WO2020183584A1

WO2020183584A1 - データ管理装置、データ管理システム、データ管理方法及びプログラム

Info

Publication number: WO2020183584A1
Application number: PCT/JP2019/009794
Authority: WO
Inventors: 僚柏木; 督那須
Original assignee: 三菱電機株式会社
Priority date: 2019-03-11
Filing date: 2019-03-11
Publication date: 2020-09-17
Also published as: JP6821092B1; JPWO2020183584A1; CN113557690A; US20220045993A1; CN113557690B; US11363003B2

Abstract

データ管理装置（１０）は、送信対象データに挿入されるダミーデータの挿入位置を決定する挿入位置決定部（１２１）と、送信対象データの挿入位置にダミーデータを挿入してダミー挿入後データを作成するダミーデータ挿入部（１２２）と、挿入位置を示すデータを公開鍵（ＰＵＢａ）により暗号化して挿入位置暗号データを作成する挿入位置暗号化部（１２３）と、ダミー挿入後データと挿入位置暗号データとを送信する配送部（１１０）と、を備える。

Description

データ管理装置、データ管理システム、データ管理方法及びプログラム

　本発明は、データ管理装置、データ管理システム、データ管理方法及びプログラムに関する。

　データの送受信において、ダミーデータの挿入により送信対象データを秘匿する技術が知られている。ダミーデータの挿入位置を何らかの手段により送信者と受信者との間でのみ共有し、ダミーデータが挿入されたデータを送信者が受信者に送信することにより、送信対象データを受信者以外の第三者から秘匿できる。挿入位置を知る受信者はダミーデータが挿入されたデータから送信対象データを復元することができるが、挿入位置を知らない第三者はダミーデータが挿入されたデータから送信対象データを復元することが困難だからである。

　上記の技術は、装置同士のデータ通信及び装置内の機能部同士のデータ通信のいずれにも適用できる。例えば、装置間の通信路が第三者に盗聴されうる場合、装置同士のデータ通信に上記の技術を適用することにより、送信対象データを第三者から秘匿できる。また、例えば、当該装置が、第三者が作成したプログラムを実行可能な装置である場合、悪意のあるプログラムが実行されることにより第三者に機能部間の通信路が盗聴されることが考えられる。このような場合にも、機能部同士のデータ通信に上記の技術を適用することにより、送信対象データを第三者から秘匿できる。

　特許文献１には、送信対象データにダミーデータを挿入し、ダミーデータ挿入後のデータをさらに共通鍵により暗号化することで、送信対象データを秘匿する通信システムが開示されている。特許文献１の通信システムにおいて、ダミーデータの挿入位置及び暗号化に使用される共通鍵は、送信側の第１通信装置と受信側の第２通信装置とで共通の機能を有する共通データ生成部が生成する共通データに基づいて決定される。共通データ生成部により、第１通信装置と第２通信装置とで同一の共通データが生成されるので、挿入位置及び共通鍵を第１通信装置と第２通信装置、つまり送信者と受信者とで共有できる。

特開２０１１－２５９４３９号公報

　しかし、特許文献１の通信システムには、共通データ生成部の機能を第三者に知られると、データの秘匿性が失われるという問題がある。例えば、第三者は、上記の第１通信装置又は第２通信装置に該当する製品を入手して解析することにより、共通データ生成部の機能を知ることができる。共通データ生成部の機能を知った第三者は、第１通信装置と第２通信装置との間で使用される共通データを容易に知ることができる。そして、共通データを知った第三者は、共通データに基づいて決定される挿入位置及び共通鍵も知ることができる。したがって、第三者は、ダミーデータが挿入されたデータから送信対象データを容易に復元できる。

　本発明の目的は、上記の事情に鑑み、ダミーデータが挿入されたデータから送信対象データを復元することが第三者には困難なデータ管理装置等を提供することにある。

　上記の目的を達成するため、本発明に係るデータ管理装置は、送信対象データに挿入されるダミーデータの挿入位置を決定する挿入位置決定手段と、前記送信対象データの前記挿入位置に前記ダミーデータを挿入してダミー挿入後データを作成するダミーデータ挿入手段と、前記挿入位置を示すデータを公開鍵により暗号化して挿入位置暗号データを作成する挿入位置暗号化手段と、前記ダミー挿入後データと前記挿入位置暗号データとを送信する送信手段と、を備える。

　本発明によれば、ダミーデータの挿入位置を公開鍵により暗号化するので、当該公開鍵に対応する秘密鍵を有さない第三者には送信対象データの復元が困難となる。

本発明の実施の形態１に係るデータ管理システムの構成図本発明の実施の形態１に係るデータ管理システムにおける送信対象データの一例を示す図本発明の実施の形態１に係るデータ管理装置の機能的構成図本発明の実施の形態１に係るデータ管理装置のデータ処理部の機能的構成図本発明の実施の形態１に係るデータ管理装置のハードウェア構成の一例を示す図本発明の実施の形態１に係るデータ管理装置によるダミーデータ挿入の一例を示す図本発明の実施の形態１に係るデータ管理装置によるダミーデータ挿入の一例を示す図本発明の実施の形態１に係るデータ管理装置によるダミーデータ挿入の一例を示す図本発明の実施の形態１に係るデータ管理装置によるダミーデータ挿入の一例を示す図本発明の実施の形態１に係るデータ管理装置によるデータ送信の動作の一例を示すフローチャート本発明の実施の形態１に係るデータ処理部によるデータ処理の動作の一例を示すフローチャート本発明の実施の形態２に係るデータ管理システムの構成図本発明の実施の形態２に係るデータ管理装置の機能的構成図本発明の実施の形態２に係るデータ処理装置の機能的構成図本発明の実施の形態３に係るデータ管理システムの構成図本発明の実施の形態３に係るデータ管理装置の機能的構成図本発明の実施の形態３に係るデータ管理装置のデータ処理部の機能的構成図

　以下、図面を参照しながら、本発明に係るデータ管理装置をデータ管理システムに適用した実施の形態を説明する。各図面においては、同一又は同等の部分に同一の符号を付す。

（実施の形態１）
　図１を参照しながら、実施の形態１に係るデータ管理システム１を説明する。データ管理システム１は、工場ＦＣの生産現場ＰＳに存在する複数のセンサ２０から検知データを収集し、収集したデータを処理するシステムである。データ管理システム１は、複数のセンサ２０から検知データを収集して処理するデータ管理装置１０と、状態、環境等を検知してデータ管理装置１０に検知データを送信するセンサ２０とを備える。

　データ管理装置１０は、例えば工場ＦＣの管理室ＣＲに設置された産業用コンピュータである。データ管理装置１０は、工場ネットワークＦＮを介して各センサ２０と通信し、各センサ２０から検知データを受信する。データ管理装置１０は、各センサ２０から受信した検知データを処理する。データ管理装置１０の機能的構成については後述する。データ管理装置１０は、本発明に係るデータ管理装置の一例である。

　データ管理装置１０において、検知データを処理するとき、検知データに基づいて送信対象データが作成され、当該送信対象データが秘匿化されて後述のデータ処理部３０に送信され、秘匿化された送信対象データがデータ処理部３０にて復元され処理される。秘匿化の詳細は後述する。実施の形態１では、理解を容易にするため、データ処理部３０へのデータ送信以外の通信では、データの秘匿化はされないものとする。

　なお、ここでいう「送信対象データ」の名称は、当該データを受信するデータ処理部３０を主体とした場合には「受信対象データ」の名称となることも考えられる。しかし、以下の説明では「送信対象データ」と統一して記載する。

　センサ２０は、例えば工場ＦＣの生産現場ＰＳに設置された産業用機器に設けられたセンサである。センサ２０は、例えば産業用機器に設けられた電圧センサ、電流センサ、回転数センサ等である。センサ２０は、電圧、電流、回転数等、産業用機器の状態を継続的に検知し、工場ネットワークＦＮを介して検知データを継続的にデータ管理装置１０に送信する。以下の説明では、各センサ２０は産業用機器に設けられ、電圧データ、電流データ及び回転数データを検知データとしてデータ管理装置１０に送信する。

　次に、図２を参照しながら、データ管理装置１０が作成する送信対象データの一例を説明する。ここでいう送信対象データとは、秘匿化されていない生データのことである。

　図２に示すように、送信対象データは、行と列とで表現された時系列データを含む。図２に示す例では、行ごとに、電圧、電流及び回転数のデータである検知データが時刻と関連付けられている。つまり、送信対象データは、行と列とで表現され各行が時間と関連付けられた時系列データである。「時刻」ではなく「時間」と表現したのは、時刻以外にも、年月日を含む日時、予め定められた時刻からの経過時間、ある時刻から別のある時刻までの期間等、時間に関するパラメータであれば時刻以外のパラメータを検知データと関連付けてもよいからである。

　なお、後述するダミーデータ挿入のことを考慮すると、時系列データの行数はある程度ランダムであることが好ましい。時系列データの行数が一定の場合、挿入されたダミーデータの数が推測されるおそれがあり、時系列データそのものの推測も容易になるおそれがあるからである。以下の説明では、時系列データの行数はある程度ランダムであるものとする。

　送信対象データは、上述の時系列データのほかに、データの作成日時、データ管理装置１０に関する情報、後述のデータ処理部３０が行うべき処理に関する情報などを示すメタデータを含んでもよい。

　次に、図３を参照しながら、データ管理装置１０の機能的構成を説明する。データ管理装置１０は、各センサ２０から検知データを収集する収集部１００と、データの配送を統括する配送部１１０と、送信対象データを秘匿化データに変換する変換部１２０と、秘匿化データを受信して送信対象データを復元し、送信対象データを処理するデータ処理部３０と、データ処理部３０の公開鍵ＰＵＢａを保存する記憶部１３０と、データ処理部３０の処理結果を表示する表示部１４０と、を備える。

　図３では、データ処理部３０及び収集部１００が１つずつ示されているが、複数であってもよい。データ処理部３０及び収集部１００は、データ管理装置１０の他の機能部と異なり、データ管理装置１０の製造者ではない作成者により作成される場合が想定されうる。例えば、当該作成者が作成したプログラムをデータ管理装置１０が実行することにより、当該作成者により作成されたデータ処理部３０あるいは収集部１００の機能が実現される。以下の説明では、データ処理部３０がデータ管理装置１０の製造者ではない作成者により作成されているものとする。

　理解を容易にするため、データ管理装置１０の各構成の詳細を説明する前に、データ処理部３０の概要を説明する。公開鍵ＰＵＢａについても併せて説明する。データ処理部３０は、配送部１１０から秘匿化データを受信する。データ処理部３０は、秘匿化データから送信対象データを復元する。データ処理部３０は、送信対象データを処理する。データの処理として、例えば、送信対象データに含まれる電圧、電流、回転数等のデータに基づいて、工場ＦＣの生産現場ＰＳに設置された産業用機器に異常が生じているか否かを診断することが挙げられる。以下の説明では、データ処理部３０は、データの処理として、送信対象データに含まれる電圧、電流及び回転数のデータに基づいて産業用機器の診断を行うものとする。データ処理部３０は、処理結果データを配送部１１０に送信する。データ処理部３０は、本発明に係るデータ処理手段の一例である。

　データ処理部３０の作成者は、例えば、予め公開鍵と当該公開鍵に対応する秘密鍵とを作成し、公開鍵を公開鍵ＰＵＢａとしてデータ管理装置１０の製造者に配布し、秘密鍵を後述の秘密鍵ＳＥＣａとしてデータ処理部３０に保存する。公開鍵及び秘密鍵は、例えばRSA暗号方式により作成される。

　以下、データ管理装置１０の各機能部の詳細を説明する。収集部１００は、各センサ２０から検知データを継続的に受信し、収集した時刻と関連付けて配送部１１０に出力する。収集部１００は、例えば、工場ネットワーク用のネットワークインタフェースにより実現される。

　配送部１１０は、収集部１００から、収集時刻と関連付けられた検知データを継続的に取得する。配送部１１０は、予め定められた数以上の検知データを取得したら、それらの検知データをまとめて図２に示すような送信対象データを作成する。配送部１１０は、送信対象データを変換部１２０に出力し、秘匿化データを変換部１２０から取得する。配送部１１０は、秘匿化データをデータ処理部３０に送信する。配送部１１０は、処理結果データをデータ処理部３０から受信する。配送部１１０は、処理結果データを表示部１４０に出力し、表示部１４０に処理結果を表示させる。配送部１１０は、本発明に係る送信手段の一例である。

　変換部１２０は、配送部１１０から送信対象データを取得して秘匿化データに変換し、秘匿化データを配送部１１０に出力する。より具体的には、変換部１２０は、送信対象データにダミーデータを挿入してダミー挿入後データを作成し、挿入位置を示すデータをデータ処理部３０の公開鍵ＰＵＢａで暗号化して挿入位置暗号データを作成し、ダミー挿入後データと挿入位置暗号データとを結合することにより送信対象データを秘匿化データに変換する。つまり、変換部１２０は、送信対象データにダミーデータを挿入し、挿入位置を示すデータを暗号化することで送信対象データを秘匿化する。

　変換部１２０は、ダミーデータの挿入位置を決定する挿入位置決定部１２１と、送信対象データにダミーデータを挿入して挿入後データを作成するダミーデータ挿入部１２２と、挿入位置を示すデータを暗号化して挿入位置暗号データを作成する挿入位置暗号化部１２３と、を備える。

　挿入位置決定部１２１は、送信対象データに挿入されるダミーデータの挿入位置を決定する。挿入位置の決定の詳細は後述する。挿入位置を第三者に推測されにくくするために、挿入位置決定部１２１は、予め定められた送信回数ごとに挿入位置を決定することが好ましい。特に、毎回の送信ごとに挿入位置を変更することが好ましい。挿入位置決定部１２１は、例えば送信ごとにランダムに挿入位置を決定する。ただし、ランダムに挿入位置を決定した結果として、偶然挿入位置が一致してもかまわない。また、３回ごと、５回ごとなど、毎回ではなく２以上の予め定められた送信回数ごとに挿入位置を決定してもよい。また、「予め定められた送信回数」は、常に一定でなくてもよい。例えば、現時点での「予め定められた送信回数」が３であり、３回送信して挿入位置を決定したら、新たな「予め定められた送信回数」を別の回数としてもよい。挿入位置決定部１２１は、本発明に係る挿入位置決定手段の一例である。

　ダミーデータ挿入部１２２は、挿入位置決定部１２１により決定された挿入位置にダミーデータを挿入してダミー挿入後データを作成する。ダミーデータの挿入の詳細は後述する。ダミーデータ挿入部１２２は、本発明に係るダミーデータ挿入手段の一例である。

　挿入位置暗号化部１２３は、挿入位置決定部１２１により決定された挿入位置を示すデータを作成する。挿入位置暗号化部１２３は、挿入位置を示すデータを、記憶部１３０に保存されたデータ処理部３０の公開鍵ＰＵＢａにより暗号化して挿入位置暗号データを作成する。挿入位置暗号化部１２３は、本発明に係る挿入位置暗号化手段の一例である。

　変換部１２０は、ダミーデータ挿入部１２２により作成されたダミー挿入後データと、挿入位置暗号化部１２３により作成された挿入位置暗号データとを結合して秘匿化データを作成し、配送部１１０に出力する。

　記憶部１３０は、データ処理部３０の公開鍵ＰＵＢａを保存する。上述のとおり、公開鍵ＰＵＢａは、例えば予めデータ処理部３０の作成者により配布される。

　表示部１４０は、配送部１１０から処理結果データを取得し、当該データに基づいて処理結果を表示する。上述のとおり、本説明において、データ処理部３０は診断を行うので、表示部１４０は、診断結果を表示する。表示部１４０は、例えば液晶ディスプレイ、電光掲示板等の表示器により実現される。

　図４を参照しながら、データ処理部３０の機能的構成を説明する。データ処理部３０は、配送部１１０から秘匿化データを受信して送信対象データに変換する変換部３１０と、秘密鍵ＳＥＣａを保存する記憶部３２０と、送信対象データを処理する処理実行部３３０と、を備える。上述のとおり、秘密鍵ＳＥＣａは、公開鍵ＰＵＢａに対応する秘密鍵である。公開鍵ＰＵＢａにより暗号化されたデータは、秘密鍵ＳＥＣａにより復号できる。

　変換部３１０は、配送部１１０から秘匿化データを受信して送信対象データに変換し、送信対象データを処理実行部３３０に出力する。より具体的には、変換部３１０は、秘匿化データに含まれる挿入位置暗号データを秘密鍵ＳＥＣａにより復号して挿入位置を示すデータを取得し、秘匿化データに含まれるダミー挿入後データから挿入位置に挿入されたダミーデータを除去して送信対象データを復元することにより、秘匿化データを送信対象データに変換する。変換部３１０は、本発明に係る受信手段の一例である。

　変換部３１０は、挿入位置暗号データから挿入位置を示すデータを復号する挿入位置復号部３１１と、ダミー挿入後データからダミーデータを除去して送信対象データを復元するデータ復元部３１２と、を備える。

　挿入位置復号部３１１は、秘匿化データに含まれる挿入位置暗号データを、記憶部３２０に保存されている秘密鍵ＳＥＣａにより復号して挿入位置を示すデータを取得する。上述のとおり、挿入位置暗号データは、挿入位置を示すデータをデータ処理部３０の公開鍵ＰＵＢａにより暗号化したものである。したがって、挿入位置暗号データは、公開鍵ＰＵＢａに対応する秘密鍵ＳＥＣａにより復号できる。挿入位置復号部３１１は、本発明に係る挿入位置復号手段の一例である。

　データ復元部３１２は、挿入位置復号部３１１が復号した挿入位置を示すデータを参照し、当該挿入位置に挿入されたダミーデータをダミー挿入後データから除去することにより、送信対象データを復元する。データ復元部３１２は、本発明に係るデータ復元手段の一例である。

　変換部３１０は、データ復元部３１２により復元された送信対象データを処理実行部３３０に出力する。

　記憶部３２０は、公開鍵ＰＵＢａに対応する秘密鍵ＳＥＣａを保存する。秘密鍵ＳＥＣａ及び公開鍵ＰＵＢａについては上述のとおりである。

　処理実行部３３０は、送信対象データを変換部３１０から取得して処理する。上述のとおり、データ処理部３０は処理として診断を行うので、処理実行部３３０は送信対象データに基づく診断を行う。処理実行部３３０は、例えば、送信対象データが示す過去５分間の電圧、電流及び回転数の変化に基づいて、工場ＦＣに設置された産業用機器に異常があるか否かを診断する。処理実行部３３０は、処理結果データを配送部１１０に送信する。

　上述のとおり、データ処理部３０は処理として診断を行うので、処理結果は診断結果となる。診断結果は、例えば、異常があるか否かのみを示すものでもよいし、異常があるか否かのみでなく、電圧の変化についての情報、検知データと閾値との比較についての情報等、診断の根拠となる情報を併せて示すものでもよい。

　次に、データ管理装置１０のハードウェア構成の一例について、図５を参照しながら説明する。図５に示すデータ管理装置１０は、例えばパーソナルコンピュータ、マイクロコントローラなどのコンピュータにより実現される。

　データ管理装置１０は、バス１０００を介して互いに接続された、プロセッサ１００１と、メモリ１００２と、インタフェース１００３と、二次記憶装置１００４と、を備える。

　プロセッサ１００１は、例えばCPU（Central Processing Unit: 中央演算装置）である。プロセッサ１００１が、二次記憶装置１００４に記憶された動作プログラムをメモリ１００２に読み込んで実行することにより、データ管理装置１０の各機能が実現される。

　メモリ１００２は、例えば、RAM（Random Access Memory）により構成される主記憶装置である。メモリ１００２は、プロセッサ１００１が二次記憶装置１００４から読み込んだ動作プログラムを記憶する。また、メモリ１００２は、プロセッサ１００１が動作プログラムを実行する際のワークメモリとして機能する。

　インタフェース１００３は、例えばシリアルポート、USB（Universal Serial Bus）ポート、ネットワークインタフェースなどのI/O（Input/Output）インタフェースである。インタフェース１００３により、収集部１００の機能が実現される。

　二次記憶装置１００４は、例えば、フラッシュメモリ、HDD（Hard Disk Drive）、SSD（Solid State Drive）である。二次記憶装置１００４は、プロセッサ１００１が実行する動作プログラムを記憶する。二次記憶装置１００４により、記憶部１３０及び記憶部３２０の機能が実現される。

　次に、図２、図６、図７、図８及び図９を参照しながら、挿入位置の決定及びダミーデータの挿入を説明する。図２に示すような、送信対象データに含まれる行と列とで表現される時系列データに対してダミーデータの挿入位置を決定する方法として、例えば以下の４つが考えられる。なお、図６、図７、図８及び図９において、斜線で示されたデータがダミーデータである。
（ａ）図６に示すように、ランダムにダミーデータの挿入位置を決定する。
（ｂ）図７に示すように、行数が増加するようにダミーデータの挿入位置を決定する。
（ｃ）図８に示すように、列数が増加するようにダミーデータの挿入位置を決定する。
（ｄ）図９に示すように、（ｂ）と（ｃ）とを組み合わせる。

　（ａ）のランダムに挿入位置を決定する方法の場合、図６に示すように、時刻ごとにデータの列数がバラバラになっている。そのため、以下に説明するように、どのデータがダミーデータであるかを第三者に推測されやすいという問題がある。したがって、（ａ）の方法よりは（ｂ）、（ｃ）及び（ｄ）の方法のほうが好ましい。

　例えば、図６に示すデータのうち、列数が最小の行に着目すると、当該行にはダミーデータが挿入されていないことがわかる。したがって、ダミーデータの挿入位置を知らない第三者であっても、列数が最小の行にはダミーデータが挿入されていないと考え、列数が最小でない行に挿入されているダミーデータの個数を推測することが考えられる。

　さらに、列ごとに検知データの種類が定められていることから、当該第三者は、どのデータがダミーデータであるかも推測することが考えられる。例えば、図６に示す上２行、つまり時刻１３：０２：０３の行（以下、この段落において「第１行」という）と時刻１３：０２：０５の行（以下、この段落において「第２行」という）に着目する。第２行は列数が３で最小となっているので、第三者は、第２行にはダミーデータが挿入されていないと推測する。第１行は列数が５なので、第三者は、ダミーデータが２つ挿入されていると推測する。第２行の「電流」のデータ「１３１．７」と第１行の「回転数」の「１３０．５」とは近似するため、第三者は、第１行の「回転数」は本来「電流」となるべきデータであり、第１行の「電流」のデータがダミーデータであると推測する。同様に、第三者は、第１行の末尾のデータもダミーデータであると推測する。

　上記のように、行と列とで表現される時系列データにダミーデータを挿入する場合、ランダムにダミーデータの挿入位置を決定すると、どのデータがダミーデータであるかを推測されるおそれがある。

　（ｂ）の行数が増加するように挿入位置を決定する方法では、図７に示すように、ある時刻の行と別のある時刻の行との間に、行全体がダミーデータであるダミー行を追加する。上述のとおり、ダミー行が挿入されていない時系列データの行数はある程度ランダムであるため、ダミー行の挿入後もダミー行の数を推測されにくい。また、ダミー行のデータ形式は、ダミー行ではない行のデータ形式と同一であり、（ａ）の場合のように、列データの違いからダミーデータを推測されることもない。したがって、どの行がダミー行であるかも推測されにくい。なお、挿入されるダミー行の数及びダミー行の挿入位置は、予め定められた送信回数ごとにランダムに決定されることが好ましい。

　データ管理システム１のような、工場の生産現場のデータを処理するシステムにおいては、処理対象となるデータの時間的な推移が重要となる。したがって、（ｂ）の方法によりダミー行を挿入してデータの時間的な推移を偽装することにより、第三者は、ダミー行を含むデータをそのまま取得しても、当該データを利活用することができない。したがって、送信対象データに含まれる時系列データにダミー行を挿入することで、送信対象データを秘匿できる。

　（ｃ）の列数が増加するように挿入位置を決定する方法では、図８に示すように、ある列と別のある列との間に、列全体がダミーデータであるダミー列を追加する。例えば、図８に示すように、ダミー列として「抵抗」の列及び「温度」の列を追加し、当該列の各行のダミーデータとして、第三者にダミーデータとして推測されにくい値を設定する。このようにダミー列を挿入することにより、実際にデータの処理に使用する列を第三者が知らない限り、第三者はダミー列が挿入されたデータの利活用をしづらくなる。なお、挿入されるダミー列の数及びダミー列の挿入位置は、ダミー行の場合とは逆に、一定であることが好ましい。ダミー列の挿入位置が送信ごとに変化すると、第三者にとっては逆にダミー列でない列を推測しやすくなるからである。例えば、「抵抗」の列及び「温度」の列が挿入されたデータと「抵抗」の列のみ挿入されたデータとから、「温度」の列がダミー列であることが第三者に推測される。また、「抵抗」の列の挿入位置が変化すると「抵抗」の列がダミー列であることが第三者に推測される。

　図９に示すように、（ｂ）と（ｃ）とを組み合わせた方法により、送信対象データの秘匿性をさらに向上することができる。

　なお、上述のとおり、送信対象データはメタデータを含んでもよいので、当該メタデータにもダミーデータを挿入してもよい。当該メタデータは行と列とで表現される時系列データではないため、当該メタデータにダミーデータを挿入する場合は、ランダムにダミーデータの挿入位置が決定される。

　次に、図１０を参照しながら、データ管理装置１０によるデータ処理部３０へのデータ送信の動作の一例を説明する。図１０に示す動作は、例えばデータ管理装置１０の起動時に開始される。

　データ管理装置１０の収集部１００は、各センサ２０から検知データを収集して収集時刻と関連付ける（ステップＳ１０１）。データ管理装置１０の配送部１１０は、収集部１００から検知データを取得して送信対象データを作成する（ステップＳ１０２）。

　データ管理装置１０の変換部１２０の挿入位置決定部１２１は、送信対象データに挿入されるダミーデータの挿入位置を決定する（ステップＳ１０３）。変換部１２０のダミーデータ挿入部１２２は、ステップＳ１０３にて決定された挿入位置にダミーデータを挿入してダミー挿入後データを作成する（ステップＳ１０４）。変換部１２０の挿入位置暗号化部１２３は、挿入位置を示すデータを記憶部１３０に保存されたデータ処理部３０の公開鍵ＰＵＢａにより暗号化して挿入位置暗号データを作成する（ステップＳ１０５）。

　変換部１２０は、ステップＳ１０４にて作成されたダミー挿入後データと、ステップＳ１０５にて作成された挿入位置暗号データとを結合して秘匿化データを作成する（ステップＳ１０６）。配送部１１０は、ステップＳ１０６にて作成された秘匿化データを、データ処理部３０に送信する（ステップＳ１０７）。そして、データ管理装置１０は、ステップＳ１０１からの動作の流れを繰り返す。

　次に、図１１を参照しながら、データ処理部３０によるデータ処理の動作の一例を説明する。図１１に示す動作は、例えばデータ管理装置１０の起動時に開始される。

　データ処理部３０の変換部３１０は、配送部１１０が送信する秘匿化データの受信を待ち受ける（ステップＳ２０１）。

　秘匿化データを受信したら、データ処理部３０の変換部３１０の挿入位置復号部３１１は、秘匿化データに含まれる挿入位置暗号データを記憶部３２０に保存されている秘密鍵ＳＥＣａにより復号し、挿入位置を示すデータを取得する（ステップＳ２０２）。

　変換部３１０のデータ復元部３１２は、ステップＳ２０２にて取得された挿入位置を示すデータを参照し、秘匿化データに含まれるダミー挿入後データからダミーデータを除去して送信対象データを復元する（ステップＳ２０３）。変換部３１０の処理実行部３３０は、ステップＳ２０３にて復元された送信対象データを処理する（ステップＳ２０４）。

　処理実行部３３０は、送信対象データを処理して得られた処理結果データを配送部１１０に送信する（ステップＳ２０５）。そしてデータ処理部３０は、ステップＳ２０１からの動作の流れを繰り返す。

　以上、実施の形態１に係るデータ管理システム１を説明した。データ管理システム１のデータ管理装置１０によれば、ダミーデータの挿入位置を示すデータをデータ処理部３０の公開鍵ＰＵＢａで暗号化するので、公開鍵ＰＵＢａに対応する秘密鍵ＳＥＣａを有さない第三者には送信対象データの復元が困難となる。

　また、データ管理装置１０において、ダミーデータの挿入位置を予め定められた送信回数ごとに決定することにより、第三者には送信対象データの復元がより困難となる。特に、挿入位置を毎回の送信ごとに変更することにより、第三者には送信対象データの復元が困難となる。

　また、データ管理装置１０において、送信対象データに含まれる、行と列とで表現され各行が時間と関連付けられた時系列データにダミーデータを挿入する際に、行数が増加するように挿入位置を決定することにより、第三者には送信対象データの復元がより困難となる。同様に、列数が増加するように挿入位置を決定することにより、第三者には送信対象データの復元がより困難となる。

　また、データ管理装置１０では、ダミー挿入後データに対しては公開鍵ＰＵＢａによる暗号化を行わず、挿入位置を示すデータに対してのみ公開鍵ＰＵＢａによる暗号化をするので、データ全体を暗号化する場合よりも処理負荷が小さい。

（実施の形態２）
　図１２、図１３及び図１４を参照しながら、実施の形態２に係るデータ管理システム１Ａを説明する。データ管理システム１Ａは、データ管理装置１０Ａとセンサ２０とデータ処理装置３０Ａとを備える。データ管理システム１Ａは、データ管理装置１０Ａが、インターネットＮＴを介してデータ処理装置３０Ａに秘匿化データを送信することによりデータの処理を行う点が実施の形態１と異なる。端的に言えば、データ管理システム１Ａは、実施の形態１におけるデータ管理装置１０のデータ処理部３０を、外部の装置であるデータ処理装置３０Ａに置き換えたデータ管理システムである。データ管理システム１Ａは、本発明に係るデータ管理システムの一例である。

　なお、実施の形態２において、公開鍵ＰＵＢａはデータ処理装置３０Ａの公開鍵であり、秘密鍵ＳＥＣａは公開鍵ＰＵＢａに対応するデータ処理装置３０Ａの秘密鍵である。

　図１３に示すように、データ管理装置１０Ａは、データ処理装置３０Ａと通信する通信部１５０Ａをさらに備える点と、配送部１１０Ａが通信部１５０Ａを介してデータ処理装置３０Ａと通信する点が実施の形態１と異なる。

　図１４に示すように、データ処理装置３０Ａは、概ね実施の形態１のデータ処理部３０と同様の構成を備えるが、データ管理装置１０Ａと通信する通信部３００Ａをさらに備える点と、変換部３１０Ａ及び処理実行部３３０Ａが通信部３００Ａを介してデータ管理装置１０Ａと通信する点が実施の形態１と異なる。データ処理装置３０Ａは、本発明に係るデータ管理装置の一例である。

　なお、データ処理装置３０Ａは、データ管理装置１０と同様に、例えば図５に示すハードウェア構成により実現される。

　データ管理システム１Ａを上述の構成とすることにより、装置間通信であるデータ管理装置１０Ａからデータ処理装置３０Ａへの通信により送信される送信対象データを、実施の形態１と同様に秘匿して送信することができる。動作及び効果については実施の形態１と同様であるため、説明を省略する。

（実施の形態３）
　図１５、図１６及び図１７を参照しながら、実施の形態３に係るデータ管理システム１Ｂを説明する。データ管理システム１Ｂでは、データ処理部３０Ｂから配送部１１０Ｂに送信される処理結果データも秘匿される。秘匿の方法は実施の形態１と同様である。以下、当該秘匿されたデータを秘匿化結果データという。データ管理システム１Ｂの構成は、データ管理装置１０Ｂに実施の形態１のデータ管理装置１０と異なる点があるほかは、実施の形態１のデータ管理システム１と同様である。

　次に、図１６を参照しながら、データ管理装置１０Ｂの機能的構成のうち、実施の形態１と異なる点を説明する。ただし、データ処理部３０Ｂについては後述する。

　配送部１１０Ｂは、データ処理部３０Ｂから秘匿化結果データを受信し、変換部１２０Ｂによって処理結果データに変換して表示部１４０に出力する機能を有する点が実施の形態１と異なる。変換部１２０Ｂは、配送部１１０Ｂから取得した秘匿化結果データを、処理結果データに変換して配送部１１０Ｂに出力する機能を有する点が実施の形態１と異なる。記憶部１３０Ｂは、データ管理装置１０Ｂの秘密鍵ＳＥＣｂをさらに保存する点が実施の形態１と異なる。

　データ管理装置１０Ｂの秘密鍵ＳＥＣｂとは、データ管理装置１０Ｂの製造者により作成されデータ管理装置１０Ｂと関連付けられた秘密鍵である。また、後述する、データ管理装置１０Ｂの公開鍵ＰＵＢｂとは、秘密鍵ＳＥＣｂに対応する公開鍵である。公開鍵ＰＵＢｂは、例えばデータ管理装置１０Ｂの製造者により、データ処理部３０Ｂの作成者に予め配布される。

　変換部１２０Ｂは、秘匿化結果データを変換するために、挿入位置復号部１２４Ｂとデータ復元部１２５Ｂとをさらに備える点も実施の形態１と異なる。挿入位置復号部１２４Ｂの機能は、記憶部１３０Ｂに保存された秘密鍵ＳＥＣｂにより復号するという点以外は、実施の形態１のデータ処理部３０の挿入位置復号部３１１と同様である。データ復元部１２５Ｂの機能は、実施の形態１のデータ処理部３０のデータ復元部３１２の機能と同様である。

　次に、図１７を参照しながら、データ処理部３０Ｂの機能的構成のうち、実施の形態１と異なる点を説明する。

　処理実行部３３０Ｂは、処理結果データを配送部１１０Ｂに送信するのではなく変換部３１０Ｂに出力する点が実施の形態１と異なる。変換部３１０Ｂは、処理実行部３３０Ｂから取得した処理結果データを秘匿化結果データに変換して配送部１１０Ｂに送信する機能を有する点が実施の形態１と異なる。記憶部３２０Ｂは、データ管理装置１０Ｂの公開鍵ＰＵＢｂをさらに保存する点が実施の形態１と異なる。

　変換部３１０Ｂは、処理結果データを秘匿化結果データに変換するために、挿入位置決定部３１３Ｂと、ダミーデータ挿入部３１４Ｂと、挿入位置暗号化部３１５Ｂとをさらに備える点も実施の形態１と異なる。挿入位置決定部３１３Ｂ及びダミーデータ挿入部３１４Ｂの機能は、実施の形態１のデータ管理装置１０の挿入位置決定部１２１及びダミーデータ挿入部１２２と概ね同様である。ただし、処理結果データは時系列データではないことが通常であるため、上述の（ａ）の方法により挿入位置を決定してもよい。挿入位置暗号化部３１５Ｂの機能は、記憶部３２０Ｂに保存された公開鍵ＰＵＢｂにより挿入位置を示すデータを暗号化するという点以外は、実施の形態１のデータ管理装置１０の挿入位置暗号化部１２３と同様である。

　秘匿化結果データの送信という観点からみると、変換部３１０Ｂは本発明に係る送信手段の一例であり、配送部１１０Ｂは本発明に係る受信手段の一例である。この観点からみると、処理結果データが送信対象データに相当する。

　データ管理装置１０Ｂを上述の構成とすることにより、データ処理部３０Ｂから配送部１１０Ｂに送信される処理結果データについても、送信対象データと同様に秘匿して送信することができる。動作及び効果については実施の形態１と同様であるため、説明を省略する。

（変形例）
　上記の実施の形態では、挿入位置を示すデータを公開鍵にて暗号化する点を除いて、暗号鍵を用いたデータの暗号化は行われていない。しかし、上述の秘匿化に加えて、データを共通鍵により暗号化してもよい。

　例えば、データ管理装置１０の変換部１２０がダミー挿入後データを共通鍵により暗号化し、データ処理部３０の変換部３１０が暗号化されたダミー挿入後データを共通鍵により復号してもよい。変換部１２０及び変換部３１０は、予め何らかの手段により共通鍵を共有する。例えば、配送部１１０とデータ処理部３０との初めての通信時に、変換部１２０が共通鍵を生成し公開鍵ＰＵＢａにより暗号化して配送部１１０がデータ処理部３０に送信し、データ処理部３０の変換部３１０が暗号化された共通鍵を秘密鍵ＳＥＣａにより復号することで、共通鍵が共有される。この場合において、変換部１２０は、本発明に係る共通鍵暗号化手段の一例である。

　共通鍵による暗号化及び復号は、公開鍵による暗号化及び秘密鍵による復号よりも処理負荷が小さいため、例えばダミー挿入後データ全体を暗号化しても処理負荷が問題とはなりにくい。そのため、処理負荷をあまり大きくせずに送信対象データの秘匿性を向上できる。また、送信対象データにはダミーデータの挿入及び挿入位置の暗号化による秘匿も行われているので、共通鍵が漏洩したとしても秘密鍵ＳＥＣａが漏洩しない限り送信対象データを秘匿できる。逆に、秘密鍵ＳＥＣａが漏洩して第三者がダミーデータの挿入位置を知りうる状態になっても、共通鍵が漏洩しなければ第三者は復号してダミー挿入後データを取得することができず、送信対象データを復元することができない。

　上記の実施の形態では、配送部１１０とデータ処理部３０との間で通信されるデータを秘匿したが、各センサ２０からデータ管理装置１０に送信される検知データを同様に秘匿してもよい。この形態においては、センサ２０は本発明に係るデータ管理装置の一例である。

　上記の実施の形態では、配送部１１０は、ダミー挿入後データと挿入位置暗号データとを結合して送信したが、ダミー挿入後データ及び挿入位置暗号データは別々に送信されてもよい。例えば、配送部１１０とデータ処理部３０との通信路を２つ設け、一方の通信路によってダミー挿入後データを送信し、他方の通信路によって挿入位置暗号データを送信してもよい。２つの通信路を使用することで、例えば一方の通信路が第三者に盗聴された場合の秘匿性が向上する。

　上記の実施の形態１では、データ管理装置１０は、収集部１００により収集された検知データに基づいて送信対象データを作成し、当該送信対象データを変換部１２０により秘匿化データに変換してデータ処理部３０に送信した。収集部１００により収集された検知データのみならず、例えば、二次記憶装置１００４に保存されたデータベース等に格納されているデータについても同様に秘匿化して送信してもよい。例えば、データ処理部３０が実行すべきデータをデータベースに保存し、配送部１１０がデータベースを参照して、データ処理部３０に送信する場合を考える。この場合、データベースにデータが蓄積される毎に、新たに蓄積されたデータを二次記憶装置１００４から読み出してデータ処理部３０に送信する必要がある。この場合において、新たに蓄積されたデータを送信対象データとし、変換部１２０により当該送信対象データを秘匿化することが考えられる。

　上記の実施の形態３は、実施の形態１を変形し、データ処理部３０Ｂから配送部１１０Ｂへ秘匿化結果データを送信するものとした。同様に、実施の形態２についても、データ処理装置３０Ａからデータ管理装置１０Ａへ秘匿化結果データを送信する形態に変形することができる。

　図５に示すハードウェア構成においては、データ管理装置１０が二次記憶装置１００４を備えている。しかし、これに限らず、二次記憶装置１００４をデータ管理装置１０の外部に設け、インタフェース１００３を介してデータ管理装置１０と二次記憶装置１００４とが接続される形態としてもよい。この形態においては、USBフラッシュドライブ、メモリカードなどのリムーバブルメディアも二次記憶装置１００４として使用可能である。

　また、図５に示すハードウェア構成に代えて、ASIC（Application Specific Integrated Circuit: 特定用途向け集積回路）、FPGA（Field Programmable Gate Array）などを用いた専用回路によりデータ管理装置１０を構成してもよい。また、図５に示すハードウェア構成において、データ管理装置１０の機能の一部を、例えばインタフェース１００３に接続された専用回路により実現してもよい。

　データ管理装置１０で用いられるプログラムは、CD-ROM（Compact Disc Read Only Memory）、DVD（Digital Versatile Disc）、USBフラッシュドライブ、メモリカード、HDD等のコンピュータ読み取り可能な記録媒体に格納して配布することが可能である。そして、かかるプログラムを特定の又は汎用のコンピュータにインストールすることによって、当該コンピュータをデータ管理装置１０として機能させることが可能である。

　また、上述のプログラムをインターネット上の他のサーバが有する記憶装置に格納しておき、当該サーバから上述のプログラムがダウンロードされるようにしてもよい。

　本発明は、本発明の広義の精神と範囲を逸脱することなく、様々な実施の形態及び変形が可能とされるものである。また、上述した実施の形態は、本発明を説明するためのものであり、本発明の範囲を限定するものではない。つまり、本発明の範囲は、実施の形態ではなく、請求の範囲によって示される。そして、請求の範囲内及びそれと同等の発明の意義の範囲内で施される様々な変形が、本発明の範囲内とみなされる。

　本発明は、データ通信に好適である。

　１，１Ａ，１Ｂ　データ管理システム、１０，１０Ａ，１０Ｂ　データ管理装置、２０　センサ、３０，３０Ｂ　データ処理部、３０Ａ　データ処理装置、１００　収集部、１１０，１１０Ａ，１１０Ｂ　配送部、１２０，１２０Ｂ　変換部、１２１　挿入位置決定部、１２２　ダミーデータ挿入部、１２３　挿入位置暗号化部、１２４Ｂ　挿入位置復号部、１２５Ｂ　データ復元部、１３０，１３０Ｂ　記憶部、１４０　表示部、１５０Ａ　通信部、３００Ａ　通信部、３１０，３１０Ａ，３１０Ｂ　変換部、３１１　挿入位置復号部、３１２　データ復元部、３１３Ｂ　挿入位置決定部、３１４Ｂ　ダミーデータ挿入部、３１５Ｂ　挿入位置暗号化部、３２０，３２０Ｂ　記憶部、３３０，３３０Ａ，３３０Ｂ　処理実行部、１０００　バス、１００１　プロセッサ、１００２　メモリ、１００３　インタフェース、１００４　二次記憶装置、ＣＲ　管理室、ＦＣ　工場、ＦＮ　工場ネットワーク、ＮＴ　インターネット、ＰＳ　生産現場、ＰＵＢａ，ＰＵＢｂ　公開鍵、ＳＥＣａ，ＳＥＣｂ　秘密鍵。

Claims

　送信対象データに挿入されるダミーデータの挿入位置を決定する挿入位置決定手段と、
　前記送信対象データの前記挿入位置に前記ダミーデータを挿入してダミー挿入後データを作成するダミーデータ挿入手段と、
　前記挿入位置を示すデータを公開鍵により暗号化して挿入位置暗号データを作成する挿入位置暗号化手段と、
　前記ダミー挿入後データと前記挿入位置暗号データとを送信する送信手段と、
　を備えるデータ管理装置。
　前記挿入位置決定手段は、予め定められた送信回数ごとに前記挿入位置を決定する、
　請求項１に記載のデータ管理装置。
　前記送信対象データは、行と列とで表現され各行が時間と関連付けられた時系列データを含み、
　前記挿入位置決定手段は、前記時系列データの行数が増加するように前記挿入位置を決定する、
　請求項１又は２に記載のデータ管理装置。
　前記送信対象データは、行と列とで表現され各行が時間と関連付けられた時系列データを含み、
　前記挿入位置決定手段は、前記時系列データの列数が増加するように前記挿入位置を決定する、
　請求項１又は２に記載のデータ管理装置。
　前記ダミー挿入後データを共通鍵により暗号化する共通鍵暗号化手段をさらに備え、
　前記送信手段は、前記共通鍵暗号化手段により暗号化された前記ダミー挿入後データと、前記挿入位置暗号データとを送信する、
　請求項１から４のいずれか１項に記載のデータ管理装置。
　前記送信手段から前記ダミー挿入後データと前記挿入位置暗号データとを受信する受信手段と、
　前記公開鍵に対応する秘密鍵により前記挿入位置暗号データを復号して前記挿入位置を示すデータを取得する挿入位置復号手段と、
　前記ダミー挿入後データから前記挿入位置に挿入された前記ダミーデータを除去して前記送信対象データを復元するデータ復元手段と、をさらに備える、
　請求項１から５のいずれか１項に記載のデータ管理装置。
　前記送信手段は、前記公開鍵に対応する秘密鍵を有するデータ処理手段に前記ダミー挿入後データと前記挿入位置暗号データとを送信する、
　請求項１から５のいずれか１項に記載のデータ管理装置。
　受信対象データにダミーデータが挿入されたダミー挿入後データと、前記受信対象データに挿入された前記ダミーデータの挿入位置を示すデータを公開鍵によって暗号化することにより作成された挿入位置暗号データと、を受信する受信手段と、
　前記公開鍵に対応する秘密鍵により前記挿入位置暗号データを復号して前記挿入位置を示すデータを取得する挿入位置復号手段と、
　前記ダミー挿入後データから前記挿入位置に挿入された前記ダミーデータを除去して前記受信対象データを復元するデータ復元手段と、
　を備えるデータ管理装置。
　第１のデータ管理装置と第２のデータ管理装置とを備え、
　前記第１のデータ管理装置は、
　送信対象データに挿入されるダミーデータの挿入位置を決定する挿入位置決定手段と、
　前記送信対象データの前記挿入位置に前記ダミーデータを挿入してダミー挿入後データを作成するダミーデータ挿入手段と、
　前記挿入位置を示すデータを公開鍵により暗号化して挿入位置暗号データを作成する挿入位置暗号化手段と、
　前記ダミー挿入後データと前記挿入位置暗号データとを前記第２のデータ管理装置に送信する送信手段と、を備え、
　前記第２のデータ管理装置は、
　前記第１のデータ管理装置が送信した前記ダミー挿入後データと前記挿入位置暗号データとを受信する受信手段と、
　前記公開鍵に対応する秘密鍵により前記挿入位置暗号データを復号して前記挿入位置を示すデータを取得する挿入位置復号手段と、
　前記ダミー挿入後データから前記挿入位置に挿入された前記ダミーデータを除去して前記送信対象データを復元するデータ復元手段と、を備える、
　データ管理システム。
　送信対象データに挿入されるダミーデータの挿入位置を決定し、
　前記送信対象データの前記挿入位置に前記ダミーデータを挿入してダミー挿入後データを作成し、
　前記挿入位置を示すデータを公開鍵により暗号化して挿入位置暗号データを作成し、
　前記ダミー挿入後データと前記挿入位置暗号データとを送信する、
　データ管理方法。
　受信対象データにダミーデータが挿入されたダミー挿入後データと、前記受信対象データに挿入された前記ダミーデータの挿入位置を示すデータを公開鍵によって暗号化することにより作成された挿入位置暗号データと、を受信し、
　前記公開鍵に対応する秘密鍵により前記挿入位置暗号データを復号して前記挿入位置を示すデータを取得し、
　前記ダミー挿入後データから前記挿入位置に挿入された前記ダミーデータを除去して前記受信対象データを復元する、
　データ管理方法。
　コンピュータを、
　送信対象データに挿入されるダミーデータの挿入位置を決定する挿入位置決定手段、
　前記送信対象データの前記挿入位置に前記ダミーデータを挿入してダミー挿入後データを作成するダミーデータ挿入手段、
　前記挿入位置を示すデータを公開鍵により暗号化して挿入位置暗号データを作成する挿入位置暗号化手段、
　前記ダミー挿入後データと前記挿入位置暗号データとを送信する送信手段、
　として機能させるプログラム。
　コンピュータを、
　受信対象データにダミーデータが挿入されたダミー挿入後データと、前記受信対象データに挿入された前記ダミーデータの挿入位置を示すデータを公開鍵によって暗号化することにより作成された挿入位置暗号データと、を受信する受信手段、
　前記公開鍵に対応する秘密鍵により前記挿入位置暗号データを復号して前記挿入位置を示すデータを取得する挿入位置復号手段、
　前記ダミー挿入後データから前記挿入位置に挿入された前記ダミーデータを除去して前記受信対象データを復元するデータ復元手段、
　として機能させるプログラム。