JP5939580B2 - 匿名化データを名寄せするための名寄せシステム、並びに、その方法及びコンピュータ・プログラム - Google Patents
匿名化データを名寄せするための名寄せシステム、並びに、その方法及びコンピュータ・プログラム Download PDFInfo
- Publication number
- JP5939580B2 JP5939580B2 JP2013066377A JP2013066377A JP5939580B2 JP 5939580 B2 JP5939580 B2 JP 5939580B2 JP 2013066377 A JP2013066377 A JP 2013066377A JP 2013066377 A JP2013066377 A JP 2013066377A JP 5939580 B2 JP5939580 B2 JP 5939580B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- service providing
- name identification
- token
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
Description
本発明は、匿名化データを名寄せするための技法に関する。詳細には、本発明は、例えばクラウド・サービス上において、匿名性を保ちつつ匿名化データを名寄せする技法に関する。
近年、クラウド・サービスの発展により、種々のデータ、例えば個人又は特定の機器からの情報を当該クラウド・サービスから収集し、当該収集した情報を用いて様々なサービスを提供することが行われている。また、クラウド・サービスから収集した種々のデータを統合(マッシュアップ)し、当該統合したデータを用いて様々なサービスを提供することが行われている。例えば、下記非特許文献1は、さまざまなデータを取得し、潜在的なビッグデータを活用し、企業のビジネスに役立てるためのITの仕組みを記載する。
個人情報の保護に関する法律(略称、個人情報保護法)が2005年4月1日より施行されている。個人情報保護法は、個人情報の取り扱いに関連する日本の法律である。個人情報保護法で定義される個人情報とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができる情報をいい、これには、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる情報(例えば、学生名簿等と照合することで個人を特定できるような学籍番号等)も含まれる。
個人情報保護法を遵守した上で個人情報を利用するためには、個人情報の取得時に本人に対して利用目的の通知又は承認が必要であり、また第三者へ個人情報を提供するためには、本人の同意が必要である。
下記特許文献1は情報仲介システムに係る発明であり(段落0001)、仲介サーバは、情報提供者端末から定期的に情報を収集し、利用者端末から要求があったとき、仲介サーバは、公開が許されていない情報提供者の属性の各項目と情報提供者の情報の各項目の組合せを名寄せできなくなるようにダミー情報に置き換えて、利用者端末に対して公開することを記載する(要約)。また、特許文献1は、仲介サーバ105に接続された車両情報管理サーバ107(段落0030〜段落0031)が備えている車両情報管理部232における車両情報235の加工方法を記載する(段落0065)。すなわち、特許文献1は、名寄せキーの値(車両番号)をダミー情報に書き換えることで、会員情報222と車両情報235の名寄せを不可能にし、当該車両番号をダミー車両情報に書き換えるルールは、ランダムな変数を用いて変換してもよいし、時刻情報を用いて変換してもよいし、内部的な通し番号を用いて変換してもよいし、データ項目を用いて変換してもよいこと、及び、ダミー情報に書き換えるルールを、日付毎、曜日毎、又は一定時間毎に変更してもよいことを記載する(段落0065)。
下記特許文献2は通信ネットワーク上のネットワークサーバを介してPC端末のデータを携帯端末で共有する情報システムに係る発明であり、ソルト及びパスワードを用いてセッションキーを暗号化することを記載する(請求項1、段落0008及び段落0014)。
下記特許文献3は個人情報管理システムに係る発明であり、個人情報に含まれる当該個人を特定可能な部分と、ユーザ固有の鍵情報との鍵付きハッシュ値を生成することを記載する(請求項1、段落0026〜0031)。
下記特許文献4は、匿名化する単語の辞書を用意する必要が無く、かつ、単語及びその単語を含む周辺表記の組合せが稀な場合でも適切に匿名化可能な技術を提供することを記載する(段落0012)。
下記特許文献5は、名寄せ制御方法に係る発明であり(請求項1)、個人IDをキーとするハッシュ関数により生成された匿名IDを用いることを記載する。
下記特許文献6は、配信仲介サービス装置の介在によりコンセプトメールを多数のターゲットに配信する方法及び配信仲介サービス装置を記載する(特許請求の範囲)。
下記特許文献7は、個人情報閲覧更新システム及び個人情報閲覧更新方法を記載する(特許請求の範囲)。
下記特許文献8は、複数の利用者からなるグループでデータを共有するデータ共有装置を記載する(段落0001)。
下記非特許文献2は、個人情報の匿名化ソフトウェアを記載する。
下記非特許文献3は、個人情報の匿名化を記載する。
浅井信宏ら、「Connected Worldの実現に向けて −オンデマンドでのデータ変換により世界中のデータを利用可能にする−」、ProVISION、No.74、2012夏、インターネット〈URL:http://www-06.ibm.com/ibm/jp/provision/no74/pdf/74_article2.pdf〉より入手可能
山本啓二ら、「医用画像の個人情報匿名化ソフトウェアの開発」、MSS技報、Vol.19、24〜29頁"、2008年3月、インターネット〈URL:www.mss.co.jp/technology/report/pdf/19-04.pdf〉より入手可能
本多克宏、「個人情報の匿名化と安心・安全な高精度推薦システム」、[online]、[平成25年3月9日検索]、インターネット〈URL:http://jstshingi.jp/abst/p/12/1230/osaka2-10.pdf〉
「Smarter Planet」、[online]、[平成25年3月11日検索]、インターネット〈URL:http://www-06.ibm.com/innovation/jp/smarterplanet/〉
個人又は特定の機器が種々のデータをサービス提供システムに提供する場合には、当該個人又は当該特定の機器の管理者と当該サービス提供システムの管理者との間で個人情報の保護に関する契約をする。従って、当該個人又は当該特定の機器は上記契約をしたサービス提供システムのみに個人情報を含むデータを提供する。しかしながら、サービス提供システムは、当該データが個人情報を有するために、当該データを名寄せする名寄せシステムにそのまま提供することができない。そこで、当該名寄せシステムが、上記データ中の個人情報を知ることができないようにし、且つ、上記サービス提供システムから収集したデータについて名寄せすることができるようにしたいというニーズがある。
従って、本願発明は、上記名寄せシステムが、上記個人情報を得ることなしに(すなわち、匿名化されたまま)複数のサービス提供システムそれぞれから匿名化データを取得し、当該取得した匿名化データについて名寄せすることを可能にする技法を提供することを目的とする。
また、本願発明は、名寄せシステムからの要求に応じて、名寄せを実行する技法を提供することを目的とする。
また、本願発明は、ユーザが名寄せされたデータ又は当該名寄せされたデータを集計した集計データを利用したい場合にのみ、名寄せを実行する技法を提供することを目的とする。
また、本願発明は、データを提供したデータ提供者に対して利益を供与し乃至は還元することを可能にし、且つ、名寄せされたデータ又は当該名寄せされたデータを集計した集計データを利用したユーザに対して課金することを可能にする技法を提供することを目的とする。
本発明は、複数のサービス提供システムから送信された匿名化データを名寄せシステムにおいて名寄せする技法を提供する。当該技法は、複数のサービス提供システムから送信された匿名化データを名寄せシステムにおいて名寄せする方法及びそのコンピュータ・プログラム、並びに、複数のサービス提供システムそれぞれから送信された匿名化データを名寄せする名寄せシステム、並びに、上記名寄せシステムと当該名寄せシステムに匿名化データを提供する複数のサービス提供システムと任意的に上記名寄せされるデータを利用するユーザに関連付けられたユーザ・システムとを備えている名寄せのためのコンピュータ・システムを包含しうる。
本発明に従う上記方法は、上記名寄せシステムが、
データの送信を要求する送信要求と当該送信要求毎に異なる値とを上記複数のサービス提供システムそれぞれに送信するステップと、
上記データを管理するための識別番号と上記値とに基づいて生成されたハッシュ値と、上記識別番号によって特定される匿名化データとのセットを上記複数のサービス提供システムそれぞれから受信するステップであって、上記ハッシュ値は、上記複数のサービス提供システムそれぞれにおいて同一のハッシュ化アルゴリズムを使用してハッシュ化されたものである、上記受信するステップと、
上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記ハッシュ値によって特定される匿名化データを名寄せするステップと
を実行することを含む。本発明の1つの実施態様において、上記ハッシュ値によって特定される匿名化データが、上記名寄せされたデータ又は当該名寄せされたデータを集計した集計データを利用するユーザに関連付けられた公開鍵を使用して暗号化されていてもよい。また、本発明の1つの実施態様において、上記ハッシュ値によって特定される匿名化データが上記公開鍵を使用して暗号化されている場合には、当該暗号化された匿名化データは、上記ユーザに関連付けられ且つ上記公開鍵に対応する秘密鍵を使用して復号されうる。
データの送信を要求する送信要求と当該送信要求毎に異なる値とを上記複数のサービス提供システムそれぞれに送信するステップと、
上記データを管理するための識別番号と上記値とに基づいて生成されたハッシュ値と、上記識別番号によって特定される匿名化データとのセットを上記複数のサービス提供システムそれぞれから受信するステップであって、上記ハッシュ値は、上記複数のサービス提供システムそれぞれにおいて同一のハッシュ化アルゴリズムを使用してハッシュ化されたものである、上記受信するステップと、
上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記ハッシュ値によって特定される匿名化データを名寄せするステップと
を実行することを含む。本発明の1つの実施態様において、上記ハッシュ値によって特定される匿名化データが、上記名寄せされたデータ又は当該名寄せされたデータを集計した集計データを利用するユーザに関連付けられた公開鍵を使用して暗号化されていてもよい。また、本発明の1つの実施態様において、上記ハッシュ値によって特定される匿名化データが上記公開鍵を使用して暗号化されている場合には、当該暗号化された匿名化データは、上記ユーザに関連付けられ且つ上記公開鍵に対応する秘密鍵を使用して復号されうる。
本発明に従う上記方法は、上記名寄せシステムが、
データの送信を要求する第1の送信要求と当該第1の送信要求にのみ有効な第1の値とを上記複数のサービス提供システムそれぞれに送信するステップと、
上記データを管理するための識別番号と上記第1の値とに基づいて生成された第1のハッシュ値と、上記識別番号によって特定される匿名化データとのセットを上記複数のサービス提供システムそれぞれから受信するステップであって、前上記複数のサービス提供システムそれぞれは同一のハッシュ化アルゴリズムを使用してハッシュ化を行う、上記受信するステップと、
上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記第1のハッシュ値によって特定される匿名化データを名寄せするステップと、
データの送信を要求する第2の送信要求と当該第2の送信要求にのみ有効な第2の値とを上記複数のサービス提供システムそれぞれに送信するステップであって、上記第2の値は上記第1の値と異なる、上記送信するステップと、
上記データを管理するための識別番号と上記第2の値とに基づいて生成された第2のハッシュ値と、上記識別番号によって特定される匿名化データとのセットを上記複数のサービス提供システムそれぞれから受信するステップと、
上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記第2のハッシュ値によって特定される匿名化データを名寄せするステップと
を実行することを含む。本発明の1つの実施態様において、上記第1のハッシュ値又は上記第2のハッシュ値によって特定される匿名化データが、上記名寄せされたデータ又は当該名寄せされたデータを集計した集計データを利用するユーザに関連付けられた公開鍵を使用して暗号化されていてもよい。また、本発明の1つの実施態様において、上記第1のハッシュ値又は上記第2のハッシュ値によって特定される匿名化データが上記公開鍵を使用して暗号化されている場合には、当該暗号化された匿名化データは、上記ユーザに関連付けられ且つ上記公開鍵に対応する秘密鍵を使用して復号されうる。
データの送信を要求する第1の送信要求と当該第1の送信要求にのみ有効な第1の値とを上記複数のサービス提供システムそれぞれに送信するステップと、
上記データを管理するための識別番号と上記第1の値とに基づいて生成された第1のハッシュ値と、上記識別番号によって特定される匿名化データとのセットを上記複数のサービス提供システムそれぞれから受信するステップであって、前上記複数のサービス提供システムそれぞれは同一のハッシュ化アルゴリズムを使用してハッシュ化を行う、上記受信するステップと、
上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記第1のハッシュ値によって特定される匿名化データを名寄せするステップと、
データの送信を要求する第2の送信要求と当該第2の送信要求にのみ有効な第2の値とを上記複数のサービス提供システムそれぞれに送信するステップであって、上記第2の値は上記第1の値と異なる、上記送信するステップと、
上記データを管理するための識別番号と上記第2の値とに基づいて生成された第2のハッシュ値と、上記識別番号によって特定される匿名化データとのセットを上記複数のサービス提供システムそれぞれから受信するステップと、
上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記第2のハッシュ値によって特定される匿名化データを名寄せするステップと
を実行することを含む。本発明の1つの実施態様において、上記第1のハッシュ値又は上記第2のハッシュ値によって特定される匿名化データが、上記名寄せされたデータ又は当該名寄せされたデータを集計した集計データを利用するユーザに関連付けられた公開鍵を使用して暗号化されていてもよい。また、本発明の1つの実施態様において、上記第1のハッシュ値又は上記第2のハッシュ値によって特定される匿名化データが上記公開鍵を使用して暗号化されている場合には、当該暗号化された匿名化データは、上記ユーザに関連付けられ且つ上記公開鍵に対応する秘密鍵を使用して復号されうる。
また、本発明に従う上記方法は、
上記名寄せシステムが、データの送信を要求する送信要求と当該送信要求毎に異なる値とを上記複数のサービス提供システムそれぞれに送信するステップと、
上記複数のサービス提供システムそれぞれが、上記データを管理するための識別番号と上記値とに基づいてハッシュ値を生成するステップであって、上記複数のサービス提供システムそれぞれは同一のハッシュ化アルゴリズムを使用してハッシュ化を行う、上記生成するステップと、
上記複数のサービス提供システムそれぞれが、上記ハッシュ値と上記識別番号によって特定される匿名化データとのセットを上記名寄せシステムに送信するステップと、
上記名寄せシステムが、上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記ハッシュ値によって特定される匿名化データを名寄せするステップと
を実行することを含む。本発明の1つの実施態様において、上記ハッシュ値によって特定される匿名化データが、上記名寄せされたデータ又は当該名寄せされたデータを集計した集計データを利用するユーザに関連付けられた公開鍵を使用して暗号化されていてもよい。また、本発明の1つの実施態様において、上記ハッシュ値によって特定される匿名化データが上記公開鍵を使用して暗号化されている場合には、当該暗号化されたデータは、上記ユーザに関連付けられ且つ上記公開鍵に対応する秘密鍵を使用して復号されうる。
上記名寄せシステムが、データの送信を要求する送信要求と当該送信要求毎に異なる値とを上記複数のサービス提供システムそれぞれに送信するステップと、
上記複数のサービス提供システムそれぞれが、上記データを管理するための識別番号と上記値とに基づいてハッシュ値を生成するステップであって、上記複数のサービス提供システムそれぞれは同一のハッシュ化アルゴリズムを使用してハッシュ化を行う、上記生成するステップと、
上記複数のサービス提供システムそれぞれが、上記ハッシュ値と上記識別番号によって特定される匿名化データとのセットを上記名寄せシステムに送信するステップと、
上記名寄せシステムが、上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記ハッシュ値によって特定される匿名化データを名寄せするステップと
を実行することを含む。本発明の1つの実施態様において、上記ハッシュ値によって特定される匿名化データが、上記名寄せされたデータ又は当該名寄せされたデータを集計した集計データを利用するユーザに関連付けられた公開鍵を使用して暗号化されていてもよい。また、本発明の1つの実施態様において、上記ハッシュ値によって特定される匿名化データが上記公開鍵を使用して暗号化されている場合には、当該暗号化されたデータは、上記ユーザに関連付けられ且つ上記公開鍵に対応する秘密鍵を使用して復号されうる。
また、本発明に従う上記方法は、
上記名寄せシステムが、データの送信を要求する第1の送信要求と当該第1の送信要求にのみ有効な第1の値とを上記複数のサービス提供システムそれぞれに送信するステップと、
上記複数のサービス提供システムそれぞれが、上記データを管理するための識別番号と上記第1の値とに基づいて第1のハッシュ値を生成するステップであって、上記複数のサービス提供システムそれぞれは同一のハッシュ化アルゴリズムを使用してハッシュ化を行う、上記生成するステップと、
上記複数のサービス提供システムそれぞれが、上記第1のハッシュ値と上記識別番号によって特定される匿名化データとのセットを上記名寄せシステムに送信するステップと、
上記名寄せシステムが、上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記第1のハッシュ値によって特定される匿名化データを名寄せするステップと、
上記名寄せシステムが、データの送信を要求する第2の送信要求と当該第2の送信要求にのみ有効な第2の値とを上記複数のサービス提供システムそれぞれに送信するステップであって、上記第2の値は上記第1の値と異なる、上記送信するステップと、
上記複数のサービス提供システムそれぞれが、上記データを管理するための識別番号と上記第2の値とに基づいて第2のハッシュ値を生成するステップと、
上記複数のサービス提供システムそれぞれが、上記第2のハッシュ値と上記識別番号によって特定される匿名化データとのセットを上記名寄せシステムに送信するステップと、
上記名寄せシステムが、上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記第2のハッシュ値によって特定される匿名化データを名寄せするステップと
を実行することを含む。本発明の1つの実施態様において、上記第1のハッシュ値又は上記第2のハッシュ値によって特定される匿名化データが、上記名寄せされたデータ又は当該名寄せされたデータを集計した集計データを利用するユーザに関連付けられた公開鍵を使用して暗号化されていてもよい。また、本発明の1つの実施態様において、上記第1のハッシュ値又は上記第2のハッシュ値によって特定される匿名化データが上記公開鍵を使用して暗号化されている場合には、当該暗号化された匿名化データは、上記ユーザに関連付けられ且つ上記公開鍵に対応する秘密鍵を使用して復号されうる。
上記名寄せシステムが、データの送信を要求する第1の送信要求と当該第1の送信要求にのみ有効な第1の値とを上記複数のサービス提供システムそれぞれに送信するステップと、
上記複数のサービス提供システムそれぞれが、上記データを管理するための識別番号と上記第1の値とに基づいて第1のハッシュ値を生成するステップであって、上記複数のサービス提供システムそれぞれは同一のハッシュ化アルゴリズムを使用してハッシュ化を行う、上記生成するステップと、
上記複数のサービス提供システムそれぞれが、上記第1のハッシュ値と上記識別番号によって特定される匿名化データとのセットを上記名寄せシステムに送信するステップと、
上記名寄せシステムが、上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記第1のハッシュ値によって特定される匿名化データを名寄せするステップと、
上記名寄せシステムが、データの送信を要求する第2の送信要求と当該第2の送信要求にのみ有効な第2の値とを上記複数のサービス提供システムそれぞれに送信するステップであって、上記第2の値は上記第1の値と異なる、上記送信するステップと、
上記複数のサービス提供システムそれぞれが、上記データを管理するための識別番号と上記第2の値とに基づいて第2のハッシュ値を生成するステップと、
上記複数のサービス提供システムそれぞれが、上記第2のハッシュ値と上記識別番号によって特定される匿名化データとのセットを上記名寄せシステムに送信するステップと、
上記名寄せシステムが、上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記第2のハッシュ値によって特定される匿名化データを名寄せするステップと
を実行することを含む。本発明の1つの実施態様において、上記第1のハッシュ値又は上記第2のハッシュ値によって特定される匿名化データが、上記名寄せされたデータ又は当該名寄せされたデータを集計した集計データを利用するユーザに関連付けられた公開鍵を使用して暗号化されていてもよい。また、本発明の1つの実施態様において、上記第1のハッシュ値又は上記第2のハッシュ値によって特定される匿名化データが上記公開鍵を使用して暗号化されている場合には、当該暗号化された匿名化データは、上記ユーザに関連付けられ且つ上記公開鍵に対応する秘密鍵を使用して復号されうる。
また、本発明に従う上記方法は、
上記名寄せシステムが、上記複数のサービス提供システムそれぞれに名寄せすることのユーザ許可要求と当該許可要求毎に異なる値とを上記ユーザ許可要求を処理できるシステムに送信するステップと、
上記ユーザが上記名寄せを許可することに応じて、上記ユーザ許可要求を受信したシステムが、上記ユーザに関連付けられた識別番号及び上記値を少なくとも有するトークンを作成するステップと、
上記ユーザ許可要求を受信したシステムが、上記トークンを暗号化するステップと、
上記ユーザ許可要求を受信したシステムが、上記暗号化されたトークンを上記名寄せシステムに送信するステップと、
上記名寄せシステムが、上記暗号化されたトークンを、名寄せ対象の匿名化データを格納している上記複数のサービス提供システムのうちの少なくとも1つに送信するステップと、
上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記暗号化されたトークンを復号するステップと、
上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記復号されたトークンに基づいて、上記匿名化データを上記名寄せシステムに送信してもよいかどうかを判断するステップと、
上記匿名化データを上記名寄せシステムに送信してもよいことに応じて、上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記匿名化データを上記名寄せシステムに送信するステップと、
上記名寄せシステムが、上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記トークンによって特定される匿名化データを名寄せするステップと
を実行することを含む。
上記名寄せシステムが、上記複数のサービス提供システムそれぞれに名寄せすることのユーザ許可要求と当該許可要求毎に異なる値とを上記ユーザ許可要求を処理できるシステムに送信するステップと、
上記ユーザが上記名寄せを許可することに応じて、上記ユーザ許可要求を受信したシステムが、上記ユーザに関連付けられた識別番号及び上記値を少なくとも有するトークンを作成するステップと、
上記ユーザ許可要求を受信したシステムが、上記トークンを暗号化するステップと、
上記ユーザ許可要求を受信したシステムが、上記暗号化されたトークンを上記名寄せシステムに送信するステップと、
上記名寄せシステムが、上記暗号化されたトークンを、名寄せ対象の匿名化データを格納している上記複数のサービス提供システムのうちの少なくとも1つに送信するステップと、
上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記暗号化されたトークンを復号するステップと、
上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記復号されたトークンに基づいて、上記匿名化データを上記名寄せシステムに送信してもよいかどうかを判断するステップと、
上記匿名化データを上記名寄せシステムに送信してもよいことに応じて、上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記匿名化データを上記名寄せシステムに送信するステップと、
上記名寄せシステムが、上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記トークンによって特定される匿名化データを名寄せするステップと
を実行することを含む。
また、本発明に従う上記方法は、
匿名化データを名寄せした名寄せされたデータ又は当該名寄せされたデータを集計した集計データを利用するユーザに関連付けられたユーザ・システムが、上記複数のサービス提供システムのうちの1つのサービス提供システムに、当該ユーザの匿名化された識別番号を問い合わせるステップと、
上記複数のサービス提供システムのうちの上記1つのサービス提供システムが、データの送信を要求する第1の送信要求と上記問い合わせた識別番号とを名寄せシステムに送信するステップと、
上記名寄せシステムが、上記第1の送信要求と、当該第1の送信要求にのみ有効な第1の値と、上記識別番号とを上記複数のサービス提供システムの少なくとも1つに送信するステップと、
上記第1の送信要求と当該第1の送信要求にのみ有効な上記第1の値と上記問い合わせた識別番号とを受信したサービス提供システムが、上記識別番号と上記第1の値とに基づいてトークンを作成するステップと、
上記第1の送信要求と当該第1の送信要求にのみ有効な上記第1の値と上記問い合わせた識別番号とを受信したサービス提供システムが、上記トークンを暗号化するステップと、
上記第1の送信要求と当該第1の送信要求にのみ有効な上記第1の値と上記問い合わせた識別番号とを受信したサービス提供システムが、上記暗号化されたトークンを上記名寄せシステムに送信するステップと、
上記名寄せシステムが、上記暗号化されたトークンを、名寄せ対象のデータを格納している上記複数のサービス提供システムのうちの少なくとも1つに送信するステップと、
上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記暗号化されたトークンを復号するステップと、
上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記復号されたトークンに基づいて、上記匿名化データを上記名寄せシステムに送信してもよいかどうかを判断するステップと、
上記匿名化データを上記名寄せシステムに送信してもよいことに応じて、上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記匿名化データを上記名寄せシステムに送信するステップと、
上記名寄せシステムが、上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記トークンによって特定される匿名化データを名寄せするステップと
を実行することを含む。
匿名化データを名寄せした名寄せされたデータ又は当該名寄せされたデータを集計した集計データを利用するユーザに関連付けられたユーザ・システムが、上記複数のサービス提供システムのうちの1つのサービス提供システムに、当該ユーザの匿名化された識別番号を問い合わせるステップと、
上記複数のサービス提供システムのうちの上記1つのサービス提供システムが、データの送信を要求する第1の送信要求と上記問い合わせた識別番号とを名寄せシステムに送信するステップと、
上記名寄せシステムが、上記第1の送信要求と、当該第1の送信要求にのみ有効な第1の値と、上記識別番号とを上記複数のサービス提供システムの少なくとも1つに送信するステップと、
上記第1の送信要求と当該第1の送信要求にのみ有効な上記第1の値と上記問い合わせた識別番号とを受信したサービス提供システムが、上記識別番号と上記第1の値とに基づいてトークンを作成するステップと、
上記第1の送信要求と当該第1の送信要求にのみ有効な上記第1の値と上記問い合わせた識別番号とを受信したサービス提供システムが、上記トークンを暗号化するステップと、
上記第1の送信要求と当該第1の送信要求にのみ有効な上記第1の値と上記問い合わせた識別番号とを受信したサービス提供システムが、上記暗号化されたトークンを上記名寄せシステムに送信するステップと、
上記名寄せシステムが、上記暗号化されたトークンを、名寄せ対象のデータを格納している上記複数のサービス提供システムのうちの少なくとも1つに送信するステップと、
上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記暗号化されたトークンを復号するステップと、
上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記復号されたトークンに基づいて、上記匿名化データを上記名寄せシステムに送信してもよいかどうかを判断するステップと、
上記匿名化データを上記名寄せシステムに送信してもよいことに応じて、上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記匿名化データを上記名寄せシステムに送信するステップと、
上記名寄せシステムが、上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記トークンによって特定される匿名化データを名寄せするステップと
を実行することを含む。
また、本発明に従う上記方法は、
上記匿名化データを名寄せした名寄せされたデータ又は当該名寄せされたデータを集計した集計データを利用するユーザに関連付けられたユーザ・システムが、上記匿名化データを管理するための識別番号と上記匿名化データの送信を要求する第1の送信要求にのみ有効な第1の値とを有するトークンを作成するステップと、
上記ユーザ・システムが、上記トークンを暗号化するステップと、
上記ユーザ・システムが、上記第1の送信要求と上記暗号化されたトークンとを上記名寄せシステムに送信するステップと、
上記名寄せシステムが、上記暗号化されたトークンを、名寄せ対象の匿名化データを格納している上記複数のサービス提供システムのうちの少なくとも1つに送信するステップと、
上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記暗号化されたトークンを復号するステップと、
上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記復号されたトークンに基づいて、上記匿名化データを上記名寄せシステムに送信してもよいかどうかを判断するステップと、
上記匿名化データを上記名寄せシステムに送信してもよいことに応じて、上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記匿名化データを上記名寄せシステムに送信するステップと、
上記名寄せシステムが、上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記トークンによって特定される匿名化データを名寄せするステップと
を実行することを含む。本発明の1つの実施態様において、
上記トークンを暗号化するステップが、
上記ユーザ・システムが、上記複数のサービス提供システムそれぞれの各公開鍵を使用して、上記トークンを暗号化し、当該暗号化されたトークンのセットを生成するステップ
を含み、
上記暗号化されたトークンを上記名寄せシステムに送信するステップが、
上記暗号化されたトークンの上記セットを上記名寄せシステムに送信するステップ
を含み、
上記暗号化されたトークンを復号するステップが、
上記暗号化されたトークンを受信したサービス提供システムが、上記暗号化されたトークンを、当該サービス提供システムの秘密鍵を使用して復号するステップ
を含む。
上記匿名化データを名寄せした名寄せされたデータ又は当該名寄せされたデータを集計した集計データを利用するユーザに関連付けられたユーザ・システムが、上記匿名化データを管理するための識別番号と上記匿名化データの送信を要求する第1の送信要求にのみ有効な第1の値とを有するトークンを作成するステップと、
上記ユーザ・システムが、上記トークンを暗号化するステップと、
上記ユーザ・システムが、上記第1の送信要求と上記暗号化されたトークンとを上記名寄せシステムに送信するステップと、
上記名寄せシステムが、上記暗号化されたトークンを、名寄せ対象の匿名化データを格納している上記複数のサービス提供システムのうちの少なくとも1つに送信するステップと、
上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記暗号化されたトークンを復号するステップと、
上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記復号されたトークンに基づいて、上記匿名化データを上記名寄せシステムに送信してもよいかどうかを判断するステップと、
上記匿名化データを上記名寄せシステムに送信してもよいことに応じて、上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記匿名化データを上記名寄せシステムに送信するステップと、
上記名寄せシステムが、上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記トークンによって特定される匿名化データを名寄せするステップと
を実行することを含む。本発明の1つの実施態様において、
上記トークンを暗号化するステップが、
上記ユーザ・システムが、上記複数のサービス提供システムそれぞれの各公開鍵を使用して、上記トークンを暗号化し、当該暗号化されたトークンのセットを生成するステップ
を含み、
上記暗号化されたトークンを上記名寄せシステムに送信するステップが、
上記暗号化されたトークンの上記セットを上記名寄せシステムに送信するステップ
を含み、
上記暗号化されたトークンを復号するステップが、
上記暗号化されたトークンを受信したサービス提供システムが、上記暗号化されたトークンを、当該サービス提供システムの秘密鍵を使用して復号するステップ
を含む。
また、本発明に従う上記方法は、
上記匿名化データを名寄せした名寄せされたデータ又は当該名寄せされたデータを集計した集計データを利用するユーザに関連付けられたユーザ・システムが、上記データの送信を要求する送信要求毎に異なる値を送信することを要求する送信要求を上記名寄せシステムに送信するステップと、
上記名寄せシステムが、上記値の送信要求を受信することに応じて、上記値を作成し、当該作成した値を上記ユーザ・システムに送信するステップと、
上記ユーザ・システムが、上記値を受信することに応じて、上記匿名化データに関連付けられた識別番号と上記値とに基づいて第1のハッシュ値を生成し、当該生成した第1のハッシュ値を上記名寄せシステムに送信するステップと、
上記名寄せシステムが、上記第1のハッシュ値を受信することに応じて、当該第1のハッシュ値と上記値とを上記複数のサービス提供システムそれぞれに送信するステップと、
上記第1のハッシュ値と上記値とを受信したサービス提供システムそれぞれが、上記匿名化データに関連付けられた識別番号と上記受信した値とに基づいて第2のハッシュ値を生成するステップであって、上記複数のサービス提供システムそれぞれは上記ユーザ・システムと同一のハッシュ化アルゴリズムを使用してハッシュ化を行う、上記生成するステップと、
上記第1のハッシュ値と上記値とを受信したサービス提供システムそれぞれが、上記第1のハッシュ値と上記第2のハッシュ値とを比較して、当該第1のハッシュ値と当該第2のハッシュ値とが一致することに応じて、上記第2のハッシュ値を生成する際に用いた上記識別番号を有する匿名化データを上記名寄せシステムに送信するステップと、
上記名寄せシステムが、上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記第1のハッシュ値によって特定される匿名化データを名寄せするステップと、
上記名寄せシステムが、上記名寄せされたデータ又は上記集計データを上記ユーザ・システムに送信するステップと
を実行することを含む。本発明の1つの実施態様において、上記サービス提供システムそれぞれが上記第2のハッシュ値を生成する際に用いた上記識別番号を有する匿名化データを上記名寄せシステムに送信するステップが、上記名寄せシステムに送信する匿名化データを上記名寄せされたデータ又は当該名寄せされたデータを集計した集計データを利用するユーザに関連付けられた公開鍵を使用して暗号化し、当該暗号化された匿名化データを上記名寄せシステムに送信するステップを含みうる。また、本発明の1つの実施態様において、上記名寄せシステムが上記第1のハッシュ値によって特定される匿名化データを名寄せするステップが、上記第1のハッシュ値によって特定される上記暗号化された匿名化データを名寄せするステップを含みうる。また、本発明の1つの実施態様において、上記名寄せシステムが、上記名寄せされたデータ又は上記集計データを上記ユーザ・システムに送信するステップが、上記名寄せした暗号化されたデータを上記ユーザ・システムに送信するステップを含みうる。また、本発明の1つの実施態様において、上記ユーザ・システムが、上記名寄せした暗号化されたデータを、上記ユーザに関連付けられ且つ上記公開鍵に対応する秘密鍵で復号するステップをさらに実行しうる。
上記匿名化データを名寄せした名寄せされたデータ又は当該名寄せされたデータを集計した集計データを利用するユーザに関連付けられたユーザ・システムが、上記データの送信を要求する送信要求毎に異なる値を送信することを要求する送信要求を上記名寄せシステムに送信するステップと、
上記名寄せシステムが、上記値の送信要求を受信することに応じて、上記値を作成し、当該作成した値を上記ユーザ・システムに送信するステップと、
上記ユーザ・システムが、上記値を受信することに応じて、上記匿名化データに関連付けられた識別番号と上記値とに基づいて第1のハッシュ値を生成し、当該生成した第1のハッシュ値を上記名寄せシステムに送信するステップと、
上記名寄せシステムが、上記第1のハッシュ値を受信することに応じて、当該第1のハッシュ値と上記値とを上記複数のサービス提供システムそれぞれに送信するステップと、
上記第1のハッシュ値と上記値とを受信したサービス提供システムそれぞれが、上記匿名化データに関連付けられた識別番号と上記受信した値とに基づいて第2のハッシュ値を生成するステップであって、上記複数のサービス提供システムそれぞれは上記ユーザ・システムと同一のハッシュ化アルゴリズムを使用してハッシュ化を行う、上記生成するステップと、
上記第1のハッシュ値と上記値とを受信したサービス提供システムそれぞれが、上記第1のハッシュ値と上記第2のハッシュ値とを比較して、当該第1のハッシュ値と当該第2のハッシュ値とが一致することに応じて、上記第2のハッシュ値を生成する際に用いた上記識別番号を有する匿名化データを上記名寄せシステムに送信するステップと、
上記名寄せシステムが、上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記第1のハッシュ値によって特定される匿名化データを名寄せするステップと、
上記名寄せシステムが、上記名寄せされたデータ又は上記集計データを上記ユーザ・システムに送信するステップと
を実行することを含む。本発明の1つの実施態様において、上記サービス提供システムそれぞれが上記第2のハッシュ値を生成する際に用いた上記識別番号を有する匿名化データを上記名寄せシステムに送信するステップが、上記名寄せシステムに送信する匿名化データを上記名寄せされたデータ又は当該名寄せされたデータを集計した集計データを利用するユーザに関連付けられた公開鍵を使用して暗号化し、当該暗号化された匿名化データを上記名寄せシステムに送信するステップを含みうる。また、本発明の1つの実施態様において、上記名寄せシステムが上記第1のハッシュ値によって特定される匿名化データを名寄せするステップが、上記第1のハッシュ値によって特定される上記暗号化された匿名化データを名寄せするステップを含みうる。また、本発明の1つの実施態様において、上記名寄せシステムが、上記名寄せされたデータ又は上記集計データを上記ユーザ・システムに送信するステップが、上記名寄せした暗号化されたデータを上記ユーザ・システムに送信するステップを含みうる。また、本発明の1つの実施態様において、上記ユーザ・システムが、上記名寄せした暗号化されたデータを、上記ユーザに関連付けられ且つ上記公開鍵に対応する秘密鍵で復号するステップをさらに実行しうる。
また、本発明に従う上記名寄せシステムは、
データの送信を要求する送信要求と当該送信要求毎に異なる値とを上記複数のサービス提供システムそれぞれに送信する送信手段と、
上記データを管理するための識別番号と上記値とに基づいて生成されたハッシュ値と、上記識別番号によって特定される匿名化データとのセットを上記複数のサービス提供システムそれぞれから受信する受信手段であって、上記ハッシュ値は、上記複数のサービス提供システムそれぞれにおいて同一のハッシュ化アルゴリズムを使用してハッシュ化されたものである、上記受信手段と、
上記数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記ハッシュ値によって特定される匿名化データを名寄せする名寄せ手段と
を備えている。
データの送信を要求する送信要求と当該送信要求毎に異なる値とを上記複数のサービス提供システムそれぞれに送信する送信手段と、
上記データを管理するための識別番号と上記値とに基づいて生成されたハッシュ値と、上記識別番号によって特定される匿名化データとのセットを上記複数のサービス提供システムそれぞれから受信する受信手段であって、上記ハッシュ値は、上記複数のサービス提供システムそれぞれにおいて同一のハッシュ化アルゴリズムを使用してハッシュ化されたものである、上記受信手段と、
上記数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記ハッシュ値によって特定される匿名化データを名寄せする名寄せ手段と
を備えている。
また、本発明に従う上記コンピュータ・システムにおいて、
上記名寄せシステムが、データの送信を要求する送信要求と当該送信要求毎に異なる値とを上記複数のサービス提供システムそれぞれに送信する送信手段を備えており、
上記複数のサービス提供システムそれぞれが、上記データを管理するための識別番号と上記値とに基づいてハッシュ値を生成するハッシュ化手段であって、上記複数のサービス提供システムそれぞれは同一のハッシュ化アルゴリズムを使用してハッシュ化を行う、上記ハッシュ化手段を備えており、
上記複数のサービス提供システムそれぞれが、上記ハッシュ値と上記識別番号によって特定される匿名化データとのセットを上記名寄せシステムに送信する送信手段を備えており、
上記名寄せシステムが、上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記ハッシュ値によって特定される匿名化データを名寄せする名寄せ手段を備えている。
上記名寄せシステムが、データの送信を要求する送信要求と当該送信要求毎に異なる値とを上記複数のサービス提供システムそれぞれに送信する送信手段を備えており、
上記複数のサービス提供システムそれぞれが、上記データを管理するための識別番号と上記値とに基づいてハッシュ値を生成するハッシュ化手段であって、上記複数のサービス提供システムそれぞれは同一のハッシュ化アルゴリズムを使用してハッシュ化を行う、上記ハッシュ化手段を備えており、
上記複数のサービス提供システムそれぞれが、上記ハッシュ値と上記識別番号によって特定される匿名化データとのセットを上記名寄せシステムに送信する送信手段を備えており、
上記名寄せシステムが、上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記ハッシュ値によって特定される匿名化データを名寄せする名寄せ手段を備えている。
また、本発明に従う上記コンピュータ・システムにおいて、
上記名寄せシステムが、上記複数のサービス提供システムそれぞれに名寄せすることのユーザ許可要求と当該許可要求毎に異なる値とを上記ユーザ許可要求を処理できるシステムに送信する送信手段を備えており、
上記ユーザ許可要求を受信したシステムが、上記ユーザが上記名寄せを許可することに応じて、上記ユーザに関連付けられた識別番号及び上記値を少なくとも有するトークンを作成するトークン作成手段を備えており、
上記ユーザ許可要求を受信したシステムが、上記トークンを暗号化する暗号化手段を備えており、
上記ユーザ許可要求を受信したシステムが、上記暗号化されたトークンを上記名寄せシステムに送信する送信手段を備えており、
上記名寄せシステムが、上記暗号化されたトークンを、名寄せ対象の匿名化データを格納している上記複数のサービス提供システムのうちの少なくとも1つに送信する送信手段を備えており、
上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記暗号化されたトークンを復号する復号手段を備えており、
上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記復号されたトークンに基づいて、上記匿名化データを上記名寄せシステムに送信してもよいかどうかを判断する判断手段を備えており、
上記匿名化データを上記名寄せシステムに送信してもよいことに応じて、上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記匿名化データを上記名寄せシステムに送信する送信手段を備えており、
上記名寄せシステムが、上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記トークンによって特定される匿名化データを名寄せする名寄せ手段を備えている。
上記名寄せシステムが、上記複数のサービス提供システムそれぞれに名寄せすることのユーザ許可要求と当該許可要求毎に異なる値とを上記ユーザ許可要求を処理できるシステムに送信する送信手段を備えており、
上記ユーザ許可要求を受信したシステムが、上記ユーザが上記名寄せを許可することに応じて、上記ユーザに関連付けられた識別番号及び上記値を少なくとも有するトークンを作成するトークン作成手段を備えており、
上記ユーザ許可要求を受信したシステムが、上記トークンを暗号化する暗号化手段を備えており、
上記ユーザ許可要求を受信したシステムが、上記暗号化されたトークンを上記名寄せシステムに送信する送信手段を備えており、
上記名寄せシステムが、上記暗号化されたトークンを、名寄せ対象の匿名化データを格納している上記複数のサービス提供システムのうちの少なくとも1つに送信する送信手段を備えており、
上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記暗号化されたトークンを復号する復号手段を備えており、
上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記復号されたトークンに基づいて、上記匿名化データを上記名寄せシステムに送信してもよいかどうかを判断する判断手段を備えており、
上記匿名化データを上記名寄せシステムに送信してもよいことに応じて、上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記匿名化データを上記名寄せシステムに送信する送信手段を備えており、
上記名寄せシステムが、上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記トークンによって特定される匿名化データを名寄せする名寄せ手段を備えている。
また、本発明に従う上記コンピュータ・システムにおいて、
上記ユーザ・システムが、上記複数のサービス提供システムのうちの1つのサービス提供システムに、当該ユーザの匿名化された識別番号を問い合わせする問い合わせ手段を備えており、
上記複数のサービス提供システムのうちの上記1つのサービス提供システムが、データの送信を要求する送信要求と上記問い合わせた識別番号とを名寄せシステムに送信する送信手段を備えており、
上記名寄せシステムが、上記送信要求と、当該送信要求毎に異なる値と、上記識別番号とを上記複数のサービス提供システムの少なくとも1つに送信する送信手段を備えており、
上記送信要求と当該送信要求毎に異なる値と上記問い合わせた識別番号とを受信したサービス提供システムが、上記識別番号と上記値とに基づいてトークンを作成するトークン作成手段を備えており、
上記送信要求と当該送信要求にのみ有効な上記値と上記問い合わせた識別番号とを受信したサービス提供システムが、上記トークンを暗号化する暗号化手段を備えており、
上記送信要求と当該送信要求にのみ有効な上記値と上記問い合わせた識別番号とを受信したサービス提供システムが、上記暗号化されたトークンを上記名寄せシステムに送信する送信手段を備えており、
上記名寄せシステムが、上記暗号化されたトークンを、名寄せ対象のデータを格納している上記複数のサービス提供システムのうちの少なくとも1つに送信する送信手段を備えており、
上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記暗号化されたトークンを復号する復号手段を備えており、
上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記復号されたトークンに基づいて、上記匿名化データを上記名寄せシステムに送信してもよいかどうかを判断する判断手段を備えており、
上記匿名化データを上記名寄せシステムに送信してもよいことに応じて、上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記匿名化データを上記名寄せシステムに送信する送信手段を備えており、
上記名寄せシステムが、上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記トークンによって特定される匿名化データを名寄せする名寄せ手段を備えている。
上記ユーザ・システムが、上記複数のサービス提供システムのうちの1つのサービス提供システムに、当該ユーザの匿名化された識別番号を問い合わせする問い合わせ手段を備えており、
上記複数のサービス提供システムのうちの上記1つのサービス提供システムが、データの送信を要求する送信要求と上記問い合わせた識別番号とを名寄せシステムに送信する送信手段を備えており、
上記名寄せシステムが、上記送信要求と、当該送信要求毎に異なる値と、上記識別番号とを上記複数のサービス提供システムの少なくとも1つに送信する送信手段を備えており、
上記送信要求と当該送信要求毎に異なる値と上記問い合わせた識別番号とを受信したサービス提供システムが、上記識別番号と上記値とに基づいてトークンを作成するトークン作成手段を備えており、
上記送信要求と当該送信要求にのみ有効な上記値と上記問い合わせた識別番号とを受信したサービス提供システムが、上記トークンを暗号化する暗号化手段を備えており、
上記送信要求と当該送信要求にのみ有効な上記値と上記問い合わせた識別番号とを受信したサービス提供システムが、上記暗号化されたトークンを上記名寄せシステムに送信する送信手段を備えており、
上記名寄せシステムが、上記暗号化されたトークンを、名寄せ対象のデータを格納している上記複数のサービス提供システムのうちの少なくとも1つに送信する送信手段を備えており、
上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記暗号化されたトークンを復号する復号手段を備えており、
上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記復号されたトークンに基づいて、上記匿名化データを上記名寄せシステムに送信してもよいかどうかを判断する判断手段を備えており、
上記匿名化データを上記名寄せシステムに送信してもよいことに応じて、上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記匿名化データを上記名寄せシステムに送信する送信手段を備えており、
上記名寄せシステムが、上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記トークンによって特定される匿名化データを名寄せする名寄せ手段を備えている。
また、本発明に従う上記コンピュータ・システムにおいて、
上記名寄せされたデータ又は当該名寄せされたデータを集計した集計データを利用するユーザに関連付けられたユーザ・システムが、上記匿名化データを管理するための識別番号と上記匿名化データの送信を要求する送信要求毎に異なる値とを有するトークンを作成するトークン作成手段を備えており、
上記ユーザ・システムが、上記トークンを暗号化する暗号化手段を備えており、
上記ユーザ・システムが、上記送信要求と上記暗号化されたトークンとを上記名寄せシステムに送信する送信手段を備えており、
上記名寄せシステムが、上記暗号化されたトークンを、名寄せ対象の匿名化データを格納している上記複数のサービス提供システムのうちの少なくとも1つに送信する送信手段を備えており、
上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記暗号化されたトークンを復号する復号手段を備えており、
上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記復号されたトークンに基づいて、上記匿名化データを上記名寄せシステムに送信してもよいかどうかを判断する判断手段を備えており、
上記匿名化データを上記名寄せシステムに送信してもよいことに応じて、上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記匿名化データを上記名寄せシステムに送信する送信手段を備えており、
上記名寄せシステムが、上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記トークンによって特定される匿名化データを名寄せする名寄せ手段を備えている。
上記名寄せされたデータ又は当該名寄せされたデータを集計した集計データを利用するユーザに関連付けられたユーザ・システムが、上記匿名化データを管理するための識別番号と上記匿名化データの送信を要求する送信要求毎に異なる値とを有するトークンを作成するトークン作成手段を備えており、
上記ユーザ・システムが、上記トークンを暗号化する暗号化手段を備えており、
上記ユーザ・システムが、上記送信要求と上記暗号化されたトークンとを上記名寄せシステムに送信する送信手段を備えており、
上記名寄せシステムが、上記暗号化されたトークンを、名寄せ対象の匿名化データを格納している上記複数のサービス提供システムのうちの少なくとも1つに送信する送信手段を備えており、
上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記暗号化されたトークンを復号する復号手段を備えており、
上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記復号されたトークンに基づいて、上記匿名化データを上記名寄せシステムに送信してもよいかどうかを判断する判断手段を備えており、
上記匿名化データを上記名寄せシステムに送信してもよいことに応じて、上記暗号化されたトークンを受信したサービス提供システムそれぞれが、上記匿名化データを上記名寄せシステムに送信する送信手段を備えており、
上記名寄せシステムが、上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記トークンによって特定される匿名化データを名寄せする名寄せ手段を備えている。
また、本発明に従う上記コンピュータ・システムにおいて、
上記ユーザ・システムが、上記データの送信を要求する送信要求毎に異なる値を送信することを要求する送信要求を上記名寄せシステムに送信する送信手段と、
上記名寄せシステムが、上記値の送信要求を受信することに応じて、上記値を作成し、当該作成した値を上記ユーザ・システムに送信する送信手段と、
上記ユーザ・システムが、上記値を受信することに応じて、上記匿名化データに関連付けられた識別番号と上記値とに基づいて第1のハッシュ値を生成するハッシュ化手段と、当該生成した第1のハッシュ値を上記名寄せシステムに送信する送信手段とを備えており、
上記名寄せシステムが、上記第1のハッシュ値を受信することに応じて、当該第1のハッシュ値と上記値とを上記複数のサービス提供システムそれぞれに送信する送信手段を備えており、
上記第1のハッシュ値と上記値とを受信したサービス提供システムそれぞれが、上記匿名化データに関連付けられた識別番号と上記受信した値とに基づいて第2のハッシュ値を生成するハッシュ化手段であって、上記複数のサービス提供システムそれぞれは上記ユーザ・システムと同一のハッシュ化アルゴリズムを使用してハッシュ化を行う、上記ハッシュ化手段を備えており、
上記第1のハッシュ値と上記値とを受信したサービス提供システムそれぞれが、上記第1のハッシュ値と上記第2のハッシュ値とを比較する比較手段と、当該第1のハッシュ値と当該第2のハッシュ値とが一致することを判断する判断手段と、上記第2のハッシュ値を生成する際に用いた上記識別番号を有する匿名化データを上記名寄せシステムに送信する送信手段とを備えており、
上記名寄せシステムが、上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記第1のハッシュ値によって特定される匿名化データを名寄せする名寄せ手段を備えており、
上記名寄せシステムが、上記名寄せされたデータ又は上記集計データを上記ユーザ・システムに送信する送信手段を備えている、
上記コンピュータ・システム。
上記ユーザ・システムが、上記データの送信を要求する送信要求毎に異なる値を送信することを要求する送信要求を上記名寄せシステムに送信する送信手段と、
上記名寄せシステムが、上記値の送信要求を受信することに応じて、上記値を作成し、当該作成した値を上記ユーザ・システムに送信する送信手段と、
上記ユーザ・システムが、上記値を受信することに応じて、上記匿名化データに関連付けられた識別番号と上記値とに基づいて第1のハッシュ値を生成するハッシュ化手段と、当該生成した第1のハッシュ値を上記名寄せシステムに送信する送信手段とを備えており、
上記名寄せシステムが、上記第1のハッシュ値を受信することに応じて、当該第1のハッシュ値と上記値とを上記複数のサービス提供システムそれぞれに送信する送信手段を備えており、
上記第1のハッシュ値と上記値とを受信したサービス提供システムそれぞれが、上記匿名化データに関連付けられた識別番号と上記受信した値とに基づいて第2のハッシュ値を生成するハッシュ化手段であって、上記複数のサービス提供システムそれぞれは上記ユーザ・システムと同一のハッシュ化アルゴリズムを使用してハッシュ化を行う、上記ハッシュ化手段を備えており、
上記第1のハッシュ値と上記値とを受信したサービス提供システムそれぞれが、上記第1のハッシュ値と上記第2のハッシュ値とを比較する比較手段と、当該第1のハッシュ値と当該第2のハッシュ値とが一致することを判断する判断手段と、上記第2のハッシュ値を生成する際に用いた上記識別番号を有する匿名化データを上記名寄せシステムに送信する送信手段とを備えており、
上記名寄せシステムが、上記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、上記第1のハッシュ値によって特定される匿名化データを名寄せする名寄せ手段を備えており、
上記名寄せシステムが、上記名寄せされたデータ又は上記集計データを上記ユーザ・システムに送信する送信手段を備えている、
上記コンピュータ・システム。
また、本発に従うコンピュータ・プログラム及びコンピュータ・プログラム製品は、上記名寄せシステムに、本発明に従う方法の各ステップを実行させる。
本発明の実施態様に従うコンピュータ・プログラムはそれぞれ、一つ又は複数のフレキシブル・ディスク、MO、CD−ROM、DVD、BD、ハードディスク装置、USBに接続可能なメモリ媒体、ROM、MRAM、RAM等の任意のコンピュータ読み取り可能な記録媒体に格納することができる。当該コンピュータ・プログラムは、記録媒体への格納のために、通信回線で接続する他のデータ処理システム、例えばサーバ・コンピュータからダウンロードしたり、又は他の記録媒体から複製したりすることができる。また、本発明の実施態様に従うコンピュータ・プログラムは、圧縮し、又は複数に分割して、単一又は複数の記録媒体に格納することもできる。また、様々な形態で、本発明の実施態様に従うコンピュータ・プログラム製品を提供することも勿論可能であることにも留意されたい。本発明の実施態様に従うコンピュータ・プログラム製品は、例えば、上記コンピュータ・プログラムを記録した記憶媒体、又は、上記コンピュータ・プログラムを伝送する伝送媒体を包含しうる。
本発明の上記概要は、本発明の必要な特徴の全てを列挙したものではなく、これらの構成要素のコンビネーション又はサブコンビネーションもまた、本発明となりうることに留意すべきである。
本発明の実施態様において使用されるコンピュータの各ハードウェア構成要素を、複数のマシンと組み合わせ、それらに機能を配分し実施する等の種々の変更は当業者によって容易に想定され得ることは勿論である。それらの変更は、当然に本発明の思想に包含される概念である。ただし、これらの構成要素は例示であり、そのすべての構成要素が本発明の必須構成要素となるわけではない。
また、本発明は、ハードウェア、ソフトウェア、又は、ハードウェア及びソフトウェアの組み合わせとして実現可能である。ハードウェアとソフトウェアとの組み合わせによる実行において、上記コンピュータ・プログラムのインストールされたコンピュータにおける実行が典型的な例として挙げられる。かかる場合、当該コンピュータ・プログラムが当該コンピュータのメモリにロードされて実行されることにより、当該コンピュータ・プログラムは、当該コンピュータを制御し、本発明にかかる処理を実行させる。当該コンピュータ・プログラムは、任意の言語、コード、又は、表記によって表現可能な命令群から構成されうる。そのような命令群は、当該コンピュータが特定の機能を直接的に、又は、1.他の言語、コード若しくは表記への変換及び、2.他の媒体への複製、のいずれか一方若しくは双方が行われた後に、実行することを可能にするものである。
本発明の実施態様に従うと、データ提供エンティティ、例えば情報を提供するユーザ若しくは当該ユーザに関連付けられた機器は、当該ユーザが契約した1又は複数のサービス提供システムにのみデータを提供すればよく、名寄せシステム及び当該名寄せシステムによって名寄せされたデータ又は当該名寄せされたデータを集計した集計データを利用するユーザには匿名化データのみしか渡されない。従って、データの匿名性が保たれる。
本発明の実施態様に従うと、名寄せシステムは、上記個人情報を得ることなしに、複数のサービス提供システムから匿名化データを取得し、当該取得されたデータを名寄せすることが可能になる。
本発明の実施態様に従うと、データの送信を要求する送信要求毎に又は複数のサービス提供システムそれぞれに名寄せすることのユーザ許可要求毎に異なる値を使用するので、上記個人情報の特定のリスクを低減することが可能になる。
本発明の実施形態を、以下に図面に従って説明する。以下の図を通して、特に断らない限り、同一の符号は同一の対象を指す。本発明の実施形態は、本発明の好適な態様を説明するためのものであり、本発明の範囲をここで示すものに限定する意図はないことを理解されたい。
本発明の実施態様に従う上記コンピュータ・システムは、1又は複数のデータ提供エンティティと、複数のサービス提供システムと、名寄せシステムと、ユーザ・システムとを備えている。
本発明の実施態様に従うデータ提供エンティティは、サービス提供システムにデータを提供するユーザ、又は当該ユーザに関連付けられた機器でありうる。ユーザは、テータを例えば、可搬可能な記録媒体、例えばUSBメモリ、SDカード、CD、DVD若しくはDVDを介してサービス提供システムに直接的に提供しうる。当該ユーザに関連付けられた機器は、データを例えば、無線又は有線ネットワークを介してサービス提供システムに提供しうる。当該ユーザに関連付けられた機器は、例えば、コンピュータ(例えば、デスクトップ・コンピュータ若しくはノートコンピュータ)、コンピュータの周辺機器(例えば、プリンタ、スキャナ、複合装置)、タブレット端末(例えば、アンドロイド端末、Windows(登録商標)タブレット、若しくはiOS(登録商標)端末)、スマートフォン、携帯電話、パーソナル・ディジタル・アシスタント(PDA)、医療機器端末、ゲーム端末、ビデオカメラ、デジタルカメラ、キヨスク端末、ポータブル・ナビゲーション・システム、カー・ナビゲーション・システム、ドライブ・レコーダー、フライト・レコーダー、販売時点情報管理システム(POS)、無線ネットワーク端末、コピー機端末若しくは複合器端末、防犯設備、車載電子制御ユニット、ETC車載器、家電(例えば、テレビ、レコーダー、ステレオ、冷蔵庫、エアコン、健康器具、冷暖房設備、照明設備、風呂設備、洗濯設備、給湯設備、調理設備)、又は、家庭内エネルギー管理システム(Home Energy Management System,HEMS)、ビル内エネルギー管理システム(Building Energy Management System,BEMS)、工場内エネルギー管理システム(Factory Energy Management System,FEMS)若しくは地域内エネルギー管理システム(Cluster/Community Energy Management System,CEMS)でありうる。
本発明の実施態様に従うサービス提供システムは、1又は複数のデータ提供エンティティからデータを収集し、当該収集したデータを格納する。また、当該サービス提供システムは、当該収集したデータを匿名化し、当該匿名化されたデータ(以下、「匿名化データ」という)を名寄せシステムに提供しうる。当該サービス・システムは、例えばコンピュータ、特にはサーバ・コンピュータでありうる。
本発明の実施態様に従う名寄せシステムは、複数のサービス提供システムから匿名化データを収集し、当該収集した匿名化データを名寄せし、名寄せされたデータ(以下、「名寄せデータ」ともいう)を得る。また、当該名寄せシステムは、上記名寄せデータを集計し、当該集計したデータ(以下、「集計データ」ともいう)をユーザ・システムに提供しうる。当該名寄せシステムは、例えばコンピュータ、特にはサーバ・コンピュータでありうる。
本発明の実施態様に従うユーザ・システムは、上記名寄せデータ又は上記集計データを名寄せシステムから受け取る。当該ユーザ・システムは、例えば、コンピュータ、スマートフォン、携帯電話、パーソナル・ディジタル・アシスタント(PDA)でありうる。
データ提供エンティティとサービス提供システムとは、クライアント−サーバ関係にありうる。また、サービス提供システムと名寄せシステムとは、クライアント−サーバ関係にありうる。
データ提供エンティティが、サービス提供システムの機能を有する場合がありうる。また、ユーザ・システムが、データ提供エンティティ又はサービス提供システムの機能を有する場合がありうる。
匿名化(anonymize)とは、個人に関する情報、すなわち当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができる情報から個人を識別することができる情報の全部又は一部を取り除き、代わりにその人と関わりのない文字列(例えば、ニックネーム)、符号又は番号を付すこと、乃至は、資料等に付随する情報のうち、ある情報だけでは特定の人を識別できない情報であっても、各種の名簿等の他で入手できる情報と組み合わせることにより、その人を識別できる場合には、組合せに必要な情報の全部又は一部を取り除いて、その人を識別できないようにすることをいう。
上記の通り、データが前者の方法に従って匿名化された場合、個人を識別することができる情報の全部又は一部の代わりにその人と関わりのない文字列、符号又は番号が付される。従って、例えば名寄せシステムが当該匿名化データを見た場合、当該匿名化データは正常な値(その人と関わりのない符号又は番号)を有するデータである。
本発明の実施態様において、匿名化の技法として、当業者に知られている任意の技法を使用しうる。匿名化の技法は、例えば、上記非特許文献2及び3に記載されている。
図1は、本発明の実施態様において使用されうるデータ提供エンティティ、サービス提供システム、名寄せシステム、及びユーザ・システムのそれぞれを実現するためのハードウェア構成を有するコンピュータ(101)の一例を示した図である。
コンピュータ(101)は、CPU(102)とメイン・メモリ(103)とを備えており、これらはバス(104)に接続されている。CPU(102)は好ましくは、32ビット又は64ビットのアーキテクチャに基づくものである。当該CPU(102)は例えば、インテル社のCore i(商標)シリーズ、Core 2(商標)シリーズ、Atom(商標)シリーズ、Xeon(商標)シリーズ、Pentium(登録商標)シリーズ若しくはCeleron(登録商標)シリーズ、AMD(Advanced Micro Devices)社のAシリーズ、Phenom(商標)シリーズ、Athlon(商標)シリーズ、Turion(商標)シリーズ若しくはSempron(商標)、又は、インターナショナル・ビジネス・マシーンズ・コーポレーション(登録商標)のPower(登録商標)シリーズでありうる。また、当該CPU(102)は、コンピュータ(101)がデータ提供エンティティ又はユーザ・システムである場合には、例えば、スマートフォン、携帯電話若しくはタブレット端末用のCPU、又はアップル社(登録商標)のAシリーズでありうる。
バス(104)には、ディスプレイ・コントローラ(105)を介して、ディスプレイ(106)、例えば液晶ディスプレイ(LCD)が接続されうる。また、液晶ディスプレイ(LCD)は例えば、タッチパネル・ディスプレイ又はフローティング・タッチ・ディスプレイであてもよい。ディスプレイ(106)は、コンピュータ(101)上で動作中のソフトウェア、例えば本発明の実施態様に従うデータ提供エンティティ、サービス提供システム、名寄せシステム、及びユーザ・システム上で動作中の各プログラムが稼働することによって表示される情報、並びに本発明の実施態様に従って複数のサービス提供システムから提供される名寄せデータ又は当該名寄せデータを集計した集計データを、適当なグラフィック・インタフェースで表示するために使用されうる。
バス(104)には任意的に、例えばSATA又はIDEコントローラ(107)を介して、ディスク(108)、例えばハードディスク又はソリッド・ステート・ドライブに接続されうる。
バス(104)には任意的に、例えばSATA又はIDEコントローラ(107)を介して、ディスク(108)、ドライブ(109)、例えばCD、DVD又はBDドライブが接続されうる。
バス(104)には、周辺装置コントローラ(110)を介して、例えばキーボード・マウス・コントローラ又はUSBバスを介して、任意的に、キーボード(111)及びマウス(112)が接続されうる。
ディスク(108)には、オペレーティング・システム、Windows(登録商標)OS、UNIX(登録商標)、MacOS(登録商標)、及びJ2EEなどのJava(登録商標)処理環境、Java(登録商標)アプリケーション、Java(登録商標)仮想マシン(VM)、Java(登録商標)実行時(JIT)コンパイラを提供するプログラム、本発明の実施態様に従うアプリケーション・プログラム、及びその他のプログラム、並びにデータが、メイン・メモリ(103)にロード可能なように記憶されうる。また、当該ディスク(108)には、コンピュータ(101)がデータ提供エンティティ又はユーザ・システムである場合には、例えば、スマートフォン用OS(例えば、アンドロイドOS、Windows(登録商標)PhoneOS若しくはWindows(登録商標)OS、又はiOS(登録商標))が、メイン・メモリ(103)にロード可能なように記憶されうる。
ディスク(108)は、コンピュータ(101)内に内蔵されていてもよく、当該コンピュータ(101)がアクセス可能なようにケーブルを介して接続されていてもよく、又は、当該コンピュータ(101)がアクセス可能なように有線又は無線ネットワークを介して接続されていてもよい。
ドライブ(109)は、必要に応じて、CD−ROM、DVD−ROM又はBDからプログラム、例えばオペレーティング・システム又はアプリケーションをディスク(108)にインストールするために使用されうる。
通信インタフェース(114)は、例えばイーサネット(登録商標)・プロトコルに従う。通信インタフェース(114)は、通信コントローラ(113)を介してバス(104)に接続され、コンピュータ(101)を通信回線(115)に有線又は無線接続する役割を担い、コンピュータ(101)のオペレーティング・システムの通信機能のTCP/IP通信プロトコルに対して、ネットワーク・インタフェース層を提供する。なお、通信回線は例えば、無線LAN接続規格に基づく無線LAN環境、IEEE802.11a/b/g/nなどのWiFi無線LAN環境、又は携帯電話網環境(例えば、3G又は4G環境)でありうる。
図2Aは、本発明の実施態様において使用されうる、名寄せのためのコンピュータ・システム(200)の一例を示した図である。
コンピュータ・システム(200)は、データ提供エンティティ(201〜204)、サービス提供システムA〜D(211〜214)、名寄せシステム(221)、及びユーザ・システム(231)を備えているとする。データ提供エンティティの数は1又は複数であればよく、図2Aに示されているデータ提供エンティティ(201〜204)の数に限定されるものではないことに留意されたい。同様に、サービス提供システムの数は複数であればよく、図2Aに示されているサービス提供システム(211〜214)の数に限定されるものではないことに留意されたい。また、ユーザ・システム(231)は、例えば、データ提供エンティティ(例えば、201)、又は、サービス提供システムA〜D(211〜214)のいずれか一つと同じハードウェア上に実装されていてもよい。
コンピュータ・システム(200)は、データ提供エンティティ(201〜204)、サービス提供システムA〜D(211〜214)、名寄せシステム(221)、及びユーザ・システム(231)を備えているとする。データ提供エンティティの数は1又は複数であればよく、図2Aに示されているデータ提供エンティティ(201〜204)の数に限定されるものではないことに留意されたい。同様に、サービス提供システムの数は複数であればよく、図2Aに示されているサービス提供システム(211〜214)の数に限定されるものではないことに留意されたい。また、ユーザ・システム(231)は、例えば、データ提供エンティティ(例えば、201)、又は、サービス提供システムA〜D(211〜214)のいずれか一つと同じハードウェア上に実装されていてもよい。
データ提供エンティティ(201〜204)は、例えばAさんによって全て所有されているものであるとする。データ提供エンティティ(201)はコンピュータであり、データ提供エンティティ(202)はコンピュータの周辺機器であり、データ提供エンティティ(203)は車搭載機であり、及び、データ提供エンティティ(204)は家庭内エネルギー管理システム(HEMS)であるとする。
コンピュータ(201)は、各種データ(例えば、導入されているアプリケーション、使用時間帯、又はコンピュータの位置)をサービス提供システムA(211)に送信可能であるとする。周辺機器(202)は、各種データ(例えば、印刷枚数、インクの消耗レベル、又は印刷のプロパティ)をサービス提供システムB(212)に送信可能であるとする。車搭載機(203)は、各種データ(例えば、環境データ(例えば、路面状況、渋滞状況)、車両データ(例えば、走行距離、速度、又はバッテリ残量)、又は運転に関するデータ(ハンドルの切り方、ブレーキのかけ方、又はアクセルの踏み方))をサービス提供システムC(213)に送信可能であるとする。HEMS(204)は、各種データ(例えば、個々の家電製品若しくは家全体の時間毎の消費電力、発電量若しくは蓄電量、又は使用電気製品のメーカー名及び型番)をサービス提供システムD(214)に送信可能であるとする。また、各データ提供エンティティ(201〜204)は、各種データの送信とともに、当該データそれぞれにユーザAに関連付けられた識別番号を付随して送信する。
サービス提供システムA(211)は、コンピュータ(201)の製造会社に関連付けられたサーバであり、当該コンピュータ(201)から送信された上記各種データを受信可能であるとする。サービス提供システムB(212)は、周辺機器(202)の製造会社に関連付けられたサーバであり、当該周辺機器(202)から送信された上記各種データを受信可能であるとする。サービス提供システムC(213)は、車搭載機(203)の製造会社に関連付けられたサーバであり、当該車搭載機(203)から送信された上記各種データを受信可能であるとする。サービス提供システムD(214)は、HEMS(204)の製造会社に関連付けられたサーバであり、当該HEMS(204)から送信された上記各種データを受信可能であるとする。
サービス提供システムA〜D(211〜214)それぞれは、上記各種データを匿名化し、当該匿名化した各種データ(匿名化データ)を名寄せシステム(221)に送信可能であるとする。上記匿名化は、例えば、サービス提供システムが各種データをデータ提供エンティティから受信することに応じて、若しくは、サービス提供システムが各種データを名寄せシステムに送信する直前に、又は、サービス提供システムの処理能力がアイドルである時間を利用して行われうる。
名寄せシステム(221)は、サービス提供システムA〜D(211〜214)それぞれから送信された上記匿名化された各種データを受信可能であるとする。名寄せシステム(221)は、上記匿名化された各種データを名寄せし、名寄せデータ又は当該名寄せデータを集計した集計データをユーザ・システム(231)に送信することが可能である。
ユーザ・システム(231)は、名寄せシステム(221)から送信された上記名寄せデータ又は上記集計データを受信可能である。
サービス提供システムA〜D(211〜214)それぞれがデータ提供エンティティ(201〜204)それぞれから送信された上記各種データを受信可能とし且つ名寄せシステム(221)にデータ提供することを可能にする為に、サービス提供システムA〜D(211〜214)それぞれとデータ提供エンティティ(201〜204)それぞれとの間でデータ提供に関する契約を事前に行うことが一般的である。当該契約の内容は、例えば、上記個人情報保護法を遵守するものである。同様に、名寄せシステム(221)がデータ提供エンティティ(201〜204)それぞれから送信された上記匿名化された各種データを受信可能とする為に、名寄せシステム(221)とデータ提供エンティティ(201〜204)それぞれとの間でデータ提供に関する契約を事前に行うことが一般的である。当該契約の内容は、例えば、上記個人情報保護法を遵守するものである。
上記名寄せデータ又は上記集計データは匿名化されている為に、ユーザ・システム(231)は、当該名寄せデータ又は当該集計データがどの個人又はどの個人に関連付けられた機器であるかを特定することはできない。しかしながら、ユーザ・システム(231)は、上記名寄せデータ又は上記集計データを使用して、例えば、ある家庭における電気使用量の内訳、所有している電気製品の種類若しくは嗜好、所有している電気製品のメーカーの嗜好、又は、消耗品の発注頻度など、当該ある家庭における総合的な情報を入手することが可能になる。
第三者機関(249)は、ユーザ毎に固有の識別番号を割り当てる機能を有する。また、第三者機関(249)は、サービス提供システムA〜D(211〜214)、名寄せシステム(221)及びユーザ・システム(231)それぞれに、自己の証明書、すなわち公開鍵と秘密鍵のペアを含む証明書を発行することが可能である。また、第三者機関(249)は、サービス提供システムA〜D(211〜214)、名寄せシステム(221)及びユーザ・システム(231)それぞれに、他人の証明書、すなわち公開鍵を含み秘密鍵を含まない証明書を発行することが可能である。
図2Bは、本発明の実施態様において使用されうる、名寄せのためのコンピュータ・システム(240)の一例を示した図である。
コンピュータ・システム(240)は、データ提供エンティティ(241)、サービス提供システムである病院A〜D(251〜254)、名寄せシステム(261)、及び、ユーザ・システムである病院E(271)、企業F(272)又は病院A〜D(251〜254)の少なくとも1つを備えているとする。企業F(272)は、例えば医療データを利用する企業、例えば製薬企業、医療機器メーカー又は家電メーカーでありうる。
コンピュータ・システム(240)は、データ提供エンティティ(241)、サービス提供システムである病院A〜D(251〜254)、名寄せシステム(261)、及び、ユーザ・システムである病院E(271)、企業F(272)又は病院A〜D(251〜254)の少なくとも1つを備えているとする。企業F(272)は、例えば医療データを利用する企業、例えば製薬企業、医療機器メーカー又は家電メーカーでありうる。
データ提供エンティティ(241)は、病院A〜D(251〜254)に通院する例えばBさんであるとする。
病院A〜D(251〜254)それぞれは、例えば診療科目が異なる病院であるとする。病院A〜D(251〜254)それぞれは、Bさんに対して治療、医薬投与、健康診断ないしは検査を行い、その各データを例えば電子カルテとして病院A〜D(251〜254)に関連付けられた記憶媒体に記録する。病院A〜D(251〜254)それぞれは、上記各データを匿名化し、当該匿名化した各データ(匿名化データ)を名寄せシステム(261)に送信可能であるとする。
名寄せシステム(261)は、病院A〜D(251〜254)それぞれから送信された上記匿名化された各種データを受信可能であるとする。名寄せシステム(261)は、上記匿名化された各種データを名寄せし、名寄せデータ又は当該名寄せデータを集計した集計データをユーザ・システム(271、272、251〜254)に送信することが可能である。
ユーザ・システム(271、272、251〜254)は、名寄せシステム(261)から送信された上記名寄せデータ又は上記集計データを受信可能である。
病院A〜D(251〜254)それぞれがBさん(241)から送信された上記各種データを受信可能とし且つ名寄せシステム(261)にデータ提供することを可能にする為に、病院A〜D(251〜254)それぞれはBさん(241)との間でデータ提供に関する契約を事前に行うことが一般的である。当該契約の内容は、例えば、上記個人情報保護法を遵守するものである。同様に、名寄せシステム(261)が病院A〜D(251〜254)それぞれから送信された上記匿名化された各種データを受信可能とする為に、名寄せシステム(261)と病院A〜D(251〜254)それぞれとの間でデータ提供に関する契約を事前に行うことが一般的である。当該契約の内容は、例えば、上記個人情報保護法を遵守するものである。
上記名寄せデータ又は上記集計データは匿名化されている為に、ユーザ・システム(271、272、251〜254)は、原則として、当該名寄せデータ又は当該集計データがどの患者のものであるかを特定することはできない。しかしながら、ユーザ・システム(271、272、251〜254)は、上記名寄せデータ又は上記集計データを使用して、例えば、ある病気に対する薬剤の使用履歴若しくは使用状況、又は、病態の変化など、ある患者における総合的な医療情報を入手することが可能になる。また、下記に述べる本発明の実施態様に従うと、名寄せシステム(261)が各病院A〜D(251〜254)からの匿名化データを匿名化されたまま名寄せすることを可能にし、一方、ユーザ・システムである病院(251〜254及び271)は特定の患者(すなわち、Bさん)の他院での診察内容、例えば診察結果、検査内容若しくは投薬内容、又は、複数の医療機関での診察内容の統合解析結果を特定することが可能になる。
本発明の実施態様において使用されうるコンピュータ・システムは、上記コンピュータ・システム(200、240)に限定されるものでない。本発明の実施態様において使用されうるコンピュータ・システムは、例えば、スマーター・プラネット(Smarter Planet)(上記非特許文献4を参照)、スマーター・プラネット・アプライアンス(Smarter Planet Appliance)、スマーター・モビリティ(Smarter Mobility)、サービス・デリバリ・プラットフォーム(Service Delivery Platform,SDP)、又はヘルス・ケア・システム中において実現されてもよい。従って、本発明の実施態様において使用されうる名寄せデータ又は集計データは、種々のサービス、例えば行政サービス、都市サービス、エネルギー管理サービス、医療サービスにおいて使用されうる統合されたデータでありうる。
以下に、本発明に従う5つの名寄せの実施態様(図3A〜図3C、図4A〜図4D、図5A〜図5D、図6A〜図6C、及び図7A〜図7D)を示す。第1の実施態様は、名寄せシステムからの要求又はユーザ・システムからの要求をより、名寄せシステムがサービス提供システムに匿名化データの送信を要求し、名寄せする態様である。第2の実施態様は、名寄せシステムがユーザにユーザ許可要求を送信した上で、名寄せシステムが名寄せする態様である。第3の実施態様は、ユーザ・システムがデータ提供エンティティでもある場合において、当該ユーザ・システムが匿名化IDをサービス提供システムに要求した上で、名寄せシステムが名寄せする態様である。第4の実施態様は、ユーザ・システムがデータ提供エンティティでもある場合において、当該ユーザ・システムがトークンを生成した上で、名寄せシステムが名寄せする態様である。第5の実施態様は、ユーザ・システムがデータ提供エンティティでもある場合において、当該ユーザ・システムがソルトを取得した上で、名寄せシステムが名寄せする態様である。
図3Aは、本発明に従う第1の実施態様である名寄せの一例を示した図である。図3B及び図3Cそれぞれは、図3Aに示す名寄せを実現する為の異なる実施態様に基づくフローチャートを示す。
図3Aに示すように、名寄せのためのコンピュータ・システム(300)は、データ提供エンティティ(301〜304)、サービス提供システムA〜D(311〜314)、名寄せシステム(321)、及びユーザ・システム(331)を備えているとする。また、Aさんが、データ提供エンティティ(301〜304)を全て所有しているとする。
図3Bは、上記第1の実施態様において、名寄せシステム(321)が、ユーザ・システム(331)からのデータ送信要求の受信の有無にかかわらず、例えばスケジューリングされた時刻において(例えば、定期的に)当該ユーザ・システム(331)に提供するデータをサービス提供システム(311〜314)それぞれから取得して、名寄せデータを予め生成しておく実施態様のフローチャートを示す。
ステップ341及び342において、データ提供エンティティ(301)とサービス提供システムA(311)との間で、データ提供に関する契約が行われうる。当該契約において、例えば、データ提供エンティティ(301)はサービス提供システムA(311)にデータを提供すること、並びに、サービス提供システムA(311)はデータ提供エンティティ(301)から送信されたデータを匿名化し、当該匿名化データを名寄せシステム(321)に送信することを許可すること、及び任意的に、データ提供に対する対価をデータ提供エンティティ(301)のユーザに支払う旨の契約が行われうる。当該契約に際して、データ提供エンティティ(301)は、当該データ提供エンティティ(301)を特定するための識別番号(例えば、UUID(Universally Unique Identifier)、お客様番号、又はユーザID)を第三者機関(309)に発行してもらう。当該識別番号は、データ提供エンティティ(301)からのデータを管理する為に使用されうる。すなわち、当該識別番号は、データがデータ提供エンティティ(301)からのものであることを特定可能にする。従って、当該識別番号は、個人又は当該個人に関連付けられた機械を識別可能にするものである。データ提供エンティティ(301)は、上記識別番号をサービス提供システムA(311)に通知する。当該通知は、例えば、上記契約時に契約の属性として付加されるものでありうる。当該通知は、例えば、データ提供エンティティ(301)のエージェント(例えば、ブラウザ)を通じてサービス提供システムA(311)に自動的に行われるか、あるいは、ユーザが当該識別番号を手入力してサービス提供システムA(311)に送信することによって行われうる。
データ提供エンティティ(301)は、上記契約が終了すること応じて、サービス提供システムA(311)にデータを提供しうる。当該データは、上記UUIDを例えば属性値として有する。データ提供エンティティ(301)は、上記データを例えばサービス提供システムA(311)の公開鍵を使用して暗号化しうる。サービス提供システムA(311)は、データ提供エンティティ(301)からの暗号化されたデータを、上記公開鍵に対応する秘密鍵で復号しうる。
データ提供エンティティ(302)とサービス提供システムB(312)との間、データ提供エンティティ(303)とサービス提供システムC(313)との間、及びデータ提供エンティティ(304)とサービス提供システムD(314)との間でも同様に、上記契約と同様の契約が行われうる。同様に、データ提供エンティティ(302〜304)それぞれは、上記契約が終了すること応じて、サービス提供システムB〜D(312〜314)それぞれにデータを提供しうる。また、Aさんが、データ提供エンティティ(301〜304)を全て所有しているので、データ提供エンティティ(302)とサービス提供システムB(312)との間、データ提供エンティティ(303)とサービス提供システムC(313)との間、及びデータ提供エンティティ(304)とサービス提供システムD(314)との間のデータ提供においても、データ提供エンティティ(301)とサービス提供システムA(311)との間で用いられる上記識別番号が用いられる。
ステップ343及び344において、サービス提供システムA〜D(311〜314)それぞれと名寄せシステム(321)との間で、データ提供に関する契約をそれぞれ行う。当該契約において、例えば、サービス提供システムは名寄せシステム(321)に匿名化データを提供すること、及び名寄せシステム(321)は名寄せデータ又は当該名寄せデータを集計した集計データを、ユーザ・システム(331)に送信することを許可する旨の契約を行いうる。
ステップ341及び342とステップ343及びステップ344とは、いずれのステップが先に行われてもよい。また、データ提供エンティティ(301〜304)それぞれとサービス提供システムA〜D(311〜313)それぞれとの間の契約も同時に行われる必要はなく、一般的には当該契約は任意の時間順序で行われうる。
また、図3Bに示していないが、名寄せシステム(321)とユーザ・システム(331)との間で、名寄せデータの提供又は当該名寄せデータを集計した集計データの提供の契約が行われうる。当該契約において、例えば、名寄せシステム(321)はユーザ・システム(331)に名寄せデータ又は集計データを提供すること、及びユーザ・システム(331)は名寄せデータ又は集計データの提供に対する対価を名寄せシステム(321)の管理者に支払う旨の契約が行われうる。
ステップ345において、名寄せシステム(321)は、任意のタイミングにおいて、データの送信を要求する送信要求をサービス提供システム(311〜314)それぞれに送信する。名寄せシステム(321)は、当該送信要求とともに、当該送信要求毎に異なる値(例えば、ソルト(salt))をサービス提供システム(311〜314)それぞれに送信する。代替的には、名寄せシステム(321)は、例えば上記送信要求が名寄せシステム(321)とサービス提供システムとの間の契約に反するものである場合には、上記送信要求と上記ソルトとを、特定のサービス提供システムに送信しうる。
本願発明の実施態様において、ソルトは上記識別番号をハッシュ化する際に用いられるデータであり、上記送信要求毎に異なる値である。従って、名寄せシステム(321)は、異なる送信要求に対しては、異なる値を有するソルトを生成する。ソルトは、ランダムな値であればよく、例えば日時(例えば、年月日時分ミリ秒)又はハッシュのカウントでありうる。また、ソルトは例えば、上記日時に例えば名寄せシステムの固有情報(例えば、当該名寄せシステム(321)のMACアドレス又は製造番号)又は位置情報(例えば、全地球測位システム(GPS)若しくは無線LANアクセスポイントによる位置情報、若しくはネットワーク・アドレス)を組み合わせた値でありうる。
ステップ346において、上記送信要求と上記ソルトを受信したサービス提供システム(311〜314)それぞれは、データに関連付けられた識別情報(例えば、UUID)を名寄せシステム(321)からの上記ソルトでハッシュ化し、ハッシュ値を生成する。ハッシュ化の技法(例えば、アルゴリズム)は、当業者に知られている任意の手法を採用することができる。ハッシュ値は、識別情報を匿名化したものでもあるので、匿名化IDともいえる。
サービス提供システム(311〜314)それぞれは、同一のハッシュ化アルゴリズムを使用する。サービス提供システム(311〜314)それぞれにおいて同一のハッシュ化アルゴリズムが使用できれば、例えば時間帯によって用いるハッシュ化アルゴリズムを変化させるようにしてもよい。サービス提供システム(311〜314)は、同一のハッシュ化アルゴリズムを使用する為に、各サービス提供システム(311〜314)間で、同一の送信要求に対して同一のハッシュ値(匿名化ID)を生成することができる。
また、上記送信要求と上記ソルトを受信したサービス提供システム(311〜314)それぞれは、上記受信したソルトが既に受信済みのソルトと異なる値であるかどうかを判定しうる。なぜならば、上記受信したソルトが既に受信済みのソルトと同一である場合には、送信要求毎に異なるソルトが生成されているということに反することになるからである。また、上記受信したソルトが悪意のある第三者によって生成された可能性もあるからである。
ステップ347において、上記送信要求と上記ソルトを受信したサービス提供システム(311〜314)それぞれは、上記識別番号によって特定されるデータを匿名化する。そして、当該サービス提供システム(311〜314)それぞれは、当該匿名化データと上記ハッシュ値とのセットを名寄せシステム(321)に送信する。当該サービス提供システム(311〜314)それぞれは、任意的に、データ提供に対する対価を名寄せシステム(321)の管理者から得る為に、名寄せシステム(321)からの上記送信要求毎のトランザクション、又は上記匿名化データの送信の履歴を記録しうる。
ステップ348において、名寄せシステム(321)は、サービス提供システム(311〜314)それぞれから上記セットを受信する。名寄せシステム(321)は、上記セットのうちから、上記受信したセット中のハッシュ値によって特定される匿名化データを名寄せし、名寄せデータを得る。同じハッシュ値を持つデータは、同じ識別番号から生成されたものである。従って、名寄せシステム(321)は、匿名化データを識別番号なしで名寄せすることが可能である。また、名寄せシステム(321)は、ステップ345での送信要求に対する匿名化データのみを名寄せ可能である。なぜならば、送信要求がステップ345での送信要求でない場合には、名寄せシステム(321)からのソルトが異なる為に、ハッシュ値が異なってしまうからである。
名寄せシステム(321)は、任意的に、上記名寄せデータを集計して集計データを生成しうる。名寄せデータの集計方法は、当業者に知られている任意の技法を使用しうる。
名寄せシステム(321)は、上記名寄せデータ又は上記集計データを当該名寄せシステム(321)がアクセス可能な記憶媒体中に格納しうる。
ステップ347において、任意的に、当該サービス提供システム(311〜314)それぞれは、匿名化データを例えばユーザ・システム(331)の公開鍵で暗号化しうる。従って、該サービス提供システム(311〜314)それぞれは、暗号化された匿名化データと、上記ハッシュ値(暗号化されていない)とのセットを名寄せシステム(321)に送信しうる。匿名化データを暗号化することによって、名寄せシステム(321)は匿名化データの内容を見ることができないが、上記ハッシュ値が暗号化されていないので暗号化された匿名化データを名寄せすることができる。従って、匿名化データを暗号化することによって、名寄せシステム(321)に匿名化データの内容を公開しないようにすることができるという点で有用である。
ステップ349において、任意の時間において、ユーザ・システム(331)は名寄せシステム(321)に名寄せデータ又は集計データの送信要求を送信する。
ステップ350において、名寄せシステム(321)は、上記送信要求を受信することに応じて、上記記憶媒体中に格納した名寄せデータ又は集計データをユーザ・システム(331)に送信する。名寄せシステム(321)は、任意的に、名寄せデータ又は集計データの提供に対する対価をユーザ・システム(331)のユーザから得る為に、ユーザ・システム(331)からの上記送信要求毎のトランザクション、又は上記匿名化データの送信の履歴を記録しうる。
ユーザ・システム(331)は、上記名寄せデータ又は上記集計データを受信する。ユーザ・システム(331)は、上記受信した名寄せデータ又は集計データが暗号化されている場合には、上記公開鍵に対応するユーザ・システム(331)の秘密鍵で当該暗号化された名寄せデータ又は集計データを復号しうる。
図3Cは、上記第1の実施態様において、名寄せシステム(321)が、ユーザ・システム(331)からのデータ送信要求の受信に応じて、当該ユーザ・システム(331)に提供するデータをサービス提供システム(311〜314)それぞれからオンタイムに取得して、名寄せデータを生成する実施態様のフローチャートを示す。
ステップ361〜364それぞれは図3Bに示すステップ341〜344に対応するので、ステップ361〜364についてはステップ341〜344についての上記説明を参照されたい。
ステップ365において、任意の時間において、ユーザ・システム(331)は名寄せシステム(321)に名寄せデータ又は集計データの送信要求を送信する。ステップ365は図3Bに示すステップ349に対応する。
ステップ366において、名寄せシステム(321)は、ユーザ・システム(331)からの上記送信要求を受信することに応じて、データの送信を要求する送信要求と当該送信要求毎に異なる値(例えば、ソルト(salt))とをサービス提供システム(311〜314)それぞれに送信する。ステップ366は図3Bに示すステップ345に対応するので、ステップ366についてはステップ345についての上記説明も参照されたい。
ステップ367〜369それぞれは図3Bに示すステップ346〜348に対応するので、ステップ367〜369についてはステップ346〜348についての上記説明を参照されたい。
ステップ370において、名寄せシステム(321)は、名寄せデータ又は集計データが生成されることに応じて、当該名寄せデータ又は当該集計データをユーザ・システム(331)に送信する。ステップ370は図3Bに示すステップ350に対応するので、ステップ350についての上記説明も参照されたい。
ユーザ・システム(331)は、上記名寄せデータ又は上記集計データを受信する。ユーザ・システム(331)は、上記受信した名寄せデータ又は集計データが暗号化されている場合には、上記公開鍵に対応するユーザ・システム(331)の秘密鍵で当該暗号化された名寄せデータ又は集計データを復号しうる。
本発明に従う第1の実施態様において、送信要求毎に当該送信要求毎に異なる値が生成される。すなわち、送信要求毎に異なる値が用いられる。このことは、同一ユーザに由来するデータに対して、送信要求毎に異なる値が用いられることを意味する。すなわち、当該値を使用して生成されるハッシュ値は送信要求毎に異なることになる。よって、同一ユーザに由来し且つ異なる送信要求に対する匿名化データが名寄せシステム(321)中に蓄積乃至は保持されたとしても当該ユーザの特定をすることができないので、名寄せシステム(321)は、当該同一ユーザの匿名化データを名寄せできなくすることができる。従って、本発明に従う第1の実施態様は、当該ユーザの特定(すなわち、個人の特定)を防止するとともに、当該同一ユーザの匿名化データについて、異なる送信要求に対して収集された匿名化データの比較乃至は統合を防止することが可能であるという有用点を有する。
図4A及び図4Bは、本発明に従う第2の実施態様である名寄せの一例を示した図である。図4C及び図4Dは、図4A及び図4Bに示す名寄せを実現する為のフローチャートを示す。
図4A及び図4Bに示すように、名寄せのためのコンピュータ・システム(400)は、データ提供エンティティ(401〜404)、サービス提供システムA〜D(411〜414)、名寄せシステム(421)、及びユーザ・システム(431)を備えているとする。また、Bさんが、データ提供エンティティ(401〜404)を全て所有しているとする。
ステップ441〜444それぞれは図3Bに示すステップ341〜344に対応するので、ステップ441〜444についてはステップ341〜344についての上記説明を参照されたい。
また、図4Cに示していないが、名寄せシステム(421)とユーザ・システム(431)との間で、名寄せデータの提供又は当該名寄せデータを集計した集計データの提供の契約が行われうる。当該契約において、例えば、名寄せシステム(421)はユーザ・システム(431)に名寄せデータ又は集計データを提供すること、及びユーザ・システム(431)は名寄せデータ又は集計データの提供に対する対価を名寄せシステム(421)の管理者に支払う旨の契約が行われうる。
ステップ445において、サービス提供システムA〜D(411〜414)それぞれは、名寄せシステム(421)との通信に使用する為の証明書の発行を第三者機関(409)に要求し、当該証明書を第三者機関(409)から受信する。サービス提供システムA(411)の証明書は、当該サービス提供システムA(411)の秘密鍵と当該秘密鍵に対応する公開鍵とを有する。サービス提供システムB〜D(412〜414)それぞれの各証明書についても、サービス提供システムA(411)の証明書と同様である。
ステップ446において、名寄せシステム(421)は、サービス提供システム(411〜414)それぞれとの通信に使用する為の名寄せシステム(421)の証明書の発行を第三者機関(409)に要求し、当該証明書を第三者機関(409)から受信する。名寄せシステム(421)の証明書は、当該名寄せシステム(421)の秘密鍵と当該秘密鍵に対応する公開鍵とを有する。また、名寄せシステム(421)は、そこからデータを取得するためのサービス提供システムを特定する為に、サービス提供システム(411〜414)それぞれの証明書の発行を第三者機関(409)に要求し、当該証明書を第三者機関(409)から受信する。サービス提供システム(411〜414)それぞれの各証明書は、当該証明書が名寄せシステム(421)から要求されている為に、サービス提供システム(411〜414)それぞれの公開鍵のみを有する。
なお、ステップ445とステップ446とは、いずれのステップが先に行われてもよい。
ステップ447において、名寄せシステム(421)は、任意のタイミングにおいて、例えば、ユーザ・システム(431)からのデータ送信要求の受信に応じて、又はユーザ・システム(431)からのデータ送信要求の受信の有無にかかわらず、例えば名寄せシステム(421)の管理者によってスケジューリングされた時刻において(例えば、定期的に)、名寄せすることの許可をユーザに求めるユーザ許可要求及び当該許可要求毎に異なる値(例えば、ソルト)、並びに任意的に、複数のサービス提供システムのうちの匿名化データの取得対象であるサービス提供システムの証明書(公開鍵のみを含む)、及び任意的に、名寄せシステム(421)に関連付けられた固有のID(例えば、当該名寄せシステム(421)のMACアドレス又は製造番号)を、上記ユーザ許可要求を処理できるサービス提供システムに送信する。図4Aに示す例において、上記ユーザ許可要求を処理できるサービス提供システムがサービス提供システムA(411)であるとする。なお、上記ユーザ許可要求を処理できるシステムは、サービス提供システム(411〜414)以外のシステム、例えばユーザ許可要求のみの処理を専門に行うコンピュータであってもよい。
ステップ448において、サービス提供システムA(411)は、上記ユーザ許可要求を受信することに応じて、当該ユーザ許可要求をユーザ(例えば、データ提供エンティティ(401))に送信する。サービス提供システムA(411)は、上記ユーザ許可要求の送信において、ユーザに対してユーザ許可条件を提示しうる。当該ユーザ許可条件は、例えば、データ提供可能なデータの種類若しくは内容、データ提供先、データ提供先でのデータ再配布の拒否、データ提供不可能なデータの種類若しくは内容、名寄せシステムへのデータ提供の回数、ユーザ・システムへの名寄せデータ提供の回数、又はデータ提供に対する対価でありうる。
ステップ449において、データ提供エンティティ(401)は、上記ユーザ許可条件の内容をディスプレイ上に表示してユーザに提示しうる。ユーザは、当該許可条件の内容を見て、提示されたユーザ許可条件を承認するかどうかを判断しうる。また、ユーザは、上記提示されたユーザ許可条件以外の1又は複数のユーザ許可条件を追加しうる。
ステップ450において、サービス提供システムA(411)は、データ提供エンティティ(401)からのユーザ許可条件を受信することに応じて、トークンを作成する。当該トークンは、ユーザに関連付けられた識別番号(例えば、UUID)及びステップ447で送信された上記許可要求毎に異なる値、並びに任意的に、ステップ449で送信されたユーザ許可条件を含みうる。次に、サービス提供システムA(411)は、当該トークンを、サービス提供システムA〜D(411〜414)それぞれの公開鍵で暗号化する。当該公開鍵は、サービス提供システムA〜D(411〜414)それぞれの証明書中から取り出したものである。サービス提供システムA(411)が当該トークンをサービス提供システムA〜D(411〜414)それぞれの公開鍵で暗号化することによって、当該トークンを暗号化した公開鍵に対応する秘密鍵を有するサービス提供システムのみが当該暗号化されたトークンを復号することが可能となる。従って、名寄せシステム(412)は、暗号化されたトークンを復号できないので、当該暗号化されたトークン中の上記識別番号を特定することができない。
サービス提供システムA(411)が上記トークンを暗号化する際に用いる公開鍵は、ステップ447で送信された各証明書内の公開鍵でありうる。代替的には、サービス提供システムA(411)は、上記暗号化されたトークンを受け取るサービス提供システムのリストを名寄せシステム(421)から入手し、当該リスト中のサービス提供システムそれぞれの公開鍵を第三者機関(409)から取得するようにしてもよい。第三者機関(409)は、サービス提供システムそれぞれの公開鍵を管理するサーバである。
ステップ451において、サービス提供システムA(411)は、暗号化されたトークンの全て(すなわち、暗号化されたトークンのセット)を名寄せシステム(421)に送信する。
ステップ452において、名寄せシステム(421)は、サービス提供システムA〜D(411〜414)のうちの名寄せ対象の匿名化データを格納している少なくとも1つにデータ送信要求を送信する。名寄せシステム(421)は、上記データ送信要求とともに、ステップ451で送信された暗号化されたトークンの上記セットのうち、当該送信先であるサービス提供システムA〜D(411〜414)のいずれかの公開鍵で暗号化されたトークンのみを、当該公開鍵に対応する秘密鍵を有するサービス提供システムに送信する。当該送信が可能であるようにするために、各トークンは、例えば(対象であるサービス提供システム):(対象トークン)のようなペアのキー=値(KEY=VALUE)の情報として送信されうる。
ステップ453において、上記データ送信要求を受信したサービス提供システムそれぞれは、受信した暗号化されたトークンを、自身が有する秘密鍵で復号する。上記データ送信要求を受信したサービス提供システムそれぞれは、当該秘密鍵に対応する公開鍵で暗号化された上記暗号化されたトークンのみを受信するので、当該暗号化されたトークンを上記秘密鍵で復号することができる。
ステップ454において、上記暗号化されたトークンを復号できたサービス提供システムそれぞれは、当該トークン中のユーザ許可条件を評価しうる。当該評価は、例えば、データ提供の日時制限若しくはその回数、又は以前に既に複合したトークンとの比較に基づいて行われうる。上記暗号化されたトークンを復号できたサービス提供システムそれぞれは、復号したトークンを当該サービス提供システムがアクセス可能な記憶媒体中に格納しうる。
ステップ455において、上記暗号化されたトークンを復号できたサービス提供システムそれぞれは、上記ユーザ許可条件又は上記ユーザ許可条件の上記評価に従って、匿名化データを名寄せシステムに送信してもよいかどうかを判断する。上記暗号化されたトークンを復号できたサービス提供システムそれぞれは、上記匿名化データを名寄せシステムに送信してもよいということに応じて、上記識別番号によって特定されるデータを匿名化する。そして、上記暗号化されたトークンを復号できたサービス提供システムそれぞれは、当該匿名化データを名寄せシステム(421)に送信しうる。代替的には、上記暗号化されたトークンを復号できたサービス提供システムそれぞれは、上記識別番号とステップ447で送信された上記値とに基づいてハッシュ値を生成し、当該生成したハッシュ値を上記匿名化データとともに名寄せシステム(421)に送信しうる。上記暗号化されたトークンを復号できたサービス提供システムそれぞれは、同一のハッシュ化アルゴリズムを使用する。上記暗号化されたトークンを復号できたサービス提供システムそれぞれにおいて同一のハッシュ化アルゴリズムが使用できれば、例えば時間帯によって用いるハッシュ化アルゴリズムを変化させるようにしてもよい。上記暗号化されたトークンを復号できたサービス提供システムそれぞれは、同一のハッシュ化アルゴリズムを使用する為に、各サービス提供システム間で、同一の送信要求に対して同一のハッシュ値(匿名化ID)を生成することができる。当該サービス提供システムそれぞれは、任意的に、データ提供に対する対価を名寄せシステム(421)の管理者から得る為に、名寄せシステム(421)からの上記送信要求毎のトランザクション、又は上記匿名化データの送信の履歴を記録しうる。
ステップ456において、名寄せシステム(421)は、上記匿名化データを送信したサービス提供システムそれぞれから当該匿名化データを受信しうる。代替的には、名寄せシステム(421)は、上記匿名化データを送信したサービス提供システムそれぞれから当該匿名化データ及び上記ハッシュ値を受信しうる。名寄せシステム(421)は上記サービス提供システムそれぞれから受信した匿名化データのうちから、上記トークンによって特定される匿名化データを名寄せしうる。名寄せシステム(421)は、上記トークンにより、どの名寄せに対する匿名化データであるかを判別することができる。代替的には、名寄せシステム(421)は、上記サービス提供システムそれぞれから受信した匿名化データのうちから、上記ハッシュ値によって特定される匿名化データを名寄せしうる。
名寄せシステム(421)は、任意的に、上記名寄せデータを集計して集計データを生成しうる。名寄せデータの集計方法は、当業者に知られている任意の技法を使用しうる。
名寄せシステム(421)は、上記名寄せデータ又は上記集計データを当該名寄せシステム(421)がアクセス可能な記憶媒体中に格納しうる。
ステップ456において、任意的に、上記暗号化されたトークンを復号できたサービス提供システムそれぞれは、匿名化データを例えばユーザ・システム(431)の公開鍵で暗号化しうる。従って、上記暗号化されたトークンを復号できたサービス提供システムそれぞれは、暗号化された匿名化データを名寄せシステム(421)に送信しうる。匿名化データを暗号化することによって、名寄せシステム(421)は匿名化データの内容を見ることができない。従って、匿名化データを暗号化することによって、名寄せシステム(421)に匿名化データの内容を公開しないようにすることができるという点で有用である。
ステップ457において、名寄せシステム(421)は、上記名寄せデータ又は上記集計データをユーザ・システム(431)に送信する。名寄せシステム(421)は、任意的に、名寄せデータ又は集計データの提供に対する対価をユーザ・システム(431)のユーザから得る為に、ユーザ・システム(431)からの上記ユーザ許可要求毎のトランザクション、又は上記匿名化データの送信の履歴を記録しうる。
ユーザ・システム(431)は、上記名寄せデータ又は上記集計データを受信する。ユーザ・システム(431)は、上記受信した名寄せデータ又は集計データが暗号化されている場合には、上記公開鍵に対応するユーザ・システム(431)の秘密鍵で当該暗号化された名寄せデータ又は集計データを復号しうる。
図5A及び図5Bは、本発明に従う第3の実施態様である名寄せの一例を示した図である。図5C及び図5Dは、図5A及び図5Bに示す名寄せを実現する為のフローチャートを示す。
図5A及び図5Bに示すように、名寄せのためのコンピュータ・システム(500)は、データ提供エンティティ(501〜504)、サービス提供システムA〜D(511〜514)、及び名寄せシステム(521)を備えているとする。また、データ提供エンティティ(501)が、ユーザ・システム(531)でもあるとする。すなわち、ユーザ・システム(531)は、データ提供エンティティ(501)と同じハードウェア上に実装されているとする。また、Cさんが、データ提供エンティティ(501〜504)を全て所有しているとする。
ステップ541〜544それぞれは図3Bに示すステップ341〜344に対応するので、ステップ541〜544についてはステップ341〜344についての上記説明を参照されたい。
ステップ545〜546それぞれは図4Cに示すステップ445〜446に対応するので、ステップ545〜546についてはステップ445〜446についての上記説明を参照されたい。
ステップ547において、ユーザ・システム(531)(データ提供エンティティ(501)でもある)は、例えば、当該ユーザ・システム(531)のユーザからのデータ送信要求の命令を受信することに応じて、又は当該ユーザからのデータ送信要求の受信の有無にかかわらず、例えば上記ユーザによってスケジューリングされた時刻において(例えば、定期的に)、サービス提供システムA(511)に対して、当該ユーザ・システム(531)の匿名化された識別番号(例えば、UUIDのハッシュ値)を問い合わせる。匿名化された識別番号は、サービス提供システム(511〜514)それぞれに格納されているとする。また、サービス提供システム(511〜514)それぞれは、識別番号(匿名化されていない)と匿名化された識別番号(匿名化ID)とのマッピングを記録したデータ(例えば、マッピング・テーブル)を、サービス提供システム(511〜514)それぞれがアクセス可能な記録媒体中に記憶している。
ステップ548において、サービス提供システムA(511)は、上記匿名化された識別番号の問い合わせに応じて、上記記憶媒体中の上記マッピング・データを検索して、上記サービス提供システムA(511)に関連付けられた匿名化された識別番号を取得する。サービス提供システムA(511)は、当該取得した匿名化された識別番号をユーザ・システム(531)に送信する。
ステップ549において、ユーザ・システム(531)は、上記取得した匿名化された識別番号及びユーザ許可条件、並びに任意的に、サービス提供システムA(511)を特定する情報(例えば、ネットワーク・アドレス)を名寄せシステム(521)に送信する。
ステップ550において、名寄せシステム(521)は、上記匿名化された識別番号及びユーザ許可条件を受信することに応じて、トークンの生成要求をサービス提供システムA(511)に送信する。名寄せシステム(521)は、上記トークンの生成要求とともに、当該トークンの生成要求にのみ有効な値(例えば、ソルト)、並びに、上記匿名化された識別番号、及び任意的に、ユーザ許可条件、及び任意的に、複数のサービス提供システムのうちの匿名化データの取得対象であるサービス提供システムの証明書(公開鍵のみを含む)、及び任意的に、名寄せシステム(521)に関連付けられた固有のID(例えば、当該名寄せシステム(521)のMACアドレス又は製造番号)をサービス提供システムA(511)に送信する。
ステップ551において、サービス提供システムA(511)は、上記トークンの生成要求とともに受信した匿名化された識別番号に対応する識別番号(匿名化されていない)を上記記録媒体中の上記マッピング・データを検索して取得する。また、サービス提供システムA(511)は、上記トークンの生成要求を受信することに応じて、トークンを作成する。当該トークンは、上記取得した識別番号(例えば、UUID)及びステップ550で送信されたソルト、並びに任意的に、ステップ550で送信されたユーザ許可条件を含む。サービス提供システムA(511)は、当該トークンを、サービス提供システムA〜D(511〜514)それぞれの公開鍵で暗号化し、当該暗号化されたトークンのセットを生成する。当該公開鍵は、サービス提供システムA〜D(511〜514)それぞれの証明書中から取り出したものである。サービス提供システムA(511)が当該トークンをサービス提供システムA〜D(511〜514)それぞれの公開鍵で暗号化することによって、当該トークンを暗号化した公開鍵に対応する秘密鍵を有するサービス提供システムのみが当該暗号化されたトークンを復号することが可能となる。
ステップ552において、サービス提供システムA(511)は、暗号化されたトークンの全て(すなわち、暗号化されたトークンのセット)を名寄せシステム(521)に送信する。
ステップ553〜558それぞれは図4Dに示すステップ452〜457に対応するので、ステップ553〜558についてはステップ452〜457についての上記説明を参照されたい。
図6Aは、本発明に従う第4の実施態様である名寄せの一例を示した図である。図6B及び図6Cは、図6Aに示す名寄せを実現する為のフローチャートを示す。
図6Aに示すように、名寄せのためのコンピュータ・システム(600)は、データ提供エンティティ(601〜604)、サービス提供システムA〜D(611〜614)、及び名寄せシステム(621)を備えているとする。また、データ提供エンティティ(601)が、ユーザ・システム(631)でもあるとする。すなわち、ユーザ・システム(631)は、データ提供エンティティ(601)と同じハードウェア上に実装されているとする。また、Dさんが、データ提供エンティティ(601〜604)を全て所有しているとする。
ステップ641〜644それぞれは図3Bに示すステップ341〜344に対応するので、ステップ641〜644についてはステップ341〜344についての上記説明を参照されたい。
また、図6Bに示していないが、名寄せシステム(621)とユーザ・システム(631)との間で、名寄せデータの提供又は当該名寄せデータを集計した集計データの提供の契約が行われうる。当該契約において、例えば、名寄せシステム(621)はユーザ・システム(631)に名寄せデータ又は集計データを提供すること、及びユーザ・システム(631)は名寄せデータ又は集計データの提供に対する対価を名寄せシステム(621)の管理者に支払う旨の契約が行われうる。
ステップ645において、サービス提供システムA〜D(611〜614)それぞれは、名寄せシステム(621)との通信に使用する為の証明書の発行を第三者機関(609)に要求し、当該証明書を第三者機関(609)から受信する。サービス提供システムA(611)の証明書は、当該サービス提供システムA(611)の秘密鍵と当該秘密鍵に対応する公開鍵とを有する。サービス提供システムB〜D(612〜614)それぞれの各証明書についても、サービス提供システムA(611)の証明書と同様である。
ステップ646において、ユーザ・システムでもありうるサービス提供システム(611)は、他のサービス提供システムの証明書の発行を第三者機関(609)に要求し、当該証明書を第三者機関(609)から受信する。当該受信したサービス提供システムそれぞれの各証明書は、自己の証明書でないので、公開鍵のみを有する。
なお、ステップ645とステップ646とは、いずれのステップが先に行われてもよい。
ステップ647において、ユーザ・システム(631)(データ提供エンティティ(601)でもある)は、例えば、当該ユーザ・システム(631)のユーザからのデータ送信要求の命令を受信することに応じて、又は当該ユーザからのデータ送信要求の受信の有無にかかわらず、例えば上記ユーザによってスケジューリングされた時刻において(例えば、定期的に)、名寄せデータ又は当該名寄せデータを集計した集計データを必要とするとする。ユーザ・システム(631)は、当該データが必要であることに応じてトークンを作成する。当該トークンは、ユーザに関連付けられた識別番号(例えば、UUID)、当該データを要求する送信要求毎に異なる値(例えば、ソルト)、並びに任意的に、ユーザ許可条件を含みうる。当該値は、ユーザ・システム(631)が自動的に生成したものでもよく、又は、名寄せシステム(621)に上記値の生成要求を送信し、当該送信要求に応じて生成された値を名寄せシステム(621)から受信したものでもよい。但し、ユーザ・システム(631)が上記値を生成する場合には、他のユーザ・システムが生成した値と重複しないように、例えば当該ユーザ・システム(631)に固有の値(例えば、当該ユーザ・システム(631)のMACアドレス又は製造番号)を有するようにすることがよい。次に、ユーザ・システム(631)は、当該トークンを、サービス提供システムA〜D(611〜614)それぞれの公開鍵で暗号化し、当該暗号化されたトークンのセットを生成する。当該公開鍵は、上記した通り、第三者機関(609)から入手したサービス提供システムA〜D(611〜614)それぞれの証明書中から取り出したものである。ユーザ・システム(631)が当該トークンをサービス提供システムA〜D(611〜614)それぞれの公開鍵で暗号化することによって、当該トークンを暗号化した公開鍵に対応する秘密鍵を有するサービス提供システムのみが当該暗号化されたトークンを復号することが可能となる。従って、名寄せシステム(612)は、暗号化されたトークンを復号できないので、当該暗号化されたトークン中の上記識別番号を特定することができない。
ステップ648において、ユーザ・システム(631)は、名寄せデータ又は集計データの送信要求を名寄せシステム(621)に送信する。また、ユーザ・システム(631)は、上記送信要求とともに、上記暗号化されたトークンのセットを名寄せシステム(621)に送信する。
ステップ649〜654それぞれは図4Dに示すステップ452〜457に対応するので、ステップ649〜654についてはステップ452〜457についての上記説明を参照されたい。
図7A及び図7Bは、本発明に従う第5の実施態様である名寄せの一例を示した図である。図7C及び図7Dは、図7A及び図7Bに示す名寄せを実現する為のフローチャートを示す。
図7A及び図7Bに示すように、名寄せのためのコンピュータ・システム(700)は、データ提供エンティティ(701〜704)、サービス提供システムA〜D(711〜714)、及び名寄せシステム(721)を備えているとする。また、データ提供エンティティ(701)が、ユーザ・システム(731)でもあるとする。すなわち、ユーザ・システム(731)は、データ提供エンティティ(701)と同じハードウェア上に実装されているとする。また、Eさんが、データ提供エンティティ(701〜704)を全て所有しているとする。
ステップ741〜744それぞれは図3Bに示すステップ341〜344に対応するので、ステップ741〜744についてはステップ341〜344についての上記説明を参照されたい。
また、図7Bに示していないが、名寄せシステム(721)とユーザ・システム(731)との間で、名寄せデータの提供又は当該名寄せデータを集計した集計データの提供の契約が行われうる。当該契約において、例えば、名寄せシステム(721)はユーザ・システム(731)に名寄せデータ又は集計データを提供すること、及びユーザ・システム(731)は名寄せデータ又は集計データの提供に対する対価を名寄せシステム(721)の管理者に支払う旨の契約が行われうる。
ステップ745において、ユーザ・システム(731)(データ提供エンティティ(701)でもある)は、例えば、当該ユーザ・システム(731)のユーザからのデータ送信要求の命令を受信することに応じて、又は当該ユーザからのデータ送信要求の受信の有無にかかわらず、例えば上記ユーザによってスケジューリングされた時刻において(例えば、定期的に)、名寄せデータ又は当該名寄せデータを集計した集計データを必要とするとする。ユーザ・システム(731)は、当該名寄せデータ又は当該集計データが必要であることに応じて、当該名寄せデータ又は当該集計データを要求する送信要求毎に異なる値(例えば、ソルト)を送信することを要求する送信要求(以下、「値の送信要求」ともいう)を名寄せシステム(721)に送信する。
ステップ746において、名寄せシステム(721)は、上記値の送信要求を受信することに応じて、上記値を上記値の送信要求毎に生成し、当該生成した値をユーザ・システム(731)に送信する。
ステップ747において、ユーザ・システム(731)は、上記値を受信することに応じて、ユーザに関連付けられた識別番号(例えば、UUID)と当該受信した値とに基づいてハッシュ値(以下、第1のハッシュ値ともいう)を生成する。
ステップ748において、ユーザ・システム(731)は、上記第1のハッシュ値を名寄せシステム(721)に送信する。
ステップ749において、名寄せシステム(721)は、上記第1のハッシュ値を受信することに応じて、データの送信を要求する送信要求をサービス提供システム(711〜714)それぞれに送信する。また、名寄せシステム(721)は、上記送信要求とともに、ステップ746でユーザ・システム(731)に送信した上記値及び上記第1のハッシュ値をサービス提供システム(711〜714)それぞれに送信する。
ステップ750において、サービス提供システム(711〜714)それぞれは、当該サービス提供システム(711〜714)それぞれが有しているユーザに関連付けられた識別番号と上記受信した値とに基づいてハッシュ値(以下、第2のハッシュ値ともいう)を生成する。サービス提供システム(711〜714)それぞれは、同一のハッシュ化アルゴリズムを使用してハッシュ化を行う。すなわち、上記第1のハッシュ値を生成するためのハッシュ化アルゴリズムと、上記第2のハッシュ値を生成するためのハッシュ化アルゴリズムとは同一である。サービス提供システム(711〜714)それぞれは、上記ユーザEに関連付けられた識別番号を、当該ユーザEに関連付けられたデータをデータ提供エンティティ(701〜704)それぞれから受信する際において、例えば当該データの属性又はキーとして受信しているとする。サービス提供システム(711〜714)それぞれは、当該受信したデータを、上記識別番号をキーとして保管又は管理しうる。
ステップ751において、サービス提供システム(711〜714)それぞれは、第1のハッシュ値と第2のハッシュ値とを比較する。サービス提供システム(711〜714)それぞれは、第1のハッシュ値と第2のハッシュ値とが一致することに応じて、上記第2のハッシュ値を生成する際に用いた識別番号を有する匿名化データを名寄せシステム(721)に送信する。
ステップ753〜754それぞれは図4Dに示すステップ456〜457に対応するので、ステップ753〜754についてはステップ456〜457についての上記説明を参照されたい。
図8A〜図12Cは、本発明の実施態様に従い、名寄せデータを取得するために行われる種々の態様におけるステップを纏めたフローチャートを示す。
図8Aは、本発明の実施態様に従い、データ提供エンティティに関連付けられたユーザが識別番号(例えば、UUID)を取得して、データ提供エンティティが当該識別番号で特定されるデータを各サービス提供システムに送信することを可能にする処理のためのフローチャートを示す。当該フローチャートを説明するために、便宜的に、図2Aに示すデータ提供エンティティ(201〜204)、サービス提供システムA〜D(211〜214)、名寄せシステム(221)及びユーザ・システム(231)(以上が、コンピュータ・システム(200)に含まれている)、並びに、第三者機関(209)を用いて説明する。
ステップ801において、データ提供エンティティ(201〜204)のうちの例えばデータ提供エンティティ(201)が上記処理を開始する。
ステップ802において、データ提供エンティティ(201)は、データ提供エンティティ(201〜204)に関連付けられたユーザ(Aさん)を唯一に識別するための識別番号(例えば、UUID)の発行要求を第三者機関(209)に送信する。
ステップ803において、データ提供エンティティ(201)は、第三者機関(209)から上記識別番号を受信する。
ステップ804において、データ提供エンティティ(201)は、上記受信した識別番号を使用して、サービス提供システムA〜D(211〜214)それぞれに、データを送信するサービス提供システムと上記識別番号とを登録をする。当該登録において、サービス提供システムA(211)には、データ提供エンティティ(201)及び上記識別番号が登録される。同様に、サービス提供システムB(212)には、データ提供エンティティ(202)及び上記識別番号が登録される。同様に、サービス提供システムC(213)には、データ提供エンティティ(203)及び上記識別番号が登録される。同様に、サービス提供システムD(214)には、データ提供エンティティ(204)及び上記識別番号が登録される。
ステップ802〜ステップ803の各処理は、例えば、データ提供エンティティがデータをサービス提供システムに提供することを登録するためのものであり、例えば、データ提供エンティティが当該データ提供エンティティ内にインストールされたアプリケーション(例えば、登録エージェント)を実行することによって行われうる。
ステップ805において、データ提供エンティティ(201〜204)それぞれは、任意のタイミングにおいて(例えば、契約の終了に応じて)、サービス提供システムA〜D(211〜214)それぞれにデータ1〜4(識別番号に関連付けられている)それぞれを送信する。当該データ1〜4の送信は、同時に行われる必要はなく、任意の時間において別々に行われうる。代替的には、データ提供エンティティ(201〜204)それぞれは、サービス提供システムA〜D(211〜214)それぞれからのデータ送信要求に応じて、データ1〜4それぞれを送信する。すなわち、データ1〜4それぞれが、サービス提供システムA〜D(211〜214)それぞれによって収集される。
ステップ806において、データ提供エンティティ(201〜204)それぞれは、サービス提供システムA〜D(211〜214)それぞれへのデータの送信が終了したかどうかを判断する。当該送信が終了していることに応じて、データ提供エンティティ(201〜204)それぞれは、処理を終了ステップ807に進める。当該送信が終了していないことに応じて、データ提供エンティティ(201〜204)それぞれは、処理をステップ805に戻す。
ステップ807において、データ提供エンティティ(201〜204)それぞれは、上記処理を終了する。
図8Bは、本発明の実施態様に従い、各サービス提供システムと名寄せシステムとの間でデータ収集契約を締結し、データ提供モードを決定する処理のためのフローチャートを示す。
ステップ811において、上記処理が下記に示す証明書の取得から開始される。
ステップ812において、サービス提供システム(211〜214)それぞれは、当該サービス提供システムそれ自身の証明書を例えば第三者機関(209)に要求して取得しうる。当該サービス提供システムそれ自身の証明書は、公開鍵と当該公開鍵に対応する秘密鍵の対を有する。当該公開鍵及び秘密鍵それぞれは、データの暗号化及び復号に使用するためのものである。従って、データを暗号化しない場合には、ステップ812を省略することが可能である。
ステップ813において、サービス提供システム(211〜214)それぞれと名寄せシステム(221)との間でデータ提供契約を締結する。
ステップ814において、名寄せシステム(221)は、サービス提供システム(211〜214)それぞれの証明書を例えば第三者機関(209)に要求して取得しうる。当該証明書は、公開鍵を有する(すなわち、秘密鍵は有していない)。当該公開鍵は、データの暗号化に使用するためのものである。従って、データを暗号化しない場合には、ステップ814を省略することが可能である。
ステップ815において、名寄せシステム(221)は、当該名寄せシステム(221)から名寄せデータ又は集計データを取得するユーザからの指示又は当該ユーザとのデータ提供契約が対話式のデータ取得かどうかを判断する。対話式のデータ取得とは、名寄せシステム(221)がユーザ・システム(231)からのデータ送信要求の受信に応じて当該ユーザに提供するデータをサービス提供システム(211〜214)それぞれから取得することをいう(例えば、図3Cのフローチャートを参照)。対話式のデータ取得であることに応じて、名寄せシステム(221)は、処理をステップ815に進める。一方、対話式のデータ取得でないこと(すなわち、非同期のデータ取得)に応じて、名寄せシステム(221)は、処理をステップ817に進める。非同期のデータ取得とは、名寄せシステム(221)がユーザ・システム(231)からのデータ送信要求の受信の有無にかかわらず、例えばスケジューリングされた時刻において(例えば、定期的に)当該ユーザ・システム(231)に提供するデータをサービス提供システム(211〜214)それぞれから取得することをいう(例えば、図3Bのフローチャートを参照)。名寄せシステム(221)は、例えば、上記ユーザとの間のデータ提供の契約時において、対話式のデータ取得でサービスを行うか若しくは非同期のデータ取得でサービスを行うかを選択させること、又は、提供するデータの種類若しくは内容毎に、対話式のデータ取得でサービスを行うか若しくは非同期のデータ取得でサービスを行うかを選択させることが可能である。
ステップ816において、名寄せシステム(221)は、対話式のデータ取得モードの状態で次の指示を待つ(ステップ816)。
ステップ817において、名寄せシステム(221)は、対話式のデータ取得でないことに応じて、サービス提供システム(211〜214)それぞれからのデータ取得の時期のスケジュールを作成する。当該データ取得の時期は、例えば、24時間毎又は1週間毎など、取得するデータの種類又は内容によって適宜設定されうる。
ステップ818において、名寄せシステム(221)は、非同期のデータ取得モードの状態で次の指示を待つ(ステップ818)。
ステップ819において、上記処理が終了する。
上記フローチャートでは、ステップ815において対話式のデータ取得であるかどうかの判断結果に応じて、名寄せシステム(221)が対話式のデータ取得モードの状態又は非同期のデータ取得モードの状態のいずれかで次の指示を待つ実施態様を説明した。本発明に従う代替的な実施態様として、名寄せシステム(221)は対話式のデータ取得モード及び非同期のデータ取得モードの両状態で次の指示を待ってもよい。
図9は、本発明の実施態様に従い、名寄せデータを取得する処理のためのフローチャートを示す。当該フローチャートを説明するために、便宜的に、図2Aに示すデータ提供エンティティ(201〜204)、サービス提供システムA〜D(211〜214)、名寄せシステム(221)及びユーザ・システム(231)(以上が、コンピュータ・システム(200)に含まれている)、並びに、第三者機関(209)を用いて説明する。
ステップ901において、ユーザ・システム(231)又は名寄せシステム(221)は、名寄せデータを取得する上記処理を開始する。
ステップ902において、ユーザ・システム(231)は、データの取得要求が対話式のデータ取得を求めるものであるかどうかを判断しうる。データの取得要求が対話式のデータ取得で行うかどうかをユーザが選択可能にすることによって、ユーザ・システム(231)がデータの取得要求が対話式のデータ取得を求めるものであるかどうかを判断できるようにしてもよい。または、対話式のデータ取得である場合とそうでない場合とでユーザ・システム(231)の要求メニューを異なるようにして、ユーザ・システム(231)がデータの取得要求が対話式のデータ取得を求めるものであるかどうかを判断できるようにしてもよい。そして、ユーザ・システム(231)は、名寄せシステム(221)に対して、データの取得要求が対話式のデータ取得であるかそうでないかを通知しうる。上記取得要求が対話式のデータ取得を求めるものであることに応じて、ユーザ・システム(231)は処理をステップ904に進める。一方、上記取得要求が対話式のデータ取得を求めるものでないことに応じて、ユーザ・システム(231)は処理をステップ903に進める。代替的には、ステップ902において、名寄せシステム(221)が、上記取得要求が対話式のデータ取得を求めるものであるかどうかを判断しうる。当該取得要求が対話式のデータ取得を求めるかどうかの判断は、例えば、名寄せシステム(221)とユーザ・システム(231)とのデータ提供契約においての取り決め事項を参照することによって行われうる。当該取り決め事項は、データの取得要求が対話式のデータ取得であるかどうかのデータを含みうる。上記取得要求は、例えばユーザ・システム(231)が名寄せシステム(221)に名寄せデータ又は集計データの送信を要求する送信要求でありうる。上記取得要求が対話式のデータ取得を求めるものであることに応じて、名寄せシステム(221)は処理をステップ904に進める。一方、上記取得要求が対話式のデータ取得を求めるものでないことに応じて、名寄せシステム(221)は処理をステップ903に進める。
ステップ903において、ユーザ・システム(231)は、当該自身がデータ提供者(すなわち、データ提供エンティティ)であるかどうかを判断しうる。ユーザ・システム(231)は、当該自身がデータ提供者であるかどうかをユーザが選択可能することによって、ユーザ・システム(231)が、当該自身がデータ提供者であるかどうかを判断できるようにしてもよい。または、当該自身がデータ提供者である場合とそうでない場合とでユーザ・システム(231)の要求メニューを異なるようにして、ユーザ・システム(231)が当該自身がデータ提供者であるかどうかを判断できるようにしてもよい。ユーザ・システム(231)は当該自身がデータ提供エンティティであることに応じて、処理をステップ904に進める。一方、ユーザ・システム(231)は当該自身がデータ提供エンティティでないことに応じて、処理を終了ステップ915に進める。代替的には、ステップ903において、名寄せシステム(221)は、上記取得要求が非同期のデータ取得を求めるものであるかどうかを判断する。上記取得要求は、例えば図8Bのステップ817で設定されたスケジュールに従うものでありうる。上記取得要求が非同期のデータ取得を求めるものであることに応じて、名寄せシステム(221)は処理をステップ904に進める。一方、上記取得要求が非同期のデータ取得を求めるものでないことに応じて、名寄せシステム(221)は処理を終了ステップ915に進める。
ステップ904において、名寄せシステム(221)は、データの当該送信要求にのみ有効な値(例えば、ソルト)を生成する。
ステップ905において、名寄せシステム(221)は、複数のサービス提供システムのうちの一部のサービス提供システム、もしくはそのうちの特定のグループのサービス提供システム、又は名寄せシステム(221)とデータ提供に関する契約をしている全てのサービス提供システムに、上記送信要求を送信する。また、名寄せシステム(221)は、上記送信要求とともに、上記値を上記サービス提供システムに送信する。
ステップ906において、サービス提供システムそれぞれは、例えばユーザ条件を満たすデータを特定し、当該特定されたデータを匿名化する。次に、サービス提供システムそれぞれは、当該データを管理するための識別番号と上記値とに基づいてハッシュ値を生成する。例えば、サービス提供システムそれぞれは、上記識別番号を上記値でハッシュ化する。なお、サービス提供システムそれぞれは同一のハッシュ化アルゴリズムを実装している。
ステップ907において、サービス提供システムそれぞれは、上記匿名化データと上記ハッシュ値とを名寄せシステム(221)に送信する。
ステップ908において、名寄せシステム(221)は、上記サービス提供システムから受信した匿名化データのうちから、上記ハッシュ値によって特定される匿名化データを名寄せし、名寄せデータを得る。
ステップ909において、名寄せシステム(221)は、例えばユーザ・システム(231)からのデータ送信要求が名寄せデータをさらに集計した集計データの送信要求であるかどうかを判断する。名寄せシステム(221)は、集計データの送信要求でないことに応じて、処理をステップ911に進める。名寄せシステム(221)は、集計データの送信要求であることに応じて、処理をステップ911に進める。
ステップ910において、名寄せシステム(221)は、上記データの送信要求が集計データの送信要求でないことに応じて、上記データの送信要求が対話式のデータ取得かどうかを判断する。名寄せシステム(221)は、上記データの送信要求が対話式のデータ取得を求めるものであることに応じて、処理をステップ912に進める。一方、名寄せシステム(221)は、上記送信要求が対話式のデータ取得を求めるものでないことに応じて、処理をステップ913に進める。
ステップ911において、名寄せシステム(221)は、上記送信要求が集計データの送信要求であることに応じて、名寄せデータを所定の方法に従って名寄せデータを集計する。
ステップ912において、名寄せシステム(221)は、上記送信要求が対話式のデータ取得であることに応じて、ユーザ・システム(221)に名寄せデータが生成された旨を通知し、ユーザ・システムからのデータ送信要求に応じて、上記名寄せデータ又は上記集計データを送信する。
ステップ913において、名寄せシステム(221)は、対話式のデータ取得を求めるものでないことに応じて、上記名寄せデータ又は上記集計データを当該名寄せシステム(221)がアクセス可能な記憶媒体中に格納する。
ステップ914において、名寄せシステム(221)は、任意のタイミングにおいて(例えば、ユーザ・システム(221)からのデータ送信要求を受信することに応じて)、上記記憶媒体中に格納した名寄せデータ又は集計データをユーザ・システム(221)に送信する。そして、ユーザ・システム(221)は、当該送信された名寄せデータ又は集計データを、名寄せシステム(221)がサービス提供システムそれぞれからデータ受信することとは非同期的に受信する。
ステップ915において、名寄せシステム(221)は、上記処理を終了する。
図10A及び図10Bは、本発明の実施態様に従い、名寄せデータを取得する処理のためのフローチャートを示す。当該フローチャートは、図3A〜図3Cに示す第1の実施態様、図4A〜図4Dに示す第2の実施態様、及び図7A〜図7Dに示す第5の実施態様と類似又は重複するステップを含むものであるが、当該第1、2及び5の実施態様に記載の各ステップの全てを網羅するものではなく又は当該第1、2及び5の実施態様に記載の各ステップを排除するものでもないことに留意されたい。また、当該フローチャートを説明するために、便宜的に、図2Aに示すデータ提供エンティティ(201〜204)、サービス提供システムA〜D(211〜214)、名寄せシステム(221)及びユーザ・システム(231)(以上が、コンピュータ・システム(200)に含まれている)、並びに、第三者機関(209)を用いて説明する。
ステップ1001において、名寄せシステム(221)は、名寄せデータを取得する上記処理を開始する。
ステップ1002〜1003それぞれは図9に示すステップ902〜903に対応するので、ステップ1002〜1003についてはステップ902〜903についての上記説明を参照されたい。
ステップ1004において、名寄せシステム(221)は、複数のサービス提供システムA〜D(211〜214)のうち、ユーザ許可要求を処理することが可能なサービス提供システム(すなわち、ユーザ許可を得る為のサービス提供システム)を特定する。ユーザ許可要求を処理することが可能なサービス提供システムの特定は、例えばサービス提供システムA〜D(211〜214)のうちのいずれをユーザ認可要求の処理をするためのシステムであるかを名寄せシステム(221)とサービス提供システムとの間で取り決めておくことによって行われうる。なお、本フローチャートを説明する上で、便宜的に、サービス提供システムA(211)がユーザ許可要求を処理できるシステムであるとする。
ステップ1005において、名寄せシステム(221)は、複数のサービス提供システムA〜D(211〜214)のうち、名寄せの為に匿名化データを提供しうるサービス提供システムを特定しうる。名寄せの為に匿名化データを提供しうるサービス提供システムの特定は、例えばサービス提供システムA〜D(211〜214)のうちのいずれを、匿名化データを提供するためのシステムであるかを名寄せシステム(221)とサービス提供システムとの間で取り決めておくことによって行われうる。なお、本フローチャートを説明する上で、便宜的に、サービス提供システムA〜D(211〜214)の全てがユーザ許可要求を処理できるシステムであるとする。
ステップ1006において、名寄せシステム(221)は、ステップ1004でのユーザ許可要求(すなわち、今回のユーザ許可)にのみ有効な値(例えば、ソルト)を生成する。当該値は、ユーザ許可要求が異なる毎に、異なる値となるように生成されるものである。
ステップ1007において、名寄せシステム(221)は、ユーザ許可要求及び上記値、並びに、ユーザ許可要求を求めるユーザに関連付けられた匿名化された識別番号(例えば、UUID)を、ステップ1004で特定したサービス提供システムA(211)に送信する。また、名寄せシステム(221)は、ユーザ許可要求、上記値及び上記匿名化された識別番号(匿名化ID)とともに、任意的に名寄せの為に匿名化データを提供しうるサービス提供システムの証明書(公開鍵のみを含む)をサービス提供システムA(211)に送信しうる。なお、本フローチャートを説明する上で、便宜的に、データ提供エンティティ(201)がユーザ許可要求の許可を判断するユーザに関連付けられているシステムであるとする。
ステップ1008において、サービス提供システムA(211)は、識別情報と匿名化された識別番号とのマッピング・テーブル(図14の記憶手段(1408)を参照)を用いて、上記匿名化された識別番号から、匿名化されていない元の識別番号を特定する。
ステップ1009において、サービス提供システムA(211)は、ステップ1008で特定された識別番号を管理するデータ提供エンティティ(201)に、ステップ1007のユーザ許可要求を送信する。データ提供エンティティ(201)は、上記ユーザ許可要求を受信することに応じて、データ提供エンティティ(201)のユーザ(以下、データ提供者ともいう)に上記ユーザ許可要求の内容を例えば画面上に表示する。また、データ提供エンティティ(201)は、データ提供者が上記表示された以外の許可条件を追加したり又は許可条件を修正したりすることを可能にするユーザ・インタフェースを画面上に表示しうる。データ提供エンティティ(201)は、データ提供者が上記ユーザ許可要求を承認したか又は承認しなかったかを示す結果データをサービス提供システムA(211)に送信する。
ステップ1010において、サービス提供システムA(211)は、上記結果データが上記ユーザ許可要求を承認したことを示しているかどうかを判断する。サービス提供システムA(211)は、上記結果データが承認したことを示していることに応じて、処理をステップ1011に進める。一方、サービス提供システムA(211)は、上記結果データが承認されなかったことを示していることに応じて、処理をステップ1012に進める。
ステップ1011において、サービス提供システムA(211)は、ステップ1007で受信したサービス提供システムそれぞれの証明書又は第三者機関(209)から取得したサービス提供システムそれぞれの証明書中から、サービス提供システムそれぞれの公開鍵を取得する。
ステップ1012において、サービス提供システムA(211)は、承認が得られたことを示していることに応じて、承認が得られなかった旨の通知を名寄せシステム(221)に送信する。サービス提供システムA(211)は、当該通知の送信に応じて、処理を終了ステップ1032に進める。
ステップ1013において、サービス提供システムA(211)は、ステップ1008で特定された識別番号、上記受信した値及び上記許可条件を有するトークンを生成する。
ステップ1014において、サービス提供システムA(211)は、ステップ1013で生成したトークンを、ステップ1011で取得したサービス提供システムそれぞれの各公開鍵で暗号化し、当該暗号化されたトークンのセットを生成する。
ステップ1015において、サービス提供システムA(211)は、上記暗号化されたトークンのセットを名寄せシステム(221)に送信する。
ステップ1016において、名寄せシステム(221)は、当該暗号化されたトークンのセットを受信する。
ステップ1017において、名寄せシステム(221)は、ステップ1005で特定されたサービス提供システムそれぞれに、上記暗号化されたトークンのセットのうちの一つの暗号化トークンを送信する。名寄せシステム(221)は、上記暗号化されたトークン中の、例えば(対象であるサービス提供システム):(対象トークン)のようなペアのキー=値(KEY=VALUE)の情報を読み取り、当該暗号化されたトークンをどのサービス提供システムに送信するかを決定しうる。
ステップ1018において、サービス提供システムA〜D(211〜214)それぞれは、ステップ1017で送信された上記一つの暗号化されたトークンを受信する。
ステップ1019において、サービス提供システムA〜D(211〜214)それぞれは、当該暗号化されたトークンを、当該サービス提供システム自身の秘密鍵で復号する。
ステップ1020において、サービス提供システムA〜D(211〜214)それぞれは、当該復号したトークン中のユーザ許可条件を評価する。
ステップ1021において、サービス提供システムA〜D(211〜214)それぞれは、上記ユーザ許可条件を評価した結果が承認できるものであることに応じて、処理をステップ1022に進める。一方、サービス提供システムA〜D(211〜214)それぞれは、上記ユーザ許可条件を評価した結果が承認できるものでないことに応じて、処理をステップ1017に戻す。
ステップ1022において、サービス提供システムA〜D(211〜214)それぞれは、ステップ1019で復号したトークンをサービス提供システムA〜D(211〜214)それぞれがアクセス可能な記憶媒体中に格納する。当該トークン格納は、次回以降のユーザ許可条件の評価に用いる為である。
ステップ1023において、サービス提供システムA〜D(211〜214)それぞれは、上記復号したトークン中の識別番号に関連付けられた匿名化データを名寄せシステム(221)に送信する。
ステップ1024において、名寄せシステム(221)は、サービス提供システムA〜D(211〜214)それぞれからの匿名化データを受信する。
ステップ1025において、名寄せシステム(221)は、上記受信した匿名化データのうちから、上記トークンによって特定される匿名化データを名寄せし、名寄せデータを得る。
ステップ1026〜1031それぞれは図9に示すステップ909〜914に対応するので、ステップ1026〜1031についてはステップ909〜914についての上記説明を参照されたい。
図11A〜図11Cは、本発明の実施態様に従い、名寄せデータを取得する処理のためのフローチャートを示す。当該フローチャートは、図5A〜図5Dに示す第3の実施態様と類似又は重複するステップを含むものであるが、当該第3の実施態様に記載の各ステップの全てを網羅するものではなく又は当該第3の実施態様に記載の各ステップを排除するものでもないことに留意されたい。また、当該フローチャートを説明するために、便宜的に、図5Aに示すデータ提供エンティティ(501〜504)、サービス提供システムA〜D(511〜514)、名寄せシステム(521)及びユーザ・システム(531)(以上が、コンピュータ・システム(500)に含まれている)、並びに、第三者機関(509)を用いて説明する。
ステップ1101において、ユーザ・システム(531)又は名寄せシステム(521)は、名寄せデータを取得する上記処理を開始する。
ステップ1102において、ユーザ・システム(531)は、データの取得要求が対話式のデータ取得を求めるものであるかどうかを判断しうる。データの取得要求が対話式のデータ取得で行うかどうかをユーザが選択可能にすることによって、ユーザ・システム(531)がデータの取得要求が対話式のデータ取得を求めるものであるかどうかを判断できるようにしてもよい。または、対話式のデータ取得である場合とそうでない場合とでユーザ・システム(531)の要求メニューを異なるようにして、ユーザ・システム(531)がデータの取得要求が対話式のデータ取得を求めるものであるかどうかを判断できるようにしてもよい。そして、ユーザ・システム(531)は、名寄せシステム(521)に対して、データの取得要求が対話式のデータ取得であるかそうでないかを通知しうる。上記取得要求が対話式のデータ取得を求めるものであることに応じて、ユーザ・システム(531)は処理をステップ1103に進める。一方、上記取得要求が対話式のデータ取得を求めるものでないことに応じて、ユーザ・システム(531)は処理を図9に示すステップ903又は図10Aに示すステップ1003に進める。代替的には、ステップ1102において、名寄せシステム(521)が、上記取得要求が対話式のデータ取得を求めるものであるかどうかを判断しうる。当該取得要求が対話式のデータ取得を求めるかどうかの判断は、例えば、名寄せシステム(521)とユーザ・システム(531)とのデータ提供契約においての取り決め事項を参照することによって行われうる。当該取り決め事項は、データの取得要求が対話式のデータ取得であるかどうかのデータを含みうる。上記取得要求は、例えばユーザ・システム(531)が名寄せシステム(521)に名寄せデータ又は集計データの送信を要求する送信要求でありうる。上記取得要求が対話式のデータ取得を求めるものであることに応じて、名寄せシステム(521)は処理をステップ1103に進める。一方、上記取得要求が対話式のデータ取得を求めるものでないことに応じて、名寄せシステム(521)は処理を図9に示すステップ903又は図10Aに示すステップ1003に進める。
ステップ1103において、ユーザ・システム(531)は、当該自身がデータ提供者(すなわち、データ提供エンティティ)であるかどうかを判断しうる。ユーザ・システム(531)は、当該自身がデータ提供者であるかどうかをユーザが選択可能することによって、ユーザ・システム(531)が当該自身がデータ提供者であるかどうかを判断できるようにしてもよい。または、当該自身がデータ提供者である場合とそうでない場合とでユーザ・システム(531)の要求メニューを異なるようにして、ユーザ・システム(531)が当該自身がデータ提供者であるかどうかを判断できるようにしてもよい。ユーザ・システム(531)は当該自身がデータ提供エンティティであることに応じて、処理をステップ1104に進める。一方、ユーザ・システム(531)は当該自身がデータ提供エンティティでないことに応じて、処理をステップ1109に進める。代替的には、ステップ1103において、名寄せシステム(521)が、ユーザ・システム(531)がデータ提供エンティティと同一であるかどうかを判断しうる。ユーザ・システム(531)がデータ提供エンティティと同一であることに応じて、名寄せシステム(521)は処理をステップ1104に進める。一方、名寄せシステム(521)は、ユーザ・システム(531)がデータ提供エンティティでないことに応じて、処理をステップ1109に進める。
ステップ1104において、ユーザ・システム(531)は、ユーザ・システム(531)がデータ提供エンティティと同一であることに応じて、当該ユーザ・システム(531)自身の識別番号(データを管理するための識別番号でもある)に関連付けられているサービス提供システムA(511)に、匿名化IDを問い合わせる。サービス提供システムA(511)は、上記問い合わせに応じて、匿名化IDをユーザ・システム(531)に返す。ユーザ・システム(531)は、当該サービス提供システムA(511)から匿名化IDを受信する。
ステップ1105において、ユーザ・システム(531)は、名寄せデータ又は収集データの送信を依頼する名寄せシステムを特定する。例えば、図5Aに示す名寄せシステム(521)が特定されたとする。ユーザ・システム(531)は、当該名寄せシステム(521)に、匿名化された識別番号及びユーザ許可条件、並びに任意的に、サービス提供システムA(511)を特定する情報を名寄せシステム(521)に送信する。
ステップ1106において、名寄せシステム(521)は、複数のサービス提供システムA〜D(511〜514)のうち、ユーザ許可要求を処理することが可能なサービス提供システムを特定する。なお、本フローチャートを説明する上で、便宜的に、サービス提供システムA(511)がユーザ許可要求を処理できるシステムであるとする。
ステップ1107において、名寄せシステム(521)は、今回のトークンの生成要求にのみ有効な値(例えば、ソルト)を生成する。当該値は、トークンの生成要求毎に、異なる値となるように生成されるものである。
ステップ1108において、名寄せシステム(521)は、上記トークンの生成要求とともに、ステップ1107で生成された値、並びに、上記匿名化された識別番号、及び任意的に、ユーザ許可条件、及び任意的に、複数のサービス提供システムのうちの匿名化データの取得対象であるサービス提供システムの証明書(公開鍵のみを含む)、及び任意的に、名寄せシステム(521)に関連付けられた固有のID(例えば、当該名寄せシステム(521)のMACアドレス又は製造番号)をサービス提供システムA(511)に送信する。
ステップ1109において、ユーザ・システム(531)は、ユーザ・システム(531)がデータ提供エンティティでないことに応じて、特定の収集されたテータに対して、ユーザ・システム(531)のユーザが名寄せシステム(521)に名寄せデータの送信を依頼する送信要求を当該名寄せシステム(521)に送信する。
ステップ1110〜1116それぞれは図10Aに示すステップ1004〜1010に対応するので、ステップ1110〜1116についてはステップ1004〜1010についての上記説明を参照されたい。
ステップ1117において、サービス提供システムA(511)は、名寄せシステム(521)からの証明書中それぞれから、サービス提供システムそれぞれの公開鍵を取得する。
ステップ1118は図10Aに示すステップ1012に対応するので、ステップ1118についてはステップ1012についての上記説明を参照されたい。
ステップ1119において、サービス提供システムA(511)は、識別番号(匿名化されていない)及び上記値、並びに任意的に、ユーザ許可条件を有するトークンを生成する。
ステップ1120〜1138それぞれは図10Aに示すステップ1014〜1032に対応するので、ステップ1120〜1138についてはステップ1014〜1032についての上記説明を参照されたい。
図12A〜図12Cは、本発明の実施態様に従い、名寄せデータを取得する処理のためのフローチャートを示す。なお、当該フローチャートは、図6A〜図6Cに示す第4の実施態様と類似又は重複するステップを含むものであるが、当該第4の実施態様に記載の各ステップの全てを網羅するものではなく又は当該第4の実施態様に記載の各ステップを排除するものでもないことに留意されたい。また、当該フローチャートを説明するために、便宜的に、図6Aに示すデータ提供エンティティ(601〜604)、サービス提供システムA〜D(611〜614)、名寄せシステム(621)及びユーザ・システム(631)(以上が、コンピュータ・システム(600)に含まれている)、並びに、第三者機関(609)を用いて説明する。
ステップ1201において、ユーザ・システム(631)又は名寄せシステム(621)は、名寄せデータを取得する上記処理を開始する。
ステップ1202及び1203それぞれは図11Aに示すステップ1102及び1103に対応するので、ステップ1202及び1203についてはステップ1102及び1103についての上記説明を参照されたい。
但し、上記ステップ1203において、ユーザ・システム(631)又は名寄せシステム(621)は、ユーザ・システム(631)がデータ提供エンティティと同一であることに応じて、処理をステップ1204(証明書より各サービス提供システムの公開鍵を取得)に進めるのに対して、上記ステップ1103において、ユーザ・システム(531)又は名寄せシステム(521)は、処理をステップ1104(匿名化IDをサービス提供から取得)に進める点で異なる。
ステップ1204において、ユーザ・システム(631)は、ユーザ・システム(631)がデータ提供エンティティと同一であることに応じて、自己が保持している証明書中それぞれから、サービス提供システムそれぞれの公開鍵を取得する。ユーザ・システム(631)は、上記証明書を、例えば第三者機関(609)から入手可能である。
ステップ1205において、ユーザ・システム(631)は、識別番号(匿名化されていない)及び名寄せデータ又は集計データを要求する送信要求毎に異なる値(例えば、ソルト)、並びに任意的に、ユーザ許可条件を有するトークンを生成する。
ステップ1206において、ユーザ・システム(631)は、ステップ1205で生成したトークンを、ステップ1204で取得したサービス提供システムそれぞれの公開鍵で暗号化して、当該暗号化されたトークンのセットを生成する。
ステップ1207において、ユーザ・システム(631)は、当該暗号化されたトークンのセットを名寄せシステム(621)に送信する。
ステップ1208〜1215それぞれは図11A及び図11Bに示すステップ1109〜1116に対応するので、ステップ1208〜1215についてはステップ1109〜1116についての上記説明を参照されたい。
ステップ1216において、サービス提供システムA(511)は、名寄せシステム(621)からの証明書中それぞれから、サービス提供システムそれぞれの公開鍵を取得する。
ステップ1217は図11Bに示すステップ1118に対応するので、ステップ1217についてはステップ1118についての上記説明を参照されたい。
ステップ1221〜1237それぞれは図11Cに示すステップ1122〜1138に対応するので、ステップ1221〜1237についてはステップ1122〜1138についての上記説明を参照されたい。
図13は、図1に従うハードウェア構成を好ましくは備えており、本発明の実施態様に従う名寄せシステムの機能ブロック図の一例を示した図である。
名寄せのためのコンピュータ・システム(1300)は、データ提供エンティティ1〜n(1301〜1306)、1又は複数のデータ提供エンティティにネットワークを介して接続されたサービス提供システム1〜n(1311〜1314)、複数のサービス提供システムにネットワークを介して接続された名寄せシステム(1321)、及び、名寄せシステムにネットワークを介して接続されたユーザ・システム(1331)を備えているとする。
名寄せのためのコンピュータ・システム(1300)は、データ提供エンティティ1〜n(1301〜1306)、1又は複数のデータ提供エンティティにネットワークを介して接続されたサービス提供システム1〜n(1311〜1314)、複数のサービス提供システムにネットワークを介して接続された名寄せシステム(1321)、及び、名寄せシステムにネットワークを介して接続されたユーザ・システム(1331)を備えているとする。
名寄せシステム(1321)は、ソルト生成手段(1322)、送信/受信手段(1323)、名寄せ手段(1324)、及び集計手段(1325)を備えている。また、名寄せシステム(1321)は、匿名化データを記憶するための記憶手段(1326)、及び名寄せデータ及び/又は集計データを記憶するための記憶手段(1327)を備えているか、又は、当該記憶手段(1326,1327)にケーブルを介して又はネットワークを介してアクセス可能である。
ソルト生成手段(1322)は、データの送信を要求する送信要求毎に異なる値を生成しうる。また、ソルト生成手段(1322)は、複数のサービス提供システムそれぞれに名寄せすることのユーザ許可要求毎に異なる値を生成しうる。
送信/受信手段(1323)は、図3B〜図3C、図4C〜図4D、図5C〜図5D、図6B〜図6C、及び図7C〜図7D中の各名寄せシステム(321、421、521、621、及び721)について示されている各種データ(例えば、匿名化データ、名寄せデータ及び集計データ)、ソルト、ハッシュ値、及び各種証明書を、サービス提供システム1〜n(1311〜1314)又はユーザ・システム(1331)との間で送受信しうる。
名寄せ手段(1324)は、複数のサービス提供システムそれぞれから匿名化データを受信して、当該受信した匿名化データを名寄せし、名寄せデータを取得する。当該名寄せは、例えば、複数のサービス提供システムそれぞれから受信した匿名化データのうちから、ハッシュ値によって特定される匿名化データを名寄せすること、又は、トークンによって特定される匿名化データを名寄せすることによって行われうる。
集計手段(1325)は、名寄せデータを任意の集計方法を使用して集計し、集計データを生成する。
記憶手段(1326)は、複数のサービス提供システム1〜n(1311〜1314)それぞれから送信された匿名化データを記憶する。記憶手段(1326)は、1又は複数の物理媒体である記憶装置から構成されうる。
記憶手段(1327)は、名寄せ手段(1324)で取得した名寄せデータ及び/又は集計手段(1325)で生成した集計データを記憶する。記憶手段(1327)は、1又は複数の物理媒体である記憶装置から構成されうる。
記憶手段(1326)と記憶手段(1327)は、1つの物理的な記憶媒体(例えば、図1の記憶媒体(108))で実現されてもよい。
図14は、図1に従うハードウェア構成を好ましくは備えており、本発明の実施態様に従うサービス提供システムの機能ブロック図の一例を示した図である。
サービス提供システム1(1311)は、ハッシュ化手段(1401)、送信/受信手段(1402)、匿名化手段(1403)、暗号化/復号手段(1404)、トークン生成手段(1405)、及びトークン評価手段(1406)を備えている。また、サービス提供システム1(1311)は、匿名化データを記憶するための記憶手段(1407)、並びに、識別情報及び/又は匿名化された識別番号(匿名化ID)、及び/又はそれらのマッピング・テーブルを記憶するための記憶手段(1408)を備えているか、又は、当該記憶手段(1407,1408)にケーブルを介して又はネットワークを介してアクセス可能である。
サービス提供システム1(1311)は、ハッシュ化手段(1401)、送信/受信手段(1402)、匿名化手段(1403)、暗号化/復号手段(1404)、トークン生成手段(1405)、及びトークン評価手段(1406)を備えている。また、サービス提供システム1(1311)は、匿名化データを記憶するための記憶手段(1407)、並びに、識別情報及び/又は匿名化された識別番号(匿名化ID)、及び/又はそれらのマッピング・テーブルを記憶するための記憶手段(1408)を備えているか、又は、当該記憶手段(1407,1408)にケーブルを介して又はネットワークを介してアクセス可能である。
ハッシュ化手段(1401)は、識別番号(例えば、UUID)をソルトでハッシュ化してハッシュ値を生成する。
送信/受信手段(1402)は、図3B〜図3C、図4C〜図4D、図5C〜図5D、図6B〜図6C、及び図7C〜図7D中の各サービス提供システム(311〜314、411〜414、511〜514、611〜614、及び711〜714)について示されている各種データ(例えば、名寄せ対象のデータ、匿名化データ)、ソルト、ハッシュ値、トークン、又は各種証明書を、データ提供エンティティ1〜n(1301〜1306)又は名寄せシステム(1321)との間で送受信しうる。
匿名化手段(1403)は、データ提供エンティティ1〜n(1301〜1306)から収集したデータを匿名化する。
暗号化/復号手段(1404)は、各種データ(例えば、匿名化データ)を暗号化又は復号する。また、トークン生成手段(1405)によって生成されたトークンを暗号化して、当該暗号化されたトークンを生成する。
トークン生成手段(1405)は、識別番号及び複数のサービス提供システムそれぞれに名寄せすることのユーザ許可要求毎に異なる値、並びに任意的に、ユーザ許可条件を有するトークンを生成する。
トークン評価手段(1406)は、トークン中のユーザ許可条件を評価する。また、トークン評価手段(1406)は、トークン同士が同一であるかどうかを判断する。
記憶手段(1407)は、匿名化手段(1403)によって匿名化された匿名化データを記憶する。
記憶手段(1408)は、識別情報及び/又は匿名化された識別番号(匿名化ID)、及び/又はそれらのマッピング・テーブルを記憶する。
記憶手段(1407)と記憶手段(1408)とは、1つの物理的な記憶媒体(例えば、図1の記憶媒体(108))で実現されてもよい。
図15は、図1に従うハードウェア構成を好ましくは備えており、本発明の実施態様に従うユーザ・システムの機能ブロック図の一例を示した図である。
ユーザ・システム(1331)は、データ送信要求手段(1501)、送信/受信手段(1502)、ハッシュ化手段(1503)、暗号化/復号手段(1504)、及びトークン生成手段(1505)を備えている。また、ユーザ・システム(1331)は、名寄せデータ及び/又は集計データを記憶するための記憶手段(1506)を備えているか、又は、当該記憶手段(1506)にケーブルを介して又はネットワークを介してアクセス可能である。
ユーザ・システム(1331)は、データ送信要求手段(1501)、送信/受信手段(1502)、ハッシュ化手段(1503)、暗号化/復号手段(1504)、及びトークン生成手段(1505)を備えている。また、ユーザ・システム(1331)は、名寄せデータ及び/又は集計データを記憶するための記憶手段(1506)を備えているか、又は、当該記憶手段(1506)にケーブルを介して又はネットワークを介してアクセス可能である。
データ送信要求手段(1501)は、名寄せデータ又は集計データの送信を要求する送信要求を名寄せシステム(1321)に送信する。
送信/受信手段(1502)は、図3B〜図3C、図4C〜図4D、図5C〜図5D、図6B〜図6C、及び図7C〜図7D中の各ユーザ・システム(331、431、531、631、及び731)について示されている各種データ(例えば、名寄せデータ、集計データ)、暗号化されたトークン、又はハッシュ値を、名寄せシステム(1321)との間で送受信しうる。
ハッシュ化手段(1503)は、識別番号(例えば、UUID)をソルトでハッシュ化してハッシュ値を生成する。
暗号化/復号手段(1504)は、暗号化された名寄せデータ又は集計データを復号する。また、トークン生成手段(1505)によって生成されたトークンを暗号化して、当該暗号化されたトークンを生成する。
トークン生成手段(1505)は、識別番号及びデータを要求する送信要求毎に異なる値、並びに任意的に、ユーザ許可条件を有するトークンを生成する。
記憶手段(1506)は、名寄せデータ及び/又は集計データを記憶する。
図16は、図1に従うハードウェア構成を好ましくは備えており、本発明の実施態様に従うデータ提供エンティティの機能ブロック図の一例を示した図である。
データ提供エンティティ1(1301)は、データ収集手段(1601)、送信/受信手段(1602)、ユーザ許可条件入力手段(1603)、及び暗号化/復号手段(1604)を備えている。また、データ提供エンティティ1(1301)は、サービス提供システム1(1311)に提供するためのデータ及び識別情報を記憶するための記憶手段(1605)を備えているか、又は、当該記憶手段(1605)にケーブルを介して又はネットワークを介してアクセス可能である。
データ提供エンティティ1(1301)は、データ収集手段(1601)、送信/受信手段(1602)、ユーザ許可条件入力手段(1603)、及び暗号化/復号手段(1604)を備えている。また、データ提供エンティティ1(1301)は、サービス提供システム1(1311)に提供するためのデータ及び識別情報を記憶するための記憶手段(1605)を備えているか、又は、当該記憶手段(1605)にケーブルを介して又はネットワークを介してアクセス可能である。
データ収集手段(1601)は、サービス提供システム1(1311)に提供するためのデータを収集し、当該収集したデータを記憶手段(1605)に格納する。
送信/受信手段(1602)は、図3B〜図3C、図4C〜図4D、図5C〜図5D、図6B〜図6C、及び図7C〜図7D中の各データ提供エンティティ(301〜304、401〜404、501〜504、601〜604、及び701〜704)について示されている各種データ(例えば、名寄せ対象のオリジナル・データ)を、サービス提供システム1(1311)との間で送受信しうる。詳細には、送信/受信手段(1602)は、サービス提供システム1(1311)に提供するためのデータを例えば当該サービス提供システム1(1311)に備えられた例えば周辺機器から受信し、且つ、記憶手段(1605)に格納されたデータをサービス提供システム1(1311)に送信する。
ユーザ許可条件入力手段(1603)は、データ提供エンティティ1(1301)のユーザに対して、ユーザ許可条件の承認を求め、また必要に応じて、追加のユーザ許可条件を入力することを可能にする。
暗号化/復号手段(1604)は、サービス提供システム1(1311)に提供するためのデータを暗号化する。
記憶手段(1605)は、サービス提供システム1(1311)に提供するためのデータ及び識別情報を記憶する。
図17〜図19はそれぞれ、本発明の実施態様に従い、名寄せデータを取得する処理の実例を示す。
図17は、事故診断サービス提供会社(1721)が、各種データ提供エンティティ(1701〜1703)からの名寄せデータを取得し、事故原因の特定、事故の起き易い状況の解析、又は運転中の携帯電話操作との関連性などの情報を提供する例を示す。
データ提供者Xは、第三者機関(1709)より、識別ID(UUID)の発行を受けているとする。データ提供者Xは、データ提供エンティティである車搭載機(1701)、カーナビ(1702)、及び携帯電話(1703)を所有しているとする。
データ提供者Xは、車ベンダーのサーバ・システム(サービス提供システムである)(以下、単に、「車ベンダー」という)(1711)と、データ提供者Xの所有する車搭電子制御ユニット(1701)から、運転データ(例えば、運転操作)、位置、速度情報、給油などの各種情報を収集し且つ当該収集した各種情報を他に提供してもよい旨の契約を、識別IDを使用して締結しているとする。車搭電子制御ユニット(1701)は、当該契約に基づいて、車ベンダー(1711)に、上記各種情報を定期的に若しくは任意の時間に、又は車ベンダー(1711)からのデータ送信要求に応じて送信しているとする。
同様に、データ提供者Xは、カーナビ・ベンダーのサーバ・システム(サービス提供システムである)(以下、単に、「カーナビ・ベンダー」という)(1712)と、データ提供者Xの所有するカーナビ(1702)から、天気、渋滞情報、近辺の信号、緊急車両の情報、路車間情報などの各種情報を収集し且つ当該収集した各種情報を他に提供してもよい旨の契約を、識別IDを使用して締結しているとする。カーナビ(1702)は、当該契約に基づいて、カーナビ・ベンダー(1712)に、上記各種情報を定期的に若しくは任意の時間に、又はカーナビ・ベンダー(1712)からのデータ送信要求に応じて送信しているとする。
同様に、データ提供者Xは、携帯電話ベンダーのサーバ・システム(サービス提供システムである)(以下、単に、「携帯電話ベンダー」という)(1713)と、データ提供者Xの所有する携帯電話(1703)から、操作記録、加速度情報、位置情報などの各種情報を収集し且つ当該収集した各種情報を他に提供してもよい旨の契約を、識別IDを使用して締結しているとする。携帯電話(1703)は、当該契約に基づいて、携帯電話ベンダー(1713)に、上記各種情報を定期的に若しくは任意の時間に、又は携帯電話ベンダー(1713)からのデータ送信要求に応じて送信しているとする。
事故診断サービス提供会社(名寄せシステムである)(1721)は、車ベンダー(1711)、カーナビ・ベンダー(1712)及び携帯電話ベンダー(1713)それぞれと、匿名化データを収集且つ当該収集した匿名化データ又はそれを集計した集計データを他に提供してもよい旨の契約を締結しているとする。事故診断サービス提供会社(1721)は、複数のデータ提供者との契約により収集した情報を使用して、例えば、車1台当たりの各種情報、例えば平均運転時間若しくは距離、天気と運転との相関関係(例えば、日時若しくは道単位で)又はカーナビの使用状態を集計しており、また、当該集計サービスを提供しているとする。また、事故診断サービス提供会社(1721)はまた、複数のデータ提供者との契約により収集した情報を使用して、事故診断サービスを提供しているとする。
保険会社(ユーザ・システムである)(1731)は、事故診断サービス提供会社(1721)と、名寄せデータ又は集計データの提供をする旨の契約を締結しているとする。
保険会社(1731)は、運転データよりデータ提供者Xが車事故を起こしたことを知った。
保険会社(1731)は、データ提供者Xの事故データに対する解析要求を事故診断サービス提供会社(1721)に送信する。代替的には、保険会社(1731)が事故データに対して解析をすることを事故診断サービス提供会社(1721)に事前に登録することによって、事故診断サービス提供会社(1721)が自動で事故データに対する解析を行ってもよい。
事故診断サービス提供会社(1721)は、車ベンダー(1711)からのデータをカーナビ・ベンダー(1712)及び携帯電話ベンダー(1713)それぞれのデータと名寄せをする為のユーザ許可要求、及び当該許可要求にのみ有効なソルトを、当該ユーザ許可要求を処理することが可能な車ベンダー(1711)に送信する。上記ユーザ許可要求は、車ベンダー(1711)からのデータをカーナビ・ベンダー(1712)及び携帯電話ベンダー(1713)それぞれのデータと名寄せをする旨の要求でありうる。また、事故診断サービス提供会社(1721)は、データ提供者Xの匿名化ID、並びに、カーナビ・ベンダー(1712)及び携帯電話ベンダー(1713)の各証明書(公開鍵を含む)を車ベンダー(1711)に送信する。
車ベンダー(1711)は、受信した匿名化IDからUUIDを特定する。そして、車ベンダー(1711)は、上記ユーザ許可要求を当該UUIDに関連付けられたデータ提供者X(例えば、データ提供者Xの携帯電話)に送信する。データ提供者Xの携帯電話は、上記ユーザ許可要求を受信することに応じて、上記ユーザ許可要求を承認するかどうかのユーザ・インタフェースを表示する。データ提供者Xの携帯電話は、上記ユーザ許可要求が承認されることに応じて、当該承認された旨のメッセージを車ベンダー(1711)に送信する。一方、データ提供者Xの携帯電話は、上記ユーザ許可要求が承認されなかったことに応じて、当該承認されなかった旨のメッセージを車ベンダー(1711)に送信する。
車ベンダー(1711)は、上記UUID、上記許可条件及び上記ソルトからトークンを作成する。そして、車ベンダー(1711)は、任意的に、当該車ベンダー(1711)の公開鍵を上記証明書中から又は自身の証明書を格納した記憶媒体中にある証明書中から取得して、当該取得した公開鍵で上記トークンを暗号化しうる。車ベンダー(1711)は、カーナビ・ベンダー(1712)の公開鍵を上記証明書中から取得して、当該取得した公開鍵で上記トークンを暗号化する。同様に、車ベンダー(1711)は、携帯電話ベンダー(1713)の公開鍵を上記証明書中から取得して、当該取得した公開鍵で上記トークンを暗号化する。すなわち、車ベンダー(1711)は、車ベンダー(1711)の公開鍵で暗号化された暗号化トークン(以下、暗号化トークンAという)とカーナビ・ベンダー(1712)の公開鍵で暗号化された暗号化トークン(以下、暗号化トークンBという)と携帯電話ベンダー(1713)の公開鍵で暗号化された暗号化トークン(以下、暗号化トークンCという)とのセット(以下、「暗号化されたトークンのセット1」という)、又は、カーナビ・ベンダー(1712)の公開鍵で暗号化された暗号化トークン(以下、暗号化トークンBという)と携帯電話ベンダー(1713)の公開鍵で暗号化された暗号化トークン(以下、暗号化トークンCという)とのセット(以下、「暗号化されたトークンのセット2」という)を作成する。
車ベンダー(1711)は、上記暗号化されたトークンのセット1又は2を事故診断サービス提供会社(1721)に送信する。
事故診断サービス提供会社(1721)は、上記暗号化されたトークンのセット1を受信した場合には、当該セット1のうちの暗号化トークンAを車ベンダー(1711)に送信し、当該セット1のうちの暗号化トークンBをカーナビ・ベンダー(1712)に送信し、当該セット1のうちの暗号化トークンCを携帯電話ベンダー(1713)に送信しうる。また、事故診断サービス提供会社(1721)は、上記暗号化されたトークンのセット2を受信した場合には、当該セット2のうちの暗号化トークンBをカーナビ・ベンダー(1712)に送信し、当該セット2のうちの暗号化トークンCを携帯電話ベンダー(1713)に送信しうる。事故診断サービス提供会社(1721)は、当該暗号化されたトークンをIDとして管理する。事故診断サービス提供会社(1721)が上記暗号化トークンAを車ベンダー(1711)に送信する前者の態様の場合、車ベンダー(1711)は、すでに暗号化トークンAを事故診断サービス提供会社(1721)から受信しなくとも当該暗号化トークンAを有しているので、事故診断サービス提供会社(1721)が上記暗号化トークンAを車ベンダー(1711)に送信しない後者の態様の方が、暗号化されたトークンの処理として冗長でない点で有用である。
カーナビ・ベンダー(1712)は、上記暗号化されたトークンのセット1又は2のうちの上記暗号化トークンBを受信し、当該カーナビ・ベンダー(1712)の秘密鍵で当該受信した暗号化トークンBを復号して、トークンBを得る。同様に、携帯電話ベンダー(1713)は、上記暗号化されたトークンのセット1又は2のうちの上記暗号化トークンCを受信し、当該携帯電話ベンダー(1713)の秘密鍵で当該受信した暗号化トークンCを復号して、トークンCを得る。
同様に、車ベンダー(1711)は、トークンA中の許可条件を評価する。そして、車ベンダー(1711)は、当該許可条件が満たされることに応じて、UUIDによって特定されるデータ(車からの各種データ)を匿名化して、当該匿名化データを事故診断サービス提供会社(1721)にトークンAとともに送信する。カーナビ・ベンダー(1712)は、復号されたトークンB中の許可条件を評価する。そして、カーナビ・ベンダー(1712)は当該許可条件が満たされることに応じて、UUIDによって特定されるデータ(カーナビからの各種データ)を匿名化して、当該匿名化データを事故診断サービス提供会社(1721)にトークンBとともに送信する。同様に、携帯電話ベンダー(1713)は、復号されたトークンC中の許可条件を評価する。そして、携帯電話ベンダー(1713)は当該許可条件が満たされることに応じて、UUIDによって特定されるデータ(携帯電話からの各種データ)を匿名化して、当該匿名化データを事故診断サービス提供会社(1721)にトークンCとともに送信する。
事故診断サービス提供会社(1721)は、車ベンダー(1711)、カーナビ・ベンダー(1712)及び携帯電話ベンダー(1713)からの匿名化データを名寄せして集計し、集計データを作成する。当該集計データは、例えば、事故原因の特定、事故の起き易い状況の解析(例えば、天気、渋滞、若しくは経路との関係)、又は運転中の携帯電話操作との関連性などの情報を含みうる。
事故診断サービス提供会社(1721)は、上記集計データを保険会社(1731)に送信する。
保険会社(1731)は、上記集計データを利用して、データ提供者Xが起こした車事故についての保険金の計算に使用する。
図18は、健康診断サービス提供会社(1821)が、各種データ提供エンティティ(1801〜1804)からの名寄せデータを取得し、病院A(1811)での受診と病院B(1812)での受診の相関関係、傾向若しくは双方の受診記録による病気の診断、又は普段の運動記録と病気との関係の解析などの情報を提供する例を示す。
データ提供者Yは、第三者機関(1809)より、識別ID(UUID)の発行を受けているとする。データ提供者Yは、データ提供エンティティである歩数計(1804)(スマートフォンによるアプリにより実装されるもの又は携帯型の端末でありうる)を所有しているとする。
データ提供者Yは、病院Aのサーバ・システム(サービス提供システムである)(以下、単に、「病院A」という)(1811)と、データ提供者Yの病院A内での受診記録(例えば、データ提供エンティティ(1801)から収集されるデータ)を当該病院A(1811)が他に提供してもよい旨の契約を、識別IDを使用して締結しているとする。データ提供エンティティ(1801)は、当該契約に基づいて、病院A(1811)に、上記各種情報を定期的に若しくは任意の時間に、又は病院A(1811)からのデータ送信要求に応じて送信しているとする。
同様に、データ提供者Yは、病院Bのサーバ・システム(サービス提供システムである)(以下、単に、「病院B」という)(1812)と、データ提供者Yの病院B内での受診記録(例えば、データ提供エンティティ(1802)から収集されるデータ)を当該病院B(1812)が他に提供してもよい旨の契約を、識別IDを使用して締結しているとする。データ提供エンティティ(1802)は、当該契約に基づいて、病院B(1812)に、上記各種情報を定期的に若しくは任意の時間に、又は病院B(1812)からのデータ送信要求に応じて送信しているとする。
同様に、データ提供者Yは、スポーツジムのサーバ・システム(サービス提供システムである)(以下、単に、「スポーツジム」という)(1813)と、データ提供者Yのスポーツジム内での運動記録(例えば、データ提供エンティティ(1803)から収集されるデータ)を当該スポーツジム(1813)に提供し且つ他に提供してもよい旨の契約を、識別IDを使用して締結しているとする。データ提供エンティティ(1803)は、当該契約に基づいて、スポーツジム(1813)に、上記各種情報を定期的に若しくは任意の時間に、又はスポーツジム(1813)からのデータ送信要求に応じて送信しているとする。
同様に、データ提供者Yは、健康機器メーカーのサーバ・システム(サービス提供システムである)(以下、単に、「健康機器メーカー」という)(1814)と、データ提供者Yの所有する歩数計(1804)の運動記録を当該健康機器メーカー(1814)に提供し且つ他に提供してもよい旨の契約を、識別IDを使用して締結しているとする。データ提供エンティティ(1804)は、当該契約に基づいて、健康機器メーカー(1814)に、上記各種情報を定期的に若しくは任意の時間に、又は健康機器メーカー(1814)からのデータ送信要求に応じて送信しているとする。
健康診断サービス提供会社(名寄せシステムである)(1821)は、病院A(1811)、病院B(1812)、スポーツジム(1813)及び健康機器メーカー(1814)それぞれと、匿名化データを収集且つ当該収集した匿名化データ又はそれを集計した集計データを他に提供してもよい旨の契約を締結しているとする。健康診断サービス提供会社(1821)は、複数のデータ提供者との契約により収集した情報を使用して、病院Aでの受診と病院Bでの受診の相関関係、傾向若しくは双方の受診記録による病気の診断、又は普段の運動記録と病気との関係の解析などの情報を提供しているとする。また、健康診断サービス提供会社(1821)はまた、複数のデータ提供者との契約により収集した情報を使用して、健康診断サービスを提供しているとする。
病院Z(ユーザ・システムである)(1831)は、健康診断サービス提供会社(1821)と、ある疾病の患者に対して、運動、生活習慣、又は他の病気との関連などの統計記録を提供する旨の契約を締結しているとする。
病院Z(1831)は、健康診断サービス提供会社(1821)に対して、最新の統計データを要求する。代替的には、病院Z(1831)が統計データを収集することを健康診断サービス提供会社(1821)に事前に登録することによって、健康診断サービス提供会社(1821)が自動で統計データに対する解析を行ってもよい。
健康診断サービス提供会社(1821)は、データ提供者Yに関する情報の送信を要求する今回の送信要求にのみ有効なソルトを生成し、当該ソルトを上記送信要求とともに、病院A(1811)、病院B(1812)、スポーツジム(1813)及び健康機器メーカー(1814)それぞれに送信する。
病院A(1811)、病院B(1812)、スポーツジム(1813)及び健康機器メーカー(1814)それぞれは、上記送信要求を受信することに応じて、データ提供者YのUUIDを上記ソルトでハッシュ化し、ハッシュ値を生成する。病院A(1811)、病院B(1812)、スポーツジム(1813)及び健康機器メーカー(1814)それぞれは、上記UUIDを有するデータを匿名化して、匿名化データを生成し、当該匿名化データと上記ハッシュ値とのセットを健康診断サービス提供会社(1821)に送信する。
健康診断サービス提供会社(1821)は、病院A(1811)、病院B(1812)、スポーツジム(1813)及び健康機器メーカー(1814)それぞれから匿名化データと上記ハッシュ値とのセットを受信する。健康診断サービス提供会社(1821)は、複数のサービス提供システム(1811、1812、1813、及び1814)それぞれから受信した匿名化データのうちから、上記ハッシュ値によって特定される匿名化データを名寄せし、名寄せデータを得る。健康診断サービス提供会社(1821)は、当該名寄せデータについて、例えば次のような解析を行い、データ提供者Yに関する集計データを生成する。
−ある疾病を持つ人が、
・別の疾病を持つ割合、又は、別の疾病の既往歴からの相関;
・運動しているデータ、又は、毎日の歩く距離との相関;及び、
・年齢又はその他の情報との相関。
−運動データ又は歩行データから、上記ある疾病にかかる確率の算出。
−ある疾病を持つ人が、
・別の疾病を持つ割合、又は、別の疾病の既往歴からの相関;
・運動しているデータ、又は、毎日の歩く距離との相関;及び、
・年齢又はその他の情報との相関。
−運動データ又は歩行データから、上記ある疾病にかかる確率の算出。
健康診断サービス提供会社(1821)は、上記集計データを病院Z(1831)に送信する。
病院Z(1831)は上記集計データを受信し、患者Yに対して、他院での診察若しくは投薬状況、及び運動などを考慮した診断を提供することができる。
図19は、家電購買情報サービス提供会社(1921)が、各種データ提供エンティティ(1901〜1904)からの名寄せデータを取得し、家電Aと家電Bの両方を持っている家庭の割合若しくは相関関係、消費者の嗜好の把握、又はレコメンデーション・サービスなどの情報を提供する例を示す。
データ提供者Zは、第三者機関(1909)より、識別ID(UUID)の発行を受けているとする。データ提供者Zは、データ提供エンティティである家電A(1901)、家電B(1902)、インターネット・ショッピング端末(1903)、及び家庭内エネルギー管理システム(HEMS)(1904)を所有しているとする。
データ提供者Zは、家電メーカーAのサーバ・システム(サービス提供システムである)(以下、単に、「家電メーカーA」という)(1911)と、データ提供者Zの所有する家電A(1901)から、使用記録データ(例えば、視聴チャンネル、視聴時間、又は接続周辺機器などの各種情報)を収集し且つ当該収集した各種情報を他に提供してもよい旨の契約を、識別IDを使用して締結しているとする。家電A(1901)は、当該契約に基づいて、家電メーカーA(1911)に、上記使用記録データを定期的に若しくは任意の時間に、又は家電メーカーA(1911)からのデータ送信要求に応じて送信しているとする。
データ提供者Zは、家電メーカーBのサーバ・システム(サービス提供システムである)(以下、単に、「家電メーカーB」という)(1912)と、データ提供者Zの所有する家電B(1902)から、使用記録データ(例えば、設定温度、稼働時間、風量、消耗品の劣化度、クリーニング状況、冷暖房などの運転状況などの各種情報)を収集し且つ当該収集した各種情報を他に提供してもよい旨の契約を、識別IDを使用して締結しているとする。家電B(1902)は、当該契約に基づいて、家電メーカーB(1912)に、上記使用記録データを定期的に若しくは任意の時間に、又は家電メーカーB(1912)からのデータ送信要求に応じて送信しているとする。
データ提供者Zは、インターネット・ショップのサーバ・システム(サービス提供システムである)(以下、単に、「インターネット・ショップ」という)(1913)と、データ提供者Zの所有するインターネット・ショッピング端末(1903)から、使用記録データ(例えば、注文商品、注文金額、注文頻度、購買関心のあるカテゴリ、又は精算情報などの各種情報)を収集し且つ当該収集した各種情報を他に提供してもよい旨の契約を、識別IDを使用して締結しているとする。インターネット・ショッピング端末(1903)は、当該契約に基づいて、インターネット・ショップ(1913)に、上記使用記録データを定期的に若しくは任意の時間に、又はインターネット・ショップ(1913)からのデータ送信要求に応じて送信しているとする。
データ提供者Zは、電力会社のサーバ・システム(サービス提供システムである)(以下、単に、「電力会社」という)(1914)と、データ提供者Zの所有するHEMS(1904)から、使用記録データ(例えば、使用電力、蓄電量、売電量、時間帯における使用電力量、夜間発電量、どの家電をいつ使用しているかの情報などの各種情報)を収集し且つ当該収集した各種情報を他に提供してもよい旨の契約を、識別IDを使用して締結しているとする。HEMS(1904)は、当該契約に基づいて、電力会社(1914)に、上記使用記録データを定期的に若しくは任意の時間に、又は電力会社(1914)からのデータ送信要求に応じて送信しているとする。
家電購買情報サービス提供会社(名寄せシステムである)(1921)は、家電メーカーA(1911)、家電メーカーB(1912)、インターネット・ショップ(1913)及び電力会社(1914)それぞれと、匿名化データを収集且つ当該収集した匿名化データ又はそれを集計した集計データを他に提供してもよい旨の契約を締結しているとする。家電購買情報サービス提供会社(1921)は、複数のデータ提供者との契約により収集した情報を使用して、家電購買情報サービスを提供している。
家電販売店(ユーザ・システムである)(1931)は、家電購買情報サービス提供会社(1921)と、名寄せデータ又は集計データの提供をする旨の契約を締結しているとする。
家電販売店(1931)は、ある家電Rが、どこで、どのような消費者に対して販売活動をすればよいかについての情報を知りたいとする。
家電販売店(1931)は、家電Rを特定する情報とともに、当該家電Rについて上記知りたい情報の送信要求を家電購買情報サービス提供会社(1921)に送信する。
家電購買情報サービス提供会社(1921)は、家電Rに関する情報の送信を要求する今回の送信要求にのみ有効なソルトを生成し、当該ソルトを上記送信要求とともに、家電メーカーA(1911)、家電メーカーB(1912)、インターネット・ショップ(1913)及び電力会社(1914)それぞれに送信する。
家電メーカーA(1911)、家電メーカーB(1912)、インターネット・ショップ(1913)及び電力会社(1914)それぞれは、上記送信要求を受信することに応じて、データ提供者ZのUUIDを上記ソルトでハッシュ化し、ハッシュ値を生成する。同様にして、データ提供者Z以外のデータ提供者についても当該データ提供者のUUIDを上記ソルトでハッシュ化し、ハッシュ値を生成する。家電メーカーA(1911)、家電メーカーB(1912)、インターネット・ショップ(1913)及び電力会社(1914)それぞれは、上記データ提供者Z及びその他のデータ提供者の各UUIDを有する各データを匿名化して、各匿名化データを生成する。また、家電メーカーA(1911)、家電メーカーB(1912)、インターネット・ショップ(1913)及び電力会社(1914)それぞれは、当該匿名化データと当該匿名化データに関連付けられた上記ハッシュ値とのセットを家電購買情報サービス提供会社(1921)に送信する。
家電購買情報サービス提供会社(1921)は、家電メーカーA(1911)、家電メーカーB(1912)、インターネット・ショップ(1913)及び電力会社(1914)それぞれから匿名化データと上記ハッシュ値とのセットを受信する。家電購買情報サービス提供会社(1921)は、上記複数のサービス提供システム(1911、1912、1913、及び1914)それぞれから受信した匿名化データのうちから、上記ハッシュ値によって特定される匿名化データを名寄せし、名寄せデータを得る。家電メーカーA(1911)、家電メーカーB(1912)、インターネット・ショップ(1913)及び電力会社(1914)は、当該名寄せデータについて、例えば次のような解析を行い、家電Rに関する集計データを生成する。
−家電Rを持っている家庭の傾向又は相関関係:例えば、
・他にどのような家電を所有しているか;
・家電又は電力の使用形態;
・インターネットでの購買割合;及び、
・データ提供者の年代、規模、種類。
−家電Rを持っていない家庭の傾向又は相関関係(例えば、潜在的な購買層)。
−家電Rを持っている家庭の傾向又は相関関係:例えば、
・他にどのような家電を所有しているか;
・家電又は電力の使用形態;
・インターネットでの購買割合;及び、
・データ提供者の年代、規模、種類。
−家電Rを持っていない家庭の傾向又は相関関係(例えば、潜在的な購買層)。
家電購買情報サービス提供会社(1921)は、上記集計データを家電販売店(1931)に送信する。
家電販売店(1931)は上記集計データを受信し、例えば、家電Rの販促に適した広告を出したり若しくは家電Rの需要が高い購買層に対してダイレクトメールを送信したり、又は家電Rの適切な商品レイアウト(例えば他の商品との陳列の並び)をしたりすることができる。
Claims (17)
- 複数のサービス提供システムから送信された匿名化データを名寄せする方法であって、
名寄せシステムが、前記複数のサービス提供システムそれぞれに名寄せすることのユーザ許可要求と当該許可要求毎に異なる値とを前記ユーザ許可要求を処理できるシステムに送信するステップと、
前記ユーザが前記名寄せを許可することに応じて、前記ユーザ許可要求を受信したシステムが、前記ユーザに関連付けられた識別番号及び前記値を少なくとも有するトークンを作成するステップと、
前記ユーザ許可要求を受信したシステムが、前記トークンを暗号化するステップと、
前記ユーザ許可要求を受信したシステムが、前記暗号化されたトークンを前記名寄せシステムに送信するステップと、
前記名寄せシステムが、前記暗号化されたトークンを、名寄せ対象の匿名化データを格納している前記複数のサービス提供システムのうちの少なくとも1つに送信するステップと、
前記暗号化されたトークンを受信したサービス提供システムそれぞれが、前記暗号化されたトークンを復号するステップと、
前記暗号化されたトークンを受信したサービス提供システムそれぞれが、前記復号されたトークンに基づいて、前記匿名化データを前記名寄せシステムに送信してもよいかどうかを判断するステップと、
前記匿名化データを前記名寄せシステムに送信してもよいことに応じて、前記暗号化されたトークンを受信したサービス提供システムそれぞれが、前記匿名化データを前記名寄せシステムに送信するステップと、
前記名寄せシステムが、前記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、前記トークンによって特定される匿名化データを名寄せするステップと
を実行することを含む、前記方法。 - 前記トークンが、ユーザ許可条件をさらに有する、請求項1に記載の方法。
- 前記判断するステップが、前記トークン中の前記ユーザ許可条件に従って、前記匿名化データを前記名寄せシステムに送信してもよいかどうかを判断することを含む、請求項2に記載の方法。
- 前記方法が、
前記名寄せシステムが、前記名寄せされたデータ又は当該名寄せされたデータを集計した集計データを、当該名寄せされたデータ又は当該集計データを利用するユーザに関連付けられたユーザ・システムに送信するステップ
をさらに実行することを含む、請求項1に記載の方法。 - 前記名寄せシステムに送信される匿名化データが、前記名寄せされたデータ又は当該名寄せされたデータを集計した集計データを利用するユーザに関連付けられた公開鍵を使用して暗号化されている、請求項1に記載の方法。
- 前記方法が、
前記名寄せされたデータ又は前記集計データを利用するユーザに関連付けられたユーザ・システムが、前記暗号化された前記名寄せされたデータ又は前記集計データを、前記ユーザに関連付けられ且つ前記公開鍵に対応する秘密鍵を使用して復号するステップ
をさらに実行することを含む、請求項5に記載の方法。 - 前記匿名化データを前記名寄せシステムに送信するステップが、
前記複数のサービス提供システムそれぞれが、前記識別番号と前記値とに基づいてハッシュ値を生成するステップであって、前記複数のサービス提供システムそれぞれは同一のハッシュ化アルゴリズムを使用してハッシュ化を行う、前記生成するステップと、
前記複数のサービス提供システムそれぞれが、前記ハッシュ値と前記識別番号によって特定される匿名化データとのセットを前記名寄せシステムに送信するステップと、
を含み、
前記名寄せするステップが、
前記複数のサービス提供システムそれぞれから受信した受信した匿名化データのうちから、前記ハッシュ値によって特定される匿名化データを名寄せするステップ
を含む、
請求項1に記載の方法。 - 前記トークンを暗号化するステップが、
前記ユーザ許可要求を受信したシステムが、前記複数のサービス提供システムそれぞれの各公開鍵を使用して、前記トークンを暗号化し、当該暗号化されたトークンのセットを生成するステップ
を含み、
前記暗号化されたトークンを前記名寄せシステムに送信するステップが、
前記暗号化されたトークンの前記セットを前記名寄せシステムに送信するステップ
を含み、
前記暗号化されたトークンを復号するステップが、
前記暗号化されたトークンを受信したサービス提供システムが、前記暗号化されたトークンを、当該サービス提供システムの秘密鍵を使用して復号するステップ
を含む、請求項1に記載の方法。 - 前記暗号化されたトークンを前記複数のサービス提供システムのうちの少なくとも1つに送信するステップが、
前記暗号化されたトークンのセットのうちの一つを、当該暗号化されたトークンを暗号化した公開鍵に対応する秘密鍵を有するサービス提供システムに送信するステップ
を含む、請求項8に記載の方法。 - 前記ユーザ許可要求を処理できるシステムに送信するステップが、
前記複数のサービス提供システムの各証明書を、前記ユーザ許可要求を処理できるシステムにさらに送信するステップ
を含み、
前記暗号化されたトークンのセットを生成するステップが、
前記各証明書から前記複数のサービス提供システムの各公開鍵を取り出すステップと、
前記取り出した各公開鍵を使用して、前記トークンを暗号化するステップ
を含む、
請求項8に記載の方法。 - 前記暗号化されたトークンのセットを生成するステップが、
前記複数のサービス提供システムの各公開鍵を、公開鍵を管理する管理サーバから取り出すステップ
をさらに含み、
前記暗号化されたトークンのセットを生成するステップが、
前記取り出した公開鍵それぞれを使用して、前記トークンを暗号化するステップ
を含む、
請求項8に記載の方法。 - 複数のサービス提供システムから送信された匿名化データを名寄せする方法であって、
前記匿名化データを名寄せした名寄せされたデータ又は当該名寄せされたデータを集計した集計データを利用するユーザに関連付けられたユーザ・システムが、前記複数のサービス提供システムのうちの1つのサービス提供システムに、当該ユーザの匿名化された識別番号を問い合わせるステップと、
前記複数のサービス提供システムのうちの前記1つのサービス提供システムが、データの送信を要求する送信要求と前記問い合わせた識別番号とを名寄せシステムに送信するステップと、
前記名寄せシステムが、前記送信要求と、当該送信要求毎に異なる値と、前記識別番号とを前記複数のサービス提供システムの少なくとも1つに送信するステップと、
前記送信要求と当該送信要求にのみ有効な前記値と前記問い合わせた識別番号とを受信したサービス提供システムが、前記識別番号と前記値とに基づいてトークンを作成するステップと、
前記送信要求と当該送信要求にのみ有効な前記値と前記問い合わせた識別番号とを受信したサービス提供システムが、前記トークンを暗号化するステップと、
前記送信要求と当該送信要求にのみ有効な前記値と前記問い合わせた識別番号とを受信したサービス提供システムが、前記暗号化されたトークンを前記名寄せシステムに送信するステップと、
前記名寄せシステムが、前記暗号化されたトークンを、名寄せ対象のデータを格納している前記複数のサービス提供システムのうちの少なくとも1つに送信するステップと、
前記暗号化されたトークンを受信したサービス提供システムそれぞれが、前記暗号化されたトークンを復号するステップと、
前記暗号化されたトークンを受信したサービス提供システムそれぞれが、前記復号されたトークンに基づいて、前記匿名化データを前記名寄せシステムに送信してもよいかどうかを判断するステップと、
前記匿名化データを前記名寄せシステムに送信してもよいことに応じて、前記暗号化されたトークンを受信したサービス提供システムそれぞれが、前記匿名化データを前記名寄せシステムに送信するステップと、
前記名寄せシステムが、前記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、前記トークンによって特定される匿名化データを名寄せするステップと
を実行することを含む、前記方法。 - 複数のサービス提供システムから送信された匿名化データを名寄せする方法であって、
前記匿名化データを名寄せした名寄せされたデータ又は当該名寄せされたデータを集計した集計データを利用するユーザに関連付けられたユーザ・システムが、前記匿名化データを管理するための識別番号と前記匿名化データの送信を要求する送信要求毎に異なる値とを有するトークンを作成するステップと、
前記ユーザ・システムが、前記トークンを暗号化するステップと、
前記ユーザ・システムが、前記送信要求と前記暗号化されたトークンとを名寄せシステムに送信するステップと、
前記名寄せシステムが、前記暗号化されたトークンを、名寄せ対象の匿名化データを格納している前記複数のサービス提供システムのうちの少なくとも1つに送信するステップと、
前記暗号化されたトークンを受信したサービス提供システムそれぞれが、前記暗号化されたトークンを復号するステップと、
前記暗号化されたトークンを受信したサービス提供システムそれぞれが、前記復号されたトークンに基づいて、前記匿名化データを前記名寄せシステムに送信してもよいかどうかを判断するステップと、
前記匿名化データを前記名寄せシステムに送信してもよいことに応じて、前記暗号化されたトークンを受信したサービス提供システムそれぞれが、前記匿名化データを前記名寄せシステムに送信するステップと、
前記名寄せシステムが、前記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、前記トークンによって特定される匿名化データを名寄せするステップと
を実行することを含む、前記方法。 - 前記トークンを暗号化するステップが、
前記ユーザ・システムが、前記複数のサービス提供システムそれぞれの各公開鍵を使用して、前記トークンを暗号化し、当該暗号化されたトークンのセットを生成するステップ
を含み、
前記暗号化されたトークンを前記名寄せシステムに送信するステップが、
前記暗号化されたトークンの前記セットを前記名寄せシステムに送信するステップ
を含み、
前記暗号化されたトークンを復号するステップが、
前記暗号化されたトークンを受信したサービス提供システムが、前記暗号化されたトークンを、当該サービス提供システムの秘密鍵を使用して復号するステップ
を含む、請求項13に記載の方法。 - 名寄せのためのコンピュータ・システムであって、
複数のサービス提供システムと、
前記複数のサービス提供システムそれぞれから匿名化データを受信して、当該受信した匿名化データを名寄せするための名寄せシステムと
を備えており、
前記名寄せシステムが、前記複数のサービス提供システムそれぞれに名寄せすることのユーザ許可要求と当該許可要求毎に異なる値とを前記ユーザ許可要求を処理できるシステムに送信し、
前記ユーザが前記名寄せを許可することに応じて、前記ユーザ許可要求を受信したシステムが、前記ユーザに関連付けられた識別番号及び前記値を少なくとも有するトークンを作成し、
前記ユーザ許可要求を受信したシステムが、前記トークンを暗号化し、
前記ユーザ許可要求を受信したシステムが、前記暗号化されたトークンを前記名寄せシステムに送信し、
前記名寄せシステムが、前記暗号化されたトークンを、名寄せ対象の匿名化データを格納している前記複数のサービス提供システムのうちの少なくとも1つに送信し、
前記暗号化されたトークンを受信したサービス提供システムそれぞれが、前記暗号化されたトークンを復号し、
前記暗号化されたトークンを受信したサービス提供システムそれぞれが、前記復号されたトークンに基づいて、前記匿名化データを前記名寄せシステムに送信してもよいかどうかを判断し、
前記匿名化データを前記名寄せシステムに送信してもよいことに応じて、前記暗号化されたトークンを受信したサービス提供システムそれぞれが、前記匿名化データを前記名寄せシステムに送信し、
前記名寄せシステムが、前記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、前記トークンによって特定される匿名化データを名寄せする、
前記コンピュータ・システム。 - 名寄せのためのコンピュータ・システムであって、
複数のサービス提供システムと、
前記複数のサービス提供システムそれぞれからの匿名化データを受信して、当該受信した匿名化データを名寄せするための名寄せシステムと
前記名寄せされるデータを利用するユーザに関連付けられたユーザ・システムと
を備えており、
前記ユーザ・システムが、前記複数のサービス提供システムのうちの1つのサービス提供システムに、当該ユーザの匿名化された識別番号を問い合わせし、
前記複数のサービス提供システムのうちの前記1つのサービス提供システムが、データの送信を要求する送信要求と前記問い合わせた識別番号とを名寄せシステムに送信し、
前記名寄せシステムが、前記送信要求と、当該送信要求毎に異なる値と、前記識別番号とを前記複数のサービス提供システムの少なくとも1つに送信し、
前記送信要求と当該送信要求毎に異なる値と前記問い合わせた識別番号とを受信したサービス提供システムが、前記識別番号と前記値とに基づいてトークンを作成し、
前記送信要求と当該送信要求にのみ有効な前記値と前記問い合わせた識別番号とを受信したサービス提供システムが、前記トークンを暗号化し、
前記送信要求と当該送信要求にのみ有効な前記値と前記問い合わせた識別番号とを受信したサービス提供システムが、前記暗号化されたトークンを前記名寄せシステムに送信し、
前記名寄せシステムが、前記暗号化されたトークンを、名寄せ対象のデータを格納している前記複数のサービス提供システムのうちの少なくとも1つに送信し、
前記暗号化されたトークンを受信したサービス提供システムそれぞれが、前記暗号化されたトークンを復号し、
前記暗号化されたトークンを受信したサービス提供システムそれぞれが、前記復号されたトークンに基づいて、前記匿名化データを前記名寄せシステムに送信してもよいかどうかを判断し、
前記匿名化データを前記名寄せシステムに送信してもよいことに応じて、前記暗号化されたトークンを受信したサービス提供システムそれぞれが、前記匿名化データを前記名寄せシステムに送信し、
前記名寄せシステムが、前記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、前記トークンによって特定される匿名化データを名寄せする、
前記コンピュータ・システム。 - 名寄せのためのコンピュータ・システムであって、
複数のサービス提供システムと、
前記複数のサービス提供システムそれぞれからの匿名化データを受信して、当該受信した匿名化データを名寄せするための名寄せシステムと
前記名寄せされたデータ又は当該名寄せされたデータを集計した集計データを利用するユーザに関連付けられたユーザ・システムと
を備えており、
前記名寄せされたデータ又は前記集計データを利用するユーザに関連付けられたユーザ・システムが、前記匿名化データを管理するための識別番号と前記匿名化データの送信を要求する送信要求毎に異なる値とを有するトークンを作成し、
前記ユーザ・システムが、前記トークンを暗号化し、
前記ユーザ・システムが、前記送信要求と前記暗号化されたトークンとを前記名寄せシステムに送信し、
前記名寄せシステムが、前記暗号化されたトークンを、名寄せ対象の匿名化データを格納している前記複数のサービス提供システムのうちの少なくとも1つに送信し、
前記暗号化されたトークンを受信したサービス提供システムそれぞれが、前記暗号化されたトークンを復号し、
前記暗号化されたトークンを受信したサービス提供システムそれぞれが、前記復号されたトークンに基づいて、前記匿名化データを前記名寄せシステムに送信してもよいかどうかを判断し、
前記匿名化データを前記名寄せシステムに送信してもよいことに応じて、前記暗号化されたトークンを受信したサービス提供システムそれぞれが、前記匿名化データを前記名寄せシステムに送信し、
前記名寄せシステムが、前記複数のサービス提供システムそれぞれから受信した匿名化データのうちから、前記トークンによって特定される匿名化データを名寄せする、
前記コンピュータ・システム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013066377A JP5939580B2 (ja) | 2013-03-27 | 2013-03-27 | 匿名化データを名寄せするための名寄せシステム、並びに、その方法及びコンピュータ・プログラム |
| US14/227,254 US9497170B2 (en) | 2013-03-27 | 2014-03-27 | Computer assisted name-based aggregation system for identifying names of anonymized data |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013066377A JP5939580B2 (ja) | 2013-03-27 | 2013-03-27 | 匿名化データを名寄せするための名寄せシステム、並びに、その方法及びコンピュータ・プログラム |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016065827A Division JP6403709B2 (ja) | 2016-03-29 | 2016-03-29 | 匿名化データを名寄せするための名寄せシステム、並びに、その方法及びコンピュータ・プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014192707A JP2014192707A (ja) | 2014-10-06 |
| JP5939580B2 true JP5939580B2 (ja) | 2016-06-22 |
Family
ID=51622037
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013066377A Expired - Fee Related JP5939580B2 (ja) | 2013-03-27 | 2013-03-27 | 匿名化データを名寄せするための名寄せシステム、並びに、その方法及びコンピュータ・プログラム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US9497170B2 (ja) |
| JP (1) | JP5939580B2 (ja) |
Families Citing this family (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150278545A1 (en) * | 2014-03-28 | 2015-10-01 | Aruba Networks, Inc. | Anonymization of client data |
| US11575673B2 (en) * | 2014-09-30 | 2023-02-07 | Baxter Corporation Englewood | Central user management in a distributed healthcare information management system |
| CN104811482A (zh) * | 2015-04-01 | 2015-07-29 | 广东小天才科技有限公司 | 终端数据分类存储方法及系统 |
| JP6701646B2 (ja) | 2015-09-02 | 2020-05-27 | 富士通株式会社 | 情報処理装置、情報処理システム及び情報管理方法 |
| JP6437416B2 (ja) * | 2015-10-13 | 2018-12-12 | 日本電信電話株式会社 | 名寄せシステム、装置、方法及びプログラム |
| JP6466812B2 (ja) * | 2015-10-13 | 2019-02-06 | 日本電信電話株式会社 | 名寄せシステム、装置、方法及びプログラム |
| US9870656B2 (en) * | 2015-12-08 | 2018-01-16 | Smartcar, Inc. | System and method for processing vehicle requests |
| DE102016202659B3 (de) * | 2016-02-22 | 2016-09-22 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zur Bereitstellung von aufgezeichneten, anonymisierten Routen |
| CN105844496A (zh) * | 2016-03-31 | 2016-08-10 | 乐视控股(北京)有限公司 | 一种数据追踪的方法及装置 |
| JP2017215868A (ja) * | 2016-06-01 | 2017-12-07 | Necソリューションイノベータ株式会社 | 匿名化処理装置、匿名化処理方法、及びプログラム |
| US10713382B1 (en) * | 2017-01-09 | 2020-07-14 | Microsoft Technology Licensing, Llc | Ensuring consistency between confidential data value types |
| EP3358490A1 (en) * | 2017-02-03 | 2018-08-08 | Alcatel Lucent | Method for protecting privacy in data queries |
| US10585180B2 (en) | 2017-06-21 | 2020-03-10 | International Business Machines Corporation | Management of mobile objects |
| US10546488B2 (en) | 2017-06-21 | 2020-01-28 | International Business Machines Corporation | Management of mobile objects |
| US10504368B2 (en) | 2017-06-21 | 2019-12-10 | International Business Machines Corporation | Management of mobile objects |
| US10600322B2 (en) | 2017-06-21 | 2020-03-24 | International Business Machines Corporation | Management of mobile objects |
| US10540895B2 (en) | 2017-06-21 | 2020-01-21 | International Business Machines Corporation | Management of mobile objects |
| US10535266B2 (en) | 2017-06-21 | 2020-01-14 | International Business Machines Corporation | Management of mobile objects |
| US10699804B2 (en) * | 2017-07-19 | 2020-06-30 | Katalyxer Srl | System and method for the management of personal data relative to a user by maintaining personal privacy |
| JP7093171B2 (ja) | 2017-11-10 | 2022-06-29 | 株式会社野村総合研究所 | 資産情報収集装置 |
| JP7090983B2 (ja) * | 2018-05-21 | 2022-06-27 | ジェネクスト株式会社 | 携帯情報端末操作判別装置 |
| JP6928581B2 (ja) * | 2018-05-25 | 2021-09-01 | ヤフー株式会社 | 情報処理装置、情報処理方法、情報処理プログラム及び制御プログラム |
| US11477217B2 (en) | 2018-09-18 | 2022-10-18 | Cyral Inc. | Intruder detection for a network |
| US11606358B2 (en) * | 2018-09-18 | 2023-03-14 | Cyral Inc. | Tokenization and encryption of sensitive data |
| US11477197B2 (en) | 2018-09-18 | 2022-10-18 | Cyral Inc. | Sidecar architecture for stateless proxying to databases |
| US20220038892A1 (en) * | 2018-10-26 | 2022-02-03 | Eureka Analytics Pte Ltd | Mathematical Summaries of Telecommunications Data for Data Analytics |
| JP6837186B1 (ja) * | 2019-03-29 | 2021-03-03 | 楽天株式会社 | ユーザ情報管理システム、ユーザ情報管理方法およびプログラム |
| US11586768B2 (en) * | 2019-06-13 | 2023-02-21 | Koninklijke Philips N.V. | Privacy ensuring personal health record data sharing |
| JP7431098B2 (ja) | 2020-04-17 | 2024-02-14 | 株式会社Nttドコモ | 情報処理装置 |
| JP2022121227A (ja) * | 2021-02-08 | 2022-08-19 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及びプログラム |
| US20220318429A1 (en) * | 2021-03-30 | 2022-10-06 | Sophos Limited | Programmable Feature Extractor with Anonymization |
Family Cites Families (47)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5345587A (en) * | 1988-09-14 | 1994-09-06 | Digital Equipment Corporation | Extensible entity management system including a dispatching kernel and modules which independently interpret and execute commands |
| US6734886B1 (en) * | 1999-12-21 | 2004-05-11 | Personalpath Systems, Inc. | Method of customizing a browsing experience on a world-wide-web site |
| US6938019B1 (en) * | 2000-08-29 | 2005-08-30 | Uzo Chijioke Chukwuemeka | Method and apparatus for making secure electronic payments |
| JP2002175432A (ja) | 2000-12-06 | 2002-06-21 | Gala Inc | 配信仲介サービス装置の介在によりコンセプトメールを多数のターゲットに配信する方法およびその配信仲介サービス装置 |
| US7181017B1 (en) * | 2001-03-23 | 2007-02-20 | David Felsher | System and method for secure three-party communications |
| US7234059B1 (en) * | 2001-08-09 | 2007-06-19 | Sandia Corporation | Anonymous authenticated communications |
| EP1504385A4 (en) * | 2001-12-05 | 2008-12-03 | Xchange Advantage Inc E | METHOD AND SYSTEM FOR MANAGING DISTRIBUTED TRADING DATA |
| US7587486B2 (en) * | 2003-01-08 | 2009-09-08 | Microsoft Corporation | Click stream analysis |
| JP4396490B2 (ja) | 2004-03-19 | 2010-01-13 | 株式会社日立製作所 | 名寄せ制御方法 |
| US7814119B2 (en) * | 2004-03-19 | 2010-10-12 | Hitachi, Ltd. | Control of data linkability |
| US7644285B1 (en) * | 2004-04-08 | 2010-01-05 | Intuit Inc. | Recovery access to secure data |
| CA2577841A1 (en) * | 2004-08-19 | 2006-03-02 | Claria Corporation | Method and apparatus for responding to end-user request for information |
| US7385479B1 (en) * | 2004-11-12 | 2008-06-10 | Esp Systems, Llc | Service personnel communication system |
| JP4664107B2 (ja) | 2005-03-31 | 2011-04-06 | 株式会社日立製作所 | 事業者側装置、利用者側装置、個人情報閲覧更新システムおよび個人情報閲覧更新方法 |
| JP2007142504A (ja) | 2005-11-14 | 2007-06-07 | Kotohaco:Kk | 情報処理システム |
| JP2007181011A (ja) | 2005-12-28 | 2007-07-12 | Pro Secure Co Ltd | データ共有装置 |
| CA2531533C (en) * | 2005-12-28 | 2013-08-06 | Bce Inc. | Session-based public key infrastructure |
| JP5238137B2 (ja) | 2006-03-27 | 2013-07-17 | 日立オートモティブシステムズ株式会社 | 情報仲介システム、および、情報仲介方法 |
| US8577933B2 (en) * | 2006-08-02 | 2013-11-05 | Crossix Solutions Inc. | Double blinded privacy-safe distributed data mining protocol |
| US8874465B2 (en) * | 2006-10-02 | 2014-10-28 | Russel Robert Heiser, III | Method and system for targeted content placement |
| US8756673B2 (en) * | 2007-03-30 | 2014-06-17 | Ricoh Company, Ltd. | Techniques for sharing data |
| JP5095281B2 (ja) | 2007-07-11 | 2012-12-12 | 株式会社日立製作所 | 文字列匿名化装置、文字列匿名化方法及び文字列匿名化プログラム |
| US9119050B1 (en) * | 2007-08-13 | 2015-08-25 | David Metcalf | Apparatus and process for mobile comic serialization using messaging on the moving knowledge engine platform |
| JP4722903B2 (ja) * | 2007-11-27 | 2011-07-13 | 株式会社日立製作所 | Rfidデバイス、サーバ、及び計算機システム |
| US8140502B2 (en) * | 2008-06-27 | 2012-03-20 | Microsoft Corporation | Preserving individual information privacy by providing anonymized customer data |
| US9003186B2 (en) * | 2008-07-24 | 2015-04-07 | Zscaler, Inc. | HTTP authentication and authorization management |
| US9621341B2 (en) * | 2008-11-26 | 2017-04-11 | Microsoft Technology Licensing, Llc | Anonymous verifiable public key certificates |
| JP2010128392A (ja) * | 2008-11-28 | 2010-06-10 | Canon Inc | ハッシュ処理装置及びその方法 |
| US8843997B1 (en) * | 2009-01-02 | 2014-09-23 | Resilient Network Systems, Inc. | Resilient trust network services |
| US8364713B2 (en) * | 2009-01-20 | 2013-01-29 | Titanium Fire Ltd. | Personal data manager systems and methods |
| JP2010237811A (ja) | 2009-03-30 | 2010-10-21 | Nec Corp | 個人情報管理システム及び個人情報管理方法 |
| US8707031B2 (en) * | 2009-04-07 | 2014-04-22 | Secureauth Corporation | Identity-based certificate management |
| US8504718B2 (en) * | 2010-04-28 | 2013-08-06 | Futurewei Technologies, Inc. | System and method for a context layer switch |
| US9270663B2 (en) * | 2010-04-30 | 2016-02-23 | T-Central, Inc. | System and method to enable PKI- and PMI-based distributed locking of content and distributed unlocking of protected content and/or scoring of users and/or scoring of end-entity access means—added |
| JP5615593B2 (ja) * | 2010-05-19 | 2014-10-29 | 株式会社ジャストシステム | 電子文書管理装置、表示方法、表示プログラムおよび記録媒体 |
| KR101425552B1 (ko) * | 2010-10-04 | 2014-08-05 | 한국전자통신연구원 | 제어가능 연결성을 제공하는 그룹서명 시스템 및 방법 |
| US9154539B2 (en) * | 2011-03-21 | 2015-10-06 | Microsoft Technology Licensing, Llc | Consolidating event data from different sources |
| JP5655718B2 (ja) * | 2011-06-24 | 2015-01-21 | 富士通株式会社 | 変換処理方法、装置及びプログラム、復元処理方法、装置及びプログラム |
| US9491146B2 (en) * | 2011-09-07 | 2016-11-08 | Elwha Llc | Computational systems and methods for encrypting data for anonymous storage |
| BR112014009413A2 (pt) * | 2011-10-17 | 2017-04-18 | Intertrust Tech Corp | sistemas e métodos para proteger e administrar informação genômica e outras |
| US10423952B2 (en) * | 2013-05-06 | 2019-09-24 | Institutional Cash Distributors Technology, Llc | Encapsulated security tokens for electronic transactions |
| KR20150068392A (ko) * | 2012-10-09 | 2015-06-19 | 엘지전자 주식회사 | 무선 통신 시스템에서 단말간 통신을 수행하는 방법 및 장치 |
| US20150278806A1 (en) * | 2012-10-11 | 2015-10-01 | Bull Sas | E-payment architecture preserving privacy |
| US20140123229A1 (en) * | 2012-10-26 | 2014-05-01 | Motorola Solutions, Inc. | Antenna/actuation key assembly |
| JP5936765B2 (ja) * | 2013-03-05 | 2016-06-22 | 株式会社日立製作所 | データ処理装置、データ処理システム、および、データ処理方法 |
| US9059989B2 (en) * | 2013-07-18 | 2015-06-16 | Vmware, Inc. | Hash synchronization for preventing unauthorized server access using stolen passwords |
| US20150067185A1 (en) * | 2013-09-04 | 2015-03-05 | Akamai Technologies, Inc. | Server-side systems and methods for reporting stream data |
-
2013
- 2013-03-27 JP JP2013066377A patent/JP5939580B2/ja not_active Expired - Fee Related
-
2014
- 2014-03-27 US US14/227,254 patent/US9497170B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| US9497170B2 (en) | 2016-11-15 |
| US20140298030A1 (en) | 2014-10-02 |
| JP2014192707A (ja) | 2014-10-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5939580B2 (ja) | 匿名化データを名寄せするための名寄せシステム、並びに、その方法及びコンピュータ・プログラム | |
| JP6435584B2 (ja) | 情報管理方法および情報管理システム | |
| US8990834B2 (en) | Managing healthcare information in a distributed system | |
| US8977572B2 (en) | Systems and methods for patient-controlled, encrypted, consolidated medical records | |
| CN105765598B (zh) | 经由本地化个人化的隐私实施 | |
| US20110247029A1 (en) | Techniques for offering context to service providers utilizing incentives | |
| JP2013512525A (ja) | インセンティブを利用してサービス・プロバイダーにコンテキストを提供する技法およびユーザー管理されるプライバシー | |
| US9419946B2 (en) | Method and apparatus for anonymously acquiring service information | |
| JP2016006553A (ja) | 情報提供方法、情報管理システムおよび端末機器の制御方法 | |
| JP5287027B2 (ja) | アンケートデータ処理システム及びその方法、それを用いたアンケートシステム及びそれに用いる端末 | |
| KR20220068024A (ko) | 인공지능 및 개인건강기록을 이용한 보험정보 제공 시스템 및 그 방법 | |
| Kapa et al. | Contact tracing to manage COVID-19 spread—balancing personal privacy and public health | |
| US20110238588A1 (en) | Registration of product information and authenticity certification | |
| KR20120093560A (ko) | 의료정보 중계 방법 | |
| KR102245886B1 (ko) | 협력형으로 개인정보를 보호하는 통신환경에서의 분석서버 및 분석서버의 동작 방법, 서비스제공장치 및 서비스제공장치의 동작 방법 | |
| EP2369540A1 (en) | Registration of product information and authenticity certification | |
| JP6429962B1 (ja) | 情報処理装置、情報処理方法、及び情報処理プログラム | |
| JP6403709B2 (ja) | 匿名化データを名寄せするための名寄せシステム、並びに、その方法及びコンピュータ・プログラム | |
| US20110247030A1 (en) | Incentives based techniques for offering context to service providers utilizing syncronizing profile stores | |
| JP7312425B2 (ja) | データ送受信方法 | |
| Hyysalo et al. | Consent management architecture for secure data transactions | |
| JP2002073787A (ja) | 相性診断サーバ、相性診断方法およびその方法を実現するプログラムを記録した機械読取可能な記録媒体 | |
| KR20200071880A (ko) | IoT 시스템에서의 개인정보수집 동의 절차 제공 방법 및 이를 수행하는 장치들 | |
| Wang et al. | Health data security sharing method based on hybrid blockchain | |
| WO2022153826A1 (ja) | システム、検索サーバ、検索サーバの制御方法及び記録媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20151117 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20160106 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20160106 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20160128 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160302 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160329 Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20160329 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160419 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20160422 |
|
| RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20160422 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160511 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5939580 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |