WO2021132159A1

WO2021132159A1 - データ流通方法、プログラム及びデータ流通システム

Info

Publication number: WO2021132159A1
Application number: PCT/JP2020/047681
Authority: WO
Inventors: 勇二海上; 松島　秀樹; 芳賀　智之; 前田　学
Original assignee: パナソニックインテレクチュアルプロパティコーポレーションオブアメリカ
Priority date: 2019-12-26
Filing date: 2020-12-21
Publication date: 2021-07-01
Also published as: EP4083834A1; JPWO2021132159A1; US20220321649A1; CN114846471A; US12088664B2; EP4083834A4

Abstract

本開示のデータ流通方法では、第１グループには、複数の第１認証サーバと、第１データサーバとが属しており、第１グループと異なる第２グループには、複数の第２認証サーバと、第２データサーバとが属している。一つの第１認証サーバが、機器のデータを取得または参照することを依頼する旨を示すデータ取得依頼を含む第１トランザクションデータを取得し、第１トランザクションデータを含むブロックを、第１グループに属する一つの第１認証サーバの分散台帳に記録し、一つの第２認証サーバが、第１トランザクションデータを取得し、第１トランザクションデータを含むブロックを、第２グループに属する分散台帳に記録する。そして、第１データサーバに、自身が有する機器のデータを、第２データサーバに転送、または、第２データサーバによる参照可能にさせる。

Description

データ流通方法、プログラム及びデータ流通システム

　本開示は、ユーザから収集したデータを利活用するためのデータ流通方法、プログラム及びデータ流通システムに関する。

　近年、ユーザのデータ及び機器のデータを収集、分析及び流通するシステムが検討されている。今後、ＩｏＴ（Ｉｎｔｅｒｎｅｔ　ｏｆ　Ｔｈｉｎｇｓ）が進展しＡＩ等が普及することにより、従来よりも多くのデータを収集することが可能となるため、収集等したデータの利活用が期待される。

　例えば非特許文献１では、サイバー空間（仮想空間）とフィジカル空間（現実空間）とを高度に融合させたシステムにより、経済発展と社会的課題の解決を両立する、人間中心の社会であるＳｏｃｉｅｔｙ　５．０について開示されている。

　非特許文献１によれば、Ｓｏｃｉｅｔｙ　５．０では、例えば観光またはヘルスケアにおいてパーソナルデータが収集等され利活用されるようになることが述べられている。

Ｓｔｒａｔｅｇｙ　ｆｏｒ　ＰｒｏｍｏｔｉｎｇＤａｔａ　Ｕｔｉｌｉｚａｔｉｏｎ　ｔｏ　Ｒｅａｌｉｚｅ　Ｓｏｃｉｅｔｙ　５．０、インターネット〈ＵＲＬ：https://www.keidanren.or.jp/en/policy/2017/104.html?v=p〉［２０１９年１２月２５日検索］

　しかしながら、ユーザから収集等したデータがどこでどのように活用されているのかがわからない場合、すなわちユーザから収集等したデータのトレーサビリティが確保できない場合、ユーザはデータの漏えいのリスクを心配してデータそのものを提供しないといった問題がある。この問題により、データを利活用できるほどのデータを収集できないことになる。

　本開示は、上述の事情を鑑みてなされたもので、データのトレーサビリティを確保しつつデータを利活用することができるデータ流通方法等を提供することを目的とする。

　上記目的を達成するために、本開示のデータ流通方法は、それぞれ分散台帳を有する複数の認証サーバと複数のデータサーバと機器とからなるデータ流通システムにおけるデータ流通方法であって、第１グループには、前記複数の認証サーバのうちの複数の第１認証サーバと、前記複数のデータサーバのうちの１以上の第１データサーバとが属しており、前記第１グループと異なる第２グループには、前記複数の認証サーバのうちの前記複数の第１認証サーバと異なる複数の第２認証サーバと、前記複数のデータサーバのうちの前記１以上の第１データサーバと異なる１以上の第２データサーバとが属しており、前記データ流通方法では、前記複数の第１認証サーバのうちの一つの第１認証サーバが、前記機器のデータを取得または参照することを依頼する旨を示すデータ取得依頼を含む第１トランザクションデータを取得し、前記一つの第１認証サーバが、前記第１トランザクションデータを含むブロックを、前記第１グループに属する前記一つの第１認証サーバの分散台帳に記録し、前記１以上の第１データサーバに、前記１以上の第１データサーバが有する前記機器のデータを、前記１以上の第２データサーバに転送、または、前記１以上の第２データサーバによる参照可能にさせ、前記複数の第２認証サーバのうちの一つの第２認証サーバが、前記第１トランザクションデータを取得し、前記一つの第２認証サーバが、前記第１トランザクションデータを含むブロックを、前記第２グループに属する前記一つの第２認証サーバの分散台帳に記録する。

　なお、これらの包括的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータで読み取り可能なＣＤ－ＲＯＭ等の記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラム及び記録媒体の任意な組み合わせで実現されてもよい。

　本開示によれば、データのトレーサビリティを確保しつつデータを利活用することができるデータ流通方法等を実現できる。

図１は、実施の形態に係るデータ流通システムの全体構成の一例を示す図である。図２は、実施の形態に係る住宅の全体構成の一例を示す図である。図３は、図２に示すコントローラの構成の一例を示すブロック図である。図４は、実施の形態に係る端末の構成の一例を示すブロック図である。図５は、実施の形態に係る認証サーバの構成の一例を示すブロック図である。図６は、ブロックチェーンのデータ構造を示す説明図である。図７は、実施の形態に係るデータサーバの一例を示すブロック図である。図８は、実施の形態に係るサービスサーバの一例を示すブロック図である。図９Ａは、実施の形態に係るデータ流通システムの全体シーケンス図である。図９Ｂは、実施の形態に係るデータ流通システムの全体シーケンス図である。図１０は、実施の形態に係る端末と認証サーバとの間での同意情報登録処理を示すシーケンス図である。図１１は、実施の形態に係る住宅と認証サーバとデータサーバとの間でのデータ登録処理を示すシーケンス図である。図１２Ａは、実施の形態に係る端末と認証サーバとデータサーバとサービスサーバとの間でのデータ参照処理を示すシーケンス図である。図１２Ｂは、実施の形態に係る端末と認証サーバとデータサーバとサービスサーバとの間でのデータ参照処理を示すシーケンス図である。図１３は、実施の形態に係る認証サーバとサービスサーバとの間でのインセンティブ支払いに関するスマートコントラクト登録処理を示すシーケンス図である。図１４Ａは、実施の形態に係るデータ流通システムのデータ提供処理の一例を示すシーケンス図である。図１４Ｂは、実施の形態に係るデータ流通システムのデータ提供処理の一例を示すシーケンス図である。図１５Ａは、実施の形態に係るデータ流通システムのデータ提供処理の別の一例を示すシーケンス図である。図１５Ｂは、実施の形態に係るデータ流通システムのデータ提供処理の別の一例を示すシーケンス図である。図１５Ｃは、実施の形態に係るデータ流通システムのデータ提供処理の別の一例を示すシーケンス図である。

　本開示の一実施態様のデータ流通方法は、それぞれ分散台帳を有する複数の認証サーバと複数のデータサーバと機器とからなるデータ流通システムにおけるデータ流通方法であって、第１グループには、前記複数の認証サーバのうちの複数の第１認証サーバと、前記複数のデータサーバのうちの１以上の第１データサーバとが属しており、前記第１グループと異なる第２グループには、前記複数の認証サーバのうちの前記複数の第１認証サーバと異なる複数の第２認証サーバと、前記複数のデータサーバのうちの前記１以上の第１データサーバと異なる１以上の第２データサーバとが属しており、前記データ流通方法では、前記複数の第１認証サーバのうちの一つの第１認証サーバが、前記機器のデータを取得または参照することを依頼する旨を示すデータ取得依頼を含む第１トランザクションデータを取得し、前記一つの第１認証サーバが、前記第１トランザクションデータを含むブロックを、前記第１グループに属する前記一つの第１認証サーバの分散台帳に記録し、前記１以上の第１データサーバに、前記１以上の第１データサーバが有する前記機器のデータを、前記１以上の第２データサーバに転送、または、前記１以上の第２データサーバによる参照可能にさせ、前記複数の第２認証サーバのうちの一つの第２認証サーバが、前記第１トランザクションデータを取得し、前記一つの第２認証サーバが、前記第１トランザクションデータを含むブロックを、前記第２グループに属する前記一つの第２認証サーバの分散台帳に記録する。

　これにより、データ提供元の第１グループに属する分散台帳とデータ提供先の第２グループに属する分散台帳との両方に、データが転送されたまたは参照可能にされたことが記録される。このようにして、異なるグループに属するデータの連携を行うことができる。よって、異なるグループ間であっても、データのトレーサビリティを確保しつつ、データを利活用することができるデータ流通方法等を実現できる。

　また、前記データ流通システムは、さらにサービスサーバを含み、前記データ流通方法では、前記サービスサーバが、前記第１トランザクションデータを生成して、前記一つの第１認証サーバ及び前記一つの第２認証サーバに送信し、前記一つの第１認証サーバが前記第１トランザクションデータを取得した際、前記一つの第１認証サーバが、前記機器から得た同意情報であって前記データの利活用に関する同意情報に基づいて前記データを前記１以上の第１データサーバから前記１以上の第２データサーバに提供可能であるかを判断し、前記１以上の第１データサーバに、前記１以上の第１データサーバが有する前記機器のデータを、前記１以上の第２データサーバに転送、または、前記１以上の第２データサーバによる参照可能にさせてもよい。

　これにより、データのトレーサビリティを確保しつつ、ユーザの同意の元にデータを利活用することができる。

　また、さらに、前記サービスサーバが、前記１以上の第１データサーバにより、前記機器のデータが、前記１以上の第２データサーバに転送、または、前記１以上の第２データサーバによる参照可能にされたことを確認した場合、前記機器に対してトークンを発行するための第２トランザクションデータを生成し、前記一つの第１認証サーバが、前記第２トランザクションデータを取得し、前記一つの第１認証サーバが、前記第２トランザクションデータを含むブロックを、前記第１グループに属する前記一つの第１認証サーバの分散台帳に記録し、前記一つの第１認証サーバが、記録した前記第２トランザクションデータに基づき、トークンを発行することを実行可能にプログラム化されたスマートコントラクトを動作させることで、前記スマートコントラクトに前記機器に対してトークンを発行させてもよい。

　また、前記一つの第１認証サーバが、前記同意情報に基づき前記データを提供可能であるかを判断することを実行可能にプログラム化されたスマートコントラクトを取得し、前記一つの第１認証サーバが、前記第１トランザクションデータを取得した場合、取得した前記第１トランザクションデータに基づき前記スマートコントラクトを実行することで、前記データを前記１以上の第１データサーバから前記１以上の第２データサーバに提供可能であると判断したとき、前記１以上の第１データサーバに、前記１以上の第１データサーバが有する前記機器のデータを、前記１以上の第２データサーバに転送、または、前記１以上の第２データサーバによる参照可能にさせてもよい。

　また、前記一つの第１認証サーバの分散台帳に記録する際、前記一つの第１認証サーバが、取得した前記第１トランザクションデータの検証を行い、前記一つの第１認証サーバが、前記検証を行うことで前記第１トランザクションデータの正当性を確認した場合、前記複数の第１認証サーバのうちの前記一つの第１認証サーバを除く複数の第１認証サーバとともに、前記第１トランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行し、前記コンセンサスアルゴリズムによって前記第１トランザクションデータの正当性について合意された場合、前記一つの第１認証サーバが、前記第１トランザクションデータを含むブロックを前記第１グループに属する前記一つの第１認証サーバの分散台帳に記録するとしてもよい。

　また、前記一つの第２認証サーバの分散台帳に記録する際、前記一つの第２認証サーバが、取得した前記第１トランザクションデータの検証を行い、前記一つの第２認証サーバが、前記検証を行うことで前記第１トランザクションデータの正当性を確認した場合、前記複数の第２認証サーバのうちの前記一つの第２認証サーバを除く複数の第２認証サーバとともに、前記第１トランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行し、前記コンセンサスアルゴリズムによって前記第１トランザクションデータの正当性について合意された場合、前記一つの第２認証サーバが、前記第１トランザクションデータを含むブロックを前記第２グループに属する前記一つの第２認証サーバの分散台帳に記録するとしてもよい。

　また、本開示の一実施態様のデータ流通システムは、それぞれ分散台帳を有する複数の認証サーバと複数のデータサーバとを備えるデータ流通システムであって、第１グループには、前記複数の認証サーバのうちの複数の第１認証サーバと、前記複数のデータサーバのうちの１以上の第１データサーバとが属しており、前記第１グループと異なる第２グループには、前記複数の認証サーバのうちの前記複数の第１認証サーバと異なる複数の第２認証サーバと、前記複数のデータサーバのうちの前記１以上の第１データサーバと異なる１以上の第２データサーバとが属しており、前記複数の第１認証サーバのうちの一つの第１認証サーバは、機器のデータを取得または参照することを依頼する旨を示すデータ取得依頼を含む第１トランザクションデータを取得する第１通信部と、前記一つの第１認証サーバが、前記第１トランザクションデータを含むブロックを、前記第１グループに属する前記一つの第１認証サーバの分散台帳に記録する第１記録部と、前記１以上の第１データサーバに、前記１以上の第１データサーバが有する前記機器のデータを、前記１以上の第２データサーバに転送、または、前記１以上の第２データサーバによる参照可能にさせる実行部と、を備え、前記複数の第２認証サーバのうちの一つの第２認証サーバは、前記第１トランザクションデータを取得する第２通信部と、前記一つの第２認証サーバが、前記第１トランザクションデータを含むブロックを、前記第２グループに属する前記一つの第２認証サーバの分散台帳に記録する第２記録部とを備える。

　以下、図面を参照しながら、実施の形態について説明する。なお、以下で説明する実施の形態は、いずれも本開示の一具体例を示すものである。従って、以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置及び接続形態、ステップ、ステップの順序等は、本開示の一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、本開示の一形態に係る実現形態を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。本開示の実現形態は、現行の独立請求項に限定されるものではなく、他の独立請求項によっても表現され得る。

　（実施の形態）
　まず、本開示のシステム構成について説明する。

　［１．　システム構成］
　本開示のデータ流通システムは、データ提供元のグループに属する分散台帳とデータ提供先のグループに属する分散台帳との両方に、データが転送されたまたは参照可能にされたことを記録する。このようにして、本開示のデータ流通システムは、ブロックチェーン技術を活用して、データのトレーサビリティを確保しつつ、異なるグループに属するデータの連携を行うことができる。つまり、本開示のデータ流通システムは、データのトレーサビリティを確保しつつ、当該データの利活用を行うことができる。よって、ユーザは安心してデータを提供することができる。

　以下では、図面を参照しながら実施の形態におけるデータ流通システム等の説明を行う。

　［１．１　データ流通システム１０の全体構成］
　図１は、本実施の形態に係るデータ流通システム１０の全体構成の一例を示す図である。データ流通システム１０は、図１に示すように、住宅１００と、端末１１０と、認証サーバ２００ａ、２００ｂ、２００ｃ、２１０ａ、２１０ｂ、２１０ｃと、データサーバ３００、３１０と、サービスサーバ４００、４１０とを備える。これらは、通信ネットワーク５００で接続されている。

　認証サーバ２００ａ、２００ｂ、２００ｃ、２１０ａ、２１０ｂ、２１０ｃは、ブロックチェーンのトランザクションデータ及びブロックが電子的に記録される分散台帳を有する記憶装置と接続する。なお、認証サーバ２００は、当該記憶装置と通信ネットワーク５００を介して接続されていてもよいし、内部に当該記憶装置を備えるとしてもよい。

　また、認証サーバ２００ａ、２００ｂ、２００ｃとデータサーバ３００とは１つのグループ（以下、第１グループと称する）を形成し、認証サーバ２００ａ、２００ｂ、２００ｃは、ブロックチェーン技術を用いてデータサーバ３００のデータを管理しているとして説明する。認証サーバ２００ａ、２００ｂ、２００ｃは、以下、認証サーバ２００と表現される場合がある。同様に、認証サーバ２１０ａ、２１０ｂ、２１０ｃとデータサーバ３１０とは、第１グループと異なる１つのグループ（以下、第２グループと称する）を形成し、認証サーバ２１０ａ、２１０ｂ、２１０ｃは、ブロックチェーン技術を用いてデータサーバ３１０のデータを管理しているとして説明する。認証サーバ２１０ａ、２１０ｂ、２１０ｃは、以下、認証サーバ２１０と表現される場合がある。なお、第１グループと、第２グループとは、例えばブロックチェーンの異なるプラットフォームの一例であり、それぞれに属する分散台帳は、異なるトランザクションデータが含まれている。

　［１．２　住宅１００の構成］
　図２は、本実施の形態に係る住宅１００の全体構成の一例を示す図である。

　住宅１００は、ユーザのデータを取得または収集する本開示に係る機器の一例である。取得または収集されるデータは、例えばユーザの健診データ、睡眠データ、血圧データ、体重データ、運動データ等のヘルスケアデータであってもよいが、これに限らない。取得または収集されるデータは、ヘルスケアデータに限らず、心拍等のバイタルデータを含むユーザパーソナルデータであってもよいし、測定データであってもよいし、機器の動作履歴または機器の操作履歴等の機器の履歴情報であってもよい。このように、取得または収集されるデータは、サービス事業者が利活用できるデータであればよい。

　本実施の形態では、住宅１００は、図２に示すように、コントローラ１０１と、太陽光発電装置１０２と、蓄電池１０３と、エアコン１０４と、体組成計１０５と、血圧計１０６とを備える。これらは通信ネットワークで接続されている。

　なお、以下では、住宅１００により取得または収集されるデータは、第１グループに属するデータサーバ３００に記憶されるとして説明する。

　＜コントローラ１０１＞
　コントローラ１０１は、エアコン１０４、体組成計１０５及び血圧計１０６等の宅内機器の制御を行う。また、制御部１０１１は、太陽光発電装置１０２及び蓄電池１０３の動作状況を表示してもよい。

　また、コントローラ１０１は、宅内機器の動作履歴または操作履歴等の履歴情報を収集してもよいし、太陽光発電装置１０２及び蓄電池１０３の動作状況の履歴情報を収集してもよい。また、コントローラ１０１は、宅内機器により測定された測定データを収集してもよい。

　さらに、コントローラ１０１は、収集した履歴情報及び測定データ等のデータを、データサーバ３００に送信してもよいし、生成したトランザクションデータを認証サーバ２００に送信してもよい。

　＜太陽光発電装置１０２＞
　太陽光発電装置１０２は、太陽電池を用いて太陽光を直接的に電力に変換する発電方式が搭載された装置である。太陽光発電装置１０２が発電した電力は、住宅１００内で使用されたり、蓄電池１０３に蓄電されたりする。なお、太陽光発電装置１０２は必須の構成ではなく、住宅１００に備えられていなくてもよい。

　＜蓄電池１０３＞
　蓄電池１０３は、太陽光発電装置１０２が発電した電力を蓄電する。なお、蓄電池１０３は必須の構成ではなく、住宅１００に備えられていなくてもよい。

　＜エアコン１０４、体組成計１０５及び血圧計１０６＞
　エアコン１０４、体組成計１０５及び血圧計１０６は、ユーザが利用する宅内機器であるが、本開示の機器の一例であってもよい。例えばエアコン１０４の動作履歴または操作履歴等の履歴情報は、データサーバ３００に送信される。また、体組成計１０５及び血圧計１０６の動作履歴または操作履歴等の履歴情報、体組成計１０５により測定された体重データ、及び／または血圧計１０６により測定された血圧データ等のユーザの測定データもデータサーバ３００に送信される。なお、これらのデータは、コントローラ１０１を経由してデータサーバ３００に送信されてもよいし、直接データサーバ３００に送信されてもよい。

　以下、コントローラ１０１の構成の一例について説明する。

　［１．３　コントローラ１０１の構成］
　図３は、図２に示すコントローラ１０１の構成の一例を示すブロック図である。

　コントローラ１０１は、プロセッサ（不図示）と、プロセッサに所定の処理を実行させるプログラムが記憶されたメモリ（不図示）とを備える。つまり、コントローラ１０１は、プロセッサがメモリを用いて所定のプログラムを実行することで実現される。本実施の形態では、コントローラ１０１は、図３に示すように、制御部１０１１、トランザクションデータ生成部１０１２と、入力部１０１３と、記録部１０１４と、通信部１０１５とを備える。

　＜制御部１０１１＞
　制御部１０１１は、宅内機器の制御を行ってもよい。図２に示す例では、制御部１０１１は、エアコン１０４、体組成計１０５及び血圧計１０６等の宅内機器を操作したり、宅内機器の動作履歴、状態を管理したりする。また、制御部１０１１は、太陽光発電装置１０２及び蓄電池１０３の動作状況を表示してもよい。例えば、制御部１０１１は、太陽光発電装置１０２での発電状況または蓄電池１０３の蓄電状態を表示してもよい。また、制御部１０１１は、宅内機器の状態または体組成計１０５または血圧計１０６で測定したバイタルデータを表示してもよい。

　また、制御部１０１１は、宅内機器の動作履歴または操作履歴等の履歴情報を収集してもよいし、太陽光発電装置１０２及び蓄電池１０３の動作状況の履歴情報を収集してもよい。また、制御部１０１１は、宅内機器により測定された測定データを収集してもよい。

　＜入力部１０１３＞
　入力部１０１３は、取得または収集したデータの利活用に関する同意情報を生成する。ここで、同意情報は、取得または収集したデータが利活用されることについてユーザが同意している内容を示す情報であり、ユーザの操作に基づいて生成される。同意情報は、例えば入力部１０１３が提供するデータ提供先のサービス事業者の一覧またはデータの一覧の中から、選択または選択を外すことで生成されてもよい。この場合、同意情報には、ユーザが同意したデータ提供可能なサービス事業者またはユーザが同意した提供可能なデータもしくはデータの種類が含まれる。つまり、同意情報には、ユーザが提供を同意したサービス事業者、または、データもしくはデータの種類が含まれる。なお、同意情報は、例えば入力部１０１３が提供するデータ提供先からみた第３者であって信頼度またはインセンティブに基づきユーザの所定の基準により選別される第３者にデータを提供または参照させることを同意する情報であってもよい。第３者は、入力部１０１３が提供するデータ提供先が属するグループと異なっていてもよい。さらに、同意情報は、フィードバックが一定以上である場合に提供することを同意する情報が含まれていてもよい。

　また、入力部１０１３は、生成した同意情報に基づいて、スマートコントラクトを生成してもよい。ここで、このスマートコントラクトは、データを提供可能であるかを判断することを実行可能にプログラム化されたものである。このスマートコントラクトには、入力部１０１３により生成された同意情報が含まれてもよい。

　なお、入力部１０１３は、コントローラ１０１にインストールされたアプリケーションであってもよく、その場合には、インストールされたアプリケーションが入力部１０１３の上記機能を実現する。

　＜トランザクションデータ生成部１０１２＞
　トランザクションデータ生成部１０１２は、ブロックチェーンにおけるトランザクションデータを生成する。本実施の形態では、トランザクションデータ生成部１０１２は、入力部１０１３で生成された同意情報を含むトランザクションデータを生成する。より具体的には、トランザクションデータ生成部１０１２は、例えば、ユーザが保有するブロックチェーンアドレスと、ユーザが提供を同意したサービス事業者またはデータもしくはデータの種類を含む同意情報と、署名とを含むトランザクションデータを生成する。なお、トランザクションデータ生成部１０１２は、さらに、識別子を付与してトランザクションデータを生成してもよい。トランザクションデータ生成部１０１２は、ユーザ個別の署名生成鍵を用いて署名を生成する。

　また、トランザクションデータ生成部１０１２は、入力部１０１３で生成されたスマートコントラクトを含むトランザクションデータを生成してもよい。なお、トランザクションデータ生成部１０１２は、入力部１０１３で生成された同意情報とスマートコントラクトとを含むトランザクションデータを生成してもよい。

　また、トランザクションデータ生成部１０１２は、通信部１０１５を介して取得したデータ取得依頼を含むトランザクションデータを生成してもよい。ここで、データ取得依頼は、例えばコントローラ１０１が属するグループと異なるグループに属するデータサーバ３１０が、データを取得するまたは参照可能にする依頼であってもよい。この場合、トランザクションデータ生成部１０１２は、通信部１０１５を介して取得したデータ取得依頼とそれに対する同意情報とを含むトランザクションデータを生成すればよい。

　また、トランザクションデータ生成部１０１２は、制御部１０１１により収集等された履歴情報または測定データ等のデータを示す情報を含むトランザクションデータを生成してもよい。この場合、トランザクションデータ生成部１０１２は、例えば、ユーザが保有するブロックチェーンアドレスと、制御部１０１１で収集等されたデータを示す情報と、署名とを含むトランザクションデータを生成すればよい。ここで、データを示す情報は、例えば、制御部１０１１で収集等されたデータそのものであってもよいし、当該データのハッシュ値でもよいし、当該データのハッシュ値及び当該データの属性情報でもよい。

　データの属性情報には、例えば当該データを収集等したセンサまたは機器の種別が含まれてもよい。また、データが歩数データ、体重データ、体脂肪率データまたは血圧データ等である場合、データの属性情報には、当該データがいつ、どうやって、どの項目で、測定または収集されたかを示すデータ項目等が含まれてもよい。機器が家電機器等の宅内機器の場合も、データには、その動作履歴、動作日時等を示すデータ項目が含まれてもよい。

　トランザクションデータ生成部１０１２は、生成したトランザクションデータを記録部１０１４に記録する。トランザクションデータ生成部１０１２は、通信部１０１５を介して認証サーバ２００に送信する。

　＜記録部１０１４＞
　記録部１０１４は、制御部１０１１で収集した履歴情報及び測定データ等のデータを記録する。また、記録部１０１４は、トランザクションデータ生成部１０１２が生成したトランザクションデータを記録する。また、記録部１０１４は、入力部１０１３で生成された同意情報及びスマートコントラクトを記録してもよい。

　＜通信部１０１５＞
　通信部１０１５は、通信ネットワーク５００を介して、認証サーバ２００、２１０と、データサーバ３００、サービスサーバ４００、４１０と通信を行う。この通信は、ＴＬＳ（Ｔｒａｎｓｐｏｒｔ　Ｌａｙｅｒ　Ｓｅｃｕｒｉｔｙ）によりなされてもよい。この場合、ＴＬＳ通信用の暗号鍵は通信部１０１５で保持してもよい。

　続いて、端末１１０の構成の一例について説明する。

　［１．４　端末１１０の構成］
　図４は、本実施の形態に係る端末１１０の構成の一例を示すブロック図である。端末１１０は、本開示の機器の一例であり、プロセッサがメモリを用いて所定のプログラムを実行することで実現される。端末１１０は、例えばスマートフォンのような表示部及び入力部を有する機器、または、ウェアラブルデバイスのようなユーザの測定データを取得する機器等である。

　本実施の形態では、端末１１０は、図４に示すように、トランザクションデータ生成部１１０１と、入力部１１０２と、データ取得部１１０３と、記録部１１０４と、通信部１１０５とを備える。なお、以下では、端末１１０により取得または収集されるデータは、第１グループに属するデータサーバ３００に記憶されるとして説明する。

　＜入力部１１０２＞
　入力部１１０２は、データの利活用に関するユーザの同意情報を生成する。同意情報は、上述したように、取得または収集したデータが利活用されることについてユーザが同意している内容を示す情報であり、ユーザの操作に基づいて生成される。

　例えば、同意情報は、入力部１１０２が提供するデータ提供先のサービス事業者の一覧またはデータの一覧の中から、選択または選択を外すことで生成されてもよい。この場合、ユーザは、データの活用の目的、データの活用実績、または、データを活用したことによるユーザへのフィードバックもしくはインセンティブを基に、データ提供先のサービス事業者を選択してもよい。インセンティブまたはフィードバックの一例としては、ユーザがデータをサービス事業者に提供した場合に当該サービス事業者からユーザに仮想通貨が支払われることもしくは享受できる情報が表示されることが挙げられる。また、インセンティブまたはフィードバックの一例としては、ユーザが体組成計もしくは血圧計の測定履歴等の測定データをスポーツクラブに提供した場合にスポーツクラブから無料体験または会費の減額を享受できることもしくは享受できる情報が表示されることが挙げられる。

　なお、同意情報は、上記同様に、例えば入力部１１０２が提供するデータ提供先からみた第３者であって信頼度またはインセンティブに基づきユーザの所定の基準により選別される第３者にデータを提供または参照させることを同意する情報であってもよい。第３者は、入力部１１０２が提供するデータ提供先が属するグループと異なっていてもよい。

　また、入力部１１０２は、生成した同意情報に基づいて、データを提供可能であるかを判断することを実行可能にプログラム化されたスマートコントラクトを生成してもよい。

　＜トランザクションデータ生成部１１０１＞
　トランザクションデータ生成部１１０１は、ブロックチェーンにおけるトランザクションデータを生成する。本実施の形態では、トランザクションデータ生成部１１０１は、入力部１１０２で生成された同意情報を含むブロックチェーンにおけるトランザクションデータを生成する。より具体的には、トランザクションデータ生成部１１０１は、例えば、ユーザが保有するブロックチェーンアドレスと、ユーザが提供を同意したサービス事業者またはデータもしくはデータの種類を含む同意情報と、署名とを含むトランザクションデータを生成する。

　なお、トランザクションデータ生成部１１０１は、さらに、識別子を付与してトランザクションデータを生成してもよい。トランザクションデータ生成部１１０１は、ユーザ個別の署名生成鍵を用いて署名を生成すればよい。

　また、トランザクションデータ生成部１１０１は、データ取得部１１０３で取得したデータを示す情報を含むトランザクションデータを生成するとしてもよい。この場合、トランザクションデータ生成部１１０１は、例えば、ユーザが保有するブロックチェーンアドレスと、データ取得部１１０３で取得したデータを示す情報と、署名とを含むトランザクションデータを生成すればよい。データを示す情報は、例えば、データ取得部１１０３で取得したデータそのものであってもよいし、当該データのハッシュ値でもよいし、当該データのハッシュ値及び当該データの属性情報でもよい。

　また、トランザクションデータ生成部１１０１は、入力部１１０２で生成されたスマートコントラクトを含むトランザクションデータを生成してもよい。なお、トランザクションデータ生成部１１０１は、入力部１１０２で生成された同意情報とスマートコントラクトとを含むトランザクションデータを生成してもよい。

　トランザクションデータ生成部１１０１は、生成したトランザクションデータを記録部１１０４に記録する。トランザクションデータ生成部１１０１は、生成したトランザクションデータを、通信部１１０５を介して、認証サーバ２００またはデータサーバ３００に送信する。

　また、トランザクションデータ生成部１１０１は、通信部１１０５を介して取得したデータ取得依頼を含むトランザクションデータを生成してもよい。ここで、データ取得依頼は、例えば端末１１０が属するグループと異なるグループに属するデータサーバ３１０が、データを取得するまたは参照可能にする依頼であってもよい。この場合、トランザクションデータ生成部１１０１は、通信部１１０５を介して取得したデータ取得依頼とそれに対する同意情報とを含むトランザクションデータを生成すればよい。

　＜データ取得部１１０３＞
　データ取得部１１０３は、端末１１０が保有するセンサが得た測定データ等のデータを取得する。例えば端末１１０が加速度センサ及びＧＰＳセンサを保有する場合、データ取得部１１０３は、測定データとして、加速度センサから得た歩数、ＧＰＳセンサから得た位置情報を含む歩数データを取得する。また、データ取得部１１０３は、測定データとして、血圧データを取得してもよいし、心拍データを取得してもよい。つまり、データ取得部１１０３は、サービス事業者が利活用できるデータを取得する。

　データ取得部１１０３は、取得したデータを記録部１１０４に記録する。データ取得部１１０３は、通信部１１０５を介して、データサーバ３００に送信してもよい。

　＜記録部１１０４＞
　記録部１１０４は、トランザクションデータ生成部１１０１が生成したトランザクションデータを記録する。また、記録部１１０４は、データ取得部１１０３が取得したデータを記録する。なお、記録部１１０４は、入力部１１０２が生成した同意情報及びスマートコントラクトを記録してもよい。

　＜通信部１１０５＞
　通信部１１０５は、通信ネットワーク５００を介して、認証サーバ２００、データサーバ３００と通信を行う。この通信は、ＴＬＳによりなされてもよい。この場合、ＴＬＳ通信用の暗号鍵は通信部１１０５で保持してもよい。

　続いて、認証サーバ２００の構成の一例について説明する。

　［１．５　認証サーバ２００、２１０の構成］
　認証サーバ２００、２１０は、住宅１００または端末１１０から取得したデータを管理する。

　なお、上述したように、認証サーバ２００とデータサーバ３００とは第１グループに属しており、認証サーバ２００は、ブロックチェーン技術を用いてデータサーバ３００のデータを管理する。ここで、認証サーバ２００すなわち認証サーバ２００ａ、２００ｂ、２００ｃは、複数の第１認証サーバの一例であり、認証サーバ２００ａは、複数の第１認証サーバのうちの一つの第１認証サーバの一例である。

　また、認証サーバ２１０とデータサーバ３１０とは第２グループに属しており、認証サーバ２１０は、ブロックチェーン技術を用いてデータサーバ３１０のデータを管理する。ここで、認証サーバ２１０すなわち認証サーバ２１０ａ、２１０ｂ、２１０ｃは、複数の第２認証サーバの一例であり、例えば認証サーバ２１０ｃは、複数の第２認証サーバのうちの一つの第２認証サーバの一例である。

　認証サーバ２００ａ、２００ｂ、２００ｃ、２１０ａ、２１０ｂ、２１０ｃは同様の構成であるため、以下では、認証サーバ２００ａを例に挙げて説明する。

　図５は、本実施の形態に係る認証サーバ２００ａの構成の一例を示すブロック図である。

　認証サーバ２００ａは、図５に示すように、トランザクションデータ検証部２１１と、ブロック生成部２１２と、同期部２１３と、スマートコントラクト実行部２１４と、記録部２１５と、通信部２１６とを備える。認証サーバ２００ａは、プロセッサがメモリを用いて所定のプログラムを実行することで実現され得る。以下、各構成要素について説明する。

　＜トランザクションデータ検証部２１１＞
　トランザクションデータ検証部２１１は、取得したトランザクションデータを検証する。具体的には、住宅１００または端末１１０等の機器からのトランザクションデータを取得すると、トランザクションデータ検証部２１１は、トランザクションデータのフォーマットが合っているか、及び署名が正当であるかを検証する。例えば、データ取得依頼を含むトランザクションデータを検証する場合、トランザクションデータ検証部２１１は、当該トランザクションデータに含まれるアドレス、データ取得依頼及び署名が正当であるかを検証する。なお、例えばデータを示す情報を含むトランザクションデータを検証する場合、トランザクションデータ検証部２１１は、当該トランザクションデータに含まれるアドレス、データを示す情報及び署名が正当であるかを検証すればよい。

　このように、トランザクションデータ検証部２１１は、取得したトランザクションデータの正当性を確認することでトランザクションデータを検証する。

　トランザクションデータ検証部２１１は、検証した結果、トランザクションデータの正当性を確認した場合、そのトランザクションデータを記録部２１５に記録する。ここで、正当なトランザクションデータと判断した場合は、同期部２１３へ通知する。

　＜ブロック生成部２１２＞
　ブロック生成部２１２は、トランザクションデータ検証部２１１においてトランザクションデータの検証が成功した場合、複数の認証サーバ２００の間で、トランザクションデータについてのコンセンサスアルゴリズムを実行する。ここで、コンセンサスアルゴリズムは、ＰＢＦＴ（Ｐｒａｃｔｉｃａｌ　Ｂｙｚａｎｔｉｎｅ　Ｆａｕｌｔ　Ｔｏｌｅｒａｎｃｅ）とよばれるコンセンサスアルゴリズムを用いてもよいし、ＰｏＷ（Ｐｒｏｏｆ　ｏｆ　Ｗｏｒｋ）等その他の公知のコンセンサスアルゴリズムを用いてもよい。

　本実施の形態では、ブロック生成部２１２は、同一グループすなわち第１グループに属する認証サーバ２００ａ、認証サーバ２００ｂ及び認証サーバ２００ｃの間でコンセンサスアルゴリズムを実行する。すなわち、ブロック生成部２１２は、まず、１以上のトランザクションデータを含むブロックチェーンのブロックを生成する。次に、ブロック生成部２１２は、コンセンサスアルゴリズムを実行する。そして、ブロック生成部２１２は、コンセンサスアルゴリズムを実行することで合意形成ができた場合、生成したブロックを記録部２１５に記録する。ブロック生成部２１２により生成されたブロックは、記録部２１５によりブロックチェーンに接続されて記録される。

　ここで、ブロックチェーンのデータ構造について説明する。

　図６は、ブロックチェーンのデータ構造を示す説明図である。

　ブロックチェーンは、その記録単位であるブロックがチェーン（鎖）状に接続されたものである。それぞれのブロックは、複数のトランザクションデータと、直前のブロックのハッシュ値とを有している。具体的には、ブロックＢ２には、その前のブロックＢ１のハッシュ値が含まれている。そして、ブロックＢ２に含まれる複数のトランザクションデータと、ブロックＢ１のハッシュ値とから演算されたハッシュ値が、ブロックＢ２のハッシュ値として、ブロックＢ３に含められる。このように、前のブロックの内容をハッシュ値として含めながら、ブロックをチェーン状に接続することで、接続されたトランザクションデータの改ざんを有効に防止する。

　仮に過去のトランザクションデータが変更されると、ブロックのハッシュ値が変更前と異なる値になり、改ざんしたブロックを正しいものとみせかけるには、それ以降のブロックすべてを作り直さなければならず、この作業は現実的には非常に困難である。

　＜同期部２１３＞
　同期部２１３は、同一グループすなわち第１グループに属する複数の認証サーバ２００（認証サーバ２００ａ～２００ｃ）の間でブロックチェーンのブロック、または、トランザクションデータの同期を行う。

　複数の認証サーバ２００の同期部２１３では、ｐｅｅｒｔｏ　ｐｅｅｒでブロックチェーンのトランザクションデータの同期を行う。そして、同期部２１３は、同期が行われたブロックチェーンのトランザクションデータを記録部２１５に記録する。例えば、同期部２１３は、トランザクションデータ検証部２１１においてトランザクションデータの正当性が検証されると、他の認証サーバ２００である認証サーバ２００ｂ、２００ｃに検証済みのトランザクションデータを転送する。また、同期部２１３は、他の認証サーバ２００から検証済みのトランザクションデータを受信した場合、受信した検証済みのトランザクションデータを記録部２１５に記録する。

　＜スマートコントラクト実行部２１４＞
　スマートコントラクト実行部２１４は、分散台帳に記録されているスマートコントラクトを、ワーキングメモリに格納する。スマートコントラクト実行部２１４は、ワーキングメモリに格納されるスマートコントラクトを実行する。

　例えば、スマートコントラクト実行部２１４は、データ取得依頼を含むトランザクションデータを含むブロックが生成されて認証サーバ２００ａの分散台帳に記録されると、ユーザの同意情報に基づいて生成されたスマートコントラクトをワーキングメモリに格納する。スマートコントラクト実行部２１４は、ワーキングメモリに格納したスマートコントラクトを実行することで、実行されたスマートコントラクトに、データ提供可否を判断させることができる。また、実行されたスマートコントラクトは、データ提供可否の判断結果の通知をしたり、データ取得依頼を含むトランザクションデータに含まれるブロックチェーンアドレスに対して、アクセス権の付与を行ったりする。このように、スマートコントラクト実行部２１４は、例えばサービスサーバ４００からのアクセスをトリガにして、スマートコントラクトを実行することで、データサーバ３００が保有するデータに対するサービスサーバ４００のアクセス管理ができる。

　なお、データ取得依頼が認証サーバ２００ａと属する第１グループと異なる第２グループに属するデータサーバ３１０等がデータを取得するまたは参照可能にする依頼である場合、実行されたスマートコントラクトは、次のように動作する。すなわち、実行されたスマートコントラクトは、ユーザの同意情報に基づいて第２グループに属するデータサーバ３１０等に対するデータ提供可否を判断する。そして、実行されたスマートコントラクトは、提供可能であると判断したとき、第１グループに属するデータサーバ３００に、ユーザのデータを、データサーバ３１０に転送、または、データサーバ３１０により参照可能にさせればよい。このように、スマートコントラクト実行部２１４は、データ取得依頼を含むトランザクションデータが分散台帳に記録されたことをトリガにして、スマートコントラクトを実行して、データサーバ３００が保有するデータを異なるグループに提供する。また、分散台帳にデータが転送されたまたは参照可能にされたことが記録されるので、データのトレーサビリティを確保することができる。

　また、例えば、スマートコントラクト実行部２１４は、インセンティブ支払いまたはフィードバック提供に関する情報を含むトランザクションデータが分散台帳に記録されると、インセンティブ支払いまたはフィードバック提供に基づいて生成されたスマートコントラクトをワーキングメモリに格納する。スマートコントラクト実行部２１４は、ワーキングメモリに格納したスマートコントラクトを実行することで、実行されたスマートコントラクトに、インセンティブ支払いまたはフィードバック提供をさせることができる。インセンティブ支払いまたはフィードバック提供は、インセンティブ支払いまたはフィードバック提供をした旨の通知をすることでもよいし、ユーザに対してインセンティブ支払いまたはフィードバック提供をすることでもよい。

　＜記録部２１５＞
　記録部２１５は、トランザクションデータをブロックに含めて、認証サーバ２００ａの分散台帳に記録する。当該分散台帳は、記録部２１５の内部に構成されていてもよいし、認証サーバ２００ａの外部記憶装置の内部に構成されていてもよい。

　なお、当該トランザクションデータは、住宅１００または端末１１０から取得したトランザクションデータを含む。

　本実施の形態では、記録部２１５は、本開示の機器から受信したトランザクションデータの正当性が確認された場合、当該トランザクションデータを含むブロックを認証サーバ２００ａの分散台帳に記録する。なお、分散台帳に記録されるブロックチェーンのブロックは、サービスサーバ４００、住宅１００または端末１１０に公開されてもよい。

　＜通信部２１６＞
　通信部２１６は、住宅１００、端末１１０、認証サーバ２００ｂ、２００ｃ、データサーバ３００、及びサービスサーバ４００との通信を行う。また、通信部２１６は、認証サーバ２１０との通信を行う場合もある。これらの通信は、ＴＬＳによりなされてもよい。この場合、ＴＬＳ通信用の暗号鍵は通信部２１６で保持するとしてもよい。

　このように、認証サーバ２００ａは、住宅１００または端末１１０から取得したデータの正当性を検証したり、データ提供の可否を管理したり、サービスサーバ４００にデータ提供したりするための処理を行う。また、認証サーバ２００ａは、自身が属する第１グループと異なる第２グループに対するデータ提供の可否を管理したり、第２グループにデータ提供したりするための処理を行う。なお、ここでのデータ提供は、例えばデータの転送でもよいし、データを参照可能にすることでもよい。

　また、住宅１００または端末１１０から取得されるデータは、データサーバ３００で記録され、認証サーバ２００ａで記録されないとして説明したが、これに限らない。認証サーバ２００ａで当該データが記録されてもよい。この場合、認証サーバ２００ａの分散台帳に、当該データを含めたトランザクションデータとして記録されてもよい。

　次に、データサーバ３００、３１０について説明する。

　［１．６　データサーバ３００、３１０の構成］
　データサーバ３００、３１０は、住宅１００または端末１１０から取得したデータを記録（記憶）することで当該データを管理する。データサーバ３００、３１０は、複数のデータサーバの一例である。データサーバ３００は、１以上の第１データサーバの一例であり、上述したように第１グループに属している。また、データサーバ３１０は、１以上の第１データサーバと異なる１以上の第２データサーバの一例であり、上述したように第２グループに属している。

　データサーバ３００、３１０は、同様の構成であるため、以下では、データサーバ３００を例に挙げて説明する。

　図７は、本実施の形態に係るデータサーバ３００の構成の一例を示すブロック図である。

　データサーバ３００は、図７に示すように、データ管理部３１１と、ユーザ管理部３１２と、記録部３１３と、通信部３１４とを備える。データサーバ３００は、プロセッサがメモリを用いて所定のプログラムを実行することで実現され得る。以下、各構成要素について説明する。

　＜データ管理部３１１＞
　データ管理部３１１は、住宅１００または端末１１０から取得したデータを管理する。本実施の形態では、データ管理部３１１は、住宅１００または端末１１０から取得したデータを記録部３１３に記録する。ここで、取得したデータは、住宅１００または端末１１０等の本開示の機器がユーザから収集等したデータでもよいし、ユーザ情報であってもよい。収集等したデータは、上述したように、ヘルスケアデータに限らず、心拍等のバイタルデータを含むユーザパーソナルデータであってもよいし、測定データであってもよいし、機器の動作履歴または機器の操作履歴等の機器の履歴情報であってもよい。

　また、ユーザ管理部３１２は、取得したデータのユーザ情報を管理する。ユーザ情報は、例えば、端末１１０を利用しているユーザに関する情報、住宅１００内にいるユーザを含む家族構成等のユーザに関する情報である。

　また、データ管理部３１１は、データサーバ３００が属する第１グループにアクセス可能なサービスサーバ４００からデータ提供の依頼を受けたときには、認証サーバ２００の分散台帳に記録されている同意情報に基づいて、ユーザのデータを提供する。例えば、認証サーバ２００で同意情報に基づいて生成されたスマートコントラクトが実行され、データの提供可を示す通知を認証サーバ２００から、データサーバ３００が受信したとする。この場合、さらに、データ管理部３１１は、サービスサーバ４００からデータ提供の依頼を受けたときには、ユーザの当該データを提供する。なお、データ管理部３１１は、サービスサーバ４００から、データ提供の依頼とともに、データ提供してほしいデータに対応するブロックチェーンアドレスも受けてもよい。

　なお、例えば第１グループにアクセスできないが第２グループにアクセスできるサービスサーバ４１０から、第１グループに属する認証サーバ２００ａにデータ提供の依頼を受けた場合には、データ管理部３１１は、次のような動作をする。すなわち、データ管理部３１１は、同意情報に基づいて認証サーバ２００ａによって制御されて、記録部３１３に記録されているユーザのデータを、第２グループに属する例えばデータサーバ３１０に転送、または、データサーバ３１０による参照可能にさせる。このように、データ管理部３１１は、同意情報に基づいて認証サーバ２００ａによって制御されて、異なるグループである例えば第２グループのデータサーバ３１０にデータ提供する。

　＜記録部３１３＞
　記録部３１３は、住宅１００または端末１１０等の本開示の機器から取得したデータを記録する。

　＜通信部３１４＞
　通信部３１４は、通信ネットワーク５００を介して、住宅１００、端末１１０、認証サーバ２００、サービスサーバ４００と通信を行う。また、通信部３１４は、通信ネットワーク５００を介して、データサーバ３１０またはサービスサーバ４００と通信を行ってもよい。これらの通信は、ＴＬＳによりなされてもよい。この場合、ＴＬＳ通信用の暗号鍵は通信部３１４で保持してもよい。

　このように、第１グループに属するデータサーバ３００は、住宅１００または端末１１０から取得したデータを記録する。また、第１グループに属するデータサーバ３００は、スマートコントラクト等、認証サーバ２００の制御等により、異なるグループである第２グループに属するデータサーバ３１０にデータ提供を行う。データ提供は、上述したように、データを転送すること、及び／または、データの参照を可能にすることを含む。

　なお、本実施の形態では、データサーバ３００と認証サーバ２００とは独立したサーバとして説明しているが、これに限らない。データサーバ３００の機能は、認証サーバ２００に含まれて動作してもよい。

　続いて、サービスサーバ４００、４１０の構成の一例について説明する。

　［１．７　サービスサーバ４００の構成］
　サービスサーバ４００、４１０はそれぞれ、異なるサービス事業者が管理するサーバであり、サービス事業者が提供するサービスにおけるユーザ及びサービスの管理を行う。サービス事業者は、例えばスポーツクラブ等である。サービスサーバ４００、４１０はそれぞれ、各端末１１０及び／または住宅１００から取得したデータを活用し、サービスを提供する。本実施の形態では、サービスサーバ４００は、第２グループにアクセスできないが第１グループにアクセスでき、第１グループに属するデータサーバ３００が有するデータを利活用できる。一方、サービスサーバ４１０は、第１グループにアクセスできないが第２グループにアクセスでき、第２グループに属するデータサーバ３１０が有するデータを利活用できる。

　サービスサーバ４００、４１０は、同様の構成であるため、以下では、サービスサーバ４００を例に挙げて説明する。

　図８は、本実施の形態に係るサービスサーバ４００の構成の一例を示すブロック図である。

　サービスサーバ４００は、図８に示すように、サービス管理部４１１と、ユーザ管理部４１２と、トランザクションデータ生成部４１３と、記録部４１４と、通信部４１５とを備える。サービスサーバ４００は、プロセッサがメモリを用いて所定のプログラムを実行することで実現され得る。以下、各構成要素について説明する。

　＜サービス管理部４１１＞
　サービス管理部４１１は、ユーザ管理部４１２が管理するユーザの情報を活用し、サービスを提供する。例えば、サービス管理部４１１は、ユーザの体組成計測値または血圧計測値等の測定データを含むデータをデータサーバ３００から取得し、新たなヘルスケアサービスを提供したり、効果を実証したりする。

　サービス管理部４１１は、ユーザ管理部４１２が管理するユーザの情報を利用して、データの取得を依頼する旨を示すデータ取得依頼を生成し、トランザクションデータ生成部４１３に送信する。サービス管理部４１１は、例えば、ユーザのどのようなデータを取得したいかを決定し、取得したいユーザの属性情報または取得したいデータ種別等を基に、データ取得依頼を生成する。データ取得依頼には、例えば、ユーザの識別子が事前に判明している場合はユーザの識別子を指定した依頼が含まれていてもよいし、ブロックチェーンアドレスが指定した依頼が含まれていてもよいし、属性を指定した依頼が含まれていてもよい。ここでの属性は、住宅１００または端末１１０等の機器の種別でもよいし、機器から取得したデータの種別でもよいし、ユーザの属性でもよい。

　なお、サービス管理部４１１の取得したいデータが、第１グループに属するデータサーバ３００に記録されておらず、第１グループと異なる第２グループに属するデータサーバ３１０にのみ記録されている場合もある。この場合、サービス管理部４１１は、通信部４１５を介して、トランザクションデータ生成部４１３により生成されたデータ取得依頼を含むトランザクションデータを、第１グループに属する認証サーバ２００と第２グループに属する認証サーバ２１０に送信する。第２グループに属する認証サーバ２１０が、第１グループのデータサーバ３００等にデータ提供してもよいと判断した場合、当該認証サーバ２１０の制御により、第２グループに属するデータサーバ３１０が有するデータが第１グループに属するデータサーバ３００に提供される。このようにして、サービス管理部４１１は、取得したいデータが、データサーバ３００に記録されておらず、データサーバ３１０にのみ記録されている場合でも、データサーバ３００に提供されることでデータサーバ３００から当該データを取得することができる。

　また、サービス管理部４１１は、データを取得した場合、取得したデータに対する対価として、取得したデータのユーザに対してインセンティブ支払いまたはフィードバック提供に関する情報を生成し、トランザクションデータ生成部４１３に送信する。ここで、インセンティブ支払いまたはフィードバック提供に関する情報は、取得したデータに対する対価として、ユーザのブロックチェーンアドレスに対して仮想通貨が支払われた旨が含まれていてもよい。なお、サービス管理部４１１は、生成したインセンティブ支払いまたはフィードバック提供に基づいてスマートコントラクトを生成してもよい。この場合、スマートコントラクトには、例えば、取得したデータに対する対価として、ユーザのブロックチェーンアドレスに対して仮想通貨を支払うことを実行するためのプログラムが含まれていてもよい。

　＜ユーザ管理部４１２＞
　ユーザ管理部４１２は、サービスを提供する対象となるユーザの情報を取得し、取得したユーザの情報を管理する。

　＜トランザクションデータ生成部４１３＞
　トランザクションデータ生成部４１３は、サービス管理部４１１により生成されたデータ取得依頼を含むトランザクションデータを生成する。

　また、トランザクションデータ生成部４１３は、サービス管理部４１１により生成されたインセンティブ支払いまたはフィードバック提供に関する情報を含むトランザクションデータを生成する。

　また、トランザクションデータ生成部４１３は、サービス管理部４１１により生成されたインセンティブ支払いまたはフィードバック提供に基づくスマートコントラクトを含むトランザクションデータを生成してもよい。

　＜記録部４１４＞
　記録部４１４は、サービス提供に必要なユーザの情報またはサービスの情報を記録する。また、記録部４１４は、トランザクションデータ生成部４１３が生成したトランザクションデータを記録する。なお、記録部４１４は、サービス管理部４１１により生成されたデータ取得依頼、インセンティブ支払いもしくはフィードバック提供に関する情報、及び、スマートコントラクトを記録してもよい。

　＜通信部４１５＞
　通信部４１５は、通信ネットワーク５００を介して、認証サーバ２００及びデータサーバ３００と通信を行う。この通信は、ＴＬＳによりなされてもよい。この場合、ＴＬＳ通信用の暗号鍵は通信部４１５で保持するとしてもよい。

　［１．８　データ流通システム１０の全体シーケンス］
　続いて、データ流通システム１０の全体シーケンスについて説明する。図９Ａ及び図９Ｂは、本実施の形態に係るデータ流通システム１０の全体シーケンス図である。各処理については後述する。

　図９Ａに示すように、ステップＳ１００では、端末１１０と住宅１００と第１グループに属する認証サーバ２００ａ～２００ｃとの間で同意情報登録処理が行われる。図９Ａでは、例えば端末１１０と第１グループに属する認証サーバ２００ａ～２００ｃとの間で同意情報登録処理が行われる。

　また、ステップＳ２００では、端末１１０と住宅１００と第１グループに属する認証サーバ２００ａ～２００ｃとデータサーバ３００との間でデータ登録処理が行われる。図９Ａでは、例えば住宅１００と第１グループに属する認証サーバ２００ａ～２００ｃとの間でデータ登録処理が行われる。

　また、ステップＳ３００では、端末１１０と住宅１００と認証サーバ２００ａ～２００ｃとデータサーバ３００とサービスサーバ４００との間でデータ参照処理が行われる。

　なお、ステップＳ３００のデータ参照処理は、ステップＳ１００の同意情報登録処理においてユーザの同意情報が登録された後に実行可能になる。図９Ａでは、例えば端末１１０と認証サーバ２００ａ～２００ｃとデータサーバ３００とサービスサーバ４００との間でデータ参照処理が行われる。

　また、ステップＳ５００では、図９Ｂに示すように、端末１１０と、サービスサーバ４００と、第１グループに属する認証サーバ２００及びデータサーバ３００と、第２グループに属する認証サーバ２１０及びデータサーバ３１０との間でデータ提供処理が行われる。ステップＳ５００のデータ提供処理は、ステップＳ２００のデータ登録処理においてユーザのデータが登録された後に実行可能になる。後述するデータ提供処理では、第１グループに属するデータサーバ３００のデータが第２グループに属するデータサーバ３１０に提供される場合について説明する。

　［１．８．１　同意情報登録処理］
　続いて、端末１１０と認証サーバ２００ａ～２００ｃとの間での同意情報登録処理について説明する。

　図１０は、本実施の形態に係る端末１１０と認証サーバ２００ａ～２００ｃとの間での同意情報登録処理を示すシーケンス図である。なお、図１０では、端末１１０が同意情報を登録する場合が示されているが、住宅１００のコントローラ１０１が同意情報を登録する場合でも同様の処理となる。また、図１０では、端末１１０と、第１グループに属する認証サーバ２００ａ～２００ｃとの間での同意情報登録処理が示されているが、これに限らない。住宅１００と第２グループに属する認証サーバ２１０ａ～２１０ｃとの間で同意情報登録処理が行われる場合も同様の処理となる。

　まず、端末１１０は、ユーザの操作に基づいて同意情報を生成する（Ｓ１０１）。ここで、端末１１０には、入力部１０１３としてアプリケーションが導入されており、アプリケーションがユーザの操作に基づいて同意情報を生成してよい。この場合、ユーザは、入力部１０１３が提供するデータ提供先のサービス事業者の一覧またはデータの一覧の中から、選択または選択を外すかを指示するだけで、端末１１０に同意情報を生成させることができる。

　なお、ユーザは、端末１１０に同意情報を生成させる際、サービス事業者からのフィードバックが多いか否かを判断した上で同意情報を生成させてもよい。例えば、ユーザは、データをサービス事業者に提供した場合、仮想通貨が提供されること、または、サービス事業者のクーポンもしくは割引が提供されることといったフィードバックの内容から、選択するデータ提供先（つまりデータ提供の同意）を決めてもよい。また、例えば、ユーザは、データをサービス事業者に提供した場合に提供される仮想通貨の額またはクーポンもしくは割引の額等ユーザへのフィードバックの内容を基に選択するデータ提供先（つまりデータ提供の同意）を決めてもよい。フィードバックの内容は、サービス事業者から公開されるとしてもよいし、認証サーバ２００のブロックチェーンに記録されていてもよい。

　次に、端末１１０は、ステップＳ１０１で生成した同意情報に基づいて、スマートコントラクトを生成する（Ｓ１０２）。このスマートコントラクトは、データを提供可能であるかを判断することを実行可能にプログラム化されたものである。このスマートコントラクトには、ステップＳ１０１で生成された同意情報が含まれてもよい。さらに、このスマートコントラクトには、フィードバックが一定以上である場合に提供するか否かを判断することを実行可能にプログラムが含まれていてもよい。

　次に、端末１１０は、生成した同意情報とスマートコントラクトとを含むトランザクションデータを生成する（Ｓ１０３）。

　次に、端末１１０は、ステップＳ１０３で生成したトランザクションデータを、認証サーバ２００ａに送信する（Ｓ１０４）。なお、図１０に示す例では、端末１１０は、生成したトランザクションデータを認証サーバ２００ａに送信しているが、認証サーバ２００ｂ、２００ｃに送信してもよい。認証サーバ２００ｂ、２００ｃに送信した場合も同様である。

　次に、認証サーバ２００ａは、端末１１０からトランザクションデータを取得すると（Ｓ１０５）、取得した当該トランザクションデータの検証を行う（Ｓ１０６）。

　ステップＳ１０６において、当該トランザクションデータの検証が成功しなかった場合（Ｓ１０６でＮ）、認証サーバ２００ａは、端末１１０にその旨の通知を送信する（Ｓ１０７）。

　一方、ステップＳ１０６において、当該トランザクションデータの検証が成功した場合（Ｓ１０６でＹ）、認証サーバ２００ａは、他の認証サーバ２００（認証サーバ２００ｂ、２００ｃ）に当該トランザクションデータを転送する（Ｓ１０８）。なお、他の認証サーバ２００でも、転送された当該トランザクションデータを検証する。

　次に、認証サーバ２００ａと認証サーバ２００ｂと認証サーバ２００ｃとは、コンセンサスアルゴリズムを実行する（Ｓ１０９）。認証サーバ２００ａと認証サーバ２００ｂと認証サーバ２００ｃとは、当該トランザクションデータが正当なトランザクションデータであること（つまり正当性）を検証すると、それぞれ当該トランザクションデータを含むブロックを生成する。そして、認証サーバ２００ａ、２００ｂ、２００ｃは、当該トランザクションデータを含むブロックを分散台帳に記録する。

　このようにして端末１１０が作成したスマートコントラクトと同意情報とが分散台帳に記録される。

　そして、スマートコントラクトは、分散台帳に記録されることで、実行可能になるすなわち稼働する（Ｓ１１０）。なお、スマートコントラクトは、分散台帳に記録されることで、認証サーバ２００ａ等のワーキングメモリに格納されるので実行可能になる。

　［１．８．２　データ登録処理］
　続いて、住宅１００と認証サーバ２００ａ～２００ｃとデータサーバ３００との間でのデータ登録処理について説明する。

　図１１は、本実施の形態に係る住宅１００と認証サーバ２００ａ～２００ｃとデータサーバ３００との間でのデータ登録処理を示すシーケンス図である。なお、図１１では、住宅１００が取得したデータをデータサーバ３００に登録する場合について示されているが、端末１１０が取得したデータを登録する場合でも同様の処理となる。また、図１１では、住宅１００と、第１グループに属する認証サーバ２００ａ～２００ｃ及びデータサーバ３００との間でのデータ登録処理が示されているが、これに限らない。住宅１００と第２グループに属する認証サーバ２１０ａ～２１０ｃ及びデータサーバ３１０との間でデータ登録処理が行われる場合も同様の処理となる。

　まず、住宅１００は、住宅１００の宅内機器等により得られたデータを取得する（Ｓ２０１）。住宅１００が取得するデータは、例えば、宅内機器の操作履歴でもよいし、太陽光発電装置１０２で発電した電力量でもよいし、蓄電池１０３が出力する電力量データでもよい。また、住宅１００が取得するデータは、エアコン１０４の操作履歴でもよいし、体組成計１０５及び／または血圧計１０６で計測したバイタルデータでもよい。つまり、当該データは、住宅１００により取得され、かつ、サービス事業者が利活用できるデータであればよい。

　次に、住宅１００は、ステップＳ２０１で取得したデータに関する情報を含むデータ登録のトランザクションデータを生成する（Ｓ２０２）。ここでのデータに関する情報は、例えば、当該データのハッシュ値及び当該データの属性情報であるとする。この場合、当該トランザクションデータは、ブロックチェーンアドレス、ハッシュ値、属性情報及び署名を含む。

　次に、住宅１００は、ステップＳ２０１で取得したデータを認証サーバ２００ａに、ステップＳ２０２で生成した当該トランザクションデータをデータサーバ３００に送信する（Ｓ２０３）。なお、図１１に示す例では、住宅１００は、ステップＳ２０１で取得したトランザクションデータを認証サーバ２００ａに送信しているが、認証サーバ２００ｂ、２００ｃに送信してもよい。認証サーバ２００ｂ、２００ｃに送信した場合も同様である。

　次に、データサーバ３００は、住宅１００からデータを取得すると（Ｓ２０４）、データサーバ３００は、ステップＳ２０４で取得したデータを記録する（Ｓ２０５）。

　次に、認証サーバ２００ａは、住宅１００からトランザクションデータを取得すると（Ｓ２０６）、取得したトランザクションデータの検証を行う（Ｓ２０７）。なお、ステップＳ２０４とステップＳ２０６の順番は、この通りではなく、変更してもよい。

　ステップＳ２０７において、トランザクションデータの検証が成功しなかった場合（Ｓ２０７でＮ）、認証サーバ２００ａは、住宅１００にその旨の通知を送信する（Ｓ２０８）。なお、認証サーバ２００ａは、住宅１００にその旨の通知する場合に限らず、データサーバ３００にもその旨を通知するとしてもよい。さらに、この場合、データサーバ３００はステップＳ２０５で記録したデータを削除してもよい。

　一方、ステップＳ２０７において、トランザクションデータの検証が成功した場合（Ｓ２０７でＹ）、認証サーバ２００ａは、他の認証サーバ２００（認証サーバ２００ｂ、２００ｃ）にトランザクションデータを転送する（Ｓ２０９）。なお、他の認証サーバ２００でも、転送されたトランザクションデータを検証する。

　次に、認証サーバ２００ａと認証サーバ２００ｂと認証サーバ２００ｃとは、コンセンサスアルゴリズムを実行する（Ｓ２１０）。認証サーバ２００ａと認証サーバ２００ｂと認証サーバ２００ｃとは、当該トランザクションデータが正当なトランザクションデータであること（つまり正当性）を検証すると、それぞれ当該トランザクションデータを含むブロックを生成する。そして、認証サーバ２００ａ、２００ｂ、２００ｃは、当該トランザクションデータを含むブロックを分散台帳に記録する。

　このようにして、データに関する情報を含むデータ登録のトランザクションデータを含むブロックが分散台帳に記録され、データそのものがデータサーバ３００に記録される。

　［１．８．３　データ参照処理］
　続いて、端末１１０と認証サーバ２００ａ～２００ｃとデータサーバ３００とサービスサーバ４００との間でのデータ参照処理について説明する。

　図１２Ａ及び図１２Ｂは、本実施の形態に係る端末１１０と認証サーバ２００ａ～２００ｃとデータサーバ３００とサービスサーバ４００との間でのデータ参照処理を示すシーケンス図である。図１２Ａ及び図１２Ｂに示す例では、サービスサーバ４００が、データサーバ３００からデータを取得する場合について説明する。なお、端末１１０とサービスサーバ４１０と第２グループに属する認証サーバ２１０ａ～２１０ｃ及びデータサーバ３１０との間でデータ参照処理が行われる場合も同様の処理となる。つまり、サービスサーバ４１０が、データサーバ３１０からデータを取得する場合も同様である。

　まず、図１２Ａにおいて、サービスサーバ４００は、例えば、ユーザのどのようなデータを取得したいかを決定した場合、データ取得の依頼を行うことを決定する（Ｓ３０１）。

　次に、サービスサーバ４００は、データ取得を依頼する旨を示すデータ取得依頼を生成し、データ取得依頼を含むデータ取得依頼のトランザクションデータを生成する（Ｓ３０２）。

　次に、サービスサーバ４００は、生成したトランザクションデータを、認証サーバ２００ｃに送信する（Ｓ３０３）。図１２Ａに示す例では、サービスサーバ４００は、ステップＳ３０２で生成したトランザクションデータを認証サーバ２００ｃに送信しているが、認証サーバ２００ａ、２００ｂに送信してもよい。認証サーバ２００ａ、２００ｂに送信した場合も同様である。

　次に、認証サーバ２００ｃは、サービスサーバ４００から当該トランザクションデータを取得すると（Ｓ３０４）、取得した当該トランザクションデータの検証を行う（Ｓ３０５）。

　ステップＳ３０５において、当該トランザクションデータの検証が成功しなかった場合（Ｓ３０５でＮ）、認証サーバ２００ｃは、サービスサーバ４００にその旨の通知を送信する（Ｓ３０６）。

　一方、ステップＳ３０５において、当該トランザクションデータの検証が成功した場合（Ｓ３０５でＹ）、認証サーバ２００ｃは、他の認証サーバ２００（認証サーバ２００ａ、２００ｂ）に当該トランザクションデータを転送する（Ｓ３０７）。なお、他の認証サーバ２００でも、転送された当該トランザクションデータを検証する。

　次に、認証サーバ２００ａと認証サーバ２００ｂと認証サーバ２００ｃとは、コンセンサスアルゴリズムを実行する（Ｓ３０８）。認証サーバ２００ａと認証サーバ２００ｂと認証サーバ２００ｃとは、当該トランザクションデータが正当なトランザクションデータであること（つまり正当性）を検証すると、それぞれ当該トランザクションデータを含むブロックを生成する。そして、認証サーバ２００ａ、２００ｂ、２００ｃは、当該トランザクションデータを含むブロックを分散台帳に記録する。

　次に、認証サーバ２００ａと認証サーバ２００ｂと認証サーバ２００ｃとは、分散台帳に記録されたスマートコントラクトを実行する（Ｓ３０９）。このスマートコントラクトは、同意情報に基づいて生成されたものであり、分散台帳に記録されたことで、ワーキングメモリに格納されて実行可能になっている。そして、認証サーバ２００で実行されたスマートコントラクトは、同意情報に基づいて、サービスサーバ４００に依頼されたデータの提供が可能か否かを判断する。当該スマートコントラクトは、判断結果の通知を、データサーバ３００とサービスサーバ４００とに送信する（Ｓ３１０）。なお、当該スマートコントラクトは、判断結果の通知を、データサーバ３００とサービスサーバ４００とに送信する場合に限らない。スマートコントラクトは、サービスサーバ４００に依頼されたデータの提供が可能になったことを、ユーザが使用する端末１１０に通知してもよい。

　次に、データサーバ３００とサービスサーバ４００とは、ステップＳ３１０で送信された通知を受信する（Ｓ３１１）。ここで、ステップＳ３１０で送信された通知は、サービスサーバ４００に依頼されたデータの提供が可能である旨を示しているとする。

　次に、サービスサーバ４００は、データサーバ３００に対して、データ提供の依頼を行う（Ｓ３１２）。なお、サービスサーバ４００は、データ提供を取得するためにデータサーバ３００にアクセスするとしてもよい。

　次に、データサーバ３００は、サービスサーバ４００から、データ提供の依頼を取得すると（Ｓ３１３）、ステップＳ３１１で認証サーバ２００ｃから受信した通知を確認し、サービスサーバ４００に依頼されたデータの提供が可能であるかを判断する（Ｓ３１４）。なお、データサーバ３００は、ステップＳ３１４において、ステップＳ３１１で認証サーバ２００ｃから受信した通知を確認し、サービスサーバ４００に依頼されたデータの提供が不可であることを判断すると（Ｓ３１４でＮ）、サービスサーバ４００にその旨の通知を送信する（Ｓ３１５）。

　ステップＳ３１４において、ステップＳ３１１で認証サーバ２００から受信した通知を確認し、サービスサーバ４００に依頼されたデータの提供が可能であることを判断すると（Ｓ３１４でＹ）、データサーバ３００は、サービスサーバ４００に、依頼されたデータを提供する（Ｓ３１６）。

　次に、サービスサーバ４００は、依頼したデータを取得する（Ｓ３１７）。

　すると、サービスサーバ４００は、インセンティブ支払いのトランザクションデータを生成する（Ｓ３１８）。より具体的には、サービスサーバ４００は、インセンティブ支払いに関する情報を含むトランザクションデータを生成する。

　次に、サービスサーバ４００は、ステップＳ３１８で生成したトランザクションデータを、認証サーバ２００ｃに送信する（Ｓ３１９）。なお、図１２Ｂに示す例では、サービスサーバ４００は、生成したトランザクションデータを認証サーバ２００ｃに送信しているが、認証サーバ２００ａ、２００ｂに送信してもよい。認証サーバ２００ａ、２００ｂに送信した場合も同様である。

　次に、認証サーバ２００ｃは、サービスサーバ４００からトランザクションデータを取得すると（Ｓ３２０）、取得したトランザクションデータの検証を行う（Ｓ３２１）。

　ステップＳ３２１において、当該トランザクションデータの検証が成功しなかった場合（Ｓ３２１でＮ）、認証サーバ２００ｃは、サービスサーバ４００にその旨の通知を送信する（Ｓ３２２）。

　一方、ステップＳ３２１において、当該トランザクションデータの検証が成功した場合（Ｓ３２１でＹ）、認証サーバ２００ｃは、他の認証サーバ２００（認証サーバ２００ａ、２００ｂ）に当該トランザクションデータを転送する（Ｓ３２３）。なお、他の認証サーバ２００でも、転送されたトランザクションデータを検証する。

　次に、認証サーバ２００ａと認証サーバ２００ｂと認証サーバ２００ｃとは、コンセンサスアルゴリズムを実行する（Ｓ３２４）。認証サーバ２００ａと認証サーバ２００ｂと認証サーバ２００ｃとは、当該トランザクションデータが正当なトランザクションデータであること（つまり正当性）を検証すると、それぞれ当該トランザクションデータを含むブロックを生成する。そして、認証サーバ２００ａ、２００ｂ、２００ｃは、当該トランザクションデータを含むブロックを分散台帳に記録する。

　次に、認証サーバ２００ａと認証サーバ２００ｂと認証サーバ２００ｃとは、分散台帳に記録された、インセンティブ支払いに関するスマートコントラクトを実行する（Ｓ３２５）。このスマートコントラクトは、インセンティブ支払いに基づいて生成されたものであり、分散台帳に記録されたことで、ワーキングメモリに格納されて実行可能になっている。本実施の形態では、インセンティブ支払いに関するスマートコントラクトが、ユーザに対してインセンティブ支払いを行ってもよい。

　そして、例えば認証サーバ２００ａのスマートコントラクトは、ユーザ（具体的には端末１１０に対してインセンティブ支払いを行った旨のインセンティブ通知を送信する（Ｓ３２６）。

　なお、サービスサーバ４００は、ステップＳ３１８において、フィードバック提供に関する情報を含むトランザクションデータを生成してもよい。この場合、ステップＳ３２５において、フィードバック提供に関するスマートコントラクトが実行されることになる。

　このようにして、端末１１０と認証サーバ２００ａ～２００ｃとデータサーバ３００とサービスサーバ４００との間でデータ参照処理が行われ、その後、インセンティブ支払い処理が行われる。

　なお、図１２Ａに示すデータ参照処理の例では、認証サーバ２００により実行されたスマートコントラクトは、ステップＳ３１０において、その判断結果をデータサーバ３００とサービスサーバ４００とに送信しているが、これに限らない。認証サーバ２００により実行されたスマートコントラクトは、ステップＳ３１０において、さらに、サービスサーバ４００がデータを取得する旨の通知を、ユーザすなわち端末１１０に送信してもよい。

　また、図１２Ａに示すデータ参照処理の例では、ステップＳ３１１及びＳ３１２において、サービスサーバ４００は、認証サーバ２００で実行されたスマートコントラクトの判断結果を受信してから、データ提供を依頼してデータを取得しているが、これに限らない。ステップＳ３０９において、認証サーバ２００で実行されたスマートコントラクトによって、データサーバ３００に記録されたデータであってサービスサーバ４００が提供依頼したデータがサービスサーバ４００に提供されてもよい。

　［１．８．４　インセンティブ支払いに関するスマートコントラクト登録処理］
　続いて、認証サーバ２００ａ～２００ｃとサービスサーバ４００との間でのインセンティブ支払いに関するスマートコントラクト登録処理について説明する。

　図１３は、本実施の形態に係る認証サーバ２００ａ～２００ｃとサービスサーバ４００との間でのインセンティブ支払いに関するスマートコントラクト登録処理を示すシーケンス図である。図１３では、サービスサーバ４００と第１グループに属する認証サーバ２００ａ～２００ｃとの間でスマートコントラクト登録処理が行われている場合の例が示されているが、これに限らない。サービスサーバ４１０と第２グループに属する認証サーバ２１０ａ～２１０ｃとの間で同意情報登録処理が行われる場合も同様の処理となる。

　まず、サービスサーバ４００は、インセンティブ支払いに関するスマートコントラクトを生成する（Ｓ４０１）。

　次に、サービスサーバ４００は、ステップＳ４０１で生成したインセンティブ支払いに関するスマートコントラクトを含む当該スマートコントラクト登録のトランザクションデータを生成する（Ｓ４０２）。

　次に、サービスサーバ４００は、ステップＳ４０２で生成した当該トランザクションデータを、認証サーバ２００ａに送信する（Ｓ４０３）。図１３に示す例では、サービスサーバ４００は、ステップＳ４０２で生成した当該トランザクションデータを認証サーバ２００ａに送信しているが、認証サーバ２００ｂ、２００ｃに送信してもよい。認証サーバ２００ｂ、２００ｃに送信した場合も同様である。

　次に、認証サーバ２００ａは、サービスサーバ４００から当該トランザクションデータを取得すると（Ｓ４０４）、取得した当該トランザクションデータの検証を行う（Ｓ４０５）。

　ステップＳ４０５において、当該トランザクションデータの検証が成功しなかった場合（Ｓ４０５でＮ）、認証サーバ２００ａは、サービスサーバ４００にその旨の通知を送信する（Ｓ４０６）。

　一方、ステップＳ４０５において、当該トランザクションデータの検証が成功した場合（Ｓ４０５でＹ）、認証サーバ２００ａは、他の認証サーバ２００（認証サーバ２００ｂ、２００ｃ）に当該トランザクションデータを転送する（Ｓ４０７）。なお、他の認証サーバ２００でも、転送された当該トランザクションデータを検証する。

　次に、認証サーバ２００ａと認証サーバ２００ｂと認証サーバ２００ｃとは、コンセンサスアルゴリズムを実行する（Ｓ４０８）。認証サーバ２００ａと認証サーバ２００ｂと認証サーバ２００ｃとは、当該トランザクションデータが正当なトランザクションデータであること（つまり正当性）を検証すると、それぞれ当該トランザクションデータを含むブロックを生成する。そして、認証サーバ２００ａ、２００ｂ、２００ｃは、当該トランザクションデータを含むブロックを分散台帳に記録する。

　次に、当該トランザクションデータに含まれるインセンティブ支払いに関するスマートコントラクトは、分散台帳に記録されることで、実行可能になるすなわち稼働する（Ｓ４０９）。インセンティブ支払いに関するスマートコントラクトは、分散台帳に記録されることで、認証サーバ２００ａ等のワーキングメモリに格納されるので実行可能になる。

　［１．８．５　データ提供処理の一例］
　続いて、端末１１０と、サービスサーバ４００と、第１グループに属する認証サーバ２００及びデータサーバ３００と、第２グループに属する認証サーバ２１０及びデータサーバ３１０との間でのデータ提供処理について説明する。

　図１４Ａ及び図１４Ｂは、本実施の形態に係るデータ流通システムのデータ提供処理の一例を示すシーケンス図である。図１４Ａ及び図１４Ｂに示す例では、サービスサーバ４１０の取得したいデータが、サービスサーバ４１０がアクセスできるデータサーバ３１０になく、サービスサーバ４１０がアクセスできないデータサーバ３００にあるとしている。そして、サービスサーバ４１０のデータ取得の依頼を基に、データサーバ３００からデータサーバ３１０にデータが提供される場合について説明する。ここで、具体的なユースケースとしては、サービス事業者のサービスサーバ４１０は、データサーバ３００に記録している端末１１０のデータをデータサーバ３１０に提供してもらい、データサーバ３１０のデータをサービスに活用する場合がある。なお、サービスサーバ４００のデータ取得の依頼を基に、データサーバ３１０からデータサーバ３００にデータが提供される場合も同様の処理となる。

　まず、図１４Ａにおいて、サービスサーバ４１０は、ユーザのデータを取得するため、データサーバ３００にデータ登録を行った端末１１０に対して、データ取得の依頼を生成し、送信する（Ｓ５０１）。データ取得の依頼には、例えば端末１１０のデータを取得または参照することを依頼する旨が示されている。なお、サービスサーバ４１０は、端末１１０にデータ取得の依頼を直接送信しているが、メールまたは他のサービス事業者を介して送信してもよい。

　次に、端末１１０は、ステップＳ５０１で送信された依頼を受け取ると、端末１１０の受け取った依頼に基づいて同意情報を生成する（Ｓ５０２）。ここで、端末１１０には、入力部１０１３としてアプリケーションが導入されており、アプリケーションがユーザの操作により、当該依頼に基づく同意情報を生成してよい。例えば、ユーザは、データ提供先であるデータサーバ３００に記録しているデータの一覧の中から、選択または選択を外すかを指示するだけで、提供可能なデータを選択できる。これにより、端末１１０は、データの利活用に関する同意情報として、データ取得の依頼対象のデータがユーザの同意により提供可能である旨を示す同意情報を生成することができる。

　次に、端末１１０は、ステップＳ５０２で生成した同意情報に基づいて、スマートコントラクトを生成する（Ｓ５０３）。このスマートコントラクトは、同意情報に基づきデータを提供可能であるかを判断することを実行可能にプログラム化されたものである。

　次に、端末１１０は、生成した同意情報とスマートコントラクトとを含む、スマートコントラクト登録のトランザクションデータを生成する（Ｓ５０４）。

　次に、端末１１０は、ステップＳ５０４で生成したトランザクションデータを、認証サーバ２００ａに送信する（Ｓ５０５）。なお、図１４Ａに示す例では、端末１１０は、生成したトランザクションデータを認証サーバ２００ａに送信しているが、認証サーバ２００ｂ、２００ｃに送信してもよい。認証サーバ２００ｂ、２００ｃに送信した場合も同様である。

　次に、認証サーバ２００ａは、端末１１０からトランザクションデータを取得すると（Ｓ５０６）、取得した当該トランザクションデータの検証を行う（Ｓ５０７）。

　ステップＳ５０７において、当該トランザクションデータの検証が成功しなかった場合（Ｓ５０７でＮ）、認証サーバ２００ａは、端末１１０にその旨の通知を送信する（Ｓ５０８）。

　一方、ステップＳ５０７において、当該トランザクションデータの検証が成功した場合（Ｓ５０７でＹ）、認証サーバ２００ａは、他の認証サーバ２００（認証サーバ２００ｂ、２００ｃ）に当該トランザクションデータを転送する（Ｓ５０９）。なお、他の認証サーバ２００でも、転送された当該トランザクションデータを検証する。

　次に、認証サーバ２００ａと認証サーバ２００ｂと認証サーバ２００ｃとは、コンセンサスアルゴリズムを実行する（Ｓ５１０）。認証サーバ２００ａと認証サーバ２００ｂと認証サーバ２００ｃとは、当該トランザクションデータが正当なトランザクションデータであること（つまり正当性）を検証すると、それぞれ当該トランザクションデータを含むブロックを生成する。そして、認証サーバ２００ａ、２００ｂ、２００ｃは、当該トランザクションデータを含むブロックを分散台帳に記録する。このようにして端末１１０が作成したスマートコントラクトが分散台帳に記録される。

　次に、当該スマートコントラクトは、分散台帳に記録されることで、実行可能になるすなわち稼働する（Ｓ５１１）。なお、当該スマートコントラクトは、分散台帳に記録されることで、認証サーバ２００ａ等のワーキングメモリに格納されるので実行可能になる。

　次に、端末１１０は、ステップＳ５０１で送信されたデータ取得の依頼とステップＳ５０２で生成した同意情報に基づき、当該データ取得の依頼を含む第１トランザクションデータを生成する（Ｓ５１２）。具体的には、端末１１０は、当該データ取得の依頼と、データサーバ３００からデータサーバ３１０へのデータ提供の同意とを含めて第１トランザクションデータを生成する。ここで、端末１１０には、上述したように、入力部１０１３としてアプリケーションが導入されている。このため、アプリケーションは、ステップＳ５０２で同意情報を生成後、ステップＳ５０１におけるスマートコントラクトの実行を確認すればよい。これにより、アプリケーションは、当該データ取得の依頼とデータサーバ３００からデータサーバ３１０へのデータ提供の同意とを含む第１トランザクションデータを生成することができる。

　次に、端末１１０は、ステップＳ５１２で生成した第１トランザクションデータを、第１グループに属する認証サーバ２００ａ及び第２グループに属する認証サーバ２１０ａに送信する（Ｓ５１３）。なお、認証サーバ２００ａは、第１グループに属する複数の第１認証サーバのうちの一つの第１認証サーバの一例であり、認証サーバ２１０ａは、第２グループに属する複数の第２認証サーバのうちの一つの第２認証サーバの一例である。

　次に、第２グループに属する認証サーバ２１０ａは、端末１１０からの第１トランザクションデータを取得すると（Ｓ５１４）、取得した第１トランザクションデータの検証を行う（Ｓ５１５）。

　ステップＳ５１５において、第１トランザクションデータの検証が成功しなかった場合（Ｓ５１５でＮ）、認証サーバ２１０ａは、端末１１０にその旨の通知を送信する（Ｓ５１６）。

　一方、ステップＳ５１５において、第１トランザクションデータの検証が成功した場合（Ｓ５１５でＹ）、認証サーバ２１０ａは、第２グループに属する他の認証サーバ２１０（認証サーバ２１０ｂ、２１０ｃ）に第１トランザクションデータを転送する（Ｓ５１７）。なお、他の認証サーバ２１０でも、転送された第１トランザクションデータを検証する。

　次に、認証サーバ２１０ａと認証サーバ２１０ｂと認証サーバ２１０ｃとは、コンセンサスアルゴリズムを実行する（Ｓ５１８）。認証サーバ２１０ａと認証サーバ２１０ｂと認証サーバ２１０ｃとは、第１トランザクションデータが正当なトランザクションデータであること（つまり正当性）を検証すると、それぞれ第１トランザクションデータを含むブロックを生成する。そして、認証サーバ２１０ａ、２１０ｂ、２１０ｃは、第１トランザクションデータを含むブロックを分散台帳に記録する。このようにして第１トランザクションデータが第２グループに属する分散台帳に記録される。

　また、第１グループに属する認証サーバ２００ａは、端末１１０からの第１トランザクションデータを取得すると（Ｓ５１９）、取得した第１トランザクションデータの検証を行う（Ｓ５２０）。

　ステップＳ５２０において、第１トランザクションデータの検証が成功しなかった場合（Ｓ５２０でＮ）、認証サーバ２００ａは、端末１１０にその旨の通知を送信する（Ｓ５２１）。

　一方、ステップＳ５２０において、第１トランザクションデータの検証が成功した場合（Ｓ５２０でＹ）、認証サーバ２００ａは、第１グループに属する他の認証サーバ２００（認証サーバ２００ｂ、２００ｃ）に第１トランザクションデータを転送する（Ｓ５２２）。なお、他の認証サーバ２００でも、転送された第１トランザクションデータを検証する。

　次に、認証サーバ２００ａと認証サーバ２００ｂと認証サーバ２００ｃとは、コンセンサスアルゴリズムを実行する（Ｓ５２３）。認証サーバ２００ａと認証サーバ２００ｂと認証サーバ２００ｃとは、第１トランザクションデータが正当なトランザクションデータであること（つまり正当性）を検証すると、それぞれ第１トランザクションデータを含むブロックを生成する。そして、認証サーバ２００ａ、２００ｂ、２００ｃは、第１トランザクションデータを含むブロックを分散台帳に記録する。このようにして第１トランザクションデータが第１グループに属する分散台帳に記録される。

　次に、例えば認証サーバ２００ｃは、分散台帳に記録された第１トランザクションデータに基づいて、ステップＳ５１１で実行可能にさせたスマートコントラクトを実行する（Ｓ５２４）。実行された当該スマートコントラクトは、データサーバ３００に、指定データをデータサーバ３１０に提供可能である旨の通知を送信する（Ｓ５２５）なお、当該通知には、提供対象のデータと提供先の情報とを含んでいればよい。これにより、データサーバ３００に、自身が有するデータを、データサーバ３１０に転送、または、データサーバ３１０を参照可能にさせることができる。データサーバ３１０を参照可能にさせる場合には、データサーバ３１０がデータサーバ３００へのアクセス情報を記録し、データ利用時にはデータサーバ３００へアクセスしてデータを取得する場合も含む。

　次に、データサーバ３００は、認証サーバ２００ｃから通知を取得すると（Ｓ５２６）、取得した通知に基づいてデータサーバ３１０にデータを提供する（Ｓ５２７）。なお、データサーバ３００は、当該通知により指定されたデータを、データサーバ３１０に転送、または、データサーバ３１０による参照可能にさせることで、データサーバ３１０にデータを提供してもよい。ここでは、データサーバ３００は、当該通知により指定されたデータを、データサーバ３１０に転送したとする。

　次に、データサーバ３１０は、データサーバ３００から提供されたデータを記録する（Ｓ５２８）。

　なお、ステップＳ５２７においてデータが提供された場合、サービスサーバ４１０は、端末１１０に対してインセンティブ支払いを行ってもよい。インセンティブ支払いの処理については、ステップＳ３１７～ステップＳ３２６において説明した処理と同様のためここでの説明は省略する。

　以上のようにサービスサーバ４１０の取得したいデータが、サービスサーバ４１０がアクセスできるデータサーバ３１０になく、アクセスできないデータサーバ３００にある場合でも、データサーバ３００からデータサーバ３１０にデータを提供してもらうことできる。よって、実施の形態に係るデータ流通システムでは、異なるグループ間でデータの連携ができるようになる。また、データ提供元のグループに属する分散台帳とデータ提供先の当該グループと異なるグループに属する分散台帳との両方に、データが転送されたまたは参照可能にされたことが記録されるので、データのトレーサビリティを確保しつつ、データを利活用することができる。

　［１．８．６　データ提供処理の別の例］
　なお、図１４Ａ及び図１４Ｂで示されるデータ提供処理では、端末１１０は、サービスサーバ４１０によりデータ提供の依頼を受けてからデータ提供のためのスマートコントラクトを生成しているが、これに限らない。端末１１０は、データ提供のためのスマートコントラクトを事前に生成して実行させていてもよい。この場合、当該スマートコントラクトに記載されているデータ提供否の条件を満たす第１トランザクションデータが分散台帳に記録されたときに、当該スマートコントラクトを実行させて提供対象のデータを自動的に提供するとしてもよい。

　以下、この場合について図を用いて説明する。

　図１５Ａ～図１５Ｃは、本実施の形態に係るデータ流通システムのデータ提供処理の別の一例を示すシーケンス図である。図１５Ａ～図１５Ｃには、図１４Ａ及び図１４Ｂと同様に、端末１１０と、サービスサーバ４００と、第１グループに属する認証サーバ２００及びデータサーバ３００と、第２グループに属する認証サーバ２１０及びデータサーバ３１０との間でのデータ提供処理の別の一例が示されている。図１５Ａ～図１５Ｃに示す例でも、サービスサーバ４１０の取得したいデータが、サービスサーバ４１０がアクセスできるデータサーバ３１０になく、サービスサーバ４１０がアクセスできないデータサーバ３００にあるとしている。

　まず、端末１１０は、ユーザの操作に基づいて同意情報を生成する（Ｓ５５１）。ここで、端末１１０には、入力部１０１３としてアプリケーションが導入されており、アプリケーションがユーザの操作に基づいて同意情報を生成してよい。

　次に、端末１１０は、ステップＳ５５１で生成した同意情報に基づいて、スマートコントラクトを生成する（Ｓ５５２）。このスマートコントラクトは、同意情報に基づきデータを提供可能であるかを判断することを実行可能にプログラム化されたものである。

　次に、端末１１０は、生成した同意情報とスマートコントラクトとを含む、スマートコントラクト登録のトランザクションデータを生成する（Ｓ５５３）。

　なお、以降のステップＳ５５４～ステップＳ５６０の処理は、上述したステップＳ５０５～ステップＳ５１１の処理と同様のため、説明を省略する。

　次に、図１５Ｂにおいて、サービスサーバ４１０は、例えば、ユーザのどのようなデータを取得したいかを決定した場合、データ取得の依頼を行うことを決定する（Ｓ５７０）。

　次に、サービスサーバ４１０は、データ取得を依頼する旨を示すデータ取得依頼を生成し、データ取得依頼を含むデータ取得依頼の第１トランザクションデータを生成する（Ｓ５７１）。

　次に、サービスサーバ４１０は、ステップＳ５７１で生成した第１トランザクションデータを、第２グループに属する認証サーバ２１０ｃ及び第１グループに属する認証サーバ２００ｃに送信する（Ｓ５７２）。ここで、認証サーバ２００ｃは、第１グループに属する複数の第１認証サーバのうちの一つの第１認証サーバの一例であり、認証サーバ２１０ｃは、第２グループに属する複数の第２認証サーバのうちの一つの第２認証サーバの一例である。また、サービスサーバ４１０の取得したいデータが、サービスサーバ４１０がアクセスできるデータサーバ３１０になく、サービスサーバ４１０がアクセスできないデータサーバ３００にある。このため、サービスサーバ４１０は、ステップＳ５７１で生成した第１トランザクションデータを、認証サーバ２１０ｃ及び認証サーバ２００ｃに送信している。

　なお、以降のステップＳ５７３～ステップＳ５７８の処理は、処理の主体が認証サーバ２１０ａでなく認証サーバ２１０ｃであることを除き、上述したステップＳ５１４～ステップＳ５１８の処理と同様のため、説明を省略する。

　次に、認証サーバ２００ｃは、サービスサーバ４１０からの第１トランザクションデータを取得すると（Ｓ５７９）、取得した第１トランザクションデータの検証を行う（Ｓ５８０）。

　ステップＳ５８０において、図１５Ｃに示すように、第１トランザクションデータの検証が成功しなかった場合（Ｓ５８０でＮ）、認証サーバ２００ｃは、データサーバ３１０にその旨の通知を送信する（Ｓ５８１）。

　一方、ステップＳ５８０において、第１トランザクションデータの検証が成功した場合（Ｓ５８０でＹ）、認証サーバ２００ｃは、第１グループに属する他の認証サーバ２００（認証サーバ２００ａ、２００ｂ）に第１トランザクションデータを転送する（Ｓ５８２）。なお、他の認証サーバ２００でも、転送された第１トランザクションデータを検証する。

　以降のステップＳ５８３～ステップＳ５８８の処理は、上述したステップＳ５２３～ステップＳ５２８の処理と同様のため、説明を省略する。

　なお、図１５Ａに示す例では、ユーザは端末１１０を操作して任意のタイミングで同意情報を生成しているが、これに限らない。ユーザは端末１１０を操作して定期的または不定期に同意情報を生成してもよい。

　また、サービス事業者が新たに増えたとき、または、サービス事業者からのインセンティブもしくはフィードバックが新たに追加されたときにユーザは同意情報を生成してもよい。この場合、新たに増えたサービス事業者、または、新たに追加されたインセンティブもしくはフィードバックの内容が端末１１０に提示されれば、ユーザは提示された内容に基づいて、新たに同意情報を生成することができる。これにより、端末１１０、住宅１００のデータの利活用のためにユーザがデータ提供する機会を増やすことができる。

　［１．９　実施の形態の効果］
　以上のように、本実施の形態に係るデータ流通方法、プログラム及びデータ流通システムによれば、データのトレーサビリティを確保しつつ、データを利活用することができる。

　例えば、サービスサーバ４１０の取得したいデータが、サービスサーバ４１０がアクセスできるデータサーバ３１０になく、アクセスできないデータサーバ３００にある場合でも、データサーバ３００からデータサーバ３１０にデータを提供してもらうことできる。

　つまり、本実施の形態によれば、一にグループに属するデータサーバが有する住宅１００及び端末１１０から収集した情報をユーザの同意のもとに安全に他のグループに属するデータサーバに提供できる。これにより複数のサービス事業者でユーザの情報を利活用することができる。このため、本実施の形態によれば、異なるグループ間でデータの連携ができるようになるデータ流通方法等を実現できる。

　また、本実施の形態によれば、データ提供元のグループに属する分散台帳とデータ提供先の当該グループと異なるグループに属する分散台帳との両方に、データが転送されたまたは参照可能にされたことが記録される。このように、ブロックチェーン技術を活用して、データのトレーサビリティを確保しつつ、異なるグループに属するデータの連携を行うことができる。つまり、データのトレーサビリティを確保しつつ、データを利活用することができる。よって、ユーザは安心してデータを提供することができる。

　また、本実施の形態によれば、住宅１００や端末１１０で生成される同意情報に基づいて、グループの異なるデータサーバ間でのデータ提供を行うことができる。これにより、ユーザのデータの流通を制限しつつ、ユーザの履歴情報等のデータを活用することができる。また、本実施の形態によれば、ユーザの同意情報を、ブロックチェーン技術を用いた分散台帳に、安全に記録できる。

　［２．　その他の変形例］
　なお、本開示を上記各実施の形態に基づいて説明してきたが、本開示は、上記各実施の形態に限定されないのはもちろんである。以下のような場合も本開示に含まれる。

　（１）上記の実施の形態では、認証サーバ２００、２１０とデータサーバ３００、３１０とは別の装置であるとして説明したが、これに限らない。認証サーバ２００及びデータサーバ３００と、認証サーバ２１０及びデータサーバ３１０とは同一の装置であってもよい。

　（２）上記の実施の形態では、データサーバ３００、３１０とサービスサーバ４００、４１０は別の装置として説明したが、これに限らない。データサーバ３００及びサービスサーバ４００と、データサーバ３１０及びサービスサーバ４１０とは、同一の装置であってもよい。

　（３）上記の実施の形態では、ユーザは、端末１１０または住宅１００のコントローラ１０１を操作して、インセンティブ及び／またはフィードバックに基づいて同意情報を生成しているが、これに限らない。ユーザは、サービス事業者が取り扱うユーザデータの量またはサービス事業者と連携しているサービスの数等に基づいて同意情報を生成するとしてもよい。これにより、データの利活用が多くなるだけでなく、サービス事業者によるユーザへのサービス提案またはサービス事業者が支払うインセンティブ等が多くなる可能性がある。また、インセンティブ及び／またはフィードバック等は、認証サーバ２００、２１０に記録されるとしてもよい。

　（４）上記の実施の形態における各装置は、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ、ハードディスクユニット、ディスプレイユニット、キーボード、マウス等から構成されるコンピュータシステムである。前記ＲＡＭまたはハードディスクユニットには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

　（５）上記の実施の形態における各装置は、構成する構成要素の一部または全部は、１個のシステムＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）から構成されているとしてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ等を含んで構成されるコンピュータシステムである。前記ＲＡＭには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、システムＬＳＩは、その機能を達成する。

　また、上記の各装置を構成する構成要素の各部は、個別に１チップ化されていても良いし、一部またはすべてを含むように１チップ化されてもよい。

　また、ここでは、システムＬＳＩとしたが、集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ、ウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路または汎用プロセッサで実現してもよい。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）や、ＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。

　さらには、半導体技術の進歩または派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。

　（６）上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なＩＣカードまたは単体のモジュールから構成されているとしてもよい。前記ＩＣカードまたは前記モジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭ等から構成されるコンピュータシステムである。前記ＩＣカードまたは前記モジュールは、上記の超多機能ＬＳＩを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ＩＣカードまたは前記モジュールは、その機能を達成する。このＩＣカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。

　（７）本開示は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。

　また、本開示は、前記コンピュータプログラムまたは前記デジタル信号をコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕ－ｒａｙ　Ｄｉｓｃ（登録商標））、半導体メモリ等に記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよい。

　また、本開示は、前記コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

　また、本開示は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記録しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。

　また、前記プログラムまたは前記デジタル信号を前記記録媒体に記録して移送することにより、または前記プログラムまたは前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　（８）上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。

　本開示は、データ流通方法、プログラム及びデータ流通システムに利用でき、例えばユーザの同意情報をもとに異なるグループ間でのデータの参照または転送が可能となり、データの利活用を促進するデータ流通方法、プログラム及びデータ流通システムに利用できる。

　１０　データ流通システム
　１００　住宅
　１０１　コントローラ
　１０２　太陽光発電装置
　１０３　蓄電池
　１０４　エアコン
　１０５　体組成計
　１０６　血圧計
　１１０　端末
　２００、２００ａ、２００ｂ、２００ｃ、２１０、２１０ａ、２１０ｂ、２１０ｃ　認証サーバ
　２１１　トランザクションデータ検証部
　２１２　ブロック生成部
　２１３　同期部
　２１４　スマートコントラクト実行部
　２１５、３１３、４１４、１０１４、１１０４　記録部
　２１６、３１４、４１５、１０１５、１１０５　通信部
　３００、３１０　データサーバ
　３１１　データ管理部
　３１２、４１２　ユーザ管理部
　４００、４１０　サービスサーバ
　４１１　サービス管理部
　４１３、１０１２、１１０１　トランザクションデータ生成部
　５００　通信ネットワーク
　１０１１　制御部
　１０１３、１１０２　入力部
　１１０３　データ取得部

Claims

　それぞれ分散台帳を有する複数の認証サーバと複数のデータサーバと機器とからなるデータ流通システムにおけるデータ流通方法であって、
　第１グループには、前記複数の認証サーバのうちの複数の第１認証サーバと、前記複数のデータサーバのうちの１以上の第１データサーバとが属しており、
　前記第１グループと異なる第２グループには、前記複数の認証サーバのうちの前記複数の第１認証サーバと異なる複数の第２認証サーバと、前記複数のデータサーバのうちの前記１以上の第１データサーバと異なる１以上の第２データサーバとが属しており、
　前記データ流通方法では、
　前記複数の第１認証サーバのうちの一つの第１認証サーバが、前記機器のデータを取得または参照することを依頼する旨を示すデータ取得依頼を含む第１トランザクションデータを取得し、
　前記一つの第１認証サーバが、前記第１トランザクションデータを含むブロックを、前記第１グループに属する前記一つの第１認証サーバの分散台帳に記録し、
　前記１以上の第１データサーバに、前記１以上の第１データサーバが有する前記機器のデータを、前記１以上の第２データサーバに転送、または、前記１以上の第２データサーバによる参照可能にさせ、
　前記複数の第２認証サーバのうちの一つの第２認証サーバが、前記第１トランザクションデータを取得し、
　前記一つの第２認証サーバが、前記第１トランザクションデータを含むブロックを、前記第２グループに属する前記一つの第２認証サーバの分散台帳に記録する、
　データ流通方法。
　前記データ流通システムは、さらにサービスサーバを含み、
　前記データ流通方法では、
　前記サービスサーバが、前記第１トランザクションデータを生成して、前記一つの第１認証サーバ及び前記一つの第２認証サーバに送信し、
　前記一つの第１認証サーバが前記第１トランザクションデータを取得した際、
　前記一つの第１認証サーバが、
　前記機器から得た同意情報であって前記データの利活用に関する同意情報に基づいて前記データを前記１以上の第１データサーバから前記１以上の第２データサーバに提供可能であるかを判断し、
　前記１以上の第１データサーバに、前記１以上の第１データサーバが有する前記機器のデータを、前記１以上の第２データサーバに転送、または、前記１以上の第２データサーバによる参照可能にさせる、
　請求項１に記載のデータ流通方法。
　さらに、
　前記サービスサーバが、前記１以上の第１データサーバにより、前記機器のデータが、前記１以上の第２データサーバに転送、または、前記１以上の第２データサーバによる参照可能にされたことを確認した場合、前記機器に対してトークンを発行するための第２トランザクションデータを生成し、
　前記一つの第１認証サーバが、前記第２トランザクションデータを取得し、
　前記一つの第１認証サーバが、前記第２トランザクションデータを含むブロックを、前記第１グループに属する前記一つの第１認証サーバの分散台帳に記録し、
　前記一つの第１認証サーバが、記録した前記第２トランザクションデータに基づき、トークンを発行することを実行可能にプログラム化されたスマートコントラクトを動作させることで、前記スマートコントラクトに前記機器に対してトークンを発行させる、
　請求項２に記載のデータ流通方法。
　前記一つの第１認証サーバが、前記同意情報に基づき前記データを提供可能であるかを判断することを実行可能にプログラム化されたスマートコントラクトを取得し、
　前記一つの第１認証サーバが、前記第１トランザクションデータを取得した場合、取得した前記第１トランザクションデータに基づき前記スマートコントラクトを実行することで、前記データを前記１以上の第１データサーバから前記１以上の第２データサーバに提供可能であると判断したとき、前記１以上の第１データサーバに、前記１以上の第１データサーバが有する前記機器のデータを、前記１以上の第２データサーバに転送、または、前記１以上の第２データサーバによる参照可能にさせる、
　請求項２または３に記載のデータ流通方法。
　前記一つの第１認証サーバの分散台帳に記録する際、
　前記一つの第１認証サーバが、取得した前記第１トランザクションデータの検証を行い、
　前記一つの第１認証サーバが、前記検証を行うことで前記第１トランザクションデータの正当性を確認した場合、前記複数の第１認証サーバのうちの前記一つの第１認証サーバを除く複数の第１認証サーバとともに、前記第１トランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行し、
　前記コンセンサスアルゴリズムによって前記第１トランザクションデータの正当性について合意された場合、前記一つの第１認証サーバが、前記第１トランザクションデータを含むブロックを前記第１グループに属する前記一つの第１認証サーバの分散台帳に記録する、
　請求項１～４のいずれか１項に記載のデータ流通方法。
　前記一つの第２認証サーバの分散台帳に記録する際、
　前記一つの第２認証サーバが、取得した前記第１トランザクションデータの検証を行い、
　前記一つの第２認証サーバが、前記検証を行うことで前記第１トランザクションデータの正当性を確認した場合、前記複数の第２認証サーバのうちの前記一つの第２認証サーバを除く複数の第２認証サーバとともに、前記第１トランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行し、
　前記コンセンサスアルゴリズムによって前記第１トランザクションデータの正当性について合意された場合、前記一つの第２認証サーバが、前記第１トランザクションデータを含むブロックを前記第２グループに属する前記一つの第２認証サーバの分散台帳に記録する、
　請求項１～５のいずれか１項に記載のデータ流通方法。
　それぞれ分散台帳を有する複数の認証サーバと複数のデータサーバと機器とからなるデータ流通システムにおけるデータ流通方法をコンピュータに実行させるプログラムであって、
　第１グループには、前記複数の認証サーバのうちの複数の第１認証サーバと、前記複数のデータサーバのうちの１以上の第１データサーバとが属しており、
　前記第１グループと異なる第２グループには、前記複数の認証サーバのうちの前記複数の第１認証サーバと異なる複数の第２認証サーバと、前記複数のデータサーバのうちの前記１以上の第１データサーバと異なる１以上の第２データサーバとが属しており、
　前記複数の第１認証サーバのうちの一つの第１認証サーバが、前記機器のデータを取得または参照することを依頼する旨を示すデータ取得依頼を含む第１トランザクションデータを取得し、
　前記一つの第１認証サーバが、前記第１トランザクションデータを含むブロックを、前記第１グループに属する前記一つの第１認証サーバの分散台帳に記録し、
　前記１以上の第１データサーバに、前記１以上の第１データサーバが有する前記機器のデータを、前記１以上の第２データサーバに転送、または、前記１以上の第２データサーバによる参照可能にさせ、
　前記複数の第２認証サーバのうちの一つの第２認証サーバが、前記第１トランザクションデータを取得し、
　前記一つの第２認証サーバが、前記第１トランザクションデータを含むブロックを、前記第２グループに属する前記一つの第２認証サーバの分散台帳に記録することを、
　コンピュータに実行させるプログラム。
　それぞれ分散台帳を有する複数の認証サーバと複数のデータサーバとを備えるデータ流通システムであって、
　第１グループには、前記複数の認証サーバのうちの複数の第１認証サーバと、前記複数のデータサーバのうちの１以上の第１データサーバとが属しており、
　前記第１グループと異なる第２グループには、前記複数の認証サーバのうちの前記複数の第１認証サーバと異なる複数の第２認証サーバと、前記複数のデータサーバのうちの前記１以上の第１データサーバと異なる１以上の第２データサーバとが属しており、
　前記複数の第１認証サーバのうちの一つの第１認証サーバは、
　機器のデータを取得または参照することを依頼する旨を示すデータ取得依頼を含む第１トランザクションデータを取得する第１通信部と、
　前記一つの第１認証サーバが、前記第１トランザクションデータを含むブロックを、前記第１グループに属する前記一つの第１認証サーバの分散台帳に記録する第１記録部と、
　前記１以上の第１データサーバに、前記１以上の第１データサーバが有する前記機器のデータを、前記１以上の第２データサーバに転送、または、前記１以上の第２データサーバによる参照可能にさせる実行部と、を備え、
　前記複数の第２認証サーバのうちの一つの第２認証サーバは、
　前記第１トランザクションデータを取得する第２通信部と、
　前記一つの第２認証サーバが、前記第１トランザクションデータを含むブロックを、前記第２グループに属する前記一つの第２認証サーバの分散台帳に記録する第２記録部とを備える、
　データ流通システム。