WO2019087443A1

WO2019087443A1 - データ管理システムおよびデータ管理方法

Info

Publication number: WO2019087443A1
Application number: PCT/JP2018/019049
Authority: WO
Inventors: 力松永
Original assignee: 株式会社Ｌｅｉｓ
Priority date: 2017-11-02
Filing date: 2018-05-17
Publication date: 2019-05-09
Also published as: EP3796199A4; US11842348B2; JPWO2019087443A1; EP3779754A1; CN111937022B; CN111937022A; JP6507387B1; WO2019087349A1; EP3796199A1; JP6572461B1; JP6515268B1; JPWO2019087416A1; US20210056556A1; CN112534434A; JPWO2019087432A1; US20210150045A1; EP3751489A4; EP3779754A4; WO2019087432A1; WO2019087416A1

Abstract

【課題】　アプリケーションファイルを開く際のみならず、終了して閉じる際にも、入力内容や操作内容が正しいことを確認せしめるセキュリティ設定を施し、過誤入力や不正入力などを効果的に低減せしめたアプリケーションを提供する。　【解決手段】　アプリケーションで利用される各々のデータアクセス単位に、アプリケーションでデータアクセス単位を開くためのオープン暗証コードと、アプリケーションで開いているデータアクセス単位を正常終了して閉じるためのクローズ暗証コードを設定し、オープン暗証コードの入力を受けてデータアクセス単位ごとに暗号化された状態でダウンロードして復号化してデータアクセス単位を開くデータアクセス単位開錠機能と、クローズ暗証コードの入力を受けて、開いている状態のデータアクセス単位を正常終了して再暗号化して閉じてアップロードするデータアクセス単位閉錠機能を備えている。

Description

データ管理システムおよびデータ管理方法

　本発明は、コンピュータシステムで稼働するアプリケーションによりアクセスされ、閲覧、出力または編集の単位となるデータアクセス単位を管理し、当該アプリケーションによるデータアクセス単位にアクセスして閲覧、出力、編集などの諸操作を制御するデータ管理システムに関する。
　データアクセス単位としては、アプリケーションファイル、レコード、フィールドなどがあり、データアクセス単位を正常に開いて使用を開始し、正常に使用を終了して閉じることを確保せしめたデータ管理システムに関する。アプリケーションの用途は限定されず、様々な用途のアプリケーションに適用できる。

　コンピュータシステムにおいて、様々なアプリケーションが稼働しており、アプリケーションファイルのアクセスに対しても様々なセキュリティ対策が行われている。
　セキュリティ対策の意味合いは広いが、例えば、アプリケーションで利用するアプリケーションファイルへアクセスする正当権限者のみがアプリケーションファイルが利用できるように、アプリケーションファイルにアクセスして開く際にパスワードの入力をはじめ、様々なコード情報の入力を求める対策は広く採用されている。セキュリティレベルによるが、単純にキーボードからパスワードを入力させるものや、パスワードとともに携帯しているＩＣカードからＩＤ情報を入力させるものや、パスワードと指紋や静脈パターンなどの生体情報を入力させるものなどがある。また、一人の操作だけでは不十分とし、複数の権限者のパスワードやＩＤ情報等が揃ってようやくアプリケーションファイルを開くことができるものもある。このように、アプリケーションファイルを開いて操作可能状態とするためには高度なセキュリティが設定されているアプリケーションはある。
　また、暗号化によるセキュリティ対策も有効である。つまり、正当権限者以外の者によるデータへの不正アクセスがあった場合でも、データが解読されないようデータを暗号化しておくものである。権限ある真正者のみが復号鍵を持っており、必要に応じて復号鍵により復号する。

　アプリケーションが立ち上がり、アプリケーションファイルが操作可能状態となれば、利用者はアプリケーションを使用してアプリケーションファイルを編集することができるが、アプリケーションの操作中、さらに、特別な機能を使用したりする際には、別途、個別にパスワードやＩＤ情報などが求められる場合もあり得る。
　このように、アプリケーションファイルを開いたり、特別な機能を使用したりする場合には、セキュリティが設定されていることがあり得る。しかし、逆に、アプリケーションの利用が終了してアプリケーションファイルを閉じる際や、特別な機能の使用を終了する際には、終了すること自体には特段何らのパスワードやＩＤ情報の入力等を求められることはなく、セキュリティ設定がされているものはない。ほとんどのものは“終了”や“閉じる”というコマンドの入力やボタン押下で単純に終了できる。

　図２１は、一般的なアプリケーションを立ち上げてアプリケーションファイルを開き、その後、終了して閉じる操作を簡単に説明する図である。一例であり、アプリケーションファイルを開いたり閉じたりする典型的な操作である。
　図２１（ａ）に示すように、アプリケーション１０は、コンピュータシステム上にインストールされており、利用者がアプリケーション１０を使用しようとする際には、コンピュータシステムのモニタ上に表示されているアプリケーション１０のアイコンをマウスなどのポインティングデバイスなどで選択し、ダブルクリックなどの操作で起動をかければアプリケーション１０が起動する。

　また、アプリケーション１０で編集可能な各々のアプリケーションファイル２０ａ，２０ｂ，２０ｃなどもコンピュータシステム上に保存されており、各々のアイコンがコンピュータシステムのモニタ上に表示されている。利用者が編集しようとするアプリケーションファイル２０のアイコンをマウスなどのポインティングデバイスなどで選択し、ダブルクリックなどの操作で起動をかければ、アプリケーション１０が立ち上がるとともにアプリケーションファイル２０が読み込まれてアプリケーション１０を用いて編集可能な状態となり、データの内容がモニタ上に表示される。

　ここで、セキュリティが設定されているアプリケーションファイル２０であれば、図２１（ｂ）の上段に示すように、使用権限を確認すべくパスワードの入力カラムがポップアップされる。このように、アプリケーションファイル２０の編集などアプリケーション１０の使用を開始する前にはパスワードの入力が求められる運用がある。なお、アプリケーション１０によってはパスワードに加えてＩＣカードからのＩＤ情報の入力や生体情報の入力を求めるものもある。
　図２１（ｂ）の上段に示すように、キーボードや他の入力デバイスなどを介して、アプリケーションファイル２０を正常に開いて使用可能とするために求められたパスワードやコード情報などを入力し、その認証に成功して設定されたセキュリティレベルを満たした場合には、アプリケーションファイル２０がオープンして使用可能となる。

　次に、図２１（ｂ）の下段に示すように、アプリケーションファイル２０の所望の編集が終了すれば、モニタ上に表示されているアプリケーション１０の入力画面の“終了”や“閉じる”という操作メニューやボタンをマウスなどのポインティングデバイスなどで選択してクリックなどの操作で指定すれば、アプリケーション１０が単純に終了し、アプリケーションファイル２０が閉じられる。
　ほとんどのアプリケーション１０では、アプリケーションファイル２０を閉じる際には特別なパスワードやＩＤ情報の入力等を求められることはなく、ほとんどのアプリケーション１０は単純に終了してアプリケーションファイル２０を閉じることができる。

　つまり、アプリケーションファイル２０のアクセスに際しては、使用しようとする者が正当な使用権限がある者か否かを確認するため、様々なセキュリティレベルに基づく情報の入力を求めるが、使用開始時に一度、使用権限の認証が成功すれば、その後はその使用権限者がその権限のもと正しく使用されることが前提であり、終了もその権限のもと正しく終了することが前提となっており、アプリケーションファイル２０の編集終了後に閉じる際にはパスワードの入力など特段のセキュリティ設定を行っていない。もっとも操作エラーなどで操作不能に陥ったり、システムエラーが発生したりなどの不具合によって正常ではない形で強制終了したりすることはあり得るが、操作エラーやシステムエラーなどがなく、操作自体が正常であれば、アプリケーション１０は単純に終了してアプリケーションファイル２０を閉じることができる。

　近年、スタンドアロン型で稼働するコンピュータシステムのみならず、ネットワークなどで接続され、複数のコンピュータシステムが連動して業務を実行するものが増えてきている。しかし、アプリケーション１０を立ち上げてアプリケーションファイル２０を開き、その後、終了して閉じるというアプリケーション１０の利用のルーチンは、ネットワーク環境でも同様であり、ネットワークにログインする際にはパスワードやＩＤコードの入力などセキュリティが求められ、ネットワークを介してアプリケーションファイル２０にアクセスする際にもパスワードやＩＤコードの入力などセキュリティが求められるが、アプリケーションファイル２０を閉じる際には、何ら特段のパスワードやＩＤ情報の入力は必要ではなく、単に終了して閉じることができる。

　暗号化によるセキュリティ対策が施されている場合、権限ある真正者のみが復号鍵を持っており、アプリケーションファイル２０へのアクセスの際に復号鍵により復号化してアプリケーションファイル２０をアプリケーション１０で操作可能な通常のデータ状態に戻し、アプリケーション１０を用いてアプリケーションファイル２０への必要に応じた操作やデータ編集、更新などを行った後、アプリケーションファイル２０を閉じる。暗号化を伴う場合もアプリケーションファイル２０を閉じる際には、何ら特段のパスワードやＩＤ情報の入力は必要ではなく、閉じるボタンを押すのみで、単にアプリケーションファイル２０が終了して自動的に暗号化されて閉じる。

特開２００６－２７７１９３号公報

　アプリケーションの使用において、アプリケーションファイルを開いた使用者が認証をパスした正当権限を持つ者であり、アプリケーションファイルの編集中における入力内容や操作内容が正当なものであれば、アプリケーションファイルの編集作業が一通り完了すれば、そのままアプリケーションファイルを閉じる操作を行ってアプリケーションを終了させても何ら問題はない。そのため、アプリケーション１０を終了してアプリケーションファイル２０を閉じる際に特段のパスワードの入力などのセキュリティ対策を講じる必要はない。

　しかし、アプリケーション１０を終了してアプリケーションファイル２０を閉じる際に、そのまま入力内容や操作内容を反映したアプリケーションファイルの作成データを確定させて良いかどうかを確認したいという要求がある場合があり得る。
　アプリケーションファイルの編集中に入力した入力内容や操作内容が、使用者の誤解や過失による誤った内容であったり、使用者の不正により故意に事実とは異なる内容であったりするケースもあり得る。このように事実とは異なる誤った内容によりそのままアプリケーションファイルのデータが作成され、その作成データがアプリケーション１０を介して編集した結果として格納され、ネットワークを介して他のシステムへ作成データが送信されることは問題である。

　一般に、アプリケーションを使用して作成したアプリケーションファイル２０の作成データの入力内容や操作内容に誤りがなく正しいものか否かの確認は、作成データそのものの内容をチェックすることにより、後からでもチェック・確認はできるものの、アプリケーションの終了時において、アプリケーションファイル２０に入力した入力内容や操作内容に誤りがなく事実に即した正しいものであることを第三者が確認することをアプリケーションファイルの終了条件として確認させれば、アプリケーションファイルを正常終了して出来上がった作成データは、正しい内容で作成されていることが確認されており、使用者の誤解や過失や使用者の不正により事実とは異なる内容である可能性は小さくなる。
　このような要求のある業務サービスは多種多様にあり、アプリケーションファイルの編集終了時にセキュリティレベルを設定したアプリケーションの適用分野は多様にある。

　また、ネットワーク上にアクセス可能な形で装備されているデータサーバーの記憶装置内にアプリケーションファイル２０を保持した構成において、それが利用者の個人情報が含まれた個人データファイルである場合、不正アクセスによりデータ漏洩が起これば、大問題を引き起こす可能性がある。事実、過去には、通販サイトシステムやＳＮＳシステムなどへの不正アクセスにより何千人から何千万人レベルの大規模な個人データの漏洩事件が起こっている。
　これは、通販サイトシステムやＳＮＳシステムなどでは、管理運営者自身が利用者の個人データにアクセスして利用する必要があるため、管理運営者の記憶装置上では個人データをそのまま保持しているためである。もっとも外部からのアクセスに対して、このアクセス者が正当なアクセス権限を持つ者であるか否かは、上記したようなパスワードなどによる確認のみは行っている。
　また、通販サイトシステムやＳＮＳシステムなどでは利用者の個人データファイルへのアクセス頻度が高い上、書き込みや更新などのデータの編集が多く、また、利用者が復号鍵を失念して復号化できないという事態の頻発も考えられ、敢えて暗号化を行っていないという事情もあると考えられる。しかし、利用者によっては、自己の個人データのセキュリティ向上のため管理運営者の記憶装置上での暗号処理を望む場合もあり得る。

　そこで、本発明では、アプリケーションファイルを開く際のみならず、アプリケーションファイルを終了して閉じる際にも、入力内容や操作内容が正しいことを確認せしめるセキュリティ設定を施し、誤解や過失による誤りに基づく過誤入力や、事実とは異なる不正入力などを効果的に低減せしめ、さらに利用者自らの暗号化処理により、たとえ管理運営者の記憶装置から個人データの漏洩があっても個々の個人データの解読を不能とするデータ管理システムを提供することを目的とする。

　上記目的を達成するため、本発明のデータ管理システムは、コンピュータシステムで利用可能なアプリケーションと、コード入力手段と、データアクセス単位ごとに管理されているネットワーク上の記憶装置と、データアクセス単位に対する開錠機能と、データアクセス単位に対する閉錠機能を備えたシステムである。
　ここで、データアクセス単位とは、アプリケーションによりアクセスされ、閲覧、出力または編集の単位となるデータアクセス単位であって、このデータアクセス単位ごとに、アプリケーションがアクセスして閲覧、出力または編集するためのオープン暗証コードと、アプリケーションによる閲覧、出力または編集を正常終了して閉じるためのクローズ暗証コードが設定されている。
　本発明のデータ管理システムでは、データアクセス単位ごとに全部または少なくとも選択された一部が暗号化された状態で複数のデータアクセス単位がネットワーク上の記憶装置に格納されている。
　例えば、データサーバーが管理する記憶装置において、このデータアクセス単位が保持されている。スペックが許せば、数十から何億人の個人データでも保持、管理が可能である。
　なお、ネットワークとしては、インターネット、イントラネット、ＬＡＮなど多様なものが想定できる。

　上記したデータアクセス単位開錠機能は、アプリケーションがターゲットとするデータアクセス単位に対するオープン暗証コードに基づいて、暗号化された状態のデータアクセス単位をダウンロードし、復号して閲覧、出力または編集を可能とする機能である。
　また、上記したデータアクセス単位閉錠機能とは、コード入力手段を介して入力されたクローズ暗証コードに基づいて、データアクセス単位の閲覧、出力または編集を正常終了するとともに、データアクセス単位を暗号化して閉じ、記憶装置にアップロードする機能である。

　データアクセス単位としては、アプリケーションで取り扱うアプリケーションファイルや、アプリケーションで取り扱うデータベース中のレコードや、データベース中のレコードのフィールドなどがあり得る。これらを単位としてアクセスを所望する運用があり得るからである。
　暗号鍵、復号鍵は動的に生成するタイプ、利用者コンピュータシステムに記憶保持したものを利用するタイプがあり得る。
　動的に生成するタイプは、オープン暗証コード自体、または、オープン暗証コードに基づいて変換して生成する。この場合、記憶装置にアップロードされているデータアクセス単位ごとの暗号化状態は、オープン暗証コード自体、または、オープン暗証コードに基づいて変換して得られるものが復号鍵となるよう暗号化された状態となる。
　利用者コンピュータシステムに記憶保持したものを利用するタイプは、暗号化状態のデータアクセス単位に対する復号鍵を記憶する復号鍵記憶部を備え、オープン暗証コードの認証に基づいて復号鍵記憶部から取り出す。この場合、記憶装置に記憶されている前記データアクセス単位ごとの暗号化状態が、その記憶保持されている復号鍵で復号できるよう暗号化された状態となる。
　上記構成により、本発明のデータ管理システムは、データアクセス単位でオープンする際のオープン暗証コードでの認証のみならず、データアクセス単位への閲覧、出力、編集を終了して閉じる際にもクローズ暗証コードの入力を求めるセキュリティ設定を施し、入力内容や操作内容が正しいことを確認せしめることができる。また、暗号化、復号化処理を伴っており、オープン時にデータアクセス単位を復号化し、クローズ時にも自動的に暗号化処理が実行される。

　ここで、記憶装置が、アクセスするコンピュータシステムおよびアプリケーションとは異なるコンピュータリソースのデータサーバー上に構築されておれば、上記のように、暗号化、復号が自動的に処理されることにより、記憶装置内では、データアクセス単位は全部または少なくとも選択された一部が常時暗号化された状態で保持する取り扱いとし、利用時にのみデータアクセス単位がネットワークを介して利用者のコンピュータシステムへダウンロードされ、コンピュータシステムのアプリケーションによって開錠機能、閉錠機能による操作が実行され、再暗号化された形でデータアクセス単位が再びネットワークを介して記憶装置にアップロードされるという運用も可能である。
　こうすることにより、記憶装置内ではデータアクセス単位は常時暗号化された状態で保持されるという取り扱いが可能となり、あってはならないが仮に不正アクセスによりデータの漏洩があっても、データは暗号化されており、利用者の個人情報などが解読されないため、実質的なデータ漏洩の被害を食い止めることができる。

　なお、個々のデータアクセス単位ごとに付与されるオープン暗証コードとクローズ暗証コードがデータアクセス単位ごとに異なるユニークなものであることが好ましい。もし、オープン暗証コードとクローズ暗証コードが複数のデータアクセス単位にわたって共通しているものであれば、仮に不正アクセスによりデータの漏洩があった場合、その共通しているオープン暗証コードとクローズ暗証コードが使用されてデータの解読が試みられるが、個々のデータアクセス単位ごとに付与されるオープン暗証コードとクローズ暗証コードが異なっておれば、仮に不正アクセスによりデータの漏洩があった場合でも大規模に解読される可能性がなくなる。

　特に、オープン暗証コードとクローズ暗証コードを利用者個人の生体情報とし、コード入力手段が生体情報の読み取りデバイスとすれば、利用者にとって利便性が向上し、さらに、利用者個々ごとのユニークなコード情報であるので、セキュリティも向上する。オープン暗証コードとクローズ暗証コードを同じとすることもできる。例えば、オープン暗証コードもクローズ暗証コードも右手の人差し指の指紋パターンとすることができる。また、オープン暗証コードとクローズ暗証コードを異なるものとすることもできる。例えば、オープン暗証コードが顔画像パターン、クローズ暗証コードが声紋パターンなどの異なる種類の生体情報とすることも可能である。
　もっとも、オープン暗証コードとして、数字やアルファベットの組み合わせからなるコード情報を入力させ、クローズ暗証コードとして数字やアルファベットの組み合わせからなる異なるコード情報を入力させるものでも良い。

　次に、本発明のデータ管理システムは、閲覧、出力、編集の実行者と、個々のデータアクセス単位の所有者が異なるケースでも対応可能である。
　個々のデータアクセス単位の所有者は、閲覧、出力、編集の実行者に対して、どの実行内容を許諾するかの権限設定を可能とする権限設定機能を備えた構成とする。個々のデータアクセス単位の所有者（例えば、個人データの所有者である当該個人）が開錠機能によって開錠し復号したデータアクセス単位に対して、閲覧、出力、編集の実行者（行政関係者や金融関係者や医療関係者など個人データにアクセスしたい者）は、設定された権限に基づいて閲覧、出力、編集を実行するという運用が可能となる。
　閲覧は、利用者コンピュータシステムに表示されるデータアクセス単位を本人、他人が見る。
　出力は、データアクセス単位をプリンタに出力したり、ＰＤＦファイルの形で出力したり、プロジェクタにデータ出力して投影したりすることなどがあり得る。
　編集は、データアクセス単位のデータ自体を追記したり、一部削除したり、一部書き換えたりなどがあり得る。なお、編集後のデータを記憶装置に格納することも含まれ得る。

　上記本発明のアプリケーションを適用する業務システム例は多種多様であり、用途は特に限定されない。アプリケーションが、データアクセス単位に対する開錠機能と、データアクセス単位に対する閉錠機能に加え、業務関連機能を備えていれば、当該業務に関連する業務システムとして広く適用することができる。
　データアクセス単位の所有者が開錠機能を介してデータアクセス単位を操作可能とした後に当該業務関連機能の利用が可能となり、また、業務関連機能が終了すると、データアクセス単位の所有者が閉錠機能を介してデータアクセス単位を正常終了させる。

　アプリケーションファイルやデータベースのレコードやフィールドの操作について各段階、つまり、アプリケーションファイルやデータベースのレコードやフィールドを選択して起動をかける段階、起動のかかったアプリケーションファイルやデータベースのレコードやフィールドを開く段階、アプリケーションファイルやデータベースのレコードやフィールドの編集が終わってアプリケーションファイルやデータベースのレコードやフィールドを終了して閉じる段階、アプリケーションファイルやデータベースのレコードやフィールドの選択を終了する段階のそれぞれに各々対応する暗証コードの入力などのセキュリティ操作を設定することにより、より一層高いセキュリティレベルを確保せしめることができる。
　なお、どの段階に暗証コード入力などのセキュリティ操作を設定するかは、すべての段階に設定すると限定されるものではなく、そのうちの幾つかでも良い。例えば、アプリケーションファイルやデータベースのレコードやフィールドを開く段階と閉じる段階の２つの段階でも良く、アプリケーションファイルやデータベースのレコードやフィールドを選択して起動をかける段階とアプリケーションファイルやデータベースのレコードやフィールドを開く段階と閉じる段階の３つの段階でも良い。
　次に、データアクセス単位ごとに、そのデータアクセス単位のデータ所有者が、ビッグデータとしての利用を認めるか否かの選択を可能とする工夫がある。
　本発明のデータ管理システムにおいて、データアクセス単位がアプリケーションファイルである場合、アプリケーションファイル中のデータのうち暗号化する部分を選択できる暗号化選択部を備えた構成とする。この暗号化選択部により暗号化の選択がなされていないアプリケーションファイル中のデータ部分について、記憶装置の管理主体が閲覧またはビッグデータシステムで取り扱うデータとして利用することを可能とする運用があり得る。
　また、本発明のデータ管理システムにおいて、データアクセス単位がレコード単位である場合、レコードのフィールドのうち暗号化するフィールドを選択する暗号化選択部を備えた構成とする。暗号化選択部により暗号化の選択がなされていないフィールドのデータについて、記憶装置の管理主体が閲覧またはビッグデータシステムで取り扱うデータとして利用することを可能とする運用もあり得る。
　次に、本発明のデータ管理システムにおいて、さらにセキュリティ強度を向上させる工夫として、データアクセス単位を分解し、暗号化した複数個の暗号化分解片とし、ネットワーク上に分散記憶させる工夫がある。
　データアクセス単位閉錠機能が、クローズ暗証コードの入力を受けて正常終了したデータアクセス単位を複数に分解して個々の分解片とし、さらにそれら分解片を各々に暗号化した複数の暗号化分解片とする。記憶装置としてネットワーク上に分散配置した複数の記憶装置を用いる。これらの個々の暗号化分解片をネットワーク上に分散配置されている記憶装置に分散して格納する。
　運用としては、利用者は分散格納を意識する必要はない。データアクセス単位開錠機能がＵＲＬ変換機能を備えた構成とする。このＵＲＬ変換機能は、データアクセス単位が分解されずに一体であると想定された場合に与えられている名目上のＩＤ情報およびＵＲＬ情報を基に、各々の暗号化分解片が分散されて実際に格納されている複数の記憶装置に対する分散上のＩＤ情報およびＵＲＬ情報に変換するものである。
　このＵＲＬ変換機能を用いることにより、データアクセス単位開錠機能におけるデータアクセス単位のダウンロードにおいて、ＵＲＬ変換機能によって名目上のＩＤ情報およびＵＲＬ情報を基に得た分散上のＩＤ情報およびＵＲＬ情報に基づいて、各々の暗号化分解片をダウンロードし、一揃えの複数の暗号化分解片を、合成し、復号し、一体のデータアクセス単位として閲覧、出力または編集を可能とする。また、データアクセス単位閉錠機能におけるデータアクセス単位のアップロードにおいて、複数の分散上のＩＤ情報およびＵＲＬ情報に基づいて、各々の複数の暗号化分解片を実際の複数の記憶装置に分散して格納する運用とする。
　上記構成により、利用者はネットワークでの分散格納を意識せずとも、データアクセス単位を分解し、暗号化した複数個の暗号化分解片とし、ネットワーク上に分散記憶させ、ネットワーク上のあるデータサーバーが不正アクセスされてもデータアクセス単位が解読されることはなく、さらにセキュリティが向上する。
　本発明のデータ管理方法は、上記したデータアクセス単位にオープン暗証コード、クローズ暗証コードを設定し、前記データアクセス単位ごとに全部または少なくとも選択された一部が暗号化された状態で複数の前記データアクセス単位をネットワーク上の記憶装置に保持しておき、前記アプリケーションがターゲットとする前記データアクセス単位に対して入力された前記オープン暗証コードに基づいて、前記暗号化された状態の前記データアクセス単位をダウンロードし、復号化して前記閲覧、出力または編集を可能とするデータアクセス単位開錠処理と、入力された前記クローズ暗証コードに基づいて、前記アプリケーションが前記データアクセス単位の前記閲覧、出力または編集を正常終了するとともに、前記データアクセス単位を暗号化して閉じ、前記記憶装置にアップロードするデータアクセス単位閉錠処理を実行することを特徴とするデータ管理方法である。

　本発明のデータ管理システムは、上記構成により、データアクセス単位をオープンする際のオープン暗証コードの認証、データアクセス単位の閲覧、出力、編集を終了して閉じる際のクローズ暗証コードの認証により高いセキュリティ設定が可能となり、利用者自身が入力内容や操作内容が正しいことを確認せしめることができる。また、オープン暗証コードがその復号鍵を兼務しており、暗号化されているデータアクセス単位を復号化することができ、また、クローズ時にも、オープン暗証コードがその復号鍵となるよう自動的に暗号化処理が実行される。
　記憶装置が、アクセスする利用者コンピュータシステムとは異なるコンピュータリソースとしてデータサーバー上に構築した構成であれば、暗号化、復号化が自動的に処理されることにより、記憶装置内では、データアクセス単位は常時暗号化された状態で保持する取り扱いとすることができ、仮に不正アクセスによりデータの漏洩があっても、データは常時暗号化されており、利用者の個人情報などが容易には解読されないため、実質的なデータ漏洩の被害を食い止めることができる。
　本発明のデータ管理システムは、閲覧、出力、編集の実行者と、個々のデータアクセス単位の所有者が異なるケースでも対応可能である。閲覧、出力、編集の実行者に対してどの実行内容を許諾するかの権限設定を可能とする権限設定機能を備えた構成とすれば、閲覧、出力、編集の実行者は、設定された権限に基づいて閲覧、出力、編集を実行するという運用が可能となる。

実施例１にかかるデータ管理システム１００の構成を簡単に示した図（その１）である。実施例１にかかるデータ管理システム１００の構成を簡単に示した図（その２）である。アプリケーションの起動からオープン暗証コードの入力を受けて起動されるオープン処理の概略を説明する図（その１）である。アプリケーションの起動からオープン暗証コードの入力を受けて起動されるオープン処理の概略を説明する図（その２）である。アプリケーションの起動からオープン暗証コードの入力を受けて起動されるオープン処理の概略を説明する図（その３）である。アプリケーション１２０、特に、データアクセス単位開錠機能１２２Ａの構成、処理の流れを示した図（その１）である。アプリケーション１２０、特に、データアクセス単位開錠機能１２２Ａの構成、処理の流れを示した図（その２）である。アプリケーションの起動からオープン暗証コードの入力までの操作画面における操作の一例を示す図である。クローズ処理からアプリケーションの終了までの処理の概略を説明する図（その１）である。クローズ処理からアプリケーションの終了までの処理の概略を説明する図（その２）である。クローズ処理からアプリケーションの終了までの処理の概略を説明する図（その３）である。アプリケーション１２０、特に、データアクセス単位閉錠機能１２３Ａの構成、処理の流れを示した図（その１）である。アプリケーション１２０、特に、データアクセス単位閉錠機能１２３Ａの構成、処理の流れを示した図（その２）である。クローズ処理からアプリケーションの終了までの操作画面における操作の一例を示す図である。実施例２にかかるデータ管理システム１００ａにおける閲覧、出力、編集時のデータの流れを示した図である。暗号化分解片のダウンロード、合成、復号を中心としたアプリケーション１２０の構成、データ処理の流れを示す図である。閲覧、出力、編集が終了した後のデータアクセス単位１３１の暗号化、分解、複数の記憶装置への分散格納の流れを示した図である。データアクセス単位１３１の暗号化、分解、アップロードを中心としたアプリケーション１２０の構成、データ処理の流れを示す図である。データアクセス単位がアプリケーションファイルである場合における暗号化選択部１２４を備えたデータ管理システム１００－２の構成を簡単に示す図である。データアクセス単位がデータベースのレコードである場合における暗号化選択部１２４を備えたデータ管理システム１００－２の構成を簡単に示す図である。従来の一般的なアプリケーションの操作概略を示す図である。

　以下、本発明を実施するための最良の形態について実施例により具体的に説明する。なお、本発明はこれらの実施例に限定されるものではない。
　以下、実施例１および実施例２により本発明のデータ管理システムおよびその操作の概略を説明する。
　実施例１は、基本構成例である。
　実施例２は、データアクセス単位１３１を分解した分解片とし、ネットワーク上に分散した複数の記憶装置に分散して保存する例である。

　実施例１にかかる本発明のデータ管理システム１００について説明する。
　図１および図２は、実施例１にかかるデータ管理システム１００の構成を簡単に示した図である。
　図１は、アプリケーション１２０で利用される各々のデータアクセス単位１３１がアプリケーションファイルであり、個々のアプリケーションファイルが記憶装置１３０において暗号化された形で格納されたものとなっている。
　図２は、アプリケーション１２０で利用される各々のデータアクセス単位１３１がデータベースのレコードまたはレコード中のフィールドであり、データベースの個々のレコードが記憶装置１３０において暗号化された形で格納されたものとなっている。なお、データベースのレコード中のフィールド単位をデータアクセス単位１３１とする場合、レコード中の個々のフィールドが暗号化された形で記憶装置１３０に格納されたものとなっている。
　なお、記憶装置１３０の中に、図１に示したアプリケーションファイルと、図２に示したデータベースのレコード、レコード中のフィールドの両者が格納され、データアクセス単位１３１として、アプリケーションファイル、データベースのレコード、レコード中のフィールドが混在して取り扱われる場合もあり得る。つまり、アプリケーション１２０から要求されるデータアクセス単位１３１に応じてアプリケーションファイル、データベースのレコード、レコード中のフィールドにアクセスすることもできる。

　本発明のデータ管理システム１００は、利用者が利用するコンピュータシステム１０１と、各々のデータアクセス単位１３１が格納されている記憶装置１３０を管理するコンピュータシステム１０２（ここでは、データサーバー１０２とする）がネットワーク１０３によりデータ通信可能な形で構築されている。

　先に、記憶装置１３０を管理するコンピュータシステム１０２について説明する。コンピュータシステム１０２は、記憶装置１３０および各々のデータアクセス単位１３１、サーバー本体機能１４０を備えている。
　データアクセス単位１３１は、アプリケーション１２０によりアクセスされ、閲覧、出力または編集の単位となるデータアクセス単位である。上記したように、アプリケーション１２０がアクセスする単位としては、例えば、図１に示したようにアプリケーションファイルがあり得る。また、アプリケーション１２０がデータベースの検索アプリケーションであれば、図２に示したようにデータベースのレコードまたはレコード中のフィールドなどがあり得る。これらが混在している場合もあり得る。

　データアクセス単位１３１ごとに、アプリケーション１２０がアクセスして閲覧、出力または編集するための“オープン暗証コード”と、アプリケーション１２０による閲覧、出力または編集を正常終了して閉じるための“クローズ暗証コード”が設定されている。
　例えば、データアクセス単位１３１がアプリケーションファイルの場合は、図１に示すように、“オープン暗証コード”と“データ本体（ファイル）”と“クローズ暗証コード”を備えたものとなっている。また、データアクセス単位１３１がデータベースのレコードやフィールドの場合は、図２に示すように、“オープン暗証コード”と“データ本体（レコード）”と“クローズ暗証コード”を備えたものとなっている。

　例えば、オープン暗証コードやクローズ暗証コードとして、数字や文字などのＰＩＮコードやテキストコードを採用することができる。
　例えば、オープン暗証コードやクローズ暗証コードとして、利用者が携帯しているＩＣカードに記憶されているコード情報を採用することができる。
　また、例えば、オープン暗証コードやクローズ暗証コードとして、利用者の生体情報を採用することができる。生体情報としては、顔画像パターン、指紋パターン、静脈パターン、虹彩パターン、声紋パターンなどがあり得る。
　この例では、オープン暗証コード、クローズ暗証コードともに、指紋パターンの生体情報として説明する。
　なお、ここでは、オープン暗証コード、クローズ暗証コードを同じ指の指紋パターンとして説明するが、オープン暗証コード、クローズ暗証コードを異なるものとしてもよい。例えば、オープン暗証コードが顔画像パターン、クローズ暗証コードが声紋パターンなどの異なる種類の生体情報とすることも可能である。

　記憶装置１３０は、ネットワーク上に利用者が利用するコンピュータシステム１０１によりアクセス可能になっており、複数のデータアクセス単位１３１が検索、アクセス、出力可能な状態で記憶されている。
　なお、本発明のデータ管理システム１００では、データアクセス単位１３１ごとに暗号化された状態で格納されている。暗号処理は、それぞれのオープン暗証コードが復号鍵となるよう暗号化されている。図１、図２とも、データアクセス単位１３１のデータ本体には網掛けが施されているが、以降の図面において、網掛けされた状態が暗号化された状態のデータアクセス単位１３１であり、網掛けがない状態が復号化された状態のデータアクセス単位１３１と表わすものとする。

　オープン暗証コードとクローズ暗証コード同じものである場合、例えば、右手の人差し指の指紋パターンであれば、右手の人差し指の指紋パターンから抽出した特徴点をコード化したものをもって、データアクセス単位のデータ本体が暗号化されており、同じ右手の人差し指の指紋パターンから抽出した特徴点をコード化したもので復号化する。再暗号化の際も、同じ右手の人差し指の指紋パターンから抽出した特徴点をコード化したものをもって再暗号化する。
　もし、オープン暗証コード、クローズ暗証コードが異なるものである場合、例えば、オープン暗証コードが右手の人差し指の指紋パターン、クローズ暗証コードが右手の親指の指紋パターンである場合、データアクセス単位のデータ本体が右手の人差し指の指紋パターンから抽出した特徴点をコード化したものをもって暗号化されており、オープン処理の復号の際は同じ右手の人差し指の指紋パターンから抽出した特徴点をコード化したものをもって復号する。クローズ処理における再暗号化の際、やはり同じ右手の人差し指の指紋パターンから抽出した特徴点をコード化したものをもって再暗号化する。なお、この際、右手の親指の指紋パターンはクローズ暗証コードの認証に用いられるが、データ本体の再暗号化には用いず、オープン処理の際に入力された右手の人差し指の指紋パターンから抽出した特徴点をコード化したものを一時保持しておいて再暗号化の際に使用することとなる。

　サーバー本体機能１４０は、データサーバーとして備えている基本的機能である。後述するように、データアクセス単位開錠機能１２２Ｂ、データアクセス単位閉錠機能１２３Ｂと連動して、データアクセス単位１３１の検索、出力、格納などの処理を実行する。

　次に、利用者が利用する利用者コンピュータシステム１０１を説明する。
　利用者コンピュータシステム１０１は、本実施例１の構成例では、コード入力手段１１０とアプリケーション１２０を備えたものとなっている。
　利用者コンピュータシステム１０１は、例えば、パソコン、タブレット、スマートフォンなどのコンピュータリソースであれば良く、一般的なキーボードやタッチ入力デバイスなどの入力手段、表示画面などを装備しているものとする。後述するようにコード入力手段１１０はオープン暗証コード、クローズ暗証コードを入力するデバイスであり、キーボードやタッチ入力デバイス以外のものもあり得る。

　コード入力手段１１０は、コンピュータシステム１０１が装備しているデータ入力デバイスであり、受け取ったデータをデータアクセス単位開錠機能１２２Ａおよびデータアクセス単位閉錠機能１２３Ａに渡すものである。
　この例では、コード入力手段１１０は、データアクセス単位１３１であるアプリケーションファイルやデータベースのレコードやフィールドにおいて設定されているオープン暗証コード、クローズ暗証コードなどのコード情報を入力する部分である。
　コード入力手段１１０は、オープン暗証コード、クローズ暗証コードの型式に応じて、キーボード、タッチパネルなどの一般的な入力デバイスのほか、ＩＣカードリーダー、生体情報読み取りデバイス、赤外線リーダー、超音波受信機、ＱＲコードリーダー（カメラ）など多様な入力デバイスが利用可能である。システムの運用に応じて、装備する入力デバイスを取り付ければ良い。

　例えば、オープン暗証コードやクローズ暗証コードがＰＩＮコードなどのデータであれば、コード入力手段１１０は、キーボード、タッチパネルなどの一般的な入力デバイスで良い。
　例えば、オープン暗証コードやクローズ暗証コードが、利用者が携帯しているＩＣカードに記憶されているコード情報であれば、コード入力手段１１０は、ＩＣカードリーダーで良い。
　また、例えば、オープン暗証コードやクローズ暗証コードが、利用者の生体情報であれば、コード入力手段１１０は生体情報読み取りデバイス（顔画像カメラ、指紋パターンリーダー、静脈パターンリーダー、虹彩パターンリーダー、マイクロフォンなど）で良い。
　生体情報を採用する場合、コード入力手段１１０は、生体情報パターン変換手段を備えており、顔画像パターン、指紋パターン、静脈パターン、虹彩パターン、声紋パターンなどのデータから特徴点を抽出し、その特徴点の並びを所定の計算式や変換処理を行い、コード情報に変換する機能を備えている。真正の利用者が入力した生体情報パターンが、正しいオープン暗証コード、正しいクローズ暗証コードに変換されるものであれば良い。
　また、例えば、オープン暗証コードやクローズ暗証コードが、利用者が携帯しているスマートフォンに記憶されているコード情報であり、赤外線で出力されるものであれば、コード入力手段１１０は、赤外線リーダーで良い。
　また、例えば、オープン暗証コードやクローズ暗証コードが、利用者が携帯しているデバイスに記憶されているコード情報であり、超音波で出力されるものであれば、コード入力手段１１０は、超音波受信機で良い。
　また、例えば、オープン暗証コードやクローズ暗証コードが、利用者が携帯しているスマートフォンに記憶されているコード情報であり、ＱＲコードとして表示されるものであれば、コード入力手段１１０は、ＱＲコードリーダー（カメラ）で良い。

　アプリケーション１２０は利用者コンピュータシステムで実行可能なソフトウェアであれば良いが、本発明のデータ管理システム１００では、アプリケーション１２０は、アプリケーションの本体機能１２１のほか、データアクセス単位開錠機能１２２Ａ、データアクセス単位閉錠機能１２３Ａを備えたものとなっている。

　アプリケーションの本体機能１２１は、特に用途や機能が限定されるわけではなく、アプリケーション１２０によって多種多様であり、業務用アプリケーションの場合、当該業務を実行するための諸機能が装備されているものとする。なお、データ閲覧機能、データ出力機能、データ編集機能、データ格納機能などの汎用的な機能も含まれているものとする。

　データアクセス単位開錠機能１２２は、利用者コンピュータシステム１０１のアプリケーション１２０がターゲットとしてアクセスした記憶装置１３０を管理するコンピュータシステム１０２の記憶装置１３０に格納されているデータアクセス単位１３１に対して、コード入力手段１１０を介したオープン暗証コードの入力を受けて起動される処理である。
　図１の構成例では、データアクセス単位開錠機能１２２の一部（データアクセス単位開錠機能１２２Ａ）は、利用者が利用するコンピュータシステム１０１のアプリケーション１２０に装備され、他の一部（データアクセス単位開錠機能１２２Ｂ）は、記憶装置１３０を管理するコンピュータシステム１０２に装備され、相互に連動して処理が進められる。

　データアクセス単位開錠機能１２２Ａとデータアクセス単位開錠機能１２２Ｂはネットワーク１０３を介して連動して、利用者がアプリケーション１２０を使用してターゲットとしてアクセスしたデータアクセス単位１３１に対して、オープン暗証コードの入力を受け、認証が成立したことをもってデータアクセス単位１３１をダウンロードさせ、復号化するとともに閲覧、出力または編集という処理を可能とするものである。詳細な流れについては後述する。

　データアクセス単位閉錠機能１２３は、利用者コンピュータシステム１０１にダウンロードされ、復号化され、閲覧、出力、編集などの処理が行われたデータアクセス単位１３１に対して、コード入力手段１１０を介したクローズ暗証コードの入力を受けて起動される処理である。
　図１の構成例では、データアクセス単位閉錠機能１２３の一部（データアクセス単位閉錠機能１２３Ａ）は、利用者が利用するコンピュータシステム１０１のアプリケーション１２０に装備され、他の一部（データアクセス単位閉錠機能１２３Ｂ）は、記憶装置１３０を管理するコンピュータシステム１０２に装備され、相互に連動して処理が進められる。

　データアクセス単位閉錠機能１２３Ａとデータアクセス単位閉錠機能１２３Ｂはネットワーク１０３を介して連動して、利用者コンピュータシステム１０１にダウンロードされ、復号化され、閲覧、出力、編集などの処理が行われたデータアクセス単位１３１に対して、クローズ暗証コードの入力を受け、データアクセス単位１３１に設定されているクローズ暗証コードとの認証が成立したことをもってデータアクセス単位１３１に対する閲覧、出力または編集を正常終了するとともに、データアクセス単位１３１を再度、オープン暗証コードが復号鍵となるよう暗号化して閉じるという処理を可能とするものである。詳細な流れについては処理の流れの一例として後述する。

　次に、実施例１にかかる本発明のデータ管理システム１００の処理の流れ、特に、オープン暗証コードの入力を受けて起動されるオープン処理と、クローズ暗証コードの入力を受けて起動されるクローズ処理について詳細に述べる。
　図３から図５は、アプリケーションの起動からオープン暗証コードの入力を受けて起動されるオープン処理の概略を説明する図である。図６および図７は、特に、データアクセス単位開錠機能１２２Ａの構成、処理の流れを示した図である。また、図８は操作画面における操作の一例である。なお、下記の流れは一例であり、流れの一部を入れ替えたり、他の処理で代替したりすることが可能な場合はあり得る。
　なお、データアクセス単位は図１のアプリケーションファイルを例とするが、図２に示したデータベースのレコードやフィールドであっても同様であり、共通する点についてはここでの図示、説明は省略する。

　利用者は、アプリケーション１２０を選択起動する（図８（１））。アクセス可能なデータアクセス単位１３１の候補が表示され、所望のデータアクセス単位１３１にアクセスするためアイコンを押下する（図８（２））。ここでは当該データアクセス単位を特定するためのＩＤ情報やＵＲＬ情報が与えられるものとする。
　オープン暗証コードの入力画面が表示され、オープン暗証コードの入力が要求される（図８（３）－１）。利用者がコード入力手段１１０を介して、ターゲットとしてアクセスしたいデータアクセス単位１３１に設定されたオープン暗証コードの入力を行う（図３ステップＳ１、図８（３）－２）。この例では、スマートフォンに指紋認証デバイスが装備されており、人差し指を擦ることにより人差し指の指紋入力を行う。

　当該データアクセス単位のＩＤ情報やＵＲＬ情報とオープン暗証コードを受けたデータアクセス単位開錠機能１２２Ａは、ネットワーク１０３を介してそのオープン暗証コードをデータサーバー１０２側のデータアクセス単位開錠機能１２２Ｂに送信する（図３ステップＳ２）。

　次に、図４に示すように、データアクセス単位開錠機能１２２Ｂは、サーバー本体機能１４０と連動して該当するデータアクセス単位１３１を特定し（図４ステップＳ３）、そのオープン暗証コードの認証を確認する（図４ステップＳ４）。
　オープン暗証コードの認証が成立すれば（図４ステップＳ４：Ｙ）、ネットワーク１０３を介して当該データアクセス単位１３１を利用者が利用するコンピュータシステム１０１側のデータアクセス単位開錠機能１２２Ａに送信する。つまり、ダウンロードさせる（図４ステップＳ５）。このダウンロードされるデータアクセス単位１３１は暗号化された状態で送信されるものとする。オープン暗証コードの認証が成立しない場合（図４ステップＳ４：Ｎ）、不正アクセスがあったものとして取り扱う（図４ステップＳ６）。なお、真正の利用者であってもオープン暗証コードの入力ミスはあり得るので、オープン暗証コードの入力を複数回試行させる運用も可能である。

　次に、図５に示すように、利用者コンピュータシステム１０１にダウンロードされたデータアクセス単位１３１を受け取ったデータアクセス単位開錠機能１２２Ａは、暗号化されているデータアクセス単位１３１を復号化する（図５ステップＳ７）。ここでは、復号鍵とオープン暗証コードが同じものとする。つまり、オープン暗証コードによってデータアクセス単位１３１が復号化できる。
　ここで、データアクセス単位開錠機能１２２Ａにおける処理について詳しく示しておく。ここでは、２つのパターンを示す。
　第１のパターンは、入力されたオープン暗証コードから復号鍵を生成するパターンである。図６は第１のパターンのデータアクセス単位開錠機能１２２Ａ－１の構成、処理の流れを示す図である。
　図６（ａ）は、第１のパターンの場合のアプリケーション１２０、特に、データアクセス単位開錠機能１２２Ａ－１のサブ構成を示した図である。図６（ａ）に示すように、データアクセス単位開錠機能１２２Ａ－１は、ダウンロード処理部１２２Ａ１、オープン暗証コード受信部１２２Ａ２－１、復号鍵生成部１２２Ａ３－１、復号処理部１２２Ａ４を備えた構成となっている。
　図６（ｂ）は、第１のパターンにかかるアプリケーション１２０、特に、データアクセス単位開錠機能１２２Ａ－１のデータ処理を示した図である。図３ステップＳ１で入力されたオープン暗証コード、ＵＲＬ、ＩＤ情報が、ダウンロード処理部１２２Ａ１を介してデータサーバー１０２に送られてダウンロードの準備をするとともに、オープン暗証コード受信部１２２Ａ２－１に一時記憶されたオープン暗証コードが、復号鍵生成部１２２Ａ３－１に渡され、復号鍵生成部１２２Ａ３－１においてオープン暗証コードから復号鍵が生成される（図６ステップＳ７１－１）。つまり、復号鍵生成部１２２Ａ３－１は、変換機能または計算機能を備えており、オープン暗証コードから復号鍵が生成できる能力がある。なお、変換機能には無変換もあり得る。つまり、オープン暗証コード自体が復号鍵となるケースもあり得る。生成された復号鍵は、復号処理部１２２Ａ４に渡される。また、データサーバー１０２からダウンロードされた暗号化状態のデータアクセス単位１３１がダウンロード処理部１２２Ａ１を介して復号処理部１２２Ａ４に入力され（図４ステップＳ５）、復号処理部１２２Ａ４において復号鍵を用いて復号され、閲覧、出力、編集が可能となる。（図６ステップＳ７２－１）。なお、図示の都合により図６（ｂ）中、ステップＳ５による復号処理部１２２Ａ４に対する暗号化状態のデータアクセス単位１３１の入力がダウンロード処理部１２２Ａ１を通過していない。

　データアクセス単位１３１は閲覧、出力または編集可能な状態となり、それらの処理が可能となり、例えば、アプリケーション本体機能１２１により処理が実行される（図５ステップＳ８）。つまり、利用者自らまたは利用者が閲覧などを許可している第三者は、データアクセス単位１３１に対する閲覧、出力、編集などの処理を行う。
　次に、第２のパターンは、入力されたオープン暗証コードから認証処理を行い、復号鍵は利用者コンピュータシステム１０１に記憶されており、オープン暗証コードの認証が成立すれば、その記憶している復号鍵を利用するパターンである。図７は、第２のパターンのデータアクセス単位開錠機能１２２Ａ－２の構成、処理の流れを示した図である。
　図７（ａ）は、第２のパターンの場合のアプリケーション１２０、特に、データアクセス単位開錠機能１２２Ａ－２のサブ構成を示した図である。図７（ａ）に示すように、データアクセス単位開錠機能１２２Ａ－２は、ダウンロード処理部１２２Ａ１、オープン暗証コード認証処理部１２２Ａ２－２、復号鍵記憶部１２２Ａ３－２、復号処理部１２２Ａ４を備えた構成となっている。あらかじめ復号鍵が復号鍵記憶部１２２Ａ３－２に記憶されているパターンである。
　図７（ｂ）は、第２のパターンにかかるアプリケーション１２０、特に、データアクセス単位開錠機能１２２Ａ－２のデータ処理を示した図である。図３ステップＳ１で入力されたオープン暗証コード、ＵＲＬ、ＩＤ情報が、ダウンロード処理部１２２Ａ１を介してデータサーバー１０２に送られてダウンロードの準備をするとともに、オープン暗証コード認証処理部１２２Ａ２－２においてオープン暗証コードが認証処理され、認証に成功すれば復号鍵記憶部１２２Ａ３－２から復号鍵を取り出し（図７ステップＳ７１－２）、復号処理部１２２Ａ４に渡される。つまり、復号鍵記憶部１２２Ａ３－２は、あらかじめ復号鍵を記憶しており、オープン暗証コードの認証が成立すれば復号鍵を復号処理部１２２Ａ４に渡す。また、データサーバー１０２からダウンロードされた暗号化状態のデータアクセス単位１３１がダウンロード処理部１２２Ａ１を介して復号処理部１２２Ａ４に入力され（図４ステップＳ５）、復号処理部１２２Ａ４において復号鍵を用いて復号され、閲覧、出力、編集が可能となる。（図６ステップＳ７２－２）。なお、図示の都合により図７（ｂ）中、ステップＳ５による復号処理部１２２Ａ４に対する暗号化状態のデータアクセス単位１３１の入力がダウンロード処理部１２２Ａ１を通過していない。

　データアクセス単位１３１は閲覧、出力または編集可能な状態となり、それらの処理が可能となり、例えば、アプリケーション本体機能１２１により処理が実行される（図５ステップＳ８）。つまり、利用者自らまたは利用者が閲覧などを許可している第三者は、データアクセス単位１３１に対する閲覧、出力、編集などの処理を行う。

　次に、引き続き、クローズ暗証コードの入力を受けて起動されるクローズ処理からアプリケーションの終了までの処理の概略を説明する。
　図９から図１１は、クローズ暗証コードの入力を受けて起動されるクローズ処理からアプリケーションの終了までの処理の概略を説明する図である。図１２および図１３は、特に、データアクセス単位閉錠機能１２３Ａの構成、処理の流れを示した図である。また、図１４は操作画面における操作の一例である。なお、下記の流れは一例であり、流れの一部を入れ替えたり、他の処理で代替したりすることが可能な場合はあり得る。

　図９に示すように、閲覧、出力、編集などの必要な処理が完了すれば、クローズボタンを押下することにより（図１４（１））、データアクセス単位１３１を正常終了して閉じるためのクローズ暗証コードの入力画面が表示され、クローズ暗証コードの入力が要求される（図１４（２）－１）。利用者自らがクローズ暗証コードの入力を行う（図１４（２）－２、図９ステップＳ９）。

　図１０に示すように、クローズ暗証コードを受けたデータアクセス単位閉錠機能１２３Ａは、そのクローズ暗証コードと、データアクセス単位１３１に設定されているクローズ暗証コードの認証処理を行う（図１０ステップＳ１０）。
　クローズ暗証コードの認証が成立すれば（図１０ステップＳ１０：Ｙ）、データアクセス単位閉錠機能１２３Ａは、データアクセス単位１３１に対する閲覧の終了、出力の終了、データ編集の編集内容の確定およびデータ保存などの正常終了に伴う処理を実行する。まず、データアクセス単位閉錠機能１２３Ａは、データ編集内容が確定された変更後のデータアクセス単位１３１を再暗号化する（図１０ステップＳ１１）。ここで、再暗号化の暗号鍵は、次回にアクセスする際に入力されるオープン暗証コードが復号鍵となるような暗号化処理が必要となる。ここでは、オープン処理時に入力されているオープン暗証コードをもって再暗号化するものとする。なお、オープン暗証コードとクローズ暗証コードが同じものであれば、クローズ処理時に入力されたクローズ暗証コードをもって再暗号化するということで良い。ここでは、復号鍵とオープン暗証コードが同じものとする。つまり、オープン暗証コードによってデータアクセス単位１３１が復号化できる。
　データアクセス単位閉錠機能１２３Ａは、アプリケーション１２０上で表示されていたデータアクセス単位１３１が正常終了され（図１４（３））、アプリケーション１２０が正常終了される（図１４（４））。
　ここで、データアクセス単位閉錠機能１２３Ａにおける処理について詳しく示しておく。ここでは、２つのパターンを示す。
　第１のパターンは、入力されたクローズ暗証コードから暗号鍵を生成するパターンである。図１２は第１のパターンのデータアクセス単位閉錠機能１２３Ａ－１の構成、処理の流れを示す図である。
　図１２（ａ）は、第１のパターンの場合のアプリケーション１２０、特に、データアクセス単位閉錠機能１２３Ａ－１のサブ構成を示した図である。図１２（ａ）に示すように、データアクセス単位閉錠機能１２３Ａ－１は、クローズ暗証コード認証処理部１２３Ａ１、暗号鍵生成部１２３Ａ２－１、暗号処理部１２３Ａ３－１、アップロード処理部１２３Ａ４を備えた構成となっている。
　図１２（ｂ）は、第１のパターンにかかるアプリケーション１２０、特に、データアクセス単位閉錠機能１２３Ａ－１のデータ処理を示した図である。
　図９ステップＳ９で入力されたクローズ暗証コード、ＵＲＬ、ＩＤ情報が、クローズ暗証コード認証処理部１２３Ａ－１に入力されると、クローズ暗証コード認証処理部１２３Ａ－１においてクローズ暗証コードの認証処理が行われ（図１２ステップＳ１０）、認証処理が成功すれば（図１２ステップＳ１０：Ｙ）、クローズ暗証コードが暗号鍵生成部１２３Ａ２－１に渡され、暗号鍵を生成する（図１２ステップＳ１１－１１）。暗号鍵生成部１２３Ａ２－１は、変換機能または計算機能を備えており、クローズ暗証コードから暗号鍵を生成できる能力がある。なお、変換機能には無変換、つまり、クローズ暗証コード自体が暗号鍵となるケースもあり得る。ここで、生成された暗号鍵は、オープン暗証コードから復号鍵生成部１２２Ａ２－１により生成される復号鍵に対応するよう暗号化できるものである。生成された暗号鍵が暗号処理部１２３Ａ３－１に渡される。一方、編集などの処理が終了したデータアクセス単位１３１が、アプリケーション本体機能１２１から暗号処理部１２３Ａ３－１に渡され、暗号処理部１２３Ａ３－１において暗号鍵を用いて再暗号化される（図１２ステップＳ１１－１２）。再暗号化状態のデータアクセス単位１３１がアップロード処理部１２３Ａ４を介してデータサーバー１０２に対してアップロードされる（図１１ステップＳ１３）。

　なお、クローズ暗証コードの認証が成立しない場合（図１０および図１２ステップＳ１０：Ｎ）、不正アクセス、または、編集などを行った第三者の編集内容に対して、利用者が承認しない編集があったものとして取り扱う（図１０および図１２ステップＳ１２）。利用者が承認しない編集があった場合、データアクセス単位閉錠機能１２３Ａは再暗号化したデータアクセス単位１３１をデータアクセス単位閉錠機能１２３Ｂには渡さず、更新しない旨の情報を送信することにより、データアクセス単位閉錠機能１２３Ｂは記憶装置１３０内の元のデータアクセス単位１３１のまま変更しないという取り扱いが考えられる。
　なお、真正の利用者であってもクローズ暗証コードの入力ミスはあり得るので、クローズ暗証コードの入力を複数回試行させる運用も可能である。

　第２のパターンは、暗号鍵記憶部に記憶された暗号鍵を使用するパターンである。図１３は第２のパターンのデータアクセス単位閉錠機能１２３Ａ－２の構成、処理の流れを示す図である。
　図１３（ａ）は、第２のパターンの場合のアプリケーション１２０、特に、データアクセス単位閉錠機能１２３Ａ－２のサブ構成を示した図である。図１３（ａ）に示すように、データアクセス単位閉錠機能１２３Ａ－２は、クローズ暗証コード認証処理部１２３Ａ１、暗号鍵記憶部１２３Ａ２－２、暗号処理部１２３Ａ３－２、アップロード処理部１２３Ａ４を備えた構成となっている。
　図１３（ｂ）は、第２のパターンにかかるアプリケーション１２０、特に、データアクセス単位開錠機能１２２Ａ－２のデータ処理を示した図である。
　図９ステップＳ９で入力されたクローズ暗証コード、ＵＲＬ、ＩＤ情報が、オープン暗証コード認証処理部１２３Ａ１に入力されると、クローズ暗証コード認証処理部１２３Ａ１においてクローズ暗証コードの認証処理が行われ（図１３ステップＳ１０）、認証処理が成功すれば（図１３ステップＳ１０：Ｙ）、クローズ暗証コードが暗号鍵記憶部１２３Ａ２－２に渡され、暗号鍵記憶部１２３Ａ２－２に記憶されている暗号鍵を取り出し、暗号処理部１２３Ａ４に渡される（図１３ステップＳ１１－２１）。つまり、暗号鍵記憶部１２３Ａ２－２は、あらかじめ暗号鍵を記憶しており、クローズ暗証コードの認証が成立すれば暗号鍵を暗号処理部１２３Ａ３－２に渡す。
　一方、編集などの処理が終了したデータアクセス単位１３１が、アプリケーション本体機能１２１から暗号処理部１２３Ａ３－２に渡され、暗号処理部１２３Ａ３－２において暗号鍵を用いて再暗号化される（図１３ステップＳ１１－２２）。再暗号化状態のデータアクセス単位１３１がアップロード処理部１２３Ａ４を介してデータサーバー１０２に対してアップロードされる（図１３ステップＳ１３）。

　図１１に戻って説明を続ける。図１１に示すように、データアクセス単位閉錠機能１２３Ａは、ネットワーク１０３を介して、再暗号化済みのデータアクセス単位１３１を利用者コンピュータシステム１０１からデータサーバーであるコンピュータシステム１０２に送信する。つまり、アップロードさせる（図１１ステップＳ１３）。このアップロードされるデータアクセス単位１３１は再暗号化された状態で送信される。データアクセス単位１３１を受け取ったデータアクセス単位閉錠機能１２３Ｂは、記憶装置１３０において、所定の格納場所、格納形式にてデータアクセス単位１３１を格納する（図１１ステップＳ１４）。

　実施例２は、データアクセス単位１３１を分解した分解片とし、ネットワーク上に分散した複数の記憶装置に分散して保存する例である。
　以下の説明において、実施例１と同様で良い部分については説明を省略するものとし、異なる部分について説明する。
　実施例２にかかるデータ管理システム１００ａでは、データアクセス単位１３１を分解して複数個の分解片とし、さらにそれぞれに暗号化処理を加えた複数個の暗号化分解片とし、さらにネットワーク上に複数の記憶装置に分散保持しておくものである。１つの分解片のみを得てもデータの内容が不明であり、かつそれらの個々の分解片が暗号化されていることによりさらにセキュリティを向上させるものである。
　利用者コンピュータシステム１０１でデータアクセス単位１３１を閲覧、出力、編集したりする場合、オープン暗証コードの認証を条件として、ネットワーク上に分散している個々の暗号化分解片を利用者コンピュータシステム１０１に集め、一揃えとなったものを合成、復号化して元のデータアクセス単位１３１を再現し、閲覧、出力、編集を実行し、クローズ暗証コードの認証を条件として、暗号化、分解して暗号化分解片とし、ネットワーク上に複数の記憶装置に分散保持するものである。
　図１５は、実施例２にかかるデータ管理システム１００ａにおける閲覧、出力、編集時のデータの流れを示した図である。特に、暗号化分解片のダウンロード、暗号化分解片の合成、復号を中心として示している。
　図１５の例では、データサーバー１０２として、データサーバー１０２－１とデータサーバー１０２－２の２つのみ示しているが、３つ以上に分散する構成も可能であることは言うまでもない。データサーバー１０２－１には、データアクセス単位１３１の暗号化分解片１が記憶保持され、データサーバー１０２－２には、データアクセス単位１３１の暗号化分解片２が記憶保持されており、ネットワーク上に分散保持されている。
　利用者コンピュータシステム１０１を用いてデータアクセス単位１３１を閲覧、出力、編集する場合、オープン暗証コードの認証の成立を条件とし、データアクセス単位開錠機能１２２Ａ－３により、ネットワーク上に分散保持されている暗号化分解片１、暗号化分解片２がそれぞれダウンロードされて収集される（図１５ステップＳ５）。収集された一揃えの暗号化分解片１と暗号化分解片２が合成処理により一体の暗号化状態のデータアクセス単位１３１として合成され、引き続き復号化処理がされ、閲覧、出力、編集可能なデータアクセス単位１３１が得られ、（図１５ステップＳ７）アプリケーション本体機能で閲覧、出力、編集可能となる仕組みとなっている（図１５ステップＳ８）。
　図１６は、オープン暗証コードの入力に伴う暗号化分解片のダウンロード、暗号化分解片の合成、復号を中心とした、データ管理システム１００ａのアプリケーション１２０の構成、データ処理の流れを示す図である。
　図１６（ａ）は、アプリケーション１２０のデータアクセス単位開錠機能１２２Ａ－３の構成を簡単に示す図である。図６（ａ）に示した実施例１の構成例に比べて、ダウンロード処理部１２２Ａ１中のＵＲＬ変換部１２２Ａ６、合成処理部１２２Ａ５が追加されている。
　ＵＲＬ変換部１２２Ａ６は、データアクセス単位１３１にアクセスしようと利用者から入力されたＩＤ情報やＵＲＬ情報を基に、ネットワーク上に分散されている各々のデータサーバー１０２－１、データサーバー１０２－２のＵＲＬ情報に変換する機能を備えている。つまり、利用者自身は、データアクセス単位１３１がどのように分解され、どのように分散しているかは知っておく必要はなく、実施例１の場合に求められるものと同様、データアクセス単位が分解されずに一体であると想定された場合に与えられている名目上のＩＤ情報およびＵＲＬ情報を入力するだけで良く、このＵＲＬ変換部１２２Ａ６によって、各々の暗号化分解片が分散されて実際に格納されている各々のデータサーバー１０２－１、データサーバー１０２－２のＵＲＬ情報に変換される。
　合成処理部１２２Ａ５は、分解されている暗号化分解片を組み立てて、暗号化状態のデータアクセス単位１３１を合成する処理を実行するものである。この実施例２では、暗号化分解片を暗号化状態のまま暗号化状態のデータアクセス単位１３１を合成してから復号化する流れとするが、先に各々の暗号化分解片を復号処理部１２２Ａ４により復号化した分解片とし、その後合成処理部１２２Ａ５により合成する流れもあり得る。
　図１６（ｂ）は、利用者コンピュータシステム１０１を用いてデータアクセス単位１３１を閲覧、出力、編集する場合の処理の流れを示している。
　まず、利用者がコード入力手段１１０を介してオープン暗証コード、名目上のＵＲＬ情報やＩＤ情報がアプリケーション１２０のダウンロード処理部１２２Ａ１に入力され（図３、図１６ステップＳ１）、ＵＲＬ変換部１２２Ａ６において、分散上のＵＲＬ情報（ＵＲＬ１、ＵＲＬ２）に変換される。ダウンロード処理部１２２Ａ１は各々の分散上のＵＲＬ情報とＩＤ情報を基にダウンロード処理を行う（図３、図１６ステップＳ２）。ここではＵＲＬ１のデータサーバー１０２－１に対してデータアクセス単位１３１の暗号化分解片１に対して、また、ＵＲＬ２のデータサーバー１０２－２に対してデータアクセス単位１３１の暗号化分解片２に対してダウンロードを試みる。
　図１６に示すように、ＵＲＬ１のデータサーバー１０２－１からデータアクセス単位１３１の暗号化分解片１、ＵＲＬ２のデータサーバー１０２－２からデータアクセス単位１３１の暗号化分解片２がダウンロード処理部１２２Ａ１を介してダウンロードされ（図１６ステップＳ５）、合成処理部１２２Ａ５に渡される。なお、図１６では図示の関係から暗号化分解片１、暗号化分解片２とも直接、合成処理部１２２Ａ５に入力されているが、ダウンロード処理部１２２Ａ１を介して渡されるものとする。
　合成処理部１２２Ａ５において、各々の暗号化分解片１、暗号化分解片２が合成されて一体の暗号化状態のデータアクセス単位１３１となり（図１６ステップＳ７１）、復号化処理部１２２Ａ４により、復号されたデータアクセス単位１３１となり（図１６ステップＳ７）、アプリケーション本体機能１２１により閲覧、出力、編集などの処理が実行される（図１６ステップＳ８）。

　次に、クローズ暗証コードの認証を条件とした、データアクセス単位１３１を分解して複数の記憶装置に分散してアップロードする処理について述べる。
　図１７は、閲覧、出力、編集が終了した後のデータアクセス単位１３１を暗号化し、分解して複数の記憶装置に分散格納するデータの流れを示した図である。特に、データアクセス単位１３１の暗号化、分解片への分解、アップロードを中心として示している。
　データアクセス単位１３１を暗号化、分解、分散アップロードは、クローズ暗証コードの認証の成立を条件とし、データアクセス単位閉錠機能１２３Ａ－３により実行され、各々の暗号化分解片は指定された各々のデータサーバー１０２にアップロードされる。
　図１８は、クローズ暗証コードの入力に伴うデータアクセス単位１３１の暗号化、暗号化分解片への分解、暗号化分解片のアップロードを中心とした、データ管理システム１００ａのアプリケーション１２０の構成、データ処理の流れを示す図である。
　図１８（ａ）は、アプリケーション１２０のデータアクセス単位閉錠機能１２３Ａ－３の構成を簡単に示す図である。図１２（ａ）に示した実施例１の構成例に比べて、アップロード処理部１２３Ａ４中のＵＲＬ変換部１２３Ａ６、分解処理部１２３Ａ５が追加されている。
　ＵＲＬ変換部１２３Ａ６は、データアクセス単位１３１を保存しようとする利用者から入力された名目上のＩＤ情報やＵＲＬ情報を基に、ネットワーク上に分散されている分散上の実際の各々のデータサーバー１０２－１、データサーバー１０２－２のＵＲＬ情報に変換する機能を備えている。つまり、利用者自身は、データアクセス単位１３１がどのように分解され、どのように分散されるかは知っておく必要はなく、実施例１の場合に求められる名目上のＩＤ情報やＵＲＬ情報を入力するだけで良く、このＵＲＬ変換部１２２Ａ６によってネットワーク上に分散されている分散上の実際の各々のデータサーバー１０２－１、データサーバー１０２－２のＵＲＬ情報に変換される。
　なお、図１６で説明したダウンロード時のＵＲＬ変換部１２２Ａ６によるＵＲＬ情報が保持されており、それらＵＲＬ情報を再利用できる場合、このＵＲＬ変換部１２３Ａ６によるＵＲＬ変換を不要とする運用も可能である。
　分解処理部１２３Ａ５は、暗号状態のデータアクセス単位１３１を所定の分解アルゴリズムにより複数個の暗号化分解片に分解する処理を実行するものである。この実施例２では、データアクセス単位１３１を先に暗号処理部１２３Ａ３－１により暗号化し、その暗号状態のデータアクセス単位１３１を分解処理部１２３Ａ５により分割する例であるが、データアクセス単位１３１を先に分解処理部１２３Ａ５により複数個に分解し、その分解片をそれぞれ暗号処理部１２３Ａ３－１により暗号化する運用も可能である。
　図１８（ｂ）は、クローズ暗証コードの入力に伴うデータアクセス単位１３１の暗号化、暗号化分解片への分解、暗号化分解片のアップロードを中心としたデータ処理の流れを示す図である。
　図１８ステップＳ９で入力されたクローズ暗証コード、ＵＲＬ、ＩＤ情報が、クローズ暗証コード認証処理部１２３Ａ１に入力されると、クローズ暗証コード認証処理部１２３Ａ１においてクローズ暗証コードの認証処理が行われ（図１８ステップＳ１０）、認証処理が成功すれば（図１８ステップＳ１０：Ｙ）、クローズ暗証コードが暗号鍵生成部１２３Ａ２－１に渡され、暗号鍵を生成する（図１８ステップＳ１１－１１）。暗号鍵生成部１２３Ａ２－１は、変換機能または計算機能を備えており、クローズ暗証コードから暗号鍵が生成できる能力がある。なお、変換機能には無変換、つまり、クローズ暗証コード自体が暗号鍵となるケースもあり得る。ここで、生成された暗号鍵は、オープン暗証コードから復号鍵生成部１２２Ａ２－１により生成される復号鍵に対応するよう暗号化できるものである。生成された暗号鍵は、暗号処理部１２３Ａ３－１に渡される。生成された暗号鍵が暗号処理部１２３Ａ３－１に渡される。一方、編集などの処理が終了したデータアクセス単位１３１が、アプリケーション本体機能１２１から暗号処理部１２３Ａ３－１に渡され、暗号処理部１２３Ａ３－１において暗号鍵を用いて再暗号化される（図１８ステップＳ１１－１２）。
　再暗号化状態のデータアクセス単位１３１が分解処理部１２３Ａ５に渡され、複数の暗号化分解片に分解される（図１８ステップＳ１１－１３）。この例では、暗号化分解片１と暗号化分解片２が生成される。
　複数の暗号化分解片がアップロード処理部１２３Ａ４に渡され、ＵＲＬ変換部１２３Ａ６により変換された各々の暗号化分解片がアップロードされるデータサーバー１０２のＵＲＬに対して、アップロード処理部１２３Ａ４を介してアップロードされる。つまり、暗号化片１がＵＲＬ１のデータサーバー１０２－１に向けてアップロードされ、暗号化分解片２がＵＲＬ２のデータサーバー１０２－２に向けてアップロードされる（図１８ステップＳ１３）。

　なお、クローズ暗証コードの認証が成立しない場合（図１６および図１８ステップＳ１０：Ｎ）、不正アクセス、または、編集などを行った第三者の編集内容に対して、利用者が承認しない編集があったものとして取り扱う（図１６および図１８ステップＳ１２）。利用者が承認しない編集があった場合、データアクセス単位閉錠機能１２３Ａ－３は再暗号化したデータアクセス単位１３１をデータアクセス単位閉錠機能１２３Ｂには渡さず、更新しない旨の情報を送信することにより、データアクセス単位閉錠機能１２３Ｂは記憶装置１３０内の元のデータアクセス単位１３１のまま変更しないという取り扱いが考えられる。
　なお、真正の利用者であってもクローズ暗証コードの入力ミスはあり得るので、クローズ暗証コードの入力を複数回試行させる運用も可能である。

　図１７に戻って説明を続ける。図１７に示すように、データアクセス単位閉錠機能１２３Ａ－３は、ネットワーク１０３を介して、暗号化分解片を受け取った各々のデータサーバーのデータアクセス単位閉錠機能１２３Ｂは、各々の記憶装置１３０において、所定の格納場所、格納形式にて暗号化分解片を格納する（図１７ステップＳ１４）。

　実施例３にかかるデータ管理システムは、データアクセス単位ごとに、そのデータアクセス単位のデータ所有者が、ビッグデータとしての利用を認めるか否かの選択を可能とする工夫を盛り込んだものである。
　ビッグデータは、データの収集、取捨選択、管理及び処理に関して集積された超大量のデータの集合体であるが、近年、このビッグデータを用いて解析することは、消費性向や購買行動の分析や予測、治療効果や薬効の分析や予測などに有効な手法とされ、社会への貢献が期待されている。その一方、個人データを収集するため、個人情報を提供する利用者には不安がある。そこで、本発明のデータ管理システムの利用者は、利用者自身が社会貢献に資するため匿名で提供して良い個人データを選択し、他の部分は暗号化して伏せておきたいという要求が生じるものと想定される。本実施例３のデータ管理システムでは、その利用者のニーズに応えるとともにビッグデータを活用して様々な分析や予測を行いたい運営主体側へのビッグデータの提供を可能とするものである。
　実施例３にかかる本発明のデータ管理システム１００－２は、アプリケーション１２０の機能として、アプリケーション本体機能１２１、データアクセス単位開錠機能１２２Ａ、データアクセス単位閉錠機能１２３Ａに加え、暗号化選択部１２４を備えた構成となっている。暗号化選択部１２４はデータアクセス単位のうち一部を選択して暗号化する機能を備えている。
　図１９は、データアクセス単位がアプリケーションファイルである場合における本発明のデータ管理システム１００－２の構成を簡単に示す図である。図１９に示すように、暗号化選択部１２４は、データアクセス単位１３１であるアプリケーションファイルのデータ中の一部を選択的に暗号化する機能を備えている。図１９において、アプリケーションファイル中の網掛け部分が暗号化されており、網掛けされていない部分が暗号化されていない部分であることを示している。
　暗号化選択部１２４により暗号化の選択がなされていないアプリケーションファイル中のデータ部分については、記憶装置１３０を管理するデータサーバーの管理主体が閲覧したりビッグデータのデータとして利用したりする運用が可能となっている。
　図２０は、データアクセス単位がデータベースのレコードである場合における本発明のデータ管理システム１００－２の構成を簡単に示す図である。図２０に示すように、暗号化選択部１２４は、データアクセス単位１３１であるデータベースのレコード中のフィールドのうち選択的に暗号化する機能を備えている。図２０において、データベースのレコード中のフィールドのうち網掛けされたフィールドが暗号化されており、網掛けされていないフィールドが暗号化されていない部分であることを示している。
　暗号化選択部１２４により暗号化の選択がなされていないデータベースのレコード中のフィールド部分については、記憶装置１３０を管理するデータサーバーの管理主体が閲覧したりビッグデータのデータとして利用したりする運用が可能となっている。
　このように、運用の一例としては、データアクセス単位１３１で暗号化されているデータ部分は、データ所有者つまり利用者がビッグデータとしての利用を拒否しており、暗号化の選択がなされていないデータ部分は、データ所有者つまり利用者がビッグデータとしての利用に同意しているという運用とすることができる。

　以上、本発明にかかるデータ管理システム１００によれば、データアクセス単位としてアプリケーションファイル、データベース中のレコード、データベース中のレコードのフィールドなどとすることができ、多様なシステム運用が可能となる。
　データアクセス単位をオープンする際のオープン暗証コードの認証、データアクセス単位の閲覧、出力、編集を終了して閉じる際のクローズ暗証コードの認証により高いセキュリティ設定が可能となり、利用者自身が入力内容や操作内容が正しいことを確認せしめることができる。また、オープン暗証コードがその復号鍵を兼務しており、暗号化されているデータアクセス単位を復号化することができ、また、クローズ時にも、オープン暗証コードがその復号鍵となるよう自動的に暗号化処理が実行される。
　記憶装置が、アクセスする利用者コンピュータシステムとは異なるコンピュータリソースとしてデータサーバー上に構築した構成であれば、暗号化、復号化が自動的に処理されることにより、記憶装置内では、データアクセス単位は常時暗号化された状態で保持する取り扱いとすることができ、仮に不正アクセスによりデータの漏洩があっても、データは常時暗号化されており、利用者の個人情報などが容易には解読されないため、実質的なデータ漏洩の被害を食い止めることができる。

　本発明は、データを取り扱うコンピュータシステムに広く適用することができ、その用途は限定されず多様な業務システムに利用できる。

　１００　データ管理システム
　１０１　利用者コンピュータシステム
　１０２　記憶装置を管理するコンピュータシステム（データサーバー）
　１０３　ネットワーク
　１１０　コード入力手段
　１２０　アプリケーション
　１２１　アプリケーションの本体機能
　１２２Ａ，１２２Ｂ　データアクセス単位開錠機能
　１２３Ａ，１２３Ｂ　データアクセス単位閉錠機能
　１２４　暗号化選択部
　１３０　記憶装置
　１３１　データアクセス単位
　１４０　サーバー本体機能

Claims

　コンピュータシステムで利用可能なアプリケーションと、
　コード入力手段と、
　前記アプリケーションによりアクセスされ、閲覧、出力または編集の単位となるデータアクセス単位であって、前記データアクセス単位ごとにアクセスして前記閲覧、出力または編集するためのオープン暗証コードと、前記アプリケーションによる前記閲覧、出力または編集を正常終了して閉じるためのクローズ暗証コードが設定された前記データアクセス単位と、
　前記データアクセス単位ごとに全部または少なくとも選択された一部が暗号化された状態で複数の前記データアクセス単位を保持したネットワーク上の記憶装置と、
　前記コード入力手段を介して入力され、前記アプリケーションがターゲットとする前記データアクセス単位に対する前記オープン暗証コードに基づいて、前記暗号化された状態の前記データアクセス単位をダウンロードし、復号化して前記閲覧、出力または編集を可能とするデータアクセス単位開錠機能と、
　前記コード入力手段を介して入力された前記クローズ暗証コードに基づいて、前記データアクセス単位の前記閲覧、出力または編集を正常終了するとともに、前記データアクセス単位を暗号化して閉じ、前記記憶装置にアップロードするデータアクセス単位閉錠機能を備えたことを特徴とするデータ管理システム。
　前記記憶装置が、前記コンピュータシステムおよび前記アプリケーションとはネットワークを介した異なるコンピュータリソースのデータサーバー上に構築されており、前記記憶装置内では、前記データアクセス単位は全部または少なくとも選択された一部が常時、前記暗号化された状態で保持され、前記ダウンロード、前記アップロードとも暗号化された状態で行われることを特徴とする請求項１に記載のデータ管理システム。
　前記記憶装置にアップロードされている前記データアクセス単位ごとの暗号化状態が、前記オープン暗証コード自体、または、前記オープン暗証コードに基づいて変換して得られるものが復号鍵となるよう暗号化された状態であることを特徴とする請求項１または２に記載のデータ管理システム。
　前記アプリケーションによりアクセスされる前記暗号化状態の前記データアクセス単位に対する復号鍵を記憶する復号鍵記憶部を備え、
　前記記憶装置に記憶されている前記データアクセス単位ごとの暗号化状態が、前記オープン暗証コードの認証に基づいて前記復号鍵記憶部から得られる前記復号鍵で復号できるよう暗号化された状態であることを特徴とする請求項１または２に記載のデータ管理システム。
　前記オープン暗証コードと前記クローズ暗証コードが、前記データアクセス単位ごとに異なるユニークなものであることを特徴とする請求項１から４のいずれかに記載のデータ管理システム。
　前記オープン暗証コードおよび前記クローズ暗証コードが同じコードであることを特徴とする請求項５に記載のデータ管理システム。
　前記オープン暗証コードおよび前記クローズ暗証コードが生体情報であり、
　前記コード入力手段が、前記生体情報の読み取りデバイスである請求項１から６のいずれかに記載のデータ管理システム。
　前記データアクセス単位が前記アプリケーションで取り扱うアプリケーションファイルであることを特徴とする請求項１から７のいずれかに記載のデータ管理システム。
　前記データアクセス単位が前記アプリケーションで取り扱うデータベース中のレコードであることを特徴とする請求項１から７のいずれかに記載のデータ管理システム。
　前記データアクセス単位が前記アプリケーションで取り扱うデータベース中のレコードのフィールドであることを特徴とする請求項１から７のいずれかに記載のデータ管理システム。
　前記データアクセス単位である前記アプリケーションファイル中のデータのうち暗号化する部分を選択できる暗号化選択部を備え、
　前記暗号化選択部により前記暗号化の選択がなされていない前記アプリケーションファイル中のデータ部分について、前記記憶装置の管理主体が閲覧またはビッグデータシステムで取り扱うデータとして利用することが可能である請求項８に記載のデータ管理システム。
　前記データアクセス単位である前記レコード中のフィールド単位で暗号化するものを選択する暗号化選択部を備え、前記暗号化選択部により前記暗号化の選択がなされていないフィールドのデータについて、前記記憶装置の管理主体が閲覧またはビッグデータシステムで取り扱うデータとして利用することが可能である請求項９に記載のデータ管理システム。
　前記記憶装置が、前記ネットワーク上に分散配置した複数の記憶装置であり、
　前記データアクセス単位閉錠機能が、前記クローズ暗証コードの入力を受けて前記正常終了した前記データアクセス単位を複数に分解して個々の分解片とし、さらにそれら前記分解片を各々に暗号化した複数の暗号化分解片とし、
　各々の暗号化分解片を前記ネットワーク上に分散配置されている前記記憶装置に分散して格納したことを特徴とする請求項１から１２のいずれかに記載のデータ管理システム。
　前記データアクセス単位開錠機能が、前記データアクセス単位が分解されずに一体であると想定された場合に与えられている名目上のＩＤ情報およびＵＲＬ情報を基に、各々の前記暗号化分解片が分散されて実際に格納されている複数の前記記憶装置に対する分散上のＩＤ情報およびＵＲＬ情報に変換するＵＲＬ変換機能を備え、
　前記データアクセス単位開錠機能における前記データアクセス単位の前記ダウンロードにおいて、前記ＵＲＬ変換部により前記名目上のＩＤ情報およびＵＲＬ情報を基に得た前記分散上のＩＤ情報およびＵＲＬ情報に基づいて、各々の前記暗号化分解片をダウンロードし、一揃えの複数の前記暗号化分解片を、合成し、復号し、一体の前記データアクセス単位として前記閲覧、前記出力または前記編集を可能とし、
　前記データアクセス単位閉錠機能における前記データアクセス単位の前記アップロードにおいて、複数の前記分散上のＩＤ情報およびＵＲＬ情報に基づいて、各々の複数の前記暗号化分解片を実際の複数の前記記憶装置に分散して格納することを特徴とする請求項１３に記載のデータ管理システム。
　コンピュータシステムで利用可能なアプリケーションによりアクセスされ、閲覧、出力または編集の単位となるデータアクセス単位であって、前記データアクセス単位ごとにアクセスして前記閲覧、出力または編集するためのオープン暗証コードと、前記アプリケーションによる前記閲覧、出力または編集を正常終了して閉じるためのクローズ暗証コードを設定し、
　前記データアクセス単位ごとに全部または少なくとも選択された一部が暗号化された状態で複数の前記データアクセス単位をネットワーク上の記憶装置に保持しておき、
　前記アプリケーションがターゲットとする前記データアクセス単位に対して入力された前記オープン暗証コードに基づいて、前記暗号化された状態の前記データアクセス単位をダウンロードし、復号化して前記閲覧、出力または編集を可能とするデータアクセス単位開錠処理と、
　入力された前記クローズ暗証コードに基づいて、前記アプリケーションが前記データアクセス単位の前記閲覧、出力または編集を正常終了するとともに、前記データアクセス単位を暗号化して閉じ、前記記憶装置にアップロードするデータアクセス単位閉錠処理を実行することを特徴とするデータ管理方法。