JP4732178B2 - 個人情報の開示経路閲覧システムおよびその開示経路検証方法 - Google Patents

個人情報の開示経路閲覧システムおよびその開示経路検証方法 Download PDF

Info

Publication number
JP4732178B2
JP4732178B2 JP2006033484A JP2006033484A JP4732178B2 JP 4732178 B2 JP4732178 B2 JP 4732178B2 JP 2006033484 A JP2006033484 A JP 2006033484A JP 2006033484 A JP2006033484 A JP 2006033484A JP 4732178 B2 JP4732178 B2 JP 4732178B2
Authority
JP
Japan
Prior art keywords
disclosure
route
information
personal information
permission
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006033484A
Other languages
English (en)
Other versions
JP2007213373A (ja
Inventor
浩幸 今泉
希一 小林
亜里砂 藤井
剛 大竹
晴幸 中村
恵吾 真島
弘之 小島
幸一 谷本
隆亮 山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Japan Broadcasting Corp
NHK Engineering System Inc
Original Assignee
Hitachi Ltd
NHK Engineering Services Inc
Japan Broadcasting Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd, NHK Engineering Services Inc, Japan Broadcasting Corp filed Critical Hitachi Ltd
Priority to JP2006033484A priority Critical patent/JP4732178B2/ja
Publication of JP2007213373A publication Critical patent/JP2007213373A/ja
Application granted granted Critical
Publication of JP4732178B2 publication Critical patent/JP4732178B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、個人情報の開示経路閲覧システムおよびその開示経路検証方法に関し、特に、個人情報保護技術において個人情報の利用を制御する技術に関するものである。
インターネットや家庭内のネットワークが普及し、いわゆるPCだけでなく、それ以外の一般家電製品にもネットワーク対応型が普及し始めている。こうした中で、個人のプロフィールや家電の使用状況など生活に密着した個人情報が、通信ネットワークを介して容易に送信可能となり、オンラインで個人情報を収集しサービス提供に利用する事業が急増している。
このようなサービスにおいては、個人情報が頻繁にネットワーク上を流れることになる。第三者による個人情報の悪用や改ざんを防ぐためには、このネットワーク上を流れる個人情報の保護が重要である。また、個人情報が不正に流通している場合に、その漏洩元を特定可能とし、個人情報の不正な流通、漏洩を防止することが必要である。
従来、個人情報の漏洩を防止する技術としては、例えば、特開2005−157729号公報(特許文献1)に記載されているような、開示権利の存在する場合にのみ開示し、開示制御を行う方式があった。
また、例えば、特開2002−197422号公報(特許文献2)に記載されているような、個人情報などの秘密情報を暗号により保護する方式があった。
特開2005−157729号公報 特開2002−197422号公報
しかしながら、特許文献1,2の技術では、個人情報の保護を実現する上では有効であるが、個人情報の流通経路の検証、また、漏洩した個人情報について、その不正者を特定(漏洩元特定)することは、困難であった。
そこで、本発明の目的は、個人情報の漏洩時や個人情報の不正な流通が疑われる時などに、個人情報の開示経路、開示内容の検証を行うことのできる個人情報の開示経路閲覧システムおよびその開示経路検証方法を提供することにある。
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、次のとおりである。
本発明による個人情報の開示経路閲覧システムは、利用者より個人情報を収集し、収集した個人情報を利用範囲に基づき開示し、また、利用者に対して、収集した個人情報に基づいたサービスを行う業者側装置と、自らの個人情報を業者側装置に送信し、また、業者側装置より提供されるサービスを利用するユーザ側装置と、個人情報の開示を管理し、開示制御や開示経路の管理、検証を行う開示経路管理サーバとを有する個人情報の開示経路閲覧システムであって、業者側装置は、収集した個人情報を他事業者に開示する際には、開示経路管理サーバに開示許可要求を行い、開示経路管理サーバは、開示許可要求対象の個人情報について、その流通経路、開示範囲の判定を行った後、開示許可要求の要求元である開示元業者側装置に対して、許可ID、開示元業者側装置に関する情報、開示先業者側装置に関する情報および自身の電子署名を含む開示許可データを送信し、開示元業者側装置は、開示許可データおよび自身の電子署名からなる開示経路レコードを作成して個人情報の持つ開示経路データに追加し、その開示経路データを開示対象の個人情報に添付して開示し、開示経路データ付き個人情報を受け取った開示先業者側装置は、開示経路データに追加された最新の開示経路レコードに含まれる開示元業者側装置の電子署名、および開示経路管理サーバの電子署名を検証し、検証失敗である場合は、開示経路データの1つ前に追加された開示経路レコードについて、開示元業者側装置の電子署名、および開示経路管理サーバの電子署名を検証していくことを繰り返し、どの開示経路レコードまでが正当であるかを検証して開示経路レコードが不連続である部分を検出するものである。
開示元業者側装置は、開示経路データを開示対象の個人情報に添付して開示することも本発明に含まれる。
また、本発明による個人情報の開示経路閲覧システムは、利用者より個人情報を収集し、収集した個人情報を利用範囲に基づき開示し、また、利用者に対して、収集した個人情報に基づいたサービスを行う業者側装置と、自らの個人情報を事業者に送信し、また、業者側装置より提供されるサービスを利用するユーザ側装置と、個人情報の開示を管理し、開示制御や開示経路の管理、検証を行う開示経路管理サーバとを有する個人情報の開示経路閲覧システムであって、業者側装置は、収集した個人情報を他事業者に開示する際には、開示経路管理サーバに開示許可要求を行い、開示経路管理サーバは、開示許可要求対象の個人情報について、個人情報のハッシュ値からなる特徴量、および許可ID、開示元業者側装置に関する情報、開示先業者側装置に関する情報および自身の電子署名からなる開示許可データを、自身のデータベースに記録し、ユーザ側装置または業者側装置によって流通、管理されている個人情報について、ユーザ側装置または業者側装置の検証要請に基づき、その検証対象の個人情報に添付されている開示経路データに含まれる開示経路レコードについて、開示経路レコードに含まれる許可IDより自身のデータベースを検索して、開示経路レコードとデータベースより検出した開示許可データとの整合性を検証する第1段階の検証を行い、その後、開示経路データに追加された最新の開示経路レコードに含まれる開示元業者側装置の電子署名、および開示経路管理サーバの電子署名を検証し、検証失敗である場合は、開示経路データの所定数前に追加された開示経路レコードについて、開示元業者側装置の電子署名、および開示経路管理サーバの電子署名を検証していくことを繰り返し、どの開示経路レコードまでが正当であるかを検証する第2段階の検証を行い、開示経路レコードが不連続である部分を検出し、検証対象の個人情報とデータベースに含まれる個人情報のハッシュ値からなる特徴量とを比較して、データベースより検証対象の個人情報に関連する開示許可データを検出し、第1段階の検証で検証された開示許可データ以外の開示許可データが検出された場合は、その開示許可データに含まれる開示元事業者に関する情報、開示先事業者に関する情報および自身の電子署名からなる開示許可データについて、開示元事業者および開示先事業者に開示内容の問い合わせを行う第3の検証を行い、第1段階から第3段階の検証までの検証結果を、検証要請元のユーザ側装置または業者側装置に通知するものである。上記の所定数前は、1つ前であることがより望ましい。
また、本発明による個人情報の開示経路検証方法は、利用者の個人情報を開示するユーザ情報開示部と、開示された個人情報を閲覧、検証するユーザ情報取得部と、収集した個人情報を利用してサービスを行うサービス提供部と、視聴者から収集した個人情報を記録、管理するユーザ情報データベースとを有する業者側装置と、業者側装置に対して自身の個人情報を送信するユーザ情報送信部と、個人情報およびその開示経路の検証を行い、また開示経路管理サーバに個人情報の検証要請を行う開示経路要求部と、業者側装置の提供するサービスを利用するサービス利用部と、自身の個人情報を登録する個人情報データベースとを有するユーザ側装置と、開示許可要求に対して許可IDを発行し、開示許可データを作成する許可ID発行部と、個人情報について、開示経路の検証、不正者の検出を行う開示経路検証部と、作成した開示許可データを記録する開示許可データベースとを有する開示経路管理サーバとを備えた個人情報の開示経路閲覧システムの開示経路検証方法であって、開示経路管理サーバの許可ID発行部により、業者側装置より開示許可要求のあった個人情報について、開示許可データベースに記録された開示許可データ、および個人情報の利用範囲を参照して、開示可否の判定を行う開示許可判定ステップと、開示許可要求に対する許可IDを作成する許可ID作成ステップと、開示許可要求に対する自身の電子署名を作成する開示許可署名作成ステップと、許可ID、開示元事業者に関する情報、開示先事業者に関する情報および自身の電子署名を含む開示許可データ作成し、開示許可要求の要求元に送信する開示許可データ送信ステップとを実行し、開示経路管理サーバの開示経路検証部により、開示経路データに含まれる開示経路レコードの開示元業者側装置の電子署名、および開示経路管理サーバの電子署名を検証し、開示経路データに含まれる開示経路レコードについて、その前後の繋がりから開示経路を検証する開示経路検証ステップと、検証対象の個人情報のハッシュ値による特徴量から開示許可データベースを検索し、検証対象の個人情報に関係する開示許可データを検出する開示許可データベース検索ステップと、検出した開示許可データに含まれる開示元に関する情報および開示先に関する情報より、業者側装置に対して、検証対象の個人情報に関する開示内容の提出を要請する開示経路情報要求ステップとを実行するものである。
本願において開示される発明のうち、代表的なものによって得られる効果を簡単に説明すれば以下のとおりである。
本発明によれば、開示経路データを用いて開示経路、開示内容の検証を行うことができ、個人情報の漏洩や開示経路の検知、開示内容の改ざんを検知することができる。
また、本発明によれば、流通している個人情報について、ユーザ(個人情報提供者)は、開示管理サーバに検証要求を行い、正しい経路・手順で開示されたものであるか、また、それが不正に流通しているものであれば、漏洩元はどこであるか検証することができる。
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。
<個人情報の開示経路閲覧システムの構成>
図1により、本発明の一実施の形態に係る個人情報の開示経路閲覧システムの構成について説明する。図1は本発明の一実施の形態に係る個人情報の開示経路閲覧システムの構成を示す構成図である。
図1において、個人情報の開示経路閲覧システムは、個人情報の開示許可の発行、開示経路の管理を行う開示経路管理サーバ101と、サービスの利用ために自らの個人情報(以降、ユーザ情報と呼ぶ)を提供し、コンテンツを取得するユーザ側装置102〜104と、個人情報を収集してコンテンツの配信、および関連商品の販売に利用するコンテンツ配信業者側装置105と、サービス利用料金などを計算、請求する課金業者側装置106と、ユーザに対し商品の発送を行う商品発送業者側装置107から構成される。
ユーザ側装置102〜104は、サービスを利用する利用者数分が存在する。コンテンツ配信業者側装置105、課金業者側装置106、商品発送業者側装置107を、まとめて業者側装置と呼ぶ。開示経路管理サーバ101、ユーザ側装置102〜104、業者側装置105〜107は、ネットワーク108を介して繋がっている。
<個人情報の開示経路閲覧システムを構成する各部の内部構成>
次に、図2〜図4により、本発明の一実施の形態に係る個人情報の開示経路閲覧システムを構成する各部の内部構成について説明する。図2〜図4は本発明の一実施の形態に係る個人情報の開示経路閲覧システムを構成する各部の内部構成を示す構成図であり、図2は開示経路管理サーバの構成を示す構成図、図3はユーザ側装置の構成を示す構成図、図4は業者側装置の構成を示す構成図である。
図2において、開示経路管理サーバ101の内部構成は、CPU201と、記憶装置202と、ネットワークを介して他の装置と通信を行うための通信装置204と、キーボードやマウスなどの入力装置205と、ディスプレイなどの表示装置206と、これらを接続するインタフェース203とから構成される。
記憶装置202には、業者側装置105〜107よりユーザ情報の開示許可要求を受け取り、開示許可判定を行った後、その要求に対して開示許可IDを発行する許可ID発行プログラム207と、ユーザ情報について、自身の開示許可データベース209を参照してその開示経路を検証する開示経路検証プログラム208と、開示許可IDを発行した際のログが記録された開示許可データベース209と、署名の作成や暗号化復号化に利用する開示経路管理サーバ秘密鍵210、開示経路管理サーバ公開鍵211が格納されている。
以下の説明における各プログラム207、208の処理は、インタフェース203を介して呼び出された各プログラムをCPU201が実行することにより、開示経路管理サーバ101上で実現されるものである。
各プログラムは、予め記憶装置202に格納されていても良いし、開示経路管理サーバ101が利用可能な媒体を介して導入されても良い。媒体とは、例えば、開示経路管理サーバ101に着脱可能な記憶媒体や、通信装置204に接続するネットワークまたはネットワークを伝搬する搬送波といった通信媒体を含む。
また、図3において、ユーザ側装置102〜104の内部構成は、前述の開示経路管理サーバ101と同様の構成からなる(301〜306)。
記憶装置302には、業者側装置105〜107からのユーザ情報送信要求を受け、自身のユーザ情報を、署名を付与した後に要求元の業者に送信するユーザ情報送信プログラム307と、開示経路管理サーバに対して、自身のユーザ情報についての開示状況の問い合わせや、開示経路の正当性の検証を要請する開示経路要求プログラム308と、コンテンツ配信業者側装置105より、コンテンツを取得するコンテンツ受信プログラム309と、自身のユーザ情報が記録されている個人情報データベース310と、コンテンツ配信業者側装置105より受信したコンテンツが蓄積されるコンテンツ蓄積領域311と、署名の作成や暗号化復号化に利用するユーザ秘密鍵312、ユーザ公開鍵313が格納されている。
以下の説明における各プログラム307〜309の処理は、ユーザ側装置102〜104上で実現されるものである。各プログラムの実行および格納方法については、前述の開示経路管理サーバ101と同様である。
また、図4において、業者側装置105〜107の内部構成は、前述の開示経路管理サーバ101と同様の構成からなる(401〜406)。
記憶装置402には、収集したユーザ情報について、開示経路管理サーバに開示許可要求を行った後、他の業者側装置105〜107に開示するユーザ情報開示プログラム407と、他の業者側装置105〜107からユーザ情報を収集し、収集したユーザ情報、およびその開示経路を検証するユーザ情報取得プログラム408と、各業者ごとのサービス(コンテンツ配信業者側装置105は、コンテンツの配信処理、課金業者側装置106は、各ユーザに対する課金処理、商品発送業者側装置107は、各ユーザへの商品の発送処理)を行うサービス提供プログラム409と、収集したユーザ情報が記録されているユーザ情報データベース410と、収集したユーザ情報の各項目のハッシュ値が記録されているハッシュ値データベース411と、署名の作成や暗号化復号化に利用する業者の秘密鍵412、公開鍵413が格納されている。ただし、この業者秘密鍵412、業者公開鍵413のペアは、業者側装置ごとに異なる。
以下の説明における各プログラム407〜409の処理は、業者側装置105〜107上で実現されるものである。各プログラムの実行および格納方法については、前述の開示経路管理サーバ101と同様である。
<ユーザ側装置からのユーザ情報の送信処理>
次に、図5および図6により、本発明の一実施の形態に係る個人情報の開示経路閲覧システムのユーザ側装置からのユーザ情報の送信処理について説明する。
図5は本発明の一実施の形態に係る個人情報の開示経路閲覧システムのユーザ側装置からのユーザ情報の送信処理を示すフローチャート、図6は本発明の一実施の形態に係る個人情報の開示経路閲覧システムで使用されるユーザ情報ファイルの一例を示す図である。
まず、コンテンツ配信業者側装置105の提供するコンテンツ配信サービスを利用するために、ユーザ側装置102〜104が、自身のユーザ情報を、ユーザ情報送信プログラム307により、コンテンツ配信業者側装置105に送信する際の処理としては、図5に示すように、ユーザ側装置102〜104は、ユーザ情報送信プログラム307により、以下のS501〜S503のユーザ情報送信処理を行う。これにより、各ユーザ側装置のユーザ情報が、コンテンツ配信業者側装置105に送られる。
S501では、個人情報データベース310からユーザIDと個人情報を取得し、取得された個人情報の各項目について、各項目毎に乱数(r1〜r8)を生成する。そして、取得した値と、生成した乱数より、図6に示すようなユーザ情報ファイル504を作成する。また、ここで作成した乱数は、個人情報データベース310に記録しておく。
S502では、各項目の値と作成した各項目毎の乱数を足し合わせたものに対し、ハッシュ値を計算する。例えば、項目「郵便番号」については、値「123−4567」と乱数「r1」を足し合わせたデータに対してハッシュ関数を適用して、ハッシュ値「3A1B28539C21・・・」を生成する。ハッシュ値「3A1B28539C21・・・」の作成に、乱数「r1」を利用することによって、推測攻撃により、ハッシュ値から元の値「123−4567」が漏洩するのを防止することができる。
乱数を利用しない場合、例えば、「000−0000」「000−0001」「000−0002」…と順に数字を当てはめてハッシュ値を生成することにより、ハッシュ値「3A1B28539C21・・・」にぴったり合う郵便番号を見つけることができてしまう可能性がある。そして、各項目のハッシュ値を全て足し合わせたものに対して、ユーザ側装置の秘密鍵312を用いて、公開鍵暗号方式により、ユーザ署名505を作成し、ユーザ情報ファイル504に添付する。
S503では、S501、S502を経て作成されたユーザ情報ファイル504を、コンテンツ配信業者側装置105に送信する。送信の際は、共通鍵暗号方式などによって、ユーザ情報ファイル504を暗号化して送信することが望ましい。その場合、暗号化に用いた共通鍵は、コンテンツ配信業者側装置の公開鍵を用いて暗号化し、暗号化されたユーザ情報ファイルとともに送信する。
ユーザ側装置102〜104からユーザ情報ファイル504を受け取ったコンテンツ配信業者側装置105は、ユーザ情報ファイル504に含まれる各項目について、「値」と「乱数」を足し合わせたものに対し、ハッシュ値を計算する。例えば、項目「郵便番号」については、値「123−4567」と乱数「r1」を足し合わせたデータに対してハッシュ関数を適用して、ハッシュ値「3A1B28539C21・・・」を生成する。
次に、ユーザの公開鍵を用いて、公開鍵暗号方式により、ユーザ情報ファイル504に含まれるユーザ署名505と、上記作成した各項目のハッシュ値を全て足し合わせたものとの整合性を調べることによって、ユーザ署名505を検証する。
ここで使用するユーザの公開鍵は、コンテンツ配信業者側装置105のユーザ情報データベース410に予め記録しておいても良いし、ユーザ情報ファイル504とともに、ユーザ側装置102〜104からコンテンツ配信業者側装置105に送られても良い(受信したユーザ情報ファイル504が暗号化されている場合は、共通鍵暗号方式により暗号化されているので、コンテンツ配信業者側装置の秘密鍵を用いて、コンテンツ配信業者側装置の公開鍵で暗号化された共通鍵を復元し、復元した共通鍵を用いて、ユーザ情報ファイル504を復号する)。
コンテンツ配信業者側装置105は、ユーザ署名505の検証後、ユーザ情報ファイル504について、各項目の値、およびその項目に対する乱数、およびユーザ署名505を、ユーザ情報データベース410に登録する。登録の際、登録するデータをコンテンツ配信業者側装置で作成した共通鍵を用いて共通鍵暗号方式によって暗号化することにより、データベースからの情報漏洩を防止し、安全性を高めることができる。
また、各項目について、「値」と「乱数」を足し合わせたものに対し、ハッシュ値を計算し、その各項目名とハッシュ値を、ハッシュ値データベース411に、ユーザIDと対応づけて記録する。
<個人情報の開示経路閲覧システムのデータフローの概要>
次に、図7により、本発明の一実施の形態に係る個人情報の開示経路閲覧システムのデータフローの概要について説明する。図7は本発明の一実施の形態に係る個人情報の開示経路閲覧システムのデータフローの概要を説明するための説明図であり、ユーザ情報送信処理によりコンテンツ配信業者側装置105に提供されたユーザ情報について、開示経路管理サーバ101と、ユーザ側装置102〜104と、業者側装置105〜107の間でやり取りされるデータフローを示している。
図7に示すように、コンテンツ配信業者側装置105は、自身の持つユーザ情報を、例えば、課金業者側装置106に開示する際、開示許可要求データ(A)601を、開示経路管理サーバ101に送信する(S101)。開示許可要求データ(A)601を受け取った開示経路管理サーバ101は、開示が正当であるかどうか判断した後、開示内容を開示許可データベース209に記録し、開示許可データ(A)602を、コンテンツ配信業者側装置105に送信する(S102)。
開示許可データ(A)602を受け取ったコンテンツ配信業者側装置105は、開示許可データ(A)602に含まれるデータを元に、開示経路データを作成し、開示する個人情報および開示経路データを含むユーザ情報データ(A)603を、課金業者側装置106に送信する(S103)。
課金業者側装置106は、コンテンツ配信業者側装置105より入手したユーザ情報を、さらに、例えば、商品発送業者側装置107に開示する際、開示許可要求データ(B)604を、開示経路管理サーバ101に送信する(S104)。開示許可要求データ(B)604を受け取った開示経路管理サーバ101は、開示が正当であるかどうか判断した後、開示内容を開示許可データベース209に記録し、開示許可データ(B)605を、課金業者側装置106に送信する(S105)。
開示許可データ(B)605を受け取った課金業者側装置106は、開示許可データ(B)605に含まれるデータを元に、開示経路データを作成し、開示する個人情報および開示経路データを含むユーザ情報データ(B)606を、商品発送業者側装置107に送信する(S106)。
各業者側装置が持つユーザ情報や不正流出したユーザ情報は、その開示経路データを調べることにより、開示経路を検証、不正者を検出することができる。
また、開示経路管理サーバ101の開示許可データベース209により、ユーザ情報の開示経路を調べることができる。
例えば、ユーザ側装置102の個人情報を含むユーザ情報データ(B)606が不正流出していた場合、ユーザ側装置102は、それを開示経路管理サーバ101に渡して検証依頼を行う(S107)。開示経路管理サーバ101は、ユーザ情報データ(B)606に含まれるデータを元に、自身の開示許可データベース209を検索して、そのユーザ情報データの出所、あるいは、関係する業者側装置を割り出し、検証結果通知ファイル607に記載して、ユーザ側装置102に送信する(S108)。
<個人情報の開示経路閲覧システムのユーザ情報開示処理>
次に、図8〜図16により、本発明の一実施の形態に係る個人情報の開示経路閲覧システムのユーザ情報開示処理について説明する。図8は本発明の一実施の形態に係る個人情報の開示経路閲覧システムのユーザ情報開示処理を示すフローチャート、図9は本発明の一実施の形態に係る個人情報の開示経路閲覧システムの開示許可要求データを作成し、開示経路管理サーバに送信する処理の詳細を説明するための説明図、図10は本発明の一実施の形態に係る個人情報の開示経路閲覧システムの開示許可データを作成し、コンテンツ配信業者側装置105に送信する処理の詳細を示す図、図11は本発明の一実施の形態に係る個人情報の開示経路閲覧システムの開示元である配信業者Zから、開示先である配信業者Aへの開示は、開示経路管理サーバの許可を得た正当なものであることを説明するための説明図、図12および図14は本発明の一実施の形態に係る個人情報の開示経路閲覧システムの開示情報を作成し、開示先である課金業者側装置に送信する処理の詳細を示す図、図13は本発明の一実施の形態に係る個人情報の開示経路閲覧システムで使用される開示情報の一例を示す図、図15および図16は本発明の一実施の形態に係る個人情報の開示経路閲覧システムのユーザ情報データの検証の詳細を示す図である。
まず、業者側装置105〜107(開示元)がユーザ情報を開示し、業者側装置105〜107(開示先)が、ユーザ情報を受け取るまでの処理としては、図8に示すような処理であり、以下の説明においては、例えば、コンテンツ配信業者側装置105(開示元)が、課金業者側装置106(開示先)にユーザ情報を開示する場合の処理の流れを以下に記載する。
コンテンツ配信業者側装置105は、ユーザ情報開示プログラム407により、S701の処理を行い、開示許可要求データ802を作成し、開示経路管理サーバ101に送信する。この処理の詳細を図9に示す。
コンテンツ配信業者側装置105のユーザ情報開示プログラム407は、自身のユーザ情報データベース410より、課金業者側装置106に開示する対象となるユーザの個人情報の各項目(郵便番号など)の値および開示経路データ1202を検索する。
開示経路データ1202は、S712(処理内容は、後述する)によりユーザ情報がユーザ情報データベース410に記録された際に、各項目の値とともに記録されるデータである。取得した各項目の値については、そのハッシュ値を生成する。
例えば、項目「郵便番号」については、値「123−4567」に対してハッシュ関数を適用して、ハッシュ値「H(123−4567)」を生成する。ここで、「H(値)」は、値のハッシュ値を表す。そして、生成した各項目のハッシュ値、および開示経路データ1202を記載した開示情報特徴量801を作成する。
次に、上記作成した開示情報特徴量801、開示先情報803、開示元情報804からなる開示許可要求データ802を作成し、開示経路管理サーバ101に送信する。開示許可要求データ802は、例えば、開示経路管理サーバ101の公開鍵211を用いて、公開鍵暗号方式により暗号化するなど、暗号化して送信するのが望ましい。
本実施の形態では、開示先情報803は、開示先である課金業者側装置106の業者情報(例えば、業者名など)と、開示項目(開示する項目の項目名)からなる。
また、開示元情報804は、開示元であるコンテンツ配信業者側装置105の業者情報(例えば、業者名など)と、コンテンツ配信業者側装置105の署名805(業者A署名と呼ぶ)からなる。
この署名805は、開示元業者の署名805を除く開示許可要求データ802に対して、コンテンツ配信業者側装置105の秘密鍵411を用いて、公開鍵暗号方式により作成される。この署名805は、開示許可要求データ802が、コンテンツ配信業者側装置105で作られたものであることを証明するのに必要である。
また、開示対象となるユーザのユーザIDなどの識別情報を開示許可要求データ802に付加することによって、開示経路管理サーバ101における開示許可データベースの検索を容易にすることができる。開示許可要求データ802には、個人情報自体は含まれていないので、開示経路管理サーバ101と、業者側装置105〜107との間のやり取りでの個人情報漏洩を防ぐことができる。
開示情報特徴量801は、開示経路管理サーバ101において発行する開示許可データ903と、ユーザ情報とを対応づけるのに利用することができる。
開示許可要求データ802を受け取った開示経路管理サーバ101は、開示許可要求データ802が、開示経路管理サーバ101の公開鍵で暗号化されている場合は、開示経路管理サーバ101の秘密鍵210を用いて復号した後、許可ID発行プログラム207により、S702〜S705の処理を行い、開示許可データ903を作成し、コンテンツ配信業者側装置105に送信する。この処理の詳細を、図10に示す。
開示経路管理サーバ101の許可ID発行プログラム207は、S702において、受け取った開示許可要求データ802に対する開示許可判定を行う。図11に開示許可判定の詳細を示す。具体的には、以下の処理を行う。
まず、開示許可要求データ802に含まれる業者A署名805を、コンテンツ配信業者側装置105の公開鍵を用いて、公開鍵暗号方式により検証する。
次に、開示許可要求データ802に含まれるユーザIDもしくは、ユーザ情報の各項目のハッシュ値を用いて、開示許可データベース209を検索し、今回開示対象となっているユーザ情報に関する開示許可ログ1001から開示許可データ903を取得する。
開示許可要求データ802の開示情報特徴量801に開示経路データ1202が存在しない、かつ開示許可データ903が存在しない場合は、S703以降へと進む。開示経路データ1202が存在しないが、開示許可データ903が存在する場合は、開示許可要求データ802の送信元の業者側装置に対して、ユーザ情報の入手元を問い合わせる。入手元がユーザ端末である場合は、S703以降へと進む。
開示許可要求データ802の開示情報特徴量801に開示経路データ1202が存在するが、開示許可データ903が存在しない場合は、処理を終了し、開示経路データが不正である旨を、開示許可要求データ送信元に通知する。開示許可データ903が存在する場合は、以下の処理を行う。
まず、上記開示許可データベース209より取得した開示許可データ903に含まれる開示許可署名904が、開示経路管理サーバ101の公開鍵を用いて検証可能かどうか調べる。次に、その開示許可署名904と、開示許可要求データ802の開示情報特徴量801に含まれる開示経路データ1202の開示経路レコード1203に含まれる開示許可署名1208が一致するかどうか調べる。
一致した場合は、その開示経路レコード1203の開示経路情報(M)1205の開示許可情報(D)901に含まれる業者側装置間の開示が正当であると判定する。
例えば、図11の場合、開示元である配信業者Zから、開示先である配信業者Aへの開示は、開示経路管理サーバ101の許可を得た正当なものであるといえる。
開示経路レコードが複数存在する場合は、上記の判定に加えて、図14に示すような開示経路レコード1203内のレコード番号1204の連続する2つの開示経路レコードについて、レコード番号1204が若い方の開示経路レコードの開示経路情報(M)1205の開示許可情報(D)901に含まれる開示先情報803が、レコード番号1204が大きい方の開示経路レコードの開示経路情報(M)1205の開示許可情報(D)901に含まれる開示元情報804と同一業者側装置であるかどうか確認する。
こうして、開示許可要求データ802の開示情報特徴量801に含まれる開示経路データ805の全ての開示経路レコード1203が正当であり、かつ最後の開示経路レコード(開示経路レコードのレコード番号1204が最大である開示経路レコード)の開示経路情報(M)1205の開示許可情報(D)901に含まれる開示先情報803が、開示許可要求データ802の開示元情報804と同一業者側装置である場合、S703以降へと進む。
同一業者でない場合は、処理を終了し、開示経路データが不正である旨を開示許可要求データ送信元に通知する。以上、S702により、開示経路管理サーバ101は、業者側装置からの開示許可要求に対して、その開示対象となるユーザ情報が、正当な流通経路(開示経路管理サーバの許可を得た開示がなされている)を辿っている場合にのみ、開示を許可することができる。上記判定に加えて、ユーザに開示可否を問い合わせる、あるいは予めユーザより開示を許可する業者を登録してもらい、それを基に開示可否を判定する処理を行っても良い。
開示経路管理サーバ101の許可ID発行プログラム207は、S703において、受け取った開示許可要求データ802に対する許可IDを作成する。ここで作成する新しい許可IDは、例えば、開示許可データベース209に記録されている開示許可ログ1001のうち、開示許可データ903の開示許可情報(D)901の許可ID902が最大のものに+1した値とする。そして、ここで作成した許可ID902と、コンテンツ配信業者側装置105より受け取った開示許可要求データ802に含まれる開示先情報803と、開示元情報804からなる開示許可情報(D)901を作成する。
S704では、S703で作成した開示許可情報(D)901のハッシュ値を生成し、そのハッシュ値に対して、開示経路管理サーバ101の秘密鍵210を用いて、開示許可署名904「S(H(D))」(Hは、ハッシュ関数。Sは、開示経路管理サーバの署名を表す。)を作成する。
そして、コンテンツ配信業者側装置105より受け取った開示許可要求データ802に含まれるユーザIDと、S703で作成した開示許可情報(D)901と、上記作成した開示許可署名904「S(H(D))」とからなる開示許可データ903を作成する。
S705では、S704で作成した開示許可データ903を、開示許可要求元であるコンテンツ配信業者側装置105に送信する。
開示許可データ903を受け取ったコンテンツ配信業者側装置105は、ユーザ情報開示プログラム407により、S706、S707の処理を行い、開示情報1101を作成し、開示先である課金業者側装置106に送信する。この処理の詳細を、図12〜図14に示す。
S706は、S706−1とS706−2の2つの処理からなる。S706−1では、図12に示すように、コンテンツ配信業者側装置105のユーザ情報開示プログラム407は、開示経路管理サーバより受け取った開示許可データ903を入力として、ユーザ情報データベース410よりユーザ情報を取得する。
具体的には、まず、開示許可データ903に含まれる開示許可情報(D)901について、許可ID902が記載されていること、開示先情報803および開示元情報804が、S701で送信した開示許可要求データと一致していることを検証する。次に、開示許可署名904を、開示経路管理サーバ101の公開鍵211を用いて、公開鍵暗号方式により検証する。
上記検証が成功した場合にのみ以下の処理を行う。開示する項目については、ユーザ情報データベース410よりユーザ情報の取得を行い、開示しない項目については、ハッシュ値データベース411より、その項目のハッシュ値を取得し、開示先である課金業者側装置106に送信する図13に示すような開示情報1101を作成する。開示情報1101には、開示対象となるユーザについてのユーザ情報1102、開示経路データ1202(そのユーザ情報についての開示経路データ1202が存在する場合のみ)が含まれる。
ユーザ情報1202は、ユーザIDと、開示項目について、その値および乱数と、非開示項目について、その値とその項目の乱数を足し合わせたデータに対してハッシュ関数が適用されて作成されたハッシュ値と、ユーザより受信したユーザ情報ファイル504に付与されたユーザ署名505からなる。
非開示項目については、その値ではなく、ハッシュ値を記載することにより、開示先に対して、その項目の値を秘匿しながら、かつ改ざん検知・完全性証明のためのユーザ署名505の検証を可能としている。またこのとき、ユーザ情報データベース410、ハッシュ値データベース411に関するアクセスログを取得し、記録しておく。
このアクセスログは、このとき開示した内容(開示項目、非開示項目を正しく取得しているか)を示し、後述S1505において、開示ログとして利用することができる。
S706−2では、図14に示すように、S706−1で作成した開示情報1101、開示経路管理サーバ101より取得した開示許可データ903より、ユーザ情報データ1201を作成する。ユーザ情報データ1201は、開示情報1101に、今回の開示に関する開示経路レコード1203を開示経路データ1202に追記することにより作成する。開示経路レコード1203は、次のようにして作成する。ここで作成する開示経路レコードを、新規開示経路レコードと呼ぶ。
開示情報1101に開示経路データ1202が存在する場合、その開示経路データ1202に含まれる開示経路レコード1203のレコード番号1204の最大値に+1したものを、新規開示経路レコードのレコード番号1204とする。開示情報1101に開示経路データ1202が存在しない場合は、新規開示経路レコードのレコード番号1204を「1」とする。
開示経路管理サーバより受け取った開示許可データ903に含まれる開示許可情報(D)903と、開示情報1101にハッシュ関数を適用して取得したハッシュ値H(開示情報)1206からなる開示経路情報(M)1205を作成する。
次に、上記作成した開示経路情報(M)1205に対して、開示元であるコンテンツ配信側装置105は、秘密鍵412を用いて、公開鍵暗号方式により署名(配信業者A署名1207「W(H(M))」)を作成する。
そして、上記作成したレコード番号1204、開示経路情報(M)1205、配信業者A署名1207、開示経路管理サーバより受け取った開示許可データ903に含まれる開示許可署名904「S(H(D))」からなる新規開示経路レコード1203を作成し、ユーザ情報データ1201に追加する。
この開示レコードにより、ユーザ情報データ1201を受け取った側は、このユーザ情報データ1201がどのような経路を通って流通してきたのか、開示経路管理サーバ101の許可を取っているか調べることができる。
S707では、コンテンツ配信業者側装置105は、S706で作成したユーザ情報データ1201を、開示先である課金業者側装置106に送信する。また、ここで送信したユーザ情報データ1201を、ユーザ情報データベース410にログとして記録する。このログは、後述S1505において、開示ログとして、利用することができる。
ユーザ情報データ1201を受け取った課金業者側装置106は、ユーザ情報取得プログラム408により、S708〜S712の処理を行い、ユーザ情報データの検証を行う。この処理の詳細を、図15、図16に示す。
課金業者側装置106のユーザ情報取得プログラム408は、S708で、配信業者A署名1207の検証を行う。具体的には、コンテンツ配信業者側装置105より受け取ったユーザ情報データ1201の開示経路データ1202に含まれる開示経路レコード1203のレコード番号が最も大きいもの(最新の開示経路レコード)について、その開示経路レコード1203に含まれる開示経路情報(M)1205と、配信業者A署名1207「W(H(M))」との整合性を、コンテンツ配信業者側装置の公開鍵413を用いて、公開鍵暗号方式により検証する。
また、開示経路情報(M)1205に含まれるハッシュ値1206「H(開示情報)」が、ユーザ情報データ1101(最新の開示経路レコードを除く)のハッシュ値と一致するか検証する。このS708での検証により、取得したユーザ情報データ1101が、コンテンツ配信業者側装置105「配信業者A」により作成され、かつ改ざんされていないことが分かる。
S709では、開示許可署名1208の検証を行う。具体的には、S708で検証した開示経路レコード1203について、それに含まれる開示経路情報(M)1205の開示許可情報(D)901と、開示許可署名1208「S(H(D))」との整合性を、開示経路管理サーバ101の公開鍵211を用いて、公開鍵暗号方式により検証する。このS709での検証により、取得したユーザ情報データ1101が、開示経路管理サーバ101の許可を得た正当なユーザ情報であることが分かる。
また、開示許可情報(D)901に含まれる開示先情報803、および開示元情報804を確認し、開示元と開示先が正しいかどうか検証することができる。
S710では、ユーザ署名の検証を行う。具体的には、ユーザ情報データ1201のユーザ情報1102の各項目のハッシュ値(開示項目については、値と乱数を足したものに対するハッシュ値を作成する。非開示項目については、そのまま記載されているハッシュ値を取得する。)次に上記各項目のハッシュ値を全て足し合わせたものと、ユーザ情報1102のユーザ署名505との整合性を、ユーザ側装置の公開鍵313を用いて、公開鍵暗号方式により検証する。
また、課金業者側装置106のユーザ情報取得プログラム408は、S711により、コンテンツ配信業者側装置105より受け取ったユーザ情報データ1101の流通経路を検証することができる。この具体例を図16に示す。
図16は、業者Wから業者X、業者Xから業者Y、業者Yから業者Zと渡ってきたユーザ情報データ1201の流通経路の検証を表現したものである。以下のような流れで検証処理を行う。
S1401では、ユーザ情報データ1201の開示経路データ1202に含まれる開示経路レコード1203のレコード番号が最も大きいもの(最新の開示経路レコード)、すなわち、レコード番号「3」の開示経路レコードについて検証を行う。具体的には、レコード番号「3」の開示経路レコードに含まれる開示経路情報(M3)と、業者Y署名「Y(H(M3))」との整合性を、業者Yの公開鍵を用いて、公開鍵暗号方式により検証する。また、開示経路情報(M3)に含まれる開示許可情報(D3)と、開示許可署名「S(H(D3))」との整合性を、開示経路管理サーバ101の公開鍵211を用いて、公開鍵暗号方式により検証する。
また、開示許可情報(D3)に含まれる開示先情報、および開示元情報を確認し、開示元「業者Y」と開示先「業者Z」が正しいかどうか検証する。
また、ユーザ情報データ1201のユーザ情報1102の各項目のハッシュ値を、開示項目については、値と乱数を足したものに対するハッシュ値を作成し、非開示項目については、そのまま記載されているハッシュ値を取得する。
次に、上記各項目のハッシュ値を全て足し合わせたものと、ユーザ情報1102のユーザ署名505との整合性を、ユーザ側装置の公開鍵313を用いて、公開鍵暗号方式により検証する。S1401での検証が成功した場合は、S1402へ、失敗した場合は、S1403へと進む。S708〜S710の処理が実行済みである場合は、S1401の処理を省略しても良い。
S1402では、開示経路情報(M3)に含まれるハッシュ値「H(開示情報)」が、データ(A)1409のハッシュ値(ユーザ情報の各項目のハッシュ値を全て足したものに、さらにレコード番号「1」の開示経路のハッシュ値と、レコード番号「2」の開示経路のハッシュ値を加えたもののハッシュ値)と一致するか検証する。
これにより、開示元である業者Yが、開示管理サーバ101が許可した通りに業者Zにユーザ情報を開示したことを検証できる。S1402での検証が成功した場合は、ユーザ情報データ1201は、正当である。検証が失敗した場合は、レコード番号「3」の開示経路レコードの作成者、すなわち、業者Yが業者Wから業者Zに至るまでの開示経路を改ざんしていることが分かる。
S1403では、ユーザ情報データ1201の開示経路データ1202に含まれる開示経路レコード1203のうちレコード番号「2」の開示経路レコードについて検証を行う。具体的には、レコード番号「2」の開示経路レコードに含まれる開示経路情報(M2)と、業者X署名「X(H(M2))」との整合性を、業者Xの公開鍵を用いて、公開鍵暗号方式により検証する。また、開示経路情報(M2)に含まれる開示許可情報(D2)と、開示許可署名「S(H(D2))」との整合性を、開示経路管理サーバ101の公開鍵211を用いて、公開鍵暗号方式により検証する。
また、開示許可情報(D2)に含まれる開示先情報、および開示元情報を確認し、開示元「業者X」と開示先「業者Y」が正しいかどうか検証する。S1403での検証が成功した場合は、S1404へ、失敗した場合は、S1405へと進む。
S1404では、開示経路情報(M2)に含まれるハッシュ値「H(開示情報)」が、データ(B)1408のハッシュ値(ユーザ情報の各項目のハッシュ値を全て足したものに、さらにレコード番号「1」の開示経路のハッシュ値を加えたもののハッシュ値)と一致するか検証する。
これにより、開示元である業者Xが、開示管理サーバ101が許可した通りに業者Yにユーザ情報を開示したことを検証できる。S1404での検証が成功した場合は、レコード番号「3」の開示経路レコードの作成者、すなわち、業者Yが開示許可データ903の改ざん、あるいはユーザ情報の改ざんなどの不正を行っていることが分かる。検証が失敗した場合は、レコード番号「2」の開示経路レコードの作成者、すなわち、業者Xが業者Wから業者Yに至るまでの開示経路を改ざんしていることが分かる。
S1405では、ユーザ情報データ1201の開示経路データ1202に含まれる開示経路レコード1203のうちレコード番号「1」の開示経路レコードについて検証を行う。具体的には、レコード番号「1」の開示経路レコードに含まれる開示経路情報(M1)と、業者W署名「W(H(M2))」との整合性を、業者Wの公開鍵を用いて、公開鍵暗号方式により検証する。
また、開示経路情報(M1)に含まれる開示許可情報(D1)と、開示許可署名「S(H(D1))」との整合性を、開示経路管理サーバ101の公開鍵211を用いて、公開鍵暗号方式により検証する。また、開示許可情報(D1)に含まれる開示先情報、および開示元情報を確認し、開示元「業者X」と開示先「業者Y」が正しいかどうか検証する。
S1403での検証が成功した場合は、S1406へ、失敗した場合は、業者W、業者X、業者Y、あるいはその他の業者により、ユーザ情報の改ざん、不正流通が行われている可能性がある。
S1406では、開示経路情報(M1)に含まれるハッシュ値「H(開示情報)」が、データ(C)1407のハッシュ値(ユーザ情報の各項目のハッシュ値を全て足したもののハッシュ値)と一致するか検証する。
これにより、開示元である業者Wが、開示管理サーバ101が許可した通りに業者Xにユーザ情報を開示したことを検証できる。S1406での検証が成功した場合は、レコード番号「3」の開示経路レコードの作成者あるいはレコード番号「2」の開示経路レコードの作成者、すなわち、業者Yあるいは業者Xが、開示許可データ903の改ざん、あるいはユーザ情報の改ざんなどの不正を行っていることが分かる。
検証が失敗した場合は、レコード番号「1」の開示経路レコードの作成者、すなわち、業者Wが業者Wから業者Xに至るまでの開示経路を改ざんしていることが分かる。
そして、S711での開示経路の検証の後、S712では、上記S708〜S711で検証したユーザ情報データ1201を、ユーザ情報データベース410に保存する。
<個人情報の開示経路閲覧システムの流通あるいは取得したユーザ情報の検証処理>
次に、図17および図18により、本発明の一実施の形態に係る個人情報の開示経路閲覧システムの流通あるいは取得したユーザ情報の検証処理について説明する。図17は本発明の一実施の形態に係る個人情報の開示経路閲覧システムの流通あるいは取得したユーザ情報の検証処理を示すフローチャート、図18は本発明の一実施の形態に係る個人情報の開示経路閲覧システムの検証対象のユーザ情報に関与している業者の検索処理の詳細を説明するための説明図である。
ユーザ側装置102〜104、あるいは業者側装置105〜107が、流通あるいは取得したユーザ情報について、開示経路管理サーバ101に検証を依頼し、検証結果を受け取るまでの処理としては、図17に示すような処理であり、例えば、ユーザ側装置102が、不正に流通しているユーザ情報について、その漏洩元の特定を、開示経路管理サーバ101に依頼した場合の処理の流れを以下に記載する。
ユーザ側装置102は、開示経路要求プログラム308により、S1501の処理を行い、検証対象となる不正に流通しているユーザ情報1601を添付したユーザ情報検証要求を作成し、開示経路管理サーバ101に送信する。
ユーザ情報検証要求を受け取った開示経路管理サーバ101は、開示経路検証プログラム208により、S1502〜S1504の処理を行い、この検証対象のユーザ情報に関与している業者の検索を行う。この処理の詳細を、図18に示す。
S1502では、ユーザ側装置102より受け取ったユーザ情報検証要求に添付されたユーザ情報1601について、図14に示すような開示経路データ1202が存在する場合は、開示経路データ1202に含まれる開示経路レコード1203について、開示経路レコード1203に含まれる開示経路情報(M)1205の開示許可情報(D)901の許可ID902より開示許可データベース209を検索して開示経路レコード1203に対応する開示許可ログ1001の開示許可データ903を検出し、検証対象のユーザ情報の開示経路レコードと開示許可データベース209より検出した開示許可データ903との整合性を検証する第1段階の検証を行い、その後、第2段階の検証として、図16に示すS1401〜S1406と同様の開示経路検証を行う。ユーザ情報1601に開示経路データ1202が存在しない場合は、S1503へと進む。
S1503では、ユーザ情報1601の各項目について、その値のハッシュ値を作成する。開示経路管理サーバ101の開示許可データベース209には、開示情報特徴量801を含む開示許可ログ1001が記録されている。
開示情報特徴量801には、開示許可IDの発行対象となったユーザ情報の各項目のハッシュ値が含まれているため、上記作成したハッシュ値を用いて、そのユーザ情報に関連する開示許可ログを、開示許可データベース209より取得することができる。例えば、S1503において、開示許可データ1(1602)と開示許可データ2(1603)が検出された場合、開示許可データに含まれる開示先情報、開示元情報より、不正流通しているユーザ情報について、業者A、業者B、業者Cが関係していることが分かる。
S1504では、S1503で検出された業者A、業者B、業者Cに対して、不正の可能性があることの通知、および開示経路に関する情報の要求を行う。
その際は、開示経路管理サーバ101は、各業者に対して、S1503で検出された開示許可データに含まれる許可IDを通知する。例えば、業者Aに対しては、許可ID「1001」、業者Bに対しては、許可ID「1001」および許可ID「1018」、業者Cに対しては、許可ID「1018」を送信する。
開示経路情報の要求を受け取った業者側装置105〜107は、ユーザ情報開示プログラム407により、S1505の処理を行い、この要求対象のユーザ情報に関する開示ログを開示経路管理サーバ101に送信する。例えば、S706で作成した自身の持つユーザ情報データベース410およびハッシュ値データベース411のアクセスログを開示ログとして開示経路管理サーバ101に送信しても良いし、業者側装置105〜107が、S707において、開示先に送信したユーザ情報データ1201を、ログとして残していた場合、そのログを開示ログとして、開示経路管理サーバ101に送信しても良い。
業者側装置105〜107より開示情報を受け取った開示経路管理サーバ101は、開示経路検証プログラム208により、S1506の処理を行い、開示ログの検証を行う。
具体的には、S1505で各業者側装置より送られてきた開示ログについて、業者間の開示情報の整合性を検証する。例えば、業者Aの提示するアクセスログが、開示許可データ1602の開示先情報で開示した開示項目と整合するか検証する。
開示経路管理サーバ101は、S1503で検出した不正流通したユーザ情報に関係している業者名、および、S1506で検証した検証内容と検証結果を、ユーザ情報検証依頼元であるユーザ側装置102に通知する。
以上のように本実施の形態では、開示経路管理サーバ101により開示許可判定、開示経路ログの記録、開示経路の検証を行い、個人情報の開示元は、開示経路管理サーバ101より許可IDを取得して開示経路データを作成し、これを開示情報に追加付与して個人情報の開示を行い、開示先(個人情報の受け取り側)は、正当に開示された個人情報かどうかの検証を行う(不正なものについては、受け取らない、あるいは、開示管理サーバに報告を行う)ことにより、開示経路データが無い開示情報や、開示経路データに含まれる開示先情報が実際の開示先と異なる場合や、開示経路データに含まれる開示情報が実際の開示情報とは異なる場合は、不正開示経路として検出することが可能である。
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。
本発明は、個人情報の開示経路閲覧システムおよびその開示経路検証方法に関し、特に、個人情報保護技術において個人情報の利用を制御するシステムに適用可能である。
本発明の一実施の形態に係る個人情報の開示経路閲覧システムの構成を示す構成図である。 本発明の一実施の形態に係る個人情報の開示経路閲覧システムを構成する開示経路管理サーバの構成を示す構成図である。 本発明の一実施の形態に係る個人情報の開示経路閲覧システムを構成するユーザ側装置の構成を示す構成図である。 本発明の一実施の形態に係る個人情報の開示経路閲覧システムを構成する業者側装置の構成を示す構成図である。 本発明の一実施の形態に係る個人情報の開示経路閲覧システムのユーザ側装置からのユーザ情報の送信処理を示すフローチャートである。 本発明の一実施の形態に係る個人情報の開示経路閲覧システムで使用されるユーザ情報ファイルの一例を示す図である。 本発明の一実施の形態に係る個人情報の開示経路閲覧システムのデータフローの概要を説明するための説明図である。 本発明の一実施の形態に係る個人情報の開示経路閲覧システムのユーザ情報開示処理を示すフローチャートである。 本発明の一実施の形態に係る個人情報の開示経路閲覧システムの開示許可要求データを作成し、開示経路管理サーバに送信する処理の詳細を説明するための説明図である。 本発明の一実施の形態に係る個人情報の開示経路閲覧システムの開示許可データを作成し、コンテンツ配信業者側装置105に送信する処理の詳細を示す図である。 本発明の一実施の形態に係る個人情報の開示経路閲覧システムの開示元である配信業者Zから、開示先である配信業者Aへの開示は、開示経路管理サーバの許可を得た正当なものであることを説明するための説明図である。 本発明の一実施の形態に係る個人情報の開示経路閲覧システムの開示情報を作成し、開示先である課金業者側装置に送信する処理の詳細を示す図である。 本発明の一実施の形態に係る個人情報の開示経路閲覧システムで使用される開示情報の一例を示す図である。 本発明の一実施の形態に係る個人情報の開示経路閲覧システムの開示情報を作成し、開示先である課金業者側装置に送信する処理の詳細を示す図である。 本発明の一実施の形態に係る個人情報の開示経路閲覧システムのユーザ情報データの検証の詳細を示す図である。 本発明の一実施の形態に係る個人情報の開示経路閲覧システムのユーザ情報データの検証の詳細を示す図である。 本発明の一実施の形態に係る個人情報の開示経路閲覧システムの流通あるいは取得したユーザ情報の検証処理を示すフローチャートである。 本発明の一実施の形態に係る個人情報の開示経路閲覧システムの検証対象のユーザ情報に関与している業者の検索処理の詳細を説明するための説明図である。
符号の説明
101…開示経路管理サーバ、102〜104…ユーザ側装置、105…コンテンツ配信業者側装置、106…課金業者側装置、107…商品発送業者側装置、108…ネットワーク、201…CPU、202…記憶装置、203…インタフェース、204…通信装置、205…入力装置、206…表示装置、207…許可ID発行プログラム、208…開示経路検証プログラム、209…開示許可データベース、210…開示経路管理サーバ秘密鍵、211…開示経路管理サーバ公開鍵、301…CPU、302…記憶装置、303…インタフェース、304…通信装置、305…入力装置、306…表示装置、307…ユーザ情報送信プログラム、308…開示経路要求プログラム、309…コンテンツ受信プログラム、310…個人情報データベース、311…コンテンツ蓄積領域、312…ユーザ秘密鍵、313…ユーザ公開鍵、401…CPU、402…記憶装置、403…インタフェース、404…通信装置、405…入力装置、406…表示装置、407…ユーザ情報開示プログラム、408…ユーザ情報取得プログラム、409…サービス提供プログラム、410…ユーザ情報データベース、411…ハッシュ値データベース、412…業者秘密鍵、413…業者公開鍵、504…ユーザ情報ファイル、505…ユーザ署名、601…開示許可要求データ(A)、602…開示許可データ(A)、603…ユーザ情報データ(A)、604…開示許可要求データ(B)、605…開示許可データ(B)、606…ユーザ情報データ(B)、607…検証結果通知ファイル、801…開示情報特徴量、802…開示許可要求データ、803…開示先情報、804…開示元情報、805…業者A署名、901…開示許可情報(D)、902…許可ID、903…開示許可データ、904…開示許可署名、1001…開示許可ログ、1101…開示情報、1102…ユーザ情報、1201…ユーザ情報データ、1202…開示経路データ、1203…開示経路レコード、1204…レコード番号、1205…開示経路情報(M)、1206…開示情報のハッシュ値、1207…配信業者A署名、1208…開示許可署名、1407…データ(C)、1408…データ(B)、1409…データ(A)、1601…流通しているユーザ情報、1602…開示許可データ1、1603…開示許可データ2。

Claims (6)

  1. 利用者より個人情報を収集し、収集した個人情報を利用範囲に基づき開示し、また、利用者に対して、収集した個人情報に基づいたサービスを行う業者側装置と、自らの個人情報を前記業者側装置に送信し、また、前記業者側装置より提供されるサービスを利用するユーザ側装置と、個人情報の開示を管理し、開示制御や開示経路の管理、検証を行う開示経路管理サーバとを有する個人情報の開示経路閲覧システムであって、
    前記業者側装置は、収集した個人情報を他事業者に開示する際には、前記開示経路管理サーバに開示許可要求を行う手段を有し、
    前記開示経路管理サーバは、開示許可要求対象の個人情報について、その流通経路、開示範囲の判定を行った後、前記開示許可要求の要求元である開示元業者側装置に対して、許可ID、開示元業者側装置に関する情報、開示先業者側装置に関する情報および自身の電子署名を含む開示許可データを送信する手段を有し、
    前記開示元業者側装置は、前記開示許可データおよび自身の電子署名からなる開示経路レコードを作成して前記個人情報の持つ開示経路データに追加し、その開示経路データを開示対象の個人情報に添付して開示する手段を有し、
    前記開示経路データ付き個人情報を受け取った前記開示先業者側装置は、前記開示経路データに追加された最新の開示経路レコードに含まれる前記開示元業者側装置の電子署名、および開示経路管理サーバの電子署名を検証し、検証失敗である場合は、前記開示経路データの1つ前に追加された開示経路レコードについて、前記開示元業者側装置の電子署名、および開示経路管理サーバの電子署名を検証していくことを繰り返し、どの開示経路レコードまでが正当であるかを検証して開示経路レコードが不連続である部分を検出する手段を有することを特徴とする個人情報の開示経路閲覧システム。
  2. 利用者より個人情報を収集し、収集した個人情報を利用範囲に基づき開示し、また、利用者に対して、収集した個人情報に基づいたサービスを行う業者側装置と、自らの個人情報を事業者に送信し、また、業者側装置より提供されるサービスを利用するユーザ側装置と、個人情報の開示を管理し、開示制御や開示経路の管理、検証を行う開示経路管理サーバとを有する個人情報の開示経路閲覧システムであって、
    前記業者側装置は、収集した個人情報を他事業者に開示する際には、前記開示経路管理サーバに開示許可要求を行い、
    前記開示経路管理サーバは、開示許可要求対象の個人情報について、その個人情報のハッシュ値からなる特徴量、および許可ID、開示元業者側装置に関する情報、開示先業者側装置に関する情報および自身の電子署名からなる開示許可データを、自身のデータベースに記録し、また、前記ユーザ側装置または前記業者側装置によって流通、管理されている個人情報について、前記ユーザ側装置または前記業者側装置の検証要請に基づき、その検証対象の個人情報に添付されている開示経路データに含まれる開示経路レコードについて、前記開示経路レコードに含まれる許可IDより自身のデータベースを検索して、前記開示経路レコードと前記データベースより検出した開示許可データとの整合性を検証する第1段階の検証を行い、その後、前記開示経路データに追加された最新の開示経路レコードに含まれる開示元業者側装置の電子署名、および前記開示経路管理サーバの電子署名を検証し、検証失敗である場合は、前記開示経路データの所定数前に追加された開示経路レコードについて、前記開示元業者側装置の電子署名、および前記開示経路管理サーバの電子署名を検証していくことを繰り返し、どの開示経路レコードまでが正当であるかを検証する第2段階の検証を行い、開示経路レコードが不連続である部分を検出し、また、検証対象の個人情報と前記データベースに含まれる個人情報のハッシュ値からなる特徴量とを比較して、前記データベースより前記検証対象の個人情報に関連する開示許可データを検出し、前記第1段階の検証で検証された開示許可データ以外の開示許可データが検出された場合は、その開示許可データに含まれる開示元事業者に関する情報、開示先事業者に関する情報および自身の電子署名からなる開示許可データについて、開示元事業者および開示先事業者に開示内容の問い合わせを行う第3の検証を行い、第1段階から第3段階の検証までの検証結果を、検証要請元のユーザ側装置または業者側装置に通知することを特徴とする個人情報の開示経路閲覧システム。
  3. 利用者の個人情報を開示するユーザ情報開示部と、開示された個人情報を閲覧、検証するユーザ情報取得部と、収集した個人情報を利用してサービスを行うサービス提供部と、視聴者から収集した個人情報を記録、管理するユーザ情報データベースとを有する業者側装置と、業者側装置に対して自身の個人情報を送信するユーザ情報送信部と、個人情報およびその開示経路の検証を行い、また開示経路管理サーバに個人情報の検証要請を行う開示経路要求部と、業者側装置の提供するサービスを利用するサービス利用部と、自身の個人情報を登録する個人情報データベースとを有するユーザ側装置と、開示許可要求に対して許可IDを発行し、開示許可データを作成する許可ID発行部と、個人情報について、開示経路の検証、不正者の検出を行う開示経路検証部と、前記作成した開示許可データを記録する開示許可データベースとを有する開示経路管理サーバとを備えた個人情報の開示経路閲覧システムの開示経路検証方法であって、
    前記開示経路管理サーバの前記許可ID発行部により、
    業者側装置より開示許可要求のあった個人情報について、前記開示許可データベースに記録された開示許可データ、および個人情報の利用範囲を参照して、開示可否の判定を行う開示許可判定ステップと、
    前記開示許可要求に対する許可IDを作成する許可ID作成ステップと、
    前記開示許可要求に対する自身の電子署名を作成する開示許可署名作成ステップと、
    前記許可ID、開示元事業者に関する情報、開示先事業者に関する情報および自身の電子署名を含む開示許可データ作成し、開示許可要求の要求元に送信する開示許可データ送信ステップとを実行し、
    前記開示経路管理サーバの前記開示経路検証部により、
    前記開示経路データに含まれる開示経路レコードの開示元業者側装置の電子署名、および開示経路管理サーバの電子署名を検証し、前記開示経路データに含まれる開示経路レコードについて、その前後の繋がりから開示経路を検証する開示経路検証ステップと、
    検証対象の個人情報のハッシュ値による特徴量から前記開示許可データベースを検索し、検証対象の個人情報に関係する開示許可データを検出する開示許可データベース検索ステップと、
    前記検出した開示許可データに含まれる開示元に関する情報および開示先に関する情報より、業者側装置に対して、前記検証対象の個人情報に関する開示内容の提出を要請する開示経路情報要求ステップとを実行することを特徴とする個人情報の開示経路閲覧システムの開示経路検証方法。
  4. 請求項3記載の個人情報の開示経路閲覧システムの開示経路検証方法において、
    前記業者側装置の前記ユーザ情報開示部により、
    開示経路管理サーバに開示許可要求を行う開示許可要求データ作成ステップと、
    開示経路管理サーバより受け取った開示許可データを基に開示経路データを作成する開示経路データ作成ステップと、
    前記作成した開示経路データを添付したユーザ情報を開示先装置に送信するユーザ情報送信ステップとを実行し、
    前記業者側装置の前記ユーザ情報取得部により、
    前記開示経路データに含まれる開示経路レコードの開示元業者側装置の電子署名を検証する開示元検証ステップと、
    前記開示経路データに含まれる開示経路レコードの開示経路管理サーバの電子署名を検証する開示許可ID検証ステップと、
    ユーザ情報に付与されているユーザ側装置の電子署名を検証するユーザ情報検証ステップと、
    前記開示経路データに含まれる開示経路レコードについて、その前後の繋がりから開示経路を検証する開示経路検証ステップと、
    受信したユーザ情報を自身のデータベースに記録するユーザ情報記録ステップとを実行することを特徴とする個人情報の開示経路閲覧システムの開示経路検証方法。
  5. 請求項3または4記載の個人情報の開示経路閲覧システムの開示経路検証方法において、
    前記ユーザ側装置の前記ユーザ情報送信部により、
    前記業者側装置に提供するユーザ情報を自身の個人情報データベースから取得するユーザ情報ファイル作成ステップと、
    前記取得したユーザ情報に対して、電子署名を作成する署名作成ステップと、
    前記取得したユーザ情報および電子署名からなるユーザ情報ファイルを業者側装置に送信するユーザ情報送信ステップとを実行し、
    前記ユーザ側装置の前記開示経路要求部により、
    前記開示経路管理サーバに対して、検証依頼するユーザ情報ファイルを送信して、検証要請を行う検証要求送信ステップを実行することを特徴とする個人情報の開示経路閲覧システムの開示経路検証方法。
  6. 個人情報の開示を管理し、開示制御や開示経路の管理、検証を行う開示経路管理サーバであって、
    利用者より個人情報を収集し、収集した個人情報を利用範囲に基づき開示し、また、利用者に対して、収集した個人情報に基づいたサービスを行う業者側装置から、収集した個人情報を他事業者に開示する際に送信された開示許可要求を受信し、
    開示許可要求対象の個人情報について、その個人情報のハッシュ値からなる特徴量、および許可ID、開示元業者側装置に関する情報、開示先業者側装置に関する情報および自身の電子署名からなる開示許可データを、自身のデータベースに記録し、また、ユーザ側装置または前記業者側装置によって流通、管理されている個人情報について、前記ユーザ側装置または前記業者側装置の検証要請に基づき、その検証対象の個人情報に添付されている開示経路データに含まれる開示経路レコードについて、前記開示経路レコードに含まれる許可IDより自身のデータベースを検索して、前記開示経路レコードと前記データベースより検出した開示許可データとの整合性を検証する第1段階の検証を行い、その後、前記開示経路データに追加された最新の開示経路レコードに含まれる開示元業者側装置の電子署名、および前記開示経路管理サーバの電子署名を検証し、検証失敗である場合は、前記開示経路データの所定数前に追加された開示経路レコードについて、前記開示元業者側装置の電子署名、および前記開示経路管理サーバの電子署名を検証していくことを繰り返し、どの開示経路レコードまでが正当であるかを検証する第2段階の検証を行い、開示経路レコードが不連続である部分を検出し、また、検証対象の個人情報と前記データベースに含まれる個人情報のハッシュ値からなる特徴量とを比較して、前記データベースより前記検証対象の個人情報に関連する開示許可データを検出し、前記第1段階の検証で検証された開示許可データ以外の開示許可データが検出された場合は、その開示許可データに含まれる開示元事業者に関する情報、開示先事業者に関する情報および自身の電子署名からなる開示許可データについて、開示元事業者および開示先事業者に開示内容の問い合わせを行う第3の検証を行い、第1段階から第3段階の検証までの検証結果を、検証要請元のユーザ側装置または業者側装置に通知することを特徴とする開示経路管理サーバ。
JP2006033484A 2006-02-10 2006-02-10 個人情報の開示経路閲覧システムおよびその開示経路検証方法 Active JP4732178B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006033484A JP4732178B2 (ja) 2006-02-10 2006-02-10 個人情報の開示経路閲覧システムおよびその開示経路検証方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006033484A JP4732178B2 (ja) 2006-02-10 2006-02-10 個人情報の開示経路閲覧システムおよびその開示経路検証方法

Publications (2)

Publication Number Publication Date
JP2007213373A JP2007213373A (ja) 2007-08-23
JP4732178B2 true JP4732178B2 (ja) 2011-07-27

Family

ID=38491743

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006033484A Active JP4732178B2 (ja) 2006-02-10 2006-02-10 個人情報の開示経路閲覧システムおよびその開示経路検証方法

Country Status (1)

Country Link
JP (1) JP4732178B2 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104781821B (zh) * 2012-09-07 2018-06-22 克罗尔信息保证有限责任公司 文件共享网络中的片段匹配
US9032213B2 (en) * 2013-07-25 2015-05-12 Fujitsu Limited Data distribution path verification
JP6897953B2 (ja) * 2017-01-30 2021-07-07 Necプラットフォームズ株式会社 入場受付端末、入場受付方法、入場受付プログラム、および入場受付システム
WO2019013413A1 (ko) * 2017-07-14 2019-01-17 한국과학기술원 블록체인을 활용한 사용자 개인정보 활용 파악을 위한 방법 및 시스템
US11886612B2 (en) * 2018-09-12 2024-01-30 Liveramp, Inc. Consent provenance and compliance tracking over a complex consumer data supply chain using blockchain distributed ledger
KR102051231B1 (ko) * 2018-11-27 2020-01-08 한국과학기술원 블록체인을 활용한 사용자 개인정보 활용 파악을 위한 방법 및 시스템
WO2020231223A1 (ko) * 2019-05-15 2020-11-19 에스케이플래닛 주식회사 전자상거래서비스장치 및 그 동작 방법, 그리고 서비스장치
JP7351724B2 (ja) 2019-11-14 2023-09-27 株式会社日立製作所 組織間の情報連携を制御するシステム
JP6865338B1 (ja) * 2020-01-05 2021-05-12 晴喜 菅原 情報処理システム

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11154972A (ja) * 1997-11-21 1999-06-08 Yoji Mizuguchi 特定メール配信状況追跡プログラム等を記録した記録媒体及び特定メール配信状況追跡方法
JP2002207694A (ja) * 2001-01-05 2002-07-26 Nec Corp 情報転送追跡装置、個人情報管理システム、その方法及びプログラムを記録した記録媒体

Also Published As

Publication number Publication date
JP2007213373A (ja) 2007-08-23

Similar Documents

Publication Publication Date Title
JP4732178B2 (ja) 個人情報の開示経路閲覧システムおよびその開示経路検証方法
KR101628005B1 (ko) 블록체인을 기반으로 하는 디지털 콘텐츠의 저작권리 위변조 감지시스템
CN107145768B (zh) 版权管理方法和系统
JP4120125B2 (ja) 利用許可証発行装置および方法
US7729992B2 (en) Monitoring of computer-related resources and associated methods and systems for disbursing compensation
US6636966B1 (en) Digital rights management within an embedded storage device
JP4001536B2 (ja) 個人データ保護流通方法及びプログラム
US20030120611A1 (en) Content distribution system and content distribution method
US20050262321A1 (en) Information processing apparatus and method, and storage medium
JP4548441B2 (ja) コンテンツ利用システム、及びコンテンツ利用方法
JP4664107B2 (ja) 事業者側装置、利用者側装置、個人情報閲覧更新システムおよび個人情報閲覧更新方法
US8769276B2 (en) Method and system for transmitting and receiving user's personal information using agent
JP2004023456A (ja) ファイル交換装置、個人情報登録・紹介サーバ、送信制御方法、及びプログラム
CN112383611B (zh) 基于区块链的文件存证方法、系统及服务器
JP4708177B2 (ja) データベース管理方法および個人情報管理システム
JP3896909B2 (ja) 電子チケットを用いたアクセス権管理装置
CN111160997A (zh) 基于区块链的广告监管方法、装置及广告投放系统
JP2003345931A (ja) 個人情報流通管理方法,個人情報流通管理システムにおける個人情報認証装置,個人情報利用環境認証装置,個人情報提供装置,個人情報利用装置および開示利用規定判断プログラム,並びに上記各装置用プログラム
JP2003044446A (ja) 分散型著作権保護方法、およびその方法を利用可能なコンテンツ公開装置、監視サーバならびにシステム
CN113269641A (zh) 交易管理方法、装置和系统
EP3896900A1 (en) Control method, server, program, and data structure
Seki et al. A proposal on open DRM system coping with both benefits of rights-holders and users
US20220272087A1 (en) Owner identity confirmation system and owner identity confirmation method
JP2009043012A (ja) 決済システム、店舗装置、決済機関装置および決済方法
JP2000112751A (ja) ソフトウエア流通システムに用いる装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080716

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110310

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110329

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110420

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140428

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4732178

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350