WO2021171429A1

WO2021171429A1 - 情報流通履歴管理システム、情報流通履歴管理方法、情報流通履歴管理装置およびプログラム

Info

Publication number: WO2021171429A1
Application number: PCT/JP2020/007785
Authority: WO
Inventors: 友梨香菅; 山下　高生; 芳彦大森
Original assignee: 日本電信電話株式会社
Priority date: 2020-02-26
Filing date: 2020-02-26
Publication date: 2021-09-02
Also published as: WO2021171640A1; JPWO2021171640A1; JP7476950B2; US20230105706A1

Abstract

情報流通履歴管理システム（１０）は、利用者に係る個人情報のサービス提供者サーバ（３００）への提供を行う場合に、当該提供の記録を情報流通履歴管理装置（１００）に要求するサービス利用者端末（２００）やサービス提供者サーバ（３００）を含む。また、サービス提供者サーバ（３００）は、当該個人情報を受領するときに、当該受領の記録を情報流通履歴管理装置（１００）に要求する。情報流通履歴管理装置（１００）は、要求に応じて記録を記憶し、および記録を検索する。記録には、サービス利用者端末（２００）の利用者の識別情報と、提供するサービス提供者サーバ（３００）と、受領するサービス提供者サーバ（３００）の識別情報を含む。

Description

情報流通履歴管理システム、情報流通履歴管理方法、情報流通履歴管理装置およびプログラム

　本発明は、サービス提供者間で流通する個人情報を管理する情報流通履歴管理システム、情報流通履歴管理方法、情報流通履歴管理装置およびプログラムに関する。

　インターネット上のサービスを利用するためには、氏名、住所、電子メールアドレスなどの他に、様々な個人情報をサービス提供者に提示することが求められる。例えば、金融資産管理サービスでは、保有している金融資産や年収などが求められる。また、健康管理サービスでは、身長や体重の他に、日々の運動量や食事内容などをサービス提供者に送信することが求められる。家計管理サービスでは、日々の購買履歴が求められる。

　サービス提供者に提示された個人情報は、当該サービス提供者から別のサービス提供者に渡される場合がある。これは、サービスを提供するために関連する（提携している）サービス提供者に渡される場合もあれば、サービス向上のためのサービス利用者を分析するための情報として渡される場合もある。

　このように、サービス提供者に提示された個人情報は、当該サービス提供者が利用するのに留まらず、業務委託やサービス品質向上などの理由で当該サービス提供者と提携するサービス提供者に提供される。個人情報保護の観点から、サービス利用者が提示した個人情報が何の目的でどこのサービス提供者に渡される（流通する、提供される）のかを、サービス利用者が知ることができるようにすることが求められている。
　特許文献１に記載の発明によれば、個人情報の流通先となるサービス提供者は、電気通信サービス事業者（管理サーバ）に予め登録されたサービス提供者に限定されるために、利用者は安心感を得ることができる。

特開２００９－２４５１８２号公報

　特許文献１に記載の発明によれば、サービス提供者に渡された個人情報は、電気通信サービス事業者に予め登録されたサービス提供者にのみに限定される。一方、サービス提供者は、提示された（取得した）個人情報の譲渡先を個人情報保護方針（セキュリティポリシ）に示すことになっており、サービス提供者に提示された個人情報は、信頼できるサービス提供者にのみに渡されることになっている。
　しかしながら、利用者は、個人情報を提示した後に、どの種別の個人情報がどのサービス提供者に提供されたのかを把握できない。このため、あるサービス提供者で個人情報漏洩事件が発生した場合に、自身の個人情報が漏洩した可能性があるか否かを把握できない。

　また、利用者は、これからサービスを利用しようとするサービス提供者について、当該サービス提供者が、どの種別の個人情報をどのサービス提供者に渡しているのかを把握できない。このため、利用者は、個人情報を提示してサービス提供者サーバが提供するサービスを利用してよいか否かを判断できない。例えば、利用者によっては、氏名や住所が他のサービス提供者に渡されることは構わないが、年収が他のサービス提供者に渡されるのは許容できない。しかしながら、特許文献１に記載の発明では、特定の種別の個人情報が渡されるのか否かを確認できない。

　本発明は、このような背景を鑑みてなされたものであり、サービス提供者間で流通する個人情報の流通先の把握を可能にすることを課題とする。

　前記した課題を解決するため、本発明に係る情報流通履歴管理システムは、ネットワークで接続されたサービス利用者端末、サービス提供者サーバ、および情報流通履歴管理装置を含んで構成される情報流通履歴管理システムであって、前記サービス利用者端末は、当該サービス利用者端末の利用者に係る個人情報の前記サービス提供者サーバへの提供を行う場合に、当該提供の記録を前記情報流通履歴管理装置に要求し、前記サービス提供者サーバは、前記個人情報の提供に対して受領を行う場合に、当該受領の記録を前記情報流通履歴管理装置に要求し、前記情報流通履歴管理装置は、前記サービス利用者端末から提供の記録の要求を受け付けて当該記録を記憶し、前記サービス提供者サーバから受領の記録の要求を受け付けて当該記録を記憶する記録作成部を備え、前記サービス提供者サーバは、前記個人情報の他の前記サービス提供者サーバへの提供を行う場合に、当該提供の記録を前記情報流通履歴管理装置に要求し、他の前記サービス提供者サーバは、前記個人情報の提供に対して受領を行う場合に、当該受領の記録を前記情報流通履歴管理装置に要求し、前記記録作成部は、前記サービス提供者サーバから提供の記録の要求を受け付けて当該記録を記憶し、他の前記サービス提供者サーバから受領の記録の要求を受け付けて当該記録を記憶し、前記記録には、前記サービス利用者端末の利用者の識別情報と、受領する前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報とを含む場合と、前記サービス利用者端末の利用者の識別情報と、提供する前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報と、受領する他の前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報とを含む場合とがあり、前記情報流通履歴管理装置は、前記サービス利用者端末または前記サービス提供者サーバからの検索要求を受け付けて、前記記録を検索して検索結果を返信する記録検索部を、さらに備えることを特徴とする。

　本発明によれば、サービス提供者間で流通する個人情報の流通先の把握を可能にすることができる。

本実施形態に係る情報流通履歴管理システムにおける個人情報の流通（提供／受領）記録の生成を説明するための図である。本実施形態に係る情報流通履歴管理システムにおける個人情報の流通記録の検索を説明するための図である。本実施形態に係る情報流通履歴管理装置の機能ブロック図である。本実施形態に係る個人情報データベースのデータ構成図である。本実施形態に係る記録データベースのデータ構成図である。本実施形態に係るアカウントデータベースのデータ構成図である。本実施形態に係るサービス利用者端末の機能ブロック図である。本実施形態に係るサービス提供者サーバの機能ブロック図である。本実施形態に係るサービス利用者端末のアカウント登録処理のシーケンス図である。本実施形態に係るサービス提供者サーバのアカウント登録処理のシーケンス図である。本実施形態に係る個人情報提供処理のシーケンス図（１）である。本実施形態に係る個人情報提供処理のシーケンス図（２）である。本実施形態に係るサービス提供者間の個人情報流通処理のシーケンス図（１）である。本実施形態に係るサービス提供者間の個人情報流通処理のシーケンス図（２）である。本実施形態に係るサービス利用者端末が要求する検索処理のシーケンス図である。本実施形態に係るサービス提供者サーバが要求する検索処理のシーケンス図である。本実施形態に係る情報流通履歴管理装置の機能を実現するコンピュータの一例を示すハードウェア構成図である。

≪情報流通履歴管理装置の概要≫
　以下に、本発明を実施するための形態（実施形態）における情報流通履歴管理装置を含む情報流通履歴管理システムについて説明する。図１は、本実施形態に係る情報流通履歴管理システム１０における個人情報４１１，４１２の流通（提供／受領）記録の生成を説明するための図である。情報流通履歴管理システム１０は、情報流通履歴管理装置１００、サービス利用者端末２００、およびサービス提供者サーバ３００Ａ，３００Ｂを含んで構成される。なお、サービス提供者サーバ３００Ａ，３００Ｂを特に区別する必要がない場合には、サービス提供者サーバ３００と記す。

　個人情報４１１は、サービス利用者端末２００からサービス提供者サーバ３００Ａに提供（提示）された個人情報である。図１では、サービス利用者端末２００からサービス提供者サーバ３００Ａに直接に提供されるように記載しているが、実際には、情報流通履歴管理装置１００を介して提供される。詳しくは、サービス利用者端末２００から情報流通履歴管理装置１００に個人情報４１１が送信され、続いて、情報流通履歴管理装置１００からサービス提供者サーバ３００Ａに個人情報４１１が送信される。以下では、サービス利用者端末２００から情報流通履歴管理装置１００に個人情報４１１が送信されることを、個人情報４１１の提供とも記す。また、情報流通履歴管理装置１００からサービス提供者サーバ３００Ａに個人情報４１１が送信されることを個人情報４１１の受領とも記す。

　サービス提供者サーバ３００Ａが保有する個人情報４１１は、個人情報４１２としてサービス提供者サーバ３００Ｂに流通する場合がある。この流通の場合においても、情報流通履歴管理装置１００を介して個人情報４１２が流通される。サービス提供者サーバ３００Ａから情報流通履歴管理装置１００に個人情報４１２が送信されることを、個人情報４１２の提供とも記す。また、情報流通履歴管理装置１００からサービス提供者サーバ３００Ｂに個人情報４１２が送信されることを個人情報４１２の受領とも記す。

　利用者が利用するサービス利用者端末２００からサービス提供者が運営するサービス提供者サーバ３００Ａへ、利用者の個人情報４１１が送信されるときには、個人情報４１１の送信に関する履歴が情報流通履歴管理装置１００に蓄積される。詳しくは、サービス利用者端末２００から情報流通履歴管理装置１００へ個人情報の提供記録を要求する個人情報提供記録要求４２１が送信され、情報流通履歴管理装置１００が提供を記録する。また、サービス提供者サーバ３００Ａから情報流通履歴管理装置１００へ個人情報４１１の受領記録を要求する個人情報受領記録要求４２２が送信され、情報流通履歴管理装置１００が受領を記録する。

　サービス提供者サーバ３００Ａとサービス提供者サーバ３００Ｂとの間で個人情報４１２が送信される場合も同様である。詳しくは、提供元のサービス提供者サーバ３００Ａから情報流通履歴管理装置１００へ個人情報の提供記録を要求するサービス提供者間提供記録要求４３１が送信され、情報流通履歴管理装置１００が提供を記録する。また、提供先のサービス提供者サーバ３００Ｂから情報流通履歴管理装置１００へ個人情報４１２の受領記録を要求するサービス提供者間受領記録要求４３２が送信され、情報流通履歴管理装置１００が受領を記録する。

　記録には、個人情報４１１，４１２に含まれる利用者（利用者の識別情報）や個人情報の種別（個人情報種別）、提供先／提供元のサービス提供者サーバ３００Ａ，３００Ｂ（サービス提供者サーバ３００の識別情報）などが含まれる。このようにすることで、サービス利用者端末２００とサービス提供者サーバ３００との間、およびサービス提供者サーバ３００の間で個人情報の提供や受領が発生した場合には、個々の提供および受領の記録が情報流通履歴管理装置１００に残るようになる。

　図２は、本実施形態に係る情報流通履歴管理システム１０における個人情報４１１，４１２の流通記録の検索を説明するための図である。サービス利用者端末２００が情報流通履歴管理装置１００に個人情報提供記録検索要求４４１や個人情報受領記録検索要求４４２を送信することで、利用者がサービス提供者サーバ３００に提示した個人情報を検索することができる。また、サービス利用者端末２００が情報流通履歴管理装置１００にサービス提供者間提供記録検索要求４５１やサービス提供者間受領記録検索要求４５２を送信することで、サービス提供者サーバ３００間で流通した個人情報の種別や利用者自身の個人情報を検索することができる。

　なお、上記の説明では、個人情報記録（サービス利用者端末２００からサービス提供者サーバ３００への提供と受領）とサービス提供者間記録とを区別しているが、区別なしにサービス利用者端末２００から情報流通履歴管理装置１００に記録の検索を要求してもよい。また、サービス利用者端末２００は、提供と受領とを区別せずに記録の検索を要求してもよい。

　このようにサービス利用者端末２００が、情報流通履歴管理装置１００に要求して記録を検索することで、利用者は自身の個人情報が、どこのサービス提供者に提供されたかが把握できるようになる。また、利用者は、自身の個人情報をサービス提供者に提供する前に、当該サービス提供者に個人情報を提供した場合にどこのサービス提供者に個人情報が流通するかを把握することができる。

　サービス提供者についても同様であって、サービス提供者サーバ３００が情報流通履歴管理装置１００に、サービス提供者間提供記録検索要求４５１やサービス提供者間受領記録検索要求４５２、個人情報提供記録検索要求４４１、個人情報受領記録検索要求４４２を送信することで、サービス提供者サーバ３００間で流通した個人情報を検索したり、自身が提供した個人情報の流通先を把握できたりすることができる。
　なお、サービス利用者端末２００やサービス提供者サーバ３００は、個人情報記録とサービス提供者間記録との区別なしに、さらに、提供と受領との区別なしに記録の検索を要求してもよい。

≪情報流通履歴管理装置の概要≫
　図３は、本実施形態に係る情報流通履歴管理装置１００の機能ブロック図である。情報流通履歴管理装置１００は、制御部１１０、記憶部１２０、および通信部１７０を備える。通信部１７０は、サービス利用者端末２００やサービス提供者サーバ３００との通信データの送受信を行う。

　記憶部１２０には、プログラム１２１、個人情報データベース１３０、記録データベース１４０、およびアカウントデータベース１６０が記憶される。プログラム１２１には、制御部１１０を構成するＣＰＵ（Central Processing Unit）が実行するアカウント登録処理（後記する図９および図１０参照）や個人情報提供処理（後記する図１１および図１２参照）、サービス提供者間の個人情報流通処理（後記する図１３および図１４参照）、記録検索処理（後記する図１５および図１６参照）の手順が示されている。

≪情報流通履歴管理装置の概要：個人情報データベース≫
　図４は、本実施形態に係る個人情報データベース１３０のデータ構成図である。個人情報データベース１３０には、サービス利用者端末２００、またはサービス提供者サーバ３００から暗号化されて受信した個人情報が格納される。個人情報データベース１３０は、例えば表形式のデータであって、１つの行（レコード）は、１つの個人情報を示し、保管場所１３１、提供先１３２、および、暗号化個人情報１３３の列（属性）を含む。

　保管場所１３１は、暗号化された個人情報である暗号化個人情報１３３の保管場所を示す。保管場所１３１は、暗号化個人情報１３３の識別情報と見なしてもよい。提供先１３２は、暗号化個人情報１３３の提供先となるサービス提供者サーバ３００の識別情報である。
　レコード１３９に示される暗号化個人情報の保管場所１３１は「４７９４２０３８」であり、提供先１３２は、「３００ＡＰ，ＡＳ」で識別されるサービス提供者サーバ３００Ａである。なお、「３００ＡＰ，ＡＳ」の「３００ＡＰ」はサービス提供者サーバ３００Ａの運営者であるサービス提供者を示し、「ＡＳ」はサービス提供者サーバ３００Ａのサービスを示す。本実施形態では、サービス提供者サーバ３００の識別情報は、サービス提供者の識別情報とサービスの識別情報との組み合わせであるとする。

　サービス提供者サーバ３００は、保管場所１３１を指定して、暗号化個人情報１３３を情報流通履歴管理装置１００から受信することができる。この際、情報流通履歴管理装置１００は、送信先のサービス提供者サーバ３００と、提供先１３２とが一致することを確認してから送信する。

≪情報流通履歴管理装置の概要：記録データベース≫
　図５は、本実施形態に係る記録データベース１４０のデータ構成図である。記録データベース１４０には、サービス利用者端末２００やサービス提供者サーバ３００間でやり取りされる個人情報の流通記録が格納される。記録データベース１４０は、例えば表形式のデータであって、１つの行（レコード）は、１つの個人情報の提供または受領の記録を示し、識別情報１４１、記録時刻１４２、利用者１４３、サービス提供者１４４、サービス１４５、個人情報種別１４６、提供先１４７、記録種別１４８、および保管場所１４９の列（属性）を含む。

　識別情報１４１は、記録の識別情報である。
　記録時刻１４２は、記録が記録データベース１４０に格納された日時を示す。
　利用者１４３は、提供または受領された個人情報が、どの利用者の個人情報であるかを示し、当該利用者の識別情報を示す。この識別情報は、アカウントデータベース１６０（後記する図６参照）の利用者／サービス提供者サーバ１６１に対応する。
　サービス提供者１４４、およびサービス１４５は、個人情報の提供を受けて当該個人情報を保有するサービス提供者、および当該個人情報を利用するサービスを示す。サービス提供者サーバ３００の運営者がサービス提供者１４４であり、サービス提供者サーバ３００のサービスがサービス１４５である。本実施形態では、サービス提供者１４４とサービス１４５との組み合わせで、サービス提供者サーバ３００を識別するようにする。１つのサービスを複数のサービス提供者サーバ３００が提供する場合には、これら複数のサービス提供者サーバ３００をひとまとめにして１つのサービス提供者サーバ３００と見なす。

　個人情報種別１４６は、提供または受領された個人情報の種別を示す。種別としては、氏名、住所、電子メールアドレス（e-mail）、生年月日などがある。
　提供先１４７は、サービス提供者サーバ３００が個人情報を提供したサービス提供者とそのサービスを示す。サービス提供者とサービスにより、提供先のサービス提供者サーバ３００が識別可能となる。
　記録種別１４８は、記録が提供の記録であるか、受領の記録であるかを示す。
　保管場所１４９は、提供および受領の際に使われた個人情報データベース１３０の保管場所１３１（図４参照）を示す。

　レコード１５８で示される記録の記録種別１４８は提供であって、識別情報は「３８４７２０９４」であり、記録されたのは、２０２０年２月３日１０時３４分５６秒である。当該記録は、「４８３７４３２４」で識別される利用者の個人情報であり、その種別は、住所と氏名である。当該個人情報は、「３００ＡＰ」で識別されるサービス提供者１４４が運営する「ＡＳ」で識別されるサービス１４５で利用され、「４７９４２０３８」で識別される保管場所１４９を経由して提供された。

　レコード１５９で示される記録は、「３００ＡＰ」で識別されるサービス提供者１４４が運営する「ＡＳ」で識別されるサービス１４５のサービス提供者サーバ３００から提供された「４２３７０５２８」で識別される利用者の氏名と電子メールアドレスの個人情報を、提供先１４７にある「３００ＢＰ，ＢＳ」で識別されるサービス提供者サーバ３００が受領した記録である。

≪情報流通履歴管理装置の概要：アカウントデータベース≫
　図６は、本実施形態に係るアカウントデータベース１６０のデータ構成図である。アカウントデータベース１６０には、情報流通履歴管理システム１０に含まれるサービス利用者端末２００やサービス提供者サーバ３００の認証情報が格納される。認証情報は、アカウント登録処理（後記する図９および図１０参照）において登録される。

　アカウントデータベース１６０は、例えば表形式のデータであって、１つの行（レコード）は、１つのアカウントを示し、利用者／サービス提供者サーバ１６１、および公開鍵１６２の列（属性）を含む。
　利用者／サービス提供者サーバ１６１は、利用者またはサービス提供者サーバ３００の識別情報である。
　公開鍵１６２は、利用者が利用するサービス利用者端末２００、または、サービス提供者が運営するサービス提供者サーバ３００を認証するための公開鍵である。
　レコード１６９は、「３００ＡＰ，ＡＳ」を識別情報とするサービス提供者サーバ３００Ａの公開鍵が「A7259C4DD83E…」であることを示している。

≪情報流通履歴管理装置の概要：制御部≫
　図３に戻って、制御部１１０は、アカウント作成部１１１、記録作成部１１２、個人情報保管部１１３、および記録検索部１１４を備える。
　アカウント作成部１１１は、サービス利用者端末２００、またはサービス提供者サーバ３００の要求により、アカウント登録処理（後記する図９および図１０参照）を行う。アカウント登録処理後には、個人情報提供処理（後記する図１１および図１２参照）、サービス提供者間の個人情報流通処理（後記する図１３および図１４参照）、記録検索処理（後記する図１５および図１６参照）において、サービス利用者端末２００、またはサービス提供者サーバ３００の認証に用いられる公開鍵１６２（図６参照）が登録されている。

　記録作成部１１２は、個人情報提供記録要求４２１、個人情報受領記録要求４２２、サービス提供者間提供記録要求４３１、およびサービス提供者間受領記録要求４３２（図１参照）を受信して、個人情報の提供または受領の記録を記録データベース１４０（図５参照）に格納する。

　個人情報保管部１１３は、サービス利用者端末２００、およびサービス提供者サーバ３００間での個人情報のやり取りを仲介する。詳しくは、サービス利用者端末２００からサービス提供者サーバ３００への個人情報の提供と受領とにおいて、サービス利用者端末２００から提供された暗号化個人情報を個人情報データベース１３０に格納したり、個人情報データベース１３０から当該暗号化個人情報を取り出して受領するサービス提供者サーバ３００に送信したりする。

　また、サービス提供者サーバ３００間での個人情報の提供と受領とにおいて、提供元となるサービス提供者サーバ３００から提供された暗号化個人情報を個人情報データベース１３０に格納したり、個人情報データベース１３０から当該暗号化個人情報を取り出して受領するサービス提供者サーバ３００に送信したりする。

　記録検索部１１４は、サービス利用者端末２００やサービス提供者サーバ３００から個人情報提供記録検索要求４４１や個人情報受領記録検索要求４４２、サービス提供者間提供記録検索要求４５１、サービス提供者間受領記録検索要求４５２（図２参照）を受信して、記録データベース１４０（図５参照）を検索して、検索結果を返信する。

≪サービス利用者端末の構成≫
　図７は、本実施形態に係るサービス利用者端末２００の機能ブロック図である。サービス利用者端末２００は、制御部２１０、記憶部２２０、通信部２７０、ディスプレイ２８１、キーボード２８２、およびマウス２８３を備える。通信部２７０は、情報流通履歴管理装置１００やサービス提供者サーバ３００とやり取りする通信データの送受信を行う。

　記憶部２２０には、プログラム２２１が記憶され、鍵保管領域２２２や個人情報保管領域２３０が備わる。
　プログラム２２１には、制御部２１０を構成するＣＰＵが実行するアカウント登録処理（後記する図９参照）や個人情報提供処理（後記する図１１および図１２参照）、記録検索処理（後記する図１５参照）の手順が示されている。
　鍵保管領域２２２には、情報流通履歴管理装置１００やサービス提供者サーバ３００との通信における認証や暗号化に用いられる公開鍵暗号の秘密鍵と公開鍵とが保存される。
　個人情報保管領域２３０には、情報流通履歴管理装置１００に送信される個人情報が保存される。

　制御部２１０は、アカウント要求部２１１、個人情報提供部２１２、記録検索要求部２１３、鍵管理部２１４、および暗号化部２１５を備える。
　アカウント要求部２１１は、情報流通履歴管理装置１００に対してアカウント登録を要求する（後記する図９参照）。

　個人情報提供部２１２は、個人情報をサービス提供者サーバ３００に提供するために、情報流通履歴管理装置１００に個人情報を送信したり、個人情報提供記録要求４２１（図１参照）を送信して個人情報の提供記録を要求したりする。
　記録検索要求部２１３は、個人情報提供記録検索要求４４１や個人情報受領記録検索要求４４２、サービス提供者間提供記録検索要求４５１、サービス提供者間受領記録検索要求４５２（図２参照）を情報流通履歴管理装置１００に送信して、自身の個人情報をサービス提供者サーバ３００に提供した記録やサービス提供者サーバ３００間での流通記録、サービス提供者サーバ３００間でやり取りされる個人情報種別の検索を要求する。

　鍵管理部２１４は、情報流通履歴管理装置１００やサービス提供者サーバ３００との通信における認証や暗号化に用いられる公開鍵暗号の秘密鍵と公開鍵とを生成する。また、鍵管理部２１４は、個人情報の暗号化に用いられる共通鍵暗号の共通鍵を生成する。
　暗号化部２１５は、個人情報をサービス提供者サーバ３００に提供するために、情報流通履歴管理装置１００に送信する個人情報を暗号化する。他に、暗号化部２１５は、情報流通履歴管理装置１００やサービス提供者サーバ３００との通信における認証や暗号化、復号などを行う。

≪サービス提供者サーバの構成≫
　図８は、本実施形態に係るサービス提供者サーバ３００の機能ブロック図である。サービス提供者サーバ３００は、制御部３１０、記憶部３２０、および通信部３７０を備える。通信部３７０は、情報流通履歴管理装置１００やサービス利用者端末２００とやり取りする通信データの送受信を行う。

　記憶部３２０には、プログラム３２１が記憶され、鍵保管領域３２２や個人情報保管領域３３０が備わる。
　プログラム３２１には、制御部３１０を構成するＣＰＵが実行するアカウント登録処理（後記する図１０参照）や個人情報提供処理（後記する図１１および図１２参照）、サービス提供者間の個人情報流通処理（後記する図１３および図１４参照）、記録検索処理（後記する図１６参照）の手順が示されている。
　鍵保管領域３２２には、情報流通履歴管理装置１００やサービス利用者端末２００との通信における認証や暗号化に用いられる公開鍵暗号の秘密鍵と公開鍵とが保存される。
　個人情報保管領域３３０には、情報流通履歴管理装置１００に送信される個人情報や情報流通履歴管理装置１００から受信した個人情報が保存される。

　制御部３１０は、アカウント要求部３１１、個人情報提供部３１２、個人情報受領部３１３、記録検索要求部３１４、鍵管理部３１５、暗号化部３１６、およびセキュリティモジュール３１７を備える。
　アカウント要求部３１１は、情報流通履歴管理装置１００に対してアカウント登録を要求する（後記する図１０参照）。
　個人情報提供部３１２は、サービス提供者サーバ３００に個人情報を提供するために、情報流通履歴管理装置１００に個人情報を送信したり、サービス提供者間提供記録要求４３１（図１参照）を送信して個人情報の提供記録を要求したりする。

　個人情報受領部３１３は、サービス利用者端末２００から個人情報を受領するために、情報流通履歴管理装置１００から暗号化個人情報を受信したり、個人情報受領記録要求４２２を送信して個人情報の受領記録を要求したりする。また、サービス提供者サーバ３００から個人情報を受領するために、情報流通履歴管理装置１００から暗号化個人情報を受信したり、サービス提供者間受領記録要求４３２を送信して個人情報の受領記録を要求したりする。

　記録検索要求部３１４は、個人情報提供記録検索要求４４１や個人情報受領記録検索要求４４２、サービス提供者間提供記録検索要求４５１、サービス提供者間受領記録検索要求４５２（図２参照）を情報流通履歴管理装置１００に送信して、サービス利用者端末２００から取得した記録や、自身が提供した個人情報のサービス提供者サーバ３００間での流通記録、サービス提供者サーバ３００間でやり取りされる個人情報種別の検索を要求する。

　鍵管理部３１５は、情報流通履歴管理装置１００やサービス利用者端末２００との通信における認証や暗号化に用いられる公開鍵暗号の秘密鍵と公開鍵とを生成する。また、鍵管理部３１５は、個人情報の暗号化に用いられる共通鍵暗号の共通鍵を生成する。
　暗号化部３１６は、個人情報をサービス提供者サーバ３００に提供するために、情報流通履歴管理装置１００に送信する個人情報を暗号化する。また、暗号化部３１６は、サービス提供者サーバ３００から受領した暗号化個人情報を復号する。他に、暗号化部３１６は、情報流通履歴管理装置１００やサービス利用者端末２００との通信における認証や暗号化、復号などを行う。

　セキュリティモジュール３１７は、サービス提供者やサービスのセキュリティポリシに沿って、受領した個人情報が扱われることを強制する。また、セキュリティモジュール３１７は、サービス利用者端末２００やサービス提供者サーバ３００からの問い合わせに対して、この強制が可能か否かの応答を返す。
　個人情報の扱いの例としては、個人情報をハードディスクなどの主記憶以外の記憶媒体に格納する場合や通信データとして送信する場合には暗号化するなどがある。なお、個人情報の扱いがセキュリティポリシに沿って強制されているか否かを応答するというセキュリティモジュール３１７の機能は、attestation機能と呼ばれる。

　以下、図９～図１６のシーケンス図を参照しながら、アカウント登録処理、サービス利用者端末２００からサービス提供者サーバ３００への個人情報提供処理、サービス提供者（サービス提供者サーバ３００）間の個人情報流通処理、および記録の検索処理を説明する。なお、情報流通履歴管理装置１００、サービス利用者端末２００、およびサービス提供者サーバ３００間の通信は、適宜保護されているものとする。例えば、アカウント登録処理（後記する図９および図１０）では、サービス利用者端末２００やサービス提供者サーバ３００は、情報流通履歴管理装置１００の公開鍵を用いて、情報流通履歴管理装置１００を認証しており、通信データは暗号化されているものとする。また、個人情報提供処理やサービス提供者の間個人情報流通処理においては、情報流通履歴管理装置１００、サービス利用者端末２００、およびサービス提供者サーバ３００の公開鍵を用いて、通信は相互に認証され、通信データは暗号化されているものとする。

≪アカウント登録処理：サービス利用者端末≫
　図９は、本実施形態に係るサービス利用者端末２００のアカウント登録処理のシーケンス図である。図９を参照しながら、サービス利用者端末２００の利用者の識別情報および公開鍵を情報流通履歴管理装置１００に登録する処理を説明する。
　ステップＳ１０１においてサービス利用者端末２００のアカウント要求部２１１は、利用者の識別情報（図９では「利用者ＩＤ」と記載）を生成する。アカウント要求部２１１は、例えば、乱数を生成して利用者の識別情報とする。

　ステップＳ１０２においてサービス利用者端末２００の鍵管理部２１４は、公開鍵暗号の公開鍵と秘密鍵のペアを生成して、鍵保管領域２２２に格納する。
　ステップＳ１０３においてアカウント要求部２１１は、ステップＳ１０１で生成した利用者の識別情報（図９では「利用者ＩＤ」と記載）、およびステップＳ１０２で生成した公開鍵を、情報流通履歴管理装置１００に送信する。

　ステップＳ１０４において情報流通履歴管理装置１００のアカウント作成部１１１は、アカウントを作成して登録する。詳しくは、アカウント作成部１１１は、受信した利用者の識別情報が、アカウントデータベース１６０（図６参照）の利用者／サービス提供者サーバ１６１に登録されていないことを確認する。登録されていれば、サービス利用者端末２００にエラーを通知して、アカウント登録処理を終える。以下、登録されていないとして説明を続ける。アカウント作成部１１１は、アカウントデータベース１６０にレコードを追加する。次に、アカウント作成部１１１は、追加したレコードの利用者／サービス提供者サーバ１６１に受信した利用者の識別情報を格納し、公開鍵１６２にステップＳ１０３で受信した公開鍵を格納する。

≪アカウント登録処理：サービス提供者サーバ≫
　図１０は、本実施形態に係るサービス提供者サーバ３００のアカウント登録処理のシーケンス図である。サービス提供者サーバ３００のアカウント登録処理は、図９に示したサービス利用者端末２００のアカウント登録処理と同様の処理であり、ステップＳ１２１～Ｓ１２４は、それぞれステップＳ１０１～Ｓ１０４に対応する。

≪個人情報提供処理≫
　図１１は、本実施形態に係る個人情報提供処理のシーケンス図（１）である。図１２は、本実施形態に係る個人情報提供処理のシーケンス図（２）である。図１１および図１２を参照しながら、情報流通履歴管理装置１００を介したサービス利用者端末２００からサービス提供者サーバ３００への個人情報提供処理を説明する。

　ステップＳ２０１においてサービス利用者端末２００の鍵管理部２１４は、個人情報を暗号化するための共通鍵暗号の共通鍵（秘密鍵）を生成する。
　ステップＳ２０２においてサービス利用者端末２００の暗号化部２１５は、ステップＳ２０１で生成した共通鍵を用いてサービス提供者サーバ３００に提供する個人情報と利用者の識別情報とを暗号化する。なお、以下では、個人情報と利用者の識別情報とを合わせて個人情報とも記す。

　ステップＳ２０３においてサービス利用者端末２００の個人情報提供部２１２は、ステップＳ２０２で暗号化した個人情報（以下、暗号化個人情報とも記す）、提供先のサービス提供者サーバ３００の識別情報（図１１では「提供先ＩＤ」と記載）、および個人情報種別を、情報流通履歴管理装置１００に送信する。

　ステップＳ２０４において情報流通履歴管理装置１００の個人情報保管部１１３は、受信した暗号化個人情報を個人情報データベース１３０に格納する。また、情報流通履歴管理装置１００の記録作成部１１２は、記録データベース１４０に提供を一部記録する。以下、詳しく説明する。
　個人情報保管部１１３は、個人情報データベース１３０（図４参照）にレコードを追加し、当該レコードの暗号化個人情報１３３にステップＳ２０３で受信した暗号化個人情報を格納する。次に、個人情報保管部１１３は、当該レコードの提供先１３２に受信した提供先のサービス提供者サーバ３００の識別情報（図１１では「提供先ＩＤ」と記載）を格納する。また、個人情報保管部１１３は、保管場所として乱数を生成して、当該レコードの保管場所１３１に格納する。

　続いて、記録作成部１１２は、記録データベース１４０（図５参照）にレコードを追加し、当該レコードの保管場所１４９に、上記の生成した保管場所を格納する。次に、記録作成部１１２は、乱数を生成して当該レコードの識別情報１４１に、ステップＳ２０３で受信した個人情報種別を個人情報種別１４６に、サービス利用者端末２００の利用者の識別情報を利用者１４３に格納する。また、記録作成部１１２は、ステップＳ２０３で受信した提供先であるサービス提供者サーバ３００の識別情報（図１１では「提供先ＩＤ」と記載）のうち、サービス提供者の識別情報を当該レコードのサービス提供者１４４に、サービスの識別情報をサービス１４５に格納する。記録作成部１１２は、「Ｎ／Ａ」を当該レコードの提供先１４７に、「提供」を記録種別１４８に格納する。なお、記録時刻１４２は、更新されていない。

　ステップＳ２０５において個人情報保管部１１３は、ステップＳ２０４で生成した保管場所をサービス利用者端末２００に送信する。
　ステップＳ２０６において個人情報提供部２１２は、サービス提供者サーバ３００にセキュリティモジュール３１７の検証を要求する。詳しくは、個人情報提供部２１２は、個人情報の扱いがセキュリティポリシに沿って強制されているか否かを問い合わせる。
　ステップＳ２０７においてサービス提供者サーバ３００のセキュリティモジュール３１７は、サービス提供者サーバ３００において、個人情報の扱いがセキュリティポリシに沿って強制されているか否かを検証する。

　ステップＳ２０８においてセキュリティモジュール３１７は、ステップＳ２０７の検証結果をサービス利用者端末２００に送信する（attestation機能）。サービス利用者端末２００の個人情報提供部２１２は、受信した検証結果が強制されていないのであれば、個人情報提供処理を中断して終える。以下では、強制されているとして説明を続ける。
　ステップＳ２０９において個人情報提供部２１２は、サービス提供者サーバ３００に公開鍵を要求する。この公開鍵は、サービス提供者サーバ３００に提供する個人情報を暗号化する共通鍵（ステップＳ２０１参照）を暗号化する鍵である。

　ステップＳ２１０においてサービス提供者サーバ３００の鍵管理部３１５は、公開鍵暗号の公開鍵と秘密鍵のペアを生成する。
　ステップＳ２１１において鍵管理部３１５は、ステップＳ２１０で生成した公開鍵をサービス利用者端末２００に送信する。
　ステップＳ２１２においてサービス利用者端末２００の暗号化部２１５は、ステップＳ２０１で生成した共通鍵をステップＳ２１１で受信した公開鍵で暗号化する。

　ステップＳ２１３において個人情報提供部２１２は、サービス提供者サーバ３００に暗号化した共通鍵と保管場所とを送信する。
　ステップＳ２１４において個人情報提供部２１２は、情報流通履歴管理装置１００に保管場所を送信して、個人情報の提供を記録するように要求する。
　ステップＳ２１５において情報流通履歴管理装置１００の記録作成部１１２は、記録データベース１４０（図５参照）のなかで、保管場所１４９が、ステップＳ２１４で受信した保管場所で、記録種別１４８が「提供」であるレコードを検索することで、ステップＳ２０４で更新したレコードを特定する。記録作成部１１２は、特定したレコードの記録時刻１４２を現在時刻に更新する。

　図１２に移動して、ステップＳ２１６においてサービス提供者サーバ３００の個人情報受領部３１３は、ステップＳ２１３で受信した保管場所を情報流通履歴管理装置１００に送信して、暗号化個人情報を要求する。
　ステップＳ２１７において個人情報保管部１１３は、暗号化個人情報をサービス提供者サーバ３００に送信する。詳しくは、個人情報保管部１１３は、個人情報データベース１３０（図４参照）のなかで、保管場所１３１が受信した保管場所に一致するレコードを検索する。次に、個人情報保管部１１３は、検索結果のレコードの提供先１３２が、暗号化個人情報を要求したサービス提供者サーバ３００に合致するかを確認する。合致しない場合には、個人情報保管部１１３は、サービス提供者サーバ３００にエラーを送信し、合致する場合には、検索結果のレコードの暗号化個人情報１３３を送信する。エラーを受信した場合には、サービス提供者サーバ３００の個人情報受領部３１３は、個人情報提供処理を中断して終了する。

　ステップＳ２１８においてサービス提供者サーバ３００の暗号化部３１６は、暗号化個人情報を復号して、復号結果である個人情報と利用者の識別情報とを個人情報保管領域３３０に格納する。詳しくは、暗号化部３１６は、ステップＳ２１３で受信した暗号化された共通鍵をステップＳ２１０で生成した秘密鍵で復号して共通鍵を取得する。次に、暗号化部３１６は、この共通鍵でステップＳ２１７において受信した暗号化個人情報を復号することで個人情報と利用者の識別情報とを得て、個人情報保管領域３３０に格納する。
　ステップＳ２１９において個人情報受領部３１３は、情報流通履歴管理装置１００に保管場所を送信して、個人情報の受領を記録するように要求する。

　ステップＳ２２０において情報流通履歴管理装置１００の記録作成部１１２は、受領の記録を作成する。詳しくは、記録作成部１１２は、記録データベース１４０（図５参照）のなかで、保管場所１４９が受信した保管場所に一致するレコードを検索する。検索結果は、ステップＳ２０４，Ｓ２１５で更新したレコードとなる。次に、記録作成部１１２は、記録データベース１４０にレコードを追加し、追加したレコードの利用者１４３、サービス提供者１４４、サービス１４５、個人情報種別１４６、提供先１４７、および保管場所１４９を、検索結果のレコードの利用者１４３、サービス提供者１４４、サービス１４５、個人情報種別１４６、提供先１４７、および保管場所１４９でそれぞれ更新する。続いて、記録作成部１１２は、追加したレコードの識別情報１４１を新たに生成した識別情報に、記録時刻１４２を現在時刻に、記録種別１４８を「受領」に更新する。
　以上で受領記録の生成は終了するが、この後に個人情報保管部１１３が、個人情報データベース１３０のなかのステップＳ２１７で送信した暗号化個人情報のレコードを削除してもよい。

≪サービス提供者間の個人情報流通処理≫
　図１３は、本実施形態に係るサービス提供者間の個人情報流通処理のシーケンス図（１）である。図１４は、本実施形態に係るサービス提供者間の個人情報流通処理のシーケンス図（２）である。サービス提供者間の個人情報流通処理は、記録データベース１４０（図５参照）の提供先１４７の扱いを除いて、図１１および図１２に示した個人情報提供処理と同様の処理である。以下では、記録データベース１４０に係る処理として、ステップＳ３０３～Ｓ３０４、およびステップＳ３２０を説明する。

　ステップＳ３０３においてサービス提供者サーバ３００Ａの個人情報提供部３１２は、ステップＳ３０２で暗号化した個人情報（利用者の識別情報を含む）、個人情報に係る利用者の識別情報（ステップＳ３０２で個人情報とともに暗号化された利用者の識別情報、図１３では「利用者ＩＤ」と記載）、提供先のサービス提供者サーバ３００の識別情報（図１３では「提供先ＩＤ」と記載）、および個人情報の種別（個人情報種別）を、情報流通履歴管理装置１００に送信する。
　ステップＳ２０３と比較すると、利用者の識別情報を加えて情報流通履歴管理装置１００に送信している。

　ステップＳ３０４において情報流通履歴管理装置１００の個人情報保管部１１３は、受信した暗号化個人情報を個人情報データベース１３０に格納する。また、情報流通履歴管理装置１００の記録作成部１１２は、記録データベース１４０に提供を一部記録する。個人情報データベース１３０を更新する処理は、ステップＳ２０４（図１１参照）と同様である。

　記録作成部１１２は、記録データベース１４０（図５参照）にレコードを追加し、当該レコードの保管場所１４９に、個人情報データベース１３０に追加した保管場所を格納する。次に、記録作成部１１２は、乱数を生成して当該レコードの識別情報１４１に、ステップＳ３０３で受信した個人情報種別を個人情報種別１４６に、ステップＳ３０３で受信した利用者の識別情報を利用者１４３に格納する。また、記録作成部１１２は、受信した提供先のサービス提供者サーバ３００の識別情報を提供先１４７に格納し、ステップＳ３０３の送信元であるサービス提供者サーバ３００Ａの識別情報のうちでサービス提供者の識別情報を当該レコードのサービス提供者１４４に、サービスの識別情報をサービス１４５に格納する。記録作成部１１２は、「提供」を記録種別１４８に格納する。なお、記録時刻１４２は、更新されていない。なお、ステップＳ３１５は、ステップＳ２１５（図１１参照）と同様であり、更新されるレコードは、ステップＳ３０４で更新されたレコードである。
　ステップＳ２０４では、提供先１４７は「Ｎ／Ａ」であったが、ステップＳ３０４ではサービス提供者サーバ３００Ａが提供先としたサービス提供者サーバ３００Ｂとなる。

　図１１および図１２との違いについて、次にステップＳ３２０について説明する。ステップＳ３２０は、ステップＳ２２０と同様である。但し、ステップＳ２２０で追加された受領の記録の提供先１４７は「Ｎ／Ａ」であるが、ステップＳ３２０においては、サービス提供者サーバ３００Ｂとなる。

≪記録検索処理：サービス利用者端末≫
　図１５は、本実施形態に係るサービス利用者端末２００が要求する検索処理のシーケンス図である。
　ステップＳ４０１においてサービス利用者端末２００の記録検索要求部２１３は、情報流通履歴管理装置１００に検索項目を送信して、記録の検索を要求する。検索項目の詳細は、後記する。

　ステップＳ４０２において情報流通履歴管理装置１００の記録検索部１１４は、受信した検索項目に応じて、記録データベース１４０を検索する。検索項目に応じた検索の詳細は、後記する。
　ステップＳ４０３において情報流通履歴管理装置１００の記録検索部１１４は、ステップＳ４０２の検索結果をサービス利用者端末２００に送信する。

　以下では、検索項目と検索項目に応じた検索について説明する。検索項目には、利用者と、利用者およびサービス提供者サーバと、サービス提供者サーバとがある。
　検索項目が利用者（利用者の識別情報）である場合には、記録検索部１１４は、当該利用者が検索を要求したサービス利用者端末２００の利用者であることを確認した後に、当該利用者の個人情報の提供および受領の記録を検索する。詳しくは、検索項目の利用者が検索を要求したサービス利用者端末２００の利用者であることを確認した後に、記録検索部１１４は、記録データベース１４０（図５参照）のなかで、利用者１４３が検索項目である利用者に一致するレコードを検索する。検索結果の識別情報１４１と保管場所１４９とを除いて、サービス利用者端末２００に送信する。

　検索項目が利用者およびサービス提供者サーバ（サービス提供者の識別情報およびサービスの識別情報）である場合には、記録検索部１１４は、検索項目の利用者が検索を要求したサービス利用者端末２００の利用者であることを確認した後に、当該利用者の個人情報であって、当該サービス提供者サーバが提供または受領した記録を検索する。詳しくは、検索項目の利用者が検索を要求したサービス利用者端末２００の利用者であることを確認した後に、記録検索部１１４は、記録データベース１４０（図５参照）のなかで、利用者１４３が検索項目である利用者に一致するレコードであってサービス提供者１４４とサービス１４５とが検索項目であるサービス提供者サーバに一致するレコード、および、利用者１４３が検索項目である利用者に一致するレコードであって提供先１４７が検索項目であるサービス提供者サーバに一致するレコードを検索する。検索結果の識別情報１４１と保管場所１４９とを除いて、サービス利用者端末２００に送信する。

　検索項目のサービス提供者サーバは、サービス提供者であってもよい。詳しくは、記録検索部１１４は、記録データベース１４０（図５参照）のなかで、利用者１４３が検索項目である利用者に一致するレコードであってサービス提供者１４４が検索項目であるサービス提供者に一致するレコード、および、利用者１４３が検索項目である利用者に一致するレコードであって提供先１４７が検索項目であるサービス提供者が運営するサービス提供者サーバである（提供先１４７がサービス提供者の識別情報を含む）レコードを検索する。

　検索項目がサービス提供者サーバである場合には、記録検索部１１４は、当該サービス提供者サーバの個人情報の提供および受領の記録を検索する。詳しくは、記録検索部１１４は、記録データベース１４０のなかで、サービス提供者１４４とサービス１４５とが検索項目であるサービス提供者サーバに一致するレコード、および、提供先１４７が検索項目であるサービス提供者サーバに一致するレコードを検索する。検索結果の識別情報１４１と利用者１４３と保管場所１４９とを除いて、サービス利用者端末２００に送信する。検索項目のサービス提供者サーバは、サービス提供者であってもよい。

　なお、記録検索部１１４は、さらに記録時刻１４２と記録種別１４８とを除いた残りの属性であるサービス提供者１４４、サービス１４５、個人情報種別１４６、および提供先１４７をサービス利用者端末２００に送信してもよい。このとき、記録検索部１１４は、サービス提供者１４４、サービス１４５、個人情報種別１４６、および提供先１４７が同じになるレコードは、１件のレコードとしてまとめて送信してもよい。

　検索項目は、記録データベース１４０の属性に対応する他の項目であってもよい。例えば、利用者と記録期間であってもよい。この場合、記録検索部１１４は、検索項目の利用者が検索を要求したサービス利用者端末２００の利用者であることを確認した後に、当該利用者の個人情報の提供および受領の記録であって、記録時刻１４２が検索項目の記録期間に含まれる記録を検索する。

　検索項目が個人情報種別である場合には、記録検索部１１４は、当該個人情報種別の提供および受領の記録を検索する。詳しくは、記録検索部１１４は、記録データベース１４０（図５参照）のなかで、個人情報種別１４６が検索項目である個人情報種別に一致するレコードを検索する。検索結果の識別情報１４１と利用者１４３と保管場所１４９とを除いて、サービス利用者端末２００に送信する。
　なお、記録検索部１１４は、さらに記録時刻１４２と記録種別１４８とを除いた残りの属性であるサービス提供者１４４、サービス１４５、個人情報種別１４６、および提供先１４７をサービス利用者端末２００に送信してもよい。このとき、記録検索部１１４は、サービス提供者１４４、サービス１４５、個人情報種別１４６、および提供先１４７が同じになるレコードは、１件のレコードとしてまとめて送信してもよい。

　検索項目のオプションとして、検索対象の記録の種別を追加してもよい。種別としては、サービス利用者端末２００からサービス提供者サーバ３００への提供の記録、サービス利用者端末２００からサービス提供者サーバ３００への受領の記録、サービス提供者サーバ３００間の提供の記録、およびサービス提供者サーバ３００間の受領の記録がある。サービス利用者端末２００からサービス提供者サーバ３００への提供記録の検索要求は、個人情報提供記録検索要求４４１（図２参照）に対応する。サービス利用者端末２００からサービス提供者サーバ３００への受領記録の検索要求は、個人情報受領記録検索要求４４２に対応する。サービス提供者サーバ３００間の提供記録の検索要求は、サービス提供者間提供記録検索要求４５１に対応する。サービス提供者サーバ３００間の受領記録の検索要求は、サービス提供者間受領記録検索要求４５２に対応する。

　記録検索部１１４は、検索要求に記録の種別が付加された場合には、記録データベース１４０（図５参照）のなかで当該種別に限定して検索する。提供／受領の区別は、記録種別１４８で判断できる。サービス利用者端末２００からサービス提供者サーバ３００への提供や受領の記録は、提供先１４７がＮ／Ａであることで判別できる。なお、検索要求に記録の種別が指定されていない場合には、上記で説明したように全ての記録を検索する。

　記録検索部１１４は、サービス利用者端末２００の利用者以外の利用者についての記録は検索しないようにしてもよい。サービス利用者端末２００と情報流通履歴管理装置１００と間の通信では通信相手を認証しており、情報流通履歴管理装置１００は、通信相手であるサービス利用者端末２００の利用者を識別している。記録検索部１１４は、この識別された利用者以外の利用者に係る検索は行わないようにしてもよい。例えば、記録検索部１１４は、識別された利用者以外の利用者を検索要求に含む検索を拒否する。

　また、記録検索部１１４は、検索項目に利用者が含まれない場合には、検索結果から利用者１４３を除いた検索結果をサービス利用者端末２００に返信するようにしてもよい。
　このようにすることで、情報流通履歴管理装置１００は、利用者のプライバシーを保護しつつ検索することができるようになる。

≪記録検索処理：サービス提供者サーバ≫
　図１６は、本実施形態に係るサービス提供者サーバ３００が要求する検索処理のシーケンス図である。
　ステップＳ４１１においてサービス提供者サーバ３００の記録検索要求部３１４は、情報流通履歴管理装置１００に検索項目を送信して、記録の検索を要求する。検索項目の詳細は、後記する。

　ステップＳ４１２において情報流通履歴管理装置１００の記録検索部１１４は、受信した検索項目に応じて、記録データベース１４０を検索する。検索項目に応じた検索の詳細は、後記する。
　ステップＳ４１３において情報流通履歴管理装置１００の記録検索部１１４は、ステップＳ４０２の検索結果をサービス提供者サーバ３００に送信する。

　以下では、検索項目と検索項目に応じた検索について説明する。検索項目には、サービス提供者サーバと、個人情報種別と、サービス提供者サーバおよび利用者とがある。
　検索項目がサービス提供者サーバである場合には、記録検索部１１４は、当該サービス提供者サーバが係る提供および受領の記録を検索する。詳しくは、記録検索部１１４は、記録データベース１４０のなかで、サービス提供者１４４とサービス１４５とが検索項目であるサービス提供者サーバに一致するレコード、および、提供先１４７が検索項目であるサービス提供者サーバに一致するレコードを検索する。検索結果の識別情報１４１と利用者１４３と保管場所１４９とを除いて、サービス提供者サーバ３００に送信する。検索項目のサービス提供者サーバは、サービス提供者であってもよい。

　検索項目が個人情報種別である場合には、記録検索部１１４は、当該個人情報種別の提供および受領の記録を検索する。詳しくは、記録検索部１１４は、記録データベース１４０（図５参照）のなかで、個人情報種別１４６が検索項目である個人情報種別に一致するレコードを検索する。検索結果の識別情報１４１と利用者１４３と保管場所１４９とを除いて、サービス提供者サーバ３００に送信する。
　なお、記録検索部１１４は、さらに記録時刻１４２と記録種別１４８とを除いた残りの属性であるサービス提供者１４４、サービス１４５、個人情報種別１４６、および提供先１４７をサービス提供者サーバ３００に送信してもよい。このとき、記録検索部１１４は、サービス提供者１４４、サービス１４５、個人情報種別１４６、および提供先１４７が同じになるレコードは、１件のレコードとしてまとめて送信してもよい。

　検索項目がサービス提供者サーバおよび利用者である場合には、記録検索部１１４は、当該サービス提供者サーバが検索を要求したサービス提供者サーバ３００であることを確認した後に、当該利用者の流通経路として流通先と流通元を検索する。先ず、流通先の検索を説明する。記録検索部１１４は、記録データベース１４０のなかで、サービス提供者１４４とサービス１４５とが検索項目であるサービス提供者サーバに一致するレコードであり、利用者１４３が検索項目である利用者であって、記録種別１４８が受領であるレコードを検索する。検索結果のレコードの提供先１４７が、当該利用者の１次の流通先である。また、検索結果のレコードの個人情報種別１４６が、１次の個人情報種別である。１次の流通先は、複数である場合やない場合がある。また、１次の流通先によって１次の個人情報種別が異なる場合がある。

　続いて、記録検索部１１４は、サービス提供者１４４とサービス１４５とが１次の流通先であり、利用者１４３が検索項目である利用者であって、記録種別１４８が受領であり、個人情報種別１４６が当該１次の流通先の１次の個人情報種別に含まれるレコードを検索する。検索結果のレコードの提供先１４７が２次の流通先であり、個人情報種別１４６が２次の個人情報種別である。記録検索部１１４は、流通先がなくなるまで、３次、４次、５次、・・・と検索を繰り返す。

　流通先の検索に続いて、流通元の検索を説明する。記録検索部１１４は、記録データベース１４０のなかで、提供先１４７が検索項目であるサービス提供者サーバに一致するレコードであり、利用者１４３が検索項目である利用者であって、記録種別１４８が受領であるレコード、および、サービス提供者１４４とサービス１４５とが検索項目であるサービス提供者サーバであって提供先１４７が「Ｎ／Ａ」であるレコードであり、利用者１４３が検索項目である利用者であって、記録種別１４８が受領であるレコードを検索する。検索結果のレコードのサービス提供者１４４とサービス１４５とが、当該利用者の１次の流通元を示す。また、検索結果のレコードの個人情報種別１４６が、１次の個人情報種別である。１次の流通元は、複数である場合やない場合がある。また、１次の流通元によって１次の個人情報種別が異なる場合がある。

　続いて、記録検索部１１４は、提供先１４７が１次の流通元であり、利用者１４３が検索項目である利用者であって、記録種別１４８が受領であり、個人情報種別１４６が当該１次の流通元の１次の個人情報種別を含むレコード、および、サービス提供者１４４およびサービス１４５が１次の流出元であって提供先１４７が「Ｎ／Ａ」であるレコードであり、利用者１４３が検索項目である利用者であって、記録種別１４８が受領であり、個人情報種別１４６が当該１次の流通元の１次の個人情報種別を含むレコードを検索する。検索結果のレコードのサービス提供者１４４とサービス１４５とが２次の流通元を示し、個人情報種別１４６が２次の個人情報種別である。記録検索部１１４は、流通元がなくなるまで、３次、４次、５次、・・・と検索を繰り返す。以上のようにして、流通経路を検索することができる。検索項目のサービス提供者サーバは、サービス提供者であってもよい。

　なお、検索項目が利用者である場合でも、記録検索部１１４は、上記した当該利用者の流通経路として流通先と流通元を検索してもよい。この場合、検索項目としてのサービス提供者サーバは、要求元のサービス提供者サーバとみなす。
　検索項目は、記録データベース１４０の属性に対応する他の項目であってもよい。例えば、サービス提供者サーバと記録期間であってもよい。この場合、記録検索部１１４は、サービス提供者サーバ３００が、サービス提供者１４４およびサービス１４５か、提供先１４７かになっている記録であって、記録時刻１４２が検索項目の記録期間に含まれる記録を検索する。
　また、サービス提供者サーバに替わってサービス提供者であってもよい。サービス提供者で検索すると、当該サービス提供者が運営する全てのサービス提供者サーバ３００に係る個人情報の提供や受領を検索することになる。
　検索対象の記録の種別については、サービス利用者端末２００からの検索要求（図１５参照）と同様である。

　記録検索部１１４は、検索項目に利用者が含まれた場合には、サービス提供者サーバ３００が提供または受領した以外の利用者の個人情報についての記録を検索しないようにしてもよい。サービス提供者サーバ３００と情報流通履歴管理装置１００と間の通信では通信相手を認証しており、情報流通履歴管理装置１００は、通信相手であるサービス提供者サーバ３００を識別している。記録検索部１１４は、この識別されたサービス提供者サーバ３００が提供または受領した以外の利用者に係る検索は行わないようにしてもよい。例えば、記録検索部１１４は、利用者を含んだ検索要求を受け付けたときには、記録データベース１４０のなかで利用者１４３に当該利用者を含み、サービス提供者１４４およびサービス１４５か提供先１４７かに要求元のサービス提供者サーバ３００を含むレコードに制限したうえで、要求された検索を行う。

　また、記録検索部１１４は、検索項目に利用者が含まれない場合には、検索結果から利用者１４３を除いた検索結果をサービス提供者サーバ３００に返信するようにしてもよい。
　このようにすることで、情報流通履歴管理装置１００は、利用者のプライバシーを保護しつつ検索することができるようになる。

≪情報流通履歴管理システムの特徴≫
　情報流通履歴管理システム１０（図１参照）において、サービス利用者端末２００からサービス提供者サーバ３００Ａに個人情報が提供される場合、暗号化された個人情報が、サービス利用者端末２００から情報流通履歴管理装置１００へ送信され、続いて情報流通履歴管理装置１００からサービス提供者サーバ３００Ａに送信される。暗号化された個人情報が、サービス利用者端末２００から情報流通履歴管理装置１００へ送信されると、サービス利用者端末２００の要求により記録データベース１４０に個人情報の提供が記録される。また、情報流通履歴管理装置１００からサービス提供者サーバ３００Ａに送信されると、サービス提供者サーバ３００Ａの要求により記録データベース１４０に個人情報の受領が記録される。

　サービス提供者サーバ３００Ａからサービス提供者サーバ３００Ｂに個人情報が提供される場合、暗号化された個人情報が、サービス提供者サーバ３００Ａから情報流通履歴管理装置１００へ送信され、続いて情報流通履歴管理装置１００からサービス提供者サーバ３００Ｂに送信される。暗号化された個人情報が、サービス提供者サーバ３００Ａから情報流通履歴管理装置１００へ送信されると、サービス提供者サーバ３００Ａの要求により記録データベース１４０に個人情報の提供が記録される。また、情報流通履歴管理装置１００からサービス提供者サーバ３００Ｂに送信されると、サービス提供者サーバ３００Ｂの要求により記録データベース１４０に個人情報の受領が記録される。

　記録には、個人情報に係る利用者、提供先（受領者）や提供元（提供者）となるサービス提供者（サービス提供者とサービス）、個人情報の種別などが含まれる。
　サービス利用者端末２００やサービス提供者サーバ３００は、情報流通履歴管理装置１００に要求して記録を検索することができる。利用者は、自身の個人情報がどこのサービス提供者に提供されたかが把握できるようになる。また、利用者は、自身の個人情報をサービス提供者に提供する前に、当該サービス提供者に個人情報を提供した場合にどこのサービス提供者に個人情報が流通するかを把握することができる。

　サービス提供者サーバ３００は、検索要求に指定したサービス提供者サーバ３００、またはサービス提供者が保有する個人情報の種別が把握できる。また、自身が提供した個人情報の流通先や自身が受領した個人情報の流通元を把握できるようになる。サービス提供者は、自身が提供した個人情報が、意図しないサービス提供者に流通していないか確認することができる。また、自身が受領した個人情報が、不正なサービス提供者から流通してきたものでないかを確認することができる。

≪変形例：記録要求のパラメータ≫
　上記した実施形態において、提供の記録要求（図１１記載のステップＳ２１４、図１３記載のステップＳ３１４参照）や受領の記録要求（図１２記載のステップＳ２１９、図１４記載のステップＳ３１９参照）のパラメータは、保管場所である。サービス利用者端末２００やサービス提供者サーバ３００が、同時に複数の個人情報の提供や受領を行わないなど、提供や受領の混同が発生しないならば、保管場所のパラメータは不要である。

≪変形例：記録要求なしで記録≫
　上記した個人情報提供処理において、情報流通履歴管理装置１００は、サービス提供者サーバ３００からの受領記録の要求を受けてから、記録データベース１４０を更新している（図１２記載のステップＳ２１９～Ｓ２２０）。情報流通履歴管理装置１００は、ステップＳ２１７で暗号化個人情報を送信した後に受領記録の要求を受けることなしに、記録データベース１４０を更新してもよい。ネットワークの不調やサービス提供者サーバ３００の不正などにより、受領記録の要求がない場合でも、受領を記録できるようになる。
　また、提供の記録についても、ステップＳ２０５で保管場所を送信した後に提供記録の要求を受けることなしに、記録データベース１４０を更新（記録時刻１４２を更新（ステップＳ２１５参照））してもよい。
　以上に示した、記録要求なしの記録データベース１４０を更新は、サービス提供者間の個人情報流通処理でも同様である。

≪その他の変形例≫
　本発明は、上記した実施形態に限定されることなく、その趣旨を逸脱しない範囲で変更することができる。例えば、情報流通履歴管理装置１００は、個人情報データベース１３０や記録データベース１４０などを記憶しているが、データベースサーバなどの外部の装置に記憶してもよい。
　記録の検索において（図１５および図１６参照）、検索結果に含まれる利用者１４３を除く替わりに、元の利用者が復元または推定できないようにして別の識別情報に置き換えてもよい（匿名化、仮名化など）。

　また、プログラム１２１，２２１，３２１（図３、図７および図８参照）が記述する処理のステップは、図９～図１６に記載した順序とは別の順序で実行されてもよく、また、必ずしも時系列的に処理されなくとも、並列的あるいは個別に実行される処理をも含むものである。例えば、図１１および図１２において、ステップＳ２１４～Ｓ２１５の処理と、ステップＳ２１６～Ｓ２２０との処理は、入れ替わってもよいし、並列でもよい。

　上記した実施形態では、サービス利用者端末２００からサービス提供者サーバ３００に個人情報が提供された場合（図１１および図１２参照）、提供先であるサービス提供者サーバ３００は、サービス提供者１４４（図５参照）とサービス１４５に記録され、提供先１４７は「Ｎ／Ａ」と記録される（図１１および図１２のステップＳ２０４，Ｓ２１５，Ｓ２２０参照）。これに替わり、サービス提供者サーバ３００を個人情報の提供先と捉えて提供先１４７に記録し、サービス提供者１４４とサービス１４５とは「Ｎ／Ａ」としてもよい。

　以上、本発明のいくつかの実施形態について説明したが、これらの実施形態は、例示に過ぎず、本発明の技術的範囲を限定するものではない。本発明はその他の様々な実施形態を取ることが可能であり、さらに、本発明の要旨を逸脱しない範囲で、省略や置換等種々の変更を行うことができる。これら実施形態やその変形は、本明細書等に記載された発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。

≪ハードウェア構成≫
　本実施形態に係る情報流通履歴管理装置１００は、例えば図１７に示すような構成のコンピュータ９００によって実現される。図１７は、本実施形態に係る情報流通履歴管理装置１００の機能を実現するコンピュータ９００の一例を示すハードウェア構成図である。コンピュータ９００は、ＣＰＵ９０１、ＲＯＭ（Read Only Memory）９０２、ＲＡＭ（Random Access Memory）９０３、ハードディスク９０４（図１７ではＨＤＤと記載）、入出力インターフェイス９０５（図１７ではI/O I/F（Input/Output Interface）と記載）、通信インターフェイス９０６、およびメディアインターフェイス９０７を備える。

　ＣＰＵ９０１は、ＲＯＭ９０２またはハードディスク９０４に記憶されたプログラムに基づき作動し、図３の制御部１１０による制御を行う。ＲＯＭ９０２は、コンピュータ９００の起動時にＣＰＵ９０１により実行されるブートプログラムや、コンピュータ９００のハードウェアに係るプログラムなどを記憶する。
　ＣＰＵ９０１は、入出力インターフェイス９０５を介して、マウスやキーボードなどの入力装置９１０、およびディスプレイやプリンタなどの出力装置９１１を制御する。ＣＰＵ９０１は、入出力インターフェイス９０５を介して、入力装置９１０からデータを取得するともに、生成したデータを出力装置９１１へ出力する。

　ハードディスク９０４は、ＣＰＵ９０１により実行されるプログラムおよび当該プログラムによって使用されるデータなどを記憶する。通信インターフェイス９０６は、通信網を介して図示せぬ他の装置（例えば、サービス利用者端末２００やサービス提供者サーバ３００など）からデータを受信してＣＰＵ９０１へ出力し、また、ＣＰＵ９０１が生成したデータを、通信網を介して他の装置へ送信する。
　メディアインターフェイス９０７は、記録媒体９１２に格納されたプログラムまたはデータを読み取り、ＲＡＭ９０３を介してＣＰＵ９０１へ出力する。ＣＰＵ９０１は、プログラムを、メディアインターフェイス９０７を介して記録媒体９１２からＲＡＭ９０３上にロードし、ロードしたプログラムを実行する。記録媒体９１２は、ＤＶＤ（Digital Versatile Disk）などの光学記録媒体、ＭＯ（Magneto Optical disk）などの光磁気記録媒体、磁気記録媒体、導体メモリテープ媒体または半導体メモリなどである。

　例えば、コンピュータ９００が本実施形態に係る情報流通履歴管理装置１００として機能する場合、コンピュータ９００のＣＰＵ９０１は、ＲＡＭ９０３上にロードされたプログラム１２１（図３参照）を実行することにより、情報流通履歴管理装置１００の機能を実現する。ＣＰＵ９０１は、プログラムを記録媒体９１２から読み取って実行する。この他、ＣＰＵ９０１は、他の装置から通信網を介してプログラム１２１を読み込んでもよいし、記録媒体９１２からハードディスク９０４にプログラム１２１をインストールして実行してもよい。

≪効果≫
　以下に、情報流通履歴管理システム１０の効果を説明する。

　本発明に係る情報流通履歴管理システム１０は、ネットワークで接続されたサービス利用者端末２００、サービス提供者サーバ３００Ａ，３００Ｂ、および情報流通履歴管理装置１００を含んで構成される情報流通履歴管理システム１０であって、サービス利用者端末２００は、サービス利用者端末２００の利用者に係る個人情報のサービス提供者サーバ３００Ａへの提供を行う場合に、当該提供の記録を情報流通履歴管理装置１００に要求し、サービス提供者サーバ３００Ａは、個人情報の提供に対して受領を行う場合に、当該受領の記録を情報流通履歴管理装置１００に要求し、情報流通履歴管理装置１００は、サービス利用者端末２００から提供の記録の要求を受け付けて当該記録を記憶し、サービス提供者サーバ３００Ａから受領の記録の要求を受け付けて当該記録を記憶する記録作成部１１２を備え、サービス提供者サーバ３００Ａは、個人情報のサービス提供者サーバ３００Ｂへの提供を行う場合に、当該提供の記録を情報流通履歴管理装置１００に要求し、サービス提供者サーバ３００Ｂは、個人情報の提供に対して受領を行う場合に、当該受領の記録を情報流通履歴管理装置１００に要求し、記録作成部１１２は、サービス提供者サーバ３００Ａから提供の記録の要求を受け付けて当該記録を記憶し、サービス提供者サーバ３００Ｂから受領の記録の要求を受け付けて当該記録を記憶し、記録には、サービス利用者端末２００の利用者の識別情報（利用者１４３）と、受領するサービス提供者サーバ３００Ａの識別情報（サービス提供者１４４およびサービス１４５）または当該サービス提供者サーバ３００Ａのサービス提供者の識別情報とを含む場合（提供先１４７が「Ｎ／Ａ」の場合）と、サービス利用者端末２００の利用者の識別情報（利用者１４３）と、提供するサービス提供者サーバ３００Ａの識別情報（サービス提供者１４４およびサービス１４５）または当該サービス提供者サーバ３００Ａのサービス提供者の識別情報と、受領するサービス提供者サーバ３００Ｂの識別情報（提供先１４７）または当該サービス提供者サーバ３００Ｂのサービス提供者の識別情報とを含む場合（提供先１４７が「Ｎ／Ａ」ではない場合）とがあり、情報流通履歴管理装置１００は、サービス利用者端末２００またはサービス提供者サーバ３００Ａ，３００Ｂからの検索要求を受け付けて、記録を検索して検索結果を返信する記録検索部１１４を、さらに備えることを特徴とする。

　このような情報流通履歴管理システム１０によれば、情報流通履歴管理装置１００は、サービス利用者端末２００からサービス提供者サーバ３００Ａへ提供され受領された個人情報の記録、および、サービス提供者サーバ３００Ａから他のサービス提供者サーバ３００Ｂへ提供され受領された個人情報の記録を蓄積できるようになる。また、サービス利用者端末２００またはサービス提供者サーバ３００Ａ，３００Ｂからの要求に対して記録を検索できるようになる。これにより、サービス利用者端末２００の利用者は、自身の個人情報がどのサービス提供者サーバ３００またはサービス提供者に流通したかを知ることができるようになる。

　自身が提供した覚えのないサービス提供者サーバ３００が自身の個人情報を保有している場合には、提供したサービス提供者サーバ３００または提供したサービス提供者サーバ３００のサービス提供者、および、受領したサービス提供者サーバ３００または受領したサービス提供者サーバ３００のサービス提供者を辿ることで、どのような経路を辿って覚えのないサービス提供者サーバ３００に自身の個人情報が流通したかわかるようになる。

　また、情報流通履歴管理システム１０において、記録は、当該記録に係る個人情報の種別を含み、記録検索部１１４は、サービス利用者端末２００またはサービス提供者サーバ３００が送信した、サービス提供者サーバ３００の識別情報またはサービス提供者の識別情報を含んだ記録の検索要求を受け付けると、当該サービス提供者サーバ３００の識別情報または当該サービス提供者の識別情報を含む記録を検索し、検索結果から利用者の識別情報（利用者１４３）を削除した検索結果を返信することを特徴とする。

　このような情報流通履歴管理システム１０によれば、サービス利用者端末２００やサービス提供者サーバ３００は、サービス提供者サーバ３００またはサービス提供者サーバ３００のサービス提供者が保有する個人情報の種別を検索できるようになる。検索結果には、利用者の情報は含まれておらず、情報流通履歴管理システム１０は、利用者のプライバシーを保護している。

　また、情報流通履歴管理システム１０において、記録は、当該記録に係る個人情報の種別を含み、記録検索部１１４は、サービス利用者端末２００またはサービス提供者サーバ３００が送信した、個人情報の種別を含んだ記録の検索要求を受け付けると、当該個人情報の種別を含む記録を検索し、検索結果から利用者の識別情報（利用者１４３）を削除した検索結果を返信することを特徴とする。

　このような情報流通履歴管理システム１０によれば、検索要求に指定された個人情報の種別を含む個人情報を保有するサービス提供者サーバ３００またはサービス提供者サーバ３００のサービス提供者を検索できるようになる。検索結果には、利用者の情報は含まれておらず、情報流通履歴管理システム１０は、利用者のプライバシーを保護している。

　また、情報流通履歴管理システム１０において、記録検索部１１４は、サービス提供者サーバ３００が送信した、利用者の識別情報を含んだ記録の検索要求を受け付けると、当該サービス提供者サーバ３００または当該サービス提供者サーバ３００のサービス提供者が提供した記録であって、当該利用者の識別情報を含む記録を検索し、検索結果に含まれる受領したサービス提供者サーバ３００の識別情報およびサービス提供者サーバ３００のサービス提供者の識別情報を流通先の識別情報として取得し、当該流通先の識別情報を提供したサービス提供者サーバ３００の識別情報またはサービス提供者サーバのサービス提供者の識別情報に含む記録であって、当該利用者の識別情報を含む記録を検索し、検索結果に含まれる受領したサービス提供者サーバ３００の識別情報およびサービス提供者サーバ３００のサービス提供者の識別情報を流通先の識別情報に加えることを繰り返すことを特徴とする。

　このような情報流通履歴管理システム１０によれば、サービス提供者サーバ３００またはサービス提供者サーバ３００のサービス提供者が提供した個人情報の流通先（提供され受領したサービス提供者サーバ３００またはサービス提供者サーバ３００のサービス提供者）を検索できるようになる。サービス提供者サーバ３００またはサービス提供者サーバ３００のサービス提供者は、自身が提供した個人情報の流通先を知ることができるようになる。契約を結んで個人情報を提供している場合、サービス提供者は、その契約が遵守されているか否かを確認することができるようになる。

　また、情報流通履歴管理システム１０において、記録検索部１１４は、サービス利用者端末２００またはサービス提供者サーバ３００から利用者の識別情報を含まない検索要求を受け付けると、検索結果から利用者の識別情報（利用者１４３）を削除した検索結果を返信することを特徴とする。

　このような情報流通履歴管理システム１０によれば、検索結果には、利用者の情報は含まれておらず、利用者のプライバシーを保護しつつ検索をすることができるようになる。

１０　情報流通履歴管理システム
１００　情報流通履歴管理装置
１１０　制御部
１１１　アカウント作成部
１１２　記録作成部
１１３　個人情報保管部
１１４　記録検索部
１２０　記憶部
１２１　プログラム
１３０　個人情報データベース
１４０　記録データベース
１６０　アカウントデータベース
２００　サービス利用者端末
３００　サービス提供者サーバ

Claims

　ネットワークで接続されたサービス利用者端末、サービス提供者サーバ、および情報流通履歴管理装置を含んで構成される情報流通履歴管理システムであって、
　前記サービス利用者端末は、
　当該サービス利用者端末の利用者に係る個人情報の前記サービス提供者サーバへの提供を行う場合に、当該提供の記録を前記情報流通履歴管理装置に要求し、
　前記サービス提供者サーバは、
　前記個人情報の提供に対して受領を行う場合に、当該受領の記録を前記情報流通履歴管理装置に要求し、
　前記情報流通履歴管理装置は、
　前記サービス利用者端末から提供の記録の要求を受け付けて当該記録を記憶し、前記サービス提供者サーバから受領の記録の要求を受け付けて当該記録を記憶する記録作成部を備え、
　前記サービス提供者サーバは、
　前記個人情報の他の前記サービス提供者サーバへの提供を行う場合に、当該提供の記録を前記情報流通履歴管理装置に要求し、
　他の前記サービス提供者サーバは、
　前記個人情報の提供に対して受領を行う場合に、当該受領の記録を前記情報流通履歴管理装置に要求し、
　前記記録作成部は、
　前記サービス提供者サーバから提供の記録の要求を受け付けて当該記録を記憶し、他の前記サービス提供者サーバから受領の記録の要求を受け付けて当該記録を記憶し、
　前記記録には、
　前記サービス利用者端末の利用者の識別情報と、受領する前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報とを含む場合と、
　前記サービス利用者端末の利用者の識別情報と、提供する前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報と、受領する他の前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報とを含む場合とがあり、
　前記情報流通履歴管理装置は、
　前記サービス利用者端末または前記サービス提供者サーバからの検索要求を受け付けて、前記記録を検索して検索結果を返信する記録検索部を、さらに備える
　ことを特徴とする情報流通履歴管理システム。
　前記記録は、
　当該記録に係る個人情報の種別を含み、
　前記記録検索部は、
　前記サービス利用者端末または前記サービス提供者サーバが送信した、前記サービス提供者サーバの識別情報または前記サービス提供者の識別情報を含んだ前記記録の検索要求を受け付けると、当該サービス提供者サーバの識別情報または当該サービス提供者の識別情報を含む記録を検索し、検索結果から利用者の識別情報を削除した検索結果を返信する
　ことを特徴とする請求項１に記載の情報流通履歴管理システム。
　前記記録は、
　当該記録に係る個人情報の種別を含み、
　前記記録検索部は、
　前記サービス利用者端末または前記サービス提供者サーバが送信した、前記個人情報の種別を含んだ前記記録の検索要求を受け付けると、当該個人情報の種別を含む記録を検索し、検索結果から利用者の識別情報を削除した検索結果を返信する
　ことを特徴とする請求項１に記載の情報流通履歴管理システム。
　前記記録検索部は、
　前記サービス提供者サーバが送信した、前記利用者の識別情報を含んだ前記記録の検索要求を受け付けると、当該サービス提供者サーバまたは当該サービス提供者サーバのサービス提供者が提供した記録であって、当該利用者の識別情報を含む記録を検索し、検索結果に含まれる受領した前記サービス提供者サーバの識別情報および前記サービス提供者サーバのサービス提供者の識別情報を流通先の識別情報として取得し、
　当該流通先の識別情報を提供した前記サービス提供者サーバの識別情報または前記サービス提供者サーバのサービス提供者の識別情報に含む記録であって、当該利用者の識別情報を含む記録を検索し、検索結果に含まれる受領した前記サービス提供者サーバの識別情報および前記サービス提供者サーバのサービス提供者の識別情報を前記流通先の識別情報に加えることを繰り返す
　ことを特徴とする請求項１に記載の情報流通履歴管理システム。
　前記記録検索部は、
　前記サービス利用者端末または前記サービス提供者サーバから利用者の識別情報を含まない検索要求を受け付けると、検索結果から利用者の識別情報を削除した検索結果を返信する
　ことを特徴とする請求項１に記載の情報流通履歴管理システム。
　ネットワークで接続されたサービス利用者端末、サービス提供者サーバ、および情報流通履歴管理装置を含んで構成される情報流通履歴管理システムの情報流通履歴管理方法であって、
　前記サービス利用者端末は、
　当該サービス利用者端末の利用者に係る個人情報の前記サービス提供者サーバへの提供を行う場合に、当該提供の記録を前記情報流通履歴管理装置に要求するステップを実行し、
　前記サービス提供者サーバは、
　前記個人情報の提供に対して受領を行う場合に、当該受領の記録を前記情報流通履歴管理装置に要求するステップを実行し、
　前記情報流通履歴管理装置は、
　前記サービス利用者端末から提供の記録の要求を受け付けて当該記録を記憶し、前記サービス提供者サーバから受領の記録の要求を受け付けて当該記録を記憶するステップを実行し、
　前記サービス提供者サーバは、
　前記個人情報の他の前記サービス提供者サーバへの提供を行う場合に、当該提供の記録を前記情報流通履歴管理装置に要求するステップを実行し、
　他の前記サービス提供者サーバは、
　前記個人情報の提供に対して受領を行う場合に、当該受領の記録を前記情報流通履歴管理装置に要求するステップを実行し、
　前記情報流通履歴管理装置は、
　前記サービス提供者サーバから提供の記録の要求を受け付けて当該記録を記憶し、他の前記サービス提供者サーバから受領の記録の要求を受け付けて当該記録を記憶するステップを実行し、
　前記記録には、
　前記サービス利用者端末の利用者の識別情報と、受領する前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報とを含む場合と、
　前記サービス利用者端末の利用者の識別情報と、提供する前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報と、受領する他の前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報とを含む場合とがあり、
　前記情報流通履歴管理装置は、
　前記サービス利用者端末または前記サービス提供者サーバからの検索要求を受け付けて、前記記録を検索して検索結果を返信するステップを実行する
　ことを特徴とする情報流通履歴管理方法。
　ネットワークで接続されたサービス利用者端末、サービス提供者サーバ、および情報流通履歴管理装置を含んで構成される情報流通履歴管理システムの情報流通履歴管理装置であって、
　前記サービス利用者端末の利用者に係る個人情報の前記サービス提供者サーバへの提供を行うサービス利用者端末から当該提供の記録の要求を受け付けて当該記録を記憶し、
　当該個人情報の提供に対して受領を行うサービス提供者サーバから当該受領の記録の要求を受け付けて当該記録を記憶し、
　前記個人情報の他の前記サービス提供者サーバへの提供を行うサービス提供者サーバから当該提供の記録の要求を受け付けて当該記録を記憶し、
　当該個人情報の提供に対して受領を行う他の前記サービス提供者サーバから当該受領の記録の要求を受け付けて当該記録を記憶する記録作成部を備え、
　前記記録には、
　前記サービス利用者端末の利用者の識別情報と、受領する前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報とを含む場合と、
　前記サービス利用者端末の利用者の識別情報と、提供する前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報と、受領する他の前記サービス提供者サーバの識別情報または当該サービス提供者サーバのサービス提供者の識別情報とを含む場合とがあり、
　前記情報流通履歴管理装置は、
　前記サービス利用者端末または前記サービス提供者サーバからの検索要求を受け付けて、前記記録を検索して検索結果を返信する記録検索部を、さらに備える
　ことを特徴とする情報流通履歴管理装置。
　コンピュータを請求項７に記載の情報流通履歴管理装置として機能させるためのプログラム。