JPWO2008096783A1 - 個人情報の改ざん防止と個人情報流通否認防止のための個人情報管理装置 - Google Patents

個人情報の改ざん防止と個人情報流通否認防止のための個人情報管理装置 Download PDF

Info

Publication number
JPWO2008096783A1
JPWO2008096783A1 JP2008557139A JP2008557139A JPWO2008096783A1 JP WO2008096783 A1 JPWO2008096783 A1 JP WO2008096783A1 JP 2008557139 A JP2008557139 A JP 2008557139A JP 2008557139 A JP2008557139 A JP 2008557139A JP WO2008096783 A1 JPWO2008096783 A1 JP WO2008096783A1
Authority
JP
Japan
Prior art keywords
personal information
service providing
management device
decryption key
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008557139A
Other languages
English (en)
Other versions
JP5403481B2 (ja
Inventor
誠 畠山
誠 畠山
秀仁 五味
秀仁 五味
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2008557139A priority Critical patent/JP5403481B2/ja
Publication of JPWO2008096783A1 publication Critical patent/JPWO2008096783A1/ja
Application granted granted Critical
Publication of JP5403481B2 publication Critical patent/JP5403481B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/68Special signature format, e.g. XML format
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

課題 信頼できる第三者が存在しない状況では、個人情報の流通に関して送受信する情報の改ざんの防止や、否認の防止をできない。解決手段 個人情報管理装置が、個人情報と1対1に対応する個人情報登録証明書を発行し、発行した個人情報登録証明書をユーザ端末を介してサービス提供装置に送付する。個人情報を送受信するときには、個人情報登録証明書と個人情報の関係をユーザ端末とサービス提供装置が確認することで、ユーザ端末と個人情報受信装置は、個人情報が改ざんされたか否かを確認できる。また、個人情報を送受信する際には、必ず個人情報を暗号化し、暗号化個人情報の送受信が終わった後で、復号鍵の送受信を行うようにする。個人情報管理装置とサービス提供装置間において、復号鍵の送受信を、個人情報の受信確認メッセージとして利用することにより、個人情報送受信の否認を防止することができる。

Description

本発明は、個人情報管理装置、サービス提供装置、プログラム、個人情報管理方法、照合方法、および個人情報照合システムに関し、特に、信頼できる第三者がいない場合でも、個人情報の改ざんを防止し、個人情報の送受信の否認を防止できる個人情報管理装置、サービス提供装置、プログラム、個人情報管理方法、照合方法、および個人情報照合システムに関する。
関連技術の情報流通保証システムの一例が、特許文献1(特開2002−183491号公報)に記載されている。図27に示すように、この特許文献1に記載の情報流通保証システムは、ユーザ端末、電子文書仲介装置と、サービス提供者装置とから構成されている。電子文書仲介装置は、暗号/復号部と、認証部と、通信内容保管DBと、アクセス記録DBから構成されており、サービス提供者装置は、暗号/復号部と認証部から構成される。
このような構成を有する情報流通保証システムはつぎのように動作する。
すなわち、電子文書仲介装置を介してユーザ端末とサービス提供者を暗号化された通信路で繋ぎ、サービス提供者がユーザ端末に電子文書を送付する際には、必ず電子文書仲介装置が中継する。電子文書仲介装置は、サービス提供者から受け取った電子文書をユーザ端末に転送するのではなく、一度通信内容保管DBに保管し、ユーザ端末に電子文書受信通知を送付する。ユーザ端末は、電子文書受信通知を受け取った後で、電子文書にアクセスする。そのときに、電子文書仲介装置は、アクセス記録DBにユーザがアクセスしたことを記録する。電子文書仲介装置は、通信内容保管DBに保管されている通信内容と、ユーザ端末とサービス提供者が管理している情報を照合することで、ユーザ端末とサービス提供者のどちらが情報を改ざんしたか判断することができる。また、電子文書仲介装置は、ユーザアクセスをアクセス記録DBに登録することで、ユーザが情報を取得したことを否認することを防ぐ。
特開2002−183491号公報 日本電子公証機構:http://www.jnotary.com/service_new/service_new.html ベリサイン:http://www.verisign.co.jp/mpki/benefits/option/notarization.html XML暗号:W3C Recommendation,"XML Encryption Syntax and Processing", 10 December 2002 http://www.w3.org/TR/xmlenc-core/ XML署名:W3C Recommendation,"XML-Signature Syntax and Processing", 12 February 2002 http://www.w3.org/TR/xmldsig-core/
しかしながら、上述した情報流通保証システムは、以下に示す問題点を有する。
第1の問題点は、個人情報を流通させる際に第三者が個人情報の流通を監視していない状況では、サービス提供装置が個人情報の受信を否認することを防止できないということである。
その理由は、サービス提供装置が個人情報を受信したことを確認するための手段を個人情報管理装置が持たないためである。特許文献1にあるような第三者が個人情報の流通を監視している状況では、第三者はサービス提供装置と個人情報管理装置を特定しているため、否認を防止することができる。しかし、第三者が存在すると個人情報の流通を全て監視できるが、第三者に個人情報の送受信の情報を渡すため、多くの通信が発生して通信負荷が高くなる。また、第三者の流通監視サービスを利用すると、サービス利用のためのコストが発生してしまう。そこで、負荷やコストを削減するために、個人情報を送受信する装置が流通を監視することが求められる。
しかし、個人情報管理装置とサービス提供装置しか存在しない場合には、サービス提供装置が個人情報を受信したことを個人情報管理装置は確認できない。サービス提供装置が個人情報を受信したことを個人情報管理装置に伝える確認メッセージの送受信があれば、個人情報管理装置はサービス提供装置が受信したことを確認できる。しかし、このような確認メッセージをサービス提供装置が送信しない場合でもサービス提供装置は個人情報を取得し、利用できる。そのため、サービス提供装置が個人情報の送受信を否認した場合、個人情報管理装置はこれを防ぐことができない。
ここで、個人情報の流通を監視する第三者として、例えば、電子公証サービスを提供する日本電子公証機構(http://www.jnotary.com/service_new/service_new.html、非特許文献1)や、ベリサイン(http://www.verisign.co.jp/mpki/benefits/option/notarization.html、非特許文献2)等がある。これら電子公証サービスを提供する第三者が、電子公証サービス利用者から個人情報等を受け取り、その個人情報等の内容を保証する証明書を発行することによって、当該利用者や当該利用者にコンテンツ等を提供するプロバイダ等が、この証明書によって個人情報等が正しいことを確認する。
第2の問題点は、個人情報を流通させるときに第三者が個人情報の流通を監視していない状況では、流通させる個人情報が改ざんされていないことを個人情報管理装置とサービス提供装置は確認できないということである。
その理由は、個人情報管理装置とサービス提供装置は自身が送受信するメッセージのみを確認しても、通信相手が不正に情報を改ざんしていないことを確認できないためである。特許文献1に挙げた電子文書仲介装置のような第三者が個人情報の流通を全て監視している状況ならば、どちらが個人情報を不正に改ざんしているか判断できる。
しかし、第三者が存在しない場合には、個人情報管理装置とサービス提供装置はそれぞれが送受信したメッセージを確認し、改ざんしていないことを確認することになる。この状況では、サービス提供装置が個人情報管理装置からユーザの個人情報を取得したときに、ユーザが登録した個人情報と、個人情報管理装置が送付した個人情報が同じであるか判断することができない。サービス提供装置は、個人情報を所持していないため、改ざんを確認するための情報が無いからである。もし、個人情報管理装置が個人情報を改ざんしても、サービス提供装置は確認するための情報がないため、個人情報が改ざんされたことを検出することができない。
第3の問題点は、個人情報を管理するために高い管理コストが発生するということ、また、当該管理コストが発生することを防ぐためにすでに個人情報の送受信が終了した後で再び同じ情報を取得するときに、個人情報の送受信に多くの通信が発生するということである。
その理由は、一度正常に個人情報の送受信が終了しても、正常に終了したという状態を個人情報管理装置とサービス提供装置とで共有しないためである。例えば、図28にあげるように、個人情報を個人情報管理装置において一箇所で集中的に管理し、サービス提供装置が自身で個人情報を管理しない場合には、サービス提供装置は、個人情報を利用するたびに個人情報管理装置に対して個人情報を要求する。この例では、サービス提供装置は自身で個人情報を保有、管理していない。個人情報を管理するためには、情報漏洩対策をしたり、個人情報保護法に対応するといった、個人情報を管理するための特別な処理が必要になり、そのための管理コストが発生する。そこで、これらのコストを無くすために、サービス提供装置は、一度情報取得した個人情報をそのまま保持するのではなく、同じ個人情報を何度も個人情報管理装置に要求する。
これらの装置は、同じ通信を何度も繰り返すことになるため、簡略化した通信が必要になるが、サービス提供装置は、個人情報を要求する際に、すでに個人情報の送受信が正常に終了していることを確認していない。そのため、個人情報を再度送受信する際に、情報改ざんが行われていないことや、改ざん防止されていないことを確認するための処理を再度行うことになり、個人情報の流通に関する確認のために同じ通信が何度も発生する。
第4の問題点は、個人情報を流通させるときに第三者が個人情報の流通を監視していない状況では、個人情報の流通が正しく行われていることを任意のタイミングで確認できないということである。
その理由は、通信相手が送受信したメッセージを確認して、個人情報が改ざんされていたり、送受信が否認されることなく正しく流通されたことを確認できないためである。第三者が個人情報の流通を監視している状況では、全ての情報を第三者が保持しているため、その情報を参照すれば情報流通が正しく行われたことをいつでも確認できる。また、個人情報を送受信するときには、自身が何の情報を送受信したかを確認できる。しかし、個人情報の送受信が終了すると、自身の通信ログのみが残る。自身のログだけでは、第1の問題点と同様に、通信相手が処理した内容を確認できないため、情報の送受信が正しく行われていたことを示す通信相手の情報が無い。そのため、相手が送付した情報を確認できない。
(発明の目的)
本発明の目的は、公正な第三者が個人情報の送受信に関する公証を行っていない状況において、個人情報管理装置が送信した情報をサービス提供装置が受信する際に、サービス提供装置が個人情報を受信したことを否認できないようにする個人情報照合システムを提供することにある。
本発明の他の目的は、公正な第三者が個人情報流通に関する公証を行っていない状況でも、個人情報管理装置とサービス提供装置が個人情報を送受信するときに、送受信する個人情報が改ざんされた場合にその改ざんを検出することを可能にする個人情報照合システムを提供することにある。
本発明のさらに他の目的は、同じ個人情報を何度も送受信される状況で、個人情報管理装置とサービス提供装置が、個人情報の改ざんがないことと送受信の事実が否認されないことを確認する処理を簡略化できる個人情報照合システムを提供することにある。
本発明のさらに他の目的は、個人情報管理装置とサービス提供装置が、個人情報が改ざんされずに送受信され、また、個人情報の送受信に関する否認が無いことを任意のタイミングで確認できる個人情報照合システムを提供することにある。
本発明による個人情報管理装置は、通信回線を介してサービス提供装置が提供するサービスを利用する利用者の利用者装置から取得した個人情報を登録する手段と、登録した個人情報を含む不可逆なメッセージ情報を生成する手段と、メッセージ情報を暗号化する手段と、暗号化したメッセージ情報を復号するための復号鍵を生成する手段と、サービス提供装置からの個人情報の要求に応じて、暗号化したメッセージ情報をサービス提供装置に送付する手段と、サービス提供装置から受信したメッセージ情報の復号鍵の要求に応じて、当該復号鍵をサービス提供装置に送付する手段とを含む。
本発明によるサービス提供装置は、通信回線を介して利用者に対してサービスを提供するサービス提供装置において、利用者の個人情報を管理する個人情報管理装置に対して利用者の個人情報の要求を送付する手段と、個人情報管理装置で生成され、かつ暗号化された個人情報を含む不可逆なメッセージ情報を個人情報管理装置から取得する手段と、取得した暗号化された個人情報を復号するための復号鍵の要求を個人情報管理装置に送付する手段と、個人情報管理装置から受信した復号鍵に基づいて、暗号化されたメッセージ情報を復号することにより、サービスを利用する利用者の照合のための個人情報を取得する手段とを含む。
本発明による第1のプログラムは、コンピュータで実現される、個人情報の管理を行う個人情報管理装置上で実行されるプログラムであって、コンピュータに、通信回線を介してサービス提供装置が提供するサービスを利用する利用者の利用者装置から取得した個人情報を登録する処理と、登録した個人情報を含む不可逆なメッセージ情報を生成する処理と、メッセージ情報を暗号化する処理と、暗号化したメッセージ情報を復号するための復号鍵を生成する処理と、サービス提供装置からの個人情報の要求に応じて、暗号化したメッセージ情報をサービス提供装置に送付する処理と、サービス提供装置から受信したメッセージ情報の復号鍵の要求に応じて、当該復号鍵をサービス提供装置に送付する処理とを実行させる。
本発明による第2のプログラムは、コンピュータで実現される、通信回線を介して利用者に対してサービスを提供するサービス提供装置上で実行されるプログラムであって、コンピュータに、利用者の個人情報を管理する個人情報管理装置に対して利用者の個人情報の要求を送付する処理と、個人情報管理装置で生成され、かつ暗号化された個人情報を含む不可逆なメッセージ情報を個人情報管理装置から取得する処理と、取得した暗号化された個人情報を復号するための復号鍵の要求を個人情報管理装置に送付する処理と、個人情報管理装置から受信した復号鍵に基づいて、暗号化されたメッセージ情報を復号することにより、サービスを利用する利用者の照合のための個人情報を取得する処理とを実行させる。
本発明による個人情報管理方法は、個人情報管理装置上で個人情報の管理を行う個人情報管理方法であって、通信回線を介してサービス提供装置が提供するサービスを利用する利用者の利用者装置から取得した個人情報を登録するステップと、登録した個人情報を含む不可逆なメッセージ情報を生成するステップと、メッセージ情報を暗号化するステップと、暗号化したメッセージ情報を復号するための復号鍵を生成するステップと、サービス提供装置からの個人情報の要求に応じて、暗号化したメッセージ情報をサービス提供装置に送付するステップと、サービス提供装置から受信したメッセージ情報の復号鍵の要求に応じて、当該復号鍵をサービス提供装置に送付するステップとを含む。
本発明による第1の照合方法は、通信回線を介して利用者に対してサービスを提供するサービス提供装置上で実行する利用者の個人情報の照合方法であって、利用者の個人情報を管理する個人情報管理装置に対して利用者の個人情報の要求を送付するステップと、個人情報管理装置で生成され、かつ暗号化された個人情報を含む不可逆なメッセージ情報を個人情報管理装置から取得するステップと、取得した暗号化された個人情報を復号するための復号鍵の要求を個人情報管理装置に送付するステップと、個人情報管理装置から受信した復号鍵に基づいて、暗号化されたメッセージ情報を復号することにより、サービスを利用する利用者の照合のための個人情報を取得するステップとを含む。
本発明による第2の照合方法は、個人情報の管理を行う個人情報管理装置において、通信回線を介してサービス提供装置が提供するサービスを利用する利用者の利用者装置から取得した個人情報を登録するステップと、登録した個人情報を含む不可逆なメッセージ情報を生成するステップと、メッセージ情報を暗号化するステップと、暗号化したメッセージ情報を復号するための復号鍵を生成するステップと、サービス提供装置からの個人情報の要求に応じて、暗号化したメッセージ情報をサービス提供装置に送付するステップと、サービス提供装置から受信したメッセージ情報の復号鍵の要求に応じて、当該復号鍵をサービス提供装置に送付するステップとを含み、通信回線を介して利用者に対してサービスを提供するサービス提供装置において、利用者の個人情報を管理する個人情報管理装置に対して利用者の個人情報の要求を送付するステップと、個人情報管理装置で生成され、かつ暗号化された個人情報を含む不可逆なメッセージ情報を個人情報管理装置から取得するステップと、取得した暗号化された個人情報を復号するための復号鍵の要求を個人情報管理装置に送付するステップと、個人情報管理装置から受信した復号鍵に基づいて、暗号化されたメッセージ情報を復号することにより、サービスを利用する利用者の照合のための個人情報を取得するステップとを含む。
本発明による個人情報照合システムは、個人情報の管理を行う個人情報管理装置において、通信回線を介してサービス提供装置が提供するサービスを利用する利用者の利用者装置から取得した個人情報を登録する手段と、登録した個人情報を含む不可逆なメッセージ情報を生成する手段と、メッセージ情報を暗号化する手段と、暗号化したメッセージ情報を復号するための復号鍵を生成する手段と、サービス提供装置からの個人情報の要求に応じて、暗号化したメッセージ情報をサービス提供装置に送付する手段と、
サービス提供装置から受信したメッセージ情報の復号鍵の要求に応じて、当該復号鍵をサービス提供装置に送付する手段とを含み、通信回線を介して利用者に対してサービスを提供するサービス提供装置において、利用者の個人情報を管理する個人情報管理装置に対して利用者の個人情報の要求を送付する手段と、個人情報管理装置で生成され、かつ暗号化された個人情報を含む不可逆なメッセージ情報を個人情報管理装置から取得する手段と、取得した暗号化された個人情報を復号するための復号鍵の要求を個人情報管理装置に送付する手段と、個人情報管理装置から受信した復号鍵に基づいて、暗号化されたメッセージ情報を復号することにより、サービスを利用する利用者の照合のための個人情報を取得する手段とを含む。
本発明によれば、以下に示す効果を達成することができる。
第1の効果は、サービス提供装置が個人情報の受信を否認することを、個人情報管理装置が通信負荷を抑えて低コストで防止できることである。
第2の効果は、個人情報管理装置がユーザ端末から取得した個人情報を改ざんしているか否かをサービス提供装置が低コストで検証できることである。
第3の効果は、個人情報管理装置とサービス提供装置がすでに個人情報を送受信していた場合に、個人情報の送受信の処理を簡略化できることである。
第4の効果は、個人情報管理装置とサービス提供装置は、個人情報が改ざんされずに送受信されたこと、また、否認されずに送受信されたことを任意のタイミングに低コストで確認できることである。
第5の効果は、適切な個人情報のみを送受信していることを主張できることである。
第6の効果は、個人情報を利用したサービスを低コストで容易に提供できることである。
本発明の第1の実施の形態の構成の概略を示す図である。 第1の実施の形態の構成を示すブロック図である。 第1の実施の形態の個人情報保管手段において記録される個人情報の例を示す図である。 第1の実施の形態の復号鍵保管手段において登録される情報(テーブル)の例を示す図である。 第1の実施の形態による個人情報管理装置及びサービス提供装置のハードウェア構成例を示すブロック図である。 第1の実施の形態の動作を示す概略図である。 第1の実施の形態の動作を示すフローチャートである。 本発明の第2の実施の形態の構成の概略を示す図である。 第2の実施の形態の構成を示すプロック図である。 第2の実施の形態の個人情報登録証明書発行手段において発行され、個人情報登録証明書保管手段において保管される個人情報登録証明書の例を示す図である。 第2の実施の形態の動作において、個人情報登録に関する動作を示す概略図である。 第2の実施の形態の動作において、個人情報登録に関する動作を示すフローチャートである。 第2の実施の形態の動作において、個人情報の送受信に関する動作を示す概略図である。 第2の実施の形態の動作において、個人情報の送受信に関する動作を示すフローチャートである。 本発明の第3の実施の形態の構成を示すブロック図である。 第3の実施の形態の動作を示す概略図である。 第3の実施の形態の動作を示すフローチャートである。 本発明の第4の実施の形態の構成を示すブロック図である。 第4の実施の形態の通信記録保管手段において保管される通信履歴の例を示す図である。 第4の実施の形態の動作において、個人情報管理装置の動作を示すフローチャートである。 第4の実施の形態の動作において、サービス提供装置の動作を示すフローチャートである。 本発明の第5の実施の形態の構成を示すブロック図である。 本発明の実施例1を示す図である。 実施例1の構成を示すブロック図である。 実施例2の構成を示すブロック図である。 実施例2の構成を示すブロック図である。 特許文献1に記載の情報の改ざんや否認を防止する電子文書配信システムを示すブロック図である。 本発明が想定する個人情報を送受信する状況を示す図である。
(第1の実施の形態)
次に、本発明の第1の実施の形態について図面を参照して詳細に説明する。
(第1の実施の形態の構成)
図1は本実施の形態の構成の概略を示す図、図2は本実施の形態の構成を示すブロック図であり、図1を参照すると、本実施の形態は、ネットワーク2000を介して個人情報管理装置1及びサービス提供装置2が接続されている。
図2を参照すると、本実施の形態は、個人情報管理装置1とサービス提供装置2とネットワーク2000とから構成されている。
個人情報管理装置1は、個人情報保管手段11と、個人情報要求確認手段12と、送信情報生成部13と、通信手段14とを含む。さらに、送信情報生成部13は、送信メッセージ生成手段131と個人情報暗号化手段132と復号鍵保管手段133と復号鍵送付手段134とを含む。
一方、サービス提供装置2は、個人情報要求部21と、個人情報確認部22と、通信手段23とを含む。さらに、個人情報要求部21は要求メッセージ生成手段211と応答確認手段212とを含み、個人情報確認部22は復号鍵要求手段221と個人情報復号手段222とを含む。
これらの手段はそれぞれ概略つぎのように動作する。
個人情報保管手段11は、個人情報管理装置1が保持する個人情報を記録する。
ここで、個人情報保管手段11において記録される個人情報の例を図3に示す。
図3を参照すると、この個人情報は、記録する各個人情報を識別するユーザID毎に、ユーザの氏名、住所、電話番号、メールアドレスを対応付けて記録される。また、個人情報は、ユーザの購入履歴等のマーケティング情報等を含んでいてもよい。
個人情報要求確認手段12は、他の装置が個人情報管理装置1に送付した要求メッセージを解析する処理を行う。すなわち、個人情報要求確認手段12は、送付された要求が、個人情報の要求であるか、暗号化された個人情報を復号するための復号鍵の要求であるかを解析する。
送信メッセージ生成手段131は、個人情報保管手段11から個人情報を取得し、取得した個人情報に基づいて、他の装置に送付する応答メッセージ(個人情報応答メッセージ)を生成する。
個人情報暗号化手段132は、送付する個人情報の暗号鍵、復号鍵を生成し、個人情報を暗号化する。ここでは、通信手段14が通信路を暗号化(例えばSSLなどを利用した暗号化)しているか否かにかかわらず必ず個人情報を暗号化する。生成した鍵は、復号鍵保管手段133に保管する。さらに、暗号化した情報に個人情報管理装置1自身の署名をつける。この処理によって、サービス提供装置2が個人情報を不正に改ざんした場合に、個人情報管理装置1はその改ざんに関与していないことを証明できる。なぜならば、情報を改ざんすると、個人情報管理装置1が付与した署名の検証に失敗するので、個人情報管理装置1とは別の装置が改ざんしていることを証明できからである。
復号鍵保管手段133は、復号鍵とそれに関連する情報を登録しておく。関連する情報とは、例えば、暗号鍵や暗号化した個人情報に関するユーザ名、個人情報の送信先である受信装置名である。すなわち、復号鍵保管手段133は、個人情報の主体であるユーザごとに復号鍵を管理する。
ここで、復号鍵保管手段133において登録される情報(テーブル)の例を図4に示す。
図4を参照すると、当該情報(テーブル)は、取得したユーザの個人情報の各属性(氏名・住所・電話番号・メールアドレス等)毎に、取得した個人情報の各属性を識別するユーザIDと、取得日時と、暗号化したそれらの情報を復号する復号鍵とを対応付けて登録される。なお、当該情報(テーブル)の例において、復号鍵の形式として、XML暗号(W3C Recommendation, "XML Encryption Syntax and Processing", 10
December 2002 http://www.w3.org/TR/xmlenc-core/、非特許文献3)及びXML署名(W3C Recommendation, "XML-Signature Syntax and Processing", 12
February 2002 http://www.w3.org/TR/xmldsig-core/、非特許文献4)で定義された形式を用いているが、勿論、他の形式を用いてもよく、用いる形式として特に制限はない。
復号鍵送付手段134は、個人情報管理装置1が個人情報を暗号化して送った装置が、復号鍵を要求してきた場合に、復号鍵保管手段133に保管してある復号鍵を送信する。すなわち、復号鍵送付手段134は、メッセージID等を比較することによって、復号鍵要求メッセージと、個人情報応答メッセージとの対応関係を調べる。
通信手段14は、個人情報暗号化手段132が生成した情報や、復号鍵送付手段134による情報を他の装置に送信したり、他の装置が個人情報管理装置1向けに送付したメッセージを受信したりする。
要求メッセージ生成手段211は、必要な個人情報を他の装置に要求するために要求メッセージ(個人情報要求メッセージ)を生成する。
応答確認手段212は、応答メッセージを確認する。確認する内容は、例えば、通信手段23が受信した個人情報要求に対する応答メッセージ(個人情報応答メッセージ)に個人情報管理装置1の署名がついているか否か、その署名は正しいか否か、ということである。個人情報管理装置1の署名が正しくついていることを確認することによって、サービス提供装置2は、個人情報管理装置1が個人情報の送信について否認することを防ぐことができる。
復号鍵要求手段221は、暗号化された個人情報を受信した場合に、暗号を解くための復号鍵を要求するメッセージ(復号鍵要求メッセージ)を生成する。すなわち、復号鍵要求手段221は、暗号化された特定の個人情報を復号するために、当該暗号化された特定の個人情報に対応する特定の復号鍵を要求する。
個人情報復号手段222は、通信手段23が受信した暗号化された個人情報を、復号鍵を用いて復号し、個人情報を取得する。
通信手段23は、個人情報要求メッセージや復号鍵要求メッセージ等を送信する。また、暗号化された個人情報や復号鍵を受信する。
ここで、個人情報管理装置1及びサービス提供装置2のハードウェア構成例の説明をする。
図5は、本実施の形態による個人情報管理装置1及びサービス提供装置2のハードウェア構成例を示すブロック図である。
図5を参照すると、本発明による個人情報管理装置1及びサービス提供装置2は、一般的なコンピュータ装置と同様のハードウェア構成によって実現することができ、CPU(Central Processing Unit)1001、RAM(Random Access Memory)等のメインメモリであり、データの作業領域やデータの一時退避領域に用いられる主記憶部1002、ネットワーク2000を介してデータの送受信を行う通信制御部1003、液晶ディスプレイ、プリンタやスピーカ等の提示部1004、キーボードやマウス等の入力部1005、周辺機器と接続してデータの送受信を行うインタフェース部1006、ROM(Read Only Memory)、磁気ディスク、半導体メモリ等の不揮発性メモリから構成されるハードディスク装置である補助記憶部1007、本情報処理装置の上記各構成要素を相互に接続するシステムバス1008等を備えている。
本発明による個人情報管理装置1及びサービス提供装置2は、その動作を、個人情報管理装置1及びサービス提供装置2内部にそのような機能を実現するプログラムを組み込んだ、LSI(Large Scale Integration)等のハードウェア部品からなる回路部品を実装してハードウェア的に実現することは勿論として、上記した各構成要素の各機能を提供するプログラムを、コンピュータ処理装置上のCPU1001で実行することにより、ソフトウェア的に実現することができる。
すなわち、CPU1001は、補助記憶部1007に格納されているプログラムを、主記憶部1002にロードして実行し、個人情報管理装置1又はサービス提供装置2の動作を制御することにより、上述した各機能をソフトウェア的に実現する。
なお、後述する個人情報管理装置4、6、8、サービス提供装置5、7、9が上述のような構成を有し、上述した各機能をハードウェア的又はソフトウェア的に実現してもよい。
(第1の実施の形態の動作)
次に、図2〜図7を参照して本実施の形態の全体の動作について詳細に説明する。
前提として、ユーザは個人情報を個人情報保管手段11に登録しているものとする。この状況で、サービス提供装置2が個人情報管理装置1に個人情報を要求して、個人情報を取得する。
まず、図6を用い、サービス提供装置2が個人情報管理装置1に個人情報を要求して個人情報を取得する動作の概略を説明する。
(1)サービス提供装置2が、サービス提供装置2の電子署名付きの個人情報要求メッセージを個人情報管理装置1に対して送信する。
(2)個人情報管理装置1が、電子署名を認証すると、要求された個人情報を暗号化する。
(3)個人情報管理装置1が、暗号化された個人情報に電子署名をつけてサービス提供装置2に対して送信する。
(4)サービス提供装置2が、暗号化された個人情報を受信し、電子署名を認証すると、サービス提供装置2の電子署名付きの復号鍵要求メッセージを個人情報管理装置1に対して送信する。
(5)個人情報管理装置1が、電子署名を認証すると、復号鍵をサービス提供装置2に対して送信する。
(6)サービス提供装置2が、暗号化された個人情報を復号して個人情報を取得する。
次いで、図2及び図7のフローチャートを用い、サービス提供装置2が個人情報管理装置1に個人情報を要求して個人情報を取得する動作を詳細に説明する。
まず、要求メッセージ生成手段211が個人情報要求メッセージを生成する(ステップS1)。この処理は、例えば、個人情報を利用する装置が、個人情報を取得する際に、要求メッセージ生成手段211に個人情報要求を伝えることによって開始される。
この処理によって生成する個人情報要求メッセージには、サービス提供装置2の電子署名をつける。この電子署名によって、サービス提供装置2は、個人情報を要求したことを否認することができなくなる。
次に、サービス提供装置2の通信手段23が、個人情報管理装置1の通信手段14に個人情報要求メッセージを送付する(ステップS2)。
個人情報管理装置1が個人情報要求メッセージを受信すると、個人情報要求確認手段12が要求メッセージを確認する(ステップS3)。ここで、確認処理には、例えば、個人情報管理装置1で管理している個人情報であるか否かの確認、メッセージに付加されている電子署名の検証といった処理が含まれる。
確認処理が終了すると、送信メッセージ生成手段131が、個人情報保管手段11から個人情報を取得し、取得した個人情報に基づいて応答メッセージを生成する(ステップS4)。
次に、個人情報暗号化手段132が前記応答メッセージを暗号化し、電子署名をつける(ステップS5)。このときに、暗号鍵と復号鍵を生成して、復号鍵を復号鍵保管手段133に登録しておく。電子署名をつけることで、サービス提供装置2での個人情報の改ざんを防止し、個人情報管理装置1は、個人情報を送付したことを否認することができなくなる。
次に、個人情報管理装置1の通信手段14が、サービス提供装置2の通信手段23に前記応答メッセージを送付する(ステップS6)。
サービス提供装置2が応答メッセージを受け取ると、応答確認手段212が応答メッセージを確認する(ステップS7)。この確認作業は、例えば、応答メッセージの電子署名の検証である。
次に、復号鍵要求手段221が、ステップS6で取得した情報を復号するための復号鍵を要求するメッセージを生成する(ステップS8)。
次に、サービス提供装置2の通信装置23が、個人情報管理装置1の通信手段14に復号鍵要求メッセージを送付する(ステップS9)。このメッセージには、サービス提供装置2の電子署名をつける。個人情報管理装置1とサービス提供装置2間における復号鍵要求メッセージの送受信によってackに相当する処理を行うことで、ackと同等の効果が生まれ、ackが不要になるので(復号鍵の要求を個人情報取得の確認メッセージとみなすことができるので)、署名つき復号鍵要求メッセージを受け取った個人情報管理装置1は、個人情報要求装置2が暗号化済み個人情報をすでに取得していることを否認することを防止できる。
個人情報管理装置1が復号鍵要求メッセージを受信すると、復号鍵送付手段134が復号鍵保管手段133を検索して復号鍵を取得する(ステップS10)。
次に、個人情報管理装置1の通信手段14が、サービス提供装置2の通信手段23に復号鍵を送付する(ステップS11)。
サービス提供装置2が復号鍵を取得すると、個人情報復号手段222が、すでに取得していた暗号化済み個人情報を復号する(ステップS12)。
以上の動作によって、個人情報管理装置1は、サービス提供装置2から個人情報の受信確認のメッセージを取得できるので、個人情報の送受信の否認を防止できる。
(第1の実施の形態の効果)
次に、本実施の形態の効果について説明する。本実施の形態によれば、以下の効果を達成する。
第1に、サービス提供装置2は個人情報を自身で管理するのではなく必要に応じて個人情報を個人情報管理装置1より取得する、というように構成されているため、サービス提供装置2は個人情報を管理する必要がなくなり、個人情報を管理するコストを削減できる。
第2に、サービス提供装置2が、サービス提供装置2の電子署名付きの個人情報要求メッセージを個人情報管理装置1に対して送信するため、この電子署名によって、サービス提供装置2が個人情報を要求したことを否認することを個人情報管理装置1が防止できる。
第3に、個人情報管理装置1が、暗号化された個人情報に電子署名をつけてサービス提供装置2に対して送信するため、この電子署名によって、サービス提供装置2での個人情報の改ざんを防止でき、また、個人情報管理装置1は、個人情報を送付したことを否認することができなくなる。
第4に、暗号化されている応答メッセージに対する復号鍵要求メッセージの送受信によってackに相当する処理を行うことで、ackと同等の効果が生まれるため、署名つき復号鍵要求メッセージを受け取った個人情報管理装置1は、ackによる処理を行うことなく、また、個人情報の流通を監視する第三者を必要とすることなく、個人情報要求装置2が暗号化済み個人情報をすでに取得していることを否認することを防止できる。すなわち、暗号化されている応答メッセージを受信したサービス提供装置2が必ず個人情報管理装置1へ個人情報の受信確認のメッセージ(復号鍵要求メッセージ)を送付するため、サービス提供装置2が個人情報の受信を否認することを、個人情報管理装置1は、個人情報の流通を監視する第三者を必要とすることなく通信負荷を抑えて低コストで防止できる。
(第2の実施の形態)
次に、本発明の第2の実施の形態について図面を参照して詳細に説明する。
(第2の実施の形態の構成)
図8は本実施の形態の構成の概略を示す図、図9は本実施の形態の構成を示すブロック図であり、図8を参照すると、本実施の形態は、ネットワーク2000を介してユーザ端末3、個人情報管理装置4及びサービス提供装置5が接続されている。
図9を参照すると、本発明の第2の実施の形態は、ユーザ端末3と個人情報管理装置4とサービス提供装置5とネットワーク2000とから構成される。
個人情報管理装置4は、図2に示した第1の実施の形態における個人情報管理装置1の構成要素に加え、個人情報登録部41と、個人情報登録証明書保管手段42と、個人情報登録証明書確認手段43とを有する。
また、サービス提供装置5は、図2に示した第1の実施の形態におけるサービス提供装置2の構成に加え、個人情報登録証明書取得手段51と、個人情報登録証明書保管手段52と、個人情報検証手段53とを有する。個人情報登録部41は、個人情報受付手段411と、個人情報登録証明書発行手段412とを含む。
これらの手段はそれぞれ次のように動作する。
個人情報受付手段411は、ユーザ端末3が登録要求した個人情報を個人情報保管手段15に格納する。
個人情報登録証明書発行手段412は、個人情報に対応した個人情報登録証明書を発行する。この個人情報登録証明書は、他の装置が個人情報管理装置4に対して個人情報を要求するときに必要となる情報である。もし、この個人情報登録証明書を他の装置が提示しない場合には個人情報管理装置4は個人情報を送信しない。個人情報登録証明書には、個人情報に関連する情報と、個人情報と個人情報登録証明書を1対1に結びつける情報が含まれている。例えば、個人情報登録証明書には、個人情報の種類、個人情報を登録したユーザ、登録時刻、個人情報等から生成した一方向性ハッシュ値、個人情報処理装置4の電子署名を含める。
ここで、個人情報登録証明書は、ユーザによって登録された個人情報を個人情報管理装置4が改ざんせずに管理していることを他の装置に主張するためのデータである。この証明書は、ユーザ名、登録時間、登録した個人情報名だけでなく、個人情報から生成される一方向性ハッシュ値等、登録した個人情報から一意に決まる情報を含む。
この情報を利用することで、ユーザ端末3、そのユーザ及びサービス提供装置5は、ユーザの個人情報が改ざんされていないことを確認できる。例えば、ユーザ端末3は、登録した個人情報から生成されるハッシュ値と個人情報登録証明書に含まれているハッシュ値との比較をすることによって、個人情報管理装置4が正しい情報を登録しているか否かを確認できる。また、サービス提供装置5は、個人情報管理装置4から取得した個人情報に基づいて生成されるハッシュ値と、ユーザ端末3から取得した証明書に含まれるハッシュ値を比較することで、個人情報管理装置4がユーザ端末3から取得した個人情報を改ざんせずに管理しているか否かを確認できる。
個人情報登録証明書保管手段42は、個人情報登録証明書発行手段412が発行した個人情報登録証明書を保管する。
図10は、個人情報登録証明書発行手段412において発行され、個人情報登録証明書保管手段42において保管される個人情報登録証明書の例を示す図である。
図10を参照すると、当該個人情報登録証明書は、個人情報受付手段411において格納されたユーザの個人情報の各属性(氏名・住所・電話番号・メールアドレス等)毎に、取得した個人情報の各属性を識別するユーザIDと、取得日時と、個人情報証明データとを対応付けて発行される。なお、個人情報証明データは、個人情報の各属性に基づいて生成されたハッシュ値であり、例えば、“1b9fb2f257720d7bcfdc8f74f002a12c”は、“山田
太郎”に基づいて生成された値である。
個人情報登録証明書確認手段43は、他の装置が個人情報管理装置4に送付した個人情報登録証明書を確認する。この確認は、個人情報登録証明書の署名を検証して個人情報登録証明書が改ざんされていないことを確認し、個人情報が個人情報保管手段15に保管されていることを確認する処理である。
個人情報登録証明書取得手段51は、個人情報を取得する際に必要となる個人情報登録証明書をユーザ端末3から取得する。
個人情報登録証明書保管手段52は、個人情報登録証明書取得手段51が取得した個人情報登録証明書を保管する。
個人情報検証手段53は、ユーザ端末3から取得した個人情報登録証明書に含まれる情報と、個人情報管理装置4から取得した個人情報を比較する。ここで比較する内容は、例えば、個人情報管理装置から取得した個人情報から生成したハッシュ値と個人情報登録証明書に含まれているハッシュ値の比較であり、同じであるならば個人情報は改ざんされていないと判断する。
(第2の実施の形態の動作)
次に、図9〜図14を参照して本実施の形態の動作について説明する。この動作は、ユーザ端末3が個人情報管理装置4に個人情報を登録する動作と、サービス提供装置5が個人情報管理装置4から個人情報を取得する動作に分けられる。
まず、図9、図11の概略図及び図12のフローチャートを用いて、ユーザ端末3が個人情報を登録するときの動作について説明する。
ユーザ端末3は、サービスの提供を要求したサービス提供装置5から個人情報の登録要求を通知されること等によって、個人情報管理装置4に対して個人情報を送信し(図11の(1))、個人情報受付手段411を介して個人情報管理装置4の個人情報保管手段11に個人情報を登録する(図12のステップA1、図11の(2))。
次に、個人情報登録証明書発行手段412が、ステップA1で取得した個人情報に対応する個人情報登録証明書を発行する(ステップA2)。
さらに、個人情報登録証明書保管手段42において、ステップA1で取得した個人情報とステップA2で発行した個人情報登録証明書を対応付けて登録する(ステップA3、図11の(3))。
次に、個人情報登録証明書発行手段412は、ユーザ端末3に対して個人情報登録証明書を送付する(ステップA4、図11の(4))。
ユーザ端末3は、個人情報登録証明書を取得すると、個人情報登録証明書と個人情報の関係が正しいか否かの確認処理をする(ステップA5、図11の(5))。この処理は、例えば、ユーザ端末3がステップA1で個人情報管理装置4に対して送信した個人情報に対するハッシュ値と、個人情報管理装置4が発行した個人情報登録証明書に書かれているハッシュ値を比較し、登録した個人情報が正しいものであるか否かを確認する。ユーザ端末3のユーザによって、取得した個人情報登録証明書と個人情報の関係が正しいか否かの確認入力がなされてもよい。もし、ハッシュ値が異なっている場合には、個人情報管理装置4はユーザ端末3が登録要求した個人情報と異なる情報を登録していることになるので、個人情報登録処理を途中で終了する。一方、ハッシュ値が同じ場合は、個人情報管理装置4はユーザ端末3が登録要求した情報をそのまま登録したことになる。
ハッシュ値が同じ場合は次に、ユーザ端末3が、個人情報登録証明書保管手段52に対して個人情報登録証明書を送信し(図11の(6))、サービス提供装置5の個人情報登録証明書取得手段51を介し、個人情報登録証明書を個人情報登録証明書保管手段52に登録する(ステップA6、図11の(7))。ユーザ端末3が個人情報を登録した際に個人情報管理装置4から取得した個人情報登録証明書をあらかじめサービス提供装置5に登録しておくことで、サービス提供装置5は、任意のタイミングで個人情報管理装置4より個人情報を取得することができる。
次に、図9、図13の概略図及び図14のフローチャートを用いて、サービス提供装置5が、個人情報管理装置4に個人情報を要求し、個人情報を取得する動作について説明する。
まず、図13を用い、サービス提供装置5が、個人情報管理装置4に個人情報を要求して個人情報を取得する動作の概略を説明する。
(1)サービス提供装置5が、サービス提供装置5の電子署名付きの個人情報要求メッセージ及び個人情報登録証明書を個人情報管理装置4に対して送信する。
(2)個人情報管理装置4が、電子署名及び個人情報登録証明書を認証すると、要求された個人情報を暗号化する。
(3)個人情報管理装置4が、暗号化された個人情報に電子署名をつけてサービス提供装置5に対して送信する。
(4)サービス提供装置5が、暗号化された個人情報を受信し、電子署名を認証すると、サービス提供装置5の電子署名付きの復号鍵要求メッセージを個人情報管理装置4に対して送信する。
(5)個人情報管理装置4が、電子署名を認証すると、復号鍵をサービス提供装置5に対して送信する。
(6)サービス提供装置5が、暗号化された個人情報を復号して取得した個人情報を検証する。
次いで、図9及び図14を用い、サービス提供装置5が個人情報管理装置4に個人情報を要求して個人情報を取得する動作を詳細に説明する。
サービス提供装置5が個人情報を利用するために他の装置からの取得を開始する状況とは、要求メッセージ生成手段211が個人情報の要求に関する依頼を受けたときである。このときに要求メッセージ生成手段211は、要求する個人情報に関する個人情報登録証明書があるか確認するために、個人情報登録証明書保管手段52を検索する(図14のステップB1)。個人情報登録証明書がない場合には、個人情報管理装置4とサービス提供装置5との間で個人情報の送受信を行わない。
個人情報登録証明書がある場合には、要求メッセージ生成手段211が、個人情報登録証明書を取得して個人情報要求メッセージを生成する(ステップB2)。ここで、個人情報要求メッセージには、サービス提供装置5の電子署名をつける。電子署名によって、サービス提供装置5が個人情報を要求することを否認することができなくなる。
次に、サービス提供装置5の通信手段23が、サービス提供装置4の通信手段14に個人情報要求メッセージと、個人情報登録証明書をまとめて送付する(ステップB3)。
サービス提供装置4が個人情報要求メッセージを受信すると、個人情報要求確認手段12が要求メッセージを確認する(ステップB4)。ここで確認する処理は、例えば、個人情報を管理しているか確認したり、メッセージについている電子署名を検証したりする処理である。
確認処理が終了すると、個人情報登録証明書確認手段43が、次にサービス提供装置5から取得した個人情報登録証明書を確認する(ステップB5)。この確認処理は、例えば、個人情報登録証明書の電子署名を確認したり、個人情報登録証明書に対応する個人情報が個人情報保管手段11に登録されているか確認したりする。確認作業に失敗した場合は、個人情報管理装置4は、個人情報要求確認手段12においてエラーメッセージを生成し、通信手段14を介してサービス提供装置5にエラーメッセージを送付し、個人情報の送受信を中止する(ステップB6)。
確認作業が正常終了すると、送信メッセージ生成手段131が個人情報保管手段11から個人情報を送付し、応答メッセージを生成する(ステップB7)。
次に、個人情報暗号化手段132が、前記応答メッセージを暗号化し、電子署名をつける(ステップB8)。このときに、暗号鍵と復号鍵を生成して、復号鍵を復号鍵保管手段に133に登録する。電子署名をつけることで、サービス提供装置5での個人情報の改ざんを防止し、個人情報管理装置4が個人情報を送付したことの否認を防止することができる。
次に、個人情報管理装置4の通信手段14が、サービス提供装置5の通信手段23に前記応答メッセージを送付する(ステップB9)。
サービス提供装置5が応答メッセージを受け取ると、応答確認手段212が応答メッセージを確認する(ステップB10)。この確認作業は、例えば、応答メッセージの電子署名の検証である。
次に、復号鍵要求手段221が、ステップB9で取得した情報に対応する復号鍵を要求するためのメッセージを生成する(ステップB11)。
次に、サービス提供装置5の通信装置23が、個人情報管理装置4の通信手段14に復号鍵要求メッセージを送付する(ステップB12)。このメッセージには、サービス提供装置5の電子署名をつける。これによって、署名つき復号鍵要求メッセージを受け取った個人情報管理装置4は、個人情報要求装置5が暗号化ずみ個人情報をすでに取得していることを否認できなくなる。
個人情報管理装置4が復号鍵要求メッセージを受信すると、復号鍵送付手段134が、復号鍵保管手段133を検索して復号鍵を取得する(ステップB13)。
次に、個人情報管理装置4の通信手段14が、サービス提供装置5の通信手段23に復号鍵を送付する(ステップB14)。
サービス提供装置5が復号鍵を取得すると、個人情報復号手段222が、すでに取得していた暗号化個人情報を復号する(ステップB15)。
次に、復号した個人情報を個人情報検証手段53が検証する(ステップB16)。ここで検証する処理は、例えば、個人情報から生成したハッシュ値と個人情報登録証明書に含まれているハッシュ値を比較する。同じであれば、サービス提供装置5は、個人情報管理装置4によって個人情報が改ざんされていないことを確認できる。もし、個人情報の確認に失敗した場合は、個人情報が改ざんされていると判断し、個人情報の送受信の処理を終了する。
(第2の実施の形態の効果)
次に、本実施の形態の効果について説明する。
本実施の形態では、個人情報管理装置4とサービス提供装置5は、それぞれが否認防止するための手段を持っており、送受信したメッセージを確認する、というように構成されているため、個人情報管理装置4とサービス提供装置5は個人情報を独立して管理でき、適切な個人情報のみを送受信していることを証明できる。
(第3の実施の形態)
次に本発明の第3の実施の形態について図面を参照して詳細に説明する。
(第3の実施の形態の構成)
図15を参照すると、本発明の第3の実施の形態は、個人情報管理装置6が、図9に示した第2の実施の形態における個人情報管理装置4の構成要素に加え、生成済み復号検索手段61を備える点で異なる。また、サービス提供装置7が、図9に示した第2の実施の形態におけるサービス提供装置5の構成要素に加え、取得済み復号鍵検索手段71と、復号鍵保管手段72とを備える点で異なる。
これらの手段はそれぞれ次のように動作する。
生成済み復号鍵検索手段61は、復号鍵保管手段133を検索し、個人情報管理装置6がすでに復号鍵を生成しているか否かを判別する。
取得済み復号鍵検索手段71は、復号鍵保管手段72を検索し、復号鍵をすでにサービス提供装置7が取得していたか否かを判断する。取得していた場合は復号鍵を利用して個人情報を復号する処理に移り、取得していなかった場合は復号鍵を要求する処理に移る。
復号鍵保管手段72は、復号鍵とそれに関連する情報を保管する。関連する情報とは、例えば、復号鍵を発行した個人情報管理装置に割り振られたID、ユーザ名などである。
(第3の実施の形態の動作)
次に、図15、図16の概略図及び図17のフローチャートを用いて本実施の形態の全体の動作について説明する。
まず、図16を用い、サービス提供装置7が、個人情報管理装置6に個人情報を要求して個人情報を取得する動作の概略を説明する。
(1)サービス提供装置7が、サービス提供装置7の電子署名付きの個人情報要求メッセージ及び個人情報登録証明書を個人情報管理装置6に対して送信する。
(2)個人情報管理装置6が、電子署名及び個人情報登録証明書を認証し、復号鍵保管手段133を検索して取得した復号鍵によって、要求された個人情報を暗号化する。
(3)個人情報管理装置6が、暗号化された個人情報に電子署名をつけてサービス提供装置7に対して送信する。
(4)サービス提供装置7が、暗号化された個人情報を受信し、電子署名を認証すると、取得済みの復号鍵によって、暗号化された個人情報を復号して個人情報を取得する。
次いで、図15及び図17を用い、サービス提供装置7が個人情報管理装置6に個人情報を要求して個人情報を取得する動作を詳細に説明する。
サービス提供装置7が、個人情報管理装置6に個人情報を要求して個人情報登録証明書を送付する動作は、本発明の第2の実施の形態のステップB1からステップB7までと同じ動作である(図17のステップB1からステップB7)。
個人情報管理装置6が送付する応答メッセージの生成が終了すると、生成済み復号鍵検索手段61が復号鍵保管手段133を検索し、個人情報管理装置6が復号鍵をすでに生成してあるか否かを確認する(ステップC1)。
すでに生成している場合には、個人情報暗号化手段132が、復号鍵保管手段133より復号鍵を取得して応答メッセージを暗号化する(ステップC2)。
しかし、ステップC1で復号鍵がない場合には、個人情報暗号化手段132が、暗号鍵と復号鍵を生成して復号鍵保管手段133に登録し、応答メッセージを暗号化する(ステップC3)。個人情報暗号化手段132は、応答メッセージを暗号化したときには、当該応答メッセージに個人情報管理装置6の署名をつけておく。
次に、応答メッセージを通信手段14が通信手段23に送付する(ステップB9)。
サービス提供装置7が応答メッセージを受け取ると、応答確認手段212が応答メッセージを確認する(ステップB10)。
次に、取得済み復号鍵検索手段71が、復号鍵保管手段72を検索し、すでに復号鍵を取得していたか否かを判断する(ステップC4)。
もし、復号鍵が復号鍵保管手段72に存在する場合は、取得済み復号鍵検索手段71が復号鍵を取得する(ステップC5)。
次に、本発明の第2の実施の形態のステップB15以降の処理と同じ動作をする。
一方、ステップC4で復号鍵がない場合は、本発明の第2の実施の形態のステップB11からステップB14と同じ処理をする。
サービス提供装置7が復号鍵を取得すると、復号鍵を復号鍵保管手段72に登録する(ステップC6)。
次に、個人情報を前記取得した復号鍵を用いて復号する(ステップB15)。
復号された個人情報は、本発明の第2の実施の形態のステップB16と同様に個人情報検証手段53が検証する(ステップB16)。
(第3の実施の形態の効果)
次に、本発明の実施の形態の効果について説明する。
本発明の実施の形態では、サービス提供装置7が同じ情報を何度も要求する場合には、通信を簡略化できる。
その理由は、復号鍵をすでに取得している場合は復号鍵を再利用するというように構成されているためである。サービス提供装置7が同じ情報を何度も要求する場合は、サービス提供装置7自身が個人情報を管理しない場合である。サービス提供装置7が個人情報を管理しないことでプライバシ管理のコストを減らすことができる。サービス提供装置7は、自身で個人情報を管理しない場合でも、復号鍵を管理することによって、復号鍵の要求・応答メッセージの交換をなくすことができ、個人情報交換の通信を簡略化できる。
(第4の実施の形態)
次に、本発明の第4の実施の形態について図面を参照して詳細に説明する。
(第4の実施の形態の構成)
図18を参照すると、本発明の第4の実施の形態は、個人情報管理装置8が、図15に示した第3の実施の形態における個人情報管理装置6の構成要素に加え、通信記録保管手段81と送信情報確認手段82を有する点で異なる。また、サービス提供装置9が図15に示した第3の実施の形態におけるサービス提供装置7の構成要素に加え、通信記録保管手段91と送信情報確認手段92を有する点で異なる。
通信記録保管手段81は、通信履歴(通信記録)を保管する手段であって、個人情報管理装置8が送信または、受信したメッセージを保管する。
ここで、通信記録保管手段81において保管される通信履歴の例を図19に示す。
図19を参照すると、当該通信履歴は、通信日時毎に、Receive、Send等のactionと、通信相手と、通信した際のメッセージ本文とを対応付けて保管される。なお、メッセージ本文の形式に特に制限はない。
送信情報確認手段82は、個人情報管理装置8が送付した暗号化個人情報が正しい情報であったか確認する。
通信記録保管手段91は、サービス提供装置9が送信または、受信したメッセージを保管する。
送信情報確認手段92は、サービス提供装置9が送付した個人情報要求メッセージや個人情報登録証明書が正しい情報であったか確認する。
(第4の実施の形態の動作)
次に、図18、図20及び図21のフローチャートを参照して本実施の形態の全体の動作について詳細に説明する。
個人情報管理装置8は、個人情報にかかわるメッセージの送受信をするときに、全てのメッセージを通信記録保管手段81に管理する。同様に、サービス提供装置9は、個人情報にかかわるメッセージの送受信をするときに、全てのメッセージを通信記録保管手段91に管理する。
そして、個人情報管理装置8は、任意のタイミングで個人情報の流通が正しく行われていたか確認するための処理を開始する。そのための最初の処理として、個人情報管理装置8は、通信記録保管手段81に保管されている個人情報要求メッセージを取得し、個人情報要求確認手段12を用いて個人情報要求メッセージを確認する(ステップD1)。ここでの確認処理は、例えば、個人情報要求メッセージについている電子署名の検証や要求している個人情報を管理しているか否かを確認する処理である。
次に、個人情報管理装置8は、個人情報登録証明書確認手段43を用い、通信記録保管手段81が管理している受信した個人情報登録証明書を確認する(ステップD2)。この確認処理は、例えば、個人情報登録証明書の署名を検証するといった個人情報登録証明書の有効性を確認する処理である。
次に、個人情報管理装置8は、送信情報確認手段82を用い、通信記録保管手段81が管理している送信情報を確認する(ステップD3)。この処理は、例えば、送信情報が暗号化されていたか、電子署名がついていたか、などを確認する処理である。
次に、個人情報管理装置8は、送信情報確認手段82を用い、通信記録保管手段81が管理している復号鍵要求メッセージを確認する(ステップD4)。これは、例えば、復号鍵要求メッセージについている電子署名の検証や、実際に個人情報管理装置8が復号鍵を送付していたか否かを確認する処理である。
一方、サービス提供装置9での確認処理は、まず、送信情報確認手段92を用い、送信した個人情報要求メッセージを確認する(ステップE1)。この要求メッセージは、通信記録保管手段91で管理されている。ステップE1では、例えば、要求メッセージについている署名の検証等である。
次に、サービス提供装置9は、送信情報確認手段92を用い、個人情報管理装置8に送信した個人情報登録証明書を確認する(ステップE2)。ここで確認する個人情報登録証明書は、通信記録保管手段91に登録されている個人情報登録証明書である。ここでは、例えば、署名や個人情報登録証明書有効期限等の個人情報登録証明書の有効であるか否かを確認する。
次に、サービス提供装置9は、個人情報復号手段222を利用し、受信した個人情報を確認する(ステップE3)。ここでは、例えば、受信したメッセージの署名検証や、個人情報登録証明書と個人情報の対応を確認する処理を行う。
(第4の実施の形態の効果)
次に、本実施の形態の効果について説明する。
本発明の実施の形態では、個人情報を扱う個人情報管理装置8及びサービス提供装置9は、個人情報を正しく送受信した証拠をいつでも提出することができる。その理由は、個人情報を扱う個人情報管理装置8及びサービス提供装置9は、全ての通信ログを管理しており、任意のタイミングで通信ログを用いてどの個人情報を送受信したか確認できるためである。
(第5の実施の形態)
次に、本発明の第5の実施の形態について図面を参照して詳細に説明する。
図22を参照すると、本発明の第5の実施の形態は、第1、第2、第3及び第4の実施の形態と同様に、個人情報管理装置Aと、サービス提供装置Cとを備える。
個人情報管理用プログラムBは、個人情報管理装置Aの動作を制御し、サービス提供装置Cからの要求に従って、個人情報や復号鍵をサービス提供装置Cに送付したり、個人情報を取得するための個人情報登録証明書を発行したりする。個人情報管理装置Aは、個人情報管理用プログラムBの制御により第1、第2、第3及び第4の実施の形態における個人情報管理装置1、4、6、8による処理と同一の処理を実行する。
個人情報受信用プログラムDは、サービス提供装置Cの動作を制御し、個人情報要求メッセージを個人情報管理装置Aへ送付し、個人情報を受信する。
サービス提供装置Cは、個人情報受信用プログラムDの制御により第1、第2、第3および第4の実施の形態におけるサービス提供装置2、5、7、9による処理と同一の処理を実行する。
次に、具体的な実施例を用いて本発明の実施例1の動作を説明する。
図23に示す例では、モバイルキャリア(個人情報管理装置)は携帯電話(ユーザ端末)のユーザの個人情報を管理している。コンテンツプロバイダ(サービス提供装置)は、モバイルキャリアより個人情報を取得して、ユーザの携帯電話にコンテンツを提供している。このコンテンツプロバイダが必要とする個人情報は、ユーザの連絡先(電話番号と住所)と課金情報(クレジットカード番号や銀行口座番号)であり、ユーザの全ての情報がモバイルキャリアに登録されているわけではないものとする。なお、説明の便宜を図るため、図23及び図24(後述)においてネットワーク2000を省略する。
この状況で、まず、(1)ユーザの要求により携帯電話がコンテンツプロバイダにコンテンツの購入を要求する。
ここで、コンテンツプロバイダは、個人情報を取得するための個人情報登録証明書が無いために、(2)携帯電話のユーザに対して、モバイルキャリアでの個人情報登録を要求する。
そこで、(3)ユーザの個人情報を入力された携帯電話が、モバイルキャリアで個人情報を登録する。
登録が終了すると、(4)携帯電話は、モバイルキャリアより個人情報取得のための個人情報登録証明書を取得する。
次に、(5)携帯電話からコンテンツプロバイダに個人情報登録証明書が送付される。
コンテンツプロバイダが個人情報登録証明書を取得すると、(6)個人情報登録証明書と個人情報要求メッセージを送付する。
モバイルキャリアはこの要求を受け取ると、(7)暗号化した個人情報をコンテンツプロバイダに送付する。
コンテンツプロバイダは、暗号化情報を復号する復号鍵を保持していないため、(8)復号鍵要求メッセージをモバイルキャリアに送付する。
そこでモバイルキャリアは、復号鍵要求を検証し、(9)復号鍵を送付する。
次に、コンテンツプロバイダは、個人情報を復号化し、(10)個人情報を利用してコンテンツを携帯電話に送付する。
このモバイルキャリアとコンテンツプロバイダの構成は、例えば図24のようになる。
モバイルキャリアEは、個人情報管理装置8とアクセス制御装置Gを備える。
アクセス制御装置Gは、モバイルキャリアEがコンテンツプロバイダFに個人情報を送付してよいか否かを判断する装置である。もしアクセス制御装置Gが個人情報の送受信を認めない場合は、送信メッセージ生成手段131は個人情報保管手段11より個人情報を取得せず、送信メッセージを生成しない。
また、コンテンツプロバイダFは、サービス提供装置9とコンテンツ配信装置Hを備える。
コンテンツ配信装置Hは、ユーザの個人情報に基づいて、ユーザにコンテンツを販売する装置である。ユーザがコンテンツの購入を要求する場合は、最初にユーザ端末3はコンテンツ配信装置Hにアクセスする。コンテンツ配信装置Hは、要求メッセージ生成手段211に個人情報を要求し、個人情報確認手段53から個人情報を取得する。個人情報を取得したコンテンツ配信装置Hはユーザにコンテンツを配信する。
次に、具体的な実施例を用いて本発明の実施例2を説明する。
図25に示す例では、図24に示す実施例1と異なり、コンテンツプロバイダIが通信手段J及びコンテンツ配信装置Hを備え、サービス提供装置9及びプロキシ装置Kを備え、コンテンツプロバイダI、モバイルキャリアE及び携帯電話(ユーザ端末3)と接続するプロキシサーバLが、モバイルキャリアEより個人情報を取得して、コンテンツプロバイダIから配信されたコンテンツをユーザの携帯電話に提供している。なお、図26に示すように、プロキシサーバLが個人情報を取得した後において、個人情報に基づいて提供されるコンテンツが、プロキシサーバMを経由されずに、コンテンツプロバイダIによって直接ユーザの携帯電話に提供されてもよい。なお、説明の便宜を図るため、図25及び図26においてネットワーク2000を省略する。
上述した各実施の形態による無線通信システムの構成の概要を以下に述べる。
第1の個人情報照合システムは、個人情報をユーザ端末から取得し必要に応じて他の装置へ開示する個人情報管理装置(図2の1)と、個人情報を他の装置から取得するサービス提供装置(図2の2)からなり、個人情報の管理を行う個人情報管理装置において、通信回線を介してサービス提供装置が提供するサービスを利用する利用者の利用者装置から取得した個人情報を登録する手段と、登録した個人情報を含む不可逆なメッセージ情報を生成する手段と、メッセージ情報を暗号化する手段と、暗号化したメッセージ情報を復号するための復号鍵を生成する手段と、サービス提供装置からの個人情報の要求に応じて、暗号化したメッセージ情報をサービス提供装置に送付する手段と、サービス提供装置から受信したメッセージ情報の復号鍵の要求に応じて、当該復号鍵をサービス提供装置に送付する手段とを含み、通信回線を介して利用者に対してサービスを提供するサービス提供装置において、利用者の個人情報を管理する個人情報管理装置に対して利用者の個人情報の要求を送付する手段と、個人情報管理装置で生成され、かつ暗号化された個人情報を含む不可逆なメッセージ情報を個人情報管理装置から取得する手段と、取得した暗号化された個人情報を復号するための復号鍵の要求を個人情報管理装置に送付する手段と、個人情報管理装置から受信した復号鍵に基づいて、暗号化されたメッセージ情報を復号することにより、サービスを利用する利用者の照合のための個人情報を取得する手段とを含むことを特徴とする。
個人情報管理装置は、入力された個人情報を管理する個人情報保管手段(図2の11)と、他の装置が送信した個人情報の要求や復号鍵の要求を解析する個人情報要求確認手段(図2の12)と、他の装置に送付する個人情報を含むメッセージを生成する送信情報生成部(図2の13)と、他の装置と通信をする通信手段(図2の14)とを備え、送信情報生成部は、送付する個人情報を確認する送信メッセージ生成手段(図2の131)と、個人情報を暗号化する暗号鍵と復号鍵を生成してから個人情報を暗号化する個人情報暗号化手段(図2の132)と、個人情報暗号化手段で暗号化した鍵に対応する復号鍵を登録する復号鍵保管手段(図2の133)と、復号鍵を他の装置へ送付する復号鍵送付手段(図2の134)とを備える。
サービス提供装置は、個人情報を要求する個人情報要求部(図2の21)と、受信した個人情報を確認する個人情報確認部(図2の22)と、他の装置と通信をする通信手段(図7の23)とを備える。個人情報要求部は、個人情報を個人情報管理装置に要求するためのメッセージを生成する要求メッセージ生成手段(図2の211)と、要求メッセージに対応する応答メッセージを確認する応答確認手段(図2の212)とを備え、個人情報確認部は、受信した個人情報が暗号化されているときに復号鍵を要求する復号鍵要求手段(図2の221)と、暗号化された個人情報を復号化する個人情報復号手段(図2の222)とを備える。
このような構成を採用し、サービス提供装置が個人情報を個人情報管理装置に要求し、個人情報管理装置が要求を受け入れて個人情報を送付する場合は、個人情報管理装置が個人情報を暗号化してサービス提供装置に送付する。暗号化された個人情報を受信したサービス提供装置は、復号鍵を個人情報管理装置に要求する。復号鍵要求を受け取った個人情報管理装置は、復号鍵を個人情報要求装置に送付する。個人情報要求装置は、復号鍵と暗号化された個人情報がそろうと、個人情報を復号し、個人情報を利用できる状態にする。ここで、個人情報管理装置とサービス提供装置は、復号鍵を要求するメッセージを個人情報の取得確認のメッセージとしてみなすと、個人情報の送受信の否認ができなくなる。以上の動作によって、本発明の第1の目的を達成することができる。
また、第2の個人情報照合システムは、第1の個人情報照合システムの構成に加えて、個人情報管理装置(図9の4)が、ユーザ端末(図9の3)から入力された個人情報を登録する個人情報登録部(図9の41)と、個人情報とともに管理する個人情報登録証明書を登録する個人情報登録証明書保管手段(図9の42)と、他の装置から取得した個人情報登録証明書を検証する個人情報登録証明書確認手段(図9の43)とを備える。個人情報登録部は、個人情報の登録を受け付ける個人情報受付手段(図9の411)と、個人情報を管理するための個人情報登録証明書を発行する個人情報登録証明書発行手段(図9の412)とを備える。個人情報登録証明書には、個人情報を取得するための情報が記述されており、個人情報に関連した情報だけでなく当該個人情報から生成される一方向性ハッシュ値のような個人情報から一意に生成される情報が含まれているものとする。つまり、個人情報登録証明書と個人情報は1対1に対応しており、個人情報管理装置は、これら2つの情報を保持していれば、個人情報登録証明書に対応する個人情報を確認することができる。個人情報管理装置は、この個人情報登録証明書を開示した装置に対してのみ個人情報を開示する。
また、サービス提供装置(図9の5)が、第1の個人情報照合システムの構成のサービス提供装置に加え、個人情報を取得するための個人情報登録証明書を受け取る個人情報登録証明書取得手段(図9の51)と、個人情報登録証明書を保管する個人情報登録証明書保管手段(図9の52)と、個人情報登録証明書の内容と個人情報を比較して個人情報が改ざんされていないことを確認する個人情報検証手段(図9の53)とを備える。
このような構成を採用し、ユーザ端末が個人情報を個人情報管理装置に登録する際には、ユーザ端末が個人情報を個人情報管理装置に入力し、個人情報管理装置は、個人情報に関する個人情報登録証明書をユーザ端末に対して発行し、ユーザ端末に送付する。ユーザ端末は、個人情報登録証明書を取得すると、個人情報登録証明書の内容を検証する。さらに、ユーザ端末は個人情報登録証明書をあらかじめサービス提供装置に登録しておく。一方、サービス提供装置は、個人情報を取得する際には個人情報登録証明書を利用し、個人情報の要求メッセージを生成し、個人情報登録証明書とともに個人情報の要求メッセージを個人情報管理装置に送付する。個人情報管理装置は、要求メッセージを受信すると個人情報登録証明書の内容を確認し、個人情報登録証明書の検証に成功した場合には暗号化した個人情報をサービス提供装置に送付する。サービス提供装置は、暗号化された個人情報を受信すると個人情報管理装置に復号鍵を要求して復号鍵を取得する。サービス提供装置は、復号鍵と暗号化した個人情報がそろうと、復号鍵を用いて暗号化された個人情報復号し、個人情報の内容を検証して、個人情報を利用する。ここで、個人情報管理装置とサービス提供装置間で交換されるメッセージは全てメッセージ生成装置の電子署名をつける。ユーザ端末が個人情報登録証明書の内容を検証することで、個人情報管理装置での個人情報の改ざんを検証し、個人情報管理装置の電子署名を個人情報につけることによってサービス提供装置での個人情報の改ざんを検証できる。また、個人情報管理装置が、復号鍵の要求メッセージを個人情報取得の確認メッセージとして利用することにより、サービス提供装置が個人情報を受信したことを否認することが防止できる。以上の動作によって、本発明の第1および第2の目的を達成することができる。
また、本発明の第3の個人情報照合システムは、第2の個人情報照合システムの構成に加えて、個人情報管理装置(図15の6)が、復号鍵を送付していたか検索する生成済み復号鍵検索手段(図15の61)を備え、サービス提供装置(図15の7)が、復号鍵を受信していたか検索する取得済み復号鍵検索手段(図15の71)と、受信した復号鍵を保管する復号鍵保管装置(図15の72)とを備える。このような構成を採用し、個人情報管理装置6は、個人情報を暗号化する際に、以前に利用した暗号鍵を検索して再度利用し、サービス提供装置7は、復号鍵保管装置に保管する復号鍵を利用して暗号化個人情報を復号する。復号鍵を要求して、取得するのではなく、以前に取得した復号鍵を再利用することより本発明の第3の目的を達成することができる。
また、本発明の第4の個人情報照合システムは、第1、第2及び第3の個人情報照合システムの構成に加え、個人情報管理装置(図18の8)が、通信ログを管理する通信記録保管手段(図18の81)と、以前に個人情報管理装置が送付したメッセージを検証する送信情報確認手段(図18の82)とを備え、サービス提供装置(図18の9)が、通信ログを管理する通信記録保管手段(図18の91)と、以前にサービス提供装置が送付したメッセージを検証する送信情報確認手段(図18の92)とを備える。このような構成を採用し、個人情報管理装置8とサービス提供装置9が、それぞれ通信ログを管理し、送信情報確認手段や個人情報登録証明書確認手段、個人情報要求確認手段、応答確認手段を用いてログを確認することで、個人情報の流通の正しさを任意のタイミングで確認できるようにすることにより本発明の第4の目的を達成することができる。
上述した各実施の形態により以下のす効果を達成することができる。
第1の効果は、サービス提供装置が個人情報の受信を否認することを、個人情報管理装置が通信負荷を抑えて低コストで防止できることである。
その理由は、個人情報の流通を監視する第三者を必要とすることなく、サービス提供装置が必ず個人情報管理装置へ個人情報の受信確認のメッセージを送付するからである。装置間で送受信される個人情報は暗号化されているので、サービス提供装置は個人情報を受信した後に復号鍵の要求を送信する。この復号鍵の要求は、個人情報の受信確認とみなされるので個人情報の送受信が行われたことを確認することができ、サービス提供装置の否認を防止できる。
第2の効果は、個人情報管理装置がユーザ端末から取得した個人情報を改ざんしているか否かをサービス提供装置が低コストで検証できることである。
その理由は、個人情報の流通を監視する第三者を必要とすることなく、サービス提供装置はユーザ端末から取得した個人情報に関連する情報が含まれている個人情報登録証明書と、個人情報管理装置から取得した個人情報を比較できるからである。サービス提供装置は個人情報を取得するための個人情報登録証明書をユーザ端末から取得するため、個人情報登録証明書にはユーザ端末が登録した正しい個人情報に関連する情報が記述されている。一方、個人情報管理装置から取得した個人情報は、改ざんされている可能性がある。正しい個人情報に関連する情報と、個人情報管理装置から取得した個人情報を比較することで、個人情報が改ざんされていないか確認できる。
第3の効果は、個人情報管理装置とサービス提供装置がすでに個人情報を送受信していた場合に、個人情報の送受信の処理を簡略化できることである。
その理由は、個人情報管理装置とサービス提供装置は過去に送受信した内容を保存するからである。サービス提供装置が個人情報そのものを保存すると、個人情報管理のコストがかかるため、個人情報ではなく、個人情報を復号するための復号鍵のみを保管する。また、個人情報管理装置も個人情報を暗号化する際に、同じ暗号鍵を使う。このようにすることで、復号鍵の送受信に関する通信を削減することができる。
第4の効果は、個人情報管理装置とサービス提供装置は、個人情報が改ざんされずに送受信されたこと、また、否認されずに送受信されたことを任意のタイミングに低コストで確認できることである。
その理由は、個人情報の流通を監視して個人情報を保持する第三者を必要とすることなく、それぞれの装置が個人情報の送受信に関する通信のログを全て保存し、いつでも送受信した内容を検証するための手段を持っているからである。送受信した個人情報や個人情報登録証明書、復号鍵の送受信に関するメッセージを個人情報管理装置とサービス提供装置は全て保存する。これにより、個人情報の送受信が終わっても、いつでも個人情報の改ざんや否認に関する検証ができる。
第5の効果は、適切な個人情報のみを送受信していることを主張できることである。
その理由は、個人情報の流通を監視する第三者を必要とすることなく、個人情報を送受信するときに、何の情報を誰が誰に送受信したかを確認できるためである。個人情報を送受信するときに改ざんと否認を防止できるため、何の情報を誰が誰に送付したかを個人情報管理装置とサービス提供装置は確認することができる。そのため、不要な個人情報を取得していない場合には、それを証明できる。
第6の効果は、個人情報を利用したサービスを低コストで容易に提供できることである。
その理由は、個人情報の流通を監視して個人情報を保持する第三者を必要とすることなく、また、個人情報を自身で管理しなくても、個人情報を安全に取得できるからである。個人情報を自身で管理すると、管理コストがかかり、プライバシ漏洩のリスクに対応する必要がある。また、個人情報保護法等に対応する必要もある。しかし、個人情報の流通の際、個人情報管理装置と受信装置は正しい情報を送受信したことを確認できるため、安全に個人情報を取得できる。そのため、他の装置が個人情報を管理していれば、自身が直接管理していなくても、個人情報を送受信することで、個人情報を利用したサービスを提供することができる。
以上好ましい実施の形態をあげて本発明を説明したが、本発明は必ずしも、上記実施の形態に限定されるものでなく、その技術的思想の範囲内において様々に変形して実施することができる。
この出願は、2007年2月6日に出願された日本出願特願2007−026663号を基礎とする優先権を主張し、その開示の全てをここに取り込む。
本発明によれば、第三者がいない状況でも個人情報の委託業務を請け負うことが可能な個人情報管理のためのプログラムといった用途に適用できる。また、モバイルキャリアやISPなどの個人情報を管理している業者が、個人情報を管理していない業者に対して、第三者を経由せずに個人情報の管理代行サービスを提供するといった用途にも適用可能である。また、テレフォンセンタなどの業務を外部事業者へ委託する場合、個人情報を委託元が一括管理し、必要に応じて委託先事業者が個人情報を取得、利用するといった用途にも適用可能である。

Claims (41)

  1. 通信回線を介してサービス提供装置が提供するサービスを利用する利用者の利用者装置から取得した個人情報を登録する手段と、
    登録した前記個人情報を含む不可逆なメッセージ情報を生成する手段と、
    前記メッセージ情報を暗号化する手段と、
    暗号化した前記メッセージ情報を復号するための復号鍵を生成する手段と、
    前記サービス提供装置からの個人情報の要求に応じて、暗号化した前記メッセージ情報を前記サービス提供装置に送付する手段と、
    前記サービス提供装置から受信した前記メッセージ情報の復号鍵の要求に応じて、当該復号鍵を前記サービス提供装置に送付する手段と
    を備えることを特徴とする個人情報管理装置。
  2. 登録した前記個人情報と一意に対応し、当該個人情報が登録されたことを示す個人情報登録証明情報を発行する個人情報登録証明情報発行手段を備え、
    前記サービス提供装置からの前記個人情報要求と共に、要求された個人情報に一意に対応する前記個人情報登録証明情報を確認できた場合に、前記登録情報に対応する個人情報を暗号化して前記サービス提供装置に送信すること
    を特徴とする請求項1に記載の個人情報管理装置。
  3. 前記個人情報管理装置自身がすでに生成して保管した復号鍵を検索する生成済み復号鍵検索手段を含むことを特徴とする請求項1又は請求項2に記載の個人情報管理装置。
  4. 前記送受信に関する通信ログを記録する通信記録保管手段と
    前記サービス提供装置から受信した要求及び情報の内容を検証する受信情報確認手段と
    を含むことを特徴とする請求項1から請求項3のいずれか1項に記載の個人情報管理装置。
  5. 前記サービス提供装置及び前記利用者装置に送信する前記個人情報登録証明情報と前記暗号化された個人情報に、前記個人情報管理装置自身の電子署名を付与することを特徴とする請求項1から請求項4のいずれか1項に記載の個人情報管理装置。
  6. 通信回線を介して利用者に対してサービスを提供するサービス提供装置において、
    前記利用者の個人情報を管理する個人情報管理装置に対して前記利用者の個人情報の要求を送付する手段と、
    前記個人情報管理装置で生成され、かつ暗号化された前記個人情報を含む不可逆なメッセージ情報を前記個人情報管理装置から取得する手段と、
    取得した前記暗号化された前記個人情報を復号するための復号鍵の要求を前記個人情報管理装置に送付する手段と、
    前記個人情報管理装置から受信した復号鍵に基づいて、暗号化された前記メッセージ情報を復号することにより、サービスを利用する前記利用者の照合のための前記個人情報を取得する手段と
    を備えることを特徴とするサービス提供装置。
  7. 前記個人情報要求と共に、各個人情報と一意に対応し、当該個人情報が前記個人情報管理装置に登録されたことを示す前記個人情報登録証明情報を前記個人情報管理装置に送信すること
    を特徴とする請求項6に記載のサービス提供装置。
  8. 取得した復号鍵を管理する復号鍵保管手段と、
    前記復号鍵保管手段を検索して復号鍵を取得する取得済み復号鍵検索手段と
    を含むことを特徴とする請求項6又は請求項7記載のサービス提供装置。
  9. 前記送受信に関する通信ログを記録する通信記録保管手段と
    前記個人情報管理装置から受信した情報の内容を検証する受信情報確認手段と
    を含むことを特徴とする請求項6から請求項8のいずれか1項に記載のサービス提供装置。
  10. 前記個人情報管理装置に送信する前記個人情報登録証明情報に、前記サービス提供装置自身の電子署名を付与することを特徴とする請求項7から請求項9のいずれか1項に記載のサービス提供装置。
  11. 前記個人情報管理装置に送信する前記個人情報要求に、前記サービス提供装置自身の電子署名を付与することを特徴とする請求項6から請求項10のいずれか1項に記載のサービス提供装置。
  12. コンピュータで実現される、個人情報の管理を行う個人情報管理装置上で実行されるプログラムであって、
    前記コンピュータに、
    通信回線を介してサービス提供装置が提供するサービスを利用する利用者の利用者装置から取得した個人情報を登録する処理と、
    登録した前記個人情報を含む不可逆なメッセージ情報を生成する処理と、
    前記メッセージ情報を暗号化する処理と、
    暗号化した前記メッセージ情報を復号するための復号鍵を生成する処理と、
    前記サービス提供装置からの個人情報の要求に応じて、暗号化した前記メッセージ情報を前記サービス提供装置に送付する処理と、
    前記サービス提供装置から受信した前記メッセージ情報の復号鍵の要求に応じて、当該復号鍵を前記サービス提供装置に送付する処理と
    を実行させることを特徴とするプログラム。
  13. 前記コンピュータに、
    登録した前記個人情報と一意に対応し、当該個人情報が登録されたことを示す個人情報登録証明情報を発行する個人情報登録証明情報発行処理と、
    前記サービス提供装置からの前記個人情報要求と共に、要求された個人情報に一意に対応する前記個人情報登録証明情報を確認できた場合に、前記登録情報に対応する個人情報を暗号化して前記サービス提供装置に送信する処理と
    を実行させることを特徴とする請求項12に記載のプログラム。
  14. 前記コンピュータに、
    前記個人情報管理装置自身がすでに生成して保管した復号鍵を検索する生成済み復号鍵検索処理を実行させることを特徴とする請求項12又は請求項13に記載のプログラム。
  15. 前記コンピュータに、
    前記送受信に関する通信ログを記録する通信記録保管処理と
    前記サービス提供装置から受信した要求及び情報の内容を検証する受信情報確認処理と
    を実行させることを特徴とする請求項12から請求項14のいずれか1項に記載のプログラム。
  16. 前記コンピュータに、
    前記サービス提供装置及び前記利用者装置に送信する前記個人情報登録証明情報と前記暗号化された個人情報に、前記個人情報管理装置自身の電子署名を付与する処理を実行させることを特徴とする請求項12から請求項15のいずれか1項に記載のプログラム。
  17. コンピュータで実現される、通信回線を介して利用者に対してサービスを提供するサービス提供装置上で実行されるプログラムであって、
    前記コンピュータに、
    前記利用者の個人情報を管理する個人情報管理装置に対して前記利用者の個人情報の要求を送付する処理と、
    前記個人情報管理装置で生成され、かつ暗号化された前記個人情報を含む不可逆なメッセージ情報を前記個人情報管理装置から取得する処理と、
    取得した前記暗号化された前記個人情報を復号するための復号鍵の要求を前記個人情報管理装置に送付する処理と、
    前記個人情報管理装置から受信した復号鍵に基づいて、暗号化された前記メッセージ情報を復号することにより、サービスを利用する前記利用者の照合のための前記個人情報を取得する処理と
    を実行させることを特徴とするプログラム。
  18. 前記コンピュータに、
    前記個人情報要求と共に、各個人情報と一意に対応し、当該個人情報が前記個人情報管理装置に登録されたことを示す前記個人情報登録証明情報を前記個人情報管理装置に送信する処理を実行させることを特徴とする請求項17に記載のプログラム。
  19. 前記コンピュータに、
    取得した復号鍵を復号鍵保管手段に保管する復号鍵保管処理と、
    前記復号鍵保管手段を検索して復号鍵を取得する取得済み復号鍵検索処理と
    を実行させることを特徴とする請求項17又は請求項18記載のプログラム。
  20. 前記コンピュータに、
    前記送受信に関する通信ログを記録する通信記録保管処理と
    前記個人情報管理装置から受信した情報の内容を検証する受信情報確認処理と
    を実行させることを特徴とする請求項17から請求項19のいずれか1項に記載のプログラム。
  21. 前記コンピュータに、
    前記個人情報管理装置に送信する前記個人情報登録証明情報に、前記サービス提供装置自身の電子署名を付与する処理を実行させることを特徴とする請求項18から請求項20のいずれか1項に記載のプログラム。
  22. 前記コンピュータに、
    前記個人情報管理装置に送信する前記個人情報要求に、前記サービス提供装置自身の電子署名を付与する処理を実行させることを特徴とする請求項17から請求項21のいずれか1項に記載のプログラム。
  23. 個人情報管理装置上で個人情報の管理を行う個人情報管理方法であって、
    通信回線を介してサービス提供装置が提供するサービスを利用する利用者の利用者装置から取得した個人情報を登録するステップと、
    登録した前記個人情報を含む不可逆なメッセージ情報を生成するステップと、
    前記メッセージ情報を暗号化するステップと、
    暗号化した前記メッセージ情報を復号するための復号鍵を生成するステップと、
    前記サービス提供装置からの個人情報の要求に応じて、暗号化した前記メッセージ情報を前記サービス提供装置に送付するステップと、
    前記サービス提供装置から受信した前記メッセージ情報の復号鍵の要求に応じて、当該復号鍵を前記サービス提供装置に送付するステップと
    を含むことを特徴とする個人情報管理方法。
  24. 登録した前記個人情報と一意に対応し、当該個人情報が登録されたことを示す個人情報登録証明情報を発行する個人情報登録証明情報発行ステップと、
    前記サービス提供装置からの前記個人情報要求と共に、要求された個人情報に一意に対応する前記個人情報登録証明情報を確認できた場合に、前記登録情報に対応する個人情報を暗号化して前記サービス提供装置に送信するステップと
    を含むことを特徴とする請求項23に記載の個人情報管理方法。
  25. 前記個人情報管理装置自身がすでに生成して保管した復号鍵を検索する生成済み復号鍵検索ステップを含むことを特徴とする請求項23又は請求項24に記載の個人情報管理方法。
  26. 前記送受信に関する通信ログを記録する通信記録保管ステップと
    前記サービス提供装置から受信した要求及び情報の内容を検証する受信情報確認ステップと
    を含むことを特徴とする請求項23から請求項25のいずれか1項に記載の個人情報管理方法。
  27. 前記サービス提供装置及び前記利用者装置に送信する前記個人情報登録証明情報と前記暗号化された個人情報に、前記個人情報管理装置自身の電子署名を付与するステップを含むことを特徴とする請求項23から請求項26のいずれか1項に記載の個人情報管理方法。
  28. 通信回線を介して利用者に対してサービスを提供するサービス提供装置上で実行する前記利用者の個人情報の照合方法であって、
    前記利用者の個人情報を管理する個人情報管理装置に対して前記利用者の個人情報の要求を送付するステップと、
    前記個人情報管理装置で生成され、かつ暗号化された前記個人情報を含む不可逆なメッセージ情報を前記個人情報管理装置から取得するステップと、
    取得した前記暗号化された前記個人情報を復号するための復号鍵の要求を前記個人情報管理装置に送付するステップと、
    前記個人情報管理装置から受信した復号鍵に基づいて、暗号化された前記メッセージ情報を復号することにより、サービスを利用する前記利用者の照合のための前記個人情報を取得するステップと
    を含むことを特徴とする照合方法。
  29. 前記個人情報要求と共に、各個人情報と一意に対応し、当該個人情報が前記個人情報管理装置に登録されたことを示す前記個人情報登録証明情報を前記個人情報管理装置に送信するステップを含むことを特徴とする請求項28に記載の照合方法。
  30. 取得した復号鍵を復号鍵保管手段に保管する復号鍵保管ステップと、
    前記復号鍵保管手段を検索して復号鍵を取得する取得済み復号鍵検索ステップと
    を含むことを特徴とする請求項28又は請求項29記載の照合方法。
  31. 前記送受信に関する通信ログを記録する通信記録保管ステップと
    前記個人情報管理装置から受信した情報の内容を検証する受信情報確認ステップと
    を含むことを特徴とする請求項28から請求項30のいずれか1項に記載の照合方法。
  32. 前記個人情報管理装置に送信する前記個人情報登録証明情報に、前記サービス提供装置自身の電子署名を付与するステップを含むことを特徴とする請求項29から請求項31のいずれか1項に記載の照合方法。
  33. 前記個人情報管理装置に送信する前記個人情報要求に、前記サービス提供装置自身の電子署名を付与するステップを含むことを特徴とする請求項28から請求項32のいずれか1項に記載の照合方法。
  34. 個人情報の管理を行う個人情報管理装置において、
    通信回線を介してサービス提供装置が提供するサービスを利用する利用者の利用者装置から取得した個人情報を登録するステップと、
    登録した前記個人情報を含む不可逆なメッセージ情報を生成するステップと、
    前記メッセージ情報を暗号化するステップと、
    暗号化した前記メッセージ情報を復号するための復号鍵を生成するステップと、
    前記サービス提供装置からの個人情報の要求に応じて、暗号化した前記メッセージ情報を前記サービス提供装置に送付するステップと、
    前記サービス提供装置から受信した前記メッセージ情報の復号鍵の要求に応じて、当該復号鍵を前記サービス提供装置に送付するステップと
    を含み、
    通信回線を介して利用者に対してサービスを提供するサービス提供装置において、
    前記利用者の個人情報を管理する個人情報管理装置に対して前記利用者の個人情報の要求を送付するステップと、
    前記個人情報管理装置で生成され、かつ暗号化された前記個人情報を含む不可逆なメッセージ情報を前記個人情報管理装置から取得するステップと、
    取得した前記暗号化された前記個人情報を復号するための復号鍵の要求を前記個人情報管理装置に送付するステップと、
    前記個人情報管理装置から受信した復号鍵に基づいて、暗号化された前記メッセージ情報を復号することにより、サービスを利用する前記利用者の照合のための前記個人情報を取得するステップと
    を含むことを特徴とする照合方法。
  35. 前記個人情報管理装置において、
    登録した前記個人情報と一意に対応し、当該個人情報が登録されたことを示す個人情報登録証明情報を発行する個人情報登録証明情報発行ステップと、
    前記サービス提供装置からの前記個人情報要求と共に、要求された個人情報に一意に対応する前記個人情報登録証明情報を確認できた場合に、前記登録情報に対応する個人情報を暗号化して前記サービス提供装置に送信するステップと
    を含み、
    前記サービス提供装置において、
    前記個人情報要求と共に、当該個人情報が前記個人情報管理装置に登録されたことを示す前記個人情報登録証明情報を前記個人情報管理装置に送信するステップを含むことを特徴とする請求項34に記載の照合方法。
  36. 前記個人情報管理装置において、
    前記送受信に関する通信ログを記録する通信記録保管ステップと
    前記サービス提供装置から受信した要求及び情報の内容を検証する受信情報確認ステップと
    を含み、
    前記サービス提供装置において、
    前記送受信に関する通信ログを記録する通信記録保管ステップと
    前記個人情報管理装置から受信した情報の内容を検証する受信情報確認ステップと
    を含むことを特徴とする請求項34又は請求項35に記載の照合方法。
  37. 前記個人情報管理装置において、
    前記サービス提供装置及び前記利用者装置に送信する前記個人情報登録証明情報と前記暗号化された個人情報に、前記個人情報管理装置自身の電子署名を付与するステップを含み、
    前記サービス提供装置において、
    前記個人情報管理装置に送信する前記個人情報要求又は前記個人情報登録証明情報に、前記サービス提供装置自身の電子署名を付与するステップを含むことを特徴とする請求項35又は請求項36に記載の照合方法。
  38. 個人情報の管理を行う個人情報管理装置において、
    通信回線を介してサービス提供装置が提供するサービスを利用する利用者の利用者装置から取得した個人情報を登録する手段と、
    登録した前記個人情報を含む不可逆なメッセージ情報を生成する手段と、
    前記メッセージ情報を暗号化する手段と、
    暗号化した前記メッセージ情報を復号するための復号鍵を生成する手段と、
    前記サービス提供装置からの個人情報の要求に応じて、暗号化した前記メッセージ情報を前記サービス提供装置に送付する手段と、
    前記サービス提供装置から受信した前記メッセージ情報の復号鍵の要求に応じて、当該復号鍵を前記サービス提供装置に送付する手段と
    を含み、
    通信回線を介して利用者に対してサービスを提供するサービス提供装置において、
    前記利用者の個人情報を管理する個人情報管理装置に対して前記利用者の個人情報の要求を送付する手段と、
    前記個人情報管理装置で生成され、かつ暗号化された前記個人情報を含む不可逆なメッセージ情報を前記個人情報管理装置から取得する手段と、
    取得した前記暗号化された前記個人情報を復号するための復号鍵の要求を前記個人情報管理装置に送付する手段と、
    前記個人情報管理装置から受信した復号鍵に基づいて、暗号化された前記メッセージ情報を復号することにより、サービスを利用する前記利用者の照合のための前記個人情報を取得する手段と
    を含むことを特徴とする個人情報照合システム。
  39. 前記個人情報管理装置において、
    登録した前記個人情報と一意に対応し、当該個人情報が登録されたことを示す個人情報登録証明情報を発行する個人情報登録証明情報発行手段と、
    前記サービス提供装置からの前記個人情報要求と共に、要求された個人情報に一意に対応する前記個人情報登録証明情報を確認できた場合に、前記登録情報に対応する個人情報を暗号化して前記サービス提供装置に送信する手段と
    を含み、
    前記サービス提供装置において、
    前記個人情報要求と共に、当該個人情報が前記個人情報管理装置に登録されたことを示す前記個人情報登録証明情報を前記個人情報管理装置に送信する手段を含むことを特徴とする請求項38に記載の個人情報照合システム。
  40. 前記個人情報管理装置において、
    前記送受信に関する通信ログを記録する通信記録保管手段と
    前記サービス提供装置から受信した要求及び情報の内容を検証する受信情報確認手段と
    を含み、
    前記サービス提供装置において、
    前記送受信に関する通信ログを記録する通信記録保管手段と
    前記個人情報管理装置から受信した情報の内容を検証する受信情報確認手段と
    を含むことを特徴とする請求項38又は請求項39に記載の個人情報照合システム。
  41. 前記個人情報管理装置において、
    前記サービス提供装置及び前記利用者装置に送信する前記個人情報登録証明情報と前記暗号化された個人情報に、前記個人情報管理装置自身の電子署名を付与する手段を含み、
    前記サービス提供装置において、
    前記個人情報管理装置に送信する前記個人情報要求又は前記個人情報登録証明情報に、前記サービス提供装置自身の電子署名を付与する手段を含むことを特徴とする請求項39又は請求項40に記載の個人情報照合システム。
JP2008557139A 2007-02-06 2008-02-06 個人情報の改ざん防止と個人情報流通否認防止のための個人情報管理装置 Expired - Fee Related JP5403481B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008557139A JP5403481B2 (ja) 2007-02-06 2008-02-06 個人情報の改ざん防止と個人情報流通否認防止のための個人情報管理装置

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2007026663 2007-02-06
JP2007026663 2007-02-06
PCT/JP2008/051941 WO2008096783A1 (ja) 2007-02-06 2008-02-06 個人情報の改ざん防止と個人情報流通否認防止のための個人情報管理装置
JP2008557139A JP5403481B2 (ja) 2007-02-06 2008-02-06 個人情報の改ざん防止と個人情報流通否認防止のための個人情報管理装置

Publications (2)

Publication Number Publication Date
JPWO2008096783A1 true JPWO2008096783A1 (ja) 2010-05-27
JP5403481B2 JP5403481B2 (ja) 2014-01-29

Family

ID=39681689

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008557139A Expired - Fee Related JP5403481B2 (ja) 2007-02-06 2008-02-06 個人情報の改ざん防止と個人情報流通否認防止のための個人情報管理装置

Country Status (4)

Country Link
US (1) US20100316218A1 (ja)
EP (1) EP2110981A1 (ja)
JP (1) JP5403481B2 (ja)
WO (1) WO2008096783A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011075137A1 (en) * 2009-12-18 2011-06-23 Intel Corporation Techniques for offering context to service providers utilizing incentives and user-controlled privacy
US10082574B2 (en) 2011-08-25 2018-09-25 Intel Corporation System, method and computer program product for human presence detection based on audio
JP6472272B2 (ja) * 2015-03-04 2019-02-20 株式会社日立製作所 通信システム、及び収集データ送信方法
US10169775B2 (en) * 2015-08-03 2019-01-01 Comenity Llc Mobile credit acquisition
US11249977B2 (en) 2017-03-03 2022-02-15 Mastercard International Incorporated Method and system for storage and transfer of verified data via blockchain
JP6961960B2 (ja) * 2017-03-13 2021-11-05 ソニーグループ株式会社 情報処理装置および情報処理方法
US10664612B2 (en) * 2018-10-09 2020-05-26 Unboun Tech Ltd. System and method for controlling operations performed on personal information
JP7108765B1 (ja) * 2021-08-10 2022-07-28 金子 賢一 情報処理方法、情報処理装置、情報処理システム、及びプログラム

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3701052B2 (ja) * 1994-07-07 2005-09-28 株式会社リコー 文書伝送方法及び文書伝送装置
JP3906283B2 (ja) 1995-04-14 2007-04-18 株式会社東芝 光ディスクからビデオ及びオーディオを再生する再生システム、その再生方法及び光ディスクの記録方法
JPH10191457A (ja) * 1996-12-27 1998-07-21 Nippon Motorola Ltd 不正クロ−ン端末無線機の検出方法及びその装置
JPH1165443A (ja) * 1997-08-14 1999-03-05 N T T Data:Kk 個人認証情報の管理方式
US6199052B1 (en) * 1998-03-06 2001-03-06 Deloitte & Touche Usa Llp Secure electronic transactions using a trusted intermediary with archive and verification request services
KR100358426B1 (ko) * 1998-08-18 2003-01-29 한국전자통신연구원 전자현금거래방법
JP2002183491A (ja) 2000-12-14 2002-06-28 Ntt Communications Kk 電子文書配信システム及び電子文書仲介装置
US6904521B1 (en) * 2001-02-16 2005-06-07 Networks Associates Technology, Inc. Non-repudiation of e-mail messages
US6971030B2 (en) * 2001-03-26 2005-11-29 International Business Machines Corporation System and method for maintaining user security features
US20030110076A1 (en) * 2001-12-10 2003-06-12 Holt Laurence E. Payment to user for access to user information by others
JP4001536B2 (ja) * 2002-10-09 2007-10-31 富士通株式会社 個人データ保護流通方法及びプログラム
JP2005197912A (ja) * 2004-01-06 2005-07-21 Nippon Telegr & Teleph Corp <Ntt> 情報開示制御方法、情報開示制御プログラム、ならびに、耐タンパ装置
US7593901B2 (en) * 2004-06-30 2009-09-22 Ats S.R.L. System and method for improving reliability of distributed electronic transactions
JP4778242B2 (ja) * 2005-01-26 2011-09-21 Necビッグローブ株式会社 個人情報通信システム及びその方法
JP2006279269A (ja) * 2005-03-28 2006-10-12 Ntt Communications Kk 情報管理装置、情報管理システム、ネットワークシステム、ユーザ端末、及びこれらのプログラム
JP4665617B2 (ja) * 2005-06-10 2011-04-06 沖電気工業株式会社 メッセージ認証システム,メッセージ送信装置,メッセージ受信装置,メッセージ送信方法,メッセージ受信方法およびプログラム
JP2007164449A (ja) * 2005-12-13 2007-06-28 Fujitsu Ltd 個人情報管理装置、個人情報管理装置を用いた個人情報提供方法、個人情報管理装置用プログラムおよび個人情報提供システム
WO2008047401A1 (fr) * 2006-10-16 2008-04-24 Fujitsu Limited Dispositif, procédé et programme de collecte d'informations

Also Published As

Publication number Publication date
US20100316218A1 (en) 2010-12-16
JP5403481B2 (ja) 2014-01-29
WO2008096783A1 (ja) 2008-08-14
EP2110981A1 (en) 2009-10-21

Similar Documents

Publication Publication Date Title
JP5720831B2 (ja) 個人情報の改ざん防止と個人情報流通否認防止のための個人情報管理装置、サービス提供装置、プログラム、個人情報管理方法、照合方法、および個人情報照合システム
AU2021206913B2 (en) Systems and methods for distributed data sharing with asynchronous third-party attestation
US20220207159A1 (en) Systems and methods for privacy management using a digital ledger
EP3509006B1 (en) Information sharing system
US7676433B1 (en) Secure, confidential authentication with private data
JP5403481B2 (ja) 個人情報の改ざん防止と個人情報流通否認防止のための個人情報管理装置
US8117459B2 (en) Personal identification information schemas
US7788499B2 (en) Security tokens including displayable claims
US9811869B2 (en) Registry
US20110055556A1 (en) Method for providing anonymous public key infrastructure and method for providing service using the same
JP2002091299A (ja) 電子署名システム、電子署名方法、電子署名の仲介方法、電子署名の仲介システム、情報端末および記録媒体
JP2015154491A (ja) リモートアクセス、リモートデジタル署名のためのシステムおよび方法
US20220321357A1 (en) User credential control system and user credential control method
KR102280061B1 (ko) 블록체인 기반의 did를 이용한 법인 관련 증명서 발급 시스템 및 방법
CN115409511B (zh) 一种基于区块链的个人信息保护系统
KR101449806B1 (ko) 디지털 정보 상속 방법
JP2009031849A (ja) 電子申請用証明書発行システムおよび電子申請受付システム、並びにそれらの方法およびプログラム
JP2002132996A (ja) 情報存在証明サーバ、情報存在証明方法、および情報存在証明制御プログラム
Pashalidis et al. Privacy in identity and access management systems
EP1205888A2 (en) Certificate issuing method, system and computer readable storage medium
US11677552B2 (en) Method for preventing misuse of a cryptographic key
US20230088787A1 (en) User information management system, user information management method, user agent and program
JP2023155626A (ja) 情報通知システム、情報通知方法、及び情報通知アプリケーションプログラム
CN111310202A (zh) 用于区块链网络的信息处理方法、区块链节点设备及介质
JP2014045233A (ja) 電子証明書発行方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110112

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121219

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130218

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20130620

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130912

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20130919

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131007

R150 Certificate of patent or registration of utility model

Ref document number: 5403481

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131020

LAPS Cancellation because of no payment of annual fees