WO2022163741A1

WO2022163741A1 - データ流通制御方法、データ流通制御システム及び認可サーバ

Info

Publication number: WO2022163741A1
Application number: PCT/JP2022/003015
Authority: WO
Inventors: 忠司鍛; 博光加藤; 雅之吉野; 宏樹内山; 倫宏重本
Original assignee: 株式会社日立製作所
Priority date: 2021-01-28
Filing date: 2022-01-27
Publication date: 2022-08-04
Also published as: EP4287056A1; JP7520159B2; US20230388306A1; JPWO2022163741A1

Abstract

プロセッサとメモリを有する認可サーバが、データを提供する提供側計算機とデータを利用する利用側計算機の間で前記データのアクセスを制御するデータ流通制御方法であって、前記利用側計算機が、過去に認可された前記データの利用状況を前記認可サーバへ通知する目的達成状況通知ステップと、前記利用側計算機が、前記データを利用する際のセキュリティ対策に関する保護レベル情報と、前記データの利用目的を含む利用ポリシを前記認可サーバに申請する利用申請ステップと、前記認可サーバが、前記データの利用状況と前記保護レベル情報と前記データの利用目的に基づいて、前記提供側計算機の前記データに対する前記利用側計算機のアクセスを制御するアクセス制御ステップと、を含む。

Description

データ流通制御方法、データ流通制御システム及び認可サーバ

参照による取り込み

　本出願は、令和３年（２０２１年）１月２８日に出願された日本出願である特願２０２１－１２３６３の優先権を主張し、その内容を参照することにより、本出願に取り込む。

　本発明は、データの提供者と、データの利用者間のデータのアクセス制御、およびデータの提供方法に関する。

　近年、ネットワーク化やサイバー空間利用の飛躍的な発展により、新しいサービスが次々と創出され、社会の主体となる人々に豊かさをもたらす超スマート社会等が提案されている。

　例えば、行政が保有するデータや、建物や道路等のインフラのＩｏＴデータなどを横断的に連携することができるデータの連携や流通のプラットフォーム（以下、都市ＯＳ）が提唱されている。

　都市ＯＳは、データを提供元（保有者）からデータ利用者へ仲介し、データ利用者は提供されたデータに対して分析や加工等を行ってサービスを提供する。データ提供者は、保有するデータのうち、価値のあるデータについては流通させることに抵抗がある。

　特に、データ提供者のデータに、個人情報や、個人の移動に関する情報などの機微情報が含まれる場合は、データ提供者はこれらのデータの提供や流通に対して消極的ではあるが、利用目的によってはデータの提供や流通を許諾する場合がある。データ提供者がデータ利用者に対してデータの提供を検討する際には、データを提供するリスクや、データ利用者への信頼等を明確にする必要がある。

　データ提供者がデータ利用者にデータの提供を行う際のリスクを推定する技術として、例えば、特許文献１が知られている。特許文献１には、データ提供者がデータ利用者にデータ提供を行う際のリスクを算出するリスク算出装置が記載されている。リスク算出装置は、提供するデータとデータ提供者及びデータ提供者の顧客、データ利用者等の情報に基づいて、データ自体に関するリスク要素、データ利用者に関する要素及び、データ提供者とデータ利用者の関係性に関する要素を求め、リスク指数を算出する。

特開２０１８－１４２２８４号公報

　上記従来例では、データ自体のリスク要素や、データ利用者の属性及び、データ提供者とデータ利用者の関係性からリスク指数を算出してアクセス制御を行うものではあるが、データ提供者に対する信頼に関する情報を算出することができない、という問題があった。

　すなわち、データ提供者は、データを提供するリスクだけではなく、提供するデータの利用目的や、データを提供することによる価値を踏まえて、データの提供に対する判断を行うことを望んでいる。

　そこで本発明は、上記問題点に鑑みてなされたもので、データ保有者が満足する価値を生むデータ利用者の利用目的とデータ保護のレベルに基づいて、データのアクセスを制御することを目的とする。

　本発明の一態様は、プロセッサとメモリを有する認可サーバが、データを提供する提供側計算機とデータを利用する利用側計算機の間で前記データのアクセスを制御するデータ流通制御方法であって、前記利用側計算機が、過去に認可された前記データの利用状況を前記認可サーバへ通知する目的達成状況通知ステップと、前記利用側計算機が、前記データを利用する際のセキュリティ対策に関する保護レベル情報と、前記データの利用目的を含む利用ポリシを前記認可サーバに申請する利用申請ステップと、前記認可サーバが、前記データの利用状況と前記保護レベル情報と前記データの利用目的に基づいて、前記提供側計算機の前記データに対する前記利用側計算機のアクセスを制御するアクセス制御ステップと、を含む。

　上記構成により、データ保有者が満足する価値を生むデータ利用者の利用目的と、データ保護のレベルに基づいて提供するデータに対するアクセスを制御することが可能となる。また、認可サーバは、データ保有者のポリシと、データ利用者のポリシからデータ利用者の信頼度を算出し、信頼度に応じたアクセス制御を実現することができる。例えば、前記データが個人情報である場合でも、データ保有者が提供に合意できる匿名化処理を行うことによって、機微情報を除いたデータをデータ利用者に提供することができる。

　本発明により、データ保有者が満足する価値を生むデータ利用者の利用目的とデータ保護のレベルに基づいて、データのアクセスを制御すること可能になる。

　本明細書において開示される主題の、少なくとも一つの実施の詳細は、添付されている図面と以下の記述の中で述べられる。開示される主題のその他の特徴、態様、効果は、以下の開示、図面、請求項により明らかにされる。

本発明の実施例１を示し、データ流通制御システムの一例を示すブロック図である。本発明の実施例１を示し、データ提供者側のコネクタの一例を示すブロック図である。本発明の実施例１を示し、データ利用者側のコネクタの一例を示すブロック図である。本発明の実施例１を示し、認証認可サーバの一例を示すブロック図である。本発明の実施例１を示し、データ流通制御システムのコンセプトを示す図である。本発明の実施例１を示し、信頼度の算出モデルの一例を示すグラフである。本発明の実施例１を示し、ポリシ登録からデータアクセス認可までの処理の一例を示すシーケンス図である。本発明の実施例１を示し、データ提供処理の一例を示すシーケンス図である。本発明の実施例１を示し、認可テーブルの一例を示す図である。本発明の実施例１を示し、リスク評価テーブルの一例を示す図である。本発明の実施例１を示し、保護レベルテーブルの一例を示す図である。本発明の実施例１を示し、利用目的テーブルの一例を示す図である。本発明の実施例１を示し、実現度テーブルの一例を示す図である。本発明の実施例１を示し、データ変換テーブルの一例を示す図である。本発明の実施例１を示し、提供ポリシの一例を示す図である。本発明の実施例１を示し、利用ポリシの一例を示す図である。本発明の実施例１を示し、信頼度の算出処理の一例を示すフローチャートである。本発明の実施例２を示し、データ流通制御システムの一例を示すブロック図である。

　以下、本発明の実施形態を添付図面に基づいて説明する。

　図１は、本発明の実施例１を示し、データ流通制御システムの一例を示すブロック図である。

　＜システム構成＞
　データ流通制御システムは、データ（元データ２１）を提供するデータ提供者サイトＯＷＮ－１～ＯＷＮ－３と、データ（変換データ３１）を利用するデータ利用者サイトＵＳＲ－１～ＵＳＲ－３と、データ提供者サイトＯＷＮ－１～ＯＷＮ－３からデータ利用者サイトＵＳＲ－１～ＵＳＲ－３へのデータアクセスを制御する認証認可サーバ２００と、データの利用状況に応じてデータ利用者サイトＵＳＲ－１～ＵＳＲ－３への課金情報を算出する課金サーバ４０と、これらのサイト及びサーバを接続するネットワーク７０を含む。

　なお、データ提供者サイトＯＷＮ－１～ＯＷＮ－３は同様の構成であるので、以下の説明ではデータ提供者サイトを個々に特定しない場合には「－」以降を省略した符号「ＯＷＮ」を使用する。ＵＳＲ－１～ＵＳＲ－３等の他の構成要素の符号についても同様である。

　データ流通制御システムの概要は、データを保有する個人や法人等のデータ提供者が許可した条件（ポリシ）の範囲においてのみ、データから価値を生み出したい個人や企業、組織等のデータ利用者が利用したい元データ２１を利用する。認証認可サーバ２００は、ポリシ判定部２１０でデータ提供者のポリシとデータ利用者の利用ポリシとデータの運用状況に基づいて、データ利用者の信頼度（トラストスコア）を算出する。

　そして、認証認可サーバ２００は、データ利用者の保護レベルに応じて、元データ２１の利用の可否を判定し、利用を許可する場合には、データ利用者の信頼度に応じて元データ２１の変換ポリシ（匿名化レベル）を決定し、データ提供者サイトＯＷＮに通知する。

　データ提供者サイトＯＷＮは、認証認可サーバ２００が設定した変換ポリシ（匿名化レベル）に応じて、元データ２１を匿名化して変換データ３１を生成してデータ利用者サイトＵＳＲに提供する。

　データ提供者サイトＯＷＮは、設備や機械等に取り付けられたセンサからデータを収集するセンサシステム６０と、センサシステム６０からデータを取得して元データ２１として蓄積するデータ提供システム２０と、認証認可サーバ２００と通信を行ってポリシの登録や元データ２１の提供を実施するコネクタ１２を含む。

　センサシステム６０は、設備や機械に取り付けられたセンサ（図示省略）と、センサが出力したデータを収集して出力する計算機（図示省略）を含む。データ提供システム２０は、センサシステム６０から取得したデータを元データ２１として図示しないストレージ装置に格納し、データ提供者の業務を実行する計算機を含む。また、データ提供システム２０は、コネクタ１２を介して認証認可サーバ２００からの要求に応じて元データ２１を出力する。

　データ提供者サイトＯＷＮのコネクタ１２は、認証認可サーバ２００と通信を行うデータ通信部１２１と、データ提供者のポリシ等を認証認可サーバ２００へ登録するデータ登録部１２２と、認証認可サーバ２００からの要求に応じて元データ２１を変換して変換データを生成するデータ変換部１２３を含む。コネクタ１２の詳細については後述する。

　認証認可サーバ２００は、データ提供者がデータを提供する際の提供ポリシと、データ利用者がデータを利用する際の利用ポリシとを管理するポリシ登録部２２０と、データ利用者からのデータの利用申請に基づいて、データ利用者の利用目的とデータ保護のレベルを含む利用ポリシに基づいて提供するデータに対するアクセスの可否を判定するポリシ判定部２１０を含む。認証認可サーバ２００の詳細については後述する。

　データ利用者サイトＵＳＲは、データ提供者サイトＯＷＮから取得した変換データ３１を分析又は加工するデータ利用システム３０と、データ利用システム３０で処理された変換データ３１を利用して所定のサービスを提供するサービスシステム５０と、認証認可サーバ２００と通信を行ってポリシの登録や変換データ３１の利用申請を実施するコネクタ１１を含む。

　データ利用者サイトＵＳＲのコネクタ１１は、認証認可サーバ２００と通信を行うデータ通信部１１１と、データ利用者のポリシや利用申請等を認証認可サーバ２００へ登録する利用申請部１１２と、データ利用システム３０における変換データ３１の利用状況を監視して認証認可サーバ２００へ通知する利用監視部１１３を含む。コネクタ１１の詳細については後述する。

　データ利用システム３０は、変換データ３１を分析又は加工等の所定の処理を実施してサービスシステム５０に提供する計算機である。サービスシステム５０は、変換データ３１を処理した結果に基づいて所定のサービスを提供する計算機である。

　データ提供者サイトＯＷＮとデータ利用者サイトＵＳＲの数は、上記に限定されるものではない。また、データ提供者と、データ利用者は異なる団体や組織或いは企業などで構成することができる。

　データ利用者サイトＵＳＲとデータ提供者サイトＯＷＮは、既存のサイトにコネクタ１１、１２を付加した構成とすることができる。コネクタ１１、１２は、認証認可サーバ２００と既存のサイトを接続するためのインタフェースとして機能する。認証認可サーバ２００は、データ提供者とデータ利用者のポリシに基づくトラストスコアでデータのアクセスを行うようにコネクタ１１、１２に指令する。

　図２は、データ提供者側のコネクタ１２の一例を示すブロック図である。コネクタ１２は、プロセッサ７１と、メモリ７２と、ストレージ装置７３と、ネットワークインタフェース７４と、入出力装置７５を含む計算機である。

　メモリ７２には、データ通信部１２１と、データ登録部１２２と、データ変換部１２３がロードされて、プロセッサ７１によって実行される。

　プロセッサ７１は、各機能部のプログラムに従って処理を実行することによって、所定の機能を提供する機能部として稼働する。例えば、プロセッサ７１は、データ変換プログラムに従って処理を実行することでデータ変換部１２３として機能する。他のプログラムについても同様である。さらに、プロセッサ７１は、各プログラムが実行する複数の処理のそれぞれの機能を提供する機能部としても稼働する。計算機及び計算機システムは、これらの機能部を含む装置及びシステムである。

　ネットワークインタフェース７４は、ネットワーク７０やデータ提供システム２０と接続されて通信を行う。入出力装置７５は、キーボードやマウス或いはタッチパネル等の入力装置と、ディスプレイ等の出力装置を含む。

　データ登録部１２２は、入出力装置７５から受け付けたデータ提供者のポリシ等を認証認可サーバ２００へ送信する。データ変換部１２３は、認証認可サーバ２００から指定された元データ２１について、認証認可サーバ２００が指示した変換ポリシによって元データ２１から変換データ３１を生成してアクセスの制御を実施する。データの変換については後述する。

　図３は、データ利用者側のコネクタ１１の一例を示すブロック図である。コネクタ１１は、プロセッサ８１と、メモリ８２と、ストレージ装置８３と、ネットワークインタフェース８４と、入出力装置８５を含む計算機である。

　メモリ８２には、データ通信部１１１と、利用申請部１１２と、利用監視部１１３がロードされて、プロセッサ８１によって実行される。プロセッサ８１は、各機能部のプログラムに従って処理を実行することによって、所定の機能を提供する機能部として稼働する。例えば、プロセッサ８１は、利用監視プログラムに従って処理を実行することで利用監視部１１３として機能する。他のプログラムについても同様である。さらに、プロセッサ８１は、各プログラムが実行する複数の処理のそれぞれの機能を提供する機能部としても稼働する。計算機及び計算機システムは、これらの機能部を含む装置及びシステムである。

　ネットワークインタフェース８４は、ネットワーク７０やデータ利用システム３０と接続されて通信を行う。入出力装置８５は、キーボードやマウス或いはタッチパネル等の入力装置と、ディスプレイ等の出力装置を含む。

　利用申請部１１２は、入出力装置８５から受け付けたデータ利用者のポリシ等を認証認可サーバ２００へ送信する。利用監視部１１３は、データ利用システム３０が変換データ３１を使用する状況を監視して認証認可サーバ２００に通知する。変換データ３１の利用監視については後述する。

　図４は、認証認可サーバ２００の一例を示すブロック図である。認証認可サーバ２００は、プロセッサ２０１と、メモリ２０２と、ストレージ装置２０３と、ネットワークインタフェース２０４と、入出力装置２０５を含む計算機である。

　メモリ２０２には、ポリシ判定部２１０と、ポリシ登録部２２０がロードされて、プロセッサ２０１によって実行される。プロセッサ２０１は、各機能部のプログラムに従って処理を実行することによって、所定の機能を提供する機能部として稼働する。例えば、プロセッサ２０１は、ポリシ判定プログラムに従って処理を実行することでポリシ判定部２１０として機能する。他のプログラムについても同様である。さらに、プロセッサ２０１は、各プログラムが実行する複数の処理のそれぞれの機能を提供する機能部としても稼働する。計算機及び計算機システムは、これらの機能部を含む装置及びシステムである。

　ネットワークインタフェース２０４は、ネットワーク７０に接続されて外部の計算機と通信を行う。入出力装置２０５は、キーボードやマウス或いはタッチパネル等の入力装置と、ディスプレイ等の出力装置を含む。

　ストレージ装置２０３には、認可テーブル３２０と、リスク評価テーブル３３０と、保護レベルテーブル３４０と、利用目的テーブル３５０と、実現度テーブル３６０と、データ変換テーブル３７０と、提供ポリシ４１０と、利用ポリシ４２０が格納される。

　認可テーブル３２０は、ポリシ判定部２１０が決定したデータ利用者サイトＵＳＲからのデータの利用申請に対してアクセスの可否を判定した結果を格納する。リスク評価テーブル３３０は、予め設定されたデータ利用者サイトＵＳＲにおけるリスクと、リスクに対するスコアを格納する。保護レベルテーブル３４０は、予め設定されたデータ利用者サイトＵＳＲにおけるデータのセキュリティレベルと、セキュリティレベルに対するスコアを格納する。

　利用目的テーブル３５０は、予め設定された利用目的と、利用目的に対するスコアを格納する。実現度テーブル３６０は、利用目的を達成する可能性に関した予め設定したスコアを格納する。データ変換テーブル３７０は、予め設定された変換処理を格納する。

　提供ポリシ４１０は、データ提供者サイトＯＷＮが決定した元データ２１の利用条件を認証認可サーバ２００に登録した情報である。利用ポリシ４２０は、データ利用者サイトＵＳＲが申請したデータ提供者サイトＯＷＮのデータの利用条件を認証認可サーバ２００に登録した情報である。なお、上記各テーブル等の詳細については後述する。

　上記コネクタ１１と、コネクタ１２、認証認可サーバ２００の処理を実現するプログラムとデータのすべてまたは一部は、予めストレージ装置７３、８３、２０３に格納されていてもよいし、必要に応じて、上記コネクタ１１と、コネクタ１２、認証認可サーバ２００それぞれが備えるＩ／Ｆを介して、ネットワーク７０に接続された他の装置の非一時的記憶装置から、または非一時的な記憶媒体から、それぞれのストレージ装置に格納されてもよい。

　＜テーブル＞
　図９は、認可テーブル３２０の一例を示す図である。認可テーブル３２０は、ポリシ判定部２１０がデータ利用者サイトＵＳＲからの利用申請について認可した結果を格納する。

　認可テーブル３２０は、認可ＩＤ３２１と、申請ＩＤ３２２と、データ利用者３２３と、データ提供者３２４と、利用システム３２５と、元データ３２６と、信頼度３２７と、変換後データ３２８と、提供システム３２９を１つのレコードに含む。

　認可ＩＤ３２１は、認証認可サーバ２００のポリシ判定部２１０が付与した元データ２１の利用を許可する識別子である。申請ＩＤ３２２は、認証認可サーバ２００がデータ利用者サイトＵＳＲから受け付けたデータの利用申請の識別子で、認証認可サーバ２００が付与することができる。

　データ利用者３２３は、データの利用を申請したデータ利用者サイトＵＳＲの識別子を格納する。データ提供者３２４は、元データ２１を提供するデータ提供者サイトＯＷＮの識別子を格納する。

　利用システム３２５は、元データ２１を変換した変換データ３１を利用するデータ利用システム３０の識別子を格納する。元データ３２６は、データ提供者サイトＯＷＮが提供する元データ２１のファイル名又は識別子を格納する。

　信頼度３２７は、後述するように、認可ＩＤが付与されるときに算出された信頼度ＴＳを格納する。なお、信頼度ＴＳに代わって、元データ２１のフィールドに施す匿名化のタイプを格納してもよい。変換後データ３２８は、元データ２１に匿名化を施した変換データ３１の名称又は識別子が格納される。提供システム３２９は、元データ２１を管理するデータ提供システム２０の識別子を格納する。

　図１０は、リスク評価テーブル３３０の一例を示す図である。リスク評価テーブル３３０は、データ提供者サイトＯＷＮが、元データ２１を提供するリスクを表す指標（スコア）を予め設定した情報である。

　リスク評価テーブル３３０は、発生事象３３１と、評価項目３３２と、スコア３３３と、ＩＤ３３４を１つのレコードに含む。発生事象３３１は、元データ２１に対する機密性の喪失（漏洩）、完全性の喪失（改竄）、可用性(の喪失，説明責任の追及性の喪失の４種類に大別する例を示すが、これに限定されるものではない。

　評価項目３３２は、データ提供者等が洗い出したリスクの項目を格納する。或いは、認証認可サーバ２００の管理者等が評価項目３３２を設定してもよい。スコア３３３は、評価項目３３２毎に予め設定された値が格納される。ＩＤ３３４は評価項目３３２の識別子を格納する。

　ポリシ判定部２１０は、発生事象３３１毎にスコア３３３を集計してリスク評価値ＲＤ（Risk of Data）を算出する。リスク評価値ＲＤは、例えば、４つの発生事象３３１毎にスコア３３３の最大値を算出して、最大値の４次元ベクトルで評価することができる。

　図１１は、保護レベルテーブル３４０の一例を示す図である。保護レベルテーブル３４０は、データ利用者がデータ（変換データ３１）を取り扱うコンテキスト情報から、データに対する保護レベルを予め設定した情報である。本実施例では、コンテキスト情報が、データの利用に関わる４Ｗ１Ｈで構成される例を示すが、これに限定されるものではない。

　本実施例のコンテキストは、データの取り扱いについて、誰（Ｗｈｏ）が、どこから（Ｗｈｅｒｅ）、どれくらいの頻度（Ｗｈｅｎ）で、どれくらいのボリューム（Ｗｈａｔ）を、どのように（Ｈｏｗ）アクセスするか、という観点（４Ｗ１Ｈ）から評価する例を示す。

　保護レベルテーブル３４０は、コンテキスト３４１と、評価項目３４２と、スコア３４３と、ＩＤ３４４を１つのレコードに含む。コンテキスト３４１は、予め設定した４Ｗ１Ｈの分類を示す。評価項目３４２は、データ提供者や認証認可サーバ２００の管理者等が洗い出した保護の項目を格納する。スコア３４３は、評価項目３４２毎に予め設定された値が格納される。ＩＤ３４４は評価項目３３２の識別子を格納する。

　ポリシ判定部２１０は、コンテキスト３４１毎にスコア３４３を集計して保護レベル評価値ＬＰ（Level of Protection）を算出する。保護レベル評価値ＬＰは、例えば、５つのコンテキスト３４１毎のスコア３４３の値を、Ｗｈｏ、Ｗｈｅｒｅ、Ｗｈｅｎ、Ｗｈａｔ、Ｈｏｗで表すと、以下の式で算出することができる。

ＬＰ＝１／（Ｗｈｏ×Ｗｈｅｒｅ×Ｗｈｅｎ×Ｗｈａｔ×Ｈｏｗ）　………（１）

　図１２は、利用目的テーブル３５０の一例を示す図である。利用目的テーブル３５０は、元データ２１の活用によってもたされる社会的影響と、データ提供者への見返り（恩恵）の２つの観点について、スコアを予め設定した情報である。利用目的テーブル３５０は、データ利用者サイトＵＳＲがポリシ登録部２２０へ登録した情報である。

　利用目的テーブル３５０は、分類項目３５１と、評価項目３５２と、スコア３５３と、ＩＤ３５４を１つのレコードに含む。

　分類項目３５１は、利用目的の分類を格納し、本実施例では、社会的影響の大きさと、データ提供者の恩恵の２つに分類する例を示すが、これに限定されるものではない。評価項目３５２は、影響の大きさを小、中、大、特大の４段階に分けて、スコア３５３には予め設定した値を格納する。ＩＤ３５４は評価項目３５２毎の識別子を格納する。

　ポリシ判定部２１０は、分類項目３５１毎にスコア３５３を集計して利用目的評価値ＰＤ（Ｐｕｒｐｏｓｅ　ｏｆ　Ｄａｔａ）を算出する。利用目的評価値ＰＤは、例えば、分類項目３５１のスコアを社会的影響力の大きさをＰＤ＿ｓｏｃｉａｌとし、恩恵を（ＰＤ＿ｏｗｎｅｒ）とした場合、以下のような４次元ベクトルで評価することができる。

　ＰＤ＝（ＭＡＸ（ＰＤ＿ｓｏｃｉａｌ，ＰＤ＿ｏｗｎｅｒ），ＭＡＸ（ＰＤ＿ｓｏｃｉａｌ，　ＰＤ＿ｏｗｎｅｒ），ＭＡＸ（ＰＤ＿ｓｏｃｉａｌ，ＰＤ＿ｏｗｎｅｒ），ＭＡＸ（ＰＤ＿ｓｏｃｉａｌ，ＰＤ＿ｏｗｎｅｒ））　………（２）

　図１３は、実現度テーブル３６０の一例を示す図である。実現度テーブル３６０は、目的達成レベルＩＡＬ（Ｉｍｐａｃｔ　Ａｓｓｕｒａｎｃｅ　Ｌｅｖｅｌ）を算出するために予め設定された情報で，利用目的（利用目的評価値ＰＤ）が達成される可能性について予め設定したスコアを格納する。

　実現度テーブル３６０は、実現度３６１と、スコア３６２を１つのレコードに含む。実現度３６１には、利用目的が達成される確率の範囲が設定される。スコア３６２は、確率の範囲に応じた値を格納する。

　なお、目的達成レベルＩＡＬをデータ利用者サイトＵＳＲのコネクタ１１で算出する場合には、コネクタ１１が認証認可サーバ２００から実現度テーブル３６０を取得しておくことができる。

　図１４は、データ変換テーブル３７０の一例を示す図である。データ変換テーブル３７０は、元データ２１を匿名化する際の処理内容を予め設定した情報である。データ変換テーブル３７０は、処理分類３７１と、技術３７２と、データ型３７３と、適用３７４と、変換ＩＤ３７４を１つのレコードに含む。

　処理分類３７１は、サプレッション処理と一般化処理と攪乱処理の３つに分類する例を示すが、これに限定されるものではない。サプレッション処理は、データを削除又は置換する。一般化処理は、データを代表値に変換する。攪乱処理は、データにノイズを付加する。

　技術３７２は、処理分類３７１を実現する技術を格納する。適用３７４は、匿名化の具体的な内容を格納する。変換ＩＤ３７４は、認証認可サーバ２００がデータ提供者サイトＯＷＮへデータの変換を指示する際に使用する。

　認証認可サーバ２００は、上述の各テーブルを参照してデータ利用者の信頼度を算出して、データ利用の可否を判定する。信頼度等の算出については後述する。

　図１５は、提供ポリシ４１０の一例を示す図である。提供ポリシ４１０は、データ提供者サイトＯＷＮが決定した元データ２１の利用条件である。

　提供ポリシ４１０は、提供ＩＤ４１１と、データ名４１２と、データ提供者４１３と、提供システム４１４と、機密性４１５と、完全性４１６と、可用性４１７と、説明追求性４１８と、恩恵４１９を１つのレコードに含む。

　提供ＩＤ４１１は、認証認可サーバ２００が設定した識別子である。データ名４１２は、元データ２１の名称又は識別子を格納する。データ提供者４１３は、データ提供者サイトＯＷＮの識別子を格納する。提供システム４１４は、元データ２１を格納するデータ提供システム２０の識別子を格納する。

　機密性４１５～説明追求性４１８は、リスク評価テーブル３３０の発生事象３３１毎に評価項目３３２に対応するＩＤ３３４を格納する。例えば、機密性４１５＝「２」は、リスク評価テーブル３３０の評価項目３３２の「個人情報」であることを示す。完全性４１６～説明追求性４１８の値についても同様である。恩恵４１９は、データ提供者４１３が期待するデータの価値が設定される。

　図１６は、利用ポリシ４２０の一例を示す図である。利用ポリシ４２０は、データ利用者サイトＵＳＲが元データ２１の利用を申請する際のデータの利用条件である。

　利用ポリシ４２０は、申請ＩＤ４２１と、データ名４２２と、データ提供者４２３と、データ利用者４２４と、Ｗｈｏ４２５と、Ｗｈｅｒｅ４２６とＷｈｅｎ４２７と、Ｗｈａｔ４２８と、Ｈｏｗ４２９と、影響４３０と、恩恵４３１を１つのレコードに含む。

　申請ＩＤ４２１は、認証認可サーバ２００が設定した識別子である。データ名４２２は、データ利用者サイトＵＳＲが希望する元データ２１の名称又は識別子を格納する。データ提供者４２３は、データ提供者サイトＯＷＮの識別子を格納する。データ利用者４２４は、データ利用者サイトＵＳＲの識別子を格納する。

　Ｗｈｏ４２５～Ｈｏｗ２９８は、保護レベルテーブル３４０のコンテキスト３４１毎に評価項目３４２に対応するＩＤ３４４を格納する。例えば、Ｗｈｏ４２５＝「２」は、保護レベルテーブル３４０の評価項目３４２の「内部の一般ユーザ、管理者」であることを示す。Ｗｈｅｒｅ４２６～Ｈｏｗの値についても同様である。

　影響４３０と恩恵４３１は、利用目的テーブル３５０の分類項目３５１毎に、評価項目３５２に対応するＩＤ３５４を格納する。例えば、影響４３０＝「３」は、利用目的テーブル３５０の影響力が「中（企業、都道府県レベル）」であることを示す。恩恵４３１の値についても同様である。

　＜処理の概要＞
　図５は、データ流通制御システムのコンセプトを示す図である。本実施例のデータ流通制御システムは、上述したように、データ提供者が許可した条件（ポリシ）の範囲で、データから価値を生み出したいデータ利用者に、元データ２１を提供する。

　データ流通制御システムのコンセプトを実現するためには、データ提供者がデータ提供の意欲を持つことが必須となる。そのためには、データの提供によりデータ提供者が恩恵を得られること、及びデータ提供にあたってデータ提供者が許可した条件の範囲においてのみデータ利用者がデータを利用すること、についてデータ提供者が信頼できることが重要である。

　データ流通制御システムは、信頼度に基づいてアクセスの可否判定を行うＰＤＰ（Ｐｏｌｉｃｙ　Ｄｅｃｉｓｉｏｎ　Ｐｏｉｎｔ）と、判定結果を適用するＰＥＰ（Ｐｏｌｉｃｙ　Ｅｎｆｏｒｃｅｍｅｎｔ　Ｐｏｉｎｔ）を含んで構成される。

　図５のＰＤＰは、図１に示したポリシ判定部２１０に相当し、判定結果を適用するＰＥＰはデータ提供者サイトＯＷＮのコネクタ１２内のデータ変換部１２３に相当する。

　ポリシ判定部２１０（ＰＤＰ）は、ＰＩＰ（Ｐｏｌｉｃｙ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｐｏｉｎｔ）を介してリスク評価値ＲＤ、評価値ＰＤ、評価値ＬＰ、目的達成レベルＩＡＬを受け付ける。ＰＩＰは図１のポリシ登録部２２０に相当する。

　また、ＭＰ（Ｍｏｎｉｔｏｒｉｎｇ　Ｐｏｉｎｔ）は、データ利用者サイトＵＳＲのコネクタ１１内の利用監視部１１３に相当する。利用監視部１１３（ＭＰ）は、データ利用者が利用目的及び利用条件に合致してデータ利用システム３０を利用しているか、データ利用により生み出された価値が約束した通りであるかを監視して記録する。

　また、コネクタ１１の利用監視部１１３は、上記監視結果に基づいて、目的達成レベルＩＡＬを計算して認証認可サーバ２００のポリシ登録部２２０へ登録する。

　データ流通制御システムを利用する手順としては、次のような手順が想定される。まず、データ提供者（データ提供者サイトＯＷＮ）とデータ利用者（データ利用者サイトＵＳＲ）が、元データ２１の利用目的及び利用条件、元データ２１の提供に伴う見返り(恩恵)に合意する。

　次に、データ利用者サイトＵＳＲは、コネクタ１１を介して認証認可サーバ２００に対してコンテキスト情報（データ利用に関わる４Ｗ１Ｈ情報）を登録しておく。認証認可サーバ２００は、データ提供者とデータ利用者が合意した利用条件（ポリシ）を取得し、がポリシを満足しているか否かを判定する。認証認可サーバ２００は、コンテキスト情報がポリシを満足すると判定すると、データ利用者はデータ利用者サイトＵＳＲが提供するデータへのアクセスが許可される。

　次に、認証認可サーバ２００は、データ提供者サイトＯＷＮのポリシと、データ利用者サイトＵＳＲのポリシや既に利用している変換データ３１の利用状況を取得して、上述したリスク評価値ＲＤ、評価値ＰＤ、評価値ＬＰ、目的達成レベルＩＡＬから信頼度を後述するように算出する。

　認証認可サーバ２００は、算出された信頼度に応じて元データ２１を匿名化する変換ポリシ（アクセスポリシ）を設定し、データ提供者サイトＯＷＮのコネクタ１２に通知する。

　データ提供者サイトＯＷＮのコネクタ１２では、データ変換部１２３が認証認可サーバ２００から受け付けた変換ポリシに基づいて、元データ２１を変換して変換データ３１を生成し、データ利用者サイトＵＳＲに変換データ３１を提供する。

　認証認可サーバ２００は、データ利用者が取得したデータ（変換データ３１）を活用して生み出された価値は、利用目的に紐づいた価値であり、データ提供者に与える恩恵が合意した条件に合致しているかについても継続的に監視を行う。

　また、認証認可サーバ２００は、データ提供者に与える価値について課金サーバ４０へ通知し、課金サーバ４０はデータ利用者（データ利用者サイトＵＳＲ）へ変換データ３１を活用して生み出された価値の対価を請求する。

　＜信頼度の算出＞
　図１７は、認証認可サーバ２００で行われる信頼度の算出処理の一例を示すフローチャートである。この処理は、データ利用者サイトＵＳＲから元データ２１の利用申請を受け付けた場合に実行することができる。

　認証認可サーバ２００のポリシ判定部２１０は、データ利用者サイトＵＳＲから受け付けた利用申請の利用ポリシ４２０と、利用ポリシ４２０で指定されたデータ名４２２を保有するデータ提供者サイトＯＷＮの提供ポリシ４１０を取得する（Ｓ４１）。

　ポリシ判定部２１０は、提供ポリシ４１０の機密性４１５～説明追求性４１８の値を取得して、リスク評価テーブル３３０からリスク評価値ＲＤを算出する（Ｓ４２）。ポリシ判定部２１０は、例えば、４つの発生事象（機密性４１５～説明追求性４１８）毎にスコア３３３の最大値を算出して、最大値の４次元ベクトルとしてリスク評価値ＲＤを算出する。

　次に、ポリシ判定部２１０は、利用ポリシ４２０のコンテキストであるＷｈｏ４２５～Ｈｏ２４２９の値を取得して、保護レベルテーブル３４０からコンテキストのそれぞれについてスコア３４３を取得し、保護レベル評価値ＬＰを算出する（Ｓ４３）。保護レベル評価値ＬＰは、例えば、上述の（１）式のように算出することができる。

　ポリシ判定部２１０は、利用ポリシ４２０の利用目的である影響４３０と恩恵４３１を取得して利用目的評価値ＰＤを算出する（Ｓ４４）。利用目的評価値ＰＤは、例えば、上述の（２）式のように算出することができる。

　ポリシ判定部２１０は、データ利用者サイトＵＳＲのコネクタ１１の利用監視部１１３が登録した過去の変換データ３１の監視状況から実現度テーブル３６０を参照して、目的達成レベルＩＡＬを算出する（Ｓ４５）。なお、過去の変換データ３１の監視状況は、例えば、データ利用システム３０における変換データ３１の利用率とし、利用率を実現度テーブル３６０の実現度３６１としてスコア３６２を目的達成レベルＩＡＬとして算出することができる。

　次に、ポリシ判定部２１０は、上記算出したリスク評価値ＲＤと、保護レベル評価値ＬＰと、利用目的評価値ＰＤと、目的達成レベルＩＡＬから信頼度ＴＳを次式によって算出する。

　以上の処理によって、ポリシ判定部２１０は、信頼度ＴＳを算出することができ、信頼度ＴＳに応じたアクセス制御をデータ提供者サイトＯＷＮのコネクタ１２へ通知することができる。例えば、ポリシ判定部２１０は、信頼度ＴＳが正の場合、データ利用者サイトＵＳＲは元データ２１を匿名化せずにそのままの形で利用することができる。一方、信頼度ＴＳが負の場合、負値の大きさに応じて、匿名化を実施して保護レベル評価値ＬＰの値を減少させることにより、データの利活用を実現する。

　図６は、信頼度の算出モデルの一例を示す図である。図示の例では、予め設定されたリスク関数Ｒに対して、保護レベル評価値ＬＰと、利用目的評価値ＰＤと、目的達成レベルＩＡＬの関係を示す。

　図中のＣｕｒｒｅｎｔ　Ｒｉｓｋは、利用ポリシ４２０の保護レベル評価値ＬＰから予め設定されたリスク関数から算出されたリスクＲの値となる。Ｃｕｒｒｅｎｔ　Ｒｉｓｋに対して、利用目的評価値ＰＤと目的達成レベルＩＡＬから信頼度ＴＳが算出される。

　データ利用者サイトＵＳＲ側のリスクだけでなく、データ利用者サイトＵＳＲの利用目的と、過去の変換データ３１の利用実績を加味して信頼度ＴＳを算出することが、ポリシ判定部２１０の特徴である。

　＜アクセス制御＞
　信頼度ＴＳに基づいて元データ２１（ｄａｔａ）をデータ利用者サイトＵＳＲへ提供可能な変換データ３１（data'）に変換する関数ＤＡＣを、

　ＤＡＣ（ｄａｔａ，ＴＳ）→ｄａｔａ’とする。

　元データ２１に対して、変換データ３１の情報量をどの程度削減するかについては、確率分布空間における距離の測定に利用される、カルバック・ライブラー情報量（以下、ＫＬ情報量）を用いる。

　Ｐ、Ｑを離散確率分布とする場合、ＰのＱに対するＫＬ情報量は、

で表される。ここで、Ｐｉ、Ｑｉはそれぞれ確率分布Ｐ、Ｑに従って、選ばれた値がｉの場合の確率である。

　なお、離散確率分布の情報量Ｈ（Ｐ）とＨ（Ｑ）を用い、

と表される。Ｑ＝Ｐのとき、

である。
　また、Ｈ（Ｑ）＝ｎであるとき、

が成立する。

　データアクセス制御関数ＤＡＣが、距離関数ｄに関し、トラストスコア（信頼度）関数ＴＳＦに基づくとは、ｖｄラベル付きのデータｄａｔａとその離散確率分布Ｐ、保護レベルｌｐ、利用目的ｐｄ、変換されたデータの離散確率分布Ｑに対し、

が成立する場合をいう。

　データアクセス制御関数ＤＡＣが出力したデータｄａｔａ’が開示した変換前のデータｄａｔａの情報量を定量評価できる。以降では、簡単のため元データｄａｔａと変換されたデータｄａｔａ’の距離をｄ（ｄａｔａ，ｄａｔａ’）と表記する。

　データアクセス制御関数ＤＡＣ内の処理として、距離ｄに応じた匿名化を用いる場合を考える。匿名化は、図１４のデータ変換テーブル３７０に示したように、サプレッション、一般化、擾乱等を用いることで、認証認可サーバ２００は、変換ポリシを生成することができる。なお、匿名化の具体的な手法については、Ｋ－匿名化など周知又は公知の手法を用いればよい。

　＜登録処理＞
　図７は、ポリシ登録からデータアクセス認可までの処理の一例を示すシーケンス図である。

　まず、データ提供者サイトＯＷＮのコネクタ１２（図中１２－１）は、データ利用者が元データ２１の利用条件を設定した提供ポリシ４１０（図１６）を認証認可サーバ２００へ送信し、登録を依頼する（Ｓ１）。

　認証認可サーバ２００は、ポリシ登録部２２０が提供ポリシ４１０を受け付けてストレージ装置２０３に格納する。ポリシ登録部２２０は、提供ポリシ４１０で指定されたデータ名４１２のリスク評価値ＲＤ（Risk of Data）を算出する情報として登録する（Ｓ２）。

　データ利用者サイトＵＳＲでは、コネクタ１１（図中１１－１）の利用監視部１１３がデータ利用システム３０（図中３０－１）における変換データ３１の利用状況を監視している（Ｓ３）。利用監視部１１３が利用状況を監視する対象は、既に認可されて使用中の変換データ３１である。利用監視部１１３は、認証認可サーバ２００から実現度テーブル３６０を取得して目的達成レベルＩＡＬを算出する（Ｓ４）。

　そして、利用監視部１１３は、算出した目的達成レベルＩＡＬを認証認可サーバ２００に登録する（Ｓ５）。認証認可サーバ２００では、ポリシ登録部２２０が受信した目的達成レベルＩＡＬをデータ利用者サイトＵＳＲ毎の目的達成レベルＩＡＬとしてストレージ装置２０３に登録しておく（Ｓ６）。

　データ利用者サイトＵＳＲは、自身のサービスシステム５０で使用するデータに、データ提供者サイトＯＷＮの元データ２１を利用したい場合には、コネクタ１１の利用申請部１１２から利用申請を認証認可サーバ２００へ送信する（Ｓ７）。利用申請には、保護レベルと利用目的を含む図１６に示した利用ポリシ４２０が添付される（Ｓ７）。

　認証認可サーバ２００のポリシ登録部２２０は、利用ポリシ４２０に記載されているデータ利用者４２４の目的達成レベルＩＡＬをストレージ装置２０３から検索し、利用ポリシ４２０のデータ名４２２に対応する元データ２１の提供ポリシ４１０を検索する（４１０）。ポリシ登録部２２０は、提供ポリシ４１０からリスク評価値ＲＤを算出するための４つの発生事象（機密性４１５～説明追求性４１８）を取得し、データ利用者４２４の目的達成レベルＩＡＬを取得してポリシ判定部２１０へ出力する（Ｓ９）。

　ポリシ判定部２１０は、上述したように４つの発生事象からリスク評価値ＲＤと、利用目的評価値ＰＤと、保護レベル評価値ＬＰを算出してから目的達成レベルＩＡＬを加えて信頼度ＴＳを算出する。そして、ポリシ判定部２１０は、データ利用者サイトＵＳＲの保護レベル評価値ＬＰ（又はコンテキスト情報）が所定の条件を満たしていれば、データ利用者サイトＵＳＲのアクセスを許可する（Ｓ１０）。

　ポリシ判定部２１０は、アクセスを許可する場合、信頼度ＴＳの値に応じてアクセス制御を実施するため、変換ポリシ（匿名化レベル）を上述のように決定してポリシ登録部２２０へ認可ＩＤを通知する（Ｓ１１）。また、ポリシ判定部２１０は、認可ＩＤを決定すると、認可テーブル３２０に新たなレコードを追加して、データ利用者サイトＵＳＲとデータ提供者サイトＯＷＮの上位法格納する。

　そして、認証認可サーバ２００のポリシ登録部２２０は、データ提供者サイトＯＷＮのコネクタ１１に対して認可ＩＤと、変換ポリシを通知して元データ２１へのアクセスを許可する。なお、ポリシ判定部２１０が、データ利用者サイトＵＳＲのアクセスを許可しない場合には、アクセス拒否の通知をポリシ登録部２２０からコネクタ１１に通知する。

　＜利用処理＞
　図８は、データ提供処理の一例を示すシーケンス図である。この処理は、データ利用者サイトＵＳＲが元データ２１の取得要求を送信した場合に実行される。データ利用者サイトＵＳＲでは、データ利用システム３０が元データ２１の取得要求をコネクタ１１に送信する（Ｓ２１）。

　コネクタ１１のデータ通信部１１１は、データ利用システム３０が要求した元データ２１について、認可ＩＤを取得済みであるかを判定する（Ｓ２２）。認証認可サーバ２００から受信した認可ＩＤは、コネクタ１１のストレージ装置７３に格納されているので、元データ２１のファイル名などから検索することができる。

　コネクタ１１のデータ通信部１１１は、既に認可ＩＤを取得している場合には、データ取得要求と認可ＩＤをデータ提供者サイトＯＷＮのコネクタ１２に送信する（Ｓ２３）。コネクタ１２のデータ通信部１２１は、データ取得要求と認可ＩＤを受信すると、認可ＩＤをデータ変換部１２３へ転送する（Ｓ２４）。データ変換部１２３は、認可ＩＤを認証認可サーバ２００に送信して、認可の有無を問い合わせる（Ｓ２５）。

　認証認可サーバ２００では、ポリシ判定部２１０が受信した認可ＩＤで認可テーブル３２０を検索し、信頼度３２７を取得する（Ｓ２６）。ポリシ判定部２１０では、取得した信頼度３２７の値に応じてアクセス制御を実施するため、変換ポリシ（匿名化ポリシ）生成視する（Ｓ２７）。

　認証認可サーバ２００のポリシ判定部２１０は、データ提供者サイトＯＷＮのコネクタ１２に対して、認可済みであることを示す変換ポリシを送信する（Ｓ２８）。なお、ポリシ判定部２１０は、認可ＩＤ３２１に該当しない場合には、未認可であることをコネクタ１２に通知して処理を終了する。

　コネクタ１２のデータ変換部１２３は、認可済みであることを示す変換ポリシを受信するとデータ通信部１２１に認可ＩＤで指定された元データ２１の利用が認可されていることを通知する（Ｓ２９）。

　コネクタ１２のデータ通信部１２１は、データ提供システム２０に対して元データ２１の取得を要求する（Ｓ３０）。データ提供システム２０は、指定された元データ２１をコネクタ１２へ送信する（Ｓ３１）。コネクタ１２では、データ通信部１２１が元データ２１を受信してデータ変換部１２３へ転送する（Ｓ３２）。

　データ変換部１２３は、認証認可サーバ２００から受信した変換ポリシで、元データ２１に匿名化を施して変換データ３１を生成し（Ｓ３３）、データ通信部１２１へ送信する（Ｓ３４）。なお、信頼度３２７が正の場合には、匿名化をせずに元データ２１をそのまま変換データ３１として出力すればよい。

　コネクタ１２のデータ通信部１２１は、変換データ３１を利用するデータ利用者サイトＵＳＲのコネクタ１１に変換データ３１を送信する（Ｓ３５）。コネクタ１１のデータ通信部１１１は、データ提供者サイトＯＷＮから受信した変換データ３１を、データ利用システム３０に送信する（Ｓ３６）。

　データ利用システム３０は、取得した変換データ３１を分析又は加工してサービスシステム５０に提供し、サービス提供の対価としての価値を得ることができる。

　以上のように、本実施例のデータ流通制御システムは、データ保有者が満足する価値を生むデータ利用者の利用目的と、データ保護のレベルに基づいて提供するデータに対するアクセスの可否を判定することが可能となる。

　また、認証認可サーバ２００は、データ保有者のポリシ（提供ポリシ４１０）と、データ利用者のポリシ（利用ポリシ４２０）からデータ利用者の信頼度ＴＳを算出し、信頼度ＴＳに応じた変換ポリシを生成することで元データ２１に対するアクセス制御を実現することができる。

　本実施例のデータ流通制御システムは、元データ２１の利用条件をデータ提供者が主観的に予め規定するのではなく、利用条件を導出する元となっている元データ２１のリスク（ＲＤ）と、データ利用者が提示する利用目的（ＰＤ）から動的に利用条件（ポリシ）を導出することができる。

　また、利用条件を満足できないデータ提供者に対しては、元データ２１を匿名化してデータの利用に支障のない範囲での保護／無害化を行う仕組みを導入することで、データ提供者の権利保護と、元データ２１の自由な流通により産業の活性化を図ることができる。

　図１８は、実施例２のデータ流通制御システムの一例を示すブロック図である。実施例２では、認証認可サーバ２０００が、変換データ３１を格納しデータベースとしてデータ利用者サイトＵＳＲ－１、ＵＳＲ－２に提供するものである。その他の構成は、前記実施例１と同様である。

　変換データ３１をデータベースに集約しておくことで、元データ２１が同一で変換ポリシが類似するデータを流用することで、データ提供者サイトＯＷＮかのコネクタ１２の負荷を低減できる。また、データ利用者サイトＵＳＲは、必要に応じて認証認可サーバ２０００の変換データ３１にアクセスすればよいので、データ利用システム３０のストレージ装置を節約することが可能となる。

　＜結び＞
　以上のように、上記実施例のデータ流通制御システムは、以下のような構成とすることができる。

　（１）プロセッサ（２０１）とメモリ（２０２）を有する認可サーバ（認証認可サーバ２００）が、データ（元データ２１）を提供する提供側計算機（データ提供システム２０）とデータ（変換データ３１）を利用する利用側計算機（データ利用システム３０）の間で前記データ（元データ２１）のアクセスを制御するデータ流通制御方法であって、前記利用側計算機（３０）が、過去に認可された前記データ（３１）の利用状況を前記認可サーバ（２００）へ通知する目的達成状況通知ステップ（利用監視部１１３）と、前記利用側計算機（３０）が、前記データ（３１）を利用する際のセキュリティ対策に関する保護レベル情報（３４０）と、前記データの利用目的（３５０）を含む利用ポリシ４２０を前記認可サーバ（２００）に申請する利用申請ステップ（利用申請部１１２）と、前記認可サーバ（２００）が、前記データ（３１）の利用状況と前記保護レベル情報（３４０）と前記データの利用目的（３５０）に基づいて、前記提供側計算機（２０）の前記データ（２１）に対する前記利用側計算機（３０）のアクセスを制御するアクセス制御ステップ（ポリシ判定部２１０）と、を含むことを特徴とするデータ流通制御方法。

　上記構成により、データ流通制御方法では、データ提供者（保有者）が満足する価値を生むデータ利用者の利用目的と、データ保護のレベルに基づいて提供する元データ２１に対するアクセスを制御することが可能となる。また、認証認可サーバ２００は、データ提供者（保有者）のポリシと、データ利用者のポリシからデータ利用者の信頼度を算出し、信頼度に応じたアクセス制御を実現することができる。例えば、前記データが個人情報である場合でも、データ保有者が提供に合意できる匿名化処理を行うことによって、機微情報を除いたデータをデータ利用者に提供することができる。

　（２）上記（１）に記載のデータ流通制御方法であって、前記提供側計算機（２０）が、提供する前記データのリスク（リスク評価テーブル３３０）に関するリスク情報（提供ポリシ４１０）を前記認可サーバ（２００）に登録する提供ポリシ登録ステップ（データ登録部１２２）を、さらに含み、前記アクセス制御ステップ（２１０）は、前記データ（３１）の利用状況と前記保護レベル情報（３４０）と前記データの利用目的（３５０）に、前記リスク情報（４１０）を加えて前記提供側計算機（２０）の前記データ（２１）に対する前記利用側計算機（３０）のアクセスを制御することを特徴とするデータ流通制御方法。

　上記構成により、元データ２１が適切に扱われなかった場合にデータ提供者が被る影響の度合いを考慮してデータ利用者サイトＵＳＲからのアクセスを制御することが実現できる。

　（３）上記（２）に記載のデータ流通制御方法であって、前記アクセス制御ステップ（２１０）は、前記リスク情報（４１０）からリスクの大きさを示すリスク評価値ＲＤを算出するステップ（Ｓ４２）と、前記保護レベル情報（３４０）からセキュリティ対策の程度を示す保護レベル評価値ＬＰを算出するステップ（Ｓ４３）と、前記データ（２１）の利用目的（３５０）から利用目的評価値ＰＤを算出するステップ（Ｓ４４）と、前記データ（３１）の利用状況から利用目的（３５０）を実現可能なスコアとして目的達成レベルＩＡＬを算出するステップ（Ｓ４５）と、前記リスク評価値ＲＤと保護レベル評価値ＬＰと利用目的評価値ＰＤと目的達成レベルＩＡＬから信頼度ＴＳを算出するステップ（Ｓ４６）と、　前記信頼度に基づいてアクセスポリシを生成するステップを含むことを特徴とするデータ流通制御方法。

　上記構成により、ポリシ判定部２１０は、リスク評価値ＲＤと保護レベル評価値ＬＰに加えて、利用目的評価値ＰＤと目的達成レベルＩＡＬを含めて信頼度ＴＳを算出することで、データ提供者サイトＯＷＮが元データ２１の提供にあたって許可した条件（提供ポリシ４１０）の範囲においてのみデータ利用者サイトＵＳＲが変換データ３１を利用することについてデータ提供者サイトＯＷＮの信頼を得ることができる。

　（４）上記（３）に記載のデータ流通制御方法であって、目的達成レベルＩＡＬは、前記利用側計算機（３０）が過去に利用したデータ（３１）の利用実績に基づいて、前記データの利用目的（３５０）を実現する可能性の評価値として算出されることを特徴とするデータ流通制御方法。

　上記構成により、データ利用者サイトＵＳＲが約束した利用ポリシ４２０に含まれる社会的影響力の大きさや、データ提供者サイトＯＷＮに対する恩恵の実現率を目的達成レベルＩＡＬとして、データ利用者サイトＵＳＲが元データ２１の利用に対して約束した社会的影響やデータ提供者サイトＯＷＮに対する恩恵に対する期待値を定義することができる。そして、受容可能なリスクを計算する際に目的達成レベルＩＡＬを用いることでリスク評価値ＲＤを補正することが可能となる。

　（５）上記（３）に記載のデータ流通制御方法であって、前記リスク情報（４１０）は、前記データ（２１）の機密性（４１５）と、完全性（４１６）と、可用性（４１７）と、説明追求性（４１８）のそれぞれについてスコア（３３３）が設定されたことを特徴とするデータ流通制御方法。

　上記構成により、データ提供者サイトＯＷＮは、提供する元データ２１の価値を機密性４１５と、完全性４１６と、可用性４１７と、説明追求性４１８で定義することが可能となる。

　なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に記載したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加、削除、又は置換のいずれもが、単独で、又は組み合わせても適用可能である。

　また、上記の各構成、機能、処理部、及び処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、及び機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）等の記録装置、又は、ＩＣカード、ＳＤカード、ＤＶＤ等の記録媒体に置くことができる。

　また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。

Claims

　プロセッサとメモリを有する認可サーバが、データを提供する提供側計算機とデータを利用する利用側計算機の間で前記データのアクセスを制御するデータ流通制御方法であって、
　前記利用側計算機が、過去に認可された前記データの利用状況を前記認可サーバへ通知する目的達成状況通知ステップと、
　前記利用側計算機が、前記データを利用する際のセキュリティ対策に関する保護レベル情報と、前記データの利用目的を含む利用ポリシを前記認可サーバに申請する利用申請ステップと、
　前記認可サーバが、前記データの利用状況と前記保護レベル情報と前記データの利用目的に基づいて、前記提供側計算機の前記データに対する前記利用側計算機のアクセスを制御するアクセス制御ステップと、を含むことを特徴とするデータ流通制御方法。
　請求項１に記載のデータ流通制御方法であって、
　前記提供側計算機が、提供する前記データのリスクに関するリスク情報を前記認可サーバに登録する提供ポリシ登録ステップを、さらに含み、
　前記アクセス制御ステップは、
　前記データの利用状況と前記保護レベル情報と前記データの利用目的に、前記リスク情報を加えて前記提供側計算機の前記データに対する前記利用側計算機のアクセスを制御することを特徴とするデータ流通制御方法。
　請求項２に記載のデータ流通制御方法であって、
　前記アクセス制御ステップは、
　前記リスク情報からリスクの大きさを示すリスク評価値ＲＤを算出するステップと、
　前記保護レベル情報からセキュリティ対策の程度を示す保護レベル評価値ＬＰを算出するステップと、
　前記データの利用目的から利用目的評価値ＰＤを算出するステップと、
　前記データの利用状況から利用目的を実現可能なスコアとして目的達成レベルＩＡＬを算出するステップと、
　前記リスク評価値ＲＤと保護レベル評価値ＬＰと利用目的評価値ＰＤと目的達成レベルＩＡＬから信頼度を算出するステップと、
　前記信頼度に基づいてアクセスポリシを生成するステップを含むことを特徴とするデータ流通制御方法。
　請求項３に記載のデータ流通制御方法であって、
　目的達成レベルＩＡＬは、
　前記利用側計算機が過去に利用したデータの利用実績に基づいて、前記データの利用目的を実現する可能性の評価値として算出されることを特徴とするデータ流通制御方法。
　請求項３に記載のデータ流通制御方法であって、
　前記リスク情報は、
　前記データの機密性と、完全性と、可用性と、説明追求性のそれぞれについてスコアが設定されたことを特徴とするデータ流通制御方法。
　プロセッサとメモリを有する認可サーバと、データを提供する提供側計算機と、前記データを利用する利用側計算機と、を有するデータ流通制御システムであって、
　前記利用側計算機は、
　過去に認可された前記データの利用状況を前記認可サーバへ通知する監視部と、
　前記データを利用する際のセキュリティ対策に関する保護レベル情報と、前記データの利用目的を含む利用ポリシを前記認可サーバに申請する利用申請部を有し、
　前記認可サーバは、
　前記データの利用状況と前記保護レベル情報と前記データの利用目的に基づいて、前記提供側計算機の前記データに対する前記利用側計算機のアクセスを制御するポリシ判定部と、を有することを特徴とするデータ流通制御システム。
　請求項６に記載のデータ流通制御システムであって、
　前記提供側計算機は、
　提供する前記データのリスクに関するリスク情報を前記認可サーバに登録するポリシ登録部を、有し、
　前記ポリシ判定部は、
　前記データの利用状況と前記保護レベル情報と前記データの利用目的に、前記リスク情報を加えて前記提供側計算機の前記データに対する前記利用側計算機のアクセスを制御することを特徴とするデータ流通制御システム。
　請求項７に記載のデータ流通制御システムであって、
　前記ポリシ判定部は、
　前記リスク情報からリスクの大きさを示すリスク評価値ＲＤを算出し、
　前記保護レベル情報からセキュリティ対策の程度を示す保護レベル評価値ＬＰを算出し、
　前記データの利用目的から利用目的評価値ＰＤを算出し、
　前記データの利用状況から利用目的を実現可能なスコアとして目的達成レベルＩＡＬを算出し、
　前記リスク評価値ＲＤと保護レベル評価値ＬＰと利用目的評価値ＰＤと目的達成レベルＩＡＬから信頼度を算出し、
　前記信頼度に基づいてアクセスポリシを生成することを特徴とするデータ流通制御システム。
　請求項８に記載のデータ流通制御システムであって、
　目的達成レベルＩＡＬは、
　前記利用側計算機が過去に利用したデータの利用実績に基づいて、前記データの利用目的を実現する可能性の評価値として算出されることを特徴とするデータ流通制御システム。
　請求項８に記載のデータ流通制御システムであって、
　前記リスク情報は、
　前記データの機密性と、完全性と、可用性と、説明追求性のそれぞれについてスコアが設定されたことを特徴とするデータ流通制御システム。
　プロセッサとメモリを有する認可サーバであって、
　前記プロセッサは、利用側計算機から過去に認可されたデータの利用状況を受信し、
　前記プロセッサは、前記利用側計算機から前記データを利用する際のセキュリティ対策に関する保護レベル情報と、前記データの利用目的を含む利用ポリシを受け付けて、
　前記プロセッサは、前記データの利用状況と前記保護レベル情報と前記データの利用目的に基づいて、提供側計算機の前記データに対する前記利用側計算機のアクセスを制御することを特徴とする認可サーバ。
　請求項１１に記載の認可サーバであって、
　前記プロセッサは、提供側計算機から、提供する前記データのリスクに関するリスク情報を受け付けて、
　前記プロセッサは、
　前記データの利用状況と前記保護レベル情報と前記データの利用目的に、前記リスク情報を加えて前記提供側計算機の前記データに対する前記利用側計算機のアクセスを制御することを特徴とする認可サーバ。
　請求項１２に記載の認可サーバであって、
　前記プロセッサは、前記リスク情報からリスクの大きさを示すリスク評価値ＲＤを算出し、前記保護レベル情報からセキュリティ対策の程度を示す保護レベル評価値ＬＰを算出し、前記データの利用目的から利用目的評価値ＰＤを算出し、前記データの利用状況から利用目的を実現可能なスコアとして目的達成レベルＩＡＬを算出し、前記リスク評価値ＲＤと保護レベル評価値ＬＰと利用目的評価値ＰＤと目的達成レベルＩＡＬから信頼度を算出し、前記信頼度に基づいてアクセスポリシを生成することを特徴とする認可サーバ。
　請求項１３に記載の認可サーバであって、
　目的達成レベルＩＡＬは、
　前記利用側計算機が過去に利用したデータの利用実績に基づいて、前記データの利用目的を実現する可能性の評価値として算出されることを特徴とする認可サーバ。
　請求項１４に記載の認可サーバであって、
　前記リスク情報は、
　前記データの機密性と、完全性と、可用性と、説明追求性のそれぞれについてスコアが設定されたことを特徴とする認可サーバ。