WO2022130507A1

WO2022130507A1 - ユーザ情報管理システム、ユーザ情報管理方法、ユーザエージェントおよびプログラム

Info

Publication number: WO2022130507A1
Application number: PCT/JP2020/046774
Authority: WO
Inventors: 芳彦大森; 高生山下; 友梨香菅; 康彦吉村
Original assignee: 日本電信電話株式会社
Priority date: 2020-12-15
Filing date: 2020-12-15
Publication date: 2022-06-23
Also published as: JPWO2022130507A1; US20240104241A1

Abstract

ユーザエージェント（１００）は、ユーザのユーザ情報やサービス提供者サーバ（３００）に提供したユーザ情報を記憶する。ユーザ端末（２００）が、サービス提供者サーバ（３００）にユーザ登録する際に、ユーザエージェント（１００）は、サービス提供者サーバ（３００）に提供済のユーザ情報をユーザ端末（２００）に送る。ユーザ端末（２００）からユーザ情報の提供許可を受け付けると、ユーザエージェント（１００）は、疑似ユーザ識別情報と公開鍵と秘密鍵とを生成し、サービス提供者サーバ（３００）のサービスドキュメントに署名し、ユーザ端末（２００）を介してサービス提供者サーバ（３００）に送る。署名付きサービスドキュメントを受信すると、ユーザエージェント（１００）は署名を検証して、ユーザ情報をサービス提供者サーバ（３００）に送る。

Description

ユーザ情報管理システム、ユーザ情報管理方法、ユーザエージェントおよびプログラム

　本発明は、ユーザ情報の流通を管理するユーザ情報管理システム、ユーザ情報管理方法、ユーザエージェントおよびプログラムに関する。

　大手のＳＮＳ（Social Networking Service）サイトや検索サイト、通販サイトなどのサービス提供者は、それぞれの業界における独占的な地位にあるだけではなく、利用者の個人情報を抱え込んでいる点でも優位な立場にある。個人情報を利用することで、高度なサービスが提供されるという長所がある反面、個人情報が漏洩したり、利用者が知らない間に個人情報が第三者に提供されたりする事件が発生しており、社会問題化している。

　上記の問題に対して、サービス提供者が個人情報を管理するのではなく、利用者が自身の個人情報を管理（制御）できることを目指して、自己主権型ＩＤ管理（Self-Sovereign Identity（ＳＳＩ））という概念が広がっている（非特許文献１）。ＳＳＩによれば、利用者の住所や資格などのユーザ情報（ユーザクレデンシャル）は、サービスエンドポイントに格納される。サービス提供者からの要求に応じて、サービスエンドポイントはユーザ情報を送る。サービスエンドポイントにおけるユーザ情報へのアクセス権を制御することで、利用者はユーザ情報の提供先（流通先、譲渡先）を制御することができる。

　ＳＳＩでは、サービス提供者の委託先や協業先といった２次事業者へのユーザ情報提供については、考慮されていない。非特許文献２に記載の手法では、サービス提供者や２次事業者のサービスドキュメントに対してユーザ端末が署名することで、ユーザ情報へのアクセス権を承認して、ユーザ情報の流通先を管理している。また、流通するユーザ情報をサービス提供に必要な範囲に限定している。

Decentralized Identifiers (DIDs) v1.0, W3C Working Draft, The World Wide Web Consortium, 24 November 2020, [online], [令和2年12月1日検索], インターネット <https://w3c.github.io/did-core/> 大森芳彦他, "自己主権型アイデンティティにおけるユーザ情報の流通管理方法の検討," 電子情報通信学会 2020年総合大会, D-19-6, 2020.

　異なるサービス提供者が、同じ委託先（２次事業者）を利用している場合、委託先は同じユーザの識別情報やユーザ情報をもとにして名寄せ（統合）することができる。すると、委託先は複数のサービス提供者が保持しているユーザの属性情報や行動履歴などのユーザ情報が把握可能となる。また、ユーザが異なるユーザ識別情報を用いてサービスを利用していたとしても、委託先は、異なるサービス提供者が有するユーザ情報を１人のユーザ情報として有することになる。すると、ユーザが意図した以上のユーザ情報を１つの事業者（委託先）が有することになり、プライバシ保護上、望ましくない。

　本発明は、このような背景を鑑みてなされたのであり、名寄せを抑止するユーザ情報の流通制御を可能にすることを課題とする。

　前記した課題を解決するため、本発明に係るユーザ情報管理システムは、ユーザが利用するユーザ端末と、ユーザエージェントと、サービス提供者サーバとを含めて構成されるユーザ情報管理システムであって、前記ユーザエージェントは、前記ユーザのユーザ識別情報と、当該ユーザのユーザ情報とが関連付けられて格納された登録ユーザデータベース、および、前記サービス提供者サーバと、当該サービス提供者サーバに提供されたユーザ情報とが関連付けられて格納された提供済ユーザ情報データベースが記憶される記憶部と、前記サービス提供者サーバの識別情報と、当該サービス提供者サーバが要求するユーザ情報の種別であるユーザ情報種別とを含むサービス提供者サービスドキュメントをともなう前記ユーザ端末からの要求を受け付け、当該サービス提供者サーバに提供済である当該ユーザ端末のユーザのユーザ情報と、前記ユーザ情報種別に対応する当該ユーザのユーザ情報とを前記ユーザ端末に送信するユーザ情報提供先検索部と、前記サービス提供者サーバに提供するユーザ情報を示すサービス提供者サーバ提供許可ユーザ情報を前記ユーザ端末から受け付け、前記ユーザの前記サービス提供者サーバにおけるユーザ識別情報である疑似ユーザ識別情報と、当該疑似ユーザ識別情報に関連付けられた秘密鍵および公開鍵のペアとを生成し、当該秘密鍵を用いて前記サービス提供者サービスドキュメントに署名を付与した署名付きサービス提供者サービスドキュメントを生成し、当該疑似ユーザ識別情報と当該署名付きサービス提供者サービスドキュメントとを前記ユーザ端末に送信するユーザ情報アクセス権承認部と、を備え、前記ユーザ端末は、前記サービス提供者サーバ提供許可ユーザ情報を前記ユーザエージェントへ送信するユーザ情報提供依頼部と、前記疑似ユーザ識別情報と、前記署名付きサービス提供者サービスドキュメントとを前記サービス提供者サーバに送信するサービスドキュメント転送部と、を備え、前記サービス提供者サーバは、前記疑似ユーザ識別情報と、前記署名付きサービス提供者サービスドキュメントとを前記ユーザエージェントに送信するユーザ情報要求部を備え、前記ユーザエージェントは、前記署名付きサービス提供者サービスドキュメントの署名を前記疑似ユーザ識別情報に関連付けられた公開鍵を用いて検証し、検証に成功した場合には前記サービス提供者サーバ提供許可ユーザ情報を前記サービス提供者サーバに返信するユーザ情報提供部を、さらに備える。

　本発明によれば、名寄せを抑止するユーザ情報の流通制御を可能にすることができる。

本実施形態に係るユーザ情報管理システムの全体構成を示す図である。本実施形態に係るユーザ情報管理システムにおける処理の概要を示すフローチャートである。本実施形態に係るユーザエージェントの機能ブロック図である。本実施形態に係る登録ユーザデータベースのデータ構成図である。本実施形態に係る提供済ユーザ情報データベースのデータ構成図である。本実施形態に係るユーザ端末の機能ブロック図である。本実施形態に係るサービス提供者サーバの機能ブロック図である。本実施形態に係るサービス利用者データベースのデータ構成図である。本実施形態に係るサービス提供者サーバのサービスドキュメント発行処理のシーケンス図である。本実施形態に係るユーザのユーザエージェントへのユーザ登録処理のシーケンス図である。本実施形態に係るユーザ情報登録処理のシーケンス図である。本実施形態に係るユーザのサービスへの登録処理のシーケンス図（１）である。本実施形態に係るユーザのサービスへの登録処理のシーケンス図（２）である。本実施形態に係るユーザのサービスへの登録処理のシーケンス図（３）である。本実施形態に係る提供ユーザ情報確認画面の構成図である。本実施形態に係るサービス提供者サーバのユーザ情報取得処理のシーケンス図である。本実施形態に係る委託先／協業先サーバのユーザ情報取得処理のシーケンス図である。本実施形態の変形例に係る提供ユーザ情報確認画面の構成図である。本実施形態に係るユーザエージェントの機能を実現するコンピュータの一例を示すハードウェア構成図である。

≪ユーザ情報管理システムの概要≫
　以下に、本発明を実施するための形態（実施形態）におけるユーザ情報管理システムについて説明する。図１は、本実施形態に係るユーザ情報管理システム１０の全体構成を示す図である。ユーザ情報管理システム１０は、ユーザエージェント１００、ユーザ端末２００、およびサービス提供者サーバ３００を含んで構成される。ユーザ情報管理システム１０は、さらにサービス提供者がユーザに提供するサービスの委託先／協業先が運営する委託先／協業先サーバ４００や分散型台帳８１０、ユーザ情報発行機関サーバ８５０を含んでもよい。ユーザエージェント１００、ユーザ端末２００、サービス提供者サーバ３００、委託先／協業先サーバ４００、分散型台帳８１０、およびユーザ情報発行機関サーバ８５０は、ネットワーク８００を介して通信可能である。

　ユーザ情報発行機関サーバ８５０は、ユーザ情報を発行する。ユーザ情報には、ユーザ情報発行機関サーバ８５０の署名が付与される。ユーザ情報とは、ユーザが取得した資格や所属する機関などの情報である。ユーザ情報は、ユーザ自身が申告する現住所や生年月日などの情報であってもよい。
　分散型台帳８１０は、複数のサーバから構成される。分散型台帳８１０は、サービス提供者サーバ３００や委託先／協業先サーバ４００が発行するサービスドキュメント、ユーザエージェント１００が発行するユーザ情報の取得履歴を保管する。また、分散型台帳８１０は、ユーザエージェント１００やユーザ端末２００、サービス提供者サーバ３００、委託先／協業先サーバ４００からの要求に応じてサービスドキュメントや取得履歴を提供したりする。
　ユーザエージェント１００、ユーザ端末２００、サービス提供者サーバ３００、および委託先／協業先サーバ４００の構成を説明する前に、ユーザ情報と、このユーザ情報を扱うユーザ情報管理システム１０における処理の概要とを説明する。

≪ユーザ情報管理システムの概要：ユーザ情報≫
　サービス提供にあたり、サービス提供者サーバ３００や委託先／協業先サーバ４００は、ユーザのサービスへの登録申し込み時やサービス提供時にユーザ情報を取得して、サービス提供に利用したり、サービス提供の資格があるか否かを確認したりする。例えば、住宅ローンサービスではユーザの勤務先が発行する源泉徴収票を取得してローンの審査に利用し、酒類販売サイトではユーザが成人であることを確認する。

　サービス提供者サーバ３００や委託先／協業先サーバ４００は、自身のサービス提供に必要なユーザ情報をサービスドキュメントに記載する。サービスドキュメントに記載されるユーザ情報は、生年月日や学歴などユーザ情報の種別であり、ユーザ情報種別とも記す。ユーザは、サービス提供者サーバ３００のサービスドキュメントを参照して、サービス提供者が必要とするユーザ情報を確認し、サービスを利用するか否かを判断する。なお、サービス提供者サーバ３００が単独ではなく、委託先／協業先サーバ４００と連携（協同）してサービスを提供する場合には、ユーザは、サービス提供者サーバ３００のサービスドキュメントに記載される委託先／協業先サーバ４００、および委託先／協業先サーバ４００のサービスドキュメントに記載のユーザ情報を確認して、サービスを利用するか否かを判断する。

≪ユーザ情報管理システムの概要：ユーザ情報管理の流れ≫
　図２は、本実施形態に係るユーザ情報管理システム１０における処理の概要を示すフローチャートである。図２を参照しながら、サービス提供者サーバ３００が提供するサービスへのユーザ登録処理や、その前に行われる準備となる処理を説明する。

　ステップＳ１１０においてサービス提供者サーバ３００や委託先／協業先サーバ４００は、自身のサービスドキュメントを発行して、分散型台帳８１０に登録する（後記する図９参照）。サービス提供者サーバ３００のサービスドキュメントには、サービス提供者サーバ３００の識別情報、公開鍵、およびサービス提供者サーバ３００のサービス提供に必要なユーザ情報（ユーザ情報種別）が含まれている。また、サービスドキュメントには、サービスの委託先／協業先である委託先／協業先サーバ４００の識別情報が含まれる。さらに、サービスドキュメントには、サービス提供者サーバ３００のロケーションが含まれてもよい。

　委託先／協業先サーバ４００のサービスドキュメントについては、サービス提供者サーバ３００のサービスドキュメントと同様であって、委託先／協業先サーバ４００の識別情報や公開鍵、サービス提供に必要なユーザ情報種別などが含まれる。なお、サービスドキュメントには、サービスドキュメントの真正性を確認したサービス提供者確認機関サーバ（不図示）の署名が付与されてもよい。

　ステップＳ１２０においてユーザ端末２００からのユーザ登録の要求を受け付けて、ユーザエージェント１００は、ユーザを登録する（後記する図１０参照）。
　ステップＳ１３０においてユーザ端末２００は、ユーザ情報の発行をユーザ情報発行機関サーバ８５０に依頼して取得し、取得したユーザ情報をユーザエージェント１００に登録する（後記する図１１参照）。

　ステップＳ１４０においてユーザ端末２００は、サービス提供者サーバ３００にユーザを登録する（サービスへのユーザ登録）。登録には、ステップＳ１４１～Ｓ１４４が含まれる。
　ステップＳ１４１においてユーザ端末２００は、サービス提供者サーバ３００にユーザのサービスへの登録を申し込む（後記する図１２参照）。このとき、ユーザ端末２００は、サービス提供者サーバ３００のサービスドキュメントを入手する。サービス提供者に委託先／協業先がいるならば、ユーザ端末２００は、委託先／協業先サーバ４００のサービスドキュメントも入手する。

　ステップＳ１４２においてユーザ端末２００は、ユーザエージェント１００にサービス提供者サーバ３００や委託先／協業先サーバ４００へのユーザ情報提供を依頼する（後記する図１２、図１３参照）。ユーザは、サービスドキュメントに含まれる、サービス提供者サーバ３００や委託先／協業先サーバ４００が求めるユーザ情報を提供するか否かを判断する。さらに、ユーザは、ユーザエージェント１００が提供したサービス提供者サーバ３００や委託先／協業先サーバ４００に提供済のユーザ情報を参照して、ユーザ情報を提供するか否かを判断する。ユーザが提供を許可する情報の入力を受け付けて、ユーザ端末２００は、ユーザエージェント１００に、ユーザ情報の提供を依頼する。ユーザ情報の提供を依頼することは、ユーザ（ユーザ端末２００）が、サービス提供者サーバ３００や委託先／協業先サーバ４００に対してユーザ情報へのアクセス権を承認したことになる。

　ステップＳ１４３においてユーザエージェント１００は、ユーザ（後記する疑似ユーザ）の秘密鍵を用いてサービスドキュメントに署名する。署名付きのサービスドキュメントは、ユーザ端末２００を経由して、サービス提供者サーバ３００や委託先／協業先サーバ４００に送信される（図１３、図１４参照）。このユーザの署名付きサービスドキュメントが、サービス提供者サーバ３００や委託先／協業先サーバ４００に対してユーザ情報へのアクセス権を承認したことの証明書となる。

　ステップＳ１４４においてサービス提供者サーバ３００が、ユーザの署名付きサービスドキュメントを添えて、ユーザエージェント１００にユーザ情報を要求する（図１６参照）。ユーザエージェント１００は、サービスドキュメントに付与されたユーザの署名を検証することで、サービス提供者サーバ３００がサービスドキュメントに記載されているユーザ情報種別のユーザ情報へのアクセス権があることを確認して、当該ユーザ情報をサービス提供者サーバ３００に送信する。委託先／協業先サーバ４００についても同様である（図１７参照）。

　ユーザエージェント１００が送信するユーザ情報は、ステップＳ１３０で登録されたユーザ情報そのものとは限らず、サービスドキュメントに記載されたユーザ情報種別に対応する最小範囲の情報（粒度の粗い情報、抽象度の高い情報）である。例えば、サービスドキュメントに記載のユーザ情報が成人の当否であれば、ユーザエージェント１００は、生年月日から成人か否かを判断して判断結果のみを送信するようにする。サービスドキュメントに記載のユーザ情報が居住都道府県であれば、ユーザエージェント１００は、登録してある住所（ステップＳ１３０参照）の番地などを除いて都道府県のみを送信するようにする。

　サービス提供者サーバ３００や委託先／協業先サーバ４００に登録されたユーザの識別情報は、登録ごとに異なる疑似ユーザ識別情報である。疑似ユーザ識別情報を採用するのは、同一のユーザ識別情報で登録すると、異なるサービス提供者サーバ３００に登録しても、名寄せされてしまい、提供したユーザ情報やサービスの利用履歴が同一のユーザとして把握されてしまうのを避けるためである。名寄せを避けるため、サービス提供者サーバ３００や委託先／協業先サーバ４００には、疑似ユーザ識別情報の疑似ユーザとして、ユーザ登録する。

　以上で、ユーザが、サービス提供者サーバ３００が提供するサービスに登録されたことになり、ユーザはサービスを利用できるようになる。
　ステップＳ１５０において、ユーザは、ユーザ端末２００を利用してサービス提供者サーバ３００が提供するサービスを利用する。

≪ユーザエージェントの構成≫
　図３は、本実施形態に係るユーザエージェント１００の機能ブロック図である。ユーザエージェント１００は、制御部１１０、記憶部１２０、および通信部１５０を備える。通信部１５０は、ユーザ端末２００やサービス提供者サーバ３００、委託先／協業先サーバ４００などとの間で通信データの送受信を行う。

　記憶部１２０は、ＲＯＭ（Read Only Memory）やＲＡＭ（Random Access Memory）、ＳＳＤ（Solid State Drive）などの記憶デバイスから構成される。記憶部１２０には、プログラム１２１、暗号鍵１２２、登録ユーザデータベース１３０（図３では登録ユーザＤＢ（Database）と記載）、および提供済ユーザ情報データベース１４０（図３では提供済ユーザ情報ＤＢと記載）が記憶される。提供済ユーザ情報データベース１４０は、ユーザエージェント１００に登録されるユーザごとに記憶されるデータであって、１つ以上ある。
　プログラム１２１は、制御部１１０により実行されるユーザ登録処理（図２のステップＳ１２０、後記する図１０参照）やアクセス権承認処理（ステップＳ１４３、後記する図１３参照）、ユーザ情報取得処理（ステップＳ１４４、後記する図１６、図１７参照）などにおけるユーザエージェント１００の処理手順の記述を含む。
　暗号鍵１２２は、ユーザ端末２００やサービス提供者サーバ３００、委託先／協業先サーバ４００との通信における通信データの暗号化や認証のための暗号鍵である。

≪ユーザエージェントの構成：登録ユーザデータベース≫
　図４は、本実施形態に係る登録ユーザデータベース１３０のデータ構成図である。登録ユーザデータベース１３０は、ユーザエージェント１００のセキュア領域に記憶される、例えば表形式のデータであり、ユーザ端末２００のユーザに係る情報を含む。登録ユーザデータベース１３０の１つの行（レコード）は、１人のユーザまたは疑似ユーザを示し、ユーザ識別情報１３１（図４ではユーザＩＤと記載）、認証情報１３２、公開鍵１３３、秘密鍵１３４、マスターシークレット１３５、ユーザ情報１３６、および提供済ユーザ情報１３７の列（属性）を含む。

　ユーザ識別情報１３１は、ユーザまたは疑似ユーザの識別情報である。
　認証情報１３２は、ユーザ端末２００との通信において、ユーザやユーザ端末２００の認証に用いられる情報である。認証情報１３２は、例えば、ユーザ端末２００の公開鍵やユーザ認証に用いられるパスワードである。
　公開鍵１３３と秘密鍵１３４は、公開鍵暗号の鍵のペアである。
　マスターシークレット１３５は、後記する秘匿処理に用いられる情報である。

　ユーザ情報１３６は、ユーザがユーザ情報発行機関サーバ８５０から取得して、登録した１つ以上のユーザ情報である。なお、ユーザが登録された当初は、ユーザ情報１３６はユーザ情報を含まない。なお、ユーザ情報１３６は、マスターシークレット１３５を用いて秘匿された形式で記憶される（図４では可読形式で記載）。なお、ユーザ識別情報１３１が、疑似ユーザの識別情報である場合には、ユーザ情報１３６は、サービス提供者サーバ３００や委託先／協業先サーバ４００に提供されるユーザ情報を示す。
　提供済ユーザ情報１３７は、ユーザ識別情報１３１で識別されるユーザの提供済ユーザ情報データベース１４０の識別情報である。１つ以上ある提供済ユーザ情報データベース１４０のなかで、提供済ユーザ情報１３７は、当該ユーザの提供済ユーザ情報データベース１４０を示す。

　レコード１３８には、ユーザ識別情報１３１が「user73p」であり、ユーザ情報１３６には生年月日のユーザ情報が格納されている。
　レコード１３９には、疑似ユーザの情報が登録されており、認証情報１３２、マスターシークレット１３５、提供済ユーザ情報１３７が空（「Ｎ／Ａ」）となっている。

≪ユーザエージェントの構成：提供済ユーザ情報データベース≫
　図５は、本実施形態に係る提供済ユーザ情報データベース１４０のデータ構成図である。提供済ユーザ情報データベース１４０は、例えば表形式のデータであり、サービス提供者サーバ３００や委託先／協業先サーバ４００に提供されたユーザ情報に係る情報を格納している。提供済ユーザ情報データベース１４０の１つの行（レコード）は、種別１４１、ユーザ情報１４２、および提供先１４３の列（属性）を含む。

　種別１４１は、提供したユーザ情報１４２の種別である。種別としては、電子メールアドレスやＳＮＳなどのハンドルネーム、住所などがある。
　ユーザ情報１４２は、提供したユーザ情報である。
　提供先１４３は、ユーザ情報１４２の提供先であるサービス提供者サーバ３００や委託先／協業先サーバ４００の識別情報、および提供（ユーザ登録）したときの疑似ユーザ識別情報を含む。サービス提供者サーバ３００や委託先／協業先サーバ４００の識別情報に替わりに、サービス提供者サーバ３００や委託先／協業先サーバ４００を運営する事業者の識別情報（例えば「サービス提供者Ａ」など）を含めるようにしてもよい。

　レコード１４９は、「サーバＡ」には「ehd738」という疑似ユーザ識別情報でユーザ登録しており、「aaa@bb.ne.jp」という電子メールアドレスのユーザ情報を提供したことを示す。
　なお、図５記載の提供済ユーザ情報データベース１４０は、レコード１３８（図４参照）に示されるユーザ識別情報１３１が「user73p」であるユーザの提供済ユーザ情報１３７が「DB847345」である登録ユーザデータベース１３０である。レコード１４９から、当該ユーザの疑似ユーザ識別情報に「ehd738」があることがわかる。さらに、レコード１３９は、レコード１３８に示されるユーザの疑似ユーザを示していることがわかる。また、当該ユーザのユーザ情報１３６には生年月日が含まれるが、疑似ユーザとしては生年である「１９８３」のみが提供されたことがわかる。

≪ユーザエージェントの構成：制御部≫
　図３に戻って、制御部１１０は、ＣＰＵ（Central Processing Unit）を含んで構成され、鍵管理部１１１、ユーザ登録部１１２、ユーザ情報登録部１１３、ユーザ情報提供先検索部１１４、ユーザ情報提供可否判断部１１５、ユーザ情報アクセス権承認部１１６、およびユーザ情報提供部１１７を備える。
　鍵管理部１１１は、ユーザや疑似ユーザの公開鍵１３３（図４参照）および秘密鍵１３４を生成する。鍵管理部１１１は、マスターシークレット１３５や通信に用いられる暗号鍵、通信相手の認証に用いられるチャレンジ（乱数）などを生成する。また、鍵管理部１１１は、暗号鍵１２２を用いた暗号化や復号、署名などの処理を行う。

　ユーザ登録部１１２は、ユーザエージェント１００へのユーザ登録処理（後記する図１０参照）を実行する。詳しくは、ユーザ登録部１１２は、ユーザ識別情報１３１（図４参照）、認証情報１３２、公開鍵１３３、秘密鍵１３４、およびマスターシークレット１３５を生成し、登録ユーザデータベース１３０に格納して、ユーザを登録する。
　ユーザ情報登録部１１３は、ユーザ情報登録処理（後記する図１１参照）を実行する。詳しくは、ユーザ端末２００から送信されたユーザ情報を登録ユーザデータベース１３０に登録する。

　ユーザ情報提供先検索部１１４は、サービス提供者サーバ３００や委託先／協業先サーバ４００に提供済のユーザ情報を検索して、ユーザ端末２００に送信する。
　ユーザ情報提供可否判断部１１５は、サービス提供者サーバ３００へのユーザ登録にともなうユーザ情報の提供による名寄せのリスクレベルを判断する。例えば、委託先／協業先サーバ４００に電子メールアドレス「ccc@dd.com」が提供済であるとする。今回、ユーザ登録するサービス提供者サーバ３００の委託先として委託先／協業先サーバ４００が含まれているとすると、同じ「ccc@dd.com」を提供することは名寄せのリスクが高いと判断して、その旨のユーザ向けメッセージを生成する。

　ユーザ情報提供可否判断部１１５は、識別情報ではないユーザ情報について、その抽象度が低いほど、名寄せのリスクが高いと判断する。例えば住所について、「東京都」より「東京都南区」が、抽象度が低く、ユーザ情報提供可否判断部１１５は、提供した場合に名寄せのリスクが高いと判断する。また、ユーザ情報提供可否判断部１１５は、リスクのレベルが低いユーザ情報であっても、提供されるユーザ情報の数が増えるほどレベルが高くなると判断する。

　ユーザ情報アクセス権承認部１１６は、ユーザ情報の提供が許可（承認）されると、サービス提供者サーバ３００や委託先／協業先サーバ４００のサービスドキュメントに疑似ユーザの秘密鍵１３４（図４参照）を用いて署名する。この疑似ユーザの署名付きサービスドキュメントが、サービス提供者サーバ３００や委託先／協業先サーバ４００に対してユーザ情報へのアクセス権を承認したことの証明書となる。

　ユーザ情報提供部１１７は、サービス提供者サーバ３００や委託先／協業先サーバ４００の要求に応じて、ユーザ情報を提供する（後記する図１６、図１７参照）。詳しくは、ユーザ情報提供部１１７は、サービスドキュメントに付与された疑似ユーザの署名の検証に成功すると、サービス提供者サーバ３００や委託先／協業先サーバ４００にアクセス権のある、要求されたユーザ情報を確認する。次に、ユーザ情報提供部１１７は、要求されたユーザ情報に対応するユーザ情報を、ユーザ情報１３６，１４２（図４、図５参照）から取得し、要求されたユーザ情報に変換して送信する。

　例えば、サービスドキュメントに記載のユーザ情報が居住都道府県であれば、ユーザ情報提供部１１７は、住所の都道府県のみを送信するようにする。このような技術は秘匿処理とも呼ばれ、例えば、次の文献に記載がある：Jan Camenisch and Anna Lysyanskaya,"An Efficient System for Non-transferable Anonymous Credentials with Optional Anonymity Revocation," Advances in Cryptology Eurocrypt 2001, pp. 93-117。なお、秘匿処理の際にはユーザ情報提供部１１７は、マスターシークレット１３５（図４参照）を用いる。

≪ユーザ端末の構成≫
　図６は、本実施形態に係るユーザ端末２００の機能ブロック図である。ユーザ端末２００は、制御部２１０、記憶部２２０、通信部２４０、および入出力部２５０を備える。通信部２４０は、ユーザエージェント１００やサービス提供者サーバ３００、ユーザ情報発行機関サーバ８５０などとの間で通信データの送受信を行う。入出力部２５０は、ディスプレイやキーボード、マウスなどのユーザインタフェース機器とデータをやり取りする。

　記憶部２２０は、ＲＡＭやＳＳＤなどの記憶デバイスから構成される。記憶部２２０には、プログラム２２１、および暗号鍵２２２が記憶される。プログラム２２１は、制御部２１０により実行されるユーザエージェント１００へのユーザ登録処理（図２のステップＳ１２０、後記する図１０参照）やユーザ情報登録処理（ステップＳ１３０、後記する図１１参照）、サービスへのユーザ登録処理（ステップＳ１４０、後記する図１２、図１３、図１４参照）などにおけるユーザ端末２００の処理手順の記述を含む。暗号鍵２２２は、ユーザエージェント１００やサービス提供者サーバ３００、ユーザ情報発行機関サーバ８５０などとの通信における通信データの暗号化や認証のための暗号鍵である。

　制御部２１０は、ＣＰＵを含んで構成され、鍵管理部２１１、ユーザ登録部２１２、ユーザ情報登録部２１３、サービス申し込み部２１４、ユーザ情報提供依頼部２１５、およびサービスドキュメント転送部２１６を備える。
　鍵管理部２１１は、暗号鍵２２２や通信相手の認証に用いられるチャレンジ（乱数）などを生成し、暗号鍵２２２を用いた暗号化や復号、署名などの処理を行う。
　ユーザ登録部２１２は、ユーザエージェント１００へのユーザ登録処理（図２のステップＳ１２０、後記する図１０参照）を実行する。

　ユーザ情報登録部２１３は、ユーザ情報発行機関サーバ８５０からユーザ情報を取得して、ユーザエージェント１００に登録する（図２のステップＳ１３０、後記する図１１参照）。
　サービス申し込み部２１４は、サービス提供者サーバ３００にユーザのサービスへの登録申し込みを行う（図２のステップＳ１４１、後記する図１２参照）。

　ユーザ情報提供依頼部２１５は、ユーザエージェント１００にサービス提供者サーバ３００や委託先／協業先サーバ４００へのユーザ情報の提供（アクセス権承認）を依頼する（図２のステップＳ１４２、後記する図１２、図１３参照）。詳しくは、ユーザ情報提供依頼部２１５は、ユーザにユーザ情報提供の可否を問い合わせて取得する。また、ユーザ情報提供依頼部２１５は、当該ユーザ情報の提供（ユーザ情報のアクセス権承認）をユーザエージェント１００に依頼する。
　サービスドキュメント転送部２１６は、ユーザ情報のアクセス権を示す署名付きサービスドキュメントをユーザエージェント１００から取得して、サービス提供者サーバ３００に送信する（後記する図１４参照）。

≪サービス提供者サーバの構成≫
　図７は、本実施形態に係るサービス提供者サーバ３００の機能ブロック図である。なお、委託先／協業先サーバ４００もサービス提供者サーバ３００と同様の機能構成である。サービス提供者サーバ３００は、制御部３１０、記憶部３２０、および通信部３４０を備える。通信部３４０は、ユーザエージェント１００やユーザ端末２００、委託先／協業先サーバ４００などとの間で通信データの送受信を行う。

　記憶部３２０は、ＲＡＭやＳＳＤなどの記憶デバイスから構成される。記憶部３２０には、プログラム３２１、暗号鍵３２２、サービス利用者データベース３３０（図７では「サービス利用者ＤＢ」と記載、後記する図８参照）が記憶される。プログラム３２１は、制御部３１０により実行されるサービスドキュメント発行処理（図２のステップＳ１１０、後記する図９参照）やユーザエージェント１００からのユーザ情報の取得処理（ステップＳ１４４、後記する図１６参照）などにおけるサービス提供者サーバ３００の処理手順の記述を含む。暗号鍵３２２は、ユーザエージェント１００やユーザ端末２００、委託先／協業先サーバ４００などとの通信における通信データの暗号化や認証のための暗号鍵である。暗号鍵３２２は、サービス提供者サーバ３００の公開鍵と秘密鍵とを含む。

　図８は、本実施形態に係るサービス利用者データベース３３０のデータ構成図である。サービス利用者データベース３３０は、例えば表形式のデータであり、サービス提供者サーバ３００のサービスを利用するユーザ端末２００のユーザに係る情報を含む。サービス利用者データベース３３０の１つの行（レコード）は、１人のユーザを示し、ユーザ識別情報３３１（図８ではユーザＩＤと記載）、認証情報３３２、およびユーザ情報３３３を含む。

　ユーザ識別情報３３１および認証情報３３２は、ユーザがサービスを利用する際の識別情報および認証情報である。なお、サービス提供者サーバ３００に登録されるユーザは、疑似ユーザであり、ユーザ識別情報３３１には、疑似ユーザ識別情報が格納される。
　ユーザ情報３３３は、ユーザエージェント１００から取得されたユーザ情報である。
　レコード３３９のユーザ識別情報１３１は「ehd738」であり、ユーザ情報３３３には生年のユーザ情報が登録されている。なお、レコード３３９のユーザは、レコード１３９（図４参照）と同一の疑似ユーザである。

　図７に戻って、制御部３１０は、ＣＰＵを含んで構成され、鍵管理部３１１、サービスドキュメント登録部３１２、ユーザ登録部３１３、ユーザ情報取得部３１４、および関連サービスドキュメント転送部３１５を備える。
　鍵管理部３１１は、暗号鍵３２２や通信相手の認証に用いられるチャレンジ（乱数）などを生成し、暗号鍵３２２を用いた暗号化や復号、署名などの処理を行う。
　サービスドキュメント登録部３１２は、サービスドキュメントを発行して分散型台帳８１０に登録する（図２記載のステップＳ１１０、後記する図９参照）を実行する。

　ユーザ登録部３１３は、ユーザのサービスへの登録申し込みに対応した処理を行う（ステップＳ１４１、後記する図１２参照）。
　ユーザ情報取得部３１４（ユーザ情報要求部、関連ユーザ情報要求部）は、署名付きサービスドキュメントをユーザエージェント１００に提示して、ユーザ情報を取得し、サービス利用者データベース３３０のユーザのレコードに登録する（ステップＳ１４４、後記する図１６参照）。
　関連サービスドキュメント転送部３１５は、ユーザ端末２００から取得した疑似ユーザ識別情報やサービス提供者サーバ３００の署名付きサービスドキュメント、委託先／協業先サーバ４００の署名付きサービスドキュメントを委託先／協業先サーバ４００に転送する（後記する図１４参照）。

≪サービスドキュメントの発行処理≫
　図９は、本実施形態に係るサービス提供者サーバ３００のサービスドキュメント発行処理のシーケンス図である。図９を参照しながらステップＳ１１０（図２参照）の処理内容を説明する。
　ステップＳ２０１においてサービス提供者サーバ３００の鍵管理部３１１は、公開鍵と秘密鍵のペアを生成し、暗号鍵３２２に格納する。

　ステップＳ２０２においてサービス提供者サーバ３００のサービスドキュメント登録部３１２は、サービスドキュメントを生成する。詳しくは、サービスドキュメント登録部３１２は、サービス提供者サーバ３００の識別情報を生成する。次に、サービスドキュメント登録部３１２は、この識別情報と、ステップＳ２０１で生成した公開鍵と、ユーザ情報種別とを含むサービスドキュメントを生成する。ユーザ情報種別とは、サービス提供者サーバ３００がユーザにサービスを提供するのに必要なユーザ情報の種別であって、ユーザ登録時やサービス利用時に取得するユーザ情報の種別である。サービスドキュメントには、ユーザ情報の流通先として、委託先／協業先サーバ４００の識別情報が含まれる。また、サービスドキュメントは、サービス提供者サーバ３００のロケーションが含まれてもよい。

　ステップＳ２０３においてサービスドキュメント登録部３１２は、ステップＳ２０２で生成したサービスドキュメントを分散型台帳８１０に登録する。
　図９と同様にして委託先／協業先サーバ４００もサービスドキュメントを生成して分散型台帳８１０に登録する。

≪ユーザエージェントへのユーザ登録処理≫
　図１０は、本実施形態に係るユーザのユーザエージェント１００へのユーザ登録処理のシーケンス図である。図１０を参照しながらステップＳ１２０（図２参照）の処理内容を説明する。なお、ユーザ端末２００とユーザエージェント１００との間の通信は暗号化されており、ユーザ端末２００は通信相手であるユーザエージェント１００を認証しているものとする。

　ステップＳ２１１においてユーザ端末２００のユーザ登録部２１２は、ユーザエージェント１００にユーザ登録を要求する。
　ステップＳ２１２においてユーザエージェント１００のユーザ登録部１１２は、ユーザの識別情報（ユーザ識別情報）、認証情報、公開鍵と秘密鍵のペア、マスターシークレットを生成する。次にユーザ登録部１１２は、登録ユーザデータベース１３０にレコードを追加し、生成したユーザの識別情報、認証情報、公開鍵、秘密鍵、およびマスターシークレットを、追加したレコードのユーザ識別情報１３１、認証情報１３２、公開鍵１３３、秘密鍵１３４、およびマスターシークレット１３５にそれぞれ格納する。認証情報は、このユーザ登録処理以降にユーザ端末２００がユーザエージェント１００にアクセスするときに使われるユーザ端末２００の認証情報である。

　ステップＳ２１３においてユーザ登録部１１２は、空の提供済ユーザ情報データベース１４０を生成する。次に、ユーザ登録部１１２は、提供済ユーザ情報データベース１４０の識別情報を、ステップＳ２１２で追加したレコードの提供済ユーザ情報１３７に格納する。
　ステップＳ２１４においてユーザ登録部１１２は、ステップＳ２１２で生成したユーザ識別情報および認証情報をユーザ端末２００に送信して、ユーザ登録が完了したことを通知する。ユーザ端末２００は、ユーザ識別情報および認証情報を記憶部２２０に格納する。以降、ユーザ端末２００がユーザエージェント１００にアクセスするときには、この認証情報を用いる。

≪ユーザ情報の登録処理≫
　図１１は、本実施形態に係るユーザ情報登録処理のシーケンス図である。図１１を参照しながらステップＳ１３０（図２参照）の処理内容を説明する。なお、図１１の処理において、ユーザ端末２００とユーザ情報発行機関サーバ８５０との通信は暗号化され、相互に相手を認証しているものとする。
　ステップＳ２３１においてユーザ端末２００のユーザ情報登録部２１３は、ユーザ情報発行機関サーバ８５０にユーザ情報の発行を要求する。要求には、発行されるユーザ情報の種別が含まれる。

　ステップＳ２３２においてユーザ情報発行機関サーバ８５０は、ユーザ情報を生成してユーザ端末２００に送信する。
　ステップＳ２３３においてユーザ情報登録部２１３は、ステップＳ２３２で受信したユーザ情報をユーザエージェント１００に送信する。

　ステップＳ２３４においてユーザエージェント１００のユーザ情報登録部１１３は、ステップＳ２３３において受信したユーザ情報を登録ユーザデータベース１３０に格納する。詳しくは、ユーザ情報登録部１１３は、ユーザ端末２００のユーザに対応する登録ユーザデータベース１３０（図４参照）のレコードを特定する。次に、ユーザ情報登録部１１３は、ステップＳ２３３で受信したユーザ情報をユーザ情報１３６に追加する。
　ステップＳ２３５においてユーザ情報登録部１１３は、登録が完了したことをユーザ端末２００に通知する。

≪ユーザのサービスへの登録処理≫
　図１２は、本実施形態に係るユーザのサービスへの登録処理のシーケンス図（１）である。図１３は、本実施形態に係るユーザのサービスへの登録処理のシーケンス図（２）である。図１４は、本実施形態に係るユーザのサービスへの登録処理のシーケンス図（３）である。図１２～図１４を参照しながらステップＳ１４１～Ｓ１４３（図２参照）の処理内容を説明する。なお、図１２～図１８では、サービス提供者サーバ３００および委託先／協業先サーバ４００を、それぞれサービス提供者および委託先／協業先と略記する場合もある。

　ステップＳ３０１においてユーザ端末２００のサービス申し込み部２１４は、サービス提供者サーバ３００にユーザのサービスへの登録を申し込む。
　ステップＳ３０２においてサービス提供者サーバ３００のユーザ登録部３１３は、委託先／協業先サーバ４００から委託先／協業先サーバ４００の識別情報を取得する。
　ステップＳ３０３においてユーザ登録部３１３は、ステップＳ３０２において取得した識別情報をもとに分散型台帳８１０から委託先／協業先サーバ４００のサービスドキュメントを取得する。

　ステップＳ３０４においてユーザ登録部３１３は、委託先／協業先サーバ４００に鍵管理部３１１が生成したチャレンジ（乱数）を送信する。
　ステップＳ３０５において委託先／協業先サーバ４００の鍵管理部（図７記載の鍵管理部３１１参照）は、自身の秘密鍵（サービスドキュメントにある公開鍵に対応する秘密鍵）を用いてチャレンジに対する署名を生成し、署名付きのチャレンジをサービス提供者サーバ３００に送信する。
　なお、図面で「｛データ｝主体の署名」と記した場合、サービス提供者サーバ３００やユーザなど「主体」の秘密鍵を用いて生成された署名が付与された「データ」を示す。例えば、「｛チャレンジ｝委託先／協業先の署名」は、委託先／協業先サーバ４００の秘密鍵を用いて生成された署名が付与されたチャレンジを示す。

　ステップＳ３０６においてユーザ登録部３１３は、ステップＳ３０３で取得したサービスドキュメントに含まれる委託先／協業先サーバ４００の公開鍵を用いて、ステップＳ３０５で取得したチャレンジの署名を検証する。検証に成功することで、サービス提供者サーバ３００は、委託先／協業先サーバ４００を認証したことになる。検証に失敗したときには、ユーザ登録部３１３は、ユーザ端末２００にエラーを通知し、図１２の処理を中止する。以下では、認証に成功したものとして説明を続ける。

　ステップＳ３０７においてユーザ登録部３１３は、鍵管理部３１１に依頼して委託先／協業先サーバ４００の識別情報に自身の秘密鍵で署名する。
　ステップＳ３０８においてユーザ登録部３１３は、署名付きの委託先／協業先サーバ４００の識別情報、およびサービス提供者サーバ３００の識別情報をユーザ端末２００に送信する。

　ステップＳ３０９においてユーザ端末２００のサービス申し込み部２１４は、ステップＳ３０８において受信した識別情報をもとに分散型台帳８１０から委託先／協業先サーバ４００およびサービス提供者サーバ３００のサービスドキュメントを取得する。
　ステップＳ３１０においてサービス申し込み部２１４は、サービス提供者サーバ３００に鍵管理部２１１（図６参照）が生成したチャレンジ（乱数）を送信する。
　ステップＳ３１１においてサービス提供者サーバ３００の鍵管理部３１１（図７参照）は、自身の秘密鍵（サービスドキュメントにある公開鍵に対応する秘密鍵）を用いてチャレンジに対する署名を生成し、署名付きのチャレンジをユーザ端末２００に送信する。

　ステップＳ３１２においてサービス申し込み部２１４は、ステップＳ３１１で取得したチャレンジに付与されたサービス提供者サーバ３００の署名を、ステップＳ３０９で取得したサービス提供者サーバ３００のサービスドキュメントに含まれる公開鍵を用いて検証する。この検証が成功することで、ユーザ端末２００は、サービス提供者サーバ３００を認証したことになる。
　続いて、サービス申し込み部２１４は、ステップＳ３０８で取得した委託先／協業先サーバ４００の識別情報に付与されたサービス提供者サーバ３００の署名を検証する。検証に成功することで、サービス提供者サーバ３００の委託先として委託先／協業先サーバ４００が存在し、委託先／協業先サーバ４００の真正な識別情報を得たことが確認できる。
　何れかの署名の検証に失敗したときには、サービス申し込み部２１４は、サービス提供者サーバ３００にエラーを通知し、図１２の処理を中止する。以下では、署名の検証に成功したものとして説明を続ける。
　以上のステップＳ３０１～Ｓ３１２の処理が、ステップＳ１４１（図２記載）の登録申し込みの処理に対応する。

　図１３に移って、ステップＳ３２１においてユーザ端末２００のユーザ情報提供依頼部２１５は、ユーザに問い合わせてユーザ情報提供の可否を取得する。詳しくは、ユーザ情報提供依頼部２１５は、ステップＳ３０９（図１２参照）で取得したサービスドキュメントに記載されているユーザ情報の種別（ユーザ情報種別）を表示して、サービス提供者サーバ３００および委託先／協業先サーバ４００が求めるユーザ情報の提供の可否（アクセスを承認するか否か）をユーザに問い合わせる。不可の場合には、ユーザ情報提供依頼部２１５は、サービス提供者サーバ３００にエラーを通知し、図１３の処理を中止する。以下の説明では、承認されたものとする。

　ステップＳ３２２においてユーザ情報提供依頼部２１５は、サービス提供者サーバ３００および委託先／協業先サーバ４００のサービスドキュメントをユーザエージェント１００に送信する。サービスドキュメントを送信することで、ユーザ端末２００はユーザエージェント１００に、サービス提供者サーバ３００や委託先／協業先サーバ４００に提供済のユーザ情報を要求することになる。

　ステップＳ３２３においてユーザエージェント１００のユーザ情報提供先検索部１１４は、提供済のユーザ情報を検索する。詳しくは、ユーザ情報提供先検索部１１４は、ユーザエージェント１００のユーザに係る提供済ユーザ情報データベース１４０（図５参照）のレコードなかで、ステップＳ３２２で取得したサービスドキュメントに含まれるサービス提供者サーバ３００や委託先／協業先サーバ４００の識別情報を提供先１４３に含むレコードを検索する。当該レコードのユーザ情報１４２が提供済のユーザ情報である。

　ステップＳ３２４においてユーザ情報提供可否判断部１１５は、提供済ユーザ情報と登録済みのユーザ情報（図４記載のユーザ情報１３６、図１１参照）とメッセージとをユーザ端末２００に送信する。詳しくは、ユーザ情報提供可否判断部１１５は、ステップＳ３２３で取得したサービス提供者サーバ３００に提供済のユーザ情報と、ステップＳ３２２で取得したサービス提供者サーバ３００のサービスドキュメントに含まれるユーザ情報種別に対応する秘匿化（抽象化）されたユーザ情報をユーザ端末２００に送信する。また、ユーザ情報提供可否判断部１１５は、委託先／協業先サーバ４００についても同様に、提供済のユーザ情報とユーザ情報を送信する。
　メッセージは、ユーザ情報提供可否判断部１１５が生成したメッセージであって、後記する提供ユーザ情報確認画面６００（後記する図１５参照）に表示されるユーザ向けのメッセージである。メッセージは、名寄せのリスクに関する情報を含む。

　ステップＳ３２５においてユーザ端末２００のユーザ情報提供依頼部２１５は、ユーザに問い合わせて、サービス提供者サーバ３００や委託先／協業先サーバ４００へのユーザ情報提供の可否を取得する。ユーザ情報提供依頼部２１５は、後記する提供ユーザ情報確認画面６００（後記する図１５参照）を入出力部２５０に接続されるディスプレイ（不図示）に表示してユーザ情報提供を問い合わせる。
　なお、ステップＳ３２１では、ユーザ情報提供依頼部２１５はユーザ情報種別を表示して、当該ユーザ情報種別に対応するユーザ情報の提供の可否を問い合わせる。これに対して、ステップＳ３２５では、ユーザ情報提供依頼部２１５はユーザ情報そのものを表示して、当該ユーザ情報の提供の可否を問い合わせる。

　図１５は、本実施形態に係る提供ユーザ情報確認画面６００の構成図である。提供ユーザ情報確認画面６００の中央には、ステップＳ３２４で取得済みの提供済ユーザ情報や登録済みのユーザ情報を含む提供ユーザ情報一覧６１０が表示される。図１５記載の提供ユーザ情報一覧６１０は、サービス提供者サーバ３００には名前、住所、生年月日が提供され、委託先／協業先サーバ４００には名前、生年月日が提供されることを示している。また、委託先／協業先サーバ４００には、住所と生年月日とが提供済であることを示している。

　提供ユーザ情報一覧６１０の下にある「委託先Ｂは、あなたが・・・」というテキスト６２０は、ステップＳ３２４においてユーザ情報提供先検索部１１４が送信したメッセージである。ユーザエージェント１００のユーザ情報提供可否判断部１１５は、委託先／協業先サーバ４００にユーザ情報が提供済であって、今回のサービスへのユーザ登録処理（図１２～図１４参照）において、さらに、提供済ユーザ情報と同一のユーザ情報を提供する場合には、名寄せのリスクがあるというメッセージを生成する。また、同一のユーザ情報でなくても、「東京都」と「東京都南区」のように粒度（抽象度）の異なる場合であっても、名寄せのリスクがあるというメッセージを生成する（ステップＳ３２４参照）。ユーザ情報提供可否判断部１１５は、サービス提供者サーバ３００に提供するユーザ情報についても同様にメッセージを生成する。

　ユーザは、提供ユーザ情報一覧６１０とテキスト６２０とを参照して、ユーザ情報を提供するか否かを決定する。ユーザは、提供する場合には「提供する」ボタン６３１を押下し、提供しない場合には「提供しない」ボタン６３２を押下する。
　「提供しない」ボタン６３２が押下された場合には、ユーザ情報提供依頼部２１５は、ユーザエージェント１００に処理中止を通知して、図１３の処理を中止する。以下、「提供する」ボタン６３１が押下されたとして説明を続ける。

　図１３に戻って、ステップＳ３２６においてユーザ情報提供依頼部２１５は、サービスドキュメントへの署名を依頼する。この依頼には、サービス提供者サーバ３００および委託先／協業先サーバ４００それぞれに提供を許可するユーザ情報（提供許可ユーザ情報）が含まれていてもよい。サービスドキュメントへの署名を依頼するということは、ユーザ（ユーザ端末２００）が、サービス提供者サーバ３００や委託先／協業先サーバ４００にユーザ情報の提供を許可した、換言すれば、アクセス権を承認したことを示す。
　以上のステップＳ３２１～Ｓ３２６の処理が、ステップＳ１４２（図２記載）のユーザ情報提供依頼の処理に対応する。

　ステップＳ３２７においてユーザ情報アクセス権承認部１１６は、疑似ユーザ識別情報を生成する。この疑似ユーザ識別情報は、サービス提供者サーバ３００や委託先／協業先サーバ４００に登録されるユーザ識別情報である（図８記載のユーザ識別情報３３１参照）。ユーザ情報アクセス権承認部１１６は、登録ユーザデータベース１３０（図４）に新しいレコードを追加し、生成した疑似ユーザ識別情報をユーザ識別情報１３１に格納する。また、提供するユーザ情報をユーザ情報１３６に格納する。続いて、ユーザ端末２００のユーザに対応する提供済ユーザ情報データベース１４０に新しいレコードを追加する。ユーザ情報アクセス権承認部１１６は、当該レコードの提供先１４３に、提供先（サービス提供者サーバ３００ないしは委託先／協業先サーバ４００の識別情報）と疑似ユーザ識別情報とを格納する。また、ユーザ情報アクセス権承認部１１６は、当該レコードのユーザ情報１４２と種別１４１とに、提供するユーザ情報とその種別とをそれぞれ格納する。

　なお、このユーザ情報１４２は、登録ユーザデータベース１３０（図４参照）に格納される、ユーザのレコードに格納されるユーザ情報１３６に含まれ、サービスドキュメント（ステップＳ３２２参照）に含まれるユーザ情報種別に対応したユーザ情報を、サービスドキュメントに含まれるユーザ情報種別に応じて変換し（粒度を粗くして／抽象化し）秘匿化（anonymous化）したユーザ情報である。例えば、サービスドキュメントに含まれるユーザ情報が居住都道府県ならば、ユーザ情報１３６にある番地まで含んだ住所が都道府県のみの住所に秘匿化される。なお、このユーザ情報種別に応じてユーザ情報を変換し秘匿化する処理は、ユーザ情報提供部１１７が行う。

　ステップＳ３２８においてユーザ情報アクセス権承認部１１６は、鍵管理部１１１に依頼して公開鍵と秘密鍵とを生成する。次に、ユーザ情報アクセス権承認部１１６は、ステップＳ３２７において登録ユーザデータベース１３０に追加したレコードの公開鍵１３３と秘密鍵１３４とにそれぞれ格納する。この公開鍵と秘密鍵とは、疑似ユーザ識別情報に対応した公開鍵と秘密鍵である。続いて、ユーザ情報アクセス権承認部１１６は、ステップＳ３２２で取得したサービスドキュメントに、疑似ユーザ識別情報に対応した秘密鍵で署名する。

　ステップＳ３２９においてユーザ情報アクセス権承認部１１６は、疑似ユーザ識別情報、署名が付与されたサービス提供者サーバ３００のサービスドキュメント、および署名が付与された委託先／協業先サーバ４００のサービスドキュメントをユーザ端末２００に送信する。

　図１４に移って、ステップＳ３３０においてユーザ端末２００のサービスドキュメント転送部２１６は、ステップＳ３２９で受信した疑似ユーザ識別情報、署名が付与されたサービス提供者サーバ３００のサービスドキュメント、および署名が付与された委託先／協業先サーバ４００のサービスドキュメントをサービス提供者サーバ３００に送信する。疑似ユーザ識別情報を受信すると、サービス提供者サーバ３００のユーザ登録部３１３は、自身が記憶するサービス利用者データベース３３０に新しいレコードを追加する。次に、ユーザ登録部３１３は、受信した疑似ユーザ識別情報をユーザ識別情報３３１に格納する。

　ステップＳ３３１においてサービス提供者サーバ３００の関連サービスドキュメント転送部３１５は、ステップＳ３３０で受信した疑似ユーザ識別情報、署名が付与されたサービス提供者サーバ３００のサービスドキュメント、および署名が付与された委託先／協業先サーバ４００のサービスドキュメントを委託先／協業先サーバ４００に送信する。疑似ユーザ識別情報を受信すると、委託先／協業先サーバ４００のユーザ登録部３１３は、自身が記憶するサービス利用者データベース３３０に新しいレコードを追加する。次に、ユーザ登録部３１３は、受信した疑似ユーザ識別情報をユーザ識別情報３３１に格納する。

　この時点で、サービス提供者サーバ３００および委託先／協業先サーバ４００は、疑似ユーザの署名が付与された自身のサービスドキュメントをそれぞれ有している。サービスドキュメントには、サービス提供者サーバ３００または委託先／協業先サーバ４００の識別情報と、公開鍵と、要求するユーザ情報種別とが含まれており、これらに疑似ユーザの署名が付与されている。このため、署名付きのサービスドキュメントを参照するユーザエージェント１００は、当該公開鍵で認証されるサービス提供者サーバ３００または委託先／協業先サーバ４００について、ユーザ端末２００のユーザがユーザ情報へのアクセス権を許可したことが確認できる。
　以上のステップＳ３２７～Ｓ３３１の処理が、ステップＳ１４３（図２記載）のアクセス権の承認の処理に対応する。

≪ユーザ情報の取得処理≫
　図１６は、本実施形態に係るサービス提供者サーバ３００のユーザ情報取得処理のシーケンス図である。図１６を参照しながらサービス提供者サーバ３００のステップＳ１４４（図２参照）の処理内容を説明する。
　ステップＳ３４１においてサービス提供者サーバ３００のユーザ情報取得部３１４は、疑似ユーザ識別情報と疑似ユーザの署名が付与された自身のサービスドキュメントとをユーザエージェント１００に送信する。

　ステップＳ３４２においてユーザエージェント１００のユーザ情報提供部１１７は、サービス提供者サーバ３００に鍵管理部１１１が生成したチャレンジ（乱数）を送信する。
　ステップＳ３４３においてサービス提供者サーバ３００の鍵管理部３１１（図７参照）は、自身の秘密鍵（サービスドキュメントにある公開鍵に対応する秘密鍵）を用いてチャレンジに対する署名を生成し、署名付きのチャレンジをユーザエージェント１００に送信する。

　ステップＳ３４４においてユーザエージェント１００のユーザ情報提供部１１７は、ステップＳ３４１で受信した署名付きサービスドキュメントの署名を検証する。検証には、登録ユーザデータベース１３０（図３参照）に含まれるレコードで、ユーザ識別情報１３１がステップＳ３４１で受信した疑似ユーザ識別情報であるレコードの公開鍵１３３を用いる。次に、ユーザ情報提供部１１７は、ステップＳ３４１で受信した署名付きのサービスドキュメントに含まれる公開鍵を用いて、チャレンジに付与された署名を検証する。この検証に成功することでユーザ情報提供部１１７は、サービス提供者サーバ３００を認証する。この２つの署名検証に成功することで、ユーザ情報提供部１１７は、サービス提供者サーバ３００がユーザ情報へのアクセス権があることを確認できる。何れかの署名検証に失敗した場合には、ユーザ情報提供部１１７は、サービス提供者サーバ３００にエラーを通知して、図１６の処理を終える。

　ステップＳ３４５においてユーザ情報提供部１１７は、秘匿化したユーザ情報をサービス提供者サーバ３００に送信する。詳しくは、ユーザ情報提供部１１７は、サービスドキュメントに含まれるユーザ情報（ユーザ情報種別）に対応するユーザ情報をユーザ情報１４２（図５、図１３記載のステップＳ３２７参照）から取得する。
　ステップＳ３４６においてサービス提供者サーバ３００のユーザ情報取得部３１４は、受信したユーザ情報をサービス利用者データベース３３０（図８参照）のユーザ情報３３３に格納する。詳しくは、ユーザ情報取得部３１４は、サービス利用者データベース３３０のなかで疑似ユーザ識別情報に対応するレコードのユーザ情報３３３に受信したユーザ情報を格納する。

　ステップＳ３４７においてユーザ情報提供部１１７は、ユーザ情報提供履歴（提供履歴）を分散型台帳８１０に登録する。詳しくは、ユーザ情報提供部１１７は、日時、サービス提供者サーバ３００の識別情報、取得されたユーザ情報の種別（サービスドキュメントに記載のユーザ情報（ユーザ情報種別）で、例えば居住都道府県など）、疑似ユーザ識別情報を含む履歴を登録する。

　図１７は、本実施形態に係る委託先／協業先サーバ４００のユーザ情報取得処理のシーケンス図である。図１７の処理は、図１６の処理においてサービス提供者サーバ３００を委託先／協業先サーバ４００に置き換えた処理とほぼ同様である。以下、図１６の処理と異なる点を説明する。
　ステップＳ３５１において委託先／協業先サーバ４００のユーザ情報取得部３１４は、ステップＳ３３１（図１４参照）で受信した疑似ユーザ識別情報、署名が付与されたサービス提供者サーバ３００のサービスドキュメント、および署名が付与された委託先／協業先サーバ４００のサービスドキュメントを委託先／協業先サーバ４００に送信する。

　ステップＳ３５４においてユーザエージェント１００のユーザ情報提供部１１７は、ステップＳ３４４と同様にして、ステップＳ３５１で受信した２つのサービスドキュメントの署名と、ステップＳ３５３で受信したチャレンジの署名とを検証する。さらに、サービス提供者サーバ３００のサービスドキュメントに委託先／協業先として、委託先／協業先サーバ４００の識別情報が含まれることを確認する。この３つの署名の検証と識別情報の確認に成功することで、ユーザ情報提供部１１７は、委託先／協業先サーバ４００が、サービス提供者サーバ３００の委託先／協業先であり、ユーザ情報へのアクセス権があることを確認できる。

≪ユーザ情報管理システムの特徴≫
　ユーザ情報管理システム１０において、サービス提供者サーバ３００のサービスドキュメントには、サービス提供者サーバ３００の識別情報、公開鍵の他に、サービス提供に必要なユーザ情報の種別が含まれる。ユーザは、サービス提供者サーバ３００にユーザ登録する（ユーザのサービスへの登録を申し込む）際に、サービスドキュメントに記載されるユーザ情報（ユーザ情報種別）へのサービス提供者サーバ３００によるアクセスの可否を判断する（図１３のステップＳ３２１参照）。アクセス可であるならば、ユーザ端末２００は、サービスドキュメントをユーザエージェント１００に送信する（ステップＳ３２２参照）。

　ユーザは、ユーザエージェント１００が検索した提供済のユーザ情報（ステップＳ３２３，Ｓ３２４参照）を参照し、名寄せのリスクを含めてユーザ情報提供可否を判断する（ステップＳ３２５、図１５記載の提供ユーザ情報確認画面６００参照）。提供可ならば、ユーザエージェント１００は、疑似ユーザ情報を生成し、疑似ユーザの秘密鍵を用いてサービスドキュメントに署名する（ステップＳ３２８参照）。また、ユーザエージェント１００は、秘匿化（抽象化）されたユーザ情報を提供するユーザ情報として、提供済ユーザ情報データベース１４０に格納しておく（ステップＳ３２７参照）。なお、署名付きサービスドキュメントは、サービス提供者サーバ３００や委託先／協業先サーバ４００にユーザ情報へのアクセス権がある（承認された）ことを示している。

　署名付きサービスドキュメントとともに、サービス提供者サーバ３００や委託先／協業先サーバ４００からユーザ情報の要求があると、ユーザエージェント１００は、サービスドキュメントの署名を検証してアクセス権があることを確認（ステップＳ３４４，Ｓ３５４参照）した後に、格納してあったユーザ情報を送信する。
　サービス提供者サーバ３００に提供されて登録されるユーザの識別情報は、疑似ユーザ識別情報である（図１４、図１６、図１７参照）。疑似ユーザ識別情報は、サービスへのユーザ登録ごとに生成されており（図１３記載のステップＳ３２７参照）、ユーザ識別情報による名寄せを回避している。

　さらに、ユーザエージェント１００は、サービスドキュメントに署名する前に、サービス提供者サーバ３００や委託先／協業先サーバ４００に提供済のユーザ情報、および名寄せのリスクをユーザに提供して、提供の可否を問い合わせる（ステップＳ３２４，Ｓ３２５、図１５参照）。ユーザは、名寄せのリスクの有無やリスクの大きさ（レベル）を考慮したうえで、ユーザ情報提供の可否を判断できるようになる。結果として、ユーザ識別情報を用いた名寄せを避けたうえに、さらに、ユーザ情報を用いた名寄せの可能性を低減している。なお、提供されるユーザ情報は、秘匿化（抽象化）されており、より一層名寄せの可能性を低減している。このため、ユーザが承知していない名寄せによるプライバシ侵害を削減することができるようになる。

≪変形例：提供するユーザ情報の選択≫
　上記した実施形態における提供ユーザ情報確認画面６００（図１５参照）では、ユーザは、ユーザ情報を提供するか否かを選択している。これに対して、同じ種別のユーザ情報が複数ある場合に、ユーザが提供するユーザ情報を選択できるようにしてもよい。
　図１８は、本実施形態の変形例に係る提供ユーザ情報確認画面６００Ａの構成図である。提供ユーザ情報一覧６１０（図１５参照）と比較して提供ユーザ情報一覧６１０Ａには、「提供可否」の欄（列）が備えられている。１つのユーザ情報の種別に対して複数のユーザ情報がある場合に、「提供可否」の欄にチェックを入れることで、ユーザは、提供するユーザ情報（提供許可ユーザ情報、サービス提供者サーバ提供許可ユーザ情報、関連サービス提供者サーバ提供許可ユーザ情報とも記す）を選択できるようになる。ユーザ端末２００は、当該ユーザ情報をユーザエージェント１００に送信してサービスドキュメントへの署名を依頼する（図１３のステップＳ３２６参照）。このようにすることで、ユーザは、名寄せのリスクを下げる複数の手段（選択可能なユーザ情報）から、自身が所望する手段を選択できるようになる。

≪変形例：委託先／協業先の確認≫
　上記した実施形態では、ステップＳ３５４（図１７参照）においてユーザエージェントが、サービス提供者サーバ３００のサービスドキュメントに委託先／協業先サーバ４００が委託先／協業先として含まれていることを確認している。これに限らず、他のタイミングで確認するようにしてもよい。例えば、ステップＳ３１２（図１２参照）においてユーザ端末２００が確認してもよい。または、ユーザエージェント１００が、ステップＳ３２２（図１３参照）においてサービスドキュメントの受信後や、ステップＳ３２６においてに署名依頼の受信後に確認してもよい。

≪その他変形例≫
　なお、本発明は、上記した実施形態に限定されることなく、その趣旨を逸脱しない範囲で変更することができる。例えば、上記した実施形態では、サービス提供者サーバ３００および委託先／協業先サーバ４００の２つのサーバにユーザ情報を提供しているが、３つ以上のサーバ、ないしはサービス提供者サーバ３００の１つのサーバにユーザ情報を提供する形態であってもよい。過去にサービス提供者としてのサーバＡと委託先としてのサーバＢとにユーザ情報を提供し、新たにサービス提供者としてのサーバＢにユーザ情報を提供する場合であっても、名寄せのリスクを考慮してユーザ情報を提供することができるようになる。

　上記した実施形態では、疑似ユーザの秘密鍵による署名が付与されたサービス提供者サーバ３００のサービスドキュメントは、ユーザエージェント１００からユーザ端末２００を介して、サービス提供者サーバ３００に送られている。また、委託先／協業先サーバ４００のサービスドキュメントは、ユーザ端末２００とサービス提供者サーバ３００とを介して、ユーザエージェント１００から委託先／協業先サーバ４００に送られている。サービスドキュメントは、他の経路で送られてもよい。例えば、ユーザエージェント１００から直接にサービス提供者サーバ３００や委託先／協業先サーバ４００に送られてもよい。

　上記した実施形態では、提供ユーザ情報確認画面６００，６００Ａに表示されるテキスト６２０，６２０Ａは、ユーザエージェント１００が生成する（図１３記載のステップＳ３２４参照）。ユーザエージェント１００に替わり、ステップＳ３２４で受信した提供済ユーザ情報やユーザ情報に基づいてユーザ端末２００がテキスト６２０，６２０Ａを生成するようにしてもよい。

　ステップＳ３１２（図１２）、ステップＳ３４４（図１６）、ステップＳ３５４（図１７）において、複数の署名やサービスドキュメントに含まれる委託先／協業先を検証しているが、検証の順序に特に制約はない。例えば、ステップＳ３５４においてユーザ情報提供部１１７は、２つのサービスドキュメントの署名と、ステップＳ３５３で受信したチャレンジの署名と、サービス提供者サーバ３００のサービスドキュメントに委託先／協業先として委託先／協業先サーバ４００の識別情報が含まれることとを確認するが、これらの順番には、特に制約はない。

　以上、本発明のいくつかの実施形態について説明したが、これらの実施形態は、例示に過ぎず、本発明の技術的範囲を限定するものではない。本発明はその他の様々な実施形態を取ることが可能であり、さらに、本発明の要旨を逸脱しない範囲で、省略や置換等種々の変更を行うことができる。これら実施形態やその変形は、本明細書等に記載された発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。

≪ハードウェア構成≫
　図１９は、本実施形態に係るユーザエージェント１００の機能を実現するコンピュータ９００の一例を示すハードウェア構成図である。本実施形態に係るユーザエージェント１００は、例えば図１９に示すような構成のコンピュータ９００によって実現される。コンピュータ９００は、ＣＰＵ９０１、ＲＯＭ９０２、ＲＡＭ９０３、ＳＳＤ９０４、入出力インターフェイス９０５（図１９ではI/O I/F（Input/Output Interface）と記載）、通信インターフェイス９０６、およびメディアインターフェイス９０７を備える。

　ＣＰＵ９０１は、ＲＯＭ９０２またはＳＳＤ９０４に記憶されたプログラムに基づき作動し、図３の制御部１１０による制御を行う。ＲＯＭ９０２は、コンピュータ９００の起動時にＣＰＵ９０１により実行されるブートプログラムや、コンピュータ９００のハードウェアに係るプログラムなどを記憶する。
　ＣＰＵ９０１は、入出力インターフェイス９０５を介して、マウスやキーボードなどの入力装置９１０、およびディスプレイやプリンタなどの出力装置９１１を制御する。ＣＰＵ９０１は、入出力インターフェイス９０５を介して、入力装置９１０からデータを取得するともに、生成したデータを出力装置９１１へ出力する。

　ＳＳＤ９０４は、ＣＰＵ９０１により実行されるプログラムおよび当該プログラムによって使用されるデータなどを記憶する。通信インターフェイス９０６は、通信網を介して不図示の他の装置（例えば、ユーザ端末２００やサービス提供者サーバ３００など）からデータを受信してＣＰＵ９０１へ出力し、また、ＣＰＵ９０１が生成したデータを、通信網を介して他の装置へ送信する。

　メディアインターフェイス９０７は、記録媒体９１２に格納されたプログラムまたはデータを読み取り、ＲＡＭ９０３を介してＣＰＵ９０１へ出力する。ＣＰＵ９０１は、プログラムを、メディアインターフェイス９０７を介して記録媒体９１２からＲＡＭ９０３上にロードし、ロードしたプログラムを実行する。記録媒体９１２は、ＤＶＤ（Digital Versatile Disk）などの光学記録媒体、ＭＯ（Magneto Optical disk）などの光磁気記録媒体、磁気記録媒体、導体メモリテープ媒体または半導体メモリなどである。

　例えば、コンピュータ９００が本実施形態に係るユーザエージェント１００として機能する場合、コンピュータ９００のＣＰＵ９０１は、ＲＡＭ９０３上にロードされたプログラム１２１（図３参照）を実行することにより、ユーザエージェント１００の機能を実現する。ＣＰＵ９０１は、プログラムを記録媒体９１２から読み取って実行する。この他、ＣＰＵ９０１は、他の装置から通信網を介してプログラムを読み込んでもよいし、記録媒体９１２からＳＳＤ９０４にプログラム１２１をインストールして実行してもよい。

≪効果≫
　以下に、ユーザ情報管理システム１０の効果を説明する。
　本実施形態に係るユーザ情報管理システム１０は、ユーザが利用するユーザ端末２００と、ユーザエージェント１００と、サービス提供者サーバ３００とを含めて構成されるユーザ情報管理システム１０であって、ユーザエージェント１００は、ユーザのユーザ識別情報１３１と、当該ユーザのユーザ情報１３６とが関連付けられて格納された登録ユーザデータベース１３０、および、サービス提供者サーバ３００（提供先１４３参照）と、サービス提供者サーバ３００に提供されたユーザ情報１４２とが関連付けられて格納された提供済ユーザ情報データベース１４０が記憶される記憶部１２０と、サービス提供者サーバ３００の識別情報と、サービス提供者サーバ３００が要求するユーザ情報の種別であるユーザ情報種別とを含むサービス提供者サービスドキュメントをともなうユーザ端末２００からの要求を受け付け、サービス提供者サーバ３００に提供済であるユーザ端末２００のユーザのユーザ情報と、ユーザ情報種別に対応する当該ユーザのユーザ情報とをユーザ端末２００に送信するユーザ情報提供先検索部１１４と、サービス提供者サーバ３００に提供するユーザ情報を示すサービス提供者サーバ提供許可ユーザ情報を前記ユーザ端末から受け付け、ユーザのサービス提供者サーバ３００におけるユーザ識別情報３３１である疑似ユーザ識別情報（ユーザ識別情報１３１参照）と、疑似ユーザ識別情報に関連付けられた秘密鍵１３４および公開鍵１３３のペアとを生成し、秘密鍵１３４を用いてサービス提供者サービスドキュメントに署名を付与した署名付きサービス提供者サービスドキュメントを生成し、当該疑似ユーザ識別情報と当該署名付きサービス提供者サービスドキュメントとをユーザ端末２００に送信するユーザ情報アクセス権承認部１１６と、を備え、ユーザ端末２００は、サービス提供者サーバ提供許可ユーザ情報をユーザエージェント１００へ送信するユーザ情報提供依頼部２１５と、疑似ユーザ識別情報と、署名付きサービス提供者サービスドキュメントとをサービス提供者サーバ３００に送信するサービスドキュメント転送部２１６と、を備え、サービス提供者サーバ３００は、疑似ユーザ識別情報と、署名付きサービス提供者サービスドキュメントとをユーザエージェント１００に送信するユーザ情報要求部（ユーザ情報取得部３１４）を備え、ユーザエージェント１００は、署名付きサービス提供者サービスドキュメントの署名を疑似ユーザ識別情報に関連付けられた公開鍵１３３を用いて検証し、検証に成功した場合にはサービス提供者サーバ提供許可ユーザ情報（ユーザ情報１４２参照）をサービス提供者サーバに返信するユーザ情報提供部１１７を、さらに備えることを特徴とする。

　このようなユーザ情報管理システム１０によれば、サービス提供者サーバ３００は、ユーザの秘密鍵で署名されたサービスドキュメントに記載のユーザ情報種別に対応する、ユーザのユーザ情報を取得することができるようになる（図１６参照）。また、ユーザ端末２００は、ユーザに対して、ユーザ情報提供の可否を判断する機会を提供することができる。
　詳しくは、ユーザ端末２００がユーザエージェント１００（ユーザ情報アクセス権承認部１１６）にサービスドキュメントへの署名付与を要求するときに、ユーザは、サービスドキュメントに記載のユーザ情報種別を参照して、ユーザ情報提供の可否を判断できるようになる（図１３のステップＳ３２１参照）。
　ユーザエージェント１００のユーザ情報提供先検索部１１４は、提供済のユーザ情報を検索してユーザ端末２００に送信する（ステップＳ３２３，Ｓ３２４参照）。ユーザは、提供済のユーザ情報を参照し、名寄せのリスクを考慮して、ユーザ情報提供の可否を判断できるようになる（ステップＳ３２５参照）。

　本実施形態に係るユーザ情報管理システム１０は、サービス提供者サーバ３００と連携してサービスを提供する関連サービス提供者サーバ（委託先／協業先サーバ４００）を、さらに含んで構成され、関連サービス提供者サーバは、関連ユーザ情報要求部（ユーザ情報取得部３１４）を備えており、サービス提供者サーバ３００は、関連サービスドキュメント転送部３１５をさらに備え、サービス提供者サービスドキュメントには、関連サービス提供者サーバの識別情報が、さらに含まれ、提供済ユーザ情報データベース１４０には、関連サービス提供者サーバ（提供先１４３参照）と、当該関連サービス提供者サーバに提供されたユーザ情報１４２とが関連付けられて格納され、ユーザエージェント１００のユーザ情報提供先検索部１１４は、関連サービス提供者サーバの識別情報と、当該関連サービス提供者サーバが要求するユーザ情報種別とを含む関連サービス提供者サービスドキュメントをともなうユーザ端末２００からの要求を受け付け、関連サービス提供者サーバに提供済である当該ユーザ端末２００のユーザのユーザ情報をユーザ端末２００に送信し、ユーザ端末２００のユーザ情報提供依頼部２１５は、関連サービス提供者サーバに提供するユーザ情報を示す関連サービス提供者サーバ提供許可ユーザ情報をユーザエージェント１００へ送信し、ユーザエージェント１００のユーザ情報アクセス権承認部１１６は、秘密鍵１３４を用いて関連サービス提供者サービスドキュメントに署名を付与した署名付き関連サービス提供者サービスドキュメントを生成して、疑似ユーザ識別情報と署名付きサービス提供者サービスドキュメントとともにユーザ端末２００に送信し、ユーザ端末２００に備わるサービスドキュメント転送部２１６は、さらに、署名付き関連サービス提供者サービスドキュメントをサービス提供者サーバ３００に送信し、サービス提供者サーバ３００の関連サービスドキュメント転送部３１５は、疑似ユーザ識別情報、署名付きサービス提供者サービスドキュメント、および、署名付き関連サービス提供者サービスドキュメントを関連サービス提供者サーバに送信し、関連サービス提供者サーバの関連ユーザ情報要求部（ユーザ情報取得部３１４）は、疑似ユーザ識別情報と、署名付きサービス提供者サービスドキュメントと、署名付き関連サービス提供者サービスドキュメントとをユーザエージェント１００に送信し、ユーザエージェント１００のユーザ情報提供部１１７は、署名付きサービス提供者サービスドキュメントの署名を疑似ユーザ識別情報に関連付けられた公開鍵１３３を用いて検証し、検証に成功した場合には当該署名付きサービス提供者サービスドキュメントに関連サービス提供者サーバの識別情報が含まれていることを検証し、検証に成功した場合には署名付き関連サービス提供者サービスドキュメントの署名を疑似ユーザ識別情報に関連付けられた公開鍵１３３を用いて検証し、検証に成功した場合には関連サービス提供者サーバ提供許可ユーザ情報（ユーザ情報１４２参照）を関連サービス提供者サーバに返信することを特徴とする。

　このようなユーザ情報管理システム１０によれば、サービスがサービス提供者サーバ３００単独ではなく、サービス提供者サーバ３００および関連サービス提供者サーバ（委託先／協業先サーバ４００）を含む複数のサーバが連携して提供される場合にも対応できるようになる。詳しくは、関連サービス提供者サーバもユーザ情報を取得できるようになる。また、ユーザ端末２００は、ユーザに対して、関連サービス提供者サーバへのユーザ情報提供の可否を判断する機会を提供することができる。ユーザは、関連サービス提供者サーバを含めて、サービスドキュメントに記載されたユーザ情報種別や提供済のユーザ情報を参照して、ユーザ情報提供の可否を判断できるようになる。

　本実施形態に係るユーザエージェント１００のユーザ情報提供部１１７は、サービス提供者サーバ提供許可ユーザ情報を登録ユーザデータベース１３０から取得し、当該サービス提供者サーバ提供許可ユーザ情報を署名付きサービス提供者サービスドキュメントに含まれるユーザ情報種別に対応するユーザ情報に抽象化して、サービス提供者サーバ３００に返信することを特徴とする。

　このようなユーザ情報管理システム１０によれば、ユーザエージェント１００は、登録ユーザデータベース１３０に格納されているユーザ情報そのものではなく、サービスドキュメントに記載されたユーザ情報種別に応じた抽象化された粒度の粗いユーザ情報をサービス提供者サーバ３００に返信する（図１３のステップＳ３２７、図１６のステップＳ３４５参照）。サービスドキュメントに記載されている、サービス提供に必要とされる最小限のユーザ情報が提供されるようになる。このため、仮にサービス提供者サーバ３００からユーザ情報が流出したとしても、流出する情報量を最小にすることができ、被害を最小化することができるようになる。また、ユーザ情報を用いて名寄せできる可能性を削減することができ、名寄せのリスクを低減できるようになる。

　本実施形態に係るユーザ端末２００のユーザ情報提供依頼部２１５は、サービス提供者サーバ３００に提供済のユーザ情報、サービス提供者サーバ３００へ提供するユーザ情報、関連サービス提供者サーバに提供済のユーザ情報、および関連サービス提供者サーバへ提供するユーザ情報のうち少なくとも１つを含む提供ユーザ情報確認画面６００を表示して、サービス提供者サーバ提供許可ユーザ情報を取得することを特徴とする。

　このようなユーザ情報管理システム１０によれば、ユーザ端末２００は、サービス提供者サーバ３００に提供するユーザ情報や提供済ユーザ情報をユーザに提示することができる。ユーザは、提示された情報をもとにユーザ情報提供の可否を判断できるようになる。

１０　　ユーザ情報管理システム
１００　ユーザエージェント
１１０　制御部
１１１　鍵管理部
１１２　ユーザ登録部
１１３　ユーザ情報登録部
１１４　ユーザ情報提供先検索部
１１５　ユーザ情報提供可否判断部
１１６　ユーザ情報アクセス権承認部
１１７　ユーザ情報提供部
１２０　記憶部
１３０　登録ユーザデータベース
１３１　ユーザ識別情報（疑似ユーザ識別情報）
１３３　公開鍵
１３４　秘密鍵
１３６　ユーザ情報
１４０　提供済ユーザ情報データベース
１４２　ユーザ情報
１４３　提供先
１５０　通信部
２００　ユーザ端末
２１５　ユーザ情報提供依頼部
２１６　サービスドキュメント転送部
３００　サービス提供者サーバ
３１４　ユーザ情報取得部（ユーザ情報要求部、関連ユーザ情報要求部）
３１５　関連サービスドキュメント転送部
４００　委託先／協業先サーバ（関連サービス提供者サーバ）
６００，６００Ａ　提供ユーザ情報確認画面
８００　ネットワーク
８１０　分散型台帳
８５０　ユーザ情報発行機関サーバ

Claims

　ユーザが利用するユーザ端末と、ユーザエージェントと、サービス提供者サーバとを含めて構成されるユーザ情報管理システムであって、
　前記ユーザエージェントは、
　前記ユーザのユーザ識別情報と、当該ユーザのユーザ情報とが関連付けられて格納された登録ユーザデータベース、および、前記サービス提供者サーバと、当該サービス提供者サーバに提供されたユーザ情報とが関連付けられて格納された提供済ユーザ情報データベースが記憶される記憶部と、
　前記サービス提供者サーバの識別情報と、当該サービス提供者サーバが要求するユーザ情報の種別であるユーザ情報種別とを含むサービス提供者サービスドキュメントをともなう前記ユーザ端末からの要求を受け付け、当該サービス提供者サーバに提供済である当該ユーザ端末のユーザのユーザ情報と、前記ユーザ情報種別に対応する当該ユーザのユーザ情報とを前記ユーザ端末に送信するユーザ情報提供先検索部と、
　前記サービス提供者サーバに提供するユーザ情報を示すサービス提供者サーバ提供許可ユーザ情報を前記ユーザ端末から受け付け、前記ユーザの前記サービス提供者サーバにおけるユーザ識別情報である疑似ユーザ識別情報と、当該疑似ユーザ識別情報に関連付けられた秘密鍵および公開鍵のペアとを生成し、当該秘密鍵を用いて前記サービス提供者サービスドキュメントに署名を付与した署名付きサービス提供者サービスドキュメントを生成し、当該疑似ユーザ識別情報と当該署名付きサービス提供者サービスドキュメントとを前記ユーザ端末に送信するユーザ情報アクセス権承認部と、を備え、
　前記ユーザ端末は、
　前記サービス提供者サーバ提供許可ユーザ情報を前記ユーザエージェントへ送信するユーザ情報提供依頼部と、
　前記疑似ユーザ識別情報と、前記署名付きサービス提供者サービスドキュメントとを前記サービス提供者サーバに送信するサービスドキュメント転送部と、を備え、
　前記サービス提供者サーバは、
　前記疑似ユーザ識別情報と、前記署名付きサービス提供者サービスドキュメントとを前記ユーザエージェントに送信するユーザ情報要求部を備え、
　前記ユーザエージェントは、
　前記署名付きサービス提供者サービスドキュメントの署名を前記疑似ユーザ識別情報に関連付けられた公開鍵を用いて検証し、検証に成功した場合には前記サービス提供者サーバ提供許可ユーザ情報を前記サービス提供者サーバに返信するユーザ情報提供部を、さらに備える、
　ことを特徴とするユーザ情報管理システム。
　前記ユーザ情報管理システムは、
　前記サービス提供者サーバと連携してサービスを提供する関連サービス提供者サーバを、さらに含んで構成され、前記関連サービス提供者サーバは、関連ユーザ情報要求部を備えており、
　前記サービス提供者サーバは、関連サービスドキュメント転送部をさらに備え、
　前記サービス提供者サービスドキュメントには、
　前記関連サービス提供者サーバの識別情報が、さらに含まれ、
　前記提供済ユーザ情報データベースには、
　前記関連サービス提供者サーバと、当該関連サービス提供者サーバに提供されたユーザ情報とが関連付けられて格納され、
　前記ユーザエージェントの前記ユーザ情報提供先検索部は、
　前記関連サービス提供者サーバの識別情報と、当該関連サービス提供者サーバが要求するユーザ情報種別とを含む関連サービス提供者サービスドキュメントをともなう前記ユーザ端末からの要求を受け付け、当該関連サービス提供者サーバに提供済である当該ユーザ端末のユーザのユーザ情報を前記ユーザ端末に送信し、
　前記ユーザ端末のユーザ情報提供依頼部は、
　前記関連サービス提供者サーバに提供するユーザ情報を示す関連サービス提供者サーバ提供許可ユーザ情報を前記ユーザエージェントへ送信し、
　前記ユーザエージェントの前記ユーザ情報アクセス権承認部は、
　前記秘密鍵を用いて前記関連サービス提供者サービスドキュメントに署名を付与した署名付き関連サービス提供者サービスドキュメントを生成して、前記疑似ユーザ識別情報と前記署名付きサービス提供者サービスドキュメントとともに前記ユーザ端末に送信し、
　前記ユーザ端末に備わる前記サービスドキュメント転送部は、
　さらに、前記署名付き関連サービス提供者サービスドキュメントを前記サービス提供者サーバに送信し、
　前記サービス提供者サーバの前記関連サービスドキュメント転送部は、
　前記疑似ユーザ識別情報、前記署名付きサービス提供者サービスドキュメント、および、前記署名付き関連サービス提供者サービスドキュメントを前記関連サービス提供者サーバに送信し、
　前記関連サービス提供者サーバの前記関連ユーザ情報要求部は、
　前記疑似ユーザ識別情報と、前記署名付きサービス提供者サービスドキュメントと、前記署名付き関連サービス提供者サービスドキュメントとを前記ユーザエージェントに送信し、
　前記ユーザエージェントの前記ユーザ情報提供部は、
　前記署名付きサービス提供者サービスドキュメントの署名を前記疑似ユーザ識別情報に関連付けられた公開鍵を用いて検証し、
　検証に成功した場合には当該署名付きサービス提供者サービスドキュメントに前記関連サービス提供者サーバの識別情報が含まれていることを検証し、
　検証に成功した場合には前記署名付き関連サービス提供者サービスドキュメントの署名を前記疑似ユーザ識別情報に関連付けられた公開鍵を用いて検証し、
　検証に成功した場合には前記関連サービス提供者サーバ提供許可ユーザ情報を前記関連サービス提供者サーバに返信する
　ことを特徴とする請求項１に記載のユーザ情報管理システム。
　前記ユーザエージェントの前記ユーザ情報提供部は、
　前記サービス提供者サーバ提供許可ユーザ情報を前記登録ユーザデータベースから取得し、当該サービス提供者サーバ提供許可ユーザ情報を前記署名付きサービス提供者サービスドキュメントに含まれるユーザ情報種別に対応するユーザ情報に抽象化して、前記サービス提供者サーバに返信する
　ことを特徴とする請求項１に記載のユーザ情報管理システム。
　前記ユーザ端末の前記ユーザ情報提供依頼部は、
　前記サービス提供者サーバに提供済のユーザ情報、前記サービス提供者サーバへ提供するユーザ情報、前記関連サービス提供者サーバに提供済のユーザ情報、および前記関連サービス提供者サーバへ提供するユーザ情報のうち少なくとも１つを含む提供ユーザ情報確認画面を表示して、前記サービス提供者サーバ提供許可ユーザ情報を取得する
　ことを特徴とする請求項２に記載のユーザ情報管理システム。
　ユーザが利用するユーザ端末と、ユーザエージェントと、サービス提供者サーバとを含めて構成されるユーザ情報管理システムのユーザ情報管理方法であって、
　前記ユーザエージェントは、
　前記ユーザのユーザ識別情報と、当該ユーザのユーザ情報とが関連付けられて格納された登録ユーザデータベース、および、前記サービス提供者サーバと、当該サービス提供者サーバに提供されたユーザ情報とが関連付けられて格納された提供済ユーザ情報データベースが記憶される記憶部を備え、
　前記ユーザエージェントは、
　前記サービス提供者サーバの識別情報と、当該サービス提供者サーバが要求するユーザ情報の種別であるユーザ情報種別とを含むサービス提供者サービスドキュメントをともなう前記ユーザ端末からの要求を受け付け、
　当該サービス提供者サーバに提供済である当該ユーザ端末のユーザのユーザ情報と、前記ユーザ情報種別に対応する当該ユーザのユーザ情報とを前記ユーザ端末に送信するステップを実行し、
　前記ユーザ端末は、
　前記サービス提供者サーバに提供するユーザ情報を示すサービス提供者サーバ提供許可ユーザ情報を前記ユーザエージェントへ送信するステップを実行し、
　前記ユーザエージェントは、
　前記ユーザの前記サービス提供者サーバにおけるユーザ識別情報である疑似ユーザ識別情報と、当該疑似ユーザ識別情報に関連付けられた秘密鍵および公開鍵のペアとを生成し、
　当該秘密鍵を用いて前記サービス提供者サービスドキュメントに署名を付与した署名付きサービス提供者サービスドキュメントを生成し、
　当該疑似ユーザ識別情報と当該署名付きサービス提供者サービスドキュメントとを前記ユーザ端末に送信するステップを実行し、
　前記ユーザ端末は、
　前記疑似ユーザ識別情報と、前記署名付きサービス提供者サービスドキュメントとを前記サービス提供者サーバに送信するステップを実行し、
　前記サービス提供者サーバは、
　前記疑似ユーザ識別情報と、前記署名付きサービス提供者サービスドキュメントとを前記ユーザエージェントに送信するステップを実行し、
　前記ユーザエージェントは、
　前記署名付きサービス提供者サービスドキュメントの署名を前記疑似ユーザ識別情報に関連付けられた公開鍵を用いて検証し、
　検証に成功した場合には前記サービス提供者サーバ提供許可ユーザ情報を前記サービス提供者サーバに返信するステップを実行する
　ことを特徴とするユーザ情報管理方法。
　ユーザが利用するユーザ端末と、ユーザエージェントと、サービス提供者サーバとを含めて構成されるユーザ情報管理システムの前記ユーザエージェントであって、
　前記ユーザのユーザ識別情報と、当該ユーザのユーザ情報とが関連付けられて格納された登録ユーザデータベース、および、前記サービス提供者サーバと、当該サービス提供者サーバに提供されたユーザ情報とが関連付けられて格納された提供済ユーザ情報データベースが記憶される記憶部と、
　前記サービス提供者サーバの識別情報と、当該サービス提供者サーバが要求するユーザ情報の種別であるユーザ情報種別とを含むサービス提供者サービスドキュメントをともなう前記ユーザ端末からの要求を受け付け、
　当該サービス提供者サーバに提供済である当該ユーザ端末のユーザのユーザ情報と、前記ユーザ情報種別に対応する当該ユーザのユーザ情報とを前記ユーザ端末に送信するユーザ情報提供先検索部と、
　前記サービス提供者サーバに提供するユーザ情報を示すサービス提供者サーバ提供許可ユーザ情報を受け付け、
　前記ユーザの前記サービス提供者サーバにおけるユーザ識別情報である疑似ユーザ識別情報と、当該疑似ユーザ識別情報に関連付けられた秘密鍵および公開鍵のペアとを生成し、
　当該秘密鍵を用いて前記サービス提供者サービスドキュメントに署名を付与した署名付きサービス提供者サービスドキュメントを生成し、
　当該疑似ユーザ識別情報と当該署名付きサービス提供者サービスドキュメントとを前記ユーザ端末に送信するユーザ情報アクセス権承認部と、
　前記サービス提供者サーバが前記ユーザ端末から取得して送信した前記署名付きサービス提供者サービスドキュメントの署名を前記疑似ユーザ識別情報に関連付けられた公開鍵を用いて検証し、
　検証に成功した場合には前記サービス提供者サーバ提供許可ユーザ情報を前記サービス提供者サーバに返信するユーザ情報提供部とを、備える
　ことを特徴とするユーザエージェント。
　コンピュータを請求項６に記載のユーザエージェントとして機能させるためのプログラム。
　ユーザが利用するユーザ端末と、ユーザエージェントと、サービス提供者サーバとを含めて構成されるユーザ情報管理システムの前記ユーザエージェントのユーザ情報管理方法であって、
　前記ユーザエージェントは、
　前記ユーザのユーザ識別情報と、当該ユーザのユーザ情報とが関連付けられて格納された登録ユーザデータベース、および、前記サービス提供者サーバと、当該サービス提供者サーバに提供されたユーザ情報とが関連付けられて格納された提供済ユーザ情報データベースが記憶される記憶部を備え、
　前記サービス提供者サーバの識別情報と、当該サービス提供者サーバが要求するユーザ情報の種別であるユーザ情報種別とを含むサービス提供者サービスドキュメントをともなう前記ユーザ端末からの要求を受け付け、
　当該サービス提供者サーバに提供済である当該ユーザ端末のユーザのユーザ情報と、前記ユーザ情報種別に対応する当該ユーザのユーザ情報とを前記ユーザ端末に送信するステップと、
　前記サービス提供者サーバに提供するユーザ情報を示すサービス提供者サーバ提供許可ユーザ情報を受け付け、
　前記ユーザの前記サービス提供者サーバにおけるユーザ識別情報である疑似ユーザ識別情報と、当該疑似ユーザ識別情報に関連付けられた秘密鍵および公開鍵のペアとを生成し、
　当該秘密鍵を用いて前記サービス提供者サービスドキュメントに署名を付与した署名付きサービス提供者サービスドキュメントを生成し、
　当該疑似ユーザ識別情報と当該署名付きサービス提供者サービスドキュメントとを前記ユーザ端末に送信するステップと、
　前記サービス提供者サーバが前記ユーザ端末から取得して送信した前記署名付きサービス提供者サービスドキュメントの署名を前記疑似ユーザ識別情報に関連付けられた公開鍵を用いて検証し、
　検証に成功した場合には前記サービス提供者サーバ提供許可ユーザ情報を前記サービス提供者サーバに返信するステップとを実行する
　ことを特徴とするユーザ情報管理方法。