JP5282879B2 - プライバシ情報保護システムとその方法 - Google Patents

プライバシ情報保護システムとその方法 Download PDF

Info

Publication number
JP5282879B2
JP5282879B2 JP2008310500A JP2008310500A JP5282879B2 JP 5282879 B2 JP5282879 B2 JP 5282879B2 JP 2008310500 A JP2008310500 A JP 2008310500A JP 2008310500 A JP2008310500 A JP 2008310500A JP 5282879 B2 JP5282879 B2 JP 5282879B2
Authority
JP
Japan
Prior art keywords
privacy information
privacy
information
disclosure
program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2008310500A
Other languages
English (en)
Other versions
JP2010134731A (ja
Inventor
祥治 西村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2008310500A priority Critical patent/JP5282879B2/ja
Publication of JP2010134731A publication Critical patent/JP2010134731A/ja
Application granted granted Critical
Publication of JP5282879B2 publication Critical patent/JP5282879B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、プライバシ情報保護システムとその方法に関し、特に、プライバシ情報利用者側でプライバシ情報の開示・秘匿制御を実現するプライバシ情報保護システム、プライバシ情報保護方法、およびそのためのプログラムに関する。
従来のプライバシ情報保護システムの例が、特許文献1(特開2004−102913号公報)、特許文献2(特開2005−099944号公報)に記載されている。
図1に示される第1の従来例では、プライバシ情報保護システムは、個人情報管理部と、利用許可要求管理部と、サービス利用者用入出力部、情報利用希望者用入出力部とを備えている。このような構成を有する従来のプライバシ情報保護システムはつぎのように動作する。すなわち、プライバシ情報利用サービスを受けたい者は、情報利用希望者用入出力部から、利用したいプライバシ情報に対する利用許可を申請し、それが利用許可要求管理部へ蓄積される。一方で、サービス利用者は、サービス利用者用入出力部を介して、利用許可申請に対してプライバシ情報の利用の可否を設定する。これにより、利用許可要求管理部を参照して利用可であれば、プライバシ情報利用者は、個人情報管理部にあるプライバシ情報を閲覧することが可能となる。
また、図2に示される第2の従来例では、プライバシ情報保護システムは、ポリシチェック手段と、エージェント制御手段と、パーソナルプライバシプロキシ手段とから構成されている。このような構成を有する従来のプライバシ情報保護システムはつぎのように動作する。すなわち、プライバシ情報利用者は、プライバシ情報を処理するモバイルエージェントを作成し、どのプライバシ情報を利用するかを記述したプライバシポリシを付与して、それをプライバシ情報提供者の元へ送信する。プライバシ情報提供者は、ポリシチェック手段により、送られてきたプライバシポリシが提供ポリシの範囲内であるかをチェックし、合致すれば、パーソナルプライバシプロキシ手段内でモバイルエージェントを実行する。実行結果は、エージェント制御手段を介してプライバシ情報利用者に返却される。
上記のような従来例では、プライバシ情報利用者にプライバシ情報が渡ってしまった時点で、プライバシ情報はプライバシ情報提供者の管理下から外れている。このため、プライバシ情報提供者がプライバシ情報利用者にプライバシ情報を開示してしまうと二度とそのプライバシ情報に対して制御をかけることができなかった。
また、プライバシ情報利用者からのプライバシ情報を利用するエージェント(プログラム)がプライバシ情報提供者の環境下で動作するので、プライバシ情報提供者側で大規模なインフラが提供されなければ、プライバシ情報を統計処理するなど大規模な計算処理を行うことができなかった。
上記説明と関連して以下の技術を説明する。
特許文献3(特開2005−222155号公報)は機密文書管理装置を開示している。機密文書管理装置は、オペレーティングシステムと、アプリケーションソフトウェアと、デバイスドライバとが搭載され、機密文書を、暗号化することによって保護する機密文書管理装置である。機密文書管理装置は、オペレーティングシステムのメッセージにもとづいて前記アプリケーションソフトウェアの実行状態を推定するアプリケーション実行状態推定手段と、デバイスドライバを用いて文書へのアクセスを検出した場合に、前記アプリケーション実行状態推定手段が推定した実行状態の推定結果にもとづいて、文書を暗号化するか否か、または復号するか否かを判断する処理判断手段とを備えている。
また、特許文献4(特開2008−181290号公報)は、文書管理システムを開示している。文書管理システムは、文書識別情報で特定される文書に対して許容される利用制限を規定した利用制限情報を該文書識別情報に対応して記憶する記憶部を備えている。認証部は、文書の利用者の認証を行い、検索部は、前記利用者により操作される文書に付与された文書識別情報に基づいて当該文書の利用制限情報を前記記憶部から検索する。背制限部は、前記検索部によって検索された前記利用制限情報に基づいて前記認証部によって正当性が確認された利用者の当該文書に対する操作を制限する。付与部は、文書の前記制限部により制限された操作により当該文書から派生する新たな文書が生成された場合は、該新たな文書に新たな文書識別情報を付与する。生成部は、付与部により新たな文書識別情報が付与された文書の派生元文書の利用制限情報に対応する利用制限情報を生成する。記憶制御部は、前記付与部により付与された文書識別情報に対応して前記生成部により生成した新たな利用制限情報を前記記憶部に記憶する。
特開2004−102913号公報 特開2005−099944号公報 特開2005−222155号公報 特開2008−181290号公報
従って、本発明は、プライバシ情報をプライバシ情報利用者に提供したあとでも、プライバシ情報の開示制御が可能であるプライバシ情報保護システムを提供する。
本発明のプライバシ情報保護システムは、操作監視部と、操作割込部と、プライバシ情報開示部と、プライバシ情報開示判定部と、プライバシ情報秘匿部と、派生プライバシ情報登録部とを備え、プライバシ情報を利用するプログラムが実行しようとする操作を監視し、その操作の種類によって、開示可能なプライバシ情報を開示して参照できるようにしたり、漏洩する可能性がある操作に開示されたプライバシ情報を強制的に秘匿したり、操作を置き換えるよう動作する。このような構成を採用し、プライバシ情報を暗号化など秘匿した状態で配布し、プライバシ情報の開示制御をすることにより本発明の目的を達成することができる。
以上のように、プライバシ情報は秘匿された状態で流通され、プライバシ情報を開示するためには、プライバシ情報利用者はプライバシ情報保護システムを導入することが必要である。従って、プライバシ情報がプライバシ情報利用者に渡った後でも開示制御できることにある。
また、開示されたプライバシ情報が漏洩される可能性があるときには、プライバシ情報保護システムによりプライバシ情報は強制的に秘匿化される。このため、プライバシ情報の漏洩なしに、プライバシ情報利用者側で、プライバシ情報を扱うプログラムが実行されることできる。
更に、プライバシ情報を開示、秘匿する毎にその操作が記録されることが可能であるので、どのプライバシ情報が利用されたかをプライバシ情報提供者が確認することができる。
次に、本発明のプライバシ情報保護システムについて添付図面を参照して詳細に説明する。
図3は、本発明の一実施形態によるプライバシ情報保護システムの構成を示すブロック図である。図3を参照して、本発明の一実施形態によるプライバシ情報保護システムは、情報利用端末200と、情報サーバ300と、情報処理ユニット100とを備えている。
情報利用端末200は、プライバシ情報利用プログラム150を実行して、プライバシ情報の参照・加工等の、プログラム150に規定された操作を行う。この例では、プログラム150は、プライバシ情報への操作を行うとき、好ましくは操作を行う前に、操作の内容を情報処理ユニット100に通知する。その通知には、情報利用端末200の利用者の情報と秘匿化プライバシ情報等が添付されている。
情報サーバ300は、秘匿化プライバシ情報160を格納している。秘匿化プライバシ情報160は、プライバシ情報および当該プライバシ情報に関する管理情報を暗号化したデータである。秘匿化プライバシ情報160はプログラム150により読み出される。
情報処理ユニット100は、記録媒体(図示せず)からロードされたプログラムを実行することにより実現され、例えば、中央処理装置、プロセッサ、データ処理装置などで構成されている。情報処理ユニット100は、情報利用端末200で実行されるべき操作を監視し、必要により利用プログラム150に割込みが発行される。プライバシ情報利用プログラム150による操作が開示ポリシに合致すれば、暗号化されている秘匿化プライバシ情報160を復号化して利用可能とする。その操作がプライバシ情報を公開するもの、あるいはその可能性があるものであるときは、利用されているプライバシ情報や、それから派生されたプライバシ情報は秘匿化(暗号化)される。復号化された情報や秘匿化された情報を管理するための情報も保存される。また、利用プログラム150の操作のログも保存される。
情報利用端末200と、情報サーバ300と、情報処理ユニット100との間は、直接接続されていても良いし、またネットワークあるいはインターネットを介して接続されていてもよい。情報処理ユニット100は、情報利用端末200に直接接続されていてもよいし、あるいはその中に組み込まれていてもよい。
再び図3を参照して、本発明の実施形態によるプライバシ情報保護システムの情報処理ユニット100は、プライバシ管理情報格納部110と、開示ポリシ格納部120と、操作ログ格納部130とに接続されている。プライバシ管理情報格納部110は、開示されたプライバシ情報を管理するための情報と、秘匿化されたプライバシ情報を管理するための情報を格納している。開示ポリシ格納部120は、どのプライバシ情報が開示可能であるかが記述された開示ポリシを格納している。操作ログ格納部130は、どのプライバシ情報に対してなされた操作を格納している。以下に詳細に説明する。
プライバシ管理情報格納部110は、図7に示されるように、開示されたプライバシ情報へのポインタ、秘匿化プライバシ情報へのポインタ、管理情報を組として格納している。
開示ポリシ格納部120は、開示ポリシを格納し、開示ポリシはプライバシ情報の識別子、所有者、種別などの秘匿化プライバシ情報に関連する管理情報に関連付けられている。例えば、図6に示されるように、どのプライバシ情報利用者ないしはプライバシ情報利用者グループに対してどのプライバシ情報が開示可能かが格納されている。つまり、開示ポリシは、どのプライバシ情報がどのプライバシ情報利用者に開示可能かということを示すデータであればよい。この例では、開示ポリシは、プライバシ情報の種別とプライバシ情報利用者グループのマトリックスとして保持されている。
操作ログ格納部130は、プライバシ情報利用プログラム150で実行される操作を記録している。操作ログ格納部130の例が図8に示されている。図8を参照して、この例では、1列目は日付、2列目はプライバシ情報の利用者のID、3列目は、操作の種類、4列目以降は、操作の種類ごとにおけるパラメータを示している。1行目は、addressが開示されたこと、2行目は、addressが秘匿化されたこと、3行目は、addressからcodeが派生されたことを示す。なお、ここで、xawxsaaeegsは秘匿化されたaddressの値を示し、ensinaazeeeeは秘匿化されたcodeの値を示す。
図8では、プライバシ情報を示す方法として秘匿化プライバシ情報の値を用いられているが、例えば、各プライバシ情報に対して一意となるIDをふるのであれば、そのIDを代わりに出力してもよい。すなわち、操作ログ格納部130は、誰が、どのプライバシ情報に対して、どのような操作(処理)を行ったのかを記録できるのであれば、その形式はなんでもよい。
また、情報処理ユニット100は、操作監視部101と、操作割込部102と、プライバシ情報開示部103と、プライバシ情報開示判定部104と、プライバシ情報秘匿部105と、派生プライバシ情報登録部106とを備えている。
操作監視部101は、プライバシ情報利用プログラム150の実行を監視し、秘匿化プライバシ情報に対する操作を検出したとき(プログラム150からの操作についての通知を受けたとき)、割込み発生指示を発生し、情報利用端末200の利用者情報と秘匿化プライバシ情報等と共に、操作割込部102に出力する。
操作割込部102は、操作監視部101からの割込み発生指示に応答して、プライバシ情報利用プログラム150の操作に対して割り込みを発生し、該操作をフックし、あるいは該操作を別の操作に置き換える。また、操作が秘匿化プライバシ情報160を参照する操作であると判定されるとき、情報利用端末200の利用者情報と秘匿化プライバシ情報等を送付してプライバシ開示部103に秘匿化プライバシ情報の開示を指示する。また、開示されているプライバシ情報が漏洩する可能性がある操作であると判定されるときは、情報利用端末200の利用者情報等を送付して開示されているプライバシ情報の秘匿化をプライバシ情報秘匿化部105に指示する。漏洩する可能性がある操作は、他のスレッドからも参照可能なフィールドへの代入、フィールドへの参照、メソッドの呼び出し、コンストラクタの生成、メソッドの実行開始、メソッドのリターン、ファイルへの書き込み、ネットワークへの送信などを含んでいる。派生プライバシ情報が存在するときは、情報利用端末200の利用者情報と秘匿化プライバシ情報等を送付して派生プライバシ情報も秘匿化するようにプライバシ情報秘匿化部105に指示する。操作割込部102は、プライバシ情報に対してなされた操作を操作ログ格納部130に格納する。
プライバシ情報開示部103は、情報利用端末200の利用者情報と秘匿化プライバシ情報等をプライバシ情報開示判定部104に送付して、情報利用端末200により利用されるべき秘匿化プライバシ情報が開示されてもよいか否かの判定をプライバシ情報開示判定部104に指示する。秘匿化プライバシ情報が開示可能であると判定されたとき、プライバシ情報開示部103は、秘匿化プライバシ情報を復号化してプライバシ情報を情報利用端末200の利用者に開示する。
プラバシ情報開示判定部104は、情報利用端末200の利用者情報と秘匿化プライバシ情報等をプライバシ情報開示部103から受信して、それらに基づいて開示ポリシ格納部120を検索して、該秘匿化プライバシ情報が開示可能であるか否かを判定する。この例では、図6に示されるように、秘匿化ライバシ情報の種別とプライバシ情報利用者グループに基づいて開示ポリシ格納部120をアクセスする。プライバシ情報の種別がHighで、プライバシ情報利用者グループがHighの場合、このマトリックスではTRUEであるので、このプライバシ情報は開示可能であると判定される。一方でプライバシ情報の種別がHighであるが、プライバシ情報利用者グループがLowである場合、FALSEであるので、プライバシ情報は開示不可と判定される。ここで、プライバシ情報保護システムが、プライバシ情報利用者側とプライバシ情報提供者側とに分離されている場合、接続元を識別することによりプライバシ情報利用者を特定してもよい。
プライバシ情報秘匿部105は、操作割込部102の指示に応答して、格納部110のプライバシ管理情報を参照して、そのプライバシ情報に関連する管理情報を取得し、その管理情報に基づいてプライバシ情報を暗号化して再秘匿化する。
派生プライバシ情報登録部106は、あるプライバシ情報(=派生元プライバシ情報)に基づいて新しいプライバシ情報(=派生プライバシ情報)が生成されたとき、派生元プライバシ情報の管理情報を引き継いで、派生プライバシ情報とその管理情報をプライバシ管理情報格納部110に格納する。
次に、図4のフローチャートを参照して本発明のプライバシ情報保護システムの動作について詳細に説明する。
まず、プライバシ情報利用プログラム150が実行されるとき、操作監視部101はそのプログラム150の実行に伴う操作を監視する(ステップA1)。操作監視部101が秘匿化プライバシ情報160を参照する操作を検出したとき、操作監視部101は割り込み発生指示を操作割込部102に出力する。操作割込部102は、当該プログラム150の実行に対して割込みを発生し、その操作の実行をフックする(ステップA2−1)。
操作割込部102は、プライバシ情報開示部103に秘匿化プライバシ情報の開示を指示する。プライバシ情報開示部103は、当該秘匿化プライバシ情報160を開示してよいかをプライバシ情報開示判定部104に問い合わせる。プライバシ情報開示判定部104は、情報利用端末200の利用者の情報と、秘匿化プライバシ情報160に含まれる当該プライバシ情報に関する管理情報とに基づいて、格納部120に格納されている開示ポリシを参照して、当該秘匿化プライバシ情報160が開示可能であるかどうかを判定する(ステップA3−1)。
開示可能であれば、プライバシ情報開示部103は、当該秘匿化プライバシ情報160を復号化して、開示プライバシ情報に変換する(ステップA4−1)。この際、プライバシ情報開示部103は、開示プライバシ情報と秘匿化プライバシ情報とをプライバシ管理情報格納部110に格納する(ステップA5−1)。操作割込部102は、ステップA2−1でフックされた秘匿化プライバシ情報160への参照を、開示プライバシ情報への参照に置換する(ステップA6−1)。
プライバシ情報プログラム150の実行に伴う操作が、他のスレッドからも参照可能なフィールドへの代入、ファイルへの書き込み、ネットワークへの送信など、開示プライバシ情報が漏洩される可能性がある操作であると操作監視部101が判定した場合、操作割込部102は、当該プログラム150に対して割込みを発生し、その操作の実行をフックする(ステップA2−2)。プライバシ情報秘匿部105は、開示プライバシ情報に基づいてプライバシ管理情報格納部110から秘匿化プライバシ情報を取得し、その秘匿化プライバシ情報に関連する管理情報に基づいて開示プライバシ情報を再秘匿化する(ステップA3−2)。再秘匿化の終了後、操作割込部102は、ステップA2−2でフックされた操作を、秘匿化プライバシ情報に対する操作に置換する(A4−2)。
プライバシ情報利用プログラム150の実行に伴う操作が、プライバシ情報を引数にとり、新たなプライバシ情報を返すメソッドなど、派生プライバシ情報を生成する操作であるとき、操作割込部102は、当該プログラム150の実行に割込みを発生し、その操作の実行をフックする(ステップA2−3)。新たに生成されたプライバシ情報を派生プライバシ情報とし、その派生プライバシ情報の元になったプライバシ情報を派生元プライバシ情報とするとき、派生プライバシ情報登録部106は、プライバシ管理情報格納部110より派生元プライバシ情報の管理情報を取得し、その管理情報を派生プライバシ情報に関連付けて、プライバシ管理情報格納部110に格納する(ステップA3−3)。
続いて、操作割込部102は、上記の各割込処理に関する操作ログを操作ログ格納部130へ格納する(ステップA9)。最後に、操作割込部102は、フック後のプログラム150の処理へ復帰し、動作を継続する(ステップA10)。
次に、図5は、プライバシ情報利用プログラム150の一部を示している。図5を参照して、Zipcodeメソッドの引数のAddressが秘匿化プライバシ情報として情報利用端末200から操作監視部101に通知されたとする。まず、Addressが秘匿化プライバシ情報であるので、プログラム150のcreate_profileメソッドの実行開始時点で、その通知はなされる。
ここでは、プライバシ情報の種別がHighであり、プライバシ情報利用者グループもHighであるとして、プライバシ情報開示判定部104により開示可能と判定される。プライバシ情報開示部103は、秘匿化プライバシ情報を復号化し、プライバシ管理情報格納部110に格納する。プライバシ管理情報格納部110は、例えば、図7に示されるように、開示されたプライバシ情報へのポインタ、秘匿化プライバシ情報へのポインタ、管理情報を組として格納する。ここでは、図7に示されるように、addressに関するポインタが格納される。その結果、操作割込部102は、利用プログラム150の割込みを解く。これにより、情報利用端末200は、開示されたプライバシ情報に置換されたaddressを引数としてsetZipcodeメソッドの実行を継続する。
図5の2行目で、System.out.printlnメソッドの呼び出し操作は、プライバシ情報等がコンソール出力されるので、開示されたプライバシ情報が漏洩する可能性があるメソッド呼び出し操作である。この操作も操作監視部101により監視され、割り込み発生指示が操作割込部102に出力される。このため、操作割込部102により利用プログラム150に対してプライバシ情報の秘匿化の割り込みがかかる。プライバシ情報秘匿部105は、開示されたプライバシ情報のaddressを、秘匿化プライバシ情報のaddressへと秘匿化してプライバシ管理情報格納部110に格納する。その後、操作割込部102の割込みが解かれ、情報利用端末200は、利用プログラム150の実行を再開し、そのメソッド呼び出しを継続する。この結果、コンソール上には秘匿化されたaddressの値が表示されることになる。
図5の3行目で、Zipcodeメソッドが呼び出される。これは、プライバシ情報を引数にとるメソッドであるので、このメソッドの実行終了後、派生プライバシ情報登録部106は、開始されているプライバシ情報から派生的にプライバシ譲歩を生成し、プライバシ管理情報格納部110に格納する。この例では、派生元プライバシ情報はaddress、派生プライバシ情報はcodeとなる。そこで、図7の3行目に示すように、派生プライバシ情報登録部106は、プライバシ管理情報格納部110から、addressの管理情報を取得し、派生プライバシ情報codeを生成する。
図5の4行目で、Zipcodeフィールドに派生プライバシ情報codeを代入する操作が行われる。その操作も操作監視部101を介して操作割込部102に通知される。 フィールドに代入される値は、他のスレッド等によりアクセスされる可能性があるので、漏洩する可能性がある。そこで、開示されているプライバシ情報の秘匿化が行われる。プライバシ情報秘匿部105は、プライバシ管理情報格納部110からcodeに関する管理情報を取得し、それに基づいてcodeの値を秘匿化する。操作割込部102は、Zipcodeフィールドに派生プライバシ情報codeを代入する操作を無効化し、秘匿化された派生プライバシ情報codeをzipcodeフィールドへ代入する。
Zipcodeメソッドの実行終了後、プライバシ管理情報格納部110に格納された内容は必要なくなるので、例えば、Zipcodeメソッドの終了と共に図7に示される情報は削除される。プライバシ管理情報格納部110がメモリ上に確保されば、Zipcodeメソッドの終了と共にプライバシ管理情報格納部110のエリアも削除されるので、プライバシ管理情報格納部110からプライバシ情報が漏洩する危険性を減らすことができる。
AspectJにおいては、メソッド呼出しごとにAdviceを生成することが可能であるため、Adviceの管理域内にプライバシ管理情報を格納する場所を設ければ容易に実現可能である。
以上述べたように、本発明によれば、プライバシ情報は秘匿化された状態で流通され、プライバシ情報を開示するためには、プライバシ情報利用者はプライバシ情報保護システムを利用しなければならない。このため、プライバシ情報がプライバシ情報利用者に渡った後でも開示制御できる。
また、本発明によれば、開示プライバシ情報が漏洩される可能性があるとき、プライバシ情報は強制的に秘匿化される。このため、プライバシ情報をセキュアにプライバシ情報利用者に配布できる。
また、本発明によれば、どのプライバシ情報に対して加えられた操作が記録されることができる。このため、プライバシ情報提供者は、プライバシ情報利用者が行った操作を追跡することが可能である。
次に、具体的な例を用いて本発明のプライバシ情報保護システムの動作を説明する。プライバシ情報利用プログラム150は、Java(登録商標)などのプログラミング言語で書かれたプログラムである。
秘匿化プライバシ情報は、SHA−1などの暗号化された形式のプライバシ情報と、当該プライバシ情報に付随する管理情報とを含んでいる。管理情報としては、そのプライバシ情報の識別子のほかに、そのプライバシ情報の所有者の識別子やプライバシ情報の種別など、開示の可否を判定するために必要な情報を含んでいる。また、プライバシ情報利用者による管理情報の改竄を防止するために、管理情報自体も暗号化されていることが望ましい。
具体例として、AOP(Aspect−Oriented−Programming)を利用する方法を挙げる。AOPが提供する機能として、プログラム中のある時点の処理に対応する操作の実行をフックし、別の操作(処理)を実行させる機能がある。Java(登録商標)に対するAOPの実装であるAspectJを例として説明する。
AspectJには、プログラム中のある時点を指定する方法として、PointCutという機能があり、例えば、あるメソッドを呼び出した時点、オブジェクトのフィールドへの参照があった時点などを指定できる。また、別の処理を定義する方法としてAdviceがあり、どのPointCutでどのAdviceを実行させるかを指定することができる。PointCut、Adviceとして定義されたAspectを、AspectWeaverというツールによるコンパイル時や、Java(登録商標)の実行系であるJava(登録商標)VMへのロード時に、織り込むことが可能である。
操作監視部、操作割込部の実現方法として、監視したい操作(処理)に対するPointCutを定義し、割り込みたい処理をAdviceとして定義し、これらのAspectをAspectWeaverにより織り込めば実現できる。監視対象の操作としては、フィールドへの参照、フィールドへの代入、メソッドの呼び出し、コンストラクタの生成、メソッドの実行開始、メソッドのリターン、例外のスローがある。割り込む処理としては、秘匿化プライバシ情報の開示と、開示されたプライバシ情報の秘匿化がある。
秘匿化プライバシ情報の開示は、
あるメソッドにおいて
・そのメソッドの実行開始の時点で、かつ、その引数が秘匿化プライバシ情報だったとき、
・秘匿化プライバシ情報が格納されたフィールドを参照したとき、
・別のメソッドを呼び出して、秘匿化されたプライバシ情報に対する返り値が秘匿化プライバシ情報だったとき、
・別のメソッドやコンストラクタを呼び出して、秘匿化プライバシ情報に対する返り値が秘匿化プライバシ情報だったとき、
割り込みが行われ、開示されたプライバシ情報への置換が行われる。
開示プライバシ情報の秘匿化は、
あるメソッドにおいて
・そのメソッドが開示プライバシ情報を返り値として返そうとしたとき、
・そのメソッドが開示プライバシ情報を例外として投げようとしたとき、
・フィールドへ代入しようとしたとき、
・ファイルへの書き込み、ネットワークへの送信、DBへの書込みなどプライバシ情報の漏洩の可能性があるメソッドの引数に開示プライバシ情報を渡して、呼び出そうとしたとき、
割り込みが行われ、秘匿化プライバシ情報への置換が行われる。
また、派生プライバシ情報の登録は、あるメソッドにおいて
・プライバシ情報を引数としてとり、返り値を返そうとしたとき、
割り込みが行われ、派生プライバシ情報の登録が行われる。
ここであげた例のように、プログラミング言語のもつ機能に合わせて、割込が行われる操作が定義されればよい。また逆に、上の例では逐次割り込みをかけているが、例えば、秘匿した直後に開示する場合に秘匿処理をスキップしたり、プライバシ情報を引数にとるメソッドのうち、明らかにその返り値は、もはやプライバシ情報とは考えられないもの(例:プライバシ情報の文字列長を返す、いくつかのプライバシ情報から統計値を返す)をスキップしたりするなど、プライバシ情報が漏洩しない範囲で、割り込み箇所を減らすような最適化を施してもよい。
また、秘匿化プライバシ情報の例を示す。プライバシ情報開示部103とプライバシ情報秘匿部105は、秘匿化プライバシ情報で採用した暗号化方式に従って、復号化、暗号化すればよいので、秘匿化プライバシ情報のプライバシ情報の暗号化形式の実施例を挙げる。暗号化アルゴリズムは既知のものを使用するが、暗号化、復号化には鍵が必要となるので、その鍵の保持方法、構成方法について説明する。
一つの例としては、プライバシ情報利用者毎に、またはプライバシ情報利用者グループ毎に、利用者鍵をプライバシ情報開示部103とプライバシ情報秘匿部105に組込み、秘匿化プライバシ情報がプライバシ情報利用者へ配布される際、配布先の利用者鍵とプライバシ情報に関連付けられた鍵とで、暗号鍵が生成され、その暗号鍵でプライバシ情報が暗号化される。プライバシ情報に関連付けられた鍵は、そのプライバシ情報に関連付けられた開示ポリシと関連付けて、開示ポリシ格納部120に保持される。プライバシ情報が開示されるとき、プライバシ情報利用者またはプライバシ情報利用者グループはプライバシ情報開示判定部104を通じて、鍵を取得する。
別の例としては、プライバシ情報利用者毎ないしはプライバシ情報利用者グループ毎に利用者鍵をプライバシ情報開示部103、プライバシ情報秘匿化部105に組み込むのではなく、鍵配布サーバを別途設置するなどして定期的に配布して更新する方法である。
本発明によれば、プライバシ情報を活用したパーソナライズサービス用途に適用できる。
従来例の構成を示すブロック図である。 他の従来例の構成を示すブロック図である。 本発明の一実施形態によるプライバシ情報保護システムの構成を示すブロック図である。 本発明の実施形態によるプライバシ情報保護システムの動作を示すフローチャートである。 本発明の実施形態によるプライバシ情報保護システムで使用される利用プログラムを示す図である。 本発明の実施形態によるプライバシ情報保護システムで使用される開示ポリシを示す図である。 本発明の実施形態によるプライバシ情報保護システムで使用されるプライバシ管理情報を示す図である。 本発明の実施形態によるプライバシ情報保護システムで使用される操作ログを示す図である。
符号の説明
100 情報処理ユニット(中央処理装置;プロセッサ;データ処理装置)
101 操作監視部
102 操作割込部
103 プライバシ情報開示部
104 プライバシ情報開示判定部
105 プライバシ情報秘匿化部
106 派生プライバシ情報登録部
110 プライバシ管理情報格納部
120 開示ポリシ格納部
130 操作ログ格納部
150 プライバシ情報利用プログラム
160 秘匿化プライバシ情報
200 情報利用端末
300 情報サーバ

Claims (13)

  1. プライバシ情報を利用するプログラムにより該プライバシ情報に対して実行される操作を監視する操作監視部と、
    秘匿化プライバシ情報と開示プライバシ情報とを関連付ける管理情報を保持するプライバシ管理情報格納部と、
    前記プライバシ管理情報格納部を参照して、前記開示プライバシ情報の前記管理情報に基づいて前記開示プライバシ情報を再秘匿化プライバシ情報に変換するプライバシ情報秘匿化部と、
    前記プログラムの実行をフックし、前記開示プライバシ情報を前記再秘匿化プライバシ情報に変換するように前記プライバシ情報秘匿化部に指示を発行し、前記再秘匿化プライバシ情報への変換が終了したとき、前記プログラムの前記操作を前記開示プライバシ情報に対する操作から前記再秘匿化プライバシ情報を参照する操作に変更して前記プログラムに前記操作の後の処理を継続させる操作割込部と
    を備える
    プライバシ情報保護システム。
  2. 請求項1に記載のプライバシ情報保護システムにおいて、
    秘匿化プライバシ情報の開示の条件を示す開示ポリシに基づいて、前記秘匿化プライバシ情報の開示が可能かどうかを判定するプライバシ情報開示判定部と、
    前記プライバシ情報開示判定部により開示が可能であると判定されたとき、前記操作割込部からの指示に応答して前記秘匿化プライバシ情報を復号化して、前記開示プライバシ情報を生成するプライバシ開示部と
    を更に備え、
    前記操作割込部は、前記プログラムの操作が秘匿化プライバシ情報を参照する操作であるとき、前記プログラムの実行をフックし、前記秘匿化プライバシ情報の開示を指示し、前記秘匿化プライバシ情報から開示プライバシ情報の生成が成功した際には、前記プログラムの操作を、前記秘匿化プライバシ情報を参照する操作から前記開示プライバシ情報を参照する操作に変更して前記プログラムに前記操作の後の処理を継続させる
    プライバシ情報保護システム。
  3. プライバシ情報を利用するプログラムにより該プライバシ情報に対して実行される操作を監視する操作監視部と、
    前記プログラムの前記操作が秘匿化プライバシ情報を参照する操作であるとき、前記プログラムの実行をフックし、前記秘匿化プライバシ情報の開示を指示する操作割込部と、
    秘匿化プライバシ情報の開示の条件を示す開示ポリシに基づいて、前記秘匿化プライバシ情報の開示が可能かどうかを判定するプライバシ情報開示判定部と、
    前記プライバシ情報開示判定部により開示が可能であると判定されたとき、前記操作割込部からの指示に応答して前記秘匿化プライバシ情報を復号化して、開示プライバシ情報を生成するプライバシ開示部と、
    前記秘匿化プライバシ情報と前記開示プライバシ情報とを関連付ける管理情報を保持するプライバシ管理情報格納部と、
    前記プライバシ管理情報格納部を参照して、前記開示プライバシ情報の前記管理情報に基づいて前記開示プライバシ情報を再秘匿化プライバシ情報に変換するプライバシ情報秘匿化部と
    を備え、
    前記操作割込部は、前記プログラムの前記操作が、前記開示プライバシ情報が漏洩する可能性のある操作であるとき、前記プログラムの実行をフックし、前記開示プライバシ情報を前記再秘匿化プライバシ情報に変換するように前記プライバシ情報秘匿化部に指示を発行し、前記再秘匿化プライバシ情報への変換が終了したとき、前記プログラムの前記操作を前記開示プライバシ情報に対する操作から前記再秘匿化開示プライバシ情報を参照する操作に変更して前記プログラムに前記操作の後の処理を継続させる
    プライバシ情報保護システム。
  4. 請求項1乃至3のいずれか一項に記載のプライバシ情報保護システムにおいて、
    前記プライバシ情報秘匿化部は、前記再秘匿化プライバシ情報の管理情報を前記プライバシ管理情報格納部に格納する
    プライバシ情報保護システム。
  5. 請求項1乃至4のいずれか一項に記載のプライバシ情報保護システムにおいて、
    前記プライバシ管理情報格納部を参照して、派生元プライバシ情報としての前記開示プライバシ情報の前記管理情報を取得し、前記取得された管理情報を前記派生元プライバシ情報から生成される派生プライバシ情報と関連付けて前記プライバシ管理情報格納部に格納する派生プライバシ情報登録部を更に具備し、
    前記操作割込部は、前記プログラムの前記操作が、前記派生元プライバシ情報から前記派生プライバシ情報を生成する操作であるとき、前記プログラムの実行をフックし、前記派生プライバシ情報の前記管理情報が前記プライバシ管理情報格納部に格納された後、前記プログラムに前記操作の後の処理を継続させる
    プライバシ情報保護システム。
  6. 請求項1乃至5のいずれか一項に記載のプライバシ情報保護システムにおいて、
    前記操作割込部からの前記操作のログを保持する操作ログ格納部を更に備える
    プライバシ情報保護システム。
  7. プライバシ情報を利用するプログラムにより該プライバシ情報に対して実行される操作を監視するステップと、
    秘匿化プライバシ情報と開示プライバシ情報とを関連付ける管理情報をプライバシ管理情報格納部に保持するステップと、
    前記プログラムの実行をフックし、前記開示プライバシ情報を再秘匿化プライバシ情報に変換するように指示を発行するステップと、
    前記プライバシ管理情報格納部を参照して、前記開示プライバシ情報の前記管理情報に基づいて前記開示プライバシ情報を前記再秘匿化プライバシ情報に変換するステップと、
    前記再秘匿化プライバシ情報への変換が終了したとき、前記プログラムの前記操作を前記開示プライバシ情報に対する操作から前記再秘匿化プライバシ情報を参照する操作に変更して前記プログラムに前記操作の後の処理を継続させるステップと
    を備える
    プライバシ情報保護方法。
  8. 請求項7に記載のプライバシ情報保護方法において、
    秘匿化プライバシ情報の開示の条件を示す開示ポリシに基づいて、前記秘匿化プライバシ情報の開示が可能かどうかを判定するステップと、
    前記秘匿化プライバシ情報の開示が可能であると判定されたときに、前記プログラムの操作が秘匿化プライバシ情報を参照する操作であるとき、前記プログラムの実行をフックし、前記秘匿化プライバシ情報の開示を指示するステップと、
    前記開示の指示に応答して前記秘匿化プライバシ情報を復号化して、前記開示プライバシ情報を生成するステップと、
    前記秘匿化プライバシ情報から前記開示プライバシ情報の生成が成功した際には、前記プログラムの操作を、前記秘匿化プライバシ情報を参照する操作から前記開示プライバシ情報を参照する操作に変更して前記プログラムに前記操作の後の処理を継続させるステップと
    を更に備える
    プライバシ情報保護方法。
  9. プライバシ情報を利用するプログラムにより該プライバシ情報に対して実行される操作を監視するステップと、
    前記プログラムの前記操作が秘匿化プライバシ情報を参照する操作であるとき、前記プログラムの実行をフックして、前記秘匿化プライバシ情報の開示を指示する開示指示ステップと、
    前記開示指示に応答して、前記秘匿化プライバシ情報の開示の条件を示す開示ポリシに基づいて、前記秘匿化プライバシ情報の開示が可能かどうかを判定するステップと、
    前記秘匿化プライバシ情報の開示が可能であると判定されたとき、前記秘匿化プライバシ情報を復号化して、開示プライバシ情報を生成する開示ステップと、
    前記秘匿化プライバシ情報と前記開示プライバシ情報とを関連付ける管理情報をプライバシ管理情報格納部に格納するステップと、
    前記プログラムの前記操作が、前記開示プライバシ情報が漏洩する可能性のある操作であるとき、前記プログラムの実行をフックして、前記開示プライバシ情報を前記再秘匿化プライバシ情報に変換するように前記プライバシ情報秘匿化部に再変換指示を発行するステップと、
    前記プライバシ管理情報格納部を参照して、前記開示プライバシ情報の前記管理情報に基づいて前記開示プライバシ情報を再秘匿化プライバシ情報に変換するステップと、
    前記再秘匿化プライバシ情報への変換が終了したとき、前記プログラムの前記操作を前記開示プライバシ情報に対する操作から前記再秘匿化開示プライバシ情報を参照する操作に変更して前記プログラムに前記操作の後の処理を継続させるステップと
    を備える
    プライバシ情報保護方法。
  10. 請求項7乃至9のいずれか一項に記載のプライバシ情報保護方法において、
    前記再秘匿化プライバシ情報の管理情報を前記プライバシ管理情報格納部に格納するステップを更に備える
    プライバシ情報保護方法。
  11. 請求項乃至10のいずれか一項に記載のプライバシ情報保護方法において、
    前記プライバシ管理情報格納部を参照して、派生元プライバシ情報としての前記開示プライバシ情報の前記管理情報を取得するステップと、
    前記取得された管理情報を前記派生元プライバシ情報から生成される派生プライバシ情報と関連付けて前記プライバシ管理情報格納部に格納するステップと、
    前記プログラムの前記操作が、前記派生元プライバシ情報から前記派生プライバシ情報を生成する操作であるとき、前記プログラムの実行をフックするステップと、
    前記派生プライバシ情報の前記管理情報が前記プライバシ管理情報格納部に格納された後、前記プログラムに前記操作の後の処理を継続させるステップと
    を更に備える
    プライバシ情報保護方法。
  12. 請求項7乃至11のいずれか一項に記載のプライバシ情報保護方法において、
    前記操作のログを操作ログ格納部に格納するステップを更に備える
    プライバシ情報保護方法。
  13. 請求項7乃至12のいずれか一項に記載のプライバシ情報保護方法を実現するための計算機によって実行可能なプログラム。
JP2008310500A 2008-12-05 2008-12-05 プライバシ情報保護システムとその方法 Active JP5282879B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008310500A JP5282879B2 (ja) 2008-12-05 2008-12-05 プライバシ情報保護システムとその方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008310500A JP5282879B2 (ja) 2008-12-05 2008-12-05 プライバシ情報保護システムとその方法

Publications (2)

Publication Number Publication Date
JP2010134731A JP2010134731A (ja) 2010-06-17
JP5282879B2 true JP5282879B2 (ja) 2013-09-04

Family

ID=42345966

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008310500A Active JP5282879B2 (ja) 2008-12-05 2008-12-05 プライバシ情報保護システムとその方法

Country Status (1)

Country Link
JP (1) JP5282879B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9152819B2 (en) * 2011-12-30 2015-10-06 Intel Corporation Cloud based real time app privacy dashboard
JP6048204B2 (ja) * 2013-02-20 2016-12-21 株式会社リコー 情報処理装置、情報処理システム、及び情報処理プログラム
JP6238146B2 (ja) * 2016-04-06 2017-11-29 インテル・コーポレーション 電子デバイスを操作する方法、装置、およびシステム
KR20230071025A (ko) * 2021-11-15 2023-05-23 한국과학기술원 개인 위치 정보의 민감 단계별 프라이버시 보호 및 효율적 원본 위치 복구 기법

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3765145B2 (ja) * 1996-02-02 2006-04-12 株式会社日立製作所 電子情報配布方法
US7035850B2 (en) * 2000-03-22 2006-04-25 Hitachi, Ltd. Access control system
JP4089171B2 (ja) * 2001-04-24 2008-05-28 株式会社日立製作所 計算機システム
JP4007873B2 (ja) * 2002-07-09 2007-11-14 富士通株式会社 データ保護プログラムおよびデータ保護方法
JP4599882B2 (ja) * 2004-04-23 2010-12-15 富士ゼロックス株式会社 不正閲覧監視システム

Also Published As

Publication number Publication date
JP2010134731A (ja) 2010-06-17

Similar Documents

Publication Publication Date Title
US6895506B1 (en) Secure storage and execution of processor control programs by encryption and a program loader/decryption mechanism
US7912223B2 (en) Method and apparatus for data protection
JP3866597B2 (ja) 内部メモリ型耐タンパプロセッサおよび秘密保護方法
US7487366B2 (en) Data protection program and data protection method
JP5719244B2 (ja) 安全に管理された仮想マシンの実行環境を構築する方法、プログラムおよびコンピュータ装置
JP4851200B2 (ja) アイテムに対する使用権をアクセス権に基づいて生成する方法およびコンピュータ読取り可能媒体
JP3138871B2 (ja) ソフトウェア製品の使用を規制する方法および使用規制ソフトウェア製品生成方法
JP4115759B2 (ja) 耐タンパプロセッサにおける共有ライブラリの使用方法およびそのプログラム
US20080005033A1 (en) Secure device licensing
JP5980050B2 (ja) 情報処理装置
JP2003131949A (ja) データ管理システム
JP2014530371A (ja) ファイル暗号化方法及び装置、ファイル復号方法及び装置
JP2007507788A (ja) ネットワークを通じて個人携帯端末とデータ同期化を行うための方法及びそのシステム
KR20120050742A (ko) 커널 네이티브 에이피아이의 후킹 처리를 통한 디지털 저작권 관리 장치 및 방법
US8245006B2 (en) Data storage device and data management method
US20170214530A1 (en) Trusted execution environment
US20080320601A1 (en) Providing access rights to portions of a software application
JP5867190B2 (ja) 情報処理装置、ファイル暗号化判定方法、権限決定方法およびプログラム
JP5282879B2 (ja) プライバシ情報保護システムとその方法
CN115758420A (zh) 文件访问控制方法、装置、设备及介质
JP4931554B2 (ja) ライセンス管理システム、ライセンス管理方法並びにライセンス管理プログラム
JP5511925B2 (ja) アクセス権付き暗号化装置、アクセス権付き暗号システム、アクセス権付き暗号化方法およびアクセス権付き暗号化プログラム
KR20080096054A (ko) 데이터의 암호화 저장 방법 및 암호화된 데이터의 판독방법
JP2009253490A (ja) メモリシステムの暗号化方式
EP3123384B1 (en) Protecting an item of software

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110907

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121126

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121128

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130115

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130501

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130514

R150 Certificate of patent or registration of utility model

Ref document number: 5282879

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150