JP6358578B2 - Personal information management system - Google Patents
Personal information management system Download PDFInfo
- Publication number
- JP6358578B2 JP6358578B2 JP2015001925A JP2015001925A JP6358578B2 JP 6358578 B2 JP6358578 B2 JP 6358578B2 JP 2015001925 A JP2015001925 A JP 2015001925A JP 2015001925 A JP2015001925 A JP 2015001925A JP 6358578 B2 JP6358578 B2 JP 6358578B2
- Authority
- JP
- Japan
- Prior art keywords
- personal information
- identification code
- information
- user
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
本発明は、インターネット等のネット通信網を通じた不正アクセス等によって漏洩される個人情報を保護するための個人情報管理システムに関する。 The present invention relates to a personal information management system for protecting personal information leaked due to unauthorized access through a network communication network such as the Internet.
近年の個人情報の保護意識の高まりに伴い、企業や自治体が保有する個人情報の流出、漏洩や不正利用などを防止することが必要となっている。この内、ネット通信網を通じた外部からのハッキング等の不正アクセスに対しては、個人情報を分散保管する技術が従来より開示されている(例えば、特許文献1)。 With the recent increase in awareness of personal information protection, it is necessary to prevent the leakage, leakage and unauthorized use of personal information held by companies and local governments. Among these, a technique for distributing and storing personal information has been conventionally disclosed against unauthorized access such as hacking from the outside through a network (for example, Patent Document 1).
特許文献1に開示されている個人情報管理システムは、ユーザの個人情報を秘密分散技術により複数の部分データに分散し、これらの部分データを複数のデータセンターのサーバに分散保管するものである。このとき各部分データのコピーをさらにそれぞれ別のデータセンターのサーバに保管して二重化している。このシステムでは、各データセンターに不正アクセスしても1つの部分データしか得ることができず、得られた1つの部分データからは個人情報を復元できないため、個人情報の漏洩を防止することを可能としている。 The personal information management system disclosed in Patent Document 1 distributes user personal information into a plurality of partial data using a secret sharing technique, and distributes and stores these partial data on a plurality of data center servers. At this time, a copy of each partial data is further stored in a separate data center server for duplication. In this system, even if each data center is illegally accessed, only one partial data can be obtained, and personal information cannot be restored from the obtained partial data, thus preventing leakage of personal information. It is said.
特許文献1に開示された個人情報管理システムでは、ユーザ自身或いはユーザの関係者がユーザの個人情報を得る場合には、分散している複数の部分データを集めて復元することが要求される。このとき、複数のデータセンターに対してユーザID、その他の識別IDをその都度、入力する必要があるため、復元作業が面倒となっている。又、個人情報を分散させるための秘密分散技術に対しては面倒で繁雑なフローが要求され、実用性に乏しいものとなっている。 In the personal information management system disclosed in Patent Document 1, when a user himself or a user concerned obtains personal information of the user, it is required to collect and restore a plurality of distributed partial data. At this time, since it is necessary to input user IDs and other identification IDs to a plurality of data centers each time, restoration work is troublesome. In addition, the secret sharing technique for distributing personal information requires a cumbersome and complicated flow, and is not practical.
本発明は、このような従来の問題点を考慮してなされたものであり、部分データに分散させることなく個人情報を秘匿することができ、秘匿された個人情報をユーザやその関係者が簡単に入手でき、しかも不正アクセスに対しては無用な情報の形態として供給させることが可能な個人情報管理システムを提供することを目的とする。 The present invention has been made in consideration of the above-described conventional problems. Personal information can be concealed without being distributed to partial data, and the user and related parties can easily conceal private information. It is another object of the present invention to provide a personal information management system that can be obtained in the form of unnecessary information for unauthorized access.
上記目的を達成するため、本発明の個人情報管理システムは、ユーザ端末と、ユーザ端末と通信可能な受付サーバと、受付サーバと通信可能な保管サーバとがネット通信網を介して接続されたシステムであって、
前記受付サーバは、前記ユーザ端末からユーザID及びユーザの個人情報を受信したとき、前記個人情報を記憶することなく前記ユーザIDだけを記憶してから前記ユーザID及び前記個人情報を前記保管サーバに送信し、
前記保管サーバは、前記受付サーバから前記個人情報を受信したとき、部分データに分散させない情報のままの個人情報に対し、当該個人情報と無関係なダミー情報を複数生成すると共に、前記個人情報及び複数のダミー情報に対して識別コードをそれぞれ付与して前記個人情報及び複数のダミー情報を前記識別コードと関連付けて記憶した後、前記個人情報に関する識別コードだけを前記受付サーバに送信し、
前記受付サーバは、前記保管サーバからの個人情報に関する識別コードを前記ユーザIDと関連付けて記憶した後、個人情報に関する識別コードを前記ユーザ端末に送信し、その後にユーザ端末から前記ユーザID及び識別コードの送信があったとき、ユーザ端末から送信されたユーザID及び識別コードと記憶したユーザID及び識別コードとが一致するか否かの認証を行い、一致したときに認証の成立を確認し、認証が成立したとき、個人情報に関する識別コードを前記保管サーバに送信することにより保管サーバに対し識別コードに関連した個人情報を要求し、保管サーバから個人情報を受信したとき前記ユーザ端末へ個人情報を送信することを特徴とする。
In order to achieve the above object, a personal information management system of the present invention is a system in which a user terminal, a reception server that can communicate with the user terminal, and a storage server that can communicate with the reception server are connected via a network. Because
When the reception server receives a user ID and user personal information from the user terminal, the reception server stores only the user ID without storing the personal information, and then stores the user ID and personal information in the storage server. Send
When the storage server receives the personal information from the reception server, the storage server generates a plurality of dummy information irrelevant to the personal information for the personal information that is not distributed to partial data, Each of the dummy information is assigned an identification code and the personal information and a plurality of dummy information are stored in association with the identification code, and then only the identification code related to the personal information is transmitted to the reception server,
The reception server stores an identification code related to personal information from the storage server in association with the user ID, and then transmits an identification code related to personal information to the user terminal . Thereafter, the user ID and the identification code are transmitted from the user terminal. When the user ID and the identification code transmitted from the user terminal match the stored user ID and the identification code, it is verified whether the stored user ID and the identification code match. Is established, the personal information related to the identification code is requested from the storage server by transmitting an identification code related to the personal information to the storage server, and the personal information is sent to the user terminal when the personal information is received from the storage server. It is characterized by transmitting.
このシステムにおいて、
前記受付サーバは、前記ユーザ端末から2回目以降のユーザID及び個人情報が入力されたとき、ユーザIDと関連付けて記憶した識別コードを選択し、選択した識別コード及び2回目以降の個人情報を前記保管サーバに送信し、
前記保管サーバは、前記受付サーバから識別コードが入力されたとき、記憶している識別コードと比較し、同じ識別コードのとき個人情報を2回目以降の個人情報に更新し、更新した個人情報に対し複数のダミー情報を生成し、更新した個人情報及び生成した複数のダミー情報に対し識別コードをそれぞれ付与して更新した個人情報及び複数のダミー情報を識別コードと関連付けて記憶することが好ましい。
In this system,
The reception server selects an identification code stored in association with a user ID when a user ID and personal information for the second and subsequent times are input from the user terminal, and selects the selected identification code and personal information for the second and subsequent times. To the storage server,
When the identification code is input from the reception server, the storage server compares the stored identification code with the stored identification code, and when the identification code is the same , updates the personal information to the personal information for the second time or later. On the other hand, it is preferable to generate a plurality of dummy information and store the updated personal information and the plurality of dummy information by associating the updated personal information and the plurality of dummy information with an identification code .
又、前記受付サーバは、
前記ユーザ端末から送信されたユーザID及びユーザの個人情報の中からユーザIDだけを選択する選択部と、
前記ユーザID及び前記保管サーバからの識別コードを関連付けて記憶する記憶部と、
前記ネット通信網を介して受信したユーザID及び識別コードを前記記憶部内のユーザID及び識別コードと比較してユーザ端末を認証する認証部と、
前記認証部による認証が成立したとき前記個人情報の送信を前記保管サーバに要求する受付サーバ側第1送信部と、
前記保管サーバからの個人情報を受信したとき、受信した個人情報を前記ユーザ端末に送信する受付サーバ側第2送信部を備え、
前記保管サーバは、
前記受付サーバから入力されたユーザの個人情報の文字列に対し無関係な文字列からなるダミー情報を複数生成するダミー情報生成部と、
前記個人情報及び複数のダミー情報に対し識別コードをそれぞれ付与する識別コード生成部と、
前記個人情報及び複数のダミー情報を前記識別コードと関連付けて記憶する情報記憶部と、
前記識別コードの中から前記個人情報に対する識別コードだけを前記受付サーバに送信する保管サーバ側第1送信部と、
前記受付サーバから前記個人情報の送信要求があったとき、前記個人情報を前記受付サーバに送信する保管サーバ側第2送信部とを備えていることが好ましい。
In addition, the reception server
A selection unit that selects only the user ID from the user ID and user personal information transmitted from the user terminal;
A storage unit for storing the user ID and the identification code from the storage server in association with each other;
An authentication unit that authenticates the user terminal by comparing the user ID and the identification code received via the net communication network with the user ID and the identification code in the storage unit;
A first transmission unit on the receiving server side that requests the storage server to transmit the personal information when authentication by the authentication unit is established;
When receiving personal information from the storage server, the reception server side second transmission unit for transmitting the received personal information to the user terminal,
The storage server
A dummy information generation unit that generates a plurality of dummy information composed of character strings irrelevant to the character string of the user's personal information input from the reception server;
An identification code generating unit that assigns an identification code to each of the personal information and the plurality of dummy information;
An information storage unit for storing the personal information and a plurality of dummy information in association with the identification code;
A storage server side first transmission unit for transmitting only the identification code for the personal information from the identification code to the reception server;
It is preferable that the storage server side second transmission unit transmits the personal information to the reception server when the reception server requests transmission of the personal information.
又、 前記受付サーバは、
前記ユーザ端末から2回目以降のユーザID及び個人情報が入力されたとき、ユーザIDと関連付けて記憶した識別コードを前記記憶部から選択し、選択した識別コード及びユーザ端末からの個人情報を前記保管サーバに送信する履歴送信部をさらに有し、
前記保管サーバは、
前記受付サーバの履歴送信部から識別コードが入力されたとき、前記情報記憶部に記憶されている識別コードと比較し、入力された識別コードと情報記憶部の識別コードとが同じとき情報記憶部内の個人情報を2回目以降の個人情報に更新する更新部をさらに有し、
前記ダミー情報生成部は前記更新部が更新した個人情報に対し複数のダミー情報を生成し、前記識別コード生成部は更新した個人情報及び生成した複数のダミー情報に対し識別コードをそれぞれ付与することが好ましい。
In addition, the reception server
When a user ID and personal information for the second and subsequent times are input from the user terminal, an identification code stored in association with the user ID is selected from the storage unit, and the selected identification code and personal information from the user terminal are stored. A history transmission unit for transmitting to the server;
The storage server
When an identification code is input from the history transmission unit of the reception server, the identification code stored in the information storage unit is compared. When the input identification code is the same as the identification code of the information storage unit, the information storage unit An update unit that updates the personal information of
The dummy information generation unit generates a plurality of dummy information for the personal information updated by the updating unit, and the identification code generation unit assigns an identification code to the updated personal information and the generated plurality of dummy information, respectively. Is preferred.
又、前記保管サーバは、
前記個人情報の構成単位の文字列と無関係な文字列を複数格納したダミー情報格納部をさらに有し、
前記ダミー情報生成部は前記ダミー情報格納部から複数の文字列をピックアップして複数のダミー情報を生成することが好ましい。
In addition, the storage server
A dummy information storage unit that stores a plurality of character strings irrelevant to the character string of the constituent unit of the personal information;
The dummy information generation unit preferably generates a plurality of dummy information by picking up a plurality of character strings from the dummy information storage unit.
本発明によれば、個人情報を部分データに分散する必要なく秘匿することができ、ユーザ端末が分散した部分データを集める必要がなく個人情報を容易に取得することができる。又、ネット通信網を介して受付サーバに不正アクセスがあり、受付サーバ内の情報が盗まれても、受付サーバはユーザID及び識別コードを記憶するだけであって個人情報が存在しないため、不正アクセスで得た情報は全く利用価値のないものとなる。一方、保管サーバに対して不正アクセスがあり、保管サーバ内の情報が盗まれても、個人情報と複数のダミー情報とが混在した情報であってダミー情報の数が圧倒的に多いため、どの情報が真の個人情報であるかの判別が難しく実用性に乏しいものとなる。このため、不正アクセスによって保管サーバ内の情報を得ても実際に用いることができないものとなり、不正アクセスに対して有効な防御を行うことができる。 According to the present invention, it is possible to conceal personal information without the need to distribute the partial data, and it is possible to easily acquire the personal information without having to collect the partial data distributed by the user terminal. Even if there is unauthorized access to the reception server via the network, and the information in the reception server is stolen, the reception server only stores the user ID and identification code, and there is no personal information. Information obtained through access is completely useless. On the other hand, even if there is unauthorized access to the storage server and the information in the storage server is stolen, the information is a mixture of personal information and multiple dummy information, and the number of dummy information is overwhelmingly large. It is difficult to determine whether the information is true personal information, and it is not practical. For this reason, even if the information in the storage server is obtained by unauthorized access, it cannot be actually used, and effective protection against unauthorized access can be performed.
図1及び図2は本発明の一実施形態の個人情報管理システム1を示す。図1に示すように個人情報管理システム1は、複数のユーザ端末2、2aと、受付サーバ3と、保管サーバ4とがインターネット等のネット通信網を介して接続されている。複数のユーザ端末2、2aの内、ユーザ端末2は個人情報の管理を必要とする端末である。図2は個人情報の管理を行うための接続形態を示し、ユーザ端末2は受付サーバ3と通信可能に接続され、受付サーバ3は保管サーバ4と通信可能に接続される。個人情報の管理に際しては、図2に示すように、ユーザ端末2と保管サーバ4とは受付サーバ3を中間に介して接続され、ユーザ端末2と保管サーバ4とが直接に接続されることはない。
1 and 2 show a personal information management system 1 according to an embodiment of the present invention. As shown in FIG. 1, in the personal information management system 1, a plurality of
この実施形態による個人情報の管理の概要について図2により説明する。ユーザ端末2は受付サーバ3に対してユーザID及びユーザの個人情報を送信する。ユーザIDとしては、ユーザが設定したパスワード、その他の暗号が該当する。個人情報としては、ユーザの氏名、生年月日、住所、電話番号等の連絡先やユーザの取引先や顧客の情報、その他の情報が含まれる。
An outline of management of personal information according to this embodiment will be described with reference to FIG. The
ユーザ端末2からユーザID6及び個人情報7を受信すると、受付サーバ3は個人情報7を記憶することなくユーザID6だけを記憶した後、ユーザID6及び個人情報7を保管サーバ4に送信する。保管サーバ4は受付サーバ3から個人情報7を受信すると、個人情報7とは無関係なダミー情報8を複数生成する。ダミー情報8としては、数が多ければ多いほど良好であり、例えば1個の個人情報7に対し、100〜1万個生成される。
When receiving the
保管サーバ4は複数のダミー情報8を生成する際に、個人情報7及び複数のダミー情報8に対し識別コード9、9aをそれぞれ付与する。識別コード9は個人情報7に対して付与するコードであり、識別コード9aは個々のダミー情報8に対して付与するダミーのコードである。一の個人情報7及びこれに関連して生成した複数のダミー情報8をまとめることが好ましく、このため識別コード9、9aは共通したフラグを有するように生成される。識別コード9、9aがフラグを有することにより、個人情報7及び複数のダミー情報8が関連付けられ、保管サーバ4は個人情報7及び複数のダミー情報8を関連付けて記憶する。これにより一の個人情報7では、その個人情報と複数のダミー情報8とが混在した状態で記憶される。識別コード9、9aを付与した後、保管サーバ4は個人情報7に対して付与された識別コード9を受付サーバ3に送信する。
When the storage server 4 generates the plurality of
保管サーバ4には、複数の異なったユーザ端末2からの個人情報7が受付サーバ3から入力されるものであり、保管サーバ4は部分データに分散させない情報のままのそれぞれの個人情報7に対して複数のダミー情報8を生成すると共に、これらの個人情報7及び複数のダミー情報8に対し識別コード9、9aを付与する。識別コード9、9aの付与に際しては、上述したように、一の個人情報7及びこれに関連したダミー情報8に対して共通したフラグを有するように識別コード9、9aを生成して、これらを関連付けた一つのファイル10とする。かかる保管サーバ4には、複数のファイル10、10a・・が保管される。
保管サーバ4からの識別コード9の送信により、受付サーバ3にはユーザ端末2からのユーザID6に加えて個人情報7に対応した識別コード9が入力され、これらのユーザID6及び個人情報7に対応した識別コード9を記憶する。このことから受付サーバ3は個人情報7を記憶しないが、ユーザID及び個人情報7に対応した識別コード9を記憶する。受付サーバ3に対しては保管サーバ4から複数の識別コード9が入力されるものであり、それぞれの識別コード9は対応したユーザID6と関連付けて記憶される。そして受付サーバ3は個人情報7に対応した識別コード9をユーザ端末2に送信し、ユーザ端末2が記憶する。
By transmitting the
ユーザが個人情報7を取得する際には、受付サーバ3に対してユーザID6及び個人情報7に対応した識別コード9を送信する。受付サーバ3は記憶しているユーザID及び識別コードに基づいてユーザ端末2の認証を行う。ユーザID及び識別コード9が一致したとき、受付サーバ3は正規のユーザ端末であると認証し、認証の成立を確認する。認証が成立したとき、受付サーバ3は個人情報7に関する識別コード9を保管サーバ4に送信し、識別コード9が付与されている個人情報7を要求する。これにより保管サーバ4は識別コード9に関連した個人情報7を受付サーバ3に送信する。このとき、保管サーバ4はダミーの識別コード9aが付与されているダミー情報8を受付サーバ3に送信することがない。受付サーバ3が保管サーバ4から個人情報7を受信すると、受付サーバ3はユーザ端末2に個人情報7を送信する。これによりユーザ端末2が個人情報7を取得し、復元することができる。
When the user acquires the
このようなシステム構造では、個人情報を部分データに分散する必要なく秘匿することができ、ユーザ端末2は分散した部分データを集める必要がなく個人情報を容易に取得することができる。
In such a system structure, the personal information can be concealed without having to be distributed to the partial data, and the
又、ネット通信網5を介して受付サーバ3に不正アクセスがあり、受付サーバ3内の情報が盗まれても、受付サーバ3はユーザID6及び識別コード9を記憶しているだけであって個人情報7が存在しない。このため、不正アクセスで得た情報は全く利用価値のないものとなる。
Even if there is unauthorized access to the
一方、保管サーバ4に対して不正アクセスがあり、保管サーバ4内の情報が盗まれても、個人情報7と複数のダミー情報8とが混在した情報であってダミー情報8の数が圧倒的に多いため、どの情報が真の個人情報であるかの判別が難しく実用性に乏しいものとなる。すなわち個人情報7は数の多いダミー情報8によって無力化された状態で不正アクセスに盗まれる。このため、不正アクセスによって保管サーバ4内の情報を得ても実際に用いることができないものとなる。
On the other hand, even if there is unauthorized access to the storage server 4 and the information in the storage server 4 is stolen, the information is a mixture of the
本発明においては、個人情報7及びこれに関連したダミー情報8を関連付けて1つのファイル10、10a、・・・とすることなく、個人情報及びダミー情報を関連付けることのないバラバラの情報として保管サーバ4が記憶することが好ましい。この場合は、個人情報7に付与される識別コード9及びダミー情報8に付与される識別コード9aは共通したフラグを有することなく、全ての個人情報7及びダミー情報8は無関係に保管サーバ4に記憶される。このような場合においても、それぞれの個人情報7には、一の識別コード9が付与されているため、他の個人情報及びダミー情報との識別を行うことができる。従って、ユーザ端末2からの要求に基づいて受付サーバ3から識別コードが入力されると、その識別コードに対応した個人情報をピックアップすることができ、ユーザ端末2に対して真の個人情報を送信することができる。このように共通したフラグを有することなく、個人情報及びダミー情報をバラバラの情報として保管する形態では、保管サーバ4に不正アクセスがあったとき、情報の数がさらに多くなるため、真の個人情報の判別がさらに難しくなるメリットがある。
In the present invention, the
図3は、個人情報管理システム1を具体的に説明するブロック図である。受付サーバ3は、受信部31、送信部32、記憶部33、選択部34、認証部35、制御部36を有し、これらがバス37によって接続されることにより形成されている。この場合、送信部32は第1送信部32a及び第2送信部32b、履歴送信部32cを有している。保管サーバ4は、受信部41、第1送信部42a及び第2送信部42bを有した送信部42、ダミー情報生成部43、識別コード生成部44、情報記憶部45、ダミー情報格納部46、更新部47、制御部48を有し、これらがバス49によって接続されて形成されている。
FIG. 3 is a block diagram specifically explaining the personal information management system 1. The
まず、受付サーバ3の構成を説明する。受信部31はネット通信網5を介して入力されたユーザ端末2、2aからの情報を受信すると共に、保管サーバ4からの情報を受信する。個人情報の管理の際には、ユーザ端末2はユーザID6及びユーザの個人情報7を受付サーバ3に送信する。これに対し、ユーザ端末2の選択部34はユーザ端末2から送信されたユーザID及びユーザの個人情報の中からユーザID6だけを選択する。
First, the configuration of the
記憶部33は選択部34で選択されたユーザID6を記憶する。記憶部33はユーザ端末2からユーザID6及び個人情報7がセットとなって送信されても、個人情報7を記憶することなく、ユーザIDだけを記憶する。又、記憶部33は後述するように、保管サーバ4から送信されたユーザの識別コード9を記憶する。この識別コード9はユーザID6と関連付けて記憶される。すなわち、一のユーザのユーザID6と、そのユーザの識別コード9とが関連付けられて記憶されるものである。以上により、この実施形態の受付サーバ3は、ユーザID6及び識別コード9を記憶するが、個人情報7は記憶することがない。
The
認証部35は、ネット通信網5を介して受信したユーザ端末2からのユーザID及び識別コードが正規のものであるか否かの認証を行う。この認証は、2回目以降にユーザ端末2から送信されたユーザID及び識別コードを記憶部33に記憶されているユーザID及び識別コードとの比較を行うことによりなされる。ユーザID及び識別コードが一致したとき、認証部35はユーザ端末を正規のものとして認証が成立する。ユーザID又は識別コードのいずれかが異なっていたり、双方が異なっている場合、認証部35は正規と認証することがなく、認証が不成立となる。
The
第1送信部32aは認証部35による認証が成立したとき、保管サーバ4に対して同サーバ4内の個人情報7を要求する信号を送信する。第2送信部32bは保管サーバ4から個人情報7を受信したとき、受信した個人情報7をユーザ端末2に送信する。これによりユーザ端末2における個人情報7の復元や再生が可能となる。履歴送信部32cは、ユーザ端末2から2回目以降にユーザID6及び個人情報7の入力があったときに動作する。履歴送信部32cは2回目以降に入力されたユーザIDに対応した識別コード9を記憶部33から選択し、選択した識別コード9及びユーザ端末2から入力された個人情報7を保管サーバ4に送信する。これにより後述するように保管サーバ4による個人情報の更新が行われる。
When the authentication by the
制御部36は以上の受信部31、送信部32、記憶部33、選択部34及び認証部35の動作を制御する。
The
次に、保管サーバ4について説明する。保管サーバ4における受信部41はネット通信網5からの情報を受信するのに加え、受付サーバ3からの情報を直接に受信する。受信部41が受付サーバ3から個人情報7を受信したとき、ダミー情報生成部43によるダミー情報の生成及び識別コード生成部44による識別コードの付与が行われる。
Next, the storage server 4 will be described. The receiving
ダミー情報生成部43は受信部41が個人情報7を受信することにより、その個人情報とは無関係なダミー情報を複数生成する。ダミー情報の生成は、ダミー情報生成部43に格納されているプログラムにより、所定のアルゴリズムに沿って行われる。この実施形態において、かかるダミー情報生成部43によるダミー情報の生成はダミー情報格納部46に格納されている文字列をピックアップすることにより行うことができる。これについては後述する。
The dummy
識別コード生成部44は受信部41が受信した個人情報7及びこの個人情報7に関連してダミー情報生成部43が生成した複数のダミー情報8に対して識別コード9、9aを所定のアルゴリズムによってそれぞれ付与する。上述したように識別コード9は個人情報7についてのコード、識別コード9aはダミー情報8についてのコードである。識別コード9、9aは、一の個人情報7及びそのダミー情報8対して共通したフラグを有するように識別コード9、9aを生成する。フラグは例えば、図5に示すように識別コード9、9aの先頭側の複数桁(先頭から3桁の「Y01」)を共通キーとすることにより形成することができる。
The identification
なお、個人情報7及びダミー情報8をファイルとすることなく、バラバラの情報として記憶する形態においては、識別コードに対してフラグが不要となるため、識別コードを容易に生成することが可能となる。
Note that in the form of storing the
情報記憶部45は個人情報7及びダミー情報生成部43が生成した複数のダミー情報8を記憶する。記憶の際には、個人情報及び複数のダミー情報8を識別コード9、9aによって関連付けて記憶する。例えば、図5に示すように、識別コード9、9aにおけるフラグ(「Y01」)を共通キーとし、共通キーとなっている情報7、8を一つのファイル10として記憶する。一般的に、異なった複数のユーザ端末2、2aのそれぞれから個人情報7が入力されるため、情報記憶部45は複数のファイル10、10a、10b、・・・を記憶する。
The
ダミー情報格納部46はダミー情報生成部43がダミー情報を生成するためのデータを格納している。ダミー情報8の基となる個人情報7は文字列によって構成されていることからダミー情報8も文字列によって生成される。ダミー情報格納部46はこの文字列を予め複数格納するものである。格納する文字列としては、「スズキ」、「タナカ」、「イトウ」、・・・等の日本人の苗字を一例として挙げることができる。この複数の文字列をダミー情報格納部46が格納しており、ダミー情報生成部43は、所定のアルゴリズムによって複数の文字列をダミー情報格納部46からピックアップしてダミー情報を生成する。なお、ダミー情報の生成については、他の手段によって生成することが可能である。
The dummy
送信部42における第1送信部41aは、識別コード生成部44が生成した識別コード9、9aの中から個人情報7に対応した識別コード9をピックアップし、この識別コード9を受付サーバ3に送信する。第2送信部41bは、受付サーバ3から個人情報の送信要求があったとき、情報記憶部45からその個人情報をピックアップした後、要求があった個人情報を受付サーバ3に送信する。
The first transmission unit 41 a in the
更新部47は受付サーバ3の履歴送信部32cから ユーザ端末2の識別コード9が入力されたとき、情報記憶部45に記憶されている識別コード9と比較し、これらの識別コード9が同じとき、受付サーバ3を介して送信されたユーザ端末2からの個人情報7に更新する。これにより情報記憶部45が記憶している個人情報がユーザ端末2からの新たな個人情報7に書き換えられる。
The
そして、個人情報7の更新がなされたとき、ダミー情報生成部46は更新した個人情報7に対し、新たな複数のダミー情報8を生成する。新たな複数のダミー情報8の生成は上述と同様にして行われる。さらに識別コード生成部44は更新した個人情報7及び複数のダミー情報に対し、新たな識別コード9、9aをそれぞれ付与する。情報記憶部45は更新した個人情報7及び複数のダミー情報8を新たな識別コード9、9aによって関連付けて記憶する。これにより、一のユーザ端末2の個人情報及びそのダミー情報9が重複して記憶されることがなくなる。
When the
制御部8は、以上の受信部41、送信部42、ダミー情報生成部43、識別コード生成部44、情報記憶部45、更新部47の動作を制御する。
The
図4は、以上の構成によって個人情報を登録する際のフローチャートを示す。 FIG. 4 shows a flowchart when registering personal information with the above configuration.
ステップS1では、ユーザ端末2から受付サーバ3に対してユーザID6及び個人情報7を送信する。これらを受信した受付サーバ3は個人情報7を記憶することなく、ユーザID6だけを記憶部33が記憶する(ステップS2)。そして受付サーバ3は個人情報7及びユーザID6を保管サーバ4に送信する。
In step S <b> 1, the
保管サーバ4は受信した個人情報7に対して複数のダミー情報8を生成する(ステップS3)。複数のダミー情報の生成は、個人情報7の文字列に対し、無関係な文字列をダミー情報格納部46から複数選択することによりなされる。
The storage server 4 generates a plurality of
図5はダミー情報の生成の一例を示し、個人情報7が文字列「ABCD」(例えば、「スズキ」の苗字)のとき、ダミー情報格納部46から文字列「ABMM」(例えば「タナカ」の苗字)、文字列「EDCR」(例えば、「イトウ」)等の個人情報7の文字列「ABCD」とは無関係な文字列を複数選択することによりダミー情報8を生成する。ダミー情報8は多ければ多いほど、不正アクセスに対して有利である。
FIG. 5 shows an example of generation of dummy information. When the
識別コード生成部44は、個人情報7及び生成した複数のダミー情報に対して識別コード9、9aを付与する(ステップS4)。識別コード9は個人情報7についての識別コード、9aは複数のダミー情報についての識別コードである。これらの識別コードの付与に際し、識別コード生成部44は一の個人情報7及びそのダミー情報8に対して共通したフラグを有するように識別コード9、9aを生成する。図5において、「Y010001」、「Y010002」、「Y010003」、・・・、「Y010300」は識別コードであり、識別コード9、9aの先頭側の複数桁(先頭から3桁の「Y01」)が共通したフラグであり、先頭の3桁に続く符号が個人情報7及び複数のダミー情報8を識別するコードとなる。
The identification
ステップS4に続いて、保管サーバ4の情報記憶部45は個人情報7と複数のダミー情報8とを識別コードと関連付けて記憶して一つのファイル10とする(ステップS5)。例えば図5に示すように、識別コード9、9aにおけるフラグ(「Y01」)を共通キーと、この共通キーとなっている情報7、8を一つのファイル10として記憶する。一般的に、異なった複数のユーザ端末2、2aのそれぞれから個人情報7が入力されるため、情報記憶部45は複数のファイル10、10a、10b、・・・を記憶することとなる。
Subsequent to step S4, the
なお、複数の個人情報7及び個々の個人情報7に対応した複数のダミー情報8をバラバラの情報として記憶する形態においては、共通キーとしてのフラグ(「Y01」)は不要であり、この場合には、ファイル別に記憶する必要がなくなる。
Note that in the form of storing a plurality of pieces of
ステップS5に続いて、保管サーバ4の第1送信部42aは、個人情報7に付与した識別コード9を受付サーバ3に送信する。このとき、保管サーバ4はダミー情報8に付与した識別コード9aを受付サーバ3に送信することはない。受付サーバ3は個人情報7に関する識別コード9を受信し、受付サーバ3の記憶部33はこの識別コード9とユーザIDとを関連付けて記憶する(ステップS7)。すなわち図2に示すように、受付サーバ3はユーザ端末2からのユーザID6及び保管サーバ4からの識別コード9を関連付けて記憶するものである。その後、受付サーバ3の第1送信部32aは識別コード9をユーザ端末2に送信する。ユーザ端末2は送信された識別コード9を受信し、記憶する(ステップS9)。
Subsequent to step S <b> 5, the
このような構成では、受付サーバ3はユーザ端末2のユーザID6及び識別コード9を記憶して格納するだけであり、個人情報7は記憶することがない。このため、ネット通信網5を介して受付サーバ3に不正アクセスがあり、受付サーバ3内の情報が盗まれても、個人情報7が存在しないため、不正アクセスで得た情報は全く利用価値のないものとなる。
In such a configuration, the
又、保管サーバ4においては、個人情報7と個人情報に無関係なダミー情報8とが混在した情報となって格納されている。この保管サーバ4に対して不正アクセスがあり、保管サーバ4内の情報が盗まれても、個人情報7と複数のダミー情報8とが混在した情報であってダミー情報8の数が圧倒的に多いため、どの情報が真の個人情報であるかの判別が難しく実用性に乏しいものとなる。従って、不正アクセスによって保管サーバ4内の情報を得ても実際に用いることができないものとなる。
In the storage server 4,
一方、ユーザ端末2が個人情報7の復元・再生を行う場合、ユーザ端末2は受付サーバ3に対し、ユーザID6及び識別コード9を送信する。受付サーバ3の認証部35は記憶部33内のユーザID及び識別コードと比較して認証を行う。ユーザID及び識別コード9が一致したとき、受付サーバ3は正規のユーザ端末であると認証し、認証の成立を確認する。認証が成立したとき、受付サーバ3の第2送信部32bは個人情報7に関する識別コード9を保管サーバ4に送信し、識別コード9が付与されている個人情報7の送信を要求する。これにより保管サーバ4は識別コード9に関連した個人情報7を情報記憶部45からピックアップして受付サーバ3に送信する。このときにおいて、保管サーバ4はダミーの識別コード9aが付与されているダミー情報8を受付サーバ3に送信することがない。受付サーバ3が保管サーバ4から個人情報7を受信すると、受付サーバ3はユーザ端末2に個人情報7を送信する。これによりユーザ端末2が個人情報7を復元・再生することができる。このような個人情報の管理システムでは、個人情報7を部分データに分散する必要なく秘匿することができるため、ユーザ端末2は分散した部分データを集める必要がなく個人情報を容易に取得することができる。
On the other hand, when the
1 個人情報管理システム
2 ユーザ端末
3 受付サーバ
4 保管サーバ
5 ネット通信網
6 ユーザID
7 個人情報
8 ダミー情報
9、9a 識別コード
31 41 受信部
32、42 送信部
33 記憶部
34 選択部
35 認証部
43 ダミー情報生成部
44 識別コード生成部
45 情報記憶部
46 ダミー情報格納部
47更新部
1 Personal
7
Claims (5)
前記受付サーバは、前記ユーザ端末からユーザID及びユーザの個人情報を受信したとき、前記個人情報を記憶することなく前記ユーザIDだけを記憶してから前記ユーザID及び前記個人情報を前記保管サーバに送信し、
前記保管サーバは、前記受付サーバから前記個人情報を受信したとき、部分データに分散させない情報のままの個人情報に対し、当該個人情報と無関係なダミー情報を複数生成すると共に、前記個人情報及び複数のダミー情報に対して識別コードをそれぞれ付与して前記個人情報及び複数のダミー情報を前記識別コードと関連付けて記憶した後、前記個人情報に関する識別コードだけを前記受付サーバに送信し、
前記受付サーバは、前記保管サーバからの個人情報に関する識別コードを前記ユーザIDと関連付けて記憶した後、個人情報に関する識別コードを前記ユーザ端末に送信し、その後にユーザ端末から前記ユーザID及び識別コードの送信があったとき、ユーザ端末から送信されたユーザID及び識別コードと記憶したユーザID及び識別コードとが一致するか否かの認証を行い、一致したときに認証の成立を確認し、認証が成立したとき、個人情報に関する識別コードを前記保管サーバに送信することにより保管サーバに対し識別コードに関連した個人情報を要求し、保管サーバから個人情報を受信したとき前記ユーザ端末へ個人情報を送信することを特徴とする個人情報管理システム。 A system in which a user terminal, a reception server that can communicate with the user terminal, and a storage server that can communicate with the reception server are connected via a network.
When the reception server receives a user ID and user personal information from the user terminal, the reception server stores only the user ID without storing the personal information, and then stores the user ID and personal information in the storage server. Send
When the storage server receives the personal information from the reception server, the storage server generates a plurality of dummy information irrelevant to the personal information for the personal information that is not distributed to partial data, Each of the dummy information is assigned an identification code and the personal information and a plurality of dummy information are stored in association with the identification code, and then only the identification code related to the personal information is transmitted to the reception server,
The reception server stores an identification code related to personal information from the storage server in association with the user ID, and then transmits an identification code related to personal information to the user terminal . Thereafter, the user ID and the identification code are transmitted from the user terminal. When the user ID and the identification code transmitted from the user terminal match the stored user ID and the identification code, it is verified whether the stored user ID and the identification code match. Is established, the personal information related to the identification code is requested from the storage server by transmitting an identification code related to the personal information to the storage server, and the personal information is sent to the user terminal when the personal information is received from the storage server. A personal information management system characterized by transmitting.
前記受付サーバは、前記ユーザ端末から2回目以降のユーザID及び個人情報が入力されたとき、ユーザIDと関連付けて記憶した識別コードを選択し、選択した識別コード及び2回目以降の個人情報を前記保管サーバに送信し、
前記保管サーバは、前記受付サーバから識別コードが入力されたとき、記憶している識別コードと比較し、同じ識別コードのとき個人情報を2回目以降の個人情報に更新し、更新した個人情報に対し複数のダミー情報を生成し、更新した個人情報及び生成した複数のダミー情報に対し識別コードをそれぞれ付与して更新した個人情報及び複数のダミー情報を識別コードと関連付けて記憶することを特徴とする個人情報管理システム。 The personal information management system according to claim 1,
The reception server selects an identification code stored in association with a user ID when a user ID and personal information for the second and subsequent times are input from the user terminal, and selects the selected identification code and personal information for the second and subsequent times. To the storage server,
When the identification code is input from the reception server, the storage server compares the stored identification code with the stored identification code, and when the identification code is the same , updates the personal information to the personal information for the second time or later. A plurality of dummy information is generated, and the updated personal information and the generated plurality of dummy information are each assigned an identification code, and the updated personal information and the plurality of dummy information are stored in association with the identification code. Personal information management system.
前記受付サーバは、
前記ユーザ端末から送信されたユーザID及びユーザの個人情報の中からユーザIDだけを選択する選択部と、
前記ユーザID及び前記保管サーバからの識別コードを関連付けて記憶する記憶部と、
前記ネット通信網を介して受信したユーザID及び識別コードを前記記憶部内のユーザID及び識別コードと比較してユーザ端末を認証する認証部と、
前記認証部による認証が成立したとき前記個人情報の送信を前記保管サーバに要求する受付サーバ側第1送信部と、
前記保管サーバからの個人情報を受信したとき、受信した個人情報を前記ユーザ端末に送信する受付サーバ側第2送信部を備え、
前記保管サーバは、
前記受付サーバから入力されたユーザの個人情報の文字列に対し無関係な文字列からなるダミー情報を複数生成するダミー情報生成部と、
前記個人情報及び複数のダミー情報に対し識別コードをそれぞれ付与する識別コード生成部と、
前記個人情報及び複数のダミー情報を前記識別コードと関連付けて記憶する情報記憶部と、
前記識別コードの中から前記個人情報に対する識別コードだけを前記受付サーバに送信する保管サーバ側第1送信部と、
前記受付サーバから前記個人情報の送信要求があったとき、前記個人情報を前記受付サーバに送信する保管サーバ側第2送信部とを備えていることを特徴とする個人情報管理システム。 The personal information management system according to claim 1,
The reception server is
A selection unit that selects only the user ID from the user ID and user personal information transmitted from the user terminal;
A storage unit for storing the user ID and the identification code from the storage server in association with each other;
An authentication unit that authenticates the user terminal by comparing the user ID and the identification code received via the net communication network with the user ID and the identification code in the storage unit;
A first transmission unit on the receiving server side that requests the storage server to transmit the personal information when authentication by the authentication unit is established;
When receiving personal information from the storage server, the reception server side second transmission unit for transmitting the received personal information to the user terminal,
The storage server
A dummy information generation unit that generates a plurality of dummy information composed of character strings irrelevant to the character string of the user's personal information input from the reception server;
An identification code generating unit that assigns an identification code to each of the personal information and the plurality of dummy information;
An information storage unit for storing the personal information and a plurality of dummy information in association with the identification code;
A storage server side first transmission unit for transmitting only the identification code for the personal information from the identification code to the reception server;
A personal information management system comprising: a second transmission unit on a storage server side that transmits the personal information to the reception server when a request for transmission of the personal information is received from the reception server.
前記受付サーバは、
前記ユーザ端末から2回目以降のユーザID及び個人情報が入力されたとき、ユーザIDと関連付けて記憶した識別コードを前記記憶部から選択し、選択した識別コード及びユーザ端末からの個人情報を前記保管サーバに送信する履歴送信部をさらに有し、
前記保管サーバは、
前記受付サーバの履歴送信部から識別コードが入力されたとき、前記情報記憶部に記憶されている識別コードと比較し、入力された識別コードと情報記憶部の識別コードとが同じとき情報記憶部内の個人情報を2回目以降の個人情報に更新する更新部をさらに有し、
前記ダミー情報生成部は前記更新部が更新した個人情報に対し複数のダミー情報を生成し、前記識別コード生成部は更新した個人情報及び生成した複数のダミー情報に対し識別コードをそれぞれ付与することを特徴とする個人情報管理システム。 The personal information management system according to claim 3,
The reception server is
When a user ID and personal information for the second and subsequent times are input from the user terminal, an identification code stored in association with the user ID is selected from the storage unit, and the selected identification code and personal information from the user terminal are stored. A history transmission unit for transmitting to the server;
The storage server
When an identification code is input from the history transmission unit of the reception server, the identification code stored in the information storage unit is compared. When the input identification code is the same as the identification code of the information storage unit, the information storage unit An update unit that updates the personal information of
The dummy information generation unit generates a plurality of dummy information for the personal information updated by the updating unit, and the identification code generation unit assigns an identification code to the updated personal information and the generated plurality of dummy information, respectively. Personal information management system characterized by
前記保管サーバは、
前記個人情報の構成単位の文字列と無関係な文字列を複数格納したダミー情報格納部をさらに有し、
前記ダミー情報生成部は前記ダミー情報格納部から複数の文字列をピックアップして複数のダミー情報を生成することを特徴とする個人情報管理システム。 The personal information management system according to claim 3,
The storage server
A dummy information storage unit that stores a plurality of character strings irrelevant to the character string of the constituent unit of the personal information;
The personal information management system, wherein the dummy information generation unit generates a plurality of dummy information by picking up a plurality of character strings from the dummy information storage unit.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015001925A JP6358578B2 (en) | 2015-01-08 | 2015-01-08 | Personal information management system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015001925A JP6358578B2 (en) | 2015-01-08 | 2015-01-08 | Personal information management system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016126676A JP2016126676A (en) | 2016-07-11 |
JP6358578B2 true JP6358578B2 (en) | 2018-07-18 |
Family
ID=56359528
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015001925A Active JP6358578B2 (en) | 2015-01-08 | 2015-01-08 | Personal information management system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6358578B2 (en) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006018817A (en) * | 2004-06-01 | 2006-01-19 | Toshiba Corp | Medical image storage device, medical image device, medical image system and medical image information storage method |
JP2007018028A (en) * | 2005-07-05 | 2007-01-25 | Takeshi Kamei | Information protection system, information protection server, information protection method, information protection program |
JP2010033385A (en) * | 2008-07-29 | 2010-02-12 | Nec Corp | Network telephone directory system, network telephone directory management method and program |
JP2010186250A (en) * | 2009-02-10 | 2010-08-26 | Nippon Telegr & Teleph Corp <Ntt> | Distributed information access system, distributed information access method, and program |
JP5710565B2 (en) * | 2012-09-14 | 2015-04-30 | ヤフー株式会社 | User information management device, user information management method, and user information management program |
-
2015
- 2015-01-08 JP JP2015001925A patent/JP6358578B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2016126676A (en) | 2016-07-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6547079B1 (en) | Registration / authorization method, device and system | |
CN113742782B (en) | Block chain access authority control method based on privacy protection and block chain system | |
JP4993733B2 (en) | Cryptographic client device, cryptographic package distribution system, cryptographic container distribution system, and cryptographic management server device | |
CN110300112A (en) | Block chain key tiered management approach | |
CN101605137A (en) | Safe distribution file system | |
CN103731395A (en) | Processing method and system for files | |
CN103535007B (en) | The administrative authentication of distributed network | |
KR20100062013A (en) | Method for data encryption and method for data search using conjunctive keyword | |
CN101341691A (en) | Authorisation and authentication | |
EP3395004B1 (en) | A method for encrypting data and a method for decrypting data | |
CN109861829B (en) | Cloud data justice auditing system supporting dynamic updating and auditing method thereof | |
CN110837491A (en) | Block chain financial big data processing system and method | |
CN108121904B (en) | Unlocking method, device, electronic equipment and server | |
JP4997769B2 (en) | Cryptographic communication system, key sharing method, and key providing apparatus | |
KR102359826B1 (en) | Digital property code management system based on blockchain and method thereof | |
CN109981677A (en) | A kind of credit management method and device | |
CN115514470B (en) | Storage method and system for community correction data security | |
JP3215882U (en) | Cloud storage based file access control system | |
CN110490561B (en) | Distributed encryption management method, device and system for encryption currency wallet | |
JP6358578B2 (en) | Personal information management system | |
CN112235324B (en) | Key management system, updating method and reading method based on KeyStore key tree | |
CN113726515B (en) | UKEY-based key processing method, storage medium and electronic device | |
EP2689570A1 (en) | Anonymous and unlinkable distributed communication and data sharing system | |
CN109670338A (en) | A kind of method and system of data whole process encryption | |
CN108282332A (en) | A kind of data signature method and device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170929 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20170929 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20171012 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180110 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180219 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180523 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180611 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6358578 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |