JP4664107B2 - 事業者側装置、利用者側装置、個人情報閲覧更新システムおよび個人情報閲覧更新方法 - Google Patents

事業者側装置、利用者側装置、個人情報閲覧更新システムおよび個人情報閲覧更新方法 Download PDF

Info

Publication number
JP4664107B2
JP4664107B2 JP2005102712A JP2005102712A JP4664107B2 JP 4664107 B2 JP4664107 B2 JP 4664107B2 JP 2005102712 A JP2005102712 A JP 2005102712A JP 2005102712 A JP2005102712 A JP 2005102712A JP 4664107 B2 JP4664107 B2 JP 4664107B2
Authority
JP
Japan
Prior art keywords
personal information
user
item
browsing
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005102712A
Other languages
English (en)
Other versions
JP2006285490A5 (ja
JP2006285490A (ja
Inventor
浩幸 今泉
輝男 河合
亜里砂 藤井
剛 大竹
晴幸 中村
恵吾 真島
幸一 谷本
隆亮 山田
弘之 小島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Japan Broadcasting Corp
NHK Engineering System Inc
Original Assignee
Hitachi Ltd
NHK Engineering Services Inc
Japan Broadcasting Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd, NHK Engineering Services Inc, Japan Broadcasting Corp filed Critical Hitachi Ltd
Priority to JP2005102712A priority Critical patent/JP4664107B2/ja
Publication of JP2006285490A publication Critical patent/JP2006285490A/ja
Publication of JP2006285490A5 publication Critical patent/JP2006285490A5/ja
Application granted granted Critical
Publication of JP4664107B2 publication Critical patent/JP4664107B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、事業者側装置、利用者側装置、個人情報閲覧更新システムおよび個人情報閲覧更新方法に関し、特に、その個人情報保護管理技術に関する。
インターネットや家庭内のネットワークが普及し、いわゆるPCだけでなく、それ以外の一般家電製品にもネットワーク対応型が普及し始めている。こうした中で、個人のプロフィールや家電の使用状況など生活に密着した個人情報が、通信ネットワークを介して容易に送信可能となり、オンラインで個人情報を収集しサービス提供に利用する事業が急増している。
このようなサービスにおいては、個人情報が頻繁にネットワーク上を流れることになる。第三者による個人情報の悪用や改ざんを防ぐためには、このネットワーク上を流れる個人情報の保護が重要である。
個人情報の漏洩を保護する技術としては、ネットワーク上を流れる個人情報の開示を制御する技術(例えば、特許文献1参照)がある。また、第三者による改ざんを防止する技術としては、電子署名の技術がある(例えば、特許文献2参照)。
特開2004−258872号公報 特開2001−167086号公報
前述のような個人情報を利用したサービスを行う場合、サービス利用者からサービス事業者に個人情報の送信が発生するだけではなく、サービス事業者からサービス利用者にも個人情報が送られる場合がある。例えば、サービス利用者が、どの事業体で自らのどのような個人情報が管理されていて、さらに自らが開示した情報と相違がないか確認したり、一度送信した個人情報を更新したい場合がある。その時には、サービス利用者は、サービス事業者より自らの送信した個人情報を閲覧させてもらう必要がある。
従来技術では、暗号化、および電子署名の添付により、送受信される個人情報を保護しているものの、第三者による成りすましがあった場合、個人情報が盗まれてしまう恐れがあった。特に、上記のように相互で頻繁に個人情報のやり取りが発生する場合、その危険性はますます増大する。
サービス事業者は、収集した個人情報をサービス利用者に示して、個人情報の管理状況や改ざんされていないことを確認させ、サービス利用者の不安を取り除いて信頼を得ることが望ましい。しかし、一方で、サービス事業者は、個人情報の漏洩・改ざんの危険を防止するため、できる限りサービス利用者の閲覧要求に応えて個人情報を送信することは避けたい。
特許文献1に記載された技術では、サービス利用者の開示ポリシーに応じて、サービス事業者が開示する情報を制御する方法については記載されているが、個人情報の内容を秘匿したまま全個人情報が改ざんされていないことをサービス利用者が確認する方法については、記載されていない。
特許文献2に記載された技術では、個人情報の各項目に対して改ざん検知のための電子署名を作成する方法については記載されているが、開示制御された後の個人情報について、元の電子署名を変更することなく、元の個人情報の原本性を確認することについては、記載されていない。
そこで、本発明の目的は、個人情報を秘匿したまま個人情報の管理状況や完全性の確認、あるいは更新のために個人情報提供者が自らの提供した個人情報を安全に閲覧更新する事業者側装置、利用者側装置、個人情報閲覧更新システムおよび個人情報閲覧更新方法を提供することにある。
本発明による事業者側装置は、事業者側で利用者から個人情報を収集し、利用者に対して、収集した個人情報の内容の閲覧および更新をさせるシステムの事業者側装置であって、利用者に対して閲覧用の個人情報を送信する際に、閲覧用の個人情報の各項目をハッシュ値として送信し、利用者側でハッシュ値に基づいて閲覧された項目について、更新のある場合、その更新した値を利用者側から受信するものである。
また、本発明による事業者側装置は、事業者側で利用者から個人情報を収集し、利用者に対して、収集した個人情報の内容の閲覧および更新をさせるシステムの事業者側装置であって、利用者から収集した個人情報を登録する利用者情報データベースと、利用者側より個人情報を受信し、受信した個人情報を利用者情報データベースに登録する個人情報受信手段と、利用者側からの要求に応じて、利用者に対して、利用者情報データベースに登録した閲覧用の個人情報を送信する際に、閲覧用の個人情報の各項目をハッシュ値として送信して、利用者に対して収集した個人情報を閲覧させる利用者情報開示手段とを備え、個人情報受信手段は、利用者側でハッシュ値に基づいて閲覧された項目について、更新のある場合、その更新した値を利用者側から受信するものである。
また、本発明による利用者側装置は、事業者側で利用者から個人情報を収集し、利用者に対して、収集した個人情報の内容の閲覧および更新をさせるシステムの利用者側装置であって、利用者に対して閲覧用の個人情報の各項目をハッシュ値として送信する事業者に対して登録された個人情報の閲覧を要求し、事業者側から閲覧用の個人情報の各項目をハッシュ値として受信し、受信した閲覧用の個人情報の各項目のハッシュ値と閲覧用の個人情報に含まれる利用者側装置が作成した利用者署名との整合性を検証した後、閲覧用の個人情報の各項目について、個人情報データベースより各項目の値を取得して閲覧し、更新のある項目については、事業者側に更新した値を送信する利用者情報閲覧手段とを備えたものである。
また、本発明による個人情報閲覧更新システムは、利用者から収集した個人情報を登録する利用者情報データベースを有し、利用者から個人情報を収集し、利用者に対して、収集した個人情報の内容の閲覧および更新をさせる事業者側装置と、自身の個人情報を格納しておく個人情報データベースを有し、個人情報を事業者側装置に送信し、事業者側装置に個人情報の閲覧を要求し、要求に応じて事業者側装置より送られた個人情報を、閲覧および更新する利用者側装置とを備え、事業者側装置は、利用者側装置より個人情報を受信し、受信した個人情報を利用者情報データベースに登録する個人情報受信手段と、利用者側装置からの要求に応じて、利用者に対して、利用者情報データベースに登録した閲覧用の個人情報を送信する際に、閲覧用の個人情報の各項目をハッシュ値として送信して、利用者に対して収集した個人情報を閲覧させる利用者情報開示手段とを有し、利用者側装置は、事業者側装置に対して個人情報を送信する個人情報送信手段と、事業者側装置に対して登録された個人情報の閲覧を要求し、事業者側装置より受信した閲覧用の個人情報の各項目のハッシュ値と閲覧用の個人情報に含まれる利用者側装置が作成した利用者署名との整合性を検証した後、閲覧用の個人情報の各項目について、個人情報データベースより各項目の値を取得して閲覧用の個人情報を閲覧し、更新のある項目については、事業者側装置に更新した値を送信する利用者情報閲覧手段とを有するものである。
具体的には、利用者と個人情報を収集してサービス提供に利用する事業者において、以下を行う。
個人情報送受信時には、以下の処理が行われる。
利用者は、開示する個人情報の生成・編集を行い、開示する個人情報の各項目毎に乱数を生成して、乱数付き個人情報のハッシュ値を算出する。ハッシュ値を作成する際に、生成した乱数を反映させることにより、推測攻撃による個人情報漏洩を防止することができる。次に、利用者は、全ての項目のハッシュ値を統合したものに対してディジタル署名を作成し、各項目の個人情報、各項目の乱数、署名からなる送信用個人情報を作成する。また、利用者は、送信用個人情報をログとして自装置に記録するとともに、送信用個人情報を事業者へ送信する。
事業者は、受け取った送信用個人情報の中の利用者の署名を検証した後、送信用個人情報を自装置に記録する。
個人情報閲覧更新時には、以下の処理が行われる。
事業者は、利用者より自らの個人情報の閲覧請求を受け取ると、利用者の認証を行い本人確認する。次に、事業者は、その利用者より以前に受け取った送信用個人情報から、全項目について、各項目の乱数、利用者の署名を取得し、各項目の乱数付き個人情報のハッシュ値を算出する。次に、事業者は、各項目の乱数付き個人情報のハッシュ値を統合したものから事業者のディジタル署名を作成して、各項目の乱数、各項目の乱数付き個人情報のハッシュ値、利用者の署名、事業者の署名からなる閲覧用個人情報を作成し、利用者に送信する。
利用者は、受け取った閲覧用個人情報の中の利用者の署名と事業者の署名の検証を行い、さらに、自装置に記録されている送信用個人情報との整合性を検証する。また、利用者は、上記検証後、自装置に記録されている個人情報から各項目の個人情報を取得し、表示する。また、閲覧した個人情報の項目に変更がある場合、利用者は、変更項目の個人情報について乱数を生成して、乱数付き個人情報のハッシュ値を算出する。次に、利用者は、変更の無い項目を含む全ての項目のハッシュ値を統合したものに対してディジタル署名を作成し、変更項目の個人情報、変更項目の乱数、署名からなる更新用個人情報を作成し、事業者に送信する。
本発明によれば、個人情報を提供した利用者が、事業者側が改ざんすることなく自らが送信した通りの個人情報を管理していることを閲覧・確認できる。
また、本発明によれば、第三者に通信の内容が漏洩したとしても何の情報も与えず、個人情報を安全に保護するとともに、個人情報を提供した利用者は、提供される閲覧用個人情報から、本人の個人情報の内容の閲覧およびその原本性の確認を行うことができる。
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。
(実施の形態1)
<個人情報閲覧更新システムの構成>
図1により、本発明の実施の形態1に係る個人情報閲覧更新システムの構成について説明する。図1は本発明に実施の形態1に係る個人情報閲覧更新システムの概略を示す概略図、図2は本発明に実施の形態1に係る個人情報閲覧更新システムの事業者側装置の内部構成を示す構成図、図3は本発明に実施の形態1に係る個人情報閲覧更新システムの利用者側装置の内部構成を示す構成図である。
図1において、個人情報閲覧更新システムは、個人情報を収集してサービス提供に利用する事業者側装置101と、サービス利用のために自らの個人情報を提供する利用者側装置102〜104から構成される。利用者側装置は、サービスを利用する利用者数分が存在する。事業者側装置101と利用者側装置102〜104は、ネットワーク105を介して繋がっている。
事業者側装置101の内部構成は、図2に示すように、記憶装置202と、ネットワークを介して他の装置と通信を行うための通信装置204と、キーボードやマウスなどの入力装置205と、ディスプレイなどの表示装置206と、CPU201と、これらを接続するインタフェース203とから構成される。
記憶装置202には、利用者に個人情報送付を要求し、利用者からの個人情報を受け取って格納する個人情報受信プログラム207と、利用者からの閲覧要求に応じて、格納している利用者情報を開示する利用者情報開示手段である利用者情報開示プログラム208と、個人情報の各項目に対して識別のために付与された識別ID(以下、項目IDと呼ぶ)と個人情報の各項目との対応関係を記録した項目IDファイル209と、個人情報の各項目について、誰にどのような場合に開示するかといった開示ポリシーを記録した事業者開示ポリシーファイル210と、各利用者から受け取った個人情報が登録されている利用者情報データベース211が格納されている。
以下の説明における各プログラム207、208の処理は、インタフェース203を介して呼び出された各プログラムをCPU201が実行することにより、事業者側装置101上で実現されるものである。各プログラム207、208は、予め記憶装置202に格納されていてもよいし、事業者側装置101が利用可能な媒体を介して導入されてもよい。媒体とは、例えば、事業者側装置101に着脱可能な記憶媒体や、通信装置204に接続するネットワークまたはネットワークを伝搬する搬送波といった通信媒体を含む。
利用者側装置102〜104の内部構成は、図3に示すように、記憶装置302と、ネットワークを介して他の装置と通信を行うための通信装置304と、キーボードやマウスなどの入力装置305と、ディスプレイなどの表示装置306と、CPU301と、これらを接続するインタフェース303とから構成される。
記憶装置302には、事業者からの個人情報送付要求を受け、自身の持つ個人情報を、署名を付与した後に要求元の事業者に送信する個人情報送信手段である個人情報送信プログラム307と、事業者に対して、事業者が格納している自身の利用者情報の閲覧更新を要求する利用者情報閲覧手段である利用者情報閲覧プログラム308と、個人情報の各項目に対して識別のために付与された項目IDと個人情報の各項目との対応関係を記録した項目IDファイル209と、個人情報の各項目について、誰にどのような場合に開示するかといった開示ポリシーを記録した個人開示ポリシーファイル309と、自身の個人情報が登録されている個人情報データベース310が格納されている。
以下の説明における各プログラム307、308の処理は、利用者側装置102〜104上で実現されるものである。各プログラム307、308の実行および格納方法については、前述の事業者側装置101と同様である。
<個人情報閲覧更新システムのデータフローの概要>
次に、図4により、本発明の実施の形態1に係る個人情報閲覧更新システムのデータフローの概要について説明する。図4は本発明の実施の形態1に係る個人情報閲覧更新システムのデータフローの概要を説明するための説明図である。
図4に示すように、個人情報を利用したサービスを提供する事業者側装置101と、そのサービスを利用する利用者側装置102〜104との間でやり取りされるデータフローの概要としては、まず、事業者側装置101は、利用者側装置102〜104に対して、個人情報送信要求401を送信して、個人情報を要求する(個人情報要求処理)(S101)。
個人情報送信要求401を受け取った利用者側装置102〜104は、開示する個人情報の生成・編集を行い、送信用個人情報402を送信する(個人情報送信処理)(S102)。送信用個人情報402には、送信する個人情報に対して、開示制御用処理を施して作成された利用者の電子署名403が含まれる。
事業者側装置101は、利用者側装置102〜104より、送信用個人情報402を受け取り、送信用個人情報402に含まれる個人情報および利用者署名403を、利用者情報データベース211に格納する(個人情報受信処理)。
利用者側装置102〜104は、事業者側装置101に対して、個人情報閲覧要求404を送信して、登録されている自身の個人情報の閲覧を要求する(個人情報閲覧要求処理)(S103)。
個人情報閲覧要求404を受け取った事業者側装置101は、個人情報の各項目が秘匿された閲覧用個人情報405を送信する(閲覧用個人情報送信処理)(S104)。閲覧用個人情報405には、個人情報受信時に利用者情報データベース211に格納された利用者署名403と、利用者に送信する閲覧用個人情報に対して作成された事業者の電子署名406が含まれる。
利用者側装置102〜104は、事業者側装置101より、閲覧用個人情報405を受け取り、閲覧用個人情報405に含まれる利用者署名403と事業者署名406を検証した後、閲覧用個人情報に対応する個人情報を自身の個人情報データベース310より呼び出し、表示する(個人情報閲覧処理)。
閲覧用個人情報405を受け取った利用者側装置102〜104は、その閲覧用個人情報405の内容を更新する場合には、更新する個人情報の生成を行い、更新用個人情報407を送信する(個人情報更新処理)(S105)。
<個人情報送信処理>
次に、図5〜図7により、本発明の実施の形態1に係る個人情報閲覧更新システムの個人情報送信処理について説明する。図5は本発明の実施の形態1に係る個人情報閲覧更新システムの個人情報送信処理の処理フローであり、ここでは、利用者側装置102が、利用者ID「1」を持つ場合の利用者側装置102での処理を示している。図6は本発明の実施の形態1に係る個人情報閲覧更新システムの項目IDファイルを示す図、図7は本発明の実施の形態1に係る個人情報閲覧更新システムの送信用個人情報を示す図である。
利用者IDは、利用者の識別のために、事業者により利用者毎に付与される識別IDであり、郵送、あるいは、ネットワークなどの通信手段を用いて、利用者に渡される。利用者側装置102は、事業者側装置101から個人情報送信要求を受け取ると、個人情報送信プログラム307により、以下のS501〜S505の個人情報送信処理を行う。
S501では、入力された項目IDファイル209の各項目について、各項目毎に乱数(r1〜r8)を生成する。項目IDファイル209は、図6に示すように、個人情報の各項目に対して識別のために付与された項目IDと個人情報の各項目との対応関係(レコード601〜608)を記録したファイルである。例えば、レコード601は、項目名「郵便番号」は、項目ID「1」であることを表している。ただし、項目IDファイル209に記載されている項目IDと個人情報の各項目との対応関係は、事業者側装置101と利用者側装置102〜104とで一致させておく必要がある。そのために、個人情報送信要求時、あるいは定期的に項目IDファイル209を事業者側装置101から利用者側装置102〜104に受け渡しても良いし、利用者側装置102〜104から事業者側装置101に取得しに行っても良い。
S502では、入力された個人情報506の各項目について、各項目の値とS501で作成した各項目毎の乱数を足し合わせたものに対し、ハッシュ値を計算する。例えば、項目ID「1」の項目「郵便番号」については、値「123−4567」と乱数「r1」を足し合わせたデータに対してハッシュ関数を適用して、ハッシュ値「3A1B28539C210DDE・・・」を生成する。ハッシュ値「3A1B28539C210DDE・・・」の作成に、乱数「r1」を利用することによって、推測攻撃により、ハッシュ値「3A1B28539C210DDE・・・」から元の値「123−4567」が漏洩するのを防止することができる。乱数を利用しない場合、例えば、「000−0000」「000−0001」「000−0002」…と順に数字を当てはめてハッシュ値を生成することにより、ハッシュ値「3A1B28539C210DDE・・・」にぴったり合う郵便番号を見つけることができてしまう。
上記、個人情報506は、登録フォームを表示して利用者に値を入力させて取得しても良いし、利用者により予め個人情報が登録されたデータベースや記憶媒体から取得しても良い。
S503では、S502で作成した各項目のハッシュ値を全て足し合わせたものに対して、利用者の秘密鍵を用いて、公開鍵暗号方式により、利用者の署名618(以後、利用者ID「1」の利用者署名を、利用者1署名と呼ぶ)を作成する。
S504では、利用者ID、S501で入力された項目ID、S501で作成した各項目の乱数、S502で入力された個人情報の各項目名とその値、S503で作成した利用者1署名からなる送信用個人情報402(図7の609〜618)を作成し、送信用個人情報402を事業者側装置101に送信する。送信の際は、共通鍵暗号方式などによって、送信用個人情報402を暗号化して送信することが望ましい。
S505では、S504で作成した送信用個人情報402を、個人情報データベース310に登録する。
<個人情報受信処理>
次に、図8および図9により、本発明の実施の形態1に係る個人情報閲覧更新システムの個人情報受信処理について説明する。図8は本発明の実施の形態1に係る個人情報閲覧更新システムの個人情報受信処理の処理フロー、図9は本発明の実施の形態1に係る個人情報閲覧更新システムの利用者情報データベースの構成を示す図である。
事業者装置101は、利用者側装置102から送信用個人情報402を受け取ると、個人情報受信プログラム207により、以下のS701〜S703の個人情報受信処理を行う。
S701では、利用者側装置102から受け取った送信用個人情報402(送信用個人情報が送信時に共通鍵暗号方式等によって暗号化されている場合は、復号して送信用個人情報402を得る)に含まれる個人情報の各項目(レコード610〜617)について、「値」と「乱数」を足し合わせたものに対し、ハッシュ値を計算する。例えば、項目ID「1」の項目「郵便番号」については、値「123−4567」と乱数「r1」を足し合わせたデータに対してハッシュ関数を適用して、ハッシュ値「3A1B28539C210DDE・・・」を生成する。
S702では、利用者の公開鍵を用いて、公開鍵暗号方式により、送信用個人情報402に含まれる利用者1署名618と、S701で作成した各項目のハッシュ値を全て足し合わせたものとの整合性を調べることによって、利用者1署名618を検証する。ここで使用する利用者の公開鍵は、個人情報送信時に、送信用個人情報402とともに、利用者側装置102から事業者側装置101に送られても良いし、予め事業者側装置101の利用者情報データベース211に利用者毎に登録しておいても良い。
S703では、S702で検証した送信用個人情報402について、各項目の項目IDとその項目の値、その項目に対する乱数(802、803)、および利用者1署名618を利用者情報データベース211に登録する。
図9に示すように、利用者情報データベース211の構成としては、利用者毎に利用者情報が登録されている(レコード805、806)。各レコードには、項目IDとその項目の値、その項目に対する乱数が項目毎に登録され(802、803)、その登録情報に対する利用者署名が登録されている(804)。ここで、レコード805の利用者署名804は、送信用個人情報402に含まれる利用者の署名618である。
なお、S702での利用者1署名618の検証の結果、利用者1の署名として検証できなかった場合は、利用者側装置102に対して、送信用個人情報402の再度問い合わせを行い、再度、S702での利用者1署名618の検証を行う。
<閲覧用個人情報送信処理>
次に、図10および図11により、本発明の実施の形態1に係る個人情報閲覧更新システムの閲覧用個人情報送信処理について説明する。図10は本発明の実施の形態1に係る個人情報閲覧更新システムの閲覧用個人情報送信処理の処理フローであり、ここでは、利用者ID「1」を持つ利用者側装置102が、事業者側装置101に対して、個人情報閲覧要求を送信した場合の処理を示している。図11は本発明の実施の形態1に係る個人情報閲覧更新システムの閲覧用個人情報を示す図である。
事業者側装置101は、利用者側装置102から個人情報閲覧要求404を受け取ると、利用者情報開示プログラム208により、以下のS901〜S904の閲覧用個人情報送信処理を行う。
S901では、利用者ID「1」を入力として利用者情報データベース211を検索し、利用者ID「1」に該当するレコード805より、利用者ID「1」の個人情報を取得する。また、入力された項目IDファイル209から、各項目IDと項目名との関係を取得する(例えば、項目ID「1」=項目名「郵便番号」)。
S902では、S901で取得したレコード805に含まれる個人情報の各項目(802、803など)について、「値」と「乱数」を足し合わせたものに対し、ハッシュ値を計算する。例えば、項目ID「1」の項目については、値「123−4567」と乱数「r1」を足し合わせたデータに対してハッシュ関数を適用して、ハッシュ値「3A1B28539C210DDE・・・」を生成する。
S903では、S902で作成した各項目のハッシュ値を全て足し合わせたものに対して、事業者の秘密鍵を用いて、公開鍵暗号方式により、事業者の署名1010(以後、利用者ID「1」向けの閲覧用個人情報に対する事業者署名を、事業者署名1と呼ぶ)を作成する。
S904では、S901で入力された利用者ID「1」と、各項目毎にS901で取得した項目IDと項目名とS902で生成したハッシュ値(レコード1002〜1009)と、S901で取得したレコード805に含まれる利用者1署名618と、S903で作成した事業者署名1(1010)からなる図11に示すような、閲覧用個人情報405を作成して、利用者側装置102に送信する。送信の際は、共通鍵暗号方式などによって、閲覧用個人情報405を暗号化して送信することが望ましい。
上記、閲覧用個人情報405には、各項目の値は記載されず、各項目のハッシュ値のみが記載されている。このため、利用者側装置102以外の端末によって閲覧用個人情報405が盗聴された場合であっても、各項目の値、すなわち利用者側装置102の個人情報の漏洩を防止できる。
<個人情報閲覧処理>
次に、図12および図13により、本発明の実施の形態1に係る個人情報閲覧更新システムの個人情報閲覧処理について説明する。図12は本発明の実施の形態1に係る個人情報閲覧更新システムの個人情報閲覧処理の処理フローであり、ここでは、利用者ID「1」を持つ利用者側装置102が、事業者側装置101から、閲覧用個人情報405を受信した場合の処理を示している。図13は本発明の実施の形態1に係る個人情報閲覧更新システム個人情報閲覧画面を示す図である。
利用者側装置102は、事業者側装置101から閲覧用個人情報405を受け取ると、利用者情報閲覧プログラム308により、以下のS1101〜S1103の個人情報閲覧処理を行う。
S1101では、事業者の公開鍵を用いて、公開鍵暗号方式により、事業者側装置101より受け取った閲覧用個人情報405に含まれる事業者署名1(1010)と、閲覧用個人情報405に含まれる各項目のハッシュ値を全て足し合わせたものとの整合性を調べることによって、事業者署名1(1010)を検証する。ここで使用する事業者の公開鍵は、閲覧用個人情報送信時に、閲覧用個人情報405とともに、事業者側装置101から利用者側装置102に送られても良いし、予め利用者側装置102中に格納しておいても良い。この事業者署名1(1010)により、利用者は、受け取った閲覧用個人情報405が、正当な事業者から送られてきたものであることを検証することができる。
S1102では、利用者の公開鍵を用いて、公開鍵暗号方式により、閲覧用個人情報405に含まれる利用者1署名618と、閲覧用個人情報405に含まれる各項目のハッシュ値を全て足し合わせたものとの整合性を調べることによって、利用者1署名618を検証する。これにより、利用者は、以前に自分が送信した個人情報が改ざんされていないことを検証することができる。
S1103では、閲覧用個人情報405の各項目について、個人情報データベース310に記録された送信用個人情報402より各項目の値を取得し、例えば、図13に示すような個人情報閲覧画面1104に、利用者ID、項目ID、項目名、項目の値を表示する。閲覧用個人情報405には、各項目のハッシュ値しか記載されていないが、個人情報データベース310に記録された情報を利用することによって、利用者に対しては、各項目の値を表示することができる。
なお、S1101での事業者署名1(1010)の検証の結果、事業者署名1として検証できなかった場合は、事業者側装置101に対して、閲覧用個人情報405の再度問い合わせを行い、再度、S1101での事業者署名1(1010)の検証を行う。また、S1102での利用者1署名618の検証の結果、利用者1の署名として検証できなかった場合は、事業者側装置101に対して、閲覧用個人情報405の再度問い合わせを行い、再度、S1102での利用者1署名618の検証を行う。
また、S1102での利用者1署名618の検証の結果、以前に自分が送信した個人情報が改ざんされていることが検証された場合は、S1103でのデータ表示の際に、閲覧用個人情報405の各項目のハッシュ値と個人情報データベース310に記録された情報によるハッシュ値から、改ざんされている項目を特定し、そのデータを個人情報閲覧画面1104に表示することが可能である。
<個人情報更新処理>
次に、図14〜図16により、本発明の実施の形態1に係る個人情報閲覧更新システムの個人情報更新処理について説明する。図14は本発明の実施の形態1に係る個人情報閲覧更新システムの個人情報更新処理の処理フローであり、ここでは、利用者ID「1」を持つ利用者側装置102が、事業者側装置101から、閲覧用個人情報405を受信した時に、その内容を更新する場合の処理を示している。図15は本発明の実施の形態1に係る個人情報閲覧更新システムの更新用個人情報を示す図、図16は本発明の実施の形態1に係る個人情報閲覧更新システムの更新済個人情報を示す図である。
利用者側装置102は、事業者側装置101から閲覧用個人情報405を受け取り、前述のS1101〜S1103により個人情報を閲覧し、その内容に対して更新がある時は、利用者情報閲覧プログラム308により、以下のS1201〜S1205の個人情報更新処理を行う。
S1201では、利用者は、個人情報閲覧画面1104において、変更がある項目に対して、更新情報の入力を行い、その項目の値を変更する。ここでは、個人情報閲覧画面1104のレコード1111の項目の値「A@XXX.co.jp」が「A更新@XXX.co.jp」に更新された場合について説明する。
次に、レコード1106〜1113の各項目について、各項目毎に乱数(r11〜r18)を生成する。なお、この乱数については、必ずしも生成する必要は無く、個人情報データベース310に登録された送信用個人情報402の乱数(r1〜r8)を再度利用しても良いし、更新する項目のみ乱数を新たに生成し、更新しない項目については、個人情報データベース310に登録された送信用個人情報402の乱数を再利用しても良い。実施の形態では、同じ乱数を長期間利用することによる安全性の低下を防ぐため、個人情報更新のたびに全項目の乱数を再生成することとしている。
S1202では、更新済みの個人情報閲覧画面1104の各項目について、各項目の値とS1201で作成した各項目毎の乱数を足し合わせたものに対し、ハッシュ値を計算する。例えば、項目ID「1」の項目「郵便番号」については、値「123−4567」と乱数「r11」を足し合わせたデータに対してハッシュ関数を適用して、ハッシュ値「3A1B28539C210DDE・・・」を生成する。変更済みの項目ID「6」の項目「Eメール」については、値「A更新@XXX.co.jp」と乱数「r16」を足し合わせたデータに対してハッシュ関数を適用して、ハッシュ値「3903ACC7830D2291・・・」を生成する。
S1203では、S1202で作成した各項目のハッシュ値を全て足し合わせたものに対して、利用者の秘密鍵を用いて、公開鍵暗号方式により、利用者1署名2(1310)を作成する。
S1204では、利用者ID、更新済みの個人情報閲覧画面1104の各項目の項目IDと項目名、S1201で作成した各項目の乱数、S1201で更新された項目についてのみその項目の値(図15のレコード1307参照)、S1203で作成した利用者1署名2(1310)からなる更新用個人情報407(内容については、図15のレコード1301〜1310を参照)を作成し、更新用個人情報407を事業者側装置101に送信する。送信の際は、共通鍵暗号方式などによって、更新用個人情報407を暗号化して送信することが望ましい。
S1205では、各項目の乱数および、項目ID「6」の項目「Eメール」が値「A更新@XXX.co.jp」に更新された更新済個人情報1206(図16のレコード1307、1310〜1318参照)を個人情報データベース310に登録する。
上記、更新用個人情報送信について、事業者側装置101に対して送信するのは、更新した項目の値と各項目の乱数のみであり、変更の無い個人情報については、送信しない。更新用個人情報407を受け取った事業所側装置101は、既に利用者情報データベース211に登録してある個人情報と、更新用個人情報407に含まれる更新された項目の値と再生成された各項目の乱数から、各項目のハッシュ値を計算し、利用者の公開鍵を用いて、利用者1署名2(1310)を検証することができる。検証した後、事業者側装置101は、利用者情報データベース211の利用者ID「1」のレコード805に対して、更新用個人情報407に含まれる更新された項目の値と再生成された各項目の乱数、および利用者1署名2を上書きして登録する。
(実施の形態2)
実施の形態2は、実施の形態1において、事業者側装置101を所有する例えば放送事業者などの事業者が、事業者が所有する他の装置などとの間で、利用者情報の閲覧処理を行うものである。
<個人情報閲覧更新システムの構成>
図17により、本発明の実施の形態2に係る個人情報閲覧更新システムの構成について説明する。図17は本発明に実施の形態2に係る個人情報閲覧更新システムの概略を示す概略図である。
図17において、個人情報閲覧更新システムは、個人情報を収集して放送サービスの提供に利用する放送事業者1404と、サービス利用のために自らの個人情報を提供する利用者側装置102〜104から構成される。放送事業者1404は、視聴率を集計し、より良い番組作りのための指標を生成する視聴率集計部門装置1401と、利用者を登録・管理する利用者管理部門装置1402と、視聴料の徴収等を行う課金部門装置1403を持つ。利用者側装置は、サービスを利用する利用者数分が存在する。視聴率集計部門装置1401と利用者管理部門装置1402と課金部門装置1403と利用者側装置102〜104は、ネットワーク105を介して繋がっている。
利用者管理部門装置1402の内部構成は、前述の実施の形態1における事業者側装置101の内部構成と同じである。また、利用者側装置102〜104の内部構成は、前述の実施の形態1における利用者側装置102〜104の内部構成と同じである。
<個人情報閲覧更新システムのデータフローの概要>
次に、図18により、本発明の実施の形態2に係る個人情報閲覧更新システムのデータフローの概要について説明する。図18は本発明の実施の形態2に係る個人情報閲覧更新システムのデータフローの概要を説明するための説明図である。
図18に示すように、個人情報を利用した放送サービスを提供する放送事業者1404と、そのサービスを利用する利用者側装置102〜104との間でやり取りされるデータフローの概要としては、まず、利用者管理部門装置1402は、利用者側装置102〜104に対して、個人情報送信要求1501を送信して、個人情報を要求する(個人情報要求処理)(S201)。
個人情報送信要求1501を受け取った利用者側装置102〜104は、開示する個人情報の生成・編集を行い、送信用個人情報1502を送信する(個人情報送信処理)(S202)。送信用個人情報1502には、送信する個人情報に対して、開示制御用処理を施して作成された利用者の電子署名が含まれる。利用者管理部門装置1402は、利用者側装置102〜104より、送信用個人情報1502を受け取り、送信用個人情報1502に含まれる個人情報および利用者署名を、利用者情報データベース211に格納する(個人情報受信処理)。
利用者側装置102〜104は、利用者管理部門装置1402に対して、個人情報閲覧要求1503を送信して、登録されている自身の個人情報の閲覧を要求する(個人情報閲覧要求処理)(S203)。個人情報閲覧要求1503を受け取った利用者管理部門装置1402は、個人情報の各項目が秘匿された閲覧用個人情報1504を送信する(閲覧用個人情報送信処理)(S204)。閲覧用個人情報1504には、個人情報受信時に利用者情報データベース211に格納された利用者署名と、利用者に送信する閲覧用個人情報に対して作成された利用者管理部門の電子署名が含まれる。
利用者側装置102〜104は、利用者管理部門装置1402より、閲覧用個人情報1504を受け取り、閲覧用個人情報1504に含まれる利用者署名と利用者管理部門署名を検証した後、閲覧用個人情報に対応する個人情報を自身の個人情報データベース310より呼び出し、表示する(個人情報閲覧処理)。
視聴率集計部門装置1401は、利用者管理部門装置1402に対して、集計情報閲覧要求1506を送信して、利用者管理部門装置1402の利用者情報データベース211に登録されている個人情報の閲覧を要求する(集計情報閲覧要求処理)(S205)。集計情報閲覧要求1506を受け取った利用者管理部門装置1402は、個人情報の項目のうち、視聴率集計部門に必要な項目のみ開示し、その他の項目は秘匿した集計用個人情報1507を送信する(集計用個人情報送信処理)(S206)。
集計用個人情報1507には、利用者からの個人情報受信時に利用者情報データベース211に格納された利用者署名と、視聴率集計部門に送信する集計用個人情報に対して作成された利用者管理部門の電子署名が含まれる。視聴率集計部門装置1401は、利用者管理部門装置1402より、集計用個人情報1507を受け取り、集計用個人情報1507に含まれる利用者署名と利用者管理部門署名を検証した後、集計用個人情報を表示する(集計情報閲覧処理)。
課金部門装置1403は、利用者管理部門装置1402に対して、課金情報閲覧要求1508を送信して、利用者管理部門装置1402の利用者情報データベース211に登録されている個人情報の閲覧を要求する(課金情報閲覧要求処理)(S207)。課金情報閲覧要求1508を受け取った利用者管理部門装置1402は、個人情報の項目のうち、課金部門に必要な項目のみ開示し、その他の項目は秘匿した課金用個人情報1509を送信する(課金用個人情報送信処理)(S208)。
課金用個人情報1509には、利用者からの個人情報受信時に利用者情報データベース211に格納された利用者署名と、課金部門に送信する課金用個人情報に対して作成された利用者管理部門の電子署名が含まれる。課金部門装置1403は、利用者管理部門装置1402より、課金用個人情報1509受け取り、課金用個人情報1509に含まれる利用者署名と利用者管理部門署名を検証した後、課金用個人情報を表示する(課金情報閲覧処理)。
<個人情報登録処理>
次に、図19〜図21により、本発明の実施の形態2に係る個人情報閲覧更新システムの個人情報登録処理について説明する。図19は本発明の実施の形態2に係る個人情報閲覧更新システムの個人情報登録処理の処理フローであり、ここでは、利用者側装置102が、利用者ID「1」を持つ場合の利用者側装置102での処理を示している。図20は本発明の実施の形態2に係る個人情報閲覧更新システムの項目IDファイルを示す図、図21は本発明の実施の形態2に係る個人情報閲覧更新システムの個人情報データを示す図である。
本実施の形態において、利用者IDは、利用者の識別のために、事業者により利用者毎に付与される識別IDであり、郵送、あるいは、ネットワークなどの通信手段を用いて、利用者に渡される。利用者側装置102は、まず個人情報送信プログラム307により、以下のS1601〜S1603の個人情報登録処理を行う。
S1601では、項目IDファイル1604を入力として、個人情報登録フォームを表示する。項目IDファイル1604は、図20に示すように、個人情報の各項目に対して識別のために付与された項目IDと個人情報の各項目との対応関係(レコード1701〜1710)を記録したファイルである。例えば、レコード1701は、項目名「郵便番号」が、項目ID「1」であることを表している。ただし、項目IDファイル1604に記載されている項目IDと個人情報の各項目との対応関係は、放送事業者1404と利用者側装置102〜104とで一致させておく必要がある。
そのために、個人情報送信要求時、あるいは定期的に項目IDファイル209を放送事業者1404から利用者側装置102〜104に受け渡しても良いし、利用者側装置102〜104から放送事業者1404に取得しに行っても良い。個人情報登録フォームは、利用者が自身の個人情報を入力するためのフォームであり、利用者は、氏名、住所といった個人情報を入力する。
また、登録した個人情報を放送事業者に開示するか否か(以後、個人開示ポリシーと呼ぶ)についても各項目毎に入力する。個人情報は、個人情報登録フォームにより入力しても良いし、予め個人情報が登録してある記憶媒体から入力しても良い。
S1602では、S1601で入力された個人開示ポリシーより、個人開示ポリシーファイル309を作成して、利用者側装置102に格納する。個人開示ポリシーファイル309には、例えば、「非開示 7:職業」といった「項目ID:7の職業は開示しない」という内容が記載されている。「項目ID:7の職業は、課金部門には開示しない」といったように、開示先別に個人開示ポリシーを設定しても良い。
S1603では、S1601で入力された個人情報(例えば図21に示す個人情報データ1605)を個人情報データベース310に登録する。図21に示すように、個人情報データ1605は、S1601で入力された個人情報が項目毎に登録されている(レコード1712〜レコード1721)。ここで、レコード1721の視聴履歴は、利用者が入力しても良いし、放送視聴の際に視聴装置により自動で格納された視聴履歴を利用しても良い。
<個人情報送信処理>
次に、図22および図23により、本発明の実施の形態2に係る個人情報閲覧更新システムの個人情報送信処理について説明する。図22は本発明の実施の形態2に係る個人情報閲覧更新システムの個人情報送信処理の処理フロー、図23は本発明の実施の形態2に係る個人情報閲覧更新システムの送信用個人情報を示す図である。
利用者側装置102は、利用者管理部門装置1402から個人情報送信要求を受け取ると、個人情報送信プログラム307により、以下のS1801〜S1805の個人情報送信処理を行う。
S1801では、入力された項目IDファイル1604の各項目について、各項目毎に乱数(r1〜r10)を生成する。
S1802では、個人情報データベース310に登録された個人情報データ1605の各項目について、各項目の値とS1801で作成した各項目毎の乱数を足し合わせたものに対し、ハッシュ値を計算する。例えば、項目ID「1」の項目「郵便番号」については、値「123−4567」と乱数「r1」を足し合わせたデータに対してハッシュ関数を適用して、ハッシュ値「3A1B28539C210DDE・・・」を生成する。
S1803では、S1802で作成した各項目のハッシュ値を全て足し合わせたものに対して、利用者の秘密鍵を用いて、公開鍵暗号方式により、利用者1署名1911(利用者ID「1」の利用者署名)を作成する。
S1804では、利用者ID、S1801で入力された項目ID、S1801で作成した各項目の乱数、S1802で入力された個人情報の各項目名とその値、S1803で作成した利用者1署名1911からなる送信用個人情報1502(内部構成は、図23の1901〜1912を参照)を作成し、送信用個人情報1502を利用者管理部門装置1402に送信する。送信の際は、共通鍵暗号方式などによって、送信用個人情報1502を暗号化して送信することが望ましい。
ここで、送信用個人情報に、個人開示ポリシーファイル309のコピーを添付して、利用者管理部門装置1402に送っても良い。個人開示ポリシーファイル309に、例えば「項目ID:7の職業は、課金部門には開示しない」という内容が記載されている場合、この個人開示ポリシーファイルを受け取った利用者管理部門装置1402は、この個人開示ポリシーファイルに基づき、課金部門に対して項目ID「7」の情報を秘匿して(ハッシュ値のみ開示して)個人情報を開示することができる。すなわち、放送事業者内においても、利用者の意思に基づいた開示制御を行うことができる。
S1805では、S1804で作成した送信用個人情報1502に含まれる利用者ID、S1801で入力された項目ID、S1801で作成した各項目の乱数、S1802で入力された個人情報の各項目名とその値、S1803で作成した利用者1署名1911を、個人情報データ1605に上書きし、個人情報データベース310に登録する。
<個人情報受信処理>
次に、図24および図25により、本発明の実施の形態2に係る個人情報閲覧更新システムの個人情報受信処理について説明する。図24は本発明の実施の形態2に係る個人情報閲覧更新システムの個人情報受信処理の処理フロー、図25は本発明の実施の形態2に係る個人情報閲覧更新システムの利用者情報データベースの構成を示す図である。
利用者管理部門装置1402は、利用者側装置102から送信用個人情報1502を受け取ると、個人情報受信プログラム207により、以下のS2001〜S2003の個人情報受信処理を行う。
S2001では、利用者側装置102から受け取った送信用個人情報1502(送信用個人情報が送信時に共通鍵暗号方式等によって暗号化されている場合は、復号して送信用個人情報1502を得る)に含まれる個人情報の各項目(図23のレコード1901〜1910)について、「値」と「乱数」を足し合わせたものに対し、ハッシュ値を計算する。例えば、項目ID「1」の項目「郵便番号」については、値「123−4567」と乱数「r1」を足し合わせたデータに対してハッシュ関数を適用して、ハッシュ値「3A1B28539C210DDE・・・」を生成する。
S2002では、利用者の公開鍵を用いて、公開鍵暗号方式により、送信用個人情報1502に含まれる利用者1署名1911と、S2001で作成した各項目のハッシュ値を全て足し合わせたものとの整合性を調べることによって、利用者1署名1911を検証する。ここで使用する利用者の公開鍵は、個人情報送信時に、送信用個人情報1502とともに、利用者側装置102から利用者管理部門装置1402に送られても良いし、予め利用者管理部門装置1402の利用者情報データベース211に利用者毎に登録しておいても良い。
S2003では、S2002で検証した送信用個人情報1502について、各項目の項目IDとその項目の値、その項目に対する乱数(図25の1914、1915)、および利用者1署名1911を利用者情報データベース211に登録する。
図25に示すように、利用者情報データベース211の構成としては、利用者毎に利用者情報が登録されている(図25のレコード1918、1919)。各レコードには、項目IDとその項目の値、その項目に対する乱数が項目毎に登録され(図25の1914、1915)、その登録情報に対する利用者署名が登録されている(図25の1917)。ここで、レコード1918の利用者署名1917は、送信用個人情報1502に含まれる利用者の署名1911である。
<閲覧用個人情報送信処理>
次に、図26および図27により、本発明の実施の形態2に係る個人情報閲覧更新システムの閲覧用個人情報送信処理について説明する。図26は本発明の実施の形態2に係る個人情報閲覧更新システムの閲覧用個人情報送信処理の処理フローであり、ここでは、視聴率集計部門装置1401が、利用者管理部門装置1402に対して、利用者ID「1」の個人情報について、集計情報閲覧要求1506を送信した場合の処理を示している。図27は本発明の実施の形態2に係る個人情報閲覧更新システムの開示用個人情報を示す図である。
利用者管理部門装置1402は、定期的に、あるいは、他の装置から閲覧要求を受け取ると、利用者情報開示プログラム208により、以下のS2101〜S2105の処理を行う。
S2101では、利用者側装置102〜104より個人情報閲覧要求1503(実施の形態1の個人情報閲覧要求404に相当)、あるいは、視聴率集計部門装置1401より集計情報閲覧要求1506、課金部門装置1403より課金情報閲覧要求1508を受信する。利用者管理部門装置1402が、定期的に閲覧用個人情報送信処理を行う場合は、S2101の処理は省略される。
利用者側装置102〜104より個人情報閲覧要求1503(実施の形態1の個人情報閲覧要求404に相当)を受信した場合の処理は、前述の実施の形態1の図10のS901〜S904の処理を行う。
視聴率集計部門装置1401より集計情報閲覧要求1506、あるいは、課金部門装置1403より課金情報閲覧要求1508を受信した場合は、以下のS2102〜S2105の処理を行う。
S2102では、利用者ID「1」を入力として利用者情報データベース211を検索し、利用者ID「1」に該当するレコード805より、利用者ID「1」の個人情報を取得する。個人情報検索のための利用者ID「1」は、集計情報閲覧要求1506に含まれる。
S2103では、S2102で取得したレコード1918に含まれる個人情報の各項目(図25に示す1914、1915など)について、「値」と「乱数」を足し合わせたものに対し、ハッシュ値を計算する。例えば、項目ID「1」の項目については、値「123−4567」と乱数「r1」を足し合わせたデータに対してハッシュ関数を適用して、ハッシュ値「3A1B28539C210DDE・・・」を生成する。
S2104では、事業者開示ポリシーファイル210を入力として、まず視聴率集計部門装置1401にどの項目を開示するのか調べる。ここでは、視聴率集計部門装置1401に開示する項目を集計部門開示項目、開示しない項目を集計部門非開示項目と呼ぶこととする。
図26に示す事業者開示ポリシーファイル210によると、項目名「居住地域」と「視聴履歴」のみが集計部門開示項目であり、その他の項目は、集計部門非開示項目である。そこで、S2103で生成したハッシュ値を基に、図27に示すような内部構造を持つ開示用個人情報2106を作成する。
閲覧対象個人情報の持ち主の利用者について、S1804において送信用個人情報に個人開示ポリシーファイル309が添付されていた場合、事業者開示ポリシーファイル210の他に、閲覧対象個人情報の持ち主の利用者の個人開示ポリシーファイル309も合わせて考慮して、視聴率集計部門装置1401にどの項目を開示するのか決定する。
集計部門開示項目については、開示値としてその項目の値、およびハッシュ値作成に用いた乱数を記載する(図27のレコード2209、2210)。集計部門非開示項目については、S2103で生成したハッシュ値を記載する(図27のレコード2201〜2208)。
利用者1署名1911は、個人情報送信時に利用者によって作成された署名であり、利用者情報データベース211の1917から取得される。利用者1署名1911は、利用者情報データベース211に登録された個人情報(図25のレコード1918)が、利用者によって登録されたものであることを証明する。以上作成した全項目(図27のレコード2201〜2210を全て足し合わせたもの)に対して、利用者管理部門の秘密鍵を用いて、公開鍵暗号方式により、利用者管理部門の署名2211(以後、利用者ID「1」の集計用個人情報に対する利用者管理部門署名を、管理部門署名1と呼ぶ)を作成する。
作成した管理部門署名1は、正当に開示したことを証明するために、利用者情報データベース211の項目1916にログとして記録しても良い。
S2105では、S2104で作成した開示用個人情報2106を、視聴率集計部門装置1401に送信する。送信の際は、共通鍵暗号方式などによって、開示用個人情報2106を暗号化して送信することが望ましい。
上記、開示用個人情報2106には、集計部門非開示項目については、その値は記載されず、ハッシュ値のみが記載されている。このため、視聴率集計部門には、視聴率の集計などその部門が必要とする個人情報以外の情報は渡されず、視聴率集計部門による情報漏洩など放送事業者内部による個人情報の漏洩の被害を抑えることができる。
視聴率集計部門装置1401では、図27に示す開示用個人情報2106に含まれるレコード2209、2210の項目の値から視聴率集計に必要な情報のみ取得する。レコード2209、2210については、ハッシュ値作成に利用した乱数が記載されているので、その乱数を用いて、ハッシュ関数により、レコード2209、2210の項目のハッシュ値を生成することができる。
その他の項目(図27のレコード2201〜2208)については、ハッシュ値が記載されているので、全項目のハッシュ値を取得することができ、利用者1署名1911を検証することによって、集計部門非開示項目は秘匿されたまま開示用個人情報2106が利用者の登録した正当な個人情報であることを確認できる。
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。
本発明に実施の形態1に係る個人情報閲覧更新システムの概略を示す概略図である。 本発明に実施の形態1に係る個人情報閲覧更新システムの事業者側装置の内部構成を示す構成図である。 本発明に実施の形態1に係る個人情報閲覧更新システムの利用者側装置の内部構成を示す構成図である。 本発明の実施の形態1に係る個人情報閲覧更新システムのデータフローの概要を説明するための説明図である。 本発明の実施の形態1に係る個人情報閲覧更新システムの個人情報送信処理の処理フローである。 本発明の実施の形態1に係る個人情報閲覧更新システムの項目IDファイルを示す図である。 本発明の実施の形態1に係る個人情報閲覧更新システムの送信用個人情報を示す図である。 本発明の実施の形態1に係る個人情報閲覧更新システムの個人情報受信処理の処理フローである。 本発明の実施の形態1に係る個人情報閲覧更新システムの利用者情報データベースの構成を示す図である。 本発明の実施の形態1に係る個人情報閲覧更新システムの閲覧用個人情報送信処理の処理フローである。 本発明の実施の形態1に係る個人情報閲覧更新システムの閲覧用個人情報を示す図である。 本発明の実施の形態1に係る個人情報閲覧更新システムの個人情報閲覧処理の処理フローである。 本発明の実施の形態1に係る個人情報閲覧更新システム個人情報閲覧画面を示す図である。 本発明の実施の形態1に係る個人情報閲覧更新システムの個人情報更新処理の処理フローである。 本発明の実施の形態1に係る個人情報閲覧更新システムの更新用個人情報を示す図である。 本発明の実施の形態1に係る個人情報閲覧更新システムの更新済個人情報を示す図である。 本発明に実施の形態2に係る個人情報閲覧更新システムの概略を示す概略図である。 本発明の実施の形態2に係る個人情報閲覧更新システムのデータフローの概要を説明するための説明図である。 本発明の実施の形態2に係る個人情報閲覧更新システムの個人情報登録処理の処理フローである。 本発明の実施の形態2に係る個人情報閲覧更新システムの項目IDファイルを示す図である。 本発明の実施の形態2に係る個人情報閲覧更新システムの個人情報データを示す図である。 本発明の実施の形態2に係る個人情報閲覧更新システムの個人情報送信処理の処理フローである。 本発明の実施の形態2に係る個人情報閲覧更新システムの送信用個人情報を示す図である。 本発明の実施の形態2に係る個人情報閲覧更新システムの個人情報受信処理の処理フローである。 本発明の実施の形態2に係る個人情報閲覧更新システムの利用者情報データベースの構成を示す図である。 本発明の実施の形態2に係る個人情報閲覧更新システムの閲覧用個人情報送信処理の処理フローである。 本発明の実施の形態2に係る個人情報閲覧更新システムの開示用個人情報を示す図である。
符号の説明
101…事業者側装置、102〜104…利用者側装置、105…ネットワーク、201…CPU、202…記憶装置、203…インタフェース、204…通信装置、205…入力装置、206…表示装置、207…個人情報受信プログラム、208…利用者情報開示プログラム、209…項目IDファイル、210…事業者開示ポリシーファイル、211…利用者情報データベース、301…CPU、302…記憶装置、303…インタフェース、304…通信装置、305…入力装置、306…表示装置、307…個人情報送信プログラム、308…利用者情報閲覧プログラム、309…個人開示ポリシーファイル、310…個人情報データベース、401…個人情報送信要求、402…送信用個人情報、403…利用者署名、404…個人情報閲覧要求、405…閲覧用個人情報、406…事業者署名、407…更新用個人情報、506…個人情報、618…利用者1署名、1010…事業者署名1、1104…個人情報閲覧画面、1206…更新済個人情報、1310…利用者1署名2、1401…視聴率集計部門装置、1402…利用者管理部門装置、1403…課金部門装置、1404…放送事業者、1501…個人情報送信要求、1502…送信用個人情報、1503…個人情報閲覧要求、1504…閲覧用個人情報、1505…更新用個人情報、1506…集計情報閲覧要求、1507…集計用個人情報、1508…課金情報閲覧要求、1509…課金用個人情報、1604…項目IDファイル、1605…個人情報データ、2106…開示用個人情報。

Claims (20)

  1. 事業者側で利用者の提供する個人情報を収集し、前記利用者に対して、収集した前記個人情報の内容を送信し、前記利用者側で前記事業者側より送信された前記個人情報の内容の閲覧および更新をするシステムの事業者側装置であって、
    前記利用者から収集した個人情報を登録する利用者情報データベースと、
    個人情報を持ちその個人情報を提供する前記利用者側より個人情報を受信し、受信した個人情報を前記利用者情報データベースに登録する個人情報受信手段と、
    閲覧用のハッシュ値と前記個人情報を提供する際に付与した自身の作成した電子著名との整合性を検証し、閲覧用の個人情報の各項目について、自身の持つデータベースより各項目の値を取得して閲覧し、更新のある項目について送信することが可能な前記利用者側からの要求に応じて、前記利用者に対して、前記利用者情報データベースに登録した閲覧用の個人情報を送信する際に、前記閲覧用の個人情報の各項目をハッシュ値として送信して、前記利用者に対して収集した個人情報を閲覧させる利用者情報開示手段とを備え、
    前記個人情報受信手段は、前記利用者側で前記ハッシュ値に基づいて閲覧された項目のうち、更新のある項目があった場合、前記利用者側から送信されたその更新した値を受信し、前記利用者情報データベースに登録することを特徴とする事業者側装置。
  2. 請求項記載の事業者側装置において、
    前記個人情報受信手段は、
    前記利用者側から受け取った送信用個人情報に含まれる各項目の乱数と各項目の個人情報の値とを合わせて項目毎にハッシュ値を生成するハッシュ値計算手段と、
    生成した各項目のハッシュ値を全て合わせたものと、前記送信用個人情報に含まれる利用者側の電子署名との整合性が取れるかどうかを検証する署名検証手段と、
    署名検証した前記送信用個人情報を前記利用者情報データベースに登録するデータベース登録手段とを有することを特徴とする事業者側装置。
  3. 請求項記載の事業者側装置において、
    前記利用者情報開示手段は、
    閲覧対象となる前記利用者の情報について、前記利用者情報データベースに登録された個人情報より、前記各項目の個人情報の値と前記各項目の乱数と前記利用者の電子署名を取得するデータ取得手段と、
    前記各項目の乱数と各項目の個人情報の値とを合わせて項目毎にハッシュ値を生成するハッシュ値計算手段と、
    生成した前記各項目のハッシュ値を全て合わせたものに対して事業者側の電子署名を生成する署名作成手段と、
    前記各項目の乱数と前記各項目のハッシュ値と前記利用者の電子署名と前記事業者の電子署名とからなる閲覧用個人情報を作成し、利用者側に送信する閲覧用個人情報送信手段とを有することを特徴とする事業者側装置。
  4. 請求項記載の事業者側装置において、
    前記利用者情報開示手段は、
    前記利用者、あるいは、前記利用者の個人情報を必要とする他の事業者より、個人情報閲覧要求を受信する要求受信手段と、
    閲覧対象となる前記利用者の情報について、前記利用者情報データベースに登録された個人情報より、前記各項目の個人情報の値と前記各項目の乱数と前記利用者の電子署名を取得するデータ取得手段と、
    前記各項目の乱数と各項目の個人情報の値とを合わせて項目毎にハッシュ値を生成するハッシュ値計算手段と、
    誰に対してどの項目の個人情報を秘匿するかを示す開示制御情報を記載した事業者開示ポリシーファイルに基づき、開示する項目については、前記各項目の個人情報の値と前記各項目の乱数と、開示しない項目については、前記生成したハッシュ値と、前記利用者側の電子署名からなる開示用利用者情報を作成する開示用利用者情報作成手段と、
    前記生成した開示用利用者情報に対して前記事業者側の電子署名を生成し、前記開示用利用者情報に付与して送信する送信手段とを有することを特徴とする事業者側装置。
  5. 請求項1記載の事業者側装置において、
    前記利用者情報開示手段は、
    前記利用者、あるいは、前記利用者の個人情報を必要とする他の事業者より、個人情報閲覧要求を受信する要求受信手段と、
    閲覧対象となる前記利用者の情報について、前記利用者情報データベースに登録された個人情報より、前記各項目の個人情報の値と前記各項目の乱数と前記利用者の電子署名とを取得するデータ取得手段と、
    前記各項目の乱数と各項目の個人情報の値とを合わせて項目毎にハッシュ値を生成するハッシュ値計算手段と、
    誰に対してどの項目の個人情報を秘匿するかを示す開示制御情報を記載した事業者開示ポリシーファイルおよび前記閲覧対象となる前記利用者から送信された個人開示ポリシーファイルに基づき、開示する項目については、前記各項目の個人情報の値と前記各項目の乱数と、開示しない項目については、前記生成したハッシュ値と、前記利用者側の電子署名とからなる開示用利用者情報を作成する開示用利用者情報作成手段と、
    前記作成した開示用利用者情報に対して前記事業者側の電子署名を生成し、前記開示用利用者情報に付与して送信する送信手段とを有することを特徴とする事業者側装置。
  6. 事業者側で利用者の提供する個人情報を収集し、前記利用者に対して、収集した前記個人情報の内容を送信し、前記利用者側で前記事業者側より送信された前記個人情報の内容の閲覧および更新をするシステムの利用者側装置であって、
    前記個人情報を格納しておく個人情報データベースと、
    前記利用者の提供する個人情報を自身のデータベースに登録する前記事業者側に対して前記個人情報を送信する個人情報送信手段と、
    前記利用者に対して閲覧用の個人情報の各項目をハッシュ値として送信する前記事業者に対して登録された前記個人情報の閲覧を要求し、前記事業者側から閲覧用の個人情報の各項目をハッシュ値として受信し、受信した閲覧用の個人情報の各項目のハッシュ値と前記閲覧用の個人情報に含まれる前記利用者側装置が作成した利用者署名との整合性を検証した後、前記閲覧用の個人情報の各項目について、前記個人情報データベースより各項目の値を取得して閲覧し、更新のある項目については、前記事業者側に更新した値を送信する利用者情報閲覧手段とを備えたことを特徴とする利用者側装置。
  7. 請求項載の利用者側装置において、
    前記個人情報送信手段は、
    項目毎に乱数を生成する乱数生成手段と、
    前記生成した乱数と各項目の個人情報の値とを合わせて項目毎にハッシュ値を生成するハッシュ値計算手段と、
    生成した前記各項目のハッシュ値を全て合わせたものに対して利用者側の電子署名を生成する署名作成手段と、
    前記各項目の個人情報の値と前記各項目の乱数と前記利用者側の電子署名からなる送信用個人情報を作成し、事業者側に送信する送信用個人情報送信手段と、
    前記送信用個人情報を前記個人情報データベースに登録するデータベース登録手段とを有することを特徴とする利用者側装置。
  8. 請求項記載の利用者側装置において、
    前記利用者情報閲覧手段は、
    前記事業者側より受け取った前記閲覧用個人情報に含まれる各項目のハッシュ値を全て合わせたものと、前記閲覧用個人情報に含まれる前記事業者側の電子署名との整合性が取れるかどうかを検証する事業者署名検証手段と、
    前記事業者側より受け取った前記閲覧用個人情報に含まれる各項目のハッシュ値を全て合わせたものと、前記閲覧用個人情報に含まれる前記利用者側の電子署名との整合性が取れるかどうかを検証する利用者署名検証手段と、
    前記閲覧用個人情報の各項目について、前記個人情報データベースに登録された自身の個人情報の各項目の値を取得して、前記個人情報データベースより取得した項目の値を表示し閲覧するデータ表示手段と
    前記利用者署名検証手段によって、整合性がとれず改ざんされていることが検証された場合においては、前記データ表示手段により前記閲覧用個人情報の各項目の値を表示する際に、前記閲覧用個人情報に含まれる各項目のハッシュ値と前記個人情報データベースに記録された各項目のハッシュ値から改ざんされている項目を特定し、そのデータを表示する改ざん検知手段とを有することを特徴とする利用者側装置。
  9. 請求項記載の利用者側装置において、
    前記利用者情報閲覧手段は、
    前記事業者側より受け取った前記閲覧用個人情報について、変更がある項目が存在する場合に、各項目について乱数を生成する乱数生成手段と、
    前記生成した乱数と、変更がある項目を含む各項目の個人情報の値とを合わせて項目毎にハッシュ値を生成するハッシュ値計算手段と、
    生成した前記各項目のハッシュ値を全て合わせたものに対して利用者側の電子署名を生成する署名作成手段と、
    前記各項目の個人情報について、変更がある項目についてはその項目の値と前記生成した乱数と、変更が無い項目については前記生成した乱数と、前記利用者側の電子署名とからなる更新用個人情報を作成し、前記事業者側に送信する更新用個人情報送信手段と、
    前記生成した各項目の乱数と、前記変更がある項目の値と、前記利用者側の電子署名とを前記個人情報データベースに登録するデータベース登録手段とを有することを特徴とする利用者側装置。
  10. 請求項記載の利用者側装置において、
    前記個人情報送信手段は、
    項目毎に乱数を生成する乱数生成手段と、
    前記生成した乱数と各項目の個人情報の値とを合わせて項目毎にハッシュ値を生成するハッシュ値計算手段と、
    生成した前記各項目のハッシュ値を全て合わせたものに対して利用者側の電子署名を生成する署名作成手段と、
    記各項目の個人情報の値と前記各項目の乱数と前記利用者側の電子署名と、誰に対してどの項目の個人情報を秘匿するかを示す開示制御情報を記載した個人開示ポリシーファイルとからなる送信用個人情報を作成し、前記事業者側に送信する送信用個人情報送信手段と、
    前記送信用個人情報を前記個人情報データベースに登録し、前記個人開示ポリシーファイルを前記利用者側装置に格納するデータベース登録手段とを有することを特徴とする利用者側装置。
  11. 利用者から収集した個人情報を登録する利用者情報データベースを有し、利用者から個人情報を収集し、前記利用者に対して、収集した前記個人情報の内容の閲覧および更新をさせる事業者側装置と、
    自身の個人情報を格納しておく個人情報データベースを有し、前記個人情報を前記事業者側装置に送信し、前記事業者側装置に前記個人情報の閲覧を要求し、要求に応じて前記事業者側装置より送られた個人情報を、閲覧および更新する利用者側装置とを備え、
    前記事業者側装置は、
    前記利用者側装置より個人情報を受信し、受信した個人情報を前記利用者情報データベースに登録する個人情報受信手段と、
    前記利用者側装置からの要求に応じて、前記利用者に対して、前記利用者情報データベースに登録した閲覧用の個人情報を送信する際に、前記閲覧用の個人情報の各項目をハッシュ値として送信して、前記利用者に対して収集した個人情報を閲覧させる利用者情報開示手段とを有し、
    前記利用者側装置は、
    前記事業者側装置に対して個人情報を送信する個人情報送信手段と、
    前記事業者側装置に対して登録された前記個人情報の閲覧を要求し、前記事業者側装置より受信した前記閲覧用の個人情報の各項目のハッシュ値と前記閲覧用の個人情報に含まれる前記利用者側装置が作成した利用者署名との整合性を検証した後、前記閲覧用の個人情報の各項目について、前記個人情報データベースより各項目の値を取得して前記閲覧用の個人情報を閲覧し、更新のある項目については、前記事業者側装置に更新した値を送信する利用者情報閲覧手段とを有することを特徴とする個人情報閲覧更新システム。
  12. 利用者から収集した個人情報を登録する利用者情報データベースを有し、利用者から個人情報を収集し、前記利用者に対して、収集した前記個人情報の内容の閲覧および更新をさせる事業者側装置と、
    自身の個人情報を格納しておく個人情報データベースを有し、前記個人情報を前記事業者側装置に送信し、前記事業者側装置に前記個人情報の閲覧を要求し、要求に応じて前記事業者側装置より送られた個人情報を、閲覧および更新する利用者側装置とを備えた個人情報閲覧更新システムにおける個人情報閲覧更新方法であって、
    前記事業者側装置の個人情報受信手段により、前記利用者側装置より個人情報を受信し、
    前記事業者側装置の利用者情報開示手段により、前記利用者側装置からの要求に応じて、前記利用者に対して閲覧用の個人情報を送信する際に、前記閲覧用の個人情報の各項目をハッシュ値として送信して、前記利用者に対して収集した個人情報を閲覧させ、
    前記利用者側装置の個人情報送信手段により、前記事業者側装置に対して個人情報を送信し、
    前記利用者側装置の利用者情報閲覧手段により、前記事業者側装置に対して登録された自らの個人情報の閲覧を要求し、前記事業者側装置より受信した閲覧用の個人情報の各項目のハッシュ値と前記閲覧用の個人情報に含まれる前記利用者側装置が作成した利用者署名との整合性を検証した後、前記閲覧用の個人情報の各項目について、前記個人情報データベースより各項目の値を取得して前記閲覧用の個人情報を閲覧し、更新のある項目については、前記事業者側装置に更新した値を送信することを特徴とする個人情報閲覧更新方法。
  13. 請求項1記載の個人情報閲覧更新方法において、
    前記個人情報送信手段は、
    項目毎に乱数を生成する乱数生成ステップと、
    前記生成した乱数と各項目の個人情報の値とを合わせて項目毎にハッシュ値を生成するハッシュ値計算ステップと、
    生成した前記各項目のハッシュ値を全て合わせたものに対して利用者側装置の電子署名を生成する署名作成ステップと、
    前記各項目の個人情報の値と前記各項目の乱数と前記利用者側装置の電子署名からなる送信用個人情報を作成し、事業者側装置に送信する送信用個人情報送信ステップと、
    前記送信用個人情報を前記個人情報データベースに登録するデータベース登録ステップとを実行することを特徴とする個人情報閲覧更新方法。
  14. 請求項1記載の個人情報閲覧更新方法において、
    前記個人情報受信手段は、
    前記利用者側装置から受け取った前記送信用個人情報に含まれる各項目の乱数と各項目の個人情報の値とを合わせて項目毎にハッシュ値を生成するハッシュ値計算ステップと、
    生成した各項目のハッシュ値を全て合わせたものと、前記送信用個人情報に含まれる利用者側装置の電子署名との整合性が取れるかどうかを検証する署名検証ステップと、
    署名検証した前記送信用個人情報を前記利用者情報データベースに登録するデータベース登録ステップとを実行することを特徴とする個人情報閲覧更新方法。
  15. 請求項1記載の個人情報閲覧更新方法において、
    前記利用者情報開示手段は、
    閲覧対象となる利用者の情報について、前記利用者情報データベースに登録された個人情報より、前記各項目の個人情報の値と前記各項目の乱数と前記利用者の電子署名を取得するデータ取得ステップと、
    前記各項目の乱数と各項目の個人情報の値とを合わせて項目毎にハッシュ値を生成するハッシュ値計算ステップと、
    生成した前記各項目のハッシュ値を全て合わせたものに対して事業者側装置の電子署名を生成する署名作成ステップと、
    前記各項目の乱数と前記各項目のハッシュ値と前記利用者の電子署名と前記事業者の電子署名とからなる閲覧用個人情報を作成し、利用者側装置に送信する閲覧用個人情報送信ステップとを実行することを特徴とする個人情報閲覧更新方法。
  16. 請求項1記載の個人情報閲覧更新方法において、
    前記利用者情報閲覧手段は、
    前記事業者側装置より受け取った前記閲覧用個人情報に含まれる各項目のハッシュ値を全て合わせたものと、前記閲覧用個人情報に含まれる事業者側装置の電子署名との整合性が取れるかどうかを検証する事業者署名検証ステップと、
    前記事業者側装置より受け取った前記閲覧用個人情報に含まれる各項目のハッシュ値を全て合わせたものと、前記閲覧用個人情報に含まれる前記利用者側装置の電子署名との整合性が取れるかどうかを検証する利用者署名検証ステップと、
    前記閲覧用個人情報の各項目について、前記個人情報データベースに登録された自身の個人情報の各項目の値を取得して、前記個人情報データベースより取得した項目の値を表示し閲覧するデータ表示ステップと
    前記利用者署名検証ステップによって、整合性が取れず改ざんされていることが検証された場合においては、前記データ表示ステップにより前記閲覧用個人情報の各項目の値を表示する際に、前記閲覧用個人情報に含まれる各項目のハッシュ値と前記個人情報データベースに記録された各項目のハッシュ値から改ざんされている項目を特定し、そのデータを表示する改ざん検知ステップとを実行することを特徴とする個人情報閲覧更新方法。
  17. 請求項1記載の個人情報閲覧更新方法において、
    前記利用者情報閲覧手段は、
    前記事業者側装置より受け取った前記閲覧用個人情報について、変更がある項目が存在する場合に、各項目について乱数を生成する乱数生成ステップと、
    前記生成した乱数と、変更がある項目を含む各項目の個人情報の値とを合わせて項目毎にハッシュ値を生成するハッシュ値計算ステップと、
    生成した前記各項目のハッシュ値を全て合わせたものに対して利用者側装置の電子署名を生成する署名作成ステップと、
    前記各項目の個人情報について、変更がある項目についてはその項目の値と前記生成した乱数と、変更が無い項目については前記生成した乱数と、前記利用者側装置の電子署名とからなる更新用個人情報を作成し、事業者側装置に送信する更新用個人情報送信ステップと、
    前記生成した各項目の乱数と、前記変更がある項目の値と、前記利用者側装置の電子署名とを前記個人情報データベースに登録するデータベース登録ステップとを実行することを特徴とする個人情報閲覧更新方法。
  18. 請求項1記載の個人情報閲覧更新方法において、
    前記個人情報送信手段は、
    項目毎に乱数を生成する乱数生成ステップと、
    前記生成した乱数と各項目の個人情報の値とを合わせて項目毎にハッシュ値を生成するハッシュ値計算ステップと、
    生成した前記各項目のハッシュ値を全て合わせたものに対して利用者側装置の電子署名を生成する署名作成ステップと、
    記各項目の個人情報の値と前記各項目の乱数と前記利用者側装置の電子署名と、誰に対してどの項目の個人情報を秘匿するかを示す開示制御情報とを記載した個人開示ポリシーファイルと、からなる送信用個人情報を作成し、事業者側装置に送信する送信用個人情報送信ステップと、
    前記送信用個人情報を前記個人情報データベースに登録し、前記個人開示ポリシーファイルを前記利用者側装置に格納するデータベース登録ステップとを実行することを特徴とする個人情報閲覧更新方法。
  19. 請求項1記載の個人情報閲覧更新方法において、
    前記利用者情報開示手段は、
    前記利用者、あるいは、前記利用者の個人情報を必要とする他の事業者端末より、個人情報閲覧要求を受信する要求受信ステップと、
    閲覧対象となる前記利用者の情報について、前記利用者情報データベースに登録された個人情報より、前記各項目の個人情報の値と前記各項目の乱数と前記利用者の電子署名を取得するデータ取得ステップと、
    前記各項目の乱数と各項目の個人情報の値とを合わせて項目毎にハッシュ値を生成するハッシュ値計算ステップと、
    誰に対してどの項目の個人情報を秘匿するかを示す開示制御情報を記載した事業者開示ポリシーファイルに基づき、開示する項目については、前記各項目の個人情報の値と前記各項目の乱数と、開示しない項目については、前記生成したハッシュ値と、前記利用者側装置の電子署名からなる開示用利用者情報を作成する開示用利用者情報作成ステップと、
    前記作成した開示用利用者情報に対して事業者側装置の電子署名を生成し、前記開示用利用者情報に付与して送信する送信ステップとを実行することを特徴とする個人情報閲覧更新方法。
  20. 請求項12記載の個人情報閲覧更新方法において、
    前記利用者情報開示手段は、
    前記利用者、あるいは、前記利用者の個人情報を必要とする他の事業者より、個人情報閲覧要求を受信する要求受信ステップと、
    閲覧対象となる前記利用者の情報について、前記利用者情報データベースに登録された個人情報より、前記各項目の個人情報の値と前記各項目の乱数と前記利用者の電子署名とを取得するデータ取得ステップと、
    前記各項目の乱数と各項目の個人情報の値とを合わせて項目毎にハッシュ値を生成するハッシュ値計算ステップと、
    誰に対してどの項目の個人情報を秘匿するかを示す開示制御情報を記載した事業者開示ポリシーファイルおよび前記閲覧対象となる前記利用者から送信された個人開示ポリシーファイルに基づき、開示する項目については、前記各項目の個人情報の値と前記各項目の乱数と、開示しない項目については、前記生成したハッシュ値と、前記利用者側の電子署名とからなる開示用利用者情報を作成する開示用利用者情報作成ステップと、
    前記作成した開示用利用者情報に対して前記事業者側の電子署名を生成し、前記開示用利用者情報に付与して送信する送信ステップとを実行することを特徴とする個人情報閲覧更新方法。
JP2005102712A 2005-03-31 2005-03-31 事業者側装置、利用者側装置、個人情報閲覧更新システムおよび個人情報閲覧更新方法 Active JP4664107B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005102712A JP4664107B2 (ja) 2005-03-31 2005-03-31 事業者側装置、利用者側装置、個人情報閲覧更新システムおよび個人情報閲覧更新方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005102712A JP4664107B2 (ja) 2005-03-31 2005-03-31 事業者側装置、利用者側装置、個人情報閲覧更新システムおよび個人情報閲覧更新方法

Publications (3)

Publication Number Publication Date
JP2006285490A JP2006285490A (ja) 2006-10-19
JP2006285490A5 JP2006285490A5 (ja) 2008-05-15
JP4664107B2 true JP4664107B2 (ja) 2011-04-06

Family

ID=37407373

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005102712A Active JP4664107B2 (ja) 2005-03-31 2005-03-31 事業者側装置、利用者側装置、個人情報閲覧更新システムおよび個人情報閲覧更新方法

Country Status (1)

Country Link
JP (1) JP4664107B2 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4708177B2 (ja) * 2005-12-09 2011-06-22 財団法人エヌエイチケイエンジニアリングサービス データベース管理方法および個人情報管理システム
JPWO2008099739A1 (ja) * 2007-02-06 2010-05-27 日本電気株式会社 個人情報の改ざん防止と個人情報流通否認防止のための個人情報管理装置、サービス提供装置、プログラム、個人情報管理方法、照合方法、および個人情報照合システム
JP5278309B2 (ja) * 2007-03-27 2013-09-04 富士通株式会社 監査プログラム、監査システムおよび監査方法
JP2009003643A (ja) * 2007-06-20 2009-01-08 Mitsubishi Electric Corp 電子データ認証システム
KR100932536B1 (ko) * 2007-11-20 2009-12-17 한국전자통신연구원 사용자 정보 관리 장치 및 방법
JP5227988B2 (ja) * 2010-03-15 2013-07-03 株式会社エヌ・ティ・ティ・データ 医療記録システムおよび医療記録方法
JP5309088B2 (ja) * 2010-06-21 2013-10-09 株式会社日立製作所 生体認証システムにおける、生体情報の登録方法、テンプレートの利用申請の方法、および、認証方法
JP5939580B2 (ja) 2013-03-27 2016-06-22 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 匿名化データを名寄せするための名寄せシステム、並びに、その方法及びコンピュータ・プログラム
JP7351724B2 (ja) * 2019-11-14 2023-09-27 株式会社日立製作所 組織間の情報連携を制御するシステム
JP7445135B2 (ja) 2020-08-27 2024-03-07 富士通株式会社 通信プログラム、通信装置、通信方法、及び通信システム

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004192353A (ja) * 2002-12-11 2004-07-08 Nippon Telegr & Teleph Corp <Ntt> 個人情報開示制御システム及び個人情報開示制御方法
JP2005051734A (ja) * 2003-07-15 2005-02-24 Hitachi Ltd 電子文書の真正性保証方法および電子文書の公開システム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004192353A (ja) * 2002-12-11 2004-07-08 Nippon Telegr & Teleph Corp <Ntt> 個人情報開示制御システム及び個人情報開示制御方法
JP2005051734A (ja) * 2003-07-15 2005-02-24 Hitachi Ltd 電子文書の真正性保証方法および電子文書の公開システム

Also Published As

Publication number Publication date
JP2006285490A (ja) 2006-10-19

Similar Documents

Publication Publication Date Title
JP4664107B2 (ja) 事業者側装置、利用者側装置、個人情報閲覧更新システムおよび個人情報閲覧更新方法
JP4120125B2 (ja) 利用許可証発行装置および方法
JP4739000B2 (ja) 電子文書管理プログラム、電子文書管理システム及び電子文書管理方法
JP4548441B2 (ja) コンテンツ利用システム、及びコンテンツ利用方法
JP4732178B2 (ja) 個人情報の開示経路閲覧システムおよびその開示経路検証方法
JP2012516491A (ja) ユーザのプライバシー保護のための方法
US20050223415A1 (en) Rights management terminal, server apparatus and usage information collection system
US20080208871A1 (en) Information processing apparatus and information processing method
CN101951360B (zh) 可互操作的密钥箱
CN105103119A (zh) 数据安全服务系统
CN101206696A (zh) 用于保护个人信息的设备、方法和系统
JP5218338B2 (ja) 情報伝達システム
JP4708177B2 (ja) データベース管理方法および個人情報管理システム
JPWO2008029723A1 (ja) データ利用管理システム
CN105122265A (zh) 数据安全服务系统
JP4929048B2 (ja) コンテンツ配信サービスシステム
CN101252432B (zh) 一种基于域的数字权限管理方法、域管理服务器及系统
JP2006209270A (ja) 個人情報通信システム及びその方法
JP2005158022A (ja) ファイルのセキュリティー管理システムおよび認証サーバ、クライアント装置ならびにプログラムおよび記録媒体
KR20100114321A (ko) 디지털 콘텐츠 거래내역 인증확인 시스템 및 그 방법
KR20010052765A (ko) 정보 처리 장치 및 방법, 및 제공 매체
CN107196965A (zh) 一种安全网络实名登记注册技术
JP2010244272A (ja) 個人属性情報管理方法、個人属性情報管理システムおよび個人属性情報管理プログラム
JP2004341832A (ja) 個人情報管理方法及びシステム、開示用識別子発行装置、個人情報開示装置
WO2011058629A1 (ja) 情報管理システム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080326

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080326

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100922

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100928

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101129

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101214

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110106

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4664107

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140114

Year of fee payment: 3

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350