JP7476950B2 - 情報流通履歴管理システム、情報流通履歴管理方法、情報流通履歴管理装置およびプログラム - Google Patents

情報流通履歴管理システム、情報流通履歴管理方法、情報流通履歴管理装置およびプログラム Download PDF

Info

Publication number
JP7476950B2
JP7476950B2 JP2022503066A JP2022503066A JP7476950B2 JP 7476950 B2 JP7476950 B2 JP 7476950B2 JP 2022503066 A JP2022503066 A JP 2022503066A JP 2022503066 A JP2022503066 A JP 2022503066A JP 7476950 B2 JP7476950 B2 JP 7476950B2
Authority
JP
Japan
Prior art keywords
service provider
record
provider server
information
personal information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022503066A
Other languages
English (en)
Other versions
JPWO2021171640A1 (ja
Inventor
友梨香 菅
康彦 吉村
高生 山下
芳彦 大森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2021171640A1 publication Critical patent/JPWO2021171640A1/ja
Application granted granted Critical
Publication of JP7476950B2 publication Critical patent/JP7476950B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • G06Q50/26Government or public services
    • G06Q50/265Personal security, identity or safety
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/21Design, administration or maintenance of databases
    • G06F16/219Managing data history or versioning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Tourism & Hospitality (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Human Resources & Organizations (AREA)
  • Strategic Management (AREA)
  • General Health & Medical Sciences (AREA)
  • Marketing (AREA)
  • General Business, Economics & Management (AREA)
  • Primary Health Care (AREA)
  • Economics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Educational Administration (AREA)
  • Development Economics (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明は、サービス提供者間で流通する個人情報を管理する情報流通履歴管理システム、情報流通履歴管理方法、情報流通履歴管理装置およびプログラムに関する。
インターネット上のサービスを利用するためには、氏名、住所、電子メールアドレスなどの他に、様々な個人情報をサービス提供者に提示することが求められる。例えば、金融資産管理サービスでは、保有している金融資産や年収などが求められる。また、健康管理サービスでは、身長や体重の他に、日々の運動量や食事内容などをサービス提供者に送信することが求められる。家計管理サービスでは、日々の購買履歴が求められる。
サービス提供者に提示された個人情報は、当該サービス提供者から別のサービス提供者に渡される場合がある。これは、サービスを提供するために関連する(提携している)サービス提供者に渡される場合もあれば、サービス向上のためのサービス利用者を分析するための情報として渡される場合もある。
このように、サービス提供者に提示された個人情報は、当該サービス提供者が利用するのに留まらず、業務委託やサービス品質向上などの理由で当該サービス提供者と提携するサービス提供者に提供される。個人情報保護の観点から、サービス利用者が提示した個人情報が何の目的でどこのサービス提供者に渡される(流通する、提供される)のかを、サービス利用者が知ることができるようにすることが求められている。
特許文献1に記載の発明によれば、個人情報の流通先となるサービス提供者は、電気通信サービス事業者(管理サーバ)に予め登録されたサービス提供者に限定されるために、利用者は安心感を得ることができる。
特開2009-245182号公報
特許文献1に記載の発明によれば、サービス提供者に渡された個人情報は、電気通信サービス事業者に予め登録されたサービス提供者にのみに限定される。一方、サービス提供者は、提示された(取得した)個人情報の譲渡先を個人情報保護方針(セキュリティポリシ)に示すことになっており、サービス提供者に提示された個人情報は、信頼できるサービス提供者にのみに渡されることになっている。
しかしながら、利用者は、個人情報を提示した後に、どの種別の個人情報がどのサービス提供者に提供されたのかを把握できない。このため、あるサービス提供者で個人情報漏洩事件が発生した場合に、自身の個人情報が漏洩した可能性があるか否かを把握できない。
また、利用者は、これからサービスを利用しようとするサービス提供者について、当該サービス提供者が、どの種別の個人情報をどのサービス提供者に渡しているのかを把握できない。このため、利用者は、個人情報を提示してサービス提供者サーバが提供するサービスを利用してよいか否かを判断できない。例えば、利用者によっては、氏名や住所が他のサービス提供者に渡されることは構わないが、年収が他のサービス提供者に渡されるのは許容できない。しかしながら、特許文献1に記載の発明では、特定の種別の個人情報が渡されるのか否かを確認できない。
本発明は、このような背景を鑑みてなされたものであり、サービス提供者間で流通する個人情報の流通先の把握を可能にすることを課題とする。
前記した課題を解決するため、本発明に係る情報流通履歴管理システムは、ネットワークで接続されたサービス利用者端末、サービス提供者サーバ、および情報流通履歴管理装置を含んで構成される情報流通履歴管理システムであって、前記サービス利用者端末は、当該サービス利用者端末の利用者に係る個人情報の前記サービス提供者サーバへの提供を行う場合に、当該提供の記録を前記情報流通履歴管理装置に要求し、前記サービス提供者サーバは、前記個人情報の提供に対して受領を行う場合に、当該受領の記録を前記情報流通履歴管理装置に要求し、前記情報流通履歴管理装置は、前記サービス利用者端末から提供の記録の要求を受け付けて当該記録を記憶し、前記サービス提供者サーバから受領の記録の要求を受け付けて当該記録を記憶する記録作成部を備え、前記サービス提供者サーバは、受領した前記個人情報他の前記サービス提供者サーバへ提する場合に、当該提供の記録を前記情報流通履歴管理装置に要求し、他の前記サービス提供者サーバは、前記個人情報の前記サービス提供者サーバからの提供に対して受領を行う場合に、当該受領の記録を前記情報流通履歴管理装置に要求し、前記記録作成部は、前記サービス提供者サーバから提供の記録の要求を受け付けて当該記録を記憶し、他の前記サービス提供者サーバから受領の記録の要求を受け付けて当該記録を記憶し、前記記録には、前記サービス利用者端末の利用者の識別情報と、受領する前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報とを含む場合と、前記サービス利用者端末の利用者の識別情報と、提供する前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報と、受領する他の前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報とを含む場合とがあり、前記情報流通履歴管理装置は、前記サービス利用者端末または前記サービス提供者サーバからの検索要求を受け付けて、前記記録を検索して検索結果を返信する記録検索部を、さらに備えることを特徴とする。
本発明によれば、サービス提供者間で流通する個人情報の流通先の把握を可能にすることができる。
本実施形態に係る情報流通履歴管理システムにおける個人情報の流通(提供/受領)記録の生成を説明するための図である。 本実施形態に係る情報流通履歴管理システムにおける個人情報の流通記録の検索を説明するための図である。 本実施形態に係る情報流通履歴管理装置の機能ブロック図である。 本実施形態に係る個人情報データベースのデータ構成図である。 本実施形態に係る記録データベースのデータ構成図である。 本実施形態に係るアカウントデータベースのデータ構成図である。 本実施形態に係るサービス利用者端末の機能ブロック図である。 本実施形態に係るサービス提供者サーバの機能ブロック図である。 本実施形態に係るサービス利用者端末のアカウント登録処理のシーケンス図である。 本実施形態に係るサービス提供者サーバのアカウント登録処理のシーケンス図である。 本実施形態に係る個人情報提供処理のシーケンス図(1)である。 本実施形態に係る個人情報提供処理のシーケンス図(2)である。 本実施形態に係るサービス提供者間の個人情報流通処理のシーケンス図(1)である。 本実施形態に係るサービス提供者間の個人情報流通処理のシーケンス図(2)である。 本実施形態に係るサービス利用者端末が要求する検索処理のシーケンス図である。 本実施形態に係るサービス提供者サーバが要求する検索処理のシーケンス図である。 本実施形態に係る情報流通履歴管理装置の機能を実現するコンピュータの一例を示すハードウェア構成図である。 本実施形態の変形例1~3に係る情報流通履歴管理システムにおける情報流通履歴管理装置の機能ブロック図である。 本実施形態の変形例1~3に係る情報流通履歴管理システムにおけるサービス利用者端末の機能ブロック図である。 本実施形態の変形例1~3に係る情報流通履歴管理システムにおけるサービス提供者サーバの機能ブロック図である。 本実施形態の変形例1~3に係る情報流通履歴管理システムの個人情報の削除処理のシーケンス図である。 本実施形態の変形例1に係る情報流通履歴管理システムの個人情報の削除処理において、削除された利用者の個人情報が受け取り不可となる処理のシーケンス図である。 本実施形態の変形例2に係る情報流通履歴管理システムの個人情報の削除処理のシーケンス図である。 本実施形態の変形例3に係る情報流通履歴管理システムの個人情報の削除処理のシーケンス図である。
<実施形態>
≪情報流通履歴管理装置の概要≫
以下に、本発明を実施するための形態(実施形態)における情報流通履歴管理装置を含む情報流通履歴管理システムについて説明する。図1は、本実施形態に係る情報流通履歴管理システム10における個人情報411,412の流通(提供/受領)記録の生成を説明するための図である。情報流通履歴管理システム10は、情報流通履歴管理装置100、サービス利用者端末200、およびサービス提供者サーバ300A,300Bを含んで構成される。なお、サービス提供者サーバ300A,300Bを特に区別する必要がない場合には、サービス提供者サーバ300と記す。
個人情報411は、サービス利用者端末200からサービス提供者サーバ300Aに提供(提示)された個人情報である。図1では、サービス利用者端末200からサービス提供者サーバ300Aに直接に提供されるように記載しているが、実際には、情報流通履歴管理装置100を介して提供される。詳しくは、サービス利用者端末200から情報流通履歴管理装置100に個人情報411が送信され、続いて、情報流通履歴管理装置100からサービス提供者サーバ300Aに個人情報411が送信される。以下では、サービス利用者端末200から情報流通履歴管理装置100に個人情報411が送信されることを、個人情報411の提供とも記す。また、情報流通履歴管理装置100からサービス提供者サーバ300Aに個人情報411が送信されることを個人情報411の受領とも記す。
サービス提供者サーバ300Aが保有する個人情報411は、個人情報412としてサービス提供者サーバ300Bに流通する場合がある。この流通の場合においても、情報流通履歴管理装置100を介して個人情報412が流通される。サービス提供者サーバ300Aから情報流通履歴管理装置100に個人情報412が送信されることを、個人情報412の提供とも記す。また、情報流通履歴管理装置100からサービス提供者サーバ300Bに個人情報412が送信されることを個人情報412の受領とも記す。
利用者が利用するサービス利用者端末200からサービス提供者が運営するサービス提供者サーバ300Aへ、利用者の個人情報411が送信されるときには、個人情報411の送信に関する履歴が情報流通履歴管理装置100に蓄積される。詳しくは、サービス利用者端末200から情報流通履歴管理装置100へ個人情報の提供記録を要求する個人情報提供記録要求421が送信され、情報流通履歴管理装置100が提供を記録する。また、サービス提供者サーバ300Aから情報流通履歴管理装置100へ個人情報411の受領記録を要求する個人情報受領記録要求422が送信され、情報流通履歴管理装置100が受領を記録する。
サービス提供者サーバ300Aとサービス提供者サーバ300Bとの間で個人情報412が送信される場合も同様である。詳しくは、提供元のサービス提供者サーバ300Aから情報流通履歴管理装置100へ個人情報の提供記録を要求するサービス提供者間提供記録要求431が送信され、情報流通履歴管理装置100が提供を記録する。また、提供先のサービス提供者サーバ300Bから情報流通履歴管理装置100へ個人情報412の受領記録を要求するサービス提供者間受領記録要求432が送信され、情報流通履歴管理装置100が受領を記録する。
記録には、個人情報411,412に含まれる利用者(利用者の識別情報)や個人情報の種別(個人情報種別)、提供先/提供元のサービス提供者サーバ300A,300B(サービス提供者サーバ300の識別情報)などが含まれる。このようにすることで、サービス利用者端末200とサービス提供者サーバ300との間、およびサービス提供者サーバ300の間で個人情報の提供や受領が発生した場合には、個々の提供および受領の記録が情報流通履歴管理装置100に残るようになる。
図2は、本実施形態に係る情報流通履歴管理システム10における個人情報411,412の流通記録の検索を説明するための図である。サービス利用者端末200が情報流通履歴管理装置100に個人情報提供記録検索要求441や個人情報受領記録検索要求442を送信することで、利用者がサービス提供者サーバ300に提示した個人情報を検索することができる。また、サービス利用者端末200が情報流通履歴管理装置100にサービス提供者間提供記録検索要求451やサービス提供者間受領記録検索要求452を送信することで、サービス提供者サーバ300間で流通した個人情報の種別や利用者自身の個人情報を検索することができる。
なお、上記の説明では、個人情報記録(サービス利用者端末200からサービス提供者サーバ300への提供と受領)とサービス提供者間記録とを区別しているが、区別なしにサービス利用者端末200から情報流通履歴管理装置100に記録の検索を要求してもよい。また、サービス利用者端末200は、提供と受領とを区別せずに記録の検索を要求してもよい。
このようにサービス利用者端末200が、情報流通履歴管理装置100に要求して記録を検索することで、利用者は自身の個人情報が、どこのサービス提供者に提供されたかが把握できるようになる。また、利用者は、自身の個人情報をサービス提供者に提供する前に、当該サービス提供者に個人情報を提供した場合にどこのサービス提供者に個人情報が流通するかを把握することができる。
サービス提供者についても同様であって、サービス提供者サーバ300が情報流通履歴管理装置100に、サービス提供者間提供記録検索要求451やサービス提供者間受領記録検索要求452、個人情報提供記録検索要求441、個人情報受領記録検索要求442を送信することで、サービス提供者サーバ300間で流通した個人情報を検索したり、自身が提供した個人情報の流通先を把握できたりすることができる。
なお、サービス利用者端末200やサービス提供者サーバ300は、個人情報記録とサービス提供者間記録との区別なしに、さらに、提供と受領との区別なしに記録の検索を要求してもよい。
≪情報流通履歴管理装置の概要≫
図3は、本実施形態に係る情報流通履歴管理装置100の機能ブロック図である。情報流通履歴管理装置100は、制御部110、記憶部120、および通信部170を備える。通信部170は、サービス利用者端末200やサービス提供者サーバ300との通信データの送受信を行う。
記憶部120には、プログラム121、個人情報データベース130、記録データベース140、およびアカウントデータベース160が記憶される。プログラム121には、制御部110を構成するCPU(Central Processing Unit)が実行するアカウント登録処理(後記する図9および図10参照)や個人情報提供処理(後記する図11および図12参照)、サービス提供者間の個人情報流通処理(後記する図13および図14参照)、記録検索処理(後記する図15および図16参照)の手順が示されている。
≪情報流通履歴管理装置の概要:個人情報データベース≫
図4は、本実施形態に係る個人情報データベース130のデータ構成図である。個人情報データベース130には、サービス利用者端末200、またはサービス提供者サーバ300から暗号化されて受信した個人情報が格納される。個人情報データベース130は、例えば表形式のデータであって、1つの行(レコード)は、1つの個人情報を示し、保管場所131、提供先132、および、暗号化個人情報133の列(属性)を含む。
保管場所131は、暗号化された個人情報である暗号化個人情報133の保管場所を示す。保管場所131は、暗号化個人情報133の識別情報と見なしてもよい。提供先132は、暗号化個人情報133の提供先となるサービス提供者サーバ300の識別情報である。
レコード139に示される暗号化個人情報の保管場所131は「47942038」であり、提供先132は、「300AP,AS」で識別されるサービス提供者サーバ300Aである。なお、「300AP,AS」の「300AP」はサービス提供者サーバ300Aの運営者であるサービス提供者を示し、「AS」はサービス提供者サーバ300Aのサービスを示す。本実施形態では、サービス提供者サーバ300の識別情報は、サービス提供者の識別情報とサービスの識別情報との組み合わせであるとする。
サービス提供者サーバ300は、保管場所131を指定して、暗号化個人情報133を情報流通履歴管理装置100から受信することができる。この際、情報流通履歴管理装置100は、送信先のサービス提供者サーバ300と、提供先132とが一致することを確認してから送信する。
≪情報流通履歴管理装置の概要:記録データベース≫
図5は、本実施形態に係る記録データベース140のデータ構成図である。記録データベース140には、サービス利用者端末200やサービス提供者サーバ300間でやり取りされる個人情報の流通記録が格納される。記録データベース140は、例えば表形式のデータであって、1つの行(レコード)は、1つの個人情報の提供または受領の記録を示し、識別情報141、記録時刻142、利用者143、サービス提供者144、サービス145、個人情報種別146、提供先147、記録種別148、および保管場所149の列(属性)を含む。
識別情報141は、記録の識別情報である。
記録時刻142は、記録が記録データベース140に格納された日時を示す。
利用者143は、提供または受領された個人情報が、どの利用者の個人情報であるかを示し、当該利用者の識別情報を示す。この識別情報は、アカウントデータベース160(後記する図6参照)の利用者/サービス提供者サーバ161に対応する。
サービス提供者144、およびサービス145は、個人情報の提供を受けて当該個人情報を保有するサービス提供者、および当該個人情報を利用するサービスを示す。サービス提供者サーバ300の運営者がサービス提供者144であり、サービス提供者サーバ300のサービスがサービス145である。本実施形態では、サービス提供者144とサービス145との組み合わせで、サービス提供者サーバ300を識別するようにする。1つのサービスを複数のサービス提供者サーバ300が提供する場合には、これら複数のサービス提供者サーバ300をひとまとめにして1つのサービス提供者サーバ300と見なす。
個人情報種別146は、提供または受領された個人情報の種別を示す。種別としては、氏名、住所、電子メールアドレス(e-mail)、生年月日などがある。
提供先147は、サービス提供者サーバ300が個人情報を提供したサービス提供者とそのサービスを示す。サービス提供者とサービスにより、提供先のサービス提供者サーバ300が識別可能となる。
記録種別148は、記録が提供の記録であるか、受領の記録であるかを示す。
保管場所149は、提供および受領の際に使われた個人情報データベース130の保管場所131(図4参照)を示す。
レコード158で示される記録の記録種別148は提供であって、識別情報は「38472094」であり、記録されたのは、2020年2月3日10時34分56秒である。当該記録は、「48374324」で識別される利用者の個人情報であり、その種別は、住所と氏名である。当該個人情報は、「300AP」で識別されるサービス提供者144が運営する「AS」で識別されるサービス145で利用され、「47942038」で識別される保管場所149を経由して提供された。
レコード159で示される記録は、「300AP」で識別されるサービス提供者144が運営する「AS」で識別されるサービス145のサービス提供者サーバ300から提供された「42370528」で識別される利用者の氏名と電子メールアドレスの個人情報を、提供先147にある「300BP,BS」で識別されるサービス提供者サーバ300が受領した記録である。
≪情報流通履歴管理装置の概要:アカウントデータベース≫
図6は、本実施形態に係るアカウントデータベース160のデータ構成図である。アカウントデータベース160には、情報流通履歴管理システム10に含まれるサービス利用者端末200やサービス提供者サーバ300の認証情報が格納される。認証情報は、アカウント登録処理(後記する図9および図10参照)において登録される。
アカウントデータベース160は、例えば表形式のデータであって、1つの行(レコード)は、1つのアカウントを示し、利用者/サービス提供者サーバ161、および公開鍵162の列(属性)を含む。
利用者/サービス提供者サーバ161は、利用者またはサービス提供者サーバ300の識別情報である。
公開鍵162は、利用者が利用するサービス利用者端末200、または、サービス提供者が運営するサービス提供者サーバ300を認証するための公開鍵である。
レコード169は、「300AP,AS」を識別情報とするサービス提供者サーバ300Aの公開鍵が「A7259C4DD83E…」であることを示している。
≪情報流通履歴管理装置の概要:制御部≫
図3に戻って、制御部110は、アカウント作成部111、記録作成部112、個人情報保管部113、および記録検索部114を備える。
アカウント作成部111は、サービス利用者端末200、またはサービス提供者サーバ300の要求により、アカウント登録処理(後記する図9および図10参照)を行う。アカウント登録処理後には、個人情報提供処理(後記する図11および図12参照)、サービス提供者間の個人情報流通処理(後記する図13および図14参照)、記録検索処理(後記する図15および図16参照)において、サービス利用者端末200、またはサービス提供者サーバ300の認証に用いられる公開鍵162(図6参照)が登録されている。
記録作成部112は、個人情報提供記録要求421、個人情報受領記録要求422、サービス提供者間提供記録要求431、およびサービス提供者間受領記録要求432(図1参照)を受信して、個人情報の提供または受領の記録を記録データベース140(図5参照)に格納する。
個人情報保管部113は、サービス利用者端末200、およびサービス提供者サーバ300間での個人情報のやり取りを仲介する。詳しくは、サービス利用者端末200からサービス提供者サーバ300への個人情報の提供と受領とにおいて、サービス利用者端末200から提供された暗号化個人情報を個人情報データベース130に格納したり、個人情報データベース130から当該暗号化個人情報を取り出して受領するサービス提供者サーバ300に送信したりする。
また、サービス提供者サーバ300間での個人情報の提供と受領とにおいて、提供元となるサービス提供者サーバ300から提供された暗号化個人情報を個人情報データベース130に格納したり、個人情報データベース130から当該暗号化個人情報を取り出して受領するサービス提供者サーバ300に送信したりする。
記録検索部114は、サービス利用者端末200やサービス提供者サーバ300から個人情報提供記録検索要求441や個人情報受領記録検索要求442、サービス提供者間提供記録検索要求451、サービス提供者間受領記録検索要求452(図2参照)を受信して、記録データベース140(図5参照)を検索して、検索結果を返信する。
≪サービス利用者端末の構成≫
図7は、本実施形態に係るサービス利用者端末200の機能ブロック図である。サービス利用者端末200は、制御部210、記憶部220、通信部270、ディスプレイ281、キーボード282、およびマウス283を備える。通信部270は、情報流通履歴管理装置100やサービス提供者サーバ300とやり取りする通信データの送受信を行う。
記憶部220には、プログラム221が記憶され、鍵保管領域222や個人情報保管領域230が備わる。
プログラム221には、制御部210を構成するCPUが実行するアカウント登録処理(後記する図9参照)や個人情報提供処理(後記する図11および図12参照)、記録検索処理(後記する図15参照)の手順が示されている。
鍵保管領域222には、情報流通履歴管理装置100やサービス提供者サーバ300との通信における認証や暗号化に用いられる公開鍵暗号の秘密鍵と公開鍵とが保存される。
個人情報保管領域230には、情報流通履歴管理装置100に送信される個人情報が保存される。
制御部210は、アカウント要求部211、個人情報提供部212、記録検索要求部213、鍵管理部214、および暗号化部215を備える。
アカウント要求部211は、情報流通履歴管理装置100に対してアカウント登録を要求する(後記する図9参照)。
個人情報提供部212は、個人情報をサービス提供者サーバ300に提供するために、情報流通履歴管理装置100に個人情報を送信したり、個人情報提供記録要求421(図1参照)を送信して個人情報の提供記録を要求したりする。
記録検索要求部213は、個人情報提供記録検索要求441や個人情報受領記録検索要求442、サービス提供者間提供記録検索要求451、サービス提供者間受領記録検索要求452(図2参照)を情報流通履歴管理装置100に送信して、自身の個人情報をサービス提供者サーバ300に提供した記録やサービス提供者サーバ300間での流通記録、サービス提供者サーバ300間でやり取りされる個人情報種別の検索を要求する。
鍵管理部214は、情報流通履歴管理装置100やサービス提供者サーバ300との通信における認証や暗号化に用いられる公開鍵暗号の秘密鍵と公開鍵とを生成する。また、鍵管理部214は、個人情報の暗号化に用いられる共通鍵暗号の共通鍵を生成する。
暗号化部215は、個人情報をサービス提供者サーバ300に提供するために、情報流通履歴管理装置100に送信する個人情報を暗号化する。他に、暗号化部215は、情報流通履歴管理装置100やサービス提供者サーバ300との通信における認証や暗号化、復号などを行う。
≪サービス提供者サーバの構成≫
図8は、本実施形態に係るサービス提供者サーバ300の機能ブロック図である。サービス提供者サーバ300は、制御部310、記憶部320、および通信部370を備える。通信部370は、情報流通履歴管理装置100やサービス利用者端末200とやり取りする通信データの送受信を行う。
記憶部320には、プログラム321が記憶され、鍵保管領域322や個人情報保管領域330が備わる。
プログラム321には、制御部310を構成するCPUが実行するアカウント登録処理(後記する図10参照)や個人情報提供処理(後記する図11および図12参照)、サービス提供者間の個人情報流通処理(後記する図13および図14参照)、記録検索処理(後記する図16参照)の手順が示されている。
鍵保管領域322には、情報流通履歴管理装置100やサービス利用者端末200との通信における認証や暗号化に用いられる公開鍵暗号の秘密鍵と公開鍵とが保存される。
個人情報保管領域330には、情報流通履歴管理装置100に送信される個人情報や情報流通履歴管理装置100から受信した個人情報が保存される。
制御部310は、アカウント要求部311、個人情報提供部312、個人情報受領部313、記録検索要求部314、鍵管理部315、暗号化部316、およびセキュリティモジュール317を備える。
アカウント要求部311は、情報流通履歴管理装置100に対してアカウント登録を要求する(後記する図10参照)。
個人情報提供部312は、他のサービス提供者サーバ300に個人情報を提供するために、情報流通履歴管理装置100に個人情報を送信したり、サービス提供者間提供記録要求431(図1参照)を送信して個人情報の提供記録を要求したりする。
個人情報受領部313は、サービス利用者端末200から個人情報を受領するために、情報流通履歴管理装置100から暗号化個人情報を受信したり、個人情報受領記録要求422を送信して個人情報の受領記録を要求したりする。また、他のサービス提供者サーバ300から個人情報を受領するために、情報流通履歴管理装置100から暗号化個人情報を受信したり、サービス提供者間受領記録要求432を送信して個人情報の受領記録を要求したりする。
記録検索要求部314は、個人情報提供記録検索要求441や個人情報受領記録検索要求442、サービス提供者間提供記録検索要求451、サービス提供者間受領記録検索要求452(図2参照)を情報流通履歴管理装置100に送信して、サービス利用者端末200から取得した記録や、自身が提供した個人情報のサービス提供者サーバ300間での流通記録、サービス提供者サーバ300間でやり取りされる個人情報種別の検索を要求する。
鍵管理部315は、情報流通履歴管理装置100やサービス利用者端末200との通信における認証や暗号化に用いられる公開鍵暗号の秘密鍵と公開鍵とを生成する。また、鍵管理部315は、個人情報の暗号化に用いられる共通鍵暗号の共通鍵を生成する。
暗号化部316は、個人情報をサービス提供者サーバ300に提供するために、情報流通履歴管理装置100に送信する個人情報を暗号化する。また、暗号化部316は、サービス提供者サーバ300から受領した暗号化個人情報を復号する。他に、暗号化部316は、情報流通履歴管理装置100やサービス利用者端末200との通信における認証や暗号化、復号などを行う。
セキュリティモジュール317は、サービス提供者やサービスのセキュリティポリシに沿って、受領した個人情報が扱われることを強制する。また、セキュリティモジュール317は、サービス利用者端末200やサービス提供者サーバ300からの問い合わせに対して、この強制が可能か否かの応答を返す。
個人情報の扱いの例としては、個人情報をハードディスクなどの主記憶以外の記憶媒体に格納する場合や通信データとして送信する場合には暗号化するなどがある。なお、個人情報の扱いがセキュリティポリシに沿って強制されているか否かを応答するというセキュリティモジュール317の機能は、attestation機能と呼ばれる。
以下、図9~図16のシーケンス図を参照しながら、アカウント登録処理、サービス利用者端末200からサービス提供者サーバ300への個人情報提供処理、サービス提供者(サービス提供者サーバ300)間の個人情報流通処理、および記録の検索処理を説明する。なお、情報流通履歴管理装置100、サービス利用者端末200、およびサービス提供者サーバ300間の通信は、適宜保護されているものとする。例えば、アカウント登録処理(後記する図9および図10)では、サービス利用者端末200やサービス提供者サーバ300は、情報流通履歴管理装置100の公開鍵を用いて、情報流通履歴管理装置100を認証しており、通信データは暗号化されているものとする。また、個人情報提供処理やサービス提供者の間個人情報流通処理においては、情報流通履歴管理装置100、サービス利用者端末200、およびサービス提供者サーバ300の公開鍵を用いて、通信は相互に認証され、通信データは暗号化されているものとする。
≪アカウント登録処理:サービス利用者端末≫
図9は、本実施形態に係るサービス利用者端末200のアカウント登録処理のシーケンス図である。図9を参照しながら、サービス利用者端末200の利用者の識別情報および公開鍵を情報流通履歴管理装置100に登録する処理を説明する。
ステップS101においてサービス利用者端末200のアカウント要求部211は、利用者の識別情報(図9では「利用者ID(IDentifier)」と記載)を生成する。アカウント要求部211は、例えば、乱数を生成して利用者の識別情報とする。
ステップS102においてサービス利用者端末200の鍵管理部214は、公開鍵暗号の公開鍵と秘密鍵のペアを生成して、鍵保管領域222に格納する。
ステップS103においてアカウント要求部211は、ステップS101で生成した利用者の識別情報(図9では「利用者ID」と記載)、およびステップS102で生成した公開鍵を、情報流通履歴管理装置100に送信する。
ステップS104において情報流通履歴管理装置100のアカウント作成部111は、アカウントを作成して登録する。詳しくは、アカウント作成部111は、受信した利用者の識別情報が、アカウントデータベース160(図6参照)の利用者/サービス提供者サーバ161に登録されていないことを確認する。登録されていれば、サービス利用者端末200にエラーを通知して、アカウント登録処理を終える。以下、登録されていないとして説明を続ける。アカウント作成部111は、アカウントデータベース160にレコードを追加する。次に、アカウント作成部111は、追加したレコードの利用者/サービス提供者サーバ161に受信した利用者の識別情報を格納し、公開鍵162にステップS103で受信した公開鍵を格納する。
≪アカウント登録処理:サービス提供者サーバ≫
図10は、本実施形態に係るサービス提供者サーバ300のアカウント登録処理のシーケンス図である。サービス提供者サーバ300のアカウント登録処理は、図9に示したサービス利用者端末200のアカウント登録処理と同様の処理であり、ステップS121~S124は、それぞれステップS101~S104に対応する。
≪個人情報提供処理≫
図11は、本実施形態に係る個人情報提供処理のシーケンス図(1)である。図12は、本実施形態に係る個人情報提供処理のシーケンス図(2)である。図11および図12を参照しながら、情報流通履歴管理装置100を介したサービス利用者端末200からサービス提供者サーバ300への個人情報提供処理を説明する。
ステップS201においてサービス利用者端末200の鍵管理部214は、個人情報を暗号化するための共通鍵暗号の共通鍵(秘密鍵)を生成する。
ステップS202においてサービス利用者端末200の暗号化部215は、ステップS201で生成した共通鍵を用いてサービス提供者サーバ300に提供する個人情報と利用者の識別情報とを暗号化する。なお、以下では、個人情報と利用者の識別情報とを合わせて個人情報とも記す。
ステップS203においてサービス利用者端末200の個人情報提供部212は、ステップS202で暗号化した個人情報(以下、暗号化個人情報とも記す)、提供先のサービス提供者サーバ300の識別情報(図11では「提供先ID」と記載)、および個人情報種別を、情報流通履歴管理装置100に送信する。
ステップS204において情報流通履歴管理装置100の個人情報保管部113は、受信した暗号化個人情報を個人情報データベース130に格納する。また、情報流通履歴管理装置100の記録作成部112は、記録データベース140に提供を一部記録する。以下、詳しく説明する。
個人情報保管部113は、個人情報データベース130(図4参照)にレコードを追加し、当該レコードの暗号化個人情報133にステップS203で受信した暗号化個人情報を格納する。次に、個人情報保管部113は、当該レコードの提供先132に受信した提供先のサービス提供者サーバ300の識別情報(図11では「提供先ID」と記載)を格納する。また、個人情報保管部113は、保管場所として乱数を生成して、当該レコードの保管場所131に格納する。
続いて、記録作成部112は、記録データベース140(図5参照)にレコードを追加し、当該レコードの保管場所149に、上記の生成した保管場所を格納する。次に、記録作成部112は、乱数を生成して当該レコードの識別情報141に、ステップS203で受信した個人情報種別を個人情報種別146に、サービス利用者端末200の利用者の識別情報を利用者143に格納する。また、記録作成部112は、ステップS203で受信した提供先であるサービス提供者サーバ300の識別情報(図11では「提供先ID」と記載)のうち、サービス提供者の識別情報を当該レコードのサービス提供者144に、サービスの識別情報をサービス145に格納する。記録作成部112は、「N/A(not applicable:該当せず)」を当該レコードの提供先147に、「提供」を記録種別148に格納する。なお、記録時刻142は、更新されていない(後記するS215で更新)。
ステップS205において個人情報保管部113は、ステップS204で生成した保管場所をサービス利用者端末200に送信する。
ステップS206において個人情報提供部212は、サービス提供者サーバ300にセキュリティモジュール317の検証を要求する。詳しくは、個人情報提供部212は、個人情報の扱いがセキュリティポリシに沿って強制されているか否かを問い合わせる。
ステップS207においてサービス提供者サーバ300のセキュリティモジュール317は、サービス提供者サーバ300において、個人情報の扱いがセキュリティポリシに沿って強制されているか否かを検証する。
ステップS208においてセキュリティモジュール317は、ステップS207の検証結果をサービス利用者端末200に送信する(attestation機能)。サービス利用者端末200の個人情報提供部212は、受信した検証結果が強制されていないのであれば、個人情報提供処理を中断して終える。以下では、強制されているとして説明を続ける。
ステップS209において個人情報提供部212は、サービス提供者サーバ300に公開鍵を要求する。この公開鍵は、サービス提供者サーバ300に提供する個人情報を暗号化する共通鍵(ステップS201参照)を暗号化する鍵である。
ステップS210においてサービス提供者サーバ300の鍵管理部315は、公開鍵暗号の公開鍵と秘密鍵のペアを生成する。
ステップS211において鍵管理部315は、ステップS210で生成した公開鍵をサービス利用者端末200に送信する。
ステップS212においてサービス利用者端末200の暗号化部215は、ステップS201で生成した共通鍵をステップS211で受信した公開鍵で暗号化する。
ステップS213において個人情報提供部212は、サービス提供者サーバ300に暗号化した共通鍵と保管場所とを送信する。
ステップS214において個人情報提供部212は、情報流通履歴管理装置100に保管場所を送信して、個人情報の提供を記録するように要求する。
ステップS215において情報流通履歴管理装置100の記録作成部112は、記録データベース140(図5参照)のなかで、保管場所149が、ステップS214で受信した保管場所で、記録種別148が「提供」であるレコードを検索することで、ステップS204で更新したレコードを特定する。記録作成部112は、特定したレコードの記録時刻142を現在時刻に更新する。
図12に移動して、ステップS216においてサービス提供者サーバ300の個人情報受領部313は、ステップS213で受信した保管場所を情報流通履歴管理装置100に送信して、暗号化個人情報を要求する。
ステップS217において個人情報保管部113は、暗号化個人情報をサービス提供者サーバ300に送信する。詳しくは、個人情報保管部113は、個人情報データベース130(図4参照)のなかで、保管場所131が受信した保管場所に一致するレコードを検索する。次に、個人情報保管部113は、検索結果のレコードの提供先132が、暗号化個人情報を要求したサービス提供者サーバ300に合致するかを確認する。合致しない場合には、個人情報保管部113は、サービス提供者サーバ300にエラーを送信し、合致する場合には、検索結果のレコードの暗号化個人情報133を送信する。エラーを受信した場合には、サービス提供者サーバ300の個人情報受領部313は、個人情報提供処理を中断して終了する。
ステップS218においてサービス提供者サーバ300の暗号化部316は、暗号化個人情報を復号して、復号結果である個人情報と利用者の識別情報とを個人情報保管領域330に格納する。詳しくは、暗号化部316は、ステップS213で受信した暗号化された共通鍵をステップS210で生成した秘密鍵で復号して共通鍵を取得する。次に、暗号化部316は、この共通鍵でステップS217において受信した暗号化個人情報を復号することで個人情報と利用者の識別情報とを得て、個人情報保管領域330に格納する。
ステップS219において個人情報受領部313は、情報流通履歴管理装置100に保管場所を送信して、個人情報の受領を記録するように要求する。
ステップS220において情報流通履歴管理装置100の記録作成部112は、受領の記録を作成する。詳しくは、記録作成部112は、記録データベース140(図5参照)のなかで、保管場所149が受信した保管場所に一致するレコードを検索する。検索結果は、ステップS204,S215で更新したレコードとなる。次に、記録作成部112は、記録データベース140にレコードを追加し、追加したレコードの利用者143、サービス提供者144、サービス145、個人情報種別146、提供先147、および保管場所149を、検索結果のレコードの利用者143、サービス提供者144、サービス145、個人情報種別146、提供先147、および保管場所149でそれぞれ更新する。続いて、記録作成部112は、追加したレコードの識別情報141を新たに生成した識別情報に、記録時刻142を現在時刻に、記録種別148を「受領」に更新する。
以上で受領記録の生成は終了するが、この後に個人情報保管部113が、個人情報データベース130のなかのステップS217で送信した暗号化個人情報のレコードを削除してもよい。
≪サービス提供者間の個人情報流通処理≫
図13は、本実施形態に係るサービス提供者間の個人情報流通処理のシーケンス図(1)である。図14は、本実施形態に係るサービス提供者間の個人情報流通処理のシーケンス図(2)である。サービス提供者間の個人情報流通処理は、記録データベース140(図5参照)の提供先147の扱いを除いて、図11および図12に示した個人情報提供処理と同様の処理である。以下では、記録データベース140に係る処理として、ステップS303~S304、およびステップS320を説明する。
ステップS303においてサービス提供者サーバ300Aの個人情報提供部312は、ステップS302で暗号化した個人情報(利用者の識別情報を含む)、個人情報に係る利用者の識別情報(ステップS302で個人情報とともに暗号化された利用者の識別情報、図13では「利用者ID」と記載)、提供先のサービス提供者サーバ300の識別情報(図13では「提供先ID」と記載)、および個人情報の種別(個人情報種別)を、情報流通履歴管理装置100に送信する。
ステップS203と比較すると、利用者の識別情報を加えて情報流通履歴管理装置100に送信している。
ステップS304において情報流通履歴管理装置100の個人情報保管部113は、受信した暗号化個人情報を個人情報データベース130に格納する。また、情報流通履歴管理装置100の記録作成部112は、記録データベース140に提供を一部記録する。個人情報データベース130を更新する処理は、ステップS204(図11参照)と同様である。
記録作成部112は、記録データベース140(図5参照)にレコードを追加し、当該レコードの保管場所149に、個人情報データベース130に追加した保管場所を格納する。次に、記録作成部112は、乱数を生成して当該レコードの識別情報141に、ステップS303で受信した個人情報種別を個人情報種別146に、ステップS303で受信した利用者の識別情報を利用者143に格納する。また、記録作成部112は、受信した提供先のサービス提供者サーバ300の識別情報を提供先147に格納し、ステップS303の送信元であるサービス提供者サーバ300Aの識別情報のうちでサービス提供者の識別情報を当該レコードのサービス提供者144に、サービスの識別情報をサービス145に格納する。記録作成部112は、「提供」を記録種別148に格納する。なお、記録時刻142は、更新されていない(後記するS315で更新)。なお、ステップS315は、ステップS215(図11参照)と同様であり、更新されるレコードは、ステップS304で更新されたレコードである。
ステップS204では、提供先147は「N/A」であったが、ステップS304ではサービス提供者サーバ300Aが提供先としたサービス提供者サーバ300Bとなる。
図11および図12との違いについて、次にステップS320について説明する。ステップS320は、ステップS220と同様である。但し、ステップS220で追加された受領の記録の提供先147は「N/A」であるが、ステップS320においては、サービス提供者サーバ300Bとなる。
≪記録検索処理:サービス利用者端末≫
図15は、本実施形態に係るサービス利用者端末200が要求する検索処理のシーケンス図である。
ステップS401においてサービス利用者端末200の記録検索要求部213は、情報流通履歴管理装置100に検索項目を送信して、記録の検索を要求する。検索項目の詳細は、後記する。
ステップS402において情報流通履歴管理装置100の記録検索部114は、受信した検索項目に応じて、記録データベース140を検索する。検索項目に応じた検索の詳細は、後記する。
ステップS403において情報流通履歴管理装置100の記録検索部114は、ステップS402の検索結果をサービス利用者端末200に送信する。
以下では、検索項目と検索項目に応じた検索について説明する。検索項目には、利用者と、利用者およびサービス提供者サーバと、サービス提供者サーバとがある。
検索項目が利用者(利用者の識別情報)である場合には、記録検索部114は、当該利用者が検索を要求したサービス利用者端末200の利用者であることを確認した後に、当該利用者の個人情報の提供および受領の記録を検索する。詳しくは、検索項目の利用者が検索を要求したサービス利用者端末200の利用者であることを確認した後に、記録検索部114は、記録データベース140(図5参照)のなかで、利用者143が検索項目である利用者に一致するレコードを検索する。検索結果の識別情報141と保管場所149とを除いて、サービス利用者端末200に送信する。
検索項目が利用者およびサービス提供者サーバ(サービス提供者の識別情報およびサービスの識別情報)である場合には、記録検索部114は、検索項目の利用者が検索を要求したサービス利用者端末200の利用者であることを確認した後に、当該利用者の個人情報であって、当該サービス提供者サーバが提供または受領した記録を検索する。詳しくは、検索項目の利用者が検索を要求したサービス利用者端末200の利用者であることを確認した後に、記録検索部114は、記録データベース140(図5参照)のなかで、利用者143が検索項目である利用者に一致するレコードであってサービス提供者144とサービス145とが検索項目であるサービス提供者サーバに一致するレコード、および、利用者143が検索項目である利用者に一致するレコードであって提供先147が検索項目であるサービス提供者サーバに一致するレコードを検索する。検索結果の識別情報141と保管場所149とを除いて、サービス利用者端末200に送信する。
検索項目のサービス提供者サーバは、サービス提供者であってもよい。詳しくは、記録検索部114は、記録データベース140(図5参照)のなかで、利用者143が検索項目である利用者に一致するレコードであってサービス提供者144が検索項目であるサービス提供者に一致するレコード、および、利用者143が検索項目である利用者に一致するレコードであって提供先147が検索項目であるサービス提供者が運営するサービス提供者サーバである(提供先147がサービス提供者の識別情報を含む)レコードを検索する。
検索項目がサービス提供者サーバである場合には、記録検索部114は、当該サービス提供者サーバの個人情報の提供および受領の記録を検索する。詳しくは、記録検索部114は、記録データベース140のなかで、サービス提供者144とサービス145とが検索項目であるサービス提供者サーバに一致するレコード、および、提供先147が検索項目であるサービス提供者サーバに一致するレコードを検索する。検索結果の識別情報141と利用者143と保管場所149とを除いて、サービス利用者端末200に送信する。検索項目のサービス提供者サーバは、サービス提供者であってもよい。
なお、記録検索部114は、さらに記録時刻142と記録種別148とを除いた残りの属性であるサービス提供者144、サービス145、個人情報種別146、および提供先147をサービス利用者端末200に送信してもよい。このとき、記録検索部114は、サービス提供者144、サービス145、個人情報種別146、および提供先147が同じになるレコードは、1件のレコードとしてまとめて送信してもよい。
検索項目は、記録データベース140の属性に対応する他の項目であってもよい。例えば、利用者と記録期間であってもよい。この場合、記録検索部114は、検索項目の利用者が検索を要求したサービス利用者端末200の利用者であることを確認した後に、当該利用者の個人情報の提供および受領の記録であって、記録時刻142が検索項目の記録期間に含まれる記録を検索する。
検索項目が個人情報種別である場合には、記録検索部114は、当該個人情報種別の提供および受領の記録を検索する。詳しくは、記録検索部114は、記録データベース140(図5参照)のなかで、個人情報種別146が検索項目である個人情報種別に一致するレコードを検索する。検索結果の識別情報141と利用者143と保管場所149とを除いて、サービス利用者端末200に送信する。
なお、記録検索部114は、さらに記録時刻142と記録種別148とを除いた残りの属性であるサービス提供者144、サービス145、個人情報種別146、および提供先147をサービス利用者端末200に送信してもよい。このとき、記録検索部114は、サービス提供者144、サービス145、個人情報種別146、および提供先147が同じになるレコードは、1件のレコードとしてまとめて送信してもよい。
検索項目のオプションとして、検索対象の記録の種別を追加してもよい。種別としては、サービス利用者端末200からサービス提供者サーバ300への提供の記録、サービス利用者端末200からサービス提供者サーバ300への受領の記録、サービス提供者サーバ300間の提供の記録、およびサービス提供者サーバ300間の受領の記録がある。サービス利用者端末200からサービス提供者サーバ300への提供記録の検索要求は、個人情報提供記録検索要求441(図2参照)に対応する。サービス利用者端末200からサービス提供者サーバ300への受領記録の検索要求は、個人情報受領記録検索要求442に対応する。サービス提供者サーバ300間の提供記録の検索要求は、サービス提供者間提供記録検索要求451に対応する。サービス提供者サーバ300間の受領記録の検索要求は、サービス提供者間受領記録検索要求452に対応する。
記録検索部114は、検索要求に記録の種別が付加された場合には、記録データベース140(図5参照)のなかで当該種別に限定して検索する。提供/受領の区別は、記録種別148で判断できる。サービス利用者端末200からサービス提供者サーバ300への提供や受領の記録は、提供先147がN/Aであることで判別できる。なお、検索要求に記録の種別が指定されていない場合には、上記で説明したように全ての記録を検索する。
記録検索部114は、サービス利用者端末200の利用者以外の利用者についての記録は検索しないようにしてもよい。サービス利用者端末200と情報流通履歴管理装置100と間の通信では通信相手を認証しており、情報流通履歴管理装置100は、通信相手であるサービス利用者端末200の利用者を識別している。記録検索部114は、この識別された利用者以外の利用者に係る検索は行わないようにしてもよい。例えば、記録検索部114は、識別された利用者以外の利用者を検索要求に含む検索を拒否する。
また、記録検索部114は、検索項目に利用者が含まれない場合には、検索結果から利用者143を除いた検索結果をサービス利用者端末200に返信するようにしてもよい。
このようにすることで、情報流通履歴管理装置100は、利用者のプライバシーを保護しつつ検索することができるようになる。
≪記録検索処理:サービス提供者サーバ≫
図16は、本実施形態に係るサービス提供者サーバ300が要求する検索処理のシーケンス図である。
ステップS411においてサービス提供者サーバ300の記録検索要求部314は、情報流通履歴管理装置100に検索項目を送信して、記録の検索を要求する。検索項目の詳細は、後記する。
ステップS412において情報流通履歴管理装置100の記録検索部114は、受信した検索項目に応じて、記録データベース140を検索する。検索項目に応じた検索の詳細は、後記する。
ステップS413において情報流通履歴管理装置100の記録検索部114は、ステップS402の検索結果をサービス提供者サーバ300に送信する。
以下では、検索項目と検索項目に応じた検索について説明する。検索項目には、サービス提供者サーバと、個人情報種別と、サービス提供者サーバおよび利用者とがある。
検索項目がサービス提供者サーバである場合には、記録検索部114は、当該サービス提供者サーバが係る提供および受領の記録を検索する。詳しくは、記録検索部114は、記録データベース140のなかで、サービス提供者144とサービス145とが検索項目であるサービス提供者サーバに一致するレコード、および、提供先147が検索項目であるサービス提供者サーバに一致するレコードを検索する。検索結果の識別情報141と利用者143と保管場所149とを除いて、サービス提供者サーバ300に送信する。検索項目のサービス提供者サーバは、サービス提供者であってもよい。
検索項目が個人情報種別である場合には、記録検索部114は、当該個人情報種別の提供および受領の記録を検索する。詳しくは、記録検索部114は、記録データベース140(図5参照)のなかで、個人情報種別146が検索項目である個人情報種別に一致するレコードを検索する。検索結果の識別情報141と利用者143と保管場所149とを除いて、サービス提供者サーバ300に送信する。
なお、記録検索部114は、さらに記録時刻142と記録種別148とを除いた残りの属性であるサービス提供者144、サービス145、個人情報種別146、および提供先147をサービス提供者サーバ300に送信してもよい。このとき、記録検索部114は、サービス提供者144、サービス145、個人情報種別146、および提供先147が同じになるレコードは、1件のレコードとしてまとめて送信してもよい。
検索項目がサービス提供者サーバおよび利用者である場合には、記録検索部114は、当該サービス提供者サーバが検索を要求したサービス提供者サーバ300であることを確認した後に、当該利用者の流通経路として流通先と流通元を検索する。先ず、流通先の検索を説明する。記録検索部114は、記録データベース140のなかで、サービス提供者144とサービス145とが検索項目であるサービス提供者サーバに一致するレコードであり、利用者143が検索項目である利用者であって、記録種別148が受領であるレコードを検索する。検索結果のレコードの提供先147が、当該利用者の1次の流通先である。また、検索結果のレコードの個人情報種別146が、1次の個人情報種別である。1次の流通先は、複数である場合やない場合がある。また、1次の流通先によって1次の個人情報種別が異なる場合がある。
続いて、記録検索部114は、サービス提供者144とサービス145とが1次の流通先であり、利用者143が検索項目である利用者であって、記録種別148が受領であり、個人情報種別146が当該1次の流通先の1次の個人情報種別に含まれるレコードを検索する。検索結果のレコードの提供先147が2次の流通先であり、個人情報種別146が2次の個人情報種別である。記録検索部114は、流通先がなくなるまで、3次、4次、5次、・・・と検索を繰り返す。
流通先の検索に続いて、流通元の検索を説明する。記録検索部114は、記録データベース140のなかで、提供先147が検索項目であるサービス提供者サーバに一致するレコードであり、利用者143が検索項目である利用者であって、記録種別148が受領であるレコード、および、サービス提供者144とサービス145とが検索項目であるサービス提供者サーバであって提供先147が「N/A」であるレコードであり、利用者143が検索項目である利用者であって、記録種別148が受領であるレコードを検索する。検索結果のレコードのサービス提供者144とサービス145とが、当該利用者の1次の流通元を示す。また、検索結果のレコードの個人情報種別146が、1次の個人情報種別である。1次の流通元は、複数である場合やない場合がある。また、1次の流通元によって1次の個人情報種別が異なる場合がある。
続いて、記録検索部114は、提供先147が1次の流通元であり、利用者143が検索項目である利用者であって、記録種別148が受領であり、個人情報種別146が当該1次の流通元の1次の個人情報種別を含むレコード、および、サービス提供者144およびサービス145が1次の流出元であって提供先147が「N/A」であるレコードであり、利用者143が検索項目である利用者であって、記録種別148が受領であり、個人情報種別146が当該1次の流通元の1次の個人情報種別を含むレコードを検索する。検索結果のレコードのサービス提供者144とサービス145とが2次の流通元を示し、個人情報種別146が2次の個人情報種別である。記録検索部114は、流通元がなくなるまで、3次、4次、5次、・・・と検索を繰り返す。以上のようにして、流通経路を検索することができる。検索項目のサービス提供者サーバは、サービス提供者であってもよい。
なお、検索項目が利用者である場合でも、記録検索部114は、上記した当該利用者の流通経路として流通先と流通元を検索してもよい。この場合、検索項目としてのサービス提供者サーバは、要求元のサービス提供者サーバとみなす。
検索項目は、記録データベース140の属性に対応する他の項目であってもよい。例えば、サービス提供者サーバと記録期間であってもよい。この場合、記録検索部114は、サービス提供者サーバ300が、サービス提供者144およびサービス145か、提供先147かになっている記録であって、記録時刻142が検索項目の記録期間に含まれる記録を検索する。
また、サービス提供者サーバに替わってサービス提供者であってもよい。サービス提供者で検索すると、当該サービス提供者が運営する全てのサービス提供者サーバ300に係る個人情報の提供や受領を検索することになる。
検索対象の記録の種別については、サービス利用者端末200からの検索要求(図15参照)と同様である。
記録検索部114は、検索項目に利用者が含まれた場合には、サービス提供者サーバ300が提供または受領した以外の利用者の個人情報についての記録を検索しないようにしてもよい。サービス提供者サーバ300と情報流通履歴管理装置100と間の通信では通信相手を認証しており、情報流通履歴管理装置100は、通信相手であるサービス提供者サーバ300を識別している。記録検索部114は、この識別されたサービス提供者サーバ300が提供または受領した以外の利用者に係る検索は行わないようにしてもよい。例えば、記録検索部114は、利用者を含んだ検索要求を受け付けたときには、記録データベース140のなかで利用者143に当該利用者を含み、サービス提供者144およびサービス145か提供先147かに要求元のサービス提供者サーバ300を含むレコードに制限したうえで、要求された検索を行う。
また、記録検索部114は、検索項目に利用者が含まれない場合には、検索結果から利用者143を除いた検索結果をサービス提供者サーバ300に返信するようにしてもよい。
このようにすることで、情報流通履歴管理装置100は、利用者のプライバシーを保護しつつ検索することができるようになる。
≪情報流通履歴管理システムの特徴≫
情報流通履歴管理システム10(図1参照)において、サービス利用者端末200からサービス提供者サーバ300Aに個人情報が提供される場合、暗号化された個人情報が、サービス利用者端末200から情報流通履歴管理装置100へ送信され、続いて情報流通履歴管理装置100からサービス提供者サーバ300Aに送信される。暗号化された個人情報が、サービス利用者端末200から情報流通履歴管理装置100へ送信されると、サービス利用者端末200の要求により記録データベース140に個人情報の提供が記録される。また、情報流通履歴管理装置100からサービス提供者サーバ300Aに送信されると、サービス提供者サーバ300Aの要求により記録データベース140に個人情報の受領が記録される。
サービス提供者サーバ300Aからサービス提供者サーバ300Bに個人情報が提供される場合、暗号化された個人情報が、サービス提供者サーバ300Aから情報流通履歴管理装置100へ送信され、続いて情報流通履歴管理装置100からサービス提供者サーバ300Bに送信される。暗号化された個人情報が、サービス提供者サーバ300Aから情報流通履歴管理装置100へ送信されると、サービス提供者サーバ300Aの要求により記録データベース140に個人情報の提供が記録される。また、情報流通履歴管理装置100からサービス提供者サーバ300Bに送信されると、サービス提供者サーバ300Bの要求により記録データベース140に個人情報の受領が記録される。
記録には、個人情報に係る利用者、提供先(受領者)や提供元(提供者)となるサービス提供者(サービス提供者とサービス)、個人情報の種別などが含まれる。
サービス利用者端末200やサービス提供者サーバ300は、情報流通履歴管理装置100に要求して記録を検索することができる。利用者は、自身の個人情報がどこのサービス提供者に提供されたかが把握できるようになる。また、利用者は、自身の個人情報をサービス提供者に提供する前に、当該サービス提供者に個人情報を提供した場合にどこのサービス提供者に個人情報が流通するかを把握することができる。
サービス提供者サーバ300は、検索要求に指定したサービス提供者サーバ300、またはサービス提供者が保有する個人情報の種別が把握できる。また、自身が提供した個人情報の流通先や自身が受領した個人情報の流通元を把握できるようになる。サービス提供者は、自身が提供した個人情報が、意図しないサービス提供者に流通していないか確認することができる。また、自身が受領した個人情報が、不正なサービス提供者から流通してきたものでないかを確認することができる。
≪変形例:記録要求のパラメータ≫
上記した実施形態において、提供の記録要求(図11記載のステップS214、図13記載のステップS314参照)や受領の記録要求(図12記載のステップS219、図14記載のステップS319参照)のパラメータは、保管場所である。サービス利用者端末200やサービス提供者サーバ300が、同時に複数の個人情報の提供や受領を行わないなど、提供や受領の混同が発生しないならば、保管場所のパラメータは不要である。
≪変形例:記録要求なしで記録≫
上記した個人情報提供処理において、情報流通履歴管理装置100は、サービス提供者サーバ300からの受領記録の要求を受けてから、記録データベース140を更新している(図12記載のステップS219~S220)。情報流通履歴管理装置100は、ステップS217で暗号化個人情報を送信した後に受領記録の要求を受けることなしに、記録データベース140を更新してもよい。ネットワークの不調やサービス提供者サーバ300の不正などにより、受領記録の要求がない場合でも、受領を記録できるようになる。
また、提供の記録についても、ステップS205で保管場所を送信した後に提供記録の要求を受けることなしに、記録データベース140を更新(記録時刻142を更新(ステップS215参照))してもよい。
以上に示した、記録要求なしの記録データベース140を更新は、サービス提供者間の個人情報流通処理でも同様である。
≪その他の変形例≫
本発明は、上記した実施形態に限定されることなく、その趣旨を逸脱しない範囲で変更することができる。例えば、情報流通履歴管理装置100は、個人情報データベース130や記録データベース140などを記憶しているが、データベースサーバなどの外部の装置に記憶してもよい。
記録の検索において(図15および図16参照)、検索結果に含まれる利用者143を除く替わりに、元の利用者が復元または推定できないようにして別の識別情報に置き換えてもよい(匿名化、仮名化など)。
また、プログラム121,221,321(図3、図7および図8参照)が記述する処理のステップは、図9~図16に記載した順序とは別の順序で実行されてもよく、また、必ずしも時系列的に処理されなくとも、並列的あるいは個別に実行される処理をも含むものである。例えば、図11および図12において、ステップS214~S215の処理と、ステップS216~S220との処理は、入れ替わってもよいし、並列でもよい。
上記した実施形態では、サービス利用者端末200からサービス提供者サーバ300に個人情報が提供された場合(図11および図12参照)、提供先であるサービス提供者サーバ300は、サービス提供者144(図5参照)とサービス145に記録され、提供先147は「N/A」と記録される(図11および図12のステップS204,S215,S220参照)。これに替わり、サービス提供者サーバ300を個人情報の提供先と捉えて提供先147に記録し、サービス提供者144とサービス145とは「N/A」としてもよい。
以上、本発明のいくつかの実施形態について説明したが、これらの実施形態は、例示に過ぎず、本発明の技術的範囲を限定するものではない。本発明はその他の様々な実施形態を取ることが可能であり、さらに、本発明の要旨を逸脱しない範囲で、省略や置換等種々の変更を行うことができる。これら実施形態やその変形は、本明細書等に記載された発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
≪ハードウェア構成≫
本実施形態に係る情報流通履歴管理装置100は、例えば図17に示すような構成のコンピュータ900によって実現される。図17は、本実施形態に係る情報流通履歴管理装置100の機能を実現するコンピュータ900の一例を示すハードウェア構成図である。コンピュータ900は、CPU901、ROM(Read Only Memory)902、RAM(Random Access Memory)903、ハードディスク904(図17ではHDDと記載)、入出力インターフェイス905(図17ではI/O I/F(Input/Output Interface)と記載)、通信インターフェイス906、およびメディアインターフェイス907を備える。
CPU901は、ROM902またはハードディスク904に記憶されたプログラムに基づき作動し、図3の制御部110による制御を行う。ROM902は、コンピュータ900の起動時にCPU901により実行されるブートプログラムや、コンピュータ900のハードウェアに係るプログラムなどを記憶する。
CPU901は、入出力インターフェイス905を介して、マウスやキーボードなどの入力装置910、およびディスプレイやプリンタなどの出力装置911を制御する。CPU901は、入出力インターフェイス905を介して、入力装置910からデータを取得するともに、生成したデータを出力装置911へ出力する。
ハードディスク904は、CPU901により実行されるプログラムおよび当該プログラムによって使用されるデータなどを記憶する。通信インターフェイス906は、通信網を介して図示せぬ他の装置(例えば、サービス利用者端末200やサービス提供者サーバ300など)からデータを受信してCPU901へ出力し、また、CPU901が生成したデータを、通信網を介して他の装置へ送信する。
メディアインターフェイス907は、記録媒体912に格納されたプログラムまたはデータを読み取り、RAM903を介してCPU901へ出力する。CPU901は、プログラムを、メディアインターフェイス907を介して記録媒体912からRAM903上にロードし、ロードしたプログラムを実行する。記録媒体912は、DVD(Digital Versatile Disk)などの光学記録媒体、MO(Magneto Optical disk)などの光磁気記録媒体、磁気記録媒体、導体メモリテープ媒体または半導体メモリなどである。
例えば、コンピュータ900が本実施形態に係る情報流通履歴管理装置100として機能する場合、コンピュータ900のCPU901は、RAM903上にロードされたプログラム121(図3参照)を実行することにより、情報流通履歴管理装置100の機能を実現する。CPU901は、プログラムを記録媒体912から読み取って実行する。この他、CPU901は、他の装置から通信網を介してプログラム121を読み込んでもよいし、記録媒体912からハードディスク904にプログラム121をインストールして実行してもよい。
≪効果≫
以下に、情報流通履歴管理システム10の効果を説明する。
本発明に係る情報流通履歴管理システム10は、ネットワークで接続されたサービス利用者端末200、サービス提供者サーバ300A,300B、および情報流通履歴管理装置100を含んで構成される情報流通履歴管理システム10であって、サービス利用者端末200は、サービス利用者端末200の利用者に係る個人情報のサービス提供者サーバ300Aへの提供を行う場合に、当該提供の記録を情報流通履歴管理装置100に要求し、サービス提供者サーバ300Aは、個人情報の提供に対して受領を行う場合に、当該受領の記録を情報流通履歴管理装置100に要求し、情報流通履歴管理装置100は、サービス利用者端末200から提供の記録の要求を受け付けて当該記録を記憶し、サービス提供者サーバ300Aから受領の記録の要求を受け付けて当該記録を記憶する記録作成部112を備え、サービス提供者サーバ300Aは、個人情報のサービス提供者サーバ300Bへの提供を行う場合に、当該提供の記録を情報流通履歴管理装置100に要求し、サービス提供者サーバ300Bは、個人情報の提供に対して受領を行う場合に、当該受領の記録を情報流通履歴管理装置100に要求し、記録作成部112は、サービス提供者サーバ300Aから提供の記録の要求を受け付けて当該記録を記憶し、サービス提供者サーバ300Bから受領の記録の要求を受け付けて当該記録を記憶し、記録には、サービス利用者端末200の利用者の識別情報(利用者143)と、受領するサービス提供者サーバ300Aの識別情報(サービス提供者144およびサービス145)または当該サービス提供者サーバ300Aのサービス提供者の識別情報とを含む場合(提供先147が「N/A」の場合)と、サービス利用者端末200の利用者の識別情報(利用者143)と、提供するサービス提供者サーバ300Aの識別情報(サービス提供者144およびサービス145)または当該サービス提供者サーバ300Aのサービス提供者の識別情報と、受領するサービス提供者サーバ300Bの識別情報(提供先147)または当該サービス提供者サーバ300Bのサービス提供者の識別情報とを含む場合(提供先147が「N/A」ではない場合)とがあり、情報流通履歴管理装置100は、サービス利用者端末200またはサービス提供者サーバ300A,300Bからの検索要求を受け付けて、記録を検索して検索結果を返信する記録検索部114を、さらに備えることを特徴とする。
このような情報流通履歴管理システム10によれば、情報流通履歴管理装置100は、サービス利用者端末200からサービス提供者サーバ300Aへ提供され受領された個人情報の記録、および、サービス提供者サーバ300Aから他のサービス提供者サーバ300Bへ提供され受領された個人情報の記録を蓄積できるようになる。また、サービス利用者端末200またはサービス提供者サーバ300A,300Bからの要求に対して記録を検索できるようになる。これにより、サービス利用者端末200の利用者は、自身の個人情報がどのサービス提供者サーバ300またはサービス提供者に流通したかを知ることができるようになる。
自身が提供した覚えのないサービス提供者サーバ300が自身の個人情報を保有している場合には、提供したサービス提供者サーバ300または提供したサービス提供者サーバ300のサービス提供者、および、受領したサービス提供者サーバ300または受領したサービス提供者サーバ300のサービス提供者を辿ることで、どのような経路を辿って覚えのないサービス提供者サーバ300に自身の個人情報が流通したかわかるようになる。
また、情報流通履歴管理システム10において、記録は、当該記録に係る個人情報の種別を含み、記録検索部114は、サービス利用者端末200またはサービス提供者サーバ300が送信した、サービス提供者サーバ300の識別情報またはサービス提供者の識別情報を含んだ記録の検索要求を受け付けると、当該サービス提供者サーバ300の識別情報または当該サービス提供者の識別情報を含む記録を検索し、検索結果から利用者の識別情報(利用者143)を削除した検索結果を返信することを特徴とする。
このような情報流通履歴管理システム10によれば、サービス利用者端末200やサービス提供者サーバ300は、サービス提供者サーバ300またはサービス提供者サーバ300のサービス提供者が保有する個人情報の種別を検索できるようになる。検索結果には、利用者の情報は含まれておらず、情報流通履歴管理システム10は、利用者のプライバシーを保護している。
また、情報流通履歴管理システム10において、記録は、当該記録に係る個人情報の種別を含み、記録検索部114は、サービス利用者端末200またはサービス提供者サーバ300が送信した、個人情報の種別を含んだ記録の検索要求を受け付けると、当該個人情報の種別を含む記録を検索し、検索結果から利用者の識別情報(利用者143)を削除した検索結果を返信することを特徴とする。
このような情報流通履歴管理システム10によれば、検索要求に指定された個人情報の種別を含む個人情報を保有するサービス提供者サーバ300またはサービス提供者サーバ300のサービス提供者を検索できるようになる。検索結果には、利用者の情報は含まれておらず、情報流通履歴管理システム10は、利用者のプライバシーを保護している。
また、情報流通履歴管理システム10において、記録検索部114は、サービス提供者サーバ300が送信した、利用者の識別情報を含んだ記録の検索要求を受け付けると、当該サービス提供者サーバ300または当該サービス提供者サーバ300のサービス提供者が提供した記録であって、当該利用者の識別情報を含む記録を検索し、検索結果に含まれる受領したサービス提供者サーバ300の識別情報およびサービス提供者サーバ300のサービス提供者の識別情報を流通先の識別情報として取得し、当該流通先の識別情報を提供したサービス提供者サーバ300の識別情報またはサービス提供者サーバのサービス提供者の識別情報に含む記録であって、当該利用者の識別情報を含む記録を検索し、検索結果に含まれる受領したサービス提供者サーバ300の識別情報およびサービス提供者サーバ300のサービス提供者の識別情報を流通先の識別情報に加えることを繰り返すことを特徴とする。
このような情報流通履歴管理システム10によれば、サービス提供者サーバ300またはサービス提供者サーバ300のサービス提供者が提供した個人情報の流通先(提供され受領したサービス提供者サーバ300またはサービス提供者サーバ300のサービス提供者)を検索できるようになる。サービス提供者サーバ300またはサービス提供者サーバ300のサービス提供者は、自身が提供した個人情報の流通先を知ることができるようになる。契約を結んで個人情報を提供している場合、サービス提供者は、その契約が遵守されているか否かを確認することができるようになる。
また、情報流通履歴管理システム10において、記録検索部114は、サービス利用者端末200またはサービス提供者サーバ300から利用者の識別情報を含まない検索要求を受け付けると、検索結果から利用者の識別情報(利用者143)を削除した検索結果を返信することを特徴とする。
このような情報流通履歴管理システム10によれば、検索結果には、利用者の情報は含まれておらず、利用者のプライバシーを保護しつつ検索をすることができるようになる。
<実施形態の変形例1>
本実施形態の変形例1に係る情報流通履歴管理システム(システムともいう)においてサービス利用者からの削除要求による個人情報の削除処理について説明する。
変形例1のシステムが、図1に示したシステム10と異なる点は、情報流通履歴管理装置100(図3)と、サービス利用者端末200(図7)と、サービス提供者サーバ300(図8)との構成にある。
情報流通履歴管理装置(管理装置ともいう)100は、図18に示すように、制御部110に削除部115を更に備えて構成されている。
サービス利用者端末(端末ともいう)200は、図19に示すように、制御部210に削除要求部216を更に備えて構成されている。
サービス提供者サーバ(サーバともいう)300は、図20に示すように、制御部310に削除要求受領部318を更に備えて構成されている。
図19に示す端末200の削除要求部216は、特定のサービス提供者サーバ300が保持するサービス利用者の個人情報を削除するための削除要求(第1削除要求)を管理装置100へ送信する。管理装置100は、送信されてきた削除要求を受信する。なお、サービス利用者は、利用者とも称す。
図18に示す管理装置100の削除部115は、削除要求部216からの削除要求を受領し、この受領した削除要求に応じて、要求先である特定のサービス提供者サーバ300{例えばサーバ300B(図1)}が保持する利用者自身の個人情報を削除するように要求(第2削除要求)する。但し、その個人情報は、図20に示すサーバ300の記憶部320の個人情報保管領域330に記憶されて保持されている。
図20に示すサーバ300の削除要求受領部318は、削除部115からの削除要求(第2削除要求)を受領し、受領した削除要求の個人情報を、個人情報保管領域330に保持された個人情報の中から削除する。この削除後、削除要求受領部318は、個人情報の削除完了通知を管理装置100へ送信する。
このような構成の変形例1のシステムにおいて、サービス利用者からの削除要求によりサーバ300からサービス利用者の個人情報を削除する動作を、図21に示すシーケンス図を参照して説明する。
図21に示す端末200の記録検索要求部213は、ステップS501において、管理装置100へ記録検索要求を行う。この記録検索要求は、例えばサービス提供者名の検索要求であり、管理装置100で受信される。
ステップS502において、管理装置100の記録検索部114は、その受信されたサービス提供者名の検索要求に応じて記録情報を記録データベース140(図18)から検索する。
ステップS503において、記録検索部114は、その検索結果(サービス提供者名に係る記録情報)を端末200へ送信する。
ステップS504において、端末200の削除要求部216は、特定のサービス提供者サーバ300(例えば、サーバ300BのIDを用いる)が保持するサービス利用者の個人情報の削除要求(第1削除要求)を管理装置100へ送信する。
ステップS505において、削除部115は、その送信されてきた削除要求を受領する。この受領後、削除部115は、ステップS506において、受領した削除要求を、要求先であるサーバ300Bへ送信する。つまり、ステップS506で、削除部115は、サーバ300Bが保持する利用者の個人情報を削除するように要求(第2削除要求)する。その個人情報は、図20に示すサーバ300Bの記憶部320の個人情報保管領域330に保持されている。
ステップS507において、サーバ300Bの削除要求受領部318は、管理装置100からの削除要求(第2削除要求)を受領し、ステップS508において、その受領した削除要求の個人情報を、個人情報保管領域330から削除する。この削除後、削除要求受領部318は、ステップS509において、利用者の個人情報を削除した旨の削除完了通知を管理装置100へ送信する。
ステップS510において、管理装置100の記録作成部112(図18参照)は、サーバ300Bからの削除完了通知を受領し、ステップS511において、その削除完了通知に示される利用者の個人情報を削除した内容の削除記録を作成する。この作成された削除記録の情報は、記録データベース140に記録される。
この記録後は、ステップS512において、サーバ300Aからサーバ300Bに向かう矢印に×印を付けて表すように、サーバ300Aで作成された削除記録に係る利用者の個人情報が、サーバ300Bでは受け取り不可能となる。つまり、上記ステップS508で、サーバ300Bにおいて、個人情報保管領域330から削除されたサービス利用者の個人情報が、サーバ300Aからは受け取り不可となる。これは、後述のようにサーバ300Aにおいても、サーバ300Bで削除(ステップS508参照)された利用者の個人情報が削除されるためである。
このような、「削除された利用者の個人情報が受け取り不可となる処理」について、図22に示すシーケンス図を参照して説明する。
但し、図22に示す処理のステップS301~S304は、図13で説明した処理と同様である。即ち、ステップS301において、サーバ300Aの鍵管理部315(図20)は、個人情報の暗号化に用いられる共通鍵暗号の共通鍵を生成する。ステップS302において、暗号化部316は利用者の個人情報を共通鍵で暗号化する。
この暗号化の後、ステップS303において、サーバ300Aの個人情報提供部312(図20)は、ステップS302で暗号化した個人情報、利用者ID、提供先ID、個人情報種別を、管理装置100に送信する。
ステップS304において、管理装置100の個人情報保管部113(図18)は、受信した暗号化個人情報(暗号化した個人情報、利用者ID、提供先ID、個人情報種別)を個人情報データベース130に格納する。また、記録作成部112は、記録データベース140に提供(図5参照)を一部記録する。個人情報データベース130を更新する処理は、前述したステップS204(図11参照)と同様である。但し、ステップS204では、提供先147は「N/A」であったが、ステップS304ではサーバ300Aが提供先と指定したサーバ300Bとなる。
次に、ステップS601において、管理装置100の削除部115(図18)は、個人情報データベース130から、利用者IDと、削除要求を行っている情報提供先(提供先ID)との組合せを検索した際に、この検索内容を情報提供元に通知する。この通知は、ステップS602において、削除部115が削除要求(第3削除要求)と共に行う。
例えば、上述したステップS506(図21)におけるサーバ300Bが保持する利用者の個人情報の削除要求(第2削除要求)が、管理装置100で行われたとする。この際に、ステップS601で、管理装置100の削除部115(図18)が、利用者IDと、削除要求を行っている情報提供先であるサーバ300Bとの組合せを検索したとする。ステップS602で、削除部115は、その検索内容としての利用者IDとサーバ300Bとの組合せにより示唆される利用者の個人情報の削除要求(第3削除要求)を、情報提供元のサーバ300Aに送信する。この送信された削除要求は、サーバ300Aで受信される。
ステップS603において、サーバ300Aの削除要求受領部318は、受信した削除要求の内容に応じて、個人情報保管領域330(図20)の中から削除要求対象の個人情報を削除する。この削除要求対象の個人情報を削除後に、個人情報保管領域330内の利用者の個人情報を、暗号化部316が再度共通鍵で暗号化する。
この暗号化した個人情報、利用者ID、提供先ID、個人情報種別を、ステップS604において、個人情報提供部312(図20)が管理装置100に送信する。ステップS605において、管理装置100の個人情報保管部113が、受信した暗号化個人情報を個人情報データベース130に格納する。
このような処理によって、情報供給先のサーバ300Bで削除されたサービス利用者の個人情報が、情報供給元のサーバ300Aでも削除されるので、サーバ300Bにおいては、削除したサービス利用者の個人情報が受け取り不可となる。
<実施形態の変形例2>
本実施形態の変形例2に係る情報流通履歴管理システムにおいてサービス利用者からの削除要求による個人情報の削除処理について、図23に示すシーケンス図を参照して説明する。但し、変形例2のシステムは、上記変形例1のシステムの削除部115(図18)、削除要求部216(図19)および削除要求受領部318(図20)を備える。
変形例2のシステムの処理を表す図23のシーケンス図が、上述した変形例1のシステムのシーケンス図(図21)と異なる点は、後述するステップS508A,S509A,S510A,S511Aの処理にある。
図23に示すステップS508において、サーバ300Bの削除要求受領部318が、管理装置100の削除部115(図18)からの削除要求による利用者の個人情報を、個人情報保管領域330から削除したとする。次に、ステップS508Aにおいて、セキュリティモジュール317(図20)は、その削除した旨を証明する署名を行って署名情報を作成(署名作成)する。
次に、ステップS509Aにおいて、削除要求受領部318は、上記ステップS508で利用者の個人情報を削除したことを表す削除完了通知と、セキュリティモジュール317が作成した署名情報とを、管理装置100へ通知する。
ステップS510Aにおいて、管理装置100の記録作成部112(図18)は、削除要求受領部318からの削除完了通知および署名情報を受領する。更に、記録作成部112は、ステップS511Aにおいて、受領した削除完了通知に示される利用者の個人情報を削除した旨を表す削除記録に、その削除を証明する署名情報を付加して、署名付き削除記録の情報を作成する。この作成された署名付き削除記録の情報は、記録データベース140に記録される。
このように、管理装置100は、サーバ300Bにおいて利用者の個人情報を削除した旨を表す削除記録に、その削除を証明する署名情報を付加した署名付き削除記録の情報を記録データベース140に保持できる。このため、管理装置100は、端末200から削除要求のあった利用者の個人情報をサーバ300Bが削除したことを証明できるので、利用者の個人情報を、安全性を高めて管理できる。
<実施形態の変形例3>
本実施形態の変形例3に係る情報流通履歴管理システムにおいてサービス利用者からの削除要求による個人情報の削除処理について、図24に示すシーケンス図を参照して説明する。但し、変形例3のシステムは、上記変形例1のシステムの削除部115(図18)、削除要求部216(図19)および削除要求受領部318(図20)を備える。
変形例3のシステムの処理を表す図24のシーケンス図が、上述した変形例2のシステムのシーケンス図(図23)と異なる点は、後述するステップS509B,S509Cの処理にある。
図24に示すステップS509Aにおいて、上述したように、サーバ300Bの削除要求受領部318が、利用者の個人情報を削除したことを表す削除完了通知と、セキュリティモジュール317が作成した署名情報とを管理装置100へ通知したとする。
この通知を、ステップS509Bにおいて、管理装置100の削除部115が受領すると、削除部115は、ステップS509Cにおいて、前述したattestation機能により、削除要求受領部318が削除機能を使用したことを確認する。なお、attestation機能は、個人情報の扱いがセキュリティポリシに沿って強制されているか否かを応答するというセキュリティモジュール317の機能である。
上記署名を行ったことの確認が取れた場合、ステップS510Aにおいて削除完了通知および署名情報を受領した記録作成部112は、ステップS511Aにおいて、削除完了通知に示される利用者の個人情報を削除した旨を表す削除記録に、その削除を証明する署名情報を付加して、署名付き削除記録の情報を作成する。
この作成処理は、上記署名を行ったことの確認が取れなかった場合は実行されない。この場合、ステップS506に戻って削除要求から実行される。
このように、サーバ300Bから管理装置100に削除完了通知および署名情報が送られてきた際に、管理装置100が、セキュリティモジュール317に個人情報の削除を証明する署名を行ったことを確認し、この確認が取れた後に、署名付き削除記録の情報を保持するようにした。このため、管理装置100は、端末200から削除要求のあった利用者の個人情報をサーバ300Bが削除したことを確認できるので、利用者の個人情報を、より安全性を高めて管理できる。
10 情報流通履歴管理システム
100 情報流通履歴管理装置
110 制御部
111 アカウント作成部
112 記録作成部
113 個人情報保管部
114 記録検索部
115 削除部
120 記憶部
121 プログラム
130 個人情報データベース
140 記録データベース
160 アカウントデータベース
200 サービス利用者端末
216 削除要求部
300 サービス提供者サーバ
318 削除要求受領部

Claims (12)

  1. ネットワークで接続されたサービス利用者端末、サービス提供者サーバ、および情報流通履歴管理装置を含んで構成される情報流通履歴管理システムであって、
    前記サービス利用者端末は、
    当該サービス利用者端末の利用者に係る個人情報の前記サービス提供者サーバへの提供を行う場合に、当該提供の記録を前記情報流通履歴管理装置に要求し、
    前記サービス提供者サーバは、
    前記個人情報の提供に対して受領を行う場合に、当該受領の記録を前記情報流通履歴管理装置に要求し、
    前記情報流通履歴管理装置は、
    前記サービス利用者端末から提供の記録の要求を受け付けて当該記録を記憶し、前記サービス提供者サーバから受領の記録の要求を受け付けて当該記録を記憶する記録作成部を備え、
    前記サービス提供者サーバは、
    受領した前記個人情報他の前記サービス提供者サーバへ提する場合に、当該提供の記録を前記情報流通履歴管理装置に要求し、
    他の前記サービス提供者サーバは、
    前記個人情報の前記サービス提供者サーバからの提供に対して受領を行う場合に、当該受領の記録を前記情報流通履歴管理装置に要求し、
    前記記録作成部は、
    前記サービス提供者サーバから提供の記録の要求を受け付けて当該記録を記憶し、他の前記サービス提供者サーバから受領の記録の要求を受け付けて当該記録を記憶し、
    前記記録には、
    前記サービス利用者端末の利用者の識別情報と、受領する前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報とを含む場合と、
    前記サービス利用者端末の利用者の識別情報と、提供する前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報と、受領する他の前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報とを含む場合とがあり、
    前記情報流通履歴管理装置は、
    前記サービス利用者端末または前記サービス提供者サーバからの検索要求を受け付けて、前記記録を検索して検索結果を返信する記録検索部を、さらに備える
    ことを特徴とする情報流通履歴管理システム。
  2. 前記記録は、
    当該記録に係る個人情報の種別を含み、
    前記記録検索部は、
    前記サービス利用者端末または前記サービス提供者サーバが送信した、前記サービス提供者サーバの識別情報または前記サービス提供者の識別情報を含んだ前記記録の検索要求を受け付けると、当該サービス提供者サーバの識別情報または当該サービス提供者の識別情報を含む記録を検索し、検索結果から利用者の識別情報を削除した検索結果を返信する
    ことを特徴とする請求項1に記載の情報流通履歴管理システム。
  3. 前記記録は、
    当該記録に係る個人情報の種別を含み、
    前記記録検索部は、
    前記サービス利用者端末または前記サービス提供者サーバが送信した、前記個人情報の種別を含んだ前記記録の検索要求を受け付けると、当該個人情報の種別を含む記録を検索し、検索結果から利用者の識別情報を削除した検索結果を返信する
    ことを特徴とする請求項1に記載の情報流通履歴管理システム。
  4. 前記記録検索部は、
    前記サービス提供者サーバが送信した、前記利用者の識別情報を含んだ前記記録の検索要求を受け付けると、当該サービス提供者サーバまたは当該サービス提供者サーバのサービス提供者が提供した記録であって、当該利用者の識別情報を含む記録を検索し、検索結果に含まれる受領した前記サービス提供者サーバの識別情報および前記サービス提供者サーバのサービス提供者の識別情報を流通先の識別情報として取得し、
    当該流通先の識別情報を提供した前記サービス提供者サーバの識別情報または前記サービス提供者サーバのサービス提供者の識別情報に含む記録であって、当該利用者の識別情報を含む記録を検索し、検索結果に含まれる受領した前記サービス提供者サーバの識別情報および前記サービス提供者サーバのサービス提供者の識別情報を前記流通先の識別情報に加えることを繰り返す
    ことを特徴とする請求項1に記載の情報流通履歴管理システム。
  5. 前記記録検索部は、
    前記サービス利用者端末または前記サービス提供者サーバから利用者の識別情報を含まない検索要求を受け付けると、検索結果から利用者の識別情報を削除した検索結果を返信する
    ことを特徴とする請求項1に記載の情報流通履歴管理システム。
  6. 前記サービス利用者端末は、特定のサービス提供者サーバが保持するサービス利用者の個人情報を削除するための第1削除要求を生成する削除要求部を更に備え、
    前記情報流通履歴管理装置は、前記サービス利用者端末から受領した前記第1削除要求に応じて、要求先である前記特定のサービス提供者サーバが保持する利用者の個人情報を削除する第2削除要求を生成する削除部を更に備え、
    前記特定のサービス提供者サーバは、前記情報流通履歴管理装置から受領した前記第2削除要求に係る個人情報を当該サービス提供者サーバから削除し、この削除の完了を示す削除完了通知を生成する削除要求受領部を更に備え、
    前記情報流通履歴管理装置が前記削除完了通知を受信後に、前記記録作成部は、当該削除完了通知に示される利用者の個人情報を削除した内容の削除記録を作成して記憶する
    ことを特徴とする請求項1に記載の情報流通履歴管理システム。
  7. 前記サービス提供者サーバは、前記削除要求受領部が前記第2削除要求に係る個人情報を当該サービス提供者サーバから削除した後、削除した旨を証明する署名を行って署名情報を作成するセキュリティモジュールを更に備え、
    前記情報流通履歴管理装置は、前記削除完了通知および前記署名情報を受信後に、前記記録作成部は、受信した削除完了通知に示される利用者の個人情報を削除した旨を表す削除記録に前記署名情報を付加した署名付き削除記録を作成して記憶する
    ことを特徴とする請求項6に記載の情報流通履歴管理システム。
  8. 前記情報流通履歴管理装置が前記削除完了通知および前記署名情報を受信後に、前記削除部は、前記セキュリティモジュールがセキュリティポリシに沿って強制的に応答するattestation機能を用いて前記署名情報を作成したことを確認し、
    前記記録作成部は、確認が取れた際に、前記削除完了通知に示される利用者の個人情報を削除した旨を表す削除記録に前記署名情報を付加した署名付き削除記録を作成して記憶する
    ことを特徴とする請求項7に記載の情報流通履歴管理システム。
  9. 前記削除部は、記憶された前記サービス利用者端末の利用者の識別情報である利用者ID(IDentifier)と、前記第2削除要求が行われた情報提供先のサービス提供者サーバの識別情報である提供先IDとの組合せを個人情報データベースから検索した際に、この検索内容としての利用者IDと提供先IDとの組合せにより示唆される利用者の個人情報の第3削除要求を生成し、
    前記第3削除要求を受信した情報提供元のサービス提供者サーバの前記削除要求受領部は、前記第3削除要求の内容に応じて削除要求対象の個人情報を削除し、削除後の利用者の個人情報を再度暗号化し、この暗号化された個人情報が前記情報流通履歴管理装置へ通知される
    ことを特徴とする請求項6~8の何れか1項に記載の情報流通履歴管理システム。
  10. ネットワークで接続されたサービス利用者端末、サービス提供者サーバ、および情報流通履歴管理装置を含んで構成される情報流通履歴管理システムの情報流通履歴管理方法であって、
    前記サービス利用者端末は、
    当該サービス利用者端末の利用者に係る個人情報の前記サービス提供者サーバへの提供を行う場合に、当該提供の記録を前記情報流通履歴管理装置に要求するステップを実行し、
    前記サービス提供者サーバは、
    前記個人情報の提供に対して受領を行う場合に、当該受領の記録を前記情報流通履歴管理装置に要求するステップを実行し、
    前記情報流通履歴管理装置は、
    前記サービス利用者端末から提供の記録の要求を受け付けて当該記録を記憶し、前記サービス提供者サーバから受領の記録の要求を受け付けて当該記録を記憶するステップを実行し、
    前記サービス提供者サーバは、
    受領した前記個人情報を他の前記サービス提供者サーバへ提供する場合に、当該提供の記録を前記情報流通履歴管理装置に要求するステップを実行し、
    他の前記サービス提供者サーバは、
    前記個人情報の前記サービス提供サーバからの提供に対して受領を行う場合に、当該受領の記録を前記情報流通履歴管理装置に要求するステップを実行し、
    前記情報流通履歴管理装置は、
    前記サービス提供者サーバから提供の記録の要求を受け付けて当該記録を記憶し、他の前記サービス提供者サーバから受領の記録の要求を受け付けて当該記録を記憶するステップを実行し、
    前記記録には、
    前記サービス利用者端末の利用者の識別情報と、受領する前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報とを含む場合と、
    前記サービス利用者端末の利用者の識別情報と、提供する前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報と、受領する他の前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報とを含む場合とがあり、
    前記情報流通履歴管理装置は、
    前記サービス利用者端末または前記サービス提供者サーバからの検索要求を受け付けて、前記記録を検索して検索結果を返信するステップを実行する
    ことを特徴とする情報流通履歴管理方法。
  11. ネットワークで接続されたサービス利用者端末、サービス提供者サーバ、および情報流通履歴管理装置を含んで構成される情報流通履歴管理システムの情報流通履歴管理装置であって、
    前記サービス利用者端末の利用者に係る個人情報の前記サービス提供者サーバへの提供を行うサービス利用者端末から当該提供の記録の要求を受け付けて当該記録を記憶し、
    当該個人情報の提供に対して受領を行うサービス提供者サーバから当該受領の記録の要求を受け付けて当該記録を記憶し、
    受領した前記個人情報他の前記サービス提供者サーバへ提するサービス提供者サーバから当該提供の記録の要求を受け付けて当該記録を記憶し、
    当該個人情報の前記サービス提供者サーバからの提供に対して受領を行う他の前記サービス提供者サーバから当該受領の記録の要求を受け付けて当該記録を記憶する記録作成部を備え、
    前記記録には、
    前記サービス利用者端末の利用者の識別情報と、受領する前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報とを含む場合と、
    前記サービス利用者端末の利用者の識別情報と、提供する前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報と、受領する他の前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報とを含む場合とがあり、
    前記情報流通履歴管理装置は、
    前記サービス利用者端末または前記サービス提供者サーバからの検索要求を受け付けて、前記記録を検索して検索結果を返信する記録検索部を、さらに備える
    ことを特徴とする情報流通履歴管理装置。
  12. コンピュータを請求項11に記載の情報流通履歴管理装置として機能させるためのプログラム。
JP2022503066A 2020-02-26 2020-06-08 情報流通履歴管理システム、情報流通履歴管理方法、情報流通履歴管理装置およびプログラム Active JP7476950B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
PCT/JP2020/007785 WO2021171429A1 (ja) 2020-02-26 2020-02-26 情報流通履歴管理システム、情報流通履歴管理方法、情報流通履歴管理装置およびプログラム
JPPCT/JP2020/007785 2020-02-26
PCT/JP2020/022544 WO2021171640A1 (ja) 2020-02-26 2020-06-08 情報流通履歴管理システム、情報流通履歴管理方法、情報流通履歴管理装置およびプログラム

Publications (2)

Publication Number Publication Date
JPWO2021171640A1 JPWO2021171640A1 (ja) 2021-09-02
JP7476950B2 true JP7476950B2 (ja) 2024-05-01

Family

ID=77490870

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022503066A Active JP7476950B2 (ja) 2020-02-26 2020-06-08 情報流通履歴管理システム、情報流通履歴管理方法、情報流通履歴管理装置およびプログラム

Country Status (3)

Country Link
US (1) US20230105706A1 (ja)
JP (1) JP7476950B2 (ja)
WO (2) WO2021171429A1 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002024520A (ja) 2000-07-07 2002-01-25 Bewith Inc カスタマーリレーションマネジメントシステム
JP2003316908A (ja) 2002-04-26 2003-11-07 Nippon Telegr & Teleph Corp <Ntt> 個人情報流通サービスシステムおよび個人情報管理サーバ
JP2013145513A (ja) 2012-01-16 2013-07-25 Secom Co Ltd 閲覧登録システム、システム運営者サーバ、及び閲覧登録方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8881227B2 (en) * 2010-03-30 2014-11-04 Authentic8, Inc. Secure web container for a secure online user environment
US9405930B2 (en) * 2013-03-12 2016-08-02 Jacqueline K. Vestevich User-controlled centralized privacy marketplace system
US10542031B2 (en) * 2015-02-20 2020-01-21 Authentic8, Inc. Secure application for accessing web resources
US20200285761A1 (en) * 2019-03-07 2020-09-10 Lookout, Inc. Security policy manager to configure permissions on computing devices

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002024520A (ja) 2000-07-07 2002-01-25 Bewith Inc カスタマーリレーションマネジメントシステム
JP2003316908A (ja) 2002-04-26 2003-11-07 Nippon Telegr & Teleph Corp <Ntt> 個人情報流通サービスシステムおよび個人情報管理サーバ
JP2013145513A (ja) 2012-01-16 2013-07-25 Secom Co Ltd 閲覧登録システム、システム運営者サーバ、及び閲覧登録方法

Also Published As

Publication number Publication date
US20230105706A1 (en) 2023-04-06
WO2021171640A1 (ja) 2021-09-02
JPWO2021171640A1 (ja) 2021-09-02
WO2021171429A1 (ja) 2021-09-02

Similar Documents

Publication Publication Date Title
US10708060B2 (en) System and method for blockchain-based notification
US10999063B2 (en) Methods and apparatus for verifying a user transaction
Pearson et al. Sticky policies: An approach for managing privacy across multiple parties
TWI571765B (zh) 用於保護上傳至網際網路站點的多媒體中之使用者隱私的系統和方法
JP5024999B2 (ja) 暗号管理装置、暗号管理方法、暗号管理プログラム
US20110276490A1 (en) Security service level agreements with publicly verifiable proofs of compliance
EP3662403B1 (en) Private data processing
JP2002073566A (ja) 個人認証適用データ処理システム、個人認証適用データ処理方法、および情報処理装置、並びにプログラム提供媒体
JP2002169465A (ja) 公開鍵証明書利用システム、公開鍵証明書利用方法、および情報処理装置、並びにプログラム提供媒体
JP2002169464A (ja) 個人識別証明書リンクシステム、情報処理装置、および情報処理方法、並びにプログラム提供媒体
JP2002073569A (ja) 個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体
JP6819748B2 (ja) 情報処理装置、情報処理システム及びプログラム
JP6536609B2 (ja) 管理装置及びドキュメント管理システム
JP2018156410A (ja) 情報処理装置及びプログラム
US20130177156A1 (en) Encrypted Data Processing
Wei et al. Dynamic data integrity auditing for secure outsourcing in the cloud
Jayakrishnan et al. A simple and robust end-to-end encryption architecture for anonymous and secure whistleblowing
KR20220013171A (ko) 블록체인에 기반한 개인 정보 운용 방법, 장치 및 시스템
JP7476950B2 (ja) 情報流通履歴管理システム、情報流通履歴管理方法、情報流通履歴管理装置およびプログラム
Bingu et al. A comprehensive review on security and privacy preservation in cloud environment
JP2023130017A (ja) コンテンツ保護システム
JP6320943B2 (ja) 鍵共有装置、鍵共有システム、鍵共有方法、プログラム
WO2020122095A1 (ja) 制御方法、サーバ、プログラム、および、データ構造
JPH11331145A (ja) 情報共有システム、情報保管装置およびそれらの情報処理方法、並びに記録媒体
JP5681585B2 (ja) ファイル配信装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220711

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230627

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230823

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231121

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231222

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240319

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240401

R150 Certificate of patent or registration of utility model

Ref document number: 7476950

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150