JP6250497B2 - 情報管理システム - Google Patents

情報管理システム Download PDF

Info

Publication number
JP6250497B2
JP6250497B2 JP2014155671A JP2014155671A JP6250497B2 JP 6250497 B2 JP6250497 B2 JP 6250497B2 JP 2014155671 A JP2014155671 A JP 2014155671A JP 2014155671 A JP2014155671 A JP 2014155671A JP 6250497 B2 JP6250497 B2 JP 6250497B2
Authority
JP
Japan
Prior art keywords
database
data
stored
management system
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014155671A
Other languages
English (en)
Other versions
JP2015187828A (ja
Inventor
佐藤 恵一
恵一 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2014155671A priority Critical patent/JP6250497B2/ja
Priority to PCT/JP2014/082682 priority patent/WO2015136801A1/ja
Publication of JP2015187828A publication Critical patent/JP2015187828A/ja
Application granted granted Critical
Publication of JP6250497B2 publication Critical patent/JP6250497B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Description

本発明は、データベースに関し、特に、検索可能暗号化を適用して情報管理のセキュリティを向上させる技術に関する。
近年、安価なサービスや情報を集約化するため、クラウドコンピューティングが急速に普及している。しかし、クラウドコンピューティングにおけるセキュリティやプライバシーに対する配慮はまだ必ずしも十分とはいえない状況である。
クラウドコンピューティングにおけるセキュリティ技術として、検索可能暗号技術が知られている。検索可能暗号技術は、記憶装置に格納されたデータを暗号化したまま検索ができる技術であり、クラウドコンピューティングにおけるセキュリティ技術の代表的なものである。検索可能暗号化技術は、データベース自体が暗号化されており、さらに、データセンタ内でデータを復号化することなく検索処理を実行することができ、従来技術のセキュリティ上の脆弱性を解消している。このため、セキュリティやプライバシーに厳密に配慮する技術として注目されている。
本技術分野の背景技術として特開2012−123614号公報(特許文献1)がある。特許文献1に記載の検索可能暗号処理ステムは、データを預かるDBサーバと、DBサーバにデータを預託する登録クライアントと、DBサーバにデータを検索させる検索クライアントがネットワーク経由で連携する検索可能暗号処理ステムであって、登録クライアントは、ハッシュ値と準同型関数を用いたマスクによる確率的暗号化方式を用いて、暗号化したデータをサーバに預託し、検索クライアントは、検索クエリの暗号化に準同型関数を用いたマスクによる確率的暗号化を用い、DBサーバにマスクを解除させずに、かつ、DBサーバに検索に該当するデータの出現頻度が漏洩しないよう、検索クエリと該当しないデータを検索結果として出力させる。
特開2012−123614号公報
しかしながら、特許文献1に記載の技術は、暗号化したまま実行する検索処理や解析処理の負荷が大きく、多くの処理時間や多くのコンピュータリソースを必要とする課題がある。また、データを暗号化したまま複雑な解析を実行することが困難であるか、又は、多くのコンピュータリソースが必要になるなどの課題ある。このため、従来のデータセンタにおいて、コンピュータリソースの確保は容易でなく、計算コストを上昇し、検索可能暗号化技術の実用化への障害となっていた。
前述した課題を解決するため、本発明は、個人を識別できる情報と、それだけでは個人を識別できない情報とに分離して、セキュリティやプライバシーに配慮した形態で保管する。
本願において開示される発明の代表的な一例を示せば以下の通りである。すなわち、第1データベースと第2データベースとが一つもしくは複数のデータセンタ内に設けられる情報管理システムであって、前記第1データベースは、検索可能暗号化技術を用いてデータを格納しており、格納されたデータを復号するためのキーを格納していないので、前記格納されたデータを前記データセンタ内で復号せずに出力するものであり、前記第2データベースは、前記第1データベースに格納されるデータと関連付けられたデータを、検索可能暗号化技術を用いることなく格納し、前記情報管理システムは、前記第1データベースに検索対象のデータが格納されている場合、前記第1データベースは、検索対象のデータに関連付けられたデータを前記第2データベースで特定する第1データIDを出力し、前記第2データベースは、前記第1データIDを用いたアクセスに対して、検索対象のデータに関連するデータを出力する
本発明の代表的な形態によれば、セキュリティやプライバシー上の課題を解決することできる。また、コンピュータリソースを削減できる。前述した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。
本発明の実施形態の情報管理システムの構成を示す図である。 本発明の実施形態のデータベース1の構成例を示す図である。 本発明の実施形態のデータベース2の構成例を示す図である。 本発明の実施形態のデータベース1、2からのデータの取得を示す図である。 本発明の実施形態のデータベース1、2からのデータの取得を示す図である。 本発明の実施形態の端末3によるデータの共有を示す図である。 本発明の実施形態のデータベース2に格納されたデータの更新を示す図である。 本発明の実施形態のデータベース1に格納した暗号化情報の更新を示す図である。 本発明の実施形態のデータベース1に機微情報を格納する形態を示す図である。
以下、本発明を実施する場合の一形態を図面を参照して具体的に説明する。
図1は、本発明の一実施形態の情報管理システムの構成を示す図である。
本実施形態の情報管理システムは、複数のデータベース1、2、端末(PC)3によって構成される。
データベース1及び2は、データを格納する不揮発性記憶装置(又は、揮発性記憶装置)と、該性記憶装置に格納されたデータの入出力及び更新を制御するデータベースマネジメントシステム(DBMS)とによって構成される。データベースマネジメントシステムは、プロセッサ及びメモリを有するコンピュータリソース上で実行される。
データベース1は、検索可能暗号技術を適用して暗号化したデータを記憶装置に格納し、データセンタ10内で復号せずにデータを出力する。データベース2は、通常の平文データが格納されるデータベースである。データベース2は、通常の暗号化技術が適用された(すなわち、暗号化されたデータが記憶装置に格納されるが、データセンタ10内で復号化されたデータが出力される)データベースでもよい。
このように構成されたデータベース1には、図2に示すように、内容を秘匿すべきデータ、例えば、特定の個人を識別できるデータ(氏名、住所など)が格納される。また、データベース2には、図3に示すように、データベース1に格納されたデータと関連付けられるデータ、例えば、それだけでは個人を識別できないデータ(健康診断の結果など)が格納される。
図1には、データベース1及び2は、各々一つのみを図示するが、各々が複数のデータベースを含んでもよい。この場合、後述するように、各データベースを関連付けるために複数の対応付け情報がデータベース1に記録される。
データベース1及び2は、一つのデータセンタ10内に収容されている。データセンタ10とは、一つの拠点に収容されたコンピュータ群の他、複数の拠点に分散して配置され、ネットワークによって接続されるコンピュータ群であり、より具体的には、コンピュータ及びストレージ装置のリソースの一部を仮想化して提供するクラウドサービスである。また、データセンタ10は、使用者(例えば、企業)が管理する設備内に設置されるもの(いわゆる、オンプレミス)でもよい。
さらに、データベース1及び2を、複数のデータセンタ10内に分散して収容してもよい。すなわち、別の事業者がデータベース1及び2を管理してもよい。
データベース1及び2に格納されるデータを関連付ければ個人の情報が一元的に管理及び把握されてしまう。しかし、本実施形態のデータベース構造によれば、データベース1に格納されるデータは暗号化されており、データベース1から暗号化されたデータが出力されるので、一つのデータセンタ10内にデータベース1及び2の両方を収容しても、個人の情報が一元的に管理されない。
なお、図示は省略するが、データセンタ10内には、データベース1、2を制御するためのサーバや、端末にアプリケーションを提供するサーバが設けられてもよい。そして、サーバが、データベース1、2に格納されたデータを用いてサービスを提供してもよい。
端末3は、プロセッサ、メモリ、ネットワークインターフェース及びユーザインターフェース(キーボード、マウス、表示装置など)を有するコンピュータである。コンピュータは、パーソナルコンピュータ(PC)の他、タブレット端末、スマートフォンなどでもよい。なお、図1には1台の端末3のみを図示するが、通常は図6に示すように、複数の端末3が設けられる。
端末3は、データベース1及び2にアクセスするための専用のアプリケーションプログラムが動作しても、ウェブブラウザが動作してもよい。該専用アプリケーションプログラム及びウェブブラウザは、端末3がデータベース1及び2へアクセスするためのキーを管理し、データセンタ10内のサーバにリクエストを送信する。なお、後述するように、端末3がデータベース1へアクセスするためのキーは、許可されるアクセスの種類(検索のみ、検索及び復号)によって複数準備される。また、アクセスするためのキーは、組織ごとに同一でもよいし、ユーザごとに異なってもよい。キーの管理は、情報の管理者および利用者が決定することができる。
データセンタ10と端末3とは、ネットワーク4によって接続される。
端末3から、新たにデータを登録する場合、データベース1にデータを格納するための個人ID及びデータベース2にデータを格納するためのデータIDを発行する。このIDの発行は、端末3が行っても、データセンタ10(DBMS)が行ってもよい。
端末3は、予め設定された分離ルール(すなわち、データベースの定義テーブル)に従って、入力されたデータをデータベース1に格納するデータとデータベース2に格納するデータに分離する。端末3は、分離されたデータ及び発行されたIDを含む書き込み要求をデータベース1、2に送信する。データベース1、2は、端末3からの書込要求に従ってデータを格納する。
図2は、本実施形態のデータベース1の構成例を説明する図である。
データベース1は、個人を一意に識別する個人ID101、氏名102、生年月日103、住所104、メールアドレス105、電話番号106など、個人を特定できる個人情報を格納する。データベース1は、これらのデータに検索可能暗号技術を適用して暗号化して記憶装置に格納し、データセンタ10内で復号せずにデータを出力する。また、本実施例の情報管理システムを会社で使用する場合、データベース1には、人事情報を格納してもよい。
データベース1は、データベース2に格納されたデータと関連付けるためのデータID107を格納する。データID107はデータベース2のデータID201と対応するもの(例えば、一致するもの)を使用する。データベース1が個人ID101とデータID107とを対応付けることによって、データベース1とデータベース2とを関連付けることができる。
複数のデータベース1及び2が関連付けられる場合、データベース間及びデータ間を関連付けるための複数のデータID107がデータベース1に記録される。
なお、データベース1は、データベース1へアクセスするためのパスワードやアクセスキーを格納してもよい。また、データベース1に格納される暗号化データは、データベース1へのアクセスごとに変更し、更新することによって、セキュリティレベルを更に向上することができる。より具体的には、データ登録時には暗号化データが異なるように生成し、アクセスごとに暗号化データを書き換える。この詳細は、図8を用いて後述する。
図3は、本実施形態のデータベース2の構成例を説明する図である。
図3に示すデータベース2は、個人の健康情報を格納するデータベースであって、データを一意に識別するデータID1231、データ登録日1232及び健康診断の結果(身長1233、体重1234、BMI1235、血圧1236、血糖値1237)など、を格納する。このように、データベース2は、個人を特定できる個人情報を格納しない。なお、データベース2は、データベース2へアクセスするためのパスワードやアクセスキーを格納してもよい。
従来、データベース1とデータベース2とを関連付ける情報はデータベース2と共に管理することが適切であったが、該関連付け情報を暗号化してデータベース1に格納したので、データベース1とデータベース2とを一元的に管理しても、個人の情報が一元的に管理されることがない。
データベース1に格納されたデータとデータベース2に格納されたデータとを関連付けるための情報の管理は、個人情報の分離において重要である。関連付け情報の管理によって、データ管理が連結可能匿名化か連結不可能匿名化かが決まる。このため、例えば、臨床研究分野の倫理指針では、関連付け情報の厳重な管理が要求される。より具体的には、関連付け情報にアクセスできないもしくは破棄されていれば、データベース2に格納されたデータに対応する個人を識別できず、連結不可能匿名化となる。一方、関連付け情報にアクセスできれば、データベース2に格納されたデータに対応する個人を識別でき、連結可能匿名化となる。このため、連結可能匿名化では、関連付け情報の厳重な管理が大きな負担となる。
本実施例では、関連付け情報に検索可能暗号化をしてデータベース1に格納したので、関連付け情報は、データセンタ10内で復号化できない形式で暗号化されてデータベース1に格納される。このため、関連付け情報は、いわば、データセンタ10の外部に格納されているといえる。関連付け情報をデータセンタ10内に持たないので、個人情報を安全に管理することができる。
図4、図5は、本実施形態のデータベースからのデータの取得を示す図である。
データは、データベース1から取得した後、データベース2から取得してもよいし、データベース2から取得した後、データベース1から取得してもよい。図4は、データベース1から先にデータを取得する方法を示し、図5は、データベース2から先にデータを取得する方法を示す。いずれのデータベースから先にデータを取得するかは、端末3で実行されるアプリケーションが選択して、各データベースへのリクエストの送信を制御する。
データベース1から先にデータを取得する場合、図4に示すように、端末3は、リクエストをデータベース1に送信し、検索処理によってデータベース1に格納されたデータを取得する。データベース1から取得するデータには、データベース2に格納されたデータを特定するためのデータID107が含まれる。端末3は、取得したデータIDを用いて、リクエストをデータベース2に送信し、検索処理によってデータベース2に格納されたデータを取得する。端末3は、取得したデータID107を用いて、データベース1から取得したデータとデータベース2から取得したデータを結合し、表示画面に表示する。
一方、データベース2から先にデータを取得する場合、図5に示すように、端末3は、リクエストをデータベース2に送信し、検索処理によってデータベース2に格納されたデータを取得する。端末3は、データベース2から取得したデータID107を用いて、リクエストをデータベース1に送信し、検索処理によってデータベース1に格納されたデータを取得する。端末3は、取得したデータID107を用いて、データベース1から取得したデータとデータベース2から取得したデータを結合し、表示画面に表示する。
なお、データベース1から取得したデータを、さらに、データベース2に格納されたデータを用いて絞り込んだり、データベース2から取得したデータを、さらに、データベース1に格納されたデータを用いて絞り込むように、各データベースを用いた絞り込みを複数回繰り返してもよい。
なお、データベース1とデータベース2とを別のデータセンタに配置することによって、データベース1からのデータとデータベース2からのデータとがネットワーク4上で異なる経路を転送されることから、さらにセキュリティやプライバシーを向上することができる。なお、本実施形態のように、データベース1とデータベース2とが一つのデータセンタ10に配置されても、データセンタ10内でデータベース1に格納されたデータとデータベース2に格納されたデータとを連結できないので、データベース1とデータベース2とを別のデータセンタに配置する場合と同様のセキュリティとプライバシーを確保することができる。
図6は、本実施形態の複数の端末3によるデータ共有を示す図である。
端末31は、データベース1にアクセスするためのキーを有しており、データベース1にアクセスして、データベース1に格納されたデータを取得する(601)。そして、データベース1から取得したデータを用いてデータベース2にアクセスして(602)、データベース2に格納されたデータを取得する(603)。その後、端末31は、データベース1から取得した個人情報とデータベース2から取得した情報とを結合して、データベース2から取得した情報を個人が特定できる形態で表示装置に表示する。
一方、端末32は、データベース1にアクセスするためのキーを有しておらず、データベース1にアクセスできないため、データベース1に格納されたデータを取得できない(611)。しかし、データベース2にアクセスして、データベース2に格納されたデータを取得することができる(612)。端末32は、データベース1から取得した個人情報とデータベース2から取得した情報とを結合できないので、データベース2から取得した情報を個人が特定できない形態(例えば、統計処理可能な形態)で表示装置に表示する。
このように、端末31は、データベース1にアクセスするためのキーを有しているため、個人情報を含むデータを取得できる。一方、端末32は、データベース1にアクセスするためのキーを有していないため、個人を特定できないデータのみを取得できる。端末の権限を用途によって変えることによって、個人情報を秘匿することができる。
なお、端末31、32のキーは、端末毎に設定しても、端末の使用者(ログインID)に対応して設定してもよい。
データベース1にアクセスするためのキーは、権限レベルが異なる複数種類のキー、例えば、検索及び復号が可能なアクセスキーと、検索のみが可能なアクセスキーとに分けられてもよい。次に、図7を用いて端末3が検索のみが可能なアクセスキーを有している場合のデータベースへのアクセスについて説明する。
図7は、本発明の実施形態のデータベース1の検索結果を用いた、データベース2に格納されたデータの更新を示す図である。
端末3は、リクエストをデータベース1に送信し、データベース1から検索結果を取得する(701)。端末3は、データベース1を検索可能なアクセスキーを有しているので、検索条件に一致するデータがデータベース1に格納されているか否かの情報のみを取得できる(702)。検索条件に一致するデータがデータベース1に格納されている場合、データベース1は、データベース2へアクセスするためのキーを端末3に送信する。このデータベース2へアクセスするためのキーは、検索された一又は複数の人を特定可能な情報を含む。
端末3は、データベース1から取得したアクセスキーを用いて、データベース2にアクセして、データベース2に格納された、前記検索で特定された一又は複数の人のデータを取得することができる(703)。
端末3は、データベース1を検索可能なアクセスキーのみを有しているので、データベース1に格納されたデータとデータベース2に格納されたデータとを関連付けることなく、すなわち、個人情報を特定しない状態で、検索条件に一致するデータにアクセスすることができる。
より具体的には、自分の個人情報を検索条件としてデータベース1を検索して、検索条件に一致するデータがデータベース1に格納されている場合、データベース2に格納されたパスワード(データベース2にアクセスするためのパスワード)を変更することができる。
図8は、本発明の実施形態のデータベース1に格納した暗号化情報の更新を示す図である。
図8に示す態様では、データベース1へアクセス(例えば、データベース1を検索、データベース1からデータを取得)するごとに、データベース1に格納される暗号化データを更新する。具体的には、データベース1は、アクセスされるごとに、暗号生成の種を変更する(例えば、疑似乱数発生器で新しいハッシュ値を生成する)。図8に示す例では、更新される暗号化データは、データベース1へアクセスするためのID及びパスワードであるが、データベース1の他の部分を更新したり、データベース1の全部を更新してもよい。
さらに、データベース1に格納される暗号化データだけでなく、データベース1にアクセスするためのキーをデータベース1へアクセスするごとに変更してもよい。そして、データベース1にアクセスするためのキー(例えば、秘密鍵)の変更に伴って、データベース1に格納される暗号化データを更新する。これにより、端末3側でのキーの管理リスクを低減することができる。
このように図8に示す形態では、データベース1へのアクセスごとに、同一の暗号化対象データから異なる暗号化データを生成するので、データベース1の情報が動的に更新される。このため、データベース1に格納されたデータが漏洩しても、漏洩したデータを容易に解析することができず、情報漏洩時のリスクを低減することができる。
図9は、本発明の実施形態のデータベース1に機微情報を格納する形態を示す図である。
前述した態様では、データベース1は、内容を秘匿すべきデータとして、特定の個人を識別できるデータ(氏名、住所など)を格納した。図9に示す態様では、データベース1は、内容を秘匿すべきデータの他に、機微情報を格納する。本形態において機微情報とは、クレジットカード番号や遺伝子情報などの、個人が特定されなくても、その取り扱いに特別の注意が必要な情報であって、漏洩時の影響が大きい情報である。
端末3は、リクエストをデータベース1に送信し、データベース1から検索結果を取得する(701)。端末3は、データベース1を検索可能なアクセスキーを有しているので、検索条件に一致するデータがデータベース1に格納されているか否かの情報のみを取得できる(702)。検索条件に一致するデータがデータベース1に格納されている場合、データベース1は、データベース1に格納された他の機微情報を端末3に送信する(903)。
より具体的には、データベース1で個人情報をキーとして検索し、一致した場合のみ機微情報を暗号化したまま端末3が受け取ることができる。端末3で機微情報を復号化することによって、機微情報を端末3が取得することができる。
例えば、端末3がECサイト(electronic commerce site)を提供するウェブサーバである場合、商品選択段階ではデータベース2へアクセスして買物カートの内容を確定し、決済方法の確定段階においてデータベース1へアクセスして支払い情報(クレジットカード情報)を取得して、端末3からユーザに支払い情報を送信することができる。
このように図9に示す形態では、データセンタ10は、機微度の高い情報をデータベース1で暗号化して管理することによって、情報管理上のリスクを低減することができる。
以上に説明したように、本実施形態の情報管理システムでは、セキュリティやプライバシーに配慮すべきデータ(例えば、生存する個人に関する情報であって、氏名、生年月日その他の記述等により特定の個人を識別できる情報)と、それ以外のそれだけでは個人を識別できないデータとに分離し、個人を識別できるデータは検索可能暗号化によって保護して保管し、それ以外のデータは平文状態又は通常の暗号化によって、個人を識別できる情報と分離して保管する。このため、データセンタ内では、特定の個人を識別できるデータを復号化できず、それだけでは個人を識別できない情報のみがデータセンタ内で復号化できるため、セキュリティやプライバシー上の課題を解決して、データを共有化し、データを活用することができる。
また、必要最低限の情報のみを検索可能暗号化で保護することによって、検索可能暗号化されるデータ量を減少することができ、処理時間を低減し、コンピュータリソースを削減できる。この処理時間の低減量及びコンピュータリソースの削減量は、検索可能暗号化されるデータ量に依存する。実際には特定の個人を識別できる情報に対し、それだけでは個人を識別できない情報の量は十分に大きく、大幅な低減および削減が期待できる。更に、平文状態又は通常の暗号化によって保管されたデータ(それだけでは個人を識別できない情報)は、少ないコンピュータリソースで複雑な解析や分析を行うことができ、研究分野等で行われている一次匿名化、二次匿名化など、数次匿名化された情報の取り扱いと遜色なく取り扱うことができる。
また、データベース1及び2を一つのデータセンタ10内に収容する場合、データベース1に格納された個人を識別できるデータと、データベース2に格納された個人を識別できないデータとの結合が容易に行える。しかし、本実施例によると、このような場合にデータを共有化しても、セキュリティやプライバシー上の課題を解決することができる。
なお、データベース1に格納する情報とデータベース2に格納する情報は、秘匿しなければならない度合いや性能への影響などを考慮し、任意に設定することができる。また、データベースは、ハードウェアやソフトウェアとして分離している必要はなく、同一のハードウェアやソフトウェアの中で、スキーマおよびデータ列が分離されている等の形式でもよい。
また、従来のクラウドでは、全てのデータがネットワークの同一経路上を転送されるが、データベース1とデータベース2とを別のデータセンタに配置してデータ転送経路を分離して、転送経路上の暗号化(SSLやVPNなど)をして、更に検索可能暗号化を適用することによって、多重に暗号化し、且つ情報の経路を分離することができ、他ノードで情報を共有しても、十分なセキュリティ及びプライバシーへの配慮を実現できる。
また、データベース2に格納されたデータを第三者に提供する場合、データベース2に格納されたデータをそのまま提供してもよい。また、更にk−匿名化技術などを適用して提供することによって、再識別リスクを考慮し、セキュリティやプライバシーを向上した情報を第三者にスムーズに提供することができる。
なお、本発明は前述した実施例に限定されるものではなく、添付した特許請求の範囲の趣旨内における様々な変形例及び同等の構成が含まれる。例えば、前述した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに本発明は限定されない。また、ある実施例の構成の一部を他の実施例の構成に置き換えてもよい。また、ある実施例の構成に他の実施例の構成を加えてもよい。また、各実施例の構成の一部について、他の構成の追加・削除・置換をしてもよい。
また、前述した各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等により、ハードウェアで実現してもよく、プロセッサがそれぞれの機能を実現するプログラムを解釈し実行することにより、ソフトウェアで実現してもよい。
各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、SSD(Solid State Drive)等の記憶装置、又は、ICカード、SDカード、DVD等の記録媒体に格納することができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、実装上必要な全ての制御線や情報線を示しているとは限らない。実際には、ほとんど全ての構成が相互に接続されていると考えてよい。
1、2 データベース
3、31、32、3n 端末(PC)
4 ネットワーク
10 データセンタ

Claims (8)

  1. 第1データベースと第2データベースとが一つもしくは複数のデータセンタ内に設けられる情報管理システムであって、
    前記第1データベースは、検索可能暗号化技術を用いてデータを格納しており、格納されたデータを復号するためのキーを格納していないので、前記格納されたデータを前記データセンタ内で復号せずに出力するものであり、
    前記第2データベースは、前記第1データベースに格納されるデータと関連付けられたデータを、検索可能暗号化技術を用いることなく格納し、
    前記情報管理システムは、前記第1データベースに検索対象のデータが格納されている場合、前記第1データベースは、検索対象のデータに関連付けられたデータを前記第2データベースで特定する第1データIDを出力し、前記第2データベースは、前記第1データIDを用いたアクセスに対して、検索対象のデータに関連するデータを出力することを特徴とする情報管理システム。
  2. 請求項1に記載の情報管理システムであって、
    前記第2データベースに検索対象のデータが格納されている場合、前記第2データベースは、検索対象のデータに関連付けられたデータを前記第1データベースで特定する第2データIDを出力し、前記第1データベースは、前記第2データIDを用いたアクセスに対して、検索対象のデータに関連するデータを出力することを特徴とする情報管理システム。
  3. 請求項1又は2に記載の情報管理システムであって、
    前記第1データベースと前記第2データベースとは一つのデータセンタ内に設けられることを特徴とする情報管理システム。
  4. 請求項1から3のいずれか一つに記載の情報管理システムであって、
    前記第1データベースに格納されるデータは、個人を特定可能なデータであり、
    前記第2データベースに格納されるデータは、それだけでは個人を特定できないデータであることを特徴とする情報管理システム。
  5. 請求項1から4のいずれか一つに記載の情報管理システムであって、
    前記第1データベース及び前記第2データベースにアクセス可能な端末を備え、
    前記端末は、
    前記第1データベースに格納されたデータを検索できるが、取得できないキーを保有し、
    前記第1データベースにリクエストを送信することによって、検索対象のデータが前記第1データベースに格納されているか否かの情報を取得し、
    前記検索対象のデータが格納されている旨の情報を前記第1データベースから取得した場合、前記第2データベースへのアクセスが許可されることを特徴とする情報管理システム。
  6. 請求項1から5のいずれか一つに記載の情報管理システムであって、
    前記第1データベースは、前記第1データベースに格納されたデータと前記第2データベースに格納されたデータとを関連付けるための情報を格納することを特徴とする情報管理システム。
  7. 請求項1から5のいずれか一つに記載の情報管理システムであって、
    前記第1データベースに格納されたデータと前記第2データベースに格納されたデータとを関連付けるための情報は、前記データセンタ内で復号化できない形式で暗号化されて前記第1データベース又は前記第2データベースに格納されることを特徴とする情報管理システム。
  8. 請求項1から7のいずれか一つに記載の情報管理システムであって、
    前記第1データベースへのアクセスのタイミングで、前記第1データベースに格納された暗号化データは、同一の暗号化対象データに復号可能な異なる暗号化データに更新されることを特徴とする情報管理システム。
JP2014155671A 2014-03-13 2014-07-31 情報管理システム Active JP6250497B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2014155671A JP6250497B2 (ja) 2014-03-13 2014-07-31 情報管理システム
PCT/JP2014/082682 WO2015136801A1 (ja) 2014-03-13 2014-12-10 情報管理システム

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2014049869 2014-03-13
JP2014049869 2014-03-13
JP2014155671A JP6250497B2 (ja) 2014-03-13 2014-07-31 情報管理システム

Publications (2)

Publication Number Publication Date
JP2015187828A JP2015187828A (ja) 2015-10-29
JP6250497B2 true JP6250497B2 (ja) 2017-12-20

Family

ID=54071266

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014155671A Active JP6250497B2 (ja) 2014-03-13 2014-07-31 情報管理システム

Country Status (2)

Country Link
JP (1) JP6250497B2 (ja)
WO (1) WO2015136801A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6343408B1 (ja) * 2018-02-13 2018-06-13 株式会社ヴィアックス 発注システムおよび発注方法
JP6840692B2 (ja) * 2018-02-22 2021-03-10 株式会社日立製作所 計算機システム、接続装置、及びデータ処理方法
JP7285511B2 (ja) * 2019-04-26 2023-06-02 Zerobillbank Japan株式会社 データ管理装置、データ管理方法、プログラム、及びデータ管理システム
EP3758279A1 (en) * 2019-06-27 2020-12-30 Koninklijke Philips N.V. Selective disclosure of attributes and data entries of a record
US20220374541A1 (en) * 2019-10-28 2022-11-24 Nippon Telegraph And Telephone Corporation Database system, distributed processing apparatus, database apparatus, distributed processing method and distributed processing program
JP7325396B2 (ja) 2020-12-25 2023-08-14 株式会社日立製作所 データファイル暗号化送受信システム及びデータファイル暗号化送受信方法
JPWO2022201257A1 (ja) 2021-03-22 2022-09-29

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3239842B2 (ja) * 1998-05-08 2001-12-17 日本電気株式会社 ソフトウェアの不正利用防止システム
JP5443236B2 (ja) * 2010-03-30 2014-03-19 株式会社InfoDeliver 分散型データベースシステム
JP5848960B2 (ja) * 2011-11-21 2016-01-27 株式会社日立製作所 情報管理システム
WO2013145627A1 (ja) * 2012-03-29 2013-10-03 日本電気株式会社 暗号化データベースシステム、クライアント端末、データベースサーバ、データ結合方法、および、プログラム
JP2014017763A (ja) * 2012-07-11 2014-01-30 Nec Corp 暗号更新システム、暗号更新要求装置、暗号更新装置、復号装置、暗号更新方法、および、コンピュータ・プログラム

Also Published As

Publication number Publication date
WO2015136801A1 (ja) 2015-09-17
JP2015187828A (ja) 2015-10-29

Similar Documents

Publication Publication Date Title
US10965714B2 (en) Policy enforcement system
JP6250497B2 (ja) 情報管理システム
US11615210B1 (en) Third-party platform for tokenization and detokenization of network packet data
Thota et al. Big data security framework for distributed cloud data centers
US9350714B2 (en) Data encryption at the client and server level
US11983298B2 (en) Computer system and method of operating same for handling anonymous data
US9881164B1 (en) Securing data
JP7235668B2 (ja) 登録方法、コンピュータ、及びプログラム
US9977922B2 (en) Multi-tier storage based on data anonymization
JP2019521537A (ja) ユーザプロファイル内にユーザ情報を安全に格納するシステムおよび方法
US10216940B2 (en) Systems, methods, apparatuses, and computer program products for truncated, encrypted searching of encrypted identifiers
KR20140029984A (ko) 의료정보 데이터베이스 운영 시스템의 의료정보 관리 방법
Ramya Devi et al. Triple DES: privacy preserving in big data healthcare
Yasnoff A secure and efficiently searchable health information architecture
US20180025172A1 (en) Data storage apparatus, data processing method, and computer readable medium
CN112134882A (zh) 用于在网络中匿名化地传输数据的系统和方法
Taloba et al. A framework for secure healthcare data management using blockchain technology
Abouakil et al. Data models for the pseudonymization of DICOM data
JP2016189078A (ja) 情報管理システム
US20220391534A1 (en) Privacy preserving logging
WO2024070290A1 (ja) データ共有システム、データ共有方法、およびデータ共有プログラム
Zhu et al. Transitive Pseudonyms Mediated EHRs Sharing for Very Important Patients
Jain Integration and Mining of Medical Records for Healthcare Services AWS Cloud

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20150825

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170126

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170801

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170927

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171107

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171122

R150 Certificate of patent or registration of utility model

Ref document number: 6250497

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150