図面 (/)

この項目の情報は公開日時点(2000年10月20日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (10)

課題

プライバシー保護機能制御機能をもつデータベース内にデータを格納し、そのデータベースからデータを取り出す方法、装置、製造品、及びメモリ構造を開示する。

解決手段

本装置は、複数のデータ列と、消費者プライバシーパラメータを反映するデータ制御情報を格納するための少なくとも一つのデータ制御列とを含むデータベース表を格納するデータ格納装置を含み、そのデータベース表が同定情報を格納するための同定セグメント個人情報を格納するための個人情報セグメントとを含む。本装置はまた、作動上、上記データ格納装置に結合されたプロセッサを含み、そのプロセッサが、データ制御情報に従って該データベース表から取り出されたデータを呈示するためのデータビュースイートを与える。

概要

背景

データベース管理システムはデータを収集流布、および解析するのに使われる。このような大規模統合データベース管理システムは大量のデータを格納し、取出し、解析するための、効率的で一貫したかつ安全にデータのウェアハウス化を行う能力を提供する。大量の情報を収集、解析および管理を行うこの能力は、今日のビジネス界においてほぼ必須のものとなっている。

これらのデータウェアハウスに格納される情報は種々のソースから到来しうる。一つの重要なデータウェアハウス化アプリケーションはビジネス機関消費者との間の商取引過程で収集される情報の収集および解析を行う。例えば、ある個人小売店である物品購入するためにクレジットカードを使用すると、顧客の同定、購入物品購入額その他の関連情報が収集される。従来、このような情報は当該取引を完了すべきか否かを決定するため、および製品在庫を制御するために小売業者が使用している。そのようなデータはまた、現在の購入傾向および地域的購入傾向を決定するのにも使用することができる。

他の産業界でも個人データの使用が同様に行われている。例えば、銀行業務においては顧客の購買パターンはそのクレジットカード取引プロファイルまたは当座/預金口座の活動を解析することにより予測することができ、またある種のプロファイルをもつ顧客達は抵当や個人的退職者口座のような新規サービスを求める潜在的顧客として同定することができる。さらに、通信産業界では、通話記録から消費者通話パターンを解析することができ、ある種のプロファイルをもつ個人を2本目の電話線あるいはコールウェイシングのような更なるサービス販売の対象として特定することができる。

さらに、データウェアハウス保有者は、普通、取引データ豊富にするためのデータをサードパーティー第三者)から購入する。この豊富化のプロセスは家族構成員会員権、収入雇用主、その他の個人データなどの人口統計データを豊かにする。

そのような取引期間中に収集されたデータは他の用途にも有用である。例えばある特定の取引に関する情報は当該消費者についての個人情報年齢職業住居地、収入等)に相関づけて統計的情報を発生させることができる。ある場合にはこの個人情報は大まかに、当該消費者の身元(identification)を表す情報とそうでない情報との二つのグループ分類することができる。消費者の身元を表さない情報は有用である。なぜならばそれが類似の個人的特徴をもつ消費者達の購入傾向に関する情報を得るのに使用することができるからである。消費者の身元を表す個人情報はより絞り込んだ個人的市場戦略に使用することができる。その場合、各個人消費者購入習慣が解析されて別の市場の候補者あるいはある好みに合わせて手直しした市場の候補者が同定される。

個人データの収集が増大している別の例は、最近の「会員制カードあるいは「顧者」カードの繁栄に現れている。これらのカードはある種の製品について顧客に割引価格を提供する。しかし顧客がそのカードを購入に使用する度に、顧客の購入習慣に関する情報が収集される。オンライン環境あるいはスマートカード電話カードおよび借入カードすなわちクレジットカードでも同じ情報が得られる。

そのようなデータの収集および解析が大きな大衆的利益になりうるものの、それは残念ながらかなり悪用の対象ともなりうる。愛顧者プログラムの場合、かかる悪用の可能性が、本来は協力的な多数の消費者が会員賞やその他のプログラムを得るのに参加することを阻害しかねない。またかかる悪用はキャッシュカードのような将来的技術を使用することを拒ませ、現金および小切手のようなより保守的支払方法を継続することを助長する。実際、プライバシーに関する公衆心配が、ウェブ商業が爆発成長するとの期待を遅らせている要因であると信ぜられる。

これらすべての理由から、通常の制約と同様、個人情報がデータウェアハウスに格納されるとき、データを制御する者達はそのような悪用からデータを保護することを要求される。このコンピューター時代にあって、データが益々収集されるにつれて個人に関するデータの使用上、個々人の権利が益々重要になっている。

概要

プライバシー保護機能制御機能をもつデータベース内にデータを格納し、そのデータベースからデータを取り出す方法、装置、製造品、及びメモリ構造を開示する。

本装置は、複数のデータ列と、消費者のプライバシーパラメータを反映するデータ制御情報を格納するための少なくとも一つのデータ制御列とを含むデータベース表を格納するデータ格納装置を含み、そのデータベース表が同定情報を格納するための同定セグメントと個人情報を格納するための個人情報セグメントとを含む。本装置はまた、作動上、上記データ格納装置に結合されたプロセッサを含み、そのプロセッサが、データ制御情報に従って該データベース表から取り出されたデータを呈示するためのデータビュースイートを与える。

目的

本発明は、消費者のプライバシー保護要望応えつつ完全なデータウェアハウスのすべての利点を与えるシステムおよび方法を与えることを目的とする。

効果

実績

技術文献被引用数
5件
牽制数
3件

この技術が所属する分野

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

複数のデータ列消費者プライバシーパラメータを反映するデータ制御情報を格納するための少なくとも一つのデータ制御列とを含むデータベース表を格納するデータ格納装置において、該データベース表が同定情報を格納するための同定セグメント個人情報を格納するための個人情報セグメントとを含むようにされている、データ格納装置と、該データ格納装置に作動上結合されたプロセッサにして、該データ制御情報に従って該データベース表から取り出されたデータを呈示するデータビュースイートを与えるプロセッサと、を含むことを特徴とする、データのウェアハウス化、管理、及びプライバシー制御を行うシステム

請求項2

該データビュースイートが同定情報をマスキングする匿名化ビューを含む、ことを特徴とする請求項1に記載の装置。

請求項3

該データビュースイートが該データベース表内のすべてのデータへのアクセス許す特権ビューを含む、ことを特徴とする請求項1に記載の装置。

請求項4

該特権ビューがさらに該データ制御列内のデータの変更を許す、ことを特徴とする請求項3に記載の装置。

請求項5

データベースビュースイートが個人情報をマスキングするビューを含む、ことを特徴とする請求項1に記載の装置。

請求項6

該特権ビューを介して該データベース表へのアクセスを与えるとともに該顧客プライバシーパラメータの指定を許す顧客インターフェースモジュールをさらに含む、ことを特徴とする請求項1に記載の装置。

請求項7

該顧客および該クライアントインターフェースモジュールとの通信プライバシーデータカードを通して与えられる、ことを特徴とする請求項6に記載の装置。

請求項8

該データベース表へのすべてのアクセスを記録するための監査インターフェースモジュールをさらに含む、ことを特徴とする請求項1に記載の装置。

請求項9

該監査インターフェースモジュールが該データビュースイートへのすべてのアクセスを記録する、ことを特徴とする請求項1に記載の装置。

請求項10

該データベース表が、個人データを格納するための複数のデータ列と、個人データを格納している各データ列に対するデータ制御列とを含む、ことを特徴とする請求項1に記載の装置。

請求項11

複数のデータ列を含むデータベース表を、少なくとも一消費者プライバシーパラメータを反映するデータ制御情報を格納するための少なくとも一つのデータ制御列を含めるように拡張するステップと、該データベース表の同定セグメント内に該消費者に関する同定情報を格納すると共に、該データベース表の個人情報セグメント内に該消費者に関する個人情報を格納するステップと、データ特権を有する請求主体からデータリクエストを受信するステップと、該請求主体のデータ特権に従って選択されたデータビューを介して該請求主体に該データを与えるステップにして、該データビューが該消費者のプライバシーパラメータに従って該データのマスキングを行うようにされているステップとを含む、ことを特徴とするプライバシー制御機能をもつデータベース内のデータを取り出す方法。

請求項12

データビューを介して該請求主体にデータを与える該ステップが、該請求主体のデータ特権に従って該請求主体にデータビューを与えるステップと、該データリクエストを、ベース表から直接に結果表中に列及び行を選択的に引き入れるデータベース問い合わせに翻訳することにより、データビューに従って与えられたデータを該リクエスト主体に対して取り出すステップと、該結果表を該リクエスト主体に与えるステップとを含む、ことを特徴とする請求項11に記載の方法。

請求項13

該データビューが同定情報をマスキングする匿名ビューである、ことを特徴とする請求項11に記載の方法。

請求項14

該データビューが個人情報をマスキングするビューである、ことを特徴とする請求項11に記載の方法。

請求項15

該データビューが該データベース表内のすべてのデータへのアクセスを許す特権ビューである、ことを特徴とする請求項11に記載の方法。

請求項16

拡張データベース表名(unextended database table names)を使用して該データビューが創立される、ことを特徴とする請求項11に記載の方法。

請求項17

コンピュータ読み取りできるプログラム格納装置にして、プライバシー制御機能をもつデータベース内のデータを取り出すための方法ステップを実行するための、該コンピュータで実行可能な一以上の命令具備するプログラム格納装置であって、該方法ステップが、少なくとも一消費者プライバシーパラメータを反映するデータ制御情報を格納するための少なくとも一つのデータ制御列を含めるよう、複数のデータ列を含むデータベース表を拡張するステップと、該データベース表の同定セグメント内に該消費者に関する同定情報を格納すると共に、該データベース表の個人情報セグメント内に該消費者に関する個人情報を格納するステップと、データ特権を有する請求主体からデータリクエストを受信するステップと、該請求主体のデータ特権に従って選択されたデータビューを介して該請求主体に該データを与えるステップにして、該データビューが該消費者のプライバシーパラメータに従って該データのマスキング(秘匿)するようにされているステップとを含む、ことを特徴とするプログラム格納装置。

請求項18

データビューを介して該請求主体にデータを与える該ステップが、該請求主体のデータ特権に従って該請求主体にデータビューを与えるステップと、ベース表から直接に結果表中に列及び行を選択的に引き入れるデータベースクエリーに該データリクエストを翻訳することにより、データビューに従って与えられたデータを該リクエスト主体に対して取り出すステップと、該結果表を該リクエスト主体に与えるステップとを含む、ことを特徴とする請求項17に記載のプログラム格納装置。

請求項19

該データビューが同定情報をマスキングする匿名ビューである、ことを特徴とする請求項17に記載のプログラム格納装置。

請求項20

該データビューが個人情報をマスキングするビューである、ことを特徴とする請求項17に記載のプログラム格納装置。

請求項21

該データビューが該データベース表内のすべてのデータへのアクセスを許す特権ビューである、ことを特徴とする請求項17に記載のプログラム格納装置。

請求項22

未拡張データベース表名を使用して該データビューが創立される、ことを特徴とする請求項17に記載のプログラム格納装置。

技術分野

0001

本発明はデータのウェアハウス倉庫)化および解析の方法およびシステムに関し、特にデータベース管理システムプライバシー制限を課する方法およびシステムに関する。

背景技術

0002

データベース管理システムはデータを収集流布、および解析するのに使われる。このような大規模統合データベース管理システムは大量のデータを格納し、取出し、解析するための、効率的で一貫したかつ安全にデータのウェアハウス化を行う能力を提供する。大量の情報を収集、解析および管理を行うこの能力は、今日のビジネス界においてほぼ必須のものとなっている。

0003

これらのデータウェアハウスに格納される情報は種々のソースから到来しうる。一つの重要なデータウェアハウス化アプリケーションはビジネス機関消費者との間の商取引過程で収集される情報の収集および解析を行う。例えば、ある個人小売店である物品購入するためにクレジットカードを使用すると、顧客の同定、購入物品購入額その他の関連情報が収集される。従来、このような情報は当該取引を完了すべきか否かを決定するため、および製品在庫を制御するために小売業者が使用している。そのようなデータはまた、現在の購入傾向および地域的購入傾向を決定するのにも使用することができる。

0004

他の産業界でも個人データの使用が同様に行われている。例えば、銀行業務においては顧客の購買パターンはそのクレジットカード取引プロファイルまたは当座/預金口座の活動を解析することにより予測することができ、またある種のプロファイルをもつ顧客達は抵当や個人的退職者口座のような新規サービスを求める潜在的顧客として同定することができる。さらに、通信産業界では、通話記録から消費者通話パターンを解析することができ、ある種のプロファイルをもつ個人を2本目の電話線あるいはコールウェイシングのような更なるサービス販売の対象として特定することができる。

0005

さらに、データウェアハウス保有者は、普通、取引データ豊富にするためのデータをサードパーティー第三者)から購入する。この豊富化のプロセスは家族構成員会員権、収入雇用主、その他の個人データなどの人口統計データを豊かにする。

0006

そのような取引期間中に収集されたデータは他の用途にも有用である。例えばある特定の取引に関する情報は当該消費者についての個人情報年齢職業住居地、収入等)に相関づけて統計的情報を発生させることができる。ある場合にはこの個人情報は大まかに、当該消費者の身元(identification)を表す情報とそうでない情報との二つのグループ分類することができる。消費者の身元を表さない情報は有用である。なぜならばそれが類似の個人的特徴をもつ消費者達の購入傾向に関する情報を得るのに使用することができるからである。消費者の身元を表す個人情報はより絞り込んだ個人的市場戦略に使用することができる。その場合、各個人消費者購入習慣が解析されて別の市場の候補者あるいはある好みに合わせて手直しした市場の候補者が同定される。

0007

個人データの収集が増大している別の例は、最近の「会員制カードあるいは「顧者」カードの繁栄に現れている。これらのカードはある種の製品について顧客に割引価格を提供する。しかし顧客がそのカードを購入に使用する度に、顧客の購入習慣に関する情報が収集される。オンライン環境あるいはスマートカード電話カードおよび借入カードすなわちクレジットカードでも同じ情報が得られる。

0008

そのようなデータの収集および解析が大きな大衆的利益になりうるものの、それは残念ながらかなり悪用の対象ともなりうる。愛顧者プログラムの場合、かかる悪用の可能性が、本来は協力的な多数の消費者が会員賞やその他のプログラムを得るのに参加することを阻害しかねない。またかかる悪用はキャッシュカードのような将来的技術を使用することを拒ませ、現金および小切手のようなより保守的支払方法を継続することを助長する。実際、プライバシーに関する公衆心配が、ウェブ商業が爆発成長するとの期待を遅らせている要因であると信ぜられる。

0009

これらすべての理由から、通常の制約と同様、個人情報がデータウェアハウスに格納されるとき、データを制御する者達はそのような悪用からデータを保護することを要求される。このコンピューター時代にあって、データが益々収集されるにつれて個人に関するデータの使用上、個々人の権利が益々重要になっている。

発明が解決しようとする課題

0010

本発明は、消費者のプライバシー保護要望応えつつ完全なデータウェアハウスのすべての利点を与えるシステムおよび方法を与えることを目的とする。

課題を解決するための手段

0011

第一の局面から見ると、本発明はデータのウェアハウス化、管理、及びプライバシー制御を行うシステムであって、複数のデータ列と消費者のプライバシーパラメータを反映するデータ制御情報を格納するための少なくとも一つのデータ制御列とを含むデータベース表を格納するデータ格納装置において、該データベース表が同定情報を格納するための同定セグメントと個人情報を格納するための個人情報セグメントとを含むようにされている、データ格納装置と、該データ格納装置に作動上結合されたプロセッサにして、該データ制御情報に従って該データベース表から取り出されたデータを呈示するデータビュースイートを与えるプロセッサとを含むことを特徴とするシステムに実現される。

0012

第二の局面から見ると、本発明はプライバシー制御機能をもつデータベース内のデータを取り出す方法であって、複数のデータ列を含むデータベース表を、少なくとも一消費者プライバシーパラメータを反映するデータ制御情報を格納するための少なくとも一つのデータ制御列を含めるように拡張するステップと、該データベース表の同定セグメント内に該消費者に関する同定情報を格納すると共に、該データベース表の個人情報セグメント内に該消費者に関する個人情報を格納するステップと、データ特権を有する請求主体からデータリクエストを受信するステップと、該請求主体のデータ特権に従って選択されたデータビューを介して該請求主体に該データを与えるステップにして、該データビューが該消費者のプライバシーパラメータに従って該データをマスキングするようにされているステップとを含むことを特徴とする方法に実現される。

0013

第三の局面から見ると、本発明はコンピュータ読み取りできるプログラム格納装置にして、プライバシー制御機能をもつデータベース内のデータを取り出すための方法ステップを実行するための、該コンピュータで実行可能な一以上の命令具備するプログラム格納装置であって、該方法ステップが、少なくとも一消費者プライバシーパラメータを反映するデータ制御情報を格納するための少なくとも一つのデータ制御列を含めるよう、複数のデータ列を含むデータベース表を拡張するステップと、該データベース表の同定セグメント内に該消費者に関する同定情報を格納すると共に、該データベース表の個人情報セグメント内に該消費者に関する個人情報を格納するステップと、データ特権を有する請求主体からデータリクエストを受信するステップと、該請求主体のデータ特権に従って選択されたデータビューを介して該請求主体に該データを与えるステップにして、該データビューが該消費者のプライバシーパラメータに従って該データのマスキング(秘匿)をするようにされているステップとを含むことを特徴とするプログラム格納装置に実現される。

0014

本発明の一実施例は、すべてのデータ、ユーザー、およびプライバシーエレメントを含むデータとして登録されたデータの使用を統括し(administers)記録する(records)プライバシーメタデータシステム(privacy metadata system)をも利用する。このメタデータを使うサービス機能(以下、メタデータサービス機能という)はウェアハウスのメタデータの所在を突き止め、統合し、管理し、ナビゲートするためのサービスを提供する。このメタデータサービス機能はまた一つの領域を用意し、その領域に基づいてプライバシーのすべてのシステム的局面を監査可能なフォーマット(auditable format)で登録し、統括し、ログ記録を取ることを可能にする。

0015

添付の図面を参照して以下に本発明を説明する。

0016

参照するすべての図面において同様の参照番号は対応する部分を表す。

0017

図1はデータウェアハウス化システム100の概観を表すシステムブロック図である。本システムは、中に一つ以上の拡張データベース(extended databases)106を格納するデータベース管理システム(database management system)104をもつ、保安データウェアハウス(secure data warehouse)102を含む。

0018

データベースの一つの重要な能力は、仮想的な表(virtual table)を定義し、その定義をデータベース内にユーザーが定義した名称ユーザー定義名称)と共にメタデータとして保存する能力である。このオペレーションにより形成されるオブジェクトビュー(view)あるいはデータベースビュー(data view)として認識される。(以下、本発明で使用される特定のデータビューを「データビュー」と呼ぶ。)データビューは仮想的な表であるから、それが必要とされるまではデータベース内のどこにも物理的に顕在化されない。データへのすべてのアクセスは(管理上の目的で行われるデータアクセス例外として)、データビューを介して達成される。種々のプライバシー規則(privacy rules、プライバシーを保護するための規則)を与えるため、一揃いの複数データビュー(以下、スイート(suite)という)が設けられる。プライバシーデータビューについてのメタデータ(データビュー名称、データビュー列の名称およびデータ型、並びに行を導出する方法を含む)はデータベースメタデータ内に持続的に格納される。しかしビューにより表される実際のデータはその導出された表と関連づけて物理的にどこにも格納されない。その代わり、データ自体が持続的なベース表(basetable)内に格納され、そのビューの行はそのベース表から導出される。データビューは仮想的な表であるが、ベース表に対してオペレーションを実行することができるのとまったく同様に、データビューに対してオペレーションを実行することができる。

0019

保安データウェアハウス(secure data warehouse)102はさらに、拡張データベース106内のすべてのデータを表すプライバシーメタデータデータビュー(privacy metadata dataviews)108スイートを含む。データベース106内のデータはこのスイートのデータビューを通してのみ、閲覧、処理、変更をすることができる。拡張データベースおよびデータビューの方式および論理モデルをさらに詳しく図2との関連で述べる。

0020

拡張データベース106内に格納されているデータへの実質上すべてのアクセスはデータビュースイート108を介してのみ与えられる。したがって、ビジネスアプリケーション110およびサードパーティアプリケーション112は、与えられたデータベースビューにより許可されるデータのみにアクセスできる。一実施例では、消費者のプライバシープレファランス(preferences、好ましいものとして選択された事項)を無効にしうる方策が与えられる。しかし、そのような環境では、無効の原因がデータベースに記載され、それを監査モジュール(audit module)118が取り出すことができる。したがって無効化が内密に起きることはできない。さらに、無効化はプライバシーメタデータ監視拡張機能(privacy metadata monitoring extensions、以下PMDS拡張機能または単にメタデータ監視拡張機能という)114によって監視することができ、無効化が起きるときは消費者に警告を与える。

0021

データベースへのアクセスは、プライバシーデータビュースイート108により次の三つの目的の場合に制限して与えられる:(1)個人データを匿名にするを可能にするためのプライバシー規則を用意すること、(2)適用除外選択をした列へのアクセスを制限すること(これはすべての個人データ、別の範疇の個人データおよび個人データ列に適用しうる)、および(3)顧客の適用除外選択に基づいて適用除外選択のために全行(顧客レコード)を削除すること(これによって、取り扱い中の顧客に対して何らかの有効な適用除外選択フラッグが設定されている行を削除し、したがってこれによっていかなる直接販売もサードパーティへの公開も阻止する)。

0022

データビュー108と通信するクライアントインターフェースモジュール122を使用して、クライアント124はクライアント124から収集されたデータにアクセスし、制御し、管理することができる。このデータの制御および管理は、(適当なブラウザプラグイン128、モデム130、音声による電話通信機132あるいはキオスク(登録商標)134、POSにあるその他のデバイスを介する)インターネット126を含む広範囲通信媒体140を使用して、達成することができる。そのような通信を助けるため、キオスクやPOS(販売点)にあるその他のデバイスはスマートカード136あるいは愛顧者カード138を発行することができる。キオスク/POS装置134はプライバシープレファレンスに関する消費者入力を受信し、これらのプレファレンス値に関する情報を格納したスマートカード136あるいは愛顧者カード138を発行することができる。同様にして、キオスク/POS134、スマートカード136、あるいは愛顧者カード138を使用して、消費者は必要に応じてプレファレンス値を更新し、あるいは変更することができる。愛顧者カード138が単純な読取り専用装置(キーリングに装着されたバーコード装置等)である場合は、キオスク134は必要に応じて情報を更新した取り替えカードを発行することができる。愛顧者カード138あるいはスマートカード136を使用する取引は選択的に暗号化し、匿名にすることができる。いずれのカードも選択した保安規則を与えるべく、直接にあるいはプラグインを介してサーバ対話することができる。

0023

このインターフェースを介して消費者はデータシェアリング(data sharing)および保持(retention)のプレファレンスを指定することができる。これらのプレファレンスにはデータ保持プレファレンスおよびデータシェアリングプレファレンスが含まれる。これらのプレファレンスによって、消費者はいついかなる状況の下で個人情報を保持し、または共有しあるいは他人に販売しうるかを指定することができる。例えば、当該消費者はそのようなデータを愛顧者カードプログラムの一部として保持することができ、あるいはそのデータの使用を特定の使用に限定することができる。さらに、消費者はいかなる状況の下でそのデータが即時販売され、統計的解析の目的に使用され、あるいはサードパーティの選択的マーケティングプログラムの目的に使用されうるかを指定できる。

0024

データデタウェアハウス化システム100はまた、プライバシーサービス150を介してクライアントと保安データウェアハウス102との間の匿名通信を可能にする。ユーザーが匿名の取引を望むときは取引はプライバシーサービス150へ送信される。プライバシーサービス150はプライバシー規則データベース152および他の保安情報154にアクセスし、プライバシー規則および保安情報を使用して消費者の身元を決定できるすべての情報を除去(浄化)する。浄化された取引情報は次いで保安データウェアハウス内の匿名保護インターフェースモジュール160へ回送される。保安データウェアハウス102との通信はプロキシユーザー同定手順を使用する。この同定はプライバシーサービス150により消費者の使用者名または他の同定情報から生成される。もしも顧客が匿名取引を必要としないなら、取引は、拡張データベース内に取引情報を格納できる小売業者に直接に提供される。

0025

データビュースイート108は単独に拡張データベース内のデータへのアクセスを与えるので、データビュースイート108もまた保安データウェアハウス102の保安を監査するための便利かつ合理的手段を与える。

0026

保安データウェアハウス102もまたメタデータ監視拡張機能114を含む。このメタデータ監視拡張機能114によって顧客は個人データの使用を監視するための規則を発生させることができ、またメタデータ定義の変更が生じたときは警告116または取り消しを送信することができる。顧客の個人情報が拡張データベース106から読み取られるとき、または拡張データベース106に書込みがなされるとき、拡張データベース106に格納されている適用除外選択デリミタ(opt-out delimiters)が変更されとき、あるいは表またはデータビューがアクセスされるときに、消費者はメタデータ監視拡張機能114を制御して警告を発生させることができる。この代わりに、顧客が後でアクセスできるよう、発生した警告を記録しておくことができる。

0027

メタデータ監視拡張機能114はまたデータソース情報を記録するので、顧客は保安データウェアハウス102に格納されているデータのソースを決定することができる。データソースは顧客であるかも知れないし、あるいはサードパーティを媒介とするソースであるかも知れない。本発明のこの特徴は、顧客が誤った情報訂正したいときのみならず、当該誤りが同じデータベースもしくは他のデータベースで繰り返されることがないよう、誤った情報ソースを特定したいとき、特に有用である。

0028

またデータのソースを直接に表データから確かめることができるよう、ソースデータデータ表の各列にあるいは一組の列に格納することもできる。本実施例では、メタデータ内に情報ソースの情報をすべての顧客に対して複製することをしなくても各顧客が異なった情報ソースをもつことができるよう、ソースを同定するデータを一般化することができる。

0029

同様にしてメタデータ監視拡張機能114も、データターゲット情報を記録するので、顧客は誰が彼らの個人情報の受信者であるかを決定することができる。この特徴もまた顧客の個人情報に関して公開活動を監視する上で有用であるのみならず、複製された誤りを訂正する上で、有用である。

0030

メタデータ監視拡張機能114はまた、プライバシーデータビュースイート108への変更のみならず拡張データベース106からの読み取りおよびそれへの書き込みを追跡することにより、監視機能サポートに使用することができる。

0031

本発明は、プロセッサおよびランダムアクセスメモリ(RAM)のようなメモリを含むコンピューターに実現することができる。そのようなコンピューターは普通、ディスプレイ動作上結合しうる。ディスプレイは、ユーザー向けウィンドウのようなイメージグラフィックユーザーインターフェース上に呈示する。コンピューターはキーボードマウス装置プリンタ等の他の装置に結合することができる。もちろん、当業者は上記のコンポーネントの任意の組合せあるいは任意数の異種コンポーネント、周辺機器その他の装置をコンピューターに使用することができることを認識できよう。

0032

一般に、コンピューターはメモリ内に格納されているオペレーティングシステム、およびユーザーインターフェースの制御の下に動作する。ユーザーインターフェースは入力およびコマンドを受信すると共にグラフィックユーザーインターフェース(GUI)モジュールを介して結果を呈示する。GUIモジュールは普通、別個のモジュールであるが、GUI機能を実行する命令はオペレーティングシステムまたはアプリケーションプログラム内に常駐させ、分布させ、あるいは特別の目的のメモリおよびプロセッサを使って用意することができる。コンピューターはまた、COBOL、C++、FORTRANその他のプログラム言語で書かれたアプリケーションプログラムがプロセッサで読み取りできるコードに翻訳しうるコンパイラをもつことができる。翻訳完了後、アプリケーションは、コンパイラを使って発生された諸関係式および論理を使用してコンピューターメモリ内に格納されているデータにアクセスし、操作する。

0033

本実施例では、オペレーティングシステムをなす諸々の命令、コンピュータープログラムおよびコンパイラはコンピューターが読み取り可能な媒体、すなわちデータ格納装置170内に実体的に実現される。この格納装置170はジップドライブフロッピー(登録商標)ディスクハードウェアドライブ,CD−ROMドライブ、テープドライブ等の一つ以上の固定式もしくは着脱式データ格納装置でよい。さらに、オペレーティングシステムおよびコンピュータープログラムは諸々の命令からなるが、これらの命令は、コンピューターにより読み取られて実行されると本発明を実現およびまたは使用するのに必要な諸ステップをコンピューターに行わせるものである。コンピュータープログラムおよびまたは諸々の命令もメモリおよびまたはデータ通信デバイス内に実体的に実現することができ、それにより本発明に基づくコンピュータープログラム製品あるいは製造物品を作製することができる。上記のとおりであるから、「プログラム格納装置」、「製造物品」および「コンピュータープログラム製品」と言う用語はここではコンピューターにより読み取り可能な任意の装置、あるいは媒体からアクセス可能なコンピュータープログラムを含む。

0034

当業者は、本発明の範囲から逸脱することなくこの形態に任意の改変を加えることができることを認識されたい。例えば当業者は上記のコンポーネントの任意の組合せ、あるいは任意数の異なるコンポーネント、周辺機器その他の装置を本発明に使用することができることを認識されたい。

0035

論理モデル
図2は保安データウェアハウス102およびデータビュースイート108の論理モデル例をより詳細に示す図である。拡張データベース106は表202を含んでおり、この表は次の三つの部分:同定情報部分204、個人情報部分206、および機密情報部分208に分割される。個人情報部分206はデータ列220、232、244、および246を含み、これらの列は消費者の身元を表す情報を格納する。これらの列には消費者口座番号列220、氏名列232、住所列244、および電話番号列246が含まれる。顧客表202の同定部分204も一つ以上のデータ制御列212を含んでおり、これらの列はプライバシープレファレンスすなわち表中の関連データに対する「適用除外選択」を反映するデータを特定している。ここに例示した実施例では、列222-230は一つ以上の文字([A」または[D」)すなわち当該顧客のデータレコードに対するプライバシープレファレンスを指定するフラッグ([1」および[0」で表されている)を格納する。ここに開示する実施例ではこれらのプライバシープレファレンスは次の事項に対する「適用除外選択」を含む:(1)直接販売、(2)当該顧客を同定する情報および個人データの公開、(3)匿名による個人データの公開、(4)自動マーケティングの判定を行うための個人データの公開、および(5)機密データの公開と使用。表202はまた、グローバルデータ制御列210を含む。この列は顧客が最大限のプライバシーを望むことを示すのに使用することができる。

0036

ここに例示する実施例では、「ビルジョーンズという名前の顧客がグローバルデータ制御列210に「0」を選択することにより、ある程度のデータ収集、解析、あるいは流布を許可している。彼はさらに、彼の身元情報と共にあるいは匿名で、彼の消費者情報を直接販売に使用することができること、およびサードパーティに公開できることを示している。彼は自動処理を行うのにデータを使用することを許可しているので、機密データを流布することを許可するであろう。

0037

一実施例では前述の論理モデルを実現するのにテラデータ(TERADATA)データベース管理システムが使用される。これを使用することにはいくつかの利点があある。

0038

第一に大量のデータを格納し取り扱えるテラデータの能力が多数のいろいろのビューの構築を容易にするとともに、保安データウェアハウス化システム100が論理データモデルを第三の正規の形態でもしくは正規の形態に近い形で利用することを可能にする。

0039

第二に、データビューサブセットまでデータを狭めるための一連の選択としてSQL照会(SQL queries)を実行するシステムとは異なって、本テラデータデータベース管理システムは適当なベース表から直接に必要な列を選択するSQLを発生すべくデータビューベース(dataview base)の照会を書き直す。他のビューはデータをビューサブセットにまで狭める前に表全体を作成するが、テラデータは適当な列および行を結果表(処理結果をまとめた表)中に選択的に引き抜くSQLを発生する。この方法は、前述の論理モデルを実現するのに特に有利である。

0040

第三に前述の論理モデルは一般に複雑な照会および広範なSQLステートメントを含むデータビューを生ずる。テラデータデータベース管理システムは、そのような照会およびSQLステートメントを最適化するのに特に有効である。

0041

上に教示したことを使用して、特別な個々のプライバシー条件に合うよう、かつ各データベースアプリケーションを制御するのに必要な条件に合うよう、代わりの定義データ制御列構造を有する代わりの論理モデルを実現することができる。

0042

データビュー
データビュースイート108には多数のデータビューが用意されている。これらのデータビューには標準ビュー260、特権ビュー(priviledged view)262、匿名ビュー(anonumizing view)264、および適用除外選択ビュー266が含まれる。これらのビューはデータ制御列212に置かれている値に基づいて顧客表202内のデータへの可視度(visibility)を制限する。

0043

標準ビュー260は、列224内のフラッグ(個人情報および同定情報が流布できることを意味する)あるいは列226(個人情報が匿名でのみ流布し得ることを示す)のいずれかがアクティブ化されない限り、個人データを呈示しない。したがって、標準ビュー260は消費者が適当なフラッグを適当な値に設定しない限り、個人データを選択的にビューから隠す。

0044

スケーラブルデータウェアハウス(scaleable data warehouse, SDW)の顧客データベース統括者(customer database adoministrators)は、ルーチンユーザーに対しては個人情報のすべての列が隠されるように、顧客表(顧客に関する個人情報を含む任意の表)中に入るビューを設定する。これにより、すべてのルーチン決定サポート(routine decision support、DSS)アプリケーションおよびウェアハウスデータへの照会アセスを備えたツールを個人情報の閲覧から適用除外することができ、その結果これらのアプリケーションおよびツールのすべてのエンドユーザーも同様に個人情報の閲覧から適用除外される。

0045

既存のSDW顧客に対して混乱が生じることを最小限に留めるため、プライバシーデータにアクセスする既存のすべてのアプリケーション内のベース表に使用されるものと同一の氏名を使用してデータビューが設立され、その氏名に対応するベース表の氏名が他の値に命名し直すことができる。こうして、既存アプリケーションが(ここではデータビュー経由で)私的データへアクセスしようと試みても、その私的データはユーザーがもつ特権に応じてデータビューによりふるい落とされる。このアプローチを使用すれば既存のアプリケーションを改変する必要はまったくない。その代わり、論理データモデルおよびデータベースの方式が改変され、更なる命名規約が導入される。

0046

特権ビュー262は、データベースの管理およびまたは維持(例えば新規顧客の挿入、前顧客の削除、住所変更など)に必要とされる特権的(クラス「A」の)アプリケーション110Bに対してのみ、およびプライバシー関連機能(顧客について収集された個人情報を顧客に通知すること、個人情報を変更/更新すること、および「適用選択/適用除外選択」制御を適用することなど)の関連機能)を取り扱うアプリケーションに対してのみ、提供される。例えば、顧客プライバシープレファレンスを閲覧し、指定し、変更するのに使われるクライアントインターフェースモジュール122は、特権アプリケーションである。特権アプリケーションが特権アプリケーションであると適切に同定されることを確実ならしめると共に、特権ビュー262が承認されていない任意の主体によるアクセスを防止するため、適当な保安対策がとられる。

0047

ある種のSDWアプリケーション(「クラスB」)は顧客の振る舞いの見通しを得るため、例えば顧客の傾向あるいは行動パターンを同定するため、個人データに解析を施すことができる。そのようなアプリケーションは(知的業務者あるいは「パワーアナリスト」と呼ばれる)エンドユーザーが駆動することができる。かかるエンドユーザーとは即興的に照会を行うことができるエンドユーザー、典型的にはカスタム構築したソフトウェアあるいは標準的照会もしくはOLAPツールを使って、上記のパターンを発見するようなエンドユーザーである。彼らエンドユーザーは発掘ツール(data mining tools)も使用することができる。このツールでは統計的もしくは機械学習アルゴリズム(machine learning algorithms)が当該アナリストと共にパターンを発見し、そのパターンからアナリストが予測モデルを構築する。

0048

最も有効な値を導出するため、解析アプリケーション利用可能なすべての形態の個人情報にアクセスしなければならない。必要とされる個人のプライバシーを尊重すると同時にそのようなアクセスを可能にするため、特別の「匿名化」データビューが使用される。これらデータビューは個人データフィールドへのアクセスを提供するように設計されているが、データ所有者を同定できる情報(例えば氏名、住所、電話番号、社会保障番号、口座番号など)を含むすべてのフィールド遮蔽するように設計されている。

0049

匿名化ビュー264は個人情報の閲覧および解析を許すが、列224内のフラッグ(当該消費者を同定する情報と個人データの公開を許可するフラッグ)が選択されていない限り、同定情報部分204に格納されている情報を閲覧および解析から遮蔽する。このデータは解析アプリケーション110Cに提供することができる。このアプリケーションはデータ発掘および即興的照会を許容する。消費者が許可するなら、この情報はまたサードパーティアプリケーション112にも与えることができる。

0050

別のクラスの特権アプリケーション(「クラスC」)にはある形態の処置(action)を行うために個人情報を使用するアプリケーション、たとえばマーケティングアプリケーション(郵便もしくは電話による勧誘を行うものなど)が含まれる。これらのマーケティングアプリケーションは各顧客に対して設定された「適用選択/適用除外選択」制御を受け、アクティブ化された「適用除外選択」指標(indicator)をもつすべての記録を除去しあるいは隠す特別のデータビューを介して、顧客情報にアクセスする。したがって、例えばマーケティング勧誘を受信しない選択をした任意の顧客は、マーケティングアプリケーションが生成する任意の接触リストから適用除外される。

0051

「適用除外選択」指標はデータビュー経由で顧客表に追加され、あるいは既存の顧客表に接合される新規の列である。(これは論理データモデルに追加される変更である。)一実施例では、各顧客行に対するこの列の値は、初めは「適用除外選択」に設定される(あるいは法律で許可されるなら「適用選択」に設定される)が、クライアントインターフェースモジュール122経由で改変することができる。このモジュール122はプライバシー制御に関する顧客のリクエストを処理する。

0052

多重「適用除外選択」指標は、各顧客レコードに対して設定することができる。最小限、「直接販売」、「身元データのサードパーティへの公開」、「サードパーティへの匿名データの公開」、「自動判定」、および「機密データの使用」に対する5個の適用除外選択が用意される。しかし、さらに詳細な顧客のプレファランスに基づいてさらに詳細に分類した適用除外選択を設計することができよう。例えば、「直接販売」に対する適用除外選択項目は、電話、ダイレクトメール、および電子メールによる接触、および「その他」の処置のための雑類事項に分けることができよう。こうすると8個の別個の適用除外選択が生じる。

0053

適用除外選択ビュー266は処置アプリケーション110Dによって自動判定(automated decisions)を行うために情報を利用することは許可する。そのようなアプリケーションはたとえば電話あるいは郵便による勧誘などの処置を行うものである。この情報の閲覧は列228内のフラッグにより制御される。列228に格納されている値は、この代わりとして十分な値域をもつ一文字を含むことができる。その文字は、当該勧誘が許可されることを定義するに留まらずいかなる種類および範囲の勧誘が許可されるかを指示することを許容できる。

0054

(マーケティングや解析等を目的として)サードパーティに個人データを公開しあるいは照会するアプリケーションはクラスC(「適用除外選択」)のビューおよびクラスB(「匿名」)のビューの両方を受ける。もしも顧客が、サードパーティによる自分のデータの使用を適用除外とする選択をしていると、「適用除外選択」データビューが適用され、それらの行(レコード)は出力から適用除外される。他の顧客は彼らのデータが匿名であることを条件にサードパーティへの公開を「適用選択」しているかも知れない。そのような場合には顧客データは出力される前に「匿名化」データビューを介して匿名化される。他のすべての場合は顧客は身元が同定できる形式で自分の個人データが公開されることの適用選択をしている。この場合は個人データが身元同定データと共に出力される。

0055

適用選択もしくは適用除外選択をするためのさらに細かい分類を用意することができる。種々の許可および保護に関して顧客毎同意を求め、特定の適用選択もしくは適用除外選択を設定できる。例えば、サードパーティへの公開は、個人の特徴および個人の身元の両方に関連する特定のデータに基づいて行うことができる。顧客は自分の住所および関心事のプロファイルを提供することに同意するが、経済情報および電話番号については同意しないこともあり得る。

0056

適用選択/適用除外選択は各顧客のさらに詳細なプロファイルおよび関心事が得られるようにさらに拡張することができる。例えば、適用除外選択(例えば第4節で同定した8個の適用除外選択)のクラスをそれぞれ別個に各範疇の個人データ(例えば人口統計学的データ、プレファレンスデータなど)に適用することができようし、あるいは個人データの各特定データ項目(例えば年齢、性別ハイキング趣味、好みのブランドなど)にまで適用することができよう。このようにして、顧客はいくつかの関心領域に関連するいくつかの処置を適用除外選択することができ、他の項目を適用選択する(例えばランニングシューズについてダイレクトメールの受信を適用する)ことができる。

0057

図3はさらに細かく分類された適用選択および適用除外選択を備えた保安データウェアハウス102の、別の論理モデルを示す。この実施例では、各クラスのプライバシープレファレンスが各範疇のデータ(例えば人口統計など)に別個に適用され、あるいは個人データ(例えば年齢、性別、ハイキングの趣味、あるいは好みの靴ブランド)の各特定データ項目にまで適用される。例えば、消費者ビル・K・ジョーンズはいくつかの目的には彼の氏名へのアクセス許可するが、その他の目的にはアクセス不可とする選択をなしうる。これらの制限は列302-310の記入事項として適切な組合せのフラッグを入力することにより選択することができる。同様にしてジョーンズ氏の名前の格納およびまたは使用に関してプライバシープレファレンスを指定するのに列312-320を使用することができる。列312-320に定義されたプレファレンスは、列302-310に記述されたものと異なるかも知れないし、同一かも知れない。本発明はまた、さらに詳細な顧客のプレファレンスに基づいて、前述の保安プレファレンス範例(secure preference paradigm)を細密な多重的プレファレンス(multiple fine-grain preferences)へ拡張することを可能にする。例えば、直接販売は電話、ダイレクトメール、電子メール、および「その他」の処置をとりたいキャッチコールに対する別々のプライバシープレファレンスに分解することができよう。さらに、直接販売の範囲を一回の接触だけを許可するように指定することができよう。

0058

別の実施例ではデータ暗号を使用することによって、拡張データベース106およびデータビュースイート108が果たす特徴的な保安およびプライバシー保護がさらに強化される。これは与えられた行のデータを暗号化コードで暗号化することにより、あるいは各データフィールドに固有の暗号化数を与えることにより、行うことができる。その代わりとして、消費者のプライバシープレファレンスを実行することができるようにいろいろの階層的レベルでデータを暗号化することもできる。

0059

一実施例では暗号化技術は任意の同定フィールド上で使用されると共に行単位でも選択的に適用される。この技術によれば、顧客が(例えばデータを発掘する目的などで)匿名のままに留まることを可能にする一方、データ暗号化権を有するアプリケーションもしくはデータ請求者に対しては積極的に身元の同定を受け入れることが可能になろう。

0060

データビューのオペレーション
本発明のデータビュースイート108におけるデータビューは、ベース表の適当な列および行を結果表中に選択的に引き入れるSQLステートメントを発生する。(データをビューサブセットにまで狭める前に表全体を作成する)従来技術と比較して、本技術はデータ請求者にデータを呈示するのために必要な処理を低減する。

0061

データベース所有者すなわちBBB ONLINE、TRUSTE、PRICE−WATERHOUSE,TRW、DMAあるいはCPAWEBTRUST、あるいはNCRのような独立の監査サービスは、定期的にもしくは苦情を受けたときに、安価にデータベースの見直し(review)を行うことができる。これらの見直しでは論理データモデルとデータベースのスキーム、当該システムを使用するアプリケーションとユーザー、およびテラデータアクセスログ調査される。

0062

論理データモデルの見直しでは、データビュー構造を調査し、(個人情報へのアクセスを制限している)正規ユーザー用の「標準」ビュー、解析アプリケーション用の「匿名」ビュー、およびその他のアプリケーション用の「適用除外選択」ビューの存在が調査される。

0063

これらのアプリケーションの見直しおよびユーザーの見直しは、アプリケーション、ユーザー、およびそれらに付与されているアクセス権を調査する。この見直しは、「クラスA」特権をもつアプリケーション/ユーザーが「個人データ」データビューへのアクセス権をもっていること、「クラスB」解析アプリケーション/ユーザーが「匿名化」データビューへのアクセス権をもっていること、「クラスC」処置アプリケーション/ユーザーが「適用除外選択」ビューへのアクセス権をもっていること、個人データの出力表あるいはファイルを生成するアプリケーションが「適用除外選択」および「匿名化」ビューへのアクセス権をもっていること、並びに他のアプリケーションが「標準」ビューを使用することの確認を行う。

0064

最後に、テラデータアクセスログあるいは別のデータベース管理システムから得た類似のログが見直される。これは行われたアクセス活動が当該データソースにより規定されているプライバシーパラメーター適合していることを確証するためである。

0065

図4は本発明の特徴であるプライバシー監査オペレーションの概観を表す図である。データ請求主体が拡張データベース106内のデータへのアクセスを望むときはいつでも、リクエストはデータベース管理システムインターフェース109に対してなされ、インターフェース109がプライバシーパラメーターにしたがって当該データベース表内のデータへのアクセスを制御する。当該リクエスト主体ステータスに基づいてデータビュースイート108からリクエスト主体に与えられるデータビューを使って、拡張データベース106の表がアクセスされ、そのデータが提供される。同時に、データベースアクセス(アクセスが不成功であるときはその試みられたアクセス)がアクセスログ(access log)402に記録される。アクセスログ402は、アクセスもしくはアクセスの試みの形態、アクセスを生じたリクエストのテキスト(SQL)、アクセスの頻度、リクエストされた処置、リクエスト主体またはアプリケーション名または識別データ、および参照されたオブジェクト(表、データビューおよびまたはマクロ)に関する情報を含む。アクセスログ402により、データビュースイート108内のデータビュー、マクロスイート111内のマクロ、あるいはデータベース106内のベース表へのすべてのアクセスを監査することができる。アクセス特権を付与しまたは呼び出す総ての活動が同様に監査できる。これが可能であるのは、アクセスログ402の内容と表/データビュー/マクロの定義とからプライバシー規則が施行されているかあるいは破られているか決定ができるからである。

0066

プライバシー監査モジュール118が設けらるのは、プライバシーパラメーターを有効に適用すべくアクセスログ402内のデータについてプライバシー解析を行うためである。プライバシー監査モジュール118はプライバシーに関するすべてのイベント(event)を追跡し、個人データへのアクセスに関する活動を要約し、プライバシー規則のいかなる疑惑ある違反にもフラッグを立てる。プライバシーテストスイート404は、プライバシー規則を「破る」ことを試みてからアクセスログ402を調査してプライバシー規則が適用されたかあるいは破られたかを決定するプログラムその他の手順を含んでいる。プライバシー監査モジュール118はこれを、顧客プライバシープレファレンスが適用されているか否かを独立に評価するサービス監査者またはデータウェアハウスマネージャが使用できるように、手直しできる。

0067

メタデータサービス
メタデータサービスはプライバシーメタデータサブシステム(privacy metadata subsystem、PMDS)拡張機能114を含む。PMDS拡張機能114は多数のパラメーターを格納し、追跡するとともにこれらのパラメーターを使ってプライバシーが関わる活動を追跡する。追跡されたパラメーターには、(1)システムに現在あるすべてのデータエレメント(データベース、ユーザー、表、ビューおよびマクロを含む)のデータ復号化、(2)システムに対してソースとなった内部エレメントのデータ復号化、(3)システムに対してソースとなった外部エレメントのデータ復号化、(4)システムにとってターゲットとなった内部エレメントのデータ復号化、(5)システムからエキスポートされたデータエレメントのデータ復号化、(6)すべてのユーザー、グループおよびアプリケーション並びに当該データへのそれらのアクセス権のプロファイル、(7)データのアクセス/更新、表/ビュー/マクロの生成、特権の付与/取消しユーザープロファイルの変更、およびトリガーに関するイベント記録を含む。

0068

PMDS拡張機能114はまた、プライバシーに固執するデータコントローラを支配する実行可能なビジネス規則と、テラデータログ(例えば記録の開始/終了)の操作(manipulations)に関するイベントの記録もしくは別のデータベース管理システムにおけるそれと類似の記録に関するイベントの記録とを格納し管理する。

0069

また、PMDS拡張機能114はプライバシーが関わるメタデータを見直し、管理するための高レベルGUI406をプライバシー統括者に提供する。このGUIは、すべての顧客(消費者またはデータの主体)の情報に対するデータベースとそれらの表/ビューマクロ構造グラフィック表示、および関連するユーザー/ユーザーグループの特権のグラフィック表示を含む。またGUI406は、プライバシー統括者がGUI406を介して与える定義に基づき、プライバシー規則を設定すると共にその設定の結果、データビュー、マクロ、もしくはアクセス権を発生するパラメーター駆動手段(parameter-driven means)を提供する。またGUI406は、外部監査者が当該サイトのプライバシー保護策の見直しを行う際に彼を案内する便宜を提供する。

0070

PMDS拡張機能114はまた、報告を行う便宜的機能を提供する。これは種々のデータベースおよびPMDSログの内容を解析してプライバシー関連の活動に関して報告を行うものである。プライバシー統括者はそのようなプライバシー報告を対話形インターフェースもしくは印刷された報告を介して見直すことができる。独立の監査者はプライバシー統括者と共に、そのような報告の助けを借りて監査を行うことができる。

0071

またPMDS拡張機能114は、消費者の個人データおよびそれに関連するプライバシー規則へのアクセス、それらの見直し、および訂正を行う消費者をサポートするためのGUIアプリケーションユーティリティ別途提供する。またPMDS拡張機能114は、プライバシー関連のイベントに関するさらに詳細な記録をとるための便宜を提供することもできる。

0072

マクロ
単独であるいはここに記載するデータビューと組み合わせてマクロ111(すなわちデータベース管理システムインターフェースに格納された手順)を使用してデータの制御とデータへのアクセスを記録することができる。データプライバシーパラメーターを適用すべくマクロを使用する場合は、ユーザーは「選択」アクセス権を与えられない。その代わり、ユーザーは、マクロスイート111内のマクロへのアクセス権を与えられる。このマクロは実際のデータアクセスを行うと共に将来の監査を目的としてアクセスログ402内のイベントを記録する。その場合も、これらのマクロは適用除外選択された行および列へのアクセスを制限する前記ビューを通して当該データに対し実行される。そのようなマクロは単一行アクセスを記録するのに特に適している。

0073

データ辞典
データ辞典408は、システム内のすべての表、データビュー、およびマクロ、システム内のすべてのマクロ、すべてのユーザーおよび彼らの特権(ユーザーが所有しているマクロに関する特権を含む)を含めたデータベーススキーマに関する情報を格納している。

0074

プロセス
図5は本発明の一実施例を実施するのに使用するオペレーション例を例示する流れ図である。このプロセッサは、ブロック502に示すようなデータベース表内のデータに関連する一以上の列にプライバシープレファレンス(privacy preferences、プライバシー保護のために選好した事項)を格納するとともにこれを取り出すため、このデータベース表を拡張することにより開始する。このデータベース表は一消費者プライバシーパラメータを反映するデータ制御情報を格納する少なくとも一つのデータ制御列を含む複数のデータ列を含む。この拡張されたデータベース106は、データ(個人的および非個人的パラメータ)及びプライバシーパラメータを格納するための論理モデル(logical model)を形成する。普通、このデータベースは初め、最大限にプライバシー保護を行うための選択(すべてのデータ収集、解析、および配布を適用除外する選択(opt-out、適用除外選択))するためのパラメータで満ちている。許される場合には、データベースは初めもっと低い、ときには最小限の、プライバシー保護を選択するプライバシーパラメータで満たすことができる。

0075

このとき、プライバシーパラメータは当該データソースから受信することができる。ここではデータソースとは通常、当該データの究極的ソース(すなわち消費者)である。しかし他の実施例ではデータソースは媒介的サードパーティーでもあり得る。その場合のサードパーティーは、当該データをどのように使用できもしくは共有できるかの指示が設けられているデータを与えられ、かつ、当該データがそれらの指示に従って使用され配布されることを保証しなければならない。これらのプライバシーパラメータの受領は、(実際のもしくはコンピュータ上の)サービス係と電話を介して通話することによって、あるいはクライアントインターフェースモジュール122にデータソースプレファレンスを受信・送信することができるキオスク、自動現金預け払い機ATM)その他の装置を介して、あるいはクライアントインターフェースモジュール122、インターネットブラウザ126およびブラウザプラグイン128を走らせているコンピュータ、電話線に接続された簡単なモデムを介して、達成することができる。これらのいずれの場合にもこのデータソースは個人データを見ることができ、データソースの要求する条件に合致するプライバシーパラメータを選択することができる。アクセスがインターネットブラウザ126,モデム、キオスク、あるいはATMを通して提供されるときは、このプロセスを通してユーザーを案内するためのプライバシーウィザードを用意することができる。データソースは愛顧者プログラムを受ける見返りとしてデータの収集、解析、もしくは配布活動のいくつかが適用される選択(opt-in、適用選択)をすることができる。一旦データソースのプライバシーパラメータが得られると、それらのパラメータは、プライバシーパラメータの実体であるデータに関連する列に格納される。

0076

消費者に関する同定情報(当該消費者により提供され、あるいは消費者との取り引きの一部として収集される)は顧客表202の同定セグメントすなわち部分204に格納され、消費者に関する個人情報はデータベース表202の個人情報セグメントすなわち部分206に格納される。これはブロック504に表してある。

0077

請求主体がデータへのアクセスをリクエストするとき、アクセスはデータビュースイート108,マクロスイート111、あるいはその両方を経由してのみ与えられる。従ってデータは確実に当該データのソースの個人的プライバシーパラメータに基づいて与えられる。

0078

次に顧客表202内のデータにアクセスし使用しあるいは配布する特権を有するリクエスト主体からデータリクエストが受信され、受理される(ステップ506)。これはブロック506に表してある。リクエスト主体の特権は、特権ビュー(これは顧客レコード内の実質上すべてのデータへのアクセスを与える)あるいはデータへの限定的なビュー(適用除外選択ビュー)を介して、データへアクセスする資格をそのデータリクエストに与えることができる。これとは対照的に、データのいかなる部分の閲覧も不許可とするようにリクエスト主体の特権を制限することができる。

0079

次にブロック508に示すように、リクエスト主体のデータ特権に従って選択されたデータビューを介してリクエスト主体に当該データが与えられる。データビューはデータをリクエスト主体に呈示する前に顧客が供給したプライバシーパラメータにしたがってデータをマスクする。

0080

リクエスト主体はデータビューを使用してそのデータを取得すべくデータベースにアクセスすることができる。一実施例では前もってリクエスト主体にデータビューが与えられるので、リクエスト主体は必要に応じてデータビューを使用しさえすればデータにアクセスできる。別の実施例では、データリクエストに応答してリクエスト主体にデータビューが与えられるので、そのデータビューはそのデータリクエスト、そのデータに関連したプライバシーパラメータ、およびリクエスト主体の身元に応じて仕立てられる。

0081

図6はどのようにデータがデータビューを介してリクエスト主体に与えられるかに関するさらなる詳細を示す流れ図である。第一に、リクエスト主体のデータ特権に従ってリクエスト主体にデータビューが与えられる。これはブロック602に示してある。前述したように、このデータビューは前もって、あるいはデータリクエストに応答して、与えることができる。次に、与えられた上記データビューに従ってデータが取り出される。これはブロック604に示してある。データは、データリクエストを、ベース表(base table)からデータ列及びデータ行を選択的に結果表(result table)へ引き出すデータベースクエリー(databasequery、データベースに問い合わせを行う手順)に翻訳することによって取り出される。最後に、ブロック606に示すように結果表がリクエスト主体に与えられる。

0082

別の実施例
図7は本発明の別の実施例を示すブロック線図である。この実施例では二つのデータベースを使用する。その最初のものは匿名データベース708で、これは表706に関連する匿名データ及び変名(pseudonyms)を、その中に格納されている表706内に格納している。その第二のものは、信託データベース(trusted database)704で、これは変名を顧客同定情報に関連づける表702を格納している。このアプローチでは顧客の氏名は信託データベース704内に別個に格納してある。このデータベースは、データ管理システムインターフェース109がこれを使用して顧客の身元を変名に結びつけ、従って匿名データベース708内に格納されているデータに結びつける。また、信託データベースは個人のプライバシーパラメータを格納する。

0083

クライアントの変名はこれをクライアントに、インターネット126あるいはクライアントのコンピュータその他の手段により顧客カード138もしくはスマートカード136を発行することにより、提供することができる。このとき変名は、消費者取引に対するプロキシとして(従って上記のように収集されたデータを匿名状態に保持したまま)使用することができる。顧客の身元確認を発掘することを防止するために望ましければ、異なる商業者または店舗ごとに異なる変名を使用することができる。

0084

顧客は、データプライバシープレファレンスの選択の仕方により非匿名データの収集、使用または配布を許可する選択をすることができる。これらのプレファレンスはデータ管理システムインターフェース109により強行され、愛顧者カード138、スマートカード136,インターネット136、その他の通信/データ格納方法を使用するクライアントにより提供される。一実施例では、顧客のパターンを調査し、発掘の結果に基づいて提案されたデータプライバシーパラメータを作成するため、インテリジェントソフトウェアエイジェント(intellignet software agent)がデータ発掘機能を実行する。

0085

もう一つの実施例では、多重レベル保安プライバシーシステム(multi levelsecurity privacy system)に別個の信託データベース704及び匿名データベース708を使用する。この場合、いろいろの小売りアウトレットに合わせるため、あるいはいろいろの個人的プレファレンスを包含するため、いろいろの法的規制のプライバシー保護条件に適合するよう、ここに開示した暗号化、マクロ、データビューおよび/または別個のデータベース技術が組み合わされる。

0086

図8はプライバシーデータウェアハウスの別の実施例を示す図である。前述した他の実施例と同様、データベース管理システム104内のデータへのアクセスは、データビュースイート108内のデータビューを介して、あるいはマクロスイート111内のマクロを介して、達成される。この実施例では、プライバシーサービス機能150,クライアントインターフェースモジュール122,メタデータ監視拡張機能114,及び監査インターフェース118を含むプライバシーメタデータサービス機能インターフェース802が再びデータベース管理システム104へのすべてのアクセスに介在する。プライバシーメタデータサービス機能インターフェース802はそれ故、データベース管理システム104,データビュースイート108内のデータビュー、及びマクロスイート111内のマクロへのすべてのアクセスを記録し制御する。

0087

図9は介在させたプライバシーメタデータサービス機能インターフェースを備えたデータビューの実施例を示す図である。データベース管理システム104内の顧客ベース表(customer base table)内のデータの可視性及びデータへのアクセスはデータビュー及びマクロ111により与えられる。データ中へ入るビューは図9に示す同心的四角形表現してある。消費者アクセスマクロまたは消費者ビューは、当該消費者に関するデータもしくはデータの実体を含む顧客データベース表の単一行へのアクセスをユーザー/消費者に与える。システムアシスタント902がデータベースインフラストラクチャの定義及び管理維持をサポートする一方、プライバシーアシスタント904が表、データビュー、マクロ、ユーザープロファイル、ログ記録、及び監査報告の定義および管理維持をサポートする。前と同様、ルーチンアプリケーション110Aは標準ビュー260を介して顧客ベース表へアクセスでき、解析アプリケーション110Cは顧客を同定するデータがマスクされる匿名ビューを介してアクセスでき、アクション(マーケティング)アプリケーション110Dは顧客データの全行が省かれる適用除外選択ビューを介してアクセスでき、サードバーティー公開アプリケーション(thirdparty disclosure applications)112は、適用選択(opt-in)をしたが同定データへのアクセスは許可しない顧客のみを呈示するデータビューが与えられる。適用除外選択ビュー/匿名データビューは、別個に用意されたデータビューとして用意することもできるし、適用除外選択と匿名化の両方が適用されるデータビューとして用意することができる。

図面の簡単な説明

0088

図1データウェアハウス化システム実施例のシステムブロック図である。
図2プライバシー拡張顧客表およびデータベースビュー内に格納された顧客表の構造例を示すブロック図である。
図3データウェアハウス化システムの別の実施例のシステムブロック図である。
図4本発明の特徴であるプライバシー監査オペレーションの概略を表すブロック図である。
図5本発明の一実施例を実行するために使用されるオペレーション例を示す流れ図である。
図6データビューを介して請求をするユーザー(以下、請求ユーザー)にデータを与えるのに使用されるオペレーション例を示す流れ図である。
図7別個に配備された信託データベース(trusted database)を備えたプライバシーデータウェアハウスの別の実施例を示す図である。
図8すべてのデータアクセスを管理しログ記録すべく挿入されたプライバシーメタデータサービス機能付きプライバシーデータウェアハウスの別の実施例を示す図である。
図9プライバシーメタデータサービス機能インターフェースを備えたデータビューの別の実施例を示す図である。

--

0089

100データウェアハウス化システム
102保安データウェアハウス(secure data warehouse)
104データベース管理システム(database management system)
106拡張データベース
128ブラウザプラグイン
202 顧客表
204同定情報部分
206個人情報部分
208機密情報部分
210グローバルデータ制御列
212データ制御列
702格納表
704信託データベース
802プライバシーメタデータサービスインターフェース
904 プライバシーアシスタント

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ