以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。
本発明は、デジタルコンテンツを配信するコンテンツ配信サービスシステムであって、特に、複数の事業者が共同で提供するサービスにおいて、視聴者のプライバシーを保護しながら、視聴者の動向を分析してサービス内容向上に反映させるという目的に対して、次の実運用可能なシステム構成を提供することにより実現した。
本発明のコンテンツ配信サービスシステムにおいては、ネットワークに接続されたポータルAサーバ、ポータルBサーバ、識別データサーバ、A顧客マスターデータサーバ、管理サーバB、コンテンツ配信サーバ、ライセンス発行サーバ、アクセスログサーバ、視聴者端末を備え、1つまたは複数の事業者が運営する。
さらに、A顧客マスターデータサーバにユーザの属性情報を格納し、その属性情報に基づく2種類の識別データaおよび識別データbを生成し、識別データサーバに識別データa、視聴者端末に識別データbを格納する。属性認証の要求があったとき、識別データaと識別データbの照合により、認証を行う。
さらに、A顧客マスターデータサーバのユーザと関係付けて、仮名情報を生成し、識別データサーバに格納する。ここで、ユーザからポータルBで仮名情報を使いたいという利用要求がポータルAにあったとき、ユーザに仮名情報を託して、ポータルBでの利用を許諾する。
さらに、ユーザは、その仮名情報の利用許諾をポータルBから取得すると、仮名のまま、ポータルAポータルBの両方のサービスを連携させて行う。
さらに、サービス連携されたコンテンツ配信サービスにおいて、コンテンツの視聴時に、ユーザの来歴として、アクセスログサーバに仮名ID、時刻、コンテンツID、識別データなどを記録する。収集したアクセスログを分析し、視聴率、コンテンツ同士の相関の計算を行う。得られたユーザ動向、嗜好は、コンテンツ生成企画に反映させるとともに、料金体系、サービス内容を記述する索引画面体系に反映させ、サービスを向上させる。
(実施の形態1)
図1〜図6により、本発明の実施の形態1に係るコンテンツ配信サービスシステムの構成および動作について説明する。図1は本発明の実施の形態1に係るコンテンツ配信サービスシステムの構成を示す構成図、図2はコンテンツ配信サービスシステムのポータルサーバおよび視聴者端末の構成を示す構成図、図3はコンテンツ配信サービスシステムのアクセスログサーバの構成を示す構成図、図4はアクセスログサーバのアクセスログ管理画面を説明するための説明図、図5はA顧客マスターデータサーバ、識別データサーバ、管理サーバBのデータベースのテーブルを説明するための説明図、図6はコンテンツ配信サーバのコンテンツ属性情報DBにおけるテーブルを説明するための説明図である。
まず、コンテンツ配信サービスシステムとしては、事業者A(放送局)の保有する映像コンテンツを事業者B(ISP:Internet Service Provider)に貸与し、ISPが主体となって事業を行うコンテンツ配信サービスを想定する。以下、単にコンテンツといったときに、本実施の形態では映像コンテンツを示すが、本実施の形態は映像コンテンツに限らず、静止画、音楽、文書など多様なコンテンツに対して適用可能である。
コンテンツ配信サービスシステムは、図1に示すように、ネットワークに接続されたポータルAサーバ101、ポータルBサーバ108、識別データサーバ103、A顧客マスターデータサーバ104、管理サーバB105、コンテンツ配信サーバ106、ライセンス発行サーバ107、アクセスログサーバ102、視聴者端末109、通信インフラ110から構成する。
視聴者端末109の利用する通信インフラ110として携帯電話の通信網を利用することにより、視聴者端末109と前記サーバ群はインターネット111を介して接続できる。全国に複数の無線網基地局113が配置され、視聴者端末109と無線網基地局113が接続可能であり、視聴者端末が接続した無線網基地局113は固定網接続装置112を介してインターネット111に接続されている。通信インフラ110には、課金、料金徴収代行のための基本機能が備えられており、利用者のサービス利用状況に応じた課金、対価徴収代行、事業者A、事業者B間の収入分配の決済を自動的に行うことができる。あるいは、視聴者端末109としてPC(Personal Computer)や情報家電機器を利用し、通信インフラ110として、光ファイバー網、ADSL網、専用線などのインターネット接続設備を利用してもよい。
事業者A(放送局)が下記のサーバを運営する:
・ポータルAサーバ101
・識別データサーバ103
・A顧客マスターデータサーバ104
・アクセスログサーバ102
ポータルAサーバ101は、仮名を用いたサービス連携を行うID連携A手段114、個人情報を含んだユーザ情報の中から特定の属性だけを認証する属性認証A手段117、盗聴防止、改ざん防止のためのA暗号復号手段115、属性認証に用いる識別データを処理する識別データ計算手段116を備える。識別データサーバ103は、識別データ管理手段118、識別データDB(Database)119を備える。A顧客マスターデータサーバ104は、A顧客データ管理手段120、プライバシー保護が必要となるユーザ情報を格納したA顧客マスタDB121を備える。アクセスログサーバ102は、アクセスログ分析手段131、アクセスログDB132を備える。アクセスログの記録は、属性認証時に行う。
事業者B(ISP)が下記のサーバを運営する:
・ポータルBサーバ108
・管理サーバB105
・コンテンツ配信サーバ106
・ライセンス発行サーバ107
ポータルBサーバ108は、仮名を用いたサービス連携を行うID連携B手段125、個人情報を含んだユーザ情報の中から特定の属性だけを認証する属性認証B手段127、盗聴防止、改ざん防止のためのB暗号復号手段124、サービス提供手段126を備える。管理サーバB105は、B顧客データ管理手段122、プライバシー保護が必要となるユーザ情報を格納したB顧客DB123を備える。コンテンツ配信サーバ106は、コンテンツの暗号化を行い、要求に応じてコンテンツを配信するコンテンツ管理手段129、番組の属性128や番組のコンテンツ128を備える。
ここで、A顧客マスタDB121内のユーザ情報と、B顧客DB123のユーザ情報の指し示すユーザが同一人物であっても、事業主体が異なるため、誤字脱字などを含め、2種類のユーザ情報は、微妙に異なる表現、情報構造をしている可能性があり、従来、照合が難しかった。また、仮に、住所や生年月日などの属性を用いてDB同士の照合を行うには、その個人情報を他の事業者に送信する必要があり、個人情報が漏洩する脅威を伴うため、難しい。本実施の形態では、仮名IDを用いて、A顧客マスタDB121内のユーザ情報と、B顧客DB123のユーザ情報の指し示すユーザが同一人物であることを照合する。
A顧客マスターデータサーバ104には、ユーザの属性情報を格納する。その属性情報に基づく2種類の識別データaおよびbを生成し、識別データサーバ103に識別データa、視聴者端末109に識別データb(秘密情報)をそれぞれ格納する。ポータルAサーバ101に対して属性認証の要求があったとき、aとbの照合により、認証を行うことができる。ユーザの属性情報は事業者A単独で提供している別サービスの会員資格の有無をいう。ユーザの属性情報は、年齢、住所などの属性であってもよい。
ポータルAサーバ101では、A顧客マスターデータサーバ104の管理するユーザ情報と関係付けて、仮名情報を生成し、識別データサーバ103に格納する。仮名情報は、ユーザに対して一意に付与された仮名IDを含む。ここで、ユーザからポータルBサーバ108で同じ仮名情報を使いたいという利用要求がポータルAサーバ101にあったとき、ユーザに仮名情報を託して、ポータルBサーバ108での利用を許諾する。さらに、ユーザは、その仮名情報の利用許諾をポータルBサーバ108から取得すると、仮名のまま、ポータルAサーバ101ポータルBサーバ108の両方のサービス機能を連携させたサービスを受けることができる。
ポータルBサーバ108では、サービス提供手段126により、コンテンツ配信サービスの全体の窓口となって、ユーザにコンテンツの選択、配信、課金などのサービスを行う。あるユーザが事業者Bだけのサービスに加盟する会員である場合と、事業者A、B両方のサービスに加盟する会員である場合とを上記属性認証を用いて区別し、事業者Bでのサービス内容をユーザごとにレベル分けして提供することができる。具体的には、事業者Aでの会員資格を属性認証し、認証結果に応じて、ユーザがアクセス可能なコンテンツの数を変える。また別の例では、住所属性を認証し、大阪に住む人が見る映像と東京に住む人が見る映像を変えるなどの地域性を反映させたサービス提供が可能である。あるいは、属性認証を用いなくとも、ユーザ認証や端末認証の技術と組み合わせてもよい。例えば、セキュアなメモリ領域に秘密情報を格納したメモリカードを視聴者端末109に挿入し、サーバと通信することにより機器認証できる。
コンテンツ配信サーバ106は、暗号鍵でコンテンツ128を暗号化し、暗号化コンテンツを認証された視聴者端末109に対して配信する。ライセンス発行サーバ107は、認証された視聴者端末109に対して、コンテンツ128の復号鍵が含まれたライセンス情報を配信する。視聴者端末109ではライセンス情報を用いてコンテンツ128を復号し、視聴することができる。このようなDRM(Digital Rights Management)技術を適用することは一般に容易に実現できる。
事業者A、B間でサービス連携されたコンテンツ配信サービスにおいて、コンテンツの視聴時に、ユーザの来歴として、アクセスログサーバ102に仮名ID、時刻、コンテンツID、識別データなどを記録する。収集したアクセスログを分析し、視聴率、コンテンツ同士の相関の計算を行う。他にも顧客関係管理(CRM:Customer Relationship Management)が容易に実現できる。得られたユーザ動向、嗜好は、コンテンツ生成企画に反映させるレポートを出力するとともに、料金体系、サービス内容、索引画面体系などに自動的に反映させ、サービスを向上させることができる。
ポータルAサーバ101は、図2に示すように、事業者A用の公開鍵・秘密鍵209、事業者Bと交換した事業者B公開鍵208を具備し、さらに、下記の制御手段を備える。
・ユーザ画面制御A手段203
・識別データ更新手段202
・A初期登録手段210
・A_ID認証手段204
・P_ID認証手段205
・ID連携A手段207
・属性照合A手段206
・DB制御A手段201
ポータルBサーバ108は、図2に示すように、事業者B用の公開鍵・秘密鍵215、事業者Aと交換した事業者A公開鍵214を具備し、さらに、下記の制御手段を備える。
・ユーザ画面制御B手段218
・B初期登録手段217
・B_ID認証手段216
・ID連携B手段213
・属性照合B手段212
・DB制御B手段231
視聴者端末109は、暗号化コンテンツを復号鍵により復号して、あるいは平文の映像コンテンツを視聴するコンテンツビュアー226、HTML(HyperText Markup Language)ベースの言語で記載されたサーバの提供する画面情報を表示するブラウザ227、ライセンス発行サーバ107から発行されるライセンス(コンテンツ復号鍵を含む)を受信するライセンス取得手段228を備える。さらに、視聴者端末109はB_ID、A_IDなどのローカル保存情報229を保持する。ローカル保存情報229と秘密情報130は技術的に等価である。
A_IDは事業者Aが、コンテンツ配信サービスの利用者に対して付与するIDである。事業者Bは、A_IDの存在に直接的に関与しない。A_ID認証手段204により、事業者Aは、A_IDを知っている、あるいは保有している利用者が正当な利用者であることを認証する。A_ID認証手段204では、A_IDと組み合わせたパスワードの入力を利用者に求めてもよい。
B_IDは事業者Bが、コンテンツ配信サービスの利用者に対して付与するIDである。事業者Aは、B_IDの存在に直接的に関与しない。B_ID認証手段216により、事業者Bは、B_IDを知っている、あるいは保有している利用者が正当な利用者であることを認証する。B_ID認証手段216では、B_IDと組み合わせたパスワードの入力を利用者に求めてもよい。
P_IDは、コンテンツ配信サービスの利用者の仮名IDであり、これを事業者Aと事業者Bが共有することにより、連携サービスを行う。すなわち、ある1人の利用者は、事業者AからA_IDを付与され、事業者BからB_IDを付与される。P_IDは事業者AのID連携A手段207によってA_IDと関係付けられる。また、P_IDは事業者BのID連携B手段213によってB_IDと関係付けられる。P_IDの発行管理は本実施の形態では事業者Aで行うが、事業者Bで行ってもよい。
ここで、事業者Aと事業者Bの連携によって成立するサービスを提供するときの流れについて説明する。第1に、利用者Xは、事業者AのA_ID認証手段204により、正当な利用者であることを認証してもらった後に、仮名ID(P_ID)を発行してもらう。仮名IDは事業者Bの公開鍵208で暗号化され、暗号化仮名ID情報として利用者Xに渡される。
このため、通信回線を盗聴しようとする者Yがいたとしても、また、利用者X自身の手によっても、仮名IDの情報を見ることができない。第2に、利用者Xは、事業者Bに対してB_ID認証手段216での認証を受けて正当な利用者であることを認証してもらった後に、暗号化仮名ID情報を事業者Bに渡す。事業者Bは、B_IDで管理されている利用者Xが保有する暗号化仮名ID情報を受け取る。事業者B秘密鍵215を用いて復号して、仮名IDを抽出できる。第3に、利用者は、事業者Aの管理する属性情報に基づく事業者Bのサービス提供を要求する。属性照合B手段212により、仮名IDを用いて、利用者Xの属性情報を事業者Aに照会し、事業者Aの属性照合A手段206により、属性認証を受ける。
事業者Bはサービス提供手段221により、コンテンツ配信サーバ106、ライセンス発行サーバ107を適切に制御する。これにより、属性認証結果に応じた適切なサービスを提供することができる。
サービスの利用に際しては、ユーザは視聴者端末109操作により、ポータルBサーバ108およびコンテンツ配信サーバ106での諸手続きを行う。ユーザが見たいコンテンツを選択すると、コンテンツを一意に特定するコンテンツID(C_ID)がサーバ側の処理として選択される。ポータルAサーバ101の属性認証を要するコンテンツの場合、ポータルBサーバ108側のID連携B手段213、属性認証手段220の手続きを経て、ユーザは明示的にあるいは暗黙のうちにポータルAサーバ101での認証手続きを受ける。このときに、ポータルAサーバ101で取得可能なログをアクセスログサーバ102に記録する。
アクセスログサーバ102は、図3に示すように、アクセスログ分析手段131とアクセスログDB132を備える。さらに、アクセスログ分析手段131は、下記の機能ブロックを備える:
・管理画面/集計手段321
・視聴ログ一覧表示手段322
・視聴ログ集計表示手段323
・相関表示手段324
・視聴数集計手段319
・相関値集計手段320
アクセスログDB132は、アクセスログテーブル301、中間テーブル302、視聴数テーブル303、相関テーブル304を備える。アクセスログテーブル301には、ログID305、コンテンツID306、仮名ID307、日付308、識別データ有効性判定結果309を格納する。識別データ有効性判定においては、視聴者端末109に保持する識別データを受け取り、識別データサーバ103内の属性と照合することにより、判定を行う。中間テーブル302には、集計のために仮名ユーザごとのコンテンツ視聴履歴を格納する。
視聴数テーブル303には、コンテンツIDごとの視聴数を格納する。相関テーブル304には、コンテンツIDごとの相関の計算結果を格納する。本質的なログ情報は、アクセスログテーブル301である。中間テーブル、視聴数テーブル、相関テーブルは、アクセスログ分析手段内のメモリ上に保持することにより、アクセスログテーブルから直接、視聴数集計結果や相関計算結果を出力してもよい。
管理者は、アクセスログ分析手段131により、管理画面/集計手段321にアクセスし、管理画面/集計手段321を呼び出す。管理画面/集計手段321は、さらに、視聴数集計手段319、相関値集計手段320を呼び出し、中間テーブル302の値から、視聴数、相関を計算し、その結果を、それぞれ視聴数テーブル303、相関テーブル304に格納する。
管理者は視聴ログ一覧表示手段322を用いて、アクセスログテーブル301の一覧を見ることが出来る。管理者は視聴ログ集計表示手段323を用いて、視聴数テーブル303の一覧を見ることが出来る。管理者は相関表示手段324を用いて、相関テーブル304の一覧を見ることが出来る。
コンテンツ同士の相関の計算には多様な計算方法が利用可能である。相関の指標には、信頼度(Confidence)、支持度(Support)、リフト値(Lift)がよく用いられる。コンテンツX、コンテンツYの相関を計算するとき、信頼度Cは相関の強さを表し、Xの履歴に続けてYの履歴がある割合のパーセント表示である。支持度Sは、データベース全体DでX、Yの組み合わせが起こる割合を示す指標である。リフト値は、信頼度を期待信頼度で割った値である。それぞれ、下式により計算できる。
C=P(X&Y)/P(X)
S=P(X&Y)/P(D)
L=C/P(Y)
信頼度が高いXとYの組み合わせは、それが当たり前の組み合わせであることを示す。支持度が高い組み合わせは、全顧客に対する影響度が大きいことを示す。リフト値が高いものは組み合わせ利用が多いことを示す。これらの計算結果を、コンテンツの相関として出力表示してもよい。値の大きいもの、小さいものに対してしきい値を定め、しきい値を超えるものをノイズとして出力制御することもできる。ここで、一定のしきい値を超えて、有効な相関関係を持つコンテンツX、Yの情報が得られたとき、この情報をレポートすると共に、サービス向上施策として、自動的にサービスを提供することもできる。
例えば、Xを見たユーザのうち、まだYを見ていないユーザを特定し、コンテンツYを見るようプロモーションすることができる。このとき、個人情報の利用許諾を得た前提において、仮名情報に連携させて連絡先メールアドレスも一緒に管理することにより、自動的にプロモーションメールを送信することができる。また、ポータルサイトにユーザがアクセスしてきたときに、お勧めコンテンツとして、ウェルカムページにコンテンツYの情報を自動的に掲示することもできる。
別の例では、複数のコンテンツをセット販売、あるいは、お買い得パックのようなサービス提供方法を取るとき、どのコンテンツ同士を組み合わせることが、ユーザメリットにつながるか、上記相関計算の結果によって、自動的に組み合わせ商品を生成することもできる。
さらに別の例では、仮名ユーザ一人あたりの視聴数を集計することにより、ひとりのユーザが週に何回、何時間、コンテンツを視聴したかを集計することができる。それらユーザの動向を、相関分析することにより、いくつかのグループ分けをすることができる。ユーザに対する課金形態として、従量課金を行うとき、コンテンツ何個まではいくら、という価格設定がよくなされるが、ユーザ動向分析により、この「何個」という数字がいくらがよいかを自動的に算出することができるため、ユーザの利用状況に応じた課金方法の切り替えを適切に行うことができる。
コンテンツ同士の相関以外にも、顧客関係管理として、ユーザ間の別の相関も計算できる。2つのデータ列p={pi}、q={qi}があたえられたとき、2つのデータ列の間の相関(類似性の度合い)を示す統計学的指標として、相関係数rが計算できる。 中間テーブルのコンテンツ視聴履歴を照合することにより、ユーザ同士の嗜好の類似性を評価できる。ここまでの実施例の説明においては、ユーザ情報は仮名であるが、同じ嗜好を持った人がどういうグループを特定したいという分析利用場面も想定される。そのような場合には、あらかじめ仮名情報として、仮名ID以外に、分析に必要となるユーザ属性を付与して扱えば、分析可能となる。例えば、住所や年齢の属性を付与して、仮名IDとペアにして管理しておくと、特定の嗜好を持つグループが、地域性に基づくものであることや、世代に基づくものであることが分析できる。
アクセスログサーバの管理画面は、図4に示すように、管理者がアクセスログサーバの所定の機能を選択すると、管理画面401が出力される。集計操作を選択すると、集計処理が行われた画面402を出力し、元の画面401に戻ることができる。アクセスログ一覧表示を選択すると、一覧403が表示される。アクセスログ集計を選択すると、集計結果404が視聴数の多いもの順に出力される。少ないもの順にソートしなおすこともできる。相関表示を選択すると、相関の計算結果405が出力される。これらの表示に際しては、直近24時間だけの集計計算としたり、過去1ヶ月分を集計計算としたりするなど、ログ分析対象期間を指定することができる。また、計算結果をグラフ表示してもよい。
出力表示にあたっては、コンテンツID306をキーとして、コンテンツ属性情報DB223に照会し、コンテンツのタイトル、サブタイトルなどのコンテンツ属性を照会することにより、わかりやすい画面を構成できる。
識別データサーバ103は、ポータルAサーバ101、A顧客マスターデータサーバ104からアクセスされる。A顧客マスターデータサーバ104は、識別データサーバ103と連携動作する。管理サーバB105は、ポータルBサーバ108からアクセスされる。
A顧客マスターテーブル501は、A顧客マスターデータサーバ104のA顧客マスタDB121に備えられる。A顧客マスターテーブル501には、図5(a)に示すように、ユーザの個人情報を含むユーザ情報を格納する。A顧客マスターテーブル501のフィールドには、視聴者ID504、パスワード505、氏名506、性別507、生年月日508、郵便番号509、住所510、電話番号511、識別フラグ512、更新日時513、予備514を備える。
ここで、本実施の形態で事業者Bと連携して行うコンテンツ配信サービスとは別に、事業者A独自に提供するサービスVを行っており、視聴者ID504は、サービスVの中でユーザに対して一意に付与したIDを示す。識別フラグ512は、このサービスVの会員に入会しているかどうかを示すフラグである。本実施の形態では、識別フラグ512のYES/NOの属性をもって、属性認証を行うが、別の属性を用いてもよいし、多ビットの識別フラグを用いてもよい。
識別データテーブル502は、識別データサーバ103の識別データDB119に備えられる。識別データテーブル502のフィールドには、図5(b)に示すように、視聴者ID515、A_ID516、仮名ID(P_ID)517、顧客識別データ518、乱数519を備える。A_ID516は、コンテンツ配信サービスにおいて、事業者Aがユーザを一意に特定するために、ユーザに付与するIDである。P_ID517は、コンテンツ配信サービスにおいて、事業者Aが事業者Bと連携してサービス提供するために、ユーザに対して仮名情報を付与する際に、仮名として一意なIDを付与したものである。
本実施の形態では、事業者Aが仮名情報を付与するが、事業者Bが付与してもよい。仮名ID以外に住所510などの仮名情報があれば、識別データテーブル502に追加フィールドを設けて格納してもよい。
B顧客テーブル503は、管理サーバB105のB顧客DB123に備えられる。B顧客テーブル503のフィールドには、図5(c)に示すように、B_ID520、端末固有番号521、P_ID522を備える。B_IDは、コンテンツ配信サービスにおいて、事業者Bがユーザを一意に特定するために、ユーザに付与するIDである。端末固有番号521は、事業者Bが端末認証を行うために登録しておく番号であり、ユーザがポータルBサーバ108にアクセスする際には、視聴者端末109に対して一意に付与された端末固有番号を送信し、サーバに格納されている端末固有番号521と照合することにより、アクセス制御やセッション管理に利用できる。P_ID522は、コンテンツ配信サービスにおいて、事業者Aが事業者Bと連携してサービス提供するために、ユーザに対して仮名情報を付与する際に、仮名として一意なIDを付与したものである。
本実施の形態では、ユーザが事業者Aから付与され、視聴者端末109に格納された暗号化仮名情報を復号化、抽出し、DB123に格納しておくものである。なお、前記フィールド以外に事業者Bが独自に収集及び管理する氏名、住所等の追加フィールドを当該テーブル内もしくは当該テーブルと対応づけて別テーブルとして管理することとしてもよい。
コンテンツ属性情報テーブル609は、図6に示すように、コンテンツID601、ジャンル602、タイトル名603、シリーズ名604、副題名605、放送日606、内容時間607のフィールドを備える。さらに、出演、内容、ファイル名などのコンテンツの属性を同じフィールドに備えてもよいし、これらと対応付けて管理可能な別テーブルに備えてもよい。
次に、図7〜図12により、本発明の実施の形態1に係るコンテンツ配信サービスシステムで用いるプロトコルおよび処理フローについて説明する。図7〜図12は本発明の実施の形態1に係るコンテンツ配信サービスシステムで用いるプロトコルおよび処理フローを示す図であり、図7は初期設定のプロトコルおよび処理フロー、図8は会員登録のプロトコルおよび処理フロー、図9は事業者間IDの紐付けのプロトコルおよび処理フロー、図10はエンドユーザがサービスを受けるプロトコルおよび処理フロー、図11は情報更新(視聴者端末)のプロトコルおよび処理フロー、図12は情報更新(サーバ)のプロトコルおよび処理フローを示している。
それぞれの詳細なプロトコルの説明に先立って、本実施の形態で用いるID体系による識別方法の整理を行う。あるユーザXに対して、用途や場面に応じた4種類のID、すなわち、A_ID516、V_ID(視聴者ID)504、P_ID517、B_ID520を付与する。さらに、視聴者端末109にはあらかじめ端末固有番号521を付与しておく。
事業者AはA_ID516、V_ID(視聴者ID)504、P_ID517を付与し、事業者BはB_ID520を付与する。A_ID516は、本実施の形態のコンテンツ配信サービスにおいて、事業者AがユーザXを識別するために付与する。V_ID(視聴者ID)504は、事業者Aが事業者Bと独立に行うサービスVにおいて、ユーザXがサービスVの会員であるときに、事業者Aが付与する識別情報である。
なお、このサービスVの会員資格について、ユーザXの属性を認証する手続きを後で詳細に説明する。P_ID517は、本実施の形態のコンテンツ配信サービスにおいて、事業者A(ポータルA)、事業者B(ポータルB)の間で連携した処理を進める際において、ユーザXを特定するために用いる。このID連携処理の詳細についても、後で詳細に説明する。B_ID520は、事業者BがユーザXを識別するために付与する。
まず、初期設定のプロトコルは、サーバ側で鍵交換を行うことにより、サーバ同士の通信において、通信路がインターネットを介した通信、あるいは、ユーザの視聴者端末を介した通信においても、情報の暗号化により、情報盗聴や改ざんを防止できる。
事前に登録された端末固有番号認証を経て、A_ID、B_IDの初期登録を行うことにより、視聴者端末の個別化処理を行うことができる。これらの個別化処理は、端末個別化抹消処理により、個別化以前の状態に復元することができる。これらは、事業者の手によって、あらかじめセットアップ済みの視聴者端末を、ユーザに配布あるいは販売する場合の事業者のセットアップ作業に利用できるプロトコルである。
サーバ初期登録のプロトコルおよび処理フローは、図7(a)に示すように、ステップ701において、ポータルAサーバ101では、ポータルAの公開鍵K_Ap、ポータルAの秘密鍵K_Asを作成し、ステップ702において、ポータルBサーバ108では、ポータルAの公開鍵K_Bp、ポータルAの秘密鍵K_Bsを作成し、それぞれの公開鍵(K_Ap、K_Bp)を交換する。
また、端末個別化のプロトコルおよび処理フローは、図7(b)に示すように、ステップ703において、利用者から端末個別化要求があったとき、利用者Xから端末固有番号を受け取り、ポータルBサーバ108に端末固有番号認証を委託する。
ステップ704で、端末固有番号認証処理を行い、結果をポータルAサーバ101に返信する。
ステップ705において、ポータルAが利用し、事業者Aが利用者Xを一意に特定するA_IDを発行し、視聴者端末109のメモリ領域に登録する。
ステップ706において、利用者Xは続けてポータルBサーバ108にアクセスし、事業者Bが利用者Xを一意に特定するB_IDを発行し、視聴者端末109のメモリ領域に登録する。
ステップ707において、事業者Aには、事業者Bでの個別化処理が済んだ連絡を受け、初回登録手続きを完了する。
ステップ703〜ステップ707では、サービス利用前にあらかじめA_ID、B_IDを視聴者端末109に初期設定する一例を示したが、これらのステップは、それぞれ個別に、一連のコンテンツ配信サービス利用手続きの流れの中で利用してもよい。
また、端末個別化抹消のプロトコルおよび処理フローは、図7(c)に示すように、ステップ708において、利用者XからポータルA再設定登録要求を受けると、視聴者端末109のメモリ領域に登録されたA_IDを消去する。
ステップ709において、ポータルA側の処理が終わると、画面制御をポータルB側にゆだねる。
ステップ710において、利用者XからポータルB再設定登録要求を受けると、視聴者端末109のメモリ領域に登録されたB_IDを消去する。
ステップ711において、再設定登録処理を終える。
また、事業者Bの行うコンテンツ配信サービスにおいて、ユーザが利用登録する時のプロトコルおよび処理フローとしては、図8に示すように、ステップ801、ステップ802において、視聴者ID、パスワードを画面から入力することにより、アクセスしてきたユーザを認証する。A顧客マスタDBのA顧客マスターテーブル501にある視聴者ID504、パスワード505と利用者からの送信内容を照合する。あるいは、A_IDに対応した、パスワードをあらかじめ登録、利用してもよい。
ステップ807において、視聴者端末109内のメモリあるいはセキュアな外部記憶媒体などに属性認証に用いる情報を格納する。
ステップ802において、ステップ803により乱数rを生成し、ステップ804において、識別データ(a、b)を作成する。A顧客マスタDBのA顧客マスターテーブル501にある視聴者ID504に対応する識別フラグ512の値F(1/0:それぞれ会員資格あり/無しの意味)を参照する。一方向性関数HASH()、文字列結合演算子(|)を用いて、2つの識別データa、bを下式により計算する。
a=HASH(r|F)
b=HASH(r|1)
利用者Xの視聴者ID504に対応した識別フラグ512の値Fが「1」の場合、利用者Xは会員資格があり、aとbの値は一致する。「0」の場合、利用者Xは会員資格がなく、aとbの値は一致しない。一方向性関数を使っているので、乱数rの値を知らない限り、aの値からFの値を知ることはできない。このため、例えば、識別データaの値を第3の事業者に委託して管理運用しても、会員資格を識別する個人情報Fが安全に保護できる。なお、一方向性関数の内部の文字列結合対象に、さらにA_IDなどを加えてもよい。
aは、識別データサーバ103の識別データDB119の識別データテーブル502の顧客識別データ518に格納する。bは視聴者端末109に格納する。このとき、bは属性認証に用いる識別データであり、これと、認証に用いる有効期限を示す情報を連結させ、事業者Aの公開鍵で暗号化したものが、K_Ap(b、有効期限)である。事業者Aの秘密鍵を保有するポータルAサーバ101でのみ、この情報は復号化可能であり、bを抽出できる。ステップ805において、この暗号化の処理を行う。
ステップ805の出力におけるA_ID情報については、視聴者端末内に初期設定されたA_IDを利用してもよいし、視聴者IDに対応付けて、新規にA_IDを発行登録した上で、視聴者端末に格納(Cookie登録)してもよい。
また、仮名情報を用いた事業者間IDの紐付けのプロトコルおよび処理フローとしては、図9に示すように、「仮名情報を用いてポータルBサーバ108とポータルAサーバ101の連携をさせたサービスを受けたい」という要求があった場合に、ユーザは、A_IDを利用してポータルAにアクセスする。
ステップ901において、ポータルAサーバ101では、仮名情報を生成し、A_IDと対応付けて、仮名ID(P_ID)を識別データテーブル502に登録する。ここで、個人情報の活用に対してユーザの許諾があり、仮名情報として仮名ID以外に利用可能な情報があれば、A顧客マスターテーブル501の内容の一部(例えば住所)を一緒に対応付けてもよい。このとき、識別データテーブル502に住所などを格納するフィールドを追加する。
さらに、ポータルAサーバ101では、ステップ902において、このP_IDを事業者Bの公開鍵208で暗号化したK_Bp(P_ID)を作成する。K_Bp(P_ID)は、事業者Bの秘密鍵215によってのみ復号化可能であり、ポータルBサーバ108でのみ、このP_IDを抽出できる。K_Bp(P_ID)は、ユーザを介して、ポータルBサーバ108に運んでもらう。ユーザは、B_IDを利用してポータルBサーバ108にアクセスする。ポータルBサーバ108では、ステップ904において、暗号を復号化してP_IDを抽出した後、B_IDと対応付けて登録する。ここで、個人情報の活用に対してユーザの許諾があり、仮名情報として仮名ID以外に利用可能な情報があれば、B顧客テーブル503を拡張し、一緒に対応付けてもよい。
また、サービスのプロトコルおよび処理フローとしては、図10に示すように、ステップ1001において、ユーザは、ポータルBサーバ108にアクセスし、端末固有番号認証処理および/あるいはB_ID認証手段216による処理216を経る。
その後、ステップ1002において、コンテンツ一覧を取得できる。コンテンツ一覧はコンテンツ配信サーバ106が管理するコンテンツ属性情報DB223から作成される。ユーザが視聴したいコンテンツを選択すると、コンテンツIDが特定される。
ステップ1004において、ポータルBサーバ108は、ポータルAサーバ101に対して、属性認証要求を出し、K_Ap(b、有効期限)、 K_Ap(P_ID)、C_IDを送信する。なお、K_Ap(P_ID)は、ステップ1005において、事業者Aの公開鍵214でP_IDを暗号化したものである。
ステップ1006において、ポータルAでは、仮名ID(P_ID)、コンテンツID(C_ID)などのログ情報をアクセスログサーバ102のアクセスログDB123のアクセスログテーブル301および中間テーブル302に記録する。さらに、事業者Aの秘密鍵K_As209を用いて、K_Ap(P_ID)を復号化してP_IDを抽出し、P_IDに対応してDB(識別データテーブル502)に登録してある識別データaを検索する。さらに、K_Ap(b、有効期限)を復号化してbを抽出する。
ステップ1007において、有効期限の確認、aとbの照合を行った結果をポータルBサーバ108に知らせる。
ステップ1008において、ポータルBサーバ108では、属性認証が通れば、コンテンツID(C_ID)で特定されるコンテンツの視聴許諾が得られたものと考える。
ステップ1009において、コンテンツ配信サーバに対して、コンテンツ配信指示を出す。さらに、必要に応じてライセンス発行サーバにライセンス発行指示を出す。ユーザはコンテンツを視聴できる。
また、情報更新(視聴者端末)のプロトコルおよび処理フローとしては、図11に示すように、事業者Aによって会員資格を取り消される、あるいは、視聴者端末109上の識別データの有効期限が切れるなどの理由から、図10に示すサービス利用時に、属性認証結果がNGになった場合など、視聴者端末109から、登録情報の確認と更新を行うことができる。
ステップ1101においてA_IDを用いてポータルAサーバ101にアクセスし、最新のK_Ap(b、有効期限)を再交付してもらう。ポータルAサーバ101では対応するDB内容(識別データテーブル502)の識別データa518、乱数519を更新する。ステップ1102において、更新された識別データbを視聴者端末に格納する。ステップ1101の基本的な処理は、図8のステップ802の処理と技術的に同様である。
また、情報更新(サーバ)のプロトコルおよび処理フローとしては、図12に示すように、ある視聴者ID504を持つ利用者に対して、識別データa、bの生成に関わる識別フラグ512の更新は、A顧客マスターデータサーバ104のコンソールから、ステップ1201、ステップ1202、ステップ1203によって、管理者の手によってなされる。
ステップ1202において、新しい識別フラグ512が設定されたのち、DB(識別データテーブル502)に格納される識別データa518は、新しいものに更新される。このとき、視聴者端末側に格納されている識別データb130は、古いままなので、属性認証時の照合処理でaとbは異なるという状態になる。
なお、図11に示す視聴者端末を用いた情報更新手続きにより、新しい識別データaに対応した新しい識別データbを視聴者端末109に格納した後に、属性認証が通るようになる。
次に、図13〜図17により、本発明の実施の形態1に係るコンテンツ配信サービスシステムのユーザおよび管理者が行う基本操作について説明する。図13は本発明の実施の形態1に係るコンテンツ配信サービスシステムのユーザおよび管理者が行う基本操作の一覧を示す図、図14〜図17は本発明の実施の形態1に係るコンテンツ配信サービスシステムのユーザおよび管理者が行う各操作の詳細を示す図である。
まず、ユーザおよび管理者が行う基本操作は、図13に示すように、下記の9種類がある。
○操作001
・セットアップ1
(a)ポータルA
(b)ポータルB
○操作002
・セットアップ2(端末の個別化)
○操作003
・サービス利用登録
(a)属性認証の初期手続き
(b)ID連携の初期手続き
○操作004
・会員向け番組の選択(認証OK)〜動画再生ボタン
○動作005
・サーバ/端末の初期化
○動作006
(a)会員向け番組の選択(認証NG)
(b)利用登録更新(認証OK) 〜動画再生ボタン
(c)管理画面(ポータルA)
○操作007
・会員向け番組の選択(認証NG)〜利用登録更新(認証NG)無限ループ〜
○操作008
・端末固有番号認証エラー
○動作009
・識別フラグ更新
操作001および操作002は、図7に示す初期設定の処理の操作が行われる。
操作003は、図14に示すように、サービス利用登録が選択され、サービス利用登録の操作が行われる。
操作004は、図15(a)に示すように、動画配信サービスが選択され、コンテンツの一覧からコンテンツが選択され、P_IDを保有している場合は、再生操作によりコンテンツを再生が行われる。
操作005は、図15(b)に示すように、サーバ/端末の初期化が選択され、コンテンツホルダとISPの初期状態に戻す操作が行われる。
操作006は、図16に示すように、まず、図16(a)に示す操作006の(a)の会員向け番組の選択で識別データ照合NGとなって認証NGの場合、図6(b)に示す操作006の(b)の利用登録更新を行い、A顧客マスターデータサーバ104では、図6(c)に示す操作006の(c)の管理画面の操作が行われる。
操作007は、図17(a)に示すように、会員向け番組の選択で識別データ照合NGで認証NGの場合で、利用登録更新の際も認証NGの場合は、コンテンツフォルダとの利用登録が完了するまでループとなる。
操作008は、図17(b)に示すように、端末固有番号認証エラーの操作の場合は、エラー画面となる。
操作009は、図11および図12に示す情報更新の処理の操作が行われる。
次に、図18〜図20により、本発明の実施の形態1に係るコンテンツ配信サービスシステムの視聴者端末およびサーバの取りうる状態、および状態遷移について説明する。図18は本発明の実施の形態1に係るコンテンツ配信サービスシステムの視聴者端末およびサーバの取りうる状態を示す説明図、図19は本発明の実施の形態1に係るコンテンツ配信サービスシステムの状態遷移を説明するための状態遷移図、図20は本発明の実施の形態1に係るコンテンツ配信サービスシステムの状態遷移の初期状態を説明するための説明図である。
本実施の形態のコンテンツ配信サービスを特徴づける属性情報、仮名情報に関わる主な変数には、端末固有番号、識別フラグ(F)、仮名(P_ID)、識別データ(b)がある。端末固有番号、識別フラグ(F)、仮名(P_ID)はサーバ側に登録され、識別データ(b)は視聴者端末側に登録される。これらの変数の取りうる値の組み合わせにおいて、コンテンツ配信サービスにおけるユーザの状態が、図18に示す10通りに定義できる。更に細かな状態を考慮すると、状態数が増えることも考えられる。
すべてのユーザは初期の状態において、「状態1」(あるいは「状態2」)である。図13に示した基本操作の組み合わせを経て、すなわちユーザの選択、要望に応じて、状態は自在に遷移しうる。最終的に、「状態9」、すなわち、端末固有番号が認可され、識別フラグ(F)が「1」あるいはYesの状態となり、仮名(P_ID)が交付され、識別データ(b)が正しく設定された状態になった後に、「状態10」に状態遷移し、コンテンツ視聴可能となる。
図19に示すように、本実施の形態では、図13の操作002〜操作008の基本操作により、状態1〜状態10の間で状態遷移している。
本実施の形態と少し異なる操作制御、画面制御、DB制御方法によって、これら以外の状態遷移がありえるものの、どの状態からどの状態にでも遷移させることは、容易に実現可能である。
また、状態遷移の初期状態としては、ユーザが取りうる状態は10通りあるものの、一連の画面遷移の中で、ユーザが意識することなく通過する状態も多い。通信エラーなどの障害で中途半端な状態に陥るケースも考えられるものの、通常、画面遷移と状態遷移がユーザの判断により中断し、時間をおいて、再度、サービス利用継続のための操作を再開するような利用場面が考えられる場所は、図20の4つの状態(状態2、5、6、9)である。
ユーザ操作がこの状態から始まるという観点において、上記の画面遷移では、状態継続の趣旨や現在の状態を示す画面を挟むなど、使い勝手向上のための機能拡張をすることができる。
以上のように、本実施の形態では、仮名を用いてポータルAとポータルB間のデータを管理しているため、デジタルコンテンツを配信するコンテンツ配信サービスシステムにおいて、複数の事業者が共同で提供するサービスにおいて、視聴者のプライバシーを保護しながら、視聴者の動向を分析してサービス内容向上に反映させることが可能である。
(実施の形態2)
実施の形態2は、実施の形態1において、仮名IDの扱い方を異なるものとしたものである。
コンテンツ配信サービスシステムの構成は実施の形態1と同様である。
まず、運用上の観点から、仮名IDの種類には、恒久的仮名IDと一時的仮名IDがある。
実施の形態1では、恒久的仮名IDを基本とし、この恒久的仮名IDは、いったん付与されれば、ある程度長い所定期間の間、同一利用者Xには、同一の仮名IDが用いられる。たとえば、会員資格更新期間として1年間利用可能とするなど、有効期間が長い。
一方、一時的仮名IDは、比較的短い所定期間だけ有効なIDであり、同一利用者Xに対して、ある程度長い期間で見たとき、複数の仮名IDが用いられる。一時的仮名IDでは、コンテンツを1回視聴するための1セッションの間だけ有効とするなどの運用が考えられる。本実施の形態では、この一時的仮名IDを用いている。
仮名IDの有効期間の長い短いは、その利用用途にも関わる。視聴率集計の用途の場合、ID有効期間が集計期間より長いものは恒久的仮名ID、短いものは一時的IDと考えることができる。恒久的仮名IDを用いるよりも、一時的仮名IDを用いる方が、盗聴や不正アクセスを行う不正者にとって、情報解読が困難になるという意味で、より安全である。
視聴率集計、コンテンツ同士の相関計算など、ユーザ動向の分析においては、恒久的仮名IDを用いる場合よりも、一時的仮名IDを用いる場合の方が、複雑な処理を要する。
具体的には、データベースに残った一時的仮名IDをキーとするログ情報の中から、その一部が、同一利用者Xの残したログであることを特定する手段が必要となる。また、一時的仮名ID発行時にも、その特定が可能な発行方法が必要である。
一時的仮名IDを用いたユーザ動向分析が実現可能な方法はいくつか考えられる。その第1の方法は、同一の利用者Xに対して発行される一時的仮名IDがn個あったとき、これらをすべて、利用者Xに対応した恒久的仮名IDと対応づけて、データベースに蓄積管理しておくことである。
具体的には、まず、仮名ID管理テーブルとして、恒久的仮名ID、一時的仮名IDをフィールドに備える。次に、一時的仮名IDを発行する際には、A_ID認証手段あるいはP_ID認証手段を経た後に、利用者Xに対して一時的仮名ID(TP_ID)を発行し、仮名ID管理テーブルに、TP_IDを記録する。次に、利用者はTP_IDを用いて、必要なサービスを受けた(コンテンツを視聴する)際に、TP_IDに基づいたレコードが視聴ログとして記録される。最後に、視聴ログから情報を分析する際、恒久的仮名IDに基づいて、同一視聴者のログを集約した集計が可能となる。
一時的仮名IDを用いたユーザ動向分析が実現可能な第2の方法について説明する。説明の準備として下記の変数を定める。
p : 整数の恒久的仮名ID
k : pより大きな素数の秘密情報
r : 乱数
q : 一時的仮名ID
恒久的仮名IDがpの利用者に対して、一時的仮名IDのqを生成するとき、毎回異なる値を生成する乱数生成器を利用して:
q=p+k×r
の計算式により計算する。複数ある一時的仮名IDの中から、同一利用者(恒久的仮名IDがpの利用者)のものを見分けるためには、qをkで割った余りt、すなわち:
t=q mod k
の計算式により求められる計算結果(t)が、恒久的仮名IDのpと一致するかどうかで判別できる。従って、視聴ログから情報を分析する際、恒久的仮名IDに基づいて、同一視聴者のログを集約した集計が可能となる。なお、RSA暗号のセキュリティ同様に、p、k、rに大きな数字を使えば、万一、一時的仮名ID(q)がいくつか情報漏洩しても、恒久的仮名IDを算出することは実質的にできない。まして、恒久的仮名IDに関係付けられたユーザID(A_ID)、さらに、A_IDに関係付けられたV_ID、氏名、電話番号などの情報を知ることはできない。
このように、本実施の形態では、一時的仮名IDを用いることで、より視聴者のプライバシーを保護しながら、視聴者の動向を分析してサービス内容向上に反映させることが可能である。
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。
101…ポータルAサーバ、102…アクセスログサーバ、103…識別データサーバ、104…A顧客マスターデータサーバ、105…管理サーバB、106…コンテンツ配信サーバ、107…ライセンス発行サーバ、108…ポータルBサーバ、109…視聴者端末、110…通信インフラ、111…インターネット、112…固定網接続装置、113…無線網基地局、114…ID連携A手段、115…A暗号復号手段、116…識別データ計算手段、117…属性認証A手段、118…識別データ管理手段、119…識別データDB、120…A顧客データ管理手段、121…A顧客マスタDB、122…B顧客データ管理手段、123…B顧客DB、124…B暗号復号手段、125…ID連携B手段、126…サービス提供手段、127…属性認証B手段、128…コンテンツ、129…コンテンツ管理手段、130…秘密情報、131…アクセスログ分析手段、132…アクセスログDB、201…DB制御A手段、202…識別データ更新手段、203…ユーザ画面制御A手段、204…A_ID認証手段、205…P_ID認証手段、206…属性照合A手段、207…ID連携A手段、208…事業者B公開鍵、209…事業者A公開鍵・秘密鍵、210…A初期登録手段、212…属性照合B手段、213…ID連携B手段、214…事業者A公開鍵、215…事業者B公開鍵・秘密鍵、216…B_ID認証手段、217…B初期登録手段、221…サービス提供手段、226…コンテンツビュアー、227…ブラウザ、228…ライセンス取得手段、229…ローカル保存情報、301…アクセスログテーブル、302…中間テーブル、303…視聴数テーブル、304…相関テーブル、319…視聴数集計手段、320…相関値集計手段、321…管理画面/集計手段、322…視聴ログ一覧表示手段、323…視聴ログ集計表示手段、324…相関表示手段、501…顧客マスターテーブル、502…識別データテーブル、503…顧客テーブル、609…コンテンツ属性情報テーブル。