JP4718131B2 - 個人情報管理システム - Google Patents
個人情報管理システム Download PDFInfo
- Publication number
- JP4718131B2 JP4718131B2 JP2004157223A JP2004157223A JP4718131B2 JP 4718131 B2 JP4718131 B2 JP 4718131B2 JP 2004157223 A JP2004157223 A JP 2004157223A JP 2004157223 A JP2004157223 A JP 2004157223A JP 4718131 B2 JP4718131 B2 JP 4718131B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- personal information
- personal
- target person
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本発明は、個人情報管理システムに係り、更に詳しくは、集積された個人情報の閲覧に関して、業務担当者が業務遂行に必要な個人情報を閲覧できるが、業務遂行に不必要な個人情報の閲覧をできないようにして、個人情報を管理するシステム或いは方法に関するものであり、例えば地方自治体の役所等における住民情報の管理に適した技術に関するものである。
通常、個人情報の管理システムでは、個人情報のセキュリティのためにシステムの利用者に対してIDとパスワードの入力を求めている。
たとえば、非特許文献1に開示されているように、地方自治体では住民の個人情報を住民基本台帳ネットワークシステムで管理しているが、住民基本台帳ネットワークシステムでは取り扱う個人情報を、氏名、生年月日、性別、住所、住民票コード、付随情報に限定し、さらにシステム利用者は操作者用ICカードとパスワードによる認証を行って個人情報の保護を実現している。個人情報以外の情報は、部署毎に設置された業務システム等で管理されているが、業務システムについても部署の職員のみが閲覧できるようにIDとパスワードによる認証を行っている。
たとえば、非特許文献1に開示されているように、地方自治体では住民の個人情報を住民基本台帳ネットワークシステムで管理しているが、住民基本台帳ネットワークシステムでは取り扱う個人情報を、氏名、生年月日、性別、住所、住民票コード、付随情報に限定し、さらにシステム利用者は操作者用ICカードとパスワードによる認証を行って個人情報の保護を実現している。個人情報以外の情報は、部署毎に設置された業務システム等で管理されているが、業務システムについても部署の職員のみが閲覧できるようにIDとパスワードによる認証を行っている。
しかし、システムで管理されている個人情報の中には、システムの利用者に閲覧されることがプライバシー上問題となる項目がある場合が想定される。元来、システムの利用者といえども、個人の許可無しにその個人情報を閲覧可能とすることはセキュリティ上望ましいとは言えない。このような問題を解決するために、システム利用者の閲覧できる個人情報を制御する手法が提案されている。
たとえば、特許文献1(特開2003−223352公報)に開示される個人情報管理システムでは、個人に情報閲覧を許容された業者が当該個人との間で個人DBのレコード識別子及び業者DBのレコード識別子を関連付ける連携手段と、個人情報を閲覧する業者の所属する業種分野に応じて表示する個人情報の項目をフィルタする手段とを備えることにより、業者の閲覧できる個人情報の範囲を業者の業種毎に制限し、かつ個人が許可を得た業者だけに個人情報を表示するようにしている。
「住民基本台帳ネットワークシステムの概要」住民基本台帳ネットワークシステム推進協議会、住民基本台帳ネットワークシステム全国センター編P31
しかしながら、上述のような個人情報管理システムにおいて個人情報を扱う際に、以下のような問題がある。
すなわち、システム利用者の業務によっては、特定個人の個人情報のほか、その個人の関係者に関する個人情報の参照が必要となる場合がある。このような場合、関係者全員に対して個人情報の登録と閲覧許可を得るか、又は個人の個人情報と併せてその関係者の個人情報も管理せざるを得ない。
すなわち、システム利用者の業務によっては、特定個人の個人情報のほか、その個人の関係者に関する個人情報の参照が必要となる場合がある。このような場合、関係者全員に対して個人情報の登録と閲覧許可を得るか、又は個人の個人情報と併せてその関係者の個人情報も管理せざるを得ない。
ところが、個人の関係者に対して個人情報の登録と閲覧許可を得ることは、実用上問題がある。たとえば役所で世帯全員の個人情報が記載された住民票の写しを取得するのに、世帯全員の閲覧許可を取ることは使い勝手が悪く、不便である。
また、ある個人の個人情報として関係者の個人情報も含めて管理することは、関係者の個人情報が重複して管理されることになるため、非効率であるばかりでなく、個人情報の更新が複雑になるという問題がある。
本発明の目的は、業務上ある条件下で、特定個人の許可に基づき個人の個人情報のほかに、その個人の関係者の個人情報を閲覧可能とする個人情報管理方法およびシステムを提供することにある。
本発明は、個人情報を閲覧するための端末と、前記個人情報を管理する個人情報管理サーバと、がネットワークを介して接続された個人情報管理システムであって、前記端末は、前記個人情報管理システムの利用者が遂行する業務を識別するための業務識別情報と、閲覧対象者に関する情報を含む個人情報である対象者個人情報を識別するための対象者識別情報と、の入力を受け付ける入力受付部と、前記対象者個人情報と、前記閲覧対象者との間で所定の関係性を有した関係者に関する情報を含む個人情報である関係者個人情報と、を含む閲覧情報を表示する表示部と、前記業務識別情報および前記対象者識別情報を前記個人情報管理サーバに送信し、または前記閲覧情報を前記個人情報管理サーバから受信する端末通信部と、を備え、前記個人情報管理サーバは、前記対象者識別情報と前記対象者個人情報とを対応付けて記憶し、前記関係者を識別するための関係者識別情報と前記関係者個人情報とを対応付けて記憶する個人情報記憶部と、前記対象者識別情報と前記関係者識別情報とを対応付けることにより、前記閲覧対象者と前記関係者との間における前記所定の関係性を記憶する関係性記憶部と、前記業務識別情報と、前記対象者個人情報に含まれる情報または前記関係者個人情報に含まれる情報とを対応付けて記憶する閲覧資格記憶部と、前記業務識別情報と、前記対象者識別情報とを前記端末から受信し、または前記閲覧情報を前記端末に送信するサーバ通信部と、前記サーバ通信部が前記業務識別情報と前記対象者識別情報とを受信した場合に、前記業務識別情報に基づいて前記閲覧資格記憶部に記憶された前記対象者個人情報または前記関係者個人情報に含まれる情報を特定し、受信された前記対象者識別情報に基づいて前記関係性記憶部に記憶された前記関係者識別情報を特定し、特定した前記関係者識別情報と受信された前記対象者識別情報とに基づいて、前記個人情報記憶部に記憶された前記対象者個人情報に含まれる情報と、前記関係者個人情報に含まれる情報とを前記閲覧情報として出力する情報処理部と、を備えることを特徴とする。
また、本発明は、上記個人情報管理システムで用いられる個人情報管理サーバ、および個人情報管理サーバで行われる個人情報管理方法である。
〔発明の効果〕
〔発明の効果〕
本発明によれば、システム利用者は特定個人の許可に基づき、業務遂行に必要な個人の個人情報と、特定個人の関係者の個人情報を閲覧することができ、個人は自分の承認なしに個人情報を閲覧されないため、自分の知らないうちに個人情報を閲覧される心配なく個人情報を提供することができる。
以下、図面を用いて本発明の実施の形態を説明する。
図1は、本発明の一実施例による自治体の住民情報サービスシステムに適用した個人情報管理システムの全体構成図である。
このシステムは、インターネット又は自治体内LAN等のネットワーク102に接続された個人情報管理サーバー101と、各業務部署に設置され、職員によって個人情報の検索や閲覧の操作、及び検索結果の表示を行う業務端末103〜108を備えて構成される。
図1は、本発明の一実施例による自治体の住民情報サービスシステムに適用した個人情報管理システムの全体構成図である。
このシステムは、インターネット又は自治体内LAN等のネットワーク102に接続された個人情報管理サーバー101と、各業務部署に設置され、職員によって個人情報の検索や閲覧の操作、及び検索結果の表示を行う業務端末103〜108を備えて構成される。
業務端末103〜108は、個人情報管理サーバー101がネットワークを介して提供するインタフェース画面を通してデータの表示、書込み、保存が行える機能を有する、例えばパーソナルコンピュータ(PC)のような、表示部及び入力部、処理部、記憶部を有する情報処理装置である。勿論、PCに限定されるものではない。
図2は、個人情報管理システムにおける個人情報管理サーバー101の機能構成を示す図である。
個人情報管理サーバー101は、ネットワーク102を介して業務端末103〜108と通信を行う通信処理部201と、情報処理部210と、データベース(以下、DBという)群から構成される。DB群は、システムの利用者である各部署の職員の情報を格納しDBとして管理する利用者DB202と、個人情報を格納しDBとして管理する個人情報DB203と、個人情報DB202に管理されている個人の関係を格納し、DBとして管理する個人関係DB204と、個人情報DB202と個人関係DB204に登録されている情報の閲覧資格を記憶し、DBとして管理する個人情報閲覧資格DB205とを含む。
個人情報管理サーバー101は、ネットワーク102を介して業務端末103〜108と通信を行う通信処理部201と、情報処理部210と、データベース(以下、DBという)群から構成される。DB群は、システムの利用者である各部署の職員の情報を格納しDBとして管理する利用者DB202と、個人情報を格納しDBとして管理する個人情報DB203と、個人情報DB202に管理されている個人の関係を格納し、DBとして管理する個人関係DB204と、個人情報DB202と個人関係DB204に登録されている情報の閲覧資格を記憶し、DBとして管理する個人情報閲覧資格DB205とを含む。
情報処理部210は、各処理部206〜209を有する。
利用者認証処理部206は、通信処理部201を介して業務端末103〜108に利用者認証用の画面を出力し、利用者認証画面に入力される利用者の認証情報と、利用者DB202の情報を用いて利用者の認証処理を行い、認証が成功した場合は閲覧対象決定処理部207にその旨を通知する処理を行う。
利用者認証処理部206は、通信処理部201を介して業務端末103〜108に利用者認証用の画面を出力し、利用者認証画面に入力される利用者の認証情報と、利用者DB202の情報を用いて利用者の認証処理を行い、認証が成功した場合は閲覧対象決定処理部207にその旨を通知する処理を行う。
閲覧対象決定処理部207は、利用者認証処理部206からの通知を受けて、通信処理部201を介して業務端末103〜108に業務・対象者入力画面を出力し、業務・対象者入力画面に入力される対象者と、業務情報と、個人情報閲覧資格DB205の情報を用いて業務において閲覧資格のある個人情報項目を取得し、対象者承認処理部208に通知する処理を行う。
対象者認証処理部208は、閲覧対象決定処理部207からの通知を受けて、通信処理部201を介して業務端末に承認依頼画面を出力し、承認依頼画面に対象者によって入力される対象者の認証情報と、個人情報DB203の情報を用いて対象者の認証処理を行い、認証が成功した場合は、個人情報検索処理部209に、閲覧資格のある個人情報項目と対象者の情報を通知する処理を行う。
個人情報検索処理部209は、対象者認証処理部208からの通知を受けて、個人関係DB204から対象者の関係者の情報を取得し、個人情報DB203から対象者と関係者の個人情報を取得し、通信処理部201を介して業務端末に個人情報閲覧画面を出力する処理を行う。
ここで、個人情報管理サーバー201の各処理部206〜209の機能は、メモリおよびCPU(中央演算装置)により構成されたハードウェア上にOSを搭載し、そのOS上に各機能を実現するためのプログラムをメモリにロードして実行することにより、その機能を実現することができる。尚、上記構成機能の全部または一部は、専用のハードウェアにより実現されてもよい。
また、利用者DB202、個人情報閲覧資格DB205、個人情報DB203、個人関係DB204は、データを格納するハードディスク装置等の補助記憶装置内に形成することにより実現できる。
また、利用者DB202、個人情報閲覧資格DB205、個人情報DB203、個人関係DB204は、データを格納するハードディスク装置等の補助記憶装置内に形成することにより実現できる。
次に、利用者DB202、個人情報閲覧資格DB205、個人情報DB203、個人関係DB204の夫々の記憶データ構造について説明する。
図3は、利用者DB202のデータ構造の一例を模擬的に示したものである。
利用者DB202は、利用者の識別子を示すID301と、利用者の氏名を示す氏名302と、利用者が所属する部署を示す部署303と、利用者を認証するための暗証番号304と、利用者の担当業務である担当業務305の項目を有する。この例では、利用者DB202のデータは、総合受付窓口の管理者により予め格納されている。図中306〜309はそれぞれ登録された利用者の情報を示している。
図3は、利用者DB202のデータ構造の一例を模擬的に示したものである。
利用者DB202は、利用者の識別子を示すID301と、利用者の氏名を示す氏名302と、利用者が所属する部署を示す部署303と、利用者を認証するための暗証番号304と、利用者の担当業務である担当業務305の項目を有する。この例では、利用者DB202のデータは、総合受付窓口の管理者により予め格納されている。図中306〜309はそれぞれ登録された利用者の情報を示している。
図4は、個人情報DB203のデータ構造の一例を模擬的に示したものである。
個人情報DB203は、個人の識別子を示すID401と、個人の氏名を示す氏名402と、個人の生年月日を示す生年月日403と、個人の性別を示す性別404と、個人の住所を示す住所405と、個人の職業を示す職業406と、個人の前年度所得を示す前年所得407と、個人が国民健康保険の加入者であるか否かを示す国保408と、個人が固定資産の保有者であるか否かを示す固定資産409と、個人が軽自動車を保有するかどうかを示す軽自動車410と、個人が障害者であるかどうかを示す障害者411と、個人を認証するための暗証番号412の項目を有する。住民情報管理システムに適用される例では、上記個人識別子ID401は好ましくは住民IDである。
個人情報DB203は、個人の識別子を示すID401と、個人の氏名を示す氏名402と、個人の生年月日を示す生年月日403と、個人の性別を示す性別404と、個人の住所を示す住所405と、個人の職業を示す職業406と、個人の前年度所得を示す前年所得407と、個人が国民健康保険の加入者であるか否かを示す国保408と、個人が固定資産の保有者であるか否かを示す固定資産409と、個人が軽自動車を保有するかどうかを示す軽自動車410と、個人が障害者であるかどうかを示す障害者411と、個人を認証するための暗証番号412の項目を有する。住民情報管理システムに適用される例では、上記個人識別子ID401は好ましくは住民IDである。
この例において、個人情報DB203のデータは、システムの管理者により予め格納されている。図中413〜419はそれぞれ登録された個人の情報を示している。
図5は、個人関係DB204のデータ構造の一例を模擬的に示したものである。
個人関係DB204は、個人の識別子を示すID501と、個人の世帯主のID又はその個人が世帯主の場合にはアスタリスク「*」で示す世帯主502と、個人の配偶者のIDを示す配偶503と、個人が扶養している者のIDを示す扶養504と、個人が扶養されている者のIDを示す被扶養505と、個人が生計をともにする者のIDを示す生計同一506と、個人と同居している者のIDを示す同居507の項目を有する。
この例においては、個人関係DB204のデータは、システムの管理者により予め格納されている。図中508〜514はそれぞれ登録された個人の情報を示している。たとえば、508は個人IDが「001」である個人の個人関係情報であり、この人は世帯主であり、配偶者に個人ID「002」の人、扶養者に個人ID「003」の人、生計を同一にする人に「002」「003」の人、同居人に「002」「003」「004」「005」の人が存在することを示している。
個人関係DB204は、個人の識別子を示すID501と、個人の世帯主のID又はその個人が世帯主の場合にはアスタリスク「*」で示す世帯主502と、個人の配偶者のIDを示す配偶503と、個人が扶養している者のIDを示す扶養504と、個人が扶養されている者のIDを示す被扶養505と、個人が生計をともにする者のIDを示す生計同一506と、個人と同居している者のIDを示す同居507の項目を有する。
この例においては、個人関係DB204のデータは、システムの管理者により予め格納されている。図中508〜514はそれぞれ登録された個人の情報を示している。たとえば、508は個人IDが「001」である個人の個人関係情報であり、この人は世帯主であり、配偶者に個人ID「002」の人、扶養者に個人ID「003」の人、生計を同一にする人に「002」「003」の人、同居人に「002」「003」「004」「005」の人が存在することを示している。
図6は、個人情報閲覧資格DB205のデータ構造の一例を模擬的に示したものである。
個人情報閲覧資格DB205は、一例では業務毎に設定される。そのデータ構造は、業務の識別子を示すID601と、業務の名称を示す業務名602と、個人関係DB204の項目である世帯主502の閲覧資格を示す世帯主603と、同じく配偶503の閲覧資格を示す配偶604と、扶養504の閲覧資格を示す扶養605と、被扶養505の閲覧資格を示す被扶養606と、生計同一506の閲覧資格を示す生計同一607と、同居507の閲覧資格を示す配偶608と、個人情報DB203の項目である「生年月日」403の閲覧資格を示す生年月日609と、同じく項目「性別」404の閲覧資格を示す性別610と、項目「住所」405の閲覧資格を示す住所611と、項目「職業」406の閲覧資格を示す職業612と、項目「前年所得」407の閲覧資格を示す前年所得613と、項目「国保」408の閲覧資格を示す国保614と、項目「固定資産」409の閲覧資格を示す固定資産615と、項目「軽自動車」410の閲覧資格を示す軽自動車616と、項目「障害者」411の閲覧資格を示す障害者617との各項目を有して構成される。住民情報管理システムに適用される例では、業務識別子ID601は好ましくは、行政サービスIDである。
この例においては、個人情報閲覧資格DB205のデータは、システムの管理者により予め格納されている。また閲覧資格項目には「関係情報」と「個人情報」に分類され、603〜607が関係情報、608〜617が個人情報である。
個人情報閲覧資格DB205は、一例では業務毎に設定される。そのデータ構造は、業務の識別子を示すID601と、業務の名称を示す業務名602と、個人関係DB204の項目である世帯主502の閲覧資格を示す世帯主603と、同じく配偶503の閲覧資格を示す配偶604と、扶養504の閲覧資格を示す扶養605と、被扶養505の閲覧資格を示す被扶養606と、生計同一506の閲覧資格を示す生計同一607と、同居507の閲覧資格を示す配偶608と、個人情報DB203の項目である「生年月日」403の閲覧資格を示す生年月日609と、同じく項目「性別」404の閲覧資格を示す性別610と、項目「住所」405の閲覧資格を示す住所611と、項目「職業」406の閲覧資格を示す職業612と、項目「前年所得」407の閲覧資格を示す前年所得613と、項目「国保」408の閲覧資格を示す国保614と、項目「固定資産」409の閲覧資格を示す固定資産615と、項目「軽自動車」410の閲覧資格を示す軽自動車616と、項目「障害者」411の閲覧資格を示す障害者617との各項目を有して構成される。住民情報管理システムに適用される例では、業務識別子ID601は好ましくは、行政サービスIDである。
この例においては、個人情報閲覧資格DB205のデータは、システムの管理者により予め格納されている。また閲覧資格項目には「関係情報」と「個人情報」に分類され、603〜607が関係情報、608〜617が個人情報である。
図7は、システムの利用者が個人情報を閲覧する場合の手順を示す図である。なお、システム利用者に対して個人が個人情報の閲覧を許可するために、個人認証用にあらかじめ暗証番号(パスワード)が設定されるものとする。
システム利用者は、業務端末103〜108を利用し、ネットワーク102を介して個人情報管理サーバー101に接続する。個人情報管理サーバー101の利用者認証処理部206は通信処理部201で業務端末(例えば103)からの接続要求を受け取ると、業務端末103に図8に示すような「利用者認証画面」を生成して送信する(701)。
システム利用者は、業務端末103〜108を利用し、ネットワーク102を介して個人情報管理サーバー101に接続する。個人情報管理サーバー101の利用者認証処理部206は通信処理部201で業務端末(例えば103)からの接続要求を受け取ると、業務端末103に図8に示すような「利用者認証画面」を生成して送信する(701)。
利用者認証画面801は、図8に示すように、システムログインの際に利用者の認証情報を取得するために個人情報管理サーバー101が出力する画面であり、利用者ID入力欄802と、暗証番号入力欄803と、ログインボタン804を備える。利用者ID入力欄802及び暗証番号入力欄803にデータが入力された状態で、ログインボタン803が操作されると、そのデータは業務端末103から個人情報管理サーバー101へ送信される(702)。
個人情報管理サーバー101の利用者認証処理部202は、利用者DB202を参照し、受信した利用者IDと暗証番号の照合を行う。照合の結果、一致したら正当な利用者による接続であると判定して次の処理704に進む。一方、一致しなかった場合には、不正な利用者による接続であると判定し処理を終了する(703)。
個人情報管理サーバー101の閲覧対象決定処理部207は、業務端末103へ、図9に示すような「業務・対象者入力画面」を生成して送信する(704)。
業務・対象者入力画面901は、図9に示すように、処理する業務と対象者を決定する際に業務IDと対象者の個人IDを取得するために個人情報管理サーバー101が出力する画面であり、業務ID入力欄902と、個人ID入力欄903と、送信ボタン904を備える。業務ID入力欄902及び業務ID入力欄903にデータが入力された状態で、送信ボタン904が操作されると、それらのデータは個人情報管理サーバー101へ送信される(705)。
業務・対象者入力画面901は、図9に示すように、処理する業務と対象者を決定する際に業務IDと対象者の個人IDを取得するために個人情報管理サーバー101が出力する画面であり、業務ID入力欄902と、個人ID入力欄903と、送信ボタン904を備える。業務ID入力欄902及び業務ID入力欄903にデータが入力された状態で、送信ボタン904が操作されると、それらのデータは個人情報管理サーバー101へ送信される(705)。
個人情報管理サーバー101の閲覧対象決定処理部207は、業務IDと対象者IDを受信した後、個人情報閲覧資格DB205を参照して業務IDによって示される業務遂行に際して閲覧可能な個人情報を取得し、個人情報DB203を参照して対象者の氏名を取得して次の処理に進む(706)。
個人情報管理サーバー101の対象者承認処理部208は、業務端末に図10に示すような「承認依頼画面」を生成して送信する(707)。
対象者承認依頼画面1001は、図10に示すように、対象者に個人情報閲覧の承認を得る際に、閲覧する個人情報と閲覧者を明示して対象者の意思を確認するため画面であり、これから閲覧する個人情報についての情報を表示する閲覧内容表示欄1002と、対象者の個人ID入力欄1003と、暗証番号入力欄1004と、承認可否情報1005と、送信ボタン1006を備える。利用者は利用者端末に表示されたこの画面を対象者に見せて、個人IDと暗証番号承認可否情報の入力を依頼する。個人ID欄1003と暗証番号1004と承認可否情報1005に、データが入力された状態で送信ボタン1006が操作されると、これらのデータ(即ち対象者の暗証番号と承認可否情報)は個人情報管理サーバー101へ送信される(708)。
対象者承認依頼画面1001は、図10に示すように、対象者に個人情報閲覧の承認を得る際に、閲覧する個人情報と閲覧者を明示して対象者の意思を確認するため画面であり、これから閲覧する個人情報についての情報を表示する閲覧内容表示欄1002と、対象者の個人ID入力欄1003と、暗証番号入力欄1004と、承認可否情報1005と、送信ボタン1006を備える。利用者は利用者端末に表示されたこの画面を対象者に見せて、個人IDと暗証番号承認可否情報の入力を依頼する。個人ID欄1003と暗証番号1004と承認可否情報1005に、データが入力された状態で送信ボタン1006が操作されると、これらのデータ(即ち対象者の暗証番号と承認可否情報)は個人情報管理サーバー101へ送信される(708)。
個人情報管理サーバー101の対象者承認処理部208は、個人情報DB203を参照し、受信した暗証番号の照合を行う。照合の結果、暗証番号が一致し、かつ承認可否情報が「承認します」である場合には、対象者による閲覧の承認が得られたものと判定して次の処理710に進む。それ以外の場合には対象者による承認が得られなかったと判定して処理を終了する(709)。
個人情報管理サーバー101の個人情報検索処理部209は、処理706で取得した閲覧可能な個人情報に、閲覧可能な関係情報が含まれる場合、個人関係DB204から、対象者IDと閲覧可能な関係情報にある関係者を検索する。次に個人情報DB203から、対象者と関係者についての閲覧可能な個人情報を取得する(710)。そして、個人情報検索処理部209は、業務端末103へ図11に示すような「個人情報閲覧画面」を生成して送信する(711)。
個人情報閲覧画面1101は、図11に示すように、個人情報を表示するための画面であり、表示している個人情報についての情報を表示する閲覧内容表示欄1101と、閲覧個人情報1103を備える。図示の例では、本人日立太郎と配偶者日立花子の生年月日と前年所得が表示されている。
業務端末103は、取得した「個人情報閲覧画面」1101を表示する(712)。
業務端末103は、取得した「個人情報閲覧画面」1101を表示する(712)。
このようにして業務端末103〜108に表示された個人情報を閲覧しながら、利用者は業務を遂行することができる。なお、処理708における「承認依頼画面」に対して暗証番号と承認可否情報を入力するのは、利用者ではなく対象者本人である。
以上説明したようなフローに従って個人情報閲覧が行われる。また本実施例の個人情報管理サーバー101の運用にあたり、業務端末における対象者の個人情報閲覧の承認方法は、各業務端末にICカードリーダを備えておき、対象者に事前に発行されたICカードをICカードリーダに挿入し、暗証番号を入力する方式で行ってもよい。また、承認可否情報を省略して入力された暗証番号の照合のみを持って判定するようにしてもよい。
尚、上述した図8〜図11に示す表示画面は、個人情報管理サーバー101が、業務端末103〜108に提供するインタフェース画面の一例を模擬的に示したものであり、表示形式は図示のものに限定されない。また、業務端末へのインタフェースの提供方法としては、例えばインターネット上のウェブ画面でインタフェース画面を提供し、業務端末からのデータ入力を受け付ける方法等を用いてもよい。
本実施例に係る個人情報管理システムは、たとえば役所において個人が窓口に申請を行う窓口の職員によって利用される際に、以下のような流れで動作する。申請の処理にあたり職員Cはシステムにログインし、申請業務と申請者の入力を行うと、申請者である個人Aの個人情報Xと、個人Aの配偶者の個人情報Yが必要であることを本システムの出力により知ることができる。そして個人情報Xと個人情報Yを閲覧するために、閲覧内容がXとYであり閲覧者がCであることを明示した上で、個人Aに対して閲覧の承認を求める。個人Aが承認したことは、個人Aしか知らない暗証番号の入力をもって判断するので、職員Cが勝手に個人情報を閲覧することはできないため、プライバシーの保護が可能である。また個人Aの権限で関係者の個人情報も含めて閲覧の承認ができるため、職員Cは関係者全員の承認を取るといった手間を省くことができる。
なお、本実施例の構成によれば、個人情報の持ち主(対象者)に対して、閲覧実施以前に閲覧内容と閲覧者を確認させ、対象者の承認を得る「対象者承認処理部」と、対象者の関係者の個人情報も必要に応じて検索する「個人情報検索処理部」を備えている。しかしこれは一例であり、本発明はこれに限定されない。例えば、利用者の認証方式として暗証番号の照合による方式ではなく、PKIを用いた個人認証の方式を用いても良い。
また、対象者の閲覧承認方式として、業務端末における暗証番号入力による方式ではなく、対象者の所有する携帯電話機のような別の端末から送信する方式を用いても良い。具体的には、対象者に対して電子メール等で対象者承認依頼画面へアクセスを求め、そこから暗証番号の入力を依頼する方式が考えられる。この方式によれば、対象者が業務端末の付近に居なくても個人情報の閲覧の承認が可能であるし、対象者の使い慣れた情報端末を利用できるという利点がある。さらに別の端末から送信されるデータには対象者のデジタル署名を付加することで対象者の本人確認を行うことが可能である。
また、本実施例によれば、個人情報閲覧資格DBを部署毎に管理することにより、システムを共有しつつ部署内でのみ必要な個人情報を部外の利用者の閲覧されることなく管理することができる。
また、個人情報閲覧資格DBを業務毎に管理することにより、業務の遂行に必要な個人情報のみを閲覧できるため、システム利用者の利便性がよくなり作業効率を向上できる。
また、個人情報閲覧資格DBを業務毎に管理することにより、業務の遂行に必要な個人情報のみを閲覧できるため、システム利用者の利便性がよくなり作業効率を向上できる。
尚、個人情報閲覧資格DBは、図6で業務ごとに閲覧資格を管理しているが、代替例によれば、システム利用者ごとや、所属部署ごとに管理してもよい。
また、本発明は上記した実施例による自治体の住民情報サービスシステムに限定されずに、多数の個人情報を管理し、本人の要請により本人以外の者に個人情報を閲覧されるなどプライバシーの保護が必要なシステム全般に適用できる。
また、本発明は上記した実施例による自治体の住民情報サービスシステムに限定されずに、多数の個人情報を管理し、本人の要請により本人以外の者に個人情報を閲覧されるなどプライバシーの保護が必要なシステム全般に適用できる。
101:個人情報管理サーバー、 102:ネットワーク、
201:通信処理部、 202:利用者DB、
203:個人情報DB、 204:個人関係DB、
205:個人情報閲覧資格DB、 206:利用者認証処理部、
207:閲覧対象決定処理部、 208:対象者承認処理部、
209:個人情報検索処理部、 801:利用者認証画面、
901:業務・対象者入力画面、 1001:対象者承認依頼画面、
1101:個人情報閲覧画面
201:通信処理部、 202:利用者DB、
203:個人情報DB、 204:個人関係DB、
205:個人情報閲覧資格DB、 206:利用者認証処理部、
207:閲覧対象決定処理部、 208:対象者承認処理部、
209:個人情報検索処理部、 801:利用者認証画面、
901:業務・対象者入力画面、 1001:対象者承認依頼画面、
1101:個人情報閲覧画面
Claims (9)
- 個人情報を閲覧するための端末と、前記個人情報を管理する個人情報管理サーバと、がネットワークを介して接続された個人情報管理システムであって、
前記端末は、
前記個人情報管理システムの利用者が遂行する業務を識別するための業務識別情報と、閲覧対象者に関する情報を含む個人情報である対象者個人情報を識別するための対象者識別情報と、の入力を受け付ける入力受付部と、
前記対象者個人情報と、前記閲覧対象者との間で所定の関係性を有した関係者に関する情報を含む個人情報である関係者個人情報と、を含む閲覧情報を表示する表示部と、
前記業務識別情報および前記対象者識別情報を前記個人情報管理サーバに送信し、または前記閲覧情報を前記個人情報管理サーバから受信する端末通信部と、を備え、
前記個人情報管理サーバは、
前記対象者識別情報と前記対象者個人情報とを対応付けて記憶し、前記関係者を識別するための関係者識別情報と前記関係者個人情報とを対応付けて記憶する個人情報記憶部と、
前記対象者識別情報と前記関係者識別情報とを対応付けることにより、前記閲覧対象者と前記関係者との間における前記所定の関係性を記憶する関係性記憶部と、
前記業務識別情報と、前記対象者個人情報に含まれる情報または前記関係者個人情報に含まれる情報とを対応付けて記憶する閲覧資格記憶部と、
前記業務識別情報と、前記対象者識別情報とを前記端末から受信し、または前記閲覧情報を前記端末に送信するサーバ通信部と、
前記サーバ通信部が前記業務識別情報と前記対象者識別情報とを受信した場合に、前記業務識別情報に基づいて前記閲覧資格記憶部に記憶された前記対象者個人情報または前記関係者個人情報に含まれる情報を特定し、受信された前記対象者識別情報に基づいて前記関係性記憶部に記憶された前記関係者識別情報を特定し、特定した前記関係者識別情報と受信された前記対象者識別情報とに基づいて、前記個人情報記憶部に記憶された前記対象者個人情報に含まれる情報と、前記関係者個人情報に含まれる情報とを前記閲覧情報として出力する情報処理部と、
を備えることを特徴とする個人情報管理システム。 - 前記個人情報管理サーバは、
前記情報処理部が、前記対象者識別情報と前記関係者識別情報とを含む前記閲覧情報を出力し、
前記端末は、
前記表示部が、前記端末通信部が前記個人管理サーバから受信した前記閲覧情報を表示する、
ことを特徴とする請求項1の個人情報管理システム。 - 前記個人情報管理サーバは、
前記情報処理部が、前記閲覧対象者が前記閲覧情報の出力を承認するための承認依頼画面を出力し、出力した前記承認依頼画面において承認された場合にのみ、前記閲覧情報を出力し、
前記端末は、
前記表示部が、さらに、前記承認依頼画面を表示する、
ことを特徴とする請求項1または2の個人情報管理システム。 - 前記個人情報管理サーバは、さらに、
前記利用者を識別するための利用者識別情報と、前記利用者による前記個人情報管理システムの利用を認証するための暗証情報とを対応付けて記憶する利用者記憶部と、を備え、
前記情報処理部は、前記サーバ通信部が前記端末から前記利用者識別情報と前記暗証情報とを受信した場合に、受信された前記利用者識別情報と前記暗証情報とに基づいて前記利用者を認証し、前記利用者が認証できた場合にのみ、前記閲覧情報を出力し、
前記端末は、
前記入力受付部が、さらに、前記利用者識別情報と前記暗証情報との入力を受け付け、
前記端末通信部が、受け付けられた前記利用者識別情報と前記暗証情報とを前記個人情報管理サーバに送信する、
ことを特徴とする請求項1〜3のいずれか1項に記載の個人情報管理システム。 - 前記端末は、
前記表示部が、さらに、前記利用者認証情報と前記暗証情報とを取得するための利用者認証用画面と、前記業務識別情報と前記対象者識別情報とを取得するための業務・対象者入力画面と、を表示する、
ことを特徴とする請求項4に記載の個人情報管理システム。 - 前記個人情報管理サーバは、
前記閲覧資格記憶部が、前記業務識別情報によって識別される業務ごとに、前記対象者個人情報に含まれる情報および前記関係者個人情報に含まれる情報を対応付けて複数記憶し、
前記情報処理部は、前記対象者個人情報に含まれる複数の情報、または前記関係者個人情報に含まれる複数の情報のうち、前記業務識別情報に応じた情報のみを、前記利用者が遂行する業務に必要な前記閲覧情報として出力する、
ことを特徴とする請求項1〜5のいずれか1項に記載の個人情報管理システム。 - 前記利用者が遂行する業務は行政サービスであり、前記業務識別情報は前記行政サービスを識別するための識別情報であり、
前記対象者個人情報および前記関係者個人情報は自治体における住民に関する個人情報である、
ことを特徴とする請求項1〜6のいずれか1項に記載の個人情報管理システム。 - 個人情報を閲覧するための端末にネットワークを介して接続された前記個人情報を管理する個人情報管理サーバであって、
閲覧対象者に関する情報を含む個人情報である対象者個人情報を識別するための対象者識別情報と前記対象者個人情報とを対応付けて記憶し、前記閲覧対象者との間で所定の関係性を有した関係者を識別するための関係者識別情報と前記関係者に関する情報を含む個人情報である関係者個人情報とを対応付けて記憶する個人情報記憶部と、
前記対象者識別情報と前記関係者識別情報とを対応付けることにより、前記閲覧対象者と前記関係者との間における前記所定の関係性を記憶する関係性記憶部と、
前記端末の利用者が遂行する業務を識別するための業務識別情報と、前記対象者個人情報に含まれる情報または前記関係者個人情報に含まれる情報とを対応付けて記憶する閲覧資格記憶部と、
前記業務識別情報と、前記対象者識別情報とを前記端末から受信し、または前記対象者個人情報と、前記関係者個人情報と、を含む閲覧情報を前記端末に送信するサーバ通信部と、
前記サーバ通信部が前記業務識別情報と前記対象者識別情報とを受信した場合に、前記業務識別情報に基づいて前記閲覧資格記憶部に記憶された前記対象者個人情報または前記関係者個人情報に含まれる情報を特定し、受信された前記対象者識別情報に基づいて前記関係性記憶部に記憶された前記関係者識別情報を特定し、特定した前記関係者識別情報と受信された前記対象者識別情報とに基づいて、前記個人情報記憶部に記憶された前記対象者個人情報に含まれる情報と、前記関係者個人情報に含まれる情報とを前記閲覧情報として出力する情報処理部と、
を備えることを特徴とする個人情報管理サーバ。 - 個人情報を閲覧するための端末にネットワークを介して接続された前記個人情報を管理する個人情報管理サーバにおいて行われる個人情報管理方法であって、
前記端末の利用者が遂行する業務を識別するための業務識別情報と、閲覧対象者に関する情報を含む個人情報である対象者個人情報を識別するための対象者識別情報とを前記端末から受信する受信ステップと、
前記受信ステップにおいて、前記業務識別情報と前記対象者識別情報とを受信した場合に、前記業務識別情報に基づいて、前記業務識別情報と、前記対象者個人情報に含まれる情報または前記閲覧対象者との間で所定の関係性を有した関係者に関する情報を含む個人情報である関係者個人情報に含まれる情報とを対応付けて記憶する閲覧資格記憶部に記憶された前記対象者個人情報または前記関係者個人情報に含まれる情報を特定し、受信された前記対象者識別情報に基づいて前記対象者識別情報と前記閲覧対象者との間で所定の関係性を有した関係者を識別するための関係者識別情報とを対応付けることにより、前記閲覧対象者と前記関係者との間における前記所定の関係性を記憶する関係性記憶部に記憶された前記関係者識別情報を特定する特定ステップと、
特定した前記関係者識別情報と受信された前記対象者識別情報とに基づいて、前記対象者識別情報と前記対象者個人情報とを対応付けて記憶し、前記関係者識別情報と前記関係者個人情報とを対応付けて記憶する個人情報記憶部に記憶された前記対象者個人情報に含まれる情報と、前記関係者個人情報に含まれる情報とを閲覧情報として出力する出力ステップと、
前記対象者個人情報と、前記関係者個人情報と、を含む閲覧情報を前記端末に送信する送信ステップと、
を含むことを特徴とする個人情報管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004157223A JP4718131B2 (ja) | 2004-05-27 | 2004-05-27 | 個人情報管理システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004157223A JP4718131B2 (ja) | 2004-05-27 | 2004-05-27 | 個人情報管理システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005339205A JP2005339205A (ja) | 2005-12-08 |
| JP4718131B2 true JP4718131B2 (ja) | 2011-07-06 |
Family
ID=35492709
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004157223A Expired - Fee Related JP4718131B2 (ja) | 2004-05-27 | 2004-05-27 | 個人情報管理システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4718131B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4770774B2 (ja) * | 2007-03-30 | 2011-09-14 | カシオ計算機株式会社 | 印刷装置および印刷制御プログラム |
| JP5966722B2 (ja) * | 2012-07-25 | 2016-08-10 | 沖電気工業株式会社 | 情報処理装置、情報処理システム、情報処理方法、及びプログラム |
| JP5827973B2 (ja) * | 2013-04-23 | 2015-12-02 | 日本電信電話株式会社 | 個人情報管理装置、方法及びプログラム |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002109667A (ja) * | 2000-10-04 | 2002-04-12 | Sekisui Chem Co Ltd | 生活見守り用管理装置 |
| JP2002197186A (ja) * | 2000-12-27 | 2002-07-12 | Fujitsu Ltd | 個人情報管理装置 |
| JP2003223352A (ja) * | 2002-01-31 | 2003-08-08 | Nextware Ltd | 個人情報管理システム |
| JP2003323379A (ja) * | 2002-04-26 | 2003-11-14 | Shoji Sato | 電子メールアドレスの提供方法、提供サーバーおよび提供プログラム |
| JP2003331045A (ja) * | 2002-05-15 | 2003-11-21 | Fujitsu Ltd | ポータルサイトサーバシステム、ポータルサイト方法、およびポータルサイトプログラム |
| JP2004102381A (ja) * | 2002-09-05 | 2004-04-02 | Sony Corp | 情報提供装置および方法、並びにプログラム |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1139381A (ja) * | 1997-07-16 | 1999-02-12 | Hitachi Ltd | 要介護者の親族データ管理方法 |
| JP3463523B2 (ja) * | 1997-08-01 | 2003-11-05 | オムロン株式会社 | 超音波式物体検出装置 |
| JPH11353376A (ja) * | 1998-06-08 | 1999-12-24 | Oki Electric Ind Co Ltd | 個人情報を記録した書類の発行システム及び書類発行装置 |
-
2004
- 2004-05-27 JP JP2004157223A patent/JP4718131B2/ja not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002109667A (ja) * | 2000-10-04 | 2002-04-12 | Sekisui Chem Co Ltd | 生活見守り用管理装置 |
| JP2002197186A (ja) * | 2000-12-27 | 2002-07-12 | Fujitsu Ltd | 個人情報管理装置 |
| JP2003223352A (ja) * | 2002-01-31 | 2003-08-08 | Nextware Ltd | 個人情報管理システム |
| JP2003323379A (ja) * | 2002-04-26 | 2003-11-14 | Shoji Sato | 電子メールアドレスの提供方法、提供サーバーおよび提供プログラム |
| JP2003331045A (ja) * | 2002-05-15 | 2003-11-21 | Fujitsu Ltd | ポータルサイトサーバシステム、ポータルサイト方法、およびポータルサイトプログラム |
| JP2004102381A (ja) * | 2002-09-05 | 2004-04-02 | Sony Corp | 情報提供装置および方法、並びにプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005339205A (ja) | 2005-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11928197B2 (en) | Method for providing an authenticated digital identity | |
| US11790118B2 (en) | Cloud-based system for protecting sensitive information in shared content | |
| US20220060478A1 (en) | Identity authentication and information exchange system and method | |
| US9805213B1 (en) | Identity validation and verification system and associated methods | |
| US11411959B2 (en) | Execution of application in a container within a scope of user-granted permission | |
| US11386224B2 (en) | Method and system for managing personal digital identifiers of a user in a plurality of data elements | |
| US20100095357A1 (en) | Identity theft protection and notification system | |
| US20060047725A1 (en) | Opt-in directory of verified individual profiles | |
| US20090307755A1 (en) | System and method for facilitating cross enterprises data sharing in a healthcare setting | |
| US20120167235A1 (en) | Universal identity service avatar ecosystem | |
| US11126999B1 (en) | Officially authorized virtual identification cards | |
| JP5107885B2 (ja) | 個人情報提供装置、個人情報提供方法 | |
| JP6871296B2 (ja) | 仲介サーバ、プログラム、及び情報処理方法 | |
| JP4718131B2 (ja) | 個人情報管理システム | |
| JP5409871B2 (ja) | 個人情報提供装置、および個人情報提供方法 | |
| JP6828311B2 (ja) | 情報処理システム、情報処理装置及びプログラム | |
| US10726365B2 (en) | Secure facility resident grievance/request filing system | |
| JP2004295507A (ja) | 携帯機器を用いた身分証明方法,システム及びプログラム | |
| JP6685118B2 (ja) | 個人情報保護・利用サーバ | |
| Henning et al. | Online crime reporting: A new threat to police legitimacy? | |
| US20090070865A1 (en) | Security proxy service | |
| KR20050078483A (ko) | 지문 인식을 이용한 무인 의료 접수 및 정보 제공시스템과 그 방법 | |
| US20150213405A1 (en) | Methods and systems for facilitating document transactions | |
| JP2009245097A (ja) | 入館受付システムおよび入館受付方法 | |
| KR101798581B1 (ko) | 모바일 단말기를 이용한 대부적격 심사 및 계약서 작성 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070201 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20070201 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100713 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100913 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110315 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110331 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140408 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |