WO2021124498A1

WO2021124498A1 - 保証制御方法、情報処理装置および保証制御プログラム

Info

Publication number: WO2021124498A1
Application number: PCT/JP2019/049715
Authority: WO
Inventors: 坂本　拓也
Original assignee: 富士通株式会社
Priority date: 2019-12-18
Filing date: 2019-12-18
Publication date: 2021-06-24
Also published as: US20220271949A1; JPWO2021124498A1; EP4080817B1; JP7222436B2; EP4080817A4; EP4080817A1

Abstract

ユーザ装置（１）は、複数の属性情報を含む証明書（２１０）を取得し、複数の属性情報のハッシュ値をデータ提供装置に送信し、複数の属性情報のうち個人を識別する第１の属性情報を、複数の属性情報のハッシュ値を用いたゼロ知識証明によりデータ提供装置に開示する。ユーザ装置（１）は、第１の属性情報に対応する提供データと、複数の属性情報のハッシュ値と、提供データおよび複数の属性情報のハッシュ値を含むデータの署名情報とをデータ提供装置から受信し、データ利用装置に送信する。ユーザ装置（１）は、複数の属性情報のうち、データ利用装置が所望する第２の属性情報を、複数の属性情報のハッシュ値を用いたゼロ知識証明によりデータ利用装置に開示する。これにより、ユーザ装置（１）は、個人の属性情報の開示を制限しつつ、正しいデータと属性情報の組み合わせを提供することができる。

Description

保証制御方法、情報処理装置および保証制御プログラム

　本発明は、保証制御方法等に関する。

　近年、個人の信用情報が電子的に管理されつつある。例えば、ブロックチェーンを用いた個人の信用情報の管理として、Hyperledger　Indy（登録商標）がある。Hyperledger　Indyでは、個人は、信頼された機関から発行された電子署名付きの証明書を持ち、この証明書を提示することにより、個人の信用情報を提示することができる。提示先では、証明書を発行した機関の公開鍵をブロックチェーンから探索して、公開鍵に対応した秘密鍵で署名がなされているかを検証することで、証明書の正当性を検証する。

　ところが、個人は、提示先に対して、開示する必要のない情報を開示したくない場合がある。しかしながら、電子署名は証明書に付されているので、通常は、証明書の全てを開示しないと、証明書の正当性を検証できない。

　そこで、ゼロ知識証明の技術を用いて、証明書の一部の情報を秘匿して証明書の正当性を検証する技術が開示されている。ゼロ知識証明とは、証明者が「命題が真である」こと以外の知識を検証者に与えることなく、「命題が真である」ことを検証者に証明する手法である（例えば、特許文献１参照）。例えば、秘密情報ｓに対して、コミットメント演算を施し、コミットメントｃを生成し、証明者がコミットメントｃの秘密情報ｓを「知っている」ことを検証者に確認させる（例えば、特許文献２参照）。

特開２０１６－２０８１０７号公報特開平１１－２４９５６０号公報

　ところで、個人情報に紐付いた購買データ等のデータを個人から預託され、データを活用するために、データを匿名化したうえで提供する事業者として情報銀行がある。情報銀行のように個人から預託されたデータを活用する例として、購買データを解析してマーケティングに利用するデータ利用者が居る。かかるデータ利用者は、データがどのような属性を持つ人のデータなのかを知りたい場合がある。

　しかしながら、例えば情報銀行からデータ利用者がデータを取得して利用するには、このデータに紐付く所有者の属性を取得することが重要であるが、このデータに紐付く所有者の信頼できる属性を取得することが難しいという問題がある。この問題について、図１０を参照して説明する。

　図１０は、データ利用者がデータを利用する場合の問題を示す図である。図１０に示すように、例えば、ユーザはデータ管理者（情報銀行）を通じて、自身の購買データとデータ利用者が必要とするユーザの属性をデータ利用者に提供する。ここでは、データ利用者が必要とするユーザの属性は、年齢、年収であるとする。ところが、購買データの提供元となるオンラインショッピングサイトのデータ提供者は、購買データの提供に必要な個人属性を管理しているが、データ利用者が必要とする属性（年齢、年収）を持っているとは限らない。仮にデータ提供者が、データ利用者が必要とする属性（年齢、年収）を持っていたとしても、この属性が実際とは異なる値を登録している可能性もあり、ユーザの正しい属性であるとは限らない。また、ユーザは、データ管理者（情報銀行）を通じて購買データを提供する際に、データ利用者が必要とする属性を偽って提供するかもしれない。つまり、ユーザは、他人のデータを自身の属性とセットで提供したり、自身のデータを他人の属性とセットで提供したりする可能性がある。したがって、データ利用者は、ユーザの正しいデータと属性の組み合わせを取得することが難しい。

　ここで、データ利用者が正しいデータと属性の組み合わせを確認できる参考例を、図１１および図１２を参照して説明する。図１１および図１２は、正しいデータと属性の組み合わせを確認できる参考例を示す図である。

　図１１に示す参考例では、身元を証明する証明書を発行する発行者は、個人を特定する属性とその他の属性を組み込んだ証明書をユーザに対して発行する。ユーザは、個人を特定する属性をデータ提供者に開示する。データ提供者は、提供する購買データに個人を特定できる属性（氏名、住所）を付加したデータに著名する。ユーザは、データ管理者を通じて、署名されたデータをデータ利用者に提供する。このとき、ユーザは、個人識別情報（例えば、証明書）と、データ利用者が必要とする属性(年齢、年収）をデータ利用者に開示する。すると、データ利用者は、個人識別情報（例えば、証明書）と個人を特定できる属性（氏名、住所）から、身元を確認して、同じ人の正しい購買データと属性（年齢、年収）の組み合わせであることを確認できる。ところが、この参考例の方法では、個人識別情報をデータ利用者に開示しなくてはならない。

　また、図１２に示す参考例では、身元を証明する証明書を発行する発行者は、個人を特定する属性とその他の属性を組み込んだ証明書を発行する。ユーザは、個人を特定する属性に加えて、データ利用者が必要とする属性をデータ提供者に開示する。データ提供者は、提供する購買データに個人を特定できる属性、さらにデータ利用者が必要とする属性を付加したデータに著名する。ユーザは、データ管理者を通じて、署名されたデータをデータ利用者に提供する。すると、データ利用者は、この証明されたデータの提供を受けることで、同じ人の正しい購買データと属性の組み合わせであることを確認できる。ところが、この参考例の方法では、データ利用者が必要とする属性をデータ提供者に開示しなくてはならない。

　１つの側面では、本発明は、個人の属性情報の開示を制限しつつ、正しいデータと属性情報の組み合わせを提供することを目的とする。

　一態様の保証制御方法において、コンピュータは、複数の属性情報を含む証明書データを取得し、前記複数の属性情報のハッシュ値をデータ提供装置に送信し、前記複数の属性情報のうち個人を識別する第１の属性情報を、前記複数の属性情報のハッシュ値を用いたゼロ知識証明により前記データ提供装置に開示し、前記第１の属性情報に対応する提供データと、前記複数の属性情報のハッシュ値と、前記提供データおよび前記複数の属性情報のハッシュ値を含むデータの署名情報とを前記データ提供装置から受信し、前記提供データと、前記複数の属性情報のハッシュ値と、前記署名情報とをデータ利用装置に送信し、前記複数の属性情報のうち、前記データ利用装置が所望する第２の属性情報を、前記複数の属性情報のハッシュ値を用いたゼロ知識証明により前記データ利用装置に開示する、ことを実行する。

　一つの態様によれば、個人の属性情報の開示を制限しつつ、正しいデータと属性情報の組み合わせを提供することができる。

図１は、実施例に係るユーザ装置を含む保証制御システムの機能構成を示すブロック図である。図２は、実施例に係るユーザ装置の機能構成を示す図である。図３は、実施例に係るデータ提供装置の機能構成を示す図である。図４は、実施例に係るデータ管理装置の機能構成を示す図である。図５は、実施例に係るデータ利用装置の機能構成を示す図である。図６は、実施例に係る発行機関の機能構成を示す図である。図７は、実施例に係る保証制御の一例を示す図である。図８は、実施例に係る保証制御のシーケンスの一例を示す図である。図９は、保証制御プログラムを実行するコンピュータの一例を示す図である。図１０は、データ利用者がデータを利用する場合の問題を示す図である。図１１は、正しいデータと属性の組み合わせを確認できる参考例を示す図である。図１２は、正しいデータと属性の組み合わせを確認できる参考例を示す図である。

　以下に、本願の開示する保証制御方法、情報処理装置および保証制御プログラムの実施例を図面に基づいて詳細に説明する。なお、実施例によりこの発明が限定されるものではない。

［保証制御システムの機能構成］
　図１は、実施例に係るユーザ装置を含む保証制御システムの機能構成を示すブロック図である。実施例に係る保証制御システム９は、ユーザ装置１と、データ提供装置２と、データ管理装置３と、データ利用装置４と、発行機関５とを有する。ユーザ装置１は、データ管理装置３、データ提供装置２、データ利用装置４および発行機関５と、ネットワークで接続される。なお、実施例に係る保証制御システム９では、ユーザ装置１が、データ管理装置３を通じて、ユーザに関するデータとデータ利用装置４が必要とするユーザの属性とをデータ利用装置４に提供する場合について説明する。保証制御システム９は、データ利用装置４に対して、ユーザに関するデータと、データ利用装置４が必要とするユーザの属性との組み合わせの正しさを保証する。

　発行機関５は、電子署名が付された証明書を、ネットワークを介してユーザ装置１に対して発行する。証明書には、個人の識別情報を含む複数の属性情報が含まれる。ここでいう発行機関５とは、電子証明書を発行する、信頼された機関のことをいう。発行機関５には、例えば、認証局（ＣＡ：Certification　Authority）や企業等が含まれる。

　ユーザ装置１は、複数の属性情報を含む証明書を取得する。ユーザ装置１は、ゼロ知識証明に用いられる、ユーザの複数の属性情報に関する証明用情報をデータ提供装置２に送信するとともに、複数の属性情報のうちユーザを識別する個人識別情報を後述するデータ提供装置２に開示する。ユーザ装置１は、ユーザの個人識別情報の正当性を、証明用情報を用いたゼロ知識証明により証明し、証明書から作成する検証用情報をデータ提供装置２に送信する。ユーザ装置１は、データ提供装置２から提供されたデータおよび証明用情報を署名した署名情報（対応付けデータ）を、データ管理装置３を通じて、データ利用装置４に送信する。ユーザ装置１は、データ利用装置４が必要とする属性情報をデータ利用装置４に開示する。ユーザ装置１は、開示した属性情報の正当性を、証明用情報を用いたゼロ知識証明により証明し、証明書から作成する検証用情報をデータ利用装置４に送信する。これにより、ユーザ装置１は、データ利用装置４にユーザの個人識別情報を開示することなく、データ利用装置４が必要とする属性情報をデータとともに、データ利用装置４に開示できる。また、ユーザ装置１は、正しいデータと属性情報の組み合わせを、データ利用装置４に提供することが可能となる。なお、ユーザ装置１の機能構成は、後述する。

　ここで、ゼロ知識証明とは、証明者が「命題が真である」こと以外の知識を検証者に与えることなく、「命題が真である」ことを検証者に証明する手法である。例えば、秘密情報ｓに対して、コミットメント演算を施し、コミットメントｃを生成し、証明者がｃの秘密情報ｓを「知っている」ことを検証者に確認させる。ここでいう証明者はユーザ装置１である。ここでいう検証者はデータ提供装置２およびデータ利用装置４である。すなわち、ユーザ装置１は、証明書に含まれる一部の属性情報のみを開示し、他の属性情報を秘密にする場合でも、ゼロ知識証明を用いて、開示した一部の属性情報の正当性を証明することができる。

　データ提供装置２は、データを提供する。例えば、データ提供装置２は、ユーザ装置１から、データを提供するユーザの個人識別情報およびゼロ知識証明に用いられる証明用情報を受け付ける。データ提供装置２は、ユーザ装置１から、検証用情報を受け付ける。データ提供装置２は、証明用情報および検証用情報に基づいて、ゼロ知識証明により開示された個人識別情報の正当性を検証する。そして、データ提供装置２は、個人識別情報に対応するデータと証明用情報とを対応付けて、対応付けデータを署名した署名情報をユーザ装置１に提供する。なお、データ提供装置２の機能構成は、後述する。

　データ管理装置３は、ユーザのデータを活用すべく、ユーザの個人識別情報に紐付いたデータを匿名化したものを管理する。すなわち、データ管理装置３は、例えば、情報銀行に対応する。なお、データ管理装置３の機能構成は、後述する。

　データ利用装置４は、データを利用する。例えば、データ利用装置４は、データ管理装置３から、ユーザの個人識別情報に対応するデータおよび証明用情報（対応付けデータ）を署名した署名情報を受け付ける。データ利用装置４は、ユーザ装置１から、必要とするユーザの属性情報および検証用情報を受け付ける。データ利用装置４は、証明用情報および検証用情報に基づいて、ゼロ知識証明により開示されたユーザの属性情報の正当性を検証する。なお、データ利用装置４の機能構成は、後述する。

［ユーザ装置の機能構成］
　図２は、実施例に係るユーザ装置の機能構成を示す図である。図２に示すように、ユーザ装置１は、制御部１０と、記憶部２０とを有する。

　制御部１０は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、これらによって種々の処理を実行する。そして、制御部１０は、例えば、ＡＳＩＣ（Application　Specific　Integrated　Circuit）やＦＰＧＡ（Field　Programmable　Gate　Array）等の集積回路又はＣＰＵ（Central　Processing　Unit）やＭＰＵ（Micro　Processing　Unit）等の電子回路に対応する。さらに、制御部１０は、証明書受信部１１、第１の証明部１２、対応付けデータ受信部１３、対応付けデータ管理部１４および第２の証明部１５を有する。なお、証明書受信部１１は、取得部の一例である。第１の証明部１２は、第１の開示部の一例である。対応付けデータ受信部１３は、受信部の一例である。第２の証明部１５は、第２の開示部の一例である。

　記憶部２０は、例えばフラッシュメモリ（Flash　Memory）やＦＲＡＭ（登録商標）（Ferroelectric　Random　Access　Memory）等の不揮発性の半導体メモリ素子等の記憶装置に対応する。さらに、記憶部２０は、証明書２１０を記憶する。

　証明書受信部１１は、発行機関５から署名付きの証明書２１０を受信する。署名付きの証明書２１０には、例えば、属性ごとに、各属性の文字列や、各属性の文字列に対するハッシュ値が含まれる。また、証明書受信部１１は、受信した証明書２１０を記憶部２０に格納する。なお、属性の文字列に対するハッシュ値のことをコミットメントという。

　第１の証明部１２は、データ提供装置２に開示する、ユーザの個人識別情報の正当性を証明する。例えば、第１の証明部１２は、データ提供装置２にログインする。第１の証明部１２は、データ提供装置２に対して、自身のデータの提供要求を行う。提供要求には、自身の個人識別情報が含まれる。第１の証明部１２は、証明書２１０に含まれる複数の属性のコミットメントを証明用情報としてデータ提供装置２に送信する。第１の証明部１２は、データ提供装置２からランダム値（ナンス）を受け取り、ナンスと証明用情報を用いて開示した個人識別情報の正当性をゼロ知識証明により証明する。第１の証明部１２は、証明書２１０から検証に用いられる検証用情報を生成する。そして、第１の証明部１２は、生成した検証用情報をデータ提供装置２に送信する。

　対応付けデータ受信部１３は、データ提供装置２から対応付けデータを受信する。例えば、対応付けデータ受信部１３は、ユーザの個人識別情報に対応するデータおよび証明用情報を署名した署名情報を対応付けデータとして受信する。

　対応付けデータ管理部１４は、対応付けデータを管理する。例えば、対応付けデータ管理部１４は、データ管理装置３にログインする。対応付けデータ管理部１４は、受信した、ユーザの個人識別情報に対応するデータおよび証明用情報を署名した署名情報を対応付けデータとしてデータ管理装置３に送信する。これは、対応付けデータをデータ管理装置３で管理するためである。

　第２の証明部１５は、データ利用装置４に開示する、属性情報の正当性を証明する。例えば、第２の証明部１５は、データ利用装置４の属性の開示要求に応じて、開示要求のあった属性情報をデータ利用装置４に送信する。第２の証明部１５は、データ利用装置４からランダム値（ナンス）を受け取り、ナンスと証明用情報を用いて開示した属性情報の正当性をゼロ知識証明により証明する。第２の証明部１５は、証明書２１０から検証に用いられる検証用情報を生成する。そして、第２の証明部１５は、生成した検証用情報をデータ利用装置４に送信する。

［データ提供装置の機能構成］
　図３は、実施例に係るデータ提供装置の機能構成を示す図である。図３に示すように、データ提供装置２は、図示しない制御部および記憶部を有する。制御部は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、これらによって種々の処理を実行する。そして、制御部は、例えば、ＡＳＩＣ（Application　Specific　Integrated　Circuit）やＦＰＧＡ（Field　Programmable　Gate　Array）等の集積回路又はＣＰＵ（Central　Processing　Unit）やＭＰＵ（Micro　Processing　Unit）等の電子回路に対応する。さらに、制御部は、検証部２１、対応付けデータ生成部２２および対応付けデータ送信部２３を有する。記憶部は、例えばフラッシュメモリ（Flash　Memory）やＦＲＡＭ（登録商標）（Ferroelectric　Random　Access　Memory）等の不揮発性の半導体メモリ素子等の記憶装置に対応する。

　検証部２１は、ユーザの個人識別情報の正当性を検証する。例えば、検証部２１は、ユーザ装置１からユーザの個人識別情報を受信する。検証部２１は、証明書２１０に含まれる複数の属性のコミットメントを示す証明用情報を受信する。検証部２１は、ランダム値（ナンス）を生成し、ユーザ装置１に送信する。検証部２１は、ユーザ装置１から検証用情報を受信する。検証部２１は、ナンスと証明用情報を用いて、検証用情報を検証して、開示された個人識別情報の正当性を検証する。これにより、検証部２１は、個人識別情報が証明書２１０に含まれている属性情報であることを確認できる。

　対応付けデータ生成部２２は、個人識別情報に対応するユーザのデータを取得して、取得したデータおよび証明用情報を署名した署名情報を対応付けデータとして生成する。

　対応付けデータ送信部２３は、生成された対応付けデータをユーザ装置１に送信する。例えば、対応付けデータ送信部２３は、ユーザの個人識別情報に対応するデータおよび証明用情報を署名した署名情報を対応付けデータとして送信する。

［データ管理装置の機能構成］
　図４は、実施例に係るデータ管理装置の機能構成を示す図である。図４に示すように、データ管理装置３は、図示しない制御部および記憶部を有する。制御部は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、これらによって種々の処理を実行する。そして、制御部は、例えば、ＡＳＩＣ（Application　Specific　Integrated　Circuit）やＦＰＧＡ（Field　Programmable　Gate　Array）等の集積回路又はＣＰＵ（Central　Processing　Unit）やＭＰＵ（Micro　Processing　Unit）等の電子回路に対応する。さらに、制御部は、対応付けデータ格納部３１と、対応付けデータ送信部３２と、対応付けデータ３３とを有する。記憶部は、例えばフラッシュメモリ（Flash　Memory）やＦＲＡＭ（登録商標）（Ferroelectric　Random　Access　Memory）等の不揮発性の半導体メモリ素子等の記憶装置に対応する。

　対応付けデータ３３は、ユーザの個人識別情報に対応するデータおよび証明用情報を署名した署名情報を示すデータである。対応付けデータ３３は、図示しない記憶部に記憶される。

　対応付けデータ格納部３１は、ユーザ装置１から対応付けデータを受信すると、受信した対応付けデータを格納する。すなわち、対応付けデータ格納部３１は、ユーザの個人識別情報に対応するデータおよび証明用情報を署名した署名情報を管理するために記憶部に格納する。

　対応付けデータ送信部３２は、データ利用装置４のデータ要求に応じて、対応付けデータをデータ利用装置４に送信する。すなわち、対応付けデータ送信部３２は、ユーザのデータおよび証明用情報を署名した署名情報をデータ利用装置４に送信する。

［データ利用装置の機能構成］
　図５は、実施例に係るデータ利用装置の機能構成を示す図である。図５に示すように、データ利用装置４は、図示しない制御部および記憶部を有する。制御部は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、これらによって種々の処理を実行する。そして、制御部は、例えば、ＡＳＩＣ（Application　Specific　Integrated　Circuit）やＦＰＧＡ（Field　Programmable　Gate　Array）等の集積回路又はＣＰＵ（Central　Processing　Unit）やＭＰＵ（Micro　Processing　Unit）等の電子回路に対応する。さらに、制御部は、対応付けデータ受信部４１と、検証部４２とを有する。記憶部は、例えばフラッシュメモリ（Flash　Memory）やＦＲＡＭ（登録商標）（Ferroelectric　Random　Access　Memory）等の不揮発性の半導体メモリ素子等の記憶装置に対応する。

　対応付けデータ受信部４１は、データ管理装置３に対して、データ要求を送信する。対応付けデータ受信部４１は、データ管理装置３からデータ要求に対応する対応付けデータを受信する。すなわち、対応付けデータ受信部４１は、ユーザの個人識別情報に対応するデータおよび証明用情報を署名した署名情報を受信する。

　検証部４２は、ユーザの必要な属性情報の正当性を検証する。例えば、検証部４２は、対応付けデータの署名情報の署名を検証して、データ提供装置２が提供したデータであることを確認する。なお、署名の検証は、従来のいかなるデジタル署名の仕組みを用いても構わない。そして、検証部４２は、ユーザの必要な属性情報の開示を、ユーザ装置１に対して要求する。検証部４２は、ユーザ装置１からユーザの必要な属性情報を受信する。検証部４２は、ランダム値（ナンス）を生成し、ユーザ装置１に送信する。検証部４２は、ユーザ装置１から検証用情報を受信する。検証部４２は、ナンスと証明用情報を用いて、検証用情報を検証して、開示された属性情報の正当性を検証する。これにより、検証部４２は、証明用情報を用いて検証することで、必要な属性情報が正当なユーザのものであることを確認できる。また、検証部４２は、署名を検証することで、データと必要な属性情報との組み合わせの正しさを保証できる。

［発行機関の機能構成］
　図６は、実施例に係る発行機関の機能構成を示す図である。図６に示すように、発行機関５は、図示しない制御部および記憶部を有する。制御部は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、これらによって種々の処理を実行する。そして、制御部は、例えば、ＡＳＩＣ（Application　Specific　Integrated　Circuit）やＦＰＧＡ（Field　Programmable　Gate　Array）等の集積回路又はＣＰＵ（Central　Processing　Unit）やＭＰＵ（Micro　Processing　Unit）等の電子回路に対応する。さらに、制御部は、証明書生成部５１および証明書送信部５２を有する。記憶部は、例えばフラッシュメモリ（Flash　Memory）やＦＲＡＭ（登録商標）（Ferroelectric　Random　Access　Memory）等の不揮発性の半導体メモリ素子等の記憶装置に対応する。

　証明書生成部５１は、ユーザ装置１からの要求に応じて、署名付きの証明書を生成する。証明書送信部５２は、生成された署名付きの証明書をユーザ装置１に送信する。

［保証制御の一例］
　図７は、実施例に係る保証制御の一例を示す図である。図７では、ユーザ装置１が、データ管理装置３を通じて、ユーザの属性値Ａ（個人識別情報）に対応するデータとデータ利用装置４が必要とする属性値Ｂ（年齢、年収）とをデータ利用装置４に提供する場合について説明する。

　ユーザ装置１は、発行機関５から署名付きの証明書２１０を受信する（ｐ１１）。証明書２１０には、属性値Ａ（個人識別情報）、属性値Ｂ（年齢、年収）、属性値Ｃ（その他の属性情報）のコミットメントが含まれる。

　ユーザ装置１は、データ提供装置２に対して、自身の属性値Ａ（個人識別情報）を含むデータの提供要求を行う（ｐ１２）。すなわち、ユーザ装置１は、データ提供装置２に対して、自身の属性値Ａ（個人識別情報）のみを開示する。

　そして、ユーザ装置１は、証明書２１０に含まれる複数の属性値Ａ，Ｂ，Ｃのコミットメントを証明用情報としてデータ提供装置２に提供し、データ提供装置２との間でゼロ知識証明を行う（ｐ１３）。すなわち、ユーザ装置１は、データ提供装置２からランダム値（ナンス）を受け取り、ナンスと証明用情報とを用いて、開示した属性値Ａ(個人識別情報)の正当性を証明する。ユーザ装置１は、証明書２１０から検証用情報を生成して、データ提供装置２に送信する。データ提供装置２は、ナンスと証明用情報を用いて、検証用情報を検証して、開示された属性値Ａ（個人識別情報）の正当性を検証する。

　そして、データ提供装置２は、属性値Ａ（個人識別情報）に対応するデータを取得して、取得したデータおよび証明用情報を署名した署名情報を対応付けデータとして生成して、ユーザ装置１に送信する（ｐ１４）。すなわち、データ提供装置２は、ゼロ知識証明時の証明用情報を用いてデータと証明書２１０を対応付ける。

　データおよび証明用情報を署名した署名情報を受信したユーザ装置１は、受信した署名情報をデータ管理装置３に預託する。データ利用装置４は、データ管理装置３に対して、データ要求を依頼し、データ管理装置３からデータ要求に対応するデータおよび証明用情報を署名した署名情報を受信する（ｐ１５）。すなわち、データ利用装置４は、データと証明書２１０の対応付けを受信する。

　そして、データ利用装置４は、ユーザ装置１に対して、必要な属性情報である属性値Ｂ（年齢、年収）の開示を要求し、ユーザの属性値Ｂを受信する（ｐ１６）。すなわち、ユーザ装置１は、データ利用装置４に対して、自身の属性値Ｂのみを開示する。

　そして、ユーザ装置１は、データ利用装置４との間でゼロ知識証明を行う（ｐ１７）。すなわち、ユーザ装置１は、データ提供装置２からランダム値（ナンス）を受け取り、開示した属性値Ｂ(年齢、年収)の正当性を証明する。ユーザ装置１は、証明書２１０から検証用情報を生成して、データ利用装置４に送信する。データ利用装置４は、ナンスと証明用情報を用いて、検証用情報を検証して、開示された属性値Ｂ（年齢、年収）の正当性を検証する。これにより、データ利用装置４は、証明用情報を用いることで、必要な属性値Ｂ（年齢、年収）が正当なユーザのものであることを確認できる。

［保証制御のシーケンス］
　図８は、実施例に係る保証制御のシーケンスの一例を示す図である。なお、ユーザ装置１は、自身の署名付きの証明書２１０の発行を発行機関５に対して依頼したとする。

　図８に示すように、発行機関５は、依頼されたユーザの署名付きの証明書２１０を生成する（Ｓ１１）。発行機関５は、生成した証明書２１０を、依頼元のユーザ装置１に対して発行する（Ｓ１２）。

　証明書２１０を受信したユーザ装置１は、証明書２１０に含まれる複数の属性値のうちの一部の属性値をデータ提供装置２に開示する（Ｓ１３）。開示する一部の属性値として、例えば、名前と住所のような個人識別情報が挙げられる。また、ユーザ装置１は、証明書２１０に含まれる全属性値のコミットメントを証明用情報としてデータ提供装置２に対して送信する（Ｓ１４）。

　データ提供装置２は、ナンス（ランダム値）を生成し、ユーザ装置１に対して送信する（Ｓ１５）。

　ナンスを受信したユーザ装置１は、ナンスと証明用情報を用いて、開示した属性値をゼロ知識証明で証明する（Ｓ１６）。そして、ユーザ装置１は、証明書２１０から検証用情報を生成して、データ提供装置２に送信する（Ｓ１７）。

　検証用情報を受信したデータ提供装置２は、証明用情報とナンスを用いて、検証用情報を検証して、開示された属性値の正当性を検証する（Ｓ１８）。そして、データ提供装置２は、開示された属性値に対応するデータを取得する（Ｓ１９）。そして、データ提供装置２は、データおよび証明用情報を署名した署名情報を対応付けデータとして生成して、ユーザ装置１に送信する（Ｓ２０）。すなわち、データ提供装置２は、データと証明書２１０を対応付けた対応付けデータを生成する。

　ユーザ装置１は、データおよび証明用情報を署名した署名情報と、ユーザアプリへのアクセス方法をデータ管理装置３にストアする（Ｓ２１）。ここでいうユーザアプリへのアクセス方法とは、ユーザのデータを利用を所望するデータ利用装置４からユーザ装置１へアクセスするために用いられるユーザアプリへのアクセス方法のことをいう。データ管理装置３は、ユーザに対応するデータおよび証明用情報を署名した署名情報と、ユーザアプリへのアクセス方法とを対応付けて格納する。

　データ利用装置４が、データ管理装置３に対してデータを要求する（Ｓ２２）。

　データ要求を受信したデータ管理装置３は、データおよび証明用情報を署名した署名情報と、ユーザアプリへのアクセス方法をデータ利用装置４に送信する（Ｓ２３）。

　データおよび証明用情報を署名した署名情報を受信したデータ利用装置４は、署名情報の署名を検証し（Ｓ２４Ａ）、データ提供装置２が提供したデータであることを確認する。なお、署名の検証は、従来のいかなるデジタル署名の仕組みを用いても構わない。そして、データ利用装置４は、ユーザ装置１に対して、ユーザアプリへのアクセス方法を用いて、必要とする一部の属性値の開示を要求する（Ｓ２４Ｂ）。開示を要求する一部の属性値として、例えば、年齢と年収が挙げられる。

　データ要求を受信したユーザ装置１は、データ要求がされた複数の属性値のうちの一部の属性値を開示する（Ｓ２５）。ここでは、年齢と年収が開示される。

　データ利用装置４は、ナンス（ランダム値）を生成し、ユーザ装置１に対して送信する（Ｓ２６）。

　ナンスを受信したユーザ装置１は、ナンスと証明用情報を用いて、開示した属性値をゼロ知識証明で証明する（Ｓ２７）。そして、ユーザ装置１は、証明書２１０から検証用情報を生成して、データ利用装置４に送信する（Ｓ２８）。

　検証用情報を受信したデータ利用装置４は、証明用情報とナンスを用いて、検証用情報を検証して、開示された属性値の正当性を検証する（Ｓ２９）。これにより、データ利用装置４は、必要な属性情報が正当なユーザのものであることを確認できる。また、データ利用装置４は、データと必要な属性情報との組み合わせの正しさを保証できる。

　なお、ユーザ装置１は、証明書２１０に含まれる全属性値のコミットメントを証明用情報として、検証装置としてのデータ提供装置２およびデータ利用装置４に提供して、ゼロ知識証明により、開示した属性値の正当性を証明すると説明した。しかしながら、ユーザ装置１は、これに限定されず、証明書２１０に含まれる全属性値のコミットメントに加えて、ユーザを一意に識別することが可能なマスターキー（ユーザが持つ秘密情報）のコミットメントを証明用情報として用いる場合でも良い。かかる場合には、ユーザ装置１は、マスターキーのコミットメントを発行機関５に提供して、発行機関５がマスターキーのコミットメントを証明書２１０に含める。そして、ユーザ装置１は、マスターキーのコミットメントを検証装置に提供して、秘密情報を知っているかどうかをゼロ知識証明で証明する方法により、自身の証明書２１０であることを証明するようにしても良い。

　また、データ利用装置４は、ユーザ装置１に対して、ユーザアプリへのアクセス方法を用いて、必要とする一部の属性値の開示を要求すると説明した。しかしながら、データ利用装置４がユーザ装置１へアクセスする方法は、これに限定されず、データ管理装置３を経由してユーザ装置１へアクセスしても良い。

　また、実施例では、ユーザ装置１とデータ管理装置３とを区別して説明した。しかしながら、データ管理装置３の機能をユーザ装置１に組み込んで、ユーザ装置１がデータ管理装置３の機能を実現しても良い。

　また、実施例に係る保証制御システム９では、信用情報（例えば、公開鍵等）の管理を、ブロックチェーンを用いて行っても良い。例えば、発行機関５は、電子署名が付された証明書２１０をユーザ装置１に対して発行するが、ユーザ装置１は、署名の秘密鍵に対応する公開鍵をブロックチェーンから取得して、証明書２１０の正当性を検証しても良い。データ利用装置４は、対応付けデータの署名情報の署名を検証するが、署名の秘密鍵に対応する公開鍵をブロックチェーンから取得して、対応付けデータのデータがデータ提供装置２により提供されたデータであることを確認しても良い。これにより、保証制御システム９は、ブロックチェーンを用いることで、アクセス先の信頼を確保できる。

［実施例の効果］
　上記実施例によれば、ユーザ装置１は、複数の属性情報を含む証明書２１０を取得する。ユーザ装置１は、複数の属性情報のハッシュ値をデータ提供装置２に送信する。ユーザ装置１は、複数の属性情報のうち個人を識別する第１の属性情報を、複数の属性情報のハッシュ値を用いたゼロ知識証明によりデータ提供装置２に開示する。ユーザ装置１は、第１の属性情報に対応する提供データと、複数の属性情報のハッシュ値と、提供データおよび複数の属性情報のハッシュ値を含むデータの署名情報とをデータ提供装置２から受信する。ユーザ装置１は、提供データと、複数の属性情報のハッシュ値と、署名情報とをデータ利用装置４に送信する。ユーザ装置１は、複数の属性情報のうち、データ利用装置４が所望する第２の属性情報を、複数の属性情報のハッシュ値を用いたゼロ知識証明によりデータ利用装置４に開示する。かかる構成によれば、ユーザ装置１は、ゼロ知識証明に必要な情報（複数の属性情報のハッシュ値）を提供データと組み合わせることで、提供データに対応するユーザの第２の属性情報の真正性を証明できる。また、ユーザ装置１は、データ提供装置２やデータ利用装置４に対して、それぞれ不要な属性情報を開示することを抑制できる。すなわち、ユーザ装置１は、データ提供装置２に第２の属性情報を開示する必要がないし、データ利用装置４に第１の属性情報を開示する必要がない。この結果、ユーザ装置１は、必要以上に自身のプライバシーを開示する必要がないうえ、データ利用装置４やデータ提供装置２は不要な属性情報を取得する必要がない。さらに、データ利用装置４は、ユーザ装置１を信頼しなくても、ユーザの第２の属性情報を信用できる。ユーザ装置１のユーザの第２の属性情報は、証明書２１０の発行機関５によって保証されるからである。

　また、上記実施例によれば、ユーザ装置１は、さらに、署名情報をデータ利用装置４に検証させる。かかる構成によれば、データ利用装置４は、署名情報の付いた提供データがデータ提供装置２によって提供されたデータであることを検証できる。すなわち、データ利用装置４は、提供データの正当性を検証できる。

　また、上記実施例によれば、複数の属性情報のハッシュ値は、前記複数の属性情報のそれぞれのコミットメントの値である。かかる構成によれば、ユーザ装置１は、複数の属性情報のそれぞれのコミットメントの値を証明書２１０に含ませ、検証装置としてのデータ提供装置２やデータ利用装置４に提供する。これにより、ユーザ装置１は、秘密情報を知っているかどうかをゼロ知識証明で証明する方法により、開示する属性情報の正当性を証明することが可能になる。

　また、上記実施例によれば、さらに、前記複数の属性情報のハッシュ値は、証明書２１０を生成する際に用いられるマスターキーのコミットメントの値を含む。かかる構成によれば、ユーザ装置１は、マスターキーのコミットメントを証明書２１０に含ませ、検証装置としてのデータ提供装置２やデータ利用装置４に提供する。これにより、ユーザ装置１は、秘密情報を知っているかどうかをゼロ知識証明で証明する方法により、自身の証明書２１０であることを証明することが可能になる。

　また、上記実施例によれば、証明書２１０の証明およびデータの署名情報の証明は、ブロックチェーンを用いて行われる。かかる構成によれば、証明書２１０の証明およびデータの署名情報の証明が、ブロックチェーンを用いて行われることで、アクセス先の信頼が確保できる。

［プログラム等］
　なお、図示したユーザ装置１の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、ユーザ装置１の分散・統合の具体的態様は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。例えば、対応付けデータ受信部１３と対応付けデータ管理部１４とを１個の部として統合しても良い。一方、第１の証明部１２を、データ提供装置２にデータを要求する要求部と、開示した情報の正当性を証明する証明部とに分散しても良い。また、ユーザ装置１の記憶部２０をユーザ装置１の外部装置としてネットワーク経由で接続するようにしても良い。

　また、上記実施例で説明した各種の処理は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーション等のコンピュータで実行することによって実現することができる。そこで、以下では、図２に示したユーザ装置１と同様の機能を実現する保証制御プログラムを実行するコンピュータの一例を説明する。図９は、保証制御プログラムを実行するコンピュータの一例を示す図である。

　図９に示すように、コンピュータ２００は、各種演算処理を実行するＣＰＵ（Central　Processing　Unit）２０３と、ユーザからのデータの入力を受け付ける入力装置２１５と、表示装置２０９を制御する表示制御部２０７を有する。また、コンピュータ２００は、記憶媒体からプログラム等を読取るドライブ装置２１３と、ネットワークを介して他のコンピュータとの間でデータの授受を行う通信制御部２１７とを有する。また、コンピュータ２００は、各種情報を一時記憶するメモリ２０１と、ＨＤＤ（Hard　Disk　Drive）２０５を有する。そして、メモリ２０１、ＣＰＵ２０３、ＨＤＤ２０５、表示制御部２０７、ドライブ装置２１３、入力装置２１５、通信制御部２１７は、バス２１９で接続されている。

　ドライブ装置２１３は、例えばリムーバブルディスク２１１用の装置である。ＨＤＤ２０５は、保証制御プログラム２０５ａ及び保証制御処理関連情報２０５ｂを記憶する。

　ＣＰＵ２０３は、保証制御プログラム２０５ａを読み出して、メモリ２０１に展開する。保証制御プログラム２０５ａは、保証制御プロセスとして機能する。

　例えば、保証制御プロセスは、制御部１０の各機能部に対応する。保証制御処理関連情報２０５ｂは、証明書２１０等に対応する。

　なお、保証制御プログラム２０５ａについては、必ずしも最初からＨＤＤ２０５に記憶させておかなくても良い。例えば、コンピュータ２００に挿入されるフレキシブルディスク（ＦＤ）、ＣＤ－ＲＯＭ（Compact　Disk　Read　Only　Memory）、ＤＶＤ（Digital　Versatile　Disk）、光磁気ディスク、ＩＣ（Integrated　Circuit）カード等の「可搬用の物理媒体」に当該プログラムを記憶させておく。そして、コンピュータ２００がこれらから保証制御プログラム２０５ａを読み出して実行するようにしても良い。

　１　ユーザ装置
　１０　制御部
　１１　証明書受信部
　１２　第１の証明部
　１３　対応付けデータ受信部
　１４　対応付けデータ管理部
　１５　第２の証明部
　２０　記憶部
　２１０　証明書
　２　データ提供装置
　２１　検証部
　２２　対応付けデータ生成部
　２３　対応付けデータ送信部
　３　データ管理装置
　３１　対応付けデータ格納部
　３２　対応付けデータ送信部
　３３　対応付けデータ
　４　データ利用装置
　４１　対応付けデータ受信部
　４２　検証部
　５　発行機関
　５１　証明書生成部
　５２　証明書送信部

Claims

　複数の属性情報を含む証明書データを取得し、
　前記複数の属性情報のハッシュ値をデータ提供装置に送信し、
　前記複数の属性情報のうち個人を識別する第１の属性情報を、前記複数の属性情報のハッシュ値を用いたゼロ知識証明により前記データ提供装置に開示し、
　前記第１の属性情報に対応する提供データと、前記複数の属性情報のハッシュ値と、前記提供データおよび前記複数の属性情報のハッシュ値を含むデータの署名情報とを前記データ提供装置から受信し、
　前記提供データと、前記複数の属性情報のハッシュ値と、前記署名情報とをデータ利用装置に送信し、
　前記複数の属性情報のうち、前記データ利用装置が所望する第２の属性情報を、前記複数の属性情報のハッシュ値を用いたゼロ知識証明により前記データ利用装置に開示する
　ことをコンピュータが実行することを特徴とする保証制御方法。
　さらに、前記署名情報を前記データ利用装置に証明させる
　ことを特徴とする請求項１に記載の保証制御方法。
　前記複数の属性情報のハッシュ値は、前記複数の属性情報のそれぞれのコミットメントの値である
　ことを特徴とする請求項１に記載の保証制御方法。
　さらに、前記複数の属性情報のハッシュ値は、前記証明書データを生成する際に用いられるマスターキーのコミットメントの値を含む
　ことを特徴とする請求項３に記載の保証制御方法。
　前記証明書データの証明および前記データの署名情報の証明は、ブロックチェーンを用いて行われる
　ことを特徴とする請求項１に記載の保証制御方法。
　複数の属性情報を含む証明書データを取得する取得部と、
　前記複数の属性情報のハッシュ値をデータ提供装置に送信し、前記複数の属性情報のうち個人を識別する第１の属性情報を、前記複数の属性情報のハッシュ値を用いたゼロ知識証明により前記データ提供装置に開示する第１の開示部と、
　前記第１の属性情報に対応する提供データと、前記複数の属性情報のハッシュ値と、前記提供データおよび前記複数の属性情報のハッシュ値を含むデータの署名情報とを前記データ提供装置から受信する受信部と、
　前記提供データと、前記複数の属性情報のハッシュ値と、前記署名情報とをデータ利用装置に送信し、前記複数の属性情報のうち、前記データ利用装置が所望する第２の属性情報を、前記複数の属性情報のハッシュ値を用いたゼロ知識証明により前記データ利用装置に開示する第２の開示部と、
　を有することを特徴とする情報処理装置。
　複数の属性情報を含む証明書データを取得し、
　前記複数の属性情報のハッシュ値をデータ提供装置に送信し、
　前記複数の属性情報のうち個人を識別する第１の属性情報を、前記複数の属性情報のハッシュ値を用いたゼロ知識証明により前記データ提供装置に開示し、
　前記第１の属性情報に対応する提供データと、前記複数の属性情報のハッシュ値と、前記提供データおよび前記複数の属性情報のハッシュ値を含むデータの署名情報とを前記データ提供装置から受信し、
　前記提供データと、前記複数の属性情報のハッシュ値と、前記署名情報とをデータ利用装置に送信し、
　前記複数の属性情報のうち、前記データ利用装置が所望する第２の属性情報を、前記複数の属性情報のハッシュ値を用いたゼロ知識証明により前記データ利用装置に開示する
　ことをコンピュータに実行させることを特徴とする保証制御プログラム。