WO2023187910A1

WO2023187910A1 - 個人情報流通システムおよび個人情報流通適否判定方法

Info

Publication number: WO2023187910A1
Application number: PCT/JP2022/015039
Authority: WO
Inventors: 亮大久保; 寛之鳴海; 渉川戸; 善弘水野; 勲粂
Original assignee: 株式会社日立製作所
Priority date: 2022-03-28
Filing date: 2022-03-28
Publication date: 2023-10-05

Abstract

個人情報流通システムは、個人情報を提供するデータ提供者の利用目的を提供者利用目的として登録する提供者管理部（１１２）と、データ利用者の利用目的を利用者利用目的として登録する利用者管理部（１１３）と、個人情報に係る個人が同意する利用目的に係る同意情報を登録する同意管理部（１１１）と、個人情報提供の適否を、提供者利用目的と、利用者利用目的と、同意情報とを照合して判断する照合管理部（１１５）とを備える。提供者利用目的、利用者利用目的、および同意情報は分散型台帳に格納され、アクセスが提供者管理部（１１２）、利用者管理部（１１３）、および同意管理部（１１１）にそれぞれ制限される。照合管理部（１１５）は、提供者利用目的を前記提供者管理部（１１２）から、利用者利用目的を利用者管理部（１１３）から、同意情報を同意管理部（１１１）から取得して照合する。

Description

個人情報流通システムおよび個人情報流通適否判定方法

　本発明は、個人情報の流通を管理する個人情報流通システムおよび個人情報流通適否判定方法に関する。

　物品の購買履歴やサービスの利用履歴などの個人情報を取得した事業者が、他の事業者に個人情報を提供する個人情報の流通が行われている。流通を円滑に行うためには、各個人が同意した条件の下で当該個人の個人情報が流通することを担保する仕組みが必須である。
　このような仕組みを取り入れた個人情報流通のシステムとして、特許文献１に記載の情報流通システムがある。この情報流通システムでは、個人データの利用目的と個人の同意情報とをブロックチェーン上で管理し、個人情報を利用する際には利用目的と同意情報とを照合した上で個人情報の授受を行う。

国際公開第２０２１／０５９４３４号

　特許文献１に記載の情報流通システムは、流通の可否を判断する基となる利用目的と同意情報とがブロックチェーンに保管されているが、不正なアクセスに対する制限については何ら考慮されていない。
　本発明は、このような背景を鑑みてなされたものであり、個人情報流通の可否判断に必要な情報への不正アクセスの制限を可能とする個人情報流通システムおよび個人情報流通適否判定方法を提供することを課題とする。

　上記した課題を解決するため、本発明に係る個人情報流通システムは、個人情報を提供するデータ提供者の、当該個人情報の提供先における当該個人情報の利用目的を提供者利用目的として登録する提供者管理部と、前記データ提供者から提供される個人情報を利用するデータ利用者の、当該個人情報の利用目的を利用者利用目的として登録する利用者管理部と、前記個人情報に係る個人が前記データ提供者から提供先への当該個人の個人情報の提供に同意するところの、当該提供先における当該個人情報の利用目的に係る同意情報を登録する同意管理部と、前記データ提供者が前記個人情報を前記データ利用者に提供する適否を、当該データ提供者の提供者利用目的と、当該データ利用者の利用者利用目的と、当該個人情報に係る個人の同意情報とを照合して判断する照合管理部とを備え、前記提供者利用目的、前記利用者利用目的、および前記同意情報は、分散型台帳に格納され、前記提供者利用目的は、前記分散型台帳を構成するブロックチェーン基盤サーバのチェーンコードのなかで前記提供者管理部として機能するチェーンコードのみがアクセス可能であり、前記利用者利用目的は、前記チェーンコードのなかで前記利用者管理部として機能するチェーンコードのみがアクセス可能であり、前記同意情報は、前記チェーンコードのなかで前記同意管理部として機能するチェーンコードのみがアクセス可能であり、前記照合管理部は、前記提供者利用目的を前記提供者管理部から取得し、前記利用者利用目的を前記利用者管理部から取得し、前記同意情報を前記同意管理部から取得して照合する。

　本発明によれば、個人情報流通の可否判断に必要な情報への不正アクセスの制限を可能とする個人情報流通システムおよび個人情報流通適否判定方法を提供することができる。上記した以外の課題、構成および効果は、以下の実施形態の説明により明らかにされる。

第１実施形態に係る個人情報流通システムの全体構成図である。第１実施形態に係る提供者業務サーバの機能ブロック図である。第１実施形態に係る個人情報データベースのデータ構成図である。第１実施形態に係る利用目的管理データベースのデータ構成図である。第１実施形態に係る利用者業務サーバの機能ブロック図である。第１実施形態に係る同意済み利用目的データベースのデータ構成図である。第１実施形態に係る個人情報管理サーバの機能ブロック図である。第１実施形態に係るユーザテーブルのデータ構成図である。第１実施形態に係るステークホルダテーブルのデータ構成図である。第１実施形態に係る共通識別情報管理テーブルのデータ構成図である。第１実施形態に係るブロックチェーン基盤サーバの機能ブロック図である。第１実施形態に係るローカルデータベースのデータ構成図である。第１実施形態に係る台帳テーブルデータベースのデータ構成図である。第１実施形態に係る台帳履歴データベースのデータ構成図である。第１実施形態に係るアクセス属性管理テーブルのデータ構成図である。第１実施形態に係るアクセス管理マスタテーブルのデータ構成図である。第１実施形態に係る同意情報テーブルのデータ構成図である。第１実施形態に係る提供者利用目的テーブルのデータ構成図である。第１実施形態に係る利用者利用目的テーブルのデータ構成図である。第１実施形態に係る利用目的パターン情報テーブルのデータ構成図である。第１実施形態に係る個人登録処理のシーケンス図である。第１実施形態に係るステークホルダ登録処理のシーケンス図である。第１実施形態に係る提供者利用目的登録処理のシーケンス図である。第１実施形態に係る利用目的パターン検索時のデータ提供者用利用目的登録画面の画面構成図である。第１実施形態に係る利用目的パターン選択時のデータ提供者用利用目的登録画面の画面構成図である。第１実施形態に係る利用目的登録時のデータ提供者用利用目的登録画面の画面構成図である。第１実施形態に係る利用者利用目的登録処理のシーケンス図である。第１実施形態に係るデータ提供者検索時のデータ利用者用利用目的登録画面の画面構成図である。第１実施形態に係るデータ提供者選択時のデータ利用者用利用目的登録画面の画面構成図である。第１実施形態に係る利用目的登録時のデータ利用者用利用目的登録画面の画面構成図である。第１実施形態に係る同意情報登録処理のシーケンス図である。第１実施形態に係るユーザ同意登録画面の画面構成図である。第１実施形態に係る同意情報変更処理のシーケンス図である。第１実施形態に係る個人情報流通処理のシーケンス図である。第１実施形態に係る同意照合処理のシーケンス図である。第２実施形態に係るブロックチェーン基盤サーバの機能ブロック図である。第２実施形態に係る台帳テーブルデータベースのデータ構成図である。第２実施形態に係る台帳履歴データベースのデータ構成図である。第２実施形態に係るアクセス管理マスタテーブルのデータ構成図である。第２実施形態に係る同意情報登録処理のシーケンス図である。第２実施形態に係る同意照合処理のシーケンス図である。第３実施形態に係るブロックチェーン基盤サーバの機能ブロック図である。第３実施形態に係る台帳テーブルデータベースのデータ構成図である。第３実施形態に係る台帳履歴データベースのデータ構成図である。第３実施形態に係る同意情報登録処理のシーケンス図である。第３実施形態に係る同意照合処理のシーケンス図である。第４実施形態に係る個人情報管理サーバの機能ブロック図である。第４実施形態に係るブロックチェーン基盤サーバの機能ブロック図である。第４実施形態に係る台帳テーブルデータベースのデータ構成図である。第４実施形態に係る台帳履歴データベースのデータ構成図である。第４実施形態に係る同意情報ハッシュ値テーブルのデータ構成図である。第４実施形態に係る同意情報登録処理のシーケンス図である。第４実施形態に係る同意照合処理のシーケンス図である。

≪個人情報流通システムの概要≫
　以下に、本発明を実施するための形態（実施形態）における個人情報流通システムについて説明する。個人情報流通システムの関係者（ステークホルダ）は、個人と、個人から個人情報を収集するデータ提供者と、データ提供者から個人情報を受領して利用するデータ利用者である。データ提供者は、データ提供者として個人情報をデータ利用者に提供する条件と、個人情報の提供先となるデータ利用者の利用目的とを分散型台帳（ブロックチェーン）に登録する。データ利用者は、個人情報の利用目的を分散型台帳に登録する。また個人は、自身の個人情報について、データ提供者からデータ利用者への提供に同意する条件となるデータ提供者の利用目的を、同意情報として分散型台帳に登録する。

　個人情報の適切な流通には、個人の同意に基づく個人情報の提供が必要なる。個人情報流通システムにおいて個人情報がデータ提供者からデータ利用者へ提供されるときには、個人の同意情報と、データ提供者の利用目的と、データ利用者の利用目的とが合致しているかが照合されて確認される。このため、個人の同意情報、データ提供者の利用目的、およびデータ利用者の利用目的が不正なアクセスから保護され、さらに適切な同意情報と利用目的との照合が求められる。

　個人情報流通システムでは、データ提供者の利用目的の登録処理、データ利用者の利用目的の登録処理、個人の同意情報の登録処理、および利用目的と同意情報との照合処理とは、分散型台帳を構成するブロックチェーン基盤サーバ上で個別のチェーンコード（アプリケーションプログラム）によるトランザクションとして実行される。また、利用目的および同意情報へのアクセスは、チェーンコード、およびチェーンコードを呼び出した主体（個人、データ提供者、データ利用者）に応じて制限される。このようにすることで、利用目的および同意情報への不正アクセスを防止することができ、適切な個人情報提供の可否判定が可能となり、延いては適正な個人情報の流通が担保される。

≪個人情報流通システムの全体構成≫
　図１は、第１実施形態に係る個人情報流通システム７００の全体構成図である。個人情報流通システム７００は、ブロックチェーン基盤サーバ１０１～１０３を含んで構成される。個人情報流通システム７００は、さらに個人情報管理サーバ３０１～３０３、提供者業務サーバ４００、利用者業務サーバ５０２，５０３を含んでもよい。
　提供者業務サーバ４００、個人情報管理サーバ３０１、およびブロックチェーン基盤サーバ１０１は、データ提供者７２０によって運営される。利用者業務サーバ５０２，５０３、個人情報管理サーバ３０２，３０３、およびブロックチェーン基盤サーバ１０２，１０３は、データ利用者７３２，７３３によってそれぞれ運営される。

　これらのサーバ、および個人が利用する端末７１０は、ネットワーク７８０を介してデータ通信が可能である。また、ブロックチェーン基盤サーバ１０１～１０３は、分散型台帳７９０（ブロックチェーン）を構成する。ブロックチェーン基盤サーバ１０１～１０３を総称してブロックチェーン基盤サーバ１００、個人情報管理サーバ３０１～３０３を総称して個人情報管理サーバ３００、利用者業務サーバ５０２，５０３を総称して利用者業務サーバ５００、データ利用者７３２，７３３を総称してデータ利用者７３０と記す。

≪提供者業務サーバの構成≫
　図２は、第１実施形態に係る提供者業務サーバ４００の機能ブロック図である。提供者業務サーバ４００はコンピュータであり、制御部４１０、記憶部４２０、および入出力部４８０を備える。入出力部４８０には、ディスプレイやキーボード、マウスなどのユーザインターフェイス機器が接続される。入出力部４８０が通信デバイスを備え、個人情報管理サーバ３００や端末７１０などとのデータ送受信が可能であってもよい。また入出力部４８０にメディアドライブが接続され、記録媒体を用いたデータのやり取りが可能であってもよい。

≪提供者業務サーバ：記憶部≫
　記憶部４２０は、ＲＯＭ（Read Only Memory）やＲＡＭ（Random Access Memory）、ＳＳＤ（Solid State Drive）などの記憶機器を含んで構成される。記憶部４２０には、個人情報データベース４３０、利用目的管理データベース４４０、およびプログラム４２８が記憶される。プログラム４２８は、後記する個人登録処理（図２１参照）やステークホルダ登録処理（図２２参照）、提供者利用目的登録処理（図２３参照）における提供者業務サーバ４００が実行する処理の記述を含む。

　図３は、第１実施形態に係る個人情報データベース４３０のデータ構成図である。個人情報データベース４３０は例えば表形式のデータであって、１つの行（レコード）は１人の個人の個人識別情報（図３では「個人ＩＤ」と記載）および個人情報の列（属性）を含む。

　図４は、第１実施形態に係る利用目的管理データベース４４０のデータ構成図である。利用目的管理データベース４４０は例えば表形式のデータであって、１つの行（レコード）は個人が利用する端末７１０のアプリケーションの識別情報であるアプリケーション識別情報（図４では「アプリＩＤ」と記載）、ステークホルダ識別情報（図４では「ステークホルダＩＤ」と記載）および利用目的識別情報（図４では「利用目的ＩＤ」と記載）の列（属性）を含む。なお、ここでのステークホルダとは、データ提供者７２０、およびデータ利用者７３０のことである。利用目的管理データベース４４０のレコードは、ステークホルダ識別情報で識別されるデータ提供者７２０が、アプリケーション識別情報で識別されるアプリケーションで収集する個人情報について、その提供先となるデータ利用者７３０の当該個人情報の利用目的が、利用目的識別情報で識別される利用目的であることを示している。

≪提供者業務サーバ：制御部≫
　図２に戻って制御部４１０を説明する。制御部４１０は、ＣＰＵ（Central Processing Unit）を含んで構成され、個人情報登録部４１１、ステークホルダ登録部４１２、提供者利用目的登録部４１３、同意情報登録部４１４、および個人情報提供部４１５が備わる。個人情報登録部４１１は、個人や個人情報の登録に係る処理を行う。ステークホルダ登録部４１２は、データ提供者７２０の登録に係る処理を行う。提供者利用目的登録部４１３は、データ提供者７２０の利用目的（個人情報をデータ利用者７３０に提供する条件やデータ利用者７３０の利用目的）の登録に係る処理を行う。同意情報登録部４１４は、個人の同意情報の登録や変更に係る処理を行う。個人情報提供部４１５は、個人情報の提供（流通）に係る処理を行う。これらの処理の詳細は、後記する。

≪利用者業務サーバの構成≫
　図５は、第１実施形態に係る利用者業務サーバ５００の機能ブロック図である。利用者業務サーバ５００はコンピュータであり、制御部５１０、記憶部５２０、および入出力部５８０を備える。入出力部５８０には、ディスプレイやキーボード、マウスなどのユーザインターフェイス機器が接続される。入出力部５８０が通信デバイスを備え、ブロックチェーン基盤サーバ１００や個人情報管理サーバ３００などとのデータ送受信が可能であってもよい。また入出力部５８０にメディアドライブが接続され、記録媒体を用いたデータのやり取りが可能であってもよい。

≪利用者業務サーバ：記憶部≫
　記憶部５２０は、ＲＯＭやＲＡＭ、ＳＳＤなどの記憶機器を含んで構成される。記憶部５２０には、同意済み利用目的データベース５３０、およびプログラム５２８が記憶される。プログラム５２８は、後記するステークホルダ登録処理（図２２参照）や利用者利用目的登録処理（図２７参照）における利用者業務サーバ５００が実行する処理の記述を含む。

　図６は、第１実施形態に係る同意済み利用目的データベース５３０のデータ構成図である。同意済み利用目的データベース５３０は例えば表形式のデータであって、１つの行（レコード）は個人情報を提供するデータ提供者が登録した個人情報の利用目的識別情報（図６では「利用目的ＩＤ」と記載）、および当該データ提供者７２０の共通識別情報（図６では「共通ＩＤ」と記載）の列（属性）を含む。

≪利用者業務サーバ：制御部≫
　図５に戻って制御部５１０を説明する。制御部５１０は、ＣＰＵを含んで構成され、ステークホルダ登録部５１２、利用者利用目的登録部５１３、および個人情報要求部５１５が備わる。ステークホルダ登録部５１２は、データ利用者７３０の登録に係る処理を行う。利用者利用目的登録部５１３は、データ利用者７３０が個人情報を利用する目的である利用目的の登録に係る処理を行う。個人情報要求部５１５は、個人情報の受領（流通）に係る処理を行う。これらの処理の詳細は、後記する。

≪個人情報管理サーバの構成≫
　図７は、第１実施形態に係る個人情報管理サーバ３００の機能ブロック図である。個人情報管理サーバ３００はコンピュータであり、制御部３１０、記憶部３２０、および入出力部３８０を備える。入出力部３８０には、ディスプレイやキーボード、マウスなどのユーザインターフェイス機器が接続される。入出力部３８０が通信デバイスを備え、ブロックチェーン基盤サーバ１００や他の個人情報管理サーバ３００などとのデータ送受信が可能であってもよい。また入出力部３８０にメディアドライブが接続され、記録媒体を用いたデータのやり取りが可能であってもよい。

≪個人情報管理サーバ：記憶部≫
　記憶部３２０は、ＲＯＭやＲＡＭ、ＳＳＤなどの記憶機器を含んで構成される。記憶部３２０には、ユーザテーブル３３０、ステークホルダテーブル３４０、共通識別情報管理テーブル３５０（図７では「共通ＩＤ管理テーブル」と記載）、およびプログラム３２８が記憶される。プログラム３２８は、後記するステークホルダ登録処理（図２２参照）や提供者利用目的登録処理（図２３参照）、利用者利用目的登録処理（図２７参照）、同意情報登録処理（図３１参照）、個人情報流通処理（図３４参照）などにおける個人情報管理サーバ３００が実行する処理の記述を含む。

　図８は、第１実施形態に係るユーザテーブル３３０のデータ構成図である。ユーザテーブル３３０は例えば表形式のデータであって、１つの行（レコード）は１人の個人の個人識別情報（図８では「個人ＩＤ」と記載）および共通識別情報（図８では「共通ＩＤ」と記載）の列（属性）を含む。なお共通識別情報とは、個人情報流通システム７００において共通となる、個人、データ提供者７２０、およびデータ利用者７３０の識別情報のことである。

　図９は、第１実施形態に係るステークホルダテーブル３４０のデータ構成図である。ステークホルダテーブル３４０は例えば表形式のデータであって、１つの行は１つのステークホルダ（データ提供者７２０とデータ利用者７３０）に係るステークホルダ識別情報（図９では「ステークホルダＩＤ」と記載）、共通識別情報（図９では「共通ＩＤ」と記載）、ステークホルダ情報、ステークホルダ種別の属性を含む。ステークホルダ情報には、ステークホルダ区分（例えば医療機関や小売業など）が含まれる。ステークホルダ種別は、ステークホルダがデータ提供者７２０であるか、データ利用者７３０であるかを示す。

　図１０は、第１実施形態に係る共通識別情報管理テーブル３５０のデータ構成図である。共通識別情報管理テーブル３５０は例えば表形式のデータであって、１つの行（レコード）はステークホルダに係る種別（「個人」、「データ提供者」、「データ利用者」）、共通識別情報（図１０では「共通ＩＤ」と記載）、および利用フラグの列（属性）を含む。利用フラグは、当該ステークホルダがアクティブ状態か休止状態かを示す（「ＴＲＵＥ」または「ＦＡＬＳＥ」）。

≪個人情報管理サーバ：制御部≫
　図７に戻って制御部３１０を説明する。制御部３１０は、ＣＰＵを含んで構成され、ステークホルダ情報登録部３１１、利用目的情報登録部３１２、同意情報登録部３１３、および個人情報流通部３１４が備わる。ステークホルダ情報登録部３１１は、個人やデータ提供者７２０、データ利用者７３０の登録に係る処理を行う。ステークホルダ情報登録部３１１は、全ての個人情報管理サーバ３００で共通になるように、個人、データ提供者７２０、およびデータ利用者７３０の共通識別情報を発行する。このため、全ての個人情報管理サーバ３００のユーザテーブル３３０（図８参照）、ステークホルダテーブル３４０（図９参照）および共通識別情報管理テーブル３５０（図１０参照）は同一になる。

　利用目的情報登録部３１２は、データ提供者７２０およびデータ利用者７３０の利用目的の登録に係る処理を行う。同意情報登録部３１３は、個人の同意情報の登録に係る処理を行う。個人情報流通部３１４は、データ提供者７２０からデータ利用者７３０への個人情報の流通（提供）に係る処理を行う。これらの処理の詳細は、後記する。

≪ブロックチェーン基盤サーバの構成≫
　図１１は、第１実施形態に係るブロックチェーン基盤サーバ１００の機能ブロック図である。ブロックチェーン基盤サーバ１００はコンピュータであり、制御部１１０、記憶部１２０、および入出力部１８０を備える。入出力部１８０には、ディスプレイやキーボード、マウスなどのユーザインターフェイス機器が接続される。入出力部１８０が通信デバイスを備え、個人情報管理サーバ３００や他のブロックチェーン基盤サーバ１００などとのデータ送受信が可能であってもよい。また入出力部１８０にメディアドライブが接続され、記録媒体を用いたデータのやり取りが可能であってもよい。

≪ブロックチェーン基盤サーバ：記憶部≫
　記憶部１２０は、ＲＯＭやＲＡＭ、ＳＳＤなどの記憶機器を含んで構成される。記憶部１２０には、ローカルデータベース１３０、台帳テーブルデータベース１４０、台帳履歴データベース１５０、およびプログラム１２８が記憶される。プログラム１２８は、後記する提供者利用目的登録処理（図２３参照）や利用者利用目的登録処理（図２７参照）、同意情報登録処理（図３１参照）、同意照合処理（図３５参照）におけるブロックチェーン基盤サーバ１００が実行する処理の記述を含む。

　図１２は、第１実施形態に係るローカルデータベース１３０のデータ構成図である。ローカルデータベース１３０は、アクセス属性管理テーブル１６０（後記する図１５参照）およびアクセス管理マスタテーブル１７０（後記する図１６参照）を含む。アクセス属性管理テーブル１６０およびアクセス管理マスタテーブル１７０は、分散型台帳ではないが、ブロックチェーン基盤サーバ１００間で同期しており、全てのブロックチェーン基盤サーバ１００が同一のデータを保有する。

　図１３は、第１実施形態に係る台帳テーブルデータベース１４０のデータ構成図である。台帳テーブルデータベース１４０は、分散型台帳７９０（図１参照）のステートデータベースを含む。ステートデータベースは、後記するプライベートデータである場合を除いて、全てのブロックチェーン基盤サーバ１００が同一のデータを保有する。

　台帳テーブルデータベース１４０は、同意情報テーブル２１０（後記する図１７参照）、提供者利用目的テーブル２２０（後記する図１８参照）、利用者利用目的テーブル２３０（後記する図１９参照）、利用目的パターン情報テーブル２４０（後記する図２０参照）および証跡管理情報テーブル２５０を含む。証跡管理情報テーブル２５０には、同意情報テーブル２１０、提供者利用目的テーブル２２０、利用者利用目的テーブル２３０、および利用目的パターン情報テーブル２４０の変更（更新）の証跡が記録される。

　以上に説明したように、提供者利用目的（提供者利用目的テーブル２２０）、利用者利用目的（利用者利用目的テーブル２３０）、および同意情報（同意情報テーブル２１０）は、分散型台帳７９０に格納される。

　図１４は、第１実施形態に係る台帳履歴データベース１５０のデータ構成図である。台帳履歴データベース１５０は、ステートデータベース別にその変更履歴が記録される。台帳履歴データベース１５０は、同意情報履歴２８１、提供者利用目的履歴２８２、利用者利用目的履歴２８３、利用目的パターン情報履歴２８４、および証跡管理情報履歴２８５を含む。同意情報履歴２８１、提供者利用目的履歴２８２、利用者利用目的履歴２８３、利用目的パターン情報履歴２８４、および証跡管理情報履歴２８５は、それぞれ同意情報テーブル２１０、提供者利用目的テーブル２２０、利用者利用目的テーブル２３０、利用目的パターン情報テーブル２４０、および証跡管理情報テーブル２５０の変更履歴である。

≪ブロックチェーン基盤サーバ：記憶部：アクセス属性管理テーブル≫
　図１５は、第１実施形態に係るアクセス属性管理テーブル１６０のデータ構成図である。アクセス属性管理テーブル１６０は例えば表形式のデータであって、１つの行（レコード）はステークホルダに係る共通識別情報（図１５では「共通ＩＤ」と記載）、およびアクセス属性の列（属性）を含む。アクセス属性とは、共通識別情報で識別されるステークホルダのステートデータベースへのアクセス属性であり、後記するアクセス管理マスタテーブル１７０（図１６参照）のアクセス属性に対応する。

≪ブロックチェーン基盤サーバ：記憶部：アクセス管理マスタテーブル≫
　図１６は、第１実施形態に係るアクセス管理マスタテーブル１７０のデータ構成図である。アクセス管理マスタテーブル１７０は例えば表形式のデータであって、１つの行（レコード）は許可されるステートデータベースおよび変更履歴（同意情報履歴２８１など）へのアクセスを示す。アクセス管理マスタテーブル１７０の行は、チェーンコード、テーブル、アクセス属性、およびアクセス権の列（属性）を含む。

　チェーンコードは、ブロックチェーン基盤サーバ１００で実行されるアプリケーションプログラムを示す。チェーンコードの「同意」、「提供者」、「利用者」および「利用目的」は、制御部１１０に備わる同意管理部１１１、提供者管理部１１２、利用者管理部１１３、および利用目的パターン管理部１１４にそれぞれ対応するアプリケーションプログラムを示す。
　テーブルは、ステートデータベースおよび変更履歴を示す。テーブルの「同意」、「提供者」、「利用者」および「利用目的」は、それぞれ同意情報テーブル２１０と同意情報履歴２８１、提供者利用目的テーブル２２０と提供者利用目的履歴２８２、利用者利用目的テーブル２３０と利用者利用目的履歴２８３、および利用目的パターン情報テーブル２４０と利用目的パターン情報履歴２８４を示す。

　アクセス属性は、アクセス属性管理テーブル１６０（図１５参照）のアクセス属性に対応し、チェーンコードを呼び出したステークホルダのアクセス属性を示す。
　アクセス権は、アクセス属性に示されるステークホルダがチェーンコードに示されるチェーンコードを呼び出してテーブルに示されるステートデータベースにアクセスするときに許可されるアクセス種別を示す。「ｒｅａｄ」は読み取り可、「ｗｒｉｔｅ」は書き込み可を示す。同意情報履歴２８１などの変更履歴の「ｗｒｉｔｅ」は、追加可を示す。

　上から１つ目と２つ目のレコードは、「Ｘ」のアクセス属性を有するステークホルダに呼び出された同意管理部１１１は、同意情報テーブル２１０に読み書き可能であることを示す。なおアクセス属性管理テーブル１６０（図１５参照）によれば、共通識別情報が「A00000011」であるステークホルダが「Ｘ」のアクセス属性を有し、ユーザテーブル３３０（図８参照）によれば、個人識別情報が「0037469384」である個人の共通識別情報が「A00000011」である。

　アクセス管理マスタテーブル１７０にないアクセスは禁止される。例えば同意情報テーブル２１０にアクセス可能なのは同意管理部１１１だけであり、他の制御部１１０の構成要素はアクセスできない。また、「Ｘ」および「Ｙ」以外のアクセス属性を有するステークホルダに呼び出された場合には、同意管理部１１１であっても同意情報テーブル２１０にはアクセスできない。

　第１実施形態では、同意情報テーブル２１０には同意管理部１１１だけが、提供者利用目的テーブル２２０には提供者管理部１１２だけが、利用者利用目的テーブル２３０には利用者管理部１１３だけが、利用目的パターン情報テーブル２４０には利用目的パターン管理部１１４だけがアクセス可能になっている。

　同意管理部１１１を呼び出して同意情報テーブル２１０にアクセスする主体（ステークホルダ）について、個人が読み書き可能で、データ提供者７２０が読み取り可能である。提供者管理部１１２を呼び出して提供者利用目的テーブル２２０にアクセスする主体について、データ提供者７２０が読み書き可能で、データ利用者７３０が読み取り可能である。利用者管理部１１３を呼び出して利用者利用目的テーブル２３０にアクセスする主体について、データ利用者７３０が読み書き可能で、データ提供者７２０が読み取り可能である。利用目的パターン管理部１１４を呼び出して利用目的パターン情報テーブル２４０にアクセスする主体について、データ提供者７２０が読み書き可能である。

≪ブロックチェーン基盤サーバ：記憶部：同意情報テーブル≫
　図１７は、第１実施形態に係る同意情報テーブル２１０のデータ構成図である。同意情報テーブル２１０は例えば表形式のデータであって、１つの行（レコード）は１人の個人の１つの利用目的に対する同意情報を示し、同意情報識別情報２１１、共通識別情報２１２、利用目的識別情報２１３、利用目的２１４、および同意フラグ２１５の列（属性）を含む。

　同意情報識別情報２１１（図１７では「同意情報ＩＤ」と記載）は、同意情報の識別情報である。共通識別情報２１２（図１７では「共通ＩＤ」と記載）は、同意した個人の共通識別情報を示し、ユーザテーブル３３０（図８参照）の共通識別情報に対応する。利用目的識別情報２１３（図１７では「利用目的ＩＤ」と記載）は、同意した利用目的の識別情報を示し、後記する提供者利用目的テーブル２２０（図１８参照）の利用目的識別情報２２１に対応する。

　利用目的２１４は、同意した利用目的の内容を示す。同意フラグ２１５は、個人情報の利用目的に同意（「ＴＲＵＥ」）か不同意（「ＦＡＬＳＥ」）かを示す。同意して同意情報テーブル２１０に登録された後に、個人が同意をキャンセルした場合には、同意フラグ２１５が「ＦＡＬＳＥ」に変更される。
　個人の同意情報は、後記する同意情報登録処理（図３１参照）で登録され、同意情報変更処理（図３３参照）で変更される。

≪ブロックチェーン基盤サーバ：記憶部：提供者利用目的テーブル≫
　図１８は、第１実施形態に係る提供者利用目的テーブル２２０のデータ構成図である。提供者利用目的テーブル２２０は例えば表形式のデータであって、１つの行（レコード）はデータ提供者７２０が登録した利用目的を示し、利用目的識別情報２２１、利用目的２２２、共通識別情報２２３、およびステークホルダ区分２２４の列（属性）を含む。

　利用目的識別情報２２１（図１８では「利用目的ＩＤ」と記載）は、利用目的の識別情報を示す。利用目的２２２は、利用目的の内容を示す。共通識別情報２２３（図１８では「共通ＩＤ」と記載）は、登録したデータ提供者７２０の共通識別情報を示す。ステークホルダ区分２２４は、登録したデータ提供者７２０の事業者として種別を示す。
　データ提供者７２０の利用目的は、後記する提供者利用目的登録処理（図２３参照）により提供者利用目的テーブル２２０に登録される。

≪ブロックチェーン基盤サーバ：記憶部：利用者利用目的テーブル≫
　図１９は、第１実施形態に係る利用者利用目的テーブル２３０のデータ構成図である。利用者利用目的テーブル２３０は例えば表形式のデータであって、１つの行（レコード）はデータ提供者７２０から個人情報の提供を受領するのにあたりデータ利用者７３０が同意したデータ提供者７２０の利用目的を示す。換言すればデータ利用者７３０は、同意したデータ提供者７２０の利用目的を順守して、受領した個人情報を利用する。利用者利用目的テーブル２３０の１つのレコードは、利用目的識別情報２３１、利用目的２３２、共通識別情報２３３、およびステークホルダ区分２３４の列（属性）を含む。

　利用目的識別情報２３１（図１９では「利用目的ＩＤ」と記載）は、データ提供者７２０の利用目的の識別情報を示し、提供者利用目的テーブル２２０（図１８参照）の利用目的識別情報２２１に対応する。利用目的２３２は、利用目的の内容を示し、提供者利用目的テーブル２２０の利用目的２２２に対応する。共通識別情報２３３（図１９では「共通ＩＤ」と記載）は、登録したデータ利用者７３０の共通識別情報を示す。ステークホルダ区分２３４は、登録したデータ利用者７３０の事業者として種別を示す。
　データ利用者７３０の利用目的は、後記する利用者利用目的登録処理（図２７参照）により利用者利用目的テーブル２３０に登録される。

≪ブロックチェーン基盤サーバ：記憶部：利用目的パターンテーブル≫
　図２０は、第１実施形態に係る利用目的パターン情報テーブル２４０のデータ構成図である。利用目的パターン情報テーブル２４０は例えば表形式のデータであって、１つの行（レコード）は利用目的のパターン（雛型、利用目的パターン）を示し、利用目的パターン識別情報２４１、および利用目的パターン２４２の列（属性）を含む。
　利用目的パターン識別情報２４１（図２０では「利用目的パターンＩＤ」と記載）は、利用目パターンの識別情報を示す。利用目的パターン２４２は、利用目的のパターン（雛型）である。データ提供者７２０は、利用目的パターンを参照（編集）して、自身の利用目的パターンを登録する（後記する図２３記載のステップＳ１４７参照）。
　利用目的パターン情報テーブル２４０に含まれる利用目的パターンは、データ提供者７２０が利用目的を登録するにあたり参照される（後記する図２３の提供者利用目的登録処理参照）。

≪ブロックチェーン基盤サーバ：制御部≫
　図１１に戻って制御部１１０を説明する。制御部１１０は、ＣＰＵを含んで構成され、同意管理部１１１、提供者管理部１１２、利用者管理部１１３、利用目的パターン管理部１１４、照合管理部１１５、証跡管理部１１６、および登録部１１９が備わる。同意管理部１１１、提供者管理部１１２、利用者管理部１１３、利用目的パターン管理部１１４、照合管理部１１５、および証跡管理部１１６は、分散型台帳にアクセスしてトランザクション処理を行う、チェーンコードとして実装される。

　同意管理部１１１は、個人の同意情報の登録に係る処理を行う。提供者管理部１１２は、データ提供者７２０の利用目的の登録に係る処理を行う。利用者管理部１１３は、データ利用者７３０の利用目的の登録に係る処理を行う。利用目的パターン管理部１１４は、データ提供者７２０の利用目的の登録に係る処理を行う。照合管理部１１５は、個人情報がデータ提供者７２０からデータ利用者７３０へ提供される際に、個人の同意情報と、データ提供者７２０の利用目的と、データ利用者７３０の利用目的とが合致しているかの照合を行う。証跡管理部１１６は、同意管理部１１１、提供者管理部１１２、利用者管理部１１３、利用目的パターン管理部１１４、照合管理部１１５の処理に係る証跡を証跡管理情報テーブル２５０に記録する。

　登録部１１９は、アクセス属性管理テーブル１６０（図１５参照）およびアクセス管理マスタテーブル１７０（図１６参照）の更新処理を行う。また登録部１１９は、ブロックチェーン基盤サーバ１００間で、アクセス属性管理テーブル１６０、およびアクセス管理マスタテーブル１７０の同期を行う。このため、全てのブロックチェーン基盤サーバ１００において、アクセス属性管理テーブル１６０、およびアクセス管理マスタテーブル１７０は同一のデータである。

　以下、第１実施形態に係る個人登録処理（図２１参照）、ステークホルダ登録処理（図２２参照）、提供者利用目的登録処理（図２３参照）、利用者利用目的登録処理（図２７参照）、同意情報登録処理（図３１参照）、同意情報変更処理（図３３参照）、および個人情報流通処理（図３４参照）を順に説明する。なお以下の図において、データ提供者７２０を「提供者」、データ利用者７３０を「利用者」、ステークホルダ識別情報を「ＳＩＤ」と略記する。また、識別情報を「ＩＤ」と略記する（例えば共通識別情報を「共通ＩＤ」と略記する）。

≪個人登録処理≫
　図２１は、第１実施形態に係る個人登録処理のシーケンス図である。個人登録処理において、個人が個人情報流通システム７００に登録される。
　ステップＳ１０１において端末７１０の制御部は、個人が入力した個人情報を受け付ける。
　ステップＳ１０２において端末７１０の制御部は、受け付けた個人情報を提供者業務サーバ４００に送信して、個人の登録を依頼する。

　ステップＳ１０３において提供者業務サーバ４００の個人情報登録部４１１は、個人の個人識別情報を発行し、個人識別情報と個人情報とを関連付けて個人情報データベース４３０（図３参照）に格納して登録する。
　ステップＳ１０４において個人情報登録部４１１は、個人識別情報を個人情報管理サーバ３０１に送信して、個人の登録を依頼する。

　ステップＳ１０５において個人情報管理サーバ３０１のステークホルダ情報登録部３１１は、個人の共通識別情報を発行し、個人識別情報と関連付けてユーザテーブル３３０（図８参照）に格納して登録する。またステークホルダ情報登録部３１１は、種別としての「個人」と、共通識別情報と、利用フラグの「ＴＲＵＥ」を共通識別情報管理テーブル３５０（図１０参照）に格納して登録する。次にステークホルダ情報登録部３１１は、ユーザテーブル３３０と共通識別情報管理テーブル３５０とに登録した情報を、個人情報管理サーバ３０２，３０３に送信する。個人情報管理サーバ３０２，３０３のステークホルダ情報登録部３１１は、当該情報を自身のユーザテーブル３３０と共通識別情報管理テーブル３５０とに格納して登録する。結果として個人情報管理サーバ３００間では、ユーザテーブル３３０、および共通識別情報管理テーブル３５０は同期しており、同じ内容となる。
　ステップＳ１０６においてステークホルダ情報登録部３１１は、共通識別情報をブロックチェーン基盤サーバ１０１に送信して、アクセス権の設定を依頼する。

　ステップＳ１０７においてブロックチェーン基盤サーバ１０１の登録部１１９は、共通識別情報と、個人に対応するアクセス属性である「Ｘ」とを、アクセス属性管理テーブル１６０（図１５参照）に格納して登録する。
　ステップＳ１０８において登録部１１９は、共通識別情報で示される個人に対応したアクセス証明書を発行する。ブロックチェーン基盤サーバ１００にアクセスする際に、このアクセス証明書が提示されることで、当該個人の権限で処理が行われる。例えば、同意情報登録処理（後記する図３１参照）において、当該アクセス証明書を含めて同意情報の登録が依頼されることで、当該個人のアクセス属性（「Ｘ」）に基づいて、同意情報テーブル２１０（図１７参照）を含む分散型台帳のアクセス可否が判断される。

　ステップＳ１０９において登録部１１９は、アクセス権設定依頼への応答として、共通識別情報とアクセス証明書とを、個人情報管理サーバ３０１に送信する。
　ステップＳ１１０において個人情報管理サーバ３０１のステークホルダ情報登録部３１１は、個人の登録依頼への応答として、個人識別情報とアクセス証明書とを、提供者業務サーバ４００に送信する。
　ステップＳ１１１において提供者業務サーバ４００の個人情報登録部４１１は、個人登録依頼への応答として、個人識別情報とアクセス証明書とを、端末７１０に送信する。

≪ステークホルダ登録処理≫
　図２２は、第１実施形態に係るステークホルダ登録処理のシーケンス図である。ステークホルダ登録処理において、データ提供者７２０、およびデータ利用者７３０が個人情報流通システム７００に登録される。図２２では、データ提供者７２０を例に説明するが、データ利用者７３０の登録でも同様であって、提供者業務サーバ４００を利用者業務サーバ５００に、ステークホルダ登録部４１２をステークホルダ登録部５１２に読み替えればよい。

　ステップＳ１２１において提供者業務サーバ４００のステークホルダ登録部４１２は、データ提供者７２０の管理者（責任者）が入力した、データ提供者７２０の名称や所在地、ステークホルダ区分（例えば医療機関など）などのステークホルダ情報を受け付ける。
　ステップＳ１２２においてステークホルダ登録部４１２は、受け付けたステークホルダ情報を個人情報管理サーバ３０１に送信して、ステークホルダの登録を依頼する。

　ステップＳ１２３において個人情報管理サーバ３０１のステークホルダ情報登録部３１１は、ステークホルダのステークホルダ識別情報と共通識別情報とを発行する。次にステークホルダ情報登録部３１１は、ステークホルダ識別情報と共通識別情報とステークホルダ情報とを関連付けて、ステークホルダテーブル３４０（図９参照）に格納して登録する。またステークホルダ情報登録部３１１は、ステークホルダテーブル３４０のステークホルダ種別を「データ提供者」と登録する。続いてステークホルダ情報登録部３１１は、種別としての「データ提供者」と、共通識別情報と、利用フラグの「ＴＲＵＥ」を共通識別情報管理テーブル３５０（図１０参照）に格納して登録する。

　ステップＳ１２４においてステークホルダ情報登録部３１１は、共通識別情報とステークホルダ区分として「データ提供者」をブロックチェーン基盤サーバ１０１に送信して、アクセス権の設定を依頼する。
　ステップＳ１２５においてブロックチェーン基盤サーバ１０１の登録部１１９は、共通識別情報と、データ提供者に対応するアクセス属性である「Ｙ」とを、アクセス属性管理テーブル１６０（図１５参照）に格納して登録する。

　ステップＳ１２６において登録部１１９は、共通識別情報で示されるデータ提供者７２０に対応したアクセス証明書を発行する。ブロックチェーン基盤サーバ１００にアクセスする際に、このアクセス証明書が提示されることで、当該データ提供者７２０の権限で処理が行われる。例えば、提供者利用目的登録処理（図２３参照）において、当該アクセス証明書を含めて利用目的の登録が依頼されることで、当該データ提供者７２０のアクセス属性（「Ｙ」）に基づいて、提供者利用目的テーブル２２０（図１８参照）を含む分散型台帳のアクセス可否が判断される。

　ステップＳ１２７において登録部１１９は、アクセス権設定依頼への応答として、共通識別情報とアクセス証明書とを、個人情報管理サーバ３０１に送信する。
　ステップＳ１２８において個人情報管理サーバ３０１のステークホルダ情報登録部３１１は、ステークホルダ登録依頼への応答として、ステークホルダ識別情報とアクセス証明書とを、提供者業務サーバ４００に送信する。

≪提供者利用目的登録処理≫
　図２３は、第１実施形態に係る提供者利用目的登録処理のシーケンス図である。提供者利用目的登録処理においてデータ提供者７２０の利用目的が個人情報流通システム７００に登録される。

　ステップＳ１４１において提供者業務サーバ４００の提供者利用目的登録部４１３は、データ提供者７２０の管理者からの要求を受けて（後記する図２４参照）、利用目的パターンを要求する。詳しくは、提供者利用目的登録部４１３は、ステークホルダとしてのデータ提供者７２０の識別情報とアクセス証明書とを個人情報管理サーバ３０１に送信して、利用目的パターンを要求する。ステークホルダの識別情報とアクセス証明書とは、ステークホルダ登録処理（図２２参照）のステップＳ１２８で取得したものである。

　図２４は、第１実施形態に係る利用目的パターン検索時のデータ提供者用利用目的登録画面６１０の画面構成図である。データ提供者７２０の管理者は、右下の「検索」ボタンを押下して、利用目的パターンを要求する。

　図２３に戻って、提供者利用目的登録処理の説明を続ける。
　ステップＳ１４２において個人情報管理サーバ３０１の利用目的情報登録部３１２は、ステークホルダの識別情報を基にステークホルダテーブル３４０（図９参照）を参照して、ステークホルダの共通識別情報を取得する。次に利用目的情報登録部３１２は、共通識別情報とアクセス証明書とをブロックチェーン基盤サーバ１０１に送信して、利用目的パターンを要求する。

　ステップＳ１４３においてブロックチェーン基盤サーバ１０１の利用目的パターン管理部１１４は、共通識別情報とアクセス証明書とを参照して、利用目的パターン情報テーブル２４０（図２０参照）へのアクセス権を確認する。データ提供者７２０のアクセス属性は「Ｙ」であり（図１０、図１５参照）、利用目的パターン管理部１１４は利用目的パターン情報テーブル２４０への読み書きが可能である（図１６参照）。

　なおアクセス権が確認できない（アクセス管理マスタテーブル１７０にない）場合には、利用目的パターン管理部１１４は提供者利用目的登録処理を中断し、個人情報管理サーバ３０１にエラーを通知する。個人情報管理サーバ３０１は、提供者業務サーバ４００にエラーを通知する。このようなアクセス権が確認できない場合のエラー通知は、以下に説明する他のアクセス権の確認（例えばステップＳ１５０，Ｓ１６３，Ｓ１７０，Ｓ２１３など）でも同様であって、処理の要求元の個人情報管理サーバ３００や提供者業務サーバ４００、利用者業務サーバ５００にエラーが通知される。

　ステップＳ１４４において利用目的パターン管理部１１４は、利用目的パターン情報テーブル２４０にある全ての利用目的パターン（図２０記載の利用目的パターン識別情報２４１と利用目的パターン２４２）を取得する。
　ステップＳ１４５において利用目的パターン管理部１１４は、利用目的パターン要求への応答として、共通識別情報とステップＳ１４４で取得した利用目的パターンとを個人情報管理サーバ３０１に送信する。

　ステップＳ１４６において個人情報管理サーバ３０１の利用目的情報登録部３１２は、利用目的パターン要求への応答として、ステークホルダ識別情報と利用目的パターンとを提供者業務サーバ４００に送信する。
　ステップＳ１４７において提供者業務サーバ４００の提供者利用目的登録部４１３は、データ提供者７２０の管理者から利用目的を取得する。詳しくは、提供者利用目的登録部４１３はデータ提供者用利用目的登録画面６２０，６３０（後記する図２５、図２６参照）を表示する。データ提供者７２０の管理者は、データ提供者用利用目的登録画面６３０を介して、データ提供者としての利用目的を入力する。提供者利用目的登録部４１３は、当該利用目的を取得する。

　図２５は、第１実施形態に係る利用目的パターン選択時のデータ提供者用利用目的登録画面６２０の画面構成図である。データ提供者７２０の管理者は、参照する利用目的パターンを選択して、右下の「表示」ボタンを押下する。「表示」ボタンが押下されると、データ提供者用利用目的登録画面６３０（後記する図２６参照）が表示される。

　図２６は、第１実施形態に係る利用目的登録時のデータ提供者用利用目的登録画面６３０の画面構成図である。データ提供者７２０の管理者は、表示された雛型である利用目的パターンを参照し、データ利用者７３０に提供する個人情報の利用目的として、利用目的そのものや個人情報の種別、データ項目、提供先の区分などを設定する。続いてデータ提供者７２０の管理者は、右下の「登録」ボタンを押下する。

　図２３に戻って、提供者利用目的登録処理の説明を続ける。
　ステップＳ１４８において提供者利用目的登録部４１３は、ステークホルダ識別情報と、利用目的と、アプリケーション識別情報と、アクセス証明書とを個人情報管理サーバ３０１に送信して、利用目的の登録を依頼する。利用目的は、データ提供者用利用目的登録画面６３０で設定された、利用目的そのものや個人情報の種別などを含む。アプリケーション識別情報は、個人情報が収集される、個人が端末７１０で利用するアプリケーションの識別情報である。

　ステップＳ１４９において個人情報管理サーバ３０１の利用目的情報登録部３１２は、ステークホルダの識別情報を基にステークホルダテーブル３４０（図９参照）を参照して、ステークホルダの共通識別情報と、ステークホルダ情報からステークホルダ区分とを取得する。次に利用目的情報登録部３１２は、共通識別情報と、利用目的と、ステークホルダ区分と、アクセス証明書とをブロックチェーン基盤サーバ１０１に送信して、利用目的の登録を依頼する。

　ステップＳ１５０においてブロックチェーン基盤サーバ１０１の提供者管理部１１２は、共通識別情報とアクセス証明書とを参照して、提供者利用目的テーブル２２０（図１８参照）へのアクセス権を確認する。データ提供者７２０のアクセス属性は「Ｙ」であり（図１０、図１５参照）、提供者管理部１１２は提供者利用目的テーブル２２０への読み書きが可能である（図１６参照）。

　ステップＳ１５１において提供者管理部１１２は、利用目的を提供者利用目的テーブル２２０（図１８参照）に格納して登録する。利用目的識別情報２２１は、新たに生成された識別情報である。利用目的２２２は、ステップＳ１４９で受信した利用目的であり、データ提供者用利用目的登録画面６３０で設定された利用目的である。共通識別情報２２３は、データ提供者７２０の共通識別情報である。ステークホルダ区分２２４は、データ提供者７２０のステークホルダ区分である。

　ステップＳ１５２において提供者管理部１１２は、利用目的登録依頼への応答として、共通識別情報と利用目的識別情報とを個人情報管理サーバ３０１に送信する。
　ステップＳ１５３において個人情報管理サーバ３０１の利用目的情報登録部３１２は、利用目的登録依頼への応答として、ステークホルダ識別情報と利用目的識別情報とを提供者業務サーバ４００に送信する。
　ステップＳ１５４において提供者業務サーバ４００の提供者利用目的登録部４１３は、アプリケーション識別情報と、ステークホルダ識別情報と、利用目的識別情報とを利用目的管理データベース４４０（図４参照）に格納して登録する。

　以上に説明したように、個人情報流通システム７００のブロックチェーン基盤サーバ１０１は、個人情報を提供するデータ提供者７２０の、当該個人情報の提供先における当該個人情報の利用目的を提供者利用目的として提供者利用目的テーブル２２０（図１８参照）に登録する提供者管理部１１２を備える。
　提供者利用目的（提供者利用目的テーブル２２０）は、分散型台帳７９０を構成するブロックチェーン基盤サーバ１０１のチェーンコードのなかで提供者管理部１１２として機能するチェーンコードのみがアクセス可能である。

≪利用者利用目的登録処理≫
　図２７は、第１実施形態に係る利用者利用目的登録処理のシーケンス図である。利用者利用目的登録処理においてデータ利用者７３０は、個人情報の提供を受けて利用するにあたり遵守する利用目的を、データ提供者７２０が登録した利用目的のなかから選択して、個人情報流通システム７００に登録する。以下では、データ利用者７３２を例に説明する。

　ステップＳ１６１において利用者業務サーバ５００の利用者利用目的登録部５１３は、データ利用者７３２の管理者からの要求を受けて（後記する図２８参照）、利用目的を要求する。詳しくは、利用者利用目的登録部５１３は、ステークホルダとしてのデータ利用者７３２の識別情報とアクセス証明書とを個人情報管理サーバ３０２に送信して、データ提供者７２０が登録した（図２３参照）利用目的を要求する。ステークホルダの識別情報とアクセス証明書とは、ステークホルダ登録処理（図２２参照）のステップＳ１２８で取得したものである。

　図２８は、第１実施形態に係るデータ提供者検索時のデータ利用者用利用目的登録画面６４０の画面構成図である。データ利用者７３２の管理者は、右下の「検索」ボタンを押下して、データ提供者７２０、およびデータ提供者７２０が登録した利用目的（単に利用目的とも記す）を要求する。

　図２７に戻って、利用者利用目的登録処理の説明を続ける。
　ステップＳ１６２において個人情報管理サーバ３０２の利用目的情報登録部３１２は、ステークホルダの識別情報を基にステークホルダテーブル３４０（図９参照）を参照して、ステークホルダの共通識別情報を取得する。次に利用目的情報登録部３１２は、共通識別情報とアクセス証明書とをブロックチェーン基盤サーバ１０２に送信して、利用目的を要求する。

　ステップＳ１６３においてブロックチェーン基盤サーバ１０２の提供者管理部１１２は、共通識別情報とアクセス証明書とを参照して、提供者利用目的テーブル２２０（図１８参照）へのアクセス権を確認する。データ利用者７３２のアクセス属性は「Ｚ」であり（図１０、図１５参照）、提供者管理部１１２は提供者利用目的テーブル２２０からの読み取りが可能である（図１６参照）。
　ステップＳ１６４において提供者管理部１１２は、提供者利用目的テーブル２２０にある全ての利用目的識別情報２２１、利用目的２２２、およびデータ提供者の共通識別情報２２３を取得する。

　ステップＳ１６５において提供者管理部１１２は、利用目的要求への応答として、データ利用者７３２の共通識別情報と、提供者利用目的テーブル２２０から取得したデータ提供者７２０の共通識別情報、利用目的識別情報、および利用目的とを個人情報管理サーバ３０２に送信する。
　ステップＳ１６６において個人情報管理サーバ３０２の利用目的情報登録部３１２は、利用目的要求への応答として、データ利用者７３２のステークホルダ識別情報と、データ提供者７２０のステークホルダ識別情報と、利用目的識別情報と、利用目的とを利用者業務サーバ５００に送信する。なおデータ提供者７２０のステークホルダ識別情報は、データ提供者７２０の共通識別情報を基にステークホルダテーブル３４０（図９参照）を参照して得ることができる。

　ステップＳ１６７において利用者業務サーバ５００の利用者利用目的登録部５１３は、データ利用者７３２の管理者から同意する利用目的を取得する。詳しくは、利用者利用目的登録部５１３はデータ利用者用利用目的登録画面６５０，６６０（後記する図２９、図３０参照）を表示する。データ利用者７３２の管理者は、データ利用者用利用目的登録画面６６０を介して、データ利用者としての同意する利用目的を入力する。利用者利用目的登録部５１３は、当該利用目的を取得する。

　図２９は、第１実施形態に係るデータ提供者選択時のデータ利用者用利用目的登録画面６５０の画面構成図である。データ利用者７３２の管理者は、個人情報の提供元となるデータ提供者を選択して、右下の「確認」ボタンを押下する。「確認」ボタンが押下されると、データ利用者用利用目的登録画面６６０（後記する図３０参照）が表示される。

　図３０は、第１実施形態に係る利用目的登録時のデータ利用者用利用目的登録画面６６０の画面構成図である。データ利用者７３２の管理者は、データ利用者用利用目的登録画面６５０で選択したデータ提供者（「企業Ａ」）の利用目的（利用目的そのものや個人情報の種別、図２６参照）を確認する。データ利用者７３２の管理者は、提供を受けた個人情報の利用にあたって当該利用目的を順守するのであれば、「利用目的に同意」にチェックして、右下の「登録」ボタンを押下する。
　なおデータ利用者７３２の管理者が、利用目的に同意できない場合には、ステップＳ１６７で利用者利用目的登録処理が中断される。

　図２７に戻って、利用者利用目的登録処理の説明を続ける。
　ステップＳ１６８において利用者利用目的登録部５１３は、データ利用者７３２のステークホルダ識別情報と、データ提供者７２０のステークホルダ識別情報と、利用目的識別情報と、利用目的と、アクセス証明書とを個人情報管理サーバ３０２に送信して、利用目的の登録を依頼する。利用目的は、データ利用者用利用目的登録画面６６０で登録された、利用目的そのものや個人情報の種別などを含む。

　ステップＳ１６９において個人情報管理サーバ３０２の利用目的情報登録部３１２は、ステークホルダ識別情報を基にステークホルダテーブル３４０（図９参照）を参照して、データ利用者７３２の共通識別情報と、ステークホルダ情報からステークホルダ区分とを取得する。また利用目的情報登録部３１２は、データ提供者７２０のステークホルダ識別情報を基にステークホルダテーブル３４０を参照して、データ提供者７２０の共通識別情報を取得する。次に利用目的情報登録部３１２は、データ利用者７３２の共通識別情報と、データ提供者７２０の共通識別情報と、利用目的識別情報と、利用目的と、ステークホルダ区分と、アクセス証明書とをブロックチェーン基盤サーバ１０２に送信して、利用目的の登録を依頼する。

　ステップＳ１７０においてブロックチェーン基盤サーバ１０２の利用者管理部１１３は、データ利用者７３２の共通識別情報とアクセス証明書とを参照して、利用者利用目的テーブル２３０（図１９参照）へのアクセス権を確認する。データ利用者７３２のアクセス属性は「Ｚ」であり（図１０、図１５参照）、利用者管理部１１３は利用者利用目的テーブル２３０への読み書きが可能である（図１６参照）。
　ステップＳ１７１において利用者管理部１１３は、利用目的識別情報と、利用目的と、データ利用者７３２の共通識別情報と、ステークホルダ区分とを利用者利用目的テーブル２３０（図１９参照）に格納して登録する。

　ステップＳ１７２において利用者管理部１１３は、利用目的登録依頼への応答として、データ提供者７２０の共通識別情報と利用目的識別情報とを個人情報管理サーバ３０２に送信する。
　ステップＳ１７３において個人情報管理サーバ３０２の利用目的情報登録部３１２は、利用目的登録依頼への応答として、データ提供者７２０の共通識別情報と利用目的識別情報とを利用者業務サーバ５００に送信する。
　ステップＳ１７４において利用者業務サーバ５００の利用者利用目的登録部５１３は、利用目的識別情報とデータ提供者７２０の共通識別情報とを同意済み利用目的データベース５３０（図６参照）に格納して登録する。

　以上に説明したように、個人情報流通システム７００のブロックチェーン基盤サーバ１００は、データ提供者７２０から提供される個人情報を利用するデータ利用者７３０の、個人情報の利用目的を利用者利用目的として利用者利用目的テーブル２３０（図１９参照）に登録する利用者管理部１１３を備える。
　利用者利用目的（利用者利用目的テーブル２３０）は、チェーンコードのなかで利用者管理部１１３として機能するチェーンコードのみがアクセス可能である。

≪同意情報登録処理≫
　図３１は、第１実施形態に係る同意情報登録処理のシーケンス図である。同意情報登録処理において個人は、自身の個人情報が提供されて利用されるにあたり遵守される利用目的を確認し、同意したことを個人情報流通システム７００に登録する。

　ステップＳ２０１において端末７１０の制御部は、端末７１０の利用者である個人の要求を受けて利用目的を要求する。詳しくは、端末７１０の制御部は、アプリケーション識別情報を提供者業務サーバ４００に送信して、利用目的を要求する。アプリケーション識別情報は、端末７１０で利用されているアプリケーションの識別情報である。

　ステップＳ２０２において提供者業務サーバ４００の同意情報登録部４１４は、データ提供者７２０のステークホルダ識別情報と利用目的識別情報と自身のアクセス証明書とを個人情報管理サーバ３０１に送信して、自身が登録した利用目的を要求する。ステークホルダ識別情報とアクセス証明書とは、ステークホルダ登録処理（図２２参照）のステップＳ１２８で取得したものである。また利用目的識別情報は、アプリケーション識別情報を基に利用目的管理データベース４４０（図４参照）を参照して取得可能である。

　ステップＳ２０３において個人情報管理サーバ３０１の同意情報登録部３１３は、ステークホルダ識別情報を基にステークホルダテーブル３４０（図９参照）を参照して、データ提供者７２０の共通識別情報を取得する。次に同意情報登録部３１３は、共通識別情報と利用目的識別情報とアクセス証明書とをブロックチェーン基盤サーバ１０１に送信して、利用目的を要求する。

　ステップＳ２０４においてブロックチェーン基盤サーバ１０１の提供者管理部１１２は、共通識別情報とアクセス証明書とを参照して、提供者利用目的テーブル２２０（図１８参照）へのアクセス権を確認する。データ提供者７２０のアクセス属性は「Ｙ」であり（図１０、図１５参照）、提供者管理部１１２は提供者利用目的テーブル２２０への読み書きが可能である（図１６参照）。
　ステップＳ２０５において提供者管理部１１２は、提供者利用目的テーブル２２０にあるレコードであって、利用目的識別情報２２１がステップＳ２０３で受信した利用目的識別情報であり、共通識別情報２２３がステップＳ２０３で受信した共通識別情報であるレコードの利用目的２２２を取得する。

　ステップＳ２０６において提供者管理部１１２は、利用目的要求への応答として、利用目的識別情報、および利用目的とを個人情報管理サーバ３０１に送信する。
　ステップＳ２０７において個人情報管理サーバ３０１の利用目的情報登録部３１２は、利用目的要求への応答として、利用目的識別情報と、利用目的とを提供者業務サーバ４００に送信する。
　ステップＳ２０８において提供者業務サーバ４００の同意情報登録部４１４は、利用目的要求への応答として、利用目的識別情報と、利用目的とを端末７１０に送信する。

　ステップＳ２０９において端末７１０の制御部は、端末７１０の利用者である個人から利用目的への同意の当否を取得する。詳しくは、制御部はユーザ同意登録画面６７０（後記する図３２参照）を表示する。個人はユーザ同意登録画面６７０を介して、同意の当否を入力する。制御部は個人から利用目的への同意の当否を取得する。

　図３２は、第１実施形態に係るユーザ同意登録画面６７０の画面構成図である。ユーザ同意登録画面６７０には、ステップＳ２０９で受信した利用目的が表示される。個人は、自身の個人情報が提供されて利用されるにあたり順守される利用目的（利用目的そのものや個人情報の種別、図２６参照）を確認する。個人は、利用目的に同意するのであれば、「利用目的に同意」にチェックして、右下の「登録」ボタンを押下する。

　図３１に戻って、同意情報登録処理の説明を続ける。
　ステップＳ２１０において端末７１０の制御部は、個人識別情報と、利用目的識別情報と、利用目的と、同意フラグと、アクセス証明書とを提供者業務サーバ４００に送信して、同意情報の登録を依頼する。同意フラグは、利用目的に同意か（「ＴＲＵＥ」）不同意か（「ＦＡＬＳＥ」）を示す。アクセス証明書は、ステップＳ１１１（図２１参照）で取得されたアクセス証明書である。

　ステップＳ２１１において提供者業務サーバ４００の同意情報登録部４１４は、個人識別情報と、利用目的識別情報と、利用目的と、同意フラグと、アクセス証明書とを個人情報管理サーバ３０１に送信して、同意情報の登録を依頼する。
　ステップＳ２１２において個人情報管理サーバ３０１の同意情報登録部３１３は、共通識別情報と、利用目的識別情報と、利用目的と、同意フラグと、アクセス証明書とをブロックチェーン基盤サーバ１０１に送信して、同意情報の登録を依頼する。なお共通識別情報について同意情報登録部３１３は、ユーザテーブル３３０（図８参照）を参照して、個人識別情報を基に共通識別情報を取得する。

　ステップＳ２１３においてブロックチェーン基盤サーバ１０１の同意管理部１１１は、共通識別情報とアクセス証明書とを参照して、同意情報テーブル２１０（図１７参照）へのアクセス権を確認する。端末７１０の利用者である個人のアクセス属性は「Ｘ」であり（図１０、図１５参照）、同意管理部１１１は同意情報テーブル２１０への読み書きが可能である（図１６参照）。
　ステップＳ２１４において同意管理部１１１は、新たに生成した同意情報識別情報と、共通識別情報と、利用目的識別情報と、利用目的と、同意フラグとを同意情報テーブル２１０に格納して登録する。

　ステップＳ２１５において同意管理部１１１は、同意情報登録依頼への応答として、共通識別情報と同意情報識別情報とを個人情報管理サーバ３０１に送信する。
　ステップＳ２１６において個人情報管理サーバ３０１の同意情報登録部３１３は、同意情報登録依頼への応答として、個人識別情報と同意情報識別情報とを提供者業務サーバ４００に送信する。
　ステップＳ２１７において提供者業務サーバ４００の同意情報登録部４１４は、個人識別情報と同意情報識別情報とを端末に送信する。

≪同意情報変更処理≫
　図３３は、第１実施形態に係る同意情報変更処理のシーケンス図である。同意情報変更処理において個人は、個人情報流通システム７００に登録した自身の同意情報を変更する。
　ステップＳ２２１において端末７１０の制御部は、端末７１０の利用者である個人の要求を受けて同意情報を要求する。詳しくは、端末７１０の制御部は、個人識別情報と同意情報識別情報とアクセス証明書とを提供者業務サーバ４００に送信して、同意情報を要求する。なお同意情報識別情報は、ステップＳ２１７（図３１参照）で取得された同意情報識別情報である。

　ステップＳ２２２において提供者業務サーバ４００の同意情報登録部４１４は、個人識別情報と同意情報識別情報とアクセス証明書とを個人情報管理サーバ３０１に送信して、個人が登録した同意情報を要求する。
　ステップＳ２２３において個人情報管理サーバ３０１の同意情報登録部３１３は、共通識別情報と同意情報識別情報とアクセス証明書とをブロックチェーン基盤サーバ１０１に送信して、同意情報を要求する。なお共通識別情報について同意情報登録部３１３は、ユーザテーブル３３０（図８参照）を参照して、個人識別情報を基に共通識別情報を取得する。

　ステップＳ２２４は、ステップＳ２１３と同様であって、ブロックチェーン基盤サーバ１０１の同意管理部１１１は同意情報テーブル２１０への読み書きが可能である。
　ステップＳ２２５において同意管理部１１１は、同意情報テーブル２１０（図１７参照）にあるレコードであって、同意情報識別情報２１１がステップＳ２２３で受信した同意情報識別情報であり、共通識別情報２１２がステップＳ２２３で受信した共通識別情報であるレコードの利用目的識別情報２１３と、利用目的２１４と、同意情報識別情報２１１と、同意フラグ２１５とを取得する。

　ステップＳ２２６において同意管理部１１１は、同意情報要求への応答として、利用目的識別情報と、利用目的と、同意情報識別情報と、同意フラグとを個人情報管理サーバ３０１に送信する。
　ステップＳ２２７において個人情報管理サーバ３０１の同意情報登録部３１３は、同意情報要求への応答として、利用目的識別情報と、利用目的と、同意情報識別情報と、同意フラグとを提供者業務サーバ４００に送信する。

　ステップＳ２２８において提供者業務サーバ４００の同意情報登録部４１４は、同意情報要求への応答として、利用目的識別情報と、利用目的と、同意情報識別情報と、同意フラグとを端末７１０に送信する。
　ステップＳ２２９～Ｓ２３７は、ステップＳ２０９～Ｓ２１７（図３１参照）と同様である。
　なお端末７１０の利用者である個人が同意情報をキャンセルする（不同意にする）場合には、ユーザ同意登録画面６７０（図３２参照）において「利用目的に同意」にチェックを外して、右下の「登録」ボタンを押下する。

　以上に説明したように、個人情報流通システム７００のブロックチェーン基盤サーバ１００は、個人情報に係る個人がデータ提供者７２０から提供先への当該個人の個人情報の提供に同意するところの、当該提供先における当該個人情報の利用目的に係る同意情報を同意情報テーブル２１０（図１７参照）に登録する同意管理部１１１を備える。
　同意情報（同意情報テーブル２１０）は、チェーンコードのなかで同意管理部１１１として機能するチェーンコードのみがアクセス可能である。

≪個人情報流通処理≫
　図３４は、第１実施形態に係る個人情報流通処理のシーケンス図である。個人情報流通処理においてデータ利用者７３０はデータ提供者７２０に、個人情報の提供を要求する。データ提供者７２０は、ブロックチェーン基盤サーバ１００に個人が利用目的に同意していることを確認した後に個人情報を提供する。ここでは、データ利用者７３２が要求した場合を説明する。

　ステップＳ２４１においてデータ利用者７３２の利用者業務サーバ５０２の個人情報要求部５１５は、ステークホルダ識別情報（図３４ではＳＩＤと記載）と、利用目的識別情報と、個人情報識別情報と、データ提供者７２０の共通識別情報とを、個人情報のデータ要求としてデータ利用者７３２の個人情報管理サーバ３０２に送信する。利用目的識別情報と、データ提供者７２０の共通識別情報とは、同意済み利用目的データベース５３０（図６参照）から取得する。個人情報識別情報は、取得する対象者の個人情報識別情報である。

　ステップＳ２４２において個人情報管理サーバ３０２の個人情報流通部３１４は、データ利用者７３２の共通識別情報、利用目的識別情報と、対象者の共通識別情報とを、個人情報のデータ要求としてデータ提供者７２０の個人情報管理サーバ３０１に送信する。なおデータ利用者７３２の共通識別情報は、ステークホルダテーブル３４０（図９参照）から取得できる。また対象者の共通識別情報は、ユーザテーブル３３０（図８参照）から取得できる。
　ステップＳ２４３において個人情報管理サーバ３０１の個人情報流通部３１４は、データ利用者７３２の共通識別情報、利用目的識別情報と、対象者の共通識別情報と、データ提供者７２０の共通識別情報と、データ提供者７２０のアクセス証明書とを、同意情報の照合要求としてブロックチェーン基盤サーバ１０１に送信する。

　ステップＳ２４４においてブロックチェーン基盤サーバ１０１の照合管理部１１５は、個人が同意した利用目的と、データ提供者７２０の利用目的と、データ利用者７３２の利用目的とが合致するかを照合する。照合する処理の詳細は、後記する図３５で説明する。
　ステップＳ２４５において照合管理部１１５は、照合要求への応答として、照合結果（ＯＫ（合致）／ＮＧ）を個人情報管理サーバ３０１に送信する。
　ステップＳ２４６において個人情報管理サーバ３０１の個人情報流通部３１４は、照合結果がＯＫならば（ステップＳ２４６→ＯＫ）ステップＳ２４７に進み、ＮＧならば（ステップＳ２４６→ＮＧ）ステップＳ２５１に進む。

　ステップＳ２４７において個人情報管理サーバ３０１の個人情報流通部３１４は、個人識別情報を提供者業務サーバ４００に送信して、個人情報を要求する。この個人識別情報は、対象者の共通識別情報を基にユーザテーブル３３０（図８参照）から取得できる。
　ステップＳ２４８において提供者業務サーバ４００の個人情報提供部４１５は、個人情報データベース４３０（図３参照）から個人識別情報に対応する個人情報を取得する。次に個人情報提供部４１５は、個人情報要求への応答として、個人識別情報と、個人情報とを個人情報管理サーバ３０１に送信する。

　ステップＳ２４９において個人情報管理サーバ３０１の個人情報流通部３１４は、個人情報のデータ要求に対する応答として、データ利用者７３２の共通識別情報と、個人情報とをデータ利用者７３２の個人情報管理サーバ３０２に送信する。
　ステップＳ２５０において個人情報管理サーバ３０２の個人情報流通部３１４は、個人情報のデータ要求に対する応答として、データ利用者７３２のステークホルダ識別情報と、個人情報とを利用者業務サーバ５０２に送信する。

　ステップＳ２５１において個人情報管理サーバ３０１の個人情報流通部３１４は、個人情報のデータ要求に対する応答として、データ利用者７３２の共通識別情報と、提供不可を示す「ＮＧ」とをデータ利用者７３２の個人情報管理サーバ３０２に送信する。
　ステップＳ２５２において個人情報管理サーバ３０２の個人情報流通部３１４は、個人情報のデータ要求に対する応答として、データ利用者７３２のステークホルダ識別情報と、提供不可を示す「ＮＧ」とを利用者業務サーバ５０２に送信する。

≪同意照合処理≫
　図３５は、第１実施形態に係る同意照合処理のシーケンス図である。図３５を参照しながら、ステップＳ２４４のブロックチェーン基盤サーバ１０１が行う照合処理の詳細を説明する。

　ステップＳ２６１において照合管理部１１５は、利用目的要求として、データ利用者７３２の共通識別情報と、利用目的識別情報と、データ提供者７２０の共通識別情報と、データ提供者７２０のアクセス証明書とを利用者管理部１１３に送信する。
　ステップＳ２６２において利用者管理部１１３は、データ提供者７２０の共通識別情報とアクセス証明書とを参照して、利用者利用目的テーブル２３０（図１９参照）へのアクセス権を確認する。データ提供者７２０のアクセス属性は「Ｙ」であり（図１０、図１５参照）、利用者管理部１１３は利用者利用目的テーブル２３０からの読み取りが可能である（図１６参照）。

　ステップＳ２６３において利用者管理部１１３は、利用目的識別情報と、データ利用者７３２の共通識別情報とを基に、利用者利用目的テーブル２３０から利用目的２３２を取得する。
　ステップＳ２６４において利用者管理部１１３は、利用目的要求への応答として、利用目的識別情報と、データ利用者７３２の共通識別情報とを照合管理部１１５に送信する。ステップＳ２６３で利用目的２３２が取得できなかった場合に利用者管理部１１３は、該当する利用目的がなかったことを照合管理部１１５に通知する。

　ステップＳ２６５～Ｓ２６８は、ステップＳ２６１～Ｓ２６４と同様の処理である。提供者管理部１１２は、利用目的要求への応答として、利用目的識別情報と、データ提供者７２０の共通識別情報とを照合管理部１１５に送信する。
　ステップＳ２６９～Ｓ２７２は、ステップＳ２６１～Ｓ２６４と同様の処理である。照合管理部１１５は、同意情報として、同意情報識別情報、対象者の共通識別情報、利用目的識別情報、および同意フラグを取得する。

　ステップＳ２７３において照合管理部１１５は、ステップＳ２６４，Ｓ２６８で取得した利用目的識別情報と、ステップＳ２７２で取得した同意情報とを照合する。詳しくは、照合管理部１１５は、ステップＳ２７２で取得した同意フラグが「ＴＲＵＥ」であること、ステップＳ２６４，Ｓ２６８，Ｓ２７２で受信した利用目的識別情報（利用目的識別情報２１３，２２１，２３１参照）が一致することを確認する。全て確認できれば照合結果は「ＯＫ」（合致）であり、その他の場合には「ＮＧ」である。例えば、ステップＳ２６３，Ｓ２６７で利用目的識別情報に対応する利用目的がない場合には「ＮＧ」である。このＯＫ／ＮＧがステップＳ２４５（図３４参照）の照合結果である。

　ステップＳ２７４において照合管理部１１５は、照合処理の内容の記録を証跡管理部１１６に要求して、応答を得る。証跡管理部１１６は、照合処理の内容を証跡管理情報テーブル２５０に格納する。内容としては、入力（ステップＳ２４３参照）や利用者管理部１１３から取得した結果、提供者管理部１１２から取得した結果、同意管理部１１１から取得した結果、照合結果などがある。

　以上に説明したように、個人情報流通システム７００のブロックチェーン基盤サーバ１００は、データ提供者７２０が個人情報をデータ利用者７３０に提供する適否を、当該データ提供者７２０の提供者利用目的（提供者利用目的テーブル２２０参照）と、当該データ利用者７３０の利用者利用目的（利用者利用目的テーブル２３０参照）と、当該個人情報に係る個人の同意情報（同意情報テーブル２１０参照）とを照合して判断する照合管理部１１５とを備える。
　照合管理部１１５は、提供者利用目的を提供者管理部１１２から取得し、利用者利用目的を利用者管理部１１３から取得し、同意情報を同意管理部１１１から取得して照合する。

≪第１実施形態の特徴≫
　データ提供者７２０は、データ利用者７３０に提供する個人情報の利用目的を個人情報流通システム７００に登録する。データ利用者７３０は、提供された個人情報の利用目的を個人情報流通システム７００に登録する。個人は、自身の個人情報の利用目的を同意情報として個人情報流通システム７００に登録する。登録された利用目的および同意情報は、分散型台帳７９０（図１参照）に記憶される。
　個人情報がデータ提供者７２０からデータ利用者７３０に提供されるときには、データ提供者７２０が登録した利用目的と、データ利用者７３０が登録した利用目的と、個人の同意情報とが一致していることが確認される。この確認処理は、チェーンコードによる分散型台帳７９０の処理として実行される。

　個人情報流通システム７００では、データ提供者の利用目的の登録処理、データ利用者の利用目的の登録処理、個人の同意情報の登録処理、および利用目的と同意情報との照合処理は、分散型台帳で個別のチェーンコード（アプリケーションプログラム）によるトランザクションとして実行される。また、利用目的および同意情報へのアクセスは、チェーンコード、およびチェーンコードを呼び出した主体（個人、データ提供者、データ利用者）に応じて制限される。このようにすることで、利用目的および同意情報への不正アクセスを防止することができ、適切な個人情報提供の可否判定が可能となり、延いては適正な個人情報の流通が担保される。

　また、利用目的と同意情報との照合処理の内容（入力と照合結果）は、証跡として証跡管理情報テーブル２５０に記録される。また、分散型台帳７９０の基本機能として、同意情報や利用目的の変更は、同意情報履歴２８１や提供者利用目的履歴２８２、利用者利用目的履歴２８３に記録される。このため、何らかの不正があった場合としても、これらの証跡や履歴を参照することで不正の原因を突き止めることができる。

≪第２実施形態≫
　第１実施形態における同意照合処理（図３５参照）において照合管理部１１５は、同意管理部１１１、提供者管理部１１２、および利用者管理部１１３から、それぞれ個人の同意情報、データ提供者７２０の利用目的識別情報、およびデータ利用者７３０の利用目的識別情報を取得して、照合している。複数のチェーンコードが実行されるため、同意照合処理は負荷がかかる処理となっている。同意情報や利用目的の登録時に、これらのデータを照合管理部１１５が直接アクセスできるステートデータベース（後記する図３７記載の台帳テーブルデータベース１４０Ａ参照）にキャッシュして、同意照合処理の負荷を減らすことができる。

≪第２実施形態：ブロックチェーン基盤サーバの構成≫
　図３６は、第２実施形態に係るブロックチェーン基盤サーバ１００Ａの機能ブロック図である。第１実施形態に係るブロックチェーン基盤サーバと１００と比較して、同意管理部１１１Ａ、提供者管理部１１２Ａ、利用者管理部１１３Ａ、照合管理部１１５Ａ、ローカルデータベース１３０Ａ（図示なし）、台帳テーブルデータベース１４０Ａ（後記する図３７参照）および台帳履歴データベース１５０Ａ（後記する図３８参照）が異なる。

　図３７は、第２実施形態に係る台帳テーブルデータベース１４０Ａのデータ構成図である。分散型台帳のステートデータベースとして、同意情報キャッシュテーブル２１０Ａ、提供者利用目的キャッシュテーブル２２０Ａ、および利用者利用目的キャッシュテーブル２３０Ａが加わる。同意情報キャッシュテーブル２１０Ａ、提供者利用目的キャッシュテーブル２２０Ａ、および利用者利用目的キャッシュテーブル２３０Ａのデータ構成は、第１実施形態に係る同意情報テーブル２１０（図１７参照）、提供者利用目的テーブル２２０（図１８参照）、および利用者利用目的テーブル２３０（図１９参照）とそれぞれ同様である。

　図３８は、第２実施形態に係る台帳履歴データベース１５０Ａのデータ構成図である。同意情報キャッシュ履歴２８１Ａ、提供者利用目的キャッシュ履歴２８２Ａ、および利用者利用目的キャッシュ履歴２８３Ａは、それぞれ同意情報キャッシュテーブル２１０Ａ、提供者利用目的キャッシュテーブル２２０Ａ、および利用者利用目的キャッシュテーブル２３０Ａの変更履歴である。

　図３９は、第２実施形態に係るアクセス管理マスタテーブル１７０Ａのデータ構成図である。アクセス管理マスタテーブル１７０Ａは、ローカルデータベース１３０Ａに記憶される。第１実施形態に係るアクセス管理マスタテーブル１７０（図１６参照）と比較すると、下側の８つのレコードが加わる。チェーンコードの「照合」は、照合管理部１１５Ａに対応するプログラムである。

　テーブルの「同意Ｃ」、「提供者Ｃ」および「利用者Ｃ」は、同意情報キャッシュテーブル２１０Ａ、提供者利用目的キャッシュテーブル２２０Ａ、および利用者利用目的キャッシュテーブル２３０Ａにそれぞれ対応する。照合管理部１１５Ａは、個人、データ提供者７２０、およびデータ利用者７３０の権限で、それぞれ同意情報キャッシュテーブル２１０Ａ、提供者利用目的キャッシュテーブル２２０Ａ、および利用者利用目的キャッシュテーブル２３０Ａに読み書き可能である。また照合管理部１１５Ａは、データ提供者７２０の権限で、同意情報キャッシュテーブル２１０Ａ、提供者利用目的キャッシュテーブル２２０Ａ、および利用者利用目的キャッシュテーブル２３０Ａから読み取り可能である。
　第１実施形態とは異なる同意管理部１１１Ａ、提供者管理部１１２Ａ、利用者管理部１１３Ａ、および照合管理部１１５Ａの動作の違いを、図４０および図４１を参照して説明する。なお、同意情報キャッシュ履歴２８１Ａ、提供者利用目的キャッシュ履歴２８２Ａ、および利用者利用目的キャッシュ履歴２８３Ａへのアクセスは、それぞれ同意情報キャッシュテーブル２１０Ａ、提供者利用目的キャッシュテーブル２２０Ａ、および利用者利用目的キャッシュテーブル２３０Ａと同様である。

≪第２実施形態：同意情報登録処理≫
　図４０は、第２実施形態に係る同意情報登録処理のシーケンス図である。図４０を参照して、第１実施形態に係る同意情報登録処理（図３１参照）との違いを説明する。第１実施形態との違いは、ステップＳ２１３～Ｓ２１４にある。第１実施形態のステップＳ２１３～Ｓ２１４を図４０に記載の処理に置き換えたものが、第２実施形態に係る同意情報登録処理である。この処理により同意情報は、同意情報テーブル２１０（図１７参照）に加え、照合管理部１１５Ａにより同意情報キャッシュテーブル２１０Ａにも格納される。

　ステップＳ３０１～Ｓ３０２は、ステップＳ２１３～Ｓ２１４（図３１参照）と同様の処理であって、同意管理部１１１Ａが同意情報を同意情報テーブル２１０に格納する処理である。
　ステップＳ３０３において同意管理部１１１Ａは、共通識別情報と、同意情報識別情報と、利用目的識別情報と、利用目的と、同意フラグと、アクセス証明書とを照合管理部１１５Ａに送信して、同意情報の登録（キャッシュ）を依頼する。なお共通識別情報とアクセス証明書とは、個人の共通識別情報とアクセス証明書である（図３１記載のステップＳ２１０～Ｓ２１２参照）。また同意情報識別情報は、新たに生成して同意情報テーブル２１０に格納された同意情報識別情報２１１である。

　ステップＳ３０４において照合管理部１１５Ａは、共通識別情報とアクセス証明書とを参照して、同意情報キャッシュテーブル２１０Ａへのアクセス権を確認する。端末７１０の利用者である個人のアクセス属性は「Ｘ」であり（図１０、図１５参照）、同意管理部１１１Ａは同意情報テーブル２１０への読み書きが可能である（図３９参照）。

　ステップＳ３０５において照合管理部１１５Ａは、同意情報識別情報と、共通識別情報と、利用目的識別情報と、利用目的と、同意フラグとを同意情報キャッシュテーブル２１０Ａに格納して登録する。
　ステップＳ３０６において照合管理部１１５Ａは、同意情報登録依頼への応答として、共通識別情報と同意情報識別情報とを同意管理部１１１Ａに送信する。
　以上の処理により、同意情報テーブル２１０および同意情報キャッシュテーブル２１０Ａの内容は同一になる。

　以上に説明したように、個人情報流通システム７００のブロックチェーン基盤サーバ１００Ａの同意管理部１１１Ａは、同意情報を登録する際に当該同意情報を照合管理部１１５Ａに送信する。照合管理部１１５Ａは、同意情報を照合用同意情報として同意情報キャッシュテーブル２１０Ａに登録する。

≪第２実施形態：提供者利用目的登録処理、利用者利用目的登録処理≫
　提供者利用目的登録処理についても同意情報登録処理（図４０参照）と同様であって、提供者管理部１１２Ａは、提供者利用目的テーブル２２０（図１８参照）に登録した（図２３に記載のステップＳ１５１参照）利用目的を照合管理部１１５Ａに送信し、照合管理部１１５Ａが提供者利用目的キャッシュテーブル２２０Ａに格納する。提供者利用目的テーブル２２０および提供者利用目的キャッシュテーブル２２０Ａの内容は同一になる。利用者利用目的登録処理についても同様であって、利用者利用目的テーブル２３０および利用者利用目的キャッシュテーブル２３０Ａの内容は同一になる。

　以上に説明したように、個人情報流通システム７００のブロックチェーン基盤サーバ１００Ａの提供者管理部１１２Ａは、提供者利用目的を登録する際に当該提供者利用目的を照合管理部１１５Ａに送信する。照合管理部１１５Ａは、提供者利用目的を照合用提供者利用目的として提供者利用目的キャッシュテーブル２２０Ａに登録する。
　また利用者管理部１１３Ａは、利用者利用目的を登録する際に当該利用者利用目的を照合管理部１１５Ａに送信する。照合管理部１１５Ａは、利用者利用目的を照合用利用者利用目的として利用者利用目的キャッシュテーブル２３０Ａに登録する。

≪第２実施形態：同意照合処理≫
　図４１は、第２実施形態に係る同意照合処理のシーケンス図である。図４１を参照して、第１実施形態に係る同意照合処理（図３５参照）との違いを説明する。
　ステップＳ３２１において照合管理部１１５Ａは、共通識別情報とアクセス証明書とを参照して、同意情報キャッシュテーブル２１０Ａ、提供者利用目的キャッシュテーブル２２０Ａ、および利用者利用目的キャッシュテーブル２３０Ａへのアクセス権を確認する。共通識別情報とアクセス証明書とは、データ提供者７２０の共通識別情報とアクセス証明書とであり（図３４記載のステップＳ２４３参照）、読み取りが可能である（図３９参照）。

　ステップＳ３２２～Ｓ３２３は、ステップＳ２７３～Ｓ２７４（図３５参照）と同様の処理である。ステップＳ２７３で照合管理部１１５は、同意管理部１１１、提供者管理部１１２、および利用者管理部１１３から取得した同意情報や利用目的を照合している。ステップＳ３２２で照合管理部１１５Ａは、直接にアクセス可能な同意情報キャッシュテーブル２１０Ａ、提供者利用目的キャッシュテーブル２２０Ａ、および利用者利用目的キャッシュテーブル２３０Ａから取得した同意情報や利用目的識別情報を照合する。

　以上に説明したように、個人情報流通システム７００のブロックチェーン基盤サーバ１００Ａの照合管理部１１５Ａは、データ提供者７２０が個人情報をデータ利用者７３０に提供する適否を、提供者管理部１１２から取得した提供者利用目的、利用者管理部１１３から取得した利用者利用目的、および同意管理部１１１から取得した同意情報に替わり、照合用提供者利用目的（提供者利用目的キャッシュテーブル２２０Ａ参照）と、照合用利用者利用目的（利用者利用目的キャッシュテーブル２３０Ａ参照）と、照合用同意情報（同意情報キャッシュテーブル２１０Ａ参照）とを照合して適否を判断する。

≪第２実施形態の特徴≫
　照合管理部１１５Ａは、同意情報登録処理や提供者利用目的登録処理、利用者利用目的登録処理においてキャッシュされた同意情報や利用目的を用いて照合しており、高速に照合可能である。キャッシュされた利用目的および同意情報へのアクセスは、チェーンコード、およびチェーンコードを呼び出した主体（個人、データ提供者、データ利用者）に応じて制限される。このようにすることで、キャッシュされた利用目的および同意情報への不正アクセスを防止することができ、適切な個人情報提供の可否判定が可能となり、延いては適正な個人情報の流通が担保される。

≪第３実施形態≫
　第１実施形態および第２実施形態では、同意情報が全てのブロックチェーン基盤サーバ１００に記録されている（図１７記載の同意情報テーブル２１０参照）。これに対して、同意情報をデータ提供者７２０のブロックチェーン基盤サーバ１０１のプライベートデータとするようにして、他のブロックチェーン基盤サーバ１０２，１０３には、同意情報のハッシュ値の変更履歴（後記する図４４記載の同意情報ハッシュ値履歴２８１Ｂ）を共有するようにしてもよい。このようにすることで、同意情報そのものは、ブロックチェーン基盤サーバ１０１だけに格納される。データ利用者７３０のブロックチェーン基盤サーバ１０２，１０３には、同意情報そのものがなく、アクセスできない。

≪第３実施形態：ブロックチェーン基盤サーバの構成≫
　図４２は、第３実施形態に係るブロックチェーン基盤サーバ１００Ｂの機能ブロック図である。第１実施形態に係るブロックチェーン基盤サーバ１００と比較して、同意管理部１１１Ｂ、照合管理部１１５Ｂ、台帳テーブルデータベース１４０Ｂ（後記する図４３参照）および台帳履歴データベース１５０Ｂ（後記する図４４参照）が異なる。

　図４３は、第３実施形態に係る台帳テーブルデータベース１４０Ｂのデータ構成図である。データ提供者７２０のブロックチェーン基盤サーバ１０１に備わる同意情報テーブル２１０Ｂには、プライベートデータとして同意情報が格納され、他のブロックチェーン基盤サーバ１０２，１０３の同意情報テーブル２１０Ｂには同意情報が存在しない。なお、同意情報テーブル２１０Ｂのデータ構成は同意情報テーブル２１０（図１７参照）と同様である。

　図４４は、第３実施形態に係る台帳履歴データベース１５０Ｂのデータ構成図である。台帳履歴データベース１５０Ｂには、同意情報履歴２８１に替わり、同意情報ハッシュ値履歴２８１Ｂが記憶される。同意情報ハッシュ値履歴２８１Ｂには、同意情報テーブル２１０Ｂに格納される同意情報のハッシュ値の変更履歴が格納される。当該ハッシュ値は、同意情報識別情報を基に検索して取得可能である。同意情報ハッシュ値履歴２８１Ｂはパブリックデータであり、全てのブロックチェーン基盤サーバ１００に記憶される。

≪第３実施形態：同意情報登録処理≫
　図４５は、第３実施形態に係る同意情報登録処理のシーケンス図である。図４５を参照して、第１実施形態に係る同意情報登録処理（図３１参照）との違いを説明する。第１実施形態との違いは、ステップＳ２１３～Ｓ２１４にある。第１実施形態のステップＳ２１３～Ｓ２１４を図４５に記載の処理に置き換えたものが、第３実施形態に係る同意情報登録処理である。

　ステップＳ４０１～Ｓ４０２は、ステップＳ２１３～Ｓ２１４（図３１参照）と同様の処理であって、同意管理部１１１Ｂが同意情報を同意情報テーブル２１０Ｂに格納する処理である。この同意情報はデータ提供者７２０のブロックチェーン基盤サーバ１０１Ｂのプライベートデータであり、データ利用者７３０のブロックチェーン基盤サーバ１０２，１０３には存在しない。
　ステップＳ４０３において同意管理部１１１Ｂは、同意情報のハッシュ値を算出し、ハッシュ値の変更履歴を同意情報ハッシュ値履歴２８１Ｂに格納する。なお同意情報とは、同意情報テーブル２１０Ｂのレコードであり、同意情報識別情報２１１、共通識別情報２１２、利用目的識別情報２１３、利用目的２１４、および同意フラグ２１５を含む（図１７参照）。

　以上に説明したように、第３実施形態における個人情報流通システム７００のブロックチェーン基盤サーバ１０１Ｂの同意管理部１１１Ｂが登録する同意情報は、個人がデータ提供者７２０から提供先への当該個人の個人情報の提供に同意するところの、当該提供先における当該個人情報の利用目的を含む同意利用目的のハッシュ値である。同意管理部１１１Ｂは、同意利用目的を分散型台帳（同意情報ハッシュ値履歴２８１Ｂ）に登録する。また同意管理部１１１Ｂは、同意利用目的を、データ提供者７２０に属するブロックチェーン基盤サーバ１０１Ｂのプライベートデータとしてステートデータベース（同意情報テーブル２１０Ｂ）に登録する。

≪第３実施形態：同意照合処理≫
　図４６は、第３実施形態に係る同意照合処理のシーケンス図である。図４６を参照して、第１実施形態に係る同意照合処理（図３５参照）との違いを説明する。第１実施形態との違いは、ステップＳ２６９～Ｓ２７４にある。第１実施形態のステップＳ２６９～Ｓ２７４を図４６に記載の処理に置き換えたものが、第３実施形態に係る同意照合処理である。

　ステップＳ４２１において照合管理部１１５Ｂは、同意情報要求として、対象者（同意情報に係る個人）の共通識別情報と、利用目的識別情報と、データ提供者７２０の共通識別情報と、データ提供者７２０のアクセス証明書とを同意管理部１１１Ｂに送信する。
　ステップＳ４２２において照合管理部１１５Ｂは、データ提供者７２０の共通識別情報とアクセス証明書とを参照して、同意情報テーブル２１０Ｂへのアクセス権を確認する。データ提供者７２０のアクセス属性は「Ｙ」であり（図１０、図１５参照）、照合管理部１１５Ｂは同意情報テーブル２１０Ｂからの読み取りが可能である（図１６参照）。

　ステップＳ４２３において照合管理部１１５Ｂは、対象者の共通識別情報と利用目的識別情報とを基に、同意情報テーブル２１０Ｂから同意情報識別情報２１１、共通識別情報２１２、利用目的識別情報２１３、および同意フラグ２１５（図１７参照）を取得する。

　ステップＳ４２４において照合管理部１１５Ｂは、同意情報要求への応答として、同意情報識別情報、共通識別情報、利用目的識別情報、および同意フラグを照合管理部１１５Ｂに送信する。

　ステップＳ４２５において照合管理部１１５Ｂは、同意情報ハッシュ値要求として、ステップＳ４２４で受信した同意情報識別情報と、データ提供者７２０の共通識別情報と、データ提供者７２０のアクセス証明書とを同意管理部１１１Ｂに送信する。
　ステップＳ４２６において照合管理部１１５Ｂは、データ提供者７２０の共通識別情報とアクセス証明書とを参照して、同意情報ハッシュ値履歴２８１Ｂへのアクセス権を確認する。データ提供者７２０のアクセス属性は「Ｙ」であり（図１０、図１５参照）、照合管理部１１５Ｂは同意情報ハッシュ値履歴２８１Ｂからの読み取りが可能である。

　ステップＳ４２７において照合管理部１１５Ｂは、同意情報識別情報を基に、同意情報ハッシュ値履歴２８１Ｂから同意情報のハッシュ値を取得する。
　ステップＳ４２８において照合管理部１１５Ｂは、同意情報ハッシュ値要求への応答として、同意情報のハッシュ値を照合管理部１１５Ｂに送信する。

　ステップＳ４２９において照合管理部１１５Ｂは、ステップＳ４２４で受信した同意情報識別情報、共通識別情報、利用目的識別情報、および同意フラグから算出したハッシュ値が、ステップＳ４２８で受信したハッシュ値に等しいことを確認する。確認できない場合に照合管理部１１５Ｂは、照合結果を「ＮＧ」とする。
　ステップＳ４３０～Ｓ４３１は、ステップＳ２７３～Ｓ２７４と同様である。

　以上に説明したように、個人情報流通システム７００のブロックチェーン基盤サーバ１０１Ｂの照合管理部１１５Ｂは、同意情報（同意利用目的のハッシュ値）と同意利用目的（同意情報識別情報、共通識別情報、利用目的識別情報、利用目的、同意フラグ）とを同意管理部１１１Ｂから取得する（ステップＳ４２４参照）。
　照合管理部１１５Ｂは、同意利用目的のハッシュ値が、同意情報と一致することを確認し（ステップＳ４２５参照）、提供者利用目的と、利用者利用目的と、同意利用目的とを照合して適否を判断する（ステップＳ４２６参照）。

≪第３実施形態の特徴≫
　第３実施形態において同意情報は、ブロックチェーン基盤サーバ１０１のみにプライベートデータとして記憶され、他のブロックチェーン基盤サーバ１０２，１０３には記憶されない。このため、同意情報に対する不正アクセスの防止レベルは、第１実施形態より向上している。

≪第４実施形態≫
　第１実施形態、第２実施形態および第３実施形態では、ブロックチェーン基盤サーバ１０１が、同意情報を記憶して照合処理を行っている。これに対して、同意情報をデータ提供者７２０の個人情報管理サーバ３０１が、同意情報を記憶して照合処理を行ってもよい。ブロックチェーン基盤サーバ１００には同意情報のハッシュ値を格納するようにしてもよい。ブロックチェーン基盤サーバ１００には、同意情報そのものがなく、アクセスできない。

≪第４実施形態：個人情報管理サーバの構成≫
　図４７は、第４実施形態に係る個人情報管理サーバ３００Ｃの機能ブロック図である。第１実施形態に係る個人情報管理サーバ３００と比較して、同意情報登録部３１３Ｃと個人情報流通部３１４Ｃとが異なり、記憶部３２０に同意情報テーブル３６０Ｃが加わる。

　同意情報テーブル３６０Ｃは、同意情報テーブル２１０（図１７参照）と同様の構成である。
　同意情報登録部３１３Ｃは、同意情報登録処理において個人の同意情報を同意情報テーブル３６０Ｃに格納する。また個人情報流通部３１４Ｃは、後記するブロックチェーン基盤サーバ１００Ｃとともに同意照合処理を行う。

≪第４実施形態：ブロックチェーン基盤サーバの構成≫
　図４８は、第４実施形態に係るブロックチェーン基盤サーバ１００Ｃの機能ブロック図である。第１実施形態に係るブロックチェーン基盤サーバ１００と比較して、同意管理部１１１Ｃ、台帳テーブルデータベース１４０Ｃ（後記する図４９参照）および台帳履歴データベース１５０Ｃ（後記する図５０参照）が異なる。また制御部１１０は、照合管理部１１５を備えない。

　図４９は、第４実施形態に係る台帳テーブルデータベース１４０Ｃのデータ構成図である。台帳テーブルデータベース１４０Ｃには、同意情報テーブル２１０（図１７参照）に替わり同意情報ハッシュ値テーブル２１０Ｃ（後記する図５１参照）がある。
　図５０は、第４実施形態に係る台帳履歴データベース１５０Ｃのデータ構成図である。台帳履歴データベース１５０Ｃには、同意情報履歴２８１に替わり、同意情報ハッシュ値履歴２８１Ｃがある。同意情報ハッシュ値履歴２８１Ｃには、同意情報ハッシュ値テーブル２１０Ｃに格納される同意情報のハッシュ値の変更履歴が格納される。

　図５１は、第４実施形態に係る同意情報ハッシュ値テーブル２１０Ｃのデータ構成図である。同意情報ハッシュ値テーブル２１０Ｃは例えば表形式のデータであって、１つの行（レコード）は１人の個人の１つの利用目的に対する同意情報のハッシュ値を示し、同意情報識別情報２１１、およびハッシュ値２１７の列（属性）を含む。ハッシュ値２１７は、同意情報（図１７参照）である同意情報識別情報２１１、共通識別情報２１２、利用目的識別情報２１３、利用目的２１４、および同意フラグ２１５のハッシュ値である。

≪第４実施形態：同意情報登録処理≫
　図５２は、第４実施形態に係る同意情報登録処理のシーケンス図である。図５２を参照して、第１実施形態に係る同意情報登録処理（図３１参照）との違いを説明する。第１実施形態との違いは、ステップＳ２０９～Ｓ２１７にある。第１実施形態のステップＳ２０９～Ｓ２１７を図５２に記載の処理に置き換えたものが、第４実施形態に係る同意情報登録処理である。

　ステップＳ５０１～Ｓ５０５は、ステップＳ２０９～Ｓ２１３と同様の処理である。
　ステップＳ５０６においてブロックチェーン基盤サーバ１０１Ｃの同意管理部１１１Ｃは、同意情報のハッシュ値を算出して、同意情報ハッシュ値テーブル２１０Ｃに格納する。詳しくは、同意管理部１１１Ｃは新たに生成した同意情報識別情報、共通識別情報、利用目的識別情報、利用目的、および同意フラグのハッシュ値を算出して、生成した同意情報識別情報を同意情報識別情報２１１に、算出したハッシュ値を２１７に格納する。
　ステップＳ５０７は、ステップＳ２１５と同様である。

　ステップＳ５０８において個人情報管理サーバ３０１Ｃの同意情報登録部３１３Ｃは、同意情報識別情報、共通識別情報、利用目的識別情報、利用目的、および同意フラグを同意情報テーブル３６０Ｃに格納する。ここで同意情報識別情報は、ステップＳ５０７で受信した同意情報識別情報であり、他はステップＳ５０４で送信したものである。
　ステップＳ５０９～Ｓ５１０は、ステップＳ２１６～Ｓ２１７と同様である。

　以上に説明したように、第４実施形態における個人情報流通システム７００のブロックチェーン基盤サーバ１００Ｃの同意管理部１１１Ｃが登録する同意情報は、個人がデータ提供者７２０から提供先への当該個人の個人情報の提供に同意するところの、当該提供先における当該個人情報の利用目的を含む同意利用目的のハッシュ値である。同意利用目的のハッシュ値は、分散型台帳（同意情報ハッシュ値テーブル２１０Ｃ）に格納される。
　個人情報流通システム７００の個人情報管理サーバ３００Ｃの同意情報登録部３１３Ｃは、同意利用目的を同意情報テーブル３６０Ｃに登録する。

≪第４実施形態：同意照合処理≫
　図５３は、第４実施形態に係る同意照合処理のシーケンス図である。図５３を参照して、第１実施形態に係る個人情報流通処理（図３４参照）に含まれる同意照合処理（図３５参照）との違いを説明する。第１実施形態との違いは、ステップＳ２４３～Ｓ２４５にある。即ち、第１実施形態のステップＳ２４３～Ｓ２４５を図５３に記載の処理に置き換えたものが、第４実施形態に係る個人情報流通処理である。

　ステップＳ５２１において個人情報管理サーバ３０１Ｃの個人情報流通部３１４Ｃは、利用者利用目的要求として、データ利用者７３２の共通識別情報と、利用目的識別情報と、データ提供者７２０の共通識別情報と、データ提供者７２０のアクセス証明書とをブロックチェーン基盤サーバ１０１Ｃに送信する。
　ステップＳ５２２～Ｓ５２３は、ステップＳ２６２～Ｓ２６３と同様である。
　ステップＳ５２４においてブロックチェーン基盤サーバ１０１Ｃの利用者管理部１１３は、利用者利用目的要求への応答として、利用目的識別情報と、データ利用者７３２の共通識別情報とを個人情報管理サーバ３０１Ｃに送信する。
　ステップＳ５２５～Ｓ５２８は、ステップＳ５２１～Ｓ５２４と同様である。

　ステップＳ５２９において個人情報管理サーバ３０１Ｃの個人情報流通部３１４Ｃは、対象者の共通識別情報と利用目的識別情報とを基に、同意情報テーブル３６０Ｃから同意情報を取得する。同意情報は、同意情報識別情報、対象者である個人の共通識別情報、利用目的識別情報、利用目的、および同意フラグを含む。
　ステップＳ５３０において個人情報流通部３１４Ｃは、ハッシュ値の照合要求として、同意情報識別情報、対象者の共通識別情報、利用目的識別情報、同意フラグ、データ提供者７２０の共通識別情報と、データ提供者７２０のアクセス証明書とをブロックチェーン基盤サーバ１０１Ｃに送信する。

　ステップＳ５３１においてブロックチェーン基盤サーバ１０１Ｃの同意管理部１１１Ｃは、データ提供者７２０の共通識別情報とアクセス証明書とを参照して、同意情報ハッシュ値テーブル２１０Ｃ（図５１参照）へのアクセス権を確認する。データ提供者７２０のアクセス属性は「Ｙ」であり（図１０、図１５参照）、同意管理部１１１Ｃは同意情報ハッシュ値テーブル２１０Ｃからの読み取りが可能である。
　ステップＳ５３２において同意管理部１１１Ｃは、ハッシュ値を照合する。詳しくは、同意管理部１１１Ｃは同意情報識別情報を基に、同意情報ハッシュ値テーブル２１０Ｃ（図５１参照）からハッシュ値を取得する。同意管理部１１１Ｃは、当該ハッシュ値と、ステップＳ５３０で受信した同意情報識別情報、対象者の共通識別情報、利用目的識別情報、利用目的、および同意フラグから算出したハッシュ値とを照合する。

　ステップＳ５３３において同意管理部１１１Ｃは、ハッシュ値の照合要求への応答として、同意情報識別情報と、ステップＳ５３２の照合結果（一致／不一致）を個人情報管理サーバ３０１Ｃに送信する。
　ステップＳ５３４において個人情報管理サーバ３０１Ｃの個人情報流通部３１４Ｃは、照合結果が一致であり、ステップＳ５２９で取得した同意情報と、ステップＳ５２４で取得した利用者の利用目的識別情報と、ステップＳ５２８で取得した提供者の利用目的識別情報とを照合して合致することを確認する。例えばステップＳ５３３で受信した照合結果が不一致ならば、ステップＳ５３４の照合結果はＮＧとなる。この照合の処理は、ステップＳ２７３（図３５参照）と同様である。
　ステップＳ５３５は、ステップＳ２７４と同様である。

　以上に説明したように、個人情報流通システム７００の個人情報管理サーバ３００Ｃの個人情報流通部３１４Ｃは、データ提供者７２０が個人情報をデータ利用者７３０に提供する適否を、当該データ提供者７２０の提供者利用目的と、当該データ利用者７３０の利用者利用目的と、当該個人の同意利用目的とを照合して判断する。

　詳しく説明するとブロックチェーン基盤サーバ１００Ｃの同意管理部１１１Ｃは、同意利用目的を受け付けて、当該同意利用目的のハッシュ値と、登録済みの同意情報（同意利用目的のハッシュ値）とを比較した結果である比較結果を算出する（ステップＳ５３２参照）。
　個人情報流通部３１４Ｃは、提供者利用目的を提供者管理部１１２から取得する（ステップＳ５２５～Ｓ５２８参照）。また個人情報流通部３１４Ｃは、利用者利用目的を利用者管理部１１３から取得する（ステップＳ５２１～Ｓ５２４参照）。
　個人情報流通部３１４Ｃは、同意利用目的を同意管理部１１１Ｃに送信して（ステップＳ５３０参照）、比較結果を取得する（ステップＳ５３３参照）。個人情報流通部３１４Ｃは、当該比較結果が一致であることを確認し、提供者利用目的と、利用者利用目的と、同意利用目的とを照合して適否を判断する（ステップＳ５３４参照）。

≪第４実施形態の特徴≫
　第４実施形態において同意情報照合処理は、ブロックチェーン基盤サーバ１００ではなく、個人情報管理サーバ３０１Ｃで実行される。ブロックチェーン基盤サーバ１０１Ｃで実行される場合と比べて、処理負荷が低く、高速に処理可能となる。
　第１実施形態では、ステップＳ２４４（図３４参照）の処理の一部であるステップＳ２７４（図３５参照）の照合記録の処理が終了した後に、ステップＳ２４５以降の、提供者から利用者への個人情報の提供が行われる。これに対して第４実施形態では、ステップＳ５３４で同意情報と利用目的の一致を確認した後に、ステップＳ５３５の照合記録の処理終了を待つことなく、個人情報の提供が可能となる。このため、第１実施形態より高速に個人情報の提供が可能となる。

≪変形例：キャッシュテーブル≫
　第２実施形態において照合管理部１１５Ａは、提供者利用目的登録処理や利用者利用目的登録処理、同意情報登録処理に登録された（キャッシュされた）提供者利用目的キャッシュテーブル２２０Ａや利用者利用目的キャッシュテーブル２３０Ａ、同意情報キャッシュテーブル２１０Ａを参照して照合している。アクセス権（図１６に記載のアクセス管理マスタテーブル１７０参照）を変更して、照合管理部１１５が直接に提供者利用目的テーブル２２０や利用者利用目的テーブル２３０、同意情報テーブル２１０に読み取り可能にしてもよい。このようにすることで、提供者利用目的キャッシュテーブル２２０Ａや利用者利用目的キャッシュテーブル２３０Ａに登録する必要がなくなり、提供者利用目的登録処理や利用者利用目的登録処理、同意情報登録処理の負荷が軽減できる。

　以上に説明したように、この変形例の個人情報流通システム７００においては、提供者管理部１１２が登録する提供者利用目的（図１８記載の提供者利用目的テーブル２２０参照）、利用者管理部１１３が登録する利用者利用目的（図１９記載の利用者利用目的テーブル２３０参照）、および同意管理部１１１が登録する同意情報（図１７記載の同意情報テーブル２１０参照）は、分散型台帳７９０を構成するブロックチェーン基盤サーバ１００のチェーンコードのなかで照合管理部１１５として機能するチェーンコードもアクセス可能である。

　照合管理部１１５は、データ提供者７２０が個人情報をデータ利用者７３０に提供する適否を、提供者管理部１１２から取得した提供者利用目的、利用者管理部１１３から取得した利用者利用目的、および同意管理部１１１から取得した同意情報に替わり、提供者管理部１１２が登録する提供者利用目的、利用者管理部１１３が登録する利用者利用目的、および同意管理部１１１が登録する同意情報を照合して適否を判断する。

≪変形例：データ提供者≫
　上記した実施形態では、データ提供者７２０が個人情報を収集（図２１参照）し、収集した個人情報をデータ利用者７３０に提供している。データ提供者７２０自身が収集した個人情報に限らず、他の事業者が収集した情報について、データ提供者７２０がデータ利用者７３０に提供する際に、利用目的と同意情報を照合して提供するようにしてもよい。この場合の提供者利用目的テーブル２２０への登録は、データ提供者７２０が行ってもよいし、個人情報を収集した事業者が行ってもよい。データ提供者７２０は、個人情報を管理し、個人の指示または予め指定した条件に基づいて個人情報を第三者に提供する情報銀行に相当する。

≪その他の変形例≫
　以上、本発明のいくつかの実施形態について説明したが、これらの実施形態は、例示に過ぎず、本発明の技術的範囲を限定するものではない。例えばブロックチェーン基盤サーバ１００は、分散型台帳７９０のステートデータベースとして、同意情報テーブル２１０、提供者利用目的テーブル２２０、利用者利用目的テーブル２３０、利用目的パターン情報テーブル２４０、および証跡管理情報テーブル２５０を記憶するが、複数のブロックチェーン基盤サーバに分散して記憶してもよい。この場合、これらのステートデータベースに合わせて、同意管理部１１１、提供者管理部１１２、利用者管理部１１３、利用目的パターン管理部１１４、および証跡管理部１１６も分散することになる。データ提供者７２０およびデータ利用者７３０は、複数のブロックチェーン基盤サーバを有することになる。

　本発明はその他の様々な実施形態を取ることが可能であり、さらに、本発明の要旨を逸脱しない範囲で、省略や置換等種々の変更を行うことができる。これら実施形態やその変形は、本明細書等に記載された発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。

１００～１０３，１００Ａ，１００Ｂ，１００Ｃ　ブロックチェーン基盤サーバ
１１１，１１１Ａ，１１１Ｂ，１１１Ｃ　同意管理部
１１２，１１２Ａ　提供者管理部
１１３，１１３Ａ　利用者管理部
１１４　利用目的パターン管理部
１１５，１１５Ａ，１１５Ｂ　照合管理部
１１６　証跡管理部
１１９　登録部
１４０，１４０Ａ，１４０Ｂ，１４０Ｃ　台帳テーブルデータベース（分散型台帳）
１５０，１５０Ａ，１５０Ｂ，１５０Ｃ　台帳履歴データベース（分散型台帳）
２１０　同意情報テーブル（同意情報）
２１０Ａ　同意情報キャッシュテーブル（照合用同意情報）
２１０Ｂ　同意情報テーブル（同意利用目的）
２１０Ｃ　同意情報ハッシュ値テーブル（同意利用目的のハッシュ値）
２２０　提供者利用目的テーブル（提供者利用目的）
２２０Ａ　提供者利用目的キャッシュテーブル（照合用提供者利用目的）
２３０　利用者利用目的テーブル（利用者利用目的）
２３０Ａ　利用者利用目的キャッシュテーブル（照合用利用者利用目的）
２８１Ｂ　同意情報ハッシュ値履歴（同意利用目的のハッシュ値）
３００，３００Ｃ　個人情報管理サーバ
３１１　ステークホルダ情報登録部
３１２　利用目的情報登録部
３１３，３１３Ｃ　同意情報登録部
３１４，３１４Ｃ　個人情報流通部
３６０Ｃ　同意情報テーブル（同意利用目的）
４００　提供者業務サーバ
４３０　個人情報データベース（個人情報）
７００　個人情報流通システム
７１０　端末（個人が利用する端末）
７２０　データ提供者
７３０，７３２，７３３　データ利用者（個人情報の提供先）
７９０　分散型台帳

Claims

　個人情報を提供するデータ提供者の、当該個人情報の提供先における当該個人情報の利用目的を提供者利用目的として登録する提供者管理部と、
　前記データ提供者から提供される個人情報を利用するデータ利用者の、当該個人情報の利用目的を利用者利用目的として登録する利用者管理部と、
　前記個人情報に係る個人が前記データ提供者から提供先への当該個人の個人情報の提供に同意するところの、当該提供先における当該個人情報の利用目的に係る同意情報を登録する同意管理部と、
　前記データ提供者が前記個人情報を前記データ利用者に提供する適否を、当該データ提供者の提供者利用目的と、当該データ利用者の利用者利用目的と、当該個人情報に係る個人の同意情報とを照合して判断する照合管理部とを備え、
　前記提供者利用目的、前記利用者利用目的、および前記同意情報は、分散型台帳に格納され、
　前記提供者利用目的は、前記分散型台帳を構成するブロックチェーン基盤サーバのチェーンコードのなかで前記提供者管理部として機能するチェーンコードのみがアクセス可能であり、
　前記利用者利用目的は、前記チェーンコードのなかで前記利用者管理部として機能するチェーンコードのみがアクセス可能であり、
　前記同意情報は、前記チェーンコードのなかで前記同意管理部として機能するチェーンコードのみがアクセス可能であり、
　前記照合管理部は、前記提供者利用目的を前記提供者管理部から取得し、前記利用者利用目的を前記利用者管理部から取得し、前記同意情報を前記同意管理部から取得して照合する
　個人情報流通システム。
　前記提供者管理部は、前記提供者利用目的を登録する際に当該提供者利用目的を前記照合管理部に送信し、
　前記利用者管理部は、前記利用者利用目的を登録する際に当該利用者利用目的を前記照合管理部に送信し、
　前記同意管理部は、前記同意情報を登録する際に当該同意情報を前記照合管理部に送信し、
　前記照合管理部は、
　前記提供者利用目的を照合用提供者利用目的として登録し、前記利用者利用目的を照合用利用者利用目的として登録し、前記同意情報を照合用同意情報として登録し、
　前記データ提供者が前記個人情報を前記データ利用者に提供する適否を、
　前記提供者管理部から取得した提供者利用目的、前記利用者管理部から取得した利用者利用目的、および前記同意管理部から取得した同意情報に替わり、
　前記照合用提供者利用目的と、前記照合用利用者利用目的と、前記照合用同意情報とを照合して前記適否を判断する
　請求項１に記載の個人情報流通システム。
　前記同意情報は、
　前記個人が前記データ提供者から提供先への当該個人の個人情報の提供に同意するところの、当該提供先における当該個人情報の利用目的を含む同意利用目的のハッシュ値であり、
　前記同意管理部は、
　前記同意利用目的を、前記データ提供者に属する前記ブロックチェーン基盤サーバのプライベートデータとしてステートデータベースに登録し、
　前記照合管理部は、
　前記同意情報と前記同意利用目的とを前記同意管理部から取得し、
　前記同意利用目的のハッシュ値が、前記同意情報と一致することを確認し、前記提供者利用目的と、前記利用者利用目的と、前記同意利用目的とを照合して前記適否を判断する
　請求項１に記載の個人情報流通システム。
　前記同意情報は、
　前記個人が前記データ提供者から提供先への当該個人の個人情報の提供に同意するところの、当該提供先における当該個人情報の利用目的を含む同意利用目的のハッシュ値であり、
　前記同意利用目的を登録する同意情報登録部と、
　前記データ提供者が前記個人情報を前記データ利用者に提供する適否を、当該データ提供者の提供者利用目的と、当該データ利用者の利用者利用目的と、当該個人の同意利用目的とを照合して判断する個人情報流通部とを備え、
　前記同意管理部は、
　前記同意利用目的を受け付けて、当該同意利用目的のハッシュ値と、登録済みの前記同意情報とを比較した結果である比較結果を算出し、
　前記個人情報流通部は、
　前記提供者利用目的を前記提供者管理部から取得し、
　前記利用者利用目的を前記利用者管理部から取得し、
　前記同意利用目的を前記同意管理部に送信して、前記比較結果を取得し、
　当該比較結果が一致であることを確認し、前記提供者利用目的と、前記利用者利用目的と、前記同意利用目的とを照合して前記適否をする
　請求項１に記載の個人情報流通システム。
　前記提供者管理部が登録する提供者利用目的、前記利用者管理部が登録する利用者利用目的、および前記同意管理部が登録する同意情報は、
　前記分散型台帳を構成するブロックチェーン基盤サーバのチェーンコードのなかで前記照合管理部として機能するチェーンコードもアクセス可能であり、
　前記照合管理部は、
　前記データ提供者が前記個人情報を前記データ利用者に提供する適否を、
　前記提供者管理部から取得した提供者利用目的、前記利用者管理部から取得した利用者利用目的、および前記同意管理部から取得した同意情報に替わり、
　前記提供者管理部が登録する提供者利用目的、前記利用者管理部が登録する利用者利用目的、および前記同意管理部が登録する同意情報を照合して前記適否を判断する
　請求項１に記載の個人情報流通システム。
　個人情報流通システムの流通適否判定方法であって、
　前記個人情報流通システムは、
　個人情報を提供するデータ提供者の、当該個人情報の提供先における当該個人情報の利用目的を提供者利用目的として登録するステップと、
　前記データ提供者から提供される個人情報を利用するデータ利用者の、当該個人情報の利用目的を利用者利用目的として登録するステップと、
　前記個人情報に係る個人が前記データ提供者から提供先への当該個人の個人情報の提供に同意するところの、当該提供先における当該個人情報の利用目的に係る同意情報を登録するステップと、
　前記データ提供者が前記個人情報を前記データ利用者に提供する適否を、当該データ提供者の提供者利用目的と、当該データ利用者の利用者利用目的と、当該個人情報に係る個人の同意情報とを照合して判断するステップとを実行し、
　前記提供者利用目的、前記利用者利用目的、および前記同意情報は、分散型台帳に格納され、
　前記提供者利用目的は、前記分散型台帳を構成するブロックチェーン基盤サーバのチェーンコードのなかで前記提供者利用目的を登録するチェーンコードのみがアクセス可能であり、
　前記利用者利用目的は、前記チェーンコードのなかで前記利用者利用目的を登録するチェーンコードのみがアクセス可能であり、
　前記同意情報は、前記チェーンコードのなかで前記同意情報を登録するチェーンコードのみがアクセス可能であり、
　前記適否を判断するするステップは、
　前記提供者利用目的を、当該提供者利用目的を登録するチェーンコードを呼び出して取得するステップと、
　前記利用者利用目的を、当該利用者利用目的を登録するチェーンコードを呼び出して取得するステップと、
　前記同意情報を、当該同意情報を登録するチェーンコードを呼び出して取得するステップとを含む
　個人情報流通適否判定方法。