力装置405、及び出力装置406を有する計算機によって構成される。CPU401、メモリ402、補助記憶装置403、通信装置404、入力装置405、及び出力装置406のハードウェアとしての説明は、CPU101、メモリ102、補助記憶装置103、通信装置104、入力装置105、及び出力装置106のハードウェアとしての説明と同様であるため省略する。
CPU401は、例えば、データ管理部411を含む。データ管理部411は、ウォレット421に格納するデータを管理する。補助記憶装置403は、例えば、1以上のウォレット421を保持する。ウォレット421それぞれは、ウォレット名に紐づけられた、暗号化データを保持するための補助記憶装置403上の記憶領域である。
なお、例えば、データ管理システムに含まれる一部の装置が一体化していてもよい。例えば、登録端末100と利用端末200とが一体化していてもよいし、登録端末100とPDS400とが一体化していてもよいし、利用端末200とPDS400とが一体化していてもよい。
図2は、ウォレット作成処理の一例を示すシーケンス図である。登録端末100のウォレット名指定部111は、例えば、ユーザによる入力装置105への入力を介して、ウォレット名を指定し、指定したウォレット名を認証サーバ300に送信する(S201)。
認証サーバ300のウォレット管理部311は、受信したウォレット名が個人情報DB321において未使用かを判定する(S202)。ウォレット管理部311は、受信したウォレット名が個人情報DB321において使用済みであると判定した場合(S202:NO)、エラーメッセージを登録端末100に送信し、登録端末100の出力装置106に表示する(S203)。ウォレット管理部311は、受信したウォレット名が個人情報DB321において未使用であると判定した場合(S202:YES)、受信したウォレット名を個人情報DB321及び認証テンプレート情報DB322に登録する(S204)。
登録端末100の生体情報取得部112は、生体情報取得装置107を介して、登録端末100のユーザの(ウォレットにアクセスするための)認証用の第1種生体情報(例えば、指静脈、指紋、顔画像、又は歩容等)を取得する(S205)。なお、認証用の生体情報の種類(モダリティ)は、登録端末100のユーザによって予め指定されてもよいし、認証サーバ300によって予め指定されてもよい。
さらに、ステップS205において、暗号化部114は、取得した第1種生体情報から、第1秘密鍵と第1公開鍵の鍵ペア、及び必要に応じて(誤り訂正を実行するための)第1補助情報を生成する。
具体的には、例えば、暗号化部114は、Fuzzy Extractor、Fuzzy Signature、又はPBI(Public Biometric Infrastructure)などのアルゴリズムに従って、生体情報から鍵ペアを生成する。Fuzzy Extractorなどのアルゴリズムが利用される場合は、後述する認証処理時において当該補助情報が利用される。なお、本実施形態では、生体情報から秘密鍵と公開鍵のペアが生成される例を説明しているが、生体情報のように個人性を含む情報のみならず、例えばパスワードのような個人の記憶情報のように、個人が手ぶらで提示可能な情報から秘密鍵と公開鍵のペアが生成されてもよい。
暗号化部114は、第1公開鍵(及び生成されていれば第1補助情報)、及びどの種類の生体情報から第1公開鍵が生成されたかを示す情報を認証サーバ300に送信し、認証サーバ300のテンプレート管理部312は、受信した第1公開鍵(及び生成されていれば第1補助情報)、及びどの種類の生体情報から第1公開鍵が生成されたかを示す情報を、当該ウォレット名に対応づけて認証用の第1公開鍵(及び生成されていれば第1補助情報)として、認証テンプレート情報DB322に登録する(S206)。
登録端末100の生体情報取得部112は、ステップS205で取得した生体情報を登録端末100の出力装置106に表示し、登録端末100の入力部113は、例えばユーザの入力装置105への入力によって、認証用の生体情報が正しく登録されているかを示す確認結果を取得し、認証サーバ300に送信する(S207)。具体的には、ステップS207では、例えば、第i生体情報が指静脈である場合に登録端末100のユーザが生体情報取得装置107で指静脈の画像をスキャンする際に指を曲げてしまっていないか、第i生体情報が顔である場合に登録端末100のユーザが生体情報取得装置107で顔画像を撮影する際に横を向いてしまっていないか等を、登録端末100のユーザが確認する。
テンプレート管理部312は、確認結果から認証用の生体情報が正しく登録できているかを判定する(S208)。テンプレート管理部312は、受信した確認結果から認証用の生体情報が正しく登録できていないと判定した場合(S208:NO)、ステップS206で認証テンプレート情報DB322に登録した情報を削除し、エラーメッセージを登録端末100に送信し、登録端末100の出力装置106に表示して(S209)、ステップS205に戻る。
テンプレート管理部312は、受信した確認結果から認証用の生体情報が正しく登録できたと判定した場合(S208:Yes)、データの暗号化用及び/又は同意用に別の種類の生体情報を登録するかを登録端末100に問い合わせる(S210)。
登録端末100の入力部113は、例えば、登録端末100のユーザによる入力によって、データの暗号化用及び/又は同意用に別の種類の生体情報を登録すると決定した場合(S210:YES)、暗号化用・同意用生体認証テンプレート登録処理(S211)と、ガイダンス情報登録処理(S212)と、を実行する。
暗号化用・同意用生体認証テンプレート登録処理の詳細と、ガイダンス情報登録処理の詳細は後述する。さらに、認証サーバ300のウォレット管理部311は、ウォレットの登録先のPDS400を指定して、当該指定したPDS400を示すポインタ(以下、PDSポインタとも呼ぶ)を個人情報DB321に当該ウォレット名に紐づけて登録して(S213)、ウォレット作成処理を終了する。
なお、ステップS213において、ウォレット管理部311は、例えば、補助記憶装置403に空き容量をPDS400に問い合わせて、空き容量が最も多いPDS400を指定してもよいし、所定の順序でPDS400を指定してもよい。
また、ウォレット管理部311は、複数のPDS400を指定して、後述する暗号化データを当該複数のPDS400が分散して管理してもよい、つまり1つの暗号化データが複数のPDS400に分散されて格納されてもよいし、複数の暗号化データそれぞれが異なる複数のPDS400に格納されてもよい。
登録端末100の入力部113は、例えば、登録端末100のユーザによる入力によって、データの暗号化用及び/又は同意用に別の種類の生体情報を登録しないと決定した場合(S210:NO)、ステップS213に遷移する。これにより、認証用生体情報と、暗号化用(復号化用)生体情報と、同意用生体情報と、の種類が共通となるため、1回生体情報が取得されれば、認証処理、復号化処理、及び同意処理の全てにおいて当該生体情報を利用することができるため、ユーザの手間を省くことができ、処理速度も向上する。
なお、図2の例では、認証用の生体情報が1種類である例を説明したが、認証用に複数種類の生体情報が取得され、当該複数種類それぞれの生体情報に対して公開鍵が生成されて認証テンプレート情報DB322に登録されてもよい。
図3は、暗号化用・同意用生体認証テンプレート登録処理の一例を示すフローチャートである。登録端末100の生体情報取得部112は、i=2をセットする。登録端末100の生体情報取得部112は、生体情報取得装置107を介して、登録端末100のユーザの認証用の第i種生体情報(例えば、指静脈、指紋、顔画像、又は歩容等)を取得する(S302)。なお、登録対象の生体情報の種類(モダリティ)は、登録端末100のユーザによって指定されてもよいし、認証サーバ300によって指定されてもよい。
さらに、暗号化部114は、ステップS206で説明した方法と同様の方法で、取得した暗号化用及び/又は同意用の第i種生体情報から第i秘密鍵と第i公開鍵の鍵ペア、及び必要に応じて(誤り訂正を実行するための)第i補助情報を生成する(S302)。Fuzzy Extractorなどのアルゴリズムが利用される場合は、後述する暗号化処理時、及び同意処理時における生体情報に基づく鍵生成処理において、当該補助情報が利用される。
暗号化部114は、第i公開鍵(及び生成されていれば第i補助情報)、及びどの種類の生体情報から第i公開鍵が生成されたかを示す情報を、認証サーバ300に送信し、認証サーバ300のテンプレート管理部312は、受信した第i公開鍵(及び生成されていれば第i補助情報)、及びどの種類の生体情報から第i公開鍵が生成されたかを示す情報を、当該ウォレット名に対応づけて認証テンプレート情報DB322に登録する(S303)。
登録端末100の生体情報取得部112は、ステップS302で取得した生体情報を登録端末100の出力装置106に表示し、登録端末100の入力部113は、例えばユーザの入力装置105への入力によって、暗号化用及び/又は同意用の生体情報が正しく登録されているかを示す確認結果を取得し、認証サーバ300に送信する(S304)。具体的には、ステップS304では、例えば、第i生体情報が指静脈である場合に登録端末100のユーザが生体情報取得装置107で指静脈の画像をスキャンする際に指を曲げてしまっていないか、第i生体情報が顔である場合に登録端末100のユーザが生体情報取得装置107で顔画像を撮影する際に横を向いてしまっていないか等を、登録端末100のユーザが確認する。
テンプレート管理部312は、確認結果から暗号化用及び/又は同意用の生体情報が正しく登録できているかを判定する(S305)。テンプレート管理部312は、受信した確認結果から暗号化用及び/又は同意用の生体情報が正しく登録できていないと判定した場合(S305:NO)、エラーメッセージを登録端末100に送信し、登録端末100の出力装置106に表示して(S306)、ステップS302に戻る。
テンプレート管理部312は、受信した確認結果から暗号化用及び/又は同意用の生体情報が正しく登録できたと判定した場合(S305:Yes)、暗号化用及び/又は同意用の別の種類の生体情報を登録するかを登録端末100に問い合わせる(S308)。登録端末100の入力部113は、例えば、登録端末100のユーザによる入力によって、別の種類の生体情報を登録すると決定した場合(S308:YES)、iの値をインクリメントしてステップS302に戻る。登録端末100の入力部113は、例えば、登録端末100のユーザによる入力によって、暗号化用及び/又は同意用の別の種類の生体情報を登録しないと決定した場合(S308:NO)、暗号化用・同意用生体認証テンプレート登録処理を終了する。
なお、暗号化用・同意用生体認証テンプレート登録処理において、必ず複数種類の生体情報それぞれから生成された公開鍵が登録されてもよいし、1種類のみの生体情報から生成された公開鍵が登録されてもよい。
図4は、ガイダンス情報登録処理の一例を示すフローチャートである。認証サーバ300のガイダンス管理部313は、復号化処理時及び同意処理時に、生体ガイダンス画面を表示するかを登録端末100に問い合わせ、登録端末100の入力部113は、例えば、登録端末100のユーザによる入力によって、生体ガイダンス画面を表示するかを決定し、決定した結果を認証サーバ300に送信し、ガイダンス管理部313は、受信した結果に従って、生体ガイダンス画面を表示するかを判定する(S401)。
なお、生体ガイダンス画面は、復号化処理時及び同意処理時において、どの種類の生体情報を取得するか(どの生体を利用端末200の生体情報取得装置207にかざせばよいか)を示す情報を表示する画面である。復号化処理時及び同意処理時においてガイダンス画面を表示することにより、ユーザがどの種類の生体情報に基づく登録を行ったかを忘れてしまった場合でも、復号化及び同意を行うことができる。
特に、本実施形態では、複数種類の生体情報それぞれに基づく登録を実行でき、利用者はどの種類の生体情報に基づく登録を行ったかを忘れやすいため、特に大きな効果を奏する。一方、ユーザは生体ガイダンス画面を表示しないことも選択できるため、生体ガイダンス画面を覗き見されることにより復号化及び同意に用いられる生体情報の種類の漏洩を抑制することもできる。
ガイダンス管理部313は、生体ガイダンス画面を表示しないと判定した場合(S401:NO)、ガイダンス情報登録処理を終了する。ガイダンス管理部313は、生体ガイダンス画面を表示すると判定した場合(S401:YES)、生体ガイダンス画面を表示することを示す情報を、当該ウォレット名に紐づけて認証テンプレート情報DB322に登録する(S402)。
ガイダンス管理部313は、ステップS402で登録した情報を登録端末100に送信し、登録端末100の入力部113は、例えばユーザの入力装置105への入力によって、当該情報が正しく登録されているかを示す確認結果を取得し、認証サーバ300に送信する(S403)。ガイダンス管理部313は、受信した確認結果から生体ガイダンス画面を表示することを示す情報が正しく登録されているかを判定する(S404)。
ガイダンス管理部313は、生体ガイダンス画面を表示することを示す情報が正しく登録されていないと判定した場合(S404:NO)、ステップS402において登録した情報を削除し、ステップS401に戻る。ガイダンス管理部313は、生体ガイダンス画面を表示することを示す情報が正しく登録されていると判定した場合(S404:YES)、ガイダンス情報登録処理を終了する。
なお、図4の例では、復号化処理及び同意処理時に生体ガイダンス画面を表示するかが決定されているが、認証処理時において生体ガイダンス画面を表示するかも決定するようにしてもよい。つまり、認証処理時においても生体ガイダンス画面を表示可能であってもよい。
図5は、ウォレット利用処理の一例を示すフローチャートである。なお、登録端末100と利用端末200とが一体化されている場合には、ウォレット作成処理において登録端末100が実行する処理と、ウォレット利用処理において利用端末200が実行する処理と、は当該一体化された端末によって実行される。
利用端末200の生体情報取得部212は、生体情報取得装置107を介して、利用端末200のユーザの(ウォレットへアクセスするための認証用の)第1種生体情報を取得する(S501)。暗号化部214は、ステップS303と同様の方法で、取得した第1種生体情報から秘密鍵、公開鍵、及び必要に応じて(誤り訂正を実行するための)補助情報を生成し、認証サーバ300からテンプレート情報DB322に格納された公開鍵とウォレット名との対応を取得し、ステップS205で採用したアルゴリズム(Fuzzy Extractor、Fuzzy Signature、又はPBI等)に基づいて、当該生成した秘密鍵にマッチする公開鍵を当該取得した公開鍵から決定し、当該決定した公開鍵に対応するウォレット名を利用端末200の出力装置206に表示する(S502)。
利用端末200の入力部213は、例えば、利用端末200のユーザの入力装置205への入力による、ウォレット名が正しいかを示す確認結果を取得し、認証サーバ300に送信し、認証サーバ300のテンプレート管理部312は、当該確認結果からウォレット名が正しいかを判定する(S503)。テンプレート管理部312は、ウォレット名が正しくないと判定した場合(S503:NO)、ステップS501に戻る。
なお、利用端末200のユーザは、認証サーバ300のユーザに対して本人確認情報を提示する等して、追加の本人確認を実行してもよい。このとき、認証サーバ300のユーザが対面で直接的に本人確認書類を直接的に提示及び目視で確認してもよいし、利用端末200のユーザが利用端末200から認証サーバ300に送信し、認証サーバ300のユーザは認証サーバ300の出力装置306に表示された本人確認情報を確認してもよい。
テンプレート管理部312は、ウォレット名が正しいと利用端末200のユーザによって判定された場合(S503:YES)、データ提示処理を実行するか、データ取得処理を実行するかを、利用端末200に問い合わせ、利用端末200の入力部213は、例えば利用端末200のユーザによる入力装置205への入力によっていずれの処理を実行するかを示す結果を取得して認証サーバ300に送信し、認証サーバ300のテンプレート管理部312は当該結果からいずれの処理を実行するかを判定する(S504)。
テンプレート管理部312は、データ提示処理を実行すると判定した場合、利用端末200がデータを提示するデータ提示処理(S505)を実行し、データ利用処理が終了する。データ提示処理の詳細は後述する。テンプレート管理部312がデータ取得処理を実行すると判定した場合、利用端末200がデータを登録するデータ取得処理(S506)へ遷移する。データ取得処理の詳細は後述する。
ステップS506のデータ取得処理が終了すると、認証サーバ300のテンプレート管理部312は、暗号化用の生体情報の種類と、同意用の生体情報の種類と、を認証用の生体情報の種類と共通にするかを利用端末200に問い合わせ、利用端末200の入力部213は、利用端末200のユーザによる入力装置205への入力に従って、当該問い合わせに対する回答を取得する(S507)。
なお、ウォレット作成処理において第1種生体情報のみが取得された場合には(即ちステップS210においてNOが選択された場合)、ステップS507の処理を省略して、ステップS508の処理へ遷移する。入力部213が、暗号化用の生体情報の種類と、同意用の生体情報の種類と、を認証用の生体情報の種類と共通にすると判定した場合(S507:YES)、暗号化部214は、ステップS502において認証用の第1種生体情報から生成された公開鍵で、ステップS506で取得されたデータ一式を暗号化することで暗号化データを生成する(S508)。
認証サーバ300のウォレット管理部311は、個人情報DB321において当該ウォレット名に対応するPDSポインタを取得して、利用端末200に送信することで、データ登録先のPDS400を指定し、利用端末200のデータ登録部215は、当該指定されたPDS400にウォレット名及び暗号化データを送信して、ウォレット利用処理を終了する(S509)。なお、PDS400は受信したウォレット名のウォレット421に暗号化データを格納する。
入力部213が、暗号化用の生体情報の種類と、同意用の生体情報の種類と、を認証用の生体情報の種類と共通にしないと判定した場合(S507:NO)、暗号化用生体情報登録処理(S510)、同意用生体情報登録処理(S511)、及びガイダンス情報更新処理(S512)が実行されて、ステップS509に遷移する。暗号化用生体情報登録処理、同意用生体情報登録処理、及びガイダンス情報更新処理の詳細については後述する。
図6は、データ取得処理の一例を示すフローチャートである。利用端末200のデータ登録部215は、利用端末200のユーザによる入力に従って、データ読み取り方法を選択する(S601)。二次元コードの読み取り、ICチップの読み取り、及びスキャナによるスキャン等はいずれもデータ取得方法の一例である。なお、データ登録部215は、利用端末200が有するデータリーダ208が実行可能なデータ読み取り方法を自動で取得することで、データ読み取り方法を選択してもよい。
データ登録部215は、例えば、利用端末200のユーザがデータリーダ208に読み込ませたデータを取得する(S602)。なお、データ登録部215がデータを読み取る方法には、データリーダ208を介してデータを読み取る方法だけでなく、例えば、利用端末200に接続された他の端末からデータを取得する方法等があってもよい。
データ登録部215が取得するデータは、VC(Verifiable Credential)形式であってもよい。
なお、データ登録部215が取得するデータは、例えば、利用端末200のユーザの属性や資格情報、履歴などに関する個人データである。利用端末200のユーザのCovid-19のPCR(Polymerase Chain reaction)検査結果情報(陰性証明情報)、当該ユーザが当該大学の学位を取得したことを証明する学位証明書、EC(Electric Commerce)サイトでの利用端末200のユーザの過去の購買履歴情報、利用端末200のユーザのマイナンバー情報、運転免許証情報、及び健康保険証情報等は、上記した個人データの一例である。
データ登録部215は、出力装置206にデータの登録結果を表示し、利用端末200のユーザによる入力装置105への入力による、データが正しく登録されているかの確認結果を取得し、当該確認結果を判定する(S603)。
データ登録部215は、当該確認結果に従って、データが正しく取得されているかを判定する(S604)。データ登録部215は、データが正しく登録されていないと判定した場合(S604:NO)、ステップS602に戻る。データ登録部215は、データが正しく取得されていると判定した場合(S604:YES)、取得するデータがもうないかを問い合わせる表示を出力装置206に表示し、利用端末200のユーザによる入力装置105への入力による、当該問い合わせに対する回答を取得し、当該回答を判定する(S605)。
データ登録部215は、当該回答に従って取得するデータがもうないと判定した場合(S605:YES)、データ取得処理を終了する。データ登録部215は、当該回答に従って取得するデータがまだあると判定した場合(S605:NO)、ステップS602に戻る。
図7は、暗号化用生体情報登録処理の一例を示すフローチャートである。利用端末200の生体情報選択部216は、例えば、暗号化に用いる生体情報の種類を利用端末200のユーザが選択するかを問い合わせる情報を出力装置206に表示し、利用端末200のユーザによる入力装置205への入力によって、当該問い合わせに対する回答を取得する(S701)。
生体情報選択部216は、当該回答に従って、暗号化に用いる生体情報の種類を利用端末200のユーザが選択すると判定した場合(S701:YES)、データ取得処理で取得されたデータの一覧であるデータリストを出力装置206に表示する(S702)。生体情報選択部216は、利用端末200のユーザによる入力装置205への入力によって、データリストから暗号化対象データの選択を受け付ける(S703)。
生体情報選択部216は、当該選択した暗号化対象データを暗号化するための生体情報の種類の指定を、利用端末200のユーザによる入力装置205への入力によって受け付け、生体情報取得部212は、生体情報取得装置207を介して、当該種類の生体情報を取得する(S704)。なお、生体情報選択部216は、認証テンプレート情報DB322に登録されている当該ユーザの生体情報の種類を認証サーバ300に問い合わせて、当該登録されている種類のみ指定を受け付けてもよいし、新たな生体情報の種類の指定を受け付けてもよい。
暗号化部214は、ステップS704で取得した生体情報から、例えばステップS205で説明した方法と同様の方法で、秘密鍵と公開鍵のペアを生成し、認証サーバ300からテンプレート情報DB322に格納された公開鍵を取得し、ステップS205で採用したアルゴリズム(Fuzzy Extractor、Fuzzy Signature、又はPBI等)に基づいて、当該生成した秘密鍵にマッチする公開鍵を、当該取得した公開鍵から決定し、当該選択した暗号化対象データを、決定した公開鍵又はステップS704で取得した生体情報から生成された公開鍵で暗号化する(S705)。
生体情報選択部216は、暗号化していないデータがあるかを判定する(S706)。生体情報選択部216は、暗号化していないデータがあると判定した場合(S706:YES)、ステップS701に戻り、生体情報選択部216は、暗号化していないデータがないと判定した場合(S706:NO)、暗号化用生体情報登録処理を終了する。
生体情報選択部216は、ステップS701で取得した回答に従って、暗号化に用いる生体情報の種類を利用端末200のユーザが選択しないと判定した場合(S701:NO)、例えば、暗号化に用いる生体情報の種類を、データの種類に応じたお薦めに従って決定するか、利用端末200のユーザの個人特性に基づいて決定するか、問い合わせる情報を出力装置206に表示し、利用端末200のユーザによる入力装置205への入力によって、当該問い合わせに対する回答を取得する(S707)。
生体情報選択部216は、当該回答に従って、暗号化に用いる生体情報の種類を、データの種類に応じたお薦めに従って決定すると判定した場合(S707:データの種類)、予め定められたデータの種類と暗号化に用いる生体情報の種類との対応に従って、暗号化対象データそれぞれに対応する生体情報を、生体情報取得装置207を介して取得する(S708)。
例えば、暗号化対象データが運転免許証等の公的証明書のように漏洩した場合のリスクが大きいデータである場合には、指静脈等のなりすましが困難な生体情報の種類が対応づけられ、暗号化対象データが商店のポイントカードのように漏洩した場合のリスクが小さいデータである場合にはパスワード等の容易に取得可能な情報の種類(このようなリスクが小さい情報は、そもそも暗号化されなくてもよい)が対応付けられているとよい。
暗号化部214は、ステップS708で取得した生体情報それぞれから、例えばステップS205で説明した方法と同様の方法で、秘密鍵と公開鍵のペアを生成し、認証サーバ300からテンプレート情報DB322に格納された公開鍵を取得し、ステップS205で採用したアルゴリズム(Fuzzy Extractor、Fuzzy Signature、又はPBI等)に基づいて、当該生成した秘密鍵それぞれにマッチする公開鍵を、当該取得した公開鍵から決定し、暗号化対象データそれぞれを、当該決定した対応する公開鍵それぞれで又はステップS708で取得した生体情報から生成した公開鍵それぞれで暗号化する(S709)。
生体情報選択部216は、暗号化していないデータがあるかを判定する(S710)。生体情報選択部216は、暗号化していないデータがあると判定した場合(S710:YES)、ステップS708に戻り、生体情報選択部216は、暗号化していないデータがないと判定した場合(S710:NO)、暗号化用生体情報登録処理を終了する。
生体情報選択部216は、ステップS707で取得した回答に従って、暗号化に用いる生体情報の種類を、利用端末200のユーザの個人特性に基づいて決定すると判定した場合(S707:個人の特性)、特性チェックシート221を出力装置206に表示し、当該利用者の入力装置105を介した特性チェックシート221への入力を受け付ける(S711)。
生体情報選択部216は、特性チェックシート221への入力結果に基づいて、同意対象データに対応する暗号化用生体情報の種類を決定し、生体情報取得部212は、決定した種類の生体情報それぞれを、生体情報取得装置207を介して取得する(S712)。特性チェックシート221の例、及び特性チェックシート221への入力に基づいて、暗号化対象データに対応する暗号化用生体情報の種類を決定する方法の例については後述する。
暗号化部214は、ステップS712で取得した生体情報それぞれから、例えばステップS206で説明した方法と同様の方法で、秘密鍵と公開鍵のペアを生成し、認証サーバ300からテンプレート情報DB322に格納された公開鍵を取得し、ステップS205で採用したアルゴリズム(Fuzzy Extractor、Fuzzy Signature、又はPBI等)に基づいて、当該生成した秘密鍵それぞれにマッチする公開鍵を、当該取得した公開鍵から決定し、暗号化対象データそれぞれを、当該決定した対応する公開鍵それぞれで又はステップS708で取得した生体情報から生成した公開鍵それぞれで暗号化する(S713)。
生体情報選択部216は、暗号化していないデータがあるかを判定する(S714)。生体情報選択部216は、暗号化していないデータがあると判定した場合(S714:NO)、ステップS712に戻り、生体情報選択部216は、暗号化していないデータがないと判定した場合(S714:YES)、暗号化用生体情報登録処理を終了する。なお、1種類のデータを暗号化するために複数種類の暗号化用生体情報が用いられてもよい。
図8は、同意用生体情報登録処理の一例を示すフローチャートである。利用端末200の生体情報選択部216は、例えば、同意に用いる生体情報の種類を利用端末200のユーザが選択するかを問い合わせる情報を出力装置206に表示し、利用端末200のユーザによる入力装置205への入力によって、当該問い合わせに対する回答を取得する(S801)。
生体情報選択部216は、当該回答に従って、同意に用いる生体情報の種類を利用端末200のユーザが選択すると判定した場合(S801:YES)、データ取得処理で取得されたデータの一覧であるデータリストを出力装置206に表示する(S802)。生体情報選択部216は、利用端末200のユーザによる入力装置205への入力によって、データリストから同意対象データの選択を受け付ける(S803)。
生体情報選択部216は、当該選択した同意対象データへの同意をするための生体情報の種類の指定を、利用端末200のユーザによる入力装置205への入力によって受け付け、生体情報取得部212は、生体情報取得装置207を介して、当該種類の生体情報を取得する(S804)。
生体情報取得部212は、ステップS804で取得した生体情報から、例えばステップS206で説明した方法と同様の方法で、秘密鍵と公開鍵のペアを生成し、認証サーバ300からテンプレート情報DB322に格納された公開鍵を取得し、ステップS205で採用したアルゴリズム(Fuzzy Extractor、Fuzzy Signature、又はPBI等)に基づいて、当該生成した秘密鍵にマッチする公開鍵を、当該取得した公開鍵から決定して、決定した公開鍵を通知し、認証サーバ300のテンプレート管理部312は、同意対象データを示す情報と、通知された公開鍵に対応する同意用生体情報の種類を示す情報と、を認証テンプレート情報DB322において当該公開鍵に紐づけて登録する(S805)。
生体情報選択部216は、同意用の生体情報の種類を決定していないデータがあるかを判定する(S806)。生体情報選択部216は、同意用の生体情報の種類を決定していないデータがあると判定した場合(S806:NO)、ステップS801に戻り、生体情報選択部216は、同意用の生体情報の種類を決定していないデータがないと判定した場合(S806:YES)、同意用生体情報登録処理を終了する。
生体情報選択部216は、ステップS801で取得した回答に従って、同意に用いる生体情報の種類を利用端末200のユーザが選択しないと判定した場合(S801:NO)、例えば、同意に用いる生体情報の種類を、データの種類に応じたお薦めに従って決定するか、利用端末200のユーザの個人特性に基づいて決定するか、問い合わせる情報を出力装置206に表示し、利用端末200のユーザによる入力装置205への入力によって、当該問い合わせに対する回答を取得する(S807)。
生体情報選択部216は、当該回答に従って、同意に用いる生体情報の種類を、データの種類に応じたお薦めに従って決定すると判定した場合(S807:データの種類)、予め定められたデータの種類と同意に用いる生体情報の種類との対応に従って、同意対象データそれぞれに対応する生体情報を、生体情報取得装置207を介して取得する(S808)。
例えば、同意対象データが運転免許証等の公的証明書のように漏洩した場合のリスクが大きいデータである場合には、指静脈等のなりすましが困難な生体情報の種類が対応づけられ、同意対象データが商店のポイントカードのように漏洩した場合のリスクが小さいデータである場合にはパスワード等の容易に取得可能な情報の種類(このようなリスクが小さい情報は、そもそも暗号化されなくてもよい)が対応付けられているとよい。
生体情報取得部212は、ステップS808で取得した生体情報それぞれから、例えばステップS206で説明した方法と同様の方法で、秘密鍵と公開鍵のペアを生成し、認証サーバ300からテンプレート情報DB322に格納された公開鍵を取得し、ステップS205で採用したアルゴリズム(Fuzzy Extractor、Fuzzy Signature、又はPBI等)に基づいて、当該生成した秘密鍵それぞれにマッチする公開鍵を、当該取得した公開鍵から決定して、決定した公開鍵それぞれを通知し、認証サーバ300のテンプレート管理部312は、同意対象データそれぞれを示す情報と、通知された公開鍵それぞれに対応する同意用生体情報の種類を示す情報と、を認証テンプレート情報DB322において当該公開鍵に紐づけて登録する(S809)。
生体情報選択部216は、同意用の生体情報の種類を決定していないデータがあるかを判定する(S810)。生体情報選択部216は、同意用の生体情報の種類を決定していないデータがあると判定した場合(S810:NO)、ステップS808に戻り、生体情報選択部216は、同意用の生体情報の種類を決定していないデータがないと判定した場合(S810:YES)、同意用生体情報登録処理を終了する。
生体情報選択部216は、ステップS807で取得した回答に従って、同意に用いる生体情報の種類を、利用端末200のユーザの個人特性に基づいて決定すると判定した場合(S807:個人の特性)、特性チェックシート221を出力装置206に表示し、当該利用者の入力装置105を介した特性チェックシート221への入力を受け付ける(S811)。
生体情報選択部216は、特性チェックシート221への入力結果に基づいて、同意対象データに対応する同意用生体情報の種類を決定し、生体情報取得部212は、決定した種類の生体情報それぞれを、生体情報取得装置207を介して取得する(S812)。特性チェックシート221の例、及び特性チェックシート221への入力に基づいて、同意対象データに対応する同意用生体情報の種類を決定する方法の例については後述する。
生体情報取得部212は、ステップS812で取得した生体情報それぞれから、例えばステップS206で説明した方法と同様の方法で、秘密鍵と公開鍵のペアを生成し、認証サーバ300からテンプレート情報DB322に格納された公開鍵を取得し、ステップS205で採用したアルゴリズム(Fuzzy Extractor、Fuzzy Signature、又はPBI等)に基づいて、当該生成した秘密鍵それぞれにマッチする公開鍵を、当該取得した公開鍵から決定して、決定した公開鍵それぞれを通知し、認証サーバ300のテンプレート管理部312は、同意対象データそれぞれを示す情報と、通知された公開鍵それぞれに対応する同意用生体情報の種類を示す情報と、を認証テンプレート情報DB322において当該公開鍵それぞれに紐づけて登録する(S813)。
生体情報選択部216は、同意用の生体情報の種類を決定していないデータがあるかを判定する(S814)。生体情報選択部216は、同意用の生体情報の種類を決定していないデータがあると判定した場合(S814:NO)、ステップS812に戻り、生体情報選択部216は、同意用の生体情報の種類を決定していないデータがないと判定した場合(S814:YES)、同意用生体情報登録処理を終了する。なお、1つの利用目的に同意するために複数種類の同意用生体情報が用いられてもよい。
図9は、特性チェックシート221の一例である。以下、特性チェックシート221への入力に基づいて、暗号化対象データに対応する暗号化用生体情報の種類を決定する方法の例を説明する。特性チェックシート221への入力に基づいて、同意対象データに対応する同意用生体情報の種類を決定する方法については、暗号化の例と同様であるため説明を省略する。
特性チェックシート221には、「所要時間は短い(速い)方がよい」、「動作(操作)は楽な方がよい」、「動作(操作)は自然な方がよい」、「動作(操作)は一つに統一されている方がよい」、「動作(操作)は一つずつ順番にやる方がよい」、「安全な(間違いがない、偽造・なりすましが難しい)方がよい」、「選択肢は全部一通り見てから決められる方がよい」、「個人の事情により使えない・使いたくない方法がある」等のチェック項目を含む。
例えば、暗号化用生体情報の種類数の初期値と、暗号化用の生体情報の種類の初期値と、が予め定められているとする(例えば、暗号化用生体情報の種類数の初期値は2であり、その種類の初期値は「顔」と「左手の指静脈」である等)。
例えば、「所要時間は短い(速い)方がよい」が選択された場合には、生体情報選択部216は、暗号化用生体情報の種類を所定数減少させる。例えば、暗号化用生体情報の種類を所定数減少させる際の、減少対象の暗号化用生体情報の種類の優先度が例えば予め定められており、生体情報選択部216は当該優先度に従って、暗号化用生体情報の種類を所定数減少させる。
例えば、「動作(操作)は楽な方がよい」が選択された場合には、生体情報選択部216は、生体情報を取得するための動作難易度(予め定められているものとする)が所定値より高い暗号化用生体情報の種類を削除し、当該動作難易度が最低の暗号化用生体情報の種類を少なくとも追加する。例えば、顔や虹彩のようなユーザがカメラの前にいるだけで取得可能な生体情報は動作難易度が低く、歩様のように取得するためのユーザの動作量が多い生体情報は動作難易度が高い。
例えば、「動作(操作)は自然な方がよい」が選択された場合には、生体情報選択部216は、「顔」と「右手又は左手の指静脈」のような予め定められた生体情報の種類の組み合わせを暗号化用生体情報に含まないようにする(当該組み合わせに含まれる生体情報の種類の一部のみであれば暗号化用生体情報に含まれてもよい)。例えば、「顔」と「右手又は左手の指静脈」を取得する際には、ユーザが顔の脇に片方の掌を置いて顔と指静脈を同時にカメラにかざしたり、額に片手の甲を当てて顔と指静脈を同時にカメラにかざしたりすることで、これらの生体情報を一度で取得することができるが、このような不自然な動作を人前ですることに羞恥心を覚えるユーザもいるため、このような項目が用意されているとよい。
例えば、「動作(操作)は一つに統一されている方がよい」が選択された場合には、生体情報選択部216は、「左手の指静脈」と「右手の指静脈」等のような予め定められた生体情報の種類の組み合わせ(例えば同じ動作で取得できる生体情報の組み合わせ)を、暗号化用生体情報に含める。この場合に、生体情報選択部216は、当該組み合わせに含まれない暗号化用生体情報を削除してもよい。
例えば、「動作(操作)は一つずつ順番にやる方がよい」が選択された場合には、生体情報選択部216は、「顔」と「虹彩」のように予め定められた生体情報の種類の組み合わせ(カメラで顔を撮影することにより一度の動作で取得できる生体情報の組み合わせ)の少なくとも一方を暗号化用生体情報から削除する。一方、例えば、「動作(操作)は一つずつ順番にやる方がよい」が選択されなかった場合には、「動作(操作)はまとめて一度にやる方がよい」ものとして、「顔」と「虹彩」のように予め定められた生体情報の種類の組み合わせ(カメラで顔を撮影することにより一度の動作で取得できる生体情報の組み合わせ)を暗号化用生体情報に追加する。
また、例えば、「動作(操作)は一つずつ順番にやる方がよい」が選択された場合には、生体情報選択部216は、「顔」と「右手又は左手の指静脈」のような同時に取得可能な予め定められた生体情報の種類の組み合わせを含んでいれば、「顔」と「右手又は左手の指静脈」を同時にカメラにかざして取得するのではなく、「顔」の取得が終了した後に「右手又は左手の指静脈」を取得する、又は「右手又は左手の指静脈」の取得が終了した後に「顔」を取得するよう、暗号化用生体情報を決定する。
例えば、「安全な(間違いがない、偽造・なりすましが難しい)方がよい」が選択された場合には、生体情報選択部216は、生体情報の種類ごとに予め定められたセキュリティレベルが所定値より低い生体情報を暗号化用生体情報から削除し、当該セキュリティレベルが最高の生体情報を少なくとも暗号化用生体情報に追加する。
例えば、「選択肢は全部一通り見てから決められる方がよい」が選択された場合には、生体情報選択部216は、暗号化用生体情報として利用可能な全ての生体情報の種類を示す情報を出力装置206に表示した上で、利用端末200のユーザによる入力装置105への入力に従って暗号化用生体情報を決定する、又は再度特性チェックシート221への入力を要求する。
例えば、「個人の事情により使えない・使いたくない方法がある」が選択された場合には、生体情報選択部216は、利用端末200のユーザによる、生体情報を取得できない部位の指定を要求し、当該部位に予め対応づけられた暗号化用生体情報を削除する。宗教、障がい、怪我、病気、職業、及び人種によっては、生体情報を取得するための部位を露出できない又はしたくない、生体情報を取得するための部位が傷ついている又は欠損している等の事情がある。
なお、生体情報選択部216は特性チェックシート221に基づいて決定された暗号化用生体情報の種類を、暗号化対象データにランダムに割り当ててもよいし、より安全に提示したい暗号化データ(例えば利用端末200のユーザが指定することができる)には決定された暗号化用生体情報の種類のうちセキュリティレベルが最も高い暗号化用生体情報を割り当てる等してもよい。
なお、利用端末200は利用端末200のユーザの性格及び気質に関して質問紙法などを用いて、利用者の特性及び価値観を示す結果を取得して認証サーバ300に送信し、認証サーバ300の生体情報選択部216は、当該結果に基づいて暗号化用生体情報を決定してもよい。
図10は、ガイダンス情報更新処理の一例を示すフローチャートである。認証サーバ300のガイダンス管理部313は、認証テンプレート情報DB322を参照して、当該ウォレット名に生体ガイダンス画面を表示することを示す情報が紐づけられているかを判定することにより、生体ガイダンス画面を表示するかを判定する(S1001)。
ガイダンス管理部313は、生体ガイダンス画面を表示しないと判定した場合(S1001:NO)、ガイダンス情報更新処理を終了する。ガイダンス管理部313は、生体ガイダンス画面を表示すると判定した場合(S1001:YES)、データ取得処理で取得されたデータの一覧であるデータリストを出力装置206に表示するよう要求する(S1002)。
ガイダンス管理部313は、データリストに含まれるデータのうち、ガイダンス表示の対象となるデータを選択するよう利用端末200に要求し、利用端末200の入力部113は、入力装置205への利用端末200のユーザによってガイダンス表示の対象となるデータの選択結果を取得して、認証サーバ300に送信する(S1003)。
ガイダンス管理部313は、認証テンプレート情報DB322において、当該ウォレット名に対応する当該選択結果が示すデータを示す情報に、生体ガイダンス画面を表示することを示す情報を紐づけて登録する(S1004)。
ガイダンス管理部313は、ステップS1004で登録した情報を利用端末200に送信し、利用端末200の入力部213は、例えばユーザの入力装置205への入力によって、当該情報が正しく登録されているかを示す確認結果を取得し、認証サーバ300に送信する(S1005)。ガイダンス管理部313は、受信した確認結果から生体ガイダンス画面を表示することを示す情報が正しく登録されているかを判定する(S1006)。
ガイダンス管理部313は、生体ガイダンス画面を表示することを示す情報が正しく登録されていないと判定した場合(S1006:NO)、ステップS1004で登録した情報を削除し、ステップS1002に戻る。ガイダンス管理部313は、生体ガイダンス画面を表示することを示す情報が正しく登録されていると判定した場合(S1006:YES)、ガイダンス情報更新処理を終了する。
なお、データリストに含まれる全てのデータに対して一括して生体ガイダンス画面を表示するか否かを選択可能であってもよいし、データリストに含まれる一部のデータに対して生体ガイダンス画面を表示可能であってもよい。また、データリストに含まれるデータに対して暗号化又は同意の一方のみについて生体ガイダンス画面を表示可能であってもよい。
図11は、データ提示処理の一例を示すフローチャートである。認証サーバ300のテンプレート管理部312は、データ取得処理で取得されたデータの一覧であるデータリストを利用端末200に送信して出力装置206に表示し、利用端末200の入力部213は、利用端末200のユーザによる入力装置205への入力によって、提示対象データ(公開鍵で暗号化された暗号化データ)を選択し、選択結果を認証サーバ300に送信する(S1101)。
さらに、ステップS1101において、テンプレート管理部312は、個人情報DB321において当該ウォレット名に対応するPDSポインタが示すPDS400に対して、当該ウォレット名のウォレット421に含まれるデータであって、受信した選択結果が示す提示対象データを利用端末200に送信するよう要求し、当該PDS400のデータ管理部413は当該提示対象データを利用端末200に送信する。さらに、ステップS1101において、認証サーバ300のテンプレート管理部312は、認証テンプレート情報DB322において当該提示対象データに対応する公開鍵を取得して、利用端末200に送信する。
利用端末200は、提示対象データに対する復号化処理(S1102)、及び復号化された提示対象データに対する同意処理(S1103)を実行して、データ提示処理が終了する。復号化処理及び同意処理の詳細は後述する。
図12は、復号化処理の一例を示すフローチャートである。ガイダンス管理部313は、認証テンプレート情報DB322を参照して、当該提示対象データに生体ガイダンス画面を表示することを示す情報が紐づけられている場合に、生体ガイダンス画面(即ちどの生体を生体情報取得装置207にかざせばよいかを示す情報が表示された画面)を利用端末200の出力装置206に表示する(S1201)。
なお、当該提示対象データに生体ガイダンス画面を表示することを示す情報が紐づけられていない場合、ガイダンス管理部313は、生体ガイダンス画面を表示することなく(即ちステップS1201の処理を実行することなく)、ステップS1202へ遷移する。
生体情報取得部212は、生体情報取得装置207を介して、復号化用生体情報(暗号化用生体情報と同種の生体情報)を取得する(S1202)。なお、ステップS507において、暗号化用及び同意用の生体情報の種類を認証用と共通にすると判定された場合には、ステップS501で認証用に取得された第1種生体情報を利用すればよいため、ステップS1202の処理は実行されない。
暗号化部214は、例えばステップS206で説明した方法と同様の方法で、復号化用生体情報から秘密鍵と公開鍵のペアを生成し、暗号化部214は当該生成した秘密鍵で提示対象データを復号化する(S1203)。
暗号化部214は、例えば、ステップS205で採用したアルゴリズム(Fuzzy Extractor、Fuzzy Signature、又はPBI等)に基づいて、提示対象データを復号化できたか、即ちステップS1202で生成した秘密鍵と、ステップS1101で取得した公開鍵と、がマッチするかを判定する(S1204)。
暗号化部214は、提示対象データを復号化できなかったと判定した場合(S1204:NO)、エラーメッセージを出力装置206に表示して(S1205)、ステップS1201に戻る。暗号化部214は、提示対象データを復号化できたと判定した場合(S1204:YES)、復号化した提示対象データを出力装置206に表示して(S1206)、復号化処理を終了する。
図13は、同意処理の一例を示すフローチャートである。利用端末200の同意部217は、例えば、データの利用目的及びデータ提出先を示す情報を含むデータ提出先情報を取得する(S1301)。例えば、データ提出先の企業等の組織が利用端末200を保有している場合には、データ提出先情報は補助記憶装置203に予め格納されていてもよい。また、データ提出先の端末が、外部の端末であれば、例えば、同意部217が、データ提出先情報を当該端末から取得する。
同意部217は、利用端末200のユーザの入力装置205への入力に基づいて、当該ユーザが利用目的に同意するかを判定する(S1302)。なお、同意部217は、利用目的に対する同意だけでなく、データの提供先やデータの提供時期等(例えばいずれもデータ提供先情報に含まれる)に対する同意を確認してもよい。同意部217は、ユーザが利用目的に同意しないと判定した場合(S1302:NO)、データ提供先にデータを提供することなく、さらに利用端末200が保持するステップS1203で復号化された提示対象データ及びステップS1203で生成された秘密鍵を削除して、同意処理を終了する。
同意部217が、ユーザが利用目的に同意したと判定した場合(S1302:YES)、ガイダンス管理部313は、認証テンプレート情報DB322を参照して、当該提示対象データに生体ガイダンス画面を表示することを示す情報が紐づけられている場合に、生体ガイダンス画面(即ちどの生体を生体情報取得装置207にかざせばよいかを示す情報が表示された画面)を利用端末200の出力装置206に表示する(S1303)。
なお、当該提示対象データに生体ガイダンス画面を表示することを示す情報が紐づけられていない場合、ガイダンス管理部313は、生体ガイダンス画面を表示することなく(即ちステップS1303の処理を実行することなく)、ステップS1304へ遷移する。
生体情報取得部212は、生体情報取得装置207を介して、同意用生体情報を取得する(S1304)。なお、ステップS507において、暗号化用及び同意用の生体情報の種類を認証用と共通にすると判定された場合には、ステップS501で認証用に取得された第1種生体情報を利用すればよいため、ステップS1304の処理は実行されない。
暗号化部214は、例えばステップS206で説明した方法と同様の方法で、同意用生体情報から秘密鍵と公開鍵のペアを生成し、暗号化部214は当該生成した秘密鍵で提示対象データ(復号化済み)の利用目的に同意の電子署名を施す(S1305)。
暗号化部214は、復号化済みの提示対象データの利用目的に同意の署名を施すことができたか、即ちステップS1305で生成した秘密鍵と、ステップS1101で取得した公開鍵と、が照合できるかを判定する(S1306)。
暗号化部214は、復号化済みの提示対象データの利用目的に同意の署名を施すことができなかったと判定した場合(S1306:NO)、エラーメッセージを出力装置206に表示して(S1307)、ステップS1303に戻る。暗号化部214は、復号化済みの提示対象データの利用目的に同意の署名を施すことができたと判定した場合(S1306:YES)、復号化済み、かつ利用目的に同意の署名を施した提示対象データを提示先に送信して(S1307)、ステップS1203で生成された秘密鍵を削除して、同意処理を終了する。
以上、本実施例のデータ管理システムは、上記したように生体情報から公開鍵を生成し、さらにデータをその当該公開鍵に対応する秘密鍵でないと復号できない形でPDS400に保管することで、データや鍵管理を実行するための携帯端末(スマートフォンやタブレット端末等)を所持していないユーザでも、データ登録処理及びデータ提示処理を実行することができる。これにより、携帯端末の紛失及び盗難リスクがなくなり、また携帯端末を所持していないユーザであっても自己主権型アイデンティティの仕組みを利用可能となる。
また、利用端末200は、利用端末200のユーザの本人の生体情報から生成された公開鍵で認証や署名を実行するため、当該ユーザが他人と結託してデータや、利用端末200が携帯端末であれば当該携帯端末を、譲渡又は売却する不正行為を防止することができる。
また、前述した通り、本実施例のデータ管理システムでは、認証用生体情報、暗号化用生体情報、及び同意用生体情報いずれも1種類であってもよいし、複数種類であってもよい。従って、登録端末100及び利用端末200のユーザは、認証用生体情報の種類と、暗号化用生体情報及び同意用生体情報の種類と、が同じ1種類の生体情報になるように選択することもできるし、同じ複数種類の生体情報の組み合わせになるように選択することもできるし、認証用生体情報の種類と、暗号化用生体情報及び同意用生体情報の種類と、一方を1種類として他方を複数種類となったうえで重複がないように選択することもできるし、認証用生体情報の種類と、暗号化用生体情報及び同意用生体情報の種類と、の双方を複数種類としたうえで重複がないように選択することもできる。
また、本実施例のデータ管理システムは、特性チェックシート221に基づいて、暗号化用生体情報及び同意用生体情報を決定することにより、利用端末200のユーザの性格、特性、及び好み等にマッチする種類の生体情報を暗号化用生体情報及び同意用生体情報に決定することができ、ひいては当該ユーザを満足させることができる。
また、本実施例の特性チェックシート221においては、個人の事情により使えない又は使いたくない生体情報の種類を除外することができるため、様々な宗教、障がい、怪我、病気、職業、及び人種等のダイバーシティに対応することができる生体情報の種類を決定することができる。
また、本実施例のデータ管理システムは、生体ガイダンス画面を表示可能であることにより、どの種類の生体情報が認証用生体情報、暗号化用生体情報、及び同意用生体情報に用いられたかを忘れてしまったユーザであっても、認証処理、復号化処理、及び同意処理を実行できる。
なお、本実施例のデータ管理システムでは、未成年者、病気、けが、認知症などの理由により個人でデータ提示が困難な成人は代理人に、データ提示の権限を委譲することもできる。このような場合には、具体的には、例えば、登録端末100のユーザ、及び利用端末200のユーザが、本人に代わる当該代理人であればよい。つまり、当該代理人の生体情報が取得される。
また、未成年者のように登録端末100及び利用端末200が設置されている場所に出向いて生体情報の取得は可能であるものの制限行為能力者であるような場合には、登録端末100のユーザ、及び利用端末200のユーザが当該未成年者と当該代理人であるようにしてもよい。つまり、当該未成年者と当該代理人双方の生体情報が取得され、認証、暗号化、復号化、及び同意に当該未成年者と当該代理人双方の生体情報が要求されてもよい。
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることも可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
100 登録端末、101 CPU、102 メモリ、103 補助記憶装置、104 通信装置、105 入力装置、106 出力装置、107 生体情報取得装置、111 ウォレット名指定部、112 生体情報取得部、113 入力部、114 暗号化部、 200 利用端末、201 CPU、202 メモリ、203 補助記憶装置、204 通信装置、205 入力装置、206 出力装置、207 生体情報取得装置、211 ウォレット名指定部、212 生体情報取得部、213 入力部、214 暗号化部、215 データ登録部、216 生体情報選択部、217 同意部、221 特性チェックシート、300 認証サーバ、301 CPU、302 メモリ、303 補助記憶装置、304 通信装置、305 入力装置、306 出力装置、311 ウォレット管理部、 312 テンプレート管理部、313 ガイダンス管理部、400 登録端末、401 CPU、402 メモリ、403 補助記憶装置、404 通信装置、405 入力装置、406 出力装置、411 データ管理部、421 ウォレット

Claims (15)

  1. 第1計算機、第2計算機、第3計算機を含むデータ管理システムであって、
    データ登録処理において、
    前記第1計算機は、
    データを保持し、
    前記データを暗号化する暗号化用生体情報の種類を決定し、
    前記第1計算機のユーザの前記決定した種類の暗号化用生体情報を取得し、
    前記取得した暗号化用生体情報それぞれから、所定のアルゴリズムに基づいて公開鍵を生成し、
    前記公開鍵を用いて前記データを暗号化し、
    前記公開鍵を前記第2計算機に送信し、
    前記暗号化したデータを前記第3計算機に送信し、
    データ提示処理において、
    前記第1計算機は、
    前記暗号化したデータを前記第3計算機から取得し、
    前記第1計算機のユーザの前記決定した種類の復号化用生体情報を取得し、
    前記取得した復号化用生体情報それぞれから、前記所定のアルゴリズムに基づいて秘密鍵を生成し、
    前記暗号化されたデータを、前記秘密鍵を用いて復号化し、
    前記復号化した登録対象データそれぞれを提示する、データ管理システム。
  2. 請求項1に記載のデータ管理システムであって、
    前記第1計算機は、入力装置に接続され、
    前記データ登録処理において、前記第1計算機は、前記入力装置への入力に基づいて、前記暗号化用生体情報の種類を決定する、データ管理システム。
  3. 請求項1に記載のデータ管理システムであって、
    前記データ登録処理において、前記第1計算機は、予め定められたデータの種類と暗号化用生体情報の種類との対応に基づいて、前記暗号化用生体情報の種類を決定する、データ管理システム。
  4. 請求項1に記載のデータ管理システムであって、
    前記第1計算機は、前記第1計算機のユーザの特性を示す情報を取得するための特性チェックシートを保持し、
    前記データ登録処理において、
    前記第1計算機は、前記特性チェックシートへのチェックを受け付け、
    前記チェックされた前記特性チェックシートが示す前記第1計算機のユーザの特性に基づいて、前記暗号化用生体情報の種類を決定する、データ管理システム。
  5. 請求項4に記載のデータ管理システムであって、
    前記特性チェックシートは、前記第1計算機のユーザから取得できない前記暗号化用生体情報の種類、及び/又は前記暗号化用生体情報の種類の数と前記暗号化用生体情報の種類とを決定するための前記第1計算機のユーザの性格を特定するためのチェック項目を含む、データ管理システム。
  6. 請求項1に記載のデータ管理システムであって、
    前記第1計算機は、入力装置及び表示装置に接続され、
    前記データ登録処理において、
    前記第1計算機は、前記データ提示処理が実行されるときに前記決定した種類を示す表示を含むガイダンス画面を前記表示装置に表示するかを、前記入力装置への入力に基づいて決定し、
    前記第1計算機は、
    前記ガイダンス画面を表示すると決定した場合、
    前記データ提示処理において、前記決定した種類の復号化用生体情報を取得する前に、前記ガイダンス画面を前記表示装置に表示する、データ管理システム。
  7. 請求項1に記載のデータ管理システムであって、
    前記データ登録処理において、
    前記第1計算機は、
    前記データの利用目的に同意するための同意用生体情報の種類を決定し、
    前記第1計算機のユーザの前記決定した種類の同意用生体情報を取得し、
    前記取得した種類の同意生体情報それぞれから、所定のアルゴリズムに基づいて公開鍵を生成し、
    前記公開鍵を前記第2計算機に送信し、
    前記データ提示処理において、
    前記第1計算機は、
    前記利用目的を示す利用目的情報を保持し、
    前記第1計算機のユーザの前記決定した種類の同意用生体情報を取得し、
    前記取得した同意用生体情報それぞれから、前記所定のアルゴリズムに基づいて秘密鍵を生成し、
    当該データ提示処理において取得した同意用生体情報それぞれから生成された秘密鍵を用いて、前記利用目的情報に電子署名を付与し、
    前記電子署名を付与した利用目的情報を提示する、データ管理システム。
  8. 請求項7に記載のデータ管理システムであって、
    前記第1計算機は、入力装置に接続され、
    前記データ登録処理において、前記第1計算機は、前記入力装置への入力に基づいて、前記同意用生体情報の種類を決定する、データ管理システム。
  9. 請求項7に記載のデータ管理システムであって、
    前記データ登録処理において、前記第1計算機は、予め定められたデータの種類と同意用生体情報の種類との対応に基づいて、前記同意用生体情報の種類を決定する、データ管理システム。
  10. 請求項7に記載のデータ管理システムであって、
    前記第1計算機は、前記第1計算機のユーザの特性を示す情報を取得するための特性チェックシートを保持し、
    前記データ登録処理において、
    前記第1計算機は、前記特性チェックシートへのチェックを受け付け、
    前記チェックされた前記特性チェックシートが示す前記第1計算機のユーザの特性に基づいて、前記同意用生体情報の種類を決定する、データ管理システム。
  11. 請求項10に記載のデータ管理システムであって、
    前記特性チェックシートは、前記第1計算機のユーザから取得できない前記同意用生体情報の種類、及び/又は前記同意用生体情報の種類の数と前記同意用生体情報の種類とを決定するための前記第1計算機のユーザの性格を特定するためのチェック項目を含む、データ管理システム。
  12. 請求項7に記載のデータ管理システムであって、
    前記第1計算機は、入力装置及び表示装置に接続され、
    前記データ登録処理において、
    前記第1計算機は、前記データ提示処理が実行されるときに前記決定した同意用生体情報の種類を示す表示を含むガイダンス画面を前記表示装置に表示するかを、前記入力装置への入力に基づいて決定し、
    前記第1計算機は、
    前記ガイダンス画面を表示すると決定した場合、
    前記データ提示処理において、前記決定した種類の同意用生体情報を取得する前に、前記ガイダンス画面を前記表示装置に表示する、データ管理システム。
  13. 請求項7に記載のデータ管理システムであって、
    前記データ登録処理において前記決定した暗号化用生体情報の種類と、前記決定した同意用生体情報の種類と、が共通する場合、
    前記データ提示処理において、前記第1計算機は、前記共通する種類の生体情報を、暗号化用生体情報及び同意用生体情報として、1回の取得処理で同時に取得する、データ管理システム。
  14. 第1計算機、第2計算機、第3計算機を含むデータ管理システムによるデータ管理方法であって、
    前記データ管理方法は、
    データ登録処理において、
    前記第1計算機が、データを保持し、
    前記第1計算機が、前記データを暗号化する暗号化用生体情報の種類を決定し、
    前記第1計算機が、前記第1計算機のユーザの前記決定した種類の暗号化用生体情報を取得し、
    前記第1計算機が、前記取得した暗号化用生体情報それぞれから、所定のアルゴリズムに基づいて公開鍵を生成し、
    前記第1計算機が、前記公開鍵を用いて前記データを暗号化し、
    前記第1計算機が、前記公開鍵を前記第2計算機に送信し、
    前記第1計算機が、前記暗号化したデータを前記第3計算機に送信し、
    データ提示処理において、
    前記第1計算機が、前記暗号化したデータを前記第3計算機から取得し、
    前記第1計算機が、前記第1計算機のユーザの前記決定した種類の復号化用生体情報を取得し、
    前記第1計算機が、前記取得した復号化用生体情報それぞれから、前記所定のアルゴリズムに基づいて秘密鍵を生成し、
    前記第1計算機が、前記暗号化されたデータを、前記秘密鍵を用いて復号化し、
    前記第1計算機が、前記復号化した登録対象データそれぞれを提示する、データ管理方法。
  15. 第1計算機、第2計算機、第3計算機を含むデータ管理システムにデータ管理を実行させるデータ管理プログラムであって、
    データ登録処理において、前記第1計算機は、データを保持し、
    前記プログラムは、
    前記データ登録処理において、
    前記第1計算機に、前記データを暗号化する暗号化用生体情報の種類を決定する処理と、
    前記第1計算機に、前記第1計算機のユーザの前記決定した種類の暗号化用生体情報を取得する処理と、
    前記第1計算機に、前記取得した暗号化用生体情報それぞれから、所定のアルゴリズムに基づいて公開鍵を生成する処理と、
    前記第1計算機に、前記公開鍵を用いて前記データを暗号化する処理と、
    前記第1計算機に、前記公開鍵を前記第2計算機に送信する処理と、
    前記第1計算機に、前記暗号化したデータを前記第3計算機に送信する処理と、を実行させ、
    データ提示処理において、
    前記第1計算機に、前記暗号化したデータを前記第3計算機から取得する処理と、
    前記第1計算機に、前記第1計算機のユーザの前記決定した種類の復号化用生体情報を取得する処理と、
    前記第1計算機に、前記取得した復号化用生体情報それぞれから、前記所定のアルゴリズムに基づいて秘密鍵を生成する処理と、
    前記第1計算機に、前記暗号化されたデータを、前記秘密鍵を用いて復号化する処理と、
    前記第1計算機に、前記復号化した登録対象データそれぞれを提示する処理と、を実行させるデータ管理プログラム。
JP2021095370A 2021-06-07 2021-06-07 データ管理システム、データ管理方法、及びデータ管理プログラム Pending JP2022187370A (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2021095370A JP2022187370A (ja) 2021-06-07 2021-06-07 データ管理システム、データ管理方法、及びデータ管理プログラム
CN202210511729.XA CN115514512A (zh) 2021-06-07 2022-05-11 数据管理系统、数据管理方法及记录介质
EP22176262.8A EP4102766A1 (en) 2021-06-07 2022-05-31 Data management system, data management method, and non-transitory computer-readable medium
US17/832,103 US20220391518A1 (en) 2021-06-07 2022-06-03 Data management system, data management method, and non-transitory computer readable medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021095370A JP2022187370A (ja) 2021-06-07 2021-06-07 データ管理システム、データ管理方法、及びデータ管理プログラム

Publications (2)

Publication Number Publication Date
JP2022187370A true JP2022187370A (ja) 2022-12-19
JP2022187370A5 JP2022187370A5 (ja) 2024-02-29

Family

ID=81854669

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021095370A Pending JP2022187370A (ja) 2021-06-07 2021-06-07 データ管理システム、データ管理方法、及びデータ管理プログラム

Country Status (4)

Country Link
US (1) US20220391518A1 (ja)
EP (1) EP4102766A1 (ja)
JP (1) JP2022187370A (ja)
CN (1) CN115514512A (ja)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009009788A1 (en) * 2007-07-12 2009-01-15 Jobmann Brian C Identity authentication and secured access systems, components, and methods
US9692603B2 (en) * 2015-05-15 2017-06-27 Verizon Patent And Licensing Inc. Biometric PKI authentication
US9871783B2 (en) * 2015-06-26 2018-01-16 Verizon Patent And Licensing Inc. Universal enrollment using biometric PKI
WO2019222709A1 (en) * 2018-05-17 2019-11-21 Badge Inc. System and method for securing personal information via biometric public key
JP2021095370A (ja) 2019-12-18 2021-06-24 日本メナード化粧品株式会社 蒸気加熱処理工程を含む方法で処理したオタネニンジンの種子及び/又はその抽出物を含有する皮膚外用剤や内用剤
JP2021005870A (ja) 2020-07-21 2021-01-14 株式会社ビットキー 利用制御システム、利用許可証発行装置、利用制御方法、およびコンピュータで読み取り可能なプログラム

Also Published As

Publication number Publication date
US20220391518A1 (en) 2022-12-08
CN115514512A (zh) 2022-12-23
EP4102766A1 (en) 2022-12-14

Similar Documents

Publication Publication Date Title
US9166796B2 (en) Secure biometric cloud storage system
EP2731044B1 (en) Client computer for querying a database stored on a server via a network
CN113632125A (zh) 使用非接触式卡安全地共享存储在区块链中的个人数据
EA035080B1 (ru) Система и способ для многофакторной аутентификации личности на основе блокчейна
JP4097623B2 (ja) 本人認証インフラストラクチャシステム
US20050138389A1 (en) System and method for making password token portable in trusted platform module (TPM)
JP2018186495A (ja) バーコードを使用する身元認証
JP2020528675A (ja) Id情報に基づく暗号鍵管理
US20200295929A1 (en) Authentication device based on biometric information and operation method thereof
JPWO2006018890A1 (ja) メモリカード、データ交換システム及びデータ交換方法
JP2007108833A (ja) 複数パスワード記憶装置及びパスワード管理方法
JP4724107B2 (ja) リムーバブル・デバイスを用いたユーザの認証方法およびコンピュータ
JP2014078770A (ja) アクセス権付き暗号化装置、アクセス権付き暗号システム、アクセス権付き暗号化方法およびアクセス権付き暗号化プログラム
CN112425119A (zh) 控制方法、服务器、程序及数据结构
JP2022187370A (ja) データ管理システム、データ管理方法、及びデータ管理プログラム
KR20230044953A (ko) 블록체인의 계정인증을 통해 파일을 관리하기 위한 컴퓨팅 방법 및 시스템
JP6258453B2 (ja) 情報処理装置、情報処理方法及びプログラム
TW200846972A (en) Method for generating and using a key for encryption and decryption in a computer device
WO2022255151A1 (ja) データ管理システム、データ管理方法、及び非一時的記録媒体
KR20210015534A (ko) 보안키 관리 방법 및 보안키 관리 서버
JP2021150681A (ja) 情報処理システム、情報処理プログラムおよび情報処理方法
TWI844338B (zh) 無密碼身分驗證方法與電腦程式產品
WO2023189801A1 (ja) 管理装置、管理方法および管理プログラム
US20230208634A1 (en) Key management method and apparatus
JP7351873B2 (ja) 情報処理装置、情報処理方法および情報処理プログラム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240219

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240219