JP4059321B2 - 個人情報管理システム、情報処理システム、個人情報管理方法、プログラム、及び記録媒体 - Google Patents

個人情報管理システム、情報処理システム、個人情報管理方法、プログラム、及び記録媒体 Download PDF

Info

Publication number
JP4059321B2
JP4059321B2 JP2003369884A JP2003369884A JP4059321B2 JP 4059321 B2 JP4059321 B2 JP 4059321B2 JP 2003369884 A JP2003369884 A JP 2003369884A JP 2003369884 A JP2003369884 A JP 2003369884A JP 4059321 B2 JP4059321 B2 JP 4059321B2
Authority
JP
Japan
Prior art keywords
personal information
key
encryption
privacy policy
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003369884A
Other languages
English (en)
Other versions
JP2005135131A (ja
Inventor
知史 羽田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Priority to JP2003369884A priority Critical patent/JP4059321B2/ja
Priority to US10/974,923 priority patent/US20050105719A1/en
Publication of JP2005135131A publication Critical patent/JP2005135131A/ja
Application granted granted Critical
Publication of JP4059321B2 publication Critical patent/JP4059321B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing

Description

本発明は、個人情報管理システム、情報処理システム、個人情報管理方法、プログラム、及び記録媒体に関する。特に、本発明は、個人情報を所定の規則に順じて取り扱う個人情報管理システム、情報処理システム、個人情報管理方法、プログラム、及び記録媒体に関する。
近年、顧客から個人情報を収集してマーケティングなどの目的で利用する企業が増えている。これに伴い、世界各国では、個人情報を保護する法律などが制定され、企業が顧客の個人情報を適切に管理するための技術への関心が高まってきている。
例えば、企業が顧客の個人情報を何らかのプライバシーポリシーに従って取り扱った結果、その個人情報を消去しなければならない場合がある。一例として、COPPA(Children's Online Privacy and Protection Act)のプライバシーポリシーによると、13歳以下の子供のメールアドレスは、親の同意がない限り、90日以内に消去しなければならない。
具体的には、企業は、個人情報をプライバシーポリシーに対応付けて管理しており、プライバシーポリシーにより規定される条件が成立した場合には、その個人情報を消去する等の処理を行う。上記の例では、プライバシーポリシーには親の同意の有無が含まれており、企業は、そのプライバシーポリシーの内容に基づいて、13歳以下の子供の個人情報を消去すべきか判断する。
プライバシーポリシーを記述する方法として、非特許文献1及び非特許文献2参照。
また、近年、通信内容を送受信者のみの秘密状態に保つ技術として、秘密鍵暗号及び公開鍵暗号等の暗号技術が発達してきている。従来、公開鍵暗号の一種として、IDに基づく暗号(IBE: Identity-based Encryption)が用いられている(非特許文献3、4参照。)。IBEによると、名前や電子メールアドレス等のデータそのものを公開鍵として用いることができるので、公開鍵の使用者は、受信者の公開鍵を取得する処理を簡略化できて、効率がよい。
W3C Recommendation, The Platform for Privacy Preferences 1.0 (P3P1.0) Specification, 16 April 2002. IBM Research Report, Enterprise Privacy Authorization Language (EPAL) http://www.zurich.ibm.com/security/enterprise-privacy/epal/Specification/index.html A. Shamir, "Identity-based cryptosystems and signature schemes", CRYPTO'84, pp. 47-53, 1984. D. Boneh and M. Franklin, "Identity based encryption from the Weil pairing", SIAM J. of Computing, Vol. 32, No. 3, pp. 586-615, 2003.
しかしながら、企業は、個人情報を実際に消去してしまうと、消去後に顧客から「自己の個人情報が不適切に扱われていた」等の苦情を受けた場合に、個人情報が実際にどのように扱われていたのかを検証する手段を失ってしまう。
例えば、プライバシーポリシーが、以下のように規定されていたとする。
1. 顧客のメールアドレスは、90日後に消去する
2. 顧客の同意があれば、90日以内に限って、そのメールアドレス宛てに、広告メールを送信してもよい
個人情報は、顧客のメールアドレス及び顧客の同意の有無などの情報を含んでいる。そして、顧客が広告メールの送信に同意している場合に、企業は、90日の間に何通か広告メールを送付し、その後、その個人データを消去したと仮定する。その消去後、企業は、顧客から「広告メールが送付されてきた」という苦情を受けても、個人情報はすでに消去されてしまっているので、企業側では、何も検証できなくなってしまう。
そこで本発明は、上記の課題を解決することのできる個人情報管理システム、情報処理システム、個人情報管理方法、プログラム、及び記録媒体を提供することを目的とする。この目的は特許請求の範囲における独立項に記載の特徴の組み合わせにより達成される。また従属項は本発明の更なる有利な具体例を規定する。
上記課題を解決するために、本発明の第1の形態においては、記憶装置に格納された個人情報の利用を制限する個人情報管理システムであって、個人情報の利用者が個人情報を利用してもよい予め定められた利用可能期間について、当該利用可能期間を規定した情報であるプライバシーポリシーを、個人情報毎に管理する管理手段と、プライバシーポリシーの管理者が復号でき、かつ個人情報の利用者が復号できない暗号の暗号鍵を取得する鍵取得手段と、プライバシーポリシーにより規定された利用可能期間が経過する場合に、鍵取得手段により取得された暗号鍵で、利用者が利用できないように個人情報を暗号化する暗号化手段と、一の個人情報が不正に利用されているか否か照会する指示を、当該一の個人情報と共に受け付ける照会対象入力手段と、記憶装置に暗号化されて格納されている個人情報を、管理者からの指示を受けて復号し、照会対象入力手段により入力された一の個人情報と比較して、比較結果を出力する復号手段とを備える個人情報管理システム、当該個人情報管理システムとしてコンピュータを機能させるプログラム、プログラムを記録した記録媒体、個人情報管理システムを用いた個人情報管理方法、及び当該個人情報管理システムを有する情報処理システムを提供する。
なお、上記の発明の概要は、本発明の必要な特徴の全てを列挙したものではなく、これらの特徴群のサブコンビネーションもまた、発明となりうる。
本発明によれば、個人情報を適切に管理することができる。
以下、発明の実施の形態を通じて本発明を説明するが、以下の実施形態は特許請求の範囲にかかる発明を限定するものではなく、また実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。
図1は、情報処理システム10のブロック図を示す。情報処理システム10は、WWW(ワールド・ワイド・ウェブ)システムを用いてマーケティングを行う企業等であるデータ管理者により管理されており、個人等から収集した個人情報を適切に管理することを目的とする。
情報処理システム10は、記憶装置20と、個人情報管理システム30と、利用者端末40−1〜Nとを有する。記憶装置20は、個人情報を格納する。個人情報管理システム30は、データ管理者の組織内で、プライバシーポリシーが適切に遵守されているかを管理するプライバシーポリシー管理者により管理されている。そして、個人情報管理システム30は、プライバシーポリシーに従って、記憶装置20に格納された個人情報の利用を制限する。
利用者端末40−1〜Nのそれぞれは、データ管理者の組織内において、個人情報を利用する個人情報利用者により管理されている。そして、利用者端末40−1〜Nのそれぞれは、個人に管理された個人端末50から、個人情報を受け取って、受け取った個人情報を記憶装置20に格納する。また、利用者端末40−1〜Nのそれぞれは、個人情報利用者の指示に基づいて、個人情報を記憶装置20から読み出して利用する。鍵発行機関サーバ60は、情報処理システム10を管理するデータ管理者及び個人端末50を管理する個人の双方に信頼された第3者機関により管理されており、情報処理システム10からの指示に基づいて、暗号鍵を発行する処理を行う。
個人情報管理システム30は、管理手段300と、鍵取得手段310と、暗号化手段320と、照会対象入力手段340と、復号手段350とを有する。管理手段300は、個人情報利用者が個人情報を利用してもよい予め定められた利用可能期間について、その利用可能期間を規定した情報であるプライバシーポリシーを、個人情報毎に管理する。例えば、管理手段300は、このプライバシーポリシーを、個人情報に対応付けて記憶装置20に格納することにより管理する。更に、管理手段300は、個人情報を暗号化した場合には、暗号化に用いた公開鍵暗号系の公開鍵を、暗号化された個人情報に更に対応付けて管理してもよい。
ここで、個人情報は、例えば、個人情報により特定される個人を識別する個人識別情報と、個人情報により特定される個人の氏名と、個人情報により特定される個人の電子メールアドレスとを含んでいる。これに加えて、個人情報は、個人の生年月日、年齢、住所、電話番号、及びその個人に対して行ったアンケートの結果等を含んでいてもよい。また、個人情報は、個人の属性を示すこれらの情報の他に、個人情報がマーケティング等の目的で使用されることにその個人が同意しているか否かを示す情報を含んでいてもよい。
また、プライバシーポリシーとは、個人情報利用者が個人情報を利用してもよい利用可能期間を規定するのみならず、更に他の事項を規定してもよい。例えば、プライバシーポリシーは、個人情報の利用が許可された用途・目的を規定してもよい。
鍵取得手段310は、プライバシーポリシー管理者が復号でき、かつ個人情報利用者が復号できない暗号の暗号鍵を、鍵発行機関サーバ60から取得し、暗号化手段320に送る。例えば、鍵取得手段310は、プライバシーポリシー管理者が秘密鍵を管理し、かつ個人情報利用者はその秘密鍵を管理していない、公開鍵暗号系の公開鍵を鍵発行機関サーバ60から取得する。
具体的には、鍵発行機関サーバ60は、プライバシーポリシー管理者又は個人端末50の管理者からの要求があれば、秘密鍵を開示して個人情報管理システム30等に送信する。一方、鍵発行機関サーバ60は、個人情報利用者からの要求によっては、秘密鍵を開示しない。このように、秘密鍵は、必要な場合にはプライバシーポリシー管理者に開示され得るように管理されている。そして、鍵取得手段310は、プライバシーポリシー管理者からの指示に基づいて、この公開鍵に対応する秘密鍵を鍵発行機関サーバ60から取得して復号手段350に送ってもよい。
暗号化手段320は、プライバシーポリシーにより規定された利用可能期間が経過する場合に、鍵取得手段310により取得された暗号鍵、例えば公開鍵暗号系の公開鍵で、個人情報利用者が利用できないように、記憶装置20に格納された個人情報を暗号化する。例えば、暗号化手段320は、個人情報を管理手段300により読み出させて、読み出させたその個人情報を暗号化し、暗号化したその個人情報を管理手段300により記憶装置20に格納させてもよい。そして、暗号化手段320は、個人情報を暗号化した場合に、更に、個人情報を暗号化した旨を個人端末50に対して出力する。
照会対象入力手段340は、ある一つの個人情報が不正に利用されているか否かを照会する照会指示を、その個人情報と共に受け付ける。そして、復号手段350は、プライバシーポリシー管理者からの指示を受けたことを条件として、記憶装置20に暗号化されて格納されている個人情報を復号するための秘密鍵を、鍵取得手段310から受け取る。続いて、復号手段350は、暗号化された個人情報を管理手段300により読み出させて、読み出させたその個人情報を秘密鍵で復号する。そして、復号手段350は、復号したその個人情報と、照会対象入力手段340により入力された個人情報と比較して、比較結果を個人端末50に出力する。
以上、本図で示すように、個人情報管理システム30は、記憶装置20に格納された個人情報について、個人情報を利用してもよい利用可能期間が経過する場合に、個人情報を消去するのに代えて、個人情報利用者がその個人情報を利用できないように暗号化する。これにより、個人情報をその利用可能期間にのみ利用させることができると共に、利用可能期間経過後であっても、個人情報に関する照会に対して適切に対処させることができる。
また、個人情報管理システム30は、公開鍵暗号系の暗号鍵により個人情報を暗号化するので、共通鍵暗号を用いる場合と異なり、個人情報を復号するための復号鍵を有していない。これにより、情報処理システム10を管理するデータ管理者が、プライバシーポリシーに反して個人情報を不正に利用することを防ぐことができる。
図2は、利用者端末40−1が個人情報を利用する処理の一例を示す。利用者端末40−2〜Nは、利用者端末40−1と略同一の処理を行うので、以降の説明を省略する。利用者端末40−1は、個人情報利用者からの指示に基づいて、記憶装置20に格納された複数の個人情報のうち、暗号化手段320により暗号化されていない複数の個人情報を選択して記憶装置20から読み出す(S200)。そして、利用者端末40−1は、読み出した個人情報から、個人の電子メールアドレスを取り出す(S210)。
そして、利用者端末40−1は、取り出した電子メールアドレスに対して広告用電子メールを送信することにより、読み出したその個人情報を利用する(S220)。また、利用者端末40−1は、暗号化手段320により暗号化されていない複数の個人情報について、これらの個人情報の統計データを生成することにより、個人情報を利用してもよい(S230)。
なお、本図で示した例は、個人情報の利用の一例であり、これに代えて、利用者端末40−1〜Nのそれぞれは、個人情報利用者の指示に基づいて個人情報を個人情報利用者に対して表示してもよいし、個人情報を示すデータを記憶装置20から読み出して加工し、出力してもよい。
以上、本図で説明したように、利用者端末40−1〜Nのそれぞれは、記憶装置20に格納され暗号化されていない個人情報のみを、宣伝・マーケティング等の目的で利用する。一方、利用者端末40−1〜Nのそれぞれは、暗号化されている個人情報を記憶装置20から読み出して利用することができない。これにより、利用者端末40−1〜Nのそれぞれは、プライバシーポリシーにより規定されている利用可能期間を当該利用者端末で管理することなく、プライバシーポリシーにより規定される利用可能期間内にのみ、個人情報を読み出して利用することができる。
図3は、個人情報管理システム30が個人情報を暗号化する処理の動作フローを示す。個人情報管理システム30は、以下に示す処理を、暗号化されずに記憶装置20に格納されている複数の個人情報の各々について、定期的に行う。まず、暗号化手段320は、ある個人情報について、その個人情報のプライバシーポリシーにより規定された利用可能期間が経過したか否かを判断する(S300)。経過していない場合には(S300:NO)、処理を終了する。
一方、利用可能期間が経過した場合に、鍵取得手段310は、プライバシーポリシー管理者が復号でき、かつ個人情報利用者が復号できない暗号の暗号鍵、例えば公開鍵暗号系の公開鍵を鍵発行機関サーバ60から取得する(S310)。具体的には、まず、鍵取得手段310は、鍵発行機関サーバ60に指示することにより、公開鍵暗号系の公開鍵及び秘密鍵の組を1つ生成させる。そして、鍵取得手段310は、生成させた組のうち公開鍵のみを鍵発行機関サーバ60から取得する。
鍵発行機関サーバ60が公開鍵及び秘密鍵の組を生成する処理を、以下の式(1)で表す。本式において、pkは公開鍵を、skは秘密鍵を、KeyPairGenは、公開鍵及び秘密鍵の組を生成する関数を示す。
(pk, sk)=KeyPairGen( ) …式(1)
ここで、好ましくは、鍵発行機関サーバ60は、暗号化すべき個人情報毎に異なる、公開鍵及び秘密鍵の組を生成する。そして、鍵発行機関サーバ60は、鍵取得手段310が公開鍵を取得した後であっても、生成した公開鍵及び秘密鍵の組を鍵発行機関サーバ60内に格納して保持しておく。
暗号化手段320は、鍵取得手段310により取得された公開鍵で、個人情報利用者が利用できないように、記憶装置20に格納された個人情報を暗号化する(S320)。更に、暗号化手段320は、この公開鍵により、この個人情報に対応するプライバシーポリシーを暗号化する(S330)。暗号化手段320が個人情報及びプライバシーポリシーを暗号化する処理を、以下の式(2)で表す。本式において、cipherは暗号化された結果生じた暗号文を、dataは個人情報を、policyはプライバシーポリシーを、|は、データの結合を示す。そして、Encryptは暗号化処理の関数を示し、暗号化の対象であるdata|policyを、鍵取得手段310がS310において取得した公開鍵pkにより暗号化した結果、cipherを出力する。
cipher=Encrypt(pk, data|policy) …式(2)
そして、暗号化手段320は、個人情報及びプライバシーポリシーに代えて、暗号化された結果生じた暗号文を記憶装置20に格納する。この際、好ましくは、暗号化手段320は、暗号文に対応付けて、個人情報により特定される個人の個人識別情報と、暗号文の暗号化に用いた公開鍵とを更に記憶装置20に格納する。例えば、図1の記憶装置20中に示したように、暗号化手段320は、暗号文に対応付けて、個人識別情報であるID3と、公開鍵Cとを格納している。これにより、個人情報の具体的内容を利用できないようにしたまま、復号手段350による復号を適切に行わせることができる。
例えば、暗号化手段320が記憶装置20に格納するデータは、以下の式(3)で表される。本式において、oid|did|mid|pidは、個人識別情報を示す。具体的には、oidは、個人識別情報により特定される個人を、didは、記憶装置20が格納する複数の個人情報の中からこの個人情報を識別する情報を示す。また、midは、情報処理システム10を管理するデータ管理者を識別する情報を、pidは、プライバシーポリシーを識別する情報をそれぞれ示す。
pk|oid|did|mid|pid|cipher …式(3)
続いて、暗号化手段320は、暗号化した個人情報の一部を削除してもよい(S340)。例えば、暗号化手段320は、個人情報のうちその個人を特定する個人識別情報については、削除せずに格納したままにしておき、個人の電話番号等の情報を削除してもよい。
なお、S340及びS330の順序は、本図の例に限定されない。例えば、個人情報及びプライバシーポリシーを一体として暗号した場合、暗号の種類によっては、暗号化した暗号文の一部を削除すると適切に復号できない場合がある。このような場合には、暗号化手段320は、個人情報の一部を削除してから、削除しなかった残りの個人情報を暗号化することが望ましい。続いて、暗号化手段320は、個人情報を暗号化した場合に、更に、個人情報を暗号化した旨を、暗号化したその個人情報により特定される個人の端末である個人端末50に対して出力する(S350)。
このように、個人情報管理システム30は、プライバシーポリシーにより規定される利用可能期間が経過する場合に、個人情報利用者が個人情報を利用できないように個人情報を暗号化する。この際、鍵取得手段310は、暗号化すべき個人情報に応じて異なる公開鍵を鍵発行機関サーバ60から取得し、暗号化手段320は、個人情報毎に異なる公開鍵によりその個人情報を暗号化する。この結果、暗号化した複数の個人情報の何れかを復号した場合であっても、復号に用いた復号鍵を他の個人情報に流用することができない。これにより、プライバシーポリシー管理者は、プライバシーポリシーをより適切に管理することができる。
図4は、個人情報管理システム30が個人情報を復号する処理の動作フローを示す。個人情報管理システム30は、以下に示す処理を、暗号化手段320により暗号化されて記憶装置20に格納された複数の個人情報の各々について、例えば定期的に行う。照会対象入力手段340は、ある個人情報が不正に使用されているか否か照会する照会指示を、その個人情報と共に受け付けたか否かを判断する(S400)。受け付けていない場合に(S400:NO)、処理を終了する。
照会指示を受け付けた場合に(S400:YES)、復号手段350は、プライバシーポリシー管理者から、その個人情報を復号することを許可する復号指示を受け付けたか否かを判断する(S410)。復号指示を受け付けた場合に(S410:YES)、鍵取得手段310は、公開鍵暗号系の秘密鍵を鍵発行機関サーバ60から取得する(S420)。具体的には、鍵取得手段310は、以下に示す処理により、図3のS310において鍵発行機関サーバ60により生成させた秘密鍵を取得してもよい。
まず、鍵取得手段310は、照会の対象となる個人情報の個人識別情報をキーとして、その個人情報を暗号化した公開鍵を、記憶装置20から検索する。そして、鍵取得手段310は、検索した公開鍵を鍵発行機関サーバ60に送る。鍵発行機関サーバ60は、この公開鍵に対応する秘密鍵を鍵取得手段310に返送する。これにより、鍵取得手段310は、個人情報を復号するための秘密鍵を鍵発行機関サーバ60から取得することができる。
続いて、復号手段350は、鍵取得手段310がS420において取得した秘密鍵skでプライバシーポリシー及び個人情報を復号する(S430)。復号の処理は、以下の式(4)で表される。本式において、Decryptは、暗号文を復号して個人情報を復元する関数を示し、具体的には、暗号化手段320により暗号化された個人情報及びプライバシーポリシーであるcipherを、鍵取得手段310が取得した秘密鍵skで復号した結果、個人情報及びプライバシーポリシーであるdata|policyを出力する。
data|policy=Decrypt(sk, cipher) …式(4)
復号手段350は、復号した個人情報を、照会対象入力手段340により入力された個人情報と比較して(S440)、比較結果を、個人端末50に出力する(S450)。これにより、照会指示の対象となる個人情報が、マーケティング等の目的で過去に利用されていた個人情報と相違していることを確認できれば、照会者に対して、不正利用の可能性が低いことを示すことができる。
また、復号手段350による比較対象は、個人情報の全部でなく一部であってもよい。例えば、復号手段350は、個人情報の一部である電子メールアドレスのみを比較して、比較結果を出力してもよい。これにより、自己の電子メールアドレスが不正使用されていないか否かの照会を受けた場合には、照会を受けた部分、即ち電子メールアドレスのみを比較してその結果を出力することができる。
これに代えて、復号手段350は、個人情報の一部である個人の住所を比較してもよいし、電話番号を比較してもよいし、生年月日を比較してもよいし、家族構成を比較してもよい。また、以上の処理に代えて、復号手段350は、復号した個人情報自体を、個人端末50等に出力してもよいし、復号したプライバシーポリシーを、個人端末50等に出力してもよい。
鍵取得手段310は、復号した個人情報を再度暗号化するべき指示を、プライバシーポリシー管理者から受けた場合に(S460:YES)、復号手段350により復号された暗号の公開鍵とは異なる他の公開鍵を鍵発行機関サーバ60から取得する(S470)。なお、鍵取得手段310は、S420において秘密鍵を取得する時に、当該他の公開鍵を同時に鍵発行機関サーバ60から取得しておいてもよい。
次に、暗号化手段320は、鍵取得手段310により取得された公開鍵により、個人情報を再度暗号化する(S480)。これにより、個人情報管理システム30に対して既に開示された秘密鍵が不正に用いられることを回避して、再度暗号化した個人情報が不正に読み出されることを防ぐことができる。
以上、図1から図4で示したように、個人情報管理システム30は、データ管理者である企業等の内部で利用される個人情報について、個人情報を利用してもよい期間が経過した場合に、個人情報利用者が個人情報を利用できないように暗号化する。これにより、プライバシーポリシーを適切に遵守させることができると共に、利用可能期間経過後における個人情報の不正使用等についての照会に対して、適切に対処することができる。
本例によると、情報処理システム10は、個人情報を暗号化する毎に公開鍵を鍵発行機関サーバ60から取得する。情報処理システム10が一度に多くの個人情報を暗号化する場合には、情報処理システム10が取得する公開鍵のサイズが大きいため、情報処理システム10及び鍵発行機関サーバ60間の通信量が大きくなり、通信コストの増大につながる恐れもある。このような通信量の増大を防止してより効率的な処理を行う変形例を、以下の図5から図7に示す。
図5は、変形例における情報処理システム10のブロック図を示す。本例を用いて、個人情報管理システム30が、他の方法により個人情報を暗号化する例を説明する。本例における個人情報管理システム30は、図1に示す個人情報管理システム30に、更に鍵生成手段330を備えた構成をとる。その他の構成は、図1に示す個人情報管理システム30と略同一であるので、相違点を説明する。
鍵生成手段330は、個人情報により特定される個人を識別する個人識別情報を、記憶装置20から取得する。そして、鍵生成手段330は、プライバシーポリシー管理者が復号鍵を管理しかつ個人情報利用者が復号鍵を管理していない暗号における暗号鍵を、取得した個人識別情報に基づいて生成する。そして、鍵取得手段310は、鍵生成手段330により生成された暗号鍵を鍵生成手段330から取得する。また、鍵取得手段310は、プライバシーポリシー管理者からの指示に応じて、照会の対象となる個人情報の個人識別情報に基づいて、個人情報を復号するための復号鍵を鍵発行機関サーバ60から取得する。
暗号化手段320は、個人識別情報に基づくこの暗号鍵で、IDに基づく暗号(IBE: Identity-based Encryption)により個人情報を暗号化する。これに代えて、暗号化手段320は、個人の名前又は電子メールアドレス等、個人の属性を示す情報を、IDに基づく暗号の暗号鍵として用いてもよい。ここで、IDに基づく暗号とは、個人の名称等、公開されている情報を暗号鍵として用いることができる暗号をいう。この暗号において、鍵発行機関サーバ60のみが、復号鍵を生成することができる。そして、鍵発行機関サーバ60は、プライバシーポリシー管理者又は個人端末50の管理者にのみ復号鍵を開示する。
ここで、好ましくは、暗号化手段320は、同一の個人識別情報に対して複数の暗号鍵を生成するべく、個人識別情報にナンス(カウンターやタイムスタンプ等)を組み合わせた情報を、暗号鍵として用いる。この場合、暗号化手段320は、暗号文に対応付けて、その暗号文の暗号化に用いたナンスを記憶装置20に更に格納する。
復号手段350は、プライバシーポリシー管理者からの指示に応じて、暗号化された個人情報を記憶装置20から読み出させて、読み出させたその個人情報を復号鍵で復号し、復号したその個人情報と、照会対象入力手段340により入力された個人情報と比較して、比較結果を個人端末50に出力する。
図6は、変形例において個人情報管理システム30が個人情報を暗号化する処理の動作フローを示す。本図に示す動作フローは、図3に示す動作フローと略同一であるので、相違点を説明する。プライバシーポリシーにより規定される利用可能期間が経過する場合に(S300:YES)、鍵生成手段330は、プライバシーポリシー管理者が復号鍵を管理しかつ個人情報利用者が復号鍵を管理していない暗号における暗号鍵を、個人識別情報に基づいて生成する(S600)。そして、暗号化手段320は、個人識別情報に基づくこの暗号鍵で、IDに基づく暗号により個人情報を暗号化し(S320)、プライバシーポリシーを更に暗号化する(S330)。
この暗号化の処理は、具体的には、以下の式(5)により表される。
cipher=IBEncrypt(sp, oid|did|mid|pid|c, data|policy) …式(5)
本式において、IBEncryptは、IDに基づく暗号の暗号化関数である。具体的には、IBEncryptは、鍵生成手段330により生成された暗号鍵であるoid|did|mid|pid|cにより、data|policyを暗号化した結果、cipherを出力する。また、spは、鍵発行機関サーバ60により発行されるシステムパラメータである。また、cは、同一の個人識別情報に対して同一の暗号鍵となることを防ぐために使用されるナンス(カウンターやタイムスタンプ等)である。cは、暗号化を行う毎に異なることが望ましい。また、本変形例において、鍵発行機関サーバ60は、暗号文の復号に必要なシステムパラメータ(sp)を、例えば定期的に変更する場合がある。この場合、鍵発行機関サーバ60は、変更後のspを個人情報管理システム30に通知するので、暗号化手段320は、通知を受けたspを用いて、個人情報を暗号化する。
そして、暗号化手段320は、個人情報及びプライバシーポリシーに代えて、暗号化された結果生じた暗号文を記憶装置20に格納する。この際、好ましくは、暗号化手段320は、暗号文に対応付けて、個人情報により特定される個人の個人識別情報を更に記憶装置20に格納する。例えば、暗号化手段320が記憶装置20に格納するデータは、以下の式(6)で表される。
oid|did|mid|pid|c|cipher …式(6)
図7は、変形例において個人情報管理システム30が個人情報を復号する処理の動作フローを示す。本図に示す動作フローは、図4に示す動作フローと略同一であるので、相違点を説明する。復号指示を受け付けた場合に(S410:YES)、鍵取得手段310は、以下に示す処理により、IDに基づく暗号の復号鍵を鍵発行機関サーバ60から取得する(S700)。
まず、鍵取得手段310は、照会の対象となる個人情報の個人識別情報を記憶装置20から取得する。そして、鍵取得手段310は、取得した個人識別情報を鍵発行機関サーバ60に送る。鍵発行機関サーバ60は、IDに基づく暗号における、この個人識別情報に基づく復号鍵を生成して鍵取得手段310に返送する。これにより、鍵取得手段310は、個人情報を復号するための復号鍵を鍵発行機関サーバ60から取得することができる。
例えば、鍵発行機関サーバ60が復号鍵を生成する処理は、以下の式(7)で表される。ここで、IBSKGenは、IDに基づく暗号において、暗号鍵から復号鍵を生成する関数を示し、skは、生成された復号鍵を示す。
sk=IBSKGen(oid|did|mid|pid|c) …式(7)
復号手段350は、プライバシーポリシー管理者からの指示に応じて、暗号化された個人情報又はプライバシーポリシーを記憶装置20から読み出し、読み出したその個人情報又はプライバシーポリシーを復号鍵で復号する(S430)。この処理は、例えば、以下の式(8)で表される。ここで、skは、鍵取得手段310により鍵発行機関サーバ60から取得された復号鍵を示す。
data|policy=IBDecrypt(sp, sk, cipher) …式(8)
ここで、暗号化した時に用いたspと、復号する時点で鍵発行機関サーバ60により通知されているspが異なっている場合がある。この場合、鍵取得手段310は、暗号化した時に用いたspを鍵発行機関サーバ60に対して送信することにより、このspに対応する適切な復号鍵を取得することが必要である。
S440からS460までの処理は、図4に示す同一符号の処理と略同一であるので説明を省略する。鍵生成手段330は、復号した個人情報を再度暗号化するべき指示を、プライバシーポリシー管理者から受けた場合に(S460:YES)、復号手段350により復号された暗号の暗号鍵とは異なる他の暗号鍵を生成する(S710)。具体的には、鍵生成手段330は、暗号鍵の生成に用いた個人識別情報である「oid|did|mid|pid|c」のうち、ナンス「c」の値を変更することにより、復号手段350により復号された暗号の暗号鍵とは異なる他の暗号鍵を生成する。
これにより、個人情報管理システム30に対して既に開示された秘密鍵が不正に利用されることを回避して、再度暗号化した個人情報が不正に読み出されることを防ぐことができる。
以上、本変形例によっても、図1から図4に示した実施例と同様、個人情報管理システム30は、個人情報をその利用可能期間にのみ利用させることができると共に、利用可能期間経過後であっても、個人情報に関する照会に対して適切に対処させることができる。更に、図1から図4に示した実施例と異なり、個人情報管理システム30は、公開鍵暗号系の公開鍵を鍵発行機関サーバ60から受信する必要がない。これにより、個人情報管理システム30は、鍵発行機関サーバ60との間の通信コストを低減して、プライバシーポリシーの執行を効率的に行うことができる。
図8は、個人情報管理システム30を実現するコンピュータ500のハードウェア構成の一例を示す。コンピュータ500は、ホストコントローラ882により相互に接続されるCPU800、RAM820、グラフィックコントローラ875、及び表示装置880を有するCPU周辺部と、入出力コントローラ884によりホストコントローラ882に接続される通信インターフェイス830、ハードディスクドライブ840、及びCD−ROMドライブ860を有する入出力部と、入出力コントローラ884に接続されるROM810、フレキシブルディスクドライブ850、及び入出力チップ870を有するレガシー入出力部とを備える。
ホストコントローラ882は、RAM820と、高い転送レートでRAM820をアクセスするCPU800及びグラフィックコントローラ875とを接続する。CPU800は、ROM810及びRAM820に格納されたプログラムに基づいて動作し、各部の制御を行う。グラフィックコントローラ875は、CPU800等がRAM820内に設けたフレームバッファ上に生成する画像データを取得し、表示装置880上に表示させる。これに代えて、グラフィックコントローラ875は、CPU800等が生成する画像データを格納するフレームバッファを、内部に含んでもよい。
入出力コントローラ884は、ホストコントローラ882と、比較的高速な入出力装置である通信インターフェイス830、ハードディスクドライブ840、及びCD−ROMドライブ860を接続する。通信インターフェイス830は、ネットワークを介して外部の装置と接続する。ハードディスクドライブ840は、コンピュータ500が使用するプログラム及びデータを格納する。CD−ROMドライブ860は、CD−ROM895からプログラム又はデータを読み取り、RAM820を介して入出力チップ870に提供する。
また、入出力コントローラ884には、ROM810と、フレキシブルディスクドライブ850や入出力チップ870等の比較的低速な入出力装置とが接続される。ROM810は、コンピュータ500の起動時にCPU800が実行するブートプログラムや、コンピュータ500のハードウェアに依存するプログラム等を格納する。フレキシブルディスクドライブ850は、フレキシブルディスク890からプログラム又はデータを読み取り、RAM820を介して入出力チップ870に提供する。入出力チップ870は、フレキシブルディスク890や、例えばパラレルポート、シリアルポート、キーボードポート、マウスポート等を介して各種の入出力装置を接続する。
コンピュータ500に提供されるプログラムは、フレキシブルディスク890、CD−ROM895、又はICカード等の記録媒体に格納されて利用者によって提供される。プログラムは、入出力チップ870及び/又は入出力コントローラ884を介して、記録媒体から読み出されコンピュータ500にインストールされて実行される。
コンピュータ500にインストールされて実行されるプログラムは、管理モジュールと、鍵取得モジュールと、暗号化モジュールと、照会対象入力モジュールと、復号モジュールと、鍵生成モジュールとを含む。各モジュールがコンピュータ500に働きかけて行わせる動作は、図1から図7において説明した個人情報管理システム30における、対応する部材の動作と同一であるので、説明を省略する。
以上に示したプログラムは、外部の記憶媒体に格納されてもよい。記憶媒体としては、フレキシブルディスク890、CD−ROM895の他に、DVDやPD等の光学記録媒体、MD等の光磁気記録媒体、テープ媒体、ICカード等の半導体メモリ等を用いることができる。また、専用通信ネットワークやインターネットに接続されたサーバシステムに設けたハードディスク又はRAM等の記憶装置を記録媒体として使用し、ネットワークを介してプログラムをコンピュータ500に提供してもよい。
以上で示したように、個人情報管理システム30は、記憶装置20に格納された個人情報について、個人情報を利用してもよい利用可能期間が経過する場合に、個人情報を消去するのに代えて、個人情報利用者がその個人情報を利用できないように暗号化する。これにより、個人情報を擬似的に消去して、個人情報をその利用可能期間にのみ利用させることができると共に、利用可能期間経過後であっても、個人情報に関する照会に対して適切に対処させることができる。
以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に、多様な変更または改良を加えることが可能であることが当業者に明らかである。その様な変更または改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。
以上に示す実施例及び変形例によると、以下の各項目に示す個人情報管理システム、情報処理システム、個人情報管理方法、プログラム、及び記録媒体が実現される。
(項目1) 記憶装置に格納された個人情報の利用を制限する個人情報管理システムであって、前記個人情報の利用者が前記個人情報を利用してもよい予め定められた利用可能期間について、当該利用可能期間を規定した情報であるプライバシーポリシーを、個人情報毎に管理する管理手段と、前記プライバシーポリシーの管理者が復号でき、かつ前記個人情報の利用者が復号できない暗号の暗号鍵を取得する鍵取得手段と、前記プライバシーポリシーにより規定された利用可能期間が経過する場合に、前記鍵取得手段により取得された前記暗号鍵で、前記利用者が利用できないように前記個人情報を暗号化する暗号化手段とを備える個人情報管理システム。
(項目2) 前記管理手段は、前記プライバシーポリシーを、前記個人情報に対応付けて前記記憶装置に格納することにより管理し、前記暗号化手段は、前記プライバシーポリシーにより規定された利用可能期間が経過する場合に、前記暗号鍵により、更に前記プライバシーポリシーを暗号化し、暗号化した当該プライバシーポリシーに対応する前記個人情報の一部を削除する項目1記載の個人情報管理システム。
(項目3) 前記鍵取得手段は、前記管理者が秘密鍵を管理し、かつ前記利用者が前記秘密鍵を管理していない、公開鍵暗号系の公開鍵を前記暗号鍵として取得し、前記暗号化手段は、前記公開鍵により前記個人情報を暗号化する項目1記載の個人情報管理システム。
(項目4) 前記鍵取得手段は、暗号化するべき個人情報毎に異なる公開鍵を取得し、前記暗号化手段は、前記個人情報を、前記個人情報毎に異なる前記公開鍵で暗号化する項目3記載の個人情報管理システム。
(項目5) 前記管理者からの指示を受けて前記個人情報を復号する復号手段を更に備え、前記鍵取得手段は、復号した当該個人情報を再度暗号化すべき指示を前記管理者から受けた場合に、前記復号手段により復号された暗号の公開鍵とは異なる公開鍵を取得し、前記暗号化手段は、前記鍵取得手段により取得された前記公開鍵により、当該個人情報を再度暗号化する項目3記載の個人情報管理システム。
(項目6) 前記管理者が復号鍵を管理しかつ前記利用者が復号鍵を管理していない暗号における暗号鍵を、前記個人情報により特定される個人を識別する個人識別情報に基づいて生成する鍵生成手段を更に備え、前記鍵取得手段は、前記鍵生成手段により生成された前記暗号鍵を取得し、前記暗号化手段は、前記個人識別情報に基づく前記暗号鍵で、IDに基づく暗号(IBE: Identity-based Encryption)により前記個人情報を暗号化する項目1記載の個人情報管理システム。
(項目7) 一の個人情報が不正に利用されているか否か照会する指示を、当該一の個人情報と共に受け付ける照会対象入力手段と、記憶装置に暗号化されて格納されている個人情報を、前記管理者からの指示を受けて復号し、前記照会対象入力手段により入力された個人情報と比較して、比較結果を出力する復号手段とを更に備える項目1記載の個人情報管理システム。
(項目8) 前記暗号化手段は、前記個人情報を暗号化した場合に、更に、前記個人情報を暗号化した旨を、暗号化した当該個人情報により特定される個人の端末に対して出力する項目1記載の個人情報管理システム。
(項目9) 記憶装置に格納された個人情報の利用を制限する個人情報管理システムと、前記記憶装置に格納された前記個人情報を利用する利用者の利用者端末とを備えた情報処理システムであって、前記個人情報管理システムは、前記個人情報の利用者が前記個人情報を利用してもよい予め定められた利用可能期間について、当該利用可能期間を規定した情報であるプライバシーポリシーを、個人情報毎に管理する管理手段と、前記プライバシーポリシーの管理者が復号でき、かつ前記個人情報の利用者が復号できない暗号の暗号鍵を取得する鍵取得手段と、前記プライバシーポリシーにより規定された利用可能期間が経過する場合に、前記鍵取得手段により取得された前記暗号鍵で、前記利用者が利用できないように前記個人情報を暗号化する暗号化手段とを有し、前記利用者端末は、前記プライバシーポリシーにより規定される利用可能期間内に、前記利用者の指示に基づいて、前記個人情報を読み出して利用する情報処理システム。
(項目10) 前記記憶装置は、複数の個人情報を格納し、前記利用者端末は、前記複数の個人情報のうち、前記暗号化手段により暗号化されていない複数の個人情報を前記記憶装置から読み出して、当該複数の個人情報の統計データを生成することにより、個人情報を利用する項目9記載の情報処理システム。
(項目11) 前記個人情報は、電子メールアドレスを含み、前記利用者端末は、前記暗号化手段により暗号化されていない個人情報を前記記憶装置から読み出して、当該個人情報に含まれる前記電子メールアドレスに対して広告用電子メールを送信することにより、個人情報を利用する項目9記載の情報処理システム。
(項目12) コンピュータの記憶装置に格納された個人情報の利用を制限する個人情報管理方法であって、前記コンピュータが、前記個人情報の利用者が前記個人情報を利用してもよい予め定められた利用可能期間について、当該利用可能期間を規定した情報であるプライバシーポリシーを、個人情報毎に管理する管理段階と、前記コンピュータが、前記プライバシーポリシーの管理者が復号でき、かつ前記個人情報の利用者が復号できない暗号の暗号鍵を取得する鍵取得段階と、前記コンピュータが、前記プライバシーポリシーにより規定された利用可能期間が経過する場合に、前記鍵取得段階において取得された前記暗号鍵で、前記利用者が利用できないように前記個人情報を暗号化する暗号化段階とを備える個人情報管理方法。
(項目13) コンピュータを、記憶装置に格納された個人情報の利用を制限する個人情報管理システムとして機能させるプログラムであって、前記コンピュータを、前記個人情報の利用者が前記個人情報を利用してもよい予め定められた利用可能期間について、当該利用可能期間を規定した情報であるプライバシーポリシーを、個人情報毎に管理する管理手段と、前記プライバシーポリシーの管理者が復号でき、かつ前記個人情報の利用者が復号できない暗号の暗号鍵を取得する鍵取得手段と、前記プライバシーポリシーにより規定された利用可能期間が経過する場合に、前記鍵取得手段により取得された前記暗号鍵で、前記利用者が利用できないように前記個人情報を暗号化する暗号化手段として機能させるプログラム。
(項目14) 項目13に記載のプログラムを記録した記録媒体。
図1は、情報処理システム10のブロック図を示す。 図2は、利用者端末40−1が個人情報を利用する処理の一例を示す。 図3は、個人情報管理システム30が個人情報を暗号化する処理の動作フローを示す。 図4は、個人情報管理システム30が個人情報を復号する処理の動作フローを示す。 図5は、変形例における情報処理システム10のブロック図を示す。 図6は、変形例において個人情報管理システム30が個人情報を暗号化する処理の動作フローを示す。 図7は、変形例において個人情報管理システム30が個人情報を復号する処理の動作フローを示す。 図8は、個人情報管理システム30を実現するコンピュータ500のハードウェア構成の一例を示す。
符号の説明
10 情報処理システム
20 記憶装置
30 個人情報管理システム
40 利用者端末
50 個人端末
60 鍵発行機関サーバ
300 管理手段
310 鍵取得手段
320 暗号化手段
330 鍵生成手段
340 照会対象入力手段
350 復号手段
500 コンピュータ

Claims (14)

  1. 記憶装置に格納された個人情報の利用を制限する個人情報管理システムであって、
    前記個人情報の利用者が前記個人情報を利用してもよい予め定められた利用可能期間について、当該利用可能期間を規定した情報であるプライバシーポリシーを、個人情報毎に管理する管理手段と、
    前記プライバシーポリシーの管理者が復号でき、かつ前記個人情報の利用者が復号できない暗号の暗号鍵を取得する鍵取得手段と、
    前記プライバシーポリシーにより規定された利用可能期間が経過する場合に、前記鍵取得手段により取得された前記暗号鍵で、前記利用者が利用できないように前記個人情報を暗号化する暗号化手段と
    一の個人情報が不正に利用されているか否か照会する指示を、当該一の個人情報と共に受け付ける照会対象入力手段と、
    記憶装置に暗号化されて格納されている個人情報を、前記管理者からの指示を受けて復号し、前記照会対象入力手段により入力された前記一の個人情報と比較して、比較結果を出力する復号手段と
    を備える個人情報管理システム。
  2. 前記照会対象入力手段は、前記指示を、当該一の個人情報のうち照会する部分と共に受け付け、
    前記復号手段は、前記記憶装置に暗号化されて格納されている個人情報を復号し、前記照会対象入力手段により入力された前記一の個人情報との間で照会する部分を比較し、比較結果を出力する
    請求項1に記載の個人情報管理システム。
  3. 前記管理手段は、前記プライバシーポリシーを、前記個人情報に対応付けて前記記憶装置に格納することにより管理し、
    前記暗号化手段は、前記プライバシーポリシーにより規定された利用可能期間が経過する場合に、前記暗号鍵により、更に前記プライバシーポリシーを暗号化し、暗号化した当該プライバシーポリシーに対応する前記個人情報の一部を削除する
    請求項1記載の個人情報管理システム。
  4. 前記鍵取得手段は、前記管理者が秘密鍵を管理し、かつ前記利用者が前記秘密鍵を管理していない、公開鍵暗号系の公開鍵を前記暗号鍵として取得し、
    前記暗号化手段は、前記公開鍵により前記個人情報を暗号化する
    請求項1記載の個人情報管理システム。
  5. 前記鍵取得手段は、暗号化するべき個人情報毎に異なる公開鍵を取得し、
    前記暗号化手段は、前記個人情報を、前記個人情報毎に異なる前記公開鍵で暗号化する
    請求項記載の個人情報管理システム。
  6. 前記管理者からの指示を受けて前記個人情報を復号する復号手段を更に備え、
    前記鍵取得手段は、復号した当該個人情報を再度暗号化すべき指示を前記管理者から受けた場合に、前記復号手段により復号された暗号の公開鍵とは異なる公開鍵を取得し、
    前記暗号化手段は、前記鍵取得手段により取得された前記公開鍵により、当該個人情報を再度暗号化する
    請求項記載の個人情報管理システム。
  7. 前記管理者が復号鍵を管理しかつ前記利用者が復号鍵を管理していない暗号における暗号鍵を、前記個人情報により特定される個人を識別する個人識別情報に基づいて生成する鍵生成手段を更に備え、
    前記鍵取得手段は、前記鍵生成手段により生成された前記暗号鍵を取得し、
    前記暗号化手段は、前記個人識別情報に基づく前記暗号鍵で、IDに基づく暗号(IBE: Identity-based Encryption)により前記個人情報を暗号化する
    請求項1記載の個人情報管理システム。
  8. 前記暗号化手段は、前記個人情報を暗号化した場合に、更に、前記個人情報を暗号化した旨を、暗号化した当該個人情報により特定される個人の端末に対して出力する請求項1記載の個人情報管理システム。
  9. 記憶装置に格納された個人情報の利用を制限する個人情報管理システムと、前記記憶装置に格納された前記個人情報を利用する利用者の利用者端末とを備えた情報処理システムであって、
    前記個人情報管理システムは、
    前記個人情報の利用者が前記個人情報を利用してもよい予め定められた利用可能期間について、当該利用可能期間を規定した情報であるプライバシーポリシーを、個人情報毎に管理する管理手段と、
    前記プライバシーポリシーの管理者が復号でき、かつ前記個人情報の利用者が復号できない暗号の暗号鍵を取得する鍵取得手段と、
    前記プライバシーポリシーにより規定された利用可能期間が経過する場合に、前記鍵取得手段により取得された前記暗号鍵で、前記利用者が利用できないように前記個人情報を暗号化する暗号化手段と
    一の個人情報が不正に利用されているか否か照会する指示を、当該一の個人情報と共に受け付ける照会対象入力手段と、
    記憶装置に暗号化されて格納されている個人情報を、前記管理者からの指示を受けて復号し、前記照会対象入力手段により入力された前記一の個人情報と比較して、比較結果を出力する復号手段と
    を有し、
    前記利用者端末は、前記プライバシーポリシーにより規定される利用可能期間内に、前記利用者の指示に基づいて、前記個人情報を読み出して利用する
    情報処理システム。
  10. 前記記憶装置は、複数の個人情報を格納し、
    前記利用者端末は、前記複数の個人情報のうち、前記暗号化手段により暗号化されていない複数の個人情報を前記記憶装置から読み出して、当該複数の個人情報の統計データを生成することにより、個人情報を利用する
    請求項9記載の情報処理システム。
  11. 前記個人情報は、電子メールアドレスを含み、
    前記利用者端末は、前記暗号化手段により暗号化されていない個人情報を前記記憶装置から読み出して、当該個人情報に含まれる前記電子メールアドレスに対して広告用電子メールを送信することにより、個人情報を利用する
    請求項9記載の情報処理システム。
  12. コンピュータの記憶装置に格納された個人情報の利用を制限する個人情報管理方法であって、
    前記コンピュータが、前記個人情報の利用者が前記個人情報を利用してもよい予め定められた利用可能期間について、当該利用可能期間を規定した情報であるプライバシーポリシーを、個人情報毎に管理する管理段階と、
    前記コンピュータが、前記プライバシーポリシーの管理者が復号でき、かつ前記個人情報の利用者が復号できない暗号の暗号鍵を取得する鍵取得段階と、
    前記コンピュータが、前記プライバシーポリシーにより規定された利用可能期間が経過する場合に、前記鍵取得段階において取得された前記暗号鍵で、前記利用者が利用できないように前記個人情報を暗号化する暗号化段階と
    一の個人情報が不正に利用されているか否か照会する指示を、当該一の個人情報と共に受け付ける照会対象入力段階と、
    記憶装置に暗号化されて格納されている個人情報を、前記管理者からの指示を受けて復号し、前記照会対象入力段階により入力された前記一の個人情報と比較して、比較結果を出力する復号段階と
    を備える個人情報管理方法。
  13. コンピュータを、記憶装置に格納された個人情報の利用を制限する個人情報管理システムとして機能させるプログラムであって、
    前記コンピュータを、
    前記個人情報の利用者が前記個人情報を利用してもよい予め定められた利用可能期間について、当該利用可能期間を規定した情報であるプライバシーポリシーを、個人情報毎に管理する管理手段と、
    前記プライバシーポリシーの管理者が復号でき、かつ前記個人情報の利用者が復号できない暗号の暗号鍵を取得する鍵取得手段と、
    前記プライバシーポリシーにより規定された利用可能期間が経過する場合に、前記鍵取得手段により取得された前記暗号鍵で、前記利用者が利用できないように前記個人情報を暗号化する暗号化手段と
    一の個人情報が不正に利用されているか否か照会する指示を、当該一の個人情報と共に受け付ける照会対象入力手段と、
    記憶装置に暗号化されて格納されている個人情報を、前記管理者からの指示を受けて復号し、前記照会対象入力手段により入力された前記一の個人情報と比較して、比較結果を出力する復号手段と
    して機能させるプログラム。
  14. 請求項13に記載のプログラムを記録した記録媒体。
JP2003369884A 2003-10-30 2003-10-30 個人情報管理システム、情報処理システム、個人情報管理方法、プログラム、及び記録媒体 Expired - Fee Related JP4059321B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2003369884A JP4059321B2 (ja) 2003-10-30 2003-10-30 個人情報管理システム、情報処理システム、個人情報管理方法、プログラム、及び記録媒体
US10/974,923 US20050105719A1 (en) 2003-10-30 2004-10-27 Personal information control and processing

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003369884A JP4059321B2 (ja) 2003-10-30 2003-10-30 個人情報管理システム、情報処理システム、個人情報管理方法、プログラム、及び記録媒体

Publications (2)

Publication Number Publication Date
JP2005135131A JP2005135131A (ja) 2005-05-26
JP4059321B2 true JP4059321B2 (ja) 2008-03-12

Family

ID=34567041

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003369884A Expired - Fee Related JP4059321B2 (ja) 2003-10-30 2003-10-30 個人情報管理システム、情報処理システム、個人情報管理方法、プログラム、及び記録媒体

Country Status (2)

Country Link
US (1) US20050105719A1 (ja)
JP (1) JP4059321B2 (ja)

Families Citing this family (69)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9400589B1 (en) 2002-05-30 2016-07-26 Consumerinfo.Com, Inc. Circular rotational interface for display of consumer credit information
US9710852B1 (en) 2002-05-30 2017-07-18 Consumerinfo.Com, Inc. Credit report timeline user interface
US9569797B1 (en) 2002-05-30 2017-02-14 Consumerinfo.Com, Inc. Systems and methods of presenting simulated credit score information
GB2406246B (en) * 2003-09-17 2006-05-31 Hewlett Packard Development Co Secure provision of image data
US8732004B1 (en) 2004-09-22 2014-05-20 Experian Information Solutions, Inc. Automated analysis of data to generate prospect notifications based on trigger events
CA2526791C (en) * 2005-11-14 2012-01-10 Bce Inc. Method and system for providing personalized service mobility
KR100670832B1 (ko) * 2005-12-12 2007-01-19 한국전자통신연구원 에이전트를 이용한 사용자 개인정보 송수신 방법 및 장치
US7711636B2 (en) 2006-03-10 2010-05-04 Experian Information Solutions, Inc. Systems and methods for analyzing data
JP4832934B2 (ja) * 2006-03-17 2011-12-07 株式会社エヌ・ティ・ティ・データ 個人情報解析装置及びハードウエアキー装置
JP2007264827A (ja) * 2006-03-27 2007-10-11 Matsushita Electric Ind Co Ltd 個人情報保護装置
US9690820B1 (en) 2007-09-27 2017-06-27 Experian Information Solutions, Inc. Database system for triggering event notifications based on updates to database records
WO2009064840A1 (en) * 2007-11-13 2009-05-22 Equifax, Inc. Systems and methods for detecting child identity theft
US8127986B1 (en) 2007-12-14 2012-03-06 Consumerinfo.Com, Inc. Card registry systems and methods
US9990674B1 (en) 2007-12-14 2018-06-05 Consumerinfo.Com, Inc. Card registry systems and methods
US7522723B1 (en) * 2008-05-29 2009-04-21 Cheman Shaik Password self encryption method and system and encryption by keys generated from personal secret information
US8312033B1 (en) 2008-06-26 2012-11-13 Experian Marketing Solutions, Inc. Systems and methods for providing an integrated identifier
US9256904B1 (en) 2008-08-14 2016-02-09 Experian Information Solutions, Inc. Multi-bureau credit file freeze and unfreeze
US8060424B2 (en) 2008-11-05 2011-11-15 Consumerinfo.Com, Inc. On-line method and system for monitoring and reporting unused available credit
US20100174638A1 (en) 2009-01-06 2010-07-08 ConsumerInfo.com Report existence monitoring
US9652802B1 (en) 2010-03-24 2017-05-16 Consumerinfo.Com, Inc. Indirect monitoring and reporting of a user's credit data
US9147042B1 (en) 2010-11-22 2015-09-29 Experian Information Solutions, Inc. Systems and methods for data verification
EP2676197B1 (en) 2011-02-18 2018-11-28 CSidentity Corporation System and methods for identifying compromised personally identifiable information on the internet
US9558519B1 (en) 2011-04-29 2017-01-31 Consumerinfo.Com, Inc. Exposing reporting cycle information
US9665854B1 (en) 2011-06-16 2017-05-30 Consumerinfo.Com, Inc. Authentication alerts
US9483606B1 (en) 2011-07-08 2016-11-01 Consumerinfo.Com, Inc. Lifescore
US9106691B1 (en) 2011-09-16 2015-08-11 Consumerinfo.Com, Inc. Systems and methods of identity protection and management
US8738516B1 (en) 2011-10-13 2014-05-27 Consumerinfo.Com, Inc. Debt services candidate locator
US11030562B1 (en) 2011-10-31 2021-06-08 Consumerinfo.Com, Inc. Pre-data breach monitoring
US9853959B1 (en) 2012-05-07 2017-12-26 Consumerinfo.Com, Inc. Storage and maintenance of personal data
US9317715B2 (en) * 2012-08-24 2016-04-19 Sap Se Data protection compliant deletion of personally identifiable information
US9654541B1 (en) 2012-11-12 2017-05-16 Consumerinfo.Com, Inc. Aggregating user web browsing data
US9916621B1 (en) 2012-11-30 2018-03-13 Consumerinfo.Com, Inc. Presentation of credit score factors
US10255598B1 (en) 2012-12-06 2019-04-09 Consumerinfo.Com, Inc. Credit card account data extraction
US8891773B2 (en) * 2013-02-11 2014-11-18 Lsi Corporation System and method for key wrapping to allow secure access to media by multiple authorities with modifiable permissions
US10102570B1 (en) 2013-03-14 2018-10-16 Consumerinfo.Com, Inc. Account vulnerability alerts
US9870589B1 (en) 2013-03-14 2018-01-16 Consumerinfo.Com, Inc. Credit utilization tracking and reporting
US8812387B1 (en) 2013-03-14 2014-08-19 Csidentity Corporation System and method for identifying related credit inquiries
US9406085B1 (en) 2013-03-14 2016-08-02 Consumerinfo.Com, Inc. System and methods for credit dispute processing, resolution, and reporting
US10664936B2 (en) 2013-03-15 2020-05-26 Csidentity Corporation Authentication systems and methods for on-demand products
US9633322B1 (en) 2013-03-15 2017-04-25 Consumerinfo.Com, Inc. Adjustment of knowledge-based authentication
US10685398B1 (en) 2013-04-23 2020-06-16 Consumerinfo.Com, Inc. Presenting credit score information
US9721147B1 (en) 2013-05-23 2017-08-01 Consumerinfo.Com, Inc. Digital identity
US9443268B1 (en) 2013-08-16 2016-09-13 Consumerinfo.Com, Inc. Bill payment and reporting
US10325314B1 (en) 2013-11-15 2019-06-18 Consumerinfo.Com, Inc. Payment reporting systems
US9477737B1 (en) 2013-11-20 2016-10-25 Consumerinfo.Com, Inc. Systems and user interfaces for dynamic access of multiple remote databases and synchronization of data based on user rules
USD759689S1 (en) 2014-03-25 2016-06-21 Consumerinfo.Com, Inc. Display screen or portion thereof with graphical user interface
USD760256S1 (en) 2014-03-25 2016-06-28 Consumerinfo.Com, Inc. Display screen or portion thereof with graphical user interface
USD759690S1 (en) 2014-03-25 2016-06-21 Consumerinfo.Com, Inc. Display screen or portion thereof with graphical user interface
US9892457B1 (en) 2014-04-16 2018-02-13 Consumerinfo.Com, Inc. Providing credit data in search results
US10373240B1 (en) 2014-04-25 2019-08-06 Csidentity Corporation Systems, methods and computer-program products for eligibility verification
US10339527B1 (en) 2014-10-31 2019-07-02 Experian Information Solutions, Inc. System and architecture for electronic fraud detection
US11151468B1 (en) 2015-07-02 2021-10-19 Experian Information Solutions, Inc. Behavior analysis using distributed representations of event data
US11410230B1 (en) 2015-11-17 2022-08-09 Consumerinfo.Com, Inc. Realtime access and control of secure regulated data
US10757154B1 (en) 2015-11-24 2020-08-25 Experian Information Solutions, Inc. Real-time event-based notification system
EP3346414A1 (en) 2017-01-10 2018-07-11 BMI System Data filing method and system
US11227001B2 (en) 2017-01-31 2022-01-18 Experian Information Solutions, Inc. Massive scale heterogeneous data ingestion and user resolution
US10699028B1 (en) 2017-09-28 2020-06-30 Csidentity Corporation Identity security architecture systems and methods
US10896472B1 (en) 2017-11-14 2021-01-19 Csidentity Corporation Security and identity verification system and architecture
US11816171B2 (en) 2017-12-19 2023-11-14 Ibm Corporation Online outreach-based reward model generation for user information search
US10911234B2 (en) 2018-06-22 2021-02-02 Experian Information Solutions, Inc. System and method for a token gateway environment
US11265324B2 (en) 2018-09-05 2022-03-01 Consumerinfo.Com, Inc. User permissions for access to secure data at third-party
US11328081B2 (en) * 2018-10-16 2022-05-10 Sap Se Consent-based data privacy management system
US11315179B1 (en) 2018-11-16 2022-04-26 Consumerinfo.Com, Inc. Methods and apparatuses for customized card recommendations
US11238656B1 (en) 2019-02-22 2022-02-01 Consumerinfo.Com, Inc. System and method for an augmented reality experience via an artificial intelligence bot
US11941065B1 (en) 2019-09-13 2024-03-26 Experian Information Solutions, Inc. Single identifier platform for storing entity data
US11328089B2 (en) * 2019-09-20 2022-05-10 International Business Machines Corporation Built-in legal framework file management
US11327665B2 (en) 2019-09-20 2022-05-10 International Business Machines Corporation Managing data on volumes
US11443056B2 (en) 2019-09-20 2022-09-13 International Business Machines Corporation File access restrictions enforcement
CN113111365B (zh) * 2021-04-22 2024-04-09 广州市人心网络科技有限公司 一种基于信封加密的在线心理咨询隐私数据保护方法、存储介质及系统

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10283267A (ja) * 1997-04-07 1998-10-23 Kokusai Electric Co Ltd データ管理装置
JP3462984B2 (ja) * 1998-04-10 2003-11-05 日本電信電話株式会社 使用期限付きコンテンツ管理システム、管理方法、および管理プログラムを記録した記録媒体
JPH11308213A (ja) * 1998-04-20 1999-11-05 Hitachi Ltd 暗号データ回復方法および装置
US6226618B1 (en) * 1998-08-13 2001-05-01 International Business Machines Corporation Electronic content delivery system
JP2001067323A (ja) * 1999-08-25 2001-03-16 Nippon Telegr & Teleph Corp <Ntt> 個人情報流通管理方法、装置、個人情報流通管理プログラムを記録した記録媒体、情報サービス提供方法、装置、情報サービス提供プログラムを記録した記録媒体
US6904417B2 (en) * 2000-01-06 2005-06-07 Jefferson Data Strategies, Llc Policy notice method and system
US7404084B2 (en) * 2000-06-16 2008-07-22 Entriq Inc. Method and system to digitally sign and deliver content in a geographically controlled manner via a network
JP2002024520A (ja) * 2000-07-07 2002-01-25 Bewith Inc カスタマーリレーションマネジメントシステム
JP2002215028A (ja) * 2001-01-22 2002-07-31 Ntt Data Technology Corp 遺伝子情報のセキュリティ管理方法及びそのシステムとプログラム
JP2002232570A (ja) * 2001-02-06 2002-08-16 Mitsubishi Electric Corp 個人情報活用システム
JP3868218B2 (ja) * 2001-02-15 2007-01-17 日本電信電話株式会社 アクセス制限付コンテンツ表示方法およびその装置
JP2002251529A (ja) * 2001-02-22 2002-09-06 Sony Corp コンテンツ提供取得システム、コンテンツ提供装置、コンテンツ取得装置、コンテンツ提供取得方法、コンテンツ提供方法、コンテンツ取得方法、コンテンツ提供プログラム格納媒体、コンテンツ取得プログラム格納媒体、コンテンツ提供プログラム及びコンテンツ取得プログラム
JP3636087B2 (ja) * 2001-03-29 2005-04-06 日本電気株式会社 個人情報提供システム、個人情報提供方法、および個人情報提供プログラム
JP2002342169A (ja) * 2001-05-11 2002-11-29 Nec Software Kyushu Ltd 電子データ保存領域提供システム及び電子データ保存領域提供方法
JP2002351995A (ja) * 2001-05-17 2002-12-06 Ge Medical Systems Global Technology Co Llc 患者情報管理方法およびそのシステム
US7103663B2 (en) * 2001-06-11 2006-09-05 Matsushita Electric Industrial Co., Ltd. License management server, license management system and usage restriction method
US7203966B2 (en) * 2001-06-27 2007-04-10 Microsoft Corporation Enforcement architecture and method for digital rights management system for roaming a license to a plurality of user devices
KR100467929B1 (ko) * 2002-02-28 2005-01-24 주식회사 마크애니 디지털 컨텐츠의 보호 및 관리를 위한 시스템
US7003117B2 (en) * 2003-02-05 2006-02-21 Voltage Security, Inc. Identity-based encryption system for secure data distribution
US7103911B2 (en) * 2003-10-17 2006-09-05 Voltage Security, Inc. Identity-based-encryption system with district policy information

Also Published As

Publication number Publication date
JP2005135131A (ja) 2005-05-26
US20050105719A1 (en) 2005-05-19

Similar Documents

Publication Publication Date Title
JP4059321B2 (ja) 個人情報管理システム、情報処理システム、個人情報管理方法、プログラム、及び記録媒体
US11652608B2 (en) System and method to protect sensitive information via distributed trust
Pearson et al. Sticky policies: An approach for managing privacy across multiple parties
US9825925B2 (en) Method and apparatus for securing sensitive data in a cloud storage system
KR100753932B1 (ko) 컨텐츠 암호화 방법, 이를 이용한 네트워크를 통한 컨텐츠제공 시스템 및 그 방법
US6523116B1 (en) Secure personal information card database system
JP4597784B2 (ja) データ処理装置
CN1833398A (zh) 安全数据解析器方法和系统
JP5022969B2 (ja) 情報システム、情報サービスプログラム、及び情報サーバ装置
CN1636175A (zh) 控制与管理数字资产
JPWO2012053649A1 (ja) アクセス制限装置、アクセス制限プログラム及びアクセス制限方法
JP6566278B1 (ja) パーソナルデータ管理システム
JPH09179768A (ja) ファイル暗号化システム及びファイル復号化システム
US20130177156A1 (en) Encrypted Data Processing
JP2001265771A (ja) 個人情報管理装置、個人情報管理方法、及び個人情報管理装置または方法を実行するプログラムを記録した記録媒体
JP2013150026A (ja) データ処理システム及び秘匿化装置及び秘密鍵生成装置及び秘匿化方法及び秘密鍵生成方法及びプログラム
JP5396890B2 (ja) 情報提供システム
Foltz et al. Simplified key management for digital access control of information objects
JP3846893B2 (ja) 承認結果通知システムおよびその方法
JP2008011092A (ja) 暗号化コンテンツ検索方式
JP7178811B2 (ja) サービス支援システム、及びサービス支援方法
JP2008219742A (ja) 添付ファイル暗号化方法及びこの方法を実施するメールサーバ
CN101018117B (zh) 网页日志加密系统及方法
JP2007143062A (ja) 情報管理システム、情報管理方法およびプログラム
KR101467402B1 (ko) 네트워크 망을 통하여 수신된 팩스 데이터 관리 방법 및 그 방법을 이용한 관리장치

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070829

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070911

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071120

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20071211

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20071212

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20071211

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101228

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees