WO2011058629A1

WO2011058629A1 - 情報管理システム

Info

Publication number: WO2011058629A1
Application number: PCT/JP2009/069257
Authority: WO
Inventors: 杉中順子; 古川義久
Original assignee: Suginaka Junko; Furukawa Yoshihisa
Priority date: 2009-11-12
Filing date: 2009-11-12
Publication date: 2011-05-19
Also published as: JPWO2011058629A1

Abstract

　本システムは端末（１）とサーバ（３）を有する。サーバ（３）は分割属性情報及び分割識別コード情報と、次の分割属性情報の分割識別コード情報及びその格納先情報とを定数値として置く読出プログラムファイルが分散して格納される６個のデータサーバ（５１～５６）と、指定されたデータサーバから分割識別コード情報に対応した読出プログラムファイルをアクセス元の端末（１）に返信する読出プログラムファイル送出部（４１２，４１７）とを備える。端末（１）は各分割識別コード情報を、順次、格納先情報に対応したデータサーバに送信すると共に読出プログラムファイルを受信する端末通信処理手段（１１３，１１４，１１８）と、受信した読出プログラムファイルを実行して各分割属性情報を結合し、かつ順次次の分割識別コード情報を格納先情報に対応するデータサーバに送信するためのプログラムファイル実行部（１１４）を備えた。

Description

情報管理システム

　本発明は、会員の属性情報等の個人情報をネットワークを介して、アクセス（コール）元の情報処理端末に情報の漏洩なく送信する情報管理システムに関する。

　近年、インターネットを始めとした通信ネットワークの急激な進展により、種々の商取引等のサービスが通信ネットワークを介して行われるようになってきている。同様に、行政機関等に対する行政手続等のサービスも通信ネットワークを介して行われるようになってきている。かかるサービスの実行に際し、ネットワークを介して授受される情報には決済情報、取引情報の他、個人情報等が含まれる場合が少なくない。この個人情報（個人を特定するための各属性に関する情報）に対し、他人になりすましてサーバやデータベース等に侵入し、データを盗用したり改竄したりする不正行為が増大している。従って、個人情報を高セキュリティの元で管理する方策が要請される。

　特許文献１には、生体情報入力部から受け入れた登録者の生体情報を２分割し、その一方の分割生体情報が格納される認証記憶部と、他方の分割生体情報が格納される登録者固有のＩＣカードと、制御部とを備えた認証システムが記載されている。特許文献１の発明は、認証要求が有った時、前記制御部によって、前記認証者の生体情報とＩＣカードから前記他方の分割生体情報とを受け入れて、他方の分割生体情報と一方の分割生体情報とを合成し、合成した生体情報と生体情報入力部から受け入れた認証者の生体情報とを比較することで個人認証を行うようにしている。これによって、分割された情報のうちのどちらか一方が盗難にあった場合でも不正使用されることが防止できる。

　特許文献２には、個人を確認する情報であるマルチメディア情報を取得する取得手段と、前記マルチメディア情報を分割する分割手段と、該分割手段により複数に分割されたマルチメディア情報である分割マルチメディア情報を、前記照合装置の複数の格納手段にそれぞれ格納する格納制御手段とを備えた登録装置が記載されている。より詳細には、特許文献２の発明は、前記分割手段によって、前記マルチメディア情報を情報量の少ない分割マルチメディア情報から情報量の多い分割マルチメディア情報へ段階的に分割し、前記格納制御手段によって、該分割マルチメディア情報をそれぞれ異なる前記格納手段に格納するようにしている。さらに、分割したマルチメディア情報を合成してから照合するのではなく、各分割マルチメディア情報毎に段階的に複数回の照合を繰り返す構成にすることで、分割後のマルチメディア情報から元のマルチメディア情報を復元することを困難にしている。従って、複数の記憶装置のマルチメディア情報が同時に盗難に遭った場合でも、それらを用いて元のマルチメディア情報を復元することが困難であれば、照合処理を通過することが困難であり、セキュリティを向上することができる。これによって、情報の盗難などの際のリスクを分散でき、セキュリティの向上を図ることができる。

特開２００１－０６７１３７号公報特開２００７－２３４０５４号公報

　しかしながら、特許文献１は、個人情報をＩＣカードと照合装置内の記憶装置とに２分割して格納する態様であるため、一方の媒体から個人情報が盗まれ、その情報を使って他人になりすまして照合処理を通過されてしまう危険性がある。また、特許文献１，２はいずれも、所与の比率で分割された情報を複数の記憶部に分散して格納する場合に、格納場所の識別を行う一方、情報自体の秘匿性に関しては、分散処理以上の方策は施されていない。従って、情報の盗難リスクには限界があり、セキュリティ面で十分ではない。

　本発明は、個人の属性情報を分割及び分散して記憶し、かつ分割された情報を紐付き情報にて関係付けると共に、情報記憶源へのアクセス要求時に属性情報を含まず、かつ属性情報を読出プログラムファイルの定数値として設定することで情報自体の盗難防止を図り、さらに仮に情報が盗難されてもその解読を実質不可にした情報管理システムを提供することにある。

　請求項１記載の発明は、会員を識別するための複数の属性項目の各情報を記憶するサーバからネットワークを介して、アクセス元である、会員の所持する情報処理端末に上記データを選択的に送信し、出力部に導く情報管理システムにおいて、前記サーバは、各属性項目内の属性情報が所定のルールで一方端側から他方端側に向けて順序付けて少なくとも２以上に分割された分割属性情報のそれぞれについて、分割属性情報及び当該分割属性情報を識別するための分割識別コード情報と、前記順序付けにおける次の順序の分割属性情報の分割識別コード情報及び前記次の順序の分割属性情報の所在を示すための格納先情報とを定数値として置くための読出プログラムファイルがそれぞれ分散して格納される複数の情報記憶部と、指定された前記情報記憶部から分割識別コード情報に対応した読出プログラムファイルをアクセス元の情報処理端末に返信する読出プログラムファイル送出手段とを備え、前記情報処理端末は、会員の属性情報のうちの前記一方端から前記他方端までの各分割識別コード情報及び対応する格納先情報を指定用として、順次、格納先情報に対応した情報記憶部に送信すると共に前記情報記憶部から前記分割識別コード情報に対応する前記読出プログラムファイルを受信する端末通信処理手段と、受信した前記読出プログラムファイルを実行して、前記属性項目の各分割属性情報を前記出力部に読み出すと共に、順次次の分割識別コード情報を当該分割識別コード情報の格納先情報に対応する前記情報記憶部に送信するべく前記端末通信処理手段に読み出すプログラム実行処理手段とを備えたことを特徴とするものである。

　この発明によれば、複数の情報記憶部には、各属性項目内の属性情報が所定のルールで一方端側から他方端側に向けて順序付けて少なくとも２以上に分割された分割属性情報のそれぞれについて、分割属性情報及び当該分割属性情報を識別するための分割識別コード情報と、前記順序付けにおける次の順序の分割属性情報の分割識別コード情報及び前記次の順序の分割属性情報の所在を示すための格納先情報とを定数値として置くための読出プログラムファイルがそれぞれ分散して記憶されている。そして、読出プログラムファイル送出手段によって、指定された前記情報記憶部から分割識別コード情報に対応した読出プログラムファイルがアクセス元の情報処理端末に返信され、端末通信処理手段によって、会員の属性情報のうちの前記一方端から前記他方端までの各分割識別コード情報及び対応する格納先情報が指定用として、順次、格納先情報に対応した情報記憶部に送信されると共に、前記情報記憶部から前記分割識別コード情報に対応する前記読出プログラムファイルが受信される。プログラム実行処理手段によって、受信された読出プログラムファイルが実行され、前記属性項目の各分割属性情報が前記出力部に読み出されると共に、順次次の分割識別コード情報が当該分割識別コード情報の格納先情報に対応する前記情報記憶部に送信されるべく前記端末通信処理手段に読み出される。このようにして、１つの属性情報が、複数の分割属性情報に分割される。また、サーバは複数の情報記憶部を有し、各分割属性情報に対する分割識別コード情報及びその格納先情報によって、複数の情報記憶部に分散して記憶される。従って、１つの分割属性情報が仮に盗聴されても、この情報には、次の順序の分割識別コード情報と格納先情報とが得られるのみで、さらにサーバに侵入乃至はキャプチャしなければ、分割情報を採取することができない。しかも、分割された情報を紐付き情報にて関係付け、情報記憶部へのコール時に属性情報が含まれないようにし、かつ属性情報を読出プログラムファイルの定数値として設定することでサーバからの返信も解読が困難となって、情報自体の盗難防止が図られる。なお、端末通信処理手段について、本実施形態では、次の分割識別コード情報は管理部４（図１参照）を介していずれかの前記情報記憶部に送信されるが、管理部４の機能は、ここでは単に振り分け処理であるので、実質的には、端末通信処理手段から格納先情報に対応する情報記憶部に情報が送信されることと実質同一である。

　本発明によれば、個人の属性情報を分割及び分散して記憶し、かつ分割された情報を紐付き情報にて関係付けると共に、情報記憶部へのコール時に属性情報を含まず、かつ属性情報を読出プログラムファイルの定数値として設定することで情報自体の盗難防止を図り、さらに仮に情報が盗難されてもその解読を実質不可にした。

本発明に係る情報管理システムが適用されるネットワークシステムの概略構成図である。端末、ＵＳＢメモリ及び会員サーバの有する機能をそれぞれブロック化した構成図を示すものである。ＵＳＢメモリ２及びデータサーバ５１～５６のメモリマップの一例を示す図である。プログラムファイルＡのリストの一例を示す図である。管理部４の制御部４１によって実行される会員情報の登録処理の手順を説明するフローチャートである。端末の制御部によって実行されるＵＳＢメモリ２の装着判定処理の手順を説明するフローチャートである。端末の制御部によって実行される会員情報の閲覧許可付与処理の手順を説明するフローチャートである。端末の制御部によって実行される会員情報の閲覧許可情報の受信処理の手順を説明するフローチャートである。端末の制御部によって実行されるＵＳＢメモリ２への書込処理の手順を説明するフローチャートである。端末の制御部によって実行される会員情報の取得リクエスト（会員サーバ３へのコール）処理の手順を説明するフローチャートである。管理部の制御部によって実行される読出プログラムファイルの返信処理の手順を説明するフローチャートである。端末の制御部によって実行される読出プログラムファイルの実行処理の手順を説明するフローチャートである。管理部の制御部によって実行される暗号化、復号化プログラムの変更処理の手順を説明するフローチャートである。管理部の制御部によって実行される分割属性情報の格納先の変更処理の手順を説明するフローチャートである。端末の制御部によって実行される属性情報リストの更新処理の手順を説明するフローチャートである。

　図１は、本発明に係る情報管理システムが適用されるネットワークシステムの概略構成図である。図１に示すネットワークシステムは、例えば、会員である、消費者や商店乃至は企業等、更には決済を行う１又は複数の金融機関に配置される端末（情報処理端末）１と、これらの各端末１及び端末１間での情報の管理及び保管を統括的に行う管理機関に配設された会員サーバ３とを備える。

　端末１は、一般的にはＣＰＵ（Central Processing Unit）を内蔵するパーソナルコンピュータ等で構成されている。端末１内には、一般的な文書や図形の作成ソフトウエアを利用しての情報の作成、加工、記憶、更に通信用のソフトウエアを利用しての情報の送受信等の一般的な各処理を実行するプログラムファイル（図２の汎用ＡＰ（アプリケーションソフトウエア；Application software）記憶部１３１参照）と、後述する特定のアプリケーションソフトウエアの実行に関連する処理を行うプログラムファイル（図２の特定ＡＰ（アプリケーションソフトウエア）記憶部１３２参照）とを備える。より具体的には、消費者、商店及び企業等の端末１には、特定ＡＰ記憶部１３２として、商品やサービスの売買、見積もり乃至は請求、入出金に関する各書類の作成と通信とを行うソフトウエアがインストールされる。すなわち、端末１は、一般的な商取引における決済、例えば業者店舗からの請求書の発行、受領や、購買者側から請求書発行元の契約金融機関の口座への入金（すなわち支払い）指示書、その受領書の発行の他、電子決済の如何を問わず種々の電子書面での送受信処理を可能とするものである。端末１は、各種書類をテキスト形式の、またバイナリー形式の電子ファイルとして作成可能である。電子ファイルは、例えば会員サーバ３を中継して端末１間で授受される。各金融機関の端末１には、消費者や企業の端末１からの金融的な決済書面に従った決済指示処理（金融機関間での決済処理の指令等）を行う特別アプリケーションソフトウエアもインストールされている。

　また、端末１は、携行可能な記憶媒体（会員用外部記憶媒体）、例えばＵＳＢ（Universal Serial Bus）メモリ２が装着（接続）可能なＵＳＢポートＰ１を有する。記憶媒体としては、ＩＥＥＥ１３９４ポートを使用したスティック状のハードウエアでもよい。ＵＳＢメモリ２は、会員に付与されるもので、後述するように所定の情報が更新的に記憶可能な各記憶部（領域）を有する。なお、記憶媒体は、後述するような変動処理がない態様の場合には、書き換え可能なメモリでなくてもよい。

　会員サーバ３は、会員を特定するための各種の属性項目に関する属性情報、例えば会員の氏名、生年月日、住所、電話番号等を会員単位で記憶するものである。これらの情報の記憶形態については、後述する。なお、会員サーバ３は、さらに、各会員によるファイルの送受信履歴やそのファイル類等を会員毎に記憶する図略のファイル記憶部を備えている。

　また、本システムは、他の適用例として、秘密情報を作成、保管管理する、例えば公的機関である団体組織内のＬＡＮに接続された複数の端末１間での情報通信、さらに団体組織外にある端末との間における情報通信・管理体制に適用する例を挙げることができる。団体組織外にある端末との間における情報通信としては、例えば証明書の発行などが想定される。

　本システムは、ハードウエア的にはインターネットのネットワークを用いる。すなわち端末１はインターネットに接続される一方、後述するように、インターネットとの間ではソフトウエア的にセキュリティが確保された前述の特定ＡＰが実行許可されるようにしている。本発明によってソフトウエア的に分断されたネットワークという観点で、インターネットとは異なる専用ネットワークとして扱い得る。これにより、新たなインフラを必要としないシステムの構築が可能で、かつ各端末１は必要に応じてインターネットを経由して他のパーソナルコンピュータとの間で通常の情報通信及びインターネット上のＷｅｂサイトの検索、閲覧及び情報の取得が可能である。

　図１において、端末１はプロバイダ（ＩＳＰ）６を介してネットワーク７に接続されている。ＩＳＰ６には、複数の端末１が接続されている。なお、図１には示されていないが、ＩＳＰ６には、各種の情報を提供するＷｅｂサイトを有するサーバも、適宜の数だけ接続されている。また、ＩＳＰ６に接続される端末１には、特定ＡＰがインストールされている会員としての端末１と、汎用ＡＰしかインストールされていない通常の端末１′とが存在する。特定ＡＰ内の所定のアプリケーションソフトウエアは、ＵＳＢメモリ２との間での処理、例えば端末１への装着判定処理、所定の情報の読み出し書き込み処理を実行するものを含む。

　会員サーバ３は、管理部４とデータベース５とを備えている。データベース５は、上述の会員の属性情報を記憶するもので、所定数、例えばデータサーバ５１～５６を有する。データサーバ５１～５６は、全ての会員の属性情報を会員毎に記憶するもので、詳細は後述する。管理部４は、ネットワーク７上に設けられ、端末１とデータベース５との間での情報の読出処理、情報の受信、変動、及び書き込み処理等を管理するものである。管理部４は実質的にサーバとして機能する。なお、管理部４の機能は、各データサーバ５１～５６内に設けてもよい。なお、会員の属性情報の取得は、会員登録（入会）時に、例えば、必要な属性項目を入力ガイド画面として表示部１５に表示し、操作部１４を介して入力することで可能である。入力された属性情報は、後述するように、所定のルールで分割され、さらに、順次紐付き情報を付された形態で、データサーバ５１～５６のいずれかに分散されて格納される。

　図２は、端末１、ＵＳＢメモリ２及び会員サーバ３の有する機能をそれぞれブロック化した構成図を示すものである。図２において、端末１は、ＣＰＵから構成される制御部１１を備えている。制御部１１には、ＲＯＭ（Read Only Memory）１２とＲＡＭ（Random Access Memory）１３とが接続されている。制御部１１のＣＰＵは、ＲＡＭ１３上に記憶された汎用ＡＰを実行することによって、通常の処理の実行部として機能する。また、制御部１１のＣＰＵは、ＲＡＭ１３上に保持された特定ＡＰを実行することによって、ＵＳＢメモリ２の装着を判定する認証処理部１１１、自己の個人情報の閲覧を許可する権限を付与するべく、その会員の端末１及び閲覧許可が付与される属性項目を指定する閲覧許可付与部１１２、閲覧許可付与部１１２によって閲覧許可が与えられた会員の端末１から、会員サーバ３へのコール信号を閲覧リクエスト信号として生成するコール設定部１１３、データサーバ５１～５６に格納されている読出プログラムファイルであって、（コール元の）端末１に読み出された読出プログラムファイルを実行する読出プログラムファイル実行部１１４、会員サーバ３へ送信する情報を暗号化する暗号処理部１１５、会員サーバ３から受信した暗号化されている情報を復号化する復号処理部１１６、データサーバ５１～５６に記憶されている属性情報の分散状況の変更（変動）をＵＳＢメモリ２に反映させるべく更新する更新処理部１１７、及び他の会員の端末１との間や、会員サーバ３との間での情報の授受を制御する通信処理部１１８として機能する。

　認証処理部１１１は、ＵＳＢポートＰ１にＵＳＢメモリ２が装着されているか否かを判定するもので、周期的にＵＳＢポートＰ１に送出するハンドシェイク信号への応答信号の有無で装着の有無を判断するようにしている。また、認証処理部１１１は、ＵＳＢメモリ２の装着が確認されると、予めＲＡＭ１３内の特定ＡＰ記憶部１３２にインストールされた特定ＡＰを、ＵＳＢメモリ２の装着を確認して許可される信号を受けて実行可能に切り換える処理を行う。

　図３は、ＵＳＢメモリ２及びデータサーバ５１～５６のメモリマップの一例を示す図である。図３において、端末１Ａは会員Ａの端末であり、ＵＳＢメモリ２Ａは会員Ａのものである。端末１Ｂは会員Ａとは異なる会員Ｂの端末であり、ＵＳＢメモリ２Ｂは会員Ｂのものであるとする。

　本例として、会員Ａの属性情報は、氏名が「田中太郎」、生年月日が「１９７５年３月４日」、住所が「東京都練馬区旭丘１－１」、電話が「０３－１２３４－５６７８」であるとする。会員Ｂの属性情報は、氏名が「鈴木浩治」、生年月日が「１９８０年８月１１日」、住所が「東京都港区元麻布３－１０－２１」、電話が「０３－９８７６－５４３２」であるとする。

　ＵＳＢメモリ２は、認証用の情報が記憶された認証用情報記憶部２１と、属性情報リストを記憶する属性情報リスト記憶部２２とを有する。認証用の情報とは、ＵＳＢメモリ２を固体識別のための識別情報（ＵＳＢＩＤ）である。なお、会員サーバ３には、各ＵＳＢメモリ２の識別情報及び必要に応じて採用される会員認証用のパスワード情報に対応する照合のための情報（会員ＩＤ）及びＵＳＢＩＤが対応して記憶されている。なお、会員ＩＤ）、ＵＳＢＩＤ及び当該会員の所持する端末１の識別情報が対応して記憶される態様としてもよい。

　属性情報リストとは、氏名～電話番号の各属性項目に対して、識別コード情報と、その情報が記憶される所在であるデータサーバ５１～５６のいずれかを示す格納先情報（ＩＤ）である。会員Ａの例では、氏名については、識別コード情報が「４０２００１」、格納先情報が「サーバ１」である。生年月日については、識別コード情報が「５００１０１」、格納先情報が「サーバ３」である。住所については、識別コード情報が「１００２１３」、格納先情報が「サーバ４」である。電話については、識別コード情報が「２０００７３」、格納先情報が「サーバ６」である。なお、会員ＢのＵＳＢメモリ２Ｂについても同様に属性項目毎に情報が記憶されている。また、属性情報リストは、後述するように、読出プログラムファイルの定数値として置かれる態様で記憶される。属性情報リストを読出プログラムファイルの形式で記憶することで、容易に解読ができず、しかも後述するように読出プログラムファイルが端末１によって暗号化された状態でＵＳＢ２に格納されるようにすることで、搾取、改竄に対する一層の秘匿性が確保できる。

　続いて、ＵＳＢメモリ２の属性情報リストとデータサーバ５１～５６のメモリマップの関係を説明する。会員Ａの属性情報「氏名」の識別コード情報は「４０２００１」で、格納先情報は「サーバ１」である。そこで、データサーバ５１（「サーバ１」に対応）の識別コード情報「４０２００１」を観察すると、属性項目「姓」として、「田中」が格納されている。さらに、属性項目「名」として、識別コード情報としての「００６１２５」と格納先情報としての「サーバ５」が対応して、すなわち紐付き情報として記憶されている。次いで、データサーバ５５（「サーバ５」に対応）には、属性項目「名」の識別コード情報「００６１２５」に「太郎」が記憶されている。そして、この情報には、それ以上の紐付き情報はない。

　すなわち、属性項目「氏名」は、先頭側から順に、「姓」、「名」の２つに分割されている。そして、「氏名」の属性項目の識別コード情報が、先頭の「姓」の識別コード情報とされている。

　同様に、次の属性項目「生年月日」について観察すると、会員ＡのＵＳＢメモリ２の属性項目「生年月日」の識別コード情報は「５００１０１」で、格納先情報は「サーバ３」である。そこで、データサーバ５３の識別コード情報「５００１０１」を観察すると、属性項目「年」として、「１９７５」が格納されている。さらに、属性項目「月日」として、識別コード情報「４１７８９０」と格納先情報としての「サーバ２」が対応して、すなわち紐付き情報として記憶されている。次いで、データサーバ５２には、属性項目「月日」の識別コード情報「４１７８９０」に「３月４日」が記憶されている。そして、この情報には、それ以上の紐付き情報はない。

　すなわち、属性項目「生年月日」は、先頭側から順に、「年」、「月日」の２つに分割されている。そして、「生年月日」の属性項目の識別コード情報が、先頭の「年」の識別コード情報とされている。

　同様に、次の属性情報「住所」について観察すると、会員ＡのＵＳＢメモリ２の属性項目「住所」の識別コード情報は「１００２１３」で、格納先情報は「サーバ４」である。そこで、データサーバ５４の識別コード情報「１００２１３」を観察すると、属性項目「住所１」として、「東京都練馬区」が格納されている。さらに、属性項目「住所２」として、識別コード情報「５０８７２９」と格納先情報としての「サーバ２」が対応して、すなわち紐付き情報として記憶されている。次いで、データサーバ５２には、属性項目「住所２」の識別コード情報「５０８７２９」に「旭丘」が記憶されている。さらに、属性項目「住所３」として、識別コード情報「０００８３４」と格納先情報としての「サーバ１」が対応して、すなわち紐付き情報として記憶されている。次いで、データサーバ５１には、属性項目「住所３」の識別コード情報「０００８３４」に「１－１」が記憶されている。そして、この情報には、それ以上の紐付き情報はない。

　すなわち、属性項目「住所」は、先頭側から順に、「住所１」、「住所２」、「住所３」の３つに分割されている。そして、「住所」の属性項目の識別コード情報が、先頭の「住所１」の識別コード情報とされている。

　同様に、次の属性情報「電話」について観察すると、会員ＡのＵＳＢメモリ２の属性項目「電話」の識別コード情報は「２０００７３」で、格納先情報は「サーバ６」である。そこで、データサーバ５６の識別コード情報「２０００７３」を観察すると、属性項目「電話１」として、「０３」が格納されている。さらに、属性項目「電話２」として、識別コード情報「３８００２６」と格納先情報としての「サーバ５」が対応して、すなわち紐付き情報として記憶されている。次いで、データサーバ５５には、属性項目「電話２」の識別コード情報「３８００２６」に「１２３４」が記憶されている。さらに、属性項目「電話３」として、識別コード情報「７４００３４」と格納先情報としての「サーバ４」が対応して、すなわち紐付き情報として記憶されている。次いで、データサーバ５４には、属性項目「電話３」の識別コード情報「７４００３４」に「５６７８」が記憶されている。そして、この情報には、それ以上の紐付き情報はない。

　すなわち、属性項目「電話」は、先頭側から順に、「電話１」、「電話２」、「電話３」の３つに分割されている。そして、「電話」の属性項目の識別コード情報が、先頭の「電話１」の識別コード情報とされている。

　以上のように、各属性情報は、所定のルールで分割され、所定のルールで分散設定されて、データサーバ５１～５６に分散して記憶されている。分割のルールは、情報の基本単位で、乃至は所定の次元の単位で分割されている。あるいは、他の分割ルールとして、機械的に等分割としたり、また所定数に均等分割したりする態様でもよい。分割された属性情報を分割属性情報といい、分割属性情報を識別するコードを分割識別コード情報という。また、分散のルールは、乱数発生器からの発生乱数（本実施形態では、“１”～“６”の数値）を利用して無作為に設定するようにしてもよいし、予め設定されたルールを採用してもよい。なお、連続する分割属性情報が同じデータサーバで連続して格納されないようにすることが好ましい。

　閲覧許可付与部１１２は、ＵＳＢメモリ２の属性情報リスト記憶部２２に記憶されている属性情報リスト（図３参照）を表示部１５に表示した状態で、操作部１４の操作を通して、所要の属性項目の指示を行うものである。属性項目の指示は、自己の属性情報の内、所定の属性項目の内容を特定の会員に対して閲覧を許可するためのものである。上記の例で言えば、端末１ＡにＵＳＢメモリ２Ａが装着されて、会員Ａの例えば氏名と住所の属性項目について、いずれかの会員、例えば会員Ｂに閲覧を許可する場合である。閲覧許可付与部１１２は、閲覧を許可する属性項目の指示が終了すると、操作部１４によって指定された特定会員、例えば会員Ｂの情報と、指定操作内容及び閲覧許可信号を含む読出プログラムファイルとが会員サーバ３へ送信される。なお、閲覧の許可とは、会員Ｂが、会員Ａから、後述するように会員サーバ３を経由して受信した指定操作内容及び閲覧許可信号を含む読出プログラムファイルの実行を通して会員サーバ３の管理部４にアクセス（コール）することで、許可された会員Ａの氏名と住所の属性情報を閲覧乃至は取得することができることを意味する。また、閲覧許可相手としては会員を指定する他、会員端末の指定でもよい。

　この処理は、例えば、消費者である会員Ａが会員Ｂの商店で買い物を行い、本ネットワークシステムによって支払いを行う場合を想定している。この場合、商店である会員Ｂは会員Ａに請求書の発行を行う必要がある。そのためには、会員Ｂは、請求書に記載する会員Ａの氏名と住所とを知る必要があり、そこで、会員Ａは会員サーバ３を経由させて会員Ｂの端末１Ｂに、自己の個人情報である氏名と住所との閲覧を許可する処理を行う。また、他の例としては、会員Ａが団体等の会員Ｂから、ある種の証明書を発行してもらう場合、会員Ｂは会員Ａの所定の情報、例えば氏名、生年月日を知る必要がある。そこで、会員Ａは会員サーバ３を経由させて会員Ｂの端末１Ｂに、自己の個人情報である氏名と生年月日との閲覧を許可する処理を行う。指定操作内容は、具体的には、指示した属性項目の内容と、ＵＳＢメモリ２内の属性情報リスト、すなわち、属性項目、その識別コード情報及び格納先情報が定数値として置かれた読出プログラムファイルである。なお、端末１の処理負担を低減するためには、端末１Ａと１Ｂ間での閲覧許可付与情報に属性情報リストそのものを含めてもよい。なお、この場合、端末１Ｂが会員サーバ３にコールする際に、閲覧許可された属性項目についてのみの情報を送受する態様とすればよい。

　コール設定部１１３は、他の会員から受信した前記指定操作内容及び前記閲覧許可信号を添付してデータベース５に閲覧リクエストとしてのコール信号を生成するもので、生成されたコール信号は通信処理部１１８によって会員サーバ３に送信される。送信許可は、前述したように、他の会員からの受信信号中の閲覧許可信号の有無に基づいて判断されればよい。閲覧許可信号は予めルールが設定されていることが好ましい。この閲覧許可信号がない場合乃至は間違っている場合には、不正なアクセスとして判断することが可能となる。なお、閲覧許可信号は、特別に作成したものでもよいし、別の信号、例えば閲覧を許可する相手情報を兼用してもよい。

　読出プログラムファイル実行部１１４は、コール内容に対応した読出プログラムファイルを受信して実行するものである。

　暗号処理部１１５は、会員サーバ３との間で授受される情報に対する暗号化の他、ＵＳＢメモリ２の認証用情報や属性情報リストの内容に対しても同様に処理を行う。この結果、ＵＳＢメモリ２の認証用情報や属性情報リストの内容は、その時の暗号化プログラムによって暗号化されて記憶されている。従って、容易に解読することが阻止される。なお、この暗号化処理部１１５によって実行される暗号化プログラムと対となる復号化プログラムも同時に端末１に取り込まれており、ＵＳＢメモリ２から読み出された情報は、当該復号化プログラムを実行する復号処理部１１６によって復号される。次いで、会員サーバ３に送信されるなどの場合には、最新に受信されている暗号化、復号化プログラムで再度暗号化される。

　図４は、読出プログラムファイルの一例を示す図である。より詳細には、読出プログラムファイルＡのリストの一例を示すもので、定数値とロジック部分とを含んで構成されている。本実施形態では、定数値は、ロジック部分と関連付けられてプログラム内に記述(コーディング)され、コンパイルされたとき、実行可能ファイル(プログラムファイル)として一つのファイルに生成されるものである。ここでは、一律に読出プログラムファイルという。

　定数値とは、ロジック部分の実行の際にプログラム内に置かれて（導かれて）処理に供されるもので、今回の分割識別コード情報（ＩＤ）、今回の分割属性情報、今回の分割属性情報に対して分割順序で次（ＮＥＸＴ）の分割属性情報を識別する分割識別コード情報（ＩＤ）、及び当該次（ＮＥＸＴ）の分割属性情報の格納先情報の４つの情報が、これに相当する。なお、次（ＮＥＸＴ）の分割識別コード情報（ＩＤ）、及び当該次（ＮＥＸＴ）の格納先情報は、前述した紐付き情報である。また、分割順序の最後の分割属性情報の場合には、次の分割属性情報は存在しないので、最後の分割識別コード情報（ＩＤ）及び分割属性情報のみとなる。

　ロジック部分は、今回の分割属性情報の出力（ＯＵＴＰＵＴ）と、次（ＮＥＸＴ）の格納先情報、及び次（ＮＥＸＴ）の分割識別コード情報のコール（ＣＡＬＬ）を含む。この出力によって、分割属性情報が出力されて例えば表示部１５に表示される。コールは、次の格納先情報に従って、該当する読出プログラムファイルの読み出し要求を、前回と同様にして実行する。読出プログラムファイル実行部１１４は、かかる出力とコールとを指定された各属性項目の最後の分割属性情報まで終了すると、属性項目毎の分割属性情報を順番に結合して、表示部１５に表示する。例えば、会員Ａにおいて氏名の属性項目が指定された場合、「田中」と「太郎」とが順次出力され、最終的には「田中太郎」として結合され、表示部１５に表示される。なお、出力態様は表示部１５への表示の他、必要に応じてプリンタへの出力、スピーカからの音声出力でもよく、あるいはＲＡＭ１３内への一時的な書き込み処理のみであってもよい。

　管理部４は、後述するように、データサーバ５１～５６の分割属性情報の分散記憶状況を定期的乃至は不定期を含む所定の条件に従って変更する（変動させる）処理も実行する。更新処理部１１７は、管理部４によって、先頭の分割属性情報の格納先情報が変更された場合に、ＵＳＢメモリ２の該当する属性項目の格納先情報を書き換えるものである。管理部４による、分散記憶状況の変更処理は、ＵＳＢメモリ２が装着されている間に実行される場合、実行結果をその時点でＵＳＢメモリ２に反映する（更新する）ことが可能である。あるいは、時間的な余裕を考慮して、ＵＳＢメモリ２が装着されていない間に、変更処理を実行しておき、次に当該会員のＵＳＢメモリ２が端末１に装着された時に、先頭の属性情報に対して変更履歴があれば、まず更新処理を実行するようにしてもよい。

　制御部１１には、オペレーションシステム（ＯＳ）等が格納されたＲＯＭ１２、各種のアプリケーションソフトウエアや処理途中の情報を格納するＲＡＭ１３が接続されている。ＲＡＭ１３は、前述した汎用ＡＰ記憶部１３１、特定ＡＰ記憶部１３２、作成した文書、書面ファイルを格納するファイル記憶部１３３、受信した読出プログラムファイルを一時的に記憶する読出プログラムファイル記憶部１３４、暗号化プログラム記憶部１３５、及び復号化プログラム記憶部１３６を有する。

　図２に示される会員サーバ３の管理部４の構成の一実施形態について説明する。管理部４は、ＣＰＵから構成される制御部４１を備えている。制御部４１には、ＲＯＭ４２とＲＡＭ４３とが接続されている。制御部４１のＣＰＵは、ＲＡＭ４３上に展開されたプログラムを実行することによって、会員登録時における属性情報の分割及び分散記憶を行う登録処理部４１１、コール信号に応答して対応する読出プログラムのコール元の端末１への送出を制御する読出プログラムファイル送出部４１２、予め準備された複数の暗号化、復号化プログラムの選定を行う暗号／復号プログラム設定部４１３、端末１への送信情報を設定された暗号化プログラムによって暗号化する暗号処理部４１４、端末１からの受信情報を設定された復号化プログラムによって復号化する復号処理部４１５、分割属性情報の格納先を変更する（分散記憶先をシャッフルするなどのようにして変動させる）変更処理部４１６、及び通信処理部４１７として機能する。

　読出プログラムファイル送出部４１２は、格納先情報に該当するデータサーバを指定したコール信号が受信されると、当該データサーバに記憶されている定数値及びロジック部分を含む読出プログラムファイルを、コール元の端末１に返信するものである。

　なお、本実施形態では、図３で例示したように、会員ＡのＵＳＢメモリ２Ａ内の属性情報リストである読出プログラムファイルが会員サーバ３に送信されて一時的に格納され、後に会員Ｂから当該会員Ａの属性情報リストの取得リクエストがあった際に、前記一時的に格納しておいた会員Ａの読出プログラムファイルを端末１Ｂに送信するようにしている。すなわち、会員Ｂによる会員Ａの属性情報の取得処理が、会員Ａの属性情報リストである読出プログラムファイルの実行によって開始されるようにしている。このとき、会員Ａの読出プログラムファイルにＵＳＢＩＤを添付しておき、会員サーバ３の管理部４が、このＵＳＢＩＤの有無を監視して、不正に作成された不正読出プログラムファイルか否かを判断するようにしてもよい。あるいは、会員サーバ３の管理部４は、会員Ａの読出プログラムファイルを端末１Ｂに送信した後、端末１Ｂから、読出プログラムファイルに添付されていた前記ＵＳＢＩＤを問い合わせ信号として受信したか否かで不正の有無を判断するようにしてもよい。この場合、端末１Ｂは、会員サーバ３から受信した会員Ａの読出プログラムファイルをそのままでは実行することができず、前記問い合わせ信号の受信に応答して管理部４から端末１Ｂへ返信される実行解禁信号を受信したことを実行条件としている。このように問い合わせ処理を活用することで、読出プログラムファイルがキャプチャされても、なりすましによる属性情報全体の不正搾取行為を阻止することができる。なお、会員Ａが自己の属性情報を確認する場合、前記問い合わせ処理を省略してもよいが、同様に実行する方が好ましい。

　暗号／復号プログラム設定部４１３は、対となる暗号化プログラムと復号化プログラムとを暗号化・復号化プログラム記憶部４３１に多数準備しておき、そのうちから、会員サーバ３から端末１側へ送信される情報に対して、及び端末１側から会員サーバ３へ送信される情報に対して、それぞれ暗号化と復号化とを実行する暗号化プログラムと復号化プログラムとを変更するものである。暗号／復号プログラム設定部４１３は、端末１側に、設定された暗号化プログラム、復号化プログラムを送信し、ＲＡＭ１３の暗号化プログラム記憶部１３５、復号化プログラム記憶部１３６に格納させる。暗号／復号プログラム設定部４１３は、ＵＳＢメモリ２が装着されて属性情報の閲覧処理が実行される毎に、変更処理が実行されることが好ましい。しかし、これに限定されず、会員が操作部１４を介して操作した場合、また、閲覧処理回数が所定回数に達する毎に、あるいは所定時間が経過する毎に、変更処理するようにしてもよい。

　準備される暗号の種類としては、コンピュータで処理可能な範囲において、種々の方式が採用可能である。例えば、一般形式中の、文字または語句等を他文字または記号（群）で置き換える換字式としては、単一の文字を他の文字・記号（群）に換える文字置換式や、２文字や３文字等の文字群を他の文字や記号（群）に換える綴字換字式や、文字、単語、句及び短文等を単位として他の文字や記号群に換える辞書式や、２種以上の換字表を作って規則に従って表を変えながら暗号化してゆく多表式や、数字（文字）化した単一形式の暗号文に乱数（字）を加えて暗号化する乱数（字）式や、更新が頻繁にできない辞書式または綴字式暗号で暗号化した暗号文をしばしば更新する文字換字、綴字換字式で暗号化する２次式や、最初の部分を鍵として暗号化して後は原文または暗号を鍵として逐次暗号化してゆく連鎖式や、ストリップという細片に不規則にアルファベットが２回繰り返してあるものを数十回使用して暗号化するストリップ式がある。また、文字または単語を基本として、文章と異なる配列に置き換える転置式もある。そして、同一方式の暗号化でも、具体的なやり方を微妙に変更する等によって得られる暗号を、別の暗号として扱えば、多数の暗号化プログラムが準備できる。

　暗号処理部４１４及び復号処理部４１５は、いずれかの端末１から受信した情報を当該端末１との間で直近に設定されている復号化プログラムで復号し、当該復号化した情報を他の端末１に送信する前に、当該他の端末１との間で直近に設定されている暗号化プログラムで暗号化する。

　変更処理部４１６は、分割属性情報の格納先を変更する（変動させる）もので、ＵＳＢメモリ２が装着されて属性情報の閲覧処理が実行される毎に、変更処理が実行される。変更処理は、例えば、図３の例で説明すれば、属性項目の「氏名」において、分割属性情報である「名」の「太郎」の格納先を「サーバ５」から、例えば「サーバ３」に変更する等である。この場合、データサーバ５１のＮＥＸＴの格納先情報を「サーバ５」から「サーバ３」に書き換えると共に、変更前のデータサーバ５５にある「ＩＤ：００６１２５，名，太郎」の情報を、変更後のデータサーバ５３に書き換えるものである（かつ、データサーバ５５からは削除されることになる）。なお、上記において、データサーバ５１の「ＩＤ：４００２００１，姓，田中」の情報が他のデータサーバに書き換えられる場合には、ＵＳＢメモリ２の該当する属性項目のうちの格納先情報が、更新処理部１１７によって更新される。

　ＲＡＭ４３のシャッフル関係記憶部４３２は、変更処理部４１６によって会員毎に変更された結果を記憶するものである。例えば、当初の会員登録時に、先頭の分割属性情報の格納先情報が「サーバ１」であったものが、次に「サーバ３」に変更された場合に、ＵＳＢメモリ２の属性情報リストの内容が更新されるまでの間は、端末１からの当該会員の当該属性項目に対する閲覧リクエストに係るコールが、「サーバ１」であれば、シャッフル関係記憶部４３２を参照して、コール先を変更後の「サーバ３」に変更するようにしている。そして、ＵＳＢメモリ２の内容が更新された場合には、シャッフル関係記憶部４３２の当該会員の格納先情報の変更情報を削除する等すればよい。なお、ＵＳＢメモリの内容を更新しない態様も採用可能であり、この場合、シャッフル関係記憶部４３２には、変更がある都度、最初の格納先情報と直近の格納先情報との対照表を作成することで対応可能となる。

　次に、図５～図１５を用いて、端末１、会員サーバ３の動作について説明する。図５は、管理部４の制御部４１によって実行される会員情報の登録処理の手順を説明するフローチャートである。まず、入会会員の各属性項目の内容が入力されると、それらの属性情報が所定のルールに従って、例えば先頭側から（すなわち、一方端から他方端に向けて）、順序付けて分割されて分割属性情報が作成され、作成された分割属性情報に、その次の分割属性情報の分割識別コード情報及び格納先情報が紐付き情報として設定される（ステップＳ１）。ここに、属性項目の順序をｃで表し、分割順序をｄで表すとする。次いで、値ｃが０にセットされ（ステップＳ３）、かつｃ＝ｃ＋１が算出される（ステップＳ５）。次いで、値ｄが０にセットされ（ステップＳ７）、かつｄ＝ｄ＋１が算出される（ステップＳ９）。

　続いて、値ｃ＝１において、値ｄの先頭である１番から最後Ｄまで（ステップＳ１５でＮＯ）、順にデータベース５のデータサーバ５１～５６のいずれかに格納される情報である読出プログラムファイルが作成され（ステップＳ１１）、送信される（ステップＳ１３）。この送信は、好ましくは情報を暗号化して行われる。暗号化は、後述するように予め当該端末１と会員サーバ３との間で設定された暗号化、復号化プログラムの内の暗号化プログラムによって行われる。そして、次に呼び出しがあるまでは、当該暗号化プログラムで暗号化された状態で記憶が維持される。これにより、会員サーバ３側での情報の秘匿性が保持される。

　値ｃ＝１の属性項目の分割属性情報の送信が終了すると、全ての属性項目について分割属性情報の送信処理が終了するまで（ステップＳ１７でＹＥＳ）、ｃ＝ｃ＋１によって順次次の属性項目について同様な処理が繰り返し実行される。そして、全ての属性項目について分割属性情報の送信処理が終了すると、本フローが終了する。

　図６は、端末１の制御部１１によって実行されるＵＳＢメモリ２の装着判定処理の手順を説明するフローチャートである。まず、ＵＳＢポートＰ１に対して周期的にハンドシェイク信号の送信が行われて、ＵＳＢポートＰ１の状態が判断される（ステップＳ２１）。このとき、ＵＳＢポートＰ１にＵＳＢメモリ２が装着されていれば、ハンドシェイク信号に応答して応答信号が返信されることで、装着が確認される（ステップＳ２３）。一方、ＵＳＢメモリ２が装着されていなければ、応答信号は返信されず（ステップＳ２１でＮＯ）、本フローを抜ける。次いで、応答信号が返信されてくると、ＵＳＢメモリ２が装着されているとして、特定ＡＰが実行可能な状態にされる（ステップＳ２５）。

　図７は、端末１の制御部１１によって実行される会員情報の閲覧許可付与処理の手順を説明するフローチャートである。まず、閲覧を許可する相手先の会員の指定の操作の有無が判断され（ステップＳ３１）、指定操作があれば、次に閲覧を許可する属性項目の指定の操作の有無が判断される（ステップＳ３３）。属性項目の指定操作があったと判断されると、属性情報リスト及び指定された属性項目の情報を含む読出プログラムファイルに許可する相手先の端末１情報が付されて閲覧許可付与信号として、会員サーバ３の管理部４に送信される（ステップＳ３５）。なお、相手先の端末１の指定時点は、属性項目の指定の前後のいずれでもよい。また、会員サーバ３の管理部４へ送信される閲覧許可付与信号は、当該端末１との間で設定されている暗号化プログラムによって暗号化されて送信される。従って、管理部４では、受信した後、設定されている復号化プログラムで復号化することになる。

　図８は、端末１の制御部１１によって実行される会員情報の閲覧許可情報の受信処理の手順を説明するフローチャートである。まず、新たに閲覧許可付与信号が会員サーバ３の管理部４から受信されたか否かが判断され（ステップＳ４１）、受信されたのであれば、端末１のバッファ部（ＲＡＭ１３内の所定バッファ領域でもよい）に取り込まれる（ステップＳ４３）。次いで、端末１が動作中か否かが判断され（ステップＳ４５）、動作中であれば、例えば電子メールの受信履歴に、例えば経時方向に従ってリスト的に書き込まれる（ステップＳ４９）。一方、端末１が動作中でなければ、起動を待って（ステップＳ４７でＹＥＳ）、ステップＳ４９で、電子メールの受信履歴に書き込まれる。なお、新たな閲覧許可付与信号でなく（ステップＳ４１でＮＯ）、また端末１が非動作（電源オフ）中（ステップＳ４７でＮＯ）は、本フローを抜ける。なお、この場合も、相手先の端末１との間で、後述するように予め設定されている暗号化、復号化プログラムを用いて、閲覧許可付与信号は、会員サーバ３側で暗号化され、相手先の端末１側で復号化される。

　また、図７、図８において、閲覧許可付与信号は、閲覧を許可する端末１から閲覧が許可される端末１へ直接、あるいは会員サーバ３への送信と並列的に送信する態様であってもよい。なお、会員サーバ３を経て行う（間接的な）本実施態様も、実質的には、閲覧を許可する端末１から閲覧が許可される端末１へ送信されたことになる。

　図９は、端末１の制御部１１によって実行されるＵＳＢメモリ２への書込処理の手順を説明するフローチャートである。まず、ＵＳＢメモリ２の装着の有無が判断され（ステップＳ６１）、装着されていると判断されると、会員サーバ３に書き込まれた自己の属性情報から、属性項目毎に先頭の分割識別コード情報、及びその格納先情報が暗号化されて書き込まれ、これにより属性情報リストの書き込みが行われる（ステップＳ６３）。

　図１０は、端末１の制御部１１によって実行される会員情報の取得リクエスト（会員サーバ３へのコール）処理の手順を説明するフローチャートである。まず、ＵＳＢメモリ２の装着の有無が判断され（ステップＳ７１）、装着されていると判断されると、操作部１４からのコールのための操作の有無が判断される（ステップＳ７３）。コールのための操作があると、閲覧許可情報に基づいてコール信号が作成され、更に暗号化される（ステップＳ７５）。次いで、この最初のコール信号が会員サーバ３の管理部４に送信される（ステップＳ７７）。なお、会員サーバ３の管理部４側では、データサーバ５１～５６のうちから、コール信号に含まれる属性項目の格納先情報に対応するデータサーバを指定する。

　図１１は、管理部４の制御部４１によって実行される読出プログラムファイルの返信処理の手順を説明するフローチャートである。まず、（最初のコールを含む）コールの有無が判断され（ステップＳ９１）、コールがあると、受信されたコール信号に対する復号化処理が実行される（ステップＳ９３）。次いで、コール信号内の格納先情報に対応するデータサーバが選定され（ステップＳ９５）、続いて、コール信号内の分割識別コード情報に対応する読出プログラムファイルの情報が選定されて、暗号化される（ステップＳ９７）。そして、暗号化された情報がコール元の端末１に返信される（ステップＳ９９）。なお、ステップＳ９１で、コールがなければ、本フローを抜ける。

　図１２は、端末１の制御部１１によって実行される読出プログラムファイルの実行処理の手順を説明するフローチャートである。まず、会員サーバ３から返信信号、すなわち読出プログラムファイルの受信の有無が判断され（ステップＳ１１１）、受信されたのであれば、復号化が実行されて（ステップＳ１１３）、当該読出プログラムファイルが実行され、実行結果が表示部１５に出力される（ステップＳ１１５）。一方、ステップＳ１１１で、返信信号の受信がなければ、本フローを抜ける。

　次いで、今回受信した返信信号内に、紐付き情報、すなわち次の順序の分割識別コード情報及びその格納先情報の有無が判断される（ステップＳ１１７）。次の紐付き情報があれば、次の順序の分割識別コード情報及びその格納先情報に基づいてコール信号が作成され、かつ暗号化されて（ステップＳ１１９）、会員サーバ３の管理部４に送信されて（ステップＳ１２１）、本フローを終了する。一方、ステップＳ１１７で、次の紐付き情報がなければ、閲覧許可した属性項目の全てが終了したか否かが判断され（ステップＳ１２３）、残りの属性項目があれば、次の属性項目に該当する属性情報リストの情報に基づいてコール信号が作成され、かつ暗号化されて（ステップＳ１２５）、会員サーバ３の管理部４に送信される（ステップＳ１２７）。一方、ステップＳ１２３で閲覧許可した全ての属性項目についてコール処理が終了したのであれば、本フローを終了する。そして、ステップＳ１２１、Ｓ１２７でのコール信号の送信後には、会員サーバ３からの返信信号の待機状態（ステップＳ１１１でＮＯ）となる。

　なお、実行済みの読出プログラムファイルは直ちに削除されてもよいが、本実施形態では、以下のように、所定の処理の終了後に削除されるようにしている。すなわち、分割の順序で互いに隣接する２つの読出プログラムファイルを、“親子”の読出プログラムファイルに例える場合に、今回返信されてきた子供の読出プログラムファイルに対し、復号後に、その返信の元となった直前に返信された親の読出プログラムファイルとの間で親子関係の認証処理が、ステップＳ１１５において、先ず実行される。親子関係の認証のための情報は、例えばいわゆる割り符的な情報で作成されており、（子供の読出プログラムファイルを読み出すための）子供のコール信号の作成時に作成してもよいし、あるいは入会時の読出プログラムファイルの登録時点、例えば、属性情報の分割処理時に作成し、データベース５への登録時に同時に記憶するようにしてもよい。親子認証において、認証が否定されると、子供の読出プログラムファイルが不正に作成された可能性があることがわかる。認証が否定された場合、当該子供の読出プログラムファイルの実行が中止され、不正アクセスに対する秘匿性を確保している。そして、親の読出プログラムファイルは、かかる認証処理の終了後に削除されればよい。また、閲覧許可が付与された属性項目の全てについて読出プログラムファイルが実行されたことを条件に、実行結果が表示部１５に出力される態様とした場合には、処理途中で、かかる認証否定のような不正アクセスが発見された場合には、属性情報は一切表示部１５に表示されないため、好ましい。

　図１３は、管理部４の制御部４１によって実行される暗号化、復号化プログラムの変更処理の手順を説明するフローチャートである。まず、変更条件になったか否かが判断される（ステップＳ１４１）。変更条件とは、会員情報の取得処理の前後の一方が考えられる。会員情報の取得処理の前とは、最初のコール信号を発する前に管理部４とのハンドシェイク（セッション）信号の授受の段階であり、会員情報の取得処理の後とは、一連のコール信号に対する返信信号の送出が終了し、回線が切られる前の時点である。あるいは、会員サーバ３との間で情報通信が発生する度であってもよいし、予め設定された、時間毎に、あるいは時刻でもよく、さらには通信回数や通信量毎でもよい。

　変更条件が満たされていると、暗号化、復号化プログラムのシャッフルが実行される（ステップＳ１４３）。シャッフル処理は無作為でもよいし、所定のルールに基づいてもよい。所定のルールには、前述した時刻、通信情報量、通信回数の各情報の少なくとも１つが含まれることが、実質的に無作為に近くなることから望ましい。なお、暗号化、復号化プログラムは、ある１つの端末１と会員サーバ３との間での情報通信に採用されるもので、情報の授受が行われる態様（典型的には、ある１つの端末１側からの前記コール信号と、それに応答しての会員サーバ３からの返信信号、すなわち往路と復路と）で、異なる暗号化プログラムを使用することが好ましく、従って、このフローチャートでは、２対の暗号化、復号化プログラムが変更設定されることになる。

　次いで、変更された各対の暗号化、復号化プログラムの一方が、コール元の端末１に送信されて（ステップＳ１４５）、本フローを終了する。なお、各端末１に送信された暗号化、復号化プログラムは、閲覧可能な状態でシャッフル関係記憶部３２に書き込まれている。

　図１４は、管理部４の制御部４１によって実行される分割属性情報の格納先の変更処理の手順を説明するフローチャートである。まず、閲覧が許可された相手先の会員による会員情報の取得処理が終了したか否かが判断され（ステップＳ１５１）、終了していると、閲覧を許可した会員の属性項目毎に、分割属性情報の格納先の変更処理が実行される（ステップＳ１５３）。

　変更処理は、当該閲覧を許可した会員の少なくとも１種類の属性項目について行われればよく、また全ての属性項目について行われてもよい。なお、変更処理が任意の属性項目について行われる態様では、その都度異なる属性項目に対して実行されてもよい。また、属性項目の先頭の分割属性情報（本実施形態では、図３に示すように、ＵＳＢメモリ２の属性情報リストの属性情報と同一）の格納先情報の変更、及び分割順序で２番目以降となる分割属性情報の格納先情報（前述の紐付き情報に相当）の変更とが考えられるが、本発明は少なくとも一方に対する変更が行われればよい。変更処理は、より具体的には、対象となる属性項目について、対象となる分割属性情報の紐付き情報部分の書き換えと、実際に定数値として格納されているデータサーバ間の書き換えとからなる。変更先の設定処理は、対象となる分割属性情報を順次選定し、それぞれについて無作為乃至は所定のルールに従って、現在のデータサーバ５１～５６から他のいずれかのデータサーバ５１～５６になるかを設定することで実行される。

　変更処理が終了すると、データサーバ５１～５６に対して、実際の情報の書き換え処理が実行される（ステップＳ１５５）。書き換えは、紐付き部分の格納先情報の変更処理、及び変更前後間でのデータサーバに対する分割属性情報、分割識別コード情報及び格納先情報の更新である。

　次いで、先頭の分割属性情報の格納先が変更されたか否かが判断される（ステップＳ１５７）。先頭の分割属性情報の格納先が変更された場合には、ＵＳＢメモリ２の属性情報リストのうち、対象となる属性項目の格納先情報を更新する必要があるため、変更結果を当該閲覧を許可した会員の端末１に送信される（ステップＳ１５９）。

　図１５は、端末１の制御部１１によって実行される属性情報リストの更新処理の手順を説明するフローチャートである。まず、ＵＳＢメモリ２の装着の有無が判断され（ステップＳ１７１）、装着されていると判断されると、会員サーバ３から、格納先の変更結果情報が受信されたか否かが判断される（ステップＳ１７３）。格納先の変更結果情報が受信されたのであれば、変更結果に従って、装着中のＵＳＢメモリ２の属性情報リスト中の該当する属性項目の格納先情報が更新される（ステップＳ１７５）。一方、ステップＳ１７１で、ＵＳＢメモリ２が抜かれていた場合には、情報の秘匿性から、情報の受信は行われず、本フローを終了する。なお、ＵＳＢメモリ２の属性情報リスト中の一部情報の更新は、属性リストが読出プログラムファイルの形で暗号化されて記憶されているため、一旦、読出プログラムファイルを端末１側に読み出して復号化し、所定の更新処理を施した後、再度暗号化してＵＳＢメモリ２に書き込むことで行われる。

　なお、本発明は、以下の態様が採用可能である。

（１）会員情報の取得処理は自己の端末１から行うように制限を掛けてもよい。判断は、例えば、装着されたＵＳＢメモリ２の認証情報と端末１に予め設定された識別情報とを照合することで可能である。

（２）特定ＡＰ記憶部１３２に記憶される特定アプリケーションソフトウエアは会員サーバ３乃至はそれに相当するプログラム認証サーバに格納されており、このプログラム認証サーバからダウンロードされ、インストールされる態様とすることが好ましい。これにより、プログラム認証サーバに対してウイルス対策を施しておくことで、端末１にインストールされた特定アプリケーションソフトウエアを適正状態で実行することが可能となる。また、この場合に、特定アプリケーションソフトウエアを保証のない外部から取得したり、また自作することが考えられる。かかるプログラムに対しては、プログラムやヘッダ情報等利用して作成したコード情報（ハッシュ値コード等）を活用し、周期的にハッシュ値コードを算出し、最初のコードと照合することで、ウイルス感染の可能性を判断することができ、ウイルス感染の可能性のあるアプリケーションソフトウエアの実行を効果的に禁止し得るようにしている。

（３）データサーバの個数を６個としたが、これに限定されず、属性項目の種類数、属性情報の分割数、及び分散性の確保の点から、適宜の個数が設定可能である。

（４）変動させる情報に、格納先情報の他、分割属性コード情報を含めて、秘匿性をより向上させてもよい。

（５）本実施形態では、会員ＩＤをパスワードとして入力し、ＵＳＢメモリ２が正当な会員によって端末１に装着されたか否かを認証する処理については説明を省略したが、パスワードによって認証を行うことが好ましい。認証方法としては、ＵＳＢメモリ２が端末１に装着された時点で、パスワードの入力を催促する画面を表示させ、所要のパスワードを受け付けて、ＵＳＢＩＤとペアで会員サーバ３に送信し、会員サーバ３に予め格納されている照合用の各会員の会員ＩＤと照合することで正当会員か否かを判断するようにしている。不一致の場合には、会員サーバ３側から送信される禁止信号を受けて、端末１の特定ＡＰの実行が全て禁止される処理が施される。また、会員認証の他の方法として、以下の方法も考えられる。例えば、他の情報通信手段を用いて、会員サーバ３との間で通信を行い、端末１にＵＳＢメモリ２を装着した者の正当性を判定する方法である。この場合、会員サーバ３は、前記他の情報通信手段と通信可能な通信機能を備えた構成であり、受信情報と入会時に登録された前記情報通信手段の識別情報とを照合する機能、照合結果に従って正当か否かを判定し、端末１に動作の許否信号を発する機能をさらに備えればよい。

　以上のとおり、本発明は、会員を識別するための複数の属性項目の各情報を記憶するサーバからネットワークを介して、アクセス元である、会員の所持する情報処理端末に上記データを選択的に送信し、出力部に導く情報管理システムにおいて、前記サーバは、各属性項目内の属性情報が所定のルールで一方端側から他方端側に向けて順序付けて少なくとも２以上に分割された分割属性情報のそれぞれについて、分割属性情報及び当該分割属性情報を識別するための分割識別コード情報と、前記順序付けにおける次の順序の分割属性情報の分割識別コード情報及び前記次の順序の分割属性情報の所在を示すための格納先情報とを定数値として置くための読出プログラムファイルがそれぞれ分散して格納される複数の情報記憶部と、指定された前記情報記憶部から分割識別コード情報に対応した読出プログラムファイルをアクセス元の情報処理端末に返信する読出プログラムファイル送出手段とを備え、前記情報処理端末は、会員の属性情報のうちの前記一方端から前記他方端までの各分割識別コード情報及び対応する格納先情報を指定用として、順次、格納先情報に対応した情報記憶部に送信すると共に前記情報記憶部から前記分割識別コード情報に対応する前記読出プログラムファイルを受信する端末通信処理手段と、受信した前記読出プログラムファイルを実行して、前記属性項目の各分割属性情報を前記出力部に読み出すと共に、順次次の分割識別コード情報を当該分割識別コード情報の格納先情報に対応する前記情報記憶部に送信するべく前記端末通信処理手段に読み出すプログラム実行処理手段とを備えたことを特徴とするものである。

　これによれば、１つの属性情報が、複数の分割属性情報に分割される。また、サーバは複数の情報記憶部を有し、各分割属性情報に対する分割識別コード情報及びその格納先情報によって、複数の情報記憶部に分散して記憶される。従って、１つの分割属性情報が仮に盗聴されても、この情報には、次の順序の分割識別コード情報と格納先情報とが得られるのみで、さらにサーバに侵入乃至はキャプチャしなければ、分割情報を採取することができない。しかも、分割された情報を紐付き情報にて関係付け、情報記憶部へのコール時に属性情報が含まれないようし、かつ属性情報を読出プログラムファイルの定数値として設定することでサーバからの返信も解読が困難となって、情報自体の盗難防止が図られる。

　また、前記プログラム実行処理手段は、読み出した分割属性情報を順序付けに従って結合し、前記出力部に再生するようにすることが好ましい。この構成によれば、分割された属性情報が自動的に再生される。

　また、前記端末通信処理手段は、会員の属性項目についての前記一方端の分割識別コード情報及びその格納先情報を他の会員の情報処理端末から受信した場合に、当該前記一方端の分割識別コード情報及びその格納先情報の前記前記情報記憶部への送信が許可されることが好ましい。この構成によれば、閲覧許可の付与元である会員から端末によって直接、間接的に（すなわち前記サーバを経由して）送信された閲覧許可の信号が受信され、この受信情報を用いて、当該会員の属性情報を取得するコールが可能となるので、不正アクセス（コール）が防止でき、またコール時の操作が容易となる。

　また、前記情報処理端末は、第１、第２の操作部と、会員が所持する携行型の会員用外部記憶媒体が着脱可能な接続部とを備え、前記会員用外部記憶媒体には、所持者である会員の前記属性項目毎の前記一方端の分割識別コード情報及び対応する格納先情報が記憶されており、前記端末通信処理手段は、前記会員用外部記憶媒体が前記接続部に接続されて前記情報処理端末と通信可能にされた状態で、前記第１の操作部によって選択された前記会員用外部記憶媒体の記憶内容の全部又は一部の属性項目の前記一方端の分割識別コード情報及び対応する格納先情報を、前記第２の操作部によって指定された前記情報処理端末の情報を付して前記サーバに送信し、前記サーバによって、前記一方端の分割識別コード情報及び対応する格納先情報を前記第２の操作部によって指定された前記情報処理端末に送信することが好ましい。この構成によれば、会員用外部記憶媒体内の記憶情報を用いて第１の操作部で所望の指定操作が容易になる。なお、会員用外部記憶媒体内の記憶情報は読出プログラムファイルの形式であることが秘匿性の点から望ましい。

　また、前記ネットワーク上に前記情報記憶部を管理する管理サーバを備え、前記管理サーバは、所定の条件毎に、前記情報記憶部に記憶された、次の順番の分割属性情報に対応する分割識別コード情報の格納先を前記情報記憶部間で変更すると共に、前記変更内容に従って、変更前の前記情報記憶部の内容を変更後の情報記憶部に書き換える変更処理手段を備えることが好ましい。この構成によれば、いわゆる紐付き情報及びその分割属性情報の格納箇所を適宜に変更することが可能となり、不正アクセスに対して高い秘匿性が図れる。

　また、前記変更処理手段は、前記変更される情報が前記一方端の分割属性情報の格納先情報である場合、前記接続部に装着された前記会員用外部記憶媒体の内容を更新する更新指示信号を、前記会員用外部記憶媒体が前記接続部に装着された情報処理端末に送信し、前記情報処理端末は、受信した更新指示信号に従って、装着された前記会員用外部記憶媒体の内容を更新する更新処理手段を備えることが好ましい。この構成によれば、属性情報の内の一方端、例えば先頭側の分割属性情報を変更して、会員用外部記憶媒体の内容を更新するので、更新が行われていない外部記憶媒体を不正物としてチェックすることが可能となる。

　また、前記所定の条件は、前記会員用外部記憶媒体が前記接続部に装着された場合であるとすることが好ましい。この構成によれば、会員用外部記憶媒体が接続部に装着されると、格納先が変更されるので、不正なアクセスによって特定の情報を盗聴することが不可となる。

　また、前記変更処理手段は、前記変更を無作為に行うことが好ましい。この構成によれば、格納先の予想が立たないため、不正アクセスが効果的に防止される。

　また、前記変更処理手段は、前記書き換えを会員単位で行うことが好ましい。この構成によれば、各会員の事情に応じて乃至はそれとは無関係に書き換えが行われるので、特定会員を狙った不正アクセスが効果的に防止される。

　また、前記変更処理手段は、前記書き換えを会員個々の属性項目単位で行うことが好ましい。この構成によれば、会員の属性情報の一部についての格納先の変更を可能とすることで、弾力性に富んだ変更処理が可能となる。

　また、前記管理サーバは、前記情報処理端末に送信する読出プログラムファイルを暗号化するサーバ暗号化処理手段と、前記情報処理端末から暗号化されて送信される情報を復号化するサーバ復号化処理手段とを備え、前記情報処理端末は、前記サーバに送信する情報を暗号化する端末暗号化処理手段と、前記サーバから受信する暗号化された読出プログラムファイルを復号化する端末復号化処理手段とを備えていることが好ましい。この構成によれば、情報処理端末と管理サーバとの間で授受される情報を暗号化して行うので、秘匿性が向上する。

　また、前記管理サーバは、互いに対応する暗号化プログラム及び復号化プログラムを複数備え、前記会員用外部記憶媒体が装着された状態の情報処理端末との通信毎に、その内から所定の暗号化プログラム及び復号化プログラムの対が設定され、設定された暗号化プログラム及び復号化プログラムの対が当該情報処理端末に送信されることが好ましい。この構成によれば、会員用外部記憶媒体が情報処理端末に装着される毎に、暗号化プログラムが変更されるので、秘匿性が向上する。

　また、前記情報処理端末は、第３の操作部を備え、前記端末通信処理手段は、前記属性情報の順序付けの前記一方端の分割属性情報に関する分割識別コード情報及び格納先情報に対する前記第３の操作部からの送信指示を受け付けて、送信を行うものであることが好ましい。この構成によれば、いわゆる先頭の識別コードや格納先と言った属性情報そのものではない情報を指示する操作で属性情報が最終的に結合して再生されるため、指示操作が容易となる。

　また、前記属性項目には、氏名及び住所が含まれることが好ましい。この構成によれば、氏名や住所といった基本的な個人の属性情報を高い秘匿性の元で保護することが可能となる。

　１　端末（情報処理端末）
　１１　制御部
　１１１　認証処理部
　１１２　閲覧許可付与部
　１１３　コール設定部（端末通信処理手段の一部）
　１１４　読出プログラムファイル実行部（端末通信処理手段の一部、プログラム実行処理手段）
　１１５　暗号処理部
　１１６　復号処理部
　１１７　更新処理部（更新処理手段）
　１１８　通信処理部１１８（端末通信処理手段の一部）
　１３２　特定ＡＰ記憶部
　１３４　読出プログラムファイル記憶部
　１４　操作部
　１５　表示部（出力部）
　２　ＵＳＢメモリ（会員用外部記憶媒体）
　２２　属性情報リスト記憶部
　３　会員サーバ（サーバ）
　４　管理部（管理サーバ）
　４１　制御部
　４１１　登録処理部
　４１２　読出プログラムファイル送出部（読出プログラムファイル送出手段）
　４１３　暗号／復号プログラム設定部
　４１４　暗号処理部（サーバ暗号化処理手段）
　４１５　復号処理部（サーバ復号化処理手段）
　４１６　変更処理部（変更処理手段）
　４１７　通信処理部
　４３１　暗号化・復号化プログラム記憶部
　４３２　シャッフル関係記憶部
　５　データベース
　５１～５６　データサーバ（情報記憶部）
　７　ネットワーク

Claims

会員を識別するための複数の属性項目の各情報を記憶するサーバからネットワークを介して、アクセス元である、会員の所持する情報処理端末に上記データを選択的に送信し、出力部に導く情報管理システムにおいて、
　前記サーバは、
　各属性項目内の属性情報が所定のルールで一方端側から他方端側に向けて順序付けて少なくとも２以上に分割された分割属性情報のそれぞれについて、分割属性情報及び当該分割属性情報を識別するための分割識別コード情報と、前記順序付けにおける次の順序の分割属性情報の分割識別コード情報及び前記次の順序の分割属性情報の所在を示すための格納先情報とを定数値として置くための読出プログラムファイルがそれぞれ分散して格納される複数の情報記憶部と、
　指定された前記情報記憶部から分割識別コード情報に対応した読出プログラムファイルをアクセス元の情報処理端末に返信する読出プログラムファイル送出手段とを備え、
　前記情報処理端末は、
　会員の属性情報のうちの前記一方端から前記他方端までの各分割識別コード情報及び対応する格納先情報を指定用として、順次、格納先情報に対応した情報記憶部に送信すると共に前記情報記憶部から前記分割識別コード情報に対応する前記読出プログラムファイルを受信する端末通信処理手段と、
　受信した前記読出プログラムファイルを実行して、前記属性項目の各分割属性情報を前記出力部に読み出すと共に、順次次の分割識別コード情報を当該分割識別コード情報の格納先情報に対応する前記情報記憶部に送信するべく前記端末通信処理手段に読み出すプログラム実行処理手段とを備えたことを特徴とする情報管理システム。
前記プログラム実行処理手段は、読み出した分割属性情報を順序付けに従って結合し、前記出力部に再生することを特徴とする請求項１に記載の情報管理システム。
前記端末通信処理手段は、会員の属性項目についての前記一方端の分割識別コード情報及びその格納先情報を他の会員の情報処理端末から受信した場合に、当該前記一方端の分割識別コード情報及びその格納先情報の前記情報記憶部への送信が許可されることを特徴とする請求項１又は２に記載の情報管理システム。
前記情報処理端末は、第１、第２の操作部と、会員が所持する携行型の会員用外部記憶媒体が着脱可能な接続部とを備え、
　前記会員用外部記憶媒体には、所持者である会員の前記属性項目毎の前記一方端の分割識別コード情報及び対応する格納先情報が記憶されており、
　前記端末通信処理手段は、前記会員用外部記憶媒体が前記接続部に接続されて前記情報処理端末と通信可能にされた状態で、前記第１の操作部によって選択された前記会員用外部記憶媒体の記憶内容の全部又は一部の属性項目の前記一方端の分割識別コード情報及び対応する格納先情報を、前記第２の操作部によって指定された前記情報処理端末の情報を付して前記サーバに送信し、
　前記サーバは、前記一方端の分割識別コード情報及び対応する格納先情報を前記第２の操作部によって指定された前記情報処理端末に送信することを特徴とする請求項１～３のいずれかに記載の情報管理システム。
前記ネットワーク上に前記情報記憶部を管理する管理サーバを備え、
　前記管理サーバは、所定の条件毎に、前記情報記憶部に記憶された、次の順番の分割属性情報に対応する分割識別コード情報の格納先を前記情報記憶部間で変更すると共に、前記変更内容に従って、変更前の前記情報記憶部の内容を変更後の情報記憶部に書き換える変更処理手段を備えたことを特徴とする請求項４に記載の情報管理システム。
前記変更処理手段は、前記変更される情報が前記一方端の分割属性情報の格納先情報である場合、前記接続部に装着された前記会員用外部記憶媒体の内容を更新する更新指示信号を、前記会員用外部記憶媒体が前記接続部に装着された情報処理端末に送信し、
　前記情報処理端末は、受信した更新指示信号に従って、装着された前記会員用外部記憶媒体の内容を更新する更新処理手段を備えることを特徴とする請求項５に記載の情報管理システム。
前記所定の条件は、前記会員用外部記憶媒体が前記接続部に装着された場合であることを特徴とする請求項５又は６に記載の情報管理システム。
前記変更処理手段は、前記変更を無作為に行うことを特徴とする請求項５～７のいずれかに記載の情報管理システム。
前記変更処理手段は、前記書き換えを会員単位で行うことを特徴とする請求項５～８のいずれかに記載の情報管理システム。
前記変更処理手段は、前記書き換えを会員個々の属性項目単位で行うことを特徴とする請求項５～８のいずれかに記載の情報管理システム。
前記管理サーバは、前記情報処理端末に送信する読出プログラムファイルを暗号化するサーバ暗号化処理手段と、前記情報処理端末から暗号化されて送信される情報を復号化するサーバ復号化処理手段とを備え、
　前記情報処理端末は、前記サーバに送信する情報を暗号化する端末暗号化処理手段と、前記サーバから受信する暗号化された読出プログラムファイルを復号化する端末復号化処理手段とを備えていることを特徴とする請求項５～１０のいずれかに記載の情報管理システム。
前記管理サーバは、互いに対応する暗号化プログラム及び復号化プログラムを複数備え、前記会員用外部記憶媒体が装着された状態の情報処理端末との通信毎に、その内から所定の暗号化プログラム及び復号化プログラムの対が設定され、設定された暗号化プログラム及び復号化プログラムの対が当該情報処理端末に送信されることを特徴とする請求項５～１１のいずれかに記載の情報管理システム。
前記情報処理端末は、第３の操作部を備え、
　前記端末通信処理手段は、前記属性情報の順序付けの前記一方端の分割属性情報に関する分割識別コード情報及び格納先情報に対する前記第３の操作部からの送信指示を受け付けて、送信を行うものであることを特徴とする請求項１～１２のいずれかに記載の情報管理システム。
前記属性項目には、氏名及び住所が含まれることを特徴とする請求項１～１３のいずれかに記載の情報管理システム。