JPWO2006137117A1 - 情報アクセス制御システムおよびその方法 - Google Patents

情報アクセス制御システムおよびその方法 Download PDF

Info

Publication number
JPWO2006137117A1
JPWO2006137117A1 JP2007522141A JP2007522141A JPWO2006137117A1 JP WO2006137117 A1 JPWO2006137117 A1 JP WO2006137117A1 JP 2007522141 A JP2007522141 A JP 2007522141A JP 2007522141 A JP2007522141 A JP 2007522141A JP WO2006137117 A1 JPWO2006137117 A1 JP WO2006137117A1
Authority
JP
Japan
Prior art keywords
information
access control
processing
rule
identification information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2007522141A
Other languages
English (en)
Inventor
清水 英則
英則 清水
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Development Co LP
Original Assignee
Hewlett Packard Development Co LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Development Co LP filed Critical Hewlett Packard Development Co LP
Publication of JPWO2006137117A1 publication Critical patent/JPWO2006137117A1/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

情報利用装置3と報情報アクセス制御サーバ4との間で認証処理が行われ、認証された情報利用装置3は、APサーバ6に対してサービスを要求する。APサーバ6と情報アクセス制御サーバ4との間で認証処理が行われ、情報アクセス制御サーバ4に対して、情報利用装置3に対する個人を特定可能な識別情報(実体)の送信が要求される。要求に応じて、サービスの実現に必要とされるが、個人を特定不可能な一般情報が、情報アクセス制御サーバ4からAPサーバ6に対して送信される。APサーバ6は、サービスの処理結果を、情報利用装置3に対して送信し、情報アクセス制御サーバ4は、情報利用装置3が要求したサービスに対応する識別情報(実体)を、情報利用装置3に対して送信する。

Description

本発明は、特定の情報に対するアクセスを、他の情報から分離して制御できるようにした情報アクセス制御システムおよびその方法に関する。
現在、世界各国において個人情報を保護するための法制度が整えられている。
例えば、日本においては、個人情報の用途の説明、個人情報の用途以外での使用禁止、および、個人情報漏洩時の本人への通知などが義務づけられている。
また、例えば、特許文献1〜6には、特定の情報、例えば、個人情報を保護するための様々な方法が開示されている。
しかしながら、これらの方法は、個人情報に関係する情報処理を行うときに、その処理を行う装置に、個人情報が出て行ってしまったり、特定の種類の情報処理に特化していたりする。
特開2005−051671号公報 特開2005−004714号公報 特開2004−363732号公報 特開2004−282657号公報 特開2004−068869号公報 特開2002−135004号公報
本発明は、上述ような背景からなされたものであり、特定の情報に対するアクセスを適切に制御することにより、この情報を、確実に保護することができるように改良された情報アクセス制御システムおよびその方法を提供することを目的とする。
また、本発明は、特定の情報を確実に保護でき、しかも、様々な情報処理に汎用的に応用することができるように改良された情報アクセス制御システムおよびその方法を提供することを目的とする。
上記目的を達成するために、本発明に係る情報アクセス制御システムは、所定の存在に関する情報であって、前記存在の識別に用いられ得る第1の情報と、前記第1の情報以外の第2の情報とを提供する情報提供装置と、情報アクセス制御装置と、情報処理装置とを有する情報アクセス制御システムであって、前記情報処理装置は、前記情報提供装置に対して、前記第1の情報に対するアクセスの規則を提示する第1の規則提示手段と、前記第1の情報に対応する識別子に対応付けられて提供される前記第2の情報を処理する情報処理手段とを有し、前記情報提供装置は、前記第1の情報と第2の情報とを提供する情報提供手段と、前記提示された規則を許諾する第1の許諾手段とを有し、前記情報アクセス制御装置は、前記識別子を生成する識別子生成手段と、前記生成された識別子を、この識別子に対応する第2の情報に対応付けて、前記情報処理装置に提供する情報提供手段と、前記許諾された規則に従って、この規則に対応する第1の情報に対するアクセスを許可するか否かを制御する情報アクセス制御手段とを有する。
また、本発明に係る情報アクセス制御装置は、所定の存在に関係する情報であって、前記存在の識別に用いられ得る第1の情報に対する情報アクセス制御を行う情報アクセス制御装置であって、前記存在に関係する情報は、前記第1の情報以外の第2の情報を含み、前記第1の情報に対するアクセスの規則が提示され、前記提示された規則に対して許諾が行われ、前記第1の情報に対応する識別子に対応付けられて提供される前記第2の情報に対して、所定の情報処理が行われ、前記識別子を生成する識別子生成手段と、前記生成された識別子を、この識別子に対応する第2の情報に対応付けて、前記情報処理のために提供する情報提供手段と、前記許諾された規則に従って、この規則に対応する第1の情報に対するアクセスを制御する情報アクセス制御手段とを有する。
好適には、前記第1の情報に対するアクセスの規則の提示方法と、前記情報処理の内容とを、前記所定の存在ごとに対応付けて定義する定義データを作成する定義データ作成手段と、前記作成された定義データに含まれるアクセスの規則の提示方法に従って、前記情報処理装置からの前記第1の情報に対するアクセスの規則を、前記情報提供装置に提示するアクセス規則提示手段とをさらに有する。
好適には、前記情報処理は、前記作成された定義データに含まれる処理の内容に従って行われ、前記情報アクセス制御手段は、前記要求された情報処理に対応する前記第1の情報であって、前記アクセスが許可された前記第1の情報に対するアクセスを許可する。
好適には、前記処理結果は、この処理結果に対応する前記識別情報に対応付けられて利用され、前記アクセスが許諾された識別情報を、前記利用のために提供する処理結果提供手段をさらに有する。
好適には、前記アクセスが許諾された第1の情報を利用する利用者を認証する第1の認証手段をさらに有し、前記処理結果提供手段は、前記認証された利用者に対して、前記識別情報に対応する処理結果を提供する。
好適には、前記存在を認証する第1の認証手段と、前記認証された存在に関係する前記第1の情報を記憶する情報記憶手段とをさらに有し、前記情報アクセス制御手段は、前記記憶された第1の情報に対するアクセスを制御する。
好適には、前記情報記憶手段は、前記記憶した第1の情報を、それぞれに設定された時間が経過した後に削除する。
好適には、前記第1の情報に対するアクセスの履歴をとる履歴手段をさらに有する。
好適には、前記規則を提示する規則提示手段と、前記提示された規則に対する許諾を受け入れる許諾受入手段とをさらに有し、前記情報アクセス制御手段は、前記提示された規則と、この規則に対する許諾とに基づいて、前記第1の情報に対するアクセスを制御する。
好適には、前記規則を、前記許諾を行う許諾者に対して表示するために用いられる表示画像を定義する画像定義手段をさらに有し、前記規則提示手段は、前記規則を、前記定義された表示画像を用いて、前記許諾者に対して表示する。
好適には、前記規則提示手段は、前記規則を、前記許諾を行う許諾者に対して対話的に表示する。
好適には、前記所定の存在は個人であり、前記第1の情報は、個人を識別しうる識別情報であり、前記第2の情報は、個人に関係する一般情報である。
また、本発明に係る情報処理装置は、所定の存在に関する情報を処理する情報処理装置であって、前記存在に関する情報は、前記存在の識別に用いられ得る第1の情報と、前記第1の情報以外の第2の情報とを含み、前記第1の情報は、規則に従ってアクセスされ、前記第1の情報に対するアクセスの規則を提示する規則提示手段と、前記第1の情報に対応する前記第2の情報を処理する情報処理手段とを有する。
また、本発明に係る情報アクセス制御方法は、所定の存在に関係する情報であって、前記存在の識別に用いられ得る第1の情報に対する情報アクセス制御を行う情報アクセス制御方法であって、前記存在に関係する情報は、前記第1の情報以外の第2の情報を含み、前記第1の情報に対するアクセスの規則が提示され、前記提示された規則に対して許諾が行われ、前記第1の情報に対応する識別子に対応付けられて提供される前記第2の情報に対して、所定の情報処理が行われ、前記識別子を生成する識別子生成ステップと、前記生成された識別子を、この識別子に対応する第2の情報に対応付けて、前記情報処理のために提供する情報提供ステップと、前記許諾された規則に従って、この規則に対応する第1の情報に対するアクセスを制御する情報アクセス制御ステップとを有する。
また、本発明に係る情報処理方法は、個人に関する情報を処理する情報処理方法であって、前記個人に関する情報は、前記個人の識別に用いられ得る識別情報と、前記識別情報以外の一般情報とを含み、前記識別情報は、規則に従ってアクセスされ、前記識別情報に対するアクセスの規則を提示する規則提示ステップと、前記識別情報に対応する前記一般情報を処理する情報処理ステップとを有する。
また、本発明に係る情報アクセス制御プログラムは、所定の存在に関係する情報であって、前記存在の識別に用いられ得る第1の情報に対する情報アクセス制御を行うプログラムであって、前記存在に関係する情報は、前記第1の情報以外の第2の情報を含み、前記第1の情報に対するアクセスの規則が提示され、前記提示された規則に対して許諾が行われ、前記第1の情報に対応する識別子に対応付けられて提供される前記第2の情報に対して、所定の情報処理が行われ、前記識別子を生成する識別子生成ステップと、前記生成された識別子を、この識別子に対応する第2の情報に対応付けて、前記情報処理のために提供する情報提供ステップと、前記許諾された規則に従って、この規則に対応する第1の情報に対するアクセスを制御する情報アクセス制御ステップとをコンピュータに実行させる。
また、本発明に係る情報処理プログラムは、個人に関する情報を処理するプログラムであって、前記個人に関する情報は、前記個人の識別に用いられ得る識別情報と、前記識別情報以外の一般情報とを含み、前記識別情報は、規則に従ってアクセスされ、前記識別情報に対するアクセスの規則を提示する規則提示ステップと、前記識別情報に対応する前記一般情報を処理する情報処理ステップとをコンピュータに実行させる。
本発明によれば、特定の情報に対するアクセスを適切に制御することにより、この情報を、確実に保護することができる。
また、本発明は、特定の情報を確実に保護でき、しかも、様々な情報処理に汎用的に応用することができる。
本発明に係る情報アクセス制御システムの構成を例示する図である。 図1に示した情報アクセス制御システムに含まれる情報提供装置、情報利用装置、情報アクセス制御サーバおよびAPサーバのハードウエアを例示する図である。 図1に示した情報アクセス制御システムにおいて定義されるサービスを定義する識別情報オブジェクトモデルを例示する図である。 図3に示した識別情報オブジェクトモデルにおいて定義される識別情報UIオブジェクトの内容を例示する図である。 図1に示した情報アクセス制御システムにおけるサービスの提供および情報アクセス制御のために用いられる情報を示す図である。 図1,図2に示した情報提供装置2において実行される情報提供プログラムの構成を示す図である。 図1,図2に示した情報利用装置において実行される情報利用プログラムを示す図である。 図1,図2に示した情報アクセス制御サーバにおいて実行される情報アクセス制御プログラムの構成を示す図である。 図8に示したサービス定義部の構成を示す図である。 図8に示した情報アクセス制御部の構成を示す図である。 図8に示した情報提供者マスタDBに記憶される情報提供者情報を示す図である。 図8に示したノードDBに記憶されるノード情報を示す図であって、(A)は、APサーバについてのノード情報を示し、(B)は、情報利用装置についてのノード情報を示し、(C)は、情報提供装置についてのノード情報を示す。 図8に示したUI処理部により情報提供装置から受け入れられ、APサーバに送信される一般情報を示す図であって、(A)は、UI処理部の一般情報受入部が情報提供装置から受け入れる一般情報を示し、(B)は、UI処理部の一般情報送信部が送信する一般情報を示す。 図9に示した識別情報オブジェクトDBにリポジトリ構造で記憶される識別情報オブジェクトモデルを例示する図である。 図8に示した識別情報DBに記憶される識別情報(実体)を示す図である。 図8に示したアクセス制御処理部のACL記憶部(図10)に記憶されるACLの各行に含まれる情報を示す図である。 図1,図2に示したAPサーバにおいて実行されるAPサーバプログラムの構成を示す図である。 図17に示したAPサーバプログラムの注文番号DBに記憶される注文番号情報を示す図である。 情報アクセス制御システム(図1)における情報の流れを示す第1の図であって、情報アクセス制御プログラムのサービス定義部(図8など)による識別情報オブジェクトモデルの作成と、識別情報オブジェクトモデルに含まれる情報(図5)の情報アクセス制御プログラムおよびAPサーバプログラム(図17)の構成部分に対する設定を示す。 図19に示した情報の流れのうち、情報アクセス制御プログラムの識別情報処理部および情報アクセス制御部(図8,図10)内部の情報の流れを示す図である。 情報アクセス制御システム(図1)における情報の流れを示す第2の図であって、情報アクセス制御プログラムによる情報提供装置のユーザ(情報提供者)の認証と、匿名IDの作成を示す。 情報アクセス制御システム(図1)における情報の流れを示す第3の図であって、情報提供装置からAPサーバに対して行われるサービスの要求から、情報提供装置2のユーザ(情報提供者)に対するポリシーの提示およびその許諾を示す。 図22に示した情報の流れのうち、情報アクセス制御プログラムの識別情報処理部および情報アクセス制御部(図8,図10)内部の情報の流れを示す図である。 情報アクセス制御システム(図1)における情報の流れを示す第4の図であって、情報提供装置から情報アクセス制御サーバへの識別情報(実体)の登録を示す。 図24に示した情報の流れのうち、情報アクセス制御プログラムの識別情報処理部および情報アクセス制御部(図8,図10)内部の情報の流れを示す図である。 情報アクセス制御システム(図1)における情報の流れを示す第5の図であって、情報アクセス制御サーバから情報利用装置への識別情報(実体)の送信を示す。 図26に示した情報の流れのうち、情報アクセス制御プログラムの識別情報処理部および情報アクセス制御部(図8,図10)内部の情報の流れを示す図である。 図1に示した情報アクセス制御システムの全体的な動作を示す第1の通信シーケンス図であって、情報アクセス制御サーバに対する情報提供装置のユーザ(情報提供者)の認証から、識別情報(実体)の登録までの処理(S10)を示す。 図1に示した情報アクセス制御システムの全体的な動作を示す第2の通信シーケンス図であって、情報アクセス制御サーバから情報利用装置への識別情報(実体)の送信までの処理(S14)を示す。
以下、本発明の実施形態を説明する。
[情報アクセス制御システム1]
図1は、本発明に係る情報アクセス制御システム1の構成を例示する図である。
図1に示すように、情報アクセス制御システム1は、それぞれn台(nは1以上の整数、但し、常に同じ数を示すとは限らない)の情報提供装置2−1〜2−n、情報利用装置3−1〜3−n、情報アクセス制御サーバ4−1〜4−nおよびAPサーバ(情報処理装置)6−1〜6−nが、LAN、WANあるいはインターネットなどのネットワーク100を介して接続された構成をとる。
情報アクセス制御システム1は、これらの構成部分により、ある存在、例えば個人などを識別可能な情報(識別情報(PID; Personally Identifiable Data))と、個人に関する一般的な情報とを分離して管理し、識別情報に対するアクセスを制御することにより、識別情報を保護する。
なお、以下、情報提供装置2−1〜2−nなど、複数あり得る構成部分のいずれかを示すときには、単に情報提供装置2などと略記することがある。
また、情報提供装置2など、情報アクセス制御システム1において、情報通信および情報処理の主体となりうる構成部分は、ノードと総称されることがある。
また、以下の各図において、実質的に同じ構成部分には、同じ符号が付される。
[ハードウエア]
図2は、図1に示した情報アクセス制御システム1に含まれる情報提供装置2、情報利用装置3、情報アクセス制御サーバ4およびAPサーバ6のハードウエアを例示する図である。
図2に示すように、これらのノードは、CPU122およびメモリ124などを含む本体120、表示装置およびキーボードなどの入出力装置126、他のノードとの通信を行う通信装置128、および、CD装置、HDD装置およびフラッシュメモリ装置などの記録装置130から構成される。
つまり、これらのノードは、情報処理および情報通信が可能なコンピュータとしての構成部分を有している。
[識別情報・一般情報・識別情報オブジェクトモデル]
以下、図1に示した情報アクセス制御システム1において処理の対象となる識別情報、一般情報および識別情報オブジェクトモデルを説明する。
[識別情報・一般情報]
情報アクセス制御システム1における情報アクセス制御は、さまざまな存在(個人(自然人であるか法人であるかを問わない)、生物、無生物、動産および不動産など)の識別情報について応用されうるが、以下、特記なき限り、情報アクセス制御システム1が、個人(自然人)の識別情報の処理を行う場合が具体例とされる。
個人の識別情報としては、例えば、郵便番号の全桁または詳細な住所、電話番号、運転免許証番号、健康保険証番号、GPSなどにより得られる詳細な現在位置、氏名、および、生年月日と住所の組み合わせなどを例示することができる。
また、一般情報は、個人に関係する識別情報以外の情報であって、例えば、一般的なアンケートの回答内容(嗜好および趣味など)を例示することができる。
[識別情報オブジェクトモデル(PIDオブジェクトモデル)]
図3は、図1に示した情報アクセス制御システム1において定義されるサービスを定義する識別情報オブジェクトモデルを例示する図である。
図3に示すように、情報アクセス制御システム1において、情報提供装置2および情報利用装置3のユーザ(情報提供者,情報利用者)に提供されるサービスは、その実行時に情報提供者に対応付けられる。
サービスは、そのサービスを実現するために、APサーバ6により実行される1つ以上のアプリケーション(図18などを参照して後述)の集合およびその構成として定義される。
アプリケーションに対しては、そのアプリケーションと対応するポリシー、識別情報(PID)および識別情報UIオブジェクトが定義される。
ポリシーに対しては、許諾者、表示ポリシーおよび許諾タイプが対応付けられ、許諾タイプには、さらに、情報アクセス制御リスト(ACL;Access Control List)が対応付けられる。
情報提供者には情報提供者の識別子(情報提供者ID)が定義される。
識別情報オブジェクトモデルにおいて定義されるこれらオブジェクトの内、サービスには、サービスの識別子(サービスID)、アプリケーションにはアプリケーションの識別子(APID;APplication ID)、識別情報(PID)には、その識別子(LPID;Logical Personally Identifiable Data)が定義される。
このLPIDは、APサーバ6において扱われる特定の識別情報(PID)を指し示す名前であって、サービス定義部46(図8を参照して後述)が、シンボルテーブルとして生成する。
実際には、LPIDは、サービス定義部46に含まれるSDT460のユーザ、例えば、APサーバ6におけるサービスを開発する開発者によってデータ名として作成され、利用される。
なお、LPIDは、APサーバ6において、識別情報に対応する符号として処理され、データのシンボル(実際には、オブジェクトクラスのメンバ)として使用される。
図4は、図3に示した識別情報オブジェクトモデルにおいて定義される識別情報UIオブジェクトの内容を例示する図である。
アプリケーションの構成は、サービスに対して入力される情報、サービスから処理結果として出力される情報、および、複数のアプリケーションの間で受け渡される情報などを定義する。
ポリシーは、アプリケーションを介して対応付けられた識別情報の取り扱いの方針および規則を定義する。
識別情報UIオブジェクトは、ポリシーを、情報提供者に対して提示するために用いられる図4に示すような画像など、サービスにおいて、情報利用者との対話のために用いられる手段(静止画像,テキスト,音声,動画像など)を定義する。
識別情報は、対応するアプリケーションの処理結果に、いずれの識別情報が付されるかを示す。
許諾者は、対応するポリシーを、いずれの情報提供者が許諾したかを示す。
表示ポリシーは、アプリケーションの処理結果に対応付けられる識別情報を、情報利用者に対して表示するときの方針および規則を定義する。
許諾タイプは、LPIDの使用(情報アクセス制御)に関する設定を定義するためのテンプレートであって、対応するポリシーを許諾した情報提供者に対してのみ有効とされる。
情報アクセス制御リスト(ACL)は、許諾タイプ(テンプレート)に対して定義された設定に従って、識別情報に対するアクセスを制御するために用いられる。
図5は、図1に示した情報アクセス制御システム1におけるサービスの提供および情報アクセス制御のために用いられる情報を示す図である。
図5に示した識別情報オブジェクトモデルにより定義されるサービス、および、サービスによる識別情報に対するアクセスの制御を実現するためには、図5に示すように、サービス利用識別情報(識別情報(実体)に対応)、識別情報ポリシー、識別情報UIオブジェクトおよびアプリケーションIF(APIF)が用いられる。
サービス利用識別情報は、サービスの実現のために必要とされ、使用される識別情報を定義する。
識別情報ポリシーは、サービスが、識別情報を取り扱うときの方針および規則を定義し、ACLにおける管理方法の設定と、情報提供者に対して提示されたポリシーに対応した識別情報の利用許諾データを格納し、記憶するために用いられる。
識別情報UIオブジェクトは、情報提供者および情報利用者が、サービスに対して対話的に操作を行うための静止画像、テキスト、音声および動画像などを定義し、UIデータモデルおよびUIのために使われる部品などを含む。
この識別情報ポリシーに含まれるデータモデルは、情報アクセス制御サーバ4により取得された一般情報を処理するために用いられる。
また、UIの部品は、静止画像、テキスト、音声および動画像などであって、例えば、図4に示したようなUI画像を作成するために用いられる。
APIFは、サービスを定義する識別情報オブジェクトモデルにおいて定義されたサービス、このサービスに含まれるアプリケーション、このアプリケーションに対応する識別情報およびアプリケーションの構成を定義し、サービスID、APID、LPIDおよびアプリケーションの構成を示す構成情報を含む。
[ソフトウエア]
以下、情報アクセス制御システム1の各ノードのソフトウエアを説明する。
[情報提供プログラム20]
図6は、図1,図2に示した情報提供装置2において実行される情報提供プログラム20の構成を示す図である。
図6に示すように、情報提供プログラム20は、インターフェース・制御部(IF・制御部)22、ポリシー提示部240、ポリシー許諾部242、識別情報作成部244、認証部246、一般情報作成部248、セッション処理部250および通信処理部260から構成される。
情報提供プログラム20は、例えば、記録媒体132(図2)およびネットワーク100(通信装置128)を介して情報提供装置2に供給され、メモリ124にロードされて、情報提供装置2にインストールされたOS(図示せず)上で、情報提供装置2のハードウエアを具体的に利用して実行される(以下、各プログラムについて同様)。
情報提供プログラム20は、これらの構成部分により、ある存在を識別可能な識別情報と、この存在に関係する一般的な情報(一般情報)とを作成して、情報アクセス制御サーバ4およびAPサーバ6に対して提供する。
また、情報提供プログラム20は、識別情報に対するアクセスのポリシーの提示を受け、提示されたポリシーに対する許諾を与える。
例えば、情報提供プログラム20の実体がブラウザであるときには、情報提供装置20の実現のためには、情報提供装置2において用意された機能よりも、情報アクセス制御サーバ4側から提供される機能の方がより多く用いられる。
このような場合、情報提供装置2におけるUIの実現のためには、情報アクセス制御サーバ4側においてUIオブジェクト処理を行う部分と、そのUIアダプタ処理を行う部分とが処理を行い、情報アクセス制御サーバ4側において動的に構成されたWeb画面が、情報提供装置2に対して送信される。
このような処理は、アップル社のWebObject(登録商標)などによっても実現されうる。
情報提供プログラム20において、IF・制御部22は、情報提供装置2の入出力装置126(図2)に対するユーザ(情報提供者)の操作を受け入れて、受け入れた操作示すデータを、情報提供プログラム20の各構成部分に対して出力する。
また、IF・制御部22は、情報提供プログラム20の各構成部分から入力されるデータを、入出力装置126に対して出力し、表示などをさせる。
また、IF・制御部22は、入力されるデータに応じて、情報提供プログラム20の各構成部分の処理を制御する。
ポリシー提示部240は、図4に示したように、識別情報(図4においては、「名前、住所、電話番号、クレジットカード番号」)の使用(同、「当社および提携業者によるご注文、発送の処理ならびお客様ご本人によるお問い合わせへの対応」)に関するポリシーを表示し、表示されたポリシーに対する情報提供装置2のユーザ(情報提供者)の許諾操作(同、「許諾」ボタンの押下など)を受け入れるために用いられるGUI(Graphical User Interface)画像を、入出力装置126(図2)に表示して、ポリシーを情報提供者に提示する。
このポリシーには、必要に応じて、図4に示すように、ポリシーの付加情報を示すための項目、識別情報管理のための項目、および、識別情報や情報提供者情報の処理を行うための項目などが、適宜、含まれうる。
ポリシーは、後述するように、情報アクセス制御サーバ4から提供され、情報利用者による情報利用者の個人情報(識別情報)に対するアクセスを制御するための規則として用いられる。
ポリシー許諾部242は、ポリシー提示部240により表示されたポリシーを、情報提供者が許諾するか否かを示す操作を受け入れる。
さらに、ポリシー許諾部242は、情報提供者が、ポリシーを許諾したか否かを示す情報を、情報アクセス制御サーバ4に対して送信する。
識別情報作成部244は、入出力装置126に対する操作に応じて、情報提供者の識別情報を作成し、情報アクセス制御サーバ4に対して送信する。
認証部246は、入出力装置126に対する操作などに応じて、情報アクセス制御サーバ4に対して認証情報を送信するなど、情報提供者の認証のために必要な処理を行う。
一般情報作成部248は、入出力装置126に対する操作などに応じて、情報提供者の一般情報を作成し、作成した一般情報を、情報アクセス制御サーバ4を介してAPサーバ6に対して送信する。
セッション処理部250は、情報アクセス制御サーバ4への認証が行われた後、同じく情報アクセス制御サーバ4への認証を行ったAPサーバ6と、情報提供装置2と、情報アクセス制御サーバ4との間のセッション管理のために必要な処理を行う。
通信処理部260は、情報提供装置2の通信装置128(図2)を制御し、他のノードとの間の通信に必要な処理を行う。
[情報利用プログラム30]
図7は、図1,図2に示した情報利用装置3において実行される情報利用プログラム30を示す図である。
図7に示すように、情報利用プログラム30は、IF・制御部22、認証部246、サービス要求部300、処理結果利用部302、セッション処理部250および通信処理部260から構成される。
情報利用プログラム30は、これらの構成部分により、情報アクセス制御サーバ4を介してAPサーバ6に対して一般情報に対するサービスを要求し、要求したサービスの処理結果をAPサーバ6から受け、このサービスの処理結果に対応する識別情報を情報アクセス制御サーバ4から受け、情報利用装置3のユーザ(情報利用者)による利用のために提供する。
情報利用プログラム30において、サービス要求部300は、情報提供者の一般情報に関するサービスを、APサーバ6に対して要求する。
サービス結果利用部302は、要求したサービスの処理結果を、APサーバ6から受け取り、このサービスの処理結果に対応する識別情報(実体)を、処理結果の受け取りに用いられたセッションを介して、情報アクセス制御サーバ4から受け取り、受け取ったこれらサービスの結果と、識別情報とを対応付ける。
さらに、サービス結果利用部302は、対応付けたこれらの情報を、情報利用装置3の入出力装置126(図2)に対して表示するなど、情報利用装置3のユーザ(情報利用者)に利用させるための処理を行う。
情報利用装置3が、APサーバ6に対して要求する処理として、下記(1),(2)の処理を例示することができる。
(1)製品番号より、製品を購入した情報提供装置2のユーザ(情報提供者)の匿名IDを利用し、製品の欠陥を修正するためのリコールメールを出すために、情報提供者の氏名と住所とを、アクセス制御サーバ4から取り出す処理、および、
(2)受注処理時に、匿名IDと注文品目等を管理する受注処理を行い、受注番号などを用いて、配送処理などの後処理を行う。
この後処理の時点で、在庫の確認および配送可能日の確認が可能なので、これらの確認結果を、アクセス制御サーバ4から取り出した情報提供者の氏名と住所(配達先確認のため)と組み合わせて、情報提供者への対応に用いる処理。
[情報アクセス制御プログラム40]
図8は、図1,図2に示した情報アクセス制御サーバ4において実行される情報アクセス制御プログラム40の構成を示す図である。
図8に示すように、情報アクセス制御プログラム40は、セッション処理部250、通信処理部260、認証処理部400、情報提供者マスタデータベース(DB)402、ノード管理部404、ノードDB406、匿名ID処理部42、UI処理部44、サービス定義部46、識別情報処理部52および情報アクセス制御部54から構成される。
匿名ID処理部42は、匿名ID作成部420および匿名ID管理部422から構成される。
UI処理部44は、一般情報受入部440、一般情報送信部442、UIオブジェクト処理部444およびUIアダプタ処理部446から構成される。
識別情報処理部52は、識別情報管理部522、識別情報DB524、使用履歴作成部526および使用履歴DB528から構成される。
図9は、図8に示したサービス定義部46の構成を示す図である。
図9に示すように、サービス定義部46は、サービス定義ツール(SDT;Service Developer's Tool)460、識別情報オブジェクト作成部462、識別情報オブジェクト管理部464、識別情報オブジェクトDB466、サービス・AP構成管理部468、APIF作成・管理部470、APID・LPID作成部472、AP固有処理作成部474、識別情報UIオブジェクト作成部476、ACL作成部478、ポリシー作成部480、ポリシー提示部482および識別情報(実体)定義部484から構成される。
図10は、図8に示した情報アクセス制御部54の構成を示す図である。
図10に示すように、情報アクセス制御部54は、識別情報ポリシー管理部540、ACL管理部542、ACL記憶部544、AP固有処理部546およびAPIF管理部548から構成される。
情報アクセス制御プログラム40は、これらの構成部分により、識別情報に対する情報アクセス制御を行う。
つまり、情報アクセス制御プログラム40は、情報提供装置2および情報利用装置3を認証して、情報提供装置2、情報アクセス制御サーバ4およびAPサーバ6の間に通信セッションを張る。
また、情報アクセス制御プログラム40は、APサーバ6から、処理のために必要な情報のセット(サービスID,APID,LPID)および処理要求(識別情報要求)を受ける。
情報アクセス制御プログラム40は、この情報セットと、処理要求とが、識別情報オブジェクトモデルにより定義されるAPIF(図5)に存在するときには、このAPIFに対応する識別情報ポリシーに従って、情報提供装置2のユーザ(情報提供者)に対するポリシーの提示を行い、情報提供者にそのポリシーの許諾と識別情報の提供を求める。
APサーバ6から、情報アクセス制御プログラム40に対して、匿名IDのみではなく、情報セット(サービスID,APID,LPID)が送られる理由は、以下(1),(2)に示す通りである。
(1)例えば、サービス(サービスA)が、複数のAPIDを持ち、これら複数のAPIDの内のいずれか(App1)が、サービスAだけでなく、他のサービスBによっても利用されうるような場合がある。
このような場合に、サービスAから利用される場合に限り、App1が、特定のLPIDに対する操作を行いうるようにするためには、情報のセット(サービスID,APID,LPID)を用いた処理が必要とされる。
(2)「匿名ID」は、匿名の顧客(情報提供者,サービス利用者)を示す識別子であり、複数のサービスと複数の匿名IDとの間に対応関係が存在しうるので、サービスIDと、匿名IDとは、M対N(M,Nは1以上の整数)の関係にある。
例えば、ある匿名IDが付された顧客が、特定のサービスに対して、特定のLPIDの利用許諾(パーミッション)を与え、さらに、別のサービスにもLPIDの利用許諾を与えることがある。
このように、ある匿名IDと、複数のLPIDとの間に対応関係が生じうるので、ある特定の匿名IDについて、その匿名IDと対応関係にある複数のLPIDに対応する複数の識別情報が存在しうる。
従って、特定のサービスIDから起動される特定のアプリケーションが、特定のLPIDについての識別情報を得る処理のためには、情報セット(サービスID,APID,LPID)を目地的に用いた要求が必要とされる。
図11は、図8に示した情報提供者マスタDB402に記憶される情報提供者情報を示す図である。
情報アクセス制御プログラム40において、通信処理部260は、例えば、HTTPサーバあるいはWebサーバとして動作する。
情報提供者マスタDB402は、図11に示すように、情報提供者の識別子(情報提供者ID)と、匿名ID処理部42により作成され、その情報提供者を示す情報提供者氏名、匿名IDと認証に必要な認証情報(情報提供者認証ID,認証鍵(キー))とを対応付けて、情報提供者情報として記憶する。
認証処理部400は、認証要求を、情報提供装置2から受けると、情報提供者マスタDB402に記憶された認証情報を用いて、情報提供者の認証のために必要な処理を行い、認証された情報提供者情報を、匿名ID処理部42など情報アクセス制御プログラム40の他の構成部分の処理の用に供する。
また、認証処理部400は、情報利用装置3のユーザ(情報利用者)およびAPサーバ6からの認証に応じて、これらに対する認証処理を行う。
図12は、図8に示したノードDB430に記憶されるノード情報を示す図であって、(A)は、APサーバ6についてのノード情報を示し、(B)は、情報利用装置3についてのノード情報を示し、(C)は、情報提供装置2についてのノード情報を示す。
匿名ID処理部42のノード管理部428は、記録媒体132(図2)などを介して入力されるノード情報を、ノードDB430に記憶し、管理する。
ノードDB430に記憶された情報は、必要に応じて、セッション処理部250によるセッション管理処理など、情報アクセス制御プログラム40の各構成部分の処理の用に供される(以下、各DBについて同様)。
図12(A)に示すように、APサーバ6についてのノード情報には、APサーバ6それぞれについて、識別子(APサーバID)、アドレス(APサーバアドレス)、および、サービスの実現のために用いられるアプリケーション(AP626;図17)の識別子(APID)が対応付けられて含まれる。
また、図12(B)に示すように、情報利用装置3についてのノード情報には、情報利用装置3それぞれについて、識別子(利用装置ID)およびアドレス(利用装置アドレス)が対応付けられて含まれる。
また、図12(C)に示すように、情報提供装置2についてのノード情報には、情報提供装置2それぞれについて、識別子(提供装置ID)およびアドレス(提供装置アドレス)が対応付けられて含まれる。
匿名ID作成部420は、例えば、認証された情報提供者の認証情報を、ハッシュ関数などを用いて変換して匿名IDを作成し、匿名ID管理部422に対して出力する。
匿名IDは、この匿名IDに対応する情報提供者の識別情報の代わりに用いられ、この情報提供者を、APサーバ6の側からは特定できないように隠蔽しつつ、この情報提供者の一般情報などを識別するために用いられる。
匿名ID管理部422は、図11に示したように、匿名IDを、この匿名IDに対応する情報提供者IDを含む情報提供者情報の一部として、情報提供者マスタDB402に記憶し、管理する。
匿名ID管理部422は、記憶した匿名ID情報を、情報利用装置3、情報アクセス制御サーバ4およびAPサーバ6の間に通信セッションが張られるたびに、この通信セッションと対応付けて、情報アクセス制御プログラム40の他の構成部分における処理の用に供する。
図13は、図8に示したUI処理部44により情報提供装置2から受け入れられ、APサーバ6に送信される一般情報を示す図であって、(A)は、UI処理部44の一般情報受入部440が情報提供装置2から受け入れる一般情報を示し、(B)は、UI処理部44の一般情報送信部442が送信する一般情報を示す。
UI処理部44の一般情報受入部440は、情報提供装置2から、認証された情報提供者の一般情報(図13(A))を受け入れ、一般情報送信部442に対して出力する。
一般情報送信部442は、図13(B)に示すように、入力された一般情報と、匿名IDと、情報利用装置3がAPサーバ6に対してサービスを要求するために用いる注文番号とを対応付けて、要求に応じて、APサーバ6に対して送信する。
UIアダプタ処理部446は、UIオブジェクト処理部444から入力される識別情報UIオブジェクト(図5)を処理し、図4に示したようなUI画像などを作成する。
UIアダプタ処理部446は、作成したUI画像などを、通信処理部260を介して、情報提供装置2に対して送信し、表示させる。
また、UIアダプタ処理部446は、情報提供装置2に表示されたUI画像に対する操作を受け入れて、この操作を示す情報を、UIオブジェクト処理部444に対して出力する。
UIオブジェクト処理部444は、セッション処理部250と連携して動作し、以下のような処理を行う。
(1)情報提供装置2に対するポリシーの提示、
(2)情報提供装置2からの提示したポリシーに対する許諾の受け入れ、
(3)識別情報の新規作成、
(4)情報提供装置2からの識別情報の受け入れ、
(5)ACL管理部からの識別情報のポインタ(識別情報ポインタ)の受け入れと、適切な識別情報のための準備、
(6)受け入れた識別情報と、識別情報ポインタとの対応付け、
(7)識別情報処理部への識別情報の検索、および、
(8)検索の結果として得られた識別情報の情報利用装置3への送信。
サービス定義部46のSDT460(図9)は、APサーバ6におけるサービスを開発する開発者に対して、サービス定義部46を操作するためのユーザインターフェースを提供する。
また、SDT460は、開発者からの操作を受け入れ、操作の内容に従って、サービス定義部46の各構成部分の処理を制御する。
また、SDT460は、サービス定義部46の他の構成部分により作成された情報アクセス制御のために用いられる情報(図5)を、情報アクセス制御プログラム40の他の構成部分、および、APサーバ6(APサーバプログラム60の構成部分;図17)に設定する。
サービス・AP構成管理部468は、図3に示した識別情報オブジェクトモデルのテンプレートを作成し、識別情報オブジェクト作成部462およびSDT460に対して出力する。
識別情報オブジェクト作成部462は、開発者の操作に従って、図3に示した識別情報オブジェクトモデルを作成し、サービス定義部46の他の構成部分に対して出力する。
図14は、図9に示した識別情報オブジェクトDB466にリポジトリ構造で記憶される識別情報オブジェクトモデルを例示する図である。
サービス・AP構成管理部464は、識別情報オブジェクト作成部462が作成した識別情報オブジェクトモデルを、図14に示すように、リポジトリ構造で識別情報オブジェクトDB466に記憶し、管理する。
サービス・AP構成管理部464は、識別情報オブジェクトDB466に記憶した識別情報オブジェクトモデルを、サービス定義部46の他の構成部分に対して出力する。
図14に示すリポジトリ構造で記憶される識別情報オブジェクトモデルは、概念として、図3に示した識別情報オブジェクトモデルの下位に位置し、識別情報オブジェクトモデルの実装を定義する。
図14に示すリポジトリ構造で記憶される識別情報オブジェクトモデルを構成する各要素のオブジェクトは、図3に示した識別情報オブジェクトモデルと同様に、その内部に、それ自体を識別するために外部に公開される識別子(ID)を含む。
情報アクセス制御部54において用いられるACLの確認テーブルは、このリポジトリの中のサービスID、APID、LPIDおよび匿名IDを含む。
なお、ACLの確認テーブルとは、図14に示したオブジェクトリポジトリの識別情報ポリシーに含まれる情報のテーブルであって、個別のACL設定条件のテンプレート(クラス定義)である。
ACLの確認テーブルには、匿名IDの格納場所が構造として存在するが、匿名IDは、具体的な実体としては存在しない。
識別情報ポリシー管理部540は、ACLの確認テーブルを用いて、ACL設定条件を、特定の匿名ID向けに生成し、ACL管理部542に対して出力する。
ちなみに、サービス利用識別情報オブジェクト(LPID)も、オブジェクトリポジトリにおける単なるテンプレート(クラス定義)であって、サービス利用識別情報オブジェクトには、データの型やアクセスのタイプなどが格納される。
図3に示した識別情報オブジェクトモデルの内、情報提供者個人の許諾に関しては、クラスが実体として生成された時点で生成され、しかも、実体と関連する情報管理機能の中に格納される。
従って、クラスの定義体の格納場所であるオブジェクトリポジトリの中には、識別情報の提供者の許諾は、具体的には存在しない。
実際には、情報提供者固有の識別情報実体が作成されるときに、許諾の存在が証拠性を得る。
具体的には、情報提供者による許諾を示す情報として、許諾の証拠性を示すデータ(システム実装に依存するが、タイムスタンプや電子署名等のデータ)が、ACL中の情報提供者固有の行の中に入れられる。
APID・LPID作成部472は、識別情報オブジェクトモデル(図3,図14)に含まれるAPサーバ6のアプリケーションプログラム(APサーバプログラム60のAP626;図17)および識別情報(実体)の識別子(APID)を作成する。
APID・LPID作成部472は、作成したAPIDおよびLPIDを、APIF作成・管理部470に対して出力する。
AP固有処理作成部474は、識別情報オブジェクトモデルにより定義されたサービス(識別情報のフィルタリング処理など)を実現するために、アプリケーションプログラムに対して、そのサービスにおいて固有な処理を行わせるための構成情報を作成する。
AP固有処理作成部474は、作成した設定を、APIF作成・管理部470に対して出力する。
APIF作成・管理部470は、識別情報オブジェクトモデルにより定義されたサービスのサービスID、そのサービスの実現に必要なAPID、LPIDおよび構成情報を対応付けて、APIF情報(図5)として記憶し、管理する。
APIF作成・管理部470は、記憶したAPIF情報を、ACL作成部478など、サービス定義部46の他の構成部分の処理の用に供する。
識別情報UIオブジェクト作成部476は、情報利用装置3からのサービスが要求されると、そのサービスの識別情報オブジェクトモデル(図3,図14)に含まれる識別情報UIオブジェクト(図4,図5)を作成し、UIオブジェクト処理部444に対して出力する。
ポリシー作成部480は、サービスの設計者・開発者により使用され、SDT460を介した操作に従って、特定のサービスが利用するLPIDに関する識別情報ポリシー(図5)を作成する。
ポリシー提示部482は、ポリシー作成部480から受けた識別情報ポリシーを、UIオブジェクト処理部444に対して出力し、図4に示したように、情報提供装置2のユーザ(情報提供者)に提示させる。
ACL作成部478は、識別情報ポリシーから、APID、サービスID、LPID、(オプションで利用者タイプ)、および、識別情報に対する処理のオプションを指定する処理情報を含むACLL設定条件定義を含む識別情報ポリシーオブジェクトの下位のACLクラス定義として生成し、オブジェクトリポジトリに格納する。
識別情報(実体)定義部484は、識別情報オブジェクトモデル(図3,図14)に含まれる識別情報(実体;図4,図5)を作成し、情報アクセス制御部54に対して出力する。
図15は、図8に示した識別情報DB524に記憶される識別情報(実体)を示す図である。
識別情報管理部522は、図15に示すように、識別情報を提供した提供者の匿名IDと、UIオブジェクト処理部444が情報提供装置2から受け、識別情報ポインタと対応付けた識別情報(実体)と、その管理情報(識別情報(実体)の有効期限など)とを対応付けて識別情報DB524に記憶し、管理する。
識別情報管理部522は、UIオブジェクト処理部444から識別情報ポインタを受けて、このポインタに対応する識別情報(実体)を識別情報DB524から読み出し、UIオブジェクト処理部444に返す。
また、識別情報管理部522は、識別情報に対応付けられた管理情報に従って、識別情報の管理を行う。
つまり、例えば、管理情報が識別情報の有効期限を示しているときには、識別情報管理部522は、有効期限が切れた識別情報を消去する。
なお、このとき、ACL管理部542の識別情報ポインタも無効とされる。
このように、識別情報とともにACLについても有効期限を設けることにより、情報利用者および情報提供者に、識別情報の有効期限を明示的に通知するための処理などを、簡単に行うことができるようになる。
使用履歴作成部526は、識別情報DB524に記憶された識別情報に対するアクセスの履歴を作成し、使用履歴DB528に記憶し、管理する。
使用履歴DB528に記憶されたアクセスの履歴は、例えば、情報アクセス制御サーバ4の動作の正当性の検証に用いられる。
情報アクセス制御部54(図8,図10)の識別情報ポリシー管理部540は、サービス定義部46から識別情報ポリシーを受け、情報提供装置2への提示のために、識別情報ポリシーを、UI処理部44に対して出力する。
また、識別情報ポリシー管理部540は、サービス定義部46のACL作成部478が作成したACLクラス定義と、匿名ID処理部42からの匿名IDと、提示されたポリシーに対する情報提供者による許諾の内容を示す許諾情報と、処理の対象となる識別情報の識別情報ポインタとを、それぞれ対応付けたACL設定条件を、ACL管理部542に対して出力する。
なお、識別情報ポリシー管理部540は、ポリシーに関する処理全般を統括する。
ACL管理部542対しては、ACL設定条件を新規登録時に出力するときだけでなく、情報提供者であるサービス利用者が契約を解除して、その識別情報の登録を削除するときにも、識別情報ポリシー管理部540は、まず、情報提供者の要求を、UI処理部44(UIオブジェクト処理部444)またはAPIF管理部548から受け取って、ACL管理部542に対して指示を出す。
識別情報ポリシー管理部540は、ACLクラス定義を読むだけではなく、内部にポリシーオブジェクトクラスの定義に対応した処理機能を有し、ポリシーオブジェクトクラスの機能拡張に伴って機能拡張が可能であり、アプリケーションタイプ、ユーザタイプ、許諾タイプの条件判断(ルールエンジン機能等)を内包する。
ただし、この判断には長い実行時間が必要とされるので、この判断結果は、ACLの設定として固定され、実行環境であるACL管理部542に渡されて、アクセス管理のために用いられる。
ACL管理部542が受け取れるACL設定のもととなるのが、ポリシーオブジェクトクラスの下位クラスであるACLクラス定義であって、ACL管理部542と識別情報ポリシー管理部540とは独立しており、システムの負荷、機能、開発コストにあわせて、これらの処理機能の設定が選択されうるので、実行時応答性、開発・実装コストが調整されうる。
図16は、図8に示したアクセス制御処理部54のACL記憶部544(図10)に記憶されるACLの各行に含まれる情報を示す図である。
ACL管理部542は、サービス定義部46からACL設定条件を受け、ACLに登録されるべき行を作成する。
つまり、図16に示すように、ACL管理部542が作成するACLの各行には、ACLの確認テーブルに含まれる匿名ID、サービスID、APID、LPIDおよび処理情報と、識別情報ポインタと、許諾情報とが、許諾タイプに従った形式で含まれる。
この許諾情報は、情報提供者により、実際にポリシーに対する許諾があったことの正当性を証明するために用いられる。
許諾タイプ自体の初期設定は、ACL作成部478により、サービス開発者の意図に従って、予め行われるが、情報アクセス制御システム1においては、ポリシーに対する許諾が、いわば情報提供者主導により行われるので、情報提供装置2に表示されたUI画像から、識別情報の用途、有効期限、訂正の確認方法および利用アプリケーションの種類などを、オプションとして指定可能とすると好適である。
このような場合に対応するために、許諾タイプは、情報提供者が、識別情報UIオブジェクトを介して、許諾タイプ付きで、特定のACLのエントリを作成する際に設定される。
なお、利用アプリケーションの種類などを、オプションとして指定可能とすると好適な理由は、通常のポリシーに対して、同時に複数の利用許諾が存在しうる(例えば、情報提供者が、配達やユーザサポートについての識別情報の使用を許諾しても、ダイレクトメール発送のオプションには、識別情報の許諾しない場合があるので、情報提供者(匿名ID)ごとに、異なった種類のAPIDやサービスIDを含むACLの行が登録されうる)からである。
アクセス制御処理部542は、情報利用装置3からサービスが要求されたときに、APサーバ6上で動作するアプリケーションプログラム(AP626;図17)と、AP固有処理部546とを連動させ、そのサービスのAPIF(図5)に対応した処理を行わせる。
ACL管理部542によるアプリケーションプログラムとAP固有処理部546との連携処理は、識別情報ポリシー管理部540により監視され、サービス定義部46により定義される適切な条件でのみ実行される。
APIF管理部548は、情報利用装置3からの識別情報要求を受けて、ACL管理部542に対して、識別情報の取得に必要な処理を要求し、要求された識別情報の識別情報ポインタを、UIオブジェクト処理部444(図9)に対して出力させる。
[APサーバプログラム60]
図17は、図1,図2に示したAPサーバ6において実行されるAPサーバプログラム60の構成を示す図である。
図17に示すように、APサーバプログラム60は、セッション処理部250、通信処理部260、認証処理部400、一般サービス処理部62、APIF処理部64、注文番号管理部66および一般情報管理部68から構成される。
一般サービス処理部62は、実行制御部620、処理結果送信部622およびアプリケーション(AP)626−1〜626−nから構成される。
注文番号管理部66は、注文番号管理部660および注文番号DB662から構成される。
一般情報管理部68は、一般情報受入部680、一般情報記憶部682および一般情報DB684から構成される。
APサーバプログラム60は、これらの構成部分により、情報利用装置3からの要求に応じて、情報アクセス制御サーバ4により定義された一般情報に対するサービスを実現するための処理を行い、処理結果を、情報利用装置3に返す。
APIF処理部64は、情報利用装置3のユーザ(情報利用者)のサービスの要求を受けて、APIF(図5)に含まれる構成情報を用いて、一般サービス処理部62に対して、要求されたサービスを実現するために必要な情報(APIFのサービスID、APIDおよびLPID)の設定を行う。
また、APIF処理部64は、要求されたサービスを実現するために用いられるAPIFのサービスID、APIDおよびLPIDを管理し、これらの情報を用いて、情報アクセス制御サーバ4に対する識別情報要求などを行う。
また、APIF処理部64は、管理したこれらの情報を、APサーバプログラム60の他の構成部分の処理の用に供する。
APIF処理部64の処理を例示する。
APIF処理部64は、特定のAP626を使用する処理において、例えば、LPIDが住所を示す場合、ポリシーオブジェクト作成時の許諾タイプに、追加で、特定地域内に住所を登録している情報提供者の匿名IDを要求し、あるいは、匿名IDの数を要求する。
これは、識別データベースの検索機能の一つとして実現されるが、AP626側が受け取るのは、匿名IDのみであって、AP626側では、さらに、取得した匿名IDを用いて、対象地域に販売された製品の種類等の市場調査、および、販売促進計画など、予め情報提供者が許諾したサービスの処理が行われうる。
実際の機構としては、LPIDで指定できる「住所」の識別情報(実体)の定義時に、型定義と同時に許諾タイプのオプションや可能性のある用途(アプリケーションのタイプであるAPID)が想定されうるので、このような検索依頼をACL経由で識別情報管理部52に送り、結果を得ることができる。
通常、ACLは、匿名IDを指定しないと受け付けられないが、このような地域市場調査へ協力する情報提供者により許諾された匿名IDのエントリに関しては、サービスID、APID、LPIDおよび許諾タイプから、識別情報ポインタが複数、取得されうるので、このセットの中かから住所の部分情報比較とそれに合致した匿名IDのリストが入手されうる。
ただし、最初の問い合わせで用いられる「特定地域」の設定は、詳細に一個人を特定可能な識別情報実体である個人住所でなくともよく、比較的広い地域をAP固有処理作成時に設定してもよい。
この設定は、SDT460などを用いることにより、任意のタイミングで確認されうる。
いわゆる「名寄せ」による個人特定を避けるため、各AP626と、それによって構成されるサービスは、固有LPID処理により特定され、合成される危険性のある情報の組み合わせをSDT460により管理することにより、稼動しているシステムでの個人識別情報の状況が、常時把握されうる。
一般サービス処理部62の実行制御部620は、APIF処理部64により設定されたAPIFの構成情報に従って、AP626の実行制御を行い、AP626の機能を組み合わせて一般情報を処理し、情報利用装置3により要求されたサービスを実現する。
AP626は、実行制御部620の制御に従って、要求されたサービスを実現するための機能を提供する。
処理結果送信部622は、AP626の機能の組み合わせにより実現されたサービスの結果を、情報利用装置3、情報アクセス制御サーバ4およびAPサーバ6の間に張られたセッションを介して、サービスを要求した情報利用装置3に送信する。
図18は、図17に示したAPサーバプログラム60の注文番号DB662に記憶される注文番号情報を示す図である。
注文番号管理部66の注文番号管理部660は、APサーバ6の入出力装置126などから入力される注文番号と、情報アクセス制御サーバ4から入力される匿名IDとを対応付け、図18に示す注文番号情報を作成する。
注文番号管理部660は、作成した注文番号情報を注文番号DB662に記憶し、管理し、APサーバプログラム60の他の構成部分による処理の用に供する。
一般情報管理部68の一般情報受入部680は、情報アクセス制御サーバ4から一般情報(図13(A))を受け入れて、一般情報記憶部682に対して出力する。
一般情報記憶部682は、図13(B)に示したように、入力された一般情報と、この一般情報に対応する匿名IDとを対応付け、さらに、この匿名IDと対応する注文番号を付加して、一般情報DB684に記憶し、管理する。
一般情報記憶部682は、記憶した一般情報を、一般サービス処理部62による処理の用に供する。
[情報アクセス制御システム1における情報の流れ]
以下、情報アクセス制御システム1(図1など)における情報の流れを説明する。
図19は、情報アクセス制御システム1(図1)における情報の流れを示す第1の図であって、情報アクセス制御プログラム40のサービス定義部46(図8など)による識別情報オブジェクトモデルの作成と、識別情報オブジェクトモデルに含まれる情報(図5)の情報アクセス制御プログラム40およびAPサーバプログラム60(図17)の構成部分に対する設定を示す。
図20は、図19に示した情報の流れのうち、情報アクセス制御プログラム40の識別情報処理部52および情報アクセス制御部54(図8,図10)内部の情報の流れを示す図である。
図19に示すように、情報アクセス制御サーバ4とAPサーバ6との間で認証が行われ、これらの間に通信セッションが張られる。
情報アクセス制御プログラム40(図8)のサービス定義部46は、APサーバ6によるサービスを開発する開発者の操作に応じて、識別情報オブジェクトモデル(図3,図14)を作成する。
さらに、サービス定義部46は、作成された識別情報オブジェクトモデルから、サービス利用識別情報、識別情報ポリシー、識別情報UIオブジェクトおよびAPIF(図5)を作成する。
図19および図20に示すように、作成されたこれらの情報の内、サービス利用識別情報は、情報アクセス制御部54のACL管理部542に設定され、識別情報ポリシーは、識別情報ポリシー管理部540に設定され、識別情報UIオブジェクトは、UIオブジェクト処理部444に設定され、APIFは、APIF管理部548およびAPサーバプログラム60のAPIF処理部64に設定される。
APIF処理部64は、APIFに含まれる情報を、一般サービス処理部62に対して設定する。
具体的に一般サービス処理部62は、1つ以上の一般(匿名性の高い業務)情報処理アプリケーションで構成された一連の処理を行うので、この中で、LPIDが、単なるシンボル(例として住所をLPID.Addr)として処理される場合、これは、最初にAPIF処理部64が保持しているシンボルである必要があるので、システム実装・構成時に設定される。
また、サービス自体も、このシステム実装・構成時に、APIFを含む基盤部分の上に設定される。
このときには、上記のタイミングで、APIFに含まれる情報が、一般サービス処理部62に対して設定される。
ただし、各アプリケーション自体の開発は、別途、公開されたLPIDおよびAPIDに基づいて行われ、各アプリケーションの完成後、これを利用したサービスの設定が、実際のシステム上でおこなわれるので、このときに、APIF処理部64と、土台となるAPIF処理部64との間で、サービスID、APIDおよびLPIDの整合性の確認をかねてオブジェクトのアクセスのための設定が行われる。
図21は、情報アクセス制御システム1(図1)における情報の流れを示す第2の図であって、情報アクセス制御プログラム40による情報提供装置2のユーザ(情報提供者)の認証と、匿名IDの作成を示す。
図21に示すように、情報提供装置2と、情報アクセス制御サーバ4と、APサーバ6との間で、通信セッションが張られ、情報提供装置2は、情報アクセス制御プログラム40の情報アクセス制御プログラム400(図8)に対して認証を要求する。
情報アクセス制御プログラム40の認証処理部400は、情報提供者を認証すると、匿名ID処理部42に対して、情報提供者情報を出力する。
匿名ID処理部42は、情報提供者情報から、匿名IDを作成し、UI処理部44、アクセス制御処理部54およびAPサーバプログラム60の注文番号管理部66(図17)に対して出力する。
APサーバプログラム60(図17)の注文番号管理部66は、APサーバ6の入出力装置126などから入力された注文番号と、匿名ID処理部42から入力された匿名IDとを対応付け、図18に示した発注番号情報を作成し、作成した発注番号情報を記憶し、管理する。
なお、匿名IDは、下記(1)〜(3)に示す情報および処理との整合性を保つように処理される。
つまり、匿名IDは、UI処理やAPIF処理の結果と連動して、トランザクションごとに管理される。
(1)UIオブジェクト処理部444が取得した一般情報、
(2)アクセス制御処理部54のAPIF管理部548における処理(図10)、および、
(3)セッション処理部250の処理に用いられるセッション情報。
図22は、情報アクセス制御システム1(図1)における情報の流れを示す第3の図であって、情報提供装置2からAPサーバ6に対して行われるサービスの要求から、情報提供装置2のユーザ(情報提供者)に対するポリシーの提示およびその許諾を示す。
図23は、図22に示した情報の流れのうち、情報アクセス制御プログラム40の識別情報処理部52および情報アクセス制御部54(図8,図10)内部の情報の流れを示す図である。
図22および図23に示すように、情報提供装置2、情報アクセス制御サーバ4およびAPサーバ6の間には通信セッションが張られている。
情報提供装置2のユーザ(情報提供者)が、APサーバプログラム60(図17)の一般サービス処理部62に対して、サービス提供用のUI画像に対する操作などによりサービスIDを指定して、ショッピングなどのサービスを新規に要求する。
この要求に応じて、一般サービス処理部62は、要求されたサービスを実現するための処理を実行し、処理結果を情報提供装置2に返す。
一般サービス処理部62は、新規のサービス要求およびそのサービスIDおよびLPIDなどを、APIF処理部64に通知する。
情報提供装置2からAPサーバ6へのサービス要求の際には、サービスIDは直接、指されず、ユーザ対話処理であるUI処理部44のUIオブジェクト処理部444と、APサーバ6との連携でサービスIDが指定される。
つまり、UI画面上でのメニューや情報へのリンクは、一般的なWebサービスの画面(HTML)と同様に、処理呼び出しへのリンク(HREF)としても記述できるので、画面制御を担当するUIアダプタ処理部446と、UIオブジェクト処理部444と、実際に処理を起動するAPサーバ6が、利用されるべきサービスIDを、自ら割り出す。
APIF処理部64は、アクセス制御処理部54のAPIF管理部548に対して、新規に要求されたサービスにおいて必要とされる新たな識別情報作成を、サービスIDおよびLPIDなどを指定して要求する。
APIF管理部548は、識別情報ポリシー管理部540に対して、情報提供装置2に対するポリシーの提示を、サービスIDおよびLPIDなどを指定して要求する。
識別情報ポリシー管理部540は、UI処理部44に対して、情報提供者に提示されるべきポリシーを出力する。
UI処理部44は、図4に示したように、情報提供装置2に対して、識別情報の入力を要求し、さらに、識別情報ポリシー管理部540から入力されたポリシーを情報提供装置2に表示させ、情報提供者に提示させる。
APIF処理部64が、APIF管理部548に対して新たな識別情報の作成を要求するときに指定する情報をご教示下さい。
なお、APIF処理部64が、新たな識別情報の作成を要求するときには、サービスID、APID、LPIDおよび処理要求(新規取得/作成)を、APIF管理部548に対して送る。
また、APIF管理部548が、識別情報ポリシー管理部540に対して、ポリシーの提示を要求するときは、サービスID、APIDおよびLPIDを送る。
但し、新規サービス加入などのAPIDが送られるときには、LPIDがセットで指定されるので、サービスID単体、サービスIDとAPIDのセットで提示されるポリシーが決定できるようになっている。
情報提供者が、情報提供装置2に対して、提示されたポリシーを許諾するための操作を行うと、情報提供装置2は、アクセス制御処理部54の識別情報ポリシー管理部540(図10)に対して、提示されたポリシーに対する許諾を通知する。
この許諾を受けると、識別情報ポリシー管理部540は、ACL管理部542に対して、ACL設定条件を出力する。
ACL管理部542は、ACL設定条件などからACLの新たな行(図16)を作成し、アクセス制御処理部544に記憶する。
さらに、ACL管理部542は、新たなACLに含まれる識別情報ポインタを、UI処理部44に対して出力する。
ACL管理部542は、識別情報管理部522に対して新しい識別情報の作成を要求する。
UI処理部44は、ACL管理部542からの識別情報ポインタを、識別情報管理部522に対して出力する。
識別情報管理部522は、UI処理部44からの識別情報ポインタと、ACL管理部542からの新たな識別情報作成の要求に応じて、識別情報DB524において、新たな識別情報を記憶するための領域を作成する。
図24は、情報アクセス制御システム1(図1)における情報の流れを示す第4の図であって、情報提供装置2から情報アクセス制御サーバ4への識別情報(実体)の登録を示す。
図25は、図24に示した情報の流れのうち、情報アクセス制御プログラム40の識別情報処理部52および情報アクセス制御部54(図8,図10)内部の情報の流れを示す図である。
図24および図25に示すように、情報提供装置2と情報アクセス制御サーバ4との間には通信セッションが張られている。
識別情報ポリシーを許諾した情報提供者が、情報提供装置2に対して識別情報(実体)を入力すると、情報提供装置2は、識別情報処理部52のUIオブジェクト処理部444に対して識別情報(実体)を送信する。
UIオブジェクト処理部444は、情報提供装置2から受けた識別情報(実体)を、識別情報管理部522に対して出力し、識別情報管理部522は、UIオブジェクト処理部444から受けた識別情報(実体)を、識別情報DB524に設けられた領域に記憶し、管理する。
図26は、情報アクセス制御システム1(図1)における情報の流れを示す第5の図であって、情報アクセス制御サーバ4から情報利用装置3への識別情報(実体)の送信を示す。
図27は、図26に示した情報の流れのうち、情報アクセス制御プログラム40の識別情報処理部52および情報アクセス制御部54(図8,図10)内部の情報の流れを示す図である。
図26および図27に示すように、情報利用装置3と、情報アクセス制御サーバ4と、APサーバ6との間には、通信セッションが張られている。
UI処理部44は、UI処理部44から、一般情報(図13(A))を取得する。
UI処理部44により取得された一般情報は、UI処理部44が内包するデータモデル(図5)に基づいて処理され、匿名IDとともに、図13(B)に示したように、APサーバ6に対して出力される。
一般サービス処理部62と同様に、情報利用者の画面を表示している情報利用装置3には、直接、サービスIDが送られる必要はない。
情報利用者は、ログオンして自分のセッションが設定されると、画面上のメニューや情報項目のリンクをクリックするような操作で、所定のサービスを要求することができ、これは、識別情報UIオブジェクト処理経由、もしくは、直接、APサーバ6へのサービス指定情報として送られる。
さらに詳細に述べる。
Webサーバ経由でサービスが提供されるときには、通信処理機能(装置)であるWeb(通信的にはhttpサーバ)を経由して、メニュー選択情報がUIアダプタ処理部446に送られ、ここで、サービス選択のイベントが、セッションが確定している特定のサービス利用者のWeb画面で発生したことを受け付ける。
このサービス要求イベントは、UIオブジェクト処理部444により、必要に応じて次に来る付属情報と組み合わされ、APサーバ6へのサービス要求として送付される。
Webサーバに、予めサービス選択画面のHTMLファイルなどが固定で登録され、それに対応したCGIなどが設定されている場合には、サービス要求は、直接、APサーバ6に送られることがある。
つまり、これは、システム実装担当者の判断に依存する。
情報利用装置3のユーザ(情報利用者)が、注文番号などを指定して、APサーバ6に対して一般情報に対するサービスを要求すると、一般サービス処理部62は、注文番号を注文番号管理部66に対して出力し、注文番号に対応する匿名IDを要求する。
注文番号管理部66は、この要求に応じて、一般サービス処理部62に対して、注文番号に対応する匿名IDを返す。
一般サービス処理部62は、得られた匿名IDを用いて、一般情報管理部68から、一般情報(図13(B))を得る。
一般サービス処理部62は、一般情報送信部68から得た一般情報に対して、注文番号に対応するサービスを行い、サービスの処理により得られた処理結果を、情報利用装置3、情報アクセス制御サーバ4およびAPサーバ6の間に張られたセッションを介して、情報利用装置3に返す。
さらに、一般サービス処理部62は、APIF処理部64に対して、提供したサービスに対応するLPIDおよび匿名IDなどを指定して、識別情報の取得を要求する。
一般サービス処理62は、匿名性の高い業務処理全般を扱い、一般サービス処理部62が行う処理としては、多様なものが想定可能である。
ここでは、一般サービス処理部62の処理として、注文処理が例示されているが、その他には、在庫確認、配送処理および製品顧客サポートなどのような、顧客(情報提供者)を、匿名IDで扱う以外は、「製品番号」、「注文番号」、「期日」および「地域」などの一般的な情報をもとに処理可能なものがある。
本来、コンピュータを利用した業務情報の処理は、一般的に、条件による処理の分岐/選択をすることはあっても、いずれの顧客への対応も可能な汎用的な繰り返し処理を自動的に行うが、情報アクセス制御システム1は、さらに、この処理対象のデータから、個人特定可能なデータ(識別情報)が隔離されるように工夫されている。
つまり、情報アクセス制御システム1は、識別情報の隔離を伴う情報処理の他に、一般的な情報処理システムにおいてと同様な通常の情報処理一般を行うことができる。
APIF処理部64は、APIF管理部548に対して、情報利用装置3に対する識別情報の送信を要求する。
APIF管理部548は、この要求に対する処理が正常終了したか否かなどを示す結果情報を、APIF処理部64に返す。
APIF管理部548は、ACL管理部542に対して、情報利用装置3がAPサーバ6に要求したサービスに対応する識別情報の送信のための処理を、サービスIDおよびLPIDなどを指定して、ACL管理部542に対して要求する。
ACL管理部542は、指定された情報を用いて、情報利用装置3に対して送信すべき識別情報の識別情報ポインタをACLから取得し、UI処理部44に対して出力する。
なお、AP固有処理部546は、必要に応じて、情報利用装置3に対して送信すべき識別情報に対するフィルタリング処理(例えば、識別情報が情報提供者の住所であるときに、住所の全てではなく、住所の内の県までを取り出す処理)などを行う。
AP固有処理部546による処理が行われるときには、ACL管理部542は、その処理結果に従って、識別情報の識別情報ポインタをACLから取得し、UI処理部44に対して出力する。
ACL管理部542へ要求時に指定される情報は、要求(ACLの検索)の条件によって異なります。
新規に識別情報ポインタの作成(登録)のためには、通常、サービスID、APID、LPID、匿名IDおよび許諾情報という処理情報のフルセットが指定される。
しかしながら、APIF処理部64が実行する処理によっては、部分指定でACL検索が行われることもある。
情報アクセス制御システム1は、標準的には、情報提供者の意図を反映した識別情報処理を約束する(コンプライアンスの実現)ので、サービスID、APID、LPIDおよび匿名IDの処理情報のセットが送られ、これに適合した識別情報へのポインタを出力されることになる。
また、サービスID、APID、LPIDから、これらに適合する匿名IDが、複数、取り出されうる。
例えば、現在、特定のサービスを受けている情報利用者(匿名)で、所定のLPIDがある顧客の匿名リストが作られうる。
これを元に、例えば、LPIDが住所ならば、住所確認の対象者リストが作成されうる。
これに、処理情報の領域にダイレクトメールフラグを拡張して入れておくと、匿名リストではあるが、ダイレクトメール送付先リストが作成されうる。
具体的にダイレクトメールを送付するときには、匿名IDだけではなく、識別情報へのポインタも要求されうるが、この場合には、処理情報のオプションには、情報利用者のタイプもしくは、ユーザIDのオプションが必要とされる。
UI処理部44は、識別情報管理部522に対して、ACL管理部542から得られた識別情報ポインタを出力し、識別情報管理部522は、この識別情報ポインタが示す識別情報(実体)を、情報利用装置3に対して出力する。
情報利用装置3は、同じ通信セッションで情報アクセス制御サーバ4から返される一般サービスの処理結果と、識別情報(実体)とを対応付けて、情報利用装置3の入出力装置126(図2)などに出力し、情報利用者の利用に供する。
[情報アクセス制御システム1の全体動作]
以下、情報アクセス制御システム1(図1)の全体的な動作を説明する。
まず、情報提供装置2から情報アクセス制御サーバ4に対する識別情報の登録処理を説明する。
図28は、図1に示した情報アクセス制御システム1の全体的な動作を示す第1の通信シーケンス図であって、情報アクセス制御サーバ4に対する情報提供装置2のユーザ(情報提供者)の認証から、識別情報(実体)の登録までの処理(S10)を示す。
図28に示すように、ステップ100(S100)において、情報提供装置2から、情報アクセス制御サーバ4に対して、情報提供者の認証が要求される。
ステップ102(S102)において、情報アクセス制御サーバ4は、情報提供者を認証する。
ステップ104(S104)において、情報提供者は、APサーバ6に対して、ショッピングなどの新規なサービスを要求する。
ステップ106(S106)において、APサーバ6は、情報アクセス制御サーバ4との間で認証処理を行い、さらに、情報アクセス制御サーバ4に対して、新たな識別情報の作成を要求し、必要な情報を送信する。
ステップ108(S108)において、情報アクセス制御サーバ4は、情報提供装置2(情報提供者)に対して、識別情報の入力を要求し、識別情報ポリシーを提示する。
ステップ110(S110)において、情報提供装置2(情報提供者)は、提示されたポリシーを許諾する。
ステップ112(S112)において、情報提供装置2(情報提供者)は、識別情報(実体)を、情報アクセス制御サーバ4に対して送信する。
情報アクセス制御サーバ4は、情報提供装置2からの識別情報(実体)を記憶し、管理する。
ステップ114(S114)において、情報提供装置2は、必要に応じて、情報アクセス制御サーバ4に対して、一般情報を登録する。
ステップ116(S116)において、APサーバ6は、情報提供装置2(情報提供者)に対して、要求された新規なサービスを提供する。
次に、情報アクセス制御サーバ4から情報利用装置3に対する識別情報(実体)の送信処理を説明する。
図29は、図1に示した情報アクセス制御システム1の全体的な動作を示す第2の通信シーケンス図であって、情報アクセス制御サーバ4から情報利用装置3への識別情報(実体)の送信までの処理(S14)を示す。
図29に示すように、ステップ140(S140)において、情報利用装置3(情報利用者)は、情報アクセス制御サーバ4に対して認証を要求する。
ステップ142(S142)において、情報アクセス制御サーバ4は、情報利用装置3(情報利用者)を認証する。
ステップ144(S144)において、情報利用装置3は、APサーバ6に対して、発注した品物の発送料金あるいは配達可能日の通知などのサービスを要求する。
ステップ146(S146)において、APサーバ6は、情報アクセス制御サーバ4に対する認証処理を行い、情報利用装置3に対する識別情報(実体)の送信を要求する。
ステップ148(S148)において、APサーバ6は、情報アクセス制御サーバ4に対して、サービスの実現に必要な一般情報を要求し、情報アクセス制御サーバ4は、この要求に応じて、一般情報を、APサーバ6に対して送信する。
ステップ150(S150)において、APサーバ6は、サービスの処理結果(発送料金・発送可能日を示す情報など)を、情報利用装置3に対して送信する。
ステップ152(S152)において、情報アクセス制御サーバ4は、情報利用装置3が要求したサービスに対応する識別情報(実体)を、情報利用装置3に対して送信する。
本発明は、特定の情報に対するアクセスを制御するために利用することができる。
 符号の説明
1・・・情報アクセス制御システム,
100・・・ネットワーク,
2・・・情報提供装置,
120・・・本体,
122・・・CPU,
124・・・メモリ,
126・・・入出力装置,
128・・・通信装置,
130・・・記録装置,
132・・・記録媒体,
20・・・情報提供プログラム,
22・・・IF・制御部,
240・・・ポリシー提示部,
242・・・ポリシー許諾部,
244・・・識別情報作成部,
246・・・認証部,
248・・・一般情報作成部,
250・・・セッション処理部,
260・・・通信処理部,
3・・・情報利用装置,
30・・・情報利用プログラム,
300・・・サービス要求部,
302・・・処理結果利用部,
4・・・情報アクセス制御サーバ,
40・・・情報アクセス制御プログラム,
400・・・認証処理部,
402・・・情報提供者マスタDB,
428・・・ノード管理部,
430・・・ノードDB,
42・・・匿名ID処理部,
420・・・匿名ID作成部,
422・・・匿名ID管理部,
44・・・UI処理部,
440・・・一般情報受入部,
442・・・一般情報送信部,
444・・・UIオブジェクト処理部,
446・・・UIアダプタ処理部,
46・・・サービス定義部,
460・・・SDT,
462・・・識別情報オブジェクト作成部,
464・・・サービス・AP構成管理部,
466・・・識別情報オブジェクトDB,
468・・・サービス・AP構成管理部,
470・・・APIF作成・管理部,
472・・・APID・LPID作成部,
474・・・AP固有処理作成部,
476・・・識別情報UIオブジェクト作成部,
478・・・ACL作成部,
480・・・ポリシー作成部,
482・・・ポリシー提示部,
484・・・識別情報実体定義部,
52・・・識別情報処理部,
522・・・識別情報管理部,
524・・・識別情報DB,
526・・・使用履歴作成部,
528・・・使用履歴DB,
6・・・APサーバ,
60・・・APサーバプログラム,
62・・・一般サービス処理部,
620・・・実行制御部,
622・・・処理結果送信部,
626・・・AP,
68・・・一般情報管理部,
680・・・一般情報受入部,
682・・・一般情報記憶部,
684・・・一般情報DB,

Claims (22)

  1. 所定の存在に関する情報であって、前記存在の識別に用いられ得る第1の情報と、前記第1の情報以外の第2の情報とを提供する情報提供装置と、情報アクセス制御装置と、情報処理装置とを有する情報アクセス制御システムであって、
    前記情報処理装置は、
    前記情報提供装置に対して、前記第1の情報に対するアクセスの規則を提示する第1の規則提示手段と、
    前記第1の情報に対応する識別子に対応付けられて提供される前記第2の情報を処理する情報処理手段と
    を有し、
    前記情報提供装置は、
    前記第1の情報と第2の情報とを提供する情報提供手段と、
    前記提示された規則を許諾する第1の許諾手段と
    を有し、
    前記情報アクセス制御装置は、
    前記識別子を生成する識別子生成手段と、
    前記生成された識別子を、この識別子に対応する第2の情報に対応付けて、前記情報処理装置に提供する情報提供手段と、
    前記許諾された規則に従って、この規則に対応する第1の情報に対するアクセスを許可するか否かを制御する情報アクセス制御手段と
    を有する
    情報アクセス制御システム。
  2. 前記情報アクセス制御装置は、
    前記第1の情報に対するアクセスの規則の提示方法と、前記処理装置における処理の内容とを、前記所定の存在ごとに対応付けて定義する定義データを作成する定義データ作成手段と、
    前記作成された定義データに含まれるアクセスの規則の提示方法に従って、前記情報処理装置からの前記第1の情報に対するアクセスの規則を、前記情報提供装置に提示する第2の規則提示手段と
    をさらに有する請求項1に記載の情報アクセス制御システム。
  3. 前記作成された定義データに含まれる処理の内容に従って、前記情報処理装置に対する処理を要求し、要求した処理に対応する前記第1の情報を利用する情報利用装置
    をさらに有し、
    前記情報アクセス制御手段は、前記アクセスが許可された前記第1の情報を、前記情報利用装置に対して送信する
    請求項2に記載の情報アクセス制御システム。
  4. 前記所定の存在は個人であり、
    前記第1の情報は、個人を識別しうる識別情報であり、
    前記第2の情報は、個人に関係する一般情報であり、
    前記処理結果と、この処理結果に対応する前記識別情報とを利用する情報利用装置
    をさらに有し、
    前記情報アクセス制御装置は、
    前記アクセスが許諾された識別情報を、前記情報利用装置に対して提供する処理結果提供手段
    をさらに有する
    請求項1または2に記載の情報アクセス制御システム。
  5. 所定の存在に関係する情報であって、前記存在の識別に用いられ得る第1の情報に対する情報アクセス制御を行う情報アクセス制御装置であって、前記存在に関係する情報は、前記第1の情報以外の第2の情報を含み、前記第1の情報に対するアクセスの規則が提示され、前記提示された規則に対して許諾が行われ、前記第1の情報に対応する識別子に対応付けられて提供される前記第2の情報に対して、所定の情報処理が行われ、
    前記識別子を生成する識別子生成手段と、
    前記生成された識別子を、この識別子に対応する第2の情報に対応付けて、前記情報処理のために提供する情報提供手段と、
    前記許諾された規則に従って、この規則に対応する第1の情報に対するアクセスを制御する情報アクセス制御手段と
    を有する情報アクセス制御装置。
  6. 前記第1の情報に対するアクセスの規則の提示方法と、前記情報処理の内容とを、前記所定の存在ごとに対応付けて定義する定義データを作成する定義データ作成手段と、
    前記作成された定義データに含まれるアクセスの規則の提示方法に従って、前記情報処理装置からの前記第1の情報に対するアクセスの規則を、前記情報提供装置に提示するアクセス規則提示手段と
    をさらに有する請求項5に記載の情報アクセス制御装置。
  7. 前記情報処理は、前記作成された定義データに含まれる処理の内容に従って行われ、
    前記情報アクセス制御手段は、前記要求された情報処理に対応する前記第1の情報であって、前記アクセスが許可された前記第1の情報に対するアクセスを許可する
    請求項6に記載の情報アクセス制御装置。
  8. 前記処理結果は、この処理結果に対応する前記識別情報に対応付けられて利用され、
    前記アクセスが許諾された識別情報を、前記利用のために提供する処理結果提供手段
    をさらに有する請求項5〜7のいずれかに記載の情報アクセス制御装置。
  9. 前記アクセスが許諾された第1の情報を利用する利用者を認証する第1の認証手段
    をさらに有し、
    前記処理結果提供手段は、前記認証された利用者に対して、前記識別情報に対応する処理結果を提供する
    請求項8に記載の情報アクセス制御装置。
  10. 前記存在を認証する第1の認証手段と、
    前記認証された存在に関係する前記第1の情報を記憶する情報記憶手段と
    をさらに有し、
    前記情報アクセス制御手段は、前記記憶された第1の情報に対するアクセスを制御する
    請求項5〜9のいずれかに記載の情報アクセス制御装置。
  11. 前記情報記憶手段は、前記記憶した第1の情報を、それぞれに設定された時間が経過した後に削除する
    請求項10に記載の情報アクセス制御装置。
  12. 前記第1の情報に対するアクセスの履歴をとる履歴手段
    をさらに有する請求項5〜11のいずれかに記載の情報アクセス制御装置。
  13. 前記規則を提示する規則提示手段と、
    前記提示された規則に対する許諾を受け入れる許諾受入手段と
    をさらに有し、
    前記情報アクセス制御手段は、前記提示された規則と、この規則に対する許諾とに基づいて、前記第1の情報に対するアクセスを制御する
    請求項5に記載の情報アクセス制御装置。
  14. 前記規則を、前記許諾を行う許諾者に対して表示するために用いられる表示画像を定義する画像定義手段
    をさらに有し、
    前記規則提示手段は、前記規則を、前記定義された表示画像を用いて、前記許諾者に対して表示する
    請求項13に記載の情報アクセス制御装置。
  15. 前記規則提示手段は、前記規則を、前記許諾を行う許諾者に対して対話的に表示する
    請求項13または14に記載の情報アクセス制御装置。
  16. 前記所定の存在は個人であり、
    前記第1の情報は、個人を識別しうる識別情報であり、
    前記第2の情報は、個人に関係する一般情報である
    請求項5〜15のいずれかに記載の情報アクセス制御装置。
  17. 所定の存在に関する情報を処理する情報処理装置であって、前記存在に関する情報は、前記存在の識別に用いられ得る第1の情報と、前記第1の情報以外の第2の情報とを含み、前記第1の情報は、規則に従ってアクセスされ、
    前記第1の情報に対するアクセスの規則を提示する規則提示手段と、
    前記第1の情報に対応する前記第2の情報を処理する情報処理手段と
    を有する情報処理装置。
  18. 前記所定の存在は個人であり、
    前記第1の情報は、個人を識別しうる識別情報であり、
    前記第2の情報は、個人に関係する一般情報である
    請求項17に記載の情報処理装置。
  19. 所定の存在に関係する情報であって、前記存在の識別に用いられ得る第1の情報に対する情報アクセス制御を行う情報アクセス制御方法であって、前記存在に関係する情報は、前記第1の情報以外の第2の情報を含み、前記第1の情報に対するアクセスの規則が提示され、前記提示された規則に対して許諾が行われ、前記第1の情報に対応する識別子に対応付けられて提供される前記第2の情報に対して、所定の情報処理が行われ、
    前記識別子を生成する識別子生成ステップと、
    前記生成された識別子を、この識別子に対応する第2の情報に対応付けて、前記情報処理のために提供する情報提供ステップと、
    前記許諾された規則に従って、この規則に対応する第1の情報に対するアクセスを制御する情報アクセス制御ステップと
    を有する情報アクセス制御方法。
  20. 個人に関する情報を処理する情報処理方法であって、前記個人に関する情報は、前記個人の識別に用いられ得る識別情報と、前記識別情報以外の一般情報とを含み、前記識別情報は、規則に従ってアクセスされ、
    前記識別情報に対するアクセスの規則を提示する規則提示ステップと、
    前記識別情報に対応する前記一般情報を処理する情報処理ステップと
    を有する情報処理方法。
  21. 所定の存在に関係する情報であって、前記存在の識別に用いられ得る第1の情報に対する情報アクセス制御を行うプログラムであって、前記存在に関係する情報は、前記第1の情報以外の第2の情報を含み、前記第1の情報に対するアクセスの規則が提示され、前記提示された規則に対して許諾が行われ、前記第1の情報に対応する識別子に対応付けられて提供される前記第2の情報に対して、所定の情報処理が行われ、
    前記識別子を生成する識別子生成ステップと、
    前記生成された識別子を、この識別子に対応する第2の情報に対応付けて、前記情報処理のために提供する情報提供ステップと、
    前記許諾された規則に従って、この規則に対応する第1の情報に対するアクセスを制御する情報アクセス制御ステップと
    をコンピュータに実行させる情報アクセス制御プログラム。
  22. 個人に関する情報を処理するプログラムであって、前記個人に関する情報は、前記個人の識別に用いられ得る識別情報と、前記識別情報以外の一般情報とを含み、前記識別情報は、規則に従ってアクセスされ、
    前記識別情報に対するアクセスの規則を提示する規則提示ステップと、
    前記識別情報に対応する前記一般情報を処理する情報処理ステップと
    をコンピュータに実行させる情報処理プログラム。
JP2007522141A 2005-06-20 2005-06-20 情報アクセス制御システムおよびその方法 Withdrawn JPWO2006137117A1 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2005/011271 WO2006137117A1 (ja) 2005-06-20 2005-06-20 情報アクセス制御システムおよびその方法

Publications (1)

Publication Number Publication Date
JPWO2006137117A1 true JPWO2006137117A1 (ja) 2009-01-08

Family

ID=37570170

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007522141A Withdrawn JPWO2006137117A1 (ja) 2005-06-20 2005-06-20 情報アクセス制御システムおよびその方法

Country Status (2)

Country Link
JP (1) JPWO2006137117A1 (ja)
WO (1) WO2006137117A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2459662B (en) * 2008-04-29 2012-05-23 Cryptomathic Ltd Secure data cache

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1026603A3 (en) * 1999-02-02 2002-01-30 SmithKline Beecham Corporation Apparatus and method for depersonalizing information
JP2001222606A (ja) * 2000-02-10 2001-08-17 Sony Corp 個人情報収集システム及び携帯型記憶装置並びに個人情報収集方法
JP3822474B2 (ja) * 2001-09-10 2006-09-20 日本電信電話株式会社 個人情報統合管理システム及びそのプログラム並びにそのプログラムを記録した媒体

Also Published As

Publication number Publication date
WO2006137117A1 (ja) 2006-12-28

Similar Documents

Publication Publication Date Title
US7424543B2 (en) System and method of permissive data flow and application transfer
US8775245B2 (en) Secure coupon distribution
US20110289420A1 (en) Screen customization supporting system, screen customization supporting method, and computer-readable recording medium
US9721106B2 (en) Method and system for scanning a computer system for sensitive content
US20100262515A1 (en) Interinstitutional loan of electronic content
EP1861805A1 (en) System and method for securing information accessible using a plurality of software applications
JP2016091067A (ja) 個人情報流通方法、個人情報流通システム及び個人情報流通事業者装置
US20190288856A1 (en) Timestamped license data structure
JP2008165767A (ja) ファイル転送管理のための方法およびシステム
US11409847B2 (en) Source-based authentication for a license of a license data structure
JP5533291B2 (ja) プライバシー保護装置、プライバシー保護方法およびプログラム
US20100088195A1 (en) Method of requesting a customized instance of an object using information contained within an existing instance
JP2001118009A (ja) 電子帳票の取得方法、電子帳票システム、電子帳票を取得するプログラムを格納した記憶媒体
JP2008152595A (ja) 保険金請求事務代行システム
US11244031B2 (en) License data structure including license aggregation
JP2004102913A (ja) 個人情報管理装置および方法
JP3998935B2 (ja) 個人情報統合管理システム及びそのプログラム並びにそのプログラムを記録した媒体
Aljohani et al. Proposed privacy patterns for privacy preserving healthcare systems in accord with nova scotia’s personal health information act
JP2005284353A (ja) 個人情報利用システム、個人情報利用システムの制御方法、マップファイル生成装置、及びアクセス制御ポリシファイル生成装置
JP2020042538A (ja) 情報処理装置及びプログラム
JPWO2006137117A1 (ja) 情報アクセス制御システムおよびその方法
JP2006172377A (ja) ワークフローシステムおよび関連権限設定方法およびプログラムおよび記録媒体
JP2011186769A (ja) コンテンツ管理システム、コンテンツ管理装置、及びアクセス制御方法
JP5616293B2 (ja) 情報流通システム及び情報流通制御方法
US7971068B2 (en) Method, system and program product for protecting electronic contracts created within a secure computer infrastructure

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20080902