JP6803291B2 - プライバシー保護装置、プライバシー保護方法、及びプログラム - Google Patents
プライバシー保護装置、プライバシー保護方法、及びプログラム Download PDFInfo
- Publication number
- JP6803291B2 JP6803291B2 JP2017073948A JP2017073948A JP6803291B2 JP 6803291 B2 JP6803291 B2 JP 6803291B2 JP 2017073948 A JP2017073948 A JP 2017073948A JP 2017073948 A JP2017073948 A JP 2017073948A JP 6803291 B2 JP6803291 B2 JP 6803291B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- unit
- combination
- privacy protection
- provider
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明の実施形態は、プライバシー保護装置、プライバシー保護方法、及びプログラムに関する。
ソーシャルネットワーキングサービス(social networking service:SNS)とは、インターネット上の交流を通して社会的ネットワーク(ソーシャルネットワーク)を構築するサービスのことである。ソーシャルネットワークの機能として、送出された個人情報の内容を監視し、必要に応じて個人情報を修正して外部へ提供する技術が知られている。
ソーシャルネットワークに関して、ウェブサービスにパーソナルデータを提供する仕組みに関する規格が知られている(例えば、非特許文献1参照)。
P3P(Platform for Privacy Preference)にしたがって利用者によって設定される該利用者の意向に基づいて、これに違反するサービスが利用されようとした際に警告を発する技術が知られている(例えば、非特許文献2参照)。
ソーシャルネットワークに関して、ウェブサービスにパーソナルデータを提供する仕組みに関する規格が知られている(例えば、非特許文献1参照)。
P3P(Platform for Privacy Preference)にしたがって利用者によって設定される該利用者の意向に基づいて、これに違反するサービスが利用されようとした際に警告を発する技術が知られている(例えば、非特許文献2参照)。
W3C, "The platform for privacy preferences 1.0 (P3P1.0) specification", 2000.
Lorrie Faith Cranor, et al. "Use of a P3P User Agent by Early Adopters", In Proceedings of the 2002 ACM workshop on Privacy in the Electronic Society, WPES’02, pp.1−10, 2002.
他人に知られたくない情報は、情報の提供先や、情報の種類によって異なる。しかし、情報の種類が数百種類にも及ぶ場合もあり、利用者が情報の提供先や情報の種類毎に提供してよいか否かを判断するとともに、提供してもよい粒度等に情報を修正することは、利用者にかなりの労力を強いることになる。このため、実際には、提供先毎に情報を送信するか否かが設定されているに過ぎない。情報を送信しないように設定されている提供先であっても、情報の種類や状況によっては送信してもよい場合があるが、現状では送信されないため、利用者は、情報を提供することによって得られるサービスが制限されている。
さらに、他人に知られたくない情報(以下、「センシティブ情報」と呼ぶ。)は、利用者の価値観や機微性によっても異なることが想定されるが、情報を提供するか否かを判定する際に利用者の価値観や機微性は考慮されていない。
さらに、リアルタイム性を要求しないサービスを利用する場合において、位置情報などの情報を、サービス提供者に直ちに通知することは、正常の場合には大きなプライバシーリスクとなる場合がある。しかし、異常が発生し緊急の場合には、サービス提供者に、情報を、直ちに通知したいという要求がある。
本発明は、上記問題を解決すべくなされたもので、その目的は、サービス提供者に情報を提供する場合に、サービス提供者が、情報を取得するタイミングを制御することにある。
さらに、他人に知られたくない情報(以下、「センシティブ情報」と呼ぶ。)は、利用者の価値観や機微性によっても異なることが想定されるが、情報を提供するか否かを判定する際に利用者の価値観や機微性は考慮されていない。
さらに、リアルタイム性を要求しないサービスを利用する場合において、位置情報などの情報を、サービス提供者に直ちに通知することは、正常の場合には大きなプライバシーリスクとなる場合がある。しかし、異常が発生し緊急の場合には、サービス提供者に、情報を、直ちに通知したいという要求がある。
本発明は、上記問題を解決すべくなされたもので、その目的は、サービス提供者に情報を提供する場合に、サービス提供者が、情報を取得するタイミングを制御することにある。
(1)本発明の一態様は、端末装置が送信した複数の情報から、提供先が要求する情報又は情報の組み合わせを抽出する情報抽出部と、前記情報抽出部が抽出した情報又は情報の組み合わせがセンシティブ情報に該当するか否かを判定する情報判定部と、前記情報判定部がセンシティブ情報に該当すると判定した情報又は情報の組み合わせについて、前記提供先へ送信するか否かを判定する転送判定部と、前記転送判定部が前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを開示するタイミングを示す開示情報に基づいて、暗号鍵を生成する暗号鍵生成部と、前記転送判定部が前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを、前記暗号鍵で暗号化する暗号化部と、前記暗号化部が前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを暗号化した結果を、前記提供先へ送信する送信部とを備える、プライバシー保護装置である。
(2)本発明の一態様は、上記(1)に記載のプライバシー保護装置において、補助情報を生成する補助情報生成部を備え、前記暗号鍵生成部は、前記補助情報生成部が生成した前記補助情報と前記開示情報とに基づいて、前記暗号鍵を生成し、前記送信部は、前記暗号化部が前記提供先へ送信すると判定した前記情報又は前記開示情報の組み合わせを暗号化した結果と前記補助情報とを別々に、前記提供先へ送信する、プライバシー保護装置で
ある。
(3)本発明の一態様は、上記(1)に記載のプライバシー保護装置において、前記転送判定部によって前記提供先へ送信すると判定された前記情報又は前記情報の組み合わせについて、前記情報又は前記情報の組み合わせの粒度を変更する情報変更部を備え、前記暗号化部は、前記情報変更部によって情報の粒度が変更された前記情報又は前記情報の組み合わせを、前記暗号鍵で暗号化する、プライバシー保護装置である。
(4)本発明の一態様は、上記(3)に記載のプライバシー保護装置において、提供先へ送信する情報の保護のレベルを記憶する記憶部を備え、前記情報変更部は、前記記憶部に記憶された情報の保護のレベルに応じて、前記情報抽出部によって抽出された前記情報又は前記情報の組み合わせの粒度を変更する、プライバシー保護装置である。
(5)本発明の一態様は、上記(3)又は上記(4)に記載のプライバシー保護装置において、前記情報変更部は、所定の事象が発生しない場合に、前記情報又は前記情報の組み合わせの粒度を変更する、プライバシー保護装置である。
(6)本発明の一態様は、上記(3)から上記(5)のいずれか一項に記載のプライバシー保護装置において、前記情報変更部は、前記情報判定部によってセンシティブ情報に該当すると判定された前記情報又は前記情報の組み合わせの解像度、精度、又は鮮度を変更する、プライバシー保護装置である。
(7)本発明の一態様は、上記(3)から上記(6)のいずれか一項に記載のプライバシー保護装置において、補助情報を生成する補助情報生成部を備え、前記暗号鍵生成部は、前記補助情報生成部が生成した前記補助情報と前記開示情報とに基づいて、前記暗号鍵を生成し、前記暗号化部は、前記情報変更部によって情報の粒度が変更された前記情報又は前記情報の組み合わせを、前記暗号鍵で暗号化し、前記送信部は、前記暗号化部が前記情報の粒度が変更された情報又は情報の組み合わせを暗号化した結果と前記補助情報とを別々に、前記提供先へ送信する、プライバシー保護装置である。
(8)本発明の一態様は、上記(1)から上記(7)のいずれか一項に記載のプライバシー保護装置において、前記暗号化部は、時限式暗号化方式によって暗号化する、プライバシー保護装置である。
(9)本発明の一態様は、プライバシー保護装置が実行するプライバシー保護方法であって、端末装置が送信した複数の情報から、提供先が要求する情報又は情報の組み合わせを抽出するステップと、前記抽出するステップで抽出した情報又は情報の組み合わせがセンシティブ情報に該当するか否かを判定するステップと、前記センシティブ情報に該当すると判定した情報又は情報の組み合わせについて、前記提供先へ送信するか否かを判定するステップと、前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを開示するタイミングを示す開示情報に基づいて、暗号鍵を生成するステップと、前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを、前記暗号鍵で暗号化するステップと、前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを暗号化した結果を、前記提供先へ送信するステップとを有する、プライバシー保護方法である。
(10)本発明の一態様は、プライバシー保護装置のコンピュータに、端末装置が送信した複数の情報から、提供先が要求する情報又は情報の組み合わせを抽出するステップと、前記抽出するステップで抽出した情報又は情報の組み合わせがセンシティブ情報に該当するか否かを判定するステップと、前記センシティブ情報に該当すると判定した情報又は情報の組み合わせについて、前記提供先へ送信するか否かを判定するステップと、前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを開示するタイミングを示す開示情報に基づいて、暗号鍵を生成するステップと、前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを、前記暗号鍵で暗号化するステップと、前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを暗号化した結果を、前記提供先へ送信するステップとを実行させる、プログラムである。
(2)本発明の一態様は、上記(1)に記載のプライバシー保護装置において、補助情報を生成する補助情報生成部を備え、前記暗号鍵生成部は、前記補助情報生成部が生成した前記補助情報と前記開示情報とに基づいて、前記暗号鍵を生成し、前記送信部は、前記暗号化部が前記提供先へ送信すると判定した前記情報又は前記開示情報の組み合わせを暗号化した結果と前記補助情報とを別々に、前記提供先へ送信する、プライバシー保護装置で
ある。
(3)本発明の一態様は、上記(1)に記載のプライバシー保護装置において、前記転送判定部によって前記提供先へ送信すると判定された前記情報又は前記情報の組み合わせについて、前記情報又は前記情報の組み合わせの粒度を変更する情報変更部を備え、前記暗号化部は、前記情報変更部によって情報の粒度が変更された前記情報又は前記情報の組み合わせを、前記暗号鍵で暗号化する、プライバシー保護装置である。
(4)本発明の一態様は、上記(3)に記載のプライバシー保護装置において、提供先へ送信する情報の保護のレベルを記憶する記憶部を備え、前記情報変更部は、前記記憶部に記憶された情報の保護のレベルに応じて、前記情報抽出部によって抽出された前記情報又は前記情報の組み合わせの粒度を変更する、プライバシー保護装置である。
(5)本発明の一態様は、上記(3)又は上記(4)に記載のプライバシー保護装置において、前記情報変更部は、所定の事象が発生しない場合に、前記情報又は前記情報の組み合わせの粒度を変更する、プライバシー保護装置である。
(6)本発明の一態様は、上記(3)から上記(5)のいずれか一項に記載のプライバシー保護装置において、前記情報変更部は、前記情報判定部によってセンシティブ情報に該当すると判定された前記情報又は前記情報の組み合わせの解像度、精度、又は鮮度を変更する、プライバシー保護装置である。
(7)本発明の一態様は、上記(3)から上記(6)のいずれか一項に記載のプライバシー保護装置において、補助情報を生成する補助情報生成部を備え、前記暗号鍵生成部は、前記補助情報生成部が生成した前記補助情報と前記開示情報とに基づいて、前記暗号鍵を生成し、前記暗号化部は、前記情報変更部によって情報の粒度が変更された前記情報又は前記情報の組み合わせを、前記暗号鍵で暗号化し、前記送信部は、前記暗号化部が前記情報の粒度が変更された情報又は情報の組み合わせを暗号化した結果と前記補助情報とを別々に、前記提供先へ送信する、プライバシー保護装置である。
(8)本発明の一態様は、上記(1)から上記(7)のいずれか一項に記載のプライバシー保護装置において、前記暗号化部は、時限式暗号化方式によって暗号化する、プライバシー保護装置である。
(9)本発明の一態様は、プライバシー保護装置が実行するプライバシー保護方法であって、端末装置が送信した複数の情報から、提供先が要求する情報又は情報の組み合わせを抽出するステップと、前記抽出するステップで抽出した情報又は情報の組み合わせがセンシティブ情報に該当するか否かを判定するステップと、前記センシティブ情報に該当すると判定した情報又は情報の組み合わせについて、前記提供先へ送信するか否かを判定するステップと、前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを開示するタイミングを示す開示情報に基づいて、暗号鍵を生成するステップと、前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを、前記暗号鍵で暗号化するステップと、前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを暗号化した結果を、前記提供先へ送信するステップとを有する、プライバシー保護方法である。
(10)本発明の一態様は、プライバシー保護装置のコンピュータに、端末装置が送信した複数の情報から、提供先が要求する情報又は情報の組み合わせを抽出するステップと、前記抽出するステップで抽出した情報又は情報の組み合わせがセンシティブ情報に該当するか否かを判定するステップと、前記センシティブ情報に該当すると判定した情報又は情報の組み合わせについて、前記提供先へ送信するか否かを判定するステップと、前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを開示するタイミングを示す開示情報に基づいて、暗号鍵を生成するステップと、前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを、前記暗号鍵で暗号化するステップと、前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを暗号化した結果を、前記提供先へ送信するステップとを実行させる、プログラムである。
本発明によれば、サービス提供者に情報を提供する場合に、サービス提供者が、情報を取得するタイミングを制御することができる。
次に、本発明を実施するための形態を、図面を参照しつつ説明する。以下で説明する実施形態は一例に過ぎず、本発明が適用される実施形態は、以下の実施形態に限られない。
なお、実施形態を説明するための全図において、同一の機能を有するものは同一符号を用い、繰り返しの説明は省略する。
なお、実施形態を説明するための全図において、同一の機能を有するものは同一符号を用い、繰り返しの説明は省略する。
<実施形態>
<通信システムの構成>
図1は、実施形態に係るプライバシー保護装置が適用される通信システムの一例を示す。
通信システムは、プライバシー保護装置100と、パーソナルデータ送出装置200とを備える。パーソナルデータ送出装置200には、データd01、データd02、・・・、データd0N(Nは、N>2の整数)が供給される。パーソナルデータ送出装置200は、通信ネットワーク20と接続され、該通信ネットワーク20を経由してデータd01、データd02、・・・、データd0Nをプライバシー保護装置100へ送信する。通信ネットワーク20の一例は、移動通信ネットワークである。パーソナルデータ送出装置200の一例は、スマートフォン、タブレット端末、PC、車載端末等の端末装置である。
プライバシー保護装置100は、パーソナルエージェントとも呼ばれ、通信ネットワーク20及びインターネット50等のネットワークと接続される。プライバシー保護装置100には、プライバシーポリシーが設定される。プライバシーポリシーは、パーソナルデータ送出装置200から送信されたデータをそのまま転送するのか、一定の条件に基づいて加工して転送するのか、転送しないのか等のデータの取り扱いを定めた規範である。例えば、プライバシーポリシーは、データd01、データd02、・・・、データd0Nをパーソナルデータ送出装置200へ供給するプライバシー保護装置100の利用者によって設定される。
<通信システムの構成>
図1は、実施形態に係るプライバシー保護装置が適用される通信システムの一例を示す。
通信システムは、プライバシー保護装置100と、パーソナルデータ送出装置200とを備える。パーソナルデータ送出装置200には、データd01、データd02、・・・、データd0N(Nは、N>2の整数)が供給される。パーソナルデータ送出装置200は、通信ネットワーク20と接続され、該通信ネットワーク20を経由してデータd01、データd02、・・・、データd0Nをプライバシー保護装置100へ送信する。通信ネットワーク20の一例は、移動通信ネットワークである。パーソナルデータ送出装置200の一例は、スマートフォン、タブレット端末、PC、車載端末等の端末装置である。
プライバシー保護装置100は、パーソナルエージェントとも呼ばれ、通信ネットワーク20及びインターネット50等のネットワークと接続される。プライバシー保護装置100には、プライバシーポリシーが設定される。プライバシーポリシーは、パーソナルデータ送出装置200から送信されたデータをそのまま転送するのか、一定の条件に基づいて加工して転送するのか、転送しないのか等のデータの取り扱いを定めた規範である。例えば、プライバシーポリシーは、データd01、データd02、・・・、データd0Nをパーソナルデータ送出装置200へ供給するプライバシー保護装置100の利用者によって設定される。
プライバシー保護装置100は、プライバシーポリシーに基づいて、パーソナルデータ送出装置200によって送信されたデータd01、データd02、・・・、データd0Nをどのように取り扱うのかを判定する。例えば、プライバシー保護装置100は、データd01、データd02、・・・、データd0Nの各々について、転送先へ転送するのか否か、転送する場合にデータを加工するのか否かを判定する。
そして、プライバシー保護装置100は、データを加工しないでインターネット50を経由して転送先T01、転送先T02、・・・、転送先T0Mのいずれか、或いは複数の転送先へ転送すると判定した場合に、パーソナルデータ送出装置200に対して当該データのプライバシー保護装置100への送信を許可する。プライバシー保護装置100は、当該データが位置情報等のサービス提供者へ直ちに通知することでプライバシーリスクにつながるおそれがあり、且つ緊急の場合には直ちに通知する情報に該当するか否かを判定する。プライバシー保護装置100は、該当すると判定した場合、転送先毎に設定された情報開示ポリシーと補助情報とに基づいて、時限式暗号化方式によって、暗号鍵を生成する。そして、プライバシー保護装置100は、当該データに時刻情報が含まれる場合には、その時刻情報を削除し、時刻情報を削除した当該データを、暗号鍵によって、暗号化する。プライバシー保護装置100は、暗号化した結果を、当該転送先へ転送する。プライバシー保護装置100は、暗号化した結果を転送先へ転送した後に、補助情報を転送先へ転送する。
そして、プライバシー保護装置100は、データを加工しないでインターネット50を経由して転送先T01、転送先T02、・・・、転送先T0Mのいずれか、或いは複数の転送先へ転送すると判定した場合に、パーソナルデータ送出装置200に対して当該データのプライバシー保護装置100への送信を許可する。プライバシー保護装置100は、当該データが位置情報等のサービス提供者へ直ちに通知することでプライバシーリスクにつながるおそれがあり、且つ緊急の場合には直ちに通知する情報に該当するか否かを判定する。プライバシー保護装置100は、該当すると判定した場合、転送先毎に設定された情報開示ポリシーと補助情報とに基づいて、時限式暗号化方式によって、暗号鍵を生成する。そして、プライバシー保護装置100は、当該データに時刻情報が含まれる場合には、その時刻情報を削除し、時刻情報を削除した当該データを、暗号鍵によって、暗号化する。プライバシー保護装置100は、暗号化した結果を、当該転送先へ転送する。プライバシー保護装置100は、暗号化した結果を転送先へ転送した後に、補助情報を転送先へ転送する。
また、プライバシー保護装置100は、データを変更して転送先へ転送すると判定した場合に、パーソナルデータ送出装置200に対して当該データのプライバシー保護装置100への送信を許可する。プライバシー保護装置100は、当該データが位置情報等のサービス提供者へ直ちに通知することでプライバシーリスクにつながるおそれがあり、且つ緊急の場合には直ちに通知する情報に該当するか否かを判定する。プライバシー保護装置100は、該当すると判定した場合、転送先毎に設定された情報開示ポリシーと補助情報とに基づいて、時限式暗号化方式によって、暗号鍵を生成する。そして、プライバシー保護装置100は、当該データに時刻情報が含まれる場合には、その時刻情報を削除し、時刻情報を削除した当該データを適切な情報の粒度に変更し、適切な情報の粒度に変更した当該データを、暗号鍵によって、暗号化する。プライバシー保護装置100は、暗号化した結果を、インターネット50を経由して転送先T01、転送先T02、・・・、転送先T0Mのいずれか、或いは複数の転送先へ転送する。プライバシー保護装置100は、暗号化した結果を転送先へ転送した後に、補助情報を転送先へ転送する。パーソナルデータ送出装置200及びプライバシー保護装置100は、転送しないデータは破棄する。
以下、一例として、パーソナルデータ送出装置200に車載端末を適用した場合について説明を続ける。さらに、以下では、サービス提供者へ直ちに通知することでプライバシーリスクにつながるおそれがあり、且つ緊急の場合には直ちに通知する情報の一例として、位置情報を適用した場合について説明を続ける。
以下、一例として、パーソナルデータ送出装置200に車載端末を適用した場合について説明を続ける。さらに、以下では、サービス提供者へ直ちに通知することでプライバシーリスクにつながるおそれがあり、且つ緊急の場合には直ちに通知する情報の一例として、位置情報を適用した場合について説明を続ける。
図2は、パーソナルデータ送出装置200に車載端末350を適用した場合の車両用通信システムの構成例を示す。
車両用通信システムは、プライバシー保護装置100と、車載端末350とを備える。車載端末350は、車両300に搭載され、車両300で取得される情報をプライバシー保護装置100へ送信する。車両300には、ECU(Electronic Control Unit)310a、ECU310b、ECU310c、ECU310d、GPS(Global Positioning System)330、及びゲートウェイ(G/W:gateway)320が設置される。ECU310aと、ECU310bと、ECU310cと、ECU310dと、G/W320との間は、CAN(Controller Area Network)315等の機器間のデータ転送に使われる規格にしたがって接続される。
ECU310a、ECU310b、ECU310c、及びECU310dは、エンジン、モーター、メーター、トランスミッション、ブレーキ、エアバック、ランプ、パワーステアリング、パワーウィンドウ、カーエアコン、電子キーの車両側受信部、カーオーディオ、カーナビゲーション等のシステムを制御する。ECU310a、ECU310b、ECU310c、及びECU310dは、速度情報、走行ルート情報、アクセス操作情報、ブレーキ操作情報、ハンドル操作情報、エンジン回転数情報、消費燃費情報等を取得し、車載端末350へ出力する。GPS330は、車両300の位置情報を取得する。
ECU310a、ECU310b、ECU310c、ECU310d、及びGPS330によって取得される情報(以下、「車両情報」という)は、G/W320から、データブローカ340へ出力される。データブローカ340は、車両情報を収集し、車載端末350へ出力する。車載端末350は、データブローカ340によって出力される車両情報をプライバシー保護装置100へ送信する。車載端末350によって出力される車両情報は、パーソナルデータ送出装置200の機能に相当するパーソナルデータ送出アプリケーション・プログラム(APPS#0)355によって、通信ネットワーク20を経由してプライバシー保護装置100へ送信される。
車両用通信システムは、プライバシー保護装置100と、車載端末350とを備える。車載端末350は、車両300に搭載され、車両300で取得される情報をプライバシー保護装置100へ送信する。車両300には、ECU(Electronic Control Unit)310a、ECU310b、ECU310c、ECU310d、GPS(Global Positioning System)330、及びゲートウェイ(G/W:gateway)320が設置される。ECU310aと、ECU310bと、ECU310cと、ECU310dと、G/W320との間は、CAN(Controller Area Network)315等の機器間のデータ転送に使われる規格にしたがって接続される。
ECU310a、ECU310b、ECU310c、及びECU310dは、エンジン、モーター、メーター、トランスミッション、ブレーキ、エアバック、ランプ、パワーステアリング、パワーウィンドウ、カーエアコン、電子キーの車両側受信部、カーオーディオ、カーナビゲーション等のシステムを制御する。ECU310a、ECU310b、ECU310c、及びECU310dは、速度情報、走行ルート情報、アクセス操作情報、ブレーキ操作情報、ハンドル操作情報、エンジン回転数情報、消費燃費情報等を取得し、車載端末350へ出力する。GPS330は、車両300の位置情報を取得する。
ECU310a、ECU310b、ECU310c、ECU310d、及びGPS330によって取得される情報(以下、「車両情報」という)は、G/W320から、データブローカ340へ出力される。データブローカ340は、車両情報を収集し、車載端末350へ出力する。車載端末350は、データブローカ340によって出力される車両情報をプライバシー保護装置100へ送信する。車載端末350によって出力される車両情報は、パーソナルデータ送出装置200の機能に相当するパーソナルデータ送出アプリケーション・プログラム(APPS#0)355によって、通信ネットワーク20を経由してプライバシー保護装置100へ送信される。
プライバシー保護装置100は、インターネット50と接続される。インターネット50には、道路交通情報サーバ400a、データセンターのサーバ400b、保険会社・ロードサービス会社のサーバ400c、X社のサーバ400d、時報局500等が接続される。
道路交通情報サーバ400aは、車載端末350へ道路交通情報を提供する。データセンターのサーバ400bは、車載端末350へ各種データを提供する。保険会社・ロードサービス会社のサーバ400cは、車載端末350へ保険に関するサービスを提供する。X社のサーバ400dは、車載端末350へX社が提供するサービスを提供する。
以下、一例として、車載端末350を搭載した車両300のユーザが、X社のサーバ400dからX社のサービスの提供を受ける場合について説明を続ける。ただし、車載端末350を搭載した車両300のユーザが、X社のサーバ400dからX社のサービスの提供を受ける場合に限らず、道路交通情報サーバ400a、データセンターのサーバ400b、又は保険会社・ロードサービス会社のサーバ400cからサービスの提供を受ける場合についても適用できる。
車載端末350を搭載した車両300のユーザが、X社のサーバ400dからX社のサービスの提供を受ける場合、プライバシー保護装置100は、車両300から取得した車両情報をX社のサーバ400dへ転送するか否かを判定するとともに、転送すると判定した車両情報については該車両情報の粒度を変更するか否かを判定する。さらに、プライバシー保護装置100は、転送すると判定した車両情報が位置情報であり、且つその位置情報に時刻情報が含まれる場合には、時刻情報を削除する。そして、プライバシー保護装置100は、転送先毎に設定された情報開示ポリシーと補助情報とに基づいて、時限式暗号化方式によって、暗号鍵を生成する。プライバシー保護装置100は、生成した暗号鍵で、時刻情報を削除した位置情報を暗号化する。プライバシー保護装置100は、暗号化した結果を、当該転送先へ転送する。プライバシー保護装置100は、暗号化した結果を転送先へ転送した後に、補助情報を転送先へ転送する。
道路交通情報サーバ400aは、車載端末350へ道路交通情報を提供する。データセンターのサーバ400bは、車載端末350へ各種データを提供する。保険会社・ロードサービス会社のサーバ400cは、車載端末350へ保険に関するサービスを提供する。X社のサーバ400dは、車載端末350へX社が提供するサービスを提供する。
以下、一例として、車載端末350を搭載した車両300のユーザが、X社のサーバ400dからX社のサービスの提供を受ける場合について説明を続ける。ただし、車載端末350を搭載した車両300のユーザが、X社のサーバ400dからX社のサービスの提供を受ける場合に限らず、道路交通情報サーバ400a、データセンターのサーバ400b、又は保険会社・ロードサービス会社のサーバ400cからサービスの提供を受ける場合についても適用できる。
車載端末350を搭載した車両300のユーザが、X社のサーバ400dからX社のサービスの提供を受ける場合、プライバシー保護装置100は、車両300から取得した車両情報をX社のサーバ400dへ転送するか否かを判定するとともに、転送すると判定した車両情報については該車両情報の粒度を変更するか否かを判定する。さらに、プライバシー保護装置100は、転送すると判定した車両情報が位置情報であり、且つその位置情報に時刻情報が含まれる場合には、時刻情報を削除する。そして、プライバシー保護装置100は、転送先毎に設定された情報開示ポリシーと補助情報とに基づいて、時限式暗号化方式によって、暗号鍵を生成する。プライバシー保護装置100は、生成した暗号鍵で、時刻情報を削除した位置情報を暗号化する。プライバシー保護装置100は、暗号化した結果を、当該転送先へ転送する。プライバシー保護装置100は、暗号化した結果を転送先へ転送した後に、補助情報を転送先へ転送する。
<車載端末>
車載端末350は、ハードウェア(HW)及びオペレーティングシステム(OS)(HW+OS)352と、ウェブランタイム(Webruntime)354と、パーソナルデータ送出アプリケーション・プログラム(APPS#0)355と、APPS#1と、APPS#2と、APPS#3、・・・、APPS#n(nは、n>3の整数)とを備える。
HWは、CPU(Central Processing Unit)と、ROM(Read Only Memory)と、RAM(Random Access Memory)と、不揮発性メモリと、通信I/F部と、各部を接続する内部バスとを備えている。
CPUは、車載端末350の動作を制御する制御プログラム等を不揮発性メモリから読み出し、RAMに展開して実行する。不揮発性メモリは、フラッシュメモリ、HDD(Hard Disk Drive)、SSD(Solid State Drive)、SD(Secure Digital)カード等によって構成される。不揮発性メモリは、車載端末350の動作を制御する制御プログラム等を記憶する。通信I/F部は、無線LANモジュール、移動通信モジュール等の通信モジュールによって構成され。通信I/F部は、移動通信によってプライバシー保護装置100等の外部の機器との間で通信を行う。
OSは、HWを機能毎に抽象化したインターフェースをアプリケーションソフトウェアに提供する。Webruntime354は、ウェブアプリケーション・プログラムを実行し、当該プログラムのライフサイクル、レイアウト及びセキュリティを管理する。
APPS#0、APPS#1、APPS#2、APPS#3、・・・、及びAPPS#nは、車両300に搭載されたECU310a、ECU310b、ECU310c、ECU310d、及びGPS330によって生成され、且つ出力される車両情報を取得する要求をウェブランタイム354に通知する。
ウェブランタイム354は、APPS#0−APPS#nの要求に応じて、データブローカ340を経由して、G/W320から車両情報を取得し、取得した当該車両情報をAPPS#0−APPS#n)へ通知する。
さらに、APPS#0のパーソナルデータ送出アプリケーション・プログラム355は、プライバシー保護装置100によって送出を許可された車両情報をプライバシー保護装置100へ送信する。
車載端末350は、ハードウェア(HW)及びオペレーティングシステム(OS)(HW+OS)352と、ウェブランタイム(Webruntime)354と、パーソナルデータ送出アプリケーション・プログラム(APPS#0)355と、APPS#1と、APPS#2と、APPS#3、・・・、APPS#n(nは、n>3の整数)とを備える。
HWは、CPU(Central Processing Unit)と、ROM(Read Only Memory)と、RAM(Random Access Memory)と、不揮発性メモリと、通信I/F部と、各部を接続する内部バスとを備えている。
CPUは、車載端末350の動作を制御する制御プログラム等を不揮発性メモリから読み出し、RAMに展開して実行する。不揮発性メモリは、フラッシュメモリ、HDD(Hard Disk Drive)、SSD(Solid State Drive)、SD(Secure Digital)カード等によって構成される。不揮発性メモリは、車載端末350の動作を制御する制御プログラム等を記憶する。通信I/F部は、無線LANモジュール、移動通信モジュール等の通信モジュールによって構成され。通信I/F部は、移動通信によってプライバシー保護装置100等の外部の機器との間で通信を行う。
OSは、HWを機能毎に抽象化したインターフェースをアプリケーションソフトウェアに提供する。Webruntime354は、ウェブアプリケーション・プログラムを実行し、当該プログラムのライフサイクル、レイアウト及びセキュリティを管理する。
APPS#0、APPS#1、APPS#2、APPS#3、・・・、及びAPPS#nは、車両300に搭載されたECU310a、ECU310b、ECU310c、ECU310d、及びGPS330によって生成され、且つ出力される車両情報を取得する要求をウェブランタイム354に通知する。
ウェブランタイム354は、APPS#0−APPS#nの要求に応じて、データブローカ340を経由して、G/W320から車両情報を取得し、取得した当該車両情報をAPPS#0−APPS#n)へ通知する。
さらに、APPS#0のパーソナルデータ送出アプリケーション・プログラム355は、プライバシー保護装置100によって送出を許可された車両情報をプライバシー保護装置100へ送信する。
実施形態に係る車載端末350は、複数のAPPS#0−APP#nの各々がプライバシー保護装置100へ送信するのではなく、APPS#0が他のAPPS#1−APPS#nから外部へ転送する車両データをまとめて、プライバシー保護装置100へ送信する。これによって、車載端末350とプライバシー保護装置100との間の通信回数を低減できるため、通信ネットワーク20への負荷を低減できる。また、車載端末350に撮像部を備え、車両300の画像を撮像し、車両情報としてプライバシー保護装置100へ送信するようにしてもよい。具体的には、撮像部は、車両300の車内外で発生している事象を検出できる画像を撮像する。
<プライバシー保護装置>
実施形態に係るプライバシー保護装置100のハードウェア構成について説明する。プライバシー保護装置100は、CPUとメモリと不揮発性メモリと通信I/Fと内部バスとを備えている。CPUは、例えば不揮発性メモリに格納されるプログラムを実行し、メモリをワークメモリとして使用して、プライバシー保護装置100の各部を制御する。メモリは、半導体素子を利用した揮発性のメモリ等のRAMによって構成される。メモリは、CPUのワークメモリとして使用される。不揮発性メモリは、例えばハードディスク(HD)やROM等によって構成され、CPUによって実行されるプログラムが格納される。通信I/Fは、車載端末350等の外部機器と通信して、車両データ等の送受信を行うためのインターフェースである。さらに、通信I/Fは、インターネット50を経由して、サービスゲートウェイ、アプリケーションストア、道路交通情報サーバ400a、データセンターのサーバ400b、保険会社・ロードサービス会社のサーバ400c、X社のサーバ400d、及び時報局500と通信を行う。内部バスは、CPU、メモリ、不揮発性メモリ、及び通信I/Fを互いに接続する。内部バスに接続される各部は、内部バスを介して互いにデータのやりとりを行うことができるようにされている。
実施形態に係るプライバシー保護装置100のハードウェア構成について説明する。プライバシー保護装置100は、CPUとメモリと不揮発性メモリと通信I/Fと内部バスとを備えている。CPUは、例えば不揮発性メモリに格納されるプログラムを実行し、メモリをワークメモリとして使用して、プライバシー保護装置100の各部を制御する。メモリは、半導体素子を利用した揮発性のメモリ等のRAMによって構成される。メモリは、CPUのワークメモリとして使用される。不揮発性メモリは、例えばハードディスク(HD)やROM等によって構成され、CPUによって実行されるプログラムが格納される。通信I/Fは、車載端末350等の外部機器と通信して、車両データ等の送受信を行うためのインターフェースである。さらに、通信I/Fは、インターネット50を経由して、サービスゲートウェイ、アプリケーションストア、道路交通情報サーバ400a、データセンターのサーバ400b、保険会社・ロードサービス会社のサーバ400c、X社のサーバ400d、及び時報局500と通信を行う。内部バスは、CPU、メモリ、不揮発性メモリ、及び通信I/Fを互いに接続する。内部バスに接続される各部は、内部バスを介して互いにデータのやりとりを行うことができるようにされている。
<プライバシー保護装置の機能構成>
図3は、プライバシー保護装置100の機能構成の一例を示す。
プライバシー保護装置100は、無線通信部152、通信部154、情報抽出部156、事象判定部158、情報判定部160、転送判定部162、情報変更部164、記憶部166、補助情報生成部168、暗号鍵生成部170、暗号化部172、及び上記各構成要素を図3に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン169を有している。これらの各部は、図3に示されている各構成要素のいずれかが、不揮発性メモリからメモリ上に展開されたプログラムを実行するCPUからの命令によって動作することで実現される機能である。
図3を用いて、プライバシー保護装置100の各機能構成について詳細に説明する。無線通信部152は、CPUからの命令、及び通信I/Fよって実現される。無線通信部152は、車載端末350等の他の装置との間で車両情報等の各種データの送受信を行う。通信部154は、CPUからの命令、及び通信I/Fによって実現される。通信部154は、インターネット50を経由して、道路交通情報サーバ400a、データセンターのサーバ400b、保険会社・ロードサービス会社のサーバ400c、X社のサーバ400d、時報局500等の他の装置との間で各種データの送受信を行う。
記憶部166には、プライバシー保護対象外事象判定テーブル1662、センシティブ情報判定テーブル1664、保護レベル判定テーブル1666、及び情報開示ポリシーDB1668が格納される。ここで、センシティブ情報(データ)は、他人には知られたくない情報である。センシティブ情報に対して、他人に知られても支障がない、或いは気にならならない情報はノンセンシティブ情報と呼ばれる。ノンセンシティブ情報と呼ばれる情報であっても、情報を複数組み合わせることによってセンシティブ情報となりうる場合がある。実施形態では、情報を複数組み合わせることによってセンシティブ情報となる情報を「コンテキストセンシティブ情報」と定義する。
プライバシー保護対象外事象とは、車載端末350から取得した車両情報がセンシティブ情報、或いはコンテキストセンシティブ情報であっても、該車両情報の粒度を変更することなく転送先へ送信すると判定される事象である。
情報開示ポリシーは、情報の提供先毎に、情報を開示するタイミングを示す開示情報が関連付けられる。
図3は、プライバシー保護装置100の機能構成の一例を示す。
プライバシー保護装置100は、無線通信部152、通信部154、情報抽出部156、事象判定部158、情報判定部160、転送判定部162、情報変更部164、記憶部166、補助情報生成部168、暗号鍵生成部170、暗号化部172、及び上記各構成要素を図3に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン169を有している。これらの各部は、図3に示されている各構成要素のいずれかが、不揮発性メモリからメモリ上に展開されたプログラムを実行するCPUからの命令によって動作することで実現される機能である。
図3を用いて、プライバシー保護装置100の各機能構成について詳細に説明する。無線通信部152は、CPUからの命令、及び通信I/Fよって実現される。無線通信部152は、車載端末350等の他の装置との間で車両情報等の各種データの送受信を行う。通信部154は、CPUからの命令、及び通信I/Fによって実現される。通信部154は、インターネット50を経由して、道路交通情報サーバ400a、データセンターのサーバ400b、保険会社・ロードサービス会社のサーバ400c、X社のサーバ400d、時報局500等の他の装置との間で各種データの送受信を行う。
記憶部166には、プライバシー保護対象外事象判定テーブル1662、センシティブ情報判定テーブル1664、保護レベル判定テーブル1666、及び情報開示ポリシーDB1668が格納される。ここで、センシティブ情報(データ)は、他人には知られたくない情報である。センシティブ情報に対して、他人に知られても支障がない、或いは気にならならない情報はノンセンシティブ情報と呼ばれる。ノンセンシティブ情報と呼ばれる情報であっても、情報を複数組み合わせることによってセンシティブ情報となりうる場合がある。実施形態では、情報を複数組み合わせることによってセンシティブ情報となる情報を「コンテキストセンシティブ情報」と定義する。
プライバシー保護対象外事象とは、車載端末350から取得した車両情報がセンシティブ情報、或いはコンテキストセンシティブ情報であっても、該車両情報の粒度を変更することなく転送先へ送信すると判定される事象である。
情報開示ポリシーは、情報の提供先毎に、情報を開示するタイミングを示す開示情報が関連付けられる。
<プライバシー保護対象外事象判定テーブル>
図4は、プライバシー保護対象外事象判定テーブル1662の一例を示す。プライバシー保護対象外事象判定テーブル1662は、プライバシー保護対象外事象の識別情報と、プライバシー保護対象外事象とを紐付けたテーブルである。センシティブ情報、コンテキストセンシティブ情報或いはDo Not Trackモード等によって車両情報の提供が拒否されている対象であっても、プライバシー保護対象外事象が発生した場合には、車両情報の削除や情報の粒度を変更する等による情報の保護は行わず、原車両情報を提供先へ送信しても、利用者個人から許容されることが多いと想定される。
プライバシー保護対象外事象には、識別情報「#a」に紐付けられる「生命・身体・財産の保護を目的とした事象」が含まれる。「生命・身体・財産の保護を目的とした事象」には、運転者、同乗者、歩行者等の生命を守る事象、或いは負傷等から救済するため、合理的に必要となる事象が含まれる。具体的には、エアバッグ展開、タイヤ破裂、車両異常警報時等が該当する。また、「生命・身体・財産の保護を目的とした事象」には、盗難、損傷を受けたと合理的に認定される車両の位置の特定や、状況把握及び発見支援(盗難の場合)を行うために、必要となる事象が含まれる。また、「生命・身体・財産の保護を目的とした事象」には、誘拐、テロ、殺人等の凶悪犯罪の捜査、車両の位置特定又は発見支援を行うため、法的権限内において合理的に必要となる事象が含まれる。また、「生命・身体・財産の保護を目的とした事象」には、天変地異等の発災時の橋梁倒壊、トンネル崩落、落盤等における被災車両・被災者の特定又は発見支援を行うため、法的権限内において合理的に必要となる事象が含まれる。
図4は、プライバシー保護対象外事象判定テーブル1662の一例を示す。プライバシー保護対象外事象判定テーブル1662は、プライバシー保護対象外事象の識別情報と、プライバシー保護対象外事象とを紐付けたテーブルである。センシティブ情報、コンテキストセンシティブ情報或いはDo Not Trackモード等によって車両情報の提供が拒否されている対象であっても、プライバシー保護対象外事象が発生した場合には、車両情報の削除や情報の粒度を変更する等による情報の保護は行わず、原車両情報を提供先へ送信しても、利用者個人から許容されることが多いと想定される。
プライバシー保護対象外事象には、識別情報「#a」に紐付けられる「生命・身体・財産の保護を目的とした事象」が含まれる。「生命・身体・財産の保護を目的とした事象」には、運転者、同乗者、歩行者等の生命を守る事象、或いは負傷等から救済するため、合理的に必要となる事象が含まれる。具体的には、エアバッグ展開、タイヤ破裂、車両異常警報時等が該当する。また、「生命・身体・財産の保護を目的とした事象」には、盗難、損傷を受けたと合理的に認定される車両の位置の特定や、状況把握及び発見支援(盗難の場合)を行うために、必要となる事象が含まれる。また、「生命・身体・財産の保護を目的とした事象」には、誘拐、テロ、殺人等の凶悪犯罪の捜査、車両の位置特定又は発見支援を行うため、法的権限内において合理的に必要となる事象が含まれる。また、「生命・身体・財産の保護を目的とした事象」には、天変地異等の発災時の橋梁倒壊、トンネル崩落、落盤等における被災車両・被災者の特定又は発見支援を行うため、法的権限内において合理的に必要となる事象が含まれる。
プライバシー保護対象外事象には、識別情報「#b」に紐付けられる「後続・周辺車両等の安全・便益を目的とした事象」が含まれる。「後続・周辺車両等の安全・便益を目的とした事象」には、健康状態の急変、居眠り等によって自車が危険走行車両と判定される事象が含まれる。また、「後続・周辺車両等の安全・便益を目的とした事象」には、積雪、圧雪、凍結、半湿、湿潤、冠水等によって危険な路面状態や、事故車両・落石・陥没等の障害物、急ブレーキ・スポット(歩行者を含む飛び出し)等後続車両等へ通知する事象が含まれる。また、「後続・周辺車両等の安全・便益を目的とした事象」には、車線規制や大型パーキングの空きスペースを通知する事象が含まれる。
プライバシー保護対象外事象には、識別情報「#c」に紐付けられる「利用者の便益等を目的とした事象」が含まれる。「利用者の便益等を目的とした事象」には、一つのアプリケーション・プログラムが複数の提供サービスや動作モード等を有しており、一定の条件において、利用者の情報提供の対象や、粒度が異なっているために、プライバシー保護対象から除外される場合が含まれる。例えば、「利用者の便益等を目的とした事象」には、カーシェアやライドシェアでの客待ち、つまり待機モード(個人行動モード)と出迎え、つまり乗車モード(ビジネスモード)が含まれる。さらに、「利用者の便益等を目的とした事象」には、ある店舗から一定の距離内にいる場合にのみ受けたいクーポンや優待案内等が含まれる。
車両300のユーザは、プライバシー保護対象外事象として、識別情報#a、#b、及び#cのいずれか又は複数の識別情報を指定できるが、この例に限られない。例えば、利用者によって、識別情報#a、#b、及び#c以外の事象が登録されてもよい。
プライバシー保護対象外事象には、識別情報「#c」に紐付けられる「利用者の便益等を目的とした事象」が含まれる。「利用者の便益等を目的とした事象」には、一つのアプリケーション・プログラムが複数の提供サービスや動作モード等を有しており、一定の条件において、利用者の情報提供の対象や、粒度が異なっているために、プライバシー保護対象から除外される場合が含まれる。例えば、「利用者の便益等を目的とした事象」には、カーシェアやライドシェアでの客待ち、つまり待機モード(個人行動モード)と出迎え、つまり乗車モード(ビジネスモード)が含まれる。さらに、「利用者の便益等を目的とした事象」には、ある店舗から一定の距離内にいる場合にのみ受けたいクーポンや優待案内等が含まれる。
車両300のユーザは、プライバシー保護対象外事象として、識別情報#a、#b、及び#cのいずれか又は複数の識別情報を指定できるが、この例に限られない。例えば、利用者によって、識別情報#a、#b、及び#c以外の事象が登録されてもよい。
<センシティブ情報判定テーブル>
図5は、センシティブ情報判定テーブル1664の一例を示す。センシティブ情報判定テーブル1664は、車両情報又は車両情報を複数組み合わせたものがセンシティブ情報又はコンテキストセンシティブ情報に該当するか否かを判定する際に使用される。センシティブ情報判定テーブル1664は、センシティブ情報を識別する情報と、センシティブ情報とを紐付けたテーブルである。センシティブデータには、JIS規格 Q15001:2006「個人情報保護マネジメントシステム」で述べられている機微情報と一般的な個人情報とがあるが、車両及びその走行に関しては、利用者個人にもよるが、図5に示される情報がセンシティブ情報となりえる代表例である。
センシティブ情報には、識別情報「#A」に紐付けられる「自宅・勤務先・行先」が含まれる。「自宅・勤務先・行先」には、センシティブ・ロケーションと時刻・位置情報が含まれる。センシティブ情報には、識別情報「#B」に紐付けられる「交通違反と判断されうる情報」が含まれる。「交通違反と判断されうる情報」には、速度超過、徐行場所違反、駐停車違反、信号無視、一時不停止、踏切不停止、通行区分・通行帯違反が含まれる。さらに、徐行場所違反には、時刻・位置情報、制限速度情報、走行速度等が含まれる。駐停車違反には、時刻・位置情報、道路標識情報、速度、パーキングブレーキ、イグニッション・オフが含まれる。信号無視には、時刻・位置情報、交通信号、速度が含まれる。踏切不停止には、時刻・位置情報、道路標識情報、速度、ブレーキ等が含まれる。通行区分・通行帯違反には、時刻・位置情報、道路標識情報、速度が含まれる。
センシティブ情報には、識別情報「#C」に紐付けられる「ストーカや強盗被害等の危険性が高まる情報」が含まれる。「ストーカや強盗被害等の危険性が高まる情報」には、走行ルート、時刻・位置、速度、とくに現在位置が含まれる。センシティブ情報には、識別情報「#D」に紐付けられる「運転癖・技能」が含まれる。「運転癖・技能」には、アクセル/ブレーキ/ハンドル操作、車速、加速度、エンジン回転数、消費燃料量・電力量が含まれる。さらに、加速度には、急発進・急ブレーキが含まれる。
センシティブ情報判定テーブル1664によれば、位置情報はデータ単体でも、上記したJIS規格、及び一般的個人情報で掲げられている情報に関係するため、センシティブ情報となる可能性が高い。ただし、位置情報以外の情報については単一のデータでは殆どの場合、利用者個人にとってセンシティブ性が低く、データの組合せ(コンテキスト)によってセンシティブ性が高くなる。
図5は、センシティブ情報判定テーブル1664の一例を示す。センシティブ情報判定テーブル1664は、車両情報又は車両情報を複数組み合わせたものがセンシティブ情報又はコンテキストセンシティブ情報に該当するか否かを判定する際に使用される。センシティブ情報判定テーブル1664は、センシティブ情報を識別する情報と、センシティブ情報とを紐付けたテーブルである。センシティブデータには、JIS規格 Q15001:2006「個人情報保護マネジメントシステム」で述べられている機微情報と一般的な個人情報とがあるが、車両及びその走行に関しては、利用者個人にもよるが、図5に示される情報がセンシティブ情報となりえる代表例である。
センシティブ情報には、識別情報「#A」に紐付けられる「自宅・勤務先・行先」が含まれる。「自宅・勤務先・行先」には、センシティブ・ロケーションと時刻・位置情報が含まれる。センシティブ情報には、識別情報「#B」に紐付けられる「交通違反と判断されうる情報」が含まれる。「交通違反と判断されうる情報」には、速度超過、徐行場所違反、駐停車違反、信号無視、一時不停止、踏切不停止、通行区分・通行帯違反が含まれる。さらに、徐行場所違反には、時刻・位置情報、制限速度情報、走行速度等が含まれる。駐停車違反には、時刻・位置情報、道路標識情報、速度、パーキングブレーキ、イグニッション・オフが含まれる。信号無視には、時刻・位置情報、交通信号、速度が含まれる。踏切不停止には、時刻・位置情報、道路標識情報、速度、ブレーキ等が含まれる。通行区分・通行帯違反には、時刻・位置情報、道路標識情報、速度が含まれる。
センシティブ情報には、識別情報「#C」に紐付けられる「ストーカや強盗被害等の危険性が高まる情報」が含まれる。「ストーカや強盗被害等の危険性が高まる情報」には、走行ルート、時刻・位置、速度、とくに現在位置が含まれる。センシティブ情報には、識別情報「#D」に紐付けられる「運転癖・技能」が含まれる。「運転癖・技能」には、アクセル/ブレーキ/ハンドル操作、車速、加速度、エンジン回転数、消費燃料量・電力量が含まれる。さらに、加速度には、急発進・急ブレーキが含まれる。
センシティブ情報判定テーブル1664によれば、位置情報はデータ単体でも、上記したJIS規格、及び一般的個人情報で掲げられている情報に関係するため、センシティブ情報となる可能性が高い。ただし、位置情報以外の情報については単一のデータでは殆どの場合、利用者個人にとってセンシティブ性が低く、データの組合せ(コンテキスト)によってセンシティブ性が高くなる。
<保護レベル判定テーブル>
保護レベル判定テーブル1666は、車両情報に対する利用者個人の意向を登録したものである。ユーザが気になる情報の組み合わせや、センシティブ情報となる情報の組合せ(コンテキスト)は、転送先(情報の提供先)とその目的によって、情報の削除や情報の粒度の変更が必要となる場合がある。例えば、交通違反を気にする場合には、交通違反と判定されない走行であれば、ノンセンシティブ情報として、特に車両情報の変更や、削除を必要としない。また、走行時点検アプリ等も位置情報が不要であれば車両情報の変更や、削除を必要としない。
図6は、保護レベル判定テーブル1666の一例を示す。保護レベル判定テーブル1666は、利用者識別IDと、プライバシーとして保護を求める対象となる情報と、保護のレベルと、保護の例外とを紐付けたテーブルである。保護レベル判定テーブル1666の各欄は、車両300のユーザによって登録される。利用者識別IDは、X社のサーバ400dへ車両情報を提供してサービスを受ける車両300のユーザを識別する情報である。プライバシーとして保護を求める対象となる情報は、センシティブ情報に該当するデータが登録される。つまり、図5のセンシティブ情報判定テーブル1664の識別情報#A、#B、#C、及び#Dのいずれか又は複数の識別情報が登録される。利用者が、識別情報#A、#B、#C、及び#D以外の情報を登録してもよい。図6に示される例では、利用者識別IDが「100aa」であるユーザのプライバシーとして保護を求める対象となる情報は「#A」である。つまり、図5のセンシティブ情報判定テーブル1664の「自宅・勤務先・行先」が登録される。
保護のレベルは、センシティブ情報に該当する車両情報、又はコンテキストセンシティブ情報に該当する車両情報について、X社のサーバ400dへ送信するか否か、また、送信する場合に該車両情報へ適用する情報の粒度が登録される。具体的には、保護のレベルは、X社のサーバ400dへ送信しない場合には「提供不可」が登録される。さらに、プライバシーとして保護を求める対象となる情報に識別情報「#A」(自宅・勤務先・行先)が登録されている場合に、保護のレベルとして「原データレベル」、「市町村レベル」、「都道府県レベル」等のエリアの規模が登録される。また、プライバシーとして保護を求める対象となる情報に識別情報「#A」が登録されている場合に、保護のレベルとして緯度経度の粒度が登録されてもよい。例えば、北緯35.7011293度、東経139.740906度の位置情報を北緯35.70度、東経139.74度と変更するように情報の解像度を変更することが登録されてもよい。また、プライバシーとして保護を求める対象となる情報に識別情報「#B」(交通違反と判断されうる情報)が登録されている場合に、保護のレベルとして「原データレベル」、「10km/hの解像度」、「一般道10km/h未満か否か」、「高速道路30km/h未満か否か」等の情報の粒度が登録されてもよい。
保護レベル判定テーブル1666は、車両情報に対する利用者個人の意向を登録したものである。ユーザが気になる情報の組み合わせや、センシティブ情報となる情報の組合せ(コンテキスト)は、転送先(情報の提供先)とその目的によって、情報の削除や情報の粒度の変更が必要となる場合がある。例えば、交通違反を気にする場合には、交通違反と判定されない走行であれば、ノンセンシティブ情報として、特に車両情報の変更や、削除を必要としない。また、走行時点検アプリ等も位置情報が不要であれば車両情報の変更や、削除を必要としない。
図6は、保護レベル判定テーブル1666の一例を示す。保護レベル判定テーブル1666は、利用者識別IDと、プライバシーとして保護を求める対象となる情報と、保護のレベルと、保護の例外とを紐付けたテーブルである。保護レベル判定テーブル1666の各欄は、車両300のユーザによって登録される。利用者識別IDは、X社のサーバ400dへ車両情報を提供してサービスを受ける車両300のユーザを識別する情報である。プライバシーとして保護を求める対象となる情報は、センシティブ情報に該当するデータが登録される。つまり、図5のセンシティブ情報判定テーブル1664の識別情報#A、#B、#C、及び#Dのいずれか又は複数の識別情報が登録される。利用者が、識別情報#A、#B、#C、及び#D以外の情報を登録してもよい。図6に示される例では、利用者識別IDが「100aa」であるユーザのプライバシーとして保護を求める対象となる情報は「#A」である。つまり、図5のセンシティブ情報判定テーブル1664の「自宅・勤務先・行先」が登録される。
保護のレベルは、センシティブ情報に該当する車両情報、又はコンテキストセンシティブ情報に該当する車両情報について、X社のサーバ400dへ送信するか否か、また、送信する場合に該車両情報へ適用する情報の粒度が登録される。具体的には、保護のレベルは、X社のサーバ400dへ送信しない場合には「提供不可」が登録される。さらに、プライバシーとして保護を求める対象となる情報に識別情報「#A」(自宅・勤務先・行先)が登録されている場合に、保護のレベルとして「原データレベル」、「市町村レベル」、「都道府県レベル」等のエリアの規模が登録される。また、プライバシーとして保護を求める対象となる情報に識別情報「#A」が登録されている場合に、保護のレベルとして緯度経度の粒度が登録されてもよい。例えば、北緯35.7011293度、東経139.740906度の位置情報を北緯35.70度、東経139.74度と変更するように情報の解像度を変更することが登録されてもよい。また、プライバシーとして保護を求める対象となる情報に識別情報「#B」(交通違反と判断されうる情報)が登録されている場合に、保護のレベルとして「原データレベル」、「10km/hの解像度」、「一般道10km/h未満か否か」、「高速道路30km/h未満か否か」等の情報の粒度が登録されてもよい。
また、プライバシーとして保護を求める対象となる情報に識別情報「#C」(ストーカや強盗被害等の危険性が高まる情報)が登録されている場合には、保護のレベルとして「原データレベル」、「市町村レベル」、「都道府県レベル」等のエリアの規模が登録される。また、プライバシーとして保護を求める対象となる情報に識別情報「#C」が登録されている場合に、保護のレベルとして緯度経度の粒度が登録されてもよい。また、プライバシーとして保護を求める対象となる情報に識別情報「#C」が登録されている場合に、保護のレベルとして「原データレベル」、「10km/hの解像度」、「一般道10km/h未満か否か」、「高速道路30km/h未満か否か」等の情報の粒度が登録されてもよい。また、プライバシーとして保護を求める対象となる情報に識別情報「#D」(運転癖・技能)が登録されている場合には、保護のレベルとして、識別情報「#A」、「#B」、「#C」とは異なる粒度が各センシティブ情報について登録されてもよい。図6に示される例では、「自宅・勤務先・行先」をX社のサーバ400dへ提供する場合に「市町村レベル」の粒度へ変更することが登録されている。
保護の例外は、センシティブ情報に該当する車両情報であっても、原車両情報のままX社のサーバ400dへ提供すると判定される事象が登録される。つまり、図4のプライバシー保護対象外事象判定テーブル1662の識別情報#a、#b、及び#cのいずれか又は複数の識別情報が登録される。利用者が、識別情報#a、#b、及び#c以外の情報が登録されてもよい。図6に示される例では、保護の例外として、図4のプライバシー保護対象外事象判定テーブル1662に示される識別情報が「#a」が登録されている。つまり、「生命・身体・財産の保護を目的とした事象」が発生した場合に、プライバシー保護装置100は、センシティブ情報に該当するデータであっても、原車両情報のままX社のサーバ400dへ提供する。
保護の例外は、センシティブ情報に該当する車両情報であっても、原車両情報のままX社のサーバ400dへ提供すると判定される事象が登録される。つまり、図4のプライバシー保護対象外事象判定テーブル1662の識別情報#a、#b、及び#cのいずれか又は複数の識別情報が登録される。利用者が、識別情報#a、#b、及び#c以外の情報が登録されてもよい。図6に示される例では、保護の例外として、図4のプライバシー保護対象外事象判定テーブル1662に示される識別情報が「#a」が登録されている。つまり、「生命・身体・財産の保護を目的とした事象」が発生した場合に、プライバシー保護装置100は、センシティブ情報に該当するデータであっても、原車両情報のままX社のサーバ400dへ提供する。
<情報開示ポリシーDB>
情報開示ポリシーDB1668は、車両情報の提供先毎に、提供した車両情報を開示するタイミングを登録したものである。情報開示ポリシーDB1668には、プライバシー保護装置100が、サービス提供者に車両情報を送信した場合に、サービス提供者がその車両情報を受信してから開示できるまでの時間が登録される。
図7は、情報開示ポリシーDB1668の一例を示す。情報開示ポリシーDB1668は、情報の提供先と、開示情報とを紐付けたテーブルである。情報開示ポリシーDB1668の各欄は、車両300のユーザによって登録される。情報の提供先は、道路交通情報サーバ400a、データセンターのサーバ400b、保険会社・ロードサービス会社のサーバ400c、X社のサーバ400d等の車両情報の送信先を示す。開示情報は、サービス提供者が車両情報を受信してから、該車両情報を開示できる時間を示す。図3へ戻り説明を続ける。
情報開示ポリシーDB1668は、車両情報の提供先毎に、提供した車両情報を開示するタイミングを登録したものである。情報開示ポリシーDB1668には、プライバシー保護装置100が、サービス提供者に車両情報を送信した場合に、サービス提供者がその車両情報を受信してから開示できるまでの時間が登録される。
図7は、情報開示ポリシーDB1668の一例を示す。情報開示ポリシーDB1668は、情報の提供先と、開示情報とを紐付けたテーブルである。情報開示ポリシーDB1668の各欄は、車両300のユーザによって登録される。情報の提供先は、道路交通情報サーバ400a、データセンターのサーバ400b、保険会社・ロードサービス会社のサーバ400c、X社のサーバ400d等の車両情報の送信先を示す。開示情報は、サービス提供者が車両情報を受信してから、該車両情報を開示できる時間を示す。図3へ戻り説明を続ける。
情報抽出部156は、CPUからの命令、及び通信I/Fによって実現される。情報抽出部156には、インターネット50を経由して、X社のサーバ400dからX社が要求する車両情報を表す情報が供給される。例えば、X社のサーバ400dからX社が要求する車両情報の一覧SP1が供給される。さらに、情報抽出部156には、プライバシー保護装置100によって収集できる車両情報が登録された収集可能データテーブルT1が保持される。情報抽出部156は、収集可能データテーブルT1と、車両情報の一覧SP1を照合することによって、車両情報の一覧SP1に含まれる車両情報から、プライバシー保護装置100によって収集可能な車両情報を抽出する。情報抽出部156は、抽出した車両情報を車載端末350から取得し、情報判定部160へ出力する。
事象判定部158は、CPUからの命令によって実現される。事象判定部158は、車両300にプライバシー保護対象外事象が発生しているか否かを判定する。例えば、事象判定部158は、記憶部166に記憶されているプライバシー保護対象外事象判定テーブル1662、及び保護レベル判定テーブル1666を参照し、車載端末350が送信する車両情報が、保護レベル判定テーブル1666の保護の例外の欄に登録されているプライバシー保護対象外事象判定テーブル1662の識別情報#a、#b、及び#cのいずれかに該当するかを判定する。事象判定部158は、車両情報が、保護レベル判定テーブル1666の保護の例外の欄に登録されているプライバシー保護対象外事象判定テーブル1662の識別情報#a、#b、及び#cのいずれかに該当するか否かの判定結果を表す情報を情報判定部160へ出力する。
事象判定部158は、CPUからの命令によって実現される。事象判定部158は、車両300にプライバシー保護対象外事象が発生しているか否かを判定する。例えば、事象判定部158は、記憶部166に記憶されているプライバシー保護対象外事象判定テーブル1662、及び保護レベル判定テーブル1666を参照し、車載端末350が送信する車両情報が、保護レベル判定テーブル1666の保護の例外の欄に登録されているプライバシー保護対象外事象判定テーブル1662の識別情報#a、#b、及び#cのいずれかに該当するかを判定する。事象判定部158は、車両情報が、保護レベル判定テーブル1666の保護の例外の欄に登録されているプライバシー保護対象外事象判定テーブル1662の識別情報#a、#b、及び#cのいずれかに該当するか否かの判定結果を表す情報を情報判定部160へ出力する。
情報判定部160は、CPUからの命令によって実現される。情報判定部160は、事象判定部158によって供給された判定結果が、プライバシー保護対象外事象が発生していることを表しているか否かを判定する。プライバシー保護対象外事象が発生している場合、情報判定部160は、記憶部166に記憶されているセンシティブ情報判定テーブル1664、及び保護レベル判定テーブル1666を参照し、情報抽出部156から供給された車両情報がセンシティブ情報に該当するか否かを判定する。具体的には、情報判定部160は、情報抽出部156から供給された車両情報が、保護レベル判定テーブル1666のプライバシーとして保護を求める対象となる情報の欄に登録されているセンシティブ情報判定テーブル1664の識別情報#A、#B、#C、及び#Dのいずれかに該当するかを判定する。そして、情報判定部160は、センシティブ情報に該当する車両情報を転送判定部162へ出力し、センシティブ情報に該当する車両情報以外の車両情報を通信部154へ出力する。つまり、情報判定部160は、コンテキストセンシティブ情報に該当しない、又はノンセンシティブ情報に該当する車両情報を通信部154へ出力する。
また、プライバシー保護対象外事象が発生していない場合、情報判定部160は、記憶部166に記憶されているセンシティブ情報判定テーブル1664、及び保護レベル判定テーブル1666を参照し、情報抽出部156から供給された車両情報がセンシティブ情報又はコンテキストセンシティブ情報に該当するか否かを判定する。具体的には、情報判定部160は、情報抽出部156から供給された車両情報又は車両情報を複数組み合わせたものが、保護レベル判定テーブル1666のプライバシーとして保護を求める対象となる情報の欄に登録されているセンシティブ情報判定テーブル1664の識別情報#A、#B、#C、及び#Dのいずれかに該当するかを判定する。そして、情報判定部160は、センシティブ情報又はコンテキストセンシティブ情報に該当する車両情報を転送判定部162へ出力し、センシティブ情報又はコンテキストセンシティブ情報に該当する車両情報以外の車両情報を通信部154へ出力する。つまり、情報判定部160は、ノンセンシティブ情報に該当する車両情報を通信部154へ出力する。
また、プライバシー保護対象外事象が発生していない場合、情報判定部160は、記憶部166に記憶されているセンシティブ情報判定テーブル1664、及び保護レベル判定テーブル1666を参照し、情報抽出部156から供給された車両情報がセンシティブ情報又はコンテキストセンシティブ情報に該当するか否かを判定する。具体的には、情報判定部160は、情報抽出部156から供給された車両情報又は車両情報を複数組み合わせたものが、保護レベル判定テーブル1666のプライバシーとして保護を求める対象となる情報の欄に登録されているセンシティブ情報判定テーブル1664の識別情報#A、#B、#C、及び#Dのいずれかに該当するかを判定する。そして、情報判定部160は、センシティブ情報又はコンテキストセンシティブ情報に該当する車両情報を転送判定部162へ出力し、センシティブ情報又はコンテキストセンシティブ情報に該当する車両情報以外の車両情報を通信部154へ出力する。つまり、情報判定部160は、ノンセンシティブ情報に該当する車両情報を通信部154へ出力する。
転送判定部162は、CPUからの命令によって実現される。転送判定部162は、情報判定部160によって供給された車両情報をX社のサーバ400dへ転送するか否かを判定する。具体的には、転送判定部162は、記憶部166に格納された保護レベル判定テーブル1666の保護レベルの欄を参照し、「提供不可」とされている場合には転送しないと判定し、「提供不可」以外とされている場合には転送すると判定する。転送判定部162は、「提供不可」とされている場合に情報判定部160によって供給された車両情報を削除し、「提供不可」以外とされている場合に情報判定部160によって供給された車両情報を情報変更部164へ出力する。
情報変更部164は、CPUからの命令によって実現される。情報変更部164は、転送判定部162によって供給された車両情報が位置情報であるか否かを判定する。位置情報でないと判定した場合、情報変更部164は、車両情報をX社のサーバ400dへ転送する場合に、該車両情報の粒度を変更する。一方、位置情報であると判定した場合、情報変更部164は、位置情報に時刻情報が含まれている場合には、時刻情報を削除し、時刻情報を削除した位置情報をX社のサーバ400dへ転送する場合に、必要に応じて、該車両情報の粒度を変更する。具体的には、情報変更部164は、記憶部166に格納された保護レベル判定テーブル1666の保護レベルの欄に登録されている情報の粒度にしたがって、必要に応じて、車両情報又は位置情報を変更する。そして、情報変更部164は、必要に応じて、情報の粒度を変更した位置情報を、暗号化部172へ出力するとともに、補助情報生成部168に、位置情報を送信することを通知する情報である位置情報送信通知を出力する。ここで、情報変更部164は、一つのデータに対して指定されている保護レベルが複数あり、且つ異なる場合には、保護レベルが高い方を採用するようにしてもよい。例えば、センシティブ・ロケーション域内において速度超過があった場合の位置情報として、住所コード(都道府県・市区郡・町村コード)が最も保護レベルが高い場合、該住所コードが採用されてもよい。
情報変更部164は、CPUからの命令によって実現される。情報変更部164は、転送判定部162によって供給された車両情報が位置情報であるか否かを判定する。位置情報でないと判定した場合、情報変更部164は、車両情報をX社のサーバ400dへ転送する場合に、該車両情報の粒度を変更する。一方、位置情報であると判定した場合、情報変更部164は、位置情報に時刻情報が含まれている場合には、時刻情報を削除し、時刻情報を削除した位置情報をX社のサーバ400dへ転送する場合に、必要に応じて、該車両情報の粒度を変更する。具体的には、情報変更部164は、記憶部166に格納された保護レベル判定テーブル1666の保護レベルの欄に登録されている情報の粒度にしたがって、必要に応じて、車両情報又は位置情報を変更する。そして、情報変更部164は、必要に応じて、情報の粒度を変更した位置情報を、暗号化部172へ出力するとともに、補助情報生成部168に、位置情報を送信することを通知する情報である位置情報送信通知を出力する。ここで、情報変更部164は、一つのデータに対して指定されている保護レベルが複数あり、且つ異なる場合には、保護レベルが高い方を採用するようにしてもよい。例えば、センシティブ・ロケーション域内において速度超過があった場合の位置情報として、住所コード(都道府県・市区郡・町村コード)が最も保護レベルが高い場合、該住所コードが採用されてもよい。
補助情報生成部168は、情報変更部164が出力した位置情報送信通知を取得した場合に、X社のサーバ400dが、暗号化した位置情報を復号するときに使用する情報を生成する。以下、X社のサーバ400dが、暗号化した位置情報を復号するときに使用する情報を、補助情報という。補助情報生成部168は、生成した補助情報を、暗号鍵生成部170と暗号化部172へ出力する。
暗号鍵生成部170は、補助情報生成部168が出力した補助情報を取得した場合、情報開示ポリシーDB1668に記載されている開示情報のうち、情報の提供先であるX社のサーバ400dに関連付けられている開示情報を取得する。ここでは、情報の提供先であるX社のサーバ400dに関連付けられている開示情報が、M3時間経過後開示、つまりM3時間経過後が位置情報を開示するタイミングである場合について説明を続ける。暗号鍵生成部170は、取得した補助情報と開示情報とに基づいて、時限式暗号化方式によって、M3時間経過後に位置情報を復号可能に暗号化する共通鍵等の暗号鍵を生成する。暗号鍵生成部170は、乱数rを生成し、生成した乱数rと補助情報wと開示情報t0(=M3)とに基づいて、s=e(rP,wP)を演算する。ここで、e(rP,wP)は、ペアリングと呼ばれる演算であり、双線形写像を与える。Pは、楕円曲線上の点であり、rP,wPは、楕円曲線上での掛け算に相当する。そして、暗号鍵生成部170は、演算した結果sのハッシュ値等のダイジェスト値を位置情報の暗号鍵とする。暗号鍵生成部170は、暗号鍵を、暗号化部172へ出力する。
暗号化部172は、情報変更部164が出力した位置情報と暗号化部172が出力した暗号鍵とを取得する。暗号化部172は、暗号鍵で、情報の粒度を変更した位置情報を暗号化する。暗号化部172は、暗号化した結果を、通信部154へ出力する。通信部154は、暗号化した結果を送信する。そして、暗号化部172は、通信部154が暗号化した結果を送信してから、M2時間経過後(M3>M2)に、通信部154へ、補助情報を出力する。通信部154は、補助情報を送信する。
暗号鍵生成部170は、補助情報生成部168が出力した補助情報を取得した場合、情報開示ポリシーDB1668に記載されている開示情報のうち、情報の提供先であるX社のサーバ400dに関連付けられている開示情報を取得する。ここでは、情報の提供先であるX社のサーバ400dに関連付けられている開示情報が、M3時間経過後開示、つまりM3時間経過後が位置情報を開示するタイミングである場合について説明を続ける。暗号鍵生成部170は、取得した補助情報と開示情報とに基づいて、時限式暗号化方式によって、M3時間経過後に位置情報を復号可能に暗号化する共通鍵等の暗号鍵を生成する。暗号鍵生成部170は、乱数rを生成し、生成した乱数rと補助情報wと開示情報t0(=M3)とに基づいて、s=e(rP,wP)を演算する。ここで、e(rP,wP)は、ペアリングと呼ばれる演算であり、双線形写像を与える。Pは、楕円曲線上の点であり、rP,wPは、楕円曲線上での掛け算に相当する。そして、暗号鍵生成部170は、演算した結果sのハッシュ値等のダイジェスト値を位置情報の暗号鍵とする。暗号鍵生成部170は、暗号鍵を、暗号化部172へ出力する。
暗号化部172は、情報変更部164が出力した位置情報と暗号化部172が出力した暗号鍵とを取得する。暗号化部172は、暗号鍵で、情報の粒度を変更した位置情報を暗号化する。暗号化部172は、暗号化した結果を、通信部154へ出力する。通信部154は、暗号化した結果を送信する。そして、暗号化部172は、通信部154が暗号化した結果を送信してから、M2時間経過後(M3>M2)に、通信部154へ、補助情報を出力する。通信部154は、補助情報を送信する。
(サーバ)
図8は、実施形態に係るサーバの一例を示す機能ブロック図である。ここでは、サーバ400の機能のうち、プライバシー保護装置100が送信した暗号化した結果と補助情報とを受信し、暗号化した結果を復号することによって位置情報を取得する機能について説明する。
サーバ400は、通信部402と記憶部410と制御部430とを備える。
通信部402は、通信モジュールによって実現される。通信部402は、インターネット50を介して、プライバシー保護装置100、時報局500などの他の装置との間で通信を行う。具体的には、通信部402は、プライバシー保護装置100が送信した暗号化した結果を受信し、受信した暗号化した結果を、制御部430へ出力する。また、通信部402は、プライバシー保護装置100が送信した補助情報wを受信し、受信した補助情報wを、制御部430へ出力する。また、通信部402は、M3時間経過後に、時報局500が送信した電子署名が付加された時刻情報を受信し、受信した電子署名が付加された時刻情報を、制御部430へ出力する。
記憶部410は、プログラム412を記憶する。プログラム412は、制御部430を、取得部432と復号部434として機能させる。
制御部430は、例えばCPU等の演算処理装置によって構成され、記憶部410に記憶されたプログラム412を実行することにより、取得部432と復号部434として機能する。取得部432は、通信部402が出力した暗号化した結果を取得し、取得した暗号化した結果を、復号部434へ出力する。また、取得部432は、通信部402が出力した補助情報wを取得し、取得した補助情報wを、復号部434へ出力する。ここで、取得部432は、暗号化した結果を取得してからM2時間経過後に補助情報wを取得し、暗号化した結果を取得してからM3時間経過後に電子署名が付加された時刻情報を取得する。
復号部434は、取得部432が出力した暗号化した結果と補助情報wと電子署名が付加された時刻情報を取得した場合に、電子署名を検証する。復号部434は、電子署名の検証が成功した場合に、取得した補助情報wと時刻情報t0(=M3)とに基づいて、e(r(t0+x)P,w/(x+t0)P)=sを演算する。そして、復号部434、演算した結果sのハッシュ値等のダイジェスト値を位置情報の復号鍵とする。復号部434は、復号鍵で、暗号化した結果を復号することによって、位置情報を取得する。
図8は、実施形態に係るサーバの一例を示す機能ブロック図である。ここでは、サーバ400の機能のうち、プライバシー保護装置100が送信した暗号化した結果と補助情報とを受信し、暗号化した結果を復号することによって位置情報を取得する機能について説明する。
サーバ400は、通信部402と記憶部410と制御部430とを備える。
通信部402は、通信モジュールによって実現される。通信部402は、インターネット50を介して、プライバシー保護装置100、時報局500などの他の装置との間で通信を行う。具体的には、通信部402は、プライバシー保護装置100が送信した暗号化した結果を受信し、受信した暗号化した結果を、制御部430へ出力する。また、通信部402は、プライバシー保護装置100が送信した補助情報wを受信し、受信した補助情報wを、制御部430へ出力する。また、通信部402は、M3時間経過後に、時報局500が送信した電子署名が付加された時刻情報を受信し、受信した電子署名が付加された時刻情報を、制御部430へ出力する。
記憶部410は、プログラム412を記憶する。プログラム412は、制御部430を、取得部432と復号部434として機能させる。
制御部430は、例えばCPU等の演算処理装置によって構成され、記憶部410に記憶されたプログラム412を実行することにより、取得部432と復号部434として機能する。取得部432は、通信部402が出力した暗号化した結果を取得し、取得した暗号化した結果を、復号部434へ出力する。また、取得部432は、通信部402が出力した補助情報wを取得し、取得した補助情報wを、復号部434へ出力する。ここで、取得部432は、暗号化した結果を取得してからM2時間経過後に補助情報wを取得し、暗号化した結果を取得してからM3時間経過後に電子署名が付加された時刻情報を取得する。
復号部434は、取得部432が出力した暗号化した結果と補助情報wと電子署名が付加された時刻情報を取得した場合に、電子署名を検証する。復号部434は、電子署名の検証が成功した場合に、取得した補助情報wと時刻情報t0(=M3)とに基づいて、e(r(t0+x)P,w/(x+t0)P)=sを演算する。そして、復号部434、演算した結果sのハッシュ値等のダイジェスト値を位置情報の復号鍵とする。復号部434は、復号鍵で、暗号化した結果を復号することによって、位置情報を取得する。
<プライバシー保護装置の動作>
図9は、実施形態に係るプライバシー保護装置100の動作(その1)の一例を示す。図9に示される例では、X社のサーバ400dからX会社が要求する車両情報の一覧SP1がプライバシー保護装置100へ供給された後の動作を示す。
(ステップS102) 無線通信部152は、車両300に搭載された車載端末350によって送信される車両情報を収集する。
(ステップS104) 情報抽出部156は、ステップS102において収集した車両情報から、情報提供先、つまりX会社から要求される車両情報を抽出する。
(ステップS106) 事象判定部158は、プライバシー保護の対象外となる事象が発生しているか否かを判定する。プライバシー保護の対象外となる事象が発生していない場合にはステップS108へ移行し、発生している場合には図10のステップS202へ移行する。
(ステップS108) 情報判定部160は、ステップS104において抽出した車両情報がセンシティブ情報又はコンテキストセンシティブ情報であるか否かを判定する。車両情報がセンシティブ情報である場合にはステップS110へ移行し、車両情報がセンシティブ情報でない場合には図10のステップS208へ移行する。
(ステップS110) 転送判定部162は、ステップS104において抽出した車両情報をX社のサーバ400dへ提供するか否かを判定する。X社のサーバ400dへ提供しないと判定した場合には終了し、提供すると判定した場合にはステップS112へ移行する。
(ステップS112) 情報変更部164は、車両情報が位置情報であるか否かを判定する。車両情報が位置情報であると判定した場合にはステップS114へ移行し、車両情報が位置情報でないと判定した場合には図10のステップS206へ移行する。
図9は、実施形態に係るプライバシー保護装置100の動作(その1)の一例を示す。図9に示される例では、X社のサーバ400dからX会社が要求する車両情報の一覧SP1がプライバシー保護装置100へ供給された後の動作を示す。
(ステップS102) 無線通信部152は、車両300に搭載された車載端末350によって送信される車両情報を収集する。
(ステップS104) 情報抽出部156は、ステップS102において収集した車両情報から、情報提供先、つまりX会社から要求される車両情報を抽出する。
(ステップS106) 事象判定部158は、プライバシー保護の対象外となる事象が発生しているか否かを判定する。プライバシー保護の対象外となる事象が発生していない場合にはステップS108へ移行し、発生している場合には図10のステップS202へ移行する。
(ステップS108) 情報判定部160は、ステップS104において抽出した車両情報がセンシティブ情報又はコンテキストセンシティブ情報であるか否かを判定する。車両情報がセンシティブ情報である場合にはステップS110へ移行し、車両情報がセンシティブ情報でない場合には図10のステップS208へ移行する。
(ステップS110) 転送判定部162は、ステップS104において抽出した車両情報をX社のサーバ400dへ提供するか否かを判定する。X社のサーバ400dへ提供しないと判定した場合には終了し、提供すると判定した場合にはステップS112へ移行する。
(ステップS112) 情報変更部164は、車両情報が位置情報であるか否かを判定する。車両情報が位置情報であると判定した場合にはステップS114へ移行し、車両情報が位置情報でないと判定した場合には図10のステップS206へ移行する。
(ステップS114) 情報変更部164は、車両情報に時刻情報が含まれる場合に、時刻情報を削除する。
(ステップS115) 情報変更部164は、保護レベル判定テーブル1666の保護レベルの欄に登録された情報の粒度にしたがって、必要に応じて、車両情報を変更する。
(ステップS116) 暗号鍵生成部170は、補助情報生成部168が生成した補助情報と情報開示ポリシー1668に記憶されているサーバ400dに関連付けられている開示情報とに基づいて、暗号鍵を生成する。
(ステップS118) 暗号化部172は、暗号鍵で、車両情報を暗号化する。
(ステップS120) 通信部154は、車両情報を暗号化した結果を含むメッセージセットを作成する。
(ステップS122) 通信部154は、X社のサーバ400dへ、作成したメッセージセットを送信する。
(ステップS124) 暗号化部172は、X社のサーバ400dに関連付けられている時刻関連情報で示される時間が経過したか否かを判定することによって、補助時間を送信する時間であるか否かを判定する。補助時間を送信する時間でない場合にはステップS124へ戻り、補助時間を送信する時間である場合にはステップS126へ移行する。
(ステップS126) 暗号化部172は、補助情報を送信する。
(ステップS115) 情報変更部164は、保護レベル判定テーブル1666の保護レベルの欄に登録された情報の粒度にしたがって、必要に応じて、車両情報を変更する。
(ステップS116) 暗号鍵生成部170は、補助情報生成部168が生成した補助情報と情報開示ポリシー1668に記憶されているサーバ400dに関連付けられている開示情報とに基づいて、暗号鍵を生成する。
(ステップS118) 暗号化部172は、暗号鍵で、車両情報を暗号化する。
(ステップS120) 通信部154は、車両情報を暗号化した結果を含むメッセージセットを作成する。
(ステップS122) 通信部154は、X社のサーバ400dへ、作成したメッセージセットを送信する。
(ステップS124) 暗号化部172は、X社のサーバ400dに関連付けられている時刻関連情報で示される時間が経過したか否かを判定することによって、補助時間を送信する時間であるか否かを判定する。補助時間を送信する時間でない場合にはステップS124へ戻り、補助時間を送信する時間である場合にはステップS126へ移行する。
(ステップS126) 暗号化部172は、補助情報を送信する。
図10は、実施形態に係るプライバシー保護装置100の動作(その2)の一例を示す。図10に示される例では、図9のステップS106において、プライバシー保護の対象外となる事象が発生している場合の動作が示される。
(ステップS202) 情報判定部160は、ステップS104において抽出した車両情報がセンシティブ情報であるか否かを判定する。車両情報がセンシティブ情報でない場合、ステップS204へ移行する。
(ステップS204) 転送判定部162は、ステップS104において抽出した車両情報を情報提供先へ提供するか否かを判定する。情報提供先へ提供しないと判定した場合には終了し、提供すると判定した場合にはステップS206へ移行する。
(ステップS206) 情報変更部164は、保護レベル判定テーブル1666の保護レベルの欄に登録された情報の粒度にしたがって、必要に応じて、車両情報を変更する。
(ステップS208) 通信部154は、車両情報を暗号化した結果を含むメッセージセットを作成する。
(ステップS210) 通信部154は、X社のサーバ400dへ、作成したメッセージセットを送信する。
図9−図10に示されるフローチャートは一例であり、図9−図10とは異なる順序で処理が行われてもよい。例えば、ステップS106と、ステップS108、ステップS110、及びステップS112の順序が入れ替えられてもよい。
(ステップS202) 情報判定部160は、ステップS104において抽出した車両情報がセンシティブ情報であるか否かを判定する。車両情報がセンシティブ情報でない場合、ステップS204へ移行する。
(ステップS204) 転送判定部162は、ステップS104において抽出した車両情報を情報提供先へ提供するか否かを判定する。情報提供先へ提供しないと判定した場合には終了し、提供すると判定した場合にはステップS206へ移行する。
(ステップS206) 情報変更部164は、保護レベル判定テーブル1666の保護レベルの欄に登録された情報の粒度にしたがって、必要に応じて、車両情報を変更する。
(ステップS208) 通信部154は、車両情報を暗号化した結果を含むメッセージセットを作成する。
(ステップS210) 通信部154は、X社のサーバ400dへ、作成したメッセージセットを送信する。
図9−図10に示されるフローチャートは一例であり、図9−図10とは異なる順序で処理が行われてもよい。例えば、ステップS106と、ステップS108、ステップS110、及びステップS112の順序が入れ替えられてもよい。
<サーバの動作>
図11は、実施形態に係るサーバの動作の一例を示す。図11に示される例では、プライバシー保護装置100が送信した暗号化した結果を、X社のサーバ400dが受信した後の動作を示す。
(ステップS302) 通信部402は、プライバシー保護装置100が送信した車両情報を受信する。この車両情報は、暗号化されている。
(ステップS304) 復号部434は、車両情報を受信してから時間M4が経過したか否かを判定する。ここで、時間M4は、時間M3よりも長い時間である。時間M4が経過していない場合にはステップS306へ移行し、時間M4が経過している場合には終了する。終了した場合、X社のサーバ400dは位置情報を取得できなかったことになる。
(ステップS306) 復号部434は、補助情報を受信したか否かを判定する。具体的には、復号部434は、車両情報を受信してからM2時間経過後に、補助情報を受信したか否かを判定する。補助情報を受信した場合にはステップS308へ移行し、受信していない場合にはステップS304へ移行する。
(ステップS308) 復号部434は、電子署名が付加された時刻情報を取得する。具体的には、復号部434は、車両情報を受信してからM3時間経過後に、電子署名が付加された時刻情報を取得する。
(ステップS310) 復号部434は、時刻情報と補助情報とに基づいて、復号鍵を生成する。
(ステップS312) 復号部434は、ステップS302で受信した車両情報を、復号する。
図11は、実施形態に係るサーバの動作の一例を示す。図11に示される例では、プライバシー保護装置100が送信した暗号化した結果を、X社のサーバ400dが受信した後の動作を示す。
(ステップS302) 通信部402は、プライバシー保護装置100が送信した車両情報を受信する。この車両情報は、暗号化されている。
(ステップS304) 復号部434は、車両情報を受信してから時間M4が経過したか否かを判定する。ここで、時間M4は、時間M3よりも長い時間である。時間M4が経過していない場合にはステップS306へ移行し、時間M4が経過している場合には終了する。終了した場合、X社のサーバ400dは位置情報を取得できなかったことになる。
(ステップS306) 復号部434は、補助情報を受信したか否かを判定する。具体的には、復号部434は、車両情報を受信してからM2時間経過後に、補助情報を受信したか否かを判定する。補助情報を受信した場合にはステップS308へ移行し、受信していない場合にはステップS304へ移行する。
(ステップS308) 復号部434は、電子署名が付加された時刻情報を取得する。具体的には、復号部434は、車両情報を受信してからM3時間経過後に、電子署名が付加された時刻情報を取得する。
(ステップS310) 復号部434は、時刻情報と補助情報とに基づいて、復号鍵を生成する。
(ステップS312) 復号部434は、ステップS302で受信した車両情報を、復号する。
(位置情報の暗号化、及び復号処理)
前述したプライバシー保護装置100が実行する位置情報の暗号化処理、サービス提供者のサーバ400が実行する位置情報を暗号化した結果を復号する処理について説明する。(G1,+),(G2,×)をそれぞれ離散対数問題が困難な群とする。
e:G1×G1→G2をペアリング写像とする。つまり、e(nP,Q)=e(P,nQ)が成り立つ。
また、ペアリング演算では、式(1)が成り立つ。
e(xP,yP)=e(yP,xP)=e(P,P)^xy (1)
時報局500は、自然数xを秘密鍵とし、P∈G1(G1に含まれるP)を選択して(P,xP)を公開鍵として公開する。時報局500は、現在時刻tに対して、(t,1/(x+t)P)を正式な時報として毎秒発行する。
サーバ400は、e(1/(x+t)P,xP+tP)=e(P,P)が成立する場合に、署名が正式であると判定する。
プライバシー保護装置100は、乱数rと補助情報wとプライバシー要件によって定められた時刻t0を選択し、s=e(rP,wP)を計算する。プライバシー保護装置100は、計算した結果sのハッシュ値を位置情報の暗号鍵として、共通鍵暗号等の暗号化方式を用いて、C=E_s(P)のように暗号化する。暗号化された位置情報には、(t0,r(t0+x)P)をヘッダとして付加する。プライバシー保護装置100は、M2時間経過した後に、補助情報wをサービス提供者に送付する。
サーバ400は、M2時間経過した後に、補助情報wを受信する。また、サーバ400は、時刻t0になると正式な時報につけられた署名データ1/(x+t0)Pを時報局500から取得できる。このため、サーバ400は、e(r(t0+x)P,w/(x+t0)P)=e(rP,wP)^((t0+x)/(x+t0))=e(rP,wP)=sを計算し、計算によって得られたsのハッシュ値から復号鍵を導出できるため、位置情報を復号できる。
前述したプライバシー保護装置100が実行する位置情報の暗号化処理、サービス提供者のサーバ400が実行する位置情報を暗号化した結果を復号する処理について説明する。(G1,+),(G2,×)をそれぞれ離散対数問題が困難な群とする。
e:G1×G1→G2をペアリング写像とする。つまり、e(nP,Q)=e(P,nQ)が成り立つ。
また、ペアリング演算では、式(1)が成り立つ。
e(xP,yP)=e(yP,xP)=e(P,P)^xy (1)
時報局500は、自然数xを秘密鍵とし、P∈G1(G1に含まれるP)を選択して(P,xP)を公開鍵として公開する。時報局500は、現在時刻tに対して、(t,1/(x+t)P)を正式な時報として毎秒発行する。
サーバ400は、e(1/(x+t)P,xP+tP)=e(P,P)が成立する場合に、署名が正式であると判定する。
プライバシー保護装置100は、乱数rと補助情報wとプライバシー要件によって定められた時刻t0を選択し、s=e(rP,wP)を計算する。プライバシー保護装置100は、計算した結果sのハッシュ値を位置情報の暗号鍵として、共通鍵暗号等の暗号化方式を用いて、C=E_s(P)のように暗号化する。暗号化された位置情報には、(t0,r(t0+x)P)をヘッダとして付加する。プライバシー保護装置100は、M2時間経過した後に、補助情報wをサービス提供者に送付する。
サーバ400は、M2時間経過した後に、補助情報wを受信する。また、サーバ400は、時刻t0になると正式な時報につけられた署名データ1/(x+t0)Pを時報局500から取得できる。このため、サーバ400は、e(r(t0+x)P,w/(x+t0)P)=e(rP,wP)^((t0+x)/(x+t0))=e(rP,wP)=sを計算し、計算によって得られたsのハッシュ値から復号鍵を導出できるため、位置情報を復号できる。
(適用例)
データ或いはデータ群の転送対象として、時刻と位置情報とが含まれる場合、データ或いはデータ群を転送するプライバシー保護装置100は、車両のイグニッション・キーがオンにされ、走行を開始してからM1時間の間は、時刻と位置情報を転送対象から除外する。これによって、家等の車両の出発地点の位置情報が、サービス提供者へ送信されることを防ぐことができるため、プライバシーリスクを避けることができる。
さらに、データ或いはデータ群の転送対象として、時刻と位置情報が含まれる場合、データ或いはデータ群を転送するプライバシー保護装置100は、車両のイグニッション・キーがオフにされ、走行を停止したと判断される場合には、停止する前のM2時間の間、暗号化した結果を復号するのに必要とされる補助情報の送付を停止する。なお、M1は、出発地近傍の車両保管台数及び走行車両台数の統計と利用者の知られたくない度合い(N)によって決定される。これによって、家等の車両の到着地点の位置情報が、サービス提供者へ送信されることを防ぐことができるため、プライバシーリスクを避けることができる。
一方、データ或いはデータ群の転送対象として、時刻と位置情報とが含まれる場合、プライバシー保護装置100は、利用者によって予め指定された「情報保護対象外事象」が発生し、所定の機関・団体等からの開示リクエストを受領した場合には、すべての情報を所定の機関・団体に対して、開示する。これによって、異常が発生し緊急の場合には、サービス提供者に、情報を、直ちに通知することができる。
データ或いはデータ群の転送対象として、時刻と位置情報とが含まれる場合、データ或いはデータ群を転送するプライバシー保護装置100は、車両のイグニッション・キーがオンにされ、走行を開始してからM1時間の間は、時刻と位置情報を転送対象から除外する。これによって、家等の車両の出発地点の位置情報が、サービス提供者へ送信されることを防ぐことができるため、プライバシーリスクを避けることができる。
さらに、データ或いはデータ群の転送対象として、時刻と位置情報が含まれる場合、データ或いはデータ群を転送するプライバシー保護装置100は、車両のイグニッション・キーがオフにされ、走行を停止したと判断される場合には、停止する前のM2時間の間、暗号化した結果を復号するのに必要とされる補助情報の送付を停止する。なお、M1は、出発地近傍の車両保管台数及び走行車両台数の統計と利用者の知られたくない度合い(N)によって決定される。これによって、家等の車両の到着地点の位置情報が、サービス提供者へ送信されることを防ぐことができるため、プライバシーリスクを避けることができる。
一方、データ或いはデータ群の転送対象として、時刻と位置情報とが含まれる場合、プライバシー保護装置100は、利用者によって予め指定された「情報保護対象外事象」が発生し、所定の機関・団体等からの開示リクエストを受領した場合には、すべての情報を所定の機関・団体に対して、開示する。これによって、異常が発生し緊急の場合には、サービス提供者に、情報を、直ちに通知することができる。
前述した実施形態において、プライバシー保護装置100は、インターネットへのアクセスログを一定数保存するようにしてもよい。そして、利用者によってアクセスログの全て、或いは一部を削除すること、並びに特定のサイトへのアクセスを禁じることができるようにしてもよい。また、プライバシー保護装置100は、指定された通信プロトコル以外の通信プロトコルにおいて、原データ或いはデータ群を転送先に伝送することを禁じるようにしてもよい。また、プライバシー保護装置100は、指定されたデータフォーマット以外のデータフォーマットにおいて、原データ或いはデータ群を転送先に伝送することを禁じるようにしてもよい。
また、プライバシー保護装置100は、提供先によって収集された車両情報を第三者へ提供する場合等の二次利用に関する事前承諾が、提供先から利用者へ求められた場合に、利用者に代行して回答するようにしてもよい。この場合、プライバシー保護装置100は、以下の(イ)、(ロ)、及び(ハ)の場合には二次利用を禁止する回答を返信してもよい。
(イ) 第三者が、利用者の意向により二次利用を禁じられている場合
(ロ) 第三者が、プライバシー保護装置において既に転送先である場合
(ハ) 第三者が、プライバシー保護装置において過去に転送先であり、その転送期間に二次利用データの対象期間が含まれる場合
また、プライバシー保護装置100は、提供先によって収集された車両情報を第三者へ提供する場合等の二次利用に関する事前承諾が、提供先から利用者へ求められた場合に、利用者に代行して回答するようにしてもよい。この場合、プライバシー保護装置100は、以下の(イ)、(ロ)、及び(ハ)の場合には二次利用を禁止する回答を返信してもよい。
(イ) 第三者が、利用者の意向により二次利用を禁じられている場合
(ロ) 第三者が、プライバシー保護装置において既に転送先である場合
(ハ) 第三者が、プライバシー保護装置において過去に転送先であり、その転送期間に二次利用データの対象期間が含まれる場合
前述した実施形態においては、サービス提供者へ直ちに通知することでプライバシーリスクにつながるおそれがあり、且つ緊急の場合には直ちに通知する情報の一例として、位置情報を適用した場合について説明したが、この例に限られない。例えば、位置情報以外の情報に適用することもできる。
前述した実施形態においては、プライバシー保護装置100が、開示情報と補助情報とに基づいて、時限式暗号方式によって暗号鍵を生成し、生成した暗号鍵で、位置情報を暗号化する場合について説明したが、この例に限られない。例えば、プライバシー保護装置100は、開示情報に基づいて、時限式暗号方式によって暗号鍵を生成し、生成した暗号鍵で、位置情報を暗号化するようにしてもよい。このように構成することによって、車両情報の提供先は、補助情報を受信することなく、開示情報で示される開示するタイミングで、暗号化した結果を復号できる。
前述した実施形態においては、利用者識別ID、及び情報の提供先毎に情報の粒度を変更する場合について説明したが、この例に限られない。例えば、車載端末350に搭載されているアプリケーション毎に情報の粒度を変更するようにしてもよい。さらに、プライバシー保護装置100では、プライバシー保護対象外の事象が発生しているか否かを判定できない場合には、車載端末350で判定されてもよいし、車載端末350以外の装置によって判定されてもよい。
前述した実施形態においては、パーソナルデータ送出装置200が通信ネットワーク20に接続される場合について説明したが、通信ネットワーク20に限られず、インターネット50に接続されてもよい。また、前述した実施形態においては、プライバシー保護装置100がインターネット50に接続される場合について説明したが、インターネットに限られず、インターネット以外のネットワークに接続されてもよい。さらに、パーソナルデータ送出装置200が、インターネット以外のネットワークに接続されてもよい。
前述した実施形態において、M1時間、M2時間、M3時間は、秒で表されてもよいし分で表されてもよい。
前述した実施形態においては、プライバシー保護装置100が、開示情報と補助情報とに基づいて、時限式暗号方式によって暗号鍵を生成し、生成した暗号鍵で、位置情報を暗号化する場合について説明したが、この例に限られない。例えば、プライバシー保護装置100は、開示情報に基づいて、時限式暗号方式によって暗号鍵を生成し、生成した暗号鍵で、位置情報を暗号化するようにしてもよい。このように構成することによって、車両情報の提供先は、補助情報を受信することなく、開示情報で示される開示するタイミングで、暗号化した結果を復号できる。
前述した実施形態においては、利用者識別ID、及び情報の提供先毎に情報の粒度を変更する場合について説明したが、この例に限られない。例えば、車載端末350に搭載されているアプリケーション毎に情報の粒度を変更するようにしてもよい。さらに、プライバシー保護装置100では、プライバシー保護対象外の事象が発生しているか否かを判定できない場合には、車載端末350で判定されてもよいし、車載端末350以外の装置によって判定されてもよい。
前述した実施形態においては、パーソナルデータ送出装置200が通信ネットワーク20に接続される場合について説明したが、通信ネットワーク20に限られず、インターネット50に接続されてもよい。また、前述した実施形態においては、プライバシー保護装置100がインターネット50に接続される場合について説明したが、インターネットに限られず、インターネット以外のネットワークに接続されてもよい。さらに、パーソナルデータ送出装置200が、インターネット以外のネットワークに接続されてもよい。
前述した実施形態において、M1時間、M2時間、M3時間は、秒で表されてもよいし分で表されてもよい。
また、前述した実施形態においては、プライバシー保護装置100が、データを、インターネット50を経由して転送先T01、転送先T02、・・・、転送先T0Mのいずれか、或いは複数の転送先へ転送すると判定した場合に、当該データをパーソナルデータ送出装置200にプライバシー保護装置100への送出を許可する場合について説明したが、この例に限られない。例えば、パーソナルデータ送出装置200は、プライバシー保護装置に全ての情報を(重複がないように)送信してもよい。この場合、プライバシー保護装置100は、パーソナルデータ送出装置200が送信したデータについて、転送可否、粒度変更を行う。このように構成することによって、パーソナルデータ送出装置200、及びプライバシー保護装置100を単純化或いは低コスト化することができる。
実施形態に係る通信システムによれば、提供元から提供先へ、プライバシー保護装置を経由して車両情報が送信される。プライバシー保護装置は、提供元から複数の車両情報を取集し、提供先毎に、提供元の意向に基づいて、車両情報が、提供先へ直ちに通知することでプライバシーリスクにつながるおそれがあり、且つ緊急の場合には直ちに通知する情報に該当する場合に、車両情報の変更や、削除を行い、変更した車両情報を暗号化して配信できる。
実施形態に係る通信システムによれば、車載端末350とサービス提供者との間に、プライバシー保護装置100を備えることによって、プライバシー保護装置100は、車両の走行中もサービスを享受するために、プライバシーポリシーにしたがって、ユーザの意思を代行する。このため、車載端末350とGWとの間のデータ伝送を削減することができる。
実施形態に係る通信システムによれば、プライバシー保護装置100は、位置情報等の提供先へ直ちに通知することでプライバシーリスクにつながるおそれがあり、且つ緊急の場合には直ちに通知する情報を送付する際の開示情報を定め、定めた開示情報にしたがって、時限式暗号方式等で暗号化を行い、暗号化した結果を送付する。このように構成することによって、サービスの形態やプライバシー要件に基づいて、サービス提供者が位置情報を取得できる時間をコントロールすることができる。
実施形態に係る通信システムによれば、車載端末350とサービス提供者との間に、プライバシー保護装置100を備えることによって、プライバシー保護装置100は、車両の走行中もサービスを享受するために、プライバシーポリシーにしたがって、ユーザの意思を代行する。このため、車載端末350とGWとの間のデータ伝送を削減することができる。
実施形態に係る通信システムによれば、プライバシー保護装置100は、位置情報等の提供先へ直ちに通知することでプライバシーリスクにつながるおそれがあり、且つ緊急の場合には直ちに通知する情報を送付する際の開示情報を定め、定めた開示情報にしたがって、時限式暗号方式等で暗号化を行い、暗号化した結果を送付する。このように構成することによって、サービスの形態やプライバシー要件に基づいて、サービス提供者が位置情報を取得できる時間をコントロールすることができる。
前述した実施形態において、車載端末は、複数のアプリケーションが、個別に車両情報を取得し、情報の提供先に転送する場合に比べ、プライバシー保護装置100へ送信することによって、車載端末によって出力されるデータの伝送量を低減できるとともに、効率化できる。さらに、車両情報の変更は、解像度、精度、鮮度等の情報の粒度を変更することによって実現される。ユーザは、適用する情報の粒度について、どの程度抽象化した概念を採用するのかについて自己の状況に応じて選択できる。例えば、ユーザは、位置情報については緯度経度の桁数や市町村名、時刻については時分秒や朝昼夕晩等、自己の状況については平時であるのか、緊急事態等の特別な事象が発生した場合であるのかに応じて選択できる。
実施形態に係るプライバシー保護装置は、車両、及び車載端末から供給される車両情報に限定するものではなく、あらゆる端末装置によって供給される情報も収容し、前述した機能を提供することができる。これによって、多種多様なものがネットワークに接続されるようなIoT(Internet of Things)が適用される環境において、利用者がプライバシー保護のために生じる負担を一層軽減することができる。
前述した実施の形態において、車載端末は端末装置の一例であり、車載情報は情報の一例であり、X社のサーバ400dは提供先の一例であり、コンテキストは情報の組み合わせの一例であり、通信部は送信部の一例であり、パーソナルデータ送出装置200は取得部の一例である。
本発明は特定の実施例、変形例を参照しながら説明されてきたが、各実施例、変形例は単なる例示に過ぎず、当業者は様々な変形例、修正例、代替例、置換例等を理解するであろう。説明の便宜上、本発明の実施例に従った装置は機能的なブロック図を用いて説明されたが、そのような装置はハードウェアで、ソフトウェアでまたはそれらの組み合わせで実現されてもよい。本発明は上記実施例に限定されず、本発明の精神から逸脱することなく、様々な変形例、修正例、代替例、置換例等が包含される。
実施形態に係るプライバシー保護装置は、車両、及び車載端末から供給される車両情報に限定するものではなく、あらゆる端末装置によって供給される情報も収容し、前述した機能を提供することができる。これによって、多種多様なものがネットワークに接続されるようなIoT(Internet of Things)が適用される環境において、利用者がプライバシー保護のために生じる負担を一層軽減することができる。
前述した実施の形態において、車載端末は端末装置の一例であり、車載情報は情報の一例であり、X社のサーバ400dは提供先の一例であり、コンテキストは情報の組み合わせの一例であり、通信部は送信部の一例であり、パーソナルデータ送出装置200は取得部の一例である。
本発明は特定の実施例、変形例を参照しながら説明されてきたが、各実施例、変形例は単なる例示に過ぎず、当業者は様々な変形例、修正例、代替例、置換例等を理解するであろう。説明の便宜上、本発明の実施例に従った装置は機能的なブロック図を用いて説明されたが、そのような装置はハードウェアで、ソフトウェアでまたはそれらの組み合わせで実現されてもよい。本発明は上記実施例に限定されず、本発明の精神から逸脱することなく、様々な変形例、修正例、代替例、置換例等が包含される。
20…通信ネットワーク、50…インターネット、100…プライバシー保護装置、152…無線通信部、154…通信部、156…情報抽出部、158…事象判定部、160…情報判定部、162…転送判定部、164…情報変更部、166…記憶部、168…補助情報生成部、170…暗号鍵生成部、172…暗号化部、1662…プライバシー保護対象外事象判定テーブル、1664…センシティブ情報判定テーブル、1666…保護レベル判定テーブル、1668…情報開示ポリシー、200…パーソナルデータ送出装置、300…車両、310a、310b、310c、310d…ECU、315…CAN、320…G/W、330…GPS、340…Data Broker、350…車載端末、352…HW+OS、354…Web runtime、355…パーソナルデータ送出アプリケーション・プログラム、400a…道路交通情報サーバ、400b…データセンターのサーバ、400c…保険会社・ロードサービス会社のサーバ、400d…X社のサーバ、402…通信部、410…記憶部、412…プログラム、430…制御部、432…取得部、434…復号部、500…時報局
Claims (10)
- 端末装置が送信した複数の情報から、提供先が要求する情報又は情報の組み合わせを抽出する情報抽出部と、
前記情報抽出部が抽出した情報又は情報の組み合わせがセンシティブ情報に該当するか否かを判定する情報判定部と、
前記情報判定部がセンシティブ情報に該当すると判定した情報又は情報の組み合わせについて、前記提供先へ送信するか否かを判定する転送判定部と、
前記転送判定部が前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを開示するタイミングを示す開示情報に基づいて、暗号鍵を生成する暗号鍵生成部と、
前記転送判定部が前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを、前記暗号鍵で暗号化する暗号化部と、
前記暗号化部が前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを暗号化した結果を、前記提供先へ送信する送信部と
を備える、プライバシー保護装置。 - 補助情報を生成する補助情報生成部
を備え、
前記暗号鍵生成部は、前記補助情報生成部が生成した前記補助情報と前記開示情報とに基づいて、前記暗号鍵を生成し、
前記送信部は、前記暗号化部が前記提供先へ送信すると判定した前記情報又は前記開示情報の組み合わせを暗号化した結果と前記補助情報とを別々に、前記提供先へ送信する、請求項1に記載のプライバシー保護装置。 - 前記転送判定部によって前記提供先へ送信すると判定された前記情報又は前記情報の組み合わせについて、前記情報又は前記情報の組み合わせの粒度を変更する情報変更部
を備え、
前記暗号化部は、前記情報変更部によって情報の粒度が変更された前記情報又は前記情報の組み合わせを、前記暗号鍵で暗号化する、請求項1に記載のプライバシー保護装置。 - 提供先へ送信する情報の保護のレベルを記憶する記憶部
を備え、
前記情報変更部は、前記記憶部に記憶された情報の保護のレベルに応じて、前記情報抽出部によって抽出された前記情報又は前記情報の組み合わせの粒度を変更する、請求項3に記載のプライバシー保護装置。 - 前記情報変更部は、所定の事象が発生しない場合に、前記情報又は前記情報の組み合わせの粒度を変更する、請求項3又は請求項4に記載のプライバシー保護装置。
- 前記情報変更部は、前記情報判定部によってセンシティブ情報に該当すると判定された前記情報又は前記情報の組み合わせの解像度、精度、又は鮮度を変更する、請求項3から請求項5のいずれか1項に記載のプライバシー保護装置。
- 補助情報を生成する補助情報生成部
を備え、
前記暗号鍵生成部は、前記補助情報生成部が生成した前記補助情報と前記開示情報とに基づいて、前記暗号鍵を生成し、
前記暗号化部は、前記情報変更部によって情報の粒度が変更された前記情報又は前記情報の組み合わせを、前記暗号鍵で暗号化し、
前記送信部は、前記暗号化部が前記情報の粒度が変更された情報又は情報の組み合わせ
を暗号化した結果と前記補助情報とを別々に、前記提供先へ送信する、請求項3から請求項6のいずれか一項に記載のプライバシー保護装置。 - 前記暗号化部は、時限式暗号化方式によって暗号化する、請求項1から請求項7のいずれか一項に記載のプライバシー保護装置。
- プライバシー保護装置が実行するプライバシー保護方法であって、
端末装置が送信した複数の情報から、提供先が要求する情報又は情報の組み合わせを抽出するステップと、
前記抽出するステップで抽出した情報又は情報の組み合わせがセンシティブ情報に該当するか否かを判定するステップと、
前記センシティブ情報に該当すると判定した情報又は情報の組み合わせについて、前記提供先へ送信するか否かを判定するステップと、
前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを開示するタイミングを示す開示情報に基づいて、暗号鍵を生成するステップと、
前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを、前記暗号鍵で暗号化するステップと、
前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを暗号化した結果を、前記提供先へ送信するステップと
を有する、プライバシー保護方法。 - プライバシー保護装置のコンピュータに、
端末装置が送信した複数の情報から、提供先が要求する情報又は情報の組み合わせを抽出するステップと、
前記抽出するステップで抽出した情報又は情報の組み合わせがセンシティブ情報に該当するか否かを判定するステップと、
前記センシティブ情報に該当すると判定した情報又は情報の組み合わせについて、前記提供先へ送信するか否かを判定するステップと、
前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを開示するタイミングを示す開示情報に基づいて、暗号鍵を生成するステップと、
前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを、前記暗号鍵で暗号化するステップと、
前記提供先へ送信すると判定した前記情報又は前記情報の組み合わせを暗号化した結果を、前記提供先へ送信するステップと
を実行させる、プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017073948A JP6803291B2 (ja) | 2017-04-03 | 2017-04-03 | プライバシー保護装置、プライバシー保護方法、及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017073948A JP6803291B2 (ja) | 2017-04-03 | 2017-04-03 | プライバシー保護装置、プライバシー保護方法、及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018180600A JP2018180600A (ja) | 2018-11-15 |
| JP6803291B2 true JP6803291B2 (ja) | 2020-12-23 |
Family
ID=64275433
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017073948A Active JP6803291B2 (ja) | 2017-04-03 | 2017-04-03 | プライバシー保護装置、プライバシー保護方法、及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6803291B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7458805B2 (ja) * | 2020-02-03 | 2024-04-01 | 日本放送協会 | 情報処理装置、情報処理システム、及びプログラム |
| CN111556339B (zh) * | 2020-04-15 | 2022-04-08 | 长沙学院 | 一种基于敏感信息度量的视频信息隐私保护系统及方法 |
| JP7105283B2 (ja) * | 2020-09-08 | 2022-07-22 | ソフトバンク株式会社 | 情報送信装置及びプログラム |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5076955B2 (ja) * | 2008-02-20 | 2012-11-21 | 日本電気株式会社 | 通信システム、通信装置、通信方法 |
| JP2013057995A (ja) * | 2011-09-07 | 2013-03-28 | Ntt Data Corp | 情報公開システム、情報公開サーバ、運転ユーザ端末、情報公開方法 |
-
2017
- 2017-04-03 JP JP2017073948A patent/JP6803291B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018180600A (ja) | 2018-11-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Raya et al. | Securing vehicular communications | |
| JP6706965B2 (ja) | 通信システム、端末装置、プライバシー保護装置、プライバシー保護方法、及びプログラム | |
| US11652643B2 (en) | Verification method, verification apparatus, and storage medium including program stored therein | |
| US20200151971A1 (en) | Ledger management device, ledger management system, and vehicle-mounted information provision device | |
| CN111149324A (zh) | 用于管理具有链接值的数字证书的密码学方法和系统 | |
| WO2012056688A1 (ja) | 端末装置 | |
| JP2017536787A (ja) | 公道上のパーキングスペースを管理するための方法 | |
| US11314893B2 (en) | Systems and methods for securing personally identifiable information within telematics data | |
| JP6803291B2 (ja) | プライバシー保護装置、プライバシー保護方法、及びプログラム | |
| JP2021510481A (ja) | デジタル認証書の撤回のための活性化コードを用いた暗号化方法及びそのシステム | |
| CN105323753A (zh) | 车内安全模块、车载系统与车辆间进行信息交互的方法 | |
| US20230246849A1 (en) | Verification method, verification apparatus, and storage medium including program stored therein | |
| WO2021159488A1 (en) | A method of vehicle permanent id report triggering and collecting | |
| JP6233041B2 (ja) | 無線通信装置および無線通信方法 | |
| CN115004271A (zh) | 用于在蜂窝车辆到一切(c-v2x)消息中嵌入受保护车辆标识符信息的方法 | |
| US11704107B2 (en) | Software updates based on transport-related actions | |
| JP7491470B2 (ja) | ゾーンベースのブロックチェーンシステム、及びゾーンベースのブロックチェーンシステムを運用するための方法 | |
| US20220274593A1 (en) | Transport-related object avoidance | |
| US11870557B2 (en) | Process for generating transport keys for data communication based on actions performed by a transport | |
| KR101046907B1 (ko) | 차량용 블랙박스 데이터의 하이브리드 프록시 기반 접근 제어 장치 및 그 방법 | |
| WO2023074072A1 (ja) | データ保存システム、移動体、及びデータ保存プログラム | |
| US11503114B2 (en) | Provisioning of event-based keys to transports | |
| WO2023136288A1 (ja) | データ保存装置、移動体、及びデータ削除プログラム | |
| US20240054563A1 (en) | Auto insurance system | |
| US20240182038A1 (en) | Vehicle functionality based on road segments |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170404 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190610 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200318 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200421 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200612 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20201124 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20201130 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6803291 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |