JP6670976B1 - データ管理システムおよびデータ管理方法 - Google Patents
データ管理システムおよびデータ管理方法 Download PDFInfo
- Publication number
- JP6670976B1 JP6670976B1 JP2019507887A JP2019507887A JP6670976B1 JP 6670976 B1 JP6670976 B1 JP 6670976B1 JP 2019507887 A JP2019507887 A JP 2019507887A JP 2019507887 A JP2019507887 A JP 2019507887A JP 6670976 B1 JP6670976 B1 JP 6670976B1
- Authority
- JP
- Japan
- Prior art keywords
- data
- access unit
- function
- data access
- pin code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013523 data management Methods 0.000 title claims description 61
- 238000000034 method Methods 0.000 title claims description 33
- 238000012546 transfer Methods 0.000 claims description 19
- 230000005540 biological transmission Effects 0.000 claims description 13
- 239000003814 drug Substances 0.000 claims description 6
- 230000036541 health Effects 0.000 claims description 3
- 238000007726 management method Methods 0.000 claims description 3
- 238000012797 qualification Methods 0.000 claims description 3
- 230000004044 response Effects 0.000 claims description 2
- 238000010586 diagram Methods 0.000 abstract description 17
- 230000008569 process Effects 0.000 description 22
- 238000012545 processing Methods 0.000 description 7
- 238000006243 chemical reaction Methods 0.000 description 4
- 210000003462 vein Anatomy 0.000 description 4
- 230000012447 hatching Effects 0.000 description 3
- 208000016339 iris pattern Diseases 0.000 description 3
- 238000003860 storage Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 239000012634 fragment Substances 0.000 description 2
- 238000003825 pressing Methods 0.000 description 2
- WQZGKKKJIJFFOK-GASJEMHNSA-N Glucose Natural products OC[C@H]1OC(O)[C@H](O)[C@@H](O)[C@@H]1O WQZGKKKJIJFFOK-GASJEMHNSA-N 0.000 description 1
- 238000012356 Product development Methods 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 239000008280 blood Substances 0.000 description 1
- 210000004369 blood Anatomy 0.000 description 1
- 230000036772 blood pressure Effects 0.000 description 1
- 230000035606 childbirth Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 206010012601 diabetes mellitus Diseases 0.000 description 1
- 235000005118 dietary health Nutrition 0.000 description 1
- 235000008242 dietary patterns Nutrition 0.000 description 1
- 229940079593 drug Drugs 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000013467 fragmentation Methods 0.000 description 1
- 238000006062 fragmentation reaction Methods 0.000 description 1
- 239000008103 glucose Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000002483 medication Methods 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000003892 spreading Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Abstract
Description
データの内容は特に限定されず、例えば、クレジット利用データ、利用者の移動および運動を含む行動パターンを示すデータ、身体データ、検査データ、電子カルテデータ、電子お薬手帳データ、電子保険証データ、利用者個人の行政上の記録情報または資格情報の内容を示す行政関連電子データ、移動体のログデータ、電子機器のログデータ、動産または不動産の有体物か無体物の利用ログデータ、利用者個人が作成、編集したデータなど多種多様なものが対象となり得る。
この点に着目して個人データの信託を受けて個人データの提供の仲介を行う個人データ信託銀行も登場し始めている。
セキュリティに関しては、一般のクラウドシステムが提供するセキュリティに加え、個人情報保護や改ざんを防止するため、さらに個人データアプリケーションファイルの閲覧、データ編集などに伴うセキュリティ付与も考慮する必要がある。
コンピュータシステムにおいて、様々なアプリケーションが稼働しており、アプリケーションファイルのアクセスに対しても様々なセキュリティ対策が行われている。
また、暗号化によるセキュリティ対策も有効である。つまり、正当権限者以外の者によるデータへの不正アクセスがあった場合でも、データが解読されないようデータを暗号化しておくものである。権限ある真正者のみが復号鍵を持っており、必要に応じて復号鍵により復号する。
このように、アプリケーションファイルを開いたり、特別な機能を使用したりする場合には、セキュリティが設定されていることがあり得る。しかし、逆に、アプリケーションの利用が終了してアプリケーションファイルを閉じる際や、特別な機能の使用を終了する際には、終了すること自体には特段何らのパスワードやID情報の入力等を求められることはなく、セキュリティ設定がされているものはない。ほとんどのものは“終了”や“閉じる”というコマンドの入力やボタン押下で単純に終了できる。
図11(a)に示すように、アプリケーション10は、コンピュータシステム上にインストールされており、利用者がアプリケーション10を使用しようとする際には、コンピュータシステムのモニタ上に表示されているアプリケーション10のアイコンをマウスなどのポインティングデバイスなどで選択し、ダブルクリックなどの操作で起動をかければアプリケーション10が起動する。
図11(b)の上段に示すように、キーボードや他の入力デバイスなどを介して、アプリケーションファイル20を正常に開いて使用可能とするために求められたパスワードやコード情報などを入力し、その認証に成功して設定されたセキュリティレベルを満たした場合には、アプリケーションファイル20がオープンして使用可能となる。
ほとんどのアプリケーション10では、アプリケーションファイル20を閉じる際には特別なパスワードやID情報の入力等を求められることはなく、ほとんどのアプリケーション10は単純に終了してアプリケーションファイル20を閉じることができる。
重要データを暗号化する処理は広く行われている。暗号化して、復号処理には復号鍵の入手が必要となり、一定のセキュリティは担保できる。
このように復号処理に時間を要し、多大な負荷を掛けさせる方策は、データが無断に無権限者に閲覧されたり編集されたりすることを防止できるが、逆に、正当権限者自身も閲覧したり編集したりする際に時間を要し、多大な負荷を掛けるものであれば、利便性に欠けることとなる。特に、ビッグデータのように、大量のサンプルを集約してデータ分析を行う用途には不向きである。
そこで、個人にとって重要な暗号鍵と復号鍵を提供することなく、データを暗号化して企業などのデータ利用者に提供することが好ましい。
個人データファイルのうち、企業などデータ利用を行う者に閲覧されたり編集されたりしても良いデータと、名前や住所やクレジットカード番号などは企業などデータ利用を行う者であっても、閲覧されたくないデータもある。このように個人データとして管理されているデータの中にはデータの利用目的や利用者の別によっては、データを提供しても良いケースと提供を拒否したいケースがあり得るが、そのまま提供されてしまうことは問題である。
なお、他社の利用端末から通知されるデータ提供リクエスト情報の一部に含まれるものが再暗号化に必要な第2の暗号鍵だけという運用も可能である。この場合、オープン暗証コードおよびクローズ暗証コードとも第2の暗号鍵となり、暗証コード書き換え機能により、オープン暗証コードおよびクローズ暗証コードを第2の暗号鍵に書き換えることとなる。
なお、前記オープン暗証コード、前記クローズ暗証コード、前記第1の暗号鍵、前記第1の復号鍵、前記第2の暗号鍵、前記第2の復号鍵がそれぞれ異なるものとすることができる。
さらに、前記他者の利用端末における前記データ本体アクセス機能が、復号された前記データ本体の閲覧機能、復号された前記データ本体の編集機能、復号された前記データ本体の他のアプリケーションで利用可能なように取り出すデータ取り出し機能のいずれかまたはそれらの組み合わせとすることができる。
また、データアクセス単位としては、アプリケーションファイル、データベース中のレコード、データベース中のレコードのフィールドなどがあり得る。
また、前記データアクセス単位である前記レコード中のフィールド単位で暗号化するものを選択する暗号化選択部を備え、前記暗号化選択部により前記暗号化の選択がなされていないフィールドのデータについて、前記他者の利用端末において閲覧またはビッグデータシステムで取り扱うデータとして利用することが可能である。
各々の暗号化分解片を前記ネットワーク上に分散配置されている前記データサーバに分散して格納する構成もあり得る。
次に、データアクセス単位を分解して取り扱うことによりさらにセキュリティを向上せしめることができる。例えば、前記データアクセス単位開錠機能が、前記データアクセス単位が分解されずに一体であると想定された場合に与えられている名目上のID情報およびURL情報を基に、各々の前記暗号化分解片が分散されて実際に格納されている複数の前記記憶装置に対する分散上のID情報およびURL情報に変換するURL変換機能を備え、前記データアクセス単位開錠機能における前記データアクセス単位の前記ダウンロードにおいて、前記URL変換部により前記名目上のID情報およびURL情報を基に得た前記分散上のID情報およびURL情報に基づいて、各々の前記暗号化分解片をダウンロードし、一揃えの複数の前記暗号化分解片を、合成し、復号し、一体の前記データアクセス単位として前記閲覧、前記出力または前記編集を可能とし、前記データアクセス単位閉錠機能における前記データアクセス単位の前記アップロードにおいて、複数の前記分散上のID情報およびURL情報に基づいて、各々の複数の前記暗号化分解片を実際の複数の前記記憶装置に分散して格納する取り扱いが可能である。
図1は、実施例1にかかるデータ管理システム100の構成を簡単に示した図である。なお、図1の構成例は一例であり、他の構成も可能である。
データ管理システム100には、他者の利用端末200と、データ管理者コンピュータ300と、データ所有者の利用端末400があり、ネットワーク上で接続され、データを取り扱うものとなっている。データ管理者コンピュータ300は、他者の利用端末200とデータ所有者の利用端末400との間でデータのやり取りを仲介するものであり、クラウドシステムとして利用される場合もあり得る。
データアクセス単位500としては、アプリケーションで取り扱うアプリケーションファイルや、アプリケーションで取り扱うデータベース中のレコードや、データベース中のレコードのフィールドなどがあり得る。これらを単位としてアクセスが実行されるからである。
他者の利用端末200は、データの提供を受け、データを活用使用する者が利用するコンピュータリソースである。例えば、ビッグデータの活用を望む企業や行政関係者、自社商品の売れ行きなどを分析するマーケティング担当者、新規商品の開発動向を見極めようとする商品企画者など多様な者が想定できる。
データ所有者のIDやURLがはっきりしている場合はそのデータ所有者のIDやURL情報が含まれている。例えば、別途、他者の利用端末200にてデータを要求する者が、ある商品の購入者リスト、サービスの利用者リスト、会員リスト、SNS参加者リスト、通販サイト利用者リストなどを入手しており、データ所有者をピンポイントで指定できる場合などである。
しかし、一般にはそのようなピンポイントにデータ所有者を特定できない場合も多いと考えられる。そのような場合、求めるデータを所有しているであろう者を想定した情報、例えば、居住エリア、年齢、性別、個人属性、購入製品、利用サービス、利用しているSNS、通販サイトなどのビッグデータとして匿名化されていない公開情報部分から範囲を絞る情報を用いてデータ提供リクエストを生成する。なお、個人属性は限定されず、個人によってビッグデータとして利用可能にする範囲は異なると予想されるが、例えば、身長、体重、病歴、服用薬、趣味趣向、食事パターン、血圧や血糖などの健康データ、離婚経験、出産経験、子育て経験、旅行経験、職業経験、行動パターンなど多種多様なものが含まれる。
また、モニターを募集する旨のデータ提供リクエスト情報もあり得る。企業の特定商品の使い勝手や特定サービスの利用体験などをしてもらって感想や改善点などの意見募集を行うというリクエストもあり得る。
また、近年個人データ信託銀行が設立され始めており、個人データを有償で売買することも始まっている。データ提供リクエストの中に、データ提供を求める範囲と報酬などの内容を示す報酬データを含めることも可能である。
データ管理者コンピュータ300は、データ所有者からデータを預かって管理する者が利用するコンピュータリソースである。データ管理者は特に限定されないが、個人や事業者などのデータ所有者からデータの信託を受けて管理する者であり、例えば、データ管理サービス事業者、個人データ信託銀行、特定匿名加工事業者、医療機関の電子カルテデータ管理事業者、SNS運営主体、通販サイト事業者など多様なものが想定できる。
この実施例1では、電子カルテデータであり、利用者個人の診察記録、検査内容、検査結果、治療記録、レセプトに関する諸データなど医療機関において取り扱われる一般的なカルテに必要な情報が格納されたデータファイルとする。
例えば、オープン暗証コードやクローズ暗証コードとして、利用者が携帯しているICカードに記憶されているコード情報を採用することができる。
また、例えば、オープン暗証コードやクローズ暗証コードとして、利用者の生体情報を採用することができる。生体情報としては、顔画像パターン、指紋パターン、静脈パターン、虹彩パターン、声紋パターンなどがあり得る。
この例では、オープン暗証コード、クローズ暗証コードともに、指紋パターンの生体情報として説明する。
なお、ここでは、オープン暗証コード、クローズ暗証コードを同じ指の指紋パターンとして説明するが、オープン暗証コード、クローズ暗証コードを異なるものとしてもよい。例えば、オープン暗証コードが顔画像パターン、クローズ暗証コードが声紋パターンなどの異なる種類の生体情報とすることも可能である。
例えば、データ提供リクエスト情報の中に“20代の女性で過去に特定のアパレルメーカーのコートを購入したことのある人”という内容が指定情報として含まれていれば、データサーバ310に格納されているデータアクセス単位から該当するものを検索し、ヒットした人に向けてデータ提供リクエスト情報を転送する。また、データ提供リクエスト情報の中に、例えば“関東在住で50代男性で糖尿病の通院歴のある人”という内容が指定情報として含まれていれば、データサーバ310に格納されているデータアクセス単位から該当するものを検索し、ヒットした人に向けてデータ提供リクエスト情報を転送する。
利用者が保持する利用者端末400は、スマートフォンなどのスマートデバイスで利用者が使用可能なコンピュータリソースであれば良いが、この例ではスマートフォンとなっている。利用者端末400は、アプリケーションがダウンロードされているか、またはASPで利用可能となっている。
なお、スマートデバイスとは、情報処理端末(デバイス)のうち、単なる計算処理だけではなく、あらゆる用途に使用可能な多機能端末のことであり、スマートフォンやタブレット端末を総称する意味である。
図1に示す構成例では、データ所有者の利用端末400は、コード入力手段410、データ提供リクエスト情報受信機能420、データアクセス単位開錠機能430、データ提供選択機能440、データアクセス単位閉錠機能450、データ提供機能460、アプリケーション本体機能470を備えた構成となっている。なお、図1の構成例は一例であり、他の構成も可能である。
この例では、コード入力手段410は、データアクセス単位500であるアプリケーションファイルやデータベースのレコードやフィールドにおいて設定されているオープン暗証コード、クローズ暗証コードなどのコード情報を入力する部分である。
コード入力手段410は、キーボード、タッチパネルなどの一般的な入力デバイスのほか、ICカードリーダー、生体情報読み取りデバイス、赤外線リーダー、超音波受信機、QRコードリーダー(カメラ)など多様な入力デバイスが利用可能である。システムの運用に応じて、装備する入力デバイスを取り付ければ良い。
例えば、オープン暗証コードやクローズ暗証コードがPINコードなどのデータであれば、コード入力手段410は、キーボード、タッチパネルなどの一般的な入力デバイスで良い。
例えば、オープン暗証コードやクローズ暗証コードが、利用者が携帯しているICカードに記憶されているコード情報であれば、コード入力手段410は、ICカードリーダーで良い。
また、例えば、オープン暗証コードやクローズ暗証コードが、利用者の生体情報であれば、コード入力手段410は生体情報読み取りデバイス(顔画像カメラ、指紋パターンリーダー、静脈パターンリーダー、虹彩パターンリーダー、マイクロフォンなど)で良い。
生体情報を採用する場合、コード入力手段410は、生体情報パターン変換手段を備えており、顔画像パターン、指紋パターン、静脈パターン、虹彩パターン、声紋パターンなどのデータから特徴点を抽出し、その特徴点の並びを所定の計算式や変換処理を行い、コード情報に変換する機能を備えている。真正の利用者が入力した生体情報パターンが、正しいオープン暗証コード、正しいクローズ暗証コードに変換されるものであれば良い。
また、例えば、オープン暗証コードやクローズ暗証コードが、利用者が携帯しているデバイスに記憶されているコード情報であり、超音波で出力されるものであれば、コード入力手段410は、超音波受信機で良い。
また、例えば、オープン暗証コードやクローズ暗証コードが、利用者が携帯しているスマートフォンなどのスマートデバイスに記憶されているコード情報であり、QRコードとして表示されるものであれば、コード入力手段410は、QRコードリーダー(カメラ)で良い。
例えば、データ提供リクエスト情報は、他者の利用端末200から提供が求められているデータアクセス単位500および第2の暗号鍵が含まれた状態となっている。
なお、データアクセス単位500はデータ提供リクエスト情報として入手した段階ではデータサーバ310から取り出されたものなので、第1の暗号鍵で暗号化された状態であるが、データアクセス単位開錠機能430は第1の復号鍵により復号できる。
データ所有者は、データを提供する相手、データを提供する目的、データを提供することで得られる報酬データの内容など、データ提供リクエスト情報に含まれている内容を確認し、データ提供選択機能440により提供するデータの範囲を限定する。その結果、すべてのデータを選択して提供することも可能であるし、一部のデータのみを選択して提供することも可能であるし、すべてのデータを非選択としてデータを提供しないことも可能である。
第1の処理が、クローズ暗証コードの認証処理である。コード入力手段410を介して入力されたコード情報を受けて、クローズ暗証コードとの認証処理を行う。認証に成功すれば、第2の処理以下を実行する。
第2の処理が、再暗号化処理である。
データアクセス単位閉錠機能450により、提供するデータ選択部分を再暗号化する。なお、再暗号化に用いる暗号鍵は、データ提供リクエスト情報に含まれている第2の暗号鍵とする。第2の暗号鍵で再暗号化することにより、再暗号化されたデータは、他者の利用端末200に送信された後、提供データアクセス単位開錠機能240において第2の復号鍵により提供データ情報が復号される。
他者の利用端末200において、データアクセス単位500に付与されているオープン暗証コードおよびクローズ暗証コードを伝えるパターンも可能であるが、データ所有者が頻繁に使用するオープン暗証コードを企業などの他者の利用端末200の使用者に教えることが好ましいとは言えず、特に、オープン暗証コードやクローズ暗証コードがデータ所有者の生体情報の場合は使用者に教えることが憚られる。
そこで、例えば、オープン暗証コードを第2の暗号鍵に書き換えることとする。このように、データアクセス単位閉錠機能450は、データアクセス単位500に関連付けられているオープン暗証コードおよびクローズ暗証コードを書き換える機能を備えている。新たに書き換えるオープン暗証コードおよびクローズ暗証コードは限定されないが、ここでは、提供リクエスト情報とともに通知された第2の暗号鍵を利用することとし、データアクセス単位閉錠機能450によりオープン暗証コードを第2の暗号鍵に書き換え、クローズ暗証コードも同じく第2の暗号鍵に書き換えることとする。
また、他の構成としては、他者の利用端末から送信されるデータ提供リクエスト情報の中に第2の暗号鍵と第2の復号鍵が含まれている場合には、オープン暗証コードを第2の復号鍵に書き換え、クローズ暗証コードを第2の暗号鍵に書き換えることも可能である。
なお、データ提供選択機能440が選択しなかったデータ部分を自ら消去する処理も可能である。また、後述するデータ提供機能460がデータ提供処理の際に、送信しないという処理も可能である。
第5の処理がデータアクセス単位500を正常終了して閉じる処理である。
データ提供機能460は、再暗号化済みのデータ部分のみを含むデータアクセス単位を、データ管理者コンピュータ300を介して他者の利用端末200に提供する機能である。
データ提供にかかるデータアクセス単位500は再暗号化され、正常終了して閉じられ、データ提供機能460によって他者の利用端末200に向けて送信される。
次に、本発明のデータ管理システム100を用いたデータリクエストからデータ提供までの流れを追って説明する。
まず、データ管理コンピュータ300のデータサーバ310の中には、既に複数のデータアクセス単位500が格納されているものとする。
図2(a)に示す例では、データアクセス単位500は全体が第1の暗号鍵で暗号化された状態のものとなっている。これは、自分のデータについて当初からビッグデータとして公開する部分は決めず、データ本体すべてについて暗号化して格納した状態である。
一般には、図2(a)のデータ構造か、図2(b)のデータ構造になっていることが想定されるが限定はされない。以下の説明では、図2(b)のデータ構造として説明を続ける。
図3は、データ提供リクエスト情報の生成から送信の流れを示す図である。
データが欲しい他者の利用端末200の運営管理者は、データ提供リクエスト情報生成機能210を介して、データ提供リクエスト情報の生成を行う(図3ステップ(1))。他者の利用端末200の運営管理者は、所望するデータ所有者を指定または絞り込める情報である“指定情報”と“第2の暗号鍵”を含めて生成する。
送信されたデータ提供リクエスト情報はネットワークを介してデータ管理コンピュータ300に送信される。
データ管理コンピュータ300は、他者の利用端末200からデータ提供リクエスト情報をデータ提供リクエスト転送機能320が受け取る(図4ステップ(3))と、データアクセス単位取得機能330は、データ提供リクエスト情報中の“指定情報”を基に、該当するデータおよびそのデータ所有者を特定し、データサーバ310から該当するデータアクセス単位500をコピーして取得し(図4ステップ(4))、データ提供リクエスト転送機能320が“データ提供リクエスト情報”、暗号化されている“データアクセス単位500”と“第2の暗号鍵”の3つの要素を含む形でデータ所有者の利用端末400に対して送信する(図4ステップ(5))。データ所有者の利用端末400のデータ提供リクエスト情報受信機能420において受信される(図4ステップ(6))。なお、データサーバ310の中に格納されていたオリジナルのデータアクセス単位500は第1の暗号鍵で暗号化されたままデータサーバ310の中に残されている。
データ所有者の利用端末400における提供データの生成の流れを示す図である。
データ所有者は、利用端末400においてデータ提供リクエスト情報を受信した旨の通知を受け(図9(1))、アプリケーション本体機能470を立ち上げ(図9(2))、オープン暗証コードの入力画面が表示されれば(図9(3)−1)、コード入力手段410を介してオープン暗証コードを入力する(図5ステップ(7)、(図9(3)−2))。データアクセス単位開錠機能430においてオープン暗証コードの認証に成功すると、データ提供リクエスト情報と併せて送信されてきたデータアクセス単位500を自ら保有する第1の復号鍵で復号する(図5ステップ(8))。第1の暗号鍵で暗号化されていたデータアクセス単位500が復号され、利用端末400において平文となり閲覧可能となる(図9(4))。
データ所有者は、利用端末400において、データ提供リクエストにかかるデータを確認し、データ提供選択機能440によりデータアクセス単位500においてデータ提供する範囲を選択する(図5ステップ(9)、図9(5))。
図6の例では、左側にある図2におけるデータの状態から、データ所有者がデータ提供選択機能440を用いてデータ提供する範囲を選択した結果が示されている。
図6(a)では、左側にある状態(図2(a)の状態)から、一部のみ(網掛けなし)がデータ提供の範囲として選択され、残りの他の部分(網掛けあり)は選択から外すように指定したものとなっている。その結果、網掛けが掛かっている範囲はデータ提供されないため消去される。網掛けが外れた部分はデータ提供されるため、その後再暗号化されて他者の利用端末200に向けて提供される。
図6(c)では、左側にある状態(図2(c)の状態)においてもともとすべてがビッグデータとしてデータ提供を許可していたので、そのまま再暗号化されて他者の利用端末200に向けて提供される。
図7は、他者の利用端末200に対してデータ提供を行う流れを示す図である。
データ提供選択機能440を介したデータ提供の範囲を指定すると、クローズ暗証コードの入力画面が表示されれば(図10(6)−1)、コード入力手段410を介してクローズ暗証コードを入力する(図10(6)−2、図7ステップ(10))。データアクセス単位閉錠機能450においてクローズ暗証コードの認証に成功すると、提供データに編集したデータアクセス単位500を、データ送信リクエスト情報に併せて受信した第2の暗号鍵により再暗号化する(図7ステップ(11))。第2の暗号鍵で再暗号化されたデータアクセス単位500がデータ提供機能460により他者の利用端末200に向けて送信される(図7ステップ(12)、図10ステップ(7))。送信が完了すればアプリケーション本体機能470を終了する(図10ステップ(8))。
提供データ受信機能230により提供データであるデータアクセス単位500が受信されると(図8ステップ(13))、提供データアクセス単位開錠機能240に渡され、提供データアクセス単位開錠機能240において保有されている第2の復号鍵により復号して平文化する(図8ステップ(14))。ここで得られる平文は、もともとビッグデータとしての利用を認めていた公開データの部分と、データ所有者がデータ提供しても良いと判断した再暗号化部分であり、データ所有者がデータ提供したくない部分は含まれていない。
200 他者の利用端末
210 データ提供リクエスト情報生成機能
220 データ提供リクエスト情報送信機能
230 提供データ受信機能
240 提供データアクセス単位開錠機能
250 データ本体アクセス機能
300 データ管理者コンピュータ
310 データサーバ
320 データ提供リクエスト転送機能
330 データアクセス単位取得機能
340 提供データ転送機能
400 データ所有者の利用端末
410 コード入力手段
420 データ提供リクエスト情報受信機能
430 データアクセス単位開錠機能
440 データ提供選択機能
450 データアクセス単位閉錠機能
460 データ提供機能
470 アプリケーション本体機能
Claims (19)
- データ所有者の利用端末と、データ管理者コンピュータと、他者の利用端末の間で、データを取り扱うデータ管理システムであって、
前記データ管理システムで利用される各々の閲覧、出力または編集の単位となるデータアクセス単位であって、暗号化されたデータ本体と、前記データ本体を開くためのオープン暗証コードと、開いた前記データ本体を正常終了して閉じるためのクローズ暗証コードが設定されたデータアクセス単位と、
前記データアクセス単位を複数管理するデータサーバと、
前記データ所有者の利用端末または前記データ管理者コンピュータにおいて、他者の利用端末からの他者によるデータ提供リクエスト情報を受け付けるデータ提供リクエスト情報受信機能と、
前記データサーバから前記データ提供リクエスト情報にかかる前記データアクセス単位を取得するデータアクセス単位取得機能と、
前記オープン暗証コードの入力を受けて、前記データアクセス単位を開き、前記暗号化されたデータ本体を復号し、復号された前記データ本体とするデータアクセス単位開錠機能と、
前記クローズ暗証コードの入力を受けて、前記データ提供にかかる前記データ本体を再暗号化して正常終了して閉じるデータアクセス単位閉錠機能と、
前記他者の利用端末に向けて前記データ本体が暗号化された状態で再暗号化済みの前記データアクセス単位を提供するデータ提供機能を備えたことを特徴とするデータ管理システム。 - 前記データアクセス単位取得機能により取得された前記データアクセス単位における前記暗号化されたデータ本体を暗号化した暗号鍵が第1の暗号鍵であり、前記暗号化されたデータ本体を復号する復号鍵が第1の復号鍵であり、
前記データアクセス単位閉錠機能により前記データ本体を前記再暗号化する暗号鍵が第2の暗号鍵であり、前記再暗号化した前記データ本体を復号する復号鍵が第2の復号鍵であり、
前記第1の暗号鍵と前記第2の暗号鍵が異なるものであり、前記第1の復号鍵と前記第2の復号鍵が異なるものであることを特徴とする請求項1に記載のデータ管理システム。 - 前記データアクセス単位開錠機能が、前記オープン暗証コードおよび前記クローズ暗証コードを書き換える暗証コード書き換え機能を備えたことを特徴とする請求項2に記載のデータ管理システム。
- 前記データアクセス単位取得機能により取得された前記データアクセス単位における、前記オープン暗証コードが、前記第1の復号鍵であり、前記クローズ暗証コードが、前記第1の暗号鍵であり、
前記データアクセス単位閉錠機能により再暗号化された前記データアクセス単位における、前記オープン暗証コードが、前記第2の復号鍵であり、前記クローズ暗証コードが、前記第2の暗号鍵であり、前記暗証コード書き換え機能により、前記オープン暗証コードおよび前記クローズ暗証コードを前記第2の復号鍵および前記第2の暗号鍵に書き換えることを特徴とする請求項3に記載のデータ管理システム。 - 前記データアクセス単位取得機能により取得された前記データアクセス単位における、前記オープン暗証コードが、前記第1の復号鍵であり、前記クローズ暗証コードが、前記第1の暗号鍵であり、
前記データアクセス単位閉錠機能により再暗号化された前記データアクセス単位における、前記オープン暗証コードおよび前記クローズ暗証コードとも、前記第2の暗号鍵であり、前記暗証コード書き換え機能により、前記オープン暗証コードおよび前記クローズ暗証コードを前記第2の暗号鍵に書き換えることを特徴とする請求項3に記載のデータ管理システム。 - 前記第1の暗号鍵は、前記データ所有者が保持する暗号鍵であり、
前記第2の暗号鍵は、前記データ提供リクエスト情報の一部に含まれた、または前記データ提供リクエスト情報に関連付けられて前記他者の利用端末より提供されたものであることを特徴とする請求項4または5に記載のデータ管理システム。 - 前記第1の暗号鍵および前記第1の復号鍵が、あらかじめ登録された個人データの所有者である当該個人の生体情報から生成されたコード情報であり、
前記第2の暗号鍵および前記第2の復号鍵が、前記他者の利用端末の管理運営者の生体情報から生成されたコード情報であることを特徴とする請求項6に記載のデータ管理システム。 - 前記他者の利用端末において、前記データ提供機能を介して提供を受けた前記データアクセス単位の前記再暗号化済みのデータ本体を前記第2の復号鍵で復号する提供データアクセス単位開錠機能と、
復号された前記データ本体にアクセスするデータ本体アクセス機能を備えたことを特徴とする請求項4から7のいずれかに記載のデータ管理システム。 - 前記他者の利用端末における前記データ本体アクセス機能が、復号された前記データ本体の閲覧機能、復号された前記データ本体の編集機能、復号された前記データ本体の他のアプリケーションで利用可能なように取り出すデータ取り出し機能のいずれかまたはそれらの組み合わせであることを特徴とする請求項8に記載のデータ管理システム。
- 前記データ所有者の利用端末が、前記データアクセス単位取得機能と、前記データアクセス単位開錠機能と、前記データアクセス単位閉錠機能と、前記データ提供機能を備え、
前記他者の利用端末が、前記データ提供リクエスト情報を生成して送信するデータ提供リクエスト情報送信機能と、前記提供データアクセス単位開錠機能と、前記データ本体アクセス機能を備え、
前記データ管理者コンピュータが、前記データサーバと、前記データ提供リクエスト情報受信機能と、前記データアクセス単位取得機能に応じて該当する前記データアクセス単位を送信する機能と、前記データ所有者の利用端末から前記データ提供機能により提供された前記再暗号化済みの前記データアクセス単位を前記他者の利用端末に転送する提供データアクセス単位転送機能を備えた構成であることを特徴とする請求項9に記載のデータ管理システム。 - 前記データ所有者の利用端末において、前記データアクセス単位開錠機能により開いた前記データ本体において、データ提供をするデータ本体部分を選択するデータ提供選択機能を備え、
前記データアクセス単位閉錠機能が、前記データ提供選択機能により選択された前記データ本体部分のみを再暗号化し、
前記データ提供機能が、再暗号化済みの前記データ部分を含む前記データアクセス単位を提供し、
前記データ提供選択機能により選択されなかった部分は前記データアクセス単位閉錠機能または前記データ提供機能において消去、または前記データ提供機能により提供されないことを特徴とする請求項1から10のいずれかに記載のデータ管理システム。 - 前記データ所有者の利用端末の前記データアクセス単位取得機能と、前記データアクセス単位開錠機能と、前記データアクセス単位閉錠機能と、前記データ提供機能が、前記データ所有者が保持するスマートデバイスまたはコンピュータにインストールされているかASPにより利用可能な形態で前記データ管理者コンピュータにアクセス可能になっており、
前記他者の利用端末の前記データ提供リクエスト情報送信機能と、前記提供データアクセス単位開錠機能と、前記データ本体アクセス機能が、前記他者の利用端末のリソースにインストールされているかASPにより利用可能な形態で前記データ管理者コンピュータにアクセス可能なものになっていることを特徴とする請求項10に記載のデータ管理システム。 - 前記データサーバにおいて、各々の前記データアクセス単位が個人単位に個人フォルダにまとめられており、
各々の前記個人フォルダに、前記個人フォルダを開くための個人フォルダオープン暗証コードと、前記個人フォルダを閉じるための個人フォルダクローズ暗証コードが設定されたものであることを特徴とする請求項1から12のいずれかに記載のデータ管理システム。 - 前記データ管理者コンピュータが前記データ所有者からデータ管理の信託を受けた個人情報銀行が運営するサーバシステムであることを特徴とする請求項1から13のいずれかに記載のデータ管理システム。
- 前記データアクセス単位がアプリケーションファイルであることを特徴とする請求項1から14のいずれかに記載のデータ管理システム。
- 前記データアクセス単位がデータベース中のレコードであることを特徴とする請求項1から14のいずれかに記載のデータ管理システム。
- 前記データアクセス単位がデータベース中のレコードのフィールドであることを特徴とする請求項1から14のいずれかに記載のデータ管理システム。
- 前記データが、利用者のクレジット利用ログデータ、利用者の移動および運動を含む行動パターンを示すデータ、利用者個人の身体データ、利用者個人の検査データ、利用者個人の病歴や治療歴を示すデータを記録した電子カルテデータ、利用者個人の薬の処方を示すデータを記録した電子お薬手帳データ、利用者個人の電子保険証データ、利用者個人の行政上の記録情報または資格情報の内容を示す行政関連電子データ、利用者個人が使用した移動体のログデータ、利用者個人が使用した電子機器のログデータ、利用者個人が使用した動産または不動産の有体物か無体物の利用ログデータ、利用者個人が作成、編集したデータのいずれかまたはそれらの組み合わせを含むものであることを特徴とする請求項1から17のいずれかに記載のデータ管理システム。
- データ所有者の利用端末と、データ管理者コンピュータと、他者の利用端末の間で、データを取り扱うデータ管理方法であって、
それら前記データ所有者の利用端末と前記データ管理者コンピュータと前記他者の利用端末の間で利用される各々のデータファイルであって、暗号化されたデータ本体と、前記データ本体を開くためのオープン暗証コードと、開いた前記データ本体を正常終了して閉じるためのクローズ暗証コードが設定されたデータファイルと、前記データファイルを複数管理するデータサーバを備えた構成において、
前記データ所有者の利用端末または前記データ管理者コンピュータにおいて、 他者の利用端末からの他者によるデータ提供リクエスト情報を受け付けるデータ提供リクエスト受信と、
前記データサーバから前記データ提供リクエスト情報にかかる前記データファイルを取得するデータファイル取得と、
前記オープン暗証コードの入力を受けて、前記データファイルを開き、前記暗号化されたデータ本体を復号し、復号された前記データ本体とするデータファイル開錠と、
前記クローズ暗証コードの入力を受けて、前記データ提供にかかる前記データ本体を再暗号化して正常終了して閉じるデータファイル閉錠と、
前記他者の利用端末に向けて前記データ本体が暗号化された状態で再暗号化済みの前記データファイルを提供するデータ提供を実行することを特徴とするデータ管理方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018198685 | 2018-10-22 | ||
JP2018198685 | 2018-10-22 | ||
PCT/JP2018/039546 WO2020084718A1 (ja) | 2018-10-22 | 2018-10-24 | データ管理システムおよびデータ管理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6670976B1 true JP6670976B1 (ja) | 2020-03-25 |
JPWO2020084718A1 JPWO2020084718A1 (ja) | 2021-02-15 |
Family
ID=70000791
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019507887A Active JP6670976B1 (ja) | 2018-10-22 | 2018-10-24 | データ管理システムおよびデータ管理方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6670976B1 (ja) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007207036A (ja) * | 2006-02-02 | 2007-08-16 | Canon Inc | 文書管理方法および装置 |
JP2009122952A (ja) * | 2007-11-14 | 2009-06-04 | Nippon Telegr & Teleph Corp <Ntt> | 属性情報開示システムおよび属性情報開示方法 |
WO2018043599A1 (ja) * | 2016-08-30 | 2018-03-08 | ソラミツ株式会社 | 情報共有システム |
-
2018
- 2018-10-24 JP JP2019507887A patent/JP6670976B1/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007207036A (ja) * | 2006-02-02 | 2007-08-16 | Canon Inc | 文書管理方法および装置 |
JP2009122952A (ja) * | 2007-11-14 | 2009-06-04 | Nippon Telegr & Teleph Corp <Ntt> | 属性情報開示システムおよび属性情報開示方法 |
WO2018043599A1 (ja) * | 2016-08-30 | 2018-03-08 | ソラミツ株式会社 | 情報共有システム |
Also Published As
Publication number | Publication date |
---|---|
JPWO2020084718A1 (ja) | 2021-02-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11663304B2 (en) | Secure information storage and retrieval apparatus and method | |
JP6572461B1 (ja) | データ管理システムおよびデータ管理方法 | |
US11531781B2 (en) | Encryption scheme for making secure patient data available to authorized parties | |
US7865735B2 (en) | Method and apparatus for managing personal medical information in a secure manner | |
US20220223242A1 (en) | System and method of controlling access of a user's health information stored over a health care network | |
TW510997B (en) | Privacy and security method and system for a world-wide-web site | |
JP5659246B2 (ja) | 保護個人データ処理および管理システム | |
US8316237B1 (en) | System and method for secure three-party communications | |
JP5008003B2 (ja) | 患者の再識別のためのシステムおよび方法 | |
JP2022530535A (ja) | コンピュータシステム及び匿名データを処理するためのコンピュータシステムの操作方法 | |
US8498884B2 (en) | Encrypted portable electronic medical record system | |
KR101528785B1 (ko) | 개인정보 소유자의 동의를 기반으로 하는 개인정보 보호시스템 및 그 방법 | |
JP2019521537A (ja) | ユーザプロファイル内にユーザ情報を安全に格納するシステムおよび方法 | |
US11343330B2 (en) | Secure access to individual information | |
WO2003034652A1 (en) | Method and apparatus for providing biometric information as a signature to a contract | |
JP2001325372A (ja) | ヘルスケアデータ共有システム,ヘルスケアデータ共有方法およびヘルスケアデータ共有プログラム | |
Neuhaus et al. | Survey on healthcare IT systems: standards, regulations and security | |
JPWO2019155568A1 (ja) | 個人データアプリケーションおよび個人データアプリケーション制御方法 | |
US20210005293A1 (en) | System and method for providing access of a user's health information to third parties | |
JP6670976B1 (ja) | データ管理システムおよびデータ管理方法 | |
JP4521514B2 (ja) | 医療情報流通システム及びその情報アクセス制御方法、コンピュータプログラム | |
WO2020084718A1 (ja) | データ管理システムおよびデータ管理方法 | |
Sharma et al. | Electronic Health Records Using Blockchain | |
Imamverdiyev | PROBLEMS OF INFORMATION SECURITY IN E-HEALTH |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190211 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20190211 |
|
AA64 | Notification of invalidation of claim of internal priority (with term) |
Free format text: JAPANESE INTERMEDIATE CODE: A241764 Effective date: 20190312 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190313 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20190419 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190723 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190902 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20191019 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20191019 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191203 |
|
R155 | Notification before disposition of declining of application |
Free format text: JAPANESE INTERMEDIATE CODE: R155 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200302 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6670976 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R360 | Written notification for declining of transfer of rights |
Free format text: JAPANESE INTERMEDIATE CODE: R360 |
|
R370 | Written measure of declining of transfer procedure |
Free format text: JAPANESE INTERMEDIATE CODE: R370 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
S201 | Request for registration of exclusive licence |
Free format text: JAPANESE INTERMEDIATE CODE: R314201 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |