JP4396490B2 - 名寄せ制御方法 - Google Patents
名寄せ制御方法 Download PDFInfo
- Publication number
- JP4396490B2 JP4396490B2 JP2004331334A JP2004331334A JP4396490B2 JP 4396490 B2 JP4396490 B2 JP 4396490B2 JP 2004331334 A JP2004331334 A JP 2004331334A JP 2004331334 A JP2004331334 A JP 2004331334A JP 4396490 B2 JP4396490 B2 JP 4396490B2
- Authority
- JP
- Japan
- Prior art keywords
- anonymous
- personal
- data
- database
- control method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 133
- 238000007726 management method Methods 0.000 claims description 58
- 238000012545 processing Methods 0.000 claims description 41
- 230000004044 response Effects 0.000 claims description 31
- 238000013523 data management Methods 0.000 claims description 18
- 238000013075 data extraction Methods 0.000 claims description 12
- 239000000284 extract Substances 0.000 claims description 4
- 238000000605 extraction Methods 0.000 claims 1
- 230000008569 process Effects 0.000 description 103
- 238000004458 analytical method Methods 0.000 description 37
- 230000006870 function Effects 0.000 description 13
- 238000004891 communication Methods 0.000 description 11
- 201000010099 disease Diseases 0.000 description 9
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 6
- 230000009118 appropriate response Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 235000013622 meat product Nutrition 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000005352 clarification Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000002068 genetic effect Effects 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
Landscapes
- Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Medical Informatics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
電子化された個人情報、医療情報、公文書等の秘匿性の高いデータを扱うデータベースシステムに係わる。
OECD(Organization for Economic Co-operation and Development)が1980年に採択した勧告"OECD RECOMMENDATION CONCERNING AND GUIDELINES GOVERNING THE PROTECTION OF PRIVACY AND TRANSBORDER FLOWS OF PERSONAL DATA"により、プライバシ保護に関する8原則が示された。OECDの8原則は、目的明確化、利用制限、収集制限、データ内容、安全保護、公開、個人参加、責任の各事項について、企業等の個人情報取扱事業者が従うべき原則を定めているものである。OECD加盟各国はプライバシ保護ないしは個人情報保護に向けて、8原則を踏襲する形で国内法、ガイドライン等の制度整備を進めており、その結果として個人情報を取り扱う企業はこのような制度への対応を迫られている。企業内では様々な新たな業務が発生し、そのための人的、金銭的なコストを要するようになってきた。
またコンピュータネットワークの出現は大量の個人情報を電子的な形態で受け渡しすることを容易にしたため、ひとたび個人情報漏洩事故が起きるとその被害は広範囲に及ぶ可能性がある。さらにインターネットの進展に伴い、情報漏洩事故に対する損害賠償という形の訴訟リスクがさらに大きくなりつつある。またプライバシに関する意識が高まりつつある昨今、企業は個人情報の取り扱いに対する法的な責任だけでなく、道義的責任までを問われるようになりつつあり、予期しない個人情報漏洩の危険性は、ブランドイメージ低下のリスク要因という形でも認識されつつある。すなわち、これらのリスクを回避するためにも、多くの企業では個人情報を適切に管理するコストをかけざるを得ない状況が生じている。
個人情報管理に関する業務を支えるシステムとしては、特に電子的な形態の個人情報のための、利用許諾に基づいたアクセス制御機能を備えた個人情報管理システムが知られている(以下、従来技術1と呼ぶ)。従来技術1については例えば非特許文献1に説明がある。
従来技術1は、利用目的や収集データ項目などを有する個人情報取扱方針として開示し、消費者、ユーザ等の個人情報の提供者から個人情報取扱方針に対する利用許諾を記録する機能を備える。また企業内における個人情報の利用を、適切なユーザに限定するアクセス制御機能を備える。利用許諾に基づくアクセスの制御は、コンピュータにより実行されるプログラムの権限に基づいて実現される。さらに従来技術1は、どのユーザがどのような利用目的で個人情報にアクセスしたかを記録する機能を備えている。
また、個人情報のうち、いわゆる「機微な情報」「sensitive data」を匿名管理する公知の手段としては、医療情報を扱うためのシステムがある(以下、従来技術2と呼ぶ)。従来技術2については例えば特許文献1に説明がある。従来技術2は、暗号化された氏名、住所、生年月日などの個人識別情報と、個人識別情報以外の遺伝子情報等の疾患情報を分離し、それぞれを異なる鍵で暗号化し、これらの復号鍵をICカード等の記録媒体に格納する。これにより個人識別情報及び疾患情報の利用を、ICカードの所有者がコントロールする事が可能になる。また、個人識別情報及び疾患情報を関連づける管理符号をシステムが割り振る。この管理符号を用いることにより、個人識別情報を用いずに匿名的な疾患情報の利用が可能になる。
http://www-6.ibm.com/jp/software/tivoli/products/privacy.html
特開2001−357130号
OECDの8原則に準じる各国の保護法、ガイドラインは、個人情報取扱方針に利用目的を明記し、情報提供者から利用許諾を得る事を必須の要件としている。従来技術1は利用許諾に基づいた蓄積個人情報へのアクセス制御を実現するものであるが、情報提供者からは個人情報の利用状況を把握できないという課題がある。この点は個人情報を用いた業務を外部に委託する場合でも同様であり、従来技術1は、委託企業が受託企業の情報利用状況を管理する手段を提供するものではない。
従来技術2は、疾患情報を必要としない個人識別情報の利用も制限されるという課題がある。従来技術2においては、疾患情報は暗号化しない事も可能であるが、匿名性を保証するために個人識別情報は必ず暗号化して保存される。そのため個人識別情報の復号には必ずICカード等に格納された復号鍵を必要とする。また、従来技術2では個人識別情報と疾患情報を関連づける管理符号は、暗号化されない平文であり、一度付与された管理符号は変更される事がない。そのため、復号された個人識別情報を一度でもシステム利用者が入手してしまえば、以降は自由に疾患情報と入手済みの個人識別情報を関連づける事ができ、匿名性に対する配慮はなされない事になる。
これらの従来技術2の課題は、適用分野によらない構成原理そのものに起因する課題である。例えば、従来技術2を小売店における顧客情報の管理に適用する場合、購買履歴を疾患情報として扱う事が考えられるが、コールセンター等の顧客窓口で身分照会のために個人識別情報のみを参照する用途には使えない。
本発明は、特定の個人を識別するための個人IDをキーとするハッシュ関数により生成された匿名IDと、1個以上の個人データ利用許可条件からなる匿名管理用データをクライアントから1個以上受信する処理を実行し、次に前記の受信した匿名IDが、サーバが格納している匿名IDと衝突するか否かを判定し、判定結果をクライアントに送信する処理を実行し、次に衝突が無かった場合にはデータベースに管理用匿名データを格納する処理を実行し、次に前記の受信した匿名IDと同じ個人IDから生成されたデータベース中の匿名IDを、前記の受信した匿名IDで置換する処理を実行する手段を有する。
またクライアントから匿名IDを受信し、次に個人データと照合することにより特定の個人を識別する事が可能な電子データを匿名IDをキーとして蓄積する手段を有する。
さらに上記の個人データ利用許可条件は、上記の格納された匿名IDを送信したクライアントに対して個人データ管理サーバが要求したときに、上記の格納された個人IDを受信できるか否かを制御できる。
これにより個人データを匿名で管理する事を可能にし、個人データを関連付けて利用する際は個人データ管理サーバがクライアントに許可を求めるよう、システムを構成できる。従って、従来技術1の課題の克服が可能になる。
また本発明においては匿名IDにより個人データ間の関連性を断ち切る仕組みになっているため、個人情報を保護するために、格納される個人データを暗号化する事は必須ではない。従って、従来技術2の課題の克服が可能になる。
本発明においては購買履歴は匿名IDにより収集され、また匿名IDを個人IDに関連付ける操作には会員カードもしくは代理サーバの応答が必要となるため、名寄せの類の個人データ利用の実績をシステム外部で記録する事ができる。これによりユーザは、個人情報取扱事業者に与えた利用許諾に従って個人データが正しく使われているかを確認する事ができる。
さらに本発明においては、個人データそれ自体は暗号化されず平文で格納されているが、匿名IDはサーバ側で個人IDと関連付けられるたびに更新され、あわせて蓄積されている購買履歴の収集キーになっている匿名IDも更新される。そのため、名寄せしない限りにおいては個人ID、匿名IDそれぞれをキーとするデータを、アクセス制御が許す範囲で自由に利用できるという融通性を与えつつ、無断の個人データの目的外利用を防止する効果を期待できる。
以下の記述における用語の定義は次の通りである。個人情報とは個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別する事ができるものである。個人情報には例えば住所のように、他の情報と容易に照合する事ができ、それにより特定の個人を識別する事ができる事となるものが含まれる。また、個人データとは、コンピュータが容易に検索できるようなデータベースを構成する、主に電子的な形態の個人情報の事である。
図1のシステム100は、本発明の基本構成を示している。101は匿名ID送信手段、102は匿名ID、103は匿名IDデータベース、104は個人IDデータベース、105は匿名ID発行手段、106は匿名ID登録手段、107は管理用匿名IDデータベース、108はID応答手段、109はデータ結合手段、110は分割格納個人データベース、111は利用履歴データベース、112は結合済みデータである。
個人IDデータベース104には、個人を特定するためのID(識別子)が格納される。匿名ID発行手段105は、個人IDデータベース104に格納されたデータを元に、匿名で扱うためのIDを発行する。この匿名IDは、その値から個人IDを推測する事が困難な性質を持っている。匿名IDは匿名ID登録手段106により管理用匿名IDデータベース107と匿名IDデータベース103に格納される。このとき、匿名ID登録手段106は、格納した匿名IDを用いて分割格納個人データベース110の格納済みデータを書き換える。匿名ID送信手段101は、システム100の外部からの要求に応じて、匿名IDデータベース103に格納されている匿名ID102をシステム100の外部に送信する。
分割格納個人データベース110は、個人データを個人IDと匿名IDで管理するデータベースである。分割格納個人データベース110は、送信された匿名ID102をキーとする個人データ、例えば購買履歴のようなデータを格納し、また個人IDベース104に格納された個人IDをキーとする氏名、住所などの個人データを格納する。データ結合手段109は匿名IDをキーとするデータと、個人IDをキーとするデータを結合し、結合済みデータ113としてシステム100の外部に出力する。結合するデータ操作とは、例えばRDBにおけるジョイン演算であり、個人データを扱う業務処理プログラムでは名寄せと呼ばれる処理として頻繁に発生する。ただしデータ結合手段109は、ID応答手段108の適切な応答がない限りデータを結合する事はない。ID応答手段108は、データ結合手段109からの要求とそれに対する応答を利用履歴データベース111に記録する。
本発明は、分割格納個人データベースに格納された個人データの集合を関連づける際に、ID応答手段108の適切な応答を必要とする構成を取っている。すなわち、ID応答手段108の動作を通じて、個人データの利用を管理、記録する事が可能になっている。
また図10のシステム1000では、データの結合操作もしくは名寄せを許可する個人データ管理者と、匿名IDのみを用いる利用者が異なる場合に適用される構成である。システム1000では、システム100における匿名ID応答手段108の代わりにID対応データ応答手段1005を、管理用匿名IDデータベース107の代わりに匿名ID更新履歴データベース1004を用いる。匿名ID更新履歴データベース1004には、匿名IDの更新履歴が格納される。匿名ID通信手段1002は、匿名ID同期手段1001から最新の匿名IDを取得して、複製匿名IDデータベース1003に格納する。ただし匿名ID通信手段1002は常にオンライン状態とは限らず、オフライン状態の間にも匿名ID発行手段105は匿名IDを更新することがある。 システム1000においては、分割格納個人データベースに格納された個人データの集合を関連づける際に、ID対応データ応答手段1005の適切な応答を必要とする構成を取っている。すなわち、ID応答手段1005の動作を通じて、個人データの利用を管理、記録する事が可能になっている。さらに匿名ID同期手段1001を用いることにより運用の柔軟性を持たせることができ、例えば個人IDデータベース104、匿名IDデータベース103を個人データ管理者に持たせ、複製匿名IDデータベースを他のシステム利用者に持たせる事が可能になる。
以下、実施形態を用いて本発明の詳細を説明する。それぞれの実施形態についてまずシステムの構成、内部データ、入力データ及び出力データを示し、続いて処理手順を示す。
図2は、本発明の小売店における適用例を示した第1の実施形態である。システム200は小売店向けの会員カードを用いる会員管理システムであり、会員カード201、業務データ生成サーバ202、個人データ利用プログラム204、アクセス制御サーバ208から構成されている。システム200は、会員カードを用いて購買履歴を収集し、またポイント211、DM(ダイレクトメール)宛先リスト212を出力する。クライアント装置としての会員カードはICチップにメモリ、プロセッサを搭載したものであり、原理上はPDA、携帯電話などでも代替する事が可能である。
会員カード201は、匿名ID送信手段101、匿名IDデータベース103、個人IDデータベース104、匿名ID発行手段105、ID応答手段108、利用履歴データベース111から構成されている。
データ300は個人IDデータベース104の格納データであり、個人IDを表すフィールド305と、利用許諾の条件を表すフィールドからなる。フィールド305の格納データ321は会員同士で重複しない整数値であり、会員カード発行の際にレコードデータ319が個人IDデータベース104に格納される。データ301の利用許諾条件を表すフィールドは0個以上あり、本実施形態においてはフィールドが307、308、309の3つが該当する。これらのフィールドはそれぞれ、DM宛先として個人データを利用する事の可否、個人を特定する分析に個人データを利用する事の可否、個人を特定しない統計分析に個人データを利用する事の可否を保持する。フィールド307、308、309には会員が与えた利用許諾に基づいて、個人データの利用を許す場合には値としてOK、許さない場合には値としてNGが格納される。
データ301は匿名IDデータベース103の格納データであり、匿名IDを表すフィールド306と、利用許諾の条件を表すフィールド307、308、309からなる。フィールド306の格納データ320には、説明の便宜上、データ320がデータ321から生成された値である事をわかりやすくするため「A1001」となっているが、実際のデータ320は、データ321をキーとするハッシュ値として生成される。データ320を生成するための典型的なハッシュ関数の一つはMD5である。このようなハッシュ関数を用いる場合、データ320は擬似的な乱数のような値を取り、データ320からデータ321を推測する事は極めて困難である。
業務データ生成サーバ202は、匿名ID登録手段106、管理用匿名IDデータベース107、データ結合手段109、分割格納個人データベース110からなる。ただし匿名ID登録手段106は耐タンパデバイス203内に構築されており、匿名ID登録手段106を勝手に書き換えたり、匿名ID登録手段106の内部処理を外部から自由に観測する事はできない。通常、匿名ID登録手段106は製造時に耐タンパデバイス203に構築される。
個人データ利用プログラム204は、購買記録実行手段205、ポイント管理手段206、購買傾向分析手段207からなる。購買商品ID210は、商品に付与されたJANコード等のIDであり、バーコードやRFIDタグ等を利用して店員がレジスタから入力する。システム200は入力された購買商品ID210に匿名IDを付与して記録する。匿名IDはレジスタに接続された会員カードが送信する。購買傾向分析手段207は、購買履歴を含む個人データを分析し、DMの発送により購買の誘発を期待できる会員のリストを出力する。
アクセス制御サーバ208は、アクセス制御手段209を有し、関連付けた(名寄せした)個人データへの個人データ利用プログラム204のアクセスを制御する。
データ302は管理用匿名IDデータベース107の格納データであり、1個のレコードデータが1人の会員に対応する。各フィールドはテーブル301と同様のフィールドからなる。個人IDが1001、2001、3001の会員の匿名IDが、それぞれA1001、A2001、A3001である。
データ303、データ304は分割格納個人データベース110の格納データである。データ303の各レコードは個人ID305をキーとする個人データであり、会員カード新規発行時に登録される。各レコードは個人ID、氏名、住所、年齢を表すフィールド305、310、311,312からなる。
データ304の各レコードは匿名ID306をキーとする個人データであり、購買実績記録手段205が登録する。各レコードは匿名IDを表すフィールド306と、購買履歴として購買日、購買品、金額を表すフィールド313、314、315からなる。フィールド313には、購買実績記録手段205がレコードを生成した日付が格納される。フィールド314にはバーコードが与えるJANコード、あるいはRFIDタグが与える個別の購買品コードを元に決定した購買品の分類が格納される。本発明の原理上、フィールド314はJANコードあるいは個別の購買品コードであっても良い。フィールド315には購買品の金額が格納される。また、データ304を構成するレコードにはデータ322のようなポイント管理用のものがある。データ322は、匿名会員A1001が2004/4/15にポイント1500円分を割引のために利用した事を表している。
データ316は、利用履歴データベース111の格納データである。データ316の各レコードは匿名ID、利用日、利用目的を表すフィールド306、317、318からなる。データ316のレコードはID応答手段108が生成、登録する。フィールド317は、ID応答手段108がデータ結合手段109からの個人データ利用の要求に応じた年月日である。フィールド318は、ID応答手段108がデータ結合手段109から通知された利用目的を記録したものである。
データ401は、ポイント管理手段206の出力データであり、典型的な利用例ではレシートに印刷される。各レコードは匿名ID、累計ポイント、利用ポイント、加算ポイントを表すフィールド306、404、405、406からなる。フィールド404は商品購買後の保有ポイントを表す。フィールド405は商品購買の割引に利用したポイントを表す。フィールド406は、商品購買により新たに加算されたポイントを表す。
データ402は、購買傾向分析手段207の出力データであり、典型的な利用例ではDMの宛名シールへの印刷データとなる。各レコードはDM発送処理に必要な個人データを表すフィールドと、分析結果を表すフィールドからなる。フィールド306、313、314はそれぞれ個人ID、氏名、住所を表し、フィールド407は肉類の商品案内に対する応答率予測値を表す。フィールド407のような分析結果を表すフィールドは2個以上であっても良い。データ402の利用例としては、肉類の商品案内のDMをある人数の会員に発送する場合に、購買行動の誘発を期待できる会員を優先的に選択する等である。
以上が第1の実施形態の構成、内部データ、入力データ及び出力データである。次にシーケンス図により処理手順を説明する。各シーケンス図において、終点が黒塗りの三角形は手続き呼び出しを表し、例えば処理701が該当する。手続き呼び出しでは処理が完了するまで呼び出し側(始点側)が次の処理を実行しないことを表す。終点が棒状の矢線は非同期型の通信を表し、例えば処理714が該当する。非同期型の通信では処理が並列に実行され、送信側(始点側)は通信処理完了を待つことなく次の処理を実行することを表す。
会員カード201と業務データ生成サーバ202に跨って発生する処理は、会員カード201と業務データサーバ202の相互認証が完了した後に起動し、また処理の間、会員カード201と業務データ生成サーバ202の通信経路は、物理的、暗号的な適切なセキュリティ機構により保護する。相互認証、通信経路保護の手段には公知の技術を用いる。
シーケンス500は、匿名IDをシステム200に登録する処理の流れを示している。匿名IDの登録処理は、会員カードを新規に発行した際と、ID応答手段108が匿名IDに関連づけられる個人IDを応答する際に実行される。会員カードがカードリーダに接続され、相互認証及び通信経路確立が完了すると、処理501において匿名ID登録手段106がランダムな正の整数値rを生成し、匿名ID発行手段105に対してrと共に匿名IDの発行を要求する。
次に処理502において匿名ID発行手段105が、フィールド306、307、308、309からなるレコードデータm個を生成する。フィールド307、308にはレコードデータ319の値が格納され、全てのレコードについて値が同じである。フィールド306の匿名IDの値は、MD5等のハッシュ関数h(i+r+m)により得られる、互いに異なるM個のハッシュ値である。ここでiはデータ321の個人ID、mは1以上のM以下の連続する整数(m=1,2,...,M-1)である。Mはカード発行時に与える1以上の整数をとる任意のパラメータであり、会員カード発行の際に会員が許諾した利用条件、及び購買実績データの利用形態によって予め決定しておく。本実施形態においてはポイント管理のためにM=1となるが、例えば課金の目的のみで購買実績データを利用する場合等は、M>=2であってもよい。
このようにハッシュ関数のキーが乱数値rを有する事、匿名ID発行手段105は耐タンパデバイスに格納されている事により、システム200を利用する小売店が個人IDを決定している場合であっても、個人IDからの匿名IDの推測を防ぐ事ができる。
処理502が終了すると、匿名ID発行手段105は処理501の手続き呼び出しの戻り値として、処理502で新たに生成したレコードデータと、過去に発行した匿名IDであるデータ320を匿名ID登録手段106に送信する。過去に発行した匿名IDが無くデータ320が空である場合には、欠損を示すコードをデータ320の代わりに送信する。
続いて、登録要求された匿名IDが107に登録済みの匿名IDと衝突するかを匿名ID登録手段106が判定し、衝突を検出した場合には処理501からやり直す。予め決めた回数以上に達した場合に、システムは例外を放出してシーケンス500を終了する。ただし計算方法に初期値敏感性の不可逆な一方向関数を含むMD5のようなハッシュ関数では、ハッシュ値が衝突する可能性は極めてまれであり、実装上は本実施形態の手続きで十分に機能する事が期待できる。衝突が検出されなければ処理503に進み、匿名ID登録手段106が匿名ID発行手段105に生成したIDを受け付けた事を通知する。
処理504において匿名ID発行手段105は、生成したレコードデータを匿名IDデータベース103に追加する。匿名IDデータベース103に格納済みのレコードデータは必要に応じて削除しても良い。
次に処理505に進み、匿名ID登録手段106が、処理501の戻り値として受信したレコードデータを管理用匿名IDデータベース107に追加する。
処理506で匿名ID登録手段106は、いったん待ち状態にはいる。次の会員カードが接続された場合には対して処理501実行する。待ち状態に入ってからT秒以上経過するか、もしくは会員カードから受信済みで未登録の新規の匿名IDがK・M個未満である場合には、処理507の実行に移る。ここでKは1以上の整数値をとる任意のパラメータであり、処理507で一度に複数個の会員カードの匿名IDを処理させたい場合に、望む会員カードの個数をKに指定する。Tはタイムアウトのパラメータであり、0より大きい実数値を秒単位で指定する。
処理507において匿名ID登録手段106は、処理503で受け取った過去の発行済み匿名IDを分割格納個人データベースから検索し、新たに生成した匿名IDで置き換える。M>=2である場合には、置換対象のレコードごとに新たな匿名IDをランダムに選択する。
以上がシーケンス500の処理である。
シーケンス600は、匿名IDを用いた購買実績記録の処理とそれに続くポイント更新の処理の流れを示している。購買実績記録手段205、ポイント管理手段206はレジスタから呼び出されるプログラムであり、典型的な例ではシーケンス600はレジスタでの会計で合計額が算出された後に起動する。以下では、会員カードがシステム200の外部にあるレジスタ606を通じてシステム200に接続しており、またレジスタ606には精算中の商品のIDが一時的に保持されているものとする。
処理601では、まず購買実績記録手段205が会員カード201に匿名IDを要求する。続いて会員カード201にある匿名ID送信手段101が、匿名IDデータベース103を参照してm個の匿名IDからランダムに1個を取り出し、レジスタ606に送信する。
処理602ではレジスタ606が一時的に保持している商品のIDと、処理601で受信した匿名IDを購買実績記録手段205に送信する。
処理603では購買実績記録手段205がデータ304の形式の新規レコードデータを成し、分割格納個人データベース107に格納する。
購買実績の記録が完了すると、レジスタ606は処理604により、ポイント管理手段206へ、処理601で受信した匿名IDを送信し、ポイント計算処理を起動する。
処理605ではポイント管理手段206が、受信した匿名IDをキーとして分割格納個人データベース110に格納されたデータ304を検索し、累計ポイントを算出する。ポイント計算の方法は様々であるが、例えば過去の利用ポイントの合計と、最近1年間の購買品の金額合計に基づいて利用可能な累計ポイントを算出する。処理605が終了すると、処理604の手続き呼び出しの結果としてレジスタ606が累計ポイントを得る。
処理607でレジスタ606は累計ポイント、会計中の商品データ、ポイント利用の有無のデータに基づいてをデータ401を生成し、レシートやレジスタの画面に出力する。
以上がシーケンス600の処理である。
シーケンス700は、個人IDで管理されるデータ303と、匿名IDで管理されるデータ304を結合して利用する場合の処理の流れを示しており、購買傾向分析手段207を用いてDM宛先リスト生成する際に起動される。シーケンス7700では、購買傾向分析手段207が分析用の個人データを要求すると、次に利用許諾が得られている会員を匿名IDで判定し、データ結合手段が会員カード接続待ち状態に入る。この状態で当該匿名IDを持つ会員カードが接続すると、個人IDを特定する処理が起動し、購買傾向分析手段207は分析用データを得る。シーケンス700の詳細は以下の通りである。
まず購買傾向分析手段207が処理701で分析データを要求する。具体的には、購買傾向分析手段207は業務データ生成サーバ内のアクセス制御手段209に対し、DM発送リスト作成に要するデータ名(テーブル名、フィールド名)を引数として与えて処理701を呼び出す。DM発送リスト作成ではデータ303、304のデータ名及びフィールド名を要求する。
続いて処理702に進み、アクセス制御手段209が分析データを要求したプログラムの種別から個人データの利用目的を判定する。要求プログラムは購買傾向分析手段207なので、利用目的=DM発送と決定する。またここで決定した利用目的を用いて、要求されたデータ名を利用しても良いかをアクセス制御手段209が判定し、利用を拒否する場合には処理701の戻り値として偽の値を購買傾向分析手段207に返す。許可する場合には処理703によりデータ結合要求を送信し、戻り値として真値を購買傾向分析手段207に返す。
処理703でデータ結合手段109は会員カードとの通信の待ち状態に入る。処理704、705、706は、データ結合手段109が待ち状態に入ってからX秒以内に接続した全ての会員カードに対して1回ずつ実行される。以下では説明の便宜上、1個の会員カードに対する処理の流れを説明する。
会員カードがシステム200に接続して通信経路が確立されると、処理704が起動し、データ結合手段109はまずID応答手段108から匿名IDを受け取り、管理用匿名IDデータベース107に格納されたデータ302を参照して利用許諾の判定を行う。DM発送がOKの場合には処理705に進み、NGの場合は何もしないでデータ結合手段109は再び待ち状態にはいる。
処理705では、データ結合手段109がID応答手段108に利用目的を送信し、個人IDを要求する。
処理706では、ID応答手段108が匿名IDデータベース106に格納されている利用許諾を用いて、受信した利用目的が許容されているものかを判定し、次にID応答手段108が匿名ID発行手段105に個人IDが要求されている事を伝達する。次に利用履歴データベース111に格納されたデータ316に新たなレコードを追加する。続いて匿名ID発行手段105は匿名ID登録手段106に匿名IDの更新を要求する。
処理707から711では、シーケンス500における処理501から505と同様の処理が実行され、分割格納個人データベース110に新たな匿名IDが登録される。
処理712では、データ結合手段109が処理705で要求されていた個人IDと、処理705の時点で使われていたM個の匿名IDを送信し、次にデータ結合手段109は分割個人データベース716を変更するための待機状態に入る。
処理713では、処理712で受け取った個人ID、匿名IDを用いてデータ結合手段109が分析用データを生成する。分割格納個人データベースのデータ303に格納された当該個人IDを有するレコードを抽出する。またデータ304に格納された当該匿名IDを有するレコードを抽出し、各レコードの匿名IDを対応する個人IDに置換する。
処理714では、データ結合手段109が、処理713で生成した分析用データを非同期で購買傾向分析手段207に送信する。
処理715、716ではシーケンス500の処理506、507と同様の処理を実行し、分割格納個人データベース109に格納されている匿名IDを更新する。
一方、購買傾向分析手段207は、処理714により分析用データを受信した予め指定しておいたデータ量を受信した時点で分析処理を起動し、処理718で分析結果としてデータ402を出力する。
このように、利用履歴データベース111に個人データの利用記録が残ることが本発明の特徴であり、本実施形態においては店舗内の端末や、PCに接続されたカードリーダに会員カードを読み取らせることで、参照することができる。
なお、図2における個人データ利用プログラム204は、典型的には業務データサーバ202とネットワークで結合された計算機に格納される。
ここで、図2は、機能ブロックを用いて説明しているが、これらの機能ブロックを用いた処理は、ハードウェア、ソフトウェア、またはそれらの組合せによって実現される。
つまり、図中における計算機、サーバ、カード等は、ハードウェアとしては、少なくとも、任意のCPUとメモリ、他のLSIのいずれかを有し、例えば、メモリにロードされた購買実績記録手段205、ポイント管理手段206、購買傾向分析手段207等のプログラムがCPUで実行されることで処理が実現される。また、個人データ利用プログラム204は、業務データ生成サーバ202と同一の計算機に格納されても良い。
次に図8にある本発明の第2の実施形態を説明する。図8のシステム800は、匿名ID発行処理、利用履歴記録処理を、会員カード外部のシステムで代理させる場合の構成である。会員カード201は個人IDデータベース104のみからなり、ID管理代理サーバ801は、匿名ID送信手段101、匿名IDデータベース103、匿名ID発行手段105、ID応答手段108からなり、ID応答手段108には有効ID判定手段802が組み込まれている。利用履歴管理サーバは利用履歴データベース111、利用履歴出力手段803からなり、利用履歴表示端末804が接続されている。業務データ生成サーバ202、個人データ利用プログラムはシステム200と同様である。
データ900は匿名IDデータベース105に格納されるデータであり、有効期限を表すフィールド904以外はデータ301と同様である。有効期限のフィールド値には、匿名ID発行手段105がデータ900を生成する際に、会員の指定値か会員カード発行時のデフォルト値が与えられる。データ901は、匿名管理IDデータベース107に格納されるデータであり、900と同様のフィールドからなる。これ以外のデータはシステム200と同様である。
システム800は、匿名ID発行処理、利用履歴記録処理を代理サーバに任せているため、会員カードがシステムに接続されていない場合であっても、ポイント計算やDM宛先リスト作成が可能である。ただし有効ID判定手段802が、匿名IDの有効期限や有効利用回数を判定する機能を備えており、来店しなくなった会員の個人データが勝手に使われ続ける事態を防止する事ができる。
以上の実施形態におけるシステム200、800は小売店における会員カード利用システムへの適用を前提にしているが、会員カードはICチップにメモリ、プロセッサを搭載したものであり、原理上はPDA、携帯電話等で代替する事が可能である。従って本発明は小売店向けの会員カード利用システムに限るものではない。また業務データ生成サーバ、202、個人データ利用プログラム204はネットワーク経由で接続されていても良く、従って本発明をネットワークを介した個人データ利用業務の委託に適用する事が可能である。例えばシステム200あるいは800における業務データ生成サーバ202を委託企業、個人データ利用プログラム204を受託企業に配置する事で、委託企業が受託企業の個人データ利用を監視し、コントロールする事が可能になる。
なお、図8における個人データ利用プログラム204は、典型的には業務データサーバ202とネットワークで結合された計算機に格納される。
ここで、図8は、機能ブロックを用いて説明しているが、これらの機能ブロックを用いた処理は、ハードウェア、ソフトウェア、またはそれらの組合せによって実現される。
つまり、図中における計算機、サーバ、カード等は、ハードウェアとしては、少なくとも、任意のCPUとメモリ、他のLSIのいずれかを有し、例えば、メモリにロードされた購買実績記録手段205、ポイント管理手段206、購買傾向分析手段207等のプログラムがCPUで実行されることで処理が実現される。また、個人データ利用プログラム204は、業務データ生成サーバ202と同一の計算機に格納されても良い。
次に図11にある本発明の第3の実施形態を説明する。システム1100は、会員カード1101、管理用カード1102、業務データ生成サーバ1106、アクセス制御サーバ208、個人データ利用プログラム204を備える。小売店において、消費者が会員カード1101を所持し、個人データ管理者が管理用カード1102を所持する場合の構成例である。消費者は商品購買時に会員カード1101を用いてポイントを蓄積もしくは使用する。消費者のポイントの蓄積・使用の際は、個人データ利用プログラム204にある購買実績記録手段、ポイント管理手段は、匿名IDで管理されるデータのみを処理する。
なお、図11における個人データ利用プログラム204は、典型的には業務データサーバ1106とネットワークで結合された計算機に格納される。
ここで、図11は、機能ブロックを用いて説明しているが、これらの機能ブロックを用いた処理は、ハードウェア、ソフトウェア、またはそれらの組合せによって実現される。
つまり、図中における計算機、サーバ、カード等は、ハードウェアとしては、少なくとも、任意のCPUとメモリ、他のLSIのいずれかを有し、例えば、メモリにロードされた購買実績記録手段205、ポイント管理手段206、購買傾向分析手段207等のプログラムがCPUで実行されることで処理が実現される。また、個人データ利用プログラム204は、業務データ生成サーバ1106と同一の計算機に格納されても良い。
購買傾向分析手段207は、匿名IDで管理されるデータと、個人IDで管理される氏名、住所等のデータと用いるが、管理用カード1102の適切な応答があったときのみこれらのデータを関連づけて利用することができる。
会員カード1101は、複製匿名IDデータベース1003、匿名ID通信手段1002からなる。管理用カード103はIDデータ応答手段1005からなり、個人IDデータベース104、匿名IDデータベース103はシステム200と同様のものである。業務データ生成サーバ1106は、耐タンパデバイスに格納された匿名ID同期手段1001、匿名ID更新履歴データベース1004、匿名ID登録手段106、管理用匿名IDデータベース107、データ結合手段109、分割格納個人データベース110からなる。
匿名ID更新履歴データベース1004は、管理用カードの保有者のみアクセスできるような形態であればよく、管理用カードに保存された暗号鍵で暗号化して、耐タンパデバイスの外に設置することも可能である。
匿名ID登録手段106、管理用匿名IDデータベース107、データ結合手段109、分割格納個人データベース110、アクセス制御サーバ208、個人データ利用プログラム204の構成はシステム200と同様のものである。
図12は、システム1100で用いるデータ構造を示している。テーブル1200は、匿名ID更新履歴データベース1004に格納される。各行のレコードデータが1回の更新履歴を表しており、フィールド1201は更新前の匿名ID、フィールド1202は更新後の匿名IDである。図の例では、A1001は個人ID「1001」に対して初めて発行された匿名IDであり、A1002はその次に発行された匿名IDであることを表している。レコードの並び順は、更新が発生した順である。
本実施形態では、テーブル1200があれば全体の処理は可能であるが、テーブル1200のレコード件数が極めて多いと、匿名ID同期手段1001の処理効率が実用上問題になることがある。これを回避するための実現手段の一つは、同期ID同期手段1001に予めテーブル1200をデータベースから読み込ませ、1203に示すデータ構造でメモリ上に展開しておくことである。テーブルに含まれているデータは、高速アクセス領域1204、シーケンシャルアクセス領域1205に分割して保持される。典型的な例では、高速アクセス領域1204には2分ツリー、ハッシュテーブルなどの検索時間コストに優れたデータ構造を与え、シーケンシャルアクセス領域1205には線形リスト、配列などのメモリコストに優れたデータ構造を与えておく。
図13に示すシーケンス1300は、分割格納個人データベース110にある個人IDで管理されるデータ303と、匿名IDで管理されるデータ304を結合し、この結合データを購買傾向分析手段207にて利用する場合の処理の流れを示している。
まず購買傾向分析手段207が処理701で分析データを要求して、シーケンス1300が開始する。処理701、702、703、704についてはシーケンス700と同様である。
処理704に続いて、データ結合手段109が処理1301で管理用カード1102に対してID対応データを要求する。要求を受け取った管理用カード1102は処理1302で匿名ID登録手段106に対して匿名ID更新を要求する。匿名ID登録手段106は処理1303で乱数を生成し、処理1304で管理用カードに乱数を送信する。管理用カード1102は処理1305で処理708と同様の処理を実行し、乱数と個人IDをキーとして匿名IDを発行する。続いて管理用カード1102は、処理1306で匿名ID登録手段106に発行した匿名IDを送信し、匿名ID管理手段106は既存の匿名IDと重複が無ければ受信した匿名IDを、匿名ID更新履歴データベース1004に登録する。管理用カード1102は、処理1308で更新完了の通知を匿名ID登録手段106から受け取ると、処理1309で発行した匿名IDを匿名IDデータベース103に格納する。
以上で匿名IDの更新処理が終了し、管理用カード1102は処理1310で、更新前の匿名IDと個人IDのID対応データをデータ結合手段109に返す。ID対応データは配列か、もしくは一塊のビット列にパディングされた1個のデータなど、管理用カードが扱えるデータ形式で匿名IDと更新前の匿名IDを格納したものである。続いてデータ結合手段109は、シーケンス700と同様の処理713を実行し、分析用のデータを抽出する。
次に、データ結合手段109は処理1311で匿名ID登録手段に分割格納個人データベースの更新を要求し、匿名ID登録手段106は、シーケンス700と同様の処理716を実行し、システムは処理1312に移行する。
ただし管理用カード1102の処理能力と、分割格納個人データベース110の処理能力のバランスによっては、更新要求に対して何もせずにいったん716処理を先送りにしおき、いくつかの更新要求をまとめて遅延実行した方が時間効率に優れる場合がある。本発明の原理上、このような処理に対応させることは原理上容易である。この場合は処理713において、匿名ID匿名更新データベース1004中の更新履歴を参照して、ある個人IDに対応する過去の匿名IDそれぞれに関してID対応データを作成し、結合処理を行う。また処理716では、システム利用者が予め決めておいた個数の受信要求を受けるまでは何もせずに次の処理1312に移る。この個数に達した場合は匿名ID更新履歴データベースを参照して、未だ分割格納個人データベース110で更新される必要がある匿名IDをチェックし、ID更新処理を実行した後に、処理1312に移る。
処理1312では、データ結合手段109が、処理713で抽出したデータをアクセス制御サーバ208に送信する。続いてアクセス制御サーバ208は、購買傾向分析手段207に受信した結合データを、処理701で要求されていた分析データとして送信する。続いて購買傾向分析手段207は、シーケンス700と同様の処理717、718を実行し、分析結果を出力する。
続いて、会員カードを用いる場合のシーケンスを図14に示す。シーケンス1400は、シーケンス600と同様の匿名IDを用いた購買実績の記録を行う場合に、会員カード1101がレジスタ606に応答する匿名IDを得るための処理を示している。処理1401でレジスタは匿名ID同期手段1001に匿名IDを要求し、続いて匿名ID同期手段1001が、処理1402、処理1403で会員カード1101に格納されている匿名IDを得る。処理1404では、匿名ID同期手段1001が匿名ID更新履歴データベース1004中のテーブル1200をオンメモリに展開したデータ1203を確認する。テーブル1200を直接確認する場合は、処理1403で得た匿名IDをキーにレコード検索してチェックする。データ1203を用いる場合は、まず高速アクセス領域を用いて古い匿名IDに該当するかを確認し、続いてシーケンシャルアクセス領域を確認することで処理を実現する。
更新履歴IDデータベース1004に新しい匿名IDが存在するならば、処理1405、1406で会員カード1101中に新しい匿名IDを複製I匿名IDデータベース1003に上書き格納する。続いて匿名ID同期手段1001は、処理1408で匿名ID更新履歴データから不要な履歴データを削除し、処理1049でレジスタに最新の匿名IDを返す。
以上が、本発明の第3の実施形態である。このように匿名ID同期手段1001を用いることによって、データの結合権限を有する管理用カードと、匿名IDの複製権を有する会員カードを併用しつつ、実施形態1、2に述べたたようなデータ結合の制御が容易になる。
なお、本発明の第3の実施形態では、システム1100で全てのID対応データを暗号化して業務データサーバ1106に持たせる構成を取ることにより、同様の効果を得ることも容易である。この場合、管理用カード1102は共通鍵を持ち、個人IDデータベース104、匿名IDデータベース103は不要である。管理用カード内のID対応データ応答手段1005は、ID対応データの代わりに共通鍵を応答するようにし、匿名ID発行手段105を業務データ生成サーバ1106に持たせる。このような構成をとる場合、処理1302で暗号鍵を渡し、処理1303で匿名ID登録手段106がID対応データを復号した後に、一連の処理を行う。処理1307では匿名ID登録手段106が更新済みの匿名IDを新たなID対応データとして構成、共通鍵で暗号化した後に保存する。処理1310では更新前のID対応データを応答する。
電子化された個人情報、医療情報、公文書等の秘匿性の高いデータを扱うデータベースシステムに適用できる。
101・・・匿名ID送信手段、102・・・匿名ID、103・・・匿名IDデータベース、104・・・個人IDデータベース、105・・・匿名ID発行手段、106・・・匿名ID登録手段、107・・・管理用匿名IDデータベース、108・・・ID応答手段、109・・・データ結合手段、110・・・分割格納個人データベース、111・・・利用履歴データベース、112・・・結合済みデータ。
Claims (10)
- 個人データ管理サーバにおける名寄せ制御方法であって、
個人データ管理サーバは、
同一個人に係わるデータのうち、個人IDをキーとするデータを、実名個人データベースに格納し、前記個人IDに対応付けられた匿名IDをキーとするデータを、匿名個人データベースに格納し、
前記個人データ管理サーバに接続可能なクライアント装置が、前記個人IDと前記匿名IDとの対応付け情報を管理し、
前記個人データ管理サーバは、
前記匿名IDをキーとする、前記匿名個人データベースからのデータ抽出要求を受信した場合に、
前記匿名IDを用いて、前記匿名個人データベースからデータを抽出して、前記データ抽出要求に応答し、
前記匿名IDを更新せずに維持し、
前記匿名IDをキーとする、前記実名個人データベースと、前記匿名個人データベースと、に格納されている、同一個人に係わるデータ抽出要求を受信した場合に、
現在の前記匿名IDを用いる前記クライアント装置に、個人IDを問い合わせ、
前記クライアント装置から、前記問い合わせへの応答として、前記個人IDと、前記現在の匿名IDを置換するための更新用匿名IDと、を受信し、
前記現在の匿名IDと前記個人IDとを用いて、前記実名個人データベースと前記匿名個人データベースとからデータを抽出して、前記同一個人に係わるデータ抽出要求に応答し、
前記抽出の後に、前記匿名個人データベースからのデータ抽出に用いた前記現在の匿名IDを、受信した前記更新用匿名IDに置換する
ことを特徴とする名寄せ制御方法。 - 請求項1に記載の名寄せ制御方法において、
前記匿名個人データベースは、匿名IDごとに指定された個人データ利用許可条件を備え、
前記個人データ管理サーバは、
前記同一個人に係わるデータ抽出を要求されたデータの利用目的を判定し、
前記現在の匿名IDについて、当該利用目的が、前記個人データ利用許可条件を満たす場合に、
前記現在の前記匿名IDを用いる前記クライアント装置に対して、前記個人IDの問い合わせを行う
ことを特徴とする名寄せ制御方法。 - 請求項2に記載の名寄せ制御方法において、
前記個人データ管理サーバは、前記クライアント装置に、前記個人IDの問い合わせを行う際に、判定した前記利用目的を送信し、
前記クライアント装置は、受信した前記利用目的が当該クライアント装置にとって許可されるものか否かを調べ、
前記利用目的が許可される場合に、前記個人IDの前記問い合わせに応答する
ことを特徴とする名寄せ制御方法。 - 請求項2に記載の名寄せ制御方法において、
前記個人データ管理サーバは、
前記クライアント装置が接続した場合に、当該クライアント装置から前記現在の匿名IDを受信し、
受信した前記現在の匿名IDに基づき、前記利用目的が許可されるか否かを調べる
ことを特徴とする名寄せ制御方法。 - 請求項1ないし4いずれか一に記載の名寄せ制御方法において、
前記クライアント装置は、前記個人IDを送信する前に、前記更新用匿名IDを生成して送信し、
前記個人データ管理サーバは、送信された前記更新用匿名IDと、前記匿名ID管理データベースに管理されている他の匿名IDとの重複を調べ、
重複していなければ登録して登録成功を前記クライアント装置に送信し、重複していれば登録せずに登録失敗を前記クライアント装置に送信し、
前記クライアント装置は、前記登録成功を受信した場合は、前記個人IDを送信し、
前記登録失敗を受信した場合は、他の更新用匿名IDの生成処理を行う
ことを特徴とする名寄せ制御方法。 - 請求項5に記載の名寄せ制御方法において、
前記クライアント装置は、前記更新用匿名IDを、前記個人IDと乱数とを入力とするハッシュ関数により生成し、
前記登録失敗を受信したら、前記乱数を再生成し、前記更新用匿名IDを再生成する
ことを特徴とする名寄せ制御方法。 - 請求項1ないし6いずれか一に記載の名寄せ制御方法において、
一つの前記個人IDに対応付けられた前記現在の匿名IDと、前記現在の匿名IDを置換するための更新用匿名IDと、はM個(Mは複数)であり、
前記個人データ管理サーバは、
前記M個の現在の匿名IDと一つの前記個人IDとを用いて、前記同一個人に係わるデータ抽出要求に応答し、
前記応答のあとに、前記M個の現在の匿名IDを、受信した前記M個の更新用匿名IDを用いて更新する
ことを特徴とする名寄せ制御方法。 - 請求項2に記載の名寄せ制御方法において、
前記個人データ利用許可条件には、当該匿名IDの有効期限が含まれ、
前記個人データ管理サーバは、前記判定において、
前記現在の匿名IDについて、さらに、有効期限に係わる条件を満たす場合に、前記クライアント装置に対して、前記個人IDの問い合わせを行う
ことを特徴とする名寄せ制御方法。 - 個人データ管理サーバにおける名寄せ制御方法であって、
個人データ管理サーバは、
同一個人に係わるデータのうち、個人IDをキーとするデータを、実名個人データベースに格納し、前記個人IDに対応付けられた匿名IDをキーとするデータを、匿名個人データベースに格納し、
前記個人データ管理サーバに接続可能なクライアント装置が、前記個人IDと前記匿名IDとの対応付け情報を管理し、
前記個人データ管理サーバは、
前記匿名IDをキーとする、前記匿名個人データベースからのデータ抽出要求を受信した場合に、
前記匿名IDを用いて、前記匿名個人データベースからデータを抽出して、前記データ抽出要求に応答し、
前記匿名IDを更新せずに維持し、
前記匿名IDをキーとする、前記実名個人データベースと、前記匿名個人データベースと、に格納されている、同一個人に係わるデータ抽出要求を受信した場合に、
管理用装置に、現在の前記匿名IDに対応する個人IDを問い合わせ、
前記管理用装置から、前記問い合わせへの応答として、前記個人IDと、前記現在の匿名IDを置換するための更新用匿名IDと、を受信し、
前記現在の匿名IDと前記個人IDとを用いて、前記実名個人データベースと前記匿名個人データベースとからデータを抽出して、前記同一個人に係わるデータ抽出要求に応答し、
前記データ抽出に用いた前記現在の匿名IDと前記更新用匿名IDとの組を、匿名ID更新履歴データベースに格納する
ことを特徴とする名寄せ制御方法。 - 請求項9に記載の名寄せ制御方法であって、
前記個人データ管理サーバは、前記現在の匿名IDを用いるクライアント装置に、前記更新用匿名IDを送信し、
前記クライアント装置は、前記現在の匿名IDを前記更新用匿名IDに置換し、
前記個人データ管理サーバは、前記現在の匿名IDと前記更新用匿名IDとの組を、前記匿名ID更新履歴データベースから削除する
ことを特徴とする名寄せ制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004331334A JP4396490B2 (ja) | 2004-03-19 | 2004-11-16 | 名寄せ制御方法 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004079453 | 2004-03-19 | ||
| JP2004331334A JP4396490B2 (ja) | 2004-03-19 | 2004-11-16 | 名寄せ制御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005301978A JP2005301978A (ja) | 2005-10-27 |
| JP4396490B2 true JP4396490B2 (ja) | 2010-01-13 |
Family
ID=35333369
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004331334A Expired - Fee Related JP4396490B2 (ja) | 2004-03-19 | 2004-11-16 | 名寄せ制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4396490B2 (ja) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008069011A1 (ja) * | 2006-12-04 | 2008-06-12 | Nec Corporation | 情報管理システム、匿名化方法、及び記憶媒体 |
| JPWO2008102754A1 (ja) | 2007-02-21 | 2010-05-27 | 日本電気株式会社 | 情報関連付けシステム、ユーザー情報を関連付ける方法およびプログラム |
| US8862877B2 (en) * | 2008-08-12 | 2014-10-14 | Tivo Inc. | Data anonymity system |
| JP5385052B2 (ja) * | 2009-08-20 | 2014-01-08 | 生活協同組合コープさっぽろ | 販売履歴管理システム、販売履歴管理サーバ、及び販売履歴管理プログラム |
| JP5655718B2 (ja) * | 2011-06-24 | 2015-01-21 | 富士通株式会社 | 変換処理方法、装置及びプログラム、復元処理方法、装置及びプログラム |
| JP5942634B2 (ja) | 2012-06-27 | 2016-06-29 | 富士通株式会社 | 秘匿化装置、秘匿化プログラムおよび秘匿化方法 |
| JP5939580B2 (ja) | 2013-03-27 | 2016-06-22 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 匿名化データを名寄せするための名寄せシステム、並びに、その方法及びコンピュータ・プログラム |
| JP6320288B2 (ja) * | 2014-12-19 | 2018-05-09 | ヤフー株式会社 | 名寄せ装置、名寄せ方法及び名寄せプログラム |
| WO2016117354A1 (ja) * | 2015-01-19 | 2016-07-28 | ソニー株式会社 | 情報処理装置および方法、並びにプログラム |
| JP6819335B2 (ja) * | 2017-02-09 | 2021-01-27 | 富士通株式会社 | パーソナルデータ提供システム、パーソナルデータ提供方法及び情報処理装置 |
| JP6570689B2 (ja) * | 2018-04-02 | 2019-09-04 | ヤフー株式会社 | 名寄せ装置、名寄せ方法及び名寄せプログラム |
| JP7121979B2 (ja) * | 2018-06-28 | 2022-08-19 | 株式会社ライト | レジスター装置 |
| WO2022185542A1 (ja) * | 2021-03-05 | 2022-09-09 | 日本電気株式会社 | サーバ装置、端末、システム、サーバの制御方法及び記憶媒体 |
-
2004
- 2004-11-16 JP JP2004331334A patent/JP4396490B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005301978A (ja) | 2005-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7814119B2 (en) | Control of data linkability | |
| JP2022016621A (ja) | 暗号化装置のフィンガープリントを作成するシステム及び方法 | |
| US8258924B2 (en) | Merchandise-integral transaction receipt | |
| US20120084135A1 (en) | System and method for tracking transaction records in a network | |
| JP4396490B2 (ja) | 名寄せ制御方法 | |
| JP2014515142A (ja) | 端末によってエンティティを認証するための方法及びシステム | |
| JP7085687B2 (ja) | 個人情報管理システム、個人情報管理装置、および個人情報管理方法 | |
| US20020034305A1 (en) | Method and system for issuing service and method and system for providing service | |
| JP5427825B2 (ja) | 仮名化システム | |
| Matsuyama et al. | Distributed digital-ticket management for rights trading system | |
| JP2016536717A (ja) | カスタマープロファイル確立方法 | |
| US10664815B2 (en) | Secure customer relationship marketing system and method | |
| US8635459B2 (en) | Recording transactional information relating to an object | |
| CN111125785A (zh) | 基于区块链的对账方法、对账装置及可读存储介质 | |
| JP5126299B2 (ja) | 購入管理サーバ装置、そのプログラム、購入管理システム、購入管理方法 | |
| JP5193935B2 (ja) | 領収書管理システムおよび方法 | |
| WO2015044693A1 (en) | A method of providing content | |
| JP5534060B2 (ja) | 検索仲介システム | |
| JP2013242840A (ja) | ポイント管理システムおよびポイント管理サーバ | |
| JP2007265090A (ja) | 情報処理装置及び情報処理システム | |
| JP2002312707A (ja) | クレジットカードを用いた決済処理方法 | |
| JP4730364B2 (ja) | 購入管理サーバ装置、そのプログラム、購入管理システム、購入管理方法 | |
| KR102540413B1 (ko) | 판매관리시스템의 전자영수증 서비스 제공 방법 및 시스템 | |
| JP2006209676A (ja) | セキュリティシステム及びセキュリティ方法 | |
| JP4236432B2 (ja) | 販売促進支援システムおよび販売促進支援方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20060425 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070312 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090611 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090630 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090828 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090929 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20091012 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121030 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121030 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131030 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |