JP5720831B2 - 個人情報の改ざん防止と個人情報流通否認防止のための個人情報管理装置、サービス提供装置、プログラム、個人情報管理方法、照合方法、および個人情報照合システム - Google Patents

個人情報の改ざん防止と個人情報流通否認防止のための個人情報管理装置、サービス提供装置、プログラム、個人情報管理方法、照合方法、および個人情報照合システム Download PDF

Info

Publication number
JP5720831B2
JP5720831B2 JP2014086430A JP2014086430A JP5720831B2 JP 5720831 B2 JP5720831 B2 JP 5720831B2 JP 2014086430 A JP2014086430 A JP 2014086430A JP 2014086430 A JP2014086430 A JP 2014086430A JP 5720831 B2 JP5720831 B2 JP 5720831B2
Authority
JP
Japan
Prior art keywords
personal information
registration certificate
management device
service providing
received
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2014086430A
Other languages
English (en)
Other versions
JP2014139838A (ja
Inventor
誠 畠山
誠 畠山
秀仁 五味
秀仁 五味
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2014086430A priority Critical patent/JP5720831B2/ja
Publication of JP2014139838A publication Critical patent/JP2014139838A/ja
Application granted granted Critical
Publication of JP5720831B2 publication Critical patent/JP5720831B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Strategic Management (AREA)
  • Human Resources & Organizations (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Entrepreneurship & Innovation (AREA)
  • General Business, Economics & Management (AREA)
  • Economics (AREA)
  • Accounting & Taxation (AREA)
  • Health & Medical Sciences (AREA)
  • Technology Law (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Multimedia (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Finance (AREA)
  • Game Theory and Decision Science (AREA)
  • Development Economics (AREA)
  • Educational Administration (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Description

本発明は、個人情報管理装置、サービス提供装置、プログラム、個人情報管理方法、照合方法、および個人情報照合システムに関し、特に、信頼できる第三者がいない場合でも、個人情報の改ざんを防止し、個人情報の送受信の否認を防止できる個人情報管理装置、サービス提供装置、プログラム、個人情報管理方法、照合方法、および個人情報照合システムに関する。
関連技術の情報流通保証システムの一例が、特許文献1(特開2002−183491号公報)に記載されている。図24に示すように、この特許文献1に記載の情報流通保証システムは、ユーザ端末、電子文書仲介装置と、サービス提供者装置とから構成されている。電子文書仲介装置は、暗号/復号部と、認証部と、通信内容保管DBと、アクセス記録DBから構成されており、サービス提供者装置は、暗号/復号部と認証部から構成される。
このような構成を有する情報流通保証システムは次のように動作する。
すなわち、電子文書仲介装置を介してユーザ端末とサービス提供者を暗号化された通信路で繋ぎ、サービス提供者がユーザ端末に電子文書を送付する際には、必ず電子文書仲介装置が中継する。電子文書仲介装置は、サービス提供者から受け取った電子文書をユーザ端末に転送するのではなく、一度通信内容保管DBに保管し、ユーザ端末に電子文書受信通知を送付する。ユーザ端末は、電子文書受信通知を受け取った後で、電子文書にアクセスする。そのときに、電子文書仲介装置は、アクセス記録DBにユーザがアクセスしたことを記録する。電子文書仲介装置は、通信内容保管DBに保管されている通信内容と、ユーザ端末とサービス提供者が管理している情報を照合することで、ユーザ端末とサービス提供者のどちらが情報を改ざんしたか判断することができる。
特開2002−183491号公報
日本電子公証機構:http://www.jnotary.com/service_new/service_new.html ベリサイン:http://www.verisign.co.jp/mpki/benefits/option/notarization.html XML暗号:W3C Recommendation,"XML Encryption Syntax and Processing", 10 December 2002 http://www.w3.org/TR/xmlenc-core/ XML署名:W3C Recommendation,"XML-Signature Syntax and Processing", 12 February 2002 http://www.w3.org/TR/xmldsig-core/
しかしながら、上述した情報流通保証システムは、以下に示す問題点を有する。
第1の問題点は、個人情報を流通させる際に第三者が個人情報の流通を監視していない状況では、サービス提供装置が個人情報の受信を否認することを防止できないということである。
その理由は、サービス提供装置が個人情報を受信したことを確認するための手段を個人情報管理装置が持たないためである。特許文献1にあるような第三者が個人情報の流通を監視している状況では、第三者はサービス提供装置と個人情報管理装置を特定しているため、否認を防止することができる。しかし、第三者が存在すると個人情報の流通を全て監視できるが、第三者に個人情報の送受信の情報を渡すため、多くの通信が発生して通信負荷が高くなる。また、第三者の流通監視サービスを利用すると、サービス利用のためのコストが発生してしまう。そこで、負荷やコストを削減するために、個人情報を送受信する装置が流通を監視することが求められる。
しかし、個人情報管理装置とサービス提供装置しか存在しない場合には、サービス提供装置が個人情報を受信したことを個人情報管理装置は確認できない。サービス提供装置が個人情報を受信したことを個人情報管理装置に伝える確認メッセージの送受信があれば、個人情報管理装置はサービス提供装置が受信したことを確認できる。しかし、このような確認メッセージをサービス提供装置が送信しない場合でもサービス提供装置は個人情報を取得し、利用できる。そのため、サービス提供装置が個人情報の送受信を否認した場合、個人情報管理装置はこれを防ぐことができない。
ここで、個人情報の流通を監視する第三者として、例えば、電子公証サービスを提供する日本電子公証機構(http://www.jnotary.com/service_new/service_new.html、非特許文献1)や、ベリサイン(http://www.verisign.co.jp/mpki/benefits/option/notarization.html、非特許文献2)等がある。これら電子公証サービスを提供する第三者が、電子公証サービス利用者から個人情報等を受け取り、その個人情報等の内容を保証する証明書を発行することによって、当該利用者や当該利用者にコンテンツ等を提供するプロバイダ等が、この証明書によって個人情報等が正しいことを確認する。
第2の問題点は、個人情報を流通させるときに第三者が個人情報の流通を監視していない状況では、流通させる個人情報が改ざんされていないことを個人情報管理装置とサービス提供装置は確認できないということである。
その理由は、個人情報管理装置とサービス提供装置は自身が送受信するメッセージのみを確認しても、通信相手が不正に情報を改ざんしていないことを確認できないためである。特許文献1に挙げた電子文書仲介装置のような第三者が個人情報の流通を全て監視している状況ならば、どちらが個人情報を不正に改ざんしているか判断できる。しかし、第三者が存在すると個人情報の流通を全て監視できるが、第三者に個人情報の送受信の情報を渡すため、多くの通信が発生して通信負荷が高くなる。また、第三者が提供する流通監視サービスを利用すると、サービス利用のためのコストが発生する。そこで、負荷やコストを削減するために、個人情報を送受信する装置が流通を監視することが求められる。
一方、第三者が存在しない場合には、個人情報管理装置とサービス提供装置はそれぞれが送受信したメッセージを確認し、改ざんしていないことを確認することになる。この状況では、サービス提供装置が個人情報管理装置からユーザの個人情報を取得したときに、ユーザが登録した個人情報と、個人情報管理装置が送付した個人情報が同じであるか判断することができない。なぜならば、サービス提供装置は、個人情報を所持していないため、改ざんを確認するための情報が無いからである。もし、個人情報管理装置が個人情報を改ざんしても、サービス提供装置は確認するための情報がないため、個人情報が改ざんされたことを検出することができない。
第3の問題点は、個人情報を流通させるときに第三者が個人情報の流通を監視していない状況では、個人情報の流通が正しく行われていることを任意のタイミングで確認できないということである。
その理由は、通信相手が送受信したメッセージを確認して、個人情報が改ざんされていたり、送受信が否認されることなく正しく流通されたことを確認できないためである。第三者が個人情報の流通を監視している状況では、全ての情報を第三者が保持しているため、その情報を参照すれば情報流通が正しく行われたことをいつでも確認できる。また、個人情報を送受信するときには、自身が何の情報を送受信したかを確認できる。しかし、個人情報の送受信が終了すると、自身の通信ログのみが残る。自身のログだけでは、第1の問題点と同様に、通信相手が処理した内容を確認できないため、情報の送受信が正しく行われていたことを示す通信相手の情報が無い。そのため、相手が送付した情報を確認できない。
(発明の目的)
本発明の目的は、公正な第三者が個人情報の送受信に関する公証を行っていない状況において、個人情報管理装置が送信した情報をサービス提供装置が受信する際に、サービス提供装置が個人情報を受信したことを否認できないようにする個人情報照合システムを提供することにある。
本発明の他の目的は、公正な第三者が個人情報流通に関する公証を行っていない状況でも、個人情報管理装置とサービス提供装置が個人情報を送受信するときに、送受信する個人情報が改ざんされた場合にその改ざんを検出することを可能にする個人情報照合システムを提供することにある。
本発明のさらに他の目的は、個人情報管理装置とサービス提供装置が、個人情報が改ざんされずに送受信されたことを任意のタイミングで確認できる個人情報照合システムを提供することにある。
本発明の個人情報照合システムは、ユーザ端末から受信した個人情報を登録するとともに、当該登録した個人情報から生成した証明データを含む個人情報登録証明書を発行して、前記ユーザ端末へ送信する、個人情報登録手段と、サービス提供装置から受信した個人情報登録証明書に対する前記個人情報を前記サービス提供装置へ送信する、個人情報要求確認手段と、を含む個人情報管理装置と、前記個人情報を前記個人情報管理装置に送信して、当該個人情報に対する前記個人情報登録証明書を受信し、当該個人情報登録証明書を用いて、前記個人情報管理装置における前記個人情報の改ざん有無を確認し、改ざんされていない場合に、当該個人情報登録証明書を前記サービス提供装置へ送信する、前記ユーザ端末と、前記ユーザ端末から受信した前記個人情報登録証明書を前記個人情報管理装置に送信して、当該個人情報登録証明書に対する前記個人情報を受信する、個人情報要求手段と、前記ユーザ端末から受信した前記個人情報登録証明書を用いて、前記個人情報管理装置から受信した前記個人情報の改ざん有無を確認する、個人情報確認手段と、を含むサービス提供装置と、を備える。
本発明のサービス提供装置は、ユーザ端末から受信した個人情報登録証明書を個人情報管理装置に送信して、当該個人情報登録証明書に対する個人情報を受信する、個人情報要求手段と、前記ユーザ端末から受信した前記個人情報登録証明書を用いて、前記個人情報管理装置から受信した前記個人情報の改ざん有無を確認する、個人情報確認手段と、を備えた、サービス提供装置であって、前記個人情報管理装置は、前記ユーザ端末から受信した前記個人情報を登録するとともに、当該登録した個人情報から生成した証明データを含む前記個人情報登録証明書を発行して、前記ユーザ端末へ送信し、前記サービス提供装置から受信した前記個人情報登録証明書に対する前記個人情報を前記サービス提供装置へ送信し、前記ユーザ端末は、前記個人情報を前記個人情報管理装置に送信して、当該個人情報に対する前記個人情報登録証明書を受信し、当該個人情報登録証明書を用いて、前記個人情報管理装置における前記個人情報の改ざん有無を確認し、改ざんされていない場合に、当該個人情報登録証明書を前記サービス提供装置へ送信する。
本発明の照合方法は、ユーザ端末において、個人情報を個人情報管理装置に送信し、前記個人情報管理装置において、前記ユーザ端末から受信した前記個人情報を登録するとともに、当該登録した個人情報から生成した証明データを含む個人情報登録証明書を発行して、前記ユーザ端末へ送信し、前記ユーザ端末において、前記個人情報管理装置から前記個人情報に対する前記個人情報登録証明書を受信し、当該個人情報登録証明書を用いて、前記個人情報管理装置における前記個人情報の改ざん有無を確認し、改ざんされていない場合に、当該個人情報登録証明書をサービス提供装置へ送信し、前記サービス提供装置において、前記ユーザ端末から受信した前記個人情報登録証明書を前記個人情報管理装置に送信し、前記個人情報管理装置において、前記サービス提供装置から受信した前記個人情報登録証明書に対する前記個人情報を前記サービス提供装置へ送信し、前記サービス提供装置において、前記個人情報管理装置から前記個人情報登録証明書に対する前記個人情報を受信し、前記ユーザ端末から受信した前記個人情報登録証明書を用いて、前記個人情報管理装置から受信した前記個人情報の改ざん有無を確認する。
本発明のプログラムは、コンピュータに、ユーザ端末から受信した個人情報登録証明書を個人情報管理装置に送信して、当該個人情報登録証明書に対する個人情報を受信する、個人情報要求処理と、前記ユーザ端末から受信した前記個人情報登録証明書を用いて、前記個人情報管理装置から受信した前記個人情報の改ざん有無を確認する、個人情報確認処理と、を実行させる、サービス提供装置用のプログラムであって、前記個人情報管理装置は、前記ユーザ端末から受信した前記個人情報を登録するとともに、当該登録された個人情報から生成した証明データを含む前記個人情報登録証明書を発行して、前記ユーザ端末へ送信し、前記サービス提供装置から受信した前記個人情報登録証明書に対する前記個人情報を前記サービス提供装置へ送信し、前記ユーザ端末は、前記個人情報を前記個人情報管理装置に送信して、当該個人情報に対する前記個人情報登録証明書を受信し、当該個人情報登録証明書を用いて、前記個人情報管理装置における前記個人情報の改ざん有無を確認し、改ざんされていない場合に、当該個人情報登録証明書を前記サービス提供装置へ送信する。
本発明によれば、以下に示す効果を達成することができる。
第1の効果は、サービス提供装置が個人情報の受信を否認することを、個人情報管理装置が通信負荷を抑えて低コストで防止できることである。
第2の効果は、個人情報管理装置がユーザ端末から取得した個人情報を改ざんしているか否かをサービス提供装置が低コストで検証できることである。
第3の効果は、個人情報管理装置とサービス提供装置は、個人情報が改ざんされずに送受信されたこと、また、否認されずに送受信されたことを任意のタイミングに低コストで確認できることである。
第4の効果は、適切な個人情報のみを送受信していることを主張できることである。
第5の効果は、個人情報を利用したサービスを低コストで容易に提供できることである。
本発明の第1の実施の形態の構成の概略を示す図である。 第1の実施の形態の構成を示すブロック図である。 第1の実施の形態の個人情報保管手段において記録される個人情報の例を示す図である。 第1の実施の形態の復号鍵保管手段において登録される情報(テーブル)の例を示す図である。 第1の実施の形態による個人情報管理装置及びサービス提供装置のハードウェア構成例を示すブロック図である。 第1の実施の形態の動作を示す概略図である。 第1の実施の形態の動作を示すフローチャートである。 本発明の第2の実施の形態の動作を示す概略図である。 第2の実施の形態の構成を示すブロック図である。 第2の実施の形態の個人情報登録証明書発行手段において発行され、個人情報登録証明書保管手段において保管される個人情報登録証明書の例を示す図である。 第2の実施の形態の動作において、個人情報登録に関する動作を示す概略図である。 第2の実施の形態の動作において、個人情報登録に関する動作を示すフローチャートである。 第2の実施の形態の動作において、個人情報の送受信に関する動作を示す概略図である。 第2の実施の形態の動作において、個人情報の送受信に関する動作を示すフローチャートである。 本発明の第3の実施の形態の構成を示すプロック図である。 第3の実施の形態の通信記録保管手段において保管される通信履歴の例を示す図である。 第3の実施の形態の動作において、個人情報管理装置の動作を示すフローチャートである。 第3の実施の形態の動作において、サービス提供装置の動作を示すフローチャートである。 本発明の第4の実施の形態の構成を示すブロック図である。 本発明の実施例1を示す図である。 本発明の実施例1の構成を示すブロック図である。 実施例2の構成を示すブロック図である。 実施例2の構成を示すブロック図である。 特許文献1に記載の情報の改ざんや否認を検出する電子文書配信システムを示すブロック図である。
(第1の実施の形態)
次に、本発明の第1の実施の形態について図面を参照して詳細に説明する。
(第1の実施の形態の構成)
図1は本実施の形態の構成の概略を示す図、図2は本実施の形態の構成を示すブロック図であり、図1を参照すると、本実施の形態は、ネットワーク2000を介して個人情報管理装置1及びサービス提供装置2が接続されている。
図2を参照すると、本実施の形態は、個人情報管理装置1とサービス提供装置2とネットワーク2000とから構成されている。
個人情報管理装置1は、個人情報保管手段11と、個人情報要求確認手段12と、送信情報生成部13と、通信手段14とを含む。さらに、送信情報生成部13は、送信メッセージ生成手段131と個人情報暗号化手段132と復号鍵保管手段133と復号鍵送付手段134とを含む。
一方、サービス提供装置2は、個人情報要求部21と、個人情報確認部22と、通信手段23とを含む。さらに、個人情報要求部21は要求メッセージ生成手段211と応答確認手段212とを含み、個人情報確認部22は復号鍵要求手段221と個人情報復号手段222とを含む。
これらの手段はそれぞれ概略つぎのように動作する。
個人情報保管手段11は、個人情報管理装置1が保持する個人情報を記録する。
ここで、個人情報保管手段11において記録される個人情報の例を図3に示す。
図3を参照すると、この個人情報は、記録する各個人情報を識別するユーザID毎に、ユーザの氏名、住所、電話番号、メールアドレスを対応付けて記録される。また、個人情報は、ユーザの購入履歴等のマーケティング情報等を含んでいてもよい。
個人情報要求確認手段12は、他の装置が個人情報管理装置1に送付した要求メッセージを解析する処理を行う。すなわち、個人情報要求確認手段12は、送付された要求が、個人情報の要求であるか、暗号化された個人情報を復号するための復号鍵の要求であるかを解析する。
送信メッセージ生成手段131は、個人情報保管手段11から個人情報を取得し、取得した個人情報に基づいて、他の装置に送付する応答メッセージ(個人情報応答メッセージ)を生成する。
個人情報暗号化手段132は、送付する個人情報の暗号鍵、復号鍵を生成し、個人情報を暗号化する。ここでは、通信手段14が通信路を暗号化(例えばSSLなどを利用した暗号化)しているか否かにかかわらず必ず個人情報を暗号化する。生成した鍵は、復号鍵保管手段133に保管する。さらに、暗号化した情報に個人情報管理装置1自身の署名をつける。この処理によって、サービス提供装置2が個人情報を不正に改ざんした場合に、個人情報管理装置1はその改ざんに関与していないことを証明できる。なぜならば、情報を改ざんすると、個人情報管理装置1が付与した署名の検証に失敗するので、個人情報管理装置1とは別の装置が改ざんしていることを証明できからである。
復号鍵保管手段133は、復号鍵とそれに関連する情報を登録しておく。関連する情報とは、例えば、暗号鍵や暗号化した個人情報に関するユーザ名、個人情報の送信先である受信装置名である。すなわち、復号鍵保管手段133は、個人情報の主体であるユーザごとに復号鍵を管理する。
ここで、復号鍵保管手段133において登録される情報(テーブル)の例を図4に示す。
図4を参照すると、当該情報(テーブル)は、取得したユーザの個人情報の各属性(氏名・住所・電話番号・メールアドレス等)毎に、取得した個人情報の各属性を識別するユーザIDと、取得日時と、暗号化したそれらの情報を復号する復号鍵とを対応付けて登録される。なお、当該情報(テーブル)の例において、復号鍵の形式として、XML暗号(W3C Recommendation, "XML Encryption Syntax and Processing", 10 December 2002 http://www.w3.org/TR/xmlenc-core/、非特許文献3)及びXML署名(W3C Recommendation, "XML-Signature Syntax and Processing", 12 February 2002 http://www.w3.org/TR/xmldsig-core/、非特許文献4)で定義された形式を用いているが、勿論、他の形式を用いてもよく、用いる形式として特に制限はない。
復号鍵送付手段134は、個人情報管理装置1が個人情報を暗号化して送った装置が、復号鍵を要求してきた場合に、復号鍵保管手段133に保管してある復号鍵を送信する。すなわち、復号鍵送付手段134は、メッセージID等を比較することによって、復号鍵要求メッセージと、個人情報応答メッセージとの対応関係を調べる。
通信手段14は、個人情報暗号化手段132が生成した情報や、復号鍵送付手段134による情報を他の装置に送信したり、他の装置が個人情報管理装置1向けに送付したメッセージを受信したりする。
要求メッセージ生成手段211は、必要な個人情報を他の装置に要求するために要求メッセージ(個人情報要求メッセージ)を生成する。
応答確認手段212は、応答メッセージを確認する。確認する内容は、例えば、通信手段23が受信した個人情報要求に対する応答メッセージ(個人情報応答メッセージ)に個人情報管理装置1の署名がついているか否か、その署名は正しいか否か、ということである。個人情報管理装置1の署名が正しくついていることを確認することによって、サービス提供装置2は、個人情報管理装置1が個人情報の送信について否認することを防ぐことができる。
復号鍵要求手段221は、暗号化された個人情報を受信した場合に、暗号を解くための復号鍵を要求するメッセージ(復号鍵要求メッセージ)を生成する。すなわち、復号鍵要求手段221は、暗号化された特定の個人情報を復号するために、当該暗号化された特定の個人情報に対応する特定の復号鍵を要求する。
個人情報復号手段222は、通信手段23が受信した暗号化された個人情報を、復号鍵を用いて復号し、個人情報を取得する。
通信手段23は、個人情報要求メッセージや復号鍵要求メッセージ等を送信する。また、暗号化された個人情報や復号鍵を受信する。
ここで、個人情報管理装置1及びサービス提供装置2のハードウェア構成例の説明をする。
図5は、本実施の形態による個人情報管理装置1及びサービス提供装置2のハードウェア構成例を示すブロック図である。
図5を参照すると、本発明による個人情報管理装置1及びサービス提供装置2は、一般的なコンピュータ装置と同様のハードウェア構成によって実現することができ、CPU(Central Processing Unit)1001、RAM(Random Access Memory)等のメインメモリであり、データの作業領域やデータの一時退避領域に用いられる主記憶部1002、ネットワーク2000を介してデータの送受信を行う通信制御部1003、液晶ディスプレイ、プリンタやスピーカ等の提示部1004、キーボードやマウス等の入力部1005、周辺機器と接続してデータの送受信を行うインタフェース部1006、ROM(Read Only Memory)、磁気ディスク、半導体メモリ等の不揮発性メモリから構成されるハードディスク装置である補助記憶部1007、本情報処理装置の上記各構成要素を相互に接続するシステムバス1008等を備えている。
本発明による個人情報管理装置1及びサービス提供装置2は、その動作を、個人情報管理装置1及びサービス提供装置2内部にそのような機能を実現するプログラムを組み込んだ、LSI(Large Scale Integration)等のハードウェア部品からなる回路部品を実装してハードウェア的に実現することは勿論として、上記した各構成要素の各機能を提供するプログラムを、コンピュータ処理装置上のCPU1001で実行することにより、ソフトウェア的に実現することができる。
すなわち、CPU1001は、補助記憶部1007に格納されているプログラムを、主記憶部1002にロードして実行し、個人情報管理装置1又はサービス提供装置2の動作を制御することにより、上述した各機能をソフトウェア的に実現する。
なお、後述する個人情報管理装置4、6、8、サービス提供装置5、7、9が上述のような構成を有し、上述した各機能をハードウェア的又はソフトウェア的に実現してもよい。
(第1の実施の形態の動作)
次に、図2〜図7を参照して本実施の形態の全体の動作について詳細に説明する。
前提として、ユーザは個人情報を個人情報保管手段11に登録しているものとする。この状況で、サービス提供装置2が個人情報管理装置1に個人情報を要求して、個人情報を取得する。
まず、図6を用い、サービス提供装置2が個人情報管理装置1に個人情報を要求して個人情報を取得する動作の概略を説明する。
(1)サービス提供装置2が、サービス提供装置2の電子署名付きの個人情報要求メッセージを個人情報管理装置1に対して送信する。
(2)個人情報管理装置1が、電子署名を認証すると、要求された個人情報を暗号化する。
(3)個人情報管理装置1が、暗号化された個人情報に電子署名をつけてサービス提供装置2に対して送信する。
(4)サービス提供装置2が、暗号化された個人情報を受信し、電子署名を認証すると、サービス提供装置2の電子署名付きの復号鍵要求メッセージを個人情報管理装置1に対して送信する。
(5)個人情報管理装置1が、電子署名を認証すると、復号鍵をサービス提供装置2に対して送信する。
(6)サービス提供装置2が、暗号化された個人情報を復号して個人情報を取得する。
次いで、図2及び図7のフローチャートを用い、サービス提供装置2が個人情報管理装置1に個人情報を要求して個人情報を取得する動作を詳細に説明する。
まず、要求メッセージ生成手段211が個人情報要求メッセージを生成する(ステップS1)。この処理は、例えば、個人情報を利用する装置が、個人情報を取得する際に、要求メッセージ生成手段211に個人情報要求を伝えることによって開始される。
この処理によって生成する個人情報要求メッセージには、サービス提供装置2の電子署名をつける。この電子署名によって、サービス提供装置2は、個人情報を要求したことを否認することができなくなる。
次に、サービス提供装置2の通信手段23が、個人情報管理装置1の通信手段14に個人情報要求メッセージを送付する(ステップS2)。
個人情報管理装置1が個人情報要求メッセージを受信すると、個人情報要求確認手段12が要求メッセージを確認する(ステップS3)。ここで、確認処理には、例えば、個人情報管理装置1で管理している個人情報であるか否かの確認、メッセージに付加されている電子署名の検証といった処理が含まれる。
確認処理が終了すると、送信メッセージ生成手段131が、個人情報保管手段11から個人情報を取得し、取得した個人情報に基づいて応答メッセージを生成する(ステップS4)。
次に、個人情報暗号化手段132が前記応答メッセージを暗号化し、電子署名をつける(ステップS5)。このときに、暗号鍵と復号鍵を生成して、復号鍵を復号鍵保管手段133に登録しておく。電子署名をつけることで、サービス提供装置2での個人情報の改ざんを防止し、個人情報管理装置1は、個人情報を送付したことを否認することができなくなる。
次に、個人情報管理装置1の通信手段14が、サービス提供装置2の通信手段23に前記応答メッセージを送付する(ステップS6)。
サービス提供装置2が応答メッセージを受け取ると、応答確認手段212が応答メッセージを確認する(ステップS7)。この確認作業は、例えば、応答メッセージの電子署名の検証である。
次に、復号鍵要求手段221が、ステップS6で取得した情報を復号するための復号鍵を要求するメッセージを生成する(ステップS8)。
次に、サービス提供装置2の通信装置23が、個人情報管理装置1の通信手段14に復号鍵要求メッセージを送付する(ステップS9)。このメッセージには、サービス提供装置2の電子署名をつける。個人情報管理装置1とサービス提供装置2間における復号鍵要求メッセージの送受信によってackに相当する処理を行うことで、ackと同等の効果が生まれ、ackが不要になるので(復号鍵の要求を個人情報取得の確認メッセージとみなすことができるので)、署名つき復号鍵要求メッセージを受け取った個人情報管理装置1は、個人情報要求装置2が暗号化済み個人情報をすでに取得していることを否認することを防止できる。
個人情報管理装置1が復号鍵要求メッセージを受信すると、復号鍵送付手段134が復号鍵保管手段133を検索して復号鍵を取得する(ステップS10)。
次に、個人情報管理装置1の通信手段14が、サービス提供装置2の通信手段23に復号鍵を送付する(ステップS11)。
サービス提供装置2が復号鍵を取得すると、個人情報復号手段222が、すでに取得していた暗号化済み個人情報を復号する(ステップS12)。
以上の動作によって、個人情報管理装置1は、サービス提供装置2から個人情報の受信確認のメッセージを取得できるので、個人情報の送受信の否認を防止できる。
(第1の実施の形態の効果)
次に、本実施の形態の効果について説明する。本実施の形態によれば、以下の効果を達成する。
第1に、サービス提供装置2は個人情報を自身で管理するのではなく必要に応じて個人情報管理装置1より取得する、というように構成されているため、サービス提供装置2は個人情報を管理する必要がなくなり、個人情報を管理するコストを削減できる。
第2に、サービス提供装置2が、サービス提供装置2の電子署名付きの個人情報要求メッセージを個人情報管理装置1に対して送信するため、この電子署名によって、サービス提供装置2が個人情報を要求したことを否認することを個人情報管理装置1が防止できる。
第3に、個人情報管理装置1が、暗号化された個人情報に電子署名をつけてサービス提供装置2に対して送信するため、この電子署名によって、サービス提供装置2での個人情報の改ざんを防止でき、また、個人情報管理装置1は、個人情報を送付したことを否認することができなくなる。
第4に、暗号化されている応答メッセージに対する復号鍵要求メッセージの送受信によってackに相当する処理を行うことで、ackと同等の効果が生まれるため、署名つき復号鍵要求メッセージを受け取った個人情報管理装置1は、ackによる処理を行うことなく、また、個人情報の流通を監視する第三者を必要とすることなく、個人情報要求装置2が暗号化済み個人情報をすでに取得していることを否認することを防止できる。すなわち、暗号化されている応答メッセージを受信したサービス提供装置2が必ず個人情報管理装置1へ個人情報の受信確認のメッセージ(復号鍵要求メッセージ)を送付するため、サービス提供装置2が個人情報の受信を否認することを、個人情報管理装置1は、個人情報の流通を監視する第三者を必要とすることなく通信負荷を抑えて低コストで防止できる。
(第2の実施の形態)
次に、本発明の第2の実施の形態について図面を参照して詳細に説明する。
(第2の実施の形態の構成)
図8は本実施の形態の構成の概略を示す図、図9は本実施の形態の構成を示すブロック図であり、図8を参照すると、本実施の形態は、ネットワーク2000を介してユーザ端末3、個人情報管理装置4及びサービス提供装置5が接続されている。
図9を参照すると、本発明の第2の実施の形態は、ユーザ端末3と個人情報管理装置4とサービス提供装置5とネットワーク2000から構成される。
個人情報管理装置4は、個人情報登録部41と、個人情報要求確認部42と、送信メッセージ生成手段43と、通信手段44と、個人情報保管手段45と、個人情報登録証明書保管手段46とを有する。さらに、個人情報登録部41は、個人情報受付手段411と個人情報登録証明書発行手段412とを含み、個人情報要求確認部42は個人情報登録証明書確認手段421と要求メッセージ確認手段422とを含む。
一方、サービス提供装置5は、個人情報登録証明書取得手段51と、個人情報登録証明書保管手段52と、個人情報確認手段53と、個人情報要求部54と、通信手段55とを含む。さらに、個人情報要求部54は要求メッセージ生成手段541と応答確認手段542とを含む。
これらの手段はそれぞれ概略つぎのように動作する。
個人情報受付手段411は、ユーザ端末3が登録要求した個人情報を個人情報保管手段45に格納する。
個人情報登録証明書発行手段412は、個人情報に対応した個人情報登録証明書を発行する。この個人情報登録証明書は、他の装置が個人情報管理装置4に対して個人情報を要求するときに必要となる情報である。もし、この個人情報登録証明書を他の装置が提示しない場合には個人情報管理装置4は個人情報を送信しない。個人情報登録証明書には、個人情報に関連する情報と、個人情報と個人情報登録証明書を1対1に結びつける情報が含まれている。例えば、個人情報登録証明書には、個人情報の種類、個人情報を登録したユーザ、登録時刻、個人情報から生成した一方向性ハッシュ値、個人情報管理装置4の電子署名を含める。
ここで、個人情報登録証明書は、ユーザによって登録された個人情報を個人情報管理装置4が改ざんせずに管理していることを他の装置に主張するためのデータである。この証明書は、ユーザ名、登録時間、登録した個人情報名だけでなく、個人情報から生成される一方向性ハッシュ値等、登録した個人情報から一意に決まる情報を含む。
この情報を利用することで、ユーザ端末3、そのユーザ及びサービス提供装置5は、ユーザの個人情報が改ざんされていないことを確認できる。例えば、ユーザ端末3は、登録した個人情報から生成されるハッシュ値と個人情報登録証明書に含まれているハッシュ値との比較をすることによって、個人情報管理装置4が正しい情報を登録しているか否かを確認できる。また、サービス提供装置5は、個人情報管理装置4から取得した個人情報に基づいて生成されるハッシュ値と、ユーザ端末3から取得した証明書に含まれるハッシュ値を比較することで、個人情報管理装置4がユーザ端末3から取得した個人情報を改ざんせずに管理しているか否かを確認できる。
個人情報登録証明書確認手段421は、他の装置が個人情報管理装置4に送付した個人情報登録証明書を確認する。この確認は、例えば、個人情報登録証明書の署名を検証して個人情報登録証明書が改ざんされていないことを確認し、個人情報が個人情報保管手段45に保管されていることを確認し、送られてきた個人情報登録証明書と同じ個人情報登録証明書が個人情報登録証明書保管手段46に保管されていることを確認する処理である。
要求メッセージ確認手段422は、他の装置が個人情報管理装置4に送付した要求メッセージを解析する処理を行う。
送信メッセージ生成手段43は、個人情報保管手段45から個人情報を取得し、取得した個人情報に基づいて、他の装置に送付する、個人情報の要求に対する応答メッセージ(個人情報応答メッセージ)を生成する。
通信手段44は、送信メッセージ生成手段43が生成した情報を他の装置に送信したり、他の装置が個人情報管理装置4向けに送付したメッセージを受信したりする。
個人情報保管手段45は、個人情報受付手段411が受け付けた個人情報を保管する。
個人情報登録証明書保管手段46は、個人情報登録証明書発行手段412が発行した個人情報登録証明書を保管する。この個人情報登録証明書は、個人情報登録証明書確認手段421が個人情報登録証明書の内容を確認する際に利用する。
図10は、個人情報登録証明書発行手段412において発行され、個人情報登録証明書保管手段46において保管される個人情報登録証明書の例を示す図である。
図10を参照すると、当該個人情報登録証明書は、個人情報受付手段411において格納されたユーザの個人情報の各属性(氏名・住所・電話番号・メールアドレス等)毎に、取得した個人情報の各属性を識別するユーザIDと、取得日時と、個人情報証明データとを対応付けて発行される。なお、個人情報証明データは、個人情報の各属性に基づいて生成されたハッシュ値であり、例えば、“1b9fb2f257720d7bcfdc8f74f002a12c”は、“山田 太郎”に基づいて生成された値である。
個人情報登録証明書取得手段51は、個人情報を取得する際に必要となる個人情報登録証明書をユーザ端末3から取得する。
個人情報登録証明書保管手段52は、個人情報登録証明書取得手段51が取得した個人情報登録証明書を保管する。
個人情報確認手段53は、個人情報管理装置1が個人情報を改ざんしていないことを確認する。そのために、例えば、取得した個人情報から一方向性のハッシュ値を求める。このハッシュ値が個人情報登録証明書に書かれているハッシュ値と同じであれば、ユーザ端末3が登録要求した情報と、個人情報管理装置4がサービス提供装置5に送付した情報が同じであることを確認できる。
要求メッセージ生成手段541は、必要な個人情報を他の装置に要求するために要求メッセージ(個人情報要求メッセージ)を生成する。
応答確認手段542は、応答メッセージを確認する。確認する内容は、例えば、通信手段55が受信した個人情報要求に対する応答メッセージ(個人情報応答メッセージ)に個人情報管理装置4の署名がついているか否か、その署名は正しいか否か、ということである。個人情報管理装置4の署名が正しくついていることを確認することによって、サービス提供装置5は、サービス提供装置4が個人情報の送信について否認することを防ぐことができる。
通信手段55は、個人情報要求メッセージや個人情報登録証明書を送信したり、個人情報を受信したりする。
(第2の実施の形態の動作)
次に、図9〜図14を参照して本実施の形態の動作について説明する。この動作は、ユーザ端末3が個人情報管理装置4に個人情報を登録する動作と、サービス提供装置5が個人情報管理装置4から個人情報を取得する動作に分けられる。
まず、図9、図11の概略図及び図12のフローチャートを用いて、ユーザ端末3が個人情報を登録するときの動作について説明する。
ユーザ端末3は、サービスの提供を要求したサービス提供装置5から個人情報の登録要求を通知されること等によって、個人情報管理装置4に対して個人情報を送信し(図11の(1))、個人情報受付手段411を介して個人情報管理装置4の個人情報保管手段45に個人情報を登録する(図12のステップA1、図11の(2))。
次に、個人情報登録証明書発行手段412が、ステップA1で取得した個人情報に対応する個人情報登録証明書を発行する(ステップA2)。
さらに、個人情報登録証明書保管手段46において、ステップA1で取得した個人情報とステップA2で発行した個人情報登録証明書を対応付けて登録する(ステップA3、図11の(3))。
次に、個人情報登録証明書発行手段412は、ユーザ端末3に対して個人情報登録証明書を送付する(ステップA4、図11の(4))。
ユーザ端末3は、個人情報登録証明書を取得すると、個人情報登録証明書と個人情報の関係が正しいか否かの確認処理をする(ステップA5、図11の(5))。この処理は、例えば、ユーザ端末3がステップA1で個人情報管理装置4に対して送信した個人情報に対するハッシュ値と、個人情報管理装置4が発行した個人情報登録証明書に書かれているハッシュ値を比較し、登録した個人情報が正しいものであるか否かを確認する。ユーザ端末3のユーザによって、取得した個人情報登録証明書と個人情報の関係が正しいか否かの確認入力がなされてもよい。もし、ハッシュ値が異なっている場合には、個人情報管理装置4はユーザ端末3が登録要求した個人情報と異なる情報を登録していることになるので、個人情報登録処理を途中で終了する。一方、ハッシュ値が同じ場合は、個人情報管理装置4はユーザ端末3が登録要求した情報をそのまま登録したことになる。つまり、ユーザ端末3は、個人情報管理装置4が個人情報を改ざんしていないことを確認できる。
ハッシュ値が同じ場合は、ユーザ端末3が、個人情報登録証明書保管手段52に対して個人情報登録証明書を送信し(図11の(6))、サービス提供装置5の個人情報登録証明書取得手段51を介し、個人情報登録証明書を個人情報登録証明書保管手段52に登録する(ステップA6、図11の(7))。ユーザ端末3が個人情報を登録要求した際に個人情報管理装置4から取得した個人情報登録証明書をあらかじめサービス提供装置5に登録しておくことで、サービス提供装置5は、任意のタイミングで個人情報管理装置4より個人情報を取得することができる。
次に、図9、図13の概略図及び図14のフローチャートを用いて、サービス提供装置5が、個人情報管理装置4に個人情報を要求し、個人情報を取得する動作について説明する。
まず、図13を用い、サービス提供装置5が、個人情報管理装置4に個人情報を要求して個人情報を取得する動作の概略を説明する。
(1)サービス提供装置5が、サービス提供装置5の電子署名付きの個人情報要求メッセージ及び個人情報登録証明書を個人情報管理装置4に対して送信する。
(2)個人情報管理装置4が、電子署名及び個人情報登録証明書を確認し、要求された個人情報に基づいて応答メッセージを生成する。
(3)個人情報管理装置4が、応答メッセージに電子署名をつけてサービス提供装置5に対して送信する。
(4)サービス提供装置5が、応答メッセージを受信して電子署名を検証すると、応答メッセージを確認して個人情報を取得する。
次いで、図9及び図14を用い、サービス提供装置5が個人情報管理装置4に個人情報を要求して個人情報を取得する動作を詳細に説明する。
この動作は、例えば、個人情報を利用するサービス提供装置5が個人情報を取得する際に、要求メッセージ生成手段541に個人情報要求を伝えることによって開始される。
まず、要求メッセージ生成手段541が、要求する個人情報に関する個人情報登録証明書があるか確認するために、個人情報登録証明書保管手段52を検索する(図14のステップB1)。個人情報登録証明書がない場合には、個人情報管理装置4とサービス提供装置5との間で個人情報の送受信を行わない。
個人情報登録証明書がある場合には、要求メッセージ生成手段541が個人情報登録証明書を取得して個人情報要求メッセージを生成する(ステップB2)。ここで、個人情報要求メッセージには、サービス提供装置5の電子署名をつける。電子署名によって、サービス提供装置5は、個人情報を要求したことを否認することができなくなる。
次に、サービス提供装置5の通信手段55が個人情報管理装置4の通信手段44に個人情報要求メッセージと、個人情報登録証明書をまとめて送付する(ステップB3)。
個人情報管理装置4が個人情報要求メッセージを受信すると、要求メッセージ確認手段422が要求メッセージを確認する(ステップB4)。ここで確認する処理は、例えば、個人情報を管理しているか確認したり、メッセージについている電子署名を検証したりする処理である。
確認処理が終了すると、個人情報登録証明書確認手段421が、次にサービス提供装置5から取得した個人情報登録証明書を確認する(ステップB5)。この確認処理は、例えば、個人情報登録証明書の電子署名を確認したり、個人情報登録証明書に対応する個人情報が個人情報保管手段45に登録されているか確認したりする。確認作業に失敗した場合は、個人情報管理装置4は、要求メッセージ確認手段422においてエラーメッセージを生成し、通信手段44を介してサービス提供装置5にエラーメッセージを送付し、個人情報の送受信を中止する(ステップB6)。
確認作業が正常終了すると、送信メッセージ生成手段43が個人情報保管手段45から個人情報を取得し、応答メッセージを生成する(ステップB7)。ここで生成する応答メッセージには、個人情報管理装置4が自身の電子署名をつける。署名をつけることによって、サービス提供装置5が個人情報を改ざんした場合に、その改ざんを検出することができる。
次に、個人情報管理装置4の通信手段44が、サービス提供装置5の通信手段55に前記応答メッセージを送付する(ステップB8)。
サービス提供装置5が応答メッセージを受け取ると、応答確認手段542が応答メッセージを確認する(ステップB9)。この確認作業は、例えば、応答メッセージの電子署名の検証である。
次に、個人情報確認手段53が個人情報を確認する(ステップB10)。ここで確認する処理は、例えば、個人情報から生成したハッシュ値と個人情報登録証明書に含まれているハッシュ値を比較する。同じであれば、サービス提供装置5は、個人情報管理装置4によって個人情報が改ざんされていないことを確認できる。もし、個人情報の確認に失敗した場合は、個人情報が改ざんされていると判断し、個人情報の送受信の処理を終了する。
(第2の実施の形態の効果)
次に、本実施の形態の効果について説明する。
本実施の形態では、個人情報管理装置4とサービス提供装置5は、それぞれが改ざんを検出するための手段を持っており、送受信したメッセージを確認する、というように構成されているため、個人情報管理装置4とサービス提供装置5は適切な個人情報のみを送受信していることを証明できる。
また、本実施の形態では、サービス提供装置5は個人情報を自身で管理するのではなく必要に応じて個人情報を個人情報管理装置4より取得する、というように構成されているため、サービス提供装置5は個人情報を管理する必要がなくなり、個人情報を管理するコストを削減できる。
(第3の実施の形態)
次に、本発明の第3の実施の形態について図面を参照して詳細に説明する。
(第3の実施の形態の構成)
図15を参照すると、本発明の第3の実施の形態は、個人情報管理装置6が、図9に示した第2の実施の形態における個人情報管理装置4の構成要素に加え、通信記録保管手段61と送信情報確認手段62を有する点で異なる。また、サービス提供装置7が図9に示した第2の実施の形態における個人情報管理装置5の構成要素に加え、通信記録保管手段71と送信情報確認手段72を有する点で異なる。
通信記録保管手段61は、通信履歴(通信記録)を保管する手段であって、個人情報管理装置6が送信または、受信したメッセージを保管する。
ここで、通信記録保管手段61において保管される通信履歴の例を図16に示す。
図16を参照すると、当該通信履歴は、通信日時毎に、Receive、Send等のactionと、通信相手と、通信した際のメッセージ本文とを対応付けて保管される。なお、メッセージ本文の形式に特に制限はない。
送信情報確認手段62は、個人情報管理装置6が送付した個人情報が正しい情報であったか確認する。
通信記録保管手段71は、サービス提供装置7が送信または、受信したメッセージを保管する。
送信情報確認手段72は、サービス提供装置7が送付した個人情報要求メッセージや個人情報登録証明書が正しい情報であったか確認する。
(第3の実施の形態の動作)
次に、図15、図17及び図18のフローチャートを参照して本実施の形態の全体の動作について詳細に説明する。
個人情報管理装置6は、個人情報送信に関するメッセージの送受信をするときに、全てのメッセージを通信記録保管手段61に管理する。同様に、サービス提供装置7は、個人情報送信に関するメッセージの送受信をするときに、全てのメッセージを通信記録保管手段71に管理する。
そして、個人情報管理装置6は、任意のタイミングで個人情報の流通が正しく行われていたか確認するための処理を開始する。そのための最初の処理として、個人情報管理装置6は、通信記録保管手段61に保管されている個人情報要求メッセージを取得し、要求メッセージ確認手段422を用いて個人情報要求メッセージを確認する(ステップD1)。ここでの確認処理は、例えば、個人情報要求メッセージについている電子署名の検証や要求している個人情報を管理しているか否かを確認する処理である。
次に、個人情報管理装置6は、個人情報登録証明書確認手段421を用い、通信記録保管手段61が管理している受信した個人情報登録証明書を確認する(ステップD2)。この確認処理は、例えば、個人情報登録証明書の署名を検証するといった個人情報登録証明書の有効性を確認する処理である。
次に、個人情報管理装置6は、送信情報確認手段62を用い、通信記録保管手段61が管理している送信情報を確認する(ステップD3)。この処理は、例えば、電子署名がついていたか、などを確認する処理である。
一方、サービス提供装置7での確認処理は、まず、送信情報確認手段72を用い、送信した個人情報要求メッセージを確認する(ステップE1)。この要求メッセージは、通信記録保管手段71で管理されている。ステップE1では、例えば、要求メッセージについている署名の検証等である。
次に、サービス提供装置7は、送信情報確認手段72を用い、個人情報管理装置6に送信した個人情報登録証明書を確認する(ステップE2)。ここで確認する個人情報登録証明書は、通信記録保管手段71に登録されている個人情報登録証明書である。ここでは、例えば、署名や個人情報登録証明書有効期限等の個人情報登録証明書の有効であるか否かを確認する。
次に、サービス提供装置7は、個人情報確認手段53を利用し、受信した個人情報を確認する(ステップE3)。ここでは、例えば、受信したメッセージの署名検証や、個人情報登録証明書と個人情報の対応を確認する処理を行う。
(第3の実施の形態の効果)
次に、本実施の形態の効果について説明する。
本実施の形態では、個人情報を扱う個人情報管理装置6及びサービス提供装置7は、個人情報を正しく送受信した証拠をいつでも提出することができる。その理由は、個人情報を扱う個人情報管理装置6及びサービス提供装置7は、全ての通信ログを管理しており、任意のタイミングで通信ログを用いてどの個人情報を送受信したか確認できるためである。
(第4の実施の形態)
次に、本発明の第4の実施の形態について図面を参照して詳細に説明する。
(第4の実施の形態の構成)
図19を参照すると、本発明の第4の実施の形態は、第1、第2及び第3の実施の形態と同様に、個人情報管理装置Aと、サービス提供装置Cとを備える。
個人情報管理用プログラムBは、個人情報管理装置Aの動作を制御し、サービス提供装置Cからの要求に従って、個人情報をサービス提供装置Cに送付したり、個人情報を取得するための個人情報登録証明書を発行したりする。
個人情報管理装置Aは、個人情報管理用プログラムBの制御により第1、第2及び第3の実施の形態における個人情報管理装置1、4、6による処理と同一の処理を実行する。
個人情報受信用プログラムDは、サービス提供装置Cの動作を制御し、個人情報要求メッセージを個人情報管理装置Aへ送付し、個人情報を受信する。
サービス提供装置Cは、個人情報受信用プログラムDの制御により第1、第2及び第3の実施の形態におけるサービス提供装置2、5、7による処理と同一の処理を実行する。
次に、具体的な実施例を用いて本発明の実施例1の動作を説明する。
図20に示すように、モバイルキャリア(個人情報管理装置)は携帯電話(ユーザ端末)のユーザの個人情報を管理している。コンテンツプロバイダ(サービス提供装置)は、モバイルキャリアより個人情報を取得して、ユーザの携帯電話にコンテンツを提供している。このコンテンツプロバイダが必要とする個人情報は、ユーザの連絡先(電話番号と住所)と課金情報(クレジットカード番号や銀行口座番号)であり、ユーザの全ての情報がモバイルキャリアに登録されているわけではないものとする。なお、説明の便宜を図るため、図20及び図21(後述)においてネットワーク2000を省略する。
この状況で、まず、(1)ユーザの要求により携帯電話がコンテンツプロバイダにコンテンツの購入を要求する。
ここで、コンテンツプロバイダは、個人情報を取得するための個人情報登録証明書が無いために、(2)携帯電話のユーザに対して、モバイルキャリアでの個人情報登録を要求する。
そこで、(3)ユーザの個人情報を入力された携帯電話が、モバイルキャリアで個人情報を登録する。
登録が終了すると、(4)携帯電話は、モバイルキャリアより個人情報取得のための個人情報登録証明書を取得する。
次に、(5)携帯電話からコンテンツプロバイダに個人情報登録証明書が送付される。
コンテンツプロバイダが個人情報登録証明書を取得すると、(6)個人情報登録証明書と個人情報要求メッセージを送付する。
モバイルキャリアは、この要求を受け取ると、(7)暗号化した個人情報をコンテンツプロバイダに送付する。
コンテンツプロバイダは、個人情報を取得すると、(8)個人情報を利用してコンテンツをユーザ端末に送付する。
このモバイルキャリアとコンテンツプロバイダの構成は、例えば図21のようになる。
モバイルキャリアEは、個人情報管理装置6とアクセス制御装置Gを備える。
アクセス制御装置Gは、モバイルキャリアEがコンテンツプロバイダFに個人情報を送付してよいか否かを判断する装置である。もしアクセス制御装置Gが個人情報の送受信を認めない場合は、送信メッセージ生成手段43は個人情報保管手段45より個人情報を取得せず、送信メッセージを生成しない。
また、コンテンツプロバイダFは、サービス提供装置7とコンテンツ配信装置Hを備える。
コンテンツ配信装置Hは、ユーザの個人情報に基づいて、ユーザにコンテンツを販売する装置である。ユーザがコンテンツの購入を要求する場合は、最初にユーザ端末3はコンテンツ配信装置Hにアクセスする。コンテンツ配信装置Hは、要求メッセージ生成手段541に個人情報を要求し、個人情報確認手段53から個人情報を取得する。個人情報を取得したコンテンツ配信装置Hはユーザ端末3にコンテンツを配信する。
次に、具体的な実施例を用いて本発明の実施例2を説明する。
図22に示す例では、図20及び図21に示す実施例1と異なり、コンテンツプロバイダIが通信手段J及びコンテンツ配信装置Hを備え、サービス提供装置7及びプロキシ装置Kを備え、コンテンツプロバイダI、モバイルキャリアE及び携帯電話(ユーザ端末3)と接続するプロキシサーバLが、モバイルキャリアEより個人情報を取得して、コンテンツプロバイダIから配信されたコンテンツをユーザの携帯電話に提供している。なお、図23に示すように、プロキシサーバLが個人情報を取得した後において、個人情報に基づいて提供されるコンテンツが、プロキシサーバMを経由されずに、コンテンツプロバイダIによって直接ユーザの携帯電話に提供されてもよい。なお、説明の便宜を図るため、図22及び図23においてネットワーク2000を省略する。
上述した各実施の形態による無線通信システムの構成の概要を以下に述べる。
第1の個人情報照合システムは、個人情報をユーザ端末から取得し必要に応じて他の装置へ開示する個人情報管理装置(図2の1)と、個人情報を他の装置から取得するサービス提供装置(図2の2)からなる。
個人情報管理装置は、入力された個人情報を管理する個人情報保管手段(図2の11)と、他の装置が送信した個人情報の要求や復号鍵の要求を解析する個人情報要求確認手段(図2の12)と、他の装置に送付する個人情報を含むメッセージを生成する送信情報生成部(図2の13)と、他の装置と通信をする通信手段(図2の14)とを備え、送信情報生成部は、送付する個人情報を確認する送信メッセージ生成手段(図2の131)と、個人情報を暗号化する暗号鍵と復号鍵を生成してから個人情報を暗号化する個人情報暗号化手段(図2の132)と、個人情報暗号化手段で暗号化した鍵に対応する復号鍵を登録する復号鍵保管手段(図2の133)と、復号鍵を他の装置へ送付する復号鍵送付手段(図2の134)とを備える。
サービス提供装置は、個人情報を要求する個人情報要求部(図2の21)と、受信した個人情報を確認する個人情報確認部(図2の22)と、他の装置と通信をする通信手段(図2の23)とを備える。個人情報要求部は、個人情報を個人情報管理装置に要求するためのメッセージを生成する要求メッセージ生成手段(図2の211)と、要求メッセージに対応する応答メッセージを確認する応答確認手段(図2の212)とを備え、個人情報確認部は、受信した個人情報が暗号化されているときに復号鍵を要求する復号鍵要求手段(図2の221)と、暗号化された個人情報を復号化する個人情報復号手段(図2の222)とを備える。
このような構成を採用し、サービス提供装置が個人情報を個人情報管理装置に要求し、個人情報管理装置が要求を受け入れて個人情報を送付する場合は、個人情報管理装置が個人情報を暗号化してサービス提供装置に送付する。暗号化された個人情報を受信したサービス提供装置は、復号鍵を個人情報管理装置に要求する。復号鍵要求を受け取った個人情報管理装置は、復号鍵を個人情報要求装置に送付する。個人情報要求装置は、復号鍵と暗号化された個人情報がそろうと、個人情報を復号し、個人情報を利用できる状態にする。ここで、個人情報管理装置とサービス提供装置は、復号鍵を要求するメッセージを個人情報の取得確認のメッセージとしてみなすと、個人情報の送受信の否認ができなくなる。以上の動作によって、本発明の第1の目的を達成することができる。
また、第2の個人情報照合システムは、個人情報をユーザ端末から取得し必要に応じて他の装置へ開示する個人情報管理装置(図9の1)と、個人情報を他の装置から取得するサービス提供装置(図9の2)とユーザ端末(図9の3)からなり、個人情報の管理を行う個人情報管理装置において、利用者の個人情報を管理する個人情報管理装置に登録された個人情報と一意に対応して当該個人情報が登録されたことを示す個人情報登録証明情報を保管する手段と、個人情報管理装置に対し、個人情報登録証明情報と共に利用者の個人情報の要求を送付する手段と、個人情報管理装置で生成され、かつ個人情報を含む不可逆なメッセージ情報を個人情報管理装置から取得する手段と、取得した個人情報を確認する手段とを含み、通信回線を介して利用者に対してサービスを提供するサービス提供装置において、利用者の個人情報を管理する個人情報管理装置に登録された個人情報と一意に対応して当該個人情報が登録されたことを示す個人情報登録証明情報を保管する手段と、個人情報管理装置に対し、個人情報登録証明情報と共に利用者の個人情報の要求を送付する手段と、個人情報管理装置で生成され、かつ個人情報を含む不可逆なメッセージ情報を個人情報管理装置から取得する手段と、取得した個人情報を確認する手段とを含むことを特徴とする。
個人情報管理装置は、入力された個人情報を登録する個人情報登録部(図9の11)と、他の装置が送信した個人情報の要求を処理する個人情報要求確認部(図9の12)と、他の装置に送付する個人情報を含むメッセージを生成する送信メッセージ生成手段(図9の13)と、他の装置と通信をする通信手段(図9の14)と、個人情報を管理する個人情報保管手段(図9の15)と、個人情報と1対1に対応する個人情報登録証明書を保管する個人情報登録証明書保管手段(図9の16)とを備える。個人情報登録証明書には、個人情報を取得するための情報が記述されており、個人情報に関連した情報だけでなく当該個人情報から生成される一方向性ハッシュ値のような個人情報から一意に生成される情報が含まれているものとする。つまり、個人情報登録証明書と個人情報は1対1に対応しており、個人情報管理装置は、これら2つの情報を保持していれば、個人情報登録証明書に対応する個人情報を確認することができる。個人情報管理装置は、この個人情報登録証明書を開示した装置に対してのみ個人情報を開示する。さらに、個人情報登録部は、個人情報の登録を受け付ける個人情報受付手段(図9の111)と、個人情報を管理するための個人情報登録証明書を発行する個人情報登録証明書発行手段(図9の112)とを備え、個人情報要求確認部は、他の装置から送られた個人情報登録証明書を確認する個人情報登録証明書確認手段(図9の121)と、他の装置から送られた要求内容を確認する要求メッセージ確認手段(図9の122)とを備える。
サービス提供装置は、個人情報を取得するための個人情報登録証明書を受け取る個人情報登録証明書取得手段(図9の21)と、個人情報登録証明書を保管する個人情報登録証明書保管手段(図9の22)と、受信した個人情報を確認する個人情報確認手段(図9の23)と、個人情報を要求する個人情報要求部(図9の24)と、他の装置と通信する通信手段(図9の25)とを備える。個人情報要求部は、個人情報登録証明書保管手段から個人情報登録証明書を取得し個人情報を個人情報管理装置に要求するためのメッセージを生成する要求メッセージ生成手段(図9の241)と、要求メッセージに対応する応答メッセージを確認する応答確認手段(図9の242)とを備える。
このような構成を採用し、ユーザ端末が個人情報を個人情報管理装置に登録する際には、ユーザ端末が個人情報を個人情報管理装置に入力し、個人情報管理装置は個人情報に関する個人情報登録証明書をユーザ端末に対して発行し、ユーザ端末に送付する。ユーザ端末は、個人情報登録証明書を取得すると、個人情報登録証明書の内容を検証する。さらに、ユーザ端末は、個人情報登録証明書をあらかじめサービス提供装置に登録しておく。一方、サービス提供装置は、個人情報を利用する際には個人情報登録証明書を利用し、個人情報要求メッセージを生成し、個人情報登録証明書とともに個人情報要求メッセージを個人情報管理装置に送付する。個人情報管理装置は、メッセージを受信すると個人情報登録証明書の内容を確認し、個人情報登録証明書の検証に成功した場合には個人情報をサービス提供装置に送付する。サービス提供装置は、個人情報を受信すると個人情報の内容を検証して個人情報を利用する。ここで、個人情報管理装置とサービス提供装置間で交換されるメッセージは全てメッセージ生成装置の電子署名をつける。ユーザ端末が個人情報登録証明書の内容を検証することで個人情報管理装置での個人情報の改ざんを検証し、個人情報管理装置の電子署名を個人情報につけることによってサービス提供装置での個人情報の改ざんを検証することができる。以上によって、本発明の第2の目的を達成することができる。
また、第3の個人情報照合システムは、第1の個人情報の改ざん検出システムの構成に加え、個人情報管理装置(図15の4)が、通信ログを管理する通信記録保管手段(図15の41)と、送信情報確認手段(図15の42)とを備え、サービス提供装置(図15の5)が、通信ログを管理する通信記録保管手段(図15の51)と、送信情報確認手段(図15の52)とを備える。このような構成を採用し、個人情報管理装置4とサービス提供装置5が、それぞれ通信ログを管理し、送信情報確認手段や個人情報登録証明書確認手段、個人情報要求確認手段、応答確認手段を用いてログを確認することで、個人情報の流通の正しさを任意のタイミングで確認できるようにすることにより本発明の第3の目的を達成することができる。
上述した各実施の形態により以下のす効果を達成することができる。
第1の効果は、サービス提供装置が個人情報の受信を否認することを、個人情報管理装置が通信負荷を抑えて低コストで防止できることである。
その理由は、個人情報の流通を監視する第三者を必要とすることなく、サービス提供装置が必ず個人情報管理装置へ個人情報の受信確認のメッセージを送付するからである。装置間で送受信される個人情報は暗号化されているので、サービス提供装置は個人情報を受信した後に復号鍵の要求を送信する。この復号鍵の要求は、個人情報の受信確認とみなされるので個人情報の送受信が行われたことを確認することができ、サービス提供装置の否認を防止できる。
第2の効果は、個人情報管理装置がユーザ端末から取得した個人情報を改ざんしているか否かをサービス提供装置が低コストで検証できることである。
その理由は、個人情報の流通を監視する第三者を必要とすることなく、サービス提供装置はユーザ端末から取得した個人情報に関連する情報が含まれている個人情報登録証明書と、個人情報管理装置から取得した個人情報を比較できるからである。サービス提供装置は個人情報を取得するための個人情報登録証明書をユーザから取得するため、個人情報登録証明書にはユーザ端末が登録した正しい個人情報に関連する情報が記述されている。一方、個人情報管理装置から取得した個人情報は、改ざんされている可能性がある。正しい個人情報に関連する情報と、個人情報管理装置から取得した個人情報を比較することで、個人情報が改ざんされていないか確認できる。
第3の効果は、個人情報管理装置とサービス提供装置は、個人情報が改ざんされずに送受信されたこと、また、否認されずに送受信されたことを任意のタイミングに低コストで確認できることである。
その理由は、個人情報の流通を監視して個人情報を保持する第三者を必要とすることなく、それぞれの装置が個人情報の送受信に関する通信のログを全て保存し、いつでも送受信した内容を検証するための手段を持っているからである。送受信した個人情報や個人情報登録証明書、復号鍵の送受信に関するメッセージを個人情報管理装置とサービス提供装置は全て保存する。これにより、個人情報の送受信が終わっても、いつでも個人情報の改ざんや否認に関する検証ができる。
第4の効果は、適切な個人情報のみを送受信していることを主張できることである。
その理由は、個人情報の流通を監視する第三者を必要とすることなく、個人情報を送受信するときに、何の情報を誰が誰に送受信したかを確認できるためである。個人情報を送受信するときに改ざんと否認を防止できるため、何の情報を誰が誰に送付したかを個人情報管理装置とサービス提供装置は確認することができる。そのため、不要な個人情報を取得していない場合には、それを証明することができる。
第5の効果は、個人情報を利用したサービスを低コストで容易に提供できることである。
その理由は、個人情報の流通を監視して個人情報を保持する第三者を必要とすることなく、また、個人情報を自身で管理しなくても、個人情報を安全に取得できるからである。個人情報を自身で管理すると、管理コストがかかり、プライバシ漏洩のリスクに対応する必要がある。また、個人情報保護法等に対応する必要もある。しかし、個人情報の流通の際、個人情報管理装置と受信装置は正しい情報を送受信したことを確認できるため、安全に個人情報を取得できる。そのため、他の装置が個人情報を管理していれば、自身が直接管理していなくても、個人情報を送受信することで、個人情報を利用したサービスを提供することができる。
以上好ましい実施の形態をあげて本発明を説明したが、本発明は必ずしも、上記実施の形態に限定されるものでなく、その技術的思想の範囲内において様々に変形して実施することができる。
この出願は、2007年2月6日に出願された日本出願特願2007−26673号を基礎とする優先権を主張し、その開示の全てをここに取り込む。
本発明によれば、第三者がいない状況でも個人情報の委託業務を請け負うことが可能な個人情報管理のためのプログラムといった用途に適用できる。また、モバイルキャリアやISPなどの個人情報を管理している業者が、個人情報を管理していない業者に対して、第三者を経由せずに個人情報の管理代行サービスを提供するといった用途にも適用可能である。また、テレフォンセンタなどの業務を外部事業者へ委託する場合、個人情報を委託元が一括管理し、必要に応じて委託先事業者が個人情報を取得、利用するといった用途にも適用可能である。

Claims (8)

  1. ユーザ端末から受信した個人情報を登録するとともに、当該登録した個人情報から生成した証明データを含む個人情報登録証明書を発行して、前記ユーザ端末へ送信する、個人情報登録手段と、
    サービス提供装置から受信した個人情報登録証明書に対する前記個人情報を前記サービス提供装置へ送信する、個人情報要求確認手段と、
    を含む個人情報管理装置と、
    前記個人情報を前記個人情報管理装置に送信して、当該個人情報に対する前記個人情報登録証明書を受信し、当該個人情報登録証明書を用いて、前記個人情報管理装置における前記個人情報の改ざん有無を確認し、改ざんされていない場合に、当該個人情報登録証明書を前記サービス提供装置へ送信する、前記ユーザ端末と、
    前記ユーザ端末から受信した前記個人情報登録証明書を前記個人情報管理装置に送信して、当該個人情報登録証明書に対する前記個人情報を受信する、個人情報要求手段と、
    前記ユーザ端末から受信した前記個人情報登録証明書を用いて、前記個人情報管理装置から受信した前記個人情報の改ざん有無を確認する、個人情報確認手段と、
    を含むサービス提供装置と、
    を備え
    前記証明データは、前記個人情報をもとに生成されるハッシュ値である、
    個人情報照合システム。
  2. 前記ユーザ端末は、前記個人情報登録証明書に含まれる証明データと前記個人情報から生成した証明データとを比較することにより、前記個人情報管理装置における前記個人情報の改ざん有無を確認し、
    前記サービス提供装置の前記個人情報確認手段は、前記ユーザ端末から受信した前記個人情報登録証明書に含まれる証明データと前記個人情報管理装置から受信した前記個人情報から生成した証明データとを比較することにより、前記個人情報管理装置から受信した前記個人情報の改ざん有無を確認する、
    請求項1に記載の個人情報照合システム。
  3. ユーザ端末から受信した個人情報登録証明書を個人情報管理装置に送信して、当該個人情報登録証明書に対する個人情報を受信する、個人情報要求手段と、
    前記ユーザ端末から受信した前記個人情報登録証明書を用いて、前記個人情報管理装置から受信した前記個人情報の改ざん有無を確認する、個人情報確認手段と、
    を備えた、サービス提供装置であって、
    前記個人情報管理装置は、前記ユーザ端末から受信した前記個人情報を登録するとともに、当該登録した個人情報から生成した証明データを含む前記個人情報登録証明書を発行して、前記ユーザ端末へ送信し、前記サービス提供装置から受信した前記個人情報登録証明書に対する前記個人情報を前記サービス提供装置へ送信し、
    前記ユーザ端末は、前記個人情報を前記個人情報管理装置に送信して、当該個人情報に対する前記個人情報登録証明書を受信し、当該個人情報登録証明書を用いて、前記個人情報管理装置における前記個人情報の改ざん有無を確認し、改ざんされていない場合に、当該個人情報登録証明書を前記サービス提供装置へ送信し、
    前記証明データは、前記個人情報をもとに生成されるハッシュ値である、
    サービス提供装置。
  4. 前記ユーザ端末は、前記個人情報登録証明書に含まれる証明データと前記個人情報から生成した証明データとを比較することにより、前記個人情報管理装置における前記個人情報の改ざん有無を確認し、
    前記個人情報確認手段は、前記ユーザ端末から受信した前記個人情報登録証明書に含まれる証明データと前記個人情報管理装置から受信した前記個人情報から生成した証明データとを比較することにより、前記個人情報管理装置から受信した前記個人情報の改ざん有無を確認する、
    請求項に記載のサービス提供装置。
  5. ユーザ端末において、個人情報を個人情報管理装置に送信し、
    前記個人情報管理装置において、前記ユーザ端末から受信した前記個人情報を登録するとともに、当該登録した個人情報から生成した証明データを含む個人情報登録証明書を発行して、前記ユーザ端末へ送信し、
    前記ユーザ端末において、前記個人情報管理装置から前記個人情報に対する前記個人情報登録証明書を受信し、当該個人情報登録証明書を用いて、前記個人情報管理装置における前記個人情報の改ざん有無を確認し、改ざんされていない場合に、当該個人情報登録証明書をサービス提供装置へ送信し、
    前記サービス提供装置において、前記ユーザ端末から受信した前記個人情報登録証明書を前記個人情報管理装置に送信し、
    前記個人情報管理装置において、前記サービス提供装置から受信した前記個人情報登録証明書に対する前記個人情報を前記サービス提供装置へ送信し、
    前記サービス提供装置において、前記個人情報管理装置から前記個人情報登録証明書に対する前記個人情報を受信し、前記ユーザ端末から受信した前記個人情報登録証明書を用いて、前記個人情報管理装置から受信した前記個人情報の改ざん有無を確認し、
    前記証明データは、前記個人情報をもとに生成されるハッシュ値である、
    照合方法。
  6. 前記ユーザ端末において、前記個人情報登録証明書に含まれる証明データと前記個人情報から生成した証明データとを比較することにより、前記個人情報管理装置における前記個人情報の改ざん有無を確認し、
    前記サービス提供装置において、前記ユーザ端末から受信した前記個人情報登録証明書に含まれる証明データと前記個人情報管理装置から受信した前記個人情報から生成した証明データとを比較することにより、前記個人情報管理装置から受信した前記個人情報の改ざん有無を確認する、
    請求項に記載の照合方法。
  7. コンピュータに、
    ユーザ端末から受信した個人情報登録証明書を個人情報管理装置に送信して、当該個人情報登録証明書に対する個人情報を受信する、個人情報要求処理と、
    前記ユーザ端末から受信した前記個人情報登録証明書を用いて、前記個人情報管理装置から受信した前記個人情報の改ざん有無を確認する、個人情報確認処理と、
    を実行させる、サービス提供装置用のプログラムであって、
    前記個人情報管理装置は、前記ユーザ端末から受信した前記個人情報を登録するとともに、当該登録された個人情報から生成した証明データを含む前記個人情報登録証明書を発行して、前記ユーザ端末へ送信し、前記サービス提供装置から受信した前記個人情報登録証明書に対する前記個人情報を前記サービス提供装置へ送信し、
    前記ユーザ端末は、前記個人情報を前記個人情報管理装置に送信して、当該個人情報に対する前記個人情報登録証明書を受信し、当該個人情報登録証明書を用いて、前記個人情報管理装置における前記個人情報の改ざん有無を確認し、改ざんされていない場合に、当該個人情報登録証明書を前記サービス提供装置へ送信し、
    前記証明データは、前記個人情報をもとに生成されるハッシュ値である、
    プログラム。
  8. 前記ユーザ端末は、前記個人情報登録証明書に含まれる証明データと前記個人情報から生成した証明データとを比較することにより、前記個人情報管理装置における前記個人情報の改ざん有無を確認し、
    前記個人情報確認処理は、前記ユーザ端末から受信した前記個人情報登録証明書に含まれる証明データと前記個人情報管理装置から受信した前記個人情報から生成した証明データとを比較することにより、前記個人情報管理装置から受信した前記個人情報の改ざん有無を確認する、
    請求項に記載のプログラム。
JP2014086430A 2007-02-06 2014-04-18 個人情報の改ざん防止と個人情報流通否認防止のための個人情報管理装置、サービス提供装置、プログラム、個人情報管理方法、照合方法、および個人情報照合システム Expired - Fee Related JP5720831B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014086430A JP5720831B2 (ja) 2007-02-06 2014-04-18 個人情報の改ざん防止と個人情報流通否認防止のための個人情報管理装置、サービス提供装置、プログラム、個人情報管理方法、照合方法、および個人情報照合システム

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2007026673 2007-02-06
JP2007026673 2007-02-06
JP2014086430A JP5720831B2 (ja) 2007-02-06 2014-04-18 個人情報の改ざん防止と個人情報流通否認防止のための個人情報管理装置、サービス提供装置、プログラム、個人情報管理方法、照合方法、および個人情報照合システム

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2008558065A Division JPWO2008099739A1 (ja) 2007-02-06 2008-02-06 個人情報の改ざん防止と個人情報流通否認防止のための個人情報管理装置、サービス提供装置、プログラム、個人情報管理方法、照合方法、および個人情報照合システム

Publications (2)

Publication Number Publication Date
JP2014139838A JP2014139838A (ja) 2014-07-31
JP5720831B2 true JP5720831B2 (ja) 2015-05-20

Family

ID=39689977

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2008558065A Pending JPWO2008099739A1 (ja) 2007-02-06 2008-02-06 個人情報の改ざん防止と個人情報流通否認防止のための個人情報管理装置、サービス提供装置、プログラム、個人情報管理方法、照合方法、および個人情報照合システム
JP2014086430A Expired - Fee Related JP5720831B2 (ja) 2007-02-06 2014-04-18 個人情報の改ざん防止と個人情報流通否認防止のための個人情報管理装置、サービス提供装置、プログラム、個人情報管理方法、照合方法、および個人情報照合システム

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2008558065A Pending JPWO2008099739A1 (ja) 2007-02-06 2008-02-06 個人情報の改ざん防止と個人情報流通否認防止のための個人情報管理装置、サービス提供装置、プログラム、個人情報管理方法、照合方法、および個人情報照合システム

Country Status (3)

Country Link
US (1) US20100319061A1 (ja)
JP (2) JPWO2008099739A1 (ja)
WO (1) WO2008099739A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI738724B (zh) * 2017-02-21 2021-09-11 亞洲住網資訊股份有限公司 動態企業資源規劃方法及動態企業資源規劃系統

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110078779A1 (en) * 2009-09-25 2011-03-31 Song Liu Anonymous Preservation of a Relationship and Its Application in Account System Management
KR101923487B1 (ko) 2011-09-29 2018-11-30 삼성전자 주식회사 통신 연결 서비스 제공 방법 및 장치
US9467424B2 (en) 2011-10-07 2016-10-11 Salesforce.Com, Inc. Methods and systems for proxying data
US20140259132A1 (en) * 2013-03-06 2014-09-11 Go Daddy Operating Company, LLC System for creating a security certificate
US20140259131A1 (en) * 2013-03-06 2014-09-11 Go Daddy Operating Company, LLC Method for creating a security certificate
JP6168415B2 (ja) * 2014-05-27 2017-07-26 パナソニックIpマネジメント株式会社 端末認証システム、サーバ装置、及び端末認証方法
JP6548172B2 (ja) * 2017-06-12 2019-07-24 パナソニックIpマネジメント株式会社 端末認証システム、サーバ装置、及び端末認証方法
JP7287207B2 (ja) 2019-09-13 2023-06-06 富士通株式会社 情報処理装置、制御プログラムおよび制御方法
CN110932869A (zh) * 2019-12-02 2020-03-27 北京合游时空科技有限公司 证书实名认证的方法、装置及设备
CN113849851A (zh) 2020-06-28 2021-12-28 中兴通讯股份有限公司 代理方法、设备及计算机可读存储介质

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5608778A (en) * 1994-09-22 1997-03-04 Lucent Technologies Inc. Cellular telephone as an authenticated transaction controller
US6675153B1 (en) * 1999-07-06 2004-01-06 Zix Corporation Transaction authorization system
JP2001222219A (ja) * 2000-02-10 2001-08-17 Hitachi Ltd ネットワーク通信記録方式および装置
JP2002139998A (ja) * 2000-11-01 2002-05-17 Sony Corp 属性確認処理を含むデータ通信システムおよび属性確認処理を含むデータ通信方法
US20020083008A1 (en) * 2000-12-22 2002-06-27 Smith Christopher F. Method and system for identity verification for e-transactions
JP2002229953A (ja) * 2001-01-30 2002-08-16 Canon Inc 個人情報管理システム及びその方法
JP3917463B2 (ja) * 2002-05-28 2007-05-23 日本電信電話株式会社 個人情報流通管理方法,個人情報流通管理システムおよび個人情報流通管理用プログラム
JP2004102872A (ja) * 2002-09-12 2004-04-02 Mitsubishi Electric Corp 個人情報保護オンライン・コマース・システム
US7568098B2 (en) * 2003-12-02 2009-07-28 Microsoft Corporation Systems and methods for enhancing security of communication over a public network
KR100648064B1 (ko) * 2004-01-14 2006-11-23 주식회사 케이티프리텔 인증용 무선 단말기 및 이를 이용한 전자 거래 시스템 및그 방법
JP2005341095A (ja) * 2004-05-26 2005-12-08 Hitachi Ltd 端末装置、公開鍵の正当性を判断する方法、およびプログラム
TWI394466B (zh) * 2005-02-04 2013-04-21 Qualcomm Inc 無線通信之安全引導
JP4664107B2 (ja) * 2005-03-31 2011-04-06 株式会社日立製作所 事業者側装置、利用者側装置、個人情報閲覧更新システムおよび個人情報閲覧更新方法
JP2007018050A (ja) * 2005-07-05 2007-01-25 Sony Ericsson Mobilecommunications Japan Inc 携帯端末装置、暗証番号認証プログラム、及び暗証番号認証方法
AU2007295134A1 (en) * 2006-09-15 2008-03-20 Comfact Ab Method and computer system for ensuring authenticity of an electronic transaction
JP2010505161A (ja) * 2006-09-29 2010-02-18 スカンメル,ダン 電子取引でユーザのアイデンティティを検証するシステムおよび方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI738724B (zh) * 2017-02-21 2021-09-11 亞洲住網資訊股份有限公司 動態企業資源規劃方法及動態企業資源規劃系統

Also Published As

Publication number Publication date
WO2008099739A1 (ja) 2008-08-21
JP2014139838A (ja) 2014-07-31
US20100319061A1 (en) 2010-12-16
JPWO2008099739A1 (ja) 2010-05-27

Similar Documents

Publication Publication Date Title
JP5720831B2 (ja) 個人情報の改ざん防止と個人情報流通否認防止のための個人情報管理装置、サービス提供装置、プログラム、個人情報管理方法、照合方法、および個人情報照合システム
AU2021206913B2 (en) Systems and methods for distributed data sharing with asynchronous third-party attestation
US7676433B1 (en) Secure, confidential authentication with private data
US7788499B2 (en) Security tokens including displayable claims
US8117459B2 (en) Personal identification information schemas
US9264902B1 (en) Systems and methods for remote authorization of financial transactions using public key infrastructure (PKI)
JP5403481B2 (ja) 個人情報の改ざん防止と個人情報流通否認防止のための個人情報管理装置
US20090133107A1 (en) Method and device of enabling a user of an internet application access to protected information
JP2002091299A (ja) 電子署名システム、電子署名方法、電子署名の仲介方法、電子署名の仲介システム、情報端末および記録媒体
JP2002271312A (ja) 公開鍵管理方法
US20080294896A1 (en) Method and System for Transmitting and Receiving User's Personal Information Using Agent
US20220321357A1 (en) User credential control system and user credential control method
JP5084468B2 (ja) 権限委譲システム、権限委譲方法および権限委譲プログラム
JP2008282212A (ja) 認証装置及び認証システム
JP2003338816A (ja) 個人情報認証を行うサービス提供システム
KR101449806B1 (ko) 디지털 정보 상속 방법
JP2009031849A (ja) 電子申請用証明書発行システムおよび電子申請受付システム、並びにそれらの方法およびプログラム
JP2004297333A (ja) デジタル証明書の認定システム、デジタル証明書の認定サーバ、pkiトークン、デジタル証明書の認定方法、及びプログラム
JP2002132996A (ja) 情報存在証明サーバ、情報存在証明方法、および情報存在証明制御プログラム
Pashalidis et al. Privacy in identity and access management systems
EP4050923A1 (en) Systems and methods of access validation using distributed ledger identity management
JP2013097512A (ja) ログイン認証システムおよび方法
JP2002207694A (ja) 情報転送追跡装置、個人情報管理システム、その方法及びプログラムを記録した記録媒体
JP2023155626A (ja) 情報通知システム、情報通知方法、及び情報通知アプリケーションプログラム
JP2002123789A (ja) 電子フォーム配信システム及び電子書類提出システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140418

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20141128

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141209

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150203

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150224

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150309

R150 Certificate of patent or registration of utility model

Ref document number: 5720831

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees