WO2020240729A1

WO2020240729A1 - 管理装置、管理方法、検証装置、コンピュータプログラム及び記録媒体

Info

Publication number: WO2020240729A1
Application number: PCT/JP2019/021278
Authority: WO
Inventors: 紗菜美中川; 圭祐梶ヶ谷; 隆夫竹之内; バトニヤマエンケタイワン
Original assignee: 日本電気株式会社
Priority date: 2019-05-29
Filing date: 2019-05-29
Publication date: 2020-12-03
Also published as: JPWO2020240729A1; US20220237320A1; JP7279783B2

Abstract

管理装置は、一の運営主体により運用される管理装置である。当該管理装置は、データ提供者により一の運営主体とは異なる他の運営主体に提供されたデータに関連付けられ、且つ、該データについてのデータ提供者の提供許諾方針を規定するポリシー情報を記憶する記憶手段と、他の運営主体からデータ利用者に提供される一のデータに関連付けられた一のポリシー情報に係る第１のハッシュ値が記録されているログ情報を参照して、記憶手段から、一のポリシー情報に対応するポリシー情報を取得する取得手段と、取得されたポリシー情報の第２のハッシュ値を求めて、第１のハッシュ値と比較する比較手段と、を備える。

Description

管理装置、管理方法、検証装置、コンピュータプログラム及び記録媒体

　本発明は、管理装置、管理方法、コンピュータプログラム及び記録媒体に関し、特に、例えば個人情報を提供するサービス等の情報サービスに係る管理装置、管理方法、検証装置、コンピュータプログラム及び記録媒体の技術分野に関する。

　この種のシステム又はサービスにおいて用いられる技術として、例えば特許文献１乃至３に記載のブロックチェーンに係る技術がある。

特表２０１９－５００６７５号公報特開２０１８－１５２０５０号公報特表２０１２－５３１０００号公報

　ＡＩ（Ａｒｔｉｆｉｃｉａｌ　Ｉｎｔｅｌｌｉｇｅｎｃｅ）やデータマイニング等のデータを収集して、個人に合ったサービスを提供するといったビジネスモデルのサービスが増えてきている。しかしながら、ＧＡＦＡ（Ｇｏｏｇｌｅ（登録商標）、Ａｐｐｌｅ（登録商標）、Ｆａｃｅｂｏｏｋ（登録商標）、Ａｍａｚｏｎ（登録商標））等の、個人から収集したデータを、該個人の知らないところで活用するサービスへの懸念が生じている。このため、個人主導のデータ提供が注目されている。個人主導のデータ提供を実現するサービスとして、例えば、情報銀行サービスやＰＤＳ（Ｐｅｒｓｏｎａｌ　Ｄａｔａ　Ｓｔｏｒｅ）機能を実装したデータ提供サービスが提案されている。

　個人主導のデータ提供に係るサービスでは、データ提供の許諾の決定は、データを提供する個人が行う。一方で、データの利用を希望する利用者からの要求を、個人が一つ一つ確認をして、許諾するか否かを決定することは難しい。そこで、例えば情報銀行サービスやＰＤＳ機能等が仲介者として、個人の代わりに、該個人の提供許諾方針に従って、上記利用者にデータを提供することが多い。しかしながら、各個人の仲介者に対する信頼は、時間の経過とともに変化する可能性がある。

　仲介者は、例えばデータの提供履歴をオープン型のブロックチェーンに登録することにより、情報開示の透明性と、提供履歴の改ざん防止とを担保し、各個人からの信頼を得ようとすることが考えられる。ここで、データの提供許諾方針は、個人情報に該当する可能性があるので、提供許諾方針自体を提供履歴の一部としてブロックチェーンに登録することは難しい。すると、提供履歴がブロックチェーンに登録されたとしても、データの提供が、提供許諾方針どおりに行われたか否かを検証することが極めて困難であるという技術的問題点がある。

　本発明は、上記問題点に鑑みてなされたものであり、データ提供が、提供許諾方針どおりに行われたか否かを検証することができる管理装置、管理方法、検証装置、コンピュータプログラム及び記録媒体を提供することを課題とする。

　本発明の管理装置の一の態様は、一の運営主体により運用される管理装置であって、データ提供者により前記一の運営主体とは異なる他の運営主体に提供されたデータに関連付けられ、且つ、前記データについての前記データ提供者の提供許諾方針を規定するポリシー情報を記憶する記憶手段と、前記他の運営主体からデータ利用者に提供される一のデータに関連付けられた一のポリシー情報に係る第１のハッシュ値が記録されているログ情報を参照して、前記記憶手段から、前記一のポリシー情報に対応するポリシー情報を取得する取得手段と、前記取得されたポリシー情報の第２のハッシュ値を求めて、前記第１のハッシュ値と比較する比較手段と、を備える。

　本発明の管理装置の他の態様は、一の運営主体により運用される管理装置であって、データ提供者により前記一の運営主体とは異なる他の運営主体に提供されたデータに関連付けられ、且つ、前記データについての前記データ提供者の提供許諾方針を規定するポリシー情報を記憶する記憶手段と、前記他の運営主体からデータ利用者に提供される一のデータに関連付けられた一のポリシー情報を示す識別情報を参照して、前記記憶手段から、前記一のポリシー情報に対応するポリシー情報を取得する取得手段と、前記他の運営主体から取得された前記一のポリシー情報に係る第１のハッシュ値と、前記取得されたポリシー情報から求められた第２のハッシュ値とを比較する比較手段と、を備える。

　本発明の管理方法の一態様は、一の運営主体により運用される管理装置における管理方法であって、データ提供者により前記一の運営主体とは異なる他の運営主体に提供されたデータに関連付けられ、且つ、前記データについての前記データ提供者の提供許諾方針を規定するポリシー情報を記憶手段に記憶し、前記他の運営主体からデータ利用者に提供される一のデータに関連付けられた一のポリシー情報に係る第１のハッシュ値が記録されているログ情報を参照して、前記記憶手段から、前記一のポリシー情報に対応するポリシー情報を取得し、前記取得されたポリシー情報の第２のハッシュ値を求めて、前記第１のハッシュ値と比較する。

　本発明の検証装置の一態様は、データ利用者に提供される一のデータに関連付けられ、且つ、前記一のデータを提供したデータ提供者の前記一のデータについての提供許諾方針を規定する一のポリシー情報に係る第１のハッシュ値が記録されているログ情報を参照して、前記一のポリシー情報に対応するポリシー情報を取得する取得手段と、前記取得されたポリシー情報の第２のハッシュ値を求めて、前記第１のハッシュ値と比較する比較手段と、を備える。

　本発明のコンピュータプログラムの一の態様は、コンピュータに、上述した管理方法の一の態様を実行させる。

　本発明の記録媒体の一の態様は、上述したコンピュータプログラムの一の態様が記録された記録媒体である。

　上述した管理装置の一の態様及び他の態様、並びに、管理方法、検証装置、コンピュータプログラム及び記録媒体の夫々の一の態様によれば、情報の提供が、提供許諾方針どおりに行われたか否かを検証することができる。

第１実施形態に係るデータ流通システムの概要を示す図である。第１実施形態に係るデータ流通ログの概念を示す概念図である。第１実施形態に係るポリシー管理装置のハードウェア構成を示すブロック図である。第１実施形態に係るポリシー管理装置のＣＰＵ内で実現される機能ブロックを示すブロック図である。第１実施形態に係るポリシー管理装置の動作を示すフローチャートである。第１実施形態に係る監査装置のＣＰＵ内で実現される機能ブロックを示すブロック図である。第１実施形態の変形例に係るポリシー管理装置のＣＰＵ内で実現される機能ブロックを示すブロック図である。第２実施形態に係るデータ流通システムの動作を示すフローチャートである。

　管理装置、管理方法、検証装置、コンピュータプログラム及び記録媒体に係る実施形態を図面に基づいて説明する。以下では、例えば個人情報等のデータを流通させるデータ流通システム１を用いて、管理装置、管理方法、検証装置、コンピュータプログラム及び記録媒体に係る実施形態を説明する。

　＜第１実施形態＞
　データ流通システム１に係る第１実施形態について図１乃至図６を参照して説明する。

　（データ流通システムの概要）
　第１実施形態に係るデータ流通システム１の概要について図１及び図２を参照して説明する。図１は、第１実施形態に係るデータ流通システムの概要を示す図である。図２は、第１実施形態に係るデータ流通ログの概念を示す概念図である。

　図１において、データ流通システム１は、ポリシー管理サービス１０、ＰＤＳ２０及び監査組織３０を備えて構成されている。ここで、ポリシー管理サービス１０、ＰＤＳ２０及び監査組織３０は、夫々異なる運営主体により運営されている。

　ポリシー管理サービス１０には、ポリシー管理装置１００が設置されている。ＰＤＳ２０には、データ管理装置２００が設置されている。監査組織３０には、監査装置３００が設置されている。尚、ポリシー管理サービス１０には、複数のポリシー管理装置１００が設置されていてよい。ＰＤＳ２０には、複数のデータ管理装置２００が設置されていてよい。監査組織３０には、複数の監査装置３００が設置されていてよい。

　これらの、ポリシー管理装置１００、データ管理装置２００及び監査装置３００は、ネットワークを介して互いに接続されている。ここで、該ネットワークとして、例えばＰｅｅｒ－ｔｏ－Ｐｅｅｒ（Ｐ２Ｐ）ネットワーク等の分散ネットワークが採用される場合、ポリシー管理装置１００、データ管理装置２００及び監査装置３００は、分散ネットワークのノードとして機能してもよいし、機能しなくてもよい。

　ＰＤＳ２０のデータ管理装置２００は、データ提供者（例えば個人、個人に関するデータを提供する事業者等）から、データと、該データについてのデータ提供者の提供許諾方針を規定するポリシー情報とを取得し、該取得されたデータ及びポリシー情報を相互に関連付けてデータベース２４１に格納する。ここで、ポリシー情報は、例えばＰＤＳ２０（或いは、例えば情報銀行サービス等の機関）がデータ提供する際の提供可否に関するポリシーを規定した情報であり、主にデータ提供者個人により決定される。ポリシー（提供許諾方針）の具体例としては、許諾するデータ利用の目的、期間、提供先等が挙げられる。また、特定の会社（例えば、情報漏洩自己等を起こした会社）へのデータ提供の拒否を示すポリシーがあってもよい。尚、データ提供者から取得されるデータは、個人情報に限らず、例えば匿名加工情報等の各種データであってよい。

　ポリシー管理サービス１０のポリシー管理装置１００は、データ提供者から、上記ポリシー情報（即ち、ＰＤＳ２０のデータベース２４１に格納されたポリシー情報と同一のポリシー情報）を取得して、データベース１４１に格納する。ここで、データベース１４１に格納された一のポリシー情報に変更が加えられた場合（即ち、一のポリシー情報が更新された場合）、データベース１４１には、変更前の一のポリシー情報と、変更後の一のポリシー情報とが格納される。

　ＰＤＳ２０のデータ管理装置２００は、データ利用者（典型的には、事業者）からデータ提供の依頼があった場合に、データベース２４１に格納されているポリシー情報に基づいて、該ポリシー情報に関連付けられているデータを、データ利用者に提供する。尚、データ利用者としての事業者には、例えば、医療情報を研究目的に使用する製薬会社、購買情報等をマーケティングに使用する小売業者、等が含まれる。

　ＰＤＳ２０からデータ利用者にデータが提供される際に、データの提供に係るログ情報（以降、適宜“流通ログ”と称する）が生成される。この流通ログは、改ざん耐性があり、且つ、データ提供者が確認可能な分散型台帳技術を用いたデータ管理台帳の一例としてのブロックチェーンに登録される。流通ログが登録されたブロックチェーンは、ポリシー管理サービス１０のポリシー管理装置１００、ＰＤＳ２０のデータ管理装置２００、及び、監査組織３０の監査装置３００が夫々管理する。この結果、ポリシー管理サービス１０、ＰＤＳ２０及び監査組織３０各々は、流通ログが登録されたブロックチェーンを所持することになる（図１の“ログ”アイコン参照）。

　流通ログが登録されたブロックチェーンの各ブロックには、図２（ａ）に示すように、例えばヘッダー、一又は複数の流通ログ等が登録されている。各流通ログは、図２（ｂ）に示すように、例えば、データ利用者に提供されるデータに係るデータＩＤ、及び、該データの内容を入力値として計算されたハッシュ値（データＨａｓｈ）、並びに、該データに関連付けられているポリシー情報に係るポリシーＩＤ、及び、該ポリシー情報の内容を入力値として計算されたハッシュ値（ポリシーＨａｓｈ）が含まれている。尚、流通ログには、上述した情報に限らず、例えばＰＤＳ２０を示す識別情報等の他の情報が含まれていてよい。また、ハッシュ値の求め方には、既存の各種態様を適用可能である。

　ポリシー管理サービス１０のポリシー管理装置１００は、流通ログが登録されたブロックチェーンを参照して、ＰＤＳ２０からデータ利用者に対して、ポリシー情報により規定される提供許諾方針どおりにデータが提供されたか否かを検証する（この検証は、ブロックチェーンの各ブロックの検証とは異なる動作であることに留意されたい）。同様に、監査組織３０の監査装置３００は、ポリシー管理サービス１０からポリシー情報の提供を受けるとともに、流通ログが登録されたブロックチェーンを参照して、ＰＤＳ２０からデータ利用者に対して、ポリシー情報により規定される提供許諾方針どおりにデータが提供されたか否かを検証する。

　（ポリシー管理装置）
　ポリシー管理サービス１０のポリシー管理装置１００のハードウェア構成について図３を参照して説明する。図３は、第１実施形態に係るポリシー管理装置１００のハードウェア構成を示すブロック図である。尚、ポリシー管理サービス１０に複数のポリシー管理装置１００が設置されている場合は、該複数のポリシー管理装置１００全てが、図３に示すハードウェア構成を有していてよい。

　図３において、ポリシー管理装置１００は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）１１、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）１２、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）１３、記憶装置１４、入力装置１５及び出力装置１６を備えている。ＣＰＵ１１、ＲＡＭ１２、ＲＯＭ１３、記憶装置１４、入力装置１５及び出力装置１６は、データバス１７を介して相互に接続されている。尚、ポリシー管理装置１００は、クラウドシステムとして構築されていてよい。この場合、入力装置１５及び出力装置１６は、クラウドシステムに対応した構成を採ってよい。

　ＣＰＵ１１は、コンピュータプログラムを読み込む。例えば、ＣＰＵ１１は、ＲＡＭ１２、ＲＯＭ１３及び記憶装置１４のうちの少なくとも一つが記憶しているコンピュータプログラムを読み込んでもよい。例えば、ＣＰＵ１１は、コンピュータで読み取り可能な記録媒体が記憶しているコンピュータプログラムを、図示しない記録媒体読み取り装置を用いて読み込んでもよい。ＣＰＵ１１は、ネットワークインタフェースを介して、ポリシー管理装置１００の外部に配置される不図示の装置からコンピュータプログラムを取得してもよい（つまり、読み込んでもよい）。ＣＰＵ１１は、読み込んだコンピュータプログラムを実行することで、ＲＡＭ１２、記憶装置１４、入力装置１５及び出力装置１６を制御する。当該実施形態では特に、ＣＰＵ１１が読み込んだコンピュータプログラムを実行すると、ＣＰＵ１１内には、ポリシー情報により規定される提供許諾方針どおりに、ＰＤＳ２０からデータ利用者に対してデータが提供されたか否かを検証するための論理的な機能ブロックが実現される。つまり、ＣＰＵ１１は、上記検証を行うためのコントローラとして機能可能である。尚、ＣＰＵ１１内で実現される機能ブロックの構成については、後に図４を参照しながら詳述する。

　ＲＡＭ１２は、ＣＰＵ１１が実行するコンピュータプログラムを一時的に記憶する。ＲＡＭ１２は、ＣＰＵ１１がコンピュータプログラムを実行している際にＣＰＵ１１が一時的に使用するデータを一時的に記憶する。ＲＡＭ１２は、例えば、Ｄ－ＲＡＭ（Ｄｙｎａｍｉｃ　ＲＡＭ）であってもよい。

　ＲＯＭ１３は、ＣＰＵ１１が実行するコンピュータプログラムを記憶する。ＲＯＭ１３は、その他に固定的なデータを記憶していてもよい。ＲＯＭ１３は、例えば、Ｐ－ＲＯＭ（Ｐｒｏｇｒａｍｍａｂｌｅ　ＲＯＭ）であってもよい。

　記憶装置１４は、ポリシー管理装置１００が長期的に保存するデータを記憶する。記憶装置１４は、ＣＰＵ１１の一時記憶装置として動作してもよい。記憶装置１４は、例えば、ハードディスク装置、光磁気ディスク装置、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）及びディスクアレイ装置のうちの少なくとも一つを含んでいてもよい。

　入力装置１５は、ポリシー管理装置１００のユーザからの入力指示を受け取る装置である。入力装置１５は、例えば、キーボード、マウス及びタッチパネルのうちの少なくとも一つを含んでいてもよい。

　出力装置１６は、ポリシー管理装置１００に関する情報を外部に対して出力する装置である。例えば、出力装置１６は、ポリシー管理装置１００に関する情報を表示可能な表示装置であってもよい。

　次に、ＣＰＵ１１内で実現される機能ブロックの構成について図４を参照して説明する。図４は、ＣＰＵ１１内で実現される機能ブロックを示すブロック図である。

　図４に示すように、ＣＰＵ１１内には、論理的な機能ブロックとして、記憶手段１１１、取得手段１１２、比較手段１１３、報知手段１１４及び提案手段１１５が実現される。

　記憶手段１１１は、データ提供者によりＰＤＳ２０に提供されたデータに関連付けられたポリシー情報を、該データ提供者から取得して、該取得されたポリシー情報を、例えば記憶装置１４内に実現されるデータベース１４１に格納する。

　取得手段１１２、比較手段１１３、報知手段１１４及び登録手段１１６について、図５のフローチャートを参照して説明する。図５のフローチャートにより示す動作は、ポリシー情報により規定される提供許諾方針どおりに、ＰＤＳ２０からデータ利用者に対してデータが提供されたか否かを検証するための動作である。

　図５において、取得手段１１２は、ブロックチェーンに登録されている複数の流通ログのうち、検証対象である一の流通ログに含まれるポリシーＩＤ及びポリシーＨａｓｈを取得する（ステップＳ１０１）。次に、取得手段１１２は、ステップＳ１０１の処理において取得したポリシーＩＤに対応するポリシー情報を、データベース１４１から取得する（ステップＳ１０２）。

　次に、比較手段１１３は、ステップＳ１０２の処理において取得されたポリシー情報から、所定のハッシュ関数を用いて、該ポリシー情報のハッシュ値を計算する（ステップＳ１０３）。次に、比較手段１１３は、ステップＳ１０１の処理において取得されたポリシーＨａｓｈと、ステップＳ１０３の処理において計算されたハッシュ値とを比較して、両者が一致しているか否かを判定する（ステップＳ１０４）。

　ステップＳ１０４の処理において、両者が一致していると判定された場合（ステップＳ１０４：Ｙｅｓ）、当該動作は終了される。なぜなら、この場合、正しいポリシー情報に基づいて（言い換えれば、提供許諾方針どおりに）、ＰＤＳ２０からデータ利用者に対してデータが提供されているからである。尚、この場合、報知手段１１４は、データ提供者に対して、例えば正しいポリシー情報に基づいてデータが提供されている旨を通知してよい。

　他方、ステップＳ１０４の処理において、両者が一致していないと判定された場合（ステップＳ１０４：Ｎｏ）、報知手段１１４は、データ提供者に対して通知する（ステップＳ１０５）。なぜなら、この場合、データ提供者が意図している提供許諾方針（即ち、ポリシー管理サービス１０のデータベース１４１に格納されているポリシー情報により規定される提供許諾方針）とは異なる方針に基づいて、ＰＤＳ２０からデータ利用者に対してデータ提供されているからである。尚、データ提供者への通知は、ステップＳ１０４の処理において両者が一致していないと判定された後直ちに行われてもよいし、予め定められたタイミングで行われてもよい。また、比較的短い期間に、両者が一致していないと複数回判定された場合には、複数回の判定結果がまとめて通知されてもよい。通知の態様については、例えば警告等、既存の各種態様を適用可能である。

　この場合、更に、登録手段１１６は、ステップＳ１０２の処理において取得されたポリシー情報（即ち、正しいポリシー情報）に係るポリシーＩＤと、ステップＳ１０３の処理において計算されたハッシュ値とを含む失効情報（流通ログに相当）を、ブロックチェーンに登録する（ステップＳ１０６）。

　ここで、当該データ流通システム１において、データ利用者が、ＰＤＳ２０からデータ提供を受ける際の動作について説明する。データ利用者から、ＰＤＳ２０に対してデータ提供の要求があった場合、ＰＤＳ２０のデータ管理装置２００は、データベース２４１に格納されているポリシー情報を参照して、データ提供の許諾をするか否かを判定する。データ提供の許諾をすると判定された場合、データ管理装置２００は、データ提供許諾を示すトークンをデータ利用者に発行する。このトークンは、データ利用者に直接送信されてもよいし、例えばブロックチェーンに登録されてもよい（この場合、データ利用者はブロックチェーンからトークンを取得する）。尚、トークンには、データ提供の許諾判定に用いられたポリシー情報に係るポリシーＩＤ等が含まれている。その後、データ利用者からの、データ提供許諾を示すトークンをデータ管理装置２００が受信したことを条件に、データ管理装置２００は、データ利用者にデータを提供する。

　このように構成された当該データ流通システム１において、データ利用者の端末（図示せず）は、トークンをデータ管理装置２００に送信する際に、先ず、ブロックチェーンに、上述したステップＳ１０６の処理に係る失効情報（即ち、正しいポリシー情報に係るポリシーＩＤ及びハッシュ値を含む情報）が、登録されているか否かを確認する。トークンに含まれるポリシーＩＤに対応するポリシーＩＤを含む失効情報がブロックチェーンに登録されている場合、データ利用者の端末は、トークンを失効させる。この結果、失効されたトークンに含まれるポリシーＩＤに対応するポリシー情報に関連付けられているデータの、データ利用者への提供が中止される。

　従って、ステップＳ１０４の処理において、両者が一致していないと判定された場合に（ステップＳ１０４：Ｎｏ）、ステップＳ１０６の処理が行われることによって、ＰＤＳ２０において不適切なポリシー情報の使用が継続されることを防止することができる。

　図４に戻り、提案手段１１５は、データベース１４１に格納されている一又は複数のポリシー情報に基づいて、データ提供者に、データについての新たな提供許諾方針を提案する。具体的には、提案手段１１５は、例えば、項目（年齢、住所、家族構成、身長、体重等の具体的なデータに係る項目、データの利用目的、データの提供期間、提供先、等）毎に、一又は複数のポリシー情報に基づいて提供の程度に係る統計を取り、該統計に基づいて、ある項目について「非提供にしたほうがよい」又は「提供されることが多い」等の提案を、データ提供者に行う。

　（監査装置）
　監査組織３０の監査装置３００のハードウェア構成について図６を参照して説明する。図６は、第１実施形態に係る監査装置３００のハードウェア構成を示すブロック図である。尚、監査組織３０に複数の監査装置３００が設置されている場合は、該複数の監査装置３００全てが、図６に示すハードウェア構成を有していてよい。

　図６において、監査装置３００は、ＣＰＵ３１、ＲＡＭ３２、ＲＯＭ３３、記憶装置３４、入力装置３５及び出力装置３６を備えている。ＣＰＵ３１、ＲＡＭ３２、ＲＯＭ３３、記憶装置３４、入力装置３５及び出力装置３６は、データバス３７を介して相互に接続されている。

　ＣＰＵ３１は、コンピュータプログラムを読み込む。ＣＰＵ３１は、読み込んだコンピュータプログラムを実行することで、ＲＡＭ３２、記憶装置３４、入力装置３５及び出力装置３６を制御する。当該実施形態では特に、ＣＰＵ３１が読み込んだコンピュータプログラムを実行すると、ＣＰＵ３１内には、ポリシー情報により規定される提供許諾方針どおりに、ＰＤＳ２０からデータ利用者に対してデータが提供されたか否かを検証するための論理的な機能ブロックが実現される。つまり、ＣＰＵ３１は、上記検証を行うためのコントローラとして機能可能である。

　図３に示すように、ＣＰＵ３１内には、論理的な機能ブロックとして、取得手段３１１及び比較手段３１２が実現される。取得手段３１１及び比較手段３１２は、夫々、上述した取得手段１１２及び比較手段１１３と同様の機能を有する。即ち、取得手段３１１及び比較手段３１２は、ポリシー情報により規定される提供許諾方針どおりに、ＰＤＳ２０からデータ利用者に対してデータが提供されたか否かを検証するための機能を有する。

　即ち、取得手段３１１は、先ず、ブロックチェーンに登録されている複数の流通ログのうち、検証対象である一の流通ログに含まれるポリシーＩＤ及びポリシーＨａｓｈを取得する。次に、取得手段３１１は、取得されたポリシーＩＤに対応するポリシー情報を、ポリシー管理サービス１０のデータベース１４１から取得する。

　次に、比較手段３１２は、データベース１４１から取得されたポリシー情報から、所定のハッシュ関数を用いて、該ポリシー情報のハッシュ値を計算する。次に、比較手段３１２は、上記一の流通ログから取得されたポリシーＨａｓｈと、計算されたハッシュ値とを比較して、両者が一致しているか否かを判定する。

　比較手段３１２は、判定結果を、出力装置３６を介して出力する。このとき、比較手段３１２は、両者が一致していないと判定された場合だけ、その判定結果を、出力装置３６を介して出力してよい。

　尚、「ポリシー管理サービス１０」及び「ＰＤＳ２０」は、夫々、後述する付記における「一の運営主体」及び「他の運営主体」の一例に相当する。「記憶装置１４」、「取得手段１１２」、「比較手段１１３」、「報知手段１１４」、「提案手段１１５」及び「登録手段１１６」は、夫々、後述する付記における「記憶手段」、「取得手段」、「比較手段」、「報知手段」、「提案手段」及び「登録手段」の一例に相当する。「取得手段３１１」及び「比較手段３１２」は、夫々、後述する付記における「取得手段」及び「比較手段」の他の一例に相当する。

　（技術的効果）
　元となるデータが異なれば、求められるハッシュ値も異なることになる。このため、ハッシュ値は、データの変更又は改ざんの検出に非常に有効である。上述した実施形態に係るデータ流通システム１では、このハッシュ値の性質を利用して、ＰＤＳ２０からデータ利用者にデータが提供される際に適用されたポリシー情報の検証が行われる。

　そして、流通ログに含まれるポリシーＨａｓｈと、ポリシー管理サービス１０のデータベース１４１に格納されている対応するポリシー情報から計算されたハッシュ値とが一致していれば、正しいポリシー情報に従って、データがＰＤＳ２０からデータ利用者に提供されたことが確認できる。他方で、上記ポリシーＨａｓｈと上記計算されたハッシュ値とが不一致であれば、不適切なポリシー情報に従って、データがＰＤＳ２０からデータ利用者に提供されたことが確認できる。つまり、データ流通システム１によれば、ＰＤＳ２０からデータ利用者に対して、ポリシー情報により規定される提供許諾方針どおりにデータが提供されたか否かを検証することができる。

　特に、第１実施形態では、データ流通システム１は、ＰＤＳ２０とは別に、ポリシー情報を管理するポリシー管理サービス１０を備えている。このため、データ流通システム１では、ＰＤＳ２０からポリシー情報により規定される提供許諾方針どおりにデータが提供されたか否かを、データ利用者にデータを提供する主体であるＰＤＳ２０とは独立して検証することができる。従って、データ流通システム１では、ＰＤＳ２０からポリシー情報により規定される提供許諾方針どおりにデータが提供されたか否かを公正に検証することができる。このため、データ流通システム１では、ＰＤＳ２０が意図的に（例えば、悪意をもって又は故意に）ポリシー情報に反してデータを提供している場合においても、ＰＤＳ２０からデータ利用者に対してポリシー情報に反してデータが提供されていることを適切に特定することができる。従って、本来は崩れることがないと想定されるデータ提供者とＰＤＳ２０との間の信頼関係が崩れかねない状況において、本実施形態のデータ流通システム１は特に有益である。

　尚、流通ログを参照して、ポリシー情報により規定される提供許諾方針の具体的内容と、データ利用者に提供されたデータの具体的内容とを比較することにより、ＰＤＳ２０からデータ利用者に対して、ポリシー情報により規定される提供許諾方針どおりにデータが提供されたか否かを検証することもできる。しかしながら、このような検証方法では、データ流通システム１が取り扱うデータが増加した場合に、検証にかかる時間やコストも増加し適切な検証を行うことが難しくなるおそれがある。しかるに、上記ポリシーＨａｓｈと上記計算されたハッシュ値とを比較する構成では、データ流通システム１が取り扱うデータが増加したとしても、適切に検証を行うことができる。

　ところで、監査組織３０は、ＰＤＳ２０の監査をする際に、ポリシー情報の具体的な内容を確認するときがある。他方で、ＰＤＳ２０は、例えば一のポリシー情報が変更された場合に、変更前の一のポリシー情報を保存しない可能性がある。すると、監査組織３０が変更前の一のポリシー情報の具体的な内容を確認しようとしても、ＰＤＳ２０から変更前の一のポリシー情報を入手することはできない可能性がある。しかるに本実施形態では、ポリシー管理サービス１０のデータベース１４１に、変更前の一のポリシー情報が格納されている。このため、監査組織３０がＰＤＳ２０から変更前の一のポリシー情報を入手することができない場合であっても、監査組織３０は、ポリシー管理サービス１０から変更前の一のポリシー情報を入手することができる。この結果、監査組織３０は、変更前の一のポリシー情報の具体的な内容を確認することができる。

　＜変形例＞
　図７に示すように、ポリシー管理サービス１０の一のポリシー管理装置１００のＣＰＵ１１内には、取得手段１１２及び比較手段１１３が実現される一方で、取得手段１１２及び比較手段１１３以外の機能ブロックが実現されなくてもよい。尚、ポリシー管理サービス１０に複数のポリシー管理装置１００が設置されている場合、上記一のポリシー管理装置１００とは異なる他のポリシー管理装置１００の記憶装置１４内にデータベース１４１が実現されてよい。

　＜第２実施形態＞
　データ流通システム１に係る第２実施形態について図８を参照して説明する。上述した第１実施形態では、ブロックチェーンに登録された流通ログを参照して、ＰＤＳ２０からデータ利用者に対して、ポリシー情報により規定される提供許諾方針どおりにデータが提供されたか否かが検証される。これに対して、第２実施形態では、ＰＤＳ２０からデータ利用者にデータが提供される際に、ポリシー情報により規定される提供許諾方針どおりにデータが提供されるか否かが検証される。第２実施形態について、第１実施形態と重複する説明を省略するとともに、図面上における共通箇所には同一の符号を付して示し、基本的に異なる点について、図８を参照して説明する。

　ＰＤＳ２０のデータ管理装置２００は、データ利用者からデータ提供の依頼があった場合、該依頼に応じて提供しようとするデータに関連付けられているポリシー情報に係るポリシーＩＤ及びポリシーＨａｓｈを、ポリシー管理サービス１０に送信する（ステップＳ２１１）。

　ポリシー管理サービス１０のポリシー管理装置１００の取得手段１１２（図４参照）は、受信したポリシーＩＤに対応するポリシー情報を、データベース１４１から取得する（ステップＳ２２１）。

　次に、ポリシー管理装置１００の比較手段１１３（図４参照）は、データベース１４１から取得されたポリシー情報から、所定のハッシュ関数を用いて、該ポリシー情報のハッシュ値を計算する（ステップＳ２２２）。次に、比較手段１１３は、上記ポリシーＨａｓｈと、計算されたハッシュ値とを比較する（ステップＳ２２３）。

　次に、ポリシー管理装置１００は、ステップＳ２３３の比較結果を、ＰＤＳ２０のデータ管理装置２００に送信する（ステップＳ２２４）。このとき、上記ポリシーＨａｓｈと上記計算されたハッシュ値とが一致していない場合、ポリシー管理装置１００の報知手段１１４は、データ提供者に対して、例えばデータ提供者の意図とは異なるポリシー情報が用いられている旨を通知してよい。尚、データ提供者への通知は、ステップＳ２２３の処理において、上記ポリシーＨａｓｈと上記計算されたハッシュ値とが一致していないことが判明した後直ちに行われてもよいし、予め定められたタイミングで行われてもよい。また、比較的短い期間に、両者が一致していないことが複数回判明した場合には、複数回の結果がまとめて通知されてもよい。通知の態様については、例えば警告等、既存の各種態様を適用可能である。

　データ管理装置２００は、比較結果により上記ポリシーＨａｓｈと上記計算されたハッシュ値とが一致していることが示されている場合、データ提供可能であると判定して（ステップＳ２１２：Ｙｅｓ）、データ利用者に、ポリシー情報に基づいてデータを提供する（ステップＳ２１３）。

　他方で、データ管理装置２００は、比較結果により上記ポリシーＨａｓｈと上記計算されたハッシュ値とが不一致であることが示されている場合、データ提供可能ではないと判定して（ステップＳ２１２：Ｎｏ）、当該動作を終了する。この場合、データ管理装置２００は、データ利用者に対して、データを提供できない旨を報知してよい。

　（技術的効果）
　本実施形態では、ＰＤＳ２０からデータ利用者にデータが提供される前に、適用されるポリシー情報の検証が行われる。このため、本実施形態によれば特に、不適切なポリシー情報に従って、データ利用者にデータが提供されることを未然に防ぐことができる。

　＜第３実施形態＞
　データ流通システム１に係る第３実施形態について説明する。第３実施形態では、ブロックチェーンに登録された流通ログではなく、ブロックチェーンに登録される前の流通ログを参照して、ＰＤＳ２０からデータ利用者にデータが提供される際に、ポリシー情報により規定される提供許諾方針どおりにデータが提供されるか否かが検証される。第３実施形態について、第１実施形態と重複する説明を省略するとともに、図面上における共通箇所には同一の符号を付して示し、基本的に異なる点について説明する。

　本実施形態では、ポリシー管理サービス１０のポリシー管理装置１００だけが、ブロックを作成し、該作成されたブロックをブロックチェーンに繋げる権利を有する。つまり、本実施形態では、ポリシー管理装置１００だけがマイナー（採掘者）である。

　本実施形態では、ＰＤＳ２０からデータ利用者にデータが提供される際に生成される流通ログが、ブロックチェーンに登録されたことを条件に、又は、流通ログが一のブロックに登録された後、該一のブロックの後に所定数のブロックが繋がったことを条件に、ＰＤＳ２０からデータ利用者に実際にデータが提供されるものとする。

　上記生成された流通ログは、ブロックチェーンに登録される前に、ポリシー管理装置１００の、例えば記憶装置１４（図３参照）内に構築されたメモリープールに一旦格納される。ポリシー管理装置１００の取得手段１１２（図４参照）は、メモリープール内の検証対象の一の流通ログに含まれるポリシーＩＤに対応するポリシー情報を、データベース１４１から取得する。

　次に、ポリシー管理装置１００の比較手段１１３（図４参照）は、データベース１４１から取得されたポリシー情報から、所定のハッシュ関数を用いて、該ポリシー情報のハッシュ値を計算する。次に、比較手段１１３は、上記一の流通ログに含まれるポリシーＨａｓｈと、計算されたハッシュ値とを比較して、両者が一致しているか否かを判定する。

　両者が一致していると判定された場合、ポリシー管理装置１００は、上記一の流通ログをブロックチェーンに登録する。他方、両者が一致していないと判定された場合、ポリシー管理装置１００は、上記一の流通ログを、例えば除外すること等により、該一の流通ログがブロックチェーンに登録されないようにする。この場合、ポリシー管理装置１００の報知手段１１４（図４参照）は、データ提供者に対して警告を発する。

　（技術的効果）
　本実施形態でも、上述した第２実施形態と同様に、ＰＤＳ２０からデータ利用者にデータが提供される前に、適用されるポリシー情報の検証が行われる。このため、本実施形態によれば特に、不適切なポリシー情報に従って、データ利用者にデータが提供されることを未然に防ぐことができる。

　＜付記＞
　以上説明した実施形態に関して、更に以下の付記を開示する。

　（付記１）
　付記１に記載の管理装置は、一の運営主体により運用される管理装置であって、データ提供者により前記一の運営主体とは異なる他の運営主体に提供されたデータに関連付けられ、且つ、前記データについての前記データ提供者の提供許諾方針を規定するポリシー情報を記憶する記憶手段と、前記他の運営主体からデータ利用者に提供される一のデータに関連付けられた一のポリシー情報に係る第１のハッシュ値が記録されているログ情報を参照して、前記記憶手段から、前記一のポリシー情報に対応するポリシー情報を取得する取得手段と、前記取得されたポリシー情報の第２のハッシュ値を求めて、前記第１のハッシュ値と比較する比較手段と、を備えることを特徴とする管理装置である。

　（付記２）
　付記２に記載の管理装置は、前記第２のハッシュ値と、前記第１のハッシュ値とが異なる場合に、前記一のポリシー情報に関連付けられた前記一のデータを提供したデータ提供者に対して通知する報知手段を備えることを特徴とする付記１に記載の管理装置である。

　（付記３）
　付記３に記載の管理装置は、前記ログ情報は分散型台帳技術を用いたデータ管理台帳に登録されていることを特徴とする付記２に記載の管理装置である。

　（付記４）
　付記４に記載の管理装置は、前記第２のハッシュ値と、前記第１のハッシュ値とが異なる場合に、前記第２のハッシュ値を前記データ管理台帳に登録する登録手段を備えることを特徴とする付記３に記載の管理装置である。

　（付記５）
　付記５に記載の管理装置は、前記記憶手段に記憶されている一又は複数のポリシー情報に基づいて、前記データ提供者に新たな提供許諾方針を提案する提案手段を備えることを特徴とする付記１に記載の管理装置である。

　（付記６）
　付記６に記載の管理方法は、一の運営主体により運用される管理装置における管理方法であって、データ提供者により前記一の運営主体とは異なる他の運営主体に提供されたデータに関連付けられ、且つ、前記データについての前記データ提供者の提供許諾方針を規定するポリシー情報を記憶手段に記憶し、前記他の運営主体からデータ利用者に提供される一のデータに関連付けられた一のポリシー情報に係る第１のハッシュ値が記録されているログ情報を参照して、前記記憶手段から、前記一のポリシー情報に対応するポリシー情報を取得し、前記取得されたポリシー情報の第２のハッシュ値を求めて、前記第１のハッシュ値と比較することを特徴とする管理方法である。

　（付記７）
　付記７に記載の管理装置は、一の運営主体により運用される管理装置であって、データ提供者により前記一の運営主体とは異なる他の運営主体に提供されたデータに関連付けられ、且つ、前記データについての前記データ提供者の提供許諾方針を規定するポリシー情報を記憶する記憶手段と、前記他の運営主体からデータ利用者に提供される一のデータに関連付けられた一のポリシー情報を示す識別情報を参照して、前記記憶手段から、前記一のポリシー情報に対応するポリシー情報を取得する取得手段と、前記他の運営主体から取得された前記一のポリシー情報に係る第１のハッシュ値と、前記取得されたポリシー情報から求められた第２のハッシュ値とを比較する比較手段と、を備えることを特徴とする管理装置である。

　（付記８）
　付記８に記載の検証装置は、データ利用者に提供される一のデータに関連付けられ、且つ、前記一のデータを提供したデータ提供者の前記一のデータについての提供許諾方針を規定する一のポリシー情報に係る第１のハッシュ値が記録されているログ情報を参照して、前記一のポリシー情報に対応するポリシー情報を取得する取得手段と、前記取得されたポリシー情報の第２のハッシュ値を求めて、前記第１のハッシュ値と比較する比較手段と、を備えることを特徴とする検証装置である。

　（付記９）
　付記９に記載の検証装置は、前記取得手段は、前記一のデータを前記データ利用者に提供する運営主体とは異なる運営主体により運用される管理装置から、前記対応するポリシー情報を取得することを特徴とする付記８に記載の検証装置である。

　（付記１０）
　付記１０に記載のコンピュータプログラムは、コンピュータに、付記６に記載の管理方法を実行させるコンピュータプログラムである。

　（付記１１）
　付記１１に記載の記録媒体は、付記１０に記載のコンピュータプログラムが記録された記録媒体である。

　本発明は、請求の範囲及び明細書全体から読み取るこのできる発明の要旨又は思想に反しない範囲で適宜変更可能であり、そのような変更を伴う管理装置、管理方法、検証装置、コンピュータプログラム及び記録媒体もまた本発明の技術思想に含まれる。

　１…データ流通システム、１０…ポリシー管理サービス、１１、３１…ＣＰＵ、１２、３２…ＲＡＭ、１３、３３…ＲＯＭ、１４、３４…記憶装置、１５、３５…入力装置、１６、３６…出力装置、２０…ＰＤＳ、３０…監査組織、１００…ポリシー管理装置、１１１…記憶手段、１１２、３１１…取得手段、１１３、３１２…比較手段、１１４…報知手段、１１５…提案手段、１１６…登録手段、１４１、２４１…データベース、２００…データ管理装置、３００…監査装置

Claims

　一の運営主体により運用される管理装置であって、
　データ提供者により前記一の運営主体とは異なる他の運営主体に提供されたデータに関連付けられ、且つ、前記データについての前記データ提供者の提供許諾方針を規定するポリシー情報を記憶する記憶手段と、
　前記他の運営主体からデータ利用者に提供される一のデータに関連付けられた一のポリシー情報に係る第１のハッシュ値が記録されているログ情報を参照して、前記記憶手段から、前記一のポリシー情報に対応するポリシー情報を取得する取得手段と、
　前記取得されたポリシー情報の第２のハッシュ値を求めて、前記第１のハッシュ値と比較する比較手段と、
　を備えることを特徴とする管理装置。
　前記第２のハッシュ値と、前記第２のハッシュ値とが異なる場合に、前記一のポリシー情報に関連付けられた前記一のデータを提供したデータ提供者に対して通知する報知手段を備えることを特徴とする請求項１に記載の管理装置。
　前記ログ情報は分散型台帳技術を用いたデータ管理台帳に登録されていることを特徴とする請求項１に記載の管理装置。
　前記第２のハッシュ値と、前記第１のハッシュ値とが異なる場合に、前記第２のハッシュ値を前記データ管理台帳に登録する登録手段を備えることを特徴とする請求項３に記載の管理装置。
　前記記憶手段に記憶されている一又は複数のポリシー情報に基づいて、前記データ提供者に新たな提供許諾方針を提案する提案手段を備えることを特徴とする請求項１に記載の管理装置。
　一の運営主体により運用される管理装置における管理方法であって、
　データ提供者により前記一の運営主体とは異なる他の運営主体に提供されたデータに関連付けられ、且つ、前記データについての前記データ提供者の提供許諾方針を規定するポリシー情報を記憶手段に記憶し、
　前記他の運営主体からデータ利用者に提供される一のデータに関連付けられた一のポリシー情報に係る第１のハッシュ値が記録されているログ情報を参照して、前記記憶手段から、前記一のポリシー情報に対応するポリシー情報を取得し、
　前記取得されたポリシー情報の第２のハッシュ値を求めて、前記第１のハッシュ値と比較する
　ことを特徴とする管理方法。
　一の運営主体により運用される管理装置であって、
　データ提供者により前記一の運営主体とは異なる他の運営主体に提供されたデータに関連付けられ、且つ、前記データについての前記データ提供者の提供許諾方針を規定するポリシー情報を記憶する記憶手段と、
　前記他の運営主体からデータ利用者に提供される一のデータに関連付けられた一のポリシー情報を示す識別情報を参照して、前記記憶手段から、前記一のポリシー情報に対応するポリシー情報を取得する取得手段と、
　前記他の運営主体から取得された前記一のポリシー情報に係る第１のハッシュ値と、前記取得されたポリシー情報から求められた第２のハッシュ値とを比較する比較手段と、
　を備えることを特徴とする管理装置。
　データ利用者に提供される一のデータに関連付けられ、且つ、前記一のデータを提供したデータ提供者の前記一のデータについての提供許諾方針を規定する一のポリシー情報に係る第１のハッシュ値が記録されているログ情報を参照して、前記一のポリシー情報に対応するポリシー情報を取得する取得手段と、
　前記取得されたポリシー情報の第２のハッシュ値を求めて、前記第１のハッシュ値と比較する比較手段と、
　を備えることを特徴とする検証装置。
　前記取得手段は、前記一のデータを前記データ利用者に提供する運営主体とは異なる運営主体により運用される管理装置から、前記対応するポリシー情報を取得することを特徴とする請求項８に記載の検証装置。
　コンピュータに、請求項６に記載の管理方法を実行させるコンピュータプログラム。
　請求項１０に記載のコンピュータプログラムが記録された記録媒体。