発明の目的および利点は、請求の範囲に具体的に記載された構成要素および組み合わせによって実現され達成される。
前述の一般的な説明および以下の詳細な説明は、典型例および説明のためのものであって、本発明を限定するためのものではない、と理解される。
本発明の非限定的な実施形態を、図面を参照して説明する。図面において、同様のコンポーネントおよび要素には同じ参照番号が付されている。
例えば、救急医療の現場において、救助対象者または患者が、話をすることができない状態にあるが、例えば携帯電話機のような端末装置を持っていることがある。このような場合、救助員または医師もしくは看護師が、端末装置を用いて装置内でまたは遠隔的にアクセス可能な個人情報を参照して救助対象者または患者に適切な応急処置を施すことが望ましいことがある。しかし、端末装置にロックがかけられている場合、救助員等は、端末装置を操作するために、まず端末装置のロックを解除することが求められ、所要の情報を取得できない。また、救助員等にとって操作方法が不明な端末装置もある。このような場合、救助員等は、端末装置を操作できず救助対象者または患者に関する情報を取得できない。
また、救助員等が端末装置を操作可能な場合でも、端末装置に、所要の情報が格納されているとは限らず、救助または医療に無関係な個人情報が格納されている可能性もある。また、救助員等が端末装置を操作して遠隔的に個人情報を取得できる場合でも、個人情報を保護するために、個人情報へのアクセスは制限されることが望ましい。
また、例えば警察署または交通機関のような公的または公共機関の拾得物担当部署において、担当者は例えば携帯電話機のような端末装置を落し物として預かる場合がある。このような場合、担当者は、端末装置を用いて装置内でまたは遠隔的にアクセス可能な個人情報を参照して、落し主の連絡先に関する情報を取得することを望むであろう。しかし、端末装置にロックがかけられている場合、担当者は、端末装置を操作するにはまず端末装置のロックを解除することが求められ、情報を取得できない。また、担当者にとって操作方法が不明な端末装置もある。このような場合、担当者は、端末装置を操作できず連絡先に関する情報を取得できない。
また、担当者が端末装置を操作可能な場合でも、端末装置に、連絡先に関する情報が格納されているとは限らず、連絡先以外の個人情報が格納されている可能性もある。また、担当者が端末装置を操作して遠隔的に個人情報を取得できる場合でも、個人情報を保護するために、個人情報へのアクセスは制限されることが望ましい。
さらに、救急医療の現場において、救助対象者の端末装置は、個々に操作方法および情報の表示形態が異なることがあり、遠隔的に情報管理装置から取得された情報の閲覧性が不統一で見にくい可能性がある。また、救助対象者の端末装置または汎用の端末装置では、個人情報のセキュリティ(安全性)の観点で、操作者の操作によって個人情報がコピーされたり送信されたりして外部に漏洩するのを防止することが望ましい。
発明者たちは、端末装置にロックがかけられていても又はいなくても、操作者が、端末装置に対して特定の操作を行うことによって、端末装置の使用者に関する情報を特定するための特定情報を情報管理装置から取得できるようにすることが望ましい、と認識した。また、発明者たちは、操作者が、端末装置の使用者に関する情報を特定する特定情報と、操作者の判定情報とを別の端末装置から情報管理装置へ送信することによって、情報管理装置から所要の情報だけを安全に取得できるようにすることが望ましい、と認識した。また、発明者たちは、特定のまたは専用の端末装置を用いれば、操作性および情報表示形態が常に同じになり、個人情報の漏洩を確実に防止することができる、と認識した。
実施形態の目的は、端末装置での認証に関係なく、端末装置での特定の操作によって、端末装置の使用者に関する所要の情報を確実にかつ安全な形態で遠隔的に取得できるようにすることである。また、実施形態の別の目的は、端末装置の使用者に関する所要の情報を別個の端末装置で漏洩しない形態で表示できるようにすることである。これらの目的は、実施形態によって達成することができる。
図1Aは、実施形態による、情報管理用のサーバ装置10、携帯型の端末装置20、および携帯型の端末装置30を含む情報開示のためのシステム2の例を示している。
図1Aのシステム2において、サーバ装置10は、ネットワーク5に接続されている。端末装置20および端末装置30は、それぞれ移動体通信用の無線基地局(アクセスポイント)52、54を介してネットワーク5に接続される。ネットワーク5は、移動体通信網およびインターネットを含んでいてもよい。無線基地局52と54は、異なる移動体通信業者によって運営されるものであってもよい。無線基地局52は、端末装置20に対して通常の移動体通信サービスを提供するものとする。また、無線基地局54は、端末装置30に対して、接続の優先度または接続確率が高い移動体通信サービスを提供するものとする。
端末装置20は、例えば、携帯電話機、スマートフォン、タブレット型またはノートブック型のパーソナル・コンピュータ、またはPDA(Personal Digital Assistant)のようなモバイル型の情報処理端末であってもよい。また、端末装置30は、別個の特定のまたは専用の携帯端末であり、例えば、タブレット型またはノートブック型のパーソナル・コンピュータのようなモバイル型の情報処理端末であってもよい。
サーバ装置10は、情報処理装置であり、例えば、プロセッサ102、記憶部106および通信部108を含んでいる。サーバ装置10は、外付けのドライブ16に接続可能である。
プロセッサ102は、コンピュータ用のCPU(Central Processing Unit)であってもよい。記憶部106は、主記憶装置および補助記憶装置を含んでいる。主記憶装置は、半導体メモリ等の記憶装置を含んでいる。補助記憶装置は、例えば、ハードディスク・ドライブ(HDD)、および/または、フラッシュ・メモリのような半導体メモリを含んでいる。ドライブ16は、ソフトウェアが記録された例えば光ディスクまたは磁気ディスクのような記録媒体164を読み取るためのものであってもよい。そのソフトウェアは、例えば、OS、データベース管理システム(DBMS)、アプリケーション・プログラム、等を含んでいてもよい。アプリケーション・プログラムは、情報管理用のアプリケーションを含んでいてもよい。
プロセッサ102は、例えば集積回路として実装された専用のプロセッサであってもよい。また、プロセッサ102は、記憶部106に格納されたアプリケーション・プログラムに従って動作するものであってもよい。アプリケーション・プログラムは、記録媒体164に格納されていて、ドライブ16によって記録媒体164から読み出されてサーバ装置10にインストールされてもよい。
図1Bは、サーバ装置10の記憶部106に格納されているデータベースの例を示している。
記憶部106は、例えば、端末装置20の使用者またはユーザの個人情報データベース170、および権限情報管理データベース182を格納している。個人情報データベース170は、個人入力情報172および機関入力情報174を含んでいる。サーバ装置10または記憶部106は、端末装置20の使用者の個人情報データベース170、および権限情報管理データベース182を格納している遠隔の記憶装置と見ることもできる。
個人入力情報172は、使用者によって端末装置20を用いて入力されてサーバ装置10の個人情報データベース170に保存された情報であり、権限者または特定の者に開示可能な情報である。機関入力情報174は、例えば医療機関のような機関の情報処理端末で担当者によって入力されてサーバ装置10の個人情報データベース170に保存された情報であり、権限者または特定の者に開示可能な情報である。個人入力情報172及び機関入力情報174は、例えば、氏名、性別、生年月日、職業、住所、勤務先情報を含み、さらに、血液型、身長、体重、病歴、持病、ドナー登録情報、連絡先(電話番号、電子メールアドレス)、通院した病院、等の情報を含んでいてもよい。
権限情報管理データベース182は、端末装置20の電話番号、電子メールアドレス、使用者の識別情報(ID)およびパスワード、並びに、権限者の端末装置30の電話番号、電子メールアドレスおよび使用者の識別情報(ID)及びパスワードを含んでいてもよい。
権限情報管理データベース182には、さらに、ワンタイム・アクセスコードおよび定期アクセスコードが格納されてもよい。ここで、アクセスコードは、サーバ装置10において端末装置20の使用者またはその個人情報を特定しまたは識別するための特定情報または識別情報である。また、権限情報管理データベース182は、さらに、アクセスコードを生成するためのロジックまたは条件情報を格納してもよい。アクセスコードを生成するためのロジックまたは条件情報として、一時的またはワンタイム・アクセスコードを生成するための条件を表すものと、定期アクセスコードを生成するための条件を表すものとがある。ワンタイム・アクセスコードを生成するためのロジックまたは条件情報は、サーバ装置10のみで用いられ、任意に変更されてもよい。また、定期アクセスコードを生成するためのロジックまたは条件情報は、サーバ装置10において、セキュリティ上の理由で定期的に決定され更新されて、端末装置20に送信されて端末装置20に保存され、サーバ装置10と端末装置20の双方で用いられる。定期アクセスコードを生成するためのロジックまたは条件情報は、例えば、毎日または1日おきに定時刻に更新されてもよい。定期アクセスコードを生成するためのロジックまたは条件情報が毎日更新される場合、定期アクセスコードはデイリー・アクセスコードと称されてもよい。
図2は、端末装置20の概略的な構成(configuration)の例を示している。
端末装置20は、例えば、プロセッサまたは制御部202、入出力インタフェース(I/O)204を含んでいる。また、端末装置20は、入出力インタフェース204に接続された、メモリ206、記憶装置208、移動体通信部222、表示部224、音響部226、入力部228、および近距離通信部230を含んでいる。
プロセッサ202は、コンピュータ用のCPU(Central Processing Unit)であってもよい。メモリ206は、例えば、主記憶装置および半導体メモリ等を含んでいる。記憶装置208は、例えばSD(セキュア・ディジタル)メモリまたはUSBメモリ等のフラッシュ・メモリのような半導体メモリを含んでいてもよい。
端末装置20は、外付けドライブ260に接続可能であってもよい。ドライブ260は、ソフトウェアまたはプログラムが記録された例えば光ディスクまたは磁気ディスクのような記録媒体264を読み取るためのものであってもよい。そのソフトウェアは、例えば、OS、データベース管理システム(DBMS)、アプリケーション・プログラム、等を含んでいてもよい。アプリケーション・プログラムは、情報管理用のサーバ装置10と交信してワンタイム・アクセスコードおよびロジックまたは条件情報を受信し、ロジックまたは条件情報に従って定期アクセスコードを生成するためのアプリケーションを含んでいてもよい。
プロセッサ202は、例えば集積回路として実装された専用のプロセッサであってもよい。また、プロセッサ202は、メモリ206および/または記憶装置208に格納されたOSおよびアプリケーション・プログラムに従って動作するものであってもよい。アプリケーション・プログラムは、記録媒体264に格納されていて、ドライブ260によって記録媒体264から読み出されて端末装置20にインストールされてもよい。代替形態として、アプリケーション・プログラムは、ネットワーク5上のサーバ装置からダウンロードされて端末装置20にインストールされてもよい。
表示部224は、例えば、液晶表示装置、またはタッチパネル付き液晶表示装置であってもよい。音響部226は、例えば、マイクロホン、スピーカ、およびレシーバを含んでいてもよい。入力部228は、例えば、複数のキー、タッチパッド、テンキー、キーボード、タッチパネル、および/またはポインティング・デバイスを含んでいてもよい。
移動体通信部222は、移動体通信用の無線基地局52を介しネットワーク5を介して端末装置20をサーバ装置10に接続することができる。近距離通信部230は、他の端末装置(30)の近距離通信部(330)と無線通信することができ、例えば、赤外線通信、ブルートゥース、近距離無線通信(NFC)の規格のものであってもよい。
図3は、端末装置30の概略的な構成(configuration)の例を示している。
端末装置30は、例えば、プロセッサまたは制御部302、入出力インタフェース(I/O)304を含んでいる。また、端末装置30は、入出力インタフェース304に接続された、メモリ306、記憶装置308、移動体通信部322、表示部324、音響部326、入力部328、および近距離通信部330を含んでいる。
プロセッサ302は、コンピュータ用のCPU(Central Processing Unit)であってもよい。メモリ306は、例えば、主記憶装置および半導体メモリ等を含んでいる。記憶装置308は、例えばSD(セキュア・ディジタル)メモリまたはUSBメモリ等のフラッシュ・メモリのような半導体メモリ、および/またはハードディスク・ドライブ(HDD)を含んでいてもよい。
端末装置30は、外付けドライブ360に接続可能であってもよい。ドライブ360は、ソフトウェアまたはプログラムが記録された例えば光ディスクまたは磁気ディスクのような記録媒体364を読み取るためのものであってもよい。そのソフトウェアは、例えば、OS、データベース管理システム(DBMS)、アプリケーション・プログラム、等を含んでいてもよい。アプリケーション・プログラムは、情報管理用のサーバ装置10と交信して個人情報データベース170にアクセスするためのアプリケーションを含んでいてもよい。
プロセッサ302は、例えば集積回路として実装された専用のプロセッサであってもよい。また、プロセッサ302は、メモリ306および/または記憶装置308に格納されたOSおよびアプリケーション・プログラムに従って動作するものであってもよい。アプリケーション・プログラムは、記録媒体364に格納されていて、ドライブ360によって記録媒体364から読み出されて端末装置30にインストールされてもよい。代替形態として、アプリケーション・プログラムは、ネットワーク5上のサーバ装置からダウンロードされて端末装置30にインストールされてもよい。
表示部324は、例えば、液晶表示装置、またはタッチパネル付き液晶表示装置であってもよい。音響部326は、例えば、マイクロホン、スピーカ、およびレシーバを含んでいてもよい。入力部328は、例えば、複数のキー、タッチパッド、テンキー、キーボード、タッチパネル、および/またはポインティング・デバイスを含んでいてもよい。
移動体通信部322は、移動体通信用の無線基地局54を介しネットワーク5を介して端末装置30をサーバ装置10に接続することができる。近距離通信部330は、他の端末装置(20)の近距離通信部(230)と無線通信することができ、例えば、赤外線通信、ブルートゥース、近距離無線通信(NFC)の規格のものであってもよい。
次は、サーバ装置10、端末装置20および端末装置30の概略的な構成および動作を説明する。
図4は、サーバ装置10のプロセッサ102の概略的な構成(configuration)の例を示している。
プロセッサ102は、制御部1020、アプリケーション部1022、通信処理部1024、アクセスコード管理部1026、ロジック管理部または条件情報管理部1028、および正当性判定部または認証部1030を含んでいる。また、プロセッサ102は、情報提示部1032およびその他の処理部1036を含んでいる。制御部1020は、アプリケーション部1022、通信処理部1024、アクセスコード管理部1026、ロジック管理部1028、正当性判定部1030、情報提示部1032および処理部1036に制御信号を供給して、これらの要素の動作を制御してもよい。
アクセスコード管理部1026は、各ロジックまたは条件情報に従ってワンタイム・アクセスコードおよび定期アクセスコードを生成して保存する。ロジック管理部1028は、ワンタイム・アクセスコードおよび定期アクセスコードを生成するためのロジックまたは条件情報を管理する。ロジック管理部1028は、定期アクセスコードを生成するためのロジックまたは条件情報を、定期的に端末装置20に送信する。正当性判定部1030は、端末装置30の操作者または使用者の権限の正当性に関する権限情報または判定情報を管理し、端末装置30から受信した判定情報に基づいて端末装置30の操作者の正当性を判定する。情報提示部1032は、端末装置30からの要求に応答して、個人情報データベース170中の要求された個人情報の開示を許容し、要求された個人情報を端末装置30送信する。処理部1036は、端末装置20から受信した開示用の個人情報を個人入力情報172として個人情報データベース170に保存する。また、処理部1036は、医療機関のような機関の情報処理端末から受信した開示用の個人情報を個人入力情報172として個人情報データベース170に保存する。
図5は、端末装置20のプロセッサ202の概略的な構成(configuration)の例を示している。
プロセッサ202は、制御部2020、アプリケーション部2022、ロック設定部または認証部2024、発信処理部2026、アクセスコード取得部2028、ロジック管理部2030、個人情報入力部2032、およびその他の処理部2036を含んでいる。制御部2020は、アプリケーション部2022、ロック設定部または認証部2024、発信処理部2026、アクセスコード取得部2028およびロジック管理部2030に制御信号を供給して、これらの要素の動作を制御してもよい。また、制御部2020は、個人情報入力部2032および処理部2036に制御信号を供給して、これらの要素の動作を制御してもよい。
ロック設定部または認証部2024は、使用者による端末装置20の操作に従って端末装置20をロック状態に設定しまたは端末装置20のロック設定を解除し、ロック解除に失敗した場合にエラーを発生する。発信処理部2026は、操作者による端末装置20の操作に従って端末装置20を発信させ、発信に失敗した場合にエラーを発生する。アクセスコード取得部2028は、サーバ装置10と接続してサーバ装置10からワンタイム・アクセスコードを取得し、またはアクセスコード発生用のロジックに従って定期アクセスコードを生成する。個人情報入力部2032は、使用者による端末装置20の操作に従ってサーバ装置10と接続して、使用者によって入力された個人情報をサーバ装置10の個人情報データベース170に保存する。
図6は、端末装置30のプロセッサ302の概略的な構成(configuration)の例を示している。
プロセッサ302は、制御部3020、アプリケーション部3022、個人情報取得部3028、情報提示部3030、情報保護部3032、およびその他の処理部3036を含んでいる。制御部3020は、アプリケーション部3022、個人情報取得部3028、情報提示部3030、情報保護部3032および処理部3036に制御信号を供給して、これらの要素の動作を制御してもよい。
個人情報取得部3028は、操作者による端末装置30の操作に従って端末装置20からアクセスコードを受信して一時的に格納し、または操作者によって入力されたアクセスコードを一時的に格納する。また、個人情報取得部3028は、操作者によって入力された判定情報または権限情報(識別情報およびパスワード)を格納する。個人情報取得部3028は、さらに、判定情報または権限情報およびアクセスコードを含む情報開示要求をサーバ装置10に送信して、サーバ装置10から端末装置20の使用者に関する個人情報にアクセスし個人情報を受信する。情報提示部3030は、受信した個人情報を特定の形式で表示部324に表示する。
情報保護部3032は、サーバ装置10から受信した個人情報を保護する。情報保護部3032は、例えば、個人情報のコピーを防止するために、端末装置30の操作におけるコピー機能を抑止する。また、情報保護部3032は、例えば、個人情報の送信または転送を防止するために、端末装置30の記憶装置308への情報の書き込み、外部への接続、およびデータ転送(例、USBポートへのデータ転送)を抑止する。また、情報保護部3032は、例えば、個人情報の永久保存を防止するために、ワンタイム・アクセスコードおよび定期アクセスコードの有効期限内での所定回数までの使用またはアクセスのみを許容する。また、情報保護部3032は、例えば、閲覧後の個人情報または受信情報を消去する。また、情報保護部3032は、例えば、救助員の任務終了後、端末装置30における個人情報または受信情報を消去する。従って、情報保護部3032は、メモリ306または記憶装置308に一時的に格納された個人情報へのアクセス回数が所定回数を超えた場合、または、アクセス期間が所定の期間外である場合に、個人情報へのアクセスを許容しない。
次は、サーバ装置10、端末装置20および端末装置30における概略的な送受信および処理を説明する。
図7Aおよび7Bは、端末装置20、端末装置30およびサーバ装置10での送受信および処理の手順の例を示している。この場合、端末装置20は、使用者である情報取得対象者または救助対象者によってセキュリティのためのロックがかけられており、最初の操作画面として、セキュリティ・ロック解除用の認証コードまたは暗証番号を入力するための画面が表示されるものとする。図7Aおよび7Bの手順は、例えば救助員のような操作者による端末装置20の操作で開始される。
図7Aを参照すると、ステップ522において、救助員のような操作者は、救助対象者または情報取得対象者の端末装置20に対して特定の操作を行って意図的に操作エラーを発生させる。特定の操作は、例えば、閾値回数(例えば、0回、1回または2回)を超える回数(例えば、1回、2回または3回)の誤ったロック解除操作であってもよい。その際、特定の操作において、ロックの解除に用いられる誤ったコードは、使用されない特定のコード(例えば、“****”、“####”、“0000”、“9999”)であってもよい。一方、ロック解除のための何らかのコードが入力されると、端末装置20のプロセッサ202(またはそのロック設定部2024)は、入力されたコードを正しいロック解除用の認証コードと比較して、入力されたコードが正しいかどうかを判定する。入力されたコードが誤っていると判定された場合、プロセッサ202(ロック設定部2024)は特定のエラーを発生させる。一方、入力されたコードが正しいと判定された場合は、プロセッサ202(ロック設定部2024)は端末装置20のロックを解除する。
ステップ524において、エラーの発生に応答して、プロセッサ202(またはそのアクセスコード取得部2028)は、ロック解除エラーおよび入力コードを検出して、同じロック解除エラーの連続的な発生回数が、閾値回数を超えたかどうかを判定する。同じロック解除エラーは、例えば、同じ特定の入力コードを用いたロック解除エラーであってもよい。また、閾値回数は、例えば2回または3回であってもよい。
ロック解除エラーの連続的な発生回数が閾値回数を超えたと判定された場合、ステップ534において、プロセッサ202(アクセスコード取得部2028)は、端末装置20における特定の操作を検知したと判定する。次いで、プロセッサ202(アクセスコード取得部2028)は、移動体通信部222に、無線基地局52を介してHTTPSプロトコルによるGET要求で、電話番号を含む、特定情報またはアクセスコードの要求をサーバ装置10へ送信させる。サーバ装置10のプロセッサ102(またはその通信処理部1024)は、通信部108を介して要求を受信する。このようにして、端末装置20にロックがかかっていても、端末装置20でのロック解除または認証の成功に関係なく、端末装置20での特定の操作によって、特定情報またはアクセスコードの要求をサーバ装置10に送信することができる。
ステップ542において、サーバ装置10のプロセッサ102(通信処理部1024)は、権限情報管理データベース182を参照して、受信した要求に含まれる電話番号が登録されているかどうかを判定する。端末装置20の使用者の電話番号は、端末装置20の使用者の識別情報と共に、サーバ装置10に予め登録されて、権限情報管理データベース182に格納されている。電話番号が登録されていると判定された場合、手順はステップ544に進む。電話番号が登録されていない場合、プロセッサ102(通信処理部1024)は、端末装置20が登録されていない旨の応答を送信元の端末装置20に送信してもよい。
ステップ544において、プロセッサ102の通信処理部1024は、受信した特定情報またはワンタイム・アクセスコードの要求を、プロセッサ102のアクセスコード管理部1026に与える。
ステップ552において、プロセッサ102のアクセスコード管理部1026は、特定情報またはワンタイム・アクセスコードの要求に応答して、権限情報管理データベース182に格納されたロジックまたは条件情報に従ってワンタイム・アクセスコードを生成する。ワンタイム・アクセスコードを生成するためのロジックまたは条件情報は、例えば、端末装置20の電話番号、使用者の識別情報、日時および/または乱数に基づいてワンタイム・アクセスコードを生成するための論理であってもよい。その論理は、例えば、AND、OR、NOT、XORの論理演算、および/または四則演算を含んでいてもよい。
ステップ554において、プロセッサ102のアクセスコード管理部1026は、生成したワンタイム・アクセスコードを、端末装置20の電話番号および/または使用者の識別情報に関連づけて記憶部106の権限情報管理データベース182に保存する。識別情報は、端末装置20の使用者の権限情報管理データベース182中の個人入力情報172および機関入力情報174に対応付けられている。
ステップ558において、プロセッサ102のアクセスコード管理部1026は、端末装置20に対して、生成したワンタイム・アクセスコードを発行して、通信処理部1024に渡す。ステップ562において、通信処理部1024は、通信部108を介しネットワーク5を介して、ワンタイム・アクセスコードを含む応答を端末装置20に送信する。
ステップ572において、端末装置20のプロセッサ202(アクセスコード取得部2028)は、サーバ装置10から移動体通信部222を介してワンタイム・アクセスコードを受信してメモリ206または記憶装置208に保存して表示部224に表示する。
図7Bを参照すると、ステップ574において、操作者は、端末装置30の近距離通信部330を端末装置20の近距離通信部230に接近させて、ワンタイム・アクセスコードを端末装置20から受信するよう端末装置30を操作する。その際、端末装置20のプロセッサ202(アクセスコード取得部2028)は、受信したワンタイム・アクセスコードを、近距離通信部230を介して端末装置30に特定の期間だけ繰り返し送信してもよい。代替形態として、ステップ582において、操作者は、端末装置30の入力部328を操作して、表示部224に表示されたワンタイム・アクセスコードを端末装置30に手動で入力してもよい。一方、端末装置30のプロセッサ302(またはその個人情報取得部3028)は、受信したまたは入力されたワンタイム・アクセスコードをメモリ306に一時的に格納する。
ステップ582において、操作者は、さらに、端末装置30の入力部328を操作して、操作者の権限情報または判定情報としての操作者の識別情報およびパスワードを入力する。ここで、識別情報およびパスワードは、サーバ装置10において操作者の正当性を判定するための判定情報でもある。一方、端末装置30のプロセッサ302(またはその個人情報取得部3028)は、入力された権限情報または判定情報をメモリ306に一時的に格納する。
ステップ584において、端末装置30のプロセッサ302(個人情報取得部3028)は、操作者の操作に従って移動体通信部322に、無線基地局54を介して、HTTPSプロトコルによるGET要求で、電話番号を含む、個人情報に関する情報開示要求をサーバ装置10へ送信させる。移動体通信部322は、情報開示要求を無線基地局54を介しネットワーク5を介してサーバ装置10に送信する。この場合、情報開示要求は、個人情報に関する情報の開示の要求を表すものであり、操作者の判定情報としての操作者の識別情報およびパスワード、およびワンタイム・アクセスコードを含んでいる。サーバ装置10の通信処理部1024は、情報開示要求を受信してプロセッサ102の正当性判定部1030に渡す。
ステップ592において、プロセッサ102の正当性判定部1030は、受信した判定情報としての識別情報およびパスワードを、権限情報管理データベース182における権限者の識別情報およびパスワードと比較して端末装置30の操作者の正当性を判定しまたは認証を行う。ステップ594において、プロセッサ102の正当性判定部1030は、判定結果(正当、非正当)を含む応答を、通信処理部1024を介しネットワーク5を介して端末装置30に送信する。ステップ588において、端末装置30のプロセッサ302(個人情報取得部3028)は、判定結果(正当、非正当)を表示部324に表示する。判定結果が正当である場合は、手順はステップ596に進む。
このようにして、ステップ592において端末装置30の操作者が正当な権限者であると判定される。また、サーバ装置10に予め登録された権限者の種別または属性に基づいて、対応する端末装置20の使用者の個人情報の最小限の開示範囲が決定されてもよい。個人情報の開示範囲は、例えば、種別としての救助員に対しては、氏名、性別、生年月日、住所、血液型、身長、体重、病歴、持病、連絡先、通院した病院の情報であってもよく、職業等の情報は開示されなくてもよい。また、個人情報の開示範囲は、例えば、種別としての拾得物担当者に対しては、氏名および連絡先だけであってもよく、性別、生年月日、職業、等の情報は開示されなくてもよい。
ステップ596において、プロセッサ102の正当性判定部1030は、正当性判定に成功した場合は、受信したワンタイム・アクセスコードを含むアクセスコード判定要求をプロセッサ102のアクセスコード管理部1026に渡す。
ステップ602において、プロセッサ102のアクセスコード管理部1026は、受信したアクセスコードの種別が、ワンタイム・アクセスコードかまたは定期アクセスコードかを判定する。ワンタイム・アクセスコードと定期アクセスコードとは、異なる種別情報を含んでいてもよい。受信したアクセスコードの種類がワンタイム・アクセスコードであると判定された場合は、手順はステップ604に進む。受信したアクセスコードの種類が定期アクセスコードであると判定された場合の手順は、図8B(ステップ605等)に関連して後で説明する。
ステップ604において、プロセッサ102のアクセスコード管理部1026は、受信したワンタイム・アクセスコードが、ステップ554において生成して保存したワンタイム・アクセスコードと一致するかどうかを判定する。
受信したワンタイム・アクセスコードが、生成して保存したワンタイム・アクセスコードと一致した場合、ステップ606において、プロセッサ102のアクセスコード管理部1026は、判定結果(一致)を情報提示部1032および通信処理部1024に渡す。情報提示部1032は、情報開示要求を送信した端末装置30の操作者の判定情報または権限情報を、ワンタイム・アクセスコードを受信した端末装置20の使用者またはその個人情報と関連づけて記憶部106に記録し、使用者の個人情報の開示を決定する。一方、受信したワンタイム・アクセスコードが、生成して保存したワンタイム・アクセスコードと一致しなかった場合、ステップ606において、プロセッサ102のアクセスコード管理部1026は、判定結果(不一致)を通信処理部1024に渡す。
ステップ608において、プロセッサ102のアクセスコード管理部1026は、一定期間(例えば、10分)の経過後、端末装置20に送信した権限情報管理データベース182におけるワンタイム・アクセスコードを削除して無効化する。それによって、同じワンタイム・アクセスコードを用いたその後の情報開示要求が拒否され、それによって個人情報への不正アクセスが防止でき、個人情報のセキュリティまたは安全性を高くすることができる。
ステップ612において、プロセッサ102の通信処理部1024は、判定結果(一致、不一致)を含む応答を、通信部108を介しネットワーク5を介して端末装置30に送信する。ステップ622において、端末装置30のプロセッサ302(個人情報取得部3028)は、判定結果(一致、不一致)を受信して表示部324に表示する。判定結果が一致である場合、手順はステップ614に進む。一方、判定結果が不一致である場合、プロセッサ102は処理を終了させる。
ステップ614において、プロセッサ102の情報提示部1032は、特定情報としてのワンタイム・アクセスコードに基づいて、個人情報データベース170を検索して端末装置20の使用者の個人入力情報172および機関入力情報174を取り出す。その際、ワンタイム・アクセスコードに対応する端末装置20の電話番号または使用者の識別情報が用いられてもよい。その際、端末装置20の使用者の個人情報のうちの、例えば救助員または拾得物担当者のような権限者の種別または属性に対応する開示範囲の情報だけが取り出されてもよい。それによって、プロセッサ302の情報提示部3030は、権限者に対して必要最小限の個人情報だけを開示することができる。ステップ616において、プロセッサ102の情報提示部1032は、取り出した個人情報を含む応答を、通信処理部1024を介しネットワーク5を介して端末装置30に送信する。
ステップ628において、端末装置30のプロセッサ302(個人情報取得部3028)は、受信した個人情報をメモリ306または記憶装置308に一時的に格納する。また、プロセッサ302(またはその情報提示部3030)は、受信された個人情報を特定の形式で表示部324に表示する。このようにして、端末装置20で取得したワンタイム・アクセスコードが使用されて、ワンタイム・アクセスコードに対応する端末装置20の使用者の個人情報が取得できる。
一方、情報保護部3032は、メモリ306または記憶装置308に一時的に格納された個人情報の利用を制限する。情報保護部3032は、例えば、メモリ306または記憶装置308に一時的に格納された個人情報へのアクセス回数が所定回数を超えた場合、または、アクセス期間が所定の期間外である場合に、操作者による個人情報へのアクセスを許容しない。
また、情報保護部3032は、メモリ306または記憶装置308に一時的に格納された個人情報のコピーまたは漏洩を防止し、表示部324上での個人情報の表示が終了すると個人情報をメモリ306から消去する。それによって、情報保護部3032は、個人情報がコピーされたり送信されたりして外部に漏洩するのを防止する。
次は、端末装置20がサーバ装置10に対して送信できない場合について説明する。
図8Aおよび8Bは、端末装置20、端末装置30およびサーバ装置10での送受信および処理の別の手順の例を示している。この場合、図7Aおよび7Bの場合と同様に、端末装置20は、セキュリティのためのロックがかけられているものとする。一方、図8Aおよび8Bの手順では、図7Aおよび7Bの場合と違って、端末装置20は、無線基地局52の通信エリアの圏外にあることまたは無線基地局52の輻輳状態によって、特定情報またはアクセスコードの要求をサーバ装置10に送信できないものとする。
図8Aにおいて、ステップ502〜520は、ステップ522(図7A、図8A)での操作者による操作の前の段階における、サーバ装置10と端末装置20の間での送受信および処理の手順の例を含んでいる。
ステップ502において、サーバ装置10のプロセッサ102(またはそのロジック管理部1028)は、定期的なタイミングで、定期アクセスコードを生成するための複数のロジックまたは条件情報の中の1つを選択しまたは決定する。選択されたロジックまたは条件情報は、或る期間において、端末装置20において定期アクセスコードを生成するためのロジックまたは条件情報である。複数のロジックは、記憶装置106に格納されている。この場合、定期的なタイミングは、例えば毎日に1回または2回の定時刻以降のタイミングであってもよく、従って、ロジックは、例えば毎日1回または2回のように、定期的に変更されてもよい。定時刻は、例えば0時、12時であってもよい。ロジックは、その変更の間隔より長い期間において(例えば、26時間、14時間)有効であってもよい。ロジックの選択または決定は、プロセッサ102(ロジック管理部1028)によって、端末装置20の電話番号、周期時刻(積算秒)および/または乱数に基づいて行われてもよい。
ステップ504において、プロセッサ102(アクセスコード管理部1026)は、選択または決定されたロジックを、端末装置20の電話番号または使用者の識別番号と関連づけて権限情報管理データベース182に保存する。また、プロセッサ102(アクセスコード管理部1026)は、定期的なタイミングで、ロジックに従って定期アクセスコードを生成して、端末装置20の電話番号または使用者の識別情報と関連づけて権限情報管理データベース182に保存してもよい。この場合、定期的なタイミングは、例えば、1日2回、0時と12時の12時間間隔であってもよい。定期アクセスコードを生成するロジックまたは条件情報は、例えば、端末装置20の電話番号、識別情報および/または日時(0時(午前)、12時(午後))に基づいて定期アクセスコードを生成するための論理であってもよい。その論理は、例えば、AND、OR、NOT、XORの論理演算、および/または四則演算を含んでいてもよい。定期アクセスコードは、その切替え遅延を考慮して、定期的なタイミングの間隔より長い期間(例えば、14時間)にわたって有効としてもよい。このようにして、プロセッサ102(アクセスコード管理部1026)は、一意的な定期アクセスコードを予備のアクセスコードとして生成することができる。
ステップ508において、プロセッサ102のロジック管理部1028は、端末装置20に対する、選択または決定されたロジックを発行して、通信処理部1024に渡す。ステップ512において、通信処理部1024は、選択または決定されたロジックを端末装置20に送信する。そのために、ロジック管理部1028は、端末装置20に対して、HTTPSプロトコルによるPOST要求でロジックを送信してもよい。この場合、端末装置20において、プロセッサ202の処理部2036が、受信したロジックをアプレット展開してもよい。ステップ520において、端末装置20のプロセッサ202(またはそのロジック管理部2030)は、受信した最新のロジックを記憶装置208に保存する。その際、プロセッサ202(ロジック管理部2030)は、記憶装置208における前回までに受信したロジックを消去してもよい。プロセッサ202(ロジック管理部2030)は、サーバ装置10におけるロジック送信の定期的なタイミングが経過した後でも次のロジックを受信するまでは、記憶装置208におけるロジックを消去しない。
ステップ522および524は、図7Aのものと同様である。
ステップ534において、図7の場合と同様に、端末装置20のプロセッサ202(アクセスコード取得部2028)は、移動体通信部222に、無線基地局52を介してサーバ装置10に特定情報またはアクセスコードの要求を送信させる。しかし、この場合、端末装置20は、例えば、無線基地局52の通信エリアの圏外にあることまたは無線基地局52の輻輳状態に起因して、サーバ装置10への送信が、閾値回数(例えば、2回)を超えて連続的に失敗するものとする。一方、送信エラーの発生回数が閾値回数を超えることなく、端末装置20がサーバ装置10への送信に成功した場合は、図7Aおよび7Bの手順に従う。
ステップ535において、各送信エラーの発生に応答して、プロセッサ202(アクセスコード取得部2028)は、送信エラーの発生回数が、閾値回数(例えば、2回)を超えたかどうかを判定する。送信エラーの回数が閾値回数を超えたと判定された場合、手順はステップ573に進む。
ステップ573において、端末装置20のプロセッサ202(アクセスコード取得部2028)は、記憶装置208に保存されたロジックまたは条件情報を取り出して、ロジックまたは条件情報に従って定期アクセスコードを生成して記憶装置208に保存する。また、プロセッサ202(アクセスコード取得部2028)は、生成した定期アクセスコードを記憶装置208またはメモリ206に一時的に保存して表示部224に表示する。このようにして、端末装置20がサーバ装置10に着信または接続できない場合でも、端末装置20は、一意的な定期アクセスコードを生成することができる。
その後、図8Bのステップ575〜628において、ワンタイム・アクセスコードの代わりに定期アクセスコードが用いられて、図7Bのステップ574〜628と同様の送受信および処理が行われる。以下、図8Bが図7Bと相違する部分について説明する。
ステップ575において、操作者は、端末装置30の近距離通信部330を端末装置20の近距離通信部230に接近させて、定期アクセスコードを端末装置20から受信するよう端末装置30を操作する。その際、端末装置20のプロセッサ202(アクセスコード取得部2028)は、受信した定期アクセスコードを、近距離通信部230を介して端末装置30に特定の期間だけ繰り返し送信してもよい。代替形態として、ステップ583において、操作者は、端末装置30の入力部328を操作して、表示部224に表示された定期アクセスコードを端末装置30に手動で入力してもよい。一方、端末装置30のプロセッサ302(個人情報取得部3028)は、受信したまたは入力された定期アクセスコードをメモリ306に一時的に格納する。
ステップ583において、図7Bのステップ582の場合と同様に、操作者は、さらに、端末装置30の入力部328を操作して、操作者の権限情報または判定情報としての操作者の識別情報およびパスワードを入力する。一方、端末装置30のプロセッサ302(個人情報取得部3028)は、入力された権限情報または判定情報をメモリ306に一時的に格納する。
ステップ585において、端末装置30のプロセッサ302(個人情報取得部3028)は、操作者の操作に従って移動体通信部322に、HTTPSプロトコルによるGET要求で、電話番号を含む、個人情報に関する情報開示要求をサーバ装置10へ送信させる。この場合、情報開示要求は、操作者の識別情報およびパスワード、および定期アクセスコードを含んでいる。サーバ装置10の通信処理部1024は、情報開示要求を受信してプロセッサ102の正当性判定部1030に渡す。
ステップ592、594および588は、図7Bのものと同様である。
ステップ597において、サーバ装置10のプロセッサ102の正当性判定部1030は、認証に成功した場合は、受信した定期アクセスコードを含むアクセスコード判定要求をプロセッサ102のアクセスコード管理部1026に渡す。
ステップ603において、プロセッサ102のアクセスコード管理部1026は、受信したアクセスコードの種別が、ワンタイム・アクセスコードかまたは定期アクセスコードかを判定する。受信したアクセスコードの種類が定期アクセスコードであると判定された場合は、手順はステップ605に進む。受信したアクセスコードの種類がワンタイム・アクセスコードであると判定された場合の手順は、図7B(ステップ604等)に関連して説明した。
ステップ605において、プロセッサ102のアクセスコード管理部1026は、受信した定期アクセスコードが、ステップ504で生成して権限情報管理データベース182に保存された定期アクセスコードと一致するかどうかを判定する。代替形態として、アクセスコード管理部1026は、ここで権限情報管理データベース182に保存したロジックに従って比較用の定期アクセスコードを生成して、受信した定期アクセスコードが比較用の定期アクセスコードと一致するかどうかを判定してもよい。
受信した定期アクセスコードが、サーバ装置10で生成した定期アクセスコードと一致した場合、ステップ607において、プロセッサ102のアクセスコード管理部1026は、判定結果(一致、不一致)を情報提示部1032および通信処理部1024に渡す。それによって、情報開示要求を送信した端末装置30が、定期アクセスコードを生成した端末装置20の使用者またはその個人情報と関連づけられて、端末装置20の使用者の個人情報の開示が決定される。
ステップ609において、プロセッサ102のアクセスコード管理部1026は、一定期間の経過後、権限情報管理データベース182に保存された定期アクセスコードを削除して無効化する。それによって、同じ定期アクセスコードを用いたその後の情報開示要求が拒否され、それによって個人情報への不正アクセスが防止でき、個人情報のセキュリティまたは安全性を高くすることができる。
ステップ612および622は、図7Bのものと同様である。
ステップ615において、プロセッサ102の情報提示部1032は、特定情報としての定期アクセスコードに基づいて、個人情報データベース170を検索して端末装置20の使用者の個人入力情報172および機関入力情報174を取り出す。その際、端末装置20の使用者の個人情報のうちの、例えば救助員または拾得物担当者のような権限者の種別または属性に対応する開示範囲の情報だけが取り出されてもよい。
ステップ616および628は、図7Bのものと同様である。従って、端末装置20は、サーバ装置10に特定情報またはアクセスコードの要求を送信できない場合でも、ワンタイム・アクセスコードを受信する代わりに定期アクセスコードを生成することができる。また、端末装置30は、ワンタイム・アクセスコードの代わりに定期アクセスコードを用いて、定期アクセスコードに対応する個人情報を取得することができる。
図9Aおよび9Bは、端末装置20、端末装置30およびサーバ装置10での送受信および処理のさらに別の手順の例を示している。この場合、端末装置20は、セキュリティのためのロックがかけられていないものとする。この場合、操作者は、端末装置20の誤操作の回避、および端末装置20内の個人情報の保護のために、端末装置20に格納された個人情報にはアクセスせず、サーバ装置10に登録された個人情報だけにアクセスするものとする。
図9Aを参照すると、ステップ523において、操作者は、情報取得対象者の端末装置20に対して特定の操作を行って意図的に操作エラーを発生させる。特定の操作は、例えば、閾値回数(例えば、2回)を超える回数の誤った電話番号での発信操作であってもよい。その際、特定の操作において、用いられる誤った電話番号は、電話番号として使用されない特定の番号(例えば、“**”、“##”、“00”、“99”)であってもよい。使用されない誤った電話番号で発信操作がなされると、プロセッサ202(発信処理部2026)は、発信エラーを発生させて発信処理を終了させる。その際、端末装置20のプロセッサ202(発信処理部2026)は、入力された電話番号を特定の番号と比較して、入力された電話番号が誤った特定の番号と一致するかどうかを判定してもよい。入力された電話番号が誤った特定の番号と一致する場合、プロセッサ202(発信処理部2026)は特定の発信エラーを発生させてもよい。
ステップ525において、発信エラーの発生に応答して、プロセッサ202(アクセスコード取得部2028)は、発信エラー、または発信エラーおよび入力された電話番号を検出して、同じ発信エラーの連続的発生回数が、閾値回数(例えば、2回)を超えたかどうかを判定する。同じ発信エラーの回数が閾値回数を超えたと判定された場合、図7Aと同様に、手順はステップ534に進む。
ステップ534〜572および574〜628は、図7Aおよび7Bのものと同様である。
このようにして、端末装置20がロックされていない場合でも、端末装置20に格納された個人情報へのアクセスが不要であり、端末装置20における個人情報の安全性(セキュリティ)が確保でき、また端末装置20の誤操作が回避できる。
図10Aおよび10Bは、端末装置20、端末装置30およびサーバ装置10での送受信および処理のさらに別の手順の例を示している。この場合、図9Aおよび9Bの場合と同様に端末装置20は、セキュリティのためのロックがかけられていないものとする。また、操作者は、個人情報の保護の観点から端末装置20に格納された個人情報にはアクセスせず、サーバ装置10に登録された個人情報だけにアクセスするものとする。しかし、図10Aおよび10Bの手順では、図8Aおよび8Bの場合と同様に、端末装置20は、無線基地局52の通信エリアの圏外にあることまたは無線基地局52の輻輳状態によって、特定情報またはアクセスコードの要求をサーバ装置10に送信できないものとする。
図10Aのステップ502〜520は、図8Aの場合と同様である。また、図10Aのステップ523〜525は、図9Aの場合と同様である。また、図10Aおよび10Bのステップ534〜573および575〜628は、図8Aおよび8Bの場合と同様である。
従って、図10Aおよび10Bにおいて、端末装置20がロックされていない場合でも、端末装置20に格納された個人情報へのアクセスが不要であり、端末装置20における個人情報の安全性(セキュリティ)が確保でき、また端末装置20の誤操作が回避できる。また、端末装置20がサーバ装置10に送信できない場合でも、端末装置20は、端末装置20の使用者に関する情報を特定するための定期アクセスコードを生成することができる。また、サーバ装置10は、権限者に対して必要最小限の個人情報だけを開示することができる。
上述の実施形態によれば、端末装置20での認証に関係なく、端末装置20での特定の操作によって、端末装置30は、端末装置20の使用者に関する個人情報を安全な形態でサーバ装置10から遠隔的に取得することができる。また、端末装置30は、端末装置20の使用者に関する個人情報を別個の端末装置で漏洩しない形態で表示することができる。
ここで挙げた全ての例および条件的表現は、発明者が技術促進に貢献した発明および概念を読者が理解するのを助けるためのものであり、ここで具体的に挙げたそのような例および条件に限定することなく解釈され、また、明細書におけるそのような例の編成は本発明の優劣を示すこととは関係ない、と理解される。本発明の実施形態を詳細に説明したが、本発明の精神および範囲から逸脱することなく、それに対して種々の変更、置換および変形を施すことができる、と理解される。
以上の実施例を含む実施形態に関して、さらに以下の付記を開示する。
(付記1)端末における1又は複数回の認証不成功の検出に応じて、該端末のユーザの個人情報を記憶する記憶装置から該個人情報を取得する際に要求される情報を該端末に提示する、
ことを特徴とする提示方法。
(付記2)前記情報は利用に制限があり、前記個人情報へのアクセス回数が所定回数を超える場合、又は、アクセス期間が所定の期間外である場合に前記個人情報へのアクセスが許容されない、ことを特徴とする付記1に記載の提示方法。
(付記3)前記個人情報は、前記ユーザについての医療関連情報である、ことを特徴とする付記1に記載の提示方法。
(付記4)第1の端末と、
第2の端末と、
を含むシステムであって、
前記第1の端末は、
表示部と、
前記第1の端末における1又は複数回の認証不成功の入力を検出すると、個人情報を記憶する記憶装置から該端末のユーザに対応する個人情報を取得する際に要求される情報を前記表示部に表示させる制御部と、
を備え、
前記第2の端末は、
前記情報を用いて前記記憶装置にアクセスして、前記第1の端末のユーザの個人情報を取得する取得部と、
取得した前記個人情報を表示する表示部と、
を備えた、
ことを特徴とするシステム。
(付記5)表示部と、
当該端末装置における1又は複数回の認証不成功の入力を検出すると、個人情報を記憶する記憶装置から当該端末装置のユーザに対応する個人情報を取得する際に要求される情報を前記表示部に表示させる制御部と、
を備えることを特徴とする端末装置。
(付記6)第1の端末装置が、該第1の端末装置における認証成功を条件としない特定の操作の検知に応じて、情報要求を、該第1の端末装置の使用者に関する情報を管理する情報管理装置に送信し、
前記情報管理装置が、前記情報要求の受信に応答して、前記第1の端末装置の使用者を特定するための特定情報を前記第1の端末装置に送信し、
第2の端末装置が、前記特定情報と、前記第2の端末装置の操作者の正当性の判定に用いられる判定情報とを前記情報管理装置に送信し、
前記判定情報に基づいて前記第2の端末装置の操作者が正当であると判定された場合、前記情報管理装置が、受信した前記特定情報によって特定される使用者に関する情報の開示を、前記第2の端末装置に対して許容する
処理を実行することを特徴とする、情報開示制御方法。
(付記7)前記情報要求の送信が失敗した場合、前記第1の端末装置が、前記第1の端末装置の使用者を特定するための特定情報を生成するための条件情報に基づいて別の特定情報を生成し、
前記第2の端末装置が、前記別の特定情報と、前記第2の端末装置の操作者の正当性の判定に用いられる判定情報とを前記情報管理装置に送信し、
前記判定情報に基づいて前記第2の端末装置の操作者が正当であると判定された場合、前記情報管理装置が、前記条件情報に基づいて、受信した前記別の特定情報によって特定される使用者に関する情報の開示を、前記第2の端末装置に対して許容する
処理を実行することを特徴とする、付記6に記載の情報開示制御方法。
(付記8)前記第1の端末装置が、前記第1の端末装置での前記特定の操作による認証失敗の回数が閾値を超えた場合に、前記情報要求を前記情報管理装置に送信することを特徴とする、付記6または7に記載の情報開示制御方法。
(付記9)前記第1の端末装置での前記特定の操作による発信失敗の回数が閾値を超えた場合に、前記第1の端末装置が、前記情報要求を前記情報管理装置に送信することを特徴とする、付記6または7に記載の情報開示制御方法。
(付記10)前記第2の端末装置が、データの複製または漏洩を許容しないように制御されることを特徴とする、付記6乃至9のいずれかに記載の情報開示制御方法。
(付記11)前記情報管理装置が、前記判定情報に基づいて決定される開示範囲で、前記特定情報によって特定される使用者に関する情報の開示を、前記第2の端末装置に対して許容することを特徴とする、付記6乃至10のいずれかに記載の情報開示制御方法。
(付記12)第1の端末装置、第2の端末装置および情報管理装置を含む情報開示システムであって、
前記第1の端末装置が、該第1の端末装置における認証成功を条件としない特定の操作の検知に応じて、情報要求を、該第1の端末装置の使用者に関する情報を管理する情報管理装置に送信し、
前記情報管理装置が、前記情報要求の受信に応答して、前記第1の端末装置の使用者を特定するための特定情報を前記第1の端末装置に送信し、
第2の端末装置が、前記特定情報と、前記第2の端末装置の操作者の正当性の判定に用いられる判定情報とを前記情報管理装置に送信し、
前記判定情報に基づいて前記第2の端末装置の操作者が正当であると判定された場合、前記情報管理装置が、受信した前記特定情報によって特定される使用者に関する情報の開示を、前記第2の端末装置に対して許容する
ことを特徴とする、情報開示システム。
(付記13)別の装置の使用者を特定するための特定情報と、当該端末装置の操作者の正当性の判定に用いられる判定情報とを情報管理装置に送信し、前記情報管理装置から、前記特定情報によって特定される前記別の装置の使用者に関する情報を受信して表示する処理部を含む端末装置。