JP4265557B2 - 個人情報流通管理システム及び方法並びにプログラム - Google Patents

個人情報流通管理システム及び方法並びにプログラム Download PDF

Info

Publication number
JP4265557B2
JP4265557B2 JP2005096221A JP2005096221A JP4265557B2 JP 4265557 B2 JP4265557 B2 JP 4265557B2 JP 2005096221 A JP2005096221 A JP 2005096221A JP 2005096221 A JP2005096221 A JP 2005096221A JP 4265557 B2 JP4265557 B2 JP 4265557B2
Authority
JP
Japan
Prior art keywords
information
personal information
site
distribution
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005096221A
Other languages
English (en)
Other versions
JP2006277401A (ja
Inventor
繁明 松元
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2005096221A priority Critical patent/JP4265557B2/ja
Publication of JP2006277401A publication Critical patent/JP2006277401A/ja
Application granted granted Critical
Publication of JP4265557B2 publication Critical patent/JP4265557B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、個人情報流通管理システムにかかり、特に、ウェブサイト間における個人情報の流通を管理するシステムに関する。
従来より、XML(Extensible Markup Language)などの言語を用いて、単一の情報を提供する機能を持った基本サービス(天気予報サービスや、株価情報サービス等)が様々な企業から提供されている。また、別の企業がそれらを組み合わせてさらに高度なサービス(天候の業績が左右される企業の株価予測サービス等)を提供することも行われている。これはインターネット上の公開レポジトリ(データベース)に、サービスのインタフェースをインタフェース定義言語(Web Service Description Language)で定義した「サービス定義書」を格納しておき、利用者が利用したいサービスをレポジトリから取り出して、サービス要求を行うことで実現できる。このとき、同一のサービスは同一のインタフェースで定義されており、複数の企業が同じサービスを提供することもある。また、高度な機能を持った複合サービスを実現するためには、どの順番でどの企業の基本サービスを利用するのか定義しておく必要があり、これも従来の技術によって可能となっている。これはサービスを呼び出す手順を定義した「データ受け渡し手順定義書」を、それを解釈し実行する制御エンジンに与えることで実行できる。
これらの3つの従来技術、すなわち「サービス定義書」と「データ受け渡し手順定義書」とそれらを解釈して実行する「制御エンジン」によって、同一のサービスを提供している企業の中から、自分の利用したい企業を選択することや、同一のサービスを提供している別の企業に乗り換えることが可能である。特に、複合サービスを利用する側(一般ユーザ等)は、その複合サービスを構成する基本サービスの提供企業を知らなくても、またその提供企業が変わっても、なんら影響を受けずに継続して安定した複合サービスを享受することができる。
そして、個人情報保護の観点から、複合サービスを検討すると3つの特徴がある。1つは、一般ユーザはブラウザでアクセスしている企業を信頼して、複合サービスを受けているということである。また、2つ目は複合サービスを提供している企業が、どの基本サービスを利用しているか、また基本サービスを提供している企業はどのような企業か、ユーザは何も知らないということである。最後に3つ目は、基本サービスを提供している企業はどのような個人情報を収集しているのか、ユーザは何も知らないということである。従来の個人情報の保護システムでは、ユーザが設定したプライバシーポリシーと、各サイトが設定している企業側ポリシーを演算し、ポリシーの不一致が起こった場合に、ブラウザがその旨を表示することが行われていた。
特開2001−331733号公報 特開2002−32690号公報 特開2004−135004号公報 特開2004−310458号公報
しかしながら、この手法では、ブラウザによってアクセスしたサイトだけがポリシー確認対象となっており、そのサイトが第三者のサイトを利用していた場合にユーザはその第三者へのポリシー確認ができないという不具合があった。また、ブラウザによるSSL通信ではアクセスしたサイトへの通信について保護されるが、第三者へのサイトへの通信については保護されないという不具合があった。
また、ポリシーの演算はブラウザによってサイトにアクセスした段階で行われるため、ユーザの確認ミスによって誤ってサービスを利用し、個人情報が流出してしまうことがあった。
ここで、従来の個人データ保護流通方式の一例が、特許文献1に記載されている。この従来の個人データ保護流通方式は、DRM認証技術を利用して、サービス提供会社が必要とする情報のアクセスを制御している。この方式では、ユーザ自身が提供する個人情報の利用ライセンスを作成する必要があるが、利用目的の増減に応じてライセンスを作り直さなければいけなくなるという問題があった。また、特許文献2に記載されている方式では、必要な情報が必要な企業だけに送信されることを特徴としているが、取引企業は固定的であるため、新規にサービスを提供する企業がこのシステムに加入することが困難である問題があった。また、特許文献3に記載されている方式では、個人情報を直接ネットワークに流さずに、決済サーバが提供する特別なコードを流通させることを特徴としているが、隠蔽したい個人情報ごとにサーバが必要となってしまうという問題があった。さらに、特許文献4に記載されている方式では、個人情報ごとに使用用途、有効期間などを設定する必要があり、個人情報が増えるたびにポリシーを設定しなければいけないという問題があった。
このため、本発明では、上記従来例の有する不都合を改善し、特に、本人が知らないうちに個人情報が流通してしまうことを抑制することができる個人情報流通管理システムを提供することをその目的とする。
そこで、本発明の一形態である個人情報流通管理システムは、ユーザ端末から個人情報の入力を受け付けて当該ユーザ端末に所定のサービスを提供するアクセスサイトと、当該アクセスサイトの動作を制御する制御手段とを備えた個人情報流通制御システムであって、前記アクセスサイトと当該アクセスサイトが利用する第三者サイトとの間におけるデータ受け渡し手順を定義したデータ受け渡し手順定義情報を記憶するデータ受け渡し手順記憶手段と、前記第三者サイトに対するデータの入出力情報を含み当該第三者サイトが提供するサービス内容が定義されたサービス定義情報を記憶するサービス定義情報記憶手段とを備えると共に、前記データ受け渡し手順定義情報にて参照される前記サービス定義情報を抽出し、前記データ受け渡し手順定義情報と前記サービス定義情報とに基づいて前記個人情報の前記アクセスサイトからの流通状態を特定する個人情報流通特定手段を備え、前記個人情報流通特定手段が、前記サービスの利用時に前記データ受け渡し手順定義情報の内容を設定することにより、前記個人情報が流通する前記第三者サイトを特定すると共に、前記アクセスサイトから前記特定された第三者サイトへの前記個人情報の流通状態を表す流通経路情報を生成することを特徴としている。
また、データ受け渡し手順定義情報は、第三者サイト間におけるデータ受け渡し手順を定義した情報でもあり、
個人情報流通特定手段は、抽出されたサービス定義情報の入出力情報に基づいて第三者サイトに対応する他のデータ受け渡し定義情報を読み出して、当該他のデータ受け渡し定義情報にて参照されるサービス定義情報に基づいて個人情報の流通状態を特定する、
ことを特徴としている。
そして、個人情報流通特定手段は、流通する個人情報の項目を特定する、ことを特徴としている。また、個人情報流通特定手段は、特定した情報、あるいは、生成した情報を、ユーザ端末にアクセスサイトを介して出力する、ことを特徴としている。
上記発明によると、ユーザの個人情報が入力されて所定のサービスを提供するアクセスサイトにて利用される第三者サイトが、データ受け渡し手順に基づいて特定される。そして、第三者サイトのサービス定義情報に基づいて、ユーザの個人情報がいかなる第三者サイトにて利用されるか、どの個人情報が利用されるか、など、個人情報の流通状態が特定され、ユーザに通知される。従って、ユーザは、個人情報の流れを把握することができ、個人情報の流出に対応することができる。
また、個人情報流通管理システムは、
ユーザ端末から個人情報の流通を制限する流通制御情報を、アクセスサイトを介して受け付ける流通制御情報受付手段と、
アクセスサイトが第三者サイトに対する個人情報の処理を、流通制御情報に基づいて行うようアクセスサイトの動作を制御するサイト制御手段と、
を備えたことを特徴としている。
このとき、流通制御情報は、利用を拒否する前記第三者サイトを選択する情報であると共に、サイト制御手段は、選択された第三者サイトに個人情報を送信しないよう制御する、ことを特徴としている。また、流通制御情報は、流通することを拒否する個人情報の項目を選択する情報であると共に、サイト制御手段は、選択された個人情報の項目を第三者サイトに送信しないよう制御する、ことを特徴としている。また、流通制御情報は、匿名にて流通させる個人情報の項目を選択する情報であると共に、サイト制御手段は、選択された個人情報の項目を匿名に変換して第三者サイトに送信するよう制御する、ことを特徴としている。さらに、流通制御情報は、暗号化して流通させる個人情報の項目を選択する情報であると共に、サイト制御手段は、選択された個人情報の項目を暗号化して送信するよう制御する、ことを特徴としている。なお、流通制御情報は、暗号化して流通させる個人情報の項目と、流通先となる第三者サイトと、を選択する情報であると共に、サイト制御手段は、選択された第三者サイトにて復号化可能なよう選択された個人情報の項目を暗号化して送信するよう制御する、こととしてもよい。
これにより、ユーザが自己の個人情報の流通状態を指定することができる。従って、個人情報がユーザが拒否する第三者サイトに流出されることが抑制されたり、個人情報の所定の項目の流出が抑制されうる。特に、暗号化することで、特定の第三者サイトにのみ個人情報を通知することができ、利便性の向上を図ることができる。
ここで、上記個人情報管理システムは、アクセスサイトを開設するコンピュータに組み込んで構成してもよく、あるいは、アクセスサイトを開設するコンピュータに接続された他のコンピュータにて構成してもよい。
また、本発明の他の形態である個人情報流通管理用プログラムは、ユーザ端末から個人情報の入力を受け付けて当該ユーザ端末に所定のサービスを提供するアクセスサイトを備えた個人情報流通制御システムにあって、前記アクセスサイトの制御を行うコンピュータに、記アクセスサイトと当該アクセスサイトが利用する第三者サイトとの間におけるデータ受け渡し手順を定義したデータ受け渡し手順定義情報を読み出す処理と、前記データ受け渡し手順定義情報にて参照される前記第三者サイトに対するデータの入出力情報を含み当該第三者サイトが提供するサービス内容が定義されたサービス定義情報を抽する処理と、前記データ受け渡し手順定義情報と前記サービス定義情報とに基づいて前記個人情報の前記アクセスサイトからの流通状態を特定する処理と前記サービスの利用時にデータ受け渡し手順定義情報の内容を設定することにより、前記個人情報が流通する前記第三者サイトを特定し、前記アクセスサイトから前記特定された第三者サイトへの前記個人情報の流通状態を表す流通経路情報を生成する処理と、を実行させることを特徴としている。
さらに、本発明の他の形態である個人情報流通管理方法は、ユーザ端末から個人情報の入力を受け付けて当該ユーザ端末に所定のサービスを提供するアクセスサイトと、前記個人情報の前記アクセスサイトからの流通状態を特定する個人情報流通特定手段とを備えた個人情報流通制御システムにあって、前記アクセスサイトの動作を制御する個人情報流通管理用方法であって、前記ユーザ端末が前記サービスの利用する時に、前記個人情報流通特定手段が、前記アクセスサイトと当該アクセスサイトが利用する第三者サイトとの間におけるデータ受け渡し手順を定義したデータ受け渡し手順定義情報の設定を行い、前記個人情報が流通する前記第三者サイトを特定し、前記アクセスサイトから前記特定された第三者サイトへの前記個人情報の流通状態を表す流通経路情報を生成し、前記設定されたデータ受け渡し手順定義情報を読み出し、前記データ受け渡し手順定義情報にて参照される前記第三者サイトに対するデータの入出力情報を含み当該第三者サイトが提供するサービス内容が定義されたサービス定義情報を抽出し、前記データ受け渡し手順定義情報と前記サービス定義情報とに基づいて前記個人情報の前記アクセスサイトからの流通状態を特定することを特徴としている。


上記構成のプログラム、方法であっても、上述した個人情報流通管理システムと同様に作用するため、上記本発明の目的を達成することができる。
本発明は、以上のように構成され機能するので、これによると、ユーザの個人情報が入力されて所定のサービスを提供するアクセスサイトにて利用される第三者サイトが、データ受け渡し手順に基づいて特定されるため、ユーザは、サイト間における個人情報の流れを把握することができ、個人情報の流出に対応することができる。
本発明は、アクセスサイトとこのアクセスサイトにて利用される第三者サイトとの間のデータ受け渡し手順と、各サイトにおけるサービス提供情報と、に基づいて、個人情報の流通情報を特定することに特徴を有する。以下、詳述する。
本発明の実施例を、図1乃至図15を参照して説明する。図1乃至図3は、本発明の構成を示すブロック図である。図4乃至15は、本発明にて用いられるデータの構造や、本発明の動作を示す説明図である。まず、本発明の構成及び動作の概要を説明する。
図1、図2を参照すると、本実施例では、ユーザ端末10と、アクセスサイト20と、サービス提供サイト31等(第三者サイト)と、制御サーバ40と、により構成されており、この制御サーバ40に、個人情報流通制御システムが構築されている。
制御サーバ40は、上記ユーザ端末10から個人情報の入力を受け付けて当該ユーザ端末10に所定のサービスを提供するアクセスサイト20の動作を制御するよう作動する。なお、後述する制御サーバ40が有する機能は、アクセスサイト20自体に組み込まれていてもよい。すなわち、個人情報流通制御システムは、単一のサーバにて構成されていることに限定されず、アクセスサイト20に組み込まれた状態で構成されていてもよい。
上記制御サーバ40は、図2に示すように、演算装置に構築される制御エンジン41と、記憶装置に形成されるサイトメニュー格納庫51、個人情報保護設定格納庫52、データ受け渡し手順定義書格納庫53(データ受け渡し手順記憶手段)、サービス定義書格納庫54(サービス定義情報記憶手)から構成されている。この制御エンジン41は、データ受け渡し手順定義書格納庫53に格納された、データ受け渡し手順定義書(データ受け渡し手順定義情報)と、サービス定義書格納庫54に格納されたサービス定義書(サービス定義情報)及びメッセージ構造定義書とから、アクセスサイト20からどのメッセージがどの企業(サービス提供サイト31等)に配送されるか特定し、保護定義書を作成する。またサービス定義書から公開鍵の存在をチェックし、存在すればその情報を保護定義書に挿入する。作成された保護定義書を、「個人情報保護設定格納庫52」に格納する。さらに、制御エンジン41が作成した保護定義書とアクセスサイト20の管理者が作成したサイトメニューから、エンジンが保護済みサイトメニューを作成し、サイトメニュー格納庫51に格納する。以上のように、制御エンジン41には、ユーザの個人情報のアクセスサイト20からの流通状態を特定する個人情報流通特定手段が構築されている。
ユーザは、ブラウザを利用してアクセスサイト20にアクセスを行う。アクセスサイト20が提供するサービスへのリンクをクリックすると、リンクと関連付けられた保護済みサイトメニュー詳細画面がブラウザに返却される。ユーザは、どの情報がどの企業に渡されるか確認した後、リクエストを送信する。アクセスサイト20がリクエストを受け付けると、制御エンジン41が、データ受け渡し手順定義書にしたがって、サイト31とサイト32とサイト33に対して、サービス呼び出しに必要なメッセージを作成し、サービス要求を行う。サイト31がサービス要求を受けると、サイト31向けに定義されたデータ受け渡し手順定義書にしたがって制御エンジン41がサイト34に対してサービス要求を行う。同様に、サイト32がサービス要求を受けるとサイト35に対してサービス要求を行う。サイト33はサービス要求を受けると、自身のサイトでの処理を行い、要求元に処理結果を返却する。制御エンジン41は、各サイトを呼び出す前にサービス定義書を確認し、各サイトが提供する公開鍵があれば、それを用いてメッセージの一部を暗号化してサービスを要求する。
次に、上記構成の詳細を、図3等を参照して説明する。制御エンジン41は、メッセージを受信して一時記憶装置に格納する手段401と、一時記憶装置間でデータをコピーする手段402と、一時記憶装置からデータを取り出しサービスを呼び出す手段403と、一記憶装置からデータを取り出し、メッセージを返信する手段404と、データ受け渡し手順定義書格納庫から指定された定義書を取得・格納する手段405と、定義書にしたがって実行を行う手順実行部400と、サービス定義書格納レポジトリから指定されたサービス定義書を取得する手段406と、個人情報流通範囲を特定する手段407と、サイトメニュー格納庫からHTML形式のメニューを取得・格納する手段408と、個人情報保護設定格納庫から保護定義書を取得する手段409と、それにしたがってメニューを変更する手段410と、サービス定義書格納レポジトリから公開鍵を取得して指定した情報を暗号化する手段411から構成される。
次に、上述した各定義書について説明する。図4は、データ受け渡し定義書の一例を示すものであり、このデータ受け渡し手順定義書は、アクセスサイト20とサイト31,32,33が連携するため、つまり、これら各サイト間(アクセスサイト20とサイト31等間、及び、各サイト31等間)のデータ受け渡し手順を定義した手順定義書1で定義される。手順定義書1では、3つの引数を伴いメッセージを受信すると、その次にサイト31に対してメッセージを送信する。同様に、サイト32、サイト33に対してメッセージを送信する。メッセージ送信後にそれぞれその結果を取得しておき、最後にその結果を論理演算してメッセージを返信する。手順定義書2は、サイト31からサイト34を呼び出すために利用され、手順定義書3は、サイト32からサイト35を呼び出すために利用される。
図5は、サービス定義書を示しており、このサービス定義書は、サイト31等に対するデータの入出力情報を含み当該サイトが提供するサービス内容が定義されている。つまり、サイト31からサイト35が提供するサービスがどのようなメッセージ形式を必要とするか定義している。さらには、そのサイトの公開鍵情報が格納されている。
図6(a)に示すメッセージ構造定義書は、サービス定義書で宣言されたメッセージをどのようなデータ型で構成しているのか詳細に記述するものである。例えば、メッセージ「purchase」は、「member」と「product」という部分から構成され、その部分はさらに、図6(b),(c)のデータ構造宣言1とデータ構造宣言2を参照して、複雑に構造化されたメッセージを利用することができる。
図7に示すデータ抽出条件は、構造化されたメッセージから所望する場所を指定することで、データの特定部分を切り出すことが可能となっている。
次に、個人情報の流通範囲を限定するための基本情報を抽出する動作について、図8乃至図9を参照して説明する。図8は、アクセスサイト20におけるサイトメニューのHTMLであり、図9は、制御エンジン41による動作を示すフローチャートである。
まず、図8に示すサイトメニューのHTMLにて利用する手順定義書ファイル名を取得する(ステップS1)。次に、手順定義書ファイル中で送信手段要素を列挙し、送信手段先のリストを生成する(ステップS2)。さらに、各送信手段先が利用するサービス定義書を取得し、このサービス定義書を利用した受信手段を含む手順定義書ファイルを検索する(ステップS3)。検索により、そのような手順定義書ファイルがあれば、ステップS2,S3を繰り返し、連鎖的に呼ばれる手順定義書ファイルを列挙し、なければ最終呼び出し先のサービス定義書を記憶する(ステップS4)。最後に、初期手順定義書ファイルから呼び出される手順定義書ファイルの関係図を列挙する(ステップS5〜S8)。すると、図10に示す手順定義書とサービス定義書の呼び出し関係を表すツリーが作成される。このツリーを見ると、アクセスサイト20が利用する手順定義が最初の手順定義として登録され、各サービス定義と手順定義の呼び出し従属関係がわかる。
つまり、検索エンジン41にて、データ受け渡し手順定義書とサービス定義書とを用いて、アクセスサイト20に入力されるユーザの個人情報の流通状態、すなわち、流通経路を特定することができる。このとき、後述するように、アクセスサイト20から個人情報が流通するサイト31等や、流通する個人情報の項目などを特定することができる。
次にどの情報がどの企業に渡っていくのか、詳細に特定する動作について図11を用いて説明する。まず、先ほど生成したツリーから、各手順定義書ファイル内の受信手段要素B1とコピー手段要素B2と送信手段要素B3を調査する。受信手段要素B1が受け取るメッセージのデータ構造は、サービス定義書とデータ構造定義書として公開しており、あらかじめ決められた形式で情報が渡ってくるようになっている(図12のメッセージ(a1,a2,a3)参照)。受信手段要素B1(receive)は、メッセージを受信すると、一時記憶領域(variable)と呼ばれる一時データ格納領域B4にメッセージを格納する。コピー手段要素B2(Assign)は、一時記憶領域B4,B5間のコピーを行うことができ、さらに抽出条件を指定することで、一時記憶領域の一部だけコピーを行うといったことも可能である。送信手段要素B3(invoke)は、一時記憶領域B5に格納されたデータを、別のサービス定義書が公開する受信手段要素へメッセージとして送信することができる。このように、受信手段要素B1、コピー手段要素B2、送信手段要素B3が参照する一時記憶領域名と、コピー手段要素の抽出条件を元にして、受信手段が受信したメッセージの一部と送信手段が送信するメッセージの一部を関連付けることができ、これを手順定義書ツリーで連鎖している各手順定義書ファイルについて「メッセージデータの連鎖ツリー」を作成する。
図12では、(a1-b2-c3)というデータの流れと、(a2-x3-z2)というデータの流れと、(a3-d1)というデータの流れによってツリーが構成される。サービス定義書には、サービスを提供する企業情報が含まれているので、最初のメッセージ(a1,a2,a3)がどの企業に渡されるか特定することができる。
次に、ユーザ端末にこのツリーを提示する動作について、上述した図、及び、図13乃至図14を用いて説明する。
まず、手段408が、アクセスサイト20が提供したアンケートフォームを取得し、その中で利用されている入力フォーム項目の名前と、最初の手順定義書が公開しているサービス定義書のメッセージ部分名を比較し、一致しているフォーム項目の名前を記憶する。次に、先ほど作成したメッセージデータの連鎖ツリーから、フォーム項目に対応するデータを取得する可能性があるサービス定義書を取得し、そのサービス定義書に記載されているサービス提供企業名を取得する。全てのフォーム項目について、同様の作業を行い、フォームの各項目ごとに利用される企業のリストHTMLを作成する。手段410は、アンケートフォームに、企業リストHTMLへのリンクを挿入し、手段408によって企業リストHTMLと共にアクセスサイトへ返却する。この様子を図15に示す。
ユーザ端末10のブラウザによってアクセスサイト20にアクセスした場合には、新しいアンケートフォームが表示され、アンケート結果に含まれる個人情報がどの企業に流れているか確認することができる。
次にユーザが個人情報の流通制御を行う動作について説明する。まず、ユーザが個人情報の流通を制御することを希望しているかどうか、アクセスサイトのCookieを参照することで判定する。アクセスサイトに初めてブラウザでアクセスした際に、個人情報を保護したいかどうかユーザに選択させ、その結果をCookieに格納する。ブラウザがメニューにアクセスした時にCookie情報を取得し、流通制御をしたいという意味を表すフラグが設定されていれば、手段410が既に作成した企業リストHTMLを書き直してユーザに提示する。書き直す内容は、企業名の横にアクセス制御のリストボックスなどを配置し(図15の右図参照)、例えば「この情報をそのままこの企業に提供する(信用する)」をデフォルト値として、「この情報をこの企業に提供しない」「この情報を匿名として提供する」「この情報をこの企業の公開鍵で暗号化する」といった数段階の制御レベルを選択できるようにしておく。この設定情報は再度アクセスサイトのCookieに格納され、今後のデフォルト値として再利用される。特に、公開鍵で暗号化するかどうかの選択肢は、メッセージデータの連鎖ツリーを作成した際に、各企業が公開するサービス定義書に公開鍵を記載されている場合に表示できるようにする。
また、制御エンジン41は、ユーザが設定した選択肢が格納されたCookieをブラウザアクセス時に取得し、各設定に応じた動作をする。つまり、制御エンジン41には、ユーザ端末10から個人情報の流通を制限する流通制御情報を上記アクセスサイト20を介して受け付ける流通制御情報受付手段を備えており、さらに、この流通制御情報に基づいてアクセスサイト20による個人情報の流通制御を行うサイト制御手段を備えている。Cookieには、図13に示す保護定義書情報(流通制御情報)が格納され、これに応じて図14に示す保護済みメニューがブラウザに提供される。「この情報をそのままこの企業に提供する」設定であった場合には、そのまま処理を継続する。「この情報をこの企業に提供しない」設定であった場合には、該当する企業が提供する全てのサービス定義書ファイルを列挙し、アクセスサイトが提供するメニューから呼び出される手順定義書を根とした手順定義書ツリーと比較する。手順定義書ツリーの中で、列挙されたサービス定義書ファイルが存在すれば、それを記憶しておく。送信手段要素で該当企業が提供するサービスを呼び出時に、提供しないと指定されているデータ値が含まれているか検査し、含まれている場合には送信手段する前にエラーとすることで、ユーザの個人情報が指定した企業に提供されることを防ぐことが可能となる。もし含まれていない場合には、そのまま処理を継続させる。「この情報を匿名として提供する」設定であった場合には、送信する前に提供しないと指定されているデータ値が含まれているか検査し、含まれている場合には、データ値以外の値、例えば「anonymous」という文字列に差し替えてから送信手段処理を行う。その結果、サービス側からエラー通知が返却されるか、もしくは正常動作として処理が継続される。「この情報をこの企業の公開鍵で暗号化する」設定であった場合には、次の動作をおこなう。
次に仲介企業が個人情報を流用できないように制御する動作について図12を用いて説明する。作成したメッセージデータの連鎖ツリーを利用して、末端の企業に渡される情報(c3)が、アクセスサイトが取得した個人情報のどの部分に対応するか逆引きし、手段412によって取得した末端企業の公開キーによって、元の情報(a1)を暗号化する。最初の手順定義書で定義された送信手段要素では、その引数としてb1からb4が必要となるが、b2には暗号済み情報(a1')が仲介企業へ渡される。このため、仲介企業はユーザが入力した個人情報を流用しようとしてもその解読を簡単に行うことができなくなり、また末端企業では自身の秘密鍵で暗号を解読することによってサービス提供に必要な情報を取得することができる。ここで末端の企業がサービス提供企業であり、アクセスサイトとサービス提供企業の間に位置する企業が複合サービスの仲介企業と判定する。
最後にユーザが利用しない指定をしている第三者サイトが提供するサービスを、アクセスサイトが誤って提供しないように制御する方式について説明する。ブラウザによってアクセスしたユーザのCookie情報を取得し、ユーザが利用しないと指定している企業を特定する。アクセスサイトは提供するメニューのうち、手順定義書を利用して実現しているサービスについて、指定された企業が含まれるかどうかデータ受け渡し手順定義書ツリーを検査する。指定した企業が含まれるデータ受け渡し手順定義書が見つかった場合には、そのデータ受け渡し手順定義書を呼び出すメニューのリンクを無効(Disable)としてブラウザに返却する。リンクの無効(Disable)とは、例えば、アンカータグを除去することで実現する。これによって、アクセスサイトはメニューを表示しつつ、ユーザが指定した企業のサービスを含むメニューを選択できなくすることが可能となっている。また、リンクを有効(Enable)に戻すために、図15における保護定義設定へのリンクを付加する。
このように、各データ受け渡し手順定義書が参照するサービス定義書を元にしてデータ受け渡し手順定義書連携ツリーを作成することで、ユーザが直接関与しない企業を列挙することができる。また、各データ受け渡し手順定義書定義の、メッセージ受信、データコピー、メッセージ送信が利用する一時記憶領域に着目することで、個人情報が渡っていく様子をデータ受け渡し手順定義書連携データ流通ツリー構造として構築できる。その結果、ユーザが直接は関与しないやりとり(アクセスサイト20−サービス提供サイト31等間)において、その個人情報の流れをユーザが把握できる。
また、データ受け渡し手順定義書連携データ流通ツリー構造を元にして、サイトのメニューをどの企業にどの情報を提供したいかユーザと対話できるようなHTMLに書き換えることができる。従って、ユーザが直接は関与しない第三者サイトに対し、個人情報の制御を行うことができる。
また、データ受け渡し手順定義書連携データ流通ツリー構造を元にして、どの企業がサービス提供企業か特定し、サービス提供企業が提供する公開鍵を利用して個人情報を暗号化する。これにより、複合サービスの仲介企業と、サービス提供企業を判別し、サービス提供企業のセキュリティ情報を用いて、仲介企業による個人情報盗聴を防ぐことができる。
さらには、データ受け渡し手順定義書連携ツリーを元にして、どのメニューがどの企業のサービスを内部的に利用しているか特定し、含まれている場合にはメニューを無効にしてからユーザが利用するブラウザに返却している。従って、ユーザが利用しないと指定する第三者サイトが提供するサービスを誤ってユーザに提供しないようにアクセスサイトが制御できることである。
本発明は、ネットワーク上に制御サーバを設置したり、あるいは、所定のウェブサイト自体に組み込みなどすることにより、ネットワーク上における個人情報の流通を制御することができ、産業上の利用可能性を有する。
本発明の全体構成を示すブロック図である。 本発明の全体構成及び制御サーバの構成を示すブロック図である。 制御エンジンの構成を示す機能ブロック図である。 データ受け渡し定義書を示す図である。 サービス定義書を示す図である。 図6は、メッセージ構造定義書を示す図であり、図6(a)はメッセージ宣言、図6(b),(c)はそれぞれデータ構造宣言を示す。 データ抽出条件を示す図である。 サイトメニューのHTMLを示す図である。 制御エンジンによる個人情報の流通範囲を限定するための基本情報を抽出する動作を示すフローチャートである。 制御エンジンにて生成された個人情報の流通状態を示す図である。 個人情報の流通状態の特定動作を示すブロック図である。 具体的な個人情報の流通状態を示す図である。 保護定義書情報を示す図である。 保護済みメニューの様子を示す図である。 保護定義書情報を設定するときの様子を示す図である。
符号の説明
10 ユーザ端末
20 アクセスサイト
30 サービス提供サイト(第三者サイト)
40 制御サーバ
41 制御エンジン

Claims (14)

  1. ユーザ端末から個人情報の入力を受け付けて当該ユーザ端末に所定のサービスを提供するアクセスサイトと、当該アクセスサイトの動作を制御する制御手段とを備えた個人情報流通制御システムであって、
    前記アクセスサイトと当該アクセスサイトが利用する第三者サイトとの間におけるデータ受け渡し手順を定義したデータ受け渡し手順定義情報を記憶するデータ受け渡し手順記憶手段と、前記第三者サイトに対するデータの入出力情報を含み当該第三者サイトが提供するサービス内容が定義されたサービス定義情報を記憶するサービス定義情報記憶手段とを備えると共に、
    前記データ受け渡し手順定義情報にて参照される前記サービス定義情報を抽出し、前記データ受け渡し手順定義情報と前記サービス定義情報とに基づいて前記個人情報の前記アクセスサイトからの流通状態を特定する個人情報流通特定手段を備え、
    前記個人情報流通特定手段が、前記サービスの利用時に前記データ受け渡し手順定義情報の内容を設定することにより、前記個人情報が流通する前記第三者サイトを特定すると共に、
    前記アクセスサイトから前記特定された第三者サイトへの前記個人情報の流通状態を表す流通経路情報を生成することを特徴とする個人情報流通管理システム。
  2. 前記データ受け渡し手順定義情報は、前記第三者サイト間におけるデータ受け渡し手順を定義した情報でもあり、
    前記個人情報流通特定手段は、前記抽出されたサービス定義情報の入出力情報に基づいて前記第三者サイトに対応する他の前記データ受け渡し定義情報を読み出して、当該他のデータ受け渡し定義情報にて参照される前記サービス定義情報に基づいて前記個人情報の流通状態を特定する、
    ことを特徴とする請求項1記載の個人情報流通管理システム。
  3. 前記個人情報流通特定手段は、流通する前記個人情報の項目を特定する、ことを特徴とする請求項1又は2記載の個人情報流通管理システム。
  4. 前記個人情報流通特定手段は、前記特定した情報、あるいは、生成した情報を、前記ユーザ端末に前記アクセスサイトを介して出力する、ことを特徴とする請求項1,2又は3記載の個人情報流通管理システム。
  5. 前記ユーザ端末から個人情報の流通を制限する流通制御情報を、前記アクセスサイトを介して受け付ける流通制御情報受付手段と、
    前記アクセスサイトが前記第三者サイトに対する前記個人情報の処理を、前記流通制御情報に基づいて行うよう前記アクセスサイトの動作を制御するサイト制御手段と、
    を備えたことを特徴とする請求項1,2,3又は4記載の個人情報流通管理システム。
  6. 前記流通制御情報は、利用を拒否する前記第三者サイトを選択する情報であると共に、
    前記サイト制御手段は、前記選択された第三者サイトに前記個人情報を送信しないよう制御する、
    ことを特徴とする請求項7記載の個人情報流通管理システム。
  7. 前記流通制御情報は、流通することを拒否する前記個人情報の項目を選択する情報であると共に、
    前記サイト制御手段は、前記選択された個人情報の項目を前記第三者サイトに送信しないよう制御する、
    ことを特徴とする請求項7又は8記載の個人情報流通管理システム。
  8. 前記流通制御情報は、匿名にて流通させる前記個人情報の項目を選択する情報であると共に、
    前記サイト制御手段は、前記選択された個人情報の項目を匿名に変換して前記第三者サイトに送信するよう制御する、
    ことを特徴とする請求項7,8又は9記載の個人情報流通管理システム。
  9. 前記流通制御情報は、暗号化して流通させる前記個人情報の項目を選択する情報であると共に、
    前記サイト制御手段は、前記選択された個人情報の項目を暗号化して送信するよう制御する、
    ことを特徴とする請求項7,8,9又は10記載の個人情報流通管理システム。
  10. 前記流通制御情報は、暗号化して流通させる前記個人情報の項目と、流通先となる前記第三者サイトと、を選択する情報であると共に、
    前記サイト制御手段は、前記選択された第三者サイトにて復号化可能なよう前記選択された個人情報の項目を暗号化して送信するよう制御する、
    ことを特徴とする請求項7,8,9又は10記載の個人情報流通管理システム。
  11. 前記請求項1乃至12のいずれかに記載の前記個人情報流通管理システムを、前記アクセスサイトを開設するコンピュータに組み込んで構成した、ことを特徴とする個人情報流通管理システム。
  12. 前記請求項1乃至12のいずれかに記載の前記個人情報流通管理システムを、前記アクセスサイトを開設するコンピュータに接続された他のコンピュータにて構成した、ことを特徴とする個人情報流通管理システム。
  13. ユーザ端末から個人情報の入力を受け付けて当該ユーザ端末に所定のサービスを提供するアクセスサイトを備えた個人情報流通制御システムにあって、前記アクセスサイトの制御を行うコンピュータに、
    記アクセスサイトと当該アクセスサイトが利用する第三者サイトとの間におけるデータ受け渡し手順を定義したデータ受け渡し手順定義情報を読み出す処理と、前記データ受け渡し手順定義情報にて参照される前記第三者サイトに対するデータの入出力情報を含み当該第三者サイトが提供するサービス内容が定義されたサービス定義情報を抽する処理と、前記データ受け渡し手順定義情報と前記サービス定義情報とに基づいて前記個人情報の前記アクセスサイトからの流通状態を特定する処理と前記サービスの利用時にデータ受け渡し手順定義情報の内容を設定することにより、前記個人情報が流通する前記第三者サイトを特定し、前記アクセスサイトから前記特定された第三者サイトへの前記個人情報の流通状態を表す流通経路情報を生成する処理と、
    を実行させることを特徴とした個人情報流通管理用プログラム。
  14. ユーザ端末から個人情報の入力を受け付けて当該ユーザ端末に所定のサービスを提供するアクセスサイトと、前記個人情報の前記アクセスサイトからの流通状態を特定する個人情報流通特定手段とを備えた個人情報流通制御システムにあって、前記アクセスサイトの動作を制御する個人情報流通管理用方法であって、
    前記ユーザ端末が前記サービスの利用する時に、前記個人情報流通特定手段が、前記アクセスサイトと当該アクセスサイトが利用する第三者サイトとの間におけるデータ受け渡し手順を定義したデータ受け渡し手順定義情報の設定を行い、
    前記個人情報が流通する前記第三者サイトを特定し、前記アクセスサイトから前記特定された第三者サイトへの前記個人情報の流通状態を表す流通経路情報を生成し、
    前記設定されたデータ受け渡し手順定義情報を読み出し、前記データ受け渡し手順定義情報にて参照される前記第三者サイトに対するデータの入出力情報を含み当該第三者サイトが提供するサービス内容が定義されたサービス定義情報を抽出し、前記データ受け渡し手順定義情報と前記サービス定義情報とに基づいて前記個人情報の前記アクセスサイトからの流通状態を特定することを特徴とする個人情報流通管理方法。
JP2005096221A 2005-03-29 2005-03-29 個人情報流通管理システム及び方法並びにプログラム Expired - Fee Related JP4265557B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005096221A JP4265557B2 (ja) 2005-03-29 2005-03-29 個人情報流通管理システム及び方法並びにプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005096221A JP4265557B2 (ja) 2005-03-29 2005-03-29 個人情報流通管理システム及び方法並びにプログラム

Publications (2)

Publication Number Publication Date
JP2006277401A JP2006277401A (ja) 2006-10-12
JP4265557B2 true JP4265557B2 (ja) 2009-05-20

Family

ID=37212089

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005096221A Expired - Fee Related JP4265557B2 (ja) 2005-03-29 2005-03-29 個人情報流通管理システム及び方法並びにプログラム

Country Status (1)

Country Link
JP (1) JP4265557B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8756351B2 (en) 2008-10-10 2014-06-17 International Business Machines Corporation Tape drive, tape drive recording system, and method for selecting improved tape speed in response to intermittent read requests

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002175434A (ja) * 2000-12-08 2002-06-21 Megafusion Corp 仲介システム
JP2004005583A (ja) * 2002-04-15 2004-01-08 Hitachi Ltd 個人情報保護方法およびシステム、ならびにプログラム、記録媒体
JP2005025663A (ja) * 2003-07-02 2005-01-27 Nec Corp 個人情報提供仲介システム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8756351B2 (en) 2008-10-10 2014-06-17 International Business Machines Corporation Tape drive, tape drive recording system, and method for selecting improved tape speed in response to intermittent read requests

Also Published As

Publication number Publication date
JP2006277401A (ja) 2006-10-12

Similar Documents

Publication Publication Date Title
US11132464B2 (en) Security systems and methods for encoding and decoding content
CN103051600B (zh) 文档访问控制方法和系统
JP7387779B2 (ja) ウェブサイトのためのシステムおよび方法
JP5036140B2 (ja) 個人情報流通管理システム、個人情報流通管理方法、個人情報提供プログラム及び個人情報利用プログラム
US8689295B2 (en) Firewalls for providing security in HTTP networks and applications
US9003552B2 (en) Online privacy management
US9043866B2 (en) Security systems and methods for encoding and decoding digital content
CN102469080B (zh) 实现通行证用户安全登录应用客户端的方法和系统
US20180225479A1 (en) Personal data providing system, personal data providing method, and information processing apparatus
JP3563619B2 (ja) アプリケーション機能指定装置及び記憶媒体
CA2855828C (en) Security systems and methods for encoding and decoding digital content
Allison et al. Privacy protection framework with defined policies for service-oriented architecture
JP4265557B2 (ja) 個人情報流通管理システム及び方法並びにプログラム
JP2002157223A (ja) サービス提供システム
Breeding The current state of privacy and security of automation and discovery products
US20160378982A1 (en) Local environment protection method and protection system of terminal responding to malicious code in link information
Adams et al. Strengthening enforcement in a comprehensive architecture for privacy enforcement at internet websites
Zhu et al. User agent and privacy compromise
Villarreal et al. Privacy token: An improved and verified mechanism for user’s privacy specification in identity management systems for the cloud
Alejandro et al. Constructing an architecture-based cybersecurity solution for a system
Shabalala et al. Addressing privacy in cloud computing environment
Karantjias et al. Design principles of secure federated e/m-government framework
Pearson Towards automated evaluation of trust constraints
Castillo Nolasco Application for JPEG privacy implementation with XACML
JP2007072949A (ja) オンライン契約規制システム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081014

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081021

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081222

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090127

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090209

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120227

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120227

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130227

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130227

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140227

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees