WO2015136801A1 - Information management system - Google Patents

Information management system Download PDF

Info

Publication number
WO2015136801A1
WO2015136801A1 PCT/JP2014/082682 JP2014082682W WO2015136801A1 WO 2015136801 A1 WO2015136801 A1 WO 2015136801A1 JP 2014082682 W JP2014082682 W JP 2014082682W WO 2015136801 A1 WO2015136801 A1 WO 2015136801A1
Authority
WO
WIPO (PCT)
Prior art keywords
database
data
information
stored
management system
Prior art date
Application number
PCT/JP2014/082682
Other languages
French (fr)
Japanese (ja)
Inventor
佐藤 恵一
Original Assignee
株式会社日立ソリューションズ
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社日立ソリューションズ filed Critical 株式会社日立ソリューションズ
Publication of WO2015136801A1 publication Critical patent/WO2015136801A1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates

Definitions

  • the present invention relates to a database, and more particularly to a technique for improving information management security by applying searchable encryption.
  • cloud computing has been rapidly spreading to consolidate inexpensive services and information.
  • security and privacy considerations in cloud computing are not always sufficient.
  • Searchable encryption technology is known as a security technology in cloud computing.
  • the searchable encryption technique is a technique that enables searching while encrypting data stored in a storage device, and is a typical security technique in cloud computing.
  • searchable encryption technology the database itself is encrypted, and search processing can be executed without decrypting the data in the data center, eliminating the security vulnerabilities of the conventional technology. Yes. For this reason, it attracts attention as a technology that strictly considers security and privacy.
  • JP 2012-123614 A As background art of this technical field.
  • a DB server that deposits data a registration client that deposits data in the DB server, and a search client that causes the DB server to retrieve data cooperate with each other via a network.
  • a searchable cryptographic processing system wherein a registration client deposits encrypted data in a server using a probabilistic encryption method using a mask using a hash value and a homomorphic function, and the search client Use probabilistic encryption with masks that use homomorphic functions for encryption, do not let the DB server release the mask, and make sure that the appearance frequency of the data that corresponds to the search does not leak to the DB server To output the data not to be searched
  • Japanese Patent Application Laid-Open No. 2012-123614 has a problem that it requires a large processing time and a large amount of computer resources due to a heavy load of search processing and analysis processing that are executed while encrypted.
  • the present invention separates information that can identify an individual from information that cannot be identified by itself, and stores the information in a form that considers security and privacy.
  • a typical example of the invention disclosed in the present application is as follows. That is, an information management system in which a first database and a second database are provided in one or a plurality of data centers, and the first database is decrypted in the data center using a searchable encryption technique. Data encrypted in an incapable format is stored, and the second database stores data associated with data stored in the first database.
  • FIG. 1 is a diagram showing a configuration of an information management system according to an embodiment of the present invention.
  • the information management system includes a plurality of databases 1 and 2 and a terminal (PC) 3.
  • the databases 1 and 2 include a nonvolatile storage device (or volatile storage device) that stores data, and a database management system (DBMS) that controls input / output and update of data stored in the sex storage device. Is done.
  • the database management system is executed on a computer resource having a processor and a memory.
  • the database 1 stores data encrypted by applying a searchable encryption technique in a storage device, and outputs the data without being decrypted in the data center 10.
  • the database 2 is a database in which normal plain text data is stored.
  • the database 2 may be a database to which a normal encryption technique is applied (that is, encrypted data is stored in a storage device, but data decrypted in the data center 10 is output).
  • the database 1 configured in this way stores data whose contents should be concealed, for example, data (name, address, etc.) that can identify a specific individual. Further, as shown in FIG. 3, the database 2 stores data associated with the data stored in the database 1, for example, data (such as a health check result) that cannot identify an individual by itself.
  • FIG. 1 shows only one database 1 and 2 respectively, but each may include a plurality of databases. In this case, as will be described later, a plurality of pieces of association information are recorded in the database 1 in order to associate the databases.
  • Databases 1 and 2 are accommodated in one data center 10.
  • the data center 10 is a group of computers that are distributed in a plurality of bases and connected by a network in addition to a group of computers accommodated in a single base. More specifically, the resources of the computer and the storage device It is a cloud service that provides a part of Further, the data center 10 may be one installed in equipment managed by a user (for example, a company) (so-called on-premises).
  • the databases 1 and 2 may be distributed and accommodated in a plurality of data centers 10. That is, another business operator may manage the databases 1 and 2.
  • the data stored in the databases 1 and 2 are associated with each other, personal information is managed and grasped centrally.
  • the data stored in the database 1 is encrypted, and the encrypted data is output from the database 1. Even if both are accommodated, personal information is not managed centrally.
  • the data center 10 may be provided with a server for controlling the databases 1 and 2 and a server for providing an application to the terminal.
  • the server may provide a service using data stored in the databases 1 and 2.
  • the terminal 3 is a computer having a processor, a memory, a network interface, and a user interface (keyboard, mouse, display device, etc.).
  • the computer may be a tablet terminal, a smartphone, or the like. Although only one terminal 3 is shown in FIG. 1, a plurality of terminals 3 are usually provided as shown in FIG.
  • the terminal 3 may operate a dedicated application program for accessing the databases 1 and 2 or a web browser.
  • the dedicated application program and the web browser manage a key for the terminal 3 to access the databases 1 and 2 and transmit a request to a server in the data center 10.
  • a plurality of keys for the terminal 3 to access the database 1 are prepared depending on the type of access permitted (only search, search and decryption).
  • the key for access may be the same for each organization, or may be different for each user. Key management can be determined by information managers and users.
  • the data center 10 and the terminal 3 are connected by a network 4.
  • a personal ID for storing data in the database 1 and a data ID for storing data in the database 2 are issued.
  • This ID may be issued by the terminal 3 or the data center 10 (DBMS).
  • the terminal 3 separates the input data into data stored in the database 1 and data stored in the database 2 according to a preset separation rule (that is, a database definition table).
  • the terminal 3 transmits a write request including the separated data and the issued ID to the databases 1 and 2.
  • Databases 1 and 2 store data in accordance with a write request from terminal 3.
  • FIG. 2 is a diagram illustrating a configuration example of the database 1 of the present embodiment.
  • the database 1 stores personal information such as a personal ID 101, a name 102, a date of birth 103, an address 104, an e-mail address 105, a telephone number 106, etc. that uniquely identify an individual such as an individual.
  • the database 1 encrypts these data by applying a searchable encryption technique, stores the data in a storage device, and outputs the data without being decrypted in the data center 10.
  • personnel information may be stored in the database 1.
  • Database 1 stores data ID 107 for associating with data stored in database 2.
  • a data ID corresponding to the data ID 201 of the database 2 (for example, a matching data ID) is used.
  • the database 1 associates the personal ID 101 with the data ID 107, the database 1 and the database 2 can be associated with each other.
  • the database 1 may store a password and an access key for accessing the database 1.
  • the encrypted data stored in the database 1 can be further improved by changing and updating the encrypted data every time the database 1 is accessed. More specifically, at the time of data registration, the encrypted data is generated differently, and the encrypted data is rewritten for each access. Details of this will be described later with reference to FIG.
  • FIG. 3 is a diagram illustrating a configuration example of the database 2 according to the present embodiment.
  • a database 2 shown in FIG. 3 is a database for storing personal health information, and includes a data ID 1231 for uniquely identifying data, a data registration date 1232, and health check results (height 1233, weight 1234, BMI 1235, blood pressure 1236, The blood glucose level 1237) and the like are stored. Thus, the database 2 does not store personal information that can identify an individual.
  • the database 2 may store a password and access key for accessing the database 2.
  • Management of information for associating data stored in the database 1 with data stored in the database 2 is important in separating personal information.
  • the management of the association information determines whether the data management is connectable anonymization or non-connectable anonymization. For this reason, for example, ethical guidelines in the clinical research field require strict management of association information. More specifically, if the association information cannot be accessed or discarded, an individual corresponding to the data stored in the database 2 cannot be identified, and connection anonymization is performed. On the other hand, if the association information can be accessed, an individual corresponding to the data stored in the database 2 can be identified, and the connection can be made anonymous. For this reason, in the anonymization that can be connected, strict management of association information becomes a heavy burden.
  • association information is searchable encrypted and stored in the database 1
  • the association information is encrypted in a format that cannot be decrypted in the data center 10 and stored in the database 1. For this reason, it can be said that the association information is stored outside the data center 10. Since no association information is stored in the data center 10, personal information can be managed safely.
  • 4 and 5 are diagrams showing data acquisition from the database according to the present embodiment.
  • the data may be acquired from the database 1 after being acquired from the database 1, or may be acquired from the database 1 after being acquired from the database 2.
  • FIG. 4 shows a method for acquiring data first from the database 1
  • FIG. 5 shows a method for acquiring data first from the database 2.
  • the application to be executed by the terminal 3 selects which database the data is to be acquired first, and controls the transmission of the request to each database.
  • the terminal 3 When acquiring data first from the database 1, as shown in FIG. 4, the terminal 3 transmits a request to the database 1 and acquires data stored in the database 1 by search processing.
  • the data acquired from the database 1 includes a data ID 107 for specifying the data stored in the database 2.
  • the terminal 3 transmits a request to the database 2 using the acquired data ID, and acquires data stored in the database 2 by a search process.
  • the terminal 3 combines the data acquired from the database 1 and the data acquired from the database 2 and displays them on the display screen.
  • the terminal 3 transmits a request to the database 2, and acquires data stored in the database 2 by a search process.
  • the terminal 3 uses the data ID 107 acquired from the database 2 to transmit a request to the database 1 and acquires data stored in the database 1 by a search process.
  • the terminal 3 combines the data acquired from the database 1 and the data acquired from the database 2 and displays them on the display screen.
  • the data acquired from the database 1 is further narrowed down using the data stored in the database 2, and the data acquired from the database 2 is further narrowed down using the data stored in the database 1.
  • the narrowing down using the database may be repeated a plurality of times.
  • the database 1 and the database 2 are arranged in different data centers, the data from the database 1 and the data from the database 2 are transferred through different routes on the network 4, so that security and privacy are further increased. Can be improved. Even if the database 1 and the database 2 are arranged in one data center 10 as in the present embodiment, the data stored in the database 1 and the data stored in the database 2 are linked in the data center 10. Since this is not possible, the same security and privacy as when the database 1 and the database 2 are arranged in different data centers can be ensured.
  • FIG. 6 is a diagram illustrating data sharing by a plurality of terminals 3 according to the present embodiment.
  • the terminal 31 has a key for accessing the database 1, and accesses the database 1 to acquire data stored in the database 1 (601). Then, the database 2 is accessed using the data acquired from the database 1 (602), and the data stored in the database 2 is acquired (603). Thereafter, the terminal 31 combines the personal information acquired from the database 1 and the information acquired from the database 2, and displays the information acquired from the database 2 on the display device in a form that allows an individual to be specified.
  • the terminal 32 since the terminal 32 does not have a key for accessing the database 1 and cannot access the database 1, the data stored in the database 1 cannot be acquired (611). However, data stored in database 2 can be obtained by accessing database 2 (612). Since the terminal 32 cannot combine the personal information acquired from the database 1 and the information acquired from the database 2, the information acquired from the database 2 is displayed on the display device in a form in which the individual cannot be specified (for example, a form capable of statistical processing). To do.
  • the terminal 31 since the terminal 31 has a key for accessing the database 1, it can acquire data including personal information. On the other hand, since the terminal 32 does not have a key for accessing the database 1, it can acquire only data that cannot identify an individual. Personal information can be concealed by changing the authority of the terminal depending on the application.
  • the keys of the terminals 31 and 32 may be set for each terminal or may be set corresponding to the user (login ID) of the terminal.
  • the keys for accessing the database 1 may be divided into a plurality of types of keys having different authority levels, for example, an access key that can be searched and decrypted and an access key that can only be searched.
  • FIG. 7 is a diagram showing an update of data stored in the database 2 using the search result of the database 1 according to the embodiment of the present invention.
  • the terminal 3 transmits a request to the database 1 and obtains a search result from the database 1 (701). Since the terminal 3 has an access key that allows the database 1 to be searched, only the information indicating whether or not the data matching the search condition is stored in the database 1 can be acquired (702). When data matching the search condition is stored in the database 1, the database 1 transmits a key for accessing the database 2 to the terminal 3.
  • the key for accessing the database 2 includes information that can identify one or a plurality of searched people.
  • the terminal 3 can access the database 2 using the access key acquired from the database 1 and acquire data of one or a plurality of persons specified in the search stored in the database 2 (703). ).
  • the terminal 3 Since the terminal 3 has only an access key capable of searching the database 1, the terminal 3 is not associated with the data stored in the database 1 and the data stored in the database 2, that is, without specifying personal information. , You can access data that matches your search criteria.
  • the database 1 is searched using the personal information as a search condition, and data matching the search condition is stored in the database 1, the password stored in the database 2 (access to the database 2 is accessed). Password).
  • FIG. 8 is a diagram showing the update of the encryption information stored in the database 1 according to the embodiment of the present invention.
  • the encrypted data stored in the database 1 is updated every time the database 1 is accessed (for example, the database 1 is searched and data is acquired from the database 1). Specifically, every time the database 1 is accessed, the seed of encryption generation is changed (for example, a new hash value is generated by a pseudo random number generator).
  • the encrypted data to be updated is an ID and password for accessing the database 1, but other parts of the database 1 may be updated or the entire database 1 may be updated. .
  • the encrypted data stored in the database 1 may be changed every time the database 1 is accessed. Then, the encrypted data stored in the database 1 is updated with a change in a key (for example, a secret key) for accessing the database 1. Thereby, the key management risk on the terminal 3 side can be reduced.
  • a key for example, a secret key
  • FIG. 9 is a diagram showing a form in which sensitive information is stored in the database 1 according to the embodiment of the present invention.
  • the database 1 stores data (name, address, etc.) that can identify a specific individual as data whose contents should be kept secret.
  • the database 1 stores sensitive information in addition to data whose contents should be kept secret.
  • the sensitive information is information such as a credit card number or genetic information that requires special attention for handling even if an individual is not specified, and has a great influence at the time of leakage.
  • the terminal 3 transmits a request to the database 1 and obtains a search result from the database 1 (701). Since the terminal 3 has an access key that allows the database 1 to be searched, only the information indicating whether or not the data matching the search condition is stored in the database 1 can be acquired (702). When data matching the search condition is stored in the database 1, the database 1 transmits other sensitive information stored in the database 1 to the terminal 3 (903).
  • the personal information is searched in the database 1 using the key as a key, and the terminal 3 can receive the encrypted information only when it matches.
  • the sensitive information can be acquired by the terminal 3.
  • the terminal 3 is a web server that provides an EC site (electronic commerce site)
  • the product selection stage accesses the database 2 to confirm the contents of the shopping cart
  • the settlement method finalization stage accesses the database 1.
  • payment information credit card information
  • payment information can be acquired and payment information can be transmitted from the terminal 3 to the user.
  • the data center 10 can reduce information management risk by encrypting and managing sensitive information in the database 1.
  • data that should be considered for security and privacy for example, information related to a living individual, such as a name, date of birth, and other descriptions
  • Identifiable information for example, information related to a living individual, such as a name, date of birth, and other descriptions
  • Data that can be identified is stored protected by searchable encryption, and other data is stored in plaintext or normal encryption. To keep it separate from personally identifiable information. For this reason, data that can identify a specific individual cannot be decrypted in the data center, and only information that cannot be identified by itself can be decrypted in the data center. Data can be shared and used.
  • the amount of searchable encrypted data can be reduced, processing time can be reduced, and computer resources can be reduced.
  • the amount of reduction in processing time and the amount of reduction in computer resources depends on the amount of searchable encrypted data. In fact, the amount of information that cannot identify an individual alone is sufficiently large compared to information that can identify a specific individual, and a great reduction and reduction can be expected.
  • data stored in plaintext or with normal encryption (information that cannot be used to identify individuals alone) can be analyzed and analyzed with a small amount of computer resources. It can be handled in the same way as the handling of information that has been anonymized several times, such as conversion and secondary anonymization.
  • the information stored in the database 1 and the information stored in the database 2 can be arbitrarily set in consideration of the degree to be concealed and the influence on performance. Further, the database does not need to be separated as hardware or software, and may be in a format in which the schema and data string are separated in the same hardware or software.
  • the database 1 and the database 2 are arranged in different data centers to separate the data transfer route, and the encryption on the transfer route is performed. (SSL, VPN, etc.), and by applying searchable encryption, multiple encryption and information paths can be separated. Security and privacy considerations can be realized.
  • the data stored in the database 2 when the data stored in the database 2 is provided to a third party, the data stored in the database 2 may be provided as it is. Further, by providing k-anonymization technology and the like, it is possible to smoothly provide information with improved security and privacy in consideration of re-identification risk to a third party.
  • the present invention is not limited to the above-described embodiments, and includes various modifications and equivalent configurations within the scope of the appended claims.
  • the above-described embodiments have been described in detail for easy understanding of the present invention, and the present invention is not necessarily limited to those having all the configurations described.
  • a part of the configuration of one embodiment may be replaced with the configuration of another embodiment.
  • another configuration may be added, deleted, or replaced.
  • each of the above-described configurations, functions, processing units, processing means, etc. may be realized in hardware by designing a part or all of them, for example, with an integrated circuit, and the processor realizes each function. It may be realized by software by interpreting and executing the program to be executed.
  • Information such as programs, tables, and files that realize each function can be stored in a storage device such as a memory, a hard disk, and an SSD (Solid State Drive), or a recording medium such as an IC card, an SD card, and a DVD.
  • a storage device such as a memory, a hard disk, and an SSD (Solid State Drive), or a recording medium such as an IC card, an SD card, and a DVD.
  • control lines and information lines indicate what is considered necessary for the explanation, and do not necessarily indicate all control lines and information lines necessary for mounting. In practice, it can be considered that almost all the components are connected to each other.

Abstract

This information management system comprises a first database and a second database provided in one or multiple data centers. The first database uses a searchable encryption technique to store data encrypted in a format that cannot be decrypted inside of the aforementioned data center, and the second database stores data associated with the data stored in the first database.

Description

情報管理システムInformation management system 参照による取り込みImport by reference
 本出願は、及び平成26年(2014年)3月13日に出願された日本出願である特願2014-049869、及び平成26年(2014年)7月31日に出願された日本出願である特願2014-155671の優先権を主張し、その内容を参照することにより、本出願に取り込む。 This application is a Japanese application filed on March 13, 2014 (Japanese Patent Application No. 2014-049869) and a Japanese application filed on July 31, 2014 (2014). The priority of Japanese Patent Application No. 2014-155671 is claimed, and the contents thereof are incorporated into the present application by reference.
 本発明は、データベースに関し、特に、検索可能暗号化を適用して情報管理のセキュリティを向上させる技術に関する。 The present invention relates to a database, and more particularly to a technique for improving information management security by applying searchable encryption.
 近年、安価なサービスや情報を集約化するため、クラウドコンピューティングが急速に普及している。しかし、クラウドコンピューティングにおけるセキュリティやプライバシーに対する配慮はまだ必ずしも十分とはいえない状況である。 In recent years, cloud computing has been rapidly spreading to consolidate inexpensive services and information. However, security and privacy considerations in cloud computing are not always sufficient.
 クラウドコンピューティングにおけるセキュリティ技術として、検索可能暗号技術が知られている。検索可能暗号技術は、記憶装置に格納されたデータを暗号化したまま検索ができる技術であり、クラウドコンピューティングにおけるセキュリティ技術の代表的なものである。検索可能暗号化技術は、データベース自体が暗号化されており、さらに、データセンタ内でデータを復号化することなく検索処理を実行することができ、従来技術のセキュリティ上の脆弱性を解消している。このため、セキュリティやプライバシーに厳密に配慮する技術として注目されている。 Searchable encryption technology is known as a security technology in cloud computing. The searchable encryption technique is a technique that enables searching while encrypting data stored in a storage device, and is a typical security technique in cloud computing. With searchable encryption technology, the database itself is encrypted, and search processing can be executed without decrypting the data in the data center, eliminating the security vulnerabilities of the conventional technology. Yes. For this reason, it attracts attention as a technology that strictly considers security and privacy.
 本技術分野の背景技術として特開2012-123614号公報がある。特開2012-123614号公報に記載の検索可能暗号処理ステムは、データを預かるDBサーバと、DBサーバにデータを預託する登録クライアントと、DBサーバにデータを検索させる検索クライアントがネットワーク経由で連携する検索可能暗号処理ステムであって、登録クライアントは、ハッシュ値と準同型関数を用いたマスクによる確率的暗号化方式を用いて、暗号化したデータをサーバに預託し、検索クライアントは、検索クエリの暗号化に準同型関数を用いたマスクによる確率的暗号化を用い、DBサーバにマスクを解除させずに、かつ、DBサーバに検索に該当するデータの出現頻度が漏洩しないよう、検索クエリと該当しないデータを検索結果として出力させる。 There is JP 2012-123614 A as background art of this technical field. In the searchable cryptographic processing system described in Japanese Patent Application Laid-Open No. 2012-123614, a DB server that deposits data, a registration client that deposits data in the DB server, and a search client that causes the DB server to retrieve data cooperate with each other via a network. A searchable cryptographic processing system, wherein a registration client deposits encrypted data in a server using a probabilistic encryption method using a mask using a hash value and a homomorphic function, and the search client Use probabilistic encryption with masks that use homomorphic functions for encryption, do not let the DB server release the mask, and make sure that the appearance frequency of the data that corresponds to the search does not leak to the DB server To output the data not to be searched
 しかしながら、特開2012-123614号公報に記載の技術は、暗号化したまま実行する検索処理や解析処理の負荷が大きく、多くの処理時間や多くのコンピュータリソースを必要とする課題がある。また、データを暗号化したまま複雑な解析を実行することが困難であるか、又は、多くのコンピュータリソースが必要になるなどの課題ある。このため、従来のデータセンタにおいて、コンピュータリソースの確保は容易でなく、計算コストを上昇し、検索可能暗号化技術の実用化への障害となっていた。 However, the technique described in Japanese Patent Application Laid-Open No. 2012-123614 has a problem that it requires a large processing time and a large amount of computer resources due to a heavy load of search processing and analysis processing that are executed while encrypted. In addition, there is a problem that it is difficult to execute a complex analysis with data encrypted, or that many computer resources are required. For this reason, in a conventional data center, it is not easy to secure computer resources, which increases the calculation cost and hinders the practical application of searchable encryption technology.
 前述した課題を解決するため、本発明は、個人を識別できる情報と、それだけでは個人を識別できない情報とに分離して、セキュリティやプライバシーに配慮した形態で保管する。 In order to solve the above-described problems, the present invention separates information that can identify an individual from information that cannot be identified by itself, and stores the information in a form that considers security and privacy.
 本願において開示される発明の代表的な一例を示せば以下の通りである。すなわち、第1データベースと第2データベースとが一つもしくは複数のデータセンタ内に設けられる情報管理システムであって、前記第1データベースは、検索可能暗号化技術を用いて、前記データセンタ内で復号できない形式で暗号化されたデータを格納し、前記第2データベースは、前記第1データベースに格納されるデータと関連付けられるデータを格納する。 A typical example of the invention disclosed in the present application is as follows. That is, an information management system in which a first database and a second database are provided in one or a plurality of data centers, and the first database is decrypted in the data center using a searchable encryption technique. Data encrypted in an incapable format is stored, and the second database stores data associated with data stored in the first database.
 本発明の代表的な形態によれば、セキュリティやプライバシー上の課題を解決することできる。また、コンピュータリソースを削減できる。前述した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。 According to the representative embodiment of the present invention, it is possible to solve security and privacy problems. In addition, computer resources can be reduced. Problems, configurations, and effects other than those described above will become apparent from the description of the following embodiments.
本発明の実施形態の情報管理システムの構成を示す図である。It is a figure which shows the structure of the information management system of embodiment of this invention. 本発明の実施形態のデータベースの構成例を示す図である。It is a figure which shows the structural example of the database of embodiment of this invention. 本発明の実施形態のデータベースの構成例を示す図である。It is a figure which shows the structural example of the database of embodiment of this invention. 本発明の実施形態のデータベースからのデータの取得を示す図である。It is a figure which shows acquisition of the data from the database of embodiment of this invention. 本発明の実施形態のデータベースからのデータの取得を示す図である。It is a figure which shows acquisition of the data from the database of embodiment of this invention. 本発明の実施形態の端末によるデータの共有を示す図である。It is a figure which shows the sharing of the data by the terminal of embodiment of this invention. 本発明の実施形態のデータベースに格納されたデータの更新を示す図である。It is a figure which shows the update of the data stored in the database of embodiment of this invention. 本発明の実施形態のデータベースに格納した暗号化情報の更新を示す図である。It is a figure which shows the update of the encryption information stored in the database of embodiment of this invention. 本発明の実施形態のデータベースに機微情報を格納する形態を示す図である。It is a figure which shows the form which stores sensitive information in the database of embodiment of this invention.
  以下、本発明を実施する場合の一形態を図面を参照して具体的に説明する。 Hereinafter, one mode for carrying out the present invention will be specifically described with reference to the drawings.
 図1は、本発明の一実施形態の情報管理システムの構成を示す図である。 FIG. 1 is a diagram showing a configuration of an information management system according to an embodiment of the present invention.
 本実施形態の情報管理システムは、複数のデータベース1、2、端末(PC)3によって構成される。 The information management system according to this embodiment includes a plurality of databases 1 and 2 and a terminal (PC) 3.
 データベース1及び2は、データを格納する不揮発性記憶装置(又は、揮発性記憶装置)と、該性記憶装置に格納されたデータの入出力及び更新を制御するデータベースマネジメントシステム(DBMS)とによって構成される。データベースマネジメントシステムは、プロセッサ及びメモリを有するコンピュータリソース上で実行される。 The databases 1 and 2 include a nonvolatile storage device (or volatile storage device) that stores data, and a database management system (DBMS) that controls input / output and update of data stored in the sex storage device. Is done. The database management system is executed on a computer resource having a processor and a memory.
 データベース1は、検索可能暗号技術を適用して暗号化したデータを記憶装置に格納し、データセンタ10内で復号せずにデータを出力する。データベース2は、通常の平文データが格納されるデータベースである。データベース2は、通常の暗号化技術が適用された(すなわち、暗号化されたデータが記憶装置に格納されるが、データセンタ10内で復号化されたデータが出力される)データベースでもよい。 The database 1 stores data encrypted by applying a searchable encryption technique in a storage device, and outputs the data without being decrypted in the data center 10. The database 2 is a database in which normal plain text data is stored. The database 2 may be a database to which a normal encryption technique is applied (that is, encrypted data is stored in a storage device, but data decrypted in the data center 10 is output).
 このように構成されたデータベース1には、図2に示すように、内容を秘匿すべきデータ、例えば、特定の個人を識別できるデータ(氏名、住所など)が格納される。また、データベース2には、図3に示すように、データベース1に格納されたデータと関連付けられるデータ、例えば、それだけでは個人を識別できないデータ(健康診断の結果など)が格納される。 As shown in FIG. 2, the database 1 configured in this way stores data whose contents should be concealed, for example, data (name, address, etc.) that can identify a specific individual. Further, as shown in FIG. 3, the database 2 stores data associated with the data stored in the database 1, for example, data (such as a health check result) that cannot identify an individual by itself.
 図1には、データベース1及び2は、各々一つのみを図示するが、各々が複数のデータベースを含んでもよい。この場合、後述するように、各データベースを関連付けるために複数の対応付け情報がデータベース1に記録される。 FIG. 1 shows only one database 1 and 2 respectively, but each may include a plurality of databases. In this case, as will be described later, a plurality of pieces of association information are recorded in the database 1 in order to associate the databases.
 データベース1及び2は、一つのデータセンタ10内に収容されている。データセンタ10とは、一つの拠点に収容されたコンピュータ群の他、複数の拠点に分散して配置され、ネットワークによって接続されるコンピュータ群であり、より具体的には、コンピュータ及びストレージ装置のリソースの一部を仮想化して提供するクラウドサービスである。また、データセンタ10は、使用者(例えば、企業)が管理する設備内に設置されるもの(いわゆる、オンプレミス)でもよい。 Databases 1 and 2 are accommodated in one data center 10. The data center 10 is a group of computers that are distributed in a plurality of bases and connected by a network in addition to a group of computers accommodated in a single base. More specifically, the resources of the computer and the storage device It is a cloud service that provides a part of Further, the data center 10 may be one installed in equipment managed by a user (for example, a company) (so-called on-premises).
 さらに、データベース1及び2を、複数のデータセンタ10内に分散して収容してもよい。すなわち、別の事業者がデータベース1及び2を管理してもよい。 Furthermore, the databases 1 and 2 may be distributed and accommodated in a plurality of data centers 10. That is, another business operator may manage the databases 1 and 2.
 データベース1及び2に格納されるデータを関連付ければ個人の情報が一元的に管理及び把握されてしまう。しかし、本実施形態のデータベース構造によれば、データベース1に格納されるデータは暗号化されており、データベース1から暗号化されたデータが出力されるので、一つのデータセンタ10内にデータベース1及び2の両方を収容しても、個人の情報が一元的に管理されない。 If the data stored in the databases 1 and 2 are associated with each other, personal information is managed and grasped centrally. However, according to the database structure of the present embodiment, the data stored in the database 1 is encrypted, and the encrypted data is output from the database 1. Even if both are accommodated, personal information is not managed centrally.
 なお、図示は省略するが、データセンタ10内には、データベース1、2を制御するためのサーバや、端末にアプリケーションを提供するサーバが設けられてもよい。そして、サーバが、データベース1、2に格納されたデータを用いてサービスを提供してもよい。 Although not shown, the data center 10 may be provided with a server for controlling the databases 1 and 2 and a server for providing an application to the terminal. The server may provide a service using data stored in the databases 1 and 2.
 端末3は、プロセッサ、メモリ、ネットワークインタフェース及びユーザインタフェース(キーボード、マウス、表示装置など)を有するコンピュータである。コンピュータは、パーソナルコンピュータ(PC)の他、タブレット端末、スマートフォンなどでもよい。なお、図1には1台の端末3のみを図示するが、通常は図6に示すように、複数の端末3が設けられる。 The terminal 3 is a computer having a processor, a memory, a network interface, and a user interface (keyboard, mouse, display device, etc.). In addition to a personal computer (PC), the computer may be a tablet terminal, a smartphone, or the like. Although only one terminal 3 is shown in FIG. 1, a plurality of terminals 3 are usually provided as shown in FIG.
 端末3は、データベース1及び2にアクセスするための専用のアプリケーションプログラムが動作しても、ウェブブラウザが動作してもよい。該専用アプリケーションプログラム及びウェブブラウザは、端末3がデータベース1及び2へアクセスするためのキーを管理し、データセンタ10内のサーバにリクエストを送信する。なお、後述するように、端末3がデータベース1へアクセスするためのキーは、許可されるアクセスの種類(検索のみ、検索及び復号)によって複数準備される。また、アクセスするためのキーは、組織ごとに同一でもよいし、ユーザごとに異なってもよい。キーの管理は、情報の管理者および利用者が決定することができる。 The terminal 3 may operate a dedicated application program for accessing the databases 1 and 2 or a web browser. The dedicated application program and the web browser manage a key for the terminal 3 to access the databases 1 and 2 and transmit a request to a server in the data center 10. As will be described later, a plurality of keys for the terminal 3 to access the database 1 are prepared depending on the type of access permitted (only search, search and decryption). Moreover, the key for access may be the same for each organization, or may be different for each user. Key management can be determined by information managers and users.
 データセンタ10と端末3とは、ネットワーク4によって接続される。 The data center 10 and the terminal 3 are connected by a network 4.
 端末3から、新たにデータを登録する場合、データベース1にデータを格納するための個人ID及びデータベース2にデータを格納するためのデータIDを発行する。このIDの発行は、端末3が行っても、データセンタ10(DBMS)が行ってもよい。 When newly registering data from the terminal 3, a personal ID for storing data in the database 1 and a data ID for storing data in the database 2 are issued. This ID may be issued by the terminal 3 or the data center 10 (DBMS).
 端末3は、予め設定された分離ルール(すなわち、データベースの定義テーブル)に従って、入力されたデータをデータベース1に格納するデータとデータベース2に格納するデータに分離する。端末3は、分離されたデータ及び発行されたIDを含む書き込み要求をデータベース1、2に送信する。データベース1、2は、端末3からの書込要求に従ってデータを格納する。 The terminal 3 separates the input data into data stored in the database 1 and data stored in the database 2 according to a preset separation rule (that is, a database definition table). The terminal 3 transmits a write request including the separated data and the issued ID to the databases 1 and 2. Databases 1 and 2 store data in accordance with a write request from terminal 3.
 図2は、本実施形態のデータベース1の構成例を説明する図である。 FIG. 2 is a diagram illustrating a configuration example of the database 1 of the present embodiment.
 データベース1は、個人を一意に識別する個人ID101、氏名102、生年月日103、住所104、メールアドレス105、電話番号106など、個人を特定できる個人情報を格納する。データベース1は、これらのデータに検索可能暗号技術を適用して暗号化して記憶装置に格納し、データセンタ10内で復号せずにデータを出力する。また、本実施例の情報管理システムを会社で使用する場合、データベース1には、人事情報を格納してもよい。 The database 1 stores personal information such as a personal ID 101, a name 102, a date of birth 103, an address 104, an e-mail address 105, a telephone number 106, etc. that uniquely identify an individual such as an individual. The database 1 encrypts these data by applying a searchable encryption technique, stores the data in a storage device, and outputs the data without being decrypted in the data center 10. When the information management system of this embodiment is used in a company, personnel information may be stored in the database 1.
 データベース1は、データベース2に格納されたデータと関連付けるためのデータID107を格納する。データID107はデータベース2のデータID201と対応するもの(例えば、一致するもの)を使用する。データベース1が個人ID101とデータID107とを対応付けることによって、データベース1とデータベース2とを関連付けることができる。 Database 1 stores data ID 107 for associating with data stored in database 2. As the data ID 107, a data ID corresponding to the data ID 201 of the database 2 (for example, a matching data ID) is used. When the database 1 associates the personal ID 101 with the data ID 107, the database 1 and the database 2 can be associated with each other.
 複数のデータベース1及び2が関連付けられる場合、データベース間及びデータ間を関連付けるための複数のデータID107がデータベース1に記録される。 When a plurality of databases 1 and 2 are associated, a plurality of data IDs 107 for associating databases and data are recorded in the database 1.
 なお、データベース1は、データベース1へアクセスするためのパスワードやアクセスキーを格納してもよい。また、データベース1に格納される暗号化データは、データベース1へのアクセスごとに変更し、更新することによって、セキュリティレベルを更に向上することができる。より具体的には、データ登録時には暗号化データが異なるように生成し、アクセスごとに暗号化データを書き換える。この詳細は、図8を用いて後述する。 The database 1 may store a password and an access key for accessing the database 1. In addition, the encrypted data stored in the database 1 can be further improved by changing and updating the encrypted data every time the database 1 is accessed. More specifically, at the time of data registration, the encrypted data is generated differently, and the encrypted data is rewritten for each access. Details of this will be described later with reference to FIG.
 図3は、本実施形態のデータベース2の構成例を説明する図である。 FIG. 3 is a diagram illustrating a configuration example of the database 2 according to the present embodiment.
 図3に示すデータベース2は、個人の健康情報を格納するデータベースであって、データを一意に識別するデータID1231、データ登録日1232及び健康診断の結果(身長1233、体重1234、BMI1235、血圧1236、血糖値1237)など、を格納する。このように、データベース2は、個人を特定できる個人情報を格納しない。なお、データベース2は、データベース2へアクセスするためのパスワードやアクセスキーを格納してもよい。 A database 2 shown in FIG. 3 is a database for storing personal health information, and includes a data ID 1231 for uniquely identifying data, a data registration date 1232, and health check results (height 1233, weight 1234, BMI 1235, blood pressure 1236, The blood glucose level 1237) and the like are stored. Thus, the database 2 does not store personal information that can identify an individual. The database 2 may store a password and access key for accessing the database 2.
 従来、データベース1とデータベース2とを関連付ける情報はデータベース2と共に管理することが適切であったが、該関連付け情報を暗号化してデータベース1に格納したので、データベース1とデータベース2とを一元的に管理しても、個人の情報が一元的に管理されることがない。 Conventionally, it has been appropriate to manage the information that associates the database 1 and the database 2 together with the database 2. However, since the association information is encrypted and stored in the database 1, the database 1 and the database 2 are managed centrally. Even so, personal information is not managed centrally.
 データベース1に格納されたデータとデータベース2に格納されたデータとを関連付けるための情報の管理は、個人情報の分離において重要である。関連付け情報の管理によって、データ管理が連結可能匿名化か連結不可能匿名化かが決まる。このため、例えば、臨床研究分野の倫理指針では、関連付け情報の厳重な管理が要求される。より具体的には、関連付け情報にアクセスできないもしくは破棄されていれば、データベース2に格納されたデータに対応する個人を識別できず、連結不可能匿名化となる。一方、関連付け情報にアクセスできれば、データベース2に格納されたデータに対応する個人を識別でき、連結可能匿名化となる。このため、連結可能匿名化では、関連付け情報の厳重な管理が大きな負担となる。 Management of information for associating data stored in the database 1 with data stored in the database 2 is important in separating personal information. The management of the association information determines whether the data management is connectable anonymization or non-connectable anonymization. For this reason, for example, ethical guidelines in the clinical research field require strict management of association information. More specifically, if the association information cannot be accessed or discarded, an individual corresponding to the data stored in the database 2 cannot be identified, and connection anonymization is performed. On the other hand, if the association information can be accessed, an individual corresponding to the data stored in the database 2 can be identified, and the connection can be made anonymous. For this reason, in the anonymization that can be connected, strict management of association information becomes a heavy burden.
 本実施例では、関連付け情報に検索可能暗号化をしてデータベース1に格納したので、関連付け情報は、データセンタ10内で復号化できない形式で暗号化されてデータベース1に格納される。このため、関連付け情報は、いわば、データセンタ10の外部に格納されているといえる。関連付け情報をデータセンタ10内に持たないので、個人情報を安全に管理することができる。 In this embodiment, since the association information is searchable encrypted and stored in the database 1, the association information is encrypted in a format that cannot be decrypted in the data center 10 and stored in the database 1. For this reason, it can be said that the association information is stored outside the data center 10. Since no association information is stored in the data center 10, personal information can be managed safely.
 図4、図5は、本実施形態のデータベースからのデータの取得を示す図である。 4 and 5 are diagrams showing data acquisition from the database according to the present embodiment.
 データは、データベース1から取得した後、データベース2から取得してもよいし、データベース2から取得した後、データベース1から取得してもよい。図4は、データベース1から先にデータを取得する方法を示し、図5は、データベース2から先にデータを取得する方法を示す。いずれのデータベースから先にデータを取得するかは、端末3で実行されるアプリケーションが選択して、各データベースへのリクエストの送信を制御する。 The data may be acquired from the database 1 after being acquired from the database 1, or may be acquired from the database 1 after being acquired from the database 2. FIG. 4 shows a method for acquiring data first from the database 1, and FIG. 5 shows a method for acquiring data first from the database 2. The application to be executed by the terminal 3 selects which database the data is to be acquired first, and controls the transmission of the request to each database.
 データベース1から先にデータを取得する場合、図4に示すように、端末3は、リクエストをデータベース1に送信し、検索処理によってデータベース1に格納されたデータを取得する。データベース1から取得するデータには、データベース2に格納されたデータを特定するためのデータID107が含まれる。端末3は、取得したデータIDを用いて、リクエストをデータベース2に送信し、検索処理によってデータベース2に格納されたデータを取得する。端末3は、取得したデータID107を用いて、データベース1から取得したデータとデータベース2から取得したデータを結合し、表示画面に表示する。 When acquiring data first from the database 1, as shown in FIG. 4, the terminal 3 transmits a request to the database 1 and acquires data stored in the database 1 by search processing. The data acquired from the database 1 includes a data ID 107 for specifying the data stored in the database 2. The terminal 3 transmits a request to the database 2 using the acquired data ID, and acquires data stored in the database 2 by a search process. Using the acquired data ID 107, the terminal 3 combines the data acquired from the database 1 and the data acquired from the database 2 and displays them on the display screen.
 一方、データベース2から先にデータを取得する場合、図5に示すように、端末3は、リクエストをデータベース2に送信し、検索処理によってデータベース2に格納されたデータを取得する。端末3は、データベース2から取得したデータID107を用いて、リクエストをデータベース1に送信し、検索処理によってデータベース1に格納されたデータを取得する。端末3は、取得したデータID107を用いて、データベース1から取得したデータとデータベース2から取得したデータを結合し、表示画面に表示する。 On the other hand, when data is first acquired from the database 2, as shown in FIG. 5, the terminal 3 transmits a request to the database 2, and acquires data stored in the database 2 by a search process. The terminal 3 uses the data ID 107 acquired from the database 2 to transmit a request to the database 1 and acquires data stored in the database 1 by a search process. Using the acquired data ID 107, the terminal 3 combines the data acquired from the database 1 and the data acquired from the database 2 and displays them on the display screen.
 なお、データベース1から取得したデータを、さらに、データベース2に格納されたデータを用いて絞り込んだり、データベース2から取得したデータを、さらに、データベース1に格納されたデータを用いて絞り込むように、各データベースを用いた絞り込みを複数回繰り返してもよい。 The data acquired from the database 1 is further narrowed down using the data stored in the database 2, and the data acquired from the database 2 is further narrowed down using the data stored in the database 1. The narrowing down using the database may be repeated a plurality of times.
 なお、データベース1とデータベース2とを別のデータセンタに配置することによって、データベース1からのデータとデータベース2からのデータとがネットワーク4上で異なる経路を転送されることから、さらにセキュリティやプライバシーを向上することができる。なお、本実施形態のように、データベース1とデータベース2とが一つのデータセンタ10に配置されても、データセンタ10内でデータベース1に格納されたデータとデータベース2に格納されたデータとを連結できないので、データベース1とデータベース2とを別のデータセンタに配置する場合と同様のセキュリティとプライバシーを確保することができる。 Since the database 1 and the database 2 are arranged in different data centers, the data from the database 1 and the data from the database 2 are transferred through different routes on the network 4, so that security and privacy are further increased. Can be improved. Even if the database 1 and the database 2 are arranged in one data center 10 as in the present embodiment, the data stored in the database 1 and the data stored in the database 2 are linked in the data center 10. Since this is not possible, the same security and privacy as when the database 1 and the database 2 are arranged in different data centers can be ensured.
 図6は、本実施形態の複数の端末3によるデータ共有を示す図である。 FIG. 6 is a diagram illustrating data sharing by a plurality of terminals 3 according to the present embodiment.
 端末31は、データベース1にアクセスするためのキーを有しており、データベース1にアクセスして、データベース1に格納されたデータを取得する(601)。そして、データベース1から取得したデータを用いてデータベース2にアクセスして(602)、データベース2に格納されたデータを取得する(603)。その後、端末31は、データベース1から取得した個人情報とデータベース2から取得した情報とを結合して、データベース2から取得した情報を個人が特定できる形態で表示装置に表示する。 The terminal 31 has a key for accessing the database 1, and accesses the database 1 to acquire data stored in the database 1 (601). Then, the database 2 is accessed using the data acquired from the database 1 (602), and the data stored in the database 2 is acquired (603). Thereafter, the terminal 31 combines the personal information acquired from the database 1 and the information acquired from the database 2, and displays the information acquired from the database 2 on the display device in a form that allows an individual to be specified.
 一方、端末32は、データベース1にアクセスするためのキーを有しておらず、データベース1にアクセスできないため、データベース1に格納されたデータを取得できない(611)。しかし、データベース2にアクセスして、データベース2に格納されたデータを取得することができる(612)。端末32は、データベース1から取得した個人情報とデータベース2から取得した情報とを結合できないので、データベース2から取得した情報を個人が特定できない形態(例えば、統計処理可能な形態)で表示装置に表示する。 On the other hand, since the terminal 32 does not have a key for accessing the database 1 and cannot access the database 1, the data stored in the database 1 cannot be acquired (611). However, data stored in database 2 can be obtained by accessing database 2 (612). Since the terminal 32 cannot combine the personal information acquired from the database 1 and the information acquired from the database 2, the information acquired from the database 2 is displayed on the display device in a form in which the individual cannot be specified (for example, a form capable of statistical processing). To do.
 このように、端末31は、データベース1にアクセスするためのキーを有しているため、個人情報を含むデータを取得できる。一方、端末32は、データベース1にアクセスするためのキーを有していないため、個人を特定できないデータのみを取得できる。端末の権限を用途によって変えることによって、個人情報を秘匿することができる。 Thus, since the terminal 31 has a key for accessing the database 1, it can acquire data including personal information. On the other hand, since the terminal 32 does not have a key for accessing the database 1, it can acquire only data that cannot identify an individual. Personal information can be concealed by changing the authority of the terminal depending on the application.
 なお、端末31、32のキーは、端末毎に設定しても、端末の使用者(ログインID)に対応して設定してもよい。 Note that the keys of the terminals 31 and 32 may be set for each terminal or may be set corresponding to the user (login ID) of the terminal.
 データベース1にアクセスするためのキーは、権限レベルが異なる複数種類のキー、例えば、検索及び復号が可能なアクセスキーと、検索のみが可能なアクセスキーとに分けられてもよい。次に、図7を用いて端末3が検索のみが可能なアクセスキーを有している場合のデータベースへのアクセスについて説明する。 The keys for accessing the database 1 may be divided into a plurality of types of keys having different authority levels, for example, an access key that can be searched and decrypted and an access key that can only be searched. Next, the access to the database when the terminal 3 has an access key that can only be searched will be described with reference to FIG.
 図7は、本発明の実施形態のデータベース1の検索結果を用いた、データベース2に格納されたデータの更新を示す図である。 FIG. 7 is a diagram showing an update of data stored in the database 2 using the search result of the database 1 according to the embodiment of the present invention.
 端末3は、リクエストをデータベース1に送信し、データベース1から検索結果を取得する(701)。端末3は、データベース1を検索可能なアクセスキーを有しているので、検索条件に一致するデータがデータベース1に格納されているか否かの情報のみを取得できる(702)。検索条件に一致するデータがデータベース1に格納されている場合、データベース1は、データベース2へアクセスするためのキーを端末3に送信する。このデータベース2へアクセスするためのキーは、検索された一又は複数の人を特定可能な情報を含む。 The terminal 3 transmits a request to the database 1 and obtains a search result from the database 1 (701). Since the terminal 3 has an access key that allows the database 1 to be searched, only the information indicating whether or not the data matching the search condition is stored in the database 1 can be acquired (702). When data matching the search condition is stored in the database 1, the database 1 transmits a key for accessing the database 2 to the terminal 3. The key for accessing the database 2 includes information that can identify one or a plurality of searched people.
 端末3は、データベース1から取得したアクセスキーを用いて、データベース2にアクセして、データベース2に格納された、前記検索で特定された一又は複数の人のデータを取得することができる(703)。 The terminal 3 can access the database 2 using the access key acquired from the database 1 and acquire data of one or a plurality of persons specified in the search stored in the database 2 (703). ).
 端末3は、データベース1を検索可能なアクセスキーのみを有しているので、データベース1に格納されたデータとデータベース2に格納されたデータとを関連付けることなく、すなわち、個人情報を特定しない状態で、検索条件に一致するデータにアクセスすることができる。 Since the terminal 3 has only an access key capable of searching the database 1, the terminal 3 is not associated with the data stored in the database 1 and the data stored in the database 2, that is, without specifying personal information. , You can access data that matches your search criteria.
 より具体的には、自分の個人情報を検索条件としてデータベース1を検索して、検索条件に一致するデータがデータベース1に格納されている場合、データベース2に格納されたパスワード(データベース2にアクセスするためのパスワード)を変更することができる。 More specifically, when the database 1 is searched using the personal information as a search condition, and data matching the search condition is stored in the database 1, the password stored in the database 2 (access to the database 2 is accessed). Password).
 図8は、本発明の実施形態のデータベース1に格納した暗号化情報の更新を示す図である。 FIG. 8 is a diagram showing the update of the encryption information stored in the database 1 according to the embodiment of the present invention.
 図8に示す態様では、データベース1へアクセス(例えば、データベース1を検索、データベース1からデータを取得)するごとに、データベース1に格納される暗号化データを更新する。具体的には、データベース1は、アクセスされるごとに、暗号生成の種を変更する(例えば、疑似乱数発生器で新しいハッシュ値を生成する)。図8に示す例では、更新される暗号化データは、データベース1へアクセスするためのID及びパスワードであるが、データベース1の他の部分を更新したり、データベース1の全部を更新してもよい。 8, the encrypted data stored in the database 1 is updated every time the database 1 is accessed (for example, the database 1 is searched and data is acquired from the database 1). Specifically, every time the database 1 is accessed, the seed of encryption generation is changed (for example, a new hash value is generated by a pseudo random number generator). In the example shown in FIG. 8, the encrypted data to be updated is an ID and password for accessing the database 1, but other parts of the database 1 may be updated or the entire database 1 may be updated. .
 さらに、データベース1に格納される暗号化データだけでなく、データベース1にアクセスするためのキーをデータベース1へアクセスするごとに変更してもよい。そして、データベース1にアクセスするためのキー(例えば、秘密鍵)の変更に伴って、データベース1に格納される暗号化データを更新する。これにより、端末3側でのキーの管理リスクを低減することができる。 Further, not only the encrypted data stored in the database 1 but also the key for accessing the database 1 may be changed every time the database 1 is accessed. Then, the encrypted data stored in the database 1 is updated with a change in a key (for example, a secret key) for accessing the database 1. Thereby, the key management risk on the terminal 3 side can be reduced.
 このように図8に示す形態では、データベース1へのアクセスごとに、同一の暗号化対象データから異なる暗号化データを生成するので、データベース1の情報が動的に更新される。このため、データベース1に格納されたデータが漏洩しても、漏洩したデータを容易に解析することができず、情報漏洩時のリスクを低減することができる。 As described above, in the form shown in FIG. 8, every time the database 1 is accessed, different encrypted data is generated from the same data to be encrypted, so the information in the database 1 is dynamically updated. For this reason, even if the data stored in the database 1 is leaked, the leaked data cannot be easily analyzed, and the risk at the time of information leak can be reduced.
 図9は、本発明の実施形態のデータベース1に機微情報を格納する形態を示す図である。 FIG. 9 is a diagram showing a form in which sensitive information is stored in the database 1 according to the embodiment of the present invention.
 前述した態様では、データベース1は、内容を秘匿すべきデータとして、特定の個人を識別できるデータ(氏名、住所など)を格納した。図9に示す態様では、データベース1は、内容を秘匿すべきデータの他に、機微情報を格納する。本形態において機微情報とは、クレジットカード番号や遺伝子情報などの、個人が特定されなくても、その取り扱いに特別の注意が必要な情報であって、漏洩時の影響が大きい情報である。 In the above-described aspect, the database 1 stores data (name, address, etc.) that can identify a specific individual as data whose contents should be kept secret. In the aspect shown in FIG. 9, the database 1 stores sensitive information in addition to data whose contents should be kept secret. In this embodiment, the sensitive information is information such as a credit card number or genetic information that requires special attention for handling even if an individual is not specified, and has a great influence at the time of leakage.
 端末3は、リクエストをデータベース1に送信し、データベース1から検索結果を取得する(701)。端末3は、データベース1を検索可能なアクセスキーを有しているので、検索条件に一致するデータがデータベース1に格納されているか否かの情報のみを取得できる(702)。検索条件に一致するデータがデータベース1に格納されている場合、データベース1は、データベース1に格納された他の機微情報を端末3に送信する(903)。 The terminal 3 transmits a request to the database 1 and obtains a search result from the database 1 (701). Since the terminal 3 has an access key that allows the database 1 to be searched, only the information indicating whether or not the data matching the search condition is stored in the database 1 can be acquired (702). When data matching the search condition is stored in the database 1, the database 1 transmits other sensitive information stored in the database 1 to the terminal 3 (903).
 より具体的には、データベース1で個人情報をキーとして検索し、一致した場合のみ機微情報を暗号化したまま端末3が受け取ることができる。端末3で機微情報を復号化することによって、機微情報を端末3が取得することができる。 More specifically, the personal information is searched in the database 1 using the key as a key, and the terminal 3 can receive the encrypted information only when it matches. By decoding the sensitive information at the terminal 3, the sensitive information can be acquired by the terminal 3.
 例えば、端末3がECサイト(electronic commerce site)を提供するウェブサーバである場合、商品選択段階ではデータベース2へアクセスして買物カートの内容を確定し、決済方法の確定段階においてデータベース1へアクセスして支払い情報(クレジットカード情報)を取得して、端末3からユーザに支払い情報を送信することができる。 For example, if the terminal 3 is a web server that provides an EC site (electronic commerce site), the product selection stage accesses the database 2 to confirm the contents of the shopping cart, and the settlement method finalization stage accesses the database 1. Thus, payment information (credit card information) can be acquired and payment information can be transmitted from the terminal 3 to the user.
 このように図9に示す形態では、データセンタ10は、機微度の高い情報をデータベース1で暗号化して管理することによって、情報管理上のリスクを低減することができる。 As described above, in the form shown in FIG. 9, the data center 10 can reduce information management risk by encrypting and managing sensitive information in the database 1.
 以上に説明したように、本実施形態の情報管理システムでは、セキュリティやプライバシーに配慮すべきデータ(例えば、生存する個人に関する情報であって、氏名、生年月日その他の記述等により特定の個人を識別できる情報)と、それ以外のそれだけでは個人を識別できないデータとに分離し、個人を識別できるデータは検索可能暗号化によって保護して保管し、それ以外のデータは平文状態又は通常の暗号化によって、個人を識別できる情報と分離して保管する。このため、データセンタ内では、特定の個人を識別できるデータを復号化できず、それだけでは個人を識別できない情報のみがデータセンタ内で復号化できるため、セキュリティやプライバシー上の課題を解決して、データを共有化し、データを活用することができる。 As described above, in the information management system of the present embodiment, data that should be considered for security and privacy (for example, information related to a living individual, such as a name, date of birth, and other descriptions) Identifiable information) and other data that cannot be identified by themselves. Data that can be identified is stored protected by searchable encryption, and other data is stored in plaintext or normal encryption. To keep it separate from personally identifiable information. For this reason, data that can identify a specific individual cannot be decrypted in the data center, and only information that cannot be identified by itself can be decrypted in the data center. Data can be shared and used.
 また、必要最低限の情報のみを検索可能暗号化で保護することによって、検索可能暗号化されるデータ量を減少することができ、処理時間を低減し、コンピュータリソースを削減できる。この処理時間の低減量及びコンピュータリソースの削減量は、検索可能暗号化されるデータ量に依存する。実際には特定の個人を識別できる情報に対し、それだけでは個人を識別できない情報の量は十分に大きく、大幅な低減および削減が期待できる。更に、平文状態又は通常の暗号化によって保管されたデータ(それだけでは個人を識別できない情報)は、少ないコンピュータリソースで複雑な解析や分析を行うことができ、研究分野等で行われている一次匿名化、二次匿名化など、数次匿名化された情報の取り扱いと遜色なく取り扱うことができる。 Also, by protecting only the minimum necessary information with searchable encryption, the amount of searchable encrypted data can be reduced, processing time can be reduced, and computer resources can be reduced. The amount of reduction in processing time and the amount of reduction in computer resources depends on the amount of searchable encrypted data. In fact, the amount of information that cannot identify an individual alone is sufficiently large compared to information that can identify a specific individual, and a great reduction and reduction can be expected. In addition, data stored in plaintext or with normal encryption (information that cannot be used to identify individuals alone) can be analyzed and analyzed with a small amount of computer resources. It can be handled in the same way as the handling of information that has been anonymized several times, such as conversion and secondary anonymization.
 また、データベース1及び2を一つのデータセンタ10内に収容する場合、データベース1に格納された個人を識別できるデータと、データベース2に格納された個人を識別できないデータとの結合が容易に行える。しかし、本実施例によると、このような場合にデータを共有化しても、セキュリティやプライバシー上の課題を解決することができる。 Further, when the databases 1 and 2 are accommodated in one data center 10, data that can identify an individual stored in the database 1 and data that cannot identify an individual stored in the database 2 can be easily combined. However, according to the present embodiment, security and privacy problems can be solved even if data is shared in such a case.
 なお、データベース1に格納する情報とデータベース2に格納する情報は、秘匿しなければならない度合いや性能への影響などを考慮し、任意に設定することができる。また、データベースは、ハードウェアやソフトウェアとして分離している必要はなく、同一のハードウェアやソフトウェアの中で、スキーマおよびデータ列が分離されている等の形式でもよい。 It should be noted that the information stored in the database 1 and the information stored in the database 2 can be arbitrarily set in consideration of the degree to be concealed and the influence on performance. Further, the database does not need to be separated as hardware or software, and may be in a format in which the schema and data string are separated in the same hardware or software.
 また、従来のクラウドでは、全てのデータがネットワークの同一経路上を転送されるが、データベース1とデータベース2とを別のデータセンタに配置してデータ転送経路を分離して、転送経路上の暗号化(SSLやVPNなど)をして、更に検索可能暗号化を適用することによって、多重に暗号化し、且つ情報の経路を分離することができ、他ノードで情報を共有しても、十分なセキュリティ及びプライバシーへの配慮を実現できる。 In the conventional cloud, all data is transferred on the same route of the network. However, the database 1 and the database 2 are arranged in different data centers to separate the data transfer route, and the encryption on the transfer route is performed. (SSL, VPN, etc.), and by applying searchable encryption, multiple encryption and information paths can be separated. Security and privacy considerations can be realized.
 また、データベース2に格納されたデータを第三者に提供する場合、データベース2に格納されたデータをそのまま提供してもよい。また、更にk-匿名化技術などを適用して提供することによって、再識別リスクを考慮し、セキュリティやプライバシーを向上した情報を第三者にスムーズに提供することができる。 In addition, when the data stored in the database 2 is provided to a third party, the data stored in the database 2 may be provided as it is. Further, by providing k-anonymization technology and the like, it is possible to smoothly provide information with improved security and privacy in consideration of re-identification risk to a third party.
 なお、本発明は前述した実施例に限定されるものではなく、添付した特許請求の範囲の趣旨内における様々な変形例及び同等の構成が含まれる。例えば、前述した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに本発明は限定されない。また、ある実施例の構成の一部を他の実施例の構成に置き換えてもよい。また、ある実施例の構成に他の実施例の構成を加えてもよい。また、各実施例の構成の一部について、他の構成の追加・削除・置換をしてもよい。 The present invention is not limited to the above-described embodiments, and includes various modifications and equivalent configurations within the scope of the appended claims. For example, the above-described embodiments have been described in detail for easy understanding of the present invention, and the present invention is not necessarily limited to those having all the configurations described. A part of the configuration of one embodiment may be replaced with the configuration of another embodiment. Moreover, you may add the structure of another Example to the structure of a certain Example. In addition, for a part of the configuration of each embodiment, another configuration may be added, deleted, or replaced.
 また、前述した各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等により、ハードウェアで実現してもよく、プロセッサがそれぞれの機能を実現するプログラムを解釈し実行することにより、ソフトウェアで実現してもよい。 In addition, each of the above-described configurations, functions, processing units, processing means, etc. may be realized in hardware by designing a part or all of them, for example, with an integrated circuit, and the processor realizes each function. It may be realized by software by interpreting and executing the program to be executed.
 各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、SSD(Solid State Drive)等の記憶装置、又は、ICカード、SDカード、DVD等の記録媒体に格納することができる。 Information such as programs, tables, and files that realize each function can be stored in a storage device such as a memory, a hard disk, and an SSD (Solid State Drive), or a recording medium such as an IC card, an SD card, and a DVD.
 また、制御線や情報線は説明上必要と考えられるものを示しており、実装上必要な全ての制御線や情報線を示しているとは限らない。実際には、ほとんど全ての構成が相互に接続されていると考えてよい。 Also, the control lines and information lines indicate what is considered necessary for the explanation, and do not necessarily indicate all control lines and information lines necessary for mounting. In practice, it can be considered that almost all the components are connected to each other.

Claims (7)

  1.  第1データベースと第2データベースとが一つもしくは複数のデータセンタ内に設けられる情報管理システムであって、
     前記第1データベースは、検索可能暗号化技術を用いて、前記データセンタ内で復号できない形式で暗号化されたデータを格納し、
     前記第2データベースは、前記第1データベースに格納されるデータと関連付けられるデータを格納することを特徴とする情報管理システム。     An information management system in which the first database and the second database are provided in one or a plurality of data centers,
    The first database stores data encrypted in a format that cannot be decrypted in the data center using a searchable encryption technique;
    The information management system, wherein the second database stores data associated with data stored in the first database.
  2.  請求項1に記載の情報管理システムであって、
     前記第1データベースと前記第2データベースとは一つのデータセンタ内に設けられることを特徴とする情報管理システム。     The information management system according to claim 1,
    The information management system according to claim 1, wherein the first database and the second database are provided in one data center.
  3.  請求項1に記載の情報管理システムであって、
     前記第1データベースに格納されるデータは、個人を特定可能なデータであり、
     前記第2データベースに格納されるデータは、それだけでは個人を特定できないデータであることを特徴とする情報管理システム。     The information management system according to claim 1,
    The data stored in the first database is personally identifiable data,
    The data stored in the second database is data that cannot identify an individual by itself.
  4.  請求項1に記載の情報管理システムであって、
     前記第1データベース及び前記第2データベースにアクセス可能な端末を備え、
     前記端末は、
     前記第1データベースに格納されたデータを検索できるが、取得できないキーを保有し、
     前記第1データベースにリクエストを送信することによって、検索対象のデータが前記第1データベースに格納されているか否かの情報を取得し、
     前記検索対象のデータが格納されている旨の情報を前記第1データベースから取得した場合、前記第2データベースへのアクセスが許可されることを特徴とする情報管理システム。     The information management system according to claim 1,
    A terminal capable of accessing the first database and the second database;
    The terminal
    You can search the data stored in the first database, but have a key that can not be obtained,
    By sending a request to the first database to obtain information as to whether or not the search target data is stored in the first database;
    An information management system, wherein access to the second database is permitted when information indicating that the search target data is stored is obtained from the first database.
  5.  請求項1に記載の情報管理システムであって、
     前記第1データベースは、前記第1データベースに格納されたデータと前記第2データベースに格納されたデータとを関連付けるための情報を格納することを特徴とする情報管理システム。     The information management system according to claim 1,
    The information management system, wherein the first database stores information for associating data stored in the first database with data stored in the second database.
  6.  請求項1に記載の情報管理システムであって、
     前記第1データベースに格納されたデータと前記第2データベースに格納されたデータとを関連付けるための情報は、前記データセンタ内で復号化できない形式で暗号化されて前記第1データベース又は前記第2データベースに格納されることを特徴とする情報管理システム。     The information management system according to claim 1,
    The information for associating the data stored in the first database with the data stored in the second database is encrypted in a format that cannot be decrypted in the data center, and the first database or the second database Information management system characterized by being stored in
  7.  請求項1に記載の情報管理システムであって、
     前記第1データベースへのアクセスのタイミングで、前記第1データベースに格納された暗号化データは、同一の暗号化対象データに復号可能な異なる暗号化データに更新されることを特徴とする情報管理システム。     The information management system according to claim 1,
    The encrypted data stored in the first database is updated to different encrypted data that can be decrypted into the same data to be encrypted at the timing of access to the first database. .
PCT/JP2014/082682 2014-03-13 2014-12-10 Information management system WO2015136801A1 (en)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2014-049869 2014-03-13
JP2014049869 2014-03-13
JP2014155671A JP6250497B2 (en) 2014-03-13 2014-07-31 Information management system
JP2014-155671 2014-07-31

Publications (1)

Publication Number Publication Date
WO2015136801A1 true WO2015136801A1 (en) 2015-09-17

Family

ID=54071266

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2014/082682 WO2015136801A1 (en) 2014-03-13 2014-12-10 Information management system

Country Status (2)

Country Link
JP (1) JP6250497B2 (en)
WO (1) WO2015136801A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022201257A1 (en) * 2021-03-22 2022-09-29 株式会社日立製作所 Information providing method

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6343408B1 (en) * 2018-02-13 2018-06-13 株式会社ヴィアックス Ordering system and ordering method
JP6840692B2 (en) * 2018-02-22 2021-03-10 株式会社日立製作所 Computer system, connection device, and data processing method
JP7285511B2 (en) * 2019-04-26 2023-06-02 Zerobillbank Japan株式会社 Data management device, data management method, program, and data management system
EP3758279A1 (en) * 2019-06-27 2020-12-30 Koninklijke Philips N.V. Selective disclosure of attributes and data entries of a record
US20220374541A1 (en) * 2019-10-28 2022-11-24 Nippon Telegraph And Telephone Corporation Database system, distributed processing apparatus, database apparatus, distributed processing method and distributed processing program
JP7325396B2 (en) 2020-12-25 2023-08-14 株式会社日立製作所 Data file encryption transmission/reception system and data file encryption transmission/reception method

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011209974A (en) * 2010-03-30 2011-10-20 Infodeliver Corp Distributed database system
JP2014017763A (en) * 2012-07-11 2014-01-30 Nec Corp Encryption update system, encryption update request device, encryption update device, decryption device, encryption update method, and computer program

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3239842B2 (en) * 1998-05-08 2001-12-17 日本電気株式会社 Software unauthorized use prevention system
JP5848960B2 (en) * 2011-11-21 2016-01-27 株式会社日立製作所 Information management system
US20150033032A1 (en) * 2012-03-29 2015-01-29 Nec Corporation Encrypted database system, client terminal, database server, data linking method and program

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011209974A (en) * 2010-03-30 2011-10-20 Infodeliver Corp Distributed database system
JP2014017763A (en) * 2012-07-11 2014-01-30 Nec Corp Encryption update system, encryption update request device, encryption update device, decryption device, encryption update method, and computer program

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"Hitoku Kensaku Kiban Software' o Kaihatsu", 3 July 2013 (2013-07-03), Retrieved from the Internet <URL:http://www.mitsubishielectric.co.jp/news/2013/pdf/0703-a.pdf> [retrieved on 20141225] *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022201257A1 (en) * 2021-03-22 2022-09-29 株式会社日立製作所 Information providing method

Also Published As

Publication number Publication date
JP2015187828A (en) 2015-10-29
JP6250497B2 (en) 2017-12-20

Similar Documents

Publication Publication Date Title
US10965714B2 (en) Policy enforcement system
JP6250497B2 (en) Information management system
Sun et al. Data security and privacy in cloud computing
US9350714B2 (en) Data encryption at the client and server level
Thota et al. Big data security framework for distributed cloud data centers
US9176994B2 (en) Content analytics system configured to support multiple tenants
US9202078B2 (en) Data perturbation and anonymization using one way hash
US9977922B2 (en) Multi-tier storage based on data anonymization
US20220222373A1 (en) A Computer System and Method of Operating Same for Handling Anonymous Data
JP7235668B2 (en) REGISTRATION METHOD, COMPUTER AND PROGRAM
JP2019521537A (en) System and method for securely storing user information in a user profile
US10216940B2 (en) Systems, methods, apparatuses, and computer program products for truncated, encrypted searching of encrypted identifiers
Ramya Devi et al. Triple DES: privacy preserving in big data healthcare
WO2021178609A1 (en) System and methods for data encryption and application-agnostic querying of encrypted data
Rai et al. Security and privacy issues in healthcare information system
CN112134882A (en) System and method for anonymously transferring data in a network
Balamurugan et al. An efficient framework for health system based on hybrid cloud with ABE-outsourced decryption
Taloba et al. A framework for secure healthcare data management using blockchain technology
US20180025172A1 (en) Data storage apparatus, data processing method, and computer readable medium
JP2016189078A (en) Information management system
US20220391534A1 (en) Privacy preserving logging
WO2024070290A1 (en) Data sharing system, data sharing method, and data sharing program
Jain Integration and Mining of Medical Records for Healthcare Services AWS Cloud

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 14885165

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 14885165

Country of ref document: EP

Kind code of ref document: A1