WO2004053759A1 - 個人情報管理システム、仲介システム、および端末装置 - Google Patents

Description

明 細 書 個人情報管理システム、 仲介システム、 および端末装置 技術分野

この発明は、 ユーザの個人情報を管理するシステムに関する。 背景技術

従来より、 インタ一ネッ トなどのネットワークを介してユーザに対し てオンラインショッビングなどのサービスを提供する技術が提案されて いる。 ユーザは、 サービスを利用する前に、 サービスを行うサービス事 業者に対して自分の氏名、 住所、 連絡先、 およびクレジッ トカードの番 号などの個人情報を教えておかなければならない。

しかし、 サービスに関係のない個人情報までをも、 サービス事業者か ら求められることがある。 また、 一旦、 個人情報がユーザの元から離れ てしまうと、 その後、 その個人情報が漏洩したり散乱したりする可能性 がある。

このような状況において、 最近では、 多くのユーザが、 自分の個人情 報はできるだけ自分自身で管理を行い、 必要最小限の情報だけをサ一ビ ス事業者に与えたい、 という意識を持つようになつている。

一方、 サービス事業者は、 従来より、 サービスを受けようとするユー ザが正規のユーザであるか否かを判別する際に、 ユーザ I Dおよびパス ヮ一ドの入力を求め、 これらの入力が正しければ正規のユーザであると 認証している。

個人情報を管理するために、 次のような技術が提案されている。 特開 2 0 0 2 - 9 9 8 2 9号公報に記載の発明は、 ネットワークに接続され たユーザの端末とサービス提供のためにユーザの個人情報を要求するサ —ビス提供サーバとの間に、 個人情報を管理するサーバを設けている。 また、 特開 2 0 0 2— 7 8 9 4号公報に記載の発明は、 顧客情報 （個人 情報） を顧客管理システムのデータベースに一元的に蓄積する。

特開 2 0 0 1— 3 5 0 7 2 1号公報に記載の発明によると、 ユーザは 、 提供しょうとする情報のタイ トルを情報仲介端末で公開する。 その情 報を取得したい者 （サービス事業者） は、 端末の W e bブラウザ上にそ のタイ トルを表示させ、 これを指定する。 すると、 ユーザの端末は、 指 定があった旨の通知があつたときにその情報を情報仲介端末に送信する 。 そして、 情報仲介端末は、 サービス事業者の端末がその情報を取得で きるように保持する。

ところが、 特開 2 0 0 2— 9 9 8 2 9号公報および特開 2 0 0 2— 7 8 9 4号公報に記載の各発明によると、 個人情報がユーザの管理から離 れてネッ 卜ワーク上で公開されているシステムに置かれるので、 個人情 報が漏洩するおそれがあり、 ユーザにとって不安である。 また、 特開 2 0 0 1 - 3 5 0 7 2 1号公報に記載の発明によると、 個人情報がネット ワーク上のシステムに置かれる時間は短いものの、 やはり、 ユーザにと つて不安である。

一方、 サ一ビス事業者は、 ユーザ I Dおよびパスワードの入力が正し い場合は全て正規のユーザであると認証してしまうと、 サービスの不正 利用を許してしまい、 ユーザからの信頼を失うおそれがある。 不正利用 されたユーザも、 損害を被ることになる。

本発明は、 このような問題点に鑑み、 ユーザの個人情報をユーザ自身 で管理しつつ、 サービスの提供を受けるのに必要な個人情報を安全にサ 一ビス事業者に与え、 信頼性の高いサービスが行われるようにすること を目的とする。 発明の開示

本発明に係る個人情報管理システムは、 サービス事業者のサービス事 業者システムと、 前記サービス事業者が提供するサービスを受けようと するユーザの端末装置と、 前記ユーザの個人情報を前記サービス事業者 に与えるための仲介を行う仲介システムと、 を有してなる。

前記ユーザの端末装置には、 当該ユーザの 1つまたは複数の項目につ いての個人情報を記憶する個人情報記憶手段と、 当該ユーザが当該端末. 装置を使用する権限を有する者であるか否かの認証を行う個人認証手段 と、 前記仲介システムからの指令に従って当該ユーザの個人情報を送信 する個人情報送信手段と、 を設ける。

前記サービス事業者のサービス事業者システムには、 当該サービス事 業者が前記サービスを提供するために必要な項目についての前記ユーザ の個人情報を前記仲介システムに対して要求する個人情報要求手段と、 要求した前記ユーザの個人情報を当該ユーザの端末装置から受信する個 人情報受信手段と、 を設ける。

前記仲介システムには、 前記ユーザの端末装置が前記サービスの提供 を受けるための使用に適しているか否かを判別する端末適否判別手段と 、 前記サービス事業者のサービス事業者システムの前記個人情報要求手 段から要求された、 前記必要な項目についての前記ユーザの個人情報を 、 当該ユーザの端末装置の前記個人認証手段によって当該ユーザが前記 権限を有する者であると認証されかつ前記端末適否判別手段によって当 該端末装置が前記サービスの提供を受けるための使用に適していると判 別された場合に、 当該サービス事業者システムに送信するように、 当該 端末装置に対して指令を行う送信指令手段と、 を設ける。

好ましくは、 前記仲介システムには、 前記サービス事業者が前記サ一 ビスを提供するために必要な個人情報の項目を示す項目情報を、 当該サ —ビスの受付を始める前に予め記憶しておく項目記憶手段を設ける。 そ して、 前記送信指令手段は、 前記項目情報に示される項目についての前 記ユーザの個人情報を送信するように指令を行う。

または、 前記項目記憶手段は、 前記項目情報として、 前記サービス事 業者にとって直接必要な個人情報の項目を示す第一の項目情報と、 前記 サービス事業者を代行する二次事業者にとって必要な個人情報の項目を 示す第二の項目情報と、 を記憶し、 前記送信指令手段は、 前記第一の項 目情報に示される項目についての前記ユーザの個人情報を前記サービス 事業者に宛てて送信し前記第二の項目情報が示す項目についての前記ュ —ザの個人情報を前記二次事業者に宛てて送信するように、 指令を行う または、 前記個人情報送信手段は、 前記ユーザの個人情報を、 宛先ご とにそれぞれ異なる公開鍵を用いて公開鍵暗号方式によって暗号化して 送信する。 または、 前記個人情報記憶手段は、 前記ユーザの個人情報と して、 当該ユーザ以外の者によって内容が正しいと認められた個人情報 を記憶する。

または、 前記ユーザの端末装置には、 前記ユーザの身体的特徴を示す 特徴情報を記憶する特徴情報記憶手段と、 前記ユーザの身体的特徴を入 力する特徴入力手段と、 を設ける。 そして、 前記個人認証手段は、 前記 ユーザの入力された身体的特徴および前記特徴情報記憶手段に記憶され ている前記特徴情報に基づいて前記認証を行う。

または、 前記端末装置に、 前記ユーザが前記権限を有する者であると 認証された場合に、 前記サービスを当該ユーザに提供するように前記サ —ビス事業者に対して要求を行うサービス要求手段を設ける。 図面の簡単な説明

図 1は、 本発明に係る個人情報管理システムの全体の構成の例を示す 図である。

図 2は、 仲介システムのハ一ドウエア構成の例を示す図である。 図 3は、 仲介システムの機能的構成の例を示す図である。

図 4は、 サービス提供システムの機能的構成の例を示す図である。 図 5は、 端末装置の機能的構成の例を示す図である。

図 6は、 個人情報の例を示す図である。

図 7は、 個人情報の例を示す図である。

図 8は、 サービス事業者に必要な準備の処理の流れの例を説明するフ ローチヤ一トである。

図 9は、 ユーザに必要な準備の処理の流れの例を説明するフローチヤ ートである。

図 1 0は、 個人情報管理システムにおけるサービスの提供の処理の流 れの例を説明するフローチャートである。

図 1 1は、 認証処理の流れの例を説明するフローチャートである。 図 1 2は、 利用可否の判定処理の流れの例を説明するフローチャート である。

図 1 3は、 二次事業者の選定処理の流れの例を説明するフローチヤ一 トである。

図 1 4は、 必要情報の収集処理の流れの例を説明するフローチャート である。 発明を実施するための最良の形態

添付の図面に従って、 本発明をより詳細に説明する。 図 1は本発明に 係る個人情報管理システム 1の全体の構成の例を示す図である。 図 1に示すように、 本発明に係る個人情報管理システム 1は、 仲介シ ステム 1 0、 サービス提供システム 2、 端末装置 3、 およびネッ トヮー ク 4などによって構成される。 仲介システム 1 0、 サービス提供システ ム 2、 および端末装置 3は、 ネッ トワーク 4を介して互いに接続可能で ある。 ネットワーク 4として、 インターネッ ト、 公衆回線、 または専用 線などが用いられる。

端末装置 3として、 W e bブラウザおよび電子メールプログラムがィ ンストールされたワークステーション、 パーソナルコンピュータ、 P D A (Pers ona l Di g i t a l Ass i s t an t ) 、 または携帯電話装置などが用いら れる。

サービス提供システム 2は、 端末装置 3のユーザに対してオンライン ショッピング、 チケッ ト予約、 オークション、 またはオンラインバンキ ングなどのサービスを提供するサービス事業者 （例えば、 インターネッ トサービスプロバイダまたは金融機関など） ごとに設けられており、 主 にこれらのサービスを提供するための処理を行う。

サ一ビス事業者は、 サービスをユーザに提供するために、 そのユーザ の個人情報を必要とする場合がある。 例えば、 オンラインショッピング のサービスを行うサービス事業者は、 商品の発送先の住所、 トラブルが あった場合などに連絡を取るための電話番号または電子メールァドレス 、 または代金の支払いに用いられるクレジッ トカードのカード番号など の項目についての個人情報を必要とする。 本実施形態では、 ユーザの個 人情報は、 そのユーザ自身の端末装置 3によって管理されている。 サ一 ビス事業者は、 必要が生じた時点で、 必要最小限の項目についての個人 情報をそのユーザの端末装置 3から取得することができる。

ただし、 この際に、 サービス事業者は、 必要な個人情報を、 直接ユー ザの端末装置 3に対して要求するのではなく、 仲介システム 1 0に対し て要求する。 仲介システム 1 0は、 要求に係る個人情報をそのサービス 事業者のサービス提供システム 2に送信するように端末装置 3に対して 指令する。 つまり、 仲介システム 1 0は、 サービス提供システム 2の要 求を端末装置 3に伝える仲介の処理を行う。 この仲介システム 1 0は、 政府または役所などの公的機関、 または公的機関が認めた機関など、 個 人情報を不正に用いない、 信頼のある団体によって運営される。 以下、 仲介システム 1 0を運営する団体を 「仲介局」 と記載する。

その他、 仲介局は、 ユーザの個人情報の内容が正しいか否かを審査し 、 審査に合格した個人情報に電子署名を行う。 ユーザは、 審査に合格し て電子署名がなされた個人情報によらなければ、 サービス事業者からサ 一ビスを受けることができない。

また、 ユーザは、 サービス事業者が提供するサービスを受ける際に、 自分が本人であること （つまり、 そのユーザになりすました他人でない こと） を、 そのユーザが使用する端末装置 3に認証してもらわなければ ならない。 さらに、 その端末装置 3が、 サービスを受ける際に使用して もよい端末装置であるか否かを、 仲介システム 1 0に認証してもらわな ければならない。 ユーザは、 ユーザの認証および端末装置の認証の両方 が得られた場合に、 サービスの提供を受けることができる。

仲介システム 1 0およびサービス提供システム 2として、 例えば、 電 子メールサーバ、 C G I (Common Ga t eway I n t er f ace) 、 および W e b サーバなどの機能を有するサーバ機が用いられる。 図 1に示すように、 仲介システム 1 0を、 1台のサーバ機によって構成してもよいし、 複数 台のサーバ機および種々の装置を組み合わせて構成してもよい。

図 2は仲介システム 1 0のハ一ドウエア構成の例を示す図、 図 3は仲 介システム 1 0の機能的構成の例を示す図、 図 4はサービス提供システ ム 2の機能的構成の例を示す図、 図 5は端末装置 3の機能的構成の例を 示す図、 図 6は個人情報 7 00の例を示す図、 図 7は個人情報 77の例 を示す図である。

図 2に示すように、 仲介システム 1 0は、 CPU 1 0 a、 RAM 1 0 b、 ROM 10 c、 磁気記憶装置 1 0 d、 ディスプレイ装置 1 0 e、 マ ウスまたはキーボードなどの入力装置 1 0 f 、 フロッピディスクドライ ブまたは CD— Rドライブなどのリムーバブルディスク ドライブ 1 0 g 、 および各種インタフェースなどによって構成される。 磁気記憶装置 1 0 dには、 オペレーティングシステム （OS) 、 上記の各機能を実現す るためのプログラム、 および図 3に示す各機能を実現するためのプログ ラムおよびデータなどがインストールされている。 これらのプログラム およびデータは、 必要に応じて RAM 1 0 bにロードされ、 C PU 1 0 aによってプログラムが実行される。

サービス提供システム 2および端末装置 3のハードウエア構成も、 図 2に示す仲介システム 1 0の構成とほぼ同様である。 サービス提供シス テム 2および端末装置 3のそれぞれの磁気記憶装置には、 図 4および図 5に示す各機能を実現するためのプログラムおよびデータなどがィンス トールされている。 端末装置 3には、 指紋入力装置、 マイクロホン、 ま たはディジ夕ルカメラなどが必要に応じて接続される。

ただし、 端末装置 3として、 PDAまたは携帯端末装置が用いられる 場合は、 必要なプログラムなどは、 ROM 1 0 cに書き込まれる。 フロ ツビディスクなどのリムーバブルディスクドライブ 1 0 gは、 必要に応 じて外付けされる。

次に、 図 3、 図 4、 および図 5に示す各機能を、 個人情報の信頼性を 得るための機能、 セキュリティおよび取引の信頼性を得るための機能、 およびサービスの享受および提供のための機能に大別して説明する。 〔個人情報の信頼性を得るための機能〕 前に述べたように、 仲介局は、 ユーザの個人情報の内容が正しいか否 かの審査を行う。 ユーザは、 例えば図 6に示すような所定の項目に関す る自分の個人情報 7 0 0を仲介局に提出し、 審査の申請を行う。 個人情 報 7 0 0の提出は、 これらの項目を記入した用紙、 または記録したフロ ツビディスクまたは C D—R O Mなどのリム一バブルディスクを、 仲介 局に郵送することによって行う。 この際に、 ユーザの身分証明書のコピ 一を同封する。 なお、 仲介局は、 ユーザが本人であるか否かをより確実 に審査したい場合は、 申請を仲介局の窓口でのみ受け付け、 免許証また はパスポートなど写真付きの身分証明書の提示を求めるようにしてもよ い。 ユーザが本人であることを確認できるのであれば、 これ以外の方法 によって申請を受け付けてもよい。

個人情報 7 0 0の内容の審査は、 基本的に、 仲介局に勤める局員に行 わせる。 ただし、 銀行口座またはクレジットカードに関する項目の個人 情報の審査については、 仲介局は、 銀行またはカード会社に依頼しても よい。 または、 ユーザは、 これらの項目の審査については、 仲介局を介 さずに銀行または力一ド会社に直接審査の申請を行うようにしてもよい 。 この場合は、 銀行またはカード会社が、 「仲介局」 の 1つとなる。 そ の他、 項目に応じて種々の団体が審査を行うようにしてもよい。

仲介システム 1 0において、 図 3に示す署名個人情報出力部 1 0 1は 、 ユーザが提出した個人情報 7 0 0のうち、 審査に合格した個人情報 7 0 0に電子署名を行って署名個人情報 7 0 sを生成する。 そして、 その 署名個人情報 7 0 sを、 提出元であるユーザの端末装置 3に対して出力 する。 審査に合格しなかった場合は、 その旨をその理由とともにユーザ に通知する。

署名個人情報 7 0 sの出力は、 その署名個人情報 7 0 sを添付した電 子メールを提出元であるユーザの電子メールァドレスに送信することに よって行えばよい。 または、 その署名個人情報 7 0 sをリムーバブルデ イスクに書き込むことによって行ってもよい。 この場合は、 そのリム一 バブルディスクは、 書留郵便などによってユーザの住所へ送られる。 端末装置 3において、 図 5に示す個人情報入力部 3 0 1は、 仲介シス テム 1 0から出力された、 電子署名がなされた個人情報すなわち署名個 人情報 7 0 sを、 端末装置 3に入力するための処理を行う。 入力された 署名個人情報 7 0 sは、 個人情報記憶部 3 0 2に記憶され管理される。 仲介システム 1 0から端末装置 3に送信される、 あらゆる情報および プログラムに関しては、 個人情報にアクセスするものである以上、 改ざ んがないことを保証する意味で署名処理がなされていることが望ましい

〔セキュリティおよび取引の信頼性を得るための機能〕

特徴情報記憶部 3 0 3は、 その端末装置 3を使用する権限を有するュ 一ザごとにバイオ情報 7 1を記憶する。 バイオ情報 7 1は、 人間の身体 的特徴を示す情報である。 バイオ情報 7 1として、 例えば、 指紋、 声紋

、 瞳の虹彩、 または筆跡など、 人間一人ずつそれぞれ異なった特徴が表 れるものが用いられる。

個人認証部 3 0 4は、 入力されたユーザの身体的特徴 （例えば、 指紋 入力装置によって入力されたユーザの指紋） と特徴情報記憶部 3 0 3に 記憶されているバイオ情報 7 1とを照合することによって、 そのユーザ が端末装置 3を使用する権限を有しているか否かを判別する。 つまり、 バイオ認証 （バイオメトリックスまたは生体識別とも言う。 ） の手法に よってユーザ認証の処理を行う。

個人認証部 3 0 4によって使用の権限があると認証されたユーザは、 サービス事業者が提供するサービスの提供を受けることができる。 また 、 端末装置 3は、 そのユーザの端末装置として機能する。 例えば、 指紋 を入力したユーザがユーザ Aであると認証された場合は、 その端末装置 3は、 ユーザ Aの端末装置として機能する。 なお、 ユーザ認証は、 端末 装置 3を起動する際に行ってもよいし、 サービスの提供を受ける直前に 行ってもよい。

図 3に示す個体情報記憶部 1 0 2は、 端末装置 3ごとに、 その端末装 置 3の特徴を示す個体情報 7 2を端末識別コード 7 3と対応付けて記憶 する。 本実施形態において、 「個体」 とは、 サービス事業者のサービス を受けるために使用される端末装置を意味する。 個体情報 7 2として、 例えば、 端末装置 3のハードウェア構成に関する情報、 端末装置 3に与 えられた I Pアドレスまたは M A Cアドレス、 端末装置 3の機種に関す る情報、 または端末装置 3が携帯電話装置である場合はその携帯電話装 置に与えられたシリアル番号、 製造番号、 または携帯電話番号などが用 いられる。

サービス提供システム 2において、 図 4に示す個体適否判別要求部 2 0 1は、 ユーザが今使用している端末装置 3がサービス事業者のサービ スを受ける際の使用に適しているか否かを判別するように、 仲介システ ム 1 0に対して要求する処理を行う。 この際に、 個体適否判別要求部 2 0 1は、 その端末装置 3から取得した端末識別コード 7 3を仲介システ ム 1 0に対して送信する。

図 3に示す個体適否判別部 1 0 3は、 サービス提供システム 2から送 信されてきた端末識別コード 7 3に示される端末装置 3力 サービス事 業者のサービスの提供を受けるのに適しているか否かの判別を行う。 係 る判別は、 例えば、 ユーザが今使用している端末装置 3の状態と、 端末 識別コード 7 3に対応する、 個体情報記憶部 1 0 2に記憶されている個 体情報 7 2とを、 比較することによって行われる。 両者が一致すれば、 ユーザが今使用している端末装置 3は、 サービスの提供を受けるための 使用に適していると判別される。 一致しなければ、 他人が他の端末装置 3を用いてそのユーザになりすましてサービスを受けようとしている可 能性があるので、 不適と判別される。 判別の結果は、 「適」 または 「不 適」 を示す個体適否情報 74として、 要求元のサービス提供システム 2 に送信される。

または、 端末装置 3が TC PA (Trusted Co即 u ting P 1 at f orm Al 1 i a nce) に定められる仕様すなわち T C P S (Trus ted Comput ing Plat for m Specifications) に準拠する場合は、 T C P Aが提唱する方法によつ て判別を行ってもよい。 例えば、 端末装置 3が、 TC P A仕様のセキュ リティ回路 （セキュリティチップ） を有している場合は、 このセキユリ ティ回路を用いて判別を行ってもよい。

〔サービスの享受および提供のための機能〕

端末装置 3において、 ユーザは、 We bブラウザに URLを指定する などして、 所望するサービスを提供するサービス事業者の We bサイ ト にアクセスする。 以下、 ユーザ Aがオンラインショッピングを行うサ一 ビス事業者 Xの We bサイ トにアクセスした場合を例に説明する。 ユー ザ Aは、 その We bサイ 卜の中に記載される説明または画像などを参考 にして購入しょうとする商品 （提供を受けたいサービス） を選び、 その 商品の商品名または画像をクリックするなどして指定する。 これにより 、 その商品の販売、 という 1つのサービスが選ばれたことになる。

すると、 図 5に示すサービス発注部 3 0 7は、 サービス事業者 Xのサ —ビス提供システム 2に対してその商品の注文 （サービスの要求） を行 う。 サービス提供システム 2において、 その注文が注文受付部 2 0 7に よって受け付けられると、 サービス提供可否判別部 2 0 2は、 その商品 をユーザ Aに販売してもよいか否かを判別する。 例えば、 商品が酒類で ある場合は、 ユーザ Aが 2 0歳以上であれば、 販売してもよいと判別す る。 商品が販売地域限定品である場合は、 ユーザ Aの住所がその地域内 にあれば、 販売してもよいと判別する。 判別の処理は、 次のような手順 によって行われる。

サービス提供可否判別部 2 0 2は、 判別を行うために必要な個人情報 を送信するように仲介システム 1 0に対して要求する。 ただし、 サ一ビ ス事業者 Xは、 どのような項目に関する個人情報を必要とするのかを、 その商品の販売 （サービスの提供） を開始する前に予め仲介局に通知し 、 仲介システム 1 0に登録しておかなければならない。 例えば、 酒類を 販売してもよいか否かを判別したい場合は 2 0歳以上であるか否かを示 す項目を登録し、 販売地域限定品を販売してもよいか否かを判別したい 場合はユーザの住所がその地域内にあるか否かを示す項目を登録してお かなければならない。 これらの項目は、 仲介局によって審査され、 サー ビスを提供する際に必要であると認められたときに登録される。 したが つて、 サービスの提供に無関係な項目が含まれている場合は、 登録を断 られることになる。 なお、 これらの項目は、 項目指定情報 7 5として仲 介システム 1 0の項目指定情報記憶部 1 0 4に記憶 （登録） される。 図 3に示す回答情報送信指令部 1 0 5は、 サービス提供可否判別部 2 0 2から要求された項目の個人情報をサービス事業者 Xのサービス提供 システム 2に送信するように、 ユーザ Aの端末装置 3に対して指令を行 う。 係る指令は、 項目指定情報記憶部 1 0 4に予め登録されている項目 指定情報 7 5に基づいて行われる。 なお、 要求された項目の個人情報を 抽出するためのプログラムを端末装置 3に送信することによって指令を 行ってもよい。 この場合のプログラムは、 例えば、 J a v aァプレット または J a v a S c r i p tなどの言語によって記述される。

図 5に示す回答情報送信部 3 0 5は、 回答情報送信指令部 1 0 5から の指令に従って、 または送信されてきたプログラムを実行することによ つて、 個人情報記憶部 3 0 2に記憶されているユーザ Aの個人情報 7 0 0の中から必要な個人情報を抽出し、 これに基づいて回答情報 7 6を生 成してサービス事業者 Xのサービス提供システム 2に送信する。 例えば 、 ユーザ Aが 2 0歳以上であるか否かを示す個人情報が求められた場合 は、 ユーザ Aの個人情報 7 0 0の中から年齢の情報を抽出する。 そして 、 2 0歳以上であった場合は 「Y e s」 を示す回答情報 7 6を生成して 送信し、 2 0歳未満であった場合は 「N o」 を示す回答情報 7 6を生成 して送信する。 ただし、 この回答情報 7 6は、 情報の漏洩を防止するた めに、 喑号化されて送信される。

そして、 図 4のサービス提供可否判別部 2 0 2は、 要求した個人情報 として回答情報 7 6を受信し、 これに基づいて商品をユーザ Aに販売し てもよいか否かを判別する。 販売できないと判別された場合は、 ユーザ Aの端末装置 3に対してその旨を通知する。

なお、 回答情報 7 6の暗号化は、 P K I (Pub l i c Key I n f ras t rue tur e :公開鍵基盤） の下で行われる。 すなわち、 公開鍵暗号方式によって 行われる。 サービス事業者 Xは、 公開鍵 K xをすベてのユーザに公開し 、 この公開鍵 Κ χに対応する秘密鍵 F Xを誰にも知られないように管理 する。 図 5において、 端末装置 3は、 この公開鍵 Κ χを用いて回答情報 7 6を暗号化する。 そして、 サービス事業者 Xのサービス提供システム 2は、 暗号化された回答情報 7 6を、 秘密鍵 F Xを用いて復号する。 以 下、 端末装置 3からサービス提供システム 2への個人情報などのデ一夕 の送信は、 このような公開鍵暗号方式によって行われる。

図 4に示す二次事業者選定部 2 0 3は、 サービス事業者の代わりに商 品を配達しまたは商品の代金の徴収などを行う二次事業者を選ぶための 処理を行う。 係る処理は、 次のような手順で行われる。

例えば、 サービス事業者 Xは、 二次事業者として、 東日本の家庭に配 達を行う運送業者 U l、 西日本の家庭に配達を行う運送業者 U 2、 およ びクレジッ トカード会社 T 1、 T 2と業務提携を結んでいるとする。 こ の場合に、 二次事業者選定部 2 0 3は、 商品の配達を代行する運送業者 および代金の徴収を代行するクレジッ トカード会社をそれぞれ 1つずつ 選ぶために、 ユーザ Aの住所が東日本にあるか西日本にあるか、 および ユーザ Aはクレジッ トカード会社 T 1、 T 2のうちのいずれのクレジッ トカード会社に加入しているか、 という 2つの項目についての個人情報 を仲介システム 1 0に対して要求する。 なお、 前に述べたように、 サ一 ビス事業者 Xは、 これらの要求を行うために、 これらの項目を示す項目 指定情報 7 5を仲介システム 1 0に予め登録しておかなければならない このとき、 図 3に示す回答情報送信指令部 1 0 5および図 5に示す回 答情報送信部 3 0 5は、 前に述べた処理と同様の処理を行う。 すなわち 、 回答情報送信指令部 1 0 5は、 二次事業者選定部 2 0 3からの要求に 係る項目についての個人情報をサービス事業者 Xのサービス提供システ ム 2に送信するように、 ユーザ Aの端末装置 3に対して指令を行う。 ま た、 回答情報送信部 3 0 5は、 係る指令に従ってユーザ Aの個人情報 7 0 0の中から、 要求された個人情報を抽出し、 回答情報 7 6を生成して サービス事業者 Xのサービス提供システム 2に送信する。 例えば、 ユー ザ Aの個人情報 7 0 0が図 6に示すような内容である場合は、 「住所 = 西日本」 および 「クレジットカード会社 = T 1」 という内容を示す回答 情報 7 6をサービス提供システム 2に送信する。

そして、 図 4に示す二次事業者選定部 2 0 3は、 この回答情報 7 6に 基づいて、 二次事業者として例えば運送業者 U 2およびクレジットカ一 ド会社 Τ 1をそれぞれ選定する。

個人情報要求部 2 0 4は、 最終的にユーザ Αに商品を販売するために 必要な項目についてのユーザ Aの個人情報を、 サービス事業者 Xおよび 各二次事業者に送信するように、 仲介システム 1 0に対して要求する。 例えば、 トラブルなどがあった場合にユーザ Aと連絡を取るための電子 メールに関する個人情報をサービス事業者 Xに送信するように要求し、 商品の配達先を示す氏名、 住所、 および電話に関する個人情報を運送業 者 U 2に送信するように要求し、 代金を徴収するためのクレジッ トカー ドに関する個人情報をクレジッ トカード会社 T 1に送信するように要求 する。 ただし、 前に述べた通り、 これらの必要な項目を示す項目指定情 報 7 5を、 仲介システム 1 0に予め登録しておかなければならない。 こ の項目指定情報 7 5には、 請求項 3に記載する第一の項目情報および第 二の項目情報が含まれている。

図 3に示す個人情報送信指令部 1 0 6は、 個人情報要求部 2 0 4から 要求された各個人情報をサービス事業者 Xおよび各二次事業者のところ へ送信するように、 ユーザ Aの端末装置 3に対して指令を行う。 この際 に、 回答情報送信指令部 1 0 5の場合と同様に、 要求に係る情報を抽出 するためのプログラムを端末装置 3に送信してもよい。

図 5に示す個人情報送信部 3 0 6は、 個人情報送信指令部 1 0 6から の指令に基づいて、 ユーザ Aの個人情報 7 0 0の中から、 要求された個 人情報を抽出し、 これらを暗号化して所定のサービス事業者および二次 事業者に送信する。 例えば、 図 6に示す個人情報 7 0 0の中から、 図 7 ( a ) 〜 （c ) に示すような個人情報 7 7 ( 7 7 a〜 7 7 c ) が抽出さ れる。 そして、 個人情報 7 7 aをサービス事業者 Xに送信し、 個人情報 7 7 bを運送業者 U 2に送信し、 個人情報 7 7 cをクレジットカ一ド会 社 T 1に送信する。 二次事業者ごとに個人情報 7 7を抽出してそれぞれ に送信するので、 後述する暗号化方式が脆弱化していた場合でも、 転送 中の不当な復号による個人情報の漏洩が逃れる。 なお、 これらの個人情 報 7 7 a〜7 7 cを互いに関連付けるために、 同じ注文識別コードを付 しておく。 一旦、 個人情報 7 7 a〜7 7 cをまとめてサービス事業者 X のサービス提供システム 2に送信するようにしてもよい。

なお、 個人情報 7 7 a〜7 7 cの暗号化は、 それぞれ異なった公開鍵 を用いて行われる。 例えば、 個人情報 7 7 aは、 その送信先であるサー ビス事業者 Xの公開鍵 K xを用いて暗号化される。 同様に、 個人情報 7 7 b、 7 7 cは、 それぞれ、 運送業者 U 2の公開鍵 K u 2およびクレジ ッ トカード会社 T 1の公開鍵 K t 1を用いて喑号化される。 これらの公 開鍵 K x、 K u 2、 および K t 1に対応する秘密鍵 F x、 F u 2、 およ び F t 1は、 それぞれ、 サービス事業者 X、 運送業者 U 2、 およびクレ ジットカード会社 T 1のみが所有している。 したがって、 これら三者は 、 自分以外に宛てた個人情報 7 7の内容を見ることができない。 つまり 、 各サービス事業者は、 自己のサービスのためには知る必要のない個人 情報を閲覧することができない。

個人情報 7 7は、 図 4に示す個人情報受信部 2 0 5によってサービス 提供システム 2に受信される。 個人情報 7 7 b、 7 7 cが受信された場 合は、 個人情報分配部 2 0 6によってそれぞれ運送業者 U 2およびクレ ジットカード会社 T 1に転送される。 そして、 サービス事業者 Xおよび 各二次事業者は、 それぞれ取得したユーザ Aの個人情報 7 7に基づいて 、 商品の発送または代金の徴収などサービスの提供のための処理を行う 図 8はサービス事業者に必要な準備の処理の流れの例を説明するフロ 一チャート、 図 9はユーザに必要な準備の処理の流れの例を説明するフ ローチャート、 図 1 0は個人情報管理システム 1におけるサービスの提 供の処理の流れの例を説明するフローチャート、 図 1 1は認証処理の流 れの例を説明するフローチャート、 図 1 2は利用可否の判定処理の流れ の例を説明するフローチャート、 図 1 3は二次事業者の選定処理の流れ の例を説明するフローチャート、 図 1 4は必要情報の収集処理の流れの 例を説明するフローチヤ一トである。

次に、 個人情報管理システム 1における処理の流れを、 フローチヤ一 トを参照して説明する。

サービス事業者は、 ユーザにサービスを提供する前に、 図 8に示すよ うな準備をしておかなければならない。 すなわち、 サービス事業者は、 仲介システム 1 0の使用を許可するように仲介局に対して依頼し、 その サービス事業者に関する情報 （例えば、 事業者名、 代表者の氏名、 住所 、 連絡先、 担当者の氏名および電子メールアドレス、 および W e bサイ 卜の U R Lなど） を仲介システム 1 0に登録してもらう （# 8 1 ) 。 な お、 仲介局は、 サービス事業者を審査し、 その結果、 例えば個人情報の 守秘義務を果たさないような信頼性のないサービス事業者であると認め られた場合は、 登録を拒否する。

そして、 サービスの提供の際にどのような項目についての個人情報が 必要であるかを示す項目指定情報 7 5を仲介システム 1 0に登録してお く （# 8 2 ) 。 なお、 新製品の販売を開始するなど、 新たなサービスの 提供を開始したいときは、 それに合わせて項目指定情報 7 5を新たに登 録しておかなければならない場合がある。

一方、 ユーザは、 サービス事業者からサービスの提供を受ける前に、 図 9に示すような準備をしておかなければならない。 すなわち、 サービ スの提供を受ける際に使用する端末装置 3 (個体） に関する情報を仲介 システム 1 0に登録しておく （# 9 1 ) 。 ユーザ自身の個人情報を仲介 局に提示し、 その内容が正しいか否かを審査してもらう （# 9 2 ) 。 審 査に合格した場合は、 その個人情報をその端末装置 3に記憶させておく ( # 9 3 ) 。 そして、 その端末装置 3に、 ユーザの指紋または声紋など をバイオ情報 7 1として登録しておく （# 94) 。 なお、 ステップ # 9 1、 # 9 2〜# 9 3、 および # 94の各処理は並行して行ってもよいし 、 順序を入れ替えて行ってもよい。

これらの準備が完了した後、 例えば図 1 0に示す手順により、 サービ ス事業者からユーザにサービスが提供される。 まず、 サービスの提供を 受けるユーザおよびそのユーザの端末装置 3についての認証の処理を行 う （# 1) 。 具体的には、 図 1 1に示すように、 端末装置 3において、 そのユーザ自身の指紋などを入力し、 予め登録されているバイオ情報 7 1 と照合して、 そのユーザが正しいユーザであるか否かを認証する （# 1 1) 。 すなわち、 バイオ認証を行う。

正しいユーザであると認証されなかった場合は （# 1 1で N o) 、 そ のユーザはサービスの提供を受けることができないものとして取り扱わ れる （# 1 5) 。 正しいユーザであると認証された場合は （# 1 1で Y e s ) 、 そのユーザの端末装置 3がサービスの提供を受けるための使用 に適しているか否かについて判別 （認証） を行うように、 サービス提供 システム 2を介して仲介システム 1 0に対して依頼する （# 1 2、 # 1 3) 。

端末装置 3が使用に適していると認証された場合は （# 1 4で Y e s ) 、 ユーザは今使用している端末装置 3によってサービス事業者からの サービスを受けることができると判別される。 そして、 図 1 0のステツ プ # 2以降の処理を行う。 そうでない場合は、 ユーザはその端末装置 3 によってはサービスの提供を受けることができないと判別され、 サービ スのための処理を終了する （# 1 5) 。

図 1 0に戻って、 サービス提供システム 2において、 必要に応じて、 ユーザにサービスを提供してもよいか否かの判別を行う （# 2) 。 具体 的には、 まず、 図 1 2に示すように、 係る判別のために必要な個人情報 をサービス提供システム 2に送信するように、 仲介システム 1 0に対し て要求する （# 2 1 ) 。 例えば、 酒類の販売を行いたい場合は、 そのュ 一ザが 2 0歳以上であるか否かを示す項目についての個人情報を要求す る。

仲介システム 1 0は、 そのユーザの端末装置 3に対して、 要求に係る 個人情報を抽出してサービス提供システム 2に送信するように指令を行 う （# 2 2 ) 。 すると、 端末装置 3は、 そのユーザの個人情報 7 0 0に 基づいて回答情報 7 6を生成して要求元のサービス提供システム 2に送 信する （# 2 3 ) 。 例えば、 個人情報 7 0 0が図 6に示すような内容で ある場合は、 生年月日および現在の日付に基づいて 「2 0歳以上 = Y e s J という内容の回答情報 7 6が得られる。 つまり、 そのユーザは 2 0 歳以上であると判別できる。 なお、 仲介システム 1 0による指令は、 要 求に係る個人情報を抽出するためのプログラム （判別プログラム） を送 信することによって行ってもよい。

回答情報 7 6を送信した旨の履歴情報をログファイルに書き込んで記 録しておいてもよい （# 2 4 ) 。 これにより、 サービス事業者が不正に ユーザの個人情報を取得しょうとしているか否かを調査するための資料 を得ることができる。 ログファイルの保存場所は、 仲介システム 1 0で あっても端末装置 3であってもよい。 なお、 提供する相手を問わないサ 一ビスの場合は、 ステップ # 2 1〜# 2 4の処理すなわち図 1 0のステ ップ # 2の処理は不要である。

図 1 0に戻って、 サービス提供システム 2において、 二次事業者の選 定を必要に応じて行う （# 3 ) 。 選定のために必要な項目についてのュ 一ザの個人情報を、 そのユーザの端末装置 3から取得し、 これに基づい て選定を行う。 係る個人情報の取得の処理は、 図 1 3に示す手順で行わ れる。 まず、 仲介システム 1 0に対して、 必要な個人情報を要求する （ # 3 1) 。 例えば、 運送業者を選定したい場合は、 ユーザの住んでいる 地域に関する個人情報を要求する。

仲介システム 1 0は、 図 1 2のステップ # 22の場合と同様に、 その ユーザの端末装置 3に対して、 要求に係る個人情報を抽出してサービス 提供システム 2に送信するように指令を行う （# 3 2) 。 端末装置 3は 、 ステップ # 23の場合と同様に、 抽出した個人情報に基づいて回答情 報 76を生成し、 要求元のサービス提供システム 2に送信する （# 33 ) 。 このとき、 送信の履歴情報をログファイルに記録しておく （# 34

) o

図 1 0に戻って、 ユーザがサービスの提供を受けるのに適しているこ との確認 （# 1、 # 2) 、 および二次事業者の選定ができれば （# 3) 、 最終的にユーザにサービスを提供するために必要な個人情報 （例えば 商品の送り先の住所および代金の徴収のためのクレジッ トカ一ド番号な ど） を端末装置 3からサービス提供システム 2に与えるための処理を行 う (#4) 。

すなわち、 図 14に示すように、 サービス提供システム 2は、 必要な 個人情報を送信するように仲介システム 1 0に対して要求する （# 41 ) 。 仲介システム 1 0は、 要求された個人情報をサービス提供システム 2に送信するように、 そのユーザの端末装置 3に対して指令を行う （# 42 ) 。 係る指令は、 情報を抽出するためのプログラムを送信すること によって行ってもよい。

端末装置 3は、 要求された個人情報をそのユーザの個人情報 700の 中から収集 （抽出） し、 要求元のサービス提供システム 2に送信する （ # 43) 。 このとき、 図 12のステップ # 24の場合と同様に、 送信の 履歴情報をログファイルに記録しておく （# 44) 。 サービス提供シス テム 2は、 受信した個人情報を、 必要に応じて二次事業者に転送する （ # 4 5 ) 。

そして、 図 1 0に戻って、 サービス事業者および各二次事業者は、 そ れぞれ受信した個人情報に基づいてユーザにサービスを提供するための 処理を行う （# 5 ) 。

本実施形態によると、 ユーザの個人情報をユーザ自身で管理しつつ、 サービスの提供を受けるために最小限必要な個人情報だけをサービス事 業者に与えることができる。 これにより、 個人情報の漏洩および散乱を 防止することができる。

また、 個人認証および個体認証を行うことによって、 不正な第三者に よるサービスの利用を防止することができる。 個人情報などは、 その送 信先ごとにそれぞれ異なる公開鍵を用いて暗号化するので、 情報の漏洩 および散乱をさらに効果的に防止することができる。 個人情報に電子署 名を行うことにより、 個人情報の不正な書換えを防止することができる よって、 ュ一ザは安心してサービス事業者のサービスを受けることが できる。 一方、 サービス事業者は、 個人情報の内容を信頼し、 安心して 注文を受けることができる。

本実施形態においては、 個人情報などの暗号化は、 公開鍵暗号方式に よって行ったが、 共通鍵暗号方式であってもよいし、 両者の組合せであ つてもよい。

端末装置 3は、 ユーザの個人情報をサービス提供システム 2に送信す る前に、 その個人情報の内容が正しいか否かを確認するようにしてもよ レ 例えば、 クレジットカードについての個人情報を送信する前に、 ク レジッ トカード会社に対して与信チェックを要求し、 そのクレジットカ 一ドの有効期限が切れていないかどうか、 または利用限度額を超えてい ないかどう力、、 などを確認するようにしてもよい。 同様に、 市役所など に対して、 引越しなどに伴ってユーザの住所などに変更がないかどうか を確認するようにしてもよい。 これらのチェックを要求するためのプロ グラムは、 仲介システム 1 0から端末装置 3に配信するようにしてもよ い。

端末装置 3は、 個人情報などをサービス提供システム 2に送信する前 に、 具体的にどのような項目についてサービス提供システム 2に送信し ようとしているのかを、 ユーザに対して知らせるようにしてもよい。 そ して、 W e bブラウザに表示されたボタンをクリックするなどの操作が あった場合に、 送信を行うようにしてもよい。 または、 送信を行った後 に、 その旨を知らせるようにしてもよい。

その他、 個人情報管理システム 1、 仲介システム 1 0、 サービス提供 システム 2、 端末装置 3の全体または各部の構成、 個人情報の内容、 処 理内容、 処理順序などは、 本発明の趣旨に沿って適宜変更することがで さる。 産業上の利用可能性

以上のように、 本発明に係る個人情報管理システム、 仲介システム、 および端末装置は、 ユーザの個人情報をユーザ自身で管理しつつ、 サ一 ビスの提供を受けるのに必要な個人情報を安全にサービス事業者に与え 、 信頼性の高いサービスが行われるようにすることができる点で有用な ものである。

Claims

請 求 の 範 囲 1 . サービス事業者のサービス事業者システムと、 前記サービス事業者 が提供するサービスを受けようとするユーザの端末装置と、 前記ユーザ の個人情報を前記サービス事業者に与えるための仲介を行う仲介システ ムと、 を有してなる個人情報管理システムであって、

前記ユーザの端末装置には、

当該ユーザの 1つまたは複数の項目についての個人情報を記憶する個 人情報記憶手段と、

当該ユーザが当該端末装置を使用する権限を有する者であるか否かの 認証を行う個人認証手段と、

前記仲介システムからの指令に従って当該ユーザの個人情報を送信す る個人情報送信手段と、 が設けられ、

前記サービス事業者のサービス事業者システムには、

当該サービス事業者が前記サービスを提供するために必要な項目につ いての前記ユーザの個人情報を前記仲介システムに対して要求する個人 情報要求手段と、

要求した前記ユーザの個人情報を当該ユーザの端末装置から受信する 個人情報受信手段と、 が設けられ、

前記仲介システムには、

前記ユーザの端末装置が前記サービスの提供を受けるための使用に適 しているか否かを判別する端末適否判別手段と、

前記サービス事業者のサービス事業者システムの前記個人情報要求手 段から要求された、 前記必要な項目についての前記ユーザの個人情報を 、 当該ユーザの端末装置の前記個人認証手段によって当該ユーザが前記 権限を有する者であると認証されかつ前記端末適否判別手段によって当 該端末装置が前記サービスの提供を受けるための使用に適していると判 別された場合に、 当該サービス事業者システムに送信するように、 当該 端末装置に対して指令を行う送信指令手段と、 が設けられてなる、 ことを特徴とする個人情報管理システム。

2 . 前記仲介システムには、 前記サービス事業者が前記サービスを提供 するために必要な個人情報の項目を示す項目情報を、 当該サービスの受 付を始める前に予め記憶しておく項目記憶手段が設けられ、

前記送信指令手段は、 前記項目情報に示される項目についての前記ュ 一ザの個人情報を送信するように指令を行う、

請求項 1記載の個人情報管理システム。

3 . 前記項目記憶手段は、 前記項目情報として、 前記サービス事業者に とって直接必要な個人情報の項目を示す第一の項目情報と、 前記サービ ス事業者を代行する二次事業者にとって必要な個人情報の項目を示す第 二の項目情報と、 を記憶し、

前記送信指令手段は、 前記第一の項目情報に示される項目についての 前記ユーザの個人情報を前記サービス事業者に宛てて送信し前記第二の 項目情報が示す項目についての前記ユーザの個人情報を前記二次事業者 に宛てて送信するように、 指令を行う、

請求項 2記載の個人情報管理システム。

4 . 前記個人情報送信手段は、 前記ユーザの個人情報を、 宛先ごとにそ れぞれ異なる公開鍵を用いて公開鍵暗号方式によって暗号化して送信す る、

請求項 3記載の個人情報管理システム。

5 . 前記個人情報記憶手段は、 前記ユーザの個人情報として、 当該ユー ザ以外の者によって内容が正しいと認められた個人情報を記憶する、 請求項 1ないし請求項 4のいずれかに記載の個人情報管理：

6 . 前記ユーザの端末装置には、

前記ユーザの身体的特徴を示す特徴情報を記憶する特徴情報記憶手段 と、

前記ユーザの身体的特徴を入力する特徴入力手段と、 が設けられ、 前記個人認証手段は、 前記ユーザの入力された身体的特徴および前記 特徴情報記憶手段に記憶されている前記特徴情報に基づいて前記認証を 行う、

請求項 1ないし請求項 5のいずれかに記載の個人情報管理システム。

7 . サービス事業者の提供するサービスを受けようとするユーザの個人 情報を、 当該ユーザから当該サービス事業者に与えるための仲介を行う 仲介システムであって、

前記ユーザの端末装置が前記サービスの提供を受けるための使用に適 しているか否かを判別する端末適否判別手段と、

前記サービス事業者から要求された、 当該サービス事業者が前記サー ビスを提供するために必要な項目についての前記ユーザの個人情報を、 当該ユーザの端末装置において当該ユーザが当該端末装置を使用する権 限を有する者であると認証されかつ前記端末適否判別手段によって当該 端末装置が前記サービスの提供を受けるための使用に適していると判別 された場合に、 当該サービス事業者に送信するように、 当該端末装置に 対して指令を行う送信指令手段と、

を有してなることを特徴とする仲介システム。

8 . 前記サービス事業者が前記サービスを提供するために必要な個人情 報の項目を示す項目情報を、 当該サービスの受付を始める前に予め記憶 しておく項目記憶手段を有し、

前記送信指令手段は、 前記項目情報に示される項目についての前記ュ 一ザの個人情報を送信するように指令を行う、 請求項 7記載の仲介システム。

9 . サービス事業者が提供するサービスを受けるために用いられる端末 装置であって、

前記サービスを受けようとするユーザの 1つまたは複数の項目につい ての個人情報を記憶する個人情報記憶手段と、

前記ユーザが当該端末装置を使用する権限を有する者であるか否かの 認証を行う個人認証手段と、

前記ユーザが前記権限を有する者であると認証された場合に、 前記サ 一ビスを当該ユーザに提供するように前記サービス事業者に対して要求 を行うサービス要求手段と、

前記要求に係る前記サービスを提供するために前記サービス事業者に とって必要な項目についての前記ユーザの個人情報を、 当該サービス事 業者に送信する個人情報送信手段と、

を有してなることを特徴とする端末装置。

1 0 . 前記個人情報送信手段は、 前記必要な項目についての前記ユーザ の個人情報のうち、 前記サービス事業者を代行する二次事業者にとって のみ必要な個人情報は、 当該サービス事業者の代わりに当該二次事業者 に送信する、

請求項 9記載の端末装置。

1 1 . 前記個人情報送信手段は、 前記サービス事業者に送信する個人情 報および前記二次事業者に送信する個人情報をそれぞれ異なる公開鍵を 用いて公開鍵暗号方式によって暗号化して送信する、

請求項 1 0記載の端末装置。

1 2 . 前記個人情報記憶手段は、 前記ユーザの個人情報として、 当該ュ 一ザ以外の者によって内容が正しいと認められた個人情報を記憶する、 請求項 9ないし請求項 1 1のいずれかに記載の端末装置。

1 3 . 前記ユーザの身体的特徴を示す特徴情報を記憶する特徴情報記憶 手段と、

前記ユーザの身体的特徴を入力する特徴入力手段と、 を有し、 前記個人認証手段は、 前記ユーザの入力された身体的特徴および前記 特徴情報記憶手段に記憶されている前記特徴情報に基づいて前記認証を 行う、

請求項 9ないし請求項 1 2のいずれかに記載の端末装置。