JP4417132B2 - プライバシ情報管理サーバ及び方法並びにプログラム - Google Patents
プライバシ情報管理サーバ及び方法並びにプログラム Download PDFInfo
- Publication number
- JP4417132B2 JP4417132B2 JP2004042829A JP2004042829A JP4417132B2 JP 4417132 B2 JP4417132 B2 JP 4417132B2 JP 2004042829 A JP2004042829 A JP 2004042829A JP 2004042829 A JP2004042829 A JP 2004042829A JP 4417132 B2 JP4417132 B2 JP 4417132B2
- Authority
- JP
- Japan
- Prior art keywords
- privacy information
- user
- information
- privacy
- information management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本発明は、不特定多数のプロバイダに対する、ユーザのプライバシ情報の利用提供に係わり、ユーザのプライバシ情報の提供に際して、利便性と匿名性確保とを行うことを目的とするプライバシ情報管理サーバ、方法及びプラグラムに関する。
将来のネットワーク環境は、インターネットを中心としたホモジニアスな(Homogeneous : 均質な)世界から、携帯電話,センサ, PC(パーソナルコンピュータ)及び情報家電などの様々な端末の接続されるヘテロジニアスな(Heterogeneous : 不均質な)世界へと変化しつつある。このようなネットワーク環境を実現するための基盤技術が、ユビキタスネットワーキング技術である。
ネットワークに接続される多種多量な端末は、多様化及び遍在化し、互いに協調連携しながら、ユーザの嗜好や置かれている環境に適した広域アプリケーションサービスを提供する。
ネットワークに接続される多種多量な端末は、多様化及び遍在化し、互いに協調連携しながら、ユーザの嗜好や置かれている環境に適した広域アプリケーションサービスを提供する。
ユビキタスネットワーキング環境においては、センサやアクチュエータがネットワークに接続されることにより、物理世界とアプリケーションサービスの連携がスムーズになる。
これは、ネットワーク環境がユーザを支援するユーザ支援型のサービスシナリオであり、ユーザにとっては、アプリケーションサービス起動のための入力が軽減され、個人情報と組み合わせることで、意識することなくサービスを受けることができる。
これは、ネットワーク環境がユーザを支援するユーザ支援型のサービスシナリオであり、ユーザにとっては、アプリケーションサービス起動のための入力が軽減され、個人情報と組み合わせることで、意識することなくサービスを受けることができる。
上述のサービスの前提とするシステムの構成とアプリケーション例を図4に示す。
ネットワーク15には、携帯電話1やPCなどのユーザ端末10,11や、プロバイダ端末12,13、ディスプレイ機能付きテーブル14など様々なユビキタス端末が接続されている。
また、ネットワーク15には、認証サーバ16や位置情報管理サーバ17など各種サーバが接続されている。
ネットワーク15には、携帯電話1やPCなどのユーザ端末10,11や、プロバイダ端末12,13、ディスプレイ機能付きテーブル14など様々なユビキタス端末が接続されている。
また、ネットワーク15には、認証サーバ16や位置情報管理サーバ17など各種サーバが接続されている。
そして、人検知や体温測定などを行うセンサにより構成されるセンサネットワーク18がある。
このセンサネットワーク18において収集したセンス情報は、ネットワーク15にあるセンス情報管理サーバ19で管理される。
ユーザはユーザ端末10を保持しており、このユーザ端末10においては、ユーザ自身が設定したユーザの嗜好情報やユーザ自身を特定する情報,嗜好や脆弱性情報を元に端末ソフトウェアが生成したアクセス制御リスト(ACL)、GPS(Global Positioning System)とネットワーク上の位置情報管理サーバ17とにより位置情報を獲得する。
このセンサネットワーク18において収集したセンス情報は、ネットワーク15にあるセンス情報管理サーバ19で管理される。
ユーザはユーザ端末10を保持しており、このユーザ端末10においては、ユーザ自身が設定したユーザの嗜好情報やユーザ自身を特定する情報,嗜好や脆弱性情報を元に端末ソフトウェアが生成したアクセス制御リスト(ACL)、GPS(Global Positioning System)とネットワーク上の位置情報管理サーバ17とにより位置情報を獲得する。
ユーザ端末10は、移動先で適宜ネットワークと接続され、ネットワーク15を介してプロバイダ端末12,13経由で提供するアプリケーションサービスを利用する。
ネットワーク15には、インターネットの他に、ホームネットワーク,センサネットワーク18,アドホックネットワークといったような様々な種類があり、それらは、ゲートウェイ110などを介して相互接続されている。
ネットワーク15には、インターネットの他に、ホームネットワーク,センサネットワーク18,アドホックネットワークといったような様々な種類があり、それらは、ゲートウェイ110などを介して相互接続されている。
次に、アプリケーション例を用いて、本発明で想定しているシステムの概要を説明する。
(1)ユーザ端末10は、ユーザが自宅からレストランの前に移動したことを検出する。
(2)プロバイダ13の前に立ったユーザを、センサネットワーク18を構成する人検出センサが検出し、センス情報としてセンス情報管理サーバ19に通知する。プロバイダ端末13で提供されるサービスは、センス情報管理サーバ19をポーリングし、必要なプライバシ情報を取得する。プロバイダ端末は、ユーザ端末10にサービスに関するメッセージを送信する。
(1)ユーザ端末10は、ユーザが自宅からレストランの前に移動したことを検出する。
(2)プロバイダ13の前に立ったユーザを、センサネットワーク18を構成する人検出センサが検出し、センス情報としてセンス情報管理サーバ19に通知する。プロバイダ端末13で提供されるサービスは、センス情報管理サーバ19をポーリングし、必要なプライバシ情報を取得する。プロバイダ端末は、ユーザ端末10にサービスに関するメッセージを送信する。
(3)ユーザは、ディスプレイ機能付きテーブル14に座る。椅子についている人検知セ ンサによりユーザが席についたことを検出し、同時にディスプレイ機能付きテーブ ル14のデバイスIDをセンサネットワーク18経由でセンス情報管理サーバ19に通知する。プロバイダ端末12で提供されるビデオコンテンツ配送サービスは、センス情報管理サーバ19をボーリングすることでデバイスIDと人検知情報を入手する。本情報元に、ビデオコンテンツをディスプレイ機能付きテーブル14に流す。
プライバシ情報とは、ユーザIDに付随した個人に関する情報である。これまでのプライバシ情報とは、名前,住所,年齢,性別,病歴,家族構成などのユーザの属性,嗜好,意図,および、これらの履歴などのユーザが端末から入力した静的な情報(静的プライバシ情報:S-privacy)に関する情報が主であった。
しかし、ユビキタスネットワーキング環境においては、生体,温度,人検知などのセンサによって取得できる情報,位置,時刻,電子マネーや乗車記録などのユーザの行動に付随して取得できる情報,およびこれらの履歴などユーザの挙動や振る舞いをシステムが感知して取得する動的な情報(動的プライバシ情報:D-privacy)もプライバシ情報に含まれるようになり、これらのユーザのプライバシに関する情報は増加の一途を辿ると考えられる。
しかし、ユビキタスネットワーキング環境においては、生体,温度,人検知などのセンサによって取得できる情報,位置,時刻,電子マネーや乗車記録などのユーザの行動に付随して取得できる情報,およびこれらの履歴などユーザの挙動や振る舞いをシステムが感知して取得する動的な情報(動的プライバシ情報:D-privacy)もプライバシ情報に含まれるようになり、これらのユーザのプライバシに関する情報は増加の一途を辿ると考えられる。
一般に、プライバシ情報の利用において、匿名性と利便性とはトレードオフの関係にある。よって、プライバシ情報利用のシステム化のためには、匿名性を適正に評価する手法の確立が必要である。
これに対応して、ネットワーク上にあるprivacy proxy を介して、ユーザとプロバイダのend-to-endにおける公開可能なプライバシ情報のネゴシエーションを行う方法が提案されている(非特許文献1参照)。
これに対応して、ネットワーク上にあるprivacy proxy を介して、ユーザとプロバイダのend-to-endにおける公開可能なプライバシ情報のネゴシエーションを行う方法が提案されている(非特許文献1参照)。
しかし、上記従来技術で前提としているのは、S-privacyに対応するであり、D-privacyをプライバシ情報に含めた形で本従来技術を実現した場合、プライバシ情報の情報量の増加とサービス提供頻度とが増加するため、情報公開のためのネゴシエーションの回数が増加し、サービスに必要な処理が煩雑になる。
ユーザIDとプライバシ情報とを分離して、サービス起動制御を行う方式が提案されており、ユーザIDを用いず、位置情報をトリガにしてサービスを提案/提供するものである(非特許文献2及び3参照)。
しかしながら、上述した従来例においては、位置情報以外のD-privacy情報,およびプライバシ情報の組み合わせによるユーザの推定などについては、何ら規定がない。
ユーザ嗜好フィルタを用いて、ユーザの嗜好にあったサービスを検索する方式は、ユーザがS/D-privacyを元にあらかじめユーザ嗜好フィルタを生成し、フィルタを元にネットワーク上に該当するサービスがないかを検索する(非特許文献4参照)。
この従来技術においては、行動が変化する度にフィルタを生成し直す必要があり、ユー-ザの処理が煩雑になる。
しかしながら、上述した従来例においては、位置情報以外のD-privacy情報,およびプライバシ情報の組み合わせによるユーザの推定などについては、何ら規定がない。
ユーザ嗜好フィルタを用いて、ユーザの嗜好にあったサービスを検索する方式は、ユーザがS/D-privacyを元にあらかじめユーザ嗜好フィルタを生成し、フィルタを元にネットワーク上に該当するサービスがないかを検索する(非特許文献4参照)。
この従来技術においては、行動が変化する度にフィルタを生成し直す必要があり、ユー-ザの処理が煩雑になる。
また、この従来技術は、ネットワークにフィルタを送信する際、ユーザIDとフィルタ送信ログをとることで不特定多数のプロバイダにプライバシ情報を知られてしまう。
アンケートに協力したユーザが自分を含めたアンケート結果を知るといったアプリケーション利用例のように、プライバシ情報を提供したユーザ自身が、プライバシ情報の利用者になる場合がある。このように、上記従来技術は、ユーザとプロバイダに限った場合だけではなく、ユーザが、他のユーザのプライバシ情報を利用する場合も同様の問題が発生する。
Borriellorら[G.Borriello,L.E.Holmquist;" A Privacy Awareness System for Ubiquitous Computing Environments" In 4th International Conference on Ubiquitous Computing(UbiComp2002),Springer-Verlag LNCS 2498,pp.237-245,September 2002. 辛島明男,和泉憲明,車谷浩一,中島秀之:"ユビキタス環境におけるコンテンツ流通のためのマルチエージェントアーキテクチャ:CONSORTS",情処研報 Vol.2003,No.39, pp.7-14, 2003. 中島秀之,橋田浩一,森彰,伊藤日出男,本村陽一,車谷浩一,山本吉伸,和泉潔,野田五十樹,"情報インフラに基づくグラウンディングとその応用−サイバーアシストプロジェクトの概要−"コンピュータソフトウェア, Vol.18,No4, pp.48-56,2001. 柴田弘,星合隆成,"パーソナライズ情報提案サービスにおける自律エージェンド",信学技報, KBSE2001-56, pp.53-60, 2001.
アンケートに協力したユーザが自分を含めたアンケート結果を知るといったアプリケーション利用例のように、プライバシ情報を提供したユーザ自身が、プライバシ情報の利用者になる場合がある。このように、上記従来技術は、ユーザとプロバイダに限った場合だけではなく、ユーザが、他のユーザのプライバシ情報を利用する場合も同様の問題が発生する。
Borriellorら[G.Borriello,L.E.Holmquist;" A Privacy Awareness System for Ubiquitous Computing Environments" In 4th International Conference on Ubiquitous Computing(UbiComp2002),Springer-Verlag LNCS 2498,pp.237-245,September 2002. 辛島明男,和泉憲明,車谷浩一,中島秀之:"ユビキタス環境におけるコンテンツ流通のためのマルチエージェントアーキテクチャ:CONSORTS",情処研報 Vol.2003,No.39, pp.7-14, 2003. 中島秀之,橋田浩一,森彰,伊藤日出男,本村陽一,車谷浩一,山本吉伸,和泉潔,野田五十樹,"情報インフラに基づくグラウンディングとその応用−サイバーアシストプロジェクトの概要−"コンピュータソフトウェア, Vol.18,No4, pp.48-56,2001. 柴田弘,星合隆成,"パーソナライズ情報提案サービスにおける自律エージェンド",信学技報, KBSE2001-56, pp.53-60, 2001.
本発明は、D-privacyの追加により、privacy proxyを介した場合の処理の煩雑化やフィルタを利用した場合の処理の煩雑さやプライバシ情報の露見のような事情に鑑みてなされたもので、ユビキタスネットワーキング環境において、サービスを利用提供する際のプライバシ保護に関するものであり、プライバシ情報の公開の可否を判断できるプライバシ情報管理サーバ及びその方法を提供する。
本発明のプライバシ情報管理サーバは、複数の端末間を接続し通信を行うためのネットワークにおける前記端末のユーザのプライバシ情報を管理するプライバシ情報管理サーバであり、ユーザのプライバシ情報を格納するプライバシ情報データベースと、該プライバシ情報データベースにおけるプライバシ情報の管理を行うプライバシ情報管理手段と、前記プライバシ情報データベースにおける登録ユーザ総数に対する、プライバシ情報の種類から特定されるユーザの割合を計算する統計処理手段とを有し、前記プライバシ情報管理手段が、ユーザのプライバシ情報の要求メッセージを前記端末から受信した際、前記プライバシ情報データベースを検索して、このプライバシ情報が検索されると、前記統計処理手段が登録ユーザ総数に対するそのプライバシ情報を有する該ユーザの割合を計算し、あらかじめ定めた閾値以上である場合、前記端末にプライバシ情報を送信することを特徴とする。
本発明のプライバシ情報管理サーバは、前記プライバシ情報管理手段が、前記端末からユーザのプライバシ情報の登録依頼のメッセージを受信すると、前記プライバシ情報データベースに該ユーザのプライバシ情報を格納し、該端末がネットワークから離脱したことを検出すると、このユーザのプライバシ情報をプライバシ情報データベースから削除することを特徴とする。
本発明のプライバシ情報管理サーバは、前記プライバシ情報データベースに、前記プライバシ情報が、属性と属性値の形式で登録されており、統計処理手段が、すべてのユーザのプライバシ情報を訓練事例とした場合、前記プライバシ情報を要求する端末から指定された属性と属性値を判断に用いた場合の情報エントロピー値に対して閾値を設定することを特徴とする。
本発明のプライバシ情報管理サーバは、保護したいユーザの属性と属性値の情報エントロピーに対して、プライバシ情報を要求する端末に属性と属性値を送信することで減少する情報エントロピー値を正規化し、正規化した値に対して閾値が設定されていることを特徴とする。
本発明のプライバシ情報管理サーバは、時間を計測するタイマ手段と、該計測時間内に前記端末に対して提供した前記属性及び該属性値を格納する情報公開履歴格納手段とを有し、前記タイマ手段であらかじめ定めた時間内に、前記端末に提供した前記属性および属性値を、前記情報公開履歴格納手段によりプライバシ情報データベースに蓄積し、前記統計処理手段が情報エントロピー値に対して閾値を設定することを特徴とする。
本発明のプライバシ情報管理サーバは、プライバシ情報管理手段が、ユーザのプライバシ情報を前記プライバシ情報データベースに登録する際、ユーザの指定する閾値を設定しておき、前記統計処理手段が計算した結果の照合を前記閾値と照合することを特徴とする。
本発明のプライバシ情報管理サーバは、プライバシ情報管理手段が、プライバシ情報の公開を許可する、ユーザの指定するユーザ情報を、アクセス権として前記プライバシ情報データベースに設定しておき、前記統計処理手段での計算の結果、情報エントロピー値が前記閾値を超えており、かつプロバイダ情報管理手段が、前記ユーザ情報から、該ユーザにアクセス権があることを検出した場合、該ユーザの端末にプライバシ情報を送信することを特徴とする。
本発明のプライバシ情報管理サーバは、暗号化及びプロバイダの認証を行うセキュリティ実現手段を有し、前記統計処理手段での計算の結果、情報エントロピー値が閾値を超えており、かつ前記プライバシ情報管理手段が前記アクセス権により、プライバシ情報を公開可能なユーザであることを検出した場合、前記セキュリティ実現手段が、プロバイダの認証を行い、プライバシ情報を暗号化して、該ユーザの端末に送信することを特徴とする。
本発明のプライバシ情報管理方法は、複数の端末間を接続し通信を行うためのネットワークにおける前記端末のユーザのプライバシ情報を管理するプライバシ情報管理方法であり、ユーザのプライバシ情報をプライバシ情報データベースに格納する記憶過程と、該プライバシ情報データベースにおけるプライバシ情報の管理を行うプライバシ情報管理過程と、前記プライバシ情報データベースにおける登録ユーザ総数に対する、プライバシ情報の種類から特定されるユーザの割合を計算する統計処理過程とを有し、前記プライバシ情報管理過程において、ユーザのプライバシ情報の要求メッセージを端末から受信した際、前記プライバシ情報データベースを検索して、このプライバシ情報が検索されると、前記統計処理過程において登録ユーザ総数に対するそのプライバシ情報を有する該ユーザの割合を計算し、あらかじめ定めた閾値以上である場合、前記ユーザ端末にプライバシ情報を送信することを特徴とする。
本発明のプライバシ情報管理プログラムは、複数の端末間を接続し通信を行うためのネットワークにおける前記端末のユーザのプライバシ情報を管理するプライバシ情報管理プログラムであり、ユーザのプライバシ情報をプライバシ情報データベースに格納する記憶処理と、該プライバシ情報データベースにおけるプライバシ情報の管理を行うプライバシ情報管理処理と、前記プライバシ情報データベースにおける登録ユーザ総数に対する、プライバシ情報の種類から特定されるユーザの割合を計算する統計処理とを有し、前記プライバシ情報管理処理において、ユーザのプライバシ情報の要求メッセージを端末から受信した際、前記プライバシ情報データベースを検索して、このプライバシ情報が検索されると、前記統計処理において登録ユーザ総数に対するそのプライバシ情報を有する該ユーザの割合を計算し、あらかじめ定めた閾値以上である場合、前記端末にプライバシ情報を送信するプライバシ情報管理を行うコンピュータの実行可能なプログラムである。
本発明の記録媒体は、上記プライバシ情報管理プログラムが記録されたコンピュータの読み取り可能な記憶媒体である。
上述したように、本発明は、プライバシ情報の公開の可否をシステムが判断できる手段を提供するため、プライバシ情報を上記プライバシ情報管理サーバにより管理し、サービス起動時に利用を許可する。
そして、プロバイダが当該プライバシ情報管理サーバに対して、プライバシ情報提供を要求した場合、上述した統計処理手段によりプライバシ情報管理サーバ内の匿名性に対して統計的手法で評価を行い、あらかじめ定めた閾値により、公開するか否か判断する。
この閾値の設定方法としてはユーザ個別に設定が可能であり、また、アプリケーションによって高いセキュリティが要求される場合、上記セキュリティ実現手段を追加し対応することができる。
そして、プロバイダが当該プライバシ情報管理サーバに対して、プライバシ情報提供を要求した場合、上述した統計処理手段によりプライバシ情報管理サーバ内の匿名性に対して統計的手法で評価を行い、あらかじめ定めた閾値により、公開するか否か判断する。
この閾値の設定方法としてはユーザ個別に設定が可能であり、また、アプリケーションによって高いセキュリティが要求される場合、上記セキュリティ実現手段を追加し対応することができる。
このように、本発明は、プライバシ情報の利便性向上とプライバシ情報利用の際の匿名性についての定量的尺度を示すものであり、サービス利用に必要なプライバシ情報をネットワーク上のサーバで管理し、プロバイダのサービス起動に必要な情報を、統計的手法によりユーザまたはシステムであらかじめ定めた閾値で管理することにより、匿名性に対する基準を規定することができ、利便性を向上させる作用を有する。
以上説明したように、本発明のプライバシ情報管理サーバによれば、S及びD-privacyの提供による匿名性の低下尺度を与えることができるため、プライバシ情報の機密性の高さに応じたセキュリティ技術を付与することが可能となる。
また、本発明のプライバシ情報管理サーバによれば、ネットワーク上において、このネットワーク系に含まれるユーザのプライバシ情報を一括管理し、公開の是非を管理するため、サービス提供の利便性が向上する。
また、本発明のプライバシ情報管理サーバによれば、ネットワーク上において、このネットワーク系に含まれるユーザのプライバシ情報を一括管理し、公開の是非を管理するため、サービス提供の利便性が向上する。
以下に述べる実施形態は、プライバシ情報を求めるユーザがネットワークサービスの提供者(以下、「サービス提供者」または「プロバイダ」と記す)であるとして説明する。
本発明のプライバシ情報管理サーバは、図1に示すように、サービス利用者のユーザ端末11,12,サービス提供者のユーザ端末(以下、「プロバイダ端末」と記す)14、これらユーザ端末11,12とプロバイダ端末14間を接続し通信を行うためのネットワークにおけるユーザのプライバシ情報を管理するプライバシ情報管理サーバ20であり、ユーザのプライバシ情報を格納するプライバシ情報データベースと、該プライバシ情報データベースにおけるプライバシ情報の管理を行うプライバシ情報管理部と、前記プライバシ情報データベースにおける登録ユーザ総数に対する、プライバシ情報の種類から特定されるユーザの割合を計算する統計処理部とを有し、前記プライバシ情報管理部が、サービスを提供するのに必要なユーザのプライバシ情報の要求メッセージをプロバイダ端末から受信した際、前記プライバシ情報データベースを検索して、このプライバシ情報が検索されると、上記統計処理部が登録ユーザ総数に対するそのプライバシ情報を有する該ユーザの割合を計算し、あらかじめ定めた閾値以上である場合、前記プロバイダにプライバシ情報を送信し、閾値以下である場合、プライバシ情報を公開しないことを特徴とする。
本発明のプライバシ情報管理サーバは、図1に示すように、サービス利用者のユーザ端末11,12,サービス提供者のユーザ端末(以下、「プロバイダ端末」と記す)14、これらユーザ端末11,12とプロバイダ端末14間を接続し通信を行うためのネットワークにおけるユーザのプライバシ情報を管理するプライバシ情報管理サーバ20であり、ユーザのプライバシ情報を格納するプライバシ情報データベースと、該プライバシ情報データベースにおけるプライバシ情報の管理を行うプライバシ情報管理部と、前記プライバシ情報データベースにおける登録ユーザ総数に対する、プライバシ情報の種類から特定されるユーザの割合を計算する統計処理部とを有し、前記プライバシ情報管理部が、サービスを提供するのに必要なユーザのプライバシ情報の要求メッセージをプロバイダ端末から受信した際、前記プライバシ情報データベースを検索して、このプライバシ情報が検索されると、上記統計処理部が登録ユーザ総数に対するそのプライバシ情報を有する該ユーザの割合を計算し、あらかじめ定めた閾値以上である場合、前記プロバイダにプライバシ情報を送信し、閾値以下である場合、プライバシ情報を公開しないことを特徴とする。
<第1の実施形態>
以下、本発明の第1の実施形態(請求項1及び2に対応)によるプライバシ情報管理サーバを図面を参照して説明する。図1は同実施形態を用いたネットワーク構成例を示す概念図である。
この図において、図4に示す従来の装置と同一の部分には同一の符号または名称を付し、その説明を省略する。この図1に示す装置が従来の図4に示す装置と異なる点は、ユーザのプライバシを管理するプライバシ情報管理サーバ20を追加して設けられている点である。
以下、本発明の第1の実施形態(請求項1及び2に対応)によるプライバシ情報管理サーバを図面を参照して説明する。図1は同実施形態を用いたネットワーク構成例を示す概念図である。
この図において、図4に示す従来の装置と同一の部分には同一の符号または名称を付し、その説明を省略する。この図1に示す装置が従来の図4に示す装置と異なる点は、ユーザのプライバシを管理するプライバシ情報管理サーバ20を追加して設けられている点である。
また、ユーザ端末11及び12、プロバイダ端末13及び14には、エージェント301〜304が搭載されており、ユーザやプロバイダの処理支援を行う。
そして、信頼関係のないユーザとプロバイダとの最初のコミュニケーション手段としては、ネットワーク掲示板21が利用される。
すなわち、プロバイダは、ユーザに提案したいサービスをネットワーク掲示板21に掲示し、ユーザは定期的に掲示板を見に行き、コミュニケーションを取るか否かの判断を行う。
そして、信頼関係のないユーザとプロバイダとの最初のコミュニケーション手段としては、ネットワーク掲示板21が利用される。
すなわち、プロバイダは、ユーザに提案したいサービスをネットワーク掲示板21に掲示し、ユーザは定期的に掲示板を見に行き、コミュニケーションを取るか否かの判断を行う。
また、図2に、図1における、本発明におけるプライバシ情報データベース(DB)管理部31およびプライバシ情報DB32、統計処理部33から構成されるプライバシ情報管理サーバ20の構成を示す。
プライバシ情報データベース(DB)管理部31は、ネットワークヘの接続/離脱を契機に、ユーザ端末のエージェント301経由で、ユーザから送信されたこのユーザのプライバシ情報の格納/削除/検索を行う。
プライバシ情報データベース(DB)管理部31は、ネットワークヘの接続/離脱を契機に、ユーザ端末のエージェント301経由で、ユーザから送信されたこのユーザのプライバシ情報の格納/削除/検索を行う。
プライバシ情報DB32には、ユーザID,S/D-privacy,ユーザのエージェント301〜302が定期的に見に行くネットワーク掲示板ID(YPID)を格納されている。
ここで、D-privacyは、プライバシ情報データベース(DB)管理部31により、一定時間毎か、または新たなプライバシ情報が入力された時点において、FIFO (First In First out)方式により書換えが行割れる。
統計処理手段33は、プライバシ情報DB32の中から、プライバシ情報DB管理部31経由により、プロバイダが要求するS/D-privacy情報検索式に対応するユーザ数を算出する。
ここで、D-privacyは、プライバシ情報データベース(DB)管理部31により、一定時間毎か、または新たなプライバシ情報が入力された時点において、FIFO (First In First out)方式により書換えが行割れる。
統計処理手段33は、プライバシ情報DB32の中から、プライバシ情報DB管理部31経由により、プロバイダが要求するS/D-privacy情報検索式に対応するユーザ数を算出する。
次に、図3を参照して、図2に示すプライバシ情報管理サーバ20の動作を説明する。この図3は、プライバシ情報管理サーバ20の処理の動作例を示すフローチャートである。
ユーザは、ユーザ端末11をネットワークに接続した際、ユビキタスサービスを受けるのと引き換えに提示してもよいS-privacyを、エージェント301を用いて<属性,属性値>としてプライバシ情報管理サーバ20に登録する。
ユーザは、ユーザ端末11をネットワークに接続した際、ユビキタスサービスを受けるのと引き換えに提示してもよいS-privacyを、エージェント301を用いて<属性,属性値>としてプライバシ情報管理サーバ20に登録する。
このとき、D-privacyに関しては、属性のみプライバシ情報DB管理部31が用いられ、プライバシ情報DB32に登録される。
また、D-privacyの属性値は、センス情報管理サーバ19、プライバシ情報DB管理部31により、プライバシ情報DB32に随時登録される。
D-privacyの属性値は、あらかじめ決めたルール(例えばFIFO方式)で書換える(3001)。
また、D-privacyの属性値は、センス情報管理サーバ19、プライバシ情報DB管理部31により、プライバシ情報DB32に随時登録される。
D-privacyの属性値は、あらかじめ決めたルール(例えばFIFO方式)で書換える(3001)。
次に、プロバイダのエージェント303は、あらかじめ定めた契機において、サービスを利用してくれるユーザがネットワークに接続されているかを、<属性,属性値>のペアの要求をプライバシ情報管理サーバ20に送信することで確認する。
このとき、プロバイダのエージェント303は、<属性,属性値>のペアを、複数指定する場合もある(3002)。
このとき、プロバイダのエージェント303は、<属性,属性値>のペアを、複数指定する場合もある(3002)。
そして、プライバシ情報DB管理部31は、プライバシ情報DB32から該当する<属性,属性値>の有無を検索して確認する(3003, 3004)。
プライバシ情報DB管理部31は、プライバシ情報DB32に該当する<属性,属性値>が有ることを検出した場合、統計処理部33により、このネットワーク系にいるユーザ総数の中で、指定された<属性,属性値>を持つユーザ数を計算する(3005)。
一方、プライバシ情報DB管理部31は、該当する<属性,属性値>が検出されない場合、該当するユーザがいない旨をプロバイダのエージェント303に通知する(3007)。
プライバシ情報DB管理部31は、プライバシ情報DB32に該当する<属性,属性値>が有ることを検出した場合、統計処理部33により、このネットワーク系にいるユーザ総数の中で、指定された<属性,属性値>を持つユーザ数を計算する(3005)。
一方、プライバシ情報DB管理部31は、該当する<属性,属性値>が検出されない場合、該当するユーザがいない旨をプロバイダのエージェント303に通知する(3007)。
次に、プライバシ情報DB管理部31は、統計処理部33がユーザ総数に対する該ユーザの占める割合を計算した結果(3006)、この割合がシステムであらかじめ設定した同値より多い(以上である)場合、システムで定めた匿名性の基準を満足しているとみなし、プロバイダが指定した<属性,属性値>を満たすユーザのエージェント301が利用するネットワーク掲示板21のYPIDを通知する(3008)。
一方、プライバシ情報DB管理部31は、統計処理部33がユーザ総数に対する該ユーザの占める割合を計算した結果(3006)、この割合がシステムであらかじめ設定した閾値より少ない場合、システムが指定した匿名性を満足していないとみなし、該当するユーザがいない旨通知する(3007)。
一方、プライバシ情報DB管理部31は、統計処理部33がユーザ総数に対する該ユーザの占める割合を計算した結果(3006)、この割合がシステムであらかじめ設定した閾値より少ない場合、システムが指定した匿名性を満足していないとみなし、該当するユーザがいない旨通知する(3007)。
これにより、プロバイダのエージェント303は、通知されたYPIDを元にネットワーク掲示板21へ、プロバイダID,サービス内容,有効期限を登録する(3009)。
そして、ユーザのエージェント301は、定期的にネットワーク掲示板21を参照しに行き、ユーザ嗜好や行動にあったサービスがあれば、ユーザに提案し、ユーザが許可すればプロバイダにアクセスしてサービスを利用する。
そして、ユーザのエージェント301は、定期的にネットワーク掲示板21を参照しに行き、ユーザ嗜好や行動にあったサービスがあれば、ユーザに提案し、ユーザが許可すればプロバイダにアクセスしてサービスを利用する。
本第1の実施形態は、ネットワーク掲示板をユーザインタフェースとして用いたが、プライバシ情報が公開可能な場合、ユーザとプロバイダの間の一時的な通信を行うセッションIDを発行し、プロバイダとユーザで直接通信を行う方法もある。
また、本第1の実施形態は、ユーザ/プロバイダ間のプライバシ情報公開の可否について述べたが、プライバシ情報の提供者であるユーザが、ユーザ端末11または12を介してプライバシ情報管理サーバ20から統計値としてのプライバシ情報を利用する方法もある。
これにより、ネットワークに接続しているユーザとプロバイダまたはユーザのようなプライバシ情報利用者が、個別にend-to-endで公開可能なプライバシ情報のネゴシエーションしなくとも、あらかじめ規定した匿名性レベルが確保できる。
さらに、ユーザのプライバシ情報登録とは非同期にプライバシ情報を利用できるため、プロバイダまたはユーザといったプライバシ情報利用者のプライバシ情報に対する利便性が向上する。
また、本第1の実施形態は、ユーザ/プロバイダ間のプライバシ情報公開の可否について述べたが、プライバシ情報の提供者であるユーザが、ユーザ端末11または12を介してプライバシ情報管理サーバ20から統計値としてのプライバシ情報を利用する方法もある。
これにより、ネットワークに接続しているユーザとプロバイダまたはユーザのようなプライバシ情報利用者が、個別にend-to-endで公開可能なプライバシ情報のネゴシエーションしなくとも、あらかじめ規定した匿名性レベルが確保できる。
さらに、ユーザのプライバシ情報登録とは非同期にプライバシ情報を利用できるため、プロバイダまたはユーザといったプライバシ情報利用者のプライバシ情報に対する利便性が向上する。
<第2の実施形態>
第2の実施形態は、請求項3を説明するためのものであり、統計処理部33にて行われる計算的統計量を情報エントロピーとしたものである。他の処理及び構成は第1の実施形態と同様である。
すべてのユーザのプライバシ情報を訓練事例とする。ユーザ"Alice"やA社の女子社員といったような匿名にしたい属性の属性値のクラスを正、そうでない属性値のクラスを負として表現する場合を訓練事例の持つ情報エントロピーH0とし、単一または複数指定の属性Fを判断に用いた場合の情報エントロピーHFとした場合、H0,HFは以下の式で表現される。
第2の実施形態は、請求項3を説明するためのものであり、統計処理部33にて行われる計算的統計量を情報エントロピーとしたものである。他の処理及び構成は第1の実施形態と同様である。
すべてのユーザのプライバシ情報を訓練事例とする。ユーザ"Alice"やA社の女子社員といったような匿名にしたい属性の属性値のクラスを正、そうでない属性値のクラスを負として表現する場合を訓練事例の持つ情報エントロピーH0とし、単一または複数指定の属性Fを判断に用いた場合の情報エントロピーHFとした場合、H0,HFは以下の式で表現される。
ここで、情報エントロピーH0及びHFをプライバシ情報公開のための評価尺度として用い、これらから閾値を設定する。
H0=−P+log2(P+)−P−log2(P−)
上式において、
P+=訓練事例の正の確率
P−=訓練事例の負の確率
H0=−P+log2(P+)−P−log2(P−)
上式において、
P+=訓練事例の正の確率
P−=訓練事例の負の確率
上式において、
Pi+=Fの属性値の集合を{ν1,ν2,…>νi>…>νnF}とした場合、Fがνiである正の確率
Pi−=Fの属性値の集合を{ν1,ν2,…>νi>…>νnF}とした場合、Fがνiである負の確率
Pi+=Fの属性値の集合を{ν1,ν2,…>νi>…>νnF}とした場合、Fがνiである正の確率
Pi−=Fの属性値の集合を{ν1,ν2,…>νi>…>νnF}とした場合、Fがνiである負の確率
ここで、ユーザ総数に変動がない場合、つまりΔt内に訓練事例の変化がない場合、情報エントロピーを用いることにより、ユーザ"Alice"の匿名性だけでなく、A社の女子社員といったような同じ属性を持つユーザの集合に対する匿名性についても閾値を設定できる。
<第3の実施形態>
第3の実施形態は,請求項4を説明するためのものであり、第2の実施形態の情報エントロピー値の同値として、保護すべきユーザ属性の情報エントロピーに対して正規化した値を用いる。
例として、F分岐により減少する情報エントロピーの割合DF=HF/H0を匿名性尺度に用いる。
ここで、上記割合DFは、セキリティレベルに応じて、システム毎に規定するかまたはユーザがDFを指定しておく。
この割合DFを用いることにより、ユーザ数、すなわち訓練事例集合およびその屈性分布が異なる場合についても、匿名性の閾値を設定できる。
第3の実施形態は,請求項4を説明するためのものであり、第2の実施形態の情報エントロピー値の同値として、保護すべきユーザ属性の情報エントロピーに対して正規化した値を用いる。
例として、F分岐により減少する情報エントロピーの割合DF=HF/H0を匿名性尺度に用いる。
ここで、上記割合DFは、セキリティレベルに応じて、システム毎に規定するかまたはユーザがDFを指定しておく。
この割合DFを用いることにより、ユーザ数、すなわち訓練事例集合およびその屈性分布が異なる場合についても、匿名性の閾値を設定できる。
<第4の実施形態>
第4の実施形態は、請求項5を説明するためのものであり、第2及び第3の実施形態により、時間計測を行うタイマと、タイマによりあらかじめ定めた時間Δt内にプロバイダに提供した<属性,属性値>の提供履歴情報記録する情報公開履歴格納手段を追加したものである。
Δt内にプロバイダに提供した<属性,属性値>を情報公開履歴格納手段経由でプライバシ情報DB32に蓄積し,この蓄積情報に対して,統計処理部33により情報エントロピー、または割合DFを計算し、プライバシ情報DB管理部31はシステムであらかじめ規定した匿名性に関する閾値に到達した場合、<属性,属性値>の提供を停止し、規定した閾値に達していない場合、<属性,属性値>を提供する。
これによって、Δt内にプライバシ情報管理サーバ20から情報提供を受けたプロバイダ同士またはユーザ同士といったようなプライバシ情報利用者同士が、互いに情報交換しても、一定基準の匿名性は確保できる。
第4の実施形態は、請求項5を説明するためのものであり、第2及び第3の実施形態により、時間計測を行うタイマと、タイマによりあらかじめ定めた時間Δt内にプロバイダに提供した<属性,属性値>の提供履歴情報記録する情報公開履歴格納手段を追加したものである。
Δt内にプロバイダに提供した<属性,属性値>を情報公開履歴格納手段経由でプライバシ情報DB32に蓄積し,この蓄積情報に対して,統計処理部33により情報エントロピー、または割合DFを計算し、プライバシ情報DB管理部31はシステムであらかじめ規定した匿名性に関する閾値に到達した場合、<属性,属性値>の提供を停止し、規定した閾値に達していない場合、<属性,属性値>を提供する。
これによって、Δt内にプライバシ情報管理サーバ20から情報提供を受けたプロバイダ同士またはユーザ同士といったようなプライバシ情報利用者同士が、互いに情報交換しても、一定基準の匿名性は確保できる。
<第5の実施形態>
第5の実施形態は、請求項6を説明するものであり、第1,第2及び第3の実施形態において、匿名性に関する閾値をユーザ自身で決定し、これをプライバシ情報サーバ20に送信することで、プライバシ情報DB管理部31はプライバシ情報DB32に該ユーザの占める割合、または情報エントロピー値,または割合DFの閾値を設定する。
また、プライバシ情報DB管理部31は、統計処理部33において計算した結果を、プライバシ情報DB32に照会し、該閾値により情報公開の可否を判定する。これによって、ユーザ毎に匿名性の閾値を規定できる。
第5の実施形態は、請求項6を説明するものであり、第1,第2及び第3の実施形態において、匿名性に関する閾値をユーザ自身で決定し、これをプライバシ情報サーバ20に送信することで、プライバシ情報DB管理部31はプライバシ情報DB32に該ユーザの占める割合、または情報エントロピー値,または割合DFの閾値を設定する。
また、プライバシ情報DB管理部31は、統計処理部33において計算した結果を、プライバシ情報DB32に照会し、該閾値により情報公開の可否を判定する。これによって、ユーザ毎に匿名性の閾値を規定できる。
<第6の実施形態>
第6の実施形態は、請求項7を説明するためのものであり、プライバシ情報DB32に、プロバイダのプライバシ情報に対するアクセス権を追加することにより、ユーザがプライバシ情報を公開したくないプロバイダまたはユーザを指定できる。
第6の実施形態は、請求項7を説明するためのものであり、プライバシ情報DB32に、プロバイダのプライバシ情報に対するアクセス権を追加することにより、ユーザがプライバシ情報を公開したくないプロバイダまたはユーザを指定できる。
<第7の実施形態>
第7の実施形態は、請求項8説明するためのものであり、第1の実施形態のプライバシ情報管理サーバ20にセキュリティ実現手段を追加する。
このセキュリティ実現手段は、不正アクセスの防御、ユーザのプライバシ情報の格納/削除の際のend-to-endでの通信秘匿,盗聴,改鼠を防御手段として,アクセス履歴,追跡,耐タンパ,脆弱性データベース、暗号,認証などを、プライバシ情報サーバ20外部にある認証サーバなどとの連携によって、セキュリティ確保を実現する。
上記セキュリティ実現手段を追加することによって、通信の暗号化やプロバイダの認証を実現でき、安全性の確保を行うことができる。
第7の実施形態は、請求項8説明するためのものであり、第1の実施形態のプライバシ情報管理サーバ20にセキュリティ実現手段を追加する。
このセキュリティ実現手段は、不正アクセスの防御、ユーザのプライバシ情報の格納/削除の際のend-to-endでの通信秘匿,盗聴,改鼠を防御手段として,アクセス履歴,追跡,耐タンパ,脆弱性データベース、暗号,認証などを、プライバシ情報サーバ20外部にある認証サーバなどとの連携によって、セキュリティ確保を実現する。
上記セキュリティ実現手段を追加することによって、通信の暗号化やプロバイダの認証を実現でき、安全性の確保を行うことができる。
また、さらに強固な安全性が必要な場合、上記セキュリティ実現手段に、TTP(Trusted Third Party)で生成した安全なエージェント:セキュアエージェント(特願2001-331446)にプロバイダとの通信処理を仲介させる。
このセキュアエージェントは、プロバイダからユーザIDを要求された場合、ユーザに当該プロバイダヘユーザIDの公開可否について問い合わせる。
この問い合わせを、ユーザが公開を許可した場合、セキュアエージェントがプロバイダに、公開を許可したユーザIDを通知する。
これにより、オンデマンドにユーザとプロバイダ間、またはユーザ間の2者間の安全な通信が実現できる。
このセキュアエージェントは、プロバイダからユーザIDを要求された場合、ユーザに当該プロバイダヘユーザIDの公開可否について問い合わせる。
この問い合わせを、ユーザが公開を許可した場合、セキュアエージェントがプロバイダに、公開を許可したユーザIDを通知する。
これにより、オンデマンドにユーザとプロバイダ間、またはユーザ間の2者間の安全な通信が実現できる。
<第8の実施形態>
第8の実施形態は、請求項1〜請求項7におけるプライバシ情報共有のスケーラビリティについて説明するものであり、第1の実施形態において、ネットワーク単位または、1つのネットワークを分割した分割単位ごとに、プライバシ情報管理サーバ20を設置する。
このプライバシ情報管理サーバ20には、プライバシ情報を共有するプライバシ情報共有手段を付与し、プライバシ情報管理サーバ20間でプライバシ情報DB32を共有する。
プライバシ情報管理サーバ20間の共有範囲は、ネットワーク管理者がTTL(Time to Live)やサービス内容によってあらかじめ規定しておく。
第8の実施形態は、請求項1〜請求項7におけるプライバシ情報共有のスケーラビリティについて説明するものであり、第1の実施形態において、ネットワーク単位または、1つのネットワークを分割した分割単位ごとに、プライバシ情報管理サーバ20を設置する。
このプライバシ情報管理サーバ20には、プライバシ情報を共有するプライバシ情報共有手段を付与し、プライバシ情報管理サーバ20間でプライバシ情報DB32を共有する。
プライバシ情報管理サーバ20間の共有範囲は、ネットワーク管理者がTTL(Time to Live)やサービス内容によってあらかじめ規定しておく。
また、プライバシ情報DB32を共有する際は、あらかじめ定めた方法により、マスタとなるサーバを規定するか、個々のプライバシ情報管理サーバ20において、統計処理部33が、共有しているプライバシ情報DB32の中で第1から第5の実施形態に示した統計処理計算を行う.
これによって、プロバイダまたはユーザのプライバシ情報利用範囲拡大し、スケーラビリティの確保が実現できる。
これによって、プロバイダまたはユーザのプライバシ情報利用範囲拡大し、スケーラビリティの確保が実現できる。
なお、図1におけるプライバシ情報管理サーバの機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによりユーザのプライバシ情報の管理処理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータシステム」は、ホームページ提供環境(あるいは表示環境)を備えたWWWシステムも含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
10,11 ユーザ端末
12,13 プロバイダ端末
14 ディスプレイ機能付きテーブル
15 ネットワーク
16 認証サーバ
17 位置情報管理サーバ
18 センサネットワーク
19 センス情報管理サーバ
110 ゲートウェイ
20 プライバシ情報管理サーバ
21 ネットワーク掲示板
301、302、303、304 エージェント
31 プライバシ情報データベース(DB)管理部
32 プライバシ情報DB
33 統計処理部
12,13 プロバイダ端末
14 ディスプレイ機能付きテーブル
15 ネットワーク
16 認証サーバ
17 位置情報管理サーバ
18 センサネットワーク
19 センス情報管理サーバ
110 ゲートウェイ
20 プライバシ情報管理サーバ
21 ネットワーク掲示板
301、302、303、304 エージェント
31 プライバシ情報データベース(DB)管理部
32 プライバシ情報DB
33 統計処理部
Claims (15)
- 複数の端末間を接続し通信を行うためのネットワークにおける前記端末のユーザのプライバシ情報を管理するプライバシ情報管理サーバであって、
各ユーザに関する情報と該ユーザのプライバシ情報を格納するプライバシ情報データベースと、
端末からユーザのプライバシ情報を指定する要求メッセージを受信した際に、前記プライバシ情報データベースから該指定されたプライバシ情報を有するユーザを検索するプライバシ情報管理手段と、
前記プライバシ情報データベースにおける登録ユーザ総数に対する、前記プライバシ情報管理手段が検索した前記指定されたプライバシ情報を有するユーザの割合を計算する統計処理手段と
を有し、
前記プライバシ情報管理手段は、前記統計処理手段が計算した結果があらかじめ定めた閾値以上である場合、前記端末に前記指定されたプライバシ情報を有するユーザに関する情報を送信する
ことを特徴とするプライバシ情報管理サーバ。 - 前記プライバシ情報管理手段が、
端末からユーザのプライバシ情報の登録依頼のメッセージを受信した際に、前記プライバシ情報データベースに該ユーザのプライバシ情報を登録し、
該端末がネットワークから離脱したことを検出した際に、このユーザのプライバシ情報を前記プライバシ情報データベースから削除する
ことを特徴とする請求項1記載のプライバシ情報管理サーバ。 - 前記プライバシ情報データベースは、前記プライバシ情報を属性と属性値の形式で格納しており、
前記統計処理手段は、前記割合に代え、すべてのユーザのプライバシ情報を訓練事例とし、前記要求メッセージによって指定された属性と属性値を判断に用いた場合の情報エントロピー値を計算し、
前記プライバシ情報管理手段は、該計算結果である前記情報エントロピー値をあらかじめ定めた閾値と比較する
ことを特徴とする請求項1または請求項2に記載のプライバシ情報管理サーバ。 - 前記統計処理手段は、保護したいユーザの属性と属性値の情報エントロピーに対して、前記要求メッセージによって指定された属性と属性値を、判断に用いた場合の前記情報エントロピー値を正規化し、
前記プライバシ情報管理手段は、該計算結果である前記情報エントロピー値を正規化した値をあらかじめ定めた閾値と比較する
ことを特徴とする請求項3に記載のプライバシ情報管理サーバ。 - 時間を計測するタイマ手段と、
前記タイマ手段であらかじめ定めた計測時間内に前記端末に対して提供した情報に対応する前記属性及び該属性値を格納する情報公開履歴格納手段と
を有し、
前記計測時間内に前記端末に提供した情報に対応する前記属性および属性値を、前記情報公開履歴格納手段から前記プライバシ情報データベースに蓄積し、この蓄積情報に対して、前記統計処理手段が、前記情報エントロピー値または前記情報エントロピー値を正規化した値を計算する
ことを特徴とする請求項3または請求項4に記載のプライバシ情報管理サーバ。 - 前記プライバシ情報データベースは、各ユーザの指定する閾値を格納しており、
前記プライバシ情報管理手段は、前記統計処理手段が計算した結果を前記ユーザの指定する閾値と照合する
ことを特徴とする請求項1から請求項5のいずれかに記載のプライバシ情報管理サーバ。 - 前記プライバシ情報データベースは、プライバシ情報の公開の可否を示す、ユーザの指定するユーザ情報を、アクセス権として格納しており、
前記プライバシ情報管理手段は、前記統計処理手段が計算した結果が前記閾値を超えており、かつ前記ユーザの指定するユーザ情報から、前記要求メッセージを送信した端末にアクセス権があることが検出された場合に、該端末に前記ユーザに関する情報を送信する
ことを特徴とする請求項1から請求項6のいずれかに記載のプライバシ情報管理サーバ。 - 暗号化及びユーザの認証を行うセキュリティ実現手段を有し、
前記要求メッセージを送信した端末に前記ユーザに関する情報を送信する際に、
前記セキュリティ実現手段が、前記要求メッセージを送信した端末のユーザの認証を行い、前記ユーザに関する情報を暗号化して該端末に送信する
ことを特徴とする請求項1から請求項7のいずれかに記載のプライバシ情報管理サーバ。 - 複数の端末間を接続し通信を行うためのネットワークにおける前記端末のユーザのプライバシ情報を管理するプライバシ情報管理方法であって、
プライバシ情報管理手段が、端末からユーザのプライバシ情報を指定する要求メッセージを受信した際に、各ユーザに関する情報と該ユーザのプライバシ情報が格納されたプライバシ情報データベースから、該指定されたプライバシ情報を有するユーザを検索するプライバシ情報管理過程と、
統計処理手段が、前記プライバシ情報データベースにおける登録ユーザ総数に対する、前記プライバシ情報管理手段が検索した前記指定されたプライバシ情報を有するユーザの割合を計算する統計処理過程と
を有し、
前記プライバシ情報管理手段は、前記統計処理手段が計算した結果があらかじめ定めた閾値以上である場合、前記端末に前記指定されたプライバシ情報を有するユーザに関する情報を送信する
ことを特徴とするプライバシ情報管理方法。 - 前記プライバシ情報データベースは、前記プライバシ情報を属性と属性値の形式で格納しており、
前記統計処理過程では、前記統計処理手段が、前記割合に代え、すべてのユーザのプライバシ情報を訓練事例とし、前記要求メッセージによって指定された属性と属性値を判断に用いた場合の情報エントロピー値を計算し、
前記プライバシ情報管理手段は、該計算結果である情報エントロピー値をあらかじめ定めた閾値と比較する
ことを特徴とする請求項9に記載のプライバシ情報管理方法。 - 前記統計処理過程では、前記統計処理手段が、保護したいユーザの属性と属性値の情報エントロピーに対して、前記要求メッセージによって指定された属性と属性値を判断に用いた場合の前記情報エントロピー値を正規化し、
前記プライバシ情報管理手段は、該計算結果である前記情報エントロピー値を正規化した値をあらかじめ定めた閾値と比較する
ことを特徴とする請求項10に記載のプライバシ情報管理方法。 - 複数の端末間を接続し通信を行うためのネットワークにおける前記端末のユーザのプライバシ情報を管理するプライバシ情報管理プログラムであって、コンピュータを
端末からユーザのプライバシ情報を指定する要求メッセージを受信した際に、各ユーザに関する情報と該ユーザのプライバシ情報が格納されたプライバシ情報データベースから、該指定されたプライバシ情報を有するユーザを検索するプライバシ情報管理手段、
前記プライバシ情報データベースにおける登録ユーザ総数に対する、前記プライバシ情報管理手段が検索した前記指定されたプライバシ情報を有するユーザの割合を計算する統計処理手段、
として機能させ、
前記プライバシ情報管理手段は、前記統計処理手段が計算した結果があらかじめ定めた閾値以上である場合、前記端末に前記指定されたプライバシ情報を有するユーザに関する情報を送信する
ことを特徴とするプライバシ情報管理プログラム。 - 前記プライバシ情報データベースは、前記プライバシ情報を属性と属性値の形式で格納しており、
前記統計処理手段は、前記割合に代え、すべてのユーザのプライバシ情報を訓練事例とし、前記要求メッセージによって指定された属性と属性値を判断に用いた場合の情報エントロピー値を計算し、
前記プライバシ情報管理手段は、該計算結果である情報エントロピー値をあらかじめ定めた閾値と比較する
ことを特徴とする請求項12に記載のプライバシ情報管理プログラム。 - 前記統計処理手段は、保護したいユーザの属性と属性値の情報エントロピーに対して、前記要求メッセージによって指定された属性と属性値を判断に用いた場合の前記情報エントロピー値を正規化し、
前記プライバシ情報管理手段は、該計算結果である前記情報エントロピー値を正規化した値をあらかじめ定めた閾値と比較する
ことを特徴とする請求項13に記載のプライバシ情報管理プログラム。 - 請求項12から請求項14のいずれかに記載のプログラムが記録されたコンピュータの読み取り可能な記憶媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004042829A JP4417132B2 (ja) | 2004-02-19 | 2004-02-19 | プライバシ情報管理サーバ及び方法並びにプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004042829A JP4417132B2 (ja) | 2004-02-19 | 2004-02-19 | プライバシ情報管理サーバ及び方法並びにプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005234866A JP2005234866A (ja) | 2005-09-02 |
| JP4417132B2 true JP4417132B2 (ja) | 2010-02-17 |
Family
ID=35017765
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004042829A Expired - Fee Related JP4417132B2 (ja) | 2004-02-19 | 2004-02-19 | プライバシ情報管理サーバ及び方法並びにプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4417132B2 (ja) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4813278B2 (ja) * | 2006-07-18 | 2011-11-09 | 三菱電機株式会社 | 端末装置及び履歴サービス利用方法及び履歴サービス利用プログラム及びサーバ装置及び履歴サービス提供システム |
| JP5757241B2 (ja) * | 2009-10-09 | 2015-07-29 | 日本電気株式会社 | 情報管理装置、そのデータ処理方法、およびコンピュータプログラム |
| JP5454262B2 (ja) | 2010-03-18 | 2014-03-26 | 富士通株式会社 | プライバシー保護装置、プライバシー保護方法、プライバシー保護プログラム、及びライフログ管理システム |
| KR20120139844A (ko) * | 2010-04-23 | 2012-12-27 | 가부시키가이샤 엔.티.티.도코모 | 통계 정보 생성 시스템 및 통계 정보 생성 방법 |
| JP5609631B2 (ja) * | 2010-12-24 | 2014-10-22 | 富士通株式会社 | 情報処理装置、サービス仲介方法及びプログラム |
| KR101463498B1 (ko) * | 2011-01-31 | 2014-11-19 | 가부시키가이샤 엔.티.티.도코모 | 입입 단말기수 추계 장치 및 입입 단말기수 추계 방법 |
| JP5777916B2 (ja) * | 2011-03-29 | 2015-09-09 | Necパーソナルコンピュータ株式会社 | 情報処理端末、情報処理システム、及び情報処理方法 |
| JP6188011B2 (ja) * | 2013-04-19 | 2017-08-30 | 株式会社日立システムズ | データ提供システム及びデータ提供システムにおける開示ステータス設定方法 |
| JP6223853B2 (ja) | 2014-02-13 | 2017-11-01 | 株式会社東芝 | 匿名化指標算出システム |
| KR101729198B1 (ko) | 2015-01-19 | 2017-05-02 | 경희대학교 산학협력단 | 개인정보 비식별화 전송장치 및 전송방법 |
| KR101585985B1 (ko) * | 2015-01-19 | 2016-01-15 | 경희대학교 산학협력단 | 개인정보 비식별화 전송장치 및 전송방법 |
| US11188678B2 (en) * | 2018-05-09 | 2021-11-30 | Fujitsu Limited | Detection and prevention of privacy violation due to database release |
| JP7154884B2 (ja) * | 2018-08-28 | 2022-10-18 | 株式会社Ye Digital | 情報秘匿化方法、情報秘匿化プログラム、情報秘匿化装置および情報提供システム |
| CN113704827B (zh) * | 2021-09-17 | 2024-03-29 | 支付宝(杭州)信息技术有限公司 | 一种在生物识别过程中的隐私保护方法及装置 |
-
2004
- 2004-02-19 JP JP2004042829A patent/JP4417132B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005234866A (ja) | 2005-09-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4417132B2 (ja) | プライバシ情報管理サーバ及び方法並びにプログラム | |
| EP1645971B1 (en) | Database access control method, database access controller, agent processing server, database access control program, and medium recording the program | |
| US20030140246A1 (en) | Location based security modification system and method | |
| CN116114025A (zh) | 敏感信息的安全存储和检索 | |
| Bettini | Privacy protection in location-based services: a survey | |
| US7805608B2 (en) | User privacy through one-sided cookies | |
| US20190149540A1 (en) | Service provision system, service provision method, verification device, verification method, and computer program | |
| JP2006350813A (ja) | 個人情報保護運用システムおよび個人情報保護運用方法 | |
| CN104871509B (zh) | 用于管理访问权限的方法和装置 | |
| US20080270571A1 (en) | Method and system of verifying permission for a remote computer system to access a web page | |
| WO2019217031A1 (en) | Contact discovery service with privacy aspect | |
| US10931665B1 (en) | Cross-device user identification and content access control using cookie stitchers | |
| Basahel et al. | Bartering method for improving privacy of LBS | |
| JP5179298B2 (ja) | アクセス認可システム、アクセス制御サーバ、およびビジネスプロセス実行システム | |
| JP2005051475A (ja) | 個人情報管理システム、個人情報管理方法及びそのプログラム | |
| Liu | Privacy and location anonymization in location-based services | |
| EP1992176B1 (en) | Methods and apparatuses for selectively controlling a remote device | |
| Drosatos et al. | Towards Privacy by Design in Personal e-Health Systems. | |
| JP2004234415A (ja) | 安否情報登録システムおよび方法、安否情報配信システムおよび方法、安否情報登録端末、プログラム、コンピュータ読取り可能な記録媒体 | |
| US9953188B2 (en) | System, method, and program for storing and controlling access to data representing personal behavior | |
| Zhao et al. | EPLA: efficient personal location anonymity | |
| Kumar et al. | Real geo‐time‐based secured access computation model for e‐Health systems | |
| JP7060463B2 (ja) | データ管理システム及びノード装置 | |
| JP7119797B2 (ja) | 情報処理装置及び情報処理プログラム | |
| JP2020173523A (ja) | 情報処理装置および認証情報処理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060407 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090410 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090512 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090713 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20091117 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20091125 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121204 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121204 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131204 Year of fee payment: 4 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |