JP6839890B2 - 情報管理方法および情報管理システム - Google Patents

情報管理方法および情報管理システム Download PDF

Info

Publication number
JP6839890B2
JP6839890B2 JP2019227294A JP2019227294A JP6839890B2 JP 6839890 B2 JP6839890 B2 JP 6839890B2 JP 2019227294 A JP2019227294 A JP 2019227294A JP 2019227294 A JP2019227294 A JP 2019227294A JP 6839890 B2 JP6839890 B2 JP 6839890B2
Authority
JP
Japan
Prior art keywords
information
user
history
server
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019227294A
Other languages
English (en)
Other versions
JP2020047308A (ja
Inventor
勇二 海上
勇二 海上
大森 基司
基司 大森
英生 梅谷
英生 梅谷
路子 笹川
路子 笹川
磯貝 和範
和範 磯貝
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Publication of JP2020047308A publication Critical patent/JP2020047308A/ja
Application granted granted Critical
Publication of JP6839890B2 publication Critical patent/JP6839890B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/02Marketing; Price estimation or determination; Fundraising
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • Finance (AREA)
  • Development Economics (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Game Theory and Decision Science (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • General Business, Economics & Management (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、情報管理方法および情報管理システムに関する。
近年、家庭内の家電やAV機器がネットワークに接続されており、そこからクラウドに各種履歴情報(ユーザの家電の使用履歴や、TVの視聴履歴といった、いわゆる、ライフログ情報)が収集されている。そのため、クラウドに収集されたライフログ情報を用いたサービスの提供が期待されている。例えば、クラウドに収集したライフログ情報を活用し、さらにサービスプロバイダと連携することで、当該ユーザのライフスタイルに適した個人向けサービスの提供や統計情報を用いてマーケット分析を行うサービスの提供などが期待されている。
しかし、ライフログ情報は当該ユーザのプライバシに関連しているため、ライフログ情報に含まれる個人情報は当該ユーザの許可なく第三者には提供できない。
そのため、サービス提供者に対してユーザの匿名性を実現しつつ、サービスを提供する方法が提案されている(例えば特許文献1)。特許文献1では、オンライン取引において、匿名の利用者にサービスを提供する方法が提案されている。
特開2009−159317号公報
しかしながら、上記従来の方法では、提供するサービスが当該ユーザに対するサービスであるか検証できないという問題がある。つまり、サービス提供者が、異なるユーザへのサービスを当該ユーザに提供しようとする場合であっても、提供しようとするユーザが当該ユーザであることを検証できない。そのため、当該ユーザに適切なサービスが提供できないことが生じうる。
本発明は、上述の事情を鑑みてなされたもので、ユーザの匿名性を確保しつつ、当該ユーザに適切なサービスを提供することができる情報管理方法および情報管理システムを提供することを目的とする。
上記目的を達成するために、本発明の一態様に係る情報管理方法は、情報を管理する情報管理装置による情報管理方法であって、ユーザ情報の匿名化に用いられる匿名化ルールを生成し、前記匿名化ルールを第1のサーバおよび第2のサーバに送信し、前記第1のサーバから、第1のユーザが使用する機器の動作履歴を示す機器履歴情報と、前記第1のユーザを特定可能な属性情報を含む第1のユーザ情報が前記匿名化ルールにより匿名化された第1の匿名化ユーザ情報とを受信し、前記第2のサーバから、第2のユーザが享受したサービスの履歴を示すサービス履歴情報と、前記第2のユーザを特定可能な属性情報を含む第2のユーザ情報が前記匿名化ルールで匿名化された第2の匿名化ユーザ情報とを受信し、前記第1の匿名化ユーザ情報と前記第2の匿名化ユーザ情報とが同一または類似すると判断された場合に、受信した前記機器履歴情報と前記サービス履歴情報とを関連付けて複合情報として管理し、前記匿名化ルールは、前記第1のサーバが記憶する前記機器履歴情報により示される動作の種類と前記第2のサーバが記憶する前記サービス履歴情報により示されるサービスの種類との組み合わせによって、ユーザを特定可能であるか否かに基づいて生成される。
なお、これらの全般的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータで読み取り可能なCD−ROMなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび記録媒体の任意な組み合わせで実現されてもよい。
本発明の情報管理方法等によれば、ユーザの匿名性を確保しつつ、当該ユーザに適切なサービスを提供することができる。
図1は、実施の形態1に係る情報管理システムの全体構成の一例を示す図である。 図2は、実施の形態1に係るメーカサーバの構成の一例を示すブロック図である。 図3は、実施の形態1に係る機器履歴証明書の構成の一例を示す図である。 図4は、実施の形態1に係るポータルサーバの構成の一例を示すブロック図である。 図5は、実施の形態1に係る匿名化ルールの一例を示す図である。 図6は、実施の形態1に係る提案情報証明書の構成の一例を示す図である。 図7は、実施の形態1に係るサービスプロバイダサーバの構成の一例を示すブロック図である。 図8は、サービス履歴証明書の構成の一例を示す図である。 図9は、ポータルサーバからユーザに提案情報を提供する処理のシーケンス図である。 図10は、ポータルサーバからユーザに提案情報を提供する処理のシーケンス図である。 図11は、ポータルサーバからユーザに提案情報を提供する処理のシーケンス図である。 図12は、ポータルサーバからユーザに提案情報を提供する処理のシーケンス図である。 図13は、実施の形態2に係る情報管理システムの全体構成の一例を示す図である。 図14は、実施の形態2に係るメーカサーバの構成の一例を示すブロック図である。 図15は、実施の形態2に係る機器履歴証明書の構成の一例を示す図である。 図16は、実施の形態2に係る個人情報DBの一例を示す図である。 図17は、実施の形態2に係る機器履歴DBのIDリストの一例を示す図である。 図18は、実施の形態2に係る家電履歴DBに記録されているデータの一例を示した図である。 図19は、実施の形態2に係るポータルサーバの構成の一例を示すブロック図である。 図20は、提案情報DBの構成の一例を示す図である。 図21は、提案サービス情報DBに記録されているデータの一例を示す図である。 図22は、実施の形態2に係る提案情報証明書の構成の一例を示す図である。 図23は、実施の形態2に係るサービスプロバイダサーバの構成の一例を示すブロック図である。 図24は、実施の形態2に係るサービス履歴DBの一例を示す図である。 図25は、個人情報DBの構成の一例を示した図である。 図26は、サービス情報DBに記録されているデータの一例を示す図である。 図27は、ユーザがユーザ端末を用いてメーカサーバに登録するときのシーケンス図である。 図28は、ユーザがユーザ端末を用いて家電機器を登録するときのシーケンス図である。 図29は、機器が機器履歴情報をアップロードするときのシーケンス図である。 図30は、実施の形態2に係るポータルサーバからユーザに提案情報を提供するときのシーケンス図である。 図31は、実施の形態2に係るポータルサーバからユーザに提案情報を提供するときのシーケンス図である。 図32は、実施の形態2に係るポータルサーバからユーザに提案情報を提供するときのシーケンス図である。 図33は、実施の形態3に係る情報管理システムの全体構成の一例を示す図である。 図34は、実施の形態3に係るメーカサーバの構成の一例を示すブロック図である。 図35は、実施の形態3に係る個人情報DBの一例を示す図である。 図36は、実施の形態3に係る機器履歴証明書の構成の一例を示す図である。 図37は、実施の形態3に係る提案情報証明書の構成の一例を示す図である。 図38は、実施の形態3に係るサービスプロバイダサーバの構成の一例を示すブロック図である。 図39は、実施の形態3に係るサービス履歴証明書の構成の一例図である。 図40は、実施の形態3に係るユーザの登録処理を示すシーケンス図である。 図41は、実施の形態3に係る提案情報提供処理のシーケンス図である。 図42は、実施の形態3に係る提案情報提供処理のシーケンス図である。 図43は、実施の形態3に係る提案情報提供処理のシーケンス図である。 図44は、実施の形態3に係る提案情報提供処理のシーケンス図である。 図45は、有効期限を含めた機器履歴証明書の構成の一例を示す図である。 図46は、機器履歴情報の提供データリストの一例を示す図である。 図47は、ポータルサーバからユーザへ提案情報を提供する処理のシーケンス図である。 図48は、ポータルサーバからユーザへ提案情報を提供する処理のシーケンス図である。 図49は、ポータルサーバからユーザへ提案情報を提供する処理のシーケンス図である。 図50は、提案情報証明書の構成の一例を示す図である。 図51は、情報管理システムの全体構成の一例を示す図である。 図52は、複数のユーザの機器履歴を含んだ機器履歴証明書の構成の一例を示す図である。
上記目的を達成するために、本発明の一態様に係る情報管理方法は、情報を管理する情報管理装置における情報管理方法であって、ネットワークを介して、第1のサーバから、第1のユーザが使用する機器の動作履歴を示す機器履歴情報と、前記第1のユーザを特定可能な属性情報を含む第1のユーザ情報が所定ルールで匿名化された第1の匿名化ユーザ情報とを受信し、ネットワークを介して、前記第1のサーバと異なる第2のサーバから、第2のユーザが享受したサービスの履歴を示すサービス履歴情報と、前記第2のユーザを特定可能な属性情報を含む第2のユーザ情報が前記所定ルールで匿名化された第2の匿名化ユーザ情報とを受信し、前記第1の匿名化ユーザ情報と前記第2の匿名化ユーザ情報とが同一または類似すると判断された場合に、受信した前記機器履歴情報と前記サービス履歴情報とを関連付けて複合情報として管理する。
この構成により、ユーザの匿名性を確保しつつ、当該ユーザに適切なサービスを提供することができる。
より具体的には、所定ルール(匿名化ルール)に従って匿名化されたユーザ情報を用いることで、第1のサーバと情報管理装置と第2のサーバとを連携させることができるので、情報管理装置は、ユーザの機器履歴と当該ユーザと同一または類似のサービス履歴とを復号情報として関係付けて管理することができる。それにより、情報管理装置は、複合情報を用いてサービスの提案情報を該当するユーザに提供することができる。なお、第1のサーバと第2のサーバは、情報管理装置に対して、ユーザが特定できない程度に匿名化されたユーザ情報を提供するに留まるので、情報管理装置は、ユーザのプライバシを保護しつつ、複合情報を用いて当該ユーザに対する提案情報などを生成することができる情報管理方法を実現することができる。
また、例えば、前記所定ルールは、前記第1のサーバが記憶する前記機器履歴情報により示される動作の種類と前記第2のサーバが記憶する前記サービス履歴情報により示されるサービスの種類との組み合わせに基づいて決定されるとしてもよい。ここで、例えば、前記所定ルールには、前記第1のユーザ情報および前記第2のユーザ情報に含まれる1以上の属性情報のうち、削除または抽象化すべき属性情報が規定されている。
また、例えば前記第1の匿名化ユーザ情報および前記第2の匿名化ユーザ情報は、第1のユーザおよび第2のユーザにおける性別、年齢、年代、住所および職業のうち少なくとも一を属性情報として含むとしてもよい。
サービス履歴の内容やユーザが使用する機器に依存して、当該ユーザに対する提案情報も異なってくる。そのため、ユーザ情報に含まれる属性情報のうちユーザを特定できる属性情報は削除または抽象化するが、ユーザ情報に含まれる属性情報のうちユーザを特定できない属性情報は、サービスの種類や動作の種類の組み合わせにより削除または抽象化したりしなかったり決定することができる。それにより、複合情報を用いてより当該ユーザに適した提案情報を生成することができる情報管理方法を実現することができる。
また、例えば、前記複合情報に基づいて、前記第1のユーザに対するサービス提案を示す提案情報を生成し、生成した前記提案情報を前記第1のサーバを介して前記第1のユーザへ提供するとしてもよい。
また、例えば、前記提案情報は、前記機器を制御するための制御プログラムを含む情報であるとしてもよい。
また、例えば、前記複合情報に基づいて前記第2のユーザに対するサービス提案を示す提案情報を生成し、生成した前記提案情報を前記第2のサーバを介して前記第2のユーザへ提供するとしてもよい。
また、例えば、前記第1のユーザと前記第2のユーザとは同一ユーザであるとしてもよいし、前記第1のユーザと前記第2のユーザとは異なるユーザであるとしてもよい。
ここで、例えば、前記サービス履歴情報は、前記第2のユーザが医療を含む健康管理に関するサービスを受けた履歴を含む情報であるとしてもよい。
また、例えば、前記サービス履歴情報は、前記第2のユーザが教育サービスを受けた履歴を含む情報であるとしてもよい。
また、例えば、前記サービス履歴情報は、前記第2のユーザが交通サービスを受けた履歴を含む情報であるとしてもよい。
また、例えば、さらに、前記第1のサーバおよび前記第2のサーバに、ネットワークを介して、前記所定ルールを送信するとしてもよい。
また、上記目的を達成するために、本発明の一態様に係る情報管理システムは、情報を管理する情報管理装置と、第1のユーザが使用する機器の動作履歴を示す機器履歴情報と、前記第1のユーザを特定可能な属性情報を含む第1のユーザ情報とを記憶する第1のサーバと、第2のユーザが享受したサービスの履歴を示すサービス履歴情報と、前記第2のユーザを特定可能な属性情報を含む第2のユーザ情報を記憶する第2のサーバと、を備え、前記情報管理装置は、ネットワークを介して、前記第1のサーバから、前記機器履歴情報と、前記第1のユーザ情報が所定ルールで匿名化された第1の匿名化ユーザ情報とを受信し、ネットワークを介して、前記第2のサーバから、前記サービス履歴情報と、前記第2のユーザ情報が前記所定ルールで匿名化された第2の匿名化ユーザ情報とを受信し、前記第1の匿名化ユーザ情報と前記第2の匿名化ユーザ情報とが同一または類似すると判断した場合に、受信した前記機器履歴情報と前記サービス履歴情報とを関連付けて複合情報として管理する。
ここで、例えば、前記情報管理装置は、さらに、ネットワークを介して、前記第1のサーバおよび前記第2のサーバに、前記所定ルールを送信し、前記第1のサーバは、記憶している前記第1のユーザ情報を前記所定ルールで匿名化することで前記第1のユーザ情報から前記第1の匿名化ユーザ情報を生成し、記憶している前記機器履歴情報と、生成した前記第1の匿名化ユーザ情報とを、前記情報管理装置に送信し、前記第2のサーバは、記憶している前記第2のユーザ情報を前記所定ルールで匿名化することで前記第2のユーザ情報から前記第2の匿名化ユーザ情報を生成し、記憶している前記サービス履歴情報と、生成した前記第2の匿名化ユーザ情報とを、前記情報管理装置に送信するとしてもよい。
なお、これらの全般的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータで読み取り可能なCD−ROMなどの記録媒体記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムまたは記録媒体の任意な組み合わせで実現されてもよい。
以下、図面を参照しながら、本発明の一態様に係る情報管理方法および情報管理システムについて説明する。
なお、以下で説明する実施の形態は、いずれも本発明の一具体例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置および接続形態、ステップ、ステップの順序などは、一例であり、本発明を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。
(実施の形態1)
1.システムの構成
以下、実施の形態1に係る情報管理システム13について図面を参照しながら説明する。
1.1 情報管理システム13の全体構成
図1は、実施の形態1に係る情報管理システムの全体構成の一例を示す図である。情報管理システム13は、メーカサーバ100c、ポータルサーバ200c、サービスプロバイダサーバ300c〜300e、機器400、および、ユーザ端末500から構成される。
ここで、機器400は、例えばテレビや体組成計、ランニングマシン、エアロバイク(登録商標)、電動アシスト自転車などの機器である。機器400は、メーカサーバ100cを有するメーカで製造されており、機器履歴を収集する。ユーザ端末500は、例えばパソコンや、携帯電話などの携帯端末である。
1.2 メーカサーバ100cの構成
図2は、実施の形態1に係るメーカサーバ100cの構成の一例を示すブロック図である。メーカサーバ100cは、第1のサーバの一例であり、履歴DB制御部101、一時識別子生成部102、証明書生成部103、証明書検証部104、履歴DB105、機器制御指示部106、機器制御情報DB107、通信部108、および、匿名化部121を備える。
匿名化部121は、通信部108がポータルサーバ200cから受信した匿名化ルール(所定ルール)に従って、個人情報DBが格納するユーザ情報のうち該当するユーザ情報を匿名化する。ここで、ユーザ情報とは、ユーザを特定可能なユーザの個人情報であり、ユーザを特定可能な属性情報を含む情報である。
履歴DB制御部101は、履歴DB105を制御し、ユーザの個人情報(ユーザ情報)と、ユーザが使用した機器400の動作履歴を示す機器履歴(機器履歴情報)と、ユーザの個人情報(ユーザ情報)および機器履歴に対応する一時識別子と、機器履歴証明書とを管理する。
例えば、履歴DB制御部101は、ポータルサーバ200cに機器履歴を提供(送信)するときに、ユーザIDに対応した一時識別子の生成を一時識別子生成部102へ依頼し、匿名化部121にポータルサーバ200cから受信した匿名化ルール(所定ルール)に従って、個人情報DBに格納されている該当ユーザ情報(該当ユーザの個人情報)の匿名化を依頼する。
また、履歴DB制御部101は、例えば、一時識別子生成部102からユーザIDと一時識別子とを受信し、匿名化部121から匿名化されたユーザ情報(匿名化ユーザ情報)を受信すると、履歴DB105内でユーザIDと一時識別子との紐付けを行い、一時識別子と匿名化ユーザ情報と機器履歴とを対応付ける署名生成を証明書生成部103に依頼する。
また、履歴DB制御部101は、例えば、証明書生成部103で受信した機器履歴証明書を、対応するユーザIDと一時識別子とを紐付けて管理する。履歴DB制御部101は、証明書検証部104で提案情報証明書の検証が成功すると、ユーザに対するサービス提案を示す提案情報を受信し、機器制御指示部106へ提案情報に基づいた機器の機器制御を依頼する。機器制御指示部106から機器制御情報を受信すると、一時識別子に紐付けられたユーザIDに基づいて、機器制御情報を該当ユーザに提供する。
一時識別子生成部102は、ユーザIDに対応した一時識別子を生成する。
例えば、一時識別子生成部102は、履歴DB制御部101から依頼を受信すると、ユーザIDから一時識別子を生成する。なお、一時識別子の生成方法は、ユーザIDと一意に紐付けできればよい。例えば、一時識別子をランダムに生成するとしてもよいし、ユーザIDに任意の暗号鍵を用いて暗号化した結果を一時識別子としてもよいし、ユーザIDに一方向性関数を用いて計算した結果を一時識別子としてもよい。また、一時識別子には、ユーザの個人情報が特定できない情報を含めてもよい。例えば、性別や年代などを含むとしてもよい。
証明書生成部103は、履歴DB制御部101から一時識別子と機器履歴と匿名化ユーザ情報を受信すると、機器履歴証明書を生成する。ここで、図3に実施の形態1に係る機器履歴証明書の構成の一例を示す。機器履歴証明書は、図3に示すように、一時識別子と匿名化ユーザ情報と機器履歴とに対し、証明書生成部103に保持する署名生成鍵(図示していない)で署名(メーカ署名)を生成し、一時識別子と匿名化ユーザ情報と機器履歴とを紐付けた上で署名(メーカ署名)を付与した証明書である。
証明書生成部103は、機器履歴証明書を生成後、機器履歴証明書と署名生成鍵に対応する署名検証鍵を含んだ公開鍵証明書(図示していない)とを送信する。ここで、公開鍵証明書は、署名検証鍵に対し、(全体構成には記述されていない)証明書発行センターが署名を施したものである。なお、署名生成は、一時識別子と機器履歴を結合した値のハッシュ値に対して、署名を生成するとしてもよい。
証明書検証部104は、ポータルサーバ200cから通信部108経由で提案情報証明書と署名検証鍵を含んだ公開鍵証明書とを受信し、署名の検証を行う。提案情報証明書の署名検証では、まず機器履歴証明書と提案情報とに対して、ポータルサーバ署名が正しいかを検証する。ポータルサーバ署名が正しい場合、機器履歴証明書のメーカサーバ署名が正しいかを検証する。メーカサーバ署名も正しい場合にのみ、提案情報証明書が正しいと判断する。提案情報証明書が正しい場合、一時識別子と匿名化ユーザ情報と提案情報とを履歴DB制御部101へ送信する。
履歴DB105は、個人情報DB、機器履歴DB、一時識別子および機器履歴証明書を記憶する。ここで、個人情報DBは、ユーザの基本プロフィールデータである、氏名や住所などの情報を属性情報として含むユーザ情報を格納する。機器履歴DBは、ユーザの保有する家電機器等の機器400の操作履歴(例えばTVのチャンネル操作履歴)や、機器400を用いたユーザの情報履歴(例えば体組成計を用いたユーザの体重の履歴)を格納する。
機器制御指示部106は、履歴DB制御部101から機器制御の依頼を受信すると、機器制御情報DB107で対応する機器400の機器制御情報を検索し、機器制御情報を履歴DB制御部101へ送信する。ここで、機器制御情報とは、機器400を制御するための制御プログラムを含む情報である。機器制御情報は、例えば、ランニングマシンでの動作速度と時間と制御する制御プログラムを含んでいたりしてもよいし、電動アシスト自転車のアシスト機能の強度を制御する制御プログラムを含んでいてもよい。つまり、機器制御情報は、機器の制御に関連する情報を含んでいればよい。
機器制御情報DB107は、機器400の機器制御情報を記憶する。
通信部108は、ポータルサーバ200cや機器400、ユーザ端末500との通信を行う。通信部108は、ポータルサーバ200cやユーザ端末500との通信ではSSL(Secure Socket Layer)通信を行う。SSL通信に必要な証明書は通信部108で記憶する。また、通信部108は、ポータルサーバ200cから匿名化のルール(所定ルール)を受信する。匿名化のルール(所定ルール)は、個人情報DBが格納するユーザ情報に含まれる属性情報のうち、削除または抽象化すべき属性情報を規定するものである。
以上のように、メーカサーバ100cは、第1のユーザが使用する機器400の動作履歴を示す機器履歴と、第1のユーザを特定可能な属性情報を含む第1のユーザ情報とを記憶する。メーカサーバ100cは、記憶している第1のユーザ情報を所定ルール(匿名化ルール)に従って匿名化することで第1の匿名化ユーザ情報を生成し、記憶している機器履歴と、生成した第1の匿名化ユーザ情報とを、ポータルサーバ200cに送信する。
1.3 ポータルサーバ200cの構成
図4は、実施の形態1に係るポータルサーバ200cの構成の一例を示すブロック図である。ポータルサーバ200cは、情報を管理する情報管理装置の一例であり、提案情報生成部201、提案情報DB202、証明書生成部203、証明書検証部204、通信部205、および、匿名化ルール生成部211を備える。
匿名化ルール生成部211は、ユーザに対するサービス提案を示す提案情報の生成に必要な情報を取得するため、メーカサーバ100cやサービスプロバイダサーバ300c等が保持するユーザ情報(個人情報)を匿名化する匿名化ルール(所定ルール)を生成する。ここで、匿名化ルールには、上述したように、ユーザ情報(ユーザの個人情報)に含まれる属性情報のうち、削除または抽象化すべき属性情報が規定されている。また、匿名化ルール生成部211は、メーカサーバ100cが記憶する機器履歴により示される動作の種類とサービスプロバイダサーバ300c等が記憶するサービス履歴により示されるサービスの種類との組み合わせに基づいて決定する。これは、サービス履歴の内容やユーザが使用する機器に依存して、当該ユーザに対する提案情報も異なってからである。ユーザ情報に含まれる属性情報のうちユーザを特定できる属性情報は削除または抽象化する必要があるものの、ユーザ情報に含まれる属性情報のうちユーザを特定できない属性情報は、サービスの種類や動作の種類の組み合わせにより削除または抽象化するかしないかを決定すればよい。
図5は、実施の形態1に係る匿名化ルールの一例を示した図である。図5には、メーカサーバ100cからの履歴情報とフィットネスサービスからのサービス履歴情報とから提案情報を生成する場合の匿名化ルールが示されている。
より具体的には、図5に示す匿名化ルールでは、名前の項目を削除し、住所の項目は市町村までの情報とし、市町村以下の番地などは削除する旨規定されている。また、生年月日は抽象化し、月や日は削除して年までとする旨規定されている。また、性別はそのまま提供し、メールや趣味は削除する旨規定されている。
つまり、匿名化ルールには、ユーザ情報(ユーザの個人情報)に含まれる属性情報のうち、削除または抽象化すべき属性情報が規定されているが、ユーザの性別、年齢、年代、住所およびまたは職業のうち少なくとも一の属性情報を匿名化ユーザ属性情報に含むように規定されている。このように、ユーザを特定できないものの提案情報の生成が可能な程度に、各サーバが保持するユーザ情報(個人情報)に含まれる属性情報のうちの一部の属性情報が削除または抽象化される。
提案情報生成部201は、複合情報として関連付けて管理されている機器履歴とサービス履歴とに基づいて、生成した第1のユーザに対するサービス提案を示す提案情報を生成する。そして、提案情報生成部201は、生成した提案情報を、メーカサーバ100cを介してユーザへ提供する。
より具体的には、提案情報生成部201は、メーカサーバ100cから受信した機器履歴証明書に含まれる機器履歴と、サービスプロバイダサーバ300c等から受信したサービス履歴と、提案情報DB202に記憶されている提案情報とに基づいて、ユーザへの提案情報を生成する。例えば、提案情報生成部201は、メーカサーバ100cから受信した一時識別子と匿名化ユーザ情報と機器履歴と、サービスプロバイダサーバ300c等から受信した一時識別子と匿名化ユーザ情報とサービス情報とに基づいて、提案情報を生成する。なお、提案情報生成部201は、生成した提案情報は提案情報DBへ記憶する。
また、提案情報生成部201は、提案情報を生成後、機器履歴証明書と提案情報とから提案情報証明書の生成を証明書生成部203へ依頼する。証明書生成部203から提案情報証明書を受信すると、メーカサーバ100cに提案情報証明書を送信する。
提案情報DB202は、ユーザへ提案した提案情報を記憶する。
証明書生成部203は、提案情報生成部201から提案情報と機器履歴証明書を受信すると、提案情報証明書を生成する。図6に実施の形態1に係る提案情報証明書の構成の一例を示す。図6に示す提案情報証明書は、機器履歴証明書と提案情報とを紐付けた上で、証明書生成部203に保持する署名生成鍵(図示していない)で生成された署名(ポータルサーバ署名)を付与した証明書である。
証明書生成部203は、提案情報証明書を生成後、提案情報証明書と、署名生成鍵に対応する署名検証鍵を含んだ公開鍵証明書(図示していない)とを送信する。公開鍵証明書は、署名検証鍵に対し、(全体構成には記述されていない)証明書発行センターが署名を施したものである。なお、署名生成は、機器履歴証明書と提案情報を結合した値のハッシュ値に対して、署名を生成するとしてもよい。
証明書検証部204は、メーカサーバ100cから通信部205経由で機器履歴証明書と署名検証鍵を含んだ公開鍵証明書とを受信すると、署名の検証を行う。機器履歴証明書の署名検証では、機器履歴証明書に含まれる一時識別子と匿名化ユーザ情報と機器履歴とに対して、メーカサーバ署名が正しいかを検証する。メーカサーバ署名が正しい場合、一時識別子と匿名化ユーザ情報と機器履歴とを提案情報生成部201へ送信する。
通信部205は、メーカサーバ100cやサービスプロバイダサーバ300c等との通信を行う。メーカサーバ100cやサービスプロバイダサーバ300c等との通信ではSSL通信を行う。SSL通信に必要な証明書は通信部205で記憶する。また、通信部205は、匿名化ルール生成部211により生成された匿名化ルール(所定ルール)を、ネットワークを介して、メーカサーバ100cおよびサービスプロバイダサーバ300c等に送信する。
以上のように、ポータルサーバ200cは、ネットワークを介して、メーカサーバ100cから、機器履歴と、第1のユーザを特定可能な属性情報を含む第1のユーザ情報が匿名化ルールに従って匿名化された第1の匿名化ユーザ情報とを受信する。また、ポータルサーバ200cは、ネットワークを介して、サービスプロバイダサーバ300cから、サービス履歴と、第2のユーザを特定可能な属性情報を含む第2のユーザ情報が匿名化ルールに従って匿名化された第2の匿名化ユーザ情報とを受信する。そして、ポータルサーバ200cは、第1の匿名化ユーザ情報と第2の匿名化ユーザ情報とが同一または類似すると判断した場合に、受信した第1のユーザの機器履歴と第1のユーザと同一または類似の第2のユーザのサービス履歴とを関連付けて複合情報として管理する。そして、ポータルサーバ200cは、管理する複合情報データに基づいて、第1のユーザに対するサービス提案を示す提案情報を生成し、生成した提案情報を、メーカサーバ100cを介して前記第1のユーザへ提供する。
なお、ポータルサーバ200cは、提案情報を、メーカサーバ100cを介して、ユーザに提供するとしたが、それに限らない。ユーザ端末500が、メーカサーバ100cではなくサービスプロバイダサーバ300cとネットワークを介して接続されているとした場合には、サービスプロバイダサーバ300cを介して、第2のユーザに対して提案情報を提供すればよい。
1.4 サービスプロバイダサーバ300cの構成
図7は、実施の形態1に係るサービスプロバイダサーバ300cの構成の一例を示すブロック図である。なお、サービスプロバイダサーバ300dおよび300eは、サービスプロバイダサーバ300cと同様の構成であるため、ここではサービスプロバイダサーバ300cについてのみ説明を行う。
サービスプロバイダサーバ300cは、第2のサーバの一例であり、履歴DB制御部301、一時識別子生成部302、履歴DB303、通信部304、証明書検証部312、証明書生成部313、および、匿名化部321を備える。
匿名化部321は、通信部304がポータルサーバ200cから受信した匿名化ルール(所定ルール)に従って、個人情報DB格納するユーザ情報のうち該当するユーザ情報を匿名化する。
履歴DB制御部301は、履歴DB303を制御し、ユーザの個人情報(ユーザ情報)と、ユーザが享受したサービスの履歴を示すサービス履歴と、ユーザの個人情報(ユーザ情報)とサービス履歴とに対応する一時識別子とを管理する。ここで、サービス履歴は、フィットネスに関するサービスを受けた履歴を示す情報である。例えば、サービス履歴には、XXX年Y月Z日に上級エアロ1セット、バイク30分のトレーニングを受けた旨を示す履歴情報が記録されている。
履歴DB制御部301は、ポータルサーバ200cにサービス履歴を提供(送信)するときに、ユーザIDに対応した一時識別子の生成を一時識別子生成部302へ依頼し、匿名化部321にポータルサーバ200cから受信した匿名化ルール(所定ルール)に従って、個人情報DBに格納される該当ユーザ情報(該当ユーザの個人情報)の匿名化を依頼する。
また、履歴DB制御部301は、例えば、一時識別子生成部302からユーザIDと一時識別子とを受信し、匿名化部321から匿名化されたユーザ情報(匿名化ユーザ情報)を受信すると、履歴DB303内でユーザIDと一時識別子との紐付けを行い、一時識別子と匿名化ユーザ情報とサービス履歴とを対応付けて管理する。履歴DB制御部301は、ポータルサーバ200に、一時識別子と匿名化ユーザ情報とサービス履歴とをサービス履歴情報として送信する。
一時識別子生成部302は、ユーザIDに対応した一時識別子を生成する。例えば、一時識別子生成部302は、履歴DB制御部301から依頼を受信すると、ユーザIDから一時識別子を生成する。なお、一時識別子の生成方法は、ユーザIDと一意に紐付けできればよく、ランダムに生成してもよい。また、ユーザIDに任意の暗号鍵を用いて暗号化した結果を一時識別子としてもよいし、ユーザIDに一方向性関数を用いて計算した結果を一時識別子としてもよい。また、一時識別子には、ユーザの個人情報が特定できない情報を含めてもよい。例えば、性別や年代などを含むとしてもよい。
証明書生成部313は、履歴DB制御部301から一時識別子と機器履歴と匿名化ユーザ情報を受信すると、サービス履歴証明書を生成する。ここで、図8にサービス履歴証明書の構成の一例を示す。サービス履歴証明書は、一時識別子と匿名化ユーザ情報とサービス履歴とに対し、証明書生成部313に保持する署名生成鍵(図示していない)で署名を生成し、一時識別子と匿名化ユーザ情報とサービス履歴と紐付けた上で署名(サービスプロバイダ署名)を付与した証明書である。
証明書生成部313は、サービス履歴証明書を生成後、サービス履歴証明書と署名生成鍵に対応する署名検証鍵を含んだ公開鍵証明書(図示していない)とを送信する。
証明書検証部312は、ポータルサーバ200cから通信部304経由で提案情報証明書と署名検証鍵を含んだ公開鍵証明書とを受信し、署名の検証を行う。上述した証明書検証部312は、証明書検証部104と同様であるため、説明を省略する。
履歴DB303は、個人情報DB、サービス履歴DB、および、一時識別子を記憶する。ここで、個人情報DBは、ユーザの基本プロフィールデータである、氏名や住所などの情報をユーザ情報として格納する。サービス履歴DBは、ユーザが享受したサービスの履歴を格納する。
通信部304は、ポータルサーバ200cとの通信を行う。通信部304は、ポータルサーバ200cとの通信ではSSL(Secure Socket Layer)通信を行う。SSL通信に必要な証明書は通信部304で記憶する。また、通信部304は、ポータルサーバ200cから匿名化のルール(所定ルール)を受信する。
以上のように、サービスプロバイダサーバ300cは、第2のユーザが享受したサービスの履歴を示すサービス履歴と、第2のユーザを特定可能な属性情報を含む第2のユーザ情報を記憶する。サービスプロバイダサーバ300cは、記憶している第2のユーザ情報に含まれる属性情報を上記匿名化ルールに従って匿名化することで第2のユーザ情報から第2の匿名化ユーザ情報を生成し、記憶しているサービス履歴と、生成した第2の匿名化ユーザ情報とを、ポータルサーバ200cに送信する。
1.5 情報管理システム13の動作
情報管理システム13の動作には、以下のものがある。
(1)ユーザがユーザ端末500を用いて、メーカサーバ100cに登録するときの処理
(2)ユーザがメーカサーバ100cに家電機器を登録するときの処理
(3)ユーザの機器400から家電履歴情報を機器履歴DBにアップロードするときの処理
(4)ポータルサーバ200からユーザに提案情報を提供する処理
なお、(1)から(3)の処理は実施の形態2で説明することとし、本実施の形態での説明を省略する。
1.5.1 ポータルサーバ200からユーザに提案情報を提供するときの処理
図9から図12は、ポータルサーバ200cからユーザに提案情報を提供する処理のシーケンス図である。なお、この提案情報の提供は、定期的または不定期に行われる。
S401において、メーカサーバ100cとポータルサーバ200cとの間でSSL認証を行い、暗号通信路を確立する。
次に、S402において、ポータルサーバ200cは、匿名化ルールを生成し、メーカサーバ100cに匿名化ルールを送信する。
次に、S403において、メーカサーバ100cは、受信した匿名化ルールに基づき、ユーザの個人情報(ユーザ情報)を匿名化し、ユーザIDから一時識別子を生成する。
次に、S404において、メーカサーバ100cは一時識別子と匿名化ユーザ情報と機器履歴とに対して署名(メーカ署名)を生成し、図3に示すような機器履歴証明書を生成する。そして、メーカサーバ100cは、生成した機器履歴証明書と公開鍵証明書とをポータルサーバ200cに送信する。
次に、S405において、ポータルサーバ200cは、メーカサーバ100cから機器履歴証明書と公開鍵証明書とを受信し、これら証明書の検証を行う。これら証明書の検証が失敗した場合、メーカサーバ100cにエラーを通知する。
次に、S406において、ポータルサーバ200cは、機器履歴証明書の検証が成功した場合、例えばサービスプロバイダサーバ300cとの間でSSL認証を行い、暗号化通信路を確立する。
次に、S407において、ポータルサーバ200cは、サービスプロバイダサーバ300cに受信した機器履歴情報に関連するサービス履歴の取得依頼を匿名化ルールとともに送信する。
次に、S408において、サービスプロバイダサーバ300cは、ポータルサーバ200cからサービス情報取得依頼と匿名化ルールとを受信すると、匿名化ルールに基づき、ユーザの個人情報(ユーザ情報)を匿名化し、ユーザIDから一時識別子を生成する。
次に、S409において、サービスプロバイダサーバ300cは、一時識別子と匿名化ユーザ情報とサービス履歴とに対して署名を生成し、図8に示すようなサービス履歴証明書を生成する。そして、サービスプロバイダサーバ300cは、ポータルサーバ200cにサービス履歴証明書と公開鍵証明書とを送信する。
次に、S410において、ポータルサーバ200cは、サービスプロバイダサーバ300cからサービス履歴証明書と公開鍵証明書とを受信し、これら証明書の検証を行う。これら証明書の検証が失敗した場合、サービスプロバイダサーバ300cにエラーを通知する。
また、ポータルサーバ200は、受信した機器履歴証明書とサービス履歴証明書とが、匿名化ルールに従って匿名化されているかを確認する。なお、匿名化されたユーザ情報が同一でもなく類似でもない場合、メーカサーバ100cとサービスプロバイダサーバ300cにエラーを通知する。
次に、S411において、ポータルサーバ200cは、メーカサーバ100cから受信した機器履歴証明書と、サービスプロバイダサーバ300cから受信したサービス履歴証明書とを記録する。
次に、S412において、ポータルサーバ200cは、機器履歴証明書の機器履歴とサービス履歴証明書のサービス履歴と匿名化ユーザ情報とに基づいて、提案情報を生成する。
次に、S413において、ポータルサーバ200cは、生成した提案情報と機器履歴証明書とに対して署名を生成し、図6に示したような提案情報証明書を生成する。
次に、S414において、ポータルサーバ200cは生成した提案情報証明書をメーカサーバ100cに送信する。
次に、S415において、メーカサーバ100cは、受信した提案情報証明書を検証する。メーカサーバ100cは、提案情報証明書の検証が失敗した場合、ポータルサーバ200cにエラーを通知する。
次に、S416において、メーカサーバ100cが提案情報証明書の検証が成功した場合、メーカサーバ100cは、提案情報証明書に含まれる機器履歴証明書から履歴DB105内の機器履歴証明書を検索する。検索した機器履歴証明書に含まれる一時識別子と対応するユーザIDを検索し、提案情報を提供すべきユーザIDを特定する。
次に、S417において、メーカサーバ100cは、特定したユーザIDへ提案情報を提供する。このとき、提案情報が機器400の制御情報を含む場合、メーカサーバ100cは、ユーザ端末500へ機器制御情報がある旨の通知を行い、ユーザ端末500からOKとの通知が来た場合、制御情報を送信する。なお、提案情報が機器400の制御情報を含まない場合、ユーザ端末500に提案情報を送信する。
1.6 効果
以上、実施の形態1によれば、ポータルサーバ200cが提供する匿名化ルールに従って匿名化されたユーザ情報を用いることで、メーカサーバ100cとポータルサーバ200cとサービスプロバイダサーバ300c等とを連携させることができるので、ポータルサーバ200cは、ユーザの機器履歴と当該ユーザと同一または類似のサービス履歴とを用いてサービスの提案情報を当該ユーザに提供することができる。なお、メーカサーバ100cとサービスプロバイダサーバ300c等は、ポータルサーバ200cに対して、ユーザが特定できないもののサービスの提案情報を作成できる程度に匿名化されたユーザ情報を提供するに留まる。つまり、メーカサーバ100cとサービスプロバイダサーバ300c等は、ポータルサーバ200cに対してユーザの個人情報を提供しない。このようにして、ユーザのプライバシを保護しつつ、提案情報を生成することができる情報管理方法および情報管理システムを実現することができる。
それにより、ユーザはメーカサーバ100cやサービスプロバイダサーバ300cに登録するときにのみ、ユーザの個人情報(ユーザ情報)の登録を行えばよい。つまり、ユーザは、ポータルサーバ200cは、個人情報(ユーザ情報)を提供しなくても、ポータルサーバ200cから提案情報を取得することができる。
また、メーカサーバ100cは、メーカサーバ100cが提供する機器履歴証明書に対して、提案情報証明書を生成することで、提供した機器履歴証明書が改ざんされたり、別のユーザの機器履歴情報に対する提案情報にすり替わっていたりすることを検証することができる。
なお、上記では、フィットネスサービスAを提供するサービスプロバイダサーバ300cとポータルサーバ200cとが連携する場合の例について説明したため、サービス履歴は、フィットネスに関するサービスを受けた履歴を示す情報であるとして説明したが、それに限らない。例えば、ダイエットサービスBを提供するサービスプロバイダサーバ300dや保険サービスCを提供するサービスプロバイダサーバ300eと、ポータルサーバ200cとが連携する場合には、サービス履歴は、ダイエットサービスBや保険サービスCに関するサービスを受けた履歴を示す。
さらに、サービス履歴は、上記の例に限定されず、医療を含む健康管理に関するサービスを受けた履歴を示す情報であってもよいし、教育サービスを受けた履歴を示す情報であってもよいし、交通サービスを受けた履歴を示す情報であってもよい。
なお、サービス履歴が教育サービスを受けた履歴を示す情報である場合、サービス履歴には、例えば通信教育サービスを受けた日時や通信教育サービスの内容を示す履歴情報が記録される。
この場合、たとえば、通信教育サービスを提供するサービスプロバイダは、当該ユーザと同一または類似のユーザが通信教育サービスを受けた日時や内容を示す履歴情報が記録されているサービス履歴をポータルサーバ200cに送信(提供)する。メーカサーバ100cは、ポータルサーバ200cに例えば当該ユーザが視聴したテレビの内容等を示す視聴履歴が記録されている機器履歴を生成した第1の匿名化ユーザとともに送信する。それにより、ポータルサーバ200cは、受信したサービス履歴や機器履歴等に基づいて、当該ユーザの興味のある事象に関する教育サービスを提案する提案情報を当該ユーザに提供することができる。
(実施の形態2)
2.システムの構成
以下、実施の形態2に係る情報管理システム10について、図面を参照しながら説明する。
2.1 情報管理システム10の全体構成
図13は、実施の形態2に係る情報管理システムの全体構成の一例を示す図である。情報管理システム11は、メーカサーバ100、ポータルサーバ200、サービスプロバイダサーバ300、機器400、および、ユーザ端末500を備える。なお、実施の形態1と同様の機能を有する構成要素は、同じ符号を付して説明を省略する。
2.2 メーカサーバ100の構成
図14は、実施の形態2に係るメーカサーバ100の構成の一例を示すブロック図である。図14に示すメーカサーバ100は、履歴DB制御部101A、一時識別子生成部102、証明書生成部103A、証明書検証部104、履歴DB105、機器制御指示部106、機器制御情報DB107、通信部108から構成される。このメーカサーバ100は、実施の形態1のメーカサーバ100cに対して、匿名化部121がない点で構成が異なる。
履歴DB制御部101Aは、履歴DB105を制御し、ユーザの個人情報(ユーザ情報)と、ユーザが使用した機器400の動作履歴を示す機器履歴(機器履歴情報)と、ユーザの個人情報(ユーザ情報)と機器履歴に対応する一時識別子と、機器履歴証明書とを管理する。
例えば、履歴DB制御部101Aは、ポータルサーバ200に機器履歴情報を提供するときに、ユーザIDに対応した一時識別子の生成を一時識別子生成部102へ依頼する。また、履歴DB制御部101Aは、例えば、一時識別子生成部102からユーザIDと一時識別子とを受信すると、履歴DB105内でユーザIDと一時識別子との紐付けを行い、一時識別子と機器履歴とを対応付ける署名生成を証明書生成部103Aに依頼する。履歴DB制御部101Aは、証明書生成部103Aで受信した機器履歴証明書を対応するユーザIDと一時識別子と紐付けて管理する。履歴DB制御部101Aは、証明書検証部104で提案情報証明書の検証が成功後、ユーザに対するサービス提案を示す提案情報を受信し、機器制御指示部106へ提案情報に基づいた家電機器の機器制御を依頼する。また、履歴DB制御部101Aは、機器制御指示部106から機器制御情報を受信すると、ユーザIDに基づいて、機器制御情報を該当ユーザに提供する。
一時識別子生成部102は、ユーザIDに対応した一時識別子を生成する。履歴DB制御部101Aから依頼を受信し、ユーザIDから一時識別子を生成する。このとき、一時識別子の生成方法は、実施の形態1で説明したとおりであるため、説明を省略する。
証明書生成部103Aは、履歴DB制御部101Aから一時識別子と機器履歴とを受信した場合に、機器履歴証明書を生成する。ここで、図15に実施の形態2に係る機器履歴証明書の構成の一例を示す。図15に示すように、機器履歴証明書は、一時識別子と機器履歴とに対し、証明書生成部103Aに保持する署名生成鍵(図示していない)で生成された署名(メーカ署名)を、一時識別子と機器履歴とを紐付けた上で付与した証明書である。証明書生成部103Aは、機器履歴証明書を生成後、機器履歴証明書と署名生成鍵とに対応する署名検証鍵を含んだ公開鍵証明書(図示していない)を送信する。ここで、公開鍵証明書は、署名検証鍵に対し、(全体構成には記述されていない)証明書発行センターが署名を施したものである。なお、署名生成は、一時識別子と機器履歴とを結合した値のハッシュ値に対して、署名を生成するとしてもよい。
証明書検証部104は、ポータルサーバ200から通信部108経由で提案情報証明書と署名検証鍵を含んだ公開鍵証明書を受信し、署名の検証を行う。提案情報証明書の署名検証は、実施の形態1で説明したとおりであるため、説明を省略する。証明書検証部104は、提案情報証明書が正しい場合、一時識別子と提案情報を履歴DB制御部101Aへ送信する。
履歴DB105は、個人情報DB、機器履歴DB、一時識別子および機器履歴証明書を記憶する。
ここで、個人情報DBは、実施の形態1と同様に、ユーザの基本プロフィールデータである、氏名や住所などの情報を属性情報として含むユーザ情報を格納する。図16は実施の形態2に係る個人情報DBの構成の一例を示した図である。図16に示す例では、ユーザ情報は、ユーザの氏名、住所、生年月日、性別および趣味を項目(属性情報の項目)として含んでいる。これら項目の設定はシステムで種々設定すればよい。図16に示す例では、ID11のユーザ情報の属性情報として、氏名:山田美紀、住所:大阪市福島区3丁目10、生年月日:1980年10月5日、性別:女、趣味: エアロビクスが登録されている。また、ID12のユーザ情報の属性情報としては、氏名:佐藤次郎、住所:東京都港区1丁目19、生年月日:1990年3月3日、性別: 男、趣味: 読書が登録されている。これらユーザ情報に含まれる属性情報(共通する属性情報の項目)は、ユーザがメーカサーバ100に始めて登録するときに、ユーザが入力する属性情報である。
また、機器履歴DBは、ユーザの保有する家電機器等の機器400の操作履歴(例えばTVのチャンネル操作履歴)や、機器400を用いたユーザの機器履歴(例えば体組成計を用いたユーザの体重の履歴)を格納する。図17は、実施の形態2に係る機器履歴DBのIDリストの一例を示した図である。図17に示す例では、機器400は、例えば体組成計とTVと活動量計とであり、体組成計の機器履歴は、IDA1のデータベースに格納され、TVの機器履歴はIDA2のデータベースに格納され、活動量計の機器履歴はIDA3のデータベースに格納されていることを示している。
図18は、実施の形態2に係る家電履歴DBに記録されているデータの一例を示した図である。図18に示す例では、各家電履歴DBは家電機器(機器400)の種類ごとに構成され、それぞれユーザIDごとにその機器履歴(家電履歴情報)が記録される。より具体的には、IDA1のデータベース、つまり体組成計のDBには、ユーザIDがID11の家電履歴情報として、「2012.1.1 体重55キログラム、体脂肪率18%、2012.1.3 体重56キログラム、体脂肪率19%」と記録されている。これは2012.1.1に計測したときに、体重が55キログラム、体脂肪率が18%であったことを示し、また、2012.1.3には、体重56キログラム、体脂肪率19%であったことを示す。また、ユーザIDがユーザID12の情報は、「2011.12.30 体重80キログラム、体脂肪率22%、2012.1.3 体重82キログラム、体脂肪率22%」と記録されている。一方、IDA2のデータベース、TVのDBには、ユーザIDがID11の家電履歴情報として、「2012.1.1 18:00 ドラマ、20:00 ニュース、2012.1.3 10:00 アニメ、13:00 ドラマ」といったTVで視聴した番組の履歴が記録されている。なお、上記のような家電履歴情報(機器400の機器履歴)は、ユーザが登録した家電からメーカサーバに定期的または不定期に情報がアップロードされる。
機器制御指示部106は、履歴DB制御部101Aから機器制御の依頼を受信すると、機器制御情報DB107から対応する家電機器(機器400)の機器制御情報を検索し、機器制御情報を履歴DB制御部101Aへ送信する。なお、機器制御情報は、実施の形態1で説明したとおりであるため、説明を省略する。
機器制御情報DB107は、機器400の機器制御情報を記憶する。
通信部108Aは、ポータルサーバ200や機器400、ユーザ端末500との通信を行う。ポータルサーバ200やユーザ端末500との通信ではSSL(Secure Socket Layer)通信を行う。SSL通信に必要な証明書は通信部108で記憶する。
以上のように、メーカサーバ100は、ユーザが使用する機器400の動作履歴を示す機器履歴と、ユーザを特定可能な属性情報を含むユーザ情報とを記憶している。メーカサーバ100は、記憶しているユーザ情報に対応する一時識別子を生成し、記憶している機器履歴と、生成した一時識別子とを、ポータルサーバ200に送信する。
2.3 ポータルサーバ200の構成
図19は、実施の形態2に係るポータルサーバ200の構成の一例を示すブロック図である。ポータルサーバ200は、提案情報生成部201A、提案情報DB202、証明書生成部203A、証明書検証部204A、および、通信部205を備える。ポータルサーバ200は、実施の形態1のメーカサーバ100cと比較して、匿名化ルール生成部211がない点で構成が異なる。
提案情報生成部201Aは、メーカサーバ100から受信した機器履歴証明書に含まれる機器履歴とサービスプロバイダサーバ300から受信したサービス履歴証明書に含まれるサービス履歴と提案情報DB202に記憶されている提案情報とに基づいて、ユーザに対する提案情報を生成する。提案情報の生成方法の詳細は後述する。提案情報生成部201Aは、生成した提案情報は提案情報DBへ記憶する。また、提案情報生成部201Aは、提案情報を生成後、機器履歴証明書と提案情報から提案情報証明書の生成を証明書生成部203Aへ依頼する。証明書生成部203Aから提案情報証明書を受信すると、メーカサーバ100へ提案情報証明書を送信する。
提案情報DB202は、ユーザへ提案した提案情報を格納(記憶)する。
ここで、図20は、提案情報DB202の構成の一例を示す図である。図20に示すように、格納されている提案情報は、提案情報のジャンルとサービス情報DBとの項目から構成されている。より具体的には、ダイエットや番組おすすめのジャンルでは、ダイエットの提案サービス情報DBがIDS1のデータベースに格納されていることが示されている。番組おすすめのジャンルでは、提案サービス情報DBはIDA2のデータベースに格納されていることが示されている。
図21は、提案サービス情報DBに記録されているデータの一例を示す図である。図21に示す例では、提案サービス履歴DBは、提案情報の種類ごとに構成され、提案サービス情報のIDごとにその提案情報が記録されている。例えば、IDS1の提案情報では、ダイエットの提案情報として、30代男性向けのダイエットプログラムや30代女性向けのダイエットプログラムなどが記憶されている。なお、30代女性向けのダイエットプログラムでは、例えばランニングマシンを30分、エアロバイク(登録商標)を30分などのプログラムを記憶する。また、ID2の提案情報では、番組おすすめの提案情報として、アニメ好きおすすめ番組やスポーツ好きおすすめ番組などが記憶されている。
証明書生成部203Aは、提案情報生成部201から提案情報と機器履歴証明書を受信すると、提案情報証明書を生成する。図22に実施の形態2に係る提案情報証明書の構成の一例を示す。図22に示す提案情報証明書は、機器履歴証明書と提案情報とを紐付けた上で、証明書生成部203Aに保持する署名生成鍵(図示していない)で生成された署名(ポータルサーバ署名)を付与した証明書である。証明書生成部203Aは、提案情報証明書を生成後、提案情報証明書と署名生成鍵に対応する署名検証鍵を含んだ公開鍵証明書(図示していない)とを送信する。なお、公開鍵証明書は、実施の形態1と同様に、署名検証鍵に対し、(全体構成には記述されていない)証明書発行センターが署名を施したものである。また、署名生成は、機器履歴証明書と提案情報を結合した値のハッシュ値に対して、署名を生成するとしてもよい。
証明書検証部204Aは、メーカサーバ100から通信部205経由で機器履歴証明書と署名検証鍵を含んだ公開鍵証明書とを受信すると、署名の検証を行う。機器履歴証明書の署名検証では、機器履歴証明書に含まれる一時識別子と機器履歴とに対して、メーカサーバ署名が正しいかを検証する。メーカサーバ署名が正しい場合、一時識別子と機器履歴を提案情報生成部201へ送信する。
通信部205Aは、メーカサーバ100やサービスプロバイダサーバ300との通信を行う。メーカサーバ100やサービスプロバイダサーバ300との通信ではSSL通信を行う。SSL通信に必要な証明書は通信部205で記憶する。
2.3.1 提案情報の生成方法
提案情報生成部201Aは、メーカサーバ100から受信した一時識別子と機器履歴と、サービスプロバイダから受信した一時識別子とサービス情報とに基づいて、提案情報を生成する。以下では、ダイエットプログラムを提案情報として生成する場合の例を説明する。
まず、提案情報生成部201Aは、メーカサーバ100から受信した機器履歴証明書に含まれる一時識別子を取得し、機器履歴の利用履歴すなわち体組成計である機器400を利用したユーザの年代や体組成情報などを取得することができる。
次に、提案情報生成部201Aは、サービスプロバイダサーバ300からユーザが享受したサービスの履歴を示すサービス履歴を取得する。ここでは、サービスプロバイダサーバ300は、フィットネスクラブが有するものであり、提案情報生成部201Aは、一時識別子とともにサービス履歴として、サービスプロバイダサーバ300からフィットネスクラブの提供しているサービスプログラムを取得する。また、提案情報生成部201Aは、サービスプロバイダサーバ300から取得した一時識別子に基づき、提案情報を提供すべきユーザと同年代のサービス履歴を参照し、一時識別子に対応するユーザに対する提案情報を決定する。
例えば、提案情報生成部201は、メーカサーバ100から受信した一時識別子に対応するユーザが30代女性であることがわかった場合、サービスプロバイダサーバ300から受信した一時識別子に対応するユーザのうち30代女性に紐付けられたサービス履歴を参照することで30代女性向けの提供したサービスを検索する。提案情報生成部201は、検索結果したダイエットプログラムを、メーカサーバ100から受信した一時識別子に対応するユーザに対する提案情報として決定する。ここで、ユーザが電動アシスト自転車を持っていた場合、ダイエットプログラムをエアロバイク(登録商標)で実行した場合と同様の負荷をかけるように、電動アシスト自転車に対して負荷をかける時間を決定して提案情報として提供する。つまり、このときの提案情報は、例えば、電動アシスト自転車で60分間負荷をかけるといったことになる。このようにして、提案情報生成部201は、30代女性向けのダイエットプログラムを提案情報として生成することができる。そして、ポータルサーバ200は、この提案情報をメーカサーバ100に提供することで、メーカサーバ100から電動アシスト自転車への制御情報をユーザに提供することができる。
以上のように、ポータルサーバ200は、ネットワークを介して、メーカサーバ100から、機器履歴と一時識別子とを受信する。また、ポータルサーバ200は、ネットワークを介して、サービスプロバイダサーバ300から、サービス履歴と一時識別子とを受信する。そして、ポータルサーバ200は、一時識別子に対応づけられたユーザ情報と機器履歴とサービス履歴とに基づいて、ユーザに対するサービス提案を示す提案情報を生成し、生成した提案情報を、メーカサーバ100を介してユーザに提供する。
2.4 サービスプロバイダサーバ300の構成
図23は、実施の形態2に係るサービスプロバイダサーバ300の構成の一例を示すブロック図である。サービスプロバイダサーバ300は、履歴DB制御部301A、一時識別子生成部302、履歴DB303、および、通信部304Aを備える。サービスプロバイダサーバ300は、実施の形態1のサービスプロバイダサーバ300c等と比較して、匿名化部321がない点で構成が異なる。
履歴DB制御部301Aは、履歴DB303を制御し、ユーザの個人情報(ユーザ情報)と、ユーザが享受したサービスの履歴を示すサービス履歴と、ユーザの個人情報(ユーザ情報)とサービス履歴とに対応する一時識別子とを管理する。
例えば、履歴DB制御部301Aは、ポータルサーバ200にサービス履歴情報を提供するときに、ユーザIDに対応した一時識別子の生成を一時識別子生成部302へ依頼する。また、履歴DB制御部301Aは、例えば、一時識別子生成部302からユーザIDと一時識別子とを受信すると、履歴DB303内でユーザIDと一時識別子との紐付けを行い、一時識別子とサービス履歴とを対応付けて管理する。履歴DB制御部301Aは、ポータルサーバ200へ一時識別子とサービス履歴とをサービス履歴情報として送信する。図24は、実施の形態2に係るサービス履歴情報の構成の一例を示した図である。
一時識別子生成部302は、ユーザIDに対応した一時識別子を生成する。例えば、一時識別子生成部302は、履歴DB制御部301から依頼を受信すると、ユーザIDから一時識別子を生成する。なお、一時識別子の生成方法は、実施の形態1で説明したとおりであるため、説明を省略する。
履歴DB303は、個人情報DB、サービス履歴DB、および一時識別子を記憶する。
ここで、個人情報DBは、ユーザの基本プロフィールデータである、氏名や住所などの情報を属性情報として含むユーザ情報として格納する。図25は、本開示に係る個人情報DBの構成の一例を示した図である。図25に示す例では、ユーザ情報は、ユーザの氏名、住所、生年月日、性別および趣味を項目(属性情報の項目)として含んでいる。これら項目の設定はシステムで種々設定すればよい。図25に示す例では、ID21のユーザ情報の属性情報として、氏名:山田美紀、住所:大阪市福島区3丁目10、生年月日:1980年10月5日、性別:女、趣味: エアロビクスが登録されている。また、ID22のユーザ情報の属性情報としては、氏名:加藤五郎、住所:千葉市中央区1丁目19、生年月日:1975年6月1日、性別: 男、趣味: マラソンが登録されている。これらユーザ情報に含まれる属性情報(共通する属性情報の項目)は、ユーザがサービスプロバイダサーバ300に始めて登録するときに、ユーザが入力する属性情報である。
図26は、サービス情報DBに記録されているデータの一例を示す図である。図26に示す例では、サービス履歴DBは、提案サービスの履歴情報としてIDごとにそのサービス履歴が記録されている。例えば、ID21の提供サービスの履歴情報には、「2011.12.28 走らないエアロ2セット、ラン30分、アドバイス、2012.1.3 上級エアロ1セット、バイク30分」と記録されている。これは、2011.12.28には、走らないエアロ2セット、ラン30分のトレーニングを受け、さらにトレーニングに関するアドバイスを受けたことを示す。同様にして、ID22の提供サービスの履歴情報には、2012.1.3には、上級エアロ1セット、バイク30分のトレーニングを受けたことが示されている。
通信部304Aは、ポータルサーバ200との通信を行う。通信部304Aは、ポータルサーバ200cとの通信ではSSL(Secure Socket Layer)通信を行う。SSL通信に必要な証明書は通信部304Aで記憶する。
以上のように、サービスプロバイダサーバ300は、ユーザが享受したサービスの履歴を示すサービス履歴と、ユーザを特定可能なユーザ情報とを記憶する。サービスプロバイダサーバ300は、記憶しているユーザ情報に対応する一時識別子を生成し、記憶しているサービス履歴と、生成した一時識別子とを、ポータルサーバ200に送信する。
2.5 情報管理システム10の動作
情報管理システム10の動作には、以下のものがある。
(1)ユーザがユーザ端末500を用いて、メーカサーバ100に登録するときの処理
(2)ユーザがメーカサーバ100に家電機器を登録するときの処理
(3)ユーザの機器400から家電履歴情報を機器履歴DBにアップロードするときの処理
(4)ポータルサーバ200からユーザに提案情報を提供する処理
なお、ユーザがユーザ端末を用いて、サービスプロバイダサーバ300に登録する処理は(1)の処理と同様のため、ここでは説明を省略する。また、ユーザのサービス履歴をサービスプロバイダサーバ300へ登録する処理は、サービスプロバイダによって異なる。すなわち、ユーザがサービス履歴を登録してもよいし、サービスプロバイダ側で提供したサービス履歴を登録するとしてもよい。
以下、それぞれについて図を用いて説明する。
2.5.1 ユーザの登録処理時の動作
図27は、ユーザがユーザ端末500を用いてメーカサーバ100に登録するときのシーケンス図である。
まず、S101において、メーカサーバ100とユーザ端末500との間でSSL認証を行い、暗号通信路を確立する。SSL認証およびSSL通信路については、ここでは詳しくは述べない。
次に、S102において、ユーザ端末500は、ユーザIDをメーカサーバ100に送信する。メーカサーバ100は、送信されたユーザIDがすでに登録されている場合にはその旨をユーザ端末500に通知し、登録処理を終了する。一方、送信されたユーザIDが未登録である場合は、新規登録が可能である旨をユーザ端末500に送信する。
次に、S103において、ユーザはユーザ端末500を介し、パスワード(以下、PWとする)および個人情報を、所定の書式に従って入力する。なお、これらの情報は、上述したように、メーカサーバ100における履歴DB105が有する個人情報DBに記録される。また、PWは、次回以降ユーザがメーカサーバ100に接続する際に用いる。メーカサーバ100は、入力されたPWを例えば図14におけるユーザ端末500と通信する通信部108に記録し、次回以降の接続時に、ユーザIDおよび記録したPWと、ユーザからの入力されたユーザIDおよびPWとを比較して、一致するときに、接続を許可する。
2.5.2 機器400の登録処理時の動作
図28は、ユーザがユーザ端末500を用いて自身の家電機器400を登録するときのシーケンス図である。ここで、ユーザは、ユーザ端末500において、例えば、メーカアプリ(図示しない)を起動して登録処理を行うとして説明する。なお、ユーザは、ユーザ端末500を用いてメーカサーバ100に接続して登録するとしてもよい。
まず、S111において、メーカサーバ100とユーザ端末500間でSSL認証を行い、暗号通信路を確立する。
次に、S112において、ユーザは初期登録の際に設定したPWを入力する。メーカサーバ100は、ユーザIDに対応して記録しているPWと比較し、一致していれば、認証成功とする。なお、認証失敗の場合、ユーザに認証失敗を通知する。
次に、S113において、ユーザは、アプリの家電登録メニューから登録する機器IDをユーザ端末500に入力し、ユーザ端末500から送信する。ここで、機器IDとは機器400を識別するIDである。機器IDは、機器400の筐体や同梱の印刷物に印刷されていてもよく、この場合、ユーザは、印刷されている機器IDを入力する。また、ユーザ端末500が機器IDを機器400から取得するとしてもよい。この場合、例えば、ユーザ端末500と機器400との間で通信することで、機器IDを取得し、ユーザ端末500からメーカサーバ100に送信するとしてもよい。
次に、S114において、メーカサーバ100は、機器IDをユーザIDに関連づけて登録する。
2.5.3 機器400からの機器履歴のアップロード処理時の動作
図29は、機器400が機器履歴情報をアップロードするときのシーケンス図である。なお、アップロードは、定期的または不定期に行われる。
まず、S121において、機器400は、蓄積した機器履歴を、機器IDとともにメーカサーバ100にアップロードする。
次に、S122において、メーカサーバ100は、機器IDとその機器履歴とを受信し、機器IDを用いて機器IDに対応する機器履歴DBを検索し、対応するユーザIDの領域に受信した機器履歴を追加する。
2.5.4 ポータルサーバ200からユーザに提案情報を提供するときの処理動作
図30〜図32は、実施の形態2に係るポータルサーバ200からユーザに提案情報を提供するときのシーケンス図である。なお、この提案情報の提供は、定期的または不定期に行われる。
まず、S131において、メーカサーバ100とポータルサーバ200との間でSSL認証を行い、暗号通信路を確立する。
次に、S132において、メーカサーバ100は、サービスを提供したいユーザを選択し、ユーザIDから一時識別子を生成する。
次に、S133において、メーカサーバ100は一時識別子と機器履歴とに対して署名を生成し、機器履歴証明書を生成する。メーカサーバ100は、生成した機器履歴証明書と公開鍵証明書とをポータルサーバ200に送信する。
次に、S134において、ポータルサーバ200は、メーカサーバ100から機器履歴証明書と公開鍵証明書を受信し、これら証明書の検証を行う。証明書の検証が失敗した場合、メーカサーバ100にエラーを通知する。
次に、S135において、ポータルサーバ200は、機器履歴証明書の検証が成功した場合、サービスプロバイダサーバ300との間でSSL認証を行い、暗号化通信路を確立する。
次に、S136において、ポータルサーバ200は、サービスプロバイダサーバ300に、機器履歴情報に関連するサービス履歴の取得依頼を送信する。
次に、S137において、サービスプロバイダサーバ300は、ポータルサーバ200からサービス情報取得依頼を受信すると、ユーザIDから一時識別子を生成し、ポータルサーバ200に一時識別子とサービス履歴とを送信する。
次に、S138において、ポータルサーバ200は、サービスプロバイダサーバ300からサービス履歴を受信すると、機器履歴とサービス履歴とに基づいて、提案情報を生成する。
次に、S139において、ポータルサーバ200は、生成した提案情報と機器履歴証明書とに対して署名を生成し、提案情報証明書を生成する。
次に、S140において、ポータルサーバ200は、生成した提案情報証明書をメーカサーバ100に送信する。
次に、S141において、メーカサーバ100は、受信した提案情報証明書を検証する。提案情報証明書の検証が失敗した場合、ポータルサーバ200にエラーを通知する。
次に、S142において、メーカサーバ100は、提案情報証明書の検証が成功した場合、提案情報証明書に含まれる機器履歴証明書から履歴DB内の機器履歴証明書を検索する。また、メーカサーバ100は、検索した機器履歴証明書に含まれる一時識別子と対応するユーザIDを検索し、提案情報を提供すべきユーザIDを特定する。
次に、S143において、メーカサーバ100は、特定したユーザIDへ提案情報を提供する。このとき、提案情報が機器400の制御情報を含む場合、ユーザ端末500に対して提案情報に制御情報が含まれる旨の通知を行い、ユーザ端末500からOKとの通知が来た場合、制御情報を送信する。なお、提案情報が機器400の制御情報を含まない場合、上記の通知は行わず、ユーザ端末500に提案情報を送信する。
2.6 効果
以上、実施の形態2によれば、一時識別子を用いることで、メーカサーバ100、ポータルサーバ200、および、サービスプロバイダサーバ300を連携させることができるので、ポータルサーバ200は、ユーザにサービスの提案情報を提供することができる。
より具体的には、メーカサーバ100と連携するポータルサーバ200には、個人情報を提供せずに、一時識別子を用いて機器履歴を提供することで、ポータルサーバ200は、ユーザのプライバシを保護しつつ、提案情報を生成することができる。また、メーカサーバ100は、メーカサーバ100が提供する機器履歴証明書に対して、提案情報証明書を生成することで、提供した機器履歴証明書が改ざんされたり、別のユーザの機器履歴情報に対する提案情報にすり替わっていたりすることをメーカサーバ100が検証することができる。また、ユーザはメーカサーバ100以外に個人情報を登録しなくとも、サービスプロバイダサーバ300と連携したポータルサーバ200からの提案情報を受けることができる。
以上のように、実施の形態2でも、ユーザはメーカサーバ100に登録するときにのみ、個人情報の登録を行い、サービスごとに登録する必要がない。また、メーカサーバ100は、ポータルサーバ200に機器履歴とともに一時識別子を提供するが、一時識別子はメーカサーバ100以外に特定のユーザと紐付けることができない(つまり、ユーザを特定できない)ことから、プライバシへの配慮も実現している。また、メーカサーバ100では、ユーザ情報と一時識別子とを紐付けて管理し、一時識別子に署名をつけて、ポータルサーバに提供することで、提案情報がユーザに適するものであることも検証することが可能となる。
(実施の形態3)
3.システムの構成
以下、実施の形態3に係る情報管理システム12について、図面を参照しながら説明する。
実施の形態3では、メーカサーバとサービスプロバイダサーバとに同一のユーザが存在する場合、ユーザの許可のもとユーザの機器履歴とサービス履歴とを紐付けて、ポータルサーバから提案情報を提供する場合について説明する。
3.1 情報管理システム12の全体構成
図33は、実施の形態3に係る情報管理システムの全体構成の一例を示す図である。情報管理システム12は、メーカサーバ100b、ポータルサーバ200b、サービスプロバイダサーバ300b、機器400、および、ユーザ端末500を備える。なお、実施の形態1および2と同様の機能を有する構成要素は、同じ符号を付して説明を省略する。
3.2 メーカサーバ100bの構成
図34は、実施の形態3に係るメーカサーバ100bの構成の一例を示すブロック図である。図34に示すメーカサーバ100は、履歴DB制御部101B、一時識別子生成部102、証明書生成部103B、証明書検証部104、履歴DB105、機器制御指示部106、機器制御情報DB107、通信部108A、および暗号処理部111から構成される。このメーカサーバ100bは、実施の形態2のメーカサーバ100の構成に加えて、暗号処理部111を備える。
履歴DB制御部101Bは、実施の形態1の履歴DB制御部101Aの機能に加え、ユーザ端末500を用いるユーザに対し、サービスプロバイダサーバ300bに個人情報付で機器履歴を提供してもよいか否かの問い合わせ機能を有する。履歴DB制御部101Bは、ユーザ端末500から個人情報付の機器履歴の提供可否を受信すると、履歴DB105内の個人情報DBを更新する。ここで、個人情報とは実施の形態1および2でのユーザ情報に対応する。
図35は、実施の形態3に係る個人情報DBの構成の一例を示した図である。図35に示すように、個人情報DBには、ユーザの個人情報と、個人情報付で機器履歴を提供可能なサービスプロバイダIDとが記憶される。例えば、履歴DB制御部101Bは、ポータルサーバ200bから提案情報を取得するときに、機器履歴を提供する。より具体的には、履歴DB制御部101Bは、提案情報を提供するユーザが個人情報付で機器履歴を提供することが可能となっている場合、当該サービスプロバイダIDとともに、ユーザIDに対応した個人情報の暗号化処理を暗号処理部111へ依頼する。履歴DB制御部101Bは、暗号処理部111から暗号化個人情報を受信すると、一時識別子とサービスプロバイダIDと暗号化個人情報と機器履歴とを対応付ける署名生成を証明書生成部103に依頼する。そして、証明書生成部103から機器履歴証明書を受信すると、受信した機器履歴証明書をポータルサーバ200bに送信する。
証明書生成部103Bは、履歴DB制御部101Bから一時識別子とサービスプロバイダIDと暗号化個人情報と機器履歴とを受信した場合に機器履歴証明書を生成する。
図36に実施の形態3に係る機器履歴証明書の構成の一例を示す。図36に示す機器履歴証明書は、一時識別子とサービスプロバイダIDと暗号化個人情報と機器履歴とに対し、証明書生成部103Bに保持する署名生成鍵(図示していない)で生成された署名(メーカ署名)を、一時識別子とサービスプロバイダIDと暗号化個人情報と機器履歴とを紐付けた上で付与した証明書である。機器履歴証明書を生成後、機器履歴証明書と署名生成鍵に対応する署名検証鍵を含んだ公開鍵証明書(図示していない)を送信する。公開鍵証明書は、署名検証鍵に対し、(全体構成には記述されていない)証明書発行センターが署名を施したものである。
暗号処理部111は、サービスプロバイダの公開鍵を保持し、履歴DB制御部101Bから暗号化処理の依頼とサービスプロバイダIDとを受信すると、サービスプロバイダIDに対応した公開鍵で個人情報を暗号化し、暗号化個人情報を履歴DB制御部101Bに送信する。
3.3 ポータルサーバ200bの構成
ポータルサーバ200bは、実施の形態2のポータルサーバ200と同様の構成である。すなわち、ポータルサーバ200bは、提案情報生成部201B、提案情報DB202、証明書生成部203B、証明書検証部204A、および、通信部205を備える。
以下では、実施の形態2と異なる機能を含む構成について説明する。
提案情報生成部201Bは、メーカサーバ100bから受信した機器履歴証明書に含まれる機器履歴と、サービスプロバイダサーバ300bから受信したサービス履歴証明書に含まれるサービス履歴と、提案情報DB202に記憶されている提案情報とに基づいて、ユーザに対する提案情報を生成する。より具体的には、提案情報生成部201Bは、メーカサーバ100bから機器履歴証明書を受信すると、サービスプロバイダIDの基づき、対応するサービスプロバイダにサービス履歴証明書の取得依頼を送付する。サービスプロバイダサーバ300bからサービス履歴証明書を受信すると、機器履歴証明書に含まれる機器履歴とサービス履歴証明書に含まれるサービス履歴とを用いて提案情報を生成する。なお、本実施の形態では、機器履歴証明書に対応するユーザとサービス履歴証明書に対応するユーザとは同一である。
以下では、ダイエットプログラムを提案情報として生成する場合の例を説明する。
まず、提案情報生成部201Bは、メーカサーバ100bから受信したユーザの機器履歴証明書にある一時識別子を取得し、機器履歴の利用履歴すなわち体組成計である機器400を利用したユーザの年代や体組成情報などを取得することできる。
次に、提案情報生成部201Bは、サービスプロバイダサーバ300bから当該ユーザが享受したサービスの履歴を示すサービス履歴を取得する。ここでは、サービスプロバイダサーバ300bは、フィットネスクラブが有するものであり、提案情報生成部201Bは、一時識別子とともにサービス履歴として、サービスプロバイダサーバ300bからフィットネスクラブで当該ユーザに提供しているサービスプログラムを取得する。また、提案情報生成部201Bは、サービスプロバイダサーバ300bから取得した当該ユーザと同年代のサービス履歴を参照し、ダイエットに成功している他のユーザのサービス履歴などに基づいて、当該ユーザに対する提案情報を生成する。ここで、当該ユーザに対する提案情報とは、例えば、フィットネスクラブでのメニューや自宅でできる運動メニュー、さらにダイエット向けの料理レシピなどである。
証明書生成部203Bは、提案情報と機器履歴証明書とに加えサービス履歴証明書を含めた提案情報証明書を生成する。図37に実施の形態3に係る提案情報証明書の構成の一例を示す。図37に示す提案情報証明書は、機器履歴証明書とサービス履歴証明書と提案情報とを紐付けた上で、証明書生成部203Bに保持する署名生成鍵(図示していない)で生成された署名(ポータルサーバ署名)を付与した証明書である。証明書生成部203Bは、提案情報証明書を生成後、提案情報証明書と署名生成鍵に対応する署名検証鍵を含んだ公開鍵証明書(図示していない)とを送信する。なお、公開鍵証明書は、実施の形態1および2と同様に、署名検証鍵に対し、(全体構成には記述されていない)証明書発行センターが署名を施したものである。また、署名生成は、機器履歴証明書と提案情報を結合した値のハッシュ値に対して、署名を生成するとしてもよい。
3.4 サービスプロバイダサーバ300bの構成
図38は、実施の形態3に係るサービスプロバイダサーバ300bの構成の一例を示すブロック図である。サービスプロバイダサーバ300bは、履歴DB制御部301B、一時識別子生成部302、履歴DB303、通信部304A、暗号処理部311、証明書検証部312および証明書生成部313を備える。なお、図7および図23と同様の機能を有する構成要素は、同じ符号を付して説明を省略する。
サービスプロバイダサーバ300bは、実施の形態2のサービスプロバイダサーバ300と比較して、暗号処理部311、証明書検証部312および証明書生成部313の構成が追加されている上、履歴DB制御部301Bの構成が異なる。また、サービスプロバイダサーバ300bは、実施の形態1のサービスプロバイダサーバ300cと比較して、履歴DB制御部301Bの構成が異なる。
以下では、実施の形態1および2と異なる部分を中心に説明する。
履歴DB制御部301Bは、ポータルサーバ200bから受信した機器履歴証明書を暗号処理部311に送信する。履歴DB制御部301Bは、暗号処理部311から復号した個人情報を受信すると、それを証明書検証部312に送信する。また、履歴DB制御部301Bは、証明書検証部312で証明書の検証が成功すると、個人情報から履歴DB303の個人情報DBから復号した個人情報と一致するユーザを特定する。履歴DB制御部301Bは、特定したユーザのサービス履歴を抽出すると、証明書生成部313に一時識別子と機器履歴証明書とサービス履歴とに対するサービス履歴証明書の生成を依頼する。履歴DB制御部301Bは、証明書生成部313からサービス履歴証明書を受信すると、ポータルサーバ200bへ送信する。ここで、図39は、実施の形態3に係るサービス履歴証明書の構成の一例を示す図である。
3.5 情報管理システム12の動作
情報管理システム12の動作には、以下のものがある。
(1)ユーザがユーザ端末500を用いて、メーカサーバ100bに登録するときの処理
(2)ユーザがメーカサーバ100bに家電機器を登録するときの処理
(3)ユーザの機器400から家電履歴情報を機器履歴DBにアップロードするときの処理
(4)ポータルサーバ200からユーザに提案情報を提供する処理
なお、(2)から(3)の処理は実施の形態2で説明した通りであるため、ここでは説明を省略する。
3.5.1 ユーザの登録処理時の動作
図40は、実施の形態3に係るユーザの登録処理を示すシーケンスである。
まず、S301において、メーカサーバ100bとユーザ端末500との間で、SSL認証を行い、暗号通信路を確立する。なお、SSL認証およびSSL通信路については、ここでは詳しくは述べない。
次に、S302において、ユーザ端末500は、ユーザIDをメーカサーバ100bに送信する。メーカサーバ100bは、送信されたユーザIDがすでに登録されている場合にはその旨をユーザ端末500に通知し、登録処理を終了する。一方、送信されたユーザIDが未登録である場合は、新規登録が可能である旨をユーザ端末500に送信する。
次に、S303において、ユーザはユーザ端末500を介し、パスワード(PW)および個人情報を所定の書式に従って入力する。
次に、S304において、メーカサーバ100bは、個人情報を提供可能なサービスプロバイダのリストをユーザに提示する。ユーザは、ユーザ端末500を介し、個人情報を提供してもよいと考えるサービスプロバイダを選択する。なお、ユーザの個人情報と選択したサービスプロバイダとは、メーカサーバ100bの履歴DB105が有する個人情報DBに記録される。
3.5.2 ポータルサーバ200bからユーザに提案情報を提供するときの処理動作
図41〜図44は、実施の形態3に係る提案情報提供処理のシーケンス図である。なお、この提案情報の提供は、定期的または不定期に行われる。
まず、S311において、メーカサーバ100bとポータルサーバ200bとの間でSSL認証を行い、暗号通信路を確立する。
次に、S312において、メーカサーバ100bは、サービスを提供したいユーザを選択し、ユーザIDから一時識別子を生成する。
次に、S313において、メーカサーバ100bは、ユーザがサービスプロバイダに個人情報を提供してもよいと許可している場合、個人情報をサービスプロバイダの暗号鍵で暗号化する。
次に、S314において、メーカサーバ100bは、一時識別子と暗号化個人情報と機器履歴とに対して署名を生成し、機器履歴証明書を生成する。メーカサーバ100bから機器履歴証明書と公開鍵証明書とをポータルサーバ200bに送信する。
次に、S315において、ポータルサーバ200bは、メーカサーバ100bから機器履歴証明書と公開鍵証明書とを受信し、機器履歴証明書の検証を行う。機器履歴証明書の検証が失敗した場合、メーカサーバ100bにエラーを通知する。
次に、S316において、ポータルサーバ200bは、機器履歴証明書の検証が成功した場合、機器履歴証明書に記載のサービスプロバイダIDに対応したサービスプロバイダサーバ300bとの間でとSSL認証を行い、暗号化通信路を確立する。
次に、S317において、ポータルサーバ200bは、サービスプロバイダサーバ300bに、機器履歴証明書と公開鍵証明書とともに、機器履歴証明書に関連するサービス履歴証明書の取得依頼を送信する。
次に、S318において、サービスプロバイダサーバ300bは、ポータルサーバ200bから機器履歴証明書と公開鍵証明書を受信し、機器履歴証明書の検証を行う。機器履歴証明書の検証が失敗した場合、ポータルサーバ200bにエラーを通知する。
次に、S319において、サービスプロバイダサーバ300bは、機器履歴証明書の検証が成功した場合、機器履歴証明書の暗号化個人情報を復号する。復号した個人情報から個人情報DBに登録されている個人情報と一致するユーザを特定する。
次に、S320において、サービスプロバイダサーバ300bは、特定したユーザのユーザIDから一時識別子を生成する。
次に、S321において、サービスプロバイダサーバ300bは、特定したユーザの一時識別子とサービス履歴と機器履歴証明書とに対して、署名を生成し、サービス履歴証明書を生成する。サービスプロバイダサーバ300bは、ポータルサーバ200bにサービス履歴証明書と公開鍵証明書とを送信する。
次に、S322において、ポータルサーバ200bは、サービスプロバイダサーバ300bからサービス履歴証明書と公開鍵証明書とを受信し、サービス履歴証明書の検証を行う。サービス履歴証明書の検証が失敗した場合、サービスプロバイダサーバ300bにエラーを通知する。
次に、S323において、ポータルサーバ200bは、サービス履歴証明書の検証が成功した場合、機器履歴とサービス履歴とに基づいて、提案情報を生成する。
次に、S325において、ポータルサーバ200bは、生成した提案情報と機器履歴証明書とに対して署名を生成し、提案情報証明書を生成する。
次に、S325において、ポータルサーバ200bは、生成した提案情報証明書をメーカサーバへ送信する。
次に、S326において、メーカサーバ100bは、受信した提案情報証明書を検証する。提案情報証明書の検証が失敗した場合、ポータルサーバ200bへエラーを通知する。
次に、S327において、メーカサーバ100bは、提案情報証明書の検証が成功した場合、提案情報証明書に含まれる機器履歴証明書から履歴DB内の機器履歴証明書を検索する。そして、メーカサーバ100bは、検索した機器履歴証明書に含まれる一時識別子と対応するユーザIDを検索し、提案情報を提供するユーザIDを特定する。
次に、S328において、メーカサーバ100bは、特定したユーザIDへ提案情報を提供する。このとき、提案情報が機器400の制御情報を含む場合、ユーザ端末500に対して提案情報に機器制御情報が含まれる旨の通知を行い、ユーザ端末500からOKとの通知が来た場合、制御情報を送信する。なお、提案情報が機器400の制御情報を含まない場合、上記の通知は行わず、ユーザ端末500に提案情報を送信する。
3.6 効果
以上、実施の形態3によれば、同一ユーザの機器履歴とサービス履歴とを用いることができるので、メーカサーバ100b、ポータルサーバ200b、および、サービスプロバイダサーバ300を連携させて、当該ユーザに提案情報を提供することができる。
より具体的には、メーカサーバ100bとサービスプロバイダサーバ300bとが連携するポータルサーバ200bへは、個人情報を提供しないが、ユーザの許可の下、メーカサーバ100bとサービスプロバイダサーバ300bとには個人情報が提供される。そのため、メーカサーバ100bとサービスプロバイダサーバ300bとは、同一ユーザの機器履歴とサービス履歴とをポータルサーバ200に提供することができる。
つまり、メーカサーバ100bは、ポータルサーバ200bに、ユーザが利用した機器400の機器履歴とユーザ情報とを提供する際、機器履歴に対するユーザ情報(個人情報)をサービスプロバイダサーバ300bのみが復号できるように暗号化して送付することで、ポータルサーバ200bへの匿名性を実現している。また、サービスプロバイダサーバ300bでは、復号した個人情報(ユーザ情報)に対するサービス履歴をポータルサーバ200bに提供することが可能となり、ポータルサーバ200bでは当該ユーザの機器履歴とサービス履歴から提案情報が生成できる。
それにより、ポータルサーバ200bは、ユーザのプライバシを保護しつつ、提案情報を生成することができる。
以上のように、実施の形態3では、ユーザはメーカサーバ100bやサービスプロバイダサーバ300bに登録するときにのみユーザの個人情報の登録を行い、ポータルサーバ200bへは個人情報を提供せずとも、ユーザの機器履歴とサービス履歴とを紐付けた情報をもとにポータルサーバ200bから提案情報を取得することができる。
以上、本発明の一つまたは複数の態様に係る情報管理方法および情報管理システムについて、実施の形態に基づいて説明したが、本発明は、この実施の形態に限定されるものではない。本発明の趣旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、本発明の一つまたは複数の態様の範囲内に含まれてもよい。
例えば、以下のような場合も本発明に含まれる。
(1)実施の形態2では、機器履歴証明書は、一時識別子と機器履歴とメーカ署名とから構成されているとして説明したが、これに限定されない。例えば図45に示すように有効期限を含めるとしてもよい。図45は、有効期限を含めた機器履歴証明書の構成の一例を示す図である。例えば機器履歴の情報が古い場合、ユーザに適した提案情報とならない場合が考えられるからである。図45に示すように機器履歴証明書に有効期限を含めることで、有効期限切れの機器履歴を用いた提案情報をユーザに提供することがなく、ユーザにとって新しい機器履歴を用いた提案情報を受けることができる。
(2)実施の形態1〜3では、機器400からメーカサーバ100等に直接機器履歴情報をアップロードしているが、ユーザ端末500を介してアップロードするとしてもよい。この場合、機器400とユーザ端末500とは、ローカル通信路やNFC(Near Field Communication)などの近接通信路で接続されるとしてもよい。
(3)実施の形態2では、メーカサーバ100がポータルサーバ200へ機器履歴証明書を提供するごとに一時識別子を生成しているが、これに限定されない。例えば、一定期間経過後に変えるとしてもよいし、機器履歴証明書を送る回数が所定のしきい値を越えた時点で変えるとしてもよい。これにより、複数回の機器履歴情報を組み合わせて、提案情報が提供することができる。
以下、より具体的に説明する。図46は、機器履歴情報の提供データリストの一例を示す図である。すなわち、メーカサーバ100は、図46に示す提供データリストに従って、ユーザの過去の機器履歴のうち、どの期間の機器履歴情報を提供するかを判断する。例えば、体組成計の機器履歴を提供する場合、図46に示すように、メーカサーバ100は、機器履歴証明書には1週間分の機器履歴が含めて提供することを判断する。なお、図46には、同じ一時識別子を用いて、機器履歴証明書を生成する場合、2回までが許容されることを示している。この履歴期間や送信許容回数は、メーカサーバ100が決定するとしてもよいし、ユーザやポータルサーバ200のリクエストに対応して決定するとしてもよい。また、決定後であっても、変更できるとしてもよい。
これにより、複数回の機器履歴情報を組み合わせるだけでなく、履歴期間や送信許容回数を決定することができる。それにより、ユーザが機器履歴すべてを提供したくない場合にも、機器の履歴期間や送信許容回数を適切に変更することができる。
(4)実施の形態1〜3では、ポータルサーバ200等がサービスプロバイダサーバ300等からサービス履歴を取得しているが、これ例に限定されない。例えば、メーカサーバ100等がサービスプロバイダサーバ300等からサービス履歴を取得するとしてもよい。このときのポータルサーバ200等から提案情報を提供する処理を以下に示す。
図47から図49は、ポータルサーバ200からユーザへ提案情報を提供する処理のシーケンス図である。
まず、S201において、メーカサーバ100とサービスプロバイダサーバ300との間でSSL認証を行い、暗号通信路を確立する。
次に、S202において、メーカサーバ100は、サービスを提供したいユーザを選択し、サービスプロバイダサーバ300にサービスを提供したいユーザが保有する機器に関連するサービス履歴の取得依頼を送信する。
次に、S203において、サービスプロバイダサーバ300は、メーカサーバ100からサービス情報取得依頼を受信すると、ユーザIDから一時識別子を生成し、メーカサーバ100へ一時識別子とサービス履歴を送信する。
次に、S204において、メーカサーバ100とポータルサーバ200との間でSSL認証を行い、暗号通信路を確立する。
次に、S205において、メーカサーバ100は、選択したユーザのユーザIDから一時識別子を生成する。
次に、S206において、メーカサーバ100は、一時識別子と機器履歴とに対して署名を生成し、機器履歴証明書を生成する。メーカサーバ100は、生成した機器履歴証明書および公開鍵証明書とともにサービス履歴をポータルサーバ200に送信する。
次に、S207において、ポータルサーバ200は、メーカサーバ100から機器履歴証明書と公開鍵証明書とサービス履歴とを受信し、機器履歴証明書の検証を行う。機器履歴証明書の検証が失敗した場合、メーカサーバ100にエラーを通知する。
次に、S208において、ポータルサーバ200は、機器履歴とサービス履歴とに基づいて、提案情報を生成する。
次に、S209において、ポータルサーバ200は、生成した提案情報と、機器履歴証明書およびサービス履歴とに対して署名を生成し、提案情報証明書を生成する。図50は、提案情報証明書の構成の一例を示す図である。図50に示す提案情報証明書は、機器履歴証明書とサービス履歴と提案情報とを紐付けた上、証明書生成部203に保持する署名生成鍵で生成した署名(ポータルサーバ署名)を付与した証明書である。
次に、S210において、ポータルサーバ200は、生成した提案情報証明書をメーカサーバ100へ送信する。
次に、S211において、メーカサーバ100は、受信した提案情報証明書を検証する。提案情報証明書の検証が失敗した場合、ポータルサーバ200へエラーを通知する。
次に、S212において、メーカサーバ100は、提案情報証明書の検証が成功した場合、提案情報証明書に含まれる機器履歴証明書を用いて履歴DB内の機器履歴証明書を検索する。メーカサーバ100は、検索した機器履歴証明書に含まれる一時識別子と対応するユーザIDを検索し、提案情報を提供するユーザIDを特定する。
次に、S213において、メーカサーバ100は、特定したユーザIDへ提案情報を提供する。このとき、提案情報が機器400の制御情報を含む場合、ユーザ端末500に対して提案情報に機器制御情報が含まれる旨の通知を行い、ユーザ端末500からOKとの通知が来た場合、制御情報を送信する。また、提案情報が機器400の制御情報を含まない場合、上記の通知は行わず、ユーザ端末500へ提案情報を送信する。
これにより、メーカサーバ100は、ポータルサーバ200に機器履歴に関連するサービス履歴のみを提供することで、ユーザに提案情報を取得することができる。
(5)実施の形態2では、S134において、証明書の検証処理が成功した場合に、ポータルサーバ200からサービスプロバイダサーバ300にサービス情報取得依頼をしているが、この例に限定されない。例えば定期的または不定期にポータルサーバ200からサービスプロバイダサーバ300へサービス情報取得依頼を行い、ポータルサーバ200でサービス情報を蓄積しておくとしてもよい。
(6)実施の形態2では、サービスプロバイダサーバ300から提供されるサービス履歴は、一時識別子とサービス履歴とで構成されるとしているが、これに限定するわけではない。例えば、一時識別子とサービス履歴とに対し、署名を生成し、一時識別子とサービス履歴と署名とを含むサービス履歴証明書としてもよい。さらに、サービスプロバイダサーバ300がポータルサーバ200からサービス履歴と機器履歴に基づいた提案情報と、サービス履歴証明書を含む提案情報証明書とを取得するとしてもよい。このとき、サービスプロバイダサーバ300は、証明書生成部と証明書検証部とを含むとしてもよい。これにより、メーカサーバ100だけでなく、サービスプロバイダサーバ300も提案情報を取得でき、ユーザに提案情報を提供することができる。
(7)実施の形態1〜3では、機器履歴やサービス履歴は、履歴DB105に格納するすべての情報を提供するとしているが、これに限定されない。例えば、最新の1日や1回分の履歴を提供するとしてもよいし、最新の数日や数回の履歴を提供するとしてもよい。
(8)実施の形態1〜3では、ポータルサーバ200等から機器400へ機器制御情報を提供するとして説明したが、ポータルサーバ200等は、機器制御情報の署名を生成し、機器400で検証するとしてもよい。
(9)実施の形態1〜3では、ポータルサーバ200等が提案情報を生成しているが、これに限定されない。例えば、メーカサーバ100がサービスプロバイダサーバ300からサービス履歴を取得し、ユーザへの提案情報を生成するとしてもよい。図51は、情報管理システム11Aの全体構成の一例を示す図である。図51に示す情報管理システム11Aは、メーカサーバ100a、サービスプロバイダサーバ300、機器400、および、ユーザ端末500を備える。メーカサーバ100aは、実施の形態2のメーカサーバ100の機能構成に加え、ポータルサーバ200の提案情報生成部201、提案情報DB202と同様の機能をもつ提案情報生成部と提案情報DBとを備えるとすればよい。
(10)実施の形態1〜3では、機器履歴は、1人のユーザ(1ユーザ)を選択して、履歴DB105に格納するすべての情報を提供するとしているが、これに限定するわけではない。例えば、複数のユーザの機器履歴を提供するとしてもよい。図52は、複数のユーザの機器履歴を含んだ機器履歴証明書の構成の一例を示す図である。
以下、図52を用いて、2ユーザの機器履歴を含んだ機器履歴証明書を例に説明する。すなわち、例えばメーカサーバ100は、1ユーザ分の機器履歴証明書を結合し、2ユーザ分の機器履歴証明書に対して、さらに署名を生成する。このとき、署名の方法としては、2ユーザ分の機器履歴証明書それぞれのハッシュ値に対して、ハッシュ値を結合し、結合したハッシュ値に署名をするとしてもよい。具体的には、一時識別子1と機器履歴1とメーカ署名1のそれぞれのハッシュ値をまたはそれぞれを結合したハッシュ値と、一時識別子2と機器履歴2とメーカ署名2のそれぞれのハッシュ値をまたはそれぞれを結合したハッシュ値を結合して、結合したハッシュ値に署名を行う。また、ハッシュ値ではなく、暗号結果や一方向性関数の演算結果とするとしてもよい。これにより、ポータルサーバ200が1ユーザ分の機器履歴証明書のみを取り出して、他の機器履歴証明書と組み合わせて、提案情報を生成した場合、メーカサーバ100は提案情報を検証することで、検出することができる。
(11)なお、上記(10)では、複数のユーザの機器履歴から機器履歴証明書を生成するとして説明したがそれに限らない。複数のユーザのうち、提案情報を提供しないユーザの機器履歴をハッシュ値として、ポータルサーバ200に提供しないとしてもよい。例えば、図52において、メーカサーバ100で機器履歴2のユーザには提案情報を提供しないため、ポータルサーバ200には機器履歴を提供しないと判断した場合、機器履歴2の領域に機器履歴2のハッシュ値を置き換えるとしてもよい。それにより、ポータルサーバ200では機器履歴2を取得することはできない。さらに、メーカ署名は一時識別子1と機器履歴1とメーカ署名1のハッシュ値と、一時識別子2と機器履歴2とメーカ署名2のハッシュ値からメーカ署名を生成しているため、機器履歴2をポータルサーバ200に提供しなくとも、署名の生成ができる。さらに、提案情報証明書の検証も同様に検証できる。
(12)実施の形態2では、ポータルサーバ200は一時識別子で識別する一ユーザに対して提案情報を生成しているが、これに限定するわけではない。例えば、複数の機器履歴証明書の一時識別子における属性情報が同じユーザに対して提案情報を生成するとしてもよい。
より具体的には、ポータルサーバ200は、複数の機器履歴証明書の一時識別子から、属性情報が同じ30代女性となっているユーザにダイエットプログラムを生成し、同じ提案情報を各機器履歴証明書の一時識別子に対応するユーザに対して、提案情報である30代女性向けダイエットプログラムを提供するとしてもよい。これにより、一ユーザに対してだけでなく、複数のユーザ向けに一斉に提案情報を提供することで、より多くのユーザに提案情報を提供することができる。
(13)実施の形態2では、ポータルサーバ200は、提案情報と機器履歴証明書とに対して署名を生成し、提案情報証明書を生成しているが、これに限定するわけではない。例えば、機器履歴証明書に含まれる一時識別子と提案情報とに対して署名を生成し、提案情報証明書とするとしてもよい。
(14)実施の形態3では、ポータルサーバ200bで個人情報を暗号化し、サービスプロバイダサーバ300bで暗号化個人情報を復号して、ユーザを特定しているが、これに限定するわけではない。例えばサービスプロバイダサーバ300bに登録されているユーザの個人情報を暗号化し、ポータルサーバ200bで復号するとしてもよい。
(15)実施の形態1では、匿名化ルールをポータルサーバ200cが生成して、メーカサーバ100cやサービスプロバイダサーバ300c等へ送信して、匿名化を行っているが、これに限定するわけではない。例えば、メーカサーバ100cやサービスプロバイダサーバ300c等が匿名化ルールを生成するとしてもよい。
(16)なお、上記の各装置は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記RAMまたはハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。
(17)また、上記の各装置を構成する構成要素の一部または全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAMなどを含んで構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、システムLSIは、その機能を達成する。
また、上記の各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部又はすべてを含むように1チップ化されてもよい。
また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。
(18)上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なICカードまたは単体のモジュールから構成されているとしてもよい。前記ICカードまたは前記モジュールは、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。前記ICカードまたは前記モジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ICカードまたは前記モジュールは、その機能を達成する。このICカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。
(19)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。
また、本発明は、前記コンピュータプログラムまたは前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD−ROM、MO、DVD、DVD−ROM、DVD−RAM、BD(Blu−ray(登録商標) Disc)、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよい。
また、本発明は、前記コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。
また、本発明は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。
また、前記プログラムまたは前記デジタル信号を前記記録媒体に記録して移送することにより、または前記プログラムまたは前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
(20)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。
(21)例えば、本開示の一態様である情報管理システムは、機器履歴を収集して管理する第1の管理サーバと、サービス履歴を収集して管理する第2の管理サーバと、前記機器履歴と前記サービス履歴を利用する第3の管理サーバと、前記機器履歴を前記第1の管理サーバへ送信する機器とからなる情報管理システムであって、前記第1の管理サーバは、前記機器履歴と前記機器履歴に関連するユーザ情報を格納する第1の履歴DBと、前記ユーザ情報を暗号化して暗号化ユーザ情報を算出する第1の暗号処理部と、前記暗号化ユーザ情報と前記機器履歴とに対する第1の署名を生成する第1の署名生成部と前記暗号化ユーザ情報と前記機器履歴と前記第1の署名とを含む機器履歴情報を第2の管理サーバへ提供する第1の提供部とを備え、前記第2の管理サーバは、前記サービス履歴と前記サービス履歴に関連するユーザ情報を格納する第2の履歴DBと、前記暗号化ユーザ情報を復号して、ユーザ情報を取得する第2の暗号処理部と、前記ユーザ情報に基づいて、前記履歴DBのサービス履歴を検索し、前記第3のサーバへ提供する第2の提供部を備え、前記第3の管理サーバは、前記機器履歴情報と前記サービス履歴情報に基づいて、提案情報を生成する提案情報生成部を備えるとしてもよい。
また、本開示の一態様である情報管理システムは、前記第2の管理サーバは、さらに前記機器履歴情報と前記サービス履歴とに対する第2の署名を生成する第2の署名生成部と前記第2の提供部は機器履歴情報と前記サービス履歴と前記第2の署名とを含むサービス履歴情報を第3の管理サーバへ提供し、前記第3の管理サーバは、さらに前記サービス履歴情報の署名を検証する検証部を備えるとしてもよい。
また、本開示の一態様である情報管理システムは、前記第3の管理サーバは、さらに、前記機器履歴情報と前記提案情報とに対する第3の署名を生成する第3の署名生成部と、前記機器履歴情報と前記提案情報と前記第2の署名とを含む第2の提案情報を第1の管理サーバへ提供する第3の提供部を備え、前記第1の管理サーバは、さらに前記第2の提案情報の署名を検証する検証部を備えるとしてもよい。
また、本開示の一態様である情報管理システムは、前記第1の管理サーバは、さらに、前記機器への制御情報を生成する制御情報生成部を備え、前記検証部で署名検証が成功した場合にのみ、前記制御情報生成部で制御情報を生成するとしてもよい。
また、本開示の一態様である情報管理システムは、前記機器履歴情報は、さらに前記機器履歴情報の有効期限を含み、前記第1の管理サーバの前記検証部は、さらに前記第2の提案情報に含まれる前記機器履歴情報の前記有効期限を検証するとしてもよい。
また、本開示の一態様である情報管理システムは、前記第1の提供部は、さらに前記第1の履歴DBに格納される前記機器履歴のうち、所定の期間内に格納された前記機器履歴のみを提供し、前記第1の提供部は、前記所定の期間と、提供する回数の所定の閾値を記録したリストを管理するとしてもよい。
(22)また、本開示の一態様である情報管理システムは、機器履歴を収集して管理する第1の管理サーバと、サービス履歴を収集して管理する第2の管理サーバと、前記機器履歴と前記サービス履歴を利用する第3の管理サーバと、前記機器履歴を前記第1の管理サーバへ送信する機器とからなる情報管理システムであって、前記第1の管理サーバは、前記機器履歴と前記機器履歴に関連するユーザ情報を格納する履歴DBと、前記ユーザ情報から一時識別子を生成する一時識別子生成部と、前記一時識別子と前記機器履歴とに対する第1の署名を生成する署名生成部と前記一時識別子と前記機器履歴と前記第1の署名とを含む機器履歴情報を第3の管理サーバへ提供する第1の提供部とを備え、前記第2の管理サーバは、前記サービス履歴を前記第3のサーバへ提供する第2の提供部を備え、前記第3の管理サーバは、前記機器履歴と前記サービス履歴に基づいて、提案情報を生成する提案情報生成部を備えるとしてもよい。
また、本開示の一態様である情報管理システムは、前記第3の管理サーバは、さらに前記機器履歴情報と前記提案情報とに対する第2の署名を生成する署名生成部と前記機器履歴情報と前記提案情報と前記第2の署名とを含む第2の提案情報を第1の管理サーバへ提供する第2の提供手段を備え、前記第1の管理サーバは、さらに前記第2の提案情報の署名を検証する検証部を備えるとしてもよい。
また、本開示の一態様である情報管理システムは、前記第1の管理サーバは、さらに、前記機器への制御情報を生成する制御情報生成部を備え、前記署名検証部で署名検証が成功した場合にのみ、前記制御情報生成部で制御情報を生成するとしてもよい。
また、本開示の一態様である情報管理システムは、前記機器履歴情報は、さらに前記一時識別子と前記機器履歴の有効期限を含み、前記第1の管理サーバの前記検証部は、さらに前記第2の提案情報に含まれる前記機器履歴情報の前記有効期限を検証するとしてもよい。
本発明は、情報管理方法および情報管理システムに利用でき、特に、互いに独立して稼動している複数のサーバと連携し、ユーザのプライバシに配慮して個人情報が提供されないポータルサーバ等の情報管理装置を備える情報管理方法および情報管理システムに利用することができる。
10、11、11A、12、13 情報管理システム
100、100a、100b、100c メーカサーバ
101、101A、101B 履歴DB制御部
102 一時識別子生成部
103、103A、103B、203、203A、203B 証明書生成部
104、204、204A 証明書検証部
105、303 履歴DB
106 機器制御指示部
107 機器制御情報DB
108、108A、205、205A、304、304A 通信部
111 暗号処理部
121、321 匿名化部
200、200b、200c ポータルサーバ
201、201A、201B 提案情報生成部
202 提案情報DB
211 匿名化ルール生成部
300、300b、300c、300d、300e サービスプロバイダサーバ
301、301A、301B 履歴DB制御部
302 一時識別子生成部
311 暗号処理部
312 証明書検証部
313 証明書生成部
400 機器
500 ユーザ端末

Claims (11)

  1. 情報を管理する情報管理装置による情報管理方法であって、
    ユーザ情報の匿名化に用いられる匿名化ルールを生成し、
    前記匿名化ルールを第1のサーバおよび第2のサーバに送信し、
    前記第1のサーバから、第1のユーザが使用する機器の動作履歴を示す機器履歴情報と、前記第1のユーザを特定可能な属性情報を含む第1のユーザ情報が前記匿名化ルールにより匿名化された第1の匿名化ユーザ情報とを受信し、
    前記第2のサーバから、第2のユーザが享受したサービスの履歴を示すサービス履歴情報と、前記第2のユーザを特定可能な属性情報を含む第2のユーザ情報が前記匿名化ルールで匿名化された第2の匿名化ユーザ情報とを受信し、
    前記第1の匿名化ユーザ情報と前記第2の匿名化ユーザ情報とが同一または類似すると判断された場合に、受信した前記機器履歴情報と前記サービス履歴情報とを関連付けて複合情報として管理し、
    前記匿名化ルールは、前記第1のサーバが記憶する前記機器履歴情報により示される動作の種類と前記第2のサーバが記憶する前記サービス履歴情報により示されるサービスの種類との組み合わせによって、ユーザを特定可能であるか否かに基づいて生成され
    前記匿名化ルールには、前記第1のユーザ情報および前記第2のユーザ情報に含まれる1以上の属性情報のうち、削除または抽象化すべき属性情報が規定されている、
    情報管理方法。
  2. 前記第1の匿名化ユーザ情報および前記第2の匿名化ユーザ情報は、第1のユーザおよび第2のユーザにおける性別、年齢、年代、住所および職業のうち少なくとも一を属性情報として含む、
    請求項1に記載の情報管理方法。
  3. 前記複合情報に基づいて、前記第1のユーザに対するサービス提案を示す提案情報を生成し、
    生成した前記提案情報を前記第1のサーバを介して前記第1のユーザへ提供する、
    請求項1または2に記載の情報管理方法。
  4. 前記提案情報は、前記機器を制御するための制御プログラムを含む情報である、
    請求項に記載の情報管理方法。
  5. 前記複合情報に基づいて前記第2のユーザに対するサービス提案を示す提案情報を生成し、
    生成した前記提案情報を前記第2のサーバを介して前記第2のユーザへ提供する、
    請求項1または2に記載の情報管理方法。
  6. 前記第1のユーザと前記第2のユーザとは同一ユーザである、
    請求項1〜のいずれか1項に記載の情報管理方法。
  7. 前記第1のユーザと前記第2のユーザとは異なるユーザである、
    請求項1〜のいずれか1項に記載の情報管理方法。
  8. 前記サービス履歴情報は、前記第2のユーザが医療を含む健康管理に関するサービスを受けた履歴を含む情報である、
    請求項1〜のいずれか1項に記載の情報管理方法。
  9. 前記サービス履歴情報は、前記第2のユーザが教育サービスを受けた履歴を含む情報である、
    請求項1〜のいずれか1項に記載の情報管理方法。
  10. 前記サービス履歴情報は、前記第2のユーザが交通サービスを受けた履歴を含む情報である、
    請求項1〜のいずれか1項に記載の情報管理方法。
  11. 情報を管理する情報管理装置と、
    第1のユーザが使用する機器の動作履歴を示す機器履歴情報と、前記第1のユーザを特定可能な属性情報を含む第1のユーザ情報とを記憶する第1のサーバと、
    第2のユーザが享受したサービスの履歴を示すサービス履歴情報と、前記第2のユーザを特定可能な属性情報を含む第2のユーザ情報を記憶する第2のサーバと、を備え、
    前記情報管理装置は、
    ユーザ情報の匿名化に用いられる匿名化ルールを生成し、
    前記匿名化ルールを前記第1のサーバおよび前記第2のサーバに送信し、
    前記第1のサーバから、前記機器履歴情報と、前記第1のユーザ情報が前記匿名化ルールで匿名化された第1の匿名化ユーザ情報とを受信し、
    前記第2のサーバから、前記サービス履歴情報と、前記第2のユーザ情報が前記匿名化ルールで匿名化された第2の匿名化ユーザ情報とを受信し、
    前記第1の匿名化ユーザ情報と前記第2の匿名化ユーザ情報とが同一または類似すると判断した場合に、受信した前記機器履歴情報と前記サービス履歴情報とを関連付けて複合情報として管理し、
    前記情報管理装置は、前記匿名化ルールを、前記第1のサーバが記憶する前記機器履歴情報により示される動作の種類と前記第2のサーバが記憶する前記サービス履歴情報により示されるサービスの種類との組み合わせによって、ユーザを特定可能であるか否かに基づいて生成し、
    前記匿名化ルールには、前記第1のユーザ情報および前記第2のユーザ情報に含まれる1以上の属性情報のうち、削除または抽象化すべき属性情報が規定されている、
    情報管理システム。
JP2019227294A 2012-09-28 2019-12-17 情報管理方法および情報管理システム Active JP6839890B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201261706910P 2012-09-28 2012-09-28
US61/706,910 2012-09-28
US201261720429P 2012-10-31 2012-10-31
US61/720,429 2012-10-31

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2018201120A Division JP6646827B2 (ja) 2012-09-28 2018-10-25 情報管理方法および情報管理システム

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2021015137A Division JP2021089749A (ja) 2012-09-28 2021-02-02 情報管理方法および情報管理システム

Publications (2)

Publication Number Publication Date
JP2020047308A JP2020047308A (ja) 2020-03-26
JP6839890B2 true JP6839890B2 (ja) 2021-03-10

Family

ID=50387470

Family Applications (5)

Application Number Title Priority Date Filing Date
JP2014520089A Active JP6152847B2 (ja) 2012-09-28 2013-09-18 情報管理方法および情報管理システム
JP2017096338A Active JP6435584B2 (ja) 2012-09-28 2017-05-15 情報管理方法および情報管理システム
JP2018201120A Active JP6646827B2 (ja) 2012-09-28 2018-10-25 情報管理方法および情報管理システム
JP2019227294A Active JP6839890B2 (ja) 2012-09-28 2019-12-17 情報管理方法および情報管理システム
JP2021015137A Pending JP2021089749A (ja) 2012-09-28 2021-02-02 情報管理方法および情報管理システム

Family Applications Before (3)

Application Number Title Priority Date Filing Date
JP2014520089A Active JP6152847B2 (ja) 2012-09-28 2013-09-18 情報管理方法および情報管理システム
JP2017096338A Active JP6435584B2 (ja) 2012-09-28 2017-05-15 情報管理方法および情報管理システム
JP2018201120A Active JP6646827B2 (ja) 2012-09-28 2018-10-25 情報管理方法および情報管理システム

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2021015137A Pending JP2021089749A (ja) 2012-09-28 2021-02-02 情報管理方法および情報管理システム

Country Status (3)

Country Link
US (1) US9898620B2 (ja)
JP (5) JP6152847B2 (ja)
WO (1) WO2014050027A1 (ja)

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9898620B2 (en) * 2012-09-28 2018-02-20 Panasonic Intellectual Property Management Co., Ltd. Information management method and information management system
JP6204854B2 (ja) * 2014-03-12 2017-09-27 株式会社Nttドコモ 情報提供システム、情報提供方法、近距離通信デバイス、情報提供装置及びサーバ
JP2016186783A (ja) * 2014-08-07 2016-10-27 パナソニックIpマネジメント株式会社 情報提供装置、情報提供方法、及び情報提供システム
JP6437842B2 (ja) * 2015-02-18 2018-12-12 Kddi株式会社 プライバシー保護装置、方法及びプログラム
US9716697B2 (en) 2015-07-24 2017-07-25 Google Inc. Generating bridge match identifiers for linking identifiers from server logs
CH712285B1 (de) * 2016-03-21 2020-04-30 Krech Thomas Daten-Netzwerk zur Umwandlung personalisierter persönlicher Daten in de-personalisierte persönliche Daten und Übermittlung der de-personalisierten Daten an einen Server.
WO2017204857A1 (en) 2016-05-23 2017-11-30 Taser International, Inc. Systems and methods for forming and operating an ecosystem for a conducted electrical weapon
KR101784265B1 (ko) * 2016-06-09 2017-10-12 주식회사 그리즐리 빅데이터의 비식별화 처리 방법
WO2018220763A1 (ja) * 2017-05-31 2018-12-06 株式会社日立製作所 データ管理方法およびデータ分析システム
US11025408B2 (en) * 2017-09-27 2021-06-01 Cable Television Laboratories, Inc. Provisioning systems and methods
JP7018774B2 (ja) * 2018-01-23 2022-02-14 三菱電機株式会社 情報提供装置、情報提供システム、情報提供方法及びプログラム
JP6342094B1 (ja) * 2018-01-30 2018-06-13 株式会社アドイン研究所 情報処理システム、情報処理方法及びプログラム
JP6697499B2 (ja) * 2018-03-20 2020-05-20 ヤフー株式会社 情報処理装置、情報処理方法、および情報処理プログラム
WO2019236815A1 (en) * 2018-06-07 2019-12-12 Convida Wireless, Llc Data anonymization for service subscriber's privacy
JP7145706B2 (ja) * 2018-09-18 2022-10-03 日本放送協会 ユーザ情報管理装置、ユーザ情報登録装置、ユーザ情報取得装置およびそれらのプログラム
JP2020112922A (ja) * 2019-01-09 2020-07-27 三菱電機株式会社 サーバ装置およびデータ移転方法
US10453017B1 (en) * 2019-03-07 2019-10-22 Lookout, Inc. Computer systems and methods to protect user credential against phishing
JP7308495B2 (ja) * 2019-05-31 2023-07-14 パナソニックIpマネジメント株式会社 情報管理装置、および、情報管理方法
JP7008661B2 (ja) * 2019-05-31 2022-01-25 本田技研工業株式会社 認証システム
EP3992888A4 (en) * 2019-06-27 2022-08-17 Panasonic Intellectual Property Management Co., Ltd. INFORMATION MANAGEMENT SYSTEM, INFORMATION MANAGEMENT DEVICE AND INFORMATION MANAGEMENT METHOD
JP7149905B2 (ja) * 2019-08-02 2022-10-07 ミサワホーム株式会社 匿名化システム
US11588646B2 (en) * 2019-09-05 2023-02-21 Cisco Technology, Inc. Identity-based application and file verification
JP7123887B2 (ja) * 2019-09-24 2022-08-23 株式会社東芝 データ転送制御装置、データ転送制御システム及びデータ転送制御方法
JP7392452B2 (ja) * 2019-12-20 2023-12-06 日本電気株式会社 ルール生成装置、情報処理システム、ルール生成方法、情報処理方法、及びプログラム
JP7428240B2 (ja) * 2020-04-24 2024-02-06 日本電気株式会社 認証システム、端末、端末の制御方法及びコンピュータプログラム
JP7445135B2 (ja) 2020-08-27 2024-03-07 富士通株式会社 通信プログラム、通信装置、通信方法、及び通信システム
JP7105283B2 (ja) * 2020-09-08 2022-07-22 ソフトバンク株式会社 情報送信装置及びプログラム
JP7481215B2 (ja) 2020-09-23 2024-05-10 株式会社TVer 匿名加工装置、プログラム及び匿名加工方法
KR102465768B1 (ko) * 2021-10-18 2022-11-15 주식회사 아이스크림에듀 개인화 맞춤형 학습분석 제공 시스템
GB202205929D0 (en) 2022-04-22 2022-06-08 Nicoventures Trading Ltd Processing

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6050924A (en) * 1997-04-28 2000-04-18 Shea; Michael J. Exercise system
JP2002032453A (ja) * 2000-07-18 2002-01-31 Nippon Telegr & Teleph Corp <Ntt> プライバシ保護方法および装置とプライバシ保護プログラムを記録した記録媒体
JP2003271782A (ja) * 2002-03-14 2003-09-26 Nec Corp 個人情報管理システム
US7472423B2 (en) * 2002-03-27 2008-12-30 Tvworks, Llc Method and apparatus for anonymously tracking TV and internet usage
JP4429619B2 (ja) * 2003-04-15 2010-03-10 三菱電機株式会社 情報提供装置
JP4227072B2 (ja) * 2004-05-18 2009-02-18 日本電信電話株式会社 おすすめ番組提供方法、おすすめ番組提供装置およびおすすめ番組提供プログラム
US20060010098A1 (en) * 2004-06-04 2006-01-12 Goodnow Timothy T Diabetes care host-client architecture and data management system
US8713090B2 (en) * 2006-12-15 2014-04-29 Microsoft Corporation Enhancing user experiences using aggregated device usage data
JP2008234041A (ja) * 2007-03-16 2008-10-02 Oki Electric Ind Co Ltd コンテキスト共有システム、コンテキスト共有方法、クライアント及びサーバ
US20090094281A1 (en) * 2007-10-04 2009-04-09 Jung Edward K Y Systems and methods for transferring combined epigenetic information and other information
JP2009159317A (ja) 2007-12-26 2009-07-16 Toshiba Corp 匿名サービス提供システム、装置、プログラム及び方法
JP5662158B2 (ja) * 2007-12-28 2015-01-28 コーニンクレッカ フィリップス エヌ ヴェ 情報交換システム及び装置
US8112301B2 (en) * 2008-04-14 2012-02-07 Tra, Inc. Using consumer purchase behavior for television targeting
US8000993B2 (en) * 2008-04-14 2011-08-16 Tra, Inc. Using consumer purchase behavior for television targeting
US20110015969A1 (en) * 2009-07-20 2011-01-20 Telcordia Technologies, Inc. System and method for collecting consumer information preferences and usage behaviors in well-defined life contexts
CN102473227B (zh) * 2009-07-31 2015-06-24 日本电气株式会社 信息管理设备、信息管理方法和信息管理程序
US9202230B2 (en) * 2010-04-06 2015-12-01 Intel Corporation Techniques for monetizing anonymized context
CA2714224C (en) * 2010-06-18 2011-10-25 Guest Tek Interactive Entertainment Ltd. Controller for providing user-tailored entertainment experience at entertainment device and method thereof
WO2012067213A1 (ja) * 2010-11-16 2012-05-24 日本電気株式会社 情報処理システム及び匿名化方法
JP2012118878A (ja) * 2010-12-02 2012-06-21 Ntt Docomo Inc リコメンドシステム及びリコメンド方法
US8365213B1 (en) * 2011-03-18 2013-01-29 Robert Orlowski System and method for measuring television advertising and program viewing at a second-by-second level and for measuring effectiveness of targeted advertising
US9015142B2 (en) * 2011-06-10 2015-04-21 Google Inc. Identifying listings of multi-site entities based on user behavior signals
CA2748698A1 (en) * 2011-08-10 2013-02-10 Learningmate Solutions Private Limited System, method and apparatus for managing education and training workflows
JP5742630B2 (ja) * 2011-09-28 2015-07-01 富士通株式会社 情報処理方法及び装置
US8621653B2 (en) * 2011-12-12 2013-12-31 Microsoft Corporation Secure location collection and analysis service
US9721105B2 (en) * 2012-01-18 2017-08-01 Nokia Technologies Oy Method and apparatus for generating privacy ratings for applications
US20130227225A1 (en) * 2012-02-27 2013-08-29 Nokia Corporation Method and apparatus for determining user characteristics based on use
US20130297387A1 (en) * 2012-05-01 2013-11-07 Joseph Michael Systems and methods for monitoring, managing, and facilitating communications and/or transactions relating to transportation infrastructure utilization
US9898620B2 (en) * 2012-09-28 2018-02-20 Panasonic Intellectual Property Management Co., Ltd. Information management method and information management system

Also Published As

Publication number Publication date
US9898620B2 (en) 2018-02-20
JP2020047308A (ja) 2020-03-26
JP2017168130A (ja) 2017-09-21
JP6435584B2 (ja) 2018-12-12
JPWO2014050027A1 (ja) 2016-08-22
WO2014050027A1 (ja) 2014-04-03
JP6152847B2 (ja) 2017-06-28
US20140325592A1 (en) 2014-10-30
JP2021089749A (ja) 2021-06-10
JP2019046488A (ja) 2019-03-22
JP6646827B2 (ja) 2020-02-14

Similar Documents

Publication Publication Date Title
JP6839890B2 (ja) 情報管理方法および情報管理システム
US20230010452A1 (en) Zero-Knowledge Environment Based Networking Engine
JP7406512B2 (ja) サービス加入者のプライバシのためのデータ匿名化
Elmisery et al. A new computing environment for collective privacy protection from constrained healthcare devices to IoT cloud services
US20230099208A1 (en) Records access and management
JP5939580B2 (ja) 匿名化データを名寄せするための名寄せシステム、並びに、その方法及びコンピュータ・プログラム
JP7551651B2 (ja) コンピュータシステム及び匿名データを処理するためのコンピュータシステムの操作方法
US7774852B2 (en) Health care system, key management server and method for managing key, and encrypting device and method for encrypting vital sign data
US11625411B2 (en) Information provision method
JP2016006553A (ja) 情報提供方法、情報管理システムおよび端末機器の制御方法
EP2774312A1 (en) Methods and apparatus for sharing real-time user context information
CN106960128A (zh) 基于分布式验证技术的智慧医疗数据管理方法及系统
JP5090425B2 (ja) 情報アクセス制御システム及び方法
KR20200120156A (ko) 전자 장치 및 전자 장치에서 의료 정보 공유 방법
JP6403709B2 (ja) 匿名化データを名寄せするための名寄せシステム、並びに、その方法及びコンピュータ・プログラム
CN112106376B (zh) 被配置为机顶盒的通用流媒体设备
JP2018041188A (ja) アドレス管理装置、データ管理システム及びプログラム
Williams et al. Privacy in Healthcare
KR102350614B1 (ko) 블록체인 레지스트리를 이용한 건강데이터 교류 시스템 및 방법과 이를 수행하기 위한 프로그램을 기록한 기록매체
Bhattasali et al. Securing Service in Remote Healthcare

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191217

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201111

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201117

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201218

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210105

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210202

R151 Written notification of patent or utility model registration

Ref document number: 6839890

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151