WO2021235437A1

WO2021235437A1 - 通信システム、中継処理装置、情報処理方法、及びプログラム

Info

Publication number: WO2021235437A1
Application number: PCT/JP2021/018797
Authority: WO
Inventors: 眞治和田
Original assignee: 日本瓦斯株式会社
Priority date: 2020-05-20
Filing date: 2021-05-18
Publication date: 2021-11-25
Also published as: JP2021182294A

Abstract

【課題】従来の通信システムにおいては、遠隔にある端末装置からプライベートネットワークにおいて構成されている情報処理システムを安全な状態を維持したまま使用することが困難であった。【解決手段】第１情報処理装置と、第２情報処理装置と、中継処理装置１０とを備え、中継処理装置１０は、リモート端末装置６０２に対応する第１条件又は第２条件が満たされる場合にそれぞれ暗号化セッションを開始するセッション制御部４３と、第１暗号化セッションにおいてリモート端末装置６０２と情報処理装置との間の通信を中継する第１中継部４５と、第２暗号化セッションにおいてリモート端末装置６０２と第２情報処理装置との間の通信を中継する第２中継部４６とを備える、通信システム１により、遠隔にある端末装置からプライベートネットワークにおいて構成されている情報処理システムを容易にかつ安全な状態を維持したまま使用することができる。

Description

通信システム、中継処理装置、情報処理方法、及びプログラム

　本発明は、２以上の情報処理システムと中継処理装置とを有する通信システム、中継処理装置、情報処理方法、及びプログラムに関するものである。

　従来、例えば顧客管理データベースなどのデータベースの内容を参照するために利用される情報処理装置がある（例えば、下記特許文献１参照）。

特開２００７－０６０２２５号公報

　近年、テレワークの積極的な導入など、所定のオフィス等から離れた遠隔地においても労働者が業務に携わることができるようにする施策に注目が集まっている。このような施策によれば、労働者がオフィス等に出勤したり集合したりすることなく業務に携わることができるようになるため、災害発生時などに備えた事業継続計画においても有効な解決策の一つとなりうる。また、このような施策は、いわゆる働き方改革が推進される中で、ワークシェアリングの実現や、働き手の間で意識が高まっているワークライフバランスの充実化にも有用である。

　ところで、例えば特許文献１に記載されている情報処理装置が用いられているような情報処理システムは、セキュリティ上の観点から、外部からのアクセスされるリスクが小さいネットワークにおいて構成されることが多い。このような情報処理システムを、セキュアな状態を維持したままで遠隔地から参加する端末装置から使用できるようにするためには、例えば当該ネットワークに安全に接続可能な仮想プライベートネットワークの構築を行うなど、種々の手当を行わなければならないという課題がある。

　このように、遠隔地にある端末装置からプライベートネットワーク等において構成されている情報処理システムを容易にかつ安全な状態を維持したまま使用することができるようにすることが求められている。

　本第一の発明の通信システムは、第１プライベートネットワークにおいて構成されている第１情報処理システムの第１情報処理装置と、第２プライベートネットワークにおいて構成されている第２情報処理システムの第２情報処理装置と、第１情報処理装置に通信可能に接続されており、かつ、第２情報処理装置に通信可能に接続されている中継処理装置とを備え、中継処理装置は、接続者が用いるリモート端末装置であって第１プライベートネットワーク及び第２プライベートネットワークとは異なるネットワークを介して中継処理装置に接続されるリモート端末装置を識別するリモート識別子と、リモート端末装置と第１情報処理装置との中継を行う条件である予め設定された第１条件と、リモート端末装置と第２情報処理装置との中継を行う条件である予め設定された第２条件とが対応付けられた組が２以上格納される中継装置格納部と、中継対象となるリモート端末装置を識別するリモート識別子を受け付けるリモート受付部と、リモート受付部が受け付けたリモート識別子に対応する第１条件が満たされる場合にリモート端末装置と第１情報処理装置との間の通信を中継するための第１暗号化セッションを開始すると共に、リモート受付部が受け付けたリモート識別子に対応する第２条件が満たされる場合にリモート端末装置と第２情報処理装置との間の通信を中継するための第２暗号化セッションを開始するセッション制御部と、第１暗号化セッションにおいてリモート端末装置と第１情報処理装置との間の通信を中継する第１中継部と、第２暗号化セッションにおいてリモート端末装置と第２情報処理装置との間の通信を中継する第２中継部とを備える、通信システムである。

　かかる構成により、遠隔にあるリモート端末装置からプライベートネットワークにおいて構成されている情報処理システムを容易にかつ安全な状態を維持したまま使用することができる。

　また、本第二の発明の通信システムは、第一の発明に対して、セッション制御部により第１暗号化セッション又は第２暗号化セッションが開始された場合に、開始された第１暗号化セッション又は第２暗号化セッションに関するセッション情報をデータベースに蓄積するセッション情報蓄積部をさらに備える、通信システムである。

　かかる構成により、リモート端末装置と情報処理装置との間で暗号化セッションが開始されたことが記録されることにより、不正アクセス等が発生することを防止することができ、かつ、情報処理システムがセキュアに稼働していることを容易に確認することができる。

　また、本第三の発明の通信システムは、第二の発明に対して、データベースは、通信システムにおいて実現される分散型台帳データベースである、通信システムである。

　かかる構成により、リモート端末装置と情報処理装置との間で暗号化セッションが開始されたことが確実に記録されることにより、不正アクセス等が発生することを防止することができ、かつ、情報処理システムがセキュアに稼働していることを容易に確認することができる。

　また、本第四の発明の通信システムは、第一から三のいずれかの発明に対して、第１情報処理システムは、２以上の格納部に分散して格納されている２以上のデータベースとを有し、２以上のデータベースのそれぞれには、一のユーザに関するユーザ識別子を含む第１ユーザ情報と、一のユーザについての第１ユーザ情報とは異なる属性値を含む第２ユーザ情報とが対応付けられて格納されており、第１情報処理装置は、ユーザ情報が格納されるユーザ情報格納部と、２以上のデータベースのそれぞれに含まれる第１ユーザ情報を、各第１ユーザ情報が格納されているデータベースのレコードを特定するレコード識別子に対応付けて２以上取得し、ユーザ情報格納部に蓄積するユーザ情報蓄積部と、ユーザ識別子に対応付けられた、第２ユーザ情報にアクセスするためのアクセス要求情報を受け付けるアクセス要求情報受付部と、アクセス要求情報受付部が受け付けたアクセス要求情報に対応付けられたユーザ識別子に対応するレコード識別子に基づいて、対応するデータベースに格納されている第２ユーザ情報にアクセスするアクセス制御部とを有する、通信システムである。

　かかる構成により、リモート端末装置からのアクセス要求に対して、２以上のデータベースのそれぞれに格納されている情報に対して適切にアクセスさせることができる。

　また、本第五の発明の通信システムは、第四の発明に対して、アクセス制御部によるアクセス記録を第１情報処理システムにおいて実現される分散型台帳データベースに蓄積するアクセス記録蓄積部をさらに備える、通信システムである。

　かかる構成により、リモート端末装置からのアクセス要求についてのアクセス記録が確実に記録されることにより、不正アクセス等が発生することを防止することができ、かつ、情報処理システムがセキュアに稼働していることを容易に確認することができる。

　また、本第六の発明の通信システムは、第一から三のいずれかの発明に対して、第１情報処理システムは、２以上の格納部に分散して格納されている２以上のデータベースとを有し、第１情報処理装置は、ユーザ情報が格納されるユーザ情報格納部と、２以上のデータベースのそれぞれに格納されている一のユーザに関するユーザ識別子を含むユーザ情報を、各ユーザ情報が格納されているデータベースのレコードを特定するレコード識別子に対応付けて２以上取得し、ユーザ情報格納部に蓄積するユーザ情報蓄積部と、ユーザ情報についての、要求者から入力された検索要求情報を受け付ける検索要求情報受付部と、検索要求情報受付部により受け付けられた検索要求情報に基づいてユーザ情報の検索を行う検索実行部と、検索実行部による検索結果を出力する検索結果出力部と有する、通信システムである。

　かかる構成により、リモート端末装置からのアクセス要求に対して、２以上のデータベースのそれぞれに格納されている情報を適切に検索することができる。

　また、本第七の発明の通信システムは、第一から六のいずれかの発明に対して、第１条件及び第２条件の少なくとも一方は、中継対象となるリモート端末装置が接続を許可される時間に関する条件を含む、通信システムである。

　かかる構成により、時間に関する条件に応じて、リモート端末装置が参加可能な情報処理システムを変更させることができる。

　また、本第八の発明の通信システムは、第一から七のいずれかの発明に対して、第１条件及び第２条件の少なくとも一方は、中継対象となるリモート端末装置の状態を示す情報に関する条件を含む、通信システムである。

　かかる構成により、リモート端末装置の状態を示す情報に関する条件に応じて、リモート端末装置が参加可能な情報処理システムを変更させることができる。

　また、本第九の発明の中継処理装置は、第１プライベートネットワークにおいて構成されている第１情報処理システムの第１情報処理装置と、第２プライベートネットワークにおいて構成されている第２情報処理システムの第２情報処理装置と共に通信システムを構成する中継処理装置であって、第１情報処理装置に通信可能に接続されており、かつ、第２情報処理装置に通信可能に接続されており、接続者が用いるリモート端末装置であって第１プライベートネットワーク及び第２プライベートネットワークとは異なるネットワークを介して中継処理装置に接続されるリモート端末装置を識別するリモート識別子と、リモート端末装置と第１情報処理装置との中継を行う条件である予め設定された第１条件と、リモート端末装置と第２情報処理装置との中継を行う条件である予め設定された第２条件とが対応付けられた組が２以上格納される中継装置格納部と、中継対象となるリモート端末装置を識別するリモート識別子を受け付けるリモート受付部と、リモート受付部が受け付けたリモート識別子に対応する第１条件が満たされる場合にリモート端末装置と第１情報処理装置との間の通信を中継するための第１暗号化セッションを開始すると共に、リモート受付部が受け付けたリモート識別子に対応する第２条件が満たされる場合にリモート端末装置と第２情報処理装置との間の通信を中継するための第２暗号化セッションを開始するセッション制御部と、第１暗号化セッションにおいてリモート端末装置と第１情報処理装置との間の通信を中継する第１中継部と、第２暗号化セッションにおいてリモート端末装置と第２情報処理装置との間の通信を中継する第２中継部とを備える、中継処理装置である。

　かかる構成により、リモート端末装置からプライベートネットワークにおいて構成されている情報処理システムを容易にかつ安全な状態を維持したまま使用することができる。

　本発明による通信システム、中継処理装置、情報処理方法、及びプログラムによれば、遠隔にある端末装置からプライベートネットワークにおいて構成されている情報処理システムを容易にかつ安全な状態を維持したまま使用することができる。

本実施の形態に係る通信システムの概要を示す図同通信システムの情報処理システムの概要を示す図同情報処理システムのブロック図同情報処理装置のブロック図同端末装置のブロック図同情報処理装置の動作の一例について説明する図同情報処理装置の動作の一例を示すフローチャート同情報処理装置のインデックス情報生成蓄積処理の一例を示すフローチャート同情報処理装置の検索処理の一例を示すフローチャート同情報処理装置のアクセス処理の一例を示すフローチャート同情報処理装置の要求者情報格納部に格納されている要求者情報の一具体例を示す図同情報処理装置の権限情報格納部に格納されている権限情報の一具体例を示す図本実施の形態における中継処理装置のブロック図同中継処理装置において用いられる条件情報の一例を示す図同中継処理装置において用いられる条件情報の他の一例を示す図同中継処理装置の動作の一例を示すフローチャート同通信システムの動作の一例を示す第１のシーケンス図同通信システムの動作の一例を示す第２のシーケンス図同中継処理装置の動作の一変形例を示すフローチャート上記実施の形態におけるコンピュータシステムの概観図同コンピュータシステムのブロック図

　以下、通信システム等の実施形態について図面を参照して説明する。なお、実施の形態において同じ符号を付した構成要素は同様の動作を行うので、再度の説明を省略する場合がある。

　なお、実施の形態の説明において用いる用語は、一般的には次のように定義される。なお、これらの用語の語義は常にここに示されるように解釈されるべきではなく、例えば以下の実施の形態の説明において個別に説明されている場合にはその説明も踏まえて解釈されるべきである。

　要求者とは、情報処理システムを利用する者をいう。例えば、要求者は、情報処理システムを利用してユーザに関する情報の閲覧や操作を行う者をいう。ユーザとは、ここでは、専ら、情報処理システムを利用して行われる業務によりサービス等を受ける対象者（顧客）をいう。接続者とは、リモート端末装置を使用して、情報処理システムを利用する要求者である。

　ある事項について識別子とは、当該事項を一意に示す文字又は符号等である。識別子は、例えば、ＩＤであるが、対応する事項を識別しうる情報であれば種類は問わない。すなわち、識別子は、それが示すものそのものの名前であってもよいし、一意に対応するように符号を組み合わせたものであってもよい。２以上の情報（例えば、データベースに記録されているレコードの属性値など）の組合せが識別子として用いられてもよい。

　ユーザ情報とは、ユーザに関する情報をいう。ユーザ情報には、例えば、そのユーザを識別するユーザ識別子、ユーザの氏名、ユーザの住所に関する情報（住所の所番地であってもよいし、経度緯度などを示すような位置情報などであってもよい）など、当該ユーザに対応する種々の情報が含まれうる。ユーザ情報は、データベースにおいてレコードとして記録されていることがあり、その場合、ユーザ情報に含まれる各情報はレコードの属性値として含まれうる。

　取得とは、ユーザ等により入力された事項を取得することを含んでいてもよいし、自装置又は他の装置に記憶されている情報（予め記憶されている情報であってもよいし当該装置において情報処理が行われることにより生成された情報であってもよい）を取得することを含んでいてもよい。他の装置に記憶されている情報を取得するとは、他の装置に記憶されている情報をＡＰＩ経由などで取得することを含んでいてもよいし、他の装置により提供されている文書ファイルの内容（ウェブページの内容なども含む）を取得することを含んでいてもよい。

　また、情報の取得には、いわゆる機械学習の手法を利用するようにしてもよい。機械学習の手法の利用については、例えば次のようにすることができる。すなわち、特定の種類の入力情報を入力とし、取得したい種類の出力情報を出力とする学習器を、機械学習の手法を用いて構成する。例えば、予め、入力情報と出力情報との組を２以上用意し、当該２組以上の情報を機械学習の学習器を構成するためのモジュールに与えて学習器を構成し、構成した学習器を格納部に蓄積する。なお、学習器は分類器ということもできる。なお、機械学習の手法としては、例えば、深層学習、ランダムフォレスト、ＳＶＲ等、問わない。また、機械学習には、例えば、ｆａｓｔＴｅｘｔ、ｔｉｎｙＳＶＭ、ｒａｎｄｏｍ　ｆｏｒｅｓｔ、ＴｅｎｓｏｒＦｌｏｗ等の各種の機械学習フレームワークにおける関数や、種々の既存のライブラリを用いることができる。

　情報について、選択する、決定する、とは、ある情報を取得することや、ある情報へのリンクを取得することや、ある情報に関するフラグを立てることなどを含む概念である。

　情報を出力するとは、ディスプレイへの表示、プロジェクタを用いた投影、プリンタでの印字、音出力、外部の装置への送信、記録媒体への蓄積、他の処理装置や他のプログラムなどへの処理結果の引渡しなどを含む概念である。具体的には、例えば、情報のウェブページへの表示を可能とすることや、電子メール等として送信することや、印刷するための情報を出力することなどを含む。

　情報の受け付けとは、キーボードやマウス、タッチパネルなどの入力デバイスから入力された情報の受け付け、他の装置等から有線もしくは無線の通信回線を介して送信された情報の受信、光ディスクや磁気ディスク、半導体メモリなどの記録媒体から読み出された情報の受け付けなどを含む概念である。

　情報処理装置等に格納されている各種の情報について、更新とは、格納されている情報の変更のほか、格納されている情報に新たな情報が追加されることや、格納されている情報の一部又は全部が消去されることなどを含む概念である。

　（実施の形態）

　本実施の形態の概要は、次の通りである。すなわち、本実施の形態において、通信システム１は、２つの情報処理システム９０１，９０２と、中継処理装置１０とを有するものである。中継処理装置１０は、第１条件及び第２条件に基づいて２つの情報処理システム９０１，９０２のうち対応するものに中継を行うための暗号化セッションを開始する。

　また、本実施の形態において、典型的な例として、各情報処理システム９０１，９０２は、２以上のデータベースが分散して配置されているものである。２以上のデータベースのそれぞれには、互いに対応付けられた第１ユーザ情報と第２ユーザ情報とを含むユーザ情報が格納されている。情報処理システム９０１，９０２の情報処理装置１００は、第１ユーザ情報に対応するアクセス要求に基づいて、対応する第２データベースに格納されている第２ユーザ情報にアクセスできるようにする。このとき、情報処理装置１００は、アクセスを要求した要求者の権限情報に基づいて、第２ユーザ情報へのアクセスに関する制御を行うようにしてもよく、例えば、権限情報に基づいて、一部の属性値へのアクセスを制限すること、及びアクセス方法を制限すること、の少なくとも一方を行う。権限情報は、２以上のデータベース毎に規定されていてもよい。また、第２ユーザ情報へのアクセス記録は、分散型台帳データベースに蓄積されるようにしてもよい。

　また、本実施の形態においては、情報処理システム９０１，９０２は、要求者から入力された検索要求情報に基づいて第１ユーザ情報又は第２ユーザ情報のいずれかであるユーザ情報を検索し、出力するようにしてもよい。ここで、検索結果に含まれるユーザ情報は、取得元のデータベースを視覚的に示すための識別情報と対応付けて出力するようにしてもよい。なお、要求者毎に異なる検索対象について検索を行うようにしてもよく、例えば、要求者に対応するインデックス情報を用いて検索を行ったり、要求者に対応して選択したデータベースのユーザ情報又はそれに由来する情報を検索対象として検索を行ったりしてもよい。また、要求者に応じて、要求者に表示する受付画面の内容を変更するようにしてもよい。

　以下、このように構成された通信システム１の構成について説明する。

　図１は、本実施の形態に係る通信システム１の概要を示す図である。図２は、同通信システム１の情報処理システム９００の概要を示す図である。

　図１に示されるように、本実施の形態において、通信システム１は、中継処理装置１０と、リモート端末装置６０２と、第１情報処理システム９０１と、第２情報処理システム９０２と、第４外部装置９４０とを含んでいる。

　本実施の形態において、第１情報処理システム９０１と、第２情報処理システム９０２とは、互いに略同様のハードウェア構成、ソフトウェア構成を有しているものとする。両者は互いに異なる独立した情報処理システムであるが、情報処理システム９０１，９０２のうち１つに含まれる装置が他の１つにおいても含まれていてもよい。この場合、同装置は、第１情報処理システム９０１を構成する装置としての動作と第２情報処理システム９０２を構成する装置としての動作とを独立して行うようにすればよい。

　以下の説明において、第１情報処理システム９０１と、第２情報処理システム９０２とを、互いに区別せずに情報処理システム９００と称することがある。

　図２に示されるように、各情報処理システム９００は、第１外部装置９１０、第２外部装置９２０、第３外部装置９３０、情報処理装置１００、及びローカル端末装置６０１などを備える。

　本実施の形態において、第１外部装置９１０と第２外部装置９２０とは、例えば、互いに異なる事業に用いられている装置である。第１外部装置９１０は、例えば、家庭用などの液化石油ガス（ＬＰＧ）の供給事業（例えば、ユーザに対しては、ガスボンベの配送業務、検針業務、設備の保安業務等の業務が行われる。）に用いられる装置である。他方、第２外部装置９２０は、例えば、各戸への上水道の供給事業（例えば、ユーザに対しては、水道使用量の検針業務、料金の徴収等の出納業務等の業務が行われる。）に用いられる装置である。なお、これに限られず、例えば、ガスや水道の供給事業に付随して、機器の販売や維持等の事業にも用いられる装置であってもよい。なお、これらの事業は、一の組織体によって運営されるものであってもよいし、別会社など別々の組織体によって運営されるものであってもよい。また、第１外部装置９１０と第２外部装置９２０とは、例えば、互いに異なる組織体によって用いられている装置であって、互いに同事業に用いられている装置であってもよい。

　第３外部装置９３０は、例えば、ブロックチェーン技術などを利用した分散型台帳データベースの管理に用いられるノードである。第３外部装置９３０は、ネットワークを介して接続されている他の機器等と共に分散型台帳データベースの保持・管理等を行う。

　なお、本実施の形態においては、第４外部装置９４０も、第３外部装置９３０と同様に構成されている。すなわち、第４外部装置９４０は、ネットワークを介して接続されている他の機器等と共に、１つのノードとして、分散型台帳データベースの保持・管理等を行う。なお、第１情報処理システム９０１の第３外部装置９３０が管理する分散型台帳データベースと、第２情報処理システム９０２の第３外部装置９３０が管理する分散型台帳データベースと、第４外部装置９４０が管理する分散型台帳データベースとは、互いに同一のものであってもよいし、いずれか２つの分散型台帳データベースが同一のものであってもよいし、全ての分散型台帳データベースが別々のものであってもよい。また、分散型台帳データベースにブロックチェーン技術が用いられる場合、いわゆるパブリックブロックチェーンを構築して分散型台帳データベースが実現されるようにしてもよいし、許可された複数の装置のみが参加して構成される許可型のブロックチェーンであってもよい。互いに異なる特定の主体によりそれぞれ管理されるような複数の装置のみが参加して構成される許可型のブロックチェーンを、コンソーシアム型ブロックチェーンと呼んでもよい。

　本実施の形態において、第１情報処理システム９０１に含まれる各装置は、第１のプライベートネットワークを介して互いに通信可能である。すなわち、第１情報処理システム９０１は、第１のプライベートネットワークにおいて構成されている。また、第２情報処理システム９０２に含まれる各装置は、第２のプライベートネットワークを介して互いに通信可能である。すなわち、第２情報処理システム９０２は、第２のプライベートネットワークにおいて構成されている。第１のプライベートネットワークや第２のプライベートネットワークは、例えば、ローカルエリアネットワーク（ＬＡＮ）などの物理的に独立したネットワークであるが、これに限られない。例えば、物理的な接続形態にかかわらず仮想的に構築されたネットワークセグメント等であってもよい。なお、各情報処理システム９００において、いくつかの装置が、インターネットなどのパブリックネットワークを経由してプライベートネットワークに通信可能に接続されていてもよい。例えば、第１外部装置９１０や第２外部装置９２０は、それぞれ、別々の組織からインターネット等を介して情報処理システム９００に接続されるようにしてもよい。

　図１に示されるように、通信システム１において、リモート端末装置６０２と、中継処理装置１０と、第４外部装置９４０とは、それぞれ、第１プライベートネットワーク及び第２プライベートネットワークとは異なるネットワークを介して通信可能である。すなわち、リモート端末装置６０２は、第１プライベートネットワーク及び第２プライベートネットワークとは異なるネットワークを介して、中継処理装置１０に接続されうる。ここで、第１プライベートネットワーク及び第２プライベートネットワークとは異なるネットワークは、例えばインターネットであるが、これに限られない。

　本実施の形態において、中継処理装置１０は、第１のプライベートネットワークに通信可能に接続されている。すなわち、中継処理装置１０は、第１情報処理システム９０１に接続されている。また、中継処理装置１０は、第２のプライベートネットワークに通信可能に接続されている。すなわち、中継処理装置１０は、第２情報処理システム９０２に接続されている。なお、中継処理装置１０と各プライベートネットワークとは、他の情報処理装置等を介して通信可能に接続されていてもよい。

　通信システム１の構成や各情報処理システム９００の構成はこれに限られるものではない。通信システム１や情報処理システム９００に含まれるそれぞれの装置の数は問わないし、他の装置が通信システム１や情報処理システム９００に含まれていてもよい。

　本実施の形態において、リモート端末装置６０２と、ローカル端末装置６０１とは、互いに同様の構成を有している装置である。以下の説明において、リモート端末装置６０２と、ローカル端末装置６０１とを、互いに区別せずに端末装置６００と称することがある。なお、図１及び図２においては、例えばラップトップコンピュータなどのパーソナルコンピュータ（ＰＣ）などが端末装置６００として示されているが、端末装置６００として用いられるのは、いわゆるスマートフォンなどの携帯情報端末装置やタブレット型の情報端末装置などであってもよいし、これら以外の装置であってもよい。要求者は、端末装置６００を利用して、情報処理システム９００を利用することができる。以下の例においては、端末装置６００として、キーボードやディスプレイ等を有するいわゆるパーソナルコンピュータが用いられることを想定して説明されているが、これに限られるものではない。

　本実施の形態において、中継処理装置１０は、リモート端末装置６０２との間で、暗号化セッションを構築しうる。暗号化セッションは、リモート端末装置６０２と、第１情報処理システム９０１及び第２情報処理システム９０２の一方との通信を中継するための通信経路である。このような中継処理装置１０の動作については、後述する。リモート端末装置６０２は、暗号化セッションが開始されることにより、中継処理装置１０を通じて、第１情報処理システム９０１又は第２情報処理システム９０２おいて、ローカル端末装置６０１と同じように機能することができる。

　なお、一例として、通信システム１において、各情報処理システム９００を構成する情報処理装置１００やローカル端末装置６０１は、所定のデータセンタやコールセンタなど、情報処理システム９００を用いた所定の業務を行うための事業所等の拠点に配置されうる。また、リモート端末装置６０２は、例えば、住居や所定のサテライトオフィスなど、各情報処理システム９００が配置される拠点とは物理的・地理的に離れた場所にある、接続者の居所に配置されうる。なお、これに限られず、各装置が上述のように他の装置と接続されていればよく、種々の場所で用いられればよい。例えば、各情報処理システム９００を構成する情報処理装置１００やローカル端末装置６０１は、複数の拠点に分散していてもよい。また、リモート端末装置６０２は、接続される情報処理システム９００と同一の拠点に配置されていてもよく、この場合でもリモート端末装置６０２がプライベートネットワークとは異なるネットワークを介して中継処理装置１０に接続可能であればよい。また、リモート端末装置６０２は、第１情報処理システム９０１や第２情報処理システム９０２で用いられているものとは異なる第３プライベートネットワーク（図示せず）に接続されている端末装置であってもよい。すなわち、この場合、リモート端末装置６０２は、第３プライベートネットワークに接続されたまま、第３プライベートネットワークの外のインターネット等のネットワークを介して、中継処理装置１０に接続されるようにすればよい。

　なお、以下の説明において、第１情報処理システム９０１に含まれる情報処理装置１００を第１情報処理装置１００ということがある。また、第２情報処理システム９０２に含まれる情報処理装置１００を第２情報処理装置１００ということがある。

　通信システム１の説明に先立って、情報処理システム９００の構成について説明する。

　図３は、同情報処理システム９００のブロック図である。図４は、同情報処理装置１００のブロック図である。図５は、同端末装置６００のブロック図である。

　まず、第１外部装置９１０、第２外部装置９２０、及び第３外部装置９３０の構成について説明する。

　図３に示されるように、第１外部装置９１０は、第１外部装置格納部９１１、第１外部装置処理部９１５、第１外部装置送信部９１６、及び第１外部装置受信部９１７を備える。第１外部装置９１０は、例えば一般的な構成を有するサーバ装置であるが、これに限られず、他の形態の電子計算機であってもよいし、複数の装置が互いに接続されて実現される装置であってもよい。第１外部装置９１０は、ネットワークに接続可能であり、ネットワークに接続されている他の装置との間での通信を行えるように構成されている。

　第１外部装置格納部９１１は、不揮発性の記録媒体が好適であるが、揮発性の記録媒体でも実現可能である。第１外部装置格納部９１１には、種々の情報やプログラム等が記憶されている。これらの情報等が記憶される過程は問わない。例えば、記録媒体を介して情報が第１外部装置格納部９１１で記憶されるようになってもよく、通信回線等を介して送信された情報が第１外部装置格納部９１１で記憶されるようになってもよく、あるいは、入力デバイスを介して入力された情報が第１外部装置格納部９１１で記憶されるようになってもよい。

　第１外部装置格納部９１１は、第１データベース格納部９１２を備える。

　第１データベース格納部９１２には、第１データベースが格納される。第１データベースについては、後述する。

　第１外部装置処理部９１５は、通常、ＭＰＵやメモリ等から実現されうる。第１外部装置処理部９１５の処理手順は、通常、ソフトウェアで実現され、当該ソフトウェアはＲＯＭ等の記録媒体に記録されている。但し、ハードウェア（専用回路）で実現してもよい。第１外部装置処理部９１５は、第１外部装置９１０において、例えば情報の取得などを行う。例えば、取得したＳＱＬ文などに基づいて、第１外部装置格納部９１１に格納されている種々のデータベースの操作を行う。

　第１外部装置送信部９１６は、第１外部装置処理部９１５によって第１外部装置格納部９１１などから読み出された情報を送信する。例えば、第１外部装置送信部９１６は、第１外部装置処理部９１５の動作に基づいて第１外部装置格納部９１１から読み出されたユーザ情報を、情報処理装置１００や端末装置６００等に、ネットワークを介して送信する。

　第１外部装置受信部９１７は、情報処理装置１００や、その他の装置から送信された情報を、ネットワークを介して受信する。第１外部装置受信部９１７は、受信した情報を、例えば第１外部装置格納部９１１に蓄積し、第１外部装置処理部９１５などが取得できるようにする。

　第２外部装置９２０も、第１外部装置９１０と同様に構成されたサーバ装置である。すなわち、第２外部装置９２０は、第１外部装置格納部９１１と同様のハードウェア構成を有する第２外部装置格納部９２１を備える。また、第２外部装置９２０は、第２外部装置処理部９２５、第２外部装置送信部９２６、及び第２外部装置受信部９２７を備える。第２外部装置処理部９２５、第２外部装置送信部９２６、及び第２外部装置受信部９２７は、それぞれ第１外部装置処理部９１５、第１外部装置送信部９１６、及び第１外部装置受信部９１７と同様に構成されており、その詳細な説明を省略する。

　第２外部装置格納部９２１は、第２データベース格納部９２２を備える。第２データベース格納部９２２には、第２データベースが格納される。

　本実施の形態において、第１データベースと第２データベースとのそれぞれは、２以上のユーザ（顧客）についてのユーザ情報を含む。本実施の形態において、ユーザ情報には、少なくともユーザを識別するユーザ識別子とユーザに関する１以上の属性値（ユーザ属性値ということがある）とが含まれる。例えば、ユーザ情報には、ユーザを一意に示す符号からなるユーザ識別子と、ユーザの名前、住所、電話番号等の情報とが含まれる。ユーザ情報は、各ユーザについて、これらの情報の他に、他のユーザ属性値を含んでいてもよい。ユーザ属性値には、例えば、ユーザ位置情報（ユーザの位置情報；例えば、ユーザ宅の住所や緯度経度情報等）、ユーザに関して記録されたメモ情報等、種々のものが含まれうる。なお、ユーザの名前以外のものがユーザ識別子である場合には、他のユーザ属性値としてユーザの名前が含まれていることが好ましい。ユーザの名前がユーザ識別子であってもよい。

　なお、第１データベースと第２データベースとの少なくとも一方は、情報処理装置１００の外部の装置ではなく、情報処理装置１００の内部に設けられていてもよい。

　本実施の形態において、ユーザ情報は、一のユーザに関するユーザ識別子を含む第１ユーザ情報と、一のユーザについての第１ユーザ情報とは異なる属性値を含む第２ユーザ情報とが対応付けられた情報である。例えば、ユーザ情報は、いずれかのデータベースに格納された１つのレコードであってもよい。また、第１ユーザ情報と第２ユーザ情報とのそれぞれが、互いに異なるテーブルのレコードとして格納されていてもよい。第２ユーザ情報は、ユーザ詳細情報と呼ばれることがある。すなわち、本実施の形態において、２以上のデータベースのそれぞれには、一のユーザに関するユーザ識別子を含む第１ユーザ情報と、一のユーザについての第１ユーザ情報とは異なる属性値を含む第２ユーザ情報とが対応付けられて格納されているといえる。

　本実施の形態において、第１ユーザ情報には、ユーザ識別子と、一部の属性値（例えば、ユーザの住所等）とが含まれる。第２ユーザ情報には、その他の属性値が含まれる。例えば、第２ユーザ情報に含まれるユーザ属性値は、ユーザの家族構成や、ユーザの契約情報、ユーザの利用情報（瓦斯や水道の使用量など）、ユーザの支払情報など、第１ユーザ情報に含まれる情報よりも比較的センシティブである情報が含まれるが、これに限られない。

　ここで、第１外部装置９１０及び第２外部装置９２０に分散して配置された第１データベースと第２データベースとは、「Ｘ－Ｒｏａｄ」と呼ばれるシステム間連携基盤（ｈｔｔｐｓ：／／ｅ－ｅｓｔｏｎｉａ．ｃｏｍ／ｓｏｌｕｔｉｏｎｓ／ｉｎｔｅｒｏｐｅｒａｂｉｌｉｔｙ－ｓｅｒｖｉｃｅｓ／ｘ－ｒｏａｄ／）などを用いて相互連携されていることが望ましい。これにより、２以上の分散配置されたデータベースの配置状態やシステム構成の相違について個別の対応を行うことなく、容易に実行可能な方法で、情報処理装置１００が各データベースへのアクセスを行うことができる。

　第３外部装置９３０も、第１外部装置９１０と同様のハードウェア構成を有するサーバ装置である。すなわち、第３外部装置９３０は、第１外部装置格納部９１１と同様のハードウェア構成を有する第３外部装置格納部９３１を備える。そのほか、第３外部装置９３０は、第１外部装置９１０と同様に、第３外部装置処理部９３５、第３外部装置送信部９３６、及び第３外部装置受信部９３７などの各部を有しているが、詳細な説明は省略する。

　第３外部装置格納部９３１は、第３データベース格納部９３２を備える。第３データベース格納部９３２には、分散型台帳データベースが格納される。分散型台帳データベースは、例えば、いわゆるブロックチェーン技術やその他のハッシュ化された情報を用いたタイムスタンプ技術などを用いた分散型台帳技術を用いて管理されるものであることが望ましい。

　なお、第１外部装置９１０、第２外部装置９２０、及び第３外部装置９３０は、情報処理システム９００に含まれていないと解釈されてもよい。この場合、例えば、情報処理システム９００の各装置は、第１外部装置９１０や第２外部装置９２０と同様の構成を有する２以上の他の外部装置とそれぞれネットワークを介して通信可能に構成されていればよい。すなわち、情報処理システム９００は、分散して格納されている２以上のデータベースにアクセス可能に構成されていればよい。また、第３外部装置９３０は設けられていなくてもよいし、第３外部装置９３０の機能が、情報処理システム９００の他の装置により担われるように構成されていてもよい。

　図４に示されるように、情報処理装置１００は、格納部１１０、受信部１２０、受付部１３０、処理部１４０、出力部１６０を備える。情報処理装置１００は、例えば、サーバ装置である。

　格納部１１０は、ユーザ情報格納部１１１、インデックス情報格納部１１２、要求者情報格納部１１３、権限情報格納部１１４を備える。

　格納部１１０は、不揮発性の記録媒体が好適であるが、揮発性の記録媒体でも実現可能である。格納部１１０の各部には、例えば受信部１２０や処理部１４０によって取得された情報などがそれぞれ格納されるが、格納部１１０の各部に情報等が記憶される過程はこれに限られない。例えば、記録媒体を介して情報等が格納部１１０で記憶されるようになってもよく、通信回線等を介して送信された情報等が格納部１１０で記憶されるようになってもよく、あるいは、入力デバイスを介して入力された情報等が格納部１１０で記憶されるようになってもよい。

　ユーザ情報格納部１１１には、ユーザ情報蓄積部１４１により取得されたユーザ情報が格納される。

　インデックス情報格納部１１２には、インデックス情報蓄積部１４２により取得されたインデックス情報が格納される。

　要求者情報格納部１１３には、情報処理システム９００を使用する要求者に関る要求者情報が格納される。要求者情報は、例えば、一の要求者を特定する要求者識別子と、当該要求者に関する情報を示す属性値とが対応付けられた情報を２以上含むものであるが、これに限られない。属性値には、例えば、要求者が使用している端末装置６００を特定する情報が含まれる。また、属性値には、例えば、所属するグループ等や職種や職位など、要求者の役割を特定する情報又はその情報に対応する識別子などが含まれる。なお、これら以外の属性値を含んでいてもよい。なお、要求者情報格納部１１３が外部装置の格納部に設けられていたりしてもよい。すなわち、要求者情報は、情報処理装置１００の格納部１１０に格納されていなくてもよい。

　権限情報格納部１１４には、権限情報が格納される。本実施の形態において、権限情報は、各データベースのレコードについて各要求者が有するアクセス権限に関する情報である。アクセス権限は、例えば、各要求者毎（要求者識別子毎）に規定されていてもよい。また、要求者の役割を特定する情報やその情報に対応する識別子に対応付けて規定されていてもよく、この場合、要求者情報に基づいて、各要求者識別子に対応するアクセス権限が特定可能となる。アクセス権限は、第２ユーザ情報のうち一部の属性値へのアクセスを制限すること（操作可能な対象を制限すること）、及び、アクセス要求の対象となる第２ユーザ情報に対するアクセス方法（第２ユーザ情報に対して可能となる操作の種類）を制限すること、の少なくとも一方に関して設定されていてもよい。

　本実施の形態においては、権限情報は、２以上のデータベース毎に、データベースに格納されている２以上のレコードに関するアクセス権限を一括して規定するものである。すなわち、一の要求者についての権限情報は、第１データベースに格納されているユーザ情報へのアクセス権限の内容を示す情報と、第２データベースに格納されているユーザ情報へのアクセス権限の内容を示す情報とを含む。なお、権限情報は、２以上のデータベースの全てのレコードに関するアクセス権限を一括して規定するものであったり、各レコードの特定の属性値に対応するアクセス権限を規定するものなど、レコード毎に異なるアクセス権限を規定しうるものであってもよい。

　受信部１２０は、他の装置から送信された情報を受信する。受信部１２０は、受信した情報を、例えば、格納部１１０に蓄積する。

　受付部１３０は、アクセス要求情報受付部１３１、検索要求情報受付部１３２、表示要求情報受付部１３３を備える。

　受付部１３０は、受信部１２０が受信した情報を受け付ける。なお、受付部１３０は、情報処理装置１００に接続された入力手段を用いて入力された情報や、情報処理装置１００に接続された読み取り装置（例えば、コードリーダなど）を用いて行われた入力操作（例えば、装置により読み取られた情報も含む）により入力された情報を受け付けてもよい。受け付けられた情報は、例えば、格納部１１０に蓄積される。

　アクセス要求情報受付部１３１は、アクセス要求情報を受け付ける。アクセス要求情報は、例えば、要求者により入力された、第２ユーザ情報にアクセスするための情報であり、ユーザ識別子に対応付けられた情報である。換言すると、アクセス要求情報は、対象となるユーザを指定して、そのユーザの第２ユーザ情報にアクセスするための情報である。なお、本実施の形態において、アクセス要求情報受付部１３１は、アクセス要求情報を受け付けた場合に、そのアクセス要求情報を入力した要求者を特定する要求者識別子も受け付ける。換言すると、アクセス要求情報受付部１３１が受け付けたアクセス要求情報は、アクセスを要求した要求者を特定する要求者識別子に対応付けられている。

　なお、アクセス要求情報の入力は、種々の態様で行われうる。例えば、ディスプレイに表示された複数のユーザに関する第１ユーザ情報のうち一の第１ユーザ情報を、第２ユーザ情報の確認を要求するために指定する操作（キーボードやポインティングデバイスを用いた操作や、音声などによる操作など、操作態様を問わない）は、アクセス要求情報の入力に該当しうる。また、例えば、ディスプレイに表示された１以上のユーザの第２ユーザの情報の属性値を入力、変更、削除等するための操作は、アクセス要求情報の入力に該当しうる。すなわち、アクセス要求情報の入力とは、一のユーザ識別子に対応する第２ユーザ情報の属性値の取得、変更等を、当該ユーザ識別子に対応するレコードが含まれるデータベースに対して要求するための情報を入力することであるといってもよい。

　検索要求情報受付部１３２は、第１ユーザ情報又は第２ユーザ情報のいずれかであるユーザ情報についての、検索要求情報を受け付ける。検索要求情報は、情報処理装置１００において出力可能なユーザ情報を検索により絞り込むために情報処理装置１００に与えられる情報である。検索要求情報は、例えば、検索を行う文字列や条件を指定する種々の情報を含みうる。なお、本実施の形態において、検索要求情報受付部１３２は、検索要求情報を受け付けた場合に、その検索要求情報を入力した要求者を特定する要求者識別子も受け付ける。換言すると、検索要求情報受付部１３２が受け付けた検索要求情報は、検索を要求した要求者を特定する要求者識別子に対応付けられている。

　表示要求情報受付部１３３は、要求者から入力された、検索要求情報を受け付けるための受付画面の表示を要求する受付画面表示要求情報を受け付ける。本実施の形態において、情報処理装置１００はウェブサーバであり、端末装置６００で動作するウェブブラウザにより表示可能な情報を出力することができる。受付画面表示要求情報は、受付画面を端末装置６００で動作するウェブブラウザにおいて表示させるために端末装置６００から出力された情報である。なお、情報処理装置１００はウェブサーバでなくてもよく、受付画面表示要求情報は、端末装置６００で動作するその他のアプリケーションにおいて受付画面を表示させるために端末装置６００から出力された情報であってもよい。なお、本実施の形態において、表示要求情報受付部１３３は、受付画面表示要求情報を受け付けた場合に、その受付画面表示要求情報を入力した要求者を特定する要求者識別子も受け付ける。換言すると、表示要求情報受付部１３３が受け付けた受付画面表示要求情報は、受付画面の表示を要求した要求者を特定する要求者識別子に対応付けられている。

　なお、アクセス要求情報や、検索要求情報や、受付画面表示要求情報の入力とは、これらの情報が端末装置６００等を介して要求者によって間接的に情報処理装置１００に入力されることを意味するが、要求者によって、入力手段を用いて直接的に情報処理装置１００に入力されることを意味すると解釈してもよい。また、アクセス要求情報や、検索要求情報や、受付画面表示要求情報は、必ずしも要求者の直接的な行動（入力操作など）に基づいて生成される情報ではなくてもよい。すなわち、これらの要求情報の入力とは、これらの要求情報が情報処理装置１００に与えられることを引き起こす種々の行為、例えばこれらの要求情報を自動的に生成するプログラムを実行させたり種々の情報を与えて機能させることなどを含みうる。

　処理部１４０は、ユーザ情報蓄積部１４１、インデックス情報蓄積部１４２、検索実行部１４３、アクセス制御部１４４、アクセス記録蓄積部１４５を備える。処理部１４０は、各種の処理を行う。各種の処理とは、例えば、以下のように処理部１４０の各部が行う処理である。

　ユーザ情報蓄積部１４１は、第１データベースと第２データベースとの少なくとも一方に含まれる、２以上のユーザ情報を取得する。すなわち、ユーザ情報蓄積部１４１は、分散して格納されている２以上のデータベースであって、少なくとも１以上の外部装置に格納されているデータベースを含む２以上のデータベースの少なくとも一方に含まれる２以上のユーザ情報を取得する。ユーザ情報蓄積部１４１は、取得したユーザ情報を、ユーザ情報格納部１１１に蓄積する。

　なお、本実施の形態において、ユーザ情報蓄積部１４１は、ユーザ情報のうち、第１ユーザ情報を取得し、蓄積する。ユーザ情報蓄積部１４１は、２以上のデータベースのそれぞれに含まれる第１ユーザ情報を、各第１ユーザ情報が格納されているデータベースのレコードを特定するレコード識別子に対応付けて２以上取得し、ユーザ情報格納部１１１に蓄積する。なお、本実施の形態において、レコード識別子は、それにより特定されるレコードが格納される取得元データベース（ユーザ情報蓄積部１４１による取得元のデータベースをいう）を特定するデータベース識別子に対応付けられているものであるが、これに限られない。すなわち、本実施の形態において、ユーザ情報格納部１１１に格納されている第１ユーザ情報は、取得元データベースとそれに格納されているレコードとを特定可能な情報に対応付けられている。なお、データベース識別子は、取得元データベースが管理されている外部装置を特定する装置識別子であってもよい。

　インデックス情報蓄積部１４２は、ユーザ情報格納部１１１に格納された２以上の第１ユーザ情報に基づいて、各第１ユーザ情報に対応するユーザ情報に関する検索を行うためのインデックス情報を生成し、生成したインデックス情報をインデックス情報格納部１１２に蓄積する。インデックス情報の生成においては、各データベースに記録されている第１ユーザ情報に対応するユーザ情報（ユーザ識別子に対応するユーザ情報）のうち、検索可能とする情報を取得し、取得した情報を含めてインデックス情報とする。インデックス情報は、例えば、検索実行部１４３による所定の検索アルゴリズムの検索に適したデータ構造を有する情報であるが、これに限られず、例えば取得したユーザ情報をそのまま含む情報であってもよい。このようなインデックス情報を用いることにより、情報処理装置１００において、第１外部装置９１０及び第２外部装置９２０に検索の度にアクセスする必要がなくなる。そのため、高速にユーザ情報の検索を行うことができ、また、検索時に情報処理システム９００にかかる負荷を低減することができる。

　ここで、本実施の形態においては、インデックス情報は、要求者識別子に対応付けて蓄積される。すなわち、インデックス情報蓄積部１４２は、各要求者識別子に対応付けて、当該要求者が有するアクセス権限に応じた範囲のユーザ情報を検索可能対象とするように生成されたインデックス情報を蓄積する。すなわち、インデックス情報蓄積部１４２は、ユーザ情報の検索のための、互いに異なる内容を含む２以上のインデックス情報を取得し、それぞれ対応する要求者識別子に対応付けてインデックス情報格納部１１２に蓄積する。このようなアクセス権限に応じた範囲のインデックス情報は、権限情報格納部１１４に格納されている権限情報に基づいて生成される。なお、インデックス情報蓄積部１４２は、同一内容のアクセス権限を有する２以上の要求者識別子があるとき、そのアクセス権限に応じた範囲のインデックス情報を１回生成し、生成したインデックス情報を、当該２以上の要求者識別子に対応付けて蓄積するようにしてもよい。また、インデックス情報蓄積部１４２は、要求者情報に基づいて、全ての要求者識別子のそれぞれについて、当該要求者識別子に対応する権限情報を取得し、インデックス情報の生成を行い、生成したインデックス情報をその要求者識別子に対応付けて蓄積するようにしてもよい。

　なお、インデックス情報の生成は、定期的に行われる。例えば、毎日所定の時刻が到来した際に行われる。インデックス情報の生成は、その他の所定のスケジュールで行われるようにしてもよいし、例えば受付部１３０によりインデックス情報の生成を要求する情報が受け付けられた場合に行われるようにしてもよい。

　検索実行部１４３は、検索要求情報受付部１３２により受け付けられた検索要求情報に基づいて、検索クエリを生成するなどして、ユーザ情報の検索を行う。例えば、検索実行部１４３は、検索要求情報を入力した要求者を特定する要求者識別子に基づいて、検索要求情報を入力した要求者毎に異なる検索対象について検索を行う。

　本実施の形態において、検索実行部１４３は、インデックス情報格納部１１２に格納されているインデックス情報を用いて、ユーザ情報の検索を行う。例えば、検索実行部１４３は、検索要求情報を入力した要求者を特定する要求者識別子に基づいて、インデックス情報格納部１１２に格納されている２以上のインデックス情報のうち、要求者識別子に対応するものを用いて検索を行う。すなわち、検索実行部１４３は、検索要求情報を入力した要求者のアクセス権限に応じた範囲のユーザ情報について検索を行う。なお、検索実行部１４３は、インデックス情報を用いずに、直接的に、ユーザ情報格納部１１１に格納されているユーザ情報や、第１データベース又は第２データベースに格納されているユーザ情報を検索するようにしてもよい。

　なお、検索実行部１４３は、検索要求情報を入力した要求者を特定する要求者識別子に対応付けられている特定のデータベースに格納されているユーザ情報又はそれに由来する情報を検索対象として検索を行うようにしてもよい。例えば、要求者が特に第１データベースに関係する要求者である場合、当該要求者が検索要求情報を入力したときには、第１データベースに格納されているユーザ情報を検索対象として、第１データベースにアクセスして検索するようにしてもよい。また、当該要求者が検索要求情報を入力した場合に、第１データベースに格納されているユーザ情報に基づいて予め生成されたインデックス情報（特定のデータベースに格納されているユーザ情報に由来する情報の一例）を検索対象として検索したり、予め第１データベースから取得されてユーザ情報格納部１１１に蓄積された、ユーザ情報格納部１１１に格納されている第１ユーザ情報（特定のデータベースに格納されているユーザ情報に由来する情報の一例）を検索対象として検索を行うようにしてもよい。

　アクセス制御部１４４は、アクセス要求情報受付部１３１が受け付けたアクセス要求情報に対応付けられたユーザ識別子に対応するレコード識別子に基づいて、対応するデータベースに格納されている第２ユーザ情報にアクセスする。アクセスとは、例えば、ＳＱＬクエリなどを用いて、各データベースの管理プログラムに、レコードに含まれる情報の閲覧（取得の一例）、更新、追加、削除等の操作（アクセス方法）によるデータベースの操作を実行させることをいうが、これに限られない。アクセス制御部１４４は、ＡＰＩを利用して対応するデータベースに格納されている第２ユーザ情報にアクセスするように構成されていたり、関数等を用いて第２ユーザ情報にアクセスするように構成されていてもよい。

　本実施の形態において、具体的には、アクセス制御部１４４は、アクセス要求情報受付部１３１がアクセス要求情報を受け付けた場合に、アクセス要求情報に対応する要求者識別子により特定される要求者のアクセス権限に関する権限情報を取得する。アクセス制御部１４４は、取得した権限情報に基づいて、当該要求者がアクセス権限を有する場合に、アクセスを行うためのクエリを生成する。そして、アクセス制御部１４４は、生成したクエリを用いて、対応するデータベースに対してアクセスを実行する。換言すると、アクセス制御部１４４は、要求者のアクセス権限に応じて、アクセス要求の対象となる第２ユーザ情報へのアクセスやアクセス方法の制限を行う。より具体的には、アクセス制御部１４４は、要求者のアクセス権限に応じて、アクセス要求の対象となる第２ユーザ情報のうち一部の属性値へのアクセスを制限すること、及び、アクセス要求の対象となる第２ユーザ情報に対して可能とする操作の種類（セレクト、アップデート、アペンド、デリート等）を制限すること、などを実行可能に構成されていてもよい。

　アクセス記録蓄積部１４５は、第３外部装置９３０などにより管理されている分散型台帳データベースに情報を蓄積可能に構成されている。アクセス記録蓄積部１４５は、アクセス制御部１４４により行われたアクセスに関するアクセス記録を、情報処理システム９００において実現される分散型台帳データベースに蓄積する。これにより、情報処理装置１００により、第１データベースと第２データベースとのそれぞれからのユーザ情報の取得行為などのアクセス証跡は、改ざん困難な状態で記録される。

　出力部１６０は、検索結果出力部１６１、受付画面情報出力部１６２を備える。本実施の形態において、出力部１６０は、送信部１７０等を用いて他の装置に情報を送信することにより情報を出力するが、これに限られず、例えば情報処理装置１００に設けられたディスプレイデバイスに情報を表示することなどにより情報を出力してもよい。

　検索結果出力部１６１は、検索実行部１４３による検索結果を示す情報を出力する。具体的には、検索結果出力部１６１は、例えば、検索結果に含まれるユーザ情報（検索によりヒットしたユーザ情報に対応するユーザ識別子など）と、ユーザ情報が取得された取得元のデータベースを視覚的に示すための識別情報とを対応付けて出力する。識別情報とは、例えば、所定のマークや符号を示す画像であったり、文字として表示されうる符号列であったり、取得元のデータベースに応じた文字色や背景色等でユーザ情報を示すための情報など、種々のものが該当しうる。例えば、格納部１１０に、レコード識別子やデータベース識別子に対応付けて格納されている識別情報が、検索結果に含まれるユーザ情報に対応するユーザ識別子に基づいて出力されるようにすればよい。検索結果に含まれるユーザ情報について、必要に応じて第２ユーザ情報を取得して検索結果に含めてもよい。換言すると、検索結果出力部１６１は、検索結果に含まれるユーザ情報を、取得元のデータベースに応じた視覚的な態様で端末装置６００等において表示されるように出力するということができる。

　なお、検索結果を示す情報は、例えば、端末装置６００においてウェブページとして検索結果を表示可能な情報（例えば、ＨＴＭＬ形式の文書であったり、情報処理装置１００や端末装置６００で機能するウェブページ生成システム（コンテンツ管理システムなど）に用いられる情報など）であるが、これに限られない。

　受付画面情報出力部１６２は、表示要求情報受付部１３３により受け付けられた受付画面表示要求情報に基づいて、受付画面を表示するための受付画面情報を出力する。受付画面情報は、例えば、ウェブページとして受付画面を表示するために用いられる、予め格納部１１０に記憶されている情報（例えば、ＨＴＭＬ形式の文書であったり、情報処理装置１００や端末装置６００で機能するウェブページ生成システム（コンテンツ管理システムなど）に用いられる情報など）であるが、これに限られない。

　なお、受付画面情報出力部１６２は、受付画面表示要求情報を入力した要求者を特定する要求者識別子に基づいて、受付画面情報を出力するようにしてもよい。具体的には、例えば、要求者識別子に応じたアクセス権限の内容が視覚的に示されるように受付画面情報を出力したり、アクセス権限に応じた所定の態様でのみ検索要求情報を入力することが可能となる受付画面を表示するための受付画面情報を出力したりするようにしてもよい。

　送信部１７０は、情報を、ネットワークを介して情報処理システム９００を構成する他の装置に送信する。送信部１７０は、例えば、出力部１６０により出力される情報の送信を行う。検索結果出力部１６１により出力される情報は、検索要求情報を入力した要求者の要求者識別子に基づいて、当該要求者の端末装置６００に送信される。また、受付画面情報出力部１６２により出力される情報は、受付画面表示要求情報を入力した要求者の要求者識別子に基づいて、当該要求者の端末装置６００に送信される。

　次に、端末装置６００の構成について説明する。

　図５に示されるように、端末装置６００は、端末格納部６１０、端末受信部６２０、端末受付部６３０、端末処理部６４０、端末出力部６６０、端末送信部６７０を備える。

　端末装置６００は、例えば一般的なパーソナルコンピュータであり、出力装置であるディスプレイや、要求者の入力操作に用いられる入力装置（例えば、キーボードやポインティングデバイスなど）などを有しているが、これに限られるものではない。端末装置６００は、ネットワークに接続可能であり、ネットワークに接続されている他の装置との間での通信を行えるように構成されている。

　端末格納部６１０は、不揮発性の記録媒体が好適であるが、揮発性の記録媒体でも実現可能である。端末格納部６１０には、種々の情報やプログラム等が記憶されている。これらの情報等が記憶される過程は問わない。例えば、記録媒体を介して情報が端末格納部６１０で記憶されるようになってもよく、通信回線等を介して送信された情報が端末格納部６１０で記憶されるようになってもよく、あるいは、入力デバイスを介して入力された情報が端末格納部６１０で記憶されるようになってもよい。

　端末受信部６２０は、受付画面情報受信部６２１を備える。端末受信部６２０は、情報処理装置１００や、その他の装置から送信された情報を、ネットワークを介して受信する。端末受信部６２０は、受信した情報を、例えば端末格納部６１０に蓄積し、端末処理部６４０などが取得できるようにする。

　受付画面情報受信部６２１は、情報処理装置１００から送信された受付画面情報を受信し、端末格納部６１０に蓄積する。

　端末受付部６３０は、端末装置６００を使用する要求者による、端末装置６００に対する種々の入力操作を受け付ける。操作は、例えば、図示しない入力装置を用いて行われるが、これに限られない。端末受付部６３０は、例えば、マイクにより入力された音声による入力操作を受け付けるようにしてもよいし、端末装置６００に接続した読み取り装置（例えば、コードリーダなど）を用いて行われた入力操作を受け付けるようにしてもよい。

　端末処理部６４０は、端末装置６００の各部を用いて、種々の情報処理動作を行う。

　端末出力部６６０は、例えばディスプレイデバイスに表示することなどにより、情報の出力を行う。なお、情報の出力方法はこれに限られず、音声等をスピーカーなどから出力することなどにより行われるようにしてもよい。

　端末送信部６７０は、アクセス要求情報送信部６７１、受付画面表示要求情報送信部６７２、検索要求情報送信部６７３を備える。端末送信部６７０は、例えば端末処理部６４０等により取得した情報をネットワークを介して送信する。

　アクセス要求情報送信部６７１は、要求者によるアクセス要求情報の入力操作が端末受付部６３０により受け付けられた場合に、アクセス要求情報を情報処理装置１００に送信する。

　受付画面表示要求情報送信部６７２は、要求者による受付画面の表示を要求する入力操作が端末受付部６３０により受け付けられた場合に、受付画面表示要求情報を情報処理装置１００に送信する。

　検索要求情報送信部６７３は、要求者による検索要求情報の入力操作が端末受付部６３０により受け付けられた場合に、検索要求情報を情報処理装置１００に送信する。

　図６は、同情報処理装置１００の動作の一例について説明する図である。

　図６に示されるように、情報処理装置１００のユーザ情報蓄積部１４１は、互いに異なる場所にある第１外部装置９１０及び第２外部装置９２０から第１ユーザ情報を取得し、蓄積する。すなわち、ユーザ情報蓄積部１４１は、第１外部装置９１０から、第１データベースに含まれる第１ユーザ情報を取得し、第２外部装置９２０から、第２データベースに含まれる第２ユーザ情報を取得する。

　また、インデックス情報蓄積部１４２は、第１外部装置９１０及び第２外部装置９２０から取得した情報に基づいて、インデックス情報を生成し、蓄積する。例えば、要求者のアクセス権限について、２つの種類（仮にＡ権限、Ｂ権限という）がある場合、それぞれの種類に応じた２つのインデックス情報が生成される。

　このような情報処理装置１００に対して、例えばＡ権限を有する要求者が使用する端末装置６００とＢ権限を有する要求者が使用する端末装置６００とのそれぞれから、検索要求情報の送信（単に検索要求ということがある）や、第１ユーザ情報に対応する第２要求情報へのアクセス要求情報の送信（単にアクセス要求ということがある）が行われる場合を想定する。

　Ａ権限を有する要求者が使用する端末装置６００から検索要求が行われたとき、検索実行部１４３は、Ａ権限用に生成されたインデックス情報を用いて、検索を行う。検索結果は端末装置６００に送信され、当該端末装置６００の要求者のアクセス権限に応じた検索結果が端末装置６００において出力される。また、Ａ権限を有する要求者が使用する端末装置６００からアクセス要求が行われたとき、アクセス制御部１４４は、Ａ権限に応じて、アクセス可能であれば、アクセス要求に基づいて、第１データベース又は第２データベースにアクセスし、例えば第２ユーザ情報を取得するなどの処理を行う。これにより、端末装置６００において第２ユーザ情報の閲覧などを行うことができるようになる。

　他方、Ｂ権限を有する要求者が使用する端末装置６００から検索要求が行われたとき、検索実行部１４３は、Ｂ権限用に生成されたインデックス情報を用いて、検索を行う。これにより、当該端末装置６００の要求者のアクセス権限に応じた検索結果が端末装置６００において出力される。また、Ｂ権限を有する要求者が使用する端末装置６００からアクセス要求が行われたとき、アクセス制御部１４４は、Ｂ権限に応じて、アクセス可能であれば、アクセス要求に基づいて、第２ユーザ情報を取得するなどの処理を行い、端末装置６００において第２ユーザ情報の閲覧などを行うことができるようにする。

　なお、情報処理装置１００から第１外部装置９１０や第２外部装置９２０へのアクセスが行われたことを示すアクセス証跡は、情報処理装置１００のアクセス記録蓄積部１４５により、第３データベースに記録される。アクセス証跡が改ざん困難な記録態様で記録されることにより、例えば、センシティブなユーザ情報などへのアクセス記録についても検証することが可能となる。

　図７は、同情報処理装置１００の動作の一例を示すフローチャートである。

　情報処理装置１００は、例えば以下のようにして種々の動作を行う。なお、このような動作は、例えば、情報処理装置１００の電源がオフになった場合などに終了するようにすればよい。

　（ステップＳ１０１）図７に示されるように、ユーザ情報蓄積部１４１は、２以上のデータベースのそれぞれから、当該データベースに記録されている第１ユーザ情報を取得し、ユーザ情報格納部１１１に蓄積する。

　（ステップＳ１０２）処理部１４０は、インデックス情報生成タイミングが到来したか否かを判断する。インデックス情報生成タイミングが到来した場合にはステップＳ１０３に進み、そうでない場合にはステップＳ１０４に進む。

　（ステップＳ１０３）インデックス情報蓄積部１４２は、インデックス情報生成蓄積処理を行う。これにより、各要求者識別子に対応するインデックス情報が、インデックス情報格納部１１２に格納されている状態となる。インデックス情報生成蓄積処理が終了すると、ステップＳ１０４に進む。

　（ステップＳ１０４）処理部１４０は、表示要求情報受付部１３３が、受付画面表示要求情報を受け付けたか否かを判断する。受付画面表示要求情報を受け付けた場合にはステップＳ１０５に進み、そうでない場合にはステップＳ１０６に進む。

　（ステップＳ１０５）受付画面情報出力部１６２は、表示要求情報受付部１３３により受け付けられた受付画面表示要求情報に基づいて、受付画面を表示するための受付画面情報を出力する。送信部１７０は、受付画面情報を、受付画面表示要求情報を入力した要求者の要求者識別子に基づいて、当該要求者の端末装置６００に送信する。

　（ステップＳ１０６）処理部１４０は、検索要求情報受付部１３２が、検索要求情報を受け付けたか否かを判断する。検索要求情報を受け付けた場合にはステップＳ１０７に進み、そうでない場合にはステップＳ１０８に進む。

　（ステップＳ１０７）検索実行部１４３は、検索要求情報受付部１３２により受け付けられた検索要求情報に基づいて、検索処理を行う。これにより、検索結果が要求者の端末装置６００に送信される。

　（ステップＳ１０８）処理部１４０は、アクセス要求情報受付部１３１が、アクセス要求情報を受け付けたか否かを判断する。アクセス要求情報を受け付けた場合にはステップＳ１０９に進み、そうでない場合にはステップＳ１０２に戻る。

　（ステップＳ１０９）アクセス制御部１４４は、アクセス要求情報受付部により受け付けられたアクセス要求情報に基づいて、アクセス処理を行う。アクセス処理が終了すると、ステップＳ１０２に戻る。

　図８は、同情報処理装置１００のインデックス情報生成蓄積処理の一例を示すフローチャートである。

　インデックス情報蓄積部１４２は、例えば以下のように、要求者情報に含まれる各要求者識別子のそれぞれに対応付けて、インデックス情報をインデックス情報格納部１１２に蓄積する。

　（ステップＳ１２１）インデックス情報蓄積部１４２は、カウンタｉに１をセットする。

　（ステップＳ１２２）インデックス情報蓄積部１４２は、要求者情報に含まれる要求者識別子のうちｉ番目の要求者識別子に対応する権限情報を権限情報格納部１１４から取得する。

　（ステップＳ１２３）インデックス情報蓄積部１４２は、２以上のデータベースのそれぞれから取得したユーザ情報のうち、権限情報に対応する範囲のユーザ情報を取得する。そして、取得したユーザ情報を用いて、インデックス情報を生成する。

　（ステップＳ１２４）インデックス情報蓄積部１４２は、生成したインデックス情報をｉ番目の要求者識別子に対応付けて、インデックス情報格納部１１２に蓄積する。

　（ステップＳ１２５）インデックス情報蓄積部１４２は、カウンタｉが要求者情報に含まれる要求者識別子の総数であるか否かを判断する。ｉが要求者識別子の総数である場合にはインデックス情報生成蓄積処理を終了して図７に示される処理に戻り、そうでない場合にはステップＳ１２６に進む。

　（ステップＳ１２６）インデックス情報蓄積部１４２は、カウンタｉを１インクリメントする。ステップＳ１２２に戻る。

　なお、以上の処理に限られず、アクセス権限の付与パターン（一の要求者についてのアクセス権限の付与態様）ごとにインデックス情報を生成し、各要求者識別子とその要求者についてのアクセス権限の付与態様に対応するインデックス情報を対応付けて蓄積するようにしてもよい。

　図９は、同情報処理装置１００の検索処理の一例を示すフローチャートである。

　（ステップＳ１４１）検索実行部１４３は、検索要求情報に対応する要求者識別子を取得する。要求者識別子は、例えば、検索要求情報受付部１３２により受け付けられた、検索要求情報を入力した要求者を特定する要求者識別子である。

　（ステップＳ１４２）検索実行部１４３は、インデックス情報格納部１１２に格納されているインデックス情報のうち、要求者識別子に対応するインデックス情報を特定する。

　（ステップＳ１４３）検索実行部１４３は、検索要求情報を用いてインデックス情報を検索する。これにより、検索実行部１４３は、検索結果を取得する。

　（ステップＳ１４４）検索結果出力部１６１は、検索実行部１４３による検索結果を取得し、出力する。例えば、検索結果出力部１６１は、検索によりヒットしたユーザ情報と、ユーザ情報が取得された取得元のデータベースを視覚的に示すための識別情報とを対応付けて生成する。なお、検索結果出力部１６１は、各データベースから検索によりヒットしたユーザ情報に関する第２ユーザ情報を取得して、検索結果に含めてもよい。

　（ステップＳ１４５）送信部１７０は、検索結果を、要求者識別子に対応する端末装置６００に送信する。これにより、端末装置６００において、検索結果がウェブページ等の形式で表示可能になる。図７に示される処理に戻る。

　図１０は、同情報処理装置１００のアクセス処理の一例を示すフローチャートである。

　（ステップＳ１６１）アクセス制御部１４４は、アクセス要求情報に対応する要求者識別子及びレコード識別子を取得する。

　（ステップＳ１６２）アクセス制御部１４４は、要求者識別子に基づいて権限情報を取得する。

　（ステップＳ１６３）アクセス制御部１４４は、権限情報に基づいて、アクセス要求情報を入力した要求者が、要求した通りのアクセスを行うためのアクセス権限を有するか否かを判断する。アクセス権限がある場合はステップＳ１６５に進み、そうでない場合はステップＳ１６４に進む。

　（ステップＳ１６４）アクセス制御部１４４は、アクセスを行わず、アクセスが行われなかったことを示すエラー情報を生成する。送信部１７０は、エラー情報を、要求者識別子に対応する端末装置６００に送信する。なお、エラー情報の生成や送信は行われなくてもよい。ステップＳ１６４の処理が終了すると、図７に示される処理に戻る。

　（ステップＳ１６５）アクセス制御部１４４は、アクセス要求情報及びレコード識別子に基づいて、アクセスを行うためのクエリを作成する。

　（ステップＳ１６６）アクセス制御部１４４は、クエリを用いてデータベースにアクセスする。

　（ステップＳ１６７）アクセス制御部１４４は、アクセス結果を示す情報を取得する。例えば、第２ユーザ情報を取得するためのアクセスを行った場合、第２ユーザ情報を取得する。

　（ステップＳ１６８）送信部１７０は、アクセス制御部１４４がアクセスを行った結果として取得した情報（例えば、第２ユーザ情報など）を、要求者識別子に対応する端末装置６００に送信する。なお、出力部１６０によりアクセスを行った結果を示す情報が生成され、送信部１７０により生成された情報が出力されるようにしてもよい。例えば、出力部１６０が、取得された情報を端末装置６００においてウェブページとして表示するための情報（例えば、ＨＴＭＬ形式の文書であったり、情報処理装置１００や端末装置６００で機能するウェブページ生成システム（コンテンツ管理システムなど）に用いられる情報など）を生成するようにしてもよい。このようにして、端末装置６００において、アクセスを行った結果がウェブページ等の形式で表示可能になる。図７に示される処理に戻る。

　以下に、情報処理装置１００を用いて要求者が利用可能となる機能の具体例について説明する。

　以下の具体例では、情報処理装置１００が、２つの異なる会社の顧客データベースを統合して、要求者に対して、顧客情報（ユーザ情報）の閲覧や検索等を可能にする顧客管理サービスを提供するために用いられるものであると想定する。本具体例において、第１外部装置９１０は、例えば、ＬＰＧの供給事業を営む瓦斯会社の装置である。第１データベースは、例えば、瓦斯会社の顧客情報データベースである。また、第２外部装置９２０は、例えば、上水道の供給事業を営む水道会社の装置である。第２データベースは、例えば、水道会社の顧客情報データベースである。それぞれの顧客情報データベースは、各会社のユーザについての情報が記録されているものである。

　本具体例では、情報処理装置１００を利用する２以上の要求者のそれぞれのアクセス権限に応じて、ユーザ情報を閲覧可能な範囲や検索等が異なる。例えば、以下のようにアクセス権限を設定することができる。すなわち、瓦斯会社に雇用されている要求者は、第１データベースに含まれるユーザ情報については比較的広いアクセス権限を有し、第２データベースに含まれるユーザ情報については比較的狭いアクセス権限を有する。他方、水道会社に雇用されている要求者は、第１データベースに含まれるユーザ情報については比較的狭いアクセス権限を有し、第２データベースに含まれるユーザ情報については比較的広いアクセス権限を有する。なお、アクセス権限の設定は適宜行うことができる。

　なお、本具体例では、情報処理装置１００を利用する要求者のそれぞれは、予め設定されたアカウントで情報処理装置１００により実現する顧客管理サービスにログインすることにより、当該顧客管理サービスを利用することができるように構成されている。各アカウントは、要求者識別子に対応するものであるといえる。

　図１１は、同情報処理装置１００の要求者情報格納部１１３に格納されている要求者情報の一具体例を示す図である。

　図１１に示されるように、本具体例において、要求者情報格納部１１３には、複数の要求者情報が含まれている。各要求者情報には、例えば、氏名、要求者ＩＤ、ログインに用いられるパスワード、使用する端末装置６００（ログインに用いている端末装置６００）の端末識別子（端末ＩＤ）の各属性について、属性値が記録されている。これらの属性値のいずれかが含まれなくてもよいし、これら以外の属性の属性値も含まれうる。例えば、要求者の所属組織を特定する識別子等が含まれていてもよい。本具体例において、例えば要求者ＩＤが要求者識別子としても用いられるが、これに限られない。例えば、端末識別子が要求者識別子として用いられるように構成されていてもよく、この場合、要求者が自身のアカウントでログインしている端末が変更されるとその要求者を特定する要求者識別子が変更されるが、当該要求者のアカウントとログインに用いられている端末装置６００の端末識別子とが常に対応付けられていればよい。

　図１２は、同情報処理装置１００の権限情報格納部１１４に格納されている権限情報の一具体例を示す図である。

　図１２に示されるように、本具体例において、権限情報格納部１１４には、要求者ＩＤごとの権限情報が含まれている。すなわち、各権限情報には、例えば、要求者識別子である要求者ＩＤと、第１データベースに関するアクセス権限の内容と、第２データベースに関するアクセス権限の内容の各属性について、属性値が記録されている。これらの属性値のいずれかが含まれなくてもよいし、これら以外の属性の属性値も含まれうる。アクセス権限の属性値としては、例えば、第１ユーザ情報の検索のみが可能であるとか、ユーザ情報の各属性値について検索・取得・変更が可能であるとか、各属性値について削除も含めてアクセス可能であるとか、適宜設定されていればよい。また、アクセスを許可しない範囲が定められていてもよい。

　以上説明したように、各情報処理システム９００では、それぞれ、２以上のデータベースのそれぞれに格納されているユーザ情報について、アクセス要求情報を受け付けた場合に、情報処理装置１００によるアクセスを行うことができる。したがって、分散して格納されている２以上のデータベースのユーザ情報を適切に扱うことができ、利便性が高くなる。アクセスは要求者のアクセス権限に応じて行われるため、アクセス権限が異なる２以上の要求者による要求を適切にとりさばくことができる。

　次に、中継を行う機能を有する中継処理装置１０について説明する。ここで中継処理装置１０が行う中継とは、一のネットワークに接続された装置から送信された情報を、別のネットワークに装置に送信することをいう。

　図１に示されるように、本実施の形態において、中継処理装置１０は、第１プライベートネットワークを介して第１情報処理装置１００に通信可能に接続されており、かつ、第２プライベートネットワークを介して第２情報処理装置１００に通信可能に接続されている。なお、中継処理装置１０は、プライベートネットワークを介さずに、各情報処理システム９００の情報処理装置１００に接続されていてもよい。

　中継処理装置１０は、例えば一般的なパーソナルコンピュータであり、出力装置であるディスプレイや、要求者の入力操作に用いられる入力装置（例えば、キーボードやポインティングデバイスなど）などを有しているが、これに限られるものではない。中継処理装置１０は、ネットワークに接続可能であり、ネットワークに接続されている他の装置との間での通信を行えるように構成されている。

　図１３は、本実施の形態における中継処理装置１０のブロック図である。

　中継処理装置１０は、中継装置格納部１１と、中継装置受信部２０と、中継装置受付部３０と、中継装置処理部４０と、中継装置出力部６０と、中継装置送信部７０とを備える。

　中継装置格納部１１は、不揮発性の記録媒体が好適であるが、揮発性の記録媒体でも実現可能である。中継装置格納部１１には、種々の情報やプログラム等が記憶されている。これらの情報等が記憶される過程は問わない。例えば、記録媒体を介して情報が中継装置格納部１１で記憶されるようになってもよく、通信回線等を介して送信された情報が中継装置格納部１１で記憶されるようになってもよく、あるいは、入力デバイスを介して入力された情報が中継装置格納部１１で記憶されるようになってもよい。

　本実施の形態において、中継装置格納部１１には、条件情報が格納される。条件情報は、例えば、接続者が用いるリモート端末装置６０２を識別するリモート識別子と、予め設定された第１条件と、予め設定された第２条件とが対応付けられた組を、２以上含むものである。第１条件は、リモート端末装置６０２と第１情報処理装置１００との中継を行う条件である。第２条件は、リモート端末装置６０２と第２情報処理装置１００との中継を行う条件である。一のリモート識別子に対応する第１条件と第２条件とは、一方が満たされる場合において他方が満たされないように設定されていることが好ましい。これにより、ある状況下において接続者が用いるリモート端末装置６０２が第１情報処理システム９０１の端末装置６００として機能するか第２情報処理システム９０２の端末装置６００として機能するかが、確実に分けられる。

　具体的には、例えば、第１条件は、第１条件に対応するリモート識別子に対応するリモート端末装置６０２が第１情報処理システム９０１に接続を許可される時間に関する条件を含むものである。また、第２条件は、同リモート端末装置６０２が、第２情報処理システム９０２に接続を許可される時間に関する条件を含むものである。ここで、接続を許可される時間とは、所定の開始時刻から終了時刻までの期間や、各日における時間帯、曜日、日、又は月毎などで規定される期間などをいう。なお、第１条件及び前記第２条件の少なくとも一方のみが、上述のような時間に関する条件を含むようにしてもよい。

　なお、例えば、第１条件は、第１条件に対応するリモート識別子に対応するリモート端末装置６０２の状態を示す情報に関する条件を含んでいてもよい。また、第２条件も、同リモート端末装置６０２の状態を示す情報に関する条件を含んでいてもよい。ここで状態を示す情報とは、例えば、リモート端末装置６０２の性質を示す情報や、リモート端末装置６０２のネットワークへの接続環境を示す情報や、リモート端末装置６０２がある周囲の環境を示す情報などとすることができる。性質を示す情報は、例えば、リモート端末装置６０２に備えられていたり接続されていたりするハードウェアや、リモート端末装置６０２で実行されているソフトウェアの、種類や識別番号等である。性質を示す情報には、リモート端末装置６０２に備えられていたり接続されていたりする認証用セキュリティキーに格納されている情報が含まれてもよい。ネットワークへの接続環境を示す情報は、例えば、リモート端末装置６０２のＩＰアドレスや、接続している無線ＬＡＮネットワークの識別子（例えば、サービスセットＩＤなど）などである。周囲の環境を示す情報は、例えば、リモート端末装置６０２の位置を示す情報などである。位置を示す情報は、例えば、公知の方法によりリモート端末装置６０２で取得可能となっていればよい。

　ここで、リモート識別子とは、接続者が用いるリモート端末装置６０２を識別可能なものである。本実施の形態においては、例えば、リモート端末装置６０２毎に予め設定された一意の端末名等をリモート識別子として用いることができる。なお、リモート識別子は、これに限られない。例えば、接続者毎に予め設定された接続者名等をリモート識別子として用いるようにしてもよい。この場合、例えば、接続者によるリモート端末装置６０２の使用時において、リモート端末装置６０２に接続者が入力した接続者名等を、リモート識別子として用いることができるようにすればよい。また、リモート識別子は、必ずしも一の装置を他の装置と識別可能なものではなくてもよい。すなわち、中継処理装置１０において中継が行われる条件が同種である装置群毎に一のリモート識別子が対応するように設定されるものであってもよい。

　中継装置受信部２０は、情報処理装置１００や、その他の装置から送信された情報を、ネットワークを介して受信する。中継装置受信部２０は、受信した情報を、例えば中継装置格納部１１に蓄積し、中継装置処理部４０などが取得できるようにする。

　中継装置受付部３０は、中継装置受信部２０が受信した情報を受け付ける。受け付けられた情報は、例えば、中継装置格納部１１に蓄積される。

　本実施の形態において、中継装置受付部３０は、リモート受付部３１を備える。リモート受付部３１は、中継対象となるリモート端末装置６０２を識別するリモート識別子を受け付ける。例えば、リモート端末装置６０２から情報処理システム１００との通信を行うための中継を要求するための情報（例えば、中継先となる情報処理システム１００を識別する識別子等を含むコマンド等）が送信されると、中継装置受信部２０がそれを受信する。そうすると、リモート受付部３１は、当該中継を要求するための情報と共に、要求を行ったリモート端末装置６０２を識別するリモート識別子を受け付ける。

　中継装置処理部４０は、セッション制御部４３、第１中継部４５、第２中継部４６、及びセッション情報蓄積部４９を備える。中継装置処理部４０は、中継処理装置１０の各部を用いて、種々の情報処理動作を行う。

　セッション制御部４３は、リモート受付部３１が受け付けたリモート識別子に対応する第１条件と第２条件とのそれぞれについて、条件が満たされるか否かを判断する。そして、その判断結果に基づいて、当該リモート識別子に対応するリモート端末装置６０２と情報処理システム９００との通信を中継するためのセッションに関する制御を行う。より具体的には、本実施の形態において、セッション制御部４３は、リモート受付部３１が受け付けたリモート識別子に対応する第１条件が満たされる場合には、当該リモート識別子に対応するリモート端末装置６０２と第１情報処理装置１００との間の通信を中継するための第１暗号化セッションを開始する。また、セッション制御部４３は、リモート受付部３１が受け付けたリモート識別子に対応する第２条件が満たされる場合には、当該リモート識別子に対応するリモート端末装置６０２と第２情報処理装置１００との間の通信を中継するための第２暗号化セッションを開始する。

　ここで、本実施の形態において、第１暗号化セッションや第２暗号化セッションは、例えば、Ｅ２ＥＥ（エンドツーエンド暗号化）などの公知の技術を用いて、リモート端末装置６０２と、中継処理装置１０との間で確立される。リモート端末装置６０２と中継処理装置１０との間で確立されたトンネルを介して、暗号化された情報の送受信が行われることにより、インターネットを介して、セキュアな通信が可能となる。

　第１中継部４５は、第１暗号化セッションが確立されている場合に、リモート端末装置６０２と第１情報処理システム９０１との通信を中継する。すなわち、第１中継部４５は、第１暗号化セッションにおいて、リモート端末装置６０２と第１情報処理装置１００との間の通信を中継する。具体的には、例えば、第１中継部４５は、リモート端末装置６０２から第１情報処理装置１００への情報が送信されて中継装置受信部２０がそれを受信すると、リモート端末装置６０２を代理してその情報を第１情報処理装置１００に送信する。また、第１中継部４５は、第１情報処理装置１００からリモート端末装置６０２への情報が送信されて中継装置受信部２０がそれを受信すると、第１情報処理装置１００を代理してその情報をリモート端末装置６０２に送信する。送信は、中継装置送信部７０を用いて行われればよい。

　第２中継部４６は、第２暗号化セッションが確立されている場合に、リモート端末装置６０２と第２情報処理システム９０２との通信を中継する。すなわち、第２中継部４６は、第２暗号化セッションにおいて、リモート端末装置６０２と第２情報処理装置１００との間の通信を中継する。具体的には、例えば、第２中継部４６は、リモート端末装置６０２から第２情報処理装置１００への情報が送信されて中継装置受信部２０がそれを受信すると、リモート端末装置６０２を代理してその情報を第２情報処理装置１００に送信する。また、第２中継部４６は、第２情報処理装置１００からリモート端末装置６０２への情報が送信されて中継装置受信部２０がそれを受信すると、第２情報処理装置１００を代理してその情報をリモート端末装置６０２に送信する。送信は、中継装置送信部７０を用いて行われればよい。

　セッション情報蓄積部４９は、セッション制御部４３により第１暗号化セッション又は第２暗号化セッションが開始された場合に、開始された第１暗号化セッション又は第２暗号化セッションに関するセッション情報をデータベースに蓄積する。本実施の形態において、セッション情報蓄積部４９は、第４外部装置９４０に格納されている分散型台帳データベースに、セッション情報を記録する。分散型台帳データベースは、例えば、いわゆるブロックチェーン技術やその他のハッシュ化された情報を用いたタイムスタンプ技術などを用いた分散型台帳技術を用いて管理されるものであることが望ましい。セッション情報は、例えば、リモート端末装置６０２のリモート識別子や、中継先となる情報処理システム９００を識別する識別子などを含むことが望ましい。このようなセッション情報が、改ざんが困難な分散型台帳データベースに記録されるようにすることにより、通信システム１の利用履歴を確実に管理することができる。そのため、通信システム１を利用した不正アクセス等の不正の企図に対して強い抑止力を作用させることができる。

　中継装置出力部６０は、例えばディスプレイデバイスに表示することなどにより、情報の出力を行う。なお、情報の出力方法はこれに限られず、音声等をスピーカーなどから出力することなどにより行われるようにしてもよい。

　中継装置送信部７０は、例えば中継装置処理部４０等により取得した情報をネットワークを介して送信する。

　なお、上述の中継装置処理部４０や、処理部１４０や、端末処理部６４０は、通常、ＭＰＵやメモリ等から実現されうる。中継装置処理部４０や、処理部１４０や、端末処理部６４０の処理手順は、通常、ソフトウェアで実現され、当該ソフトウェアはＲＯＭ等の記録媒体に記録されている。但し、ハードウェア（専用回路）で実現してもよい。

　また、中継装置受付部３０や、受付部１３０や、端末受付部６３０により受付可能な情報の入力に用いられうる入力手段は、テンキーやキーボードやマウスやメニュー画面によるものなど、何でもよい。中継装置受付部３０や、受付部１３０や、端末受付部６３０は、テンキーやキーボード等の入力手段のデバイスドライバーや、メニュー画面の制御ソフトウェア等で実現されうる。

　また、第１外部装置受信部９１７、第２外部装置受信部９２７、第３外部装置受信部９３７、中継装置受信部２０、受信部１２０、端末受信部６２０は、通常、無線又は有線の通信手段で実現されるが、放送を受信する手段で実現されてもよい。

　また、第１外部装置送信部９１６、第２外部装置送信部９２６、第３外部装置送信部９３６、中継装置送信部７０、送信部１７０、端末送信部６７０は、通常、無線又は有線の通信手段で実現されるが、放送手段で実現されてもよい。

　また、中継装置出力部６０や、出力部１６０や、端末出力部６６０は、ディスプレイやスピーカー等の出力デバイスを含むと考えても含まないと考えてもよい。中継装置出力部６０や、出力部１６０や、端末出力部６６０は、出力デバイスのドライバーソフト又は、出力デバイスのドライバーソフトと出力デバイス等で実現されうる。

　なお、中継処理装置１０、情報処理装置１００、第１外部装置９１０、第２外部装置９２０、第３外部装置９３０、及び第４外部装置９４０は、それぞれ、１つのサーバにより構成されていてもよいし、互いに連携して動作する複数のサーバにより構成されていてもよいし、その他の機器に内蔵された電子計算機等であってもよい。なお、サーバは、いわゆるクラウドサーバでも、ＡＳＰサーバ等でも良く、その種類は問わないことは言うまでもない。

　図１４は、同中継処理装置１０において用いられる条件情報の一例を示す図である。

　図１４に示されるように、条件情報は、例えば、第１条件に関する設定情報である属性値及び第２条件に関する設定情報である属性値が、リモート識別子に対応付けて記録されているものである。図においては、例えば、４つのリモート識別子について、それぞれ、接続を許可される時間帯を示す設定情報が記録されている。すなわち、例えば、「ＸＸＸＸＸ１１」について、第１条件は８時５０分から１７時４０分までの時間であることであり、第２条件は１２時５０分から１７時４０分までの時間であることである。また、例えば、「ＸＸＸＸＸ２２」について、第１条件は８時５０分から１７時４０分までの時間であることであり、第２条件はいずれの時間でも設定されていない（いずれの時間も第２条件を満たさない）。また、例えば、「ＸＸＸＸＸ３３」について、第１条件は月曜日、火曜日、又は水曜日であることであり、第２条件は木曜日又は金曜日であることである。また、例えば、「ＸＸＸＸＸ７７」について、第１条件はいずれの時間も設定されておらず、第２条件は０時０分から２４時００分までの時間であることである（すなわち、常時接続可能である）。このような条件情報により、第１条件を満たすか第２条件を満たすかが判断可能となる。

　図１５は、同中継処理装置１０において用いられる条件情報の他の一例を示す図である。

　図１５においては、例えば、４つのリモート識別子について、それぞれ、リモート端末装置６０２がある場所等に関する値が記録されている。例えば、「ＸＸＸＸＸ１１」について、第１条件は第１拠点（所定の方法で位置を示す座標系で、３４．６８ＸＸ,１３５.５１ＸＸＸで示される場所）にあることであり、第２条件は第２拠点（所定の方法で位置を示す座標系で、３４.７３ＸＸ,１３５．４１ＸＸＸで示される場所）であることである。この場合、例えば、第１拠点にリモート端末装置６０２があると判断されるときには、第１情報処理システム９０１に接続可能になり、第２拠点にリモート端末装置６０２があると判断されるときには、第２情報処理システム９０２に接続可能になる。すなわち、例えば、第１拠点として第１情報処理システム９０１を使用するための施設として予め認められた場所などを設定し、第２拠点として第２情報処理システム９０２を使用するための施設として予め認められた場所などを設定することができる。また、例えば、「ＸＸＸＸＸ２２」について、第１条件はグローバルＩＰアドレスが所定の範囲の中にあることであり、第２条件はいずれの時間でも設定されていない。例えば、第１情報処理システム９０１を使用するためのインターネット接続環境として予め認められたものに応じたＩＰアドレスなどを設定することができる。また、例えば、「ＸＸＸＸＸ３３」については第１条件として第１拠点にあることが設定されており、また、「ＸＸＸＸＸ７７」については、第２条件として第２拠点にあることが設定されている。このような条件情報により、第１条件を満たすか第２条件を満たすかが判断可能となる。例えば予め認められた状況にリモート端末装置６０２がある場合にのみ各情報処理システム９００に接続可能にすることができ、情報処理システム９００がセキュアである状態を維持することができる。

　次に、通信システム１の動作の一例について説明する。

　図１６は、同中継処理装置１０の動作の一例を示すフローチャートである。

　（ステップＳ５０１）図１６に示されるように、リモート受付部３１は、リモート端末装置６０２から送信された、情報処理システム９００への接続要求を受け付ける。

　（ステップＳ５０２）セッション制御部４３は、リモート受付部３１により受け付けられたリモート識別子に対応する第１条件及び第２条件を、中継装置格納部１１から取得する。

　（ステップＳ５０３）セッション制御部４３は、第１条件が満たされるか否かを判断する。第１条件が満たされると判断した場合はステップＳ５０４に進み、そうでない場合はステップＳ５０５に進む。

　（ステップＳ５０４）セッション制御部４３は、リモート識別子に対応するリモート端末装置６０２と第１中継部４５との第１暗号化セッションを開始する。これにより、第１中継部４５による、リモート端末装置６０２と第１情報処理システム９０１の他の装置との通信の中継動作が実行可能となる。その後、ステップＳ５０７に進む。

　（ステップＳ５０５）他方、セッション制御部４３は、第２条件が満たされるか否かを判断する。第２条件が満たされると判断した場合はステップＳ５０６に進み、そうでない場合はステップＳ５０８に進む。

　（ステップＳ５０６）セッション制御部４３は、リモート識別子に対応するリモート端末装置６０２と第２中継部４６との第２暗号化セッションを開始する。これにより、第２中継部４６による、リモート端末装置６０２と第２情報処理システム９０２の他の装置との通信の中継動作が実行可能となる。その後、ステップＳ５０７に進む。

　（ステップＳ５０７）セッション情報蓄積部４９は、セッション制御部４３により開始された第１暗号化セッション又は第２暗号化セッションに関するセッション情報を、第４外部装置９４０の分散型台帳データベースに蓄積する。

　（ステップＳ５０８）セッション制御部４３は、接続が不可である旨などを、リモート識別子に対応するリモート端末装置６０２に送信する。

　ステップＳ５０７の処理又はステップＳ５０８の処理が終了すると、一連の処理が終了する。

　図１７は、同通信システム１の動作の一例を示す第１のシーケンス図である。図１８は、同通信システム１の動作の一例を示す第２のシーケンス図である。

　本実施の形態において、通信システム１において暗号化セッションが開始されて行われる通信の具体例は、例えば以下のようである。以下の具体例において、リモート端末装置６０２では、所定のアプリケーション（例えばウェブブラウザ）を用いて、通信システム１に情報を送信したり、取得した情報を表示したりすることができる。なお、図１８は、図１７の続きである。

　図に示されるように、まず、リモート端末装置６０２からセッション制御部４３に、ログイン要求が送られる（Ｓ１１）。そうすると、セッション制御部４３は、アクセスがあった旨をセッション情報蓄積部４５に送る。セッション情報蓄積部４５は、データベースにアクセスがあった旨を記録する（Ｓ１２）。また、セッション制御部４３は、リモート端末装置６０２に、ログインを行うためのログインページを表示するための情報を送信する（Ｓ１３）。リモート端末装置６０２は、ログインページに、例えば通信システム１を用いるためのアカウント等の情報を入力してセッション制御部４３に送信する（Ｓ１４）。セッション制御部４３は、リモート端末装置６０２から受信した情報を用いて、ログイン処理を行う（Ｓ１５）。ログイン処理が完了すると、セッション制御部４３からセッション情報蓄積部４５にログインを行った接続者の情報（ユーザ情報）が送られ、当該ユーザ情報を、セッション情報蓄積部４５がデータベースに記録する（Ｓ１６）。また、セッション制御部４３は、リモート端末装置６０２に、ログインが成功した旨の情報を送信する（Ｓ１７）。

　なお、ログイン処理は、種々の方法で行うことができる。例えば、セッション制御部４３を、リレーサーバとしての機能を持つモジュールと、いわゆるＳＡＭＬ認証を行うためのＩＤプロバイダとしての機能を持つモジュールとで構成し、後者のモジュールでリモート端末装置６０２と通信を行うことによりリモート端末装置６０２を用いる接続者を認証して当該接続者をログイン可能にするようにしてもよい。なお、通信システム１に含まれる別の装置がＳＡＭＬ認証を行うためのＩＤプロバイダとして機能するように構成されていてもよい。

　次に、リモート端末装置６０２が、セッション制御部４３に、接続要求を送信する（Ｓ２０）。そうすると、セッション制御部４３において、第１条件が満たされるか否か又は第２条件を満たされるか否かが判定される。そして、セッション制御部４３は、中継先に対応する第１中継部４５又は第２中継部４６に、接続要求を送信する（Ｓ２２）なお、この場合において、リモート端末装置６０２からセッション制御部４３には、例えば、接続先を示す接続ＩＤ（ｐｅｅｒ　ｎｏｄｅ　ｉｄ）、サービスＩＤ、端末セッションＩＤなどの情報が送信される。また、セッション制御部４３から中継部４５，４６には、例えば、接続ＩＤ、サービスＩＤ、制御部セッションＩＤなどの情報が送信される。ここでは、第１中継部４５に接続要求が送信されたものとして、以下説明を続ける。第１中継部４５は、第１情報処理装置１００に、ＴＣＰによる接続の要求を行う（Ｓ２３）。これを受けて、第１情報処理装置１００は、第１中継部４５に、返答を行う（Ｓ２４）。そうすると、第１中継部４５は、セッション制御部４３に返答を行い（Ｓ２５）、セッション制御部４３は、リモート端末装置６０２に返答を行う（Ｓ２６）。なお、第１中継部４５は、セッション制御部４３に対して、例えば、中継部セッションＩＤと、先に受信した制御部セッションＩＤとを含む情報を送信する。また、セッション制御部４３は、リモート端末装置６０２に対して、例えば、受信した制御部セッションＩＤと、先に受信した端末セッションＩＤとを含む情報を送信する。これにより、リモート端末装置６０２と第１中継部４５との間の通信を行うためのセッションが開始されることとなる。そうすると、セッションに関するセッション情報が、セッション情報蓄積部４９に送られ、セッション情報蓄積部４５がデータベースに記録する（Ｓ２７）。

　セッションが開始されると、リモート端末装置６０２と第１中継部４５との間で、暗号化通信を行うためのハンドシェイクが行われる（Ｓ２８）。これにより、リモート端末装置６０２と第１中継部４５との間で、暗号化セッションが開始されるということができる。ここでは、例えば、ＴＬＳ通信を行うためのハンドシェイクが行われる。例えば、いわゆるスリーウェイハンドシェイクが行われた後、ＴＬＳ通信を行うためのハンドシェイク（ＴＬＳ　Ｃｌｉｅｎｔ　Ｈｅｌｌｏ、ＴＬＳ　Ｓｅｒｖｅｒ　Ｈｅｌｌｏ）が行われる。なお、ハンドシェイクを行うプロトコルはこれに限られない。

　その後、リモート端末装置６０２は、第１中継部４５に情報を送信することにより、第１情報処理装置１００に情報を送信することができる。すなわち、例えば、リモート端末装置６０２は、第１中継部４５に、ＨＴＴＰＳで接続を行うことを要求する（Ｓ４１）。要求は、暗号化セッションにおいて仮のＴＬＳ通信を行うことにより、送信される。これを受けて、第１中継部４５は、第１情報処理装置１００にＨＴＴＰ接続要求を行う（Ｓ４２）。第１情報処理装置１００は、第１中継部４５に返答を送信する（Ｓ４３）。そうすると、第１中継部４５は、リモート端末装置６０２に、返答を送信する（Ｓ４４）。

　次に、例えば、リモート端末装置６０２は、第１中継部４５に、ＨＴＴＰリクエストを送信する（Ｓ４５）。この場合、ＨＴＴＰリクエストは、暗号化セッションにおいて仮のＴＬＳ通信を行うことにより、送信される。これを受けて、第１中継部４５は、第１情報処理装置１００にＨＴＴＰリクエストを送信する（Ｓ４６）。すなわち、第１中継部４５は、リモート端末装置６０２を代理して、第１情報処理装置１００にＨＴＴＰリクエストを送信する。

　第１情報処理装置１００は、ＨＴＴＰリクエストに対して、第１中継部４５にＨＴＴＰレスポンスを送信する（Ｓ４７）。そうすると、第１中継部４５は、リモート端末装置６０２に、ＨＴＴＰレスポンスを送信する（Ｓ４８）。この場合、第１中継部４５からリモート端末装置６０２に対して、ＨＴＴＰレスポンスは、暗号化セッションにおいて仮のＴＬＳ通信を行うことにより送信される。すなわち、第１中継部４５は、第１情報処理装置１００を代理して、リモート端末装置６０２にＨＴＴＰレスポンスを送信する。

　なお、第１情報処理装置１００と第１中継部４５との間で直接にリクエスト等の送受信が行われるのではなく、例えば第１情報処理システム９０１のいずれかの装置で機能するプロキシサーバ（Ｓｑｉｉｄ等を用いて構成することができる）を介して、第１中継部４５とのリクエスト等の送受信が行われるようにしてもよい。

　以上説明したように、本実施の形態によれば、中継装置処理部４０は、リモート端末装置６０２が、中継先の情報処理システム９００においてローカル端末装置６０１と同様に機能することができるようにするためのトンネリングを行う。また、リモート端末装置６０２と中継処理装置１０との間では、暗号化された情報の送受信が行われることにより、インターネットを介して、セキュアに、リモート端末装置６０２を各情報処理システム９００に参加させることができる。

　遠隔地にあるリモート端末装置６０２から、ローカル端末装置６０１と同様に各情報処理システム９００に安全に参加することができ、かつ、各情報処理システム９００においては、２以上のデータベースのそれぞれに格納されているユーザ情報について、リモート端末装置６０２からアクセス要求情報を受け付けた場合に、情報処理装置１００によるアクセスを行うことができる。アクセスは要求者のアクセス権限に応じて行われるため、アクセス権限が異なる２以上の要求者による要求を適切にとりさばくことができる。すなわち、リモート端末装置６０２から、セキュアに、分散して格納されている２以上のデータベースのユーザ情報を適切に扱うことができ、利便性が高くなる。

　遠隔地にあるリモート端末装置６０２から、条件情報に応じて、適切な情報処理システム９００に接続が行われるようにすることができる。そのため、１つのリモート端末装置６０２又はその接続者が、第１情報処理システム９０１に参加する就業形態と第２情報処理システム９０２に参加する就業形態とを切り替えて業務に従事するような場合においても、各情報処理システム９００に対して、セキュアな状態を維持したままで、容易に接続することができる。条件情報の設定に応じて、時間によって従事する情報処理システム９００を切り替えたり、リモート端末装置６０２を使用する状況に応じて情報処理システム９００を切り替えたりすることができ、通信システム１の利便性が高くなる。

　なお、上述においては一のリモート端末装置６０２から接続が行われる場合について説明したが、リモート端末装置６０２が第１情報処理システム９０１や第２情報処理システム９０２で用いられているものとは異なる第３プライベートネットワークに接続されているような場合においても、同様に中継処理装置１０が機能するようにしてもよい。このような場合において、第３プライベートネットワークに属する各装置についての条件情報を一様に設定することにより、これらの装置がいずれの情報処理システムに接続可能とするかを統一的に制御することができる。このようなことは、例えば、互いにプライベートネットワークに接続された複数のリモート端末装置６０２を擁する組織等に適用することができる。例えば、複数のリモート端末装置６０２及びそのオペレータを擁する一の組織が、時間帯等に応じて接続する情報処理システム９００を切り替えて、当該情報処理システム９００を用いた業務を安全に遂行することができる。また、一の情報処理システム９００において、当該情報処理システム９００に接続させる組織を時間帯等に応じて切り替えさせて、当該情報処理システム９００を利用した業務を安全に遂行させる（業務遂行を委託する）ことができる。なお、この場合、第３プライベートネットワークに接続されている各装置について同一のリモート識別子が対応するように構成されていてもよい。

　なお、本実施の形態における処理は、ソフトウェアで実現してもよい。そして、このソフトウェアをソフトウェアダウンロード等により配布してもよい。また、このソフトウェアをＣＤ－ＲＯＭなどの記録媒体に記録して流布してもよい。なお、本実施の形態における、中継処理装置１０を実現するソフトウェアは、以下のようなプログラムである。つまり、中継処理装置１０のプログラムは、中継処理装置１０のコンピュータを、中継対象となるリモート端末装置６０２を識別するリモート識別子を受け付けるリモート受付部３１と、リモート受付部３１が受け付けたリモート識別子に対応する第１条件が満たされる場合にリモート端末装置６０２と第１情報処理装置１００との間の通信を中継するための第１暗号化セッションを開始すると共に、リモート受付部３１が受け付けたリモート識別子に対応する第２条件が満たされる場合にリモート端末装置６０２と第２情報処理装置１００との間の通信を中継するための第２暗号化セッションを開始するセッション制御部４３と、第１暗号化セッションにおいてリモート端末装置６０２と第１情報処理装置１００との間の通信を中継する第１中継部４５と、第２暗号化セッションにおいてリモート端末装置６０２と第２情報処理装置１００との間の通信を中継する第２中継部４６として機能させる、プログラムである。

　なお、例えば、リモート端末装置６０２から接続する情報処理システム９００を指定した接続要求が行われる場合には、通信システム１が以下のように動作するようにしてもよい。

　図１９は、同中継処理装置１０の動作の一変形例を示すフローチャートである。

　（ステップＳ５１１）図１９に示されるように、リモート受付部３１は、リモート端末装置６０２から送信された、指定された情報処理システム９００への接続要求を受け付ける。指定された情報処理システム９００への接続要求は、例えば、指定された情報処理システム９００を識別するシステム識別子を含むものであるが、これに限られない。

　（ステップＳ５１２）セッション制御部４３は、リモート受付部３１により受け付けられたリモート識別子に対応する第１条件及び第２条件のうち、受け付けられたシステム識別子に対応するものを中継装置格納部１１から取得する。すなわち、第１情報処理システム９０１への接続要求が行われた場合には第１条件が取得され、第２情報処理システム９０２への接続要求が行われた場合には第２条件が取得される。

　（ステップＳ５１３）セッション制御部４３は、取得された条件が満たされるか否かを判断する。条件が満たされると判断した場合はステップＳ５１４に進み、そうでない場合はステップＳ５１６に進む。

　（ステップＳ５１４）セッション制御部４３は、リモート識別子に対応するリモート端末装置６０２と、システム識別子に対応する中継部４５，４６との暗号化セッションを開始する。これにより、中継部４５，４６による、リモート端末装置６０２と、指定された情報処理システム９００の装置との通信の中継動作が実行可能となる。

　（ステップＳ５１５）セッション情報蓄積部４９は、セッション制御部４３により開始された第１暗号化セッション又は第２暗号化セッションに関するセッション情報を、第４外部装置９４０の分散型台帳データベースに蓄積する。

　（ステップＳ５１６）セッション制御部４３は、接続が不可である旨などを、リモート識別子に対応するリモート端末装置６０２に送信する。

　ステップＳ５１５の処理又はステップＳ５１６の処理が終了すると、一連の処理が終了する。

　以上のように中継処理装置１０が動作する場合においても、上述の実施の形態と同様の効果が得られる。

　（その他）

　図２０は、上記実施の形態におけるコンピュータシステム８００の概観図である。図２１は、同コンピュータシステム８００のブロック図である。

　これらの図においては、本明細書で述べたプログラムを実行して、上述した実施の形態の通信システム等を実現するコンピュータの構成が示されている。上述の実施の形態は、コンピュータハードウェア及びその上で実行されるコンピュータプログラムで実現されうる。

　コンピュータシステム８００は、ＣＤ－ＲＯＭドライブを含むコンピュータ８０１と、キーボード８０２と、マウス８０３と、モニタ８０４とを含む。

　コンピュータ８０１は、ＣＤ－ＲＯＭドライブ８０１２に加えて、ＭＰＵ８０１３と、ＣＤ－ＲＯＭドライブ８０１２等に接続されたバス８０１４と、ブートアッププログラム等のプログラムを記憶するためのＲＯＭ８０１５と、ＭＰＵ８０１３に接続され、アプリケーションプログラムの命令を一時的に記憶するとともに一時記憶空間を提供するためのＲＡＭ８０１６と、アプリケーションプログラム、システムプログラム、及びデータを記憶するためのハードディスク８０１７とを含む。ここでは、図示しないが、コンピュータ８０１は、さらに、ＬＡＮへの接続を提供するネットワークカードを含んでもよい。

　コンピュータシステム８００に、上述した実施の形態の情報処理装置等の機能を実行させるプログラムは、ＣＤ－ＲＯＭ８１０１に記憶されて、ＣＤ－ＲＯＭドライブ８０１２に挿入され、さらにハードディスク８０１７に転送されてもよい。これに代えて、プログラムは、図示しないネットワークを介してコンピュータ８０１に送信され、ハードディスク８０１７に記憶されてもよい。プログラムは実行の際にＲＡＭ８０１６にロードされる。プログラムは、ＣＤ－ＲＯＭ８１０１またはネットワークから直接、ロードされてもよい。

　プログラムは、コンピュータ８０１に、上述した実施の形態の情報処理装置等の機能を実行させるオペレーティングシステム（ＯＳ）、またはサードパーティープログラム等を、必ずしも含まなくてもよい。プログラムは、制御された態様で適切な機能（モジュール）を呼び出し、所望の結果が得られるようにする命令の部分のみを含んでいればよい。コンピュータシステム８００がどのように動作するかは周知であり、詳細な説明は省略する。

　なお、上記プログラムにおいて、情報を送信する送信ステップや、情報を受信する受信ステップなどでは、ハードウェアによって行われる処理、例えば、送信ステップにおけるモデムやインターフェースカードなどで行われる処理（ハードウェアでしか行われない処理）は含まれない。

　また、上記プログラムを実行するコンピュータは、単数であってもよく、複数であってもよい。すなわち、集中処理を行ってもよく、あるいは分散処理を行ってもよい。

　また、上記実施の形態において、一の装置に存在する２以上の構成要素は、物理的に一の媒体で実現されてもよい。

　また、上記実施の形態において、各処理（各機能）は、単一の装置（システム）によって集中処理されることによって実現されてもよく、あるいは、複数の装置によって分散処理されることによって実現されてもよい（この場合、分散処理を行う複数の装置により構成されるシステム全体を１つの「装置」として把握することが可能である）。

　また、上記実施の形態において、各構成要素間で行われる情報の受け渡しは、例えば、その情報の受け渡しを行う２個の構成要素が物理的に異なるものである場合には、一方の構成要素による情報の出力と、他方の構成要素による情報の受け付けとによって行われてもよく、又は、その情報の受け渡しを行う２個の構成要素が物理的に同じものである場合には、一方の構成要素に対応する処理のフェーズから、他方の構成要素に対応する処理のフェーズに移ることによって行われてもよい。

　また、上記実施の形態において、各構成要素が実行する処理に関係する情報、例えば、各構成要素が受け付けたり、取得したり、選択したり、生成したり、送信したり、受信したりした情報や、各構成要素が処理で用いる閾値や数式、アドレス等の情報等は、上記説明で明記していなくても、図示しない記録媒体において、一時的に、又は長期にわたって保持されていてもよい。また、その図示しない記録媒体への情報の蓄積を、各構成要素、又は、図示しない蓄積部が行ってもよい。また、その図示しない記録媒体からの情報の読み出しを、各構成要素、又は、図示しない読み出し部が行ってもよい。

　また、上記実施の形態において、各構成要素等で用いられる情報、例えば、各構成要素が処理で用いる閾値やアドレス、各種の設定値等の情報がユーザによって変更されてもよい場合には、上記説明で明記していなくても、ユーザが適宜、それらの情報を変更できるようにしてもよく、又は、そうでなくてもよい。それらの情報をユーザが変更可能な場合には、その変更は、例えば、ユーザからの変更指示を受け付ける図示しない受付部と、その変更指示に応じて情報を変更する図示しない変更部とによって実現されてもよい。その図示しない受付部による変更指示の受け付けは、例えば、入力デバイスからの受け付けでもよく、通信回線を介して送信された情報の受信でもよく、所定の記録媒体から読み出された情報の受け付けでもよい。

　本発明は、以上の実施の形態に限定されることなく、種々の変更が可能であり、それらも本発明の範囲内に包含されるものである。

　上述の実施の形態のうち、一部の構成要素や機能が省略されていてもよい。上述の実施の形態においては、通信システムにおいて２つの情報処理システムが設けられている例が示されているが、さらに多くの情報処理システムが、中継処理装置を介してリモート端末装置から接続可能となるようにして設けられていてもよい。また、通信システムに含まれる２以上の情報処理システムのうち少なくとも１つが、上述の実施の形態において示されるような構成とは異なっていてもよい。例えば、少なくとも１つの情報処理システムが、サーバに格納されているデータベースの検索や操作を端末装置から行うことにより実現されるようなサーバクライアントシステム等であってもよい。

　以上のように、本発明にかかる通信システムは、遠隔にある端末装置からプライベートネットワークにおいて構成されている情報処理システムを容易にかつ安全な状態を維持したまま使用することができるという効果を有し、通信システム等として有用である。

　１　通信システム
　１０　中継処理装置
　１１　中継装置格納部
　２０　中継装置受信部
　３０　中継装置受付部
　３１　リモート受付部
　４０　中継装置処理部
　４３　セッション制御部
　４５、４９　セッション情報蓄積部
　４５　中継部
　６０　中継装置出力部
　７０　中継装置送信部
　１００　情報処理装置
　１１０　格納部
　１１１　ユーザ情報格納部
　１１２　インデックス情報格納部
　１１３　要求者情報格納部
　１１４　権限情報格納部
　１２０　受信部
　１３０　受付部
　１３１　アクセス要求情報受付部
　１３２　検索要求情報受付部
　１３３　表示要求情報受付部
　１４０　処理部
　１４１　ユーザ情報蓄積部
　１４２　インデックス情報蓄積部
　１４３　検索実行部
　１４４　アクセス制御部
　１４５　アクセス記録蓄積部
　１６０　出力部
　１６１　検索結果出力部
　１６２　受付画面情報出力部
　１７０　送信部
　６００　端末装置
　６０１　ローカル端末装置
　６０２　リモート端末装置
　６１０　端末格納部
　６２０　端末受信部
　６２１　受付画面情報受信部
　６３０　端末受付部
　６４０　端末処理部
　６６０　端末出力部
　６７０　端末送信部
　６７１　アクセス要求情報送信部
　６７２　受付画面表示要求情報送信部
　６７３　検索要求情報送信部
　９００　情報処理システム
　９０１　第１情報処理システム
　９０２　第２情報処理システム

Claims

第１プライベートネットワークにおいて構成されている第１情報処理システムの第１情報処理装置と、
第２プライベートネットワークにおいて構成されている第２情報処理システムの第２情報処理装置と、
前記第１情報処理装置に通信可能に接続されており、かつ、前記第２情報処理装置に通信可能に接続されている中継処理装置とを備え、
前記中継処理装置は、
接続者が用いるリモート端末装置であって前記第１プライベートネットワーク及び前記第２プライベートネットワークとは異なるネットワークを介して前記中継処理装置に接続されるリモート端末装置を識別するリモート識別子と、当該リモート端末装置と前記第１情報処理装置との中継を行う条件である予め設定された第１条件と、当該リモート端末装置と前記第２情報処理装置との中継を行う条件である予め設定された第２条件とが対応付けられた組が２以上格納される中継装置格納部と、
中継対象となるリモート端末装置を識別するリモート識別子を受け付けるリモート受付部と、
前記リモート受付部が受け付けた前記リモート識別子に対応する前記第１条件が満たされる場合に前記リモート端末装置と前記第１情報処理装置との間の通信を中継するための第１暗号化セッションを開始すると共に、前記リモート受付部が受け付けた前記リモート識別子に対応する前記第２条件が満たされる場合に前記リモート端末装置と前記第２情報処理装置との間の通信を中継するための第２暗号化セッションを開始するセッション制御部と、
前記第１暗号化セッションにおいて前記リモート端末装置と前記第１情報処理装置との間の通信を中継する第１中継部と、
前記第２暗号化セッションにおいて前記リモート端末装置と前記第２情報処理装置との間の通信を中継する第２中継部とを備える、通信システム。
前記セッション制御部により前記第１暗号化セッション又は前記第２暗号化セッションが開始された場合に、開始された前記第１暗号化セッション又は前記第２暗号化セッションに関するセッション情報をデータベースに蓄積するセッション情報蓄積部をさらに備える、請求項１に記載の通信システム。
前記データベースは、前記通信システムにおいて実現される分散型台帳データベースである、請求項２に記載の通信システム。
前記第１情報処理システムは、２以上の格納部に分散して格納されている２以上のデータベースを有し、
前記２以上のデータベースのそれぞれには、一のユーザに関するユーザ識別子を含む第１ユーザ情報と、当該一のユーザについての前記第１ユーザ情報とは異なる属性値を含む第２ユーザ情報とが対応付けられて格納されており、
前記第１情報処理装置は、
ユーザ情報が格納されるユーザ情報格納部と、
前記２以上のデータベースのそれぞれに含まれる前記第１ユーザ情報を、各第１ユーザ情報が格納されているデータベースのレコードを特定するレコード識別子に対応付けて２以上取得し、前記ユーザ情報格納部に蓄積するユーザ情報蓄積部と、
前記ユーザ識別子に対応付けられた、前記第２ユーザ情報にアクセスするためのアクセス要求情報を受け付けるアクセス要求情報受付部と、
前記アクセス要求情報受付部が受け付けたアクセス要求情報に対応付けられたユーザ識別子に対応するレコード識別子に基づいて、対応するデータベースに格納されている前記第２ユーザ情報にアクセスするアクセス制御部とを有する、請求項１から３のいずれかに記載の通信システム。
前記アクセス制御部によるアクセス記録を前記第１情報処理システムにおいて実現される分散型台帳データベースに蓄積するアクセス記録蓄積部をさらに備える、請求項４に記載の通信システム。
前記第１情報処理システムは、２以上の格納部に分散して格納されている２以上のデータベースを有し、
前記第１情報処理装置は、
ユーザ情報が格納されるユーザ情報格納部と、
前記２以上のデータベースのそれぞれに格納されている一のユーザに関するユーザ識別子を含むユーザ情報を、各ユーザ情報が格納されているデータベースのレコードを特定するレコード識別子に対応付けて２以上取得し、前記ユーザ情報格納部に蓄積するユーザ情報蓄積部と、
前記ユーザ情報についての、要求者から入力された検索要求情報を受け付ける検索要求情報受付部と、
前記検索要求情報受付部により受け付けられた検索要求情報に基づいて前記ユーザ情報の検索を行う検索実行部と、
前記検索実行部による検索結果を出力する検索結果出力部と有する、請求項１から３のいずれかに記載の通信システム。
前記第１条件及び前記第２条件の少なくとも一方は、前記中継対象となるリモート端末装置が接続を許可される時間に関する条件を含む、請求項１から６のいずれかに記載の通信システム。
前記第１条件及び前記第２条件の少なくとも一方は、前記中継対象となるリモート端末装置の状態を示す情報に関する条件を含む、請求項１から７のいずれかに記載の通信システム。
第１プライベートネットワークにおいて構成されている第１情報処理システムの第１情報処理装置と、第２プライベートネットワークにおいて構成されている第２情報処理システムの第２情報処理装置と共に通信システムを構成する中継処理装置であって、
前記第１情報処理装置に通信可能に接続されており、かつ、前記第２情報処理装置に通信可能に接続されており、
接続者が用いるリモート端末装置であって前記第１プライベートネットワーク及び前記第２プライベートネットワークとは異なるネットワークを介して前記中継処理装置に接続されるリモート端末装置を識別するリモート識別子と、当該リモート端末装置と前記第１情報処理装置との中継を行う条件である予め設定された第１条件と、当該リモート端末装置と前記第２情報処理装置との中継を行う条件である予め設定された第２条件とが対応付けられた組が２以上格納される中継装置格納部と、
中継対象となるリモート端末装置を識別するリモート識別子を受け付けるリモート受付部と、
前記リモート受付部が受け付けた前記リモート識別子に対応する前記第１条件が満たされる場合に前記リモート端末装置と前記第１情報処理装置との間の通信を中継するための第１暗号化セッションを開始すると共に、前記リモート受付部が受け付けた前記リモート識別子に対応する前記第２条件が満たされる場合に前記リモート端末装置と前記第２情報処理装置との間の通信を中継するための第２暗号化セッションを開始するセッション制御部と、
前記第１暗号化セッションにおいて前記リモート端末装置と前記第１情報処理装置との間の通信を中継する第１中継部と、
前記第２暗号化セッションにおいて前記リモート端末装置と前記第２情報処理装置との間の通信を中継する第２中継部とを備える、中継処理装置。
第１プライベートネットワークにおいて構成されている第１情報処理システムの第１情報処理装置と、第２プライベートネットワークにおいて構成されている第２情報処理システムの第２情報処理装置と共に通信システムを構成する中継処理装置が備える中継装置格納部、リモート受付部、セッション制御部、第１中継部、及び第２中継部によって実現される情報処理方法であって、
前記中継処理装置は、前記第１情報処理装置に通信可能に接続されており、かつ、前記第２情報処理装置に通信可能に接続されており、
前記中継装置格納部には、接続者が用いるリモート端末装置であって前記第１プライベートネットワーク及び前記第２プライベートネットワークとは異なるネットワークを介して前記中継処理装置に接続されるリモート端末装置を識別するリモート識別子と、当該リモート端末装置と前記第１情報処理装置との中継を行う条件である予め設定された第１条件と、当該リモート端末装置と前記第２情報処理装置との中継を行う条件である予め設定された第２条件とが対応付けられた組が２以上格納され、
前記リモート受付部が、中継対象となるリモート端末装置を識別するリモート識別子を受け付けるリモート受付ステップと、
前記セッション制御部が、前記リモート受付部が受け付けた前記リモート識別子に対応する前記第１条件が満たされる場合に前記リモート端末装置と前記第１情報処理装置との間の通信を中継するための第１暗号化セッションを開始すると共に、前記リモート受付部が受け付けた前記リモート識別子に対応する前記第２条件が満たされる場合に前記リモート端末装置と前記第２情報処理装置との間の通信を中継するための第２暗号化セッションを開始するセッション制御ステップと、
前記第１中継部が、前記第１暗号化セッションにおいて前記リモート端末装置と前記第１情報処理装置との間の通信を中継する第１中継ステップと、
前記第２中継部が、前記第２暗号化セッションにおいて前記リモート端末装置と前記第２情報処理装置との間の通信を中継する第２中継ステップとを有する、情報処理方法。
第１プライベートネットワークにおいて構成されている第１情報処理システムの第１情報処理装置と、第２プライベートネットワークにおいて構成されている第２情報処理システムの第２情報処理装置と共に通信システムを構成する中継処理装置のプログラムであって、
前記中継処理装置は、前記第１情報処理装置に通信可能に接続されており、かつ、前記第２情報処理装置に通信可能に接続されており、
前記中継装置格納部には、接続者が用いるリモート端末装置であって前記第１プライベートネットワーク及び前記第２プライベートネットワークとは異なるネットワークを介して前記中継処理装置に接続されるリモート端末装置を識別するリモート識別子と、当該リモート端末装置と前記第１情報処理装置との中継を行う条件である予め設定された第１条件と、当該リモート端末装置と前記第２情報処理装置との中継を行う条件である予め設定された第２条件とが対応付けられた組が２以上格納され、
前記中継処理装置のコンピュータを、
中継対象となるリモート端末装置を識別するリモート識別子を受け付けるリモート受付部と、
前記リモート受付部が受け付けた前記リモート識別子に対応する前記第１条件が満たされる場合に前記リモート端末装置と前記第１情報処理装置との間の通信を中継するための第１暗号化セッションを開始すると共に、前記リモート受付部が受け付けた前記リモート識別子に対応する前記第２条件が満たされる場合に前記リモート端末装置と前記第２情報処理装置との間の通信を中継するための第２暗号化セッションを開始するセッション制御部と、
前記第１暗号化セッションにおいて前記リモート端末装置と前記第１情報処理装置との間の通信を中継する第１中継部と、
前記第２暗号化セッションにおいて前記リモート端末装置と前記第２情報処理装置との間の通信を中継する第２中継部として機能させる、プログラム。