WO2023132049A1

WO2023132049A1 - 個人情報制御方法、情報処理装置、及び個人情報制御プログラム

Info

Publication number: WO2023132049A1
Application number: PCT/JP2022/000326
Authority: WO
Inventors: 陸大小嶋; 秀暢小栗; 孝一矢崎; 大山本; 和明二村
Original assignee: 富士通株式会社
Priority date: 2022-01-07
Filing date: 2022-01-07
Publication date: 2023-07-13

Abstract

属性管理情報は、複数の属性情報を含み、かつ、複数の属性情報のうち１つの属性情報が示す属性の範囲が、その属性情報よりも上位の属性情報が示す属性の範囲に含まれる階層構造を有する。コンピュータは、個人情報所有者が特定の属性を有することを示す個人情報の開示を要求する開示要求を受け付ける。コンピュータは、属性管理情報において、第１属性情報が示す第１属性と、第１属性情報よりも上位の第２属性情報が示す第２属性とが、特定の属性に対応するか否かを判定する判定処理を行う。第１属性情報は、個人情報所有者が保有する１つ又は複数の個人情報それぞれに対応する。コンピュータは、判定処理の結果に基づいて、１つ又は複数の個人情報の何れかを開示対象の個人情報として選択する。

Description

個人情報制御方法、情報処理装置、及び個人情報制御プログラム

　本発明は、個人情報制御技術に関する。

　近年、政府から国内外に向けて、Society5.0の実現が提唱されている。Society5.0は、サイバー空間（仮想空間）とフィジカル空間（現実空間）を高度に融合させたシステムにより、経済発展と社会的課題の解決を両立する、人間中心の社会である。Society5.0の根幹となる法人認証及びトラストサービス基盤の実現のため、人、組織、及び物の認証とデータの完全性とを確保する技術のニーズが年々高まっている。

　特に、サイバー空間において、ユーザを識別するためのデジタルアイデンティティをどのように扱うかは、Society5.0の実現に向けた重要な課題の１つである。単一のＩｄＰ（Identity　Provider）がユーザＩＤを仲介して複数のサービスを提供する場合、ＩｄＰは、ユーザが保有する個人情報とユーザが利用したサービスとを含む情報を取得することが可能となり、深刻なプライバシーリスクに繋がる。個人情報は、ユーザの属性を示す情報を含む。

　これに対して、ＩｄＰ等の中央集権的なシステムを介することなく、個人が保有する個人情報を自らの意思で制御できるようにするべきであるという考え方が存在する（例えば、非特許文献１を参照）。この考え方は、自己主権型アイデンティティ（Self-Sovereign　Identity，ＳＳＩ）と呼ばれ、近年、欧米を中心として活発に議論されている。

　現在、ＳＳＩを実現できるデジタルアイデンティティ発行の具体的な方法の標準化が、Ｗ３Ｃ（World　Wide　Web　Consortium）等の国際団体によって進められている。標準化が進められている方法は、分散型アイデンティティ（Decentralized　Identity，ＤＩＤ）と、検証可能な資格情報（Verifiable　Credentials，ＶＣｓ）である（例えば、非特許文献１及び非特許文献２を参照）。

　ＤＩＤによって参照されるＤＩＤ文書には、公開鍵に関する情報が含まれており、ＶＣｓには、その公開鍵で署名検証が可能な個人の資格情報が含まれている。資格情報は、個人情報の一例である。ＤＩＤ文書は、ブロックチェーン等の分散型システム内に保管されることによって、不変性及び高い改ざん耐性を有する。一例として、Microsoft社が提供するＩＤ基盤であるＩＯＮ（Identity　Overlay　Network）では、Bitcoinネットワークのセカンドレイヤが利用されている。

　サイバー空間に関連して、セキュアな通信システムにおいて信頼できるコミュニティを生成する方法が知られている（例えば、特許文献１を参照）。確率的データ構造であるブルームフィルタ及びカッコウフィルタも知られている（例えば、非特許文献３及び非特許文献４を参照）。

米国特許第６１３４３２７号明細書

"デジタルアイデンティティ～自己主権型/分散型アイデンティティ～"、株式会社野村総合研究所、NRIセキュアテクノロジーズ株式会社、株式会社ジェーシービー、２０１９年１１月、［online］、［令和３年１２月６日検索］、インターネット＜ＵＲＬ：https://www.nri.com/-/media/Corporate/jp/Files/PDF/service/ips/technology_1.pdf＞ "Verifiable　Credentialsとは？｜LasTrust｜note"、LasTrust、２０２０年１０月１９日、［online］、［令和３年１２月６日検索］、インターネット＜ＵＲＬ：https://note.com/lastrust/n/nb40b2f8a3ba2＞ A.　Abdennebi　et　al.,　"A　Bloom　Filter　Survey:　Variants　for　Different　Domain　Applications",　arXiv:2106.12189v1,　June　23,　2021,　pages　1－30 B.　Fan　et　al.,　"Cuckoo　Filter:　Practically　Better　Than　Bloom",　CoNEXT　'14:　Proceedings　of　the　10th　ACM　International　on　Conference　on　Emerging　Networking　Experiments　and　Technologies,　December　2014,　pages　75－88

　上述したＶＣは、発行者（VCs　Issuer）、所有者（VCs　Holder）、及び検証者（VCs　Verifier）の三者の間でやり取りされる。発行者は、所有者に対してＶＣを発行し、検証者は、所有者から提供されたＶＣの署名を検証することで、そのＶＣの正当性を確認する。

　現在、ＶＣを活用する多数のアプリケーションが提案されている。例えば、大学の在学証明又は卒業証明のデジタル証明書の場合、大学の事務局が在学証明又は卒業証明のＶＣを発行し、学生がＶＣを所有し、企業の面接担当者がＶＣを検証する。ワクチン接種証明のデジタル証明書の場合、医療機関がワクチン接種証明のＶＣを発行し、ワクチン接種者がＶＣを所有し、税関がＶＣを検証する。

　一方、ＶＣの活用は、所有者が能動的に自身の資格情報を検証者に提供することを前提としているため、所有者自身が提供対象のＶＣを選択する操作を行う。しかしながら、ＶＣの用途によっては、ＶＣを選択する操作が障害となることがある。

　なお、かかる問題は、所有者がＶＣを提供する場合に限らず、所有者が様々な個人情報を開示する場合において生ずるものである。

　１つの側面において、本発明は、所有者が特定の属性を有することを示す個人情報の開示を制御することを目的とする。

　１つの案では、属性管理情報は、複数の属性情報を含み、かつ、複数の属性情報のうち１つの属性情報が示す属性の範囲が、その属性情報よりも上位の属性情報が示す属性の範囲に含まれる階層構造を有する。

　コンピュータは、個人情報所有者が特定の属性を有することを示す個人情報の開示を要求する開示要求を受け付ける。コンピュータは、属性管理情報において、第１属性情報が示す第１属性と、第１属性情報よりも上位の第２属性情報が示す第２属性とが、特定の属性に対応するか否かを判定する判定処理を行う。第１属性情報は、個人情報所有者が保有する１つ又は複数の個人情報それぞれに対応する。コンピュータは、判定処理の結果に基づいて、１つ又は複数の個人情報の何れかを開示対象の個人情報として選択する。

　１つの側面によれば、所有者が特定の属性を有することを示す個人情報の開示を制御することができる。

ＶＣの生成及び保管を示す図である。ＶＣの検証を示す図である。スマートフォンの機能的構成図である。ＶＣの生成及び保管の手順を示す図である。ＶＣの検証の手順を示す図である。比較例のスマートフォンの機能的構成図である。比較例におけるポリシーの設定及びＶＣの検証の手順を示す図である。比較例のスマートフォンの動作を示す図である。実施形態の情報処理装置の機能的構成図である。個人情報制御処理のフローチャートである。情報処理システムの構成図である。発行者装置の機能的構成図である。属性ツリーを示す図である。タグ付きＶＣ生成処理を示す図である。タグ付きＶＣを示す図である。登録対象ブルームフィルタを生成する処理を示す図である。２つのブルームフィルタを合成する処理を示す図である。新規ノードを追加する処理を示す図である。検証ポリシーを示す図である。所有者装置の機能的構成図である。判定処理を示す図である。ＣＨＫ（ｐ）＝１の判定処理を示す図である。ＣＨＫ（ｐ）＝０の判定処理を示す図である。ＶＣ発行処理のフローチャートである。タグ付きＶＣ生成処理のフローチャートである。ＶＣ提供処理のフローチャートである。ＶＰ生成処理のフローチャート（その１）である。ＶＰ生成処理のフローチャート（その２）である。情報処理装置のハードウェア構成図である。

　以下、図面を参照しながら、実施形態を詳細に説明する。

　図１は、ＶＣの生成及び保管の例を示している。発行者１０１は、Ｘ社の人事部であり、所有者１０２は、Ｘ社の社員Ａであり、検証者１０３は、Ｘ社と契約を締結しているＹ社の社員Ｂである。

　発行者１０１は、所有者１０２に対して、Ａの社員証ＶＣ１１１を発行し、検証者１０３は、所有者から提供された社員証ＶＣ１１１を検証する。この場合、社員証ＶＣ１１１の生成及び保管は、以下のような手順で行われる。

　（Ｐ１）所有者１０２は、発行者１０１に対してＶＣの発行を要求する。所有者１０２は、例えば、スマートフォンを用いて、ＶＣ発行用の２次元コードを読み取ることで、ＶＣの発行を要求する。

　（Ｐ２）発行者１０１は、所有者１０２に対応する秘密鍵及び公開鍵を生成する。

　（Ｐ３）発行者１０１は、ＤＩＤ及び公開鍵を含むＤＩＤ文書１１２を発行し、改ざん不可能なレジストリである検証可能データレジストリ（Verifiable　Data　Registry）１０４に登録する。検証可能データレジストリ１０４としては、例えば、ブロックチェーンネットワークが用いられる。ＤＩＤ文書１１２は、対応するＤＩＤを用いて誰でも検索することができる。

　（Ｐ４）発行者１０１は、社員証ＶＣ１１１を生成し、所有者１０２に対して発行する。社員証ＶＣ１１１は、Ｃｌａｉｍ（主張）、ＤＩＤ、及び署名を含む。Ｃｌａｉｍは、「ＡはＸ社の従業員である」という情報を含み、ＤＩＤは、ＤＩＤ文書１１２に含まれるＤＩＤを表す。署名は、Ｃｌａｉｍ及びＤＩＤに対する電子署名であり、秘密鍵を用いて生成される。

　（Ｐ５）所有者１０２は、資格情報リポジトリ（Credential　Repository）に社員証ＶＣ１１１を保存する。資格情報リポジトリとしては、例えば、スマートフォンの内部ストレージが用いられる。

　図２は、ＶＣの検証の例を示している。図１の社員証ＶＣ１１１の検証は、以下のような手順で行われる。

　（Ｐ１１）所有者１０２は、検証者１０３からＶＣ提示要求を取得する。所有者１０２は、例えば、スマートフォンを用いて、要求取得用の２次元コードを読み取ることで、ＶＣ提示要求を取得する。

　（Ｐ１２）所有者１０２は、資格情報リポジトリに保存されている複数のＶＣの中から社員証ＶＣ１１１を選択し、検証可能なプレゼンテーション（Verifiable　Presentation，ＶＰ）２１１として検証者１０３に提供する。

　（Ｐ１３）検証者１０３は、ＶＰ２１１内の社員証ＶＣ１１１に含まれているＤＩＤを用いて、検証可能データレジストリ１０４内のＤＩＤ文書１１２を参照し、公開鍵を取得する。

　（Ｐ１４）検証者１０３は、公開鍵を用いて、社員証ＶＣ１１１に含まれる署名を検証し、社員証ＶＣ１１１の正当性を確認する。その後、検証者１０３は、所有者１０２に対して所定のサービスを提供する。

　図３は、所有者１０２が保持するスマートフォンの機能的構成例を示している。図３のスマートフォン３０１は、登録部３１１、保存部３１２、及び提供部３１３を含む。ＶＣ３２１は、図１の社員証ＶＣ１１１に対応し、ＶＰ３２５は、図２のＶＰ２１１に対応する。

　図４は、図３のスマートフォン３０１を用いたＶＣの生成及び保管の手順の例を示している。ＶＣ３２１の生成及び保管は、以下のような手順で行われる。

　（Ｐ２１）所有者１０２は、ＷｅｂフォームからＶＣの発行を申請する。

　（Ｐ２２）登録部３１１は、発行者１０１に対してＶＣの発行を要求する。

　（Ｐ２３）発行者１０１は、所有者１０２に対する本人認証を行う。

　（Ｐ２４）発行者１０１は、所有者１０２の社員証ＶＣ１１１を生成する。

　（Ｐ２５）発行者１０１は、所有者１０２の社員証ＶＣ１１１を、ＶＣ３２１としてスマートフォン３０１へ送信し、登録部３１１は、ＶＣ３２１を受信する。

　（Ｐ２６）登録部３１１は、ＶＣ３２１を含む登録確認画面３３１を表示することで、所有者１０２に対してＶＣ３２１の登録確認を要求する。

　（Ｐ２７）所有者１０２は、ＶＣ３２１の登録を許可する応答を登録確認画面３３１に入力する。

　（Ｐ２８）登録部３１１は、保存部３１２に対してＶＣ３２１の保存を指示する。

　（Ｐ２９）保存部３１２は、ＶＣ３２１を内部ストレージに保存し、保存済みＶＣのリストを登録部３１１へ出力する。保存済みＶＣのリストは、ＶＣ３２１～ＶＣ３２３を含む。

　（Ｐ３０）登録部３１１は、保存済みＶＣのリストを表示する。

　図５は、図３のスマートフォン３０１を用いたＶＣの検証の手順の例を示している。ＶＣ３２１の検証は、以下のような手順で行われる。

　（Ｐ４１）所有者１０２は、Ｘ社の社員Ａであることを検証者１０３に通知して、ＶＣの検証を要求する。

　（Ｐ４２）検証者１０３は、資格情報クエリ（credentialQuery，ＣＱ）３２４を、ＶＣ提示要求としてスマートフォン３０１へ送信する。

　（Ｐ４３）提供部３１３は、ＣＱ３２４に関連するＶＣを保存部３１２に要求する。

　（Ｐ４４）保存部３１２は、ＣＱ３２４に関連するＶＣのリストを含む送信確認画面３３２を表示する。ＣＱ３２４に関連するＶＣのリストは、ＶＣ３２１～ＶＣ３２３を含む。

　（Ｐ４５）所有者１０２は、送信確認画面３３２に表示されたＶＣの中からＶＣ３２１を選択する。

　（Ｐ４６）保存部３１２は、ＶＣ３２１を提供部３１３へ出力する。

　（Ｐ４７）提供部３１３は、ＶＣ３２１をＶＰ３２５に変換し、ＶＰ３２５を含む応答を検証者１０３へ送信する。

　（Ｐ４８）検証者１０３は、ＶＰ３２５からＶＣ３２１を取得し、ＶＣ３２１を検証する。

　（Ｐ４９）検証者１０３は、検証成功を所有者１０２に通知する。

　（Ｐ５０）検証者１０３は、スマートフォン３０１に対して所定のサービスを提供する。

　このように、所有者１０２が検証者１０３に対して能動的にＶＣの検証を要求して、サービスの提供を受ける場合、手順（Ｐ４５）における所有者１０２の選択操作は、比較的速やかに実行される。一方、以下のようなケースにおいては、所有者１０２又は検証者１０３の作業が障害となることがある。

（１）高速な検証が行われるケース

　社員証ＶＣを用いて入退場ゲートを通過する場合のように、社員であることを示すＶＣの検証を高速に行うことが望ましい場合、所有者１０２が画面上でＶＣを選択する作業が障害となる。

（２）検証者１０３が能動的に検証を行うケース

　検証者１０３が所有者１０２から受領した文書が、本当に所有者１０２から発行された文書であるか否かを確認したい場合、検証者１０３は、別途、電子メール、電話等の連絡手段を用いて、所有者１０２に社員証ＶＣの提示を要求する。この場合、所有者１０２に社員証ＶＣの提示を要求する作業が障害となる。

　これらの障害を取り除く単純な解決策として、比較例を説明する。比較例では、所有者１０２が受け取ったＶＣ提示要求に対して提示すべきＶＣを示すポリシーが、事前にスマートフォン３０１に設定される。

　図６は、比較例のスマートフォン３０１の機能的構成例を示している。図６のスマートフォン３０１は、図３のスマートフォン３０１と同様の構成を有する。

　ポリシー６０２は、スマートフォン３０１内に保存されている複数のＶＣのうち、各ＣＱに対して提示すべきＶＣを示す情報である。ポリシー６０２は、ｉｆ－ｔｈｅｎ形式で記述され、例えば、「社員であることを示すＶＣの提示を要求された場合、社員証ＶＣを提示する」ことを示す情報を含む。

　図７は、比較例におけるポリシー６０２の設定及びＶＣ３２１の検証の手順の例を示している。ポリシー６０２の設定及びＶＣ３２１の検証は、以下のような手順で行われる。

　（Ｐ６１）保存部３１２は、保存済みＶＣのリストを含むポリシー設定画面６０１を表示する。

　（Ｐ６２）所有者１０２は、表示された各ＶＣに対するポリシー６０２を設定し、提供部３１３は、各ＶＣにポリシー６０２を付与する。

　（Ｐ６３）検証者１０３は、所有者１０２がＸ社の社員Ａであることを示すＶＣの検証を行うことを、所有者１０２に通知する。

　（Ｐ６４）検証者１０３は、ＣＱ３２４を、ＶＣ提示要求としてスマートフォン３０１へ送信する。

　（Ｐ６５）提供部３１３は、ＣＱ３２４に対して提示すべきＶＣを保存部３１２に要求する。

　（Ｐ６６）保存部３１２は、ポリシー６０２に従って、ＶＣ３２１を提供部３１３へ出力する。

　（Ｐ６７）提供部３１３は、ＶＣ３２１をＶＰ３２５に変換し、ＶＰ３２５を含む応答を検証者１０３へ送信する。

　（Ｐ６８）検証者１０３は、ＶＰ３２５からＶＣ３２１を取得し、ＶＣ３２１を検証する。

　（Ｐ６９）検証者１０３は、検証成功を所有者１０２に通知する。

　（Ｐ７０）検証者１０３は、スマートフォン３０１に対して所定のサービスを提供する。

　しかしながら、比較例では、複数のＣＱの発生が想定される場合、所有者１０２は、すべてのＣＱに対応するポリシー６０２を設定することになる。このため、所有者１０２の作業負荷が増大する。

　また、所有者１０２が意図しないＶＣの提供失敗又は漏洩が発生する可能性もある。ＶＣの提供失敗は、スマートフォン３０１が、ＣＱに対して有効なＶＣを保持しているにもかかわらず、そのＶＣの選択に失敗することを表す。ＶＣの漏洩は、不適切な検証者からのＣＱに対して、スマートフォン３０１がＶＣを提供してしまうことを表す。

　図８は、比較例のスマートフォン３０１の動作例を示している。図８（ａ）は、正常動作の例を示している。検証者サーバ８０１は、「Ｆ社の従業員であることを提示してください」というＣＱを、スマートフォン３０１へ送信する。スマートフォン３０１は、社員証ＶＣの情報を含むＶＰ８１１を、応答として検証者サーバ８０１へ送信する。

　図８（ｂ）は、ＶＣの提供失敗が発生する動作の例を示している。検証者サーバ８０２は、「会社員であることを提示してください」というＣＱを、スマートフォン３０１へ送信する。

　この場合、Ｘ社の社員証ＶＣは、ＣＱに対して有効なＶＣである。しかし、スマートフォン３０１は、会社員であることを示す直接的なＶＣを保持していないため、ＶＣの選択に失敗する。そして、スマートフォン３０１は、「適切なＶＰが見つかりませんでした」というエラーを含む応答を、検証者サーバ８０２へ送信する。

　このように、ポリシーの設定漏れによって、本来自動的に応答できるはずであったＣＱに対してＶＰが返信されない場合、検証者サーバ８０２において、ＣＱの再送等の処理負荷が発生する。

　図８（ｃ）は、ＶＣの漏洩が発生する動作の例を示している。所有者１０２の個人情報を不正に取得しようとする検証者サーバ８０３は、「既往歴を提示してください」というＣＱを、スマートフォン３０１へ送信する。スマートフォン３０１は、既往歴に関するＶＣを含むＶＰ８１２を、応答として検証者サーバ８０３へ送信する。

　このように、ポリシーの設定ミス等によって、悪意のある検証者サーバ８０３からのＣＱに対して自動的にＶＰが返信された場合、プライバシー漏洩等のリスクが生じる。

　図９は、実施形態の情報処理装置（コンピュータ）の機能的構成例を示している。図９の情報処理装置９０１は、受付部９１１、判定部９１２、及び選択部９１３を含む。

　図１０は、図９の情報処理装置９０１が行う個人情報制御処理の例を示すフローチャートである。まず、受付部９１１は、個人情報所有者が特定の属性を有することを示す個人情報の開示を要求する開示要求を受け付ける（ステップ１００１）。

　次に、判定部９１２は、属性管理情報において、第１属性情報が示す第１属性と、第１属性情報よりも上位の第２属性情報が示す第２属性とが、特定の属性に対応するか否かを判定する判定処理を行う（ステップ１００２）。

　属性管理情報は、複数の属性情報を含み、かつ、複数の属性情報のうち１つの属性情報が示す属性の範囲が、その属性情報よりも上位の属性情報が示す属性の範囲に含まれる階層構造を有する。第１属性情報は、個人情報所有者が保有する１つ又は複数の個人情報それぞれに対応する。

　次に、選択部９１３は、判定処理の結果に基づいて、１つ又は複数の個人情報の何れかを開示対象の個人情報として選択する（ステップ１００３）。

　図９の情報処理装置９０１によれば、所有者が特定の属性を有することを示す個人情報の開示を制御することができる。

　図１１は、図９の情報処理装置９０１を含む情報処理システムの構成例を示している。図１１の情報処理システムは、所有者装置１１０１、発行者装置１１０２、検証者装置１１０３、及び検証可能データレジストリ１１０４を含む。所有者装置１１０１は、図９の情報処理装置９０１に対応する。

　所有者装置１１０１は、ＶＣを保有する所有者の情報処理装置である。所有者装置１１０１は、スマートフォン、タブレット、ノート型ＰＣ（Personal　Computer）等の携帯端末装置であってもよい。

　ＶＣは、社員証、在学証明、卒業証明、ワクチン接種証明、運転免許証、有資格証明書、学習履歴、研修修了証、出生証明書等の情報を含む。ＶＣは、個人情報に対応し、所有者は、個人情報所有者に対応する。

　発行者装置１１０２は、ＶＣを発行する発行者の情報処理装置であり、検証者装置１１０３は、ＶＣを検証する検証者の情報処理装置である。発行者装置１１０２及び検証者装置１１０３は、サーバ又はＰＣであってもよい。検証者は、個人情報要求者の一例である。

　検証可能データレジストリ１１０４は、改ざん不可能な記憶システムである。検証可能データレジストリ１１０４は、ブロックチェーンネットワークであってもよい。

　所有者装置１１０１、発行者装置１１０２、検証者装置１１０３、及び検証可能データレジストリ１１０４は、通信ネットワーク１１０５を介して、互いに通信することができる。通信ネットワーク１１０５は、例えば、ＷＡＮ（Wide　Area　Network）である。通信ネットワーク１１０５は、無線通信ネットワークを含んでいてもよい。

　例えば、情報処理システムが入退場ゲートに適用される場合、検証者装置１１０３は、入退場ゲートに設けられた通信装置を含む。この場合、所有者は、入退場ゲートを通過するユーザであり、所有者装置１１０１は、所有者の携帯端末装置である。所有者は、所有者装置１１０１を用いて、社員証ＶＣ等を検証者装置１１０３に提供することで、入退場ゲートを通過することができる。

　図１２は、図１１の発行者装置１１０２の機能的構成例を示している。図１２の発行者装置１１０２は、通信部１２１１、登録部１２１２、制御部１２１３、及び記憶部１２１４を含む。

　通信部１２１１は、通信ネットワーク１１０５を介して、所有者装置１１０１及び検証可能データレジストリ１１０４と通信する。

　記憶部１２１４は、所有者の属性ツリー１２２１及び検証ポリシー１２２２を記憶する。属性ツリー１２２１は、多分木のデータ構造であり、階層構造を有する複数のノードを含む。属性ツリー１２２１は、属性管理情報に対応し、各ノードは、属性情報に対応する。検証ポリシー１２２２は、開示条件情報の一例である。

　図１３は、図１２の属性ツリー１２２１の例を示している。図１３の属性ツリー１２２１は、ノード１３０１～ノード１３０６を含む。ノード１３０１は、ノード１３０２の親ノードであり、ノード１３０２は、ノード１３０３及びノード１３０４の親ノードであり、ノード１３０４は、ノード１３０５及びノード１３０６の親ノードである。子ノードから親ノードへ向かう矢印は、エッジを表す。

　各ノードは、ｉｄ、ｎａｍｅ、ｂｆ、及びｐａｒｅｎｔ＿ｉｄを要素として含む。ｉｄは、ノードの識別情報を表し、ｎａｍｅは、ノードが表す属性の固有名称を表す。ｂｆは、ノードのブルームフィルタを表し、ｐａｒｅｎｔ＿ｉｄは、親ノードのｉｄを表す。

　ブルームフィルタは、集合から要素を高速に検索でき、かつ、複数の集合の和集合を計算できるデータ構造の一例である。ブルームフィルタは確率的データ構造であるため、偽陽性を示す可能性があるが、偽陰性を示すことはない。偽陽性は、集合に含まれていない要素が、その集合に含まれていると判定される事象を表し、偽陰性は、集合に含まれている要素が、その集合に含まれていないと判定される事象を表す。

　ノードに含まれるｂｆは、そのノードのｎａｍｅの情報と、そのノードからエッジを辿って到達可能な上位の各ノードのｎａｍｅの情報とを含む。したがって、ｂｆは、属性ツリー１２２１がそれらのノードを含むことを示している。ｂｆは、制御情報の一例である。

　例えば、ノード１３０１のｉｄは、“ｔ４ａｓｄｆ．．．”であり、ｎａｍｅは、“会社員”であり、ｂｆは、“０ｂ００１０１０１．．．”である。“０ｂ”は、２進数を表すプレフィックスである。ノード１３０１は、ルートノードであるため、ｐａｒｅｎｔ＿ｉｄは空である。

　ノード１３０２のｉｄは、“ｓｆｅ１３ｆ．．．”であり、ｎａｍｅは、“Ｆ社所属”であり、ｂｆは、“０ｂ００１１１０１．．．”であり、ｐａｒｅｎｔ＿ｉｄは、“ｔ４ａｓｄｆ．．．”である。

　ノード１３０２からエッジを辿って到達可能な上位のノードは、ノード１３０１である。ノード１３０４からエッジを辿って到達可能な上位のノードは、ノード１３０１及びノード１３０２である。ノード１３０６からエッジを辿って到達可能な上位のノードは、ノード１３０１、ノード１３０２、及びノード１３０４である。

　親ノードのｎａｍｅが示す属性の範囲は、子ノードのｎａｍｅが示す属性の範囲よりも広い。したがって、ノードのｎａｍｅが示す属性の範囲は、そのノードからエッジを辿って到達可能な上位の各ノードのｎａｍｅが示す属性の範囲に含まれる。

　例えば、ノード１３０１の“会社員”という属性は、ノード１３０２の“Ｆ社所属”という属性を含む。ノード１３０２の“Ｆ社所属”という属性は、ノード１３０４の“研究所所属”という属性を含む。ノード１３０４の“研究所所属”という属性は、ノード１３０５の“労働組合員”という属性と、ノード１３０６の“役職”という属性とを含む。“役職”は、例えば、“プロジェクトマネージャ”であってもよい。

　図１４は、図１３の登録部１２１２が行うタグ付きＶＣ生成処理の例を示している。所有者装置１１０１からＶＣ作成依頼を受信した場合、登録部１２１２は、所有者に対応する秘密鍵及び公開鍵を生成する。そして、登録部１２１２は、ＤＩＤ及び公開鍵を含むＤＩＤ文書を生成し、通信部１２１１を介して、検証可能データレジストリ１１０４へ送信する。検証可能データレジストリ１１０４は、受信したＤＩＤ文書を記憶する。

　次に、登録部１２１２は、Ｃｌａｉｍ及びＤＩＤと、秘密鍵を用いて生成された署名とを含む、ＶＣ１４０１を生成する。そして、登録部１２１２は、ＶＣ１４０１内のＣｌａｉｍから属性の名称を抽出し、抽出された名称を属性ツリー１２２１から検索して、その名称を含むノードを特定する。

　抽出された名称を含むノードが存在しない場合、登録部１２１２は、その名称を示す新規ノードを属性ツリー１２２１に追加する。属性ツリー１２２１内における新規ノードの位置は、例えば、発行者によって指定される。

　次に、登録部１２１２は、特定されたノード又は追加されたノードのｉｄを含み、かつ、所有者装置１１０１からそのノードを参照できるようなＵＲＬ（Uniform　Resource　Locator）を生成する。そして、登録部１２１２は、生成されたＵＲＬをタグとしてＶＣ１４０１に付加することで、タグ付きＶＣ１２２３を生成し、記憶部１２１４に格納する。これにより、ＶＣ１４０１の属性が属性ツリー１２２１に登録される。

　次に、登録部１２１２は、生成されたタグ付きＶＣ１２２３を、通信部１２１１を介して、所有者装置１１０１へ送信する。

　図１５は、図１４のタグ付きＶＣ１２２３の例を示している。属性ツリー１５０１、ＶＣ１５０２、及びタグ付きＶＣ１５０３は、属性ツリー１２２１、ＶＣ１４０１、及びタグ付きＶＣ１２２３にそれぞれ対応する。この例では、属性ツリー１５０１は、図１３のノード１３０１～ノード１３０４を含み、ＶＣ１５０２内のＣｌａｉｍは、属性の名称として“Ｆ社研究所所属”を含む。

　登録部１２１２は、“Ｆ社研究所所属”に対する文字列解析を行って、属性ツリー１５０１を検索することで、“Ｆ社研究所所属”のうち“研究所所属”を含むノード１３０４を特定する。そして、登録部１２１２は、ノード１３０４のｉｄを含むＵＲＬを、タグ１５１１としてＶＣ１５０２に付加することで、タグ付きＶＣ１５０３を生成する。タグ１５１１としては、例えば、“http://companyF.com/attribute_tree/id=as8rg5.../request”のようなＵＲＬが用いられる。

　所有者装置１１０１は、例えば、ＲＥＳＴ　ＡＰＩ（Representational　State　Transfer　Application　Programming　Interface）のＧＥＴリクエストを用いて、ＵＲＬが示すノード１３０４の情報を、発行者装置１１０２に対して要求する。制御部１２１３は、属性ツリー１５０１からノード１３０４の情報を取得し、通信部１２１１を介して、所有者装置１１０１へ送信する。これにより、所有者装置１１０１は、ノード１３０４の情報をＪＳＯＮ（JavaScript（登録商標）　Object　Notation）で取得することができる。

　ＶＣ１４０１から抽出された属性の名称を示す新規ノードを、属性ツリー１２２１に追加する場合、登録部１２１２は、新規ノードのｉｄ、ｎａｍｅ、ｂｆ、及びｐａｒｅｎｔ＿ｉｄを生成する。このうち、ｎａｍｅとしては、抽出された属性の名称が用いられ、ｐａｒｅｎｔ＿ｉｄとしては、新規ノードの親ノードのｉｄが用いられる。

　ｂｆは、親ノードのｂｆ及び新規ノードのｎａｍｅから生成される。登録部１２１２は、新規ノードのｎａｍｅの情報を、登録対象ブルームフィルタに変換する。そして、登録部１２１２は、登録対象ブルームフィルタと親ノードのｂｆとを合成することで、合成ブルームフィルタを生成し、合成ブルームフィルタを新規ノードのｂｆとして用いる。

　登録対象ブルームフィルタは、ｍビット（ｍは１以上の整数）のビット列ＢＦにより表され、ＢＦのｉ番目のビット値は、ＢＦ［ｉ］（ｉ＝０～ｍ－１）により表される。まず、登録部１２１２は、ｍ個のビット値ＢＦ［ｉ］を論理値“０”に設定することで、ＢＦを初期化する。

　次に、登録部１２１２は、ハッシュ関数Ｈ１～ハッシュ関数Ｈｋ（ｋは１以上の整数）を用いて、新規ノードのｎａｍｅの文字列ｘのハッシュ値Ｈ１（ｘ）～ハッシュ値Ｈｋ（ｘ）を計算する。Ｈｊ（ｘ）（ｊ＝１～ｋ）は、０～ｍ－１の何れかを示す整数である。

　次に、登録部１２１２は、ＢＦ［Ｈ１（ｘ）］～ＢＦ［Ｈｋ（ｘ）］を論理値“０”から論理値“１”に変更することで、登録対象ブルームフィルタを生成する。

　図１６は、登録対象ブルームフィルタを生成する処理の例を示している。この例では、ｍ＝１６、かつ、ｋ＝３である。登録部１２１２は、文字列ｘのハッシュ値を計算し、Ｈ１（ｘ）＝６、Ｈ２（ｘ）＝２、及びＨ３（ｘ）＝１３という計算結果を得る。そこで、登録部１２１２は、ＢＦ［２］、ＢＦ［６］、及びＢＦ［１３］を“０”から“１”に変更することで、登録対象ブルームフィルタ１６０１を生成する。

　図１７は、２つのブルームフィルタを合成する処理の例を示している。この例では、ｍ＝１６である。登録部１２１２は、ブルームフィルタ１７０１及びブルームフィルタ１７０２を入力として、ビット毎にＯＲ演算を行うことで、合成ブルームフィルタ１７０３を生成する。

　合成ブルームフィルタ１７０３に含まれる“１”のビット位置は、ブルームフィルタ１７０１又はブルームフィルタ１７０２に含まれる“１”のビット位置に対応している。したがって、合成ブルームフィルタ１７０３には、ブルームフィルタ１７０１及びブルームフィルタ１７０２の両方の情報が登録されている。

　登録部１２１２は、図１７と同様のＯＲ演算を行うことで、登録対象ブルームフィルタと親ノードのｂｆとを合成することができる。

　既に存在する親ノードＮ１と子ノードＮ２の間に新規ノードが挿入された場合、登録部１２１２は、子ノードＮ２のｐａｒｅｎｔ＿ｉｄを新規ノードのｉｄに変更する。そして、登録部１２１２は、子ノードＮ２のｂｆを、そのｂｆと登録対象ブルームフィルタとを合成した合成ブルームフィルタに変更する。さらに、登録部１２１２は、子ノードＮ２からエッジを辿って到達可能な下位の各ノードのｂｆを、そのｂｆと登録対象ブルームフィルタとを合成した合成ブルームフィルタに変更する。

　図１８は、新規ノードを追加する処理の例を示している。この例では、図１５の属性ツリー１５０１がノード１３０１～ノード１３０３を含んでいる状態において、ノード１３０４が新規ノードとして追加される。

　ブルームフィルタ１８０１は、ノード１３０２のｂｆを表し、ブルームフィルタ１８０２は、ノード１３０４の登録対象ブルームフィルタを表し、ブルームフィルタ１８０３は、ノード１３０４のｂｆを表す。

　登録部１２１２は、ノード１３０４のｎａｍｅが示す文字列“研究所所属”を、ブルームフィルタ１８０２に変換する。そして、登録部１２１２は、ブルームフィルタ１８０１及びブルームフィルタ１８０２を合成することで、ブルームフィルタ１８０３を生成し、ブルームフィルタ１８０３をノード１３０４のｂｆとして登録する。

　図１９は、図１２の検証ポリシー１２２２の例を示している。図１９の検証ポリシー１２２２は、各検証者のｎａｍｅ及びｃｒｅｄｅｎｔｉａｌｓを含む。ｎａｍｅは、個人情報開示先である検証者の名称を表し、ｃｒｅｄｅｎｔｉａｌｓは、１つ又は複数の開示対象属性を表す。検証者の名称は、個人情報開示先の識別情報の一例である。以下では、検証者の名称を検証者名と記載することがある。

　検証ポリシー１２２２に含まれるｎａｍｅが示す検証者は、発行者によって確認済みの正当な検証者である。各検証者に対して、対応するｃｒｅｄｅｎｔｉａｌｓが示す各属性を含むＶＣの利用が許可される。制御部１２１３は、所有者装置１１０１からの要求に応じて、記憶部１２１４から検証ポリシー１２２２を取得し、通信部１２１１を介して、所有者装置１１０１へ送信する。

　なお、図１９のｃｒｅｄｅｎｔｉａｌｓは、“ｃｏｍｐａｎｙ”等の英語の属性を含んでいるが、“会社員”等の日本語の属性を含んでいてもよい。

　図２０は、図１１の所有者装置１１０１の機能的構成例を示している。図２０の所有者装置１１０１は、通信部２０１１、登録部２０１２、受付部２０１３、判定部２０１４、選択部２０１５、及び記憶部２０１６を含む。受付部２０１３、判定部２０１４、及び選択部２０１５は、図９の受付部９１１、判定部９１２、及び選択部９１３にそれぞれ対応する。

　通信部２０１１は、通信ネットワーク１１０５を介して、発行者装置１１０２及び検証者装置１１０３と通信する。

　通信部２０１１は、発行者装置１１０２からタグ付きＶＣ１２２３を受信する。登録部２０１２は、受信したタグ付きＶＣ１２２３内のＶＣを含む登録確認画面を表示することで、所有者に対してＶＣの登録確認を要求する。

　所有者は、ＶＣの登録を許可する応答を登録確認画面に入力し、登録部２０１２は、タグ付きＶＣ１２２３を記憶部２０１６に格納する。記憶部２０１６は、１つ又は複数のタグ付きＶＣ１２２３を記憶する。タグ付きＶＣ１２２３に含まれるＶＣは、所有者が保有する個人情報に対応する。

　検証者装置１１０３は、ＣＱ２０２１を所有者装置１１０１へ送信し、ＣＱ２０２１に最も適したＶＰを要求する。ＣＱ２０２１は、検証者名と、検証者によって指定された属性とを含む。ＣＱ２０２１は、所有者が特定の属性を有することを示す個人情報の開示を要求する開示要求に対応する。検証者名は、個人情報要求者の識別情報の一例であり、検証者によって指定された属性は、特定の属性の一例である。

　通信部２０１１は、検証者装置１１０３からＣＱ２０２１を受信し、受付部２０１３は、受信したＣＱ２０２１を受け付けて、記憶部２０１６に格納する。

　判定部２０１４は、属性ツリー１２２１内の特定のノードに含まれるｎａｍｅが示す属性が、ＣＱ２０２１に含まれる属性に対応するか否かを判定する判定処理を行う。特定のノードは、タグ付きＶＣ１２２３に含まれるＶＣに対応するノードと、そのノードからエッジを辿って到達可能な上位の各ノードとを含む。

　タグ付きＶＣ１２２３に含まれるＶＣに対応するノードは、第１属性情報に対応し、そのノードに含まれるｎａｍｅが示す属性は、第１属性に対応する。そのノードからエッジを辿って到達可能な上位の各ノードは、第２属性情報に対応し、上位の各ノードに含まれるｎａｍｅが示す属性は、第２属性に対応する。

　選択部２０１５は、判定処理の結果に基づいて、１つ又は複数のタグ付きＶＣ１２２３の何れかを開示対象のＶＣとして選択する。

　図２１は、図２０の判定部２０１４が行う判定処理の例を示している。判定部２０１４は、通信部２０１１を介して、発行者装置１１０２に検証ポリシー１２２２を要求し、発行者装置１１０２から検証ポリシー１２２２を取得して、記憶部２０１６に格納する。

　次に、判定部２０１４は、ＣＱ２０２１から検証者名及び属性を抽出する。そして、判定部２０１４は、検証ポリシー１２２２を用いて、検証者の正当性をチェックする。ＣＱ２０２１から抽出された検証者名が検証ポリシー１２２２に含まれている場合、判定部２０１４は、検証者は正当であると判定する。

　一方、ＣＱ２０２１から抽出された検証者名が検証ポリシー１２２２に含まれていない場合、判定部２０１４は、検証者は非認可であると判定する。この場合、判定部２０１４は、「ＶＣを要求した検証者は非認可です」というエラーメッセージを出力し、所有者に対して通常の検証を推奨する。通常の検証では、図５に示した手順により、所有者がＶＣを選択して検証者装置１１０３に送信することで、検証者に対して能動的にＶＣの検証を要求する。検証者が非認可である場合、判定部２０１４は、判定処理を行わない。

　このように、情報漏えいに配慮して、発行者によって確認済みの正当な検証者の名称を検証ポリシー１２２２に登録しておくことで、所有者が意図しない検証者に対してＶＣが提供されることを防止できる。

　検証者が正当である場合、判定部２０１４は、検証ポリシー１２２２を用いて、要求された属性の正当性をチェックする。ＣＱ２０２１から抽出された属性が、検証ポリシー１２２２において、ＣＱ２０２１から抽出された検証者名に対応するｃｒｅｄｅｎｔｉａｌｓに含まれている場合、判定部２０１４は、要求された属性は正当であると判定する。

　一方、ＣＱ２０２１から抽出された属性が、検証ポリシー１２２２において、ＣＱ２０２１から抽出された検証者名に対応するｃｒｅｄｅｎｔｉａｌｓに含まれていない場合、判定部２０１４は、要求された属性は検証対象外であると判定する。この場合、判定部２０１４は、「要求された属性は検証対象外です」というエラーメッセージを出力し、所有者に対して通常の検証を推奨する。要求された属性が検証対象外である場合、判定部２０１４は、判定処理を行わない。

　このように、各検証者に対して提供可能なＶＣの属性を検証ポリシー１２２２に登録しておくことで、所有者が意図しないＶＣが検証者に対して提供されることを防止できる。

　図１２の発行者装置１１０２において、制御部１２１３は、通常の検証が行われる度に、所有者の指示に基づいて検証ポリシー１２２２を更新する。

　例えば、所有者装置１１０１は、通常の検証が行われた場合に、「以降、この検証を自動的に実行しますか？」という問い合わせを含む問い合わせ画面を表示する。そして、所有者の同意が得られた場合、所有者装置１１０１は、検証者及びＶＣの情報を発行者装置１１０２へ送信する。

　制御部１２１３は、受信した検証者及びＶＣの情報を検証ポリシー１２２２に登録することで、検証ポリシー１２２２を更新する。これにより、検証ポリシー１２２２は、常に最新の状態に保たれる。

　要求された属性が正当である場合、判定部２０１４は、判定処理を行う。判定処理において、判定部２０１４は、タグ付きＶＣ１２２３に含まれるタグを用いて、属性ツリー１２２１に含まれるノードを参照する。具体的には、判定部２０１４は、通信部２０１１を介して、タグ付きＶＣ１２２３に含まれるタグが示すノードのｂｆを、発行者装置１１０２に要求する。そして、判定部２０１４は、発行者装置１１０２からｂｆを取得し、取得されたｂｆをＢＦ２０２２として記憶部２０１６に格納する。

　発行者装置１１０２が属性ツリー１２２１を記憶し、所有者装置１１０１がタグ付きＶＣ１２２３を記憶することで、属性ツリー１２２１の各ノードに含まれる情報を柔軟に変更することが可能になる。例えば、ノードに含まれるｂｆのデータ構造又は仕様が変更された場合であっても、タグ付きＶＣ１２２３に含まれるタグを変更する必要はなく、所有者装置１１０１は、タグを用いて変更後のｂｆを参照することができる。

　図２１のタグ付きＶＣ２１０１－１～タグ付きＶＣ２１０１－Ｎ（Ｎは１以上の整数）は、Ｎ個のタグ付きＶＣ１２２３を表し、ＢＦ２１０２－ｐ（ｐ＝１～Ｎ）は、タグ付きＶＣ２１０１－ｐに含まれるタグを用いて取得されたＢＦ２０２２を表す。各ＢＦ２１０２－ｐは、ｍビットのビット列ＢＦにより表され、ＢＦのｉ番目のビット値は、ＢＦ［ｉ］（ｉ＝０～ｍ－１）により表される。

　判定部２０１４は、ＢＦ２１０２－１～ＢＦ２１０２－Ｎを用いて、ＣＱ２０２１から抽出された属性を属性ツリー１２２１から検索する。まず、判定部２０１４は、ＣＱ２０２１から抽出された属性の文字列ｙのハッシュ値Ｈ１（ｙ）～ハッシュ値Ｈｋ（ｙ）を計算する。Ｈｊ（ｙ）（ｊ＝１～ｋ）は、０～ｍ－１の何れかを示す整数である。

　次に、判定部２０１４は、各ＢＦ２１０２－ｐについて、次式により、判定値ＣＨＫ（ｐ）を計算する。

ＣＨＫ（ｐ）
＝ＢＦ［Ｈ１（ｙ）］　ＡＮＤ　・・・　ＡＮＤ　ＢＦ［Ｈｋ（ｙ）］　　　（１）

　式（１）の右辺は、ｋ個のＢＦ［Ｈｊ（ｙ）］の論理積を表す。上述したように、ＢＦは、そのＢＦを含むノードが示す属性の情報と、そのノードからエッジを辿って到達可能な上位の各ノードが示す属性の情報とを含む。したがって、ＣＨＫ（ｐ）＝１の場合、それらのノードの何れかが示す属性が文字列ｙに一致する可能性が高い。一方、ＣＨＫ（ｐ）＝０の場合、何れのノードが示す属性も文字列ｙには一致しない。

　そこで、判定部２０１４は、ＣＨＫ（ｐ）＝１の場合、判定結果としてＴｒｕｅを出力し、ＣＨＫ（ｐ）＝０の場合、判定結果としてＦａｌｓｅを出力する。Ｔｒｕｅは、属性ツリー１２２１内の特定のノードに含まれるｎａｍｅが示す属性が、ＣＱ２０２１に含まれる属性に対応することを表す。Ｆａｌｓｅは、属性ツリー１２２１内の特定のノードに含まれるｎａｍｅが示す属性が、ＣＱ２０２１に含まれる属性に対応しないことを表す。

　このように、ＣＱ２０２１から抽出された属性をＢＦ２１０２－ｐを用いて検索することで、属性ツリー１２２１内の特定のノードが示す属性が、ＣＱ２０２１に含まれる属性に対応するか否かを容易に判定することができる。

　何れかのＢＦ２１０２－ｐについて判定部２０１４からＴｒｕｅが出力された場合、選択部２０１５は、そのＢＦ２１０２－ｐに対応するタグ付きＶＣ２１０１－ｐを選択する。２つ以上のＢＦ２１０２－ｐについてＴｒｕｅが出力された場合、選択部２０１５は、それらのＢＦ２１０２－ｐに対応する２つ以上のタグ付きＶＣ２１０１－ｐのうち、最上位のノードを参照するタグを含むタグ付きＶＣ２１０１－ｐを選択する。

　次に、選択部２０１５は、選択されたタグ付きＶＣ２１０１－ｐに含まれるＶＣを、開示対象のＶＣとして抽出し、抽出されたＶＣをＶＰ２０２３に変換して、記憶部２０１６に格納する。そして、選択部２０１５は、通信部２０１１を介して、ＶＰ２０２３を含む応答を検証者装置１１０３へ送信する。

　すべてのＢＦ２１０２－ｐについて判定部２０１４からＦａｌｓｅが出力された場合、選択部２０１５は、「要求された属性を示すＶＣは見つかりませんでした」というエラーメッセージを出力し、所有者に対して通常の検証を推奨する。

　図２２は、ＣＨＫ（ｐ）＝１の判定処理の例を示している。この例では、ｍ＝１６、かつ、ｋ＝３である。判定部２０１４は、文字列ｙ１のハッシュ値を計算し、Ｈ１（ｙ１）＝６、Ｈ２（ｙ１）＝２、及びＨ３（ｙ１）＝１３という計算結果を得る。

　次に、判定部２０１４は、ＢＦ２１０２－ｐについて、式（１）により、ＣＨＫ（ｐ）を計算する。この場合、ＢＦ［Ｈ１（ｙ１）］＝ＢＦ［Ｈ２（ｙ１）］＝ＢＦ［Ｈ３（ｙ１）］＝１であるため、ＣＨＫ（ｐ）＝１となる。

　図２３は、ＣＨＫ（ｐ）＝０の判定処理の例を示している。この例では、ｍ＝１６、かつ、ｋ＝３である。判定部２０１４は、文字列ｙ２のハッシュ値を計算し、Ｈ１（ｙ２）＝６、Ｈ２（ｙ２）＝４、及びＨ３（ｙ２）＝９という計算結果を得る。

　次に、判定部２０１４は、ＢＦ２１０２－ｐについて、式（１）により、ＣＨＫ（ｐ）を計算する。この場合、ＢＦ［Ｈ１（ｙ２）］＝ＢＦ［Ｈ２（ｙ２）］＝１、かつ、ＢＦ［Ｈ３（ｙ２）］＝０であるため、ＣＨＫ（ｐ）＝０となる。

　タグが示すノードの属性だけでなく、そのノードよりも上位のノードの属性も対象として、ＣＱ２０２１の属性を検索することで、タグ付きＶＣ２１０１－ｐが示す属性よりも広い範囲の属性を検索することができる。したがって、より広い範囲の属性を含むＣＱ２０２１を検証者装置１１０３から受信した場合であっても、適切なＶＣを選択して提供することができる。

　一例として、図１３の属性ツリー１２２１が参照され、かつ、所有者がタグ付きＶＣ２１０１－１のみを保有している場合について説明する。この例では、タグ付きＶＣ２１０１－１のＶＣが示す属性は、“Ｆ社所属”であり、ＣＱ２０２１に含まれる属性は、“会社員”である。したがって、ＣＱ２０２１に含まれる属性の範囲は、タグ付きＶＣ２１０１－１のＶＣが示す属性の範囲よりも広い。

　この場合、タグ付きＶＣ２１０１－１のタグを用いて、“Ｆ社所属”を含むノード１３０２のｂｆが取得される。ノード１３０２のｂｆは、親ノードであるノード１３０１の“会社員”の情報を含んでいるため、ＣＱ２０２１から抽出された“会社員”のハッシュ値を用いて計算されるＣＨＫ（ｐ）は１となる。そこで、タグ付きＶＣ２１０１－１が選択され、タグ付きＶＣ２１０１－１から開示対象のＶＣが抽出される。

　別の例として、図１３の属性ツリー１２２１が参照され、かつ、所有者がタグ付きＶＣ２１０１－１～タグ付きＶＣ２１０１－３を保有している場合について説明する。この例では、タグ付きＶＣ２１０１－１のＶＣが示す属性は、“研究所所属”であり、タグ付きＶＣ２１０１－２のＶＣが示す属性は、“役職”であり、タグ付きＶＣ２１０１－１のＶＣが示す属性は、“労働組合員”である。また、ＣＱ２０２１に含まれる属性は、“研究所所属”である。

　この場合、タグ付きＶＣ２１０１－１のタグを用いて、“研究所所属”を含むノード１３０４のｂｆが取得される。ノード１３０４のｂｆは、“研究所所属”の情報を含んでいるため、ＣＱ２０２１から抽出された“研究所所属”のハッシュ値を用いて計算されるＣＨＫ（ｐ）は１となる。

　次に、タグ付きＶＣ２１０１－２のタグを用いて、“役職”を含むノード１３０６のｂｆが取得される。ノード１３０６のｂｆは、親ノードであるノード１３０４の“研究所所属”の情報を含んでいるため、ＣＱ２０２１から抽出された“研究所所属”のハッシュ値を用いて計算されるＣＨＫ（ｐ）は１となる。

　次に、タグ付きＶＣ２１０１－３のタグを用いて、“労働組合員”を含むノード１３０５のｂｆが取得される。ノード１３０５のｂｆは、親ノードであるノード１３０４の“研究所所属”の情報を含んでいるため、ＣＱ２０２１から抽出された“研究所所属”のハッシュ値を用いて計算されるＣＨＫ（ｐ）は１となる。

　この場合、タグ付きＶＣ２１０１－１～タグ付きＶＣ２１０１－３のうち、最上位のノード１３０４を参照するタグを含むタグ付きＶＣ２１０１－１が選択され、タグ付きＶＣ２１０１－１から開示対象のＶＣが抽出される。

　最上位のノード１３０４を参照するタグを含むタグ付きＶＣ２１０１－１を選択して、開示対象のＶＣを抽出することで、“役職”又は“労働組合員”等の具体的な個人情報を示すＶＣが検証者に提供されることを防止できる。これにより、所有者のプライバシーを適切に保護することが可能になる。

　検証者装置１１０３は、所有者装置１１０１から受信したＶＰ２０２３からＶＣを取得し、取得されたＶＣを検証する。検証が成功した場合、検証者装置１１０３は、検証成功を所有者装置１１０１に通知するとともに、所有者装置１１０１又は所有者に対して所定のサービスを提供する。例えば、情報処理システムが入退場ゲートに適用される場合、検証者装置１１０３は、入退場ゲートを開く制御を行う。

　図１１の情報処理システムによれば、発行者装置１１０２は、ＶＣの発行時に、ＶＣの属性を自動的に属性ツリー１２２１に登録する。したがって、所有者は、ＣＱ２０２１に対して提示すべきＶＣを示すポリシーを作成する必要がない。属性ツリー１２２１には、所有者が保有するＶＣの属性が漏れなく登録されているため、属性の登録漏れによる検索の失敗を防止できる。

　また、所有者装置１１０１は、検証者装置１１０３からＣＱ２０２１を受信したとき、属性ツリー１２２１を参照しながら、ＣＱ２０２１に対応するＶＣを自動的に選択して、検証者装置１１０３へ送信する。したがって、所有者が保有するＶＣの開示を自動的に制御することができる。

　所有者は画面上でＶＣを選択する作業を行う必要がないため、ＣＱ２０２１に対応するＶＣを速やかに検証者装置１１０３に提供することができる。例えば、所有者が入退場ゲートを通過する場合であっても、社員証ＶＣ等が検証者装置１１０３に速やかに提供されるため、社員証ＶＣ等の検証を高速に行うことができる。また、検証者が所有者にＶＣの提示を要求する場合であっても、電子メール、電話等の連絡手段を用いることなく、所有者装置１１０１から速やかにＶＣを取得することができる。

　図２４は、図１１の情報処理システムにおけるＶＣ発行処理の例を示すフローチャートである。まず、所有者装置１１０１の登録部２０１２は、通信部２０１１を介して、ＶＣ作成依頼を発行者装置１１０２へ送信する（ステップ２４０１）。

　発行者装置１１０２の通信部１２１１は、所有者装置１１０１からＶＣ作成依頼を受信する（ステップ２４０２）。次に、登録部１２１２は、所有者に対応する秘密鍵及び公開鍵を生成する（ステップ２４０３）。そして、登録部１２１２は、ＤＩＤ及び公開鍵を含むＤＩＤ文書を生成し（ステップ２４０４）、通信部１２１１を介して、検証可能データレジストリ１１０４へ送信する（ステップ２４０５）。

　検証可能データレジストリ１１０４は、受信したＤＩＤ文書を確認した後、検証可能データレジストリ１１０４内に保存する（ステップ２４０６）。

　次に、登録部１２１２は、Ｃｌａｉｍ及びＤＩＤと、秘密鍵を用いて生成された署名とを含む、ＶＣを生成する（ステップ２４０７）。そして、登録部１２１２は、生成されたＶＣを含むタグ付きＶＣ１２２３を生成し（ステップ２４０８）、生成されたタグ付きＶＣ１２２３を、通信部１２１１を介して、所有者装置１１０１へ送信する（ステップ２４０９）。

　所有者装置１１０１の通信部２０１１は、発行者装置１１０２からタグ付きＶＣ１２２３を受信し、登録部２０１２は、受信したタグ付きＶＣ１２２３を、記憶部２０１６に保存する（ステップ２４１０）。

　図２５は、図２４のステップ２４０８におけるタグ付きＶＣ生成処理の例を示すフローチャートである。まず、登録部１２１２は、ＶＣ内のＣｌａｉｍから属性の文字列ｘを取得し（ステップ２５０１）、記憶部１２１４から属性ツリー１２２１を取得する（ステップ２５０２）。

　そして、登録部１２１２は、属性ツリー１２２１から文字列ｘを検索し（ステップ２５０３）、属性ツリー１２２１の何れかのノードに文字列ｘが含まれているか否かをチェックする（ステップ２５０４）。

　何れのノードにも文字列ｘが含まれていない場合（ステップ２５０４，ＮＯ）、登録部１２１２は、文字列ｘを示す新規ノードを属性ツリー１２２１に追加する（ステップ２５０５）。そして、登録部１２１２は、追加されたノードのｉｄを含むＵＲＬを、タグとして生成する（ステップ２５０７）。

　一方、何れかのノードに文字列ｘが含まれている場合（ステップ２５０４，ＹＥＳ）、登録部１２１２は、そのノードからｉｄを取得する（ステップ２５０６）。そして、登録部１２１２は、取得されたｉｄを含むＵＲＬを、タグとして生成する（ステップ２５０７）。

　次に、登録部１２１２は、生成されたタグをＶＣに付加することで、タグ付きＶＣ１２２３を生成する（ステップ２５０８）。

　図２６は、図１１の情報処理システムにおけるＶＣ提供処理の例を示すフローチャートである。まず、検証者装置１１０３は、ＣＱ２０２１を所有者装置１１０１へ送信する（ステップ２６０１）。

　所有者装置１１０１の通信部２０１１は、検証者装置１１０３からＣＱ２０２１を受信し、受付部２０１３は、受信したＣＱ２０２１を受け付ける（ステップ２６０２）。そして、判定部２０１４は、通信部２０１１を介して、発行者装置１１０２に検証ポリシー１２２２を要求する（ステップ２６０３）。

　発行者装置１１０２の制御部１２１３は、通信部１２１１を介して、検証ポリシー１２２２を所有者装置１１０１へ送信する（ステップ２６０４）。

　所有者装置１１０１の判定部２０１４及び選択部２０１５は、検証ポリシー１２２２を用いて、ＶＰ２０２３を生成するＶＰ生成処理を行う（ステップ２６０５）。そして、選択部２０１５は、ＶＰ生成処理によってＶＰ２０２３が生成されたか否かをチェックする（ステップ２６０６）。ＶＰ２０２３が生成されていない場合（ステップ２６０６，ＮＯ）、所有者装置１１０１は、処理を終了する。

　一方、ＶＰ２０２３が生成された場合（ステップ２６０６，ＹＥＳ）、選択部２０１５は、通信部２０１１を介して、ＶＰ２０２３を含む応答を検証者装置１１０３へ送信する（ステップ２６０７）。

　図２７Ａ及び図２７Ｂは、図２６のステップ２６０５におけるＶＰ生成処理の例を示すフローチャートである。まず、判定部２０１４は、発行者装置１１０２から受信した検証ポリシー１２２２を取得する（ステップ２７０１）。

　次に、判定部２０１４は、ＣＱ２０２１から検証者名を取得し（ステップ２７０２）、取得された検証者名が検証ポリシー１２２２に含まれているか否かをチェックする（ステップ２７０３）。

　検証者名が検証ポリシー１２２２に含まれていない場合（ステップ２７０３，ＮＯ）、判定部２０１４は、「ＶＣを要求した検証者は非認可です」というエラーメッセージを出力する（ステップ２７０４）。そして、判定部２０１４は、所有者に対して通常の検証を推奨する（ステップ２７０５）。この場合、ＶＰ生成処理によって、ＶＰ２０２３は生成されない。

　一方、検証者名が検証ポリシー１２２２に含まれている場合（ステップ２７０３，ＹＥＳ）、判定部２０１４は、ＣＱ２０２１から属性を取得する（ステップ２７０６）。

　次に、判定部２０１４は、検証ポリシー１２２２において、ＣＱ２０２１から取得された検証者名に対応するｃｒｅｄｅｎｔｉａｌｓに含まれている各文字列から、ブルームフィルタＢＦを生成する（ステップ２７０７）。ステップ２７０７において、判定部２０１４は、登録対象ブルームフィルタの場合と同様にして、各文字列をＢＦに変換する。

　次に、判定部２０１４は、ＣＱ２０２１から取得された属性の文字列ｙのハッシュ値Ｈ１（ｙ）～ハッシュ値Ｈｋ（ｙ）を計算し、各ＢＦに対する判定値ＣＨＫを計算する。ＣＨＫは、式（１）のＣＨＫ（ｐ）と同様にして、Ｈｊ（ｙ）及びＢＦから計算される。そして、判定部２０１４は、各ＢＦに対するＣＨＫが示す判定結果をチェックする（ステップ２７０８）。

　すべてのＢＦに対するＣＨＫが示す判定結果がＦａｌｓｅである場合（ステップ２７０８，ＮＯ）、判定部２０１４は、「要求された属性は検証対象外です」というエラーメッセージを出力する（ステップ２７０９）。そして、判定部２０１４は、所有者に対して通常の検証を推奨する（ステップ２７１０）。この場合、ＶＰ生成処理によって、ＶＰ２０２３は生成されない。

　一方、何れかのＢＦに対するＣＨＫが示す判定結果がＴｒｕｅである場合（ステップ２７０８，ＹＥＳ）、判定部２０１４は、空のＶＣリストを生成する（ステップ２７１１）。

　次に、判定部２０１４は、所有者が保有するタグ付きＶＣ２１０１－１～タグ付きＶＣ２１０１－Ｎの中から、何れかのタグ付きＶＣ２１０１－ｐを選択し、そのタグ付きＶＣ２１０１－ｐからタグを取得する（ステップ２７１２）。

　次に、判定部２０１４は、通信部２０１１を介して、タグ付きＶＣ２１０１－ｐに含まれるタグが示すノードのｂｆを、発行者装置１１０２に要求し、発行者装置１１０２からＢＦ２１０２－ｐを取得する（ステップ２７１３）。

　次に、判定部２０１４は、ＣＱ２０２１から取得された属性の文字列ｙのハッシュ値Ｈｊ（ｙ）を用いて、式（１）により、ＢＦ２１０２－ｐに対する判定値ＣＨＫ（ｐ）を計算する。そして、判定部２０１４は、ＣＨＫ（ｐ）が示す判定結果を、選択部２０１５へ出力する。

　次に、選択部２０１５は、判定部２０１４から出力された判定結果をチェックする（ステップ２７１４）。判定結果がＴｒｕｅである場合（ステップ２７１４，ＹＥＳ）、選択部２０１５は、タグ付きＶＣ２１０１－ｐに含まれているＶＣを、ＶＣリストに追加する（ステップ２７１５）。

　次に、判定部２０１４は、すべてのタグ付きＶＣ２１０１－ｐを選択したか否かをチェックする（ステップ２７１６）。未選択のタグ付きＶＣ２１０１－ｐが残っている場合（ステップ２７１６，ＮＯ）、所有者装置１１０１は、次のタグ付きＶＣ２１０１－ｐについて、ステップ２７１２以降の処理を繰り返す。

　判定結果がＦａｌｓｅである場合（ステップ２７１４，ＮＯ）、所有者装置１１０１は、ステップ２７１６以降の処理を行う。そして、すべてのタグ付きＶＣ２１０１－ｐが選択された場合（ステップ２７１６，ＹＥＳ）、選択部２０１５は、ＶＣリストが空であるか否かをチェックする（ステップ２７１７）。

　ＶＣリストが空である場合（ステップ２７１７，ＹＥＳ）、選択部２０１５は、「要求された属性を示すＶＣは見つかりませんでした」というエラーメッセージを出力する（ステップ２７１８）。そして、選択部２０１５は、所有者に対して通常の検証を推奨する（ステップ２７１９）。この場合、ＶＰ生成処理によって、ＶＰ２０２３は生成されない。

　一方、ＶＣリストが空ではない場合（ステップ２７１７，ＮＯ）、選択部２０１５は、ＶＣリストに２つ以上のＶＣが含まれているか否かをチェックする（ステップ２７２０）。

　ＶＣリストに２つ以上のＶＣが含まれている場合（ステップ２７２０，ＹＥＳ）、選択部２０１５は、それらのＶＣのうち、最上位のノードに対応するＶＣを選択する（ステップ２７２１）。最上位のノードに対応するＶＣは、最上位のノードを参照するタグを含むタグ付きＶＣ２１０１－ｐに含まれていたＶＣである。

　一方、ＶＣリストに１つのＶＣのみが含まれている場合（ステップ２７２０，ＮＯ）、選択部２０１５は、そのＶＣを選択する（ステップ２７２２）。

　次に、選択部２０１５は、選択されたＶＣをＶＰ２０２３に変換することで、ＶＰ２０２３を生成する（ステップ２７２３）。この場合、ＶＰ生成処理によって、ＶＰ２０２３が生成される。

　図９の情報処理装置９０１の構成は一例に過ぎず、情報処理装置９０１の用途又は条件に応じて一部の構成要素を省略又は変更してもよい。

　図１１の情報処理システムの構成は一例に過ぎず、情報処理システムの用途又は条件に応じて一部の構成要素を省略又は変更してもよい。図１２の発行者装置１１０２及び図２０の所有者装置１１０１の構成は一例に過ぎず、情報処理システムの用途又は条件に応じて一部の構成要素を省略又は変更してもよい。

　図１０及び図２４～図２７Ｂのフローチャートは一例に過ぎず、情報処理装置９０１又は情報処理システムの構成又は条件に応じて一部の処理を省略又は変更してもよい。

　図１及び図４に示したＶＣの生成及び保管は一例に過ぎず、ＶＣの生成及び保管は、ＶＣの用途又は条件に応じて変化する。図２及び図５に示したＶＣの検証は一例に過ぎず、ＶＣの検証は、ＶＣの用途又は条件に応じて変化する。

　図３及び図６のスマートフォン３０１の構成は一例に過ぎず、スマートフォン３０１の用途又は条件に応じて一部の構成要素を省略又は変更してもよい。

　図７に示したポリシーの設定及びＶＣの検証の手順は一例に過ぎず、ポリシーの設定及びＶＣの検証の手順は、ＶＣの用途又は条件に応じて変化する。図８に示したスマートフォン３０１の動作は一例に過ぎず、スマートフォン３０１の動作は、ＶＣの用途又は条件に応じて変化する。

　図１３に示した属性ツリー１２２１は一例に過ぎず、別のデータ構造の属性管理情報を用いてもよい。属性ツリー１２２１の各ノードが有する情報は一例に過ぎず、情報処理システムの構成又は条件に応じて一部の情報を省略又は変更してもよい。例えば、ブルームフィルタの代わりに、カッコウフィルタ等の別の制御情報を用いてもよい。属性ツリー１２２１に含まれるノードの個数及び属性は、ＶＣの用途又は条件に応じて変化する。

　図１４及び図１５に示したタグ付きＶＣ生成処理は一例に過ぎず、発行者装置１１０２は、別の方法でタグ付きＶＣ１２２３を生成してもよい。図１６～図１８、図２２、及び図２３に示したブルームフィルタは一例に過ぎず、ブルームフィルタは、ＶＣの用途又は条件に応じて変化する。図１９に示した検証ポリシー１２２２は一例に過ぎず、別の形式の開示条件情報を用いてもよい。

　図２１に示した判定処理は一例に過ぎず、所有者装置１１０１は、別の方法で判定処理を行ってもよい。式（１）は一例に過ぎず、判定部２０１４は、別の計算式を用いて判定値ＣＨＫ（ｐ）を計算してもよい。

　図２８は、図９の情報処理装置９０１、図１２の発行者装置１１０２、及び図２０の所有者装置１１０１として用いられる情報処理装置のハードウェア構成例を示している。図２８の情報処理装置は、ＣＰＵ（Central　Processing　Unit）２８０１、メモリ２８０２、入力装置２８０３、出力装置２８０４、補助記憶装置２８０５、媒体駆動装置２８０６、及びネットワーク接続装置２８０７を含む。これらの構成要素はハードウェアであり、バス２８０８により互いに接続されている。

　メモリ２８０２は、例えば、ＲＯＭ（Read　Only　Memory）、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ等の半導体メモリであり、処理に用いられるプログラム及びデータを記憶する。メモリ２８０２は、図１２の記憶部１２１４又は図２０の記憶部２０１６として動作してもよい。

　ＣＰＵ２８０１（プロセッサ）は、例えば、メモリ２８０２を利用してプログラムを実行することにより、図９の受付部９１１、判定部９１２、及び選択部９１３として動作する。

　ＣＰＵ２８０１は、メモリ２８０２を利用してプログラムを実行することにより、図１２の登録部１２１２及び制御部１２１３としても動作する。ＣＰＵ２８０１は、メモリ２８０２を利用してプログラムを実行することにより、図２０の登録部２０１２、受付部２０１３、判定部２０１４、及び選択部２０１５としても動作する。

　入力装置２８０３は、例えば、キーボード、ポインティングデバイス等であり、ユーザ又はオペレータからの指示又は情報の入力に用いられる。出力装置２８０４は、例えば、表示装置、プリンタ、スピーカ等であり、ユーザ又はオペレータへの問い合わせ又は処理結果の出力に用いられる。

　補助記憶装置２８０５は、例えば、磁気ディスク装置、光ディスク装置、光磁気ディスク装置、テープ装置等である。補助記憶装置２８０５は、ハードディスクドライブ又はＳＳＤ（Solid　State　Drive）であってもよい。情報処理装置がスマートフォンである場合、補助記憶装置２８０５は、フラッシュメモリであってもよい。

　情報処理装置は、補助記憶装置２８０５にプログラム及びデータを格納しておき、それらをメモリ２８０２にロードして使用することができる。補助記憶装置２８０５は、図１２の記憶部１２１４又は図２０の記憶部２０１６として動作してもよい。

　媒体駆動装置２８０６は、可搬型記録媒体２８０９を駆動し、その記録内容にアクセスする。可搬型記録媒体２８０９は、メモリデバイス、フレキシブルディスク、光ディスク、光磁気ディスク等である。可搬型記録媒体２８０９は、ＣＤ－ＲＯＭ（Compact　Disk　Read　Only　Memory）、ＤＶＤ（Digital　Versatile　Disk）、ＵＳＢ（Universal　Serial　Bus）メモリ等であってもよい。ユーザ又はオペレータは、可搬型記録媒体２８０９にプログラム及びデータを格納しておき、それらをメモリ２８０２にロードして使用することができる。

　このように、処理に用いられるプログラム及びデータを格納するコンピュータ読み取り可能な記録媒体は、メモリ２８０２、補助記憶装置２８０５、又は可搬型記録媒体２８０９のような、物理的な（非一時的な）記録媒体である。

　ネットワーク接続装置２８０７は、通信ネットワーク１１０５に接続され、通信に伴うデータ変換を行う通信インタフェース回路である。情報処理装置は、プログラム及びデータを外部の装置からネットワーク接続装置２８０７を介して受信し、それらをメモリ２８０２にロードして使用することができる。ネットワーク接続装置２８０７は、図１２の通信部１２１１又は図２０の通信部２０１１として動作してもよい。

　なお、情報処理装置が図２８のすべての構成要素を含む必要はなく、用途又は条件に応じて一部の構成要素を省略又は変更することも可能である。例えば、ユーザ又はオペレータとのインタフェースが不要である場合は、入力装置２８０３及び出力装置２８０４を省略してもよい。情報処理装置が可搬型記録媒体２８０９を利用しない場合は、媒体駆動装置２８０６を省略してもよい。

　図１１の検証者装置１１０３及び検証可能データレジストリ１１０４としては、図２８と同様の情報処理装置を用いることができる。

　開示の実施形態とその利点について詳しく説明したが、当業者は、特許請求の範囲に明確に記載した本発明の範囲から逸脱することなく、様々な変更、追加、省略をすることができるであろう。

Claims

　個人情報所有者が特定の属性を有することを示す個人情報の開示を要求する開示要求を受け付け、
　複数の属性情報を含み、かつ、前記複数の属性情報のうち１つの属性情報が示す属性の範囲が、前記複数の属性情報のうち前記１つの属性情報よりも上位の属性情報が示す属性の範囲に含まれる階層構造を有する属性管理情報において、前記個人情報所有者が保有する１つ又は複数の個人情報それぞれに対応する第１属性情報が示す第１属性と、前記第１属性情報よりも上位の第２属性情報が示す第２属性とが、前記特定の属性に対応するか否かを判定する判定処理を行い、
　前記判定処理の結果に基づいて、前記１つ又は複数の個人情報の何れかを開示対象の個人情報として選択する、
　処理をコンピュータが実行することを特徴とする個人情報制御方法。
　前記第１属性情報は、前記属性管理情報が前記第１属性情報及び前記第２属性情報を含むことを示す制御情報を含み、
　前記判定処理は、
　　前記第１属性情報から前記制御情報を取得する処理と、
　　前記開示要求及び前記制御情報に基づいて、前記第１属性及び前記第２属性が前記特定の属性に対応するか否かを判定する処理と、
　を含むことを特徴とする請求項１記載の個人情報制御方法。
　前記１つ又は複数の個人情報それぞれには、前記属性管理情報に含まれる前記第１属性情報を示すタグが付加されており、
　前記第１属性情報から前記制御情報を取得する処理は、前記タグを用いて、前記属性管理情報に含まれる前記第１属性情報を参照する処理を含むことを特徴とする請求項２記載の個人情報制御方法。
　前記開示要求は、前記個人情報の開示を要求する個人情報要求者の識別情報を含み、
　１つ又は複数の個人情報開示先それぞれの識別情報を含む開示条件情報と、前記個人情報要求者の識別情報とに基づいて、前記判定処理を行うか否かを決定する処理を、前記コンピュータがさらに実行することを特徴とする請求項１乃至３の何れか１項に記載の個人情報制御方法。
　前記開示条件情報は、１つ又は複数の開示対象属性をさらに含み、
　前記１つ又は複数の開示対象属性と前記特定の属性とに基づいて、前記判定処理を行うか否かを決定する処理を、前記コンピュータがさらに実行することを特徴とする請求項４記載の個人情報制御方法。
　個人情報所有者が特定の属性を有することを示す個人情報の開示を要求する開示要求を受け付ける受付部と、
　複数の属性情報を含み、かつ、前記複数の属性情報のうち１つの属性情報が示す属性の範囲が、前記複数の属性情報のうち前記１つの属性情報よりも上位の属性情報が示す属性の範囲に含まれる階層構造を有する属性管理情報において、前記個人情報所有者が保有する１つ又は複数の個人情報それぞれに対応する第１属性情報が示す第１属性と、前記第１属性情報よりも上位の第２属性情報が示す第２属性とが、前記特定の属性に対応するか否かを判定する判定処理を行う判定部と、
　前記判定処理の結果に基づいて、前記１つ又は複数の個人情報の何れかを開示対象の個人情報として選択する選択部と、
　を備えることを特徴とする情報処理装置。
　前記第１属性情報は、前記属性管理情報が前記第１属性情報及び前記第２属性情報を含むことを示す制御情報を含み、
　前記判定部は、前記第１属性情報から前記制御情報を取得し、前記開示要求及び前記制御情報に基づいて、前記第１属性及び前記第２属性が前記特定の属性に対応するか否かを判定することを特徴とする請求項６記載の情報処理装置。
　前記１つ又は複数の個人情報それぞれには、前記属性管理情報に含まれる前記第１属性情報を示すタグが付加されており、
　前記判定部は、前記タグを用いて、前記属性管理情報に含まれる前記第１属性情報を参照することを特徴とする請求項７記載の情報処理装置。
　前記開示要求は、前記個人情報の開示を要求する個人情報要求者の識別情報を含み、
　前記判定部は、１つ又は複数の個人情報開示先それぞれの識別情報を含む開示条件情報と、前記個人情報要求者の識別情報とに基づいて、前記判定処理を行うか否かを決定することを特徴とする請求項６乃至８の何れか１項に記載の情報処理装置。
　前記開示条件情報は、１つ又は複数の開示対象属性をさらに含み、
　前記判定部は、前記１つ又は複数の開示対象属性と前記特定の属性とに基づいて、前記判定処理を行うか否かを決定することを特徴とする請求項９記載の情報処理装置。
　個人情報所有者が特定の属性を有することを示す個人情報の開示を要求する開示要求を受け付け、
　複数の属性情報を含み、かつ、前記複数の属性情報のうち１つの属性情報が示す属性の範囲が、前記複数の属性情報のうち前記１つの属性情報よりも上位の属性情報が示す属性の範囲に含まれる階層構造を有する属性管理情報において、前記個人情報所有者が保有する１つ又は複数の個人情報それぞれに対応する第１属性情報が示す第１属性と、前記第１属性情報よりも上位の第２属性情報が示す第２属性とが、前記特定の属性に対応するか否かを判定する判定処理を行い、
　前記判定処理の結果に基づいて、前記１つ又は複数の個人情報の何れかを開示対象の個人情報として選択する、
　処理をコンピュータに実行させるための個人情報制御プログラム。
　前記第１属性情報は、前記属性管理情報が前記第１属性情報及び前記第２属性情報を含むことを示す制御情報を含み、
　前記判定処理は、
　　前記第１属性情報から前記制御情報を取得する処理と、
　　前記開示要求及び前記制御情報に基づいて、前記第１属性及び前記第２属性が前記特定の属性に対応するか否かを判定する処理と、
　を含むことを特徴とする請求項１１記載の個人情報制御プログラム。
　前記１つ又は複数の個人情報それぞれには、前記属性管理情報に含まれる前記第１属性情報を示すタグが付加されており、
　前記第１属性情報から前記制御情報を取得する処理は、前記タグを用いて、前記属性管理情報に含まれる前記第１属性情報を参照する処理を含むことを特徴とする請求項１２記載の個人情報制御プログラム。
　前記開示要求は、前記個人情報の開示を要求する個人情報要求者の識別情報を含み、
　前記個人情報制御プログラムは、１つ又は複数の個人情報開示先それぞれの識別情報を含む開示条件情報と、前記個人情報要求者の識別情報とに基づいて、前記判定処理を行うか否かを決定する処理を、前記コンピュータにさらに実行させることを特徴とする請求項１１乃至１３の何れか１項に記載の個人情報制御プログラム。
　前記開示条件情報は、１つ又は複数の開示対象属性をさらに含み、
　前記個人情報制御プログラムは、前記１つ又は複数の開示対象属性と前記特定の属性とに基づいて、前記判定処理を行うか否かを決定する処理を、前記コンピュータにさらに実行させることを特徴とする請求項１４記載の個人情報制御プログラム。