WO2022054650A1

WO2022054650A1 - 情報送信装置、個人情報開示管理装置、及びプログラム

Info

Publication number: WO2022054650A1
Application number: PCT/JP2021/031989
Authority: WO
Inventors: 廣寅丹波
Original assignee: ソフトバンク株式会社
Priority date: 2020-09-08
Filing date: 2021-08-31
Publication date: 2022-03-17
Also published as: JP2022163020A; JP2022045225A; JP7105283B2

Abstract

車両の運転者の個人情報であって車両の車両現在地情報、車両操作情報、及び車両状態情報の少なくともいずれかを含む個人情報を、情報提供先に対して送信する情報送信装置であって、運転者の携帯通信端末又は車両から、車両の車両識別子及び運転者の個人識別子と共に、個人情報を受信する受信部と、個人情報の複数の項目毎に、個人情報の値を記憶する個人情報記憶部と、個人情報の項目毎に、個人情報の値を情報提供先に提供することを許可するための条件である情報提供ポリシを記憶する情報提供ポリシ記憶部と、個人情報の項目毎の情報提供ポリシに従って、個人情報の値を、車両の識別子及び運転者の識別子の少なくとも一方と共に、情報提供先に対して送信する送信部とを備える、情報送信装置が提供される。

Description

情報送信装置、個人情報開示管理装置、及びプログラム

　本発明は、情報送信装置、個人情報開示管理装置、及びプログラムに関する。

　消費電力量に代表される人間等の活動に関連する活動関連量の測定データに基づいて、ユーザの生活パターン等を特定して、ターゲット広告等に役立てる技術が知られていた（例えば、特許文献１参照）。
　［先行技術文献］
　［特許文献］
　［特許文献１］特開２０１６－１３４０１７号公報

一般的開示

　本発明の第１の態様によれば、情報送信装置が提供される。情報送信装置は、車両の運転者の個人情報であって車両の車両現在地情報、車両操作情報、及び車両状態情報の少なくともいずれかを含む個人情報を、情報提供先に対して送信してよい。情報送信装置は、運転者の携帯通信端末又は車両から、車両の車両識別子及び運転者の個人識別子と共に、個人情報を受信する受信部を備えてよい。情報送信装置は、個人情報の複数の項目毎に、個人情報の値を記憶する個人情報記憶部を備えてよい。情報送信装置は、個人情報の項目毎に、個人情報の値を情報提供先に提供することを許可するための条件である情報提供ポリシを記憶する情報提供ポリシ記憶部を備えてよい。情報送信装置は、個人情報の項目毎の情報提供ポリシに従って、個人情報の値を、車両の識別子及び運転者の識別子の少なくとも一方と共に、情報提供先に対して送信する送信部を備えてよい。

　上記情報提供ポリシ記憶部は、複数の上記情報提供先毎、かつ、上記個人情報の項目毎に、上記情報提供ポリシを記憶してよい。上記個人情報は上記車両現在地情報を含んでよく、上記車両現在地情報の項目に設定される上記情報提供ポリシは、車両の現在地と上記情報提供先に関連する場所との位置関係が予め定められた条件を満たす場合に、車両の現在地を情報提供先に対して提供することを許可するポリシであってよい。上記個人情報は上記車両現在地情報を含んでよく、上記車両現在地情報の項目に設定される上記情報提供ポリシは、上記運転者によって上記情報提供先が提供しているサービスの利用が予約されている場合に、車両の現在地を情報提供先に対して提供することを許可するポリシであってよい。上記個人情報は上記車両現在地情報を含んでよく、上記車両現在地情報の項目に設定される上記情報提供ポリシは、上記車両が予め定められたルートを走行している場合にのみ、又は、車両が予め定められたルートを走行していない場合にのみ、車両の現在地を情報提供先に対して提供することを許可するポリシであってよい。上記個人情報は上記車両現在地情報を含んでよく、上記車両現在地情報の項目に設定される上記情報提供ポリシは、上記情報提供先に対して現在地情報を提供するか、又は、上記情報提供先に対して車両の移動履歴を示すログ情報を提供するかを、上記運転者が選択可能なポリシであってよい。上記情報提供ポリシは、上記運転者が予め定められた人物である場合には、当該情報提供ポリシに対応する上記項目の値を上記情報提供先に提供することを許可し、上記運転者が予め定められた人物で無い場合には、当該情報提供ポリシに対応する上記項目の値を当該情報提供先に提供することを許可しないポリシであってよい。上記情報提供先は、少なくとも、１）車両を貸し出す貸主と車両を借りる借主とをマッチングさせるマッチングプラットフォームサービスを提供するマッチングサーバ、及び２）上記貸主を含んでよく、上記情報提供ポリシ記憶部は、上記借主である上記運転者の個人識別子に対して、情報提供先を上記マッチングサーバとする情報提供ポリシと、情報提供先を上記貸主とする情報提供ポリシをそれぞれ記憶してよく、上記運転者から、上記マッチングサーバに対する上記情報提供ポリシと、上記貸主に対する上記情報提供ポリシをそれぞれ個別に設定可能としてよい。上記情報提供ポリシ記憶部は、上記運転者の個人識別子と共に情報提供先に開示する個人情報の項目に対して設定される情報提供ポリシと、上記車両の車両識別子と共に情報提供先に開示する個人情報の項目に対して設定される情報提供ポリシと、を記憶してよい。上記情報提供ポリシは、上記個人情報を、i）上記運転者の個人識別子とは紐付けせずに上記車両識別子と紐付けて情報提供先に開示するか、ii）上記車両識別子とは紐付けせずに上記運転者の個人識別子と紐付けて情報提供先に開示するか、iii）上記運転者の個人識別子及び上記車両識別子と紐付けて情報提供先に開示するか、のうち少なくとも２つ以上の選択肢から一つを選択可能なポリシであってよい。

　本発明の第２の態様によれば、情報送信装置が提供される。情報送信装置は、車両の運転者の個人情報であって車両の車両現在地情報、車両操作情報、及び車両状態情報の少なくともいずれかを含む個人情報を、情報提供先に対して送信してよい。情報送信装置は、個人情報の複数の項目毎に、個人情報の値を記憶する個人情報記憶部を備えてよい。情報送信装置は、個人情報の項目毎に、個人情報の値を情報提供先に提供することを許可するための条件である情報提供ポリシを記憶する情報提供ポリシ記憶部を備えてよい。情報送信装置は、個人情報の項目毎の情報提供ポリシに従って、個人情報の値を、車両の識別子及び運転者の識別子と共に、情報提供先に対して送信する送信部を備えてよい。

　本発明の第３の態様によれば、情報送信装置が提供される。情報送信装置は、情報提供元の個人情報を情報提供先に対して送信してよい。情報送信装置は、個人情報の複数の項目毎に、個人情報の値を記憶する個人情報記憶部を備えてよい。情報送信装置は、個人情報の項目毎に、個人情報の値を情報提供先に提供することを許可するための条件である情報提供ポリシを記憶する情報提供ポリシ記憶部を備えてよい。情報送信装置は、個人情報の項目毎の情報提供ポリシに従って、個人情報の値を情報提供先に対して送信する送信部を備えてよい。情報提供ポリシは、情報提供元の現在地が予め定められた条件を満たす場合、又は、情報提供先に関連する場所が予め定められた条件を満たす場合に、対象となる個人情報の項目に対応する個人情報の値を情報提供先に提供することを許可するポリシであってよい。

　上記情報提供ポリシは、上記情報提供元の現在地が予め定められた位置である場合に、対象となる上記個人情報の項目に対応する上記個人情報の値を上記情報提供先に提供することを許可するポリシであってよい。上記情報提供ポリシは、上記情報提供元の現在地と、上記情報提供先に関する場所との位置関係が、予め定められた条件を満たす場合に、対象となる上記個人情報の項目に対応する上記個人情報の値を上記情報提供先に提供することを許可するポリシであってよい。上記情報提供ポリシは、上記情報提供元の現在地から予め定められた範囲内に、上記情報提供先に関する場所が位置する場合に、対象となる上記個人情報の項目に対応する上記個人情報の値を上記情報提供先に提供することを許可するポリシであってよい。上記情報提供ポリシは、上記情報提供先が上記情報提供元にサービスを提供する場所が予め定められた条件を満たす場合に、対象となる上記個人情報の項目に対応する上記個人情報の値を上記情報提供先に提供することを許可するポリシであってよい。上記情報提供ポリシは、上記情報提供先が上記情報提供元にサービスを提供する場所が予め定められた位置である場合に、対象となる上記個人情報の項目に対応する上記個人情報の値を上記情報提供先に提供することを許可するポリシであってよい。上記情報提供ポリシは、上記情報提供元の状態が予め定められた条件を満たす場合、又は、上記情報提供先の状態が予め定められた条件を満たす場合に、対象となる上記個人情報の項目に対応する上記個人情報の値を上記情報提供先に提供することを許可するポリシであってよい。

　本発明の第４の態様によれば、情報送信装置が提供される。情報送信装置は、情報提供元の個人情報を情報提供先に対して送信してよい。情報送信装置は、上記個人情報の複数の項目毎に、上記個人情報の値を記憶する個人情報記憶部を備えてよい。情報送信装置は、上記個人情報の項目毎に、上記個人情報の値を上記情報提供先に提供することを許可するための条件である情報提供ポリシを記憶する情報提供ポリシ記憶部を備えてよい。情報送信装置は、上記個人情報の項目毎の上記情報提供ポリシに従って、上記個人情報の値を上記情報提供先に対して送信する送信部を備えてよい。上記送信部は、上記情報提供元に異常が発生したことが検出された場合には、上記情報提供ポリシに関わらず、予め定められた個人情報を予め定められた情報提供先に送信してよい。

　本発明の第５の態様によれば、コンピュータを、上記情報送信装置として機能させるためのプログラムが提供される。

　本発明の第６の態様によれば個人情報開示管理装置が提供される。個人情報開示管理装置は、情報提供元の個人情報の情報提供先への開示を管理してよい。個人情報開示管理装置は、個人情報の複数の項目毎に、個人情報の値を記憶する個人情報記憶部を備えてよい。個人情報開示管理装置は、個人情報の項目毎に、個人情報の値を情報提供先に提供することを許可するための条件である情報提供ポリシを記憶する情報提供ポリシ記憶部を備えてよい。個人情報開示管理装置は、個人情報の項目毎の情報提供ポリシに従って、個人情報の値を、情報提供元の個人識別子と共に、情報提供先に対して送信する送信部を備えてよい。情報提供ポリシは、対象となる個人情報の項目に対応する値を提供するか、対象となる個人情報の項目に対応する値の履歴を示すログを提供するかを、情報提供元が選択可能なポリシであってよい。上記個人情報は、上記情報提供元の現在地情報を含んでよく、上記現在地情報の項目に設定される上記情報提供ポリシは、上記情報提供先に対して現在地情報を提供するか、上記情報提供先に対して上記情報提供元の移動履歴を示すログを提供するかを、上記情報提供元が選択可能なポリシであってよい。

　本発明の第７の態様によれば、コンピュータを上記個人情報開示管理装置として機能させるためのプログラムが提供される。

　なお、上記の発明の概要は、本発明の必要な特徴の全てを列挙したものではない。また、これらの特徴群のサブコンビネーションもまた、発明となりうる。

パーミッションコントロールサーバ１００の通信環境の一例を概略的に示す。パーミッションコントロールサーバ１００による処理の流れの一例を概略的に示す。パーミッションコントロールサーバ１００による処理の流れの一例を概略的に示す。パーミッションコントロールサーバ１００による処理の流れの一例を概略的に示す。パーミッションコントロールサーバ１００の機能構成の一例を概略的に示す。パーミッションポリシテーブル１０２の一例を概略的に示す。ユーザ２００の携帯通信端末３００の表示例を概略的に示す。ユーザ２００の携帯通信端末３００の表示例を概略的に示す。ユーザ２００の携帯通信端末３００の表示例を概略的に示す。ユーザ２００の携帯通信端末３００の表示例を概略的に示す。パーミッションコントロールサーバ１００による処理の流れの一例を概略的に示す。パーミッションコントロールサーバ１００、ユーザ２００の携帯通信端末３００、車両２１０の制御装置、又は車両２１０のカーナビゲーションシステムとして機能するコンピュータ１０００のハードウェア構成の一例を概略的に示す。

　以下、発明の実施の形態を通じて本発明を説明するが、以下の実施形態は請求の範囲にかかる発明を限定するものではない。また、実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。

　図１は、パーミッションコントロールサーバ１００の通信環境の一例を概略的に示す。本実施形態に係るパーミッションコントロールサーバ１００は、ユーザ２００の個人情報を管理する。パーミッションコントロールサーバ１００は、ユーザ２００の個人情報を情報提供先４００に対して送信する。

　図１では、一のユーザ２００を例示しているが、パーミッションコントロールサーバ１００は、複数のユーザ２００の個人情報を管理してよい。パーミッションコントロールサーバ１００は、情報送信装置の一例であってよい。また、パーミッションコントロールサーバ１００は、個人情報開示管理装置の一例であってよい。ユーザ２００は、情報提供元の一例であってよい。

　ユーザ２００の個人情報は、複数の項目毎の値を含んでよい。ユーザ２００の個人情報は、例えば、氏名、住所、性別、電話番号、生年月日、年齢、血液型、収入、職業、及び学歴等のデモグラフィック情報を含んでよい。個人情報の項目と値の関係を例示すると、例えば項目「年齢」に対して値「３０代」、項目「血液型」に対して値「Ａ型」、項目「職業」に対して値「会社員」である。

　また、ユーザ２００の個人情報は、ユーザ２００の状況に関する情報を含んでよい。例えば、ユーザ２００の個人情報は、ユーザ２００の現在地情報を含んでよい。現在地情報の値は、緯度経度であってよい。例えば、ユーザ２００の個人情報は、ユーザ２００の体調情報を含んでよい。体調情報の値は、体調の良い悪いを示してよい。

　また、ユーザ２００の個人情報は、ユーザ２００によるサービスの利用に関する情報を含んでよい。例えば、ユーザ２００の個人情報は、飲食施設及び宿泊施設等の予約情報を含んでよい。例えば、ユーザ２００の個人情報は、ＥＣサイト等における購買履歴情報を含んでよい。

　また、ユーザ２００の個人情報は、ユーザ２００が運転する車両２１０に関する情報を含んでよい。車両２１０に関する情報は、例えば、車両２１０の現在地を示す車両現在地情報を含んでよい。車両現在地情報の値は、例えば、車両２１０の緯度経度であってよい。

　車両２１０に関する情報は、例えば、車両２１０の操作に関する車両操作情報を含んでよい。車両操作情報は、例えば、アクセス操作、ハンドル操作、ブレーキ操作、及びシートベルト着用有無等を含んでよい。

　車両２１０に関する情報は、例えば、車両の状態に関する車両状態情報を含んでよい。車両状態情報は、例えば、車両２１０の故障状態、ガソリン残量、バッテリ残量、タイヤ空気圧、走行距離、ワイパー動作時間、及び各種消耗品の残量等を含んでよい。

　車両２１０に関する情報は、例えば、同乗者の人数を含んでよい。車両２１０に関する情報は、例えば、車両ナンバーを含んでよい。車両２１０に関する情報は、車両２１０の外見特徴を含んでよい。

　車両２１０に関する情報は、車両２１０のカーナビゲーションにおいて設定されている目的地を含んでよい。車両２１０に関する情報は、車両２１０のカーナビゲーションシステムにおいてよく設定される目的地を含んでよい。

　なお、ユーザ２００の個人情報は、ユーザ２００の住居に関する情報を含んでもよい。例えば、ユーザ２００の個人情報は、ユーザ２００が在宅しているか否を示す在宅情報を含む。また、例えば、ユーザ２００の個人情報は、ユーザ２００の住居における電気の使用状況を示す電気使用情報を含む。電気使用情報は、例えば、電気使用量の情報を含む。また、例えば、ユーザ２００の個人情報は、ユーザ２００の住居におけるガスの使用状況を示すガス使用情報を含んでよい。ガス使用情報は、例えば、ガス使用量の情報を含む。また、例えば、ユーザ２００の個人情報は、ユーザ２００の住居における水道の使用状況を示す水道使用情報を含んでよい。水道使用情報は、例えば、水道使用量の情報を含む。

　情報提供先４００は、ユーザ２００の個人情報を何らかの目的で利用する組織及び団体等であってよい。情報提供先４００は、例えば、ユーザ２００に対してサービスを提供するサービス提供者であってよい。本実施形態では、サービス提供者の例として、ガソリンスタンド、保険会社、及び宿泊施設を挙げて説明するが、これらには限られない。また、情報提供先４００は、例えば、ユーザ２００に対して雇用を提供する雇用提供者であってよい。すなわち、情報提供先４００は、例えば、ユーザ２００の勤務先であってよい。

　パーミッションコントロールサーバ１００は、例えば、ユーザ２００が使用する携帯通信端末から、ネットワーク１０を介して、ユーザ２００の個人情報を受信する。携帯通信端末は、例えば、スマートフォン等の携帯電話、及びタブレット端末等であってよい。パーミッションコントロールサーバ１００は、例えば、ユーザ２００のデモグラフィック情報、ユーザ２００の状況に関する情報、ユーザ２００によるサービスの利用に関する情報、ユーザ２００の住居に関する情報を携帯通信端末から受信してよい。

　携帯通信端末は、既存技術を用いて、ユーザ２００の個人情報を取得して管理してよい。携帯通信端末は、例えば、ユーザ２００によって入力されたユーザ２００のデモグラフィック情報を管理してよい。また、携帯通信端末は、携帯通信端末の現在地をユーザ２００の現在地として管理してよい。また、携帯通信端末は、ユーザ２００が身に着けているウェアラブルデバイスからユーザ２００の体調情報を受信して、管理してよい。携帯通信端末は、ユーザ２００によるＷｅｂサービスの利用履歴や、アプリの利用履歴から、飲食施設及び宿泊施設等の予約情報や、ＥＣサイト等における購買履歴情報を取得して管理してよい。携帯通信端末は、ユーザ２００の住宅に設置された住宅監視装置、スマートメータ、ガスメータ又はガスメータに付属の装置、及び水道メータ又は水道メータに付属の装置等から、ユーザ２００の住居に関する情報を受信して管理してよい。

　また、パーミッションコントロールサーバ１００は、例えば、ユーザ２００が運転する車両２１０から、ネットワーク１０を介して、ユーザ２００の個人情報を受信する。パーミッションコントロールサーバ１００は、車両２１０のカーナビゲーションシステムから、ユーザ２００の個人情報を受信してよい。パーミッションコントロールサーバ１００は、例えば、車両２１０から、車両２１０に関する情報を受信する。また、パーミッションコントロールサーバ１００は、例えば、車両２１０から、設定されている目的地や、よく設定される目的地等を受信する。

　携帯通信端末、車両２１０、及びカーナビゲーションシステムは、互いに連携してもよい。例えば、携帯通信端末、車両２１０、及びカーナビゲーションシステムは、Ｂｌｕｅｔｏｏｔｈ（登録商標）等の近距離無線通信によって通信接続を確立し、ユーザ２００の個人識別子によってＩＤ連携をする。そして、携帯通信端末又は車両２１０が、ユーザ２００の個人情報を集約して、パーミッションコントロールサーバ１００に送信してもよい。

　ネットワーク１０は、移動体通信ネットワークを含んでよい。ネットワーク１０は、インターネットを含んでよい。ユーザ２００の携帯通信端末、車両２１０、及び車両２１０のカーナビゲーションシステムは、無線基地局及びＷｉ－Ｆｉ（登録商標）アクセスポイント等を介して、ネットワーク１０にアクセス可能であってよい。

　パーミッションコントロールサーバ１００は、パーミッションポリシテーブル１０２を記憶する。パーミッションコントロールサーバ１００は、複数のユーザ２００のそれぞれに対応するパーミッションポリシテーブル１０２を記憶する。

　パーミッションポリシテーブル１０２は、個人情報の項目毎に登録された、個人情報の値を情報提供先４００に提供することを許可するための条件である情報提供ポリシを含む。パーミッションポリシテーブル１０２には、複数の情報提供先４００毎、かつ、個人情報の項目毎に、情報提供ポリシが登録されてよい。

　図２は、パーミッションコントロールサーバ１００による処理の流れの一例を概略的に示す。ここでは、パーミッションコントロールサーバ１００が、一のユーザ２００と一の情報提供先４００とに対応するパーミッションポリシテーブル１０２を登録する処理の流れを概略的に示す。ここでは、情報提供先４００が、ユーザ２００に対してサービスを提供するサービス提供者である場合を例に挙げて説明する。

　ステップ（ステップをＳと省略して記載する場合がある。）１０２では、ユーザ２００と情報提供先４００との間で、ユーザ２００が情報提供先４００のサービスを利用すること、及び、ユーザ２００が情報提供先４００に対して継続的に個人情報を提供することについて、合意を形成する。ユーザ２００は、例えば、携帯通信端末を用いて、情報提供先４００のサーバと通信することによって、合意の形成を行ってよい。

　情報提供先４００のサーバは、ユーザ２００の個人識別子を登録する。個人識別子は、ユーザ２００を識別可能であれば、どのような情報であってもよい。個人識別子の例として、ＩＭＳＩ（Ｉｎｔｅｒｎａｔｉｏｎａｌ　Ｍｏｂｉｌｅ　Ｓｕｂｓｃｒｉｂｅｒ　Ｉｄｅｎｔｉｔｙ）、ＭＳＩＳＤＮ（Ｍｏｂｉｌｅ　Ｓｕｂｓｃｒｉｂｅｒ　Ｉｎｔｅｇｒａｔｅｄ　Ｓｅｒｖｉｃｅｓ　Ｄｉｇｉｔａｌ　Ｎｅｔｗｏｒｋ　Ｎｕｍｂｅｒ）、ＳＵＰＩ（Ｓｕｂｓｃｒｉｐｔｉｏｎ　Ｐｅｒｍａｎｅｎｔ　Ｉｄｅｎｔｉｆｉｅｒ）、住所及び氏名等が挙げられるが、これらに限らない。個人識別子は、本システムにおいて独自にユーザ２００に対して割り当てられるＩＤであってもよい。

　Ｓ１０４では、情報提供先４００が、パーミッションコントロールサーバ１００に対して、情報提供先４００の提供先識別子と、ユーザ２００の個人識別子とを指定しつつ、登録依頼を送信する。提供先識別子は、情報提供先４００を識別可能であれば、どのような情報であってもよい。登録依頼は、パーミッションポリシテーブル１０２を登録するために必要な情報を含んでよい。例えば、登録依頼は、事業に必要な個人情報を収集するためのデフォルトルールを含む。また、例えば、登録依頼は、個人情報の規定の選択肢を含む。

　Ｓ１０６では、パーミッションコントロールサーバ１００が、情報提供先４００から受信した登録依頼に基づいて、指定されたユーザ２００に紐づくパーミッションポリシテーブル１０２を更新する。パーミッションコントロールサーバ１００は、登録依頼に含まれる事業に必要な個人情報のデフォルトルールを、パーミッションポリシテーブル１０２に追加してよい。パーミッションコントロールサーバ１００は、登録依頼に含まれる個人情報の規定の選択肢を、パーミッションポリシテーブル１０２に追加してよい。この時点では、当該情報提供先４００に係るパーミッションポリシテーブル１０２は、仮決定の状態である。

　Ｓ１０８では、パーミッションコントロールサーバ１００が、ユーザ２００の携帯通信端末に対して、当該情報提供先４００に関する情報提供ポリシの設定依頼を行う。携帯通信端末は、例えば、複数の項目のそれぞれに対する情報提供ポリシの設定を受け付けるＵＩ（Ｕｓｅｒ　Ｉｎｔｅｒｆａｃｅ）を表示する。

　Ｓ１１０では、ユーザ２００が、情報提供ポリシの設定を行う。ユーザ２００は、携帯通信端末によって表示されたＵＩに対する入力を行うことによって、情報提供ポリシの設定を行ってよい。

　Ｓ１１２では、パーミッションコントロールサーバ１００が、ユーザ２００による設定を受け付けて、パーミッションポリシテーブル１０２を更新する。この時点で、当該情報提供先４００に係るパーミッションポリシが正式に設定される。

　パーミッションコントロールサーバ１００と情報提供先４００との間では、個人情報提供ポリシのプロトコルについて、予め認識合わせできていることが好ましい。Ｓ１０４において、情報提供先４００がパーミッションコントロールサーバ１００に対して、当該プロトコルに則った形式で登録依頼を送信することにより、パーミッションコントロールサーバ１００は、パーミッションポリシテーブル１０２にスムーズに反映することができる。

　情報提供先４００がユーザ２００の勤務先である場合、ユーザ２００及び情報提供先４００は、Ｓ１０２において、ユーザ２００が情報提供先４００に対して継続的に個人情報を提供することについて、合意を形成する。仮に、情報提供先４００が、ユーザ２００に対してマイカー通勤手当を適切に支払うために、通勤中における車両２１０の現在位置のログを取得することを希望している場合、情報提供先４００は、Ｓ１０４において、パーミッションコントロールサーバ１００に対して、次のようなデフォルトルール及び選択肢等の登録を依頼し得る。

　車両現在地の「情報提供可能な時間帯」と、「情報提供可能な場所」の条件について、「通勤時間かつ通勤経路上のみ」をデフォルトとし、ユーザ２００による変更を不可とする。通勤時間及び通勤経路は、情報提供先４００における従業員の管理システム等と連携することによって取得可能である。カーナビ目的地の条件について、「提供しない」をデフォルトとし、ユーザ２００による変更を不可とする。車両操作情報について、提供するかしないかを、ユーザ２００による選択式とする。車両情報について、提供するかしないかを、ユーザ２００による選択式とする。車両ナンバー及び外見特徴について、「提供する」をデフォルトとし、ユーザ２００による変更を不可とする。

　図３は、パーミッションコントロールサーバ１００による処理の流れの一例を概略的に示す。ここでは、パーミッションコントロールサーバ１００が、ユーザ２００の新たな個人情報を受信した場合に、当該個人情報を複数の情報提供先４００のそれぞれに対して提供する処理の流れを概略的に示す。

　Ｓ２０２では、パーミッションコントロールサーバ１００が、ユーザ２００の個人情報を受信する。Ｓ２０４では、パーミッションコントロールサーバ１００が、当該ユーザ２００の個人情報を提供する提供先として登録されている情報提供先４００を特定する。

　Ｓ２０６では、パーミッションコントロールサーバ１００が、Ｓ２０４において特定した情報提供先４００のうちの１つと、ユーザ２００とに対応するパーミッションポリシテーブル１０２から、当該個人情報に対応する情報提供ポリシを参照する。

　Ｓ２０８では、パーミッションコントロールサーバ１００が、Ｓ２０６において参照した情報提供ポリシに基づいて、情報提供先４００に対して個人情報を、提供可能か否かを判定する。提供可能と判定した場合、Ｓ２１０に進み、提供不可と判定した場合、Ｓ２１２に進む。Ｓ２１０では、パーミッションコントロールサーバ１００が、個人情報を情報提供先４００に対して送信する。

　Ｓ２１２では、Ｓ２０４において特定した全情報提供先４００について、判定が終了したか否かを判定する。終了していないと判定した場合、Ｓ２０６に戻り、次の情報提供先４００についての判定を実行する。終了したと判定した場合、処理を終了する。

　図４は、パーミッションコントロールサーバ１００による処理の流れの一例を概略的に示す。情報提供先４００からの要求に応じて、ユーザ２００の個人情報を提供する処理の流れを概略的に示す。

　Ｓ３０２では、パーミッションコントロールサーバ１００が、情報提供先４００から、ユーザ２００の個人情報の要求を受信する。Ｓ３０４では、パーミッションコントロールサーバ１００が、ユーザ２００の個人情報の複数の項目のうち、情報提供先４００に提供する対象となる項目を特定する。

　Ｓ３０６では、パーミッションコントロールサーバ１００が、Ｓ３０４において特定した項目に対応する情報提供ポリシを参照する。Ｓ３０８では、パーミッションコントロールサーバ１００が、Ｓ３０６において参照した情報提供ポリシに基づいて、情報提供先４００に対して個人情報を、提供可能か否かを判定する。提供可能と判定した場合、Ｓ３１０に進み、提供不可と判定した場合、Ｓ３１２に進む。Ｓ３１０では、パーミッションコントロールサーバ１００が、個人情報を情報提供先４００に対して送信する。

　Ｓ３１２では、Ｓ３０４において特定した全項目について、判定が終了したか否かを判定する。終了していないと判定した場合、Ｓ３０６に戻り、次の項目についての判定を実行する。終了したと判定した場合、処理を終了する。

　図３で説明したように、パーミッションコントロールサーバ１００は、情報提供先４００に対してユーザ２００の個人情報をプッシュ送信してよい。また、図４で説明したようにパーミッションコントロールサーバ１００は、情報提供先４００からの要求に応じてユーザ２００の個人情報を送信してもよい。

　図５は、パーミッションコントロールサーバ１００の機能構成の一例を概略的に示す。パーミッションコントロールサーバ１００は、記憶部１１０、受信部１２０、及び送信部１３０を備える。

　記憶部１１０は、個人情報記憶部１１２及び情報提供ポリシ記憶部１１４を有する。個人情報記憶部１１２は、ユーザ２００の個人情報を記憶する。個人情報記憶部１１２は、個人情報の複数の項目毎に、個人情報の値を記憶する。

　情報提供ポリシ記憶部１１４は、個人情報の項目毎に、個人情報の値を情報提供先４００に提供することを許可するための条件である情報提供ポリシを記憶する。情報提供ポリシ記憶部１１４は、例えば、複数のユーザ２００のそれぞれに対応するパーミッションポリシテーブル１０２を記憶する。パーミッションポリシテーブル１０２には、複数の情報提供先４００毎、かつ、個人情報の複数の項目毎に、情報提供ポリシ及び提供可否情報が登録される。提供可否情報は、個人情報の値を、提供可能か否かを示す。なお、パーミッションポリシテーブル１０２には、情報提供先４００のカテゴリ毎、かつ、個人情報の複数の項目毎に、情報提供ポリシ及び提供可否情報とが登録されてもよい。情報提供先４００のカテゴリは、産業分類等に基づいて決定されてよい。

　情報提供ポリシは、情報提供元（ユーザ）に関する条件を含んでよい。例えば、情報提供ポリシは、情報提供元の位置に関する条件を含む。情報提供ポリシは、情報提供元の現在地が予め定められた位置である場合に、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。情報提供ポリシは、情報提供元の現在地が予め定められた位置であるときのみ、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。

　情報提供ポリシは、情報提供元が予め定められたエリア内に位置する場合に、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。情報提供ポリシは、情報提供元が予め定められたエリア内に位置するときのみ、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。

　情報提供ポリシは、情報提供元が予め定められたルート上に位置する場合に、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。情報提供ポリシは、情報提供元が予め定められたルート上に位置するときのみ、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。

　また、例えば、情報提供ポリシは、情報提供元の目的地に関する条件を含む。情報提供ポリシは、情報提供元の目的地が予め定められたエリア内である場合に、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。情報提供ポリシは、情報提供元の目的地が予め定められたエリア内であるときのみ、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。

　情報提供ポリシは、情報提供元の予測進路が予め定められたエリア内である場合に、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。情報提供ポリシは、情報提供元の予測進路が予め定められたエリア内であるときのみ、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。

　また、例えば、情報提供ポリシは、情報提供元の状態に関する条件を含む。情報提供ポリシは、ユーザ２００の体調が条件を満たす場合に、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。情報提供ポリシは、ユーザ２００の体調が良いときのみ、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。情報提供ポリシは、ユーザ２００の体調が悪いときのみ、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。

　情報提供ポリシは、ユーザ２００の車両２１０の故障状態が条件を満たす場合に、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。情報提供ポリシは、車両２１０が故障していないときのみ、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。情報提供ポリシは、車両２１０が故障しているときのみ、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。

　情報提供ポリシは、車両２１０のガソリン残量、バッテリ残量、又はエンジンオイル残量が条件を満たす場合に、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。情報提供ポリシは、車両２１０のガソリン残量、バッテリ残量、又はエンジンオイル残量が予め定められた量よりも少ないときのみ、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。

　具体例として、本システムにおいては、エンジンオイル残量が予め定められた残量よりも少ないときに、エンジンオイル残量が、車両２１０の運転者であるユーザ２００の個人識別子と共に、情報提供先４００の一例であるＥＣサイトサーバに提供されるよう設定できる。当該ＥＣサイトサーバは、例えば、ユーザ２００の個人識別子とエンジンオイルとを関連付けて記憶する。そして、以降、ユーザ２００が、当該個人識別子で当該ＥＣサイトサーバにログインした場合に、当該ＥＣサイトサーバは、推奨商品としてエンジンオイルを提供するよう制御し得る。また、車両２１０にエンジンオイルが補給された場合に、エンジンオイル残量がＥＣサイトサーバに提供されるよう設定してもよい。これにより、エンジンオイルが補給された場合に、その旨と、ユーザ２００の個人識別子とがＥＣサイトサーバに通知され、ＥＣサイトサーバは、個人識別子とエンジンオイルとの関連付けを破棄し得る。

　情報提供元の状態に関する条件は、これらのほか、情報提供元の移動速度等の、情報提供元の任意の状態に関する条件を含んでよい。

　情報提供ポリシは、情報提供先４００に関する条件を含んでよい。例えば、情報提供ポリシは、情報提供先４００に関する場所に関する条件を含む。情報提供先４００がサービス提供者である場合、情報提供先４００に関する場所とは、情報提供先４００がユーザ２００に対してサービスを提供する場所であってよい。情報提供先４００がユーザ２００の勤務先である場合、情報提供先４００に関する場所とは、ユーザ２００の勤務先の場所であってよい。

　情報提供ポリシは、例えば、情報提供先４００に関する場所が、予め定められた位置である場合に、対象となる個人情報の項目に対応する個人情報の値を提供することを許可するポリシであってよい。情報提供ポリシは、例えば、情報提供先４００に関する場所が、予め定められた位置であるときのみ、対象となる個人情報の項目に対応する個人情報の値を提供することを許可するポリシであってよい。

　情報提供ポリシは、例えば、情報提供先４００に関する場所が、予め定められたエリア内である場合に、対象となる個人情報の項目に対応する個人情報の値を提供することを許可するポリシであってよい。情報提供ポリシは、例えば、情報提供先４００に関する場所が、予め定められたエリア内であるときのみ、対象となる個人情報の項目に対応する個人情報の値を提供することを許可するポリシであってよい。

　情報提供ポリシは、情報提供元の位置と情報提供先４００の位置との位置関係に関する条件を含んでよい。例えば、情報提供ポリシは、情報提供元の現在地と、情報提供先４００に関する場所との位置関係が、予め定められた条件を満たす場合に、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。情報提供ポリシは、例えば、情報提供先４００に関する場所が、情報提供元の現在地から予め定められた範囲内に位置する場合に、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。情報提供ポリシは、例えば、情報提供先４００に関する場所が、情報提供元の現在地から予め定められた範囲内に位置するときのみ、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。

　情報提供ポリシは、例えば、情報提供先４００に関する場所が、情報提供元の進行方向に沿って、情報提供元から予め定められた距離以内に位置するときのみ、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。

　情報提供ポリシは、情報提供先４００の状態に関する条件を含んでよい。例えば、情報提供ポリシは、情報提供先４００の営業状態に関する条件を含む。情報提供ポリシは、例えば、情報提供先４００が営業中の場合のみ、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。情報提供ポリシは、情報提供先４００が混雑している場合のみ、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。情報提供ポリシは、情報提供先４００が混雑していない場合のみ、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。情報提供ポリシは、情報提供元が情報提供先４００にサービスの利用予約をしている場合のみ、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。情報提供ポリシは、情報提供元が情報提供先４００にサービスの利用予約をしていない場合のみ、対象となる個人情報の項目に対応する個人情報の値を情報提供先４００に提供することを許可するポリシであってよい。

　情報提供ポリシは、提供する情報に関する条件を含んでもよい。当該条件は、例えば、提供する情報の精度に関する条件を含む。例えば、対象となる項目が現在地情報である場合に、情報提供ポリシは、提供可能な位置情報の精度の条件を含む。例えば、第１の情報提供先４００に対しては、ピンポイントな緯度経度情報を提供可能とし、第２の情報提供先４００に対しては、ピンポイントではなく抽象化処理された緯度経度情報のみを提供可能としても良い。例えば、ユーザから受信した緯度経度情報を半径１ｍ、半径１００ｍ、半径１kｍ等の範囲に抽象化した情報を提供可能とし得る。位置情報の抽象化方法としては、例えばk-匿名性が保証される範囲で必要最小限の抽象化が行われるような方法などが採用されても良い。

　当該条件は、例えば、提供する情報のリアルタイム性に関する条件を含む。例えば、対象となる項目が現在地情報である場合に、情報提供ポリシは、リアルタイムな現在地を提供するか、現在地のログを提供するかの条件を含む。例えば、第１の情報提供先４００に対しては、リアルタイムな現在地を提供可能とし、第２の情報提供先４００に対しては、現在地のログを提供可能とし得る。現在地のログとして、例えば、数分前からの移動履歴、数１０分前からの移動履歴、数時間前からの移動履歴、一日分の移動履歴等を選択可能であってよい。

　情報提供ポリシは、情報を提供する時限に関する条件、情報を提供する回数に関する条件、情報を提供する季節に関する条件等の、他の条件を含んでもよい。情報を提供する時限に関する条件は、例えば、個人情報の値を送信可能な期間を示す条件であってよい。送信可能な期間の設定は任意の単位で行われてよい。例えば、送信可能な期間は、開始日及び終了日、開始時刻及び終了時刻、日単位、週単位、月単位、年単位、曜日単位、季節単位、偶数日、奇数日、及び、子供が小学生の間等のイベント単位等の任意の単位で設定される。情報を提供する回数に関する条件は、情報を提供可能な回数を示す条件であってよい。情報を提供する季節に関する条件は、情報を提供可能な季節を示す条件であってよい。

　受信部１２０は、各種情報を受信する。受信部１２０は、ユーザ２００の個人情報を受信してよい。受信部１２０は、個人情報の項目及び個人情報の値を受信してよい。受信部１２０が受信する個人情報の項目が特定されていれば、受信部１２０は、値のみを含む個人情報を受信してもよい。

　受信部１２０は、ユーザ２００の携帯通信端末からユーザ２００の個人情報を受信してよい。受信部１２０は、ユーザ２００の車両２１０からユーザ２００の個人情報を受信してよい。個人情報記憶部１１２は、受信部１２０が受信した個人情報を記憶してよい。

　ユーザ２００の携帯通信端末及び車両２１０は、新たな個人情報を取得する毎に、個人情報をパーミッションコントロールサーバ１００に送信してよい。ユーザ２００の携帯通信端末及び車両２１０は、個人情報の項目毎に、個人情報の値が更新される度に、個人情報をパーミッションコントロールサーバ１００に送信してよい。

　ユーザ２００の携帯通信端末及び車両２１０は、予め定められたタイミングに従って、個人情報をパーミッションコントロールサーバ１００に送信してもよい。ユーザ２００の携帯通信端末及び車両２１０は、例えば、定期的又は不定期に、各期間において更新された個人情報をパーミッションコントロールサーバ１００に送信してよい。

　また、受信部１２０は、例えば、情報提供先４００から、パーミッションポリシテーブル１０２の登録依頼を受信する。また、受信部１２０は、例えば、情報提供先４００から、ユーザ２００の個人情報の送信要求を受信する。また、受信部１２０は、例えば、ユーザ２００の携帯通信端末から、パーミッションポリシテーブル１０２の設定指示を受信する。

　受信部１２０は、ユーザ２００の個人識別子と、ユーザ２００が運転する車両２１０の車両識別子と共に、ユーザ２００の個人情報を受信してよい。車両識別子は、車両２１０を識別可能であれば、どのような情報であってもよい。例えば、車両識別子は、車両ナンバであってよい。個人情報記憶部１１２は、ユーザ２００の個人識別子と、車両識別子と、個人情報の項目毎の値とを対応付けて記憶してよい。これにより、特定のユーザ２００の個人情報、特定の車両２１０に関する個人情報、及び、特定のユーザ２００が特定の車両２１０を運転したときの個人情報を、容易に識別可能にできる。

　受信部１２０は、ユーザ２００の個人識別子又はユーザ２００が運転する車両２１０の車両識別子と共に、ユーザ２００の個人情報を受信してよい。個人情報記憶部１１２は、ユーザ２００の個人識別子又はユーザ２００が運転する車両２１０の車両識別子と、個人情報の項目毎の値とを対応付けて記憶してよい。

　例えば、受信部１２０は、ユーザ２００の個人識別子と共に、ユーザ２００の個人情報を受信する。個人情報記憶部１１２は、ユーザ２００の個人識別子と、個人情報の項目毎の値とを対応付けて記憶してよい。また、例えば、受信部１２０は、ユーザ２００が運転する車両２１０の車両識別子と共に、ユーザ２００の個人情報を受信する。個人情報記憶部１１２は、ユーザ２００が運転する車両２１０の車両識別子と、個人情報の項目毎の値とを対応付けて記憶してよい。

　送信部１３０は、各種情報を送信する。送信部１３０は、パーミッションポリシテーブル１０２に従って、ユーザ２００の個人情報を情報提供先４００に送信する。

　送信部１３０は、ユーザ２００の個人情報を情報提供先４００に対してプッシュ送信してよい。例えば、送信部１３０は、ユーザ２００の個人情報の複数の項目の値を、更新される毎に、送信対象の情報提供先４００に対応するパーミッションポリシテーブル１０２に従って、当該情報提供先４００に送信する。また、例えば、送信部１３０は、予め定められたタイミングに従って、ユーザ２００の個人情報の複数の項目の値を、送信対象の情報提供先４００に対応するパーミッションポリシテーブル１０２に従って、当該情報提供先４００に送信する。

　送信部１３０は、情報提供先４００からの要求に応じて、ユーザ２００の個人情報を情報提供先４００に送信してもよい。例えば、送信部１３０は、ユーザ２００の個人情報の送信要求を受信部１２０が情報提供先４００から受信したことに応じて、当該情報提供先４００に対応するパーミッションポリシテーブル１０２に従って、当該情報提供先４００に対して、当該個人情報を送信する。

　送信部１３０は、個人情報の項目毎の情報提供ポリシに従って、個人情報の値を情報提供先４００に対して送信してよい。例えば、第１の項目の値と、第２の項目の値とが、情報提供先４００に送信する候補である場合であって、第１の項目の情報提供ポリシに従って第１の項目の値を情報提供先４００に提供できると判定し、第２の項目の情報提供ポリシに従って第２の項目の値を情報提供先４００に提供できないと判定した場合、送信部１３０は、第１の項目の値及び第２の値の項目のうち、第１の項目の値のみを情報提供先４００に送信する。

　送信部１３０は、個人情報の項目毎の情報提供ポリシに従って、個人情報の値を、ユーザ２００の個人識別子及びユーザ２００が運転する車両２１０の車両識別子と共に、情報提供先４００に対して送信してよい。送信部１３０は、個人情報の項目毎の情報提供ポリシに従って、個人情報の値を、ユーザ２００の個人識別子又はユーザ２００が運転する車両２１０の車両識別子と共に、情報提供先４００に対して送信してもよい。例えば、送信部１３０は、個人情報の項目毎の情報提供ポリシに従って、個人情報の値を、ユーザ２００の個人識別子と共に、情報提供先４００に対して送信する。また、例えば、送信部１３０は、個人情報の項目毎の情報提供ポリシに従って、個人情報の値を、ユーザ２００が運転する車両２１０の車両識別子と共に、情報提供先４００に対して送信する。

　送信部１３０は、情報提供元に異常が発生したことが検出された場合には、情報提供ポリシに関わらず、予め定められた個人情報を予め定められた情報提供先４００に送信してもよい。

　本実施形態に係るパーミッションコントロールサーバ１００によるパーミッションコントロールは、様々な分野に適用可能である。

　ＢＹＯＤ（Ｂｒｉｎｇ　Ｙｏｕｒ　Ｏｗｎ　Ｄｅｖｉｃｅ）という携帯通信端末の使い方が知られている。ＢＹＯＤとは、私用のスマートフォンなどを業務の現場に持ち込み、仕事に利用することを意味する。従業員が使い慣れている携帯通信端末を業務利用することによる業務効率向上効果や、専用の業務端末を準備する費用を削減できる効果が期待される。他方、企業から見ると、情報セキュリティリスクが増加したり、従業員から見ると私生活のプライバシー保護の懸念が発生したりするデメリットがある。また、ＢＹＯＤとは異なるが、社員が所有するマイカーを業務利用するケースが考えられる。社員が所有するマイカーがいわゆるコネクテッドカーである場合、ＢＹＯＤと同様のデメリットが発生するおそれがある。

　本実施形態に係るパーミッションコントロールをＢＹＯＤやマイカーの業務利用に応用した場合、例えば、次のような情報提供ポリシが設定されることが考えられる。

　ユーザ２００は、勤務先の企業に対して、自身の移動ログを、自身の現在地が、自身の職場の構内である場合に限り提供するように情報提供ポリシを設定し得る。従業員の現在地を把握することは、特にフリーアドレス制を導入している企業等において有効である。職場構内が広大である場合には、従業員が職場構内を勤務時間内に自身のコネクテッドカーで動き回ることも考えられる。このような場合には、コネクテッドカーの移動ログ（例えば、コネクテッドカーのＧＰＳ（Ｇｌｏｂａｌ　Ｐｏｓｉｔｉｏｎｉｎｇ　Ｓｙｓｔｅｍ）ログ）を、そのコネクテッドカーが職場構内に位置する限りにおいて企業に提供する、といった応用例も考えられる。携帯通信端末の位置情報を提供する場合も、コネクテッドカーの位置情報を提供する場合も、移動ログを企業に提供するか否かが、自身の現在地に応じて自動的にＯＮ／ＯＦＦされるため、例えば、体調不良により早退した従業員の移動履歴を、早退後も意図せず収集してしまう、といった不測の事態を予防することが出来る。

　同じ携帯通信端末／コネクテッドカーにインストールされている別アプリケーションとして、例えば、家族に自身の帰宅時間を通知するアプリケーションがインストールされていることが考えられる。かかるアプリケーションにおいては、自身が予め設定した通勤経路上を、職場から自宅に向かっている場合にのみ、自宅の位置と自身の現在地と自身の移動速度とに基づいて（必要であれば渋滞情報等も利用して）、帰宅予定時間を算出し、家族のスマートフォンに通知する。利用者が許諾した場合、自身の現在地情報そのものが家族のスマートフォンにリアルタイム通知されてもよい。

　同じ携帯通信端末／コネクテッドカーにインストールされている別アプリケーションとして、例えば飲食店のクーポン受信アプリがインストールされていることが考えられる。例えば、自身の現在位置と移動速度、移動方向（あるいは目的地等）等に基づいて、「今から３０分以内に到着可能な位置にある飲食店に対して、自身のデモグラフィックデータ（例えば年齢・性別等）を開示する」という情報提供ポリシを設定する。他方、各飲食店は例えば「今から３０分以内に自店舗に入店する可能性のある２０代女性に対してクーポンを配布する」といった広告・クーポン配布ポリシを設定しているとする。これにより、ユーザ２００は、自身にとって必要な（自身の位置情報や進行方向とマッチした）広告・クーポンのみを受信することが出来るし、飲食店から見ると自店舗に来店する可能性が高いターゲットに絞って効率よく広告配信できる。

　以上、例示したように、一台の携帯通信端末、一台のコネクテッドカーに、複数のアプリケーションがインストールされ、それぞれのアプリケーションにおいて、現在地等の個人情報を、どのような条件に基づいて、誰に対して開示可能かが設定される。本実施形態に係るパーミッションコントロールによれば、このような多様な情報提供ポリシを一元的なユーザインターフェイスから把握・設定することができる。

　本実施形態に係るパーミッションコントロールは、例えば登山用のスマートフォンアプリ（以下「登山アプリ」）などにも応用可能である。一般的な登山アプリの機能は以下のようなものである。スマートフォンに登山アプリをインストールしたユーザが、「登山開始」というアイコンをタップしてから登山をすると、自身が歩いた軌跡が登山用地図に重畳された移動ログデータを取得することができ、このようなデータや登山中に撮影した写真（以下、個人情報という）を、登山アプリユーザ同士で共有して楽しむことが出来る。このような個人情報を、他の登山アプリユーザに開示するか否か、開示するとした場合にどのタイミングで開示するか等は、ユーザが自由に設定できる。

　本実施例に係るパーミッションコントロールを、登山用アプリに応用した場合、例えば次のような機能をアプリに追加することが考えられる。

　登山者であるユーザ２００が身に付けている生体センサによって、ユーザ２００の体調が異常であることが検知された場合、ユーザ２００の個人情報と共に、自身が歩いた軌跡（すなわち現在地情報）やアプリに入力していた登山計画（登山開始から下山までの経路計画）が、強制的に所定の連絡先（例えば家族のスマートフォン）に送信される。これにより、登山道からの滑落により意識を失う等して登山者自身がスマートフォンを操作することが出来なくなったような場合でも、登山者のスマートフォンが通信可能な状態にある限り、登山者の現在位置を外部に連絡することが出来る。これにより、登山者が、万が一自身の登山計画を誰かに伝え忘れていたり、登山届の提出を失念していたりしたとしても、無事に救助される可能性が高くなる。

　本実施形態に係るパーミッションコントロールは、被介護者の体調が急変した場合に、被介護者の現在地を介護者に迅速に通知したり、子供の体調が急変した場合に、子供の現在地を親に迅速に通知したり等、様々な用途に応用可能である。これらの場合における被介護者及び子供のような情報提供元が、どのような情報提供ポリシを設定した場合でも、パーミッションコントロールサーバ１００は、情報提供元の体調異常が検出された場合には、予め定められた個人情報の項目の値を予め定められた連絡先に送信することを優先してよい。本実施例に係るパーミッションコントロールは、車両の故障にも応用可能である。パーミッションコントロールサーバ１００は、車両に衝撃が加わったり、車両の急激な加速度が検出されたりした場合には、車両運転者や車両のオーナーがどのような情報提供ポリシを設定していたとしても、予め定められた個人情報を予め定められた連絡先に送信することを優先してよい。

　図６は、パーミッションポリシテーブル１０２の一例を概略的に示す。ここでは、主に、本実施形態に係るパーミッションコントロールをＭａａＳ（Ｍｏｂｉｌｉｔｙ　ａｓ　ａ　Ｓｅｒｖｉｃｅ）に適用した場合について説明する。

　パーミッションポリシテーブル１０２は、項目欄５１０及び複数の情報提供先欄５２０を含む。情報提供先欄５２０は、複数の情報提供先４００毎に登録される。図６では、複数の情報提供先４００として、ガソリンスタンド、保険会社、ユーザ２００が予約したホテル、及びユーザ２００の勤務先を例示している。情報提供先欄５２０は、可否情報欄５２２及び条件欄５２４を含む。

　可否情報欄５２２は、対応する個人情報を対応する情報提供先４００に提供することを許可するか否かを示す送信可否情報を含む。条件欄５２４は、情報提供ポリシを含む。図６では、車両位置の項目に対する情報提供ポリシのみを例示している。図６に示すように、情報提供ポリシ記憶部１１４は、複数の情報提供先４００毎、かつ、個人情報の複数の項目毎に、送信可否情報及び情報提供ポリシを記憶してよい。

　可否情報欄５２２及び条件欄５２４は、ユーザ２００によって設定可能であってよい。可否情報欄５２２及び条件欄５２４は、ユーザ２００によって自由に設定可能であってよい。また、例えば、情報提供先４００が、可否情報欄５２２及び条件欄５２４のデフォルトを設定し、ユーザ２００がデフォルトを変更することによって、設定されてもよい。

　図６に例示するパーミッションポリシテーブル１０２に従うと、送信部１３０は、車両２１０の車両現在地情報について、高精度な位置情報をリアルタイムにガソリンスタンドに送信する。また、送信部１３０は、車両２１０の車両現在地情報について、低精度な位置情報のログを保険会社に送信する。また、送信部１３０は、車両２１０の車両現在地情報について、予約当日、かつ、ホテルから半径５ｋｍ圏内に限り、リアルタイムに、予約したホテルに送信する。また、送信部１３０は、車両２１０の車両現在地情報について、出勤日、かつ、出勤ルート上の位置情報のみ、ログを勤務先に送信する。

　車両現在地情報の項目に設定される情報提供ポリシは、情報提供先４００に対して現在地情報を提供するか、又は、情報提供先４００に対して車両２１０の移動履歴を示すログ情報を提供するかを、ユーザ２００が選択可能なポリシであってよい。

　車両現在地情報の項目に設定される情報提供ポリシは、車両２１０の現在地と、情報提供先４００に関連する場所との位置関係が予め定められた条件を満たす場合に、車両２１０の現在地を情報提供先４００に対して提供することを許可するポリシであってよい。また、車両現在地情報の項目に設定される情報提供ポリシは、ユーザ２００によって携帯通信端末３００が提供しているサービスの利用が予約されている場合に、車両２１０の現在地を情報提供先４００に対して提供することを許可するポリシであってよい。

　車両現在地情報の項目に設定される情報提供ポリシは、車両２１０が予め定められたルートを走行している場合にのみ、車両の現在地を情報提供先に対して提供することを許可するポリシであってよい。これにより、例えば、ユーザ２００が車両２１０によって出勤ルート上を走行している場合のみ、車両現在地情報を勤務先に提供するようにでき、出勤ルート以外を走行している場合におけるユーザ２００のプライベート保護に貢献することができる。

　車両現在地情報の項目に設定される情報提供ポリシは、車両２１０が予め定められたルートを走行していない場合にのみ、車両の現在地を情報提供先に対して提供することを許可するポリシであってもよい。これにより、例えば、ユーザ２００が出勤ルート以外のルートを走行した場合に、どこを走行しているかを勤務先に把握させることができ、勤務先によるユーザ２００の管理に寄与することができる。

　情報提供ポリシは、車両２１０の運転者であるユーザ２００が予め定められた人物である場合には、当該情報提供ポリシに対応する項目の値を情報提供先４００に提供することを許可し、ユーザ２００が予め定められた人物で無い場合には、当該情報提供ポリシに対応する項目の値を情報提供先４００に提供することを許可しないポリシであってもよい。

　例えば、家族で一台の車両２１０を共有している場合を想定する。例えば、祖父、祖母、父、母、子の５人家族を想定する。この場合、情報提供先４００として、家族の携帯通信端末（例えば、父と母の携帯通信端末）を設定することが考えられる。この場合も、運転者の携帯通信端末と車両２１０との間で通信が確立され、運転者の個人識別子と共に運転情報が送信されるようにしても良いし、車両２１０から運転者の個人識別子と共に運転情報が送信されるようにしてもよい。

　この場合に、例えば、運転手が、祖父又は祖母である場合にのみ、各種運転情報が家族の携帯通信端末に開示されるように情報提供ポリシが設定され得る。これにより、例えば、祖父や祖母が車両２１０を運転しているときに、父や母が、車両現在地情報や、車両操作情報を取得することができ、父や母の心配の度合を低減することができる。また、運転者が誰であるかに限らずに一律に情報を送信してしまうと、例えば、子が運転するときに、車両現在地情報や車両操作情報が父や母に伝わってしまい、子のプライバシーを侵害しかねることになるが、例えば、運転手が祖父又は祖母である場合にのみ情報開示するよう設定することによって、子のプライバシーを保護することができる。また、祖父や祖母の運転情報をその他の家族の運転情報と区別して取得することができるようになるため、祖父や祖母の運転情報を正確に把握・分析することが可能となる。

　また、例えば、車両２１０が予め定められたルート（例えば、いつもの買い物のルート）を外れた場合に、車両現在地情報及び車両操作情報が家族の携帯通信端末に送信されるように情報提供ポリシが設定され得る。これにより、何らかの異常が発生した可能性がある場合に、その旨を家族に知得させることができる。

　また、例えば、車両２１０が自宅から予め定められた範囲内に位置する場合に、車両２１０の車両現在地情報が家族の携帯通信端末に開示されるように情報提供ポリシが設定され得る。これにより、運転者の帰宅タイミングを家族に事前に伝えることができる。予め定められた範囲は、例えば、自宅を起点とした半径Ｘｍ以内の範囲であってよい。予め定められた範囲は、任意に設定可能であってよく、変更可能であってよい。

　また、パーミッションコントロールサーバ１００は、例えば、車両２１０に対して予め定められた衝撃よりも強い衝撃が加わったことが検出された場合や、車両２１０の加速度が予め定められた閾値を超えたことが検出された場合に、運転者であるユーザ２００がどのような情報提供ポリシを設定していた場合であっても、それに優先して、車両現在地情報を含む各種運転情報を、家族の携帯通信端末に開示するようにしてもよい。

　情報提供ポリシを運転者自身が設定した場合も、運転者の家族が設定した場合も、今、どのような情報提供ポリシが設定されているのか、運転者から把握・調整可能とすることが好ましい（一部、運転者からは調整不可能な強制ポリシがあっても良い）。例えば、運転者の携帯通信端末のディスプレイや車両２１０のディスプレイに現在の情報提供ポリシが表示されてもよい。もちろん、レンタカーやカーシェアを利用する場合にも、運転者の家族の携帯通信端末に車両２１０の車両現在地情報や車両操作情報が通知されるようにしてもよい。

　なお、車両現在地情報や車両操作情報が、運転者の個人識別子と、車両２１０の車両識別子との両方に関連付けられて各種情報提供先に送信されることが好ましい。これにより、ある運転者が複数の車両２１０を運転する場合にも、その運転者の嗜好・癖を分析することができる。このような情報は、レンタカー会社、保険会社、カ―シェア会社、運転者の嗜好を把握しようとするＥＣサイト運営者等にとって有益である。また、ある車両２１０が複数の運転者により運転される場合にも、その車両２１０がこれまでどのように運転されてきたのかを分析することができる。このような情報は車両２１０のオーナーや、車両整備会社にとって有益である。運転者が同意する場合には、運転者の携帯通信端末の緯度経度情報（ＧＰＳ情報）と、車両２１０の緯度経度情報（ＧＰＳ情報）をそれぞれ各種情報提供先に送信してもよい。

　本実施形態に係る発明によれば、運転者と車両とが１対１対応していない状況においてプライバシーを尊重しつつ効果的な分析を行うことが可能である。より具体的な例を挙げて効果を説明する。例えば一人のユーザ２００がレンタカーを利用して日々異なる車両を運転する状況を想定する。情報提供先４００は、当該ユーザによる複数台の車両の運転情報を横断的に取得し評価することができる。或いは、一台の車両がユーザ２００の家族全員で共有されている状況においても、情報提供先４００は、その車両がユーザ２００本人によって運転されている間の運転情報のみを選択して取得することが出来る。このような情報は、例えば当該ユーザ２００の運転の丁寧さを評価したいレンタカー会社や保険会社などから見て価値ある情報である。或いは情報提供先４００は、一台の車両が複数の運転者によりかわるがわる運転されるような状況（例えばレンタカーや、家族間で車両が共有されている状況など）においても、当該車両がこれまでどのように操作されてきたかの履歴情報として、複数の運転者による運転情報を横断的に取得し評価することが出来る。このような情報は、例えば車両の部品の摩耗等を予測したい車整備会社やカー用品販売会社から見て価値ある情報である。

　情報提供先４００がユーザ２００の運転の嗜好・癖を分析したい場合、パーミッションコントロールサーバ１００は情報提供先４００に対して、車両識別子には紐づかない、運転者の個人識別子のみに紐づけられた各種個人情報を提供しても良い。情報提供先４００が車両の部品の摩耗等を予測したい場合には、パーミッションコントロールサーバ１００は情報提供先４００に対して、運転者の個人識別子には紐づかない、車両識別子にのみ紐づけられた各種運転情報を提供しても良い。各種個人情報に、分析に必要ない識別子を紐付けしないことにより、ユーザのプライバシーを尊重することが出来る。

　情報提供ポリシは、或る個人情報をどのような識別子と紐付けて情報提供先４００に開示可能かを示すポリシであって良い。例えば情報提供ポリシは、個人情報を、i）運転者の個人識別子とは紐付けせずに車両識別子と紐付けて情報提供先に開示するか、ii）車両識別子とは紐付けせずに運転者の個人識別子と紐付けて情報提供先に開示するか、iii）運転者の個人識別子及び車両識別子と紐付けて情報提供先に開示するか、の３つの選択肢のうち一つを選択可能なポリシであってよい。情報提供ポリシは、i）とii）のうち一方を選択可能なポリシであってよい。情報提供ポリシは、i）とiii）のうち一方を選択可能なポリシであってよい。情報提供ポリシは、ii）とiii）のうち一方を選択可能なポリシであってよい。

　パーミッションコントロールサーバ１００は情報提供先４００から、どのような識別子に紐づく情報が欲しいのかのリクエストを受け付け、リクエストに対応する識別子のみと紐付けて各種個人情報を提供して良い。

　数ある情報提供先４００の一つとして、警察や、運転者の雇用主を設定した場合を想定する。例えば、自車両と他車両との間の車間距離が、予め定められた時間以上、極端に短い状況が継続した場合には、自車の車両識別子（又は自車の運転者の個人識別子）と自車の車両現在地情報とが警察サーバ等に開示されるように設定され得る。また、例えば、自車において、道路交通法に違反するような運転行為が観測された場合、自車の車両識別子（又は運転者の個人識別子）と、車両現在地情報とが、警察サーバ等に開示されるようなポリシがあっても良い。

　情報提供先４００は、例えば、車両２１０を貸し出す貸主と車両２１０を借りる借主とをマッチングさせるマッチングプラットフォームサービスを提供するマッチングサーバ、及び、貸主を含んでよい。情報提供ポリシ記憶部１１４は、借主であるユーザ２００の個人識別子に対して、情報提供先４００をマッチングサーバとする情報提供ポリシと、情報提供先４００を貸主とする情報提供ポリシをそれぞれ記憶してよい。パーミッションコントロールサーバ１００は、ユーザ２００からの指示に従って、マッチングサーバに対する情報提供ポリシと、貸主に対する情報提供ポリシをそれぞれ個別に設定可能であってよい。

　このように、本実施形態に係るパーミッションコントロールは、個人間のカーシェアに適用可能である。パーミッションコントロールサーバ１００は、借主であるユーザ２００が、自身の運転情報を、貸主又はマッチングサーバに対してどこまで開示するかを選択可能にする。また、パーミッションコントロールサーバ１００は、貸主がユーザ２００に対して、運転情報の開示を要求することが出来るようにする。積極的に運転情報を開示するユーザ２００は、例えば、レンタル料が安くなる等の何らかのメリットを享受できるようにする。

　運転開始前に、ユーザ２００の携帯通信端末と、貸主の車両２１０との間で通信を確立し、ユーザ２００の携帯通信端末から、ユーザ２００の個人識別子と共に、各種運転情報が、貸主やマッチングサーバに対して送信されるようにする。あるいは、貸主の車両２１０から、２００の個人識別子と共に、各種運転情報が送信されるようにしてもよい。

　情報提供ポリシをユーザ２００自身が設定した場合も、貸主が設定した場合も、今、どのような情報提供ポリシが設定されているのか、ユーザ２００から把握・調整可能とすることが好ましい（一部、ユーザ２００から調整不可能な強制ポリシがあっても良い）。例えば、ユーザ２００の携帯通信端末のディスプレイや、車両２１０のディスプレイに現在の情報提供ポリシが表示されてもよい。

　例えば、ユーザ２００は、返却予定時刻から予め定められた時間よりも前になったら、車両２１０の車両現在地情報を貸主に対してリアルタイム開示する、というポリシを受け入れるか否かを選択する。当該ポリシを受け入れたユーザ２００が、より安い料金で車両２１０をレンタルできるようにすることで、ユーザ２００側には金銭的なメリットが生まれる。貸主側には、予定通りに車両２１０が返却されそうかを把握するための情報を入手できるというメリットが生まれる。

　また、例えば、ユーザ２００は、車両２１０の車両操作（急ブレーキや急ハンドル、法定速度を守っているか等）の情報を、マッチングサーバに対して開示する、というポリシを受け入れるか否かを選択する。このような情報は、ユーザ２００の個人識別子とともに記憶され、未来の貸主候補に対して開示される。貸主は、運転の荒いユーザ２００への車両２１０の貸し出しを拒絶することが出来る。運転が丁寧なユーザ２００が、将来、より安価に車両２１０をレンタルできるようにすることで、丁寧な運転を促進することができる。

　また、例えば、貸主は、返却予定時刻を３０分以上経過しても車両２１０が貸主に返却されない場合、車両２１０の現在地情報が貸主に対してリアルタイム開示されるように設定し得る。貸主は、この条件を受け入れないユーザ２００に対しては車両２１０をレンタルしないように設定し得る。

　また、例えば、貸主は、返却予定時刻までに返却が不可能なエリアに車両２１０が位置している場合（例えば、２１時に東京駅近辺にて車を返却予定の場合において、２０時時点で車が仙台に位置するような場合）、車両２１０の現在地情報が貸主に対して開示されるよう設定し得る。

　上述した例は、通常のレンタカーにも適用できる。通常のレンタカーの場合には、貸主とマッチングサーバとが実質的に同一となる。情報の提供先として保険会社を追加しても良い。運転情報を積極的に開示し、優良な運転をするユーザ２００は、レンタル料金のみならず保険領域も割安になる等のメリットを享受できてもよい。

　図７は、ユーザ２００の携帯通信端末３００の表示例を概略的に示す。ここでは、パーミッションポリシテーブル１０２を設定するＵＩ６００の一具体例を示す。なお、携帯通信端末３００と車両２１０とは、予めＩＤ連携していてよく、携帯通信端末３００からも車両２１０の車載ディスプレイからも、パーミッションポリシテーブル１０２は設定可能であってよい。

　図７に例示するＵＩ６００では、情報提供先４００毎にタブが用意される。ユーザ２００は、タブを選択することによって、設定対象の情報提供先４００を切り替え可能である。

　図７では、車両現在地情報の提供可否と、カーナビ目的地の提供可否と、運転操作情報の提供可否とを設定する場面を例示している。ユーザ２００は、例えば、車両現在地情報について、提供不可、提供可能、条件付き提供可能から、選択し得る。条件付き提供可能が選択された場合、詳細条件設定画面に遷移してよい。

　図８は、ユーザ２００の携帯通信端末３００の表示例を概略的に示す。ここでは、詳細条件設定画面６１０の一具体例を示す。図８では、〇〇ホテルへの現在地情報提供の詳細条件設定画面を例示している。

　ユーザ２００は、例えば、車両現在地情報について、提供可能を選択した場合に、提供可能な位置情報の精度、位置情報のリアルタイム提供の可否、情報提供可能な時間帯、及び位置情報を提供可能な場所の限定について、設定可能である。

　このように、本システムにおいては、例えば、車両２１０の車両現在地情報について、提供する位置情報の精度や、リアルタイム提供かログ提供かを設定可能にできる。また、提供できる位置情報のエリアを限定することもできる。例えば、ユーザ２００が予め定められたエリア内に位置する場合のみ、車両現在地情報を提供可能に設定することができる。また、例えば、ユーザ２００が予め定められたルート上に位置する場合のみ、車両現在地情報を提供可能に設定することができる。また、例えば、ユーザ２００の現在地から、半径Ｘｋｍ内の店舗にのみ車両現在地情報を提供可能に設定できる。また、例えば、ユーザ２００の進行方向前方Ｘｋｍ以内のサービスエリアのみに車両現在地情報を提供可能に設定できる。

　図９は、ユーザ２００の携帯通信端末３００の表示例を概略的に示す。ここでは、詳細条件設定画面６２０の一具体例を示す。図９では、ユーザ２００の勤務先への、ユーザ２００の位置情報提供の詳細条件設定画面を例示している。

　ユーザ２００は、位置情報について、情報提供可能な時間帯と、情報提供可能な場所の限定とを、ＵＩの選択肢から選択することによって設定し得る。選択肢は、例えば、勤務先によって決定され得る。これにより、ユーザ２００の裁量を残しつつ、勤務先が希望する設定をユーザ２００に行わせることができる。

　図１０は、ユーザ２００の携帯通信端末３００の表示例を概略的に示す。ここでは、情報提供ポリシの設定ＵＩを、情報提供先４００毎とするか、提供対象の個人情報の項目毎とするかを切り替え可能とした場合について例示している。図１０に例示するようなＵＩを提供することによって、複雑な情報提供ポリシを、よりスピーディに設定可能にすることができる。

　図１１は、パーミッションコントロールサーバ１００による処理の流れの一例を概略的に示す。ここでは、情報提供ポリシが、対象となる個人情報の項目に対応する値を提供するか、対象となる個人情報の項目に対応する値の履歴を示すログを提供するかを、ユーザ２００が選択可能なポリシである場合を例に挙げて説明する。

　Ｓ４０２では、ユーザ２００の携帯通信端末又はユーザ２００が運転する車両２１０から、パーミッションコントロールサーバ１００に対して、個人情報（車両２１０の車両現在地情報や車両操作情報等）がリアルタイム送信される。具体的には、ユーザ２００の個人識別子と、個人情報の項目及び値と、時刻情報の組み合わせがパーミッションコントロールサーバ１００に送信される。

　Ｓ４０４では、パーミッションコントロールサーバ１００が、ユーザ２００のパーミッションポリシテーブル１０２を参照する。パーミッションコントロールサーバ１００は、Ｓ４０６、Ｓ４０８、Ｓ４１０の処理を実行することによって、個人情報を情報提供先４００に送信するか否かを判定する。パーミッションコントロールサーバ１００は、複数の情報提供先４００のそれぞれについて、Ｓ４０６、Ｓ４０８、Ｓ４１０の処理を実行してよい。

　Ｓ４０６では、パーミッションコントロールサーバ１００が、個人情報を情報提供先４００に送信してよいか否かを、情報提供ポリシに基づいて判定する。パーミッションコントロールサーバ１００は、Ｓ４０２において受信した個人情報の項目に対して設定されている情報提供ポリシを参照し、個人情報と情報提供ポリシとを比較することにより、送信の可否を判定してよい。

　Ｓ４０６で送信可と判定した場合に、Ｓ４０８において、パーミッションコントロールサーバ１００は、リアルタイム送信可能なのか、ログ送信の可能なのかを判定する。リアルタイム送信可能な場合、パーミッションコントロールサーバ１００は、ユーザ２００の個人情報を、即時に情報提供先４００に送信する。

　リアルタイム送信不可であり、ログ送信可能と判定した場合、Ｓ４１０において、パーミッションコントロールサーバ１００は、ログデータを生成する。パーミッションコントロールサーバ１００は、生成したログデータを、予め定められたタイミングで情報提供先４００に送信する。なお、位置情報の精度を荒くしたり、必要な匿名化処理を施したり等、情報提供ポリシに応じて適宜、個人情報がパーミッションコントロールサーバ１００によって加工されてから情報提供先４００に送信されても良い。

　上述の実施形態では、パーミッションコントロールサーバ１００がパーミッションポリシテーブル１０２を記憶して、ユーザ２００の個人情報のパーミッションコントロールを実行する場合を例に挙げて説明したが、これに限らない。例えば、ユーザ２００の携帯通信端末３００、ユーザ２００が運転する車両２１０、又は車両２１０のカーナビゲーションシステムが、パーミッションポリシテーブル１０２を記憶して、ユーザ２００の個人情報の送信についてのパーミッションコントロールを実行してもよい。この場合、携帯通信端末３００、車両２１０、及びカーナビゲーションシステムは、情報送信装置の一例であってよい。また、携帯通信端末３００、車両２１０、及びカーナビゲーションシステムは、個人情報開示管理装置の一例であってよい。

　図１２は、パーミッションコントロールサーバ１００、ユーザ２００の携帯通信端末３００、車両２１０の制御装置、又は車両２１０のカーナビゲーションシステムとして機能するコンピュータ１２００のハードウェア構成の一例を概略的に示す。コンピュータ１２００にインストールされたプログラムは、コンピュータ１２００を、本実施形態に係る装置の１又は複数の「部」として機能させ、又はコンピュータ１２００に、本実施形態に係る装置に関連付けられるオペレーション又は当該１又は複数の「部」を実行させることができ、及び／又はコンピュータ１２００に、本実施形態に係るプロセス又は当該プロセスの段階を実行させることができる。そのようなプログラムは、コンピュータ１２００に、本明細書に記載のフローチャート及びブロック図のブロックのうちのいくつか又はすべてに関連付けられた特定のオペレーションを実行させるべく、ＣＰＵ１２１２によって実行されてよい。

　本実施形態によるコンピュータ１２００は、ＣＰＵ１２１２、ＲＡＭ１２１４、及びグラフィックコントローラ１２１６を含み、それらはホストコントローラ１２１０によって相互に接続されている。コンピュータ１２００はまた、通信インタフェース１２２２、記憶装置１２２４、及びＩＣカードドライブのような入出力ユニットを含み、それらは入出力コントローラ１２２０を介してホストコントローラ１２１０に接続されている。記憶装置１２２４は、ハードディスクドライブ及びソリッドステートドライブ等であってよい。コンピュータ１２００はまた、ＲＯＭ１２３０及びキーボードのようなレガシの入出力ユニットを含み、それらは入出力チップ１２４０を介して入出力コントローラ１２２０に接続されている。

　ＣＰＵ１２１２は、ＲＯＭ１２３０及びＲＡＭ１２１４内に格納されたプログラムに従い動作し、それにより各ユニットを制御する。グラフィックコントローラ１２１６は、ＲＡＭ１２１４内に提供されるフレームバッファ等又はそれ自体の中に、ＣＰＵ１２１２によって生成されるイメージデータを取得し、イメージデータがディスプレイデバイス１２１８上に表示されるようにする。

　通信インタフェース１２２２は、ネットワークを介して他の電子デバイスと通信する。記憶装置１２２４は、コンピュータ１２００内のＣＰＵ１２１２によって使用されるプログラム及びデータを格納する。ＩＣカードドライブは、プログラム及びデータをＩＣカードから読み取り、及び／又はプログラム及びデータをＩＣカードに書き込む。

　ＲＯＭ１２３０はその中に、アクティブ化時にコンピュータ１２００によって実行されるブートプログラム等、及び／又はコンピュータ１２００のハードウェアに依存するプログラムを格納する。入出力チップ１２４０はまた、様々な入出力ユニットをＵＳＢポート、パラレルポート、シリアルポート、キーボードポート、マウスポート等を介して、入出力コントローラ１２２０に接続してよい。

　プログラムは、ＩＣカードのようなコンピュータ可読記憶媒体によって提供される。プログラムは、コンピュータ可読記憶媒体から読み取られ、コンピュータ可読記憶媒体の例でもある記憶装置１２２４、ＲＡＭ１２１４、又はＲＯＭ１２３０にインストールされ、ＣＰＵ１２１２によって実行される。これらのプログラム内に記述される情報処理は、コンピュータ１２００に読み取られ、プログラムと、上記様々なタイプのハードウェアリソースとの間の連携をもたらす。装置又は方法が、コンピュータ１２００の使用に従い情報のオペレーション又は処理を実現することによって構成されてよい。

　例えば、通信がコンピュータ１２００及び外部デバイス間で実行される場合、ＣＰＵ１２１２は、ＲＡＭ１２１４にロードされた通信プログラムを実行し、通信プログラムに記述された処理に基づいて、通信インタフェース１２２２に対し、通信処理を命令してよい。通信インタフェース１２２２は、ＣＰＵ１２１２の制御の下、ＲＡＭ１２１４、記憶装置１２２４、又はＩＣカードのような記録媒体内に提供される送信バッファ領域に格納された送信データを読み取り、読み取られた送信データをネットワークに送信し、又はネットワークから受信した受信データを記録媒体上に提供される受信バッファ領域等に書き込む。

　また、ＣＰＵ１２１２は、記憶装置１２２４、ＩＣカード等のような外部記録媒体に格納されたファイル又はデータベースの全部又は必要な部分がＲＡＭ１２１４に読み取られるようにし、ＲＡＭ１２１４上のデータに対し様々なタイプの処理を実行してよい。ＣＰＵ１２１２は次に、処理されたデータを外部記録媒体にライトバックしてよい。

　様々なタイプのプログラム、データ、テーブル、及びデータベースのような様々なタイプの情報が記録媒体に格納され、情報処理を受けてよい。ＣＰＵ１２１２は、ＲＡＭ１２１４から読み取られたデータに対し、本開示の随所に記載され、プログラムの命令シーケンスによって指定される様々なタイプのオペレーション、情報処理、条件判断、条件分岐、無条件分岐、情報の検索／置換等を含む、様々なタイプの処理を実行してよく、結果をＲＡＭ１２１４に対しライトバックする。また、ＣＰＵ１２１２は、記録媒体内のファイル、データベース等における情報を検索してよい。例えば、各々が第２の属性の属性値に関連付けられた第１の属性の属性値を有する複数のエントリが記録媒体内に格納される場合、ＣＰＵ１２１２は、当該複数のエントリの中から、第１の属性の属性値が指定されている条件に一致するエントリを検索し、当該エントリ内に格納された第２の属性の属性値を読み取り、それにより予め定められた条件を満たす第１の属性に関連付けられた第２の属性の属性値を取得してよい。

　上で説明したプログラム又はソフトウエアモジュールは、コンピュータ１２００上又はコンピュータ１２００近傍のコンピュータ可読記憶媒体に格納されてよい。また、専用通信ネットワーク又はインターネットに接続されたサーバシステム内に提供されるハードディスク又はＲＡＭのような記録媒体が、コンピュータ可読記憶媒体として使用可能であり、それによりプログラムを、ネットワークを介してコンピュータ１２００に提供する。

　本実施形態におけるフローチャート及びブロック図におけるブロックは、オペレーションが実行されるプロセスの段階又はオペレーションを実行する役割を持つ装置の「部」を表わしてよい。特定の段階及び「部」が、専用回路、コンピュータ可読記憶媒体上に格納されるコンピュータ可読命令と共に供給されるプログラマブル回路、及び／又はコンピュータ可読記憶媒体上に格納されるコンピュータ可読命令と共に供給されるプロセッサによって実装されてよい。専用回路は、デジタル及び／又はアナログハードウェア回路を含んでよく、集積回路（ＩＣ）及び／又はディスクリート回路を含んでよい。プログラマブル回路は、例えば、フィールドプログラマブルゲートアレイ（ＦＰＧＡ）、及びプログラマブルロジックアレイ（ＰＬＡ）等のような、論理積、論理和、排他的論理和、否定論理積、否定論理和、及び他の論理演算、フリップフロップ、レジスタ、並びにメモリエレメントを含む、再構成可能なハードウェア回路を含んでよい。

　コンピュータ可読記憶媒体は、適切なデバイスによって実行される命令を格納可能な任意の有形なデバイスを含んでよく、その結果、そこに格納される命令を有するコンピュータ可読記憶媒体は、フローチャート又はブロック図で指定されたオペレーションを実行するための手段を作成すべく実行され得る命令を含む、製品を備えることになる。コンピュータ可読記憶媒体の例としては、電子記憶媒体、磁気記憶媒体、光記憶媒体、電磁記憶媒体、半導体記憶媒体等が含まれてよい。コンピュータ可読記憶媒体のより具体的な例としては、フロッピー（登録商標）ディスク、ディスケット、ハードディスク、ランダムアクセスメモリ（ＲＡＭ）、リードオンリメモリ（ＲＯＭ）、消去可能プログラマブルリードオンリメモリ（ＥＰＲＯＭ又はフラッシュメモリ）、電気的消去可能プログラマブルリードオンリメモリ（ＥＥＰＲＯＭ）、静的ランダムアクセスメモリ（ＳＲＡＭ）、コンパクトディスクリードオンリメモリ（ＣＤ－ＲＯＭ）、デジタル多用途ディスク（ＤＶＤ）、ブルーレイ（登録商標）ディスク、メモリスティック、集積回路カード等が含まれてよい。

　コンピュータ可読命令は、アセンブラ命令、命令セットアーキテクチャ（ＩＳＡ）命令、マシン命令、マシン依存命令、マイクロコード、ファームウェア命令、状態設定データ、又はＳｍａｌｌｔａｌｋ（登録商標）、ＪＡＶＡ（登録商標）、Ｃ＋＋等のようなオブジェクト指向プログラミング言語、及び「Ｃ」プログラミング言語又は同様のプログラミング言語のような従来の手続型プログラミング言語を含む、１又は複数のプログラミング言語の任意の組み合わせで記述されたソースコード又はオブジェクトコードのいずれかを含んでよい。

　コンピュータ可読命令は、汎用コンピュータ、特殊目的のコンピュータ、若しくは他のプログラム可能なデータ処理装置のプロセッサ、又はプログラマブル回路が、フローチャート又はブロック図で指定されたオペレーションを実行するための手段を生成するために当該コンピュータ可読命令を実行すべく、ローカルに又はローカルエリアネットワーク（ＬＡＮ）、インターネット等のようなワイドエリアネットワーク（ＷＡＮ）を介して、汎用コンピュータ、特殊目的のコンピュータ、若しくは他のプログラム可能なデータ処理装置のプロセッサ、又はプログラマブル回路に提供されてよい。プロセッサの例としては、コンピュータプロセッサ、処理ユニット、マイクロプロセッサ、デジタル信号プロセッサ、コントローラ、マイクロコントローラ等を含む。

　以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に、多様な変更又は改良を加えることが可能であることが当業者に明らかである。その様な変更又は改良を加えた形態も本発明の技術的範囲に含まれ得ることが、請求の範囲の記載から明らかである。

　請求の範囲、明細書、及び図面中において示した装置、システム、プログラム、及び方法における動作、手順、ステップ、及び段階等の各処理の実行順序は、特段「より前に」、「先立って」等と明示しておらず、また、前の処理の出力を後の処理で用いるのでない限り、任意の順序で実現しうることに留意すべきである。請求の範囲、明細書、及び図面中の動作フローに関して、便宜上「まず、」、「次に、」等を用いて説明したとしても、この順で実施することが必須であることを意味するものではない。

１０　ネットワーク、１００　パーミッションコントロールサーバ、１０２　パーミッションポリシテーブル、１１０　記憶部、１１２　個人情報記憶部、１１４　情報提供ポリシ記憶部、１２０　受信部、１３０　送信部、２００　ユーザ、２１０　車両、３００　携帯通信端末、４００　情報提供先、５１０　項目欄、５２０　情報提供先欄、５２２　可否情報欄、５２４　条件欄、６００　ＵＩ、６１０詳細条件設定画面、６２０詳細条件設定画面、１２００　コンピュータ、１２１０　ホストコントローラ、１２１２　ＣＰＵ、１２１４　ＲＡＭ、１２１６　グラフィックコントローラ、１２１８　ディスプレイデバイス、１２２０　入出力コントローラ、１２２２　通信インタフェース、１２２４　記憶装置、１２３０　ＲＯＭ、１２４０　入出力チップ

Claims

　車両の運転者の個人情報であって前記車両の車両現在地情報、車両操作情報、及び車両状態情報の少なくともいずれかを含む個人情報を、情報提供先に対して送信する情報送信装置であって、
　前記運転者の携帯通信端末又は前記車両から、前記車両の車両識別子及び前記運転者の個人識別子と共に、前記個人情報を受信する受信部と、
　前記個人情報の複数の項目毎に、前記個人情報の値を記憶する個人情報記憶部と、
　前記個人情報の項目毎に、前記個人情報の値を前記情報提供先に提供することを許可するための条件である情報提供ポリシを記憶する情報提供ポリシ記憶部と、
　前記個人情報の項目毎の前記情報提供ポリシに従って、前記個人情報の値を、前記車両の識別子及び前記運転者の識別子の少なくとも一方と共に、前記情報提供先に対して送信する送信部と、
　を備える、情報送信装置。
　前記情報提供ポリシ記憶部は、複数の前記情報提供先毎、かつ、前記個人情報の項目毎に、前記情報提供ポリシを記憶する、請求項１に記載の情報送信装置。
　前記個人情報は前記車両現在地情報を含み、
　前記車両現在地情報の項目に設定される前記情報提供ポリシは、車両の現在地と前記情報提供先に関連する場所との位置関係が予め定められた条件を満たす場合に、車両の現在地を情報提供先に対して提供することを許可するポリシである、
　請求項１に記載の情報送信装置。
　前記個人情報は前記車両現在地情報を含み、
　前記車両現在地情報の項目に設定される前記情報提供ポリシは、前記運転者によって前記情報提供先が提供しているサービスの利用が予約されている場合に、車両の現在地を情報提供先に対して提供することを許可するポリシである、
　請求項１または２に記載の情報送信装置。
　前記個人情報は前記車両現在地情報を含み、
　前記車両現在地情報の項目に設定される前記情報提供ポリシは、前記車両が予め定められたルートを走行している場合にのみ、又は、車両が予め定められたルートを走行していない場合にのみ、車両の現在地を情報提供先に対して提供することを許可するポリシである、
　請求項１に記載の情報送信装置。
　前記個人情報は前記車両現在地情報を含み、
　前記車両現在地情報の項目に設定される前記情報提供ポリシは、前記情報提供先に対して現在地情報を提供するか、又は、前記情報提供先に対して車両の移動履歴を示すログ情報を提供するかを、前記運転者が選択可能なポリシである、
　請求項１から５のいずれか１項に記載の情報送信装置。
　前記情報提供ポリシは、前記運転者が予め定められた人物である場合には、当該情報提供ポリシに対応する前記項目の値を前記情報提供先に提供することを許可し、前記運転者が予め定められた人物で無い場合には、当該情報提供ポリシに対応する前記項目の値を当該情報提供先に提供することを許可しないポリシである、請求項１から６のいずれか１項に記載の情報送信装置。
　前記情報提供先は、少なくとも、
　１）車両を貸し出す貸主と車両を借りる借主とをマッチングさせるマッチングプラットフォームサービスを提供するマッチングサーバ、及び
　２）前記貸主を含み、
　前記情報提供ポリシ記憶部は、前記借主である前記運転者の個人識別子に対して、情報提供先を前記マッチングサーバとする情報提供ポリシと、情報提供先を前記貸主とする情報提供ポリシをそれぞれ記憶し、
　前記運転者から、前記マッチングサーバに対する前記情報提供ポリシと、前記貸主に対する前記情報提供ポリシをそれぞれ個別に設定可能とする、
　請求項１から７のいずれか１項に記載の情報送信装置。
　前記情報提供ポリシ記憶部は、前記運転者の個人識別子と共に情報提供先に開示する個人情報の項目に対して設定される情報提供ポリシと、前記車両の車両識別子と共に情報提供先に開示する個人情報の項目に対して設定される情報提供ポリシと、を記憶する、
　請求項１から８のいずれか１項に記載の情報送信装置。
　前記情報提供ポリシは、前記個人情報を、i）前記運転者の個人識別子とは紐付けせずに前記車両識別子と紐付けて情報提供先に開示するか、ii）前記車両識別子とは紐付けせずに前記運転者の個人識別子と紐付けて情報提供先に開示するか、iii）前記運転者の個人識別子及び前記車両識別子と紐付けて情報提供先に開示するか、のうち少なくとも２つ以上の選択肢から一つを選択可能なポリシである、請求項１から９のいずれか１項に記載の情報送信装置。
　車両の運転者の個人情報であって前記車両の車両現在地情報、車両操作情報、及び車両状態情報の少なくともいずれかを含む個人情報を、情報提供先に対して送信する情報送信装置であって、
　前記個人情報の複数の項目毎に、前記個人情報の値を記憶する個人情報記憶部と、
　前記個人情報の項目毎に、前記個人情報の値を前記情報提供先に提供することを許可するための条件である情報提供ポリシを記憶する情報提供ポリシ記憶部と、
　前記個人情報の項目毎の前記情報提供ポリシに従って、前記個人情報の値を、前記車両の車両識別子及び前記運転者の個人識別子と共に、前記情報提供先に対して送信する送信部と、
　を備える、情報送信装置。
　情報提供元の個人情報を情報提供先に対して送信する情報送信装置であって、
　前記個人情報の複数の項目毎に、前記個人情報の値を記憶する個人情報記憶部と、
　前記個人情報の項目毎に、前記個人情報の値を前記情報提供先に提供することを許可するための条件である情報提供ポリシを記憶する情報提供ポリシ記憶部と、
　前記個人情報の項目毎の前記情報提供ポリシに従って、前記個人情報の値を前記情報提供先に対して送信する送信部と、
　を備え、
　前記情報提供ポリシは、前記情報提供元の現在地が予め定められた条件を満たす場合、又は、前記情報提供先に関連する場所が予め定められた条件を満たす場合に、対象となる前記個人情報の項目に対応する前記個人情報の値を前記情報提供先に提供することを許可するポリシである、情報送信装置。
　前記情報提供ポリシは、前記情報提供元の現在地が予め定められた位置である場合に、対象となる前記個人情報の項目に対応する前記個人情報の値を前記情報提供先に提供することを許可するポリシである、請求項１２に記載の情報送信装置。
　前記情報提供ポリシは、前記情報提供元の現在地と、前記情報提供先に関する場所との位置関係が、予め定められた条件を満たす場合に、対象となる前記個人情報の項目に対応する前記個人情報の値を前記情報提供先に提供することを許可するポリシである、請求項１２又は１３に記載の情報送信装置。
　前記情報提供ポリシは、前記情報提供元の現在地から予め定められた範囲内に、前記情報提供先に関する場所が位置する場合に、対象となる前記個人情報の項目に対応する前記個人情報の値を前記情報提供先に提供することを許可するポリシである、請求項１４に記載の情報送信装置。
　前記情報提供ポリシは、前記情報提供先が前記情報提供元にサービスを提供する場所が予め定められた条件を満たす場合に、対象となる前記個人情報の項目に対応する前記個人情報の値を前記情報提供先に提供することを許可するポリシである、請求項１２から１５のいずれか一項に記載の情報送信装置。
　前記情報提供ポリシは、前記情報提供先が前記情報提供元にサービスを提供する場所が予め定められた位置である場合に、対象となる前記個人情報の項目に対応する前記個人情報の値を前記情報提供先に提供することを許可するポリシである、請求項１２から１５のいずれか一項に記載の情報送信装置。
　前記情報提供ポリシは、前記情報提供元の状態が予め定められた条件を満たす場合、又は、前記情報提供先の状態が予め定められた条件を満たす場合に、対象となる前記個人情報の項目に対応する前記個人情報の値を前記情報提供先に提供することを許可するポリシである、請求項１２から１７のいずれか一項に記載の情報送信装置。
　情報提供元の個人情報を情報提供先に対して送信する情報送信装置であって、
　前記個人情報の複数の項目毎に、前記個人情報の値を記憶する個人情報記憶部と、
　前記個人情報の項目毎に、前記個人情報の値を前記情報提供先に提供することを許可するための条件である情報提供ポリシを記憶する情報提供ポリシ記憶部と、
　前記個人情報の項目毎の前記情報提供ポリシに従って、前記個人情報の値を前記情報提供先に対して送信する送信部と、
　を備え、
　前記送信部は、前記情報提供元に異常が発生したことが検出された場合には、前記情報提供ポリシに関わらず、予め定められた個人情報を予め定められた情報提供先に送信する、情報送信装置。
　コンピュータを、請求項１から１９のいずれか一項に記載の情報送信装置として機能させるためのプログラム。
　情報提供元の個人情報の情報提供先への開示を管理する個人情報開示管理装置であって、
　前記個人情報の複数の項目毎に、前記個人情報の値を記憶する個人情報記憶部と、
　前記個人情報の項目毎に、前記個人情報の値を前記情報提供先に提供することを許可するための条件である情報提供ポリシを記憶する情報提供ポリシ記憶部と、
　前記個人情報の項目毎の前記情報提供ポリシに従って、前記個人情報の値を、前記情報提供元の個人識別子と共に、前記情報提供先に対して送信する送信部と、
　を備え、
　前記情報提供ポリシは、対象となる個人情報の項目に対応する値を提供するか、対象となる個人情報の項目に対応する値の履歴を示すログを提供するかを、前記情報提供元が選択可能なポリシである、個人情報開示管理装置。
　前記個人情報は、前記情報提供元の現在地情報を含み、
　前記現在地情報の項目に設定される前記情報提供ポリシは、前記情報提供先に対して現在地情報を提供するか、前記情報提供先に対して前記情報提供元の移動履歴を示すログを提供するかを、前記情報提供元が選択可能なポリシである、
　請求項２１に記載の個人情報開示管理装置。
　コンピュータを、請求項２１又は２２に記載の個人情報開示管理装置として機能させるためのプログラム。