WO2020084718A1 - データ管理システムおよびデータ管理方法 - Google Patents
データ管理システムおよびデータ管理方法 Download PDFInfo
- Publication number
- WO2020084718A1 WO2020084718A1 PCT/JP2018/039546 JP2018039546W WO2020084718A1 WO 2020084718 A1 WO2020084718 A1 WO 2020084718A1 JP 2018039546 W JP2018039546 W JP 2018039546W WO 2020084718 A1 WO2020084718 A1 WO 2020084718A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- data
- function
- access unit
- data access
- terminal
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Abstract
【課題】 アプリケーションファイルを開く際のみならず、終了して閉じる際にも、入力内容や操作内容が正しいことを確認せしめるセキュリティ設定を施し、過誤入力や不正入力などを効果的に低減せしめたアプリケーションを提供する。 【解決手段】 アプリケーションで利用される各々のデータアクセス単位に、アプリケーションでデータアクセス単位を開くためのオープン暗証コードと、アプリケーションで開いているデータアクセス単位を正常終了して閉じるためのクローズ暗証コードを設定し、オープン暗証コードの入力を受けてデータアクセス単位ごとに暗号化された状態でダウンロードして復号してデータアクセス単位を開くデータアクセス単位開錠機能と、クローズ暗証コードの入力を受けて、開いている状態のデータアクセス単位を正常終了して再暗号化して閉じてアップロードするデータアクセス単位閉錠機能を備えている。
Description
本発明は、データ所有者の利用端末と、データ管理者コンピュータと、他者の利用端末の間で、データを取り扱うデータ管理システムおよびデータ管理方法に関する。特に、高いセキュリティを確保した状態で、データを求める他者の利用端末システムに対してデータを提供するものに関する。
データの内容は特に限定されず、例えば、クレジット利用データ、利用者の移動および運動を含む行動パターンを示すデータ、身体データ、検査データ、電子カルテデータ、電子お薬手帳データ、電子保険証データ、利用者個人の行政上の記録情報または資格情報の内容を示す行政関連電子データ、移動体のログデータ、電子機器のログデータ、動産または不動産の有体物か無体物の利用ログデータ、利用者個人が作成、編集したデータなど多種多様なものが対象となり得る。
データの内容は特に限定されず、例えば、クレジット利用データ、利用者の移動および運動を含む行動パターンを示すデータ、身体データ、検査データ、電子カルテデータ、電子お薬手帳データ、電子保険証データ、利用者個人の行政上の記録情報または資格情報の内容を示す行政関連電子データ、移動体のログデータ、電子機器のログデータ、動産または不動産の有体物か無体物の利用ログデータ、利用者個人が作成、編集したデータなど多種多様なものが対象となり得る。
近年、個人データの価値に注目が集まっている。様々な企業や行政組織が個人の様々なデータの利用を所望している。ビッグデータとして個人データを活用することにより、企業活動に価値のある情報が提供でき、また、行政サービスの質の向上にも資するようになってきた。
この点に着目して個人データの信託を受けて個人データの提供の仲介を行う個人データ信託銀行も登場し始めている。
この点に着目して個人データの信託を受けて個人データの提供の仲介を行う個人データ信託銀行も登場し始めている。
近年は、クラウドシステムが普及しつつある。クラウドシステム上に様々なデータが管理保管されるようになってきている。やがて近いうちに利用者個人の情報や行政関連の証書類も電子ファイル化され、行政関連の証書類のデータを記録した個人データもクラウドシステム上に管理保管されることが想定される。
個人データをクラウドシステム上に管理保管する際に問題となるのは、セキュリティと利用時の運用方法である。
セキュリティに関しては、一般のクラウドシステムが提供するセキュリティに加え、個人情報保護や改ざんを防止するため、さらに個人データアプリケーションファイルの閲覧、データ編集などに伴うセキュリティ付与も考慮する必要がある。
コンピュータシステムにおいて、様々なアプリケーションが稼働しており、アプリケーションファイルのアクセスに対しても様々なセキュリティ対策が行われている。
セキュリティに関しては、一般のクラウドシステムが提供するセキュリティに加え、個人情報保護や改ざんを防止するため、さらに個人データアプリケーションファイルの閲覧、データ編集などに伴うセキュリティ付与も考慮する必要がある。
コンピュータシステムにおいて、様々なアプリケーションが稼働しており、アプリケーションファイルのアクセスに対しても様々なセキュリティ対策が行われている。
セキュリティ対策の意味合いは広いが、例えば、アプリケーションで利用するアプリケーションファイルへアクセスする正当権限者のみがアプリケーションファイルが利用できるように、アプリケーションファイルにアクセスして開く際にパスワードの入力をはじめ、様々なコード情報の入力を求める対策は広く採用されている。セキュリティレベルによるが、単純にキーボードからパスワードを入力させるものや、パスワードとともに携帯しているICカードからID情報を入力させるものや、パスワードと指紋や静脈パターンなどの生体情報を入力させるものなどがある。また、一人の操作だけでは不十分とし、複数の権限者のパスワードやID情報等が揃ってようやくアプリケーションファイルを開くことができるものもある。このように、アプリケーションファイルを開いて操作可能状態とするためには高度なセキュリティが設定されているアプリケーションはある。
また、暗号化によるセキュリティ対策も有効である。つまり、正当権限者以外の者によるデータへの不正アクセスがあった場合でも、データが解読されないようデータを暗号化しておくものである。権限ある真正者のみが復号鍵を持っており、必要に応じて復号鍵により復号する。
また、暗号化によるセキュリティ対策も有効である。つまり、正当権限者以外の者によるデータへの不正アクセスがあった場合でも、データが解読されないようデータを暗号化しておくものである。権限ある真正者のみが復号鍵を持っており、必要に応じて復号鍵により復号する。
アプリケーションが立ち上がり、アプリケーションファイルが操作可能状態となれば、利用者はアプリケーションを使用してアプリケーションファイルを編集することができるが、アプリケーションの操作中、さらに、特別な機能を使用したりする際には、別途、個別にパスワードやID情報などが求められる場合もあり得る。
このように、アプリケーションファイルを開いたり、特別な機能を使用したりする場合には、セキュリティが設定されていることがあり得る。しかし、逆に、アプリケーションの利用が終了してアプリケーションファイルを閉じる際や、特別な機能の使用を終了する際には、終了すること自体には特段何らのパスワードやID情報の入力等を求められることはなく、セキュリティ設定がされているものはない。ほとんどのものは“終了”や“閉じる”というコマンドの入力やボタン押下で単純に終了できる。
このように、アプリケーションファイルを開いたり、特別な機能を使用したりする場合には、セキュリティが設定されていることがあり得る。しかし、逆に、アプリケーションの利用が終了してアプリケーションファイルを閉じる際や、特別な機能の使用を終了する際には、終了すること自体には特段何らのパスワードやID情報の入力等を求められることはなく、セキュリティ設定がされているものはない。ほとんどのものは“終了”や“閉じる”というコマンドの入力やボタン押下で単純に終了できる。
図11は、一般的なアプリケーションを立ち上げてアプリケーションファイルを開き、その後、終了して閉じる操作を簡単に説明する図である。一例であり、アプリケーションファイルを開いたり閉じたりする典型的な操作である。
図11(a)に示すように、アプリケーション10は、コンピュータシステム上にインストールされており、利用者がアプリケーション10を使用しようとする際には、コンピュータシステムのモニタ上に表示されているアプリケーション10のアイコンをマウスなどのポインティングデバイスなどで選択し、ダブルクリックなどの操作で起動をかければアプリケーション10が起動する。
図11(a)に示すように、アプリケーション10は、コンピュータシステム上にインストールされており、利用者がアプリケーション10を使用しようとする際には、コンピュータシステムのモニタ上に表示されているアプリケーション10のアイコンをマウスなどのポインティングデバイスなどで選択し、ダブルクリックなどの操作で起動をかければアプリケーション10が起動する。
また、アプリケーション10で編集可能な各々のアプリケーションファイル20a,20b,20cなどもコンピュータシステム上に保存されており、各々のアイコンがコンピュータシステムのモニタ上に表示されている。利用者が編集しようとするアプリケーションファイル20のアイコンをマウスなどのポインティングデバイスなどで選択し、ダブルクリックなどの操作で起動をかければ、アプリケーション10が立ち上がるとともにアプリケーションファイル20が読み込まれてアプリケーション10を用いて編集可能な状態となり、データの内容がモニタ上に表示される。
ここで、セキュリティが設定されているアプリケーションファイル20であれば、図11(b)の上段に示すように、使用権限を確認すべくパスワードの入力カラムが表示される。このように、アプリケーションファイル20の編集などアプリケーション10の使用を開始する前にはパスワードの入力が求められる運用がある。なお、アプリケーション10によってはパスワードに加えてICカードからのID情報の入力や生体情報の入力を求めるものもある。
図11(b)の上段に示すように、キーボードや他の入力デバイスなどを介して、アプリケーションファイル20を正常に開いて使用可能とするために求められたパスワードやコード情報などを入力し、その認証に成功して設定されたセキュリティレベルを満たした場合には、アプリケーションファイル20がオープンして使用可能となる。
図11(b)の上段に示すように、キーボードや他の入力デバイスなどを介して、アプリケーションファイル20を正常に開いて使用可能とするために求められたパスワードやコード情報などを入力し、その認証に成功して設定されたセキュリティレベルを満たした場合には、アプリケーションファイル20がオープンして使用可能となる。
次に、図11(b)の下段に示すように、アプリケーションファイル20の所望の編集が終了すれば、モニタ上に表示されているアプリケーション10の入力画面の“終了”や“閉じる”という操作メニューやボタンをマウスなどのポインティングデバイスなどで選択してクリックなどの操作で指定すれば、アプリケーション10が単純に終了し、アプリケーションファイル20が閉じられる。
ほとんどのアプリケーション10では、アプリケーションファイル20を閉じる際には特別なパスワードやID情報の入力等を求められることはなく、ほとんどのアプリケーション10は単純に終了してアプリケーションファイル20を閉じることができる。
ほとんどのアプリケーション10では、アプリケーションファイル20を閉じる際には特別なパスワードやID情報の入力等を求められることはなく、ほとんどのアプリケーション10は単純に終了してアプリケーションファイル20を閉じることができる。
つまり、アプリケーションファイル20のアクセスに際しては、使用しようとする者が正当な使用権限がある者か否かを確認するため、様々なセキュリティレベルに基づく情報の入力を求めるが、使用開始時に一度、使用権限の認証が成功すれば、その後はその使用権限者がその権限のもと正しく使用されることが前提であり、終了もその権限のもと正しく終了することが前提となっており、アプリケーションファイル20の編集終了後に閉じる際にはパスワードの入力など特段のセキュリティ設定を行っていない。もっとも操作エラーなどで操作不能に陥ったり、システムエラーが発生したりなどの不具合によって正常ではない形で強制終了したりすることはあり得るが、操作エラーやシステムエラーなどがなく、操作自体が正常であれば、アプリケーション10は単純に終了してアプリケーションファイル20を閉じることができる。
近年、スタンドアロン型で稼働するコンピュータシステムのみならず、ネットワークなどで接続され、複数のコンピュータシステムが連動して業務を実行するものが増えてきている。しかし、アプリケーション10を立ち上げてアプリケーションファイル20を開き、その後、終了して閉じるというアプリケーション10の利用のルーチンは、ネットワーク環境でも同様であり、ネットワークにログインする際にはパスワードやIDコードの入力などセキュリティが求められ、ネットワークを介してアプリケーションファイル20にアクセスする際にもパスワードやIDコードの入力などセキュリティが求められるが、アプリケーションファイル20を閉じる際には、何ら特段のパスワードやID情報の入力は必要ではなく、単に終了して閉じることができる。
暗号化によるセキュリティ対策が施されている場合、権限ある真正者のみが復号鍵を持っており、アプリケーションファイル20へのアクセスの際に復号鍵により復号してアプリケーションファイル20をアプリケーション10で操作可能な通常のデータ状態に戻し、アプリケーション10を用いてアプリケーションファイル20への必要に応じた操作やデータ編集、更新などを行った後、アプリケーションファイル20を閉じる。暗号化を伴う場合もアプリケーションファイル20を閉じる際には、何ら特段のパスワードやID情報の入力は必要ではなく、閉じるボタンを押すのみで、単にアプリケーションファイル20が終了して自動的に暗号化されて閉じる。
個人データは、個人にとり極めて重要なものであり、その真正性が担保され、悪意者による改ざん不能であることが好ましい。個人データのセキュリティは各段に高く設定される必要がある。
重要データを暗号化する処理は広く行われている。暗号化して、復号処理には復号鍵の入手が必要となり、一定のセキュリティは担保できる。
このように復号処理に時間を要し、多大な負荷を掛けさせる方策は、データが無断に無権限者に閲覧されたり編集されたりすることを防止できるが、逆に、正当権限者自身も閲覧したり編集したりする際に時間を要し、多大な負荷を掛けるものであれば、利便性に欠けることとなる。特に、ビッグデータのように、大量のサンプルを集約してデータ分析を行う用途には不向きである。
重要データを暗号化する処理は広く行われている。暗号化して、復号処理には復号鍵の入手が必要となり、一定のセキュリティは担保できる。
このように復号処理に時間を要し、多大な負荷を掛けさせる方策は、データが無断に無権限者に閲覧されたり編集されたりすることを防止できるが、逆に、正当権限者自身も閲覧したり編集したりする際に時間を要し、多大な負荷を掛けるものであれば、利便性に欠けることとなる。特に、ビッグデータのように、大量のサンプルを集約してデータ分析を行う用途には不向きである。
また、個人データを提供する者は、個人データ信託銀行などの利用を想定すると、複数の企業などのデータ利用者に対して多数回にわたり個人データを提供するため、毎回、異なる暗号処理を施すことは極めて不便である。そのため、限られた数の暗号鍵と復号鍵を選択して利用する程度が実運用上好ましい。しかし、その限られた数の暗号鍵と復号鍵を複数の企業などのデータ利用者に提供してしまうと、個人にとって重要な暗号鍵と復号鍵も提供することはリスクが増大する。一方、平文データのままネットワークを介して送受信することもリスクが増大してしまう。
そこで、個人にとって重要な暗号鍵と復号鍵を提供することなく、データを暗号化して企業などのデータ利用者に提供することが好ましい。
そこで、個人にとって重要な暗号鍵と復号鍵を提供することなく、データを暗号化して企業などのデータ利用者に提供することが好ましい。
なお、ファイルなどのデータアクセス単位について、パスワード設定などが施され、様々な高いセキュリティが設定されている例は存在する。しかし、データ編集が完了し、アプリケーションファイルを閉じる際には、特段のセキュリティが設定されている例はない。
個人データを取り扱うアプリケーションを想定しても同様であり、個人データファイルを開いた使用者が認証をパスした正当権限を持つ者であれば、個人データファイルの編集作業が一通り完了すれば、そのまま個人データファイルを閉じる操作を行って個人データアプリケーションを終了させ、特段のパスワードの入力などのセキュリティ対策を講じられていない。
しかし、個人データを提供するに際して、個人データファイルを閉じる際に、入力内容や操作内容を反映した個人データアプリケーションファイルの作成データをそのまま確定させて良いかどうかを確認したいという要求がある場合があり得る。
個人データファイルのうち、企業などデータ利用を行う者に閲覧されたり編集されたりしても良いデータと、名前や住所やクレジットカード番号などは企業などデータ利用を行う者であっても、閲覧されたくないデータもある。このように個人データとして管理されているデータの中にはデータの利用目的や利用者の別によっては、データを提供しても良いケースと提供を拒否したいケースがあり得るが、そのまま提供されてしまうことは問題である。
個人データファイルのうち、企業などデータ利用を行う者に閲覧されたり編集されたりしても良いデータと、名前や住所やクレジットカード番号などは企業などデータ利用を行う者であっても、閲覧されたくないデータもある。このように個人データとして管理されているデータの中にはデータの利用目的や利用者の別によっては、データを提供しても良いケースと提供を拒否したいケースがあり得るが、そのまま提供されてしまうことは問題である。
そこで、本発明では、データアクセス単位を提供する際、データアクセス単位を開く際のみならず、データアクセス単位を終了して閉じる際にも、入力内容や操作内容が正しいことを確認せしめるセキュリティ設定を施し、データの提供内容や提供範囲を確認、制御できるデータ管理システム、およびデータ管理方法を提供することを目的とする。
上記目的を達成するため、本発明のデータ管理システムは、データ所有者の利用端末と、データ管理者コンピュータと、他者の利用端末の間で、データを取り扱うデータ管理システムであって、前記データ管理システムで利用される各々の閲覧、出力または編集の単位となるデータアクセス単位であって、暗号化されたデータ本体と、前記データ本体を開くためのオープン暗証コードと、開いた前記データ本体を正常終了して閉じるためのクローズ暗証コードが設定されたデータアクセス単位と、前記データアクセス単位を複数管理するデータサーバと、前記データ所有者の利用端末または前記データ管理者コンピュータにおいて、他者の利用端末からの他者によるデータ提供リクエスト情報を受け付けるデータ提供リクエスト情報受信機能と、前記データサーバから前記データ提供リクエスト情報にかかる前記データアクセス単位を取得するデータアクセス単位取得機能と、前記オープン暗証コードの入力を受けて、前記データアクセス単位を開き、前記暗号化されたデータ本体を復号し、復号された前記データ本体とするデータアクセス単位開錠機能と、前記クローズ暗証コードの入力を受けて、前記データ提供にかかる前記データ本体を再暗号化して正常終了して閉じるデータアクセス単位閉錠機能と、前記他者の利用端末に向けて前記データ本体が暗号化された状態で再暗号化済みの前記データアクセス単位を提供するデータ提供機能を備えたことを特徴とするデータ管理システムである。
なお、上記構成において、前記データアクセス単位取得機能により取得された前記データアクセス単位における前記暗号化されたデータ本体を暗号化した暗号鍵が第1の暗号鍵であり、前記暗号化されたデータ本体を復号する復号鍵が第1の復号鍵であり、前記データアクセス単位閉錠機能により前記データ本体を前記再暗号化する暗号鍵が第2の暗号鍵であり、前記再暗号化した前記データ本体を復号する復号鍵が第2の復号鍵であり、前記第1の暗号鍵と前記第2の暗号鍵が異なるものであり、前記第1の復号鍵と前記第2の復号鍵が異なるものとする構成がある。
また、上記構成において、前記データアクセス単位開錠機能が、前記オープン暗証コードおよび前記クローズ暗証コードを書き換える暗証コード書き換え機能を備えた構成が好ましい。
さらに、前記データアクセス単位取得機能により取得された前記データアクセス単位における、前記オープン暗証コードが、前記第1の復号鍵であり、前記クローズ暗証コードが、前記第1の暗号鍵であり、前記データアクセス単位閉錠機能により再暗号化された前記データアクセス単位における、前記オープン暗証コードが、前記第2の復号鍵であり、前記クローズ暗証コードが、前記第2の暗号鍵であり、前記暗証コード書き換え機能により、前記オープン暗証コードおよび前記クローズ暗証コードを第2の復号鍵および前記第2の暗号鍵に書き換えることが好ましい。
例えば、前記第1の暗号鍵および第1の復号鍵は、前記データ所有者が保持する暗号鍵であり、前記第2の暗号鍵および第2の復号鍵は、前記データ提供リクエスト情報の一部に含まれた、または前記データ提供リクエスト情報に関連付けられて前記他者の利用端末より提供されたものとすることができる。
なお、他社の利用端末から通知されるデータ提供リクエスト情報の一部に含まれるものが再暗号化に必要な第2の暗号鍵だけという運用も可能である。この場合、オープン暗証コードおよびクローズ暗証コードとも第2の暗号鍵となり、暗証コード書き換え機能により、オープン暗証コードおよびクローズ暗証コードを第2の暗号鍵に書き換えることとなる。
なお、他社の利用端末から通知されるデータ提供リクエスト情報の一部に含まれるものが再暗号化に必要な第2の暗号鍵だけという運用も可能である。この場合、オープン暗証コードおよびクローズ暗証コードとも第2の暗号鍵となり、暗証コード書き換え機能により、オープン暗証コードおよびクローズ暗証コードを第2の暗号鍵に書き換えることとなる。
なお、例えば、前記第1の暗号鍵および前記第1の復号鍵が、あらかじめ登録された前記個人データの所有者である個人の生体情報から生成されたコード情報であり、前記第2の暗号鍵および前記第2の復号鍵が、前記他者の利用端末の管理運営者の生体情報から生成されたコード情報とすることができる。
なお、前記オープン暗証コード、前記クローズ暗証コード、前記第1の暗号鍵、前記第1の復号鍵、前記第2の暗号鍵、前記第2の復号鍵がそれぞれ異なるものとすることができる。
なお、前記オープン暗証コード、前記クローズ暗証コード、前記第1の暗号鍵、前記第1の復号鍵、前記第2の暗号鍵、前記第2の復号鍵がそれぞれ異なるものとすることができる。
次に、他者の利用端末において、前記データ提供機能を介して提供を受けた前記データアクセス単位の前記再暗号化済みのデータ本体を前記第2の復号鍵で復号する提供データアクセス単位開錠機能と、復号された前記データ本体にアクセスするデータ本体アクセス機能を備えた構成とすることが好ましい。
さらに、前記他者の利用端末における前記データ本体アクセス機能が、復号された前記データ本体の閲覧機能、復号された前記データ本体の編集機能、復号された前記データ本体の他のアプリケーションで利用可能なように取り出すデータ取り出し機能のいずれかまたはそれらの組み合わせとすることができる。
さらに、前記他者の利用端末における前記データ本体アクセス機能が、復号された前記データ本体の閲覧機能、復号された前記データ本体の編集機能、復号された前記データ本体の他のアプリケーションで利用可能なように取り出すデータ取り出し機能のいずれかまたはそれらの組み合わせとすることができる。
次に、データ所有者の利用端末が、前記データアクセス単位取得機能と、前記データアクセス単位開錠機能と、前記データアクセス単位閉錠機能と、前記データ提供機能を備え、前記他者の利用端末が、前記データ提供リクエスト情報を生成して送信するデータ提供リクエスト情報送信機能と、前記提供データアクセス単位開錠機能と、前記提供データアクセス単位開錠機能と、前記データ本体アクセス機能を備え、前記データ管理者コンピュータが、前記データサーバと、前記データ提供リクエスト情報受信機能と、前記データアクセス単位取得機能に応じて該当する前記データアクセス単位を送信する機能と、前記データ所有者の利用端末から前記データ提供機能により提供された前記再暗号化済みの前記データアクセス単位を前記他者の利用端末に転送する提供データアクセス単位転送機能を備えた構成とすることができる。
さらに、前記データ所有者の利用端末において、前記データアクセス単位開錠機能により開いた前記データ本体において、データ提供をするデータ本体部分を選択するデータ提供選択機能を備え、前記データアクセス単位閉錠機能が、前記データ提供選択機能により選択された前記データ本体部分のみを再暗号化し、前記データ提供機能が、再暗号化済みの前記データ部分を含む前記データアクセス単位を提供し、前記データ提供選択機能により選択されなかった部分は前記データアクセス単位閉錠機能または前記データ提供機能において消去、または前記データ提供機能により提供されないことが好ましい。
上記の構成としては、前記データ所有者の利用端末の前記データアクセス単位取得機能と、前記データアクセス単位開錠機能と、前記データアクセス単位閉錠機能と、前記データ提供機能が、前記データ所有者が保持するスマートデバイスまたはコンピュータにインストールされているかASPにより利用可能な形態で前記データ管理者コンピュータにアクセス可能になっており、前記他者の利用端末の前記データ提供リクエスト情報送信機能と、前記提供データアクセス単位開錠機能と、前記提供データアクセス単位開錠機能と、前記データ本体アクセス機能が、他者が保持するスマートデバイスまたはコンピュータにインストールされているかASPにより利用可能な形態で前記データ管理者コンピュータにアクセス可能なものになっている構成例がある。
次に、データ構造として、前記データサーバにおいて、各々の前記データアクセス単位が個人単位に個人フォルダにまとめられており、各々の前記個人フォルダに、前記個人フォルダを開くための個人フォルダオープン暗証コードと、前記個人フォルダを閉じるための個人フォルダクローズ暗証コードが設定されたものとすることができる。
次に、本システムの適用として、データ管理者コンピュータとしては、前記データ所有者からデータ管理の信託を受けた個人情報銀行が運営するサーバシステムという適用があり得る。
また、データアクセス単位としては、アプリケーションファイル、データベース中のレコード、データベース中のレコードのフィールドなどがあり得る。
また、データアクセス単位としては、アプリケーションファイル、データベース中のレコード、データベース中のレコードのフィールドなどがあり得る。
工夫として、前記データアクセス単位である前記アプリケーションファイル中のデータのうち暗号化する部分を選択できる暗号化選択部を備え、前記暗号化選択部により前記暗号化の選択がなされていない前記アプリケーションファイル中のデータ部分について、前記他者の利用端末において閲覧またはビッグデータシステムで取り扱うデータとして利用することが可能である。
また、前記データアクセス単位である前記レコード中のフィールド単位で暗号化するものを選択する暗号化選択部を備え、前記暗号化選択部により前記暗号化の選択がなされていないフィールドのデータについて、前記他者の利用端末において閲覧またはビッグデータシステムで取り扱うデータとして利用することが可能である。
また、前記データアクセス単位である前記レコード中のフィールド単位で暗号化するものを選択する暗号化選択部を備え、前記暗号化選択部により前記暗号化の選択がなされていないフィールドのデータについて、前記他者の利用端末において閲覧またはビッグデータシステムで取り扱うデータとして利用することが可能である。
また、前記データサーバが、ネットワーク上に分散配置した複数のデータサーバであり、前記データアクセス単位閉錠機能が、前記クローズ暗証コードの入力を受けて前記正常終了した前記データアクセス単位を複数に分解して個々の分解片とし、さらにそれら前記分解片を各々に暗号化した複数の暗号化分解片とし、
各々の暗号化分解片を前記ネットワーク上に分散配置されている前記データサーバに分散して格納する構成もあり得る。
次に、データアクセス単位を分解して取り扱うことによりさらにセキュリティを向上せしめることができる。例えば、前記データアクセス単位開錠機能が、前記データアクセス単位が分解されずに一体であると想定された場合に与えられている名目上のID情報およびURL情報を基に、各々の前記暗号化分解片が分散されて実際に格納されている複数の前記記憶装置に対する分散上のID情報およびURL情報に変換するURL変換機能を備え、前記データアクセス単位開錠機能における前記データアクセス単位の前記ダウンロードにおいて、前記URL変換部により前記名目上のID情報およびURL情報を基に得た前記分散上のID情報およびURL情報に基づいて、各々の前記暗号化分解片をダウンロードし、一揃えの複数の前記暗号化分解片を、合成し、復号し、一体の前記データアクセス単位として前記閲覧、前記出力または前記編集を可能とし、前記データアクセス単位閉錠機能における前記データアクセス単位の前記アップロードにおいて、複数の前記分散上のID情報およびURL情報に基づいて、各々の複数の前記暗号化分解片を実際の複数の前記記憶装置に分散して格納する取り扱いが可能である。
各々の暗号化分解片を前記ネットワーク上に分散配置されている前記データサーバに分散して格納する構成もあり得る。
次に、データアクセス単位を分解して取り扱うことによりさらにセキュリティを向上せしめることができる。例えば、前記データアクセス単位開錠機能が、前記データアクセス単位が分解されずに一体であると想定された場合に与えられている名目上のID情報およびURL情報を基に、各々の前記暗号化分解片が分散されて実際に格納されている複数の前記記憶装置に対する分散上のID情報およびURL情報に変換するURL変換機能を備え、前記データアクセス単位開錠機能における前記データアクセス単位の前記ダウンロードにおいて、前記URL変換部により前記名目上のID情報およびURL情報を基に得た前記分散上のID情報およびURL情報に基づいて、各々の前記暗号化分解片をダウンロードし、一揃えの複数の前記暗号化分解片を、合成し、復号し、一体の前記データアクセス単位として前記閲覧、前記出力または前記編集を可能とし、前記データアクセス単位閉錠機能における前記データアクセス単位の前記アップロードにおいて、複数の前記分散上のID情報およびURL情報に基づいて、各々の複数の前記暗号化分解片を実際の複数の前記記憶装置に分散して格納する取り扱いが可能である。
なお、データアクセス単位として取り扱われるデータであるが、利用者のクレジット利用ログデータ、利用者の移動および運動を含む行動パターンを示すデータ、利用者個人の身体データ、利用者個人の検査データ、利用者個人の病歴や治療歴を示すデータを記録した電子カルテデータ、利用者個人の薬の処方を示すデータを記録した電子お薬手帳データ、利用者個人の電子保険証データ、利用者個人の行政上の記録情報または資格情報の内容を示す行政関連電子データ、利用者個人が使用した移動体のログデータ、利用者個人が使用した電子機器のログデータ、利用者個人が使用した動産または不動産の有体物か無体物の利用ログデータ、利用者個人が作成、編集したデータのいずれかまたはそれらの組み合わせを含むものなどがあり得る。
次に、本発明にかかるデータ管理方法は、データ所有者の利用端末と、データ管理者コンピュータと、他者の利用端末の間で、データを取り扱うデータ管理方法であって、前記データ管理システムで利用される各々のデータファイルであって、暗号化されたデータ本体と、前記データ本体を開くためのオープン暗証コードと、開いた前記データ本体を正常終了して閉じるためのクローズ暗証コードが設定されたデータファイルと、前記データファイルを複数管理するデータサーバを備えた構成において、前記データ所有者の利用端末または前記データ管理者コンピュータにおいて、他者の利用端末からの他者によるデータ提供リクエスト情報を受け付けるデータ提供リクエスト受信と、前記データサーバから前記データ提供リクエスト情報にかかる前記データファイルを取得するデータファイル取得と、前記オープン暗証コードの入力を受けて、前記データファイルを開き、前記暗号化されたデータ本体を復号し、復号された前記データ本体とするデータファイル開錠と、前記クローズ暗証コードの入力を受けて、前記データ提供にかかる前記データ本体を再暗号化して正常終了して閉じるデータファイル閉錠と、前記他者の利用端末に向けて前記データ本体が暗号化された状態で再暗号化済みの前記データファイルを提供するデータ提供を実行することを特徴とするデータ管理方法である。
以下、本発明を実施するための最良の形態について実施例により具体的に説明する。なお、本発明はこれらの実施例に限定されるものではない。
実施例1にかかる本発明のデータ管理システムについて説明する。
図1は、実施例1にかかるデータ管理システム100の構成を簡単に示した図である。なお、図1の構成例は一例であり、他の構成も可能である。
データ管理システム100には、他者の利用端末200と、データ管理者コンピュータ300と、データ所有者の利用端末400があり、ネットワーク上で接続され、データを取り扱うものとなっている。データ管理者コンピュータ300は、他者の利用端末200とデータ所有者の利用端末400との間でデータのやり取りを仲介するものであり、クラウドシステムとして利用される場合もあり得る。
図1は、実施例1にかかるデータ管理システム100の構成を簡単に示した図である。なお、図1の構成例は一例であり、他の構成も可能である。
データ管理システム100には、他者の利用端末200と、データ管理者コンピュータ300と、データ所有者の利用端末400があり、ネットワーク上で接続され、データを取り扱うものとなっている。データ管理者コンピュータ300は、他者の利用端末200とデータ所有者の利用端末400との間でデータのやり取りを仲介するものであり、クラウドシステムとして利用される場合もあり得る。
やり取りされるデータは、データ管理システムで利用される各々の閲覧、出力または編集の単位となるデータアクセス単位500である。
データアクセス単位500としては、アプリケーションで取り扱うアプリケーションファイルや、アプリケーションで取り扱うデータベース中のレコードや、データベース中のレコードのフィールドなどがあり得る。これらを単位としてアクセスが実行されるからである。
データアクセス単位500としては、アプリケーションで取り扱うアプリケーションファイルや、アプリケーションで取り扱うデータベース中のレコードや、データベース中のレコードのフィールドなどがあり得る。これらを単位としてアクセスが実行されるからである。
まず、他者の利用端末200を説明する。
他者の利用端末200は、データの提供を受け、データを活用使用する者が利用するコンピュータリソースである。例えば、ビッグデータの活用を望む企業や行政関係者、自社商品の売れ行きなどを分析するマーケティング担当者、新規商品の開発動向を見極めようとする商品企画者など多様な者が想定できる。
他者の利用端末200は、データの提供を受け、データを活用使用する者が利用するコンピュータリソースである。例えば、ビッグデータの活用を望む企業や行政関係者、自社商品の売れ行きなどを分析するマーケティング担当者、新規商品の開発動向を見極めようとする商品企画者など多様な者が想定できる。
図1に示す構成例では、他者の利用端末200は、データ提供リクエスト情報生成機能210、データ提供リクエスト情報送信機能220、提供データ受信機能230、提供データアクセス単位開錠機能240、データ本体アクセス機能250を備えた構成となっている。なお、図1の構成例は一例であり、他の構成も可能である。
データ提供リクエスト情報生成機能210は、他者の利用端末200の使用者が、求めるデータ内容を指定したデータ提供リクエスト情報を生成する機能である。データ提供リクエスト情報は、データ所有者を指定または絞り込める情報である“指定情報”が含まれている。
データ所有者のIDやURLがはっきりしている場合はそのデータ所有者のIDやURL情報が含まれている。例えば、別途、他者の利用端末200にてデータを要求する者が、ある商品の購入者リスト、サービスの利用者リスト、会員リスト、SNS参加者リスト、通販サイト利用者リストなどを入手しており、データ所有者をピンポイントで指定できる場合などである。
しかし、一般にはそのようなピンポイントにデータ所有者を特定できない場合も多いと考えられる。そのような場合、求めるデータを所有しているであろう者を想定した情報、例えば、居住エリア、年齢、性別、個人属性、購入製品、利用サービス、利用しているSNS、通販サイトなどのビッグデータとして匿名化されていない公開情報部分から範囲を絞る情報を用いてデータ提供リクエストを生成する。なお、個人属性は限定されず、個人によってビッグデータとして利用可能にする範囲は異なると予想されるが、例えば、身長、体重、病歴、服用薬、趣味趣向、食事パターン、血圧や血糖などの健康データ、離婚経験、出産経験、子育て経験、旅行経験、職業経験、行動パターンなど多種多様なものが含まれる。
また、モニターを募集する旨のデータ提供リクエスト情報もあり得る。企業の特定商品の使い勝手や特定サービスの利用体験などをしてもらって感想や改善点などの意見募集を行うというリクエストもあり得る。
また、近年個人データ信託銀行が設立され始めており、個人データを有償で売買することも始まっている。データ提供リクエストの中に、データ提供を求める範囲と報酬などの内容を示す報酬データを含めることも可能である。
データ所有者のIDやURLがはっきりしている場合はそのデータ所有者のIDやURL情報が含まれている。例えば、別途、他者の利用端末200にてデータを要求する者が、ある商品の購入者リスト、サービスの利用者リスト、会員リスト、SNS参加者リスト、通販サイト利用者リストなどを入手しており、データ所有者をピンポイントで指定できる場合などである。
しかし、一般にはそのようなピンポイントにデータ所有者を特定できない場合も多いと考えられる。そのような場合、求めるデータを所有しているであろう者を想定した情報、例えば、居住エリア、年齢、性別、個人属性、購入製品、利用サービス、利用しているSNS、通販サイトなどのビッグデータとして匿名化されていない公開情報部分から範囲を絞る情報を用いてデータ提供リクエストを生成する。なお、個人属性は限定されず、個人によってビッグデータとして利用可能にする範囲は異なると予想されるが、例えば、身長、体重、病歴、服用薬、趣味趣向、食事パターン、血圧や血糖などの健康データ、離婚経験、出産経験、子育て経験、旅行経験、職業経験、行動パターンなど多種多様なものが含まれる。
また、モニターを募集する旨のデータ提供リクエスト情報もあり得る。企業の特定商品の使い勝手や特定サービスの利用体験などをしてもらって感想や改善点などの意見募集を行うというリクエストもあり得る。
また、近年個人データ信託銀行が設立され始めており、個人データを有償で売買することも始まっている。データ提供リクエストの中に、データ提供を求める範囲と報酬などの内容を示す報酬データを含めることも可能である。
データ提供リクエスト情報生成機能210は、後述するようにデータ所有者コンピュータ400内でデータアクセス単位閉錠機能450のデータアクセス単位閉錠処理において再暗号化する際に用いられる“第2の暗号鍵”を生成する機能も備えている。例えば、第2の暗号鍵は特に限定されないが、第2の暗号鍵としては、他者の利用端末500の使用者が保持しているICカード内に記録されている情報から生成した暗号鍵、さらに、使用者の生体情報から生成した暗号鍵などがあり得る。
データ提供リクエスト情報送信機能220は、データ提供リクエスト情報生成機能210で生成したデータ提供リクエスト情報を、データ管理者コンピュータ300に対して送信するものである。つまり、データ提供リクエスト情報送信機能220が送信するデータ提供リクエスト情報には、データ所有者を指定または絞り込める情報である“指定情報”と“第2の暗号鍵”を含んだものとすることができる。
提供データ受信機能230は、後述するように、データ所有者から承認されて提供された“提供データ情報”を受信する機能である。“提供データ情報”は第2の暗号鍵で暗号化された状態である。
提供データアクセス単位開錠機能240は、第2の暗号鍵に対応した第2の復号鍵を保持しており、第2の暗号鍵で再暗号化された状態である提供データ情報を復号し、データ本体を平文として得る機能である。
データ本体アクセス機能250は、提供データアクセス単位開錠機能240により復号したデータを活用する機能である。データ本体アクセス機能250は限定されず、データ本体の閲覧機能、データ本体の編集機能、データ本体の他のアプリケーションで利用可能なように取り出すデータ取り出し機能などを備え、ビッグデータの解析、データ加工など、利用目的に応じて様々なソフトウェアやアプリケーションで利用可能となる。
次に、データ管理者コンピュータ300を説明する。
データ管理者コンピュータ300は、データ所有者からデータを預かって管理する者が利用するコンピュータリソースである。データ管理者は特に限定されないが、個人や事業者などのデータ所有者からデータの信託を受けて管理する者であり、例えば、データ管理サービス事業者、個人データ信託銀行、特定匿名加工事業者、医療機関の電子カルテデータ管理事業者、SNS運営主体、通販サイト事業者など多様なものが想定できる。
データ管理者コンピュータ300は、データ所有者からデータを預かって管理する者が利用するコンピュータリソースである。データ管理者は特に限定されないが、個人や事業者などのデータ所有者からデータの信託を受けて管理する者であり、例えば、データ管理サービス事業者、個人データ信託銀行、特定匿名加工事業者、医療機関の電子カルテデータ管理事業者、SNS運営主体、通販サイト事業者など多様なものが想定できる。
図1に示す構成例では、データ管理者コンピュータ300は、データサーバ310、データ提供リクエスト転送機能320、データアクセス単位取得機能330、提供データ転送機能340を備えた構成なっている。なお、図1の構成例は一例であり、他の構成も可能である。
データサーバ310は、データアクセス単位500を複数管理しており、データアクセス単位500は、データベース310内に暗号化された状態で格納されている。
この実施例1では、電子カルテデータであり、利用者個人の診察記録、検査内容、検査結果、治療記録、レセプトに関する諸データなど医療機関において取り扱われる一般的なカルテに必要な情報が格納されたデータファイルとする。
この実施例1では、電子カルテデータであり、利用者個人の診察記録、検査内容、検査結果、治療記録、レセプトに関する諸データなど医療機関において取り扱われる一般的なカルテに必要な情報が格納されたデータファイルとする。
データサーバ310に格納されているデータアクセス単位500の規模であるが、本発明では限定されない。運用によって多様な規模があり得る。例えば、1つのクリニックだけで利用されるものであれば、そのクリニックを利用する患者数の規模となる。例えば、国民皆保険に加入する被保険者のカルテが電子カルテファイルとして共通仕様に制定された場合、国民皆保険に加入する被保険者の総数に相当する規模となる。このように膨大な電子カルテデータをデータアクセス単位500として取り扱う場合、データサーバ310が大規模なシステムとなることが想定できる。
本発明のデータ管理システム100では、取り扱われるデータアクセス単位500は、データ所有者の第1の暗号鍵で暗号化された状態で保持されている。第1の暗号鍵は特に限定されないが、暗号鍵としては、データ所有者が秘匿している数字列や文字列、利用者が保持しているICカード内に記録されている情報から生成した暗号鍵、さらに、利用者の生体情報から生成した暗号鍵などがあり得る。
また、データアクセス単位500に対して、暗号化されたデータアクセス単位500を開くためのオープン暗証コードと、開いたデータアクセス単位500を正常終了して閉じるためのクローズ暗証コードが設定されている。オープン暗証コードおよびクローズ暗証コードは、例えば、個々のデータアクセス単位500内に組み込まれているか、または個々のデータアクセス単位500と関連付けられる形で別の記憶媒体に格納されており、後述するようにコード入力手段410から入力されたコード情報と、個々のデータアクセス単位500に設定されているオープン暗証コードおよびクローズ暗証との認証が行われる。
例えば、オープン暗証コードやクローズ暗証コードとして、数字や文字などのPINコードやテキストコードを採用することができる。
例えば、オープン暗証コードやクローズ暗証コードとして、利用者が携帯しているICカードに記憶されているコード情報を採用することができる。
また、例えば、オープン暗証コードやクローズ暗証コードとして、利用者の生体情報を採用することができる。生体情報としては、顔画像パターン、指紋パターン、静脈パターン、虹彩パターン、声紋パターンなどがあり得る。
この例では、オープン暗証コード、クローズ暗証コードともに、指紋パターンの生体情報として説明する。
なお、ここでは、オープン暗証コード、クローズ暗証コードを同じ指の指紋パターンとして説明するが、オープン暗証コード、クローズ暗証コードを異なるものとしてもよい。例えば、オープン暗証コードが顔画像パターン、クローズ暗証コードが声紋パターンなどの異なる種類の生体情報とすることも可能である。
例えば、オープン暗証コードやクローズ暗証コードとして、利用者が携帯しているICカードに記憶されているコード情報を採用することができる。
また、例えば、オープン暗証コードやクローズ暗証コードとして、利用者の生体情報を採用することができる。生体情報としては、顔画像パターン、指紋パターン、静脈パターン、虹彩パターン、声紋パターンなどがあり得る。
この例では、オープン暗証コード、クローズ暗証コードともに、指紋パターンの生体情報として説明する。
なお、ここでは、オープン暗証コード、クローズ暗証コードを同じ指の指紋パターンとして説明するが、オープン暗証コード、クローズ暗証コードを異なるものとしてもよい。例えば、オープン暗証コードが顔画像パターン、クローズ暗証コードが声紋パターンなどの異なる種類の生体情報とすることも可能である。
データはデータアクセス単位500で管理され、データ所有者の第1の暗号鍵で暗号化された状態で保持されている。第1の暗号鍵は特に限定されないが、利用者が保持しているICカード内に記録されている情報から生成した暗号鍵、さらに、利用者の生体情報から生成した暗号鍵などがあり得る。
データ提供リクエスト転送機能320は、他者の利用端末200のデータ提供リクエスト情報送信機能220から送信されたデータ提供リクエスト情報を受け取り、データ提供リクエストに該当するデータアクセス単位500を特定し、データアクセス単位取得機能330を介して、該当するデータアクセス単位500をデータサーバ310から取り出して“データ提供リクエスト情報”とともにデータ所有者コンピュータ400に対して転送する機能である。
例えば、データ提供リクエスト情報の中に“20代の女性で過去に特定のアパレルメーカーのコートを購入したことのある人”という内容が指定情報として含まれていれば、データサーバ310に格納されているデータアクセス単位から該当するものを検索し、ヒットした人に向けてデータ提供リクエスト情報を転送する。また、データ提供リクエスト情報の中に、例えば“関東在住で50代男性で糖尿病の通院歴のある人”という内容が指定情報として含まれていれば、データサーバ310に格納されているデータアクセス単位から該当するものを検索し、ヒットした人に向けてデータ提供リクエスト情報を転送する。
例えば、データ提供リクエスト情報の中に“20代の女性で過去に特定のアパレルメーカーのコートを購入したことのある人”という内容が指定情報として含まれていれば、データサーバ310に格納されているデータアクセス単位から該当するものを検索し、ヒットした人に向けてデータ提供リクエスト情報を転送する。また、データ提供リクエスト情報の中に、例えば“関東在住で50代男性で糖尿病の通院歴のある人”という内容が指定情報として含まれていれば、データサーバ310に格納されているデータアクセス単位から該当するものを検索し、ヒットした人に向けてデータ提供リクエスト情報を転送する。
データアクセス単位取得機能330は、データ提供リクエスト転送機能320がデータ所有者コンピュータ400に対して“データ提供リクエスト情報”を転送する際に、暗号化された状態の“データアクセス単位500”を取り出す機能である。
提供データ転送機能340は、後述するように、データ所有者コンピュータ400のデータ提供機能460から提供された“データ提供情報”を他者の利用端末200に対して転送する機能である。なお、この転送時の“データ提供情報”は他者の利用端末200から提供された“第2の暗号鍵”によりデータアクセス単位閉錠機能450により再暗号化された状態となっている。
次に、データ所有者の利用端末400を説明する。
利用者が保持する利用者端末400は、スマートフォンなどのスマートデバイスで利用者が使用可能なコンピュータリソースであれば良いが、この例ではスマートフォンとなっている。利用者端末400は、アプリケーションがダウンロードされているか、またはASPで利用可能となっている。
なお、スマートデバイスとは、情報処理端末(デバイス)のうち、単なる計算処理だけではなく、あらゆる用途に使用可能な多機能端末のことであり、スマートフォンやタブレット端末を総称する意味である。
利用者が保持する利用者端末400は、スマートフォンなどのスマートデバイスで利用者が使用可能なコンピュータリソースであれば良いが、この例ではスマートフォンとなっている。利用者端末400は、アプリケーションがダウンロードされているか、またはASPで利用可能となっている。
なお、スマートデバイスとは、情報処理端末(デバイス)のうち、単なる計算処理だけではなく、あらゆる用途に使用可能な多機能端末のことであり、スマートフォンやタブレット端末を総称する意味である。
図1ではスマートフォン上にダウンロードされたアプリケーションとして描いているが、ASPで利用可能な場合、アプリケーション本体はネットワーク上に存在している。
図1に示す構成例では、データ所有者の利用端末400は、コード入力手段410、データ提供リクエスト情報受信機能420、データアクセス単位開錠機能430、データ提供選択機能440、データアクセス単位閉錠機能450、データ提供機能460、アプリケーション本体機能470を備えた構成となっている。なお、図1の構成例は一例であり、他の構成も可能である。
図1に示す構成例では、データ所有者の利用端末400は、コード入力手段410、データ提供リクエスト情報受信機能420、データアクセス単位開錠機能430、データ提供選択機能440、データアクセス単位閉錠機能450、データ提供機能460、アプリケーション本体機能470を備えた構成となっている。なお、図1の構成例は一例であり、他の構成も可能である。
コード入力手段410は、所有者コンピュータ400が装備しているデータ入力デバイスであり、受け取ったデータをデータアクセス単位開錠機能430およびデータアクセス単位閉錠機能450に渡すものである。
この例では、コード入力手段410は、データアクセス単位500であるアプリケーションファイルやデータベースのレコードやフィールドにおいて設定されているオープン暗証コード、クローズ暗証コードなどのコード情報を入力する部分である。
コード入力手段410は、キーボード、タッチパネルなどの一般的な入力デバイスのほか、ICカードリーダー、生体情報読み取りデバイス、赤外線リーダー、超音波受信機、QRコードリーダー(カメラ)など多様な入力デバイスが利用可能である。システムの運用に応じて、装備する入力デバイスを取り付ければ良い。
例えば、オープン暗証コードやクローズ暗証コードがPINコードなどのデータであれば、コード入力手段410は、キーボード、タッチパネルなどの一般的な入力デバイスで良い。
例えば、オープン暗証コードやクローズ暗証コードが、利用者が携帯しているICカードに記憶されているコード情報であれば、コード入力手段410は、ICカードリーダーで良い。
また、例えば、オープン暗証コードやクローズ暗証コードが、利用者の生体情報であれば、コード入力手段410は生体情報読み取りデバイス(顔画像カメラ、指紋パターンリーダー、静脈パターンリーダー、虹彩パターンリーダー、マイクロフォンなど)で良い。
生体情報を採用する場合、コード入力手段410は、生体情報パターン変換手段を備えており、顔画像パターン、指紋パターン、静脈パターン、虹彩パターン、声紋パターンなどのデータから特徴点を抽出し、その特徴点の並びを所定の計算式や変換処理を行い、コード情報に変換する機能を備えている。真正の利用者が入力した生体情報パターンが、正しいオープン暗証コード、正しいクローズ暗証コードに変換されるものであれば良い。
この例では、コード入力手段410は、データアクセス単位500であるアプリケーションファイルやデータベースのレコードやフィールドにおいて設定されているオープン暗証コード、クローズ暗証コードなどのコード情報を入力する部分である。
コード入力手段410は、キーボード、タッチパネルなどの一般的な入力デバイスのほか、ICカードリーダー、生体情報読み取りデバイス、赤外線リーダー、超音波受信機、QRコードリーダー(カメラ)など多様な入力デバイスが利用可能である。システムの運用に応じて、装備する入力デバイスを取り付ければ良い。
例えば、オープン暗証コードやクローズ暗証コードがPINコードなどのデータであれば、コード入力手段410は、キーボード、タッチパネルなどの一般的な入力デバイスで良い。
例えば、オープン暗証コードやクローズ暗証コードが、利用者が携帯しているICカードに記憶されているコード情報であれば、コード入力手段410は、ICカードリーダーで良い。
また、例えば、オープン暗証コードやクローズ暗証コードが、利用者の生体情報であれば、コード入力手段410は生体情報読み取りデバイス(顔画像カメラ、指紋パターンリーダー、静脈パターンリーダー、虹彩パターンリーダー、マイクロフォンなど)で良い。
生体情報を採用する場合、コード入力手段410は、生体情報パターン変換手段を備えており、顔画像パターン、指紋パターン、静脈パターン、虹彩パターン、声紋パターンなどのデータから特徴点を抽出し、その特徴点の並びを所定の計算式や変換処理を行い、コード情報に変換する機能を備えている。真正の利用者が入力した生体情報パターンが、正しいオープン暗証コード、正しいクローズ暗証コードに変換されるものであれば良い。
また、例えば、オープン暗証コードやクローズ暗証コードが、利用者が携帯しているスマートフォンなどのスマートデバイスに記憶されているコード情報であり、赤外線で出力されるものであれば、コード入力手段410は、赤外線リーダーで良い。
また、例えば、オープン暗証コードやクローズ暗証コードが、利用者が携帯しているデバイスに記憶されているコード情報であり、超音波で出力されるものであれば、コード入力手段410は、超音波受信機で良い。
また、例えば、オープン暗証コードやクローズ暗証コードが、利用者が携帯しているスマートフォンなどのスマートデバイスに記憶されているコード情報であり、QRコードとして表示されるものであれば、コード入力手段410は、QRコードリーダー(カメラ)で良い。
また、例えば、オープン暗証コードやクローズ暗証コードが、利用者が携帯しているデバイスに記憶されているコード情報であり、超音波で出力されるものであれば、コード入力手段410は、超音波受信機で良い。
また、例えば、オープン暗証コードやクローズ暗証コードが、利用者が携帯しているスマートフォンなどのスマートデバイスに記憶されているコード情報であり、QRコードとして表示されるものであれば、コード入力手段410は、QRコードリーダー(カメラ)で良い。
データ提供リクエスト情報受信機能420は、他者の利用端末200からのデータ提供リクエスト情報を受け付ける機能である。データ提供リクエスト情報受信機能420またはアプリケーション本体機能470がデータ提供リクエスト情報を解析し、中に含まれている情報を取り出す。
例えば、データ提供リクエスト情報は、他者の利用端末200から提供が求められているデータアクセス単位500および第2の暗号鍵が含まれた状態となっている。
例えば、データ提供リクエスト情報は、他者の利用端末200から提供が求められているデータアクセス単位500および第2の暗号鍵が含まれた状態となっている。
データアクセス単位開錠機能430は、コード入力手段410を介して入力されたコードと、オープン暗証コードとの認証処理を行い、認証に成功した場合に、暗号化されたデータ本体を復号して、データアクセス単位500を開き、復号されたデータ本体とする機能である。第1の復号鍵はデータアクセス単位開錠機能430が保持している構成でも良く、データ所有者が自ら入力したオープン暗証コードがそのまま第1の復号鍵とする構成も可能である。
なお、データアクセス単位500はデータ提供リクエスト情報として入手した段階ではデータサーバ310から取り出されたものなので、第1の暗号鍵で暗号化された状態であるが、データアクセス単位開錠機能430は第1の復号鍵により復号できる。
なお、データアクセス単位500はデータ提供リクエスト情報として入手した段階ではデータサーバ310から取り出されたものなので、第1の暗号鍵で暗号化された状態であるが、データアクセス単位開錠機能430は第1の復号鍵により復号できる。
データ提供選択機能440は、データ所有者の利用端末400において、データアクセス単位開錠機能430により開いたデータアクセス単位500のデータ本体において、データ提供をするデータ本体部分を選択する機能である。
データ所有者は、データを提供する相手、データを提供する目的、データを提供することで得られる報酬データの内容など、データ提供リクエスト情報に含まれている内容を確認し、データ提供選択機能440により提供するデータの範囲を限定する。その結果、すべてのデータを選択して提供することも可能であるし、一部のデータのみを選択して提供することも可能であるし、すべてのデータを非選択としてデータを提供しないことも可能である。
データ所有者は、データを提供する相手、データを提供する目的、データを提供することで得られる報酬データの内容など、データ提供リクエスト情報に含まれている内容を確認し、データ提供選択機能440により提供するデータの範囲を限定する。その結果、すべてのデータを選択して提供することも可能であるし、一部のデータのみを選択して提供することも可能であるし、すべてのデータを非選択としてデータを提供しないことも可能である。
データアクセス単位閉錠機能450は、データ提供選択機能440により選択されたデータ選択部分のみを提供すべく、次の処理を実行する。
第1の処理が、クローズ暗証コードの認証処理である。コード入力手段410を介して入力されたコード情報を受けて、クローズ暗証コードとの認証処理を行う。認証に成功すれば、第2の処理以下を実行する。
第2の処理が、再暗号化処理である。
データアクセス単位閉錠機能450により、提供するデータ選択部分を再暗号化する。なお、再暗号化に用いる暗号鍵は、データ提供リクエスト情報に含まれている第2の暗号鍵とする。第2の暗号鍵で再暗号化することにより、再暗号化されたデータは、他者の利用端末200に送信された後、提供データアクセス単位開錠機能240において第2の復号鍵により提供データ情報が復号される。
第1の処理が、クローズ暗証コードの認証処理である。コード入力手段410を介して入力されたコード情報を受けて、クローズ暗証コードとの認証処理を行う。認証に成功すれば、第2の処理以下を実行する。
第2の処理が、再暗号化処理である。
データアクセス単位閉錠機能450により、提供するデータ選択部分を再暗号化する。なお、再暗号化に用いる暗号鍵は、データ提供リクエスト情報に含まれている第2の暗号鍵とする。第2の暗号鍵で再暗号化することにより、再暗号化されたデータは、他者の利用端末200に送信された後、提供データアクセス単位開錠機能240において第2の復号鍵により提供データ情報が復号される。
第3の処理が、オプション処理として、暗証コード書き換え処理である。つまり、データアクセス単位500に付与されているオープン暗証コードおよびクローズ暗証コードを書き換える処理である。
他者の利用端末200において、データアクセス単位500に付与されているオープン暗証コードおよびクローズ暗証コードを伝えるパターンも可能であるが、データ所有者が頻繁に使用するオープン暗証コードを企業などの他者の利用端末200の使用者に教えることが好ましいとは言えず、特に、オープン暗証コードやクローズ暗証コードがデータ所有者の生体情報の場合は使用者に教えることが憚られる。
そこで、例えば、オープン暗証コードを第2の暗号鍵に書き換えることとする。このように、データアクセス単位閉錠機能450は、データアクセス単位500に関連付けられているオープン暗証コードおよびクローズ暗証コードを書き換える機能を備えている。新たに書き換えるオープン暗証コードおよびクローズ暗証コードは限定されないが、ここでは、提供リクエスト情報とともに通知された第2の暗号鍵を利用することとし、データアクセス単位閉錠機能450によりオープン暗証コードを第2の暗号鍵に書き換え、クローズ暗証コードも同じく第2の暗号鍵に書き換えることとする。
また、他の構成としては、他者の利用端末から送信されるデータ提供リクエスト情報の中に第2の暗号鍵と第2の復号鍵が含まれている場合には、オープン暗証コードを第2の復号鍵に書き換え、クローズ暗証コードを第2の暗号鍵に書き換えることも可能である。
他者の利用端末200において、データアクセス単位500に付与されているオープン暗証コードおよびクローズ暗証コードを伝えるパターンも可能であるが、データ所有者が頻繁に使用するオープン暗証コードを企業などの他者の利用端末200の使用者に教えることが好ましいとは言えず、特に、オープン暗証コードやクローズ暗証コードがデータ所有者の生体情報の場合は使用者に教えることが憚られる。
そこで、例えば、オープン暗証コードを第2の暗号鍵に書き換えることとする。このように、データアクセス単位閉錠機能450は、データアクセス単位500に関連付けられているオープン暗証コードおよびクローズ暗証コードを書き換える機能を備えている。新たに書き換えるオープン暗証コードおよびクローズ暗証コードは限定されないが、ここでは、提供リクエスト情報とともに通知された第2の暗号鍵を利用することとし、データアクセス単位閉錠機能450によりオープン暗証コードを第2の暗号鍵に書き換え、クローズ暗証コードも同じく第2の暗号鍵に書き換えることとする。
また、他の構成としては、他者の利用端末から送信されるデータ提供リクエスト情報の中に第2の暗号鍵と第2の復号鍵が含まれている場合には、オープン暗証コードを第2の復号鍵に書き換え、クローズ暗証コードを第2の暗号鍵に書き換えることも可能である。
第4の処理は、データ提供選択機能440により選択されなかったデータ部分を消去する処理である。データアクセス単位閉錠機能450は、データ提供選択機能440により選択されたデータ選択部分のみを提供するが、その他の部分は提供しないため、消去する必要がある。この消去方法には幾つかのオプションがあるが、そのうちの1つとして、データアクセス単位閉錠機能450が選択されなかったデータ部分を消去する処理がある。
なお、データ提供選択機能440が選択しなかったデータ部分を自ら消去する処理も可能である。また、後述するデータ提供機能460がデータ提供処理の際に、送信しないという処理も可能である。
第5の処理がデータアクセス単位500を正常終了して閉じる処理である。
なお、データ提供選択機能440が選択しなかったデータ部分を自ら消去する処理も可能である。また、後述するデータ提供機能460がデータ提供処理の際に、送信しないという処理も可能である。
第5の処理がデータアクセス単位500を正常終了して閉じる処理である。
次に、データ提供機能460について説明する。
データ提供機能460は、再暗号化済みのデータ部分のみを含むデータアクセス単位を、データ管理者コンピュータ300を介して他者の利用端末200に提供する機能である。
データ提供にかかるデータアクセス単位500は再暗号化され、正常終了して閉じられ、データ提供機能460によって他者の利用端末200に向けて送信される。
データ提供機能460は、再暗号化済みのデータ部分のみを含むデータアクセス単位を、データ管理者コンピュータ300を介して他者の利用端末200に提供する機能である。
データ提供にかかるデータアクセス単位500は再暗号化され、正常終了して閉じられ、データ提供機能460によって他者の利用端末200に向けて送信される。
以上が本発明のデータ管理システム100の各構成例の説明である。
次に、本発明のデータ管理システム100を用いたデータリクエストからデータ提供までの流れを追って説明する。
まず、データ管理コンピュータ300のデータサーバ310の中には、既に複数のデータアクセス単位500が格納されているものとする。
次に、本発明のデータ管理システム100を用いたデータリクエストからデータ提供までの流れを追って説明する。
まず、データ管理コンピュータ300のデータサーバ310の中には、既に複数のデータアクセス単位500が格納されているものとする。
図2は、データサーバ310の中に格納されているデータアクセス単位500のデータ構造を簡単に示す図である。
図2(a)に示す例では、データアクセス単位500は全体が第1の暗号鍵で暗号化された状態のものとなっている。これは、自分のデータについて当初からビッグデータとして公開する部分は決めず、データ本体すべてについて暗号化して格納した状態である。
図2(a)に示す例では、データアクセス単位500は全体が第1の暗号鍵で暗号化された状態のものとなっている。これは、自分のデータについて当初からビッグデータとして公開する部分は決めず、データ本体すべてについて暗号化して格納した状態である。
図2(b)に示す例では、データアクセス単位500の一部が第1の暗号鍵で暗号化され、一部は平文の状態のものとなっている。この例は、データサーバ310の中のデータアクセス単位500は、データ所有者自らがデータ管理コンピュータの運営者に対してデータを信託する時点で、ビッグデータとして当初からオープンにしてよいデータ内容と、他者に閲覧などさせるか否かについて取り扱いを条件づけるデータ内容とを分けている例である。この場合、他者の利用端末200からデータ管理コンピュータはデータ提供リクエスト情報を受け取ると、ビッグデータとして平文で提供されている情報からデータ提供リクエスト情報において指定されているデータを所有している者を絞りこむことができる。
図2(c)に示す例では、データアクセス単位500は全体が暗号化されずに平文の状態のものとなっている。これは、自分のデータについて当初からビッグデータとして公開するものとして暗号化せずに格納した状態である。この場合、他者の利用端末200からデータ管理コンピュータはデータ提供リクエスト情報を受け取ると、すべてが平文で提供されているので、データ提供リクエスト情報において指定されているデータを所有している者を絞り込むことができる。
一般には、図2(a)のデータ構造か、図2(b)のデータ構造になっていることが想定されるが限定はされない。以下の説明では、図2(b)のデータ構造として説明を続ける。
一般には、図2(a)のデータ構造か、図2(b)のデータ構造になっていることが想定されるが限定はされない。以下の説明では、図2(b)のデータ構造として説明を続ける。
まず、データが欲しい他者の利用端末200の運営管理者は、データ提供リクエスト生成を行う。
図3は、データ提供リクエスト情報の生成から送信の流れを示す図である。
データが欲しい他者の利用端末200の運営管理者は、データ提供リクエスト情報生成機能210を介して、データ提供リクエスト情報の生成を行う(図3ステップ(1))。他者の利用端末200の運営管理者は、所望するデータ所有者を指定または絞り込める情報である“指定情報”と“第2の暗号鍵”を含めて生成する。
図3は、データ提供リクエスト情報の生成から送信の流れを示す図である。
データが欲しい他者の利用端末200の運営管理者は、データ提供リクエスト情報生成機能210を介して、データ提供リクエスト情報の生成を行う(図3ステップ(1))。他者の利用端末200の運営管理者は、所望するデータ所有者を指定または絞り込める情報である“指定情報”と“第2の暗号鍵”を含めて生成する。
生成されたデータ提供リクエスト情報は、データ提供リクエスト情報送信機能220により送信される(図3ステップ(2))。
送信されたデータ提供リクエスト情報はネットワークを介してデータ管理コンピュータ300に送信される。
送信されたデータ提供リクエスト情報はネットワークを介してデータ管理コンピュータ300に送信される。
図4は、データ提供リクエスト情報の転送の流れを示す図である。
データ管理コンピュータ300は、他者の利用端末200からデータ提供リクエスト情報をデータ提供リクエスト転送機能320が受け取る(図4ステップ(3))と、データアクセス単位取得機能330は、データ提供リクエスト情報中の“指定情報”を基に、該当するデータおよびそのデータ所有者を特定し、データサーバ310から該当するデータアクセス単位500をコピーして取得し(図4ステップ(4))、データ提供リクエスト転送機能320が“データ提供リクエスト情報”、暗号化されている“データアクセス単位500”と“第2の暗号鍵”の3つの要素を含む形でデータ所有者の利用端末400に対して送信する(図4ステップ(5))。データ所有者の利用端末400のデータ提供リクエスト情報受信機能420において受信される(図4ステップ(6))。なお、データサーバ310の中に格納されていたオリジナルのデータアクセス単位500は第1の暗号鍵で暗号化されたままデータサーバ310の中に残されている。
データ管理コンピュータ300は、他者の利用端末200からデータ提供リクエスト情報をデータ提供リクエスト転送機能320が受け取る(図4ステップ(3))と、データアクセス単位取得機能330は、データ提供リクエスト情報中の“指定情報”を基に、該当するデータおよびそのデータ所有者を特定し、データサーバ310から該当するデータアクセス単位500をコピーして取得し(図4ステップ(4))、データ提供リクエスト転送機能320が“データ提供リクエスト情報”、暗号化されている“データアクセス単位500”と“第2の暗号鍵”の3つの要素を含む形でデータ所有者の利用端末400に対して送信する(図4ステップ(5))。データ所有者の利用端末400のデータ提供リクエスト情報受信機能420において受信される(図4ステップ(6))。なお、データサーバ310の中に格納されていたオリジナルのデータアクセス単位500は第1の暗号鍵で暗号化されたままデータサーバ310の中に残されている。
図5は、データ提供リクエスト情報の転送の流れを示す図である。
データ所有者の利用端末400における提供データの生成の流れを示す図である。
データ所有者は、利用端末400においてデータ提供リクエスト情報を受信した旨の通知を受け(図9(1))、アプリケーション本体機能470を立ち上げ(図9(2))、オープン暗証コードの入力画面が表示されれば(図9(3)-1)、コード入力手段410を介してオープン暗証コードを入力する(図5ステップ(7)、(図9(3)-2))。データアクセス単位開錠機能430においてオープン暗証コードの認証に成功すると、データ提供リクエスト情報と併せて送信されてきたデータアクセス単位500を自ら保有する第1の復号鍵で復号する(図5ステップ(8))。第1の暗号鍵で暗号化されていたデータアクセス単位500が復号され、利用端末400において平文となり閲覧可能となる(図9(4))。
データ所有者は、利用端末400において、データ提供リクエストにかかるデータを確認し、データ提供選択機能440によりデータアクセス単位500においてデータ提供する範囲を選択する(図5ステップ(9)、図9(5))。
データ所有者の利用端末400における提供データの生成の流れを示す図である。
データ所有者は、利用端末400においてデータ提供リクエスト情報を受信した旨の通知を受け(図9(1))、アプリケーション本体機能470を立ち上げ(図9(2))、オープン暗証コードの入力画面が表示されれば(図9(3)-1)、コード入力手段410を介してオープン暗証コードを入力する(図5ステップ(7)、(図9(3)-2))。データアクセス単位開錠機能430においてオープン暗証コードの認証に成功すると、データ提供リクエスト情報と併せて送信されてきたデータアクセス単位500を自ら保有する第1の復号鍵で復号する(図5ステップ(8))。第1の暗号鍵で暗号化されていたデータアクセス単位500が復号され、利用端末400において平文となり閲覧可能となる(図9(4))。
データ所有者は、利用端末400において、データ提供リクエストにかかるデータを確認し、データ提供選択機能440によりデータアクセス単位500においてデータ提供する範囲を選択する(図5ステップ(9)、図9(5))。
図6は、データ提供選択機能440によりデータアクセス単位500においてデータ提供する範囲を選択した様子を簡単に示す図である。
図6の例では、左側にある図2におけるデータの状態から、データ所有者がデータ提供選択機能440を用いてデータ提供する範囲を選択した結果が示されている。
図6(a)では、左側にある状態(図2(a)の状態)から、一部のみ(網掛けなし)がデータ提供の範囲として選択され、残りの他の部分(網掛けあり)は選択から外すように指定したものとなっている。その結果、網掛けが掛かっている範囲はデータ提供されないため消去される。網掛けが外れた部分はデータ提供されるため、その後再暗号化されて他者の利用端末200に向けて提供される。
図6の例では、左側にある図2におけるデータの状態から、データ所有者がデータ提供選択機能440を用いてデータ提供する範囲を選択した結果が示されている。
図6(a)では、左側にある状態(図2(a)の状態)から、一部のみ(網掛けなし)がデータ提供の範囲として選択され、残りの他の部分(網掛けあり)は選択から外すように指定したものとなっている。その結果、網掛けが掛かっている範囲はデータ提供されないため消去される。網掛けが外れた部分はデータ提供されるため、その後再暗号化されて他者の利用端末200に向けて提供される。
図6(b)では、左側にある状態(図2(b)の状態)から、新たに一部が(網掛けが外れた部分)がデータ提供の範囲として選択され、残りの他の部分(網掛けあり)は選択から外すように指定したものとなっている。もともとビッグデータとしてデータ提供を許可した部分に加え、新たに一部が加えられた範囲がデータ提供される範囲となり、網掛けが掛かっている範囲はデータ提供されないため消去される。その後再暗号化されて他者の利用端末200に向けて提供される。
図6(c)では、左側にある状態(図2(c)の状態)においてもともとすべてがビッグデータとしてデータ提供を許可していたので、そのまま再暗号化されて他者の利用端末200に向けて提供される。
図6(c)では、左側にある状態(図2(c)の状態)においてもともとすべてがビッグデータとしてデータ提供を許可していたので、そのまま再暗号化されて他者の利用端末200に向けて提供される。
上記のようにデータ提供範囲が選択されたデータ範囲がデータ提供される。
図7は、他者の利用端末200に対してデータ提供を行う流れを示す図である。
データ提供選択機能440を介したデータ提供の範囲を指定すると、クローズ暗証コードの入力画面が表示されれば(図10(6)-1)、コード入力手段410を介してクローズ暗証コードを入力する(図10(6)-2、図7ステップ(10))。データアクセス単位閉錠機能450においてクローズ暗証コードの認証に成功すると、提供データに編集したデータアクセス単位500を、データ送信リクエスト情報に併せて受信した第2の暗号鍵により再暗号化する(図7ステップ(11))。第2の暗号鍵で再暗号化されたデータアクセス単位500がデータ提供機能460により他者の利用端末200に向けて送信される(図7ステップ(12)、図10ステップ(7))。送信が完了すればアプリケーション本体機能470を終了する(図10ステップ(8))。
図7は、他者の利用端末200に対してデータ提供を行う流れを示す図である。
データ提供選択機能440を介したデータ提供の範囲を指定すると、クローズ暗証コードの入力画面が表示されれば(図10(6)-1)、コード入力手段410を介してクローズ暗証コードを入力する(図10(6)-2、図7ステップ(10))。データアクセス単位閉錠機能450においてクローズ暗証コードの認証に成功すると、提供データに編集したデータアクセス単位500を、データ送信リクエスト情報に併せて受信した第2の暗号鍵により再暗号化する(図7ステップ(11))。第2の暗号鍵で再暗号化されたデータアクセス単位500がデータ提供機能460により他者の利用端末200に向けて送信される(図7ステップ(12)、図10ステップ(7))。送信が完了すればアプリケーション本体機能470を終了する(図10ステップ(8))。
図8は、他者の利用端末200において提供データを受信して利用する流れを示す図である。
提供データ受信機能230により提供データであるデータアクセス単位500が受信されると(図8ステップ(13))、提供データアクセス単位開錠機能240に渡され、提供データアクセス単位開錠機能240において保有されている第2の復号鍵により復号して平文化する(図8ステップ(14))。ここで得られる平文は、もともとビッグデータとしての利用を認めていた公開データの部分と、データ所有者がデータ提供しても良いと判断した再暗号化部分であり、データ所有者がデータ提供したくない部分は含まれていない。
提供データ受信機能230により提供データであるデータアクセス単位500が受信されると(図8ステップ(13))、提供データアクセス単位開錠機能240に渡され、提供データアクセス単位開錠機能240において保有されている第2の復号鍵により復号して平文化する(図8ステップ(14))。ここで得られる平文は、もともとビッグデータとしての利用を認めていた公開データの部分と、データ所有者がデータ提供しても良いと判断した再暗号化部分であり、データ所有者がデータ提供したくない部分は含まれていない。
データ本体アクセス機能250は、データ本体の閲覧機能、データ本体の編集機能、データ本体の他のアプリケーションで利用可能なように取り出すデータ取り出し機能などを備え、ビッグデータの解析、データ加工など、利用目的に応じて様々なソフトウェアやアプリケーションで利用可能となる(図8ステップ(15))。
本発明は、データを取り扱うコンピュータシステムに広く適用することができ、その用途は限定されず多様な業務システムに利用できる。
100 データ管理システム
200 他者の利用端末
210 データ提供リクエスト情報生成機能
220 データ提供リクエスト情報送信機能
230 提供データ受信機能
240 提供データアクセス単位開錠機能
250 データ本体アクセス機能
300 データ管理者コンピュータ
310 データサーバ
320 データ提供リクエスト転送機能
330 データアクセス単位取得機能
340 提供データ転送機能
400 データ所有者の利用端末
410 コード入力手段
420 データ提供リクエスト情報受信機能
430 データアクセス単位開錠機能
440 データ提供選択機能
450 データアクセス単位閉錠機能
460 データ提供機能
470 アプリケーション本体機能
200 他者の利用端末
210 データ提供リクエスト情報生成機能
220 データ提供リクエスト情報送信機能
230 提供データ受信機能
240 提供データアクセス単位開錠機能
250 データ本体アクセス機能
300 データ管理者コンピュータ
310 データサーバ
320 データ提供リクエスト転送機能
330 データアクセス単位取得機能
340 提供データ転送機能
400 データ所有者の利用端末
410 コード入力手段
420 データ提供リクエスト情報受信機能
430 データアクセス単位開錠機能
440 データ提供選択機能
450 データアクセス単位閉錠機能
460 データ提供機能
470 アプリケーション本体機能
Claims (19)
- データ所有者の利用端末と、データ管理者コンピュータと、他者の利用端末の間で、データを取り扱うデータ管理システムであって、
前記データ管理システムで利用される各々の閲覧、出力または編集の単位となるデータアクセス単位であって、暗号化されたデータ本体と、前記データ本体を開くためのオープン暗証コードと、開いた前記データ本体を正常終了して閉じるためのクローズ暗証コードが設定されたデータアクセス単位と、
前記データアクセス単位を複数管理するデータサーバと、
前記データ所有者の利用端末または前記データ管理者コンピュータにおいて、他者の利用端末からの他者によるデータ提供リクエスト情報を受け付けるデータ提供リクエスト情報受信機能と、
前記データサーバから前記データ提供リクエスト情報にかかる前記データアクセス単位を取得するデータアクセス単位取得機能と、
前記オープン暗証コードの入力を受けて、前記データアクセス単位を開き、前記暗号化されたデータ本体を復号し、復号された前記データ本体とするデータアクセス単位開錠機能と、
前記クローズ暗証コードの入力を受けて、前記データ提供にかかる前記データ本体を再暗号化して正常終了して閉じるデータアクセス単位閉錠機能と、
前記他者の利用端末に向けて前記データ本体が暗号化された状態で再暗号化済みの前記データアクセス単位を提供するデータ提供機能を備えたことを特徴とするデータ管理システム。 - 前記データアクセス単位取得機能により取得された前記データアクセス単位における前記暗号化されたデータ本体を暗号化した暗号鍵が第1の暗号鍵であり、前記暗号化されたデータ本体を復号する復号鍵が第1の復号鍵であり、
前記データアクセス単位閉錠機能により前記データ本体を前記再暗号化する暗号鍵が第2の暗号鍵であり、前記再暗号化した前記データ本体を復号する復号鍵が第2の復号鍵であり、
前記第1の暗号鍵と前記第2の暗号鍵が異なるものであり、前記第1の復号鍵と前記第2の復号鍵が異なるものであることを特徴とする請求項1に記載のデータ管理システム。 - 前記データアクセス単位開錠機能が、前記オープン暗証コードおよび前記クローズ暗証コードを書き換える暗証コード書き換え機能を備えたことを特徴とする請求項2に記載のデータ管理システム。
- 前記データアクセス単位取得機能により取得された前記データアクセス単位における、前記オープン暗証コードが、前記第1の復号鍵であり、前記クローズ暗証コードが、前記第1の暗号鍵であり、
前記データアクセス単位閉錠機能により再暗号化された前記データアクセス単位における、前記オープン暗証コードが、前記第2の復号鍵であり、前記クローズ暗証コードが、前記第2の暗号鍵であり、前記暗証コード書き換え機能により、前記オープン暗証コードおよび前記クローズ暗証コードを前記第2の復号鍵および前記第2の暗号鍵に書き換えることを特徴とする請求項3に記載のデータ管理システム。 - 前記データアクセス単位取得機能により取得された前記データアクセス単位における、前記オープン暗証コードが、前記第1の復号鍵であり、前記クローズ暗証コードが、前記第1の暗号鍵であり、
前記データアクセス単位閉錠機能により再暗号化された前記データアクセス単位における、前記オープン暗証コードおよび前記クローズ暗証コードとも、前記第2の暗号鍵であり、前記暗証コード書き換え機能により、前記オープン暗証コードおよび前記クローズ暗証コードを前記第2の暗号鍵に書き換えることを特徴とする請求項3に記載のデータ管理システム。 - 前記第1の暗号鍵は、前記データ所有者が保持する暗号鍵であり、
前記第2の暗号鍵は、前記データ提供リクエスト情報の一部に含まれた、または前記データ提供リクエスト情報に関連付けられて前記他者の利用端末より提供されたものであることを特徴とする請求項4または5に記載のデータ管理システム。 - 前記第1の暗号鍵および前記第1の復号鍵が、あらかじめ登録された前記個人データの所有者である個人の生体情報から生成されたコード情報であり、
前記第2の暗号鍵および前記第2の復号鍵が、前記他者の利用端末の管理運営者の生体情報から生成されたコード情報であることを特徴とする請求項6に記載のデータ管理システム。 - 前記他者の利用端末において、前記データ提供機能を介して提供を受けた前記データアクセス単位の前記再暗号化済みのデータ本体を前記第2の復号鍵で復号する提供データアクセス単位開錠機能と、
復号された前記データ本体にアクセスするデータ本体アクセス機能を備えたことを特徴とする請求項4から7のいずれかに記載のデータ管理システム。 - 前記他者の利用端末における前記データ本体アクセス機能が、復号された前記データ本体の閲覧機能、復号された前記データ本体の編集機能、復号された前記データ本体の他のアプリケーションで利用可能なように取り出すデータ取り出し機能のいずれかまたはそれらの組み合わせであることを特徴とする請求項8に記載のデータ管理システム。
- 前記データ所有者の利用端末が、前記データアクセス単位取得機能と、前記データアクセス単位開錠機能と、前記データアクセス単位閉錠機能と、前記データ提供機能を備え、
前記他者の利用端末が、前記データ提供リクエスト情報を生成して送信するデータ提供リクエスト情報送信機能と、前記提供データアクセス単位開錠機能と、前記提供データアクセス単位閉錠機能と、前記データ本体アクセス機能を備え、
前記データ管理者コンピュータが、前記データサーバと、前記データ提供リクエスト情報受信機能と、前記データアクセス単位取得機能に応じて該当する前記データアクセス単位を送信する機能と、前記データ所有者の利用端末から前記データ提供機能により提供された前記再暗号化済みの前記データアクセス単位を前記他者の利用端末に転送する提供データアクセス単位転送機能を備えた構成であることを特徴とする請求項9に記載のデータ管理システム。 - 前記データ所有者の利用端末において、前記データアクセス単位開錠機能により開いた前記データ本体において、データ提供をするデータ本体部分を選択するデータ提供選択機能を備え、
前記データアクセス単位閉錠機能が、前記データ提供選択機能により選択された前記データ本体部分のみを再暗号化し、
前記データ提供機能が、再暗号化済みの前記データ部分を含む前記データアクセス単位を提供し、
前記データ提供選択機能により選択されなかった部分は前記データアクセス単位閉錠機能または前記データ提供機能において消去、または前記データ提供機能により提供されないことを特徴とする請求項1から10のいずれかに記載のデータ管理システム。 - 前記データ所有者の利用端末の前記データアクセス単位取得機能と、前記データアクセス単位開錠機能と、前記データアクセス単位閉錠機能と、前記データ提供機能が、前記データ所有者が保持するスマートデバイスまたはコンピュータにインストールされているかASPにより利用可能な形態で前記データ管理者コンピュータにアクセス可能になっており、
前記他者の利用端末の前記データ提供リクエスト情報送信機能と、前記提供データアクセス単位開錠機能と、前記提供データアクセス単位開錠機能と、前記データ本体アクセス機能が、前記他者の利用端末のリソースにインストールされているかASPにより利用可能な形態で前記データ管理者コンピュータにアクセス可能なものになっていることを特徴とする請求項10に記載のデータ管理システム。 - 前記データサーバにおいて、各々の前記データアクセス単位が個人単位に個人フォルダにまとめられており、
各々の前記個人フォルダに、前記個人フォルダを開くための個人フォルダオープン暗証コードと、前記個人フォルダを閉じるための個人フォルダクローズ暗証コードが設定されたものであることを特徴とする請求項1から12のいずれかに記載のデータ管理システム。 - 前記データ管理者コンピュータが前記データ所有者からデータ管理の信託を受けた個人情報銀行が運営するサーバシステムであることを特徴とする請求項1から13のいずれかに記載のデータ管理システム。
- 前記データアクセス単位がアプリケーションファイルであることを特徴とする請求項1から14のいずれかに記載のデータ管理システム。
- 前記データアクセス単位がデータベース中のレコードであることを特徴とする請求項1から14のいずれかに記載のデータ管理システム。
- 前記データアクセス単位がデータベース中のレコードのフィールドであることを特徴とする請求項1から14のいずれかに記載のデータ管理システム。
- 前記データが、利用者のクレジット利用ログデータ、利用者の移動および運動を含む行動パターンを示すデータ、利用者個人の身体データ、利用者個人の検査データ、利用者個人の病歴や治療歴を示すデータを記録した電子カルテデータ、利用者個人の薬の処方を示すデータを記録した電子お薬手帳データ、利用者個人の電子保険証データ、利用者個人の行政上の記録情報または資格情報の内容を示す行政関連電子データ、利用者個人が使用した移動体のログデータ、利用者個人が使用した電子機器のログデータ、利用者個人が使用した動産または不動産の有体物か無体物の利用ログデータ、利用者個人が作成、編集したデータのいずれかまたはそれらの組み合わせを含むものであることを特徴とする請求項1から17のいずれかに記載のデータ管理システム。
- データ所有者の利用端末と、データ管理者コンピュータと、他者の利用端末の間で、データを取り扱うデータ管理方法であって、
前記データ管理システムで利用される各々のデータファイルであって、暗号化されたデータ本体と、前記データ本体を開くためのオープン暗証コードと、開いた前記データ本体を正常終了して閉じるためのクローズ暗証コードが設定されたデータファイルと、前記データファイルを複数管理するデータサーバを備えた構成において、
前記データ所有者の利用端末または前記データ管理者コンピュータにおいて、 他者の利用端末からの他者によるデータ提供リクエスト情報を受け付けるデータ提供リクエスト受信と、
前記データサーバから前記データ提供リクエスト情報にかかる前記データファイルを取得するデータファイル取得と、
前記オープン暗証コードの入力を受けて、前記データファイルを開き、前記暗号化されたデータ本体を復号し、復号された前記データ本体とするデータファイル開錠と、
前記クローズ暗証コードの入力を受けて、前記データ提供にかかる前記データ本体を再暗号化して正常終了して閉じるデータファイル閉錠と、
前記他者の利用端末に向けて前記データ本体が暗号化された状態で再暗号化済みの前記データファイルを提供するデータ提供を実行することを特徴とするデータ管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019507887A JP6670976B1 (ja) | 2018-10-22 | 2018-10-24 | データ管理システムおよびデータ管理方法 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018198685 | 2018-10-22 | ||
| JP2018-198685 | 2018-10-22 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2020084718A1 true WO2020084718A1 (ja) | 2020-04-30 |
Family
ID=70331953
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/JP2018/039546 WO2020084718A1 (ja) | 2018-10-22 | 2018-10-24 | データ管理システムおよびデータ管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| WO (1) | WO2020084718A1 (ja) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007207036A (ja) * | 2006-02-02 | 2007-08-16 | Canon Inc | 文書管理方法および装置 |
| JP2009122952A (ja) * | 2007-11-14 | 2009-06-04 | Nippon Telegr & Teleph Corp <Ntt> | 属性情報開示システムおよび属性情報開示方法 |
| WO2018043599A1 (ja) * | 2016-08-30 | 2018-03-08 | ソラミツ株式会社 | 情報共有システム |
| WO2018193624A1 (ja) * | 2017-04-21 | 2018-10-25 | 株式会社Leis | アプリケーションおよびそれを利用する業務システム並びに保険対象サービス支援システム |
-
2018
- 2018-10-24 WO PCT/JP2018/039546 patent/WO2020084718A1/ja active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007207036A (ja) * | 2006-02-02 | 2007-08-16 | Canon Inc | 文書管理方法および装置 |
| JP2009122952A (ja) * | 2007-11-14 | 2009-06-04 | Nippon Telegr & Teleph Corp <Ntt> | 属性情報開示システムおよび属性情報開示方法 |
| WO2018043599A1 (ja) * | 2016-08-30 | 2018-03-08 | ソラミツ株式会社 | 情報共有システム |
| WO2018193624A1 (ja) * | 2017-04-21 | 2018-10-25 | 株式会社Leis | アプリケーションおよびそれを利用する業務システム並びに保険対象サービス支援システム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6572461B1 (ja) | データ管理システムおよびデータ管理方法 | |
| US11663304B2 (en) | Secure information storage and retrieval apparatus and method | |
| US9177169B2 (en) | Secure digital storage | |
| US10860743B2 (en) | Encryption scheme for making secure patient data available to authorized parties | |
| TW510997B (en) | Privacy and security method and system for a world-wide-web site | |
| JP5659246B2 (ja) | 保護個人データ処理および管理システム | |
| US7865735B2 (en) | Method and apparatus for managing personal medical information in a secure manner | |
| US10841286B1 (en) | Apparatus, system and method for secure universal exchange of patient medical records utilizing key encryption technology | |
| KR101528785B1 (ko) | 개인정보 소유자의 동의를 기반으로 하는 개인정보 보호시스템 및 그 방법 | |
| CN114026823A (zh) | 用于处理匿名数据的计算机系统及其操作方法 | |
| US20030074326A1 (en) | Method and apparatus for providing biometric information as a signature to a contract | |
| JP2019521537A (ja) | ユーザプロファイル内にユーザ情報を安全に格納するシステムおよび方法 | |
| US11343330B2 (en) | Secure access to individual information | |
| WO2002006948A1 (en) | Method for protecting the privacy, security, and integrity of sensitive data | |
| JP6569143B1 (ja) | 個人データアプリケーションおよび個人データアプリケーション制御方法 | |
| Neuhaus et al. | Survey on healthcare IT systems: standards, regulations and security | |
| JP6670976B1 (ja) | データ管理システムおよびデータ管理方法 | |
| WO2020084718A1 (ja) | データ管理システムおよびデータ管理方法 | |
| JP4521514B2 (ja) | 医療情報流通システム及びその情報アクセス制御方法、コンピュータプログラム | |
| WO2004038630A1 (en) | Secure method to identify and retrieve patient information | |
| WO2022022844A1 (en) | A method and a system for securing data, especially data of biotechnological laboratories. | |
| KR101047140B1 (ko) | 지문 인식을 이용한 무인 의료 접수 및 정보 제공시스템과 그 방법 | |
| Sharma et al. | Electronic Health Records Using Blockchain | |
| Imamverdiyev | PROBLEMS OF INFORMATION SECURITY IN E-HEALTH |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| ENP | Entry into the national phase |
Ref document number: 2019507887 Country of ref document: JP Kind code of ref document: A |
|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 18937898 Country of ref document: EP Kind code of ref document: A1 |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 18937898 Country of ref document: EP Kind code of ref document: A1 |