JP2023141262A - Personal information management system and personal information transfer control method - Google Patents
Personal information management system and personal information transfer control method Download PDFInfo
- Publication number
- JP2023141262A JP2023141262A JP2022047488A JP2022047488A JP2023141262A JP 2023141262 A JP2023141262 A JP 2023141262A JP 2022047488 A JP2022047488 A JP 2022047488A JP 2022047488 A JP2022047488 A JP 2022047488A JP 2023141262 A JP2023141262 A JP 2023141262A
- Authority
- JP
- Japan
- Prior art keywords
- information
- personal information
- transfer
- computer
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012546 transfer Methods 0.000 title claims abstract description 457
- 238000000034 method Methods 0.000 title claims description 95
- 230000033228 biological regulation Effects 0.000 claims abstract description 127
- 230000004807 localization Effects 0.000 claims abstract description 50
- 230000014759 maintenance of location Effects 0.000 claims description 97
- 230000004044 response Effects 0.000 claims description 13
- 230000001105 regulatory effect Effects 0.000 claims description 12
- 230000000717 retained effect Effects 0.000 claims description 9
- 230000001276 controlling effect Effects 0.000 claims description 4
- 238000007726 management method Methods 0.000 description 301
- 230000008569 process Effects 0.000 description 54
- 230000035945 sensitivity Effects 0.000 description 46
- 238000012545 processing Methods 0.000 description 44
- 238000010586 diagram Methods 0.000 description 34
- 238000013500 data storage Methods 0.000 description 16
- 230000008859 change Effects 0.000 description 6
- 238000012937 correction Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 2
- 238000012508 change request Methods 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
Abstract
Description
本発明は、個人情報管理システム及び個人情報移転制御方法に関し、個人情報保護の観点から個人情報の各国間での移転を制御する個人情報管理システム及び個人情報移転制御方法に適用して好適なものである。 The present invention relates to a personal information management system and a personal information transfer control method, and is suitable for application to a personal information management system and a personal information transfer control method that control the transfer of personal information between countries from the perspective of personal information protection. It is.
近年、欧州のGDPR(General Data Protection Regulation)をはじめ、世界各国で個人情報保護に関する法律の整備が進んでいる。個人情報の収集、保存、参照、及び更新等の取扱いを行う事業者は、これらの法律を遵守することが求められる。個人情報は、個人を直接識別できる情報、または、他の情報を組合せて個人を識別できる情報といった内容で多くの国で定義されており、例えば氏名及び住所等の情報が該当すると考えられる。 In recent years, laws regarding the protection of personal information have been developed in countries around the world, including Europe's GDPR (General Data Protection Regulation). Businesses that collect, store, refer to, update, etc. personal information are required to comply with these laws. Personal information is defined in many countries as information that can directly identify an individual, or information that can be combined with other information to identify an individual, and is considered to include information such as name and address, for example.
個人情報の取扱いにおいては、特に個人情報の国外移転(越境)に関して、厳しい規制が設けられており、グローバルに事業を展開する企業は、注意が必要である。また、近年急速に普及が進むクラウドにおいては、情報の所在が必ずしも国内とは限らず、情報が海外の様々な場所に保存されるケースも存在し、情報の国内保存を要求するような国においては注意が必要である。そこで、個人情報の国外移転においては、上述した各国の規制に適合するために、必要に応じて移転の許可または禁止を制御することが考えられる。 There are strict regulations regarding the handling of personal information, especially regarding the transfer of personal information overseas (crossing borders), and companies operating globally must be careful. Furthermore, in the cloud, which has become rapidly popular in recent years, the location of information is not necessarily in Japan, but there are cases where information is stored in various locations overseas, and in countries that require information to be stored domestically. caution is required. Therefore, when transferring personal information overseas, permission or prohibition of transfer may be controlled as necessary to comply with the regulations of each country mentioned above.
個人情報の国外移転を制御する公知技術として、例えば特許文献1がある。特許文献1によれば、EU(European Union)からEU域外への個人情報の移転に関して、予め移転可能な国または企業を登録したリストを保持する。そして、個人情報を国外移転しようとする際に、上記リストを参照し、リスト内の国または企業への移転であれば移転を許可し、リスト外への移転であれば、必要に応じて情報を削除または加工等して移転する。
As a publicly known technique for controlling the transfer of personal information overseas, there is, for example,
しかし、上記の特許文献1に開示されたように、単純な登録済み宛先リストを参照して個人情報の移転を制御するといった従来技術では、個人情報の初期の移転は許可するが再移転は禁止するといったような、これまでの移転状況に応じた移転制御を行うことが難しかった。また、移転先の宛先としては許可されていても、移転元の国に国内保持規制等が有る場合には、移転元国における規制を考慮しなければ、再移転先で十分に個人情報が保護されないといった事態も想定されるが、上述した従来技術では、このような移転元国の規制に応じた移転の制御を行うことも容易ではなく、宛先リストに登録されている宛先であれば移転が許可されてしまう問題があった。
However, as disclosed in the above-mentioned
本発明は以上の点を考慮してなされたもので、個人情報の国外移転において、これまでの移転状況及び各国の移転規制に留意して、移転の許可または禁止を制御することが可能な個人情報管理システム及び個人情報移転制御方法を提案しようとするものである。 The present invention has been made in consideration of the above points, and it is possible for individuals who can control permission or prohibition of transfer, taking into account the past transfer status and transfer regulations of each country, when transferring personal information overseas. This paper attempts to propose an information management system and a personal information transfer control method.
かかる課題を解決するため本発明においては、各国の拠点で取扱う個人情報の移転制御を管理する個人情報管理システムであって、自拠点で取扱う個人情報を管理する複数の第一の計算機と、前記複数の第一の計算機が管理する個人情報を一元的に管理する第二の計算機と、がネットワークを介して接続され、前記第一の計算機は、自拠点で取扱う個人情報に関する情報が登録される第一管理情報を有し、前記第二の計算機は、前記複数の第一の計算機が管理する各個人情報に関する情報が登録される第二管理情報と、各国で定められたデータの国内保持規制を示すデータローカライゼーション情報と、を有し、前記第一の計算機は、自拠点で取扱う個人情報に関する所定項目の設定情報を前記第一管理情報に設定し、設定した設定情報を前記第二の計算機に通知し、前記第二の計算機は、前記第一の計算機から通知された前記設定情報に基づいて、前記第二管理情報を更新し、前記第二の計算機は、前記データローカライゼーション情報及び前記第二管理情報を用いて、前記第一の計算機の拠点に適用される国内保持規制の観点に基づいて、前記第一の計算機による前記個人情報の保管状況の適切性を判断し、その判断結果を前記第一の計算機に通知し、前記第一の計算機は、前記第二の計算機による前記個人情報の保管状況の適切性の判断結果に基づいて、国を跨いだ別の第一の計算機への前記個人情報の移転の許可または禁止を制御する、ことを特徴とする個人情報管理システムが提供される。 In order to solve such problems, the present invention provides a personal information management system that manages transfer control of personal information handled at bases in each country, comprising a plurality of first computers that manage personal information handled at each base; A second computer that centrally manages personal information managed by a plurality of first computers is connected via a network, and information regarding personal information handled at the first computer is registered in the first computer. The second computer has first management information, and the second computer has second management information in which information regarding each personal information managed by the plurality of first computers is registered, and domestic data retention regulations established in each country. data localization information indicating, and the first computer sets setting information of predetermined items regarding personal information handled at its own base in the first management information, and transfers the set setting information to the second computer. and the second computer updates the second management information based on the setting information notified from the first computer, and the second computer updates the data localization information and the second management information. 2.Using the management information, determine the appropriateness of the storage status of the personal information by the first computer based on the perspective of domestic retention regulations applied to the base of the first computer, and report the judgment result. The first computer notifies the first computer, and the first computer transfers data to another first computer across countries based on the second computer's determination of the appropriateness of the storage status of the personal information. A personal information management system is provided, which controls permission or prohibition of transfer of the personal information.
また、かかる課題を解決するため本発明においては、各国の拠点で取扱う個人情報の移転制御を管理する個人情報管理システムによる個人情報移転制御方法であって、前記個人情報管理システムは、自拠点で取扱う個人情報を管理する複数の第一の計算機と、前記複数の第一の計算機が管理する個人情報を一元的に管理する第二の計算機と、がネットワークを介して接続され、前記第一の計算機は、自拠点で取扱う個人情報に関する情報が登録される第一管理情報を有し、前記第二の計算機は、前記複数の第一の計算機が管理する各個人情報に関する情報が登録される第二管理情報と、各国で定められたデータの国内保持規制を示すデータローカライゼーション情報と、を有し、前記第一の計算機が、自拠点で取扱う個人情報に関する所定項目の設定情報を前記第一管理情報に設定し、設定した設定情報を前記第二の計算機に通知する第1ステップと、前記第二の計算機が、前記第1ステップで前記第一の計算機から通知された前記設定情報に基づいて、前記第二管理情報を更新する第2ステップと、前記第2ステップの後に、前記第二の計算機が、前記データローカライゼーション情報及び前記第二管理情報を用いて、前記第一の計算機の拠点に適用される国内保持規制の観点に基づいて、前記第一の計算機による前記個人情報の保管状況の適切性を判断し、その判断結果を前記第一の計算機に通知する第3ステップと、前記第3ステップにおける前記第二の計算機による前記個人情報の保管状況の適切性の判断結果に基づいて、前記第一の計算機が、国を跨いだ別の第一の計算機への前記個人情報の移転の許可または禁止を制御する第4ステップと、を備えることを特徴とする個人情報移転制御方法が提供される。
Furthermore, in order to solve this problem, the present invention provides a personal information transfer control method using a personal information management system that manages the transfer control of personal information handled at bases in each country, wherein the personal information management system A plurality of first computers that manage the personal information handled and a second computer that centrally manages the personal information managed by the plurality of first computers are connected via a network, and the first computer The computer has first management information in which information related to personal information handled at its own base is registered, and the second computer has first management information in which information related to each personal information managed by the plurality of first computers is registered. 2 management information, and data localization information indicating domestic data retention regulations stipulated in each country, and the first computer manages the setting information of predetermined items regarding personal information handled at its own base under the first management information. a first step of notifying the second computer of the set configuration information, and the second computer based on the configuration information notified from the first computer in the first step; , a second step of updating the second management information, and after the second step, the second computer uses the data localization information and the second management information to update the base of the first computer. a third step of determining the appropriateness of the storage status of the personal information by the first computer based on the perspective of applicable domestic retention regulations, and notifying the first computer of the determination result; Based on the judgment result of the appropriateness of the storage status of the personal information by the second computer in
本発明によれば、個人情報の国外移転において、これまでの移転状況及び各国の移転規制に留意して、移転の許可または禁止を制御することができる。 According to the present invention, when personal information is transferred overseas, permission or prohibition of the transfer can be controlled by paying attention to the past transfer situation and the transfer regulations of each country.
以下、図面を参照して、本発明の実施形態を詳述する。 Embodiments of the present invention will be described in detail below with reference to the drawings.
なお、以下の記載及び図面は、本発明を説明するための例示であって、説明の明確化のため、適宜、省略及び簡略化がなされている。また、実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。本発明が実施形態に制限されることは無く、本発明の思想に合致するあらゆる応用例が本発明の技術的範囲に含まれる。本発明は、当業者であれば本発明の範囲内で様々な追加や変更等を行うことができる。本発明は、他の種々の形態でも実施する事が可能である。特に限定しない限り、各構成要素は複数でも単数でも構わない。 Note that the following description and drawings are examples for explaining the present invention, and are omitted and simplified as appropriate to clarify the explanation. Furthermore, not all combinations of features described in the embodiments are essential to the solution of the invention. The present invention is not limited to the embodiments, and any application examples that match the idea of the present invention are included within the technical scope of the present invention. Those skilled in the art can make various additions and changes to the present invention within the scope of the present invention. The present invention can also be implemented in various other forms. Unless specifically limited, each component may be plural or singular.
以下の説明では、「テーブル」、「表」、「リスト」、「データ」等の表現にて各種情報を説明することがあるが、各種情報は、これら以外のデータ構造で表現されていてもよい。データ構造に依存しないことを示すために「XXテーブル」、「XXリスト」等を「XX情報」や「XXデータ」と呼ぶことがある。各情報の内容を説明する際に、「識別情報」、「識別子」、「名」、「ID」、「番号」等の表現を用いるが、これらについてはお互いに置換が可能である。 In the following explanations, various information may be explained using expressions such as "table", "table", "list", and "data", but various information may be expressed using data structures other than these. good. In order to show that they do not depend on the data structure, "XX table", "XX list", etc. are sometimes called "XX information" or "XX data". When explaining the contents of each piece of information, expressions such as "identification information", "identifier", "name", "ID", and "number" are used, but these can be replaced with each other.
また、以下の説明では、同種の要素を区別しないで説明する場合には、参照符号又は参照符号における共通番号を使用し、同種の要素を区別して説明する場合は、その要素の参照符号を使用又は参照符号に代えてその要素に割り振られたIDを使用することがある。 In addition, in the following explanation, when the same type of elements are explained without distinguishing them, reference numerals or common numbers in the reference signs are used, and when the same kind of elements are explained separately, the reference numerals of the elements are used. Alternatively, an ID assigned to the element may be used instead of the reference code.
また、以下の説明では、プログラムを実行して行う処理を説明する場合があるが、プログラムは、少なくとも1以上のプロセッサ(例えばCPU)によって実行されることで、定められた処理を、適宜に記憶資源(例えばメモリ)及び/又はインタフェースデバイス(例えば通信ポート)等を用いながら行うため、処理の主体がプロセッサとされてもよい。同様に、プログラムを実行して行う処理の主体が、プロセッサを有するコントローラ、装置、システム、計算機、ノード、ストレージシステム、ストレージ装置、サーバ、管理計算機、クライアント、又は、ホストであってもよい。プログラムを実行して行う処理の主体(例えばプロセッサ)は、処理の一部又は全部を行うハードウェア回路を含んでもよい。例えば、プログラムを実行して行う処理の主体は、暗号化及び復号化、又は圧縮及び伸張を実行するハードウェア回路を含んでもよい。プロセッサは、プログラムに従って動作することによって、所定の機能を実現する機能部として動作する。プロセッサを含む装置及びシステムは、これらの機能部を含む装置及びシステムである。 In addition, in the following explanation, processing performed by executing a program may be explained, but the program is executed by at least one or more processors (for example, a CPU) to store predetermined processing as appropriate. Since the processing is performed using resources (for example, memory) and/or interface devices (for example, communication ports), the main body of the processing may be a processor. Similarly, the subject of processing performed by executing a program may be a controller having a processor, a device, a system, a computer, a node, a storage system, a storage device, a server, a management computer, a client, or a host. The main body (for example, a processor) that performs processing by executing a program may include a hardware circuit that performs part or all of the processing. For example, the main body of processing performed by executing a program may include a hardware circuit that performs encryption and decryption, or compression and expansion. A processor operates as a functional unit that implements a predetermined function by operating according to a program. Devices and systems that include processors are devices and systems that include these functional units.
プログラムは、プログラムソースから計算機のような装置にインストールされてもよい。プログラムソースは、例えば、プログラム配布サーバ又は計算機が読み取り可能な記憶メディアであってもよい。プログラムソースがプログラム配布サーバの場合、プログラム配布サーバはプロセッサ(例えばCPU)と記憶資源を含み、記憶資源はさらに配布プログラムと配布対象であるプログラムとを記憶してよい。そして、プログラム配布サーバのプロセッサが配布プログラムを実行することで、プログラム配布サーバのプロセッサは配布対象のプログラムを他の計算機に配布してよい。また、以下の説明において、2以上のプログラムが1つのプログラムとして実現されてもよいし、1つのプログラムが2以上のプログラムとして実現されてもよい。 A program may be installed on a device, such as a computer, from a program source. The program source may be, for example, a program distribution server or a computer-readable storage medium. When the program source is a program distribution server, the program distribution server includes a processor (for example, a CPU) and a storage resource, and the storage resource may further store a distribution program and a program to be distributed. Then, by the processor of the program distribution server executing the distribution program, the processor of the program distribution server may distribute the program to be distributed to other computers. Furthermore, in the following description, two or more programs may be realized as one program, or one program may be realized as two or more programs.
(1)第1の実施形態
(1-1)システム構成
図1は、本発明の第1の実施形態に係る個人情報管理システム100の構成例を示すブロック図である。個人情報管理システム100は、1以上の拠点サーバ101と、1以上のクライアント端末141と、1以上の管理サーバ151とを備える計算機システムである。拠点サーバ101、クライアント端末141、及び管理サーバ151は、それぞれのインタフェース(I/F104,144,154)を介してネットワークに接続され、互いに通信可能に構成される。
(1) First Embodiment (1-1) System Configuration FIG. 1 is a block diagram showing a configuration example of a personal
拠点サーバ101は、メモリ102、CPU103、I/F104、及び記憶領域119を有するサーバ等の計算機である。拠点サーバ101の設置数及び設置場所は特に限定されないが、例えば、個人情報管理システム100を利用して個人情報の取扱いを行う事業者等の拠点ごと(あるいは、所在国ごと)に1つ以上が設置されると考えることができる。拠点や所在国については、図2に示す拠点情報を参照するとよい。
The
CPU103は、例えばプロセッサであって、拠点サーバ101を全体的に制御する。具体的には例えば、CPU103は、I/F104を介して、外部機器(自分以外の拠点サーバ101,クライアント端末141,管理サーバ151等)からの操作要求の受信、上記外部機器から要求された操作(データ処理)の実行、データ処理結果の上記外部機器への送信、及び、データ処理要求の上記外部機器への送信、等を行う。
The
メモリ102は、例えば主記憶装置であって、プログラム及びデータを記憶する。メモリ102は、CPU103及びI/F104と接続される。
The
図1に示すように、メモリ102は、連携部105、情報管理部106、移転制御部107、拠点情報111、データタイプ定義情報112、移転タイプ定義情報113、個人情報管理情報114、移転根拠グループ情報115、移転根拠情報116、移転候補情報117、及びクラウド情報118を有する。これらの構成のうち、連携部105、情報管理部106、及び移転制御部107は、メモリ102に格納されたプログラムであり、当該プログラムがCPU103に実行されることによって所定の機能を実現する。そして、メモリ102内に示されたその他の構成は、プログラム以外のデータである。
As shown in FIG. 1, the
記憶領域119は、例えば補助記憶装置であって、拠点サーバ101が保有するデータベース等の情報(具体的には個人情報等)を記憶する。記憶領域119は、クラウドまたは外部接続される記憶装置等で実現されてもよい。
The
クライアント端末141は、メモリ142、CPU143、及びI/F144を有する計算機である。クライアント端末141は、拠点サーバ101またはユーザが指示や操作を行うために使用する計算機であり、その所在地は特に限定されない。
The
CPU143は、例えばプロセッサであって、I/F144を介して、外部機器(拠点サーバ101,管理サーバ151等)への操作要求、及び上記外部機器からの操作結果の受信等を行う。メモリ142は、例えば主記憶装置であって、プログラム及びデータを記憶する。メモリ142は、CPU143及びI/F144と接続される。また、メモリ142は、プログラムで実現される連携部145を有する。
The
管理サーバ151は、メモリ152、CPU153、I/F154、及び記憶領域174を有するサーバ等の計算機である。管理サーバ151は、各拠点サーバ101が保持する個人情報の移転を管理する機能を有する計算機であって、その設置先や設置数は特に限定されない。
The
CPU153は、例えばプロセッサであって、管理サーバ151を全体的に制御する。具体的には例えば、CPU153は、I/F154を介して、外部機器(自分以外の管理サーバ151,クライアント端末141,拠点サーバ101等)からの操作要求の受信、上記外部機器から要求された操作(データ処理)の実行、データ処理結果の上記外部機器への送信、及び、データ処理要求の上記外部機器への送信、等を行う。
The
メモリ152は、例えば主記憶装置であって、プログラム及びデータを記憶する。メモリ152は、CPU153及びI/F154と接続される。
The
図1に示すように、メモリ152は、連携部155、情報管理部156、規制判断部157、拠点情報161、個人情報管理情報162、移転管理情報163、データタイプ定義情報164、移転タイプ定義情報165、クラウド情報166、各国ローカライゼーション情報167、各国移転規制情報168、各国規制レベル情報169、各国十分性情報170、各国センシティビティ情報171、移転根拠グループ情報172、及び移転根拠情報173を有する。これらの構成のうち、連携部155、情報管理部156、及び規制判断部157は、メモリ152に格納されたプログラムであり、当該プログラムがCPU153に実行されることによって所定の機能を実現する。そして、メモリ152内に示されたその他の構成は、プログラム以外のデータである。
As shown in FIG. 1, the
記憶領域174は、例えば補助記憶装置であって、管理サーバ151が保有するデータベース等の情報(具体的には個人情報等)を記憶する。記憶領域174は、クラウドまたは外部接続される記憶装置等で実現されてもよい。
The
(1-2)ソフトウェア構成
以下では、個人情報管理システム100のソフトウェア構成について詳細な説明を行う。具体的には、管理サーバ151のメモリ152に格納される情報、拠点サーバ101のメモリ102に格納される情報、及びクライアント端末141のメモリ142に格納される情報について、順に説明する。
(1-2) Software Configuration Below, the software configuration of the personal
(1-2-1)管理サーバ151におけるプログラム以外のデータ
まず、管理サーバ151のメモリ152に格納される情報のうち、プログラム以外の情報について、図2~図14を参照しながら説明する。
(1-2-1) Data other than programs in the
図2は、拠点情報161のデータ構成例を示す図である。拠点情報161は、個人情報の取扱いを行う事業者等の拠点を示す情報である。
FIG. 2 is a diagram showing an example of the data structure of the
図2に示した拠点情報161は、拠点ID201、拠点名202、及び所在国203のデータ項目を有して構成される。拠点ID201は、各拠点を識別するIDを示す。拠点名202は、各拠点の名称を示す。所在国203は、各拠点の所在国を示す。なお、本発明の説明では、簡便のために「国」という表記を用いているが、この「国」が指す対象は、国家としての国に限定されるものではなく、地域(例えば欧州連合(EU))等を含むと考えてよい。
The
図3は、個人情報管理情報162のデータ構成例を示す図である。個人情報管理情報162は、管理サーバ151において個人情報を管理するための情報であって、個人情報単位でレコードを保持する。
FIG. 3 is a diagram showing an example of the data structure of the personal
図3に示した個人情報管理情報162は、管理ID301、取得国302、日時303、拠点ID304、データID305、データタイプ306、データ場所307、アドレス308、クラウドID309、国内保持310、及び元ID311のデータ項目を有して構成される。
The personal
管理ID301は、管理サーバ151が管理対象の個人情報(以後、図3の説明では対象データと呼ぶ)を識別するIDを示す。取得国302は、対象データを取得した取得国を示す。日時303は、対象データの取得日時を示す。拠点ID304は、対象データがどの拠点に属するデータであるかを、拠点ID(図2の拠点ID201)で示す。
The
データID305は、対象データが拠点ID304に示された拠点でどのように保持されているかを示し、具体的には、当該拠点で対象データに割り当てられている拠点内の識別ID(図15のデータID1501)で示す。データタイプ306は、対象データのデータタイプをデータタイプID(図5のデータタイプID501)で示す。データタイプは、図5に示すデータタイプ定義情報164で規定される。
The
データ場所307は、対象データの格納場所の概要(拠点内、クラウド等)を示す。アドレス308は、対象データの格納場所の詳細を格納先のアドレスで示す。クラウドID309は、対象データがクラウドで保存される場合に、当該クラウドの識別ID(図7のクラウドID701)を示す。例えば、データ場所307の値が「自拠点」であれば、自拠点内に存在する拠点サーバ101の記憶領域119等に対象データが格納される。また、データ場所307の値が「バックアップ」であれば、対象データは、最初は一時的な記憶領域等に保存されるが、その後にデータコピー等の処理が行われることにより、アドレス308に示されるアドレスにデータが移されることを意味する。アドレス308に示すアドレスは、現時点で対象データが保存された記憶領域のアドレスが記載されるが、バックアップによってデータの保存場所が変更される場合には、バックアップ先のアドレスに更新される。
The
国内保持310は、対象データの国内保持が国の法律等によって求められるか否か、また国内保持が求められる場合に現在の対象データの保管状況で対応可能か否かを示す。具体的には例えば、国内保持310の値が「-」であれば、対象データの国内保持が求められないことを意味する。国内保持の値が「10」であれば、対象データの国内保持が当該拠点において求められ、かつ現在のデータ保管状況で対応できることを意味する。国内保持の値が「11」であれば、対象データの国内保持が当該拠点において求められるが、現在のデータ保管状況では対応できないことを意味する。国内保持の値が「20」であれば、対象データの国内保持が当該拠点とは異なる拠点(対象データの移転元等、大元の対象データを保持する拠点)で求められ、かつ現在のデータ保管状況で対応できることを意味する。国内保持の値が「21」であれば、対象データの国内保持が当該拠点とは異なる拠点(対象データの移転元等、大元の対象データを保持する拠点)で求められるが、現在のデータ保管状況では対応できないことを意味する。
元ID311は、対象データが移転で持ってきたデータであるか否かを示し、対象データが移転で現在の拠点に持ってきたデータである場合には、対象データの大元のデータの識別ID(管理ID301)を示す。具体的には例えば、元ID311の値が「-」であれば、対象データが移転で持ってきたデータではないことを意味する。また、元ID311の値が「d5」となっている場合は、対象データが移転で持ってきたデータであって、その大元(複数段階の移転が行われている場合は最初の移転元)となるデータは、管理サーバ151によって「d5」という識別ID(管理ID301)で管理されているデータであることを意味する。
図4は、移転管理情報163のデータ構成例を示す図である。移転管理情報163は、個人情報の移転の履歴を管理する情報であって、移転ごとにレコードを有する。
FIG. 4 is a diagram showing an example of the data structure of the
図4に示した移転管理情報163は、移転ID401、移転元402、移転元データID403、移転先404、移転先データID405、データタイプ406、移転根拠407、移転タイプ408、日時409、移転回数410、及び管理ID411のデータ項目を有して構成される。
The
移転ID401は、管理対象の移転を識別するIDを示す。移転元402は、移転元の拠点を拠点ID(図2の拠点ID201)で示す。移転元データID403は、移転されたデータに関して、移転前に移転元拠点で管理されていたときに管理サーバ151から割り当てられた拠点内の識別ID(図15のデータID1501)を示す。移転先404は、移転先の拠点を拠点ID(図2の拠点ID201)で示す。移転先データID405は、移転されたデータに関して、移転後に移転先拠点で管理されるときに管理サーバ151から割り当てられた拠点内の識別ID(図15のデータID1501)を示す。データタイプ406は、移転データのデータタイプをデータタイプID(図5のデータタイプID501)で示す。データタイプは、図5に示すデータタイプ定義情報164で規定される。
The
移転根拠407は、移転データの移転根拠を根拠ID(図14の根拠ID1401)で示す。移転根拠は、図14に示す移転根拠情報173で規定される。移転タイプ408は、移転データの移転タイプを移転タイプID(図6の移転タイプID601)で示す。移転タイプは、図6に示す移転タイプ定義情報165で規定される。日時409は、移転データを移転した日時を示す。移転回数410は、移転データの過去の移転回数を示す。具体的には例えば、移転回数410の値が「0」であれば、対象の移転データは以前に移転されたことがなく、今回が初めての移転であることを意味する。移転回数410の値が「1」であれば、対象の移転データは今回の移転より前に一度、移転が行われており、今回の移転は、移転されたデータの再移転であることを意味する。
The
管理ID411は、移転元データに関して、移転元データID403に対応して管理サーバ151で管理されている識別ID(図3の管理ID301)を示す。管理ID411は、移転元拠点から移転終了の通知を受けた際に管理サーバ151によって設定され、その後、管理サーバ151と移転先拠点(拠点サーバ101)との間でデータの突合を行うために使用される。
The
図5は、データタイプ定義情報164のデータ構成例を示す図である。データタイプ定義情報164は、拠点サーバ101または管理サーバ151が保有するデータベース等の記憶領域119,174で保持されるデータの分類を定義する情報である。記憶領域119,174には個人情報を含め様々な情報が格納されるが、個人情報管理システム100の各計算機(管理サーバ151,拠点サーバ101,クライアント端末141)は、データタイプ定義情報164,112に基づいて、記憶領域に格納されている情報にどのような分類のデータが含まれるかを把握することができる。
FIG. 5 is a diagram showing an example of the data structure of the data
図5に示したデータタイプ定義情報164は、データタイプID501及び内容502のデータ項目を有して構成される。データタイプID501は、データの分類を識別するID(データタイプID)を示す。内容502は、データの分類の内容を示す。例えば図5の場合、「氏名」を含むデータのデータタイプIDが「p1」、「住所」を含むデータのデータタイプIDが「p2」と定義されている。このとき、対象の情報に氏名及び住所が含まれる場合には、当該情報のデータタイプは、「p1」及び「p2」というように、複数の分類(データタイプID)が割り当てられる。
The data
図6は、移転タイプ定義情報165のデータ構成例を示す図である。移転タイプ定義情報165は、データの移転方法を定義する情報である。
FIG. 6 is a diagram showing an example of the data structure of the transfer
図6に示した移転タイプ定義情報165は、移転タイプID601及び内容602のデータ項目を有して構成される。移転タイプID601は、データの移転方法の分類を識別するID(移転タイプID)を示す。内容602は、データの移転方法の分類の内容を示す。例えば図6の場合、移転タイプIDが「t1」の移転方法は、データを移転元に残さずに移転先に送る移転方法を示す。また、移転タイプIDが「t2」の移転方法は、コピー等によりデータを移転元に残したまま移転先に送る移転方法を示す。
The transfer
図7は、クラウド情報166のデータ構成例を示す図である。クラウド情報166は、個人情報管理システム100がデータの格納先として利用可能なクラウドに関して、各種の情報を管理する情報である。
FIG. 7 is a diagram showing an example of the data structure of the
図7に示したクラウド情報166は、クラウドID701、クラウドベンダ702、サービス名703、窓口704、及びデータ場所705,706のデータ項目を有して構成される。
The
クラウドID701は、データを格納するクラウドの識別ID(クラウドID)を示す。クラウドベンダ702は、クラウドID701で特定されるクラウド(以下、当該クラウド)のベンダを示す。サービス名703は、当該クラウドのベンダが提供するサービスの種別を示す。例えば、サービス名703の値が「メール」である場合は、当該クラウドがメールサービスを提供するクラウドであることを意味し、サービス名703の値が「ストレージ」である場合は、当該クラウドがデータ格納のサービスを提供するクラウドであることを意味する。窓口704は、当該クラウドで提供されるサービスに関して設けられている窓口の所在地(例えば国名)を示す。データ場所705は、当該クラウドで提供されるサービスのデータ格納場所の概要(例えば、アジアや北米といった広範囲のエリア)を示し、データ場所706は、上記データ格納場所の詳細(例えば、国や都市)を示す。
図8は、各国ローカライゼーション情報167のデータ構成例を示す図である。「各国ローカライゼーション」とは、各国が定めるデータのローカライゼーション(国内保持義務)の規制を意味する。各国ローカライゼーション情報167は、この各国ローカライゼーションの規制内容を管理する情報である。
FIG. 8 is a diagram showing an example of the data structure of the
図8に示した各国ローカライゼーション情報167は、国801及びセンシティビティ802~805のデータ項目を有して構成される。国801は、国名を示す。センシティビティ802~805は、後述する図12の各国センシティビティ情報171で規定されるセンシティビティ「s1」,「s2」,「s3」,・・・に対応するデータ項目であり、各センシティビティに該当するデータについて、各国がデータのローカライゼーションの規制を有するか否かを示す。例えば図8の場合、国801の値が「中」であるレコードにおいてセンシティビティ803,804の値が「有」であることから、中国ではセンシティビティs2,S3のデータについてローカライゼーション(国内保持義務)の規制が掛けられている、ことが示される。
The
図9は、各国移転規制情報168のデータ構成例を示す図である。「各国移転規制」とは、データの移転に関して各国が定める規制を意味する。各国移転規制情報168は、この各国移転規制の規制内容を管理する情報である。
FIG. 9 is a diagram showing an example of the data structure of the country
図9に示した各国移転規制情報168は、国901及びセンシティビティ902~905のデータ項目を有して構成される。国901は、国名を示す。センシティビティ902~905は、後述する図12の各国センシティビティ情報171で規定されるセンシティビティ「s1」,「s2」,「s3」,・・・に対応するデータ項目であり、各センシティビティに該当するデータについて、各国がどの移転根拠グループの規制を有するかを示す。移転根拠グループは、後述する図13の移転根拠グループ情報172で規定される。
The country
図10は、各国規制レベル情報169のデータ構成例を示す図である。各国規制レベル情報169は、各国の個人情報保護に関する規制の度合いを管理する情報である。
FIG. 10 is a diagram showing an example of the data structure of each country's
図10に示した各国規制レベル情報169は、レベル1001及び国1002のデータ項目を有して構成される。レベル1001は、要求される個人情報保護のレベルの高さを示し、本例では、レベル値が大きいほど、個人情報保護に関して要求されるレベルが高い(すなわち、規制が厳しい)とする。国1002は、個人情報保護の各レベルに該当する国を示す。
The country
各国の規制レベル(レベル1001の値)は、管理サーバ151が、各国ローカライゼーション情報167、各国移転規制情報168、及び各国センシティビティ情報171の情報に基づいて、自動的に計算することができる。以下に、規制レベルの具体的な計算方法の一例を示す。
The control level (value of level 1001) of each country can be automatically calculated by the
図8に示した各国ローカライゼーション情報167について、管理サーバ151は、列ごと(センシティビティごと)に点数を定める。例えば、センシティビティ「s1」は1点、センシティビティ「s2」は2点、センシティビティ「s3」は3点等と定める。そして管理サーバ151は、図8を参照して、センシティビティに対する規制が有る場合に上記点数をカウントし、行ごと(国ごと)の合計得点を算出する。この場合、中国は6点となり、日本は0点となる。
Regarding the
また、図12に示した各国センシティビティ情報171について、管理サーバ151は、センシティビティのバリエーションに基づいて得点を計算する。例えば、バリエーションが1種類であれば1点、2種類あれば2点、3種類あれば3点等と定める。そして管理サーバ151は、図12を参照して各国の得点を算出する。例えば米国のセンシティビティは「s1」の1種類だけであることから1点、欧州のセンシティビティは「s1」と「s2」の2種類であることから2点となる。
Furthermore, regarding the
また、図9に示した各国移転規制情報168について、管理サーバ151は、列ごと(センシティビティごと)に点数を定める。例えば、各列で規制が存在する(すなわち、何れかのグループの値が登録されている)場合にそれぞれ1点を加点し、合計得点を算出する。なお、得点算出の変形例として、グループを構成する移転根拠の要素数が多いものほど、移転可能な根拠のバリエーションが豊富で移転しやすいと見なして、点数を下げる(すなわち、規制が弱いと見なす)ようにしてもよい。
Furthermore, regarding the country
以上のようにして、管理サーバ151は、各国ローカライゼーション情報167、各国移転規制情報168、及び各国センシティビティ情報171の情報からそれぞれ、国別の得点を算出することができる。そこで、管理サーバ151は、各情報から算出したこれらの得点を集計して国別の総合得点を算出し、この総合得点に応じて、点数が高い国ほど規制レベルが高くなるように、各国の規制レベルを決定する。
As described above, the
なお、各国の規制レベルを算出するとき、上記観点以外にも、違反時の制裁金額の多寡を観点に持たせるようにしてもよい。この場合、管理サーバ151は、各国の違反時の制裁金額を示す制裁金額情報をメモリ152に保持し、制裁金額情報を参照して、違反時の制裁金額が多い国ほど、規制レベル算出のための点数を加算する等の処理を行えばよい。
Note that when calculating the regulation level of each country, in addition to the above-mentioned viewpoints, it is also possible to take into consideration the size of the penalty amount in the event of a violation. In this case, the
図11は、各国十分性情報170のデータ構成例を示す図である。各国十分性情報170は、個人情報の移転に関する各国間での十分性の認定関係を示す情報である。国を跨ぐ個人情報の移転において、当該個人情報に対する特段の手当てを行うことなく(すなわち、個人情報への扱いを変更することなく)移転が認められることを、十分性が認定されている、という。
FIG. 11 is a diagram showing an example of the data structure of the
図11に示した各国十分性情報170は、国1101及び十分性対象国1102のデータ項目を有して構成される。国1101は国を示し、十分性対象国1102は、国1101に示した国に対して、十分性の認定を与えている国を示す。言い換えると、国1101に示した国にとって、十分性対象国1102に示した国は、十分性の対象となっている国である。例えば図11において、国1101の値が「日」であるレコードにおいて十分性対象国1102の値に「英、欧州」が登録されている。このレコードは、日本から英国やEUに対して、十分性認定を根拠としてデータを国外移転できることを示す。
The
図12は、各国センシティビティ情報171のデータ構成例を示す図である。「各国センシティビティ」とは、データタイプ定義情報164で定義される各データタイプについて、各国で要求されるデータ取扱いの慎重さの度合い(データの機微度)を意味する。各国センシティビティ情報171は、この各国センシティビティを管理する情報である。
FIG. 12 is a diagram showing an example of the data structure of each
図12に示した各国センシティビティ情報171は、国1201及びデータタイプ1202~1205のデータ項目を有して構成される。国1201は国を示す。データタイプ1202~1205は、図5のデータタイプ定義情報164で定義された各データタイプ(データタイプID501)である「p1」,「p2」,「p3」,・・・に対応するデータ項目であり、当該データタイプにおけるデータの機微度(センシティビティ)を示す。例えば図12の場合、図1201の値がEUを示す「欧」であるレコードにおいて、データタイプ1202~1204の各値を見ると、データタイプ「p1」のデータの機微度は「s1」であり、データタイプ「p2」のデータの機微度は「s1」であり、データタイプ「p3」のデータの機微度は「s2」である。ここで、「s1」よりも「s2」の方が機微度が高いとすると、データタイプ「p3」のデータは、データタイプ「p1」,「p2」のデータよりも、取扱いに慎重さが求められることが示される。
The
図13は、移転根拠グループ情報172のデータ構成例を示す図である。移転根拠グループ情報172は、後述する図14の移転根拠情報173で規定される移転根拠の組み合わせから形成されるグループ(移転根拠グループ)を管理する情報である。移転根拠グループは、各国の移転において満たすべき要件を示す。
FIG. 13 is a diagram showing an example of the data structure of the transfer
図13に示した移転根拠グループ情報172は、グループID1301及び内容1302のデータ項目を有して構成される。グループID1301は、移転根拠グループを識別するIDを示す。内容1302は、移転根拠グループを構成する移転根拠の組み合わせを、図14に示す根拠ID1401で示す。例えば、図13においてグループID1301の値が「Gr2」の場合、内容1302の値は「g1 or g2」である。これは、移転するデータが「Gr2」の移転根拠グループに属する場合は、その移転根拠として「g1」または「g2」の少なくとも何れかを満たす必要があることを示している。
The transfer
図14は、移転根拠情報173のデータ構成例を示す図である。図14に示した移転根拠情報173は、根拠ID1401及び内容1402のデータ項目を有して構成される。根拠ID1401は、移転根拠を識別するIDを示す。内容1402は、移転根拠の内容を示す。例えば、図14において根拠ID1401の値が「g1」の場合、内容1402の値は「同意」である。これは、同意の取得が移転の条件の1つであることを示している。
FIG. 14 is a diagram showing an example of the data structure of the
(1-2-2)管理サーバ151におけるプログラム
次に、管理サーバ151のメモリ152に格納されるプログラムについて説明する。上述したように、連携部155、情報管理部156、及び規制判断部157は、メモリ152に格納されたプログラムで実現される。
(1-2-2) Programs in
連携部155は、ネットワークを介して、他の計算機(拠点サーバ101及びクライアント端末141等)との間でデータのやり取りを行う。なお、説明を簡便にするため、連携部155が自計算機内の他の機能部の要請を受けて他の計算機との間でデータのやり取りを行う場合、連携部155ではなく上記「他の機能部」をその処理主体として表記することがある。これは、拠点サーバ101の連携部105でも同様である。
The
情報管理部156は、拠点サーバ101から通知された個人情報に関する情報を基に、管理サーバ151内でその個人情報を把握するための情報の登録や、ある拠点サーバ101から別の拠点サーバ101に移転された個人情報を把握するための情報の登録を行う。これらの情報の登録先は、(1-2-1)で詳述した、メモリ152内のプログラム以外のデータである。
Based on the information regarding personal information notified from the
規制判断部157は、拠点サーバ101からの要求を受けて、移転しようとする個人情報のデータに対して規制が必要であるかの判断を行う。より具体的には、規制判断部157は、移転しようとする個人情報のデータに対して、ローカライゼーションの適用の有無の判断、当該データの保管状況の是非の判断、及び当該データの再移転の是非の判断等を行う。
The
(1-2-3)拠点サーバ101におけるプログラム以外のデータ
次に、拠点サーバ101のメモリ102に格納される情報のうち、プログラム以外の情報について説明する。
(1-2-3) Data other than programs in the
拠点サーバ101がメモリ102に保持する情報には、上述した管理サーバ151がメモリ152に保持する同名の情報と同様のデータ(少なくとも同様のデータ構成を有するデータ)が複数存在し、これらの情報については詳細な説明を省略する。具体的には、拠点情報111は図2に例示した拠点情報161と同様であり、データタイプ定義情報112は図5に例示したデータタイプ定義情報164と同様であり、移転タイプ定義情報113は図6に例示した移転タイプ定義情報165と同様であり、移転根拠グループ情報115は図13に例示した移転根拠グループ情報172と同様であり、移転根拠情報116は図14に例示した移転根拠情報173と同様であり、クラウド情報118は図7に例示したクラウド情報166と同様である。
The information held in the
これらの情報は、例えば管理サーバ151で定義または保持されている同名の情報(拠点情報161,データタイプ定義情報164,移転タイプ定義情報165,クラウド情報166,移転根拠グループ情報172,移転根拠情報173)を各拠点に配布し、各拠点の拠点サーバ101がメモリ102に格納して使用するとしてもよい。なお、移転根拠グループ情報115については、管理サーバ151から移転根拠グループ情報172と同じ内容のものを各拠点に配布するのではなく、各拠点が個別に保持する個人情報に関係する移転根拠グループだけに絞った情報を管理サーバ151から拠点サーバ101に配布するようにしてもよい。また、他にも例えば、拠点サーバ101が独自に収集した情報を管理サーバ151に集約し、管理サーバ151において整合性をとったのち、適宜、各拠点の拠点サーバ101に配布する等としてもよい。
These pieces of information include, for example, information with the same name defined or held in the management server 151 (
拠点サーバ101が独自にメモリ102に保持する情報としては、個人情報管理情報114及び移転候補情報117が挙げられる。
Information that the
図15は、個人情報管理情報114のデータ構成例を示す図である。個人情報管理情報114は、管理サーバ151が保持する個人情報管理情報162(図3参照)と類似する情報であるが、自拠点で取扱う個人情報を管理するための情報である点で、全ての拠点の個人情報を集約して一元的に管理するための情報である個人情報管理情報162とは異なる。
FIG. 15 is a diagram showing an example of the data structure of the personal
図15に示した個人情報管理情報114は、データID1501、取得国1502、日時1503、データタイプ1504、データ場所1505、アドレス1506、クラウドID1507、国内保持1508、管理ID1509、及び移転ID1510のデータ項目を有して構成される。取得国1502、日時1503、データタイプ1504、データ場所1505、アドレス1506、クラウドID1507、及び国内保持1508は、図3の個人情報管理情報162が有する同名のデータ項目と同様のものであり、詳細な説明を省略する。
The personal
データID1501は、拠点サーバ101が管理対象の個人情報(以後、図15の説明では対象データと呼ぶ)を識別するIDを示す。
The
管理ID1509は、管理サーバ151による対象データの管理IDを示す。管理ID1509は、管理サーバ151から割り当てられ、図3の個人情報管理情報162が有する管理ID301に対応する。管理IDは、例えば、拠点サーバ101から管理サーバ151に対象データ(個人情報)の概要に関する情報を通知した際に、管理サーバ151によって割り当てられ、拠点サーバ101に返信されて管理ID1509に設定される。
The
移転ID1510は、対象データの移転を識別するための移転IDを示す。移転IDは、例えば、拠点サーバ101から管理サーバ151に対象データ(個人情報)の移転終了についての情報を通知した際に、管理サーバ151によって割り当てられ、拠点サーバ101に返信されて拠点ID1510に設定される。
図16は、移転候補情報117のデータ構成例を示す図である。移転候補情報117は、自拠点で保持する個人情報の他拠点への移転候補を管理する情報である。
FIG. 16 is a diagram showing an example of the data structure of the
図16に示した移転候補情報117は、候補ID1601、対象ID1602、移転先1603、データ場所1604、アドレス1605、クラウドID1606、移転根拠グループ1607、及び目的1608のデータ項目を有して構成される。
The
候補ID1601は、移転候補の識別IDを示す。対象ID1602は、移転対象の個人情報の識別IDを拠点内の識別ID(図15のデータID1501)で示す。移転先1603は、移転先の拠点を拠点ID(図2の拠点ID201)で示す。データ場所1604は、移転先の個人情報の格納場所の概要(拠点内、クラウド等)を示す。アドレス1605は、移転先の個人情報の格納場所の詳細を格納先のアドレスで示す。クラウドID1606は、移転対象の個人情報がクラウドで保存される場合に、当該クラウドの識別ID(図7のクラウドID701)を示す。移転根拠グループ1607は、移転において満たすべき移転根拠の組合せからなる移転根拠グループを、その識別ID(図13に示したグループID1301)で示す。目的1608は、移転に関しての個人情報の取扱い目的(例えば、自拠点以外での情報保存、分析等)を示す。
(1-2-4)拠点サーバ101におけるプログラム
次に、拠点サーバ101のメモリ102に格納されるプログラムについて説明する。上述したように、連携部105、情報管理部106、及び移転制御部107は、メモリ102に格納されたプログラムで実現される。
(1-2-4) Programs in the
連携部105は、ネットワークを介して、他の計算機(管理サーバ151及びクライアント端末141等)との間でデータのやり取りを行う。
The
情報管理部106は、クライアント端末141から通知された個人情報に関する情報を基に、拠点サーバ101内でその個人情報を把握するための情報の登録等を行う。
The
移転制御部107は、管理サーバ151及びクライアント端末141等と連携し、自拠点に関係する個人情報(すなわち、拠点サーバ101が管理する個人情報)の移転について、管理サーバ151による移転の許可または禁止の決定に応じて、移転に関する制御を行う。
The
(1-2-5)クライアント端末141におけるプログラム
次に、クライアント端末141のメモリ142に格納されるプログラムについて説明する。上述したように、連携部145は、メモリ142に格納されたプログラムで実現される。
(1-2-5) Programs in
連携部145は、拠点サーバ101等の外部の計算機と連携し、ユーザによる操作に応じて、個人情報の設定、保護、または抽出等の要求を送信する。また、連携部145は、外部の計算機からの応答結果の受信等を行う。
The
(1-3)処理
以下では、上述したハードウェア構成及びソフトウェア構成に基づいて、本実施形態に係る個人情報管理システム100が実行する処理を説明する。以下に説明する処理は、クライアント端末141から拠点サーバ101に対して、個人情報に関する設定処理の実行要求が行われたときに実行される。
(1-3) Processing Below, the processing executed by the personal
(1-3-1)個人情報及び移転候補情報の設定処理
図17は、個人情報及び移転候補情報の設定処理の処理手順例を示すフローチャートである。図17に示す処理は、例えばユーザがクライアント端末141を操作して、ある個人情報を自拠点の拠点サーバ101に登録しようとする際に、拠点サーバ101が実行する処理である。図17に示す処理では、個人情報の登録を要求する際にその移転候補に関する移転候補情報の登録が要求されるが、移転候補情報の登録要求は、個人情報の登録要求とは別のタイミングで行われてもよい。その場合は、以下に説明する各処理のうち、移転候補情報の登録に関する処理が別途実行されればよい。また、図17に示す処理は、登録済みの個人情報または移転候補情報の内容を変更(更新)する際にも応用可能である。
(1-3-1) Processing for setting personal information and transfer candidate information FIG. 17 is a flowchart showing an example of a processing procedure for setting personal information and transfer candidate information. The process shown in FIG. 17 is a process executed by the
図17によればまず、連携部105が、クライアント端末141から個人情報及びその移転候補情報の設定(登録、更新等)に関する要求を受け付ける(ステップS101)。ステップS101において、連携部105は、設定対象の個人情報及び移転候補情報もクライアント端末141から受信する。
According to FIG. 17, first, the
次に、ステップS501の要求に基づいて、情報管理部106が、受信した個人情報及び移転候補情報を用いて、メモリ102に格納される情報(個人情報管理情報114,移転候補情報117)を更新するとともに、管理サーバ151に対してその更新に関する情報を送信する(ステップS102)。ステップS102で送信された情報を受信した管理サーバ151では、後述する図18に示す処理が実行される。
Next, based on the request in step S501, the
ステップS102における情報管理部106の処理内容を詳しく説明する。
The processing content of the
例えば、個人情報の登録が要求された場合、図15の個人情報管理情報114において、拠点サーバ101(情報管理部106)は、クライアント端末141からの情報に基づいて、登録が要求された個人情報に対する新たな識別ID(データID1501)を割当て、当該個人情報に関して、データの取得元の国(取得国1502)、取得日時(日時1503)、データのタイプ(データタイプ1504)、格納場所の概要(データ場所1505)、格納先の詳細なアドレス(アドレス1506)等の情報を登録する。
For example, when registration of personal information is requested, in the personal
また例えば、移転候補情報の登録が要求された場合、図16の移転候補情報117において、拠点サーバ101(情報管理部106)は、クライアント端末141からの情報に基づいて、登録が要求された移転候補情報に対する新たな識別ID(候補ID1601)を割当て、当該移転候補情報に関して、移転対象(対象ID1602)、移転先(移転先1603)、移転先のデータ格納場所の概要(データ場所1604)、格納先の詳細なアドレス(アドレス1605)等の情報を登録する。そして、上記の更新(登録)された情報や拠点サーバ101の拠点情報が、拠点サーバ101から管理サーバ151に送信され、後述する図18に示す処理により、管理サーバ151側の情報が更新される。
For example, when registration of relocation candidate information is requested, the base server 101 (information management unit 106), in the
次に、情報管理部106は、管理サーバ151からの応答情報に基づいて、個人情報管理情報114及び移転候補情報117に対して、所定のデータ項目を更新する(ステップS103)。所定のデータ項目とは、例えば、個人情報管理情報114においては国内保持1508及び管理ID1509であり、移転候補情報117においては移転根拠グループ1607である。
Next, the
詳しく説明すると、図15の個人情報管理情報114に対して、情報管理部106は、管理サーバ151で判断されたデータローカライゼーション対応の要否の結果を国内保持1508に設定する。データローカライゼーション対応の要否は、ステップS102で拠点サーバ101から受信した取得国1502及びデータタイプ1504の値等に基づいて、管理サーバ151で判断され、その判断結果が拠点サーバ101に通知される(後述する図18のステップS205,S208,S209)。また、情報管理部106は、図18の処理によって管理サーバ151が対象の個人情報に対して割り当てた管理ID301の値を管理ID1509に設定する。
To explain in detail, for the personal
また、図16の移転候補情報117に対して、情報管理部106は、管理サーバ151で判断された移転根拠グループを移転根拠グループ1607に設定する。移転根拠グループは、ステップS102で拠点サーバ101から受信した取得国1502の値や移転候補先の情報等に基づいて、管理サーバ151で判断され、その判断結果が拠点サーバ101に通知される(後述する図18のステップS205,S208,S209)。
Furthermore, for the
以上のように図17の処理を実行することにより、拠点サーバ101は、管理サーバ151と連携しながら、設定が要求された個人情報及び移転先候補情報を自身のメモリ102に適宜設定することができる。
By executing the process shown in FIG. 17 as described above, the
(1-3-2)個人情報の規制判断処理
図18は、個人情報の規制判断処理の処理手順例を示すフローチャートである。図18に示す処理は、拠点サーバ101から個人情報または移転候補情報の通知(図17のステップS102)を受けとったときに、管理サーバ151が実行する処理であって、個人情報の国内保持の要否及び個人情報の保管状況の適切性等を判断する。
(1-3-2) Personal Information Restriction Judgment Processing FIG. 18 is a flowchart showing an example of a processing procedure for personal information restriction judgment processing. The process shown in FIG. 18 is a process executed by the
図18によればまず、連携部155が、拠点サーバ101から個人情報及び移転候補情報を受信する(ステップS201)。
According to FIG. 18, first, the
次に、情報管理部156が、ステップS201で受信した情報に基づいて、個人情報管理情報162を更新する(ステップS202)。具体的には、図3に示した個人情報管理情報162に対して、情報管理部156は、拠点サーバ101で新たに登録された個人情報を管理サーバ151で管理するための識別ID(管理ID)を割り当て、管理ID301に設定する。さらに情報管理部156は、ステップS201で受信した個人情報に基づいて、新たな管理IDを設定したレコードのデータ項目302~309を設定する。なお、データID305には、拠点サーバ101で当該個人情報を識別するために使用されている識別ID(図15のデータID1501)の値が設定される。
Next, the
次に、規制判断部157が、拠点サーバ101から通知された個人情報が国内保持の必要があるか否かを、取得国302、データタイプ306、データ場所307、及び元ID311に基づいて判断する(ステップS203)。国内保持310の値は、ステップS203以降の複数の処理を経て決定され、設定される。
Next, the
ステップS203の処理を具体的に詳しく説明する。まず、規制判断部157は、個人情報のタイプ(データタイプ306)がその取得国(取得国302)においてどのセンシティビティに該当するかを、図12の各国センシティビティ情報171を参照して特定する。例えば取得国が「日本」でタイプが「p1」である場合、図12によれば、センシティビティは「s1」であると特定される。次いで、規制判断部157は、取得国において上記特定したセンシティビティのデータがローカライゼーション対応が必要とされているか否かを、図8の各国移転規制情報168を参照して特定する。例えば上記例のように取得国が「日本」でセンシティビティが「s1」である場合、図8によれば、該当する値は「-」であり、ローカライゼーション対応が不要と判断される。なお、図8において該当する値が「有」である場合は、ローカライゼーション対応が必要と判断される。
The process of step S203 will be specifically explained in detail. First, the
上記のようにして、規制判断部157がローカライゼーション対応(国内保持)を不要と判断した場合は(ステップS203のNO)、国内保持310に「-」が設定され、後述するステップS209に進む。一方、規制判断部157がローカライゼーション対応(国内保持)を必要と判断した場合は(ステップS203のYES)、国内保持310に「有」が設定され、ステップS204に進む。
As described above, if the
ステップS204において、規制判断部157は、拠点サーバ101から通知された個人情報の保管状況が適切であるか否かを判断する。個人情報の保管状況が適切であると判断された場合は(ステップS204のYES)、ステップS205に進み、個人情報の保管状況が適切ではないと判断された場合は(ステップS204のNO)、ステップS209に進む。
In step S204, the
ステップS204の処理を具体的に詳しく説明する。規制判断部157は、まず、元ID311の登録の有無を確認し、その確認結果に応じて以下のような処理を行う。
The process of step S204 will be specifically explained in detail. The
元ID311の値が未登録の場合、規制判断部157は、当該データ(個人情報)は移転によって持ってきたデータではなく新たに登録されたデータと判断する。このとき、規制判断部157は、拠点ID304、データ場所307、及びクラウドID309の情報に基づいて、データの所在国を特定する。そして規制判断部157は、当該所在国がデータの取得国(取得国302)と一致する場合には、自拠点に関してローカライゼーション対応が必要であり、かつ、現在のデータの保管状況でその対応ができていると判断して(ステップS204のYES)、国内保持310に「10」の値を設定する。なお、データ場所307の値が「クラウド」である場合、規制判断部157は、クラウドID309をキーとして図7のデータ場所706の値を参照することで、データの所在国を特定することができる。一方、規制判断部157は、特定したデータの所在国がデータの取得国(取得国302)と一致しない場合には、自拠点に関してローカライゼーション対応が必要であるが、現在のデータの保管状況ではその対応ができていないと判断して(ステップS204のNO)、国内保持310に「11」の値を設定する。
If the value of the
すなわち、元ID311の値が未登録の場合、規制判断部157は、ステップS201の通知された拠点(自拠点)に保持された個人情報のデータについて、当該データの現在の格納場所が国内保持の観点に適合しているか否かを確認することによって、現在のデータの保管状況が適切であるか否かを判断し、適切であると判断した場合には国内保持310に「10」の値を設定し、不適切であると判断した場合には国内保持310に「11」の値を設定する。
That is, if the value of the
元ID311の値が登録済みである場合、規制判断部157は、当該データ(個人情報)は移転によって持ってきたデータと判断する。このとき、規制判断部157は、元ID311の値が未登録の場合と同様の方法で、移転によって持ってきたデータの格納場所が国内保持の観点に適合しているか否かを確認する。さらに、規制判断部157は、元ID311で示されるデータを保有する拠点(すなわち、移転の大元の個人情報を保持する拠点等)に対して、定期的にデータの格納場所(データ場所307)等のデータの保管状況の問合せを行い、問合せの結果を用いて、元ID311の値が未登録の場合で説明したのと同様の方法により、データローカライゼーション対応の要否を判断する。この判断は、移転元のデータにおける国内保持の要否を確認するものである。
If the value of the
そして、規制判断部157は、移転によって持ってきたデータの格納場所が国内保持の観点に適合しているか否かの確認結果に基づいて、現在のデータの保管状況が適切であるか否かを判断し、さらに、移転元のデータにおける国内保持の要否の確認結果を踏まえて、国内保持310に設定する値を決定する。
Then, the
具体的には、規制判断部157は、移転によって持ってきたデータの格納場所が国内保持の観点に適合している場合に、現在のデータの保管状況が適切であると判断する(ステップS204のYES)。このとき、規制判断部157は、移転元のデータにおいて国内保持が必要であることを確認した場合に、国内保持310に「20」の値を設定し、移転元のデータにおいて国内保持が不要であることを確認した場合に、国内保持310に「10」の値を設定する。また、規制判断部157は、移転によって持ってきたデータの格納場所が国内保持の観点に適合していない場合に、現在のデータの保管状況が不適切であると判断する(ステップS204のNO)。このとき、規制判断部157は、移転元のデータにおいて国内保持が必要であることを確認した場合に、国内保持310に「21」の値を設定し、移転元のデータにおいて国内保持が不要であることを確認した場合に、国内保持310に「11」の値を設定する。
Specifically, the
なお、元ID311は、管理対象の個人情報が移転によって持ってきたデータである場合に登録(設定)され、その値は、移転元の拠点サーバ101が保有していた移転元データに対して管理サーバ151が管理用に割り当てていた識別ID(すなわち、移転元データのデータID301)が設定される。
Note that the
具体的には、管理サーバ151(情報管理部156または規制判断部157)は、今回新たに登録されるデータ(拠点ID304及びデータID305から識別可能)について、図4の移転管理情報163の移転先404及び移転先データID405から識別されるデータに一致するものが存在しないかを判断する。一致するデータが移転管理情報163に登録されていた場合は、その管理ID411の値が、今回登録するデータの大元の移転元の拠点サーバ101における識別IDに相当することから、管理サーバ151は、この管理ID411の値を元ID311に設定する。
Specifically, the management server 151 (
ステップS204以降の処理の説明を続ける。ここまでの説明をまとめると、ステップS201で通知された個人情報について、国内保持が必要で(ステップS203のYES)、かつ、現在のデータ保管状況が適切である(ステップS204のYES)と判断された場合に、ステップS205の処理が行われる。一方、ステップS201で通知された個人情報について、国内保持が不要であること(ステップS203のNO)、または、現在のデータ保管状況が不適切であること(ステップS204のNO)の少なくとも何れかが判断された場合に、ステップS209の処理が行われる。 The description of the processing after step S204 will be continued. To summarize the explanation so far, it has been determined that the personal information notified in step S201 requires domestic retention (YES in step S203) and that the current data storage status is appropriate (YES in step S204). In this case, the process of step S205 is performed. On the other hand, regarding the personal information notified in step S201, at least one of the following is determined: domestic retention is not necessary (NO in step S203), or the current data storage status is inappropriate (NO in step S204). If it is determined, the process of step S209 is performed.
ステップS205では、管理サーバ151(情報管理部156または規制判断部157)は、国内保持310の値(国内保持フラグ)と移転根拠の情報を、ステップS201で個人情報を送信してきた拠点サーバ101に送信する。
In step S205, the management server 151 (
上記の「移転根拠の情報」は、対象の個人情報が将来移転される可能性がある場合に、その移転の根拠情報を収集したものである。具体的には、上記の管理サーバ151は、ステップS201で拠点サーバ101から受信した個人情報のデータID(データID305,データID1501)が、拠点サーバ101から受信した移転候補情報の対象ID1602と一致している場合は、当該個人情報は将来移転する可能性があると判断できる。この場合、管理サーバ151は、その移転の根拠情報を収集して、拠点サーバ101に送信する。より具体的には、管理サーバ151は、図3の個人情報管理情報162(特に取得国302,データタイプ306)と、図12の各国センシティビティ情報171とに基づいて、当該データのセンシティビティを特定し、特定したセンシティビティにおいて必要な移転根拠を図9の各国移転規制情報168及び図13の移転根拠グループ情報172から特定し、その特定結果を示す情報(例えば「Gr2」のような根拠グループの値)を拠点サーバ101に送信する。
The above-mentioned "information on the basis of transfer" is information collected on the basis of transfer when there is a possibility that the personal information in question may be transferred in the future. Specifically, the
ステップS205の処理後、規制判断部157は、個人情報のデータを保有する拠点(大元の移転元の拠点等)に対して、定期的にデータの格納場所(データ場所307)等のデータの保管状況を問合せて状況を監視する(ステップS206)。そして、問合せの結果を得た規制判断部157は、上述したステップS204と同様の手順で保管状況の適切性を判断する(ステップS207)。保管状況が適切であると判断した場合(ステップS207のYES)、規制判断部157は、ステップS206に戻り監視を継続する。一方、保管状況が不適切であると判断した場合(ステップS207のNO)、規制判断部157は、保管状況の是正や当該データの移転を禁止する旨を拠点サーバ101に通知する(ステップS208)。このとき、規制判断部157は、対象データの国内保持310の値(国内保持フラグ)を状況に適合する特定の値に更新するようにしてもよい。また、ステップS208では、通知内容を示すフラグ等を送信してもよいし、通知内容に対応する値を送信する等してもよい。
After the processing in step S205, the
ステップS206~S207の処理は、データローカライゼーション対応が必要なデータが適切な保管状況で保有されているか否かを継続的に監視するものである。これは、ステップS204において現在の保管状況が適切(YES)と判定された場合でも、データが移転されるまでの間に保管状況が変化しないようにチェックする必要や、移転後も、大元のデータの保管状況をチェックする必要があるためである。 The processes in steps S206 and S207 are for continuously monitoring whether data that requires data localization is stored in an appropriate storage condition. This means that even if the current storage status is determined to be appropriate (YES) in step S204, it is necessary to check to ensure that the storage status does not change until the data is transferred, and even after the data is transferred, the original This is because it is necessary to check the storage status of data.
また、ステップS209では、ステップS205と同様に、管理サーバ151(情報管理部156または規制判断部157)が、国内保持310の値と移転根拠の情報を、ステップS201で個人情報を送信してきた拠点サーバ101に送信する。
In addition, in step S209, similarly to step S205, the management server 151 (
以上のように図18の処理を実行することにより、管理サーバ151は、各拠点サーバ101で保管される個人情報について、各国のデータローカライゼーションに対応した個人情報の保管を可能にする。
By executing the process shown in FIG. 18 as described above, the
(2)第2の実施形態
第1の実施形態で説明した個人情報管理システム100を用いて、本発明の第2の実施形態について説明する。本実施形態では、個人情報の国外移転において、これまでの移転状況及び各国の移転規制に留意した移転是非の判断を可能にし、上記判断結果をもとに、移転の許可または禁止等の制御を実行可能にする。
(2) Second Embodiment A second embodiment of the present invention will be described using the personal
本実施形態に係る個人情報管理システム100において、拠点サーバ101は、クライアント端末141から個人情報の移転要求を受けた場合に、要求された移転が再移転であるかを判断し、再移転である場合は、管理サーバ151と連携してその移転の許可または禁止を制御する。以下にこのような制御を行うための処理の詳細を説明する。
In the personal
(2-1)個人情報の移転制御処理
図19は、個人情報の移転制御処理の処理手順例を示すフローチャートである。図19に示す処理は、ユーザがクライアント端末141を操作して、ある個人情報を現在の拠点から他の拠点に移転(移動またはコピー)しようとする際に、現在の拠点における拠点サーバ101が実行する処理である。なお、図19の処理は、第1の実施形態で図17及び図18に示した処理が完了しているときに実行可能である。また、以降の説明では、拠点サーバ101の混同を避けるために、移転元となる現在の拠点における拠点サーバ101を「拠点サーバ101A」、移転先となる拠点における拠点サーバ101を「拠点サーバ101B」、と表記することがある。
(2-1) Personal information transfer control processing FIG. 19 is a flowchart showing an example of a processing procedure for personal information transfer control processing. The process shown in FIG. 19 is executed by the
図19によればまず、拠点サーバ101Aの連携部105が、クライアント端末141から個人情報の移転要求を受信する(ステップS301)。ステップS301で受信する移転要求では、移転対象とする個人情報とその移転方法とが指定される。移転方法は、例えば、第1の実施形態で図6を参照して説明した移転タイプID601の値で示される。
According to FIG. 19, first, the
次に、拠点サーバ101A(例えば情報管理部106)は、移転要求で指定された個人情報がデータローカライゼーション対応可能であるか否かを判断する(ステップS302)。具体的には、拠点サーバ101Aは、自身のメモリ102に格納している個人情報管理情報114の国内保持1508を参照し(図15参照)、移転要求で指定された個人情報の国内保持1508の値が「-」や「20」である場合、及び、移転要求で指定された個人情報の国内保持1508の値が「10」であり移転要求で指定された移転タイプが「t2」等のデータが国内(移転元)に残る移転方法の場合は、データローカライゼーション対応が可能であると判断する。また、拠点サーバ101Aは、移転要求で指定された個人情報の国内保持1508の値が「11」や「21」である場合、及び、移転要求で指定された個人情報の国内保持1508の値が「10」であり移転要求で指定された移転タイプが「t2」等のデータが国内(移転元)に残らない移転方法の場合には、データローカライゼーション対応が不可能であると判断する。
Next, the
ステップS302においてデータローカライゼーション対応が不可能である(国内保持NG)と判断した場合(ステップS302のNO)、拠点サーバ101Aは、クライアント端末141に対して、移転拒否の通知、及び代替の移転可能方法の提示を行い(ステップS309)、処理を完了する。代替の移転可能方法の提示とは、例えば、「t1」の移転タイプが指定された移転要求において移転拒否と判断した場合に、「t2」や「t3」といった移転タイプを代替案として提示するものである。
If it is determined in step S302 that data localization is not possible (domestic retention NG) (NO in step S302), the
ステップS302においてデータローカライゼーション対応が可能である(国内保持OK)と判断した場合(ステップS302のYES)、拠点サーバ101Aは、データローカライゼーション以外の観点において移転に問題がないかを判断する(ステップS303)。具体的には、拠点サーバ101A(例えば情報管理部106)は、今回の移転要求で指定された移転根拠が適切なものであるかを判断する。適切であるかの判断は、図16の移転候補情報117の情報をもとに行う。例えば図16において、移転対象(対象ID1602)が「02」のものは、移転において、移転根拠グループ「Gr2」を満たす必要がある。ここで、図13の移転根拠グループ情報115によれば、移転根拠グループ「Gr2」は「g1」または「g2」の移転根拠から構成される。したがって、今回の移転要求で指定される移転根拠が「g1」または「g2」であれば、拠点サーバ101Aは、今回の移転根拠が適切である(問題がない)と判断することができる。
If it is determined in step S302 that data localization is possible (domestic retention is OK) (YES in step S302), the
ステップS303において移転に問題がある(移転NG)と判断した場合(ステップS303のNO)、拠点サーバ101Aは、クライアント端末141に対して、移転根拠が不適切である等の理由を添えて移転拒否を通知し、さらに、移転可能にするための代替の移転根拠を提示し(ステップS309)、処理を終了する。
If it is determined in step S303 that there is a problem with the relocation (relocation NG) (NO in step S303), the
ステップS303において移転に問題がない(移転OK)と判断した場合(ステップS303のYES)、拠点サーバ101Aは、要求された移転が再移転に該当するか否かを判断する(ステップS304)。再移転に該当するか否かの判断は、個人情報管理情報114を参照して行うことができる。具体的には、移転対象に該当するデータID1501のレコードにおいて移転ID1510が登録済みであれば、移転で持ってきたデータの再移転であると判断し、未登録であれば再移転ではないと判断する。
If it is determined in step S303 that there is no problem with the relocation (relocation OK) (YES in step S303), the
ステップS304において再移転に該当しない場合(ステップS304のNO)、拠点サーバ101A(移転制御部107)は、移転要求に従って個人情報の移転を実行する(ステップS307)。
If re-transfer is not applicable in step S304 (NO in step S304), the
ステップS304において再移転に該当する場合(ステップS304のYES)、拠点サーバ101Aは、管理サーバ151に再移転の是非を問合せる(ステップS305)。ステップS305で問合せを受けた管理サーバ151は、図21で後述する再移転判断処理を実行し、その判断結果を拠点サーバ101Aに返答する。
If relocation is applicable in step S304 (YES in step S304), the
拠点サーバ101Aは、管理サーバ151からの返答が再移転を許可するものであるか否かを確認する(ステップS306)。管理サーバ151から再移転OKの返答を受け取った場合(ステップS306のYES)、拠点サーバ101A(移転制御部107)は、移転要求に従って個人情報の移転を実行する(ステップS307)。管理サーバ151から再移転OKの返答を受け取れなかった場合(ステップS306のNO)、拠点サーバ101Aは、クライアント端末141に対して、移転拒否の通知及び代替の移転可能方法の提示を行い(ステップS309)、処理を終了する。
The
そして、ステップS307における個人情報の移転が終了した後、拠点サーバ101Aは、クライアント端末141、管理サーバ151、及び移転先の拠点サーバ101Bに対して、移転の終了を通知し(ステップS308)、処理を終了する。
After the transfer of personal information in step S307 is completed, the
以上のように図19に示す処理が実行されることにより、クライアント端末141からの移転要求を受け取った拠点サーバ101Aは、管理サーバ151と連携して、移転対象の個人情報が移転可能であるか否かの判断を行い、移転可能と判断した場合には個人情報を拠点サーバ101Bに移転することができる。
By executing the process shown in FIG. 19 as described above, the
(2-2)移転終了通知後の情報登録処理
図20は、移転終了通知後の個人情報登録処理の処理手順例を示すシーケンス図である。図20に示す処理は、図19のステップS309で拠点サーバ101Aから移転の終了通知が送信された後に、管理サーバ151及び移転先の拠点サーバ101Bが実行する処理である。詳細は以下に説明するが、個人情報の移転の終了通知を受け取った管理サーバ151及び拠点サーバ101Bは、自身が管理する情報を更新する。
(2-2) Information registration process after notification of completion of transfer FIG. 20 is a sequence diagram illustrating an example of the processing procedure of personal information registration processing after notification of completion of transfer. The process shown in FIG. 20 is a process executed by the
図20によれば、まず、移転元の拠点サーバ101Aが、移転先の拠点サーバ101B及び管理サーバ151に対して、移転の終了通知を送信する(ステップS401)。ステップS401は、図19のステップS309と対応している。
According to FIG. 20, first, the transfer
ステップS401の移転の終了通知において、拠点サーバ101Aから拠点サーバ101Bに対しては、移転したデータの情報(図15の個人情報管理情報114の該当するデータのレコードのうち、データID1501、国内保持1508、移転ID1510以外のデータ項目の値)が送信される。これらのデータは、拠点サーバ101Bが保持する個人情報管理情報114に引き継がれ、後述するように、必要に応じて所定項目の値が変更及び更新される。
In the transfer completion notification in step S401, the
また、ステップS401の移転の終了通知において、拠点サーバ101Aから管理サーバ151に対しては、移転したデータに関して管理サーバ151が移転管理情報163を生成するために必要となる情報として、個人情報管理情報114のうちから移転したデータの識別ID(データID1501)や管理ID(管理ID312)等の情報が送信される。
In addition, in the transfer completion notification in step S401, the
拠点サーバ101Bでは、連携部105が移転の終了通知を受信すると、管理サーバ151から移転ID及び管理IDの通知を受信するまで待機する(ステップS402)。
In the
一方、管理サーバ151では、連携部155が移転の終了通知を受信すると(ステップS403)、情報管理部156が、受信した情報をもとに、自身が管理する移転管理情報163を更新する(ステップS404)。具体的には、情報管理部156は、図4の移転管理情報163において、今回の移転用に新たな移転ID(移転ID401)を割当て、拠点サーバ101Aから受信した情報をもとに、移転先データID405以外のデータ項目の値を新規に登録する。
On the other hand, in the
ここで、移転回数410については、情報管理部156は、今回の移転で登録したデータ(移転元402及び移転元データID403から識別されるデータ)が今回以前にも移転されていないか、移転管理情報163の移転先404及び移転先データID405の値に基づいて判断し導出する。例えば、すでに登録済みの移転先404及び移転先データID405のなかに、今回の移転で登録したデータ(移転元402,移転元データID403)と一致するものが含まれていた場合、今回以前にも移転が行われているデータと判断することができる。この場合、上記のようにして一致したデータ(移転先404,移転先データID405)に関して登録されている移転回数410の値に「1」を追加した値を、移転回数として設定する。この結果、例えば移転回数410に「1」が設定された場合、今回の移転以前に移転が1回行われていたことを示す。
Here, regarding the number of
また、管理ID411については、情報管理部156は、移転の終了通知の際に拠点サーバ101Aから送信された、移転対象のデータID(データID1501)に紐づけて管理されている個人情報管理情報114の管理ID312の値を、管理ID411に設定する。
Regarding the
上述したように今回移転されたデータに関する移転管理情報163の更新が終了すると、情報管理部156は、更新後の移転ID401及び管理ID411の値を移転先の拠点サーバ101Bに送信する(ステップS405)。
As described above, when the update of the
次に、拠点サーバ101Bの情報管理部106は、今回移転されたデータを自拠点で管理するための新たな識別ID(データID1501)を割当て、ステップS402で移転元の拠点サーバ101Aから受信した情報をもとに、個人情報管理情報114の国内保持1508~移転ID1510以外のデータ項目の値を設定する。さらに、情報管理部106は、ステップS405で管理サーバから受信した移転ID401の値を移転ID1510に設定する。なお、情報管理部106は、ステップS405で管理サーバ151から受信した管理ID411の値を暫定的に管理ID1509に設定するようにしてもよい。正式な管理ID1509の値は、後述するステップS410で設定される。
Next, the
そして、拠点サーバ101Bは、上記のように設定した情報について、クライアント端末141からの変更要求がなければ、設定した情報で個人情報管理情報114を更新し、更新した情報(例えばデータID1501等)を管理サーバ151に送信する(ステップS407)。所定のデータ項目についてクライアント端末141からの変更要求があった場合には、拠点サーバ101Bは、要求された値を当該データ項目に設定して個人情報管理情報114を更新した後、管理サーバ151に更新した情報を送信する。
Then, if there is no change request from the
次に、管理サーバ151では、情報管理部156が、ステップS407で拠点サーバ101Bから受信した情報をもとに、移転管理情報163及び個人情報管理情報162を更新する(ステップS408)。
Next, in the
具体的には、移転管理情報163の更新については、情報管理部156は、上述した更新後の移転ID401と、拠点サーバ101Bで新たに割り当てられた識別ID(データID1501)とに基づいて、当該移転ID401の値が設定された移転管理情報163のレコードにおいて、移転先データID405に当該識別IDの値を設定する。
Specifically, regarding the update of the
また、個人情報管理情報162の更新については、情報管理部156は、移転先の拠点サーバ101Bで管理される移転データ用に、個人情報管理情報162において新たに識別ID(管理ID301)を割当て、ステップS407で拠点サーバ101Bから受信した情報をもとに、新規に情報を登録する。このとき、取得国302~クラウドID309の各データ項目については、ステップS407で拠点サーバ101Bから受信した情報を設定すればよく、国内保持310及び元ID311については、図17のステップS102及びステップS103で説明したのと同様の手順で、適宜判断して設定することができる。
In addition, regarding the update of the personal
そして、管理サーバ151は、ステップS408で更新した情報のうち、少なくとも個人情報管理情報162に新たに割当てた管理ID301と、国内保持310の値(国内保持フラグ)とを、拠点サーバ101Bに通知し(ステップS409)、管理サーバ151側の処理を終了する。
Then, the
次に、拠点サーバ101Bでは、ステップS409で管理サーバ151から送信された情報をもとに、情報管理部106が、ステップS407において未設定または暫定的に設定された個人情報管理情報114のデータ項目を更新する(ステップS410)。具体的には、情報管理部106は、管理サーバ151において新たに割当てられた管理ID301の値を、正式な値として管理ID1509に設定し、管理サーバ151で設定された国内保持310の値(国内保持フラグ)を国内保持1508に設定する。
Next, in the
以上のように図20に示す処理が実行されることにより、移転先の拠点サーバ101B及び管理サーバ151は、拠点サーバ101Aから拠点サーバ101Bに移転された個人情報について、移転状況(移転元と移転先との関係、移転回数等)や国内保持の有無等を把握しながら、自計算機における管理情報を新たに登録することができる。
By executing the process shown in FIG. 20 as described above, the transfer
(2-3)再移転判断処理
図21は、再移転判断処理の処理手順例を示すフローチャートである。図21に示す処理は、図19のステップS305において拠点サーバ101Aから再移転の是非の問合せを受けた際に、管理サーバ151(主に規制判断部157)が実行する処理である。
(2-3) Relocation Judgment Processing FIG. 21 is a flowchart showing an example of a procedure for relocation judgment processing. The process shown in FIG. 21 is a process executed by the management server 151 (mainly the regulation determination unit 157) when receiving an inquiry from the
図21によればまず、管理サーバ151は、移転元の拠点サーバ101Aから再移転の是非の問合せを受信する(ステップS501)。ステップS501の処理は、図19のステップS305の処理に対応する。
According to FIG. 21, first, the
次に、管理サーバ151の規制判断部157は、ステップS501で問合せを受けたデータ、すなわち再移転しようとするデータについて、個人情報管理情報162の国内保持310の値に基づいて、国内保持が必要か否かを判断する(ステップS502)。国内保持が不要と判断した場合は(ステップS502のNO)、後述するステップS504に進む。国内保持が必要と判断した場合は(ステップS502のYES)、ステップS503に進む。
Next, the
ステップS503において、規制判断部157は、ステップS501で問合せを受けたデータ、すなわち再移転しようとするデータについて、当該データの保管状況が適切であるかを判断する。当該データの保管状況が不適切であると判断した場合は(ステップS503のNO)、後述するステップS511に進む。当該データの保管状況が適切であると判断した場合は、ステップS504に進む。
In step S503, the
ステップS503において、規制判断部157は、当該データの保管状況の適切性を、図18のS204で説明したのと同様の方法によって判断することができる。具体的には、規制判断部157は、再移転しようとしているデータに対応付けられた元ID311の値を基に、大元のデータを識別し(個人情報管理情報162において管理ID301に「元ID311の値」が設定されているレコードを特定し)、当該大元のデータを保持する拠点サーバ101(特定したレコードの拠点ID304)に対して、従前と同様に当該大元のデータを保持し続けているかの問合せを行う。そして、大元のデータに対応付けられた拠点サーバ101が大元のデータを保持し続けている場合、規制判断部157は、再移転しようとするデータの保管状況が適切であると判断する(ステップS502のYES)。一方、大元のデータに対応付けられた拠点サーバ101が大元のデータを保持し続けていない場合、規制判断部157は、再移転しようとするデータの保管状況が不適切であると判断する(ステップS502のNO)。
In step S503, the
再移転しようとするデータの保管状況が適切であると判断した場合、規制判断部157は、ステップS501で受信した問合せ情報を基に、前回の移転と今回の移転の移転根拠の情報、及び最初の移転元国と最終的な移転先国の規制レベルの情報を抽出する(ステップS504)。
If it is determined that the storage status of the data to be re-transferred is appropriate, the
具体的には、規制判断部157は、これまでの移転先データ(図4に示した移転管理情報163の移転先404及び移転先データID405の組合せから識別される)のうち、今回どのデータを再移転しようとしているかを識別し、上記識別した移転先データに関連付けられている移転根拠407の値を参照することで、前回の移転根拠を抽出する。例えば、今回再移転しようとしているデータが拠点「k6」のデータID「6001」であった場合、これに合致する(移転先404及び移転先データID405の組合せが一致する)移転先データの情報は、図4の移転管理情報163において「i1」の移転IDが設定されたレコードに相当する。したがって、この移転先データは、今回の再移転の前に、移転元拠点「k5」から移転先拠点「k6」へ移転根拠「g1」で持ってきたデータであると特定される。また、規制判断部157は、最初の移転元国については、今回再移転しようとしているデータについて管理サーバ151が管理している取得国302の値に基づいて特定し、最終的な移転先国については、拠点サーバ101からの再移転の是非の問合せにおいて指定された移転先情報から特定する。そして、規制判断部157は、上記のようにして特定した移転元国や移転先国について、図10に示した各国規制レベル情報169に基づいて、それぞれの規制レベルを特定する。例えば移転先国が「英」であれば、規制レベルを「4」と判断する。
Specifically, the
次に、規制判断部157は、ステップS504で特定した情報に基づいて、問合せ対象のデータの再移転の是非を判断する(ステップS505)。具体的には、規制判断部157は、今回の再移転の移転根拠が「十分性」である(図14の移転根拠情報173によれば、根拠IDが「g3」である)場合に、図11に示した各国十分性情報170を参照し、最初の移転元国についての十分性対象国として今回の再移転先国が含まれているか、十分性対象国1102を基に判断する。
Next, the
今回の再移転先国が十分性対象国に含まれている場合には、規制判断部157は、再移転が適切であると判断し(ステップS505のYES)、再移転の是非を問合せた拠点サーバ101に、再移転OKである旨を通知する(ステップS506)。
If the country to which the relocation is to be made is included in the countries subject to adequacy, the
一方、今回の再移転先国が十分性対象国に含まれていない場合には、規制判断部157は、最終的な移転先国の規制レベルが最初の移転元国の規制レベルよりも低い場合に、再移転が不適切であると判断し(ステップS505のNO)、再移転の是非を問合せた拠点サーバ101に、再移転NGである旨とその理由、及び再移転のために必要な是正措置を通知する(ステップS507)。ステップS507の通知を受けた拠点サーバ101は、通知内容をクライアント端末141に転送して、必要な是正措置の実施を求めるようにしてもよい。必要な是正措置の実施がクライアント端末141から指示され、拠点サーバ101で実施された場合には、拠点サーバ101は、その是正措置の実施完了を管理サーバ151に通知する。
On the other hand, if the current relocation destination country is not included in the countries subject to adequacy, the
ステップS507で通知を送った後、規制判断部157は、拠点サーバ101において必要な是正措置がとられるかを確認する(ステップS508)。拠点サーバ101において必要な是正措置が実施された場合は(ステップS508のYES)、ステップS506に進み、規制判断部157は、再移転OKである旨を拠点サーバ101に通知する。拠点サーバ101において必要な是正措置が実施されない場合は(ステップS508のNO)、後述するステップS511に進む。
After sending the notification in step S507, the
ここで、是正措置の通知について説明を補足する。具体的には、管理サーバ151は、再移転しようとしているデータの大元のデータを保持する拠点を特定する。そして管理サーバ151は、当該拠点の拠点サーバ101に対して、移転しようとしているデータの識別ID(個人情報管理情報162のデータID305)と移転目的(拠点サーバから提供される移転候補情報117の目的1608)とを提供し、是正措置の通知として、提供した情報に基づいて最終移転先との契約締結等の合意を行うことを要求する(ステップS507)。その後、上記の合意可能の返答を大元のデータを保持する拠点サーバ101から受け取った場合に、管理サーバ151は「是正あり」と判断し(ステップS508のYES)、再移転の是非の問合せを行った拠点サーバ101に再移転OKを通知する(ステップS506)。
Here, we will provide a supplementary explanation regarding the notification of corrective measures. Specifically, the
なお、上記説明では、合意可能の返答結果に基づいて是正措置の実施を判断したが、管理サーバ151は、それ以外の方法で是正措置の実施を判断するようにしてもよい。例えば、管理サーバ151が、移転対象のデータについての説明(当該データの識別ID等を含む情報)、移転目的、及び移転後の取扱い規則等についての記載を含む雛形の契約文書を作成し、管理サーバ151から大元のデータを保持する拠点サーバ101と最終的な移転先の拠点の拠点サーバ101とに作成した契約文書を送信し、これらの拠点サーバ101からの電子的な署名の押印を受信した場合に、ステップS508のYESと判断して、再移転OKを通知するようにしてもよい。
In addition, in the above description, the implementation of the corrective action was determined based on the response result of agreeable, but the
また、今回の再移転の移転根拠が「十分性」以外である場合(図14の移転根拠情報173によれば根拠IDが「g2」等の場合)には、最初の移転根拠と最後の移転根拠とが、ともに同じ拘束的企業準則(同一企業グループ内個人情報取扱い規定)である場合を除いて、前述したのと同様に、規制判断部157は、最終的な移転先国の規制レベルと最初の移転元国の規制レベルとの強弱を比較して、最終的な移転先国の規制レベルが最終的な移転先国の規制レベルよりも低い場合に、再移転が不適切であると判断し(ステップS505のNO)、再移転の是非を問合せた拠点サーバ101に、再移転NGである旨とその理由、及び再移転のために必要な是正措置を通知する(ステップS507)。その後、是正が行われた場合は(ステップS508のYES)、管理サーバ151は、再移転の是非を問合せた拠点サーバ101に再移転OKを通知する(ステップS506)。
In addition, if the transfer basis for this re-transfer is other than "sufficiency" (according to the
そしてステップS506の後、管理サーバ151は、図18のステップS206~S208と同様にして、再移転するデータの大元のデータの保管状況についての定期的な監視と、保管状況の適切性についての判断を行い(ステップS509,S510)、保管状況が不適切であった場合は(ステップS510のNO)、データの移転禁止を拠点サーバ101に通知する(ステップS511)。
After step S506, the
以上のように図21の処理を実行することにより、管理サーバ151は、複数国に跨る再移転の移転状況や移転元国の規制に留意して再移転の是非を判断し、再移転の可否を問合せ元の拠点サーバ101に通知することができる。具体的には例えば、移転元国では厳しい個人情報保護に関する規制が設けられているにも関わらず、再移転先ではこのような厳しい規制が設けられていない場合には、最初の移転元国の規制を考慮して、再移転先で十分に個人情報が保護されるように、移転の許可または禁止を制御することが可能になる。
By executing the process shown in FIG. 21 as described above, the
(3)他の実施形態
以下では、上述した本発明の第1及び第2の実施形態に係る個人情報管理システム100の変形例について説明する。本変形例では、各国ローカライゼーション規制などの規制情報が変更された場合に、影響する拠点の拠点サーバ101に対して、管理サーバ151から個人情報設定の変更要求を行う。
(3) Other Embodiments Below, modified examples of the personal
具体的には例えば、ある国において、新規にデータローカライゼーション規制が追加された場合、管理サーバ151は、データ取得国が上記の国に該当するデータを、図3に示した個人情報管理情報162の取得国302に基づいて特定する。
Specifically, for example, when new data localization regulations are added in a certain country, the
そして上記特定したデータについて、個人情報管理情報162の対応レコードにおいて元ID311が未登録である場合は、管理サーバ151は、図18のステップS204と同様の方法で、個人情報管理情報162からデータの保管状況の適切性を判断し、判断結果である国内保持に変更がある場合は、新たな判断結果の国内保持フラグを国内保持310に設定し、上記特定したデータを保管する拠点の拠点サーバ101に対して、新たな国内保持フラグを送信し、情報更新を要求するとともに、以後は更新した国内保持フラグに基づいて移転制御を行うように要求する。
Regarding the identified data, if the
一方、上記特定したデータについて、個人情報管理情報162の対応レコードにおいて元ID311が登録されている場合は、管理サーバ151は、個人情報管理情報162において管理ID301の値が元ID311の値に一致するレコード、すなわち大元のデータのレコードについて、上記と同様にして、大元のデータの保管状況の適切性を判断し、判断結果である国内保持に変更がある場合は、新たな判断結果の国内保持フラグを国内保持310に設定し、前述した元ID311と同じ値が元ID311に登録されているデータを保管する拠点の拠点サーバ101に対して、上記と同じようにして新たな国内保持フラグを送信し、情報更新を要求するとともに、以後は更新した国内保持フラグに基づいて移転制御を行うように要求する。さらに、管理サーバ151は、大元のデータを保管する拠点サーバ101に対して、上記と同様にして新たな国内保持フラグを送信するとともに、当該国内保持フラグの内容が国内保持への対応不可能を示す場合には、自拠点へのデータのバックアップ取得等、データの保管状況の是正を要求する。その後、大元のデータを保管する拠点サーバ101から是正の応答があった場合は、管理サーバ151は、データの保管状況を適切と判断して、是正内容に該当する国内保持フラグを生成し、大元のデータを保管する拠点サーバ101及び当該拠点サーバ101に関係する計算機(例えば、当該拠点サーバ101から移転されたデータを保管する拠点サーバ101等)に生成した国内保持フラグを送信して、各拠点サーバ101が保持する個人情報管理情報114における国内保持1508の更新を要求する。
On the other hand, if the
以上のように本変形例の処理が実行されることにより、個人情報管理システム100では、各国ローカライゼーション規制などの規制情報が変更された場合に、管理サーバ151が、規制情報の変更による影響を受ける拠点サーバ101に対して、個人情報の設定内容の変更を要求し、さらに管理サーバ151自身が管理する情報の設定内容も更新することができる。
By executing the process of this modification as described above, in the personal
以上に説明した本発明の各実施形態によれば、例えば、クライアント端末(クライアント端末141)と第一の計算機(拠点サーバ101)と第二の計算機(管理サーバ151)とを含んで構成される計算機システム(個人情報管理システム100)において、第一の計算機は、自計算機または他の計算機の拠点を定義する拠点情報(拠点情報111)と、計算機が保持する情報の種類を定義するデータタイプ定義情報(データタイプ定義情報112)と、情報の移転方法を定義する移転タイプ定義情報(移転タイプ定義情報113)と、自計算機が保持する個人情報を管理するための個人情報管理情報(個人情報管理情報114)と、移転根拠の組合せからなる移転根拠グループ情報(移転根拠グループ情報115)と、移転根拠を定義する移転根拠情報(移転根拠情報116)と、今後移転可能性のあるデータを定義する移転候補情報(移転候補情報117)と、計算機が利用するクラウドを定義するクラウド情報(クラウド情報)と、を備える。第二の計算機は、自計算機または他の計算機の拠点を定義する拠点情報(拠点情報161)と、計算機が保持する情報の種類を定義するデータタイプ定義情報(データタイプ定義情報164)と、情報の移転方法を定義する移転タイプ定義情報(移転タイプ定義情報165)と、他の計算機が保持する個人情報を管理するための個人情報管理情報(個人情報管理情報162)と、移転根拠の組合せからなる移転根拠グループ情報(移転根拠グループ情報172)と、移転根拠を定義する移転根拠情報(移転根拠情報173)と、計算機が利用するクラウドを定義するクラウド情報(クラウド情報166)と、計算機のデータ移転を管理する移転管理情報(移転管理情報163)と、各国の国内保持規制(データローカライゼーション)を管理する各国ローカライゼーション情報(各国ローカライゼーション情報167)と、各国の移転規制を管理する各国移転規制情報(各国移転規制情報168)と、各国の規制レベルを定義する各国規制レベル情報(各国規制レベル情報169)と、各国の十分性認定情報を定義する各国十分性情報(各国十分性情報170)と、各国の情報の機微度を定義する各国センシティビティ情報(各国センシティビティ情報171)と、を備える。 According to each embodiment of the present invention described above, the configuration includes, for example, a client terminal (client terminal 141), a first computer (base server 101), and a second computer (management server 151). In a computer system (personal information management system 100), a first computer has base information (base information 111) that defines the base of its own computer or another computer, and a data type definition that defines the type of information held by the computer. information (data type definition information 112), transfer type definition information (transfer type definition information 113) that defines the information transfer method, and personal information management information (personal information management information 114), transfer basis group information (transfer basis group information 115) consisting of a combination of transfer grounds, transfer basis information that defines the transfer grounds (transfer basis information 116), and defines data that may be transferred in the future. It includes relocation candidate information (relocation candidate information 117) and cloud information (cloud information) that defines the cloud used by the computer. The second computer stores base information (base information 161) that defines the base of its own computer or other computers, data type definition information (data type definition information 164) that defines the type of information held by the computer, and information From the combination of transfer type definition information (transfer type definition information 165) that defines the transfer method, personal information management information (personal information management information 162) for managing personal information held by other computers, and transfer grounds. transfer basis group information (transfer basis group information 172), transfer basis information that defines the transfer basis (transfer basis information 173), cloud information that defines the cloud used by the computer (cloud information 166), and computer data. Transfer management information that manages transfers (transfer management information 163), localization information for each country that manages domestic retention regulations (data localization) (localization information for each country 167), and transfer regulation information for each country that manages transfer regulations (data localization) for each country. Each country's transfer regulation information 168), each country's regulation level information (country's regulation level information 169) that defines the regulation level of each country, and each country's adequacy information that defines each country's adequacy certification information (country's adequacy information 170), Each country's sensitivity information (each country's sensitivity information 171) that defines the sensitivity of information for each country is provided.
このような計算機システムにおいて、前記第一の計算機は、クライアント端末からの要求に基づき、個人情報の設定および移転候補の設定を行い、これらの情報を前記第二の計算機に通知し、前記第二の計算機は、受信した情報と各国の規制情報をもとに、前記第一の計算機の個人情報の保管状況の適切性の判断及び、前記第一の計算機への判断結果の通知を行う。前記第一の計算機は、前記第二の計算機からの判断結果を前記第一の計算機の個人情報管理情報に設定し、上記判断結果に応じた、当該データの移転の許可/禁止の制御を行う。また、前記第二の計算機は、前記第一の計算機の個人情報のうち、国内保持が必要なものについては定期的に保管状況の監視を行い、保管状況が不適切になった場合は移転の禁止等の通知を行う。また、前記第一の計算機は、個人情報の再移転において前記第二の計算機に再移転是非の問合せを行い、前記第二の計算機は、移転根拠と個人情報取得元国の規制情報の関係から、再移転是非の判断を行い、再移転不適切と判断した場合は、移転禁止の通知を前記第一の計算機に通知するか、または、移転するデータの大元のデータを保持する計算機及び最終的な移転先の計算機に対して、移転の合意形成の通知を行い、これらの計算機からの応答結果に基づき移転の禁止/許可を決定し、上記決定結果を前記第一の計算機に通知する。そして、前記第一の計算機は、前記第二の計算機の判断結果をもとに、当該データの再移転の許可または禁止の制御を行う。 In such a computer system, the first computer sets personal information and transfer candidates based on a request from a client terminal, notifies the second computer of this information, and transfers the information to the second computer. Based on the received information and the regulatory information of each country, the computer determines the appropriateness of the storage status of the personal information of the first computer, and notifies the first computer of the determination result. The first computer sets the judgment result from the second computer in the personal information management information of the first computer, and controls permission/prohibition of transfer of the data according to the judgment result. . In addition, the second computer periodically monitors the storage status of personal information stored in the first computer that needs to be retained domestically, and if the storage status becomes inappropriate, it may not be transferred. Notify of prohibition, etc. In addition, the first computer inquires of the second computer whether or not to re-transfer the personal information, and the second computer receives the information based on the relationship between the basis of the transfer and the regulatory information of the country from which the personal information was acquired. If it is determined that the re-transfer is inappropriate, the first computer will be notified of the prohibition of the re-transfer, or the computer that holds the original data of the data to be transferred and the final The first computer is notified of consensus regarding the transfer to computers that are to be transferred, and based on the response results from these computers, a decision is made to prohibit or permit the transfer, and the result of the decision is notified to the first computer. Then, the first computer controls permission or prohibition of retransfer of the data based on the determination result of the second computer.
上述した構成を備えることにより、本発明の計算機システム(個人情報管理システム100)は、個人情報の国外移転において、これまでの移転状況や移転元国の規制に留意した移転制御が可能になり、複数国を跨る再移転のような場合であっても適切な移転制御を行うことが可能になる。 By having the above-mentioned configuration, the computer system (personal information management system 100) of the present invention can control the transfer in consideration of the past transfer situation and the regulations of the transfer source country when transferring personal information overseas. Even in the case of relocation across multiple countries, it becomes possible to perform appropriate transfer control.
100 個人情報管理システム
101 拠点サーバ
102,142,152 メモリ
103,143,153 CPU
104,144,154 I/F
105,145,155 連携部
106,156 情報管理部
107 移転制御部
111,161 拠点情報
112,164 データタイプ定義情報
113,165 移転タイプ定義情報
114,162 個人情報管理情報
115,172 移転根拠グループ情報
116,173 移転根拠情報
117 移転候補情報
118,166 クラウド情報
119,174 記憶領域
141 クライアント端末
151 管理サーバ
157 規制判断部
163 移転管理情報
167 各国ローカライゼーション情報
168 各国移転規制情報
169 各国規制レベル情報
170 各国十分性情報
171 各国センシティビティ情報
100 Personal
104, 144, 154 I/F
105,145,155 Cooperation Department 106,156
Claims (9)
自拠点で取扱う個人情報を管理する複数の第一の計算機と、前記複数の第一の計算機が管理する個人情報を一元的に管理する第二の計算機と、がネットワークを介して接続され、
前記第一の計算機は、自拠点で取扱う個人情報に関する情報が登録される第一管理情報を有し、
前記第二の計算機は、前記複数の第一の計算機が管理する各個人情報に関する情報が登録される第二管理情報と、各国で定められたデータの国内保持規制を示すデータローカライゼーション情報と、を有し、
前記第一の計算機は、自拠点で取扱う個人情報に関する所定項目の設定情報を前記第一管理情報に設定し、設定した設定情報を前記第二の計算機に通知し、
前記第二の計算機は、前記第一の計算機から通知された前記設定情報に基づいて、前記第二管理情報を更新し、
前記第二の計算機は、前記データローカライゼーション情報及び前記第二管理情報を用いて、前記第一の計算機の拠点に適用される国内保持規制の観点に基づいて、前記第一の計算機による前記個人情報の保管状況の適切性を判断し、その判断結果を前記第一の計算機に通知し、
前記第一の計算機は、前記第二の計算機による前記個人情報の保管状況の適切性の判断結果に基づいて、国を跨いだ別の第一の計算機への前記個人情報の移転の許可または禁止を制御する
ことを特徴とする個人情報管理システム。 A personal information management system that manages the transfer control of personal information handled at bases in each country,
A plurality of first computers that manage personal information handled at the own base and a second computer that centrally manages personal information managed by the plurality of first computers are connected via a network,
The first computer has first management information in which information regarding personal information handled at its own base is registered,
The second computer has second management information in which information regarding each personal information managed by the plurality of first computers is registered, and data localization information indicating domestic data retention regulations established in each country. have,
The first computer sets setting information of predetermined items regarding personal information handled at its own base in the first management information, and notifies the second computer of the set setting information,
The second computer updates the second management information based on the setting information notified from the first computer,
The second computer uses the data localization information and the second management information to store the personal information by the first computer based on the domestic retention regulations applicable to the base of the first computer. determines the appropriateness of the storage status of the computer, and notifies the first computer of the determination result;
The first computer may permit or prohibit the transfer of the personal information across countries to another first computer based on the second computer's determination of the appropriateness of the storage status of the personal information. A personal information management system characterized by controlling.
前記第二の計算機は、前記データローカライゼーション情報を用いて、前記第一の計算機の拠点におけるデータの国内保持の要否を判断し、前記国内保持が必要な場合にはさらに、前記第二管理情報を用いて、前記第一の計算機が国内保持規制に適合する形態で前記個人情報を保管しているか否かを判断することにより、前記第一の計算機による前記個人情報の保管状況の適切性を判断する
ことを特徴とする請求項1に記載の個人情報管理システム。 The personal information setting information that the first computer notifies the second computer includes at least information indicating the country of acquisition of the personal information, the type of the personal information, and the storage location of the personal information. Re,
The second computer uses the data localization information to determine whether or not the data at the base of the first computer needs to be held domestically, and if the data needs to be held domestically, the second computer further transmits the second management information. The appropriateness of the storage status of the personal information by the first computer is determined by determining whether the first computer stores the personal information in a form that complies with domestic retention regulations. The personal information management system according to claim 1, characterized in that the personal information management system makes a judgment.
前記第一の計算機の拠点において前記データの国内保持が不要であるか、前記第一の計算機の拠点において前記データの国内保持が必要であるが当該第一の計算機が国内保持規制に適合する形態で前記個人情報を保管していると判断した場合に、前記第一の計算機による前記個人情報の保管状況が適切であると判断し、
前記第一の計算機の拠点において前記データの国内保持が必要であるが当該第一の計算機が国内保持規制に適合する形態で前記個人情報を保管していないと判断した場合に、前記第一の計算機による前記個人情報の保管状況が不適切であると判断する
ことを特徴とする請求項2に記載の個人情報管理システム。 The second calculator is
Either the data does not need to be retained domestically at the base of the first computer, or it is necessary to retain the data domestically at the base of the first computer, but the first computer complies with domestic retention regulations. determines that the storage status of the personal information by the first computer is appropriate;
If it is determined that the data needs to be retained domestically at the base of the first computer, but it is determined that the first computer does not store the personal information in a form that complies with domestic retention regulations, The personal information management system according to claim 2, wherein the computer determines that the storage status of the personal information is inappropriate.
前記第二の計算機による前記個人情報の保管状況の適切性の判断結果と、前記要求された移転がデータを移転元に残す移転タイプであるか否かとに基づいて、自拠点において前記個人情報の国内保持が不要であるか、または、自拠点において前記個人情報の国内保持が必要であり国内保持に対応可能であると判断した場合に、当該個人情報の移転を許可する
ことを特徴とする請求項3に記載の個人情報管理システム。 When the first computer is requested to transfer the personal information it manages to the other first computer,
Based on the judgment result of the appropriateness of the storage status of the personal information by the second computer and whether the requested transfer is a transfer type in which data is left at the transfer source, the personal information is stored at the own base. A request characterized in that the transfer of the personal information is permitted if it is determined that domestic retention is unnecessary, or if it is determined that domestic retention of the personal information is necessary and possible at the own base. Personal information management system described in Section 3.
前記問合せを受けた前記第二の計算機は、再移転の是非判断として、移転対象の個人情報が国内保持が必要でその対応が可能である場合には、当該個人情報の以前の移転元の個人情報を管理している特定の前記第一の計算機に対して当該移転元の個人情報の保管状況の確認を行い、当該保管状況が適切である場合に、前記再移転が適切であると判断してその判断結果を前記第一の計算機に通知し、
前記第一の計算機は、前記第二の計算機から前記再移転が適切であるとの判断結果を受け取った場合に、前記別の第一の計算機への個人情報の移転を許可する
ことを特徴とする請求項3に記載の個人情報管理システム。 When the transfer of personal information to the other first computer is requested, the first computer determines whether the specified transfer of personal information corresponds to re-transfer, and determines whether the transfer corresponds to re-transfer. If you wish to do so, please contact the second computer regarding the pros and cons of relocation.
The second computer that received the inquiry will determine the pros and cons of re-transfer, and if the personal information to be transferred needs to be retained domestically and it is possible to do so, the second computer will We will check the storage status of the personal information of the transfer source with respect to the specific first computer that manages the information, and if the storage status is appropriate, we will determine that the re-transfer is appropriate. and notify the first computer of the determination result,
The first computer may permit the transfer of the personal information to the other first computer when receiving a judgment result from the second computer that the re-transfer is appropriate. The personal information management system according to claim 3.
各国の国内保持規制の有無、個人情報の種類数、及び移転規制の有無に基づいて、個人情報の移転に関する各国の規制レベルを算出し、
前記再移転の是非判断においてさらに、前記再移転の移転根拠、前記個人情報の取得国、前記取得国における規制、及び前記取得国と再移転先の所在国との規制レベルの強弱関係に基づいて、再移転の適切性を判断し、
前記再移転が不適切であると判断した場合でも、前記以前の移転元の個人情報を管理している前記特定の第一の計算機と、前記再移転先の第一の計算機とに対して、個人情報の取扱いに関する合意形成を要求し、当該合意形成が可能との返答を受け取った場合に、再移転が適切であると判断する
ことを特徴とする請求項5に記載の個人情報管理システム。 The second calculator is
Calculate each country's regulatory level regarding the transfer of personal information based on the presence or absence of domestic retention regulations in each country, the number of types of personal information, and the presence or absence of transfer regulations.
In determining the pros and cons of the re-transfer, we will further consider the basis for the re-transfer, the country where the personal information was acquired, the regulations in the country of acquisition, and the strength and weakness of the regulatory levels between the country of acquisition and the country where the re-transfer is located. , determine the suitability of relocation;
Even if it is determined that the re-transfer is inappropriate, for the specific first computer that manages the personal information of the previous transfer source and the first computer of the re-transfer destination, 6. The personal information management system according to claim 5, wherein the personal information management system determines that retransfer is appropriate when a request is made to form an agreement regarding the handling of personal information and a response is received that the agreement can be formed.
ことを特徴とする請求項2に記載の個人情報管理システム。 The second computer periodically determines the appropriateness of the storage status of the personal information by the first computer, and if it is determined to be inappropriate, prohibits the transfer of the personal information to the first computer. 3. The personal information management system according to claim 2, wherein the personal information management system notifies the computer.
ことを特徴とする請求項6に記載の個人情報管理システム。 The second computer periodically checks the appropriateness of the storage status of the personal information by the first computer and the appropriateness of the storage status of the personal information of the previous transfer source by the specific first computer. 7. The personal information management system according to claim 6, wherein the personal information management system determines based on the following.
前記個人情報管理システムは、自拠点で取扱う個人情報を管理する複数の第一の計算機と、前記複数の第一の計算機が管理する個人情報を一元的に管理する第二の計算機と、がネットワークを介して接続され、
前記第一の計算機は、自拠点で取扱う個人情報に関する情報が登録される第一管理情報を有し、
前記第二の計算機は、前記複数の第一の計算機が管理する各個人情報に関する情報が登録される第二管理情報と、各国で定められたデータの国内保持規制を示すデータローカライゼーション情報と、を有し、
前記第一の計算機が、自拠点で取扱う個人情報に関する所定項目の設定情報を前記第一管理情報に設定し、設定した設定情報を前記第二の計算機に通知する第1ステップと、
前記第二の計算機が、前記第1ステップで前記第一の計算機から通知された前記設定情報に基づいて、前記第二管理情報を更新する第2ステップと、
前記第2ステップの後に、前記第二の計算機が、前記データローカライゼーション情報及び前記第二管理情報を用いて、前記第一の計算機の拠点に適用される国内保持規制の観点に基づいて、前記第一の計算機による前記個人情報の保管状況の適切性を判断し、その判断結果を前記第一の計算機に通知する第3ステップと、
前記第3ステップにおける前記第二の計算機による前記個人情報の保管状況の適切性の判断結果に基づいて、前記第一の計算機が、国を跨いだ別の第一の計算機への前記個人情報の移転の許可または禁止を制御する第4ステップと、
を備えることを特徴とする個人情報移転制御方法。
A personal information transfer control method using a personal information management system that manages transfer control of personal information handled at bases in each country,
The personal information management system includes a plurality of first computers that manage personal information handled at their own bases, and a second computer that centrally manages personal information managed by the plurality of first computers, which are networked. connected via
The first computer has first management information in which information regarding personal information handled at its own base is registered,
The second computer has second management information in which information regarding each personal information managed by the plurality of first computers is registered, and data localization information indicating domestic data retention regulations established in each country. have,
a first step in which the first computer sets setting information of predetermined items related to personal information handled at its own base in the first management information and notifies the second computer of the set setting information;
a second step in which the second computer updates the second management information based on the setting information notified from the first computer in the first step;
After the second step, the second computer uses the data localization information and the second management information to obtain the first computer based on the domestic retention regulations applicable to the base of the first computer. a third step of determining the appropriateness of the storage status of the personal information by the first computer and notifying the first computer of the determination result;
Based on the judgment result of the appropriateness of the storage status of the personal information by the second computer in the third step, the first computer transfers the personal information to another first computer across countries. a fourth step of controlling permission or prohibition of transfer;
A personal information transfer control method comprising:
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022047488A JP2023141262A (en) | 2022-03-23 | 2022-03-23 | Personal information management system and personal information transfer control method |
PCT/JP2023/007857 WO2023181836A1 (en) | 2022-03-23 | 2023-03-02 | Personal information management system and personal information transfer control method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022047488A JP2023141262A (en) | 2022-03-23 | 2022-03-23 | Personal information management system and personal information transfer control method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2023141262A true JP2023141262A (en) | 2023-10-05 |
Family
ID=88100592
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022047488A Pending JP2023141262A (en) | 2022-03-23 | 2022-03-23 | Personal information management system and personal information transfer control method |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP2023141262A (en) |
WO (1) | WO2023181836A1 (en) |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020021133A (en) * | 2018-07-30 | 2020-02-06 | 株式会社日立製作所 | Personal information management system, personal information management method and program |
US11301459B2 (en) * | 2019-07-24 | 2022-04-12 | Mastercard International Incorporated | Method and system for data localization-compliant blockchain processing and storage |
US11204947B2 (en) * | 2020-03-18 | 2021-12-21 | International Business Machines Corporation | Centralized database system with geographically partitioned data |
-
2022
- 2022-03-23 JP JP2022047488A patent/JP2023141262A/en active Pending
-
2023
- 2023-03-02 WO PCT/JP2023/007857 patent/WO2023181836A1/en unknown
Also Published As
Publication number | Publication date |
---|---|
WO2023181836A1 (en) | 2023-09-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5036140B2 (en) | Personal information distribution management system, personal information distribution management method, personal information provision program, and personal information utilization program | |
CN110912938A (en) | Access verification method and device for network access terminal, storage medium and electronic equipment | |
US8448166B2 (en) | Automated state migration while deploying an operating system | |
EP4092547A1 (en) | Sensitive data service access | |
CN111343142A (en) | Data processing method and device based on block chain network and storage medium | |
JP5631940B2 (en) | Information processing apparatus, method, and program | |
CN102822841A (en) | Thin-client system, access control method, and access control method in same | |
US8176535B2 (en) | Information processing system, information processing method, and computer readable medium | |
US20130182288A1 (en) | Account management system | |
CN104050395A (en) | Method for controlling access to electronic documents by means of a user centric DRM system | |
US20130204398A1 (en) | Access control device, access control system, access control method, and computer readable medium | |
WO2023181836A1 (en) | Personal information management system and personal information transfer control method | |
EP3479274A1 (en) | Sensitive date service storage | |
JP2010271953A (en) | Information exchange/share system, method and program thereof | |
JP5860259B2 (en) | Determination program and determination apparatus | |
JP5783414B2 (en) | Document management system and document management method | |
KR101672962B1 (en) | Adaptive device software management system and management method of device software | |
KR102496829B1 (en) | Apparatus and method for managing identity based on blockchain | |
US11418484B2 (en) | Document management system | |
JP4890372B2 (en) | Portable information processing device, electronic device, operation control method, and operation control program | |
JP2007299328A (en) | Calculation processing method and calculation processing system | |
US20150373088A1 (en) | Information processing apparatus and non-transitory computer readable medium | |
CN112491855A (en) | Method and device for determining handle identifier analysis state | |
CN109658100B (en) | System and method for determining downlink digital assets | |
JP7222792B2 (en) | Information processing system, information processing device, control method and program for information processing device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230119 |