図面 (/)

技術 個人情報保護・利用サーバ

出願人 株式会社コネクトドット
発明者 星野寛
出願日 2015年12月8日 (4年11ヶ月経過) 出願番号 2015-239021
公開日 2017年6月15日 (3年5ヶ月経過) 公開番号 2017-107306
状態 特許登録済
技術分野 記憶装置の機密保護 計算機におけるファイル管理 検索装置
主要キーワード データベースユニット 関係付け情報 ICシール データベース管理情報 利用サーバ 個人情報サーバ 運用負荷 サービス享受者
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2017年6月15日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (13)

課題

個人情報漏洩盗難の可能性が低く、情報利用者にとって個人情報を利用しやすいシステムを実現することができ、外部からの不正なアクセスによって個人情報が盗み取られる心配の無いサーバを提供する。

解決手段

複数の個人成分情報Vから構成される個々の個人情報を、個人情報に一意的に割り当てられたPCコードCに関係付け情報項目R毎に別々に分散させて複数のデータベースユニット20−1、20−2、……、20−nに格納し、事業者が、ログインIDSをもってログインしPCコードCをもって個人情報を取り出そうとしたときに、事業者が属するグループのグループIDSGをキーとしてアクセス権テーブル30からアクセス権を取り出し、アクセスが許可されたデータベースユニットからPCコードCをキーとして情報項目Rに対応した個人成分情報Vを取り出すようにアクセス制御部22により制御する。

概要

背景

現代のような情報化社会においては、各種事業所医療機関、官公などにおける様々な業務で膨大な数の個人情報集積されデータベース化されている。このような個人情報が、本人の知らないところで遣り取りされたり無制限に利用されたりすると、自己の情報が不当に取り扱われて不測の不利益を被ったり、家族構成勤務先、学歴、通院歴、クレジットカード利用状況といったような個人の私生活に関わる事柄が他人に知られてしまいプライバシー侵害されたりする危惧もある。一方、集積されデータベース化された個人情報は、適切に管理された上で、個人に対しサービスを提供する事業者に必要な情報を開示するようにすれば、個人がサービス提供事業者に一々住所連絡先などを知らせる必要が無くなるので、個人にも便益をもたらすことになる。

事業所等に集積された個人情報の保護と利用を図る技術としては、例えば、広域的に分散した個人情報をインターネット経由で利用させるシステムにおける個人情報の保護を目的として、データベース内の個人情報に対するアクセス権限を設定するためのアクセスポリシーを個人情報の所有者から受け付けプロキシサーバ上に格納し、インターネットを介してアクセスしてくる外部アクセス者からのアクセスがあったときに、プロキシサーバ内のアクセスポリシーを解析して外部アクセス者のアクセス権限を判別し、解析したアクセス権限に基づいて外部アクセス者に対しデータベース内の個人情報を利用させるようにし、これにより、データベータ管理者による運用の負担や守秘責任に係る負荷を低減できるようにする情報アクセス制御方法が提案されている(例えば、特許文献1参照。)。また、複数の部分情報からなる顧客の個人情報を格納したテーブルおよび個人情報の各部分データフィールド)に対する事業者のアクセス権を格納したテーブルを含む個人情報データベースを有する個人情報サーバと、顧客に対しサービスを提供する事業者のサーバおよび顧客の端末とを、それぞれ互いにネットワークを介して接続し、事業者サーバから個人情報サーバに対し個人情報のアクセス要求があったときに、個人情報の顧客IDと事業者名とで個人情報のフィールド別アクセス権テーブル検索し、検索の結果得られたアクセス権設定レコードに基づき、顧客の個人情報を格納したテーブルを個人情報の顧客IDで検索し、個人情報のフィールド別アクセス権でアクセス可能とされたフィールドのみの個人情報を事業者サーバ側で受信できるようにするアクセス権管理方法が提案されている(例えば、特許文献2参照。)。

概要

個人情報の漏洩盗難の可能性が低く、情報利用者にとって個人情報を利用しやすいシステムを実現することができ、外部からの不正なアクセスによって個人情報が盗み取られる心配の無いサーバを提供する。複数の個人成分情報Vから構成される個々の個人情報を、個人情報に一意的に割り当てられたPCコードCに関係付け情報項目R毎に別々に分散させて複数のデータベースユニット20−1、20−2、……、20−nに格納し、事業者が、ログインIDSをもってログインしPCコードCをもって個人情報を取り出そうとしたときに、事業者が属するグループのグループIDSGをキーとしてアクセス権テーブル30からアクセス権を取り出し、アクセスが許可されたデータベースユニットからPCコードCをキーとして情報項目Rに対応した個人成分情報Vを取り出すようにアクセス制御部22により制御する。

目的

一方、集積されデータベース化された個人情報は、適切に管理された上で、個人に対しサービスを提供する

効果

実績

技術文献被引用数
0件
牽制数
0件

この技術が所属する分野

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

多数の個人情報からなる情報資源を格納するデータベースを備え、情報利用者に対し情報資源へのアクセス権を制御して個人情報を保護するとともに、必要な情報資源を取り出して利用することを可能にする個人情報保護利用サーバにおいて、複数の情報項目のそれぞれに対応させて入力された複数の個人成分情報から構成される個々の個人情報を、その個人情報に一意的に割り当てられたコードに関係付け1つの情報項目もしくは2以上の情報項目を含む群毎に別々に分散させて格納する複数のデータベースユニットを有し、多数の情報利用者をグループ分けした各グループ毎に、そのグループに属する情報利用者が前記複数のデータベースユニットのうちアクセスすることが許可される1つもしくは2以上のデータベースユニットをそれぞれ定義するアクセス権テーブルと、情報利用者が、その情報利用者を識別するための識別情報をもってログインし個人情報に割り当てられたコードをもってその個人情報を取り出そうとしたときに、その情報利用者が属するグループを識別するための識別情報をキーとして前記アクセス権テーブルから当該情報利用者のアクセス権を取り出し、アクセスが許可された1つもしくは2以上のデータベースユニットから前記コードをキーとして各情報項目に対応した個人成分情報を取り出すように制御するアクセス制御部と、を備えたことを特徴とする個人情報保護・利用サーバ。

請求項2

情報利用者が限時的もしくは単回的に前記複数のデータベースユニットのうちアクセスすることが許可される1つもしくは2以上のデータベースユニットをそれぞれ定義する別のアクセス権テーブルをさらに備え、情報利用者が、その情報利用者を識別するための識別情報をもってログインし個人情報に割り当てられたコードをもってその個人情報を取り出そうとしたときに、その情報利用者の識別情報および前記コードをキーとして前記別のアクセス権テーブルから当該情報利用者のアクセス権が取り出され、アクセスが許可された1つもしくは2以上のデータベースユニットから前記コードをキーとして各情報項目に対応した個人成分情報が一定時間内にもしくは1回だけ取り出されるように、前記アクセス制御部による制御が行われるようにした請求項1に記載の個人情報保護・利用サーバ。

請求項3

前記情報利用者は、個人からその個人情報に割り当てられたコードの提示を受け当該個人に対してサービスを提供する事業者である請求項1または請求項2に記載の個人情報保護・利用サーバ。

請求項4

前記情報項目、前記コードおよび前記情報資源の格納場所である個々のデータベースユニットをそれぞれ暗号化し分散させて書き込むための複数のログファイルを有する請求項1ないし請求項3のいずれかに記載の個人情報保護・利用サーバ。

技術分野

0001

この発明は、個人情報を統括的に集中管理するサーバと多くの利用者端末との間をネットワーク繋ぐクライアントサーバシステムにおいて、事業者に対し必要な個人情報を開示してその利用を図るとともに、事業者が必要とする以上の個人情報を開示せずに個人情報の保護を図ることができる個人情報保護利用サーバに関する。

背景技術

0002

現代のような情報化社会においては、各種事業所医療機関、官公などにおける様々な業務で膨大な数の個人情報が集積されデータベース化されている。このような個人情報が、本人の知らないところで遣り取りされたり無制限に利用されたりすると、自己の情報が不当に取り扱われて不測の不利益を被ったり、家族構成勤務先、学歴、通院歴、クレジットカード利用状況といったような個人の私生活に関わる事柄が他人に知られてしまいプライバシー侵害されたりする危惧もある。一方、集積されデータベース化された個人情報は、適切に管理された上で、個人に対しサービスを提供する事業者に必要な情報を開示するようにすれば、個人がサービス提供事業者に一々住所連絡先などを知らせる必要が無くなるので、個人にも便益をもたらすことになる。

0003

事業所等に集積された個人情報の保護と利用を図る技術としては、例えば、広域的に分散した個人情報をインターネット経由で利用させるシステムにおける個人情報の保護を目的として、データベース内の個人情報に対するアクセス権限を設定するためのアクセスポリシーを個人情報の所有者から受け付けプロキシサーバ上に格納し、インターネットを介してアクセスしてくる外部アクセス者からのアクセスがあったときに、プロキシサーバ内のアクセスポリシーを解析して外部アクセス者のアクセス権限を判別し、解析したアクセス権限に基づいて外部アクセス者に対しデータベース内の個人情報を利用させるようにし、これにより、データベータ管理者による運用の負担や守秘責任に係る負荷を低減できるようにする情報アクセス制御方法が提案されている(例えば、特許文献1参照。)。また、複数の部分情報からなる顧客の個人情報を格納したテーブルおよび個人情報の各部分データフィールド)に対する事業者のアクセス権を格納したテーブルを含む個人情報データベースを有する個人情報サーバと、顧客に対しサービスを提供する事業者のサーバおよび顧客の端末とを、それぞれ互いにネットワークを介して接続し、事業者サーバから個人情報サーバに対し個人情報のアクセス要求があったときに、個人情報の顧客IDと事業者名とで個人情報のフィールド別アクセス権テーブル検索し、検索の結果得られたアクセス権設定レコードに基づき、顧客の個人情報を格納したテーブルを個人情報の顧客IDで検索し、個人情報のフィールド別アクセス権でアクセス可能とされたフィールドのみの個人情報を事業者サーバ側で受信できるようにするアクセス権管理方法が提案されている(例えば、特許文献2参照。)。

先行技術

0004

特開2002−014862号公報(第3−5頁、図1図8図11
特開2002−324194号公報(第5−6頁、図1図5

発明が解決しようとする課題

0005

特許文献1に記載された情報アクセス制御システムは、個人情報が広域的に分散して存在し個人情報を含むデータベースにインターネットを介してアクセス可能となっている情況において、データベースへのアクセス権限の制御を行うものである。このシステムでは、インターネット上に分散的に存在する多くのデータベースの管理が個々のデータベース管理者によって行われ、このため、データベースからの個人情報の漏洩盗難の可能性が高くなる。また、データベース内の個人情報に対する外部アクセス者のアクセス権限を設定するためのアクセスポリシーは、個人情報の所有者が端末からインターネットを介して複数のデータベース管理情報システムにアクセスし個別にそれを登録する。したがって、データベース管理者による運用負荷や守秘責任は低減される一方、個人情報所有者の手間や負担が大きくなる。また、このシステムでは、プロキシサーバにおいて外部アクセス者の属性アクセスルールの内容とが判別され、外部アクセス者の端末からのアクセス要求に対してアクセス権限が設定され、個人識別情報によって特定される個人情報の検索が行われ、データベースから個人情報の一部または全部の読み取りの可・不可といった外部アクセス者に対するアクセス制御が行われるが、不正アクセス者に対するセキュリティ対策は必ずしも十分であるとは言えず、外部からの不正なアクセスによって個人情報が盗み取られる恐れもある。

0006

特許文献2に記載されたアクセス権管理方法は、複数の事業者サーバに個人情報を蓄える方式ではなく、個人情報サーバで個人情報を一元管理することにより個人情報の入力・変更の作業の負担を軽減するものである。このアクセス権管理方法では、個人情報の利用者である事業者別に個人情報のフィールド毎のアクセス権を設定し、その事業者別のアクセス権情報をデータベースに格納する必要がある。しかも、顧客にサービスを提供するために個人情報を利用しようとする事業者のアクセス権が未設定の場合に、事業者サーバが個人情報サーバに個人情報を要求すると、サービスを受ける顧客の端末に個人情報サーバが問い合わせを行い、顧客によって設定されるフィールド別アクセス権をデータベースに追加し、そのアクセス権に基づき、アクセス許可されたフィールドの個人情報を事業者サーバへ返信するようにする。このようにシステムが煩雑であり、顧客に対してサービスを提供する事業者にとっては、必ずしも利用しやすいシステムであるとは言えない。また、特許文献1に記載のシステムと同様に、不正アクセス者に対するセキュリティ対策が万全であるとは言えず、外部からの不正なアクセスによって個人情報が盗み取られる恐れがある。

0007

この発明は、以上のような事情に鑑みてなされたものであり、個人情報を一元管理するシステムであって、データベースからの個人情報の漏洩・盗難の可能性が低く、個人情報所有者の手間や負担が少なく、顧客に対してサービスを提供する事業者にとっても利用しやすいシステムを実現することができ、不正アクセス者に対するセキュリティ対策も十分で、外部からの不正なアクセスによって個人情報が盗み取られる心配の無い個人情報保護・利用サーバを提供することを目的とする。

課題を解決するための手段

0008

この発明は、複数の個人成分情報から構成される個々の個人情報を複数のデータベースに分散させて格納するようにし、多数の情報利用者グループ分けして、複数のデータベスのうちのアクセス可能なデータベースをグループ単位で定義する、といった着想によりなし得たものである。なお、この明細書では、個人情報を分散させて格納する個々のデータベースをデータベースユニットと呼ぶことにする。
すなわち、請求項1に係る発明は、多数の個人情報からなる情報資源を格納するデータベースを備え、情報利用者に対し情報資源へのアクセス権を制御して個人情報を保護するとともに、必要な情報資源を取り出して利用することを可能にする個人情報保護・利用サーバ(以下、「PCサーバ」という)において、複数の情報項目のそれぞれに対応させて入力された複数の個人成分情報から構成される個々の個人情報を、その個人情報に一意的に割り当てられたコードに関係付け1つの情報項目もしくは2以上の情報項目を含む群毎に別々に分散させて複数のデータベースユニットに格納し、多数の情報利用者をグループ分けした各グループ毎に、そのグループに属する情報利用者が前記複数のデータベースユニットのうちアクセスすることが許可される1つもしくは2以上のデータベースユニットをアクセス権テーブルでそれぞれ定義し、情報利用者が、その情報利用者を識別するための識別情報をもってログインし個人情報に割り当てられたコードをもってその個人情報を取り出そうとしたときに、その情報利用者が属するグループを識別するための識別情報をキーとして前記アクセス権テーブルから当該情報利用者のアクセス権を取り出し、アクセスが許可された1つもしくは2以上のデータベースユニットから前記コードをキーとして各情報項目に対応した個人成分情報を取り出すようにアクセス制御部で制御するようにしたことを特徴とする。

0009

請求項2に係る発明は、請求項1に記載のPCサーバにおいて、情報利用者が限時的もしくは単回的に前記複数のデータベースユニットのうちアクセスすることが許可される1つもしくは2以上のデータベースユニットを別のアクセス権テーブルでそれぞれ定義し、情報利用者が、その情報利用者を識別するための識別情報をもってログインし個人情報に割り当てられたコードをもってその個人情報を取り出そうとしたときに、その情報利用者の識別情報および前記コードをキーとして前記別のアクセス権テーブルから当該情報利用者のアクセス権が取り出され、アクセスが許可された1つもしくは2以上のデータベースユニットから前記コードをキーとして各情報項目に対応した個人成分情報が一定時間内にもしくは1回だけ取り出されるように、前記アクセス制御部による制御が行われるようにしたことを特徴とする。

0010

請求項3に係る発明は、請求項1または請求項2に記載のPCサーバにおいて、前記情報利用者が、個人からその個人情報に割り当てられたコードの提示を受け当該個人に対してサービスを提供する事業者であることを特徴とする。

0011

請求項4に係る発明は、請求項1ないし請求項3のいずれかに記載のPCサーバにおいて、前記情報項目、前記コードおよび前記情報資源の格納場所である個々のデータベースユニットをそれぞれ暗号化し分散させて複数のログファイルに書き込むようにしたことを特徴とする。

発明の効果

0012

請求項1に係る発明のPCサーバにおいては、個人情報が一元管理される。そして、複数の個人成分情報(個人に固有の氏名、住所、生年月日等)から構成される個々の個人情報が複数のデータベースユニットに分散して、1つの情報項目(氏名、住所、生年月日、家族構成、勤務先、収入等)もしくは2以上の情報項目を含む群(氏名と性別職業と勤務先、固定電話の番号とFAX番号、携帯電話の番号とメールアドレス等)毎に別々に格納されるので、仮にデータベースが盗まれたとしても、複数の個人成分情報の集合によって初めて個人を特定することが可能になる個人情報が漏洩し盗難される可能性は低くなる。また、データベースからの情報資源の取り出しにおいて、個々人の個人情報に割り当てられた複数のコードを指定して1つの情報項目に属する複数の個人成分情報を一度に取り出すことができても、1つのコードを指定して複数の個人成分情報を一度に取り出すことを禁止するような構成としたときは、データベースからの個人情報の漏洩・盗難の可能性がより低くなる。そして、このサーバでは、情報利用者別にデータベースへのアクセス権を設定するのではなく、多数の情報利用者をグループ分けして各グループ毎にデータベースへのアクセス権を定義するので、個人情報を登録する個人の手間や負担が低減する。

0013

また、例えば情報利用者が、個人からその個人情報に割り当てられたコードの提示を受け当該個人に対してサービスを提供する事業者である場合において、このサーバを利用する事業者は、その識別情報をもってログインし、顧客から提示されたコードを入力することにより、データベースから個人情報を取り出すことができるので、事業者にとって個人情報を利用しやすくなる。この場合において、各グループが必要とする最小限の個人情報へのアクセス権をアクセス権テーブルにそれぞれ定義しておくようにすれば、事業者が属するグループを識別するための識別情報をキーとしアクセス権テーブルで定義された事業者のアクセス権に基づいて個人情報の取り出しを行ったときに、事業者が必要とする情報項目についての個人成分情報のみが取り出されるので、必要以上の個人情報が流出する恐れが無くなる。さらに、このサーバのデータベースに対し不正にアクセスすることができたとしても、データベースから多くの個人成分情報を一度に取り出すことができないので、短時間での大量の個人情報の流出を防ぐことができる。

0014

したがって、このPCサーバを用いると、データベースからの個人情報の漏洩・盗難の可能性が低く、個人情報所有者の手間や負担が少なく、顧客に対してサービスを提供する事業者にとっても利用しやすいシステムを実現することができ、不正アクセス者に対するセキュリティ対策も十分で、外部からの不正なアクセスによって個人情報が盗み取られる心配も少なくなる。

0015

請求項2に係る発明のPCサーバでは、事業者(情報利用者)がその識別情報をもってログインしグループの識別情報をキーとしてアクセス権テーブルで定義された情報項目について個人情報を取り出す、といった方法では取り出すことのできない個人成分情報を必要とする場合に、事業者は、その事業者の識別情報をもってログインし、顧客から提示されたコードを入力すると、その事業者の識別情報およびコードをキーとして別のアクセス権テーブルから事業者のアクセス権が取り出され、アクセスが許可されたデータベースユニットから個人情報が取り出される。この場合において、グループが必要とする情報項目とは別の、事業者が一時的に必要とする情報項目へのアクセス権を別のアクセス権テーブルに定義しておくことにより、事業者の識別情報およびコードをキーとし別のアクセス権テーブルで定義されたアクセス権に基づいて必要とする個人情報が一時的に取り出される。したがって、このサーバは、サービス享受者に便宜を供与するとともに、事業者にとっても個人情報をより利用しやすくなる。

0016

請求項4に係る発明のPCサーバでは、操作ログ履歴)から個人成分情報の格納場所が連想しにくく、データベースからの個人情報の漏洩・盗難がより確実に防がれる。

図面の簡単な説明

0017

この発明の実施形態の1例を示し、PCサーバの概略構成ならびにそのPCサーバを含めたシステムを説明するための模式図である。
この発明に係るPCサーバと顧客およびサービス提供業者との関係を説明するための概略図である。
この発明に係るPCサーバのデータベースからの情報資源の取り出しの1例について説明するための図であって、情報資源を関係データベーステーブル形式で示す図である。
この発明に係るPCサーバにおけるPCコード(顧客の個人情報に一意的に割り当てられるコード)の生成および個人情報の書き込みの操作時における流れの1例を説明するためのシステム構成図である。
このPCサーバのデータベースへの情報資源の格納方式をテーブル形式で示す図である。
この発明に係るPCサーバにおける個人情報の個人成分情報を更新する操作時における流れの1例を説明するためのシステム構成図である。
この発明に係るPCサーバにおける個人情報の個人成分情報を削除する操作時における流れの1例を説明するためのシステム構成図である。
この発明に係るPCサーバにおける個人情報の個人成分情報を取り出す操作時における流れの1例を説明するためのシステム構成図である。
図8にシステム構成図を示して説明した一連の操作におけるフローチャートである。
この発明に係るPCサーバにおける個人情報の個人成分情報を取り出す操作時における流れの別の例を説明するためのシステム構成図である。
図8に示したものとは別の実施形態に係るPCサーバにおける個人情報の個人成分情報を取り出す操作時における流れの1例を説明するためのシステム構成図である。
図11に示したPCサーバにおいて別のアクセス権テーブルにアクセス権定義を設定する操作手順を説明するためのシステム構成図である。

実施例

0018

以下、この発明の最良の実施形態について図面を参照しながら説明する。
この発明に係るPCサーバは、個人情報を統括的に集中管理するためのサーバであって、図2に示すように、PCサーバ10は、通信ネットワーク、例えばインターネット12を介して、個人情報を所有する多くの顧客14の端末(スマートフォンタブレット型端末携帯電話機パソコン等。以下、単に「端末」という)、および、顧客14に対して各種のサービスを提供する多くの事業者(サービス提供業者)16の端末とそれぞれ接続されている。そして、顧客14は、PCサーバ10からその顧客の個人情報に一意的に割り当てられるPCコードの発行を受け(矢印a)、PCサーバ10に個人情報を登録する(矢印b)。一方、サービス提供業者16は、顧客14に対してサービスを提供する際に、例えば顧客がインターネット上のショップ通信販売などで購入して商品配達する際に、顧客14からショップ等を通じてPCコードの提示を受け(矢印c)、そのPCコードをもってPCサーバ10にアクセスし(矢印d)、PCサーバ10からサービスの提供に必要な最低限の個人情報を取得する(矢印e)。

0019

図1に示すように、PCサーバ10は、例えばREST(REpresentational State Transfer)プロトコル実装された通信インタフェース18、氏名、住所、電話番号、勤務先等といった情報項目(R)についての個人に固有の複数の個人成分情報(V)から構成される多数の個人情報(P)を、後述するように分散して管理する情報資源データベース20、および、このデータベース20に格納された情報資源へのアクセス権を制御するアクセス制御部22を備えている。ここで、個人情報(P)は、〔情報項目(R1):個人成分情報(V1)〕、〔情報項目(R2):個人成分情報(V2)〕、……、〔情報項目(Rn):個人成分情報(Vn)〕といった形式で表すことができるような複数の成分情報の集合である。また、PCサーバ10は、入力された個人情報(P)に一意的に割り当てられるPCコード(C)を生成するPCコード生成器24、個人情報(P)の情報項目(R)ごとに異なるアルゴリズムで暗号化を行うときに用いる暗号鍵暗号化キー)テーブル26、個人情報(P)の情報項目(R)およびPCコード生成器24で生成されたPCコード(C)を暗号化キーとして個人情報(P)の個人成分情報(V)の格納場所を計算する格納場所計算器28、および、データベース20に格納された情報資源に対するサービス提供業者16のアクセス権を定義するアクセス権テーブル30を備えている。その他、図2には図示していないが、PCサーバ10の利用状況や捜査状況などを記録する複数のログファイルを備えている。

0020

情報資源データベース20には、複数の個人成分情報(V)から構成される個人情報(P)が、その個人情報(P)に割り当てられたPCコード(C)に関係付けられて、複数のデータベースユニットに分散して格納される。すなわち、個人情報(P)を構成する複数の個人成分情報(V)は、個人情報(P)の情報項目(R)およびPCコード(C)を暗号化キーとして格納場所計算器28で計算された格納場所であるデータベースユニットに別々に分散して格納される。この場合において、一個人の個人情報(P)について1つのデータベースユニットには1つの個人成分情報(V)が格納されるが、例えば氏名と性別、固定電話の番号とFAX番号、携帯電話の番号とメールアドレス、生年月日と年齢、職業と勤務先、勤務先とその住所および電話番号といったような情報項目については、それら2以上の情報項目を含む一群の個人成分情報を1つのデータベースユニットに格納するようにしてもよい。なお、以下では、データベースユニットを、データ構造の1つであるRDB(関係データベース)のテーブル(表)に対応するコレクションとして説明する。

0021

また、データベース20からの情報資源の取り出しにおいて、複数のPCコード(C)に対する1つの情報項目(R)については複数の個人成分情報(V)を一度に取り出すことができるが、1つのPCコード(C)に対して複数の情報項目(R)についての複数の個人成分情報(V)を一度に取り出すことを禁止するようにしてもよい。具体的には、複数のPCコード(C)を指定することができるが、情報項目(R)については1つしか指定することができないような通信インタフェース18としておくことができる。これについて、RDBにおけるテーブル形式で図3に示す。図3に示した例において、一点鎖線Aで囲んだ複数の電話番号については一度に取り出すことができるが、破線Tで囲んだ氏名、電話番号、住所および生年月日については一度に取り出すことができない。1つのPCコード(C)に対する個人成分情報(V)の集合(テーブルの行方向における氏名、電話番号、住所および生年月日の集合)は、個人を特定することができるが、そのような個人成分情報(V)の集合については一度に取り出すことができず、一方、複数のPCコード(C)に対応する複数の個人成分情報(V)の集合(テーブルの列方向における複数の氏名の集合、複数の電話番号の集合等)については一度に取り出すことができるが、そのような複数の個人成分情報(V)の集合だけでは個人を特定することはできない。したがって、データベース20からの個人情報の漏洩・盗難の可能性が低くなる。

0022

次に、このPCサーバ10における操作手順の流れ(操作フロー)の1例について、図4図6図8および図10図12に示すシステム構成図に基づき操作ごとに説明する。これらの図においては、それぞれの操作において関係の無い構成部分については図示を省略している。

0023

まず、PCコードの生成および個人情報の書き込みの操作時における流れを図4に基づいて説明する。
顧客14の端末からPCサーバ10に個人情報(P)が入力されると、個人情報(P)が通信インタフェース18へ転送され(ST1)、これによってPCコード生成器24にコード生成のRESTリクエストが出される。ここで、個人情報(P)は、情報項目(R):個人成分情報(V)の集合であって、〔情報項目(R1):個人成分情報(V1)〕、〔情報項目(R2):個人成分情報(V2)〕、……、〔情報項目(Rn):個人成分情報(Vn)〕といった形式で表すことができる。具体的には、情報項目(R)は、氏名、電話番号、住所、生年月日などといったインデックス(見出し)であり、個人成分情報(V)は、個人に固有の「山田太郎」といった氏名、「075−123−4567」といった電話番号、「京都市○○区△△××番地」といった住所、「1980年1月15日」といった生年月日などである。PCコード生成器24において個人情報(P)に一意的に割り当てられるPCコード(C)が生成されると、そのPCコード(C)が格納場所計算器28に渡されるとともに、個人情報(P)に含まれる情報項目(R)((R1)、(R2)、……、(Rn))が格納場所計算器28に渡される(ST2)。そして、アクセス制御部22により、格納場所計算器28で計算された格納場所、すなわち複数のコレクション20−1、20−2、……、20−nのうちのいずれかのコレクションに、個人情報(P)から取り出した個人成分情報(V)が書き込まれる(ST3)。各コレクション20−1、20−2、……、20−nには、複数の個人情報(P)の個人成分情報(V)が、図5の(a)〜(d)に示すように、それぞれテーブル形式で格納される。また、PCコード生成器24で生成されたPCコード(C)および格納場所計算器28で計算された格納場所の値が通信インタフェース18に渡され、個人情報(P)の情報項目(R)などと共にログファイル32に暗号化して書き込まれる(ST4)。このとき、ログから個人情報(P)の個人成分情報(V)の格納場所が割り出されることがないように、情報項目(R)、PCコード(C)および格納場所を複数のログファイルに分散させて書き込むようにするとよい。また、PCコード生成器24で生成されたPCコード(C)は、通信インタフェース18に渡されて、RESTのリプライとして返され(ST5)、顧客14の端末へ送られる。

0024

次に、個人情報(P)の個人成分情報(V)を更新する操作時における流れを図6に基づいて説明する。
顧客14の端末からPCサーバ10にPCコード(C)と、更新しようとする個人情報(P)の情報項目(R)および個人成分情報(V)とが入力されると、PCコード(C)、情報項目(R)および個人成分情報(V)が通信インタフェース18へ転送され(ST1)、個人情報更新のRESTリクエストが出される。これにより、PCコード(C)および情報項目(R)が格納場所計算器28に渡され(ST2)、格納場所計算器28において、更新する情報項目(R)の格納場所が計算される。そして、アクセス制御部22により、格納場所計算器28で計算された情報項目(R)の格納場所、すなわち複数のコレクション20−1、20−2、……、20−nのうちのいずれかのコレクションにおける個人成分情報が新たな個人成分情報(V)で更新される(ST3)。また、PCコード(C)および格納場所計算器28で計算された格納場所の値が通信インタフェース18に渡され、それらがログファイル32に暗号化し分散させて書き込まれ(ST4)、PCコード(C)が通信インタフェース18に渡されて、RESTのリプライとして返され(ST5)、顧客14の端末へ送られる。

0025

次に、個人情報(P)の個人成分情報(V)を削除する操作時における流れを図7に基づいて説明する。
顧客14の端末からPCサーバ10にPCコード(C)と、削除しようとする個人情報(P)の情報項目(R)とが入力されると、PCコード(C)および情報項目(R)が通信インタフェース18へ転送され(ST1)、個人成分情報削除のRESTリクエストが出される。これにより、PCコード(C)および情報項目(R)が格納場所計算器28に渡され(ST2)、格納場所計算器28において、削除する情報項目(R)の格納場所が計算される。そして、アクセス制御部22により、格納場所計算器28で計算された情報項目(R)の格納場所、すなわち複数のコレクション20−1、20−2、……、20−nのうちのいずれかのコレクションにおける個人成分情報(V)が削除される(ST3)。また、PCコード(C)および格納場所計算器28で計算された格納場所の値が通信インタフェース18に渡され、それらがログファイル32に暗号化し分散させて書き込まれ(ST4)、PCコード(C)がRESTのリプライとして返され(ST5)、顧客14の端末へ送られる。

0026

このPCサーバ10のデータベース20に格納された個人情報(P)は、以下のようにして利用される。なお、このPCサーバ10を利用するためには、個人および事業者(サービス提供業者)が予め、システムにログインするためのログインIDをそれぞれ取得しておくことが必要である。また、ログインIDを保有する多数の事業者は、データベースへのアクセス権が共通するサービス業種毎複数グループに分けられ、その各グループにグループIDがそれぞれ設定されており、事業者のログインIDに、その事業者が属するグループのグループIDが対応付けられている。

0027

例えば、顧客がインターネット上のショップや通信販売などで商品を購入すると、顧客は、ショップや通販業者を通じて宅配業者にPCコード(C)を知らせる。PCコード(C)の提示を受けた宅配業者は、スマートフォン等の端末からPCサーバ10にアクセスし、PCコード(C)をもってPCサーバ10から商品の配達に必要な最低限の個人情報(P)、すなわち氏名、住所および電話番号といった個人成分情報(V)を取り出し、顧客に対し商品の配達といったサービスを提供する。この個人情報(P)の個人成分情報(V)を取り出す操作時における流れの1例を図8に基づいて説明する。

0028

配達業者がその端末からPCサーバ10にログインID(S)を入力すると、ログインID(S)が通信インタフェース18へ転送され(ST1)、これによってPCサーバ10へのログインのRESTリクエストが出される。また、PCコード(C)および個人情報(P)の情報項目(R)を入力すると、PCコード(C)および情報項目(R)が通信インタフェース18へ転送され(ST2)、これによって情報項目(R)についての個人成分情報(V)取り出しのRESTリクエストが出される。ここで、情報項目(R)としては、氏名、住所および電話番号の3項目を指定することとする。そして、ログインID(S)に対応付けられたグループID(SG)がアクセス権テーブル30に渡され、グループID(SG)をキーとしてアクセス権テーブル30から配達業者のアクセス権定義が取り出され、PCコード(C)に対する3つの情報項目(R)へのアクセス権の有無が調べられる(ST3)。この結果、3つの情報項目(R)のうち1つでもPCコード(C)に対するアクセス権が無いときには、その結果が通信インタフェース18に渡され、ログファイル32にエラーメッセージが書き込まれ(ST6)、RESTのリプライとして返され(ST7)、配達業者の端末へエラーメッセージが送られる。一方、PCコード(C)に対する3つの情報項目(R)へのアクセス権が有るときには、PCコード(C)および情報項目(R)が格納場所計算器28に渡される(ST4)。そして、アクセス制御部22により、格納場所計算器28で計算された格納場所、すなわち複数のコレクション20−1、20−2、……、20−nのうちのいずれか3つのコレクションから、個人情報(P)の3つの個人成分情報(V)が取り出される(ST5)。また、PCコード(C)および格納場所計算器28で計算された格納場所の値が通信インタフェース18に渡され、ログファイル32に暗号化し分散させて書き込まれる(ST6)。そして、取り出された3つの個人成分情報(V)が通信インタフェース18に渡されて、RESTのリプライとして返されて(ST7)、配達業者の端末へ送られる。図9に、以上の一連の操作におけるフローチャートを示す。

0029

上記した例では、個人情報(P)の情報項目(R)を3つ一度に指定するようにしているが、情報項目(R)を1つずつしか指定することができないような通信インタフェース18とすることができる。このときは、ST2〜ST7の操作手順が氏名、住所および電話番号の3つの情報項目(R)についてそれぞれ行われることとなる。そして、ST2〜ST7の操作手順が3回繰り返されることにより、氏名、住所および電話番号の3つの個人成分情報(V)が順次取り出されて配達業者の端末に返信されることになる。

0030

次に、上記したようにPCコード(C)と共に情報項目(R)を指定するのではなく、PCコード(C)のみを指定し、アクセス権テーブル30から取り出されたアクセス権定義により所定の情報項目(R)が指定される実施形態について、個人成分情報(V)を取り出す操作時における流れを図10に基づき説明する。
配達業者がその端末からPCサーバ10にログインID(S)を入力すると、ログインID(S)が通信インタフェース18へ転送され(ST1)、これによってPCサーバ10へのログインのRESTリクエストが出される。また、PCコード(C)を入力すると、PCコード(C)が通信インタフェース18へ転送され(ST2)、これによって個人成分情報(V)取り出しのRESTリクエストが出される。そして、ログインID(S)に対応付けられたグループID(SG)がアクセス権テーブル30に渡され、グループID(SG)をキーとしてアクセス権テーブル30から配達業者のアクセス権定義が取り出され、配達業者に対して個人成分情報(V)の取り出しが許可される情報項目(R)、例えば氏名、住所および電話番号の3つの情報項目(R)が指定される(ST3)。この情報項目(R)とPCコード(C)が格納場所計算器28に渡され(ST4)、アクセス制御部22により、格納場所計算器28で計算された格納場所、すなわち複数のコレクション20−1、20−2、……、20−nのうちのいずれか3つのコレクションから、個人情報(P)の3つの個人成分情報(V)が取り出される(ST5)。また、PCコード(C)および格納場所計算器28で計算された格納場所の値が通信インタフェース18に渡され、ログファイル32に暗号化し分散させて書き込まれる(ST6)。そして、取り出された3つの個人成分情報(V)が通信インタフェース18に渡されて、RESTのリプライとして返され(ST7)、配達業者の端末へ送られる。

0031

上記したPCサーバ10のアクセス権テーブル30は、事業者が属するサービス業種を表すグループを識別するためのグループID(SG)に対し事業者(事業者が属するグループ)がアクセスすることができる情報資源(個人情報(P)の情報項目(R))を定義するテーブルであり、当該業種のサービスが存在する間は普遍的なものである。このようなアクセス権テーブル30の他に、図11に示すように、限時的もしくは単回的に事業者のアクセス権を定義する別のアクセス権テーブル34を備えた構成とすることができる。この別のアクセス権テーブル34にアクセス権定義を設定する操作手順を、図12に基づいて説明する。

0032

顧客がその端末からPCサーバ10に顧客のログインID(CO)を入力すると、ログインID(CO)が通信インタフェース18へ転送され(ST1)、PCサーバ10にログインする。また、顧客がサービスの提供を受けようとするサービス提供業者のログインID(S)、サービス提供業者に対してアクセスを許可しようとする個人情報(P)の情報項目(R)およびPCコード(C)を入力すると、ログインID(S)、情報項目(R)およびPCコード(C)が通信インタフェース18へ転送され(ST2)、これによって別のアクセス権テーブル34へのアクセス権設定のRESTリクエストが出される。そして、ログインID(S)、情報項目(R)およびPCコード(C)が別のアクセス権テーブル34に渡され(ST3)、別のアクセス権テーブル34にアクセス権定義およびその有効期限が設定される。ここで、有効期限は、例えば時間単位で設定することができるが、有効期限として0時間を設定したときには、当該アクセス権定義が消去されるまでその設定が有効となる。また、顧客がサービス提供業者と対面しているような場面では、有効期限を設定する代わりに1回限りのアクセス権として設定することもできる。別のアクセス権テーブル34にアクセス権定義が設定されると、その設定の成否(B)が通信インタフェース18に渡される(ST4)。そして、PCコード(C)および情報項目(R)の値がログファイル32に暗号化して書き込まれ(ST5)、また、アクセス権定義の設定の成否(B)がRESTのリプライとして返され(ST7)、顧客の端末へ送られる。

0033

上記した別のアクセス権テーブル34を使用した個人情報(P)の個人成分情報(V)の取り出し操作時における流れを、図11に基づいて説明する。
例えば、顧客が電車内忘れ物をして、電気鉄道会社の忘れ物センターから顧客にメール等による連絡があり、忘れ物を着払い配送してもらうために、忘れ物センターに対して通常は開示されない顧客の郵便番号と住所を忘れ物センターに一時的に開示する、といった場合を考える。まず、顧客は、上記したような操作手順によりアクセス権テーブル34にアクセス定義を設定する。このとき、個人情報(P)の情報項目(R)として郵便番号と住所を指定する。そして、顧客は、忘れ物センターにPCコード(C)を知らせる。PCコード(C)の提示を受けた忘れ物センターが、その端末からPCサーバ10にログインID(S)を入力すると、ログインID(S)が通信インタフェース18へ転送され(ST1)、これによってPCサーバ10へのログインのRESTリクエストが出される。また、PCコード(C)および個人情報(P)の情報項目(R)を入力すると、PCコード(C)および情報項目(R)が通信インタフェース18へ転送され(ST2)、これによって情報項目(R)についての個人成分情報(V)取り出しのRESTリクエストが出される。ここでは、情報項目(R)として郵便番号と住所を指定する。そして、ログインID(S)およびPCコード(C)が別のアクセス権テーブル34に渡され、ログインID(S)およびPCコード(C)をキーとして別のアクセス権テーブル34から忘れ物センターのアクセス権定義が取り出され、PCコード(C)に対する情報項目(R)へのアクセス権の有無が調べられる(ST3)。この結果、アクセス権が無いときには、その結果が通信インタフェース18に渡されて、ログファイル32にエラーメッセージが書き込まれ(ST6)、RESTのリプライとして返され(ST7)、忘れ物センターの端末へエラーメッセージが送られる。一方、アクセス権が有るときには、PCコード(C)および情報項目(R)が格納場所計算器28に渡される(ST4)。そして、アクセス制御部22により、格納場所計算器28で計算された格納場所、すなわち複数のコレクション20−1、20−2、……、20−nのうちのいずれかのコレクションから、個人情報(P)の個人成分情報(V)が取り出される(ST5)。また、PCコード(C)および格納場所計算器28で計算された格納場所の値が通信インタフェース18に渡され、ログファイル32に暗号化し分散させて書き込まれる(ST6)。そして、取り出された郵便番号と住所の個人成分情報(V)が通信インタフェース18に渡され、RESTのリプライとして返されて(ST7)、その情報が忘れ物センターの端末へ送信される。

0034

このPCサーバは、上記したように、インターネット上のショップや通信販売などで商品を購入した顧客に対して配達サービスを提供する宅配業者が、商品の配達に必要な最低限の顧客の個人情報を取得したりする場合などに利用されるが、その他にも種々の活用形態が考えられる。例えば、会社等の受付システムにPCサーバを利用することができる。すなわち、来訪者名刺等の情報を、PCサーバで発行されるPCコードと対応付けてPCサーバに登録し、その発行されたPCコードをICチップに記憶させたICシールを来訪者に渡しておく。次回以降に来訪した際に、受付において、ICシールを名刺等に貼り付けたICタグリーダで読み取り、PCサーバにアクセスして、PCサーバから来訪者の身分を示す情報を取り出してシステムの画面に表示する。また、訪問日や時刻、用件、担当者等の来訪記録をPCサーバに登録しておき、その来訪者の情報をPCサーバで管理する、といったような方法で、このPCサーバを利用することができる。

0035

また、忘れ物をしやすい身の回り品に、PCコードを記憶させたICタグを貼り付けたり取り付けたりしておくと、忘れ物センターでは、PCコードをもってPCサーバにアクセスして落とし主を特定することができる。この場合に、忘れ物センターに対して開示する情報を電話番号やメールアドレスに限定しておけば、落とし主は忘れ物センターからの連絡を受けることができる一方、必要以上の個人情報が開示されることがない。さらに、心臓等に持病のある人が、PCコードを記憶させたICタグを携行しておくようにすると、突然に倒れ救急車で緊急搬送されるような事態が起こったときに、救急隊員消防署のログインIDでPCサーバにログインしPCコードをもってアクセスすることにより、既往症やかかりつけの病院などの情報を取得してより適切な処置を施すことができることになる。

0036

この発明は、個人情報を統括的に集中管理するサーバと多くの利用者端末との間をネットワークで繋ぐサーバシステムにおいて個人情報の利用と適切な保護を図ることができる個人情報保護・利用サーバに係るものであり、情報技術の分野、商品の配送、企業や組織における情報管理などの分野において広く利用される。

0037

10PCサーバ
12インターネット
14 顧客
16サービス提供業者
18通信インタフェース
20データベース
20−1、20−2、……、20−nコレクション(データベースユニット)
22アクセス制御部
24 PCコード生成器
26暗号鍵テーブル
28格納場所計算器
30アクセス権テーブル
32ログファイル
34 別のアクセス権テーブル
C PCコード
P個人情報
R情報項目
V個人成分情報
S配達業者のログインID
SGグループID
CO 顧客のログインID

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

技術視点だけで見ていませんか?

この技術の活用可能性がある分野

分野別動向を把握したい方- 事業化視点で見る -

(分野番号表示ON)※整理標準化データをもとに当社作成

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ