WO2023090157A1

WO2023090157A1 - データ処理装置、データ処理方法、及びコンピュータ読み取り可能な記録媒体

Info

Publication number: WO2023090157A1
Application number: PCT/JP2022/041021
Authority: WO
Inventors: 諒庄司; 久坂本
Original assignee: Ｎｅｃソリューションイノベータ株式会社
Priority date: 2021-11-16
Filing date: 2022-11-02
Publication date: 2023-05-25

Abstract

データ処理装置２０は、ログインを行ったユーザがログイン認証に成功した場合に、ユーザに対応付けられた認証コードを取得する、認証コード取得部１と、ログイン認証に成功したユーザを識別するための識別コードと、認証コードとを対応付けて管理する、コード管理部２と、データへのアクセス要求時に、アクセス要求を行ったユーザの識別コードに対応する認証コードの有無に基づいて、認証コードに対応するユーザに、データの利用権限を有するか否かを判定する、判定部３と、ユーザに利用権限が付与された場合、ユーザによるデータの処理を許可する、処理許可部４と、を備える。

Description

データ処理装置、データ処理方法、及びコンピュータ読み取り可能な記録媒体

　本開示は、データ処理装置、データ処理方法、及びこれらを実現するためのプログラムを記録したコンピュータ読み取り可能な記録媒体に関する。

　従来、ストレージに保存されたデータを、複数の端末装置から、アクセスできるようにするシステムがある。このようなシステムでは、データの不正利用を防止するために、データを暗号化するなどして、データのセキュリティを高めることが望まれている。例えば、特許文献１には、データのセキュリティを高めるシステムが開示されている。

　特許文献１に開示されたシステムは、ユーザ端末と鍵生成管理装置とを備えている。鍵生成管理装置は、暗号鍵と認証情報とを対応付けて格納する。そして、鍵生成管理装置は、ユーザ端末から送信される認証情報に基づいて認証を行い、認証が成功すると、暗号鍵をユーザ端末に送信する。ユーザ端末は、受信した暗号鍵を一時的に格納する。ユーザ端末は、特定のアプリケーションを実行し、そのアプリケーション上で、暗号鍵を用いて、格納している暗号化データを復号する。そして、ユーザ端末は、特定のアプリケーションに対するログアウト操作が行われているなど、所定の条件に基づいて受信した暗号鍵を削除する。

特開２０１４－１４９８０６号公報

　しかしながら、特許文献１に開示されたシステムのようにデータを保護した場合であっても、そのシステムが、管理者によるデータのアクセス権限の変更が可能な仕様であると、データを利用するユーザが意図しないデータアクセスが発生する可能性がある。

　また、特許文献１に開示されたシステムでは、特定のアプリケーションによって、暗号化されたデータが復号される。このため、データを保護するためには、特定のアプリケーションを準備し、それを実行する必要がある。また、特定のアプリケーションによるデータ保護を行う場合、データの利用権限がない第三者が、その特定のアプリケーションを使用することで、保護されたデータにアクセスできるおそれがある。このため、アプリケーションに依存しないデータ保護が望まれる。

　さらに、特許文献１に開示されたシステムでは、暗号化を所定条件で削除しているものの、一度復号したデータが平文のまま残存しているおそれがある。このとき、そのデータは、第三者によるアクセスが可能な状態であるため、十分なデータ保護が行われない。

　そこで、本開示の目的の一例は、アプリケーションに依存せずに、データの利用権限を有するユーザのみがデータ処理を行うことができるようにする。

　上記目的を達成するため、本開示の一側面におけるデータ処理装置は、
　ログインを行ったユーザがログイン認証に成功した場合に、前記ユーザに対応付けられた認証コードを取得する、認証コード取得部と、
　前記ログイン認証に成功したユーザを識別するための識別コードと、前記認証コードとを対応付けて管理する、コード管理部と、
　データへのアクセス要求時に、前記アクセス要求を行ったユーザの識別コードに対応する認証コードの有無に基づいて、前記認証コードに対応するユーザに、前記データの利用権限を有するか否かを判定する、判定部と、
　前記ユーザに利用権限が付与された場合、前記ユーザによる前記データの処理を許可する、処理許可部と、
　を備える、ことを特徴とする。

　また、上記目的を達成するため、本開示の一側面におけるデータ処理方法は、
　ログインを行ったユーザがログイン認証に成功した場合に、前記ユーザに対応付けられた認証コードを取得する、ステップと、
　前記ログイン認証に成功したユーザを識別するための識別コードと、前記認証コードとを対応付けて管理する、ステップと、
　データへのアクセス要求時に、前記アクセス要求を行ったユーザの識別コードに対応する認証コードの有無に基づいて、前記認証コードに対応するユーザに、前記データの利用権限を有するか否かを判定する、ステップと、
　前記ユーザに利用権限が付与された場合、前記ユーザによる前記データの処理を許可する、ステップと、
　を有する、ことを特徴とする。

　さらに、上記目的を達成するため、本開示の一側面におけるコンピュータ読み取り可能な記録媒体は、
　コンピュータに、
　ログインを行ったユーザがログイン認証に成功した場合に、前記ユーザに対応付けられた認証コードを取得する、ステップと、
　前記ログイン認証に成功したユーザを識別するための識別コードと、前記認証コードとを対応付けて管理する、ステップと、
　データへのアクセス要求時に、前記アクセス要求を行ったユーザの識別コードに対応する認証コードの有無に基づいて、前記認証コードに対応するユーザに、前記データの利用権限を有するか否かを判定する、ステップと、
　前記ユーザに利用権限が付与された場合、前記ユーザによる前記データの処理を許可する、ステップと、
　を実行させる命令を含むプログラムを記録している、ことを特徴とする。

　以上のように本開示によれば、アプリケーションに依存せずに、データの利用権限を有するユーザのみがデータ処理を行うことができる。

図１は、実施形態におけるデータ処理装置の概略構成を示す構成図である。図２は、データ処理装置を備えたデータ処理システムの構成を示すブロック図である。図３は、ユーザと認証コードとを対応付けたデータテーブルの一例を示す図である。図４は、識別コードと認証コードとを対応付けたデータテーブルの一例を示す図である。図５は、データ名、復号鍵、及び利用可能なユーザのログイン名を対応付けたデータテーブルの一例を示す図である。図６は、実施形態におけるデータ処理装置のログイン処理の実行時の動作を示すフロー図である。図７は、実施形態におけるデータ処理装置のアプリケーションプログラムの実行時の動作を示すフロー図である。図８は、実施形態におけるデータ処理装置を実現するコンピュータの一例を示すブロック図である。

　以下、実施形態におけるデータ処理装置、データ処理方法、及びプログラムについて、図１～図７を参照しながら説明する。

［装置構成］
　最初に、実施形態におけるデータ処理装置の概略構成について図１を用いて説明する。図１は、実施形態におけるデータ処理装置２０の概略構成を示す構成図である。

　データ処理装置２０は、データの利用権限を有するユーザによるデータの処理を許可する装置である。図１に示すように、データ処理装置２０は、認証コード取得部１と、コード管理部２と、判定部３と、処理許可部４と、を備えている。

　認証コード取得部１は、ログインを行ったユーザがログイン認証に成功した場合に、ユーザに対応付けられた認証コードを取得する。

　コード管理部２は、ログイン認証に成功したユーザを識別する識別コードと、認証コードとを対応付けて管理する。

　判定部３は、データへのアクセス要求時に、アクセス要求を行ったユーザの識別コードに対応する認証コードの有無を判定する。そして、判定部３は、認証コードがあると判定した場合に、認証コードに対応するユーザに、データの利用権限を付与する。

　処理許可部４は、ユーザに利用権限が付与された場合、ユーザによるデータの処理を許可する。

　以上のように、本実施形態のデータ処理装置２０は、ログインを行ったユーザが、ログイン認証に成功する都度、そのユーザに対して設定される認証コードを取得する。そして、データ処理装置２０は、ユーザに設定された認証コードが取得できたことを条件として、ユーザに対してデータの利用を許可する。このため、第三者がデータ処理装置２０を使用した場合であっても、認証コードが取得できていなければ、その第三者は、データの利用権限が無いものとして扱われ、データ処理装置２０でのデータ処理を行うことができない。つまり、データの利用権限を有するユーザのみがデータ処理を行うことができ、例えば、暗号鍵が削除されずに残っていたとしても、第三者がデータを扱うことは不可能である。

　また、本実施形態のデータ処理装置２０は、装置内で実行するアプリケーションがデータの利用を許可するのではなく、ログインしたユーザにデータの利用権限がある場合にデータの利用を許可している。つまり、データ処理装置２０を用いれば、利用するデータ毎に、データを保護するためのアプリケーションを準備しなくても、ログインするユーザ毎にデータを安全に保護することができる。

　例えば、ユーザＡのみが利用権限があるデータＸと、ユーザＢのみが利用権限があるデータＹとがあり、データ処理装置２０で、データ処理を行う２つのアプリケーションＰ、Ｑが実行されるとする。このとき、データ処理装置２０にログインしたユーザＡは、アプリケーションＰを使って、データＸを利用できるが、データＹを利用できない。また、ユーザＡは、アプリケーションＱを使って、データＸを利用できるが、データＹを利用できない。一方、データ処理装置２０にログインしたユーザＢは、アプリケーションＰを使って、データＹを利用できるが、データＸの利用はできない。また、ユーザＢは、アプリケーションＱを使って、データＹを利用できるが、データＸを利用できない。このように、データ処理装置２０は、アプリケーションに依存しないデータ保護を可能とする。

　さらに、本実施形態のデータ処理装置２０は、データにアクセスする都度、利用権限のあるユーザであればデータの処理を許可する。このため、利用権限のあるユーザが一度アクセスしたデータに、利用権限のない第三者が再度アクセスしたとしても、第三者は、そのデータを処理することができず、十分なデータ保護を行える。

　続いて、図２～図６を用いて、実施形態におけるデータ処理装置２０の構成及び機能について具体的に説明する。以下では、データ処理装置２０を備えたデータ処理システムについて説明する。

　図２は、データ処理装置２０を備えたデータ処理システム５０の構成を示すブロック図である。図２に示すように、実施形態におけるデータ処理装置２０は、ストレージ２１及び認証サーバ２２にデータ通信可能に接続されており、これらと共に、データ処理システム５０を構築している。なお、図２の例では、一つのデータ処理装置２０のみ図示されているが、データ処理システム５０には、複数のデータ処理装置２０が存在してもよい。

　ストレージ２１は、ＨＤＤ（Hard disk drive）及びＳＳＤ（Solid state drive）等を備えた装置であり、データ処理装置２０で扱われるデータを記憶する。ストレージ２１は、有線又は無線により、データ処理装置２０によりアクセスされる。ストレージ２１に記憶されるデータは、データ処理装置２０との間で受け渡しされる。ストレージ２１が記憶するデータは暗号化されている。また、データは、そのデータを作成したユーザ毎に異なる鍵で暗号化されている。

　認証サーバ２２は、有線又は無線により、データ処理装置２０とデータ通信するサーバ装置である。認証サーバ２２は、データ処理装置２０において、ユーザが、ログイン名及びパスワード、又は生体情報等を入力して、ログインを行うと、予め登録されている認証情報にログイン時に入力した情報を照合して、ログインしたユーザの認証を行う。認証サーバ２２は、ユーザのログイン認証が成功すると、そのユーザに対して、認証コードを生成し、データ処理装置２０へ送信する。認証コードは、電子署名を含む文字列（トークン）である。認証コードは、データ処理装置２０内で、データ処理を行うユーザを管理するのに用いられる。

　また、認証サーバ２２は、上述したように認証コードを生成すると、図３に示すように、生成した認証コードをユーザ（ログイン名）に対応付けて管理する。図３は、ユーザと認証コードとを対応付けたデータテーブルの一例を示す図である。

　図３に示すデータテーブルは、ユーザのログイン名と認証コードとを対応付けている。ログイン名は、後述するが、データ処理装置２０にユーザがログインするときに入力される、メールアドレス等、ユーザを一意に特定する文字列である。認証サーバ２２は、認証コードを、このログイン名に対応付け、メモリ等に格納する。

　なお、認証サーバ２２は、所定期間経過ごとに認証コードを生成し、生成した認証コードを、ログイン認証に成功したタイミングで、ユーザに対応付けることもできる。また、認証サーバ２２は、認証コードを生成してから一定期間が経過すると、認証コードを再生成することもできる。認証サーバ２２によって認証コードが定期的に生成されることにより、同じ認証コードが使い続けられる場合と比べて、データのセキュリティを高めることができる。

　図２に戻る。図２に示すように、データ処理装置２０は、図１で説明した、認証コード取得部１、コード管理部２、判定部３、及び処理許可部４に加え、受付部５と、データ実行部６と、をさらに備えている。

　データ実行部６は、アプリケーションプログラムを実行するためのデータ実行環境７を構築している。具体的には、データ実行環境７は、例えば、データ処理装置２０を構成するＯＳ（Operating System）上で構築されている。また、実施形態では、ストレージ２１に格納されているデータは、暗号化されている。このため、データ実行環境７では、アプリケーションプログラムは、復号されたデータを使用することになる。データの復号については後述する。

　また、データ実行部６は、認証サーバ２２においてユーザのログイン認証が成功すると、そのユーザに対してデータ実行環境７へのログインを許可し、データ実行環境７で使用するユニークな識別コードを設定する。そして、データ実行部６によって識別コードが設定されると、認証コード取得部１は、識別コードを取得し、更に、取得した識別コードをコード管理部２に渡す。

　識別コードは、データ実行部６が、データ実行環境７において、ユーザを識別するためのユーザＩＤである。識別コードは、アルファベット、数字、又はこれらを用いた文字列である。データ実行部６は、ユーザがデータ処理装置２０へログインする度に、そのユーザに対して異なる識別コードを設定してもよいし、同じユーザに対しては常に同じ識別コードを設定してもよい。

　データ実行部６は、受付部５が受け付けたユーザの操作に従い、ストレージ２１に対して、格納されているデータのアクセス要求を行う。例えば、データ実行部６は、アクセス要求するデータの識別情報を含む信号を出力する。データの識別情報とは、例えば、データのファイル名等の識別子（データ名）である。

　受付部５は、ユーザによる操作、例えば、データ処理装置２０へのログイン操作、データのアクセス操作といった、ユーザにより入力された各種操作を受け付ける。例えば、ログイン操作において、ユーザが、ログイン名及びパスワード等の認証情報を入力すると、受付部５は、これらの情報を受け付ける。ログイン名としては、メールアドレス、ユーザを一意に特定する文字列等が挙げられる。また、受付部５は、ログイン名及びパスワードに代えて、ユーザの生体情報等を読み取る構成であってもよい。データのアクセス操作では、ユーザは、処理を行うデータの識別子、例えば、ファイル名を入力する。

　認証コード取得部１は、受付部５がユーザによるログイン操作を受け付けると、ログイン操作で入力された認証情報を、認証サーバ２２へ送信する。認証サーバ２２は、上述したように、受信した認証情報が、データ処理装置２０の利用権限を有するユーザとして管理されている認証情報と一致するかどうかを判定する。一致する場合、認証サーバ２２は、ログイン操作を行ったユーザを認証する。認証サーバ２２は、ログインが成功した場合は、ログインを行ったユーザに対して、認証コードを設定し、設定した認証コードをデータ処理装置２０へ送信する。

認証コード取得部１は、認証サーバ２２から送信された認証コードを取得する。なお、図２の例では、ログイン認証は、外部の認証サーバ２２によって行われているが、認証サーバの機能がデータ処理装置２０に備えられている場合は、データ処理装置２０の内部で行われてもよい。

　コード管理部２は、データ実行部６から識別コードを取得すると、取得した識別コードを、認証コード取得部１が取得した認証コードに対応付けて管理する。コード管理部２は、例えば、認証コードと識別コードとを対応付けた、図４に示すデータテーブルを用いて管理を行う。図４は、識別コードと認証コードとを対応付けたデータテーブルの一例を示す図である。

　識別コードが設定されると、ユーザは、データ実行環境７において、識別コードの権限に基づいてアプリケーションプログラムを実行できる。この場合、アプリケーションプログラムは、ストレージ２１に格納されているデータを読み出す。また、アプリケーションプログラムは、データを読み出す際に、ＯＳが提供するシステムコールを実行し、システムコールに識別コードを付与する。

　処理許可部４は、実施形態では、アプリケーションプログラムによるシステムコールをフックし、システムコールの実行に関係する識別コードを特定し、特定した識別コードをコード管理部２に渡す。これにより、コード管理部２は、管理しているデータテーブルから、渡された識別コードに対応する認証コードを特定し、特定した認証コードを、処理許可部４に返却する。この結果、処理許可部４は、対応する認証コードを取得することができる。

　加えて、処理許可部４は、フックしたシステムコールから、アプリケーションプログラムの実行対象となるデータのデータ名（具体的には、データが存在しているロケ―ション識別子）を取得する。そして、処理許可部４は、取得したデータ名と認証コードとを、判定部３に渡す。

　判定部３は、実施形態では、データ実行環境７においてアプリケーションプログラムを実行したユーザに、データの利用権限があるか否かを判定する。具体的には、判定部３は、まず、処理許可部４からデータ名と認証コードとが渡されると、認証コードを、認証サーバ２２に送る。これにより、認証サーバ２２は、送られてきた認証コードを設定したログイン名を返却する。判定部３は、アプリケーションプログラムを実行したユーザのログイン名を特定する。

　また、判定部３は、実施形態では、データ毎に、各データを復号するための復号鍵と、その復号鍵に対応するデータを利用可能なユーザと、を対応付けて管理している。図５は、データ名、復号鍵、及び利用可能なユーザのログイン名を対応付けたデータテーブルの一例を示す図である。図５に示すように、判定部３は、データテーブルによって、データのデータ名（識別情報）と、そのデータの復号鍵と、データの利用権限を有するユーザ（ログイン名）とを対応付けて管理する。

　判定部３は、上述したように、ログイン名を特定すると、特定したログイン名が対応するデータ名と、処理許可部４から渡されたデータ名とを比較する。比較の結果、両者が一致する場合は、判定部３は、アプリケーションプログラムを実行したユーザには、データの使用権限があると判定する。また、この場合、判定部３は、処理許可部４に、対応する復号鍵を送る。処理許可部４は、復号鍵によってデータを復号し、ユーザにデータの処理を許可する。一方、両者が一致しない場合は、判定部３は、アプリケーションプログラムを実行したユーザには、そのデータの利用権限がないと判定する。

　なお、データを復号する復号鍵は、別途、鍵を管理する鍵管理部によって管理されていてもよい。また、暗号化と復号に必要な鍵は、同じ鍵（共通鍵）であってもよいし、異なる鍵（秘密鍵と公開鍵）であってもよい。処理許可部４は、外部から復号鍵を取得した場合、データを復号すると、取得した復号鍵を削除することが好ましい。

［装置動作］
　次に、実施形態におけるデータ処理装置２０の動作について図６及び図７を用いて説明する。以下の説明においては、適宜図１～図５を参照する。また、実施形態では、データ処理装置２０を動作させることによって、データ処理方法が実施される。よって、実施形態におけるデータ処理方法の説明は、以下のデータ処理装置２０の動作説明に代える。

　図６を用いて、データ処理装置２０におけるログイン処理について説明する。図６は、実施形態におけるデータ処理装置のログイン処理の実行時の動作を示すフロー図である。

　図６に示すように、最初に、データ処理装置２０において、受付部５は、ユーザによるログイン操作が行われると、ログイン操作を受け付ける（ステップＳ１）。受付部５は、ログイン操作を受け付けると、ログイン操作によって入力された認証情報を、認証コード取得部１に渡す。次に、認証コード取得部１は、入力された認証情報を、認証サーバ２２へ送信し、ログイン認証を依頼する（ステップＳ２）。

　認証サーバ２２は、認証情報を受信すると、認証処理を実行し、ログイン認証が成功した場合は、認証コードを生成し、生成した認証コードを、ログインを行ったユーザ（ログイン名）に対応付ける。また、認証サーバ２２は、ログイン認証が成功した場合は、ログインしたユーザに対応づけた認証コードをデータ処理装置２０に送信する。この場合、認証コード取得部１は、送信されてきた認証コードを取得する（ステップＳ３）。

　次に、データ実行部６は、認証サーバ２２においてユーザのログイン認証が成功するとユーザによるデータ実行環境７へのログインを許可する（ステップＳ４）。続いて、データ実行部６は、ユーザに対して、データ実行環境７下で使用する識別コードを設定する（ステップＳ５）。

　次に、コード管理部２は、上述の図４に示したように、ステップＳ３で取得された認証コードと、ステップＳ５で設定された識別コードとを対応付けて管理する（ステップＳ６）。そして、本処理は終了する。

　続いて、図７を用いて、データ処理装置２０におけるデータ実行処理について説明する。図７は、実施形態におけるデータ処理装置２０のアプリケーションプログラムの実行時の動作を示すフロー図である。

　まず、前提として、識別コードが設定されたユーザが、受付部５を介して、アプリケーションプログラムの実行操作を行い、データ実行環境７において、アプリケーションプログラムが実行されたとする。また、アプリケーションプログラムは、ストレージ２１に格納されているデータを読み出す際に、ＯＳが提供するシステムコールを実行し、システムコールに識別コードを付与する。

　図７に示すように、処理許可部４は、アプリケーションプログラムによるシステムコールがあると、それをフックし、システムコールの実行に関係する識別コードを特定する（ステップＳ１１）。また、処理許可部４は、特定した識別コードをコード管理部２に渡す。

　次に、コード管理部２は、管理しているデータテーブルから、渡された識別コードに対応する認証コードを特定し、特定した認証コードを、処理許可部４に返却する。これにより、処理許可部４は、データのアクセス要求を行ったユーザに対応する認証コードを取得する（ステップＳ１２）。

　次に、処理許可部４は、ステップＳ１１でフックしたシステムコールから、アプリケーションプログラムが読みだそうとしているデータのデータ名を取得する（ステップＳ１３）。そして、処理許可部４は、取得したデータ名と認証コードとを、判定部３に渡す。

　次に、判定部３は、認証コードを認証サーバ２２に送って、アプリケーションプログラムを実行したユーザのログイン名を特定する（ステップＳ１４）。具体的には、判定部３は、取得した認証コードを、認証サーバ２２に送る。これにより、認証サーバ２２は、送られてきた認証コードを設定したログイン名を返却するので、判定部３は、ログイン名を取得する。

　次に、判定部３は、アプリケーションプログラムを実行したユーザに、実行対象となるデータの利用権限があるか否かを判定する（ステップＳ１５）。詳しくは、判定部３は、図５のデータテーブルを参照し、特定したログイン名が対応するデータ名と、処理許可部４から渡されたデータ名とを比較し、両者が一致する場合は、アプリケーションプログラムを実行したユーザには、データの使用権限があると判定する。

　ユーザにデータの利用権限がない場合は（ステップＳ１５：ＮＯ）、データ処理装置２０は、利用権限がない内容を通知する等の処理を実行し、本処理は終了する。一方、ユーザにデータの利用権限がある場合（ステップＳ１５：ＹＥＳ）、判定部３は、図５のデータテーブルを参照して、ログイン名及びデータ名に対応する復号鍵を特定する。そして、判定部３は、処理許可部４に、対応する復号鍵を送る。これにより、処理許可部４は、復号鍵によってデータを復号し、ユーザにデータの処理を許可する（ステップＳ１６）。

　以上のように本実施形態のデータ処理装置２０は、ログインしたユーザに認証コードを設定して、ユーザを管理している。そして、データ処理装置２０は、認証コードから、データへアクセス要求をしたユーザを特定し、そのユーザにデータの利用権限があるか否かを判定し、データの処理を許可している。つまり、第三者がデータ処理装置２０を使用した場合であっても、認証コードが設定されていなければ、データの利用権限が無いものとして扱われ、その第三者によるデータの処理は許可されない。これにより、利用権限を有さないユーザによるデータの利用を排除することができる。

　また、データ処理システム５０に複数のデータ処理装置２０がある場合、ユーザは、データの利用権限を有していれば、どのデータ処理装置２０からであっても、データを処理できる。

　さらに、各データ処理装置２０は、装置内で実行するアプリケーションでデータの利用を許可するのではなく、ログインしたユーザにデータの利用権限がある場合にデータの利用を許可している。つまり、図２で説明した各部を有する装置であれば、利用するデータ毎に、データを保護するためのアプリケーションを準備しなくても、ログインするユーザ毎にデータを安全に保護することができる。

　また、ユーザは、データ処理装置２０にログインするだけで、自身が利用権限のあるデータを扱えるようになるため、保護された（暗号化された）データの復号を意識することなく、そのデータを利用することができる。

　また、利用権限のあるユーザが一度アクセスしたデータであっても、データのアクセス毎に復号するため、データが平文の状態で残存することがない。このため、利用権限のない第三者が再度アクセスしたとしても、第三者は、そのデータを処理することができず、十分なデータ保護を行える。

　なお、本実施形態では、認証コードは電子署名を含む文字列として説明したが、認証コードは、ユーザが利用可能なデータ一覧の情報を含んでもよい。この場合、判定部３は、認証コードから、特定したユーザはどのデータの利用が可能かを判定することができる。この場合、判定部３は、図５に示すデータテーブルを管理する必要がない。

　また、データを記憶するストレージ２１は、データ処理装置２０に設けられていてもよいし、認証サーバ２２に設けられていてもよい。

［プログラム］
　実施形態におけるプログラムは、コンピュータに、図６に示すステップＳ１～Ｓ６、及び図７に示すＳ１１～Ｓ１６を実行させるプログラムであればよい。このプログラムをコンピュータにインストールし、実行することによって、本実施形態におけるデータ処理装置２０とデータ処理方法とを実現することができる。この場合、コンピュータのプロセッサは、認証コード取得部１と、コード管理部２と、判定部３と、処理許可部４と、受付部５と、データ実行部６と、として機能し、処理を行なう。コンピュータとしては、汎用のＰＣの他に、スマートフォン、タブレット型端末装置が挙げられる。

　また、実施形態におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されてもよい。この場合は、例えば、各コンピュータが、それぞれ、認証コード取得部１、コード管理部２、判定部３、処理許可部４、受付部５、及びデータ実行部６、のいずれかとして機能してもよい。

［物理構成］
　ここで、実施形態におけるプログラムを実行することによって、データ処理装置２０を実現するコンピュータについて図８を用いて説明する。図８は、実施形態におけるデータ処理装置２０を実現するコンピュータの一例を示すブロック図である。

　図８に示すように、コンピュータ１１０は、ＣＰＵ（Central Processing Unit）１１１と、メインメモリ１１２と、記憶装置１１３と、入力インターフェイス１１４と、表示コントローラ１１５と、データリーダ／ライタ１１６と、通信インターフェイス１１７とを備える。これらの各部は、バス１２１を介して、互いにデータ通信可能に接続される。

　また、コンピュータ１１０は、ＣＰＵ１１１に加えて、又はＣＰＵ１１１に代えて、ＧＰＵ（Graphics Processing Unit）、又はＦＰＧＡ（Field-Programmable Gate Array）を備えていてもよい。この態様では、ＧＰＵ又はＦＰＧＡが、実施形態におけるプログラムを実行することができる。

　ＣＰＵ１１１は、記憶装置１１３に格納された、コード群で構成された実施形態におけるプログラムをメインメモリ１１２に展開し、各コードを所定順序で実行することにより、各種の演算を実施する。メインメモリ１１２は、典型的には、ＤＲＡＭ（Dynamic Random Access Memory）等の揮発性の記憶装置である。

　また、本実施形態におけるプログラムは、コンピュータ読み取り可能な記録媒体１２０に格納された状態で提供される。なお、本実施形態におけるプログラムは、通信インターフェイス１１７を介して接続されたインターネット上で流通するものであってもよい。

　また、記憶装置１１３の具体例としては、ハードディスクドライブの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス１１４は、ＣＰＵ１１１と、キーボード及びマウスといった入力機器１１８との間のデータ伝送を仲介する。表示コントローラ１１５は、ディスプレイ装置１１９と接続され、ディスプレイ装置１１９での表示を制御する。

　データリーダ／ライタ１１６は、ＣＰＵ１１１と記録媒体１２０との間のデータ伝送を仲介し、記録媒体１２０からのプログラムの読み出し、及びコンピュータ１１０における処理結果の記録媒体１２０への書き込みを実行する。通信インターフェイス１１７は、ＣＰＵ１１１と、他のコンピュータとの間のデータ伝送を仲介する。

　また、記録媒体１２０の具体例としては、ＣＦ（Compact Flash（登録商標））及びＳＤ（Secure Digital）等の汎用的な半導体記憶デバイス、フレキシブルディスク（Flexible Disk）等の磁気記録媒体、又はＣＤ－ＲＯＭ（Compact Disk Read Only Memory）等の光学記録媒体が挙げられる。

　なお、実施形態におけるデータ処理装置２０は、プログラムがインストールされたコンピュータではなく、各部に対応したハードウェアを用いることによっても実現可能である。さらに、データ処理装置２０は、一部がプログラムで実現され、残りの部分がハードウェアで実現されていてもよい。

　上述した実施形態の一部又は全部は、以下に記載する（付記１）～（付記１５）によって表現することができるが、以下の記載に限定されるものではない。

（付記１）
　ログインを行ったユーザがログイン認証に成功した場合に、前記ユーザに対応付けられた認証コードを取得する、認証コード取得部と、
　前記ログイン認証に成功したユーザを識別するための識別コードと、前記認証コードとを対応付けて管理する、コード管理部と、
　データへのアクセス要求時に、前記アクセス要求を行ったユーザの識別コードに対応する認証コードの有無に基づいて、前記認証コードに対応するユーザに、前記データの利用権限を有するか否かを判定する、判定部と、
　前記ユーザに利用権限が付与された場合、前記ユーザによる前記データの処理を許可する、処理許可部と、
　を備える、データ処理装置。

（付記２）
　付記１に記載のデータ処理装置であって、
　前記データは暗号化されており、
　前記判定部は、更に、データ毎に、当該データを復号するための復号鍵と、当該データを利用できるユーザとを対応付けて管理し、
　前記処理許可部は、前記ユーザに利用権限が付与された場合に、当該ユーザに対応する前記復号鍵を取得し、前記復号鍵で前記データを復号する、
　データ処理装置。

（付記３）
　付記１又は付記２に記載のデータ処理装置であって、
　前記認証コード取得部が取得する認証コードは、所定期間毎に生成される、
　データ処理装置。

（付記４）
　付記１から付記３のいずれか一つに記載のデータ処理装置であって、
　前記ユーザが前記ログイン認証に成功した場合に、前記ユーザに対して前記識別コードを設定し、前記識別コードが設定されたユーザがアプリケーションプログラムの実行を要求した場合に、前記アプリケーションプログラムを実行する、データ実行部を更に備え、
　前記処理許可部は、前記アプリケーションプログラムの実行が要求されると、要求したユーザの前記識別コードを特定し、更に、特定した前記識別コードに対応する認証コードを取得し、そして、前記アプリケーションプログラムの実行対象となるデータと取得した前記認証コードとを、前記判定部に通知し、
　前記判定部は、前記認証コードに対応付けられたユーザが、前記アプリケーションプログラムの実行対象となるデータの利用権限を有するか否かを判定する、
　データ処理装置。

（付記５）
　付記４に記載のデータ処理装置であって、
　前記判定部は、
　前記データの識別情報と、前記データの利用権限を有するユーザとの対応関係を管理しており、前記対応関係に基づいて、前記認証コードに対応付けられたユーザが、前記アプリケーションプログラムの実行対象となるデータの利用権限を有するか否かを判定する、
　データ処理装置。

（付記６）
　ログインを行ったユーザがログイン認証に成功した場合に、前記ユーザに対応付けられた認証コードを取得する、ステップと、
　前記ログイン認証に成功したユーザを識別するための識別コードと、前記認証コードとを対応付けて管理する、ステップと、
　データへのアクセス要求時に、前記アクセス要求を行ったユーザの識別コードに対応する認証コードの有無に基づいて、前記認証コードに対応するユーザに、前記データの利用権限を有するか否かを判定する、ステップと、
　前記ユーザに利用権限が付与された場合、前記ユーザによる前記データの処理を許可する、ステップと、
　を備える、データ処理方法。

（付記７）
　付記６に記載のデータ処理方法であって、
　前記データは暗号化されており、
　前記データの利用権限を有するか否かを判定するステップでは、更に、データ毎に、当該データを復号するための復号鍵と、当該データを利用できるユーザとを対応付けて管理し、
　前記データの処理を許可するステップでは、前記ユーザに利用権限が付与された場合に、当該ユーザに対応する前記復号鍵を取得し、前記復号鍵で前記データを復号する、
　データ処理方法。

（付記８）
　付記６又は付記７に記載のデータ処理方法であって、
　前記認証コードを取得するステップで取得される認証コードは、所定期間毎に生成される、
　データ処理方法。

（付記９）
　付記６から付記８のいずれか一つに記載のデータ処理方法であって、
　前記ユーザが前記ログイン認証に成功した場合に、前記ユーザに対して前記識別コードを設定し、前記識別コードが設定されたユーザがアプリケーションプログラムの実行を要求した場合に、前記アプリケーションプログラムを実行する、ステップを更に備え、
　前記データの処理を許可するステップでは、前記アプリケーションプログラムの実行が要求されると、要求したユーザの前記識別コードを特定し、更に、特定した前記識別コードに対応する認証コードを取得し、そして、前記アプリケーションプログラムの実行対象となるデータと取得した前記認証コードとを通知し、
　前記データの利用権限を有するか否かを判定するステップでは、前記認証コードに対応付けられたユーザが、前記アプリケーションプログラムの実行対象となるデータの利用権限を有するか否かを判定する、
　データ処理方法。

（付記１０）
　付記９に記載のデータ処理方法であって、
　前記データの利用権限を有するか否かを判定するステップでは、
　前記データの識別情報と、前記データの利用権限を有するユーザとの対応関係を管理しており、前記対応関係に基づいて、前記認証コードに対応付けられたユーザが、前記アプリケーションプログラムの実行対象となるデータの利用権限を有するか否かを判定する、
　データ処理方法。

（付記１１）
　コンピュータに、
　ログインを行ったユーザがログイン認証に成功した場合に、前記ユーザに対応付けられた認証コードを取得する、ステップと、
　前記ログイン認証に成功したユーザを識別するための識別コードと、前記認証コードとを対応付けて管理する、ステップと、
　データへのアクセス要求時に、前記アクセス要求を行ったユーザの識別コードに対応する認証コードの有無に基づいて、前記認証コードに対応するユーザに、前記データの利用権限を有するか否かを判定する、ステップと、
　前記ユーザに利用権限が付与された場合、前記ユーザによる前記データの処理を許可する、ステップと、
　を実行させる命令を含むプログラムを記録している、コンピュータ読み取り可能な記録媒体。

（付記１２）
　付記１１に記載のコンピュータ読み取り可能な記録媒体であって、
　前記データは暗号化されており、
　前記データの利用権限を有するか否かを判定するステップでは、更に、データ毎に、当該データを復号するための復号鍵と、当該データを利用できるユーザとを対応付けて管理し、
　前記データの処理を許可するステップでは、前記ユーザに利用権限が付与された場合に、当該ユーザに対応する前記復号鍵を取得し、前記復号鍵で前記データを復号する、
　コンピュータ読み取り可能な記録媒体。

（付記１３）
　付記１１又は付記１２に記載のコンピュータ読み取り可能な記録媒体であって、
　前記認証コードを取得するステップで取得される認証コードは、所定期間毎に生成される、
　コンピュータ読み取り可能な記録媒体。

（付記１４）
　付記１１から付記１３のいずれか一つに記載のコンピュータ読み取り可能な記録媒体であって、
　前記プログラムが、前記コンピュータに、
　前記ユーザが前記ログイン認証に成功した場合に、前記ユーザに対して前記識別コードを設定し、前記識別コードが設定されたユーザがアプリケーションプログラムの実行を要求した場合に、前記アプリケーションプログラムを実行する、ステップ、
　を実行させる命令を更に含み、
　前記データの処理を許可するステップでは、前記アプリケーションプログラムの実行が要求されると、要求したユーザの前記識別コードを特定し、更に、特定した前記識別コードに対応する認証コードを取得し、そして、前記アプリケーションプログラムの実行対象となるデータと取得した前記認証コードとを通知し、
　前記データの利用権限を有するか否かを判定するステップでは、前記認証コードに対応付けられたユーザが、前記アプリケーションプログラムの実行対象となるデータの利用権限を有するか否かを判定する、
　コンピュータ読み取り可能な記録媒体。

（付記１５）
　付記１４に記載のコンピュータ読み取り可能な記録媒体であって、
　前記データの利用権限を有するか否かを判定するステップでは、
　前記データの識別情報と、前記データの利用権限を有するユーザとの対応関係を管理しており、前記対応関係に基づいて、前記認証コードに対応付けられたユーザが、前記アプリケーションプログラムの実行対象となるデータの利用権限を有するか否かを判定する、
　コンピュータ読み取り可能な記録媒体。

　以上、実施の形態を参照して本願発明を説明したが、本願発明は上記実施の形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　この出願は、２０２１年１１月１６日に出願された日本出願特願２０２１－１８６３２８を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　本開示のデータ処理装置は、データの利用権限を有するユーザのみがデータ処理を行うことができる。本開示のデータ処理装置は、ユーザ毎にデータを安全に扱うシステムに用いることができる。

１　　　：認証コード取得部
２　　　：コード管理部
３　　　：判定部
４　　　：処理許可部
５　　　：受付部
６　　　：データ実行部
２０　　：データ処理装置
２０Ａ　：データ実行環境
２１　　：ストレージ
２２　　：認証サーバ
５０　　：データ処理システム
１１０　：コンピュータ
１１１　：ＣＰＵ
１１２　：メインメモリ
１１３　：記憶装置
１１４　：入力インターフェイス
１１５　：表示コントローラ
１１６　：ライタ
１１７　：通信インターフェイス
１１８　：入力機器
１１９　：ディスプレイ装置
１２０　：記録媒体
１２１　：バス

Claims

　ログインを行ったユーザがログイン認証に成功した場合に、前記ユーザに対応付けられた認証コードを取得する、認証コード取得手段と、
　前記ログイン認証に成功したユーザを識別するための識別コードと、前記認証コードとを対応付けて管理する、コード管理手段と、
　データへのアクセス要求時に、前記アクセス要求を行ったユーザの識別コードに対応する認証コードの有無に基づいて、前記認証コードに対応するユーザに、前記データの利用権限を有するか否かを判定する、判定手段と、
　前記ユーザに利用権限が付与された場合、前記ユーザによる前記データの処理を許可する、処理許可手段と、
　を備える、データ処理装置。
　請求項１に記載のデータ処理装置であって、
　前記データは暗号化されており、
　前記判定手段は、更に、データ毎に、当該データを復号するための復号鍵と、当該データを利用できるユーザとを対応付けて管理し、
　前記処理許可手段は、前記ユーザに利用権限が付与された場合に、当該ユーザに対応する前記復号鍵を取得し、前記復号鍵で前記データを復号する、
　データ処理装置。
　請求項１又は請求項２に記載のデータ処理装置であって、
　前記認証コード取得手段が取得する認証コードは、所定期間毎に生成される、
　データ処理装置。
　請求項１に記載のデータ処理装置であって、
　前記ユーザが前記ログイン認証に成功した場合に、前記ユーザに対して前記識別コードを設定し、前記識別コードが設定されたユーザがアプリケーションプログラムの実行を要求した場合に、前記アプリケーションプログラムを実行する、データ実行手段を更に備え、
　前記処理許可手段は、前記アプリケーションプログラムの実行が要求されると、要求したユーザの前記識別コードを特定し、更に、特定した前記識別コードに対応する認証コードを取得し、そして、前記アプリケーションプログラムの実行対象となるデータと取得した前記認証コードとを、前記判定手段に通知し、
　前記判定手段は、前記認証コードに対応付けられたユーザが、前記アプリケーションプログラムの実行対象となるデータの利用権限を有するか否かを判定する、
　データ処理装置。
　請求項４に記載のデータ処理装置であって、
　前記判定手段は、
　前記データの識別情報と、前記データの利用権限を有するユーザとの対応関係を管理しており、前記対応関係に基づいて、前記認証コードに対応付けられたユーザが、前記アプリケーションプログラムの実行対象となるデータの利用権限を有するか否かを判定する、
　データ処理装置。
　ログインを行ったユーザがログイン認証に成功した場合に、前記ユーザに対応付けられた認証コードを取得し、
　前記ログイン認証に成功したユーザを識別するための識別コードと、前記認証コードとを対応付けて管理し、
　データへのアクセス要求時に、前記アクセス要求を行ったユーザの識別コードに対応する認証コードの有無に基づいて、前記認証コードに対応するユーザに、前記データの利用権限を有するか否かを判定し、
　前記ユーザに利用権限が付与された場合、前記ユーザによる前記データの処理を許可する、
データ処理方法。
　請求項６に記載のデータ処理方法であって、
　前記データは暗号化されており、
　前記データの利用権限を有するか否かの判定では、更に、データ毎に、当該データを復号するための復号鍵と、当該データを利用できるユーザとを対応付けて管理し、
　前記データの処理の許可では、前記ユーザに利用権限が付与された場合に、当該ユーザに対応する前記復号鍵を取得し、前記復号鍵で前記データを復号する、
　データ処理方法。
　請求項６又は請求項７に記載のデータ処理方法であって、
　前記認証コードを取得するステップで取得される認証コードは、所定期間毎に生成される、
　データ処理方法。
　請求項６に記載のデータ処理方法であって、
　更に、前記ユーザが前記ログイン認証に成功した場合に、前記ユーザに対して前記識別コードを設定し、前記識別コードが設定されたユーザがアプリケーションプログラムの実行を要求した場合に、前記アプリケーションプログラムを実行し、
　前記データの処理の許可では、前記アプリケーションプログラムの実行が要求されると、要求したユーザの前記識別コードを特定し、更に、特定した前記識別コードに対応する認証コードを取得し、そして、前記アプリケーションプログラムの実行対象となるデータと取得した前記認証コードとを通知し、
　前記データの利用権限を有するか否かの判定では、前記認証コードに対応付けられたユーザが、前記アプリケーションプログラムの実行対象となるデータの利用権限を有するか否かを判定する、
　データ処理方法。
　請求項９に記載のデータ処理方法であって、
　前記データの利用権限を有するか否かの判定では、
　前記データの識別情報と、前記データの利用権限を有するユーザとの対応関係を管理しており、前記対応関係に基づいて、前記認証コードに対応付けられたユーザが、前記アプリケーションプログラムの実行対象となるデータの利用権限を有するか否かを判定する、
　データ処理方法。
　コンピュータに、
　ログインを行ったユーザがログイン認証に成功した場合に、前記ユーザに対応付けられた認証コードを取得させ、
　前記ログイン認証に成功したユーザを識別するための識別コードと、前記認証コードとを対応付けて管理させ、
　データへのアクセス要求時に、前記アクセス要求を行ったユーザの識別コードに対応する認証コードの有無に基づいて、前記認証コードに対応するユーザに、前記データの利用権限を有するか否かを判定させ、
　前記ユーザに利用権限が付与された場合、前記ユーザによる前記データの処理を許可させる、
　命令を含むプログラムを記録している、
コンピュータ読み取り可能な記録媒体。
　請求項１１に記載のコンピュータ読み取り可能な記録媒体であって、
　前記データは暗号化されており、
　前記データの利用権限を有するか否かの判定では、更に、データ毎に、当該データを復号するための復号鍵と、当該データを利用できるユーザとを対応付けて管理し、
　前記データの処理の許可では、前記ユーザに利用権限が付与された場合に、当該ユーザに対応する前記復号鍵を取得し、前記復号鍵で前記データを復号する、
　コンピュータ読み取り可能な記録媒体。
　請求項１１又は請求項１２に記載のコンピュータ読み取り可能な記録媒体であって、
　前記認証コードを取得するステップで取得される認証コードは、所定期間毎に生成される、
　コンピュータ読み取り可能な記録媒体。
　請求項１１に記載のコンピュータ読み取り可能な記録媒体であって、
　前記プログラムが、前記コンピュータに、更に
　前記ユーザが前記ログイン認証に成功した場合に、前記ユーザに対して前記識別コードを設定させ、前記識別コードが設定されたユーザがアプリケーションプログラムの実行を要求した場合に、前記アプリケーションプログラムを実行させる命令を含み、
　前記データの処理の許可では、前記アプリケーションプログラムの実行が要求されると、要求したユーザの前記識別コードを特定し、更に、特定した前記識別コードに対応する認証コードを取得し、そして、前記アプリケーションプログラムの実行対象となるデータと取得した前記認証コードとを通知し、
　前記データの利用権限を有するか否かの判定では、前記認証コードに対応付けられたユーザが、前記アプリケーションプログラムの実行対象となるデータの利用権限を有するか否かを判定する、
　コンピュータ読み取り可能な記録媒体。
　請求項１４に記載のコンピュータ読み取り可能な記録媒体であって、
　前記データの利用権限を有するか否かの判定では、
　前記データの識別情報と、前記データの利用権限を有するユーザとの対応関係を管理しており、前記対応関係に基づいて、前記認証コードに対応付けられたユーザが、前記アプリケーションプログラムの実行対象となるデータの利用権限を有するか否かを判定する、
　コンピュータ読み取り可能な記録媒体。