JPWO2007088785A1 - 個人情報の漏洩阻止装置・方法 - Google Patents
個人情報の漏洩阻止装置・方法 Download PDFInfo
- Publication number
- JPWO2007088785A1 JPWO2007088785A1 JP2007556838A JP2007556838A JPWO2007088785A1 JP WO2007088785 A1 JPWO2007088785 A1 JP WO2007088785A1 JP 2007556838 A JP2007556838 A JP 2007556838A JP 2007556838 A JP2007556838 A JP 2007556838A JP WO2007088785 A1 JPWO2007088785 A1 JP WO2007088785A1
- Authority
- JP
- Japan
- Prior art keywords
- content
- proxy
- user
- personal information
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/953—Querying, e.g. by the use of web search engines
- G06F16/9535—Search customisation based on user profiles and personalisation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6263—Protecting personal data, e.g. for financial or medical purposes during internet communication, e.g. revealing personal data from cookies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/59—Providing operational support to end devices by off-loading in the network or by emulation, e.g. when they are unavailable
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Medical Informatics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
従来技術では、利用者の個人情報等に基づくパーソナル化されたサービス提供システムでは、個人情報をサービス提供者に提供する必要がある。このために、サービス提供者等からの個人情報漏洩の可能性の問題がある。本願発明では、利用者端末機とサービス提供者サーバとの間に信頼の置けるプロキシを配置し利用者の個人情報を管理する。プロキシは、サービス提供者サーバからコンテンツ作成に必要な情報を受信し、これに基づいて個人情報を反映したコンテンツを作成し利用者端末機に送信する。利用者からの副コンテンツ等を取得するリクエストに対しても個人情報が推測されないような対策をとる。
Description
本発明は、サービス利用者が自分の個人情報をサービス提供者に渡すことなく、サービス提供者からパーソナル化されたサービスの提供を受ける方法及び装置に関する。ここで、サービスとはサービス提供者によって提供される、商品情報、検索結果、及び、それらをパーソナル化した情報などを含むものとする。また個人情報とは、個人に関する情報で一般的に他人に知られたくない情報とする。個人情報の例としては、氏名、住所、生年月日、性別などがあげられる。
パーソナル化されたサービスとは、利用者個人に属している個人情報に基づいて、その個人に適合したサービスのことである。例えば女性にはその女性の個人情報に含まれる嗜好情報を反映した婦人服の情報を、一方男性にはその男性の個人情報に含まれる嗜好情報を反映した紳士服の情報を提供することは、パーソナル化されたサービス提供の一例である。
パーソナル化されたサービスとは、利用者個人に属している個人情報に基づいて、その個人に適合したサービスのことである。例えば女性にはその女性の個人情報に含まれる嗜好情報を反映した婦人服の情報を、一方男性にはその男性の個人情報に含まれる嗜好情報を反映した紳士服の情報を提供することは、パーソナル化されたサービス提供の一例である。
一般に利用者の個人情報及び嗜好情報に基づいて利用者の要求に合致する商品を提供するサービス提供システムはよく知られている。図1はその一例を示す概要図である。利用者は利用者端末機(20)からインターネット(10)を介して、サービス提供サーバ(50)をアクセスする。
これらのサービス提供システムでは購入履歴などの個人情報をサービス提供者が保持している場合が多い。この場合、これらの個人情報の漏洩によって利用者が被害を受ける可能性がある。
これらのサービス提供システムでは購入履歴などの個人情報をサービス提供者が保持している場合が多い。この場合、これらの個人情報の漏洩によって利用者が被害を受ける可能性がある。
個人情報を知られないように、利用者を匿名化して、つまり利用者の身元を明かさずにサービスを利用する方法としては特開2002-183092:「パーソナライズサービス提供システム」がある。これはプロキシがサービス利用者に身元が分らないような個人識別子を与えることで匿名化し、その匿名でパーソナル化されたサービスを利用する方法である。しかし当該技術ではサービス提供サーバ側でコンテンツのパーソナル化を行うので、利用者の名前を埋め込んだコンテンツ、例えば「鈴木太郎さん、こんにちは!」というメッセージを含んだコンテンツを提供することはできない。すなわち、パーソナル化に限界がある。
パーソナル化されたサービスを取得するために、個人情報をサービス提供者に渡さず、利用者端末やプロキシで行うという方法も考えられるが、その場合は、パーソナル化されたサービスがサービス提供サーバにメッセージを送るなどによって個人情報を漏らすことがないということを検証する必要が有る.そのような検証を行う方法としては information flow analysis「非特許文献1」を応用することが考えられる。しかしこの方法を厳格に適用すると、検証に成功するサービスの範囲が狭いという欠点が有る。
特開2002-183092「パーソナライズサービス提供システム」
小林直樹、白根慶太:低レベル言語のための情報流解析の型システム、コンピュータソフトウェア、Vol.20, No.2 (2003), pp.2-21
本発明の目的は、サービス提供者に個人情報を提供することなく個人の嗜好などの個人情報に基づくサービスを利用することが出来る装置・方法等を提供することである。従来技術では、利用者が、利用者個人の嗜好などに合わせたサービスを利用する場合は、その利用者に関する個人情報、例えば、性別、年齢、住所、及び、携帯電話番号等を「直接」サービス提供者に提供する必要がある。全てのサービス提供者が個人情報の管理を十分に行っている信用度の高いサービス提供者とは限らない。言い換えると個人情報の漏洩に対して十分な管理を行わないサービス提供者の存在は否定できない。
このように、個人情報をサービス提供者に提供する場合、サービス提供者が収集した個人情報が何らかの理由で他のサービス提供者へ漏洩し悪用されるおそれがある。例として、eメールアドレスを提供したサービス利用者へスパムメールが送付される可能性、あるいは、電話番号を提供した利用者が「振り込め詐欺」などの被害にあう可能性がある。さらに、性別、年齢、住所などの情報から、当該利用者が独居老人であることが分ると、治安上の問題が発生する可能性がある。
以下に課題を解決するために本願発明で開示する手段について説明する。
[請求項1]
請求項1では、実施例1に記載しているように、ブラウザで表示されるコンテンツが画像や音声データなどの他のコンテンツ(以下本願明細書では「副コンテンツ」と呼ぶ。)、及び、ハイパーリンクを含まない場合であって、サービス提供サーバ、プロキシ、及び、サービス利用者が使用する利用者端末機が相互にネットワークによって接続されているシステムにおいて、以下の(a)から(e)の手段によって個人情報の漏洩を阻止するシステムを開示している。
(a)利用者端末機が、サービス提供サーバ上のコンテンツを取得するコンテンツ取得リクエストをプロキシへ送信する手段、
(b)プロキシが、コンテンツ取得リクエストを受信し、サービス提供サーバに送信する手段、
(c)サービス提供サーバが、コンテンツ取得リクエストに対応する一つ以上のコンテンツ・テンプレート、及び、サービス利用者の個人情報を用いて一のコンテンツ・テンプレートを選択し、コンテンツ・テンプレートから利用者の個人情報を反映したコンテンツを生成するための規則を、プロキシに送信する手段、
(d)プロキシが、利用者の個人情報を用いて、規則に基づき、一のコンテンツ・テンプレートを選択し、コンテンツ・テンプレートから利用者の個人情報を反映したコンテンツを生成し、利用者端末機に送信する手段、
(e)利用者端末機が、閲覧ソフトを使用してコンテンツを表示する手段。
[請求項1]
請求項1では、実施例1に記載しているように、ブラウザで表示されるコンテンツが画像や音声データなどの他のコンテンツ(以下本願明細書では「副コンテンツ」と呼ぶ。)、及び、ハイパーリンクを含まない場合であって、サービス提供サーバ、プロキシ、及び、サービス利用者が使用する利用者端末機が相互にネットワークによって接続されているシステムにおいて、以下の(a)から(e)の手段によって個人情報の漏洩を阻止するシステムを開示している。
(a)利用者端末機が、サービス提供サーバ上のコンテンツを取得するコンテンツ取得リクエストをプロキシへ送信する手段、
(b)プロキシが、コンテンツ取得リクエストを受信し、サービス提供サーバに送信する手段、
(c)サービス提供サーバが、コンテンツ取得リクエストに対応する一つ以上のコンテンツ・テンプレート、及び、サービス利用者の個人情報を用いて一のコンテンツ・テンプレートを選択し、コンテンツ・テンプレートから利用者の個人情報を反映したコンテンツを生成するための規則を、プロキシに送信する手段、
(d)プロキシが、利用者の個人情報を用いて、規則に基づき、一のコンテンツ・テンプレートを選択し、コンテンツ・テンプレートから利用者の個人情報を反映したコンテンツを生成し、利用者端末機に送信する手段、
(e)利用者端末機が、閲覧ソフトを使用してコンテンツを表示する手段。
[請求項2]
請求項2では、実施例2に記載しているように、ブラウザで表示されるコンテンツが、他の副コンテンツは含むがハイパーリンクを含まない場合であって、利用者端末機が閲覧ソフトを使用してコンテンツを表示する際に、請求項1のシステムが、さらに、以下(a)から(g)の手段を含むシステムを開示する。
(a)利用者端末機が、コンテンツを表示する為に副コンテンツが必要な場合に、副コンテンツを取得する副コンテンツ取得リクエストを、プロキシへ送信する手段、
(b)プロキシが、副コンテンツ取得リクエストを受信する手段、
(c)プロキシが、各コンテンツ・テンプレートから生成されるコンテンツの表示に必要な副コンテンツ取得リクエストの集合をコンテンツ毎に求め、各副コンテンツ取得リクエスト集合が同一の場合には、各副コンテンツ取得リクエスト集合に含まれる副コンテンツ取得リクエストを所定の順序で、サービス提供サーバに送信する手段、
(d)プロキシが、各コンテンツ・テンプレートから生成されるコンテンツの表示に必要な副コンテンツ要求リクエストの集合をコンテンツ毎に求め、各副コンテンツ取得リクエスト集合が同一ではない場合には、全ての副コンテンツ取得リクエストを所定の順序で、サービス提供サーバに送信する手段、
(e)サービス提供サーバが、受信した全ての副コンテンツ取得リクエストに対応する副コンテンツをプロキシに送信する手段、
(f)プロキシが、受信した副コンテンツをメモリに格納し、格納した副コンテンツの中から、利用者端末機から要求のあった副コンテンツを利用者端末機に送信する手段、
(g)利用者端末機が、閲覧ソフトを使用して、副コンテンツを表示する手段。
請求項2では、実施例2に記載しているように、ブラウザで表示されるコンテンツが、他の副コンテンツは含むがハイパーリンクを含まない場合であって、利用者端末機が閲覧ソフトを使用してコンテンツを表示する際に、請求項1のシステムが、さらに、以下(a)から(g)の手段を含むシステムを開示する。
(a)利用者端末機が、コンテンツを表示する為に副コンテンツが必要な場合に、副コンテンツを取得する副コンテンツ取得リクエストを、プロキシへ送信する手段、
(b)プロキシが、副コンテンツ取得リクエストを受信する手段、
(c)プロキシが、各コンテンツ・テンプレートから生成されるコンテンツの表示に必要な副コンテンツ取得リクエストの集合をコンテンツ毎に求め、各副コンテンツ取得リクエスト集合が同一の場合には、各副コンテンツ取得リクエスト集合に含まれる副コンテンツ取得リクエストを所定の順序で、サービス提供サーバに送信する手段、
(d)プロキシが、各コンテンツ・テンプレートから生成されるコンテンツの表示に必要な副コンテンツ要求リクエストの集合をコンテンツ毎に求め、各副コンテンツ取得リクエスト集合が同一ではない場合には、全ての副コンテンツ取得リクエストを所定の順序で、サービス提供サーバに送信する手段、
(e)サービス提供サーバが、受信した全ての副コンテンツ取得リクエストに対応する副コンテンツをプロキシに送信する手段、
(f)プロキシが、受信した副コンテンツをメモリに格納し、格納した副コンテンツの中から、利用者端末機から要求のあった副コンテンツを利用者端末機に送信する手段、
(g)利用者端末機が、閲覧ソフトを使用して、副コンテンツを表示する手段。
[請求項3]
請求項3では、実施例3に記載しているように、ブラウザで表示されるコンテンツが、ハイパーリンクを含む場合であって、ネットワークが一つ以上のハイパーリンク先サーバを含み、利用者端末機が、閲覧ソフトを使用してコンテンツを表示し、請求項1又は2のシステムが、さらに、以下の(a)から(g)の手段を含むシステムを開示する。
(a)利用者端末機が、利用者からハイパーリンクをアクセスする操作を受けた場合に、ハイパーリンク先のコンテンツを取得するハイパーリンク先コンテンツ取得リクエストを、プロキシへ送信する手段、
(b)プロキシが、利用者端末機からハイパーリンク先コンテンツ取得リクエストを受信する手段、
(c)プロキシが、各コンテンツ・テンプレートから生成されるコンテンツ毎に、コンテンツに含まれるハイパーリンクに対応するハイパーリンク先コンテンツ取得リクエストの集合を求め、各集合が同一の場合には、ハイパーリンク先コンテンツ取得リクエストをハイパーリンク先サーバへ送信する手段、
(d)プロキシが、各コンテンツ・テンプレートから生成されるコンテンツ毎に、各コンテンツに含まれるハイパーリンクに対応するハイパーリンク先コンテンツ取得リクエストの集合を求め、各集合が同一ではない場合には、利用者端末機に所定の警告メッセージを送信する手段、
(e)ハイパーリンク先サーバが、ハイパーリンク先コンテンツ取得リクエストを受信し、対応するコンテンツをプロキシに送信する手段、
(f)プロキシが、受信したコンテンツを、利用者端末機に送信する手段、
(g)利用者端末機が、閲覧ソフトを使用して、受信したコンテンツ、又は、所定の警告メッセージを表示する手段。
請求項3では、実施例3に記載しているように、ブラウザで表示されるコンテンツが、ハイパーリンクを含む場合であって、ネットワークが一つ以上のハイパーリンク先サーバを含み、利用者端末機が、閲覧ソフトを使用してコンテンツを表示し、請求項1又は2のシステムが、さらに、以下の(a)から(g)の手段を含むシステムを開示する。
(a)利用者端末機が、利用者からハイパーリンクをアクセスする操作を受けた場合に、ハイパーリンク先のコンテンツを取得するハイパーリンク先コンテンツ取得リクエストを、プロキシへ送信する手段、
(b)プロキシが、利用者端末機からハイパーリンク先コンテンツ取得リクエストを受信する手段、
(c)プロキシが、各コンテンツ・テンプレートから生成されるコンテンツ毎に、コンテンツに含まれるハイパーリンクに対応するハイパーリンク先コンテンツ取得リクエストの集合を求め、各集合が同一の場合には、ハイパーリンク先コンテンツ取得リクエストをハイパーリンク先サーバへ送信する手段、
(d)プロキシが、各コンテンツ・テンプレートから生成されるコンテンツ毎に、各コンテンツに含まれるハイパーリンクに対応するハイパーリンク先コンテンツ取得リクエストの集合を求め、各集合が同一ではない場合には、利用者端末機に所定の警告メッセージを送信する手段、
(e)ハイパーリンク先サーバが、ハイパーリンク先コンテンツ取得リクエストを受信し、対応するコンテンツをプロキシに送信する手段、
(f)プロキシが、受信したコンテンツを、利用者端末機に送信する手段、
(g)利用者端末機が、閲覧ソフトを使用して、受信したコンテンツ、又は、所定の警告メッセージを表示する手段。
[請求項4]
請求項4では、実施例4に記載しているように、ブラウザで表示されるコンテンツが、ハイパーリンクを含む場合であって、サービス提供サーバが当該ウェブページをひとまとめにしてプロキシに送信して、当該リンク先のウェブページをプロキシに格納する場合であって、利用者端末機、プロキシ、サービス提供サーバ、及び、ハイパーリンク先サーバが相互にネットワークによって接続されているシステムにおいて、以下の(a)から(i)の手段によって、個人情報の漏洩を阻止するシステムを開示する。
(a)利用者端末機が、サービス提供サーバ上のコンテンツを取得するコンテンツ取得リクエストをプロキシへ送信する手段、
(b)プロキシが、コンテンツ取得リクエストを受信し、サービス提供サーバに送信する手段、
(c)サービス提供サーバが、コンテンツ取得リクエストに対応するコンテンツ・テンプレート及び個人情報に基づいて一のコンテンツ・テンプレートを選択し、コンテンツ・テンプレートから利用者の個人情報を反映したコンテンツを生成するための規則、並びに、コンテンツ・テンプレートに含まれるハイパーリンクによって参照されているコンテンツを送信する手段、
(d)プロキシが、コンテンツ・テンプレート、及び、規則、並びに、ハイパーリンクによって参照されているコンテンツを、キャッシュメモリに格納する手段、
(e)プロキシが、コンテンツ・テンプレートから生成されるコンテンツ、ならびに前記コンテンツからハイパーリンクによってリンクされているキャッシュメモリに格納されたコンテンツに含まれるハイパーリンクのうち、リンク先がキャッシュメモリに格納された任意のコンテンツ以外のハイパーリンクに対応するハイパーリンク先コンテンツ取得リクエストの集合をコンテンツ・テンプレート毎に求め、各集合が同一であるかを調べ、同一でない場合には利用者端末に所定の警告メッセージを送信する手段、
(f)プロキシが、利用者の個人情報を用いて、規則に基づき、一のコンテンツ・テンプレートを選択し、利用者の個人情報を反映したコンテンツを生成し、利用者端末機に送信する手段、
(g)利用者端末機が、コンテンツを受信・表示し、さらに、利用者からハイパーリンクへアクセスする操作を受けた場合に、ハイパーリンク先のコンテンツを取得するハイパーリンク先コンテンツ取得リクエストをプロキシへ送信する手段、
(h)プロキシが、ハイパーリンク先コンテンツ取得リクエストに対応するコンテンツをキャッシュメモリから検索し利用者端末機に送信する手段、
(i)利用者端末機が、閲覧ソフトを使用して、受信したコンテンツ、又は、所定の警告メッセージを表示する手段。
請求項4では、実施例4に記載しているように、ブラウザで表示されるコンテンツが、ハイパーリンクを含む場合であって、サービス提供サーバが当該ウェブページをひとまとめにしてプロキシに送信して、当該リンク先のウェブページをプロキシに格納する場合であって、利用者端末機、プロキシ、サービス提供サーバ、及び、ハイパーリンク先サーバが相互にネットワークによって接続されているシステムにおいて、以下の(a)から(i)の手段によって、個人情報の漏洩を阻止するシステムを開示する。
(a)利用者端末機が、サービス提供サーバ上のコンテンツを取得するコンテンツ取得リクエストをプロキシへ送信する手段、
(b)プロキシが、コンテンツ取得リクエストを受信し、サービス提供サーバに送信する手段、
(c)サービス提供サーバが、コンテンツ取得リクエストに対応するコンテンツ・テンプレート及び個人情報に基づいて一のコンテンツ・テンプレートを選択し、コンテンツ・テンプレートから利用者の個人情報を反映したコンテンツを生成するための規則、並びに、コンテンツ・テンプレートに含まれるハイパーリンクによって参照されているコンテンツを送信する手段、
(d)プロキシが、コンテンツ・テンプレート、及び、規則、並びに、ハイパーリンクによって参照されているコンテンツを、キャッシュメモリに格納する手段、
(e)プロキシが、コンテンツ・テンプレートから生成されるコンテンツ、ならびに前記コンテンツからハイパーリンクによってリンクされているキャッシュメモリに格納されたコンテンツに含まれるハイパーリンクのうち、リンク先がキャッシュメモリに格納された任意のコンテンツ以外のハイパーリンクに対応するハイパーリンク先コンテンツ取得リクエストの集合をコンテンツ・テンプレート毎に求め、各集合が同一であるかを調べ、同一でない場合には利用者端末に所定の警告メッセージを送信する手段、
(f)プロキシが、利用者の個人情報を用いて、規則に基づき、一のコンテンツ・テンプレートを選択し、利用者の個人情報を反映したコンテンツを生成し、利用者端末機に送信する手段、
(g)利用者端末機が、コンテンツを受信・表示し、さらに、利用者からハイパーリンクへアクセスする操作を受けた場合に、ハイパーリンク先のコンテンツを取得するハイパーリンク先コンテンツ取得リクエストをプロキシへ送信する手段、
(h)プロキシが、ハイパーリンク先コンテンツ取得リクエストに対応するコンテンツをキャッシュメモリから検索し利用者端末機に送信する手段、
(i)利用者端末機が、閲覧ソフトを使用して、受信したコンテンツ、又は、所定の警告メッセージを表示する手段。
[請求項5]
請求項5では、請求項1から4に記載のシステムにおいて、利用者端末機、及び、プロキシが物理的に一体化されているシステムについて開示する。
請求項5では、請求項1から4に記載のシステムにおいて、利用者端末機、及び、プロキシが物理的に一体化されているシステムについて開示する。
[請求項6]
請求項6では、請求項1に記載されているシステムにおいて、以下の(a)から(e)のステップを有する個人情報漏洩阻止方法について開示する。
(a)利用者端末機が、サービス提供サーバ上のコンテンツを取得するコンテンツ取得リクエストをプロキシへ送信するステップ、
(b)プロキシが、コンテンツ取得リクエストを受信し、サービス提供サーバに送信するステップ、
(c)サービス提供サーバが、コンテンツ取得リクエストに対応する一つ以上のコンテンツ・テンプレート、及び、サービス利用者の個人情報を用いて一のコンテンツ・テンプレートを選択し、コンテンツ・テンプレートから利用者の個人情報を反映したコンテンツを生成するための規則を、プロキシに送信するステップ、
(d)プロキシが、利用者の個人情報を用いて、規則に基づき、一のコンテンツ・テンプレートを選択し、利用者の個人情報を反映したコンテンツを生成し、利用者端末機に送信するステップ、
(e)利用者端末機が、閲覧ソフトを使用してコンテンツを表示するステップ。
請求項6では、請求項1に記載されているシステムにおいて、以下の(a)から(e)のステップを有する個人情報漏洩阻止方法について開示する。
(a)利用者端末機が、サービス提供サーバ上のコンテンツを取得するコンテンツ取得リクエストをプロキシへ送信するステップ、
(b)プロキシが、コンテンツ取得リクエストを受信し、サービス提供サーバに送信するステップ、
(c)サービス提供サーバが、コンテンツ取得リクエストに対応する一つ以上のコンテンツ・テンプレート、及び、サービス利用者の個人情報を用いて一のコンテンツ・テンプレートを選択し、コンテンツ・テンプレートから利用者の個人情報を反映したコンテンツを生成するための規則を、プロキシに送信するステップ、
(d)プロキシが、利用者の個人情報を用いて、規則に基づき、一のコンテンツ・テンプレートを選択し、利用者の個人情報を反映したコンテンツを生成し、利用者端末機に送信するステップ、
(e)利用者端末機が、閲覧ソフトを使用してコンテンツを表示するステップ。
本願発明によれば、サービス利用者がサービス提供者に個人情報を提供することなく、利用者個人の情報に基づいたサービスの利用が可能となり、前述のような個人情報漏洩による様々な問題等が発生する可能性を大幅に減少させることが出来る。
さらに、サービス提供者の立場からみると、サービス利用者の個人情報については、それらの管理する必要がない。
さらに、サービス提供者の立場からみると、サービス利用者の個人情報については、それらの管理する必要がない。
以下に最良の形態を説明する。先ずWWWでのコンテンツの取得・描画方法に関する基本的な概念について説明する。
(1)WWW でのコンテンツ取得,描画方法
WWW (World Wide Web ) ではインターネット上に様々な情報(データのみならずプログラムも含む)がサービス提供者によって配備され、サービス利用者はPC(パーソナルコンピュータ)や携帯電話などの利用者端末機上のウェブブラウザ(以下本願明細書ではブラウザ)によってそれらの情報を閲覧、利用することができる。以下これらの情報を「コンテンツ」と呼ぶ。
コンテンツはインターネットに接続されたサービス提供サーバに配置され、そのサービス提供サーバ(ウェブサーバ)の上のコンテンツの特定には URL (Uniform Resource Locator) が用いられる。URL はインターネット上のリソースの場所を示し、そのリソースを取得するためのプロトコルなどのスキーム、リソースのあるサーバ(サーバマシン)の IP アドレス、そのポート番号、および、そのサーバ上でのリソースの所在を表すパス等から構成されている。
図2aに従って情報の流れについて説明する。サービス利用者は閲覧したいコンテンツの URL をブラウザの入力部(不示図)に入力する。利用者端末機(20)のブラウザは入力された URL に従いサービス提供サーバ(50)へリクエストを送信し(a1)、該当するサーバからコンテンツを受信する(a2)。ブラウザは受信したコンテンツを利用者端末機の表示部に表示する。
表示する内容は受信したコンテンツのフォーマットによって異なる。例えば文字情報のみであって他のコンテンツを参照しない場合もある。また画像情報であれば、それらを描画して画面に表示し、さらに音声情報であればそれらを再生してスピーカーなどから音声を出力する(図2b)。そのために、これらの情報の格納場所をアクセスし(b1)、そこから必要な情報を取得する(b2)。
(1)WWW でのコンテンツ取得,描画方法
WWW (World Wide Web ) ではインターネット上に様々な情報(データのみならずプログラムも含む)がサービス提供者によって配備され、サービス利用者はPC(パーソナルコンピュータ)や携帯電話などの利用者端末機上のウェブブラウザ(以下本願明細書ではブラウザ)によってそれらの情報を閲覧、利用することができる。以下これらの情報を「コンテンツ」と呼ぶ。
コンテンツはインターネットに接続されたサービス提供サーバに配置され、そのサービス提供サーバ(ウェブサーバ)の上のコンテンツの特定には URL (Uniform Resource Locator) が用いられる。URL はインターネット上のリソースの場所を示し、そのリソースを取得するためのプロトコルなどのスキーム、リソースのあるサーバ(サーバマシン)の IP アドレス、そのポート番号、および、そのサーバ上でのリソースの所在を表すパス等から構成されている。
図2aに従って情報の流れについて説明する。サービス利用者は閲覧したいコンテンツの URL をブラウザの入力部(不示図)に入力する。利用者端末機(20)のブラウザは入力された URL に従いサービス提供サーバ(50)へリクエストを送信し(a1)、該当するサーバからコンテンツを受信する(a2)。ブラウザは受信したコンテンツを利用者端末機の表示部に表示する。
表示する内容は受信したコンテンツのフォーマットによって異なる。例えば文字情報のみであって他のコンテンツを参照しない場合もある。また画像情報であれば、それらを描画して画面に表示し、さらに音声情報であればそれらを再生してスピーカーなどから音声を出力する(図2b)。そのために、これらの情報の格納場所をアクセスし(b1)、そこから必要な情報を取得する(b2)。
さらに、コンテンツの内容に、ハイパーリンクが含まれ、利用者がそのハイパーリンク先のコンテンツを閲覧する場合(図2c)には、そのハイパーリンク先サーバ(60)をアクセスし(c1)そこから必要な情報を取得し(c2)、利用者端末機の表示部に表示することが出来る。
ここで、コンテンツの記述にはHTML (Hyper Text Markup Language) が多く用いられている。HTMLでは他のコンテンツへの参照、例えば画像データへの参照を記述することが可能である。
さらに、ハイパーリンク先サーバへリンクする場合にも、それらの記述は容易である。
ここで、コンテンツの記述にはHTML (Hyper Text Markup Language) が多く用いられている。HTMLでは他のコンテンツへの参照、例えば画像データへの参照を記述することが可能である。
さらに、ハイパーリンク先サーバへリンクする場合にも、それらの記述は容易である。
(2)HTML 文書の例
以下に、簡単なHTLM文書の例を示す。
1 <html>
2 <head>
3 <title>例1</title>
4 </head>
5 <body>
6 以下に写真を配置。<br />
7 <img src='http://host_a:8080/img/example0.jpg' /> <br />
8 <a href='http://host_b:9090/example0.html'>
9 ここはハイパーリンク
10 </a> <br />
11 以下に写真を配置。<br />
12 <img src='http://host_a:8080/img/example1.jpg' /> <br />
13 <a href='http://host_b:9090/example1.html'>
14 ここはハイパーリンク
15 </a>
16 </body>
17 </html>
以下に、簡単なHTLM文書の例を示す。
1 <html>
2 <head>
3 <title>例1</title>
4 </head>
5 <body>
6 以下に写真を配置。<br />
7 <img src='http://host_a:8080/img/example0.jpg' /> <br />
8 <a href='http://host_b:9090/example0.html'>
9 ここはハイパーリンク
10 </a> <br />
11 以下に写真を配置。<br />
12 <img src='http://host_a:8080/img/example1.jpg' /> <br />
13 <a href='http://host_b:9090/example1.html'>
14 ここはハイパーリンク
15 </a>
16 </body>
17 </html>
(2−1)html タグについて
<html>(1行目)から </html>(17行目)までが HTML 文書である。html ではタグと呼ばれる<xxx>(開始タグ)</xxx>(終了タグ)で囲まれた部分、あるいは開始タグと終了タグをひとまとめにした<xxx/>というタグを一つの要素とみなしている。要素は入れ子にすることができる。
(2−2)head タグおよび body タグについて
HTML 文書は head タグを持つ head要素とbodyタグを持つ body要素で構成される。head 要素にはその HTML 文書のタイトルなどメタデータが書かれる。一方 body要素にはその HTML 文書の本文が書かれる。本文は地の文である文字列や、タグで囲まれた要素から構成される。
<html>(1行目)から </html>(17行目)までが HTML 文書である。html ではタグと呼ばれる<xxx>(開始タグ)</xxx>(終了タグ)で囲まれた部分、あるいは開始タグと終了タグをひとまとめにした<xxx/>というタグを一つの要素とみなしている。要素は入れ子にすることができる。
(2−2)head タグおよび body タグについて
HTML 文書は head タグを持つ head要素とbodyタグを持つ body要素で構成される。head 要素にはその HTML 文書のタイトルなどメタデータが書かれる。一方 body要素にはその HTML 文書の本文が書かれる。本文は地の文である文字列や、タグで囲まれた要素から構成される。
(2−3)画像データについて
ここで、img タグで指定される img 要素はそこに画像データを埋め込むことを示している。タグで指定された要素は付加的な情報を属性として持つことができる。例えば img 要素は src 属性によって画像が存在する URL を指定している。
(2−4)ハイパーリンクについて
また、a タグで指定される a 要素はハイパーリンクを示していて、タグで囲まれた部分と href 属性で指定された URL にあるコンテンツとを関連付ける(リンクさせる)ことを表している。
ここで、img タグで指定される img 要素はそこに画像データを埋め込むことを示している。タグで指定された要素は付加的な情報を属性として持つことができる。例えば img 要素は src 属性によって画像が存在する URL を指定している。
(2−4)ハイパーリンクについて
また、a タグで指定される a 要素はハイパーリンクを示していて、タグで囲まれた部分と href 属性で指定された URL にあるコンテンツとを関連付ける(リンクさせる)ことを表している。
(3)ブラウザによる描画
上記の HTML 文書をブラウザが、利用者端末機の表示部(不示図)にどのようにして描画するかを以下に説明する。
1(6行目).「以下に写真を配置。」という文字列を描画する。
2(6行目).<br /> は改行を意味するので、描画位置を改行する。
3(7行目).画像を配置することを意味する <img ...> が現れるので、src で指示されている URL で指定されているコンテンツ(画像データ)を取得する。具体的にはホスト名 host_a というサーバのポート番号 8080 に対して /img/example0.jpg というパスにあるコンテンツを要求する HTTP リクエストを送信し、そのサーバからコンテンツを取得する。
上記の HTML 文書をブラウザが、利用者端末機の表示部(不示図)にどのようにして描画するかを以下に説明する。
1(6行目).「以下に写真を配置。」という文字列を描画する。
2(6行目).<br /> は改行を意味するので、描画位置を改行する。
3(7行目).画像を配置することを意味する <img ...> が現れるので、src で指示されている URL で指定されているコンテンツ(画像データ)を取得する。具体的にはホスト名 host_a というサーバのポート番号 8080 に対して /img/example0.jpg というパスにあるコンテンツを要求する HTTP リクエストを送信し、そのサーバからコンテンツを取得する。
4(7行目).取得した画像データを描画する。
5(7行目).<br /> は改行を意味するので、描画位置を改行する。
6(8から10行目).<a...> ここはハイパーリンク</a> はハイパーリンクを意味するので「ここはハイパーリンク」という文字列をハイパーリンクであることが分かるように、アンダーラインあるいは色等を付けて描画する。
7(10行目).<br /> は改行を意味するので、描画位置を改行する。
8(11行目).「以下に写真を配置。」という文字列を描画する。
9(11行目).<br /> は改行を意味するので、描画位置を改行する。
10(12行目).画像を配置することを意味する <img ...> が現れるので、src で指示されている URL で指定されているコンテンツ(画像データ)を取得する。具体的にはホスト名 host_a というサーバのポート番号 8080 に対して /img/example1.jpg というパスにあるコンテンツを要求する HTTP リクエストを送信し、そのサーバからコンテンツを取得する。
5(7行目).<br /> は改行を意味するので、描画位置を改行する。
6(8から10行目).<a...> ここはハイパーリンク</a> はハイパーリンクを意味するので「ここはハイパーリンク」という文字列をハイパーリンクであることが分かるように、アンダーラインあるいは色等を付けて描画する。
7(10行目).<br /> は改行を意味するので、描画位置を改行する。
8(11行目).「以下に写真を配置。」という文字列を描画する。
9(11行目).<br /> は改行を意味するので、描画位置を改行する。
10(12行目).画像を配置することを意味する <img ...> が現れるので、src で指示されている URL で指定されているコンテンツ(画像データ)を取得する。具体的にはホスト名 host_a というサーバのポート番号 8080 に対して /img/example1.jpg というパスにあるコンテンツを要求する HTTP リクエストを送信し、そのサーバからコンテンツを取得する。
11(12行目).取得した画像データを描画する。
12(12行目).<br /> は改行を意味するので、描画位置を改行する。
13(13から15行目).<a...> ここはハイパーリンク</a> はハイパーリンクを意味するので「ここはハイパーリンク」という文字列をハイパーリンクであることが分かるように、アンダーライン、又は、色等を付けたて描画する。
14(17行目)終了。
12(12行目).<br /> は改行を意味するので、描画位置を改行する。
13(13から15行目).<a...> ここはハイパーリンク</a> はハイパーリンクを意味するので「ここはハイパーリンク」という文字列をハイパーリンクであることが分かるように、アンダーライン、又は、色等を付けたて描画する。
14(17行目)終了。
(3−1)コンテンツ内容の分類
ブラウザによって表示されるコンテンツの内容を、本願明細書では以下のように3種類に分類する。実施例ではこれらの分類に応じた例を説明している。
(a)他の副コンテンツを参照しないコンテンツ
一般にHTMLで記述されるコンテンツは、そのコンテンツを描画するために必要な画像や音声データなど他のコンテンツへの参照を含んでいる。ここでは、他のコンテンツを参照しないコンテンツを考える。本願明細書では、あるコンテンツを描画するために必要となるコンテンツを「副コンテンツ」と呼ぶ。
(b)他の副コンテンツを参照するコンテンツ
コンテンツを描画するために、他の副コンテンツを参照するコンテンツである。
利用者が閲覧しようとしているコンテンツをブラウザが描画する際には、上記の例のように通常はブラウザが自動的に副コンテンツを取得する。ブラウザによっては画像データなどを自動的に取得するか否かサービス利用者が設定できる。もしサービス利用者が「自動的に取得しない」と設定した場合にはブラウザは画像コンテンツを自動的に取得することはない。本願明細書では説明を簡単にするために画像データなどはブラウザが自動的に取得するものとする。
ブラウザによって表示されるコンテンツの内容を、本願明細書では以下のように3種類に分類する。実施例ではこれらの分類に応じた例を説明している。
(a)他の副コンテンツを参照しないコンテンツ
一般にHTMLで記述されるコンテンツは、そのコンテンツを描画するために必要な画像や音声データなど他のコンテンツへの参照を含んでいる。ここでは、他のコンテンツを参照しないコンテンツを考える。本願明細書では、あるコンテンツを描画するために必要となるコンテンツを「副コンテンツ」と呼ぶ。
(b)他の副コンテンツを参照するコンテンツ
コンテンツを描画するために、他の副コンテンツを参照するコンテンツである。
利用者が閲覧しようとしているコンテンツをブラウザが描画する際には、上記の例のように通常はブラウザが自動的に副コンテンツを取得する。ブラウザによっては画像データなどを自動的に取得するか否かサービス利用者が設定できる。もしサービス利用者が「自動的に取得しない」と設定した場合にはブラウザは画像コンテンツを自動的に取得することはない。本願明細書では説明を簡単にするために画像データなどはブラウザが自動的に取得するものとする。
(c)ハイパーリンク(form タグによるものも含む)されたコンテンツを参照するコンテンツ
ハイパーリンクは利用者端末機の表示画面上でアンダーラインや色分けによって強調された文字列や画像などで表される。その部分をクリックするとそれに対応するハイパーリンクされたコンテンツが表示される。ハイパーリンクで参照されるコンテンツはサービス利用者によるクリックなど、閲覧しているコンテンツ上でのサービス利用者の主体的な操作によって取得される。
なお、WWW でのコンテンツ取得には、一般にはHTTP (Hyper Text Transfer Protocol ) が用いられる。ブラウザは HTTP リクエストをサーバに送信する。HTTP リクエストにはサーバ上のコンテンツを指定するパスが含まれている。サーバはそのリクエストに含まれているパスで指定されているコンテンツを HTTP レスポンスとしてブラウザに送信する。
ハイパーリンクは利用者端末機の表示画面上でアンダーラインや色分けによって強調された文字列や画像などで表される。その部分をクリックするとそれに対応するハイパーリンクされたコンテンツが表示される。ハイパーリンクで参照されるコンテンツはサービス利用者によるクリックなど、閲覧しているコンテンツ上でのサービス利用者の主体的な操作によって取得される。
なお、WWW でのコンテンツ取得には、一般にはHTTP (Hyper Text Transfer Protocol ) が用いられる。ブラウザは HTTP リクエストをサーバに送信する。HTTP リクエストにはサーバ上のコンテンツを指定するパスが含まれている。サーバはそのリクエストに含まれているパスで指定されているコンテンツを HTTP レスポンスとしてブラウザに送信する。
(4)コンテンツのパーソナル化
コンテンツを提供する際に、サービス利用者毎に利用者の個人情報に基づいて、当該利用者に適合したコンテンツを提供することが行われている。その結果同じ URL をブラウザから入力しても、サービス利用者ごとに異なるコンテンツがサーバから送信される。これをコンテンツのパーソナル化と呼ぶ。
コンテンツのパーソナル化はサーバ上のプログラムによって、動的にコンテンツを選択あるいは生成することにより行われている。そのプログラムにはサービス利用者の個人情報、すなわち利用者個人のプロファイルや嗜好情報、過去のコンテンツ取得の履歴や購買履歴などに基づいたコンテンツの生成方法が記載されている。従来技術ではサービス提供者がサービス利用者の個人情報を持つ必要がある。
コンテンツを提供する際に、サービス利用者毎に利用者の個人情報に基づいて、当該利用者に適合したコンテンツを提供することが行われている。その結果同じ URL をブラウザから入力しても、サービス利用者ごとに異なるコンテンツがサーバから送信される。これをコンテンツのパーソナル化と呼ぶ。
コンテンツのパーソナル化はサーバ上のプログラムによって、動的にコンテンツを選択あるいは生成することにより行われている。そのプログラムにはサービス利用者の個人情報、すなわち利用者個人のプロファイルや嗜好情報、過去のコンテンツ取得の履歴や購買履歴などに基づいたコンテンツの生成方法が記載されている。従来技術ではサービス提供者がサービス利用者の個人情報を持つ必要がある。
コンテンツのパーソナル化を行う場合には、サービス提供者はサービス利用者に個人情報の提供を要求する。例えばサービス提供者が WWW 上で提供するサービスをサービス利用者が利用する際に、サービス利用者にユーザ登録を行わせ、必要な個人情報を収集している。
サーバはサービス提供開始時に個人認証を行うか、あるいは 利用者端末機内のHTTP Cookie などを利用して、サービスリクエストを発行したサービス利用者、または、その利用者の端末機を特定する。そしてその特定されたサービス利用者の個人情報に基づいてコンテンツのパーソナル化を行う。
サーバはサービス提供開始時に個人認証を行うか、あるいは 利用者端末機内のHTTP Cookie などを利用して、サービスリクエストを発行したサービス利用者、または、その利用者の端末機を特定する。そしてその特定されたサービス利用者の個人情報に基づいてコンテンツのパーソナル化を行う。
ここで、実際の利用者端末機の表示画面の表示例を使って説明する。図7は検索メニュー画面を示している。このメニュー画面は、利用者が自分の携帯端末機等を用いて、自分の所望するシューズを検索する場合の検索画面である。利用者は、希望商品として「ジョギングシューズ」、希望メーカとして「xxxYY」、検索商品が自己の使用である旨を入力する。
図8は「個人情報の例」を示している。個人情報には、利用者の氏名、性別、年齢、住所、職業、年収、さらには、趣味、嗜好情報、購入履歴等の情報が含まれる。従来技術ではこれらの情報はサービス提供サーバに格納されている。これらの情報に基づいて、パーソナル化されたコンテンツの例として図9に「パーソナル化されたコンテンツの例(1)」が示されている。ここで、利用者の個人情報として、利用者が男性であること、及び、本人の購入履歴が利用されている。
以上の技術的背景のもとに、以下のように実施例1から実施例4について説明する。
図8は「個人情報の例」を示している。個人情報には、利用者の氏名、性別、年齢、住所、職業、年収、さらには、趣味、嗜好情報、購入履歴等の情報が含まれる。従来技術ではこれらの情報はサービス提供サーバに格納されている。これらの情報に基づいて、パーソナル化されたコンテンツの例として図9に「パーソナル化されたコンテンツの例(1)」が示されている。ここで、利用者の個人情報として、利用者が男性であること、及び、本人の購入履歴が利用されている。
以上の技術的背景のもとに、以下のように実施例1から実施例4について説明する。
1.概要図
実施例1では、ブラウザで表示されるコンテンツが他の副コンテンツ、及び、ハイパーリンクを含まない例、すなわち、前記コンテンツ分類の(a)の場合について説明する。
図3は本願発明の実施例の概要について示している。主要な構成要素としては、利用者端末機20、プロキシ40、サービス提供サーバ50がある。
ここで、利用者端末機20は好適にはウェブブラウザを搭載した携帯電話機である。プロキシ40は、利用者端末機とサービス提供サーバとの間に位置している。また、プロキシ40は利用者の個人情報をデータベースに格納し利用者の個人情報の管理を行う。サービス提供サーバ50は、利用者にサービス情報を提供するサーバであり、好適にはウエブサーバである。
図3ではサービス提供サーバと利用者端末機の間に、利用者の個人情報を有するプロキシを配置し、コンテンツのパーソナル化をそのプロキシで行うが、プロキシ(40)が利用者端末機(20)に含まれ一体化されていてもよい。
実施例1では、ブラウザで表示されるコンテンツが他の副コンテンツ、及び、ハイパーリンクを含まない例、すなわち、前記コンテンツ分類の(a)の場合について説明する。
図3は本願発明の実施例の概要について示している。主要な構成要素としては、利用者端末機20、プロキシ40、サービス提供サーバ50がある。
ここで、利用者端末機20は好適にはウェブブラウザを搭載した携帯電話機である。プロキシ40は、利用者端末機とサービス提供サーバとの間に位置している。また、プロキシ40は利用者の個人情報をデータベースに格納し利用者の個人情報の管理を行う。サービス提供サーバ50は、利用者にサービス情報を提供するサーバであり、好適にはウエブサーバである。
図3ではサービス提供サーバと利用者端末機の間に、利用者の個人情報を有するプロキシを配置し、コンテンツのパーソナル化をそのプロキシで行うが、プロキシ(40)が利用者端末機(20)に含まれ一体化されていてもよい。
2.プロキシの機能ブロック図
図4は、本願発明のプロキシ(40)の機能ブロック図について説明している。ここで、プロキシの主要な構成要素として、利用者端末機I/F部(110)、制御部(120)、サービス提供サーバI/F部(130)、テンプレート選択部(150)、個人情報格納部(160)、テンプレート・パーソナル部(170)、及び、検証部(190)が含まれる。また、サービス提供サーバにはパーソナル化したコンテンツを生成するためのPersonalized Contents Generation Program(パーソナル化コンテンツ生成プログラム。以下本願明細書ではPCGPと呼ぶ。)が配備されている。PCGPの中には、コンテンツ・テンプレート・リスト、及び、個人情報に基づいてこのコンテンツ・テンプレート・リストから一つのコンテンツ・テンプレートを選択し、パーソナル化されたコンテンツを生成する規則が含まれている。
図4は、本願発明のプロキシ(40)の機能ブロック図について説明している。ここで、プロキシの主要な構成要素として、利用者端末機I/F部(110)、制御部(120)、サービス提供サーバI/F部(130)、テンプレート選択部(150)、個人情報格納部(160)、テンプレート・パーソナル部(170)、及び、検証部(190)が含まれる。また、サービス提供サーバにはパーソナル化したコンテンツを生成するためのPersonalized Contents Generation Program(パーソナル化コンテンツ生成プログラム。以下本願明細書ではPCGPと呼ぶ。)が配備されている。PCGPの中には、コンテンツ・テンプレート・リスト、及び、個人情報に基づいてこのコンテンツ・テンプレート・リストから一つのコンテンツ・テンプレートを選択し、パーソナル化されたコンテンツを生成する規則が含まれている。
3.基本的な処理フロー
図18は実施例1を説明するフロー図である。
10:利用者によるコンテンツのURLの入力
20:ブラウザからプロキシへリクエストの送信
30:プロキシからサーバへリクエストの送信
40:サーバからPCGPをプロキシへ送信
50:プロキシで以下の処理の実行
・テンプレートの選択
・コンテンツのパーソナル化
・ブラウザへの送信
60:ブラウザでの表示
以下、図3、図4、図5aを参照しながら説明する。
(1)サービス利用者は利用者端末機(図3、20)のブラウザに閲覧を希望するコンテンツの URL を入力する。
(2)ブラウザは、プロキシに当該URL のコンテンツを取得するリクエストを送信する(図5a、a1)。
(3)プロキシは当該リクエストに従ってサービス提供サーバにコンテンツ取得リクエストを送信する(図5a、a2)。
(4)サービス提供サーバは、受信したコンテンツ取得リクエストに記されたURLのパスに対応したPCGPをプロキシに送信する(図5a、a3)。PCGPには、前述のように、コンテンツ・テンプレート・リスト及び規則が含まれる。ここで、コンテンツ・テンプレートとは利用者の名前などの個人情報を埋め込むための「空欄」を有するコンテンツのことで、テンプレートに個人情報を適用するとその「空欄」は適切な個人情報(例えば名前)で置き換えられ、「空欄」のないコンテンツが生成される。規則とは、利用者の個人情報に基づいて、コンテンツ・テンプレート・リストの中から、当該利用者に該当する一つのコンテンツ・テンプレートを選択するための規則である。
図18は実施例1を説明するフロー図である。
10:利用者によるコンテンツのURLの入力
20:ブラウザからプロキシへリクエストの送信
30:プロキシからサーバへリクエストの送信
40:サーバからPCGPをプロキシへ送信
50:プロキシで以下の処理の実行
・テンプレートの選択
・コンテンツのパーソナル化
・ブラウザへの送信
60:ブラウザでの表示
以下、図3、図4、図5aを参照しながら説明する。
(1)サービス利用者は利用者端末機(図3、20)のブラウザに閲覧を希望するコンテンツの URL を入力する。
(2)ブラウザは、プロキシに当該URL のコンテンツを取得するリクエストを送信する(図5a、a1)。
(3)プロキシは当該リクエストに従ってサービス提供サーバにコンテンツ取得リクエストを送信する(図5a、a2)。
(4)サービス提供サーバは、受信したコンテンツ取得リクエストに記されたURLのパスに対応したPCGPをプロキシに送信する(図5a、a3)。PCGPには、前述のように、コンテンツ・テンプレート・リスト及び規則が含まれる。ここで、コンテンツ・テンプレートとは利用者の名前などの個人情報を埋め込むための「空欄」を有するコンテンツのことで、テンプレートに個人情報を適用するとその「空欄」は適切な個人情報(例えば名前)で置き換えられ、「空欄」のないコンテンツが生成される。規則とは、利用者の個人情報に基づいて、コンテンツ・テンプレート・リストの中から、当該利用者に該当する一つのコンテンツ・テンプレートを選択するための規則である。
(5)プロキシは受信したPCGPを実行する。PCGPの実行の第一段階では、サービス提供サーバI/F部(130)から検証部(190)へPCGPが送られ、当該PCGPによって作成されるコンテンツが個人情報を漏洩しないことの検証が行われる。一般的には、PCGPは利用者の個人情報の値に応じて異なるコンテンツを作成する。例えば利用者が男性の場合と女性の場合で異なるコンテンツを作成する。それらの異なるコンテンツを描画する際、およびそれらのコンテンツに含まれるハイパーリンクを辿る際に送信されるコンテンツ取得リクエストが、それぞれのコンテンツで異なる場合には、サービス提供者はそれらを手掛かりとして利用者が男性であるか女性であるかを知ることができる。すなわち個人情報が漏洩する可能性がある。よって、PCGPが作成し得るコンテンツ毎に、送信するメッセージの集合が同じであることを確かめ、個人情報が漏洩しないことを検証する必要が有る。実施例1では他のコンテンツへの参照を含まないコンテンツのみが生成されるので、検証に成功する。
(6)テンプレートの選択
次にPCGPはテンプレート選択部(150)へ送られ、個人情報格納部(160)に格納されている個人情報に基づき、適切な一つのコンテンツ・テンプレートを選択する(図4、150)。
(7)コンテンツのパーソナル化
PCGPの実行の第二段階では、テンプレート・パーソナル部(170)は選択されたコンテンツ・テンプレートに個人情報格納部(160)に格納されている利用者の個人情報を適用、すなわち「空欄」を適切な個人情報に置き換えて、パーソナル化したコンテンツを生成し、制御部(図4、120)へ送る。
(6)テンプレートの選択
次にPCGPはテンプレート選択部(150)へ送られ、個人情報格納部(160)に格納されている個人情報に基づき、適切な一つのコンテンツ・テンプレートを選択する(図4、150)。
(7)コンテンツのパーソナル化
PCGPの実行の第二段階では、テンプレート・パーソナル部(170)は選択されたコンテンツ・テンプレートに個人情報格納部(160)に格納されている利用者の個人情報を適用、すなわち「空欄」を適切な個人情報に置き換えて、パーソナル化したコンテンツを生成し、制御部(図4、120)へ送る。
(8)制御部(図4、120)は、パーソナル化されたコンテンツを利用者端末機I/F(図4、110)経由でブラウザに送信する(図5a、a4)。
(9)ブラウザは受信したコンテンツを描画してその利用者端末機に表示する。
以上より、実施例1では、他のコンテンツを参照しない場合について説明した。実施例1では、個人情報をサービス提供者に提供すること無く、図9及び図10に示すようなパーソナル化されたコンテンツの例(1)及び(2)を示すことが出来る。
(9)ブラウザは受信したコンテンツを描画してその利用者端末機に表示する。
以上より、実施例1では、他のコンテンツを参照しない場合について説明した。実施例1では、個人情報をサービス提供者に提供すること無く、図9及び図10に示すようなパーソナル化されたコンテンツの例(1)及び(2)を示すことが出来る。
実施例2では、ブラウザで表示されるコンテンツが、他の副コンテンツは含むが他サイトへのリンクを含まない例、すなわちコンテンツ分類の(b)の場合について説明する。
一般にコンテンツは画像・音声などの副コンテンツへの参照やハイパーリンクを含んでおり、ブラウザはそれらの副コンテンツを取得するため、あるいはサービス利用者がハイパーリンクをクリックすることによりリクエストを送信する。発信されるリクエストはコンテンツの内容によって異なる。ブラウザはコンテンツを処理する過程で、当該コンテンツに記載されている順に従って、これらの副コンテンツのリクエストを発信する。
一般にコンテンツは画像・音声などの副コンテンツへの参照やハイパーリンクを含んでおり、ブラウザはそれらの副コンテンツを取得するため、あるいはサービス利用者がハイパーリンクをクリックすることによりリクエストを送信する。発信されるリクエストはコンテンツの内容によって異なる。ブラウザはコンテンツを処理する過程で、当該コンテンツに記載されている順に従って、これらの副コンテンツのリクエストを発信する。
これらの副コンテンツに対するリクエストが直接にサービス提供サーバへ送信されると、サービス提供サーバはそれらの順序あるいは特定のコンテンツのアクセス回数によって、当該利用者が閲覧しているコンテンツを特定できる場合がある。
図11及び図12に示されるパーソナル化されたコンテンツの例(3)及び(4)を例にとって説明する。
パーソナル化されたコンテンツ(3)を描画するために、ブラウザは画像1−>画像1−>画像2−>画像3の順にリクエストを出す。一方、パーソナル化されたコンテンツ(4)をアクセスするために、ブラウザは画像4−>画像4−>画像5−>画像6の順にアクセスする。
そうすると、この場合、サービス提供サーバは画像へのリクエストをモニターすることにより、現在の利用者が「男性」であるか「女性」であるかを断定できる。さらに、コンテンツの作成方法によっては、利用者の年齢層、住所の範囲、年収の幅などの情報がサーバから推定出来る場合がある。
図11及び図12に示されるパーソナル化されたコンテンツの例(3)及び(4)を例にとって説明する。
パーソナル化されたコンテンツ(3)を描画するために、ブラウザは画像1−>画像1−>画像2−>画像3の順にリクエストを出す。一方、パーソナル化されたコンテンツ(4)をアクセスするために、ブラウザは画像4−>画像4−>画像5−>画像6の順にアクセスする。
そうすると、この場合、サービス提供サーバは画像へのリクエストをモニターすることにより、現在の利用者が「男性」であるか「女性」であるかを断定できる。さらに、コンテンツの作成方法によっては、利用者の年齢層、住所の範囲、年収の幅などの情報がサーバから推定出来る場合がある。
一般的にサービス提供サーバは以下の情報を受信することによって、利用者の個人情報を推定あるいは断定することが出来る。
1.副コンテンツを取得するリクエストの種類
2.副コンテンツを取得するリクエストの順番
3.同じ副コンテンツを取得するリクエストの個数
これらの問題について以下に検討する。
1.副コンテンツを取得するリクエストの種類
2.副コンテンツを取得するリクエストの順番
3.同じ副コンテンツを取得するリクエストの個数
これらの問題について以下に検討する。
1.副コンテンツを取得するリクエストの種類について
要求されるコンテンツの種類によって、個人の情報が類推されることは容易に考えられる。しかし一つのPCGPから生成され得る一つ以上のコンテンツの中で、どのコンテンツがブラウザに送られたとしても、同じリクエストがブラウザから送信される場合には、サービス提供サーバから見た場合、利用者が閲覧したコンテンツは推測出来ない。
そこで、一つのPCGPから生成される各コンテンツから生成されるリクエストが全て同じであることを検証する。もしそれらが異なる場合には、利用者が閲覧したコンテンツの如何に関わらず副コンテンツへのリクエストの和集合を取りそれに属する全てのリクエストをサーバに送信すると、サービス提供サーバは利用者がアクセスしたテンプレートを推測出来ない。
一例を示すと、ブラウザがコンテンツ1を描画する際に(画像1、及び、画像2)のリクエストを送信し、コンテンツ2を描画する際に(画像2、及び、画像3)のリクエストを送信する場合、これらの和集合である、(画像1、画像2、及び、画像3)のリクエストをプロキシが送信すれば、サービス提供サーバは利用者がアクセスしたテンプレートを推測出来ない。
要求されるコンテンツの種類によって、個人の情報が類推されることは容易に考えられる。しかし一つのPCGPから生成され得る一つ以上のコンテンツの中で、どのコンテンツがブラウザに送られたとしても、同じリクエストがブラウザから送信される場合には、サービス提供サーバから見た場合、利用者が閲覧したコンテンツは推測出来ない。
そこで、一つのPCGPから生成される各コンテンツから生成されるリクエストが全て同じであることを検証する。もしそれらが異なる場合には、利用者が閲覧したコンテンツの如何に関わらず副コンテンツへのリクエストの和集合を取りそれに属する全てのリクエストをサーバに送信すると、サービス提供サーバは利用者がアクセスしたテンプレートを推測出来ない。
一例を示すと、ブラウザがコンテンツ1を描画する際に(画像1、及び、画像2)のリクエストを送信し、コンテンツ2を描画する際に(画像2、及び、画像3)のリクエストを送信する場合、これらの和集合である、(画像1、画像2、及び、画像3)のリクエストをプロキシが送信すれば、サービス提供サーバは利用者がアクセスしたテンプレートを推測出来ない。
2.副コンテンツを取得するリクエストの順番に関して
各コンテンツを描画する場合に同じリクエストが生成される場合において、リクエストの順序によっては、サービス提供サーバは利用者がどのコンテンツを閲覧しているか推測出来る場合がある。しかしこの場合には、プロキシがリクエストの順番を所定の規則に従って並べ替えることで、サービス提供サーバは利用者がどのコンテンツを閲覧しているか推測出来なくなる。例えば リクエストをURLに関する辞書式順序で送信するようにすれば、サービス提供サーバは利用者が閲覧したコンテンツを推測出来ない。
各コンテンツを描画する場合に同じリクエストが生成される場合において、リクエストの順序によっては、サービス提供サーバは利用者がどのコンテンツを閲覧しているか推測出来る場合がある。しかしこの場合には、プロキシがリクエストの順番を所定の規則に従って並べ替えることで、サービス提供サーバは利用者がどのコンテンツを閲覧しているか推測出来なくなる。例えば リクエストをURLに関する辞書式順序で送信するようにすれば、サービス提供サーバは利用者が閲覧したコンテンツを推測出来ない。
一例を示すと、ブラウザがコンテンツ1を描画する際に(画像1、及び、画像2)のリクエストを送信し、テンプレート2を描画する際に(画像2、及び、画像1)のリクエストを送信する場合、これらの和集合である、(画像1、及び、画像2)のリクエストをプロキシが送信すれば良いが、(画像1、及び、画像2)を送信するか、(画像2、及び、画像1)を送信するかによって、サービス提供サーバは利用者がアクセスしたコンテンツを推測出来る可能性がある。
そこで、これらの順序を所定の規則に従って並び替えることにより、例えば、コンテンツ1を描画するためのリクエストであっても、コンテンツ2を描画するためのリクエストであっても、画像1―>画像2のように若い順序に置き換えることにより、サービス提供サーバは利用者が閲覧したコンテンツを推測出来ない。
そこで、これらの順序を所定の規則に従って並び替えることにより、例えば、コンテンツ1を描画するためのリクエストであっても、コンテンツ2を描画するためのリクエストであっても、画像1―>画像2のように若い順序に置き換えることにより、サービス提供サーバは利用者が閲覧したコンテンツを推測出来ない。
3.同じ副コンテンツを取得するリクエストの個数に関して
同じ副コンテンツが複数回アクセスされる場合に、コンテンツによって、異なるコンテンツから同じ副コンテンツが複数回アクセスされる場合には、サービス提供サーバは利用者が閲覧したコンテンツを推測出来る可能性がある。
同じ副コンテンツが複数回アクセスされる場合に、コンテンツによって、異なるコンテンツから同じ副コンテンツが複数回アクセスされる場合には、サービス提供サーバは利用者が閲覧したコンテンツを推測出来る可能性がある。
一例を示すと、ブラウザがコンテンツ1を描画する際に(画像1−>画像1−>画像2)のリクエストを送信し、コンテンツ2を描画する際に(画像1−>画像2−>画像2)のリクエストを送信する場合、これらの副コンテンツを取得するリクエストの種類は(画像1、及び、画像2)である。しかしコンテンツ1を描画する際のリクエストを、そのままサービス提供サーバに送信すると、サービス提供サーバは、画像1のリクエストが2つ存在するために、現在の利用者がコンテンツ1を使用していることを推測できる。
そこで、このように、同じ副コンテンツを要求する複数のコンテンツからのリクエストがある場合には、コンテンツ1を描画する際のリクエストである(画像1、画像1、及び、画像2)、及び、テンプレート2を描画する際のリクエストである(画像1、画像2、及び、画像2)の和集合を取る。すなわち、(画像1、及び、画像2)に対応するリクエストをサービス提供サーバへ送信する。これによってサービス提供サーバから利用者が閲覧しているコンテンツを推測されることは無い。
そこで、このように、同じ副コンテンツを要求する複数のコンテンツからのリクエストがある場合には、コンテンツ1を描画する際のリクエストである(画像1、画像1、及び、画像2)、及び、テンプレート2を描画する際のリクエストである(画像1、画像2、及び、画像2)の和集合を取る。すなわち、(画像1、及び、画像2)に対応するリクエストをサービス提供サーバへ送信する。これによってサービス提供サーバから利用者が閲覧しているコンテンツを推測されることは無い。
ここで、プロキシがサービス提供サーバから取得した副コンテンツをプロキシ内のキャッシュメモリ部(図6、140)に格納し、これらの副コンテンツを要求するリクエストに対して、サービス提供サーバをアクセスすることなく、キャッシュメモリ内に格納されている副コンテンツをサービス利用者に送信する。これらにより、要求されるリクエストの個数によって、サービス提供サーバから利用者が閲覧しているコンテンツを推測されることは無く、かつ、副コンテンツを取得する為のサービス提供サーバのアクセス効率も改善される。
以上より、本願発明ではサーバ側に利用者の個人情報が漏れないようにするために以下の様な対策を講じる。
(1)一つのPCGPから生成される各コンテンツが参照する副コンテンツのリクエスト集合を求める。
(2)求めたリクエスト集合全ての和集合をとり、それらを辞書式順序などの一定の規則に従ってサービス提供サーバへ送信する。
(3)取得した副コンテンツはプロキシのキャッシュメモリに格納しておき、取得した副コンテンツに対するリクエストに対しては、キャッシュメモリから検索する。
(1)一つのPCGPから生成される各コンテンツが参照する副コンテンツのリクエスト集合を求める。
(2)求めたリクエスト集合全ての和集合をとり、それらを辞書式順序などの一定の規則に従ってサービス提供サーバへ送信する。
(3)取得した副コンテンツはプロキシのキャッシュメモリに格納しておき、取得した副コンテンツに対するリクエストに対しては、キャッシュメモリから検索する。
図19は実施例2を説明するフロー図である。ここではブラウザが利用者端末機にコンテンツを表示する場合であって副コンテンツが要求される場面から説明する。
10:ブラウザからプロキシへリクエストの送信
20:プロキシがリクエストの和集合と順番を決定
30:プロキシからリクエスト送信
40:サーバからプロキシへ副コンテンツの送信
50:プロキシは副コンテンツをキャッシュ
60:プロキシはキャッシュした副コンテンツをリクエストに応じてブラウザへ送信
70:ブラウザでの表示
以下、図3、図5b、図6を参照しながら説明する。以下図6に沿って説明する。図4と比較すると、異なる部分はキャッシュメモリ(140)、及び、リクエスト作成部(180)が追加されていることである。検証部(190)は、一つのPCGPから生成される全てのコンテンツについて、生成される可能性のあるリクエストを求める。各コンテンツから生成される可能性のあるリクエストが全て等しく、その個数が全て等しく、かつ、そのリクエストの順序も全て等しい場合には、副コンテンツをアクセスしても利用者の個人情報が漏洩することはない。
各コンテンツから生成される可能性のあるリクエストの種類が一つでも異なる場合、その個数が一つでも異なる場合、または、そのリクエストの順序が一つでも異なる場合には、リクエスト生成部(180)において、各コンテンツから生成される可能性のあるリクエストの和集合を求め、そのリクエストの和集合の順序を所定の規則に従って並び替え制御部120へ送る。
10:ブラウザからプロキシへリクエストの送信
20:プロキシがリクエストの和集合と順番を決定
30:プロキシからリクエスト送信
40:サーバからプロキシへ副コンテンツの送信
50:プロキシは副コンテンツをキャッシュ
60:プロキシはキャッシュした副コンテンツをリクエストに応じてブラウザへ送信
70:ブラウザでの表示
以下、図3、図5b、図6を参照しながら説明する。以下図6に沿って説明する。図4と比較すると、異なる部分はキャッシュメモリ(140)、及び、リクエスト作成部(180)が追加されていることである。検証部(190)は、一つのPCGPから生成される全てのコンテンツについて、生成される可能性のあるリクエストを求める。各コンテンツから生成される可能性のあるリクエストが全て等しく、その個数が全て等しく、かつ、そのリクエストの順序も全て等しい場合には、副コンテンツをアクセスしても利用者の個人情報が漏洩することはない。
各コンテンツから生成される可能性のあるリクエストの種類が一つでも異なる場合、その個数が一つでも異なる場合、または、そのリクエストの順序が一つでも異なる場合には、リクエスト生成部(180)において、各コンテンツから生成される可能性のあるリクエストの和集合を求め、そのリクエストの和集合の順序を所定の規則に従って並び替え制御部120へ送る。
個人情報を適用してパーソナル化したコンテンツを生成するまでのプロセスは実施例1と同様に、テンプレート選択部(150)で個人情報に基づいて選択され、テンプレート・パーソナル部(170)で選択されたテンプレートのパーソナル化が行われる。制御部(120)はパーソナル化されたコンテンツを利用者端末機I/F部(110)を経由してブラウザへ送信する。パーソナル化されたコンテンツがブラウザで処理された結果生じるリクエストはプロキシへ送信される(図5b、b1)。制御部(120)は、これを受け取ると、リクエスト生成部(180)から送られた順序を変更したリクエストの和集合に含まれる全てのリクエストを指定された順番通りにサービス提供サーバI/F部を介してサービス提供サーバへ送信する(図5b、b2)。サービス提供サーバは、受信した各リクエストに対応する副コンテンツをプロキシに送信する(図5b、b3)。プロキシは受信した副コンテンツをキャッシュメモリ部(140)に格納する。制御部(120)はブラウザから送信されたリクエストに対応する副コンテンツをキャッシュメモリ部(140)から検索する。検索された副コンテンツはブラウザに送信される(図5b、b4)。ブラウザはこれを用いて、利用者端末機の表示部に副コンテンツを表示する。
以上より、実施例2では、他のコンテンツを参照する場合について説明した。本願発明によると、実施例2でも個人情報をサービス提供者に提供すること無く、図11及び図12に示すようなパーソナル化されたコンテンツの例(3)及び(4)を示すことが出来る。
以上より、実施例2では、他のコンテンツを参照する場合について説明した。本願発明によると、実施例2でも個人情報をサービス提供者に提供すること無く、図11及び図12に示すようなパーソナル化されたコンテンツの例(3)及び(4)を示すことが出来る。
実施例3では、ブラウザで表示されるコンテンツが、他コンテンツ(ウェブページ)へのハイパーリンクを含む例、すなわちコンテンツ分類の(c)の場合について説明する。ただし、説明を簡潔にするために、ここではハイパーリンクに関する処理のみを説明する。副コンテンツの処理は実施例2と同様に行われるものとする。図13及び図14に示すパーソナル化されたコンテンツの例(5)及び(6)で、詳細情報の欄における「こちら」で示される部分がハイパーリンクされていることを示す。
ここで、パーソナル化されたコンテンツの例(5)における#1の画像1に対応する詳細情報(こちら)をアクセスした場合に、サービス提供サーバは、現在の利用者が閲覧しているコンテンツを断定でき、かつ、当該利用者は男性であることを推測出来る。一方、パーソナル化されたコンテンツの例(6)における#1の画像4に対応する詳細情報(こちら)をアクセスした場合は、サービス提供サーバは、現在の利用者を閲覧しているコンテンツを断定でき、かつ、当該利用者は女性であることを推測出来る。
ここで、パーソナル化されたコンテンツの例(5)における#1の画像1に対応する詳細情報(こちら)をアクセスした場合に、サービス提供サーバは、現在の利用者が閲覧しているコンテンツを断定でき、かつ、当該利用者は男性であることを推測出来る。一方、パーソナル化されたコンテンツの例(6)における#1の画像4に対応する詳細情報(こちら)をアクセスした場合は、サービス提供サーバは、現在の利用者を閲覧しているコンテンツを断定でき、かつ、当該利用者は女性であることを推測出来る。
図15を用いて説明する。サービス利用者が所定のURLを指定し、当該URLに配置されているPCGPに含まれるコンテンツ・テンプレートが破線の矢印で示す様にA、B、及び、Cの3個あるとする。これらは図15の一点鎖線の枠内で示されている。これらのコンテンツ・テンプレートは利用者の個人情報をもとに適切なものが選択される。ここで、さらにAのコンテンツ・テンプレートには、ハイパーリンク「a」が含まれ、実線の矢印で示すようにウェブページ「a」へハイパーリンクされている。Bのコンテンツ・テンプレートには、ハイパーリンク「b」及び「c」が含まれ、実線の矢印で示すようにウェブページ「b」及び「c」へハイパーリンクされている。Cのコンテンツ・テンプレートには、ハイパーリンク「a」及び「c」が含まれ、実線の矢印で示すようにウェブページ「a」及び「c」へハイパーリンクされている。ウェブページ「b」がアクセスされると、利用者が閲覧しているコンテンツはコンテンツ・テンプレート「B」から生成されたものであることが断定できる。また、ウェブページ「a」、及び、「c」がアクセスされると、利用者が閲覧しているコンテンツはコンテンツ・テンプレート「C」から生成されたものであることが断定できる。
一般に、所定のコンテンツのみからリンクされているウェブページをアクセスした場合、それらのアクセス情報から、利用者が閲覧しているコンテンツが断定でき、そのことから利用者の個人情報を推測することができる。また複数のアクセス情報からさらに多くの個人情報が推測される場合も考えられる。
逆に、一つのPCGPから生成される複数のコンテンツから生成され得るハイパーリンク先コンテンツ取得リクエストがそれぞれ同じである場合には、それらのアクセス情報から、利用者が閲覧しているコンテンツは推測出来ない。このときは、ハイパーリンクへのアクセスの順序は利用者が任意に選択することが出来るために、アクセスの順序に関する情報から利用者がアクセスしているコンテンツは推測出来ない。
そこで、本願発明ではサービス提供サーバ側に利用者の個人情報が漏れないことを以下のように検証する。
逆に、一つのPCGPから生成される複数のコンテンツから生成され得るハイパーリンク先コンテンツ取得リクエストがそれぞれ同じである場合には、それらのアクセス情報から、利用者が閲覧しているコンテンツは推測出来ない。このときは、ハイパーリンクへのアクセスの順序は利用者が任意に選択することが出来るために、アクセスの順序に関する情報から利用者がアクセスしているコンテンツは推測出来ない。
そこで、本願発明ではサービス提供サーバ側に利用者の個人情報が漏れないことを以下のように検証する。
[検証方法および検証後の処理]
(1)一つのPCGPから生成される複数のコンテンツ・テンプレートから生成され得るハイパーリンク先コンテンツ取得リクエストがそれぞれ同じであることを検証する。
(2)ハイパーリンク先コンテンツ取得リクエストがそれぞれ同じである場合、すなわち検証に成功した場合には、パーソナル化されたコンテンツを利用者に送信する。
(3)ハイパーリンク先コンテンツ取得リクエストが同じでない場合、すなわち検証に失敗した場合には、パーソナル化されたコンテンツを利用者に送信するが、当該ハイパーリンクを利用者がアクセスした場合には、利用者が表示しているコンテンツから個人情報が漏れるおそれがある旨の「警告」を出す。
図15の例で検討すると、
Aのコンテンツ・テンプレートからのハイパーリンク先コンテンツ取得リクエストは「a」、Bのコンテンツ・テンプレートからのハイパーリンク先コンテンツ取得リクエストは「b及びc」、及び、Cのコンテンツ・テンプレートからのハイパーリンク先コンテンツ取得リクエストは「a及びc」であるので、
{a}≠{b,c}≠{a,c}となり、検証には失敗する。
(1)一つのPCGPから生成される複数のコンテンツ・テンプレートから生成され得るハイパーリンク先コンテンツ取得リクエストがそれぞれ同じであることを検証する。
(2)ハイパーリンク先コンテンツ取得リクエストがそれぞれ同じである場合、すなわち検証に成功した場合には、パーソナル化されたコンテンツを利用者に送信する。
(3)ハイパーリンク先コンテンツ取得リクエストが同じでない場合、すなわち検証に失敗した場合には、パーソナル化されたコンテンツを利用者に送信するが、当該ハイパーリンクを利用者がアクセスした場合には、利用者が表示しているコンテンツから個人情報が漏れるおそれがある旨の「警告」を出す。
図15の例で検討すると、
Aのコンテンツ・テンプレートからのハイパーリンク先コンテンツ取得リクエストは「a」、Bのコンテンツ・テンプレートからのハイパーリンク先コンテンツ取得リクエストは「b及びc」、及び、Cのコンテンツ・テンプレートからのハイパーリンク先コンテンツ取得リクエストは「a及びc」であるので、
{a}≠{b,c}≠{a,c}となり、検証には失敗する。
図20は実施例3を説明するフロー図である。ここではブラウザが利用者端末機にコンテンツを表示する場合であってハイパーリンクに対応するコンテンツが要求される場面から説明する。なお図18のステップ50(プロキシで以下の処理)において、検証、すなわち、各コンテンツからハイパーリンクのクリックによって生成される可能性のあるリクエストが全て等しいか否かの検証が行われていることを前提に説明する。
10:ブラウザで利用者からのハイパーリンク・クリックを検出
20:ブラウザからプロキシへハイパーリンク・リクエストの送信
30:検証に成功しているか?
40:プロキシがハイパーリンク先サーバからコンテンツ取得
50:プロキシからコンテンツをブラウザへ送信
60:ブラウザでの表示
70:プロキシからブラウザへ警告の送信
80:ブラウザでの表示
90:利用者からの表示意思の受信?
以下、処理フローについて説明する。図6の検証部(190)は、取得したPCGPに含まれるコンテンツ・テンプレートから生成される可能性の有る全てのコンテンツ各々について、そのコンテンツに含まれるハイパーリンクの集合を求める。各コンテンツに含まれるハイパーリンクの集合が全て等しい場合、すなわち検証に成功した場合には、利用者がハイパーリンクをアクセスすることにより利用者の個人情報が漏洩することはない。
なお、個人情報を適用してパーソナル化したコンテンツを生成するまでのプロセスは実施例2と同様に、テンプレート選択部(150)で個人情報に基づいて選択され、テンプレート・パーソナル部(170)で選択されたテンプレートのパーソナル化が行われる。当該パーソナル化されたコンテンツは制御部(120)を経由してブラウザへ送信される。
検証に成功した場合には、パーソナル化されたコンテンツに含まれるハイパーリンクを利用者がクリックした結果として生じるハイパーリンク先コンテンツ取得リクエストはプロキシへ送信される(図5c、c1)。制御部(120)は、これを受け取ると、サービス提供サーバI/F部を介してサービス提供サーバへ送信する(図5c、c2)。サービス提供サーバは受信したリクエストに対応したコンテンツをプロキシに送信する(図5c, c3)。プロキシは受信したコンテンツを利用者端末機のブラウザに送信する(図5c, c4)。ブラウザは受信したコンテンツを表示する。
10:ブラウザで利用者からのハイパーリンク・クリックを検出
20:ブラウザからプロキシへハイパーリンク・リクエストの送信
30:検証に成功しているか?
40:プロキシがハイパーリンク先サーバからコンテンツ取得
50:プロキシからコンテンツをブラウザへ送信
60:ブラウザでの表示
70:プロキシからブラウザへ警告の送信
80:ブラウザでの表示
90:利用者からの表示意思の受信?
以下、処理フローについて説明する。図6の検証部(190)は、取得したPCGPに含まれるコンテンツ・テンプレートから生成される可能性の有る全てのコンテンツ各々について、そのコンテンツに含まれるハイパーリンクの集合を求める。各コンテンツに含まれるハイパーリンクの集合が全て等しい場合、すなわち検証に成功した場合には、利用者がハイパーリンクをアクセスすることにより利用者の個人情報が漏洩することはない。
なお、個人情報を適用してパーソナル化したコンテンツを生成するまでのプロセスは実施例2と同様に、テンプレート選択部(150)で個人情報に基づいて選択され、テンプレート・パーソナル部(170)で選択されたテンプレートのパーソナル化が行われる。当該パーソナル化されたコンテンツは制御部(120)を経由してブラウザへ送信される。
検証に成功した場合には、パーソナル化されたコンテンツに含まれるハイパーリンクを利用者がクリックした結果として生じるハイパーリンク先コンテンツ取得リクエストはプロキシへ送信される(図5c、c1)。制御部(120)は、これを受け取ると、サービス提供サーバI/F部を介してサービス提供サーバへ送信する(図5c、c2)。サービス提供サーバは受信したリクエストに対応したコンテンツをプロキシに送信する(図5c, c3)。プロキシは受信したコンテンツを利用者端末機のブラウザに送信する(図5c, c4)。ブラウザは受信したコンテンツを表示する。
各コンテンツに含まれるハイパーリンクの集合が等しくない場合、すなわち検証に失敗した場合には、パーソナル化されたコンテンツは制御部(120)を経由してブラウザへ送信され、パーソナル化されたコンテンツに含まれるハイパーリンクを利用者がクリックした結果として生じるハイパーリンク先コンテンツ取得リクエストはプロキシへ送信される(図5c、c1)までは成功した場合と同様だが、制御部(120)は、これを受け取ると、ブラウザへ「当該ハイパーリンク先コンテンツ取得リクエストをハイパーリンク先に送信すると利用者の個人情報が推測されるおそれがある」ことを警告する(図5c、c4)。ブラウザは受信した警告を表示する。
利用者が、当該「警告」にも関わらずアクセスすることを要求する場合には、サービス提供サーバへ送られる(図5c、c2)。ハイパーリンクされたコンテンツは、c3−>c4(図5c)を辿って、ブラウザへ送信されそこで表示される。
利用者が、当該「警告」に従いアクセスすることを中止した場合には、アクセスしない。
利用者が、当該「警告」に従いアクセスすることを中止した場合には、アクセスしない。
実施例4では、ブラウザで表示されるコンテンツが、他のコンテンツへのハイパーリンクを含む例であって、サービス提供サーバが当該コンテンツをひとまとめにしてプロキシに送信し、当該リンク先のコンテンツをプロキシのキャッシュメモリに格納する場合について説明する。実施例3と同様に、ここではハイパーリンクに関する処理のみを説明する。
図21は実施例4を説明するフロー図である。ここではブラウザが利用者端末機にコンテンツを表示する場合であってハイパーリンクが要求される場面から説明する。なお図18のステップ50(プロキシで以下の処理)において、検証か行われていること、及び、テンプレートからリンクされたコンテンツをプロキシのキャッシュメモリへ格納する処理を行っていることを前提に説明する。
10:ブラウザで利用者からのハイパーリンク・クリックを検出
20:ブラウザからプロキシへハイパーリンク・リクエストの送信
30:検証に成功しているか?
40:プロキシがハイパーリンク先サーバからコンテンツ取得
50:プロキシからコンテンツをブラウザへ送信
60:ブラウザでの表示
70:プロキシからブラウザへ警告の送信
80:ブラウザでの表示
90:利用者からの表示意思の受信?
100:キャッシュしたコンテンツへのリクエスト?
110:プロキシはキャッシュしたコンテンツをブラウザへ送信
以下、図16を参照しながらハイパーリンク先がウェブページである場合について説明する。サービス提供サーバはコンテンツ・テンプレートA、 B、 Cを含むPCGPと共にそれらからリンクされているウェブページa、 b、 cをひとまとめにしたもの、以下本願明細書では「拡張PCGP」と呼ぶ、をプロキシに送信する。これらは図16の一点鎖線の枠内に示されている。
プロキシは当該「拡張PCGP」を受信し、それが個人情報を漏らすようなリクエストを生成しないことを次のようにして検証する。
10:ブラウザで利用者からのハイパーリンク・クリックを検出
20:ブラウザからプロキシへハイパーリンク・リクエストの送信
30:検証に成功しているか?
40:プロキシがハイパーリンク先サーバからコンテンツ取得
50:プロキシからコンテンツをブラウザへ送信
60:ブラウザでの表示
70:プロキシからブラウザへ警告の送信
80:ブラウザでの表示
90:利用者からの表示意思の受信?
100:キャッシュしたコンテンツへのリクエスト?
110:プロキシはキャッシュしたコンテンツをブラウザへ送信
以下、図16を参照しながらハイパーリンク先がウェブページである場合について説明する。サービス提供サーバはコンテンツ・テンプレートA、 B、 Cを含むPCGPと共にそれらからリンクされているウェブページa、 b、 cをひとまとめにしたもの、以下本願明細書では「拡張PCGP」と呼ぶ、をプロキシに送信する。これらは図16の一点鎖線の枠内に示されている。
プロキシは当該「拡張PCGP」を受信し、それが個人情報を漏らすようなリクエストを生成しないことを次のようにして検証する。
[検証方法](1)拡張PCGPに含まれるコンテンツ・テンプレート毎に、コンテンツ・テンプレートから生成されるコンテンツに含まれるハイパーリンクの集合を生成する。
図16において、当該拡張PCGPに含まれるコンテンツ・テンプレートはA、B、及び、Cである。それぞれのコンテンツ・テンプレートに含まれるハイパーリンクの集合は以下のようになる。
A={a}
B={b,c}
C={a,c}
(2)ハイパーリンクの集合の要素の中から、当該「拡張PCGP」に含まれるウェブページをハイパーリンクしているもの(例えば「a」)を選択し、当該ウェブページが含むハイパーリンクを当該集合の要素(例えば「a1」、及び、「a2」)として加える。ただし一度選択されたハイパーリンクは再び選択しない。その結果を示すと次のようになる。
A={a,a1,a2}
B={b,c,b1,b2}
C={a,c,a1,a2}
図16において、当該拡張PCGPに含まれるコンテンツ・テンプレートはA、B、及び、Cである。それぞれのコンテンツ・テンプレートに含まれるハイパーリンクの集合は以下のようになる。
A={a}
B={b,c}
C={a,c}
(2)ハイパーリンクの集合の要素の中から、当該「拡張PCGP」に含まれるウェブページをハイパーリンクしているもの(例えば「a」)を選択し、当該ウェブページが含むハイパーリンクを当該集合の要素(例えば「a1」、及び、「a2」)として加える。ただし一度選択されたハイパーリンクは再び選択しない。その結果を示すと次のようになる。
A={a,a1,a2}
B={b,c,b1,b2}
C={a,c,a1,a2}
(3)それぞれのハイパーリンクの集合に対して、選択するハイパーリンクがなくなるまで(2)の操作を繰り返す。拡張PCGPに含まれるウェブページは有限なので、必ずこの繰り返しは終了する。
A={a,a1,a2}
B={b,c,b1,b2,c1,c2}
C={a,c,a1,a2,c1,c2}
A={a,a1,a2}
B={b,c,b1,b2,c1,c2}
C={a,c,a1,a2,c1,c2}
(4)すべてのハイパーリンクの集合から、当該拡張PCGPに含まれるウェブページをリンクしているハイパーリンク(例えば「a」)を取り除く。その結果以下のようになる。
A={a1,a2}
B={b1,b2,c1,c2}
C={a1,a2,c1,c2}
この操作を行った後の集合は、対応するテンプレートから作成されるパーソナル化されたコンテンツが、サービス提供サーバに対してリクエストを送信する可能性のあるハイパーリンクの集合となっている。これらの集合が等しくなければ、サービス提供者に個人情報が漏れる恐れがある。
A={a1,a2}
B={b1,b2,c1,c2}
C={a1,a2,c1,c2}
この操作を行った後の集合は、対応するテンプレートから作成されるパーソナル化されたコンテンツが、サービス提供サーバに対してリクエストを送信する可能性のあるハイパーリンクの集合となっている。これらの集合が等しくなければ、サービス提供者に個人情報が漏れる恐れがある。
(5)それぞれのテンプレートに対応する集合がすべて等しいことを確認する。すべて等しければ検証に成功し、そうでなければ検証に失敗する。
図16の例では、
{a1,a2}
≠{b1,b2,c1,c2}
≠{a1,a2,c1,c2}
であるので、検証に失敗する。
図16の例では、
{a1,a2}
≠{b1,b2,c1,c2}
≠{a1,a2,c1,c2}
であるので、検証に失敗する。
以上ハイパーリンク先がウェブページである場合について説明したが、ハイパーリンク先がウェブページではなくPCGP(および拡張PCGP)でもよい(図17)。PCGPを含む拡張PCGPが図17の一点鎖線の枠内に示されている。その場合はハイパーリンク先のPCGPを先に検証する。つまりPCGPが入れ子になっている場合、内側のものから検証を行う。図17を用いて説明する。PCGPの場合には、さらに複数のウェブページが生成される。図17ではコンテンツ・テンプレートAに含まれるハイパーリンク「a」が指す先のコンテンツaがPCGPであり、「a1」、及び、「a2」のコンテンツ・テンプレートを含む。「a1」からさらに「a11」及び「a12」のハイパーリンクが張られ、「a2」からさらに「a21」及び「a22」のハイパーリンクが張られている場合には、a1、及び、a2のハイパーリンク集合を求め、先にPCGP a を検証する。
検証に成功した場合にはハイパーリンク先PCGPaによって生成されるコンテンツに含まれるハイパーリンクをコンテンツ・テンプレートAのハイパーリンク集合の要素として加える。検証に失敗した場合には全体の検証も失敗するので、「b」及び「c」等の他のPCGPの検証は必要ない。
検証に成功した場合にはハイパーリンク先PCGPaによって生成されるコンテンツに含まれるハイパーリンクをコンテンツ・テンプレートAのハイパーリンク集合の要素として加える。検証に失敗した場合には全体の検証も失敗するので、「b」及び「c」等の他のPCGPの検証は必要ない。
(6)検証に成功した場合、
当該拡張PCGPに含まれるコンテンツをキャッシュメモリ部(140)に格納する。またテンプレート選択部(150)でテンプレートを選択し、選択されたテンプレートをテンプレート・パーソナル部(170)に送り、パーソナル化されたコンテンツを作成する。作成されたパーソナル化されたコンテンツは利用者端末機I/F部(110)を通じて利用者端末機に送信される。
当該拡張PCGPに含まれるコンテンツをキャッシュメモリ部(140)に格納する。またテンプレート選択部(150)でテンプレートを選択し、選択されたテンプレートをテンプレート・パーソナル部(170)に送り、パーソナル化されたコンテンツを作成する。作成されたパーソナル化されたコンテンツは利用者端末機I/F部(110)を通じて利用者端末機に送信される。
(7)検証に失敗した場合、
この場合の処理は実施例3の場合と同様に、パーソナル化されたコンテンツを利用者に送信する。当該リンクを利用者がアクセスした場合には、利用者が表示しているコンテンツから個人情報が漏れるおそれがある旨の「警告」を出す。
この場合の処理は実施例3の場合と同様に、パーソナル化されたコンテンツを利用者に送信する。当該リンクを利用者がアクセスした場合には、利用者が表示しているコンテンツから個人情報が漏れるおそれがある旨の「警告」を出す。
(8)利用者が当該拡張PCGPに含まれるコンテンツへのハイパーリンクをクリックした場合には、リクエストはプロキシに送信される。プロキシはキャッシュメモリ部(140)に格納されたコンテンツを利用者端末機に送信する。ただし、コンテンツがPCGPあるいは拡張PCGPである場合は、プロキシはパーソナル化したコンテンツを作成し、それを送信する。
10:インターネット
20:利用者端末機
30:無線基地局
40:プロキシ
50:サービス提供サーバ
60:ハイパーリンク先サーバ
110:利用者端末機I/F部
120:制御部
130:サービス提供サーバI/F部
140:キャッシュメモリ部
150:テンプレート選択部
160:個人情報格納部
170:テンプレート・パーソナル化部
180:リクエスト作成部
190:検証部
20:利用者端末機
30:無線基地局
40:プロキシ
50:サービス提供サーバ
60:ハイパーリンク先サーバ
110:利用者端末機I/F部
120:制御部
130:サービス提供サーバI/F部
140:キャッシュメモリ部
150:テンプレート選択部
160:個人情報格納部
170:テンプレート・パーソナル化部
180:リクエスト作成部
190:検証部
Claims (6)
- サービス提供者サーバ、プロキシ、及び、サービス利用者が使用する利用者端末機が相互にネットワークによって接続されているシステムにおいて、以下の(a)から(e)の手段を有する個人情報漏洩阻止システム、
(a)前記利用者端末機が、前記サービス提供者サーバ上のコンテンツを取得するコンテンツ取得リクエストを前記プロキシへ送信する手段、
(b)前記プロキシが、前記コンテンツ取得リクエストを受信し、前記サービス提供者サーバに送信する手段、
(c)前記サービス提供者サーバが、前記コンテンツ取得リクエストに対応する一つ以上のコンテンツ・テンプレート、及び、サービス利用者の個人情報を用いて一のコンテンツ・テンプレートを選択し、前記コンテンツ・テンプレートから前記利用者の個人情報を反映したコンテンツを生成するための規則を、前記プロキシに送信する手段、
(d)前記プロキシが、前記利用者の個人情報を用いて、前記規則に基づき、一のコンテンツ・テンプレートを選択し、前記コンテンツ・テンプレートから前記利用者の個人情報を反映したコンテンツを生成し、前記利用者端末機に送信する手段、
(e)前記利用者端末機が、閲覧ソフトを使用して前記コンテンツを表示する手段。 - さらに、前記利用者端末機が、前記閲覧ソフトを使用して前記コンテンツを表示する際に、以下(a)から(g)の手段を含む請求項1に記載の個人情報漏洩阻止システム、
(a)前記利用者端末機が、前記コンテンツを表示する為に副コンテンツが必要な場合に、前記副コンテンツを取得する副コンテンツ取得リクエストを、前記プロキシへ送信する手段、
(b)前記プロキシが、前記副コンテンツ取得リクエストを受信する手段、
(c)前記プロキシが、前記各コンテンツ・テンプレートから生成されるコンテンツの表示に必要な副コンテンツ取得リクエストの集合を前記コンテンツ毎に求め、前記各副コンテンツ取得リクエスト集合が同一の場合には、前記各副コンテンツ取得リクエスト集合に含まれる副コンテンツ取得リクエストを所定の順序で、前記サービス提供者サーバに送信する手段、
(d)前記プロキシが、前記各コンテンツ・テンプレートから生成されるコンテンツの表示に必要な副コンテンツ要求リクエストの集合を前記コンテンツ毎に求め、前記各副コンテンツ取得リクエスト集合が同一ではない場合には、全ての前記副コンテンツ取得リクエストを所定の順序で、前記サービス提供者サーバに送信する手段、
(e)前記サービス提供者サーバが、受信した全ての副コンテンツ取得リクエストに対応する副コンテンツを前記プロキシに送信する手段、
(f)前記プロキシが、受信した副コンテンツをメモリに格納し、前記格納した副コンテンツの中から、前記利用者端末機から要求のあった副コンテンツを前記利用者端末機に送信する手段、
(g)前記利用者端末機が、前記閲覧ソフトを使用して、前記副コンテンツを表示する手段。 - さらに、前記ネットワークが一つ以上のハイパーリンク先サーバを含み、前記利用者端末機が、前記閲覧ソフトを使用して前記コンテンツを表示した後に、さらに、以下の(a)から(g)の手段を含む請求項1又は2に記載の個人情報漏洩阻止システム、
(a)前記利用者端末機が、前記利用者からハイパーリンクをアクセスする操作を受けた場合に、前記ハイパーリンク先のコンテンツを取得するハイパーリンク先コンテンツ取得リクエストを、前記プロキシへ送信する手段、
(b)前記プロキシが、前記利用者端末機から前記ハイパーリンク先コンテンツ取得リクエストを受信する手段、
(c)前記プロキシが、前記各コンテンツ・テンプレートから生成されるコンテンツ毎に、前記コンテンツに含まれるハイパーリンクに対応するハイパーリンク先コンテンツ取得リクエストの集合を求め、前記各集合が同一の場合には、ハイパーリンク先コンテンツ取得リクエストを前記ハイパーリンク先サーバへ送信する手段、
(d)前記プロキシが、前記各コンテンツ・テンプレートから生成されるコンテンツ毎に、前記各コンテンツに含まれるハイパーリンクに対応するハイパーリンク先コンテンツ取得リクエストの集合を求め、前記各集合が同一ではない場合には、前記利用者端末機に所定の警告メッセージを送信する手段、
(e)ハイパーリンク先サーバが、前記ハイパーリンク先コンテンツ取得リクエストを受信し、対応するコンテンツを前記プロキシに送信する手段、
(f)前記プロキシが、受信した前記コンテンツを、前記利用者端末機に送信する手段、
(g)前記利用者端末機が、前記閲覧ソフトを使用して、受信した前記コンテンツ、又は、前記所定の警告メッセージを表示する手段。 - サービス提供者サーバ、プロキシ、ハイパーリンク先サーバ、及び、サービス利用者が使用する利用者端末が相互にネットワークによって接続されているシステムにおいて、以下の(a)から(i)の手段を有する個人情報漏洩阻止システム、
(a)前記利用者端末機が、前記サービス提供者サーバ上のコンテンツを取得するコンテンツ取得リクエストを前記プロキシへ送信する手段、
(b)前記プロキシが、前記コンテンツ取得リクエストを受信し、前記サービス提供者サーバに送信する手段、
(c)前記サービス提供者サーバが、前記コンテンツ取得リクエストに対応するコンテンツ・テンプレート及び前記個人情報に基づいて一のコンテンツ・テンプレートを選択し、前記コンテンツ・テンプレートから前記利用者の個人情報を反映したコンテンツを生成するための規則、並びに、前記コンテンツ・テンプレートに含まれるハイパーリンクによって参照されているコンテンツを送信する手段、
(d)前記プロキシが、前記コンテンツ・テンプレート、及び、前記規則、並びに、前記ハイパーリンクによって参照されているコンテンツを、キャッシュメモリに格納する手段、
(e)前記プロキシが、前記コンテンツ・テンプレートから生成されるコンテンツ、ならびに前記コンテンツからハイパーリンクによってリンクされている前記キャッシュメモリに格納されたコンテンツに含まれるハイパーリンクのうち、リンク先が前記キャッシュメモリに格納された任意のコンテンツ以外のハイパーリンクに対応するハイパーリンク先コンテンツ取得リクエストの集合を前記コンテンツ・テンプレート毎に求め、前記各集合が同一であるかを調べ、同一でない場合には前記利用者端末に所定の警告メッセージを送信する手段、
(f)前記プロキシが、前記利用者の個人情報を用いて、前記規則に基づき、一のコンテンツ・テンプレートを選択し、前記利用者の個人情報を反映したコンテンツを生成し、前記利用者端末機に送信する手段、
(g)前記利用者端末機が、前記コンテンツを受信・表示し、さらに、前記利用者からハイパーリンクへアクセスする操作を受けた場合に、前記ハイパーリンク先のコンテンツを取得するハイパーリンク先コンテンツ取得リクエストを前記プロキシへ送信する手段、
(h)前記プロキシが、前記ハイパーリンク先コンテンツ取得リクエストに対応するコンテンツを前記キャッシュメモリから検索し前記利用者端末機に送信する手段、
(i)前記利用者端末機が、閲覧ソフトを使用して、受信した前記コンテンツ、又は、前記所定の警告メッセージを表示する手段。 - 前記利用者端末機、及び、前記プロキシが物理的に一体化されている請求項1から4に記載の個人情報漏洩阻止システム。
- サービス提供者サーバ、プロキシ、及び、サービス利用者が使用する利用者端末機が相互にネットワークによって接続されているシステムにおいて、以下の(a)から(e)のステップを有する個人情報漏洩阻止方法、
(a)前記利用者端末機が、前記サービス提供者サーバ上のコンテンツを取得するコンテンツ取得リクエストを前記プロキシへ送信するステップ、
(b)前記プロキシが、前記コンテンツ取得リクエストを受信し、前記サービス提供者サーバに送信するステップ、
(c)前記サービス提供者サーバが、前記コンテンツ取得リクエストに対応する一つ以上のコンテンツ・テンプレート、及び、サービス利用者の個人情報を用いて一のコンテンツ・テンプレートを選択し、前記コンテンツ・テンプレートから前記利用者の個人情報を反映したコンテンツを生成するための規則を、前記プロキシに送信するステップ、
(d)前記プロキシが、前記利用者の個人情報を用いて、前記規則に基づき、一のコンテンツ・テンプレートを選択し、前記利用者の個人情報を反映したコンテンツを生成し、前記利用者端末機に送信するステップ、
(e)前記利用者端末機が、閲覧ソフトを使用して前記コンテンツを表示するステップ。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006021729 | 2006-01-31 | ||
JP2006021729 | 2006-01-31 | ||
JP2006032707 | 2006-02-09 | ||
JP2006032707 | 2006-02-09 | ||
PCT/JP2007/051257 WO2007088785A1 (ja) | 2006-01-31 | 2007-01-26 | 個人情報の漏洩阻止装置・方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JPWO2007088785A1 true JPWO2007088785A1 (ja) | 2009-06-25 |
Family
ID=38327362
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007556838A Ceased JPWO2007088785A1 (ja) | 2006-01-31 | 2007-01-26 | 個人情報の漏洩阻止装置・方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20110055914A1 (ja) |
EP (1) | EP1980973A1 (ja) |
JP (1) | JPWO2007088785A1 (ja) |
KR (1) | KR20080091288A (ja) |
WO (1) | WO2007088785A1 (ja) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007088785A1 (ja) * | 2006-01-31 | 2007-08-09 | Hewlett-Packard Development Company, L.P. | 個人情報の漏洩阻止装置・方法 |
JP5076955B2 (ja) * | 2008-02-20 | 2012-11-21 | 日本電気株式会社 | 通信システム、通信装置、通信方法 |
JP5182038B2 (ja) * | 2008-11-25 | 2013-04-10 | 富士通株式会社 | 通信システム、情報記録装置、提供装置及び通信方法 |
US8863003B2 (en) * | 2010-11-02 | 2014-10-14 | Sap Se | System and method for message grouping |
JP6149741B2 (ja) * | 2014-01-24 | 2017-06-21 | 富士ゼロックス株式会社 | 情報処理装置及びプログラム |
JP6204854B2 (ja) * | 2014-03-12 | 2017-09-27 | 株式会社Nttドコモ | 情報提供システム、情報提供方法、近距離通信デバイス、情報提供装置及びサーバ |
US10043038B2 (en) * | 2015-01-08 | 2018-08-07 | Jumpshot, Inc. | Identifying private information from data streams |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007088785A1 (ja) * | 2006-01-31 | 2007-08-09 | Hewlett-Packard Development Company, L.P. | 個人情報の漏洩阻止装置・方法 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5961593A (en) * | 1997-01-22 | 1999-10-05 | Lucent Technologies, Inc. | System and method for providing anonymous personalized browsing by a proxy system in a network |
JP2000123023A (ja) * | 1998-10-13 | 2000-04-28 | Hitachi Ltd | 個人別ページ生成方法及びその実施装置並びにその処理プログラムを記録した媒体 |
US6553393B1 (en) * | 1999-04-26 | 2003-04-22 | International Business Machines Coporation | Method for prefetching external resources to embedded objects in a markup language data stream |
US6742043B1 (en) * | 2000-01-14 | 2004-05-25 | Webtv Networks, Inc. | Reformatting with modular proxy server |
US7370015B2 (en) * | 2000-10-12 | 2008-05-06 | Sap Portals Israel Ltd. | User impersonation by a proxy server |
JP3827936B2 (ja) * | 2000-10-18 | 2006-09-27 | シャープ株式会社 | 情報提供制御装置、情報提供方法、情報提供プログラムを記録した記録媒体および情報提供システム |
JP2002140309A (ja) * | 2000-11-02 | 2002-05-17 | Hitachi Ltd | サービスシステム |
JP2002183092A (ja) | 2000-12-15 | 2002-06-28 | Hitachi Ltd | パーソナライズサービス提供システム |
US20050240490A1 (en) * | 2001-03-07 | 2005-10-27 | Mackey Danny J | Secure e-commerce and browsing methods, systems and tools |
US7020721B1 (en) * | 2001-04-02 | 2006-03-28 | Palmsource, Inc. | Extensible transcoder annotation for transcoding proxy servers |
JP2002312377A (ja) * | 2001-04-18 | 2002-10-25 | Nec Corp | 検索装置、検索用サーバ、検索システム、検索方法およびそのプログラム |
US20030004998A1 (en) * | 2001-06-29 | 2003-01-02 | Chutney Technologies, Inc. | Proxy-based acceleration of dynamically generated content |
US7428725B2 (en) * | 2001-11-20 | 2008-09-23 | Microsoft Corporation | Inserting devices specific content |
US7203720B2 (en) * | 2002-11-27 | 2007-04-10 | Bea Systems, Inc. | Web server hit multiplier and redirector |
JP4761702B2 (ja) * | 2003-10-10 | 2011-08-31 | 学校法人慶應義塾 | プライバシを考慮したパーソナライゼーションのためのシステム及び方法 |
US7483941B2 (en) * | 2004-01-13 | 2009-01-27 | International Business Machines Corporation | System and method for dynamically inserting prefetch tags by the web server |
-
2007
- 2007-01-26 WO PCT/JP2007/051257 patent/WO2007088785A1/ja active Application Filing
- 2007-01-26 EP EP07707489A patent/EP1980973A1/en not_active Withdrawn
- 2007-01-26 JP JP2007556838A patent/JPWO2007088785A1/ja not_active Ceased
- 2007-01-26 KR KR1020087021387A patent/KR20080091288A/ko not_active Application Discontinuation
- 2007-01-26 US US12/161,663 patent/US20110055914A1/en not_active Abandoned
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007088785A1 (ja) * | 2006-01-31 | 2007-08-09 | Hewlett-Packard Development Company, L.P. | 個人情報の漏洩阻止装置・方法 |
Also Published As
Publication number | Publication date |
---|---|
EP1980973A1 (en) | 2008-10-15 |
WO2007088785A1 (ja) | 2007-08-09 |
KR20080091288A (ko) | 2008-10-09 |
US20110055914A1 (en) | 2011-03-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8918713B2 (en) | Module specification for a module to be incorporated into a container document | |
US9183316B2 (en) | Providing action links to share web content | |
US20070220419A1 (en) | Systems and Methods of Providing Web Content to Multiple Browser Device Types | |
EP1641211A2 (en) | Web server and method for dynamic content. | |
US10943063B1 (en) | Apparatus and method to automate website user interface navigation | |
WO2007070404A2 (en) | Customized container document modules using preferences | |
WO2007070402A2 (en) | Proxy server collection of data for module incorporation into a container document | |
EP1963956A2 (en) | Remote module incorporation into a container document | |
JP2004530959A (ja) | コンテンツのモバイル装置への配信システム及び配信方法 | |
WO2007130547A2 (en) | Remote module syndication system and method | |
WO2008103326A1 (en) | Systems and methods for sharing data | |
US20140075287A1 (en) | Methods for facilitating web page image hotspots and devices thereof | |
JPWO2007088785A1 (ja) | 個人情報の漏洩阻止装置・方法 | |
KR20140111265A (ko) | 웹 페이지들을 제공하기 위한 방법 및 장치 | |
WO2011002989A1 (en) | System and method for enhancing digital content | |
US20080216023A1 (en) | Method and a system for creating a website guide | |
US20080033918A1 (en) | Systems, methods and computer program products for supplemental data communication and utilization | |
KR101537555B1 (ko) | 인스턴트 메신저 상의 메시지 바로 검색 지원 방법 | |
JP2005275488A (ja) | 入力支援方法およびプログラム | |
KR20120137629A (ko) | 브랜딩을 위한 단축 url 브라우징 제공시스템, 그 제공방법, 및 웹 클라이언트 | |
KR20090068917A (ko) | 유무선 위젯 서비스 시스템 및 그 방법 | |
JP2006113745A (ja) | インターネット広告システム | |
JP2000040115A (ja) | ファームバンキングサービス方法 | |
JP2013088877A (ja) | アクセス制御システム、アクセス制御方法及びコンピュータプログラム | |
US20020095458A1 (en) | Method, system and computer program for enhanced access to content over a network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20091027 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111221 |
|
A045 | Written measure of dismissal of application [lapsed due to lack of payment] |
Free format text: JAPANESE INTERMEDIATE CODE: A045 Effective date: 20120420 |