以下、本発明の一実施形態に係る代理申請による個人情報保護システムの構成及び動作について説明する。
<第1の実施形態>
まず、図1及び2を用いて本実施形態に係る代理申請による個人情報保護システムの構成について説明する。
代理人が依頼人を代理して該依頼人の情報(以下、依頼人情報とする)の登録申請・取得申請が可能な本実施形態に係る代理申請による個人情報保護システムは、代理人が登録申請に利用する暗号化システム2及び代理人が依頼人情報の入手申請に利用する復号化システム12のうち少なくとも1つを有する端末(1、11)、認証サーバ21、依頼人情報を記録するデータベースサーバ24、及び意思確認システム32を有する端末31を有して構成される。なお、端末31は、依頼人によって携帯又は保有される。
図1は、代理人が依頼人情報の登録申請に利用する端末1の暗号化システム2、認証サーバ21、データベースサーバ24、及び依頼人が携帯又は保有する端末31の意思確認システム32との構成を示す図である。
端末1が有する暗号化システム2は、代理人が利用するICカードに記録された氏名、ID番号、生体情報を読み取るICカードリーダ4、代理人の生体情報を読み取る生体情報入力部3、ICカードから読み取られた生体情報と生体情報入力部3が読み取った代理人の生体情報とを比較する生体認証回路6、暗号化システム2を制御する制御回路9、制御回路9からの要求を表示するディスプレイ等の表示部7、代理人が代理人申請や依頼人情報や、アドレス情報を入力するキーボード、光ディスク等のデータ入力部5、及び依頼人情報の暗号化を行う暗号化回路8を有して構成される。
ICカードには、ICカード正規保有者の氏名、英数字又は数字からなるID番号、ICカード正規保有者を特定する生体情報が予め記録されている。生体情報は、ICカード正規保有者の人体の一部分の情報であり、例えば、指紋、掌紋、指の静脈形状、虹彩、声紋等を、各々読み取りに適した生体情報入力装置で読み取りデータ化した情報である。
依頼人情報は、依頼人の個人情報、依頼人が作成した文書、画像、音楽等の情報である。依頼人の個人情報は、公において容易に個人を識別する情報であり、例えば、個人の郵便番号、住所、氏名、年齢、性別、生年月日、電話番号、勤務先等である。データ量が多い依頼人情報は、光ディスク等を利用したデータ入力部5を利用して暗号化システム2に入力される。
端末1の暗号化システム2は、認証サーバ21、データベースサーバ24、及び端末31の本人意思確認システム32とネットワーク26を介して接続され、認証サーバ21、データベースサーバ24、及び端末31の意思確認システム32と通信可能である。
端末31は、依頼人によって携帯又は保有される。端末31が有する意思確認システム32は、依頼人のICカードの氏名、ID番号、生体情報を読み取るICカードリーダ4、依頼人の生体情報を読み取る生体情報入力部3、ICカードから読み取られた生体情報と生体情報入力部3が読み取った依頼人の生体情報とを比較する生体認証回路6、表示部7や生体情報入力部3の制御等を行う制御回路9、制御回路9からの要求を表示するディスプレイ等の表示部7、及び依頼人の情報を入力するキーボード、光ディスク等のデータ入力部5を有して構成される。
図示しないが、端末1の暗号化システム2と同様の構成を有する複数の端末の暗号化システムが、認証サーバ21、データベースサーバ24、端末31の意思確認システム32とネットワーク26を介して接続され、認証サーバ21、データベースサーバ24、端末31の意思確認システム32と通信可能である。
認証サーバ21は、個人情報保護システムを利用している代理人及び依頼人に付与された各ICカードのID番号を人数分登録したデータベース23、及び端末1の暗号化システム2、端末11の復号化システム12、又は端末31の意思確認システム32から送信されたID番号がデータベース23に登録されているかを調べ、登録されていればID番号認証信号を発行する認証回路22を有して構成される。
データベースサーバ24は、それぞれの端末1の暗号化システム2で暗号化された依頼人情報と、依頼人のID番号と、依頼人情報の種別とを関連付けて記録するデータベース25を有して構成される。ここで、依頼人情報の種別とは、郵便番号、住所、氏名、年齢、性別、生年月日、電話番号、勤務先等の依頼人情報を区分するための種別である。
データベース25を依頼人のID番号を用いて検索すると、依頼人のID番号で関連付けられた暗号化された依頼人情報が抽出される。また、依頼人のID番号及び依頼人情報の種別(例えば、住所)を用いてデータベース25の検索を行うと、依頼人のID番号と関連付けられて記録された暗号化された依頼人情報の内、種別が住所の暗号化された依頼人情報を抽出することができる。
図2は、代理人が依頼人情報の入手申請に利用する端末11の復号化システム12、認証サーバ21、データベースサーバ24、及び依頼人が携帯または保有する端末31の意思確認システム32の構成を示す図である。なお、以下に説明する以外の構成については、図1を用いて説明した内容と同様であるため説明を省略する。
端末11の復号化システム12は、代理人のICカードの氏名、ID番号、生体情報を読み取るICカードリーダ4、代理人の生体情報を読み取る生体情報入力部3、ICカードから読み取られた生体情報と生体情報入力部3が読み取った代理人の生体情報とを比較する生体認証回路6、復号化システム12を制御する制御回路9、制御回路9からの要求を表示する表示部7、依頼人情報の種別等を入力するキーボード等のデータ入力部5、依頼人情報を出力するプリンタ等のデータ出力部10、及び暗号化された依頼人情報の復号化を行う復号化回路14を有して構成される。
端末11の復号化システム12は、暗号化システム2が利用する同じ認証サーバ21、データベースサーバ24、及び端末31の意思確認システム32とネットワーク26を介して接続され、認証サーバ21、データベースサーバ24、端末31の意思確認システム32と通信可能である。
図示しないが、端末11の復号化システム12と同様の構成を有する複数の端末の復号化システムが、暗号化システムが利用する同じ認証サーバ21、データベースサーバ24、端末31の意思確認システム32とネットワーク26を介して接続され、認証サーバ21、データベースサーバ24、端末31の意思確認システム32と通信可能である。
次に、本実施形態に係る代理申請による個人情報保護システムの動作について図3から8を用いて説明する。
まず、代理人が依頼人情報を持参して代理で依頼人情報の登録申請を行う為に、代理人のICカードを用いて代理人の生体認証を行い、次に代理申請を依頼したかどうかの依頼人本人の意思確認を依頼人が携帯又は保有する端末で依頼人のICカードを用いて依頼人の生体認証により行い、代理人が端末1の暗号化システム2に入力した依頼人情報を暗号化し、データベースサーバ24に記録するまでの、暗号化システム2、認証サーバ21、データベースサーバ24、及び依頼人の端末31が有する意思確認システム32間の処理について図3、4及び7を用いて説明する。
まず、暗号化システム2は代理人からの依頼人情報の記録を要求する操作を待って待機する(ステップS301)。代理人から依頼人情報の記録が要求されると(ステップS301/YES)、制御回路9は表示部7にICカードの読み取りを要求する旨のメッセージを表示し、代理人にICカードリーダ4によるICカードの読み取りを促す(ステップS302)。
代理人は、ICカードに記録される氏名、ID番号、及び生体情報をICカードリーダ4に読み取らせる(ステップS303)。ICカードリーダ4によって読み取られたID番号は、暗号化システム2からネットワーク26を介して認証サーバ21に送信される(ステップS304)。認証サーバ21は、暗号化システム2からID番号を受信すると、認証回路22により受信したID番号がデータベース23に登録されているか否かを確認する(ステップS305)。暗号化システム2から受信したID番号がデータベース23に登録されていなかった場合は(ステップS305/NO)、ID番号認証信号を発行せず、代理人による不正なアクセスと判断して処理を終了させる。一方、受信したID番号がデータベース23に登録されていた場合は(ステップS305/YES)、そのID番号を認証してID番号認証信号を発行する(ステップS306)。発行されたID番号認証信号は、暗号化システム2に送信される(ステップS307)。
制御回路9は、認証サーバ21からID番号認証信号を受信すると、代理人に生体情報の入力を要求する旨のメッセージを表示部7に表示する(ステップS308)。代理人が生体情報入力部3に生体情報を読み取らせると(ステップS309)、生体認証回路6は生体情報入力部3において読み取った生体情報と、ステップS303においてICカードから読み取られた生体情報とが一致するか否か比較する(ステップS310)。生体情報入力部3において読み取った生体情報とICカードから読み取った生体情報とが一致しなかった場合は(ステップS310/NO)、依頼人情報の記録を要求した代理人が該ICカードに記録される氏名及びID番号で特定される正規の保有者でないと判断して処理を終了させる。
一方、生体情報入力部3において読み取った生体情報とICカードに記録された生体情報とが一致した場合は(ステップS310/YES)、生体認証回路6は代理人が該ICカードに記録される氏名及びID番号で特定される正規の保有者と判断して生体認証信号を発行する(ステップS311)。
生体認証回路6から生体認証信号が発行されると(ステップS311)、代理人はデータ入力部5から依頼人の代理登録申請であることを暗号化システム2に入力する(ステップS312)。データ入力部5から依頼人の代理登録申請であることが入力されると、制御回路9は代理登録申請識別信号を発行する(ステップS313)。さらに、制御回路9は、依頼人が代理人に依頼したかどうかの依頼人の意思確認を行うため、代理人に代理申請を依頼した依頼人のID番号、依頼人が携帯又は保有する端末31との接続に必要な端末31のアドレス情報、依頼人ID、及びパスワードの入力を表示部7から要求する(ステップS314)。なお、アドレス情報は、端末31のドメインネーム、IPアドレス、電話番号等である。
代理人が依頼人のID番号、端末31のアドレス情報、依頼人ID、パスワードをデータ入力部5より入力すると(ステップS315)、制御回路9は入力されたアドレス情報からネットワーク26を介して端末31を捜し、依頼人ID、パスワードを利用して端末31と接続する(ステップS316)。さらに、制御回路9は、端末31が有する意思確認システム32に代理登録申請識別信号と代理人の氏名とを送信して依頼人が該代理人に代理申請を依頼したか否かの依頼人本人の意思確認の実行を要求する(ステップS317)。
ここで、依頼人が端末31の意思確認システム32において、依頼人のICカードを利用して、依頼人が代理人に依頼人情報の登録を依頼したかどうかの意思確認を終えるまでの処理について図7を用いて説明する。
依頼人が携帯又は保有する端末31の意思確認システム32の制御回路9は、端末1から代理登録申請識別信号と代理人の氏名を受信すると(ステップS501)、表示部7に代理人の氏名を表示し、その代理人に依頼人情報の登録を依頼した場合には、依頼人のICカードの読み取りを依頼人に要求する(ステップS502)。
該代理人に依頼人情報の登録を依頼した依頼人は、意思確認システム32が有するICカードリーダ4により依頼人の保有するICカードの氏名、ID番号、生体情報を読み取らせる(ステップS503)。
依頼人が保有するICカードから読み取られたID番号は、意思確認システム32からネットワーク26を介して認証サーバ21に送信される(ステップS504)。認証サーバ21の認証回路22は受信したID番号がデータベース23に登録されているかを検索し、登録されているか否かを判断する(ステップS505)。意思確認システム32から受信したID番号がデータベース23に登録されていなかった場合は(ステップS505/NO)、ID番号認証信号を発行せず、依頼人による不正なアクセスと判断して処理を終了させる。一方、意思確認システム32から受信したID番号がデータベースサーバ23に登録されていた場合は(ステップS505/YES)、認証回路22はそのID番号を認証してID番号認証信号を発行し(ステップS506)、意思確認システム32に送信する(ステップS507)。
意思確認システム32の制御回路9は、認証サーバ21からID番号認証信号を受信すると、表示部7に依頼人に生体情報の入力を要求する旨のメッセージを表示する(ステップS508)。依頼人が生体情報入力部3に生体情報を読み取らせると(ステップS509)、生体認証回路6は生体情報入力部3において読み取った生体情報と、ステップS503においてICカードから読み取られた生体情報とが一致するか否か比較する(ステップS510)。生体情報入力部3において読み取った生体情報とICカードから読み取った生体情報とが一致しなかった場合は(ステップS510/NO)、依頼人が該ICカードに記録される氏名及びID番号で特定される正規の保有者でないと判断して処理を終了させる。
一方、生体情報入力部3において読み取った生体情報とICカードに記録された生体情報とが一致した場合は(ステップS510/YES)、生体認証回路6は依頼人が該ICカードに記録される氏名及びID番号で特定される正規の保有者と判断して生体認証信号を発行する(ステップS511)。
制御回路9は、認証サーバ21から発行されたID番号認証信号と、生体認証回路6から発行された生体認証信号とを受信すると、該ICカードの保有者が該ICカードの氏名、ID番号、及び生体情報によって特定される正規の依頼人であり、ICカードの正規の保有者であると認識すると共に(ステップS512)、依頼人がICカードを読み込ませたことにより、依頼人が代理人に依頼人情報の登録を依頼したことを承認し、依頼人の本人意思確認信号を発行する(ステップS513)。
そして、制御回路9は、依頼人のID番号、依頼人の生体情報、依頼人の生体認証信号、及び依頼人の本人意思確認信号を暗号化システム2へ返信する(ステップS514)。
意思確認システム32から依頼人のID番号、依頼人の生体情報、依頼人の生体認証信号、及び依頼人の本人意思確認信号を受信すると、暗号化システム2の制御回路9は、依頼人の本人意思確認信号により、ステップS312において代理登録申請を行った代理人が該依頼人の依頼により代理で依頼人情報の登録申請を行っていると判定する(ステップS318)。
そして、制御回路9は該代理人による依頼人情報の登録申請を許可し(ステップS319)、依頼人情報の入力と依頼人情報の種別の入力を要求するメッセージを表示部7に表示させる(ステップS320)。
代理人によってデータ入力部5から依頼人情報及びその依頼人情報の種別、又は依頼人情報が入力されると(ステップS321)、暗号化回路8は意思確認システム32からステップS514において受信した依頼人の生体情報のデータ列を秘密鍵として用いて依頼人情報を暗号化する(ステップS322)。なお、ステップ322では、依頼人のICカードから読み取った生体情報のデータ列を秘密鍵として用いて、依頼人情報を暗号化したが、依頼人のICカードから読み取ったID番号のデータ列を秘密鍵として用いて、依頼人情報を暗号化しても良い。その場合、端末11の復号化システム12の復号化回路14でも、依頼人のICカードから読み取ったID番号のデータ列を秘密鍵として用いて、依頼人情報を復号化する。
暗号化された依頼人情報は、ステップS514において意思確認システム32から受信した依頼人のID番号、依頼人情報の種別、依頼人の生体認証信号と共に、暗号化システム2からデータベースサーバ24に送信される(ステップS323)。なお、ステップS321において依頼人情報の種別が入力されなかった場合、暗号化された依頼人情報は、ステップS514において意思確認システム32から受信した依頼人のID番号、依頼人の生体認証信号と共に、暗号化システム2からデータベースサーバ24に送信される。
データベースサーバ24は、依頼人のID番号、依頼人情報の種別、及び暗号化された依頼人情報とともに依頼人の生体認証信号を受信したか否かを確認する(ステップS324)。依頼人のID番号、依頼人情報の種別、及び暗号化された依頼人情報とともに依頼人の生体認証信号が受信されなかった場合は(ステップS324/NO)、暗号化された依頼人情報がICカードの正規の依頼人でない者からのデータと判断し、データベース25へ依頼人情報を記録する処理を終了させる。一方、依頼人のID番号、依頼人情報の種別、及び暗号化された依頼人情報とともに依頼人の生体認証信号を受信すると(ステップS324/YES)、暗号化された依頼人情報がICカードの正規の依頼人からのデータと判断し、暗号化された依頼人情報のデータベース25への記録を許可する(ステップS325)。暗号化された依頼人情報のデータベース24への記録が許可されると、暗号化された依頼人情報は依頼人のID番号及び依頼人情報の種別と関連付けられて、データベース25に記録される(ステップS326)。
次に、代理人が代理で依頼人情報の入手申請を行う為に、代理人のICカードを用いて代理人の生体認証を行い、依頼人が携帯又は保有する端末で依頼人のICカードを用いて依頼人の生体認証を行うことにより、依頼人が代理申請を依頼したかどうかの依頼人本人の意思確認を行い、依頼人本人の意思確認ができた場合にのみ、データベースサーバ24の暗号化された依頼人情報を端末11の復号化システム12により復号化・出力する処理の復号化システム12、認証サーバ21、データベースサーバ24、依頼人の端末31の意思確認システム32における処理について、図5、6及び8を用いて説明する。
まず、復号化システム12は代理人からの依頼人情報の取得を要求する操作を待って待機する(ステップS401)。代理人から依頼人情報の取得が要求されると(ステップS401/YES)、制御回路9は表示部7にICカードの読み取りを要求する旨のメッセージを表示し、代理人にICカードリーダ4によるICカードの読み取りを促す(ステップS402)。
代理人は、ICカードに記録される氏名、ID番号、及び生体情報をICカードリーダ4に読み取らせる(ステップS403)。ICカードリーダ4によって読み取られたID番号は、復号化システム12からネットワーク26を介して認証サーバ21に送信される(ステップS404)。認証サーバ21は、復号化システム12からID番号を受信すると、認証回路22により受信したID番号がデータベース23に登録されているか否かを確認する(ステップS405)。復号化システム12から受信したID番号がデータベース23に登録されていなかった場合は(ステップS405/NO)、ID番号認証信号を発行せず、代理人による不正なアクセスと判断して処理を終了させる。一方、受信したID番号がデータベース23に登録されていた場合は(ステップS405/YES)、そのID番号を認証してID番号認証信号を発行する(ステップS406)。発行されたID番号認証信号は、復号化システム12に送信される(ステップS407)。
制御回路9は、認証サーバ21からID番号認証信号を受信すると、代理人に生体情報の入力を要求する旨のメッセージを表示部7に表示する(ステップS408)。代理人が生体情報入力部3に生体情報を読み取らせると(ステップS409)、生体認証回路6は生体情報入力部3において読み取った生体情報と、ステップS403においてICカードから読み取られた生体情報とが一致するか否か比較する(ステップS410)。生体情報入力部3において読み取った生体情報とICカードから読み取った生体情報とが一致しなかった場合は(ステップS410/NO)、依頼人情報の取得を要求した代理人が該ICカードに記録される氏名及びID番号で特定される正規の保有者でないと判断して処理を終了させる。
一方、生体情報入力部3において読み取った生体情報とICカードに記録された生体情報とが一致した場合は(ステップS410/YES)、生体認証回路6は代理人が該ICカードに記録される氏名及びID番号で特定される正規の保有者と判断して生体認証信号を発行する(ステップS411)。
生体認証回路6から生体認証信号が発行されると(ステップS411)、代理人はデータ入力部5から依頼人の代理取得申請であることを暗号化システム2に入力する(ステップS412)。データ入力部5から依頼人の代理取得申請であることが入力されると、制御回路9は代理取得申請識別信号を発行する(ステップS413)。さらに、制御回路9は、依頼人が代理人に依頼したかどうかの依頼人の意思確認を行うため、代理人に代理申請を依頼した依頼人のID番号、依頼人が携帯又は保有する端末31との接続に必要な端末31のアドレス情報、依頼人ID、及びパスワードの入力を表示部7から要求する(ステップS414)。なお、アドレス情報は、端末31のドメインネーム、IPアドレス、電話番号等である。
代理人が依頼人のID番号、端末31のアドレス情報、依頼人ID、パスワードをデータ入力部5より入力すると(ステップS415)、制御回路9は入力されたアドレス情報からネットワーク26を介して端末31を捜し、依頼人ID、パスワードを利用して端末31と接続する(ステップS416)。さらに、制御回路9は、端末31が有する意思確認システム32に代理取得申請識別信号と代理人の氏名とを送信して依頼人が該代理人に代理申請を依頼したか否かの依頼人本人の意思確認の実行を要求する(ステップS417)。
ここで、依頼人が端末31の意思確認システム32において、依頼人のICカードを利用して、依頼人が代理人に依頼人情報の取得を依頼したかどうかの意思確認を終えるまでの処理について図8を用いて説明する。
依頼人が携帯又は保有する端末31の意思確認システム32の制御回路9は、端末11から代理取得申請識別信号と代理人の氏名を受信すると(ステップS601)、表示部7に代理人の氏名を表示し、その代理人に依頼人情報の取得を依頼した場合には、依頼人のICカードの読み取りを依頼人に要求する(ステップS602)。
該代理人に依頼人情報の取得を依頼した依頼人は、意思確認システム32が有するICカードリーダ4により依頼人の保有するICカードの氏名、ID番号、生体情報を読み取らせる(ステップS603)。
依頼人が保有するICカードから読み取られたID番号は、意思確認システム32からネットワーク26を介して認証サーバ21に送信される(ステップS604)。認証サーバ21の認証回路22は受信したID番号がデータベース23に登録されているかを検索し、登録されているか否かを判断する(ステップS605)。意思確認システム32から受信したID番号がデータベース23に登録されていなかった場合は(ステップS605/NO)、ID番号認証信号を発行せず、依頼人による不正なアクセスと判断して処理を終了させる。一方、意思確認システム32から受信したID番号がデータベースサーバ23に登録されていた場合は(ステップS605/YES)、認証回路22はそのID番号を認証してID番号認証信号を発行し(ステップS606)、意思確認システム32に送信する(ステップS607)。
意思確認システム32の制御回路9は、認証サーバ21からID番号認証信号を受信すると、表示部7に依頼人に生体情報の入力を要求する旨のメッセージを表示する(ステップS608)。依頼人が生体情報入力部3に生体情報を読み取らせると(ステップS609)、生体認証回路6は生体情報入力部3において読み取った生体情報と、ステップS603においてICカードから読み取られた生体情報とが一致するか否か比較する(ステップS610)。生体情報入力部3において読み取った生体情報とICカードから読み取った生体情報とが一致しなかった場合は(ステップS610/NO)、依頼人が該ICカードに記録される氏名及びID番号で特定される正規の保有者でないと判断して処理を終了させる。
一方、生体情報入力部3において読み取った生体情報とICカードに記録された生体情報とが一致した場合は(ステップS610/YES)、生体認証回路6は依頼人が該ICカードに記録される氏名及びID番号で特定される正規の保有者と判断して生体認証信号を発行する(ステップS611)。
制御回路9は、認証サーバ21から発行されたID番号認証信号と、生体認証回路6から発行された生体認証信号とを受信すると、該ICカードの保有者が該ICカードの氏名、ID番号、及び生体情報によって特定される正規の依頼人であり、ICカードの正規の保有者であると認識すると共に(ステップS612)、依頼人がICカードを読み込ませたことにより、依頼人が代理人に依頼人情報の取得を依頼したことを承認し、依頼人の本人意思確認信号を発行する(ステップS613)。
そして、制御回路9は、依頼人のID番号、依頼人の生体情報、依頼人の生体認証信号、及び依頼人の本人意思確認信号を復号化システム12へ返信する(ステップS614)。
意思確認システム32から依頼人のID番号、依頼人の生体情報、依頼人の生体認証信号、及び依頼人の本人意思確認信号を受信すると、復号化システム12の制御回路9は、依頼人の本人意思確認信号により、ステップS412において代理取得申請を行った代理人が該依頼人の依頼により代理で依頼人情報の取得申請を行っていると判定する(ステップS418)。
そして、制御回路9は該代理人による依頼人情報の取得申請を許可し(ステップS419)、代理人に全ての依頼人情報が必要か、又は依頼人情報の種別により区分された依頼人情報が必要かを質問し、特定の種別の依頼人情報が必要の場合は、依頼人情報の種別の入力を要求するメッセージを表示部7に表示する(ステップS420)。
制御回路9は、データ入力部5から依頼人情報の種別の入力を待って待機する(ステップS421)。なお、依頼人情報の種別に関らず全てのユーザ情報が必要な場合は、依頼人情報の種別を入力する必要はない。依頼人情報の種別が入力されなかった場合は(ステップS421/NO)、制御回路9は依頼人のID番号及び依頼人の生体認証信号をデータベースサーバ24に送信し、依頼人のID番号と関連付けて登録される暗号化された依頼人情報の送信をデータベースサーバ24に要求する(ステップS422)。一方、依頼人情報の種別が入力された場合は(ステップS421/YES)、制御回路9は、依頼人のID番号、依頼人情報の種別、及び依頼人の生体認証信号をデータベースサーバ24に送信し、依頼人のID番号及び依頼人情報の種別と関連付けて登録される暗号化された依頼人情報の送信をデータベースサーバ24に要求する(ステップS423)。
データベースサーバ24は、依頼人のID番号や依頼人情報の種別とともに依頼人の生体認証信号を受信したか否かを確認する(ステップS424)。依頼人のID番号、や依頼人情報の種別とともに依頼人の生体認証信号が受信されなかった場合は(ステップS424/NO)、ID番号に対応する正規の依頼人でない者からの依頼人情報の送信要求と判断し、データベース25からの依頼人情報の取得を終了させる。一方、依頼人のID番号や依頼人情報の種別とともに依頼人の生体認証信号を受信すると(ステップS424/YES)、ID番号に対応する正規の依頼人からの依頼人情報の送信要求と判断し、暗号化された依頼人情報のデータベース25からの取得を許可する(ステップS425)。データベース25からの暗号化された依頼人情報の取得が許可されると、データベースサーバ24は、依頼人情報の種別を受信している場合は依頼人情報の種別とID番号と関連付けられて記録される暗号化された依頼人情報をデータベース25から抽出し(ステップS426)、復号化システム12に送信する(ステップS427)。一方、依頼人情報の種別を受信しなかった場合は依頼人のID番号と関連付けられて記録される暗号化された依頼人情報をデータベース25から抽出し(ステップS426)、復号化システム12に送信する(ステップS427)。
復号化システム12の復号化回路14は、データベースサーバ24から暗号化された依頼人情報を受信すると、端末31の意思確認システム32から送信された依頼人の生体情報のデータ列を秘密鍵として用いて、暗号化された依頼人情報を復号化する(ステップS428)。なお、ステップ428では、依頼人のICカードから読み取った生体情報のデータ列を秘密鍵として用いて、依頼人情報を復号化したが、依頼人情報が依頼人のICカードから読み取ったID番号のデータ列を秘密鍵として暗号化されている場合、復号化回路14では依頼人のICカードから読み取ったID番号のデータ列を秘密鍵として用いて、依頼人情報を復号化する。復号化された依頼人情報は、端末11の表示部7に表示、またはデータ出力部10から出力される。
上述の構成によれば、代理人のICカードに記録された生体情報を用いて生体認証を行って代理人本人を確認し、かつ依頼人がその代理人に依頼人情報の登録申請又は取得申請を依頼したか否かを、依頼人のICカードに記録された生体情報を用いて生体認証を行うことにより確認し、正規の依頼人によって代理人に依頼された代理登録申請又は代理取得申請であると判断された場合にのみ依頼人情報の代理登録又は代理取得を許可することにより、依頼人の代理人を名乗った不正な依頼人情報の不正登録、不正入手を防止することができる。
また、意思確認システムから発行される本人意思確認信号を得た後に代理人による依頼人情報の登録又は取得が許可されることにより、ID番号の正規の依頼人が代理人に依頼したかどうかの確証も取れ、代理人が不正なID番号による他人の個人情報の登録・取得を防止することができる。
さらに、ネットワーク上を転送される依頼人情報が暗号化されているため、暗号化された依頼人情報をデータベースサーバに送信するとき、又は暗号化された依頼人情報をデータベースサーバから受信するときに、サーバやネットワーク上における個人情報の漏洩を防止することができる。
<第2の実施形態>
まず、図9及び10を用いて第2の本実施形態に係る代理申請による個人情報保護システムの構成について説明する。
代理人が依頼人を代理して該依頼人の情報(以下、依頼人情報とする)の登録申請・取得申請が可能な本実施形態に係る代理申請による個人情報保護システムは、代理人が登録申請に利用する暗号化システム2及び代理人が依頼人情報の入手申請に利用する復号化システム12のうち少なくとも1つを有する端末(1、11)、認証サーバ21、依頼人情報を記録するデータベースサーバ24、及び意思確認システム32を有する端末31を有して構成される。なお、端末31は、依頼人によって携帯又は保有される。
図9は、代理人が依頼人情報の登録申請に利用する端末1の暗号化システム2、認証サーバ21、データベースサーバ24、及び依頼人が携帯又は保有する端末31の意思確認システム32との構成を示す図である。
端末1が有する暗号化システム2は、代理人が利用するICカードに記録されたID番号、生体情報を読み取るICカードリーダ4、代理人の生体情報を読み取る生体情報入力部3、ICカードから読み取られた生体情報と生体情報入力部3が読み取った代理人の生体情報とを比較する生体認証回路6、暗号化システム2を制御する制御回路9、制御回路9からの要求を表示するディスプレイ等の表示部7、代理人が代理人申請や依頼人情報や、アドレス情報を入力するキーボード、光ディスク等のデータ入力部5、及び依頼人情報の暗号化を行う暗号化回路8を有して構成される。
ICカードには、英数字又は数字からなるID番号、ICカード正規保有者を特定する生体情報が予め記録されている。生体情報は、ICカード正規保有者の人体の一部分の情報であり、例えば、指紋、掌紋、指の静脈形状、虹彩、声紋等を、各々読み取りに適した生体情報入力装置で読み取りデータ化した情報である。
依頼人情報は、依頼人の個人情報、依頼人が作成した文書、画像、音楽等の情報である。依頼人の個人情報は、公において容易に個人を識別する情報であり、例えば、個人の郵便番号、住所、氏名、年齢、性別、生年月日、電話番号、勤務先等である。データ量が多い依頼人情報は、光ディスク等を利用したデータ入力部5を利用して暗号化システム2に入力される。
端末1の暗号化システム2は、認証サーバ21、データベースサーバ24、及び端末31の本人意思確認システム32とネットワーク26を介して接続され、認証サーバ21、データベースサーバ24、及び端末31の意思確認システム32と通信可能である。
端末31は、依頼人によって携帯又は保有される。端末31が有する意思確認システム32は、依頼人のICカードのID番号、生体情報を読み取るICカードリーダ4、依頼人の生体情報を読み取る生体情報入力部3、ICカードから読み取られた生体情報と生体情報入力部3が読み取った依頼人の生体情報とを比較する生体認証回路6、表示部7や生体情報入力部3の制御等を行う制御回路9、制御回路9からの要求を表示するディスプレイ等の表示部7、及び依頼人の情報を入力するキーボード、光ディスク等のデータ入力部5を有して構成される。
図示しないが、端末1の暗号化システム2と同様の構成を有する複数の端末の暗号化システムが、認証サーバ21、データベースサーバ24、端末31の意思確認システム32とネットワーク26を介して接続され、認証サーバ21、データベースサーバ24、端末31の意思確認システム32と通信可能である。
認証サーバ21は、個人情報保護システムを利用している代理人に付与された各ICカードのID番号と該代理人の氏名とが関連付けられて人数分登録された代理人データベース23a、個人情報保護システムを利用している依頼人に付与された各ICカードのID番号と該依頼人のアドレス情報とが関連付けられて人数分登録された依頼人データベース23b、及び端末1の暗号化システム2、端末11の復号化システム12、又は端末31の意思確認システム32から送信されたID番号がデータベース23に登録されているかを調べ、登録されていればID番号認証信号を発行する認証回路22を有して構成される。
データベースサーバ24は、それぞれの端末1の暗号化システム2で暗号化された依頼人情報と、依頼人のID番号と、依頼人情報の種別とを関連付けて記録するデータベース25を有して構成される。ここで、依頼人情報の種別とは、郵便番号、住所、氏名、年齢、性別、生年月日、電話番号、勤務先等の依頼人情報を区分するための種別である。
データベース25を依頼人のID番号を用いて検索すると、依頼人のID番号で関連付けられた暗号化された依頼人情報が抽出される。また、依頼人のID番号及び依頼人情報の種別(例えば、住所)を用いてデータベース25の検索を行うと、依頼人のID番号と関連付けられて記録された暗号化された依頼人情報の内、種別が住所の暗号化された依頼人情報を抽出することができる。
図10は、代理人が依頼人情報の入手申請に利用する端末11の復号化システム12、認証サーバ21、データベースサーバ24、及び依頼人が携帯または保有する端末31の意思確認システム32の構成を示す図である。なお、以下に説明する以外の構成については、図9を用いて説明した内容と同様であるため説明を省略する。
端末11の復号化システム12は、代理人のICカードのID番号、生体情報を読み取るICカードリーダ4、代理人の生体情報を読み取る生体情報入力部3、ICカードから読み取られた生体情報と生体情報入力部3が読み取った代理人の生体情報とを比較する生体認証回路6、復号化システム12を制御する制御回路9、制御回路9からの要求を表示する表示部7、依頼人情報の種別等を入力するキーボード等のデータ入力部5、依頼人情報を出力するプリンタ等のデータ出力部10、及び暗号化された依頼人情報の復号化を行う復号化回路14を有して構成される。
端末11の復号化システム12は、暗号化システム2が利用する同じ認証サーバ21、データベースサーバ24、及び端末31の意思確認システム32とネットワーク26を介して接続され、認証サーバ21、データベースサーバ24、端末31の意思確認システム32と通信可能である。
図示しないが、端末11の復号化システム12と同様の構成を有する複数の端末の復号化システムが、暗号化システムが利用する同じ認証サーバ21、データベースサーバ24、端末31の意思確認システム32とネットワーク26を介して接続され、認証サーバ21、データベースサーバ24、端末31の意思確認システム32と通信可能である。
次に、本実施形態に係る代理申請による個人情報保護システムの動作について図11〜14を用いて説明する。
まず、代理人が依頼人情報を持参して代理で依頼人情報の登録申請を行う為に、代理人のICカードを用いて代理人の生体認証を行い、次に代理申請を依頼したかどうかの依頼人本人の意思確認を依頼人が携帯又は保有する端末で依頼人のICカードを用いて依頼人の生体認証により行い、代理人が端末1の暗号化システム2に入力した依頼人情報を暗号化し、データベースサーバ24に記録するまでの、暗号化システム2、認証サーバ21、データベースサーバ24、及び依頼人の端末31が有する意思確認システム32間の処理について図11及び12を用いて説明する。
まず、暗号化システム2は代理人からの依頼人情報の記録を要求する操作を待って待機する(ステップS701)。代理人から依頼人情報の記録が要求されると(ステップS701/YES)、制御回路9は表示部7にICカードの読み取りを要求する旨のメッセージを表示し、代理人にICカードリーダ4によるICカードの読み取りを促す(ステップS702)。
代理人は、ICカードに記録されるID番号、及び生体情報をICカードリーダ4に読み取らせる(ステップS703)。ICカードリーダ4によって読み取られたID番号は、暗号化システム2からネットワーク26を介して認証サーバ21に送信される(ステップS704)。認証サーバ21は、暗号化システム2からID番号を受信すると、認証回路22により受信したID番号が代理人データベース23aに登録されているか否かを確認する(ステップS705)。暗号化システム2から受信したID番号が代理人データベース23aに登録されていなかった場合は(ステップS705/NO)、ID番号認証信号を発行せず、代理人による不正なアクセスと判断して処理を終了させる。一方、受信したID番号が代理人データベース23aに登録されていた場合は(ステップS705/YES)、代理人データベース23aから該ID番号と関連付けて登録されている代理人の氏名を読み出し、さらに該ID番号を認証してID番号認証信号を発行する(ステップS706)。読み出された代理人の氏名と発行されたID番号認証信号とは、暗号化システム2に送信される(ステップS707)。
制御回路9は、認証サーバ21から代理人の氏名及びID番号認証信号を受信すると、代理人に生体情報の入力を要求する旨のメッセージを表示部7に表示する(ステップS708)。代理人が生体情報入力部3に生体情報を読み取らせると(ステップS709)、生体認証回路6は生体情報入力部3において読み取った生体情報と、ステップS703においてICカードから読み取られた生体情報とが一致するか否か比較する(ステップS710)。生体情報入力部3において読み取った生体情報とICカードから読み取った生体情報とが一致しなかった場合は(ステップS710/NO)、依頼人情報の記録を要求した代理人が該ICカードに記録されるID番号で特定される正規の保有者でないと判断して処理を終了させる。
一方、生体情報入力部3において読み取った生体情報とICカードに記録された生体情報とが一致した場合は(ステップS710/YES)、生体認証回路6は代理人が該ICカードに記録されるID番号で特定される正規の保有者と判断して生体認証信号を発行する(ステップS711)。
生体認証回路6から生体認証信号が発行されると(ステップS711)、代理人はデータ入力部5から依頼人の代理登録申請であることを暗号化システム2に入力する(ステップS712)。データ入力部5から依頼人の代理登録申請であることが入力されると、制御回路9は代理登録申請識別信号を発行する(ステップS713)。さらに、制御回路9は、依頼人が代理人に依頼したかどうかの依頼人の意思確認を行うため、代理人に代理申請を依頼した依頼人のID番号、依頼人ID、及びパスワードの入力を表示部7から要求する(ステップS714)。
代理人が依頼人のID番号、依頼人ID、パスワードをデータ入力部5より入力すると(ステップS715)、依頼人のID番号を暗号化システム2からネットワーク26を介して認証サーバ21に送信してアドレス情報の送信を要求する(ステップS716)。アドレス情報は、端末31のドメインネーム、IPアドレス、電話番号等であり、依頼人が携帯又は保有する端末31と接続する際に使用される。
認証サーバ21は、暗号化システム2からID番号を受信すると、認証回路22により受信したID番号が依頼人データベース23bに登録されているか否かを確認する(ステップS717)。暗号化システム2から受信したID番号が依頼人データベース23bに登録されていなかった場合は(ステップS717/NO)、アドレス情報を送信せず、代理人による不正なアクセスと判断して処理を終了させる。
一方、受信したID番号が依頼人データベース23bに登録されていた場合は(ステップS717/YES)、依頼人データベース23bから該ID番号と関連付けて登録されているアドレス情報が読み出され、暗号化システム2へ送信される(ステップS718)。
認証サーバ21からアドレス情報を受信すると、制御回路9は受信したアドレス情報からネットワーク26を介して端末31を捜し、依頼人ID、パスワードを利用して端末31と接続する(ステップS719)。さらに、制御回路9は、端末31が有する意思確認システム32に代理登録申請識別信号と認証サーバ21から受信した代理人の氏名とを送信して依頼人が該代理人に代理申請を依頼したか否かの依頼人本人の意思確認の実行を要求する(ステップS720)。
なお、図7に示すように、依頼人が端末31の意思確認システム32において、依頼人のICカードを利用して、依頼人が代理人に依頼人情報の登録を依頼したかどうかの意思確認を終えるまでの処理は、第1の実施形態において説明した処理と同様であるため説明を省略する。
意思確認システム32から依頼人のID番号、依頼人の生体情報、依頼人の生体認証信号、及び依頼人の本人意思確認信号を受信すると、暗号化システム2の制御回路9は、依頼人の本人意思確認信号により、ステップS712において代理登録申請を行った代理人が該依頼人の依頼により代理で依頼人情報の登録申請を行っていると判定する(ステップS721)。
そして、制御回路9は該代理人による依頼人情報の登録申請を許可し(ステップS722)、依頼人情報の入力と依頼人情報の種別の入力を要求するメッセージを表示部7に表示させる(ステップS723)。
代理人によってデータ入力部5から依頼人情報及びその依頼人情報の種別、又は依頼人情報が入力されると(ステップS724)、暗号化回路8は意思確認システム32からステップS514において受信した依頼人の生体情報のデータ列を秘密鍵として用いて依頼人情報を暗号化する(ステップS725)。なお、ステップ725では、依頼人のICカードから読み取った生体情報のデータ列を秘密鍵として用いて、依頼人情報を暗号化したが、依頼人のICカードから読み取ったID番号のデータ列を秘密鍵として用いて、依頼人情報を暗号化しても良い。その場合、端末11の復号化システム12の復号化回路14でも、依頼人のICカードから読み取ったID番号のデータ列を秘密鍵として用いて、依頼人情報を復号化する。
暗号化された依頼人情報は、ステップS514において意思確認システム32から受信した依頼人のID番号、依頼人情報の種別、依頼人の生体認証信号と共に、暗号化システム2からデータベースサーバ24に送信される(ステップS726)。なお、ステップS724において依頼人情報の種別が入力されなかった場合、暗号化された依頼人情報は、ステップS514において意思確認システム32から受信した依頼人のID番号、依頼人の生体認証信号と共に、暗号化システム2からデータベースサーバ24に送信される。
データベースサーバ24は、依頼人のID番号、依頼人情報の種別、及び暗号化された依頼人情報とともに依頼人の生体認証信号を受信したか否かを確認する(ステップS727)。依頼人のID番号、依頼人情報の種別、及び暗号化された依頼人情報とともに依頼人の生体認証信号が受信されなかった場合は(ステップS727/NO)、暗号化された依頼人情報がICカードの正規の依頼人でない者からのデータと判断し、データベース25へ依頼人情報を記録する処理を終了させる。一方、依頼人のID番号、依頼人情報の種別、及び暗号化された依頼人情報とともに依頼人の生体認証信号を受信すると(ステップS727/YES)、暗号化された依頼人情報がICカードの正規の依頼人からのデータと判断し、暗号化された依頼人情報のデータベース25への記録を許可する(ステップS728)。暗号化された依頼人情報のデータベース24への記録が許可されると、暗号化された依頼人情報は依頼人のID番号及び依頼人情報の種別と関連付けられて、データベース25に記録される(ステップS729)。
次に、代理人が代理で依頼人情報の入手申請を行う為に、代理人のICカードを用いて代理人の生体認証を行い、依頼人が携帯又は保有する端末で依頼人のICカードを用いて依頼人の生体認証を行うことにより、依頼人が代理申請を依頼したかどうかの依頼人本人の意思確認を行い、依頼人本人の意思確認ができた場合にのみ、データベースサーバ24の暗号化された依頼人情報を端末11の復号化システム12により復号化・出力する処理の復号化システム12、認証サーバ21、データベースサーバ24、依頼人の端末31の意思確認システム32における処理について、図13及び14を用いて説明する。
まず、復号化システム12は代理人からの依頼人情報の取得を要求する操作を待って待機する(ステップS801)。代理人から依頼人情報の取得が要求されると(ステップS801/YES)、制御回路9は表示部7にICカードの読み取りを要求する旨のメッセージを表示し、代理人にICカードリーダ4によるICカードの読み取りを促す(ステップS802)。
代理人は、ICカードに記録されるID番号及び生体情報をICカードリーダ4に読み取らせる(ステップS803)。ICカードリーダ4によって読み取られたID番号は、復号化システム12からネットワーク26を介して認証サーバ21に送信される(ステップS804)。認証サーバ21は、復号化システム12からID番号を受信すると、認証回路22により受信したID番号が代理人データベース23aに登録されているか否かを確認する(ステップS805)。復号化システム12から受信したID番号が代理人データベース23aに登録されていなかった場合は(ステップS805/NO)、ID番号認証信号を発行せず、代理人による不正なアクセスと判断して処理を終了させる。一方、受信したID番号が代理人データベース23aに登録されていた場合は(ステップS805/YES)、該ID番号と関連付けて登録されている代理人の氏名を読み出し、さらに該ID番号を認証してID番号認証信号を発行する(ステップS806)。読み出された代理人の氏名と発行されたID番号認証信号とは、復号化システム12に送信される(ステップS807)。
制御回路9は、認証サーバ21から代理人の氏名及びID番号認証信号を受信すると、代理人に生体情報の入力を要求する旨のメッセージを表示部7に表示する(ステップS808)。代理人が生体情報入力部3に生体情報を読み取らせると(ステップS809)、生体認証回路6は生体情報入力部3において読み取った生体情報と、ステップS803においてICカードから読み取られた生体情報とが一致するか否か比較する(ステップS810)。生体情報入力部3において読み取った生体情報とICカードから読み取った生体情報とが一致しなかった場合は(ステップS810/NO)、依頼人情報の取得を要求した代理人が該ICカードに記録されるID番号で特定される正規の保有者でないと判断して処理を終了させる。
一方、生体情報入力部3において読み取った生体情報とICカードに記録された生体情報とが一致した場合は(ステップS810/YES)、生体認証回路6は代理人が該ICカードに記録されるID番号で特定される正規の保有者と判断して生体認証信号を発行する(ステップS811)。
生体認証回路6から生体認証信号が発行されると(ステップS811)、代理人はデータ入力部5から依頼人の代理取得申請であることを暗号化システム2に入力する(ステップS812)。データ入力部5から依頼人の代理取得申請であることが入力されると、制御回路9は代理取得申請識別信号を発行する(ステップS813)。さらに、制御回路9は、依頼人が代理人に依頼したかどうかの依頼人の意思確認を行うため、代理人に代理申請を依頼した依頼人のID番号、依頼人ID、及びパスワードの入力を表示部7から要求する(ステップS814)。
代理人が依頼人のID番号、依頼人ID、パスワードをデータ入力部5より入力すると(ステップS815)、依頼人のID番号を暗号化システム2からネットワーク26を介して認証サーバ21に送信してアドレス情報の送信を要求する(ステップS816)。アドレス情報は、端末31のドメインネーム、IPアドレス、電話番号等であり、依頼人が携帯又は保有する端末31と接続する際に使用される。
認証サーバ21は、暗号化システム2からID番号を受信すると、認証回路22により受信したID番号が依頼人データベース23bに登録されているか否かを確認する(ステップS817)。暗号化システム2から受信したID番号が依頼人データベース23bに登録されていなかった場合は(ステップS817/NO)、アドレス情報を送信せず、代理人による不正なアクセスと判断して処理を終了させる。
一方、受信したID番号が依頼人データベース23bに登録されていた場合は(ステップS817/YES)、依頼人データベース23bから該ID番号と関連付けて登録されているアドレス情報が読み出され、暗号化システム2へ送信される(ステップS818)。
認証サーバ21からアドレス情報を受信すると、制御回路9は受信したアドレス情報からネットワーク26を介して端末31を捜し、依頼人ID、パスワードを利用して端末31と接続する(ステップS819)。さらに、制御回路9は、端末31が有する意思確認システム32に代理登録申請識別信号と認証サーバ21から受信した代理人の氏名とを送信して依頼人が該代理人に代理申請を依頼したか否かの依頼人本人の意思確認の実行を要求する(ステップS820)。
なお、図8に示すように、依頼人が端末31の意思確認システム32において、依頼人のICカードを利用して、依頼人が代理人に依頼人情報の取得を依頼したかどうかの意思確認を終えるまでの処理は、第1の実施形態と同様であるため説明を省略する。
意思確認システム32から依頼人のID番号、依頼人の生体情報、依頼人の生体認証信号、及び依頼人の本人意思確認信号を受信すると、復号化システム12の制御回路9は、依頼人の本人意思確認信号により、ステップS812において代理取得申請を行った代理人が該依頼人の依頼により代理で依頼人情報の取得申請を行っていると判定する(ステップS821)。
そして、制御回路9は該代理人による依頼人情報の取得申請を許可し(ステップS822)、代理人に全ての依頼人情報が必要か、又は依頼人情報の種別により区分された依頼人情報が必要かを質問し、特定の種別の依頼人情報が必要の場合は、依頼人情報の種別の入力を要求するメッセージを表示部7に表示する(ステップS823)。
制御回路9は、データ入力部5から依頼人情報の種別の入力を待って待機する(ステップS824)。なお、依頼人情報の種別に関らず全てのユーザ情報が必要な場合は、依頼人情報の種別を入力する必要はない。依頼人情報の種別が入力されなかった場合は(ステップS824/NO)、制御回路9は依頼人のID番号及び依頼人の生体認証信号をデータベースサーバ24に送信し、依頼人のID番号と関連付けて登録される暗号化された依頼人情報の送信をデータベースサーバ24に要求する(ステップS825)。一方、依頼人情報の種別が入力された場合は(ステップS824/YES)、制御回路9は、依頼人のID番号、依頼人情報の種別、及び依頼人の生体認証信号をデータベースサーバ24に送信し、依頼人のID番号及び依頼人情報の種別と関連付けて登録される暗号化された依頼人情報の送信をデータベースサーバ24に要求する(ステップS826)。
データベースサーバ24は、依頼人のID番号や依頼人情報の種別とともに依頼人の生体認証信号を受信したか否かを確認する(ステップS827)。依頼人のID番号、や依頼人情報の種別とともに依頼人の生体認証信号が受信されなかった場合は(ステップS827/NO)、ID番号に対応する正規の依頼人でない者からの依頼人情報の送信要求と判断し、データベース25からの依頼人情報の取得を終了させる。一方、依頼人のID番号や依頼人情報の種別とともに依頼人の生体認証信号を受信すると(ステップS827/YES)、ID番号に対応する正規の依頼人からの依頼人情報の送信要求と判断し、暗号化された依頼人情報のデータベース25からの取得を許可する(ステップS828)。データベース25からの暗号化された依頼人情報の取得が許可されると、データベースサーバ24は、依頼人情報の種別を受信している場合は依頼人情報の種別とID番号と関連付けられて記録される暗号化された依頼人情報をデータベース25から抽出し(ステップS829)、復号化システム12に送信する(ステップS830)。一方、依頼人情報の種別を受信しなかった場合は依頼人のID番号と関連付けられて記録される暗号化された依頼人情報をデータベース25から抽出し(ステップS829)、復号化システム12に送信する(ステップS830)。
復号化システム12の復号化回路14は、データベースサーバ24から暗号化された依頼人情報を受信すると、端末31の意思確認システム32から送信された依頼人の生体情報のデータ列を秘密鍵として用いて、暗号化された依頼人情報を復号化する(ステップS831)。なお、ステップ831では、依頼人のICカードから読み取った生体情報のデータ列を秘密鍵として用いて、依頼人情報を復号化したが、依頼人情報が依頼人のICカードから読み取ったID番号のデータ列を秘密鍵として暗号化されている場合、復号化回路14では依頼人のICカードから読み取ったID番号のデータ列を秘密鍵として用いて、依頼人情報を復号化する。復号化された依頼人情報は、端末11の表示部7に表示、またはデータ出力部10から出力される。
上述の構成によれば、ICカードにID番号及びICカード正規保有者の生体情報のみが記録されるため、ICカードを紛失した場合でも誰のICカードであるかを容易に特定できず、ICカードに記録されているID番号及び生体情報が悪用される可能性を低減することができる。
また、代理人は、依頼者情報の代理登録又は代理取得を依頼した依頼者のアドレス情報を記憶しておく必要がないため、本システムの利便性を向上させることができる。