WO2024004556A1 - 情報管理方法及び情報管理装置 - Google Patents

情報管理方法及び情報管理装置 Download PDF

Info

Publication number
WO2024004556A1
WO2024004556A1 PCT/JP2023/021171 JP2023021171W WO2024004556A1 WO 2024004556 A1 WO2024004556 A1 WO 2024004556A1 JP 2023021171 W JP2023021171 W JP 2023021171W WO 2024004556 A1 WO2024004556 A1 WO 2024004556A1
Authority
WO
WIPO (PCT)
Prior art keywords
data
information
reporter
backup
information management
Prior art date
Application number
PCT/JP2023/021171
Other languages
English (en)
French (fr)
Inventor
達哉 岡部
陽彦 並木
貴一 村上
Original Assignee
株式会社デンソー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社デンソー filed Critical 株式会社デンソー
Publication of WO2024004556A1 publication Critical patent/WO2024004556A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services

Definitions

  • the disclosure in this specification relates to information management technology.
  • each trader can leave a backup of transmitted data in their own database. However, if the backup on the transacting party's side is altered, it becomes difficult to confirm whether or not the alteration has occurred.
  • the present disclosure aims to provide an information management method and an information management device that can confirm that a backup has been modified.
  • an information management method that is implemented by a computer and manages information collected by a reporter under the control of an administrator, the method comprising: In the process executed by the reporter, send data based on the reporter data prepared on the reporter side to the destination linked to the administrator, prepare a backup of the sent data, and ensure that the backup has not been altered.
  • the information management method includes the steps of further preparing confirmation information to be used for confirmation, and storing a backup together with the confirmation information in the reporter's database.
  • Another disclosed aspect is an information management device that manages information acquired by a reporter under the management of an administrator, and which transmits data based on reporter data prepared by the reporter. , prepare a data transmitter to send to a destination linked to the administrator, a backup of the transmitted data, further prepare confirmation information used to confirm that the backup has not been altered, and report the backup together with the confirmation information.
  • the information management device includes a data storage unit for storing data in a database of users.
  • confirmation information used to confirm that the backup of the transmitted data has not been altered is prepared and stored in the reporter's database together with the backup. Therefore, by using the confirmation information, it is possible to confirm that the backup has been altered.
  • FIG. 2 is a diagram showing an overall picture of traceability management according to the first embodiment of the present disclosure.
  • FIG. 2 is a block diagram showing the electrical configuration of a system, a terminal, etc. related to traceability management.
  • FIG. 2 is a diagram illustrating an overall image of main processing performed by an information recording server and a reporter terminal. It is a flowchart which shows the details of reporter processing performed at a reporter terminal. It is a figure which shows an example of the backup saved in a reporter database. It is a figure showing an example of confirmation data saved in a reporter database.
  • 9 is a diagram showing, together with FIG. 8, one pattern of processing for generating confirmation data.
  • FIG. 8 is a diagram showing, together with FIG. 7, one pattern of processing for generating confirmation data.
  • FIG. 8 is a diagram showing another pattern of processing for generating confirmation data together with FIG. 7.
  • FIG. 12 is a diagram showing still another pattern of processing for generating confirmation data together with FIG. 11.
  • FIG. 11 is a diagram showing still another pattern of processing for generating confirmation data together with FIG. 10.
  • FIG. FIG. 7 is a diagram illustrating an example of an intention confirmation record that is recorded when a backup is changed. It is a figure showing the whole picture of main processing carried out in a second embodiment.
  • the supply chain SC in the first embodiment of the present disclosure shown in FIG. 1 is a connection between traders for delivering industrial products, agricultural products, marine products, etc. to end users US.
  • the supply chain SC is constructed by including a plurality of suppliers SR, finished product manufacturer MF, etc. as traders.
  • the end products supplied by the supply chain SC may be various articles, such as automobiles, batteries, semiconductors, fresh produce, seafood, foods, flowers, pharmaceuticals, and chemicals.
  • a supply chain SC for delivering industrial products to end users US
  • material miners, material producers, processors, etc. are included as suppliers SR.
  • Each supplier SR processes raw materials such as virgin materials and recycled materials, or (and) item IM etc. delivered from the previous process supplier SR, and sends it to the next process supplier SR as a separate item IM. Or ship it to the finished product manufacturer MF.
  • the supply chain SC may further include carriers, distributors, etc. related to distribution of the item IM and the final product.
  • the supply chain SC may include an end user US who uses the final product, a secondary user U2 who reuses, rebuilds, recycles, discards, etc. the final product, a recycler RC, and the like.
  • the supply chain SC is managed by the administrator ADM.
  • the administrator ADM may be, for example, an agent entrusted with management work by the finished product manufacturer MF, or a supervisory agency with supervisory authority over the category to which the final product belongs, or a supervisory authority entrusted with management and auditing work. It may be a designated agency. As shown in FIGS. 1 to 3, the administrator ADM operates the traceability management system 100 and manages various information recorded in the supply chain SC.
  • the traceability management system 100 can communicate with the reporter terminal 50, the manufacturer terminal 10a, the user terminal 10b, etc. through a network. If the final product (for example, a car, etc.) has a communication function, the traceability management system 100 may also be able to communicate with the final product.
  • the traceability management system 100 stores information obtained through the network in a state that cannot be substantially tampered with by information management using blockchain BC technology. In addition, the traceability management system 100 collects information under the control of individual supplier SRs, etc. in response to requests from the administrator ADM (or regulatory agency), end user US, finished product manufacturer MF, etc., and to be disclosed.
  • the reporter terminal 50 is an information processing device operated by the supplier SR.
  • the reporter terminal 50 is linked to each supplier SR.
  • the reporter terminal 50 accumulates history information TRI and the like related to the item IM.
  • the history information TRI is information such as what kind of trading company (previous process supplier SR) the raw materials or parts are purchased from, and when they were acquired. Furthermore, information related to cost, the amount of greenhouse gas emissions (carbon footprint) emitted by manufacturing the item IM, etc. may be recorded as history information TRI.
  • the history information TRI is stored by the reporter terminal 50 and disclosed externally depending on the situation. For example, if some kind of defect occurs or is likely to occur in the item IM or the final product, the history information TRI is provided to other traders, the finished product manufacturer MF, the end user US, etc. through the administrator ADM. Ru. The provided history information TRI is used for investigating the cause of a malfunction, etc. As described above, at least part of the history information TRI becomes information for realizing traceability of the item IM.
  • the reporter terminal 50 receives the issuance of unique identification information (hereinafter referred to as item identification information UID) for identifying the item IM from the traceability management system 100.
  • the item identification information UID is a unique identification that does not overlap with each other.
  • the item identification information UID is a 32-digit character string.
  • the item identification information UID may be issued not only for parts but also for recycled materials and the like.
  • the item identification information UID is attached to the item IM shipped from the supplier SR, and delivered together with the item IM to the next process transaction partner.
  • the reporter terminal 50 associates the hash value HV generated from the original data including the history information TRI with the issued item identification information UID for the specific item IM, and uploads the hash value HV to the traceability management system 100.
  • the manufacturer terminal 10a is an information processing device operated by a finished product manufacturer MF.
  • the manufacturer terminal 10a generates link information LI (see FIG. 1) that links product identification information PID that identifies the final product and item identification information UID of one or more items IM used in the final product. .
  • the manufacturer terminal 10a uploads the product identification information PID, item identification information UID, and link information LI to the traceability management system 100.
  • the user terminal 10b is an information processing device used by the end user US, secondary user U2, or recycling company RC.
  • a smartphone, a tablet terminal, or the like can be used as the user terminal 10b.
  • the user terminal 10b transmits change information XI (see FIG. 1) indicating a change in the usage mode of the item IM used in the final product to the traceability management system 100. Upload to.
  • the traceability management system 100 is notified of change information XI indicating the disappearance of the item IM or change information XI requesting modification or transfer of the link information LI.
  • the manufacturer terminal 10a and the user terminal 10b can request the traceability management system 100 to disclose historical information TRI related to the final product or item IM using the product identification information PID or item identification information UID.
  • the manufacturer terminal 10a and the user terminal 10b acquire history information TRI from the traceability management system 100 and display it on a display or the like.
  • the end user US, secondary user U2, recycler RC, and finished product manufacturer MF can view the history information TRI using the manufacturer terminal 10a or the user terminal 10b as the inquiry terminal 10c.
  • the traceability management system 100 includes an application distribution server 100a, an information recording server 100r, and an information inquiry server 100i.
  • Each of the servers 100a, 100r, and 100i is an information processing device whose main component is a control circuit 100c.
  • the control circuit 100c includes a processor 11, a RAM (Random Access Memory) 12, a storage unit 13, an input/output interface 14, a bus connecting these, and the like, and functions as a computer that performs arithmetic processing.
  • the processor 11 is hardware for arithmetic processing coupled with the RAM 12 and executes a program stored in the storage unit 13.
  • the application distribution server 100a functions as a server device that distributes the hashed application HAP.
  • the hashing application HAP is an application program installed on each reporter terminal 50.
  • the hashing application HAP performs a hashing process on each reporter terminal 50 to hash the reporter data including at least the history information TRI based on the rules specified by the administrator ADM, and generates a hash value HV.
  • the hashing application HAP enables maintenance of security in traceability management through regular updates. Note that the hashing application HAP may be distributed by a platformer of an operating system that operates the reporter terminal 50.
  • the information recording server 100r functions as an information management device on the administrator ADM side that manages information related to item IM.
  • the information recording server 100r manages various information collected by supplier SRs etc. under the management of the administrator ADM and submitted to the administrator ADM side.
  • the information recording server 100r has functional units such as an issuing unit 31 and a storage unit 32 by causing the processor 11 to execute an information management program stored in the storage unit 13 (see FIG. 2).
  • the issuing unit 31 issues the item identification information UID to the reporter terminal 50 linked to each supplier SR by executing the ID issuing process (see S11 in FIG. 3).
  • the issuing unit 31 performs ID issuing processing in response to a request from the supplier SR (reporter terminal 50), and issues the number of item identification information UIDs required by the supplier SR.
  • the issuing unit 31 can perform at least one of a batch process of issuing a predetermined number of item identification information UIDs at once, a process of issuing item identification information UIDs at any time, and a process of issuing item identification information UIDs later.
  • the issuing unit 31 when receiving a request based on a production plan or the like from the supplier SR who is the reporter, issues a certain number of necessary item identification information UID in advance in response to such request. Further, the issuing unit 31 receives a request for issuing a number of item identification information UID every time data to be stored is generated at the supplier SR, and issues item identification information UID on demand in response to this request. Further, the issuing unit 31 subsequently issues item identification information UID to data (hash value HV) uploaded by the reporter terminal 50 and to which no item identification information UID is associated. In this case, the uploaded data is stored in the process described later after receiving notification of the allocation record of the item identification information UID on the administrator ADM side.
  • the storage unit 32 stores the information acquired from the reporter terminal 50 in a blockchain database (hereinafter referred to as BC database) BDB by performing data storage processing.
  • the BC database BDB uses blockchain BC technology to store data to be stored, such as hash values HV and additional data linked to item identification information UID, in a state that cannot be tampered with in practice.
  • the BC database BDB stores the acquired storage target data as a transaction in a block of a private type or consortium type blockchain BC.
  • the BC database BDB makes it difficult to tamper with the data stored in each block by hashing information stored in one block and storing it in the next block.
  • the format of blockchain BC is not limited to private type and consortium type.
  • a public blockchain BC is used.
  • the BC database BDB stores hash values generated from the data to be stored in blocks of the public blockchain BC, thereby making it virtually impossible to tamper with the data to be stored.
  • the storage unit 32 verifies the validity of the hash value HV acquired from the reporter terminal 50 in the data storage process. However, the history information TRI, which is the original data used to generate the hash value HV at the reporter terminal 50, is not provided to the information recording server 100r. Therefore, the storage unit 32 determines that the hash value HV is the correct value when the correct hashing application HAP is being used on the reporter terminal 50 and the hashing application HAP is operating normally. do.
  • the storage unit 32 checks the version of the hashing application HAP running on the reporter terminal 50 based on the application information (described later) of additional data acquired from the reporter terminal 50 (see S51 in FIG. 3). ). If an inappropriate hashing application HAP, such as an application of unknown origin or an old version that is no longer usable, is used on the reporter terminal 50, the storage unit 32 reports that the validity of the hash value HV cannot be guaranteed. Make a NG judgment.
  • the storage unit 32 further checks whether the hashing application HAP is operating normally (see S52 in FIG. 3).
  • the information recording server 100r provides the reporter terminal 50 with verification dummy data to be input into the hashing application HAP instead of the history information TRI.
  • the storage unit 32 acquires a verification hash value based on dummy data from the reporter terminal 50. If the verification hash value is a correct value, the storage unit 32 determines that the hashing application HAP is operating normally and is in a state where the validity of the hash value HV can be guaranteed. In this case, the storage unit 32 stores the hash value HV, additional data, etc. in the BC database BDB in a state where it is linked to the item identification information UID (see S53 in FIG. 3). As a result of the above, the data to be stored is registered in the blockchain BC.
  • the information inquiry server 100i is a server device that performs a process of disclosing history information TRI, etc. to an inquirer using the manufacturer terminal 10a, user terminal 10b, etc. as the inquiry terminal 10c. Specifically, upon receiving a disclosure request from the inquiry terminal 10c, the information inquiry server 100i determines the item identification information UID for which history information TRI is to be collected based on the product identification information PID or item identification information UID acquired along with the disclosure request. Identify. The information inquiry server 100i identifies the supplier SR (reporter terminal 50) that requests provision of the history information TRI based on the identified item identification information UID.
  • the information inquiry server 100i transmits a request for providing historical information TRI to each identified reporter terminal 50, and receives the provision of original data such as historical information TRI from each reporter terminal 50.
  • the information inquiry server 100i checks whether the history information TRI acquired from each reporter terminal 50 has been tampered with.
  • the information inquiry server 100i generates data to be provided using the history information TRI that has been confirmed not to have been tampered with, and provides the generated data to be provided to the inquiry terminal 10c that is the source of the disclosure request.
  • the above information recording server 100r and information inquiry server 100i may be on-premises server devices physically managed by an administrator ADM or a platformer, or may be virtual configurations provided on the cloud. It's okay. That is, the above-mentioned functional units are not limited to those built in the control circuit 100c, but may be built in a server of a third party commissioned by the administrator ADM or a platformer. Furthermore, the BC database BDB may also be constructed in a virtual file server provided on the cloud.
  • the reporter terminal 50 has a configuration mainly including a control circuit 50c, and is electrically connected to a display 56, a scanner 57, a printer 58, and the like. At least some of the display 56, scanner 57, and printer 58 may be configured integrally with the reporter terminal 50. Further, an input device such as a keyboard may be connected to the reporter terminal 50, for example, for error processing.
  • the display 56 is a display device mainly including a liquid crystal panel or an organic EL panel.
  • the display 56 displays various images on the screen based on display control by the control circuit 50c.
  • the display 56 displays an image presenting the history information TRI based on the provision data, an image notifying error information received from the information recording server 100r, and the like.
  • the display 56 may have a touch panel function that accepts user operations.
  • the scanner 57 is a reading device that reads the attached label LB (see FIG. 1).
  • the scanner 57 includes, for example, an area sensor formed by a two-dimensional array of CCD elements.
  • the attached label LB is a paper medium, a film medium, etc. on which the two-dimensional code CDq is printed.
  • the two-dimensional code CDq is, for example, a QR code (registered trademark).
  • Item identification information UID is recorded in the two-dimensional code CDq.
  • the scanner 57 reads the two-dimensional code CDq printed on the attached label LB, and outputs the item identification information UID extracted from the two-dimensional code CDq to the control circuit 50c.
  • the two-dimensional code CDq may be displayed on a display device such as a display or electronic paper, or may be directly engraved or printed on the item IM using a laser marker, an inkjet printer, or the like.
  • the printer 58 is an output device that outputs the attached label LB.
  • the printer 58 prints a two-dimensional code CDq based on the item identification information UID provided by the information recording server 100r on a paper medium (such as a sticker) and outputs it as an attached label LB.
  • the attached label LB is attached to the outer surface of the item IM, for example, and distributed together with the item IM.
  • an attached label LB printed and issued in advance by the administrator ADM and supplied to the supplier SR may be distributed together with the item IM.
  • the above-mentioned laser marker or the like can be used as an output device instead of the printer 58.
  • the control circuit 50c of the reporter terminal 50 includes a processor 51, a RAM 52, a storage unit 53, an input/output interface 54, a bus connecting these, and the like, and functions as a computer that performs arithmetic processing.
  • the processor 51 is hardware for arithmetic processing coupled with the RAM 52.
  • the storage unit 53 stores an information management program for the reporter, a hashing application HAP, and the like. By executing programs, applications, etc. stored in the storage unit 53, the reporter terminal 50 has a data collection unit 61, an information reception unit 62, an ID output unit 63, a data generation unit 64, a data transmission unit 65, and a data management unit. 66 and other functional units (see FIG. 2).
  • the reporter terminal 50 performs reporter processing (see FIG. 4) through cooperation between each functional unit.
  • the data collection unit 61 acquires data of item identification information UID from the scanner 57 that reads the attached label LB of the item IM delivered to the supplier SR. In addition, the data collection unit 61 prepares reporter data as data to be hashed in the reporter process (see S31 in FIG. 4).
  • the reporter data is information collected and prepared on the supplier SR side, and is information related to the item IM shipped from the supplier SR.
  • the reporter data includes product information indicating the type of item IM (product) to be shipped, lot information indicating the lot of the product, etc. (see FIG. 5).
  • the data collection unit 61 may automatically acquire reporter data from another server device installed at the supplier SR's base, or may automatically acquire reporter data manually input by a supplier SR worker according to a predefined management process. may be obtained.
  • the information receiving unit 62 requests the issuing unit 31 to issue item identification information UID to be attached to the item IM shipped from the supplier SR.
  • the information receiving unit 62 receives the item identification information UID issued based on the issue request from the issuing unit 31 (see S12 in FIG. 3).
  • the information receiving section 62 pools the received item identification information UID group and provides the item identification information UID to the ID output section 63 and the data generating section 64 in accordance with the shipment of the item IM.
  • the information receiving unit 62 acquires dummy data used for determining the normal operation of the hashing application HAP from the information recording server 100r, and provides the data generating unit 64 with the dummy data.
  • the ID output unit 63 is connected to the printer 58.
  • the ID output unit 63 causes the printer 58 to output the attached label LB.
  • the ID output unit 63 uses the data of the item identification information UID provided from the information receiving unit 62 to generate a two-dimensional code CDq recording the item identification information UID.
  • the ID output unit 63 outputs print data including the two-dimensional code CDq to the printer 58, and causes the printer 58 to print the attached label LB. Note that, as described above, in the case where the attached label LB on which the item identification information UID is printed is provided by the administrator ADM, the ID output section 63 and the printer 58 do not need to be provided in the reporter terminal 50.
  • the data generation unit 64 uses the reporter data collected by the data collection unit 61 to generate transmission data to be uploaded to the information recording server 100r.
  • the data generation unit 64 transmits the reporter data including the history information TRI to the hashing application HAP and generates a hash value HV (see S32 in FIGS. 3 and 4). Further, the data generation unit 64 generates additional data to be added to the hash value HV (see S33).
  • the data generation unit 64 prepares application information related to the hashed application HAP and item information related to the item IM as additional data.
  • the application information includes, for example, information indicating the version of the hashing application HAP in operation, information indicating the provider of the hashing application HAP, and the like.
  • the data generation unit 64 acquires item identification information UID from the information reception unit 62.
  • the data generation unit 64 generates transmission data by linking the acquired item identification information UID with the hash value HV and the additional data (see S34).
  • the hash value HV and additional data included in the transmission data are displayed on the display 56 for confirmation by the operator (see S35). At this time, an inquiry may be made to the worker as to whether or not he or she agrees to the transmission.
  • the data transmission unit 65 controls the transmission of information from the reporter terminal 50 to the information recording server 100r.
  • the data transmitter 65 transmits, for example, a hash value based on dummy data to the information recording server 100r.
  • the data transmitter 65 transmits transmission data based on the reporter data to the information recording server 100r, which is the destination linked to the administrator ADM (see S36 in FIGS. 3 and 4). .
  • the data transmitter 65 is connected to the data logger 59.
  • the data logger 59 records a transmission log of data transmitted to the information recording server 100r.
  • the data logger 59 provides the data management unit 66 with a backup of the transmission data transmitted to the information recording server 100r, together with the transmission log.
  • the transmission log records information indicating what kind of data was transmitted to which destination.
  • the function of the data logger 59 does not need to be provided on the supplier SR side. It may be provided in a shared area established based on the agreement of the supplier SR and the administrator ADM. Furthermore, the function of the data logger 59 may be provided in a part of the administrator's area (traceability management system 100) established based on the agreement of the supplier SR and the administrator ADM.
  • the data logger 59 has a checker section 69.
  • the checker unit 69 checks whether transmission data having the same content as the backup has been transmitted to the information recording server 100r.
  • the checker unit 69 records information indicating that the backup provided to the data management unit 66 and the transmission data transmitted to the information recording server 100r have the same content in the transmission log provided to the data management unit 66. . Only when the checker unit 69 determines that the two data have the same content, the data logger 59 normally ends the data transmission. If it is determined that the two pieces of data have the same content, the data logger 59 may send an error notification to at least one of the information recording server 100r and the data management unit 66.
  • the data management unit 66 is connected to the reporter database SDB.
  • the data management unit 66 manages data accumulated in the reporter database SDB.
  • the reporter database SDB stores reporter data such as history information TRI, which is the source data of the transmission data.
  • the reporter database SDB may be a local storage device provided at the base of the supplier SR, or may be a storage on the cloud.
  • the data management unit 66 performs processing related to information accumulation in the reporter database SDB and information extraction from the reporter database SDB.
  • the data management unit 66 acquires the transmission log of the transmission data from the data logger 59 (see S37 in FIG. 4). In addition, the data management unit 66 prepares a backup of the transmitted data by acquiring information from the data logger 59 (see S38 in FIGS. 3 and 4). Furthermore, the data management unit 66 further prepares confirmation information used to confirm that the backup has not been altered (see S39).
  • the confirmation information is information related to the fraud prevention function provided in the reporter terminal 50.
  • the data management unit 66 generates a file number and hashed data, which will be described later, as confirmation information.
  • the data management unit 66 stores the backup, confirmation information, and transmission log in the reporter database SDB in association with the reporter data (see S40).
  • the data management unit 66 accepts a provision request from the information inquiry server 100i.
  • the provision request is carried out by the supplier SR and finished product manufacturer MF located on the post-process side (downstream side) in the supply chain SC (see FIG. 1), as well as the supply chain SC manager ADM and the supervisory authority.
  • the end user US, the secondary user U2, and the recycler RC may be the parties implementing the provision request.
  • the provision request is made for the purpose of requesting the disclosure of historical information TRI related to the item IM, confirming the validity of the disclosed information, and other purposes.
  • the data management unit 66 grasps the item identification information UID notified with the provision request, and extracts history information TRI (reporter data) linked to the item identification information UID from the reporter database SDB.
  • the data management unit 66 provides the extracted history information TRI and the like to the information inquiry server 100i.
  • the data management unit 66 assigns a file number to the backup of the transmission data generated from the reporter data.
  • the file number is a continuous management number with a predetermined number of digits, and is confirmation information used to confirm that the backup has not been deleted.
  • the data management unit 66 uses the backup to which the file number has been assigned as management data.
  • one file number is associated with item identification information UID, additional data including item information and application information, and a hash value HV.
  • the data management unit 66 generates accumulated data (see FIG. 5) to be accumulated in the reporter database SDB by combining the management data with the reporter data that is the source data for backup.
  • the data management unit 66 further generates hashed data by hashing the backup (management data) using a hash function.
  • the hashed data is confirmation information used to confirm that the contents of the backup have not been tampered with.
  • the data management unit 66 may use the hashing application HAP to generate the hashed data, or may use a hash function (for example, SHA-256, etc.) different from the hashing application HAP.
  • the data management unit 66 generates values obtained by hashing each of the file number, item identification information UID, additional data, and hash value HV as hashed data (see FIG. 6).
  • the data management unit 66 can generate hashed data by hashing the reporter data in combination with backup.
  • the data management unit 66 inputs the reporter data, file number, additional data, item identification information UID, and hash value HV into a hash function individually, and obtains each hashed value. Furthermore, the data management unit 66 divides each hashed value into two (see FIG. 7).
  • the first half and second half of the value obtained by hashing the reporter data will be written as "Report-01” and "Report-02", respectively, and the first half of the value obtained by hashing the file number. and the latter half are respectively written as "Fur-01” and "Fur-02".
  • the first half and the second half of the hashed value of the additional data are written as "Attachment-01” and "Attachment-02", respectively, and the first half and the second half of the hashed value of the item identification information UID are They will be written as "U-01" and "U-02" respectively.
  • the first half and the second half of the hashed value of the hash value HV are written as "H-01" and "H-02", respectively.
  • the data management unit 66 Based on the hashed value of the reporter data, the data management unit 66 further hashes a character string that is a combination of other hashed values (see FIG. 8). Specifically, the value obtained by inputting the character strings "Re-01", “F-01”, “Re-02", and “F-02" in order into a hash function is the value of the hashed file number. be done. Similarly, the value obtained by inputting the character strings ⁇ Re-01'', ⁇ Re-01'', ⁇ Re-02'', and ⁇ Re-02'' into a hash function is the value of the hashed additional data. Ru.
  • the value obtained by inputting the character strings "Re-01”, “U-01”, “Re-02”, and “U-02” in order into a hash function is the value of the hashed item identification information UID. be done.
  • the value obtained by inputting the character strings "H-01”, “H-01”, “H-02”, and “H-02” in order into the hash function is the value of the hashed hash value HV. Ru.
  • the data management unit 66 combines each hashed value (hashed data) with the reporter data and stores it in the reporter database SDB as confirmation data.
  • the data management unit 66 changes the content of the process of hashing reporter data based on a predetermined trigger.
  • the data management unit 66 changes the method of dividing the hashed values, the way of arranging the divided values (character strings), the method of hashing the rearranged values, etc. based on a predetermined trigger.
  • the data management unit 66 changes the pattern of the hashing process using, for example, a predetermined trigger such as the passage of a predetermined period, a change in date and time, or a change in the version of the hashing application HAP.
  • the data management unit 66 records a pattern identifier indicating the applied hashing process pattern in the confirmation data (see FIG. 8).
  • the hashing process described above is referred to as "pattern 1" hashing process.
  • the data management unit 66 individually hashes the reporter data, file number, additional data, item identification information UID, and hash value HV, and each hashed value is Divide each into four (see Figure 10). Through such processing, "Report-01” to "Report-04” and “Fur-01” to “Fur-04” are prepared.
  • the data management unit 66 generates each hashed value by rearranging the divided values in ascending order and inputting them into a hash function. Specifically, “Fu-01”, “Fur-01”, “Fur-02”, “Fur-02”, “Fur-03”, “Fur-03”, “Fur-04”, “Fur- The value obtained by inputting the character strings arranged in order of "04" into a hash function is taken as the value of the hashed file number (see FIG. 11).
  • the data management unit 66 performs a similar hashing process on the additional data, item identification information UID, and hash value HV, and generates a hashed value for each item.
  • the data management unit 66 can verify whether or not the management data (backup) stored in the reporter database SDB has been altered by comparing it with the hashed confirmation data (see FIG. 6).
  • the confirmation data since the management data is hashed for each value (item), the data management unit 66 can detect which part has been tampered with.
  • the data management unit 66 hashes each value of the management data using the same hashing process used to generate the hashed data.
  • the data management unit 66 checks whether each hashed value is different from each value stored as confirmation data.
  • the hash value of the item identification information UID recalculated from the management data will be the value registered in the item identification information UID in the confirmation data. different. Based on the difference in values, the data management unit 66 identifies the tampered part of the management data.
  • the data management unit 66 estimates that there is a high possibility that the reporter data has been tampered with.
  • the data management unit 66 prohibits editing of stored data in order to prevent falsification by feigning negligence.
  • the data management unit 66 confirms the intention of the operator and adds an intention confirmation record to record the details of the applied change to the accumulated data.
  • the details of the change action for example, deletion, etc.
  • the date and time of the change for example, suspension of shipment, damage during transportation, etc.
  • the operator who made the change are recorded (see Figure 12).
  • the data management unit 66 starts a change recording process based on the start of the change work by the operator, and grasps the contents of the changes made to the accumulated data (backup).
  • the data management unit 66 generates an intention confirmation record based on the grasped change details.
  • the data management unit 66 stores the generated intention confirmation record in the reporter database SDB in association with accumulated data including backup.
  • confirmation information used to confirm that the backup (management data) of the transmitted data has not been altered is prepared and stored together with the backup in the reporter database SDB. Therefore, by using the confirmation information, it is possible to confirm that the backup has been altered.
  • a backup of the transmitted data is left on the supplier SR side, which is the reporter. Therefore, if the administrator ADM extracts transmission data (data to be stored), the occurrence of such extraction can be verified using the reporter's backup. Furthermore, if it is possible to verify that there is no alteration of the backup on the reporter's side using the confirmation information, it is also possible to verify that the transmitted data is not extracted by the administrator ADM from the backup and confirmation information on the reporter's side. It becomes provable. According to the above, the fact that no unauthorized data extraction has been performed can be shared between the administrator ADM and the reporter.
  • a file number as a consecutive management number is given to the backup stored in the reporter database SDB as confirmation information. Therefore, even if the backup stored in the reporter database SDB is deleted together with the reporter data, the reporter terminal 50 can detect deletion of the backup based on the fact that the file numbers are not consecutive. According to the above, since it can be confirmed that no unauthorized data deletion has been performed, it becomes possible to use the accumulated data stored in the reporter database SDB as evidence at the time of auditing regarding the record maintenance status.
  • hashed data is generated by hashing the backup using a hash function as confirmation information. Therefore, even if a specific item of the backup stored in the reporter database SDB is changed, it is possible to detect that it has been tampered with based on a comparison with the hashed confirmation data.
  • values obtained by individually hashing each backup item are registered in the confirmation data table. Therefore, in the backup (management data) verification process, it is possible to determine which items of the management data have been tampered with, based on individual comparisons between the hash value recalculated for verification and the hashing registered in the confirmation data. It becomes possible to identify whether there is
  • hashed data is generated by hashing the reporter data in combination with the backup. Therefore, it is possible to confirm whether the reporter data stored in the reporter database SDB has been tampered with using the backup hashed data.
  • the content of the process of hashing the backup is changed arbitrarily or periodically. These pattern changes improve resistance to leaks and speculation. Therefore, it is possible to avoid a situation where both the backup and the hashed data are tampered with so that they are consistent with each other, and the backup tampering detection using the hashed data becomes inoperable. As a result, the backup security level can be maintained at a high level.
  • the data management unit 66 acquires a transmission log that records that transmission data with the same content as the backup was transmitted to the transmission destination.
  • the data management unit 66 stores the transmission log in a database together with a backup. Therefore, based on the transmission log, it is possible to prove that the administrator ADM did not extract the transmission data in a manner that the supplier SR (sending side) did not intend or was not aware of.
  • an intention confirmation record that records the details of the change made to the backup is stored in association with the backup.
  • the reporter terminal 50 corresponds to an "information management device”
  • the control circuit 50c corresponds to a "computer”
  • the data management section 66 corresponds to a "data storage section.”
  • the reporter database SDB corresponds to a "database”
  • the information recording server 100r corresponds to a "destination”
  • the intention confirmation record corresponds to a "change record.”
  • the reporter terminal 50 according to the second embodiment of the present disclosure shown in FIG. 13 is capable of detecting diversion of history information TRI by the supplier SR.
  • the details of the operations of the data collection unit 61 and data generation unit 64 in the reporter process of the second embodiment will be described below based on FIG. 13 and with reference to FIGS. 1, 2, and 4.
  • the data collection unit 61 prepares reporter data including history body data and history metadata (see S31).
  • the history main body data is information recorded on the supplier SR side, and includes product information, lot information, history information TRI, etc., like the reporter data of the first embodiment.
  • the main body of the history data is to be detected as to whether it has been copied or used.
  • History metadata is information attached to history main data.
  • the history metadata includes, for example, information indicating the date and time when the history body data was generated or registered. The content of history metadata changes depending on the timing of creation.
  • the data generation unit 64 acquires history body data and history metadata from the data collection unit 61 as reporter data.
  • the data generation unit 64 calculates a first hash value obtained by hashing unprocessed data that does not include historical metadata, and a second hash value obtained by hashing unprocessed data that includes at least historical metadata.
  • the data generation unit 64 transmits the history body data to the hashing application HAP (see S32 in FIGS. 4 and 13), and generates a first hash value. Further, the data generation unit 64 transmits the history metadata to the hashing application HAP (see S32), and generates a second hash value. The data generation unit 64 may generate the second hash value by transmitting unprocessed data including both the history body data and the history metadata to the hashing application HAP.
  • the data generation unit 64 generates transmission data by linking the first hash value, the second hash value, and additional data to the item identification information UID acquired from the information reception unit 62 (see S34). As described above, the transmission data including the first hash value and the second hash value is transmitted to the information recording server 100r via the data logger 59. Further, a backup including the first hash value and the second hash value is stored in the reporter database SDB as management data.
  • the confirmation information is stored in the reporter database SDB together with the backup, so the same effect as in the first embodiment is achieved, and it is possible to confirm that the backup has been modified.
  • the reporter data prepared by the data collection unit 61 includes history main data recorded on the supplier SR side and history metadata attached to the history main data. .
  • the data management unit 66 then generates a first hash value obtained by hashing the history body data using a hash function, and a second hash value obtained by hashing the unprocessed data including at least history metadata using a hash function. is generated as information included in the transmission data.
  • the history body data divided from the history metadata is hashed and the first hash value is generated, when the history body data is copied and used for another item IM, multiple item identification information UID
  • the first hash values associated with are the same value. Therefore, by monitoring whether the respective first hash values are different from each other, it is possible to detect illegal diversion of the history body data by a malicious supplier SR.
  • the second hash value based on the history metadata is generated separately from the first hash value and stored in the BC database BDB and the reporter database SDB, it is also possible to verify whether the history metadata has been tampered with.
  • the process of detecting data diversion may be performed by the information recording server 100r that has acquired the transmitted data, or may be performed by the data management unit 66 when saving a backup.
  • the process of hashing the reporter data in combination with the backup may be omitted.
  • Modification 1 of the above embodiment only consecutive file numbers are assigned.
  • the assignment of file numbers is omitted, and only the process of registering a hashed value of the backup in the confirmation data table is performed.
  • the aspect of the item identification information UID in the above embodiment specifically, the number of digits of the character string, the number and type of information embedded in the item identification information UID, etc. may be changed as appropriate.
  • a one-dimensional code such as a barcode recording the item identification information UID may be printed on the attached label LB.
  • the item identification information UID may be recorded as electronic data on a recording medium such as an RFID (radio frequency identifier) or a microchip attached to the item IM.
  • a reader and a writer are connected to the reporter terminal 50 as reading equipment and output equipment.
  • the reader reads item identification information UID recorded as electronic data on the storage medium and outputs it to the control circuit 50c.
  • the writer writes electronic data of the item identification information UID generated by the control circuit 50c onto the storage medium.
  • hash functions may be used to generate the hash value HV in the above embodiment.
  • a hash function has the property that it never outputs the same hash value from different inputs, and that it is virtually impossible to infer the input from the output hash values.
  • encryption algorithms such as SHA-256, SHA-1, SHA-2, and SHA-3 can be used as appropriate depending on the required output length (number of bits). be.
  • each function provided by the reporter terminal 50 and each server 100r, 100i may be provided by software and hardware that executes it, only software, only hardware, or a complex combination thereof. Available. If these functions are provided by electronic circuits as hardware, each function can also be provided by digital circuits that include multiple logic circuits, or by analog circuits.
  • Each processor in the above embodiments may include at least one arithmetic core such as a CPU (Central Processing Unit) and a GPU (Graphics Processing Unit). Furthermore, the processor may further include an FPGA (Field-Programmable Gate Array), an IP core with other dedicated functions, and the like.
  • arithmetic core such as a CPU (Central Processing Unit) and a GPU (Graphics Processing Unit).
  • the processor may further include an FPGA (Field-Programmable Gate Array), an IP core with other dedicated functions, and the like.
  • the form of the storage medium (non-transitory tangible storage medium) that is employed as each storage unit in the above embodiments and stores each program related to realizing the information management method of the present disclosure may also be changed as appropriate.
  • the storage medium is not limited to a configuration provided on a circuit board, but may be provided in the form of a memory card or the like, inserted into a slot portion, and electrically connected to a computer bus.
  • the storage medium may be an optical disk, a hard disk drive, etc., which serve as a basis for copying the program to the computer.
  • control unit and its method described in the present disclosure may be implemented by a dedicated computer comprising a processor programmed to perform one or more functions embodied by a computer program.
  • the apparatus and techniques described in this disclosure may be implemented with dedicated hardware logic circuits.
  • the apparatus and techniques described in this disclosure may be implemented by one or more special purpose computers configured by a combination of a processor executing a computer program and one or more hardware logic circuits.
  • the computer program may also be stored as instructions executed by a computer on a computer-readable non-transitory tangible storage medium.
  • (Technical thought 1) An information management method that is implemented by a computer (50c) and manages information collected by a reporter (SR) under the control of an administrator (ADM), comprising: The process executed by at least one processor (51) includes: Transmitting transmission data based on reporter data prepared on the reporter side to a destination (100r) linked to the administrator (S36); Prepare a backup of the transmission data (S38), further preparing confirmation information used to confirm that the backup has not been altered (S39); storing the backup together with the confirmation information in the reporter database (SDB) (S40); An information management method that includes the steps of (Technical thought 2) The information management method according to technical idea 1, wherein consecutive management numbers are assigned to the backups stored in the database as the confirmation information.
  • the information management method according to any one of technical ideas 1 to 5, wherein in the step of storing the backup, the transmission log is stored in the database together with the backup.
  • the reporter data includes history body data recorded on the reporter side and history metadata attached to the history body data, A first hash value obtained by hashing the history body data using a hash function, and a second hash value obtained by hashing unprocessed data including at least the history metadata using a hash function, are added to the transmission data.
  • the information management method according to any one of technical ideas 1 to 6, further including the step of generating the information as included information (S32).
  • An information management device that manages information obtained by a reporter (SR) under the control of an administrator (ADM), a data transmitter (65) that transmits transmission data based on reporter data prepared on the reporter side to a destination (100r) linked to the administrator; Data storage for preparing a backup of the transmitted data, further preparing confirmation information used to confirm that the backup has not been altered, and storing the backup together with the confirmation information in the reporting person's database (SDB). part (66) and An information management device comprising:

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • Tourism & Hospitality (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Primary Health Care (AREA)
  • Marketing (AREA)
  • Human Resources & Organizations (AREA)
  • Economics (AREA)
  • Bioethics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Telephonic Communication Services (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

報告者端末(50)は、管理者(ADM)の管理下にあるサプライヤ(SR)にて収集される情報を管理する。報告者端末(50)にて実施される情報管理方法においては、サプライヤ(SR)側にて準備される報告者データに基づく送信データが、管理者(ADM)に紐づく情報記録サーバ(100r)に送信される。加えて、送信データのバックアップが準備されると共に、このバックアップが改変されていないことの確認に用いる確認用情報がさらに準備される。そして、バックアップは、確認用情報と共に報告者データベース(SDB)に格納される。

Description

情報管理方法及び情報管理装置 関連出願の相互参照
 この出願は、2022年6月27日に日本に出願された特許出願第2022-102989号を基礎としており、基礎の出願の内容を、全体的に、参照により援用している。
 この明細書による開示は、情報管理の技術に関する。
 特許文献1に開示されたサプライチェーン管理システムでは、サプライチェーンを構成する取引者にて取得されたアイテムの納入記録等の情報が、サプライチェーンを管理する管理者のデータ管理サーバに送信される。その結果、サプライチェーンにおける取引記録を、改ざん困難に蓄積することが可能になる。
国際公開第2021/002226号
 特許文献1のサプライチェーン管理システムにおいて、個々の取引者は、送信データのバックアップを自らのデータベースに残すことが可能である。しかし、取引者側のバックアップが改変された場合、改変の有無を確認することが困難となる。
 本開示は、バックアップが改変されたことを確認可能な情報管理方法及び情報管理装置の提供を目的とする。
 上記目的を達成するため、開示された一つの態様は、コンピュータによって実施され、管理者の管理下にある報告者にて収集される情報を管理する情報管理方法であって、少なくとも一つのプロセッサにて実行される処理に、報告者側にて準備される報告者データに基づく送信データを、管理者に紐づく送信先に送信し、送信データのバックアップを準備し、バックアップが改変されていないことの確認に用いる確認用情報をさらに準備し、確認用情報と共にバックアップを報告者のデータベースに格納する、というステップを含む情報管理方法とされる。
 また開示された一つの態様は、管理者の管理下にある報告者にて取得される情報を管理する情報管理装置であって、報告者側にて準備される報告者データに基づく送信データを、管理者に紐づく送信先に送信するデータ送信部と、送信データのバックアップを準備し、バックアップが改変されていないことの確認に用いる確認用情報をさらに準備し、確認用情報と共にバックアップを報告者のデータベースに格納するデータ格納部と、を備える情報管理装置とされる。
 これらの態様では、送信データのバックアップが改変されていないことの確認に用いる確認用情報が準備され、バックアップと共に報告者のデータベースに格納される。故に、確認用情報を用いることで、バックアップが改変されたことの確認が可能となる。
 尚、請求の範囲における括弧内の参照番号は、後述する実施形態における具体的な構成との対応関係の一例を示すものにすぎず、技術的範囲を何ら制限するものではない。また、特に組み合わせに支障が生じなければ、請求の範囲において明示していない請求項同士の組み合せも可能である。
本開示の第一実施形態によるトレーサビリティ管理の全体像を示す図である。 トレーサビリティ管理に関連するシステム及び端末等の電気的な構成を示すブロック図である。 情報記録サーバ及び報告者端末にて実施される主要な処理の全体像を示す図である。 報告者端末にて実施される報告者処理の詳細を示すフローチャートである。 報告者データベースに保存されるバックアップの一例を示す図である。 報告者データベースに保存される確認データの一例を示す図である。 確認データを生成する処理の1つのパターンを図8と共に示す図である。 確認データを生成する処理の1つのパターンを図7と共に示す図である。 確認データを生成する処理の別のパターンを図7と共に示す図である。 確認データを生成する処理のさらに別のパターンを図11と共に示す図である。 確認データを生成する処理のさらに別のパターンを図10と共に示す図である。 バックアップが変更された場合に記録される意思確認記録の一例を示す図である。 第二実施形態にて実施される主要な処理の全体像を示す図である。
 以下、複数の実施形態を図面に基づいて説明する。尚、各実施形態において対応する構成要素には同一の符号を付すことにより、重複する説明を省略する場合がある。各実施形態において構成の一部分のみを説明している場合、当該構成の他の部分については、先行して説明した他の実施形態の構成を適用することができる。また、各実施形態の説明において明示している構成の組み合わせばかりではなく、特に組み合わせに支障が生じなければ、明示していなくても複数の実施形態の構成同士を部分的に組み合せることができる。
 (第一実施形態)
 図1に示す本開示の第一実施形態におけるサプライチェーンSCは、工業製品、農業製品及び水産物等をエンドユーザUSに届けるための取引者同士の繋がりである。サプライチェーンSCは、複数のサプライヤSR及び完成品メーカーMF等を取引者として含むことによって構築されている。サプライチェーンSCによって供給される最終製品は、例えば自動車、バッテリ、半導体、生鮮食品、水産物、食品、花き類、医薬品、及び化学薬品等、種々の物品であってよい。
 一例として、工業製品をエンドユーザUSに届けるためのサプライチェーンSCでは、材料採掘業者、材料生産者及び加工業者等がサプライヤSRとして含まれている。各サプライヤSRは、バージン材及びリサイクル材等の原材料、又は(及び)前工程のサプライヤSRから納入されたアイテムIM等に対して加工等の処理を行い、別のアイテムIMとして次工程のサプライヤSR又は完成品メーカーMFに出荷する。サプライチェーンSCには、アイテムIM及び最終製品の流通に関連する運送業者及び販売業者等がさらに含まれていてもよい。加えて、最終製品を使用するエンドユーザUS、並びに最終製品のリユース、リビルド、リサイクル及び廃棄等を行う2次利用者U2及びリサイクル業者RC等が、サプライチェーンSCに含まれていてもよい。
 サプライチェーンSCは、管理者ADMによって管理される。管理者ADMは、例えば完成品メーカーMFから管理業務を委託された代行業者であってもよく、或いは最終製品の属するカテゴリに対し監督権限を持つ監督官庁又は監督官庁から管理及び監査の業務を委託された代行機関であってもよい。図1~図3に示すように、管理者ADMは、トレーサビリティ管理システム100を運用し、サプライチェーンSCにおいて記録された種々の情報を管理する。
 トレーサビリティ管理システム100は、報告者端末50、メーカー端末10a、及びユーザ端末10b等とネットワークを通じて通信可能である。最終製品(例えば、自動車等)が通信機能を有している場合、トレーサビリティ管理システム100は、最終製品とも通信可能であってよい。トレーサビリティ管理システム100は、ブロックチェーンBCの技術を利用した情報管理により、ネットワークを通じて取得した情報を実質的に改ざん不可能な状態で保存する。加えて、トレーサビリティ管理システム100は、管理者ADM(又は監督官庁)、エンドユーザUS及び完成品メーカーMF等の要求に応じて、個々のサプライヤSR等の管理下にある情報を収集し、要求元に開示する。
 報告者端末50は、サプライヤSRによって運用される情報処理装置である。報告者端末50は、個々のサプライヤSRに紐づいている。報告者端末50は、アイテムIMに関連する履歴情報TRI等を蓄積する。履歴情報TRIは、どのような取引会社(前工程のサプライヤSR)から原材料又は部品等を購入しているか、いつ取得したものなのか等の情報である。さらに、コストに関連する情報、及びアイテムIMの製造によって排出された温室効果ガスの排出量(カーボンフットプリント)等が、履歴情報TRIとして記録されてもよい。
 履歴情報TRIは、報告者端末50によって保管され、状況に応じて外部に開示される。例えば、アイテムIM又は最終製品に何らかの不具合が発生した場合又は発生する可能性がある場合、履歴情報TRIは、管理者ADMを通じて、他の取引者、完成品メーカーMF又はエンドユーザUS等に提供される。提供された履歴情報TRIは、不具合の原因調査等のために利用される。以上のように、履歴情報TRIの少なくとも一部は、アイテムIMのトレーサビリティを実現するための情報となる。
 報告者端末50は、アイテムIMを識別する固有の識別情報(以下、アイテム識別情報UID)の発行を、トレーサビリティ管理システム100から受ける。アイテム識別情報UIDは、互いに重複しない一意の識別子(unique identification)である。一例として、アイテム識別情報UIDは、32桁の文字列とされる。アイテム識別情報UIDは、部品等だけでなく、リサイクル材等にも発行されてよい。アイテム識別情報UIDは、サプライヤSRから出荷されるアイテムIMに添付され、アイテムIMと共に次工程の取引者に納入される。報告者端末50は、特定のアイテムIMについて、履歴情報TRIを含む元データから生成したハッシュ値HVを、発行されたアイテム識別情報UIDと関連付けて、トレーサビリティ管理システム100にアップロードする。
 メーカー端末10aは、完成品メーカーMFによって運用される情報処理装置である。メーカー端末10aは、最終製品を識別する製品識別情報PIDと、その最終製品に使用された1つ又は複数のアイテムIMのアイテム識別情報UIDとを紐づけるリンク情報LI(図1参照)を生成する。メーカー端末10aは、製品識別情報PID、アイテム識別情報UID、及びリンク情報LIをトレーサビリティ管理システム100にアップロードする。
 ユーザ端末10bは、エンドユーザUS、2次利用者U2又はリサイクル業者RCによって利用される情報処理装置である。例えば、スマートフォン又はタブレット端末等が、ユーザ端末10bとして利用可能である。ユーザ端末10bは、2次利用者U2又はリサイクル業者RCによって利用される場合、最終製品に使用されていたアイテムIMの利用態様の変更を示す変更情報XI(図1参照)を、トレーサビリティ管理システム100にアップロードする。例えば、アイテムIMの消失を示す変更情報XI、又はリンク情報LIの修正又は移管を要請する変更情報XI等がトレーサビリティ管理システム100に通知される。
 メーカー端末10a及びユーザ端末10bは、製品識別情報PID又はアイテム識別情報UIDを用いて、最終製品又はアイテムIMに関連する履歴情報TRIの開示を、トレーサビリティ管理システム100に要求可能である。メーカー端末10a及びユーザ端末10bは、トレーサビリティ管理システム100から履歴情報TRIを取得し、ディスプレイ等に表示する。以上のように、エンドユーザUS、2次利用者U2、リサイクル業者RC、及び完成品メーカーMFは、メーカー端末10a又はユーザ端末10bを照会端末10cとして利用し、履歴情報TRIを閲覧できる。
 次に、トレーサビリティ管理システム100及び報告者端末50の各詳細を、図1~図3に基づき、さらに説明する。
 トレーサビリティ管理システム100は、アプリ配信サーバ100a、情報記録サーバ100r、及び情報照会サーバ100iを備えている。各サーバ100a,100r,100iは、制御回路100cを主体とする情報処理装置である。制御回路100cは、プロセッサ11、RAM(Random Access Memory)12、記憶部13、入出力インターフェース14及びこれらを接続するバス等を備え、演算処理を実施するコンピュータとして機能する。プロセッサ11は、RAM12と結合された演算処理のためのハードウェアであり、記憶部13に格納されたプログラムを実行する。
 アプリ配信サーバ100aは、ハッシュ化アプリHAPを配信するサーバ装置として機能する。ハッシュ化アプリHAPは、各報告者端末50にインストールされるアプリケーションプログラムである。ハッシュ化アプリHAPは、各報告者端末50において、管理者ADMの指定するルールに基づき、履歴情報TRIを少なくとも含む報告者データをハッシュ化するハッシュ化処理を実施し、ハッシュ値HVを生成する。ハッシュ化アプリHAPは、定期的な更新により、トレーサビリティ管理におけるセキュリティの維持を可能にする。尚、ハッシュ化アプリHAPの配信は、報告者端末50を動作させるオペレーティングシステムのプラットフォーマーによって実施されてもよい。
 情報記録サーバ100rは、アイテムIMに関連した情報を管理する管理者ADM側の情報管理装置として機能する。情報記録サーバ100rは、管理者ADMの管理下にあるサプライヤSR等にて収集され、管理者ADM側に提出された種々の情報を管理する。情報記録サーバ100rは、記憶部13に格納された情報管理プログラムをプロセッサ11にて実行させることにより、発行部31及び格納部32等の機能部を有する(図2参照)。
 発行部31は、ID発行処理の実施により、各サプライヤSRに紐づく報告者端末50に、アイテム識別情報UIDを発行する(図3 S11参照)。発行部31は、サプライヤSR(報告者端末50)からの要請に応じてID発行処理を実施し、サプライヤSRが必要とする数のアイテム識別情報UIDを発行する。発行部31は、所定数のアイテム識別情報UIDを纏めて発行するバッチ処理、アイテム識別情報UIDを随時発行する処理、及びアイテム識別情報UIDを後発行する処理の少なくとも一つを実施可能である。詳記すると、報告者側となるサプライヤSRの生産計画等に基づく要請を受けた場合、発行部31は、こうした要請に応じて、必要となる一定件数のアイテム識別情報UIDを予め発行する。また、発行部31は、サプライヤSRでの保管対象データの発生毎にアイテム識別情報UIDの発番リクエストを受け付け、このリクエストに応じてアイテム識別情報UIDをオンデマンド発行する。さらに、発行部31は、報告者端末50によってアップロードされたデータ(ハッシュ値HV)であって、アイテム識別情報UIDが紐づいていないデータに対して、アイテム識別情報UIDを後発行する。この場合、管理者ADM側でのアイテム識別情報UIDの引当て実績の通知をうけて、アップロードされたデータは、後述の処理にて格納される。
 格納部32は、データ格納処理の実施により、報告者端末50から取得する情報をブロックチェーンデータベース(以下、BCデータベース)BDBに格納する。BCデータベースBDBは、アイテム識別情報UIDに紐づくハッシュ値HV及び付加データ等の保管対象データを、ブロックチェーンBCの技術を利用して実質的に改ざん不可能な状態で保管する。一例として、BCデータベースBDBは、取得した保管対象データをトランザクションとし、プライベート型又はコンソーシアム型のブロックチェーンBCのブロックに格納する。BCデータベースBDBは、一つのブロックに格納された情報をハッシュ化し、次のブロックに格納することで、各ブロックに格納された保管対象データの改ざんを困難にする。尚、ブロックチェーンBCの形式は、プライベート型及びコンソーシアム型に限定されない。別の一例では、パブリック型のブロックチェーンBCが利用される。具体的に、BCデータベースBDBは、保管対象データから生成したハッシュ値を、パブリック型のブロックチェーンBCのブロックに保存することで、保管対象データの改ざんを実質的に不可能にする。
 格納部32は、データ格納処理にて、報告者端末50から取得したハッシュ値HVの正当性を検証する。但し、報告者端末50にてハッシュ値HVの生成に使用された元データである履歴情報TRI等は、情報記録サーバ100rには提供されない。故に、格納部32は、正しいハッシュ化アプリHAPが報告者端末50にて使用されており、かつ、ハッシュ化アプリHAPが正常に稼動している場合に、ハッシュ値HVが正しい値であると判断する。
 具体的に、格納部32は、報告者端末50から取得する付加データのアプリ情報(後述する)に基づき、報告者端末50にて稼動するハッシュ化アプリHAPのバージョンをチェックする(図3 S51参照)。出所不明のアプリ、又は使用不可となった旧バージョン等、不適切なハッシュ化アプリHAPが報告者端末50にて使用されている場合、格納部32は、ハッシュ値HVの正当性を担保できない旨のNG判定を行う。
 格納部32は、報告者端末50にて適切なハッシュ化アプリHAPが使用されている場合、ハッシュ化アプリHAPが正常に稼動しているか否かをさらにチェックする(図3 S52参照)。情報記録サーバ100rは、履歴情報TRIの替わりにハッシュ化アプリHAPに投入する検証用のダミーデータを、報告者端末50に提供する。格納部32は、ダミーデータに基づく検証用のハッシュ値を報告者端末50から取得する。格納部32は、検証用のハッシュ値が正しい値である場合、ハッシュ化アプリHAPが正常に稼動しており、ハッシュ値HVの正当性を担保できる状態であると判定する。この場合、格納部32は、ハッシュ値HV及び付加データ等をアイテム識別情報UIDに紐づく状態でBCデータベースBDBに格納する(図3 S53参照)。以上により、保管対象データは、ブロックチェーンBCに登録された状態となる。
 情報照会サーバ100iは、メーカー端末10a及びユーザ端末10b等を照会端末10cとして利用した照会者への履歴情報TRI等の開示処理を実施するサーバ装置である。具体的に、情報照会サーバ100iは、照会端末10cから開示要求を受け付けると、開示要求と共に取得する製品識別情報PID又はアイテム識別情報UIDに基づき、履歴情報TRIの収集対象となるアイテム識別情報UIDを特定する。情報照会サーバ100iは、特定したアイテム識別情報UIDに基づき、履歴情報TRIの提供を要求するサプライヤSR(報告者端末50)を特定する。情報照会サーバ100iは、特定した各報告者端末50に履歴情報TRIの提供要求を送信し、各報告者端末50から履歴情報TRI等の元データの提供を受ける。情報照会サーバ100iは、各報告者端末50から取得した履歴情報TRIの改ざんの有無を確認する。情報照会サーバ100iは、改ざんされていないことが確認できた履歴情報TRIを用いて提供用のデータを生成し、生成した提供用データを開示要求の要求元である照会端末10cに提供する。
 以上の情報記録サーバ100r及び情報照会サーバ100iは、管理者ADM又はプラットフォーマー等によって物理的に管理されたオンプレミスなサーバ装置であってもよく、又はクラウド上に設けられた仮想の構成であってもよい。即ち、上述の各機能部は、制御回路100cに構築されるものに限定されず、管理者ADM又はプラットフォーマー等の委託を受けた第3者のサーバ内に構築されてよい。さらに、BCデータベースBDBも、クラウド上に設けられた仮想のファイルサーバ内に構築されてもよい。
 報告者端末50は、制御回路50cを主体とする構成であり、ディスプレイ56、スキャナ57、及びプリンタ58等と電気的に接続されている。ディスプレイ56、スキャナ57、及びプリンタ58の少なくとも一部は、報告者端末50と一体的な構成であってもよい。さらに、例えばエラー処理等のため、キーボード等の入力装置が報告者端末50に接続されていてもよい。
 ディスプレイ56は、液晶パネル又は有機ELパネル等を主体とする表示デバイスである。ディスプレイ56は、制御回路50cによる表示制御に基づき、種々の画像を画面に表示する。例えば、ディスプレイ56は、提供用データに基づく履歴情報TRIを提示する画像、情報記録サーバ100rから受信したエラー情報を通知する画像等を表示する。ディスプレイ56は、ユーザ操作を受け付けるタッチパネルの機能を有してもよい。
 スキャナ57は、添付ラベルLB(図1参照)を読み取る読取機器である。スキャナ57は、例えばCCD素子を2次元配列させてなるエリアセンサを含む構成である。添付ラベルLBは、2次元コードCDqが印刷されてなる紙媒体又はフィルム媒体等である。2次元コードCDqは、例えばQRコード(登録商標)等である。2次元コードCDqには、アイテム識別情報UIDが記録されている。スキャナ57は、添付ラベルLBに印刷された2次元コードCDqを読み取り、2次元コードCDqから抽出したアイテム識別情報UIDを制御回路50cに出力する。尚、2次元コードCDqは、ディスプレイ及び電子ペーパー等の表示デバイスに表示されてもよく、或いはレーザーマーカー又はインクジェットプリンタ等を用いてアイテムIMに直接刻印又は印字されていてもよい。
 プリンタ58は、添付ラベルLBを出力する出力機器である。プリンタ58は、情報記録サーバ100rより提供されたアイテム識別情報UIDに基づく2次元コードCDqを紙媒体(シール等)に印刷し、添付ラベルLBとして出力する。添付ラベルLBは、例えばアイテムIMの外表面に貼り付けられ、アイテムIMと共に流通する。尚、プリンタ58からのオンデマンド出力される添付ラベルLBに替えて、管理者ADMにて事前に印字発行され、サプライヤSRに支給された添付ラベルLBが、アイテムIMと共に流通してもよい。また、2次元コードCDqがアイテムIMに直接刻印又は印字される場合、プリンタ58に替えて、上述のレーザーマーカー等が出力機器として利用可能である。
 報告者端末50の制御回路50cは、プロセッサ51、RAM52、記憶部53、入出力インターフェース54及びこれらを接続するバス等を備え、演算処理を実施するコンピュータとして機能する。プロセッサ51は、RAM52と結合された演算処理のためのハードウェアである。記憶部53には、報告者側の情報管理プログラム及びハッシュ化アプリHAP等が格納されている。報告者端末50は、記憶部53に格納されたプログラム及びアプリ等の実行により、データ収集部61、情報受信部62、ID出力部63、データ生成部64、データ送信部65、及びデータ管理部66等の機能部を有する(図2参照)。報告者端末50は、各機能部の連携によって報告者処理(図4参照)を実施する。
 データ収集部61は、サプライヤSRに納入されたアイテムIMの添付ラベルLBを読み取ったスキャナ57から、アイテム識別情報UIDのデータを取得する。加えて、データ収集部61は、報告者処理において、報告者データをハッシュ化の対象データとして準備する(図4 S31参照)。報告者データは、サプライヤSR側にて収集により準備される情報であって、サプライヤSRから出荷されるアイテムIMに関連する情報である。報告者データには、履歴情報TRIに加えて、出荷されるアイテムIM(製品)の種別を示す製品情報、及び製品のロットを示すロット情報等が含まれている(図5参照)。データ収集部61は、サプライヤSRの拠点に設置された他のサーバ装置から報告者データを自動取得してもよく、予め規定された管理プロセスに従いサプライヤSRの作業者によって手動入力された報告者データを取得してもよい。
 情報受信部62は、サプライヤSRから出荷するアイテムIMに付属させるアイテム識別情報UIDの発行を、発行部31に要請する。情報受信部62は、発行要請に基づき発行されたアイテム識別情報UIDを発行部31から受領する(図3 S12参照)。情報受信部62は、受領したアイテム識別情報UID群をプールし、アイテムIMの出荷に合わせてID出力部63及びデータ生成部64にアイテム識別情報UIDを提供する。加えて情報受信部62は、ハッシュ化アプリHAPの正常稼動判定に用いるダミーデータを情報記録サーバ100rから取得し、データ生成部64に提供する。
 ID出力部63は、プリンタ58と接続されている。ID出力部63は、プリンタ58に添付ラベルLBを出力させる。ID出力部63は、情報受信部62から提供されるアイテム識別情報UIDのデータを用いて、アイテム識別情報UIDを記録した2次元コードCDqを生成する。ID出力部63は、2次元コードCDqを含む印刷データをプリンタ58に出力し、プリンタ58に添付ラベルLBを印刷させる。尚、上述したように、アイテム識別情報UIDを印字した添付ラベルLBが管理者ADMから支給される形態では、ID出力部63及びプリンタ58は、報告者端末50に設けられなくてもよい。
 データ生成部64は、データ収集部61にて収集された報告者データを用いて、情報記録サーバ100rにアップロードする送信データを生成する。データ生成部64は、報告者処理において、履歴情報TRIを含む報告者データをハッシュ化アプリHAPに送信し、ハッシュ値HVを生成する(図3及び図4 S32参照)。さらに、データ生成部64は、ハッシュ値HVに付加する付加データを生成する(S33参照)。データ生成部64は、ハッシュ化アプリHAPに関連するアプリ情報と、アイテムIMに関連するアイテム情報とを、付加データとして準備する。アプリ情報には、例えば稼動中のハッシュ化アプリHAPのバージョンを示す情報、ハッシュ化アプリHAPの提供者を示す情報等が含まれる。
 データ生成部64は、アイテム識別情報UIDを情報受信部62から取得する。データ生成部64は、取得したアイテム識別情報UIDに、ハッシュ値HV及び付加データを紐づけることにより、送信データを生成する(S34参照)。送信データに含まれるハッシュ値HV及び付加データは、作業者による確認のため、ディスプレイ56に表示される(S35参照)。このとき、送信に同意するか否かの問い合わせが、作業者に対して実施されてもよい。
 データ送信部65は、報告者端末50から情報記録サーバ100rへ向けた情報の送信を制御する。データ送信部65は、例えばダミーデータに基づくハッシュ値を情報記録サーバ100rへ向けて送信する。加えてデータ送信部65は、報告者処理において、報告者データに基づく送信データを、管理者ADMに紐づく送信先である情報記録サーバ100rへ向けて送信する(図3及び図4 S36参照)。
 データ送信部65は、データロガー59と接続されている。データロガー59は、情報記録サーバ100rに送信されるデータの送信ログを記録する。データロガー59は、情報記録サーバ100rに送信された送信データのバックアップを、送信ログと共にデータ管理部66に提供する。送信ログには、どの送信先にどういった内容のデータを送信したのかを示す情報が記録される。尚、データロガー59の機能は、サプライヤSR側に設けられなくてもよい。サプライヤSR及び管理者ADMの合意のもと設けられた共有領域に設けられていてもよい。さらに、データロガー59の機能は、サプライヤSR及び管理者ADMの合意のもと設けられた管理者側の領域(トレーサビリティ管理システム100)の一部に設けられていてもよい。
 データロガー59は、チェッカー部69を有している。チェッカー部69は、バックアップと同一内容の送信データが情報記録サーバ100rに送信されたことをチェックする。チェッカー部69は、データ管理部66に提供されるバックアップと、情報記録サーバ100rに送信した送信データとが同一内容であることを示す情報を、データ管理部66に提供される送信ログに記録する。チェッカー部69にて、2つのデータが同一内容であると判定された場合のみ、データロガー59は、データ送信を正常終了する。2つのデータが同一内容でなと判定された場合、データロガー59は、情報記録サーバ100r及びデータ管理部66の少なくとも一方にエラー通知を送信してもよい。
 データ管理部66は、報告者データベースSDBと接続されている。データ管理部66は、報告者データベースSDBに蓄積されたデータを管理する。報告者データベースSDBには、履歴情報TRI等、送信データの元データとなった報告者データが蓄積されている。報告者データベースSDBは、サプライヤSRの拠点に設けられたローカルな記憶装置であってもよく、又はクラウド上のストレージであってもよい。データ管理部66は、報告者データベースSDBへの情報蓄積、及び報告者データベースSDBからの情報抽出に関連する処理を実施する。
 データ管理部66は、報告者処理において、送信データの送信ログをデータロガー59から取得する(図4 S37参照)。加えて、データ管理部66は、データロガー59からの情報取得により、送信データのバックアップを準備する(図3及び図4 S38参照)。さらに、データ管理部66は、バックアップが改変されていないことの確認に用いる確認用情報をさらに準備する(S39参照)。確認用情報は、報告者端末50に設けられた不正防止機能に関連する情報である。データ管理部66は、確認用情報として、後述するファイルナンバー及びハッシュ化データを生成する。データ管理部66は、バックアップ、確認用情報、及び送信ログを、報告者データと紐づけて、報告者データベースSDBに格納する(S40参照)。
 データ管理部66は、情報照会サーバ100iからの提供要求を受け付ける。提供要求は、サプライチェーンSC(図1参照)において後工程側(下流側)に位置するサプライヤSR及び完成品メーカーMF、並びにサプライチェーンSCの管理者ADM及び監督官庁等によって実施される。エンドユーザUS、2次利用者U2及びリサイクル業者RCが、提供要求の実施者であってもよい。提供要求は、アイテムIMに関連する履歴情報TRIの開示請求、開示情報の正当性確認、及びその他の目的のため実施される。データ管理部66は、提供要求と共に通知されるアイテム識別情報UIDを把握し、アイテム識別情報UIDに紐づく履歴情報TRI(報告者データ)を、報告者データベースSDBから抽出する。データ管理部66は、抽出した履歴情報TRI等を情報照会サーバ100iに提供する。
 次に、報告者データベースSDBに保存されるバックアップ及び確認用情報の各詳細を、図5~図12に基づき、図1~図3を参照しつつ、さらに説明する。
 データ管理部66は、報告者データから生成された送信データのバックアップに、ファイルナンバーを付与する。ファイルナンバーは、所定の桁数の連続する管理番号であり、バックアップが削除されていないことの確認に用いられる確認用情報である。データ管理部66は、ファイルナンバーを付与したバックアップを管理用データとする。管理用データでは、1つのファイルナンバーに、アイテム識別情報UID、アイテム情報及びアプリ情報を含む付加データ、並びにハッシュ値HVが紐づけられる。データ管理部66は、管理用データを、バックアップの元データである報告者データと組み合わせることにより、報告者データベースSDBに蓄積する蓄積データ(図5参照)を生成する。
 データ管理部66は、ハッシュ関数を用いてバックアップ(管理用データ)をハッシュ化したハッシュ化データをさらに生成する。ハッシュ化データは、バックアップの内容が改ざんされていないことの確認に用いられる確認用情報である。データ管理部66は、ハッシュ化データの生成に、ハッシュ化アプリHAPを用いてもよく、ハッシュ化アプリHAPとは異なるハッシュ関数(例えば、SHA-256等)を用いてもよい。データ管理部66は、ファイルナンバー、アイテム識別情報UID、付加データ、及びハッシュ値HVをそれぞれハッシュ化した値をハッシュ化データとして生成する(図6参照)。
 データ管理部66は、セキュリティ向上のため、報告者データをバックアップと組み合わせてハッシュ化し、ハッシュ化データを生成可能である。データ管理部66は、報告者データ、ファイルナンバー、付加データ、アイテム識別情報UID、及びハッシュ値HVを、それぞれ個別にハッシュ関数に投入し、ハッシュ化された各値を取得する。さらに、データ管理部66は、ハッシュ化された値をそれぞれ2分割する(図7参照)。
 ここで、以下の説明では、報告者データをハッシュ化した値の前半部分及び後半部分を、それぞれ「報-01」及び「報-02」と記載し、ファイルナンバーをハッシュ化した値の前半部分及び後半部分を、それぞれ「ファ-01」及び「ファ-02」と記載する。また、付加データをハッシュ化した値の前半部分及び後半部分を、それぞれ「付-01」及び「付-02」と記載し、アイテム識別情報UIDをハッシュ化した値の前半部分及び後半部分を、それぞれ「U-01」及び「U-02」と記載する。さらに、ハッシュ値HVをハッシュ化した値の前半部分及び後半部分を、それぞれ「H-01」及び「H-02」と記載する。
 データ管理部66は、報告者データをハッシュ化した値をベースに、他のハッシュ化した値を組み合わせた文字列をさらにハッシュ化する(図8参照)。具体的に、「報-01」、「ファ-01」、「報-02」、「ファ-02」を順に並べた文字列をハッシュ関数に投入した値が、ハッシュ化したファイルナンバーの値とされる。同様に、「報-01」、「付-01」、「報-02」、「付-02」を順に並べた文字列をハッシュ関数に投入した値が、ハッシュ化した付加データの値とされる。また、「報-01」、「U-01」、「報-02」、「U-02」を順に並べた文字列をハッシュ関数に投入した値が、ハッシュ化したアイテム識別情報UIDの値とされる。さらに、「報-01」、「H-01」、「報-02」、「H-02」を順に並べた文字列をハッシュ関数に投入した値が、ハッシュ化したハッシュ値HVの値とされる。データ管理部66は、ハッシュ化した各値(ハッシュ化データ)を報告者データと組み合わせ、確認データとして報告者データベースSDBに保存する。
 データ管理部66は、報告者データをハッシュ化する処理の内容を、所定のトリガに基づき変更する。データ管理部66は、ハッシュ化した値の分割方法、分割した値(文字列)の並べ方、及び並べ替えた値をハッシュ化する手法等を、所定のトリガに基づき変更する。データ管理部66は、例えば、所定期間の経過、日時変更又はハッシュ化アプリHAPのバージョン変更等を所定のトリガとして、ハッシュ化処理のパターンを変更する。データ管理部66は、適用したハッシュ化処理のパターンを示すパターン識別子を、確認データに記録する(図8参照)。上述したハッシュ化処理は、便宜的に「パターン1」のハッシュ化処理とされる。
 ここで、データ管理部66にて実施されるハッシュ化処理の別パターンをさらに説明する。「パターン2」のハッシュ化処理(図9参照)では、「報-01」及び「ファ-01」をハッシュ化した値と、「報-02」及び「ファ-02」をハッシュ化した値とがそれぞれ生成される。そして、各値のマークルルートが、ハッシュ化したファイルナンバーの値とされる。同様に、「報-01」及び「付-01」と、「報-02」及び「付-02」とのマークルルートが、ハッシュ化した付加データの値とされる。また、「報-01」及び「U-01」と、「報-02」及び「U-02」とのマークルルートが、ハッシュ化したアイテム識別情報UIDの値とされる。さらに、「報-01」及び「H-01」と、「報-02」及び「H-02」とのマークルルートが、ハッシュ化したハッシュ値HVの値とされる。
 さらに、「パターン3」のハッシュ化処理にて、データ管理部66は、報告者データ、ファイルナンバー、付加データ、アイテム識別情報UID、及びハッシュ値HVを個別のハッシュ化し、ハッシュ化した各値をそれぞれ4分割する(図10参照)。こうした処理により、「報-01」~「報-04」及び「ファ-01」~「ファ-04」等が準備される。
 データ管理部66は、分割した値を昇順で組み換えて、ハッシュ関数に投入することで、ハッシュ化した各値を生成する。具体的には、「報-01」、「ファ-01」、「報-02」、「ファ-02」、「報-03」、「ファ-03」、「報-04」、「ファ-04」を順に並べた文字列をハッシュ関数に投入した値が、ハッシュ化したファイルナンバーの値とされる(図11参照)。データ管理部66は、付加データ、アイテム識別情報UID、及びハッシュ値HVについても同様のハッシュ化処理を実施し、各項目についてのハッシュ化した値を生成する。
 データ管理部66は、報告者データベースSDBに蓄積された管理用データ(バックアップ)に改変があったか否かを、ハッシュ化された確認データ(図6参照)との比較によって検証可能である。確認データでは、管理用データが値(項目)毎にハッシュ化されているため、データ管理部66は、どの部分が改竄されているかを検知できる。詳記すると、データ管理部66は、管理用データの検証処理にて、管理用データの各値を、ハッシュ化データを生成したときと同一のハッシュ化処理によってハッシュ化する。データ管理部66は、ハッシュ化した各値と、確認データとして保存されていた各値とが相違していないかをチェックする。
 一例として、管理用データのうちでアイテム識別情報UIDだけが改ざんされていた場合、管理用データから再算出したアイテム識別情報UIDのハッシュ値は、確認データのアイテム識別情報UIDに登録された値と異なる。こうした値の相違に基づき、データ管理部66は、管理用データの改ざん箇所を特定する。
 また別の一例として、報告者データが改ざんされていた場合、再算出された全ての項目のハッシュ値が、確認データに登録された値と異なってくる。故に、再算出された全ての値が確認データの値と整合しない場合、データ管理部66は、報告者データの改ざんの可能性が高いと推定する。
 データ管理部66は、過失を装った偽装を防止するため、蓄積データの編集を原則的に禁止する。データ管理部66は、蓄積データに何らかの変更を加える場合、作業者の意思確認を実施すると共に、適用された変更の詳細を記録する意思確認記録を、蓄積データに追加する。意思確認記録では、変更動作の内容(例えば、消去等)、変更日時、変更理由(例えば、出荷停止及び輸送時破損等)、及び変更を行った作業者等が記録される(図12参照)。データ管理部66は、作業者による変更作業の開始に基づき、変更記録処理を開始し、蓄積データ(バックアップ)に加えた変更の内容を把握する。データ管理部66は、把握した変更内容に基づき、意思確認記録を生成する。データ管理部66は、生成した意思確認記録を、バックアップを含む蓄積データに紐づけて報告者データベースSDBに保存する。
 ここまで説明した第一実施形態では、送信データのバックアップ(管理用データ)が改変されていないことの確認に用いる確認用情報が準備され、バックアップと共に報告者データベースSDBに格納される。故に、確認用情報を用いることで、バックアップが改変されたことの確認が可能となる。
 また第一実施形態では、送信データのバックアップが報告者であるサプライヤSR側に残される。故に、管理者ADMによる送信データ(保管対象データ)の抜き取りがあった場合、こうした抜き取りの発生が、報告者側のバックアップを用いて検証可能になる。さらに、報告者側でのバックアップの改変がないことを、確認用情報を用いて検証可能となれば、管理者ADMによる送信データの抜き取りがないことも、報告者側のバックアップ及び確認用情報から証明可能となる。以上によれば、不正なデータ抜き取りを行っていないことが、管理者ADM及び報告者の間で共有され得る。
 加えて第一実施形態では、確認用情報として、報告者データベースSDBに格納するバックアップに、連続する管理番号としてのファイルナンバーが付与される。故に、報告者データベースSDBに格納されたバックアップが報告者データと共に削除された場合であっても、報告者端末50は、ファイルナンバーが連続していないことに基づき、バックアップの削除を検知できる。以上によれば、不正なデータ消去を行っていないことが確認できるため、報告者データベースSDBに蓄積された蓄積データを、記録維持状況に関する監査時のエビデンスとして利用することが可能になる。
 また第一実施形態では、確認用情報として、ハッシュ関数を用いてバックアップをハッシュ化したハッシュ化データが生成される。故に、報告者データベースSDBに格納されたバックアップの特定項目が変更された場合でも、ハッシュ化された確認データとの比較に基づき、改ざんされていることが検知可能になる。
 さらに第一実施形態では、バックアップの各項目を個別にハッシュ化した値が、確認データのテーブルに登録されている。故に、バックアップ(管理用データ)の検証処理にて、検証用に再算出したハッシュ値と、確認データに登録されたハッシュ化との個別の比較に基づき、管理用データのどの項目が改ざんされているのかを特定することが可能になる。
 さらに第一実施形態では、報告者データをバックアップと組み合わせてハッシュ化したハッシュ化データが生成される。故に、報告者データベースSDBに保管された報告者データに改ざんがあったことも、バックアップのハッシュ化データを用いて確認することが可能になる。
 加えて第一実施形態では、バックアップをハッシュ化する処理の内容が、任意又は定期的に変更される。こうしたパターン変更が行われれば、漏洩及び推測への耐性が向上する。故に、バックアップとハッシュ化データの両方が互いに整合するよう改ざんされてしまい、ハッシュ化データを用いたバックアップの改ざん検知が機能しなくなる事態は回避され得る。その結果、バックアップのセキュリティレベルは、高く維持可能となる。
 また第一実施形態では、バックアップと同一内容の送信データが送信先に送信されたことを記録する送信ログが、データ管理部66によって取得される。データ管理部66は、送信ログをバックアップと共にデータベースに格納する。故に、送信ログに基づき、サプライヤSR(送信側)の意図しない形又は把握しない形での管理者ADM側での送信データの抜き取りのないことが証明可能となる。
 さらに第一実施形態では、バックアップに変更が加えられた場合に、バックアップに加えた変更の内容を記録する意思確認記録が、バックアップに紐づけて保存される。このように、意思確認を明確にしたうえで、変更内容が記録されることによれば、過失によるバックアップの消去と、悪意を持った意図的なバックアップの消去とが層別され得る。こうして、変更の履歴を追うことが可能になれば、蓄積データは、記録維持状況に関する監査時のエビデンスとして、いっそう有効となる。
 尚、上記第一実施形態では、報告者端末50が「情報管理装置」に相当し、制御回路50cが「コンピュータ」に相当し、データ管理部66が「データ格納部」に相当する。加えて、報告者データベースSDBが「データベース」に相当し、情報記録サーバ100rが「送信先」に相当し、意思確認記録が「変更記録」に相当する。
 (第二実施形態)
 図13に示す本開示の第二実施形態による報告者端末50では、サプライヤSRによる履歴情報TRIの流用の検知が可能となっている。以下、第二実施形態の報告者処理におけるデータ収集部61及びデータ生成部64の動作の詳細を、図13に基づき、図1,図2及び図4を参照しつつ説明する。
 データ収集部61は、履歴本体データ及び履歴メタデータを含む報告者データを準備する(S31参照)。履歴本体データは、サプライヤSR側にて記録される情報であり、第一実施形態の報告者データと同様に、製品情報、ロット情報及び履歴情報TRI等を含んでいる。履歴本体データが、複製及び流用されたか否かの検知対象となる。履歴メタデータは、履歴本体データに付帯する情報である。履歴メタデータは、例えば履歴本体データが生成又は登録された日時を示す情報を含んでいる。履歴メタデータは、作成されるタイミングによって内容が変化する。
 データ生成部64は、報告者データとして、履歴本体データ及び履歴メタデータをデータ収集部61から取得する。データ生成部64は、履歴メタデータを含まない処理前データをハッシュ化した第1ハッシュ値と、履歴メタデータを少なくとも含む処理前データをハッシュ化した第2ハッシュ値とを算出する。
 具体的に、データ生成部64は、履歴本体データをハッシュ化アプリHAPに送信し(図4及び図13 S32参照)、第1ハッシュ値を生成する。さらに、データ生成部64は、履歴メタデータをハッシュ化アプリHAPに送信し(S32参照)、第2ハッシュ値を生成する。データ生成部64は、履歴本体データ及び履歴メタデータの両方を含む処理前データをハッシュ化アプリHAPに送信することで、第2ハッシュ値を生成してもよい。
 データ生成部64は、情報受信部62から取得したアイテム識別情報UIDに、第1ハッシュ値、第2ハッシュ値及び付加データを紐づけることにより、送信データを生成する(S34参照)。以上により、第1ハッシュ値及び第2ハッシュ値を含む送信データが、データロガー59を経由して、情報記録サーバ100rに送信される。さらに、第1ハッシュ値及び第2ハッシュ値を含むバックアップが、管理用データとして、報告者データベースSDBに保存される。
 ここまで説明した第二実施形態でも、バックアップと共に確認用情報が報告者データベースSDBに格納されるため、第一実施形態と同様の効果を奏し、バックアップが改変されたことの確認が可能となる。
 加えて第二実施形態では、データ収集部61にて準備される報告者データに、サプライヤSR側にて記録される履歴本体データと、履歴本体データに付帯する履歴メタデータとが含まれている。そして、データ管理部66は、ハッシュ関数を用いて履歴本体データをハッシュ化した第1ハッシュ値と、履歴メタデータを少なくとも含む処理前データを、ハッシュ関数を用いてハッシュ化した第2ハッシュ値とを、送信データに含む情報として生成する。
 以上のように、履歴メタデータから分割した履歴本体データをハッシュ化し、第1ハッシュ値を生成すれば、履歴本体データをコピーし、他のアイテムIMに流用した場合に、複数のアイテム識別情報UIDに紐づく第1ハッシュ値が同一の値となる。故に、各第1ハッシュ値が互いに相違しているか否かの監視により、悪意あるサプライヤSRでの履歴本体データの不正な流用が検知可能となる。
 また、履歴メタデータに基づく第2ハッシュ値が第1ハッシュ値とは別に生成され、BCデータベースBDB及び報告者データベースSDBに保管されるため、履歴メタデータの改ざんの検証も可能になる。尚、データ流用を検知する処理は、送信データを取得した情報記録サーバ100rにて実施されてもよく、又はバックアップの保存に際してデータ管理部66により実施されてもよい。
 (他の実施形態)
 以上、本開示の複数の実施形態について説明したが、本開示は、上記実施形態に限定して解釈されるものではなく、本開示の要旨を逸脱しない範囲内において種々の実施形態及び組み合わせに適用することができる。
 上記第一実施形態において、報告者データをバックアップと組み合わせてハッシュ化する処理は、省略されてもよい。例えば、上記実施形態の変形例1では、連続するファイルナンバーの付与のみが実施される。反対に、上記実施形態の変形例2では、ファイルナンバーの付与が省略され、バックアップをハッシュ化した値を確認データデーブルに登録する処理のみが実施される。
 上記実施形態におけるアイテム識別情報UIDの態様、具体的には、文字列の桁数や、アイテム識別情報UIDに埋め込まれる情報の数及び種類等は、適宜変更されてよい。また、添付ラベルLBには、2次元コードCDqに替えて、アイテム識別情報UIDを記録したバーコード等の1次元コードが印刷されていてもよい。さらに、アイテム識別情報UIDは、アイテムIMに添付されるRFID(radio frequency identifier)又はマイクロチップ等の記録媒体に電子データとして記録されていてもよい。
 尚、RFID又はマイクロチップ等にアイテム識別情報UIDが記録される変形例において、報告者端末50には、読取機器及び出力機器としてリーダ及びライタが接続される。リーダは、記憶媒体に電子データとして記録されたアイテム識別情報UIDを読み出し、制御回路50cに出力する。ライタは、制御回路50cによって生成されたアイテム識別情報UIDの電子データを、記憶媒体に書き込む。
 上記実施形態のハッシュ値HVの生成には、種々のハッシュ関数が利用されてよい。ハッシュ関数は、違う入力から同一のハッシュ値を出力することがなく、且つ、出力されたハッシュ値から入力を推測することが実質不可能という特性を有する。こうした特性を有していれば、例えば、SHA-256、SHA-1、SHA-2及びSHA-3等の暗号化アルゴリズムが、必要とされる出力長(ビット数)に合わせて適宜使用可能である。
 上記実施形態にて、報告者端末50及び各サーバ100r,100iによって提供されていた各機能は、ソフトウェア及びそれを実行するハードウェア、ソフトウェアのみ、ハードウェアのみ、あるいはそれらの複合的な組合せによっても提供可能である。こうした機能がハードウェアとしての電子回路によって提供される場合、各機能は、多数の論理回路を含むデジタル回路、又はアナログ回路によっても提供可能である。
 上記実施形態の各プロセッサは、CPU(Central Processing Unit)及びGPU(Graphics Processing Unit)等の演算コアを少なくとも一つ含む構成であってよい。さらに、プロセッサは、FPGA(Field-Programmable Gate Array)及び他の専用機能を備えたIPコア等をさらに含む構成であってよい。
 上記実施形態の各記憶部として採用され、本開示の情報管理方法の実現に関連した各プログラムを記憶する記憶媒体(non-transitory tangible storage medium)の形態も、適宜変更されてよい。例えば記憶媒体は、回路基板上に設けられた構成に限定されず、メモリカード等の形態で提供され、スロット部に挿入されて、コンピュータのバスに電気的に接続される構成であってよい。さらに、記憶媒体は、コンピュータへのプログラムのコピー基となる光学ディスク及びのハードディスクドライブ等であってもよい。
 本開示に記載の制御部及びその手法は、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサを構成する専用コンピュータにより、実現されてもよい。あるいは、本開示に記載の装置及びその手法は、専用ハードウェア論理回路により、実現されてもよい。もしくは、本開示に記載の装置及びその手法は、コンピュータプログラムを実行するプロセッサと一つ以上のハードウェア論理回路との組み合わせにより構成された一つ以上の専用コンピュータにより、実現されてもよい。また、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されていてもよい。
 (技術的思想の開示)
 この明細書は、以下に列挙する複数の項に記載された複数の技術的思想を開示している。いくつかの項は、後続の項において先行する項を択一的に引用する多項従属形式(a multiple dependent form)により記載されている場合がある。さらに、いくつかの項は、他の多項従属形式の項を引用する多項従属形式(a multiple dependent form referring to another multiple dependent form)により記載されている場合がある。これらの多項従属形式で記載された項は、複数の技術的思想を定義している。
 (技術的思想1)
 コンピュータ(50c)によって実施され、管理者(ADM)の管理下にある報告者(SR)にて収集される情報を管理する情報管理方法であって、
 少なくとも一つのプロセッサ(51)にて実行される処理に、
 前記報告者側にて準備される報告者データに基づく送信データを、前記管理者に紐づく送信先(100r)に送信し(S36)、
 前記送信データのバックアップを準備し(S38)、
 前記バックアップが改変されていないことの確認に用いる確認用情報をさらに準備し(S39)、
 前記確認用情報と共に前記バックアップを前記報告者のデータベース(SDB)に格納する(S40)、
 というステップを含む情報管理方法。
 (技術的思想2)
 前記確認用情報として、前記データベースに格納する前記バックアップに、連続する管理番号を付与する技術的思想1に記載の情報管理方法。
 (技術的思想3)
 前記確認用情報として、ハッシュ関数を用いて前記バックアップをハッシュ化したハッシュ化データを生成する技術的思想1又は2に記載の情報管理方法。
 (技術的思想4)
 前記報告者データを前記バックアップと組み合わせてハッシュ化した前記ハッシュ化データを生成する技術的思想3に記載の情報管理方法。
 (技術的思想5)
 前記バックアップをハッシュ化する処理の内容を変更する、というステップをさらに含む技術的思想3又は4に記載の情報管理方法。
 (技術的思想6)
 前記バックアップと同一内容の前記送信データが前記送信先に送信されたことを記録する送信ログを取得する(S37)、というステップをさらに含み、
 前記バックアップを格納するステップでは、前記送信ログを前記バックアップと共に前記データベースに格納する技術的思想1~5のいずれか一項に記載の情報管理方法。
 (技術的思想7)
 前記報告者データには、前記報告者側にて記録される履歴本体データと、前記履歴本体データに付帯する履歴メタデータとが含まれており、
 ハッシュ関数を用いて前記履歴本体データをハッシュ化した第1ハッシュ値と、前記履歴メタデータを少なくとも含む処理前データを、ハッシュ関数を用いてハッシュ化した第2ハッシュ値とを、前記送信データに含む情報として生成する(S32)、というステップをさらに含む技術的思想1~6のいずれか一項に記載の情報管理方法。
 (技術的思想8)
 前記バックアップに変更が加えられた場合に、前記バックアップに加えた変更の内容を記録した変更記録を前記バックアップに紐づけて前記データベースに保存する、というステップをさらに含む技術的思想1~7のいずれか一項に記載の情報管理方法。
 (技術的思想9)
 管理者(ADM)の管理下にある報告者(SR)にて取得される情報を管理する情報管理装置であって、
 前記報告者側にて準備される報告者データに基づく送信データを、前記管理者に紐づく送信先(100r)に送信するデータ送信部(65)と、
 前記送信データのバックアップを準備し、前記バックアップが改変されていないことの確認に用いる確認用情報をさらに準備し、前記確認用情報と共に前記バックアップを前記報告者のデータベース(SDB)に格納するデータ格納部(66)と、
 を備える情報管理装置。

Claims (9)

  1.  コンピュータ(50c)によって実施され、管理者(ADM)の管理下にある報告者(SR)にて収集される情報を管理する情報管理方法であって、
     少なくとも一つのプロセッサ(51)にて実行される処理に、
     前記報告者側にて準備される報告者データに基づく送信データを、前記管理者に紐づく送信先(100r)に送信し(S36)、
     前記送信データのバックアップを準備し(S38)、
     前記バックアップが改変されていないことの確認に用いる確認用情報をさらに準備し(S39)、
     前記確認用情報と共に前記バックアップを前記報告者のデータベース(SDB)に格納する(S40)、
     というステップを含む情報管理方法。
  2.  前記確認用情報として、前記データベースに格納する前記バックアップに、連続する管理番号を付与する請求項1に記載の情報管理方法。
  3.  前記確認用情報として、ハッシュ関数を用いて前記バックアップをハッシュ化したハッシュ化データを生成する請求項1に記載の情報管理方法。
  4.  前記報告者データを前記バックアップと組み合わせてハッシュ化した前記ハッシュ化データを生成する請求項3に記載の情報管理方法。
  5.  前記バックアップをハッシュ化する処理の内容を変更する、というステップをさらに含む請求項3に記載の情報管理方法。
  6.  前記バックアップと同一内容の前記送信データが前記送信先に送信されたことを記録する送信ログを取得する(S37)、というステップをさらに含み、
     前記バックアップを格納するステップでは、前記送信ログを前記バックアップと共に前記データベースに格納する請求項1~5のいずれか一項に記載の情報管理方法。
  7.  前記報告者データには、前記報告者側にて記録される履歴本体データと、前記履歴本体データに付帯する履歴メタデータとが含まれており、
     ハッシュ関数を用いて前記履歴本体データをハッシュ化した第1ハッシュ値と、前記履歴メタデータを少なくとも含む処理前データを、ハッシュ関数を用いてハッシュ化した第2ハッシュ値とを、前記送信データに含む情報として生成する(S32)、というステップをさらに含む請求項1~5のいずれか一項に記載の情報管理方法。
  8.  前記バックアップに変更が加えられた場合に、前記バックアップに加えた変更の内容を記録した変更記録を前記バックアップに紐づけて前記データベースに保存する、というステップをさらに含む請求項1~5のいずれか一項に記載の情報管理方法。
  9.  管理者(ADM)の管理下にある報告者(SR)にて取得される情報を管理する情報管理装置であって、
     前記報告者側にて準備される報告者データに基づく送信データを、前記管理者に紐づく送信先(100r)に送信するデータ送信部(65)と、
     前記送信データのバックアップを準備し、前記バックアップが改変されていないことの確認に用いる確認用情報をさらに準備し、前記確認用情報と共に前記バックアップを前記報告者のデータベース(SDB)に格納するデータ格納部(66)と、
     を備える情報管理装置。
PCT/JP2023/021171 2022-06-27 2023-06-07 情報管理方法及び情報管理装置 WO2024004556A1 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2022-102989 2022-06-27
JP2022102989A JP2024003677A (ja) 2022-06-27 2022-06-27 情報管理方法及び情報管理装置

Publications (1)

Publication Number Publication Date
WO2024004556A1 true WO2024004556A1 (ja) 2024-01-04

Family

ID=89382803

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2023/021171 WO2024004556A1 (ja) 2022-06-27 2023-06-07 情報管理方法及び情報管理装置

Country Status (2)

Country Link
JP (1) JP2024003677A (ja)
WO (1) WO2024004556A1 (ja)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006066997A (ja) * 2004-08-24 2006-03-09 Canon Inc 情報処理装置およびその方法
JP2021131585A (ja) * 2020-02-18 2021-09-09 フロイント産業株式会社 医薬品製造システム、及び医薬品製造方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006066997A (ja) * 2004-08-24 2006-03-09 Canon Inc 情報処理装置およびその方法
JP2021131585A (ja) * 2020-02-18 2021-09-09 フロイント産業株式会社 医薬品製造システム、及び医薬品製造方法

Also Published As

Publication number Publication date
JP2024003677A (ja) 2024-01-15

Similar Documents

Publication Publication Date Title
US12118627B2 (en) Secure and traceable manufactured parts
CN107659610B (zh) 基于区块链技术的著作权保护方法、装置和系统
JP7215581B2 (ja) サプライチェーン管理方法、サプライチェーン管理プログラム、取引記録蓄積方法、取引記録蓄積プログラム、取引記録表示方法、及び取引記録表示プログラム
US10810683B2 (en) Hierarchical meta-ledger transaction recording
US10192198B2 (en) Tracking code generation, application, and verification using blockchain technology
EP3262785B1 (en) Tracking unitization occurring in a supply chain
JP5415266B2 (ja) ワークフロー保証及び認証システム
CN109934355B (zh) 基于唯一标识的设备管理的方法及系统
CN105469132A (zh) 二联编码的物联网溯源防伪标签及二维码防伪溯源方法
WO2019149908A1 (en) A method for controlling distribution of a product in a computer network and system
US20240323008A1 (en) Anti-counterfeiting System and Method of Use
WO2024004556A1 (ja) 情報管理方法及び情報管理装置
CN117978369A (zh) 基于量子安全的网联汽车设备信息溯源存储方法
WO2023181883A1 (ja) 情報管理方法、及び情報管理装置
CN112511315A (zh) 一种基于dag区块链的工业物联网认证方法
US20240330837A1 (en) Information processing method, storage medium storing information processing program, and information processing device
CN110378079B (zh) 基于原创作品的信息处理、保护、销售方法及装置
JP5883404B2 (ja) 履歴管理システム、履歴管理方法、および履歴管理プログラム
US20240086866A1 (en) Methods and systems for monitoring and certifying aircrafts and components of aircrafts
CN115271584A (zh) 一种钢材区块链防伪提货单的管理系统及方法
WO2024209393A1 (en) A supply chain based track and trace system and method thereof
TW202213200A (zh) 物聯網設備管理系統
CN114897489A (zh) 线上投票结果保存方法、装置、设备及可读存储介质
CN115689594A (zh) 硅产品信息管理的处理方法和系统
CN116228062A (zh) 一种基于供应链平台的运输管理方法、装置及设备

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 23831006

Country of ref document: EP

Kind code of ref document: A1