WO2011114617A1 - 情報処理端末、機密情報アクセス制御方法、プログラム、記録媒体、及び集積回路 - Google Patents

情報処理端末、機密情報アクセス制御方法、プログラム、記録媒体、及び集積回路 Download PDF

Info

Publication number
WO2011114617A1
WO2011114617A1 PCT/JP2011/000710 JP2011000710W WO2011114617A1 WO 2011114617 A1 WO2011114617 A1 WO 2011114617A1 JP 2011000710 W JP2011000710 W JP 2011000710W WO 2011114617 A1 WO2011114617 A1 WO 2011114617A1
Authority
WO
WIPO (PCT)
Prior art keywords
information
unit
access
current position
confidential information
Prior art date
Application number
PCT/JP2011/000710
Other languages
English (en)
French (fr)
Inventor
松島 秀樹
松崎 なつめ
小林 浩二
真佐男 野仲
Original Assignee
パナソニック株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by パナソニック株式会社 filed Critical パナソニック株式会社
Priority to US13/319,692 priority Critical patent/US8656127B2/en
Priority to JP2011531696A priority patent/JP5631322B2/ja
Priority to EP11755810.6A priority patent/EP2549402B1/en
Publication of WO2011114617A1 publication Critical patent/WO2011114617A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS

Definitions

  • the accessible area holding unit may hold a plurality of accessible area designation maps having different paths. Thereby, a plurality of different routes can be prepared in advance in the information processing terminal. As a result, even when there is a trouble such as a failure, access control during movement can be realized without losing user convenience.
  • a section corresponding to the current position information acquired in the current position acquisition step at a timing when an access command to the confidential information is received in the input / output reception step, and the previous position information May be permitted to access the confidential information if the sections recorded in the section are adjacent to each other on the accessible area designation map. Accordingly, it is possible to provide a confidential information access control method that realizes access control based on two pieces of position information, that is, current position information and previous position information.
  • An integrated circuit performs access control to confidential information. Specifically, a storage area for recording general information and confidential information, an input / output receiving unit that receives an instruction to access the general information or the confidential information recorded in the storage area, and access to the confidential information An accessible area holding unit that holds an accessible area designation map indicating an action range that can be accessed, and the confidential information is received in response to the access instruction to the confidential information being received by the input / output receiving unit.
  • a confidential information access control unit that determines whether or not access is possible.
  • the confidential information access control unit can access the current position acquisition unit that acquires current position information indicating the current position of the information processing terminal, and the position of the information processing terminal indicated by the current position information.
  • An access determination unit that allows access to the confidential information when the access determination unit is on the accessible region designation map stored in the region storage unit, and the access determination unit permits access; A confidential information access unit that accesses the confidential information recorded in the storage area.
  • FIG. 17 is a block diagram showing an internal configuration of a nurse terminal (information processing terminal) 101 according to an embodiment of the present invention.
  • the nurse terminal 101 includes an input / output receiving unit 201, a confidential information access control unit 202, a route information holding unit 203, a storage area 206 that records confidential information 210 and general information 211, and Is provided.
  • the route information holding unit (accessible region holding unit) 203 holds route information (accessible region designation map) indicating the action range of the nurse terminal 101. A user who operates the nurse terminal 101 is permitted to access the confidential information 210 only within the range indicated by the accessible area designation map.
  • the confidential information access control unit 202 determines whether or not the confidential information 210 can be accessed when the input / output receiving unit 201 receives an access command to the confidential information 210.
  • the confidential information access control unit 202 includes a current position acquisition unit 304, an access determination unit 305, and a confidential information access unit 306.
  • the current position acquisition unit 304 acquires current position information indicating the current position of the nurse terminal 101.
  • the access determination unit 305 permits access to the confidential information 210 when the position of the nurse terminal 101 indicated by the current position information is on the accessible area designation map held in the route information holding unit 203.
  • the confidential information access unit 306 accesses the confidential information 210 recorded in the storage area 206 in response to the access permitted by the access determination unit 305.
  • a server terminal 102 is provided at the nurse dispatch source.
  • the server terminal 102 creates route information (also referred to as “accessible area designation map”) until the visiting nurse visits the visiting destination from the dispatch source.
  • the nurse terminal 101 performs access management of the confidential information 210 on the action route from the dispatch source to the visited site based on this route information.
  • the visiting nurse downloads the route information to the visited site from the server terminal 102 to the nurse terminal 101 before the visit.
  • the confidential information access control unit 202 is preferably protected from unauthorized tampering.
  • the tamper-resistant technology disclosed in WO2004014374A2 Patent Document 3
  • the reactive protection disclosed in TCG (Trusted Computing Group) “TCG Mobile Reference Architecture Specification version 1.0” are used. Can be considered.
  • the route information holding unit 203 holds route information from a nurse dispatch source to a nurse visit destination when the visiting nurse visits the visit destination.
  • the route information holding unit 203 may hold a plurality of pieces of route information having different routes in advance. When there is a failure such as an accident, the system may be controlled using the route information that is the second candidate.
  • the storage area 206 stores confidential information 210 and general information 211.
  • the specific configuration of the storage area 206 is not particularly limited.
  • the storage area 206 can record data such as DRAM (Dynamic random access memory), SDRAM (Synchronous dynamic random access memory), flash memory, or ferroelectric memory. You can use whatever you like.
  • FIG. 3 is a block diagram showing an internal configuration of the confidential information access control unit 202 shown in FIG.
  • the confidential information access control unit 202 includes a request reception unit 301, a control unit 302, a route information acquisition unit 303, a current position acquisition unit 304, an access determination unit 305, A confidential information access unit 306 and a confidential information writing unit 310 are provided.
  • the request reception unit 301 receives an input / output request from the input / output reception unit 201 and transmits the input / output request to the control unit 302.
  • the control unit 302 When the control unit 302 receives the input / output request from the request reception unit 301, the control unit 302 transmits the route information acquisition request to the route information acquisition unit 303, so that the route information acquisition unit 303 receives the route information from the route information holding unit 203. Get it. Also, the control unit 302 causes the current position acquisition unit 304 to acquire current position information by transmitting a current position acquisition request to the current position acquisition unit 304. Then, the control unit 302 acquires the route information from the route information acquisition unit 303 and the current position information from the current position acquisition unit 304, respectively. After acquiring the route information and the current position information, the control unit 302 transmits these to the access determination unit 305 together with the access determination request.
  • the route information writing unit 204 when writing the route information in the route information holding unit 203, the route information writing unit 204 inputs the route information into a predetermined hash function and acquires the first hash value. This first hash value is held in the route information acquisition unit 303 of the confidential information access control unit 202. Next, the route information acquisition unit 303 inputs the route information acquired from the route information holding unit 203 into a predetermined hash function, and acquires a second hash value.
  • the route information acquisition unit 303 compares the first hash value calculated by the route information writing unit 204 with the second hash value calculated by itself, and the route information is obtained only when both match. You may transmit to the control part 302. FIG. On the other hand, if the first and second hash values do not match, the route information acquisition unit 303 may determine that the route information has been tampered with, send an error message to the control unit 302, and terminate the process.
  • the current position acquisition unit 304 When receiving the current position acquisition request from the control unit 302, the current position acquisition unit 304 acquires information (current position information) indicating the current position of the nurse terminal 101 and transmits the acquired current position information to the control unit 302. .
  • Acquisition of the current position information is generally performed by GPS, but is not limited thereto as long as the current position information can be acquired.
  • the access determination unit 305 determines whether the current position represented by the current position information is on the route indicated in the route information. judge. Then, the access determination unit 305 transmits “accessible” to the control unit 302 when the current position is on the route, and “access is impossible” when the current position is not on the route.
  • the confidential information access unit 306 When receiving the access request from the control unit 302, the confidential information access unit 306 accesses the confidential information 210 recorded in the storage area 206.
  • the confidential information access unit 306 When using encryption / decryption as a method for protecting the confidential information 210 in the storage area 206, the confidential information access unit 306 has an encryption / decryption function.
  • the confidential information access unit 306 accesses the confidential information 210 through the special file system.
  • the route information represents a travel route from the nurse dispatch source to the nurse visit destination.
  • the route information is divided into a plurality of sections such as “partition nm”.
  • the nurse dispatching source is represented by “Section 1-7”
  • the nurse visiting destination is represented by “Section 5-1”
  • the current location of the visiting nurse is represented by “Section 3-4”.
  • the route information is expressed by the set of “partitions nm” so as not to be interrupted in the drawing.
  • the section and the GPS information are associated with each other, but since this is a technique widely known in GPS, description thereof is omitted.
  • the request reception unit 301 receives the output request from the input / output reception unit 201 and transmits the output request to the control unit 302 (S601).
  • the control unit 302 receives the determination result from the access determination unit 305, and in the case of “access permitted”, transmits an access request to the confidential information access unit 306 (S607).
  • the confidential information access unit 306 accesses the confidential information 210 in the storage area 206 (S608).
  • the confidential information access unit 306 when the confidential information access unit 306 writes the confidential information 210 in the storage area 206, the confidential information 210 is encrypted with the data key.
  • the confidential information access unit 306 encrypts the data key obtained by encrypting the confidential information 210 with the partition key generated for each partition by the above method.
  • the encrypted data key (encrypted data key) is held in the route information holding unit 203 together with the route information, for example.
  • the nurse terminal 101 holds the encrypted data key of each section from the nurse dispatch source (section 1-7 in FIG. 4) to the nurse visit destination (section 5-1 in FIG. 4). In the example of FIG. 4, 13 encrypted data keys are held.
  • the encrypted data key of the partition for example, the partition 1-1) deviating from the route may be retained or may not be retained.
  • the communication unit 807 communicates with the server terminal 702 in response to a route information update request from a terminal user (typically a visiting nurse) (not shown). Specifically, the route information update request and the current position information are transmitted to the server terminal 702, new route information from the current point to the nurse visit destination, and an encrypted data key corresponding to each section on the route, Receive. Then, the new route information and the encrypted data key are transmitted to the route information writing unit 804 together with the write request.
  • a route information update request from a terminal user (typically a visiting nurse) (not shown).
  • the route information update request and the current position information are transmitted to the server terminal 702, new route information from the current point to the nurse visit destination, and an encrypted data key corresponding to each section on the route, Receive.
  • the new route information and the encrypted data key are transmitted to the route information writing unit 804 together with the write request.
  • FIG. 9 is a diagram showing the route information (practice) shown in FIG. 4 and the updated new route information (broken line) in response to the route information update request from the nurse terminal 701.
  • the route information after “section 3-4” is newly generated by the server terminal 702 in response to a route information update request from the nurse terminal 701.
  • control unit 1102 transmits an access determination request to the access determination unit 1105 together with the acquired route information, current position information, and previous position information.
  • the control unit 1102 receives the determination result from the access determination unit 1105, and transmits an access request to the confidential information access unit 306 when the determination result is “accessible”.
  • the route information acquisition unit 303 receives the route information acquisition request from the control unit 302, acquires the route information from the route information holding unit 203, and transmits the route information to the control unit 302 (S1302).
  • the current position acquisition unit 304 acquires the current position information “section 3-5” and transmits it to the control unit 302 (S1303).
  • the frequency of the processing shown in FIG. 13 is not particularly limited, but at least the above processing is performed at a time interval sufficiently shorter than the time required for the visiting nurse carrying the nurse terminal 101 to pass through one section. There is a need to do.
  • FIG. 14 is a flowchart showing the access permission determination operation of the confidential information access control unit 1002 shown in FIG. 11 in S502 of FIG.
  • “partition 3-6” is set in the previous position recording unit 1108 and “partition 3-5” is set in the current position recording unit 1107 by the operation shown in FIG. It is assumed that it is in a recorded state.
  • the access determination unit 1105 receives an access determination request from the control unit 1102 together with the route information, the current position information “section 3-5”, and the previous position information “section 3-6”. The access determination unit determines whether the current position information “section 3-5” and the previous position information “section 3-6” are adjacent (front and back) sections on the route indicated by the route information. Determine if. Then, the access determination unit 1105 transmits “access permitted” to the control unit 1102 when all of the above are satisfied, and “access impossible” when any one of the conditions is not satisfied (S1405).
  • the data key used for encryption of the confidential information 210 is decrypted using this key, and the confidential information 210 is accessed.
  • the calculation used here is realized by an HMAC (Keyed-Hashing for Message Authentication) algorithm using a one-way function such as SHA-1 or MD5.
  • GPS is used to acquire the current position information
  • a gyro sensor or an acceleration sensor may be used in addition to the GPS. Even in road conditions where GPS cannot be used effectively, such as in tunnels, current position information can be grasped.
  • a warning may be presented to the user when the information processing terminal is about to deviate from the route indicated in the route information.
  • an inaccessibility may be presented.
  • the configuration may be such that access is permitted when the route information is returned again without updating the route information.
  • the number of times of removal may be recorded, and access may not be permitted when the number of departures exceeds a certain number.
  • the information processing terminal is equipped with a car navigation system, and after calculating route information from the departure point to the arrival point, it makes an inquiry to the server via the network and obtains permission to access confidential information on the route of the route information. Good.
  • the car navigation system may calculate route information from the current position information to the arrival point and obtain access permission from the server.
  • Each of the above devices is specifically a computer system including a microprocessor, ROM, RAM, a hard disk unit, a display unit, a keyboard, a mouse, and the like.
  • a computer program is recorded in the RAM or hard disk unit.
  • Each device achieves its functions by the microprocessor operating according to the computer program.
  • the computer program is configured by combining a plurality of instruction codes indicating instructions for the computer in order to achieve a predetermined function.
  • Each device is not limited to a computer system including all of a microprocessor, a ROM, a RAM, a hard disk unit, a display unit, a keyboard, a mouse, and the like, and may be a computer system including a part of them. .
  • the system LSI is used here, it may be called IC, LSI, super LSI, or ultra LSI depending on the degree of integration.
  • the method of circuit integration is not limited to LSI's, and implementation using dedicated circuitry or general purpose processors is also possible.
  • An FPGA Field Programmable Gate Array
  • a reconfigurable processor that can reconfigure the connection and setting of circuit cells inside the LSI may be used.
  • integrated circuit technology comes out to replace LSI's as a result of the advancement of semiconductor technology or a derivative other technology, it is naturally also possible to carry out function block integration using this technology. Biotechnology can be applied.
  • the present invention may be a computer system including a microprocessor and a memory, wherein the memory records the computer program, and the microprocessor operates according to the computer program.
  • the program or the digital signal is recorded on the recording medium and transferred, or the program or the digital signal is transferred via the network or the like, and executed by another independent computer system. It is good.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

 情報処理端末(101)は、一般情報(211)及び機密情報(210)を記録する保存領域(206)と、一般情報(211)又は機密情報(210)へのアクセス命令を受け付ける入出力受付部(201)と、機密情報(210)へのアクセスが可能な行動範囲を示す経路情報を保持する経路情報保持部(203)と、情報処理端末(101)の現在の位置を示す現在位置情報を取得する現在位置取得部(304)と、現在位置情報で示される情報処理端末(101)の位置が経路情報上にある場合に、機密情報(210)へのアクセスを許可するアクセス判定部(305)と、アクセス判定部(305)でアクセスが許可されたことに応じて、機密情報(210)へのアクセスを行う機密情報アクセス部(306)とを備える。

Description

情報処理端末、機密情報アクセス制御方法、プログラム、記録媒体、及び集積回路
 本発明は、IT化の進む医療業界において、看護師が患者宅の訪問時に患者の個人情報を記録して持ち出す情報処理端末から、患者の個人情報の情報漏えいするのを防止する方法に関するものである。
 近年、医療業界ではデータの管理、処理の効率化を目的に電子カルテの導入などIT化が進みつつある。また、病院における患者の在院日数の短縮化により、訪問看護が注目され始めている。IT化が進むと、訪問看護を行う訪問看護師は一度に大量の患者の個人情報を情報処理端末に記録して、持ち出すことが可能となる。その一方で、訪問時に情報処理端末が盗難されると、プライバシの漏えいが課題となる。
 プライバシの保護を行う手法としては、情報処理端末に記録した情報に暗号化を行うと共に、GPS(Global Positioning System)による位置情報や時間情報によってアクセス制御を行うものがある(例えば、特許文献1)。
 また、位置情報を用いてアクセス制御を行う手法には、GPSから得た位置情報を鍵として、情報を暗号化するものもある(例えば、特許文献2)。
特開2002-268549号公報 特開2004-302930号公報
 しかし、上記従来の技術では、以下のような問題が生じていた。
 即ち、上記従来の技術では、訪問看護のようなユースケースにおいて、情報処理端末と認証コードとが同時に盗難された場合は、あらかじめ定められた範囲で情報へ不正にアクセスすることができてしまうという問題があった。
 かかる問題に対しては、時間情報を加えてアクセス制御を行うといった方法が考えられた。しかしながら、情報処理端末の持つ時間情報の改ざんは必ずしも困難ではないため、十分な対策とはいえなかった。
 そこで、本発明では、上記課題に鑑みてなされたものであって、訪問看護などプライバシに関わる機密情報を情報処理端末に記録して持ち出した時、盗難が起きたとしても情報漏えいを防止することのできる情報処理端末と機密情報アクセス制御方法とを提供することを目的とする。
 本発明の一形態に係る情報処理端末は、機密情報へのアクセス制御を行う。具体的には、一般情報及び機密情報を記録する保存領域と、前記保存領域に記録されている前記一般情報又は前記機密情報へのアクセス命令をユーザから受け付ける入出力受付部と、前記機密情報へのアクセスが可能な行動範囲を示すアクセス可能領域指定マップを保持するアクセス可能領域保持部と、前記入出力受付部で前記機密情報へのアクセス命令が受付けられたことに応じて、当該機密情報へのアクセスの可否を判定する機密情報アクセス制御部とを備える。そして、前記機密情報アクセス制御部は、前記情報処理端末の現在の位置を示す現在位置情報を取得する現在位置取得部と、前記現在位置情報で示される前記情報処理端末の位置が、前記アクセス可能領域保持部に保持されている前記アクセス可能領域指定マップ上にある場合に、前記機密情報へのアクセスを許可するアクセス判定部と、前記アクセス判定部でアクセスが許可されたことに応じて、前記保存領域に記録されている前記機密情報へのアクセスを行う機密情報アクセス部とを備える。
 これにより、機密情報へのアクセスが可能な領域をあらかじめ指定することができる。その結果、予め定められた行動範囲においてのみ機密情報にアクセス可能な情報処理端末を提供することができる。
 また、前記アクセス可能領域指定マップは、出発地点から到着地点までの前記情報処理端末の経路情報を表すものであってもよい。これにより、機密情報へのアクセスが可能な領域を、当該情報処理端末が外部に持ち出された時の経路上に制限することができる。
 また、前記アクセス可能領域保持部は、経路の異なる複数の前記アクセス可能領域指定マップを保持してもよい。これにより、情報処理端末にあらかじめ複数の異なる経路を用意することができる。その結果、万が一故障などのトラブルがあった場合にも、ユーザの利便性を欠くことなく、移動中のアクセス制御を実現することができる。
 さらに、前記情報処理端末は、外部から取得したアクセス可能領域指定マップで、前記アクセス可能領域保持部の内容を更新する更新部を備えてもよい。これにより、情報処理端末が特定の経路に限定された利用にとどまることなく、利便性が向上する。なお、「アクセス可能領域保持部の内容を更新する」とは、既にアクセス可能領域保持部に保持されているアクセス可能領域指定マップを、新たに取得したアクセス可能領域指定マップで上書きする場合、及びアクセス可能領域指定マップを保持していない状態のアクセス可能領域保持部に、新たに取得したアクセス可能領域指定マップを書き込む場合の両方を含む。
 一例として、前記更新部は、外部記録メディアから前記アクセス可能領域指定マップを読み出すメディア読み書き部と、前記メディア読み書き部によって前記外部記録メディアから読み出された前記アクセス可能領域指定マップを前記アクセス可能領域保持部に書き込む経路情報書込部とを備えてもよい。これにより、情報処理端末の経路情報を外部メディアを通じて更新することができる。
 他の例として、前記更新部は、外部サーバと通信する通信部と、前記通信部によって前記外部サーバから取得した前記アクセス可能領域指定マップを、前記アクセス可能領域保持部に書き込む経路情報書込部とを備えてもよい。これにより、情報処理端末の経路情報をネットワークを通じて更新することができる。そのため、万が一故障などのトラブルがあった場合にも、ネットワーク経由でサーバへアクセスして、その地点からの経路情報を取得することができる。その結果、ユーザの利便性を欠くことなく、移動中のアクセス制御を実現することができる。
 さらに、前記更新部は、取得した前記アクセス可能領域指定マップを所定のハッシュ関数に入力して第1のハッシュ値を算出してもよい。そして、前記機密情報アクセス制御部は、前記更新部で算出された第1のハッシュ値と、前記アクセス可能領域保持部に保持されている前記アクセス可能領域指定マップを前記所定のハッシュ関数に入力して得られる第2のハッシュ値とが一致する場合に、前記機密情報へのアクセスの可否を判定してもよい。これにより、アクセス可能領域指定マップが不正に差し替えられることを防ぐことができる。その結果、より安全な機密情報へのアクセス制御を実現することができる。
 また、前記機密情報アクセス制御部は、耐タンパ技術又はReactive Methodsを用いて、保護されていてもよい。また、前記機密情報は、前記一般情報に比べて、前記保存領域の保護レベルの高い領域に記録されていてもよい。これにより、情報処理端末における機密保護は、より高い保護レベルで実現することができる。
 前記アクセス可能領域指定マップは、複数の区画の集合によって表現されてもよい。前記保存領域に記録された前記機密情報は、データ鍵によって暗号化されてもよい。前記データ鍵は、前記区画毎に割り当てられた区画鍵によって暗号化されてもよい。そして、前記機密情報アクセス部は、前記現在位置取得部によって取得された現在位置情報に基づいて前記区画鍵を生成し、生成した前記区画鍵で前記データ鍵を復号し、復号された前記データ鍵で前記保存領域に記録されている前記機密情報を復号してもよい。これにより、情報処理端末における機密情報へのアクセスは、あらかじめ定められた位置でなければ復号できないため、より高い保護レベルで実現することができる。
 前記アクセス可能領域指定マップは、複数の区画の集合によって表現されてもよい。さらに、前記機密情報アクセス制御部は、該情報処理端末の現在位置に対応する区画を記録している現在位置記録部と、現在位置記録部に記録されている区画の直前に該情報処理端末が通過した区画を記録している前回位置記録部と、前記現在位置取得部に該情報処理端末の現在位置情報を定期的に取得させ、取得した現在位置情報に対応する区画が、前記現在位置記録部に記録されている区画と異なる場合に、前記現在位置記録部に記録されている区画で前記前回位置記録部の内容を上書きし、取得した現在位置情報に対応する区画で前記現在位置記録部の内容を上書きする位置更新判定部とを備えてもよい。そして、前記アクセス判定部は、前記入出力受付部で前記機密情報へのアクセス命令が受付けられたタイミングで前記現在位置取得部によって取得された前記現在位置情報に対応する区画と、前記前回位置情報に記録されている区画とが、前記アクセス可能領域指定マップ上の互いに隣接する区画である場合に、前記機密情報へのアクセスを許可してもよい。これにより、情報処理端末の現在の位置情報と、前の位置情報とをもとにアクセス制御ができる。そのため、移動を前提としたより確実で強固なアクセス制御を実現することができる。
 前記保存領域に記録された前記機密情報は、データ鍵によって暗号化されてもよい。前記データ鍵は、前記区画毎に割り当てられた区画鍵によって暗号化されてもよい。そして、前記機密情報アクセス部は、前記現在位置取得部によって取得された現在位置情報に対応する区画と前記前回位置記録部に記録されている区画とに基づいて前記区画鍵を生成し、生成した前記区画鍵で前記データ鍵を復号し、復号された前記データ鍵で前記保存領域に記録されている前記機密情報を復号してもよい。これにより、情報処理端末における機密情報へは、あらかじめ定められた経路を確実にたどっていなければアクセスできない。そのため、より高い保護レベルで実現することができる。
 本発明の一形態に係る機密情報アクセス制御方法は、一般情報及び機密情報を記録する保存領域と、前記機密情報へのアクセスが可能な行動範囲を示すアクセス可能領域指定マップを保持するアクセス可能領域保持部とを備える情報処理端末における機密情報へのアクセス制御方法である。具体的には、前記保存領域に記録されている前記一般情報又は前記機密情報へのアクセス命令をユーザから受け付ける入出力受付ステップと、前記入出力受付ステップで前記機密情報へのアクセス命令が受付けられたことに応じて、当該機密情報へのアクセスの可否を判定する機密情報アクセス制御ステップとを含む。そして、前記機密情報アクセス制御ステップは、前記情報処理端末の現在の位置を示す現在位置情報を取得する現在位置取得ステップと、前記現在位置情報で示される前記情報処理端末の位置が、前記アクセス可能領域保持部に保持されている前記アクセス可能領域指定マップ上にある場合に、前記機密情報へのアクセスを許可するアクセス判定ステップと、前記アクセス判定ステップでアクセスが許可されたことに応じて、前記保存領域に記録されている前記機密情報へのアクセスを行う機密情報アクセスステップとを含む。これにより、現在の位置情報によるアクセス制御を実現する機密情報アクセス制御方法を提供することができる。
 また、前記アクセス可能領域指定マップは、複数の区画の集合によって表現されてもよい。さらに該情報処理端末は、該情報処理端末の現在位置に対応する区画を記録している現在位置記録部と、現在位置記録部に記録されている区画の直前に該情報処理端末が通過した区画を記録している前回位置記録部とを備えてもよい。前記機密情報アクセス制御ステップは、さらに、該情報処理端末の現在位置情報を定期的に取得し、取得した現在位置情報に対応する区画が、前記現在位置記録部に記録されている区画と異なる場合に、前記現在位置記録部に記録されている区画で前記前回位置記録部の内容を上書きし、取得した現在位置情報に対応する区画で前記現在位置記録部を上書きする位置更新判定ステップを含んでもよい。そして、前記アクセス判定ステップでは、前記入出力受付ステップで前記機密情報へのアクセス命令が受付けられたタイミングで前記現在位置取得ステップで取得された前記現在位置情報に対応する区画と、前記前回位置情報に記録されている区画とが、前記アクセス可能領域指定マップ上の互いに隣接する区画である場合に、前記機密情報へのアクセスを許可してもよい。これにより、現在の位置情報と前回の位置情報との2つの位置情報によるアクセス制御を実現する機密情報アクセス制御方法を提供することができる。
 また、本発明の一形態に係るプログラムは、上記の機密情報アクセス制御方法をコンピュータに実行させるためのプログラムである。さらに、上記のプログラムは、コンピュータ読取可能な記録媒体に記録されていてもよい。
 本発明の一形態に係る集積回路は、機密情報へのアクセス制御を行う。具体的には、一般情報及び機密情報を記録する保存領域と、前記保存領域に記録されている前記一般情報又は前記機密情報へのアクセス命令をユーザから受け付ける入出力受付部と、前記機密情報へのアクセスが可能な行動範囲を示すアクセス可能領域指定マップを保持するアクセス可能領域保持部と、前記入出力受付部で前記機密情報へのアクセス命令が受付けられたことに応じて、当該機密情報へのアクセスの可否を判定する機密情報アクセス制御部とを備える。そして、前記機密情報アクセス制御部は、前記情報処理端末の現在の位置を示す現在位置情報を取得する現在位置取得部と、前記現在位置情報で示される前記情報処理端末の位置が、前記アクセス可能領域保持部に保持されている前記アクセス可能領域指定マップ上にある場合に、前記機密情報へのアクセスを許可するアクセス判定部と、前記アクセス判定部でアクセスが許可されたことに応じて、前記保存領域に記録されている前記機密情報へのアクセスを行う機密情報アクセス部とを備える。
 本発明によれば、情報処理端末の持ち主であるユーザが、あらかじめ定められた経路を正しく進んできた時のみ、機密情報へのアクセスが可能となる。そのため、悪意の第三者が情報処理端末を盗難して持ち去り、定められた経路上から外れて機密情報へアクセスしようとしてもアクセス拒否される。その結果、機密情報の漏えいを防止することができる。
図1は、本発明の実施の形態1における機密情報アクセス制御システムの全体構成図である。 図2は、本発明の実施の形態1における看護師端末の構成図である。 図3は、本発明の実施の形態1における機密情報アクセス制御部の構成図である。 図4は、本発明の実施の形態1における経路情報保持部が保持する経路情報の例を示す図である。 図5は、本発明の実施の形態1における機密情報の表示のフローチャートである。 図6は、本発明の実施の形態1における機密情報へのアクセス判断のフローチャートである。 図7は、本発明の実施の形態2における機密情報アクセス制御システムの全体構成図である。 図8は、本発明の実施の形態2における看護師端末の構成図である。 図9は、本発明の実施の形態2における経路情報保持部が保持する更新された経路情報の例を示す図である。 図10は、本発明の実施の形態2における経路情報更新のフローチャートである。 図11は、本発明の実施の形態3における機密情報アクセス制御部の構成図である。 図12は、本発明の実施の形態3における機密情報アクセス制御部が扱う現在位置と前回位置と経路情報との関係を示す図である。 図13は、本発明の実施の形態3における機密情報アクセス制御部が定期的に現在位置と前回位置の更新を行うフローチャートである。 図14は、本発明の実施の形態3における機密情報へのアクセス判断のフローチャートである。 図15は、現在位置情報を用いて、機密情報を保護する方法を説明するための図である。 図16は、現在位置情報と前回位置情報とを用いて、機密情報を保護する方法を説明するための図である。 図17は、本発明の一形態に係る看護師端末の構成図である。
 図17は、本発明の一形態に係る看護師端末(情報処理端末)101の内部構成を示したブロック図である。看護師端末101は、図17に示されるように、入出力受付部201と、機密情報アクセス制御部202と、経路情報保持部203と、機密情報210及び一般情報211を記録する保存領域206とを備える。
 入出力受付部201は、保存領域206に記録されている機密情報210及び一般情報211へのアクセス命令(入力命令、出力命令等)をユーザから受け付ける。
 経路情報保持部(アクセス可能領域保持部)203は、看護師端末101の行動範囲を示す経路情報(アクセス可能領域指定マップ)を保持している。看護師端末101を操作するユーザには、アクセス可能領域指定マップで示される範囲内においてのみ、機密情報210へのアクセスが許可される。
 機密情報アクセス制御部202は、入出力受付部201で機密情報210へのアクセス命令が受付けられたことに応じて、当該機密情報210へのアクセスの可否を判定する。具体的には、機密情報アクセス制御部202は、現在位置取得部304と、アクセス判定部305と、機密情報アクセス部306とを備える。
 現在位置取得部304は、看護師端末101の現在の位置を示す現在位置情報を取得する。アクセス判定部305は、現在位置情報で示される看護師端末101の位置が、経路情報保持部203に保持されているアクセス可能領域指定マップ上にある場合に、機密情報210へのアクセスを許可する。機密情報アクセス部306は、アクセス判定部305でアクセスが許可されたことに応じて、保存領域206に記録されている機密情報210へのアクセスを行う。
 なお、上記構成の看護師端末101の動作は、以下の実施の形態1~3で詳しく説明する。なお、図2、図3、図8、及び図11に示される各ブロック図において、図17に示されるブロックに対応するブロックには、同一の名称を付している。
 以下、図面に基づき本発明の実施の形態を説明する。
 (実施の形態1)
 以下、本発明の実施の形態1に係る機密情報アクセス制御方法について、図面を参照しながら説明する。
 図1は、本発明の実施の形態1に係る機密情報アクセス制御方法が用いられる訪問看護師派遣モデルである。図1において、本実施の形態1に係る訪問看護師派遣モデルでは、訪問看護師が看護師派遣元(単に「派遣元」ともいう)から患者のいる看護師訪問先(単に「訪問先」ともいう)に派遣される。看護師は派遣された時、看護師端末101を携帯する。
 また、看護師派遣元には、サーバ端末102が備えられている。サーバ端末102は、訪問看護師が派遣元から訪問先へ訪れるまでの経路情報(「アクセス可能領域指定マップ」ともいう)を作成する。看護師端末101は、この経路情報を元に、派遣元から訪問先までの行動経路上で、機密情報210のアクセス管理を行う。訪問看護師は、訪問先までの経路情報を、訪問前にサーバ端末102から看護師端末101にダウンロードする。
 また、サーバ端末102は、訪問先の患者に関する情報を蓄えている。訪問看護師は、訪問前にサーバ端末102から看護師端末101に情報をダウンロードしたり、訪問先から派遣元へ戻った後、看護師端末101に蓄えられた患者に関する情報をサーバ端末102にアップロードしたりする。
 図2は、本発明の実施の形態1に係る看護師端末101の内部構成を示したブロック図である。図2において、本実施の形態1に係る看護師端末101は、入出力受付部201と、機密情報アクセス制御部202と、経路情報保持部203と、経路情報書込部204と、メディアR/W(Read/Write)部205と、機密情報210及び一般情報211を保存する保存領域206と、表示部209とを備える。
 入出力受付部201は、ユーザである訪問看護師から、保存領域206に記録された機密情報210や一般情報211への入出力命令を受け付ける。具体的には、入出力受付部201は、ユーザからの出力命令を受け付けた時、機密情報210及び一般情報211のいずれへの命令であるかを判断する。そして、機密情報210への命令であった場合は、機密情報アクセス制御部202に出力要求を送信する。また、ユーザからの新規の機密情報210の入力命令や、既存の機密情報210への変更入力命令においても、機密情報アクセス制御部202へ入力要求を送信する。
 機密情報アクセス制御部202は、保存領域206の機密情報210へのアクセスを制御する。入出力受付部201から機密情報210への入出力要求を受け付けた場合、機密情報アクセス制御部202は、経路情報保持部203に保持されている経路情報を元に、アクセスの可否を判定する。そして、「アクセス可」と判定した場合は、出力要求の場合は機密情報210を表示部209へ送信する。また、入力要求の場合は、新規の機密情報210の書込や、既存の機密情報210への修正を行う。一方、「アクセス不可」の場合は、その判断結果を入出力受付部201に送信する。また、機密情報アクセス制御部202は、メディアR/W部205を通して、機密情報210を記録メディアへ記録する。
 なお、保存領域206における機密情報210の保護の仕方は特に限定されないが、例えば、機密情報アクセス制御部202が機密情報210を暗復号してもよい。または、機密情報210のみ特別なファイルシステムを用いて、一般情報211と異なる方法でアクセスするようにしてもよい。さらには、保存領域206自身が暗号化機能を保持し、機密情報210を入力時に暗号化し、出力時に復号する方法であってもよい。そして、この場合、保存領域206が鍵を生成してもよいし、機密情報アクセス制御部202が鍵を生成し、保存領域206に入力してもよい。
 なお、機密情報アクセス制御部202は、不正な改ざんから保護されていることが望ましい。例えば、WO2004013744A2(特許文献3)で開示されている耐タンパ技術や、TCG(Trusted Computing Group)の「TCG Mobile Reference Architecture Specification version1.0」で開示されているReactive Methodsなどを用いて、保護することが考えられる。
 経路情報保持部203は、訪問看護師が訪問先を訪れる場合の看護師派遣元から看護師訪問先までの経路情報を保持している。なお、経路情報保持部203は、あらかじめ経路の異なる複数の経路情報を保持しておいてもよい。そして、事故などの障害があった場合は、第二候補となる経路情報を用いて、システムの制御が行われるとしてもよい。
 経路情報書込部204は、メディアR/W部205を通して、記録メディアから経路情報を読み出し、経路情報保持部203に読み出した経路情報を書き込む。または、経路情報書込部204は、通信回線等を介して、サーバ端末102から直接経路情報を取得し、経路情報保持部203に取得した経路情報を書き込んでもよい。メディアR/W部205は、記録メディアに記録されている情報を読み出す処理、及び情報を記録メディアに書き込む処理を行う。すなわち、経路情報書込部204及びメディアR/W部205は、外部から取得した経路情報で、経路情報保持部203の内容を更新する更新部として機能する。
 保存領域206は、機密情報210や一般情報211を保存している。保存領域206の具体的な構成は特に限定されないが、例えば、DRAM(Dynamic random access memory)、SDRAM(Synchronous dynamic random access memory)、フラッシュメモリ、又は強誘電体メモリ等のデータを記録可能な手段であればどのようなものを利用しても構わない。
 表示部209は、送信されてきた情報を表示する。表示部209の具体的な構成は特に限定されないが、例えば、液晶ディスプレイ、プラズマディスプレイ、又は有機EL(ElectroLuminescence)ディスプレイ等を採用することができる。
 図3は、図2に示す機密情報アクセス制御部202の内部構成を示したブロック図である。図3において、本実施の形態1に係る機密情報アクセス制御部202は、要求受付部301と、制御部302と、経路情報取得部303と、現在位置取得部304と、アクセス判定部305と、機密情報アクセス部306と、機密情報書出部310とを備える。
 要求受付部301は、入出力受付部201からの入出力要求を受け付け、制御部302へ送信する。
 制御部302は、要求受付部301から入出力要求を受け取ると、経路情報取得部303に対して経路情報取得要求を送信することにより、経路情報取得部303に経路情報保持部203から経路情報を取得させる。また、制御部302は、現在位置取得部304に対して現在位置取得要求を送信することにより、現在位置取得部304に現在の位置情報を取得させる。そして、制御部302は、経路情報取得部303から経路情報を、現在位置取得部304から現在位置情報をそれぞれ取得する。制御部302は、経路情報及び現在位置情報を取得した後、これらをアクセス判定要求とともにアクセス判定部305に送信する。さらに、制御部302は、アクセス判定部305から受信した判定結果が「アクセス可」の場合は、機密情報アクセス部306にアクセス要求を送信する。また、制御部302は、機密情報書出部310に対して、機密情報210とともに記録メディアへの書き出し要求を送信する。
 経路情報取得部303は、制御部302から経路情報取得要求を受信すると、経路情報保持部203から経路情報を取得し、取得した経路情報を制御部302へ送信する。なお、経路情報取得部303は、経路情報の差し替えによる不正を防止するために、経路情報のハッシュ値を持つ。そして、経路情報の取得時にハッシュ演算を行って、差し替えの有無を確認するとしてもよい。ここで用いられるハッシュ計算アルゴリズムは、例えば、SHA-1やMD5などの一方向性関数を用いたHMAC(Keyed-Hashing for Message Authentication)アルゴリズムで実現される。
 より具体的には、経路情報書込部204は、経路情報を経路情報保持部203に書き込む際に、当該経路情報を所定のハッシュ関数に入力し、第1のハッシュ値を取得する。この第1のハッシュ値は、機密情報アクセス制御部202の経路情報取得部303に保持される。次に、経路情報取得部303は、経路情報保持部203から取得した経路情報を所定のハッシュ関数に入力し、第2のハッシュ値を取得する。
 そして、経路情報取得部303は、経路情報書込部204で算出された第1のハッシュ値と、自らが算出した第2のハッシュ値とを比較し、両者が一致する場合にのみ経路情報を制御部302に送信してもよい。一方、第1及び第2のハッシュ値が一致しない場合、経路情報取得部303は、経路情報が改竄されたと判断し、制御部302にエラーメッセージを送信して、処理を終了させてもよい。
 現在位置取得部304は、制御部302から現在位置取得要求を受信すると、看護師端末101の現在位置を示す情報(現在位置情報)を取得し、取得した現在位置情報を制御部302へ送信する。現在位置情報の取得は、一般的にはGPSによって行われるが、現在位置情報を取得できるものであれば、それに限定されない。
 アクセス判定部305は、制御部302から、経路情報、現在位置情報、及びアクセス判定要求を受信すると、現在位置情報で表される現在位置が、経路情報に示された経路上にあるかどうかを判定する。そして、アクセス判定部305は、現在位置が経路上にある場合は「アクセス可」を、経路上にない場合は「アクセス不可」を制御部302へ送信する。
 機密情報アクセス部306は、制御部302からアクセス要求を受信すると、保存領域206に記録されている機密情報210へのアクセスを行う。なお、保存領域206における機密情報210の保護の仕方に暗復号を用いる場合、機密情報アクセス部306は、暗復号機能を備える。一方、特別なファイルシステムを用いる場合、機密情報アクセス部306は、特別なファイルシステムを通じて機密情報210へアクセスする。
 機密情報書出部310は、制御部302からの指示に応じて、機密情報210を記録メディアへ書き出す。
 図4は、図2に示す経路情報保持部203が保持する経路情報を表した図である。
 図4において、経路情報は、看護師派遣元から看護師訪問先までの移動経路を表している。経路情報は、「区画n-m」のように複数の区画に区切られている。図4では、看護師派遣元は「区画1―7」で表され、看護師訪問先は「区画5-1」で表され、訪問看護師の現在位置は「区画3―4」で表される。経路情報は、この「区画n-m」の集合によって、図面上、途切れないように表現されている。この区画とGPSの情報とは対応づけられているが、これはGPSで広く知られた技術であるため、説明を省略する。
 以下、以上のように構成された機密情報アクセス制御方法を、図面を用いて説明する。
 図5は、図4に示された「区画3―4」に位置する訪問看護師が、看護師端末101の機密情報210へアクセスする動作を示したフローチャートである。なお、図5は、入出力受付部201が「出力命令」を受け付けた場合について説明する。一方、「入力命令」が受け付けられた場合は、「アクセス可」と判定された時に、機密情報を読み出すのに代えて、新たな機密情報を機密情報210に書き込む。後述する図6についても同様である。
 まず、入出力受付部201は、訪問看護師から機密情報210への出力命令を受け付けると、機密情報アクセス制御部202に出力要求を送信する(S501)。次に、機密情報アクセス制御部202は、入出力受付部201から機密情報210の出力要求を受信すると、アクセスの可否を判定する(S502)。
 判定結果が「アクセス可」の場合(S502でYes)、機密情報アクセス制御部202の制御部302は、機密情報アクセス部306にアクセス要求を送信し、機密情報210にアクセスさせる。機密情報アクセス部306は、アクセス要求に従って、保存領域206から機密情報210を読み出し、読み出した機密情報210を表示部209へ送信する(S503)。表示部209は、機密情報アクセス制御部202から機密情報210を受信すると、受信した機密情報210を表示する(S504)。
 図6は、図5のS502において、機密情報アクセス制御部202におけるアクセス可否判定の動作を示したフローチャートである。
 要求受付部301は、入出力受付部201からの出力要求を受信し、当該出力要求を制御部302へ送信する(S601)。
 制御部302は、要求受付部301から出力要求を受信すると、経路情報取得部303に対して経路情報取得要求を送信して、経路情報保持部203から経路情報を取得させる。また、現在位置取得部304に対して現在位置取得要求を送信して、現在の看護師端末101の位置情報を取得させる(S602)。
 経路情報取得部303は、制御部302から経路情報取得要求を受信すると、経路情報保持部203から経路情報を取得し、取得した経路情報を制御部302へ送信する(S603)。現在位置取得部304は、制御部302から現在位置取得要求を受け取ると、現在位置情報「区画3―4」を取得し、取得した現在位置情報を制御部302へ送信する(S604)。
 制御部302は、経路情報取得部303から取得した経路情報と、現在位置取得部304から取得した現在位置情報「区画3―4」とを、アクセス判定要求と共にアクセス判定部305に送信する(S605)。
 アクセス判定部305は、経路情報、現在位置情報「区画3―4」、及びアクセス判定要求を、制御部302から受信する。アクセス判定部305は、現在位置情報「区画3―4」が、経路情報に示された経路上にあるかどうかを判定し、現在位置が経路上にある場合は「アクセス可」を、経路上にない場合は「アクセス不可」を制御部302へ送信する(S606)。
 制御部302は、アクセス判定部305から判定結果を受信し、「アクセス可」の場合は、機密情報アクセス部306にアクセス要求を送信する(S607)。機密情報アクセス部306は、制御部302からアクセス要求を受信すると、保存領域206の機密情報210へのアクセスを行う(S608)。
 なお、実施の形態1において、機密情報210の保護と現在位置情報との関係は、図15の模式図に表されるようなものであってもよい。図15の例では、ユーザである訪問看護師は、現在位置情報「区画3-6」にいる。また「区画3-6」は、北緯35度33分01秒から34分00秒、東経138度42分01秒から43分00秒の範囲である。
 このとき、「区画3-6」に対応する区画鍵は、「区画3-6」の緯度及び経度を示す数字列に、北緯を示す「0」(南緯の場合は「1」)と、東経を示す「0」(西経の場合は「1」)を、図15のように付与して得られる数字列に対して所定の演算を行うことによって算出される。なお、この例における区画鍵は、128ビットのAES(Advanced Encryption Standard)に準拠した鍵である。他の区画に対応する区画鍵も同様の方法で算出することができる。
 ここで、機密情報アクセス部306は、保存領域206に機密情報210を書き込む際に、当該機密情報210をデータ鍵で暗号化する。また、機密情報アクセス部306は、機密情報210を暗号化したデータ鍵を、上記の方法で区画毎に生成された区画鍵で暗号化しておく。暗号化されたデータ鍵(暗号化データ鍵)は、例えば、経路情報と共に経路情報保持部203に保持される。
 すなわち、看護師端末101は、看護師派遣元(図4の区画1-7)から看護師訪問先(図4の区画5-1)に至る各区画の暗号化データ鍵を保持している。図4の例では、13個の暗号化データ鍵を保持している。一方、経路から外れた区画(例えば区画1-1)の暗号化データ鍵は、保持しておいてもよいし、保持していなくてもよい。
 次に、機密情報アクセス部306は、保存領域206に記録された機密情報210を読み出す際に、現在位置取得部304によって取得された現在位置情報に対応する区画の区画鍵を用いて機密情報210の暗号化に用いられているデータ鍵を復号し、機密情報210へアクセスする。
 なお、ここで用いられる演算は、例えば、SHA-1やMD5などの一方向性関数を用いたHMAC(Keyed-Hashing for Message Authentication)アルゴリズムで実現される。
 (実施の形態2)
 実施の形態2では、経路の途中での経路変更に対応した機密情報アクセス制御方法を、図面を参照しながら説明する。図7は、本発明の実施の形態2に係る機密情報アクセス制御方法が用いられる訪問看護師派遣モデルである。
 図7において、本実施の形態2の訪問看護師派遣モデルは、経路途中での経路変更に対応するために、ネットワークを通じて看護師端末701とサーバ端末702とが通信できるようになっている。
 看護師端末701は、端末利用者からの経路情報更新要求に応じて、サーバ端末702と通信する。具体的には、看護師端末701は、現在いる地点をサーバ端末702に送信し、現在いる地点から看護師訪問先までの新たな経路情報を受信する。
 サーバ端末702は、看護師端末701から経路情報更新要求と現在位置情報とを受信すると、現在位置情報から看護師訪問先までの新たな経路情報を生成すると共に、新たな経路上の各区画鍵で暗号化された暗号化データ鍵を生成する。そして、サーバ端末702は、生成した経路情報と暗号化データ鍵とを看護師端末701へ送信する。
 それ以外は、図1における訪問看護師派遣モデルと変わらないため、説明を省略する。
 図8は、本発明の実施の形態2に係る看護師端末701の内部構成を示したブロック図である。実施の形態2に係る看護師端末701は、実施の形態1に係る看護師端末101の構成に加えて、さらに通信部807を備える。なお、看護師端末101、701に共通の構成要素には、同一の参照番号を付し、詳しい説明は省略する。
 経路情報書込部804は、メディアR/W部205と通信部807とを通して、サーバ端末702から新たな経路情報を取得し、経路情報保持部203に取得した経路情報を書き込む。
 通信部807は、図示されない端末利用者(典型的には、訪問看護師)からの経路情報更新要求に応じて、サーバ端末702と通信を行う。具体的には、経路情報更新要求と現在位置情報とをサーバ端末702に送信し、現在いる地点から看護師訪問先までの新たな経路情報と経路上の各区画に対応する暗号化データ鍵とを受信する。そして、書込要求とともに、新たな経路情報と暗号化データ鍵とを経路情報書込部804に送信する。
 それ以外は、図1における訪問看護師派遣モデルと変わらないため、説明を省略する。
 図9は、看護師端末701の経路情報更新要求によって、図4に示される経路情報(実践)と、更新された新たな経路情報(破線)とを表した図である。図9において、「区画3―4」以降の経路情報は、看護師端末701の経路情報更新要求によって、サーバ端末702が新たに生成したものである。
 以下、以上のように構成された経路の途中での経路変更に対応した機密情報アクセス制御方法を、図面を用いて説明する。
 図10は、図4に示される経路情報から図9に示される経路情報(破線)に更新される手順を示したフローチャートである。
 通信部807は、端末利用者からの経路情報更新要求に応じて、経路情報更新要求と現在位置情報とをサーバ端末702に送信する(S1001)。サーバ端末702は、看護師端末701から経路情報更新要求と現在位置情報とを受信すると、現在位置情報から看護師訪問先までの新たな経路情報と新たな経路上の各区画に対応する暗号化データ鍵とを生成し、看護師端末701へ送信する(S1002)。図9の例では、区画「4-4」、区画「4-3」、及び区画「5-2」それぞれの区画鍵で暗号化された暗号化データ鍵が生成されることになる。
 通信部807は、サーバ端末702から新たな経路情報を受信すると、書込要求とともに、受信した新たな経路情報と暗号化データ鍵とを経路情報書込部804に送信する(S1003)。経路情報書込部804は、書込要求とともに新たな経路情報と暗号化データ鍵とを通信部807から取得すると、経路情報保持部203に受信した経路情報暗号化データ鍵とを書き込む(S1004)。
 (実施の形態3)
 実施の形態3では、現在の位置情報と一つ前の位置情報とを用いた機密情報アクセス制御方法を、図面を参照しながら説明する。
 図11は、本発明の実施の形態3に係る看護師端末における機密情報アクセス制御部1002の内部構成を示したブロック図である。なお、図3に示される機密情報アクセス制御部202と共通する構成要素には、同一の参照番号を付し、詳しい説明は省略する。また、看護師端末の他の構成要素は、図2に示される看護師端末101又は図8に示される看護師端末701と共通するので、説明は省略する。
 制御部1102は、看護師端末の電源ON時に、現在位置取得部304に対して現在地取得要求を送信して、現在の位置情報を取得させる。そして、制御部1102は、現在位置取得部304から現在位置情報を取得し、取得した現在位置情報を定期現在位置情報として現在位置記録部1107に記録する。
 また、制御部1102は、看護師端末の電源ON後、定期的に経路情報取得部303に対して経路情報取得要求を送信して、経路情報保持部203から経路情報を取得させると共に、定期的に現在位置取得部304に対して現在位置取得要求を送信して、現在の位置情報を取得させる。
 次に、制御部1102は、経路情報取得部303から経路情報を、現在位置取得部304から現在位置情報を取得するのと同時に、現在位置記録部1107から定期現在位置情報を取得し、これらを位置更新判定要求とともに位置更新判定部1109に送信する。
 そして、制御部1102は、位置更新判定部1109から判定結果を受信する。受信した判定結果が「位置更新あり」の場合は、定期現在位置情報を前回位置情報として前回位置記録部1108に記録し、現在位置情報を定期現在位置情報として現在位置記録部1107に記録する。つまり、制御部1102は、現在位置記録部1107に記録されている位置情報で前回位置記録部1108の内容を上書きし、現在位置取得部304から取得した位置情報で現在位置記録部1107の内容を上書きする。
 また、制御部1102は、要求受付部301から入出力要求を受信すると、経路情報取得部303に対して経路情報取得要求を送信して、経路情報保持部203から経路情報を取得させる。また、制御部1102は、現在位置取得部304に対して現在位置取得要求を送信して、現在の位置情報を取得させる。さらに、制御部1102は、経路情報取得部303から経路情報を、現在位置取得部304から現在位置情報を取得すると同時に、前回位置記録部1108から前回位置情報を取得する。
 次に、制御部1102は、取得した経路情報、現在位置情報、前回位置情報と共に、アクセス判定要求をアクセス判定部1105に送信する。そして、制御部1102は、アクセス判定部1105から判定結果を受信し、判定結果が「アクセス可」の場合は、機密情報アクセス部306にアクセス要求を送信する。
 アクセス判定部1105は、制御部1102から経路情報、現在位置情報、及び前回位置情報とともに、アクセス判定要求を受信する。アクセス判定部1105は、現在位置情報で表される現在位置と前回位置情報で表される前回位置とが、経路情報に示された経路上で、且つ経路上における隣接(前後)する区画であるかどうかを判定する。そして、アクセス判定部1105は、上記の条件を全て満たす場合は「アクセス可」を、上記の条件のうちの1つでも満たさない場合は「アクセス不可」を制御部1102へ送信する。
 現在位置記録部1107は、制御部1102によって初期化され、必要に応じて更新される定期現在位置情報を記録している。前回位置記録部1108は、制御部1102によって必要に応じて更新される前回位置情報を記録している。
 位置更新判定部1109は、制御部1102から経路情報、現在位置情報、及び定期現在位置情報とともに、位置更新判定要求を受信する。位置更新判定部1109は、現在位置情報と定期現在位置情報とに示される区画が経路情報において異なる区画である場合、「位置更新あり」を制御部1102へ送信する。
 図12は、経路情報における前回位置情報、定期現在位置情報、及び現在位置情報を表した図である。図12において、前回位置情報に示される区画は「区画3―6」であり、定期現在位置情報及び現在位置情報に示される区画は「区画3-5」である。なお、通常、定期現在位置情報と現在位置情報とは、同一の区画を指す。
 以下、以上のように構成された現在の位置情報と一つ前の位置情報とを用いた機密情報アクセス制御方法を、図面を用いて説明する。
 図13は、図11に示された機密情報アクセス制御部1002が現在位置記録部1107及び前回位置記録部1108を更新する動作を示したフローチャートである。なお、以下の説明では、前回位置情報に示される区画が「区画2-6」であり、定期現在位置情報に示される区画が「区画3-6」であり、看護師端末101を持つ訪問看護師が「区画3-5」にいるものとする。
 制御部1102は、看護師端末の電源ON後、定期的に経路情報取得部303に対して経路情報取得要求を送信して、経路情報保持部203から経路情報を取得させると共に、現在位置取得部304に対して現在位置取得要求を送信して、現在の位置情報を取得させる(S1301)。
 経路情報取得部303は、制御部302から経路情報取得要求を受信すると、経路情報保持部203から経路情報を取得し、制御部302へ送信する(S1302)。現在位置取得部304は、制御部302から現在位置取得要求を受信すると、現在位置情報「区画3―5」を取得し、制御部302へ送信する(S1303)。
 制御部1102は、経路情報取得部303から経路情報を、現在位置取得部304から現在位置情報を取得すると共に、現在位置記録部1107から定期現在位置情報「区画3-6」を取得する(S1304)。そして、制御部1102は、取得した経路情報、現在位置情報「区画3―5」、及び定期現在位置情報「区画3-6」を、位置更新判定要求と共に位置更新判定部1109に送信する(S1305)。
 位置更新判定部1109は、制御部1102から経路情報、現在位置情報「区画3―5」、定期現在位置情報「区画3-6」とともに、位置更新判定要求を受信する。位置更新判定部1109は、現在位置情報「区画3―5」と定期現在位置情報「区画3-6」とが経路情報上の異なる区画にある場合、「位置更新あり」を制御部1102へ送信する(S1306)。
 制御部1102は、位置更新判定部1109から判定結果を受信する。そして、「位置更新あり」の場合(S1306でYes)、制御部1102は、定期現在位置情報「区画3-6」を前回位置情報として前回位置記録部1108へ記録し、現在位置情報「区画3―5」を定期現在位置情報として現在位置記録部1107に記録する(S1307)。その結果、図12に示される状態となる。
 なお、図13に示される処理の頻度は特に限定されないが、少なくとも、看護師端末101を携帯する訪問看護師が1つの区画を通過するのに必要な時間より十分短い時間間隔で上記の処理を行う必要がある。
 図14は、図5のS502において、図11に示された機密情報アクセス制御部1002のアクセス可否判定の動作を示したフローチャートである。なお、以下の説明は、図13に示される動作によって、図12に示されるように、前回位置記録部1108に「区画3-6」が、現在位置記録部1107に「区画3-5」が記録された状態であることを前提としている。
 要求受付部301は、入出力受付部201から受信した出力要求を、制御部1102へ送信する(S1401)。制御部1102は、要求受付部301から出力要求を受信すると、経路情報取得部303に対して経路情報取得要求を送信して、経路情報保持部203から経路情報を取得させると共に、現在位置取得部304に対して現在位置取得要求を送信して、現在の位置情報を取得させる(S1402)。
 経路情報取得部303は、制御部302から経路情報取得要求を受信すると、経路情報保持部203から経路情報を取得し、制御部302へ送信する。また、現在位置取得部304は、制御部302から現在位置取得要求を受信すると、現在位置情報「区画3―5」を取得し、制御部1102へ送信する。
 制御部1102は、経路情報取得部303から経路情報を、現在位置取得部304から現在位置情報「区画3-5」を取得すると共に、前回位置記録部1108から前回位置情報「区画3-6」を取得する(S1403)。そして、制御部1102は、取得した経路情報、現在位置情報「区画3―5」、前回位置情報「区画3-6」と共に、アクセス判定要求をアクセス判定部305に送信する(S1404)。
 アクセス判定部1105は、制御部1102から経路情報、現在位置情報「区画3―5」、前回位置情報「区画3-6」とともに、アクセス判定要求を受信する。アクセス判定部は、現在位置情報「区画3―5」と前回位置情報「区画3-6」とが、経路情報に示された経路上で、かつ経路上における隣接(前後)する区画であるかどうかを判定する。そして、アクセス判定部1105は、上記の全てが満たされる場合に「アクセス可」を、いずれか1つでも満たされない場合は「アクセス不可」を、制御部1102へ送信する(S1405)。
 制御部1102は、アクセス判定部1105から判定結果を受信する。そして、「アクセス可」の場合(S1405でYes)、制御部1102は、機密情報アクセス部306にアクセス要求を送信する(S1406)。機密情報アクセス部306は、制御部1102からアクセス要求を受信すると、保存領域206に記録されている機密情報210へのアクセスを行う(S1407)。
 なお、実施の形態3において、機密情報210の保護と現在位置情報との関係は、図16の模式図に表されるようなものであってもよい。図16に示される例は、図15に示される例と比較して区画鍵の生成方法が異なり、その他は共通する。
 図16の例では、ユーザである訪問看護師は現在位置情報「区画3-6」にいる。また、「区画3-6」は、北緯35度33分01秒から34分00秒、東経138度42分01秒から43分00秒の範囲である。また、その直前にいた区画である前回位置情報は「区画3-7」であり、北緯35度33分01秒から34分00秒、東経138度43分01秒から44分00秒の範囲である。
 このとき、「区画3-6」に対応する区画鍵は、「区画3-6」の緯度及び経度を示す数字列に、北緯を示す「0」(南緯の場合は「1」)と、東経を示す「0」(西経の場合は「1」)を図16のように付与して得られる数字列に対して所定演算を行うことによって、上位64ビットが算出され、「区画3-7」の緯度及び経度を示す数字列に対しても同様の演算を行うことによって、下位64ビットが算出される。そして、上記の方法で算出された上位64ビットと下位64ビットとを足して128ビットのAES(Advanced Encryption Standard)の「区画3-6」に対応した鍵を算出する。
 そして、この鍵を用いて機密情報210の暗号化に用いられているデータ鍵を復号し、機密情報210へアクセスする。なお、ここで用いられる演算は、SHA-1やMD5などの一方向性関数を用いたHMAC(Keyed-Hashing for Message Authentication)アルゴリズムで実現される。
 (その他変形例)
 現在位置情報の取得には、GPSを用いるとしたが、GPSに加えて、ジャイロセンサーや加速度センサーを使ってもよい。トンネルなどGPSを有効活用できない道路状態においても、現在位置情報を把握することができる。
 現在位置情報は、GPSによる情報を変換することによる経度・緯度で表現することが可能であるが、現在位置情報に高度をパラメータに加えてもよい。
 GPSによる現在位置情報の把握は、実際の位置情報とは誤差があるため、例えば+10m程度で制御を行うとしてもよい。
 表示部が機密情報へのアクセスが可能な経路情報について表示を行う構成であってもよい。このとき、経路情報の区画が示され、現在位置とそれまでの軌跡が表示される構成であってもよい。
 機密情報へのアクセス制御を位置情報を用いて制御したが、位置情報に加えて、区画毎の到着時刻情報を加えて制御するとしてもよい。
 一旦、アクセス可否を判定し、アクセス可となった後、一定時間現在位置情報を取得できず、アクセス判定ができない場合に、自動的にデータを削除しアクセスを不可としてもよい。
 情報処理端末が経路情報に表された経路上から外れそうになった場合に、ユーザに対して、警告を提示してもよい。また、経路上から完全に外れたと判断した場合には、アクセス不可を提示してもよい。
 情報処理端末が経路情報に表された経路上から外れた場合、「表示許可/不許可」だけではなく、「読み取り、かつ書き出し許可/不許可」や「読み取りのみ許可/不許可」、「外部メディアへの出力許可、不許可」などの制御を行ってもよい。
 情報処理端末が出発地点から目的地点まで到達し、再び出発地点まで戻った時に、全経路の経路ログを保存しておき、サーバ端末で経路を確認する構成であってもよい。
 一旦経路上を外れた場合でも、経路情報の更新を行わず、再度経路に復帰した場合は、アクセスを許可する構成であってもよい。このとき、外れた回数を記録し、ある一定の回数以上外れた場合に、アクセスを許可しなくなる構成であってもよい。
 情報処理端末は、カーナビゲーションシステムを備え、出発地点から到着地点の経路情報を算出した後、ネットワーク経由でサーバに問い合わせを行い、同経路情報の経路上における機密情報へのアクセス許可を得るとしてもよい。このとき経路情報の更新についても、カーナビゲーションシステムが、現在位置情報から到着地点までの経路情報を算出し、サーバにアクセス許可を得るとしてもよい。
 経路情報における経路上では、「アクセス許可」とするとしたが、経路上のみアクセスできない「アクセス不許可」とする制御を行ってもよい。
 サーバ側で複数の情報処理端末を管理するときは、情報処理端末ごとに固有のIDを持ち、サーバ側で管理するとしてもよい。
 上記の各装置は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記RAMまたはハードディスクユニットには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。なお、各装置は、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどの全てを含むコンピュータシステムには限らず、これらの一部から構成されているコンピュータシステムであってもよい。
 上記の各装置を構成する構成要素の一部または全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAMなどを含んで構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、システムLSIは、その機能を達成する。また、上記の各装置を構成する構成要素の各部は、個別に1チップ化されていてもよいし、一部又は全てを含むように1チップ化されてもよい。また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用してもよい。さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。
 上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なICカードまたは単体のモジュールから構成されているとしてもよい。前記ICカードまたは前記モジュールは、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。前記ICカードまたは前記モジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ICカードまたは前記モジュールは、その機能を達成する。このICカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。
 本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。また、本発明は、前記コンピュータプログラムまたは前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray Disc)、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよい。また、本発明は、前記コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。また、本発明は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記録しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。また、前記プログラムまたは前記デジタル信号を前記記録媒体に記録して移送することにより、または前記プログラムまたは前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
 上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。
 以上、図面を参照してこの発明の実施形態を説明したが、この発明は、図示した実施形態のものに限定されない。図示した実施形態に対して、この発明と同一の範囲内において、あるいは均等の範囲内において、種々の修正や変形を加えることが可能である。
 本発明によれば、機密情報を記録した情報処理端末を外部へ持ち出した時の、盗難による機密情報の漏えいを防止する情報処理端末及び機密情報アクセス制御方法を提供することができる。
 101,701  看護師端末
 102,702  サーバ端末
 201  入出力受付部
 202,1002  機密情報アクセス制御部
 203  経路情報保持部
 204,804  経路情報書込部
 205  メディアR/W部
 206  保存領域
 210  機密情報
 211  一般情報
 301  要求受付部
 302,1102  制御部
 303  経路情報取得部
 304  現在位置取得部
 305,1105  アクセス判定部
 306  機密情報アクセス部
 807  通信部
 1107 現在位置記録部
 1108 前回位置記録部
 1109 位置更新判定部

Claims (17)

  1.  機密情報へのアクセス制御を行う情報処理端末であって、
     一般情報及び機密情報を記録する保存領域と、
     前記保存領域に記録されている前記一般情報又は前記機密情報へのアクセス命令をユーザから受け付ける入出力受付部と、
     前記機密情報へのアクセスが可能な行動範囲を示すアクセス可能領域指定マップを保持するアクセス可能領域保持部と、
     前記入出力受付部で前記機密情報へのアクセス命令が受付けられたことに応じて、当該機密情報へのアクセスの可否を判定する機密情報アクセス制御部とを備え、
     前記機密情報アクセス制御部は、
     前記情報処理端末の現在の位置を示す現在位置情報を取得する現在位置取得部と、
     前記現在位置情報で示される前記情報処理端末の位置が、前記アクセス可能領域保持部に保持されている前記アクセス可能領域指定マップ上にある場合に、前記機密情報へのアクセスを許可するアクセス判定部と、
     前記アクセス判定部でアクセスが許可されたことに応じて、前記保存領域に記録されている前記機密情報へのアクセスを行う機密情報アクセス部とを備える
     情報処理端末。
  2.  前記アクセス可能領域指定マップは、出発地点から到着地点までの前記情報処理端末の経路情報を表す
     請求項1に記載の情報処理端末。
  3.  前記アクセス可能領域保持部は、経路の異なる複数の前記アクセス可能領域指定マップを保持する
     請求項2に記載の情報処理端末。
  4.  前記情報処理端末は、さらに、外部から取得したアクセス可能領域指定マップで、前記アクセス可能領域保持部の内容を更新する更新部を備える
     請求項2に記載の情報処理端末。
  5.  前記更新部は、
     外部記録メディアから前記アクセス可能領域指定マップを読み出すメディア読み書き部と、
     前記メディア読み書き部によって前記外部記録メディアから読み出された前記アクセス可能領域指定マップを前記アクセス可能領域保持部に書き込む経路情報書込部とを備える
     請求項4に記載の情報処理端末。
  6.  前記更新部は、
     外部サーバと通信する通信部と、
     前記通信部によって前記外部サーバから取得した前記アクセス可能領域指定マップを、前記アクセス可能領域保持部に書き込む経路情報書込部とを備える
     請求項4に記載の情報処理端末。
  7.  前記更新部は、さらに、取得した前記アクセス可能領域指定マップを所定のハッシュ関数に入力して第1のハッシュ値を算出し、
     前記機密情報アクセス制御部は、前記更新部で算出された第1のハッシュ値と、前記アクセス可能領域保持部に保持されている前記アクセス可能領域指定マップを前記所定のハッシュ関数に入力して得られる第2のハッシュ値とが一致する場合に、前記機密情報へのアクセスの可否を判定する
     請求項4に記載の情報処理端末。
  8.  前記機密情報アクセス制御部は、耐タンパ技術又はReactive Methodsを用いて、保護されている
     請求項1に記載の情報処理端末。
  9.  前記機密情報は、前記一般情報に比べて、前記保存領域の保護レベルの高い領域に記録されている
     請求項1に記載の情報処理端末。
  10.  前記アクセス可能領域指定マップは、複数の区画の集合によって表現されており、
     前記保存領域に記録された前記機密情報は、データ鍵によって暗号化されており、
     前記データ鍵は、前記区画毎に割り当てられた区画鍵によって暗号化されており、
     前記機密情報アクセス部は、前記現在位置取得部によって取得された現在位置情報に基づいて前記区画鍵を生成し、生成した前記区画鍵で前記データ鍵を復号し、復号された前記データ鍵で前記保存領域に記録されている前記機密情報を復号する
     請求項9に記載の情報処理端末。
  11.  前記アクセス可能領域指定マップは、複数の区画の集合によって表現されており、
     前記機密情報アクセス制御部は、さらに、
     該情報処理端末の現在位置に対応する区画を記録している現在位置記録部と、
     現在位置記録部に記録されている区画の直前に該情報処理端末が通過した区画を記録している前回位置記録部と、
     前記現在位置取得部に該情報処理端末の現在位置情報を定期的に取得させ、取得した現在位置情報に対応する区画が、前記現在位置記録部に記録されている区画と異なる場合に、前記現在位置記録部に記録されている区画で前記前回位置記録部を上書きし、取得した現在位置情報に対応する区画で前記現在位置記録部の内容を上書きする位置更新判定部とを備え、
     前記アクセス判定部は、前記入出力受付部で前記機密情報へのアクセス命令が受付けられたタイミングで前記現在位置取得部によって取得された前記現在位置情報に対応する区画と、前記前回位置情報に記録されている区画とが、前記アクセス可能領域指定マップ上の互いに隣接する区画である場合に、前記機密情報へのアクセスを許可する
     請求項1に記載の情報処理端末。
  12.  前記保存領域に記録された前記機密情報は、データ鍵によって暗号化されており、
     前記データ鍵は、前記区画毎に割り当てられた区画鍵によって暗号化されており、
     前記機密情報アクセス部は、前記現在位置取得部によって取得された現在位置情報に対応する区画と前記前回位置記録部に記録されている区画とに基づいて前記区画鍵を生成し、生成した前記区画鍵で前記データ鍵を復号し、復号された前記データ鍵で前記保存領域に記録されている前記機密情報を復号する
     請求項11に記載の情報処理端末。
  13.  一般情報及び機密情報を記録する保存領域と、前記機密情報へのアクセスが可能な行動範囲を示すアクセス可能領域指定マップを保持するアクセス可能領域保持部とを備える情報処理端末における機密情報アクセス制御方法であって、
     前記保存領域に記録されている前記一般情報又は前記機密情報へのアクセス命令をユーザから受け付ける入出力受付ステップと、
     前記入出力受付ステップで前記機密情報へのアクセス命令が受付けられたことに応じて、当該機密情報へのアクセスの可否を判定する機密情報アクセス制御ステップとを含み、
     前記機密情報アクセス制御ステップは、
     前記情報処理端末の現在の位置を示す現在位置情報を取得する現在位置取得ステップと、
     前記現在位置情報で示される前記情報処理端末の位置が、前記アクセス可能領域保持部に保持されている前記アクセス可能領域指定マップ上にある場合に、前記機密情報へのアクセスを許可するアクセス判定ステップと、
     前記アクセス判定ステップでアクセスが許可されたことに応じて、前記保存領域に記録されている前記機密情報へのアクセスを行う機密情報アクセスステップとを含む
     機密情報アクセス制御方法。
  14.  前記アクセス可能領域指定マップは、複数の区画の集合によって表現されており、
     該情報処理端末は、さらに、
     該情報処理端末の現在位置に対応する区画を記録している現在位置記録部と、
     現在位置記録部に記録されている区画の直前に該情報処理端末が通過した区画を記録している前回位置記録部とを備え、
     前記機密情報アクセス制御ステップは、さらに、該情報処理端末の現在位置情報を定期的に取得し、取得した現在位置情報に対応する区画が、前記現在位置記録部に記録されている区画と異なる場合に、前記現在位置記録部に記録されている区画で前記前回位置記録部を上書きし、取得した現在位置情報に対応する区画で前記現在位置記録部を上書きする位置更新判定ステップを含み、
     前記アクセス判定ステップでは、前記入出力受付ステップで前記機密情報へのアクセス命令が受付けられたタイミングで前記現在位置取得ステップで取得された前記現在位置情報に対応する区画と、前記前回位置情報に記録されている区画とが、前記アクセス可能領域指定マップ上の互いに隣接する区画である場合に、前記機密情報へのアクセスを許可する
     請求項13に記載の機密情報アクセス制御方法。
  15.  請求項13又は14に記載の機密情報アクセス制御方法をコンピュータに実行させるためのプログラム。
  16.  請求項13又は14に記載の機密情報アクセス制御方法をコンピュータに実行させるためのプログラムを記録したコンピュータ読取可能な記録媒体。
  17.  機密情報へのアクセス制御を行う集積回路であって、
     一般情報及び機密情報を記録する保存領域と、
     前記保存領域に記録されている前記一般情報又は前記機密情報へのアクセス命令をユーザから受け付ける入出力受付部と、
     前記機密情報へのアクセスが可能な行動範囲を示すアクセス可能領域指定マップを保持するアクセス可能領域保持部と、
     前記入出力受付部で前記機密情報へのアクセス命令が受付けられたことに応じて、当該機密情報へのアクセスの可否を判定する機密情報アクセス制御部とを備え、
     前記機密情報アクセス制御部は、
     前記情報処理端末の現在の位置を示す現在位置情報を取得する現在位置取得部と、
     前記現在位置情報で示される前記情報処理端末の位置が、前記アクセス可能領域保持部に保持されている前記アクセス可能領域指定マップ上にある場合に、前記機密情報へのアクセスを許可するアクセス判定部と、
     前記アクセス判定部でアクセスが許可されたことに応じて、前記保存領域に記録されている前記機密情報へのアクセスを行う機密情報アクセス部とを備える
     集積回路。
     
PCT/JP2011/000710 2010-03-15 2011-02-09 情報処理端末、機密情報アクセス制御方法、プログラム、記録媒体、及び集積回路 WO2011114617A1 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US13/319,692 US8656127B2 (en) 2010-03-15 2011-02-09 Information processing terminal, method, program, and integrated circuit for controlling access to confidential information, and recording medium having the program recorded thereon
JP2011531696A JP5631322B2 (ja) 2010-03-15 2011-02-09 情報処理端末、機密情報アクセス制御方法、プログラム、記録媒体、及び集積回路
EP11755810.6A EP2549402B1 (en) 2010-03-15 2011-02-09 Data processing terminal, confidential data access control method, program, storage medium, and integrated circuit

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2010058239 2010-03-15
JP2010-058239 2010-03-15

Publications (1)

Publication Number Publication Date
WO2011114617A1 true WO2011114617A1 (ja) 2011-09-22

Family

ID=44648733

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2011/000710 WO2011114617A1 (ja) 2010-03-15 2011-02-09 情報処理端末、機密情報アクセス制御方法、プログラム、記録媒体、及び集積回路

Country Status (4)

Country Link
US (1) US8656127B2 (ja)
EP (1) EP2549402B1 (ja)
JP (1) JP5631322B2 (ja)
WO (1) WO2011114617A1 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013080306A (ja) * 2011-10-03 2013-05-02 Hitachi Automotive Systems Ltd アクセス制御方法および、それを用いた情報表示装置、情報表示システム
JP2014139722A (ja) * 2013-01-21 2014-07-31 Toshiba Corp 携帯情報端末及び医療情報提供システム
JP2014186733A (ja) * 2013-03-22 2014-10-02 F Hoffmann-La Roche Ag 機密データにアクセス不能であることを確実にする方法およびシステム
JP2014186660A (ja) * 2013-03-25 2014-10-02 Canon Inc 携帯情報端末、その制御方法及びプログラム

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2629478B1 (en) 2012-02-16 2018-05-16 BlackBerry Limited Method and apparatus for separation of connection data by perimeter type
US8825374B2 (en) * 2012-06-05 2014-09-02 At&T Intellectual Property I, L.P. Navigation route updates
US9390279B2 (en) * 2012-09-11 2016-07-12 Nextnav, Llc Systems and methods for providing conditional access to transmitted information
KR101382222B1 (ko) * 2012-10-12 2014-04-07 (주)소만사 파일 시스템 가상화를 이용한 모바일 정보유출방지 시스템 및 방법
US9747463B2 (en) 2013-11-30 2017-08-29 Sap Se Securing access to business information
JP2016173635A (ja) * 2015-03-16 2016-09-29 日本電信電話株式会社 認証システム、外部記憶媒体、および認証方法
US9477825B1 (en) * 2015-07-10 2016-10-25 Trusted Mobile, Llc System for transparent authentication across installed applications

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002268549A (ja) 2001-03-06 2002-09-20 Sharp Corp 情報へのアクセス制御方法、情報へのアクセス制御装置、情報へのアクセス制御ネットワークシステム、情報へのアクセス制御プログラム
JP2003099400A (ja) * 2001-09-26 2003-04-04 Fujitsu Ltd セキュリティ管理装置及びセキュリティ管理方法並びにセキュリティ管理用プログラム
WO2004013744A2 (en) 2002-08-01 2004-02-12 Matsushita Electric Industrial Co., Ltd. Apparatuses and methods for decrypting encrypted blocks of data and locating the decrypted blocks of data in memory space used for execution
JP2004302930A (ja) 2003-03-31 2004-10-28 Fujitsu Ltd ファイルのセキュリティ管理プログラム及びファイルのセキュリティ管理装置
JP2005293034A (ja) * 2004-03-31 2005-10-20 Fuji Photo Film Co Ltd 医療情報管理方法及びサーバ及びプログラム
JP2009260829A (ja) * 2008-04-18 2009-11-05 Nec Saitama Ltd 携帯端末データ記憶システム、携帯端末、データ記憶方法及びデータ管理方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7143289B2 (en) * 2000-10-30 2006-11-28 Geocodex Llc System and method for delivering encrypted information in a communication network using location identity and key tables
US7774593B2 (en) * 2003-04-24 2010-08-10 Panasonic Corporation Encrypted packet, processing device, method, program, and program recording medium
US10176338B2 (en) * 2005-11-23 2019-01-08 Salesforce.Com Secure distributed storage of documents containing restricted information, via the use of keysets
US7917963B2 (en) * 2006-08-09 2011-03-29 Antenna Vaultus, Inc. System for providing mobile data security
JP2010016559A (ja) * 2008-07-02 2010-01-21 Denso Corp 暗号通信システム、受信装置、及び、送信装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002268549A (ja) 2001-03-06 2002-09-20 Sharp Corp 情報へのアクセス制御方法、情報へのアクセス制御装置、情報へのアクセス制御ネットワークシステム、情報へのアクセス制御プログラム
JP2003099400A (ja) * 2001-09-26 2003-04-04 Fujitsu Ltd セキュリティ管理装置及びセキュリティ管理方法並びにセキュリティ管理用プログラム
WO2004013744A2 (en) 2002-08-01 2004-02-12 Matsushita Electric Industrial Co., Ltd. Apparatuses and methods for decrypting encrypted blocks of data and locating the decrypted blocks of data in memory space used for execution
JP2004302930A (ja) 2003-03-31 2004-10-28 Fujitsu Ltd ファイルのセキュリティ管理プログラム及びファイルのセキュリティ管理装置
JP2005293034A (ja) * 2004-03-31 2005-10-20 Fuji Photo Film Co Ltd 医療情報管理方法及びサーバ及びプログラム
JP2009260829A (ja) * 2008-04-18 2009-11-05 Nec Saitama Ltd 携帯端末データ記憶システム、携帯端末、データ記憶方法及びデータ管理方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See also references of EP2549402A4

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013080306A (ja) * 2011-10-03 2013-05-02 Hitachi Automotive Systems Ltd アクセス制御方法および、それを用いた情報表示装置、情報表示システム
JP2014139722A (ja) * 2013-01-21 2014-07-31 Toshiba Corp 携帯情報端末及び医療情報提供システム
JP2014186733A (ja) * 2013-03-22 2014-10-02 F Hoffmann-La Roche Ag 機密データにアクセス不能であることを確実にする方法およびシステム
JP2014186660A (ja) * 2013-03-25 2014-10-02 Canon Inc 携帯情報端末、その制御方法及びプログラム
US9867158B2 (en) 2013-03-25 2018-01-09 Canon Kabushiki Kaisha Mobile information terminal, control method thereof, and storage medium

Also Published As

Publication number Publication date
EP2549402A4 (en) 2014-03-19
EP2549402B1 (en) 2017-12-20
US8656127B2 (en) 2014-02-18
JP5631322B2 (ja) 2014-11-26
JPWO2011114617A1 (ja) 2013-06-27
EP2549402A1 (en) 2013-01-23
US20120060008A1 (en) 2012-03-08

Similar Documents

Publication Publication Date Title
JP5631322B2 (ja) 情報処理端末、機密情報アクセス制御方法、プログラム、記録媒体、及び集積回路
EP2974416B1 (en) Sequencing the validity of access control keys
CA2524186C (en) Navigation system
US8713700B2 (en) Access control method, information display device using the same, and information display system
US10126960B2 (en) Fuse-based anti-replay mechanism
US20170329994A1 (en) Techniques for determining an anti-replay counter for preventing replay attacks
JP6015351B2 (ja) 携帯端末装置、携帯端末プログラム、及び文書管理システム
JPWO2011099076A1 (ja) 地図表示装置
EP3376426B1 (en) Information management terminal device
JP2020166883A (ja) 情報管理端末装置
JP2013026964A (ja) 車両用情報更新装置および車両用情報更新方法
CN102667410B (zh) 导航系统
JP2014186660A (ja) 携帯情報端末、その制御方法及びプログラム
JP2008016014A (ja) 機密情報保護システム、機密情報復元装置、及び割符生成装置
JP5348502B2 (ja) ナビゲーションシステム
JP5528198B2 (ja) 情報処理装置及びプログラム
JP2010160536A (ja) 情報端末、有効期限管理システム、プログラム及び方法
JP7513542B2 (ja) 情報処理システム
WO2019009795A1 (en) STORING AND TRANSFERRING SECURE DATA
JP4969700B2 (ja) 地図表示装置

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 2011531696

Country of ref document: JP

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 11755810

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2011755810

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 13319692

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE