JPWO2012127987A1 - 情報監視装置及び情報監視方法 - Google Patents
情報監視装置及び情報監視方法 Download PDFInfo
- Publication number
- JPWO2012127987A1 JPWO2012127987A1 JP2013505862A JP2013505862A JPWO2012127987A1 JP WO2012127987 A1 JPWO2012127987 A1 JP WO2012127987A1 JP 2013505862 A JP2013505862 A JP 2013505862A JP 2013505862 A JP2013505862 A JP 2013505862A JP WO2012127987 A1 JPWO2012127987 A1 JP WO2012127987A1
- Authority
- JP
- Japan
- Prior art keywords
- attribute
- information
- determination
- acquired
- disclosure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
Landscapes
- Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Medical Informatics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本発明は、開示請求者による、不正利用を目的とした、個人情報の取得を防止することが可能にする情報監視装置、情報監視方法を提供する。その情報監視装置は、取得者が取得済みである取得属性に対応する取得属性情報を記憶する手段と、その取得属性情報とその取得者への開示の対象である開示属性に対応する開示属性情報とに基づいて、その取得属性とその開示属性とを合わせた場合の属性総合情報が、予め定められた1以上の判定条件のそれぞれを満たすか否かの判定を行う手段と、その判定の結果に基づいて、予め定められた属性に対する保護処理を実行する手段と、を含む。
Description
本発明は、情報監視装置、情報監視方法及びプログラムに関し、特に情報の開示を監視する情報監視装置、情報監視方法及びプログラムに関する。
個人情報及び属性情報の開示を監視し、制御する様々な関連技術が知られている。
例えば、特許文献1は、個人情報管理サーバを開示する。特許文献1に記載の個人情報管理サーバは、個人情報蓄積部と開示ポリシ蓄積部と個人情報開示制御部とを備えている。
個人情報蓄積部は、個人情報を蓄積する。
開示ポリシ蓄積部は、個人情報の開示可否を判定するための開示条件を記述した、個人情報開示ポリシを蓄積する。
個人情報開示制御部は、開示請求者端末から所定の利用者(個人情報蓄積部に蓄積された個人情報を備える主体)についての個人情報の開示請求を受信する。続けて、個人情報開示制御部は、その開示請求を受信した場合、開示ポリシ蓄積部からその所定の利用者に対応する個人情報開示ポリシを読み込む。続けて、個人情報開示制御部は、その個人情報開示ポリシに基づいて、その開示請求に対応する個人情報の開示可否を判定する。続けて、個人情報開示制御部は、その開示可否の判定結果が開示可であれば、個人情報蓄積部に蓄積されている、所定の利用者の個人情報を開示請求者端末へ送信する。また、個人情報開示制御部は、その開示可否の判定結果が開示不可であれば、開示不可の通知を開示請求者端末へ送信する。
例えば、特許文献1は、個人情報管理サーバを開示する。特許文献1に記載の個人情報管理サーバは、個人情報蓄積部と開示ポリシ蓄積部と個人情報開示制御部とを備えている。
個人情報蓄積部は、個人情報を蓄積する。
開示ポリシ蓄積部は、個人情報の開示可否を判定するための開示条件を記述した、個人情報開示ポリシを蓄積する。
個人情報開示制御部は、開示請求者端末から所定の利用者(個人情報蓄積部に蓄積された個人情報を備える主体)についての個人情報の開示請求を受信する。続けて、個人情報開示制御部は、その開示請求を受信した場合、開示ポリシ蓄積部からその所定の利用者に対応する個人情報開示ポリシを読み込む。続けて、個人情報開示制御部は、その個人情報開示ポリシに基づいて、その開示請求に対応する個人情報の開示可否を判定する。続けて、個人情報開示制御部は、その開示可否の判定結果が開示可であれば、個人情報蓄積部に蓄積されている、所定の利用者の個人情報を開示請求者端末へ送信する。また、個人情報開示制御部は、その開示可否の判定結果が開示不可であれば、開示不可の通知を開示請求者端末へ送信する。
しかしながら、上述した特許文献に記載された技術においては、開示請求者が、不正利用を目的として、個人情報(属性を含んでもよい)を取得することを防止することが困難であるという問題点がある。
不正利用を目的とした個人情報の取得を防止することが困難である理由は、特許文献1の個人情報管理サーバが、単独の個人情報に対応する開示条件にのみ基づいて、開示可否を判定しているからである。
以下に、この理由を具体的に説明する。
ある開示請求者は、複数の個人情報を統合し、利用者及び個人情報管理サーバの認めた目的以外の目的に個人情報を利用する意図を有している。
一方、特許文献1の個人情報管理サーバは、そのような意図を知ることはできない。そして、この開示要求者からの個人情報の開示要求を受信した場合、特許文献1の個人情報管理サーバは、単独の個人情報に対応する開示条件にのみ基づいて、開示可否を判定する。
従って、この開示請求者は、単独の個人情報に対応する開示条件に違反しないようにして、複数の情報提供者から或いは繰り返し、複数の個人情報を取得することができる。そして、この開示請求者は、取得した複数の個人情報を統合し、利用者及び個人情報管理サーバの認めた目的以外の目的に個人情報を利用することができる。
本発明の目的は、上述した問題点を解決する情報監視装置、情報監視方法及びプログラムを提供することにある。
不正利用を目的とした個人情報の取得を防止することが困難である理由は、特許文献1の個人情報管理サーバが、単独の個人情報に対応する開示条件にのみ基づいて、開示可否を判定しているからである。
以下に、この理由を具体的に説明する。
ある開示請求者は、複数の個人情報を統合し、利用者及び個人情報管理サーバの認めた目的以外の目的に個人情報を利用する意図を有している。
一方、特許文献1の個人情報管理サーバは、そのような意図を知ることはできない。そして、この開示要求者からの個人情報の開示要求を受信した場合、特許文献1の個人情報管理サーバは、単独の個人情報に対応する開示条件にのみ基づいて、開示可否を判定する。
従って、この開示請求者は、単独の個人情報に対応する開示条件に違反しないようにして、複数の情報提供者から或いは繰り返し、複数の個人情報を取得することができる。そして、この開示請求者は、取得した複数の個人情報を統合し、利用者及び個人情報管理サーバの認めた目的以外の目的に個人情報を利用することができる。
本発明の目的は、上述した問題点を解決する情報監視装置、情報監視方法及びプログラムを提供することにある。
本発明の情報管理装置は、取得者が取得済みである取得属性に対応する取得属性情報を記憶する取得属性情報記憶手段と、前記取得属性情報と前記取得者への開示の対象である開示属性に対応する開示属性情報とに基づいて、前記取得属性と前記開示属性とを合わせた場合の属性総合情報が、予め定められた1以上の判定条件のそれぞれを満たすか否かの判定を行い、前記判定の結果を出力する取得状況判定手段と、前記判定の結果に基づいて、予め定められた属性に対する保護処理を実行する保護処理実行手段と、を含む。
本発明の情報管理方法は、記憶手段を含む情報監視装置が、前記記憶手段に取得者が取得済みである取得属性に対応する取得属性情報を記憶し、前記取得属性情報と前記取得者への開示の対象である開示属性に対応する開示属性情報とに基づいて、前記取得属性と前記開示属性とを合わせた場合の属性総合情報が、予め定められた1以上の判定条件のそれぞれを満たすか否かの判定を行い、前記判定の結果を出力し、前記判定の結果に基づいて、予め定められた属性に対する保護処理を実行する。
本発明のプログラムは、記憶手段を含むコンピュータに、前記記憶手段に取得者が取得済みである取得属性に対応する取得属性情報を記憶し、前記取得属性情報と前記取得者への開示の対象である開示属性に対応する開示属性情報とに基づいて、前記取得属性と前記開示属性とを合わせた場合の属性総合情報が、予め定められた1以上の判定条件のそれぞれを満たすか否かの判定を行い、前記判定の結果を出力し、前記判定の結果に基づいて、予め定められた属性に対する保護処理を実行する処理を実行させる。
本発明の情報管理方法は、記憶手段を含む情報監視装置が、前記記憶手段に取得者が取得済みである取得属性に対応する取得属性情報を記憶し、前記取得属性情報と前記取得者への開示の対象である開示属性に対応する開示属性情報とに基づいて、前記取得属性と前記開示属性とを合わせた場合の属性総合情報が、予め定められた1以上の判定条件のそれぞれを満たすか否かの判定を行い、前記判定の結果を出力し、前記判定の結果に基づいて、予め定められた属性に対する保護処理を実行する。
本発明のプログラムは、記憶手段を含むコンピュータに、前記記憶手段に取得者が取得済みである取得属性に対応する取得属性情報を記憶し、前記取得属性情報と前記取得者への開示の対象である開示属性に対応する開示属性情報とに基づいて、前記取得属性と前記開示属性とを合わせた場合の属性総合情報が、予め定められた1以上の判定条件のそれぞれを満たすか否かの判定を行い、前記判定の結果を出力し、前記判定の結果に基づいて、予め定められた属性に対する保護処理を実行する処理を実行させる。
本発明は、開示請求者による、不正利用を目的とした、個人情報の取得を防止することが可能になる、という効果がある。
次に、本発明の実施形態について図面を参照して詳細に説明する。
[第1の実施形態]
図1は、第1の実施形態の構成を示すブロック図である。
図1を参照すると、本実施形態は、提供装置610、取得装置(取得者とも呼ばれる)630、中継部180及び情報監視装置110により構成される。提供装置610と中継部180とは図示しないネットワークで互いに接続されている。また、取得装置630と中継部180とは図示しないネットワークで互いに接続されている。更に、情報監視装置110と中継部180とは図示しないネットワークで互いに接続されている。尚、提供装置610、取得装置630及び中継部180は、それぞれ任意の台数であってよい。
取得装置630は、中継部180へ属性要求を送信し、中継部180からその応答として送信される応答情報を受信する。
ここで、属性要求は、要求対象の属性を指定するための情報であり、例えば、取得者識別情報と要求対象の属性に対応する主体識別情報及び属性名とを含む。また、属性要求は、例えば、取得者識別情報と属性識別情報とで、要求対象の属性を指定するようにしてもよい。更に、属性要求は、複数の属性を指定してもよい。
属性は、属性名(例えば、性別)と属性値(例えば、男性)とを含む情報であり、特定の主体(例えば、人物A)に備わる性質、特徴、その他の情報を示す。
属性識別情報は、個々の属性(例えば、人物Aの属性名「現在位置」の属性)を特定する識別情報である。尚、属性識別情報は、属性名を示す(属性名が単独で属性識別情報と呼ばれる)場合もある。
取得者識別情報は、取得装置630を操作して属性を取得する取得者(例えば、事業者B)を特定する識別情報(例えば、ユーザ識別子B)である。主体識別情報は、属性を備えている主体(例えば、人物A)を特定する識別情報(例えば、ユーザ識別子A)である。
また、応答情報は、例えば、要求された属性それぞれに対応して、属性、加工属性及び提供不可通知のいずれかを含む。加工属性は、属性値を加工(例えば、粒度を粗く)した属性である。提供不可通知は、属性要求で要求された属性を提供しないことを示す情報である。
尚、取得装置630は、提供装置610へ属性要求を送信するようにしてもよい。この場合、取得装置630と提供装置610とは図示しないネットワークで互いに接続されている。
提供装置610は、属性要求を受信し、これに応答して開示属性情報を中継部180へ送信する。図2は、開示属性情報の例を示す図である。図2に示すように、開示属性情報612は、属性要求で要求された属性(開示属性とも呼ばれる)616、その属性の属性識別情報615、その属性要求に対応する取得者識別情報613及びその属性要求に対応する主体識別情報614を含む。尚、開示属性情報612は、例えば、「属性名、属性値」の形式の属性616を含む。
尚、提供装置610は、取得装置630から属性要求を受信した場合も、中継部180へ開示属性情報612を送信する。
中継部180は、取得装置630が送信した属性要求を受信し、提供装置610へ送信する。また、中継部180は、提供装置610が送信した開示属性情報612を受信し、情報監視装置110へ送信する。更に、中継部180は、情報監視装置110から応答情報を受信し、取得装置630へ送信する。
情報監視装置110は、取得属性情報記憶部140と属性総合情報判定部120と保護処理実行部160とを含む。
取得属性情報記憶部140は、属性を取得する取得者が取得済みである1以上の取得属性それぞれに対応する取得属性情報を記憶する。具体的には、情報監視装置110が受信した開示属性情報612の内、応答情報として送信した属性(取得属性)に対応する開示属性情報612の履歴を取得属性情報として記憶する。図3は、取得属性情報記憶部140が記憶する取得属性情報テーブル141の例を示す図である。
図3に示すように、取得属性情報テーブル141は、取得属性情報142を1以上有する。取得属性情報142は、開示属性情報612に含まれる取得者識別情報613、主体識別情報614、属性識別情報615及び属性616それぞれを、取得者識別情報143、主体識別情報144、属性識別情報145及び属性146(取得属性)として含む。
属性総合情報判定部120は、取得属性情報142と特定の開示属性情報612とに基づいて、取得属性と開示属性とを合わせた場合の属性総合情報が、予め定められた1以上の判定条件のそれぞれを満たすか否かの判定を行う。続けて、属性総合情報判定部120は、保護処理実行部160にその判定の結果を出力する。ここで、特定の開示属性情報612は、取得属性を取得した取得者への開示の対象である開示属性に対応する開示属性情報612である。取得属性を取得した取得者への開示の対象である開示属性に対応する開示属性情報612は、中継部180から受信した開示属性情報612である。また、属性総合情報は、取得属性を保有している取得装置630が開示属性を取得した場合の、取得装置630における属性の総合的な取得状態を示す情報である。
ここで、判定条件の例を説明する。
以下では、開示属性情報612に含まれる取得者識別情報613及び主体識別情報614それぞれが一致する、取得者識別情報143及び主体識別情報144を含む取得属性情報142を主体一致属性情報と呼ぶ。
例えば、判定条件は、主体一致属性情報の数が予め定められた閾値(例えば「5」)以上、である。
また例えば、判定条件は、主体一致属性情報及び開示属性情報612のそれぞれに含まれる属性146及び属性616それぞれの属性名の種別の数が予め定められた閾値(例えば、「4」)以上、であってもよい。
また例えば、判定条件は、特定の取得属性情報142の数が予め定められた閾値(例えば、「3」)以上、であってもよい。ここで、特定の取得属性情報142は、開示属性情報612に含まれる取得者識別情報613及び属性識別情報615それぞれが一致する取得者識別情報143及び属性識別情報145それぞれを含む取得属性情報142である。
尚、属性総合情報判定部120は、予め定められた時間(例えば、過去24時間)内に受信した開示属性情報612に対応する取得属性情報142に基づいて判定するようにしてもよい。この場合、取得属性情報142は、対応する開示属性情報612の受信時刻(図示しない)を含むようにしてもよい。
保護処理実行部160は、属性総合情報判定部120から受け取った判定の結果に基づいて、予め定められた保護処理を実行する。保護処理は、属性に対する保護を行う処理である。
ここで、保護処理は、例えば、応答情報として加工属性または提供不可通知を送信することである。また例えば、保護処理は、提供装置610に対して警告を通知することであってもよい。
次に本実施形態の動作について、図1〜図9を参照して詳細に説明する。
まず、以下に示す第1の前提に基づく動作を説明する。
判定条件は、例えば、主体一致属性情報の数が予め定められた閾値以上、である。この閾値は、例えば、「5」である。
保護処理は、例えば、応答情報として属性値の粒度を粗くした加工属性を送信すること及び提供不可通知を送信することのいずれかであるとする。
取得属性情報テーブル141の状態は、図3に示す状態である。尚、図3の状態の取得属性情報テーブル141は、取得者識別情報143が「RID1」かつ主体識別情報144が「SID1」である取得属性情報142を、4つ含んでいる。
受信する開示属性情報612は、図2に示す開示属性情報612である。以上が、第1の前提である。
図4は、本実施形態の情報監視装置110の動作を示すフローチャートである。
まず、属性総合情報判定部120は、開示属性情報612を受信する(S102)。
次に、属性総合情報判定部120は、受信した開示属性情報612を取得属性情報142として、取得属性情報テーブル141に記録する(S104)。尚、この処理により、受信した開示属性情報612は、取得属性情報142の1つとして取得属性情報記憶部140に記憶され、主体一致属性情報は、開示属性情報612を含んだ状態になる。
次に、属性総合情報判定部120は、受信した開示属性情報612に含まれる取得者識別情報613及び主体識別情報614に基づいて、取得属性情報テーブル141を検索して主体一致属性情報である取得属性情報142の数を計数する(S106)。本説明の前提により、計数した数は「5」である。
次に、属性総合情報判定部120は、計数した数が、閾値「5」以上であるか否かを判定する(S108)。本説明の前提により、判定結果は「判定条件を満たす」である。尚、計数した数が「5」未満の場合、判定結果は「判定条件を満たさない」である。
次に、属性総合情報判定部120は、判定した判定結果及び開示属性情報612を保護処理実行部160へ出力する(S112)。
次に、保護処理実行部160は、保護処理を実施する(S114)。具体的には、保護処理実行部160は、受け取った判定結果が「判定条件を満たす」である場合、受け取った開示属性情報612に含まれる、属性616の属性値の粒度を粗くした加工属性及び提供不可通知のいずれかを生成する。尚、保護処理実行部160は、受け取った判定結果が「判定条件を満たさない」である場合、保護処理を実施しない。本説明の前提により、保護処理実行部160は、属性値「21歳」を「20代」に加工した加工属性を生成する。
次に、保護処理実行部160は、加工属性を含む応答情報を送信する(S116)。具体的には、保護処理実行部160は、受け取った判定結果が「判定条件を満たさない」である場合、保護処理を実施していない属性616を含む応答情報を送信する。また、保護処理実行部160は、受け取った判定結果が「判定条件を満たす」であって、加工属性を生成した場合、この加工情報を含む応答情報を送信する。また、受け取った判定結果が「判定条件を満たす」であって、加工属性を生成しなかった場合の保護処理実行部160の動作は、後述の第2の前提条件に基づく説明において説明する。
次に、保護処理実行部160は、保護処理の実施内容を、属性総合情報判定部120に出力する(S118)。保護処理の実施内容は、「応答情報として加工属性を送信したこと」である。
次に、保護処理実行部160は、受け取った保護処理の実施内容に基づいて、開示属性情報612に対応する取得属性情報142を更新する(S122)。保護処理実行部160は、開示属性情報612に対応する取得属性情報142に含まれる属性146の属性値「21歳」を「20代」に更新する。
以上で、第1の前提に基づく動作の説明を終了する。
次に、以下に示す第2の前提に基づく動作を説明する。ここでは、上述の第1の前提に基づく動作の説明と異なる部分について説明する。
判定条件及び保護処理は、第1の前提と同じである。
取得属性情報テーブル141の状態は、例えば、図6に示す状態である。
受信する開示属性情報612は、例えば、図5に示す開示属性情報612である。
属性名が「性別」の属性値(例えば、男)は、粒度を粗くすることができない。以上が、第2の前提である。
第2の前提の場合の情報監視装置110の動作は、第1の前提の場合と同様、図4のフローチャートで示される。
S114では、本説明の前提により、保護処理実行部160は、属性値「男」の粒度を粗くすることができないため、提供不可通知を生成する。
S116では、本説明の前提により、保護処理実行部160は、応答情報として提供不可通知を送信する。これは、受け取った判定結果が「判定条件を満たす」であって、加工属性を生成しなかった場合の保護処理実行部160の動作である。
S118では、保護処理の実施内容は、「応答情報として提供不可通知を送信したこと」である。
S122では、保護処理実行部160は、開示属性情報612に対応する取得属性情報142を削除する。
以上で、第2の前提に基づく動作の説明を終了する。
次に、以下に示す第3の前提に基づく動作を説明する。ここでは、上述の第1の前提に基づく動作の説明と異なる部分について説明する。
判定条件は、例えば、判定条件は、主体一致属性情報及び開示属性情報612のそれぞれに含まれる属性146及び属性616それぞれの属性名の種別の数が予め定められた閾値以上、である。閾値は、例えば、「4」である。
保護処理は、提供装置610に対して警告を通知することである。
取得属性情報テーブル141の状態は、例えば、図6に示す状態である。尚、図6の状態の取得属性情報テーブル141は、取得者識別情報143が「RID1」かつ主体識別情報144が「SID1」である取得属性情報142を、4つ含んでいる。
受信する開示属性情報612は、例えば、図5に示す開示属性情報612である。以上が、第3の前提である。
図7は、上述の前提における本実施形態の情報監視装置110の動作を示すフローチャートである。
まず、情報監視装置110は、S102からS104まで、第1の前提の場合と同様の動作を行う。
次に、属性総合情報判定部120は、受信した開示属性情報612に含まれる取得者識別情報613及び主体識別情報614に基づいて、取得属性情報テーブル141を検索する。そして、属性総合情報判定部120は、主体一致属性情報である取得属性情報142に含まれる属性146の、属性名の種別の数を計数する(S206)。本説明の前提により、計数した数は「4」(年齢、現在位置、職業及び性別)である。
次に、属性総合情報判定部120は、計数した数が、閾値「4」以上であるか否かを判定する(S208)。本説明の前提により、判定結果は「判定条件を満たす」である。尚、計数した数が「4」未満の場合、判定結果は「判定条件を満たさない」である。
S112の動作は、第1の前提の場合の動作と同じである。
次に、保護処理実行部160は、保護処理を実施する(S214)。具体的には、保護処理実行部160は、受け取った判定結果が「判定条件を満たす」である場合、提供装置610に対して警告を送信する。尚、保護処理実行部160は、受け取った判定結果が「判定条件を満たさない」である場合、保護処理を実施しない。本説明の前提により、保護処理実行部160は、提供装置610に対する警告を送信する。尚、この警告は、情報監視装置110と提供装置610間の図示しないインタフェースを使用して送信してもよいし、中継部180を経由して送信してもよい。
次に、保護処理実行部160は、属性616を含む応答情報を送信する(S216)。
以上で、第3の前提に基づく動作の説明を終了する。
次に、以下に示す第4の前提に基づく動作を説明する。ここでは、上述の第1の前提に基づく動作の説明と異なる部分について説明する。
判定条件は、例えば、開示属性情報612に含まれる取得者識別情報613及び属性識別情報615それぞれが一致する取得者識別情報143及び属性識別情報145それぞれを含む取得属性情報142の数が予め定められた閾値以上、である。この閾値は、例えば、「2」である。
受信する開示属性情報612は、例えば、図8に示す開示属性情報612である。
保護処理、取得属性情報テーブル141の状態は、第1の前提と同じである。以上が、第4の前提である。尚、図3の状態の取得属性情報テーブル141は、取得者識別情報143が「RID1」かつ属性識別情報615が「PID12」である取得属性情報142を、2つ含んでいる。
図9は、上述の前提における本実施形態の情報監視装置110の動作を示すフローチャートである。
まず、情報監視装置110は、S102からS104まで、第1の前提の場合と同様の動作を行う。
次に、属性総合情報判定部120は、受信した開示属性情報612に含まれる取得者識別情報613及び属性識別情報615それぞれが一致する取得者識別情報143及び属性識別情報145それぞれを含む取得属性情報142の数を計数する(S406)。本説明の前提により、計数した数は「2」である。
次に、属性総合情報判定部120は、計数した数が、閾値「2」以上であるか否かを判定する(S408)。本説明の前提により、判定結果は「判定条件を満たす」である。尚、計数した数が「2」未満の場合、判定結果は「判定条件を満たさない」である。
S112からS122の動作は第1の前提の場合と同様である。尚、S114では、本説明の前提により、保護処理実行部160は、属性値「47.123457:135.123455」を「47.123:135.123」に加工した加工属性を生成する。また、S122では、本説明の前提により、保護処理実行部160は、開示属性情報612に対応する取得属性情報142に含まれる属性146の属性値「47.123457:135.123455」を「47.123:135.123」に更新する。
以上で、第4の前提に基づく動作の説明を終了する。
上述した第1乃至第4の前提に基づく動作は、図示しない選択部により、予め定められた条件に基づいて、動的に選択されるようにしてもよい。
また、属性総合情報判定部120は、図10に示すように、属性数判定部121、属性種別数判定部122及び属性開示回数判定部123を含んでもよい。図10は、属性総合情報判定部120の内部構成を示すブロック図である。
属性数判定部121は、属性の数の上限値を判定条件として判定を行う。即ち、第1の前提及び第2の前提により説明した動作を行う。
属性種別数判定部122は、属性名の種別の数の上限値を判定条件として判定を行う。即ち、第3の前提により説明した動作を行う。
属性開示回数判定部123は、属性の開示回数の上限値を判定条件として判定を行う。即ち、第4の前提により説明した動作を行う。
尚、属性総合情報判定部120は、保護処理実行部160に判定結果のみを渡すようにしてもよい。この場合、保護処理実行部160は、中継部180に保護処理の内容を指示するようにしてもよい。そして、中継部180は、保護処理実行部160受け取った指示に基づいて、応答情報を生成し、取得装置630に送信するようにしてもよい。その際、中継部180は、応答情報の内容を属性総合情報判定部120に通知するようにしてもよい。
また、保護処理実行部160は、中継部180に含まれていてもよい。
また、中継部180は、情報監視装置110に含まれていてもよい。
上述した本実施形態における効果は、開示請求者による、不正利用を目的とした、個人情報の取得を防止することを可能にする点である。
その理由は、属性総合情報判定部120が、取得者が取得済みの属性と取得者が取得しようとしている属性とに基づいて、属性総合情報の判定を行い、その判定の結果に基づいて、保護処理実行部160が保護処理を実行するようにしたからである。
[第2の実施形態]
次に、第2の実施形態について、図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。
図11は、本実施形態の構成を示すブロック図である。
図11を参照すると、本実施形態は、提供装置670、取得装置630及び情報監視装置210により構成される。提供装置670と情報監視装置210とは図示しないネットワークで互いに接続されている。取得装置630と提供装置670とは、図示しないネットワークで互いに接続されている。尚、提供装置670及び取得装置630は、それぞれ任意の台数であってよい。
取得装置630は、提供装置670へ属性要求を送信し、提供装置670から属性要求への応答として送信される応答情報を受信する。
提供装置670は、属性要求を受信し、これに応答して開示属性情報612を情報監視装置210へ送信する。また、提供装置670は、情報監視装置210へ属性情報を送信し、情報監視装置210から開示属性情報612への応答として送信される保護指示を受信する。
提供装置670は、開示制御機能部680を含む。開示制御機能部680は、受信した保護指示に基づいて、応答情報の内容を決定、即ち属性の開示を制御する。尚、開示制御機能部680は、受信した保護指示と提供装置670が別に保持する保護規則とに基づいて、応答情報の内容を決定、即ち属性の開示を制御するようにしてもよい。
情報監視装置210は、取得属性情報記憶部140と属性総合情報判定部220と保護処理実行部260とを含む。
取得属性情報記憶部140は、第1の実施形態において説明したものと同じである。
属性総合情報判定部220は、第1の実施形態において説明した属性総合情報判定部120と同等である。但し、本実施形態において、属性総合情報判定部220は、提供装置670から開示属性情報612を受信し、判定結果を保護処理実行部260へ出力する。
保護処理実行部260は、第1の実施形態において説明した保護処理実行部160と同等である。但し、本実施形態において、保護処理実行部260は、属性総合情報判定部220から受け取った判定結果に基づいて、予め定められた保護処理を実行する。
また、本実施形態において、保護処理は、例えば、保護の内容を決定し、決定した保護の内容を含む保護指示を提供装置670へ送信することである。尚、保護の内容は、第1の実施形態で説明した加工属性または提供不可通知を送信することである。また例えば、保護の内容は、提供装置670が別に保持する保護規則に基づいて属性の開示を制御することであってもよい。
次に本実施形態の情報監視装置210の動作は、基本的に第1の実施形態の情報監視装置110の動作と実質的に同等であるため、説明を省略する。
次に、本実施形態の第1の変形例について説明する。本変形例は、情報監視装置210に属性が蓄積されることを防止する効果を有する変形例である。
本変形例における情報監視装置210の構成は、図11のブロック図に示す構成である。
図12に、本変形例における開示属性情報622の例を示す図である。図12に示すように、開示属性情報622は、図2に示す開示属性情報612と比べて、属性616を含まず、属性名627及び粒度629を含む点が異なる。
属性名627は、属性616の属性名である。
粒度629は、属性616の属性値の粒度である。本実施形態において、粒度629は、オリジナルの属性値の有効桁数に対する、粒度が粗くなるように加工された属性値の有効桁数の、比で示す。例えば、属性名が「年齢」の属性値の場合、オリジナルの属性値「25歳」(有効桁数が2桁)及び粒度が粗くなるように加工された属性値「20代」(有効桁数が1桁)に対して、粒度629は「0.5」である。尚、加工されていない属性値の粒度629は、「1」とする。
図13は、本変形例における取得属性情報記憶部140が記憶する取得属性情報テーブル241の例を示す図である。図13に示すように取得属性情報テーブル241に含まれる取得属性情報242は、図3に示す取得属性情報142と比べて、属性146を含まず、属性名247及び粒度249を含む点が異なる。
属性名247は、取得属性情報記憶部140に保持されている属性名627である。
粒度249は、取得属性情報記憶部140に保持されている粒度629である。
本変形例において、属性総合情報判定部220は、取得装置630が開示属性情報622に対応する属性を受信した場合に、取得装置630における属性の属性総合情報が、予め定められた1以上の判定条件のそれぞれを満たすか否かの判定を行う。ここで、属性総合情報判定部220は、取得属性情報242と、提供装置670から受信した開示属性情報622とに基づいて、上述の判定を行う。続けて、属性総合情報判定部220は、その判定結果を保護処理実行部260へ出力する。
次に、本変形例の動作について、図11〜図14を参照して詳細に説明する。
ここでは、以下に示す前提に基づく動作を説明する。
判定条件は、例えば、主体一致属性情報に含まれる粒度249の合計が予め定められた閾値以上、である。この閾値は、例えば、「4.1」である。
保護処理は、例えば、応答情報として属性値の粒度を粗くした加工属性を送信すること及び提供不可通知を送信することのいずれかである。
取得属性情報テーブル241の状態は、図13に示す状態である。尚、図13の状態の取得属性情報テーブル241は、取得者識別情報143が「RID1」かつ主体識別情報144が「SID1」である取得属性情報242を、4つ含んでいる。
受信する開示属性情報622は、図12に示す開示属性情報622である。以上が、前提である。
図14は、本変形例における情報監視装置210の動作を示すフローチャートである。
まず、属性総合情報判定部220は、開示属性情報622を受信する(S602)。
次に、属性総合情報判定部220は、受信した開示属性情報622を取得属性情報242として、取得属性情報テーブル241に記録する(S604)。尚、この処理により、受信した開示属性情報622は、取得属性情報242の1つとして取得属性情報記憶部140に記憶され、主体一致属性情報は、開示属性情報622を含んだ状態になる。
次に、属性総合情報判定部220は、受信した開示属性情報622に含まれる取得者識別情報613及び主体識別情報614に基づいて、取得属性情報テーブル241を検索して主体一致属性情報である取得属性情報242に含まれる粒度249の合計を算出する(S606)。本説明の前提により、算出した数は「4.5」である。
次に、属性総合情報判定部220は、算出した数が、閾値「4.1」以上であるか否かを判定する(S608)。本説明の前提により、判定結果は「判定条件を満たす」である。尚、計数した数が「4.1」未満の場合、判定結果は「判定条件を満たさない」である。
次に、属性総合情報判定部220は、判定した判定結果を保護処理実行部260へ出力する(S612)。
次に、保護処理実行部260は、保護処理を実施する(S614)。具体的には、保護処理実行部260は、受け取った判定結果が「判定条件を満たす」である場合、保護の内容を決定し、決定した保護の内容を含む保護指示を提供装置670へ送信する。尚、保護処理実行部260は、受け取った判定結果が「判定条件を満たさない」である場合、保護の内容は「保護不要」である。本説明の前提により、保護の内容は、受け取った開示属性情報622に対応する属性に含まれる属性値の粒度を「0.5」以下にする、である。
尚、保護指示を受信した提供装置670において、開示制御機能部680は、その保護指示に基づいて、応答情報の内容を決定する。開示制御機能部680は、属性名「年齢」の属性値の有効桁数を1桁落とした、加工属性を応答情報とすることを決定する。次に、提供装置670は、開示制御機能部680が決定した応答情報を生成し、取得装置630へ送信する。
次に、保護処理実行部260は、保護指示に含めた保護の内容を、属性総合情報判定部220に出力する(S618)。保護指示に含めた保護の内容は、「応答情報として属性値の粒度を「0.5」以下にする」である。
次に、保護処理実行部260は、受け取った保護処理の実施内容に基づいて、開示属性情報622に対応する取得属性情報242を更新する(S622)。保護処理実行部260は、開示属性情報622に対応する取得属性情報242に含まれる粒度249「1」を「0.5」に更新する。
以上で、本実施形態の第1の変形例の動作の説明を終了する。
上述した本実施形態の第1の変形例の動作と、第1の実施形態と実質的に同等な動作とは、図示しない選択部により、予め定められた条件に基づいて、動的に選択されるようにしてもよい。
尚、情報監視装置210の保護処理実行部260は、提供装置670に実装されてもよい。また、この場合、保護処理実行部260と開示制御機能部680とは、一つのモジュールであってもよい。
また、上述した本実施形態の第1の変形例は、第1の実施形態に適用してもよい。この場合、開示制御機能部680は、中継部180に実装されてもよい。また、この場合、第1の実施形態で説明した第1乃至第4の前提に基づく動作と、上述した本実施形態の第1の変形例による動作とは、図示しない選択部により、予め定められた条件に基づいて、動的に選択されるようにしてもよい。
また、開示属性情報は、暗号化した属性値を含むようにしてもよい。
上述した本実施形態における第1の効果は、第1の実施形態の効果に加えて、提供装置670が中継部180を介さないシステムに接続されている場合においても、開示請求者による、不正利用を目的とした、個人情報の取得を防止することを可能にする点である。
その理由は、属性総合情報判定部220が提供装置670から開示属性情報612及び開示属性情報622を受信し、保護処理実行部260が提供装置670へ保護指示を送信するようにしたからである。
上述した本実施形態における第2の効果は、情報監視装置210に属性が蓄積されることを防止することを可能にする点である。
その理由は、属性総合情報判定部220が取得属性情報242に含まれる粒度249と開示属性情報622に含まれる粒度629とに基づいて、属性総合情報を判定するようにしたからである。
尚、第1の実施形態においても、本実施形態の変形例を適用することで、本実施形態の第2の効果と同様の効果を得ることができる。
[第3の実施形態]
次に、第3の実施形態について、図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。
図15は、本実施形態の構成を示すブロック図である。
図15を参照すると、本実施形態は、提供装置670、取得装置630及び情報監視装置210を含む中継部280により構成される。提供装置670と中継部280とは図示しないネットワークで互いに接続されている。取得装置630と中継部280とは図示しないネットワークで互いに接続されている。取得装置630と提供装置670とは、図示しないネットワークで互いに接続されている。尚、提供装置670及び取得装置630は、それぞれ任意の台数であってよい。
中継部280は、取得装置630が送信した属性要求を受信する。
中継部280の、情報監視装置210の属性総合情報判定部220は、取得装置630がその属性要求に対応する属性を受信した場合に、取得装置630における属性の属性総合情報が、予め定められた1以上の判定条件のそれぞれを満たすか否かの判定を行う。ここで、属性総合情報判定部220は、取得属性情報142と受信した属性要求(例えば、取得者識別情報と要求対象の属性に対応する主体識別情報及び属性名とを含む)とに基づいて、上述の判定を行う。続けて、属性総合情報判定部220は、その判定結果を保護処理実行部260へ出力する。
情報監視装置210の保護処理実行部260は、第2の実施形態で説明した保護処理実行部260と同様の動作を行う。
また、中継部280は、受信した属性要求を提供装置670へ送信する。
提供装置670は、開示制御機能部680を含む。開示制御機能部680は、情報監視装置210の保護処理実行部260から受信した保護指示に基づいて、応答情報の内容を決定、即ち属性の開示を制御する。
次に、提供装置670は、受信した属性要求と保護処理実行部260の決定とに基づいて、応答情報を取得装置630に送信する。
上述した本実施形態における効果は、装置の数を削減して、第1の実施形態と同様の効果を得ることができる点である。
その理由は、中継部280に情報監視装置210を含めるようにしたからである。
[第4の実施形態]
次に、第4の実施形態について、図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。
図16は、本実施形態の構成を示すブロック図である。
図16を参照すると、本実施形態は、提供装置610、取得装置630、中継部180及び情報監視装置310により構成される。情報監視装置310と中継部180とは図示しないネットワークで互いに接続されている。
提供装置610、取得装置630及び中継部180は、第1の実施形態と同じである。
本実施形態の情報監視装置310は、第1の実施形態の情報監視装置110と比べて、取得予測部330を更に含む。また、情報監視装置310は、情報監視装置110と比べて、属性総合情報判定部120に替えて属性総合情報判定部320を含む。
取得予測部330は、取得属性情報142と開示属性情報622とに基づいて、取得者に将来開示する可能性のある属性(予測属性とも呼ぶ)の属性名を予測し、予測した属性名を含む予測属性情報を出力する。
図17は、予測属性情報335の例を示す図である。図17を参照すると、予測属性情報335は、後述する取得予測部330が予測した属性名(種別を示す識別情報とも呼ばれる)を含む。
取得予測部330は、何らかの属性を取得した取得装置630が、更にどのような属性を取得する傾向があるかを示す傾向情報を参照して、上述の予測を行う。尚、取得予測部330は、この傾向情報を、知識情報として予め備えていてよい。また、取得予測部330は、図示しないデータマイニング部を備え、協調フィルタリングなどの既存の手法により、取得属性情報142に基づいて学習し、この傾向情報を生成するようにしてもよい。
図18は、傾向情報332の例を示す図である。図18に示すように、傾向情報332は、既取得情報333及び予測情報334を含む。既取得情報333は、取得装置630が既に取得している属性の属性名を1以上含む。予測情報334は、既取得情報333に含まれる属性名に対応する属性を取得した取得装置630が、更に取得する傾向にある属性の属性名を1以上含む。例えば、1行目の傾向情報332は、属性名「性別」、「現在位置」及び「職業」に対応する属性を取得した取得装置630が、更に属性名「年齢」に対応する属性を取得する傾向があることを示す。また、例えば、2行目の傾向情報332は、属性名「現在位置」に対応する属性を2回取得した取得装置630が、更に属性名「現在位置」に対応する属性を取得する傾向があることを示す。
属性総合情報判定部320は、取得装置630が特定の属性(予測属性)を取得した場合に、取得装置630における属性の属性総合情報が、予め定められた1以上の判定条件のそれぞれを満たすか否かの判定を行う。ここで、属性総合情報判定部320は、予測属性情報335と取得属性情報142と開示属性情報612とに基づいて、上述の判定を行う。また、特定の属性(予測属性)は、開示属性情報612に含まれる属性616及び予測属性情報335に含まれる属性名に対応する属性(予測属性)である。続けて、属性総合情報判定部320は、その判定結果を保護処理実行部160へ出力する。
次に本実施形態の動作について、図16〜図21を参照して詳細に説明する。
まず、以下に示す前提に基づく動作を説明する。
取得属性情報テーブル341の状態は、図20に示す状態である。図20に示すように取得属性情報テーブル341に含まれる取得属性情報342は、図3に示す取得属性情報142と比べて、粒度349を更に含む点が異なる。尚、図20の状態の取得属性情報テーブル341は、取得者識別情報143が「RID1」かつ主体識別情報144が「SID1」である取得属性情報342を、4つ含んでいる。
受信する開示属性情報632は、図19に示す開示属性情報632である。図19に示すように、開示属性情報632は、図2に示す開示属性情報612と比べて、粒度639を更に含む点が異なる。
判定条件は、例えば、主体一致属性情報に含まれる粒度349の合計が予め定められた閾値以上、である。この閾値は、例えば、「6」である。
保護処理は、例えば、応答情報として属性値の粒度を粗くした加工属性を送信すること及び提供不可通知を送信することのいずれかであるとする。
粒度の定義は、第2の実施形態と同じである。以上が、前提である。
図21は、本実施形態における情報監視装置310の動作を示すフローチャートである。
まず、属性総合情報判定部320は、開示属性情報632を受信する(S132)。
次に、属性総合情報判定部320は、受信した開示属性情報632を取得属性情報342として、取得属性情報テーブル341に記録する(S134)。尚、この処理により、受信した開示属性情報632は、取得属性情報342の1つとして取得属性情報記憶部140に記憶され、主体一致属性情報は、開示属性情報632を含んだ状態になる。
次に、属性総合情報判定部320は、開示属性情報632を含む予測要求を取得予測部330へ送信する(S136)。
次に、取得予測部330は、受け取った予測要求に基づいて、取得属性情報テーブル341を参照して予測属性情報335を生成し、属性総合情報判定部320へ出力する(S138)。
次に、属性総合情報判定部320は、特定の取得属性情報342に含まれる粒度349と、予測属性情報335に含まれる属性名の数と、の合計を算出する(S140)。ここで、特定の取得属性情報342は、受信した開示属性情報632に基づいて、取得属性情報テーブル341を検索して得た、主体一致属性情報である1以上の取得属性情報342である。本説明の前提により、計数した数は「6.5」である。尚、計数した数が「6」未満の場合、判定結果は「判定条件を満たさない」である。
次に、属性総合情報判定部320は、計数した数が、閾値「6」以上であるか否かを判定する(S142)。本説明の前提により、判定結果は「判定条件を満たす」である。
次に、属性総合情報判定部320は、判定した判定結果及び開示属性情報632を保護処理実行部160へ出力する(S144)。
次に、保護処理実行部160は、保護処理を実施する(S146)。具体的には、保護処理実行部160は、受け取った判定結果が「判定条件を満たす」である場合、受け取った開示属性情報632に含まれる属性636の属性値の粒度を粗くした加工属性及び提供不可通知のいずれかを生成する。尚、保護処理実行部160は、受け取った判定結果が「判定条件を満たさない」である場合、保護処理を実施しない。本説明の前提により、保護処理実行部160は、属性値「25歳」を「20代」に加工した加工属性を生成する。この加工属性の粒度は、「0.5」である。
次に、保護処理実行部160は、加工属性を含む応答情報を送信する(S148)。具体的な動作は、第1の実施例で説明したステップS116の動作と同じである。
次に、保護処理実行部160は、保護処理の実施内容を、属性総合情報判定部320に出力する(S150)。保護処理の実施内容は、「応答情報として属性値の粒度を「0.5」にした加工属性を送信した」である。
次に、保護処理実行部160は、受け取った保護処理の実施内容に基づいて、開示属性情報632に対応する取得属性情報342を更新する(S152)。保護処理実行部160は、開示属性情報632に対応する取得属性情報342に含まれる属性346の属性値「25歳」を「20代」に更新し、粒度349「1」を「0.5」に更新する。
以上で、上述した前提に基づく、動作の説明を終了する。
本実施形態の変形例として、保護処理実行部160は、属性の相対的な重要度を示す情報を有していてもよい。この場合、保護処理実行部160は、属性の重要度に基づいて、応答情報を生成するようにしてもよい。例えば、保護処理実行部160は、重要度の高い属性については属性を含む応答情報を、重要度の低い属性については開示不可通知を含む応答情報を生成してもよい。
尚、本実施形態において、第1の実施形態で説明した第1乃至第4の前提に基づいて、属性総合情報判定部320が予測属性情報335を含んだ判定を行い、保護処理実行部160が対応する保護処理を実行するようにしてもよい。これらの動作は、第1の実施形態の動作の説明及び本実施形態の動作の説明を参照することにより容易に推定可能であるため詳細な説明を省略する。
また、本実施形態で説明した取得予測部330は、第2の実施形態の情報監視装置210に適用するようにしてもよい。
上述した本実施形態における第1の効果は、第1の実施形態の効果に加え、取得装置630が有効に属性を取得することを可能にする点である。
その理由は、取得予測部330が予測属性情報335を生成し、属性総合情報判定部320が、予測属性情報335に基づいて属性総合情報を判定するようにしたからである。
即ち、事前に粒度を粗くすることで、取得する属性の数を多く保てるようにしたからである。また、相対的に重要度の低い属性を開示しないようにしたからである。
[第5の実施形態]
次に、第5の実施形態について、図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。
図22は、本実施形態の構成を示すブロック図である。
図22を参照すると、本実施形態は、提供装置610、取得装置630、中継部180及び情報監視装置410により構成される。情報監視装置410と中継部180とは図示しないネットワークで互いに接続されている。
提供装置610、取得装置630及び中継部180は、第1の実施形態と同じである。
本実施形態の情報監視装置410は、第1の実施形態の情報監視装置110と比べて、属性総合情報判定部120に替えて属性総合情報判定部420を含む。
属性総合情報判定部420は、匿名度判定部450を含む。
匿名度判定部450は、主体の匿名性の度合いを示す匿名度の下限値を判定条件として、属性総合情報の判定を行う。
匿名度判定部450は、例えば、図23に示すような匿名度情報テーブル451を参照し、取得属性情報142と開示属性情報612とに基づいて、匿名度を取得する。尚、匿名度情報テーブル451は、例えば、匿名度判定部450の図示しない記憶部が記憶している。また例えば、匿名度情報テーブル451は、図示しないインタフェースを介して、外部の装置(図示しない)に記憶された匿名度情報テーブル451を参照するようにしてもよい。
図23は、匿名度情報テーブル451の例を示す図である。図23に示すように、匿名度情報テーブル451は、属性名グループ453と匿名度454とを含む1以上の匿名度情報452を含む。属性名グループ453は、1以上の属性名を含む。匿名度454は、対応する属性名グループ453に含まれる属性名に対応する属性値に基づいて、主体の候補として絞り込まれる人数の、予測値である。
例えば、匿名度情報テーブル451の1行目は、性別、現在位置及び職業に対応する属性値を取得した取得装置630が、それらの属性を備える主体の候補を二人に絞り込める、ことを示している。
具体的な動作の例を、以下に説明する。前提として、取得属性情報テーブル141が図6に示す状態であり、図5に示す開示属性情報612を受け取ったとする。また、判定条件とする匿名度の下限値を「2」とする。
まず、匿名度判定部450は、取得属性情報142と開示属性情報612とから、属性名「年齢」、「現在地」、「職業」及び「性別」を取得する。
次に、匿名度判定部450は、取得した属性名に基づいて、匿名度情報テーブル451を検索する。本例では、匿名度判定部450は、匿名度情報テーブル451の4行目に一致する属性名グループ453を検出する。続けて、匿名度判定部450は、検出した属性名グループ453に対応する匿名度454「1」を取得する。
尚、匿名度判定部450は、一致する属性名グループ453を検出できなかった場合、検索キーにする属性名を1つ減じ、組み合わせを変更しながら、最も小さい値の匿名度454を取得するように動作する。
次に、匿名度判定部450は、取得した匿名度454を判定条件とする匿名度の下限値と比較し、判定を行う。本例では、下限値は「2」であるので、匿名度判定部450は、「判定条件を満たす」と判定する。
本実施形態の動作は、上述の匿名度判定部450の動作を除いて第1の実施形態と同等であるため、詳細な説明を省略する。
尚、匿名度判定部450は、例えば、図示しない手段が示す、属性の実際のデータ分布を参照し、取得属性情報142と開示属性情報612とに基づいて、匿名度を取得するようにしてもよい。
また、本実施形態に、第34実施形態の取得予測部330を適用してもよい。この場合、匿名度判定部450は、取得属性情報142と開示属性情報612と第4の実施形態で説明した予測属性情報335とに基づいて、匿名度を取得するようにしてもよい。
更にまた、本実施形態に、第1の実施形態で説明した、属性数判定部121、属性種別数判定部122及び属性開示回数判定部123を適用してもよい。
また、本実施形態で説明した匿名度判定部450は、第2の実施形態の情報監視装置210に適用するようにしてもよい。
上述した本実施形態における効果は、第1の実施形態の効果に加えて、開示請求者による、不正利用を目的とした、個人(主体)の特定を防止することを可能にする点である。
その理由は、匿名度判定部450が、匿名度を判定条件として、属性総合情報の判定を行うようにしたからである。
[第6の実施形態]
次に、第6の実施形態について、図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。
図24は、本実施形態の構成を示すブロック図である。
図24を参照すると、本実施形態の構成は、第1の実施形態に比べて、主体者装置640及び識別子管理変換部650が追加されている。
取得装置630と主体者装置640とは図示しないネットワークで互いに接続されている。また、主体者装置640と識別子管理変換部650とは図示しないネットワークで互いに接続されている。更に、識別子管理変換部650と中継部180とは図示しないネットワークで互いに接続されている。更に、取得装置630と主体者装置640とは図示しないネットワークで互いに接続されている。尚、主体者装置640及び識別子管理変換部650は、それぞれ任意の台数であってよい。
主体者装置640は、取得装置630からサービスを受ける。主体者装置640は、取得装置630からサービスを受ける際の識別子を識別子管理部650に通知する。例えば、主体者装置640は、その通知した識別子を用いて、取得装置630にログインする。
また、主体者装置640は、後述する、「識別子の変更を促す警告」を受信した場合、取得装置630からサービスを受ける際の新たな(変更した)識別子を識別子管理部650に通知する。
取得装置630は、主体者装置640がログインに使用した識別子を主体識別情報614として、開示要求を識別子管理変換部650へ送信する。
中継部180は、情報監視装置110から受信した「識別子の変更を促す警告」を識別子管理変換部650へ送信する。
識別子管理変換部650は、取得装置630から受信した属性要求の主体識別情報614を、提供装置610用の主体識別情報614に変換して、その属性要求を中継部180へ送信する。
また、識別子管理変換部650は、中継部180から受信した応答情報に含まれる主体識別情報614を、取得装置630から受信した属性要求に含まれていた主体識別情報614に変換して、その応答情報を取得装置630へ送信する。
本実施形態の変形例として、上述の主体者装置640、取得装置630及び識別子管理変換部650の機能は、例えば、OpenID(OpenIDentity)やLiberty−IDFF(Liberty−IDentity Federation Framework)やのID(IDentifier)管理・連携機能により実現してもよい。
こうした場合、利用するID管理・連携機能により、ログインの手順や識別子の通知方法は異なる。
図25は、本実施形態の変形例を示す図である。図25に示すように本実施形態の変形例においては、図25に示すように、取得装置630は、識別子管理部650を経由せず、開示要求を中継部180へ直接送信する。
尚、OpenID及びLiberty−IDFFは、当業者において周知技術であるため、詳細な動作の説明は省略する。
情報監視装置110の保護処理実行部160は、属性総合情報判定部120が出力する判定結果に基づいて、主体者装置640に対する「識別子の変更を促す警告」を、中継部180へ送信する。
中継部180は、受信した応答情報を識別子管理変換部650へ送信する。
尚、識別子管理変換部650は中継部180を含むようにしてもよい。逆に、中継部180は識別子管理変換部650を含むようにしてもよい。
また、第2の実施形態に本実施形態の機能を適用してもよい。この場合、識別子管理変換部650は、提供装置610と接続される。
上述した本実施形態における効果は、第1の実施形態の効果に加えて、開示請求者による、不正利用を目的とした、個人情報の取得を防止しつつ、主体者装置640が取得装置630からのサービス享受を継続することを可能にする点である。
その理由は、属性総合情報判定部120の判定の結果に基づいて、保護処理実行部160が主体者装置640に対する「識別子の変更を促す警告」を送信するようにしたからである。
[第7の実施形態]
次に、第7の実施形態について、図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。
図26は、本実施形態の構成を示すブロック図である。図26に示すように本実施形態の情報監視装置110は、属性総合情報判定部120、保護処理実行部160及び取得属性情報記憶部140を含む。
取得属性情報記憶部140は、属性を取得する取得者が取得済みである1以上の取得属性それぞれに対応する取得属性情報142を記憶する。
属性総合情報判定部120は、取得属性情報142と特定の開示属性情報612とに基づいて、その取得属性とその開示属性とを合わせた場合の属性総合情報が、予め定められた1以上の判定条件のそれぞれを満たすか否かの判定を行う。続けて、属性総合情報判定部120は、保護処理実行部160にその判定の結果を出力する。ここで、特定の開示属性情報612は、取得属性を取得した取得者への開示の対象である開示属性に対応する開示属性情報612である。
保護処理実行部160は、属性総合情報判定部120から受け取った判定の結果に基づいて、予め定められた開示属性に対する保護処理を実行する。
情報監視装置110は、図27に示すような、汎用的なコンピュータによって構成される情報監視装置700であってもよい。
図27は、本実施形態における、プログラムにより所定の処理をコンピュータに実行させる情報監視装置700の構成を示すブロック図である。
図27を参照すると、情報監視装置700は、CPU(Central Processing Unit)710、ディスク装置720、記憶部730及び通信部750を備えている。
図26における情報監視装置110の属性総合情報判定部120及び保護処理実行部160は、情報監視装置700のCPU710とディスク装置720と記憶部730とに対応する。また、情報監視装置110の取得属性情報記憶部140は、記憶部730に対応する。
CPU710は、ディスク装置720に格納されたプログラムを、例えば記憶部730に展開し、展開したプログラムに基づいて、属性総合情報判定部120及び保護処理実行部160として動作する。
尚、上述のプログラムのコードを記録した記録媒体(または記憶媒体)が、情報監視装置700に供給され、CPU710は、記録媒体に格納されたプログラムのコードを読み出し実行するようにしてもよい。或いは、CPU710は、記録媒体に格納されたプログラムのコードをディスク装置720に格納するようにしてもよい。
すなわち、本実施形態は、前述の各実施形態における情報監視装置110、210、310、410及び510が実行するためのソフトウェア(情報処理プログラム)を一時的に記憶するまたは非一時的に記憶する記録媒体770も含む。非一時的に記憶する記録媒体は、不揮発性記憶媒体とも呼ばれる。
ディスク装置720は、そのプログラムを記憶する。
記憶部730は、展開されたそのプログラムを記憶する。
通信部750は、属性総合情報判定部120及び保護処理実行部160に含まれる。
上述した本実施形態における効果は、開示請求者による、不正利用を目的とした、個人情報の取得を防止することを可能にする点である。
その理由は、属性総合情報判定部120が、取得者が取得済みの属性と取得者が取得しようとしている属性とに基づいて、属性総合情報の判定を行い、その判定の結果に基づいて、保護処理実行部160が保護処理を実行するようにしたからである。
尚、第1乃至7の実施形態の情報監視装置は、第7の実施形態の情報監視装置と同様に、図27に示すような汎用的なコンピュータによって構成される情報監視装置であってもよい。
以上の各実施形態で説明した各構成要素は、必ずしも個々に独立した存在である必要はない。例えば、各構成要素は、複数の構成要素が1個のモジュールとして実現されたり、一つの構成要素が複数のモジュールで実現されたりしてもよい。また、各構成要素は、ある構成要素が他の構成要素の一部であったり、ある構成要素の一部と他の構成要素の一部とが重複していたり、といったような構成であってもよい。
また、以上説明した各実施形態では、複数の動作をフローチャートの形式で順番に記載してあるが、その記載の順番は複数の動作を実行する順番を限定するものではない。このため、各実施形態を実施するときには、その複数の動作の順番は内容的に支障しない範囲で変更することができる。
更に、以上説明した各実施形態では、複数の動作は個々に相違するタイミングで実行されることに限定されない。例えば、ある動作の実行中に他の動作が発生したり、ある動作と他の動作との実行タイミングが部分的に乃至全部において重複していたりしていてもよい。
更に、以上説明した各実施形態では、ある動作が他の動作の契機になるように記載しているが、その記載はある動作と他の動作の全ての関係を限定するものではない。このため、各実施形態を実施するときには、その複数の動作の関係は内容的に支障のない範囲で変更することができる。また各構成要素の各動作の具体的な記載は、各構成要素の各動作を限定するものではない。このため、各構成要素の具体的な各動作は、各実施形態を実施する上で機能的、性能的、その他の特性に対して支障をきたさない範囲内で変更されて良い。
以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2011年3月24日に出願された日本出願特願2011−066206を基礎とする優先権を主張し、その開示の全てをここに取り込む。
[第1の実施形態]
図1は、第1の実施形態の構成を示すブロック図である。
図1を参照すると、本実施形態は、提供装置610、取得装置(取得者とも呼ばれる)630、中継部180及び情報監視装置110により構成される。提供装置610と中継部180とは図示しないネットワークで互いに接続されている。また、取得装置630と中継部180とは図示しないネットワークで互いに接続されている。更に、情報監視装置110と中継部180とは図示しないネットワークで互いに接続されている。尚、提供装置610、取得装置630及び中継部180は、それぞれ任意の台数であってよい。
取得装置630は、中継部180へ属性要求を送信し、中継部180からその応答として送信される応答情報を受信する。
ここで、属性要求は、要求対象の属性を指定するための情報であり、例えば、取得者識別情報と要求対象の属性に対応する主体識別情報及び属性名とを含む。また、属性要求は、例えば、取得者識別情報と属性識別情報とで、要求対象の属性を指定するようにしてもよい。更に、属性要求は、複数の属性を指定してもよい。
属性は、属性名(例えば、性別)と属性値(例えば、男性)とを含む情報であり、特定の主体(例えば、人物A)に備わる性質、特徴、その他の情報を示す。
属性識別情報は、個々の属性(例えば、人物Aの属性名「現在位置」の属性)を特定する識別情報である。尚、属性識別情報は、属性名を示す(属性名が単独で属性識別情報と呼ばれる)場合もある。
取得者識別情報は、取得装置630を操作して属性を取得する取得者(例えば、事業者B)を特定する識別情報(例えば、ユーザ識別子B)である。主体識別情報は、属性を備えている主体(例えば、人物A)を特定する識別情報(例えば、ユーザ識別子A)である。
また、応答情報は、例えば、要求された属性それぞれに対応して、属性、加工属性及び提供不可通知のいずれかを含む。加工属性は、属性値を加工(例えば、粒度を粗く)した属性である。提供不可通知は、属性要求で要求された属性を提供しないことを示す情報である。
尚、取得装置630は、提供装置610へ属性要求を送信するようにしてもよい。この場合、取得装置630と提供装置610とは図示しないネットワークで互いに接続されている。
提供装置610は、属性要求を受信し、これに応答して開示属性情報を中継部180へ送信する。図2は、開示属性情報の例を示す図である。図2に示すように、開示属性情報612は、属性要求で要求された属性(開示属性とも呼ばれる)616、その属性の属性識別情報615、その属性要求に対応する取得者識別情報613及びその属性要求に対応する主体識別情報614を含む。尚、開示属性情報612は、例えば、「属性名、属性値」の形式の属性616を含む。
尚、提供装置610は、取得装置630から属性要求を受信した場合も、中継部180へ開示属性情報612を送信する。
中継部180は、取得装置630が送信した属性要求を受信し、提供装置610へ送信する。また、中継部180は、提供装置610が送信した開示属性情報612を受信し、情報監視装置110へ送信する。更に、中継部180は、情報監視装置110から応答情報を受信し、取得装置630へ送信する。
情報監視装置110は、取得属性情報記憶部140と属性総合情報判定部120と保護処理実行部160とを含む。
取得属性情報記憶部140は、属性を取得する取得者が取得済みである1以上の取得属性それぞれに対応する取得属性情報を記憶する。具体的には、情報監視装置110が受信した開示属性情報612の内、応答情報として送信した属性(取得属性)に対応する開示属性情報612の履歴を取得属性情報として記憶する。図3は、取得属性情報記憶部140が記憶する取得属性情報テーブル141の例を示す図である。
図3に示すように、取得属性情報テーブル141は、取得属性情報142を1以上有する。取得属性情報142は、開示属性情報612に含まれる取得者識別情報613、主体識別情報614、属性識別情報615及び属性616それぞれを、取得者識別情報143、主体識別情報144、属性識別情報145及び属性146(取得属性)として含む。
属性総合情報判定部120は、取得属性情報142と特定の開示属性情報612とに基づいて、取得属性と開示属性とを合わせた場合の属性総合情報が、予め定められた1以上の判定条件のそれぞれを満たすか否かの判定を行う。続けて、属性総合情報判定部120は、保護処理実行部160にその判定の結果を出力する。ここで、特定の開示属性情報612は、取得属性を取得した取得者への開示の対象である開示属性に対応する開示属性情報612である。取得属性を取得した取得者への開示の対象である開示属性に対応する開示属性情報612は、中継部180から受信した開示属性情報612である。また、属性総合情報は、取得属性を保有している取得装置630が開示属性を取得した場合の、取得装置630における属性の総合的な取得状態を示す情報である。
ここで、判定条件の例を説明する。
以下では、開示属性情報612に含まれる取得者識別情報613及び主体識別情報614それぞれが一致する、取得者識別情報143及び主体識別情報144を含む取得属性情報142を主体一致属性情報と呼ぶ。
例えば、判定条件は、主体一致属性情報の数が予め定められた閾値(例えば「5」)以上、である。
また例えば、判定条件は、主体一致属性情報及び開示属性情報612のそれぞれに含まれる属性146及び属性616それぞれの属性名の種別の数が予め定められた閾値(例えば、「4」)以上、であってもよい。
また例えば、判定条件は、特定の取得属性情報142の数が予め定められた閾値(例えば、「3」)以上、であってもよい。ここで、特定の取得属性情報142は、開示属性情報612に含まれる取得者識別情報613及び属性識別情報615それぞれが一致する取得者識別情報143及び属性識別情報145それぞれを含む取得属性情報142である。
尚、属性総合情報判定部120は、予め定められた時間(例えば、過去24時間)内に受信した開示属性情報612に対応する取得属性情報142に基づいて判定するようにしてもよい。この場合、取得属性情報142は、対応する開示属性情報612の受信時刻(図示しない)を含むようにしてもよい。
保護処理実行部160は、属性総合情報判定部120から受け取った判定の結果に基づいて、予め定められた保護処理を実行する。保護処理は、属性に対する保護を行う処理である。
ここで、保護処理は、例えば、応答情報として加工属性または提供不可通知を送信することである。また例えば、保護処理は、提供装置610に対して警告を通知することであってもよい。
次に本実施形態の動作について、図1〜図9を参照して詳細に説明する。
まず、以下に示す第1の前提に基づく動作を説明する。
判定条件は、例えば、主体一致属性情報の数が予め定められた閾値以上、である。この閾値は、例えば、「5」である。
保護処理は、例えば、応答情報として属性値の粒度を粗くした加工属性を送信すること及び提供不可通知を送信することのいずれかであるとする。
取得属性情報テーブル141の状態は、図3に示す状態である。尚、図3の状態の取得属性情報テーブル141は、取得者識別情報143が「RID1」かつ主体識別情報144が「SID1」である取得属性情報142を、4つ含んでいる。
受信する開示属性情報612は、図2に示す開示属性情報612である。以上が、第1の前提である。
図4は、本実施形態の情報監視装置110の動作を示すフローチャートである。
まず、属性総合情報判定部120は、開示属性情報612を受信する(S102)。
次に、属性総合情報判定部120は、受信した開示属性情報612を取得属性情報142として、取得属性情報テーブル141に記録する(S104)。尚、この処理により、受信した開示属性情報612は、取得属性情報142の1つとして取得属性情報記憶部140に記憶され、主体一致属性情報は、開示属性情報612を含んだ状態になる。
次に、属性総合情報判定部120は、受信した開示属性情報612に含まれる取得者識別情報613及び主体識別情報614に基づいて、取得属性情報テーブル141を検索して主体一致属性情報である取得属性情報142の数を計数する(S106)。本説明の前提により、計数した数は「5」である。
次に、属性総合情報判定部120は、計数した数が、閾値「5」以上であるか否かを判定する(S108)。本説明の前提により、判定結果は「判定条件を満たす」である。尚、計数した数が「5」未満の場合、判定結果は「判定条件を満たさない」である。
次に、属性総合情報判定部120は、判定した判定結果及び開示属性情報612を保護処理実行部160へ出力する(S112)。
次に、保護処理実行部160は、保護処理を実施する(S114)。具体的には、保護処理実行部160は、受け取った判定結果が「判定条件を満たす」である場合、受け取った開示属性情報612に含まれる、属性616の属性値の粒度を粗くした加工属性及び提供不可通知のいずれかを生成する。尚、保護処理実行部160は、受け取った判定結果が「判定条件を満たさない」である場合、保護処理を実施しない。本説明の前提により、保護処理実行部160は、属性値「21歳」を「20代」に加工した加工属性を生成する。
次に、保護処理実行部160は、加工属性を含む応答情報を送信する(S116)。具体的には、保護処理実行部160は、受け取った判定結果が「判定条件を満たさない」である場合、保護処理を実施していない属性616を含む応答情報を送信する。また、保護処理実行部160は、受け取った判定結果が「判定条件を満たす」であって、加工属性を生成した場合、この加工情報を含む応答情報を送信する。また、受け取った判定結果が「判定条件を満たす」であって、加工属性を生成しなかった場合の保護処理実行部160の動作は、後述の第2の前提条件に基づく説明において説明する。
次に、保護処理実行部160は、保護処理の実施内容を、属性総合情報判定部120に出力する(S118)。保護処理の実施内容は、「応答情報として加工属性を送信したこと」である。
次に、保護処理実行部160は、受け取った保護処理の実施内容に基づいて、開示属性情報612に対応する取得属性情報142を更新する(S122)。保護処理実行部160は、開示属性情報612に対応する取得属性情報142に含まれる属性146の属性値「21歳」を「20代」に更新する。
以上で、第1の前提に基づく動作の説明を終了する。
次に、以下に示す第2の前提に基づく動作を説明する。ここでは、上述の第1の前提に基づく動作の説明と異なる部分について説明する。
判定条件及び保護処理は、第1の前提と同じである。
取得属性情報テーブル141の状態は、例えば、図6に示す状態である。
受信する開示属性情報612は、例えば、図5に示す開示属性情報612である。
属性名が「性別」の属性値(例えば、男)は、粒度を粗くすることができない。以上が、第2の前提である。
第2の前提の場合の情報監視装置110の動作は、第1の前提の場合と同様、図4のフローチャートで示される。
S114では、本説明の前提により、保護処理実行部160は、属性値「男」の粒度を粗くすることができないため、提供不可通知を生成する。
S116では、本説明の前提により、保護処理実行部160は、応答情報として提供不可通知を送信する。これは、受け取った判定結果が「判定条件を満たす」であって、加工属性を生成しなかった場合の保護処理実行部160の動作である。
S118では、保護処理の実施内容は、「応答情報として提供不可通知を送信したこと」である。
S122では、保護処理実行部160は、開示属性情報612に対応する取得属性情報142を削除する。
以上で、第2の前提に基づく動作の説明を終了する。
次に、以下に示す第3の前提に基づく動作を説明する。ここでは、上述の第1の前提に基づく動作の説明と異なる部分について説明する。
判定条件は、例えば、判定条件は、主体一致属性情報及び開示属性情報612のそれぞれに含まれる属性146及び属性616それぞれの属性名の種別の数が予め定められた閾値以上、である。閾値は、例えば、「4」である。
保護処理は、提供装置610に対して警告を通知することである。
取得属性情報テーブル141の状態は、例えば、図6に示す状態である。尚、図6の状態の取得属性情報テーブル141は、取得者識別情報143が「RID1」かつ主体識別情報144が「SID1」である取得属性情報142を、4つ含んでいる。
受信する開示属性情報612は、例えば、図5に示す開示属性情報612である。以上が、第3の前提である。
図7は、上述の前提における本実施形態の情報監視装置110の動作を示すフローチャートである。
まず、情報監視装置110は、S102からS104まで、第1の前提の場合と同様の動作を行う。
次に、属性総合情報判定部120は、受信した開示属性情報612に含まれる取得者識別情報613及び主体識別情報614に基づいて、取得属性情報テーブル141を検索する。そして、属性総合情報判定部120は、主体一致属性情報である取得属性情報142に含まれる属性146の、属性名の種別の数を計数する(S206)。本説明の前提により、計数した数は「4」(年齢、現在位置、職業及び性別)である。
次に、属性総合情報判定部120は、計数した数が、閾値「4」以上であるか否かを判定する(S208)。本説明の前提により、判定結果は「判定条件を満たす」である。尚、計数した数が「4」未満の場合、判定結果は「判定条件を満たさない」である。
S112の動作は、第1の前提の場合の動作と同じである。
次に、保護処理実行部160は、保護処理を実施する(S214)。具体的には、保護処理実行部160は、受け取った判定結果が「判定条件を満たす」である場合、提供装置610に対して警告を送信する。尚、保護処理実行部160は、受け取った判定結果が「判定条件を満たさない」である場合、保護処理を実施しない。本説明の前提により、保護処理実行部160は、提供装置610に対する警告を送信する。尚、この警告は、情報監視装置110と提供装置610間の図示しないインタフェースを使用して送信してもよいし、中継部180を経由して送信してもよい。
次に、保護処理実行部160は、属性616を含む応答情報を送信する(S216)。
以上で、第3の前提に基づく動作の説明を終了する。
次に、以下に示す第4の前提に基づく動作を説明する。ここでは、上述の第1の前提に基づく動作の説明と異なる部分について説明する。
判定条件は、例えば、開示属性情報612に含まれる取得者識別情報613及び属性識別情報615それぞれが一致する取得者識別情報143及び属性識別情報145それぞれを含む取得属性情報142の数が予め定められた閾値以上、である。この閾値は、例えば、「2」である。
受信する開示属性情報612は、例えば、図8に示す開示属性情報612である。
保護処理、取得属性情報テーブル141の状態は、第1の前提と同じである。以上が、第4の前提である。尚、図3の状態の取得属性情報テーブル141は、取得者識別情報143が「RID1」かつ属性識別情報615が「PID12」である取得属性情報142を、2つ含んでいる。
図9は、上述の前提における本実施形態の情報監視装置110の動作を示すフローチャートである。
まず、情報監視装置110は、S102からS104まで、第1の前提の場合と同様の動作を行う。
次に、属性総合情報判定部120は、受信した開示属性情報612に含まれる取得者識別情報613及び属性識別情報615それぞれが一致する取得者識別情報143及び属性識別情報145それぞれを含む取得属性情報142の数を計数する(S406)。本説明の前提により、計数した数は「2」である。
次に、属性総合情報判定部120は、計数した数が、閾値「2」以上であるか否かを判定する(S408)。本説明の前提により、判定結果は「判定条件を満たす」である。尚、計数した数が「2」未満の場合、判定結果は「判定条件を満たさない」である。
S112からS122の動作は第1の前提の場合と同様である。尚、S114では、本説明の前提により、保護処理実行部160は、属性値「47.123457:135.123455」を「47.123:135.123」に加工した加工属性を生成する。また、S122では、本説明の前提により、保護処理実行部160は、開示属性情報612に対応する取得属性情報142に含まれる属性146の属性値「47.123457:135.123455」を「47.123:135.123」に更新する。
以上で、第4の前提に基づく動作の説明を終了する。
上述した第1乃至第4の前提に基づく動作は、図示しない選択部により、予め定められた条件に基づいて、動的に選択されるようにしてもよい。
また、属性総合情報判定部120は、図10に示すように、属性数判定部121、属性種別数判定部122及び属性開示回数判定部123を含んでもよい。図10は、属性総合情報判定部120の内部構成を示すブロック図である。
属性数判定部121は、属性の数の上限値を判定条件として判定を行う。即ち、第1の前提及び第2の前提により説明した動作を行う。
属性種別数判定部122は、属性名の種別の数の上限値を判定条件として判定を行う。即ち、第3の前提により説明した動作を行う。
属性開示回数判定部123は、属性の開示回数の上限値を判定条件として判定を行う。即ち、第4の前提により説明した動作を行う。
尚、属性総合情報判定部120は、保護処理実行部160に判定結果のみを渡すようにしてもよい。この場合、保護処理実行部160は、中継部180に保護処理の内容を指示するようにしてもよい。そして、中継部180は、保護処理実行部160受け取った指示に基づいて、応答情報を生成し、取得装置630に送信するようにしてもよい。その際、中継部180は、応答情報の内容を属性総合情報判定部120に通知するようにしてもよい。
また、保護処理実行部160は、中継部180に含まれていてもよい。
また、中継部180は、情報監視装置110に含まれていてもよい。
上述した本実施形態における効果は、開示請求者による、不正利用を目的とした、個人情報の取得を防止することを可能にする点である。
その理由は、属性総合情報判定部120が、取得者が取得済みの属性と取得者が取得しようとしている属性とに基づいて、属性総合情報の判定を行い、その判定の結果に基づいて、保護処理実行部160が保護処理を実行するようにしたからである。
[第2の実施形態]
次に、第2の実施形態について、図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。
図11は、本実施形態の構成を示すブロック図である。
図11を参照すると、本実施形態は、提供装置670、取得装置630及び情報監視装置210により構成される。提供装置670と情報監視装置210とは図示しないネットワークで互いに接続されている。取得装置630と提供装置670とは、図示しないネットワークで互いに接続されている。尚、提供装置670及び取得装置630は、それぞれ任意の台数であってよい。
取得装置630は、提供装置670へ属性要求を送信し、提供装置670から属性要求への応答として送信される応答情報を受信する。
提供装置670は、属性要求を受信し、これに応答して開示属性情報612を情報監視装置210へ送信する。また、提供装置670は、情報監視装置210へ属性情報を送信し、情報監視装置210から開示属性情報612への応答として送信される保護指示を受信する。
提供装置670は、開示制御機能部680を含む。開示制御機能部680は、受信した保護指示に基づいて、応答情報の内容を決定、即ち属性の開示を制御する。尚、開示制御機能部680は、受信した保護指示と提供装置670が別に保持する保護規則とに基づいて、応答情報の内容を決定、即ち属性の開示を制御するようにしてもよい。
情報監視装置210は、取得属性情報記憶部140と属性総合情報判定部220と保護処理実行部260とを含む。
取得属性情報記憶部140は、第1の実施形態において説明したものと同じである。
属性総合情報判定部220は、第1の実施形態において説明した属性総合情報判定部120と同等である。但し、本実施形態において、属性総合情報判定部220は、提供装置670から開示属性情報612を受信し、判定結果を保護処理実行部260へ出力する。
保護処理実行部260は、第1の実施形態において説明した保護処理実行部160と同等である。但し、本実施形態において、保護処理実行部260は、属性総合情報判定部220から受け取った判定結果に基づいて、予め定められた保護処理を実行する。
また、本実施形態において、保護処理は、例えば、保護の内容を決定し、決定した保護の内容を含む保護指示を提供装置670へ送信することである。尚、保護の内容は、第1の実施形態で説明した加工属性または提供不可通知を送信することである。また例えば、保護の内容は、提供装置670が別に保持する保護規則に基づいて属性の開示を制御することであってもよい。
次に本実施形態の情報監視装置210の動作は、基本的に第1の実施形態の情報監視装置110の動作と実質的に同等であるため、説明を省略する。
次に、本実施形態の第1の変形例について説明する。本変形例は、情報監視装置210に属性が蓄積されることを防止する効果を有する変形例である。
本変形例における情報監視装置210の構成は、図11のブロック図に示す構成である。
図12に、本変形例における開示属性情報622の例を示す図である。図12に示すように、開示属性情報622は、図2に示す開示属性情報612と比べて、属性616を含まず、属性名627及び粒度629を含む点が異なる。
属性名627は、属性616の属性名である。
粒度629は、属性616の属性値の粒度である。本実施形態において、粒度629は、オリジナルの属性値の有効桁数に対する、粒度が粗くなるように加工された属性値の有効桁数の、比で示す。例えば、属性名が「年齢」の属性値の場合、オリジナルの属性値「25歳」(有効桁数が2桁)及び粒度が粗くなるように加工された属性値「20代」(有効桁数が1桁)に対して、粒度629は「0.5」である。尚、加工されていない属性値の粒度629は、「1」とする。
図13は、本変形例における取得属性情報記憶部140が記憶する取得属性情報テーブル241の例を示す図である。図13に示すように取得属性情報テーブル241に含まれる取得属性情報242は、図3に示す取得属性情報142と比べて、属性146を含まず、属性名247及び粒度249を含む点が異なる。
属性名247は、取得属性情報記憶部140に保持されている属性名627である。
粒度249は、取得属性情報記憶部140に保持されている粒度629である。
本変形例において、属性総合情報判定部220は、取得装置630が開示属性情報622に対応する属性を受信した場合に、取得装置630における属性の属性総合情報が、予め定められた1以上の判定条件のそれぞれを満たすか否かの判定を行う。ここで、属性総合情報判定部220は、取得属性情報242と、提供装置670から受信した開示属性情報622とに基づいて、上述の判定を行う。続けて、属性総合情報判定部220は、その判定結果を保護処理実行部260へ出力する。
次に、本変形例の動作について、図11〜図14を参照して詳細に説明する。
ここでは、以下に示す前提に基づく動作を説明する。
判定条件は、例えば、主体一致属性情報に含まれる粒度249の合計が予め定められた閾値以上、である。この閾値は、例えば、「4.1」である。
保護処理は、例えば、応答情報として属性値の粒度を粗くした加工属性を送信すること及び提供不可通知を送信することのいずれかである。
取得属性情報テーブル241の状態は、図13に示す状態である。尚、図13の状態の取得属性情報テーブル241は、取得者識別情報143が「RID1」かつ主体識別情報144が「SID1」である取得属性情報242を、4つ含んでいる。
受信する開示属性情報622は、図12に示す開示属性情報622である。以上が、前提である。
図14は、本変形例における情報監視装置210の動作を示すフローチャートである。
まず、属性総合情報判定部220は、開示属性情報622を受信する(S602)。
次に、属性総合情報判定部220は、受信した開示属性情報622を取得属性情報242として、取得属性情報テーブル241に記録する(S604)。尚、この処理により、受信した開示属性情報622は、取得属性情報242の1つとして取得属性情報記憶部140に記憶され、主体一致属性情報は、開示属性情報622を含んだ状態になる。
次に、属性総合情報判定部220は、受信した開示属性情報622に含まれる取得者識別情報613及び主体識別情報614に基づいて、取得属性情報テーブル241を検索して主体一致属性情報である取得属性情報242に含まれる粒度249の合計を算出する(S606)。本説明の前提により、算出した数は「4.5」である。
次に、属性総合情報判定部220は、算出した数が、閾値「4.1」以上であるか否かを判定する(S608)。本説明の前提により、判定結果は「判定条件を満たす」である。尚、計数した数が「4.1」未満の場合、判定結果は「判定条件を満たさない」である。
次に、属性総合情報判定部220は、判定した判定結果を保護処理実行部260へ出力する(S612)。
次に、保護処理実行部260は、保護処理を実施する(S614)。具体的には、保護処理実行部260は、受け取った判定結果が「判定条件を満たす」である場合、保護の内容を決定し、決定した保護の内容を含む保護指示を提供装置670へ送信する。尚、保護処理実行部260は、受け取った判定結果が「判定条件を満たさない」である場合、保護の内容は「保護不要」である。本説明の前提により、保護の内容は、受け取った開示属性情報622に対応する属性に含まれる属性値の粒度を「0.5」以下にする、である。
尚、保護指示を受信した提供装置670において、開示制御機能部680は、その保護指示に基づいて、応答情報の内容を決定する。開示制御機能部680は、属性名「年齢」の属性値の有効桁数を1桁落とした、加工属性を応答情報とすることを決定する。次に、提供装置670は、開示制御機能部680が決定した応答情報を生成し、取得装置630へ送信する。
次に、保護処理実行部260は、保護指示に含めた保護の内容を、属性総合情報判定部220に出力する(S618)。保護指示に含めた保護の内容は、「応答情報として属性値の粒度を「0.5」以下にする」である。
次に、保護処理実行部260は、受け取った保護処理の実施内容に基づいて、開示属性情報622に対応する取得属性情報242を更新する(S622)。保護処理実行部260は、開示属性情報622に対応する取得属性情報242に含まれる粒度249「1」を「0.5」に更新する。
以上で、本実施形態の第1の変形例の動作の説明を終了する。
上述した本実施形態の第1の変形例の動作と、第1の実施形態と実質的に同等な動作とは、図示しない選択部により、予め定められた条件に基づいて、動的に選択されるようにしてもよい。
尚、情報監視装置210の保護処理実行部260は、提供装置670に実装されてもよい。また、この場合、保護処理実行部260と開示制御機能部680とは、一つのモジュールであってもよい。
また、上述した本実施形態の第1の変形例は、第1の実施形態に適用してもよい。この場合、開示制御機能部680は、中継部180に実装されてもよい。また、この場合、第1の実施形態で説明した第1乃至第4の前提に基づく動作と、上述した本実施形態の第1の変形例による動作とは、図示しない選択部により、予め定められた条件に基づいて、動的に選択されるようにしてもよい。
また、開示属性情報は、暗号化した属性値を含むようにしてもよい。
上述した本実施形態における第1の効果は、第1の実施形態の効果に加えて、提供装置670が中継部180を介さないシステムに接続されている場合においても、開示請求者による、不正利用を目的とした、個人情報の取得を防止することを可能にする点である。
その理由は、属性総合情報判定部220が提供装置670から開示属性情報612及び開示属性情報622を受信し、保護処理実行部260が提供装置670へ保護指示を送信するようにしたからである。
上述した本実施形態における第2の効果は、情報監視装置210に属性が蓄積されることを防止することを可能にする点である。
その理由は、属性総合情報判定部220が取得属性情報242に含まれる粒度249と開示属性情報622に含まれる粒度629とに基づいて、属性総合情報を判定するようにしたからである。
尚、第1の実施形態においても、本実施形態の変形例を適用することで、本実施形態の第2の効果と同様の効果を得ることができる。
[第3の実施形態]
次に、第3の実施形態について、図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。
図15は、本実施形態の構成を示すブロック図である。
図15を参照すると、本実施形態は、提供装置670、取得装置630及び情報監視装置210を含む中継部280により構成される。提供装置670と中継部280とは図示しないネットワークで互いに接続されている。取得装置630と中継部280とは図示しないネットワークで互いに接続されている。取得装置630と提供装置670とは、図示しないネットワークで互いに接続されている。尚、提供装置670及び取得装置630は、それぞれ任意の台数であってよい。
中継部280は、取得装置630が送信した属性要求を受信する。
中継部280の、情報監視装置210の属性総合情報判定部220は、取得装置630がその属性要求に対応する属性を受信した場合に、取得装置630における属性の属性総合情報が、予め定められた1以上の判定条件のそれぞれを満たすか否かの判定を行う。ここで、属性総合情報判定部220は、取得属性情報142と受信した属性要求(例えば、取得者識別情報と要求対象の属性に対応する主体識別情報及び属性名とを含む)とに基づいて、上述の判定を行う。続けて、属性総合情報判定部220は、その判定結果を保護処理実行部260へ出力する。
情報監視装置210の保護処理実行部260は、第2の実施形態で説明した保護処理実行部260と同様の動作を行う。
また、中継部280は、受信した属性要求を提供装置670へ送信する。
提供装置670は、開示制御機能部680を含む。開示制御機能部680は、情報監視装置210の保護処理実行部260から受信した保護指示に基づいて、応答情報の内容を決定、即ち属性の開示を制御する。
次に、提供装置670は、受信した属性要求と保護処理実行部260の決定とに基づいて、応答情報を取得装置630に送信する。
上述した本実施形態における効果は、装置の数を削減して、第1の実施形態と同様の効果を得ることができる点である。
その理由は、中継部280に情報監視装置210を含めるようにしたからである。
[第4の実施形態]
次に、第4の実施形態について、図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。
図16は、本実施形態の構成を示すブロック図である。
図16を参照すると、本実施形態は、提供装置610、取得装置630、中継部180及び情報監視装置310により構成される。情報監視装置310と中継部180とは図示しないネットワークで互いに接続されている。
提供装置610、取得装置630及び中継部180は、第1の実施形態と同じである。
本実施形態の情報監視装置310は、第1の実施形態の情報監視装置110と比べて、取得予測部330を更に含む。また、情報監視装置310は、情報監視装置110と比べて、属性総合情報判定部120に替えて属性総合情報判定部320を含む。
取得予測部330は、取得属性情報142と開示属性情報622とに基づいて、取得者に将来開示する可能性のある属性(予測属性とも呼ぶ)の属性名を予測し、予測した属性名を含む予測属性情報を出力する。
図17は、予測属性情報335の例を示す図である。図17を参照すると、予測属性情報335は、後述する取得予測部330が予測した属性名(種別を示す識別情報とも呼ばれる)を含む。
取得予測部330は、何らかの属性を取得した取得装置630が、更にどのような属性を取得する傾向があるかを示す傾向情報を参照して、上述の予測を行う。尚、取得予測部330は、この傾向情報を、知識情報として予め備えていてよい。また、取得予測部330は、図示しないデータマイニング部を備え、協調フィルタリングなどの既存の手法により、取得属性情報142に基づいて学習し、この傾向情報を生成するようにしてもよい。
図18は、傾向情報332の例を示す図である。図18に示すように、傾向情報332は、既取得情報333及び予測情報334を含む。既取得情報333は、取得装置630が既に取得している属性の属性名を1以上含む。予測情報334は、既取得情報333に含まれる属性名に対応する属性を取得した取得装置630が、更に取得する傾向にある属性の属性名を1以上含む。例えば、1行目の傾向情報332は、属性名「性別」、「現在位置」及び「職業」に対応する属性を取得した取得装置630が、更に属性名「年齢」に対応する属性を取得する傾向があることを示す。また、例えば、2行目の傾向情報332は、属性名「現在位置」に対応する属性を2回取得した取得装置630が、更に属性名「現在位置」に対応する属性を取得する傾向があることを示す。
属性総合情報判定部320は、取得装置630が特定の属性(予測属性)を取得した場合に、取得装置630における属性の属性総合情報が、予め定められた1以上の判定条件のそれぞれを満たすか否かの判定を行う。ここで、属性総合情報判定部320は、予測属性情報335と取得属性情報142と開示属性情報612とに基づいて、上述の判定を行う。また、特定の属性(予測属性)は、開示属性情報612に含まれる属性616及び予測属性情報335に含まれる属性名に対応する属性(予測属性)である。続けて、属性総合情報判定部320は、その判定結果を保護処理実行部160へ出力する。
次に本実施形態の動作について、図16〜図21を参照して詳細に説明する。
まず、以下に示す前提に基づく動作を説明する。
取得属性情報テーブル341の状態は、図20に示す状態である。図20に示すように取得属性情報テーブル341に含まれる取得属性情報342は、図3に示す取得属性情報142と比べて、粒度349を更に含む点が異なる。尚、図20の状態の取得属性情報テーブル341は、取得者識別情報143が「RID1」かつ主体識別情報144が「SID1」である取得属性情報342を、4つ含んでいる。
受信する開示属性情報632は、図19に示す開示属性情報632である。図19に示すように、開示属性情報632は、図2に示す開示属性情報612と比べて、粒度639を更に含む点が異なる。
判定条件は、例えば、主体一致属性情報に含まれる粒度349の合計が予め定められた閾値以上、である。この閾値は、例えば、「6」である。
保護処理は、例えば、応答情報として属性値の粒度を粗くした加工属性を送信すること及び提供不可通知を送信することのいずれかであるとする。
粒度の定義は、第2の実施形態と同じである。以上が、前提である。
図21は、本実施形態における情報監視装置310の動作を示すフローチャートである。
まず、属性総合情報判定部320は、開示属性情報632を受信する(S132)。
次に、属性総合情報判定部320は、受信した開示属性情報632を取得属性情報342として、取得属性情報テーブル341に記録する(S134)。尚、この処理により、受信した開示属性情報632は、取得属性情報342の1つとして取得属性情報記憶部140に記憶され、主体一致属性情報は、開示属性情報632を含んだ状態になる。
次に、属性総合情報判定部320は、開示属性情報632を含む予測要求を取得予測部330へ送信する(S136)。
次に、取得予測部330は、受け取った予測要求に基づいて、取得属性情報テーブル341を参照して予測属性情報335を生成し、属性総合情報判定部320へ出力する(S138)。
次に、属性総合情報判定部320は、特定の取得属性情報342に含まれる粒度349と、予測属性情報335に含まれる属性名の数と、の合計を算出する(S140)。ここで、特定の取得属性情報342は、受信した開示属性情報632に基づいて、取得属性情報テーブル341を検索して得た、主体一致属性情報である1以上の取得属性情報342である。本説明の前提により、計数した数は「6.5」である。尚、計数した数が「6」未満の場合、判定結果は「判定条件を満たさない」である。
次に、属性総合情報判定部320は、計数した数が、閾値「6」以上であるか否かを判定する(S142)。本説明の前提により、判定結果は「判定条件を満たす」である。
次に、属性総合情報判定部320は、判定した判定結果及び開示属性情報632を保護処理実行部160へ出力する(S144)。
次に、保護処理実行部160は、保護処理を実施する(S146)。具体的には、保護処理実行部160は、受け取った判定結果が「判定条件を満たす」である場合、受け取った開示属性情報632に含まれる属性636の属性値の粒度を粗くした加工属性及び提供不可通知のいずれかを生成する。尚、保護処理実行部160は、受け取った判定結果が「判定条件を満たさない」である場合、保護処理を実施しない。本説明の前提により、保護処理実行部160は、属性値「25歳」を「20代」に加工した加工属性を生成する。この加工属性の粒度は、「0.5」である。
次に、保護処理実行部160は、加工属性を含む応答情報を送信する(S148)。具体的な動作は、第1の実施例で説明したステップS116の動作と同じである。
次に、保護処理実行部160は、保護処理の実施内容を、属性総合情報判定部320に出力する(S150)。保護処理の実施内容は、「応答情報として属性値の粒度を「0.5」にした加工属性を送信した」である。
次に、保護処理実行部160は、受け取った保護処理の実施内容に基づいて、開示属性情報632に対応する取得属性情報342を更新する(S152)。保護処理実行部160は、開示属性情報632に対応する取得属性情報342に含まれる属性346の属性値「25歳」を「20代」に更新し、粒度349「1」を「0.5」に更新する。
以上で、上述した前提に基づく、動作の説明を終了する。
本実施形態の変形例として、保護処理実行部160は、属性の相対的な重要度を示す情報を有していてもよい。この場合、保護処理実行部160は、属性の重要度に基づいて、応答情報を生成するようにしてもよい。例えば、保護処理実行部160は、重要度の高い属性については属性を含む応答情報を、重要度の低い属性については開示不可通知を含む応答情報を生成してもよい。
尚、本実施形態において、第1の実施形態で説明した第1乃至第4の前提に基づいて、属性総合情報判定部320が予測属性情報335を含んだ判定を行い、保護処理実行部160が対応する保護処理を実行するようにしてもよい。これらの動作は、第1の実施形態の動作の説明及び本実施形態の動作の説明を参照することにより容易に推定可能であるため詳細な説明を省略する。
また、本実施形態で説明した取得予測部330は、第2の実施形態の情報監視装置210に適用するようにしてもよい。
上述した本実施形態における第1の効果は、第1の実施形態の効果に加え、取得装置630が有効に属性を取得することを可能にする点である。
その理由は、取得予測部330が予測属性情報335を生成し、属性総合情報判定部320が、予測属性情報335に基づいて属性総合情報を判定するようにしたからである。
即ち、事前に粒度を粗くすることで、取得する属性の数を多く保てるようにしたからである。また、相対的に重要度の低い属性を開示しないようにしたからである。
[第5の実施形態]
次に、第5の実施形態について、図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。
図22は、本実施形態の構成を示すブロック図である。
図22を参照すると、本実施形態は、提供装置610、取得装置630、中継部180及び情報監視装置410により構成される。情報監視装置410と中継部180とは図示しないネットワークで互いに接続されている。
提供装置610、取得装置630及び中継部180は、第1の実施形態と同じである。
本実施形態の情報監視装置410は、第1の実施形態の情報監視装置110と比べて、属性総合情報判定部120に替えて属性総合情報判定部420を含む。
属性総合情報判定部420は、匿名度判定部450を含む。
匿名度判定部450は、主体の匿名性の度合いを示す匿名度の下限値を判定条件として、属性総合情報の判定を行う。
匿名度判定部450は、例えば、図23に示すような匿名度情報テーブル451を参照し、取得属性情報142と開示属性情報612とに基づいて、匿名度を取得する。尚、匿名度情報テーブル451は、例えば、匿名度判定部450の図示しない記憶部が記憶している。また例えば、匿名度情報テーブル451は、図示しないインタフェースを介して、外部の装置(図示しない)に記憶された匿名度情報テーブル451を参照するようにしてもよい。
図23は、匿名度情報テーブル451の例を示す図である。図23に示すように、匿名度情報テーブル451は、属性名グループ453と匿名度454とを含む1以上の匿名度情報452を含む。属性名グループ453は、1以上の属性名を含む。匿名度454は、対応する属性名グループ453に含まれる属性名に対応する属性値に基づいて、主体の候補として絞り込まれる人数の、予測値である。
例えば、匿名度情報テーブル451の1行目は、性別、現在位置及び職業に対応する属性値を取得した取得装置630が、それらの属性を備える主体の候補を二人に絞り込める、ことを示している。
具体的な動作の例を、以下に説明する。前提として、取得属性情報テーブル141が図6に示す状態であり、図5に示す開示属性情報612を受け取ったとする。また、判定条件とする匿名度の下限値を「2」とする。
まず、匿名度判定部450は、取得属性情報142と開示属性情報612とから、属性名「年齢」、「現在地」、「職業」及び「性別」を取得する。
次に、匿名度判定部450は、取得した属性名に基づいて、匿名度情報テーブル451を検索する。本例では、匿名度判定部450は、匿名度情報テーブル451の4行目に一致する属性名グループ453を検出する。続けて、匿名度判定部450は、検出した属性名グループ453に対応する匿名度454「1」を取得する。
尚、匿名度判定部450は、一致する属性名グループ453を検出できなかった場合、検索キーにする属性名を1つ減じ、組み合わせを変更しながら、最も小さい値の匿名度454を取得するように動作する。
次に、匿名度判定部450は、取得した匿名度454を判定条件とする匿名度の下限値と比較し、判定を行う。本例では、下限値は「2」であるので、匿名度判定部450は、「判定条件を満たす」と判定する。
本実施形態の動作は、上述の匿名度判定部450の動作を除いて第1の実施形態と同等であるため、詳細な説明を省略する。
尚、匿名度判定部450は、例えば、図示しない手段が示す、属性の実際のデータ分布を参照し、取得属性情報142と開示属性情報612とに基づいて、匿名度を取得するようにしてもよい。
また、本実施形態に、第34実施形態の取得予測部330を適用してもよい。この場合、匿名度判定部450は、取得属性情報142と開示属性情報612と第4の実施形態で説明した予測属性情報335とに基づいて、匿名度を取得するようにしてもよい。
更にまた、本実施形態に、第1の実施形態で説明した、属性数判定部121、属性種別数判定部122及び属性開示回数判定部123を適用してもよい。
また、本実施形態で説明した匿名度判定部450は、第2の実施形態の情報監視装置210に適用するようにしてもよい。
上述した本実施形態における効果は、第1の実施形態の効果に加えて、開示請求者による、不正利用を目的とした、個人(主体)の特定を防止することを可能にする点である。
その理由は、匿名度判定部450が、匿名度を判定条件として、属性総合情報の判定を行うようにしたからである。
[第6の実施形態]
次に、第6の実施形態について、図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。
図24は、本実施形態の構成を示すブロック図である。
図24を参照すると、本実施形態の構成は、第1の実施形態に比べて、主体者装置640及び識別子管理変換部650が追加されている。
取得装置630と主体者装置640とは図示しないネットワークで互いに接続されている。また、主体者装置640と識別子管理変換部650とは図示しないネットワークで互いに接続されている。更に、識別子管理変換部650と中継部180とは図示しないネットワークで互いに接続されている。更に、取得装置630と主体者装置640とは図示しないネットワークで互いに接続されている。尚、主体者装置640及び識別子管理変換部650は、それぞれ任意の台数であってよい。
主体者装置640は、取得装置630からサービスを受ける。主体者装置640は、取得装置630からサービスを受ける際の識別子を識別子管理部650に通知する。例えば、主体者装置640は、その通知した識別子を用いて、取得装置630にログインする。
また、主体者装置640は、後述する、「識別子の変更を促す警告」を受信した場合、取得装置630からサービスを受ける際の新たな(変更した)識別子を識別子管理部650に通知する。
取得装置630は、主体者装置640がログインに使用した識別子を主体識別情報614として、開示要求を識別子管理変換部650へ送信する。
中継部180は、情報監視装置110から受信した「識別子の変更を促す警告」を識別子管理変換部650へ送信する。
識別子管理変換部650は、取得装置630から受信した属性要求の主体識別情報614を、提供装置610用の主体識別情報614に変換して、その属性要求を中継部180へ送信する。
また、識別子管理変換部650は、中継部180から受信した応答情報に含まれる主体識別情報614を、取得装置630から受信した属性要求に含まれていた主体識別情報614に変換して、その応答情報を取得装置630へ送信する。
本実施形態の変形例として、上述の主体者装置640、取得装置630及び識別子管理変換部650の機能は、例えば、OpenID(OpenIDentity)やLiberty−IDFF(Liberty−IDentity Federation Framework)やのID(IDentifier)管理・連携機能により実現してもよい。
こうした場合、利用するID管理・連携機能により、ログインの手順や識別子の通知方法は異なる。
図25は、本実施形態の変形例を示す図である。図25に示すように本実施形態の変形例においては、図25に示すように、取得装置630は、識別子管理部650を経由せず、開示要求を中継部180へ直接送信する。
尚、OpenID及びLiberty−IDFFは、当業者において周知技術であるため、詳細な動作の説明は省略する。
情報監視装置110の保護処理実行部160は、属性総合情報判定部120が出力する判定結果に基づいて、主体者装置640に対する「識別子の変更を促す警告」を、中継部180へ送信する。
中継部180は、受信した応答情報を識別子管理変換部650へ送信する。
尚、識別子管理変換部650は中継部180を含むようにしてもよい。逆に、中継部180は識別子管理変換部650を含むようにしてもよい。
また、第2の実施形態に本実施形態の機能を適用してもよい。この場合、識別子管理変換部650は、提供装置610と接続される。
上述した本実施形態における効果は、第1の実施形態の効果に加えて、開示請求者による、不正利用を目的とした、個人情報の取得を防止しつつ、主体者装置640が取得装置630からのサービス享受を継続することを可能にする点である。
その理由は、属性総合情報判定部120の判定の結果に基づいて、保護処理実行部160が主体者装置640に対する「識別子の変更を促す警告」を送信するようにしたからである。
[第7の実施形態]
次に、第7の実施形態について、図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。
図26は、本実施形態の構成を示すブロック図である。図26に示すように本実施形態の情報監視装置110は、属性総合情報判定部120、保護処理実行部160及び取得属性情報記憶部140を含む。
取得属性情報記憶部140は、属性を取得する取得者が取得済みである1以上の取得属性それぞれに対応する取得属性情報142を記憶する。
属性総合情報判定部120は、取得属性情報142と特定の開示属性情報612とに基づいて、その取得属性とその開示属性とを合わせた場合の属性総合情報が、予め定められた1以上の判定条件のそれぞれを満たすか否かの判定を行う。続けて、属性総合情報判定部120は、保護処理実行部160にその判定の結果を出力する。ここで、特定の開示属性情報612は、取得属性を取得した取得者への開示の対象である開示属性に対応する開示属性情報612である。
保護処理実行部160は、属性総合情報判定部120から受け取った判定の結果に基づいて、予め定められた開示属性に対する保護処理を実行する。
情報監視装置110は、図27に示すような、汎用的なコンピュータによって構成される情報監視装置700であってもよい。
図27は、本実施形態における、プログラムにより所定の処理をコンピュータに実行させる情報監視装置700の構成を示すブロック図である。
図27を参照すると、情報監視装置700は、CPU(Central Processing Unit)710、ディスク装置720、記憶部730及び通信部750を備えている。
図26における情報監視装置110の属性総合情報判定部120及び保護処理実行部160は、情報監視装置700のCPU710とディスク装置720と記憶部730とに対応する。また、情報監視装置110の取得属性情報記憶部140は、記憶部730に対応する。
CPU710は、ディスク装置720に格納されたプログラムを、例えば記憶部730に展開し、展開したプログラムに基づいて、属性総合情報判定部120及び保護処理実行部160として動作する。
尚、上述のプログラムのコードを記録した記録媒体(または記憶媒体)が、情報監視装置700に供給され、CPU710は、記録媒体に格納されたプログラムのコードを読み出し実行するようにしてもよい。或いは、CPU710は、記録媒体に格納されたプログラムのコードをディスク装置720に格納するようにしてもよい。
すなわち、本実施形態は、前述の各実施形態における情報監視装置110、210、310、410及び510が実行するためのソフトウェア(情報処理プログラム)を一時的に記憶するまたは非一時的に記憶する記録媒体770も含む。非一時的に記憶する記録媒体は、不揮発性記憶媒体とも呼ばれる。
ディスク装置720は、そのプログラムを記憶する。
記憶部730は、展開されたそのプログラムを記憶する。
通信部750は、属性総合情報判定部120及び保護処理実行部160に含まれる。
上述した本実施形態における効果は、開示請求者による、不正利用を目的とした、個人情報の取得を防止することを可能にする点である。
その理由は、属性総合情報判定部120が、取得者が取得済みの属性と取得者が取得しようとしている属性とに基づいて、属性総合情報の判定を行い、その判定の結果に基づいて、保護処理実行部160が保護処理を実行するようにしたからである。
尚、第1乃至7の実施形態の情報監視装置は、第7の実施形態の情報監視装置と同様に、図27に示すような汎用的なコンピュータによって構成される情報監視装置であってもよい。
以上の各実施形態で説明した各構成要素は、必ずしも個々に独立した存在である必要はない。例えば、各構成要素は、複数の構成要素が1個のモジュールとして実現されたり、一つの構成要素が複数のモジュールで実現されたりしてもよい。また、各構成要素は、ある構成要素が他の構成要素の一部であったり、ある構成要素の一部と他の構成要素の一部とが重複していたり、といったような構成であってもよい。
また、以上説明した各実施形態では、複数の動作をフローチャートの形式で順番に記載してあるが、その記載の順番は複数の動作を実行する順番を限定するものではない。このため、各実施形態を実施するときには、その複数の動作の順番は内容的に支障しない範囲で変更することができる。
更に、以上説明した各実施形態では、複数の動作は個々に相違するタイミングで実行されることに限定されない。例えば、ある動作の実行中に他の動作が発生したり、ある動作と他の動作との実行タイミングが部分的に乃至全部において重複していたりしていてもよい。
更に、以上説明した各実施形態では、ある動作が他の動作の契機になるように記載しているが、その記載はある動作と他の動作の全ての関係を限定するものではない。このため、各実施形態を実施するときには、その複数の動作の関係は内容的に支障のない範囲で変更することができる。また各構成要素の各動作の具体的な記載は、各構成要素の各動作を限定するものではない。このため、各構成要素の具体的な各動作は、各実施形態を実施する上で機能的、性能的、その他の特性に対して支障をきたさない範囲内で変更されて良い。
以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2011年3月24日に出願された日本出願特願2011−066206を基礎とする優先権を主張し、その開示の全てをここに取り込む。
110 情報監視装置
120 属性総合情報判定部
121 属性数判定部
122 属性種別数判定部
123 属性開示回数判定部
140 取得属性情報記憶部
141 取得属性情報テーブル
142 取得属性情報
143 取得者識別情報
144 主体識別情報
145 属性識別情報
146 属性
160 保護処理実行部
180 中継部
210 情報監視装置
220 属性総合情報判定部
241 取得属性情報テーブル
242 取得属性情報
247 属性名
249 粒度
260 保護処理実行部
280 中継部
310 情報監視装置
320 属性総合情報判定部
330 取得予測部
335 予測属性情報
341 取得属性情報テーブル
342 取得属性情報
349 粒度
410 情報監視装置
420 属性総合情報判定部
450 匿名度判定部
451 匿名度情報テーブル
452 匿名度情報
453 属性名グループ
454 匿名度
610 提供装置
612 開示属性情報
613 取得者識別情報
614 主体識別情報
615 属性識別情報
616 属性
622 開示属性情報
627 属性名
629 粒度
630 取得装置
640 主体者装置
632 開示属性情報
650 識別子管理変換部
670 提供装置
680 開示制御機能部
700 情報監視装置
710 CPU
720 ディスク装置
730 記憶部
750 通信部
770 記憶媒体
120 属性総合情報判定部
121 属性数判定部
122 属性種別数判定部
123 属性開示回数判定部
140 取得属性情報記憶部
141 取得属性情報テーブル
142 取得属性情報
143 取得者識別情報
144 主体識別情報
145 属性識別情報
146 属性
160 保護処理実行部
180 中継部
210 情報監視装置
220 属性総合情報判定部
241 取得属性情報テーブル
242 取得属性情報
247 属性名
249 粒度
260 保護処理実行部
280 中継部
310 情報監視装置
320 属性総合情報判定部
330 取得予測部
335 予測属性情報
341 取得属性情報テーブル
342 取得属性情報
349 粒度
410 情報監視装置
420 属性総合情報判定部
450 匿名度判定部
451 匿名度情報テーブル
452 匿名度情報
453 属性名グループ
454 匿名度
610 提供装置
612 開示属性情報
613 取得者識別情報
614 主体識別情報
615 属性識別情報
616 属性
622 開示属性情報
627 属性名
629 粒度
630 取得装置
640 主体者装置
632 開示属性情報
650 識別子管理変換部
670 提供装置
680 開示制御機能部
700 情報監視装置
710 CPU
720 ディスク装置
730 記憶部
750 通信部
770 記憶媒体
Claims (11)
- 取得者が取得済みである取得属性に対応する取得属性情報を記憶する取得属性情報記憶手段と、
前記取得属性情報と前記取得者への開示の対象である開示属性に対応する開示属性情報とに基づいて、前記取得属性と前記開示属性とを合わせた場合の属性総合情報が、予め定められた1以上の判定条件のそれぞれを満たすか否かの判定を行い、前記判定の結果を出力する取得状況判定手段と、
前記判定の結果に基づいて、予め定められた属性に対する保護処理を実行する保護処理実行手段と、を含む
情報監視装置。 - 前記取得属性情報は、対応する前記属性を備えている主体の主体識別情報を含み
前記属性は、前記主体の属性である
ことを特徴とする請求項1記載の情報監視装置。 - 前記取得状況判定手段は、前記主体の匿名性の度合いを示す匿名度の下限値を前記判定条件として前記判定を行う匿名度判定手段を少なくとも含む
ことを特徴とする請求項2記載の情報監視装置。 - 前記保護処理実行手段は、前記取得状況判定手段が前記判定条件を満たすと判定した場合に、前記主体に主体識別情報の変更を促す警告を送信する
ことを特徴とする請求項2または3記載の情報監視装置。 - 前記取得属性情報と前記開示属性情報とに基づいて、前記取得者に将来開示する可能性のある予測属性の種別を予測し、前記予測した種別を示す識別情報を含む予測属性情報を出力する取得予測手段を更に含み、
前記取得状況判定手段は、前記予測属性情報と前記取得属性情報と前記開示属性情報とに基づいて、前記取得属性と前記開示属性と前記予測属性とを合わせた場合の属性総合情報が、予め定められた1以上の判定条件のそれぞれを満たすか否かの判定を行い、前記判定の結果を出力する
ことを特徴とする請求項1乃至4のいずれかに記載の情報監視装置。 - 前記取得属性情報及び前記開示属性情報は、属性値の粒度を更に含む
ことを特徴とする請求項1乃至5のいずれかに記載の情報監視装置。 - 前記取得状況判定手段は、前記属性の数の上限値を前記判定条件として前記判定を行う属性数判定手段を少なくとも含む
ことを特徴とする請求項1乃至6のいずれかに記載の情報監視装置。 - 前記取得状況判定手段は、前記属性の種別数の上限値を前記判定条件として前記判定を行う属性種別数判定手段を少なくとも含む
ことを特徴とする請求項1乃至7のいずれかに記載の情報監視装置。 - 前記取得状況判定手段は、前記属性の開示回数の上限値を前記判定条件として前記判定を行う属性開示回数判定手段を少なくとも含む
ことを特徴とする請求項1乃至8のいずれかに記載の情報監視装置。 - 記憶手段を含む情報監視装置が、
前記記憶手段に取得者が取得済みである取得属性に対応する取得属性情報を記憶し、
前記取得属性情報と前記取得者への開示の対象である開示属性に対応する開示属性情報とに基づいて、前記取得属性と前記開示属性とを合わせた場合の属性総合情報が、予め定められた1以上の判定条件のそれぞれを満たすか否かの判定を行い、前記判定の結果を出力し、
前記判定の結果に基づいて、予め定められた属性に対する保護処理を実行する
情報監視方法。 - 記憶手段を含むコンピュータに、
前記記憶手段に取得者が取得済みである取得属性に対応する取得属性情報を記憶し、
前記取得属性情報と前記取得者への開示の対象である開示属性に対応する開示属性情報とに基づいて、前記取得属性と前記開示属性とを合わせた場合の属性総合情報が、予め定められた1以上の判定条件のそれぞれを満たすか否かの判定を行い、前記判定の結果を出力し、
前記判定の結果に基づいて、予め定められた属性に対する保護処理を実行する処理を
実行させるプログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011066206 | 2011-03-24 | ||
| JP2011066206 | 2011-03-24 | ||
| PCT/JP2012/054674 WO2012127987A1 (ja) | 2011-03-24 | 2012-02-20 | 情報監視装置及び情報監視方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2012127987A1 true JPWO2012127987A1 (ja) | 2014-07-24 |
| JP5979132B2 JP5979132B2 (ja) | 2016-08-24 |
Family
ID=46879147
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013505862A Active JP5979132B2 (ja) | 2011-03-24 | 2012-02-20 | 情報監視装置及び情報監視方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9183408B2 (ja) |
| JP (1) | JP5979132B2 (ja) |
| CA (1) | CA2830360C (ja) |
| WO (1) | WO2012127987A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016136317A (ja) * | 2015-01-23 | 2016-07-28 | Kddi株式会社 | アクセス制御装置、アクセス制御方法及びアクセス制御プログラム |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014125557A1 (ja) * | 2013-02-12 | 2014-08-21 | 株式会社日立製作所 | 計算機、データアクセスの管理方法及び記録媒体 |
| JP6188011B2 (ja) * | 2013-04-19 | 2017-08-30 | 株式会社日立システムズ | データ提供システム及びデータ提供システムにおける開示ステータス設定方法 |
| WO2016182856A1 (en) * | 2015-05-08 | 2016-11-17 | Visa International Service Association | Authenticating transactions using risk scores derived from detailed device information |
| US10599865B2 (en) | 2015-07-13 | 2020-03-24 | Intertrust Technologies Corporation | Systems and methods for protecting personal information |
| JP6298583B2 (ja) * | 2016-07-15 | 2018-03-20 | レノボ・シンガポール・プライベート・リミテッド | 個人情報の保護方法、電子機器、およびコンピュータ・プログラム |
| KR101879266B1 (ko) * | 2016-09-27 | 2018-07-17 | (주)조은아이앤에스 | 개인정보 비식별화 검증 시스템 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000078182A (ja) * | 1998-08-28 | 2000-03-14 | Fujitsu Ltd | 情報提供装置および記録媒体 |
| JP2001005833A (ja) * | 1999-06-24 | 2001-01-12 | Sony Corp | 情報処理装置および情報処理方法、並びに記録媒体 |
| JP2002117031A (ja) * | 2000-10-06 | 2002-04-19 | Internatl Business Mach Corp <Ibm> | 情報配信方法、情報配信システム、情報処理装置およびコンピュータプログラム製品 |
| JP2004206167A (ja) * | 2002-12-20 | 2004-07-22 | Fujitsu Ltd | 事例予測装置および事例予測方法 |
| JP2005025635A (ja) * | 2003-07-04 | 2005-01-27 | Fujitsu Ltd | 重複成分除去機能つき距離計算装置、及び予測装置 |
| JP2006031578A (ja) | 2004-07-21 | 2006-02-02 | Nippon Telegr & Teleph Corp <Ntt> | 個人情報開示方法及びそのシステム |
| JP2006350813A (ja) * | 2005-06-17 | 2006-12-28 | Nippon Telegr & Teleph Corp <Ntt> | 個人情報保護運用システムおよび個人情報保護運用方法 |
| US7962492B2 (en) * | 2005-07-22 | 2011-06-14 | Sophia Co., Ltd. | Data management apparatus, data management method, data processing method, and program |
| JP2007219636A (ja) * | 2006-02-14 | 2007-08-30 | Nippon Telegr & Teleph Corp <Ntt> | データ開示方法およびデータ開示装置 |
| JP5238137B2 (ja) * | 2006-03-27 | 2013-07-17 | 日立オートモティブシステムズ株式会社 | 情報仲介システム、および、情報仲介方法 |
| US8020213B2 (en) * | 2006-08-01 | 2011-09-13 | International Business Machines Corporation | Access control method and a system for privacy protection |
| US20090089094A1 (en) * | 2007-09-28 | 2009-04-02 | General Electric Company | System and method for detection of abuse of patient data |
| US20090300714A1 (en) * | 2008-05-27 | 2009-12-03 | Open Invention Network Llc | Privacy engine and method of use in a user-centric identity management system |
| JP5348143B2 (ja) * | 2008-12-08 | 2013-11-20 | 日本電気株式会社 | 個人情報交換システム、個人情報提供装置、そのデータ処理方法、およびそのコンピュータプログラム |
| CA2690788C (en) * | 2009-06-25 | 2018-04-24 | University Of Ottawa | System and method for optimizing the de-identification of datasets |
| JP5593245B2 (ja) * | 2011-01-31 | 2014-09-17 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 移動物に関連するトレース・データの開示を制御する方法、並びにそのコンピュータ及びコンピュータ・プログラム |
-
2012
- 2012-02-20 US US14/006,813 patent/US9183408B2/en active Active
- 2012-02-20 CA CA2830360A patent/CA2830360C/en not_active Expired - Fee Related
- 2012-02-20 JP JP2013505862A patent/JP5979132B2/ja active Active
- 2012-02-20 WO PCT/JP2012/054674 patent/WO2012127987A1/ja active Application Filing
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016136317A (ja) * | 2015-01-23 | 2016-07-28 | Kddi株式会社 | アクセス制御装置、アクセス制御方法及びアクセス制御プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| CA2830360A1 (en) | 2012-09-27 |
| US20140013442A1 (en) | 2014-01-09 |
| CA2830360C (en) | 2017-07-18 |
| WO2012127987A1 (ja) | 2012-09-27 |
| JP5979132B2 (ja) | 2016-08-24 |
| US9183408B2 (en) | 2015-11-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5979132B2 (ja) | 情報監視装置及び情報監視方法 | |
| US9825956B2 (en) | Systems and methods for access permission revocation and reinstatement | |
| US11755530B2 (en) | Method and system for applying data retention policies in a computing platform | |
| US20180307832A1 (en) | Information processing device, information processing method, and computer readable medium | |
| US20130333039A1 (en) | Evaluating Whether to Block or Allow Installation of a Software Application | |
| RU2622883C2 (ru) | Система и способ управления доступом к персональным данным пользователя | |
| CN111869178B (zh) | 近实时ip用户映射的方法和系统 | |
| US9471665B2 (en) | Unified system for real-time coordination of content-object action items across devices | |
| JP2008192091A (ja) | ログ分析プログラム、ログ分析装置及びログ分析方法 | |
| KR20140043459A (ko) | 디지털 자산들의 값을 결정하고 사용하기 위한 방법 및 장치 | |
| CN105991596A (zh) | 一种访问控制方法和系统 | |
| US9245149B1 (en) | System and method for controling privileges of consumers of personal data | |
| US9811439B1 (en) | Functional testing of code modifications for read processing systems | |
| CN110351345B (zh) | 用于业务请求处理的方法及装置 | |
| US9998495B2 (en) | Apparatus and method for verifying detection rule | |
| JP7207047B2 (ja) | データ収集システム、装置、及びプログラム | |
| CN109582720B (zh) | 数据存储方法、装置和存储介质 | |
| US20150188946A1 (en) | System and method for automatic control of security policies based on available software licenses | |
| JP7268742B2 (ja) | ポリシー評価装置、制御方法、及びプログラム | |
| JP6950211B2 (ja) | フォルダ保護設定管理方法、フォルダ保護設定管理装置、およびフォルダ保護設定管理プログラム | |
| US20220292215A1 (en) | Data intermediary system and data intermediary method | |
| WO2016167249A1 (ja) | アクセス制御装置、およびアクセス制御方法 | |
| JP5381048B2 (ja) | 情報管理装置、そのデータ処理方法、情報管理システム、およびコンピュータプログラム | |
| CN104079593B (zh) | 监控便携式装置的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150119 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160412 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160606 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160628 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160711 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5979132 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |