WO2011018937A1

WO2011018937A1 - 端末装置、通信システム、データ管理方法、サーバ装置、および記録媒体

Info

Publication number: WO2011018937A1
Application number: PCT/JP2010/062388
Authority: WO
Inventors: 内田薫
Original assignee: 日本電気株式会社
Priority date: 2009-08-11
Filing date: 2010-07-15
Publication date: 2011-02-17
Also published as: US20120137343A1; JP5968970B2; US8826369B2; JP2016194945A; JPWO2011018937A1; JP5681872B2; KR101451485B1; EP2466524A4; KR20120034231A; CN102473228A; EP2466524A1; JP2015046170A; CN102473228B

Abstract

［課題］ユーザに負担を負わせることなく個人情報の流出を確実に阻止し、しかも、重要度、種別、個人性、あるいは、活用形態等に応じて、センサ情報や該情報を利用したサービスの結果情報の管理を行うことを可能とする。［解決手段］端末装置は、センサデータを取得する取得手段と、前記センサデータ毎あるいは前記センサデータを利用するサービス毎の管理ポリシーを定義するポリシーテーブルを記憶する記憶手段と、前記ポリシーテーブルを参照して前記センサデータあるいは前記サービスに対応する管理ポリシーを取得し、該管理ポリシーに基づいて前記センサデータの管理を行う制御手段と、を備える。

Description

端末装置、通信システム、データ管理方法、サーバ装置、および記録媒体

　本発明は、端末装置、通信システム、データ管理方法、サーバ装置、および記録媒体に関する。

　内蔵あるいは接続されたセンサによりユーザの状態や周辺環境についての情報を収集し、それらの情報を内部で処理し、あるいは、外部のサーバへ送信する端末装置が知られている（例えば、特許文献１参照）。
　ここで、これらのセンサ情報は、ユーザの個人情報を含む場合が多い。従って、悪意ある第三者への流出を回避するために、近年、これらの情報を管理（例えば、情報毎、あるいはサービス毎に開示範囲の制限）したいとのニーズが高まっている。
　特許文献１は、ユーザの生体情報（血圧、脈拍、指紋等）をエージェント（端末装置に相当）からマネージャ（サーバに相当）へ送信する際、両者の間で相互に認証した後に暗号化通信する技術を開示する。
　また、特許文献２は、所定のサービスルール（端末装置の状態とその状態に対応するサービス内容）に基づいた制御を行うサービス提供方法を開示する。例えば、端末装置が所定の空間領域（例えば、美術館）に進入した場合、所定のサービス（例えば、館内の案内情報）を提供することが記載されている。

特開２００６−１２２６１０号公報特開２００５−１１５５７０号公報

　一般的に、個人情報を含む上記センサ情報の管理は、ユーザ個人の管理に委ねられており、客観的且つ自動的な管理は行われてこなかった。ユーザ個人による情報管理は、ユーザ個々の知識や能力に応じてバラツキが生じ信頼性が低く、また、常に情報の管理に気を取られるためユーザにとっては大きな負担となっている。
　また、特許文献１や特許文献２のような技術では、重要度、種別、個人性、あるいは、活用形態等に応じて、センサ情報や該情報を利用したサービスの結果情報の管理を行うことは困難である。具体的には、特許文献１や特許文献２では、例えば、センサ情報を自分のみの参照にとどめる、匿名化してセンサ情報のみを開示する、あるいは結果情報を実名付きでオープンにする等の管理を行うことは困難である。
　本発明は、上記の課題を解決するためになされたものであり、ユーザに負担を負わせることなく個人情報の流出を確実に阻止し、しかも、重要度、種別、個人性、あるいは、活用形態等に応じて、センサ情報や該情報を利用したサービスの結果情報の管理を行うことが可能な端末装置、通信システム、データ管理方法、サーバ装置、および制御プログラムを提供することにある。

　本発明の端末装置は、センサデータを取得する取得手段と、前記センサデータ毎あるいは前記センサデータを利用するサービス毎の管理ポリシーを定義するポリシーテーブルを記憶する記憶手段と、前記ポリシーテーブルを参照して前記センサデータあるいは前記サービスに対応する管理ポリシーを取得し、該管理ポリシーに基づいて前記センサデータの管理を行う制御手段と、を備える。
　また、本発明の通信システムは、端末装置とサーバ装置とを備える通信システムであって、前記端末装置は、センサデータを取得する取得手段と、前記センサデータ毎あるいは前記センサデータを利用するサービス毎の管理ポリシーを定義するポリシーテーブルを記憶する記憶手段と、前記ポリシーテーブルを参照して前記センサデータあるいは前記サービスに対応する管理ポリシーを取得し、少なくとも、端末装置を識別するＩＤ（ＩＤｅｎｔｉｆｉｅｒ）情報と前記センサデータと前記管理ポリシーとを、前記サーバ装置へ送信する制御手段と、を備え、前記サーバ装置は、前記管理ポリシーに基づいて、少なくとも前記ＩＤ情報および前記センサデータを管理する管理手段を備える。
　また、本発明のデータ管理方法は、端末装置とサーバ装置とにおけるデータ管理方法であって、前記端末装置において、センサデータ毎あるいは前記センサデータを利用するサービス毎の管理ポリシーを定義するポリシーテーブルを記憶し、前記ポリシーテーブルを参照して前記センサデータあるいは前記サービスに対応する管理ポリシーを取得し、該管理ポリシーに基づいて前記センサデータの管理を行うとともに、少なくとも、端末装置を識別するＩＤ情報と前記センサデータと前記管理ポリシーとを、前記サーバ装置へ送信し、前記サーバ装置において、前記管理ポリシーに基づいて、少なくとも前記ＩＤ情報および前記センサデータを管理する。
　また、本発明のサーバ装置は、端末装置から、該端末装置を識別するＩＤ情報と、センサデータと、前記センサデータ毎あるいは前記センサデータを利用するサービス毎の管理ポリシーとを受信する通信手段と、前記管理ポリシーに基づいて、少なくとも前記ＩＤ情報および前記センサデータを管理する管理手段と、を備える。
　また、本発明のデータ管理方法は、端末装置におけるデータ管理方法であって、センサデータ毎あるいは前記センサデータを利用するサービス毎の管理ポリシーを定義するポリシーテーブルを記憶し、センサデータを取得し、前記ポリシーテーブルを参照して前記センサデータあるいは前記サービスに対応する管理ポリシーを取得し、該管理ポリシーに基づいて前記センサデータの管理を行う。
　また、本発明のデータ管理方法は、サーバ装置におけるデータ管理方法であって、端末装置から、該端末装置を識別するＩＤ情報と、センサデータと、前記センサデータ毎あるいは前記センサデータを利用するサービス毎の管理ポリシーとを受信し、前記管理ポリシーに基づいて、少なくとも前記ＩＤ情報および前記センサデータを管理する。
　また、本発明の記録媒体は、センサデータ毎あるいは前記センサデータを利用するサービス毎の管理ポリシーを定義するポリシーテーブルを記憶する処理と、センサデータを取得する処理と、前記ポリシーテーブルを参照して前記センサデータあるいは前記サービスに対応する管理ポリシーを取得し、該管理ポリシーに基づいて前記センサデータの管理を行う処理と、を端末装置のコンピュータに実行させるための制御プログラムを記憶する。
　また、本発明の記録媒体は、端末装置から、該端末装置を識別するＩＤ情報と、センサデータと、前記センサデータ毎あるいは前記センサデータを利用するサービス毎の管理ポリシーとを受信する処理と、前記管理ポリシーに基づいて、少なくとも前記ＩＤ情報および前記センサデータを管理する処理と、をサーバ装置のコンピュータに実行させるための制御プログラムを記憶する。

　本発明によれば、ユーザに負担を負わせることなく個人情報の流出を確実に阻止し、しかも、重要度、種別、個人性、あるいは、活用形態等に応じて、センサ情報や該情報を利用したサービスの結果情報の管理を行うことが可能となる。

本発明に係る第１の実施形態の通信システムの構成例を示すブロック図である。図１に示す端末装置内において、センサインタフェース部からセンシング管理部へ送信される第１データのフォーマット例である。図１に示す端末装置の管理ポリシー記憶部に記憶されるポリシーテーブルのフォーマット例である。図１に示す携帯端末内のセンシング管理部において作成される第２データのフォーマット例である。図１に示す端末装置の動作例を説明するためのフローチャートである。図１に示すサーバの動作例を説明するためのフローチャートである。本発明に係る第２の実施形態の端末装置の動作例を説明するためのフローチャートである。本発明に係る第３の実施形態の端末装置の構成例を示すブロック図である。図８に示す端末装置の管理ポリシー記憶部に記憶されるポリシーテーブルのフォーマット例である。本発明に係る第４の実施形態のサーバの構成例を示すブロック図である。図１０に示すサーバの管理ポリシー記憶部に記憶されるポリシーテーブルのフォーマット図の一例である。端末装置から図１１に示すサーバへ送られるセンサデータパケットのフォーマット例である。本発明に係る第５の実施形態の端末装置の構成例を示すブロック図である。本発明に係る第６の実施形態のサーバの構成例を示すブロック図である。

［第１の実施形態］
　図１は、本発明に係る第１の実施形態の通信システム１０の構成例を示すブロック図である。通信システム１０は、端末装置１２と、サーバ１４（外部装置）とを備える。概略的に説明すると、端末装置１２は、例えば、該端末装置１２を携帯するユーザの状態や周辺環境についてのセンサデータを収集し、端末装置１２の内部で処理するか、あるいはサーバ１４へ送信する。一方、サーバ１４は、端末装置１２から受信するセンサデータに基づいた所定のサービスを、ユーザ本人や他の人に対して提供する。端末装置１２とサーバ１４とは所定のネットワークを介して接続される。
　携帯端末１２は、ユーザインタフェース部２０と、通信部２２（通信手段）と、アプリ実行部２４（制御手段）と、センシング管理部２６と、センサインタフェース部２８（取得手段）と、を備える。センシング管理部２６には、管理ポリシー記憶部３２（記憶手段）が接続される。センサインタフェース部２８には、センサモジュール３０−１~３０−ｎが接続される。
　ユーザインタフェース部２０は、ユーザからの入力を、例えば、テンキーなどのキー入力部（不図示）で受け付け、また、サーバ１４から受信するサービス結果を表示部（不図示）へ表示する。通信部２２は、サーバ１４との間でデータの授受を行う。
　アプリ実行部２４は、例えば、ユーザインタフェース部２０からのユーザ指示に基づいて端末側のサービスアプリケーションを実行する。アプリ実行部２４にて実行されるサービスアプリケーションは、例えば、センシング管理部２６に対して、センサモジュール３０−１~３０−ｎによるセンシングの開始を指示する。また、サービスアプリケーションは、センシング管理部２６より取得したセンサデータをユーザインタフェース部２０へ出力し、および／または所定のメモリ（不図示）に記憶する。また、サービスアプリケーションは、センシング管理部２６より取得したセンサデータを、通信部２２を介してサーバ１４へ送る。また、サービスアプリケーションは、該アプリケーションと連係して動作するサーバ１４側のアプリケーションによって算出されるサービス結果データを、通信部２２を介してサーバ１４から受け取る。サービス結果データは、例えば、ユーザインタフェース部２０へ出力される。
　センサインタフェース部２８は、各センサモジュール３０−１~３０−ｎから送られたセンサデータ毎に、図２に示す第１データを作成し、センシング管理部２６へ送信する。該第１データは、センシングＩＤとセンサデータで構成される。センシングＩＤは、センサデータを識別するためのＩＤであり、例えば、カメラ＝１、ＧＰＳ（Ｇｌｏｂａｌ　Ｐｏｓｉｔｉｏｎｉｎｇ　Ｓｙｓｔｅｍ）＝２、・・・のように設定される。
　センサモジュール３０−１~３０−ｎは、ユーザの周辺環境やユーザの生体についての情報を計測し、センサデータとしてセンサインタフェース部２８へ送る。ここで、センサモジュール３０−１~３０−ｎの例としては、カメラ、ＧＰＳ、加速度センサ、気圧センサ、マイク、血圧や脈拍を計測するセンサを挙げることができる。
　管理ポリシー記憶部３２は、ポリシーテーブルを備える。
　図３は、管理ポリシー記憶部３２に記憶されるポリシーテーブルのフォーマット例である。該ポリシーテーブルにおいて、センシングＩＤと該ＩＤを有するセンサデータを利用する利用サービスＩＤの組み合わせ毎に、管理ポリシー（管理ポリシーＩＤでも良い）が定義されている。
　例えば、顔認証アプリを利用するためにカメラで撮影された顔画像は、端末装置１２内のみで利用し外部（すなわち、サーバ１４）へは送信されない。また、ネットアルバム用に撮影したカメラ画像および撮影位置情報は、サーバ１４へ送信されるが、サーバ１４の自分専用領域に保存し、自分のみが参照可能とする。また、ネット天気予報サービスを受ける場合、気圧データとその観測位置情報は、サーバ１４へ送信されるが、自分が誰かという情報を消し匿名化する。ここで、ネット天気予報サービスとは、多くの参加ボランティアユーザから収集したデータに基づいて天気予報を行い、参加メンバーに予報結果を提供する天気予報サービスのことを指す。また、健康アドバイスサービスの場合、脈拍データや歩数計データは、サーバ１４へ送信されるが、個人情報の流出や売り込みに使用されないように、サーバ１４での運用時には、仮名化され、実名が公表されないようにする。ここで、健康アドバイスサービスとは、健康状態や運動記録を送って健康診断やコンサルテーション情報の提供を受けるサービスである。また、独居老人を遠隔にいる家族や見守りサービス業者が見守るシニア見守りサービスの場合、むしろ、公に開示して多くの人に情報を提供するという観点から特に情報を秘匿する必要はない。従って、この場合、見守り対象となる老人の位置情報や、加速度情報の分析により算出されるデータであって老人が転倒していないかを確認するための歩数計データは、サーバ１４へ送信され、匿名化や仮名化は特に行わない。
　図１の説明に戻り、センシング管理部２６は、管理ポリシー記憶部３２に記憶された管理ポリシーに従って第１データにポリシー情報を付加する。具体的には、センシング管理部２６は、第２データを作成する。
　図４は、図１に示す携帯端末１２内のセンシング管理部２６において作成される第２データのフォーマット例である。第２データは、端末装置１２の識別子である端末ＩＤと、センシングＩＤと、センサデータと、利用サービスＩＤと、管理ポリシーから構成される。センシング管理部２６は、作成した第２データをアプリ実行部２４へ送信する。利用サービスＩＤが同一のセンサデータが複数ある場合、第２データをこれら複数のセンサデータを含む一つのパケットとすることができる。例えば、図３に示すネット天気予報の場合、第２データを、気圧データとＧＰＳ位置データとを含む１つのパケットとすることができる。あるいは、第２データは、センサデータ毎に別々のパケットとすることもできる。例えば、ネット天気予報の場合、第２データを、気圧データパケットとＧＰＳ位置データパケットの２つのパケットとすることができる。アプリ実行部２４（サービスアプリケーション）は、第２データの管理ポリシーを確認し、端末装置１２内のみで処理する管理ポリシーであるか、サーバ１４へ送信する管理ポリシーであるかを判定する。サーバ１４へ送信する管理ポリシーである場合、アプリ実行部２４は、第２データを、通信部２２を介してサーバ１４へ送信する。一方、端末装置１２内のみで処理する管理ポリシーである場合、アプリ実行部２４は、第２データに含まれるセンサデータを、ユーザインタフェース部２０へ出力する。あるいは、アプリ実行部２４は、第２データに含まれるセンサデータを所定のメモリ（不図示）に記憶する。
　一方、サーバ１４は、図１に示すように、通信部５０（通信手段）と、ポリシー管理部５２（管理手段）と、サービス処理部５４と、秘匿処理部５６とを備える。通信部５０は、携帯装置１２との間でデータの授受を行う。ポリシー管理部５２は、通信部５０を介して端末装置１２から受信した第２データの管理ポリシーを参照し、管理ポリシーに基づいたデータ処理を実行する。具体的には、ポリシー管理部５２は、管理ポリシーに、匿名化や仮名化等の秘匿処理が規定されている場合、第２データに対して匿名化あるいは仮名化処理を施した後にサービス処理部５４へ送信する。一方、ポリシー管理部５２は、管理ポリシーに、実名での提供が可能と規定されている場合、第２データに対して特に処理は行わずそのままサービス処理部５４へ送信する。また、ポリシー管理部５２は、サービス処理部５４から、供給したセンサデータに基づくサービス処理の結果としての提供情報を受信し、通信部５０を介して端末装置１２へ送信する。
　サービス処理部５４は、ポリシー管理部５２から受信した第２データに基づいて所定のサービスを処理する。ここで、所定のサービスとは、図３に示す利用サービスＩＤ（例えば、ネットアルバムサービスやネット天気予報サービス）に記述されたサービスのことを言う。サービス処理部５４は、サービス処理の結果としての提供情報を、ポリシー管理部５２へ送信する。
　秘匿処理部５６は、ポリシー管理部５２から受信した第２データに対して秘匿処理（すなわち、どの端末装置から提供されたデータであるかを秘匿する処理）を実行する。秘匿処理部５６は、秘匿処理が施された第２データをポリシー管理部５２へ送信する。ここで、例えば、匿名化が必要な場合、秘匿処理部５６は、第２データの端末ＩＤを削除する。また、仮名化が必要な場合、秘匿処理部５６は、第２データの端末ＩＤをユニークな仮想ＩＤに変換する。
　図５は、図１に示す端末装置１２の動作例を説明するためのフローチャートである。
　アプリ実行部２４は、例えば、ユーザインタフェース部２０からのユーザ指示に基づいて所定のサービスアプリケーション（例えば、ネット天気予報アプリケーション）を起動する（ステップＳ１）。アプリ実行部２４にて実行されるサービスアプリケーションは、センシング管理部２６に対して、センサモジュール３０−１~３０−ｎによるセンシングの開始を指示する（ステップＳ２）。センサモジュール３０−１~３０−ｎは、ユーザの周辺環境やユーザの生体についての情報（ネット天気予報の場合は、気圧データと観測位置情報）を計測し、センサデータとしてセンサインタフェース部２８へ送る（ステップＳ３）。
　センサインタフェース部２８は、各センサモジュール３０−１~３０−ｎから送られたセンサデータ毎に第１データ（図２参照）を作成し、センシング管理部２６へ送信する。センシング管理部２６は、管理ポリシー記憶部３２に記憶された管理ポリシーに従って第１データにポリシー情報を付加し、第２データ（図４参照）を作成する（ステップＳ４）。センシング管理部２６は、作成した第２データをアプリ実行部２４へ送信する。ここで、送信される第２データのパケットは、２つのセンサ情報（気圧データと観測位置情報）を同時に含んでいてもよく、あるいは、センサ情報毎に別々のパケットであってもよい。
　アプリ実行部２４（サービスアプリケーション）は、第２データの管理ポリシーを確認する（ステップＳ５）。第２データの管理ポリシーが端末装置１２内のみで処理する管理ポリシーである場合（ステップＳ６においてＹｅｓ判定の場合）の動作について説明する。この場合、アプリ実行部２４は、第２データをサーバ１４へ送信せず、第２データに含まれるセンサデータを端末装置１２の内部のみで使用する（ステップＳ７）。例えば、アプリ実行部２４は、該センサデータをユーザインタフェース部２０へ出力して表示部に表示し、あるいは、端末装置１２内のメモリに記憶する。
　一方、第２データの管理ポリシーがサーバ１４へ送信する管理ポリシーである場合（ステップＳ６においてＮｏ判定の場合）、アプリ実行部２４は、第２データを、通信部２２を介してサーバ１４へ送信する（ステップＳ８）。
　図６は、図１に示すサーバ１４の動作例を説明するためのフローチャートである。
　通信部５０は、端末装置１２から第２データのパケットを受信したか否かを確認する（ステップＳ２０）。第２データパケットを受信しない場合（ステップＳ２０においてＮｏ判定の場合）、通信部５０は、パケットの受信を再度確認する。第２データパケットを受信した場合（ステップＳ２０においてＹｅｓ判定の場合）、ポリシー管理部５２は、受信した第２データパケットの管理ポリシーを取得する（ステップＳ２１）。ポリシー管理部５２は、管理ポリシーに、匿名化や仮名化等の秘匿処理が規定されているか否かを確認する（ステップＳ２２）。
　管理ポリシーに秘匿処理が規定されている場合（ステップＳ２２においてＹｅｓ判定の場合）、ポリシー管理部５２は、第２データに対して秘匿処理を施す（ステップＳ２３）。具体的には、ポリシー管理部５２は、第２データを、秘匿処理部５６へ送信する。秘匿処理部５６は、ポリシー管理部５２から受信した第２データに対して所定の秘匿処理を実行する。ここで、例えば、匿名化が必要な場合、秘匿処理部５６は、第２データの端末ＩＤを削除する。また、仮名化が必要な場合、秘匿処理部５６は、第２データの端末ＩＤをユニークな仮想ＩＤに変換する。秘匿処理部５６は、秘匿処理が施された第２データをポリシー管理部５２へ送信する。秘匿処理が完了した第２データは、ポリシー管理部５２からサービス処理部５４へ送信される。サービス処理部５４は、ポリシー管理部５２から受信した第２データに基づいて所定のサービス（例えば、ネット天気予報サービス）処理を実行する（ステップＳ２４）。ポリシー管理部５２は、サービス処理部５４からサービス処理の結果として得られた提供情報を、センサデータを提供した端末装置１２、あるいは他の装置へ送信する（ステップＳ２５）。ここで、「サービス処理の結果として得られた提供情報」の例として、ネット天気予報サービスの場合の予報結果を挙げることができる。また、「他の装置」の例として、家族や見守り業者の端末装置を挙げることができる。尚、提供情報を、センサデータを提供した端末装置１２へ送信する場合に限り、元の端末ＩＤに戻すことも可能である。
　一方、管理ポリシーに秘匿処理が規定されていない場合（ステップＳ２２においてＮｏ判定の場合）、第２データに対しての秘匿処理（ステップＳ２３の処理）はスキップされる。すなわち、ポリシー管理部５２は、端末装置１２から受信した第２データをそのままサービス処理部５４へ供給する。
　以上説明したように、第１の実施形態において、センサデータ毎あるいはサービスアプリケーション毎に管理ポリシーを定め、端末装置１２およびサーバ１４は、該管理ポリシーに基づいて情報の管理を行う。ここで、管理ポリシーにおいて、情報の利用範囲を規定することができる（例えば、端末装置１２内の使用のみに制限する、あるいは、サーバ１４に送信するが自分のみが参照できる領域に指定する等）。また、管理ポリシーにおいて、個人情報の秘匿（例えば、匿名化または仮名化）の有無を指定することができる。
　すなわち、第１の実施形態によれば、重要度、種別、個人性、あるいは、活用形態等に応じて、センサ情報や該情報を利用したサービスの結果情報の管理を行うことが可能となる。
　さらに、上記管理ポリシーは、処理に先立って予め管理ポリシー記憶部３２に記憶される。そして、上述したように、端末装置１２およびサーバ１４における情報管理処理は、その管理ポリシーに基づいて、自動的に行われる。従って、ユーザ個人の裁量による手動の管理に比べ、客観的かつ自動的な情報管理を行うことができる。すなわち、ユーザ個々の知識や能力によって情報管理の精度にバラツキが生じることはない。従って、ユーザに対して負担を負わせることなく個人情報の流出を確実に阻止することが可能となる。
　尚、以上説明した第１の実施形態において、センサモジュール３０−１~３０−ｎは、端末装置１２に内蔵されている場合を例に挙げたが、端末装置１２に対して外付けされる構成であってもよい。この場合、センサモジュール３０−１~３０−ｎは、例えば、ケーブルやコネクタを介して、センサインタフェース部２８と有線接続される。あるいは、センサモジュール３０−１~３０−ｎは、所定の近距離無線（例えば、Ｂｌｕｅｔｏｏｔｈや、Ｗｉ−Ｆｉ（Ｗｉｒｅｌｅｓｓ　Ｆｉｄｅｌｉｔｙ））を介してセンサインタフェース部２８と無線接続される場合もある。
　また、以上説明した第１の実施形態において、端末装置１２のサービスアプリケーションをユーザの手動操作によって起動させる例を挙げたが、該アプリケーションの起動は上記に限定されない。例えば、該アプリケーションは、タイマ（不図示）の計時結果に基づいて自動的に起動することができ、あるいは、サーバ１４の指示に基づいて起動することもできる。
　また、上記アプリケーションは、予め端末装置１２の記憶部（不図示）に記憶されていてもよいし、所定のタイミングでサーバ１４からダウンロードしてもよい。
　また、以上説明した第１の実施形態において、サービス処理の結果として得られた提供情報を、センサデータを供給した端末装置１２へ返送する場合を例に挙げたが、提供情報の送信先は上記に限定されない。例えば、提供情報は、見守りサービスのように契約者である本人以外の家族へ送信される場合もある。また、提供情報は、他のネットサービスと連携する用途で用いられることもある。
［第２の実施形態］
　図７は、本発明に係る第２の実施形態の端末装置の動作例を説明するためのフローチャートである。本実施形態において、端末装置の構成は、第１の実施形態の端末装置１２と同じである。よって、その構成についての説明は省略する。一方、端末装置の動作については、第１の実施形態とは異なる。従って、以下に、その異なる部分についてのみ説明する。
　アプリ実行部２４は、例えば、サーバ１４からの通知の有無を確認することにより、サービスルールの変更の有無を判定する（ステップＳ３０）。サービスルールに変更があった場合（ステップＳ３０においてＹｅｓ判定の場合）、アプリ実行部２４は、ユーザインタフェース部２０の表示部に、変更確認メッセージを表示する（ステップＳ３１）。ここで、具体的に説明すると、例えば、ネットアルバムサービスの仕様が拡張され、予め指定した家族や友人に特定の写真群の閲覧を許すことができるようになったとする。この場合、アプリ実行部２４は、ユーザインタフェース部２０の表示部に、例えば、「ポリシーを変更して家族や友人まで開示範囲を広げますか」などの確認メッセージを表示する。そして、アプリ実行部２４は、上記確認メッセージに対するユーザの応答入力結果に応じた処理を実行する（ステップＳ３２）。具体的には、上記確認メッセージに対して、ユーザが、例えば、「変更しない」と応答した場合、アプリ管理部２４は、管理ポリシーを変更しない。一方、上記確認メッセージに対して、ユーザが、例えば、「今回のみ変更する」あるいは「今後このサービスでは常に許すように変更する」と応答した場合、アプリ管理部２４は、管理ポリシーを変更する。
　以上説明したように、第２の実施形態の場合、サービスルールの変更を管理ポリシーに随時反映させることができるので、より柔軟な情報管理を行うことができる。さらにその場合、変更の是非をユーザに対して確認するので、より確実な情報管理を行うことができる。
［第３の実施形態］
　図８は、本発明に係る第３の実施形態の端末装置１００の構成例を示すブロック図である。この端末装置１００の、図１に示す端末装置１２に対する差異は、さらに、状況解析処理部１０２を備える点にある。よって、他の構成要素については、端末装置１２と同一であるため、それらの説明については省略する。
　ところで、センシング活用サービスでは、生のセンサデータのみでなく、センサデータを組み合わせて処理した結果を用いる場合を想定することができる。例えば、ＧＰＳと加速度センサとマイクのデータを組み合わせて解析し、ユーザが家にいるのか、歩いているのか、走っているのか、あるいは、電車やバス等の乗り物に乗っているかを推定するサービスを想定することができる。
　状況解析処理部１０２は、このサービスに対応している。すなわち、状況解析処理部１０２は、複数のセンサデータを用いて判定を行い、その結果を、生のセンサデータの場合と同様に、第１データ（図２参照）として、センシング管理部２６へ送信する。例えば、「位置データ」と「加速度データ」から「走歩数データ」を推定する場合のセンシングＩＤは、「走歩数データ」となる。
　図９は、第３の実施形態の端末装置１００の管理ポリシー記憶部３０に記憶されるポリシーテーブルのフォーマット例である。各データ（生のデータであるＧＰＳ位置データと加速度データ、処理結果データである走歩数データ）は、図９に示す各管理ポリシーで情報管理される。この場合、処理結果データである走歩数データは、実名付きで公開される。一方、ＧＰＳ位置データや加速度データなどの生データは、データ自体は提供するが、個人を特定できないように匿名にする。
　以上説明したように、複数のセンサデータにより算出された算出結果データに対しても管理ポリシーに基づいた情報管理を適用することにより、よりきめ細かな情報管理制御を行うことが可能となる。具体的には、例えば、「結果データ」を実名公開する一方で、個人を特定される危険性がある「生データ」を秘匿するなどユーザニーズに応じたより柔軟な情報管理を行うことができる。
［第４の実施形態］
　図１０は、本発明に係る第４の実施形態のサーバ２００の構成例を示すブロック図である。この端末装置１００の、図１に示すサーバ１４に対する差異は、さらに、管理ポリシー記憶部２０２を備える点にある。よって、他の構成要素については、端末装置１４と同一であるため、それらの説明については省略する。
　図１１は、管理ポリシー記憶部２０２に記憶されるポリシーテーブルのフォーマット例である。すなわち、図１１に示すポリシーテーブルを適切な記述で用意し、これをあらかじめ、あるいは端末側で変更がある度にサーバ２００に送り、サーバ２００側で管理を実行する。ここで、Ｐ−ＩＤは、ポリシーＩＤの意味である。
　図１２は、端末装置１２からサーバ２００へ送られるセンサデータパケットのフォーマット例である。該センサデータパケットは、ポリシーＩＤを含む。
　以上説明した第４の実施形態によれば、サーバ２００側において、端末装置１２と共有するポリシーテーブルを参照して管理する。従って、よりきめ細やかな情報管理を行うことが可能となる。さらに、サーバ２００側でも共通のポリシーテーブルを搭載するので、端末装置１２とサーバ２００との間でやりとりする通信データ量を抑えることができる。
［第５の実施形態］
　図１３は、本発明に係る第５の実施形態の端末装置３００の構成例を示すブロック図である。端末装置３００は、取得手段３０２と、記憶手段３０４と、制御手段３０６とを備える。取得手段３０２は、センサデータを取得する。記憶手段３０４は、センサデータ毎あるいはセンサデータを利用するサービス毎の管理ポリシーを定義するポリシーテーブル３０８を記憶する。制御手段３０６は、ポリシーテーブル３０８を参照してセンサデータあるいはサービスに対応する管理ポリシーを取得し、該管理ポリシーに基づいてセンサデータの管理を行う。
　以上説明したように、第５の実施形態において、センサデータ毎あるいはサービスアプリケーション毎に管理ポリシーを定め、端末装置３００は、該管理ポリシーに基づいて情報の管理を行う。ここで、管理ポリシーにおいて、例えば、情報の利用範囲を規定することができる。例えば、端末装置３００内の使用のみに制限する、あるいは、外部装置（例えば、サーバ）に送信するが自分のみが参照できる領域に指定することができる。
　すなわち、第５の実施形態によれば、重要度、種別、個人性、あるいは、活用形態等に応じて、センサ情報や該情報を利用したサービスの結果情報の管理を行うことが可能となる。
　さらに、上記管理ポリシーは、処理に先立って予め記憶手段３０４に記憶される。そして、上述したように、端末装置３００における情報管理処理は、その管理ポリシーに基づいて、自動的に行われる。従って、ユーザ個人の裁量による手動の管理に比べ、客観的かつ自動的な情報管理を行うことができる。すなわち、ユーザ個々の知識や能力によって情報管理の精度にバラツキが生じることはない。従って、ユーザに対して負担を負わせることなく個人情報の流失を確実に阻止することが可能である。
［第６の実施形態］
　図１４は、本発明に係る第６の実施形態のサーバ４００の構成例を示すブロック図である。サーバ４００は、通信手段４０２と、管理手段４０４とを備える。通信手段４０２は、端末装置（不図示）から、該端末装置を識別するＩＤ情報と、センサデータと、センサデータ毎あるいはセンサデータを利用するサービス毎の管理ポリシーとを受信する。管理手段４０４は、管理ポリシーに基づいて、少なくともＩＤ情報およびセンサデータを管理する。
　以上説明したように、第６の実施形態において、センサデータ毎あるいはサービスアプリケーション毎に管理ポリシーを定め、サーバ４００は、該管理ポリシーに基づいて情報の管理を行う。ここで、管理ポリシーにおいて、例えば、個人情報の秘匿（例えば、匿名化または仮名化）の有無を指定することができる。
　すなわち、第６の実施形態によれば、重要度、種別、個人性、あるいは、活用形態等に応じて、センサ情報や該情報を利用したサービスの結果情報の管理を行うことが可能となる。
　さらに、上記管理ポリシーは、端末装置から受信するデータに含まれている。そして、上述したように、サーバ４００における情報管理処理は、その管理ポリシーに基づいて、自動的に行われる。従って、ユーザ個人の裁量による手動の管理に比べ、客観的かつ自動的な情報管理を行うことができる。すなわち、ユーザ個々の知識や能力によって情報管理の精度にバラツキが生じることはない。従って、ユーザに対して負担を負わせることなく個人情報の流失を確実に阻止することが可能となる。
　尚、以上説明した第１~第６の実施形態において、端末装置（１２、１００、３００）およびサーバ（１４、２００、４００）は、専用のハードウェアで制御されると説明した。しかしながら、これらの端末装置およびサーバは、制御プログラムに基づいて図示しないコンピュータ回路（例えば、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ））によって制御され、動作するようにすることができる。その場合、これらの制御プログラムは、端末装置およびサーバ内部の記憶媒体（例えば、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）やハードディスク等）、あるいは、外部の記憶媒体（例えば、リムーバブルメディアやリムーバブルディスク等）に記憶され、上記コンピュータ回路によって読み出され実行される。
　また、以上説明した第１~第６の実施形態において、端末装置とサーバとの間のネットワークは、有線であっても無線であってもよい。
　以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
　この出願は、２００９年８月１１日に出願された日本出願特願２００９−１８６２５４号を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　１０　　　通信システム
　１２、１００、３００　　　端末装置
　１４、２００、４００　　　サーバ
　２０　　　ユーザインタフェース部
　２２　　　通信部
　２４　　　アプリ実行部
　２６　　　センシング管理部
　２８　　　センサインタフェース部
　３０−１~３０−ｎ　　　センサモジュール
　３２　　　管理ポリシー記憶部
　５０　　　通信部
　５２　　　ポリシー管理部
　５４　　　サービス処理部
　５６　　　秘匿処理部
　１０２　　　情報解析処理部
　２０２　　　管理ポリシー記憶部
　３０２　　　取得手段
　３０４　　　記憶手段
　３０６　　　制御手段
　３０８　　　ポリシーテーブル
　４０２　　　通信手段
　４０４　　　管理手段

Claims

　センサデータを取得する取得手段と、
　前記センサデータ毎あるいは前記センサデータを利用するサービス毎の管理ポリシーを定義するポリシーテーブルを記憶する記憶手段と、
　前記ポリシーテーブルを参照して前記センサデータあるいは前記サービスに対応する管理ポリシーを取得し、該管理ポリシーに基づいて前記センサデータの管理を行う制御手段と、
　を備えることを特徴とする端末装置。
　前記管理ポリシーに、前記センサデータを自端末装置内のみで使用することが規定されている場合、前記制御手段は、前記センサデータを、自端末装置外へ送信しないことを特徴とする請求項１記載の端末装置。
　所定の外部装置と通信を行う通信手段をさらに備え、
　前記管理ポリシーに、前記センサデータを自端末装置外に送信することを許容する旨の規定がある場合、前記制御手段は、前記センサデータを、前記通信手段を介して前記外部装置へ送信することを特徴とする請求項１または２記載の端末装置。
　端末装置とサーバ装置とを備える通信システムであって、
　前記端末装置は、
　センサデータを取得する取得手段と、
　前記センサデータ毎あるいは前記センサデータを利用するサービス毎の管理ポリシーを定義するポリシーテーブルを記憶する記憶手段と、
　前記ポリシーテーブルを参照して前記センサデータあるいは前記サービスに対応する管理ポリシーを取得し、少なくとも、端末装置を識別するＩＤ情報と前記センサデータと前記管理ポリシーとを、前記サーバ装置へ送信する制御手段と、を備え、
　前記サーバ装置は、
　前記管理ポリシーに基づいて、少なくとも前記ＩＤ情報および前記センサデータを管理する管理手段を備えることを特徴とする通信システム。
　前記管理ポリシーは、どの端末装置からのセンサデータであるかを秘匿する規定を含むことを特徴とする請求項４記載の通信システム。
　前記秘匿規定は、匿名化および仮名化の少なくとも一方であることを特徴とする請求項５記載の通信システム。
　前記制御手段は、サービスルールの変更を前記管理ポリシーに随時反映させることを特徴とする請求項４~６のいずれか１項に記載の通信システム。
　前記制御手段は、管理ポリシーを変更する際、その変更の是非をユーザに対して確認するための情報を出力することを特徴とする請求項７記載の通信システム。
　前記端末装置は、前記ポリシーテーブルを前記サーバに送信し、前記管理手段は、前記管理ポリシーテーブルに基づいて、少なくとも前記ＩＤ情報および前記センサデータを管理することを特徴とする請求項４~８のいずれか１項に記載の通信システム。
　端末装置とサーバ装置とにおけるデータ管理方法であって、
　前記端末装置において、センサデータ毎あるいは前記センサデータを利用するサービス毎の管理ポリシーを定義するポリシーテーブルを記憶し、前記ポリシーテーブルを参照して前記センサデータあるいは前記サービスに対応する管理ポリシーを取得し、該管理ポリシーに基づいて前記センサデータの管理を行うとともに、少なくとも、端末装置を識別するＩＤ情報と前記センサデータと前記管理ポリシーとを、前記サーバ装置へ送信し、
　前記サーバ装置において、前記管理ポリシーに基づいて、少なくとも前記ＩＤ情報および前記センサデータを管理することを特徴とするデータ管理方法。
　端末装置から、該端末装置を識別するＩＤ情報と、センサデータと、前記センサデータ毎あるいは前記センサデータを利用するサービス毎の管理ポリシーとを受信する通信手段と、
　前記管理ポリシーに基づいて、少なくとも前記ＩＤ情報および前記センサデータを管理する管理手段と、
　を備えることを特徴とするサーバ装置。
　端末装置におけるデータ管理方法であって、
　センサデータ毎あるいは前記センサデータを利用するサービス毎の管理ポリシーを定義するポリシーテーブルを記憶し、
　センサデータを取得し、
　前記ポリシーテーブルを参照して前記センサデータあるいは前記サービスに対応する管理ポリシーを取得し、該管理ポリシーに基づいて前記センサデータの管理を行う
　ことを特徴とするデータ管理方法。
　サーバ装置におけるデータ管理方法であって、
　端末装置から、該端末装置を識別するＩＤ情報と、センサデータと、前記センサデータ毎あるいは前記センサデータを利用するサービス毎の管理ポリシーとを受信し、
　前記管理ポリシーに基づいて、少なくとも前記ＩＤ情報および前記センサデータを管理する
　ことを特徴とするデータ管理方法。
　センサデータ毎あるいは前記センサデータを利用するサービス毎の管理ポリシーを定義するポリシーテーブルを記憶する処理と、
　センサデータを取得する処理と、
　前記ポリシーテーブルを参照して前記センサデータあるいは前記サービスに対応する管理ポリシーを取得し、該管理ポリシーに基づいて前記センサデータの管理を行う処理と、
　を端末装置のコンピュータに実行させるための制御プログラムを記憶することを特徴とする記録媒体。
　端末装置から、該端末装置を識別するＩＤ情報と、センサデータと、前記センサデータ毎あるいは前記センサデータを利用するサービス毎の管理ポリシーとを受信する処理と、
　前記管理ポリシーに基づいて、少なくとも前記ＩＤ情報および前記センサデータを管理する処理と、
　をサーバ装置のコンピュータに実行させるための制御プログラムを記憶することを特徴とする記録媒体。