JP7476950B2 - 情報流通履歴管理システム、情報流通履歴管理方法、情報流通履歴管理装置およびプログラム - Google Patents
情報流通履歴管理システム、情報流通履歴管理方法、情報流通履歴管理装置およびプログラム Download PDFInfo
- Publication number
- JP7476950B2 JP7476950B2 JP2022503066A JP2022503066A JP7476950B2 JP 7476950 B2 JP7476950 B2 JP 7476950B2 JP 2022503066 A JP2022503066 A JP 2022503066A JP 2022503066 A JP2022503066 A JP 2022503066A JP 7476950 B2 JP7476950 B2 JP 7476950B2
- Authority
- JP
- Japan
- Prior art keywords
- service provider
- record
- provider server
- information
- personal information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007726 management method Methods 0.000 title claims description 250
- 238000012217 deletion Methods 0.000 claims description 137
- 230000037430 deletion Effects 0.000 claims description 137
- 230000004044 response Effects 0.000 claims description 14
- 238000012790 confirmation Methods 0.000 claims description 3
- 238000000034 method Methods 0.000 description 59
- 230000008569 process Effects 0.000 description 56
- 238000010586 diagram Methods 0.000 description 50
- 238000004891 communication Methods 0.000 description 31
- 238000012545 processing Methods 0.000 description 28
- 230000006870 function Effects 0.000 description 11
- 238000012986 modification Methods 0.000 description 11
- 230000004048 modification Effects 0.000 description 11
- 230000005540 biological transmission Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000036541 health Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000012946 outsourcing Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
- G06Q50/26—Government or public services
- G06Q50/265—Personal security, identity or safety
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
- G06F16/219—Managing data history or versioning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Tourism & Hospitality (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Human Resources & Organizations (AREA)
- Strategic Management (AREA)
- General Health & Medical Sciences (AREA)
- Marketing (AREA)
- General Business, Economics & Management (AREA)
- Primary Health Care (AREA)
- Economics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Educational Administration (AREA)
- Development Economics (AREA)
- Computer Security & Cryptography (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Transfer Between Computers (AREA)
Description
特許文献1に記載の発明によれば、個人情報の流通先となるサービス提供者は、電気通信サービス事業者(管理サーバ)に予め登録されたサービス提供者に限定されるために、利用者は安心感を得ることができる。
しかしながら、利用者は、個人情報を提示した後に、どの種別の個人情報がどのサービス提供者に提供されたのかを把握できない。このため、あるサービス提供者で個人情報漏洩事件が発生した場合に、自身の個人情報が漏洩した可能性があるか否かを把握できない。
≪情報流通履歴管理装置の概要≫
以下に、本発明を実施するための形態(実施形態)における情報流通履歴管理装置を含む情報流通履歴管理システムについて説明する。図1は、本実施形態に係る情報流通履歴管理システム10における個人情報411,412の流通(提供/受領)記録の生成を説明するための図である。情報流通履歴管理システム10は、情報流通履歴管理装置100、サービス利用者端末200、およびサービス提供者サーバ300A,300Bを含んで構成される。なお、サービス提供者サーバ300A,300Bを特に区別する必要がない場合には、サービス提供者サーバ300と記す。
なお、サービス利用者端末200やサービス提供者サーバ300は、個人情報記録とサービス提供者間記録との区別なしに、さらに、提供と受領との区別なしに記録の検索を要求してもよい。
図3は、本実施形態に係る情報流通履歴管理装置100の機能ブロック図である。情報流通履歴管理装置100は、制御部110、記憶部120、および通信部170を備える。通信部170は、サービス利用者端末200やサービス提供者サーバ300との通信データの送受信を行う。
図4は、本実施形態に係る個人情報データベース130のデータ構成図である。個人情報データベース130には、サービス利用者端末200、またはサービス提供者サーバ300から暗号化されて受信した個人情報が格納される。個人情報データベース130は、例えば表形式のデータであって、1つの行(レコード)は、1つの個人情報を示し、保管場所131、提供先132、および、暗号化個人情報133の列(属性)を含む。
レコード139に示される暗号化個人情報の保管場所131は「47942038」であり、提供先132は、「300AP,AS」で識別されるサービス提供者サーバ300Aである。なお、「300AP,AS」の「300AP」はサービス提供者サーバ300Aの運営者であるサービス提供者を示し、「AS」はサービス提供者サーバ300Aのサービスを示す。本実施形態では、サービス提供者サーバ300の識別情報は、サービス提供者の識別情報とサービスの識別情報との組み合わせであるとする。
図5は、本実施形態に係る記録データベース140のデータ構成図である。記録データベース140には、サービス利用者端末200やサービス提供者サーバ300間でやり取りされる個人情報の流通記録が格納される。記録データベース140は、例えば表形式のデータであって、1つの行(レコード)は、1つの個人情報の提供または受領の記録を示し、識別情報141、記録時刻142、利用者143、サービス提供者144、サービス145、個人情報種別146、提供先147、記録種別148、および保管場所149の列(属性)を含む。
記録時刻142は、記録が記録データベース140に格納された日時を示す。
利用者143は、提供または受領された個人情報が、どの利用者の個人情報であるかを示し、当該利用者の識別情報を示す。この識別情報は、アカウントデータベース160(後記する図6参照)の利用者/サービス提供者サーバ161に対応する。
サービス提供者144、およびサービス145は、個人情報の提供を受けて当該個人情報を保有するサービス提供者、および当該個人情報を利用するサービスを示す。サービス提供者サーバ300の運営者がサービス提供者144であり、サービス提供者サーバ300のサービスがサービス145である。本実施形態では、サービス提供者144とサービス145との組み合わせで、サービス提供者サーバ300を識別するようにする。1つのサービスを複数のサービス提供者サーバ300が提供する場合には、これら複数のサービス提供者サーバ300をひとまとめにして1つのサービス提供者サーバ300と見なす。
提供先147は、サービス提供者サーバ300が個人情報を提供したサービス提供者とそのサービスを示す。サービス提供者とサービスにより、提供先のサービス提供者サーバ300が識別可能となる。
記録種別148は、記録が提供の記録であるか、受領の記録であるかを示す。
保管場所149は、提供および受領の際に使われた個人情報データベース130の保管場所131(図4参照)を示す。
図6は、本実施形態に係るアカウントデータベース160のデータ構成図である。アカウントデータベース160には、情報流通履歴管理システム10に含まれるサービス利用者端末200やサービス提供者サーバ300の認証情報が格納される。認証情報は、アカウント登録処理(後記する図9および図10参照)において登録される。
利用者/サービス提供者サーバ161は、利用者またはサービス提供者サーバ300の識別情報である。
公開鍵162は、利用者が利用するサービス利用者端末200、または、サービス提供者が運営するサービス提供者サーバ300を認証するための公開鍵である。
レコード169は、「300AP,AS」を識別情報とするサービス提供者サーバ300Aの公開鍵が「A7259C4DD83E…」であることを示している。
図3に戻って、制御部110は、アカウント作成部111、記録作成部112、個人情報保管部113、および記録検索部114を備える。
アカウント作成部111は、サービス利用者端末200、またはサービス提供者サーバ300の要求により、アカウント登録処理(後記する図9および図10参照)を行う。アカウント登録処理後には、個人情報提供処理(後記する図11および図12参照)、サービス提供者間の個人情報流通処理(後記する図13および図14参照)、記録検索処理(後記する図15および図16参照)において、サービス利用者端末200、またはサービス提供者サーバ300の認証に用いられる公開鍵162(図6参照)が登録されている。
図7は、本実施形態に係るサービス利用者端末200の機能ブロック図である。サービス利用者端末200は、制御部210、記憶部220、通信部270、ディスプレイ281、キーボード282、およびマウス283を備える。通信部270は、情報流通履歴管理装置100やサービス提供者サーバ300とやり取りする通信データの送受信を行う。
プログラム221には、制御部210を構成するCPUが実行するアカウント登録処理(後記する図9参照)や個人情報提供処理(後記する図11および図12参照)、記録検索処理(後記する図15参照)の手順が示されている。
鍵保管領域222には、情報流通履歴管理装置100やサービス提供者サーバ300との通信における認証や暗号化に用いられる公開鍵暗号の秘密鍵と公開鍵とが保存される。
個人情報保管領域230には、情報流通履歴管理装置100に送信される個人情報が保存される。
アカウント要求部211は、情報流通履歴管理装置100に対してアカウント登録を要求する(後記する図9参照)。
記録検索要求部213は、個人情報提供記録検索要求441や個人情報受領記録検索要求442、サービス提供者間提供記録検索要求451、サービス提供者間受領記録検索要求452(図2参照)を情報流通履歴管理装置100に送信して、自身の個人情報をサービス提供者サーバ300に提供した記録やサービス提供者サーバ300間での流通記録、サービス提供者サーバ300間でやり取りされる個人情報種別の検索を要求する。
暗号化部215は、個人情報をサービス提供者サーバ300に提供するために、情報流通履歴管理装置100に送信する個人情報を暗号化する。他に、暗号化部215は、情報流通履歴管理装置100やサービス提供者サーバ300との通信における認証や暗号化、復号などを行う。
図8は、本実施形態に係るサービス提供者サーバ300の機能ブロック図である。サービス提供者サーバ300は、制御部310、記憶部320、および通信部370を備える。通信部370は、情報流通履歴管理装置100やサービス利用者端末200とやり取りする通信データの送受信を行う。
プログラム321には、制御部310を構成するCPUが実行するアカウント登録処理(後記する図10参照)や個人情報提供処理(後記する図11および図12参照)、サービス提供者間の個人情報流通処理(後記する図13および図14参照)、記録検索処理(後記する図16参照)の手順が示されている。
鍵保管領域322には、情報流通履歴管理装置100やサービス利用者端末200との通信における認証や暗号化に用いられる公開鍵暗号の秘密鍵と公開鍵とが保存される。
個人情報保管領域330には、情報流通履歴管理装置100に送信される個人情報や情報流通履歴管理装置100から受信した個人情報が保存される。
アカウント要求部311は、情報流通履歴管理装置100に対してアカウント登録を要求する(後記する図10参照)。
個人情報提供部312は、他のサービス提供者サーバ300に個人情報を提供するために、情報流通履歴管理装置100に個人情報を送信したり、サービス提供者間提供記録要求431(図1参照)を送信して個人情報の提供記録を要求したりする。
暗号化部316は、個人情報をサービス提供者サーバ300に提供するために、情報流通履歴管理装置100に送信する個人情報を暗号化する。また、暗号化部316は、サービス提供者サーバ300から受領した暗号化個人情報を復号する。他に、暗号化部316は、情報流通履歴管理装置100やサービス利用者端末200との通信における認証や暗号化、復号などを行う。
個人情報の扱いの例としては、個人情報をハードディスクなどの主記憶以外の記憶媒体に格納する場合や通信データとして送信する場合には暗号化するなどがある。なお、個人情報の扱いがセキュリティポリシに沿って強制されているか否かを応答するというセキュリティモジュール317の機能は、attestation機能と呼ばれる。
図9は、本実施形態に係るサービス利用者端末200のアカウント登録処理のシーケンス図である。図9を参照しながら、サービス利用者端末200の利用者の識別情報および公開鍵を情報流通履歴管理装置100に登録する処理を説明する。
ステップS101においてサービス利用者端末200のアカウント要求部211は、利用者の識別情報(図9では「利用者ID(IDentifier)」と記載)を生成する。アカウント要求部211は、例えば、乱数を生成して利用者の識別情報とする。
ステップS103においてアカウント要求部211は、ステップS101で生成した利用者の識別情報(図9では「利用者ID」と記載)、およびステップS102で生成した公開鍵を、情報流通履歴管理装置100に送信する。
図10は、本実施形態に係るサービス提供者サーバ300のアカウント登録処理のシーケンス図である。サービス提供者サーバ300のアカウント登録処理は、図9に示したサービス利用者端末200のアカウント登録処理と同様の処理であり、ステップS121~S124は、それぞれステップS101~S104に対応する。
図11は、本実施形態に係る個人情報提供処理のシーケンス図(1)である。図12は、本実施形態に係る個人情報提供処理のシーケンス図(2)である。図11および図12を参照しながら、情報流通履歴管理装置100を介したサービス利用者端末200からサービス提供者サーバ300への個人情報提供処理を説明する。
ステップS202においてサービス利用者端末200の暗号化部215は、ステップS201で生成した共通鍵を用いてサービス提供者サーバ300に提供する個人情報と利用者の識別情報とを暗号化する。なお、以下では、個人情報と利用者の識別情報とを合わせて個人情報とも記す。
個人情報保管部113は、個人情報データベース130(図4参照)にレコードを追加し、当該レコードの暗号化個人情報133にステップS203で受信した暗号化個人情報を格納する。次に、個人情報保管部113は、当該レコードの提供先132に受信した提供先のサービス提供者サーバ300の識別情報(図11では「提供先ID」と記載)を格納する。また、個人情報保管部113は、保管場所として乱数を生成して、当該レコードの保管場所131に格納する。
ステップS206において個人情報提供部212は、サービス提供者サーバ300にセキュリティモジュール317の検証を要求する。詳しくは、個人情報提供部212は、個人情報の扱いがセキュリティポリシに沿って強制されているか否かを問い合わせる。
ステップS207においてサービス提供者サーバ300のセキュリティモジュール317は、サービス提供者サーバ300において、個人情報の扱いがセキュリティポリシに沿って強制されているか否かを検証する。
ステップS209において個人情報提供部212は、サービス提供者サーバ300に公開鍵を要求する。この公開鍵は、サービス提供者サーバ300に提供する個人情報を暗号化する共通鍵(ステップS201参照)を暗号化する鍵である。
ステップS211において鍵管理部315は、ステップS210で生成した公開鍵をサービス利用者端末200に送信する。
ステップS212においてサービス利用者端末200の暗号化部215は、ステップS201で生成した共通鍵をステップS211で受信した公開鍵で暗号化する。
ステップS214において個人情報提供部212は、情報流通履歴管理装置100に保管場所を送信して、個人情報の提供を記録するように要求する。
ステップS215において情報流通履歴管理装置100の記録作成部112は、記録データベース140(図5参照)のなかで、保管場所149が、ステップS214で受信した保管場所で、記録種別148が「提供」であるレコードを検索することで、ステップS204で更新したレコードを特定する。記録作成部112は、特定したレコードの記録時刻142を現在時刻に更新する。
ステップS217において個人情報保管部113は、暗号化個人情報をサービス提供者サーバ300に送信する。詳しくは、個人情報保管部113は、個人情報データベース130(図4参照)のなかで、保管場所131が受信した保管場所に一致するレコードを検索する。次に、個人情報保管部113は、検索結果のレコードの提供先132が、暗号化個人情報を要求したサービス提供者サーバ300に合致するかを確認する。合致しない場合には、個人情報保管部113は、サービス提供者サーバ300にエラーを送信し、合致する場合には、検索結果のレコードの暗号化個人情報133を送信する。エラーを受信した場合には、サービス提供者サーバ300の個人情報受領部313は、個人情報提供処理を中断して終了する。
ステップS219において個人情報受領部313は、情報流通履歴管理装置100に保管場所を送信して、個人情報の受領を記録するように要求する。
以上で受領記録の生成は終了するが、この後に個人情報保管部113が、個人情報データベース130のなかのステップS217で送信した暗号化個人情報のレコードを削除してもよい。
図13は、本実施形態に係るサービス提供者間の個人情報流通処理のシーケンス図(1)である。図14は、本実施形態に係るサービス提供者間の個人情報流通処理のシーケンス図(2)である。サービス提供者間の個人情報流通処理は、記録データベース140(図5参照)の提供先147の扱いを除いて、図11および図12に示した個人情報提供処理と同様の処理である。以下では、記録データベース140に係る処理として、ステップS303~S304、およびステップS320を説明する。
ステップS203と比較すると、利用者の識別情報を加えて情報流通履歴管理装置100に送信している。
ステップS204では、提供先147は「N/A」であったが、ステップS304ではサービス提供者サーバ300Aが提供先としたサービス提供者サーバ300Bとなる。
図15は、本実施形態に係るサービス利用者端末200が要求する検索処理のシーケンス図である。
ステップS401においてサービス利用者端末200の記録検索要求部213は、情報流通履歴管理装置100に検索項目を送信して、記録の検索を要求する。検索項目の詳細は、後記する。
ステップS403において情報流通履歴管理装置100の記録検索部114は、ステップS402の検索結果をサービス利用者端末200に送信する。
検索項目が利用者(利用者の識別情報)である場合には、記録検索部114は、当該利用者が検索を要求したサービス利用者端末200の利用者であることを確認した後に、当該利用者の個人情報の提供および受領の記録を検索する。詳しくは、検索項目の利用者が検索を要求したサービス利用者端末200の利用者であることを確認した後に、記録検索部114は、記録データベース140(図5参照)のなかで、利用者143が検索項目である利用者に一致するレコードを検索する。検索結果の識別情報141と保管場所149とを除いて、サービス利用者端末200に送信する。
なお、記録検索部114は、さらに記録時刻142と記録種別148とを除いた残りの属性であるサービス提供者144、サービス145、個人情報種別146、および提供先147をサービス利用者端末200に送信してもよい。このとき、記録検索部114は、サービス提供者144、サービス145、個人情報種別146、および提供先147が同じになるレコードは、1件のレコードとしてまとめて送信してもよい。
このようにすることで、情報流通履歴管理装置100は、利用者のプライバシーを保護しつつ検索することができるようになる。
図16は、本実施形態に係るサービス提供者サーバ300が要求する検索処理のシーケンス図である。
ステップS411においてサービス提供者サーバ300の記録検索要求部314は、情報流通履歴管理装置100に検索項目を送信して、記録の検索を要求する。検索項目の詳細は、後記する。
ステップS413において情報流通履歴管理装置100の記録検索部114は、ステップS402の検索結果をサービス提供者サーバ300に送信する。
検索項目がサービス提供者サーバである場合には、記録検索部114は、当該サービス提供者サーバが係る提供および受領の記録を検索する。詳しくは、記録検索部114は、記録データベース140のなかで、サービス提供者144とサービス145とが検索項目であるサービス提供者サーバに一致するレコード、および、提供先147が検索項目であるサービス提供者サーバに一致するレコードを検索する。検索結果の識別情報141と利用者143と保管場所149とを除いて、サービス提供者サーバ300に送信する。検索項目のサービス提供者サーバは、サービス提供者であってもよい。
なお、記録検索部114は、さらに記録時刻142と記録種別148とを除いた残りの属性であるサービス提供者144、サービス145、個人情報種別146、および提供先147をサービス提供者サーバ300に送信してもよい。このとき、記録検索部114は、サービス提供者144、サービス145、個人情報種別146、および提供先147が同じになるレコードは、1件のレコードとしてまとめて送信してもよい。
検索項目は、記録データベース140の属性に対応する他の項目であってもよい。例えば、サービス提供者サーバと記録期間であってもよい。この場合、記録検索部114は、サービス提供者サーバ300が、サービス提供者144およびサービス145か、提供先147かになっている記録であって、記録時刻142が検索項目の記録期間に含まれる記録を検索する。
また、サービス提供者サーバに替わってサービス提供者であってもよい。サービス提供者で検索すると、当該サービス提供者が運営する全てのサービス提供者サーバ300に係る個人情報の提供や受領を検索することになる。
検索対象の記録の種別については、サービス利用者端末200からの検索要求(図15参照)と同様である。
このようにすることで、情報流通履歴管理装置100は、利用者のプライバシーを保護しつつ検索することができるようになる。
情報流通履歴管理システム10(図1参照)において、サービス利用者端末200からサービス提供者サーバ300Aに個人情報が提供される場合、暗号化された個人情報が、サービス利用者端末200から情報流通履歴管理装置100へ送信され、続いて情報流通履歴管理装置100からサービス提供者サーバ300Aに送信される。暗号化された個人情報が、サービス利用者端末200から情報流通履歴管理装置100へ送信されると、サービス利用者端末200の要求により記録データベース140に個人情報の提供が記録される。また、情報流通履歴管理装置100からサービス提供者サーバ300Aに送信されると、サービス提供者サーバ300Aの要求により記録データベース140に個人情報の受領が記録される。
サービス利用者端末200やサービス提供者サーバ300は、情報流通履歴管理装置100に要求して記録を検索することができる。利用者は、自身の個人情報がどこのサービス提供者に提供されたかが把握できるようになる。また、利用者は、自身の個人情報をサービス提供者に提供する前に、当該サービス提供者に個人情報を提供した場合にどこのサービス提供者に個人情報が流通するかを把握することができる。
上記した実施形態において、提供の記録要求(図11記載のステップS214、図13記載のステップS314参照)や受領の記録要求(図12記載のステップS219、図14記載のステップS319参照)のパラメータは、保管場所である。サービス利用者端末200やサービス提供者サーバ300が、同時に複数の個人情報の提供や受領を行わないなど、提供や受領の混同が発生しないならば、保管場所のパラメータは不要である。
上記した個人情報提供処理において、情報流通履歴管理装置100は、サービス提供者サーバ300からの受領記録の要求を受けてから、記録データベース140を更新している(図12記載のステップS219~S220)。情報流通履歴管理装置100は、ステップS217で暗号化個人情報を送信した後に受領記録の要求を受けることなしに、記録データベース140を更新してもよい。ネットワークの不調やサービス提供者サーバ300の不正などにより、受領記録の要求がない場合でも、受領を記録できるようになる。
また、提供の記録についても、ステップS205で保管場所を送信した後に提供記録の要求を受けることなしに、記録データベース140を更新(記録時刻142を更新(ステップS215参照))してもよい。
以上に示した、記録要求なしの記録データベース140を更新は、サービス提供者間の個人情報流通処理でも同様である。
本発明は、上記した実施形態に限定されることなく、その趣旨を逸脱しない範囲で変更することができる。例えば、情報流通履歴管理装置100は、個人情報データベース130や記録データベース140などを記憶しているが、データベースサーバなどの外部の装置に記憶してもよい。
記録の検索において(図15および図16参照)、検索結果に含まれる利用者143を除く替わりに、元の利用者が復元または推定できないようにして別の識別情報に置き換えてもよい(匿名化、仮名化など)。
本実施形態に係る情報流通履歴管理装置100は、例えば図17に示すような構成のコンピュータ900によって実現される。図17は、本実施形態に係る情報流通履歴管理装置100の機能を実現するコンピュータ900の一例を示すハードウェア構成図である。コンピュータ900は、CPU901、ROM(Read Only Memory)902、RAM(Random Access Memory)903、ハードディスク904(図17ではHDDと記載)、入出力インターフェイス905(図17ではI/O I/F(Input/Output Interface)と記載)、通信インターフェイス906、およびメディアインターフェイス907を備える。
CPU901は、入出力インターフェイス905を介して、マウスやキーボードなどの入力装置910、およびディスプレイやプリンタなどの出力装置911を制御する。CPU901は、入出力インターフェイス905を介して、入力装置910からデータを取得するともに、生成したデータを出力装置911へ出力する。
メディアインターフェイス907は、記録媒体912に格納されたプログラムまたはデータを読み取り、RAM903を介してCPU901へ出力する。CPU901は、プログラムを、メディアインターフェイス907を介して記録媒体912からRAM903上にロードし、ロードしたプログラムを実行する。記録媒体912は、DVD(Digital Versatile Disk)などの光学記録媒体、MO(Magneto Optical disk)などの光磁気記録媒体、磁気記録媒体、導体メモリテープ媒体または半導体メモリなどである。
以下に、情報流通履歴管理システム10の効果を説明する。
本実施形態の変形例1に係る情報流通履歴管理システム(システムともいう)においてサービス利用者からの削除要求による個人情報の削除処理について説明する。
ステップS503において、記録検索部114は、その検索結果(サービス提供者名に係る記録情報)を端末200へ送信する。
本実施形態の変形例2に係る情報流通履歴管理システムにおいてサービス利用者からの削除要求による個人情報の削除処理について、図23に示すシーケンス図を参照して説明する。但し、変形例2のシステムは、上記変形例1のシステムの削除部115(図18)、削除要求部216(図19)および削除要求受領部318(図20)を備える。
本実施形態の変形例3に係る情報流通履歴管理システムにおいてサービス利用者からの削除要求による個人情報の削除処理について、図24に示すシーケンス図を参照して説明する。但し、変形例3のシステムは、上記変形例1のシステムの削除部115(図18)、削除要求部216(図19)および削除要求受領部318(図20)を備える。
100 情報流通履歴管理装置
110 制御部
111 アカウント作成部
112 記録作成部
113 個人情報保管部
114 記録検索部
115 削除部
120 記憶部
121 プログラム
130 個人情報データベース
140 記録データベース
160 アカウントデータベース
200 サービス利用者端末
216 削除要求部
300 サービス提供者サーバ
318 削除要求受領部
Claims (12)
- ネットワークで接続されたサービス利用者端末、サービス提供者サーバ、および情報流通履歴管理装置を含んで構成される情報流通履歴管理システムであって、
前記サービス利用者端末は、
当該サービス利用者端末の利用者に係る個人情報の前記サービス提供者サーバへの提供を行う場合に、当該提供の記録を前記情報流通履歴管理装置に要求し、
前記サービス提供者サーバは、
前記個人情報の提供に対して受領を行う場合に、当該受領の記録を前記情報流通履歴管理装置に要求し、
前記情報流通履歴管理装置は、
前記サービス利用者端末から提供の記録の要求を受け付けて当該記録を記憶し、前記サービス提供者サーバから受領の記録の要求を受け付けて当該記録を記憶する記録作成部を備え、
前記サービス提供者サーバは、
受領した前記個人情報を他の前記サービス提供者サーバへ提供する場合に、当該提供の記録を前記情報流通履歴管理装置に要求し、
他の前記サービス提供者サーバは、
前記個人情報の前記サービス提供者サーバからの提供に対して受領を行う場合に、当該受領の記録を前記情報流通履歴管理装置に要求し、
前記記録作成部は、
前記サービス提供者サーバから提供の記録の要求を受け付けて当該記録を記憶し、他の前記サービス提供者サーバから受領の記録の要求を受け付けて当該記録を記憶し、
前記記録には、
前記サービス利用者端末の利用者の識別情報と、受領する前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報とを含む場合と、
前記サービス利用者端末の利用者の識別情報と、提供する前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報と、受領する他の前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報とを含む場合とがあり、
前記情報流通履歴管理装置は、
前記サービス利用者端末または前記サービス提供者サーバからの検索要求を受け付けて、前記記録を検索して検索結果を返信する記録検索部を、さらに備える
ことを特徴とする情報流通履歴管理システム。 - 前記記録は、
当該記録に係る個人情報の種別を含み、
前記記録検索部は、
前記サービス利用者端末または前記サービス提供者サーバが送信した、前記サービス提供者サーバの識別情報または前記サービス提供者の識別情報を含んだ前記記録の検索要求を受け付けると、当該サービス提供者サーバの識別情報または当該サービス提供者の識別情報を含む記録を検索し、検索結果から利用者の識別情報を削除した検索結果を返信する
ことを特徴とする請求項1に記載の情報流通履歴管理システム。 - 前記記録は、
当該記録に係る個人情報の種別を含み、
前記記録検索部は、
前記サービス利用者端末または前記サービス提供者サーバが送信した、前記個人情報の種別を含んだ前記記録の検索要求を受け付けると、当該個人情報の種別を含む記録を検索し、検索結果から利用者の識別情報を削除した検索結果を返信する
ことを特徴とする請求項1に記載の情報流通履歴管理システム。 - 前記記録検索部は、
前記サービス提供者サーバが送信した、前記利用者の識別情報を含んだ前記記録の検索要求を受け付けると、当該サービス提供者サーバまたは当該サービス提供者サーバのサービス提供者が提供した記録であって、当該利用者の識別情報を含む記録を検索し、検索結果に含まれる受領した前記サービス提供者サーバの識別情報および前記サービス提供者サーバのサービス提供者の識別情報を流通先の識別情報として取得し、
当該流通先の識別情報を提供した前記サービス提供者サーバの識別情報または前記サービス提供者サーバのサービス提供者の識別情報に含む記録であって、当該利用者の識別情報を含む記録を検索し、検索結果に含まれる受領した前記サービス提供者サーバの識別情報および前記サービス提供者サーバのサービス提供者の識別情報を前記流通先の識別情報に加えることを繰り返す
ことを特徴とする請求項1に記載の情報流通履歴管理システム。 - 前記記録検索部は、
前記サービス利用者端末または前記サービス提供者サーバから利用者の識別情報を含まない検索要求を受け付けると、検索結果から利用者の識別情報を削除した検索結果を返信する
ことを特徴とする請求項1に記載の情報流通履歴管理システム。 - 前記サービス利用者端末は、特定のサービス提供者サーバが保持するサービス利用者の個人情報を削除するための第1削除要求を生成する削除要求部を更に備え、
前記情報流通履歴管理装置は、前記サービス利用者端末から受領した前記第1削除要求に応じて、要求先である前記特定のサービス提供者サーバが保持する利用者の個人情報を削除する第2削除要求を生成する削除部を更に備え、
前記特定のサービス提供者サーバは、前記情報流通履歴管理装置から受領した前記第2削除要求に係る個人情報を当該サービス提供者サーバから削除し、この削除の完了を示す削除完了通知を生成する削除要求受領部を更に備え、
前記情報流通履歴管理装置が前記削除完了通知を受信後に、前記記録作成部は、当該削除完了通知に示される利用者の個人情報を削除した内容の削除記録を作成して記憶する
ことを特徴とする請求項1に記載の情報流通履歴管理システム。 - 前記サービス提供者サーバは、前記削除要求受領部が前記第2削除要求に係る個人情報を当該サービス提供者サーバから削除した後、削除した旨を証明する署名を行って署名情報を作成するセキュリティモジュールを更に備え、
前記情報流通履歴管理装置は、前記削除完了通知および前記署名情報を受信後に、前記記録作成部は、受信した削除完了通知に示される利用者の個人情報を削除した旨を表す削除記録に前記署名情報を付加した署名付き削除記録を作成して記憶する
ことを特徴とする請求項6に記載の情報流通履歴管理システム。 - 前記情報流通履歴管理装置が前記削除完了通知および前記署名情報を受信後に、前記削除部は、前記セキュリティモジュールがセキュリティポリシに沿って強制的に応答するattestation機能を用いて前記署名情報を作成したことを確認し、
前記記録作成部は、確認が取れた際に、前記削除完了通知に示される利用者の個人情報を削除した旨を表す削除記録に前記署名情報を付加した署名付き削除記録を作成して記憶する
ことを特徴とする請求項7に記載の情報流通履歴管理システム。 - 前記削除部は、記憶された前記サービス利用者端末の利用者の識別情報である利用者ID(IDentifier)と、前記第2削除要求が行われた情報提供先のサービス提供者サーバの識別情報である提供先IDとの組合せを個人情報データベースから検索した際に、この検索内容としての利用者IDと提供先IDとの組合せにより示唆される利用者の個人情報の第3削除要求を生成し、
前記第3削除要求を受信した情報提供元のサービス提供者サーバの前記削除要求受領部は、前記第3削除要求の内容に応じて削除要求対象の個人情報を削除し、削除後の利用者の個人情報を再度暗号化し、この暗号化された個人情報が前記情報流通履歴管理装置へ通知される
ことを特徴とする請求項6~8の何れか1項に記載の情報流通履歴管理システム。 - ネットワークで接続されたサービス利用者端末、サービス提供者サーバ、および情報流通履歴管理装置を含んで構成される情報流通履歴管理システムの情報流通履歴管理方法であって、
前記サービス利用者端末は、
当該サービス利用者端末の利用者に係る個人情報の前記サービス提供者サーバへの提供を行う場合に、当該提供の記録を前記情報流通履歴管理装置に要求するステップを実行し、
前記サービス提供者サーバは、
前記個人情報の提供に対して受領を行う場合に、当該受領の記録を前記情報流通履歴管理装置に要求するステップを実行し、
前記情報流通履歴管理装置は、
前記サービス利用者端末から提供の記録の要求を受け付けて当該記録を記憶し、前記サービス提供者サーバから受領の記録の要求を受け付けて当該記録を記憶するステップを実行し、
前記サービス提供者サーバは、
受領した前記個人情報を他の前記サービス提供者サーバへ提供する場合に、当該提供の記録を前記情報流通履歴管理装置に要求するステップを実行し、
他の前記サービス提供者サーバは、
前記個人情報の前記サービス提供者サーバからの提供に対して受領を行う場合に、当該受領の記録を前記情報流通履歴管理装置に要求するステップを実行し、
前記情報流通履歴管理装置は、
前記サービス提供者サーバから提供の記録の要求を受け付けて当該記録を記憶し、他の前記サービス提供者サーバから受領の記録の要求を受け付けて当該記録を記憶するステップを実行し、
前記記録には、
前記サービス利用者端末の利用者の識別情報と、受領する前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報とを含む場合と、
前記サービス利用者端末の利用者の識別情報と、提供する前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報と、受領する他の前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報とを含む場合とがあり、
前記情報流通履歴管理装置は、
前記サービス利用者端末または前記サービス提供者サーバからの検索要求を受け付けて、前記記録を検索して検索結果を返信するステップを実行する
ことを特徴とする情報流通履歴管理方法。 - ネットワークで接続されたサービス利用者端末、サービス提供者サーバ、および情報流通履歴管理装置を含んで構成される情報流通履歴管理システムの情報流通履歴管理装置であって、
前記サービス利用者端末の利用者に係る個人情報の前記サービス提供者サーバへの提供を行うサービス利用者端末から当該提供の記録の要求を受け付けて当該記録を記憶し、
当該個人情報の提供に対して受領を行うサービス提供者サーバから当該受領の記録の要求を受け付けて当該記録を記憶し、
受領した前記個人情報を他の前記サービス提供者サーバへ提供するサービス提供者サーバから当該提供の記録の要求を受け付けて当該記録を記憶し、
当該個人情報の前記サービス提供者サーバからの提供に対して受領を行う他の前記サービス提供者サーバから当該受領の記録の要求を受け付けて当該記録を記憶する記録作成部を備え、
前記記録には、
前記サービス利用者端末の利用者の識別情報と、受領する前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報とを含む場合と、
前記サービス利用者端末の利用者の識別情報と、提供する前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報と、受領する他の前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報とを含む場合とがあり、
前記情報流通履歴管理装置は、
前記サービス利用者端末または前記サービス提供者サーバからの検索要求を受け付けて、前記記録を検索して検索結果を返信する記録検索部を、さらに備える
ことを特徴とする情報流通履歴管理装置。 - コンピュータを請求項11に記載の情報流通履歴管理装置として機能させるためのプログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2020/007785 WO2021171429A1 (ja) | 2020-02-26 | 2020-02-26 | 情報流通履歴管理システム、情報流通履歴管理方法、情報流通履歴管理装置およびプログラム |
JPPCT/JP2020/007785 | 2020-02-26 | ||
PCT/JP2020/022544 WO2021171640A1 (ja) | 2020-02-26 | 2020-06-08 | 情報流通履歴管理システム、情報流通履歴管理方法、情報流通履歴管理装置およびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2021171640A1 JPWO2021171640A1 (ja) | 2021-09-02 |
JP7476950B2 true JP7476950B2 (ja) | 2024-05-01 |
Family
ID=77490870
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022503066A Active JP7476950B2 (ja) | 2020-02-26 | 2020-06-08 | 情報流通履歴管理システム、情報流通履歴管理方法、情報流通履歴管理装置およびプログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US20230105706A1 (ja) |
JP (1) | JP7476950B2 (ja) |
WO (2) | WO2021171429A1 (ja) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002024520A (ja) | 2000-07-07 | 2002-01-25 | Bewith Inc | カスタマーリレーションマネジメントシステム |
JP2003316908A (ja) | 2002-04-26 | 2003-11-07 | Nippon Telegr & Teleph Corp <Ntt> | 個人情報流通サービスシステムおよび個人情報管理サーバ |
JP2013145513A (ja) | 2012-01-16 | 2013-07-25 | Secom Co Ltd | 閲覧登録システム、システム運営者サーバ、及び閲覧登録方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8881227B2 (en) * | 2010-03-30 | 2014-11-04 | Authentic8, Inc. | Secure web container for a secure online user environment |
US9405930B2 (en) * | 2013-03-12 | 2016-08-02 | Jacqueline K. Vestevich | User-controlled centralized privacy marketplace system |
US10542031B2 (en) * | 2015-02-20 | 2020-01-21 | Authentic8, Inc. | Secure application for accessing web resources |
US20200285761A1 (en) * | 2019-03-07 | 2020-09-10 | Lookout, Inc. | Security policy manager to configure permissions on computing devices |
-
2020
- 2020-02-26 WO PCT/JP2020/007785 patent/WO2021171429A1/ja active Application Filing
- 2020-06-08 WO PCT/JP2020/022544 patent/WO2021171640A1/ja active Application Filing
- 2020-06-08 US US17/801,361 patent/US20230105706A1/en active Pending
- 2020-06-08 JP JP2022503066A patent/JP7476950B2/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002024520A (ja) | 2000-07-07 | 2002-01-25 | Bewith Inc | カスタマーリレーションマネジメントシステム |
JP2003316908A (ja) | 2002-04-26 | 2003-11-07 | Nippon Telegr & Teleph Corp <Ntt> | 個人情報流通サービスシステムおよび個人情報管理サーバ |
JP2013145513A (ja) | 2012-01-16 | 2013-07-25 | Secom Co Ltd | 閲覧登録システム、システム運営者サーバ、及び閲覧登録方法 |
Also Published As
Publication number | Publication date |
---|---|
US20230105706A1 (en) | 2023-04-06 |
WO2021171640A1 (ja) | 2021-09-02 |
JPWO2021171640A1 (ja) | 2021-09-02 |
WO2021171429A1 (ja) | 2021-09-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10708060B2 (en) | System and method for blockchain-based notification | |
US10999063B2 (en) | Methods and apparatus for verifying a user transaction | |
Pearson et al. | Sticky policies: An approach for managing privacy across multiple parties | |
TWI571765B (zh) | 用於保護上傳至網際網路站點的多媒體中之使用者隱私的系統和方法 | |
JP5024999B2 (ja) | 暗号管理装置、暗号管理方法、暗号管理プログラム | |
US20110276490A1 (en) | Security service level agreements with publicly verifiable proofs of compliance | |
EP3662403B1 (en) | Private data processing | |
JP2002073566A (ja) | 個人認証適用データ処理システム、個人認証適用データ処理方法、および情報処理装置、並びにプログラム提供媒体 | |
JP2002169465A (ja) | 公開鍵証明書利用システム、公開鍵証明書利用方法、および情報処理装置、並びにプログラム提供媒体 | |
JP2002169464A (ja) | 個人識別証明書リンクシステム、情報処理装置、および情報処理方法、並びにプログラム提供媒体 | |
JP2002073569A (ja) | 個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体 | |
JP6819748B2 (ja) | 情報処理装置、情報処理システム及びプログラム | |
JP6536609B2 (ja) | 管理装置及びドキュメント管理システム | |
JP2018156410A (ja) | 情報処理装置及びプログラム | |
US20130177156A1 (en) | Encrypted Data Processing | |
Wei et al. | Dynamic data integrity auditing for secure outsourcing in the cloud | |
Jayakrishnan et al. | A simple and robust end-to-end encryption architecture for anonymous and secure whistleblowing | |
KR20220013171A (ko) | 블록체인에 기반한 개인 정보 운용 방법, 장치 및 시스템 | |
JP7476950B2 (ja) | 情報流通履歴管理システム、情報流通履歴管理方法、情報流通履歴管理装置およびプログラム | |
Bingu et al. | A comprehensive review on security and privacy preservation in cloud environment | |
JP2023130017A (ja) | コンテンツ保護システム | |
JP6320943B2 (ja) | 鍵共有装置、鍵共有システム、鍵共有方法、プログラム | |
WO2020122095A1 (ja) | 制御方法、サーバ、プログラム、および、データ構造 | |
JPH11331145A (ja) | 情報共有システム、情報保管装置およびそれらの情報処理方法、並びに記録媒体 | |
JP5681585B2 (ja) | ファイル配信装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220711 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230627 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230823 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20231121 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231222 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240319 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240401 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7476950 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |