JP4093482B2 - アクセス制御システム、アクセス制御装置、アクセス制御方法、プログラム、及び記録媒体 - Google Patents
アクセス制御システム、アクセス制御装置、アクセス制御方法、プログラム、及び記録媒体 Download PDFInfo
- Publication number
- JP4093482B2 JP4093482B2 JP2003426485A JP2003426485A JP4093482B2 JP 4093482 B2 JP4093482 B2 JP 4093482B2 JP 2003426485 A JP2003426485 A JP 2003426485A JP 2003426485 A JP2003426485 A JP 2003426485A JP 4093482 B2 JP4093482 B2 JP 4093482B2
- Authority
- JP
- Japan
- Prior art keywords
- output
- information
- privacy
- unit
- column
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本発明は、データベースのアクセス制御システム、アクセス制御装置、アクセス制御方法、プログラム、及び記録媒体に関する。特に、本発明は、データベースから個人情報等が漏洩することを防止するアクセス制御システム、アクセス制御装置、アクセス制御方法、プログラム、及び記録媒体に関する。
近年、コンピュータネットワークやWWWシステムの普及に伴って、企業が個人のプライバシーに関する情報を収集してデータベースを構築することが広く行われるようになってきている。従来、収集した情報を効率的に管理するために、情報をテーブル形式のデータ構造として記録することが一般的に行われている。これにより、利用者は、例えばSQL(Structured Query Language)により条件を指定して、データベースから情報を簡便に選択することができる。
従来、データベースに格納されたテーブル毎にアクセス制限するのみならず、テーブルの項目毎にアクセス制限する技術が用いられている(特許文献1参照。)。特許文献1に記載の技術は、データベースにアクセスする者の権限に応じて、各項目の参照・変更を許可するか否か判断することができる。また、IBMコーポレーションの「Tivoli Privacy Manager Ver.1.1」により構築されたシステムは、非特許文献1に記載のプライバシー・ポリシーに従って、テーブルの項目毎にアクセス制御する。
具体的には、このシステムは、あるカラムにアクセスを希望する利用者、アクセスの目的、及びそのカラムの情報の所有者の組に基づいて、そのカラムに対するアクセスを許可するか否か判断する。更に、このシステムは、情報の所有者の属性、例えば、その所有者の年齢、その所有者が情報の利用(ダイレクトメールの送付等)に同意しているか否か、又はその所有者が規定のプライバシー・ポリシーに同意しているか否かに応じてアクセス制御を行うこともできる。
一般に個人情報と呼ばれる情報として、PII(Personal Identifiable Information)と、PSI(Privacy Sensitive Information)とがある。PIIは、個人を識別する情報であり、例えば、名前や電子メールアドレスといった情報である。PSIは、PIIと対応付けて出力した場合に、その個人のプライバシーを侵害する情報であり、例えば、年収などである。プライバシーの侵害を防ぐためには、PII及びPSIを対応付けて出力することを禁止する必要がある。一方、PSIのみの出力は、プライバシーの侵害に該当しない可能性が高いので、許可するのが望ましい。
このように、プライバシーを適切に保護しつつ、データベースをできるだけ有効に活用するには、複数のカラムについてのアクセスの可否を、これらのカラムの互いの関係に基づいて判断する必要がある。しかしながら、上記の何れの技術によっても、データベースにおける各々のカラムに対するアクセスの可否を判断させることができるものの、複数のカラムを組み合わせたデータの取得の可否を判断させることができなかった。
そこで本発明は、上記の課題を解決することのできるアクセス制御システム、アクセス制御装置、アクセス制御方法、プログラム、及び記録媒体を提供することを目的とする。この目的は特許請求の範囲における独立項に記載の特徴の組み合わせにより達成される。また従属項は本発明の更なる有利な具体例を規定する。
上記課題を解決するために、本発明の第1の形態においては、データ提供者の公開情報と秘密情報とを対応付けて格納するデータベースへのアクセスを制御するアクセス制御システムであって、データベースをアクセスして生成した情報の出力を要求する出力要求を取得する出力要求取得部と、出力要求により出力を要求された出力情報のうち、公開情報及び秘密情報を組み合わせて生成した情報の出力を禁止し、秘密情報を用いて、かつ、公開情報を用いずに生成した情報の出力を許可する複数項出力認可部と、出力情報のうち複数項出力認可部により出力を許可された情報を出力する出力部とを備えるアクセス制御システム、アクセス制御装置、当該アクセス制御システムによりデータベースのアクセスを制御する制御方法、当該アクセス制御システムを制御するプログラム、及び当該プログラムを記録した記録媒体を提供する。
なお、上記の発明の概要は、本発明の必要な特徴の全てを列挙したものではなく、これらの特徴群のサブコンビネーションもまた、発明となりうる。
なお、上記の発明の概要は、本発明の必要な特徴の全てを列挙したものではなく、これらの特徴群のサブコンビネーションもまた、発明となりうる。
本発明によれば、データ提供者のプライバシーを保護しつつ、データベースを有効に活用させることができる。
以下、発明の実施の形態を通じて本発明を説明するが、以下の実施形態は特許請求の範囲にかかる発明を限定するものではなく、また実施形態の中で説明されている特徴の組合わせの全てが発明の解決手段に必須であるとは限らない。
図1は、アクセス制御システム10の概要を示す。アクセス制御システム10は、アクセス要求装置100と、アクセス認可装置120と、データベース200とを備える。データベース200は、データ提供者の公開情報、例えばデータ提供者を識別する提供者識別情報と、データ提供者の秘密情報、例えばプライバシー情報とを対応付けて格納している。そして、アクセス認可装置120は、アクセス要求装置100が、提供者識別情報及びプライバシー情報を対応付けてデータベース200から取得することを禁止し、プライバシー情報のみを取得することを許可する。これにより、データ提供者のプライバシーを保護しつつ、データベースを有効に活用させることを目的とする。
アクセス要求装置100は、アプリケーションプログラム50と、アクセス制御装置40とを有する。アプリケーションプログラム50は、利用者からの操作を受けて、データベース200をアクセスして生成した情報の出力を要求する出力要求30をアクセス制御装置40に送る。アクセス制御装置40は、アプリケーションプログラム50から出力要求30を受けると、出力要求30に応じて情報を出力してよいか否かをアクセス認可装置120に問合せる。そして、アクセス制御装置40は、出力要求30により出力を要求された出力情報のうち、アクセス認可装置120により許可された情報を、データベース200をアクセスして生成し、アプリケーションプログラム50を介して利用者に出力する。
図2は、データベース200のデータ構造の一例を示す。データベース200は、(a)に示すEMPLOYEEテーブルと、(b)に示すMONEYテーブルとを有する。EMPLOYEEテーブルは、従業者の識別番号を格納するIDカラムと、従業者の名前を格納するNAMEカラムと、従業者のマネージャの識別番号を格納するMANAGERIDカラムとを含む。そして、EMPLOYEEテーブルは、データ提供者の一例である従業者毎に、その従業者の識別番号と、その従業者の名前と、その従業者のマネージャの識別番号とを対応付けて格納する。ここで、データ提供者とは、データが示す個人情報により特定される個人であり、例えば、データオーナーと呼ばれる者をいう。また、以降の説明において、カラム内の何れかの情報を取得することを、カラムにアクセスすると表記する。
MONEYテーブルは、従業者の識別番号を格納するNOカラムと、従業者の年収を格納するSALARYカラムと、従業者の預金を格納するSAVINGカラムとを含む。そして、MONEYテーブルは、従業者毎に、その従業者の識別番号と、その従業者の年収と、その従業者の預金とを対応付けて格納する。ここで、従業者の名前は、その従業者を識別する従業者識別情報であって、その従業者の公開情報の一例である。また、従業者の年収及び預金の各々は、従業者の名前に対応付けて出力した場合にその従業者のプライバシーを侵害するプライバシー情報であって、その従業者の秘密情報の一例である。このように、データベース200は、複数の従業者の各々について、その従業者の公開情報と秘密情報とを対応付けて格納している。
図3は、出力要求30の一例を示す。出力要求30は、例えば、SQL又はXQueryにより記述されたプログラムとして表され、7行目から16行目のコマンドにより構成される検索要求2と、1行目から6行目及び17行目から27行目のコマンドにより構成される検索要求1とを含む。検索要求2は、EMPLOYEEテーブル及びMONEYテーブルにアクセスして、従業者毎に、その従業者の識別番号、その従業者の名前、その従業者のマネージャの識別番号、及びその従業者の年収及び預金の合計を対応付けた新たなCUSTテーブルを生成する要求である。検索要求1は、CUSTテーブルを用いて、従業者毎に、その従業者の識別番号と、その従業者の名前と、その従業者のマネージャのイニシャルとを対応付けたテーブルを作成し、なおかつ、そのテーブルの各行を従業者の年収及び預金の合計が小さい順に並び替えて出力する要求である。
図4から図11を用いて、アクセス制御装置40の機能を説明する。図4は、アクセス制御装置40の機能ブロック図である。アクセス制御装置40は、検索要求解析ロジック400と、判定対象決定ロジック430と、リスト実施ロジック450とを有する。検索要求解析ロジック400は、出力要求取得部410と、影響度算出部420とを有する。出力要求取得部410は、出力要求30をアプリケーションプログラム50から取得する。そして、出力要求取得部410は、取得した出力要求30の各検索要求を、出力を要求する情報を示す出力部分と、出力を選択するための条件を示す出力特定部分と、出力する順序を示す順序指定部分とに分割する。
図5は、出力要求取得部410が出力要求30を、出力部分と、出力特定部分と、順序指定部分とに分割した結果を示す。本図は、出力部分を斜線領域として示し、出力特定部分を白地領域として示し、順序指定部分を2重斜線領域として示す。例えば、SELECTコマンドは、データベース200から選択した情報を出力する要求であるので、出力部分である。また、WHEREコマンドは、選択される情報が満たすべき条件を示すので、出力特定部分である。また、ORDER BYコマンドは、情報の並び替えを指示するので、順序指定部分である。
続いて、影響度算出部420は、出力情報の生成に対して、データ提供者の秘密情報及び公開情報が与える影響度を算出するべく、以下の処理を行う。まず、影響度算出部420は、出力要求30がアクセスを要求する各カラムについて、互いに同一の関係にあるカラムの組と、影響を与える関係にあるカラムの組とを検出する。
図6は、影響度算出部420が、出力要求30によりアクセスが要求される各カラムについて、互いに同一の関係にあるカラムの組と、一方が他方に影響を与える関係にあるカラムの組とを検出した検出結果を示す。本図において、各矩形領域はカラムを示し、2重線の矩形領域は、データベース200に含まれておらず出力要求30が新たに生成するカラムである関数カラムを示す。また、角の丸い矩形領域は、出力要求30がアクセスを要求するテーブルを示す。また、図5と同様、出力部分を斜線領域として示し、出力特定部分を白地領域として示し、順序指定部分を2重斜線領域として示す。
影響度算出部420は、出力要求30において互いに異なる名称でアクセスされる同一のカラム又はテーブルを検出する。例えば、本図の点線は、互いに同一の関係にあるカラムの組を示す。一例として、検索要求1におけるIDと、X.IDとが示すカラムは、共にEMPLOYEEテーブルのIDカラムを示すので同一である。また、影響度算出部420は、出力特定部分及び順序指定部分が、何れの出力部分に影響を与えるかを検出し、関数カラムが何れのカラムを入力とするかを検出する。例えば、本図の実線は、一方が他方に影響を与える関係にあるカラムの組を示す。一例として、検索要求2におけるM.SAVING及びM.SALARYは、検索要求1における関数カラムMONEYに対する入力であるので、MONEYに影響を与える。
続いて、影響度算出部420は、出力要求30によりアクセスが要求される各カラムが、データベース200の何れのカラムであるかを、DBスキーマ415を用いて解析する。
図7は、DBスキーマ415の一例を示す。DBスキーマ415は、データベース200の構造を示し、具体的には、データベース200の名称がEMPINFODBであり、EMPINFODBが、EMPLOYEEテーブル及びMONEYテーブルを含み、EMPLOYEEテーブルが、IDカラム、NAMEカラム、及びMANAGERIDカラムを含み、MONEYテーブルが、NOカラム、SALARYカラム、及びSAVINGカラムを含むことを示す。
図7は、DBスキーマ415の一例を示す。DBスキーマ415は、データベース200の構造を示し、具体的には、データベース200の名称がEMPINFODBであり、EMPINFODBが、EMPLOYEEテーブル及びMONEYテーブルを含み、EMPLOYEEテーブルが、IDカラム、NAMEカラム、及びMANAGERIDカラムを含み、MONEYテーブルが、NOカラム、SALARYカラム、及びSAVINGカラムを含むことを示す。
DBスキーマ415は、更に、EMPLOYEEテーブルにおけるIDカラムが、EMPLOYEEテーブルに格納される情報のデータ所有者を識別するキーカラムであることを示している。同様に、DBスキーマ415は、MONEYテーブルにおけるNOカラムが、MONEYテーブルのキーカラムであることを示している。これにより、アクセス制御装置40は、キーカラムの値によりデータ所有者を識別することにより、データ所有者毎に異なるアクセス制御を行うこともできる。
図8は、影響度算出部420が出力要求30によりアクセスされるカラムをDBスキーマ415を用いて解析した解析結果を示す。本図は、解析結果を、出力要求30で用いられるカラムの名前と、その名前で参照されるデータベース200におけるカラムとを対応付けた表として示す。更に、本図は、各カラムが含まれるテーブルにおけるキーカラムを示すと共に、当該カラムとキーカラムが等しくかつ当該カラムが出力要求30において影響を与えるカラムである関連カラムを示す。なお、出力要求30で用いられる各カラムには、便宜上、ID1からID9の識別番号を付している。以降の説明において、ID1が付されたカラムを、ID1のカラムと呼び、同様に、ID2からID9が付されたカラムをID2からID9のカラムと呼ぶ。
具体的には、出力要求30においてY.NAMEとしてアクセスされるカラムは、データベース200においてEMPINFODBデータベースにおけるEMPLOYEEテーブルのNAMEカラムである。そして、このカラムが含まれるテーブルのキーカラムは、ID6のカラムY.IDである。更に、このカラムは、関数カラムIの出力に影響を与えるので、このカラムの関連カラムは、ID3のカラムIである。ID1からID3の各カラムは、出力要求30により出力を要求された出力情報として用いられる最終アクセスカラムである。
そして、影響度算出部420は、出力情報の生成に対して、各カラムが与える影響を示す影響度を影響度算出ルール425に基づいて算出する。以降の説明において、カラム内の情報が出力情報に対して与える影響度を、そのカラムの影響度と呼ぶ。
図9は、影響度算出部420が影響度を算出した算出結果を示す。具体的には、影響度算出部420は、出力情報が秘密情報又は公開情報を含む場合に、出力情報をデータベース200から選択する条件判断に秘密情報又は公開情報を含む場合と比較して高い影響度を算出する。例えば、影響度算出部420は、出力情報に含まれる公開情報が、出力情報に与える影響度として、10を算出する。一方、影響度算出部420は、出力情報を特定する条件判断に用いられる公開情報、例えばX.MID等の内部カラムが、出力情報に与える影響度として、10より小さい7を算出する。
図9は、影響度算出部420が影響度を算出した算出結果を示す。具体的には、影響度算出部420は、出力情報が秘密情報又は公開情報を含む場合に、出力情報をデータベース200から選択する条件判断に秘密情報又は公開情報を含む場合と比較して高い影響度を算出する。例えば、影響度算出部420は、出力情報に含まれる公開情報が、出力情報に与える影響度として、10を算出する。一方、影響度算出部420は、出力情報を特定する条件判断に用いられる公開情報、例えばX.MID等の内部カラムが、出力情報に与える影響度として、10より小さい7を算出する。
また、影響度算出部420は、出力情報が秘密情報又は公開情報を含む場合に、出力情報の出力順序を並び替える条件に秘密情報又は公開情報を用いる場合と比較して高い影響度を算出する。例えば、影響度算出部420は、出力情報の出力順序を並び替える条件に秘密情報、例えばX.MONEY等の内部カラムが、出力情報に与える影響度として、10より小さい6を算出する。
また、影響度算出部420は、関数カラムY=F(X1,X2,・・・,XN)に入力される各カラムX1,X2,・・・,XNの影響度を、Yの影響度と、関数Fの性質に基づいて算出する。例えば、影響度算出部420は、文字列Xのm文字目からn文字を取り出す関数SUBSTRINGを用いた、関数カラムY=SUBSTRING(X,m,n)について、カラムXの影響度を、関数カラムYの影響度及び関数SUBSTRINGの性質に基づいて算出する。
具体的には、SUBSTRINGに入力されるカラムID4は、従業者の名前を示すが、SUBSTRINGから出力要求30の出力情報として出力されるカラムID3は、従業者のイニシャルのみを示す。例えば、従業者の名前の平均値が5文字である場合には、影響度算出部420は、名前の文字数である5文字に対する、イニシャルの文字数である1文字の割合を、ID3のカラムの影響度である10に乗じることにより、ID4のカラムの影響度として2を算出する。即ち、影響度算出部420は、公開情報又は秘密情報の一部分を出力情報として出力する場合に、その公開情報又は秘密情報の情報量に対する、出力情報として出力されるその一部分の情報量の割合に基づいて、その公開情報又は秘密情報の影響度を算出する。
なお、好ましくは、影響度算出部420は、予め定められた関数以外の関数において、関数カラムに入力される各カラムの影響度を、関数カラムYの影響度と同一の値に定める。これにより、関数の処理内容が不明な場合には、影響度を高く見積もることにより、プライバシーを漏洩しにくくすることができる。
判定対象決定ロジック430は、判定対象決定部440を含む。判定対象決定部440は、影響度算出部420により影響度が算出された各カラムのうち、アクセス認可装置120がアクセスの許可を判断する対象を選択する。具体的には、まず、判定対象決定部440は、カラム分類データ445を用いて、各カラムを分類する。
図10は、カラム分類データ445の一例を示す。カラム分類データ445は、データベース200における各カラムの名前と、そのカラムの分類を格納する。例えば、カラム分類データ445は、EMPINFODBデータベースにおけるEMPLOYEEテーブルのNAMEカラムが、公開情報の一例であるPII(Personal Identifiable Information)に分類されることを示す。また、カラム分類データ445は、EMPINFODBデータベースにおけるMONEYテーブルのSALARYカラムが、秘密情報の一例であるPSI(Privacy Sensitive Information)に分類されることを示す。何れにも分類されないカラムは、便宜上、その他に分類される。
図11は、判定対象決定部440が各カラムを公開情報又は秘密情報に分類した分類結果を示す。判定対象決定部440は、ID2及びID4のカラムを公開情報に分類する。また、判定対象決定部440は、ID8及びID9のカラムを秘密情報に分類する。
続いて、判定対象決定部440は、影響度閾値データ455に基づいて、影響度が所定の基準以上のカラムを、アクセス認可装置120がアクセスの許可を判断する対象として選択する。例えば、影響度閾値データ455が、所定の基準が6であることを示している場合に、判定対象決定部440は、ID1からID3及びID5からID9のカラムを、アクセス認可装置120がアクセスの許可を判断する対象として選択すると共に、ID4のカラムへのアクセスを許可する。
リスト実施ロジック450は、情報送信部460と、出力部470とを含む。情報送信部460は、判定対象決定部440により選択された、影響度が所定の基準以上のカラムの組を、アクセス認可装置120に送信する。出力部470は、出力要求30により要求される出力情報のうち、アクセス認可装置120により出力を許可された情報をデータベース200から取得し、アプリケーションプログラム50に出力する。
図12は、アクセス認可装置120の機能ブロック図である。アクセス認可装置120は、単項出力認可部1200と、複数項出力認可部1220とを有する。単項出力認可部1200は、アクセス対象のカラムのリストをアクセス要求装置100から受け取る。そして、単項出力認可部1200は、例えばPIIに分類された情報のみについて、その情報の出力を許可するか否か判断する。具体的には、単項出力認可部1200は、出力情報を構成する各々の情報を出力してもよいかを、その情報に対するアクセスが単項プライバシー・ポリシー1210により定められた条件を満たすか否かに基づいて判断する。より詳しくは、単項出力認可部1200は、単項プライバシー・ポリシー1210により定められた、データベースの利用者、データ提供者、利用する情報の種類、及び情報利用の目的等の組み合わせの条件に従って、情報を出力してもよいか否かを判断してもよい。
複数項出力認可部1220は、アクセス対象のカラムのリストをアクセス要求装置100から受け取る。そして、複数項出力認可部1220は、単項出力認可部1200により出力が許可された出力情報のうち、出力部470による出力を許可する情報を、複数項プライバシー・ポリシー1230に基づいて更に判断する。即ち、出力部470は、単項出力認可部1200により出力が許可された情報であっても、複数項出力認可部1220による出力が許可されない場合には、その情報を出力することができない。例えば、複数項出力認可部1220は、公開情報及び秘密情報を組み合わせて生成した情報の出力を禁止し、秘密情報を用いて、かつ、公開情報を用いずに生成した情報の出力を許可する。更に、複数項出力認可部1220は、公開情報については単項出力認可部1200により出力が許可された場合であれば出力を許可する。
より詳細には、複数項出力認可部1220は、データベース200において同一のキーカラムを有するPII及びPSIを対応付けて同時に取得した情報の出力を禁止する。例えば、従業者の名前と、その従業者の年収を対応付けて取得した情報の出力は禁止される。なお、複数項出力認可部1220は、キーカラム及びPSIを同時に取得した情報の出力も禁止する。ここで、同時に取得するとは、例えば、同一のアプリケーションプログラムにより予め定められた基準以内の間隔で複数回取得することであってもよいし、同一のアプリケーションプログラムにより同一のトランザクションでアクセスすることであってもよいし、出力要求30を記述したプログラムにより複数の情報の出力が要求されることであってもよい。
また、他の例として、複数項出力認可部1220は、複数のデータ提供者の各々の公開情報を、これらの公開情報に対応する秘密情報に基づいて並び替えることにより生成した情報の出力を禁止する。例えば、従業者の名前を、従業者の年収順に並び替えて生成した情報の出力は禁止される。また、複数項出力認可部1220は、同一の公開情報に対応付けられた複数の秘密情報を組み合わせて生成した情報の出力を禁止する。例えば、同一のデータ提供者の年収及び預金に双方に基づいた情報の出力は禁止される。
ここで、秘密情報の一例であるPSIは、PIIと対応付けなければPSIのデータ所有者を識別させることが困難であるが、多数のPSIが同時に出力された場合には、これらのPSIのデータ所有者が識別できてしまう場合がある。例えば、同一のデータ所有者の職業、勤務先、性別、年収、及び年齢が対応付けられて出力されれば、これらの情報が何れのデータ所有者の秘密情報であるかが判明し、結果として、PIIと対応付けられて出力されるの場合と同様にプライバシーが侵害される場合がある。
従って、好ましくは、複数項出力認可部1220は、予め定められた数以上の秘密情報を組み合わせて生成した情報の出力を禁止し、その数未満の秘密情報を組み合わせて生成した情報の出力は許可する。また、更に好ましくは、複数項出力認可部1220は、同一の公開情報に対応する複数の秘密情報の各々における影響度の平均値が、所定の基準より高い場合に、出力情報の出力を禁止する。これにより、データ所有者のプライバシーを保護しつつ、出力情報に対する影響が低い秘密情報へのアクセスを許可することにより情報利用の利便性を高めることができる。
更に他の例として、出力要求30が、予め定められた条件を満たす秘密情報に対応する公開情報のみを出力する要求である場合に、複数項出力認可部1220は、その出力要求に応じた情報の出力を禁止する。例えば、年収が所定の基準以上の従業者の名前のみを選択して生成した情報の出力は禁止される。これにより、秘密情報を推測させてしまうような情報の出力を禁止することができる。
また、複数項出力認可部1220は、関数カラムに入力される情報の何れかが、単項出力認可部1200又は複数項出力認可部1220により出力が禁止された情報である場合に、その関数カラムから出力される情報の出力を禁止する。更に、複数項出力認可部1220は、単項出力認可部1200又は複数項出力認可部1220により出力が禁止された情報を条件判断に用いる場合、例えば、その情報が出力要求30の出力特定部分に含まれている場合には、その条件に基づく出力情報の出力を禁止する。
図13は、アクセス認可装置120が情報の出力を許可するか否か評価した結果を示す。単項出力認可部1200は、従業員の名前のカラム(ID2)が、単項プライバシー・ポリシー1210により禁止された情報に該当しないので、従業員の名前の出力を許可する。そして、複数項出力認可部1220は、従業員のイニシャルのカラム(ID3)の入力が、出力を許可するか判断する対象外であるID4のみであるので、従業員のイニシャルの出力を許可する。
一方、複数項出力認可部1220は、従業員の預金(ID8)と、従業員の年収(ID9)との双方における影響度が、所定の基準である6以上であって、かつこれらが同時に取得されるので、ID8及びID9のカラムを用いて生成した情報の出力を禁止する。具体的には、複数項出力認可部1220は、ID8及びID9のカラムの情報を入力とするID7のカラムを用いた情報の出力を禁止する。
図14は、アクセス制御システム10の動作フローを示す。出力要求取得部410は、出力要求30をアプリケーションプログラム50から取得する(S1400)。そして、出力要求取得部410は、取得した出力要求30の各検索要求を、出力を要求する情報を示す出力部分と、出力を選択するための条件を示す出力特定部分と、出力する順序を示す順序指定部分とに分割する。
続いて、影響度算出部420は、出力情報の生成に対して、データ提供者の秘密情報及び公開情報が与える影響度を算出するべく、出力要求30を解析する(S1410)。具体的には、影響度算出部420は、出力要求30がアクセスを要求する各カラムについて、互いに同一の関係にあるカラムの組と、影響を与える関係にあるカラムの組とを検出する。また、影響度算出部420は、出力要求30によりアクセスが要求される各カラムが、データベース200の何れのカラムであるかを、DBスキーマ415を用いて解析する。
そして、影響度算出部420は、出力情報の生成に対して、各カラムが与える影響を示す影響度を影響度算出ルール425に基づいて算出する(S1420)。具体的には、影響度算出部420は、出力情報が秘密情報又は公開情報を含む場合に、出力情報をデータベース200から選択する条件判断に秘密情報又は公開情報を含む場合と比較して高い影響度を算出する。また、影響度算出部420は、出力情報が秘密情報又は公開情報を含む場合に、出力情報の出力順序を並び替える条件に秘密情報又は公開情報を用いる場合と比較して高い影響度を算出する。
判定対象決定部440は、影響度算出部420により影響度が算出された各カラムのうち、アクセス認可装置120がアクセスの許可を判断する対象を選択する(S1430)。具体的には、まず、判定対象決定部440は、カラム分類データ445を用いて、各カラムを公開情報、秘密情報、及びその他の情報に分類する。続いて、判定対象決定部440は、影響度が所定の基準以上のカラムを、アクセス認可装置120がアクセスの許可を判断する対象として選択する。
そして、情報送信部460は、判定対象決定部440により選択された、影響度が所定の基準以上のカラムの組を、アクセス認可装置120に送信する(S1440)。単項出力認可部1200は、アクセス対象のカラムのリストをアクセス要求装置100から受け取ると、例えばPIIに分類された情報のみについて、その情報の出力を許可するか否か判断する(S1450)。
続いて、複数項出力認可部1220は、出力要求30により出力が要求される出力情報のうち出力を許可する部分を、複数項プライバシー・ポリシー1230に基づいて判断する(S1460)。一例として、複数項出力認可部1220は、公開情報及び秘密情報を組み合わせて生成した情報の出力を禁止し、秘密情報を用いて、かつ、公開情報を用いずに生成した情報の出力を許可する。また、複数項出力認可部1220は、単項出力認可部1200は、関数カラムに入力される情報の何れかが、単項出力認可部1200又は複数項出力認可部1220により出力が禁止された情報である場合に、その関数カラムから出力される情報の出力を禁止してもよい。
そして、出力部470は、出力要求30により要求される出力情報のうち、アクセス認可装置120により出力を許可された情報をデータベース200から取得し、アプリケーションプログラム50に出力する(S1470)。例えば、出力部470は、出力要求30の出力指定部分のうち、アクセスが許可されたカラムの情報のみを出力する。
また、他の例として、出力部470は、出力要求30の出力部分が公開情報を含み、出力要求30の順序指定部分が秘密情報を含む場合であって、公開情報自体の出力が許可され、かつ、公開情報を秘密情報に基づいて並び替えることにより生成した情報の出力が禁止された場合には、公開情報を秘密情報に基づいて並び替えた順序とは異なる順序に並び替えて出力する。例えば、出力部470は、従業者の名前を年収で並び替える出力要求に対しては、名前の出力が許可されている場合であっても、名前を年収に並び替えた順序とは異なる順序で出力する。また、好ましくは、出力部470は、公開情報を秘密情報に基づいて並び替えることにより生成した情報の出力が禁止された場合に、公開情報をランダムに並び替えて出力する。これにより、公開情報及び秘密情報の対応付けを推測させにくくすることにより、データ提供者のプライバシーを適切に保護することができる。
図15は、アクセス要求装置100として機能するコンピュータのハードウェア構成の一例を示す。アクセス要求装置100は、ホストコントローラ1582により相互に接続されるCPU1500、RAM1520、グラフィックコントローラ1575、及び表示装置1580を有するCPU周辺部と、入出力コントローラ1584によりホストコントローラ1582に接続される通信インターフェイス1530、ハードディスクドライブ1540、及びCD−ROMドライブ1560を有する入出力部と、入出力コントローラ1584に接続されるBIOS1510、フレキシブルディスクドライブ1550、及び入出力チップ1570を有するレガシー入出力部とを備える。
ホストコントローラ1582は、RAM1520と、高い転送レートでRAM1520をアクセスするCPU1500及びグラフィックコントローラ1575とを接続する。CPU1500は、BIOS1510及びRAM1520に格納されたプログラムに基づいて動作し、各部の制御を行う。グラフィックコントローラ1575は、CPU1500等がRAM1520内に設けたフレームバッファ上に生成する画像データを取得し、表示装置1580上に表示させる。これに代えて、グラフィックコントローラ1575は、CPU1500等が生成する画像データを格納するフレームバッファを、内部に含んでもよい。
入出力コントローラ1584は、ホストコントローラ1582と、比較的高速な入出力装置である通信インターフェイス1530、ハードディスクドライブ1540、及びCD−ROMドライブ1560を接続する。通信インターフェイス1530は、ネットワークを介して外部の装置と通信する。ハードディスクドライブ1540は、アクセス要求装置100が使用するプログラム及びデータを格納する。CD−ROMドライブ1560は、CD−ROM1595からプログラム又はデータを読み取り、RAM1520を介して入出力チップ1570に提供する。
また、入出力コントローラ1584には、BIOS1510と、フレキシブルディスクドライブ1550や入出力チップ1570等の比較的低速な入出力装置とが接続される。BIOS1510は、アクセス要求装置100の起動時にCPU1500が実行するブートプログラムや、アクセス要求装置100のハードウェアに依存するプログラム等を格納する。フレキシブルディスクドライブ1550は、フレキシブルディスク1590からプログラム又はデータを読み取り、RAM1520を介して入出力チップ1570に提供する。入出力チップ1570は、フレキシブルディスク1590や、例えばパラレルポート、シリアルポート、キーボードポート、マウスポート等を介して各種の入出力装置を接続する。
アクセス要求装置100に提供されるプログラムは、フレキシブルディスク1590、CD−ROM1595、又はICカード等の記録媒体に格納されて利用者によって提供される。プログラムは、入出力チップ1570及び/又は入出力コントローラ1584を介して、記録媒体から読み出されアクセス要求装置100にインストールされて実行される。
アクセス要求装置100にインストールされて実行されるプログラムは、出力要求取得モジュールと、影響度算出モジュールと、判定対象決定モジュールと、情報送信モジュールと、出力モジュールとを含む。また、当該プログラムは、ハードディスクドライブ1540に、DBスキーマ415、影響度算出ルール425、カラム分類データ445、及び影響度閾値データ455を格納して用いてもよい。更に、アクセス要求装置100が取得したプログラムは、ネットワークを介してアクセス認可装置120に送信され、アクセス認可装置120にインストールされて実行されてもよい。
当該プログラムは、単項出力認可モジュールと、複数項出力認可モジュールとを含む。また、当該プログラムは、ハードディスクドライブ1540に、単項プライバシー・ポリシー1210及び複数項プライバシー・ポリシー1230を格納して用いてもよい。各モジュールがアクセス要求装置100又はアクセス認可装置120に働きかけて行わせる動作は、図1から図14において説明したアクセス要求装置100又はアクセス認可装置120における、対応する部材の動作と同一であるから、説明を省略する。
以上に示したプログラム又はモジュールは、外部の記憶媒体に格納されてもよい。記憶媒体としては、フレキシブルディスク1590、CD−ROM1595の他に、DVDやPD等の光学記録媒体、MD等の光磁気記録媒体、テープ媒体、ICカード等の半導体メモリ等を用いることができる。また、専用通信ネットワークやインターネットに接続されたサーバシステムに設けたハードディスク又はRAM等の記憶装置を記録媒体として使用し、ネットワークを介してプログラムをアクセス要求装置100に提供してもよい。
以上、本実施例に示すアクセス制御システム10は、データベースの各カラムに対するアクセスの可否を判断するのみならず、複数のカラムを組み合わせて生成した情報の出力の可否を判断することができる。これにより、データ提供者のプライバシーを保護すると共に、データ提供者のプライバシーを保護するあまり各カラムに対するアクセスを禁止し過ぎることを避けることができる。即ち、データ利用者の利便性をできるだけ損なうことなく、データ提供者のプライバシーを保護することができる。
以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に、多様な変更または改良を加えることが可能であることが当業者に明らかである。その様な変更または改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。
以上に示す実施例によれば、以下の各項目に示すアクセス制御システム、アクセス制御装置、アクセス制御方法、プログラム、及び記録媒体が実現される。
(項目1) データ提供者の公開情報と秘密情報とを対応付けて格納するデータベースへのアクセスを制御するアクセス制御システムであって、前記データベースをアクセスして生成した情報の出力を要求する出力要求を取得する出力要求取得部と、前記出力要求により出力を要求された出力情報のうち、前記公開情報及び前記秘密情報を組み合わせて生成した情報の出力を禁止し、前記秘密情報を用いて、かつ、前記公開情報を用いずに生成した情報の出力を許可する複数項出力認可部と、前記出力情報のうち前記複数項出力認可部により出力を許可された情報を出力する出力部とを備えるアクセス制御システム。
(項目2) 前記データベースは、前記公開情報として、前記データ提供者を識別する提供者識別情報を格納し、当該公開情報に対応付けられた前記秘密情報として、当該公開情報に対応付けて出力した場合に当該データ提供者のプライバシーを侵害するプライバシー情報を格納し、前記複数項出力認可部は、前記プライバシー情報及び前記提供者識別情報を組み合わせて生成した情報の出力を禁止し、前記プライバシー情報を用いて、かつ、前記提供者識別情報を用いずに生成した情報の出力を許可する項目1記載のアクセス制御システム。
(項目1) データ提供者の公開情報と秘密情報とを対応付けて格納するデータベースへのアクセスを制御するアクセス制御システムであって、前記データベースをアクセスして生成した情報の出力を要求する出力要求を取得する出力要求取得部と、前記出力要求により出力を要求された出力情報のうち、前記公開情報及び前記秘密情報を組み合わせて生成した情報の出力を禁止し、前記秘密情報を用いて、かつ、前記公開情報を用いずに生成した情報の出力を許可する複数項出力認可部と、前記出力情報のうち前記複数項出力認可部により出力を許可された情報を出力する出力部とを備えるアクセス制御システム。
(項目2) 前記データベースは、前記公開情報として、前記データ提供者を識別する提供者識別情報を格納し、当該公開情報に対応付けられた前記秘密情報として、当該公開情報に対応付けて出力した場合に当該データ提供者のプライバシーを侵害するプライバシー情報を格納し、前記複数項出力認可部は、前記プライバシー情報及び前記提供者識別情報を組み合わせて生成した情報の出力を禁止し、前記プライバシー情報を用いて、かつ、前記提供者識別情報を用いずに生成した情報の出力を許可する項目1記載のアクセス制御システム。
(項目3) 前記データベースは、複数の前記データ提供者の各々について、当該データ提供者の公開情報と秘密情報とを対応付けて格納し、前記複数項出力認可部は、複数の前記公開情報を、前記複数の公開情報の各々に対応する秘密情報に基づいて並び替えることにより生成した情報の出力を禁止する項目1記載のアクセス制御システム。
(項目4) 前記出力部は、前記公開情報を前記秘密情報に基づいて並び替えることにより生成した情報の出力が禁止された場合に、前記公開情報を前記秘密情報に基づいて並び替えた順序とは異なる順序に並び替えて出力する項目3記載のアクセス制御システム。
(項目5) 前記出力部は、前記公開情報を前記秘密情報に基づいて並び替えることにより生成した情報の出力が禁止された場合に、前記公開情報をランダムに並び替えて出力する項目4記載のアクセス制御システム。
(項目6) 前記出力要求取得部が、前記出力要求として、予め定められた条件を満たす秘密情報に対応する公開情報を出力する要求を取得した場合に、前記複数項出力認可部は、当該出力要求に応じた情報の出力を禁止する項目1記載のアクセス制御システム。
(項目4) 前記出力部は、前記公開情報を前記秘密情報に基づいて並び替えることにより生成した情報の出力が禁止された場合に、前記公開情報を前記秘密情報に基づいて並び替えた順序とは異なる順序に並び替えて出力する項目3記載のアクセス制御システム。
(項目5) 前記出力部は、前記公開情報を前記秘密情報に基づいて並び替えることにより生成した情報の出力が禁止された場合に、前記公開情報をランダムに並び替えて出力する項目4記載のアクセス制御システム。
(項目6) 前記出力要求取得部が、前記出力要求として、予め定められた条件を満たす秘密情報に対応する公開情報を出力する要求を取得した場合に、前記複数項出力認可部は、当該出力要求に応じた情報の出力を禁止する項目1記載のアクセス制御システム。
(項目7) 前記データベースは、前記公開情報に対応付けて複数の前記秘密情報を格納しており、前記複数項出力認可部は、更に、同一の公開情報に対応付けられた複数の前記秘密情報を組み合わせて生成した情報の出力を禁止する項目1記載のアクセス制御システム。
(項目8) 前記複数項出力認可部は、同一の公開情報に対応付けられた予め定められた数以上の前記秘密情報を組み合わせて生成した情報の出力を禁止し、前記予め定められた数未満の前記秘密情報を組み合わせて生成した情報の出力を許可する項目7記載のアクセス制御システム。
(項目9) 前記出力情報の生成に対して、前記秘密情報が与える影響を示す影響度と、前記公開情報が与える影響を示す影響度とを算出する影響度算出部を更に備え、前記複数項出力認可部は、前記秘密情報の前記影響度と、前記公開情報の前記影響度との双方が所定の基準より高い場合に、前記出力情報の出力を禁止する項目1記載のアクセス制御システム。
(項目8) 前記複数項出力認可部は、同一の公開情報に対応付けられた予め定められた数以上の前記秘密情報を組み合わせて生成した情報の出力を禁止し、前記予め定められた数未満の前記秘密情報を組み合わせて生成した情報の出力を許可する項目7記載のアクセス制御システム。
(項目9) 前記出力情報の生成に対して、前記秘密情報が与える影響を示す影響度と、前記公開情報が与える影響を示す影響度とを算出する影響度算出部を更に備え、前記複数項出力認可部は、前記秘密情報の前記影響度と、前記公開情報の前記影響度との双方が所定の基準より高い場合に、前記出力情報の出力を禁止する項目1記載のアクセス制御システム。
(項目10) 前記影響度算出部は、前記出力情報が前記秘密情報又は前記公開情報を含む場合に、前記出力情報を前記データベースから選択する条件判断に前記秘密情報又は前記公開情報を用いる場合及び前記出力情報の出力順序を並び替える条件に前記秘密情報又は前記公開情報を用いる場合と比較して高い前記影響度を算出する項目9記載のアクセス制御システム。
(項目11) 前記影響度算出部は、前記公開情報又は前記秘密情報の一部分を前記出力情報として出力する場合において、前記公開情報又は前記秘密情報の情報量に対する、前記出力情報として出力される前記一部分の情報量の割合がより高い場合に、当該割合がより低い場合と比較してより高い値を、当該公開情報又は当該秘密情報の前記影響度として算出する項目9記載のアクセス制御システム。
(項目12) 前記データベースは、前記公開情報に複数の前記秘密情報を対応付けて格納しており、前記影響度算出部は、前記複数の秘密情報の各々について前記影響度を算出し、前記複数項出力認可部は、同一の公開情報に対応する複数の秘密情報の各々における前記影響度の平均値が、前記所定の基準より高い場合に、前記出力情報の出力を禁止する項目9記載のアクセス制御システム。
(項目13) 予め定められた情報の出力を禁止する単項出力認可部を更に備え、前記複数項出力認可部は、前記単項出力認可部により出力が禁止された情報を条件判断に用いる前記出力情報の出力を禁止する項目1記載のアクセス制御システム。
(項目14) 予め定められた情報の出力を禁止する単項出力認可部を更に備え、前記複数項出力認可部は、前記出力情報を生成する関数の入力の何れかが、前記単項出力認可部により出力が禁止された情報である場合に、前記出力情報の出力を禁止する項目1記載のアクセス制御システム。
(項目11) 前記影響度算出部は、前記公開情報又は前記秘密情報の一部分を前記出力情報として出力する場合において、前記公開情報又は前記秘密情報の情報量に対する、前記出力情報として出力される前記一部分の情報量の割合がより高い場合に、当該割合がより低い場合と比較してより高い値を、当該公開情報又は当該秘密情報の前記影響度として算出する項目9記載のアクセス制御システム。
(項目12) 前記データベースは、前記公開情報に複数の前記秘密情報を対応付けて格納しており、前記影響度算出部は、前記複数の秘密情報の各々について前記影響度を算出し、前記複数項出力認可部は、同一の公開情報に対応する複数の秘密情報の各々における前記影響度の平均値が、前記所定の基準より高い場合に、前記出力情報の出力を禁止する項目9記載のアクセス制御システム。
(項目13) 予め定められた情報の出力を禁止する単項出力認可部を更に備え、前記複数項出力認可部は、前記単項出力認可部により出力が禁止された情報を条件判断に用いる前記出力情報の出力を禁止する項目1記載のアクセス制御システム。
(項目14) 予め定められた情報の出力を禁止する単項出力認可部を更に備え、前記複数項出力認可部は、前記出力情報を生成する関数の入力の何れかが、前記単項出力認可部により出力が禁止された情報である場合に、前記出力情報の出力を禁止する項目1記載のアクセス制御システム。
(項目15) データベースへのアクセスを制御するアクセス制御装置であって、前記データベースをアクセスして生成した情報の出力を要求する出力要求を取得する出力要求取得部と、前記出力要求により出力が要求される出力情報の生成に対して、前記出力情報の生成に用いられる各々の情報が与える影響を示す影響度を算出する影響度算出部と、前記影響度算出部により算出された前記影響度が所定の基準以上の情報の組を、当該情報の組へのアクセスを許可するアクセス認可装置に送信する情報送信部と、前記情報送信部が送信した前記情報の組へのアクセスが前記アクセス認可装置により許可された場合に、前記出力情報を生成して出力する出力部とを備えるアクセス制御装置。
(項目16) データ提供者の公開情報と秘密情報とを対応付けて格納するデータベースへのアクセスを制御するアクセス制御方法であって、前記データベースをアクセスして生成した情報の出力を要求する出力要求を取得する出力要求取得段階と、前記出力要求により出力を要求された出力情報のうち、前記公開情報及び前記秘密情報を組み合わせて生成した情報の出力を禁止し、前記秘密情報を用いて、かつ、前記公開情報を用いずに生成した情報の出力を許可する複数項出力認可段階と、前記出力情報のうち前記複数項出力認可段階において出力を許可された情報を出力する出力段階とを備えるアクセス制御方法。
(項目17) データベースへのアクセスを制御するアクセス制御方法であって、前記データベースをアクセスして生成した情報の出力を要求する出力要求を取得する出力要求取得段階と、前記出力要求により出力が要求される出力情報の生成に対して、前記出力情報の生成に用いられる各々の情報が与える影響を示す影響度を算出する影響度算出段階と、前記影響度算出段階において算出された前記影響度が所定の基準以上の情報の組を、当該情報の組へのアクセスを許可するアクセス認可装置に送信する情報送信段階と、前記情報送信段階において送信された前記情報の組へのアクセスが前記アクセス認可装置により許可された場合に、前記出力情報を生成して出力する出力段階とを備えるアクセス制御方法。
(項目16) データ提供者の公開情報と秘密情報とを対応付けて格納するデータベースへのアクセスを制御するアクセス制御方法であって、前記データベースをアクセスして生成した情報の出力を要求する出力要求を取得する出力要求取得段階と、前記出力要求により出力を要求された出力情報のうち、前記公開情報及び前記秘密情報を組み合わせて生成した情報の出力を禁止し、前記秘密情報を用いて、かつ、前記公開情報を用いずに生成した情報の出力を許可する複数項出力認可段階と、前記出力情報のうち前記複数項出力認可段階において出力を許可された情報を出力する出力段階とを備えるアクセス制御方法。
(項目17) データベースへのアクセスを制御するアクセス制御方法であって、前記データベースをアクセスして生成した情報の出力を要求する出力要求を取得する出力要求取得段階と、前記出力要求により出力が要求される出力情報の生成に対して、前記出力情報の生成に用いられる各々の情報が与える影響を示す影響度を算出する影響度算出段階と、前記影響度算出段階において算出された前記影響度が所定の基準以上の情報の組を、当該情報の組へのアクセスを許可するアクセス認可装置に送信する情報送信段階と、前記情報送信段階において送信された前記情報の組へのアクセスが前記アクセス認可装置により許可された場合に、前記出力情報を生成して出力する出力段階とを備えるアクセス制御方法。
(項目18) データ提供者の公開情報と秘密情報とを対応付けて格納するデータベースへのアクセスをコンピュータにより制御させるプログラムであって、前記コンピュータを、前記データベースをアクセスして生成した情報の出力を要求する出力要求を取得する出力要求取得部と、前記出力要求により出力を要求された出力情報のうち、前記公開情報及び前記秘密情報を組み合わせて生成した情報の出力を禁止し、前記秘密情報を用いて、かつ、前記秘密情報を用いずに生成した情報の出力を許可する複数項出力認可部と、前記出力情報のうち前記複数項出力認可部により出力を許可された情報を出力する出力部として機能させるプログラム。
(項目19) データベースへのアクセスをコンピュータにより制御するプログラムであって、前記コンピュータを、前記データベースをアクセスして生成した情報の出力を要求する出力要求を取得する出力要求取得部と、前記出力要求により出力が要求される出力情報の生成に対して、前記出力情報の生成に用いられる各々の情報が与える影響を示す影響度を算出する影響度算出部と、前記影響度算出部により算出された前記影響度が所定の基準以上の情報の組を、当該情報の組へのアクセスを許可するアクセス認可装置に送信する情報送信部と、前記情報送信部が送信した前記情報の組へのアクセスが前記アクセス認可装置により許可された場合に、前記出力情報を生成して出力する出力部として機能させるプログラム。
(項目20) 項目18又は項目19に記載のプログラムを記録した記録媒体。
(項目19) データベースへのアクセスをコンピュータにより制御するプログラムであって、前記コンピュータを、前記データベースをアクセスして生成した情報の出力を要求する出力要求を取得する出力要求取得部と、前記出力要求により出力が要求される出力情報の生成に対して、前記出力情報の生成に用いられる各々の情報が与える影響を示す影響度を算出する影響度算出部と、前記影響度算出部により算出された前記影響度が所定の基準以上の情報の組を、当該情報の組へのアクセスを許可するアクセス認可装置に送信する情報送信部と、前記情報送信部が送信した前記情報の組へのアクセスが前記アクセス認可装置により許可された場合に、前記出力情報を生成して出力する出力部として機能させるプログラム。
(項目20) 項目18又は項目19に記載のプログラムを記録した記録媒体。
10 アクセス制御システム
20 データベース
30 出力要求
40 アクセス制御装置
50 アプリケーションプログラム
100 アクセス要求装置
120 アクセス認可装置
200 データベース
400 検索要求解析ロジック
410 出力要求取得部
415 DBスキーマ
420 影響度算出部
425 影響度算出ルール
430 判定対象決定ロジック
440 判定対象決定部
445 カラム分類データ
450 リスト実施ロジック
455 影響度閾値データ
460 情報送信部
470 出力部
1200 単項出力認可部
1210 単項プライバシー・ポリシー
1220 複数項出力認可部
1230 複数項プライバシー・ポリシー
20 データベース
30 出力要求
40 アクセス制御装置
50 アプリケーションプログラム
100 アクセス要求装置
120 アクセス認可装置
200 データベース
400 検索要求解析ロジック
410 出力要求取得部
415 DBスキーマ
420 影響度算出部
425 影響度算出ルール
430 判定対象決定ロジック
440 判定対象決定部
445 カラム分類データ
450 リスト実施ロジック
455 影響度閾値データ
460 情報送信部
470 出力部
1200 単項出力認可部
1210 単項プライバシー・ポリシー
1220 複数項出力認可部
1230 複数項プライバシー・ポリシー
Claims (16)
- データ提供者を識別する識別情報と、前記識別情報に対応付けて出力された場合に前記データ提供者のプライバシーを侵害するプライバシー情報とを、情報の種類毎に各カラムに格納するデータベースへのアクセスを制御するアクセス制御システムであって、
前記データベースが格納した情報を検索する条件を含み、当該条件に応じた出力情報の出力を要求する出力要求を取得する出力要求取得部と、
前記出力要求により要求された前記出力情報、前記出力要求における検索条件、または、前記出力情報における情報の出力順序を並べ替える条件に、それぞれの前記カラムに格納された情報が含まれるか否かを前記出力要求に基づいて解析し、解析結果から、それぞれの前記カラムの情報が前記出力情報に対して与える影響度を前記カラム毎に算出する影響度算出部と、
前記識別情報を格納する前記カラムの影響度と、前記プライバシー情報を格納する前記カラムの影響度との双方が所定の基準より高い場合に、前記出力情報の出力を禁止する複数項出力認可部と、
前記出力情報のうち前記複数項出力認可部により出力を許可された情報を出力する出力部と
を備えるアクセス制御システム。 - 前記データベースは、複数の前記データ提供者の各々について、当該データ提供者の識別情報とプライバシー情報とを対応付けて格納し、
前記複数項出力認可部は、複数の前記識別情報を、前記複数の識別情報の各々に対応するプライバシー情報に基づいて並び替えることにより生成した情報の出力を禁止する
請求項1記載のアクセス制御システム。 - 前記出力部は、前記識別情報を前記プライバシー情報に基づいて並び替えることにより生成した情報の出力が禁止された場合に、前記識別情報を前記プライバシー情報に基づいて並び替えた順序とは異なる順序に並び替えて出力する
請求項2記載のアクセス制御システム。 - 前記出力部は、前記識別情報を前記プライバシー情報に基づいて並び替えることにより生成した情報の出力が禁止された場合に、前記識別情報をランダムに並び替えて出力する
請求項3記載のアクセス制御システム。 - 前記出力要求取得部が、前記出力要求として、予め定められた条件を満たすプライバシー情報に対応する識別情報を出力する要求を取得した場合に、前記複数項出力認可部は、当該出力要求に応じた情報の出力を禁止する
請求項1記載のアクセス制御システム。 - 前記データベースは、前記識別情報に対応付けて複数の前記プライバシー情報を格納しており、
前記複数項出力認可部は、更に、同一の識別情報に対応付けられた複数の前記プライバシー情報を組み合わせて生成した情報の出力を禁止する
請求項1記載のアクセス制御システム。 - 前記複数項出力認可部は、同一の識別情報に対応付けられた予め定められた数以上の前記プライバシー情報を組み合わせて生成した情報の出力を禁止し、前記予め定められた数未満の前記プライバシー情報を組み合わせて生成した情報の出力を許可する
請求項6記載のアクセス制御システム。 - 前記データベースは、前記識別情報および前記プライバシー情報以外の情報を更に格納し、
前記影響度算出部は、前記出力要求により要求された前記出力情報が前記プライバシー情報又は前記識別情報を含む場合に、当該プライバシー情報又は当該識別情報を格納する前記カラムに対して算出する前記影響度として、
前記出力情報を前記データベースから選択する条件判断に前記プライバシー情報又は前記識別情報を用いる場合に、当該プライバシー情報又は当該識別情報を格納する前記カラムに対して算出する影響度と比較して高い前記影響度を算出する
請求項1記載のアクセス制御システム。 - 前記データベースは、前記識別情報および前記プライバシー情報以外の情報を更に格納し、
前記影響度算出部は、前記出力要求により要求された前記出力情報が前記プライバシー情報又は前記識別情報を含む場合に、当該プライバシー情報又は当該識別情報を格納する前記カラムに対して算出する前記影響度として、
前記出力情報の出力順序を並び替える条件に前記プライバシー情報又は前記識別情報を用いる場合に、当該プライバシー情報又は当該識別情報を格納する前記カラムに対して算出する影響度と比較して高い前記影響度を算出する
請求項1記載のアクセス制御システム。 - 前記影響度算出部は、前記識別情報又は前記プライバシー情報の一部の文字を前記出力情報として出力する場合において、前記識別情報又は前記プライバシー情報の文字数の平均値に対する、前記出力情報として出力される前記一部の文字の文字数の割合に基づいて前記影響度を算出する
請求項1記載のアクセス制御システム。 - 前記データベースは、前記識別情報に複数の前記プライバシー情報を対応付けて格納しており、
前記影響度算出部は、前記複数のプライバシー情報の各々について前記影響度を算出し、
前記複数項出力認可部は、同一の識別情報に対応する複数のプライバシー情報の各々における前記影響度の平均値が、前記所定の基準より高い場合に、前記出力情報の出力を禁止する
請求項1記載のアクセス制御システム。 - 予め定められた情報の出力を禁止する単項出力認可部を更に備え、
前記複数項出力認可部は、前記単項出力認可部により出力が禁止された情報を条件判断に用いる前記出力情報の出力を禁止する
請求項1記載のアクセス制御システム。 - 予め定められた情報の出力を禁止する単項出力認可部を更に備え、
前記複数項出力認可部は、前記出力情報を生成する関数の入力の何れかが、前記単項出力認可部により出力が禁止された情報である場合に、前記出力情報の出力を禁止する
請求項1記載のアクセス制御システム。 - データ提供者を識別する識別情報と、前記識別情報に対応付けて出力された場合に前記データ提供者のプライバシーを侵害するプライバシー情報とを、情報の種類毎に各カラムに格納するデータベースへのアクセスを制御するアクセス制御方法であって、
前記データベースが格納した情報を検索する条件を含み、当該条件に応じた出力情報の出力を要求する出力要求を取得する出力要求取得段階と、
前記出力要求により要求された前記出力情報、前記出力要求における検索条件、または、前記出力情報における情報の出力順序を並べ替える条件に、それぞれの前記カラムに格納された情報が含まれるか否かを前記出力要求に基づいて解析し、解析結果から、それぞれの前記カラムの情報が前記出力情報に対して与える影響度を前記カラム毎に算出する影響度算出段階と、
前記識別情報を格納する前記カラムの影響度と、前記プライバシー情報を格納する前記カラムの影響度との双方が所定の基準より高い場合に、前記出力情報の出力を禁止する複数項出力認可段階と、
前記出力情報のうち前記複数項出力認可段階により出力を許可された情報を出力する出力段階と
を備えるアクセス制御方法。 - データ提供者を識別する識別情報と、前記識別情報に対応付けて出力された場合に前記データ提供者のプライバシーを侵害するプライバシー情報とを、情報の種類毎に各カラムに格納するデータベースへのアクセスをコンピュータにより制御させるプログラムであって、
前記コンピュータを、
前記データベースが格納した情報を検索する条件を含み、当該条件に応じた出力情報の出力を要求する出力要求を取得する出力要求取得部と、
前記出力要求により要求された前記出力情報、前記出力要求における検索条件、または、前記出力情報における情報の出力順序を並べ替える条件に、それぞれの前記カラムに格納された情報が含まれるか否かを前記出力要求に基づいて解析し、解析結果から、それぞれの前記カラムの情報が前記出力情報に対して与える影響度を前記カラム毎に算出する影響度算出部と、
前記識別情報を格納する前記カラムの影響度と、前記プライバシー情報を格納する前記カラムの影響度との双方が所定の基準より高い場合に、前記出力情報の出力を禁止する複数項出力認可部と、
前記出力情報のうち前記複数項出力認可部により出力を許可された情報を出力する出力部と
して機能させるプログラム。 - 請求項15に記載のプログラムを記録した記録媒体。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003426485A JP4093482B2 (ja) | 2003-12-24 | 2003-12-24 | アクセス制御システム、アクセス制御装置、アクセス制御方法、プログラム、及び記録媒体 |
| US11/000,790 US7478244B2 (en) | 2003-12-24 | 2004-12-01 | Access control method |
| US12/336,313 US8433917B2 (en) | 2003-12-24 | 2008-12-16 | Access control system, access control device, program and recording medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003426485A JP4093482B2 (ja) | 2003-12-24 | 2003-12-24 | アクセス制御システム、アクセス制御装置、アクセス制御方法、プログラム、及び記録媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005182707A JP2005182707A (ja) | 2005-07-07 |
| JP4093482B2 true JP4093482B2 (ja) | 2008-06-04 |
Family
ID=34697447
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003426485A Expired - Fee Related JP4093482B2 (ja) | 2003-12-24 | 2003-12-24 | アクセス制御システム、アクセス制御装置、アクセス制御方法、プログラム、及び記録媒体 |
Country Status (2)
| Country | Link |
|---|---|
| US (2) | US7478244B2 (ja) |
| JP (1) | JP4093482B2 (ja) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4579718B2 (ja) * | 2005-03-01 | 2010-11-10 | 株式会社エヌ・ティ・ティ・ドコモ | 情報送信システム、及び情報送信方法 |
| CN101416198B (zh) * | 2006-04-04 | 2010-09-01 | 松下电器产业株式会社 | 个人信息管理装置 |
| JP2008084117A (ja) * | 2006-09-28 | 2008-04-10 | Fujitsu Ltd | リクエスト送信制御プログラム,装置,および方法 |
| JP4980840B2 (ja) * | 2007-10-11 | 2012-07-18 | 株式会社リコー | 情報処理装置及び情報処理方法 |
| JP5008633B2 (ja) * | 2008-10-15 | 2012-08-22 | 日本電信電話株式会社 | プライバシー侵害監視装置、プライバシー侵害監視方法及びプログラム |
| JP2012182737A (ja) * | 2011-03-02 | 2012-09-20 | Nec Corp | 秘密資料流出防止システム、判定装置、秘密資料流出防止方法およびプログラム |
| KR102232039B1 (ko) * | 2012-07-23 | 2021-03-26 | 제이에이치 로드스 컴퍼니, 인크 | 비평면 유리 연마 패드 및 상기 연마 패드 제작 방법 |
| US9571416B2 (en) * | 2012-11-08 | 2017-02-14 | Ingersoll Rand Company | Server and computer interaction via local shared objects |
| US9436821B2 (en) * | 2014-09-10 | 2016-09-06 | Symantec Corporation | Systems and methods for detecting attempts to transmit sensitive information via data-distribution channels |
| JP6529304B2 (ja) * | 2015-03-25 | 2019-06-12 | 株式会社日立ソリューションズ | アクセス制御システム及びアクセス制御方法 |
| JP6984273B2 (ja) * | 2017-09-21 | 2021-12-17 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置、画像形成装置およびプログラム |
| US10831917B2 (en) | 2018-10-29 | 2020-11-10 | At&T Intellectual Property I, L.P. | Database system consensus-based access control |
| JP7131314B2 (ja) * | 2018-11-09 | 2022-09-06 | 富士通株式会社 | 情報管理プログラム、情報管理方法、情報管理装置、情報処理プログラム、情報処理方法及び情報処理装置 |
| CN110188089B (zh) * | 2019-05-31 | 2021-07-27 | 杭州安恒信息技术股份有限公司 | 一种数据库运维管控方法及装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2717502B2 (ja) | 1994-03-15 | 1998-02-18 | 株式会社エイ・ティ・アール通信システム研究所 | 属性結合の機密保護装置 |
| JP3546787B2 (ja) * | 1999-12-16 | 2004-07-28 | インターナショナル・ビジネス・マシーンズ・コーポレーション | アクセス制御システム、アクセス制御方法、及び記憶媒体 |
| US20020111845A1 (en) * | 2000-09-15 | 2002-08-15 | Chong Leighton K. | Online meeting planning system with 3-node configuration |
| JP2002269092A (ja) | 2001-03-07 | 2002-09-20 | Hitachi Ltd | 会員情報管理システム |
| US20020169965A1 (en) * | 2001-05-08 | 2002-11-14 | Hale Douglas Lavell | Clearance-based method for dynamically configuring encryption strength |
| JP2003108440A (ja) | 2001-09-28 | 2003-04-11 | Toshiba Corp | データ公開方法、データ公開プログラム、データ公開装置 |
| JP2006043409A (ja) | 2004-07-01 | 2006-02-16 | Hivix Co Ltd | 腰椎ストレッチ装置 |
-
2003
- 2003-12-24 JP JP2003426485A patent/JP4093482B2/ja not_active Expired - Fee Related
-
2004
- 2004-12-01 US US11/000,790 patent/US7478244B2/en not_active Expired - Fee Related
-
2008
- 2008-12-16 US US12/336,313 patent/US8433917B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005182707A (ja) | 2005-07-07 |
| US8433917B2 (en) | 2013-04-30 |
| US20050144460A1 (en) | 2005-06-30 |
| US20090106250A1 (en) | 2009-04-23 |
| US7478244B2 (en) | 2009-01-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8433917B2 (en) | Access control system, access control device, program and recording medium | |
| US7650604B2 (en) | Access management apparatus, access management method and program | |
| KR100737300B1 (ko) | 액세스 제어를 위반하는 질의의 실행을 우선적으로불허하는 사용자 데이터 지적 사용 방법 | |
| US10454932B2 (en) | Search engine with privacy protection | |
| KR101120814B1 (ko) | 로우 레벨 데이터베이스 보안을 최적화하는 시스템 및 방법 | |
| US6766314B2 (en) | Method for attachment and recognition of external authorization policy on file system resources | |
| US6928554B2 (en) | Method of query return data analysis for early warning indicators of possible security exposures | |
| US10404757B1 (en) | Privacy enforcement in the storage and access of data in computer systems | |
| US20120005722A1 (en) | Application Context Based Access Control | |
| KR19980071452A (ko) | 정보 등록 방법 및 문서 정보 처리 장치 | |
| CN101847155A (zh) | 包括访问受保护的xml数据的xml数据库的管理系统 | |
| US20090259622A1 (en) | Classification of Data Based on Previously Classified Data | |
| US11755564B2 (en) | Compute-efficient effective tag determination for data assets | |
| US20060215298A1 (en) | Information presentation apparatus, and information presentation method and program for use therein | |
| US8132227B2 (en) | Data management in a computer system | |
| JP5320637B2 (ja) | データ検索システム、システム、プログラム、およびデータ検索方法 | |
| US20230153455A1 (en) | Query-based database redaction | |
| US20070033008A1 (en) | Apparatus, method and program for evaluating validity of dictionary | |
| JP2005284883A (ja) | 判定装置、プログラム、記録媒体、及び判定方法 | |
| JP5156935B2 (ja) | データ検索システム、システム、プログラム、およびデータ検索方法 | |
| KR101096285B1 (ko) | 연관 검색 쿼리 추출 방법 및 시스템 | |
| JP2013025495A (ja) | 動的アイコンオーバーレイシステムおよび動的オーバーレイを作成する方法 | |
| WO2021255841A1 (ja) | 情報検索装置、情報検索方法、及びコンピュータ読み取り可能な記録媒体 | |
| KR100525618B1 (ko) | 연관 검색 쿼리 추출 방법 및 시스템 | |
| KR100525617B1 (ko) | 연관 검색 쿼리 추출 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20071107 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20071210 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071211 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080131 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20080213 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080226 |
|
| RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20080228 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080229 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110314 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110314 Year of fee payment: 3 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110314 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120314 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130314 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140314 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |