JP2023000212A - 情報処理システム、情報処理方法および情報処理プログラム - Google Patents

情報処理システム、情報処理方法および情報処理プログラム Download PDF

Info

Publication number
JP2023000212A
JP2023000212A JP2021100904A JP2021100904A JP2023000212A JP 2023000212 A JP2023000212 A JP 2023000212A JP 2021100904 A JP2021100904 A JP 2021100904A JP 2021100904 A JP2021100904 A JP 2021100904A JP 2023000212 A JP2023000212 A JP 2023000212A
Authority
JP
Japan
Prior art keywords
user
irreversible
server
information processing
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021100904A
Other languages
English (en)
Inventor
貴晴 藤井
Takaharu Fujii
洋平 金澤
Yohei Kanazawa
淳 益子
Jun MASHIKO
開 浅井
Kai Asai
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
First Screening Corp
Original Assignee
First Screening Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by First Screening Corp filed Critical First Screening Corp
Priority to JP2021100904A priority Critical patent/JP2023000212A/ja
Priority to PCT/JP2022/001508 priority patent/WO2022264470A1/ja
Priority to JP2022175981A priority patent/JP7262866B2/ja
Publication of JP2023000212A publication Critical patent/JP2023000212A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】連携先でデータ漏洩が発生しても、各種データがどのユーザに関するものであるか特定されず、システム内のセキュリティを十分に確保できる技術を提供する。【解決手段】ネットワーク上に存在するユーザ端末10、ホストサーバ20および連携サーバ30の間でデータ授受を行う情報処理システムにおいて、前記ユーザ端末10を使用するユーザに固有のユーザIDをハッシュ化して非可逆ユーザIDを得るID管理部21と、前記ユーザIDを用いてデータ授受を行うユーザID使用域40と、前記非可逆ユーザIDを用いてデータ授受を行う非可逆ユーザID使用域50と、を有する。前記ユーザID使用域40は、前記ホストサーバ20とのデータ授受を行うためのものであり、前記非可逆ユーザID使用域50は、前記連携サーバ30とのデータ授受を行うためのものである。【選択図】図2

Description

本発明は、情報処理システム、情報処理方法および情報処理プログラムに関する。
近年、情報処理システムとして、ネットワーク上に存在する複数のコンピュータ(サーバ装置)を連携させて、ユーザへの情報処理サービスを提供するように構成されたものがある。このような情報処理システムでは、ユーザに固有のID(ユーザID)を用いて、ユーザに関する各種データ(個人情報等)を管理することが一般的である。その場合に、ユーザIDについては、暗号化によってセキュリティを確保することが知られている(例えば、特許文献1参照)。
特開2012-222414号公報
しかしながら、情報処理システムにおいては、システム内の各種データがユーザIDで紐づけされているため、例えば、連携先でデータ漏洩が発生すると、その漏洩内容に基づいて、システム内の各種データがどのユーザに関するものであるか特定されてしまうおそれがある。このことは、ユーザIDが暗号化されていても、漏洩内容に暗号鍵が含まれていると、防ぐことができない。
本開示は、例えば連携先でデータ漏洩が発生しても、システム内の各種データを管理する管理側においては、各種データがどのユーザに関するものであるか特定されず、これによりシステム内のセキュリティを十分に確保できる技術を提供する。
本開示の一態様によれば、
ネットワーク上に存在するユーザ端末、ホストサーバおよび連携サーバの間でデータ授受を行うように構成された情報処理システムであって、
前記ユーザ端末を使用するユーザに固有のユーザIDをハッシュ化して非可逆ユーザIDを得るID管理部と、
前記ユーザIDを用いてデータ授受を行うユーザID使用域と、
前記非可逆ユーザIDを用いてデータ授受を行う非可逆ユーザID使用域と、
を有し、
前記ユーザID使用域は、前記ホストサーバとのデータ授受を行うためのものであり、
前記非可逆ユーザID使用域は、前記連携サーバとのデータ授受を行うためのものである
情報処理システムが提供される。
本開示の他の一態様によれば、
ネットワーク上に存在するユーザ端末、ホストサーバおよび連携サーバの間でデータ授受を行うように構成された情報処理システムで用いられる情報処理方法あって、
前記ユーザ端末を使用するユーザに固有のユーザIDをハッシュ化して非可逆ユーザIDを得て、
前記ユーザIDを用いてデータ授受を行うユーザID使用域を、前記ホストサーバとのデータ授受を行うためのものとして設定し、
前記非可逆ユーザIDを用いてデータ授受を行う非可逆ユーザID使用域を、前記連携サーバとのデータ授受を行うためのものとして設定する
情報処理方法が提供される。
本開示のさらに他の一態様によれば、
ネットワーク上のコンピュータに、
前記ネットワーク上に存在するユーザ端末、ホストサーバおよび連携サーバの間でデータ授受を行う機能と、
前記ユーザ端末を使用するユーザに固有のユーザIDをハッシュ化して非可逆ユーザIDを得る機能と、
前記ユーザIDを用いてデータ授受を行うユーザID使用域を、前記ホストサーバとのデータ授受を行うためのものとして設定する機能と、
前記非可逆ユーザIDを用いてデータ授受を行う非可逆ユーザID使用域を、前記連携サーバとのデータ授受を行うためのものとして設定する機能と、
を実現させるための情報処理プログラムが提供される。
本開示によれば、システム内でユーザIDと非可逆ユーザIDとを併存させつつ、ユーザID使用域と非可逆ユーザID使用域とを明確に区別することで、例えば連携先で非可逆ユーザIDが漏れた場合であっても、非可逆であるが故にユーザIDについては解明できない。そのため、ホストサーバの側での管理データがどのユーザに関するものであるか特定されず、これによりシステム内のセキュリティを十分に確保することができる。
本開示の第一実施形態に係る情報処理システムの概略構成を示す模式図である。 本開示の第一実施形態に係る情報処理システムの機能構成を示すブロック図である。 本開示の第一実施形態に係る情報処理システムにおいてデータ授受を行う際の処理動作例を示す説明図である。 本開示の第一実施形態に係る情報処理システムにおける情報管理状況の一具体例を示す説明図である。 本開示の第二実施形態に係る情報処理システムの概略構成を示す模式図である。 本開示の第二実施形態に係る情報処理システムにおける情報管理状況の一具体例を示す説明図である。
以下、本開示の実施形態について、図面を参照しつつ説明する。
<1.第一実施形態>
まず、本開示の第一実施形態を説明する。
(1)システム構成例
図1は、本実施形態で例に挙げる情報処理システムの概略構成を示す模式図である。図2は、本実施形態で例に挙げる情報処理システムの機能構成を示すブロック図である。
(全体構成)
図1に示すように、本実施形態に係る情報処理システムは、図示せぬネットワーク上に存在するユーザ端末10、ホストサーバ20および連携サーバ30を少なくとも有しており、これらの間でデータ授受を行うように構成されている。なお、ユーザ端末10は、ネットワーク上に複数存在していてもよい。連携サーバ30についても、同様に、ネットワーク上に複数存在していてもよい。その場合に、複数のユーザ端末10は、それぞれが個別にホストサーバ20とのデータ授受を行うことができ、また、それぞれが個別に複数の連携サーバ30のいずれに対してもデータ授受を行うことができる。
ネットワークとしては、例えば広域ネットワーク(WAN)が挙げられるが、データ授受が可能であれば、特に限定されるものではない。ネットワークを通じて授受するデータについても、種類やフォーマット等が特に限定されるものではない。
本実施形態において、ネットワークを通じて授受するデータには、ユーザ端末を使用するユーザの生体情報に関するデータが含まれるものとする。つまり、本実施形態に係る情報処理システムは、ユーザの生体情報に関するデータに対して所定の処理を行うように構成されたものである。ここでいう所定の処理については、詳細を後述する。
(ユーザ端末)
ユーザ端末10は、ユーザがシステムにアクセスするために使用する端末装置であり、コンピュータとしての機能を有するスマートホン、タブレット端末、ノートパソコン等によって構成されている。ネットワーク上に複数のユーザ端末10が存在する場合、複数のユーザがシステムにアクセスし得るようになる。
図2に示すように、ユーザ端末10には、無線通信または有線通信を介して、電気化学センサ11が接続されている。
電気化学センサ11は、ユーザ端末10を使用するユーザの生体情報を測定し、その測定データをユーザ端末10に出力するものである。生体情報としては、例えば、ユーザ(すなわち被験者)から採取する尿中に含まれる尿酸の濃度に関する情報が挙げられる。尿中における尿酸の濃度の測定は、例えば、尿中に含まれる物質を特定の条件下で電気分解させ、その際に生じる電気化学反応(例えば酸化還元反応)を利用して行うことができる。このように、電気化学センサ11は、被験者から採取した被検液(例えば尿)中の特定成分(例えば尿酸)を電気化学的に測定するように構成されている。ただし、被検液は、尿の他、血液、唾液、鼻水、汗、涙等の体液であってもよい。また、被検液中の特定成分としては、尿酸の他、尿糖、アルギニン、アルブミン等であってもよい。
なお、電気化学センサ11の具体的な構成については、公知技術を利用したものであればよく、ここではその説明を省略する。
このような電気化学センサ11から測定データを取得し、取得した測定データを処理すべく、ユーザ端末10は、アプリケーション部(以下、単に「アプリ部」という。)12としての機能を有している。
アプリ部12は、ユーザ端末10にインストールされるアプリケーションプログラムによって実現される機能であり、電気化学センサ11の処理動作を制御しつつ、その電気化学センサ11から取得した測定データを処理するものである。そのために、アプリ部12は、ユーザ端末10を使用するユーザが操作して動作指示を与えるための操作指示部13、ホストサーバ20との間および連携サーバ30との間の通信を制御する通信制御部14、必要に応じて各種情報をユーザ端末10のメモリ内に記憶保持するための情報記憶部15、および、操作指示部13からの指示に従いつつ電気化学センサ11の処理動作を制御するセンサ制御部16、としての機能を有している。
(ホストサーバ)
ホストサーバ20は、ユーザ端末10を使用するユーザに所定のサービスを提供するためのものであり、例えばネットワーク上に存在するクラウドサーバによって構成されている。ただし、ホストサーバ20は、必ずしもクラウドサーバである必要はなく、ネットワークに接続するサーバ装置によって構成されたものであってもよい。
ホストサーバ20が提供する所定のサービスとしては、例えば、システム内でのユーザ登録に関する管理サービスや、ユーザに関する各種データ(個人情報を含む。)の管理サービス等がある。
このようなサービス提供のために、ホストサーバ20は、ID管理部21、鍵管理部22、暗号化部23、復号部24、第一データベース部25、および、第二データベース部26としての機能を有している。これらの各機能は、ホストサーバ20にインストールされる所定プログラム、または、ホストサーバ20がアクセス可能な所定プログラムによって実現されるようになっている。
ID管理部21は、システム内で一意に決まるユーザIDを管理するものである。具体的には、ID管理部21は、ユーザ端末10を使用するユーザからの求めに応じて、そのユーザに対して、そのユーザに固有のID(オリジナルのユーザID)を付与するようになっている。さらに、ID管理部21は、ユーザIDをハッシュ化して非可逆ユーザIDを得るようになっている。なお、ハッシュ化の具体的な手法については、特に限定されるものではなく、公知の手法のいずれかを利用して行えばよい。また、ユーザIDおよび非可逆ユーザIDの具体的な態様についても同様であり、特定の態様に限定されるものではない。
鍵管理部22は、暗号化部23が暗号化を行う際および復号部24が復号を行う際に用いる鍵を管理するものである。鍵管理部22が管理する鍵には、ホストサーバ20に固有の共通鍵、または、ホストサーバ20に固有の公開鍵と秘密鍵のセットの少なくとも一方と、ネットワーク上に存在する連携サーバ30に固有の公開鍵と、がある。なお、ネットワーク上に複数の連携サーバ30が存在する場合、鍵管理部22では、各連携サーバ30毎に異なる鍵を管理するようになっている。
暗号化部23は、ユーザIDおよび非可逆ユーザIDの暗号化を行うものである。具体的には、暗号化部23は、ユーザIDをホストサーバ20に固有の共通鍵または公開鍵で暗号化し、非可逆ユーザIDを連携サーバ30に固有の公開鍵で暗号化するようになっている。以下、暗号化部23が暗号化したユーザIDを「暗号化ユーザID」という。また、暗号化部23が暗号化した非可逆ユーザIDを「暗号化非可逆ユーザID」という。暗号化部23で得られた暗号化ユーザIDおよび暗号化非可逆ユーザIDは、一旦、ユーザ端末10に送られる。
復号部24は、外部から送られてくる暗号化ユーザIDの復号を行うものである。具体的には、復号部24は、暗号化ユーザIDの復号を、ホストサーバ20に固有の共通鍵または秘密鍵で行うようになっている。
第一データベース部25は、ユーザに関する各種データのうち、特にホストサーバ20で局所的に管理すべきデータを記憶保持するものである。ホストサーバ20で局所的に管理すべきデータとしては、例えば、各ユーザの個人情報(氏名、住所、クレジットカード情報等の個人が特定され得る情報、支払いに関する個人の情報等)が挙げられる。このような個人情報を、第一データベース部25は、各ユーザのユーザIDと関連付けて記憶保持するようになっている。これにより、各ユーザの個人情報は、ホストサーバ20で局所的に管理されることになる。
第二データベース部26は、ユーザに関する各種データのうち、第一データベース部25による記憶保持データを除くデータを記憶保持するものである。第二データベース部26が記憶保持するデータは、各ユーザの個人情報以外のもので、例えば、後述する連携サーバ30からの解析結果に関する情報、各ユーザの生活習慣に関する情報である生活習慣情報等が含まれる。
第二データベース部26は、図例のようにホストサーバ20に配することが考えられるが、これに限定されることはなく、ホストサーバ20がアクセス可能であれば、システム内の他装置(例えば、後述する非可逆ユーザID使用域50における連携サーバ30)に配されていてもよい。
ホストサーバ20に配されている場合、第二データベース部26は、ユーザに関するデータを、当該ユーザのユーザIDと関連付けて記憶保持するようになっている。ただし、ホストサーバ20ではなく非可逆ユーザID使用域50の他装置に配されている場合には、第二データベース部26は、ユーザに関するデータを、当該ユーザの非可逆ユーザIDと関連付けて記憶保持する。これにより、ユーザに関する個人情報以外の各種データは、ホストサーバ20がアクセス可能な状態で管理されることになる。
なお、第一データベース部25には、非可逆ユーザIDおよび暗号化非可逆ユーザIDのいずれも記憶保持されない。また、第二データベース部26にも、ホストサーバ20に配されている場合には、非可逆ユーザIDおよび暗号化非可逆ユーザIDのいずれも記憶保持されない。そのため、暗号化部23からユーザ端末10への暗号化非可逆ユーザIDの送出後は、ホストサーバ20には、非可逆ユーザIDおよび暗号化非可逆ユーザIDのいずれも残らない。つまり、ホストサーバ20は、非可逆ユーザIDを非保存とするように構成されている。
(連携サーバ)
連携サーバ30は、ユーザ端末10を使用するユーザにホストサーバ20とは別のサービスを提供するためのものであり、例えばネットワーク上に存在するクラウドサーバによって構成されている。ただし、連携サーバ30についても、ホストサーバ20と同様に、必ずしもクラウドサーバである必要はなく、ネットワークに接続するサーバ装置によって構成されたものであってもよい。
連携サーバ30が提供する別のサービスとしては、例えば、電気化学センサ11による測定データを解析して、その解析結果に関する情報をユーザに通知するサービスがある。ネットワーク上に複数の連携サーバ30が存在する場合、各連携サーバ30は、それぞれが異なるサービスを提供するようにしてもよい。つまり、システム内では、ホストサーバ20と連携サーバ30とが連携することにより、単独サーバでは成し得なかった情報処理サービスを、ユーザに提供するようになっている。
このようなサービス提供のために、連携サーバ30は、鍵管理部31、復号部32、ユーザ認可部33、解析アルゴリズム部34、および、データベース部35としての機能を有している。これらの各機能は、連携サーバ30にインストールされる所定プログラム、または、連携サーバ30がアクセス可能な所定プログラムによって実現されるようになっている。
鍵管理部31は、復号部32が復号を行う際に用いる鍵を管理するものである。鍵管理部31が管理する鍵には、ネットワーク上に存在する連携サーバ30に固有の公開鍵と秘密鍵のセットがある。また、鍵管理部31が管理する鍵は、連携サーバ30に固有の共通鍵であってもよい。なお、ネットワーク上に複数の連携サーバ30が存在する場合、各連携サーバ30における鍵管理部31は、それぞれが異なる鍵を管理するようになっている。
復号部32は、外部から送られてくる暗号化非可逆ユーザIDの復号を行うものである。具体的には、復号部32は、暗号化非可逆ユーザIDの復号を、連携サーバ30に固有の秘密鍵または共通鍵で行うようになっている。
ユーザ認可部33は、復号部32による復号後の非可逆ユーザIDを基に、その非可逆ユーザIDによって特定されるユーザが、連携サーバ30でのサービスを提供可能なユーザであるか否か、すなわちホストサーバ20で認証されたユーザであるか否かを判断するものである。
解析アルゴリズム部34は、ユーザ端末10を使用するユーザからの求めに応じて、そのユーザについて電気化学センサ11で得られた測定データに対して所定の解析処理を行い、その解析結果に関する情報を出力するものである。所定の解析処理としては、例えば、測定データの経時変化を解析する処理や、その経時変化から疾病リスクを判定する処理等がある。つまり、解析アルゴリズム部34は、このような解析処理の結果に関する情報を、連携サーバ30が提供するサービスの結果情報として、求めがあったユーザ端末10に対して出力するように構成されている。ユーザ端末10への出力は、システム内の他装置(例えば、ホストサーバ20)を介して行うようにしてもよい。具体的には、例えば、解析アルゴリズム部34による解析結果に関する情報を、一旦ユーザ端末10に送信した後、そのユーザ端末10からホストサーバ20に転送し、そのホストサーバ20で表示レイアウトを特定するレイアウト情報を作成した上で、そのレイアウト情報とともにユーザ端末10へ返送することで、ユーザ端末10での表示出力を行うようにしてもよい。
データベース部35は、解析アルゴリズム部34による解析結果に関する情報をはじめとする各種データを記憶保持するものである。データベース部35が記憶保持する各種データには、解析結果に関する情報の他に、例えば、各ユーザに固有の非可逆ユーザID、ユーザ端末10から送られてきた測定データ、ホストサーバ20から送られてきた生活習慣情報等が含まれる。
(ユーザID使用域および非可逆ユーザID使用域)
以上のように構成された本実施形態に係る情報処理システムでは、ユーザ端末10とホストサーバ20との間、ユーザ端末10と連携サーバ30との間、および、ホストサーバ20と連携サーバ30との間のそれぞれにおいて、データ授受を行い得る。その場合に、少なくとも、ユーザ端末10とホストサーバ20との間、および、ユーザ端末10と連携サーバ30との間については、別途、暗号化通信、例えばSSL(Secure Sockets Layer)によって通信データが保護されることになる。
また、本実施形態に係る情報処理システムにおいては、データ授受に際して、ユーザIDまたは暗号化ユーザIDを用いてデータ授受を行う領域であるユーザID使用域40と、非可逆ユーザIDまたは暗号化非可逆ユーザIDを用いてデータ授受を行う領域である非可逆ユーザID使用域50と、が存在する。
ユーザID使用域40は、主として、ホストサーバ20とのデータ授受を行うためのものである。さらに具体的には、ユーザID使用域40は、ユーザ端末10とホストサーバ20との間でデータ授受を行うためのものである。また、非可逆ユーザID使用域50は、主として、連携サーバ30とのデータ授受を行うためのものである。さらに具体的には、非可逆ユーザID使用域50は、ユーザ端末10と連携サーバ30との間およびホストサーバ20と連携サーバ30との間でデータ授受を行うためのものである。
つまり、本実施形態に係る情報処理システムは、ユーザID使用域40と非可逆ユーザID使用域50とを有しているとともに、ユーザ端末10とホストサーバ20との間をユーザID使用域40としており、ユーザ端末10と連携サーバ30との間およびホストサーバ20と連携サーバ30との間を非可逆ユーザID使用域50としている。このように、本実施形態に係る情報処理システムでは、システム内で使用するIDとして、オリジナルのユーザID(暗号化ユーザID)と非可逆ユーザID(暗号化非可逆ユーザID)とを併存させつつ、これらの各IDを使用する範囲を明確に区別しているのである。
(プログラム)
以上のような情報処理システムにおける各機能は、ユーザ端末10、ホストサーバ20または連携サーバ30が所定プログラム(アプリケーションプログラムを含む。)を実行することによって実現される。つまり、上述の各機能を実現する所定プログラムは、本開示に係る「情報処理プログラム」の一実施形態に相当する。
その場合に、各機能を実現する所定プログラムは、コンピュータとしてのユーザ端末10、ホストサーバ20または連携サーバ30にインストール可能なものであれば、当該コンピュータで読み取り可能な記録媒体(例えば、磁気ディスク、光ディスク、光磁気ディスク、半導体メモリ等)に格納されて提供されるものであってもよいし、インターネットや専用回線等のネットワークを通じて外部から提供されるものであってもよい。
(2)処理動作例
次に、以上のように構成された本実施形態に係る情報処理システムにおいて、ユーザ端末10、ホストサーバ20および連携サーバ30の間でデータ授受を行う際の処理動作例、すなわち本開示に係る「情報処理方法」の一実施形態を説明する。
図3は、本実施形態に係る情報処理システムにおいてデータ授受を行う際の処理動作例を示す説明図である。
本実施形態に係る情報処理システムにおいて、ユーザ端末10を使用するユーザがホストサーバ20および連携サーバ30による提供サービスを受けるためには、まず、ユーザがユーザ端末10を操作して、アプリ部12の操作指示部13からホストサーバ20に対してユーザ登録(すなわちID付与)の依頼を行う(ステップ101、以下ステップを「S」と略す。)。
ユーザ端末10からのユーザ登録の依頼を受けると、ホストサーバ20では、ID管理部21が、依頼元ユーザに固有のユーザIDを付与するとともに、そのユーザIDをハッシュ化して非可逆ユーザIDを得る。そして、暗号化部23が、これらを暗号化して、暗号化ユーザIDおよび暗号化非可逆ユーザIDとする。暗号化ユーザIDおよび暗号化非可逆ユーザIDは、ホストサーバ20から依頼元のユーザ端末10へ送られる(S102)。
依頼元のユーザ端末10では、ホストサーバ20から暗号化ユーザIDおよび暗号化非可逆ユーザIDを受け取ると、アプリ部12の情報記憶部15がこれらを記憶保持する。これにより、ユーザ端末10において、通信制御部14は、それ以降のシステム内でのデータ送信を、暗号化ユーザIDまたは暗号化非可逆ユーザIDのいずれかを用いて行うことになる。さらに詳しくは、通信制御部14は、ホストサーバ20との間についてはユーザID使用域40であることから、暗号化ユーザIDを用いてデータ送信を行う。また、連携サーバ30との間については非可逆ユーザID使用域50であることから、暗号化非可逆ユーザIDを用いてデータ送信を行う。
例えば、ユーザ端末10において、ユーザによる個人情報および生活習慣情報の入力があった場合を考える。ユーザの個人情報は、ホストサーバ20の第一データベース部25にて管理すべきものであり、ユーザの生活習慣情報は、ホストサーバ20の第二データベース部26にて管理すべきものである。そこで、通信制御部14は、個人情報および生活習慣情報の入力があると、これらをホストサーバ20へ送る(S103)。このとき、ユーザ端末10とホストサーバ20との間はユーザID使用域40であることから、通信制御部14は、個人情報および生活習慣情報について、暗号化ユーザIDを用いてホストサーバ20へのデータ送信を行う。つまり、通信制御部14は、個人情報および生活習慣情報を、情報記憶部15が記憶保持する暗号化ユーザIDと共に、ホストサーバ20へ送るようにする(S103)。
ユーザ端末10から暗号化ユーザID、個人情報および生活習慣情報を受け取ると、ホストサーバ20では、送られてきた暗号化ユーザIDを復号部24が復号して、暗号化前のユーザIDに戻す。そして、そのユーザIDがユーザ登録の依頼に応じてID管理部21で正規に発行されたものであれば、ユーザ端末10から受け取った個人情報を、ユーザIDと対応付けた状態で、第一データベース部25にて記憶保持するとともに、ユーザ端末10から受け取った生活習慣情報を、ユーザIDと対応付けた状態で、第二データベース部26にて記憶保持する。つまり、第一データベース部25は、ユーザIDを検索キーとして利用し得る状態で、そのユーザIDによって特定されるユーザの個人情報を記憶保持し、第二データベース部26は、ユーザIDを検索キーとして利用し得る状態で、そのユーザIDによって特定されるユーザの生活習慣情報を記憶保持する。これにより、そのユーザの個人情報および生活習慣情報は、ホストサーバ20で管理されることになる。
その後において、例えば、ユーザが電気化学センサ11を用いて生体情報の測定を行った場合を考える。生体情報の測定は、例えば1日1回といったように、予め定められたタイミングで定期的に行われることが一般的である。このようなタイミングで電気化学センサ11による生体情報の測定があると、その都度、ユーザ端末10のセンサ制御部16には、電気化学センサ11から測定データが出力される(S104)。
電気化学センサ11からの測定データは、いわゆる生データに相当するものであり、そのままでは必ずしもユーザの健康増進に有効であるとはいえない。そこで、ユーザ端末10では、電気化学センサ11から測定データが出力されると、その測定データを連携サーバ30に解析させてユーザの健康増進に寄与させるべく、アプリ部12の操作指示部13からの指示に従って、または測定データの出力に応じて自動的に、その測定データを通信制御部14が連携サーバ30へ送る(S105)。このとき、ユーザ端末10と連携サーバ30との間は非可逆ユーザID使用域50であることから、通信制御部14は、電気化学センサ11から出力された測定データについて、暗号化非可逆ユーザIDを用いて連携サーバ30へのデータ送信を行う。つまり、通信制御部14は、電気化学センサ11から出力された測定データを、情報記憶部15が記憶保持する暗号化非可逆ユーザIDと共に、連携サーバ30へ送るようにする(S105)。
ユーザ端末10からの暗号化非可逆ユーザIDおよび測定データを受け取ると、連携サーバ30では、送られてきた暗号化非可逆ユーザIDを復号部32が復号して、暗号化前の非可逆ユーザIDに戻す。そして、その非可逆ユーザIDによって特定されるユーザが、連携サーバ30でのサービスを提供可能なユーザであるか否かを、ユーザ認可部33が判断する。これにより、連携サーバ30は、ホストサーバ20で認証されたユーザに対してのみ、サービスを提供することになる。その結果、ホストサーバ20で認証されたユーザであれば、連携サーバ30では、送られてきた測定データを解析アルゴリズム部34が解析し、その解析結果に関する情報を、連携サーバ30が提供するサービスの結果情報として、測定データの送信元のユーザ端末10に対して出力する(S106)。また、連携サーバ30では、解析アルゴリズム部34による解析結果に関する情報を、その基になった非可逆ユーザIDおよび測定データと併せて、必要に応じてデータベース部35で記憶保持しておく。
連携サーバ30から解析結果に関する情報を受け取ると、ユーザ端末10では、受け取った情報の内容を、当該ユーザ端末10を使用するユーザに対して表示出力する。ユーザへの表示出力は、既述のように、システム内の他装置(例えば、ホストサーバ20)を介して行うようにしてもよい。これにより、表示出力内容を参照したユーザは、連携サーバ30による解析結果に基づいて、例えば生活習慣を改めるといったように、ユーザの健康増進に寄与する行動をとり得るようになる。
また、連携サーバ30からの解析結果に関する情報は、それだけでもユーザの健康増進に寄与し得るものであるが、ホストサーバ20の第二データベース部26が記憶保持する生活習慣情報と合わせて管理することによって、更なるユーザの健康増進に寄与するものとなり得る。そこで、ユーザ端末10では、連携サーバ30から解析結果に関する情報を受け取ると、ユーザに対する表示出力とは別に、その解析結果に関する情報を通信制御部14がホストサーバ20へ送る(S107)。このとき、ユーザ端末10とホストサーバ20との間はユーザID使用域40であることから、通信制御部14は、解析結果に関する情報について、暗号化ユーザIDを用いてホストサーバ20へのデータ送信を行う。つまり、通信制御部14は、解析結果に関する情報を、情報記憶部15が記憶保持する暗号化ユーザIDと共に、ホストサーバ20へ送るようにする(S107)。
ユーザ端末10から暗号化ユーザID、解析結果に関する情報を受け取ると、ホストサーバ20では、送られてきた暗号化ユーザIDを復号部24が復号して、暗号化前のユーザIDに戻す。そして、そのユーザIDがID管理部21で正規に発行されたものであれば、ユーザ端末10から受け取った解析結果に関する情報を、ユーザIDと対応付けた状態で、データベース部25にて記憶保持する。つまり、データベース部25は、ユーザIDを検索キーとして利用し得る状態で、そのユーザIDによって特定されるユーザに関する解析結果に関する情報を記憶保持する。これにより、そのユーザに関する解析結果に関する情報は、そのユーザの生活習慣情報と同様に、ホストサーバ20で管理されることになる。
ところで、連携サーバ30において、解析アルゴリズム部34が行う測定データの解析処理に際しては、ユーザの生活習慣情報の利用が、その解析処理に役立つことがあり得る。そこで、解析アルゴリズム部34による解析処理に先立ち、ホストサーバ20は、連携サーバ30からの求めに応じて、またはデータベース部25が生活習慣情報を記憶保持した時点で、ユーザの生活習慣情報を連携サーバ30に送るようにする(S108)。このときのデータ送信はユーザ端末10を介さずに行われるが、連携サーバ30の側が非可逆ユーザID使用域50であることを考慮して、ホストサーバ20は、ユーザの生活習慣情報について、暗号化非可逆ユーザIDを用いて連携サーバ30へのデータ送信を行う。つまり、ホストサーバ20から連携サーバ30へのデータ送信に際しては、ユーザの生活習慣情報を、暗号化非可逆ユーザIDと共に、連携サーバ30へ送るようにする(S108)。なお、ホストサーバ20において、非可逆ユーザIDまたは暗号化非可逆ユーザIDは非保存であるが、連携サーバ30へのデータ送信を行う際には、その都度、ID管理部21および暗号化部23から暗号化非可逆ユーザIDを得るようにすればよい。
このようにして送られた生活習慣情報は、連携サーバ30のデータベース部35で記憶保持されて、解析アルゴリズム部34が行う測定データの解析処理に供されることになる。
(3)セキュリティ保護の具体例
次に、本実施形態に係る情報処理システムにおけるセキュリティ保護について、具体例を挙げて説明する。
図4は、本実施形態に係る情報処理システムにおける情報管理状況の一具体例を示す説明図である。
本実施形態に係る情報処理システムは、ネットワーク上に存在する複数のコンピュータ(具体的にはホストサーバ20および連携サーバ30)を連携させて、ユーザ端末10を使用するユーザへの情報処理サービスを提供するように構成されている。そして、情報処理サービスの提供にあたり、上述したように、ユーザ端末10、ホストサーバ20および連携サーバ30の間で、データ授受に関する処理動作を行う。
これにより、システム内では、図4に示すように、ホストサーバ20の第一データベース部25において、ユーザに固有のユーザIDを用いて、各ユーザの個人情報が管理されることになる。さらに、ホストサーバ20または当該ホストサーバ20がアクセス可能な他装置では、第二データベース部26において、ユーザに固有のユーザIDを用いて、解析結果に関する情報や生活習慣情報等といった個人情報以外の各種データが管理されることになる。また、連携サーバ30では、データベース部35において、ユーザに固有の非可逆ユーザIDを用いて、解析結果に関する情報が管理されることになる。
このような情報処理システムにおいて、ホストサーバ20および連携サーバ30は、それぞれの管理主体(例えば管理を行う企業)が異なることが多い。その場合に、ホストサーバ20の管理主体の側から見ると、連携サーバ30の側については、管理(特に、セキュリティの管理)の権能が及ばず、データ漏洩のリスクが生じることになる。
ここで、例えば、連携先でデータ漏洩が発生した場合について考える。
本実施形態に係る情報処理システムでは、システム内にユーザID使用域40と非可逆ユーザID使用域50とを設定している。そして、ユーザID使用域40では暗号化ユーザIDを使用し、非可逆ユーザID使用域50では暗号化非可逆ユーザIDを使用するといったように、ユーザIDと非可逆ユーザIDとのシステム内での使用範囲を明確に区別している。
そのため、連携先でデータ漏洩が発生した場合には、例えば、非可逆ユーザID使用域50で使用する暗号化非可逆ユーザIDと、連携サーバ30に固有の秘密鍵と、が外部に漏れてしまい、これにより非可逆ユーザIDの秘匿性が失われてしまうおそれがある。しかしながら、非可逆ユーザIDの秘匿性が失われた場合であっても、非可逆ユーザIDはハッシュ化された非可逆なものであるが故に、ユーザIDとの間の紐づけが一方通行のものとなり、非可逆ユーザIDからその基になったオリジナルのユーザIDを解明することはできない。
また、ユーザID使用域40と非可逆ユーザID使用域50とを明確に区別していることから、連携先でのデータ漏洩があっても、ユーザID使用域40で使用する暗号化ユーザIDについては外部に漏れてしまうことがない。
このように、本実施形態に係る情報処理システムでは、ユーザID使用域40と非可逆ユーザID使用域50とを明確に区別しつつ、連携先の側を非可逆ユーザID使用域50として非可逆ユーザID(暗号化非可逆ユーザID)を用いるようにすることで、連携先でのデータ漏洩があっても、オリジナルのユーザIDについては解明できないようにしているのである。
したがって、本実施形態に係る情報処理システムでは、連携先でのデータ漏洩があっても、オリジナルのユーザIDを解明できないことから、ホストサーバ20の側で管理している各種データ(特に、各ユーザの個人情報)が誰のものであるか特定されることはない。また、ホストサーバ20の側で管理される個人情報と紐づけされないことから、連携サーバ30の側で管理する各種データについても、どのユーザ個人のものであるか特定されることはない。
つまり、連携サーバ30の側では、データ漏洩があっても、ホストサーバ20の側で局所的に管理している情報であってユーザ個人が具体的に特定される情報(例えば、各ユーザの個人情報)に辿り着くことができない。このことは、連携サーバ30の側では、各ユーザへのサービス提供にあたり、ユーザ個人が具体的に特定される情報を必要としないことを意味する。
以上のように、本実施形態に係る情報処理システムでは、ネットワーク上に存在する複数のコンピュータ(具体的にはホストサーバ20および連携サーバ30)によって提供される複数サービスの連携において、個人情報漏洩のセキュリティリスクを局所化(最小限に)しているのである。したがって、連携サーバ30の側では、ユーザ個人が具体的に特定されるようなリスクから解放されることになる。
その一方で、データ漏洩は、例えば、ホストサーバ20の側で発生することも考えられる。その場合であっても、ユーザID使用域40と非可逆ユーザID使用域50とを明確に区別していることから、データ漏洩によってユーザIDの秘匿性が失われても、非可逆ユーザIDと直ちに紐づけされることがなく、分散された連携サーバ30で管理される各種データがどのユーザ個人のものであるか特定されることがない。
また、ユーザID使用域40と非可逆ユーザID使用域50とにおいて、ユーザIDおよび非可逆ユーザIDをそれぞれ暗号化することで、より一層のセキュリティ向上が図れる。つまり、ユーザID使用域40のホストサーバ20で暗号化ユーザIDのみを受け付けるようにし、非可逆ユーザID使用域50の連携サーバ30で暗号化非可逆ユーザIDのみを受け付けるようにし、しかも、暗号化ユーザIDおよび暗号化非可逆ユーザIDについてはホストサーバ20または連携サーバ30のいずれでも一元管理することなく、各ユーザ端末10のみに分散管理することで、システム全体のセキュリティを向上させることができる。
なお、更なるセキュリティ向上のために、ユーザ端末10、ホストサーバ20および連携サーバ30の間で授受する各種データ、具体的には測定データ、解析結果に関する情報、生活習慣情報等についても、ユーザID使用域40または非可逆ユーザID使用域50のそれぞれに応じて暗号化するようにしてもよい。
また、ホストサーバ20の第一データベース部25で局所的に管理される各ユーザの個人情報以外の各種データについては、ホストサーバ20の第二データベース部26と連携サーバ30のデータベース部35とを用いて、それぞれに分散させて記憶保持すれば、この分散管理によってもシステム全体のセキュリティを向上させることができる。
(4)本実施形態の効果
本実施形態によれば、以下に示す1つまたは複数の効果を奏する。
(a)本実施形態では、情報処理システム内にユーザID使用域40と非可逆ユーザID使用域50とを設定し、ユーザID使用域40では暗号化ユーザIDを用いてデータ授受を行い、非可逆ユーザID使用域50では暗号化非可逆ユーザIDを用いてデータ授受を行うといったように、ユーザIDと非可逆ユーザIDとのシステム内での使用範囲を明確に区別している。したがって、例えば、連携先でデータ漏洩があり、非可逆ユーザIDの秘匿性が失われても、非可逆であるが故に、そこからユーザIDを解明することはできない。これにより、ホストサーバ20の側でユーザに関する各種データ(特に、各ユーザの個人情報)を管理している場合に、連携サーバ30の側でデータ漏洩があっても、そのためにシステム内の各種データがどのユーザ個人のものであるか特定されることはなく、システム内のセキュリティを十分に確保することができる。
(b)本実施形態では、ユーザIDをホストサーバ20に固有の鍵で暗号化してユーザID使用域40でのデータ授受に供するとともに、非可逆ユーザIDを連携サーバ30に固有の鍵で暗号化して非可逆ユーザID使用域50でのデータ授受に供する。このように、ユーザIDおよび非可逆ユーザIDを暗号化することで、より一層のセキュリティ向上が図れる。その際に、ユーザIDと非可逆ユーザIDとを異なる鍵で暗号化するので、例えば連携サーバ30の側でのデータ漏洩があっても、その漏洩内容では暗号化されたユーザIDを復号することができない。また、その漏洩内容によって暗号化された非可逆ユーザIDを復号できても、非可逆であるが故に、そこからユーザIDを解明することはできない。また、ユーザIDおよび非可逆ユーザIDの暗号化によって、ユーザ端末10におけるデータ漏洩時と、ネットワーク上でのデータ通信の際におけるデータ漏洩時とについて、リスク回避が図れるようになる。
(c)本実施形態において、ホストサーバ20は、非可逆ユーザIDを非保存とするように構成されている。つまり、ユーザ端末10への暗号化非可逆ユーザIDの送出後は、ホストサーバ20には、非可逆ユーザIDおよび暗号化非可逆ユーザIDのいずれも残らない。このように、ホストサーバ20に非可逆ユーザIDの痕跡を残さないようにすることで、ホストサーバ20に不正にアクセスされても、非可逆ユーザIDに辿り着かないようにすることができ、システム内のセキュリティを十分に確保する上で非常に好ましいものとなる。
(d)本実施形態において、システム内に複数の連携サーバ30が存在している場合には、各連携サーバ30毎に異なる鍵を用いて暗号化および復号を行う。したがって、複数の連携サーバ30によって多様なサービスを提供するようにシステム構築された場合に、ある連携先でデータ漏洩があっても、その影響が他の連携先に及ぶのを抑制することができ、システム内のセキュリティを十分に確保する上で非常に好ましいものとなる。
<2.第二実施形態>
次に、本開示の第二実施形態を説明する。ただし、ここでは、主に上述した第一実施形態との相違について説明する。
図5は、本実施形態で例に挙げる情報処理システムの概略構成を示す模式図である。図6は、本実施形態に係る情報処理システムにおける情報管理状況の一具体例を示す説明図である。
図5に示すように、本実施形態に係る情報処理システムは、ユーザ端末10、ホストサーバ20および連携サーバ30を少なくとも有している点で上述した第一実施形態の場合と共通するが、第一実施形態の場合とは異なり、ユーザ端末10とホストサーバ20とがデータ授受を行うとともに、ホストサーバ20と連携サーバ30とがデータ授受を行うように構成されている。
このような構成の情報処理システムでは、ユーザ端末10とホストサーバ20との間がユーザID使用域40となり、ホストサーバ20と連携サーバ30との間が非可逆ユーザID使用域50となる。
ユーザ端末10、ホストサーバ20および連携サーバ30の機能構成については、上述した第一実施形態の場合と同様である。
以上のような構成の情報処理システムにおいても、データ授受を行う際の処理動作例は、上述した第一実施形態の場合と同様に行う。
その結果、システム内では、図6に示すように、ホストサーバ20の第一データベース部25において、ユーザに固有のユーザIDを用いて、各ユーザの個人情報が管理されることになる。さらに、ホストサーバ20または当該ホストサーバ20がアクセス可能な他装置では、第二データベース部26において、ユーザに固有のユーザIDを用いて、解析結果に関する情報や生活習慣情報等といった個人情報以外の各種データが管理されることになる。また、連携サーバ30では、データベース部35において、ユーザに固有の非可逆ユーザIDを用いて、解析結果に関する情報が管理されることになる。
したがって、本実施形態においても、上述した第一実施形態の場合と同様に、当該第一実施形態で説明した1つまたは複数の効果を奏する。
<3.変形例>
以上に、本開示の第一実施形態および第二実施形態を具体的に説明したが、本開示は上述の各実施形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。
上述の各実施形態では、ユーザの生体情報に関するデータに対して所定の処理を行う情報処理システムを例に挙げて説明したが、本開示はこのような態様に限定されない。つまり、本開示内容は、複数サーバが連携してサービス提供を行うシステムであれば、上述の各実施形態の場合と全く同様に適用することが可能である。
ただし、上述の各実施形態における情報処理システムは、ユーザの生体情報に関するデータを取り扱う。そのため、当該データをはじめとするユーザに関する各種データ(個人情報等)について、セキュリティが非常に重要視される。その場合であっても、本開示内容の適用によって、システム内のセキュリティを十分に確保できるようになり、その点で非常に有用である。
また、上述の各実施形態では、ユーザID使用域40で暗号化ユーザIDを用い、非可逆ユーザID使用域50で暗号化非可逆ユーザIDを用いる場合を例に挙げて説明したが、本開示はこのような態様に限定されない。例えば、ユーザID使用域40では暗号化しないユーザIDを用い、非可逆ユーザID使用域50では暗号化しない非可逆ユーザIDを用いる場合であっても、ユーザID使用域40と非可逆ユーザID使用域50とを明確に区別することによって、連携先でのデータ漏洩に対してセキュリティを十分に確保することができる。
また、上述の各実施形態では、ホストサーバ20の第一データベース部25において各ユーザの個人情報を管理するとともに、同じホストサーバ20の第二データベース部26において各ユーザの個人情報以外の各種データを管理する場合を例に挙げて説明したが、本開示はこのような態様に限定されない。例えば、ホストサーバ20に第一データベース部25および第二データベース部26を設ける場合であれば、これらを一つのデータベース部として設けてもよい。また、個人情報以外の生活習慣情報等を管理する第二データベース部26については、ホストサーバ20ではなく、当該ホストサーバ20がアクセス可能な他のコンピュータに構築されていても構わない。
また、上述の各実施形態において、ホストサーバ20の第二データベース部26が管理する情報には、ユーザ端末10を介して連携サーバ30から提供されるサービスの結果情報(すなわち、解析アルゴリズム部34での解析処理の結果に関する情報)が含まれる場合を例に挙げて説明したが、本開示はこのような態様に限定されない。例えば、ホストサーバ20の第二データベース部26は連携サーバ30から提供されるサービスの結果情報を保存せず、当該サービスの結果情報が必要な都度、ホストサーバ20が非可逆ユーザID(暗号化非可逆ユーザID)を用いて当該サービスの結果情報を連携サーバ30に問い合わせるように構成されていてもよい。このような構成であれば、ホストサーバ20の側で連携サーバ30による提供データのコピーを保存しないことから、データ漏洩のセキュリティリスクを局所化(最小限に)することが可能となり、その結果としてシステム内のセキュリティ向上が図れるようになる。
<4.本開示の好ましい態様>
以下、本開示の好ましい態様について付記する。
(付記1)
本開示の一態様によれば、
ネットワーク上に存在するユーザ端末、ホストサーバおよび連携サーバの間でデータ授受を行うように構成された情報処理システムであって、
前記ユーザ端末を使用するユーザに固有のユーザIDをハッシュ化して非可逆ユーザIDを得るID管理部と、
前記ユーザIDを用いてデータ授受を行うユーザID使用域と、
前記非可逆ユーザIDを用いてデータ授受を行う非可逆ユーザID使用域と、
を有し、
前記ユーザID使用域は、前記ホストサーバとのデータ授受を行うためのものであり、
前記非可逆ユーザID使用域は、前記連携サーバとのデータ授受を行うためのものである
情報処理システムが提供される。
(付記2)
好ましくは、
前記ユーザIDを前記ホストサーバに固有の鍵で暗号化して前記ユーザID使用域でのデータ授受に供するとともに、前記非可逆ユーザIDを前記連携サーバに固有の鍵で暗号化して前記非可逆ユーザID使用域でのデータ授受に供する暗号化部
を有する付記1に記載の情報処理システムが提供される。
(付記3)
好ましくは、
前記ユーザID使用域でのデータ授受に際して、前記ユーザIDの暗号化を前記ホストサーバに固有の共通鍵または公開鍵で行い、当該暗号化がされたユーザIDの復号を前記ホストサーバに固有の共通鍵または秘密鍵で行う
付記2に記載の情報処理システムが提供される。
(付記4)
好ましくは、
前記非可逆ユーザID使用域でのデータ授受に際して、前記非可逆ユーザIDの暗号化を前記連携サーバに固有の共通鍵または公開鍵で行い、当該暗号化がされた非可逆ユーザIDの復号を前記連携サーバに固有の共通鍵または秘密鍵で行う
付記2または3に記載の情報処理システムが提供される。
(付記5)
好ましくは、
複数の前記連携サーバを有し、各連携サーバ毎に異なる鍵を用いて暗号化および復号を行う
付記2から4のいずれか1態様に記載の情報処理システムが提供される。
(付記6)
好ましくは、
前記ホストサーバは、前記非可逆ユーザIDを非保存とするように構成されている
付記1から5のいずれか1態様に記載の情報処理システムが提供される。
(付記7)
好ましくは、
前記ユーザ端末は、被験者の生体情報を測定する電気化学センサから測定データを取得し、取得した前記測定データを処理するアプリケーション部を有する
付記1から6のいずれか1態様に記載の情報処理システムが提供される。
(付記8)
好ましくは、
前記連携サーバは、被験者の生体情報の測定データに対して所定の解析処理を行い、その解析結果を出力する解析アルゴリズム部を有する
付記1から7のいずれか1態様に記載の情報処理システムが提供される。
(付記9)
好ましくは、
前記ホストサーバは、被験者の個人情報を管理するデータベース部を有する
付記1から8のいずれか1態様に記載の情報処理システムが提供される。
(付記10)
好ましくは、
前記データベース部が管理する情報には、前記ユーザ端末を介して前記連携サーバから提供されるサービスの結果情報が含まれる
付記9に記載の情報処理システムが提供される。
(付記11)
好ましくは、
前記データベース部は、前記ユーザ端末を介して前記連携サーバから提供されるサービスの結果情報を保存せず、
前記ホストサーバは、前記結果情報が必要な都度、前記非可逆ユーザIDを用いて前記結果情報を前記連携サーバに問い合わせるように構成されている
付記9に記載の情報処理システムが提供される。
(付記12)
本開示の他の一態様によれば、
ネットワーク上に存在するユーザ端末、ホストサーバおよび連携サーバの間でデータ授受を行うように構成された情報処理システムで用いられる情報処理方法あって、
前記ユーザ端末を使用するユーザに固有のユーザIDをハッシュ化して非可逆ユーザIDを得て、
前記ユーザIDを用いてデータ授受を行うユーザID使用域を、前記ホストサーバとのデータ授受を行うためのものとして設定し、
前記非可逆ユーザIDを用いてデータ授受を行う非可逆ユーザID使用域を、前記連携サーバとのデータ授受を行うためのものとして設定する
情報処理方法が提供される。
(付記13)
本開示のさらに他の一態様によれば、
ネットワーク上のコンピュータに、
前記ネットワーク上に存在するユーザ端末、ホストサーバおよび連携サーバの間でデータ授受を行う機能と、
前記ユーザ端末を使用するユーザに固有のユーザIDをハッシュ化して非可逆ユーザIDを得る機能と、
前記ユーザIDを用いてデータ授受を行うユーザID使用域を、前記ホストサーバとのデータ授受を行うためのものとして設定する機能と、
前記非可逆ユーザIDを用いてデータ授受を行う非可逆ユーザID使用域を、前記連携サーバとのデータ授受を行うためのものとして設定する機能と、
を実現させるための情報処理プログラムが提供される。
10 ユーザ端末
11 電気化学センサ
12 アプリ部
13 操作指示部
14 通信制御部
15 情報記憶部
16 センサ制御部
20 ホストサーバ
21 ID管理部
22 暗号化部
23 鍵管理部
24 復号部
25 第一データベース部
26 第二データベース部
30 連携サーバ
31 鍵管理部
32 復号部
33 ユーザ認可部
34 解析アルゴリズム部
35 データベース部
40 ユーザID使用域
50 非可逆ユーザID使用域

Claims (13)

  1. ネットワーク上に存在するユーザ端末、ホストサーバおよび連携サーバの間でデータ授受を行うように構成された情報処理システムであって、
    前記ユーザ端末を使用するユーザに固有のユーザIDをハッシュ化して非可逆ユーザIDを得るID管理部と、
    前記ユーザIDを用いてデータ授受を行うユーザID使用域と、
    前記非可逆ユーザIDを用いてデータ授受を行う非可逆ユーザID使用域と、
    を有し、
    前記ユーザID使用域は、前記ホストサーバとのデータ授受を行うためのものであり、
    前記非可逆ユーザID使用域は、前記連携サーバとのデータ授受を行うためのものである
    情報処理システム。
  2. 前記ユーザIDを前記ホストサーバに固有の鍵で暗号化して前記ユーザID使用域でのデータ授受に供するとともに、前記非可逆ユーザIDを前記連携サーバに固有の鍵で暗号化して前記非可逆ユーザID使用域でのデータ授受に供する暗号化部
    を有する請求項1に記載の情報処理システム。
  3. 前記ユーザID使用域でのデータ授受に際して、前記ユーザIDの暗号化を前記ホストサーバに固有の共通鍵または公開鍵で行い、当該暗号化がされたユーザIDの復号を前記ホストサーバに固有の共通鍵または秘密鍵で行う
    請求項2に記載の情報処理システム。
  4. 前記非可逆ユーザID使用域でのデータ授受に際して、前記非可逆ユーザIDの暗号化を前記連携サーバに固有の共通鍵または公開鍵で行い、当該暗号化がされた非可逆ユーザIDの復号を前記連携サーバに固有の共通鍵または秘密鍵で行う
    請求項2または3に記載の情報処理システム。
  5. 複数の前記連携サーバを有し、各連携サーバ毎に異なる鍵を用いて暗号化および復号を行う
    請求項2から4のいずれか1項に記載の情報処理システム。
  6. 前記ホストサーバは、前記非可逆ユーザIDを非保存とするように構成されている
    請求項1から5のいずれか1項に記載の情報処理システム。
  7. 前記ユーザ端末は、被験者の生体情報を測定する電気化学センサから測定データを取得し、取得した前記測定データを処理するアプリケーション部を有する
    請求項1から6のいずれか1項に記載の情報処理システム。
  8. 前記連携サーバは、被験者の生体情報の測定データに対して所定の解析処理を行い、その解析結果を出力する解析アルゴリズム部を有する
    請求項1から7のいずれか1項に記載の情報処理システム。
  9. 前記ホストサーバは、被験者の個人情報を管理するデータベース部を有する
    請求項1から8のいずれか1項に記載の情報処理システム。
  10. 前記データベース部が管理する情報には、前記ユーザ端末を介して前記連携サーバから提供されるサービスの結果情報が含まれる
    請求項9に記載の情報処理システム。
  11. 前記データベース部は、前記ユーザ端末を介して前記連携サーバから提供されるサービスの結果情報を保存せず、
    前記ホストサーバは、前記結果情報が必要な都度、前記非可逆ユーザIDを用いて前記結果情報を前記連携サーバに問い合わせるように構成されている
    請求項9に記載の情報処理システム。
  12. ネットワーク上に存在するユーザ端末、ホストサーバおよび連携サーバの間でデータ授受を行うように構成された情報処理システムで用いられる情報処理方法あって、
    前記ユーザ端末を使用するユーザに固有のユーザIDをハッシュ化して非可逆ユーザIDを得て、
    前記ユーザIDを用いてデータ授受を行うユーザID使用域を、前記ホストサーバとのデータ授受を行うためのものとして設定し、
    前記非可逆ユーザIDを用いてデータ授受を行う非可逆ユーザID使用域を、前記連携サーバとのデータ授受を行うためのものとして設定する
    情報処理方法。
  13. ネットワーク上のコンピュータに、
    前記ネットワーク上に存在するユーザ端末、ホストサーバおよび連携サーバの間でデータ授受を行う機能と、
    前記ユーザ端末を使用するユーザに固有のユーザIDをハッシュ化して非可逆ユーザIDを得る機能と、
    前記ユーザIDを用いてデータ授受を行うユーザID使用域を、前記ホストサーバとのデータ授受を行うためのものとして設定する機能と、
    前記非可逆ユーザIDを用いてデータ授受を行う非可逆ユーザID使用域を、前記連携サーバとのデータ授受を行うためのものとして設定する機能と、
    を実現させるための情報処理プログラム。
JP2021100904A 2021-06-17 2021-06-17 情報処理システム、情報処理方法および情報処理プログラム Pending JP2023000212A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2021100904A JP2023000212A (ja) 2021-06-17 2021-06-17 情報処理システム、情報処理方法および情報処理プログラム
PCT/JP2022/001508 WO2022264470A1 (ja) 2021-06-17 2022-01-18 情報処理システム、情報処理方法および情報処理プログラム
JP2022175981A JP7262866B2 (ja) 2021-06-17 2022-11-02 情報処理システム、情報処理方法および情報処理プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021100904A JP2023000212A (ja) 2021-06-17 2021-06-17 情報処理システム、情報処理方法および情報処理プログラム

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2022175981A Division JP7262866B2 (ja) 2021-06-17 2022-11-02 情報処理システム、情報処理方法および情報処理プログラム

Publications (1)

Publication Number Publication Date
JP2023000212A true JP2023000212A (ja) 2023-01-04

Family

ID=84526022

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021100904A Pending JP2023000212A (ja) 2021-06-17 2021-06-17 情報処理システム、情報処理方法および情報処理プログラム

Country Status (2)

Country Link
JP (1) JP2023000212A (ja)
WO (1) WO2022264470A1 (ja)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003296637A (ja) * 2002-04-05 2003-10-17 Ntt Data Corp ユーザの個人情報を秘匿しつつサプライヤに対して物品又はサービスを要求することができるシステム
JP2006323791A (ja) * 2005-05-20 2006-11-30 Hightech Supply Kk 健康弁当提供方法及び健康弁当提供システム
JP5403725B2 (ja) * 2006-11-14 2014-01-29 独立行政法人産業技術総合研究所 サーバによるサービス提供システムおよびサービス提供方法
KR20230118194A (ko) * 2016-06-28 2023-08-10 하트플로우, 인크. 지리적 지역들에 걸친 분석용 건강 데이터를 수정 및 편집하기 위한 시스템 및 방법

Also Published As

Publication number Publication date
WO2022264470A1 (ja) 2022-12-22

Similar Documents

Publication Publication Date Title
US11023604B1 (en) Systems and methods to track, store, and manage events, rights and liabilities
Neubauer et al. A methodology for the pseudonymization of medical data
US20190097812A1 (en) Architecture and Methods for Self-Sovereign Digital identity
Fabian et al. Collaborative and secure sharing of healthcare data in multi-clouds
US11983298B2 (en) Computer system and method of operating same for handling anonymous data
CN100458810C (zh) 保护蓝牙设备的方法及系统
JP2019176458A (ja) 複数のブロックチェーンに基づいたデータ共有方法
US9946896B2 (en) Attribute information provision method and attribute information provision system
US8607332B2 (en) System and method for the anonymisation of sensitive personal data and method of obtaining such data
US20040172293A1 (en) Method for identifying and communicating with potential clinical trial participants
KR101528785B1 (ko) 개인정보 소유자의 동의를 기반으로 하는 개인정보 보호시스템 및 그 방법
US20140156988A1 (en) Medical emergency-response data management mechanism on wide-area distributed medical information network
JP2020129760A (ja) 分散データ管理システムおよびそのプログラム
CN110135175A (zh) 基于区块链的信息处理、获取方法、装置、设备及介质
Alkhushyni et al. Blockchain technology applied to electronic health records
KR20170052151A (ko) IoT 데이터를 관리하는 장치, 방법 및 컴퓨터 프로그램
Satybaldy et al. Decentralized identity management for E-health applications: State-of-the-art and guidance for future work
US8650275B2 (en) Requester-side distributed ID management device, provider-side distributed ID management device, distributed ID management system, and provider-side distributed ID management method
CN102057379A (zh) 保健数据处理的方法和系统
WO2024104901A1 (en) Method and system for re-associating anonymised data with a data owner
KR20160040399A (ko) 개인정보 관리 시스템 및 개인정보 관리 방법
JP7262866B2 (ja) 情報処理システム、情報処理方法および情報処理プログラム
WO2022264470A1 (ja) 情報処理システム、情報処理方法および情報処理プログラム
Gabel et al. Privacy patterns for pseudonymity
CN116150803A (zh) 一种敏感数据管理方法及系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240304

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240910