WO2013030936A1

WO2013030936A1 - 暗号通信管理装置及び暗号通信管理方法

Info

Publication number: WO2013030936A1
Application number: PCT/JP2011/069492
Authority: WO
Inventors: 孝義西山; 大河内　一弥; 安東　宣善; 浩仁矢野
Original assignee: 株式会社日立製作所
Priority date: 2011-08-29
Filing date: 2011-08-29
Publication date: 2013-03-07

Abstract

　暗号通信で使用する鍵を効率的に管理すること。　暗号通信管理装置の制御部は、各第１装置から第１情報を収集する情報収集部と、収集された各第１情報に所定の処理を施すことにより、第２情報を生成する第２情報生成部と、第２情報を、第２情報を使用する第２装置の種類及び第２情報の生成過程に基づいてグループ化し、生成されたグループ毎に暗号強度を決定し、決定された暗号強度に対応する暗号化鍵を生成し、生成された暗号化鍵を第２情報に対応付けて管理する鍵生成管理部と、第２情報を、対応付けられた暗号化鍵で暗号化する暗号化部と、暗号化された第２情報を第２装置に送信する情報提供部と、を備える。

Description

暗号通信管理装置及び暗号通信管理方法

　本発明は、暗号通信管理装置及び暗号通信管理方法に関する。

　地域のエネルギー需給の最適化を目指すシステムでは、地域全体のエネルギー需給をＣＥＭＳ（Ｃｏｍｍｕｎｉｔｙ　Ｅｎｅｒｇｙ　Ｍａｎａｇｅｍｅｎｔ　Ｓｙｓｔｅｍ）という装置によって制御することが検討されている。ＣＥＭＳは、電力を消費又は生成する末端の機器（例えば、電気自動車、家庭電気製品、及び蓄電池等）から、通信ネットワークを介して機器情報を収集し、各種統計情報（例えば、地域全体の電力需給に関する統計情報等）を生成する。また、ＣＥＭＳは、生成した各種統計情報に基づき、地域の電力需給の予測及び調整を行う。さらに、ＣＥＭＳは、生成した各種統計情報を、それら統計情報を所望する個人ユーザ、及びそれら統計情報を利用して様々なサービスをユーザに提供するサービス会社等に提供する。

　各種統計情報には、個人の氏名又は住所等の個人情報、各家庭の電力消費量等の個人のプライバシーに関わる情報、機器エラー情報又は機器ステータス情報等の企業秘密に関わる情報、などが含まれ得る。したがって、各種統計情報は、ＣＥＭＳと契約していない不正な第三者は閲覧できず、ＣＥＭＳと契約している正式な契約者（以下「契約者」という）のみが閲覧できるようにしなければならない。これを実現する技術として、統計情報を所定の暗号方式で暗号化し、エンドツーエンドで通信する暗号化技術が知られている（特許文献１）。

特開２００９－１０００１３号公報

　各種統計情報を、契約者ごとに異なる暗号化鍵で暗号化した場合、契約者の増加に伴って、暗号通信管理装置（例えば、ＣＥＭＳ）において、管理すべき鍵の数が増加してしまう。さらに、契約者の増加に伴って、暗号通信管理装置における、統計情報の暗号処理負荷が増大してしまう。

　本発明の目的は、効率的な暗号通信を実現する暗号通信管理装置及び暗号通信管理方法を提供することにある。

　本発明の別の目的は、管理すべき鍵の数の増加を抑制することができるようにした暗号通信管理装置及び暗号通信管理方法を提供することにある。

　本発明の別の目的は、暗号化処理負荷の増大を抑制できるようにした暗号通信管理装置及び暗号通信管理方法を提供することである。

　本発明の一実施形態に従う暗号通信管理装置は、複数の第１装置と複数の第２装置とに通信可能に接続され、各第１装置から取得した情報を各第２装置のうち所定の第２装置に暗号化して提供するための暗号通信管理装置であって、各第１装置から第１情報を収集する情報収集部と、収集された各第１情報に所定の処理を施すことにより、第２情報を生成する第２情報生成部と、第２情報を、第２情報を使用する第２装置の種類及び第２情報の生成過程に基づいてグループ化し、生成されたグループ毎に暗号強度を決定し、決定された暗号強度に対応する暗号化鍵を生成し、生成された暗号化鍵を第２情報に対応付けて管理する鍵生成管理部と、第２情報を、対応付けられた暗号化鍵で暗号化する暗号化部と、暗号化された第２情報を第２装置に送信する情報提供部と、を備える。

　これにより、各第２情報は、当該第２情報が生成されるまでに実行された所定の処理の回数に基づいて暗号強度が決定され、決定された暗号強度を実現する暗号化鍵で暗号化される。

　好適な実施形態では、暗号通信管理装置は、前記鍵生成管理部において、第２情報に対する暗号強度を決定するにあたり、所定の処理の回数が所定の閾値以下の場合は、暗号強度を高くするように決定し、所定の処理の回数が所定の閾値よりも大きい場合は、暗号強度を低くするように決定する。

　これにより、所定の処理が実行された回数の多い第２情報は、比較的低い暗号強度の暗号化鍵で暗号化され、所定の処理が実行された回数の少ない第２情報は、比較的高い暗号強度の暗号化鍵で暗号化される。

本発明の一実施形態に係る情報提供システムのシステム構成を示す。制御部で実行される各種機能及び記憶部に保持される各種ＤＢの一例を示す。各統計情報に含まれる情報項目の一例を示す。統計情報の生成過程と、秘匿性及び暗号強度との関係を示す。鍵管理ＤＢに保持される鍵管理テーブルの一例を示す。統計情報の生成処理のフローチャートの一例を示す。鍵生成処理のフローチャートの一例を示す。暗号強度算出処理のフローチャートの一例を示す。第１テーブル鍵生成処理のフローチャートの一例を示す。第２テーブル鍵生成処理のフローチャートの一例を示す。暗号化処理のフローチャートの一例を示す。提供情報のデータ構造の一例を示す。提供情報の送信処理のフローチャートの一例を示す。第２実施例に係る情報提供システムのシステム構成を示す。ＣＥＭＳ及び認証管理サーバの機能ブロック構成の一例を示す。暗号化処理のフローチャートの一例を示す。

　本実施形態に係る暗号通信管理装置は、以下に示すように、情報を利用する関係者毎に、及び、情報の項目毎に、第２情報をグループ化して、暗号通信を管理する。

　本実施形態において機器管理装置７は「第１装置」に該当する。サービス提供装置９は「第２装置」に該当する。ＣＥＭＳ１は「暗号通信管理装置」に該当する。機器情報５１は「第１情報」に該当する。統計情報５０は「第２情報」に該当する。統計ステップ値は「所定処理の回数」に該当する。

　図１は、本発明の一実施形態に係る情報提供システム１００を、地域の電力情報を管理するＣＥＭＳを含むシステムに適用した場合のシステム構成を示す。本実施形態の特徴は、ＣＥＭＳと結合した場合に、より効果的である。しかし、本実施形態は、ＣＥＭＳを含むシステムに限らず、他のシステムにも適用できる。

　情報提供システム１００は、例えば、ＣＥＭＳ１、機器管理装置７、機器８、サービス提供装置９、通信ネットワーク１０、１１及び１３から構成される。

　機器管理装置７は、通信ネットワーク１３を介して、各機器８から機器情報５１（図３参照）を収集する。機器管理装置７は、収集した複数の機器情報５１を、通信ネットワーク１０を介して、ＣＥＭＳ１に送信する。機器管理装置７は、収集した複数の機器情報５１を統計処理してユーザ統計情報５２（図３参照）を生成し、生成したユーザ統計情報５２をＣＥＭＳ１に送信するようにしてもよい。ユーザ統計情報５２の詳細については後述するが、例えば、機器管理装置７が管理している複数の機器８の電力消費量の合計値などが含まれる。機器管理装置７及び機器８は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、メモリ、及び通信インタフェース等の一般的なコンピュータの構成（不図示）を備える。

　機器管理装置７の具体的な一例は、例えば、ＨＥＭＳ（Ｈｏｍｅ　Ｅｎｅｒｇｙ　Ｍａｎａｇｅｍｅｎｔ　Ｓｙｓｔｅｍ）、ＢＥＭＳ（Ｂｕｉｌｄｉｎｇ　Ｅｎｅｒｇｙ　Ｍａｎａｇｅｍｅｎｔ　Ｓｙｓｔｅｍ）、又はＦＥＭＳ（Ｆａｃｔｏｒｙ　Ｅｎｅｒｇｙ　Ｍａｎａｇｅｍｅｎｔ　Ｓｙｓｔｅｍ）等である。

　ＨＥＭＳは、宅内に設置されている、例えば、家庭電気製品、太陽光発電装置、給湯機、及びコージェネレーションシステム等の各機器８から、例えば、電力消費量、電力生成量、及び温水使用量等の機器情報５１を収集する。ＨＥＭＳは、例えば、スマートメータ及び各種センサ等に接続されるホームサーバとして構成される。

　ＢＥＭＳは、ビル内に設置されている各機器８から機器情報５１を収集する。ビル内の機器８としては、例えば、エレベータ、エスカレータ、太陽光発電装置、照明装置、及び空調システム等がある。ＢＥＭＳは、それら機器８から、例えば、電力消費量、エレベータのエラー情報、空調システムの設定温度等の機器情報５１を収集する。

　ＦＥＭＳは、工場内に設置されている各機器８から、機器情報５１を収集する。工場内の機器８としては、例えば、コンベア装置、溶接機、組立ロボット、工作機械等の産業用機械、自家発電装置、空調装置等がある。ＦＥＭＳは、それら機器８から、例えば、電力消費量、電力生成量、及び産業用機械の総稼働時間等の機器情報５１を収集する。

　サービス提供装置９は、例えば、ＣＥＭＳ１と契約した企業等が所有するコンピュータ装置であり、通信ネットワーク１１を介して、ＣＥＭＳ１から提供情報７０（図１２参照）を受信する。サービス提供装置９は、ＣＰＵ、メモリ、及び通信インタフェース等の一般的なコンピュータの構成（不図示）を備える。提供情報７０の詳細については後述する。提供情報７０に含まれる統計情報５０の一部又は全部は、サービス提供装置９を運用する契約者以外が閲覧できないように暗号化されている。そのため、サービス提供装置９は、暗号化された統計情報５０を復号するための復号鍵を保持する。復号鍵は、ＣＥＭＳ１で生成され、サービス提供装置９に配布される。

　契約者は、ＣＥＭＳ１から受信した提供情報７０を基に、様々なサービスを実現することができる。以下、具体例を挙げる。

　例えば、契約者が電気製品等の製造者または販売者である場合について述べる。電気製品等の製造者または販売者が所有するサービス提供装置９は、例えば、ＣＥＭＳ１から機器８のエラー情報またはステータス情報を収集して、機器８の修理等をコミュニティ内の需要家に呼びかけることができる。

　例えば、契約者がビル管理会社の場合を説明する。ビル管理会社が所有するサービス提供装置９は、ＣＥＭＳ１から、例えば、ＢＥＭＳが管理するビル全体の電力消費量と空調システムの設定温度を受信して、空調システムの設定温度を調整することができる。

　例えば、契約者が電力情報提供会社である場合について述べる。電力情報提供会社は、ＣＥＭＳ１の管理下にある各需要家に対して、節電に役立つ情報等を提供する。電力情報提供会社が所有するサービス提供装置９は、例えば、ＣＥＭＳ１から、コミュニティの電力消費量の合計値と電力生成量の合計値とを受信する。電力情報提供会社のサービス提供装置９は、例えば、電力消費量の合計値が電力生成量の合計値よりも遙かに大きいような場合に、そのコミュニティに属する各ＨＥＭＳに対して、電力の消費を抑制するように依頼をすることができる。

　なお、機器管理装置７が設けられている需要家が、契約者として、ＣＥＭＳ１で加工された情報を利用する場合もある。

　通信ネットワークの構成を説明する。機器管理装置７と複数の機器８とは、通信ネットワーク１３を介してデータを送受信する。通信ネットワーク１３は、例えば、ＰＬＣ（Ｐｏｗｅｒ　Ｌｉｎｅ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ）、有線ＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）、又は無線ＬＡＮ等である。

　機器管理装置７とＣＥＭＳ１とは、通信ネットワーク１０を介してデータを送受信する。サービス提供装置９とＣＥＭＳ１とは、通信ネットワーク１１を介して、データを送受信する。通信ネットワーク１０及び１１は、例えば、インターネット網、専用線通信網、又は電力線通信網等である。通信ネットワーク１０と通信ネットワーク１１は、同じ通信ネットワークであってもよい。

　ＣＥＭＳ１は、各機器管理装置７から送信された複数の機器情報５１を基に、各種統計情報５０（図３参照）を生成する。そして、ＣＥＭＳ１は、それら統計情報５０を、サービス提供装置９に送信する。統計情報５０の詳細については後述する。ＣＥＭＳ１は、ＣＰＵ２、メモリ３、記憶装置４、通信インタフェース５、及び通信インタフェース６等を備え、これら２～６はバス１２で接続される。

　ＣＰＵ２は、記憶装置４からコンピュータプログラム（以下「プログラム」という）をメモリ３に読み出して、プログラムを実行する。プログラムがＣＰＵ２に実行されることにより、後述する制御部２０の機能が実現される。

　メモリ３は、ＣＰＵ２に制御され、プログラム及びプログラムの実行により生成されたデータ等を一時的に記憶する。メモリ３は、例えば、ＤＲＡＭ（Ｄｙｎａｍｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）で構成される。

　記憶装置４には、ＣＰＵ２で実行されるプログラム、及びプログラムから使用されるデータ等が記憶される。記憶装置４は、例えば、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）又はフラッシュメモリ等で構成される。記憶装置４にデータが保持されることにより、後述する記憶部３０の機能が実現される。

　第１通信インタフェース５は、需要家側の通信ネットワーク１０に接続されており、ＣＥＭＳ１と機器管理装置７との間のデータ送受信を制御する。第２通信インタフェース６は、サービス提供者側の通信ネットワーク１１に接続されており、ＣＥＭＳ１とサービス提供装置９との間のデータ送受信を制御する。第１通信インタフェース５及び第２通信インタフェース６は、例えば、ＮＩＣ（Ｎｅｔｗｏｒｋ　Ｉｎｔｅｒｆａｃｅ　Ｃａｒｄ）等である。第１通信インタフェース５及び第２通信インタフェース６は、例えば、通信ネットワーク１０又は１１を介して、ＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）パケットの送受信を行う。

　図２は、制御部２０で実行される各種機能及び記憶部３０に保持される各種ＤＢ（データベース）の一例を示す。

　制御部２０は、少なくとも、情報収集部２１、統計情報生成部２２、鍵生成管理部２３、暗号化部２４、及び情報提供部２５を有する。記憶部３０は、少なくとも、収集情報ＤＢ３１、統計情報ＤＢ３２、契約者管理ＤＢ３３、鍵管理ＤＢ３４、暗号化統計情報ＤＢ３５を保持する。

　情報収集部２１は、各機器管理装置７から送信される複数の機器情報５１を、第１通信インタフェース５を介して受信し、収集情報ＤＢ３１に登録する。情報収集部２１は、機器管理装置７が管理する機器８の機器情報５１に限らず、機器管理装置７自身の機器情報５１も収集できる。情報収集部２１は、他のＣＥＭＳ１から機器情報５１及び統計情報５０を収集してもよい。情報収集部２１の処理の詳細は後述する。

　統計情報生成部２２は、統計情報を生成する。統計情報生成部２２は、収集情報ＤＢ３１から読み出した機器情報５１を加工する。統計情報生成部２２は、所定の統計処理により、例えば、図３に示すユーザ統計情報５２、コミュニティ統計情報５３、及び市区町村統計情報５４等の各種統計情報５０を生成することができる。統計情報生成部２２は、生成した各種統計情報５０を、統計情報ＤＢ３２に登録する。統計処理の詳細については後述する。統計情報生成部２２の処理の詳細は後述する。

　鍵生成管理部２３は、暗号通信に使用するための鍵を生成する。鍵生成管理部２３は、サービス提供装置９に提供する統計情報５０をどのような暗号アルゴリズムに基づいて暗号化するかを決定し、その方法に従った暗号通信用の鍵を生成する。生成された鍵は、鍵管理ＤＢ３４に登録される。鍵は、公開鍵暗号方式に基づく鍵であってもよいし、共通鍵暗号方式に基づく鍵であってもよい。

鍵の暗号強度は、暗号対象である統計情報５０が生成されるまでに実行された所定の統計処理の回数から算出される統計ステップ値に基づいて決定することができる。一般的に、暗号強度は、暗号アルゴリズムの種別及び鍵の長さなどによって変化する。安全性の観点では、暗号強度は高い方が望ましい。しかし、一般的に、暗号強度が高くなるほど、暗号化の処理負荷及び復号の処理負荷が大きい。

鍵生成管理部２３は、暗号化鍵と共に生成される復号鍵を、サービス提供装置９に配布する。復号鍵は、セキュアに配布される限り、どのように配布されてもよい。例えば、復号鍵は、ＣＥＭＳ１から、通信ネットワーク１１を介して、サービス提供装置９に配布されてもよいし、サービス提供装置９に予め保持される構成でもよい。または、復号鍵を記録媒体に記録させてサービス提供装置９の管理者に届けてもよい。暗号化鍵及び復号鍵は、例えば、鍵が漏洩した場合などの、所定のタイミングで更新されるようにしてもよい。なお、鍵生成管理部２３の処理の詳細は後述する。

　暗号化部２４は、統計情報を暗号化する。暗号化部２４は、鍵管理テーブル６０を参照して、統計情報５０に対応する暗号化鍵を鍵管理ＤＢ３４から読み出す。暗号化部２４は、その読み出した暗号化鍵で、統計情報５０を暗号化する。そして、暗号化部２４は、暗号化した統計情報５０を暗号化統計情報ＤＢ３５に登録する。暗号化部２４の処理の詳細は後述する。

　情報提供部２５は、サービス提供装置９に情報を提供する。情報提供部２５は、暗号化統計情報ＤＢ３５から暗号化済みの統計情報５０を読み出して、提供情報７０（図１２参照）を生成する。提供情報７０は、例えば、ＸＭＬ（ｅＸｔｅｎｓｉｂｌｅ　Ｍａｒｋｕｐ　Ｌａｎｇｕａｇｅ）方式で記述することができる。情報提供部２５は、生成した提供情報７０を、第２通信インタフェース６を介して、サービス提供装置９に送信する。情報提供部２５の処理の詳細は後述する。なお、統計情報を事前に暗号化するのではなく、サービス提供装置９から情報を要求された時点で、要求された統計情報を暗号化してサービス提供装置９に送信する構成としてもよい。

　収集情報ＤＢ３１は、上述の通り、情報収集部２１によって収集された機器情報５１を保持する。統計情報ＤＢ３２は、統計情報生成部２２によって生成された各統計情報５０を保持する。

　契約者管理ＤＢ３３は、契約者及びその契約者が所有するサービス提供装置９と、その契約者に提供する統計情報５０との対応関係を保持する。契約者とは、ＣＥＭＳ１から情報の提供を受ける企業等である。契約者としてのサービス提供者には、上述の通り、例えば、電気製品の製造者または販売者、エネルギーコンサルタント、ビル管理会社、天気予報事業者、機械警備会社等が含まれる。

　鍵管理ＤＢ３４は、鍵生成管理部２３によって生成される鍵管理テーブル６０を保持する。鍵管理ＤＢ３４は、鍵生成管理部２３によって生成された、暗号化鍵及び復号鍵を保持する。鍵管理テーブル６０の詳細については後述する。

　暗号化統計情報ＤＢ３５は、上述の通り、暗号化部２４によって暗号化された統計情報５０を保持する。サービス提供装置９に提供される情報の全てを事前に暗号化する構成でもよいし、その一部だけを事前に暗号化し、他の部分をサービス提供装置９からの要求時に暗号化する構成でもよい。さらに、上述の通り、サービス提供装置９からの要求時に、統計情報を暗号化する構成でもよい。

　図３は、各統計情報５０に含まれる情報項目の一例を示す。統計情報５０としては、以下に述べるように、例えば、機器情報５１と、ユーザ統計情報５２と、コミュニティ統計情報５３と、市区町村統計情報５４とがある。市区町村統計情報とは、例えば、市、区、町、村のような行政区画の単位毎の統計情報である。

　機器情報５１は、機器８に関する情報を有する。機器情報５１は、例えば、以下の情報項目を有する。
＊機器ＩＤ：機器情報５１を一意に識別可能なＩＤ。
＊機器名：機器８の名称。
＊メーカ名：機器８の製造メーカの名称。
＊機器エラー情報：機器８の稼働中に発生したエラーに関する情報。
＊機器ステータス情報：機器８のステータスに関する情報。
＊エネルギー需給統計値：機器８が所定の時間に消費したエネルギー値。機器８がエネルギー生成機能を有する場合は、機器８が所定の時間に生成したエネルギー値。

　ユーザ統計情報５２は、機器管理装置７によって収集された複数の機器情報５１をユーザ単位で統計処理することによって生成される。即ち、ユーザ統計情報５２は、ユーザの使用する複数の機器８の情報をユーザ毎に集計した情報である。ユーザ統計情報５２は、例えば、以下の情報項目を有する。
＊ユーザＩＤ：ユーザ統計情報５２を一意に識別可能なＩＤ。
＊ユーザ名：ユーザの名称。例えば、ユーザが個人であれば氏名であり、ユーザが法人であれば会社名である。
＊住所：ユーザの住所、もしくは、機器管理装置７が設置されている住所。
＊統計母数：ユーザ統計情報５２を生成するために用いられた機器情報５１の総数。通常、機器管理装置７が管理する機器８の総数となる。
＊エネルギー需給統計値：機器管理装置７が管理する複数の機器８全体で所定の時間に消費又は生成されたエネルギー値。複数の機器情報５１の「エネルギー需給統計値」を統計処理することにより算出される。

　コミュニティ統計情報５３は、複数のユーザ統計情報５２を所定のコミュニティ単位で統計処理することによって生成される。コミュニティの範囲及び大きさは、適宜設定することができる。本実施例では、市区町村よりも小さい範囲で、コミュニティを設定する場合を例に挙げる。例えば、コミュニティ統計情報５３は、集合住宅または団地等のように、一定の地域内に居住する各ユーザのユーザ統計情報５２をさらに統計処理することで、生成される。コミュニティ統計情報５３は、例えば、以下の情報項目を有する。
＊コミュニティＩＤ：コミュニティ統計情報５３を一意に識別可能なＩＤ。
＊コミュニティ名：コミュニティの名称。
＊住所：コミュニティの住所。
＊統計母数：コミュニティ統計情報５３を生成するために用いられたユーザ統計情報５２の総数。通常、当該コミュニティに属する機器管理装置７の総数となる。
＊エネルギー需給統計値：コミュニティ全体で所定の時間に消費又は生成されたエネルギー値。複数のユーザ統計情報５２の「エネルギー需給統計値」を統計処理することにより算出される。

　市区町村統計情報５４は、複数のコミュニティ統計情報５３を市区町村の単位でまとめて統計処理することによって生成される。例えば、コミュニティ統計情報５３の「住所」が「Ａ市」に属するもの同士をまとめて統計処理することにより、「Ａ市」の市区町村統計情報５４が生成される。市区町村統計情報５４は、例えば、以下の情報項目を有する。
＊市区町村ＩＤ：市区町村統計情報５４を一意に識別可能なＩＤ。
＊市区町村名：市区町村の名称。
＊住所：市区町村の住所。
＊統計母数：市区町村統計情報５４を生成するために用いられたコミュニティ統計情報５３の総数。
＊エネルギー需給統計値：市区町村全体で所定の時間に消費又は生成されたエネルギー値。複数のコミュニティ統計情報５３の「エネルギー需給統計値」を統計処理することにより算出される。

　なお、本実施例では、上記のように地理的な位置関係に基づいて統計情報５０を分類したが、分類方法はこれに限られない。例えば、エネルギーを生成するグループと、エネルギーを消費するグループとに分けた上で、さらに各グループを地理上の位置に基づいて分類するようにしてもよい。

　図４は、統計情報５０の生成過程と、秘匿性及び暗号強度との関係を示す。統計情報の生成過程は、例えば、統計情報を得るために実行された統計処理の回数、及び、統計処理の手法を意味する。

　本実施例において、ユーザ統計情報５２は、複数の機器情報５１をユーザ毎に統計処理することによって生成される。コミュニティ統計情報５３は、複数のユーザ統計情報５２をコミュニティ毎に統計処理することによって生成される。市区町村統計情報５４は、複数のコミュニティ統計情報５３を行政単位毎に統計処理することによって生成される。

　統計情報５０の秘匿性は、それが漏洩したときの影響度の大きさで異なる。秘匿性とは、情報を秘密に保持すべきレベルである。例えば、個人を特定可能な情報、又は企業秘密に関する情報等は、一般的に秘匿性が高いと考えられる。一方、特定の個人等を指し示すのではなく、全体の傾向を示すような統計的な情報は、秘匿性が低いと考えられる。

　そこで、本実施例では、各統計情報５０の秘匿性を、統計処理の回数に基づいて決定する。本実施例では、統計情報５０が生成されるにあたって統計処理された回数を、統計ステップ値と呼ぶ。統計処理の回数とは、後述のように、累計回数である。

本実施例では、統計処理された回数をそのまま統計ステップ値として用いる。これに代えて、統計処理の処理内容に応じて重み付けした値を統計ステップ値としてもよい。例えば、情報の加工度の高い統計処理には重み付けを大きくし、情報の加工度の低い統計処理には重み付けを小さくすることができる。加工度の低い統計処理を複数回実施しても、統計ステップ値は小さいため、秘匿性は高いであろう。一方、加工度の高い統計処理を施された情報は、秘匿性が低くなるかも知れない。

　機器情報５１は、機器８から取得される一次的な情報である。機器情報５１は、統計処理がなされていないため、その統計ステップ値を「０」とする。本実施例では、統計ステップ値の値が低いほど秘匿性が高く、統計ステップ値の値が大きいほど秘匿性が低くなるように、設定している。機器情報５１の統計ステップ値は「０」なので、統計情報生成部２２は、機器情報５１の秘匿性を「高」と決定する。本実施例では、図３に示すように、機器情報５１には、企業秘密となり得る「機器エラー情報」及び「機器ステータス情報」等が含まれているので、秘匿性を「高」とすることは妥当である。

　ユーザ統計情報５２は、機器情報５１をユーザ単位で集計して生成される。ユーザ統計情報５２は、統計処理を１回実行することにより生成されるので、その統計ステップ値を「１」とする。ユーザ統計情報５２の統計ステップ値は「１」なので、統計情報生成部２２は、ユーザ統計情報５２の秘匿性を「高」と決定する。本実施例では、統計ステップ値が「０」または「１」の場合に、秘匿性を「高」とするように、予め設定されている。本実施例では、図３に示すように、ユーザ統計情報５２には、個人を特定し得る「ユーザ名」及び「住所」等が含まれているので、秘匿性を「高」とすることは妥当である。

　コミュニティ統計情報５３は、コミュニティに属する各ユーザのユーザ統計情報５２をコミュニティ単位で統計処理して生成される。従って、コミュニティ統計情報５３は、ユーザ統計情報５２の生成時とコミュニティ統計情報５３の生成時との、合計２回の統計処理を経て生成される。統計処理の回数は累計回数としてカウントされるためである。従って、コミュニティ統計情報５３の統計ステップ値は、「２」となる。コミュニティ統計情報５３の統計ステップ値は「２」なので、統計情報生成部２２は、コミュニティ統計情報５３の秘匿性を「中」と決定する。本実施例では、統計ステップ値が「２」の場合に、秘匿性を「中」にするよう、予め設定されている。

　市区町村統計情報５４は、行政区画の単位毎にコミュニティ統計情報５３を統計処理して生成される。従って、市区町村統計情報５４は、ユーザ統計情報５２の生成時とコミュニティ統計情報５３の生成時と市区町村統計情報５４の生成時との、合計３回の統計処理を経て生成される。従って、市区町村統計情報５４の統計ステップ値は「３」となる。市区町村統計情報５４の統計ステップ値は「３」なので、統計情報生成部２２は、市区町村統計情報５４の秘匿性を「低」と決定する。本実施例では、統計ステップ値が「３」の場合に、秘匿性を「低」にするよう、予め設定されている。

　秘匿性を有する統計情報５０は、ＣＥＭＳ１と契約している契約者以外は閲覧できないようにする必要がある。すなわち、契約者のサービス提供装置９以外は、ＣＥＭＳ１の有する統計情報５０にアクセスできないようにする必要がある。そのために、本実施例では、各統計情報５０を所定の暗号方式で暗号化して管理する。一般的に暗号強度は、暗号アルゴリズムの種別及び鍵の長さなどによって変化する。安全性を高める観点では暗号強度は高い方が望ましい。しかし、一般的に高い暗号強度は、暗号化及び復号の処理負荷が大きい。そこで、本実施例では、暗号化対象の統計情報５０の生成過程に応じて（秘匿性に応じて）、暗号強度を決定する。具体的には、秘匿性の高い統計情報５０は、高い暗号強度で暗号化し、秘匿性の低い統計情報５０は、低い暗号強度で暗号化する。これにより、統計情報５０に対する安全性の向上と、暗号化及び復号の処理負荷の軽減とのバランスを取ることができる。

　図５は、鍵管理ＤＢ３４に保持される鍵管理テーブル６０の一例を示す。

　上述のとおり、ＣＥＭＳ１は、統計情報５０の秘匿性に基づいて統計情報５０を暗号化する。しかし、契約者ごとに異なる暗号化鍵で統計情報５０を暗号化した場合、契約者の増加（すなわち、サービス提供装置９の増加）に伴って、ＣＥＭＳ１で管理すべき鍵の数が増加してしまう。さらに、ＣＥＭＳ１における、暗号処理負荷及び復号処理負荷も増大してしまう。

　一方、各統計情報５０をそれぞれ異なる暗号化鍵で暗号化した場合、統計情報５０の種類の増加に伴って、サービス提供装置９で管理すべき鍵の数が増大してしまう。さらに、サービス提供装置９における、暗号化された各統計情報５０の、復号処理負荷も増大してしまう。

　そこで、本実施例では、上述のとおり、秘匿性の高い統計情報５０は高い暗号強度で暗号化し、秘匿性の低い統計情報５０は低い暗号強度で暗号化することに加え、複数の統計情報５０をグループ化して同一の鍵で暗号化する。これにより、ＣＥＭＳ１及びサービス提供装置９の両方において、管理すべき鍵の数をできるだけ少なくする。

　以下、図５に示す鍵管理テーブル６０を用いて具体的に説明する。鍵管理テーブル６０は、契約者の種類と、統計情報５０の種類とを対応付けて管理する。即ち、鍵管理テーブル６０は、少なくとも一つの契約者を含む契約者グループ毎に、少なくとも一つの統計情報５０を含む統計情報グループを対応付けている。鍵管理テーブル６０には、各統計情報グループで共通に使用する暗号化及び復号化のための鍵を管理する。図中では、便宜上、統計情報のグループ名を簡略化して表示している。

図５では、鍵を意味する「Ｋ」に数字及び小文字のアルファベットを添えて、鍵を特定するための識別子を構成する。「Ｋ」に添えられる数字は、鍵の種類を示す。その数字の後に添えられるアルファベットは、暗号強度を示す。「ａ」は暗号強度「高」を示し、「ｂ」は暗号強度「中」を示し、「ｃ」は暗号強度「低」を示す。暗号強度は、基本的に統計情報５０の秘匿性に基づいて決定される。説明の便宜上、図５において、鍵「Ｋ」は、暗号化のための鍵、及び、復号のための鍵を示す。

　図５では、説明の便宜上、機器情報５１として、それぞれ異なる複数の機器情報５１（Ｄ１）、５１（Ｄ２）を例示する。同様に、ユーザ統計情報５２として、それぞれ異なる複数のユーザ統計情報５２（Ｄ３）、５２（Ｄ４）を例示する。同様に、コミュニティ統計情報５３として、それぞれ異なるコミュニティ統計情報５３（Ｄ５），５３（Ｄ６）を例示する。

　鍵管理テーブル６０によれば、契約者グループの一つである機器メンテナンス会社ＳＰ１が所有するサービス提供装置９には、機器情報５１（Ｄ２）とユーザ統計情報５２（Ｄ４）とが提供される。機器メンテナンス会社ＳＰ１は、一つの契約者である必要はなく、例えば、メンテナンス会社ＳＰ（１）、ＳＰ（２）、ＳＰ（３）のように、複数の契約者から構成することもできる。図５に示す他の契約者についても同様に、複数の契約者を含むことができる。

　ＣＥＭＳ１は、機器情報５１（Ｄ２）とユーザ統計情報５２（Ｄ４）から構成される統計情報グループＧ１１を形成する。ＣＥＭＳ１は、統計情報グループＧ１１に含まれる機器情報５１（Ｄ２）とユーザ統計情報５２（Ｄ４）を、同じ暗号鍵「Ｋ０１ａ」で暗号化する。

　これにより、機器メンテナンス会社ＳＰ１が所有するサービス提供装置９は、１つの復号鍵「Ｋ０１ａ」を管理するだけで、機器情報５１（Ｄ２）とユーザ統計情報５２（Ｄ４）の両方を復号できる。すなわち、各統計情報５０をそれぞれ異なる鍵で暗号化した場合と比較して、サービス提供装置９において管理すべき鍵の数を削減できる。

　他の契約者グループである機器メンテナンス会社ＳＰ２に着目する。機器メンテナンス会社ＳＰ２が所有するサービス提供装置９には、機器情報５１（Ｄ１），５１（Ｄ２）と、ユーザ統計情報５２（Ｄ３），５２（Ｄ４）とが提供される。ＣＥＭＳ１は、機器情報５１（Ｄ１），５１（Ｄ２）と、ユーザ統計情報５２（Ｄ３），５２（Ｄ４）とから、統計情報グループＧ１２を形成する。ＣＥＭＳ１は、統計情報グループＧ１２に含まれる機器情報５１（Ｄ１），５１（Ｄ２）とユーザ統計情報５２（Ｄ３），５２（Ｄ４）とを同じ暗号鍵「Ｋ０２ａ」で暗号化する。

　従って、機器メンテナンス会社ＳＰ２のサービス提供装置９は、一つの復号鍵「Ｋ０２ａ」で、機器情報５１（Ｄ１），５１（Ｄ２）とユーザ統計情報５２（Ｄ３），５２（Ｄ４）とを復号して、利用することができる。

　契約者グループの一つである機器製造メーカＳＰ３に着目する。機器製造メーカＳＰ３が所有するサービス提供装置９には、機器情報５１（Ｄ２）とユーザ統計情報５２（Ｄ４）とが提供される。この統計情報５０の組み合わせは、前述の機器メンテナンス会社ＳＰ１の属するグループＧ１１の構成と同じである。従って、ＣＥＭＳ１は、新たに鍵を生成せずに、機器製造メーカＳＰ３のサービス提供装置９をグループＧ１１に登録する。機器製造メーカＳＰ３のサービス提供装置９と、機器メンテナンス会社ＳＰ１のサービス提供装置９とは、共通の鍵「Ｋ０１ａ」を用いて、機器情報５１（Ｄ２）とユーザ統計情報５２（Ｄ４）を利用する。

　契約者グループの他の一つである機器製造メーカＳＰ４に着目する。機器製造メーカＳＰ４が所有するサービス提供装置９には、機器情報５１（Ｄ１）とユーザ統計情報５２（Ｄ３）とが提供される。ＣＥＭＳ１は、機器情報５１（Ｄ１）とユーザ統計情報５２（Ｄ３）とから、統計情報グループＧ１３を構成する。ＣＥＭＳ１は、グループＧ１３に含まれる機器情報５１（Ｄ１）とユーザ統計情報５２（Ｄ３）とを、共通の暗号鍵「Ｋ０３ａ」で暗号化する。

　契約者グループの一つである電力情報提供会社ＳＰ５に着目する。電力情報提供会社ＳＰ５が所有するサービス提供装置９には、コミュニティ統計情報５３（Ｄ５），５３（Ｄ６）と、市区町村統計情報５４（Ｄ７）とが提供される。

　ここで、コミュニティ統計情報５３（Ｄ５）と、コミュニティ統計情報５３（Ｄ６）と、市区町村統計情報５４（Ｄ７）とを、前述のように一つの暗号鍵で暗号化することも考えられる。しかし、本実施例では、秘匿レベルの相違に基づいて、統計情報５３（Ｄ５），５３（Ｄ６），５４（Ｄ７）を、それぞれ別々の統計情報グループＧ１４，Ｇ１５，Ｇ１６で管理する。コミュニティ統計情報５３（Ｄ５）は、統計情報グループＧ１４で管理され、暗号鍵「Ｋ０４ａ」で暗号化される。コミュニティ統計情報５３（Ｄ６）は、他の統計情報グループＧ１５で管理され、暗号鍵「Ｋ０５ｂ」で暗号化される。市区町村統計情報５４（Ｄ７）は、統計情報グループＧ１６で管理され、暗号鍵「Ｋ０６ｃ」で暗号化される。

　同一の契約者グループ「電力情報提供会社ＳＰ５」で利用される統計情報５３（Ｄ５），５３（Ｄ６），５４（Ｄ７）を、それぞれ別々の統計情報グループＧ１４，Ｇ１５，Ｇ１６で管理する理由を説明する。図５の例では、市区町村統計情報５４（Ｄ７）の秘匿性は「低」となっている。コミュニティ統計情報５３（Ｄ６）の秘匿性は「中」となっている。コミュニティ統計情報５３（Ｄ５）の秘匿性は「高」となっている。すなわち、各統計情報５３（Ｄ５），５３（Ｄ６），５４（Ｄ７）の秘匿性が異なる。よって、同じ暗号強度で暗号化するのは適切ではない。

　また、統計ステップ値の高い統計情報はその種類が比較的少ないと考えられる。従って、統計ステップ値の高い統計情報５４（Ｄ７）は、他の統計情報５３（Ｄ６），５３（Ｄ５）と分けて、個別に管理するのが好ましい。加工度の高い統計情報は、それだけで暗号化した方が、ＣＥＭＳ１全体として管理すべき鍵の数は少なくなると考えることができるためである。例えば、ユーザ統計情報５２は、機器管理装置７の設置数の増加に次第に比例して増加する。これに対し、市区町村統計情報５４は、最大でも市区町村の数までしか増加しない。

　コミュニティ統計情報５３（Ｄ５）の秘匿性が、コミュニティ統計情報５３（Ｄ６）の秘匿性よりも高い理由は、例えば、以下の通りである。本実施例では、コミュニティ統計情報５３（Ｄ５）の統計母数が、所定の閾値よりも少ない。統計母数が所定の閾値よりも少ない場合、コミュニティ統計情報５３（Ｄ５）から個人が特定される可能性が高い。すなわち、個人情報を保護するためには、統計母数の少ない統計情報の秘匿性は、統計母数の多い統計情報の秘匿性よりも高くする必要がある。従って、本実施例では、コミュニティ統計情報５３（Ｄ５）の暗号強度を、コミュニティ統計情報５３（Ｄ６）の暗号強度よりも高くしている。この処理の詳細については後述する。

　契約者グループの一つである個人ユーザＳＰ６に着目する。上述の各契約者グループＳＰ１～ＳＰ５と同様に、個人ユーザＳＰ６は、一人以上の個人ユーザを含む。図５では、個人ユーザのグループとして一つのグループＳＰ６を示すが、これ以外の他の個人ユーザグループが存在してもよい。

　個人ユーザＳＰ６が所有するサービス提供装置９には、機器情報５１（Ｄ１）と、ユーザ統計情報５２（Ｄ３）と、コミュニティ統計情報５３（Ｄ５）と、市区町村統計情報５４（Ｄ７）との合計４種類の統計情報が提供される。

ここで、機器情報５１（Ｄ１）とユーザ統計情報５２（Ｄ３）との組み合わせは、前述のグループＧ１３の構成と同じである。従って、本実施例では、個人ユーザＳＰ６をグループＧ１３に参加させることで、個人ユーザＳＰ６に機器情報５１（Ｄ１）及びユーザ統計情報５２（Ｄ３）を提供する。この場合、個人ユーザＳＰ６のサービス提供装置９は、機器製造メーカＳＰ４のサービス提供装置９と同一の復号鍵「Ｋ０３ａ」を用いて、機器情報５１（Ｄ１）とユーザ統計情報５２（Ｄ３）を、復号する。

本実施例では、個人ユーザＳＰ６のサービス提供装置９には、グループＧ１４を介して、コミュニティ統計情報５３（Ｄ５）が提供される。さらに、本実施例では、個人ユーザＳＰ６のサービス提供装置９には、グループＧ１６を介して、市区町村統計情報５４（Ｄ７）が提供される。

個人ユーザＳＰ６のサービス提供装置９は、グループＧ１４で使用する鍵「Ｋ０４ａ」で暗号化されたコミュニティ統計情報５３（Ｄ５）と、グループＧ１６で使用する暗号鍵「Ｋ０６ｃ」で暗号化された市区町村統計情報５４（Ｄ７）とを、利用する。

　契約者グループの一つである地方自治体ＳＰ７に着目する。地方自治体ＳＰ７が所有するサービス提供装置９には、市区町村統計情報５４（Ｄ７）が提供される。本実施例では、地方自治体ＳＰ７をグループＧ１６参加させる。従って、地方自治体ＳＰ７のサービス提供装置９は、グループＧ１６で「Ｋ０６ｃ」使用する鍵を用いて、市区町村統計情報５４（Ｄ７）を利用する。

　このように、本実施例では、サービス提供装置９が増加した場合でも、そのサービス提供装置９を既存のグループに参加させることで、ＣＥＭＳ１において管理すべき鍵の数が増加するのを抑制できる。鍵の数を抑制できるため、ＣＥＭＳ１での暗号化処理の負荷が増加するのを抑制できる。

　図６は、統計情報生成部２２が実行する、統計情報５０を生成するための処理のフローチャートを示す。なお、以下に述べる各処理は、ＣＥＭＳ１の制御部２０が有するＣＰＵ２が、所定のコンピュータプログラムを実行することで実現される。従って、各処理の動作の主体は、コンピュータプログラム、ＣＰＵ２、制御部２０、ＣＥＭＳ１のいずれでもよい。

　統計情報生成部２２は、収集情報ＤＢ３１から複数の機器情報５１を取得する（Ｓ１０１）。統計情報生成部２２は、複数の機器情報５１を統計処理してユーザ統計情報５２を生成し、統計情報ＤＢ３２に登録する（Ｓ１０２）。統計情報生成部２２は、ユーザ統計情報５２の統計ステップ値を「１」として、統計情報ＤＢ３２に登録する。

　さらに、統計情報生成部２２は、複数のユーザ統計情報５２を統計処理してコミュニティ統計情報５３を生成し、統計情報ＤＢ３２に登録する（Ｓ１０３）。統計情報生成部２２は、コミュニティ統計情報５３の統計ステップ値を「２」として、統計情報ＤＢ３２に登録する。

　さらに、統計情報生成部２２は、複数のコミュニティ統計情報５３を統計処理して市区町村統計情報５４を生成し、統計情報ＤＢ３２に登録する（Ｓ１０４）。統計情報生成部２２は、コミュニティ統計情報５３の統計ステップ値を「３」として、統計情報ＤＢ３２に登録する。

　以上のように、基礎的な情報である機器情報５１を段階的に加工することにより、各統計情報５０が生成される。各統計情報５０は、その加工度の高さを示す統計ステップ値に対応付けられて記憶される。

　図７は、鍵生成管理部２３が実行する鍵生成処理のフローチャートを示す。鍵生成管理部２３は、契約者管理ＤＢ３３から、契約者及びその契約者が所有するサービス提供装置９と、そのサービス提供装置９に提供する統計情報５０の組み合わせと、を抽出し、鍵管理テーブル６０を生成する（Ｓ２０１）。

　鍵生成管理部２３は、各統計情報５０の暗号強度を算出し、算出した暗号強度を鍵管理テーブル６０に登録する（Ｓ２０２）。この処理の詳細は後述する。

　鍵生成管理部２３は、統計ステップ値が２以上の統計情報５０を含む第１テーブルと、それ以外の（統計ステップ値が２より小さい）統計情報５０を含む第２テーブルと、に分割する（Ｓ２０３）。図５の例で説明すると、コミュニティ統計情報５３（Ｄ５），５３（Ｄ６），市区町村統計情報５４（Ｄ７）を含む第１テーブルと、機器情報５１（Ｄ１），５１（Ｄ２），ユーザ統計情報５２（Ｄ３），５２（Ｄ４）を含む第２テーブルと、に分割する。なお、分割の閾値とする統計ステップ値は２以外であってもよい。また、分割数は２よりも多くてもよい。

　鍵生成管理部２３は、第１テーブルにおける鍵生成処理を実行する。この処理の詳細は後述する（Ｓ２０４）。

　鍵生成管理部２３は、第２テーブルにおける鍵生成処理を実行する。この処理の詳細は後述する（Ｓ２０５）。

　以上の処理により、統計情報のグループ化に関する情報と、各グループに対応する鍵に関する情報とが、鍵管理テーブル６０に登録される。

　上記のステップＳ２０６において、統計ステップ値に基づいて、第１テーブルと第２テーブルに分割する理由を述べる。

　第１テーブルでは、後述するように、統計情報５０毎にグループ化する。これは、統計ステップ値が大きくなるに従い、一般的に、統計情報５０のバリエーションは少なくなる傾向にあるためである。したがって、統計情報５０ごとに暗号鍵を設定することにより、ＣＥＭＳ１全体として管理すべき鍵の数が少なくできる場合が多い。

　第２テーブルでは、後述するように、サービス提供装置９に提供する統計情報５０をグループ化する。これは、統計ステップ値が小さくなるに従い、一般的に、統計情報５０の種類は多くなる傾向にあるためである。したがって、複数の統計情報５０をまとめて共通の暗号化鍵を設定することにより、ＣＥＭＳ１全体として管理すべき鍵の数は少なくできる場合が多い。さらに、共通の暗号化鍵を設定することにより、統計情報５０ごとに異なる暗号化鍵を設定する場合よりも、サービス提供装置９において管理すべき鍵の数が少なくなる場合が多い。

　図８は、鍵生成管理部２３が実行する暗号強度算出処理のフローチャートを示す。鍵生成管理部２３は、統計情報ＤＢ３２から統計情報５０を抽出する（Ｓ３０１）。この抽出された統計情報５０を、処理対象の統計情報と呼ぶことがある。鍵生成管理部２３は、処理対象の統計情報５０の統計ステップ値を判定する（Ｓ３０２）。

　統計ステップ値が「０または１」の場合（つまり、１以下の場合）、鍵生成管理部２３は、処理対象の統計情報５０の暗号強度を最高レベルの「高」と設定し（Ｓ３０３）、ステップＳ３０６に進む。

　統計ステップ値が「２」の場合、鍵生成管理部２３は、処理対象の統計情報５０の暗号強度を「中」と設定し（Ｓ３０４）、ステップＳ３０６に進む。

　統計ステップ値が「３以上」の場合、鍵生成管理部２３は、処理対象の統計情報５０の暗号強度を最低レベルの「低」と設定し（Ｓ３０５）、ステップＳ３０６に進む。なお、本実施例では、統計ステップ値を高、中、低の３ランクに分ける場合を述べるが、これに限らず、例えば、２つのランク、または、４つ以上のランクに分ける構成でもよい。

　鍵生成管理部２３は、処理対象の統計情報５０についての「統計母数」を抽出する（Ｓ３０６）。鍵生成管理部２３は、統計母数が、所定の母数閾値よりも小さいか否かを判定する（Ｓ３０７）。母数閾値とは、統計母数を判別するための閾値であり、統計情報の種類（５１，５２，５３，５４）毎に予め設定しておくことができる。

　処理対象の統計情報５０の統計母数が母数閾値よりも小さい場合（Ｓ３０７：ＹＥＳ）、鍵生成管理部２３は、その統計情報５０についてＳ２０３～Ｓ２０５のいずれかで設定された暗号強度の値を１段階高く設定し（Ｓ３０８）、処理を終了する。統計母数が母数閾値よりも小さい場合は、その統計情報が示す意味を具体的に特定される可能性が高くなるためである。

　これに対し、統計母数が母数閾値以上の場合（Ｓ３０７：ＮＯ）、鍵生成管理部２３は、そのまま処理を終了する。

　以上の処理により、各統計情報５０の暗号強度は、統計処理の過程に基づいて、適切に設定される。

　なお、本実施例では、統計母数に基づいて暗号強度を調整しているが、暗号強度を調整するパラメータは統計母数に限られない。例えば、機器製造メーカから暗号通信の信頼性向上について事前に要望があったような場合、その機器製造メーカに提供する統計情報については、算出された暗号強度を変化させる構成でもよい。

　さらに、例えば、統計情報の生成時期またはサービス提供装置９への提供時期等の、時間パラメータに応じて、算出された暗号強度を変化させる構成でもよい。生成時期から一定期間が経過した古い統計情報については、暗号強度を低下させることができる。逆に、生成されて間もない統計情報については、暗号強度を高くすることもできる。

　さらに、例えば、統計ステップ値が大きい場合でも、予め設定された特定の情報を含んでいる統計情報については、その暗号強度が所定レベル以上（例えば、中レベル以上）となるように設定する構成でもよい。例えば、政府機関の建物、防衛施設、大使館のような重要建築物に関する統計情報については、暗号強度を高く設定してもよい。

　なお、統計情報５０の暗号強度を決定する統計ステップ値の閾値は、任意に設定可能である。例えば、統計ステップ値が１または２の場合に、暗号強度を中レベルに設定してもよい。

　図９は、第１テーブル鍵生成処理のフローチャートを示す。鍵生成管理部２３は、鍵管理テーブル６０の第１テーブルから、サービス提供装置９を１つ選択する（Ｓ３１１）。

　鍵生成管理部２３は、第１テーブルから、選択したサービス提供装置９に対応する統計情報５０を１つ選択する（Ｓ３１２）。

　鍵生成管理部２３は、選択した統計情報５０と同じグループが既に存在するか否かを判定する（Ｓ３１３）。

　選択した統計情報５０と同じグループが既に存在する場合（Ｓ３１３：ＹＥＳ）、鍵生成管理部２３は、選択した統計情報５０を、その既存のグループに加入させ（Ｓ３１４）、その旨を鍵管理テーブル６０に登録し（Ｓ３１５）、当該処理を終了する。

　選択した統計情報５０と同じグループがまだ存在しない場合（Ｓ３１３：ＮＯ）、鍵生成管理部２３は、その選択した統計情報５０のグループと、そのグループに対応する鍵を生成する（Ｓ３１６）。そして、鍵生成管理部２３は、その生成したグループと対応する鍵を鍵管理テーブル６０に登録し（Ｓ３１７）、当該処理を終了する。

　上記処理を、図５の例で説明する。まず、鍵生成管理部２３が、サービス提供装置９として、電力情報提供会社ＳＰ５を選択した場合について説明する。

　鍵生成管理部２３は、電力情報提供会社ＳＰ５に対応するコミュニティ統計情報５３（Ｄ５）を選択する。鍵生成管理部２３は、このコミュニティ統計情報５３（Ｄ５）と同じグループが既に存在するか否かを判定する。ここで、同じグループはまだ存在していないので、鍵管理生成部２３は、コミュニティ統計情報５３（Ｄ５）のグループＧ１４を生成し、そのグループＧ１４に対応する鍵「Ｋ０４ａ」を生成する。そして、鍵生成管理部２３は、その生成したグループＧ１４と対応する鍵「Ｋ０４ａ」を鍵管理テーブル６０に登録する。

　次に、鍵生成管理部２３が、サービス提供装置９として、個人ユーザＳＰ６を選択した場合について説明する。

　鍵生成管理部２３は、個人ユーザＳＰ６に対応するコミュニティ統計情報５３（Ｄ５）を選択する。鍵生成管理部２３は、このコミュニティ統計情報５３（Ｄ５）と同じグループが既に存在するか否かを判定する。ここで、同じグループＧ１４が既に存在するので、鍵生成管理部２３は、このコミュニティ統計情報５３（Ｄ５）を、グループＧ１４に加入させ、その旨を鍵管理テーブル６０に登録する。すなわち、個人ユーザＳＰ６に提供するコミュニティ統計情報５３（Ｄ５）は、グループＧ１４に対応する鍵「Ｋ０４ａ」で暗号化される。

　図１０は、第２テーブル鍵生成処理のフローチャートを示す。鍵生成管理部２３は、鍵管理テーブル６０の第２テーブルから、サービス提供装置９を１つ選択する（Ｓ３２１）。

　鍵生成管理部２３は、第２テーブルにおいて、選択したサービス提供装置９に提供する統計情報５０のうち同じ暗号強度のものをグループ化する（Ｓ３２２）。

　鍵生成管理部２３は、１つのグループを選択し、同じ統計情報５０から構成されるグループが既に存在するか否かを判定する（Ｓ３２３）。

　同じ統計情報５０から構成されるグループが既に存在する場合（Ｓ３２３：ＹＥＳ）、鍵生成管理部２３は、選択したグループを、その既存のグループに加入させ（Ｓ３２４）、その旨を鍵管理テーブル６０に登録し（Ｓ３２５）、当該処理を終了する。

　同じ統計情報５０から構成されるグループがまだ存在しない場合（Ｓ３２３：ＮＯ）、鍵生成管理部２３は、その選択したグループと、そのグループに対応する鍵を生成する（Ｓ３２６）。そして、鍵生成管理部２３は、その生成したグループと対応する鍵を鍵管理テーブル６０に登録し（Ｓ３２７）、当該処理を終了する。

　上記処理を、図５の例で説明する。まず、鍵生成管理部２３が、サービス提供装置９として、機器メンテナンス会社ＳＰ１を選択した場合について説明する。

　鍵生成管理部２３は、第２テーブルにおいて、機器メンテナンス会社ＳＰ１に提供する統計情報５０のうち同じ暗号強度である機器情報５１（Ｄ２）とユーザ統計情報５２（Ｄ４）とをグループ化する。

　鍵生成管理部２３は、機器情報５１（Ｄ２）とユーザ統計情報５２（Ｄ４）とから構成されるグループが既に存在するか否かを判定する。ここで、同じ構成のグループは存在しないので、鍵生成管理部２３は、機器情報５１（Ｄ２）とユーザ統計情報５２（Ｄ４）とから構成されるグループＧ１１を生成し、グループＧ１１に対応する鍵を「Ｋ０１ａ」生成する。そして、鍵生成管理部２３は、機器メンテナンス会社ＳＰ１と、グループＧ１１及び鍵「Ｋ０１ａ」とを対応付けて、鍵管理テーブル６０に登録する。

　次に、鍵生成管理部２３が、サービス提供装置９として、機器製造メーカＳＰ３を選択した場合について説明する。

　鍵生成管理部２３は、第２テーブルにおいて、機器製造メーカＳＰ３に提供する統計情報５０のうち同じ暗号強度である機器情報５１（Ｄ２）とユーザ統計情報５２（Ｄ４）とを含むグループを生成する。

　鍵生成管理部２３は、機器情報５１（Ｄ２）とユーザ統計情報５２（Ｄ４）とから構成されるグループが既に存在するか否かを判定する。ここで、同じ構成のグループＧ１１が既に存在するので、鍵生成管理部２３は、生成したグループに既存のグループＧ１１のＩＤを付与する。

　図１１は、暗号化部２４が実行する暗号化処理のフローチャートの一例を示す。暗号化部２４は、鍵管理テーブル６０を参照し、統計情報５０と、その統計情報５０に対応する暗号化鍵を特定する（Ｓ４０１）。暗号化部２４は、特定した統計情報５０を、統計情報ＤＢ３２から抽出する（Ｓ４０２）。

　暗号化部２４は、ステップＳ４０１において特定した暗号化鍵で、ステップＳ４０２で抽出した統計情報５０を暗号化する（Ｓ４０３）。暗号化部２４は、暗号化した統計情報５０を、暗号化統計情報ＤＢ３５に登録する（Ｓ４０４）。

　以上の処理により、各統計情報５０は、それぞれ対応する暗号化鍵で暗号化され、暗号化統計情報ＤＢ３５に登録される。

　図１２は、情報提供部２５が生成する提供情報７０のデータ構造を示す。図１２のデータ構造は、図５中の個人ユーザＳＰ６のサービス提供装置９に提供される情報７０の構成を示す。

　提供情報７０は、暗号化された複数の統計情報５０から構成される。各統計情報５０は、図５の鍵管理テーブル６０に示す暗号化鍵で暗号化されている。図１２に示す提供情報７０は、機器情報５１（Ｄ１）と、ユーザ統計情報５２（Ｄ２）と、コミュニティ統計情報５３（Ｄ３）と、市区町村統計情報５４（Ｄ４）とを含む。機器情報５１（Ｄ１）及びユーザ統計情報５２（Ｄ３）は、同一の統計情報グループＧ１３に属するため、共通の暗号化鍵「Ｋ０３ａ」で暗号化されている。コミュニティ統計情報５３（Ｄ５）は、他の統計情報グループＧ１４に属するため、暗号化鍵「Ｋ０４ａ」で暗号化される。市区町村統計情報５４（Ｄ７）は、さらに別の統計情報グループＧ１６に属するため、暗号化鍵「Ｋ０６ｃ」で暗号化される。

　図１３は、情報提供部２５がサービス提供装置９に提供情報７０を送信する処理を示すフローチャートである。

　情報提供部２５は、サービス提供装置９から、要求情報を受信する（Ｓ５０１）。その要求情報には、サービス提供装置９の欲する統計情報を特定するための情報と、サービス提供装置９がＣＥＭＳ１にログインするための認証情報等が含まれている。

　情報提供部２５は、要求情報を送信したサービス提供装置９が、ＣＥＭＳ１に登録されているか否かを判定する（Ｓ５０２）。例えば、情報提供部２５は、認証情報（例えば、サービス提供装置９のＩＤ、契約者のＩＤ及びパスワード等）が、契約者管理ＤＢ３３に登録されているか否かを判定する。サービス提供装置９がＣＥＭＳ１に登録されていない場合（Ｓ５０２：ＮＯ）、本処理は終了する。

　サービス提供装置９ＣＥＭＳ１に登録されている場合（Ｓ５０２：ＹＥＳ）、情報提供部２５は、サービス提供装置９から要求された統計情報５０を、暗号化統計情報ＤＢ３５から取得する（Ｓ５０３）。

　情報提供部２５は、ＤＢから取得した複数の統計情報を結合させて提供情報７０を生成する（Ｓ５０４）。情報提供部２５は、生成した提供情報７０をサービス提供装置９に送信する（Ｓ５０５）。

　なお、情報提供部２５は、サービス提供装置９からの要求に応答するだけでなく、所定のタイミング（例えば、所定の時刻又は所定の周期等）で、各サービス提供装置９に対して、提供情報７０を送信するようにしてもよい。

　以上の処理により、ＣＥＭＳ１は、複数の暗号化された統計情報５０から構成される提供情報７０を、サービス提供装置９に送信できる。すなわち、サービス提供装置９は、ＣＥＭＳ１から、所望の統計情報５０を取得できる。

　本実施例によれば、統計情報５０を、統計情報５０を使用するサービス提供装置９の種類及び統計情報５０の生成過程に基づいてグループ化し、生成されたグループ毎に暗号強度を決定し、暗号強度に対応する暗号化鍵を生成する。

　これにより、グループに含まれる複数の統計情報に同じ暗号化鍵を対応付けることができる。したがって、ＣＥＭＳ１において管理すべき鍵の数を削減できる。また、ＣＥＭＳ１における暗号化処理の負荷を軽減できる。

　本実施例によれば、統計情報５０の生成過程には、統計情報５０が生成されるまでに実行された統計処理の累計である統計ステップ値を含む。また、鍵生成管理部２３は、統計情報５０のグループに関する統計ステップ値が所定の第１閾値（例えば「１」）以下の場合は、統計情報５０のグループに設定される暗号強度を高くし、統計情報５０のグループに関する統計ステップ値が上記の第１閾値よりも大きい場合は、統計情報５０のグループに設定される暗号強度を低くする。

　これにより、統計ステップ値に基づき、秘匿性の高い統計情報５０のグループには高い暗号強度が設定され、秘匿性の低い統計情報５０のグループには低い暗号強度が設定される。したがって、全ての統計情報５０を高い暗号強度で暗号化する場合と比較して、ＣＥＭＳ１における暗号化処理の負荷を軽減できる。同様に、サービス提供装置９における復号処理の負荷も軽減できる。

　本実施例によれば、鍵生成管理部は、統計情報５０を生成するために用いられた機器情報５１の統計母数が予め設定された所定の第２閾値よりも小さい場合、決定された暗号強度がより高くなるように調整する。

　これにより、統計母数が小さい統計情報５０のグループの暗号強度はより高くなるように調整される。したがって、統計母数が小さい統計情報５０の安全性を高めることができる。

　第１実施例では、１つのＣＥＭＳ１が、情報収集部２１、統計情報生成部２２、鍵生成部２３、暗号化部２４、及び情報提供部２５の全てを備えていた。本実施例では、他の構成の場合について説明する。

　図１４は、本実施例に係る情報提供システム２００を、ＣＥＭＳを含むシステムに適用した場合のシステム構成を示す。なお、第１実施例との相違点を中心に説明する。

　本実施例に係る情報提供システム２００には、第１実施例に係る情報提供システム１００と比較して、新たに認証管理サーバ２０２が追加される。

　認証管理サーバ２０２は、ＣＰＵ、メモリ、及び通信インタフェース等の一般的なコンピュータの構成（不図示）を備え、通信ネットワーク１１を介して、ＣＥＭＳ１及びサービス提供装置９とデータの送受信ができる。

　図１５は、本実施例に係るＣＥＭＳ１Ａ及び認証管理サーバ２０２の機能ブロック構成の一例を示す。

　本実施例に係るＣＥＭＳ１Ａは、第１実施例に係るＣＥＭＳ１と比較して、情報収集部２１、統計情報生成部２２、収集情報ＤＢ３４１、及び統計情報ＤＢ３２を有する。すなわち、ＣＥＭＳ１Ａは、機器情報５１の収集と統計情報５０の生成の処理のみ行う。

　認証管理サーバ２０２は、鍵生成管理部２３、暗号化部２４、情報提供部２５、契約者管理ＤＢ３３、鍵管理ＤＢ３４、及び提供情報ＤＢ３５を有する。すなわち、認証管理サーバ２０２は、統計情報５０のグループ化と、鍵の生成及び管理と、統計情報５０の暗号化と、サービス提供装置９へ統計情報５０の送信の処理を行う。

　認証管理サーバ２０２が有する鍵生成管理部２３及び情報提供部２５の処理は、第１実施例に示した処理と実質的に同じなので、説明を省略する。暗号化部２４の処理は、第１実施例に示した処理と一部異なるので、以下で説明する。

　図１６は、本実施例に係る暗号化部２４の暗号化処理のフローチャートを示す。暗号化部２４は、鍵管理テーブル６０を参照し、統計情報５０と、その統計情報５０に対応する暗号化鍵を特定する（Ｓ６０１）。暗号化部２４は、ＣＥＭＳ１の統計情報ＤＢ３２から上記で特定した統計情報５０を、通信ネットワーク１１を介して取得する（Ｓ６０２）。

　以降のＳ６０３～Ｓ６０４の処理は、図１１のステップＳ５０３～Ｓ５０４の処理と同じなので、説明を省略する。

　本実施例によれば、統計情報５０を生成する装置（ＣＥＭＳ１Ａ）と、統計情報５０を暗号化してサービス提供装置９に送信する装置（認証管理サーバ２０２）とを分離することができる。これにより、ＣＥＭＳ１Ａの処理負荷を軽減することができる。また、１つのＣＥＭＳ１Ａに対して複数の認証管理サーバ２０２が接続された場合、ＣＥＭＳ１Ａは、暗号化処理を各認証管理サーバ２０２に分担することができる。

　上述した本発明の実施形態は、本発明の説明のための例示であり、本発明の範囲をそれらの実施形態にのみ限定する趣旨ではない。当業者は、本発明の要旨を逸脱することなしに、他の様々な態様で本発明を実施することができる。

　例えば、本発明は、以下のように表現することもできる。
表現１．
複数の第１装置（７）と、複数の第２装置（９）と、前記複数の第１装置と前記複数の第２装置とに通信可能に接続され、前記各第１装置から取得した情報を前記各第２装置のうち所定の第２装置に暗号化して提供するための暗号通信管理装置（１）と、を備える情報提供システムであって、
　前記第１装置（７）は、
　　他の装置（８）から当該他の装置に関する第１情報を収集し、前記第１情報を前記暗号通信管理装置に送信するようになっており、
　前記暗号通信管理装置（１）は、
　　前記各第１装置から前記第１情報を収集する情報収集部（２１）と、
　　収集された前記各第１情報に所定の処理を施すことにより、第２情報を生成する第２情報生成部（２２）と、
　　前記第２情報を、前記第２情報を使用する前記第２装置の種類及び前記第２情報の生成過程に基づいてグループ化し、生成されたグループ毎に暗号強度を決定し、決定された暗号強度に対応する暗号化鍵を生成し、生成された前記暗号化鍵を前記第２情報に対応付けて管理する鍵生成管理部（２３）と、
　　前記第２情報を、対応付けられた前記暗号化鍵で暗号化する暗号化部（２４）と、
　　暗号化された前記第２情報を前記第２装置に送信する情報提供部（２５）と、
を備え、
　前記第２装置（９）は、
　　前記暗号通信管理装置から暗号化された前記第２情報を受信し、前記第２情報を利用して各種サービスを実行する
情報提供システム。
　表現２．
　コンピュータを、複数の第１装置と複数の第２装置とに通信可能に接続され、前記各第１装置から取得した情報を前記各第２装置のうち所定の第２装置に暗号化して提供するための暗号通信管理装置として機能させるためのコンピュータプログラムであって、
前記コンピュータに、
　　前記各第１装置から第１情報を収集するステップと、
　　収集された前記各第１情報に所定の処理を施すことにより、第２情報を生成するステップと、
　　前記第２情報を、前記第２情報を使用する前記第２装置の種類及び前記第２情報の生成過程に基づいてグループ化し、生成されたグループ毎に暗号強度を決定し、決定された暗号強度に対応する暗号化鍵を生成し、生成された前記暗号化鍵を前記第２情報に対応付けて管理するステップと、
　　前記第２情報を、対応付けられた前記暗号化鍵で暗号化するステップと、
　　暗号化された前記第２情報を前記第２装置に送信するステップと
を実行させるコンピュータプログラム。

１，１Ａ…ＣＥＭＳ、２１…情報収集部、２２…統計情報生成部、２３…鍵生成部、２４…暗号化部、２５…情報提供部、１００，２００…情報提供システム

Claims

　複数の第１装置と複数の第２装置とに通信可能に接続され、前記各第１装置から取得した情報を前記各第２装置のうち所定の第２装置に暗号化して提供するための暗号通信管理装置であって、
　前記各第１装置から第１情報を収集する情報収集部と、
　収集された前記各第１情報に所定の処理を施すことにより、第２情報を生成する第２情報生成部と、
　前記第２情報を、前記第２情報を使用する前記第２装置の種類及び前記第２情報の生成過程に基づいてグループ化し、生成されたグループ毎に暗号強度を決定し、決定された暗号強度に対応する暗号化鍵を生成し、生成された前記暗号化鍵を前記第２情報に対応付けて管理する鍵生成管理部と、
　前記第２情報を、対応付けられた前記暗号化鍵で暗号化する暗号化部と、
　暗号化された前記第２情報を前記第２装置に送信する情報提供部と、
を備える暗号通信管理装置。
前記第２情報の生成過程には、前記第２情報が生成されるまでに実行された前記所定の処理の回数を含む、
請求項１に記載の暗号通信管理装置。
　前記鍵生成管理部は、前記第２情報のグループに関する前記所定処理の回数が予め設定される所定の第１閾値以下の場合は、前記第２情報のグループに設定される前記暗号強度を高くし、
　前記第２情報のグループに関する前記所定処理の回数が前記第１閾値よりも大きい場合は、前記第２情報のグループに設定される前記暗号強度を低くする、
請求項２記載の暗号通信管理装置。
　前記鍵生成管理部は、前記第２情報を生成するために用いられた前記第１情報の母数が予め設定された所定の第２閾値よりも小さい場合、前記決定された暗号強度がより高くなるように調整する、
請求項３記載の暗号通信管理装置。
　前記鍵生成管理部は、
　前記所定の処理の回数が所定の第３閾値より大きい前記第２情報群は、前記第２情報毎にそれぞれ１つのグループとし、
　前記所定の処理の回数が所定の第３閾値以下の前記第２情報群は、暗号強度が同じであって、かつ、前記第２装置に送信される組み合わせが同じである複数の前記第２情報を１つのグループとする
請求項２又は請求項３のいずれか一項に記載の暗号通信管理装置。
　前記第２装置が前記第１情報及び前記第２情報を使用する場合、
　前記鍵生成管理部は、前記第１情報及び前記第２情報を、前記第１情報及び前記第２情報を使用する前記第２装置の種類及び前記第２情報の生成過程に基づいてグループ化し、生成されたグループ毎に前記暗号強度を決定し、決定された暗号強度に対応する暗号化鍵を生成し、生成された前記暗号化鍵を前記第１情報及び前記第２情報に対応付けて管理する、
請求項２又は請求項３のいずれか一項に記載の暗号通信管理装置。
　前記第１情報は、前記第１装置の電力消費または発電に関する状態を含む情報として構成されており、
　前記所定の処理は、所定の統計処理である、
請求項２又は請求項３のいずれか一項に記載の暗号通信管理装置。
　複数の第１装置と複数の第２装置とに通信可能に接続され、前記各第１装置から取得した情報を前記各第２装置のうち所定の第２装置に暗号化して提供するための方法であって、コンピュータが行う以下のステップ、
　前記各第１装置から第１情報を収集するステップと、
　収集された前記各第１情報に所定の処理を施すことにより、第２情報を生成するステップと、
　前記第２情報を、前記第２情報を使用する前記第２装置の種類及び前記第２情報の生成過程に基づいてグループ化し、生成されたグループ毎に前記暗号強度を決定し、決定された暗号強度に対応する暗号化鍵を生成し、生成された前記暗号化鍵を前記第２情報に対応付けて管理するステップと、
　前記第２情報を、対応付けられた前記暗号化鍵で暗号化するステップと、
　暗号化された前記第２情報を前記第２装置に送信するステップと
を有する暗号通信管理方法。