JP6721248B2 - 情報管理端末装置 - Google Patents

情報管理端末装置 Download PDF

Info

Publication number
JP6721248B2
JP6721248B2 JP2017251060A JP2017251060A JP6721248B2 JP 6721248 B2 JP6721248 B2 JP 6721248B2 JP 2017251060 A JP2017251060 A JP 2017251060A JP 2017251060 A JP2017251060 A JP 2017251060A JP 6721248 B2 JP6721248 B2 JP 6721248B2
Authority
JP
Japan
Prior art keywords
information
health information
analysis
terminal device
program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017251060A
Other languages
English (en)
Other versions
JP2018156633A (ja
Inventor
重信 南
重信 南
Original Assignee
株式会社ミルウス
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社ミルウス filed Critical 株式会社ミルウス
Priority to US15/901,327 priority Critical patent/US10754979B2/en
Priority to EP18158014.3A priority patent/EP3376426B8/en
Priority to CN201810156806.8A priority patent/CN108632040A/zh
Publication of JP2018156633A publication Critical patent/JP2018156633A/ja
Application granted granted Critical
Publication of JP6721248B2 publication Critical patent/JP6721248B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Medical Treatment And Welfare Office Work (AREA)

Description

本発明はAI(人工知能)解析等を用いたデータマイニング等の情報処理の対象となる情報の取得、蓄積、配信に関わる。より詳細には、人と物の健康情報を扱う機器、システムにおける、情報取得、蓄積、配信、解析、可視化等の一連の処理に関わる。
AI等でビックデータ等から有効な情報を抽出するためには、データの品質・取得手段、取得日付が正確に記録された情報である必要があることが望ましい。さらに人に関する情報では個人情報保護法等により個人が特定できるデータの管理・配信にも厳格な記録・管理が要求されている。
例えば、特許文献1には、コンテンツを悪用しようとするユーザから正当なユーザを保護するために、隠しメモリ領域にコンテンツ情報を、可視メモリ領域に、隠しメモリ領域に保存されたコンテンツ情報へのアクセスのための情報をそれぞれ保存する、ポータブルメモリデバイスが記載されている。
特許文献2には、従来とは異なる方式により、ユーザによるコンテンツの利用可否を制御するために、ユーザ端末が、コンテンツを再生又は実行する際に、当該コンテンツの利用権限があるか否かを判定し、コンテンツの利用権限がないと判定された場合に、ライセンス管理装置へと有効期限の設定されたライセンス情報を要求し、受信したライセンス情報をもって、有効期限までの間、当該コンテンツの利用権限があると判定する、コンテンツ保護システムが記載されている。
特許文献3には、安全性、機能性を高めるために、暗号・復号鍵がメディア自体に保存され、外部デバイスからアクセスを困難にし、証明書を有するホストデバイスのみが鍵へのアクセスが可能となる、ストレージデバイスが記載されている。
特許文献4には、メモリーカードにアクセスするホストコントローラを用いて、記憶装置に格納されている暗号化コンテンツにアクセスするために、ホストコントローラと著作権保護チップ内の回路とを接続するセレクタと、記憶装置に格納されている暗号化コンテンツ鍵、復号鍵生成情報、及び共有秘密情報が格納されるレジスタと、アクセス手段がハードディスクに格納されている暗号化コンテンツを復号したコンテンツにアクセスする場合に、ホストコントローラと通信を行って、レジスタに格納されている暗号化コンテンツ鍵及び復号鍵生成情報をホストコントローラに送信する通信回路と、を具備する、著作権保護チップが記載されている。
特許文献5には、コンテンツの利用状況に応じて適切な保護を行うために、コンテンツ利用端末が、コンテンツ提供端末から受信したコンテンツを利用する際に複製や改変等の利用履歴情報を記録し、所定の時間間隔でコンテンツ提供端末へ送信、コンテンツ提供端末がそれを受信して、その利用履歴情報と予め設定されている利用条件と保護パターンに基づいて保護レベルを決定し、それに対応した保護処理を行った保護済コンテンツをコンテンツ利用端末へと配信する、コンテンツ保護システムが記載されている。
特許文献6には、デジタルコンテンツの違法な配給を抑止するために、ユーザの身元が組み込まれた電子透かしをデジタルコンテンツに埋め込み、ユーザへと提供する、デジタルコンテンツ保護装置が記載されている。
特許文献7には、端末でのコンテンツの不正コピーを抑止するために、ライセンスサーバから取得したライセンスに含まれるコンテンツ鍵を用いて暗号化コンテンツを復号し再生するとともに、該ライセンスに含まれるユーザ情報を再生されたコンテンツに電子透かしとして挿入するコンテンツ再生手段を有する、コンテンツ保護機能付き端末装置が記載されている。
特開2013−37715号公報 特開2012−18662号公報 特開2010−182332号公報 特開2010−10824号公報 特開2005−316836号公報 特開2005−57769号公報 特開2004−318448号公報
上述したように、従来技術はコンテンツ保護の対象がライセンスを有したオーディオ・ビデオコンテンツであるものが殆どで、IoTやビックデータの対象となる人や物が生成する生体・行動・環境・機器状態・機器稼働などの多様なデータを想定していなかった。また、クラウドや管理サーバ主体のコンテンツ保護の技術が殆どであり、個人がデータの秘匿性を判断する個人情報保護の視点での技術は皆無といってよいほどであった。さらにバイタルサインセンサ等の多様なセンサで取得されるデータをビックデータやAIの解析対象として用いる場合は、そのデータの信頼性が大変重要であるが、多くはセンサで取得したデータをBLE(Bluetooth Low Energy)やWiFiでスマートフォンなどの端末に送り、更にそのままクラウドに送って処理するのが一般的であり、端末での改竄に関しては特に注意が払われていなかった。スマートフォンやタブレット型端末に多く用いられるAndroid等の処理ソフトは比較的オープンであり、近年指紋認証などのセキュリティ向上が進んでいるが、秘匿性の高い個人健康情報を生涯分蓄積するには、多様なアプリケーションソフトが動作するスマートフォンなどの端末は必ずしも安全とは言えないのが現状である。また、端末に個人健康情報等を蓄積した場合に、端末を買い替えた場合のデータの移動などはユーザ任せとなっている。
そこで、本発明では、スマートフォンや、PC、サーバのようなデバイスにより、データを所有する個人や法人(情報オーナと呼ぶ)が主体的かつセキュアに情報を管理する手段を提供することを課題とする。
上記課題を解決するために、本発明に係る情報管理端末装置は、
管理対象とする第1の情報を取得する情報取得手段と、前記第1の情報、及び前記第1の情報に対する付加情報である第2の情報を蓄積する情報蓄積手段と、蓄積メディアと、を備える情報管理端末装置であって、
前記蓄積メディアが、前記情報管理端末装置を前記情報蓄積手段として動作させるプログラムを含む特定プログラムのみがアクセス可能な秘匿領域と、前記特定プログラム以外のプログラムもアクセス可能な通常領域と、を有し、
前記情報取得手段が、前記第2の情報として、日時・時刻記録の付与を行い、
前記情報蓄積手段が、前記第1の情報又は前記第1の情報を参照可能なリンクと、前記第2の情報又は前記第2の情報を参照可能なリンクの前記通常領域への逐次的な蓄積を行い、
前記秘匿領域が、前記第1の情報及び/又は前記第2の情報の改竄を検出するためのデータ改竄検出パラメタを保持することを特徴とする。
これにより、日付や内容に改竄の検出があった場合に検出が可能な情報を、端末装置を利用する情報オーナの手元にコンパクトに蓄積でき、情報オーナ主導の情報活用が実現できる。
本発明の好ましい形態では、前記データ改竄検出パラメタが、前記第1の情報及び/又は前記第2の情報を用いて、前記第1の情報及び/又は前記第2の情報に対する改竄の有無を検出するための情報を生成する鍵であることを特徴とする。
このように、データの改竄の有無を検出するための情報を生成する鍵をデータ改竄検出パラメタとすることで、秘匿領域に記録可能なデータ容量が限られる場合においても、多くのデータを取り扱うことができる。
本発明の好ましい形態では、前記秘匿領域に、前記特定プログラムの改竄検出を行うためのプログラム改竄検出パラメタを含み、
前記プログラム改竄検出パラメタを用いた前記特定プログラムの改竄検出処理を行う、プログラム改竄検出手段を備えることを特徴とする。
これにより、情報の取得・蓄積を行うプログラムの改竄も防ぐことが出来るため、情報の信頼性を飛躍的に高めることができる。
本発明の好ましい形態では、前記プログラム改竄検出手段が前記特定プログラムの改竄検出処理を定期的に行い、
前記特定プログラムの改竄を検出した際に、前回の前記特定プログラムの改竄検出処理を実行した時点から前記プログラムの改竄を検出した時点までに蓄積された前記第1の情報及び前記第2の情報の削除又は回復を行うことを特徴とする。
これにより、プログラムに改竄が行われた可能性のある情報を削除し、蓄積した情報の信頼性を確保することができる。なお、ここでの健康情報及び健康情報通帳の回復は、予め他の端末装置やサーバ装置へと健康情報や健康情報通帳のバックアップを保存しておき、それを取得することによって実現できる。
本発明の好ましい形態では、前記データ改竄検出パラメタを用いた前記第1の情報及び/又は前記第2の情報の改竄検出処理を行うデータ改竄検出手段を備え、
前記データ改竄検出手段が前記第1の情報及び/又は前記第2の情報の改竄を検出した際に、前回の前記第1の情報及び/又は前記第2の情報の改竄検出処理を実行した時点から前記第1の情報及び/又は前記第2の情報の改竄を検出した時点までに蓄積された前記第1の情報及び前記第2の情報の削除又は回復を行うことを特徴とする。
これにより、改竄の可能性のあるデータの削除や回復を確実に行い、信頼性の低いデータを確実に排することができる。
本発明の好ましい形態では、前記情報管理端末装置が、前記情報蓄積手段で蓄積した前記第1の情報及び前記第2の情報から配信対象情報を選択して出力する配信手段を更に備え、
前記配信手段が、選択した前記配信対象情報の秘匿レベルを設定する秘匿レベル設定手段と、前記秘匿レベルを付加情報として前記配信対象情報に付加して出力する手段と、を有することを特徴とする。
これにより、蓄積した情報を他の端末などに送信し、積極的に活用することができる。
本発明の好ましい形態では、前記秘匿レベルが、
前記配信対象情報を暗号化せずに送信するクラス0と、
前記配信対象情報の暗号化を行った状態で送信するクラス1と、
前記配信対象情報を暗号化し、出力先での複製を禁止し、前記配信対象情報の有効期限を設定して送信するクラス2と、
前記配信対象情報を暗号化し、出力先での複製の禁止、前記配信対象情報に対する任意の処理によって生じる処理結果情報の取り扱いの制限、前記配信対象情報の有効期限を設定して送信するクラス3と、を含むことを特徴とする。
これにより、配信する健康情報の秘匿性をルール化でき、広く一般のサーバに配信する従来型や、配信先での健康情報管理を情報オーナが制御するための配信情報生成が可能になる。
本発明の好ましい形態では、前記第2の情報が、前記配信手段による出力の履歴、前記配信手段による出力先を特定する情報、前記秘匿レベル、前記配信手段による出力先での処理結果のうち、少なくとも一つを含むことを特徴とする。
これにより、受信した健康情報の解析や再配信、消去などが、記録として残り、配信元の情報オーナによる検証が容易になりシステムの信頼性が飛躍的に高まる。
本発明の好ましい形態では、前記第1の情報が、人及び/又は物の健康に関する情報であることを特徴とする。
これにより、人や物の健康状態というセキュアに取り扱う必要のある情報を、適切に取り扱うことができる。
本発明の他の形態に係る情報管理端末装置は、
他の端末装置より配信される第1の情報、及び前記第1の情報に対する付加情報である第2の情報を受信する受信手段と、前記第1の情報、及び前記第2の情報の解析を行う解析手段と、前記解析手段による解析結果の前記他の端末装置への送信及び/又は表示を行う出力手段と、蓄積メディアと、を備える情報管理端末装置であって、
前記蓄積メディアが、前記情報管理端末装置を前記受信手段と、前記解析手段と、前記出力手段と、として動作させるプログラムを含む特定プログラムのみがアクセス可能な秘匿領域と、前記特定プログラム以外のプログラムもアクセス可能な通常領域と、を有し、
前記受信手段が、前記第1の情報及び前記第2の情報に付与された秘匿レベルの判定を行う秘匿レベル判定手段を有し、
前記解析手段及び前記出力手段が、前記秘匿レベルに従って前記第1の情報、前記第2の情報、及び前記解析結果を取り扱い、
前記秘匿領域が、前記特定プログラムの改竄検出を行うためのプログラム改竄検出パラメタを含み、
前記プログラム改竄検出パラメタを用いた前記特定プログラムの改竄検出を行うプログラム改竄検出手段を備えることを特徴とする、情報管理端末装置。
これにより、プログラムの改竄を防ぎ、秘匿レベルに反した情報やその解析結果の取り扱いが行われるようなリスクを排除することができる。
本発明の好ましい形態では、前記解析手段が、前記解析の履歴情報又は前記解析の履歴情報を参照可能なリンクを前記通常領域への蓄積し、
前記秘匿領域が、前記履歴情報の改竄を検出するためのデータ改竄検出パラメタを保持することを特徴とする。
これにより、解析の履歴情報を改竄検出可能な状態で蓄積し、配信元の情報オーナによる検証が容易になり、情報の取り扱いに関する信頼性が飛躍的に高まる。
本発明の好ましい形態では、前記解析手段が前記解析の履歴情報の改竄を検出した際に、前回の前記解析の履歴情報の改竄検出処理を実行した時点から前記解析の履歴情報の改竄を検出した時点までに蓄積された前記解析の履歴情報の削除又は回復を行うことを特徴とする。
これにより、改竄の可能性のあるデータの削除や回復を確実に行い、信頼性の低いデータを確実に排することができる。
本発明の好ましい形態では、前記秘匿レベルが、
前記第1の情報、及び前記第2の情報を暗号化せずに取り扱うクラス0と、
前記第1の情報、及び前記第2の情報の暗号化を行った状態で取り扱うクラス1と、
前記第1の情報、及び前記第2の情報を暗号化し、出力先での複製を禁止し、前記第1の情報、及び前記第2の情報の有効期限を設定して取り扱うクラス2と、
前記第1の情報、及び前記第2の情報を暗号化し、出力先での複製の禁止、前記解析結果の取り扱いの制限、前記第1の情報、及び前記第2の情報の有効期限を設定して取り扱うクラス3と、を含むことを特徴とする。
これにより、情報やその解析結果の秘匿性をルール化でき、広く一般のサーバに配信する従来型や、配信先での健康情報管理を情報オーナが制御するための配信情報生成が可能になる。
本発明の好ましい形態では、前記受信手段が、他の端末装置より前記解析結果を受信し、
前記解析手段が、前記解析結果の再解析を行うことを特徴とする。
これにより、解析結果から更に詳細な解析結果を得る、別の観点での解析結果を得る、といったように、多様な解析を、秘匿レベルに従って、すなわち、情報オーナの意向に従って行うことができる。
本発明の好ましい形態では、前記第1の情報が、人及び/又は物の健康に関する情報であることを特徴とする。
これにより、人や物の健康状態というセキュアに取り扱う必要のある情報を、適切に取り扱うことができる。
日付や内容に改竄があった場合に検出が可能な健康情報を、端末装置を利用する情報オーナの手元にコンパクトに蓄積でき、情報オーナ主導の情報活用が実現できる。
本発明の実施形態1に係る情報管理端末装置を用いたシステムの構成図である。 本発明の実施形態1に係る健康情報配信側デバイスの機能ブロック図である。 本発明の実施形態1に係る健康情報受信/解析側デバイスの機能ブロック図である。 本発明の実施形態1におけるプログラム読み込み処理を示すフローチャートである。 本発明の実施形態1におけるプログラムの改竄検出処理を示すフローチャートである。 本発明の実施形態1における健康情報取得処理を示すフローチャートである。 本発明の実施形態1における健康情報配信処理を示すフローチャートである。 本発明の実施形態1における健康/解析情報受信処理を示すフローチャートである。 本発明の実施形態1における健康情報解析/解析情報再解析処理を示すフローチャートである。 本発明の実施形態1におけるデータの記録/読み出し処理を示すフローチャートである。 本発明の実施形態2に係る健康情報配信側デバイスの機能ブロック図である。 本発明の実施形態2に係る健康情報受信/解析側デバイスの機能ブロック図である。 本発明の実施形態2におけるプログラム読み込み処理を示すフローチャートである。 本発明の実施形態3に係る健康情報配信側デバイスの機能ブロック図である。 本発明の実施形態3に係る健康情報受信/解析側デバイスの機能ブロック図である。 本発明の実施形態3におけるデータの記録/読み出し処理を示すフローチャートである。 本発明の実施形態3におけるプログラムの改竄検出処理を示すフローチャートである。 本発明の実施形態3におけるデバイス間でのデータのやり取りの流れの一例を示すシーケンス図である。
(実施形態1)
<情報管理端末装置を用いたシステムの全体構成>
以下、図面を参照して、本発明の実施形態1について詳細に説明する。図1は、本実施形態に係る情報管理端末装置を用いたシステムの構成図である。ここに示すように、本発明に係る情報管理端末装置は、センサからの情報の取得や配信などを行う健康情報配信側デバイス1と、情報の受信や解析などを行う健康情報受信/解析側デバイス2a〜2c(以下、特に区別する必要がない場合において、総じて健康情報受信/解析側デバイス2と呼称する)が、直接的に、あるいはネットワークNWを介して通信可能に構成されている。また、健康情報配信側デバイス1は、本実施形態に係る情報管理端末装置ではない、一般的なコンピュータやサーバ装置である端末装置3a、3b(以下、特に区別する必要がない場合において、総じて端末装置3と呼称する)とも、直接的に、あるいはネットワークNWを介して通信可能に構成されている。そして、健康情報配信側デバイス1は、乳幼児に装着されたセンサ4aや高齢者に装着されたセンサ4b、製造装置に取り付けられたセンサ4c、自動車に取り付けられたセンサ4dといった、種々のセンサ(以下、特に区別する必要がない場合において、総じてセンサ4と呼称する)と無線、あるいは有線で通信可能に構成される。また、健康情報配信側デバイス1、健康情報受信/解析側デバイス2は、それらのデバイス上で動作するプログラムに関する情報や、センサ4に関する情報を蓄積する管理サーバ装置5とも、ネットワークNWを介して通信可能に構成される。
本発明における健康情報とは、人や物が生成したり関与したりする情報の総称である。例えば、人の健康にかかわる情報として、生体情報(心電図、脈波、心拍、脈拍、体温等)、行動情報(睡眠、食事、排泄、GPS位置、購買、服薬、医療履歴等)、環境情報(気温、湿度、気圧、空気汚染、花粉等)等が、物が生成する情報、すなわち物の健康にかかわる情報として、機器状態情報(異音、温度、振動等)、機器稼働情報(ハンドル・アクセル・ブレーキなどの操作情報、非破壊試験等の異音情報、稼働時間、GPS位置、操作担当者等)、機器の環境情報(人とほぼ同じ)等が挙げられる。また、健康情報配信側デバイス1や健康情報受信/解析側デバイス2、端末装置3等の機器を取り扱うものを総じてユーザと呼称するが、特に、健康情報配信側デバイス1を使用して健康情報の配信などを行うユーザを情報オーナと呼称する。
また、上述したような人や物の健康情報に限らず、更に多様な情報を取り扱うことが出来るような構成としてもよい。例えば、契約書に添付する図面などの書類について、正当性を担保可能な状態での保存や配布を行う、といったように、正当性の担保や改竄の検出が必要とされる種々の情報について、本発明に係る情報管理端末装置を用いた管理を行うことができる。
なお、本発明の基本は、健康情報配信側デバイス1と健康情報受信/解析側デバイス2や端末装置3とのPeer to Peer(P2P)での一対一通信であるため、特定のクラウドサーバなどを必要としない。もちろんクラウドサーバとの接続もP2P通信の拡張として可能である。
本実施形態においては、セキュリティの強化された記録メディアを、配信側メディア11として、広く普及しているスマートフォン、タブレット、PC等(デバイスと称する)と併用して健康情報配信側デバイス1を、同様に、受信/解析側メディア21とデバイスによって健康情報受信/解析側デバイス2を、それぞれ実現する。記録メディアとしては、例えば、SeeQVault(登録商標)規格のSDカードを活用することができる。同記録メディアには秘匿領域と通常の公開領域が、記録メディアに内蔵するプロセサにより定義されている。このなかで、秘匿領域には、デバイスで動作する特定の認証ソフトのみが、記録メディアの秘匿領域に保存されている秘匿鍵から生成される公開鍵を用いてアクセス可能となる。言い換えれば、デバイスに搭載されたOS(Operating System、基本ソフトウェア)によって提供されているような一般的なファイルシステムからは見えない、特定の認証ソフトのみアクセスできる秘匿領域を持つメディアが存在することになる。なお、同様な仕組みを有する規格の記録メディアであれば、SeeQVault規格のSDカードに限らず、他の記録メディアを用いてもよい。
<健康情報配信側デバイスの構成>
図2に、健康情報配信側デバイス1の機能ブロック図を示す。ここに示すように、健康情報配信側デバイス1は、配信側メディア11と、健康情報のセンサ4からの取得と配信側メディア11への記録を行うエンコーダ12と、健康情報の健康情報受信/解析側デバイス2や端末装置3への送信を行う配信部13と、健康情報の取得や配信に際して認証を行う個人・資格情報認証手段14と、を備える。
配信側メディア11は、秘匿領域111と通常領域112を有する。秘匿領域111は、先に述べたようにデバイスで動作する特定の認証ソフトのみが、記録メディアの秘匿領域に保存されている秘匿鍵から生成される公開鍵を用いてアクセス可能な領域である。また、秘匿領域111は、後述するように、デバイス認証手段1111とメディア認証手段121、131との間で、デバイス−メディア間の相互認証が成立した場合にのみアクセス可能となる。通常領域112についても、デバイスのOS等によって提供される一般的なファイルシステムではなく、秘匿領域111の保持するメディアファイルシステム制御情報1112(メディアへの逐次的な書き込みを実現するためのポインタなどの情報)と連動した非公開のメディアファイルシステムによって管理される。
秘匿領域111は、配信側メディア11と健康情報配信側デバイス1との間で相互認証を行うデバイス認証手段1111と、先に説明したメディアファイルシステム制御情報1112と、通常領域112へのデータの読み書きに際して暗号化/復号を行うための鍵であるデータ暗号鍵1113と、健康情報配信側デバイス1上でのプログラムファイルや健康情報通帳、健康情報の不正な改竄を検出するために用いるハッシュ値などの改竄検出パラメタ1114と、を含む。
通常領域112は、センサ4からの健康情報の受信と、受信した健康情報の蓄積を行うエンコーダプログラムファイル1121と、蓄積した健康情報の健康情報受信/解析側デバイス2や端末装置3への配信を行う配信プログラムファイル1122と、健康情報の流通の記録である健康情報通帳1123と、センサ4より受信した健康情報1124の蓄積と、を含む。
ここで、健康情報通帳1123には、センサ4より取得した健康情報の属性として、それぞれのセンサ4の有するセンサ識別子、健康情報の取得日時や種別、サイズ、データ改竄検出パラメタ(例えば健康情報のハッシュ値)などが上書き禁止で逐次的に記録される。また、健康情報配信側デバイス1から健康情報受信/解析側デバイス2や端末装置3へと健康情報の出力を行った場合にその出力履歴や出力先、出力に際して設定された秘匿レベル、出力先より返却された解析結果などの情報を含む。
なお、秘匿領域111に含まれる各情報及び通常領域112に含まれるエンコーダプログラムファイル1121、配信プログラムファイル1122については、配信側メディア11の初期設定時ないしは信頼できる配信方式により、配信側メディア11に記録されるものである。
エンコーダ12は、デバイス認証手段1111との間でデバイス−メディア間の相互認証を行うメディア認証手段121と、通常領域112へのアクセスを行うためのメディアファイルシステム122と、センサ4からの健康情報の取得と健康情報通帳1123、健康情報1124への蓄積を行う健康情報通帳1123や健康情報1124、エンコーダプログラム124と、エンコーダプログラム124の改竄検出を行う改竄検出手段123と、を有する。
エンコーダプログラム124は、健康情報配信側デバイス1が通常領域112よりエンコーダプログラムファイル1121を読み込んで実行するもので、センサ4の認証を行うセンサ認証手段1241と、センサ4からの健康情報の取得を行う健康情報取得手段1242と、健康情報の健康情報1124への蓄積、健康情報の付加情報の健康情報通帳1123への蓄積を行う健康情報蓄積手段1243と、を含む。
配信部13はメディア認証手段121と同様、デバイス−メディア間の相互認証を行うメディア認証手段131と、通常領域112へのアクセスを行うためのメディアファイルシステム132と、健康情報通帳1123や健康情報1124の配信を行う配信プログラム134と、健康情報通帳1123や健康情報1124、配信プログラム134の改竄検出を行う改竄検出手段133と、情報オーナからの健康情報及び健康情報通帳の配信先と、配信の際に設定する秘匿レベルの指定を受け付ける情報配信先・秘匿レベル指定入力受付手段135と、改竄検出パラメタ1114を秘匿化して配信する改竄検出パラメタ秘匿化配信手段136と、を有する。
配信プログラム134は、健康情報配信側デバイス1が通常領域112より配信プログラムファイル1122を読み込んで実行するもので、健康情報通帳1123、健康情報1124をコンテナ化して配信の対象とする健康情報コンテナを生成する健康情報コンテナ生成手段1341と、健康情報コンテナを健康情報受信/解析側デバイス2や端末装置3へと配信する健康情報コンテナ配信手段1342と、を含む。
改竄検出パラメタ秘匿化配信手段136は、他の健康情報受信/解析側デバイス2などへ健康情報の配信を行った後に、その改竄の有無の検証のために、配信した健康情報の改竄検出パラメタ(ハッシュ値など)を、秘匿化した状態で提供するものである。
なお、本実施形態において、情報配信先・秘匿レベル指定入力受付手段135により情報オーナからの指定を受け付ける秘匿レベルは、表1に示すようなものである。この秘匿レベルは、配信する健康情報コンテナに対して原則情報オーナが指定し、健康情報の記録や配信を行う際に、付加情報として共に扱われる。表1に示す様に、秘匿レベルが最も低いクラス0では、健康情報の日付も含めた改竄困難な健康情報が情報オーナの手元にエビデンスとして残るのみで、配信された情報は相手先の扱いに依存する。この場合は図1に端末装置3a、3bとして示したような、一般的な端末装置(従来のクラウドサービスなど)に情報を送ることが可能である。クラス1以上の秘匿レベルを実現するためには、情報コンテナを受信する解析側にもセキュアな蓄積メディアが必要になる。このメディアに改竄困難な受信・解析ソフトが搭載されることにより、受信コンテナに対する勝手な配信を困難にする。また、再配信などの履歴を受信側と情報オーナ側の健康情報通帳に書き込み記録を残す。具体的には、クラス1の指定の場合、受信健康情報の暗号解読が必要になる。この暗号解読の鍵は、あらかじめ受信側の秘匿領域に収容されている必要がある。クラス2では、さらに、受信健康情報の再配信菌糸、有効期限、消去などの制御を情報オーナが指定することが可能である。クラス3では、同様の指定が解析結果にも可能となる。
また、本実施形態においては、エンコーダ12と配信部13がそれぞれ、メディア認証手段121、メディア認証手段131、メディアファイルシステム122、メディアファイルシステム132、改竄検出手段123、改竄検出手段133を有する構成を示したが、これらの機能を共通化するような構成としてもよい。ただし、いずれの場合においても、メディア認証手段121、131やメディアファイルシステム122、132、及び改竄検出手段123、133は耐タンパ化(ソフトウェアコードの難読化処理)されており、秘匿領域111へアクセスするためには、これらのソフトウェア(核ソフト)が必須となる。
<健康情報受信/解析側デバイスの構成>
図3に、健康情報受信/解析側デバイス2の機能ブロック図を示す。ここに示すように、健康情報受信/解析側デバイス2は、受信/解析側メディア21と、健康情報配信側デバイス1からの健康情報の受信や、その解析結果の健康情報配信側デバイス1への送信、健康情報の解析結果の他の健康情報受信/解析側デバイス2や端末装置3への再解析の依頼のための送信、再解析結果の受信などを行う送受信部22と、受信した健康情報の閲覧制御や解析などを行うデコーダ23と、健康情報の受信や閲覧などに際して認証を行う個人・資格情報認証手段24と、を備える。
受信/解析側メディア21は、配信側メディア11と同様に秘匿領域211と通常領域212とを有する記録メディアを用いることができ、メディア認証手段221は秘匿領域111と同様のデバイス認証手段2111、メディアファイルシステム制御情報2112、データ暗号鍵2113、改竄検出パラメタ2114を含む。
通常領域212は健康情報配信側デバイス1からの健康情報の受信やその健康情報の解析結果の健康情報配信側デバイス1、他の健康情報受信/解析側デバイス2、端末装置3などへの送信を行う送受信プログラムファイル2121と、受信した健康情報の解析や閲覧制御を行うデコーダプログラムファイル2122と、健康情報とそれに付加された情報などを格納する健康情報通帳/健康情報2123と、健康情報の解析結果などを格納する解析結果情報2124と、を含む。
なお、秘匿領域211に含まれる各情報及び通常領域212に含まれる送受信プログラムファイル2121、デコーダプログラムファイル2122については、受信/解析側メディア21の初期設定時ないしは信頼できる配信方式により、配信側メディア11に記録されるものである。
送受信部22は、デバイス認証手段2111との間でデバイス−メディア間の相互認証を行うメディアファイルシステム122と、通常領域212へのアクセスを行うためのメディアファイルシステム222と、メディアファイルシステム222や、健康情報通帳/健康情報2123、解析結果情報2124などの改竄の検出を行う改竄検出手段223と、健康情報コンテナや解析情報コンテナの受信や開封、デコーダ23による健康情報の解析結果の解析情報コンテナとしての送信などを行う送受信プログラム224と、健康情報コンテナや解析情報コンテナに設定された秘匿レベルの判定を行う秘匿レベル判定手段225と、改竄検出パラメタ2114を秘匿化して配信する改竄検出パラメタ秘匿化配信手段226と、を有する。
を有する。
送受信プログラム224は、健康情報受信/解析側デバイス2が通常領域212より送受信プログラムファイル2121を読み込んで実行するもので、健康情報配信側デバイス1からの健康情報コンテナの受信や、他の健康情報受信/解析側デバイス2、あるいは端末装置3からの解析情報コンテナの受信を行う健康/解析情報コンテナ受信手段2241と、受信した健康情報コンテナや解析情報コンテナの開封、健康情報通帳/健康情報2123への記録を行う健康/解析情報コンテナ開封手段2242と、解析結果情報2124に格納されたデコーダ23による健康情報の解析結果の解析情報コンテナとしての配信を行う解析情報コンテナ送信手段2243と、を含む。
改竄検出パラメタ秘匿化配信手段226は、健康情報配信側デバイス1や他の健康情報受信/解析側デバイス2などへ健康情報の解析結果の配信を行った後に、その改竄の有無の検証のために、配信した解析結果の改竄検出パラメタ(ハッシュ値など)を、秘匿化した状態で提供するものである。
デコーダ23は、デバイス認証手段2111との間でデバイス−メディア間の相互認証を行うメディア認証手段231と、通常領域212へのアクセスを行うためのメディアファイルシステム232と、健康情報の解析や閲覧/送信の制御などを行うデコーダプログラム234と、健康情報通帳/健康情報2123や解析結果情報2124、デコーダプログラム234の改竄の検出を行う改竄検出手段233と、を有する。
デコーダプログラム234は、健康情報受信/解析側デバイス2が通常領域212よりデコーダプログラムファイル2122を読み込んで実行するもので、健康情報や解析結果の閲覧や健康情報配信側デバイス1、他の健康情報受信/解析側デバイス2、端末装置3への送信を制御する閲覧制御手段2341と、健康情報の解析を行う健康情報解析手段2342と、を含む。
なお、本実施形態においては、送受信部22とデコーダ23がそれぞれ、メディア認証手段221、メディア認証手段231、メディアファイルシステム222、メディアファイルシステム232、改竄検出手段223、改竄検出手段233を有する構成を示したが、これらの機能を共通化するような構成としてもよい。ただし、いずれの場合においても、メディア認証手段221、231やメディアファイルシステム222、232、及び改竄検出手段223、233は耐タンパ化(ソフトウェアコードの難読化処理)されており、秘匿領域211へアクセスするためには、これらのソフトウェア(核ソフト)が必須となる。
また、本実施形態においては、上述したように、健康情報受信/解析側デバイス2による解析結果の出力として、閲覧制御手段2341による健康情報受信/解析側デバイス2での表示と、解析情報コンテナ送信手段2243による健康情報配信側デバイス1や健康情報受信/解析側デバイス2、端末装置3への送信、といった出力が可能な構成を示したが、これらの何れかのみを出力手段として備えるような構成としてもよい。例えば、閲覧制御手段2341による健康情報受信/解析側デバイス2での表示のみを可能とし、健康情報受信/解析側デバイス2のユーザが解析結果の閲覧を行うための構成や、解析情報コンテナ送信手段2243による送信のみを可能とし、健康情報、健康情報通帳の送信元の健康情報配信側デバイス1への解析結果の返却や、他の健康情報受信/解析側デバイス2や端末装置3への再解析依頼のみを行うような構成などが挙げられる。
また、健康情報配信側デバイス1と健康情報受信/解析側デバイス2がそれぞれ異なる機能を有する構成を示したが、本発明はこれに限るものではない。例えば、エンコーダ12、配信部13、送受信部22、デコーダ23の機能を有するような端末装置に、配信側メディア11、受信/解析側メディア21に格納される情報を含む記録メディアを接続し、健康情報配信側デバイス1と健康情報受信/解析側デバイス2のどちらとしても利用可能な端末装置を用いるような構成としてもよい。
なお、エンコーダプログラムファイル1121、配信プログラムファイル1122、送受信プログラムファイル2121、デコーダプログラムファイル2122等のプログラムは、予め管理サーバ装置5にすべて登録されているものとする。また、それぞれのセンサ4に関する属性情報(センサ4を識別するためのセンサ識別子やセンサ4に関するその他の情報)も、予め管理サーバ装置5に蓄積され、解析時に参照可能になっているものとする。
<プログラムの読み込み、改竄検出>
エンコーダプログラムファイル1121、配信プログラムファイル1122の読み込みは、健康情報配信側デバイス1の起動時に行なわれる。また、定期的、あるいはユーザの指示に基づいて健康情報の取得処理を行う際に読み込むような構成としてもよい。図4は、エンコーダプログラムファイル1121の読み込み処理の流れを示すフローチャートである。
まず、ステップS101において、健康情報配信側デバイス1と配信側メディア11との間での相互認証を行う。これは、メディア認証手段121とデバイス認証手段1111との間で実行される処理である。
そして、ステップS102でデバイス−メディア間の認証処理が成功したと判断された場合には、ステップS103へと進み、エンコーダプログラムファイル1121がエンコーダプログラム124として健康情報配信側デバイス1へと読み込まれ、健康情報配信側デバイス1のメモリ上への展開などが行われる。
ステップS102において認証が失敗した場合には、ステップS103におけるエンコーダプログラム124の読み込み等を行わず、処理は終了する。この際、認証の失敗を示すメッセージやログの出力を行うような構成としてもよい。
健康情報配信側デバイス1による配信プログラムファイル1122の読み込みについても、同様の処理が行われる。あるいは、エンコーダプログラムファイル1121、配信プログラムファイル1122の読み込み処理を別個に行わず、一度の認証処理の後に、ステップS103においてエンコーダプログラムファイル1121、配信プログラムファイル1122の両方を読み込むような処理としてもよい。更に、健康情報受信/解析側デバイス2による送受信プログラムファイル2121、デコーダプログラムファイル2122の読み込みに際しても、健康情報受信/解析側デバイス2によって同様の処理が行われる。
以上のような処理によってメディア認証手段121(あるいはメディア認証手段221)からプログラムが読み込まれた後にも、プログラムの不正な改竄が行われていないか否かについての検出処理が定期的に行われる。図5は、改竄検出処理の流れを示すフローチャートである。
まず、ステップS201において、改竄検出パラメタ1114や改竄検出パラメタ2114の読み込みが行われる。本実施形態においては、プログラムに関する改竄検出パラメタ1114として、エンコーダプログラムファイル1121、配信プログラムファイル1122のハッシュ値を、また、プログラムに関する改竄検出パラメタ2114として、送受信プログラムファイル2121、デコーダプログラムファイル2122のハッシュ値を、それぞれ含む情報が用いられる。ここで、ハッシュ値とは、ハッシュ関数を用いて、元データに対して不可逆な計算処理を行うことによって求められる値である。正規のファイルのハッシュ値を予め算出して記録しておき、改竄の検出処理において、改竄の検出対象とするファイルのハッシュ値を同様の手順で算出し、正規のファイルのハッシュ値と同一になるか否かを判定することによって、ファイルへの改竄の有無を検証することができる。
ステップS201で改竄検出パラメタ1114、2114として記録されたハッシュ値を読み込んだ後、ステップS202で、検査対象プログラムのハッシュ値の算出が行われる。ここでは、健康情報配信側デバイス1に読み込まれたエンコーダプログラムファイル1121や配信プログラムファイル1122、健康情報受信/解析側デバイス2に読み込まれた送受信プログラムファイル2121やデコーダプログラムファイル2122が検査対象プログラムとなる。
続くステップS203において、ハッシュ値の比較を行う。ここで、先に述べた通り、ハッシュ値が同一となれば、プログラムの改竄は行われていないと判断できるが、ハッシュ値が異なる場合には、プログラムが不正に改竄された疑いがある。そのため、ステップS204でハッシュ値が同一と判定された場合には改竄検出処理は終了するが、ステップS204でハッシュ値が同一でないと判定された場合には、ステップS205へと進み、検査対象プログラムの再読み込み処理が行われる。これは、先に図4を参照して説明したような処理を再度行えばよい。
また、ハッシュ値が同一でなく、プログラムの改竄の恐れがある場合には、前回の改竄検出処理から現在までに取得されたデータ、すなわち、不正に改竄されたプログラムによって取得された恐れのある、信頼性の低いデータの破棄や回復などの処理を行うことが好ましい。
ここで、エンコーダプログラム124の改竄が検出された場合には、前回の改竄検出処理から現在に至るまでに取得された健康情報や健康情報通帳を削除することが好ましい。また、当該データを用いて行なわれた解析結果についても信頼性が低いものとなるため、そのような解析結果を保持する他の健康情報受信/解析側デバイス2や端末装置3などに対しても、データの削除を依頼するような構成とすることがより好ましい。
一方、エンコーダプログラム124以外のプログラムの改竄が検出された場合においては、他の健康情報配信側デバイス1、や健康情報受信/解析側デバイス2、端末装置3に、あるいは、管理サーバ装置5や図示しない他のサーバ装置などに定期的なバックアップを取るような構成としておけばそれらのサーバ装置などに、プログラムの改竄の影響を受けていない、すなわち、信頼性の高いデータが存在する可能性がある。そのような場合においては、それらの情報を取得し、データの回復を図ることが好ましい。
また、エンコーダプログラム124以外のプログラムの改竄が検出された場合においても、改竄が検出されたプログラムが処理に介在したデータ、すなわち、配信プログラム134の改竄が検出された場合の、健康情報受信/解析側デバイス2や端末装置3へと送信された健康情報や健康情報通帳、及びその解析結果、送受信プログラム224やデコーダプログラム234の改竄が検出された場合の、健康情報配信側デバイス1や他の健康情報受信/解析側デバイス2、端末装置3などへ送信された解析結果やその再解析結果、といったデータについても、信頼性が低いものとなるため、そのようなデータの削除を依頼するような構成とすることがより好ましい。
本実施形態においては、以上のようにして、健康情報配信側デバイス1が配信側メディア11から読み込んだプログラムファイルや、健康情報受信/解析側デバイス2が受信/解析側メディア21から読み込んだプログラムファイルが不正に改竄されていないかを検査し、改竄が行われた恐れがある場合にはプログラムファイルの再読み込みを行うことで、健康情報や解析結果の不正な改竄や利用がされないことを担保することができる。
<健康情報の取得処理>
続いて、健康情報配信側デバイス1による、センサ4からの健康情報の取得処理について説明する。図6は、健康情報の取得処理の流れを示すフローチャートである。まず、ステップS301において、個人・資格情報認証手段14による情報オーナの認証処理が行われる。なお、これは健康情報配信側デバイス1の有する認証手段によって行われればよく、例えば事前に設定された暗証番号の入力や、健康情報配信側デバイス1が指紋認証や顔認証のような生体認証を行う機能を有したデバイスであれば、それらの機能を利用するような構成とすればよい。
ステップS302でユーザ認証が成功したと判定された場合には、ステップS303へと進み、センサ認証手段1241によるセンサ4の認証処理が行われる。これは、情報オーナ以外の人や、対象とする健康情報配信側デバイス1やセンサ4以外が生成する健康情報を不正に取得することを防ぐためのものであり、センサ4の設置時や初期登録時、登録変更時に対象とするセンサ固有の識別子を情報オーナによりリストアップするとともに、不自然な取得情報の内容を監視する事により、検出して健康情報通帳1123に記録しておき、それを基に認証を行う。
ステップS404でセンサ4の認証が成功したと判定された場合には、ステップS305へと進み、健康情報蓄積手段1243によるセンサ4からの健康情報の取得処理が行われる。ここで取得された健康情報に対し、ステップS306で付加情報が付与される。付加情報としては、健康情報が取得された日時・時刻記録(タイムスタンプ)や、取得を行ったセンサ4に関する情報などが挙げられる。そして、ここでは、これらの付加情報は信頼されるサイトが発行した電子証明書や電子時刻証明書等により改竄困難な形態で付与することが好ましい。
ステップS307では、ステップS305で取得され、ステップS306で付加情報を付与された健康情報の健康情報通帳1123、健康情報1124への記録が行われる。ここでの健康情報の記録は、上書き禁止として、逐次的に行われる。
以上の処理によって、健康情報配信側デバイス1を用いた健康情報の取得が行われる。このように、情報オーナやセンサ4の認証を行うことにより、第三者による情報オーナの意図しない不正な健康情報の記録等を防ぐことができる。更に、センサ4より取得した健康情報へ改竄困難な形態での付加情報の付与や、それらの情報の上書き禁止での逐次的な記録を行うことで、情報オーナによる健康情報の不正な改竄をも防ぐことができる。これにより、健康情報配信側デバイス1によって記録する健康情報の信頼性を非常に高いものにすることができる。
なお、図6においては、ステップS302でユーザ認証が失敗したと判定された場合やステップS304でセンサ4の認証が失敗した場合に直ちに処理を終了する処理を例示したが、そのような場合に再認証を求めるような処理や、警告メッセージを表示するような処理など、任意の処理を加えてもよい。
<健康情報の配信処理>
エンコーダ12によってセンサ4より取得され、配信側メディア11へと記録された健康情報及びその付加情報である健康情報通帳は、健康情報受信/解析側デバイス2や端末装置3へと配信することができる。図7は、健康情報の配信処理の流れを示すフローチャートである。
まず、ステップS401において、情報オーナの認証が行われる。これは、図6を参照して説明した健康情報の取得処理におけるステップS301と同様の処理でよい。そして、ステップS403で、ユーザ認証が成功したと判定された場合に、ステップS403からS405の配信処理が行われる。
ステップS403では、情報オーナより、健康情報通帳1123、健康情報1124の内で配信対象とする情報の指定と、その配信先、及び配信に用いる秘匿レベルの指定を受け付ける。ここでの配信対象とする情報の指定は、例えば、特定のセンサ4から取得した情報、特定の期間に取得した情報など、任意の方法によって受け付ければよい。配信先についても、有線、無線で直接接続された健康情報受信/解析側デバイス2や端末装置3を指定する方法や、ネットワークNWを介して接続されるのであればURL(Uniform Resource Locator)を指定する方法など、任意の方法で指定を受け付ければよい。あるいは、有線での接続など所定の方法で接続された健康情報受信/解析側デバイス2や端末装置3を自動的に配信先として選択する構成などを取ってもよい。秘匿レベルは、先に表1に示したようなクラス0〜3の4つの内の何れかの選択を受け付ける。あるいは、配信対象とする情報や配信先の健康情報受信/解析側デバイス2、端末装置3について、配信に用いる秘匿レベルを予め定めておくような構成としてもよい。
続くステップS404では、ステップS403で情報オーナより受けた指定に基づき、健康情報コンテナの生成処理を行う。ここでの健康情報コンテナとはすなわち、健康情報や健康情報通帳の内の配信対象とする情報を、情報オーナより指定された秘匿レベルによって配信するためのコンテナである。これは、単一のファイルとしてもよいし、複数のファイルの集合の形をとってもよい。
なお、受信/解析側メディア21のようなセキュアな記録メディアを有さない端末装置3へと健康情報コンテナや解析情報コンテナを送信する場合には、秘匿レベルの設定をクラス0とする、あるいは、健康情報コンテナの生成時に秘匿レベルの設定自体を省略する、といった処理を行えばよい。
そして、ステップS405で、健康情報コンテナを配信先へと送信し、健康情報の配信処理は終了する。なお、健康情報の配信処理は、ここで説明したようにステップS401におけるユーザ認証、ステップS403における各種指定を情報オーナより受け付けて行う他に、予め定期的な健康情報の配信設定を行っておき、ステップS401におけるユーザ認証を省略して定期的に自動実行するような構成をとってもよい。
また、ステップS405における健康情報コンテナの配信に伴って、改竄検出パラメタ秘匿化配信手段136により、健康情報コンテナに含まれる健康情報や健康情報通帳の改竄検出パラメタの配信も行うような構成としてもよい。
<健康情報の受信/解析処理>
次に、健康情報配信側デバイス1より配信された健康情報コンテナの、健康情報受信/解析側デバイス2による受信処理について説明する。なお、他の健康情報受信/解析側デバイス2や端末装置3から、健康情報コンテナの解析結果である解析情報コンテナを受信する際にも同様の処理を行うため、あわせて説明する。図8は、健康情報受信/解析側デバイス2による健康情報コンテナ、解析情報コンテナの受信処理の流れを示すフローチャートである。
ステップS501において健康情報コンテナ、解析情報コンテナを受信した後には、ステップS502で秘匿レベルの判定を行う。これは、予め健康情報コンテナや解析情報コンテナに、コンテナを開封せずとも秘匿レベルを判定可能な情報を付与しておき、それを読み取ることで実行される。
そして、ステップS502において判定した秘匿レベルに応じて、ステップS503で健康情報コンテナ、解析情報コンテナの開封処理を行う。これは秘匿レベルによって異なった処理となり、例えばクラス0のデータであればコンテナを展開するのみでよいが、クラス1以上の秘匿レベルが設定されている場合には、暗号化されたデータの複合処理が含まれる。更に、クラス2以上のデータであれば、それに設定された複写の制限や有効期限などの付加情報の取得処理等も含まれる。
ステップS504で、健康情報コンテナを開封して得た健康情報や健康情報通帳、解析情報コンテナを開封して得た解析結果情報の健康情報通帳/健康情報2123への記録を行い、受信処理は終了する。
なお、上述したような受信処理は、定期的に実行するような構成や、健康情報受信/解析側デバイス2や端末装置3を利用するユーザの指示があった場合に実行する構成、あるいは、健康情報配信側デバイス1からの健康情報の配信や他の健康情報受信/解析側デバイス2や端末装置3からの解析情報コンテナの配信があった際に都度行う構成など、任意のタイミングで実行するような構成としてよい。
また、先に述べたように、健康情報コンテナの配信に伴って改竄検出パラメタ秘匿化配信手段136からの改竄検出パラメタの健康情報配信側デバイス1からの送信を行うような構成とした場合、健康情報受信/解析側デバイス2によってそれを受信し、ステップS503における開封処理の後などに、データの改竄の有無を検証するような構成としてもよい。
<健康情報解析/解析情報再解析処理>
図9は、健康情報受信/解析側デバイス2における、健康情報配信側デバイス1から受信した健康情報の解析処理、及び、他の健康情報受信/解析側デバイス2や端末装置3から受信した解析情報の再解析処理の流れを示すフローチャートである。まず、ステップS601で、健康情報通帳/健康情報2123より、健康情報や健康通帳情報の読み出しを行う。
そして、ステップS602において、健康情報解析手段2342による健康情報の解析、解析情報の再解析を行い、ステップS603でその結果を解析結果情報2124へと一時的に記録する。ここでは、ステップS601において読み出した健康通帳情報に含まれるセンサ識別子を用いて、管理サーバ装置5より健康情報を取得したセンサ4に関する情報を取得し、それに基づいた解析などを行う。この解析は例えば、健康情報コンテナで送られる、日中の活動量や位置情報等の行動情報、移動中の花粉・空気汚染・気圧・温度などの環境情報、さらにストレス・血圧変動などの生体情報、といった情報を、AI等の解析により相互の関係を可視化することによって、未病対策・治療・ビックデータによる商品開発等に用いることができるような結果を得られるものである。
なお、解析結果を一時的でなく、(健康情報に設定された秘匿レベルの許す範囲で)保持し続けるような構成としてもよいし、あるいは、解析を行ったという履歴情報のみを保持し続けるような構成としてもよい。このような構成とすれば、健康情報の配信元の情報オーナによる検証を、容易にすることができる。
その後、ステップS604で、解析情報コンテナ送信手段2243によって、解析結果情報2124に一時記録した解析結果の送信を行う。ここでの送信先は、健康情報配信側デバイス1から受信した健康情報の解析結果であれば、その送信元である健康情報配信側デバイス1に、また、解析結果を更に他の健康情報受信/解析側デバイス2や端末装置3で解析する、あるいは蓄積するという場合には、それらのデバイスへと、秘匿レベルの設定等を行って送信すればよい。また、ユーザより任意の送信先の指定を受け付けるような構成としてもよい。
なお、受信/解析側メディア21のようなセキュアな記録メディアを有さない端末装置3へと健康情報コンテナや解析情報コンテナを送信する場合には、秘匿レベルの設定をクラス0とする、あるいは、秘匿レベルの設定自体を省略して送信する、といった処理を行えばよい。
ここで、ステップS604における解析情報コンテナの送信に伴って、改竄検出パラメタ秘匿化配信手段226による、解析結果の改竄検出パラメタの送信を行うような構成としてもよい。
なお、ここでは、健康情報の解析結果を健康情報配信側デバイス1や他の健康情報受信/解析側デバイス2、端末装置3へと送信する処理を説明したが、閲覧制御手段2341によって、健康情報受信/解析側デバイス2を利用するユーザによる閲覧も可能に構成されている。ここで、解析情報コンテナ送信手段2243による他のデバイスへの送信と閲覧制御手段2341を用いるユーザによる閲覧のいずれにおいても、元の健康情報コンテナ(あるいは解析情報コンテナ)に指定されていた秘匿レベルに従って処理が行われる。すなわち、元の健康情報コンテナ、解析情報コンテナの秘匿レベルがクラス2以上に設定されており、データの複写の制限や有効期限設定が付与されている場合には、それに従って、閲覧の制限や有効期限切れのデータの削除などが行われる。
<メディアファイルシステムによるファイルの記録/読み出し処理>
健康情報の取得処理におけるステップS307、健康情報の配信処理におけるステップS404、健康情報や解析情報の受信処理におけるステップS504、健康情報の解析や解析情報の再解析処理におけるステップS601、S603などにおいて、配信側メディア11の通常領域112や送受信部22の通常領域212へのデータの読み書きを行う際には、メディアファイルシステム122、132、222、232により、改竄が困難な状態とするための処理が行われる。
図10(a)は、メディアファイルシステム122、132、222、232によるデータの記録処理の流れを示すフローチャートである。データの記録に際しては、まずステップS701において、記録するデータのハッシュ値の算出が行われる。これはすなわち、データの改竄の検出に用いられる、データ改竄検出パラメタである。
そして、ステップS702で、データ暗号鍵1113、2113を用いた、記録するデータの暗号化が行われ、ステップS703で、ステップS701において算出されたハッシュ値の秘匿領域111、211への記録と、ステップS702において暗号化されたデータの通常領域112、212への記録を行う。なお、ここでのデータの記録は、上書き禁止で、逐次的に行われる。
このようにして通常領域112、212へと記録されたデータの読み出しは、図10(b)に示すような流れで行われる。まず、ステップS801において、暗号化されたデータの復号が行われる。これには、データ暗号鍵1113、2113が用いられる。
そして、ステップS802で、復号化したデータのハッシュ値の算出が行われ、ステップS803で、算出されたハッシュ値と秘匿領域111、211に記録されたハッシュ値との比較が行われる。ここで、ハッシュ値が不一致であれば、すなわち、データの改竄が行われた可能性が高い。そのため、ステップS804で、ハッシュ値が不一致であったと判定された場合にはステップS805へと進み、データの削除や回復を行う。
ここでのデータの回復とは、例えば、データの記録時や、定期的な処理などにより、管理サーバ装置5や図示しない他のサーバ装置へのバックアップを予め行っておき、それを取得する、といった方法によって行うことができる。
また、データの改竄が検出された場合には、他の端末上に存在する当該データやその解析結果についても、改竄検出処理を行うような構成とすることが好ましい。
このように、暗号化とハッシュ値による改竄検出を組み合わせたデータの読み書きを行うことにより、データを安全に保管し、不正な改竄などを行わせないような構成とすることができる。また、ユーザの指示に基づいた処理や、定期的な処理などによって、図10(b)に示したような処理によるデータの改竄検出処理を行うような構成とすることが好ましい。
なお、本実施形態においては、健康情報配信側デバイス1、健康情報受信/解析側デバイス2において実行されるプログラムや健康情報、健康情報通帳、解析情報などを配信側メディア11、受信/解析側メディア21に格納する構成を示したが、本発明はこれに限るものではない。例えば、各情報にアクセスするためのURLやパスといったリンクが配信側メディア11や受信/解析側メディア21にセキュアに保存され、それらを用いることにより、結果的に上述したような情報にアクセスできるのであれば、必ずしも配信側メディア11や受信/解析側メディア21内に保存される必要はない。このような構成とすれば、配信側メディア11の記憶容量が限られるような場合においても、ネットワークNWを介して通信可能なサーバ装置や、健康情報配信側デバイス1、健康情報受信/解析側デバイス2の備える記憶部などへと、多くの情報の蓄積を行うことができる。
以上のように、情報オーナが秘匿レベルの設定によって情報の取り扱いを決定し、また、健康情報や解析情報を取り扱うプログラム、及び健康情報や解析情報自体の改竄を防止することで、情報オーナが自分の情報を把握し、活用方針や活用する情報の配信先を決め、さらに配信した情報の有効期限や消去をすることができる。
これにより、従来のクラウド主体のデータ活用のように、知らないうちに情報が吸い上げられ、一旦クラウドに吸収された情報の処理後の行方について、情報を生成した情報オーナが把握することが困難となってしまう、情報の改竄に対する保護が情報の活用を行うそれぞれの事業者に委ねられており、不正な改竄の恐れがある、といった問題を解消することができる。そして、特定のクラウドサーバに依存することなく、個人主導の情報活用を広く普及しているスマートフォン等のデバイスとセキュアなSDカードなどのメディアを活用したP2P通信を基本とした構成で行うことで、大きな投資やインフラの改造を行うことなく、手軽かつ柔軟に信頼性の高い健康情報取得・蓄積・配信・処理を実現することができる。
(実施形態2)
以下、図面を参照して本発明の実施形態2について詳細に説明する。なお、上述した実施形態1と基本的に同一の構成要素については、同一の符号を付してその説明を簡略化する。本実施形態に係る情報管理端末装置を用いたシステムも、実施形態1において図1を参照して説明したように、健康情報配信側デバイス1、健康情報受信/解析側デバイス2、端末装置3、センサ4、管理サーバ装置5を備えるものである。ただし、本実施形態においては、配信側メディア11、受信/解析側メディア21として、実施形態1において説明したようなセキュリティの強化された記録メディアではなく、より一般的な記録メディアを用いる点、また、管理サーバ装置5がセンサ4に関する情報の蓄積のみでなく、秘匿領域111に含まれる各情報を有する点において異なる。
<健康情報配信側デバイスの構成>
図11に、本実施形態に係る健康情報配信側デバイス1の機能ブロック図を示す。ここに示すように、本実施形態に係る健康情報配信側デバイス1は、実施形態1と同様のエンコーダ12、配信部13、個人・資格情報認証手段14を備える。そして、配信側メディア11が通常領域112と、メディア識別子113とを備える点、また、秘匿情報一時記憶部15を備える点において、実施形態1と異なるものである。すなわち、本実施形態は、実施形態1において例示したSeeQVaultのような秘匿領域111と通常領域112とを有する記録メディアではなく、通常領域112(及びメディア識別子113)を有するが、秘匿領域111を有さないような、より一般的な記録メディアを利用する場合の構成を示すものである。
秘匿情報一時記憶部15は、後に説明するように、管理サーバ装置5より受信した秘匿領域111に含める情報を格納するための領域であり、健康情報配信側デバイス1の備える揮発性、あるいは不揮発性のメモリ上に、予め、あるいは、管理サーバ装置5からの秘匿領域111に含める情報の受信処理に際して確保される領域である。あるいは、配信側メディア11の備える通常領域112の内に、秘匿情報一時記憶部15として使用する領域を確保するような構成としてもよい。
メディア識別子113は、各々の配信側メディア11が備える、ユーザによる書き換えが不可能な、固有な識別子である。例えば、SDカードであれば、CID(カード識別)レジスタと呼ばれる、シリアル番号などを含む、ユーザによる書き換えが不可能な領域を有するので、配信側メディア11としてSDカードを用いる場合には、それをメディア識別子113として使用することができる。
また、本実施形態においても、通常領域112に含まれる各情報を、それらの実体に代えて、ネットワークNWを介して通信可能なサーバ装置や、健康情報配信側デバイス1の備える記憶部などへのリンクの形態で保持するような構成としてもよい。
<健康情報受信/解析側デバイスの構成>
図12に、本実施形態に係る健康情報受信/解析側デバイス2の機能ブロック図を示す。ここに示すように、本実施形態に係る健康情報受信/解析側デバイス2は、実施形態1と同様の送受信部22、デコーダ23、個人・資格情報認証手段24を備える。そして、受信/解析側メディア21が通常領域212と、メディア識別子213とを備える点、また、秘匿情報一時記憶部25を備える点において、実施形態1と異なるものでる。これはすなわち、本実施形態における健康情報配信側デバイス1と同様、実施形態1において例示したSeeQVaultのような秘匿領域211と通常領域212とを有する記録メディアではなく、通常領域212(及びメディア識別子213)を有するが、秘匿領域211を有さないような、より一般的な記録メディアを利用する場合の構成を示すものである。
秘匿情報一時記憶部25は秘匿情報一時記憶部15と同様、健康情報受信/解析側デバイス2上や、受信/解析側メディア21の有する通常領域212上に、予め、あるいは、管理サーバ装置5からの秘匿領域211の受信処理に際して確保される領域である。
メディア識別子213は、メディア識別子113と同様、受信/解析側メディア21としてSDカードを用いる場合にはCIDレジスタに含まれる値を用いる、といったように、受信/解析側メディア21として使用する記録メディアの備える、固有な識別子を用いることができる。
また、本実施形態においても、通常領域212に含まれる各情報を、それらの実体に代えて、ネットワークNWを介して通信可能なサーバ装置や、健康情報受信/解析側デバイス2の備える記憶部などへのリンクの形態で保持するような構成としてもよい。このような構成とすれば、受信/解析側メディア21の記憶容量が限られるような場合においても、多くの情報の蓄積が可能となる。
<秘匿情報の受信、プログラムの読み込み、改竄検出>
本実施形態においては、健康情報配信側デバイス1の起動時、または、定期的な処理やユーザの指示による処理によってエンコーダプログラムファイル1121、配信プログラムファイル1122の読み込みを行う際に、管理サーバ装置5からの秘匿領域111の受信を行う。図13は、秘匿領域111の受信と、エンコーダプログラムファイル1121、配信プログラムファイル1122の読み込み処理の流れを示すフローチャートである。これはすなわち、実施形態1において図4を参照して説明した処理に相当するものであるといえる。
まず、ステップS901で、健康情報配信側デバイス1と管理サーバ装置5の間での認証処理を行う。これは、メディア認証手段121、221が配信側メディア11よりメディア識別子113を取得し、それを管理サーバ装置5に送信することによって行われる。
そして、ステップS902で認証処理が成功したと判断された場合には、ステップS903に進み、管理サーバ装置5より、秘匿領域111に含める情報のダウンロードが行われる。これは、管理サーバ装置5に予めメディア識別子113とそれに対応する秘匿領域111に含める情報を紐づけた状態で記憶させておき、ステップS901において管理サーバ装置5が受信したメディア識別子113に対応する秘匿領域111に含める情報を、ステップS903において管理サーバ装置5から健康情報配信側デバイス1へと送信するような手順で行えばよい。
ステップS903では、秘匿領域111を秘匿情報一時記憶部15へと記録する。ここで、秘匿情報一時記憶部15として使用する領域が予め確保されていない場合には、その確保の処理を先に行うことになる。ここで、秘匿領域111は、実施形態1において配信側メディア11に含まれる場合と同様に、デバイス認証手段1111とメディア認証手段121、131との間で、デバイス−メディア間の相互認証が成立した場合にのみアクセス可能となるものである。
その後、ステップS904において、実施形態1で図4のステップS103において行う処理と同様にして、エンコーダプログラムファイル1121のエンコーダプログラム124としての読み込み、配信プログラムファイル1122のデコーダプログラム234としての読み込みが行われる。
以上のようにして、健康情報配信側デバイス1上での秘匿領域111やエンコーダプログラム124、配信プログラム134の準備が完了する。また、健康情報受信/解析側デバイス2上での秘匿領域211や送受信プログラムファイル2121、デコーダプログラムファイル2122の読み込みに際しても、健康情報受信/解析側デバイス2によって同様の処理が行われる。
このように、メディア識別子113、213を用いた認証処理を行い、秘匿領域111や秘匿領域211に含める情報を管理サーバ装置5よりダウンロードする構成とすることによって、秘匿領域と通常領域を有する特別な記録メディアを用いずとも、通常のSDカードなどを用いて、本発明に係る健康情報配信側デバイス1、健康情報受信/解析側デバイス2を実現することができる。
なお、本実施形態においては、ステップS901において、管理サーバ装置5へとメディア識別子113やメディア識別子213を送信してデバイス−サーバ間の認証処理を行う構成を示したが、ここでさらに、健康情報配信側デバイス1や健康情報受信/解析側デバイス2のデバイス固有の識別子(例えばデバイスの有する通信部のMACアドレスや、デバイスのシリアル番号など)を併せて送信し、管理サーバ装置5において、デバイスと記録メディアとの対応関係についても予め記憶しておき、認証処理において確認するような構成としてもよい。このような構成とすれば、予め登録したデバイスと記録メディアを用いた場合のみによって本実施形態に係る健康情報配信側デバイス1、健康情報受信/解析側デバイス2を実現することができ、情報の改竄などの不正行為をより困難にすることができる。
以上のような処理によって、健康情報配信側デバイス1、健康情報受信/解析側デバイス2への秘匿領域111、211のダウンロードと記録、各プログラムのデバイスへの読み込み処理が完了した後には、実施形態1において説明したように、図5に示したような処理によるプログラムの改竄検出処理や、図6に示したような健康情報配信側デバイス1によるセンサ4からの健康情報の取得処理、図7に示したような健康情報配信側デバイス1による健康情報受信/解析側デバイス2や端末装置3への健康情報の配信処理、図8に示したような健康情報受信/解析側デバイス2による健康情報の解析処理などが行われる。
また、健康情報配信側デバイス1、健康情報受信/解析側デバイス2における健康情報や健康情報通帳の書き込みや読み出し処理は、図10に示したような、実施形態1における処理と同様にして行われる。ただしここで、データの書き込みに伴うメディアファイルシステム制御情報1112、2112の更新や、改竄検出のためのハッシュ値の秘匿領域111、211への書き込みなど、秘匿領域111、211内の情報の更新が行われた後には、逐次、あるいは定期的に、管理サーバ装置5へのアップロードが行われ、管理サーバ装置5上にメディア識別子113、213と紐づいて記憶される、秘匿領域111、211に含める情報の更新が行われる。
なお、本明細書では、実施形態1において、セキュアな記録メディアを用いて健康情報配信側デバイス1、健康情報受信/解析側デバイス2を実現する構成、実施形態2において、より一般的な記録メディアを用いて健康情報配信側デバイス1、健康情報受信/解析側デバイス2を実現する構成を示したが、実施形態1に示した健康情報配信側デバイス1と実施形態2に示した健康情報受信/解析側デバイス2、実施形態2に示した健康情報配信側デバイス1と実施形態1に示した健康情報受信/解析側デバイス2、実施形態1に示した健康情報受信/解析側デバイス2と実施形態2に示した健康情報受信/解析側デバイス2、といったように、それぞれの実施形態に示したような健康情報配信側デバイス1、健康情報受信/解析側デバイス2の間で、相互に健康情報や解析情報のやり取りが可能な構成としてもよい。
(実施形態3)
以下、図面を参照して本発明の実施形態3について詳細に説明する。なお、上述した実施形態1と基本的に同一の構成要素については、同一の符号を付してその説明を簡略化する。本実施形態に係る情報管理端末装置を用いたシステムも、実施形態1において図1を参照して説明したように、健康情報配信側デバイス1、健康情報受信/解析側デバイス2、端末装置3、センサ4、管理サーバ装置5を備えるものである。そして、実施形態1において説明したように、図6に示したような健康情報配信側デバイス1によるセンサ4からの健康情報の取得処理、図7に示したような健康情報配信側デバイス1による健康情報受信/解析側デバイス2や端末装置3への健康情報の配信処理、図8に示したような健康情報受信/解析側デバイス2による健康情報の解析処理などが行われる。
ただし、本実施形態に係る情報管理端末装置を用いたシステムでは、データの記録や読み取りに係る処理、プログラムの改竄検出に係る処理が、実施形態1において示したものとは異なる。
<健康情報配信側デバイスの構成>
図14に、本実施形態に係る健康情報配信側デバイス1の機能ブロック図を示す。ここに示すように、本実施形態に係る健康情報配信側デバイス1は、実施形態1と同様に、SeeQVaultのような秘匿領域111と通常領域112とを有する記録メディアである配信側メディア11、エンコーダ12、配信部13、個人・資格情報認証手段14を備える。
実施形態1においては、改竄検出パラメタとして、検査対象とするデータやプログラムのハッシュ値を秘匿領域111に記憶していた。これに対し、本実施形態においては、秘匿領域111に改竄検出パラメタとして署名用鍵1115を、通常領域112に健康情報通帳1123や健康情報1124の電子署名1125をそれぞれ有する。
本実施形態においては、改竄検出の対象とするデータやプログラムのハッシュ値そのものは通常領域112に蓄積する。そして、これらのハッシュ値に暗号化を行い、電子署名を生成するための署名用鍵1115を、改竄検出パラメタとして秘匿領域111に保持する。なお、本実施形態においては、公開鍵暗号技術を用いるために秘密鍵と公開鍵のペアを署名用鍵1115として保持し、そのうちの公開鍵を署名用鍵として用いる場合を例示する。あるいは、秘密鍵のみを署名用鍵1115として保持し、それとペアになる公開鍵については、必要に応じて図示しない外部のサーバ等から取得可能な構成としてもよい。
また、データの暗号化について、共通鍵暗号方式を用い、データ暗号鍵1113として共通鍵を保持するような構成であってもよいし、データの暗号化についても公開鍵暗号方式を用い、データ暗号鍵1113として秘密鍵と公開鍵のペアを保持するような構成としてもよい。あるいは、秘密鍵のみをデータ暗号鍵1113として保持し、それとペアになる公開鍵については、必要に応じて図示しない外部のサーバ等から取得可能な構成としてもよい。
また、本実施形態においても、通常領域112に含まれる各情報を、それらの実体に代えて、ネットワークNWを介して通信可能なサーバ装置や、健康情報配信側デバイス1の備える記憶部などへのリンクの形態で保持するような構成としてもよい。
<健康情報受信/解析側デバイスの構成>
図15に、本実施形態に係る健康情報受信/解析側デバイス2の機能ブロック図を示す。ここに示すように、本実施形態に係る健康情報受信/解析側デバイス2は、実施形態1と同様に、SeeQVaultのような秘匿領域111と通常領域112とを有する記録メディアである配信側メディア11、送受信部22、デコーダ23、個人・資格情報認証手段24を備える。
そして、先に図14を参照して説明した本実施形態に係る健康情報配信側デバイス1と同様に、秘匿領域211に改竄検出パラメタとして署名用鍵2115を、通常領域112に健康情報通帳/健康情報2123や解析結果情報2124の電子署名2125をそれぞれ有する。
なお、ここでの署名用鍵2115についても、先に説明した健康情報配信側デバイス1における署名用鍵1115と同様、秘密鍵と公開鍵のペアを署名用鍵2115として保持し、そのうちの公開鍵を署名用鍵として用いる場合を例示する。あるいは、秘密鍵のみを署名用鍵2115として保持し、それとペアになる公開鍵については、必要に応じて図示しない外部のサーバ等から取得可能な構成としてもよい。
ここでのデータ暗号鍵2113についても、先に説明した健康情報配信側デバイス1におけるデータ暗号鍵1113と同様、データの暗号化に共通鍵暗号方式を用いるものとし、データ暗号鍵2113として共通鍵を保持するような構成としてもよいし、データの暗号化に公開鍵暗号方式を用いるものとして、データの暗号化に用いる秘密鍵と公開鍵のペア、あるいは秘密鍵のみを、データ暗号鍵2113として保持するような構成としてもよい。
また、本実施形態においても、通常領域212に含まれる各情報を、それらの実体に代えて、ネットワークNWを介して通信可能なサーバ装置や、健康情報受信/解析側デバイス2の備える記憶部などへのリンクの形態で保持するような構成としてもよい。このような構成とすれば、受信/解析側メディア21の記憶容量が限られるような場合においても、多くの情報の蓄積が可能となる。
<メディアファイルシステムによるファイルの記録/読み出し処理>
本実施形態に係る健康情報配信側デバイス1、及び健康情報受信/解析側デバイス2においては、署名用鍵1115、2115を改竄検出パラメタとして用いたデータの読み書きが行われる。図16(a)は、本実施形態におけるデータの記録処理を示すフローチャートである。
まず、ステップS1001において、データのデータ暗号鍵1113による暗号化が行われる。そして、それによって得られた暗号化済データが、ステップS1002で通常領域112あるいは212へと記録される。
そして、続くステップS1003において、暗号化済データのハッシュ値の算出を行う。ここでは、予め定められた任意のハッシュ関数を用いた処理を行えばよい。ステップS1003において算出されたデータのハッシュ値は、ステップS1004で、署名用鍵1115あるいは署名用鍵2115の、公開鍵で暗号化される。これはすなわち、暗号化済データに対し、署名用鍵1115、2115を用いた電子署名を付与する処理である。
最後に、ステップS1005において、電子署名を通常領域112あるいは212へと記録し、データの記録処理は終了する。
このように、ハッシュ値そのものではなく、ハッシュ値を暗号化して電子署名を生成するための署名用鍵を改竄検出パラメタとして秘匿領域111,211に保持する構成とすることで、秘匿領域111,211に対して記録できるデータ量が小容量に限られる場合においても、後に改竄検出処理を行うことが可能な形態でデータの蓄積を行うことができる。
続いて、図16(b)を参照して、本実施形態におけるデータの読み出し処理について説明する。まず、ステップS1101において、読み出し対象である暗号化済データのハッシュ値を算出する。
そして、続くステップS1102で、暗号化済みデータに付された電子署名の復号を行う。ここで、先に述べたように、本実施形態においては、公開鍵暗号技術を用い、秘密鍵/公開鍵のペアのうちの公開鍵を署名用鍵として用いる場合を例示している。そのため、ここでの電子署名の復号には、データの記録処理におけるステップS1004で電子署名の作成に用いた公開鍵とペアになる秘密鍵を用いる。
ステップS1103で、ステップS1101において暗号化済データから算出したハッシュ値と、ステップS1102において電子署名を復号して得られたハッシュ値の比較を行う。ここで、これらのハッシュ値が同一であると判定された場合には、データの改竄はされていないものと判定され、ステップS1104からステップS1105へと進み、データの復号を行う。
ここで、データの暗号化に共通鍵方式を用いているのであれば、データを暗号化した際に使用した鍵と同一の鍵による復号を行えばよい。あるいは、データの暗号化に公開鍵方式を用いているのであれば、データの暗号化に用いた公開鍵(あるいは秘密鍵)のペアである秘密鍵(あるいは公開鍵)によって復号を行えばよい。
一方で、ステップS1103におけるハッシュ値の比較の結果、ハッシュ値が一致しないと判定された場合には、データの改竄の恐れがある。そのため、ステップS1104よりステップS1106へと進み、データの削除や回復等の処理を行う。ここでのデータの回復は、例えば予め所定のサーバにデータのバックアップを取っておき、それを取得するなど、任意の方法によって行えばよい。また、まずデータの回復を試み、失敗した場合にはデータの削除のみを行う、といった処理を行ってもよい。
以上のようにしてデータの記録と読み出しを行うことで、改竄検出パラメタとして署名用鍵1115,2115を用い、改竄を検出可能な状態でデータを取り扱うことができる。
<プログラムの改竄検出処理>
次に、図17に示すフローチャートを参照し、本実施形態におけるプログラムの改竄検出処理について説明する。これは、健康情報配信側デバイス1におけるエンコーダプログラムファイル1121や配信プログラムファイル1122、健康情報受信/解析側デバイス2における送受信プログラムファイル2121やデコーダプログラムファイル2122の改竄検出処理の流れを示すものである。
まず、ステップS1201において、検査対象とするプログラムのハッシュ値の算出を行う。そして、ステップS1202で、検査対象とするプログラムの電子署名を取得する。ここで、電子署名は、予めプログラムと併せて通常領域112、212に記録されるものであってもよいし、プログラムの改竄検出処理を行う際に外部のサーバ等から適宜受信するような形態としてもよい。ここで取得する電子署名は、正規のプログラムから算出されたハッシュ値が、署名用鍵1115あるいは署名用鍵1115の、公開鍵によって暗号化されたものである。
そして、ステップS1203で電子署名を復号する。ここでの復号には、署名用鍵1115あるいは署名用鍵1115の、秘密鍵を用いる。これにより、検査対象とするプログラムのハッシュ値が得られる。
ステップS1204で、ステップS1201において検査対象とするプログラムから算出したハッシュ値と、ステップS1203において電子署名を復号して得られたハッシュ値の比較を行う。ここで、これらのハッシュ値が同一であると判定された場合には、プログラムの改竄は行われていないと判定され、ステップS1205から処理が終了する。
一方で、ステップS1204におけるハッシュ値の比較の結果、ハッシュ値が一致しないと判定された場合には、プログラムの改竄の恐れがある。そのため、ステップS1205よりステップS1206へと進み、検査対象としたプログラムの再読み込み処理を行う。なお、ステップS1206におけるプログラムの再読み込み処理は、実施形態1において図4を参照して説明したような処理と同様の処理によって行えばよい。
<デバイス間でのデータのやり取り>
本実施形態に係る情報管理端末装置におけるデータ暗号鍵1113,2113、署名用鍵1115,2115は、デバイスごとに異なるよう構成されることが好ましい。このような構成とする場合、改竄検出パラメタ秘匿化配信手段136,226を用いて、データ暗号鍵や署名用鍵のやり取りを行うことで、デバイス間でよりセキュアな情報のやり取りを行うことができる。
ここで、データの暗号化に公開鍵暗号方式を用い、デバイス間でデータのやり取りを行う際の手順を説明する。図18に、一例として、健康情報配信側デバイス1から健康情報受信/解析側デバイス2aへとデータの送信を行う場合の処理の流れを示す。なお、ここでは、データの暗号化に公開鍵暗号方式を採用する場合の例を示す。
まず、ステップS1301において、健康情報受信/解析側デバイス2aより健康情報配信側デバイス1へ、健康情報受信/解析側デバイス2aの保持する署名用鍵2115に含まれる署名用公開鍵、データ暗号鍵2113に含まれるデータ暗号用公開鍵を健康情報配信側デバイス1へと送信する。これは、健康情報受信/解析側デバイス2aより健康情報配信側デバイス1へとデータの送信を依頼する処理として開始されてもよいし、あるいは、健康情報配信側デバイス1より健康情報受信/解析側デバイス2aへとデータの受け入れの依頼を行い、それに対する応答として開始されてもよい。
続くステップS1302で、健康情報配信側デバイス1は、ステップS1301において受信したデータ暗号用公開鍵を用いてデータの暗号化処理を行う。そして、ステップS1303で、暗号化したデータに対し、ステップS1301において受信した署名用公開鍵を用いた伝署名の作成を行う。これはすなわち、先に図16(a)のステップS1003からS1004を参照して説明したように、暗号化済データのハッシュ値を生成し、それを署名用公開鍵によって暗号化する処理である。
そして、ステップS1304において、ステップS1302において暗号化したデータと、ステップS1303において作成した電子署名を健康情報配信側デバイス1より健康情報受信/解析側デバイス2aへと送信する。
暗号化済データ、及びそれに対する電子署名を受信した健康情報受信/解析側デバイス2aは、それらの復号を行う。まず、ステップS1305において、電子署名の検証を行う。これはすなわち、先に図16(b)のステップS1101からS1103を参照して説明したように、暗号化済データのハッシュ値の算出と、自身の保持する電子署名用秘密鍵を用いた電子署名の復号を行い、それらの処理によって得られたハッシュ値の比較を行う処理である。そして、電子署名の検証により、データが改竄されていないと判定された場合には、ステップS1306で、自身の保持するデータ暗号用秘密鍵を用いたデータの復号を行う。
このように、署名やデータの暗号化に用いる公開鍵を、データを受信する側のデバイスからデータを送信する側のデバイスへと送信し、それを用いた暗号化済データの生成や電子署名の作成を行う処理を行う構成とすることにより、それらの公開鍵とそれぞれペアとなっている秘密鍵を保持する、データを受信する側のデバイスでのみ、データの検証と復号を行うことができる。
また、データの暗号化に共通鍵暗号方式を用いるような場合であれば、ステップS1301において健康情報受信/解析側デバイス2aの保持するデータ暗号鍵2113を健康情報配信側デバイス1へと送信し、ステップS1302における暗号化と、ステップS1306における復号に、データ暗号鍵2113を用いるような処理とすればよい。
なお、ここでは、健康情報配信側デバイス1より健康情報受信/解析側デバイス2aへとデータの送信を行う処理の例を示したが、例えば、この後に健康情報受信/解析側デバイスにおいてデータの解析を行い、その結果を健康情報配信側デバイス1へと送信する場合には、データの送信側と受信側の入れ替えて同様の処理を行えばよい。
以上のように、本実施形態に係る情報管理端末装置を用いたシステムによれば、秘匿領域に改竄検出パラメタとして署名用鍵1115,2115を保持し、それを用いて作成した電子署名を用いてデータやプログラムの改竄検出処理を行う構成とすることにより、秘匿領域の容量が限られるような記録メディアについても、配信側メディア11や受信/解析側メディアとして用いることができる。
また、デバイスごとに異なる署名用鍵やデータ暗号鍵を用意する構成とし、データの送受信の際に事前に受信側のデバイスから送信側のデバイスへと公開鍵を送信する処理を行うことで、データの受信側のデバイスでのみ検証、復号が可能な状態で、より安全にデータの送受信を行うことができる。
1 健康情報配信側デバイス
11 配信側メディア
111 秘匿領域
1111 デバイス認証手段
1112 メディアファイルシステム制御情報
1113 データ暗号鍵
1114 改竄検出パラメタ
1115 署名用鍵
112 通常領域
1121 エンコーダプログラムファイル
1122 配信プログラムファイル
1123 健康情報通帳
1124 健康情報
1125 電子署名
113 メディア識別子
12 エンコーダ
121 メディア認証手段
122 メディアファイルシステム
123 改竄検出手段
124 エンコーダプログラム
1241 センサ認証手段
1242 健康情報取得手段
1243 健康情報蓄積手段
13 配信部
131 メディア認証手段
132 メディアファイルシステム
133 改竄検出手段
134 配信プログラム
1341 健康情報コンテナ生成手段
1342 健康情報コンテナ配信手段
135 情報配信先・秘匿レベル指定入力受付手段
136 改竄検出パラメタ秘匿化配信手段
14 個人・資格情報認証手段
15 秘匿情報一時記憶部
2 健康情報受信/解析側デバイス
21 受信/解析側メディア
211 秘匿領域
2111 デバイス認証手段
2112 メディアファイルシステム制御情報
2113 データ暗号鍵
2114 改竄検出パラメタ
2115 署名用鍵
212 通常領域
2121 送受信プログラムファイル
2122 デコーダプログラムファイル
2123 健康情報通帳/健康情報
2124 解析結果情報
2125 電子署名
213 メディア識別子
22 送受信部
221 メディア認証手段
222 メディアファイルシステム
223 改竄検出手段
224 送受信プログラム
2241 健康/解析情報コンテナ受信手段
2242 健康/解析情報コンテナ開封手段
2243 解析情報コンテナ送信手段
225 秘匿レベル判定手段
226 改竄検出パラメタ秘匿化配信手段
23 デコーダ
231 メディア認証手段
232 メディアファイルシステム
233 改竄検出手段
234 デコーダプログラム
2341 閲覧制御手段
2342 健康情報解析手段
24 個人・資格情報認証手段
25 秘匿情報一時記憶部
3 端末装置
4 センサ
5 管理サーバ装置
NW ネットワーク

Claims (15)

  1. 管理対象とする第1の情報を取得する情報取得手段と、前記第1の情報、及び前記第1の情報に対する付加情報である第2の情報を蓄積する情報蓄積手段と、蓄積メディアと、を備える情報管理端末装置であって、
    前記蓄積メディアが、前記情報管理端末装置を前記情報蓄積手段として動作させるプログラムを含む特定プログラムのみがアクセス可能な秘匿領域と、前記特定プログラム以外のプログラムもアクセス可能な通常領域と、を有し、
    前記情報取得手段が、前記第2の情報として、日時・時刻記録の付与を行い、
    前記情報蓄積手段が、前記第1の情報又は前記第1の情報を参照可能なリンクと、前記第2の情報又は前記第2の情報を参照可能なリンクの前記通常領域への逐次的な蓄積を行い、
    前記秘匿領域が、前記第1の情報及び/又は前記第2の情報の改竄を検出するためのデータ改竄検出パラメタを保持することを特徴とする、情報管理端末装置。
  2. 前記データ改竄検出パラメタが、前記第1の情報及び/又は前記第2の情報を用いて、前記第1の情報及び/又は前記第2の情報に対する改竄の有無を検出するための情報を生成する鍵であることを特徴とする、請求項1に記載の情報管理端末装置。
  3. 前記秘匿領域に、前記特定プログラムの改竄検出を行うためのプログラム改竄検出パラメタを含み、
    前記プログラム改竄検出パラメタを用いた前記特定プログラムの改竄検出処理を行う、プログラム改竄検出手段を備えることを特徴とする、請求項1又は請求項2に記載の情報管理端末装置。
  4. 前記プログラム改竄検出手段が前記特定プログラムの改竄検出処理を定期的に行い、
    前記特定プログラムの改竄を検出した際に、前回の前記特定プログラムの改竄検出処理を実行した時点から前記プログラムの改竄を検出した時点までに蓄積された前記第1の情報及び前記第2の情報の削除又は回復を行うことを特徴とする、請求項3に記載の情報管理端末装置。
  5. 前記データ改竄検出パラメタを用いた前記第1の情報及び/又は前記第2の情報の改竄検出処理を行うデータ改竄検出手段を備え、
    前記データ改竄検出手段が前記第1の情報及び/又は前記第2の情報の改竄を検出した際に、前回の前記第1の情報及び/又は前記第2の情報の改竄検出処理を実行した時点から前記第1の情報及び/又は前記第2の情報の改竄を検出した時点までに蓄積された前記第1の情報及び前記第2の情報の削除又は回復を行うことを特徴とする、請求項1から請求項4の何れかに記載の情報管理端末装置。
  6. 前記情報蓄積手段で蓄積した前記第1の情報及び前記第2の情報から配信対象情報を選択して出力する配信手段を更に備え、
    前記配信手段が、選択した前記配信対象情報の秘匿レベルを設定する秘匿レベル設定手段と、前記秘匿レベルを付加情報として前記配信対象情報に付加して出力する手段と、を有することを特徴とする、請求項1から請求項5の何れかに記載の情報管理端末装置。
  7. 前記秘匿レベルが、
    前記配信対象情報を暗号化せずに送信するクラス0と、
    前記配信対象情報の暗号化を行った状態で送信するクラス1と、
    前記配信対象情報を暗号化し、出力先での複製を禁止し、前記配信対象情報の有効期限を設定して送信するクラス2と、
    前記配信対象情報を暗号化し、出力先での複製の禁止、前記配信対象情報に対する任意の処理によって生じる処理結果情報の取り扱いの制限、前記配信対象情報の有効期限を設定して送信するクラス3と、を含むことを特徴とする、請求項6に記載の情報管理端末装置。
  8. 前記第2の情報が、前記配信手段による出力の履歴、前記配信手段による出力先を特定する情報、前記秘匿レベル、前記配信手段による出力先での処理結果のうち、少なくとも一つを含むことを特徴とする、請求項6又は請求項7に記載の情報管理端末装置。
  9. 前記第1の情報が、人の健康に関する情報であり、生体情報、行動情報又は環境情報であることを特徴とする、請求項1から請求項8の何れかに記載の情報管理端末装置。
  10. 他の端末装置より配信される第1の情報、及び前記第1の情報に対する付加情報である第2の情報を受信する受信手段と、前記第1の情報、及び前記第2の情報の解析を行う解析手段と、前記解析手段による解析結果の前記他の端末装置への送信及び/又は表示を行う出力手段と、蓄積メディアと、を備える情報管理端末装置であって、
    前記蓄積メディアが、前記情報管理端末装置を前記受信手段と、前記解析手段と、前記出力手段と、として動作させるプログラムを含む特定プログラムのみがアクセス可能な秘匿領域と、前記特定プログラム以外のプログラムもアクセス可能な通常領域と、を有し、
    前記受信手段が、前記第1の情報及び前記第2の情報に付与された秘匿レベルの判定を行う秘匿レベル判定手段を有し、
    前記解析手段及び前記出力手段が、前記秘匿レベルに従って前記第1の情報、前記第2の情報、及び前記解析結果を取り扱い、
    前記秘匿領域が、前記特定プログラムの改竄検出を行うためのプログラム改竄検出パラメタを含み、
    前記プログラム改竄検出パラメタを用いた前記特定プログラムの改竄検出を行うプログラム改竄検出手段を備えることを特徴とする、情報管理端末装置。
  11. 前記解析手段が、前記解析の履歴情報又は前記解析の履歴情報を参照可能なリンクを前記通常領域への蓄積し、
    前記秘匿領域が、前記履歴情報の改竄を検出するためのデータ改竄検出パラメタを保持することを特徴とする、請求項10に記載の情報管理端末装置。
  12. 前記解析手段が前記解析の履歴情報の改竄を検出した際に、前回の前記解析の履歴情報の改竄検出処理を実行した時点から前記解析の履歴情報の改竄を検出した時点までに蓄積された前記解析の履歴情報の削除又は回復を行うことを特徴とする、請求項11に記載の情報管理端末装置。
  13. 前記秘匿レベルが、
    前記第1の情報、及び前記第2の情報を暗号化せずに取り扱うクラス0と、
    前記第1の情報、及び前記第2の情報の暗号化を行った状態で取り扱うクラス1と、
    前記第1の情報、及び前記第2の情報を暗号化し、出力先での複製を禁止し、前記第1の情報、及び前記第2の情報の有効期限を設定して取り扱うクラス2と、
    前記第1の情報、及び前記第2の情報を暗号化し、出力先での複製の禁止、前記解析結果の取り扱いの制限、前記第1の情報、及び前記第2の情報の有効期限を設定して取り扱うクラス3と、を含むことを特徴とする、請求項10から請求項12の何れかに記載の情報管理端末装置。
  14. 前記受信手段が、他の端末装置より前記解析結果を受信し、
    前記解析手段が、前記解析結果の再解析を行うことを特徴とする、請求項10から請求項13の何れかに記載の情報管理端末装置。
  15. 前記第1の情報が、人の健康に関する情報であり、生体情報、行動情報又は環境情報であることを特徴とする、請求項10から請求項14の何れかに記載の情報管理端末装置。
JP2017251060A 2017-03-17 2017-12-27 情報管理端末装置 Active JP6721248B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US15/901,327 US10754979B2 (en) 2017-03-17 2018-02-21 Information management terminal device
EP18158014.3A EP3376426B8 (en) 2017-03-17 2018-02-22 Information management terminal device
CN201810156806.8A CN108632040A (zh) 2017-03-17 2018-02-24 信息管理终端装置

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2017053383 2017-03-17
JP2017053383 2017-03-17

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2020103046A Division JP7074371B2 (ja) 2017-03-17 2020-06-15 情報管理端末装置

Publications (2)

Publication Number Publication Date
JP2018156633A JP2018156633A (ja) 2018-10-04
JP6721248B2 true JP6721248B2 (ja) 2020-07-08

Family

ID=63715689

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2017251060A Active JP6721248B2 (ja) 2017-03-17 2017-12-27 情報管理端末装置
JP2020103046A Active JP7074371B2 (ja) 2017-03-17 2020-06-15 情報管理端末装置

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2020103046A Active JP7074371B2 (ja) 2017-03-17 2020-06-15 情報管理端末装置

Country Status (1)

Country Link
JP (2) JP6721248B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020166883A (ja) * 2017-03-17 2020-10-08 株式会社ミルウス 情報管理端末装置

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6676713B2 (ja) * 2018-08-23 2020-04-08 東芝映像ソリューション株式会社 デジタルテレビジョン放送用送信装置
JP2021033541A (ja) * 2019-08-21 2021-03-01 本田技研工業株式会社 通信システム
JP6897743B2 (ja) * 2019-10-15 2021-07-07 日本電気株式会社 データ管理装置、及びデータ管理方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1918894B1 (en) 2005-08-26 2014-10-08 Mitsubishi Electric Corporation Information storage device, information storage program, verification device and information storage method
JP4716260B2 (ja) 2006-06-26 2011-07-06 株式会社オリコム 個人情報・秘密情報管理システム
JP2008257381A (ja) 2007-04-03 2008-10-23 Sony Corp 情報解析システム、情報解析装置、情報解析方法および情報解析プログラム、ならびに、記録媒体
JP5255991B2 (ja) 2008-10-24 2013-08-07 株式会社日立製作所 情報処理装置、及びコンピュータプログラム
JP2012249035A (ja) 2011-05-27 2012-12-13 Sony Corp 情報処理装置、および情報処理方法、並びにプログラム
JP6721248B2 (ja) 2017-03-17 2020-07-08 株式会社ミルウス 情報管理端末装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020166883A (ja) * 2017-03-17 2020-10-08 株式会社ミルウス 情報管理端末装置
JP7074371B2 (ja) 2017-03-17 2022-05-24 株式会社ミルウス 情報管理端末装置

Also Published As

Publication number Publication date
JP7074371B2 (ja) 2022-05-24
JP2020166883A (ja) 2020-10-08
JP2018156633A (ja) 2018-10-04

Similar Documents

Publication Publication Date Title
JP7074371B2 (ja) 情報管理端末装置
KR101531450B1 (ko) 워터마크 추출 효율의 개선들
US8938625B2 (en) Systems and methods for securing cryptographic data using timestamps
EP2890046B1 (en) Information processing device, information storage device, server, information processing system, information processing method, and program
CN110799941A (zh) 防盗和防篡改的数据保护
EP1630998A1 (en) User terminal for receiving license
US20130004142A1 (en) Systems and methods for device authentication including timestamp validation
EP3376426B1 (en) Information management terminal device
CN103731395A (zh) 文件的处理方法及系统
JP4012771B2 (ja) ライセンス管理方法、ライセンス管理システム、ライセンス管理プログラム
CN113168480A (zh) 基于环境因子的可信执行
US20210383029A1 (en) Information processing program, information processing device, and information processing method
CN115357870B (zh) 一种基于软件完成的授权管控的方法及系统
JP2005197912A (ja) 情報開示制御方法、情報開示制御プログラム、ならびに、耐タンパ装置
JP2002041347A (ja) 情報提供システムおよび装置
KR20230098156A (ko) 암호화된 파일 제어
CN103858127A (zh) 用于删除信息以维持安全级别的方法、系统、中介服务器、客户端和计算机程序
JP4673150B2 (ja) デジタルコンテンツ配信システムおよびトークンデバイス
EP4028923A1 (en) Method and system for securely sharing a digital file
JP2008009483A (ja) 情報処理システム、情報処理方法、およびプログラム
JP2002015511A (ja) リムーバブルメディアを用いたオフライン共有セキュリティシステム
KR20140108779A (ko) 더미 인증키를 이용한 클라우드 시스템의 보안 장치 및 방법
US20240184904A1 (en) Method and System for Managing at Least One Unique Data Record
JP6865338B1 (ja) 情報処理システム
JP2023535459A (ja) 信頼できないシステム上のメディアファイルの遠隔所有権およびコンテンツ制御のためのシステムならびに方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180205

AA64 Notification of invalidation of claim of internal priority (with term)

Free format text: JAPANESE INTERMEDIATE CODE: A241764

Effective date: 20180206

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200511

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20200511

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20200522

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200526

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200528

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200609

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200615

R150 Certificate of patent or registration of utility model

Ref document number: 6721248

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250