以下に、本発明に係るサービス提供システム、代理処理履歴収集方法および代理処理履歴収集プログラムの好適な実施形態について、その一例を、図面を参照しながら詳細に説明する。なお、以下の説明においては、本発明によるサービス提供システムおよび代理処理履歴収集方法について説明するが、かかる代理処理履歴収集方法をコンピュータにより実行可能な代理処理履歴収集プログラムとして実施するようにしても良いし、さらに、かかる代理処理履歴収集プログラムをコンピュータにより読み取り可能な記録媒体に記録するようにしても良いことは言うまでもない。
(本発明の特徴)
本発明の実施形態の説明に先立って、本発明の特徴についてその概要をまず説明する。本発明は、利用者本人および代理人がそれぞれの電子私書箱サーバを経由してサービス提供サーバにアクセスするシステム構成において、代理人が利用者本人に代わってサービス提供サーバにアクセスして利用者本人に関する個人情報を代理処理する際に、代理人用の電子私書箱サーバと利用者本人用の電子私書箱サーバとを経由して各電子私書箱サーバにあらかじめ設定されている代理権の範囲内でのアクセスを可能とし、かつ、代理人が行った代理処理要求に基づいて実施された利用者本人に関する個人情報の処理結果をサービス提供サーバから受信する際には、利用者本人用の電子私書箱サーバでまず受信し、代理処理した処理結果を代理処理要求と関連付けて代理処理履歴として保存し、利用者本人によるチェックを可能とした上で、処理結果を代理人用の電子私書箱サーバに転送することにより、代理人のサービス提供サーバへの不正なアクセスを防止することを可能としている。
つまり、本発明の特徴は、代理人の代理処理が、すべて、利用者本人の電子私書箱として機能する利用者本人用の電子私書箱サーバを通過することにあり、而して、利用者本人が、当該利用者本人用の電子私書箱サーバにアクセスすることにより、代理人の代理処理に不当なものがあるか否かを容易にチェックすることを可能としている。また、サービス提供サーバから利用者本人に関する個人情報を代理人用端末が受信する際も、利用者本人の電子私書箱サーバをまず通過させることによって、代理人によって操作がなされた利用者本人の個人情報を取得して代理処理履歴として保存し、代理人による不当な操作がなされたか否かを利用者本人がチェックすることを可能としている。
(本発明のシステム構成例)
次に、本発明に係るサービス提供システムの実施形態について説明する。まず、本発明に係るサービス提供システムのシステム構成例について説明する。
図1は、本発明に係るサービス提供システムのシステム構成の一例を示す構成図であり、図1(A)は、サービス提供システムの全体構成の一例を示し、図1(B)は、サービス提供システムの構成要素の一つである利用者A本人用の電子私書箱サーバP1の内部構成の一例を示し、図1(C)は、サービス提供システムの構成要素の一つである代理人B用の電子私書箱サーバP2の内部構成の一例を示している。
図1(A)に示すように、サービス提供システムは、利用者A本人が使用する利用者端末(利用者本人用端末)である利用者A本人用端末T1、利用者Aの代理人Bが使用する利用者端末(代理人用端末)である代理人B用端末T2、利用者A側のポータルサイト等に設置された利用者A本人用の電子私書箱サーバP1、利用者Aの代理人B側のポータルサイト等に設置された代理人B用の電子私書箱サーバP2、利用者に関する個人情報を保有し、利用者にサービスを提供するサービス提供者s1用のサービス提供サーバS1、サービス提供者s2用のサービス提供サーバS2、サービス提供者s3用のサービス提供サーバS3が、インターネット等のネットワークN1,N2を介して互いに接続されている。
図1(A)に破線で示すように、本実施形態においては、代理人Bが、代理人B用端末T2から代理人B用の電子私書箱サーバP2に対して利用者A本人の個人情報に関する代理処理要求を行い、利用者A本人の個人情報に関するサービス提供サーバ例えばサービス提供サーバS1における処理結果を、代理人B用端末T2にて受信する場合について示している。代理人B用端末T2からの代理処理要求を受け取った代理人B用の電子私書箱サーバP2は、直接、サービス提供サーバS1にアクセスしないで、必ず、利用者A本人用の電子私書箱サーバP1を介して、サービス提供サーバS1にアクセスするように構成されている。したがって、サービス提供サーバS1等は、利用者本人からの処理要求のみを受け付けることになる。ここで、利用者A本人用の電子私書箱サーバP1は、代理人Bによる利用者A本人に関する個人情報の代理処理要求の内容とサービス提供サーバS1における処理結果とを関連付けて、代理人Bによる利用者A本人の個人情報へのアクセス履歴を示す代理処理履歴として記録保存することにしている。
而して、当該利用者A本人が、利用者A本人用端末T1から、利用者A本人用の電子私書箱サーバP1に対して、代理人Bによる当該利用者A本人の個人情報に対する処理の履歴を取得するための代理処理履歴要求を送信することにより、代理人Bによる代理処理履歴を、利用者A本人用端末T1に返送させることが可能である。
なお、利用者A本人用端末T1、代理人B用端末T2、利用者A本人用の電子私書箱サーバP1、代理人B用の電子私書箱サーバP2、サービス提供サーバS1,S2,S3のいずれも、それぞれの公開鍵証明書および秘密鍵を有しており、処理要求(代理処理要求)や処理結果を作成する際に、自己の署名を作成して付与したり、相手方との通信の開始時に、PKI(Public Key Infrastructure)認証方式に基づいて、相互に相手方の公開鍵証明書を交換したりする等の動作を行うことにより、相手方の認証や交換する情報の正当性を検証したりする。
(利用者端末)
利用者A本人用端末T1は、利用者Aから当該利用者A本人の個人情報に関する代理人Bによる代理処理の履歴を取得する要求を受け取った際に、ネットワークN1を介して、利用者A本人用の電子私書箱サーバP1に対して、代理人Bによる利用者A本人に関する個人情報の代理処理履歴(代理人Bによる処理内容の履歴)の取得要求を代理処理履歴要求として送信し、電子私書箱サーバP1から返送されてくる代理処理履歴を受信して利用者A本人に提示する端末である。なお、利用者A本人用端末T1は、利用者A本人用の電子私書箱サーバP1に対して利用者A本人に関する個人情報の処理要求を送信して、電子私書箱サーバP1から返送されてくる処理結果を受信することももちろん可能であるが、以下には、代理人Bの代理処理履歴を取得する場合についてのみ説明する。ここで、電子私書箱サーバP1との通信に先立って、電子私書箱サーバP1との間で相互認証を行う。
なお、利用者端末は、サービス提供システム内に、1台のみではなく、複数の利用者それぞれが使用する端末であり、任意の台数分、設置されている。
(代理人用端末)
代理人B用端末T2は、利用者端末すなわち利用者A本人用端末T1と全く同様の端末であり、利用者A本人の代理人等のアクセス権限を有する第三者から、当該利用者A本人の個人情報に関する指定した代理処理要求を受け取った際に、ネットワークN1を介して、代理人B用の電子私書箱サーバP2に対して、利用者A本人に関する個人情報の代理処理要求を送信し、電子私書箱サーバP2から返送されてくる処理結果を受信して代理人Bに提示する端末である。ここで、電子私書箱サーバP2との通信に先立って、電子私書箱サーバP2との間で相互認証を行う。
なお、代理人用端末についても、利用者端末と同様、サービス提供システム内に、1台のみではなく、複数の代理人それぞれが使用する端末であり、任意の台数分、設置されている。
また、代理人B用端末は、利用者A本人の代理人Bのみならず利用者A本人に関する個人情報の処理を行う資格を有する警察等の資格保持者を含む第三者が使用する端末であっても良い。なお、当該代理人B自身の個人情報を取得する場合は、代理人B用端末T2は、利用者端末すなわち利用者B本人用端末T2として使用されることになる。
(電子私書箱サーバ)
利用者A本人の電子私書箱として機能する利用者A本人用の電子私書箱サーバP1は、1ないし複数のサービス提供サーバS1,S2,S3,…に保有されている利用者A本人の個人情報に関する代理人Bからの代理処理要求を、代理人B用の電子私書箱サーバP2から受信した際に、送信元の電子私書箱サーバP2の認証を行うとともに、代理処理要求の正当性(代理権の範囲に収まっているか否か)を確認し、正当性があることを確認した場合に、該代理処理要求を利用者A本人が要求する形式の処理要求に編集して、サービス提供サーバに対して、代理人Bが要求している当該利用者B本人の個人情報に関する処理要求を送信し、サービス提供サーバから処理結果が返送されてきた場合、処理結果を代理処理要求と関連付けて代理処理履歴として保存するとともに、当該処理結果を代理人B用の電子私書箱サーバP2に返送する。
また、利用者A本人用の電子私書箱サーバP1は、利用者A本人の利用者A本人用端末T1から代理人Bによる代理処理に関する履歴情報の取得を要求する代理処理履歴要求を受信した際に、該代理処理履歴要求の送信元の利用者A本人用端末T1の認証を行った後、保存している代理人Bによる代理処理履歴を要求元の利用者A本人用端末T1に返送する。
このため、利用者A本人用の電子私書箱サーバP1は、図1(B)に示すように、代理人B用の電子私書箱サーバP2から転送されてくる代理処理要求を受信する代理処理要求受信手段P11、代理人Bの代理権の範囲を検証する代理権範囲検証手段P12、代理権や相互認証に関する利用者情報を格納する利用者情報格納手段P13、処理要求をサービス提供サーバ例えばサービス提供サーバS1等に送信する処理要求送信手段P14、通信相手との通信開始時に通信相手との相互認証を行う相互認証手段P15、サービス提供サーバ例えばサービス提供サーバS1等からの処理結果を受信する処理結果受信手段P16、代理処理要求に対する処理結果を受信している場合、受信した処理結果を代理人B用の電子私書箱サーバP2に送信する処理結果送信手段P17、代理処理要求による処理結果として受信した処理結果を該代理処理要求と関連付けて代理処理履歴として保存する処理履歴保存手段P18、利用者A本人用端末T1から送信されてくる代理処理履歴の取得要求を受信する代理処理履歴要求受信手段P19a、処理履歴保存手段P18に保存されている代理人Bのアクセス状況を示す代理処理履歴を読み出す処理履歴読出手段P19b、処理履歴読出手段P19bにより読み出した代理処理履歴を利用者A本人用端末T1に送信する代理処理履歴送信手段P19cを少なくとも備えている。
ここで、利用者情報格納手段P13は、当該電子私書箱サーバP1の公開鍵証明書および秘密鍵からなる認証用情報、代理人Bの代理権の範囲に関する情報を少なくとも格納している。
また、相互認証手段P15は、利用者情報格納手段P13に格納している当該電子私書箱サーバP1の公開鍵証明書および秘密鍵を参照して、通信相手の利用者A本人用端末T1、電子私書箱サーバP2、サービス提供サーバS1,S2,S3との間の相互認証を行うために、PKI認証方式に基づいて、相互に相手方の公開鍵証明書を交換したりして、相手方の正当性を検証する。
次に、代理人Bの電子私書箱として機能する代理人B用の電子私書箱サーバP2は、利用者Aの代理人Bが使用する代理人B用端末T2からの利用者A本人の個人情報に関する代理処理要求を受信した際に、該代理処理要求に関する代理権の範囲を確認した後、該代理処理要求を利用者A本人用の電子私書箱サーバP1に転送することによって、サービス提供サーバに対して処理要求を行い、サービス提供サーバによる処理結果を、電子私書箱サーバP1を介して、受信して、要求元の代理人B用端末T2に返送する。
このため、電子私書箱サーバP2は、図1(C)に示すように、代理人B用端末T2からの代理処理要求を受信する代理処理要求受信手段P21、代理人Bの代理権の範囲を検証する代理権範囲検証手段P22、代理権や相互認証に関する利用者情報を格納する利用者情報格納手段P23、代理処理要求を利用者A本人用の電子私書箱サーバP1に送信する代理処理要求送信手段P24、通信相手との相互認証を行う相互認証手段P25を少なくとも備えている。
ここで、利用者情報格納手段P23は、当該電子私書箱サーバP2の公開鍵証明書および秘密鍵からなる認証用情報、代理人Bの代理権の範囲に関する情報を少なくとも格納している。
また、相互認証手段P25は、利用者情報格納手段P23に格納している当該電子私書箱サーバP2の公開鍵証明書および秘密鍵を参照して、通信相手の代理人B用端末T2、電子私書箱サーバP1との間の相互認証を行うために、PKI認証方式に基づいて、相互に相手方の公開鍵証明書を交換したりして、相手方の正当性を検証する。
(各サービス提供サーバ)
各サービス提供者s1,s2,s3,…それぞれが運営するサービス提供サーバS1,S2,S3,…等のサービス提供サーバは、各サービス提供者が提供するサービスを利用する利用者に関する個人情報を保有し、利用者A本人用の電子私書箱サーバP1から受信した処理要求に応じて利用者に関する個人情報を処理して、処理した結果を、処理要求元の利用者A本人用の電子私書箱サーバP1に対して返送する。
なお、利用者A本人用の電子私書箱サーバP1からの処理要求を受信時に、電子私書箱サーバP1との間でPKI認証方式による相互認証を行い、相互認証結果として正当な電子私書箱サーバP1からの処理要求であるものと判定した場合に、該処理要求に指定されている処理を行う。
(本発明のサービス提供システムの動作例)
次に、図1に示した本発明に係る一実施形態であるサービス提供システムの動作について、利用者A本人の個人情報例えば年金加入記録に関する閲覧を要求する代理人Bの代理処理要求を、代理人B用端末T2から代理人B用の電子私書箱サーバP2が受け付けて、利用者A本人用の電子私書箱サーバP1を経由して、該利用者A本人の年金加入記録に関する情報を保存しているサービス提供サーバS1に代理処理要求を行う場合を例にとってその一例を説明する。
まず、利用者A本人に関する個人情報の代理処理要求を行う代理人Bの代理権の範囲を、代理権範囲設定情報として、電子私書箱サーバP1、P2それぞれの利用者情報格納手段P13,P23にあらかじめ設定している設定例について、図2および図3のテーブルを用いて説明する。
図2は、利用者A本人用の電子私書箱サーバP1における利用者A本人の個人情報に関する代理人Bの代理権範囲設定情報の一例を示すテーブルであり、利用者Aの個人情報の一例として年金加入記録の処理要求を代理人Bが行う場合の代理権の範囲の設定例を示している。また、図3は、代理人B用の電子私書箱サーバP2における利用者A本人の個人情報に関する代理人Bの代理権範囲設定情報の一例を示すテーブルであり、利用者Aの個人情報の一例として年金加入記録の処理要求を代理人Bが行う場合の代理権の範囲の設定例を示している。
なお、権限を有する代理人Bが、利用者A本人の個人情報の更新や閲覧等の代理処理を行う操作に先立って、当該利用者A本人は、利用者A本人用の電子私書箱サーバP1の利用者情報格納手段P13および代理人B用の電子私書箱サーバP2の利用者情報格納手段P23それぞれに、図2、図3に例示するような代理人BのP1用代理権範囲設定情報100およびP2用代理権範囲設定情報200をあらかじめ設定しておくことが必要である。この場合、各電子私書箱サーバP1,P2に対して、手作業で各代理権範囲設定情報を入力して保存するようにしても良いし、ネットワークN1を経由して、利用者A本人の本人認証等の処理を実施した上で、当該代理権範囲設定情報を転送して保存するようにしても良いし、手作業と転送とを併用して保存するようにしても良い。
ここで、電子私書箱サーバP1,P2の利用者情報格納手段P13,P23それぞれに設定されるP1用代理権範囲設定情報100、P2用代理権範囲設定情報100は、「アクセス権」、「開示設定」、「合意」の3つの種別の情報によって構成される。
「アクセス権」とは、誰が、誰の、どの情報に対して、どのような目的で、どの認証レベルでアクセスすることができるかを制御するためのものである。
「開示設定」とは、アクセス権が許可された人物に対して、どの内容(項目)の個人情報の開示を許可するかを制御するためのものである。利用者の個人情報は、当該利用者本人のみならず、開示が許可された代理人への開示設定を行うことも可能である。
また、「合意」とは、アクセス権の許可により、取得した個人情報について、電子私書箱サーバにおいて、どのような処置(「保存」、「削除」、「提供」等)を許可するかを制御するためのものである。
ここで、「保存」とは、利用者本人または代理人がサービス提供サーバから取得した個人情報を電子私書箱サーバに保存することが許可されることを意味している。また、「削除」とは、利用者本人または代理人がサービス提供サーバから取得して電子私書箱サーバに保存していた個人情報を削除することが許可されることを意味し、ポリシー情報として「削除」が許可されている場合には、利用者本人または代理人は、電子私書箱サーバに保存している当該利用者本人の個人情報を参照した後等において、当該個人情報が不要な場合には、電子私書箱サーバから削除することが可能である。
また、「提供」とは、利用者本人または代理人がサービス提供サーバから取得して電子私書箱サーバに保存していた利用者本人の個人情報を当該利用者本人または代理人による再配布が許可されることを意味し、ポリシー情報として「提供」が許可されている場合には、利用者本人または代理人は、電子私書箱サーバに保存している個人情報を第三者に再配布することが可能である。
次に、図2の利用者A本人用の電子私書箱サーバP1の利用者情報格納手段P13に設定されているP1用代理権範囲設定情報100について説明する。P1用代理権範囲設定情報100は、前述のように、「アクセス権」、「開示設定」、「合意」の3種類の情報からなっており、図2(A)が、「アクセス権」の代理権範囲設定情報の登録例であり、図2(B)が、「開示設定」の代理権範囲設定情報の登録例であり、図2(C)が、「合意」の代理権範囲設定情報の登録例である。
図2(A)の電子私書箱サーバP1における代理人B用の「アクセス権」に関する代理権範囲設定情報は、サービス提供サーバとその利用者Aの識別用IDとを示すサービス提供者名・サービスID101、代理権の種別を示す種別102、利用者Aの個人情報にアクセスする代理人Bを示すアクセス主体ID103、代理人Bによりアクセスされる個人情報の所有者を示す情報所有者ID104、アクセス対象の個人情報を示すアクセス対象情報105、アクセスの目的を示すアクセス目的106、アクセスする代理人Bを認証する認証条件107を少なくとも含んで構成される。
図2(A)の記載例では、サービス提供者名・サービスID101には、サービス提供サーバS1(サービス提供者名)、“S1−002”(サービスID)が登録され、種別102には、代理権種別としてアクセス権が登録され、アクセス主体ID103には、例えば代理人Bの場合は、電子私書箱サーバ用の私書箱利用者IDとして“ID−B”が登録され、情報所有者ID104には、例えば利用者Aの場合は、電子私書箱サーバ用の私書箱利用者IDとして“ID−A”が登録され、アクセス対象情報105には、例えば利用者Aの年金加入記録が登録され、アクセス目的106には、閲覧が登録され、認証条件107には、例えばPKI認証等が登録されている。
図2(B)の電子私書箱サーバP1における代理人B用の「開示設定」に関する代理権範囲設定情報は、サービス提供サーバとその利用者Aの識別用IDとを示すサービス提供者名・サービスID111、代理権の種別を示す種別112、代理人Bに開示する対象となる利用者Aの個人情報を示す開示対象情報113、開示対象情報の代理人Bへの開示の可否を示す開示可否114を少なくとも含んで構成される。
図2(B)の記載例では、サービス提供者名・サービスID111には、サービス提供サーバS1(サービス提供者名)、“S1−002”(サービスID)が登録され、種別112には、代理権種別として開示設定が登録され、開示対象情報113には、例えば利用者Aの年金加入記録の場合は、利用者Aに関する「年金加入記録」のカテゴリ(種類)に属するすべての情報である年金加入月数、標準報酬月額、年金見込額等が登録され、開示可否114には、年金加入月数は開示可であるが、標準報酬月額、年金見込額については、開示不可として設定されている。
図2(C)の電子私書箱サーバP1における代理人B用の「合意」に関する代理権範囲設定情報は、サービス提供サーバとその利用者Aの識別用IDとを示すサービス提供者名・サービスID121、代理権の種別を示す種別122、代理人Bによる個人情報へのアクセスを示すアクセス対象情報123、代理人Bによる個人情報へのアクセスを行う電子私書箱サーバを示す対象サーバ124、許可/禁止する処理125を少なくとも含んで構成される。
図2(C)の記載例では、サービス提供者名・サービスID121には、サービス提供サーバS1(サービス提供者名)、“S1−002”(サービスID)が登録され、種別122には、代理権種別として合意が登録され、アクセス対象情報123には、例えば代理人Bによる閲覧が可能とされた対象情報を示す処理結果が登録され、対象サーバ124には、当該電子私書箱サーバP1と代理人Bのアクセス用に使用される電子私書箱サーバP2との情報が登録され、許可/禁止する処理125には、当該電子私書箱サーバP1には保存可能の旨が、電子私書箱サーバP2には保存不可能の旨が登録されている。
次に、図3の代理人B用の電子私書箱サーバP2の利用者情報格納手段P23に設定されているP2用代理権範囲設定情報200について説明する。P2用代理権範囲設定情報200も、前述のように、「アクセス権」、「開示設定」、「合意」の3種類の情報からなっており、図3(A)が、「アクセス権」の代理権範囲設定情報の登録例であり、図3(B)が、「開示設定」の代理権範囲設定情報の登録例であり、図3(C)が、「合意」の代理権範囲設定情報の登録例である。
図3(A)の電子私書箱サーバP2における代理人B用の「アクセス権」に関する代理権範囲設定情報は、図2(A)の電子私書箱サーバP1の場合と同様、サービス提供サーバとその利用者Aの識別用IDとを示すサービス提供者名・サービスID201、代理権の種別を示す種別202、利用者Aの個人情報にアクセスする代理人Bを示すアクセス主体ID203、代理人Bによりアクセスされる個人情報の所有者を示す情報所有者ID204、アクセス対象の個人情報を示すアクセス対象情報205、アクセスの目的を示すアクセス目的206、アクセスする代理人Bを認証する認証条件207を少なくとも含んで構成される。
図3(A)の記載例では、サービス提供者名・サービスID201には、サービス提供サーバS1(サービス提供者名)、“S1−002”(サービスID)が登録され、種別202には、代理権種別としてアクセス権が登録され、アクセス主体ID203には、例えば代理人Bの場合は、電子私書箱サーバ用の私書箱利用者IDとして“ID−B”が登録され、情報所有者ID204には、例えば利用者Aの場合は、電子私書箱サーバ用の私書箱利用者IDとして“ID−A”が登録され、アクセス対象情報205には、例えば利用者Aの年金加入記録が登録され、アクセス目的206には、閲覧が登録され、認証条件207には、例えばPKI認証等が登録されている。
図3(B)の電子私書箱サーバP2における代理人B用の「開示設定」に関する代理権範囲設定情報は、図2(B)の電子私書箱サーバP1の場合と同様、サービス提供サーバとその利用者Aの識別用IDとを示すサービス提供者名・サービスID211、代理権の種別を示す種別212、代理人Bに開示する対象となる利用者Aの個人情報を示す開示対象情報213、開示対象情報の代理人Bへの開示の可否を示す開示可否214を少なくとも含んで構成される。
図3(B)の記載例では、サービス提供者名・サービスID211には、サービス提供サーバS1(サービス提供者名)、“S1−002”(サービスID)が登録され、種別212には、代理権種別として開示設定が登録され、開示対象情報213には、例えば利用者Aの年金加入記録の場合は、利用者Aに関する年金加入記録のカテゴリ(種類)に属するすべての情報である年金加入月数、標準報酬月額、年金見込額等が登録され、開示可否214には、年金加入月数は開示可であるが、標準報酬月額、年金見込額については、開示不可として設定されている。
図3(C)の電子私書箱サーバP2における代理人B用の「合意」に関する代理権範囲設定情報は、図2(C)の電子私書箱サーバP1の場合と略同様、サービス提供サーバとその利用者Aの識別用IDとを示すサービス提供者名・サービスID221、代理権の種別を示す種別222、代理人Bによる個人情報へのアクセスを示すアクセス対象情報223、代理人Bによる個人情報へのアクセスを行う電子私書箱サーバを示す対象サーバ224、保存可否225を少なくとも含んで構成される。
図3(C)の記載例では、サービス提供者名・サービスID221には、サービス提供サーバS1(サービス提供者名)、“S1−002”(サービスID)が登録され、種別222には、代理権種別として合意が登録され、アクセス対象情報223には、例えば代理人Bによる閲覧が可能とされた対象情報を示す処理結果が登録され、対象サーバ224には、当該電子私書箱サーバP1と代理人Bのアクセス用に使用される電子私書箱サーバP2との情報が登録され、保存可否225には、保存不可能の旨が登録されている。
(動作シーケンス例)
次に、図1に示したサービス提供システムの動作の一例について、図2、図3それぞれに示したP1用代理権範囲設定情報100、P2用代理権範囲設定情報200を参照しながら、図4のシーケンスチャートを用いて説明する。ここに、図4は、図1に示すサービス提供システムの動作の一例を示すシーケンスチャートであり、本発明に係るサービス提供方法の一例を示すものでもある。図4(A)は、代理人Bにより利用者A本人の個人情報を代理処理する場合の動作の一例を示し、図4(B)は、利用者A本人が、代理人Bにより実施された当該利用者A本人の個人情報に関する代理処理の履歴を取得する場合の動作の一例を示している。
なお、以下の動作例の説明においては、利用者A本人の代理人Bが、サービス提供サーバS1に保存されている利用者A本人の個人情報の一つである年金加入記録を取得して代理閲覧しようとする場合の動作について説明する。
代理人Bが、利用者A本人の個人情報を取得して、利用者A本人の個人情報の閲覧等の代理処理を行う場合には、前述したように、利用者A本人は、利用者A本人用の電子私書箱サーバP1および代理人B用の電子私書箱サーバP2に、当該利用者A本人の個人情報の開示条件に関する代理人Bの代理権範囲をあらかじめ設定しておくことが必要である。
しかる後、図4(A)のシーケンスチャートに示すように、利用者A本人の代理人Bは、代理人B用の利用者端末つまり代理人B用端末T2に、利用者A本人に関する個人情報の代理処理を要求する代理処理要求を入力すると、代理人B用端末T2は、まず、該代理処理要求の送信先の代理人B用の電子私書箱サーバP2との間で、例えば、互いの公開鍵証明書、秘密鍵を用いて、PKI(Public Key Infrastructure)認証方式に基づく相互認証を行う(シーケンスSeq1)。
代理人B用の電子私書箱サーバP2は、代理処理要求受信手段P21を介して、相互認証手段P25を起動して、利用者情報格納手段P23に格納されている当該電子私書箱サーバP2の公開鍵証明書および秘密鍵を利用して、代理人B用端末T2との間で相互認証を行う。
相互認証結果として互いが正当な通信相手であることが認証されると、代理人B用端末T2は、代理人Bが入力した代理人B用の処理要求を、代理処理要求として、代理人B用の電子私書箱サーバP2に対して送信する(シーケンスSeq2)。ここで、該代理処理要求は、前述のように、サービス提供サーバS1に保存されている利用者A本人の年金加入記録を閲覧する処理要求である。
本実施例の場合、代理人B用端末T2から送信される代理処理要求は、図4に示すように、要求者が代理人B(電子私書箱サーバ用の代理人Bの利用者IDである私書箱利用者ID“ID−B”により示す)であり、代理処理対象の個人情報の利用者を示す対象者が利用者A(電子私書箱サーバ用の利用者Bの利用者IDである私書箱利用者ID“ID−A”により示す)であり、代理処理を要求するサービス提供サーバを示す処理要求先が、サービス提供サーバS1であり、要求する処理が、利用者A本人に関する年金加入記録を閲覧することを要求している。
代理人B用端末T2から前述のような代理処理要求を代理処理要求受信手段P21により受け取った代理人B用の電子私書箱サーバP2は、代理権範囲検証手段P22を起動して、利用者情報格納手段P23に設定されているP2用代理権範囲設定情報200を参照して、受信した代理処理要求が代理人Bの代理権の範囲内にあるアクセス要求であるか否かを検証する。
ここで、利用者情報格納手段P23に設定されているP2用代理権範囲設定情報200は、例えば、図3に示したように、「アクセス権」、「開示設定」、「合意」の3種類の代理権範囲設定情報からなっており、図3(A)の「アクセス権」の代理権範囲設定情報には、代理人Bによる利用者Aの年金加入記録の閲覧が目的であった場合には、代理人Bの認証レベルとして、代理人BのPKI認証方式による署名が正当であれば、アクセス権に問題がない旨が設定されている。したがって、代理人B用の電子私書箱サーバP2は、代理人Bのアクセス権の確認がなされたものと判定して、受信した代理処理要求をそのまま転送することが可能であるので、代理処理要求送信手段P24を起動する。なお、代理人Bの認証は、図4のシーケンスSeq1のようにPKI認証方式による相互認証を実施する場合以外に、複数の認証レベルを備えることが可能であり、例えば、代理人Bの認証レベルとして、ID、パスワード認証方式により代理人B用の電子私書箱サーバP2が代理人B用端末T2の認証を実施するように設定しても良い。
代理処理要求送信手段P24は、代理処理要求の送信開始時に、まず、相互認証手段P25を起動して、利用者A本人の個人情報に関する代理処理要求の転送先となる利用者A本人用の電子私書箱サーバP1との間で、利用者情報格納手段P23に格納されている当該電子私書箱サーバP2の公開鍵証明書および秘密鍵を用いて、PKI認証方式に基づく相互認証を行う(シーケンスSeq3)。
利用者A本人用の電子私書箱サーバP1は、代理処理要求受信手段P11を介して、相互認証手段P15を起動して、利用者情報格納手段P13に格納されている当該電子私書箱サーバP1の公開鍵証明書および秘密鍵を利用して、電子私書箱サーバP2との間で相互認証を行う。
相互認証結果として互いが正当な通信相手であることが認証されると、代理処理要求送信手段P24は、代理人B用端末T2からの代理処理要求を、当該代理人Bのアクセス権に関する認証レベルを示す認証レベル情報を付して、利用者A本人用の電子私書箱サーバP1に対して転送する(シーケンスSeq4)。
代理人B用の電子私書箱サーバP2から前述のような代理処理要求を代理処理要求受信手段P11により受け取った利用者A本人用の電子私書箱サーバP1は、代理権範囲検証手段P12を起動して、代理処理要求に付されている認証レベル情報、および、利用者情報格納手段P13に設定されているP1用代理権範囲設定情報100を参照して、受信した代理処理要求が代理人Bの代理権の範囲内にあるアクセス要求であるか否かを検証する。
ここで、利用者情報格納手段P13に設定されているP1用代理権範囲設定情報100は、例えば、図2に示したように、「アクセス権」、「開示設定」、「合意」の3種類の代理権範囲設定情報からなっており、図2(A)の「アクセス権」の代理権範囲設定情報には、代理人Bによる利用者Aの年金加入記録の閲覧が目的であった場合には、代理人BのPKI認証方式による署名が正当であれば、アクセス権に問題がない旨が設定されている。したがって、利用者A本人用の電子私書箱サーバP1は、代理人Bのアクセス権の確認がなされたものと判定して、処理要求送信手段P14を起動する。なお、代理処理要求に付されている認証レベル情報が、例えば、ID、パスワード方式による認証レベルであった場合、要求されている利用者A本人の個人情報例えば年金加入記録が、当該電子私書箱サーバP1内に保存されていた場合には、代理人Bは、当該利用者A本人の個人情報例えば年金加入記録を参照することが可能であるが、当該電子私書箱サーバP1内には保存されていなかった場合には、サービス提供サーバS1に保有されている当該利用者A本人の個人情報例えば年金加入記録へのアクセス権はないものと判定し、処理要求送信手段P14を起動する動作を行わないようにしても良い。
処理要求送信手段P14は、受信した代理処理要求に含まれている処理要求先のサービス提供サーバS1に対するアクセスを利用者A本人によるアクセスに限定するように、代理人Bではなく利用者A本人による当該利用者A本人の個人情報(年金加入記録)へのアクセス要求とするために、代理処理要求に含まれている要求者を示す代理人Bを、対象者と同じ利用者A本人(利用者Aを示す利用者IDであるサービスID“S1−002”)に書き換えて、代理処理要求ではなく処理要求として編集する。
さらに、処理要求送信手段P14は、編集した処理要求の送信開始時に、まず、相互認証手段P15を起動して、該処理要求の送信先となるサービス提供サーバS1との間で、利用者情報格納手段P13に格納されている当該電子私書箱サーバP1の公開鍵証明書および秘密鍵を用いて、PKI認証方式に基づく相互認証を行う(シーケンスSeq5)。
相互認証結果として互いが正当な通信相手であることが認証されると、処理要求送信手段P14は、編集した処理要求を、処理要求先のサービス提供サーバS1に対して送信する(シーケンスSeq6)。
利用者A本人用の電子私書箱サーバP1から処理要求を受け取ったサービス提供サーバS1は、該処理要求に要求されている利用者A本人の年金加入記録(本実施例の場合、図2、図3に示すように、「年金加入月数」、「標準報酬月額」、「年金見込額」の3つの情報)を読み出して、処理要求の送信元の利用者A本人用の電子私書箱サーバP1に対して、処理要求に対する処理結果として、送信する(シーケンスSeq7)。
利用者A本人用の電子私書箱サーバP1は、サービス提供サーバS1から送信されてきた処理結果を処理結果受信手段P16により受信すると、代理権範囲検証手段P12を起動して、利用者情報格納手段P13に設定されている図2に示したようなP1用代理権範囲設定情報100を参照して、処理結果として受信した利用者A本人の年金加入記録(本実施例の場合、「年金加入月数」、「標準報酬月額」、「年金見込額」の3つの情報)について、「開示設定」、「合意」の代理権範囲設定情報を確認する。
ここで、利用者情報格納手段P13に設定されているP1用代理権範囲設定情報100は、例えば、図2(C)の「合意」の代理権範囲設定情報には、許可/禁止する処理125に示すように、当該電子私書箱サーバP1に、受信した処理結果を保存することが可能である旨が設定されているので、当該処理結果に含まれている当該利用者A本人の年金加入記録の情報を保存する。一方、代理人B用の電子私書箱サーバP2には、保存することが不可能な旨が設定されているので、代理権範囲検証手段P12は、処理結果受信手段P16に、代理人B用の電子私書箱サーバP2には処理結果を保存することが不可能である旨を通知する。
また、例えば、図2(B)に示したように、「開示設定」の代理権範囲設定情報には、開示可否114に示すように、処理結果として受信した利用者A本人の個人情報「年金加入記録」のうち、「標準報酬月額」、「年金見込額」は代理人B向けとしては開示不可能であり、「年金加入月数」のみが開示可能である旨が設定されている。
したがって、代理権範囲検証手段P12から「年金加入月数」のみが開示可能であり、かつ、代理人B用の電子私書箱サーバP2には処理結果の保存が不可能である旨の通知を受け取った処理結果受信手段P16は、サービス提供サーバS1から受信した処理結果に電子私書箱サーバP2には処理結果の保存が不可能な旨を設定するとともに、処理結果送信手段P17は、受信した処理結果に含まれている「年金加入記録」を「年金加入月数」のみに編集し直して、代理人B用の電子私書箱サーバP2から先に受信していた代理処理要求と編集した処理結果とを関連付けて処理履歴保存手段P18に処理履歴として保存するとともに、保存不可能の表示付きの「年金加入月数」のみに編集した処理結果を、代理人B用の電子私書箱サーバP2に送信する(シーケンスSeq8)。
代理人B用の電子私書箱サーバP2は、利用者A本人用の電子私書箱サーバPから送信されてきた処理結果を受信すると、代理権範囲検証手段P22を起動して、利用者情報格納手段P23に設定されている図3に示したようなP2用代理権範囲設定情報200を参照して、処理結果として受信した利用者A本人の年金加入記録(本実施例の場合、「年金加入月数」のみの情報)について、「開示設定」、「合意」の代理権範囲設定情報を確認する。
ここで、利用者情報格納手段P23に設定されているP2用代理権範囲設定情報200は、例えば、図3(C)の「合意」の代理権範囲設定情報には、保存可否225に示すように、処理結果の保存が不可能である旨が設定されており、かつ、利用者A本人用の電子私書箱サーバPからの処理結果にも、当該代理人B用の電子私書箱サーバP2には保存することができない旨が設定されているので、受信した処理結果の保存は行わない。
また、例えば、図3(B)に示したように、「開示設定」の代理権範囲設定情報には、開示可否214に示すように、代理人Bに対して「年金加入月数」の開示が可能である旨が設定されている。
したがって、代理人B用の電子私書箱サーバP2は、代理処理要求として要求された利用者A本人の年金加入記録のうち「年金加入月数」を、処理結果として、要求元の代理人B用の利用者端末つまり代理人B用端末T2に送信する(シーケンスSeq9)。
代理人B用端末T2は、受信した処理結果を、つまり、代理処理要求を行った利用者A本人の年金加入記録のうち、代理人Bの代理権が認められている情報である「年金加入月数」に関する情報を、表示することにより、代理人Bに提示する。
一方、利用者A本人が、代理人Bが実施している代理処理要求を確認しようとする場合、図4(B)に示すような簡単な動作シーケンスになる。
代理人Bが実施している代理処理要求を確認しようとする利用者A本人は、任意の時点で、当該利用者A本人が使用する利用者A本人用端末T1に、代理人Bの代理処理履歴の転送を要求する代理処理履歴要求を入力すると、利用者A本人用端末T1は、まず、該代理処理履歴要求の送信先の利用者A本人用の電子私書箱サーバP1との間で、例えば、互いの公開鍵証明書、秘密鍵を用いて、PKI(Public Key Infrastructure)認証方式に基づく相互認証を行う(シーケンスSeq11)。
利用者A本人用の電子私書箱サーバP1は、代理処理履歴要求受信手段P19aを介して、相互認証手段P15を起動して、利用者情報格納手段P13に格納されている当該電子私書箱サーバP1の公開鍵証明書および秘密鍵を利用して、利用者A本人用端末T1との間で相互認証を行う。
相互認証結果として互いが正当な通信相手であることが認証されると、利用者A本人用端末T1は、利用者A本人が入力した代理人Bの代理処理履歴の取得要求を代理処理履歴要求として、利用者A本人用の電子私書箱サーバP1に対して送信する(シーケンスSeq12)。
利用者A本人用端末T1から代理人Bに関する代理処理履歴要求を代理処理履歴要求受信手段P19aにより受け取った利用者A本人用の電子私書箱サーバP1は、処理履歴読出手段P19bを起動して、処理履歴保存手段P18に保存されている代理人Bによる代理処理要求と該代理処理要求による処理結果の履歴を読み出す。
処理履歴保存手段P18から読み出した代理人Bによる代理処理要求と該代理処理要求による処理結果の履歴を、代理人Bの利用者A本人の個人情報に関する処理内容を示す代理処理履歴として、代理処理履歴送信手段P19cにより、利用者A本人用端末T1に送信する(シーケンスSeq13)。
利用者A本人用端末T1は、受信した代理人Bの代理処理履歴を表示することにより、利用者A本人に提示する。
(その他の実施形態)
前述した代理権範囲設置情報の設定例や動作シーケンスの説明においては、代理人Bからの代理処理要求が、利用者A本人の個人情報を閲覧するという処理内容の場合について説明したが、例えば、利用者A本人の個人情報の追加や削除や更新等、利用者A本人の個人情報に対して、利用者A本人に代わって、代理人Bが何らかの編集処理を、代理処理要求として、サービス提供サーバS1等に対して要求する場合であっても、全く同様に適用することができる。
また、前述の動作例の説明においては、代理人Bからの代理処理要求が、「アクセス権」としては、電子私書箱サーバP1,P2のいずれにおいても代理権の範囲内にあり、「開示設定」「合意」としては代理権が制限されている場合について説明したが、利用者A本人により設定されるP1用代理権範囲設定情報100、P2用代理権範囲設定情報200の登録内容如何により、代理人Bによる代理権の範囲を任意に変更することができる。
また、前述の図2のP1用代理権範囲設定情報100の代理権設定範囲とP2用代理権範囲設定情報200の代理権設定範囲とは、設定誤りによる情報漏洩を防止するために同一の登録内容としている例を示したが、場合によっては、両者で異なる代理権の設定が行われる場合を認めるようにしても良い。例えば、本人認証の点から、利用者A本人用の電子私書箱サーバP1のP1用代理権範囲設定情報100は、利用者A本人が、代理人Bに関する代理権範囲を設定登録することになるが、代理人用の電子私書箱サーバP2のP2用代理権範囲設定情報200については、利用者A本人の同意を得た代理人Bが、代理人B自身に関する代理権範囲を設定登録するようにしても良い。
ただし、かかる場合には、利用者A本人用の電子私書箱サーバP1から、代理人用の電子私書箱サーバP2へ処理結果を送信する際に、P1用代理権範囲設定情報100に設定されている代理権範囲に関する情報(特に、図2(C)に示す「合意」の代理権範囲設定情報のように、他の電子私書箱サーバに関する代理権範囲を設定している代理権範囲設定情報)も合わせて、代理人用の電子私書箱サーバP2へ送信し、代理人用の電子私書箱サーバP2において、代理人Bの代理権の範囲を検証する際に、当該電子私書箱サーバP2の利用者情報格納手段P23に設定されているP2用代理権範囲設定情報200の代理権範囲と、電子私書箱サーバP1から送信されてきたP1用代理権範囲設定情報100の代理権範囲と、の双方の設定内容に基づいて、代理権の範囲を検証することが必要である。
また、図2の電子私書箱サーバP1における利用者A本人の個人情報に関する代理人Bの代理権範囲設定情報は、図2に示す場合に限るものではない。例えば、図2(A1)の「アクセス権」の代理権範囲設定情報、図2(B)の「開示設定」の代理権範囲設定情報、図2(C)の「合意」の代理権範囲設定情報それぞれの種別102,112,122欄を、それぞれの登録テーブルに関する合理性チェック用の情報として備えている例を示したが、場合によっては、種別102,112,122欄を削除しても良い。また、図2(C)の「合意」の代理権範囲設定情報のアクセス対象情報123欄についても、該代理権範囲設定情報としてサービスIDが設定されているので、場合によっては、削除しても良い。さらに、図2(C)の「合意」の代理権範囲設定情報は、対象サーバ124欄を設けて、電子私書箱サーバ単位に代理権範囲設定情報を設定する例を示したが、対象サーバ124欄の代わりに、対象私書箱利用者ID欄を設けて、利用者ごとにさらにきめ細かな代理権範囲設定情報を設定できるようにしても良い。
同様に、図3の電子私書箱サーバP2における利用者A本人の個人情報に関する代理人Bの代理権範囲設定情報についても、図3(A)の「アクセス権」の代理権範囲設定情報、図3(B)の「開示設定」の代理権範囲設定情報、図3(C)の「合意」の代理権範囲設定情報それぞれの種別202,212,222欄を場合によっては削除しても良い。また、図3(C)の「合意」の代理権範囲設定情報のアクセス対象情報223欄についても場合によっては削除しても良い。さらに、図3(C)の「合意」の代理権範囲設定情報の対象サーバ224欄の代わりに、対象私書箱利用者ID欄を設けて、利用者ごとにさらにきめ細かなポリシー情報を設定できるようにしても良い。
なお、前述の動作シーケンスにおいては、代理人B用端末T2、利用者A本人用端末T1等の利用者端末からの代理処理要求や代理処理履歴要求に応じて、サービス提供サーバS1や利用者A本人用の電子私書箱サーバP1等から、要求された処理結果や代理処理履歴を、要求元の利用者端末に返送するという、いわゆる、PULL型のサービス提供形態について説明した。
しかし、本発明は、かかるPULL型のサービス形態に限るものではなく、サービス提供サーバS1等のサービス提供サーバは、あらかじめ定めた何らかの配信条件に基づいて(例えば、あらかじめ定めた一定周期ごとに、および/または、保有している個人情報や処理履歴に変更が発生した場合、等)、サービス提供サーバS1等から、利用者A本人の個人情報を処理した結果を、処理結果として、利用者A本人の電子私書箱サーバ(利用者A本人用電子私書箱サーバP1)へ能動的に配信して、当該電子私書箱サーバに保存したり、さらには、当該電子私書箱サーバ(利用者A本人用電子私書箱サーバP1)においてあらかじめ定めた私書箱用配信条件(例えば、あらかじめ定めた一定周期ごと、および/または、前記サービス提供サーバから前記処理結果を受信した際、等)が成立した際に、代理人Bが利用する代理人B用電子私書箱サーバP2に対して、当該利用者本人の個人情報の処理結果を能動的に配信したりするという、いわゆる、PUSH型のサービス提供形態であっても適用することができる。
例えば、本発明におけるPUSH型のサービス提供形態について、図5のシーケンスチャートを用いてさらに説明する。図5は、図1に示すサービス提供システムの動作の図4とは異なる他の例を示すシーケンスチャートであり、サービス提供サーバS1等は、前述したようなあらかじめ定めた配信条件が成立した際に、利用者A本人の個人情報に関する処理結果を、利用者A本人用電子私書箱サーバP1に能動的に配信し、さらに、利用者本人A用電子私書箱サーバP1は、前記私書箱用配信条件の一つとして、サービス提供サーバS1等から該処理結果を受け取った際に、直ちに、受け取った該処理結果のうち代理人Bの代理権の範囲に応じた情報を代理人B用電子私書箱サーバP2に対して能動的に配信するという、PUSH型のシーケンスを示している。ここで、図5(A)は、配信条件が成立した際にサービス提供サーバS1による利用者A本人の個人情報に関する処理結果を利用者本人A用電子私書箱サーバP1さらには代理人B用電子私書箱サーバP2に対して能動的に配信する場合の動作の一例を示し、図5(B)は、利用者A本人が、代理人Bにより実施された当該利用者A本人の個人情報に関する代理処理の履歴を取得する場合の動作の一例を示している。
なお、以下の動作例の説明においては、図4のシーケンスチャートの場合と同様、サービス提供サーバS1に保存されている利用者A本人の個人情報の一つである年金加入記録の処理結果を、配信条件(例えば、あらかじめ定めた一定周期ごとに、および/または、保有している個人情報や処理履歴に変更が発生した場合、等)に応じて配信しようとする場合の動作について説明する。
サービス提供サーバS1は、あらかじめ定めた配信条件が成立した場合、保有している利用者A本人の年金加入記録を読み出して、当該利用者A本人用の電子私書箱サーバP1に対して、処理結果として、送信する動作を起動する。ここで、サービス提供サーバS1は、配信動作の開始時に、まず、該処理結果の送信先となる利用者A本人用の電子私書箱サーバP1との間で、例えば、公開鍵証明書および秘密鍵を用いて、PKI認証方式に基づく相互認証を行う(シーケンスSeq21)。
相互認証結果として互いが正当な通信相手であることが認証されると、サービス提供サーバS1は、利用者A本人の年金加入記録情報を、所定の処理結果として、当該利用者A本人用の電子私書箱サーバP1に対して送信する(シーケンスSeq22)。
利用者A本人用の電子私書箱サーバP1は、サービス提供サーバS1から送信されてきた処理結果を処理結果受信手段P16により受信すると、代理権範囲検証手段P12を起動して、利用者情報格納手段P13に設定されているP1用代理権範囲設定情報を参照して、処理結果として受信した利用者A本人の年金加入記録について、「開示設定」、「合意」の代理権範囲設定情報を確認する。
代理権範囲検証手段P12は、利用者情報格納手段P13に設定されているP1用代理権範囲設定情報のうち、「合意」の代理権範囲設定情報として、当該電子私書箱サーバP1に受信した処理結果を保存することが可能である旨が設定されている場合、当該処理結果として受信した利用者A本人の年金加入記録の情報を保存する。
また、代理権範囲検証手段P12は、P1用代理権範囲設定情報のうち、「開示設定」の代理権範囲設定情報を参照して、処理結果として受信した利用者A本人の個人情報「年金加入記録」のうち、代理人Bの代理権の範囲として代理人B向けに開示可能な年金加入記録の情報(図2のP1用代理権範囲設定情報100の例では、「年金加入月数」「標準報酬月額」「年金見込額」のうち「年金加入月数」のみが代理権の範囲として代理人Bに開示可能な情報)を確認し、処理結果送信手段P17に通知する。
代理権範囲検証手段P12から利用者A本人の個人情報「年金加入記録」に関する代理人Bの代理権の範囲を受け取った処理結果送信手段P17は、サービス提供サーバS1から受信した処理結果のうち代理人Bの代理権の範囲に属する情報(図2の例では、「年金加入月数」)のみに編集し直すとともに、代理人B用の電子私書箱サーバP2への転送動作の開始時に、該処理結果の転送先となる代理人B用の電子私書箱サーバP2との間で、例えば、公開鍵証明書および秘密鍵を用いて、PKI認証方式に基づく相互認証を行う(シーケンスSeq23)。
相互認証結果として互いが正当な通信相手であることが認証されると、処理結果送信手段P17は、代理権の範囲の情報として編集した処理結果を代理人B用の電子私書箱サーバP2に転送するとともに、処理履歴保存手段P18に代理人B用の電子私書箱サーバP2に転送した該処理結果を処理履歴として保存する(シーケンスSeq24)。
代理人B用の電子私書箱サーバP2は、利用者A本人用の電子私書箱サーバPから送信されてきた処理結果を受信すると、代理権範囲検証手段P22を起動して、利用者情報格納手段P23に設定されているP2用代理権範囲設定情報を参照して、処理結果として受信した利用者A本人の年金加入記録について、「合意」の代理権範囲設定情報を確認する。
ここで、利用者情報格納手段P23に設定されているP2用代理権範囲設定情報のうち、「合意」の代理権範囲設定情報に、代理人Bの代理権の範囲として、処理結果として受信した利用者A本人の年金加入記録について、保存が可能である旨が設定されている場合には保存し、保存が不可能である旨が設定されている場合については、一切保存しない。
しかる後、利用者A本人の代理人Bは、代理人B用の利用者端末つまり代理人B用端末T2に、利用者A本人に関する個人情報の代理処理を要求する代理処理要求を入力すると、代理人B用端末T2は、まず、該代理処理要求の送信先の代理人B用の電子私書箱サーバP2との間で、例えば、互いの公開鍵証明書、秘密鍵を用いて、PKI(Public Key Infrastructure)認証方式に基づく相互認証を行う(シーケンスSeq25)。なお、代理人Bの認証は、図5のシーケンスSeq25のようにPKI認証方式による相互認証を実施する場合以外に、複数の認証レベルを備えることが可能であり、例えば、代理人Bの認証レベルとして、ID、パスワード認証方式により代理人B用の電子私書箱サーバP2が代理人B用端末T2の認証を実施するように設定しても良い。
相互認証結果として互いが正当な通信相手であることが認証されると、代理人B用端末T2は、代理人Bが入力した代理人B用の処理要求を、代理処理要求として、代理人B用の電子私書箱サーバP2に対して送信する(シーケンスSeq26)。ここで、該代理処理要求は、前述のように、利用者A本人の年金加入記録を閲覧する処理要求である。
代理人B用端末T2から前述のような代理処理要求を代理処理要求受信手段P21により受け取った代理人B用の電子私書箱サーバP2は、代理権範囲検証手段P22を起動して、利用者情報格納手段P23に設定されているP2用代理権範囲設定情報を参照して、受信した代理処理要求が代理人Bの代理権の範囲内にあるアクセス要求であるか否かを検証する。
ここで、利用者情報格納手段P23に設定されているP2用代理権範囲設定情報のうち、「アクセス権」の代理権範囲設定情報に、代理人Bによる利用者A本人の年金加入記録の閲覧の場合には、代理人Bの認証レベルとして、代理人BのPKI認証方式による署名が正当であれば、アクセス権に問題がない旨が設定されていた場合には、代理人Bのアクセス権の確認がなされたものと判定し、次に、利用者A本人の年金加入記録が処理結果として保存されているか否かを確認する。
利用者A本人の年金加入記録が処理結果として保存されている場合、代理権範囲検証手段P22は、P2用代理権範囲設定情報のうち、「開示設定」の代理権範囲設定情報に、代理人Bの代理権の範囲として、保存されている利用者A本人の年金加入記録(例えば「年金加入月数」)に関して、代理人Bに開示することが可能な情報であるか否かを確認する。
確認結果として、保存されている利用者A本人の年金加入記録のうち、「開示設定」の代理権範囲設定情報に、開示が可能である旨が設定されている情報(例えば、利用者A本人の「年金加入月数」)のみを取り出して、取り出した利用者A本人の年金加入記録の情報(例えば、利用者A本人の「年金加入月数」)を代理処理要求元の代理人用端末T2に対して送信する(シーケンスSeq27)。
代理人B用端末T2は、受信した処理結果を、つまり、代理処理要求を行った利用者A本人の年金加入記録のうち、代理人Bの代理権が認められている情報(例えば「年金加入月数」に関する情報)を、表示することにより、代理人Bに提示する。
一方、利用者A本人が、代理人Bが実施している代理処理要求の履歴を確認しようとする場合、図5(B)に示すような簡単な動作シーケンスになる。つまり、図4(B)のシーケンスチャートの場合と同様に、利用者A本人用の電子私書箱サーバP1の処理履歴保存手段P18に保存されている代理処理要求の履歴情報を、要求元の利用者A本人に送信することになるが、図5(A)に示すようなPUSH型のサービス提供形態の場合は、利用者A本人用の電子私書箱サーバP1から代理人B用の電子私書箱サーバP2に転送した該処理結果の履歴情報が、処理履歴保存手段P18に保存されていることになり、図5(B)のシーケンスチャートにおいては、代理人B用の電子私書箱サーバP2に転送した処理結果の履歴情報を、代理人Bの代理処理要求の履歴として、要求元の利用者A本人に送信することになる。
つまり、代理人Bが実施している代理処理要求を確認しようとする利用者A本人が、任意の時点で、当該利用者A本人が使用する利用者A本人用端末T1に、代理人Bの代理処理履歴の転送を要求する代理処理履歴要求を入力すると、利用者A本人用端末T1は、まず、該代理処理履歴要求の送信先の利用者A本人用の電子私書箱サーバP1との間で、例えば、互いの公開鍵証明書、秘密鍵を用いて、PKI(Public Key Infrastructure)認証方式に基づく相互認証を行う(シーケンスSeq28)。
相互認証結果として互いが正当な通信相手であることが認証されると、利用者A本人用端末T1は、利用者A本人が入力した代理人Bの代理処理履歴の取得要求を代理処理履歴要求として、利用者A本人用の電子私書箱サーバP1に対して送信する(シーケンスSeq29)。
利用者A本人用端末T1から代理人Bに関する代理処理履歴要求を代理処理履歴要求受信手段P19aにより受け取った利用者A本人用の電子私書箱サーバP1は、処理履歴読出手段P19bを起動して、処理履歴保存手段P18に保存されている代理人Bの代理処理要求に関する処理結果の履歴(つまり代理人B用の電子私書箱サーバP2に転送した利用者A本人用の個人情報「年金加入記録」の処理結果の履歴)を読み出す。
処理履歴保存手段P18から読み出した代理人Bの代理処理要求に関する処理結果の履歴(つまり代理人B用の電子私書箱サーバP2に転送した利用者A本人用の個人情報「年金加入記録」の処理結果の履歴)を、代理人Bの利用者A本人の個人情報に関する処理内容を示す代理処理履歴として、代理処理履歴送信手段P19cにより、利用者A本人用端末T1に送信する(シーケンスSeq30)。
利用者A本人用端末T1は、受信した代理人Bの代理処理履歴を表示することにより、利用者A本人に提示する。
以上のように、PUSH型のサービス提供形態においては、保有している利用者の個人情報に関するサービスを提供するサービス提供サーバS1が、前記利用者の個人情報を処理した結果を、処理結果として、あらかじめ定めた配信条件に基づいて、電子私書箱サーバに能動的に配信し、前記電子私書箱サーバ内に保存する仕組みを有している。
かかる形態のサービス提供システムにおいて、前記電子私書箱サーバは、利用者A本人が利用する利用者A本人用電子私書箱サーバP1と代理人Bが利用する代理人B用電子私書箱サーバP2とからなり、利用者A本人用電子私書箱サーバP1は、サービス提供サーバS1から利用者A本人の個人情報に関する処理結果を受信した際に、代理人Bの代理権の範囲に応じて代理人B用電子私書箱サーバP2に対して能動的に転送するとともに、利用者A本人に関する個人情報の処理結果を代理人B用電子私書箱サーバP2に転送した旨を、代理処理履歴として、保存する。
一方、代理人B用電子私書箱サーバP2は、利用者A本人用電子私書箱サーバP1から転送されてきた利用者A本人の個人情報に関する処理結果を、代理人Bの代理権の範囲に応じて保存する。そして、代理人B用電子私書箱サーバP2は、代理人Bの代理人B用端末T2から利用者A本人に関する個人情報の処理結果を取得するための代理処理要求を受信した際に、該代理処理要求にて指定されている利用者A本人に関する個人情報の処理結果を保存しているか否かを確認し、保存している場合、保存している利用者A本人に関する個人情報の処理結果を、代理人Bの代理権の範囲に応じて、前記代理処理要求を送信してきた要求元の代理人B用端末T2に返送する。
また、利用者A本人用電子私書箱サーバP1は、利用者A本人が使用する利用者A本人用端末T1から、当該利用者A本人の個人情報に関する代理人Bによる代理処理要求の履歴を取得するための代理処理履歴要求を受信した際に、保存している前記代理処理履歴を、要求元の利用者A本人用端末T1に送信する。
なお、代理人B用端末T2から代理人B用電子私書箱サーバP2に対して前記代理処理要求を送信する通信の開始時に、PKI(Public Key Infrastructure)認証方式により代理人B用端末と代理人B用電子私書箱サーバP2との間で相互認証を実施するか、または、ID、パスワード認証方式により代理人B用電子私書箱サーバP2が代理人B用端末の認証を実施する。
さらに、利用者A本人用電子私書箱サーバP1、代理人B用電子私書箱サーバP2は、代理人Bの利用者A本人の個人情報を代理処理する代理権の範囲を利用者A本人が任意に設定することができる代理権範囲設定情報をそれぞれ有し、利用者A本人用電子私書箱サーバP1は、当該利用者A本人用電子私書箱サーバP1に設定されている前記代理権範囲設定情報に基づいて、サービス提供サーバS1から受信した前記処理結果を保存するか否かを決定するとともに、当該利用者A本人用電子私書箱サーバP1に設定されている前記代理権範囲設定情報に基づいて、サービス提供サーバS1から受信した前記処理結果を編集し直して、代理人B用電子私書箱サーバP2に転送し、一方、代理人B用電子私書箱サーバP2は、当該代理人B用電子私書箱サーバP2に設定されている前記代理権範囲設定情報に基づいて、利用者A本人用電子私書箱サーバP1から転送されてきた前記処理結果を保存するか否かを決定し、かつ、代理人B用端末T2から代理処理要求を受け取った際に、当該代理処理要求に指定されている利用者本人の個人情報に関する処理結果が保存されていた場合、当該代理人B用電子私書箱サーバP2に設定されている前記代理権範囲設定情報に基づいて、保存されている前記処理結果を編集し直して、要求元の代理人B用端末T2に送信する。
(実施形態の効果の説明)
以上に詳細に説明したように、本実施形態によれば、代理人Bが利用者A本人に代わってサービス提供サーバS1等にアクセスして利用者Aに関する個人情報を代理処理する際に、代理人B用の電子私書箱サーバP2と利用者A本人用の電子私書箱サーバP1とを経由して各電子私書箱サーバP1,P2の利用者情報格納手段P13,P23それぞれにあらかじめ設定されている代理人Bの代理権の範囲内でのアクセスを可能とし、かつ、代理人Bが行った代理処理要求に基づいてサービス提供サーバS1等にて実施された利用者A本人に関する個人情報の処理結果をサービス提供サーバS1等から受信する際には、利用者A本人用の電子私書箱サーバP1でまず受信し、代理処理した処理結果を代理処理要求と関連付けて処理履歴保存手段P18に保存し、利用者A本人による読出しを可能とした上で、代理人B用の電子私書箱サーバP2に転送する仕組みとしているので、以下のような作用効果が得られる。
第1に、代理人Bに、利用者A本人の個人情報に関する代理処理を依頼している場合であっても、利用者A本人用の電子私書箱サーバP1に、代理人Bによって実施された当該利用者A本人の個人情報に関する代理処理のすべての履歴を代理処理履歴(つまり、代理人Bの代理処理要求と該代理処理要求により実施された処理結果)として保存しているので、代理処理要求を実行するサービス提供サーバの如何に関係なく、利用者A本人は、代理人Bによる当該利用者A本人の個人情報に関する代理処理内容を、漏れなく、取得することができる。而して、利用者A本人は、代理人Bによって当該利用者A本人にとって不利益となる処理がされたか否かを容易にチェックすることができる。
第2に、代理人Bの代理権の設定は、電子私書箱サーバ側で実施し、サービス提供サーバS1等のサービス提供サーバに対する処理要求は、利用者A本人のみからなされる形態になるので、サービス提供サーバ側では、代理権の設定を行う必要がなく、サービス提供サーバ側に代理権の設定に関する処理負荷がかかることを防止することができる。