JPWO2009101755A1 - 個人情報流通制御システムおよび個人情報流通制御方法 - Google Patents

個人情報流通制御システムおよび個人情報流通制御方法 Download PDF

Info

Publication number
JPWO2009101755A1
JPWO2009101755A1 JP2009553352A JP2009553352A JPWO2009101755A1 JP WO2009101755 A1 JPWO2009101755 A1 JP WO2009101755A1 JP 2009553352 A JP2009553352 A JP 2009553352A JP 2009553352 A JP2009553352 A JP 2009553352A JP WO2009101755 A1 JPWO2009101755 A1 JP WO2009101755A1
Authority
JP
Japan
Prior art keywords
personal information
information
providing
request
personal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009553352A
Other languages
English (en)
Inventor
嗣治 斉藤
嗣治 斉藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2009101755A1 publication Critical patent/JPWO2009101755A1/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes

Abstract

個人情報をセキュリティレベルに応じて管理可能な個人情報流通制御システムを提供する。個人情報流通制御システム100は、利用確認必要な第1個人情報を有する第1格納手段10aと第1個人情報の要求を受けると第1個人情報の提供の可否をその情報の保有者に確認し提供可を受けると第1個人情報をその要求の送信元に提供する第1提供手段10bを含む第1提供装置10と、利用確認不要な第2個人情報を有する第2格納手段20aと第2個人情報の要求を受けると第2個人情報をその要求の送信元に提供する第2提供手段20bを含む第2提供装置20と、第1提供手段用の第1アクセス情報と第2提供手段用の第2アクセス情報とを格納する管理手段30aと個人情報の利用確認が必要の旨の必要情報を受けると第1アクセス情報をその送信元に提供し、個人情報の利用確認が不要の旨の不要情報を受けると第2アクセス情報をその送信元に提供する第3提供手段30bを含む選択装置30を含む。

Description

本発明は、個人情報流通制御システムおよび個人情報流通制御方法に関する。
個人情報の保護に関する法律が施行されたが、「本人」であるユーザの同意があれば、様々な目的で個人情報を使用することが可能である。
また、リバティアライアンスの仕様においては、ユーザからの同意を得る仕組みについて、インタラクションサービスという名称の技術仕様が公開されている(非特許文献1参照)。
リバティアライアンスのID−WSF(Identity Web Services Framework)という仕様において、Webサービス・コンシューマ(WSC)からWebサービス・プロバイダ(WSP)へユーザの個人情報を要求する際の、要求メッセージのフォーマットやインタラクションサービスへのリクエストメッセージのフォーマットおよびメッセージ内容の意味の定義が行われている。
特許文献1には、転送確認識別子を用いて個人情報の転送を管理する個人情報管理端末が記載されている。以下、この個人情報管理端末について簡単に説明する。
個人情報管理端末は、種々の個人情報を記憶する。
個人情報管理端末は、転送を要求された個人情報に、転送確認識別子が付与されている場合、その個人情報を転送してよいか否かを、その個人情報の保有者(本人)に確認する。
一方、転送を要求された個人情報に、転送確認識別子が付与されていない場合、個人情報管理端末は、その個人情報を、転送要求先に送信する。
この個人情報管理端末によれば、転送確認識別子が、個人情報に対するユーザの意思に応じて、個人情報に付加されたり付加されなかったりすることにより、要求元は、流通のための許諾確認を必要としない個人情報を、本人の許諾確認を行わずに入手できる。
特開2005−287781号公報 「Liberty Alliance Project」、インターネット、<URL:http://www.projectliberty.org/>
転送許可の確認が必要な個人情報は、転送許可の確認が不要な個人情報より、セキュリティレベルが高いと考えられる。
特許文献1に記載の個人情報管理端末は、転送許可の確認が必要な個人情報と、転送許可の確認が不要な個人情報とを、まとめて記憶している。このため、この個人情報管理端末は、異なるセキュリティレベルでの管理が必要な個人情報を、同じセキュリティレベルで管理することになる。
したがって、この個人情報管理端末は、個人情報を、そのセキュリティレベルに応じて適切に管理することができなかった。
本発明の目的は、上述した課題を解決可能な個人情報流通制御システムおよび個人情報流通制御方法を提供することにある。
本発明の個人情報流通制御システムは、利用確認が必要な第1個人情報を提供する第1提供装置と、利用確認が不要な第2個人情報を提供する第2提供装置と、前記第1提供装置と前記第2提供装置のいずれかにアクセスするためのアクセス情報を提供する選択装置と、を含む個人情報流通制御システムであって、前記第1提供装置は、前記第1個人情報を格納する第1格納手段と、前記第1個人情報の要求を受け付けると、前記第1個人情報の提供の可否を前記第1個人情報の保有者に確認し、当該保有者から提供可を示す情報を受け付けた場合、前記第1個人情報を、前記第1個人情報の要求の送信元に提供する第1提供手段と、を含み、前記第2提供装置は、前記第2個人情報を格納する第2格納手段と、前記第2個人情報の要求を受け付けると、前記第2個人情報の提供の可否を前記第2個人情報の保有者に確認せずに、前記第2個人情報を、前記第2個人情報の要求の送信元に提供する第2提供手段と、を含み、前記選択装置は、前記第1提供手段にアクセスするための第1アクセス情報と、前記第2提供手段にアクセスするための第2アクセス情報と、を格納する管理手段と、個人情報の利用確認が必要の旨の必要情報を受け付けると、前記第1アクセス情報を、当該必要情報の送信元に提供し、個人情報の利用確認が不要の旨の不要情報を受け付けると、前記第2アクセス情報を、当該不要情報の送信元に提供する第3提供手段と、を含む。
本発明の個人情報流通制御システムは、利用確認が必要な第1個人情報を提供する第1提供装置と、利用確認が不要な第2個人情報を提供する第2提供装置と、前記第1提供装置および前記第2提供装置と通信可能な選択装置と、を含む個人情報流通制御システムであって、前記第1提供装置は、前記第1個人情報を格納する第1格納手段と、前記第1個人情報の要求を受け付けると、前記第1個人情報の提供の可否を前記第1個人情報の保有者に確認し、当該保有者から提供可を示す情報を受け付けた場合、前記第1個人情報を、前記第1個人情報の要求の送信元に提供する第1提供手段と、を含み、前記第2提供装置は、前記第2個人情報を格納する第2格納手段と、前記第2個人情報の要求を受け付けると、前記第2個人情報の提供の可否を前記第2個人情報の保有者に確認せずに、前記第2個人情報を、前記第2個人情報の要求の送信元に提供する第2提供手段と、を含み、前記選択装置は、前記第1提供手段にアクセスするための第1アクセス情報と、前記第2提供手段にアクセスするための第2アクセス情報と、を格納する管理手段と、個人情報の利用確認が必要の旨の必要情報を受け付けると、前記第1アクセス情報を用いて前記第1提供手段に前記第1個人情報の要求を提供し、前記第1提供手段から前記第1個人情報を受け付けると、前記第1個人情報を、前記必要情報の送信元に提供し、また、個人情報の利用確認が不要の旨の不要情報を受け付けると、前記第2アクセス情報を用いて前記第2提供手段に前記第2個人情報の要求を提供し、前記第2提供手段から前記第2個人情報を受け付けると、前記第2個人情報を、前記不要情報の要求元に提供する第3提供手段と、を含む。
本発明の個人情報流通制御方法は、利用確認が必要な第1個人情報を格納する第1格納手段を有する第1提供装置と、利用確認が不要な第2個人情報を格納する第2格納手段を有する第2提供装置と、前記第1提供装置にアクセスするための第1アクセス情報と前記第2提供装置にアクセスするための第2アクセス情報とを格納する管理手段を有する選択装置と、を含む個人情報流通制御システムでの個人情報流通制御方法であって、前記選択装置は、個人情報の利用確認が必要の旨の必要情報を受け付けると、前記管理手段内の第1アクセス情報を、前記必要情報の送信元に提供し、個人情報の利用確認が不要の旨の不要情報を受け付けると、前記管理手段内の第2アクセス情報を、前記不要情報の送信元に提供する選択ステップと、前記第1提供装置は、前記第1アクセス情報を用いてアクセスされて前記第1個人情報の要求を受け付けると、前記第1個人情報の提供の可否を前記第1個人情報の保有者に確認し、当該保有者から提供可を示す情報を受け付けた場合、前記第1格納手段内の第1個人情報を、前記第1個人情報の要求の送信元に提供する第1提供ステップと、前記第2提供装置は、前記第2アクセス情報を用いてアクセスされて前記第2個人情報の要求を受け付けると、前記第2個人情報の提供の可否を前記第2個人情報の保有者に確認せずに、前記第2格納手段内の第2個人情報を、前記第2個人情報の要求の送信元に提供する第2提供ステップと、を含む。
本発明の個人情報流通制御方法は、利用確認が必要な第1個人情報を格納する第1格納手段を有する第1提供装置と、利用確認が不要な第2個人情報を格納する第2格納手段を有する第2提供装置と、前記第1提供装置にアクセスするための第1アクセス情報と前記第2提供装置にアクセスするための第2アクセス情報とを格納する管理手段を有する選択装置と、を含む個人情報流通制御システムでの個人情報流通制御方法であって、前記選択装置は、個人情報の利用確認が必要の旨の必要情報を受け付けると、前記管理手段内の第1アクセス情報を用いて前記第1提供装置に前記第1個人情報の要求を提供する第1要求ステップと、前記第1提供装置は、前記選択装置から前記第1個人情報の要求を受け付けると、前記第1個人情報の提供の可否を前記第1個人情報の保有者に確認し、当該保有者から提供可を示す情報を受け付けた場合、前記第1格納手段内の第1個人情報を、前記選択装置に提供する第1提供ステップと、前記選択装置は、前記第1提供装置から前記第1個人情報を受け付けると、当該第1個人情報を、前記必要情報の送信元に提供する第1個人情報提供ステップと、前記選択装置は、個人情報の利用確認が不要の旨の不要情報を受け付けると、前記管理手段内の第2アクセス情報を用いて前記第2提供装置に前記第2個人情報の要求を提供する第2要求ステップと、前記第2提供装置は、前記選択装置から前記第2個人情報の要求を受け付けると、前記第2個人情報の提供の可否を前記第2個人情報の保有者に確認せずに、前記第2格納手段内の第2個人情報を、前記選択装置に提供する第2提供ステップと、前記選択装置は、前記第2提供装置から前記第2個人情報を受け付けると、当該第2個人情報を、前記不要情報の要求元に提供する第2個人情報提供ステップと、を含む。
本発明によれば、個人情報を、その個人情報が必要とするセキュリティレベルに応じて適切に管理することが可能になる。
本発明の第1実施形態の構成を示すブロック図である。 第1実施形態の動作を説明するためのシーケンス図である。 本発明の第2実施形態の構成を示すブロック図である。
符号の説明
100、100A 個人情報流通制御システム
10 第1の個人情報提供装置
10a 格納部
10b 提供部
10b1 許諾確認部
10b2 提供制御部
20 第2の個人情報提供装置
20a 格納部
20b 提供部
30、30A 個人情報提供装置発見装置
30a 個人情報提供装置管理部
30b、30Ab 提供部
30b1、30Ab1 処理管理部
30b2 個人情報提供装置選択部
40 ネットワーク
50 サービス提供装置
50a 制御部
50b 許諾取得指示決定部
次に、本発明を実施するための最良の形態について図面を参照して詳細に説明する。
図1は、本発明の第1実施形態である個人情報流通制御システムを示したブロック図である。
図1を参照すると、個人情報流通制御システム(以下、単に「制御システム」と称する。)100は、第1の個人情報提供装置(以下、単に「提供装置」と称する。)10と、第2の個人情報提供装置(以下、単に「提供装置」と称する。)20と、個人情報提供装置発見装置(以下、単に「発見装置」と称する。)30と、を含む。
提供装置10は、格納部10aと、提供部10bと、を含む。提供部10bは、許諾確認部10b1と、提供制御部10b2と、を含む。提供装置20は、格納部20aと、提供部20bと、を含む。発見装置30は、個人情報提供装置管理部(以下「管理部」と称する。)30aと、提供部30bと、を含む。提供部30bは、処理管理部30b1と、個人情報提供装置選択部(以下、単に「選択部」と称する。)30b2と、を含む。
制御システム100は、ネットワーク40を介して、サービス提供装置50と接続される。サービス提供装置50は、制御部50aと、許諾取得指示決定部(以下、単に「決定部」と称する。)50bと、を含む。
提供装置10は、第1提供装置の一例であり、サービス利用者の第1個人情報(利用確認が必要な)を格納する。提供装置10は、第1個人情報の保有者が、第1個人情報の使用を許諾した場合、第1個人情報を、第1個人情報の要求元(例えば、サービス提供装置50)に提供する。
第1個人情報は、個人情報提供時にサービス利用者の許諾が必要であると、サービス利用者が決定した、サービス利用者の個人情報(例えば、正確な住所、氏名、電話番号、メールアドレスなど)である。第1個人情報は、サービス利用者によって、提供装置10に登録される。
格納部10aは、一般的に第1格納手段と呼ぶことができる。格納部10aは、第1個人情報を格納する。
提供部10bは、一般的に第1提供手段と呼ぶことができる。
提供部10bは、第1個人情報の要求を受け付けると、第1個人情報の提供の可否を、第1個人情報の保有者に確認する。提供部10bは、第1個人情報の保有者から提供可を示す情報を受け付けた場合、第1個人情報を、第1個人情報の要求の送信元に提供する。
許諾確認部10b1は、一般的に許諾確認手段と呼ぶことができる。
許諾確認部10b1は、第1個人情報の要求を受け付けると、第1個人情報の提供の可否を、第1個人情報の保有者に確認し、その保有者から、その確認結果を受け付ける。許諾確認部10b1は、その確認結果を、提供制御部10b2に提供する。
提供制御部10b2は、一般的に提供制御手段と呼ぶことができる。
提供制御部10b2は、許諾確認部10b1からの確認結果が提供可を示す場合、第1個人情報を、第1個人情報の要求の送信元に提供する。一方、確認結果が提供否を示す場合、第1個人情報を、第1個人情報の要求の送信元に提供しない。
提供装置20は、第2提供装置の一例であり、サービス利用者の第2個人情報(利用確認が不要な個人情報)を格納する。提供装置20は、第2個人情報を、第2個人情報の要求元(例えば、サービス提供装置50)に提供する。
第2個人情報は、個人情報提供時にサービス利用者の許諾が必要であると、サービス利用者が決定した、サービス利用者の個人情報(例えば、住所のうちの都道府県のみなど)である。第2個人情報は、サービス利用者によって、提供装置20に登録される。
なお、第2個人情報は、個人情報提供時にサービス利用者の許諾を必要としないサービス利用者の個人情報であり、第1個人情報は、個人情報提供時にサービス利用者の許諾を必要とするサービス利用者の個人情報である。
このため、第1個人情報は、第2個人情報より、セキュリティレベルが高いと考えられる。
格納部20aは、一般的に第2格納手段と呼ぶことができる。格納部20aは、第2個人情報を格納する。
提供部20bは、一般的に第2提供手段と呼ぶことができる。
提供部20は、第2個人情報の要求を受け付けると、第2個人情報の提供の可否を第2個人情報の保有者に確認せずに、第2個人情報を、第2個人情報の要求の送信元に提供する。
サービス提供装置50は、特定のサービス(例えば、荷物の配達の手配、または、アンケート)を個人に提供する。サービス提供装置50は、提供装置10または提供装置20から、サービスの対象となる利用者(以下、「サービス利用者」と称する。)の個人情報を取得し、その個人情報を利用してサービスを提供する。
制御部50aは、一般的にサービス提供制御手段と呼ぶことができる。制御部50aは、サービス提供装置50を制御する。
決定部50bは、一般的に決定手段と呼ぶことができる。
決定部50bは、制御部50aから許諾指示の判定依頼を受け付けると、個人情報提供装置からサービス利用者の個人情報を取得する際に、サービス利用者から個人情報の使用についての許諾を受ける必要があるか否かを、サービス提供装置50が提供するサービスの内容に応じて判断する。決定部50bは、その判断結果を、制御部50aに返答する。
例えば、サービス提供装置50が提供するサービスが、荷物の配達の手配である場合、サービス利用者の正確な住所、氏名、電話番号などが必要となる。この場合、決定部50bは、サービス利用者から許諾が必要である(利用確認必要)という判断を行う。
また、例えば、サービス提供装置50が提供するサービスが、あるアンケートであり、サービス利用者の個人情報として、サービス利用者が住んでいる都道府県の情報のみが必要であるような場合、決定部50bは、サービス利用者による許諾は必要でない(利用確認不要)という判断を行う。
なお、決定部50bは、これらの判断を、サービス提供装置50であらかじめ決められた条件に基づいて行っても構わない。
制御部50aは、決定部50bの判断結果を、個人情報の利用確認の要否を表す確認情報として、発見装置30(具体的には、提供部30b)に提供する。
発見装置30は、選択装置の一例であり、サービス提供装置50からの要求(確認情報)に従い、提供装置10と提供装置20のいずれかを選択し、その選択の結果をサービス提供装置50に返す。
管理部30aは、一般的に管理手段と呼ぶことができる。
管理部30aは、提供装置10(具体的には、提供部10b)にアクセスするための第1アクセス情報と、提供装置20(具体的には、提供部20b)にアクセスするための第2アクセス情報と、を格納する。
提供部30bは、一般的に第3提供手段と呼ぶことができる。
提供部30bは、確認情報を含む個人情報の要求を受け付けると、確認情報が表す内容を確認する。
確認情報が利用確認必要を表す場合には、提供部30bは、その確認情報を必要情報として認識し、第1アクセス情報を、個人情報の要求の送信元(例えば、サービス提供装置50)に提供する。
一方、確認情報が利用確認不要を表す場合には、提供部30bは、その確認情報を不要情報として認識し、第2アクセス情報を、個人情報の要求の送信元(例えば、サービス提供装置50)に提供する。
処理管理部30b1は、一般的に処理管理手段と呼ぶことができる。処理管理部30b1は、例えば、サービス提供装置50から、確認情報を含む個人情報の要求を受け付けると、その個人情報の要求を選択部30b2に提供する。
選択部30b2は、一般的に選択手段と呼ぶことができる。
選択部30b2は、個人情報の要求内の確認情報が利用確認必要を表す場合には、管理部30aから第1アクセス情報を読み出し、その第1アクセス情報を処理管理部30b1に提供する。また、個人情報の要求内の確認情報が利用確認不要を表す場合には、選択部30b2は、管理部30aから第2アクセス情報を読み出し、その第2アクセス情報を処理管理部30b1に提供する。
処理管理部30b1は、選択部30b2から提供された第1アクセス情報を、個人情報の要求の送信元(例えば、サービス提供装置50)に提供する。また、処理管理部30b1は、選択部30b2から提供された第2アクセス情報を、個人情報の要求の送信元(例えば、サービス提供装置50)に提供する。
図2は、制御システム100の動作を説明するためのシーケンス図である。以下、図2を参照して、制御システム100の動作を説明する。
図2は、決定部50bが、サービス利用者の許諾が必要である(利用確認必要)という判断を行う場合の動作を示す。
サービス提供装置50で個人情報が必要になった場合に、ステップ100で、制御部50aは、決定部50bに対して、許諾指示の判定依頼を行う。
続いて、ステップ101で、決定部50bは、サービス利用者に対して個人情報利用の許諾を得るのがよいか、または、個人情報利用の許諾を得ないのがよいのかを判断する。
例えば、サービス提供装置50が提供するサービスが、荷物の配達の手配である場合、サービス提供装置50は、サービス利用者の正確な住所、氏名、電話番号などを必要とし、また、サービス利用者に対して、このサービスではサービス提供装置50へそれらの情報が渡されることを明確にしたほうがよい。その結果、この場合、決定部50bは、サービス利用者からの許諾が必要であるという判断を行う。
また、例えば、サービス提供装置50が提供するサービスが、あるアンケートであり、サービス提供装置50は、サービス利用者が住んでいる都道府県の情報のみ必要であるような場合、サービス利用者の許諾を得る行為のためにサービスの実行を中断すべきでない。 その結果、この場合、決定部50bは、サービス利用者からの許諾は必要でないという判断を行う。
なお、決定部50bは、これらの判断を、サービス提供装置50であらかじめ決められた条件に基づいて行っても構わない。
以下では、サービス利用者からの許諾が必要であると判断されたとする。
ステップ102で、決定部50bは、ステップ101で判定した結果を、制御部50aに通知する。
続いて、ステップ103で、制御部50aは、発見装置30(具体的には、処理管理部30b1)に対し、個人情報提供装置の情報の要求を行う。この要求は、サービス利用者からの許諾が必要かどうかの情報(確認情報)を含む。
なお、この場合、この要求は、サービス利用者からの許諾が必要であることを表す確認情報を含んでいる。
また、この要求は、サービス提供装置50で必要とする個人情報の属性名を含む種別を表す種別情報を含んでもよい。
処理管理部30b1は、制御部50aからの要求を受け付けると、ステップ104で、選択部30b2に対して、その要求を提供して、個人情報提供装置の選択依頼を行う。
続いて、ステップ105で、選択部30b2は、処理管理部30b1からの要求に含まれる、サービスの利用者からの許諾が必要かどうかの情報(確認情報)に基づいて、提供装置10および提供装置20のうちの、どちらかを選択する。
この場合、選択部30b2は、提供装置10の選択を行う。
また、ステップ105で、選択部30b2は、ステップ103でサービス提供装置50から送られた、サービス提供装置50で必要とする個人情報の属性名を含む種別情報を使用して、提供装置10または提供装置20を選択してもよい。
続いて、ステップ106で、選択部30b2は、ステップ105の選択に従い、管理部30aから、提供装置10または提供装置20にアクセスするためのアクセス情報を取得する。
この場合、選択部30b2は、提供装置10にアクセスするためのアクセス情報を取得する。
なお、提供装置にアクセスするためのアクセス情報は、提供装置のURLやIPアドレスなどを含むネットワーク上の位置の情報と、提供装置にプロトコル名を含む個人情報の要求を行う方法と、提供装置で提供される個人情報の属性名を含む種別情報などを含んでよい。
また、提供装置にアクセスするためのアクセス情報は、必ずしも1つとは限らず、複数の提供装置の情報を含んでもよい。
続いて、ステップ107で、選択部30b2は、管理部30aから取得した情報を、処理管理部30b1へ返答する。
続いて、ステップ108で、処理管理部30b1は、選択部30b2から取得した情報を、サービス提供装置50(具体的には、制御部50a)へ返答する。
続いて、ステップ109で、サービス提供装置50(具体的には、制御部50a)は、ステップ108で送られた提供装置へのアクセス情報を利用して、提供装置に対して個人情報の要求を行う。
この場合、制御部50aは、提供装置10に対して個人情報の要求を行う。
なお、ステップ108で送られた提供装置へのアクセス情報に、提供装置に個人情報の要求を行う方法が含まれている場合、制御部50aは、この方法を用いて、提供装置に個人情報の要求を行ってもよい。
この個人情報の要求は、サービス提供装置50で必要とする個人情報の属性名を含む種別を表す種別情報を含んでもよいし、サービス提供装置50で必要とする個人情報の利用目的を表す利用目的情報を含んでもよい。
提供装置10(具体的には、提供制御部10b2)は、個人情報の要求を受け付けると、ステップ110で、許諾確認部10b1に対して、個人情報に要求を提供して、許諾確認指示を行う。
続いて、ステップ111で、許諾確認部10b1は、サービス利用者に対して許諾確認を行う。
ここで、許諾確認は、一般的な方法でよく、例えば、Webブラウザを使用して許諾意思の確認を得たり、サービス利用者宛のメールを送信して通知を行い、そのメールの返信として許諾を得るような場合などが考えられる。
また、許諾確認とともに、個人情報の送付元である提供装置10から個人情報の送付先であるサービス提供装置50に対して個人情報が送られることを示す情報が、サービス利用者に通知されてもよい。
また、制御部50aからの個人情報の要求が、要求されている個人情報の属性名を含む種別情報、および、個人情報の利用目的を表す利用目的情報を含む場合、許諾確認とともに、種別情報および利用目的情報が、サービス利用者に通知されてもよい。
続いて、ステップ112で、許諾確認部10b1は、サービス利用者からの許諾確認の結果を受け付け、その許諾確認の結果を、提供制御部10b2に返答する。
続いて、ステップ113で、提供制御部10b2は、サービス利用者からの許諾確認の結果が許諾を表す場合は、格納部10aから第1個人情報を読み出し、その第1個人情報を含む要求結果を、サービス提供装置50に返答する。一方、サービス利用者からの許諾確認の結果が許諾を表さない場合は、提供制御部10b2は、第1個人情報を含まない要求結果を、サービス提供装置50に返答する。
なお、図2を用いた説明は、決定部50bが許諾ありを選択する場合であるが、決定部50bが、許諾なしを選択する場合は、ステップ105で、提供装置20の選択が行われることと、ステップ106で、提供装置20の情報(アクセス情報)が取得されることと、ステップ109で、提供装置20に対して個人情報の要求が行われることと、ステップ111でユーザに対して許諾確認が行われないことが、決定部50bが許諾ありを選択する場合と異なる。
本実施形態によれば、第1個人情報と第2個人情報とが、別々の提供装置に格納される。このため、各提供装置のセキュリティレベルを変えることで、個人情報を、その個人情報が必要とするセキュリティレベルに応じて適切に管理することが可能になる。
よって、例えば、第2個人情報を、第2個人情報に必要とされるセキュリティレベル以上のセキュリティレベル(例えば、第1個人情報に必要とされるセキュリティレベル)で管理することを防止できる。
したがって、セキュリティ管理に要するコストを抑えつつ、個人情報を、その個人情報が必要とするセキュリティレベルに応じて適切に管理することが可能になる。
また、本実施形態では、提供部10bは、提供部10b(つまり、提供装置10)を表す提供元情報、および、第1個人情報の要求の送信元(本実施形態では、サービス提供装置50)を表す提供先情報のうちの、少なくとも1つ以上を、第1個人情報の保有者に提供して、第1個人情報の提供の可否を、第1個人情報の保有者に確認する。
この場合、第1個人情報の保有者は、第1個人情報の流通経路を考慮した上で、第1個人情報の提供の可否を判断することが可能になる。
また、本実施形態では、提供部10bは、第1個人情報の要求の送信元(本実施形態では、サービス提供装置50)から、第1個人情報の要求と共に、第1個人情報の利用目的を表す利用目的情報を受け付け、その利用目的情報を、第1個人情報の保有者に提供して、第1個人情報の提供の可否を、第1個人情報の保有者に確認する。
この場合、第1個人情報の保有者は、第1個人情報の利用目的を考慮した上で、第1個人情報の提供の可否を判断することが可能になる。
また、本実施形態では、提供部10bは、第1個人情報の要求の送信元(本実施形態では、サービス提供装置50)から、第1個人情報の要求と共に、第1個人情報の種別を表す種別情報を受け付け、その種別情報を、第1個人情報の保有者に提供して、第1個人情報の提供の可否を、第1個人情報の保有者に確認する。
この場合、第1個人情報の保有者は、第1個人情報の種別を考慮した上で、第1個人情報の提供の可否を判断することが可能になる。
次に、本発明の第2実施形態を説明する。
図3は、本発明の第2実施形態である個人情報流通制御システムを示したブロック図である。なお、図3において、図1に示したものと同一のものには同一符号を付してある。
第2実施形態は、発見装置30の代わりに発見装置30Aが使用される点で、第1実施形態と異なる。以下、第2実施形態について、第1実施形態と異なる点を中心に説明する。
発見装置30Aは、選択装置の一例であり、提供装置の情報(アクセス情報)ではなく、直接、個人情報をサービス提供装置50に提供する。
発見装置30Aは、管理部30aと、提供部30Abと、を含む。提供部30Abは、処理管理部30Ab1と、選択部30b2と、を含む。
提供部30Abは、一般的に第3提供手段と呼ぶことができる。
提供部30Abは、個人情報の利用確認が必要の旨の必要情報(確認情報)を受け付けると、管理部30a内の第1アクセス情報を用いて、提供部10bに第1個人情報の要求を提供する。提供部30Abは、提供部10bから第1個人情報を受け付けると、その第1個人情報を、必要情報(確認情報)の送信元(本実施形態では、サービス提供装置50)に提供する。
また、提供部30Abは、個人情報の利用確認が不要の旨の不要情報(確認情報)を受け付けると、管理部30a内の第2アクセス情報を用いて、提供部20bに第2個人情報の要求を提供する。提供部30Abは、提供部20bから第2個人情報を受け付けると、その第2個人情報を、不要情報の要求元(本実施形態では、サービス提供装置50)に提供する。
処理管理部30Ab1は、一般的に処理管理手段と呼ぶことができる。処理管理部30Ab1は、サービス提供装置50から確認情報(確認情報)を受け付けると、その確認情報を選択部30b2に提供する。
処理管理部30Ab1は、選択部30b2から提供された第1アクセス情報を用いて、提供部10bに、第1個人情報の要求を提供する。処理管理部30Ab1は、提供部10bから第1個人情報を受け付けると、その第1個人情報を、必要情報(確認情報)の送信元(本実施形態では、サービス提供装置50)に提供する。
また、処理管理部30Ab1は、選択部30b2から提供された第2アクセス情報を用いて、提供部20bに第2個人情報の要求を提供する。処理管理部30Ab1は、提供部20bから第2個人情報を受け付けると、その第2個人情報を、不要情報(確認情報)の送信元(本実施形態では、サービス提供装置50)に提供する。
第2実施形態の動作としては、処理管理部30Ab1は、図2のステップ108を行わず、図2のステップ109を実行し、ステップ113で提供装置10から返答された個人情報を、サービス提供装置50に返答する。
本実施形態によれば、提供部30Abは、個人情報の利用確認が必要の旨の必要情報(確認情報)を受け付けると、管理部30a内の第1アクセス情報を用いて、提供部10bに第1個人情報の要求を提供する。提供部30Abは、提供部10bから第1個人情報を受け付けると、その第1個人情報を、必要情報(確認情報)の送信元に提供する。
また、提供部30Abは、個人情報の利用確認が不要の旨の不要情報(確認情報)を受け付けると、管理部30a内の第2アクセス情報を用いて、提供部20bに第2個人情報の要求を提供する。提供部30Abは、提供部20bから第2個人情報を受け付けると、その第2個人情報を、不要情報の要求元に提供する。
この場合、第1実施形態に比べて、サービス提供装置50の作業負荷を減らすことが可能になる。
なお、上記各実施形態において、提供装置10と許諾確認部10b1が異なる装置と成ってもよい。
この場合、提供装置10に対してステップ109で行われる要求は、サービス提供装置50からのもので、必ずしもユーザからの要求ではないため、提供装置10は、ユーザの位置が分からない場合がある。
このような場合、標準仕様であるSAML(Security Assertion Markup Language)やLiberty ID-FFの仕様を使用して、ユーザの認証を行う認証サーバから、ユーザの場所を得たり、ユーザからの許可を得たりということが可能となる。
また、上記各実施形態において、サービス提供装置50の信頼度を考慮してもよい。
個人情報はサービス提供装置50に送られるため、サービス利用者は、サービス提供装置50が信頼できる装置であることの確認を要求する場合が考えられる。
この場合、例えば、ステップ104または、ステップ105または、ステップ110において、サービス提供装置50の信頼度が測定され、その測定結果が、サービス利用者に提供される。
信頼度の測定方法は一般的な方法で構わないが、サービス提供装置50のIPアドレスが、あらかじめ登録されたIPアドレスであるという確認や、要求にPKI(Public Key Infrastructure)を使用した署名などを含めることで実現が可能である。
これにより、サービス利用者は、サービス提供装置50が信頼できる場合に、個人情報の送付を許可することが可能となる。
上記各実施形態によれば、サービス利用者の許諾が必要ない個人情報については、サービス利用者の許諾を受けずに個人情報を使用することが可能となる。このため、サービスの実行が、ユーザの許諾を受ける動作により中断されることなしに行うことが可能となる。
上記各実施形態によれば、サービス利用者の許諾が必要な情報については、明示的に、サービス利用者は、個人情報が提供されていることを知ることが可能となる。
また、上記各実施形態によれば、サービス利用者は、自身の意思で許諾が必要な個人情報と許諾が必要ない個人情報を使い分けることが可能となる。これにより、サービス利用者の意思を反映させながら、個人情報の正確さと許諾を行わない利便性とを両立させることが可能となる。
なお、上記各実施形態において、提供装置10と、提供装置20と、発見装置30および30Aと、サービス提供装置50のそれぞれは、ハードディスク等のコンピュータ読み取り可能な記録媒体に記録されたプログラムに従って動作するコンピュータによって実現されてもよい。この場合、各コンピュータは、そのプログラムを記録媒体から読み取り実行することによって、各装置の各構成要素(各手段)として機能する。
また、上記各実施形態は、個人情報流通制御、個人情報保護または属性管理技術の分野に適用可能である。
以上、各実施形態を参照して本願発明を説明したが、本願発明は上記各実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2008年2月13日に出願された日本出願特願2008−31620を基礎とする優先権を主張し、その開示の全てをここに取り込む。

Claims (10)

  1. 利用確認が必要な第1個人情報を提供する第1提供装置と、利用確認が不要な第2個人情報を提供する第2提供装置と、前記第1提供装置と前記第2提供装置のいずれかにアクセスするためのアクセス情報を提供する選択装置と、を含む個人情報流通制御システムであって、
    前記第1提供装置は、
    前記第1個人情報を格納する第1格納手段と、
    前記第1個人情報の要求を受け付けると、前記第1個人情報の提供の可否を前記第1個人情報の保有者に確認し、当該保有者から提供可を示す情報を受け付けた場合、前記第1個人情報を、前記第1個人情報の要求の送信元に提供する第1提供手段と、を含み、
    前記第2提供装置は、
    前記第2個人情報を格納する第2格納手段と、
    前記第2個人情報の要求を受け付けると、前記第2個人情報の提供の可否を前記第2個人情報の保有者に確認せずに、前記第2個人情報を、前記第2個人情報の要求の送信元に提供する第2提供手段と、を含み、
    前記選択装置は、
    前記第1提供手段にアクセスするための第1アクセス情報と、前記第2提供手段にアクセスするための第2アクセス情報と、を格納する管理手段と、
    個人情報の利用確認が必要の旨の必要情報を受け付けると、前記第1アクセス情報を、当該必要情報の送信元に提供し、個人情報の利用確認が不要の旨の不要情報を受け付けると、前記第2アクセス情報を、当該不要情報の送信元に提供する第3提供手段と、を含む、個人情報流通制御システム。
  2. 利用確認が必要な第1個人情報を提供する第1提供装置と、利用確認が不要な第2個人情報を提供する第2提供装置と、前記第1提供装置および前記第2提供装置と通信可能な選択装置と、を含む個人情報流通制御システムであって、
    前記第1提供装置は、
    前記第1個人情報を格納する第1格納手段と、
    前記第1個人情報の要求を受け付けると、前記第1個人情報の提供の可否を前記第1個人情報の保有者に確認し、当該保有者から提供可を示す情報を受け付けた場合、前記第1個人情報を、前記第1個人情報の要求の送信元に提供する第1提供手段と、を含み、
    前記第2提供装置は、
    前記第2個人情報を格納する第2格納手段と、
    前記第2個人情報の要求を受け付けると、前記第2個人情報の提供の可否を前記第2個人情報の保有者に確認せずに、前記第2個人情報を、前記第2個人情報の要求の送信元に提供する第2提供手段と、を含み、
    前記選択装置は、
    前記第1提供手段にアクセスするための第1アクセス情報と、前記第2提供手段にアクセスするための第2アクセス情報と、を格納する管理手段と、
    個人情報の利用確認が必要の旨の必要情報を受け付けると、前記第1アクセス情報を用いて前記第1提供手段に前記第1個人情報の要求を提供し、前記第1提供手段から前記第1個人情報を受け付けると、前記第1個人情報を、前記必要情報の送信元に提供し、また、個人情報の利用確認が不要の旨の不要情報を受け付けると、前記第2アクセス情報を用いて前記第2提供手段に前記第2個人情報の要求を提供し、前記第2提供手段から前記第2個人情報を受け付けると、前記第2個人情報を、前記不要情報の要求元に提供する第3提供手段と、を含む個人情報流通制御システム。
  3. 前記第1提供手段は、前記第1提供手段を表す提供元情報、および、前記第1個人情報の要求の送信元を表す提供先情報のうちの、少なくとも1つ以上を、前記第1個人情報の保有者に提供して、前記第1個人情報の提供の可否を、前記第1個人情報の保有者に確認する、請求の範囲第1項または第2項に記載の個人情報流通制御システム。
  4. 前記第1提供手段は、前記第1個人情報の要求の送信元から、前記第1個人情報の要求と共に、前記第1個人情報の利用目的を表す利用目的情報を受け付け、当該利用目的情報を、前記第1個人情報の保有者に提供して、前記第1個人情報の提供の可否を、前記第1個人情報の保有者に確認する、請求の範囲第1項から第3項のいずれか1項に記載の個人情報流通制御システム。
  5. 前記第1提供手段は、前記第1個人情報の要求の送信元から、前記第1個人情報の要求と共に、前記第1個人情報の種別を表す種別情報を受け付け、当該種別情報を、前記第1個人情報の保有者に提供して、前記第1個人情報の提供の可否を、前記第1個人情報の保有者に確認する、請求の範囲第1項から第4項のいずれか1項に記載の個人情報流通制御システム。
  6. 利用確認が必要な第1個人情報を格納する第1格納手段を有する第1提供装置と、利用確認が不要な第2個人情報を格納する第2格納手段を有する第2提供装置と、前記第1提供装置にアクセスするための第1アクセス情報と前記第2提供装置にアクセスするための第2アクセス情報とを格納する管理手段を有する選択装置と、を含む個人情報流通制御システムでの個人情報流通制御方法であって、
    前記選択装置が、個人情報の利用確認が必要の旨の必要情報を受け付けると、前記管理手段内の第1アクセス情報を、前記必要情報の送信元に提供し、個人情報の利用確認が不要の旨の不要情報を受け付けると、前記管理手段内の第2アクセス情報を、前記不要情報の送信元に提供し、
    前記第1提供装置が、前記第1アクセス情報を用いてアクセスされて前記第1個人情報の要求を受け付けると、前記第1個人情報の提供の可否を前記第1個人情報の保有者に確認し、当該保有者から提供可を示す情報を受け付けた場合、前記第1格納手段内の第1個人情報を、前記第1個人情報の要求の送信元に提供し、
    前記第2提供装置が、前記第2アクセス情報を用いてアクセスされて前記第2個人情報の要求を受け付けると、前記第2個人情報の提供の可否を前記第2個人情報の保有者に確認せずに、前記第2格納手段内の第2個人情報を、前記第2個人情報の要求の送信元に提供する、個人情報流通制御方法。
  7. 利用確認が必要な第1個人情報を格納する第1格納手段を有する第1提供装置と、利用確認が不要な第2個人情報を格納する第2格納手段を有する第2提供装置と、前記第1提供装置にアクセスするための第1アクセス情報と前記第2提供装置にアクセスするための第2アクセス情報とを格納する管理手段を有する選択装置と、を含む個人情報流通制御システムでの個人情報流通制御方法であって、
    前記選択装置が、個人情報の利用確認が必要の旨の必要情報を受け付けると、前記管理手段内の第1アクセス情報を用いて前記第1提供装置に前記第1個人情報の要求を提供し、
    前記第1提供装置が、前記選択装置から前記第1個人情報の要求を受け付けると、前記第1個人情報の提供の可否を前記第1個人情報の保有者に確認し、当該保有者から提供可を示す情報を受け付けた場合、前記第1格納手段内の第1個人情報を、前記選択装置に提供し、
    前記選択装置が、前記第1提供装置から前記第1個人情報を受け付けると、当該第1個人情報を、前記必要情報の送信元に提供し、
    前記選択装置が、個人情報の利用確認が不要の旨の不要情報を受け付けると、前記管理手段内の第2アクセス情報を用いて前記第2提供装置に前記第2個人情報の要求を提供し、
    前記第2提供装置が、前記選択装置から前記第2個人情報の要求を受け付けると、前記第2個人情報の提供の可否を前記第2個人情報の保有者に確認せずに、前記第2格納手段内の第2個人情報を、前記選択装置に提供し、
    前記選択装置が、前記第2提供装置から前記第2個人情報を受け付けると、当該第2個人情報を、前記不要情報の要求元に提供する、個人情報流通制御方法。
  8. 前記第1提供装置が、当該第1提供装置を表す提供元情報、および、前記第1個人情報の要求の送信元を表す提供先情報のうちの、少なくとも1つ以上を、前記第1個人情報の保有者に提供して、前記第1個人情報の提供の可否を、前記第1個人情報の保有者に確認することを含む、請求の範囲第6項または第7項に記載の個人情報流通制御方法。
  9. 前記第1提供装置が、前記第1個人情報の要求の送信元から、前記第1個人情報の要求と共に、前記第1個人情報の利用目的を表す利用目的情報を受け付け、当該利用目的情報を、前記第1個人情報の保有者に提供して、前記第1個人情報の提供の可否を、前記第1個人情報の保有者に確認することを含む、請求の範囲第6項から第8項のいずれか1項に記載の個人情報流通制御方法。
  10. 前記第1提供装置が、前記第1個人情報の要求の送信元から、前記第1個人情報の要求と共に、前記第1個人情報の種別を表す種別情報を受け付け、当該種別情報を、前記第1個人情報の保有者に提供して、前記第1個人情報の提供の可否を、前記第1個人情報の保有者に確認することを含む、請求の範囲第6項から第9項のいずれか1項に記載の個人情報流通制御方法。
JP2009553352A 2008-02-13 2008-12-25 個人情報流通制御システムおよび個人情報流通制御方法 Pending JPWO2009101755A1 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2008031620 2008-02-13
JP2008031620 2008-02-13
PCT/JP2008/073566 WO2009101755A1 (ja) 2008-02-13 2008-12-25 個人情報流通制御システムおよび個人情報流通制御方法

Publications (1)

Publication Number Publication Date
JPWO2009101755A1 true JPWO2009101755A1 (ja) 2011-06-09

Family

ID=40956791

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009553352A Pending JPWO2009101755A1 (ja) 2008-02-13 2008-12-25 個人情報流通制御システムおよび個人情報流通制御方法

Country Status (2)

Country Link
JP (1) JPWO2009101755A1 (ja)
WO (1) WO2009101755A1 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5389702B2 (ja) * 2010-03-12 2014-01-15 株式会社日立製作所 Idブリッジサービスシステム及びその方法
JP5433659B2 (ja) * 2011-09-30 2014-03-05 株式会社東芝 ユーザ情報提供装置及びプログラム
EP3317801A4 (en) * 2015-06-30 2018-07-18 Morphotrust Usa, LLC Electronic security container
US10637664B2 (en) * 2017-07-14 2020-04-28 NortonLifeLock Inc. User-directed identity verification over a network
JPWO2020188665A1 (ja) 2019-03-15 2021-12-16 三菱電機株式会社 個人情報管理装置、個人情報管理システム、個人情報管理方法及びプログラム
JP7171504B2 (ja) * 2019-04-23 2022-11-15 株式会社日立製作所 個人情報管理サーバ、個人情報管理方法及び個人情報管理システム
US20240104080A1 (en) * 2019-10-31 2024-03-28 Nec Corporation Information transaction system, information transaction device, information transaction method, and program
JP7447454B2 (ja) * 2019-12-11 2024-03-12 ソニーグループ株式会社 情報処理方法、プログラム、情報処理装置、情報処理端末
WO2022153885A1 (ja) * 2021-01-18 2022-07-21 日本電気株式会社 システム、流通制御サーバ、データ流通方法及び記録媒体

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002149946A (ja) * 2000-11-06 2002-05-24 Nec Infrontia Corp 個人情報売買方法
JP2003271563A (ja) * 2002-03-19 2003-09-26 Ntt Data Corp 個人情報入力支援装置、個人情報入力支援方法
JP2004192353A (ja) * 2002-12-11 2004-07-08 Nippon Telegr & Teleph Corp <Ntt> 個人情報開示制御システム及び個人情報開示制御方法
JP2004341832A (ja) * 2003-05-15 2004-12-02 Nippon Telegr & Teleph Corp <Ntt> 個人情報管理方法及びシステム、開示用識別子発行装置、個人情報開示装置
JP3738264B2 (ja) * 2004-03-31 2006-01-25 修二 青柳 ゲームキャラクタ提供方法、ゲームキャラクタ提供装置およびプレーヤ端末
JP5036140B2 (ja) * 2005-06-10 2012-09-26 日本電気株式会社 個人情報流通管理システム、個人情報流通管理方法、個人情報提供プログラム及び個人情報利用プログラム

Also Published As

Publication number Publication date
WO2009101755A1 (ja) 2009-08-20

Similar Documents

Publication Publication Date Title
WO2009101755A1 (ja) 個人情報流通制御システムおよび個人情報流通制御方法
JP4729651B2 (ja) 認証装置,認証方法およびその方法を実装した認証プログラム
KR101588932B1 (ko) 메타데이터 조정기를 통한 보안
US10291409B2 (en) Storing, migrating, and controlling access to electronic documents during electronic document signing processes
JP2006344156A (ja) 個人情報流通管理システム、個人情報流通管理方法、個人情報提供プログラム及び個人情報利用プログラム
US20120291109A1 (en) User information utilization system, device, method, and program
JP2004512594A (ja) インターネットサイトに対するアクセス制御方法
MX2009002290A (es) Aspectos de manejo de derechos digitales (drm) de distribucion de contenido digital de par a par.
CN1859402B (zh) Xml文档管理系统及其方法与xml文档访问控制方法
CN104520836B (zh) 用于促进应用之间的服务提供的系统和方法
CN105095130B (zh) 信息处理设备、系统和信息处理方法
JP2022144003A (ja) 情報処理装置及び情報処理プログラム
JP4667326B2 (ja) 認証装置,認証方法およびその方法を実装した認証プログラム
JP6287401B2 (ja) 中継装置、システム及びプログラム
JP5678893B2 (ja) 属性情報連携提供システム、アクセス情報管理装置、アクセス情報代理管理装置、方法、およびプログラム
JP4573559B2 (ja) 分散認証システム、負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラム
JP2014021949A (ja) サービス提供システム、サービス管理装置およびサービス管理装置の情報処理方法
US20130091287A1 (en) System for contact subscription invitations in a cross-domain converged address book system
JP7119797B2 (ja) 情報処理装置及び情報処理プログラム
US10270756B2 (en) Service providing method, and service providing device
JP5434930B2 (ja) 情報管理システム
JP7230329B2 (ja) 情報処理システム
KR20110063025A (ko) 서비스 이용자 정보 관리 시스템, 서비스 이용자 정보 획득 및 관리 방법
JP6378727B2 (ja) メッセージ送信方法、メッセージ送信用プログラム、及びメッセージ送信装置
KR20140008221A (ko) 통신 시스템에서 개인 정보를 관리하는 방법 및 장치