JP3843405B2 - 個人情報の記録方法と個人情報記録システムおよび記録媒体 - Google Patents
個人情報の記録方法と個人情報記録システムおよび記録媒体 Download PDFInfo
- Publication number
- JP3843405B2 JP3843405B2 JP06974498A JP6974498A JP3843405B2 JP 3843405 B2 JP3843405 B2 JP 3843405B2 JP 06974498 A JP06974498 A JP 06974498A JP 6974498 A JP6974498 A JP 6974498A JP 3843405 B2 JP3843405 B2 JP 3843405B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- personal
- basic
- search
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、コンピュータシステムにおいて、個人情報ファイルの機密保護を図ることが可能な個人情報記録方法、およびその方法で記録され、コンピュータにより読み出し可能な記録媒体に関する。
【0002】
【従来の技術】
最近、金融機関における個人情報の漏洩、あるいは市町村における住民情報の漏洩が問題となったニュースが報道されている。これは、コンピュータ化の発展により、コンピュータシステムで処理される個人情報が増加していることが原因である。一方、パソコン通信やインターネット等の普及によりコンピュータシステムの利用者がますます増加しており、パソコンを利用した預金者、あるいは住民からのデータベースへのアクセス要求は、今後増加する傾向にある。このような状況において、コンピュータシステムに蓄積されている各種個人情報は、プライバシー保護の観点から十分な機密保護の仕組みが要求されている。
このような社会的な要求に対して、データの機密保護のための対策としては、例えばパスワードによるアクセス者の権限チェック、通信ネットワーク上のデータの暗号化処理、コンピュータシステムの外部記憶媒体に作成・保管するデータに対する暗号化処理、等が一般に行われている。
【0003】
個人情報の機密保護に関する従来技術としては、例えば、特開昭64−14665号公報に記載の市町村業務における住民基本台帳ファイル方式がある。この方式では、オンラインシステムを使用して個人データの登録や蓄積を行った住民基本台帳から、個人情報が外部に漏出することを防止するものであって、図2に示すように、磁気ディスク上のデータベースの暗号化を行う方式である。すなわち、住民基本台帳ファイル55に対して入力端末装置51から住民基本台帳データを入力する時に、暗号処理部54であらかじめ定めた暗号鍵により前記住民基本台帳データを全て暗号化してからファイル55に格納するものである。一方、住民基本台帳ファイル55のデータに対して検索や演算を行う場合には、暗号処理部54で復号処理した後に、住民基本台帳処理部53で検索または演算処理を行い、処理結果を出力端末装置52に出力する。
【0004】
【発明が解決しようとする課題】
前記公報に記載の従来技術においては、記録、蓄積されている個人情報である住民基本台帳ファイルが、ファイルダンプなどの手段により読み出されて外部に漏出されても、データが暗号化されているために、何人もこれを解読できず、その結果として個人情報の外部漏出を防止することができる。
しかしながら、コンピュータシステムの記録装置に記録されているこの住民基本台帳ファイルは、コンピュータシステムの各種業務処理プログラムによって検索処理の対象となるファイルである。検索対象ファイルのデータが暗号化されていると、復号してから演算処理や検索処理を行う必要があるため、多くの余分な時間を要するという問題がある。また、暗号化の方法によっては、検索不可の条件が生ずるという問題があり、個人情報は保護されても、正常なコンピュータ処理に支障を生じるため、実用にならないという問題がある。
【0005】
具体的には、個人情報を検索する際の検索方法としては、個人を特定するための基本的な検索である氏名、性別、年齢(生年月日)、住所等の基本項目を検索キーに利用する場合(基本項目検索)と、収入が一定額以上や年齢が一定年齢以上といった特定の属性に対する条件に合致した個人を抽出する場合(属性条件検索)が考えられる。いま従来の方法により、データ自体に暗号化処理を施した場合、その暗号化の方法によっては、正しい検索条件に合致するデータが抽出できないことが考えられる。例えば、年齢60歳以上で、かつ年間所得額が200万円以上の者を抽出する場合、属性情報の年齢と年間所得額の項目を暗号化したときには、その大小関係が保証されないことが発生する。従って、現実の個人情報システムでは、属性項目の暗号化は実用的ではないという結論になる。
このように、従来の個人情報の暗号化処理方法では、検索時の処理性能を考慮していなかった。
そこで、本発明の目的は、このような従来の課題を解決し、アクセスを許可されない者が、通常のアクセス手段以外の不正な何らかの手段、例えばファイルダンプの実行等により記録媒体から個人情報を読み出して入手したとしても、その個人情報の解読を不可能にし、かつ正常なアクセス処理の場合には、検索ロジックを複雑にせず、しかも検索処理時間を大幅に増大しないような個人情報の記録方法およびその記録媒体を提供することにある。
【0006】
【課題を解決するための手段】
上記目的を達成するために、本発明による個人情報の記録方法では、先ず個人情報をその基本情報ファイル(例えば、氏名、性別、生年月日、住所)と、複数の属性情報ファイル(例えば、第一属性ファイルの項目として学歴、出生地住所、既婚・未婚等、第2属性ファイルの項目として収入、持家の有無、資産総額、負債総額等)に分割することにより、各ファイル間の関連が遮断された、1つの論理的な個人情報データベースを作成する。次に、作成した個人情報データベースに対して、このように分割した個人情報(基本情報ファイルと各属性情報ファイル)間の関連を暗号化したユニークな個人番号、あるいは単なるコード番号で結合して、個人情報データベースを完成させる。
また、個人情報を分割した格納した各情報ファイルの内容を記録媒体に記録させることにより、その媒体を携帯することにより、任意の場所で個人情報の検索・演算処理が可能となる。
これにより、許可されない者が恣意的に前記個人情報データベースにアクセスしても、その内容と個人を特定することができない仕組みを構築する。また、磁気ディスク上に作成した前記個人情報データベースの元のデータを単純に外部磁気媒体にバックアップしたデータについても、本発明による個人情報ファイルの関連を遮断する処理と、従来からのデータ全体に暗号化を行う処理とを二重に行うことにより、さらに強力な情報の秘匿手段を構じることが可能になる。
【0007】
【発明の実施の形態】
以下、本発明の実施例を、図面を用いて詳細に説明する。
図1は、本発明の一実施例を示す個人情報システムのブロック図である。
図1において、10はクライアント装置、20はサーバ、30は個人情報を蓄積した個人情報データベースである。クライアント装置10は、入力処理機構11と出力処理機構12を備えている。サーバ20は、入力データ解析機構21、暗号・復号化処理機構22、編集出力機構23を備えている。個人情報データベース30は、基本情報ファイル31と複数の属性情報ファイル32、33、・・・を備えている。
本発明においては、図1に示すように、個人情報データを基本データ項目からなる基本情報ファイル31と、基本データ項目以外の属性データ項目からなる少なくとも1つ以上の属性情報ファイル32,33とに分割し、各個人情報を特定する個人コードまたは暗号化された個人コードでこれらの基本情報ファイル31と属性情報ファイル32,33相互間の関連付けを行う。このように、単に格納するファイルを分割しただけでも、統一した個人情報を読み出すことが不可能となる。そして、コードがファイルから読み出されるまでは各ファイル間の関連を判別することができない。また、コードを暗号化することにより、個人情報の解読は完全に不可能となる。
【0008】
図3は、本発明の一実施例を示す個人情報ファイルの暗号化処理の説明図である。
個人情報データベースの構造も、図3により明らかとなる。ここでは、個人コードを暗号化して、各ファイルの関連付けを行う方法について述べる。
各個人に対応してユニークに付与される個人コードとして、本来の個人コードxを入力する(ステップ101)。次に、個人コードxに対して、基本情報ファイル31、各属性情報ファイル32、33、・・・の各々について、それぞれ異なるように設定した暗号鍵K1、K2、K3・・・により暗号化処理を行う(ステップ102〜104)。これにより、基本情報ファイル31、各属性情報ファイル32,33・・・には、X1、X2、X3、・・・なる暗号化後の個人コードが設定される(ステップ104〜107)。この時、各個人コードX、X1、X2、X3・・・については異なる値となる(105a〜107a)。しかし、同じ個人の情報という点では同一の個人情報である(等号参照)。同じようにして、全ての個人に対応してそれぞれユニークに付与された個人コードy,z,・・・を暗号鍵K1,K2,K3、・・・により暗号化して、Y1,Y2,Y3,・・・等の暗号化後の個人コードを各情報ファイル31,32,33内に設定する
従って、個人情報データベース上に存在する基本情報ファイル31、属性情報ファイル32、属性情報ファイル33・・・の関連において、仮に同一番号Yを各ファイルの個人コード検索のキーとして検索を実施しても(ステップ105b〜107b)、検索結果は同一の者の個人情報とはならない(不等号参照)。これにより、個人コードをキーとして結合を図る通常の検索結果からは、正しい個人情報が取得できないことから、許可されない者が恣意的に情報を取得しようとした場合への対抗策を講じることができる。
【0009】
図4は、本発明の一実施例を示す個人情報データベースの検索動作のフローチャートである。
図4により、クライアントから入力された検索条件をもとに個人情報データベースの検索例を述べる。クライアントから入力された検索条件aは、入力データ解析機構21により解析され(ステップ201)、検索条件より検索ファイルを決定する(ステップ202)。検索条件aの内容を解析した結果、基本情報ファイル31の検索に関わる場合には、基本情報ファイル31を検索し(ステップ211)、属性情報ファイル32の検索に関わる場合には、属性情報ファイル32を検索し(ステップ212)、属性情報ファイル33の検索に関わる場合には、属性情報ファイル33を検索し(ステップ213)、さらに他の属性情報ファイルが存在する場合には同様の処理を行い、検索条件aに対して何れかのファイル検索処理を実施する(検索ステップ40)。
検索条件aが1つのファイルを検索するだけで終了する場合には、これで検索は完了する。しかし、検索条件aが2つ以上のファイルを検索する必要がある場合には、上記検索処理において暗号化された個人コードX1,X2,X3,・・・を検索するとともに、以下の処理が必要となる。
検索条件aをもとに検索した結果(個人コードXnのレコード)から、もとの個人コードXに関する情報全体を取得するために、個人コードXn(n=1〜3のいずれか)に対して暗号・復号化処理(ステップ221〜223のいずれか)で復号化を実行することにより、本来の個人コードであるXを取得する。例えば、検索条件aが基本情報ファイル31の検索に関わる場合には、基本情報ファイル31の検索(ステップ211)で取得した個人コードX1を暗号・復号化処理で復号化することにより(ステップ221)、本来の個人コードXを取得する(復号化ステップ41)。
【0010】
次に、復号化により得られた個人コードXについて、検索ステップ40で入力していないその他の個人情報を取得するための検索キーを求める。例えば、暗号・復号化処理(ステップ221)で復号化した場合には、事前に基本情報ファイル31に対して基本情報ファイル31の検索処理(ステップ211)については実行済みであるが、属性情報ファイル32,33・・・についての情報は新たに取得する必要がある。そこで、暗号・復号化処理で暗号化を実行することにより、属性情報ファイル32,33に対する検索キー(X2、X3・・・)を取得する(ステップ222,223)。同様にして、属性情報ファイル32,33以外のファイルに対する暗号・復号化処理についても、必要な検索キーX1,X2,X3を取得する(ステップ222,223)。(以上、暗号化ステップ42)
個人情報データベースを検索するための必要な検索キーX1、X2、X3・・・をもとに、検索ステップ40で入力していないその他の個人情報を取得する。
例えば、暗号・復号化処理(ステップ221)で復号化した場合には、事前に基本情報ファイル31に対して基本情報ファイル検索の処理は実行済みであり(ステップ211)、残りの属性情報ファイル32,33・・・についての情報を新たに取得する必要がある。このため、個人コードX2、X3・・・を検索キーとして、属性情報ファイル32,33の検索を行う(ステップ212,213,・・)。同じようにして、属性情報ファイル32,33・・・についても、個人コードX2,X3を用いて検索を行う(ステップ211〜213)(以上、検索ステップ43)。これまでの検索結果を用いることにより、基本情報ファイル31および属性情報ファイル32,33・・・の検索結果で得られた個人情報データを編集して(ステップ203)、クライアントに渡す。
【0011】
上記検索処理は、特定の検索条件aが、基本情報ファイル31、属性情報ファイル32,33,・・のうちいずれか1つのファイルに対して検索条件が適用できる場合、例えば氏名、性別、年令を格納している基本情報ファイル31に対して検索条件aとして、60歳以上の女性を検索するとき等であり、複数ファイルの項目に対する検索条件となる場合、例えば住所、年収、資産を格納している属性情報ファイル32と基本情報ファイル31に対して検索条件aとして、60歳以上で年収300万円の人を検索するとき等、の場合については、以下に説明する処理手順で実現できる。
複数ファイルの項目に対する検索条件となる場合、例えば、基本情報ファイル31と属性情報ファイル32の複数項目を検索条件とする場合、先ず基本情報ファイル31で検索抽出した個人情報のグループに対して、個人コードX1,X2を復号化して、復号化した結果を検索キーXとして属性情報ファイル32を検索する。その結果に対して複数項目からなる検索条件をあてはめることにより、検索条件に該当する個人情報を抽出することが可能となる。
さらに検索条件の内容として、属性情報ファイル32,33,・・の項目から検索条件を設定した時で、該当する個人情報のグループ全体について、抽出・集計する場合についても同様の処理手順で可能となる。例えば、属性情報ファイル32の項目を検索条件として検索した個人情報のグループに対して、個人コードX2を復号化して、復号化した結果Xを検索キーとして、基本情報ファイル31、属性情報ファイル32・・・を検索する。検索した結果を編集することにより、検索条件に該当する個人情報のグループを抽出することが可能となる。その結果を集計することも可能となる。
【0012】
以上説明したように、個人情報ファイルの個々の属性項目に対してはデータを暗号化していないため、従来から使用している検索条件(等号関係、大小関係等)については、そのままの仕組みで検索処理を行なうことが可能となり、各ファイル間でのデータの関連については、個人コードの復号化と暗号化の仕組みにより従来と同じ検索処理が可能となる。
なお、前述の実施例では、ファイルを分割して個人コードを分割した各ファイル毎に異なる暗号鍵を用いて暗号化した場合の検索方法について述べたが、他の実施例として、ファイルを分割して個人コード(暗号化しない)で分割された各ファイルを関連付けるだけでも、個人情報の秘匿保護を実現できる。この場合には、ファイルを検索して個人コードを検索しなければ分割された他のファイルがどれであるかが判別できないため、統一した個人情報を不正に取得することは困難となる。
また、本発明においては、個人コードまたはファイル毎に異なる暗号鍵で暗号化された個人コードで分割された各ファイルを関連付けしたファイル内容を記録媒体に格納することにより、その記録媒体を携帯すれば、任意の場所において本発明を実施することができる。また、本実施例の検索方法の各ステップをプログラムに変換し、そのプログラムを記録媒体に記録することにより、その記録媒体を携帯すれば、任意の場所において本発明による検索を実施することができる。さらに、上述したような個人情報ファイルは、コンピュータシステムの不測の事故、故障、或いは不正アクセス等によりデータが破壊、または消滅されることから保護するために、必ず外部記憶媒体にバックアップ・ファイルとして記録保管される。そのような外部記憶媒体での個人情報は、直接検索対象のファイルではなく、従来の技術によりデータ自体を暗号化して得られたデータファイルである。 本発明では、データ全体を暗号化した上で、さらに前述の実施例のようにそのファイルを分割して、個人コードで関連付けることにより外部記憶媒体に記録すれば、そのデータ漏出に対する安全性がより高められる。
【0013】
このように、本実施例においては、個人情報を基本情報ファイルと幾つかの属性情報ファイルに分割して、その関連を結び付けるための個人コードをそのままないしは暗号化することにより、許可されない者が恣意的にデータを取出しても、暗号化の仕組みを公開しない限り取得した情報は無意味なものとなり、その結果、機密性を確保することができる。
一方、許可された者がデータを取出す際には、暗号化の仕組みを利用することにより、通常の個人情報データベースを検索する場合とほぼ同程度の処理性能を確保することが可能となる。これは、個々の検索項目に対しては暗号化を行なっていないため、従来から使用している検索条件(等号関係、大小関係等)については、そのままの仕組みで検索処理を行なうことが可能となることによるものである。
【0014】
【発明の効果】
以上説明したように、本発明によれば、個人情報データベースに対して、アクセスを許可されない者が不正な方法で個人情報を読み出して入手しても、その個人情報の解読を不可能ないしは完全情報の取得を不可能にし、かつ正常なアクセスに対しては、その処理性能を損わずに個人情報に対して検索、演算することができるので、個人情報の秘匿を図ることができる。
【図面の簡単な説明】
【図1】本発明の一実施例を示す個人情報データベースシステムのブロック図である。
【図2】従来における個人情報データベースシステムの磁気ディスク上の暗号化の例を示す図である。
【図3】本発明の一実施例を示す個人情報データベースに対する暗号化処理のフローチャートである。
【図4】本発明の一実施例を示す個人情報データベースの検索処理のフローチャートである。
【符号の説明】
10…クライアント装置、20…サーバ、30…個人情報データベース、
11…入力処理機構、12…出力処理機構、21…入力データ解析機構、
22…暗号・復号化処理機構、23…編集出力機構、31…基本情報ファイル、
32,33…第1、第2属性ファイル、51…入力端末装置、
52…出力端末装置、53…住民基本台帳処理部、54…暗号処理部、
55…住民基本台帳ファイル。
【発明の属する技術分野】
本発明は、コンピュータシステムにおいて、個人情報ファイルの機密保護を図ることが可能な個人情報記録方法、およびその方法で記録され、コンピュータにより読み出し可能な記録媒体に関する。
【0002】
【従来の技術】
最近、金融機関における個人情報の漏洩、あるいは市町村における住民情報の漏洩が問題となったニュースが報道されている。これは、コンピュータ化の発展により、コンピュータシステムで処理される個人情報が増加していることが原因である。一方、パソコン通信やインターネット等の普及によりコンピュータシステムの利用者がますます増加しており、パソコンを利用した預金者、あるいは住民からのデータベースへのアクセス要求は、今後増加する傾向にある。このような状況において、コンピュータシステムに蓄積されている各種個人情報は、プライバシー保護の観点から十分な機密保護の仕組みが要求されている。
このような社会的な要求に対して、データの機密保護のための対策としては、例えばパスワードによるアクセス者の権限チェック、通信ネットワーク上のデータの暗号化処理、コンピュータシステムの外部記憶媒体に作成・保管するデータに対する暗号化処理、等が一般に行われている。
【0003】
個人情報の機密保護に関する従来技術としては、例えば、特開昭64−14665号公報に記載の市町村業務における住民基本台帳ファイル方式がある。この方式では、オンラインシステムを使用して個人データの登録や蓄積を行った住民基本台帳から、個人情報が外部に漏出することを防止するものであって、図2に示すように、磁気ディスク上のデータベースの暗号化を行う方式である。すなわち、住民基本台帳ファイル55に対して入力端末装置51から住民基本台帳データを入力する時に、暗号処理部54であらかじめ定めた暗号鍵により前記住民基本台帳データを全て暗号化してからファイル55に格納するものである。一方、住民基本台帳ファイル55のデータに対して検索や演算を行う場合には、暗号処理部54で復号処理した後に、住民基本台帳処理部53で検索または演算処理を行い、処理結果を出力端末装置52に出力する。
【0004】
【発明が解決しようとする課題】
前記公報に記載の従来技術においては、記録、蓄積されている個人情報である住民基本台帳ファイルが、ファイルダンプなどの手段により読み出されて外部に漏出されても、データが暗号化されているために、何人もこれを解読できず、その結果として個人情報の外部漏出を防止することができる。
しかしながら、コンピュータシステムの記録装置に記録されているこの住民基本台帳ファイルは、コンピュータシステムの各種業務処理プログラムによって検索処理の対象となるファイルである。検索対象ファイルのデータが暗号化されていると、復号してから演算処理や検索処理を行う必要があるため、多くの余分な時間を要するという問題がある。また、暗号化の方法によっては、検索不可の条件が生ずるという問題があり、個人情報は保護されても、正常なコンピュータ処理に支障を生じるため、実用にならないという問題がある。
【0005】
具体的には、個人情報を検索する際の検索方法としては、個人を特定するための基本的な検索である氏名、性別、年齢(生年月日)、住所等の基本項目を検索キーに利用する場合(基本項目検索)と、収入が一定額以上や年齢が一定年齢以上といった特定の属性に対する条件に合致した個人を抽出する場合(属性条件検索)が考えられる。いま従来の方法により、データ自体に暗号化処理を施した場合、その暗号化の方法によっては、正しい検索条件に合致するデータが抽出できないことが考えられる。例えば、年齢60歳以上で、かつ年間所得額が200万円以上の者を抽出する場合、属性情報の年齢と年間所得額の項目を暗号化したときには、その大小関係が保証されないことが発生する。従って、現実の個人情報システムでは、属性項目の暗号化は実用的ではないという結論になる。
このように、従来の個人情報の暗号化処理方法では、検索時の処理性能を考慮していなかった。
そこで、本発明の目的は、このような従来の課題を解決し、アクセスを許可されない者が、通常のアクセス手段以外の不正な何らかの手段、例えばファイルダンプの実行等により記録媒体から個人情報を読み出して入手したとしても、その個人情報の解読を不可能にし、かつ正常なアクセス処理の場合には、検索ロジックを複雑にせず、しかも検索処理時間を大幅に増大しないような個人情報の記録方法およびその記録媒体を提供することにある。
【0006】
【課題を解決するための手段】
上記目的を達成するために、本発明による個人情報の記録方法では、先ず個人情報をその基本情報ファイル(例えば、氏名、性別、生年月日、住所)と、複数の属性情報ファイル(例えば、第一属性ファイルの項目として学歴、出生地住所、既婚・未婚等、第2属性ファイルの項目として収入、持家の有無、資産総額、負債総額等)に分割することにより、各ファイル間の関連が遮断された、1つの論理的な個人情報データベースを作成する。次に、作成した個人情報データベースに対して、このように分割した個人情報(基本情報ファイルと各属性情報ファイル)間の関連を暗号化したユニークな個人番号、あるいは単なるコード番号で結合して、個人情報データベースを完成させる。
また、個人情報を分割した格納した各情報ファイルの内容を記録媒体に記録させることにより、その媒体を携帯することにより、任意の場所で個人情報の検索・演算処理が可能となる。
これにより、許可されない者が恣意的に前記個人情報データベースにアクセスしても、その内容と個人を特定することができない仕組みを構築する。また、磁気ディスク上に作成した前記個人情報データベースの元のデータを単純に外部磁気媒体にバックアップしたデータについても、本発明による個人情報ファイルの関連を遮断する処理と、従来からのデータ全体に暗号化を行う処理とを二重に行うことにより、さらに強力な情報の秘匿手段を構じることが可能になる。
【0007】
【発明の実施の形態】
以下、本発明の実施例を、図面を用いて詳細に説明する。
図1は、本発明の一実施例を示す個人情報システムのブロック図である。
図1において、10はクライアント装置、20はサーバ、30は個人情報を蓄積した個人情報データベースである。クライアント装置10は、入力処理機構11と出力処理機構12を備えている。サーバ20は、入力データ解析機構21、暗号・復号化処理機構22、編集出力機構23を備えている。個人情報データベース30は、基本情報ファイル31と複数の属性情報ファイル32、33、・・・を備えている。
本発明においては、図1に示すように、個人情報データを基本データ項目からなる基本情報ファイル31と、基本データ項目以外の属性データ項目からなる少なくとも1つ以上の属性情報ファイル32,33とに分割し、各個人情報を特定する個人コードまたは暗号化された個人コードでこれらの基本情報ファイル31と属性情報ファイル32,33相互間の関連付けを行う。このように、単に格納するファイルを分割しただけでも、統一した個人情報を読み出すことが不可能となる。そして、コードがファイルから読み出されるまでは各ファイル間の関連を判別することができない。また、コードを暗号化することにより、個人情報の解読は完全に不可能となる。
【0008】
図3は、本発明の一実施例を示す個人情報ファイルの暗号化処理の説明図である。
個人情報データベースの構造も、図3により明らかとなる。ここでは、個人コードを暗号化して、各ファイルの関連付けを行う方法について述べる。
各個人に対応してユニークに付与される個人コードとして、本来の個人コードxを入力する(ステップ101)。次に、個人コードxに対して、基本情報ファイル31、各属性情報ファイル32、33、・・・の各々について、それぞれ異なるように設定した暗号鍵K1、K2、K3・・・により暗号化処理を行う(ステップ102〜104)。これにより、基本情報ファイル31、各属性情報ファイル32,33・・・には、X1、X2、X3、・・・なる暗号化後の個人コードが設定される(ステップ104〜107)。この時、各個人コードX、X1、X2、X3・・・については異なる値となる(105a〜107a)。しかし、同じ個人の情報という点では同一の個人情報である(等号参照)。同じようにして、全ての個人に対応してそれぞれユニークに付与された個人コードy,z,・・・を暗号鍵K1,K2,K3、・・・により暗号化して、Y1,Y2,Y3,・・・等の暗号化後の個人コードを各情報ファイル31,32,33内に設定する
従って、個人情報データベース上に存在する基本情報ファイル31、属性情報ファイル32、属性情報ファイル33・・・の関連において、仮に同一番号Yを各ファイルの個人コード検索のキーとして検索を実施しても(ステップ105b〜107b)、検索結果は同一の者の個人情報とはならない(不等号参照)。これにより、個人コードをキーとして結合を図る通常の検索結果からは、正しい個人情報が取得できないことから、許可されない者が恣意的に情報を取得しようとした場合への対抗策を講じることができる。
【0009】
図4は、本発明の一実施例を示す個人情報データベースの検索動作のフローチャートである。
図4により、クライアントから入力された検索条件をもとに個人情報データベースの検索例を述べる。クライアントから入力された検索条件aは、入力データ解析機構21により解析され(ステップ201)、検索条件より検索ファイルを決定する(ステップ202)。検索条件aの内容を解析した結果、基本情報ファイル31の検索に関わる場合には、基本情報ファイル31を検索し(ステップ211)、属性情報ファイル32の検索に関わる場合には、属性情報ファイル32を検索し(ステップ212)、属性情報ファイル33の検索に関わる場合には、属性情報ファイル33を検索し(ステップ213)、さらに他の属性情報ファイルが存在する場合には同様の処理を行い、検索条件aに対して何れかのファイル検索処理を実施する(検索ステップ40)。
検索条件aが1つのファイルを検索するだけで終了する場合には、これで検索は完了する。しかし、検索条件aが2つ以上のファイルを検索する必要がある場合には、上記検索処理において暗号化された個人コードX1,X2,X3,・・・を検索するとともに、以下の処理が必要となる。
検索条件aをもとに検索した結果(個人コードXnのレコード)から、もとの個人コードXに関する情報全体を取得するために、個人コードXn(n=1〜3のいずれか)に対して暗号・復号化処理(ステップ221〜223のいずれか)で復号化を実行することにより、本来の個人コードであるXを取得する。例えば、検索条件aが基本情報ファイル31の検索に関わる場合には、基本情報ファイル31の検索(ステップ211)で取得した個人コードX1を暗号・復号化処理で復号化することにより(ステップ221)、本来の個人コードXを取得する(復号化ステップ41)。
【0010】
次に、復号化により得られた個人コードXについて、検索ステップ40で入力していないその他の個人情報を取得するための検索キーを求める。例えば、暗号・復号化処理(ステップ221)で復号化した場合には、事前に基本情報ファイル31に対して基本情報ファイル31の検索処理(ステップ211)については実行済みであるが、属性情報ファイル32,33・・・についての情報は新たに取得する必要がある。そこで、暗号・復号化処理で暗号化を実行することにより、属性情報ファイル32,33に対する検索キー(X2、X3・・・)を取得する(ステップ222,223)。同様にして、属性情報ファイル32,33以外のファイルに対する暗号・復号化処理についても、必要な検索キーX1,X2,X3を取得する(ステップ222,223)。(以上、暗号化ステップ42)
個人情報データベースを検索するための必要な検索キーX1、X2、X3・・・をもとに、検索ステップ40で入力していないその他の個人情報を取得する。
例えば、暗号・復号化処理(ステップ221)で復号化した場合には、事前に基本情報ファイル31に対して基本情報ファイル検索の処理は実行済みであり(ステップ211)、残りの属性情報ファイル32,33・・・についての情報を新たに取得する必要がある。このため、個人コードX2、X3・・・を検索キーとして、属性情報ファイル32,33の検索を行う(ステップ212,213,・・)。同じようにして、属性情報ファイル32,33・・・についても、個人コードX2,X3を用いて検索を行う(ステップ211〜213)(以上、検索ステップ43)。これまでの検索結果を用いることにより、基本情報ファイル31および属性情報ファイル32,33・・・の検索結果で得られた個人情報データを編集して(ステップ203)、クライアントに渡す。
【0011】
上記検索処理は、特定の検索条件aが、基本情報ファイル31、属性情報ファイル32,33,・・のうちいずれか1つのファイルに対して検索条件が適用できる場合、例えば氏名、性別、年令を格納している基本情報ファイル31に対して検索条件aとして、60歳以上の女性を検索するとき等であり、複数ファイルの項目に対する検索条件となる場合、例えば住所、年収、資産を格納している属性情報ファイル32と基本情報ファイル31に対して検索条件aとして、60歳以上で年収300万円の人を検索するとき等、の場合については、以下に説明する処理手順で実現できる。
複数ファイルの項目に対する検索条件となる場合、例えば、基本情報ファイル31と属性情報ファイル32の複数項目を検索条件とする場合、先ず基本情報ファイル31で検索抽出した個人情報のグループに対して、個人コードX1,X2を復号化して、復号化した結果を検索キーXとして属性情報ファイル32を検索する。その結果に対して複数項目からなる検索条件をあてはめることにより、検索条件に該当する個人情報を抽出することが可能となる。
さらに検索条件の内容として、属性情報ファイル32,33,・・の項目から検索条件を設定した時で、該当する個人情報のグループ全体について、抽出・集計する場合についても同様の処理手順で可能となる。例えば、属性情報ファイル32の項目を検索条件として検索した個人情報のグループに対して、個人コードX2を復号化して、復号化した結果Xを検索キーとして、基本情報ファイル31、属性情報ファイル32・・・を検索する。検索した結果を編集することにより、検索条件に該当する個人情報のグループを抽出することが可能となる。その結果を集計することも可能となる。
【0012】
以上説明したように、個人情報ファイルの個々の属性項目に対してはデータを暗号化していないため、従来から使用している検索条件(等号関係、大小関係等)については、そのままの仕組みで検索処理を行なうことが可能となり、各ファイル間でのデータの関連については、個人コードの復号化と暗号化の仕組みにより従来と同じ検索処理が可能となる。
なお、前述の実施例では、ファイルを分割して個人コードを分割した各ファイル毎に異なる暗号鍵を用いて暗号化した場合の検索方法について述べたが、他の実施例として、ファイルを分割して個人コード(暗号化しない)で分割された各ファイルを関連付けるだけでも、個人情報の秘匿保護を実現できる。この場合には、ファイルを検索して個人コードを検索しなければ分割された他のファイルがどれであるかが判別できないため、統一した個人情報を不正に取得することは困難となる。
また、本発明においては、個人コードまたはファイル毎に異なる暗号鍵で暗号化された個人コードで分割された各ファイルを関連付けしたファイル内容を記録媒体に格納することにより、その記録媒体を携帯すれば、任意の場所において本発明を実施することができる。また、本実施例の検索方法の各ステップをプログラムに変換し、そのプログラムを記録媒体に記録することにより、その記録媒体を携帯すれば、任意の場所において本発明による検索を実施することができる。さらに、上述したような個人情報ファイルは、コンピュータシステムの不測の事故、故障、或いは不正アクセス等によりデータが破壊、または消滅されることから保護するために、必ず外部記憶媒体にバックアップ・ファイルとして記録保管される。そのような外部記憶媒体での個人情報は、直接検索対象のファイルではなく、従来の技術によりデータ自体を暗号化して得られたデータファイルである。 本発明では、データ全体を暗号化した上で、さらに前述の実施例のようにそのファイルを分割して、個人コードで関連付けることにより外部記憶媒体に記録すれば、そのデータ漏出に対する安全性がより高められる。
【0013】
このように、本実施例においては、個人情報を基本情報ファイルと幾つかの属性情報ファイルに分割して、その関連を結び付けるための個人コードをそのままないしは暗号化することにより、許可されない者が恣意的にデータを取出しても、暗号化の仕組みを公開しない限り取得した情報は無意味なものとなり、その結果、機密性を確保することができる。
一方、許可された者がデータを取出す際には、暗号化の仕組みを利用することにより、通常の個人情報データベースを検索する場合とほぼ同程度の処理性能を確保することが可能となる。これは、個々の検索項目に対しては暗号化を行なっていないため、従来から使用している検索条件(等号関係、大小関係等)については、そのままの仕組みで検索処理を行なうことが可能となることによるものである。
【0014】
【発明の効果】
以上説明したように、本発明によれば、個人情報データベースに対して、アクセスを許可されない者が不正な方法で個人情報を読み出して入手しても、その個人情報の解読を不可能ないしは完全情報の取得を不可能にし、かつ正常なアクセスに対しては、その処理性能を損わずに個人情報に対して検索、演算することができるので、個人情報の秘匿を図ることができる。
【図面の簡単な説明】
【図1】本発明の一実施例を示す個人情報データベースシステムのブロック図である。
【図2】従来における個人情報データベースシステムの磁気ディスク上の暗号化の例を示す図である。
【図3】本発明の一実施例を示す個人情報データベースに対する暗号化処理のフローチャートである。
【図4】本発明の一実施例を示す個人情報データベースの検索処理のフローチャートである。
【符号の説明】
10…クライアント装置、20…サーバ、30…個人情報データベース、
11…入力処理機構、12…出力処理機構、21…入力データ解析機構、
22…暗号・復号化処理機構、23…編集出力機構、31…基本情報ファイル、
32,33…第1、第2属性ファイル、51…入力端末装置、
52…出力端末装置、53…住民基本台帳処理部、54…暗号処理部、
55…住民基本台帳ファイル。
Claims (3)
- コンピュータシステムで処理可能な記録媒体に個人情報を記録する記録方法において、
上記個人情報を、
氏名、性別等の基本データ項目からなる基本情報を格納した基本情報ファイルと、
該基本データ項目以外の属性データ項目からなる属性情報を格納した1個以上の属性情報ファイルとに分割してそれぞれ記録し、
上記個人情報を特定する個人コードを、上記基本情報と上記各属性情報毎に異なる暗号鍵を用いてそれぞれ暗号化して当該基本情報および当該属性情報に付与し、
入力された検索条件を解析して基本情報ファイルまたは属性情報ファイルのいずれの検索であるかを判別し、
判別した情報ファイルに対して上記検索条件による検索を行い当該情報を取得し、
上記検索条件による検索が2つ以上の情報ファイルにまたがっている場合には、上記判別した情報ファイルから取得した情報に付与されている暗号化された個人コードを当該暗号鍵を用いて復号化して本来の個人コードを取得し、
該取得した本来の個人コードを上記基本情報と上記各属性情報毎に異なる暗号鍵を用いてそれぞれ暗号化し、
該暗号化した個人コードが付与されている基本情報もしくは属性情報を当該情報ファイルから取得し、取得した基本情報もしくは属性情報に対して上記検索条件による検索を行い当該情報を取得する
ことを特徴とする個人情報の記録方法。 - コンピュータに、請求項1に記載の個人情報の記録方法における各処理を実行させるためのプログラムを記録したことを特徴とするコンピュータ読み取り可能な記録媒体。
- コンピュータで処理可能な記録媒体に個人情報を記録管理する個人情報システムであって、
上記個人情報を、氏名、性別等の基本データ項目からなる基本情報を格納した基本情報ファイルと、該基本データ項目以外の属性データ項目からなる属性情報を格納した1個以上の属性情報ファイルとに分割してそれぞれ記録する蓄積手段と、
上記個人情報を特定する個人コードを、上記基本情報と上記各属性情報毎に異なる暗号鍵を用いてそれぞれ暗号化して当該基本情報および当該属性情報に付与する手段と、
入力された検索条件を解析して基本情報ファイルまたは属性情報ファイルのいずれの検索であるかを判別する手段と、
判別した情報ファイルに対して上記検索条件による検索を行い当該情報を取得する手段と、
上記検索条件による検索が2つ以上の情報ファイルにまたがっている場合には、上記判別した情報ファイルから取得した情報に付与されている暗号化された個人コードを当該暗号鍵を用いて復号化して本来の個人コードを取得する手段と、
該取得した本来の個人コードを上記基本情報と上記各属性情報毎に異なる暗号鍵を用いてそれぞれ暗号化する手段と、
該暗号化した個人コードが付与されている基本情報もしくは属性情報を当該情報ファイルから取得し、取得した基本情報もしくは属性情報に対して上記検索条件による検索を行い当該情報を取得する手段と
を有することを特徴とする個人情報システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP06974498A JP3843405B2 (ja) | 1998-03-19 | 1998-03-19 | 個人情報の記録方法と個人情報記録システムおよび記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP06974498A JP3843405B2 (ja) | 1998-03-19 | 1998-03-19 | 個人情報の記録方法と個人情報記録システムおよび記録媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH11272681A JPH11272681A (ja) | 1999-10-08 |
| JP3843405B2 true JP3843405B2 (ja) | 2006-11-08 |
Family
ID=13411627
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP06974498A Expired - Fee Related JP3843405B2 (ja) | 1998-03-19 | 1998-03-19 | 個人情報の記録方法と個人情報記録システムおよび記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3843405B2 (ja) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001357130A (ja) * | 2000-06-13 | 2001-12-26 | Hitachi Ltd | 診療情報管理システム |
| GB0101131D0 (en) * | 2001-01-16 | 2001-02-28 | Abattia Group Ltd | Data protected database |
| US7228416B2 (en) | 2001-01-26 | 2007-06-05 | Hitachi, Ltd. | Database access method and system capable of concealing the contents of query |
| JP2003046500A (ja) * | 2001-08-03 | 2003-02-14 | Nec Corp | 個人情報管理システム及び個人情報管理方法、並びに情報処理サーバ |
| JP4567253B2 (ja) * | 2001-09-20 | 2010-10-20 | 株式会社リコー | 情報記録媒体、そのデータ記録方法と読み取り記録装置 |
| JP4729683B2 (ja) * | 2004-03-26 | 2011-07-20 | 株式会社エヌ・ティ・ティ ネオメイト | データ分散格納装置、そのデータ構成管理サーバ、クライアント端末、および、データ分散格納装置を備えた業務委託システム |
| JP4594078B2 (ja) * | 2004-12-28 | 2010-12-08 | 株式会社オリコム | 個人情報管理システムおよび個人情報管理プログラム |
| JP4719480B2 (ja) * | 2005-02-22 | 2011-07-06 | 株式会社リコー | アンケート実施システム及びアンケート実施サーバ |
| JP4708177B2 (ja) * | 2005-12-09 | 2011-06-22 | 財団法人エヌエイチケイエンジニアリングサービス | データベース管理方法および個人情報管理システム |
| US7930560B2 (en) | 2007-07-17 | 2011-04-19 | Kabushiki Kaisha Oricom | Personal information management system, personal information management program, and personal information protecting method |
| JP2012038097A (ja) * | 2010-08-06 | 2012-02-23 | Infodeliver Corp | 情報管理システム及び方法 |
| KR101597243B1 (ko) * | 2014-08-01 | 2016-02-26 | 주식회사 케이티 | 사용자 단말 장치, 개인 정보 관리 서버,및 이들에 의한 개인 정보 관리 방법 |
| JP6592301B2 (ja) * | 2015-08-10 | 2019-10-16 | Kddi株式会社 | 匿名化装置、検索装置、方法及びプログラム |
| JP2019069174A (ja) * | 2018-12-11 | 2019-05-09 | Hoya株式会社 | 内視鏡プロセッサ及び情報管理方法 |
| WO2024069958A1 (ja) * | 2022-09-30 | 2024-04-04 | 三菱電機株式会社 | 情報処理装置、及び情報処理システム |
-
1998
- 1998-03-19 JP JP06974498A patent/JP3843405B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JPH11272681A (ja) | 1999-10-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230368050A1 (en) | Managing information for model training using distributed blockchain ledger | |
| US8826448B2 (en) | System, method and apparatus for electronically protecting data and digital content | |
| US8613107B2 (en) | System, method and apparatus for electronically protecting data associated with RFID tags | |
| US8204213B2 (en) | System and method for performing a similarity measure of anonymized data | |
| US7873577B1 (en) | Sensitive data aliasing for transaction-card and other applications | |
| US7937579B2 (en) | System, method and apparatus for electronically protecting data and digital content | |
| JP3843405B2 (ja) | 個人情報の記録方法と個人情報記録システムおよび記録媒体 | |
| US8769675B2 (en) | Clock roll forward detection | |
| CN108389059A (zh) | 基于权属的数字版权作品保护、交易和发行方法及系统 | |
| US20100005509A1 (en) | System, method and apparatus for electronically protecting data and digital content | |
| US20040210763A1 (en) | Confidential data sharing and anonymous entity resolution | |
| US6694433B1 (en) | XML encryption scheme | |
| JPH09311806A (ja) | データ不正更新の検出方法 | |
| CN106934299A (zh) | 一种数据库加密系统和方法 | |
| JP2006350708A (ja) | セキュリティ設計支援方法及び支援装置 | |
| Madyatmadja et al. | Performance testing on Transparent Data Encryption for SQL Server's reliability and efficiency | |
| JPH10200522A (ja) | Icカード利用暗号化方法およびシステムおよびicカード | |
| Lincke | Attending to Information Privacy | |
| US8140861B2 (en) | Method and system for content-based encrypted access to a database | |
| TWI444849B (zh) | 透過伺服器驗證並授權解密以監控個資檔案之系統及方法 | |
| CN112214778A (zh) | 一种通过虚拟文件实现本地文件离散加密的方法及系统 | |
| JP2005165738A (ja) | 電子コンテンツ管理システム、電子コンテンツ管理方法、及びそのプログラム | |
| JPH10340232A (ja) | ファイル複写防止装置及びファイル読込装置 | |
| CN111404662B (zh) | 一种数据处理方法及装置 | |
| Nazarko et al. | OVERVIEW OF DATABASE INFORMATION PROTECTION APPROACHES IN MODERN DATABASE MANAGEMENT SYSTEMS |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060407 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060605 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060721 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060803 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090825 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100825 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100825 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110825 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110825 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120825 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130825 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130825 Year of fee payment: 7 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130825 Year of fee payment: 7 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140825 Year of fee payment: 8 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |