JP2023085088A - 情報処理装置、情報処理方法及びコンピュータプログラム - Google Patents

情報処理装置、情報処理方法及びコンピュータプログラム Download PDF

Info

Publication number
JP2023085088A
JP2023085088A JP2021199582A JP2021199582A JP2023085088A JP 2023085088 A JP2023085088 A JP 2023085088A JP 2021199582 A JP2021199582 A JP 2021199582A JP 2021199582 A JP2021199582 A JP 2021199582A JP 2023085088 A JP2023085088 A JP 2023085088A
Authority
JP
Japan
Prior art keywords
record
consent
data
log
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021199582A
Other languages
English (en)
Inventor
智子 米村
Tomoko Yonemura
つかさ 小美濃
Tsukasa Omino
みさき 小松
Misaki Komatsu
嘉一 花谷
Kiichi Hanatani
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2021199582A priority Critical patent/JP2023085088A/ja
Priority to US17/903,475 priority patent/US20230177207A1/en
Publication of JP2023085088A publication Critical patent/JP2023085088A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

【課題】記録に示される処理が適正に実行されているか検証可能にする。【解決手段】本実施形態に係る情報処理装置は、データに対する処理に関する記録及びデータに対する処理の同意に関する記録の少なくとも一方を保持する第1記憶システムから前記記録を取得し、前記処理及び前記同意の少なくとも一方に関連して行われる動作のログを保持する第2記憶システムから前記ログを取得し、取得した前記ログに基づき、取得した前記記録に関する整合性を検証する、処理部、を備える。【選択図】図1

Description

本実施形態は、情報処理装置、情報処理方法及びコンピュータプログラムに関する。
個人情報の保護に関する法律(以下、個人情報保護法)により個人情報取扱事業者は、個人情報(要配慮個人情報を含む)の取得、利用等に当たって、その利用目的、個人データの第三者への提供及び第三者からの受領に関して、本人、つまり、個人データの所有者の同意をあらかじめ得ることが求められる。例えば、個人情報取扱事業者は、当該同意に関する記録を作成し、所有者の同意を要する処理を実行する際に、当該同意の有無を確認する。
個人データの提供の流れをトレース可能にするために、個人情報取扱事業者が第三者へ個人データを提供する際には、当該提供に関する記録を作成して一定期間保存することが求められる。例えば、個人情報取扱事業者は、個人データを提供したことを、所有者の名称、所有者の同意、個人データの項目、提供先の第三者の名称などとともに記録する。また、個人データを提供された第三者である個人情報取扱事業者は、提供された個人データを提供元の個人情報取扱事業者が取得した経緯を確認し、受領に関する記録を作成して一定期間保存することが求められる。例えば、個人データを提供された第三者、言い換えれば、個人データの利用者は、提供元の個人情報取扱事業者の名称と、提供された個人データを提供元の個人情報取扱事業者が取得した経緯とを確認し、確認した情報とともに個人データを受領したことを記録する。
個人データに対して行われた処理を検証可能にするために、個人情報取扱事象者が、提供に関する記録(提供記録)と受領に関する記録(受領記録)の他にも、例えば、個人データの取得に関する記録(取得記録)、生成(例えば個人データを処理して生成されるデータ)に関する記録(生成記録)、削除に関する記録(削除記録)を作成して一定期間保存することが行われている。これらの記録を総称して、処理に関する記録と言う。個人情報取扱事業者による個人データの処理が記録に示される通りに実際に行われているか、すなわち、処理に関する記録が個人情報取扱事業者の処理実行を反映しているかを所有者又は監査者により検証する仕組みが必要であるが、このような仕組みは現状存在しない。
特開2021-48546号公報
本実施形態は、記録に示される処理が適正に実行されているかを検証可能にする情報処理装置、情報処理方法及びコンピュータプログラムを提供する。
本実施形態に係る情報処理装置は、データに対する処理に関する記録及びデータに対する処理の同意に関する記録の少なくとも一方を保持する第1記憶システムから前記記録を取得し、前記処理及び前記同意の少なくとも一方に関連して行われる動作のログを保持する第2記憶システムから前記ログを取得し、取得した前記ログに基づき、取得した前記記録に関する整合性を検証する、処理部、を備える。
第1の実施形態に係るデータ管理システムの全体構成図。 個人データとその属性情報の例を示す図。 データの種別及び詳細の例、事業者識別子の例、データの処理の目的の識別子(目的識別子)の例、同意情報の撤回時の取り扱いに関する撤回識別子の例を示す図。 個人データの属性情報、要求情報及び同意情報の例を示す図。 個人データの属性情報、要求情報及び同意情報の他の例を示す図 個人データの属性情報、要求情報及び同意情報のさらに他の例を示す図。 提供の記録の例と、受領の記録の例とを示す図。 解析結果データ(生成データ)の属性情報の例と、解析の記録の例とを示す図。 取得の記録の一例を示す図。 第1の実施形態に係る処理の一例のフローチャート。 データアクセスログの例を示す図。 削除の記録の例を示す図。 第1の実施形態に係る通信ログの例を示す図。 第1の実施形態に係る通信ログの他の例を示す図。 実施形態1-3に係る動作の一例のフローチャート。 同意情報(同意の撤回情報)の例を示す図。 第1の実施形態に係る認証ログの一例を示す図。 第2の実施形態に係るデータ管理システムの全体構成図。 第2の実施形態に係る対応表の例を示す図。 所有者識別子2を仮名にした対応表の例を示す図。 第2の実施形態に係る検証装置の動作の一例のフローチャート。 第2の実施形態に係るデータアクセスログの他の例を示す図。 第2の実施形態に係る通信ログの例を示す図。 第3の実施形態に関するデータ管理システムの一例を示すブロック図。 第3の実施形態に係るブロックチェーンの一例を示す図。 図25に続く図。 第3の実施形態に係る検証装置の動作の一例のフローチャート。 第3の実施形態に係るデータアクセスログの例を示す図。 第3の実施形態に係る通信ログの例を示す図。 第3の実施形態に係る認証ログの一例を示す図。 検証装置(情報処理装置)のハードウェア構成を示す図。
以下、図面を参照しながら、本発明の実施形態について説明する。図面において同一の要素には同一の符号を付し、変更又は拡張された処理を除き、説明を適宜省略する。
(第1の実施形態)
<実施形態1-1>
図1は、第1の実施形態に係る情報処理システムであるデータ管理システムの全体構成図である。図1のデータ管理システムは、本実施形態に係る情報処理装置である検証装置1と、データ管理装置101と、同意情報・履歴情報記憶システム201(以下、第1記憶システム201と記載する)、データ送信元装置301、データ受信先装置401、所有者装置501と、第2記憶システム601とを備えている。
検証装置1は、通信ネットワークを介して、第1記憶システム201と第2記憶システム601とに接続されている。データ管理装置101は、通信ネットワークを介して、第1記憶システム201、データ送信元装置301、データ受信先装置401、第2記憶システム601と接続されている。データ管理装置101が、通信ネットワークを介して所有者装置501と接続されていてもよい。所有者装置501は、通信ネットワークを介して、第1記憶システム201と接続されている。データ送信元装置301及びデータ受信先装置401が、通信ネットワークを介して、第1記憶システム201に接続されていてもよい。各通信ネットワークは、インターネット又はモバイルネットワーク等のワイドエリアネットワークでも、イーサネット又は無線LAN(Local Area Network)等のローカルエリアネットワークでもよいし、シリアル通信ケーブル等のケーブルでもよい。データ管理装置101は、一例としてCPU(Central Processing Unit)等のプロセッサ及びメモリ等を含むコンピュータにより構成される。
データ管理装置101は、データ管理装置101を管理する事業者の装置やシステム、データ送信元装置301、データ受信先装置401、所有者装置501から、ある個人に関するデータに対して処理を行うことを要求する要求情報を受信する。データ送信元装置301又はデータ受信先装置401からデータ管理装置101への要求情報の送信は、データ管理装置101を管理する事業者の装置やシステム又は所有者装置501が、データ送信元装置301又はデータ受信先装置401に要求情報の送信を要求することで行われることもある。個人に関するデータは、一例として、個人データ、個人データを解析した解析結果データ(個人データに基づき生成されたデータ)等である。以下では、単にデータと記述した場合、個人に関するデータを意味し、個人データでも、解析結果データなどいずれでもよい。要求情報は、例えば他の事業者へのデータの提供、データの利用(解析等)、又は、個人からのデータの取得等を要求する情報である。他の事業者へのデータの提供は、当該他の事業者から見ればデータの受領及び保有(保管)の少なくとも一方を意味する。したがって、データの提供の要求は、データの受領及び保有(保管)の少なくとも一方の要求を含んでいる。データ管理装置101は、個人が当該個人のデータに処理を行うことに同意する同意条件を含む同意情報(同意に関する記録)を第1記憶システム201から取得する。データ管理装置101は、取得した同意情報と要求情報とに基づき、データに対する処理の実行可否を判定する。データ管理装置101は、実行可否の判定結果に応じて、データに対し処理を行う。データ管理装置101は、処理を行った場合に、処理の内容等を示す記録を作成し、記録を第1記憶システム201に登録する。
所有者装置501は、個人データの所有者である個人が操作する装置である。所有者装置501は、一例としてノート型又はデスクトップ型のパーソナルコンピュータ(PC)、スマートフォン、タブレット端末等である。個人は、所有者装置501から第1記憶システム201に1つ以上の同意情報を登録することができる。また個人は所有者装置501から個人データをデータ管理装置101に送信することができる。すなわち、データ管理装置101が所有者装置501から個人データを受信(取得)することができる。
第1記憶システム201は、1人以上の個人の同意情報を記憶している。また第1記憶システム201はデータ管理装置101で行われた処理の内容等を示す記録の履歴を記憶している。第1記憶システム201は、情報を記憶可能なシステムである。第1記憶システム201のうち同意情報を記憶する部分は同意情報記憶部に対応し、記録の履歴を記憶する部分は記録記憶部に対応する。第1記憶システム201は、一例として、ブロックチェーンシステム、又はデータベースである。第1記憶システム201がブロックチェーンシステムの場合、同意情報と記録とがそれぞれトランザクションとして同じブロックチェーンで管理されてもよいし、別々のブロックチェーンシステムで管理されてもよい。第1記憶システム201がデータベースの場合も、同意情報と記録とがそれぞれ同じデータベースで管理されてもよいし、別々のデータベースで管理されてもよい。
データ送信元装置301は、個人データ等のデータの処理(提供、利用(解析等)、取得等)をデータ管理装置101に要求する装置である。または、データ送信元装置301は、データの処理に関する要求を、データ管理装置101を管理する事業者の装置やシステム(図示のデータ管理装置101以外の装置やシステム)又は所有者装置501から受信してもよい。データ送信元装置301は、当該要求に基づいて、データ管理装置101にデータの処理を要求してもよい。データ送信元装置301は、一例としてデータ送信元装置301を管理する事業者に従事する職員(ユーザ)によって操作される。データ送信元装置301は、要求情報をデータ管理装置101に送信する。または、データ送信元装置301は、要求を受信し、要求に応じて、要求情報をデータ管理装置101に送信する。要求情報の種類に応じて、処理を行う対象となるデータもデータ管理装置101に送信する。データ送信元装置301がデータ管理装置101とは異なる他のデータ管理装置(データ管理装置101と同等の構成を有する装置)であってもよい。データ管理装置101を管理する事業者とデータ送信元装置301を管理する事業者が同一の事業者であってもよい。データ管理装置101を管理する事業者とデータ送信元装置301を管理する事業者が異なる事業者であってもよい。データ送信元装置301が所有者装置501と同一のこともあり得る。
データ受信先装置401は、データ(個人データ又は解析結果データ等)をデータ管理装置101から受信する装置である。データ受信先装置401は、データの処理(提供、利用(解析等)等)の要求を、データ管理装置101を管理する事業者の装置やシステム(図示のデータ管理装置101以外の装置やシステム)又は所有者装置501から受信してもよい。データ受信先装置401は、当該要求に基づいて、データ管理装置101にデータの処理を要求してもよい。データ受信先装置401は、個人データ等のデータの処理(提供、利用(解析等)、取得等)をデータ管理装置101に要求する場合もある。データ受信先装置401は、一例としてデータ受信先装置401を管理する事業者に従事する職員(ユーザ)によって操作される。データ受信先装置401は、要求情報をデータ管理装置101に送信してもよい。または、データ受信先装置401は、要求を受信し、要求に応じて要求情報をデータ管理装置101に送信してもよい。データ受信先装置401は、データをデータ管理装置101から受信する。データ受信先装置401がデータ管理装置101とは異なる他のデータ管理装置(データ管理装置101と同等の構成を有する装置)でもよい。データ管理装置101を管理する事業者とデータ受信先装置401を管理する事業者が同一の事業者であってもよい。データ管理装置101を管理する事業者とデータ受信先装置401を管理する事業者が異なる事業者であってもよい。
データ受信先装置401の事業者とデータ送信元装置301の事業者が同一であってもよい。また、データ受信先装置401とデータ送信元装置301が同一の装置であってもよい。また、データ管理装置101の事業者が、データ送信元装置301の事業者及びデータ受信先装置401の少なくとも一方の事業者と同一であってもよい。
以下、「個人データ」、「同意情報」、「要求情報」ついて説明する。
図2は、個人データとその属性情報の例として、個人データ1及び属性情報1を示す。属性情報は個人データの1つ又は複数の属性を含む。個人データ1の属性情報が属性情報1である。属性情報1は、データの所有者識別子、データ種別(種別)と、1つ以上のデータ詳細(詳細)を含む。詳細を含まない場合もあり得る。図2の例では詳細1、詳細2、詳細3が示される。
所有者識別子は、データの所有者(個人)に振られる識別子である。本実施形態において所有者識別子は、データ管理装置101、第1記憶システム201、第2記憶システム601、データ送信元装置301、データ受信先装置401及び検証装置1で共通の値が用いられる。種別及び詳細の値は、識別子、文字列、日付型データ又は数値等である。
図3(A)は、データの種別及び詳細の例を示す。種別はデータ種別識別子、詳細はデータ詳細識別子で表される。データ種別識別子T0001はヘルスケアデータを示す。T0001はデータ詳細識別子D0001、D0002、D0003に関連付けられている。D0001、D0002、D0003は、それぞれ体温、体重、歩数を表す。
上述の図2の例では、詳細1の値が、D0001である。詳細2は日付、詳細3は任意の数値(例えばインデックス番号等)である。図2の個人データ1は、所有者識別子U000001の個人の2020年8月における各日の体温の値を含む。
図3(B)は、事業者識別子の例を示す。図3(C)は、データの処理の目的の識別子(目的識別子)の例を示す。図3(D)は、同意情報の撤回時の取り扱いに関する撤回識別子の例を示す。図3(B)~図3(D)の情報は後述する同意情報及び要求情報等で用いられる。
次に、同意情報について説明する。同意情報は、同意情報識別子、所有者識別子、データ種別(種別)、詳細、1つ以上の事業者、同意対象の事象、当該事象に対する同意状態(同意/不同意)、同意期間、撤回時の取り扱い、同意日時等を含む。詳細を含まない場合もある。
図4の右は、同意情報の例として、同意情報7(間接取得同意)を示す。同意情報7は、同意情報識別子、所有者識別子、種別、詳細、提供事業者、受領事業者、同意対象の事象、同意対象への同意状態(同意/不同意)、同意期間、撤回時の取り扱い、同意日時等を含む。同意情報が詳細を含まない場合もあり得る。同意対象の事象は、例えば、受領事業者によるデータ受領、受領事業者によるデータ保有、受領又は保有による目的への利用、同意情報と記録との保存である。受領事業者はデータを受領する事業者であり、受け取ったデータを保有又は保存することもある。同意情報識別子は、同意情報を識別する情報である。
図5の右は、同意情報の他の例として、同意情報3(直接取得同意)を示す。同意情報3は、同意情報識別子、所有者識別子、種別、詳細、取得事業者、同意対象の事象、同意対象への同意状態(同意/不同意)、同意期間、撤回時の取り扱い、同意日時等を含む。同意情報は詳細を含まない場合もあり得る。同意対象の事象は例えば、取得事業者によるデータ取得、取得事業者によるデータ保有(保存)、取得する目的への利用、同意情報と記録との保存がある。取得事業者は個人のデータを個人の所有者装置501やデータ送信元装置301から取得する事業者であり、図の例ではデータ管理装置101の事業者(C001)である。
次に、要求情報について説明する。要求情報は、データ管理装置101に処理の要求を行う情報である。要求の種類は、一例として、提供、利用(解析等)、取得がある。
図4の中央は、要求の種類が提供の場合の要求情報の例として要求情報1を示す。要求の種類が提供の場合、要求情報は、所有者識別子、データ種別(種別)、詳細、提供事業者、受領事業者、1つ以上の受領事業者の受領及び保有(保存)の目的、を含む。要求情報1が詳細を含まない場合もある。提供は、提供先の事業者に受領と保有(保存)を要求する。
図5の中央は、要求の種類が取得の場合の要求情報の例として要求情報2を示す。要求の種類が取得の場合、要求情報は、所有者識別子、データ種別(種別)、詳細、取得事業者、1つ以上の取得事業者の取得の目的、を含む。要求情報2が詳細を含まない場合もあり得る。
図6の中央は、要求の種類が利用の場合の要求情報の例として要求情報3を示す。要求の種類が利用の場合、要求情報は、所有者識別子、データ種別(種別)、詳細、利用事業者(図の例では解析事業者)、1つ以上の利用事業者(図の例では解析事業者)のデータの利用の目的、を含む。要求情報3が詳細を含まない場合もあり得る。データの利用とはデータ(第1データ)に何らかの処理を行い新たなデータ(第2データ)を生成することを含む。例えばヘルスケアデータを解析して、健康状態に関する解析結果データを生成することがある。
以下、データ管理装置101の各部について説明する。データ管理装置101は、データ保管部11と、同意情報取得部12と、判定処理部13と、履歴登録部14と、入力部15と、出力部16と、データ解析部17と、を備える。データ管理装置101が備える要素はこれらに限定されず、例えば、情報又は指示を入力する入力インタフェース、情報又はデータを表示する表示装置等の出力インタフェースを備えていてもよい。
入力部15は、データ送信元装置301又はデータ受信先装置401又は所有者装置501又はデータ管理装置101を管理する事業者の装置やシステムから処理(提供、利用(解析等)、又は取得等)を要求する要求情報を受信し、受信した要求情報を判定処理部13に送る。入力部15は、要求情報を受信する受信部の一例である。また、入力部15は、データ送信元装置301から個人に関するデータ(個人データ等)を受信し、受信したデータをデータ保管部11に送る。上述したように、入力部15はデータ送信元装置301以外の装置から要求情報及びデータの少なくとも一方を受信してもよい。例えばデータ管理装置101の管理者が操作する装置又は所有者装置501等から、要求情報及びデータの少なくとも一方を受信してもよい。
判定処理部13は、入力部15から要求情報を受け取り、受け取った要求情報に基づき同意情報を取得する指示を同意情報取得部12に送る。
同意情報取得部12は、要求情報に基づき所有者識別子が一致する同意情報の読み出しを第1記憶システム201に依頼し、第1記憶システム201から同意情報を受け取る。同意情報取得部12は、最新の同意情報(例えば最新の同意日付の同意情報)だけを第1記憶システム201から受け取ってもよい。また同意情報取得部12は、全て又は一定期間の全ての同意情報を受け取ってもよい。また、所有者識別子が一致する全ての同意情報を受け取ってもよい。要求情報のうち所有者識別子に加え、他の1つ以上の項目が一致する同意情報を受け取ってもよい。
判定処理部13は、同意情報取得部12によって取得された同意情報を受け取り、要求情報が同意情報を満たすかに応じて、要求情報によって要求された処理の実行可否を判定する。判定処理部13は、判定結果を示す情報をデータ保管部11と出力部16とに送る。
判定処理部13による判定方法の第1例を、前述した図4を用いて説明する。
要求情報が図4の要求情報1であるとする。要求情報1の所有者識別子、種別、詳細、提供事業者、受領事業者、受領事業者の受領(又は保有)の目的等の比較項目が一致する同意情報を特定する。目的については、同意情報の目的が要求情報1の目的を含んでいればよく、要求情報1に存在しない目的が同意情報に含まれていてもよい。特定した同意情報において、受領事業者によるデータ受領への同意状態、受領事業者によるデータ保有(データ保存)への同意状態、要求情報1に含まれる目的への同意状態がすべて「同意」であるとき、要求情報1は同意情報を満たす。要求情報1に存在しない目的が同意情報において不同意であってもよい。特定した同意情報が複数あるときは、最新の同意情報を対象として、各同意状態を判断する。要求情報1が同意情報を満たすとき、要求情報1によって要求された処理は実行可能であると判定される。図4の同意情報7は、要求情報1が満たす同意情報である。従って、同意情報7が取得された場合は、要求情報1によって要求された処理は実行可能であると判定される。要求情報1が満たす同意情報が無い場合は、要求情報1によって要求された処理の実行は不可と判定される。例えば、比較項目が一致する同意情報がある場合であっても、同意状態が「不同意」になっていた場合、処理の実行は不可と判定される。最新か否かは、一例として、同意情報に含まれる同意日付(同意日時)から判断することができる。あるいは、第1記憶システム201に登録する同意情報にタイムスタンプをつけ、タイムスタンプで判断してもよい。
判定処理部13による判定方法の第2の例を、前述した図6を用いて説明する。図6に示した要求情報3の要求の種類は利用である。要求情報3の所有者識別子、種別、詳細の全てが一致し、要求情報3の利用事業者(本例では解析事業者)が同意情報の利用者事業者と一致し、要求情報3の事業者の利用の目的と一致する目的を含む同意情報を特定する。目的については、同意情報の目的が要求情報3の目的を含んでいればよく、要求情報3に存在しない目的が同意情報に含まれていてもよい。特定した同意情報において、要求情報3に含まれる目的への利用への同意状態がすべて「同意」であるとき、要求情報3が同意情報を満たす。要求情報3に存在しない目的が同意情報で不同意になっていてもよい。特定した同意情報が複数あるときは、最新の同意情報を対象として、各同意状態を判断する。要求情報3が同意情報を満たすとき、要求情報3によって要求された処理は実行可能と判定される。上述した図6の同意情報7は要求情報3が満たす同意情報である。要求情報3を満たす同意情報が無い場合は、要求情報3によって要求された処理の実行は不可と判定される。例えば、比較項目が一致する同意情報がある場合であっても、同意状態が「不同意」になっていた場合、処理の実行は不可と判定される。
判定処理部13による判定方法の第3の例を、前述した図5を用いて説明する。図5に示した要求情報2の要求の種類は取得である。要求情報2の所有者識別子、種別、詳細の全てが一致し、要求情報2の取得事業者(本例ではデータ管理装置101の事業者)が同意情報の取得事業者と一致し、要求情報2の取得事業者の取得の目的と一致する目的を含む同意情報を特定する。目的については、同意情報が要求情報2の目的について同意していればよく、要求情報2に存在しない目的に対して不同意であってもよい。特定した同意情報において、要求情報2に含まれる目的への同意状態がすべて「同意」であるとき、要求情報2が同意情報を満たす。特定した同意情報が複数あるときは、最新の同意情報を対象として、各同意状態を判断する。要求情報2が同意情報を満たすとき、要求情報2によって要求された処理は実行可能と判定される。上述した図5の同意情報3は要求情報2が満たす同意情報である。要求情報2を満たす同意情報が無い場合は、要求情報2によって要求された処理の実行は不可と判定される。例えば、比較項目が一致する同意情報がある場合であっても、同意状態が「不同意」になっていた場合、処理の実行は不可と判定される。
データ保管部11は、要求情報が処理としてデータ(例えば個人データ)のデータ管理装置101への提供(データ管理装置101によるデータの保管及び受領)を要求する場合に、入力部15から保管対象となるデータを受け取る。判定処理部13による判定結果が処理の実行可を示す場合は、データを内部の記憶部に保管する。実行不可の場合はデータを削除する。入力部15は、判定処理部13により処理の実行可が判定された後に、データ送信元装置301からデータを受信してもよい。この場合、処理が実行不可と判定された場合にはデータを受け取らないため、データを削除する動作が不要になる。
データ保管部11は、要求情報が処理としてデータ(例えば個人データ)をデータ受信先装置401へ提供(送信)することを要求する場合、判定処理部13により当該処理の実行可が決定された後、該当データを内部の記憶部から読み出す。データ保管部11は、データを、出力部16を経由して、データ受信先装置401へ送信する。なおデータの送信先がデータ受信先装置401以外の装置である場合もあり得る。
データ保管部11は、要求情報が処理としてデータ(例えば個人データ)の利用(例えば解析)を要求する場合は、判定処理部13により処理の実行可が判定された後に、解析対象となる1つ以上のデータを内部の記憶部から読み出して、データ解析部17に送る。
データ解析部17は、当該データに対して所定の解析を行い、解析結果データをデータ保管部11に送る。解析結果データは属性情報を含み、属性情報は解析結果データの複数の属性を含む。データ保管部11は、解析結果データを内部の記憶部に記憶する。データの解析要求が解析データの提供の要求を含む場合は、データ保管部11は、解析結果データを出力部16に送る。
出力部16は、判定処理部13による処理の実行可否の判定結果を、要求情報の送信元であるデータ送信元装置301又はデータ受信先装置401に送信する。判定結果を、要求情報の送信元である所有者装置501又はデータ管理装置101を管理する事業者の装置やシステムに送信してもよい。また、出力部16は、データ保管部11から受け取ったデータ(個人データ、解析結果データ等)を、受領事業者、利用者事業者又は取得事業者等として指定された事業者のデータ受信先装置401に送信する。なお、利用者事業者又は取得事業者がデータ管理装置101の事業者であり、データ送信元装置301又はデータ受信先装置401がデータ管理装置101と同じ装置である場合は、送信は不要である。出力部16は、判定結果又はデータ等を送信する送信部の一例である。
履歴登録部14は、データ保管部11により行われた処理の履歴の記録をするため、処理の内容を示す記録を生成する。記録は属性情報を含み、属性情報は記録の複数の属性を含む。処理の例としては、データ(個人データ又は解析結果データ等)の提供、利用(解析等)、取得等がある。データを受領する事業者が存在する場合、受領の記録を生成してもよい。履歴登録部14は、記録を第1記憶システム201に送る。第1記憶システム201は、受け取った記録を内部に登録する。記録は監査に用いてもよい。
図4及び図7を用いて、記録の生成の具体例を説明する。
図4は、個人データの属性情報、要求情報及び同意情報の例として、属性情報2、要求情報1及び同意情報7を示す。要求情報1は、属性情報2の個人データを事業者C002(提供事業者)から事業者C001(受領事業者)に提供することを要求し、要求情報1は同意情報7を満たしている。
図7の左は、提供の記録の一例を示す。提供の記録は、記録識別子、記録の種類(本例では“提供”)、第1記憶システム201に記録を行った記録事業者(提供事業者)、受領事業者の名称、同意情報識別子、個人データを特定する情報(所有者識別子、種別、詳細等)、日時(提供年月日)を含む。データ管理装置101の履歴登録部14は、個人データが提供された後、提供の記録を生成する。
図7の右は、受領の記録の一例を示す。受領の記録は、記録識別子、記録の種類(本例では“受領”)、第1記憶システム201に記録を行った記録事業者(受領事業者)、提供事業者の名称、同意情報識別子、取得の経緯、データを特定する情報(データの属性)、提供年月日を含む。取得の経緯は、提供者が個人データをどのように取得したのかの情報を含む文書1を指定する。文書1は、例えば、個人データの売買契約書、取得の経緯が示されている契約書、取得の経緯が示されている提供者のウェブサイト、提供者が本人の同意を得ていることを誓約する書面、又は同意情報等である。個人データを受領した事業者C001の装置(本例ではデータ管理装置101)が、個人データの受領(保管)の記録を生成し、第1記憶システム201に記録を登録する。
データ管理装置101の事業者が提供事業者の場合、データ管理装置101が提供の記録を作成して第1記憶システム201に登録する。そして、受領事業者の装置(例えばデータ受信先装置401の事業者)が受領の記録を作成して、受領事業者の装置で保存する。あるいは、受領事業者の装置が記録を第1記憶システム201に記録を登録してもよい。すなわち、第1記憶システム201を事業者間で共有して、提供事業者と受領事業者で同一の第1記憶システム201に記録を登録してもよい。一方、データ管理装置101の事業者が受領事業者の場合、データ管理装置101が受領の記録を作成して第1記憶システム201に登録する。そして、提供事業者の装置(例えばデータ送信元装置301の事業者)が提供の記録を作成して、提供事業者の装置で保存する。あるいは、提供事業者の装置が記録を第1記憶システム201に記録を登録してもよい。
図6及び図8を用いて、記録の他の具体例を説明する。
図6は、個人データの属性情報、要求情報及び同意情報の例として、属性情報2、要求情報3及び同意情報7を示す。要求情報3は、属性情報2の個人データを事業者C001(保有事業者)が利用(ここでは解析を想定)することを要求し、要求情報3は同意情報7を満たしている。
データ管理装置101の履歴登録部14は、データ解析部17によるデータ解析結果に基づき、解析の記録を生成する。より詳細には、データ管理装置101(事業者C001)のデータ解析部17は、属性情報2を有する個人データを解析し、解析結果データを生成する。解析結果データはデータの利用により生成されるデータ(生成データ)の一例である。解析結果データ(生成データ)はデータ本体と属性情報とを含む。解析結果データはデータ保管部11で保管される。履歴登録部14は、解析結果データに基づき、利用(ここでは解析)の記録を作成する。
図8の左は、解析結果データ(生成データ)の属性情報の例として属性情報3を示す。図8の右は、解析の記録の一例を示す。解析の記録は、記録識別子、記録の種類(本例では“生成”)、第1記憶システム201に記録を行った記録事業者(解析事業者)、同意情報識別子、1つ以上の利用したデータを特定する情報(利用データ所有者識別子、利用データ種別、利用データ詳細等。本例では属性情報2の情報)、生成データを特定する情報(生成データ所有者識別子、生成データ種別、生成データ詳細、生成データが生成された日時)を含む。生成データを特定する情報は本例では属性情報3に相当する。
図5及び図9を用いて、記録の他の具体例を説明する。
図5は、個人データの属性情報、要求情報及び同意情報の例として、属性情報1、要求情報2及び同意情報3を示している。要求情報2は、属性情報2の個人データを事業者C001が個人から取得することを要求している。要求情報2は同意情報3を満たしている。
データ管理装置101の履歴登録部14は、個人データの取得に基づき、取得の記録を生成する。
図9は、取得の記録の一例を示す。取得の記録は、記録識別子、記録の種類、記録事業者(取得事業者)、同意情報、取得したデータを特定する情報(本例では属性情報1の情報)、取得日時を含む。
第1の実施形態において、所有者識別子は、データ管理装置101、第1記憶システム201、データ送信元装置301、データ受信先装置401で共通の値が用いられる。処理に関する記録に含まれる項目のうち、処理に関する記録により参照される同意情報(同意に関する記録)と同一の項目に関しては、同意に関する記録を参照することで、項目を省略してもよい。省略する項目として、例えば、処理に関する記録では、所有者識別子、種別、詳細などがある。
第2記憶システム601のログ保管部21はデータ保管部11への書き込みのログ、データ保管部11からの読み出しのログ、データ保管部11における削除のログを保存する。これらのログを総称してデータアクセスログという。第2記憶システム601におけるログの保管期限は、第1記憶システム201における記録の保管期限よりも短くてもよい。検証装置1を操作又は管理するユーザ(検証者)は、所有者又は監査者のどちらでもよい。第2記憶システム601はクラウド事業者が提供するログ管理システムでもよい。記録事業者がログを改ざんできない場合に、本実施形態が提供する整合性検証の信頼性が高まる。
検証装置1は、入力部1Aと、処理部1Bとを備える。処理部1Bは、取得部1Cと、検証部1Dとを備える。
入力部1Aは、ユーザによる各種の指示を受ける。入力部1Aは、例えば、ユーザから、記録に関する整合性の検証要求を受ける。検証要求は、検証対象に関する条件を含んでもよい。検証対象に関する条件は、個人を識別する識別子及び事業者を識別する識別子の少なくとも一方を含んでもよい。また、検証対象に関する条件は、検証対象とする期間に関する条件を含んでもよい。検証対象に関する条件は、その他の条件を含んでもよい。
処理部1Bは、整合性の検証要求を受けた場合に、取得部1C及び検証部1Dを用いて、整合性の検証処理を行う。取得部1Cは、第1記憶システム201から記録(処理に関する記録及び同意に関する記録の少なくとも一方)を取得する。取得部1Cは、第2記憶システム601からログ(処理及び同意の少なくとも一方に関連して行われる動作のログ)を取得する。取得部1Cは、検証要求に含まれる条件を満たす記録を第1記憶システム201から取得し、検証要求に含まれる条件を満たすログを第2記憶システム601から取得してもよい。
検証部1Dは、取得したログに基づき、取得した記録に関する整合性を検証する。例えば、記録(処理に関する記録又は同意に関する記録)とデータアクセスログとの整合性を検証する。検証部1Dは、取得した記録に示される処理又は同意に対応する動作のログが、取得したログに含まれない場合に、整合性がないと判定する。また、検証部1Dは、取得したログが示す動作に対応する処理又は同意を示す記録が、取得した記録に含まれない場合は、整合性がないと判定する。また、1つの処理に関連して複数の動作(例えばデータ保管部11に対する書き込みと読み出し)が行われる場合に複数の動作に対応する複数のログが第2記憶システム601に保持される場合を想定する。検証部1Dは、第2記憶システム601から1つの処理に対して行われる複数の動作に対応する複数のログを取得し、取得した複数のログのうち最後に行われる動作に対応するログを特定する。特定したログが示す動作に対応する処理を示す記録が、取得した記録に含まれない場合に整合性がないと判定してもよい。
処理部1Bは、記録(処理に関する記録及び同意に関する記録の少なくとも一方)に関する整合性として、記録とログとの整合性の検証以外に、同意に関する記録と処理に関する記録との整合性を検証してもよい。例えば、取得部1Cは、検証要求に含まれる条件に基づき、処理に関する記録と同意に関する記録とを第1記憶システム201から取得する。処理部1Bは、処理に関する記録に示される当該処理に対する同意に関する記録が取得できない場合は、整合性がないと判定する。また、取得した同意に関する記録に基づき、同意期間又は非同意期間を取得又は算出し、処理に関する記録に示される処理の時刻(例えば日時)が、同意期間に含まれない又は非同意期間に含まれる場合は、整合性がないと判定する。
処理部1Bは、検証結果を検証装置1、第2記憶システム601、又は他の装置に記録してもよい。検証結果を記録する際に、データアクセスログの一部(例えば検証に利用したログ)又は全部を、第2記憶システム601から消去してもよい。処理部1Bは、第2記憶システム601にデータアクセスログの一部又は全部の消去を指示する指示データを送信し、第2記憶システム601は指示データに基づきデータアクセスログの一部又は全部を消去してもよい。その場合、記録とログとの整合性の検証は期間を区切って行ってもよい。
図10は、第1の実施形態に係る処理の一例のフローチャートである。本処理において、検証装置1は、所有者ごとに処理に関する記録とデータアクセスログとの整合性の検証を行う。
ステップS101:検証装置1が所有者識別子に対する整合性検証要求を受ける。例えばユーザが操作部(キーボード、マウス又はタッチパネル等)を用いて所有者識別子を指定し、画面に表示されたアプリケーションウィンドウ内の整合性検証を指示するボタンを押下する。
ステップS102:検証装置1は、第1記憶システム201から所有者識別子を含む同意情報の同意情報識別子を取得する。
ステップS103:検証装置1は、第1記憶システム201から当該同意情報識別子を同意情報項目に含む記録の記録識別子を取得する。処理に関する記録に所有者識別子が含まれる場合は、第1記憶システム201から所有者識別子を含む記録の記録識別子を取得してもよい。
ステップS104:検証装置1は、同意に関する記録(同意情報)と処理に関する記録(記録)との整合性を検証する。例えば、当該記録に示される処理が、所有者の同意が得られていることを同意情報により確認できるかを検証する。検証の方法は特定のものに限定されない。
同意の種類には、間接取得の同意(間接取得同意)と直接取得の同意(直接取得同意)がある。間接取得は第三者により提供されるデータの受領に対応する。直接取得は所有者から提供されるデータの取得に対応する。間接取得同意と直接取得同意を合わせて保管同意ともいう。他に、第三者がデータを提供することに対応する同意(提供同意)がある。
処理に関する記録とデータアクセスログとの整合性の検証は、記録起点による検証と、ログ起点による検証とがある。ログ起点の検証では単純な比較はできない。この詳細を説明すると以下の通りある。個人データの受領又は取得において、通信ネットワークを介して個人データを受信した後に間接取得同意又は直接取得同意を確認し、同意に関する記録が存在しない又は同意状態が不同意である場合に、データ保管部11に個人データの書き込みをしない動作は許容される。個人データの提供において、データ保管部11から個人データを読み出した後に提供同意を確認し、同意に関する記録が存在しない又は同意状態が不同意である場合に、通信ネットワークを介して個人データを提供先へ送信しない動作は許容される。個人データの生成において、データ保管部11から個人データを読み出した後に間接取得同意又は直接取得同意を確認し、同意に関する記録が存在しない又は同意状態が不同意である場合に、個人データの生成を行わずにデータ保管部11に個人データを書き込まない動作は許容される。つまり、処理における一連の操作の最後のログと、処理に関する記録とが対応する。
記録とログとが対応するとは、処理に関する記録が参照する、同意に関する記録におけるデータを特定する記述(種別、詳細など)と、データアクセスログにおけるデータを特定する記述とが一致するか、後者が前者の部分集合として含まれることを指す(要件1-1-1)。処理に関する記録にデータを特定する記述が含まれる場合は、処理に関する記録におけるデータを特定する記述(種別、詳細など)と、データアクセスログにおけるデータを特定する記述とが一致するか、後者が前者の部分集合として含まれることを指す(要件1-1-2)。要件1-1-1又は要件1-1-2に対して、さらに、処理に関する記録において特定される日時(年月日)と、データアクセスログにおいて特定される日時とが互いに閾値より近いこと(要件1-1-3)を追加してもよい。閾値はあらかじめ固定しても、ユーザ入力により可変としてもよい。
処理に関する記録とデータアクセスログとの整合性の検証の詳細な動作は後述する。
ステップS105:検証装置1は、第2記憶システム601から所有者識別子に関するデータアクセスログを取得する。
ステップS106:検証装置1は、ステップS103で取得した記録識別子を含む記録のうち対象の記録事業者を含む処理に関する記録と、データアクセスログとの整合性を検証する。対象の記録事業者はあらかじめ固定しても、ユーザ入力により可変としてもよい。以下、整合性の検証の動作例を示す。
記録起点の検証では、間接取得同意又は提供同意の同意情報識別子を同意情報項目に含む受領記録について対応する書き込みログがない場合に整合性なしと判定する。また、間接取得同意又は提供同意の同意情報識別子を同意情報項目に含む提供記録について対応する読み出しログがない場合に整合性なしと判定する。直接取得同意の同意情報識別子を同意情報項目に含む取得記録について対応する書き込みログがない場合に整合性なしと判定する。また、間接取得同意又は直接取得同意の同意情報識別子を同意情報項目に含む生成記録について対応する読み出しログ又は書き込みログがない場合に整合性なしと判定する。また、間接取得同意又は直接取得同意の同意情報識別子を同意情報項目に含む削除記録について対応する削除ログがない場合に整合性なしと判定する。
ログ起点の検証では、書き込みログについて対応する取得記録、受領記録、又は、生成記録がない場合に整合性なしと判定する。また、削除ログについて対応する削除記録がない場合に整合性なしと判定する。
検証装置1は、記録起点とログ起点の少なくとも一方で整合性なしと判定した場合に、不整合が検出された(整合性なし)と判定する。
ステップS107:検証装置1は、ステップS104とステップS106との両方で不整合が検出されない場合に、全体として不整合は検出されないことを決定する。検証装置1は、全体として不整合が検出されないことを示す情報を出力(例えば画面に表示)してもよい。ステップS104とステップS106の少なくとも一方で整合性なしと判定した場合に、全体として不整合が検出されることを決定する。検証装置1は、全体として不整合が検出されたことを示す情報を出力してもよい。この際、ステップS104とステップS106のいずれで不整合が検出されたかを識別する情報を併せて画面に表示してもよい。
ステップS104において行う整合性検証とステップS106における整合性検証との順序は逆でもよいし、両者を並列に実行してもよい。また、ステップS104とステップS106の一方で整合性なしと判定した場合に、他方の整合性検証を実行しなくてもよい。全体として不整合を検出した場合、整合性なしと判定した原因となる箇所の情報を出力してもよい。
以下、図10のフローチャートの各ステップの動作例を具体的に示す。
(例1)
ステップS101:検証装置1が所有者識別子としてU000001に対する整合性検証要求を受ける。
ステップS102:検証装置1が第1記憶システム201から所有者識別子U000001を含む同意情報の同意情報識別子C000007(間接取得同意)を取得する。
ステップS103:検証装置1が第1記憶システム201から同意情報識別子(C000007)を同意情報項目に含む記録の記録識別子として、R000001(提供記録)、R000002(受領記録)、R000004(生成記録)を取得する。この例では、処理に関する記録に所有者識別子が含まれるため、第1記憶システム201から所有者識別子としてU000001を含む記録の記録識別子(R000001,R000002,R000004)を取得してもよい。
ステップS104:検証装置1が同意に関する記録と処理に関する記録との整合性を検証する。不整合は検出されないと判定する。
ステップS105:検証装置1が第2記憶システム601から所有者識別子(U000001)に関するデータアクセスログを取得する。
図11は、データアクセスログ1-1の例を示す。データアクセスログの種別として、書き込み、読み出し、削除がある。データアクセスログの記録事業者はC001であり、C001はデータ管理装置101に対応するとしているが、より詳細に、1行目と2行目は入力部15に対応し、3行目と4行目はデータ解析部17に対応するとしてもよい。または、記録事業者は、個人データ処理に携わる者の個人アカウントとしてもよい。アクセス先は所有者識別子、種別、詳細の組としているが、アクセス先を第2記憶システム601における番地としてもよい。この場合、番地と、所有者識別子、種別、詳細との対応を示すデータを別のテーブルに保持してもよい。日時はデータアクセスが実行された日時であり、処理に関する記録の日時よりも粒度が細かくてもよい。
本例では所有者識別子(U000001)に関するデータアクセスログを取得するため、データアクセスログ1-1における1,3,4行目のログを取得する。取得したログから、対象とする記録事業者をC001とし、記録識別子(R000001,R000002,R000004)のうち、C001を含む記録の記録識別子R000002,R000004を取得する。
ステップS106:検証装置1は、取得した記録識別子を含む記録と、データアクセスログとの整合性を検証する。記録起点の検証では、記録識別子R000002の記録にデータアクセスログの1行目が対応し、記録識別子R000004の記録にデータアクセスログの3,4行目が対応する。記録起点の検証では不整合は検出されない。ログ起点の検証では、データアクセスログ1行目に記録識別子000002の記録が対応し、データアクセスログ4行目に記録識別子R000004の記録が対応する。ログ起点の検証では不整合は検出されない。従って、処理に関する記録とデータアクセスログについて、不整合は検出されないと判定する。
ステップS107:検証装置1は、ステップS104とステップS106の両方で不整合が検出されないため、全体として不整合は検出されないことを決定する。
(例2)
ステップS101:検証装置1が所有者識別子U000002に対する整合性検証要求を受ける。
ステップS102:検証装置1が第1記憶システム201から所有者識別子U000002を含む同意情報の同意情報識別子C000003,C000010(直接取得同意)を取得する。
ステップS103:検証装置1が第1記憶システム201から同意情報識別子C000003,C000010を同意情報項目に含む記録の記録識別子R000003(取得記録)、R000005(削除記録)を取得する。
図12は、記録識別子R000005の記録(削除の記録)の例を示す。この例では処理に関する記録に所有者識別子が含まれるため、第1記憶システム201から所有者識別子U000002を含む記録の記録識別子R000003,R000005を取得してもよい。
ステップS104:検証装置1が同意に関する記録と処理に関する記録との整合性を検証する。不整合は検出されないと判定する。
ステップS105:検証装置1が第2記憶システム601から所有者識別子U000002に関するデータアクセスログを取得する。図11のデータアクセスログの2,5行目のログを取得する。また、対象とする記録事業者をC001とする。上述の記録識別子R000003,R000005の記録の記録事業者はいずれもC001である。
ステップS106:検証装置1は、当該記録とデータアクセスログとの整合性を検証する。記録起点の検証では、記録識別子R000003の記録にデータアクセスログの2行目が対応し、記録識別子R000005の記録にデータアクセスログの5行目が対応すると判断する。記録起点の検証では不整合は検出されない。ログ起点の検証では、データアクセスログの2行目に記録識別子R000003の記録が対応し、データアクセスログの5行目に記録識別子R000005の記録が対応すると判断する。ログ起点の検証では不整合は検出されない。従って、処理に関する記録とデータアクセスログとの不整合は検出されないと判定する。
ステップS107:検証装置1は、ステップS104とステップS106の両方で不整合が検出されないため、全体として不整合は検出されないことを決定する。
(例3)
ステップS101で所有者識別子を入力せずに、第1記憶システム201に保管されている処理に関する記録が参照する同意に関する記録から所有者識別子を取得してもよい。処理に関する記録に所有者識別子が含まれる場合は、第1記憶システム201に保管されている処理に関する記録から所有者識別子を取得してもよい。また、第2記憶システム601に保管されているデータアクセスログから所有者識別子を取得してもよい。
(例4)
検証装置1は所有者ごとに処理に関する記録とデータアクセスログとの整合性検証を行うのではなく、第1記憶システム201における保管順又は第2記憶システム601における保管順に、整合性検証を行ってもよい。記録とログが対応する、及び、ログと記録が対応するとは、処理に関する記録が参照する同意に関する記録におけるデータを特定する記述(所有者識別子、種別、詳細など)と、データアクセスログにおけるデータを特定する記述とが一致するか、後者が前者の部分集合として含まれることを指す。処理に関する記録にデータを特定する記述が含まれる場合は、処理に関する記録におけるデータを特定する記述(所有者識別子、種別、詳細など)とデータアクセスログにおけるデータを特定する記述とが一致するか、後者が前者の部分集合として含まれることを指す。対応に関する判定項目に実質的な変わりはなく、所有者識別子に関する判定を先に行うか後で行うかの違いである。
以下、例4の動作例を示す。
ステップS101:検証装置1が整合性検証要求を受ける。
ステップS102:検証装置1が第1記憶システム201から同意情報識別子C000003(直接取得同意)、C000007(間接取得同意)、C000010(直接取得同意)を取得する。
ステップS103:検証装置1が、第1記憶システム201から記録識別子R000001(提供記録)、R000002(受領記録)、R000003(取得記録)、R000004(生成記録)、R000005(削除記録)を取得する。
ステップS104:検証装置1が、同意に関する記録と処理に関する記録について整合性検証を行い、不整合は検出されないと判定する。
ステップS105:検証装置1が第2記憶システム601からデータアクセスログを取得する。図11の1行目から5行目のログを取得する。また、対象とする記録事業者C001とする。記録事業者C001を含む記録の記録識別子R000002,R000003,R000004,R000005を用いる。
ステップS106:検証装置1は、当該記録とデータアクセスログとの整合性を検証する。記録起点の検証では、記録識別子R000002の記録にデータアクセスログの1行目が対応し、記録識別子R000003の記録にデータアクセスログの2行目が対応し、記録識別子R000004の記録にデータアクセスログの3,4行目が対応し、記録識別子R000005の記録にデータアクセスログの5行目が対応すると判断する。記録起点の検証では不整合は検出されない。ログ起点の検証では、データアクセスログの1行目に記録識別子R000002の記録が対応し、データアクセスログの2行目に記録識別子R000003の記録が対応し、データアクセスログの4行目に記録識別子R000004の記録が対応し、データアクセスログの5行目に記録識別子R000005の記録が対応すると判断する。ログ起点の検証では不整合は検出されない。従って、処理に関する記録とデータアクセスログについて、不整合は検出されないと判定する。
ステップS107:検証装置1は、ステップS104とステップS106の両方で不整合が検出されないため、全体として不整合は検出されないことを決定する。
(例5)
以下に、ステップS106で検証装置1が整合性なしと判定する例を示す。対象とする記録事業者をC001とする。
第2記憶システム601に保管される図11のデータアクセスログ1-1において、3行目のログがないと仮定する。この場合、ステップS106において記録起点の検証において、生成記録(図8)に対して対応する読み出しログがない場合に該当する。よって、整合性なしと判定される。
第1記憶システム201に、記録識別子R000003(取得記録)、R000004(生成記録)、R000005(削除記録)の記録が保管されていないとする。この場合、ステップS102~S104における同意に関する記録と処理に関する記録との整合性の検証では、不整合は検出されない。一方で、ステップS106におけるログ起点の検証では、書き込みログに対応する取得記録、受領記録、生成記録がなく、また、削除ログについて対応する削除記録がないため、整合性なしと判定される。
以上、図10のフローチャートの動作の具体例を示したが、上述した例以外の動作も可能である。
(変形例)
信頼性を高めるために機能を追加した変形例を示す。受領記録、取得記録、生成記録に、データのハッシュ値を項目として追加する。検証装置1は、ステップS102~S104においてデータ保管部11に保管されているデータのハッシュ値を計算し、計算したハッシュ値と、記録における項目のハッシュ値との比較を行い、一致しない場合は、整合性なしと判定してもよい。
同意に関する記録において、目的識別子(図3参照)の代わりに、利用目的を記載した同意文書を参照してもよい。
同意に関する記録の項目として同意文書のハッシュ値を含めてもよい。ステップS102~S104においてデータ保管部11に保管している同意文書のハッシュ値と、記録におけるハッシュ値との比較を行い、一致しない場合は整合性なしと判定してもよい。
受領記録における取得の経緯で参照している文書について、項目として文書のハッシュ値を記録に含めてもよい。ステップS102~S104においてデータ保管部11に保管している文書のハッシュ値と、記録におけるハッシュ値との比較を行い、一致しない場合は、整合性なしと判定してもよい。
図1に示した構成では、第2記憶システム601がデータ管理装置101に接続し、データ管理装置101におけるデータアクセスログを保管した。他の構成例として、第2記憶システム601が、所有者装置501、データ送信元装置301又はデータ受信先装置401に接続し、接続先におけるデータアクセスログとを保管してもよい。対象の記録事業者はそれぞれの接続先の装置を管理又は所有する事業者とする。
また、データ保管部11全体を検索して、特定のデータが存在しないことを確認し、確認結果を削除ログの代わりに用いてもよい。データ保管部11全体を検索して、特定のデータが存在することを確認し、確認結果を書き込みログの代わりに用いてもよい。これらの確認結果をデータアクセスログと同等の情報として用いることができる。これらの場合、ステップS106における整合生の検証において日時は比較しなくてもよい。
<実施形態1-2>
検証装置1は所有者ごとに、処理に関する記録と通信ログとの整合性を検証する。実施形態1-2における検証装置1の動作に関して、実施形態1-1におけるステップS101~S104、S107は実施形態1-2にも同様に適用される。ステップS105、S106に対応する動作が、実施形態1-1と異なる。
処理に関する記録と通信ログとの整合性検証は、記録起点とログ起点とで行う。記録とログとが対応するとは、処理に関する記録が参照する同意に関する記録におけるデータを特定する記述(種別、詳細など)と、通信ログにおけるデータを特定する記述とが一致するか、後者が前者の部分集合として含まれることを指す(要件1-2-1)。処理に関する記録にデータを特定する記述が含まれる場合は、処理に関する記録におけるデータを特定する記述(種別、詳細など)と、通信ログにおけるデータを特定する記述とが一致するか、後者が前者の部分集合として含まれることを指す(要件1-2-2)。要件1-2-1又は要件1-2-2に対して、さらに、処理に関する記録において特定される日時(年月日)と、通信ログにおいて特定される日時とが互いに閾値より近いこと(要件1-2-3)を追加してもよい。閾値はあらかじめ固定しても、ユーザ入力により可変としてもよい。
ステップS105:検証装置1は第2記憶システム601から所有者識別子に関する通信ログを取得する。個人データ送受の通信ログのみ取得してもよい。
ステップS106:検証装置1は、ステップS103で取得した記録識別子を含む記録のうち、対象の記録事業者を含む処理に関する記録と、個人データ送受の通信ログとの整合性を検証する。対象の記録事業者はあらかじめ固定しても、ユーザ入力により可変としてもよい。
記録起点の検証では、間接取得同意又は提供同意の同意情報識別子を同意情報項目に含む受領記録について対応する個人データ受信ログがない場合に、整合性なしと判定する。間接取得同意又は提供同意の同意情報識別子を同意情報項目に含む提供記録について対応する個人データ送信ログがない場合に整合性なしと判定する。直接取得同意の同意情報識別子を同意情報項目に含む取得記録について対応する個人データ受信ログがない場合に、整合性なしとし判定する。
ログ起点の検証では、個人データ送信ログについて対応する提供記録がない場合に整合性なしと判定する。
検証装置1は、記録起点とログ起点の少なくとも一方で整合性がない場合に、不整合を検出する(整合性なしと判定する)。
以下に、各ステップの動作例を具体的に示す。
(例1)
ステップS101:検証装置1が所有者識別子U000001に対する整合性検証要求を受ける。
ステップS102~S104:実施形態1-1と同様のため省略する。
ステップS105:検証装置1は第2記憶システム601から所有者識別子U000001に関する通信ログを取得する。
図13は、通信ログ1-2Aの例を示す。
検証装置1は、通信ログ1-2Aから2,3行目のログを取得する。また、対象とする記録事業者C001とする。所有者識別子U000001と記録事業者C001とに基づき、記録識別子R000002(受領記録)、R000004(生成記録)を取得する。R000004(生成記録)は送信又は受信に関係しないため通信ログとの検証に用いない。R000002(受領記録)を通信ログとの検証に用いる。
ステップS106:検証装置1は、当該記録と通信ログとの整合性を検証する。記録起点の検証では、記録識別子R000002に通信ログの3行目が対応すると判断する。記録起点の検証では不整合は検出されない。ログ起点の検証では、記録事業者C001に関して、個人データの送信ログは存在しない。ログ起点の検証では、不整合は検出されない。よって、検証装置1は、処理に関する記録と通信ログとの不整合は検出されないと判定する。
ステップS107:実施形態1-1と同様のため省略する。
(例2)
ステップS101:検証装置1は、所有者識別子U000002に対する整合性検証要求を受ける場合を示す。
ステップS102~S104:実施形態1-1と同様のため省略する。
ステップS105:検証装置1は第2記憶システム601から所有者識別子U000002に関する通信ログを取得する。図13の通信ログ1-2Aから1,4,5行目のログを取得する。また、対象とする記録事業者をC001とする。所有者識別子U000002と記録事業者C001とに基づき記録識別子R000003(取得記録)、R000005(削除記録)を取得する。R000005(削除記録)は、送信又は受信に関係しないため通信ログとの検証に用いない。
ステップS106:検証装置1は、当該記録と通信ログとの整合性を検証する。記録起点の検証では、記録識別子R000003に通信ログの4行目が対応すると判断する。記録起点の検証では不整合は検出されない。ログ起点の検証では、記録事業者C001に関して、個人データの送信ログは存在しない。ログ起点の検証では不整合は検出されない。よって、検証装置1は、処理に関する記録と通信ログとの不整合は検出されないと判定する。
ステップS107:実施形態1-1と同様のため省略する。
(例3)
ステップS101:検証装置1は、整合性検証要求を受ける。
ステップS102~S104:実施形態1-1と同様のため省略する。
ステップS105:検証装置1が第2記憶システム601から通信ログを取得する。図13の通信ログ1-2Aにおける1行目から5行目のログを取得する。また、対象とする記録事業者をC001とする。記録事業者C001に基づき、記録識別子R000002(受領記録)、R000003(取得記録)、R000004(生成記録)、R000005(削除記録)を取得する。R000004(生成記録)、R000005(削除記録)は送信又は受信に関係しないため通信ログとの検証に用いない。
ステップS106:検証装置1が当該記録と通信ログとの整合性を検証する。記録起点の検証では、記録識別子R000002に通信ログの3行目が対応し、記録識別子R000003に通信ログの4行目が対応すると判断する。記録起点の検証では不整合は検出されない。ログ起点の検証では、記録事業者C001に関して、個人データの送信ログは存在しない。ログ起点の検証では不整合は検出されない。よって、検証装置1は、処理に関する記録と通信ログとの不整合は検出されないと判定する。
ステップS107:実施形態1-1と同様のため省略する。
(例4)
以下に、検証装置1が、ステップS106における処理に関する記録と通信ログとの整合性の検証で整合性なしと判定する例を示す。対象とする記録事業者C001とする。
図13の通信ログ1-2Aにおいて、3行目のログがないとする。この場合、ステップS106の記録起点の検証で、受領記録について対応する受信ログがない場合に該当する。検証装置1は、整合性なしと判定する。
通信ログにおける内容項目(図13参照)の代わりに、所有者からの同意の受信かあるいは個人データの受信かを区別する種類の項目を用いてもよい。
図14は、当該種類の項目を含む通信ログ1-2Bの例を示す。この場合、所有者からの同意の受信かあるいは個人データの受信かを区別して、記録とログの簡易的な対応を用いて整合性検証を行ってもよい。記録とログとが簡易的に対応するとは、処理に関する記録における各項目を特定する記述(所有者識別子と記録事業者)と、通信ログにおける各項目を特定する記述(送信者と受信者)とが一致することを指す。
図13及び図14に示した通信ログは一例であり、他の通信ログの例も可能である。例えば、通信ログに、送信者と受信者だけではなく、送信者及び受信者の間にある中間者を通信ログに含めてもよい。あるいは、受信後に行われるプロセスが存在する場合は、このプロセスを最終的な受信者として通信ログに含めてもよい。
<実施形態1-3>
検証装置1は所有者ごとに同意に関する記録と通信ログとの整合性を検証する。同意に関する記録に対応する通信ログを処理事業者(提供事業者、受領事業者、取得時業者)が持つ、あるいは、検証装置1がアクセスできることが前提となる。
検証装置1は、同意に関する記録と通信ログとの整合性の検証を記録起点とログ起点とで行う。提供同意は、前提とする保管同意が撤回されたら無条件に(自動的に)撤回されるとする。記録とログが対応するとは、同意に関する記録における各項目を特定する記述(同意状態など)と、通信ログにおける各項目を特定する記述とが一致し、かつ、同意に関する記録において特定される日時(年月日)と、通信ログにおいて特定される日時とが互いに閾値より近いことを指す。閾値はあらかじめ固定しても、ユーザ入力により可変としてもよい。
図15は、実施形態1-3に係る動作の一例のフローチャートである。ステップS101~S104、S107は、実施形態1-1の説明で用いた図10と同じである。
ステップS105:検証装置1は第2記憶システム601から所有者識別子に関する通信ログを取得する。データ所有者による同意の受信の通信ログのみ取得してもよい。
ステップS106:検証装置1は、ステップS102で取得した同意情報識別子の同意情報のうち、対象の処理事業者の識別子を含む同意情報(同意に関する記録)と、データ所有者による同意の受信の通信ログとの整合性を検証する。対象の処理事業者はあらかじめ固定しても、ユーザ入力により可変としてもよい。
記録起点の検証では、間接取得同意と直接取得同意について、対応する所有者からの同意の受信ログがない場合に整合性なしと判定する。また、保管同意の撤回に基づかない提供同意について、対応する所有者からの同意の受信ログがない場合に整合性なしと判定する。
ログ起点の検証では、所有者からの同意の受信ログについて、対応する間接取得同意、直接取得同意、又は、提供同意(保管同意の撤回に基づかない)がない場合に整合性なしと判定する。
検証装置1は、記録起点の検証とログ起点の検証とのうち少なくとも一方で整合性がない場合に、不整合を検出する(整合性なしと判定する)
以下に、図15のフローチャートにおける各ステップの動作例を具体的に示す。所有者装置501は、第1記憶システム201に直接アクセスせず、対象の処理事業者を介して、第1記憶システム201にアクセスするものとする。従って、同意に関する記録に対応する通信ログを処理事業者の装置が持ち、所有者の同意を受信する受信者は処理事業者の装置となっている。
(例1)
ステップS101:検証装置1が所有者識別子U000001に対する整合性検証要求を受ける。
ステップS102~S104:実施形態1-1と同様のため省略する。
ステップS105:検証装置1が第2記憶システム601から所有者識別子U000001に関する通信ログを取得する。通信ログ(図13参照)の送信者と受信者には、それぞれ所有者識別子又は処理事業者を記載しているが、IPアドレス等を記載し、IPアドレス等と、所有者識別子又は処理事業者との対応を別のテーブルに保持してもよい。通信ログにおける内容項目には、所有者からの同意の受信の場合には、同意に関する記録の各項目の値を設定する。処理実行としてのデータ送受の場合は、所有者識別子、種別、詳細の組を設定する。通信ログにおける日時は、通信が実行された日時で、処理に関する記録の日時よりも粒度が細かくてもよい。通信ログの内容項目に所有者識別子U000001を含むログとして2,3行目のログを取得する。取得したログの受信者項目に基づき、対象とする処理事業者をC001とする。所有者識別子U000001を含む同意情報の同意情報識別子C000007(間接取得同意)を取得する。
ステップS106:検証装置1は、同意情報識別子C000007の同意情報(同意に関する記録)と通信ログとの整合性を検証する。記録起点の検証では、同意情報識別子C000007の同意情報に通信ログの2行目が対応する。記録起点の検証では不整合は検出されない。
ログ起点の検証では、通信ログの2行目に同意情報識別子C000007の同意情報が対応する。ログ起点の検証では不整合は検出されない。
よって、検証装置1は、同意に関する記録と通信ログとの不整合は検出されないと判定する。
ステップS107:実施形態1-1と同様のため省略する。
(例2)
ステップS101:検証装置1が所有者識別子U000002に対する整合性検証要求を受ける。
ステップS102~S104:実施形態1-1と同様のため省略する。
ステップS105:検証装置1が第2記憶システム601から所有者識別子U000002に関する通信ログを取得する。図13の通信ログから1,4,5行目のログを取得する。また、対象とする処理事業者C001とする。所有者識別子U000002を含む同意情報(同意に関する記録)の同意情報識別子C000003,C000010(直接取得同意)を取得する。
ステップS106:検証装置1は、当該同意情報識別子の同意情報と通信ログとの整合性を検証する。記録起点の検証では、同意情報識別子C000003の同意情報に通信ログの1行目が対応し、同意情報識別子C000010の同意情報に通信ログの5行目が対応すると判断する。記録起点の検証では不整合は検出されない。
ログ起点の検証では、通信ログの1行目に同意情報識別子C000003の同意情報が対応し、通信ログの5行目に同意情報識別子C000010の同意情報が対応すると判断する。ログ起点の検証では不整合は検出されない。
よって、検証装置1は、同意に関する記録と通信ログとの不整合は検出されないと判定する。
ステップS107:実施形態1-1と同様のため省略する。
(例3)
ステップS101:検証装置1は、整合性検証要求を受ける。
ステップS102~S104:実施形態1-1と同様のため省略する。
ステップS105:検証装置1が第2記憶システム601から通信ログを取得する。図13の1行目から5行目のログ(すべてのログ)を取得する。また、対象とする処理事業者C001とする。また、すべての同意情報(同意に関する記録)の同意情報識別子として、同意情報識別子C000003(直接取得同意)、C000007(間接取得同意)、C000010(直接取得同意)を取得する。
ステップS106:検証装置1は、当該同意情報識別子と通信ログとの整合性を検証する。記録起点の検証では、同意情報識別子C000003に通信ログの1行目が対応し、同意情報識別子C000007に通信ログの2行目が対応し、同意情報識別子C000010に通信ログの5行目が対応すると判断する。記録起点の検証では不整合は検出されない。
ログ起点の検証では、通信ログの1行目に同意情報識別子C000003の同意情報が対応し、通信ログの2行目に同意情報識別子C000007の同意情報が対応し、通信ログの5行目に同意情報識別子C000010の同意情報が対応すると判断する。ログ起点の検証では不整合は検出されない。
よって、検証装置1は、同意に関する記録と通信ログとの不整合は検出されないと判定する。
ステップS107:実施形態1-1と同様のため省略する。
(例4)
以下に、ステップS106における同意に関する記録と通信ログとの検証で整合性なしと判定される例を示す。対象とする処理事業者C001とする。
第2記憶システム601に保管される図13の通信ログにおいて、2行目がないと仮定する。この場合、ステップS106の記録起点の検証で、直接取得同意について対応する受信ログがない場合に該当し、整合性なしと判定される。
図16は、同意情報(同意の撤回情報)の例を示す。第1記憶システム201に保管される同意に関する記録に関して、図16の同意情報識別子C000010(直接取得同意の撤回)の同意情報がないと仮定する。この場合、ステップS104における同意に関する記録と処理に関する記録との整合性の検証では、同意の撤回に基づかない不同意の受信ログが存在するため、整合性なしと判定する。更に、ステップS106のログ起点の検証において、所有者からの同意の受信ログについて、対応する間接取得同意、直接取得同意、又は、保管同意の撤回に基づかない提供同意がない場合、整合性なしと判定する。
通信ログが内容項目を含まない場合でも、所有者の同意の受信か個人データ受信かを区別して(図14参照)、記録とログとの簡易的な対応を用いて整合性検証を行ってもよい。記録とログが簡易的に対応するとは、同意に関する記録における各項目を特定する記述(所有者識別子と処理事業者)と、通信ログにおける各項目を特定する記述(送信者と受信者)とが一致することを指す。
<実施形態1-4>
検証装置1は所有者ごとに同意に関する記録(同意情報)と認証ログとの整合性を検証する。同意に関する記録に対応する認証ログを処理事業者(提供事業者、受領事業者、取得時業者)が持つ、あるいは、検証装置1が認証ログにアクセスできることが前提となる。
データ所有者が処理に対する同意をデータ管理装置101に対して行い、データ管理装置101が所有者の同意に基づき同意情報(同意に関する記録)を登録する場合に、データ管理装置101における判定処理部13は、データ所有者の認証を行う。認証の方法は、電子証明書認証、ワンタイムパスワード認証、多要素認証など、どのような方式でもよい。データ所有者は所有者装置501を用いてデータ管理装置101にアクセスし、同意を行うために必要な情報(例えば所有者識別子、同意の内容を特定する情報等)と認証に必要な情報とを入力する。判定処理部13は、入力された情報に基づきデータ所有者を認証し、認証に成功した場合には、当該同意に基づく同意情報を登録することを決定し、成功しない場合には同意情報の登録を拒絶する。認証処理の結果(成功又は失敗)は認証ログとしてログ保管部21に提供され、保存される。データ所有者の認証を行う認証部を判定処理部13とは別に設けてもよい。
図17は、認証ログ1-4の一例を示す。認証ログの内容項目は、認証成功又は認証失敗を含む。日時は認証が実行された日時であり、処理に関する記録の日時よりも粒度が細かくてもよい。データ所有者は認証の対象となった所有者の所有者識別子である。
実施形態1-4の動作例は、基本的に実施形態1-1と同様である(ステップS101~S104、S107は同様である)が、ステップS105,S106が異なる。
同意に関する記録と認証ログとの整合性の検証は記録起点で行う。記録とログとが対応するとは、同意に関する記録におけるデータ所有者を特定する記述(所有者識別子)と認証ログにおけるデータ所有者を特定する記述が一致し、かつ、同意に関する記録において特定される日時(年月日)と認証ログにおいて特定される日時とが互いに閾値より近いことを指す。閾値はあらかじめ固定しても、ユーザ入力により可変としてもよい。
ステップS105:検証装置1は第2記憶システム601から所有者識別子に関する認証ログを取得する。所有者の認証ログのみ取得してもよい。
ステップS106:検証装置1はステップS102で取得した同意情報識別子を含む同意に関する記録(同意情報)のうち対象の処理事業者の識別子を含む同意に関する記録と、所有者の認証ログとの整合性を検証する。対象の処理事業者はあらかじめ固定しても、ユーザ入力により可変としてもよい。
検証装置1は、記録起点の検証において、間接取得同意と直接取得同意について対応する所有者の認証成功ログがない場合に整合性なしとする。また、検証装置1は、保管同意の撤回に基づかない提供同意について対応する所有者の認証成功ログがない場合に、整合性なしと判定する。
以下に、各ステップの動作例を具体的に示す。所有者装置501は第1記憶システム201に直接アクセスせず、対象の処理事業者の装置(例えばデータ管理装置101、第2記憶システム601、データ送信元装置301、データ受信先装置401)を介して、第1記憶システム201にアクセスするものとする。従って、所有者の認証ログを処理事業者の装置が持つ。
(例1)
ステップS101:検証装置1が所有者識別子U000001に対する整合性検証要求を受ける。
ステップS102~S104:実施形態1-1と同様のため省略する。
ステップS105:検証装置1が第2記憶システム601から所有者識別子U000001に関する認証ログを取得する。図17の認証ログから2行目のログを取得する。また、対象とする処理事業者をC001とする。所有者識別子U000001と処理事業者C001とに基づき、同意情報識別子C000007(間接取得同意)を取得する。
ステップS106:検証装置1は、当該同意情報識別子の同意情報と認証ログとの整合性を検証する。記録起点の検証では、同意情報識別子C000007に認証ログの2行目が対応する。記録起点の検証では不整合は検出されない。よって、検証装置1は、同意に関する記録と認証ログとの不整合は検出されないと判定する。
ステップS107:実施形態1-1と同様のため省略する。
(例2)
ステップS101:検証装置1が所有者識別子U000002に対する整合性検証要求を受ける。
ステップS102~S104:実施形態1-1と同様のため省略する。
ステップS105:検証装置1が第2記憶システム601から所有者識別子U000002に関する認証ログを取得する。図17の認証ログの1,3行目のログを取得する。また、対象とする処理事業者をC001とする。所有者識別子U000002と処理事業者C001とに基づき、同意情報識別子C000003,C000010(直接取得同意)を取得する。
ステップS106:検証装置1が、当該同意情報識別子の同意情報と認証ログとの整合性を検証する。記録起点の検証では、同意情報識別子C000003に認証ログの1行目が対応し、同意情報識別子C000010に認証ログの3行目が対応する。記録起点の検証では不整合は検出されない。よって、検証装置1は、同意に関する記録と認証ログとの不整合は検出されないと判定する。
ステップS107:実施形態1-1と同様のため省略する。
(例3)
ステップS101:検証装置1が整合性検証要求を受ける。
ステップS102~S104:実施形態1-1と同様のため省略する。
ステップS105:検証装置1が第2記憶システム601から所有者の認証ログを取得する。図17の1行目から3行目のログ(すべてのログ)を取得する。対象とする処理事業者C001とする。また、すべての同意情報の同意情報識別子として、同意情報識別子C000003(直接取得同意)、C000007(間接取得同意)、C000010(直接取得同意)を取得する。
ステップS106:検証装置1が、当該同意情報識別子の同意情報と認証ログとの整合性を検証する。記録起点の検証では、同意情報識別子C000003に認証ログの1行目が対応し、同意情報識別子C000007に認証ログの2行目が対応し、同意情報識別子C000010に認証ログの5行目が対応する。記録起点の検証では不整合は検出されない。よって、検証装置1は、同意に関する記録と認証ログとの不整合は検出されないと判定する。
ステップS107:実施形態1-1と同様のため省略する。
(例4)
以下に、ステップS106における同意に関する記録と認証ログとの検証で、整合性なしと判定される例を示す。対象とする処理事業者C001とする。
第2記憶システム601に保管される図17の認証ログ例において、2行目のログがない、又は、内容項目の値が認証失敗であると仮定する。この場合、ステップS106の記録起点の検証において、間接取得同意について対応する認証成功ログがない場合に該当し、整合性なしと判定する。
(第2の実施形態)
<実施形態2-1>
図18は、第2の実施形態に係る情報処理システムであるデータ管理システムの全体構成図である。データ管理装置101が、識別子対応関係記憶部41と、識別子変換部42を更に備える。第1の実施形態と同一の要素には同一の符号を付して、説明を適宜省略する。
第2の実施形態では、ある同一のデータ所有者(個人)に対して、データ管理装置101、第1記憶システム201、データ送信元装置301、データ受信先装置401は、互いに異なる所有者識別子を用いる。
識別子対応関係記憶部41は、各装置(101、201、301、401)間の所有者識別子間の対応表41Aを記憶する。対応表41Aは、データ管理装置101の管理者等により格納される。
図19は、対応表41Aの例を示す。一例として、所有者識別子1は第1記憶システム201で所有者の管理(識別)に用いる識別子、所有者識別子2はデータ管理装置101で所有者の管理に用いる識別子である。また、所有者識別子3はデータ送信元装置301で所有者の管理に用いる識別子、所有者識別子4はデータ受信先装置401で所有者の管理に用いる識別子である。複数の装置で所有者識別子が共通の場合は、4種類の所有者識別子でなく、2種類又は3種類の所有者識別子の対応表41Aでもよい。例えば所有者識別子2と所有者識別子3の対応表41Aでもよい。あらかじめ得ている所有者識別子と、新たに取得した所有者識別子とを対応づけて、対応表41Aを生成してもよい。
識別子変換部42は、変換対象の所有者識別子を含む情報(変換対象情報)と、変換後の所有者識別子を含む情報の出力先の情報(出力先情報)とを受け取る。識別子変換部42は、変換対象情報に含まれる所有者識別子i(i=1,…,4)から、対応表41Aに基づき、対応する所有者識別子j(j=1,…,4,j≠i)を得る。識別子変換部42は、変換対象情報の所有者識別子iを所有者識別子jに置換した情報を変換後情報として生成する。これにより変換対象情報に含まれていた所有者識別子iを所有者識別子jに変換する。識別子変換部42は、変換後の所有者識別子jを含む変換後情報を、出力先情報が示す出力先に出力する。
第2の実施形態のデータ管理装置101の動作は、異なる所有者識別子を扱う装置間のやりとりが発生する場合に識別子変換部42で所有者識別子を変換する処理が追加される点が第1の実施形態と異なる。複数の装置の一部間で所有者識別子が共通している場合は、所有者識別子が共通する装置間のやりとりにおいて、識別子変換部42で所有者識別子を変換する処理は不要である。
以上、識別子対応関係記憶部41及び識別子変換部42を追加したことにより、各システム又は装置で異なる所有者識別子を用いていても、同意の確認や記録を行うことができる。
データ保管部11で用いる所有者識別子(所有者識別子2)は仮名でもよい。仮名は、例えばランダムで互いに重複しない文字列である。仮名だけでは個人を識別できないが、対応表41Aを用いることで、個人を識別することができる。
図20は、所有者識別子2を仮名にした対応表41Aの例を示す。所有者識別子2以外の所有者識別子が仮名であってもよい。また所有者識別子1~4のうちの複数が仮名であってもよい。仮名を用いることで、データを仮名で保存することができ、個人のプライバシーを保護することができる。
検証装置1は対応表41Aにアクセスし、所有者ごとに処理に関する記録とデータアクセスログとの整合性を検証する。以下、図21を用いて、検証装置1の動作について説明する。
図21は、第2の実施形態に係る検証装置1の動作の一例のフローチャートである。
ステップS201:検証装置1は所有者識別子1(又は2)に対する整合性検証要求を受ける。
ステップS202:検証装置1は、対応表41Aから所有者識別子1(又は2)に対応する所有者識別子2(又は1)を取得する。
ステップS203:検証装置1は第1記憶システム201から所有者識別子1を含む同意情報の同意情報識別子を取得する。
ステップS204:検証装置1は第1記憶システム201から同意情報識別子を同意情報項目に含む記録の記録識別子を取得する。処理に関する記録に所有者識別子1が含まれる場合は、第1記憶システム201から所有者識別子を含む記録の記録識別子を取得してもよい。
ステップS205:検証装置1は、同意に関する記録(同意情報)と処理に関する記録との整合性を検証する。
記録とログが対応するとは、処理に関する記録が参照する同意に関する記録におけるデータを特定する記述(所有者識別子1)が、データアクセスログにおけるデータを特定する記述(所有者識別子2)に対応することを指す。このことは、第1の実施形態において所有者識別子同士が一致する場合に対応する。
ステップS206:検証装置1は第2記憶システム601から所有者識別子2に関するデータアクセスログを取得する。
ステップS207:検証装置1は、ステップS204で取得した記録識別子を含む記録のうち、対象の記録事業者を含む処理に関する記録と、取得したデータアクセスログとの整合性を検証する。
ステップS208:検証装置1は、記録起点の検証とログ起点の検証とのうち少なくとも一方で整合性なしと判定した場合に、不整合が検出された(整合性なし)との情報を出力する。
以下に、各ステップの動作例を具体的に示す。所有者識別子2は仮名とする。所有者識別子2に対応する実名をデータ管理装置で用い、所有者識別子2(仮名)をデータ保管部11で用いることを想定する。
(例1)
ステップS201:検証装置1は、所有者識別子1(U000001)に対する整合性検証要求を受ける。
ステップS202:検証装置1は、対応表41Aから所有者識別子1(U000001)に対応する所有者識別子2(DKGLANCK)を取得する。
ステップS203~S205:実施形態1-1のステップS102~S104と同様のため省略する。
ステップS206:検証装置1は第2記憶システム601から所有者識別子2(DKGLANCK)に関するデータアクセスログを取得する。
図22は、データアクセスログ2-1の例を示す。検証装置1は図22のデータアクセスログにおける1,3,4行目のログを取得する。
また、対象とする記録事業者C001とする。検証装置1は、記録事業者C001及び所有者識別子1(U000001)に基づき、記録識別子R000002(受領記録)、R000004(生成記録)を取得する。
ステップS207:検証装置1は当該記録とデータアクセスログとの整合性を検証する。記録起点の検証では、記録識別子R000002の記録にデータアクセスログの1行目が対応し、記録識別子R000004の記録にデータアクセスログの3,4行目が対応すると判断する。記録起点の検証では不整合は検出されない。
ログ起点の検証では、データアクセスログの1行目に記録識別子R000002の記録が対応し、データアクセスログの4行目に記録識別子R000004の記録が対応すると判断する。ログ起点の検証では不整合は検出されない。
よって、検証装置1は、処理に関する記録とデータアクセスログとの不整合は検出されないと判定する。
ステップS208:実施形態1-1のステップS107と同様のため省略する。
(例2)
ステップS201:検証装置1は、所有者識別子1(U000002)に対する整合性検証要求を受ける。
ステップS202:検証装置1は、対応表41Aから所有者識別子1(U000002)に対応する所有者識別子2(PEQZLFMA)を取得する。
ステップS203~S205:実施形態1-1のステップS102~S104と同様のため省略する。
ステップS206:検証装置1は第2記憶システム601から所有者識別子2(PEQZLFMA)に関するアクセスログを取得する。検証装置1は図22のデータアクセスログにおける2,5行目のログを取得する。
また、対象とする記録事業者C001とする。検証装置1は、記録事業者C001及び所有者識別子1(U000002)に基づき記録識別子R000003(取得記録)、R000005(削除記録)を取得する。
ステップS207:検証装置1は当該記録とデータアクセスログとの整合性を検証する。記録起点の検証では、記録識別子R000003の記録にデータアクセスログの2行目が対応し、記録識別子R000005の記録にデータアクセスログの5行目が対応する。記録起点の検証では不整合は検出されない。
ログ起点の検証では、データアクセスログの2行目に記録識別子R000003の記録が対応し、データアクセスログの5行目に記録識別子R000005の記録が対応する。ログ起点の検証では不整合は検出されない。
よって、検証装置1は、処理に関する記録とデータアクセスログとの不整合は検出されないと判定する。
ステップS208:実施形態1-1と同様のため省略する。
(例3)
信頼性を高めるために機能を追加した変形例を示す。提供記録、受領記録、取得記録に、用いる所有者識別子の対応関係のハッシュ値を項目として追加する。検証装置1は、ステップS203~S205において、識別子対応関係記憶部41に保管されている所有者識別子の対応関係のハッシュ値を計算し、計算したハッシュ値と、記録における項目のハッシュ値との比較を行い、一致しない場合は、整合性なしと判定してもよい。
所有者識別子2は複数種類を用いてもよい。この場合、データアクセスログのアクセス先に記載する所有者識別子2について、複数種類が含まれてもよい。
<実施形態2-2>
検証装置1は対応表41Aにアクセスし、所有者ごとに、処理に関する記録と通信ログとの整合性を検証する。実施形態2-2における検証装置1の動作のステップに関して、実施形態2-1におけるステップS203~S205、S208は実施形態2-2にも同様に適用される。ステップS201、S202、S206、S207に対応する動作が実施形態2-1と異なる。
記録とログが対応するとは、処理に関する記録におけるデータを特定する記述(所有者識別子1)が、通信ログにおけるデータを特定する記述(所有者識別子i,i=1,…,4)に対応することを指す。このことは、第1の実施形態において所有者識別子同士が一致する場合に対応する。
ステップS201、S202:検証装置1が所有者識別子i(i=1,…,4)に対する整合性検証要求を受ける。検証装置1が対応表41Aから所有者識別子i(i=1,…,4)に対応する所有者識別子j(j=1,…,4,j≠i)を取得する。
ステップS206:検証装置1が第2記憶システム601から所有者識別子i(i=1,…,4)に関する通信ログを取得する。
ステップS207:検証装置1が、ステップS204で取得した記録識別子を含む記録のうち対象の記録事業者を含む処理に関する記録と、通信ログとの整合性を検証する。記録起点の検証とログ起点の検証とのうち少なくとも一方で整合性なしが判定された場合に、不整合が検出される(整合性なしと判定する)。
以下に、各ステップの動作例を具体的に示す。所有者識別子2は実名とする。所有者識別子2(実名)をデータ管理装置で用い、所有者識別子2に対応する仮名をデータ保管部11で用いることを想定する。
(例1)
ステップS201、S202:検証装置1は所有者識別子2(V000001)に対する整合性検証要求を受ける。検証装置1は対応表41Aから所有者識別子2(V000001)に対する所有者識別子1(U000001)、所有者識別子3(Username1)を取得する。
ステップS203~S205:実施形態1-1と同様のため省略する。
ステップS206:検証装置1は第2記憶システム601から所有者識別子2(V000001)、所有者識別子3(Username1)に関する通信ログを取得する。
図23は、通信ログ2-2の例を示す。検証装置1は、図23の通信ログから2,3行目のログを取得する。また対象とする記録事業者C001とする。記録事業者C001及び所有者識別子1(U000001)に基づき、記録識別子R000002(受領記録)、R000004(生成記録)を取得する。R000004(生成記録)は送信又は受信に関係しないため通信ログとの検証に用いない。R000002(受領記録)を通信ログとの検証に用いる。
ステップS207:検証装置1が、当該記録と通信ログとの整合性を検証する。記録起点の検証では、記録識別子R000002の記録に通信ログの3行目が対応すると判断する。記録起点の検証では不整合は検出されない。
ログ起点の検証では、個人データの送信ログは存在しない。ログ起点の検証では不整合は検出されない。
よって、検証装置1は、処理に関する記録と通信ログとの不整合は検出されないと判定する。
ステップS208:実施形態1-1と同様のため省略する。
(例2)
ステップS201、S202:検証装置1が所有者識別子2(V000002)に対する整合性検証要求を受ける。検証装置1が対応表41Aから所有者識別子2(V000002)に対応する所有者識別子1(U000002)、所有者識別子3(Username2)を取得する。
ステップS203~S205:実施形態1-1と同様のため省略する。
ステップS206:検証装置1が第2記憶システム601から所有者識別子2(V000002)、所有者識別子3(Username2)に関する通信ログを取得する。図23の通信ログの1,4,5行目のログを取得する。
また対象とする記録事業者C001とする。記録事業者C001及び所有者識別子1(U000002)に基づき、記録識別子R000003(取得記録)、R000005(削除記録)を取得する。R000005(削除記録)は送信又は受信に関係しないため通信ログとの検証に用いない。R000003(取得記録)を通信ログとの検証に用いる。
ステップS207:検証装置1が、当該記録と通信ログとの整合性を検証する。記録起点の検証では、記録識別子R000003の記録に通信ログの4行目が対応する。記録起点の検証では不整合は検出されない。
ログ起点の検証では、個人データの送信ログは存在しない。ログ起点の検証では不整合は検出されない。
よって、検証装置1は処理に関する記録と通信ログとの不整合は検出されないと判定する。
ステップS208:実施形態1-1と同様のため省略する。
図23に示した通信ログは一例であり、他の通信ログの例も可能である。例えば、送信者、受信者及び内容それぞれの項目に記載する所有者識別子は仮名でもよい。また、データ送信元装置301において所有者の管理に用いる識別子である所有者識別子3は、例えばデータ送信元別に、複数種類を用いてもよい。データ受信先装置401において所有者の管理に用いる識別子である所有者識別子4は、例えばデータ受信先別に、複数種類を用いてもよい。
<実施形態2-3>
検証装置1は対応表41Aにアクセスし、所有者ごとに同意に関する記録(同意情報)と通信ログとの整合性を検証する。実施形態2-3における検証装置の動作のステップに関して、実施形態2-1におけるステップS203~S205、S208は実施形態2-3にも同様に適用され、実施形態2-2におけるステップS201、S202は実施形態2-3にも同様に適用される。ステップS206、S207に対応する動作が実施形態2-1及び実施形態2-2と異なる。
記録とログが対応するとは、同意に関する記録におけるデータを特定する記述(所有者識別子1)が、通信ログにおけるデータを特定する記述(所有者識別子i,i=1,…,4)に対応することを指す。このことは、実施形態1における所有者識別子が一致することに対応する。
ステップS206:検証装置1が第2記憶システム601から所有者識別子i(i=1,…,4)に関する通信ログを取得する。
ステップS207:検証装置1がステップS203で取得した同意情報識別子の同意情報のうち対象の処理事業者を含む同意情報(同意に関する記録)と、通信ログとの整合性を検証する。検証装置1は、記録起点の検証とログ起点の検証とのうち少なくとも一方で整合性なしの場合に、不整合を検出する(整合性なしと判定する)。
以下に、各ステップの動作例を具体的に示す。
(例1)
ステップS201:検証装置1が所有者識別子2(V000001)に対する整合性検証要求を受ける。
ステップS202:実施形態2-2と同様のため省略する。
ステップS203~S205:実施形態1-1と同様のため省略する。
ステップS206:検証装置1が、第2記憶システム601における通信ログから、所有者識別子2(V000001)及び所有者識別子3(Username1)に関するログを取得する。図23の通信ログにおける2,3行目のログを取得する。
また、対象とする処理事業者C001とする。処理事業者C001及び所有者識別子(U000001)に基づき、同意情報識別子C000007(間接取得同意)を取得する。
ステップS207:検証装置1が、当該同意情報識別子の同意情報(同意に関する記録)と通信ログとの整合性を検証する。記録起点の検証では、同意情報識別子C000007の同意情報に通信ログの2行目が対応すると判断する。記録起点の検証では不整合は検出されない。
ログ起点の検証では、通信ログの2行目に同意情報識別子C000007の同意情報が対応する。ログ起点の検証では不整合は検出されない。
よって、検証装置1は、同意に関する記録と通信ログとの不整合は検出されないと判定する。
ステップS208:実施形態1-1と同様のため省略する。
(例2)
ステップS201:検証装置1が所有者識別子2(V000002)に対する整合性検証要求を受ける。
ステップS202:実施形態2-2と同様のため省略する。
ステップS203~S205:実施形態1-1と同様のため省略する。
ステップS206:検証装置1が第2記憶システム601における通信ログから所有者識別子2(V000002)及び所有者識別子3(Username2)に関する通信ログを取得する。図23の通信ログにおける1,4,5行目のログを取得する。
また、対象とする処理事業者C001とする。処理事業者C001及び所有者識別子2(U000002)に基づき、同意情報識別子C000003,C000010(直接取得同意)を取得する。
ステップS207:検証装置1が、当該同意情報識別子の同意情報(同意に関する記録)と通信ログとの整合性を検証する。記録起点の検証では、同意情報識別子C000003の同意情報に通信ログの1行目が対応し、同意情報識別子C000010の同意情報に通信ログの5行目が対応する。記録起点の検証では不整合は検出されない。
ログ起点の検証では、通信ログ1行目に同意情報識別子C000003の同意情報が対応し、通信ログ5行目に同意情報識別子C000010の同意情報が対応する。ログ起点の検証では不整合は検出されない。
よって、検証装置1は、処理に関する記録と通信ログとの不整合は検出されないと判定する。
ステップS208:実施形態1-1と同様のため省略する。
(第3の実施形態)
<実施形態3-1>
図24は、本発明の一実施形態に係る情報処理システムであるデータ管理システムの一例を示すブロック図である。図1と同一又は対応する要素には同一の符号を付して詳細な説明は適宜省略する。本実施形態に関する情報処理システムは、データ関係者(例えばデータ所有者)の情報処理装置である関係者装置501(図1の所有者装置501に対応)と、データ取扱者の情報処理装置であるデータ管理装置101と、データ関係者でもデータ取扱者でもない第三者であるデータ利用者の情報処理装置である利用者装置701と、第1記憶システム201(本例ではブロックチェーンシステム)と、検証装置1とを備える。検証装置1は、ブロックチェーンシステム201に書き込まれた各種記録に関する検証を行う情報処理装置である。図1では検証装置1は関係者装置501、データ管理装置101及び利用者装置701とは別の装置として示されているが、関係者装置501、データ管理装置101及び利用者装置701の少なくともいずれかと同一の装置であってもよい。データ管理装置101は、第2記憶システム601に接続されている。データ管理装置101は、利用者向け識別子対応表91(以下、対応表91)を備えている。対応表91はデータ保管部又は他の記憶部に格納されている。検証装置1、データ管理装置101及び第2記憶システム601のブロック構成は図1と同じであるとする。
なお、関係者装置501、データ管理装置101、及び利用者装置701は、1台とは限らず、複数台であってもよい。利用者装置701は、一例として図1のデータ送信元装置301又は受信先装置401に対応する。但し、利用者装置701がデータ管理装置101である場合も可能である。
本実施形態の情報処理システムは、データ管理装置101がデータ関係者(データ所有者)のデータを取り扱う。様々な取り扱いが想定されるが、この取り扱いの一つとして、データ管理装置101は、当該データを利用者装置701に送信し得る。言い換えれば、データ取扱者が、データ関係者のデータを、第三者であるデータ利用者に提供し得る。例えば、個人データを保管するPDS(Personal Data Store)を運営する個人情報取扱事業者(PDS事業者)がデータ取扱者であり、PDS事業者が、個人データを、本人又は代理人の同意を取得した上で、第三者に提供することが考えられる。なお、データ取扱者が自らデータを収集するのではなく、データ取扱者がデータ関係者からデータを取得してデータ利用者に提供する場合、データ取扱者はデータの一次受領者であり、データ利用者がデータの二次受領者とも言える。
なお、データ関係者、データ取扱者、及びデータ利用者は、特定の者に限られるものではなく、個人でも法人でもよい。また、データ関係者は、単に、データに対応づけられる者を意味し、特定の者に限定されるものではない。例えば、データ関係者は、データ取扱者に対してデータの取り扱いについて同意した同意者、データの保有者、当該保有者の代理人などでもよい。また、データ関係者は、データによって特定される人でもよい。例えば、当該データが、住所、性別、年齢などを示すものであり、それら住所等によって特定される人をデータ関係者としてもよい。このように、データに対する同意、又は、データ自体に関係する者がデータ関係者として想定される。
また、本実施形態において扱うデータの種類、また、データの送受信方法などは、特定の種類又は方法に限られるものではない。例えば、対象とするデータは、個人データでもよいし、産業データでもよい。
また、本実施形態では、データに対する記録が、ブロックチェーンシステム201が提供するブロックチェーンに書き込まれる。データの取り扱い対する同意が成されたこと、当該取り扱いが実行されたこと、当該取り扱いが実行されたことによってデータが利用可能となったことなどが、ブロックチェーンに書き込まれる。例えば、データを第三者に提供したこと、又は、データの取得、受領、解析、編集、もしくは消去などが行われことが、ブロックチェーンに書き込まれてもよい。本実施形態においてデータの取得は、データ関係者からデータ取扱者がデータを獲得することを意味し、データの受領は、データ取扱者からデータを獲得することを意味する。ただし、取得と受領をいずれか一方に統一してもよい。
このようなデータに対する記録を残すことにより、データのトレーサビリティを担保する。例えば、データが第三者に提供された場合に、データ関係者が、データがどの利用者に提供されたかと、提供の根拠となった同意と、を確認できるようにする。また、当該記録がブロックチェーンによって管理されることにより、当該記録に対する改ざんへの耐性を向上させることができる。
ブロックチェーンは、ブロックチェーンに係るP2Pネットワークに所属する情報処理装置に分散されて管理される。当該P2Pネットワークは、ブロックチェーンのブロックに書き込む内容を合意形成するためのネットワークとも言える。関係者装置501、データ管理装置101、及び利用者装置701は、直接又は間接的に、データに関する記録をブロックチェーンに書き込めればよい。すなわち、関係者装置501、データ管理装置101、及び利用者装置701が、ブロックチェーンシステム201、言い換えればブロックチェーンに係るP2Pネットワークに属していて、ブロックチェーンのブロックに、直接、書き込みを行ってもよい。あるいは、関係者装置501、データ管理装置101、及び利用者装置701は、ブロックチェーンシステム201に属しておらず、ブロックチェーンシステム201に属する情報処理装置に対して、ブロックチェーンへの書き込みを依頼してもよい。言い換えれば、書き込みたい記録をブロックチェーンに属する情報処理装置に送付することにより、間接的に、ブロックチェーンへの書き込みを実現してもよい。
また、関係者装置501、データ管理装置101、及び利用者装置701が、個別に、ブロックチェーンのブロックに書き込みを行ってもよいし、それらのいずれかが、代表して書き込みを行ってもよい。例えば、関係者装置501がブロックチェーンのブロックに同意に関する記録を書き込み、データ管理装置101は、ブロックチェーンを監視しておくことにより、当該同意を認識してもよい。あるいは、データ管理装置101が、関係者装置501からの同意を示す情報を、ブロックチェーン以外の媒体、例えば、メール、Webページなどを介して取得して、当該情報に基づいてブロックチェーンのブロックに、同意に関する記録を書き込んでもよい。
なお、ブロックチェーンへの書き込み方法は、公知の技術を用いればよく、本実施形態においては、詳細に記載しない。例えば、安全性を示すために、書き込まれる記録にデジタル署名が添付され得るが、当該デジタル署名は、関係者装置501の秘密鍵から生成されたものでもよいし、データ管理装置101の秘密鍵から生成されたものでもよい。また、データ関係者が秘密鍵を安全に管理するのは比較的困難であるため、秘密鍵の管理をデータ取扱者に任せる場合もあり得る。そのため、データ管理装置101が、関係者装置501の代わりに関係者装置501の秘密鍵からデジタル署名を生成して関係者装置501に送信してもよい。
検証装置1は、他の装置からブロクチェーンに書き込まれた任意の記録に対する整合性の検証要求を受信し、検証要求に基づきブロックチェーンから記録を検索し、記録の整合性を検証する。検証要求の要求元装置は、関係者装置501、データ管理装置101又は利用者装置701でもよいし、これらとは異なる装置でもよい。検証装置1は、ブロックチェーンシステム201に属しておらず、ブロックチェーンシステム201に属する情報処理装置に対して、ブロックチェーンにおける検索を依頼してもよい。図24では検証装置1は関係者装置501、データ管理装置101及び利用者装置701とは別の装置として示されているが、関係者装置501、データ管理装置101及び利用者装置701の少なくともいずれかが検証装置1を兼ねていてもよい。
なお、情報処理システムに関わる主体は、図24に示した主体に限られるわけではなく、その他の主体が存在してもよい。例えば、関係者のデータは、データ取扱者とは別のデータ管理者によって保管されることも想定される。この場合、データ管理者の情報処理装置が、関係者装置501からデータを取得し、データ管理者の情報処理装置が、データ管理装置101からの指示を受けて利用者装置701にデータを送信すればよい。すなわち、データ管理者の情報処理装置が、データ管理装置101の一部として機能すればよい。
図25は、本実施形態に係るブロックチェーンの一例を示す図である。図26は、図25に続く図である。以下、図25及び図26のブロックチェーンについて説明する。
図25及び図26には、ブロック300からブロック318を含むブロックチェーンが示されている。ブロックチェーンには、データに関する記録、より詳細には、データの取扱に関する記録が書き込まれている。ブロック300から318に示されたトランザクションIDは、各記録が示す処理(トランザクション)の識別子である。ブロック300からブロック318に示されたBCユーザIDは、ブロックチェーンにおけるユーザIDを意味し、各記録が示す処理の主体を示す。
第3の実施形態について、第1の実施形態及び第2の実施形態の説明で用いた用語との関係について説明する。
・第3の実施形態におけるデータ関係者は、第1の実施形態及び第2の実施形態におけるデータ所有者に対応する。
・トランザクションIDは、第1の実施形態及び第2の実施形態における同意情報識別子又は記録識別子に対応する。
・BCユーザIDは、第1の実施形態及び第2の実施形態における所有者識別子又は記録事業者に対応する。
・「取扱」は第1の実施形態及び第2の実施形態における「処理」と同様の意味で用いる。
・処理に関する記録には、提供記録、受領記録、取得記録、生成記録、削除記録の他に、利用記録がある。なお、第3の実施形態では生成記録の例はない。
・同意に関する記録(同意情報)には、直接取得同意の記録、間接取得同意の記録、提供同意の記録がある。実施形態3では間接取得同意の例はないが、提供先がデータ取扱者である提供同意が間接取得同意にあたる。
ブロック300は、BCユーザIDが「hanako」であるデータ関係者が、BCユーザIDが「dealer1」であるデータ取扱者によるデータの取得という取り扱いに同意したという記録(取扱同意記録)を示す。同意の有効日は2021年8月11日以降である。取扱の種類は「取得」、記録の種類は「取扱同意」となっている。このような同意に関する記録を直接取得同意という。また状態は「同意」となっている。「hanako」は実名でも仮名でもよいが、本実施形態では仮名の場合を想定する。
本実施形態においてデータの取得は、取得したデータの保管までを含んでよい。つまりデータの取得に同意したことは、取得したデータの保管にも同意したことを意味する。ただし、データの取得と、取得したデータの保管とを、異なる取扱の種類として別々に定義してもよい。
ブロック301も取扱同意記録を示している。ブロック301は、データ提供元が「dealer1」で、データ提供先がBCユーザID「company1」であるデータ利用者であればデータを提供してもよいという提供に関する同意を「hanako」が行ったことを示している。これは、「company1」によるデータ受領への同意とも言える。この記録では、取扱の種類が「提供」、記録の種類は「取扱同意」となっている。このような同意に関する記録を提供同意という。同様に、ブロック302は、データ提供元が「dealer1」で、データ利用者が「company2」であればデータを提供してもよいという同意を「hanako」が行ったことを示している。これは、「company2」によるデータ受領への同意とも言える。ブロック301と同様に、取扱の種類が「提供」、記録の種類は「取扱同意」となっている(提供同意)。
ブロック303及びブロック304はそれぞれ、BCユーザIDが異なる以外は、ブロック301及びブロック302と同じ記録(取扱同意記録)を示すものである。ブロック303及びブロック304に示されるBCユーザIDは、利用者(提供先)に応じて変更されている。言い換えれば、BCユーザIDは、利用者ごとに専用の識別子とされている。BCユーザIDは、関係者と利用者の組み合わせと一意に対応する識別子となっており、データ関係者「hanako」が、利用者によって異なる識別子によって表される。同じ利用者であっても、組み合わされる関係者に応じて識別子は異なる。取扱同意記録のBCユーザIDを、関係者に対応する利用者用の識別子に書き換えた取扱同意記録を取扱同意再記録と呼ぶ。このため、ブロック303及びブロック304のいずれにおいても、記録の種類は「取扱同意再」となっている。
ブロック305及びブロック306は、BCユーザIDが異なる以外は、ブロック300と同じ取扱同意記録を示すものである。ブロック305及びブロック306に示されるBCユーザIDは、ブロック303及びブロック304と同様、関係者と利用者の組み合わせと一意に対応する識別子となっている。
ブロック307は、データ取得に関する取扱実行記録である。取得の主体は「dealer1」で、データ取得が2021年8月13日に行われたことを示す。記録の種類は「取扱実行」、取扱の種類は「取得」となっている。取扱の種類が「取得」である取扱実行記録を、取得に関する取扱実行記録、取得の取扱実行記録又は取得記録などと呼ぶことがある。
ブロック308は、「dealer1」によるデータ提供に関する取扱実行記録である。記録の種類は「取扱実行」、取扱の種類は「提供」となっている。取扱の種類が「提供」である取扱実行記録を、提供に関する取扱実行記録、提供の取扱実行記録又は提供記録などと呼ぶことがある。
ブロック309は、「dealer1」による当該データ提供に対応する、「campany1」によるデータ受領に関する利用記録である。当該データの提供者は、参照する提供同意ID03の提供元「dealer1」から分かる。記録の種類は「取扱実行」、取扱の種類は「受領」となっている。取扱の種類が「受領」である取扱実行記録を、受領に関する取扱実行記録、受領の取扱実行記録又は受領記録などと呼ぶことがある。
同様に、ブロック310は、「dealer1」によるデータ提供に関する取扱実行記録(提供記録)であり、ブロック311は、「dealer1」による当該データ提供に対応する、「campany2」によるデータ受領に関する利用記録(受領記録)である。ブロック310及びブロック311は、それぞれ、ブロック308及びブロック309と同様の内容であるが、ブロック308及びブロック311に比べて提供同意ID及び取得同意IDなどが異なっている。
ブロック312は、「dealer1」によるデータの利用を表す取扱実行記録である。記録の種類は「取扱実行」、取扱の種類は「利用」となっている。このような取扱に関する記録を利用記録という。当該データの関係者は、参照する同意ID00のBCユーザID「hanako」である。「dealer1」はデータ取扱者(図1参照)に対応するが、データの利用は、データ利用者のみならず、データ取扱者も行うことができる。すなわちデータ取扱者もデータ利用者になり得る。
ブロック313は、BCユーザIDが「hanako」というデータ関係者が、「dealer1」というデータ取扱者によるデータの取得の同意を撤回したという記録(取扱同意記録)を示す。ブロック313において、状態は「不同意」となっている。
ブロック314及びブロック315はそれぞれ、BCユーザIDが異なる以外は、ブロック313と同じ取扱同意記録を示すものである。ブロック314及びブロック315に示されたBCユーザIDは、利用者に応じて変更されており、言い換えれば、利用者と一意に対応する識別子となっている。ブロック314及びブロック315において、記録の種類は「取扱同意再」となっており、状態は「不同意」となっている。
ブロック316は、BCユーザIDが「hanako」というデータ関係者が、「dealer1」から「company1」へのデータの提供という取扱の同意を撤回したという記録(取扱同意記録)を示す。
ブロック317は、BCユーザIDが異なる以外は、ブロック316と同じ取扱同意記録を示すものである。ブロック317に示されたBCユーザIDは、利用者に応じて変更されており、利用者と一意に対応する識別子となっている。ブロック317において、記録の種類は「取扱同意再」となっており、状態は「不同意」となっている。
ブロック318は、「dealer1」によるデータの削除を表す取扱実行記録(削除記録)である。当該データの関係者は、参照する同意ID(トランザクションID)13のブロック313におけるBCユーザIDが示す「hanako」である。
なお、ブロックチェーンに書き込まれる記録には様々の情報が含まれ得る。例えば、取得に関する取扱同意記録(例えばブロック300)に、取扱者がデータをどこから取得するか、言い換えれば、データの送信元、が含まれていてもよい。また、取得に関する取扱実行記録(例えばブロック307)に、取扱者がデータをどこから取得したか、言い換えればデータの送信元、が含まれていてもよい。また、例えば、提供に関する取扱同意記録(例えばブロック308)においては、データの全部を提供してよいこと、あるいは、データのどの部分を提供してよいかを示すデータ項目などが含まれていてもよい。また、これらの取扱同意記録・取扱実行記録において、データの提供先が、明示的に含まれていてもよいし、上記のように、他の記録を参照することによってデータの提供先が判明するのであれば、データの提供先が省略されてもよい。
また、図25及び図26の例では、一つの記録が一つのブロックに書き込まれているが、必ずしも1対1である必要はなく、複数の記録が一つのブロックに書き込まれていてもよい。例えば、取得に関する取扱同意記録(直接取得同意)と、提供に関する取扱同意記録(提供同意)と、が、一つのブロックに書き込まれていてもよい。また、一つの記録内に複数の同じ種類の項目が記載されていてもよい。例えば、取得の同意(直接取得同意)、提供の同意(提供同意)などの複数の同意が、一つの取扱同意記録に含まれていてもよい。あるいは、一つの取得に関する取扱同意記録(直接取得同意)に、複数の関係者それぞれの取得に関する同意が含まれていてもよい。また、複数の同意に基づいて、複数のデータを一度に提供した場合に、データ提供に関する取扱実行記録(提供記録)には、データ提供に関する複数の取扱同意記録(提供同意)が示す情報が含まれ得る。
また、ブロックから必要な情報が読み取ることができれば、記録がどのようにブロックに書き込まれてもよい。例えば、記録の一部又は全部が、メタ情報として、ブロックに含まれていてもよい。
このように、ブロックチェーンに記録を書き込むことにより、トレーサビリティを担保することができる。なお、ブロックチェーンのブロックは、ブロックチェーンシステム(P2Pネットワーク)に所属する情報処理装置であれば利用可能であるため、秘匿性が問題となるが、図25及び図26のブロックチェーンでは、秘匿性に対する対策も行われている。例えば、図25及び図26では、BCユーザIDが「hanako」という識別子(仮名)により示されているが、当該識別子が実際の個人名とは関係なければ、個人を特定することは難しい。所定ルールに基づいて個人名を、他の文字列、数字などに置き換えるという仮名化といった手法を行うことで、個人を特定することを難しくできる。
なお、ブロックチェーンに書き込まれる記録には、様々な情報を付与してよい。例えば、取得・提供等されるデータの詳細が付与されていてもよい。関係者装置501から渡されたデータの一部をデータ管理装置101が利用者装置701に提供する場合は、当該一部を認識することができる情報、例えば、項目名、データ内の位置などの情報、が記録されていてもよい。また、データ管理装置101が1つの場合は、提供元のデータ管理装置101のBCユーザIDを記録に含めなくてもよい。
このようにして、ブロックチェーンへの記録の書き込みが行われると、データが漏洩した場合にもデータ突合わせなどによりデータ関係者を特定する情報等が漏洩する不利益を低減しつつ、第三者への提供に対する同意及び提供の履歴を確認できる。
例えば、データ関係者は、通常の識別子のBCユーザIDをキーとして、ブロックチェーン上のブロックに書き込まれた取扱同意記録を読み出すことにより、データ関係者が意図した同意の内容になっているか否かを確認できる。図26の例では、関係者装置501は、「hanako」をキーとして、ブロック300、ブロック301、ブロック302、及びブロック313を検出できる。これにより、取得の同意(保管の同意)と、company1という第1利用者への提供の同意と、company2という第2利用者への提供の同意と、が有効であるか否かを確認することができる。
また、第1利用者は、第2利用者向けの識別子「j1k2m3」が第1利用者向けの識別子「g7h8i9」と同一のデータ関係者を表すことを認識できない。同じく、第2利用者は、第1利用者向けの識別子「g7h8i9」が第2利用者向けの識別子「j1k2m3」と同一のデータ関係者を表すことを認識できない。このため、第1利用者及び第2利用者の一方がデータを漏洩したとしても、他方は、突合わせによりこのデータが「hanako」のデータであることは特定できない。したがって、データの漏洩による不利益を低減することができる。
なお、データ関係者がデータ利用者向け識別子を知っており、データ利用者向け識別子でもトレーサビリティを担保できる場合など、システムの仕様に応じて、ブロック301及びブロック302などの生成は省略されてもよい。また、ブロック301及びブロック302などの生成を省略した場合には、通常の識別子と、利用者ごとの一意の識別子と、の対応関係を認識している情報処理装置に問い合わせてもよい。これにより、データ提供又はデータ取得などに対する同意を行っているデータ関係者の通常の識別子又は利用者用の識別子を確認できる。
なお、関係者装置501がデータ提供に同意した後に、提供の同意を撤回することもあり得る。そのため、データ提供に際して、提供の同意が撤回されていないことを確認できることが好ましい。すなわち、関係者装置501がデータの提供の同意を撤回した場合には、ブロックチェーンに提供の同意を撤回する記録が書き込まれる。データ管理装置101は、データ提供の際に、関係者装置501のBCユーザIDをキーとしてブロックチェーンを検索して、提供の同意が撤回されていないかを判定することが好ましい。なお、提供の同意に有効期限が示されている場合は、提供の同意に示された有効期限が切れていないかを確認することが好ましい。このように、データ提供に際して、提供の同意の有効性を確認することが好ましい。
なお、上記では、データ取扱者としてdealer1だけが説明されたが、複数の取扱者が存在する場合もあり得る。その場合、複数のデータ取扱者ごとに、データ関係者のBCユーザIDを変更してもよい。また、データ取扱者及びデータ利用者の組み合わせごとに、データ関係者のBCユーザIDを変更してもよい。例えば、dealer1というデータ取扱者からデータ利用者company1へのデータ提供の取扱同意記録には、「g7h8i9」を用いる。dealer2という別のデータ取扱者からデータ利用者company1へのデータ提供の取扱同意記録には、「g7h8i9」とは別の識別子を用いる。これにより、データの漏洩による不利益を低減することができる。
なお、図25及び図26のブロックチェーンは例示であり、ブロックチェーンには、様々な記録が書き込まれてよい。例えば、データ利用者が、データの解析、編集、又は消去などを実行した記録など、データの受領以外の利用記録が書き込まれてもよい。また、受領に関する利用記録に、受領したデータの項目、データを提供したデータ管理装置101のBCユーザIDなどが記録されてもよい。
検証装置1は対応表91にアクセスし、データ関係者ごとに処理に関する記録とデータアクセスログとの整合性を検証する。
図27は、第3の実施形態に係る検証装置1の動作の一例のフローチャートである。
ステップS301:検証装置1はデータ関係者のBCユーザID(例えば所有者識別子)に対する整合性検証要求を受ける。
ステップS302:検証装置1は、データ関係者のBCユーザID(所有者識別子)に基づき、対応表91から利用者向けの識別子であるBCユーザIDを取得する。
ステップS303:検証装置1は、第1記憶システム201からBCユーザID(所有者識別子又は利用者向けの識別子)を含む取扱同意のトランザクションID(同意情報識別子)を取得する。
ステップS304:検証装置1は、第1記憶システム201から取扱同意のトランザクションID(同意情報識別子)を、同意ID項目に含む取扱実行のトランザクションIDを取得する。取扱実行記録(処理に関する記録)にデータ関係者のBCユーザID(利用者向けの識別子)が含まれる場合は、第1記憶システム201からデータ関係者のBCユーザID(所有者識別子又は利用者向けの識別子)を含む取扱実行のトランザクションIDを取得してもよい。
ステップS305:検証装置1は、取扱同意(同意に関する記録)と取扱実行記録(処理に関する記録)との整合性を検証する。
ステップS306:検証装置1は、第2記憶システム601からデータ関係者(データ所有者等)のBCユーザIDに関するデータアクセスログ(後述する図28参照)を取得する。データアクセスログでは、データ関係者のBCユーザIDとして、対象とする記録事業者用のBCユーザIDが用いられる(同じデータ関係者でも記録事業者ごとにBCユーザIDが異なる)。
ステップS307:検証装置1は、ステップS304で取得したトランザクションIDの取扱実行記録のうち、対象とする記録事業者のBCユーザIDを含む取扱実行記録(処理に関する記録)と、データアクセスログとの整合性を検証する。
記録起点の検証では、実施形態1-1と同様の処理を行う。さらに、取扱実行記録が利用記録である場合に、利用記録について対応する読み出しログがない場合に整合性なしと判定する。
検証装置1は、記録起点とログ起点との少なくとも一方で整合性なしの場合に不整合を検出する(整合性なしと判定する)。
ステップS308:検証装置1は、ステップS305とステップS307との両方で不整合が検出されない場合に、全体として不整合は検出されないことを決定する。検証装置1は、全体として不整合が検出されないことを示す情報を出力(例えば画面に表示)してもよい。ステップS305とステップS307の少なくとも一方で整合性なしと判定した場合に、全体として不整合が検出されることを決定する。検証装置1は、全体として不整合が検出されたことを示す情報を出力してもよい。この際、ステップS305とステップS307のいずれで不整合が検出されたかを識別する情報を併せて画面に表示してもよい。
以下に、各ステップの動作例を具体的に示す。
(例1)
ステップS301:検証装置1がBCユーザID(hanako)に対する整合性検証要求を受ける。
ステップS302:検証装置1が対応表91からBCユーザID(hanako)に対応する第1利用者向けの識別子であるBCユーザID(g7h8i9)と第2利用者向けの識別子であるBCユーザID(j1k2m3)を取得する。
ステップS303:検証装置1が第1記憶システム201からBCユーザID(hanako,g7h8i9,j1k2m3)を含む取扱同意のトランザクションID00,01,02,03,04,05,06,13,14,15,16,17を取得する。
ステップS304:検証装置1が第1記憶システム201から取扱同意のトランザクションID00,01,02,03,04,05,06,13,14,15,16,17を同意IDに含む取扱実行のトランザクションID07,08,09,10,11,12,18を取得する。
ステップS304:検証装置1が、取扱同意(同意に関する記録)と取扱実行記録(処理に関する記録)との整合性を検証する。不整合は検出されないと判定する。
ステップS306:検証装置1が第2記憶システム601からBCユーザID(hanako)に関するデータアクセスログを取得する。
図28は、データアクセスログ3-1の例を示す。図28のデータアクセスログから1~5行目のログを取得する。対象とする記録事業者のBCユーザIDをdealer1とする。dealer1に基づき、取扱実行のトランザクションID07,08,10,12,18を取得する。
ステップS307:検証装置1が当該取扱実行の記録とデータアクセスログとの整合性を検証する。記録起点の検証では、トランザクションID07の取得記録にデータアクセスログの1行目のログが対応し、トランザクションID08の提供記録にデータアクセスログの2行目が対応し、トランザクションID10の提供記録にデータアクセスログの3行目が対応し、トランザクションID12の利用記録にデータアクセスログの4行目が対応し、トランザクションID18の削除記録にデータアクセスログの5行目が対応すると判断する。記録起点の検証では不整合は検出されない。
ログ起点の検証では、データアクセスログの1行目にトランザクションID07の取得記録が対応し、データアクセスログの5行目にトランザクションID18の削除記録が対応すると判断する。ログ起点の検証では不整合は検出されない。
よって、検証装置1は、取扱実行記録(処理に関する記録)とデータアクセスログとの不整合は検出されないと判定する。
ステップS308:実施形態1-1のステップS107と同様のため省略する。
<実施形態3-2>
検証装置1は対応表91にアクセスし、データ関係者ごとに取扱実行記録(処理に関する記録)と通信ログとの整合性を検証する。実施形態3-2における検証装置の動作に関して、実施形態3-1におけるステップS301~S305、S308は実施形態3-2にも同様に適用される。ステップS306、S307に対応する動作が、実施形態3-1と異なる。
ステップS306:検証装置1が第2記憶システム601からデータ関係者のBCユーザIDに関する通信ログを取得する。
ステップS307:検証装置1がステップS304で取得したトランザクションIDが示す取扱実行記録のうち、対象とする記録事業者のBCユーザIDを含む取扱実行記録(処理に関する記録)と、通信ログとの整合性を検証する。記録起点とログ起点の少なくとも一方で整合性なしと判定された場合に、不整合が検出される(整合性なしと判定される)。
以下に、各ステップの動作例を具体的に示す。
ステップS301、S302:実施形態3-1と同様のため省略する。
ステップS303~S305:実施形態3-1と同様のため省略する。
ステップS306:検証装置1が第2記憶システム601からBCユーザID(hanako,g7h8i9,j1k2m3)に関する通信ログを取得する。
図29は、通信ログ3-2の例を示す。個人データ送受の通信ログのみ取得するとし、図29の通信ログの4~6行目を取得する。対象とする記録事業者のBCユーザIDをdealer1とする。dealer1に基づき、取扱実行のトランザクションID07,08,10,12,18を取得する。
ステップS307:検証装置1が当該取扱実行の記録と通信ログとの整合性を検証する。記録起点の検証では、トランザクションID07(取得記録)に通信ログの4行目が対応し、トランザクションID08(提供記録)に通信ログの5行目が対応し、トランザクションID10(提供記録)に通信ログの6行目が対応する。記録起点の検証では不整合は検出されない。
ログ起点の検証では、通信ログの5行目にトランザクションID08(提供記録)が対応し、通信ログの6行目にトランザクションID10(提供記録)が対応する。ログ起点の検証では不整合は検出されない。なお、本例では通信ログの4行目に対応してトランザクションID07(取得記録)が存在するが、通信ログの4行目に対応してトランザクションID07(取得記録)が存在する場合もあり得る。例えば、個人データの受領又は取得において、通信ネットワークを介して個人データを受信した後に、間接取得同意又は直接取得同意を確認し、同意に関する記録が存在しない又は同意状態が不同意である場合に、データ保管部11に個人データの書き込みをしない動作は許容される。このため、データ受信に対応する取得記録がないことは必ずしも不整合ではない。よって、ログ起点の検証において、通信ログの4行目に対応してトランザクションID07(取得記録)が存在するかを確認することは必ずしも必要ではなく、本動作例ではそのような確認を行っていない。
よって、検証装置1は、取扱実行記録(処理に関する記録)と通信ログとの不整合は検出されないと判定する。
ステップS308:実施形態1-1と同様のため省略する。
<実施形態3-3>
検証装置1は対応表91にアクセスし、データ関係者ごとに同意に関する記録と通信ログとの整合性を検証する。実施形態3-3における検証装置の動作に関して、実施形態3-1におけるステップS301~S305、S308は実施形態3-3にも同様に適用される。ステップS306、S307に対応する動作が、実施形態3-1と異なる。
ステップS306:検証装置1が第2記憶システム601からデータ関係者のBCユーザIDに関する通信ログを取得する。データ関係者の同意の受信ログでは、対象とする処理事業者向けのBCユーザIDが用いられる。
ステップS307:検証装置1がステップS304で取得したトランザクションIDが示す取扱同意のうち対象とする処理事業者のBCユーザIDを含む取扱同意(同意に関する記録)と、通信ログとの整合性を検証する。記録起点とログ起点の少なくとも一方で整合性なしの場合に不整合が検出される(整合性なしと判定する。
以下に、各ステップの動作例を具体的に示す。データ関係者の装置(関係者装置)は第1記憶システム201に直接アクセスせず、対象の処理事業者(例えば、データ取扱事業者のデータ管理装置101)を介してアクセスするものとする。従って、同意に関する記録に対応する通信ログを処理事業者の装置(例えばデータ管理装置101)が持ち、所有者の同意を受信する受信者が処理事業者の装置(例えばデータ管理装置101)となっている。
ステップS301、S302:実施形態3-1と同様のため省略する。
ステップS303~S305:実施形態3-1と同様のため省略する。
ステップS306:検証装置1が第2記憶システム601からBCユーザID(hanako)に関する通信ログを取得する。データ関係者の同意の受信の通信ログのみ取得するとし、図29の通信ログの1~3,7行目を取得する。対象とする処理事業者のBCユーザIDをdealer1とする。dealer1に基づき、取扱同意のトランザクションID00,01,02,13,16を取得する。
ステップS307:検証装置1が当該取扱同意の記録(同意情報)と通信ログとの整合性を検証する。記録起点の検証では、トランザクションID00の直接取得同意に通信ログの1行目が対応し、トランザクションID01の提供同意に通信ログの2行目が対応し、トランザクションID02の提供同意に通信ログの3行目が対応し、トランザクションID13の直接取得同意の撤回に通信ログの7行目が対応すると判断する。トランザクションID16の提供同意の撤回は、トランザクションID13の直接取得同意の撤回に基づき内部処理として生成されるため、対応する通信ログはない。記録起点の検証では不整合は検出されない。
ログ起点の検証では、通信ログの1行目にトランザクションID00の直接取得同意が対応し、通信ログの2行目にトランザクションID01の提供同意が対応し、通信ログの3行目にトランザクションID02の提供同意が対応し、通信ログの7行目にトランザクションID13の直接取得同意の撤回が対応する。ログ起点の検証では不整合は検出されない。
よって、検証装置1は、同意に関する記録と通信ログとの不整合は検出されないと判定する。
ステップS308:実施形態1-1と同様のため省略する。
<実施形態3-4>
検証装置1は対応表91にアクセスし、データ関係者ごとに同意に関する記録と認証ログとの整合性を検証する。実施形態3-4における検証装置の動作に関して、実施形態3-1におけるステップS301~S305、S308は実施形態3-4にも同様に適用される。ステップS306、S307に対応する動作が、実施形態3-1と異なる。
ステップS306:検証装置1は第2記憶システム601からデータ関係者のBCユーザIDに関する認証ログを取得する。データ関係者の認証ログでは、データ関係者のBCユーザIDとして、対象とする処理事業者向けのBCユーザIDが用いられる。
ステップS307:検証装置1はステップS304で取得したトランザクションIDが示す取扱同意のうち対象とする処理事業者のBCユーザIDを含む取得同意(同意に関する記録)と、認証ログとの整合性を検証する。
以下に、各ステップの動作例を具体的に示す。データ関係者の装置(関係者装置)は第1記憶システム201に直接アクセスせず、対象の処理事業者の装置(例えば、データ管理装置101)を介してアクセスするものとする。従って、取扱同意(同意に関する記録)に対応する認証ログを、処理事業者の装置(例えば、データ管理装置101)が持つ。
ステップS301、S302:実施形態3-1と同様のため省略する。
ステップS303~S305:実施形態3-1と同様のため省略する。
ステップS306:検証装置1は第2記憶システム601からBCユーザID(hanako)に関する認証ログを取得する。
図30は、認証ログ3-4の一例を示す。データ関係者の認証ログのみ取得するとし、図30の認証ログの1~4行目を取得する。
また、対象とする処理事業者のBCユーザID(dealer1)とする。dealer1に基づき、取扱同意のトランザクションID00,01,02,13,16を取得する。
ステップS307:検証装置1は、当該取扱同意の記録(同意情報)と認証ログとの整合性を検証する。記録起点の検証では、トランザクションID00の直接取得同意に認証ログの1行目が対応し、トランザクションID01の提供同意に認証ログの2行目が対応し、トランザクションID02の提供同意に認証ログの2行目が対応し、トランザクションID13の直接取得同意の撤回に認証ログの4行目が対応する。トランザクションID16の提供同意の撤回は、トランザクションID13の直接取得同意の撤回に基づき内部処理として生成されるため、対応する認証ログはない。記録起点の検証では不整合は検出されない。
よって、検証装置1は、取扱同意(同意に関する記録)と認証ログとの不整合は検出されないと判定する。
ステップS308:実施形態1-1と同様のため省略する。
(ハードウェア構成)
図31は、検証装置1(情報処理装置)のハードウェア構成を示す。データ管理装置101、データ送信元装置301、データ受信先装置401、所有者装置(関係者装置)501も同様のハードウェア構成を有する。検証装置1は、コンピュータ900により構成される。コンピュータ900は、CPU901と、入力インタフェース902と、表示装置903と、通信装置904と、主記憶装置905と、外部記憶装置906とを備え、これらはバス907により相互に接続されている。
CPU(中央演算装置)901は、主記憶装置905上で、コンピュータプログラムである情報処理プログラムを実行する。情報処理プログラムは、検証装置1の上述の各機能構成を実現するプログラムのことである。情報処理プログラムは、1つのプログラムではなく、複数のプログラムやスクリプトの組み合わせにより実現されていてもよい。CPU901が、情報処理プログラムを実行することにより、各機能構成は実現される。
入力インタフェース902は、キーボード、マウス、及びタッチパネルなどの入力装置からの操作信号を、検証装置1に入力するための回路である。
表示装置903は、検証装置1から出力されるデータを表示する。表示装置903は、例えば、LCD(液晶ディスプレイ)、有機エレクトロルミネッセンスディスプレイ、CRT(ブラウン管)、又はPDP(プラズマディスプレイ)であるが、これに限られない。
通信装置904は、検証装置1が外部装置と無線又は有線で通信するための回路である。データは、通信装置904を介して外部装置から入力することができる。外部装置から入力したデータを、主記憶装置905や外部記憶装置906に格納することができる。
主記憶装置905は、情報処理プログラム、情報処理プログラムの実行に必要なデータ、及び情報処理プログラムの実行により生成されたデータなどを記憶する。情報処理プログラムは、主記憶装置905上で展開され、実行される。主記憶装置905は、例えば、RAM、DRAM、SRAMであるが、これに限られない。検証装置1の各記憶部又はデータベースは、主記憶装置905上に構築されてもよい。
外部記憶装置906は、情報処理プログラム、情報処理プログラムの実行に必要なデータ、及び情報処理プログラムの実行により生成されたデータなどを記憶する。これらの情報処理プログラムやデータは、情報処理プログラムの実行の際に、主記憶装置905に読み出される。外部記憶装置906は、例えば、ハードディスク、光ディスク、フラッシュメモリ、及び磁気テープであるが、これに限られない。検証装置1の各記憶部又はデータベースは、外部記憶装置906上に構築されてもよい。
なお、情報処理プログラムは、コンピュータ900にあらかじめインストールされていてもよいし、CD-ROMなどの記憶媒体に記憶されていてもよい。また、情報処理プログラムは、インターネット上にアップロードされていてもよい。
また、検証装置1は、単一のコンピュータ900により構成されてもよいし、相互に接続された複数のコンピュータ900からなるシステムとして構成されてもよい。
なお、本発明は上記各実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記各実施形態に開示されている複数の構成要素を適宜組み合わせることによって種々の発明を形成できる。また例えば、各実施形態に示される全構成要素からいくつかの構成要素を削除した構成も考えられる。さらに、異なる実施形態に記載した構成要素を適宜組み合わせてもよい。
1 検証装置
1A 入力部
1B 処理部
1C 取得部
1D 検証部
11 データ保管部
12 同意情報取得部
13 判定処理部
14 履歴登録部
15 入力部
16 出力部
17 データ解析部
21 ログ保管部
41 識別子対応関係記憶部
41A 所有者識別子間の対応表
42 識別子変換部
91 利用者向け識別子対応表(対応表)
101 データ管理装置
201 同意情報・履歴情報記憶システム(第1記憶システム、ブロックチェーンシステム)
301 データ送信元装置
401 データ受信先装置
501 所有者装置(関係者装置)
601 第2記憶システム
701 利用者装置
900 コンピュータ
902 入力インタフェース
903 表示装置
904 通信装置
905 主記憶装置
906 外部記憶装置
907 バス

Claims (19)

  1. データに対する処理に関する記録及びデータに対する処理の同意に関する記録の少なくとも一方を保持する第1記憶システムから前記記録を取得し、
    前記処理及び前記同意の少なくとも一方に関連して行われる動作のログを保持する第2記憶システムから前記ログを取得し、
    取得した前記ログに基づき、取得した前記記録に関する整合性を検証する、処理部、
    を備えた情報処理装置。
  2. 前記データに関して検証対象に関する条件を含む整合性の検証要求を受ける入力部と、
    前記条件を満たす記録を前記第1記憶システムから取得し、前記条件を満たすログを前記第2記憶システムから取得する
    請求項1に記載の情報処理装置。
  3. 前記処理部は、取得した前記記録に示される処理又は同意に対応する動作のログが、取得した前記ログに含まれない場合に、前記整合性がないと判定する
    請求項1又は2に記載の情報処理装置。
  4. 前記処理部は、取得した前記ログが示す動作に対応する処理又は同意を示す記録が、取得した前記記録に含まれない場合は、前記整合性がないと判定する
    請求項1~3のいずれか一項に記載の情報処理装置。
  5. 前記処理に関連して複数の動作が行われる場合に複数の動作に対応する複数のログが前記第2記憶システムに保持されており、
    前記処理部は、前記第2記憶システムから前記複数の動作に対応する複数のログを取得し、取得した複数のログのうち最後に行われる動作に対応するログを特定し、特定したログが示す動作に対応する処理を示す記録が、前記取得した記録に含まれない場合に、前記整合性がないと判定する
    請求項1~4のいずれか一項に記載の情報処理装置。
  6. 前記処理部は、前記第1記憶システムに保持される前記記録に含まれる第1識別子と、前記第2記憶システムに保管されるログに含まれる第2識別子との対応関係に関する情報を、前記対応関係に関する情報を保持するデータ管理装置から取得し、
    前記処理部は、前記情報に示される前記対応関係にさらに基づいて、前記整合性を検証する
    請求項1に記載の情報処理装置。
  7. 前記処理部は、取得した前記記録に含まれる前記第1識別子に対応する第2識別子を前記対応関係から検出し、検出した前記第2識別子と、取得した前記記録に含まれる前記第1識別子とに基づき算出される値が、取得した前記記録の項目に含まれる値と異なる場合に、前記整合性がないと判定する
    請求項6に記載の情報処理装置。
  8. 前記処理部は、前記記録に関する前記処理の対象とされた前記データを、前記データを保持するデータ管理装置から取得し、
    前記処理部は、取得した前記記録の項目に含まれる値が、取得した前記データから算出される値と異なる場合に、前記整合性がないと判定する
    請求項1~7のいずれか一項に記載の情報処理装置。
  9. 前記同意に関する記録に含まれる値が、前記同意に関する記録の項目で指定される同意文書から算出する値と異なる場合に、前記整合性がないと判定する
    請求項1~8のいずれか一項に記載の情報処理装置。
  10. 前記処理部は、前記処理に関する記録と、前記処理に対する同意に関する記録とを取得し、
    前記処理に対する同意に関する記録が存在しない場合、又は、前記処理に対する同意に関する記録に基づき特定される同意期間に、前記処理に関する記録に示される前記処理の時刻が含まれない場合に、前記整合性がないと判定する
    請求項1~9のいずれか一項に記載の情報処理装置。
  11. 前記処理に関する記録は、受領記録、提供記録、取得記録、生成記録、削除記録及び利用記録のうちの少なくとも1つであり、
    前記処理部は、
    前記受領記録に対応するデータの書き込みのログが、取得した前記ログに含まれない場合に、前記整合性がないと判定し、
    前記提供記録に対応するデータの読み出しのログが、取得した前記ログに含まれない場合に、前記整合性がないと判定し、
    前記取得記録に対応するデータの書き込みのログが、取得した前記ログに含まれない場合に、前記整合性がないと判定し、
    前記生成記録に対応するデータの読み出しのログ又は書き込みのログが、取得した前記ログに含まれない場合に、前記整合性がないと判定し、
    前記削除記録に対応するデータの削除のログが、取得した前記ログに含まれない場合に、前記整合性がないと判定し、
    前記利用記録に対応するデータの読み出しのログが、取得した前記ログに含まれない場合に、前記整合性がないと判定する
    請求項1~10のいずれか一項に記載の情報処理装置。
  12. 前記処理部は、
    データの書き込みのログに対応する取得記録、受領記録、又は、生成記録が、取得した前記記録に含まれない場合に、前記整合性がないと判定し、
    データの削除のログに対応する削除記録が、取得した前記記録に含まれない場合に、前記整合性なしと判定する
    請求項1~11のいずれか一項に記載の情報処理装置。
  13. 前記処理に関する記録は、受領記録、提供記録、及び取得記録のうちの少なくとも1つであり、
    前記処理部は、
    前記受領記録に対応するデータの受信ログが、取得した前記ログに含まれない場合に、前記整合性がないと判定し、
    前記提供記録に対応するデータの送信ログが、取得した前記ログに含まれない場合に、前記整合性がないと判定し、
    前記取得記録に対応するデータの受信ログが、取得した前記ログに含まれない場合に、前記整合性なしと判定する
    請求項1~12のいずれか一項に記載の情報処理装置。
  14. 前記処理部は、データの送信ログに対応する提供記録が、取得した前記記録に含まれない場合に、前記整合性がないと判定する
    請求項1~13のいずれか一項に記載の情報処理装置。
  15. 前記同意に関する記録は、保管同意の記録及び提供同意の記録のうちの少なくとも1つを含み、
    前記処理部は、
    前記保管同意に対応する同意の受信ログが、取得した前記ログに含まれない場合に、前記整合性がないと判定し、
    取得した前記記録に前記保管同意の撤回の記録が含まれず、かつ前記提供同意に対応する同意の受信ログが、取得した前記ログに含まれない場合に、前記整合性がないと判定する
    請求項1~14のいずれか一項に記載の情報処理装置。
  16. 前記処理部は、同意の受信ログに対応する間接取得同意、直接取得同意及び提供同意のうちの1つの記録が、取得した前記記録に含まれない場合に、前記整合性がないと判定する
    請求項1~15のいずれか一項に記載の情報処理装置。
  17. 前記第2記憶システムに保持されている前記ログは、前記データの関係者による前記処理の同意を受け付け、前記関係者の認証処理を行い、認証処理に成功した場合に前記同意に関する記録を前記第1記憶システムに提供する装置により行われる前記関係者に対する前記認証処理の結果を含み、
    前記同意に関する記録は、保管同意の記録及び提供同意の記録のうちの少なくとも1つを含み、
    前記処理部は、
    前記保管同意の記録に対応する認証成功のログがない場合に、前記整合性がないと判定し、
    取得した前記記録に前記保管同意の撤回の記録が含まれず、かつ前記提供同意の記録に対応する認証成功のログがない場合に、前記整合性がないと判定する
    請求項1~16のいずれか一項に記載の情報処理装置。
  18. データに対する処理に関する記録及びデータに対する処理の同意に関する記録の少なくとも一方を保持する第1記憶システムから前記記録を取得し、
    前記処理及び前記同意の少なくとも一方に関連して行われる動作のログを保持する第2記憶システムから前記ログを取得し、
    取得した前記ログに基づき、取得した前記記録に関する整合性を検証する、
    コンピュータにより実行される情報処理方法。
  19. データに対する処理に関する記録及びデータに対する処理の同意に関する記録の少なくとも一方を保持する第1記憶システムから前記記録を取得し、
    前記処理及び前記同意の少なくとも一方に関連して行われる動作のログを保持する第2記憶システムから前記ログを取得するステップと、
    取得した前記ログに基づき、取得した前記記録に関する整合性を検証するステップと
    をコンピュータに実行させるためのコンピュータプログラム。
JP2021199582A 2021-12-08 2021-12-08 情報処理装置、情報処理方法及びコンピュータプログラム Pending JP2023085088A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2021199582A JP2023085088A (ja) 2021-12-08 2021-12-08 情報処理装置、情報処理方法及びコンピュータプログラム
US17/903,475 US20230177207A1 (en) 2021-12-08 2022-09-06 Information processing apparatus, information processing method, and non-transitory computer readable medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021199582A JP2023085088A (ja) 2021-12-08 2021-12-08 情報処理装置、情報処理方法及びコンピュータプログラム

Publications (1)

Publication Number Publication Date
JP2023085088A true JP2023085088A (ja) 2023-06-20

Family

ID=86607598

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021199582A Pending JP2023085088A (ja) 2021-12-08 2021-12-08 情報処理装置、情報処理方法及びコンピュータプログラム

Country Status (2)

Country Link
US (1) US20230177207A1 (ja)
JP (1) JP2023085088A (ja)

Also Published As

Publication number Publication date
US20230177207A1 (en) 2023-06-08

Similar Documents

Publication Publication Date Title
US11036771B2 (en) Data processing systems for generating and populating a data inventory
US11138336B2 (en) Data processing systems for generating and populating a data inventory
US10564936B2 (en) Data processing systems for identity validation of data subject access requests and related methods
US10997318B2 (en) Data processing systems for generating and populating a data inventory for processing data access requests
US10438016B2 (en) Data processing systems for generating and populating a data inventory
US10204154B2 (en) Data processing systems for generating and populating a data inventory
US20210258351A1 (en) Data processing and scanning systems for generating and populating a data inventory
US10438020B2 (en) Data processing systems for generating and populating a data inventory for processing data access requests
WO2020182005A1 (zh) 数字资产凭证继承转移中的信息处理方法、和相关装置
US11222309B2 (en) Data processing systems for generating and populating a data inventory
US20190258989A1 (en) Data processing systems for generating and populating a data inventory
US20220147651A1 (en) Data management method, non-transitory computer readable medium, and data management system
JP2023085088A (ja) 情報処理装置、情報処理方法及びコンピュータプログラム
JP7399838B2 (ja) 情報処理方法、情報処理システム及びコンピュータプログラム
JP7413231B2 (ja) 情報処理方法、情報処理システムおよび情報処理装置
US11544667B2 (en) Data processing systems for generating and populating a data inventory
US20230118762A1 (en) Information processing apparatus, information processing system, and non-transitory computer readable medium
JP7249453B1 (ja) 契約管理プログラム、情報処理装置、情報処理システム、情報処理方法
US8856175B2 (en) Method and computer-readable media for managing business transactions
WO2019023510A1 (en) DATA PROCESSING SYSTEMS FOR GENERATING AND LOADING A DATA INVENTORY

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240227