WO2005022428A1 - 属性情報提供サーバ、属性情報提供方法、およびプログラム - Google Patents

Abstract

　個人情報を持つ個人情報取り扱い業者が、その個人の求めに応じて個人情報の一部を第三者に提供し、個人情報取り扱い業者および個人の双方に利益のあるビジネスを提供する。 　加入者の個人情報が格納されたデータベースから所定の個人情報をネットワーク７０を介して提供する属性情報提供サーバ１０と、属性情報提供サーバ１０に対して加入者自らの個人情報の中から幾つかの情報を抜き出すユーザ装置３０と、属性情報提供サーバ１０からユーザ装置３０を利用する加入者に関する所定の個人情報を取得する属性情報受信装置５０とを備え、属性情報提供サーバ１０は、ユーザ装置３０によってデータベースから抜き出された幾つかの属性情報だけを仮想レコードとしてデータベースに登録すると共に、この仮想レコードのキーとしての仮想ＩＤをユーザ装置３０に提供し、属性情報受信装置５０は、仮想ＩＤをユーザ装置３０から取得し、この仮想ＩＤに基づいて属性情報提供サーバ１０から仮想レコードを読み込む。

Description

属性情報提供サーバ、属性情報提供方法、およびプログラム 技術分野

[0001] 本発明は、ネットワークを介して属性情報を提供する属性情報提供サーバ等に関 する。

背景技術

[0002] 属性証明書 (Attribute Certificate)は、通常の公開鍵証明書が本人性を証明するの に対して、その人物がユーザ権限として、どのような属性を持っているかを証明するも のであり、 IETF(Internet Engineering Task Force)の定める X.509でその仕様が定め られている (例えば、非特許文献 1参照。 )oまた、発行も公開鍵証明書を発行する公 開鍵認証局 (Certification Authority)ではなぐ属性認証機関 (Attribute Authority)に よって行われる。このように、本人性と属性との認証を分ける動きは、 OASIS (構造化 情報標準促進協会)の標準である SAML(Security Assertion Markup Language)でも 取り入れられており、複数の独立機関によるドメインをまたがった柔軟な認証'許可を 可能にし、 Federated IDという新しい認証サービスの提案にもつながっている (例えば 、非特許文献 2参照。 )₀

[0003] この属性情報 (属性データ)には、氏名、住所、年齢、職業、電話番号、性別、家族 構成などが含まれるが、これらの属性情報の中には、会社の人事部が証明するような 組織上の職位に関するようなものから、個人の趣味のようなものまで様々なものがあ る。前述の属性証明書が使えるものは、属性自身が公的第三者によって証明できる ようなものであり、プライバシー保護の観点から、趣味のような個人的な属性には第三 者機関を認証機関とするのは適さない。このように、属性には、第三者から認定され る Authorized属性と、完全に個人の任意で決められる Discretionary属性があり、それ ぞれ異なるセキュリティ要件がある。

[0004] ここで、属性データを与信情報として扱うものとして、 ICチップ付きのクレジットカー ド内に、カード番号以外に住所などの属性情報を入れておくことで、商店などにてク レジット決済の際に付加情報を同時に開示できる従来技術が存在する (例えば、特許 文献 1参照。 )oカゝかる特許文献 1では、付加情報を区分化し、情報の開示レベルによ つてこの開示する情報をコントロールする機能についても示されている。また、クレジ ット会社などの運営する信用センターが、各加盟店の信用レベルを格付けし、それに よって情報開示レベルを決定する機能にっ 、ても示されて 、る。

[0005] また、ネットワークを介しての通信における認証システムにて、認証サーバが新規の 登録者に対して共通 IDであるユニバーサル IDを発行し、このユニバーサル IDを提 示した要求に応じて、他の端末者に対して登録者の個人情報力 住所などの商取引 に必要な情報を抽出して送信することで、ネットワークを介して商品の購入やサービ スの提供を受ける際に必要とされる個人情報の入力操作を簡略ィ匕する技術が開示さ れている (例えば、特許文献 2参照。 )₀

[0006] 非特許文献 1 : FC 3281 on An Internet Attribute Certificate [平成 15年 8月 4日検索 ]インターネット <

http://wwwl .ietf.org/ mail-archive/ ietf-announce/ Current/ msgl8344.html > 非特許文献 2 : Liberty Alliance [平成 15年 8月 4日検索]インターネットく

http://www.projectliberty.org/ >

特許文献 1：特開 2001-325526号公報 (第 4-5頁、図 1)

特許文献 2 :特開 2001-244927号公報 (第 3-4頁、図 1)

発明の開示

発明が解決しょうとする課題

[0007] ところで、前述した Authorized属性の中で、例えば預金残高や購買履歴、会員情報 などといった、個人とそれが属するサービスプロバイダとの共有情報についても、その 個人の属性として扱えると便利なことが多い。例えば米国においては、カード取得の ための審査はかなり厳重で、例えば、 1年以上、銀行口座を管理していたという取引 履歴が必要とされる。かかる場合に、その取引銀行カゝら認証をしてもらえれば、新規 取引が容易となり、加入者にとってもサービスプロノイダにとっても、利のあるサービ スとなり得る。こうした共有情報は、本来は個人の情報として保護されるべきものであ るが、個人の同意と希望のもとに、力かる情報を、それを保護するサービスプロバイダ に認証してもらう個人属性与信サービスの仕組みが望まれるところである。 [0008] また、与信をサービスとするビジネスとしては、クレジットカードが代表的なものであ るが、ここでは、与信額を上限とする金銭を与信の対象として、クレジットカード会社 の加入者が加入店舗から商品を購入するときの決算サービスが行われて 、る。ところ

1S インターネットのようなネットワーク上では、お互いに全く知らないもの同士が取り 引きを開始したい場合がある。このようなネットワーク上における与信の特徴として、

1.与信の対象は金銭以外の信頼情報であること。

2.取り引きをしょうとする二者は必ずしも同じ信頼機関に属していないこと。 等が挙げられる。そのために、クレジットカードの仕組みでは実現できない、金銭以 外で与信になるものとして、信頼できる組織の会員 (membership)であることや、その会 員として所属する期間、その間の活動履歴などが重要となる。これらは、全て個人と その所属する機関が共有する情報である。また、信頼熟成のためには、取り引きをし ようとしている二者が同じ組織に属している必要はなぐそれぞれが備えている基準 に照らして、相手を信頼できるかどうか決定できるような仕組みが必要である。現在の クレジットカードの仕組みでは、責任、与信範囲、および取引対象者が予め決められ ており、こうしたネットワーク上で期待されて 、るようなフレキシブルな与信付与の仕組 みは実現されていない。

[0009] 更に、上述した特許文献 1に記載の技術では、参加者が従来のクレジットカードの 枠 みに制限されており、また、その属性も商店が商品を配送するために必要な情 報に限定されている。また、上述した X.509等の属性証明のための技術では、例え ば非特許文献 1等では属性証明書のフォーマットを決めているだけであり、具体的な サービスの仕組みについてはカバーされていない。また更に、上述した特許文献 2に 記載の技術では、加入者の匿名性やどの属性を証明するか等について、加入者自 身がコントロールすることができない。また、自分がどの新規取引業者と取り引きしょう としているかを個人情報取り扱い業者に常に認識されることから、加入者にとっては 十分なプライバシーの保護が図られない。

[0010] 本発明は、以上のような技術的課題を解決するためになされたものであって、その 目的とするところは、インターネットなどのネットワークを用いて、例えば金銭以外の属 性を与信の対象とすること等を可能とする属性情報提供サービスを実現することにあ る。

また他の目的は、加入者の個人情報の一部を、加入者の同意の下で、新規取引者 に提供することにある。

更に他の目的は、加入者がどの新規取引業者と取り引きしょうとしているかを個人 情報取り扱い業者に知られずに、認証を可能とすることにある。

課題を解決するための手段

[0011] かかる目的のもと、本発明は、属性情報が格納されたデータベース力 所定の属性 情報をネットワークを介して提供する属性情報提供サーバであって、ネットワークを介 して接続されるユーザ装置により、データベースに格納されている属性情報の中から 幾つかの属性情報の抜き出し指示を受ける手段と、ユーザ装置によって指示されデ ータベース力 抜き出された幾つかの属性情報だけを仮想レコードとしてデータべ一 スに登録する手段と、仮想レコードのキーとしての仮想 IDをユーザ装置に提供する 手段と、ネットワークを介して接続される属性情報受信装置から、仮想 IDを用いた仮 想レコードの読み込み要求を受ける手段と、属性情報受信装置に対して仮想レコー ドを提供する手段とを含む。

[0012] ここで、この抜き出し指示を受ける手段は、ユーザ装置だけにユーザ装置の操作者 に関する属性情報を参照させ、仮想レコードを抜き出させる際に、任意の属性に対 するコピーを許可する一方、任意の属性に対する改ざんを禁止することを特徴とする ことができる。これによれば、属性情報提供サーバは、自らがユーザ装置との間で得 た活動履歴などの個人情報の一部を、加入者であるユーザ装置の同意の下で、属 性情報受信装置に開示する際、それが改ざんされていないということだけを責任範 囲として、与信をする仕組みを提供できる。また、読み込み要求を受ける手段は、デ ータベースの中からどの仮想 IDに対する仮想レコードの読み込み要求がなされてい るかを知り得ない状態にあることを特徴とすることができる。

[0013] 一方、本発明が適用される属性情報提供サーバは、データベースに格納される属 性情報の中から選択された所定の情報である仮想レコードを生成手段によって生成 し、この仮想レコードのキーとなる仮想 IDに対応付けて格納手段によりデータベース に格納する。また、ネットワークを介して接続されるユーザ装置に仮想 ID提供手段に より仮想 IDを提供し、ネットワークを介して接続される属性情報受信装置力ゝらの仮想 I Dを用いた要求に基づいて、仮想レコード提供手段は、属性情報受信装置に仮想レ コードを提供する。この仮想レコード提供手段は、データベースの中からどの仮想 ID が選ばれたかを知り得な 、状態にて、属性情報受信装置に仮想レコードを提供する ことを特徴とすることができる。

[0014] ここで、この生成手段は、データベースに格納されている加入者の属性情報の中か ら、ユーザ装置によって抜き出された情報を仮想レコードとして生成することを特徴と することができる。また、この仮想レコード提供手段は、 1-out-of-N OT(Oblivious Transfer)のプロトコルを用いて、属性情報受信装置に仮想レコードを提供することを 特徴とすることができる。

[0015] 他の観点から把えると、本発明が適用される属性情報提供サーバは、顧客ごとに、 複数の属性情報を含む顧客レコードを格納するデータベースと、顧客が操作するュ 一ザ装置からの要求に基づき、データベースから顧客の顧客レコードを読み出し、ネ ットワークを介してユーザ装置に提供する顧客レコード表示部と、ユーザ装置からネ ットワークを介し、顧客レコードの中から所定の属性情報に対する選択を受ける属性 選択部と、この属性選択部により受けた選択に基づき、顧客レコードの中から選択さ れた属性情報によって仮想レコードを生成すると共に、生成された仮想レコードをデ ータベースに格納する仮想レコード生成部と、この仮想レコード生成部により生成さ れた仮想レコードを特定するための仮想 IDをユーザ装置に提供する仮想 ID発行部 と、属性情報受信装置力もネットワークを介してなされる仮想 IDを用いた情報参照要 求に基づき、データベース力も該当する仮想レコードを読み出して属性情報受信装 置に提供する仮想レコード参照処理部とを含む。

[0016] ここで、この仮想レコード生成部は、オリジナルである顧客レコードの属性内容と、 生成された仮想レコードの属性内容とを比較し、改ざんされていないことを検証する ことを特徴としている。また、この仮想 ID発行部によりユーザ装置に提供される仮想 I Dは、顧客レコードの IDとはアンリンカブルな IDであることを特徴とすることができる。

[0017] また、本発明が適用される属性情報提供サーバは、複数の属性情報を含むレコー ドをレコード格納手段により格納し、このレコード格納手段により格納されたレコード の中から、ネットワークを介して選択された所定の属性情報によって生成された仮想 レコードを仮想レコード格納手段により格納する。そして、どの仮想レコードが選ばれ た力を知り得ない状態にて、仮想レコード格納手段の中から選ばれた仮想レコードを 、仮想レコード開示手段によりネットワークを介して開示する。

[0018] ここで、この仮想レコード格納手段は、キーとしての仮想 IDに対応付けて仮想レコ ードを格納し、仮想レコード開示手段は、どの仮想 IDが選ばれた力を知り得ない状 態にて、仮想 IDを用いた開示要求を受けることを特徴としている。より具体的には、こ の仮想レコード開示手段は、ォブリビアストランスファー (Oblivious Transfer)の暗号技 術を用 、て仮想レコードの開示を実現して 、る。

[0019] 一方、本発明を方法のカテゴリから把えると、本発明が適用される属性情報提供方 法は、ネットワークを介してなされたユーザ装置からの要求に基づき、複数の属性情 報力もなるレコードが格納されたデータベースから、所定のレコードを読み出すステツ プと、読み出された所定のレコードを、ネットワークを介してユーザ装置に提供するス テツプと、所定のレコードの中から所定の属性情報に対するユーザ装置力 の選択 をネットワークを介して受けるステップと、所定のレコードの中力 選択された所定の 属性情報を含む仮想レコードを生成するステップと、生成された仮想レコードをデー タベースに格納するステップと、データベースに格納される仮想レコードの属性情報 が顧客レコードの属性情報から改ざんされたものでな 、ことを検証するステップと、格 納された仮想レコードを特定するための仮想 IDをネットワークを介してユーザ装置に 提供するステップと、ネットワークを介して属性情報受信装置力も仮想 IDを用いた情 報参照要求を受けるステップと、この情報参照要求に基づき、データベースから該当 する仮想レコードを読み出すステップと、読み出された仮想レコードを属性情報受信 装置にネットワークを介して提供するステップと、を含む。この情報参照要求は、 1-out-of-N OT(Oblivious Transfer)のプロトコルを用いてなされることを特徴とするこ とがでさる。

[0020] 更に他の観点力 把えると、本発明が適用される属性情報提供方法は、顧客別の 顧客レコードの中から所定の属性が選択されて生成された仮想レコードをキーとなる 仮想 IDに対応付けて格納されたデータベースに対して、この仮想 IDを用いた仮想レ コードの取得要求を受けるステップと、仮想 IDに対応する仮想レコードをデータべ一 ス力 読み出し、取得要求に対して仮想レコードを開示するステップとを含み、この仮 想レコードの取得要求を受けるステップは、取得要求を受ける際に、どの仮想 IDが選 ばれたかが秘匿されることを特徴としている。ここで、この顧客自身のコンピュータ装 置を介して、顧客自身の顧客レコードの中力 所定の属性の選択を受けるステップと

、選択された所定の属性だけを属性とする仮想レコードを生成してデータベースに格 納するステップと、データベースに格納された仮想レコードのキーとなる仮想 IDをコ ンピュータ装置に提供するステップとを更に含むことができる。

[0021] また本発明は、ネットワークを介して属性情報を提供するための属性情報提供サー ノ《として機能するコンビユーがこれらの各機能を実現可能に構成されたプログラムと して把握することができる。このプログラムをコンピュータに対して提供する際に、例え ばサーバとしてのコンピュータにインストールされた状態にて提供される場合の他、コ ンピュータに実行させるプログラムをコンピュータが読取可能に記憶した記憶媒体に て提供する形態が考えられる。この記憶媒体としては、例えば DVDや CD— ROM媒 体等が該当し、 DVDや CD— ROM読取装置等によってプログラムが読み取られ、フ ラッシュ ROM等にこのプログラムが格納されて実行される。また、これらのプログラム は、例えば、プログラム伝送装置によってネットワークを介して提供される形態がある

[0022] 具体的には、本発明が適用されるプログラムは、コンピュータに、ネットワークを介し てなされたユーザ装置力もの要求に基づき、複数の属性情報力もなるレコードが格 納されたデータベースから、所定のレコードを読み出す機能と、読み出された所定の レコードを、ネットワークを介してユーザ装置に提供する機能と、所定のレコードの中 力 所定の属性情報に対するユーザ装置力 の選択をネットワークを介して受ける機 能と、この所定のレコードの中から選択された所定の属性情報を含む仮想レコードを 生成する機能と、データベースに格納される仮想レコードの属性情報がレコードの属 性情報から改ざんされたものではな ヽことを検証する機能と、生成された仮想レコー ドをデータベースに格納する機能と、格納された仮想レコードを特定するための仮想 IDをネットワークを介してユーザ装置に提供する機能とを実現させる。 [0023] 他の観点から把えると、本発明が適用されるプログラムは、ネットワークを介して属 性情報を提供するための属性情報提供サーバとして機能するコンピュータに、格納 されるレコードの中から所定の属性が選択されて生成された仮想レコードを、キーと なる仮想 IDに対応付けてデータベースに格納する機能と、どの仮想 IDが選ばれた 力が秘匿された状態にて仮想 IDを用いた仮想レコードの取得要求を受ける機能と、 仮想 IDに対応する仮想レコードをデータベースから読み出し、取得要求に対して仮 想レコードを開示する機能とを実現させる。 発明の効果

[0024] 本発明によれば、属性情報を持つ機関が、例えば特定個人の属性情報の一部を 第三者に提供することで、例えば特定個人や機関に対して属性情報に関する利益 のあるビジネスを提供することができる。

発明を実施するための最良の形態

[0025] 以下、添付図面を参照して、本発明の実施の形態について詳細に説明する。

図 1は、本実施の形態が適用される属性情報提供システム (与信付与システム)の全 体構成を示した図である。ここでは、個人情報取り扱い業者に設置される属性情報 提供サーバ (個人情報サーバ) 10、属性情報提供システムの加入者がクライアント端 末として用いるユーザ装置 30、新規取引者が利用するクライアント端末である属性情 報受信装置 (与信情報受信装置) 50が配置され、これらがインターネット等のネットヮ ーク 70を介して接続されている。このネットワーク 70は、インターネットなどの公的、 広域的なネットワークでもローカルなネットワークでも良い。すなわち、インターネット 上に設けられた公的なデータベースサーバを属性情報提供サーバ 10として本実施 形態のシステムを構築することもできるし、企業内イントラネットのような閉じた形態で 本実施形態のシステムを構築することもできる。

[0026] サービスプロバイダが管理するサーバである属性情報提供サーバ 10は、会員 (ュ 一ザ装置 30)の個人情報や会員との間の取引情報を管理し、会員の同意に基づい て属性を認証するための仮想 IDトークン (VIDトークン)を発行して ヽる。仮想 IDトーク ンは、仮想 ID(VID)に、例えば属性情報提供サーバ 10の URL等を含んで形成され る。この仮想 IDの発行依頼者として、サービスプロバイダの会員であるユーザ装置 3 0では、属性情報提供サーバ 10に登録してある個人情報 (顧客レコード、単に「レコ ード」とする場合がある)から、新規取引者である属性情報受信装置 50に開示したい 属性が選ばれ、属性情報提供サーバ 10に対して VIDトークンの発行の依頼がなさ れる。属性受領者としての任意の相手である属性情報受信装置 50は、ユーザ装置 3 0との新規取引の際に、信頼関係構築のための属性証明書を属性情報提供サーバ 10経由で受け取つている。

[0027] 属性情報提供サーバ 10では、加入者であるユーザ装置 30との間で VIDトークンの 発行が行われ、また、新規取引者である属性情報受信装置 50との間で仮想レコード の参照が行われる。この中で、 VIDトークンを秘密にしたまま参照するものを VID秘 匿参照とする。尚、属性情報提供サーバ 10の機能については、後に詳述する。

[0028] ユーザ装置 30では、属性情報提供サーバ 10からの VIDトークンの取得と、それを 属性情報受信装置 50に渡すための VIDトークンの送信が行われる。

この VIDトークンの取得では、ユーザ装置 30は、所定の Webブラウザを使用して属 性情報提供サーバ 10と通信をする。このとき、 SSL(Secure Sockets Layer)などの喑 号ィ匕および認証機能を用いることによって、第三者が情報を盗み見ることを防ぐこと ができる。また、ユーザ装置 30の認証も、通常の HTTP(Hypertext Transfer Protocol)で定められている Basic認証などを使うことも可能である。

VIDトークンの送信では、ユーザ装置 30は、取得した VIDトークンを SMTP(Simple Mail Transfer Protocol)などのメールプロトコルを用いて属性情報受信装置 50に送 信している。

[0029] 属性情報受信装置 50では、ユーザ装置 30からの VIDトークンの取得と、属性情報 提供サーバ 10からの仮想レコードの取得が行われる。

まず、 VIDトークンの取得では、通常のメールソフトなどによって、ユーザ装置 30か ら VIDトークンが取得される。

仮想レコードの取得としては、通常取得と VID秘匿取得とがある。通常取得の処理 では、 VIDトークンに含まれる URLによって属性情報提供サーバ 10に接続し、 VID を提示することで、その仮想レコードを取得する。 VID秘匿取得では、属性情報受信 装置 50と属性情報提供サーバ 10との間で、後述する OTプロトコルを行うことで、所 定の属性を得ることができる。

[0030] 本実施の形態では、以下の 2つの暗号技術を要素技術として用いている。

まず、第 1の暗号技術は、ォブリビアストランスファー (OT:Oblivious Transfer)である 。 1-out-of-N OTは、 Ν個の情報を持つサーバと、そのうちの 1つを読みたいクライア ントの間 (2者の間)のプロトコルで、クライアントは Ν個のうち 1つだけ情報を読むことが できるが、そのどれを読めたかをサーバは知ることができないとするものである。即ち 、情報提供者である属性情報提供サーバ 10が持つ Ν個の情報のうち、クライアント（ 例えば、属性情報受信装置 50)は、その 1つだけを受け取ることができ、そのどれを 選んだかを属性情報提供サーバ 10は知り得ない。尚、詳細は文献 [Naor, M. and Pinkas, B.: Oblivious Transfer and Polynomial Evaluation, in proc. of STOC, 1999.」 に詳しいが、ここではその内容を省略する。

[0031] 第 2の暗号技術は、暗号関数の準同型性である。準同型性をもつ公開鍵暗号関数 Epk(X)は、

Epkl(Epk2(X)) = Epk2(Epkl(X))

を満たす。例えば、後述するエルガマル (mGamal)暗号などは準同型性を有している

[0032] ここで、図 1に示す属性情報提供システムにて実行される各プロトコルについて説 明する。

図 2は、属性情報提供システムの各装置が実行する処理を示したフローチャートで ある。図 1の全体構成図を参照して説明すると、まず、ネットワーク 70を介してユーザ 装置 30から属性情報提供サーバ 10に対し、仮想 ID(VID： VirtuallD)を含む仮想 ID トークン (VIDトークン)の発行依頼が出される (ステップ 201)。このとき、ユーザ装置 30 は、自分の個人情報 (顧客レコード)からどれを VIDトークンの下で開示するかを選択 する (ステップ 202)。属性情報提供サーバ 10では、後述する GID(Globally-unique ID)力も属性の一部がコピーされ、仮想 IDをキーとしてデータベース (後述)に登録さ れる (ステップ 203)。そして、属性情報提供サーノ 10からユーザ装置 30に対して、ネ ットワーク 70を介して VIDトークンが発行される (ステップ 204)。

[0033] その後、ユーザ装置 30から属性情報受信装置 50に対し、 VIDトークンが渡され、 仮想 IDを含めた取引依頼がネットワーク 70を介して出力される (ステップ 205)。その 後、属性情報受信装置 50は、属性情報提供サーバ 10に対して取得した仮想 IDを 提示し、付随する属性情報の開示を要求する (ステップ 206)。属性情報提供サーバ 1 0は、仮想 IDをキーとする属性を与信情報として、即ち、仮想 IDの参照情報 (仮想レ コード)を属性情報受信装置 50に開示する (ステップ 207)。このようにして、仮想レコ ードを取得した属性情報受信装置 50は、開示された属性 (仮想レコードの結果)によ り、新規取引するだけの信頼が得られた場合には、ユーザ装置 30に対してネットヮー ク 70を介し、取り引きの承諾を通知し、ユーザ装置 30と属性情報受信装置 50との間 で取り引きが開始される (ステップ 208)。

[0034] 次に、本実施の形態が適用される各構成要素のハードウ ア構成について説明す る。

図 3は、本実施形態の属性情報提供サーバ 10やユーザ装置 30、属性情報受信装 置 50を実現するのに好適なコンピュータ装置のハードウェア構成例を模式的に示し た図である。

図 3に示すコンピュータ装置は、演算手段である CPU(Central Processing Unit:中 央処理装置) 101、 M/B (マザ一ボード)チップセット 102、この M/Bチップセット 102 および CPUバスを介して CPU101に接続されたメインメモリ 103、同じく M/Bチップ セット 102および AGP(Accelerated Graphics Port)を介して CPU 101に接続されたビ デォカード 104を備えている。また、 PCI(Peripheral Component Interconnect)バスを 介して M/Bチップセット 102に接続された磁気ディスク装置 (HDD) 105、およびネッ トワークインターフェイス 106を有している。更に、この PCIバスからブリッジ回路 107 および ISAOndustry Standard Architecture)バスなどの低速なバスを介して M/Bチッ プセット 102に接続されたフロッピーディスクドライブ 108、およびキーボード/マウス 1 09とを備えて ヽる。

[0035] 尚、図 3は本実施形態を実現するコンピュータ装置のハードウェア構成を例示する に過ぎず、本実施形態を適用可能であれば、他の種々の構成を取ることができる。 例えば、ビデオカード 104を設ける代わりに、ビデオメモリのみを搭載し、 CPU101に てイメージデータを処理する構成としても良い。また、外部記憶装置として、 ATA(AT Attachment)や SCSI(Small Computer System Interface)などのインターフェイスを介 して、 CD— R(Compact Disc Recordable)や DVD— RAM(Digital Versatile Disc Random Access Memory)のドライブ等を設けることも可能である。

[0036] 次に、本実施形態の属性情報提供サーバ 10における機能構成を、図 4を用いて詳 述する。

図 4に示すように、属性情報提供サーバ 10は、 VID発行の機能として、抜き出し指 示を受ける手段として機能する顧客レコード表示部 11および属性選択部 12、仮想レ コードの生成手段の一つとして機能する仮想レコード生成部 13、仮想 ID提供手段の 一つとして機能する VIDトークン発行部 14を備えている。また、仮想レコードの参照 機能 (仮想レコード提供手段)として、仮想レコード参照処理部 18および仮想レコード 発行部 19を備えている。更に、例えば図 3に示す磁気ディスク装置 105を用いて、加 入者であるユーザ装置 30の顧客レコードや仮想レコードを格納するデータベース 20 を備えている。

[0037] このデータベース 20では、図 5に示すようなテーブルで個人情報を管理している。

もともとの個人情報のレコードは、顧客ごとに、複数の属性力もなる顧客レコードを GI D(Globally-unique ID)をキーとして保存されている。そして、ここから属性の一部がコ ピーされたものを、仮想 IDをキーとして登録するものとしている。図 5に示すように、同 一個人の情報であっても、仮想 IDでは、 GIDの属性の異なった一部だけがコピーさ れており、仮想 IDである「V010101」と「V010011」とでは、各々、異なった属性情 報が選択されている。仮想 ID属性の属性証明では、不必要な属性にはフィルタがか けられている。また、例えば図 5に示す仮想 ID「V010011」のように、匿名属性として 、名前の部分にフィルタをかけることができる。仮想 IDの発行に際し、この仮想 IDは、 GIDとはアンリンカブル (Unlinkable)な IDとされる。また、属性コピーでは、必要な属 性のみが実 IDである GIDの属性力もコピーされる。尚、仮想 IDフィールドは、実 IDと 全く同等に扱うことができ、属性が欠落した実 IDレコードとの区別がつかないように構 成されている。

[0038] 顧客レコード表示部 11は、仮想 IDの発行に際し、データベース 20より加入者であ るユーザ装置 30の顧客レコードを取り出し、この取り出した内容を、参照のために、 例えばユーザ装置 30のディスプレイ (図示せず)に表示する。ここで表示される顧客レ コードは、例えば、図 5に示したように、プライマリーキーとして GIDを持ち、名前や住 所などの複数の属性力 なるレコードである。尚、顧客レコード表示部 11には、図 5 に示すように、 GIDと共に、今までに所定の属性が選択されて生成された仮想レコー ドも表示させ、参照させることができる。

属性選択部 12は、加入者であるユーザ装置 30に、表示された属性から、新規取引 者である属性情報受信装置 50に提示したい属性だけを抜き出させる (選ばせる)。

[0039] 仮想レコード生成部 13は、ユーザ装置 30にて抜き出された属性だけをコピーした 新しいレコードを作る。このレコードのプライマリーキーとして、既存のレコードのプラ イマリーキーである GIDとぶつからないような IDを生成し、これを仮想 IDとする。また 、ここでは、仮想 IDの値が定義されるドメインは、十分に大きいものとし、仮想 IDを知 らない者が総当り攻撃などで偶然、仮想 IDを探りあてることはないものと仮定する。生 成された仮想レコードは、データベース 20に格納される。

VIDトークン発行部 14では、仮想レコード生成部 13によって生成された仮想 IDと、 自サーノ (属性情報提供サーバ 10)の URLの組 {VID,URL}とを VIDトークンとして 発行する。

[0040] 仮想レコード参照処理部 18では、仮想レコードの参照に際して、通常参照の処理 、または VID秘匿参照の処理が実行される。 VIDトークンをユーザ装置 30から受信 した属性情報受信装置 50は、前述のように、例えばブラウザを用いて、 VIDトークン に含まれる URLにアクセスすることにより、属性情報提供サーバ 10に接続される。仮 想レコード参照処理部 ₁₈は、属性情報受信装置 50から提示された仮想 IDに基づい て、データベース 20から仮想レコードを検索し、仮想レコード発行部 19により、属性 情報受信装置 50のディスプレイ (図示せず)に検索結果を表示する。属性情報受信 装置 50は、力かる表示によって、仮想レコードにある属性情報を取得することができ る。場合によっては、仮想レコード参照処理部 18や仮想レコード発行部 19にて、属 性に属性情報提供サーバ 10の署名を付けて、確かに属性情報提供サーバ 10にあ る属性情報であるということを証明するようなサービスも付加することが可能である。

[0041] 次に、属性情報提供サーバ 10にて実行される仮想 ID秘匿参照の処理について説 明する。

秘匿参照は、仮想 IDを属性情報提供サーバ 10に秘密にしたまま仮想レコードを取 得するものであり、前述した OT(ObliviousTransfer)が用いられる。以下では簡単な O T、

OT({_S_l,..,_S_n})について説明する。

まず、属性情報提供サーバ 10は、予めランダムに秘密の値 $t_s ¥in Z_q$を決定し

を公開しておく。

属性情報受信装置 50は、秘密鍵 $t_u$をランダムに $Z_q$から選び、その公開鍵 である

を計算する。ここで、属性情報受信装置 50は、属性情報提供サーバ 10の $h$番目 の情報を得ようとしているものとする。このとき、まず、 2点 ${(0, Q_0), (h, Q_u)}$を通 るような 1次多項式 $Y(x)$を、例えばラグランジュの補間法を使って一意に決定する 。この多項式を使って、 $η$点 $YJ = Y(i),i=0,..,n-1$を計算し、 $¥{Y_1,Y_2,.., Υ_η¥}$を属性情報提供サーバ 10に送る。

属性情報提供サーバ 10は、属性情報受信装置 50の公開している点が 1次多項式 上の点であることを検証した後、 $丫」$をそれぞれエルガマル (ElGamal)暗号の公開鍵 として、秘密情報 $s_i$を暗号化したもの $Ej<_S_i,Y_i), i=l,..,n$を属性情報受信装置 50に送る。

属性情報受信装置 50は、 $h$によって指定された点については、それに対応する 秘密鍵 $t_u$を持っているので、属性情報提供サーノ 10から送り返された ElGamal 暗号文を復号できる。したがって、 1個の秘密情報を得ることが可能となる。

OTでは、 h番目を指定しなければならな 、が、属性情報受信装置 50の持つ仮想 I D(VID)が、全体の顧客レコードの何番目であるのかは、以下のように設定することが できる。例えば、属性情報提供サーバ 10は、一方向性ハッシュ関数 H0を用い、 H( VID)のリストを公開することで設定を可能とすることができる。ここで、ノ、ッシュ関数 H のアルゴリズムは公開されているものとする。また、例えば、新規取引業者である属性 情報受信装置 50は、 H(VID)のリスト中で自分の持つ仮想 IDが何番目であるかを知 ることがでさる。

[0043] これで、上記の OTプロトコルによって、 H(VID)番目のレコードを取得することがで きる。但し、このままでは、自分の持っている仮想 IDに対応する H(VID)番目以外を 指定してくることがあり、これを防ぐためには、別のハッシュ関数 H'Oを用い、予め仮 想レコードの属性を H， (VID)を鍵として暗号化しておく。このハッシュ関数 H'のアル ゴリズムも公開されて ヽるものとする。まとめると以下のように構成される。

例えば、仮想レコードが以下のように m個の属性力もなつていたとする。

{ VIDj , Attr_{i,l}, .., Attr— {i,m}}

これを k_I = H' (VID_i)として、属性を暗号ィ匕して以下のようにする。

s— i = { H(VID_i), E— k— i(Attr— ml), E_k_i(Attr_m)}

そして、 H(VID_i)をキーとして、仮想レコード全体をソートし、順番を割り振り、これに 対して OT({s_l , .. ,s_n})を行えばよ!/ヽ。

属性情報受信装置 50では、例えば、ユーザ装置 30から得た仮想 IDに基づいて、 仮想レコード

s— i = { H(VID_i), E— k— i(Attr— ml), E_k_i(Attr_m)}

を取得することができる。これを k_i=H' (VIDj)によって復号することによって、 m個の 属性を得ることができる。

[0044] 以上、詳述したように、本実施の形態では、まず、加入者であるユーザ装置 30は、 所定のブラウザを用い、ネットワーク 70を介して個人情報取り扱い業者の運営する属 性情報提供サーバ 10に入るように構成した。そして、属性情報提供サーバ 10上の データベース 20に格納された個人属性テーブルから、必要情報だけを抜き出したも のを仮想レコードとして登録し、これのキーとして仮想 IDを発行してもらうように構成し た。その後、ユーザ装置 30は仮想 IDと認証に必要な情報とを新規取引者である属 性情報受信装置 50に送り、属性情報受信装置 50では、その仮想 IDを使って、属性 情報提供サーバ 10にログインしている。そして、属性情報受信装置 50は、仮想レコ ードに登録された情報データを属性情報提供サーバ 10から得ることで、属性データ を参照し、取引相手が信頼できるかを判断して、取引を開始することが可能となる。

[0045] 尚、このプロトコルにおけるセキュリティの要件として、

(1) ユーザ装置 30は、属性情報提供サーバ 10上の自分の属性レコードだけを読む ことができる。

(2) ユーザ装置 30は、仮想レコードを登録する際に、元の属性レコード (GIDレコー ド)の中の任意の属性をコピーすることはできる力 改ざんすることはできない。

(3) 属性情報受信装置 50は、属性情報提供サーバ 10から渡された仮想 ID(+パス ワード)によって、その仮想レコードだけを読むことができる。また、このとき次のプライ パシー要件も必要に応じて付加することができる。

(4) 属性情報提供サーバ 10は、属性情報受信装置 50が仮想レコードを取得すると きに、それがどの仮想 IDなの力 即ち、どのユーザ装置 30の仮想レコードを渡そうと して 、るのかを知ることができな 、(知り得な 、)。として 、る。

上記要件の (1)および (3)は、従来の認証の仕組みを使えば容易に実現される。上 記要件の (2)については、次のように仮想レコード登録時のサーバ側のチヱックとして 実現することが可能である。

[0046] また、上述したように、本実施の形態では、属性情報提供サーバ 10上での仮想レ コードおよび仮想 IDの発行は、以下のようになされる。

(1) 個人情報レコードは、 GIDという IDをプライマリーキーとして、データベース 20上 に登録されて ヽるものとする。

(2) 加入者であるユーザ装置 30は、 GIDとは無関係な仮想 ID(VID)をキーとする空 のレコードを作る。

(3) 加入者であるユーザ装置 30は、自分の GIDレコードのうち、取引相手 (属性情 報受信装置 50)に開示したい属性部分だけを仮想 IDのレコードにコピーする。

(4) このとき、属性情報提供サーバ 10は、オリジナルのレコードの属性部と仮想レコ ードの属性部の ORを計算し、この結果がオリジナルレコードの属性部と等しいことを 検証する。即ち、

Attribute(GID) OR Attribute(VID) = Attribute(GID)

また、この要件 (4)については、暗号技術 OTによって実現される。 [0047] 以上のような構成によって、本実施の形態では、個人情報を持つ機関 (属性情報提 供サーバ 10)が、その個人の求めに応じて、個人情報の一部を第三者に提供してお り、この個人情報を持つ機関は、それを提供するビジネス展開が可能となる。また、加 入者 (ユーザ装置 30)は、インターネット (ネットワーク 70)上で必要な与信を簡単に得 ることができる。個人情報を持つ機関 (属性情報提供サーバ 10)としては、金融機関 や ISP(Internet Service Provider),ネット上の商店サイト等でもよぐ加入者 (ユーザ装 置 30)の同意の下に個人情報を発行するので、プライバシーの問題も生じない。また 、新規取引業者 (属性情報受信装置 50)が、渡された情報を十分な与信情報と見る 力否かは、新規取引業者 (属性情報受信装置 50)の任意である。更に、個人情報取り 扱い業者 (属性情報提供サーバ 10)は、開示する情報については、それが自らが持 つ情報と同等である (改ざんされていない)ことだけが責任範囲となり、与信情報その ものについての正当性の保障をする必要がない。例えば、加入者 (ユーザ装置 30)が 自分の情報の登録時に虚偽の情報を登録した場合の正当性の保証をするものでは ない。

[0048] また、本実施の形態によれば、属性レコード自体が、加入者 (ユーザ装置 30)と個人 情報取り扱 、業者 (属性情報提供サーバ 10)の共有物 (加入者自身が登録した属性と 、預金額などの活動履歴情報)であることから、加入者 (ユーザ装置 30)は、属性情報 提供サーバ 10上の自分の属性レコードだけを読むことができる。また、加入者 (ユー ザ装置 30)は、仮想レコードを登録する際に、元の属性レコードの中における任意の 属性をコピーすることはできる力 改ざんすることはできない。これによつて、加入者 は、名前を特定されずに預金額などの属性だけを証明することが可能となる。更に、 新規取引者 (属性情報受信装置 50)は、加入者 (ユーザ装置 30)力も渡された仮想 ID (+パスワード)によって、その仮想レコードだけを読むことができる。即ち、新規取引 者 (属性情報受信装置 50)側にて認証は仮想 IDだけで行われるので、個人情報取り 扱い業者 (属性情報提供サーバ 10)は、だれが仮想レコードをアクセスした力を知るこ とができない。その結果、この仮想 IDの受け渡しは、加入者 (ユーザ装置 30)の責任 であることが明確化される。また更に、個人情報取り扱い業者 (属性情報提供サーバ 10)は、 1-out-of-N OTによって、どの加入者 (ユーザ装置 30)の仮想 IDを要求されて いるのかを知り得ない。これによつて、加入者 (ユーザ装置 30)は、自分がどの新規取 弓 I業者 (属性情報受信装置 50)と取り弓 Iきしょうとして 、るかを、個人情報取り扱!/、業 者 (属性情報提供サーバ 10)に知られない状態で、認証だけを受けることができる。こ れによって、加入者 (ユーザ装置 30)のプライバシーの保護が強化され、また、個人情 報取引業者 (属性情報提供サーバ 10)にとつても、不必要な情報を知ることなぐサー ビスすることが可能となる。

産業上の利用可能性

[0049] 本発明の活用例としては、属性情報提供サーバとして用いられるサーバ、ユーザ装 置や属性情報受信装置として用いられる PCなどのコンピュータ装置などがあり、これ らをインターネットなどのネットワークを介して Web接続されたシステム構成が考えら れる。サービスプロバイダとして適用される属性情報提供サーバは、 ISP(Internet Service Provider)や金融機関、ショップサイトなどが考えられる。サービスプロバイダと しての社会的信頼が高ければ高 、ほど、その与信サービスも価値あるものとなる。 図面の簡単な説明

[0050] [図 1]本実施の形態が適用される属性情報提供システム (与信付与システム)の全体 構成を示した図である。

[図 2]属性情報提供システムの各装置が実行する処理を示したフローチャートである

[図 3]本実施形態の属性情報提供サーバやユーザ装置、属性情報受信装置を実現 するのに好適なコンピュータ装置のハードウェア構成例を模式的に示した図である。

[図 4]本実施形態の属性情報提供サーバにおける機能構成を示した図である。

[図 5]ユーザ装置のディスプレイに表示される顧客レコードおよび仮想レコードの例を 示した図である。

符号の説明

[0051] 10· ··属性情報提供サーバ (個人情報サーバ)、 11…顧客レコード表示部、 12…属性 選択部、 13· ··仮想レコード生成部、 14 VIDトークン発行部、 18· ··仮想レコード参 照処理部、 19· ··仮想レコード発行部、 20…データベース、 30· ··ユーザ装置、 50· ·· 属性情報受信装置 (与信情報受信装置)、 70· ··ネットワーク

Claims

請求の範囲

[1] 属性情報が格納されたデータベース力 所定の属性情報をネットワークを介して提 供する属性情報提供サーバであって、

ネットワークを介して接続されるユーザ装置により、データベースに格納されている 属性情報の中から幾つ力の属性情報の抜き出し指示を受ける手段と、

前記ユーザ装置によって指示されデータベースから抜き出された前記幾つかの属 性情報だけを仮想レコードとしてデータベースに登録する手段と、

前記仮想レコードのキーとしての仮想 IDを前記ユーザ装置に提供する手段と、 ネットワークを介して接続される属性情報受信装置から、前記仮想 IDを用いた前記 仮想レコードの読み込み要求を受ける手段と、

前記属性情報受信装置に対して前記仮想レコードを提供する手段とを含む属性情 報提供サーバ。

[2] 前記抜き出し指示を受ける手段は、前記ユーザ装置だけに当該ユーザ装置の操 作者に関する属性情報を参照させ、前記仮想レコードを抜き出させる際に、任意の 属性に対するコピーを許可する一方、任意の属性に対する改ざんを禁止することを 特徴とする請求項 1記載の属性情報提供サーバ。

[3] 前記読み込み要求を受ける手段は、データベースの中からどの仮想 IDに対する仮 想レコードの読み込み要求がなされているかを知り得ない状態にあることを特徴とす る請求項 1記載の属性情報提供サーバ。

[4] データベースに格納される属性情報の中から選択された所定の情報である仮想レ コードを生成する生成手段と、

前記仮想レコードのキーとなる仮想 IDに対応付けてデータベースに格納する格納 手段と、

ネットワークを介して接続されるユーザ装置に前記仮想 IDを提供する仮想 ID提供 手段と、

ネットワークを介して接続される属性情報受信装置力もの前記仮想 IDを用いた要 求に基づいて、当該属性情報受信装置に前記仮想レコードを提供する仮想レコード 提供手段とを含み、 前記仮想レコード提供手段は、データベースの中からどの仮想 IDが選ばれたかを 知り得ない状態にて、当該属性情報受信装置に前記仮想レコードを提供することを 特徴とする属性情報提供サーバ。

[5] 前記生成手段は、データベースに格納されている加入者の属性情報の中から、前 記ユーザ装置によって抜き出された情報を仮想レコードとして生成することを特徴と する請求項 4記載の属性情報提供サーバ。

[6] 前記仮想レコード提供手段は、 1- out- of- N OT(Oblivious Transfer)のプロトコルを 用いて、前記属性情報受信装置に前記仮想レコードを提供することを特徴とする請 求項 4記載の属性情報提供サーバ。

[7] 顧客ごとに、複数の属性情報を含む顧客レコードを格納するデータベースと、 顧客が操作するユーザ装置力もの要求に基づき、前記データベースから当該顧客 の顧客レコードを読み出し、ネットワークを介して前記ユーザ装置に提供する顧客レ コード表示部と、

前記ユーザ装置力 ネットワークを介し、前記顧客レコードの中から所定の属性情 報に対する選択を受ける属性選択部と、

前記属性選択部により受けた選択に基づき、前記顧客レコードの中から選択された 属性情報によって仮想レコードを生成すると共に、生成された当該仮想レコードを前 記データベースに格納する仮想レコード生成部と、

前記仮想レコード生成部により生成された前記仮想レコードを特定するための仮想

IDを前記ユーザ装置に提供する仮想 ID発行部とを含む属性情報提供サーバ。

[8] 属性情報受信装置からネットワークを介してなされる前記仮想 IDを用いた情報参 照要求に基づき、前記データベース力も該当する仮想レコードを読み出して当該属 性情報受信装置に提供する仮想レコード参照処理部を更に備えたことを特徴とする 請求項 7記載の属性情報提供サーバ。

[9] 前記仮想レコード生成部は、オリジナルである前記顧客レコードの属性内容と、生 成された前記仮想レコードの属性内容とを比較し、改ざんされて 、な 、ことを検証す ることを特徴とする請求項 7記載の属性情報提供サーバ。

[10] 前記仮想 ID発行部により前記ユーザ装置に提供される前記仮想 IDは、前記顧客 レコードの IDとはアンリンカブルな IDであることを特徴とする請求項 7記載の属性情 報提供サーバ。

[11] 複数の属性情報を含むレコードを格納するレコード格納手段と、

前記レコード格納手段により格納された前記レコードの中から、ネットワークを介し て選択された所定の属性情報によって生成された仮想レコードを格納する仮想レコ ード格納手段と、

どの仮想レコードが選ばれた力を知り得ない状態にて、前記仮想レコード格納手段 の中力 選ばれた仮想レコードを、ネットワークを介して開示する仮想レコード開示手 段とを含む属性情報提供サーバ。

[12] 前記仮想レコード格納手段は、キーとしての仮想 IDに対応付けて仮想レコードを 格納し、

前記仮想レコード開示手段は、どの仮想 IDが選ばれた力を知り得ない状態にて、 前記仮想 IDを用いた開示要求を受けることを特徴とする請求項 11記載の属性情報 提供サーバ。

[13] 前記仮想レコード開示手段は、ォブリビアストランスファー (Oblivious Transfer)の暗 号技術を用いて前記仮想レコードの開示を実現することを特徴とする請求項 11記載 の属性情報提供サーバ。

[14] ネットワークを介してなされたユーザ装置力もの要求に基づき、複数の属性情報か らなるレコードが格納されたデータベースから、所定のレコードを読み出すステップと 読み出された前記所定のレコードを、ネットワークを介して前記ユーザ装置に提供 するステップと、

前記所定のレコードの中から所定の属性情報に対する前記ユーザ装置からの選択 をネットワークを介して受けるステップと、

前記所定のレコードの中から選択された前記所定の属性情報を含む仮想レコード を生成するステップと、

生成された前記仮想レコードをデータベースに格納するステップと、

格納された前記仮想レコードを特定するための仮想 IDをネットワークを介して前記 ユーザ装置に提供するステップとを含む属性情報提供方法。

[15] ネットワークを介して属性情報受信装置から前記仮想 IDを用いた情報参照要求を 受けるステップと、

前記情報参照要求に基づき、データベース力も該当する仮想レコードを読み出す ステップと、

読み出された前記仮想レコードを前記属性情報受信装置にネットワークを介して提 供するステップとを更に含む請求項 14記載の属性情報提供方法。

[16] 前記情報参照要求は、 1-out-of-N OT(Oblivious Transfer)のプロトコルを用いてな さ

れることを特徴とする請求項 14記載の属性情報提供方法。

[17] データベースに格納される前記仮想レコードの属性情報が前記顧客レコードの属 性情報から改ざんされたものでないことを検証するステップを更に含む請求項 14記 載の属性情報提供方法。

[18] 顧客別の顧客レコードの中力 所定の属性が選択されて生成された仮想レコード をキーとなる仮想 IDに対応付けて格納されたデータベースに対して、当該仮想 IDを 用いた当該仮想レコードの取得要求を受けるステップと、

前記仮想 IDに対応する前記仮想レコードを前記データベース力 読み出し、前記 取得要求に対して当該仮想レコードを開示するステップとを含み、

前記仮想レコードの取得要求を受けるステップは、当該取得要求を受ける際に、ど の仮想 IDが選ばれたかが秘匿されることを特徴とする属性情報提供方法。

[19] 顧客自身のコンピュータ装置を介して、当該顧客自身の顧客レコードの中力 所定 の属性の選択を受けるステップと、

選択された前記所定の属性だけを属性とする前記仮想レコードを生成して前記デ ータベースに格納するステップと、

前記データベースに格納された前記仮想レコードのキーとなる前記仮想 IDを前記 コンピュータ装置に提供するステップとを更に含む請求項 18記載の属性情報提供方 法。

[20] ネットワークを介して属性情報を提供するための属性情報提供サーバとして機能す るコンピュータに、

ネットワークを介してなされたユーザ装置力もの要求に基づき、複数の属性情報か らなるレコードが格納されたデータベースから、所定のレコードを読み出す機能と、 読み出された前記所定のレコードを、ネットワークを介して前記ユーザ装置に提供 する機能と、

前記所定のレコードの中から所定の属性情報に対する前記ユーザ装置からの選択 をネットワークを介して受ける機能と、

前記所定のレコードの中から選択された前記所定の属性情報を含む仮想レコード を生成する機能と、

生成された前記仮想レコードをデータベースに格納する機能と、

格納された前記仮想レコードを特定するための仮想 IDをネットワークを介して前記 ユーザ装置に提供する機能とを実現させるプログラム。

[21] 前記コンピュータに、データベースに格納される前記仮想レコードの属性情報が前 記レコードの属性情報力 改ざんされたものではないことを検証する機能を更に実現 させる請求項 20記載のプログラム。

[22] ネットワークを介して属性情報を提供するための属性情報提供サーバとして機能す るコンピュータに、

格納されるレコードの中から所定の属性が選択されて生成された仮想レコードを、 キーとなる仮想 IDに対応付けてデータベースに格納する機能と、

どの仮想 IDが選ばれたかが秘匿された状態にて前記仮想 IDを用いた前記仮想レ コードの取得要求を受ける機能と、

前記仮想 IDに対応する前記仮想レコードを前記データベース力 読み出し、前記 取得要求に対して当該仮想レコードを開示する機能とを実現させるプログラム。