[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2003067524A - Method, device and program for protecting personal information - Google Patents

Method, device and program for protecting personal information

Info

Publication number
JP2003067524A
JP2003067524A JP2001258259A JP2001258259A JP2003067524A JP 2003067524 A JP2003067524 A JP 2003067524A JP 2001258259 A JP2001258259 A JP 2001258259A JP 2001258259 A JP2001258259 A JP 2001258259A JP 2003067524 A JP2003067524 A JP 2003067524A
Authority
JP
Japan
Prior art keywords
user
personal information
site
anonymity
name
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2001258259A
Other languages
Japanese (ja)
Other versions
JP5158662B2 (en
Inventor
Masamichi Torikai
將迪 鳥飼
Yutaka Tsukamoto
豊 塚本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Laurel Intelligent Systems Co Ltd
Original Assignee
Laurel Intelligent Systems Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=19085813&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP2003067524(A) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Laurel Intelligent Systems Co Ltd filed Critical Laurel Intelligent Systems Co Ltd
Priority to JP2001258259A priority Critical patent/JP5158662B2/en
Priority to PCT/JP2001/008896 priority patent/WO2002033610A1/en
Priority to AU2001295913A priority patent/AU2001295913A1/en
Priority to US10/398,743 priority patent/US8171556B2/en
Publication of JP2003067524A publication Critical patent/JP2003067524A/en
Priority to US12/613,757 priority patent/US20100063929A1/en
Application granted granted Critical
Publication of JP5158662B2 publication Critical patent/JP5158662B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Landscapes

  • Information Transfer Between Computers (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

PROBLEM TO BE SOLVED: To permit surveillance on illicit circulation of personal information. SOLUTION: A user provides his/her personal information to sites by using different pseudonyms E(B13P), E<2> (B13P) and so on for different sites MTT, MEC and so on, and stores the pseudonyms in a database in association with the corresponding sites. If an e-mail addressed to a pseudonym is sent from a site, the name of the site corresponding to the address (pseudonym) of the e-mail is found by searching the database to check to see if the name of the site matches the name of the e-mail transmitter, thereby determining if the personal information provided to the site was illicitly offered to other operators.

Description

【発明の詳細な説明】Detailed Description of the Invention

【0001】[0001]

【発明の属する技術分野】本発明は、コンピュータシス
テムを利用して、ネットワーク上での個人情報を保護す
る個人情報保護方法、個人情報保護装置およびプログラ
ムに関する。
BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a personal information protection method, a personal information protection device and a program for protecting personal information on a network by using a computer system.

【0002】[0002]

【従来の技術】従来において、ユーザがネットワークを
通してサイトにアクセスして、たとえばショッピング等
のネットワーク上での何らかの行動を起こす際に、当該
ユーザの住所氏名や年齢あるいは嗜好情報等の個人情報
の送信をサイト側から要求される場合がある。
2. Description of the Related Art Conventionally, when a user accesses a site through a network and takes some action on the network such as shopping, the personal information such as the address, name, age or preference information of the user is transmitted. It may be requested by the site side.

【0003】そのサイト側の要求を受けてユーザが、た
とえば釣りが趣味であることを含む個人情報を当該サイ
トに提供した場合に、後日そのサイトとは別のサイトか
ら釣具販売用の電子メールやダイレクトメールがユーザ
に送られてくる場合があった。
In response to a request from the site, if the user provides the site with personal information including hobbies for fishing, for example, an electronic mail for selling fishing tackles or a mail from a site other than the site will be provided at a later date. Direct mail was sometimes sent to users.

【0004】[0004]

【発明が解決しようとする課題】このように、従来にお
いては、或るサイトに個人情報を提供した場合に、その
個人情報がネットワークを通じて他のサイトに流通する
おそれがある。特に、高度情報化社会になればなるほ
ど、或るサイトに提供した個人情報がネットワークを通
じて一瞬のうちに世界中に広まる状態となり、ユーザの
プライバシーが世界的規模で侵害されてしまうという不
都合が生ずる。
As described above, conventionally, when personal information is provided to a certain site, the personal information may be distributed to other sites through the network. In particular, the higher the information society, the more quickly personal information provided to a certain site is spread all over the world through a network, and the privacy of users is violated on a global scale.

【0005】そこで、従来においては、ネットワーク上
のプライバシーを守る目的で開発された技術であるP3
P(Platform for Privacy Preferences)によれば、サ
イト側がユーザに対しプライバシーポリシーを提示し、
ユーザによって予め入力設定されたユーザ側端末がその
プライバシーポリシーを参照してユーザ側のどの個人情
報をサイト側に提示するかを自動的に決定し、提示して
よい個人情報のみがサイト側に提示される。このプライ
バシーポリシーには、個人情報の収集目的、収集した個
人情報の利用の態様、収集した個人情報の開示範囲(流
通範囲)等が、XML(Extensible Markup Languade)
文書で記述されている。
Therefore, in the past, P3, which is a technique developed for the purpose of protecting privacy on the network
According to P (Platform for Privacy Preferences), the site side presents the privacy policy to the user,
The user-side terminal pre-set by the user refers to the privacy policy and automatically determines which personal information on the user side to present to the site side, and only the personal information that may be presented is presented to the site side. To be done. This privacy policy includes XML (Extensible Markup Languade) such as the purpose of collecting personal information, the manner of using the collected personal information, and the disclosure range (distribution range) of the collected personal information.
Described in the document.

【0006】[0006]

【発明が解決しようとする課題】しかし、このプライバ
シーポリシーに同意してユーザが自己の個人情報をサイ
ト側に提供した場合に、そのプライバシーポリシーに定
められている流通許容範囲を越えて自己の個人情報が不
正に流通しているか否かを監視する術が、ユーザ側には
なかった。
However, when the user agrees to this privacy policy and provides his / her own personal information to the site side, his / her personal information exceeds the allowable distribution range defined in the privacy policy. There was no way for the user to monitor whether the information was distributed illegally.

【0007】本発明は、係る実情に鑑み考え出されたも
のであり、その目的は、個人情報の不正流通を監視でき
るようにすることである。
The present invention has been conceived in view of the actual situation, and an object thereof is to enable monitoring of illegal distribution of personal information.

【0008】[0008]

【課題を解決するための手段】請求項1に記載の本発明
は、コンピュータシステムを利用して、ネットワーク上
での個人情報を保護する個人情報保護方法であって、ユ
ーザがネットワークを通してアクセスし自己の個人情報
を提供するサイトを特定するために用いる識別情報であ
って、前記個人情報を入手した者がその個人情報主であ
るユーザにメールを送る場合には該メールに含まれるこ
ととなる識別情報をプロセッサを利用して生成する識別
情報生成ステップと、該識別情報生成ステップにより生
成された識別情報を用いてユーザがサイトにアクセスし
て個人情報を提供する個人情報提供ステップと、該個人
情報提供ステップにより提供された前記個人情報を入手
した者が該個人情報主であるユーザに対し送ったメール
に含まれている前記識別情報に基づいて特定される前記
サイトと前記メールの送り主とが一致するか否かを判定
して前記ユーザの個人情報の流通状態を監視する監視ス
テップとを含む。
The present invention according to claim 1 is a personal information protection method for protecting personal information on a network by using a computer system, wherein a user accesses through the network and Identification information used to identify the site that provides the personal information, and the identification that will be included in the mail when the person who obtained the personal information sends a mail to the user who is the personal information owner. Identification information generating step of generating information by using a processor, personal information providing step of allowing a user to access a site and provide personal information using the identification information generated by the identification information generating step, and the personal information Before being included in the mail sent to the user who is the owner of the personal information by the person who obtained the personal information provided by the providing step It is determined whether the sender of the site and the mail which is specified based on the identification information matches and a monitoring step of monitoring the distribution status of the personal information of the user.

【0009】請求項2に記載の本発明は、請求項1に記
載の発明の構成に加えて、前記識別情報は、サイト毎に
使い分けるユーザの匿名である。
According to a second aspect of the present invention, in addition to the configuration of the first aspect of the present invention, the identification information is anonymity of a user who uses it properly for each site.

【0010】請求項3に記載の本発明は、コンピュータ
システムを利用して、ネットワーク上での個人情報を保
護する個人情報保護装置であって、ユーザがネットワー
クを通してアクセスし自己の個人情報を提供したサイト
を特定するために用いる識別情報を特定可能な情報であ
って、前記個人情報を入手した者がその個人情報主であ
るユーザにメールを送る場合には該メールに含まれるこ
ととなる識別情報を特定可能な情報を格納する識別情報
格納手段と、前記個人情報を入手した者がその個人情報
主であるユーザに対し送ったメールに含まれている前記
識別情報に基づいて特定される前記サイトと前記メール
の送り主とが一致するか否かを判定して前記ユーザの個
人情報の流通状態を監視する監視手段とを含む。
The present invention according to claim 3 is a personal information protection apparatus for protecting personal information on a network by using a computer system, wherein a user accesses through the network and provides his own personal information. Identification information that can identify identification information used to identify a site, and if the person who obtained the personal information sends a mail to a user who is the owner of the personal information, the identification information included in the mail Identification information storing means for storing information that can specify the site, and the site specified based on the identification information included in the mail sent to the user who is the owner of the personal information by the person who obtained the personal information. And monitoring means for monitoring the distribution state of the personal information of the user by determining whether or not the sender of the mail matches.

【0011】請求項4に記載の本発明は、請求項3に記
載の発明の構成に加えて、前記監視手段は、前記識別情
報に基づいて特定される前記サイトに前記ユーザが自己
の個人情報を提供した際に承諾した当該個人情報の流通
許容範囲内に前記メールの送り主が含まれていない場合
に不適正である旨の判定を行なう。
According to a fourth aspect of the present invention, in addition to the configuration of the third aspect of the present invention, the monitoring means has the user's own personal information on the site specified based on the identification information. If the sender of the mail is not included in the permissible distribution range of the personal information that was accepted when the information was provided, it is determined to be inappropriate.

【0012】請求項5に記載の本発明は、コンピュータ
システムを利用して、ネットワーク上での個人情報を保
護する個人情報保護装置であって、ユーザがネットワー
クを通してアクセスし自己の個人情報を提供したサイト
を特定するために用いる識別情報を特定可能な情報であ
って、前記個人情報を入手した者がその個人情報主であ
るユーザにメールを送る場合には該メールに含まれるこ
ととなる識別情報を特定可能な情報を格納する識別情報
格納手段と、ユーザがネットワークを通してサイトにア
クセスする際に、当該サイトを特定するために用いる識
別情報が既に前記識別情報格納手段に格納されている場
合には、当該格納されている識別情報を前記サイトに対
して用いるための処理を行なう識別情報使用制御手段と
を含む。
The present invention according to claim 5 is a personal information protection apparatus for protecting personal information on a network by using a computer system, wherein a user accesses through the network and provides his own personal information. Identification information that can identify identification information used to identify a site, and if the person who obtained the personal information sends a mail to a user who is the owner of the personal information, the identification information included in the mail When the user accesses the site through the network and the identification information used to identify the site is already stored in the identification information storage unit, , Identification information use control means for performing processing for using the stored identification information for the site.

【0013】請求項6に記載の本発明は、請求項3〜請
求項5のいずれかに記載の発明の構成に加えて、ユーザ
と当該ユーザが用いる前記識別情報との対応関係を特定
可能な情報を守秘義務のある所定機関において登録する
処理を行なうための登録処理手段をさらに含む。
According to a sixth aspect of the present invention, in addition to the configuration of the present invention according to any of the third to fifth aspects, a correspondence relationship between a user and the identification information used by the user can be specified. It further includes registration processing means for performing processing of registering information at a predetermined institution that has a confidentiality obligation.

【0014】請求項7に記載の本発明は、請求項3〜請
求項6のいずれかに記載の発明の構成に加えて、前記識
別情報は、ユーザが前記サイト毎に使い分ける匿名であ
る。
According to a seventh aspect of the present invention, in addition to the configuration of the third aspect of the present invention, the identification information is anonymity used by the user for each site.

【0015】請求項8に記載の本発明は、請求項7に記
載の発明の構成に加えて、前記ユーザが前記匿名を用い
てネットワーク上で行動する際に使用する前記匿名用の
電子証明書を発行するための処理を行なう電子証明書発
行処理手段をさらに含む。
According to the present invention of claim 8, in addition to the configuration of the invention of claim 7, the electronic certificate for anonymity used when the user acts on the network using the anonymity. Further includes an electronic certificate issuance processing means for performing processing for issuing.

【0016】請求項9に記載の本発明は、請求項8に記
載の発明の構成に加えて、前記電子証明書は、ユーザと
当該ユーザが用いる前記識別情報との対応関係を特定可
能な情報を登録している守秘義務のある所定機関により
発行され、前記匿名を用いるユーザが当該所定機関にお
いて登録されているユーザであることを証明するもので
ある。
According to the present invention of claim 9, in addition to the configuration of the invention of claim 8, the electronic certificate is information capable of specifying a correspondence relationship between a user and the identification information used by the user. The certificate is issued by a specified institution that has a confidentiality obligation, and certifies that the user who uses the anonymity is a user registered in the specified institution.

【0017】請求項10に記載の本発明は、請求項7〜
請求項9のいずれかに記載の発明の構成に加えて、前記
ユーザが前記匿名を用いてネットワーク上で行動する際
の住所を、当該ユーザの住所とは異なる住所に設定する
処理を行なう住所設定手段をさらに含む。
The present invention according to claim 10 provides the invention according to claims 7 to 10.
In addition to the configuration of the invention according to claim 9, address setting for performing processing for setting an address when the user acts on the network using the anonymity to an address different from the address of the user. Means are further included.

【0018】請求項11に記載の本発明は、請求項10
に記載の発明の構成に加えて、前記住所設定手段は、所
定のコンビニエンスストアの住所を設定する。
The present invention according to claim 11 provides a tenth aspect.
In addition to the configuration of the invention described in (1), the address setting means sets an address of a predetermined convenience store.

【0019】請求項12に記載の本発明は、請求項7〜
請求項11のいずれかに記載の発明の構成に加えて、前
記ユーザが前記匿名を用いてネットワーク上で行動する
べくサイトにアクセスする場合には、ユーザが実名を用
いてネットワーク上で行動した際にサイト側からユーザ
を識別するために送信されてきた識別データを、アクセ
スするサイトに送信しないようにするための処理を行な
う識別データ制御処理手段をさらに含む。
The present invention according to claim 12 provides the invention according to claims 7 to.
In addition to the configuration of the invention according to claim 11, when the user uses the anonymity to access a site to act on the network, when the user acts on the network using a real name. Further, it further includes identification data control processing means for performing processing for preventing the identification data transmitted from the site side to identify the user from being transmitted to the site to be accessed.

【0020】請求項13に記載の本発明は、請求項7〜
請求項12のいずれかに記載の発明の構成に加えて、前
記識別データ制御処理手段は、前記匿名を用いてアクセ
スしたサイトから送られてきた前記識別データのみを当
該匿名専用の識別データとして格納する匿名対応識別デ
ータ格納手段と、以降ユーザが前記匿名を用いて当該匿
名により特定される前記サイトにアクセスする場合に、
前記匿名対応識別データ格納手段を検索して当該匿名に
対応する識別データを割出し、該識別データを前記サイ
トへ送信する識別データ検索送信手段とを含む。
The present invention according to claim 13 provides the invention according to claims 7 to 7.
In addition to the configuration of the invention according to claim 12, the identification data control processing means stores only the identification data sent from a site accessed using the anonymity as the identification data dedicated to the anonymity. Anonymous corresponding identification data storage means, and when the user subsequently uses the anonymity to access the site specified by the anonymity,
And an identification data search and transmission unit that searches the anonymous correspondence identification data storage unit to index the identification data corresponding to the anonymity, and transmits the identification data to the site.

【0021】請求項14に記載の本発明は、請求項13
に記載の発明の構成に加えて、ユーザが前記匿名を用い
てネットワーク上で行動した場合の行動履歴をどの匿名
を用いて行動したかを特定できる態様で格納する行動履
歴データ格納手段と、ユーザが前記匿名を用いてアクセ
スしたサイト側から、前記ユーザの他の匿名を用いての
ネットワーク上での行動履歴データの提供を求められた
場合に、前記行動履歴データ格納手段を検索して前記他
の匿名を用いての行動履歴データを前記サイトへ提供す
るための処理を行なう行動履歴データ提供処理手段とを
さらに含む。
The present invention according to claim 14 provides the invention according to claim 13.
In addition to the configuration of the invention described in, the action history data storage means for storing the action history when the user acts on the network using the anonymity in a manner capable of specifying which anonymity was used, and the user Is requested from the side of the site accessed using the anonymity to provide action history data on the network using the other anonymity of the user, the action history data storage means is searched and the other Further includes action history data providing processing means for performing a process for providing action history data using the anonymity to the site.

【0022】請求項15に記載の本発明は、請求項14
に記載の発明の構成に加えて、前記行動履歴データ提供
処理手段に対し匿名を通知して該匿名を用いたユーザの
他の匿名を用いてのネットワーク上での行動履歴データ
の提供を要求された場合に、該要求者と前記通知された
匿名に基づいて特定される前記サイトとが一致するか否
かを判定して前記ユーザの個人情報の流通状態を監視す
る監視手段をさらに含む。
The present invention according to claim 15 provides the invention according to claim 14.
In addition to the configuration of the invention described in, the action history data providing processing means is notified of anonymity and is requested to provide action history data on the network using another anonymity of the user who uses the anonymity. In the case that the requester and the site specified based on the notified anonymity match, it further includes a monitoring unit for monitoring the distribution state of the personal information of the user.

【0023】請求項16に記載の本発明は、請求項7〜
請求項15のいずれかに記載の発明の構成に加えて、或
るユーザによって使用された複数種類の匿名のための共
通のクレジット番号を各匿名から割出し可能な態様で格
納するための処理を行なうクレジット番号格納処理手段
と、ユーザが前記匿名を用いてネットワーク上でクレジ
ット決済を行なった場合に、クレジット会社からの当該
匿名に対応するクレジット番号の有無の問合せを受付
け、前記クレジット番号登録処理手段により登録された
クレジット番号を検索して前記問合せのあった匿名に対
応するクレジット番号の有無を判別し、その判別結果を
前記クレジット会社に通知するための処理を行なう通知
手段とを含む。
The present invention according to claim 16 provides the invention according to claims 7 to.
In addition to the configuration of the invention according to claim 15, a process for storing a common credit number for a plurality of types of anonymity used by a certain user in a manner that can be indexed from each anonymity Credit number storage processing means to perform, and when the user makes a credit settlement on the network using the anonymity, accepts an inquiry from a credit company as to whether or not there is a credit number corresponding to the anonymity, and the credit number registration processing means. And a notifying unit for performing a process for notifying the credit company of the result of the determination by searching the credit number registered by to determine the presence or absence of the credit number corresponding to the anonymous inquiry.

【0024】請求項17に記載の本発明は、請求項7〜
請求項16のいずれかに記載の発明の構成に加えて、ユ
ーザが前記匿名によりネットワーク上で行動する際の当
該匿名宛の電子メールを受付け、該電子メールを当該匿
名に対応するユーザが閲覧可能な電子メールアドレスに
転送する、匿名宛電子メール転送手段をさらに含む。
The present invention according to claim 17 provides a method according to claims 7 to 7.
In addition to the configuration of the invention according to claim 16, an electronic mail addressed to the anonymity when the user acts on the network by the anonymity is accepted, and the electronic mail can be viewed by a user corresponding to the anonymity. Further includes an anonymous email transfer means for forwarding to any email address.

【0025】請求項18に記載の本発明は、請求項17
に記載の発明の構成に加えて、前記匿名宛電子メール転
送手段が受付けた前記電子メールの宛名である匿名に基
づいて特定される前記サイトと前記受付けた電子メール
の送り主とが一致するか否かを判定して前記ユーザの個
人情報の流通状態を監視する監視手段をさらに含む。
The present invention according to claim 18 provides the invention according to claim 17.
In addition to the configuration of the invention described in (1), whether or not the site specified based on anonymity, which is the address of the email received by the anonymous email transfer means, matches the sender of the received email. It further includes a monitoring unit that determines whether or not the distribution state of the personal information of the user is monitored.

【0026】請求項19に記載の本発明は、請求項3〜
請求項18のいずれかに記載の発明の構成に加えて、前
記監視手段は、複数のユーザに対し個人情報の監視サー
ビスを行なう所定機関に設置され、該所定機関には、前
記監視手段による監視結果を集計してサイト毎の個人情
報に関する信頼度を算出する信頼度算出手段と、該信頼
度算出手段により算出された信頼度情報を提供する信頼
度情報提供手段とが備えられている。
The present invention according to claim 19 relates to claims 3 to.
In addition to the configuration of the invention according to claim 18, the monitoring means is installed in a predetermined institution that provides a personal information monitoring service to a plurality of users, and the predetermined institution monitors the monitoring by the monitoring means. A reliability calculation means for collecting the results and calculating the reliability of personal information for each site, and a reliability information providing means for providing the reliability information calculated by the reliability calculation means are provided.

【0027】請求項20に記載の本発明は、請求項7〜
請求項19のいずれかに記載の発明の構成に加えて、前
記匿名は、当該匿名を用いるサイトの名称を、当該匿名
を用いるユーザが使用できる鍵で暗号化または復号化し
たものである。
The present invention according to claim 20 provides the invention according to claims 7 to.
In addition to the configuration of the invention described in any one of claim 19, the anonymity is obtained by encrypting or decrypting a name of a site that uses the anonymity with a key that can be used by a user who uses the anonymity.

【0028】請求項21に記載の本発明は、ネットワー
ク上での個人情報を保護するためのプログラムであっ
て、プロセッサに、ユーザがネットワークを通してアク
セスし自己の個人情報を提供したサイトを特定するため
に用いる識別情報を特定可能な情報であって、前記個人
情報を入手した者がその個人情報主であるユーザにメー
ルを送る場合には該メールに含まれることとなる識別情
報を特定可能な情報をメモリに記憶させる識別情報記憶
手段と、ユーザがネットワークを通してサイトにアクセ
スする際に、当該サイトを特定するために用いる識別情
報が既に前記メモリに記憶されている場合には、当該記
憶されている識別情報を前記サイトに対して用いるため
の処理を行なう識別情報使用制御手段と、して機能させ
る。
The present invention according to claim 21 is a program for protecting personal information on a network, for identifying a site where a user has accessed his / her network through the network and provided his / her personal information. Information that can identify the identification information used for the above. When the person who obtained the personal information sends a mail to the user who is the owner of the personal information, the information that can identify the identification information that is included in the mail Is stored in the memory, and when the user accesses the site through the network, the identification information used to identify the site is already stored in the memory. It functions as identification information use control means for performing processing for using the identification information for the site.

【0029】請求項22に記載の本発明は、請求項21
に記載の発明の構成に加えて、前記識別情報は、ユーザ
がサイト毎に使い分ける匿名であり、プロセッサに、さ
らに、前記ユーザが前記匿名を用いてネットワーク上で
行動するべくサイトにアクセスする場合には、ユーザが
実名を用いてネットワーク上で行動した際にサイト側か
らユーザを識別するために送信されてきた識別データ
を、アクセスするサイトに送信しないようにする処理を
行なう識別データ制御処理手段として機能させる。
The present invention according to claim 22 provides a method according to claim 21.
In addition to the configuration of the invention described in (1), the identification information is anonymity that the user uses properly for each site, and further to the processor, when the user accesses the site to act on the network using the anonymity. Is an identification data control processing means for performing processing to prevent the identification data transmitted from the site side to identify the user when the user acts on the network using the real name from being transmitted to the accessing site. Make it work.

【0030】請求項23に記載の本発明は、請求項22
に記載の発明の構成に加えて、前記識別データ制御処理
手段は、前記匿名を用いてアクセスしたサイトから送ら
れてきた前記識別データのみを当該匿名専用の識別デー
タとして前記メモリに記憶させる匿名対応識別データ記
憶手段と、以降ユーザが前記匿名を用いて当該匿名によ
り特定される前記サイトにアクセスする場合に、前記メ
モリを検索して当該匿名に対応して格納されている識別
データを割出し、該識別データを前記サイトへ送信する
ための処理を行なう識別データ検索送信処理手段とを含
む。
The present invention according to claim 23 provides the invention according to claim 22.
In addition to the configuration of the invention described in, the identification data control processing means stores only the identification data sent from a site accessed using the anonymous in the memory as the identification data dedicated to the anonymous Identification data storage means, and when the user subsequently uses the anonymity to access the site specified by the anonymity, the memory is searched to identify the identification data stored corresponding to the anonymity, Identification data search and transmission processing means for performing processing for transmitting the identification data to the site.

【0031】請求項24に記載の本発明は、ネットワー
ク上で個人情報を保護するためのプログラムであって、
プロセッサに、ユーザがネットワークを通してアクセス
するサイトに対し、当該サイトの名称を当該ユーザが使
用できる鍵により暗号化または復号化して生成した匿名
を使用し、匿名宛の電子メールを受信した場合に、当該
電子メールの宛名である匿名を鍵により復号化または暗
号化して平文のサイトの名称に戻す変換手段と、して機
能させる。
The present invention according to claim 24 is a program for protecting personal information on a network,
When the processor uses the anonymity generated by encrypting or decrypting the name of the site with the key that the user can use for the site accessed by the user through the network, and when the email addressed to the anonymous is received, Anonymity, which is the address of an electronic mail, is decrypted or encrypted with a key to return it to a plaintext site name, which functions as a conversion unit.

【0032】請求項25の記載の本発明は、請求項24
に記載の発明の構成に加えて、プロセッサに、さらに、
前記変換手段により変換されたサイトの名称と前記受信
した電子メールの送り主の名称とが一致するか否かを判
定して前記ユーザの個人情報の流通状態を監視する監視
手段として機能させる。
The present invention according to claim 25 provides the invention according to claim 24.
In addition to the configuration of the invention described in,
A function as a monitoring unit that determines whether or not the name of the site converted by the converting unit and the name of the sender of the received electronic mail match and monitors the distribution state of the personal information of the user is performed.

【0033】[0033]

【発明の実施の形態】次に、本発明の実施の形態を図面
に基づいて詳細に説明する。図1は、ブロードバンドを
利用したネットワークシステムを示し、個人情報保護シ
ステムの全体の概略を示す構成図である。広域・大容量
中継網43を通じて、クレジットカード発行会社群4、
加盟店契約会社群5、受信局42、加盟店群6、サプラ
イヤ群1、NM群(ニューミドルマン群)48、電子行
政群49、XMLストア50、コンテンツプロバイダ群
51、信号52、携帯電話網54に接続されたゲートウ
ェイ53、インターネットI、ユーザ宅47、認証局群
46、コンビニエンスストア群2、会社群45、データ
センタ44、放送局41、金融機関群7等が、情報の送
受信ができるように構成されている。なお、図中40は
衛星(サテライト)であり、放送局41からの放送電波
を中継して受信局42に電波を送るためのものである。
DESCRIPTION OF THE PREFERRED EMBODIMENTS Next, embodiments of the present invention will be described in detail with reference to the drawings. FIG. 1 is a block diagram showing a network system using broadband and showing an outline of the entire personal information protection system. Credit card issuing companies 4, through wide area / large capacity relay network 43
Member store contract company group 5, receiving station 42, member store group 6, supplier group 1, NM group (New Middleman group) 48, electronic administration group 49, XML store 50, content provider group 51, signal 52, mobile phone network 54 So that the gateway 53, the Internet I, the user home 47, the certification authority group 46, the convenience store group 2, the company group 45, the data center 44, the broadcasting station 41, the financial institution group 7, etc. connected to the It is configured. Reference numeral 40 in the figure denotes a satellite, which is for relaying broadcast radio waves from the broadcasting station 41 and sending the radio waves to the receiving station 42.

【0034】クレジットカード発行会社群4とは、たと
えばSET(Secure Electronic Transaction)により
決済を行なう場合のイシュアとしての機能を発揮するカ
ード発行会社である。加盟店契約会社群5は、電子モー
ル等を構成する加盟店群6が契約している金融機関等か
らなる会社であり、SETにおけるアクアイアラとして
機能する機関である。サプライヤ群1とは、商品メーカ
ー等であり、商品や情報を提供する機関のことである。
NM群48とは、サプライヤ群1と消費者(自然人また
は法人)との仲立ちを行ない、たとえば消費者のショッ
ピング等の消費行動の支援を行なうサービス業者のこと
である。従来の問屋や商社等の中間業者が、サプライヤ
群の販売支援を行なうのに対し、このNM群48は、消
費者の購入支援(消費行動支援)を行なう点で相違す
る。NM群48の具体例としては、消費者の嗜好情報や
購買履歴情報やWebサイトへのアクセス履歴情報をデ
ータベースとして蓄積し、その蓄積されている消費者の
プロフィール情報(個人情報)に基づいてその消費者に
マッチする商品情報等を推薦して、消費者の消費行動を
助けるサービス業者が当てはまる。
The credit card issuing company group 4 is a card issuing company that exerts a function as an issuer when making a payment by SET (Secure Electronic Transaction), for example. The member store contracting company group 5 is a company that is composed of financial institutions and the like with which the member store group 6 that constitutes an electronic mall or the like has a contract, and that functions as an acquirer in SET. The supplier group 1 is a product manufacturer or the like, and is an organization that provides products and information.
The NM group 48 is a service provider who mediates between the supplier group 1 and a consumer (natural person or corporation), and supports consumer behavior such as consumer shopping. Whereas conventional intermediaries such as wholesalers and trading companies provide sales support for a group of suppliers, the NM group 48 is different in that it provides purchase support (consumption behavior support) for consumers. As a specific example of the NM group 48, consumer preference information, purchase history information, and website access history information are accumulated as a database, and based on the accumulated consumer profile information (personal information). A service provider that recommends product information that matches the consumer and helps the consumer's consumption behavior is applicable.

【0035】電子行政群49は、たとえば市役所や税務
署あるいは中央官庁等の行政を電子化したものである。
XMLストア50とは、XMLによる統一されたデータ
構造によってデータを格納するとともに、必要に応じて
データの要求者に所定のデータを提供するデータベース
のことである。XMLストア50には、ユーザの各種個
人情報やユーザエージェント(エージェント用知識デー
タを含む)を格納している。金融機関群7やユーザから
XMLストア50にアクセスがあった場合には、本人認
証を行なってセキュリティを保ったうえで、必要なデー
タを提供できるように構成されている。コンテンツプロ
バイダ群51とは、映像、文字、音等の種々のコンテン
ツをネットワークを通じて提供する業者群のことであ
る。交通整理を行なうための信号機52も、広域・大容
量中継網43に接続され、遠隔制御できるように構成さ
れている。
The electronic administration group 49 is an electronic administration of, for example, city halls, tax offices, central government offices, and the like.
The XML store 50 is a database that stores data in a unified data structure based on XML and provides predetermined data to requesters of the data as needed. The XML store 50 stores various personal information of users and user agents (including knowledge data for agents). When the XML store 50 is accessed by the financial institution group 7 or the user, the personal data is authenticated to maintain security, and necessary data can be provided. The content provider group 51 is a group of providers that provide various contents such as images, characters, and sounds through a network. The traffic signal 52 for traffic control is also connected to the wide area / large capacity relay network 43 and configured to be remotely controllable.

【0036】携帯電話網45に接続されている基地局5
5に対し、ブラウザフォン(次世代携帯電話)30の電
波が送信され、基地局55,携帯電話網45,ゲートウ
ェイ53,広域・大容量中継網43を介して、金融機関
群7,加盟店群6,NM群48,電子行政群49,XM
Lストア50,コンテンツプロバイダ群51等にアクセ
スできるように構成されている。また車両56も同様
に、基地局55,携帯電話網54,ゲートウェイ53,
広域・大容量中継網54を介して、各種サービス業者や
各種機関にアクセスできるように構成されている。
Base station 5 connected to mobile telephone network 45
5, the radio wave of the browser phone (next-generation mobile phone) 30 is transmitted, and through the base station 55, the mobile phone network 45, the gateway 53, the wide area / large capacity relay network 43, the financial institution group 7, the member store group. 6, NM group 48, electronic administration group 49, XM
The L store 50, the content provider group 51, and the like can be accessed. Similarly, the vehicle 56 also has a base station 55, a mobile telephone network 54, a gateway 53,
Through the wide area / large capacity relay network 54, various service providers and various organizations can be accessed.

【0037】認証局群46とは、電子証明書の発行希望
者に対して本人認証をしたうえで電子証明書を発行する
機関である。データセンタ44は、放送局41から電波
により配信される各種データを格納,管理する機関のこ
とである。加盟店群6,サプライヤ群1,NM群48,
電子行政群49,コンテンツプロバイダ群51等にユー
ザが所定の情報の送信を依頼した場合に、大容量のデー
タを送信する際には、それら各機関やサービス業者の配
信するデータを一旦データセンタ44に格納しておき、
所定の日時が来たときに放送局41から電波を通じてそ
のデータを配信し、受信局42で受信したデータを所定
のユーザに広域・大容量中継網43を通じて配信する。
The certificate authority group 46 is an organization that authenticates a person who wishes to issue a digital certificate, and then issues a digital certificate. The data center 44 is an organization that stores and manages various data distributed from the broadcasting station 41 by radio waves. Member store group 6, Supplier group 1, NM group 48,
When a large amount of data is transmitted when the user requests the electronic administration group 49, the content provider group 51, etc. to transmit predetermined information, the data distributed by each of these institutions and service providers is temporarily transferred to the data center 44. Stored in
When a predetermined date and time arrives, the data is distributed from the broadcasting station 41 through radio waves, and the data received by the receiving station 42 is distributed to a predetermined user through the wide area / large capacity relay network 43.

【0038】なお、図1中二重線で示した部分は、無線
LAN,CATV,衛星,xDSL(digital subscrib
er line),FTTH(fiber to the home)などであ
る。
The portions indicated by double lines in FIG. 1 are wireless LAN, CATV, satellite, xDSL (digital subscrib).
er line) and FTTH (fiber to the home).

【0039】本実施の形態では、認証局群46ばかりで
なく、金融機関群7も、電子証明書を発行する。図1
中、19はユーザに携帯されるIC端末であり、後述す
るようにユーザのプロフィール情報(個人情報)等が格
納されている。
In the present embodiment, not only the certificate authority group 46 but also the financial institution group 7 issues an electronic certificate. Figure 1
Among these, 19 is an IC terminal carried by the user, and stores profile information (personal information) of the user and the like as described later.

【0040】図2(a)は、図1に示した会社群45の
一例を示し、図2(b)は、図1に示したユーザ宅47
の一例を示している。
FIG. 2A shows an example of the group of companies 45 shown in FIG. 1, and FIG. 2B shows the user home 47 shown in FIG.
Shows an example.

【0041】会社45内には、社内LANが構築されて
おり、パーソナルコンピュータ57,自動販売機58,
サーバ59,データベース60,ノート型パーソナルコ
ンピュータ62,ファクシミリ61が情報のやり取りが
できるように接続されている。
An in-house LAN is built in the company 45, and a personal computer 57, a vending machine 58,
A server 59, a database 60, a notebook personal computer 62, and a facsimile 61 are connected so that information can be exchanged.

【0042】ブラウザフォン30は、パーソナルコンピ
ュータ57,自動販売機58,サーバ59,他のブラウ
ザフォン30に対し、ブルートゥース(Bluetooth)を
使用して直接送受信できるように構成されている。前述
したデータセンタ44は、配信しようとするコンテンツ
等の情報のうちセキュリティを要求される情報に関して
は暗号化して格納しており、その暗号化情報を配信する
ときには暗号化された情報のままで放送局41から電波
により配信される。一方、IC端末19は、個人情報の
他にそのIC端末19の所持者であるユーザの本人認証
用の鍵や暗号アルゴリズム等のセキュリティ機能が備え
られている。前述した放送局41から配信されてきて広
域・大容量中継網43等を経由して会社45内の社内L
ANに伝送されてきた暗号化情報は、このIC端末19
に記憶されている鍵およびアルゴリズムによって復号化
できるように構成されている。
The browser phone 30 is constructed so that it can directly transmit / receive data to / from the personal computer 57, the vending machine 58, the server 59, and the other browser phones 30 using Bluetooth. The above-mentioned data center 44 encrypts and stores the information requiring security among the information such as contents to be distributed, and when distributing the encrypted information, the encrypted information is broadcast as it is. It is delivered from the station 41 by radio waves. On the other hand, the IC terminal 19 is provided with a security function such as a key for personal authentication of a user who is the holder of the IC terminal 19 and an encryption algorithm in addition to personal information. In-house L in the company 45 delivered from the above-mentioned broadcasting station 41 and passed through the wide area / large capacity relay network 43 and the like.
The encrypted information transmitted to the AN is the IC terminal 19
It can be decrypted by the key and algorithm stored in.

【0043】さらに、ブラウザフォン30にこのIC端
末19を接続することにより、送られてきた情報をブラ
ウザフォン30で受けてその暗号化情報をIC端末19
により復号化して平文等の元の情報にして表示すること
ができる。ブラウザフォン30にIC端末19を接続し
た場合には、さらに通話を暗号化して送受信することが
できる。暗号化された通話をブラウザフォン30が受信
すれば、IC端末19によりリアルタイムで復号化して
もとの通話に戻してその通話をスピーカから流すことが
できるように構成されている。
Furthermore, by connecting the IC terminal 19 to the browser phone 30, the browser phone 30 receives the transmitted information and the IC terminal 19 receives the encrypted information.
Can be decrypted and displayed as original information such as plain text. When the IC terminal 19 is connected to the browser phone 30, the call can be further encrypted and transmitted / received. When the browser phone 30 receives the encrypted call, the IC phone 19 decrypts the call in real time and returns the call to the original call so that the call can be played from the speaker.

【0044】ファクシミリ61にIC端末19を接続す
ることにより、ファクシミリ61による送受信データを
暗号化することができる。そして暗号化されたデータを
ファクシミリ61が受信すれば、IC端末19によりそ
れを復号化して平文等の元のデータに戻してプリントア
ウトできる。
By connecting the IC terminal 19 to the facsimile 61, the data transmitted / received by the facsimile 61 can be encrypted. When the facsimile 61 receives the encrypted data, it can be decrypted by the IC terminal 19 and returned to the original data such as plain text for printing.

【0045】図2(b)のユーザ宅47のRANには、
セットボックス63、テレビ67、パーソナルコンピュ
ータ68、照明64、冷蔵庫69、エアコンディショナ
65、電話66、電子錠70等が接続されている。
In the RAN of the user's home 47 shown in FIG. 2B,
A set box 63, a television 67, a personal computer 68, a lighting 64, a refrigerator 69, an air conditioner 65, a telephone 66, an electronic lock 70, etc. are connected.

【0046】図2に示す、パーソナルコンピュータ5
7、自動販売機58、サーバ59、ファクシミリ61、
ノート型パーソナルコンピュータ62、セットボックス
63、テレビ67、パーソナルコンピュータ68、照明
器具64、冷蔵庫69、エアコンディショナ65、電話
66、電子錠70等は、それぞれURLが割振られてお
り、外部から広域・大容量中継網43等を経由してその
URL(Uniform Resource Locator)にアクセスするこ
とによりそれぞれの装置にアクセスできるように構成さ
れている。それぞれの装置にアクセスし、その装置の現
在の状態等をチェックしたり、外部から遠隔操作でき
る。たとえば、電子錠70にアクセスして施錠されてい
ない場合には遠隔操作によって施錠したり、エアコンデ
ィショナ65にアクセスして、ユーザがユーザ宅47に
帰宅する10分ほど前に、エアコンディショナ65が作
動するようにセットしたり等ができる。
The personal computer 5 shown in FIG.
7, vending machine 58, server 59, facsimile 61,
The notebook personal computer 62, the set box 63, the television 67, the personal computer 68, the lighting equipment 64, the refrigerator 69, the air conditioner 65, the telephone 66, the electronic lock 70, etc. are each assigned a URL, and a wide area can be accessed from outside. Each device can be accessed by accessing its URL (Uniform Resource Locator) via the large capacity relay network 43 or the like. You can access each device, check the current status of the device, and remotely control from the outside. For example, when the electronic lock 70 is not locked and is locked by remote control, or the air conditioner 65 is accessed, the air conditioner 65 is accessed about 10 minutes before the user returns to the user home 47. Can be set to operate.

【0047】図3は、金融機関7を説明するための説明
図である。金融機関7には、VP管理サーバ9、決済サ
ーバ10、認証用サーバ11、データベース12a,1
2bが備えられている。VP管理サーバ9は、仮想人物
としてのバーチャルパーソン(以下、単に「VP」とい
う)を管理するためのサーバである。VPとは、現実世
界に実在しないネットワーク上で行動する仮想の人物の
ことであり、現実世界での実在人物であるリアルパーソ
ン(以下、単に「RP」という)がネットワーク上で行
動する際に、VPになりすましてそのVPとして行動で
きるようにするために誕生させた仮想人物のことであ
る。
FIG. 3 is an explanatory diagram for explaining the financial institution 7. The financial institution 7 includes a VP management server 9, a settlement server 10, an authentication server 11, and databases 12a and 1a.
2b is provided. The VP management server 9 is a server for managing a virtual person (hereinafter, simply referred to as “VP”) as a virtual person. A VP is a virtual person who acts on a network that does not actually exist in the real world, and when a real person (hereinafter simply referred to as “RP”) who is a real person in the real world acts on the network, A virtual person created to impersonate a VP and act as the VP.

【0048】VP管理サーバ9は、後述するように、R
PからVPの出生依頼があれば、そのVPの氏名や住所
等の所定情報を決定してVPを誕生させ、そのVPのデ
ータをデータベース12aに記憶させておく機能を有し
ている。また、このVP管理サーバ9は、VP用の電子
証明書を作成して発行する機能も有している。VPが売
買や決済等の法律行為を行なう場合に、この電子証明書
を相手方に送信することにより、仮想人物でありながら
独立して法律行為を行なうことが可能となる。
The VP management server 9 uses the R
When there is a birth request for a VP from P, it has a function of determining predetermined information such as the name and address of the VP, creating a VP, and storing the data of the VP in the database 12a. The VP management server 9 also has a function of creating and issuing a VP electronic certificate. When the VP conducts a legal act such as buying or selling or making a payment, by transmitting this electronic certificate to the other party, it becomes possible for the VP to act independently while being a virtual person.

【0049】認証用サーバ11は、RP用の電子証明書
を作成して発行する機能を有する。金融機関7に設置さ
れている決済サーバ10は、RPによる電子マネーやデ
ビットカードを使用しての決済ばかりでなく、VPとし
て電子マネーやデビットカードを使用しての決済を行な
うための処理を行なう機能も有している。
The authentication server 11 has a function of creating and issuing an RP electronic certificate. The payment server 10 installed in the financial institution 7 performs not only payment using electronic money or debit card by RP but also payment using electronic money or debit card as VP. It also has a function.

【0050】データベース12aは、RPやVPに関す
るデータを格納するものである。データベース12b
は、広域・大容量中継網43やインターネットIに接続
されているサイト(業者)を管理するためのデータを格
納している。
The database 12a stores data relating to RP and VP. Database 12b
Stores data for managing sites (traders) connected to the wide area / large capacity relay network 43 and the Internet I.

【0051】図3に示すように、データベース12aに
は、RP用のデータとして、RPの氏名、住所、認証鍵
KN、公開鍵KT、口座番号等が記憶されている。認証
鍵とは、RPが金融機関7にアクセスしてきた場合に共
通鍵暗号方式により本人認証を行なうための鍵である。
公開鍵とは、公開鍵暗号方式に用いられる鍵であり、秘
密鍵とペアとなっている鍵である。口座番号は、当該金
融機関7においてRPが開設している口座番号のことで
ある。
As shown in FIG. 3, the database 12a stores RP name, address, authentication key KN, public key KT, account number and the like as RP data. The authentication key is a key for authenticating the person by the common key cryptosystem when the RP accesses the financial institution 7.
The public key is a key used in the public key cryptosystem and is a key paired with the private key. The account number is an account number opened by the RP in the financial institution 7.

【0052】トラップ情報とは、サイト(業者)側が個
人情報を収集してそれを不正に流通させた場合に、それ
を行なった犯人を割出すためにトラップ(罠)を仕掛け
るための情報である。たとえば、VPが自己の個人情報
をあるサイト(第1譲渡先)に譲渡する際に、その第1
譲渡先特有の氏名を用いる。すなわち、VPが自己の氏
名を複数種類有し、サイト(業者)ごとに使い分ける。
このようなVP氏名を、便宜上トラップ型VP氏名とい
う。このようにすれば、ダイレクトメールやEメールが
業者側から送られてきた場合には、そのメールの宛名が
トラップ型VP氏名となっているはずである。その送っ
てきたサイト(業者)が、トラップ型VP氏名から割出
される第1譲渡先とは異なりかつ譲渡した自己の個人情
報の開示許容範囲(流通許容範囲)を超えたサイト(業
者)であった場合には、その個人情報が第1譲渡先によ
って不正に開示(流通)されたこととなる。このよう
に、不正流通(不正開示)を行なった第1譲渡先を、ト
ラップ型VP氏名から割出すことができる。
The trap information is information for setting up a trap in order to identify a criminal who has done so when the site (trader) side has collected personal information and illegally distributed it. . For example, when a VP transfers its own personal information to a certain site (first transfer destination), the first
Use the name unique to the recipient. That is, the VP has a plurality of names of its own, and uses it properly for each site (trader).
Such a VP name is referred to as a trap type VP name for convenience. By doing this, when the direct mail or the E-mail is sent from the trader side, the address of the mail should be the trap type VP name. The site (trader) that sent it is a site (trader) that is different from the first transferee indexed from the trap type VP name and that exceeds the permissible disclosure range (distribution allowance range) of the transferred personal information. In the case of this, the personal information is illegally disclosed (circulated) by the first transferee. In this way, the first transferee who has performed illegal distribution (illegal disclosure) can be indexed from the trap type VP name.

【0053】なお、図3では、次郎が第2トラップ情
報、第3トラップ情報、第2個人情報、第3個人情報、
2つの情報を有している。次郎が、ネットワーク上で行
動する場合に、この2人のVPを使い分けて行動するた
めに、これら2種類のVP情報を金融機関7に登録して
いる。VPの住所とは、後述するように、RPの希望す
るまたはRPの住所に近いコンビニエンスストア2の住
所である。その結果、VPとして電子ショッピングをし
た場合の商品の配達先が、そのVPの住所であるコンビ
ニエンスストア2に配達されることとなる。RPは、そ
の配達されてきた商品をVPになりすましてコンビニエ
ンスストア2にまで出向いて商品を引取ることが可能と
なる。このようにすれば、住所を手がかりにVPとRP
との対応関係が見破られてしまう不都合が防止できる。
In FIG. 3, Jiro is the second trap information, the third trap information, the second personal information, the third personal information,
It has two pieces of information. When Jiro acts on the network, these two types of VP information are registered in the financial institution 7 so that the two VPs can be used properly. The VP address is an address of the convenience store 2 which the RP desires or is close to the RP address, as described later. As a result, the delivery destination of the product when electronic shopping is performed as the VP is delivered to the convenience store 2 which is the address of the VP. The RP can impersonate the delivered product as a VP and go to the convenience store 2 to pick up the product. By doing this, VP and RP can be obtained by using the address as a clue.
It is possible to prevent the inconvenience that the correspondence relationship with

【0054】図3に示したトラップ情報の詳細は、図4
に示されている。第1トラップ情報、第2トラップ情
報、…の各トラップ情報は、サイト名ごとに、氏名(ト
ラップ型VP氏名)、公開鍵、Eメールアドレス、バー
チャル口座番号、バーチャルクレジット番号を含んでい
る。たとえば、サイト名(業者名)ABCにVPがアク
セスする際には、VPの本名であるB13Pを用い、V
Pの秘密鍵KSBとペアの公開鍵KPB'を用い、VP
の本当のEメールアドレスである○□×△×を用い、V
Pの本当の口座番号である2503を用い、VPの本当
のクレジット番号である3288を用いる。
Details of the trap information shown in FIG. 3 are shown in FIG.
Is shown in. Each trap information of the first trap information, the second trap information, ... Includes a name (trap type VP name), a public key, an email address, a virtual account number, and a virtual credit number for each site name. For example, when the VP accesses the site name (trade name) ABC, the real name of the VP is B13P, and
VP using P's private key KSB and paired public key KPB '.
Use the true email address of
Use P's real account number, 2503, and use VP's real credit number, 3288.

【0055】一方、サイト名(業者名)MTTにアクセ
スする場合には、VPの本名をそのVPの秘密鍵で1回
暗号化したE(B13P)を、トラップ型VP氏名とし
て用いる。秘密鍵としては、VPの本当の秘密鍵KSB
をVPの本当の秘密鍵KSBで1回暗号化したE
KSB(KSB)を用いる。この秘密鍵EKSB(KSB)に
対する公開鍵KPBがデータベース12aに格納されて
いる。Eメールアドレスとしては、金融機関7がトラッ
プ型VPのために開設しているEメールアドレス△△△
△△を用いる。口座番号としては、VPの本当の口座番
号をVPの本当の秘密鍵で1回暗号化したE(250
3)をバーチャル口座番号として用いる。クレジット番
号は、VPの本当のクレジット番号をVPの本当の秘密
鍵で1回暗号化したE(3288)を用いる。
On the other hand, when accessing the site name (trade name) MTT, E (B13P) obtained by encrypting the real name of the VP once with the private key of the VP is used as the trap type VP name. As the private key, the real private key KSB of the VP
E encrypted once with VP's true secret key KSB
Use KSB (KSB). The public key KPB for this secret key E KSB (KSB) is stored in the database 12a. As the e-mail address, the e-mail address that the financial institution 7 has opened for the trap-type VP Δ △△
Use ΔΔ. As the account number, E (250) is obtained by encrypting the real account number of VP once with the real private key of VP.
Use 3) as the virtual account number. As the credit number, E (3288), which is the VP's real credit number once encrypted with the VP's real secret key, is used.

【0056】さらに、サイト名(業者名)MECにアク
セスする場合には、VPの秘密鍵でVPの本名を2回暗
号化したE2(B13P)をトラップ型VP氏名として
用いる。
Further, when accessing the site name (commercial name) MEC, E 2 (B13P) obtained by encrypting the real name of the VP twice with the private key of the VP is used as the trap type VP name.

【0057】VPがトラップ型VP氏名E2(B13
P)を用いてネットワーク上で行動する場合には、秘密
鍵KSBを秘密鍵KSBで2回暗号化した2回暗号化秘
密鍵E 2 KSB(KSB)を用いる。その2回暗号化秘密鍵
とペアになっている公開鍵がKPB″である。Eメール
アドレスは、金融機関7がトラップ型VP用のEメール
アドレスとして開設している△△△△△を用いる。バー
チャル口座番号は、VPの本当の口座番号を秘密鍵で2
回暗号化したE2(2503)を用いる。クレジット番
号は、VPの本当のクレジット番号をVPの秘密鍵で2
回暗号化したバーチャルクレジット番号E2(328
8)を用いる。
VP is trap type VP name E2(B13
When acting on the network using P),
Twice-encrypted secret which encrypted key KSB twice with secret key KSB
Secret key E 2 KSB(KSB) is used. The twice-encrypted private key
The public key paired with is KPB ″. Email
The address is the email for the trap type VP by the financial institution 7.
The open address is used. bar
Chal account number is the real account number of VP with secret key 2
E encrypted twice2(2503) is used. Credit number
No. 2 is the real credit number of the VP with the private key of the VP
Virtual credit number E encrypted once2(328
8) is used.

【0058】このように、サイト名ごとに、トラップ情
報の暗号回数が異なる。サイト側(業者側)に提供した
個人情報というものは、ネットワーク上を流通した後最
終的にはその個人情報主にEメールやダイレクトメール
の形で返ってくる。この個人情報の帰還ループを利用し
てトラップを仕掛けて個人情報の不正流通を行なった犯
人を追跡できるようにするのが、このトラップ情報の狙
いである。すなわち、ユーザをネット上で追跡するトラ
ッキング型クッキーの逆を行なうものである。
As described above, the number of times the trap information is encrypted varies depending on the site name. The personal information provided to the site side (the trader side) is eventually returned in the form of e-mail or direct mail after circulating on the network. The purpose of this trap information is to make it possible to trace a criminal who illegally distributes personal information by setting a trap using this personal information feedback loop. That is, it is the reverse of a tracking cookie that tracks a user on the Internet.

【0059】図5は、図3に示したVPの個人情報を説
明する図である。第1個人情報、第2個人情報、第3個
人情報、…の各個人情報は、個人情報A、個人情報B、
…の複数種類の個人情報が集まって構成されている。た
とえば、個人情報Aは、VPの年齢,性別,職業,年収
等であり、個人情報Bは、VPの嗜好に関する情報であ
る。
FIG. 5 is a diagram for explaining the personal information of the VP shown in FIG. The respective personal information of the first personal information, the second personal information, the third personal information, ...
It consists of multiple types of personal information. For example, the personal information A is the age, sex, occupation, annual income, etc. of the VP, and the personal information B is information about the preference of the VP.

【0060】図5に示すように、各個人情報は,金融機
関7の秘密鍵KSによるデジタル署名が付されている。
たとえば,第1個人情報の個人情報Aは、○○△の個人
情報自体に対しデジタル署名であるDKS(○○△)が付
されている。
As shown in FIG. 5, each personal information is provided with a digital signature by the private key KS of the financial institution 7.
For example, in the personal information A of the first personal information, a digital signature D KS (XX) is attached to the personal information itself of XX.

【0061】このデータベース12aに格納されている
各個人情報は、後述するように、金融機関7がその真偽
をチェックして正しいもののみをデータベース12aに
格納し、正しいことを認証するためのデジタル署名が付
される。
As will be described later, the financial institution 7 checks the authenticity of each personal information stored in the database 12a, stores only the correct one in the database 12a, and digitally authenticates it. It will be signed.

【0062】図6は、金融機関7のデータベース12b
に格納されている情報を示す図である。データベース1
2bには、サイト名(業者名)ごとに、その業者が個人
情報を不正入手した値と、個人情報を不正流出(不正流
通)した値と、それら両値から割出される悪い順位とが
記憶されている。
FIG. 6 shows the database 12b of the financial institution 7.
It is a figure which shows the information stored in. Database 1
2b stores, for each site name (trade name), the value of the private information obtained by the trader illegally, the value of the private information leaked (illegal distribution), and the bad rank calculated from these two values. Has been done.

【0063】後述するように、あるサイト名(業者名)
MTTが、個人情報を不正に入手すればその不正入手値
が「1」加算更新され、個人情報を不正に流通すれば、
その不正流通値が「1」加算更新される。そして悪い順
位は、不正入手値+2×不正流出値の計算式で値を出
し、その値が大きいほど悪い順位が上位となる。前記計
算式の値が一番大きければ悪い順位が一番となる。
As will be described later, a site name (trade name)
If the MTT illegally obtains the personal information, the illegally obtained value is updated by adding "1", and if the personal information is illegally distributed,
The illegal distribution value is updated by adding "1". Then, the bad rank is given a value by the formula of illegally acquired value + 2 × illegal outflow value, and the larger the value, the higher the bad rank. If the value of the above formula is the largest, the bad ranking is the highest.

【0064】図7は、XMLストア50の構成を示す図
である。XMLストア50には、データベース72とそ
れを制御するサーバ71とが設置されている。サーバ7
1は、XMLストア50にアクセスしてきた者を、本人
認証してアクセス制御する機能も備えている。
FIG. 7 is a diagram showing the structure of the XML store 50. A database 72 and a server 71 that controls the database 72 are installed in the XML store 50. Server 7
1 also has a function of authenticating a person who has accessed the XML store 50 and performing access control.

【0065】データベース72には、XMLで表現され
たデータが格納されている。そのデータの中身は、VP
情報として、VPの氏名であるたとえばB13P、VP
ユーザエージェント(知識データを含む)、サイト別情
報として、サイト名たとえばABC、そのサイトにアク
セスしたVPに発行された電子証明書、そのVPの個人
情報と当該サイトのプライバシーポリシーとそれら両情
報に対し当該VPが付したデジタル署名DKSB(個人情
報+ポリシー)と当該サイトABCが付したデジタル署
名DKSA(個人情報+ポリシー)と、トラップ情報とし
ての暗号化回数「0」と、当該VPのEメールアドレス
である○□×△×が含まれている。さらに、VPがサイ
ト名MTTにアクセスした場合には、そのサイト名MT
Tにアクセスしたトラップ型VPに対し発行された電子
証明書と、そのサイトにトラップ型VPが提供した個人
情報とそのサイトのプライバシーポリシーとそれら両情
報に対する当該トラップ型VPのデジタル署名と当該サ
イトのデジタル署名と、トラップ情報としての暗号回数
「1」とEメールアドレスとが含まれている。
The database 72 stores data expressed in XML. The content of the data is VP
As information, the name of the VP, such as B13P, VP
For user agents (including knowledge data), site-specific information such as site name, ABC, digital certificate issued to VP who accessed the site, personal information of the VP, privacy policy of the site, and both of these information. The digital signature D KSB (personal information + policy) attached by the VP, the digital signature D KSA (personal information + policy) attached by the site ABC, the encryption count "0" as trap information, and the E of the VP It contains the email address, xxxxx. Furthermore, when the VP accesses the site name MTT, the site name MT
The electronic certificate issued to the trap-type VP that accessed T, the personal information provided by the trap-type VP to the site, the privacy policy of the site, the digital signature of the trap-type VP for both information, and the site The digital signature, the number of times of encryption “1” as the trap information, and the email address are included.

【0066】さらに、氏名がNPXAの他のVPの情報
も、前述と同様の項目がデータベース72に記憶され
る。このデータベース72には、非常に多くのVPごと
に、前述した項目でデータが記憶されている。
Further, as for the information of other VPs whose names are NPXA, the same items as described above are stored in the database 72. In the database 72, data is stored in the above-described items for each very large number of VPs.

【0067】なお、サイト名ABCについては、図4で
説明したように、トラップ情報として1回も暗号化して
いない情報を用いているために、データベース72に格
納されている暗号回数も「0」となっている。サイト名
MTTについて言えば、図4で説明したように、トラッ
プ情報として1回暗号化した情報を用いているために、
データベース72に記憶されている暗号化回数も「1」
となっている。
As for the site name ABC, as described in FIG. 4, since the information that has not been encrypted once is used as the trap information, the number of encryption times stored in the database 72 is also “0”. Has become. As for the site name MTT, as described with reference to FIG. 4, since the information encrypted once is used as the trap information,
The number of encryption times stored in the database 72 is also "1"
Has become.

【0068】前述したVPユーザエージェントとは、ユ
ーザであるVPのために動作する自立型ソフトウェアの
ことである。このVPユーザエージェントは、ネットワ
ークを通して移動できるようにモバイルエージェントで
構成されている。
The above-mentioned VP user agent is self-supporting software that operates for the VP who is the user. This VP user agent is composed of a mobile agent so that it can move through the network.

【0069】なお、図3〜図7に示した各データは、暗
号化した状態で各データベースに格納しておいてもよ
い。そうすれば、万一データが盗まれたとしても、解読
できないために、セキュリティ上の信頼性が向上する。
一方、たとえばVP(トラップ型VPを含む)がネット
ワーク上で目に余る不正行為(たとえば刑法に違反する
行為)を行なった場合には、所定機関(たとえば警察
等)からの要請等に応じて、そのVPをデータベース1
2a等から検索してそのVPに対応するRPを割出し、
RPの住所氏名等を要請のあった所定機関(たとえば警
察等)に提供するようにしてもよい。
The data shown in FIGS. 3 to 7 may be stored in each database in an encrypted state. If so, even if the data is stolen, it cannot be decrypted, and the security reliability is improved.
On the other hand, for example, when a VP (including a trap-type VP) performs a noticeable misconduct on the network (eg, an act in violation of criminal law), a VP (eg, police, etc.) responds to a request, etc. Database 1 for that VP
Search from 2a etc. to find the RP corresponding to that VP,
The address and name of the RP may be provided to the requesting prescribed organization (for example, the police).

【0070】図8は、コンビニエンスストア2の構成を
示す図である。コンビニエンスストア2には、データベ
ース75と、それに接続されたサーバ74と、そのサー
バに接続された端末73とが設置されている。データベ
ース75には、当該コンビニエンスストアに住所を持つ
VP(トラップ型VPを含む)の氏名と、それら各氏名
に対応して、商品の預かり情報、Eメールアドレス、顧
客管理情報等が記憶されている。
FIG. 8 is a diagram showing the configuration of the convenience store 2. The convenience store 2 is provided with a database 75, a server 74 connected to the database 75, and a terminal 73 connected to the server. The database 75 stores the names of VPs (including trap type VPs) having addresses at the convenience stores, and the custody information of products, e-mail addresses, customer management information, etc. corresponding to each name. .

【0071】当該コンビニエンスストア2にB13Pの
VPが購入した商品が配達されれば、データベース75
のB13Pの記憶領域に、商品預かり情報として「AB
C会社からの商品預かり,未決済」が格納される。この
未決済とは、B13Pがネットを通じて商品を購入した
もののまだ支払を行なっていない状態のことである。
If the goods purchased by the B13P VP are delivered to the convenience store 2, the database 75
In the B13P storage area of "AB
"Product deposit from company C, unsettled" is stored. The unsettled state is a state in which B13P has purchased a product through the net but has not yet paid the product.

【0072】データベース75のEメールアドレスの欄
には、各VPに対応してEメールアドレスが格納されて
いる。B13Pの場合には、トラップ型VPでないため
に、当該VPの本当のEメールアドレスである○□×△
×が格納されている。
The E-mail address column of the database 75 stores the E-mail address corresponding to each VP. In the case of B13P, since it is not a trap type VP, it is the true email address of the VP.
X is stored.

【0073】トラップ型VPであるE(B13P)も同
様に、商品預かり情報としてたとえば「MTT会社から
の商品預かり,決済済」が格納される。なお、E(B1
3P)は、トラップ型VPであるために、Eメールアド
レスは、金融機関7のトラップ型VPのために開設され
ているEメールアドレスが格納される。
Similarly, for the E (B13P) which is a trap type VP, for example, "commodity deposit from MTT company, settlement completed" is stored as product deposit information. Note that E (B1
Since 3P) is a trap type VP, the email address stored for the trap type VP of the financial institution 7 is stored as the email address.

【0074】サーバ74は、後述するように、コンビニ
エンスストア2にVP(トラップ型VPを含む)として
商品を引取りに来た顧客が、当該コンビニエンスストア
2に登録されているVP(トラップ型VPを含む)に対
し商品を預かっている場合にはその商品をVP(トラッ
プ型VPを含む)に引渡すための処理を行なう。
As will be described later, the server 74 allows the customer who has received the merchandise as a VP (including a trap type VP) to the convenience store 2 to register the VP (trap type VP) registered in the convenience store 2 with the customer. In the case where the merchandise is stored in (including), processing for delivering the merchandise to the VP (including the trap type VP) is performed.

【0075】コンビニエンスストア2は、商品の預かり
サービスばかりでなくVP用のダイレクトメールの預か
りサービスも行なう。VPはコンビニエンスストア2が
住所でありVP宛のダイレクトメールはコンビニエンス
ストア2に郵送されるためである。
The convenience store 2 provides not only a product custody service but also a direct mail custody service for VPs. This is because the convenience store 2 is the address of the VP, and the direct mail addressed to the VP is mailed to the convenience store 2.

【0076】図9は、ユーザに用いられる端末の一例の
ブラウザフォン30を示す正面図である。ブラウザフォ
ン30には、マイクロコンピュータ199が備えられて
いる。このマイクロコンピュータ199には、CPU
(Central Processing Unit)197と、I/Oポート
198と、ROM195と、EEPROM194と、R
AM196とが備えられている。このブラウザフォン3
0は、USB(Universal Serial Bus)ポートを備えて
おり、USBポートに対し、IC端末19Rまたは19
Vまたは19Iが差込み可能に構成されている。IC端
末19Rは、RP用のIC端末である。IC端末19V
は、VP用のIC端末である。IC端末19Iは、後述
するように金融機関が発行したVP用のデータやプログ
ラムが格納されてユーザにまで配達されてくるものであ
り、その配達されてきたIC端末19Iをブラウザフォ
ン30のUSBポートに指込むことにより、IC端末1
9Iに記憶されているデータやソフトウェアがブラウザ
フォン30に記憶されることとなる。
FIG. 9 is a front view showing a browser phone 30 which is an example of a terminal used by a user. The browser phone 30 is equipped with a microcomputer 199. This microcomputer 199 has a CPU
(Central Processing Unit) 197, I / O port 198, ROM 195, EEPROM 194, R
And AM 196. This browser phone 3
0 has a USB (Universal Serial Bus) port, and the IC terminal 19R or 19 is connected to the USB port.
V or 19I can be inserted. The IC terminal 19R is an IC terminal for RP. IC terminal 19V
Is an IC terminal for VP. The IC terminal 19I stores VP data and programs issued by a financial institution and is delivered to the user as described later. The delivered IC terminal 19I is a USB port of the browser phone 30. By pointing to the IC terminal 1
The data and software stored in 9I will be stored in the browser phone 30.

【0077】図10は、VP用IC端末19Vを説明す
るための説明図である。VP用IC端末19Vは、前述
したように、ブラウザフォン30のUSBポート18に
対し着脱自在に構成されており、USBポート18に差
込むことにより、ブラウザフォン30との情報がやり取
りできるようになり、使用可能な状態となる。
FIG. 10 is an explanatory diagram for explaining the VP IC terminal 19V. As described above, the VP IC terminal 19V is configured to be detachable from the USB port 18 of the browser phone 30, and by inserting it into the USB port 18, it becomes possible to exchange information with the browser phone 30. , Ready to use.

【0078】VP用IC端末19V内には、LSIチッ
プ20が組込まれている。このLSIチップ20には、
制御中枢としてのCPU24、CPU24の動作プログ
ラムが記憶されているROM25、CPU24のワーク
エリアとしてのRAM22、電気的に記憶データを消去
可能なEEPROM26、コプロセッサ23、外部との
データの入出力を行なうためのI/Oポート21等が設
けられており、それらがバスにより接続されている。
An LSI chip 20 is incorporated in the VP IC terminal 19V. In this LSI chip 20,
CPU 24 as a control center, ROM 25 in which an operation program of CPU 24 is stored, RAM 22 as a work area of CPU 24, EEPROM 26 capable of electrically erasing stored data, coprocessor 23, for inputting / outputting data to / from the outside I / O ports 21 and the like are provided, and they are connected by a bus.

【0079】EEPROM26には、電子マネー用のプ
ログラムであるモンデックス(リロード金額データを含
む)、その他の各種アプリケーションソフト、VP用に
発行された電子証明書、暗証番号、クッキーデータが記
憶されている。
The EEPROM 26 stores Mondex (including reload amount data) which is a program for electronic money, various other application software, an electronic certificate issued for VP, a personal identification number, and cookie data. .

【0080】さらに、VP用IC端末19Vは、VPの
ユーザエージェントとしての機能を有しており、ユーザ
エージェント用知識データとして、デビットカード情
報、クレジットカード情報、VPの氏名,住所、VPの
Eメールアドレス、VPの公開鍵KPと秘密鍵KS、R
Pの認証鍵KN、VPの年齢,職業等、VPの各種嗜好
情報、VPの家族構成、…等の各種知識データが記憶さ
れている。
Further, the IC terminal 19V for VP has a function as a user agent of the VP, and as the user agent knowledge data, debit card information, credit card information, VP name and address, VP email. Address, VP public key KP and private key KS, R
Various pieces of knowledge data such as the P authentication key KN, the age and occupation of the VP, various preference information of the VP, the family structure of the VP, and the like are stored.

【0081】RP用IC端末19Rの場合も、図10に
示したVP用IC端末19Vとほぼ同様の構成を有して
いる。相違点といえば、EEPROM26に記録されて
いるユーザエージェント用知識データの内容が相違す
る。具体的には、VPの氏名,住所の代わりにRPの氏
名,住所、VPのEメールアドレスの代わりにRPのE
メールアドレス,VPの公開鍵や秘密鍵の代わりにRP
の公開鍵,秘密鍵、VPの年齢や職業等の代わりにRP
の年齢や職業等、VPの各種嗜好情報の代わりにRPの
各種嗜好情報、VPの家族構成の代わりにRPの家族構
成となる。
The RP IC terminal 19R also has substantially the same configuration as the VP IC terminal 19V shown in FIG. Speaking of the difference, the contents of the user agent knowledge data recorded in the EEPROM 26 are different. Specifically, instead of the name and address of the VP, the name and address of the RP, and the E of the RP instead of the e-mail address of the VP
RP instead of email address, VP public key or private key
Public key, private key, RP instead of age and occupation of VP
Instead of the VP's various kinds of preference information such as age and occupation, the RP's various kinds of preference information, and the VP's family structure instead of the VP's family structure.

【0082】なお、VPの家族構成は、VPに対応する
RPの家族がVPを誕生させている場合には、その誕生
しているVPの名前や住所や年齢等のデータから構成さ
れている。つまり、RPの家族に対応するVPの家族す
なわちバーチャル家族のデータがこのVPの家族構成の
記憶領域に記憶されることとなる。
The family structure of a VP is made up of data such as the name, address, age, etc. of the VP in the case where the RP family corresponding to the VP has given birth to the VP. That is, the data of the VP family corresponding to the RP family, that is, the virtual family data is stored in the storage area of the family structure of the VP.

【0083】図11は、図10に示したクッキーデータ
の詳細を示す図である。クッキーデータの記憶領域に
は、VP氏名ごとに、そのVP氏名を用いてアクセスし
たサイト(業者)側から送られてきたクッキーが格納さ
れる。VPが本名B13Pを用いてサイトにアクセスす
る場合には、既にトラップ型VPを用いてアクセスした
サイト以外のサイトは、どのサイトでもアクセスでき
る。その結果、本名B13Pに限り多くのサイトからの
クッキーデータが記憶されている。
FIG. 11 is a diagram showing details of the cookie data shown in FIG. The cookie data storage area stores, for each VP name, a cookie sent from the site (trader) side that has accessed using the VP name. When the VP uses the real name B13P to access the site, any site other than the site that has already accessed using the trap type VP can access any site. As a result, cookie data from many sites are stored only in the real name B13P.

【0084】図12は、図3に示したVP管理サーバ9
の処理動作を示すフローチャートである。ステップS
(以下単にSという)1により、VPの出生依頼があっ
たか否かの判断がなされる。顧客(ユーザ)がブラウザ
フォン30を操作してVPの出生依頼を行なえば、S1
aに進み、正当機関である旨の証明処理がなされる。こ
の証明処理は、金融機関7がVPの管理をする正当な機
関であることを証明するための処理であり、他人が金融
機関7になりすます不正行為を防止するための処理であ
る。この処理については、図24(b)に基づいて後述
する。次にS2へ進み、RPの氏名,住所の入力要求を
ブラウザフォン30へ送信する。次にS3へ進み、RP
の氏名,住所の返信がブラウザフォン30からあったか
否かの判断がなされ、あるまで待機する。
FIG. 12 shows the VP management server 9 shown in FIG.
3 is a flowchart showing the processing operation of FIG. Step S
By (1) (hereinafter, simply referred to as S), it is determined whether or not there is a VP birth request. If the customer (user) operates the browser phone 30 to make a VP birth request, S1
Proceeding to a, proof processing to the effect that it is a legitimate institution is performed. This certification process is a process for proving that the financial institution 7 is a legitimate institution that manages the VP, and is a process for preventing fraudulent acts by impersonating another person. This process will be described later with reference to FIG. Next, in S2, the RP name and address input request is transmitted to the browser phone 30. Then go to S3, RP
It is judged whether or not there is a reply of the name and address from the browser phone 30, and the process waits until there is.

【0085】ユーザであるRPがブラウザフォン30か
ら自分の氏名,住所を入力して送信すれば、S3により
YESの判断がなされてS4へ進み、乱数Rを生成して
チャレンジデータとしてブラウザフォン30へ送信する
処理がなされる。ユーザがVPの出生依頼を行なう場合
には、ブラウザフォン30のUSBポート18にVP用
IC端末19Vを差込んでおく。その状態で、VP管理
サーバ9から乱数Rが送信されてくれば、その乱数をV
P用IC端末19Vへ入力する。すると、後述するよう
に、VP用IC端末19V内において入力された乱数R
をRPの認証鍵KNを用いて暗号化する処理がなされ、
その暗号結果がブラウザフォン30へ出力される。ブラ
ウザフォン30では、その出力されてきた暗号化データ
であるレスポンスデータIをVP管理サーバ9へ送信す
る。すると、S5によりYESの判断がなされてS6へ
進み、RPの認証鍵KNを用いて、受信したレスポンス
データIを復号化する処理すなわちDKN(I)を算出す
る処理がなされる。次にS7へ進み、S4により生成し
た乱数R=DKN(I)であるか否かの判断がなされる。
When the user RP inputs his name and address from the browser phone 30 and sends it, a determination of YES is made in S3 and the process proceeds to S4, a random number R is generated and challenge data is sent to the browser phone 30 as challenge data. The process of sending is performed. When the user makes a VP birth request, the VP IC terminal 19V is inserted into the USB port 18 of the browser phone 30. In that state, if a random number R is transmitted from the VP management server 9, the random number is V
Input to P IC terminal 19V. Then, as will be described later, the random number R input in the IC terminal 19V for VP is input.
Is performed using the RP authentication key KN,
The encryption result is output to the browser phone 30. The browser phone 30 transmits the response data I, which is the output encrypted data, to the VP management server 9. Then, a determination of YES is made in S5 and the process proceeds to S6, in which the process of decrypting the received response data I, that is, the process of calculating DKN (I) is performed using the authentication key KN of the RP. Next, in S7, it is judged whether or not the random number R = DKN (I) generated in S4.

【0086】VPの出生依頼者が金融機関7のデータベ
ース12に記憶されている正規のRPである場合には、
R=DKN(I)となるために、制御がS9へ進むが、デ
ータベース12に記憶されているRPに他人がなりすま
してVPの出生依頼を行なった場合には、R=DKN
(I)とはならないために、制御がS8へ進み、アクセ
ス拒絶の旨がブラウザフォン30へ送信されてS1へ戻
る。
When the birth requester of the VP is a regular RP stored in the database 12 of the financial institution 7,
Since R = DKN (I), the control advances to S9, but if another person impersonates the RP stored in the database 12 and makes a VP birth request, R = DKN
Since (I) is not satisfied, the control advances to S8, a message of access refusal is transmitted to the browser phone 30, and the process returns to S1.

【0087】一方、S7によりYESの判断がなされた
場合には、S9へ進み、希望のコンビニエンスストアの
入力があったか否かの判断がなされる。VPの出生依頼
を行なったRPは、誕生してくるVPの住所となるコン
ビニエンスストアについて特に希望するコンビニエンス
ストアがあれば、ブラウザフォン30に入力してVP管
理サーバ9へ送信する。その場合には、S9によりYE
Sの判断がなされてS10へ進み、その入力されてきた
コンビニエンスストアの情報を記憶した後S12へ進
む。一方、希望するコンビニエンスストアの入力がなか
った場合にはS11へ進み、RPの住所に近いコンビニ
エンスストアを検索してそのコンビニエンスストアを記
憶した後S12へ進む。
On the other hand, if YES is determined in S7, the process proceeds to S9, and it is determined whether or not the desired convenience store is input. The RP that has made the birth request for the VP, if there is a convenience store that is particularly desired for the convenience store serving as the address of the VP to be born, inputs it to the browser phone 30 and sends it to the VP management server 9. In that case, S9
After the determination of S is made, the process proceeds to S10, and the inputted information of the convenience store is stored, and then the process proceeds to S12. On the other hand, if the desired convenience store is not input, the process proceeds to S11, searches for a convenience store near the RP address, stores the convenience store, and then proceeds to S12.

【0088】S12では、VPの氏名,VPの住所であ
るコンビニエンスストアの住所,VPのEメールアドレ
ス等を決定する。次にS13へ進み、VPの公開鍵の送
信要求をブラウザフォン30へ送信する。そして、S1
4へ進み、公開鍵KPの返信があったか否かの判断がな
され、あるまで待機する。VPの公開鍵の送信要求を受
けたブラウザフォン30は、接続されているVP用IC
端末19Vへ公開鍵出力要求を出力する。すると、後述
するように、VP用IC端末19Vは、記憶しているV
P用の公開鍵KPをブラウザフォン30へ出力する。ブ
ラウザフォン30では、その出力されてきたVP用の公
開鍵KPをVP管理サーバ9へ返信する。すると、S1
4よりYESの判断がなされてS15へ進み、RPに対
応付けて、VPの氏名,住所,公開鍵KP,Eメールア
ドレスをデータベース12へ記憶させる処理がなされ
る。
At S12, the name of the VP, the address of the convenience store which is the address of the VP, the e-mail address of the VP, etc. are determined. Next, in S13, the request for transmitting the public key of the VP is transmitted to the browser phone 30. And S1
The process proceeds to step 4, and it is judged whether or not there is a reply of the public key KP, and the process waits until there is. The browser phone 30 that has received the request to send the public key of the VP is connected to the IC for VP.
A public key output request is output to the terminal 19V. Then, as will be described later, the IC terminal 19V for VP stores the stored V
The public key KP for P is output to the browser phone 30. The browser phone 30 returns the output public key KP for VP to the VP management server 9. Then S1
A determination of YES is made from 4, and the process proceeds to S15, in which the name, address, public key KP, and E-mail address of the VP are stored in the database 12 in association with the RP.

【0089】次にS16へ進み、VPの電子証明書を作
成してXMLストア50に登録する処理がなされる。次
にS17へ進み、RPに、VPの氏名,コンビニエンス
ストアの住所,コンビニエンスストアの名称,Eメール
アドレス,電子証明書を記憶したIC端末19Iを郵送
するための処理がなされる。次にS18へ進み、S12
で決定された住所のコンビニエンスストアにVPの氏
名,Eメールアドレス,当該金融機関7の名称を送信す
る処理がなされる。次にS19へ進み、正当機関である
旨の証明処理がなされる。この正当機関である旨の証明
処理は、前述したS1aと同じ処理である。次にS1へ
戻る。
Next, in S16, a process for creating a VP electronic certificate and registering it in the XML store 50 is performed. Next, the processing proceeds to S17, and processing for mailing the IC terminal 19I storing the name of the VP, the address of the convenience store, the name of the convenience store, the e-mail address, and the electronic certificate to the RP. Next, it progresses to S18 and S12.
A process of transmitting the VP's name, e-mail address, and the name of the financial institution 7 to the convenience store of the address determined in step 1 is performed. Next, the process proceeds to S19, and a proof process to the effect that it is a legitimate institution is performed. The proof processing of the legitimate institution is the same processing as S1a described above. Then, the process returns to S1.

【0090】本発明でいう「匿名用の電子証明書」と
は、ユーザと当該ユーザが用いる匿名(VP氏名)との
対応関係を特定可能な情報を登録している守秘義務のあ
る所定機関(金融機関7)により発行され、前記匿名を
用いるユーザが当該所定機関に登録されているユーザで
あることを証明する証明書を含む概念である。よって、
本人確認に用いる一般的なデジタルIDばかりでなく、
前記所定機関が前記匿名を用いるユーザに対し当該ユー
ザは当該所定機関に登録されているユーザであることを
証明する電子的な証明書をすべて含む概念である。たと
えば、ユーザが用いる匿名とその匿名が前記所定機関に
登録されているメッセージとに対し、前記所定機関によ
るデジタル署名が施されただけの、簡単な証明書を含む
概念である。
The "anonymous digital certificate" in the present invention means a predetermined institution (which has a duty of confidentiality) that registers information capable of specifying the correspondence between a user and anonymity (VP name) used by the user. This is a concept including a certificate issued by a financial institution 7) and certifying that the user who uses the anonymity is a user registered in the predetermined institution. Therefore,
Not only a general digital ID used for identity verification,
It is a concept that the predetermined institution includes all electronic certificates that prove to the user who uses the anonymity that the user is a user registered in the predetermined institution. For example, it is a concept including a simple certificate in which anonymity used by a user and a message in which the anonymity is registered in the predetermined institution are only digitally signed by the predetermined institution.

【0091】S1によりNOの判断がなされた場合には
S13(a)のS400へ進む。S400では、個人情
報の登録処理が行なわれ、次にS401によりトラップ
情報の登録処理が行なわれ、S402により個人情報の
確認処理が行なわれ、S403により個人情報の照合,
流通チェック処理が行なわれ、S404により個人情報
の販売代行処理が行なわれ、S405によりメール転
送,流通チェック処理が行なわれ、S406により他の
トラップ型VPのアクセス履歴の提供処理が行なわれ、
S407により信頼度ランキング情報の集計,提供処理
が行なわれてS1へ戻る。ユーザから個人情報の提供を
受けたサイト(業者)側では、提供してもらった個人情
報が本当に正しい内容であるか否かを確認したいという
ニーズがある。そこで、金融機関7のVP管理サーバ9
は、ユーザから個人情報を受付けてその個人情報が正し
い個人情報かどうかをチェックし、正しい個人情報のみ
をデータベース12aに登録する。その処理をS400
により行なう。
If NO is determined in S1, the process proceeds to S400 in S13 (a). In S400, personal information registration processing is performed, then trap information registration processing is performed in S401, personal information confirmation processing is performed in S402, and personal information verification is performed in S403.
Distribution check processing is performed, personal information sales agency processing is performed in S404, mail transfer and distribution check processing is performed in S405, and access history provision processing for other trap type VPs is performed in S406.
In S407, the reliability ranking information is totaled and provided, and the process returns to S1. There is a need on the site (trader) side that receives the personal information from the user to confirm whether or not the personal information provided is really correct. Therefore, the VP management server 9 of the financial institution 7
Receives personal information from the user, checks whether the personal information is correct personal information, and registers only the correct personal information in the database 12a. The process is S400
By.

【0092】一方、ネットワーク上でVPの利用が盛ん
になった場合には、RPとVPとの両方の詳しい個人情
報を収集した業者が、両個人情報をしらみつぶしにマッ
チングして、両個人情報が一致するRP氏名とVP氏名
とを割出し、VPに対応するRPを予測してしまうとい
う不都合が生ずる恐れがある。そこで、個人情報をデー
タベース12aに登録する場合には、勤務先名や所属部
署名あるいは役職等のRPが特定されてしまうような個
人情報を排除(または変更)して、登録する必要があ
る。そのような処理を、S400により行なう。
On the other hand, when the use of the VP becomes popular on the network, a trader who collects detailed personal information of both the RP and the VP matches both personal information with each other, There is a possibility that an inconvenience may occur in which the RP name and the VP name that are matched with each other are calculated and the RP corresponding to the VP is predicted. Therefore, when registering the personal information in the database 12a, it is necessary to exclude (or change) the personal information that identifies the RP such as the work name, the department name, or the post. Such processing is performed by S400.

【0093】一方、個人情報主であるユーザは、自己の
個人情報が正しい内容で流通しているか否かを監視し、
間違っていれば正しい内容に修正したいというニーズが
ある。そこで、データベース12bに登録されている自
己の個人情報の真偽をユーザがチェックできるように、
S402により、個人情報の確認処理が行なわれる。
On the other hand, the user who is the personal information owner monitors whether his / her personal information is distributed with correct contents,
If there is a mistake, there is a need to correct it. Therefore, so that the user can check the authenticity of his / her personal information registered in the database 12b,
In step S402, confirmation processing of personal information is performed.

【0094】さらに、ユーザが自己の個人情報の公開範
囲(流通範囲)を限定した上でその個人情報を業者側
(サイト側)に提供した場合に、その公開範囲(流通範
囲)が守られているか否かを監視したいというニーズが
ある。個人情報の提供を受けた業者側は、前述したよう
にその個人情報が正しい情報であるか否かを確認したい
というニーズがある。そこで、サイト側(業者側)が所
有している個人情報を正しい個人情報が登録されている
データベース12aの個人情報と照合できるようにする
一方、その照合対象となった業者側所有の個人情報の流
通許容範囲をチェックして正しく流通されているか否か
をチェックできるように、S403の処理が行なわれ
る。
Further, when the user limits the disclosure range (distribution range) of his / her own personal information and then provides the personal information to the trader side (site side), the disclosure range (distribution range) is protected. There is a need to monitor whether or not there is. There is a need for the trader who receives the personal information to confirm whether or not the personal information is correct as described above. Therefore, the personal information owned by the site side (trader side) can be collated with the personal information of the database 12a in which the correct personal information is registered, while the personal information owned by the dealer side that is the collation target is The process of S403 is performed so that the distribution allowable range can be checked to check whether the distribution is correct.

【0095】ユーザは、個人情報を提供する見返りとし
て、何らかのサービスあるいは金銭を入手したいという
ニーズがある。そこで、S404により、個人情報の販
売代行が行なわれる。図4に基づいて説明したように、
トラップ型VPは、Eメールアドレスを金融機関7のト
ラップ型VP用として開設しているアドレスにしている
ため、そのトラップ型VPに宛てたEメールは金融機関
7のトラップ型VP用に開設されたEメールアドレス宛
に送られる。そこで、その送られてきたEメールを対応
するVPのEメールアドレスに転送する必要がある。そ
の処理を、S405により行なう。その際に、業者側か
ら送られてくるEメールの宛名はトラップ型VPとなっ
ているために、そのトラップ型VPに対応するサイトを
割出し(図4参照)、その割出されたサイトからのEメ
ールでなかった場合には当該トラップ型VPの個人情報
の流通許容範囲内のサイトからのEメールか否かをチェ
ックし、流通チェックを行なうことも、S405により
行なわれる。
The user needs to obtain some kind of service or money in return for providing personal information. Therefore, in S404, sales of personal information is performed. As explained based on FIG. 4,
Since the trap type VP uses the e-mail address for the trap type VP of the financial institution 7, the e-mail addressed to the trap type VP is opened for the trap type VP of the financial institution 7. It will be sent to your email address. Therefore, it is necessary to transfer the sent e-mail to the e-mail address of the corresponding VP. The process is performed by S405. At that time, since the e-mail address sent from the trader side is the trap type VP, the site corresponding to the trap type VP is indexed (see FIG. 4), and from the indexed site If it is not the E-mail, it is also checked in S405 whether or not the e-mail is from the site within the allowable distribution range of the personal information of the trap type VP and the distribution check is performed.

【0096】図4に基づいて説明したように、トラップ
型VP氏名をサイト別に使い分ける場合には、ユーザ側
において、それら氏名毎に分離してサイト側からのクッ
キーが記録されるように交通整理を行なう必要がある。
同一のクッキーが複数のトラップ型VPにまたがって共
通に付着されている場合には、その複数のトラップ型V
Pは同一人物のVPであることが見破られてしまうため
である。
As described with reference to FIG. 4, when the trap type VP name is properly used for each site, traffic control should be performed on the user side so that the name is separated and the cookie from the site side is recorded. I need to do it.
When the same cookie is commonly attached to a plurality of trap type VPs, the plurality of trap type Vs
This is because it is discovered that P is the VP of the same person.

【0097】このような交通整理を行なった場合には、
業者側(サイト側)は、ある1つのトラップ型VPにつ
いてのアクセス履歴情報や商品購入履歴情報を収集する
ことはできるが、同一のVPでありながら他のトラップ
型VP氏名使用時におけるアクセス履歴や商品購入履歴
情報は収集できなくなる。つまり、業者側(サイト側)
は、あるVPについてその一部の履歴情報しか収集でき
なくなるという不都合が生ずる。
When such traffic control is performed,
The trader side (site side) can collect access history information and product purchase history information about a certain trap type VP, but it is possible to collect the access history when using the name of another trap type VP while using the same VP. The product purchase history information cannot be collected. In other words, the supplier side (site side)
Has the inconvenience that only a part of the history information of a certain VP can be collected.

【0098】そこで、業者側(サイト側)から要請があ
った場合に、他のトラップ型VPのアクセス履歴を提供
し得る処理が、S406により行なわれる。
Therefore, when there is a request from the trader side (site side), the process of providing the access history of another trap type VP is performed by S406.

【0099】ユーザが自己の個人情報をサイト側(業者
側)に提供する際には、その業者がプライバシー保護に
関してどの程度信用できる業者であるか否か確認したい
というニーズがある。そこで、S407により、信頼度
ランキング情報の集計を行なってその集計結果を提供す
る処理が行なわれる。
When the user provides his / her own personal information to the site side (trader side), there is a need to confirm to what extent the trader can be trusted for privacy protection. Therefore, in S407, processing of totaling the reliability ranking information and providing the totalized result is performed.

【0100】図13の(b)は、S400の個人情報の
登録処理のサブルーチンプログラムを示すフローチャー
トである。この個人情報の登録処理は、ユーザがVPと
して個人情報を登録する際の処理である。
FIG. 13B is a flow chart showing a subroutine program of the personal information registration processing of S400. This personal information registration process is a process when the user registers the personal information as a VP.

【0101】乱数Rを受信したブラウザフォン30は、
そのブラウザフォン30に接続されているVP用IC端
末19Vに記憶されているVP用の秘密鍵を用いて乱数
Rを1回暗号化してレスポンスデータIを生成する。そ
してそのレスポンスデータIを金融機関7のVP用管理
サーバ9へ送信する。
When the browser phone 30 receives the random number R,
The random number R is encrypted once by using the private key for VP stored in the IC terminal 19V for VP connected to the browser phone 30 to generate the response data I. Then, the response data I is transmitted to the VP management server 9 of the financial institution 7.

【0102】S410により、ユーザ側から個人情報の
登録要求があったか否かの判断がなされ、ない場合には
このサブルーチンプログラムが終了する。登録要求があ
った場合にはS411へ進み、正当機関証明処理がなさ
れる。次に制御がS412へ進み、VPの氏名の入力要
求がなされ、S413により入力があったか否かの判断
がなされる。入力があった場合には制御がS414へ進
み、乱数Rを生成してチャレンジデータとして登録要求
を行なったユーザ側に送信する処理がなされる。S41
5へ進み、ユーザ側からレスポンスデータIを受信した
か否かの判断がなされ、受信するまで待機する。受信し
た段階でS416へ進み、VPの公開鍵KPをデータベ
ース12aから検索して、受信したレスポンスデータI
を公開鍵KPで暗号化したDkp(I)を生成する処理が
なされる。
In S410, it is judged whether or not there is a request for registration of personal information from the user side, and if not, this subroutine program ends. If there is a registration request, the process proceeds to S411, and the legal institution certification process is performed. Next, the control advances to S412, an input request for the name of the VP is made, and it is judged at S413 whether or not there is an input. If there is an input, the control advances to S414, and a process of generating a random number R and transmitting it as challenge data to the user side who has made the registration request is performed. S41
The process proceeds to step 5 and the user side determines whether or not the response data I is received, and waits until the response data I is received. Upon reception, the process proceeds to S416, the public key KP of the VP is retrieved from the database 12a, and the received response data I
Is encrypted with the public key KP to generate D kp (I).

【0103】次に制御がS417へ進み、チャレンジデ
ータRとDkp(I)が等しいか否かの判断がなされる。
等しくなければユーザの本人認証ができなかったことと
なりS422へ進み、登録拒否の処理がなされる。S4
17によりYESの判断がなされた場合には制御がS4
18へ進み、登録要求を出したユーザに対し登録を希望
する個人情報の入力要求を出す処理がなされる。次にS
419へ進み、入力があったか否かの判断がなされ、入
力があるまで待機する。入力があった段階で制御がS4
20へ進み、登録対象の個人情報の真偽チェックを行な
う。
Next, the control advances to S417, where it is determined whether the challenge data R and D kp (I) are equal.
If they are not equal, it means that the user cannot be authenticated, and the process proceeds to S422, where a registration refusal process is performed. S4
When YES is determined by 17, the control is S4.
Proceeding to 18, the processing for issuing the input request of the personal information desired to be registered to the user who has issued the registration request is performed. Then S
Proceeding to 419, it is judged whether or not there is an input, and the process waits until there is an input. When there is an input, control is S4
Proceeding to 20, the authenticity of personal information to be registered is checked.

【0104】この真偽チェックは、たとえば、XMLス
トア50にアクセスして該当するユーザの個人情報が登
録されている場合にそれと照合チェックしたり、電子行
政群49に含まれる市役所等にアクセスしてそこに登録
されている個人情報と照合チェックしたりして行なわれ
る。このような機械検索による照合チェックだけでは不
十分な場合には、金融機関7の調査員が裏取り調査を行
なって真偽チェックを行なう。
This authenticity check is performed, for example, by accessing the XML store 50 and checking the personal information of the corresponding user if it is registered, or by accessing the city hall included in the electronic administration group 49. It is performed by checking the personal information registered there. If such a collation check by machine search is not sufficient, an investigator of the financial institution 7 carries out a trade-in examination to make a genuine / counterfeit check.

【0105】次に制御がS421へ進み、真偽チェック
の結果正しいか否かの判断がなされ、正しくない場合に
はS422へ進み登録拒否の処理がなされる一方、正し
い場合にはS423へ進み、RPが特定される個人情報
か否かの判断がなされる。登録しようとしているVPの
個人情報の中に、たとえば勤務先名や所属部署名あるい
は役職等のRPが特定されてしまうような個人情報が存
在する場合に、それをそのまま登録してしまうと、その
登録情報からどのVPがどのRPに対応するかを第三者
に予測されてしまう恐れがある。このデータベース12
aに登録される個人情報は、S403やS404により
サイト側(業者側)が知り得る状態となる。その結果、
サイト側(業者側)に、RPとVPとの対応関係が予測
される恐れが生ずる。
Then, the control advances to S421, where it is judged whether the result is true or false as a result of the authenticity check. If the result is not correct, the process advances to S422 to perform the registration refusal process, while if the result is correct, the process advances to S423. It is determined whether the RP is personal information that is specified. If the personal information of the VP to be registered contains personal information that identifies the RP such as the work name, department name, or job title, if the personal information is registered as it is, There is a possibility that a third party may predict which VP corresponds to which RP from the registration information. This database 12
The personal information registered in a is in a state that the site side (trader side) can know by S403 and S404. as a result,
On the site side (trader side), there is a fear that the correspondence relationship between RP and VP is predicted.

【0106】そこで、S423により、RPが特定され
る個人情報か否かの判断がなされ、予測される個人情報
でなければS425へ進むが、予測される恐れのある個
人情報の場合にはS424へ進み、その個人情報を加工
する処理がなされた後S425へ進む。たとえば、勤務
先名がMECであった場合には、それをたとえば「某大
手電気メーカー」に加工したり、役職がたとえば専務で
あった場合には、たとえば「重役」に加工したりする。
Then, in S423, it is judged whether or not the RP is the specified personal information, and if it is not the predicted personal information, the process proceeds to S425, but if it is the predicted personal information, the process proceeds to S424. After the processing for processing the personal information is performed, the processing proceeds to S425. For example, when the work name is MEC, it is processed into, for example, "a certain major electric maker", or when the position is senior managing, it is processed into, for example, "executive".

【0107】S425では、個人情報に当該金融機関の
デジタル署名を付してユーザ名別に登録する処理がなさ
れる。その結果、図5に示すようなデータがデータベー
ス12aに登録される。
In step S425, a process of adding the digital signature of the financial institution to the personal information and registering the personal information for each user name is performed. As a result, the data as shown in FIG. 5 is registered in the database 12a.

【0108】図14は、S401に示されたトラップ情
報の登録処理のサブルーチンプログラムを示すフローチ
ャートである。S430により、正当機関証明処理がな
され、S431により、VP氏名の入力要求がトラップ
情報の登録依頼をしてきたVPに出される。次にS43
2へ進み、その登録依頼をしてきたVPが自己のVP氏
名を入力したか否かの判断がなされ、入力するまでS4
31の要求が出される。次に制御がS433へ進み、乱
数Rを生成してチャレンジデータとして登録依頼者であ
るVPに送信する処理がなされる。S434により、レ
スポンスデータIを受信したか否かの判断がなされる。
FIG. 14 is a flow chart showing a subroutine program of the trap information registration processing shown in S401. In S430, the legal institution certification process is performed, and in S431, the VP name input request is issued to the VP that has requested the trap information registration. Then S43
The process proceeds to step 2, and it is determined whether or not the VP that has requested the registration has input his or her own VP name.
31 requests are issued. Next, the control advances to S433, and a process of generating a random number R and transmitting it as challenge data to the VP who is the registration requester is performed. Through S434, it is determined whether the response data I has been received.

【0109】送信されてきたチャレンジデータRを受信
した登録依頼者であるVPがそのチャレンジデータRを
自己の秘密鍵で暗号化してレスポンスデータIを生成
し、金融機関7のVP管理サーバ9へ送信する。する
と、制御がS435へ進み、登録依頼をしてきたVPの
公開鍵KPをデータベース12aから検索し、受信した
レスポンスデータIをその公開鍵KPで復号化する処理
を行なう。そしてS436により、チャレンジデータR
=Dkp(I)であるか否かの判断がなされ、イコールで
ない場合には認証の結果そのVPが本人と確定できない
ということであり、S437により登録拒否の通知がそ
のVPになされる。一方、S436によりYESの判断
がなされて認証の結果VPが本人であることが確認でき
た場合には、制御がS438へ進み、トラップ情報の送
信要求をそのVPへ送信する処理がなされる。
The VP which is the registration requester who has received the transmitted challenge data R encrypts the challenge data R with its own secret key to generate the response data I and transmits it to the VP management server 9 of the financial institution 7. To do. Then, the control proceeds to S435, where the public key KP of the VP which has requested the registration is searched from the database 12a, and the received response data I is decrypted with the public key KP. Then, by S436, the challenge data R
= D kp (I) is determined, and if it is not equal, it means that the VP cannot be determined as the person as a result of authentication, and a registration refusal is notified to the VP in S437. On the other hand, if YES is determined in S436 and it is confirmed as a result of the authentication that the VP is the person in question, control proceeds to S438, and a process of transmitting a trap information transmission request to the VP is performed.

【0110】VPから登録してもらいたいトラップ情報
が送信されてきたか否かがS439によりなされ、送信
されてくるまで待機する。送信されてきた段階で制御が
S440へ進み、送信されてきたトラップ情報をデータ
ベース12aに記憶させる処理がなされる。このトラッ
プ情報は、登録依頼者であるVPに対応した記憶領域に
記憶される。次に制御がS441へ進み、そのトラップ
情報に対する電子署名を金融機関7が生成して、その電
子証明書をXMLストア50へ登録する処理がなされ
る。その結果、図7に基づいて説明したように、XML
ストア50のデータベース72に電子証明書が格納され
る。
Whether or not the trap information desired to be registered has been transmitted from the VP is made in S439, and the process waits until it is transmitted. The control proceeds to S440 at the stage of being transmitted, and the process of storing the transmitted trap information in the database 12a is performed. This trap information is stored in the storage area corresponding to the VP who is the registration requester. Next, the control advances to S441, where the financial institution 7 generates an electronic signature for the trap information, and the electronic certificate is registered in the XML store 50. As a result, as described with reference to FIG.
The electronic certificate is stored in the database 72 of the store 50.

【0111】この電子証明書は、XMLストア50に格
納する代わりに登録依頼を行なってきたVPのIC端末
19Vに格納してもよい。しかし、トラップ情報は、前
述したように、そのVPがアクセスしたWebサイト毎
に異なり、その結果電子証明書もWebサイト毎に異な
ることとなり、多数の電子証明書をIC端末19Vに格
納するとなると、記憶容量の問題が生ずる。ゆえに、本
実施の形態では、その記憶容量の問題を克服するため
に、XMLストア50へ登録する。なお、IC端末19
Vの記憶容量が非常に大きなものであれば、金融機関7
が発行した電子証明書のすべてまたはその大半をこのI
C端末19Vに記憶させてもよい。
The electronic certificate may be stored in the IC terminal 19V of the VP that has made the registration request, instead of being stored in the XML store 50. However, as described above, the trap information is different for each website accessed by the VP, and as a result, the electronic certificate is also different for each website, and if a large number of electronic certificates are stored in the IC terminal 19V, Storage capacity issues arise. Therefore, in the present embodiment, in order to overcome the problem of the storage capacity, the XML store 50 is registered. The IC terminal 19
If the storage capacity of V is very large, financial institution 7
All or most of the electronic certificates issued by
It may be stored in the C terminal 19V.

【0112】図15は、S402に示された個人情報の
確認処理のサブルーチンプログラムを示すフローチャー
トである。金融機関7のデータベース12aに登録され
ている自己の個人情報をユーザが確認したい場合には、
ユーザがRPとして金融機関7のVP管理サーバ9へ確
認要求を送信する。その確認要求の送信があればS45
0によりYESの判断がなされ、S451〜S458に
より、前述したものと同様の本人認証処理がなされる。
なお、S452による氏名の入力要求とは、ユーザのR
Pの氏名の入力要求である。本人認証の結果ユーザが本
人であることが確認された場合にはS457によりYE
Sの判断がなされて制御がS459へ進む。
FIG. 15 is a flowchart showing a subroutine program of the personal information confirmation processing shown in S402. When the user wants to confirm his / her personal information registered in the database 12a of the financial institution 7,
The user sends a confirmation request as a RP to the VP management server 9 of the financial institution 7. If there is a transmission of the confirmation request, S45
A determination of YES is made by 0, and the same person authentication processing as that described above is performed by S451 to S458.
The name input request in S452 is the user's R
This is a request to input the name of P. If it is confirmed that the user is the person as a result of the personal authentication, the result of S457 is YE.
The determination of S is made, and the control advances to S459.

【0113】S459では、個人情報の確認要求であっ
たか否かの判断がなされる。この個人情報の確認処理の
サブルーチンプログラムは、ユーザから自己の個人情報
の変更要求があった場合も対処できるように構成されて
いる。そのユーザからの個人情報の変更要求の場合に
は、S459によりNOの判断がなされるが、個人情報
の確認要求であった場合にはS459によりYESの判
断がなされて制御がS460へ進み、入力されたRP氏
名に対応する個人情報をそのユーザに送信する処理がな
される。
In S459, it is determined whether the request is a confirmation request of personal information. The subroutine program for the confirmation processing of the personal information is configured to be able to deal with the case where the user makes a request for changing the personal information of the user. In the case of the personal information change request from the user, NO is determined in S459, but in the case of the personal information confirmation request, YES is determined in S459 and the control advances to S460 to input. A process of transmitting the personal information corresponding to the RP name to the user is performed.

【0114】送信されてきた個人情報を確認したユーザ
は、その個人情報の中に間違った個人情報がある場合、
あるいは、転職や引越し等を行なって個人情報が変更さ
れた場合には、自己の個人情報の変更要求を金融機関7
のVP管理サーバ9へ送信する。すると、S450aに
よりYESの判断がなされて制御がS451へ進み、S
451〜S458の認証処理が行なわれる。そして認証
の結果本人であることが確認された場合にはS457に
よりYESの判断がなされてS459へ進み、個人情報
の確認要求であったか否かの判断がなされる。この場合
には、個人情報の変更要求であるために、制御がS45
9aへ進み、変更したい個人情報(変更情報)の送信要
求がそのユーザに対してなされる。
The user who confirms the transmitted personal information, if the personal information contains wrong personal information,
Alternatively, when personal information is changed by changing jobs or moving, a request to change own personal information is sent to the financial institution 7.
To the VP management server 9. Then, the determination of YES is made in S450a, and the control advances to S451, where S
Authentication processing from 451 to S458 is performed. Then, if it is confirmed as a result of the authentication that the user is the person in question, a YES determination is made in S457, the process proceeds to S459, and it is determined whether the request is a confirmation request of personal information. In this case, the control is S45 because it is a request to change the personal information.
9a, the user is requested to send personal information (change information) to be changed.

【0115】ユーザは、自己の個人情報中のどの箇所を
どのように変更したいかという変更情報を金融機関7の
VP管理サーバ9へ送信する。すると、S459bによ
りYESの判断がなされてS461により、その送信さ
れてきた変更情報が正しいか否かの真偽チェックがなさ
れる。次にS462により、そのチェックの結果をユー
ザに返信する処理がなされる。次にS463により、チ
ェックの結果正しいか否かの判断がなされ、正しくなけ
れば個人情報の変更を行なうことなくそのままこのサブ
ルーチンプログラムが終了するが、正しい場合にはS4
64へ進み、データベース12a中の個人情報の該当箇
所を変更する処理がなされる。
[0115] The user sends change information to the VP management server 9 of the financial institution 7 indicating which part of his / her personal information he / she wants to change. Then, a determination of YES is made in S459b, and a true / false check is made in S461 as to whether or not the transmitted change information is correct. Next, in S462, a process of returning the check result to the user is performed. Next, in S463, it is judged whether the result of the check is correct or not. If it is not correct, this subroutine program is terminated without changing the personal information, but if it is correct, S4 is executed.
Proceeding to 64, a process of changing the corresponding part of the personal information in the database 12a is performed.

【0116】図16は、S403により示された個人情
報の照合,流通チェック処理のサブルーチンプログラム
を示すフローチャートである。S465により、照合依
頼があったか否かの判断がなされる。たとえば、Web
サイト側において、アクセスしてきたユーザの住所、氏
名、年齢、性別、年収、嗜好情報等の、個人情報を収集
した場合に、その個人情報が本当に正しい個人情報であ
るか否かを金融機関7において照合できるようにしたの
が、このサブルーチンプログラムである。そのようなサ
イト側(業者側)から照合依頼があれば、制御がS46
6へ進み、金融機関7側の電子証明書をサイト側(業者
側)へ送信し、S467により、そのサイト側(業者
側)の電子証明書の送信を要求する処理がなされる。そ
の業者側から自己の電子証明書が送信されてくればS4
68によりYESの判断がなされて制御がS469へ進
み、照合したいユーザの氏名をその照合依頼者に要求す
る処理がなされる。照合依頼者であるサイト側(業者
側)が照合したいユーザの氏名を送信してくれば、制御
がS473へ進み、照合したい個人情報の送信要求が依
頼者側に出される。依頼者側が照合したい個人情報を金
融機関7側に送信してくれば、制御がS471へ進む。
FIG. 16 is a flowchart showing a subroutine program of the personal information collation and distribution check processing shown in S403. Through S465, it is determined whether or not there is a collation request. For example, Web
On the site side, when personal information such as the address, name, age, sex, annual income, preference information of the accessing user is collected, the financial institution 7 determines whether the personal information is really correct. It is this subroutine program that can be verified. If there is a verification request from such a site side (provider side), the control is S46.
In step 6, the electronic certificate of the financial institution 7 side is transmitted to the site side (provider side), and in S467, a process of requesting transmission of the electronic certificate of the site side (provider side) is performed. If the electronic certificate is sent from the trader side, S4
A determination of YES is made by 68, and the control advances to S469 to perform a process of requesting the collation requester for the name of the user to be collated. When the site side (trader side), which is the collation requester, transmits the name of the user to be collated, the control proceeds to S473, and the requester side is requested to transmit the personal information to be collated. If the client side transmits the personal information to be collated to the financial institution 7 side, the control advances to S471.

【0117】S471では、送信されてきた依頼者の電
子証明書の業者名(サイト名)と送信されてきた照合対
象となるユーザ名とが合致するか否かをトラップ情報に
基づいてチェックする処理がなされる。依頼者の電子証
明書には、当該依頼者の業者名(サイト名)が記載され
ている。図4に基づいて説明したように、VPは、We
bサイトへアクセスする際に、VPの本名を使う場合も
あればトラップ型VPを使う場合もある。つまり、VP
は、アクセスするサイト毎に氏名を使い分けているので
ある。よって、たとえば、図4のMTTから個人情報の
照合依頼があった場合には、S470により受信したユ
ーザ氏名は本来E(B13P)の筈である。このよう
に、サイト名とそれに用いられているVP氏名とが一致
するか否かがS472により判断され、一致する場合に
はS473へ進むが、一致しない場合には図17のS4
94へ進む。
In S471, a process of checking whether or not the trader name (site name) of the transmitted requester's electronic certificate and the transmitted user name to be verified match based on the trap information. Is done. The requester's electronic certificate describes the trader name (site name) of the requester. As described based on FIG. 4, VP is We
When accessing the b site, the real name of the VP may be used or the trap type VP may be used. That is, VP
Uses different names for each site it visits. Therefore, for example, when a request for collating personal information is issued from the MTT in FIG. 4, the user name received in S470 should originally be E (B13P). As described above, it is determined in S472 whether or not the site name and the VP name used for it match. If they match, the process proceeds to S473, but if they do not match, S4 of FIG.
Proceed to 94.

【0118】S494では、XMLストアの該当個人情
報を検索して、プライバシーポリシーに定められている
流通許容範囲内に依頼者が含まれているか否かをチェッ
クする処理がなされる。業者名(サイト名)とユーザ名
とが一致しなければ、即個人情報の不正流通がなされた
と判断すべきではなく、VPがサイト側に個人情報を提
供する際にある一定の流通許容範囲内においては他の業
者にその個人情報を流通(開示)させてもよいことを承
諾している場合が考えられる。この流通許容範囲は、サ
イト側が用意しているプライバシーポリシーに記述され
ている。そこで、S494により、XMLストアの該当
個人情報を検索して、そこに格納されているプライバシ
ーポリシーに定められている流通許容範囲内に依頼者が
含まれているか否かをチェックするのである。たとえ
ば、依頼者MTTから送られてきてユーザ名がB13P
であり(図4参照)、そのユーザ名からそれに対応する
サイト名ABCを割出すことができる。
In S494, processing is performed to retrieve the corresponding personal information in the XML store and check whether the requester is included in the distribution allowable range defined in the privacy policy. If the trader name (site name) and the user name do not match, it should not be judged that the personal information was immediately illegally distributed, and within the certain allowable distribution range when the VP provides the personal information to the site side. In the case of, it may be possible that another vendor has consented to the distribution (disclosure) of the personal information. This allowable distribution range is described in the privacy policy prepared by the site. Therefore, in S494, the corresponding personal information in the XML store is searched and it is checked whether or not the requester is included in the distribution allowable range defined in the privacy policy stored therein. For example, the user name sent from the requester MTT is B13P.
(See FIG. 4), the site name ABC corresponding to the user name can be calculated.

【0119】その割出されたサイト名ABCに基づいて
XMLストア50のデータベース72を検索し、サイト
名ABCに付随して格納されている「ポリシー」を検索
する(図7参照)。このプライバシーポリシーは、We
bサイトABCが個人情報を収集する際にユーザ側に提
示したものであり、そのプライバシーポリシーには、収
集した個人情報の流通許容範囲が記述されている。その
流通許容範囲内に照合依頼者であるMTTが含まれてい
るか否かが、S494によっりチェックされる。含まれ
ている場合にはS494aによりYESの判断がなされ
てS475へ進むが、含まれていない場合には、その個
人情報が不正に流通されたということになり、S495
以降の処理がなされる。
The database 72 of the XML store 50 is searched based on the indexed site name ABC, and the "policy" stored in association with the site name ABC is searched (see FIG. 7). This privacy policy is based on We
It is presented to the user side when the b site ABC collects the personal information, and its privacy policy describes the allowable distribution range of the collected personal information. Whether or not the matching requester MTT is included in the allowable distribution range is checked in S494. If it is included, the determination of YES is made in S494a and the process proceeds to S475. If it is not included, it means that the personal information is illegally distributed, and S495.
Subsequent processing is performed.

【0120】S495では、依頼者名に対応させて個人
情報の不正入手値を「1」加算更新する処理がなされ
る。前述した例では、依頼者MTTがVP氏名B13P
を送信してきたということは、サイト(業者)ABCか
らVP氏名B13Pの個人情報を不正に入手したという
ことである。よって、S495により、不正入手値を
「1」加算更新する処理がなされる。この不正入手値
は、データベース12bに格納される(図6参照)。
In S495, a process of adding and updating the illegally acquired value of the personal information by "1" is performed in association with the requester name. In the above example, the requester MTT has the VP name B13P.
Means that the personal information of the VP name B13P has been illegally obtained from the site (trader) ABC. Therefore, in S495, the processing of adding and updating the illegally acquired value by "1" is performed. This illegally acquired value is stored in the database 12b (see FIG. 6).

【0121】次に制御がS496へ進み、送信されてき
たユーザ名に対応するサイト名(業者名)を割出し、そ
のサイト名(業者名)に対応させて個人情報の不正流出
値を「1」加算更新する処理がなされる。前述した例で
は、送られてきたユーザ名B13Pに対応するサイト名
(業者名)ABCを割出し、そのサイト名(業者名)A
BCに対応させて個人情報の不正流出値を「1」加算更
新する。つまり、サイト(業者)ABCは、VP氏名B
13Pの個人情報をMTTに不正に流出させたのであ
り、そのため、不正流出値を「1」加算更新するのであ
る。この不正流出値も、データベース12bに格納され
る(図6参照)。
Next, the control advances to S496, the site name (trader name) corresponding to the transmitted user name is indexed, and the unauthorized leak value of the personal information is set to "1" in association with the site name (trader name). The process of adding and updating is performed. In the example described above, the site name (provider name) ABC corresponding to the sent user name B13P is indexed, and the site name (provider name) A
The unauthorized outflow value of the personal information is updated by adding "1" in association with BC. In other words, the site (provider) ABC is VP name B
The personal information of 13P was illegally leaked to the MTT, and therefore, the illegal leak value is updated by adding "1". This unauthorized outflow value is also stored in the database 12b (see FIG. 6).

【0122】次に制御がS497へ進み、個人情報の不
正があった旨およびその詳細データを該当するユーザに
通知する処理がなされる。
Next, the control advances to S497, where a process of notifying the relevant user of the fact that the personal information is illegal and the detailed data thereof is performed.

【0123】一方、依頼者の電子証明書に記載されてい
る業者名と送られてきたユーザ名とが合致する場合に
は、制御がS475へ進み、依頼者から送信されてきた
個人情報をデータベース12aの該当するユーザの個人
情報(図5参照)と照合する処理がなされる。次にS4
76により、照合対象となっているユーザのユーザエー
ジェントをXMLストアから呼出す処理がなされる。次
にS477により、そのユーザエージェントに照合結果
を知らせ、依頼者に返信してよいか否かを尋ねる処理が
なされる。ユーザエージェントからの返答があれば、制
御がS479へ進み、依頼者に返信してよい旨の返答で
あった場合には、制御がS486へ進み、照合結果、正
しい個人情報にデジタル署名を付す処理がなされる。こ
のデジタル署名は、正しい個人情報である旨を金融機関
7が確認したことを表わすものである。次にS487に
より、そのデジタル署名を付した個人情報を依頼者に返
信して、それ以外は誤りである旨を依頼者に通知する処
理がなされる。なお、依頼者から送信されてきた個人情
報に相当するユーザの個人情報がデータベース12aに
なかった場合には、照合できないために、その照合でき
なかった個人情報について照合できなかった旨を依頼者
に返信する。
On the other hand, when the trader name written in the requester's electronic certificate and the sent user name match, control proceeds to S475, and the personal information sent from the requester is stored in the database. A process of collating with the personal information (see FIG. 5) of the corresponding user of 12a is performed. Then S4
The processing of calling the user agent of the user to be collated from the XML store is performed by 76. Next, in S477, a process of notifying the user agent of the collation result and asking the requester whether or not a reply may be made is performed. If there is a reply from the user agent, the control advances to S479, and if the reply is a reply to the requester, the control advances to S486, and a digital signature is added to the verification result and correct personal information. Is done. This digital signature indicates that the financial institution 7 has confirmed that the personal information is correct. Next, in S487, processing is performed in which the personal information with the digital signature is returned to the requester, and the requester is notified that the other information is incorrect. If the personal information of the user corresponding to the personal information transmitted from the requester is not in the database 12a, the request cannot be verified because the request cannot be verified because the verification cannot be performed. Reply.

【0124】一方、ユーザエージェントからの返答の結
果がOKでなかった場合には制御がS480へ進み、依
頼者への返信の条件としてその依頼者(業者)から見返
りを要求するという内容の返答がユーザエージェントか
らなされたか否かの判断がなされる。ユーザエージェン
トは、OKの返答と見返り要求の返答と依頼者への返信
を拒否する返答との3種類の返答を行なう。依頼者への
返信を拒否する返答であった場合には、制御がS481
へ進み、回答拒否を依頼者に返信する処理がなされる。
On the other hand, when the result of the reply from the user agent is not OK, the control advances to S480, and a reply requesting a reward from the requester (trader) is sent as a condition for replying to the requester. A determination is made as to whether it was made by the user agent. The user agent makes three types of responses: an OK response, a return request response, and a response refusing the response to the requester. If the reply is to refuse the reply to the requester, the control is S481.
Then, the processing for returning the reply to the requester is performed.

【0125】見返りを要求する返答であった場合には、
制御がS482へ進み、出された見返り要求を依頼者に
返信する処理がなされる。次にS483により、依頼者
からの返答があったか否かの判断がなされ、返答がある
まで待機する。返答があった段階でS484により、交
渉が成立したか否かの判断がなされる。交渉不成立の場
合には制御がS481へ進み、回答を拒否する旨を依頼
者に返信する処理がなされる。交渉が成立したと判断さ
れる場合にはS485へ進み、交渉が成立した旨をユー
ザに通知する処理がなされる。それと同時に、金融機関
7のVP管理サーバ9は、交渉によって決定された見返
り内容を記憶しておく。次に、制御がS486へ進む。
If the reply is a request for return,
The control advances to S482, and processing for returning the issued reward request to the requester is performed. Next, in S483, it is determined whether or not there is a response from the requester, and the process waits until there is a response. When a reply is received, it is determined in S484 whether the negotiation is successful. If the negotiation has not been established, the control advances to S481, and a process of replying to the requester that the reply is rejected is performed. If it is determined that the negotiation has been established, the process proceeds to S485, and a process of notifying the user that the negotiation has been established is performed. At the same time, the VP management server 9 of the financial institution 7 stores the reward contents determined by the negotiation. Next, the control proceeds to S486.

【0126】図17の(b)は、S404により示され
た個人情報の販売代行処理のサブルーチンプログラムを
示すフローチャートである。S498により、個人情報
の購入要求があったか否かの判断がなされる。業者側か
ら金融機関7のVP管理サーバ9に個人情報の購入要求
があれば、制御がS499へ進み、金融機関7の電子証
明書をその購入要求者に送信する処理がなされる。次に
S500により、購入要求者の電子証明書の送信をその
購入要求者に要求する処理がなされる。購入要求者から
電子証明書の送信があれば制御がS502へ進み、購入
対象のユーザ名を購入要求者に要求する処理がなされ
る。購入要求者から購入対象のユーザ名の送信があれ
ば、制御がS504へ進み、送信されてきたユーザ名の
ユーザエージェントをXMLストア50から呼出す処理
がなされる。
FIG. 17B is a flow chart showing a subroutine program of the sales agent processing of personal information shown in S404. By S498, it is determined whether or not there is a purchase request for personal information. If the VP management server 9 of the financial institution 7 makes a purchase request for personal information from the trader side, the control advances to S499, in which the electronic certificate of the financial institution 7 is transmitted to the purchase requester. Next, in S500, a process of requesting the purchase requester to transmit the electronic certificate of the purchase requester is performed. If the purchase requester sends the electronic certificate, the control advances to S502, and a process of requesting the purchase requesting user name of the user to be purchased is performed. If the purchase requester transmits the user name of the purchase target, the control advances to S504, and a process of calling the user agent having the transmitted user name from the XML store 50 is performed.

【0127】次にS505により、そのユーザエージェ
ントと購入依頼者とで直接交渉させる処理がなされる。
この交渉は、購入要求者に対し個人情報を提供してもよ
いか否か、また提供するにあたってはどの程度の見返り
を要求するか、またその見返り内容は金銭の支払かある
いはサービスの提供か等の交渉である。S506によ
り、交渉が成立したか否かの判断がなされ、不成立の場
合には、S507により、販売を拒否する旨を依頼者
(購入要求者)に返信する処理がなされる。交渉が成立
していると判断された場合には、制御がS508へ進
み、ユーザ名,購入依頼者名,見返り等の販売条件,個
人情報の開示許容範囲(流通許容範囲)を含むプライバ
シーポリシーに対し、ユーザ,依頼者(購入要求者),
金融機関7のそれぞれのデジタル署名を付して記憶する
処理がなされる。次にS509により、販売が決定され
た金融機関7のデジタル署名を付して依頼者に返信する
処理がなされる。
Next, in S505, a process of directly negotiating between the user agent and the purchase requester is performed.
In this negotiation, whether or not personal information may be provided to the purchase requester, how much reward is required in providing it, and whether the reward content is payment of money or provision of service, etc. Negotiations. In S506, it is determined whether or not the negotiation is successful, and if not successful, in S507, a process of replying to the requester (purchase requester) to refuse the sale is performed. When it is determined that the negotiation has been established, the control advances to S508, and a privacy policy including a user name, a purchase requester name, sales conditions such as a reward, and a disclosure allowable range (a distribution allowable range) of personal information is set. In contrast, users, requesters (purchase requesters),
A process of adding and storing a digital signature of each of the financial institutions 7 is performed. Next, in step S509, a process of attaching a digital signature of the financial institution 7 determined to be sold and returning it to the client is performed.

【0128】金融機関7のデータベース12aに格納さ
れている個人情報は、その金融機関によって真偽チェッ
クがなされて正しい個人情報のみが格納されており、そ
の正しい個人情報を業者に提供する場合やその正しい個
人情報との照合結果を業者に提供する場合には、S48
6、S509により金融機関7のデジタル署名が付され
る。よって、業者が所有する個人情報のうち金融機関7
のデジタル署名が付されていない個人情報については、
誤りの可能性のある個人情報であり、金融機関7のデジ
タル署名が付されている個人情報は正しい個人情報であ
ることが、一目瞭然でわかる。
The personal information stored in the database 12a of the financial institution 7 is checked by the financial institution for authenticity and only correct personal information is stored. When providing the collation result with the correct personal information to the trader, S48
6, the digital signature of the financial institution 7 is added in S509. Therefore, the financial institution 7
For personal information that is not digitally signed by
It can be seen at a glance that personal information that may be erroneous and that personal information with the digital signature of the financial institution 7 is correct personal information.

【0129】図18は、S405に示されたメール転
送,流通チェックのサブルーチンプログラムを示すフロ
ーチャートである。S514により、サイト(業者)か
らメールが送られてきたか否かの判断がなされる。図4
等に基づいて説明したように、VPが、本名を用いてサ
イトにアクセスした場合にはVP自身のEメールアドレ
スをそのサイト側に通知するが、トラップ型VP氏名を
用いてサイトにアクセスした場合には、金融機関7のト
ラップ型VP用として開設されているEメールアドレス
をそのサイト側に提供する。その結果、そのサイトから
のEメールは、金融機関7のトラップ型VP用に開設さ
れたEメールアドレスで送られてくることとなる。
FIG. 18 is a flow chart showing the subroutine program of the mail transfer and distribution check shown in S405. Through S514, it is determined whether or not an email has been sent from the site (trader). Figure 4
As explained above, when the VP uses the real name to access the site, it notifies the site of the VP's e-mail address, but the trap type VP name is used to access the site. Provides the e-mail address opened for the trap type VP of the financial institution 7 to the site side. As a result, the email from the site will be sent to the email address established for the trap type VP of the financial institution 7.

【0130】金融機関7では、そのトラップ型VP用に
開設したEメールアドレスに送信されてきたメールがあ
る場合には、VP管理用サーバ9は、S514により、
YESの判断を行なう。その結果、制御がS515へ進
み、その送られてきたEメールに含まれている宛名に対
応するサイト名(業者名)をデータベース12aから割
出す処理を行なう。データベース12aは、図4に基づ
いて説明したように、VPの氏名とそのVPがアクセス
したサイト名とが対応付けられて記憶されている。この
対応関係を利用して、メールの宛名から対応するサイト
名(業者名)を割出す処理がなされる。
At the financial institution 7, if there is a mail sent to the e-mail address opened for the trap type VP, the VP management server 9 executes the step S514.
Make a YES decision. As a result, the control proceeds to S515, and the site name (trade name) corresponding to the address included in the sent E-mail is indexed from the database 12a. As described with reference to FIG. 4, the database 12a stores the name of the VP and the site name accessed by the VP in association with each other. Using this correspondence, a process of deducing the corresponding site name (trade name) from the mail address is performed.

【0131】次にS516により、割出されたサイト名
とEメールを送ったサイト名とが一致するか否かの判断
がなされる。本来なら一致する筈であるが、個人情報が
不正に流通された場合には、その不正流通された個人情
報を不正入手したサイトがその個人情報主にEメールを
送る場合がある。その場合には、割出されたサイト名と
メールを送ったサイト名とが一致しない状態となる。
Next, in S516, it is determined whether or not the indexed site name and the site name to which the E-mail is sent match. Although they should match, if personal information is illegally distributed, a site that illegally obtains the illegally distributed personal information may send an e-mail to the personal information owner. In that case, the indexed site name does not match the site name that sent the mail.

【0132】割出されたサイト名とメールを送ったサイ
ト名とが一致しない場合に、即座に個人情報が不正流通
されたとは断定できない。サイト側に個人情報を提供す
る際に、ある一定の流通許容範囲内においては流通させ
てもよいと個人情報主であるユーザから承諾を得ている
場合がある。よって、図17のS494,S494aで
説明したのと同様に、S522に制御が進み、XMLス
トアの該当個人情報を検索して、ポリシーに定められて
いる流通許容範囲内にEメール送信者が含まれるか否か
チェックする処理がなされ、S523により、含まれる
と判断された場合には制御がS517へ進むが、含まれ
ないと判断された場合には制御がS519へ進む。
When the indexed site name and the site name that sent the mail do not match, it cannot be concluded immediately that the personal information was illegally distributed. When the personal information is provided to the site side, there is a case where the user who is the personal information owner has given consent that the personal information may be distributed within a certain allowable distribution range. Therefore, as described in S494 and S494a of FIG. 17, the control proceeds to S522, the relevant personal information in the XML store is searched, and the email sender is included in the distribution allowable range defined in the policy. If it is determined to be included in S523, the control proceeds to S517. If it is determined not to be included, the control proceeds to S519.

【0133】S519では、Eメールを送ったサイト名
に対応させて個人情報の不正入手値を「1」加算更新す
る処理がなされ、S520により、S515によって割
出されたサイト名に対応させて個人情報の不正流出値を
「1」加算更新する処理がなされる。次にS521によ
り、個人情報の不正があった旨およびその詳細データを
該当するユーザへ通知する処理がなされる。
In S519, the processing for adding and updating the illegally acquired value of the personal information by "1" is performed in correspondence with the site name to which the e-mail is sent, and in S520, the personal name is associated with the site name calculated in S515. A process of adding and updating the unauthorized outflow value of information by "1" is performed. Next, in step S521, a process of notifying the corresponding user of the fact that the personal information is illegal and detailed data thereof is performed.

【0134】一方、個人情報が不正流通されていないと
判断された場合には制御がS517へ進み、Eメールの
宛名に対応するユーザのメールアドレスを割出す処理が
なされ、S518により、その割出されたアドレスにE
メールを転送する処理がなされる。
On the other hand, if it is determined that the personal information has not been illicitly distributed, the control advances to S517, where the mail address of the user corresponding to the address of the E-mail is indexed. E to the given address
Processing for forwarding mail is performed.

【0135】図19は、S406に示された他のトラッ
プ型VPのアクセス履歴の提供処理のサブルーチンプロ
グラムを示すフローチャートである。前述したように、
VPがトラップ型VPとしてサイトにアクセスした場合
には、そのサイト側から送られてくるクッキーはそのト
ラップ型VPのみに対応してVPをIC端末19Vに記
憶される(図11参照)。よって、トラップ型VPとし
てアクセスを受けたサイト側では、そのトラップ型VP
のみのアクセス履歴や購買履歴しか収集できず、そのト
ラップ型VPが他のトラップ型VPとしてまたはVPの
本名を用いてネットワーク上で行動したその行動履歴
(アクセス履歴等)は、何ら集計できない。このような
場合において、そのサイト側から他のトラップ型VP
(本名を用いたVPを含む)のアクセス履歴等のネット
ワーク上の行動履歴のデータを提供してもらいたいとい
う依頼が、金融機関7にあった場合には、S530によ
りYESの判断がなされて制御がS531へ進み、金融
機関7の電子証明書を送信する処理がなされる。
FIG. 19 is a flow chart showing a subroutine program of the access history providing processing of another trap type VP shown in S406. As previously mentioned,
When the VP accesses the site as the trap type VP, the cookie sent from the site side stores the VP in the IC terminal 19V corresponding to only the trap type VP (see FIG. 11). Therefore, on the site side that has been accessed as a trap type VP, the trap type VP is
Only the access history and the purchase history can be collected, and the action history (access history etc.) of the trap type VP acting as another trap type VP or using the real name of the VP on the network cannot be totaled. In such a case, another trap type VP from the site side
If the financial institution 7 is requested to provide the data of the action history on the network such as the access history (including the VP using the real name), YES is determined in S530 and the control is performed. Advances to S531, and processing for transmitting the electronic certificate of the financial institution 7 is performed.

【0136】次にS532により、依頼者の電子証明書
の送信をその依頼者に要求する処理がなされる。電子証
明書がその依頼者から送信されてきた段階でS533に
よりYESの判断がなされて制御がS534へ進み、提
供してもらいたいユーザの氏名を依頼者に対し要求する
処理がなされる。次にS535へ進み、依頼者からユー
ザの氏名の送信があったか否かの判断がなされ、あった
場合にS536へ進み、ユーザの許可証の送信をその依
頼者に要求する処理がなされる。ユーザは、トラップ型
VPとしてサイトにアクセスして個人情報を提供する際
に、他のトラップ型VP(本名を用いたVPを含む)の
アクセス履歴等のネットワーク上の行動履歴データも提
供してよい旨の承諾を行なう場合がある。
Next, in S532, a process of requesting the requester to send the requester's electronic certificate is performed. When the electronic certificate is transmitted from the requester, YES is determined in S533, the control advances to S534, and a process of requesting the requester for the name of the user to be provided is performed. Next, in S535, it is determined whether or not the requester has transmitted the user's name, and if there is, the process proceeds to S536 to request the requester to transmit the user's permit. When the user accesses the site as a trap type VP and provides personal information, the user may also provide behavior history data on the network such as access histories of other trap type VPs (including VPs using real names). In some cases, consent may be given.

【0137】つまり、図4を参照して、たとえばVPが
トラップ型VPであるE2(B13P)としてサイトM
ECにアクセスして個人情報を提供した際に、他のトラ
ップ型VPであるE(B13P)が本名B13Pを用い
たVPのアクセス履歴等のネットワーク上の行動履歴デ
ータも併せてそのサイトMECに提供してもよいことを
承諾する場合がある。その場合には、ユーザは、その旨
を示す電子的な許可証をそのサイトに送信する。この許
可証は、ユーザのデジタル署名が付されている。S53
6の要求に応じてサイトがその許可証を送信すれば、S
537によりYESの判断がなされ、S539によりそ
の許可証が適正であるか否かの判断がなされる。適正で
ない場合にはS545により、アクセス履歴の提供を拒
否する通知が依頼者に送信されるが、適正である場合に
はS540により、送信されてきたユーザ氏名に対応す
る他のトラップ型VP(本名を用いたVPを含む)のア
クセス履歴等のネットワーク上での行動履歴データを割
出してその依頼者に送信する処理がなされる。
That is, referring to FIG. 4, for example, the site M is designated as E 2 (B13P), which is a trap type VP.
When accessing EC and providing personal information, other trap type VP E (B13P) also provides action history data on the network such as access history of VP using real name B13P to the site MEC. You may agree that you may. In that case, the user sends an electronic permit to that effect to the site. The permit is digitally signed by the user. S53
If the site sends the permit in response to the request of 6, S
A determination of YES is made by 537, and a determination of whether or not the permit is proper is made by S539. If it is not appropriate, a notification of refusing the provision of the access history is sent to the requester in S545, but if it is appropriate, in S540, another trap type VP (real name) corresponding to the transmitted user name is sent. (Including a VP using), action history data on the network such as an access history and the like are calculated and transmitted to the requester.

【0138】一方、依頼者であるサイト側がユーザの許
可証を持っていない場合には、許可証なしの返信を金融
機関7に送信する。すると、S538によりYESの判
断がなされて制御がS541へ進み、当該ユーザのユー
ザエージェントをXMLストア50から呼出す処理がな
され、S542により、そのユーザエージェントと依頼
者であるサイト側とを直接交渉させる処理がなされる。
On the other hand, when the site as the requester does not have the user's license, a reply without the license is sent to the financial institution 7. Then, a determination of YES is made in S538, the control proceeds to S541, a process of calling the user agent of the user from the XML store 50 is performed, and a process of directly negotiating the user agent with the requesting site side in S542. Is done.

【0139】次にS543により、交渉が成立したか否
かの判断がなされる。交渉不成立の場合にはS545に
よりアクセス履歴の提供を拒否する通知が依頼者側に送
信される。一方、交渉成立の場合には制御がS544へ
進み、個人情報主であるユーザが無条件で許諾したか否
かの判断がなされる。無条件で許諾した場合には、制御
がS540へ進み、アクセス履歴等の行動履歴データを
依頼者側に送信する処理がなされる。一方、ユーザが条
件付きの許諾を行なった場合には、制御がS546へ進
み、その条件を記憶する処理がなされた後、S540へ
進む。S546による条件を記憶する際には、交渉の当
事者であるユーザおよび依頼者の名前と決定された条件
とを個人情報の開示許容範囲(流通許容範囲)を含む依
頼者側のプライバシーポリシーとに対し、交渉の当事
者,金融機関7のそれぞれのデジタル署名を付して記憶
する。
Next, in S543, it is determined whether or not the negotiation has been established. If the negotiation is not established, a notification refusing to provide the access history is transmitted to the requester side in S545. On the other hand, if the negotiation is successful, the control advances to S544, and it is determined whether or not the user who is the personal information owner has unconditionally permitted. If the license is granted unconditionally, the control proceeds to S540, and the process of transmitting the action history data such as the access history to the client side is performed. On the other hand, when the user gives the conditional permission, the control advances to S546, and after the process of storing the condition is performed, the flow advances to S540. When the conditions in S546 are stored, the names of the user and the client who are parties to the negotiation and the determined conditions are compared with the privacy policy of the client side including the disclosure allowable range (allowable distribution range) of personal information. , The parties to the negotiations and the financial institution 7 are digitally signed and stored.

【0140】図20は、S407により示された信頼度
ランキング情報の集計,提供処理のサブルーチンプログ
ラムを示すフローチャートである。このサブルーチンプ
ログラムは、データベース12bの記憶データに基づい
てVP管理サーバ9が動作するためのものである。S5
50により、各サイト(業者)毎に、J=不正入手値+
不正流出値×2 を算出する処理がなされる。これは、
個人情報を不正に入手した者よりも個人情報を不正に流
出(流通)させた者の方が、悪質であり罪が重たいため
に、×2を行なっているのである。
FIG. 20 is a flow chart showing a subroutine program of the processing for collecting and providing the reliability ranking information shown in S407. This subroutine program is for the VP management server 9 to operate based on the data stored in the database 12b. S5
According to 50, J = illegal acquisition value + for each site (trader) +
A process of calculating an unauthorized outflow value × 2 is performed. this is,
The person who illegally leaks (distributes) the personal information is more malicious than the person who illegally obtains the personal information, and thus the crime is heavy, and thus, x2 is performed.

【0141】次にS551により、算出されたJが大き
い順に悪い順位を算出して各サイト(業者)毎にデータ
ベース12bに記憶させる処理がなされる。次にS55
2により、順位の公表要求があったか否かの判断がなさ
れる。個人情報主であるユーザあるいは業者等から順位
の公表要求が金融機関7のVP管理サーバ9にあった場
合には、制御がS553へ進み、その要求者に対し順位
データを送信する処理がなされる。
Next, in S551, a process of calculating a bad rank in descending order of the calculated J and storing it in the database 12b for each site (trader) is performed. Then S55
According to 2, it is judged whether or not there is a request to publish the ranking. When the ranking request from the user who is the owner of personal information or the trader is issued to the VP management server 9 of the financial institution 7, the control proceeds to S553, and the ranking data is transmitted to the requester. .

【0142】図21は、図3に示した認証用サーバ11
の処理動作を示すフローチャートである。まずS25に
より,RPから電子証明書の発行依頼があったか否かの
判断がなされ、あるまで待機する。ユーザであるRPが
ブラウザフォン30からRPの電子証明書の発行依頼要
求を認証用サーバ11へ送信すれば、制御がS26へ進
み、RPの住所,氏名,公開鍵の送信要求をブラウザフ
ォン30へ送信する処理がなされる。次にS27へ進
み、ブラウザフォン30からRPの住所,氏名,公開鍵
の返信があるか否かの判断がなされ、あるまで待機す
る。そして、返信があった段階で制御がS28へ進み、
RPの電子証明書を作成してブラウザフォン30へ送信
する処理がなされる。次にS29へ進み、RPの住所,
氏名,公開鍵KPをデータベース12aに記憶する処理
がなされてS25へ戻る。
FIG. 21 shows the authentication server 11 shown in FIG.
3 is a flowchart showing the processing operation of FIG. First, in S25, it is determined whether or not the RP has issued a request for issuing an electronic certificate, and the process waits until there is a request. If the RP, which is the user, sends a request for issuing the electronic certificate of the RP from the browser phone 30 to the authentication server 11, control proceeds to S26, and the request for sending the RP address, name, and public key is sent to the browser phone 30. The process of sending is performed. Next, in S27, it is determined whether or not there is a reply of the RP address, name, and public key from the browser phone 30, and the process waits until there is. Then, when the reply is received, the control advances to S28,
A process of creating an RP electronic certificate and transmitting it to the browser phone 30 is performed. Next, in S29, the RP address,
A process of storing the name and public key KP in the database 12a is performed, and the process returns to S25.

【0143】図22〜図24は、図3の決済サーバ10
の処理動作を示すフローチャートである。S35によ
り、RPの銀行口座番号の作成依頼があったか否かの判
断がなされ、ない場合にはS39へ進み、VPの銀行口
座番号の作成依頼があったか否かの判断がなされ、ない
場合にはS40へ進み、デビットカードの発行要求があ
ったか否かの判断がなされ、ない場合にはS41へ進
み、決済要求があったか否かの判断がなされ、ない場合
にはS35へ戻る。
22 to 24 show the settlement server 10 of FIG.
3 is a flowchart showing the processing operation of FIG. Through S35, it is determined whether or not there is a request for creating the RP bank account number. If not, the process proceeds to S39, where it is determined whether or not there is a request for creating the VP bank account number, and if not, S40. Then, it is judged whether or not there is a debit card issuance request, and if not, the process proceeds to S41, and it is judged whether or not there is a settlement request, and if not, the process returns to S35.

【0144】このS35〜S41のループの巡回途中
で、ユーザが金融機関7へ出向き、RPの銀行口座の開
設依頼を行なってRPの銀行口座番号の作成依頼が入力
されれば、制御がS36へ進み、RPの住所,氏名等の
入力要求がなされ、入力があれば制御がS38へ進み、
RPの銀行口座を作成して、データベース12aに記憶
するとともにRPに通知する処理がなされてS35へ戻
る。
If the user goes to the financial institution 7 to request the opening of the bank account of the RP and the request to create the bank account number of the RP is input during the circulation of the loop of S35 to S41, the control goes to S36. Proceed and input request for RP address, name, etc. If there is input, control proceeds to S38,
A bank account for the RP is created, stored in the database 12a, and notified to the RP, and the process returns to S35.

【0145】ユーザが金融機関7へ出向き、VPの銀行
口座の開設依頼を行なってVPの銀行口座番号の作成依
頼要求が入力されれば、S42へ進み、VPの住所,氏
名等,RPの住所,氏名等の入力要求がなされる。ユー
ザは、これら情報を手動でキーボードから入力するか、
または、決済サーバ10にRP用IC端末19RやVP
用IC端末19Vを接続してこれらデータを自動入力す
る。データが入力されれば、制御がS44へ進み、RP
とVPの対応が適正であるか否かが、データベース12
aを検索することにより確認される。
If the user goes to the financial institution 7 and requests the opening of the VP bank account and the request for the creation of the VP bank account number is input, the process proceeds to S42 and the VP address, name, etc., and the RP address. , Input of name etc. is requested. The user can either enter this information manually from the keyboard or
Alternatively, the payment server 10 may be provided to the RP IC terminal 19R or VP.
The IC terminal 19V for use is connected to automatically input these data. If the data is input, the control advances to S44, where RP
Whether the correspondence between VP and VP is proper
Confirmed by searching for a.

【0146】RPとVPの対応が適正でない場合にはS
51へ進み、対応が不適正である旨を報知してS35へ
戻る。一方、RPとVPとの対応が適正な場合にはS4
5へ進み、VPの銀行口座を作成して、データベース1
2aに記憶するとともに、VPに対応するRPにその銀
行口座を郵送する処理がなされた後S35へ戻る。
When the correspondence between RP and VP is not proper, S
Proceed to 51, notify that the response is not appropriate, and return to S35. On the other hand, if the correspondence between RP and VP is proper, S4
Go to 5 and create a bank account for VP, database 1
After being stored in 2a and mailing the bank account to the RP corresponding to the VP, the process returns to S35.

【0147】ユーザが金融機関7へ出向き、デビットカ
ードの発行要求の依頼を行なってデビットカードの発行
要求の入力があれば、S40によりYESの判断がなさ
れてS46へ進み、口座番号と氏名と暗証番号の入力要
求がなされる。ユーザがRP用のデビットカードの発行
を要求する場合には、RPの銀行口座番号と氏名と暗証
番号を入力する。一方、ユーザがVP用のデビットカー
ドの発行要求を希望する場合には、VPの銀行口座番号
とVPの氏名とVPの暗証番号とを入力する。これらの
データの入力は、RP用IC端末19RまたはVP用I
C端末19Vを決済サーバ10へ接続して自動的に入力
する。
If the user goes to the financial institution 7 to make a request for a debit card issuance request and the debit card issuance request is input, the determination in S40 is YES and the process proceeds to S46, in which the account number, name and password are entered. You will be asked to enter a number. When the user requests the issuance of a debit card for RP, he / she inputs the bank account number, name and PIN of the RP. On the other hand, when the user desires to issue a debit card for the VP, he / she inputs the bank account number of the VP, the name of the VP, and the personal identification number of the VP. Input of these data is performed by the RP IC terminal 19R or the VP I terminal.
The C terminal 19V is connected to the settlement server 10 and automatically input.

【0148】これらデータの入力が行なわれれば制御が
S48へ進み、入力データをデータベース12aへ記憶
するとともに、デビットカードを発行する処理がなされ
る。次にS49へ進み、発行されたデビットカードの記
憶データをRP用IC端末またはVP用IC端末へ伝送
する処理がなされてS35へ戻る。
When these data are input, the control advances to S48 to store the input data in the database 12a and issue a debit card. Next, the process proceeds to S49, and the process of transmitting the stored data of the issued debit card to the RP IC terminal or the VP IC terminal is performed, and the process returns to S35.

【0149】決済サーバ10に決済要求が送信されてく
れば、S41によりYESの判断がなされてS50へ進
み、決済処理がなされた後S35へ戻る。
When the payment request is sent to the payment server 10, a YES determination is made in S41 and the process proceeds to S50. After the payment process is performed, the process returns to S35.

【0150】図23は、図22に示したS50の決済処
理のサブルーチンプログラムを示すフローチャートであ
る。決済要求には、銀行口座内の資金を一部RP用IC
端末19RまたはVP用IC端末19Vに引落す引落し
要求と、デビットカードを使用しての決済要求と、クレ
ジットカードを使用して決済を行なった場合のクレジッ
トカード発行会社からのクレジット使用金額の引落し要
求とがある。まずS55よりIC端末19Rまたは19
Vへの引落し要求があったか否かの判断がなされ、ない
場合にはS57へ進み、デビットカードを使用しての決
済要求があったか否かの判断がなされ、ない場合にはS
58へ進み、クレジットカード発行会社からの引落し要
求があったか否かの判断がなされ、ない場合にはS55
4へ進み、クレジットカード発行会社からの問合せ処理
が行なわれた後、S59によりその他の処理がなされて
このサブルーチンプログラムが終了する。
FIG. 23 is a flow chart showing a subroutine program of the settlement processing of S50 shown in FIG. For payment requests, some of the funds in the bank account are IC for RP
Withdrawal request to the terminal 19R or VP IC terminal 19V, payment request using a debit card, and withdrawal of the amount of credit used from the credit card issuer when the payment is made using a credit card There is a request. First, from S55, the IC terminal 19R or 19
It is judged whether or not there is a request for withdrawal to V, and if not, the process proceeds to S57, and it is judged whether or not there is a request for payment using a debit card, and if not, S.
In step S58, it is judged whether or not there is a withdrawal request from the credit card issuing company.
4, the inquiry processing from the credit card issuing company is performed, and then other processing is performed in S59, and this subroutine program ends.

【0151】ユーザがブラウザフォン30等からRP用
IC端末19RまたはVP用IC端末19Vへ資金の一
部引落し要求を決済サーバ10へ送信した場合には、S
55によりYESの判断がなされてS56へ進み、正当
機関証明処理がなされた後S60へ進む。S60では、
氏名の入力要求をブラウザフォン30等へ送信する処理
がなされる。その要求を受けたブラウザフォン30で
は、接続されているIC端末19Rまたは19Vに対し
氏名の出力要求を伝送する。すると、接続されているI
C端末19Rまたは19Vから氏名がブラウザフォン3
0へ伝送され、その伝送されてきた氏名をブラウザフォ
ン30が決済サーバ10へ伝送する。すると、S61に
よりYESの判断がなされてS62へ進み、乱数Rを生
成してチャレンジデータとしてブラウザフォン30へ送
信する処理がなされる。
When the user sends a request for partial withdrawal of funds from the browser phone 30 or the like to the RP IC terminal 19R or the VP IC terminal 19V to the settlement server 10, S
A determination of YES is made by 55, and the process proceeds to S56. After the legal institution certification process is performed, the process proceeds to S60. In S60,
A process of transmitting a name input request to the browser phone 30 or the like is performed. In response to the request, the browser phone 30 transmits a name output request to the connected IC terminal 19R or 19V. Then I connected
Name is browser phone 3 from C terminal 19R or 19V
0 is transmitted to the payment server 10. The browser phone 30 transmits the transmitted name to the settlement server 10. Then, YES is determined in S61, the process proceeds to S62, and a process of generating a random number R and transmitting it to the browser phone 30 as challenge data is performed.

【0152】その乱数Rを受けたブラウザフォン30
は、後述するように、接続されているIC端末19Rま
たは19Vに対し乱数Rを伝送する。乱数Rを受取った
IC端末がRP用IC端末19Rの場合には、記憶して
いる認証鍵KNを用いてRを暗号化してレスポンスデー
タIを生成し、それをブラウザフォン30へ出力する。
ブラウザフォン30では、その出力されてきたレスポン
スデータIを決済サーバ10へ送信する。一方、乱数R
を受取ったIC端末がVP用IC端末19Vの場合に
は、受取った乱数Rを記憶している公開鍵KPを用いて
暗号化してレスポンスデータIを生成し、ブラウザフォ
ン30へ出力する。ブラウザフォン30では、その出力
されてきたレスポンスデータIを決済サーバ10へ送信
する。
The browser phone 30 which has received the random number R
Transmits a random number R to the connected IC terminal 19R or 19V, as will be described later. When the IC terminal that receives the random number R is the RP IC terminal 19R, R is encrypted using the stored authentication key KN to generate response data I, which is output to the browser phone 30.
The browser phone 30 transmits the output response data I to the settlement server 10. On the other hand, the random number R
If the IC terminal that has received the VP is the IC terminal for VP 19V, the received random number R is encrypted using the stored public key KP to generate response data I, which is output to the browser phone 30. The browser phone 30 transmits the output response data I to the settlement server 10.

【0153】レスポンスデータIが送信されてくれば、
S63によりYESの判断がなされてS64に進み、S
60に応じて入力された氏名がRPのものであるか否か
が判別され、RPの場合にはS65へ進み、RPの認証
鍵KNをデータベース12から検索してその認証鍵KN
を用いて受信したレスポンスデータIを復号化する処理
すなわちDKN(I)を生成する処理がなされる。次にS
66へ進み、R=DKN(I)であるか否かの判断がなさ
れる。IC端末への引落し要求を行なったユーザがデー
タベース12に登録されている適正なユーザである場合
には、R=DKN(I)となるはずであるが、データベー
ス12に登録されているユーザになりすまして銀行口座
の資金の一部を引落しするという不正行為が行われた場
合には、RとDKN(I)とが一致しない状態となる。そ
の場合には制御がS79へ進み、不適正である旨をブラ
ウザフォン30へ返信する処理がなされてサブルーチン
プログラムが終了する。
If the response data I is sent,
A YES determination is made in S63, and the process proceeds to S64, where S
According to 60, it is determined whether or not the inputted name is that of the RP, and in the case of the RP, the process proceeds to S65, the authentication key KN of the RP is retrieved from the database 12 and the authentication key KN is searched.
Is used to decrypt the response data I received, that is, to generate DKN (I). Then S
Proceeding to 66, it is judged whether or not R = DKN (I). If the user who issued the withdrawal request to the IC terminal is a proper user registered in the database 12, R = DKN (I) should be obtained. If a fraudulent act of impersonating and withdrawing part of the funds in a bank account is performed, R and DKN (I) do not match. In that case, the control advances to S79, a process of returning the improperness to the browser phone 30 is performed, and the subroutine program ends.

【0154】一方、R=DKN(I)の場合には制御がS
67へ進み、引落し額の入力要求をブラウザフォン30
へ送信する処理がなされ、引落し額がブラウザフォン3
0から送信されてくれば、制御がS69へ進み、RPの
口座から引落し額Gを減算してGをブラウザフォン30
へ送信する処理がなされてサブルーチンプログラムが終
了する。
On the other hand, when R = DKN (I), the control is S
Proceed to 67, and input the withdrawal amount request to the browser phone 30.
Is sent to the browser phone 3
If it is sent from 0, control proceeds to S69, the deduction amount G is subtracted from the RP account, and G is set to the browser phone 30.
And the subroutine program ends.

【0155】一方、ユーザがVPとしてVP用IC端末
19Vへの引落しを行なう場合には、VPの本名を用い
る。入力された氏名がVPの本名であった場合にはS6
4によりNOの判断がなされて制御が図9のS85へ進
む。S85では、VPの公開鍵KPをデータベース12
から検索してその公開鍵KPを用いて受信したレスポン
スデータIを復号化する処理すなわちDKP(I)を生成
する処理がなされる。次にS86へ進み、R=DKP
(I)であるか否かの判断がなされる。引落し要求を行
なっているものがデータベース12に登録されているV
Pになりすまして引落すという不正行為を行なっている
場合には、S86によりNOの判断がなされてS79に
進み、不適正である旨がブラウザフォン30へ返信され
ることとなる。一方、S86によりYESの判断がなさ
れた場合にはS87へ進み、引落し額Gの入力要求をブ
ラウザフォン30へ送信する処理がなされ、ブラウザフ
ォン30から引落し額Gの送信があれば、S89へ進
み、VPの銀行口座からGを減算してGをブラウザフォ
ン30へ送信する処理がなされた後サブルーチンプログ
ラムが終了する。
On the other hand, when the user deducts the VP IC terminal 19V as the VP, the real name of the VP is used. If the entered name is the real name of the VP, S6
If NO is determined in step 4, the control advances to step S85 in FIG. In S85, the public key KP of the VP is stored in the database 12
Is performed and a process of decrypting the response data I received using the public key KP, that is, a process of generating DKP (I) is performed. Next, it progresses to S86 and R = DKP
It is determined whether or not (I). V that has made a withdrawal request is registered in the database 12
If an improper act of impersonating P and withdrawing is performed, a negative determination is made in S86, the process proceeds to S79, and the improperness is returned to the browser phone 30. On the other hand, if YES is determined in S86, the process proceeds to S87, the input request for the withdrawal amount G is transmitted to the browser phone 30, and if the withdrawal amount G is transmitted from the browser phone 30, S89 is performed. Then, the subroutine program is ended after the processing of subtracting G from the bank account of VP and transmitting G to the browser phone 30 is performed.

【0156】ユーザがデビットカードを使用しての決済
を行なうべくデビットカード使用操作を行なった場合に
は、デビットカード使用要求が決済サーバ10へ送信さ
れ、S57によりYESの判断がなされてS56へ進
み、正当機関証明処理がなされる。次にS70へ進み、
暗証番号とカード情報入力要求がユーザのブラウザフォ
ン30へ送信される。デビットカードの暗証番号とデビ
ットカード情報とがブラウザフォン30から決済サーバ
10へ送信されてくれば制御がS72へ進み、その送信
されてきたデータが適正であるか否かの判断がなされ、
不適正であればS79へ進む。
When the user performs a debit card use operation to make a settlement using the debit card, a debit card use request is transmitted to the settlement server 10, a YES determination is made in S57, and the process proceeds to S56. , Legitimate institution certification processing is performed. Then proceed to S70,
The personal identification number and the card information input request are transmitted to the browser phone 30 of the user. If the personal identification number of the debit card and the debit card information are transmitted from the browser phone 30 to the payment server 10, the control proceeds to S72, and it is determined whether the transmitted data is proper,
If it is inappropriate, the process proceeds to S79.

【0157】一方、適正である場合にはS73へ進み、
使用額Gの入力を待つ。ユーザが使用額Gを入力してそ
れが決済サーバ10へ送信されてくれば制御がS74へ
進み、該当する口座を検索してGを減算するとともにG
をユーザのブラウザフォン30に送信する処理がなされ
る。
On the other hand, if it is proper, the process proceeds to S73,
Wait for input of usage amount G. If the user inputs the usage amount G and it is transmitted to the payment server 10, the control proceeds to S74, searches the corresponding account, subtracts G, and G
Is transmitted to the browser phone 30 of the user.

【0158】ユーザがRPまたはVPの本名を用いて後
述するようにクレジットカードによるSETを用いた決
済を行なった場合には、クレジットカード発行会社4
(図1,図15参照)からクレジット支払金額の引落し
要求が決済サーバ10へ送信される。その引落し要求が
送信されてくればS58によりYESの判断がなされて
S56の正当機関証明処理がなされた後S75へ進み、
ユーザの氏名,口座番号の入力を待つ。クレジットカー
ド発行会社4からユーザの氏名と口座番号とが送信され
てくれば制御がS76へ進み、その入力されたデータが
適正であるか否かをデータベース12を検索して判別す
る。不適正の場合にはS79へ進むが、適正な場合には
S77へ進み、引落し額Gの入力を待機する。クレジッ
トカード発行会社4から引落し額Gすなわちクレジット
支払額と手数料との合計金額が送信されてくれば制御が
S78へ進み、口座からGを減算してクレジットカード
発行会社の口座Gに加算する処理すなわち資金の移動処
理がなされる。
When the user uses the real name of RP or VP to make a payment using SET by a credit card as described later, the credit card issuing company 4
A request for withdrawing the credit payment amount is transmitted from (see FIGS. 1 and 15) to the payment server 10. If the withdrawal request is transmitted, YES is determined in S58, the legitimate institution certification process is performed in S56, and then the process proceeds to S75.
Wait for the user's name and account number. When the credit card issuing company 4 sends the user's name and account number, the control advances to S76, and the database 12 is searched to determine whether the input data is proper or not. If it is not appropriate, the process proceeds to S79, but if it is appropriate, the process proceeds to S77 to wait for the withdrawal amount G to be input. If the withdrawal amount G, that is, the total amount of the credit payment amount and the commission is transmitted from the credit card issuing company 4, the control proceeds to S78, and G is subtracted from the account and added to the account G of the credit card issuing company. That is, the transfer process of funds is performed.

【0159】S58によりNOの判断がなされた場合に
はS554によるクレジット発行会社4からの問合せ処
理が行なわれた後S59へ進み、その他の処理が行なわ
れる。
If NO is determined in S58, an inquiry process from the credit issuing company 4 is performed in S554, and then the process proceeds to S59 to perform other processes.

【0160】図24(b)は、前述したS1a,S1
9,S56に示された正当機関証明処理のサブルーチン
プログラムを示すフローチャートである。まずS90に
より、当該機関の電子証明書を送信する処理がなされ
る。この電子証明書を受信した側においては、乱数Rを
生成してその乱数Rを送信する。すると、S91により
YESの判断がなされてS92へ進み、その受信した乱
数Rを当該機関の秘密鍵KSで暗号化する処理すなわち
L=EKS(R)を算出する処理がなされ、その算出され
たLを返信する処理がなされる。
FIG. 24B shows the above-mentioned S1a and S1.
9 is a flowchart showing a subroutine program of the legal institution certifying process shown in S56. First, in S90, a process of transmitting the electronic certificate of the institution is performed. The side receiving this digital certificate generates a random number R and transmits the random number R. Then, a determination of YES is made in S91, the process proceeds to S92, and a process of encrypting the received random number R with the secret key KS of the institution, that is, a process of calculating L = EKS (R) is performed, and the calculated L is calculated. Is returned.

【0161】このLを受信した受信側においては、既に
受信している電子証明書内の当該機関の公開鍵KPを利
用してLを復号化することによりRを得ることができ
る。そのRと送信したRとがイコールであるか否かをチ
ェックすることにより、正当機関であるか否かをチェッ
クすることが可能となる。これについては後述する。
On the receiving side that has received this L, R can be obtained by decrypting L using the public key KP of the relevant institution in the already received electronic certificate. By checking whether or not the R and the transmitted R are equal, it is possible to check whether or not they are legal institutions. This will be described later.

【0162】図25は、S554に示されたクレジット
カード会社からの問合せ処理のサブルーチンプログラム
を示すフローチャートである。前述したように、VPが
トラップ型VPとしてサイトにアクセスして電子ショッ
ピング等を行なってクレジット決済を行なった場合に
は、VP本人のクレジット番号が用いられるのではな
く、そのVP本人のクレジット番号を何回か秘密鍵で暗
号化した暗号化クレジット番号が用いられることとな
る。たとえば、図4に示すように、トラップ型VP氏名
E(B13P)としてサイトMPPにアクセスしたVP
は、電子ショッピング等を行なってクレジット決済をす
る際には、バーチャルクレジット番号E(3288)を
用いる。VPは、クレジットカード発行会社4に対し3
288のクレジット番号は登録しているが、E(328
8)の暗号化クレジット番号までは登録していない。よ
って、E(3288)のバーチャルクレジット番号がク
レジット決済に伴ってクレジットカード発行会社4に送
信されてきた場合には、クレジットカード発行会社4
は、そのE(3288)のバーチャルクレジット番号を
自社で検索して真偽を確かめることはできない。
FIG. 25 is a flow chart showing a subroutine program of the inquiry processing from the credit card company shown in S554. As described above, when the VP accesses the site as a trap type VP, performs electronic shopping, etc. and makes credit settlement, the VP's own credit number is not used, but the VP's own credit number is used. An encrypted credit number that has been encrypted with the private key several times will be used. For example, as shown in FIG. 4, a VP that has accessed the site MPP as a trap type VP name E (B13P).
Uses the virtual credit number E (3288) when performing electronic shopping or the like and making credit settlement. VP is 3 for credit card issuer 4
I have registered the credit number of 288, but E (328
Up to the encrypted credit number of 8) is not registered. Therefore, when the virtual credit number of E (3288) is transmitted to the credit card issuing company 4 along with the credit settlement, the credit card issuing company 4
Cannot search the virtual credit number of E (3288) in-house to confirm the authenticity.

【0163】そこで、そのような場合に、クレジットカ
ード発行会社は、金融機関7にそのバーチャルクレジッ
ト番号が正しいか否かの照会を行なってもらうのであ
る。
Therefore, in such a case, the credit card issuing company asks the financial institution 7 to inquire whether the virtual credit number is correct.

【0164】クレジットカード発行会社からの問合せが
あれば制御はS561へ進み、S561〜S568の前
述したものと同様の認証処理が行なわれる。認証の結果
本人が確認されればS567によりYESの判断がなさ
れてS569へ進み、照会対象データの入力要求がクレ
ジットカード発行会社に送信される。この照会対象デー
タとは、前述したバーチャルクレジット番号とトラップ
型VP氏名とを含む。このトラップ型VP氏名をも入力
されることにより、そのトラップ型VP氏名とバーチャ
ルクレジット番号とが対応しているか否か等も照会でき
る。
If there is an inquiry from the credit card issuing company, the control advances to S561, and the same authentication processing as that described above in S561 to S568 is performed. If the person is confirmed as a result of the authentication, a YES determination is made in S567, the process proceeds to S569, and an input request for the inquiry target data is transmitted to the credit card issuing company. The inquiry target data includes the virtual credit number and the trap type VP name described above. By inputting this trap type VP name as well, it is possible to inquire whether or not the trap type VP name corresponds to the virtual credit number.

【0165】照会対象データがクレジットカード発行会
社から送信されてくれば制御はS571へ進み、データ
ベース12aを検索してその送信されてきた照会対象デ
ータと照合する処理がなされる。次にS572により、
照合結果送られてきた照会対象データが適正であるか否
かの判断がなされ、適正な場合にS573により、適正
な旨をクレジットカード発行会社へ返信し、照合結果適
正でない場合にはS574により、不適正な旨がクレジ
ットカード発行会社に返信される。S573による適正
な旨を返信する際には、S570により入力された照会
対象データに対し適正な旨を表わす金融機関7側のデジ
タル署名を付し、そのデジタル署名付きデータが問合せ
をしたクレジットカード発行会社4へ返信されることと
なる。
If the inquiry target data is transmitted from the credit card issuing company, the control advances to S571, where the database 12a is searched and the transmitted inquiry target data is collated. Next, in S572,
It is determined whether or not the inquiry target data sent as the collation result is proper, and if it is proper, S573 is returned to the credit card issuing company, and if the collation result is not proper, S574 is used. Improper fact is returned to the credit card issuing company. When replying that it is appropriate in S573, a digital signature from the financial institution 7 side indicating that it is appropriate is added to the inquiry target data input in S570, and the credit card issuance issued by the data with the digital signature. It will be returned to Company 4.

【0166】図26〜図31,図33〜図36は、ブラ
ウザフォン30の動作を説明するためのフローチャート
である。S95により、IC端末使用モードであるか否
かの判断がなされる。ブラウザフォン30は、RP用I
C端末19RまたはVP用IC端末19Vのうちのいず
れか少なくとも一方をUSBポート18に接続していな
ければ動作しないIC端末使用モードと、IC端末を接
続していなくても動作可能なIC端末未使用モードとに
切換えることが可能に構成されている。そして、IC未
使用モードでない場合にはS96へ進み、その他の処理
がなされるが、IC端末使用モードになっている場合に
は、S97へ進み、VP用IC端末19Vが接続されて
いるか否かの判断がなされ、接続されていない場合には
S98へ進み、RP用IC端末19Rが接続されている
か否かの判断がなされ、接続されていない場合すなわち
両IC端末ともに接続されていない場合には、制御はS
99へ進み、IC端末未使用の警告表示がなされた後S
95へ戻る。
26 to 31, and 33 to 36 are flowcharts for explaining the operation of the browser phone 30. Through S95, it is determined whether the IC terminal use mode is set. Browser phone 30 is I for RP
An IC terminal use mode that does not work unless at least one of the C terminal 19R and the VP IC terminal 19V is connected to the USB port 18, and an IC terminal unused mode that can operate even if the IC terminal is not connected It is configured to be able to switch to the mode. Then, if it is not in the IC unused mode, the process proceeds to S96 and other processing is performed. If it is in the IC terminal use mode, the process proceeds to S97 and whether or not the VP IC terminal 19V is connected. If it is determined that the RP IC terminal 19R is not connected, that is, if the RP IC terminal 19R is not connected, that is, if neither IC terminal is connected, , Control is S
Proceed to 99, and after the IC terminal unused warning is displayed, S
Return to 95.

【0167】一方、VP用IC端末19Vが接続されて
いる場合には、制御はS100へ進み、VP用のクッキ
ー処理がなされる。この処理については、図27に基づ
いて後述する。ブラウザフォン30は、サイト側から送
られてきたクッキーデータを記憶するための記憶領域を
有していない。ゆえに、サイト側から送られてきたクッ
キーデータであって記憶する必要のあるものは、すべて
VP用IC端末19VまたはRP用IC端末19Rに記
憶される。次に制御はS101へ進み、VP出生依頼処
理がなされる。この処理については図29に基づいて後
述する。次にS102へ進み、VP用入力処理がなされ
る。この処理については図31(a)に基づいて後述す
る。次にS103へ進みVP用決済処理がなされる。こ
の処理については図33に基づいて説明する。
On the other hand, when the IC terminal 19V for VP is connected, the control advances to S100, and the cookie processing for VP is performed. This processing will be described later with reference to FIG. The browser phone 30 does not have a storage area for storing the cookie data sent from the site side. Therefore, all the cookie data sent from the site that needs to be stored is stored in the VP IC terminal 19V or the RP IC terminal 19R. Next, the control advances to S101, and VP birth request processing is performed. This processing will be described later with reference to FIG. Next, in S102, VP input processing is performed. This process will be described later with reference to FIG. Next, in S103, the VP settlement process is performed. This process will be described with reference to FIG.

【0168】次に制御がS580へ進み、個人情報の登
録処理がなされる。この個人情報の登録処理は、図13
(b)に示したVP管理サーバ9の登録処理に対応する
ブラウザフォン30側の処理である。まずVPとしての
本人認証処理を行ない、VP管理サーバ9が本人認証の
確認を行なったことを条件として、VPの個人情報を金
融機関7のVP管理サーバ9へ送信してデータベース1
2aに登録してもらう処理を行なう。
Next, the control advances to S580, where registration processing of personal information is performed. This personal information registration process is shown in FIG.
This is processing on the browser phone 30 side corresponding to the registration processing of the VP management server 9 shown in (b). First, personal identification processing as a VP is performed, and on condition that the VP management server 9 confirms the personal authentication, the personal information of the VP is transmitted to the VP management server 9 of the financial institution 7 and the database 1
2a is registered.

【0169】次に制御がS582へ進み、個人情報の確
認処理がなされる。この処理は、金融機関7のVP管理
サーバ9により図15に示された確認処理に対応してブ
ラウザフォン30によりなされる処理である。まずVP
としての本人認証がなされ、次に、データベース12a
に格納されている自分の個人情報の確認を行なう処理が
なされる。一方、確認の結果誤りがある場合あるいは引
越しや転職等によって個人情報に変更があった場合に
は、このS582により、その変更情報が、金融機関7
のVP管理サーバ9へ送信される。
Next, the control advances to S582, where a personal information confirmation process is performed. This process is a process performed by the browser phone 30 corresponding to the confirmation process shown in FIG. 15 by the VP management server 9 of the financial institution 7. First VP
Is authenticated, and then the database 12a
The process of confirming one's personal information stored in is performed. On the other hand, if there is an error as a result of the confirmation, or if the personal information is changed due to a move, job change, or the like, the change information is changed in step S582.
Is transmitted to the VP management server 9.

【0170】次に制御がS583へ進み、VP用Web
ブラウザ,メール処理がなされる。この処理は、図36
(a)に基づいて後述する。次に制御がS585へ進
み、住所,氏名,Eメールアドレスの送信処理が行なわ
れる。一方、ブラウザフォン30のUSBポート18に
RP用IC端末19Rが接続されている場合には、S9
8によりYESの判断がなされてS104へ進み、RP
用のクッキー処理がなされる。この処理については図2
8(b)に基づいて後述する。次にS105へ進み、電
子証明書発行要求処理がなされる。この処理については
図30(b)に基づいて後述する。次に制御がS106
へ進み、RP用入力処理がなされる。この処理について
は図31(b)に基づいて後述する。次にS107へ進
み、RP用決済処理がなされる。この処理については、
VP用決済処理と類似した制御処理であり、図示を省略
する。次に制御がS584へ進み、偽RPアクセス処理
がなされる。この偽RPアクセス処理は、図36(b)
に基づいて後述する。
Next, the control advances to S583, and VP Web
Browser and mail processing are done. This process is shown in FIG.
It will be described later based on (a). Next, the control advances to S585, where the address, name, and email address are transmitted. On the other hand, if the RP IC terminal 19R is connected to the USB port 18 of the browser phone 30, S9
When YES is determined by 8, the process proceeds to S104 and RP
Cookies are processed. This process is shown in Figure 2.
It will be described later based on 8 (b). Next, in S105, the electronic certificate issuance request process is performed. This processing will be described later with reference to FIG. Next, the control is S106.
Then, the processing proceeds to step RP and input processing for RP is performed. This processing will be described later with reference to FIG. Next, in S107, the RP settlement process is performed. For this process,
The control process is similar to the VP settlement process and is not shown. Next, the control advances to S584, and a false RP access process is performed. This false RP access process is shown in FIG.
It will be described later based on.

【0171】図27は、S102により示されたクッキ
ー処理のサブルーチンプログラムを示すフローチャート
である。S110により、暗証番号が適正である旨のチ
ェックが済んでいるか否かの判断がなされる。チェック
済みである場合にはS120へ進むが、まだチェック済
みでない場合にはS111へ進み、暗証番号の入力要求
を表示する。ユーザがブラウザフォン30のキーボード
77からVP用IC端末19Vの暗証番号を入力すれ
ば、制御がS113へ進み、入力された暗証番号をVP
用IC端末19Vへ伝送する処理がなされ、VP用IC
端末から適否の返信があるまで待機する(S114)。
暗証番号が入力されたVP用IC端末19Vでは、後述
するように、記憶している暗証番号と入力された暗証番
号とを照合して一致するか否かの判断を行ない、一致す
る場合には適正である旨の返信を行ない、一致しない場
合には不適正である旨の返信を行なう。適正である旨が
返信されてきた場合には、S115によりYESの判断
がなされるが、不適正である旨が返信されてきた場合に
は制御がS116へ進み、不適正である旨の報知(表
示)がブラウザフォン30によりなされる。
FIG. 27 is a flow chart showing a subroutine program of the cookie processing shown in S102. Through S110, it is determined whether or not it has been checked that the personal identification number is proper. If it has been checked, the process proceeds to S120, but if it has not been checked, the process proceeds to S111 to display a password input request. If the user inputs the personal identification number of the IC terminal 19V for VP from the keyboard 77 of the browser phone 30, the control advances to S113, and the input personal identification number is changed to VP.
Processing for transmission to the IC terminal 19V for VP
It waits until a response from the terminal is received (S114).
In the IC terminal 19V for the VP to which the personal identification number has been input, as will be described later, the stored personal identification number and the input personal identification number are collated to determine whether or not they match. If it does not match, a reply that it is not correct is sent. If it is returned that it is appropriate, the determination of YES is made in S115, but if it is returned that it is not appropriate, the control proceeds to S116 to notify that it is not appropriate ( (Display) is performed by the browser phone 30.

【0172】適正である場合にのみ暗証番号チェック済
み状態となり、制御がS119へ進み、Webサイトへ
のアクセス操作があったか否かの判断がなされ、ない場
合にはS120に進み、その他の処理がなされてこのサ
ブルーチンプログラムが終了する。一方、サイトへのア
クセス操作があった場合にはS590へ進み、そのサイ
トにトラップ型VPを既に使用しているか否かを、VP
用IC端末19Vに問う処理がなされる。VP用IC端
末19Vは、図11に基づいて説明したように、クッキ
ーデータの記憶領域に、アクセスしたサイト名とそれに
用いたVP氏名とを記憶している。VP用IC端末で
は、ブラウザフォン30から問合せがあったサイトにト
ラップ型VPを使用しているか否かを、このクッキーデ
ータ記憶領域を検索して割出す。そしてその回答をブラ
ウザフォン30へ返信する。すると、制御はS592へ
進み、その回答がトラップ型VPを使用済みという内容
であるか否かの判断がなされる。使用済みであるとの回
答内容であった場合には、制御はS593へ進み、使用
しているトラップ型VPとそれに対応するクッキーとを
VP用IC端末のクッキーデータ記憶領域から呼出し、
そのクッキーとともにサイトへアクセスする処理がなさ
れる。
Only when it is proper, the personal identification number has been checked, the control advances to S119, and it is judged whether or not there is an access operation to the Web site. The lever subroutine program ends. On the other hand, if there is an access operation to the site, the flow advances to S590 to check whether the trap type VP is already used for the site.
Processing for inquiring the IC terminal 19V for use is performed. As described with reference to FIG. 11, the VP IC terminal 19V stores the accessed site name and the VP name used for it in the cookie data storage area. The IC terminal for VP searches the cookie data storage area and determines whether or not the trap type VP is used for the site inquired from the browser phone 30. Then, the answer is returned to the browser phone 30. Then, the control advances to S592, where it is determined whether or not the answer is that the trap type VP has been used. If the answer is that it has been used, the control advances to S593, where the trap type VP being used and the corresponding cookie are called from the cookie data storage area of the VP IC terminal,
The process of accessing the site with the cookie is performed.

【0173】次に制御がS594へ進み、アクセスした
サイトからクッキーが送信されてきたか否かの判断がな
され、送信されてきていない場合にはこのサブルーチン
プログラムが終了する。一方、クッキーデータとともに
サイトへアクセスしたとしても、そのサイトの別のペー
ジをアクセスした際にさらに別のクッキーがサイト側か
ら送られてくる場合がある。そのようなクッキーが送ら
れてきた場合には、S594によりYESの判断がなさ
れて制御がS595へ進み、トラップ型VP氏名と送ら
れてきたクッキーデータとをVP用IC端末へ転送する
処理がなされる。VP用IC端末では、伝送されてきた
クッキーデータを伝送されてきたトラップ型VP氏名に
対応させて記憶させる処理が行なわれる。
Next, the control advances to S594, where it is determined whether or not a cookie has been transmitted from the accessed site, and if not, this subroutine program ends. On the other hand, even if the user accesses the site together with the cookie data, another cookie may be sent from the site when another page on the site is accessed. When such a cookie is sent, a determination of YES is made by S594, and the control advances to S595, where the trap type VP name and the sent cookie data are transferred to the IC terminal for VP. It The IC terminal for VP performs a process of storing the transmitted cookie data in association with the transmitted trap type VP name.

【0174】S592により、トラップ型VPがまだ使
用されていないサイトであると判断された場合には、制
御がS596へ進み、トラップ型VPの使用の有無をユ
ーザに尋ねる処理が行なわれる。具体的には、ブラウザ
フォン30の表示部76に、「トラップ型VPを使用し
ますか?」の表示を行なう。
If it is determined in S592 that the trap type VP is a site that has not been used yet, control proceeds to S596, and a process is performed to ask the user whether or not the trap type VP is used. Specifically, "Do you want to use trap type VP?" Is displayed on the display unit 76 of the browser phone 30.

【0175】次にS597により、使用する旨の操作が
キーボード77から入力されたか否かの判断がなされ
る。使用しない旨の操作が行なわれた場合には制御がS
121へ進むが、使用する旨の操作が行なわれた場合に
は、制御がS598へ進み、VP用IC端末19Vへ新
たなトラップ型VPの生成を要求する処理がなされる。
このS598の処理は、S119によりアクセス操作が
されたサイト名とトラップ型VPの生成を要求する指令
とを、VP用IC端末19Vへ伝送するものである。
Next, in S597, it is determined whether or not an operation to use is input from the keyboard 77. When the operation not to use is performed, the control is S
If the operation to use is performed, the control proceeds to S598, and a process of requesting the VP IC terminal 19V to generate a new trap type VP is performed.
The processing of S598 is to transmit the site name accessed in S119 and the command requesting the generation of the trap type VP to the VP IC terminal 19V.

【0176】VP用IC端末では、その要求を受けれ
ば、クッキーデータ領域に記憶されているVP氏名の最
後のもの(図11ではE3(B13P)が何回暗号化さ
れているかを判別し(図11では3回)、その暗号化回
数よりも1つ多い暗号化回数(図11では4回)VP氏
名の本名(B13P)を暗号化して新たなトラップ型V
P氏名E4(B13P)を生成する。そしてその生成さ
れた新たなトラップ型VPをブラウザフォン30へ出力
する。すると、S599によりYESの判断がなされて
S600へ進み、VP用IC端末から送られてきたトラ
ップ型VPの氏名を用いてサイトへアクセスする処理が
なされる。よって、サイト側から氏名を要求されれば、
その新たなトラップ型VP氏名E4(B13P)を伝送
する。ただし、住所はB13Pの住所すなわち、VP本
人のコンビニエンスストアの住所を伝送する。またEメ
ールアドレスは、金融機関7がトラップ型VP用として
開設しているEメールアドレスである△△△△△を伝送
する。
Upon receiving the request, the VP IC terminal determines how many times the last VP name stored in the cookie data area (E 3 (B13P) in FIG. 11 is encrypted ( (3 times in FIG. 11), which is one more than the number of times of encryption (four times in FIG. 11). The real name (B13P) of the VP name is encrypted and a new trap type V
P name E 4 (B13P) is generated. Then, the generated new trap type VP is output to the browser phone 30. Then, the determination of YES is made in S599, the process proceeds to S600, and the process of accessing the site is performed using the name of the trap type VP sent from the IC terminal for VP. Therefore, if the site requests a name,
The new trap type VP name E 4 (B13P) is transmitted. However, the address transmits the address of B13P, that is, the address of the convenience store of the VP himself. Further, as the e-mail address, the e-mail address ΔΔΔΔΔ opened by the financial institution 7 for the trap type VP is transmitted.

【0177】次に制御がS581へ進み、トラップ情報
の登録処理がなされる。このトラップ情報の登録処理
は、S598に従って新たなトラップ型VPが生成され
たために、その新たに生成されたトラップ型VPをデー
タベース12aに登録してもらうために金融機関7のV
P管理サーバ9へ送信するための処理である。この処理
は、たとえば後述するS143〜S145,S150〜
S152,S160〜S163と同様のセキュリティの
ためのチェック処理を行ない、その後新たに生成された
トラップ型VPのデータすなわちトラップ型VP氏名,
そのトラップ型VP氏名を用いるサイト名,公開鍵,バ
ーチャル口座番号,バーチャルクレジット番号を送信す
る処理である。
Next, the control advances to S581, where trap information registration processing is performed. In this trap information registration processing, since a new trap type VP is generated according to S598, the V of the financial institution 7 is registered in order to have the newly generated trap type VP registered in the database 12a.
This is a process for transmitting to the P management server 9. This processing is performed, for example, in S143 to S145 and S150 to be described later.
The same check processing for security as in S152 and S160 to S163 is performed, and then the newly generated trap type VP data, that is, the trap type VP name,
This is a process of transmitting the site name, public key, virtual account number, and virtual credit number using the trap type VP name.

【0178】次に制御がS601へ進み、サイト側から
クッキーが送信されてきたか否かの判断がなされる。送
信されてきた場合には制御がS602へ進み、そのサイ
トに使用しているトラップ型VP氏名と送られてきたク
ッキーデータとをVP用IC端末へ伝送する処理がなさ
れる。VP用IC端末では、その伝送されてきたクッキ
ーデータを伝送されてきたトラップ型VP氏名に対応す
る領域に記憶させる処理を行なう。
Next, the control advances to S601, where it is judged whether or not the cookie has been transmitted from the site side. When it is transmitted, the control advances to S602, and a process of transmitting the trap type VP name used for the site and the transmitted cookie data to the VP IC terminal is performed. The IC terminal for VP performs a process of storing the transmitted cookie data in the area corresponding to the transmitted trap type VP name.

【0179】S597により、トラップ型VPを使用し
ない旨の操作がなされたと判断された場合には制御がS
121へ進み、VP用IC端末からVP用のクッキーす
なわちVPの本名(図11ではB13P)に対応して記
憶されているクッキー(図11ではabc,hij,a
mz,rak…)を呼出し、それらクッキーとともにサ
イトへアクセスする処理がなされる。
If it is determined in S597 that an operation indicating that the trap type VP is not used is made, the control is S
Proceeding to 121, the cookie for the VP from the IC terminal for the VP, that is, the cookie stored corresponding to the real name of the VP (B13P in FIG. 11) (abc, hij, a in FIG. 11).
mz, rak ...) is called and the process of accessing the site together with those cookies is performed.

【0180】この場合には、そのアクセスしたサイトで
は、VP本名を用いることとなる。次に制御がS122
へ進み、サイトからクッキーが送信されてきたか否かの
判断がなされる。サイト側からクッキーが送信されてく
れば、制御がS123へ進み、その送信されてきたクッ
キーをVP用IC端末19Vへ伝送する処理がなされ
る。VP用IC端末19Vでは、クッキーデータが単独
で伝送されてくれば、自動的にVP本名に対応する記憶
領域にその伝送されてきたクッキーデータを記憶する処
理を行なう。
In this case, the accessed VP will use the VP real name. Next, the control is S122.
Then, it is judged whether or not the cookie is transmitted from the site. If the cookie is transmitted from the site side, the control advances to S123, where the transmitted cookie is transmitted to the VP IC terminal 19V. When the cookie data is independently transmitted, the IC terminal 19V for the VP automatically performs a process of storing the transmitted cookie data in the storage area corresponding to the VP real name.

【0181】図28(a)は、S585により示された
住所,氏名,Eメールアドレスの送信処理のサブルーチ
ンプログラムを示すフローチャートである。S700に
より、サイト側から住所,氏名,Eメールアドレスの送
信要求があったか否かの判断がなされ、ない場合にはこ
のサブルーチンプログラムが終了する。あった場合には
制御がS701へ進み、そのサイトに使用しているVP
の氏名,住所,Eメールアドレスを送信する処理がなさ
れる。たとえば図11に示す例の場合には、サイトMT
Tに使用しているVP氏名はE(B13P)であるため
に、この氏名E(B13P)を送信する。住所は、B1
3Pの住所すなわち□△〇である(図3参照)。Eメー
ルアドレスは、金融機関7がトラップ型VP用として開
設しているEメールアドレス△△△△△が送信される。
FIG. 28A is a flow chart showing a subroutine program of the processing of transmitting the address, name and E-mail address shown in S585. In S700, it is determined whether or not there is a request for transmission of the address, name and E-mail address from the site side, and if there is no request, this subroutine program ends. If so, the control advances to S701, and the VP used for the site
The name, address, and e-mail address will be sent. For example, in the case of the example shown in FIG. 11, the site MT
Since the VP name used for T is E (B13P), this name E (B13P) is transmitted. Address is B1
It is a 3P address, that is, □ △ ○ (see FIG. 3). As the e-mail address, the e-mail address ΔΔΔΔΔ opened by the financial institution 7 for the trap type VP is transmitted.

【0182】このVP用のクッキー処理と住所,氏名,
Eメールアドレスの送信処理とが行なわれた結果、ある
サイトにトラップ型VPとしてアクセスした場合には以
降そのサイトにアクセスした際自動的に前回のトラップ
型VP氏名が用いられて前回のトラップ型VPとしてア
クセスする状態となる。またサイト側から送られてくる
クッキーデータも、そのサイトに対応するトラップ型V
P氏名に付着する状態となる。具体的には、図11を参
照して、サイトMTTにトラップ型VP氏名E(B13
P)を使用して一旦アクセスすれば、それ以降において
は、MTTにアクセスする場合には必ずこのトラップ型
VP氏名E(B13P)が用いられ、その際には、前回
MTTから送られてきたクッキーmttとともにMTT
にアクセスすることとなる。一方、VPがその本名B1
3Pを用いてMTTにアクセスすることはできない。こ
のようなアクセスを行なおうとした場合には、S592
によりYESの判断がなされてS593により、自動的
にE(B13P)としてMTTにアクセスする状態とな
る。
Cookie processing for this VP and address, name,
As a result of the e-mail address transmission process, when a certain site is accessed as a trap type VP, the previous trap type VP name is automatically used when the site is subsequently accessed and the previous trap type VP name is used. It becomes a state to access as. Also, the cookie data sent from the site side is the trap type V corresponding to the site.
It will be in a state of being attached to P's name. Specifically, referring to FIG. 11, the trap type VP name E (B13
Once accessed using P), the trap type VP name E (B13P) is always used when accessing the MTT after that. In that case, the cookie sent from the previous MTT is used. MTT with MTT
Will be accessed. On the other hand, VP is its real name B1
It is not possible to access the MTT using 3P. If such an access is attempted, S592
Then, a YES determination is made, and in S593, the MTT is automatically accessed as E (B13P).

【0183】VP用IC端末19Vを使用している場合
には、VPの氏名や住所等がサイト側に収集されること
はあっても、RPの氏名や住所等がサイト側に収集され
ることがないために、ユーザ側においてもプライバシー
を保護することが可能となる。
When the IC terminal 19V for VP is used, the name and address of the VP may be collected on the site side, but the name and address of the RP may be collected on the site side. Since it does not exist, privacy can be protected on the user side as well.

【0184】しかも、トラップ型VP氏名を利用するこ
とにより、前述したように、個人情報の不正流出等をチ
ェックすることが可能となる。
Moreover, by using the trap type VP name, it is possible to check the illegal leakage of personal information as described above.

【0185】図28(b)は、S104に示されたRP
用のクッキー処理のサブルーチンプログラムを示すフロ
ーチャートである。S125により、暗証番号のチェッ
ク済みであるか否かの判断がなされ、暗証番号が適正な
旨のチェックが既に行なわれている場合にはS125に
よりYESの判断がなされてS132へ進む。一方、適
正な暗証番号である旨のチェックが済んでいない場合に
はS126へ進み、暗証番号の入力要求がなされ、RP
用IC端末19Rの暗証番号をユーザがキーボードから
入力すれば、S128へ進み、入力された暗証番号とR
P用IC端末へ伝送する処理がなされる。そしてRP用
IC端末19Rから暗証番号の適否の返信があるまで待
機する(S129)。
FIG. 28B shows the RP shown in S104.
5 is a flowchart showing a subroutine program of a cookie process for a computer. In S125, it is determined whether or not the personal identification number has been checked. If it has already been checked that the personal identification number is correct, a YES determination is made in S125 and the process proceeds to S132. On the other hand, if the check that the personal identification number is proper has not been completed, the process proceeds to S126, the personal identification number is requested, and the RP
If the user inputs the personal identification number of the IC terminal 19R for use from the keyboard, the process proceeds to S128, and the personal identification number and R
Processing for transmission to the P IC terminal is performed. Then, the process waits until there is a reply from the RP IC terminal 19R indicating that the personal identification number is appropriate (S129).

【0186】RP用IC端末19Rから暗証番号の適否
の判定結果が返信されてくれば、S130へ進み、適正
である旨の返信結果であるか否かの判断がなされ、適正
でない場合にはS131へ進み、不適正である旨の報知
(表示)がなされる。一方、適正である旨の返信であっ
た場合には、S134へ進み、サイトへのアクセス操作
があったか否かの判断がなされ、ない場合にはS137
のその他の処理が行なわれる。一方、サイトへのアクセ
ス操作があった場合にはS135へ進み、サイトからク
ッキー(この場合にはトラッキング型クッキー)が送信
されてきたか否かの判断がなされる。サイトからクッキ
ーが送信されてきた場合には、S136へ進み、送信さ
れてきたクッキーを拒絶する処理がなされる。その結
果、RP用IC端末19Rをパソコン30のUSBポー
ト18へ接続して使用している場合には、サイト側から
送信されてきたクッキー(トラッキング型クッキー)を
すべて拒絶し、そのクッキーがRP用IC端末19Rに
記録されてしまうことが防止できる。
When the judgment result of the suitability of the personal identification number is returned from the RP IC terminal 19R, the process proceeds to S130, and it is judged whether or not the reply result is that it is proper. Proceeding to, a notification (display) of the improperness is given. On the other hand, if the reply is that it is appropriate, the process proceeds to S134, and it is determined whether or not there is an access operation to the site. If not, S137.
Other processing of is performed. On the other hand, if there is an access operation to the site, the process proceeds to S135, and it is determined whether or not a cookie (in this case, a tracking cookie) has been transmitted from the site. When a cookie is transmitted from the site, the process proceeds to S136, and processing for rejecting the transmitted cookie is performed. As a result, when the RP IC terminal 19R is used by connecting to the USB port 18 of the personal computer 30, all cookies (tracking type cookies) sent from the site are rejected, and the cookie is used for RP. It can be prevented from being recorded in the IC terminal 19R.

【0187】その結果、RP用IC端末19Rを使用し
てユーザがRPとしてネットワーク上で行動する場合に
は、トラッキング型クッキーを手掛かりのユーザの本名
であるRPの氏名や住所等を収集されることがなく、ユ
ーザのプライバシーが守られる。
As a result, when the user acts as an RP on the network using the RP IC terminal 19R, the name and address of the RP, which is the real name of the user who is the clue of the tracking cookie, must be collected. The user's privacy is protected.

【0188】図29はS101に示されたVP出生依頼
処理のサブルーチンプログラムを示すフローチャートで
ある。このVP出生依頼は、PVを新たに誕生させるた
めの依頼をVP管理サーバ9へ出すための処理である。
S140により、暗証番号のチェック済みであるか否か
の判断がなされ、適正な暗証番号である旨のチェックが
済んでいる場合にはS141へ進むが、適正な暗証番号
のチェックが未だ済んでいない場合にはこのサブルーチ
ンプログラムが終了する。適正な暗証番号である旨のチ
ェックが済んでいる場合にはS141へ進みV出生要求
の操作があったか否かの判断がなされる。ユーザがブラ
ウザフォン30のキーボードを操作してVP出生要求の
操作を行なえば、制御がS142へ進み、VP出生依頼
要求を金融機関7のVP管理サーバ9へ送信する処理が
なされる。次にS143へ進み、正当機関チェック処理
がなされる。この正当機関チェック処理は、相手側の機
関(この場合には金融機関7)が正当な機関であるか否
かをチェックするものであり、金融機関7になりすまし
て対応する不正行為を防止するためのものであり、図3
0(a)にそのサブルーチンプログラムが示されてい
る。
FIG. 29 is a flow chart showing a subroutine program of the VP birth request processing shown in S101. This VP birth request is a process for issuing a request for creating a new PV to the VP management server 9.
In S140, it is determined whether or not the personal identification number has been checked. If it has been checked that the personal identification number is proper, the process proceeds to S141, but the proper personal identification number is not yet checked. In this case, this subroutine program ends. If the check indicating that the password is proper is completed, the process proceeds to S141, and it is determined whether or not there is a V birth request operation. When the user operates the keyboard of the browser phone 30 to operate the VP birth request, the control proceeds to S142, and the processing of transmitting the VP birth request request to the VP management server 9 of the financial institution 7 is performed. Next, the process proceeds to S143, and the legal institution check process is performed. This legitimate institution check processing is to check whether or not the counterpart institution (in this case, the financial institution 7) is a legitimate institution, and to prevent the fraudulent act by impersonating the financial institution 7 Figure 3
The subroutine program is shown in 0 (a).

【0189】先に、図30(a)に基づいて正当機関チ
ェック処理のサブルーチンプログラムを説明する。この
正当機関チェック処理は、図24(b)に示された正当
機関証明処理に対応するチェック側のプログラムであ
る。まずS160により、電子証明書を受信したか否か
の判断を行ない、受信するまで待機する。正当機関証明
処理では、図24に示されているように、S90により
電子証明書が送信される。この電子証明書が送信されて
くれば、制御がS161へ進み、乱数Rを生成して送信
する処理がなされる。すると、機関側では、図24に示
すようにS92により、当該機関の秘密鍵SKを用いて
受信した乱数Rを暗号化してLを算出して送信する処理
が行なわれる。このRの暗号化データLをブラウザフォ
ン30が受信すれば、制御がS163へ進み、受信した
電子証明書内の公開鍵KPを用いてLを復号化する処理
すなわちDKP(L)を算出する処理が行なわれる。
First, the subroutine program for the legitimate institution check process will be described with reference to FIG. This legitimate institution check processing is a program on the check side corresponding to the legitimate institution certification processing shown in FIG. First, in S160, it is determined whether or not the electronic certificate is received, and the process waits until it is received. In the legal institution certification process, as shown in FIG. 24, the electronic certificate is transmitted in S90. If this electronic certificate is transmitted, the control advances to S161, and a process of generating and transmitting a random number R is performed. Then, on the institution side, as shown in FIG. 24, in S92, a process of encrypting the received random number R using the secret key SK of the institution, calculating L, and transmitting it is performed. When the browser phone 30 receives the encrypted data L of R, the control proceeds to S163, the process of decrypting L using the public key KP in the received digital certificate, that is, the process of calculating DKP (L). Is performed.

【0190】そして、図29のS144へ進み、R=D
KP(L)であるか否かの判断がなされる。正当な機関で
ある場合には、R=DKP(L)となるはずであり、その
場合にはS146へ進むが、他人が金融機関7になしす
ましている場合には、S144によりNOの判断がなさ
れ、S145へ進み、正当機関でない旨の警告表示がブ
ラウザフォン30によりなされてこのサブルーチンプロ
グラムが終了する。
Then, the processing advances to S144 in FIG. 29, where R = D
It is determined whether or not it is KP (L). If it is a legitimate institution, R = DKP (L) should be satisfied, and in that case the process proceeds to S146, but if another person is pretending to be the financial institution 7, a NO determination is made in S144. Then, the process proceeds to S145, and a warning display indicating that the institution is not valid is displayed by the browser phone 30 and the subroutine program ends.

【0191】正当機関であることが確認された場合に
は、S146へ進み、RPの氏名,住所の入力要求を受
信したか否かの判断がなされ、受信するまで待機する。
VP管理サーバ9では、前述したように、VP出生依頼
要求を受信すれば、RPの氏名,住所の入力要求を送信
するのであり(S2参照)、そのRPの氏名,住所の入
力要求をブラウザフォン30が受信すれば、S146に
よりYESの判断がなされて制御がS147へ進む。
If it is confirmed that the institution is a legitimate institution, the process proceeds to S146, it is judged whether or not an input request for the name and address of the RP is received, and the process waits until it is received.
As described above, when the VP management server 9 receives the VP birth request request, it sends an input request for the RP name and address (see S2). The RP name and address input request is sent to the browser phone. If 30 is received, YES is determined in S146 and control proceeds to S147.

【0192】S147では、RPの氏名,住所の入力指
示をブラウザフォン30のディスプレイに表示する処理
がなされ、入力があるまで待機する(S148)。入力
があった段階でS149へ進み、その入力データを金融
機関7のVP管理サーバ9へ送信する処理がなされる。
In S147, the processing of displaying the input instruction of the RP name and address on the display of the browser phone 30 is performed, and the operation waits until there is an input (S148). When there is an input, the process proceeds to S149, in which the input data is transmitted to the VP management server 9 of the financial institution 7.

【0193】次にS150へ進み、本人証明処理が行な
われる。この本人証明処理は、VP出生依頼を行なった
ユーザが本人自身であるか否かを証明するための処理で
あり、図34(a)にそのサブルーチンプログラムが示
されている。ここで、図34(a)に基づいて、その本
人証明書のサブルーチンプログラムを説明する。
Next, in S150, an identification process is performed. This personal identification processing is processing for proving whether or not the user who made the VP birth request is the person himself / herself, and the subroutine program thereof is shown in FIG. 34 (a). Here, the subroutine program for the personal certificate will be described with reference to FIG.

【0194】この本人証明処理は、前述したS4,S6
2等に基づいて乱数Rが送信されてきた場合にその乱数
に基づいて本人証明を行なうためのものである。まずS
125により、乱数Rを受信したか否かの判断がなさ
れ、受信するまで待機する。乱数Rを受信した場合には
S216へ進み、その受信した乱数RをIC端末19R
または19Vへ送信する処理がなされる。IC端末で
は、後述するように、記憶している認証鍵KNまたは公
開鍵KPを用いて乱数Rを暗号化してレスポンスデータ
Iを生成して出力する処理が行われる。そのレスポンス
データIが出力されてくれば、S217によりYESの
判断がなされてS218へ進み、そのIをVP管理サー
バ9へ送信する処理がなされる。
This personal identification processing is the same as S4 and S6 described above.
When the random number R is transmitted based on 2 etc., it is for certifying the identity based on the random number. First S
It is determined by 125 whether or not the random number R is received, and the process waits until it is received. When the random number R is received, the process proceeds to S216, and the received random number R is transferred to the IC terminal 19R.
Alternatively, the process of transmitting to 19V is performed. As will be described later, the IC terminal performs a process of encrypting the random number R using the stored authentication key KN or public key KP to generate and output the response data I. If the response data I is output, a determination of YES is made in S217, the process proceeds to S218, and a process of transmitting the I to the VP management server 9 is performed.

【0195】図29に示すVP出生依頼処理を行なう場
合には、ブラウザフォン30のUSBポート18にVP
用IC端末19Vを接続している。そして、VP出生依
頼処理の際の本人証明処理では、VP用IC端末19V
に記憶されているRPの認証鍵KNを用いて乱数Rを暗
号化する処理がなされる。これについては、後述する。
When performing the VP birth request process shown in FIG. 29, the VP is connected to the USB port 18 of the browser phone 30.
The IC terminal 19V for use is connected. Then, in the identity verification process at the time of the VP birth request process, the IC terminal 19V for the VP is used.
A process of encrypting the random number R using the authentication key KN of the RP stored in is performed. This will be described later.

【0196】その結果、図29のS150のVP出生依
頼処理の際の本人証明では、RPであることの証明がな
される。
As a result, in the personal identification at the time of the VP birth request processing in S150 of FIG. 29, the proof of being an RP is made.

【0197】次にS151へ進み、アクセス拒絶を受信
したか否かの判断がなされ、アクセス拒絶を受信した場
合にS152へ進み、アクセス拒絶の表示が行なわれ
る。一方、アクセスが許容された場合にはS153へ進
み、VP出生依頼を行なったユーザが希望するコンビニ
エンスストア2の入力があるか否かの判断がなされる。
出生したVPの住所が、コンビニエンスストア2の住所
となるために、ユーザは、自己の希望するコンビニエン
スストア2がある場合には、そのコンビニエンスストア
2を特定する情報をブラウザフォン30のキーボードか
ら入力する。入力があれば、S154により、その希望
のコンビニエンスストア2のデータがVP管理サーバ9
へ送信される。希望のコンビニエンスストア2の入力が
なかった場合には、前述したように、RPの住所に最も
近いコンビニエンスストア2の住所が出生したVPの住
所となる。
Next, in S151, it is determined whether or not an access refusal is received. If an access refusal is received, the flow advances to S152 to display an access refusal. On the other hand, if the access is permitted, the process proceeds to S153, and it is determined whether or not there is an input of the convenience store 2 desired by the user who has made the VP birth request.
Since the address of the born VP becomes the address of the convenience store 2, the user inputs the information specifying the convenience store 2 from the keyboard of the browser phone 30 when the convenience store 2 desired by the user is present. . If there is an input, the data of the desired convenience store 2 is sent to the VP management server 9 in S154.
Sent to. If the desired convenience store 2 is not input, as described above, the address of the convenience store 2 closest to the RP address becomes the birth VP address.

【0198】次にS155へ進み、VPの公開鍵の送信
要求があったか否かの判断がなされ、あるまで待機す
る。VP管理サーバ9では、前述したように、VPの出
生依頼があった場合に、VPの公開鍵の送信要求を出す
(S30参照)。その送信要求をブラウザフォン30が
受ければ、制御がS156へ進み、VP用IC端末19
Vへ公開鍵出力要求を出す。すると、VP用IC端末1
9Vが、記憶しているVPの公開鍵KPを出力する。そ
の出力があれば、制御がS158へ進み、その出力され
た公開鍵KPを金融機関7のVP管理サーバ9へ送信す
る。
Next, in S155, it is determined whether or not there is a request to send the VP's public key, and the process waits until there is one. As described above, the VP management server 9 issues a VP public key transmission request when a VP birth request is made (see S30). When the browser phone 30 receives the transmission request, control proceeds to S156, and the IC terminal 19 for VP is used.
Issue a public key output request to V. Then, IC terminal 1 for VP
9V outputs the stored public key KP of VP. If there is the output, the control advances to S158, and the output public key KP is transmitted to the VP management server 9 of the financial institution 7.

【0199】図30(b)は、S105に示された電子
証明書発行要求処理のサブルーチンプログラムを示すフ
ローチャートである。S165により、適正な暗証番号
である旨のチェックが済んでいるか否かの判断がなさ
れ、未だに済んでいない場合にはこのサブルーチンプロ
グラムが終了する。一方、適正な暗証番号である旨のチ
ェックが済んでいる場合にはS166へ進み、RP用電
子証明書の発行依頼操作があったか否かの判断がなされ
る。ユーザがブラウザフォン30のキーボードを操作し
て発行依頼を行なった場合には、制御がS167へ進
み、RPの住所,氏名の入力指示が表示される。ユーザ
がキーボードより入力すれば、制御がS169へ進み、
RP用IC端末19Rから公開鍵KPを呼出す処理がな
される。この電子証明書発行要求処理を行なう場合に
は、ユーザは、ブラウザフォン30のUSBポート18
に自己のRP用IC端末19Rを接続しておく必要があ
る。そして、S169の処理が行なわれた場合には、そ
の接続されているRP用IC端末19Rが記憶している
RP用の公開鍵KPがブラウザフォン30に出力され、
S170により、その出力されてきた公開鍵KPと入力
されたRPの住所,氏名とが金融機関7の認証用サーバ
11へ送信される。
FIG. 30B is a flowchart showing a subroutine program of the electronic certificate issuance request processing shown in S105. In S165, it is determined whether or not the identification number is proper, and if not, the subroutine program ends. On the other hand, if it has been checked that the personal identification number is appropriate, the process proceeds to S166, and it is determined whether or not there has been a request operation for issuing the RP electronic certificate. When the user operates the keyboard of the browser phone 30 to make an issuance request, control proceeds to S167, and an input instruction of the RP address and name is displayed. If the user inputs from the keyboard, control proceeds to S169,
Processing for calling the public key KP from the RP IC terminal 19R is performed. When carrying out this electronic certificate issuance request processing, the user must specify the USB port 18 of the browser phone 30.
It is necessary to connect its own RP IC terminal 19R to. When the process of S169 is performed, the public key KP for RP stored in the connected RP IC terminal 19R is output to the browser phone 30,
By S170, the output public key KP and the input address and name of the RP are transmitted to the authentication server 11 of the financial institution 7.

【0200】図31(a)はS102に示されたVP用
入力処理のサブルーチンプログラムを示し、図31
(b)はS106に示されたRP用入力処理のサブルー
チンプログラムを示すフローチャートである。
FIG. 31A shows a subroutine program of the VP input processing shown in S102.
(B) is a flowchart showing a subroutine program of the RP input processing shown in S106.

【0201】VP用入力処理が行なわれる場合には、ブ
ラウザフォン30のUSBポート18にVP用IC端末
19Vを接続しておく必要がある。S175により、適
正な暗証番号である旨のチェックが終了しているか否か
の判断がなされ、適正な暗証番号のチェックが未だなさ
れていない場合にはこのサブルーチンプログラムが終了
する。適正な暗証番号のチェック済の場合には、S17
6へ進み、VP用入力操作があったか否かの判断がなさ
れる。前述したように、金融機関7のVP管理サーバ9
によりVPの出生処理が行なわれた場合には、誕生した
VPの氏名,住所(コンビニエンスストア2の住所),
コンビニエンスストア2の名称,Eメールアドレス,電
子証明書が記憶されたIC端末19Iが郵送されてくる
のであり、そのIC端末19Iをユーザがブラウザフォ
ン30に挿入すれば、S176によりYESの判断がな
されてS178へ進み、そのIC端末19Iの記録デー
タが読込まれて接続されているVP用IC端末19Vへ
伝送される。
When the VP input processing is performed, it is necessary to connect the VP IC terminal 19V to the USB port 18 of the browser phone 30. In S175, it is determined whether or not the check for the proper secret code number has been completed. If the proper secret code number has not been checked, this subroutine program ends. If the correct PIN has been checked, S17
In step 6, it is determined whether or not there is a VP input operation. As described above, the VP management server 9 of the financial institution 7
If the birth processing of the VP is performed by, the name and address of the born VP (address of the convenience store 2),
The IC terminal 19I in which the name of the convenience store 2, the e-mail address, and the electronic certificate are stored is mailed. If the user inserts the IC terminal 19I into the browser phone 30, YES is determined in S176. Then, the process proceeds to S178, and the record data of the IC terminal 19I is read and transmitted to the connected VP IC terminal 19V.

【0202】ユーザがブラウザフォン30のキーボード
からVP用ユーザエージェントの知識データの入力操作
を行なえば、S177によりYESの判断がなされてS
179へ進み、入力された知識データをVP用IC端末
19Vへ伝送する処理がなされる。
If the user inputs the knowledge data of the VP user agent from the keyboard of the browser phone 30, a YES determination is made in S177 and S
Proceeding to 179, processing for transmitting the input knowledge data to the IC terminal 19V for VP is performed.

【0203】ユーザが金融機関7の自己の口座から資金
を一部引落しすれば、その引落し額Gがブラウザフォン
30へ送信されてくる(S69参照)。その引落し額G
がブラウザフォン30に入力されれば、S180により
YESの判断がなされてS181へ進み、引落し額Gを
VP用IC端末19Vへ転送してリロード金額として加
算記憶させる処理がなされる。
When the user partially withdraws the funds from his / her own account of the financial institution 7, the amount G of the withdrawal is transmitted to the browser phone 30 (see S69). The amount of withdrawal G
If is input to the browser phone 30, a determination of YES is made in S180, the process proceeds to S181, and the withdrawal amount G is transferred to the IC terminal 19V for VP and added and stored as a reload amount.

【0204】RP用入力処理が行なわれる場合には、ブ
ラウザフォン30のUSBポート18にRP用IC端末
19Rを接続しておく必要がある。まずS185によ
り、適正な暗証番号のチェックが済んでいるか否かの判
断がなされ、済んでいる場合にはS186へ進み、RP
の電子証明書を受信したか否かの判断がなされる。ユー
ザがRPの電子証明書の発行依頼を認証用サーバに対し
行なえば、前述したように、RPの電子証明書が作成さ
れてブラウザフォン30に送信されてくる(S28参
照)。その電子証明書が送信されてくれば、S186に
よりYESの判断がなされてS187へ進み、受信した
電子証明書をRP用IC端末19Rへ伝送して、RP用
IC端末へ記憶させる処理がなされる。
When RP input processing is performed, it is necessary to connect the RP IC terminal 19R to the USB port 18 of the browser phone 30. First, in S185, it is determined whether or not the proper personal identification number has been checked, and if so, the process proceeds to S186 and the RP
It is determined whether or not the electronic certificate has been received. When the user requests the authentication server to issue the RP electronic certificate, the RP electronic certificate is created and sent to the browser phone 30 as described above (see S28). If the electronic certificate is transmitted, YES is determined in S186 and the process proceeds to S187, the received electronic certificate is transmitted to the RP IC terminal 19R and stored in the RP IC terminal. .

【0205】ユーザがブラウザフォン30のキーボード
を操作して、RP用ユーザエージェントの知識データの
入力操作を行なえば、S188によりYESの判断がな
されてS189へ進み、その入力された知識データをR
P用IC端末19Rへ伝送する処理がなされ、RP用I
C端末19Rがその入力された知識データを記憶する。
When the user operates the keyboard of the browser phone 30 to input the knowledge data of the RP user agent, a YES determination is made in S188, the flow proceeds to S189, and the input knowledge data is stored in the R
Processing for transmission to the P IC terminal 19R is performed, and
The C terminal 19R stores the input knowledge data.

【0206】ユーザが決済サーバ10に対し自己の口座
内の資金の一部を引落す引落し要求を行なった場合に
は、前述したように、引落し金額であるGが決済サーバ
10からユーザのブラウザフォン30へ送信される。す
ると、S190によりYESの判断がなされてS191
へ進み、引落し額GをRP用IC端末19Rへ伝送し、
リロード金額としてGを加算更新する処理が行なわれ
る。
When the user makes a withdrawal request to the settlement server 10 for withdrawing part of the funds in his / her own account, as described above, the withdrawal amount G is from the settlement server 10 of the user. It is transmitted to the browser phone 30. Then, YES is determined in S190 and S191 is set.
Proceed to and transmit the withdrawal amount G to the RP IC terminal 19R,
A process of adding and updating G as the reload amount is performed.

【0207】図32は、ユーザ(RPとVPが存在す
る)がクレジットカードの支払を行なってSETに従っ
た決済が行なわれる場合の全体概略システムを示す図で
ある。まず、カード会員がクレジットカードの発行手続
を行なえば、クレジットカード発行会社4に設置されて
いるサーバが、クレジット発行の申込みがあったことを
判別して、当該カード会員に対しクレジットカード番号
を発行する。その際に、カード会員がVP用のクレジッ
トカードの発行を要求した場合には、クレジットカード
発行会社4のサーバは、そのVPの氏名や住所等のデー
タを入力してもらい、そのデータに基づいて金融機関な
どに登録されているVPか否かを金融機関7に問合せ
る。そして、金融機関7のデータベース12に記憶され
ている正規のVPであることが確認されたことを条件と
して、クレジットカード発行会社4のサーバは、そのV
Pに対しクレジット番号を発行する処理を行なう。
FIG. 32 is a diagram showing an overall schematic system in the case where the user (there are RP and VP) pays the credit card and makes the settlement according to the SET. First, if a card member performs a credit card issuance procedure, the server installed in the credit card issuing company 4 determines that there has been an application for credit issuance and issues a credit card number to the card member. To do. At that time, when the card member requests the issuance of the credit card for the VP, the server of the credit card issuing company 4 is asked to input data such as the name and address of the VP, and based on the data. The financial institution 7 is inquired whether or not the VP is registered with a financial institution. Then, on the condition that it is confirmed that the VP is a regular VP stored in the database 12 of the financial institution 7, the server of the credit card issuing company 4 uses the V
The credit number is issued to P.

【0208】つまり、クレジットカード発行会社4のサ
ーバは、仮想人物用のクレジット番号を発行するクレジ
ット番号発行ステップを含んでいる。また、仮想人物用
のクレジット番号を発行するクレジット番号発行手段を
含んでいる。さらに、このクレジット番号発行ステップ
またはクレジット番号発行手段は、前述したように、ク
レジット番号発行対象となる仮想人物が前記所定機関に
登録されている正規の仮想人物であることが確認された
ことを条件として、前記クレジット番号を発行する。ク
レジットカード発行会社4によって発行されたクレジッ
トカード(RP用とVP用の2種類存在する)を所持す
るユーザは、SETによる取引をするための会員の登録
要求を認証用サーバ11に出す。認証用サーバ11は、
そのユーザがクレジットカード発行会社4のクレジット
会員であるか否かの認証要求をクレジットカード発行会
社4に出す。クレジットカード発行会社4からクレジッ
トカードの会員である旨の認証の回答が認証用サーバ1
1に返信されてくれば、認証用サーバ11は、SET用
の電子証明書を作成してカード会員に送る。
In other words, the server of the credit card issuing company 4 includes a credit number issuing step for issuing a credit number for a virtual person. It also includes credit number issuing means for issuing a credit number for a virtual person. Further, as described above, this credit number issuing step or the credit number issuing means requires that the virtual person for which the credit number is issued is confirmed to be a regular virtual person registered in the predetermined institution. As the above, the credit number is issued. A user who possesses a credit card (two types, one for RP and one for VP) issued by the credit card issuing company 4 issues a registration request for a member to perform a transaction by SET to the authentication server 11. The authentication server 11 is
A request for authentication as to whether the user is a credit member of the credit card issuing company 4 is issued to the credit card issuing company 4. The response from the credit card issuing company 4 indicating that they are a member of the credit card is the authentication server 1
If 1 is returned, the authentication server 11 creates an electronic certificate for SET and sends it to the card member.

【0209】電子モール等の加盟店6がSETによる取
引を可能にするためには、まず、SETによる取引のた
めの会員登録要求を認証用サーバ11に出す。認証用サ
ーバ11では、加盟店6が契約している加盟店契約会社
(アクアイアラ)5に、当該加盟店6が正当な契約会社
であるか否かの認証要求を送信する。加盟店契約会社5
から正当な加盟店である旨の回答が返信されてくれば、
認証用サーバ11は、その加盟店6のためのSET用の
電子証明書を作成して加盟店6に発行する。
[0209] In order for the member store 6 such as the electronic mall to enable the transaction by SET, first, the member registration request for the transaction by SET is issued to the authentication server 11. The authentication server 11 sends a request for authentication as to whether or not the member store 6 is a legitimate contract company to the member store contract company (aqua lala) 5 contracted by the member store 6. Member store contract company 5
If you receive a reply from the store that it is a valid member store,
The authentication server 11 creates an electronic certificate for SET for the member store 6 and issues it to the member store 6.

【0210】この状態で、カード会員が加盟店6により
電子ショッピングを行なってSETにより取引を行なう
場合には、まず商品やサービス等の購入要求をカード会
員が加盟店6へ送信する。加盟店6では、その購入要求
を承認してよいか否かの承認要求を支払承認部33から
ペイメントゲートウェイ27を介してクレジットカード
発行会社4へ送信する。クレジットカード発行会社4か
ら承認の回答がペイメントゲートウェイ27を介して加
盟店6に返信されてくれば、加盟店6は、購入を受理し
た旨をカード会員に送信する。また加盟店6は、支払要
求部34から支払要求をペイメントゲートウェイ27に
送信する。ペイメントゲートウェイ27は、その支払要
求に応じた決済要求をクレジットカード発行会社4へ送
信するとともに、支払回答を加盟店6へ返信する。
In this state, when the card member performs electronic shopping at the member store 6 and makes a transaction by SET, the card member first transmits a purchase request for goods, services, etc. to the member store 6. At the member store 6, the payment approval unit 33 sends an approval request as to whether or not the purchase request may be approved to the credit card issuing company 4 via the payment gateway 27. When the credit card issuing company 4 sends an approval response back to the member store 6 via the payment gateway 27, the member store 6 transmits the fact that the purchase has been accepted to the card member. The member store 6 also sends a payment request from the payment request unit 34 to the payment gateway 27. The payment gateway 27 sends a payment request corresponding to the payment request to the credit card issuing company 4 and returns a payment response to the member store 6.

【0211】カード会員と加盟店6との間では、商品や
サービスの購入取引を行なう際に、互いの電子証明書を
送信して、正当な本人である旨の確認が行なわれる。
When carrying out a purchase transaction for a product or service, the card member and the member store 6 send each other's electronic certificates to confirm that they are legitimate.

【0212】クレジットカード発行会社4が、ユーザと
してのRPにクレジットカードを発行した場合には、そ
のクレジットカード番号等のカード情報が当該ユーザの
RP用IC端末19Rに入力されて記憶される。一方、
ユーザがVPとしてクレジットカード発行会社4からク
レジットカードの発行を受ける際には、VP用に発行さ
れた電子証明書をクレジットカード発行会社4に送信
し、金融機関7による身分の証明を行なってもらう必要
がある。その上で、クレジットカード発行会社4がクレ
ジットカードを発行した場合には、そのクレジットカー
ドのカード番号等のカード情報が当該ユーザのVP用I
C端末19Vに入力されて記憶される。
When the credit card issuing company 4 issues a credit card to the RP as a user, card information such as the credit card number is input to and stored in the RP IC terminal 19R of the user. on the other hand,
When the user receives a credit card issued by the credit card issuing company 4 as a VP, the electronic certificate issued for the VP is sent to the credit card issuing company 4 so that the financial institution 7 can verify the identity. There is a need. Then, when the credit card issuing company 4 issues a credit card, the card information such as the card number of the credit card is used for the VP I of the user.
It is input to the C terminal 19V and stored.

【0213】前述したSET用の電子証明書の発行も、
RP用とVP用との2種類のケースに分けて発行され
る。そしてそれぞれ発行されたSET用の電子証明書
が、それぞれのIC端末19Rまたは19Vに入力され
て記憶される。
Issuing the electronic certificate for SET described above also
It is issued in two cases, one for RP and one for VP. Then, the respectively issued electronic certificate for SET is input and stored in each IC terminal 19R or 19V.

【0214】図33は、S103に示したVP用決済処
理のサブルーチンプログラムを示すフローチャートであ
る。まずS195により、適正な暗証番号である旨のチ
ェックが終了しているか否かの判断がなされ、終了して
いなければこのサブルーチンプログラムが終了し、適正
な暗証番号のチェック済の場合にはS196へ進む。
FIG. 33 is a flow chart showing a subroutine program of the VP settlement processing shown in S103. First, in S195, it is determined whether or not the check indicating that the personal identification number is proper has been completed. If it has not been completed, this subroutine program is terminated, and if the proper personal identification number has been checked, the process proceeds to S196. move on.

【0215】このVP用決済処理は、金融機関7のユー
ザの銀行口座内の資金の一部を引落してVP用IC端末
19Vへリロードする処理と、デビットカードを使用し
て決済を行なう処理と、クレジットカードを使用して決
済を行なう処理と、VP用IC端末19Vへリロードさ
れているリロード金額を使用して決済を行なう場合とを
有している。
The VP settlement process includes a process of withdrawing part of the funds in the bank account of the user of the financial institution 7 and reloading it into the VP IC terminal 19V, and a process of making a settlement using a debit card. , And a case where payment is performed using a credit card and a case where payment is performed using the reload amount reloaded in the IC terminal 19V for VP.

【0216】ユーザが自己の銀行口座内の資金を一部引
落してVP用IC端末へリロードする操作を行なえば、
S197により、その引落し要求が金融機関7の決済サ
ーバ10へ送信される。次にS198へ進み、正当機関
チェック処理(図30(a)参照)が行なわれる。
[0216] If the user carries out an operation of partially withdrawing the funds in his / her bank account and reloading to the IC terminal for VP,
By S197, the withdrawal request is transmitted to the settlement server 10 of the financial institution 7. Next, the process proceeds to S198, and the legal institution check process (see FIG. 30A) is performed.

【0217】次にS199へ進み、R=DKP(L)であ
る否かの判断がなされ、正当機関でない場合にはS11
9によりNOの判断がなされてS200へ進み、正当機
関でない旨の警告表示がなされる。一方、正当機関であ
る場合には、R=DKP(L)となるために、制御がS2
01へ進み、氏名の入力要求があったか否かの判断がな
され、あるまで待機する。前述したように、決済サーバ
10は、IC端末への引落し要求があった場合には、氏
名の入力要求を送信する(S60参照)。この氏名の入
力要求が送信されてくれば、S201によりYESの判
断がなされてS202へ進み、VP用IC端末19Vか
らVPの氏名を呼出して決済サーバ10へ送信する処理
がなされる。次にS203へ進み、本人証明処理(図3
4(a)参照)がなされる。
Next, in S199, it is determined whether R = D KP (L), and if it is not a legal institution, S11.
A negative determination is made in step 9 and the process proceeds to step S200 to display a warning indicating that the institution is not valid. On the other hand, in the case of a legitimate institution, R = D KP (L), so the control is S2.
The process proceeds to 01, and it is judged whether or not there is a request for inputting a name, and the process waits until there is. As described above, when there is a request for withdrawal to the IC terminal, the payment server 10 transmits a name input request (see S60). If this input request of the name is transmitted, YES is determined in S201, the process proceeds to S202, and the process of calling the VP name from the VP IC terminal 19V and transmitting it to the settlement server 10 is performed. Next, the process proceeds to S203, and the identity verification process (see FIG. 3).
4 (a)).

【0218】次にS204へ進み、引落し額の入力要求
があったか否かの判断がなされ、なければS205へ進
み、不適正な旨の返信があったか否かの判断がなされ、
なければS204へ戻る。この204,205のループ
の巡回途中で、決済サーバ10がユーザの正当性が確認
できないと判断した場合には不適正である旨の返信を行
なう(S79参照)。その結果、S205によりYES
の判断がなされてS207へ進み、不適正である旨がパ
ーソナルコンピュータのディスプレイにより表示され
る。一方、決済サーバ10が本人認証の結果正当な本人
であると判断した場合には引落し額の入力要求をブラウ
ザフォン30へ送信する(S87参照)。すると、S2
04によりYESの判断がなされてS206へ進む。
[0218] Next, in S204, it is judged whether or not there is an input request for the withdrawal amount.
If not, the process returns to S204. If the settlement server 10 determines that the legitimacy of the user cannot be confirmed during the circulation of the loops of 204 and 205, the settlement server 10 replies that it is improper (see S79). As a result, YES in S205
Is made, the process proceeds to S207, and the improperness is displayed on the display of the personal computer. On the other hand, when the settlement server 10 determines that the person is a legitimate person as a result of the person authentication, it sends an input request for the withdrawal amount to the browser phone 30 (see S87). Then S2
A determination of YES is made by 04 and the routine proceeds to S206.

【0219】S206では、引落し額の入力指示をブラ
ウザフォン30のディスプレイに表示させる処理がなさ
れる。ユーザがキーボードから引落し額を入力すれば、
S208によりYESの判断がなされてS209へ進
み、その入力された引落し額Gを決済サーバ10へ送信
する処理がなされる。決済サーバ10では、引落し額G
を受信すれば、VPの口座からGを減算してGを送信す
る処理がなされる(S89参照)。その結果、S210
によりYESの判断がなされてS211へ進み、引落し
額GをVP用IC端末19Vへ送信してGをリロード金
額に加算更新する処理がなされる。
In S206, processing for displaying the input instruction of the withdrawal amount on the display of the browser phone 30 is performed. If the user enters the withdrawal amount from the keyboard,
The determination of YES is made in S208, the process proceeds to S209, and a process of transmitting the input withdrawal amount G to the settlement server 10 is performed. In the settlement server 10, the withdrawal amount G
If it receives, the process of subtracting G from the VP account and transmitting G is performed (see S89). As a result, S210
Therefore, a YES determination is made and the process proceeds to S211, in which the withdrawal amount G is transmitted to the IC terminal 19V for VP to add G to the reload amount and update the amount.

【0220】S196により、NOの判断がなされた場
合には、図34(b)のS220へ進み、デビットカー
ドの使用操作があったか否かの判断がなされる。デビッ
トカードの使用操作があった場合には、S235へ進
み、デビットカード使用要求を決済サーバ10へ送信す
る処理がなされる。次にS221へ進み、正当機関チェ
ック処理(図30(a)参照)がなされる。そしてS2
22へ進み、R=DKP(L)であるか否かの判断がなさ
れる。正当機関でない場合には、NOの判断がなされて
S223へ進み、正当機関でない旨の警告表示がなされ
る。一方、正当機関である場合には制御がS224へ進
み、デビットカードの暗証番号とカード情報の入力要求
があったか否かの判断がなされ、あるまで待機する。決
済サーバ10は、デビットカードの使用要求があった場
合には、暗証番号とカード情報の入力要求をブラウザフ
ォン30へ送信する(S70参照)。その送信を受信す
れば、制御がS225へ進み、暗証番号の入力指示がブ
ラウザフォン30の表示部76に表示される。ユーザが
デビットカードの暗証番号をキーボードから入力すれ
ば、S226によりYESの判断がなされてS227へ
進み、VP用ICカード19Vからカード情報を読出し
暗証番号とともに決済サーバ10へ送信する処理がなさ
れる。
If the determination is NO in S196, the process proceeds to S220 in FIG. 34B, and it is determined whether or not the debit card is used. If there is a debit card use operation, the process proceeds to S235, and a process of transmitting a debit card use request to the payment server 10 is performed. Next, proceeding to S221, legitimate institution check processing (see FIG. 30A) is performed. And S2
In step 22, it is judged whether or not R = D KP (L). If it is not a legal institution, a NO determination is made and the process proceeds to S223, and a warning display indicating that it is not a legal institution is displayed. On the other hand, if it is a legal institution, the control advances to S224, it is judged whether or not there is a request for inputting the personal identification number of the debit card and the card information, and the process waits until it is present. When there is a request for using the debit card, the payment server 10 transmits a request for inputting a personal identification number and card information to the browser phone 30 (see S70). If the transmission is received, the control advances to S225, and the input instruction of the personal identification number is displayed on the display unit 76 of the browser phone 30. If the user inputs the personal identification number of the debit card from the keyboard, YES is determined in S226 and the process proceeds to S227, in which the card information is read from the IC card 19V for VP and transmitted to the settlement server 10 together with the personal identification number.

【0221】次にS228へ進み、不適正である旨の返
信があったか否かの判断がなされる。暗証番号とカード
情報とを受信した決済サーバ10は、適正か否かの判断
を行ない(S72)、適正でない場合には不適正である
旨の返信を行なう(S79参照)。不適正である旨が返
信されてくれば、S228によりYESの判断がなされ
てS229へ進み、不適正である旨の表示がなされる。
一方、不適正である旨の返信が送られてこなければ、制
御がS230へ進み、使用金額の入力指示がパーソナル
コンピュータのディスプレイに表示される。ユーザが使
用金額をキーボードから入力すれば、S231によりY
ESの判断がなされてS232へ進み、入力された使用
金額Gを決済サーバ10へ送信する処理がなされる。
Next, in S228, it is determined whether or not there is a reply that the message is incorrect. The settlement server 10, which has received the personal identification number and the card information, judges whether or not it is proper (S72), and if it is not proper, replies that it is not proper (see S79). If an incorrectness is returned, a determination of YES is made in S228, the flow proceeds to S229, and an indication of inadequacy is displayed.
On the other hand, if the reply indicating that the amount is incorrect is not sent, the control advances to S230, and the input instruction of the used amount is displayed on the display of the personal computer. If the user inputs the amount of money for use from the keyboard, S231 returns Y.
After the ES is determined, the process proceeds to S232, and the process of transmitting the input used amount G to the settlement server 10 is performed.

【0222】使用金額Gを受信した決済サーバ10は、
前述したように、ユーザに該当する銀行口座を検索して
使用金額Gを減算するとともに、その使用金額Gをブラ
ウザフォン30に返信する処理を行なう(S74)。
The payment server 10 that has received the usage amount G
As described above, the bank account corresponding to the user is searched, the used amount G is subtracted, and the used amount G is returned to the browser phone 30 (S74).

【0223】その結果、S233によりYESの判断が
なされてS234へ進み、決済が完了した旨の表示をブ
ラウザフォン30の表示部76に表示させる処理がなさ
れる。
As a result, a YES determination is made in S233, and the process proceeds to S234, in which a display to the effect that payment has been completed is displayed on the display unit 76 of the browser phone 30.

【0224】S220によりNOの判断がなされた場合
には、制御がS238へ進む。S238では、クレジッ
トカードの使用操作があったか否かの判断がなされる。
ユーザがブラウザフォン30のキーボード77を操作し
てクレジットカードの使用を入力すれば、制御がS23
7へ進み、クレジットカードによる決済要求を加盟店6
へ送信する処理がなされる。この加盟店は、ユーザが商
品やサービスを購入しようとしている商店である。次に
制御がS239へ進み、正当機関チェック処理がなされ
る。この正当機関チェック処理は、図30(a)に示し
たものである。この正当機関チェック処理に合せて、加
盟店6は、当該加盟店の電子証明書を顧客のブラウザフ
ォン30へ送信し、次に乱数Rを受信すれば、その乱数
を自己の秘密鍵KSを用いて暗号化し、その暗号結果L
を顧客のブラウザフォン30へ送信する。
If NO is determined in S220, the control proceeds to S238. In S238, it is determined whether or not the credit card has been used.
If the user operates the keyboard 77 of the browser phone 30 and inputs the use of the credit card, the control is S23.
Proceed to 7 and request payment by credit card 6
The process of sending to is performed. This member store is a store where the user is trying to purchase a product or service. Next, the control advances to S239, and the legal institution check process is performed. This legitimate institution check processing is the one shown in FIG. Along with this legitimate institution check processing, the member store 6 transmits the electronic certificate of the member store to the browser phone 30 of the customer, and then, when receiving the random number R, uses the random number by using its own secret key KS. Encryption and the encryption result L
To the browser phone 30 of the customer.

【0225】制御がS240へ進み、R=DKP(L)で
あるか否かの判断がなされる。正当な販売店(加盟店)
でない場合には、S240によりNOの判断がなされ
て、S241へ進み、正当な販売店でない旨の警告表示
がなされる。一方、正当な販売店(加盟店)である場合
には、S242へ進み、オーダ情報OIと支払指示PI
とが作成される。オーダ情報OIとは、商品やサービス
等の購入対象物や購入個数等を特定するための情報であ
る。支払指示PIは、たとえばクレジット番号何々のク
レジットカードを利用してクレジットの支払を行なう旨
の指示等である。
The control advances to S240, and it is determined whether or not R = D KP (L). Authorized retailers (member stores)
If not, a NO determination is made in S240, and the process proceeds to S241, where a warning display indicating that the store is not an authorized store is displayed. On the other hand, if the store is a valid store (member store), the process proceeds to S242, where the order information OI and the payment instruction PI are sent.
And are created. The order information OI is information for specifying a purchase target such as a product or service, a purchase quantity, and the like. The payment instruction PI is, for example, an instruction to make a credit payment using a credit card with any credit number.

【0226】次にS243へ進み、オーダ情報OIと支
払指示PIのメッセージダイジェストを連結した二重ダ
イジェストMDを算出する処理がなされる。次にS24
4へ進み、二重ダイジェストMDとクレジットカードを
使用するVP氏名とをVP用IC端末19Vへ伝送して
署名指示を出すとともに、VP用電子証明書の出力要求
を行なう。
[0226] Next, proceeding to S243, processing is performed to calculate a double digest MD that is a concatenation of the order information OI and the message digest of the payment instruction PI. Then S24
In step 4, the double digest MD and the VP name using the credit card are transmitted to the IC terminal 19V for the VP to issue a signature instruction, and the VP electronic certificate is requested to be output.

【0227】クレジットカードを使用するVP氏名と署
名指示と電子証明書の出力要求を受けたVP用IC端末
19Vは、入力されたVP氏名をクッキーデータ記憶領
域と照合してそのVP氏名がVPの本名B13P(図1
1参照)を何回暗号化したものかを割出す。そしてその
回数だけ秘密鍵を秘密鍵で暗号化して、その暗号化秘密
鍵(KS)を用いて入力されたMDを復号化していわゆ
る二重署名を生成する。この二重署名を便宜上D
(KS)(MD)と表現する。VP用IC端末19Vは、そ
のD(KS)(MD)をブラウザフォン30へ出力する。
The IC terminal 19V for the VP, which has received the VP name using the credit card, the signature instruction, and the output request for the electronic certificate, collates the input VP name with the cookie data storage area and confirms that the VP name is VP. Real name B13P (Fig. 1
Figure out how many times it was encrypted (see 1). Then, the private key is encrypted with the private key the number of times, and the input MD is decrypted using the encrypted private key (KS) to generate a so-called double signature. This double signature will be referred to as D for convenience.
Expressed as (KS) (MD). The IC terminal 19V for VP outputs the D (KS) (MD) to the browser phone 30.

【0228】S244に従って入力されたVP氏名がV
Pの本名B13Pであった場合には、VP用IC端末1
9Vは、その本名に対する電子証明書を格納しているた
めに、その格納している電子証明書をブラウザフォン3
0へ出力する。一方、S244に従って入力されたVP
氏名がトラップ型VP氏名であった場合には、VP用I
C端末19Vがそのトラップ型VP氏名用の電子証明書
を格納していない。そのトラップ型VP氏名用の電子証
明書は、前述したようにXMLストア50に格納されて
いる。よって、その場合には、VP用IC端末19V
は、XMLストア50に電子証明書を取寄せる旨の指示
をブラウザフォン30へ出力する。
The VP name input according to S244 is V
If the real name of P is B13P, IC terminal 1 for VP
Since 9V stores the digital certificate for its real name, the stored digital certificate is stored in the browser phone 3
Output to 0. On the other hand, the VP input according to S244
If the name is the trap type VP name, I for VP
The C terminal 19V does not store the electronic certificate for the trap type VP name. The electronic certificate for the trap type VP name is stored in the XML store 50 as described above. Therefore, in that case, the VP IC terminal 19V
Outputs to browser phone 30 an instruction to obtain an electronic certificate from XML store 50.

【0229】S244の要求をVP用IC端末19Vへ
出力した後、VP用IC端末19Vから何らかの返信が
あれば、S245によりYESの判断がなされてS60
5へ制御が進む。S605では、XMLストア50への
電子証明書の取り寄せ指示であったか否かの判断がなさ
れ、取り寄せ指示でなかった場合にはS246へ進む
が、取り寄せ指示であった場合には制御がS606へ進
む。S606では、XMLストア50へアクセスしてト
ラップ型VP氏名に対応する電子証明書を検索してS2
46へ進み、オーダ情報OIと支払指示PIと出力され
てきた署名としてのD(KS)(MD)とVP用電子証明書
とを加盟店6へ送信する処理がなされる。加盟店6で
は、それら情報を確認した上で、ユーザの購入要求を受
理する購入受理の回答をユーザのブラウザフォン30へ
送信する。すると、S247によりYESの判断がなさ
れてS248へ進み、取引が完了した旨の表示が行なわ
れる。
After outputting the request of S244 to the IC terminal 19V for VP, if there is any reply from the IC terminal 19V for VP, a YES determination is made in S245 and S60.
Control proceeds to 5. In S605, it is determined whether the instruction is to order the electronic certificate to the XML store 50. If the order is not the order, the process proceeds to S246. If the request is the order, the control proceeds to S606. In S606, the XML store 50 is accessed to search for the electronic certificate corresponding to the trap type VP name, and S2 is searched.
In step 46, the order information OI, the payment instruction PI, the output D (KS) (MD) as a signature, and the VP electronic certificate are transmitted to the member store 6. At the member store 6, after confirming the information, the purchase acceptance response for accepting the purchase request from the user is transmitted to the browser phone 30 of the user. Then, the determination of YES is made in S247, and the process proceeds to S248 to display that the transaction is completed.

【0230】S238によりNOの判断がなされた場合
にS249へ進み、リロード金額の使用操作があったか
否かの判断がなされる。ユーザが、VP用IC端末19
Vに蓄えられているリロード金額を使用する旨のキーボ
ード操作を行なえば、制御がS250へ進み、使用金額
の入力指示がブラウザフォン30のディスプレイに表示
される。ユーザが使用金額をキーボードから入力すれ
ば、S251によりYESの判断がなされてS252へ
進み、入力された使用金額Gの引落し要求をVP用IC
端末19Vへ伝送する処理がなされる。
[0230] If the determination is NO in S238, the process proceeds to S249, in which it is determined whether or not the reload amount has been used. The user uses the VP IC terminal 19
If the keyboard operation for using the reload amount stored in V is performed, the control advances to S250, and the input instruction of the used amount is displayed on the display of the browser phone 30. If the user inputs the used amount from the keyboard, a determination of YES is made in S251, the process proceeds to S252, and a request for withdrawing the input used amount G is issued to the VP IC.
Processing for transmitting to the terminal 19V is performed.

【0231】VP用IC端末19Vでは、後述するよう
に、引落し要求を受ければ、その使用金額Gだけリロー
ド金額を減算更新し、引落しが完了した旨の信号をブラ
ウザフォン30へ返信する。すると、S252aにより
YESの判断がなされてS252bへ進み、Gの支払処
理がなされる。
When receiving a withdrawal request, the VP IC terminal 19V subtracts and updates the reload amount by the used amount G, and returns a signal indicating that the withdrawal is completed to the browser phone 30. Then, the determination of YES is made in S252a, the process proceeds to S252b, and the G payment process is performed.

【0232】なお、RP用決済処理は、以上説明したV
P用決済処理とほとんど同じ内容の処理であるために、
図示および説明の繰返しを省略する。
[0232] Note that the payment processing for RP is the same as V described above.
Since the processing is almost the same as the payment processing for P,
The repetition of illustration and description is omitted.

【0233】図36(a)は、S58に示したVP用W
ebブラウザ,メール処理のサブルーチンプログラムを
示すフローチャートである。S607により、サイトへ
のアクセス要求があったか否かの判断がなされる。ない
場合にはメールの送信要求があったか否かの判断がなさ
れる。ない場合にはこのサブルーチンプログラムが終了
する。
FIG. 36A shows the VP W shown in S58.
It is a flow chart which shows an eb browser and a subroutine program of mail processing. Through S607, it is determined whether or not there is a request for access to the site. If there is not, it is determined whether or not there is a request to send an email. If not, this subroutine program ends.

【0234】ユーザがブラウザフォン30のキーボード
77を操作してサイトへアクセスする操作を行なった場
合にはS607によりYESの判断がなされて制御がS
608へ進む。S608では、ブルートゥース(Blueto
oth)が使用できる端末が近くにあるか否かの判断がな
される。ブルートゥースは、10メートル程度の近距離
無線通信インターフェイスのコード名であり、ブラウザ
フォン30に標準装備されている。このS608によ
り、10メートル四方に広域・大容量中継網43に接続
されてブルートゥースが使用できる端末がない場合に
は、制御がS612へ進み、アクセスできない旨をブラ
ウザフォン30の表示部76に表示する処理がなされ
る。一方、ブルートゥースが使用できる端末がある場合
にはS609へ進み、ブルートゥースを用いてその端末
経由でサイトにアクセスする処理がなされる。
When the user operates the keyboard 77 of the browser phone 30 to access the site, a YES determination is made in S607 and the control is performed in S.
Proceed to 608. In S608, Bluetooth (Blueto
It is determined whether there is a terminal that can use oth) near. Bluetooth is a code name of a short-range wireless communication interface of about 10 meters, and is standardly installed in the browser phone 30. By this S608, if there is no terminal connected to the wide area / large capacity relay network 43 by 10 meters square and capable of using Bluetooth, the control proceeds to S612, and the fact that access is not possible is displayed on the display unit 76 of the browser phone 30. Processing is done. On the other hand, if there is a terminal that can use Bluetooth, the process advances to step S609 to perform processing for accessing the site via the terminal using Bluetooth.

【0235】このように、ブラウザフォン30にVP用
IC端末19Vを接続してVPとしてブラウザフォン3
0からサイトにアクセスする場合には、携帯電話用の基
地局55,携帯電話網45,ゲートウェイ53経由でサ
イトにアクセスするのでなく、広域・大容量中継網に接
続された端末経由でアクセスする。その理由は、ブラウ
ザフォン30が発信している電波を手掛かりにその現在
位置が割出されるおそれがあるためである。ブラウザフ
ォン30の場合には、ブラウザフォン30同士の通話を
実現するために、ブラウザフォン30が位置する一番近
い基地局55を割出してその基地局55から通話電波を
発信するようにしているために、ブラウザフォン30の
位置情報が特定できるように構成されている。このよう
な位置がある程度割出し可能なブラウザフォン30を利
用して、RPとしてそのブラウザフォン30を利用した
り、あるいはVPとしてサイトにアクセスしたりした場
合には、あるRPとあるVPとが常に同じ位置に存在す
ることが統計上突き止められてしまい、そのRPとその
VPとは同一人物ではないかと、見破られてしまうおそ
れがある。
In this way, the browser phone 30 is connected to the IC terminal 19V for the VP, and the browser phone 3 is used as the VP.
When accessing the site from 0, the site is not accessed via the mobile phone base station 55, the mobile phone network 45, and the gateway 53, but is accessed via a terminal connected to the wide area / large capacity relay network. The reason is that there is a possibility that the current position of the browser phone 30 may be indexed by a radio wave transmitted by the browser phone 30. In the case of the browser phone 30, in order to realize a call between the browser phones 30, the closest base station 55 where the browser phone 30 is located is indexed and the call radio wave is transmitted from the base station 55. For this reason, the position information of the browser phone 30 can be specified. When a browser phone 30 that can index such a position to some extent is used and the browser phone 30 is used as an RP or a site is accessed as a VP, a certain RP and a certain VP are always connected. The fact that they exist at the same position is statistically found, and there is a risk that the RP and the VP may be seen as being the same person.

【0236】そこで、VPとしてブラウザフォン30を
利用してネットワーク上で行動する場合には、携帯電話
網54を利用することなくブルートゥースを利用して広
域・大容量中継網43に接続されている端末経由でネッ
トワーク内に入り込むようにしているのである。
Therefore, when the browser phone 30 is used as a VP to act on the network, a terminal connected to the wide area / large capacity relay network 43 by using Bluetooth without using the mobile telephone network 54. It tries to get into the network via.

【0237】一方、ユーザがブラウザフォン30のキー
ボード77を操作してEメールの送受信要求を行なった
場合には、S610によりYESの判断がなされて制御
がS611へ進み、ブルートゥースが使用できる端末が
近くにあるか否かの判断がなされる。ない場合にはS6
11aに進み、Eメールの送受信ができない旨を表示部
76に表示させる制御を行なった後、このサブルーチン
プログラムが終了する。一方、近くにブルートゥースが
使用できる端末があった場合には制御がS613へ進
み、ブルートゥースを用いてその端末経由でEメールの
送受信を行なう処理がなされる。
On the other hand, when the user operates the keyboard 77 of the browser phone 30 to make a transmission / reception request for E-mail, a YES determination is made in S610 and control proceeds to S611, in which a Bluetooth-enabled terminal is near. It is determined whether or not If not, S6
After proceeding to 11a and performing control to display on the display unit 76 that e-mail cannot be transmitted / received, this subroutine program ends. On the other hand, if there is a terminal that can use Bluetooth nearby, the control advances to S613, and a process of transmitting / receiving an E-mail via the terminal using Bluetooth is performed.

【0238】図36(b)は、S584に示された偽R
Pアクセス処理のサブルーチンプログラムを示すフロー
チャートである。ユーザがVPとしてネットワーク上で
行動することが多くなれば、RPとVPとの両方の詳し
い個人情報を収集した業者が、両個人情報を虱潰しにマ
ッチングチェックして、両個人情報が一致するRP氏名
とVP氏名とを割出し、VPに対応するRPの名前を予
測してしまうという不都合が生ずるおそれがある。その
1つの解決方法として、RPの個人情報の信頼性を低下
させることが考えられる。その偽RPアクセス処理は、
RPの氏名を名乗ってランダムにサイトを次から次へと
アクセスして渡り歩く動作を自動的に行なうものであ
る。
FIG. 36B shows the false R shown in S584.
It is a flow chart which shows a subroutine program of P access processing. If the user often acts as a VP on the network, a trader who collects detailed personal information of both the RP and the VP exhaustively matches and checks both personal information, and the RP that both personal information match. There is a risk that the name and the VP name are calculated and the name of the RP corresponding to the VP is predicted. One possible solution is to reduce the reliability of RP personal information. The fake RP access process is
The name of the RP is given and the site is randomly accessed from one site to the next and automatically walked.

【0239】S650により偽RPアクセス要求があっ
たか否かの判断がなされ、ない場合にはこのサブルーチ
ンプログラムが終了する。ユーザがブラウザフォン30
のキーボード77を操作して偽RPアクセス要求を行な
えば、制御がS651へ進み、乱数Rを発生させる処理
がなされる。次にS652により、その乱数RからUR
L(Uniform Resource Locator)を作成する処理がなさ
れる。次にS653により、そのURLへアクセスを試
みる処理がなされる。次にS654により、そのアクセ
スが成功したか否かの判断がなされる。このURLは乱
数によってランダムに生成されたものであるために、そ
のURLに必ず該当するサイトがあるとは限らない。よ
って、該当するサイトがなければS654によりNOの
判断がなされて制御が再びS651へ戻り、S651〜
S653の処理を繰返す。
In S650, it is determined whether or not there is a false RP access request, and if not, this subroutine program ends. The user has a browser phone 30
When the fake RP access request is made by operating the keyboard 77, the control advances to S651, where the random number R is generated. Next, in step S652, the random number R is changed to the UR.
Processing for creating L (Uniform Resource Locator) is performed. Next, in S653, a process of trying to access the URL is performed. Next, in S654, it is determined whether or not the access is successful. Since this URL is randomly generated by a random number, there is not always a site corresponding to the URL. Therefore, if there is no corresponding site, a determination of NO is made in S654, control returns to S651, and S651-
The process of S653 is repeated.

【0240】このS561〜S564のループを巡回す
ることによって、ランダムに生成されたURLに該当す
るサイトがあった場合には、S654によりYESの判
断がなされてS655へ進み、アクセスしようとしてい
るサイトが予め設定されたアクセス許容範囲内のもので
あるか否かの判断がなされる。ユーザは、たとえば、R
P用IC端末19Rに格納されているユーザエージェン
トに対し、アクセスを行なってもよい許容範囲を入力設
定しておく。たとえば風俗営業関連のサイト以外を許容
する等のように、アクセス許容範囲を入力設定してお
く。S655では、ブラウザフォン30に接続されてい
るRP用IC端末19Rに格納されているユーザエージ
ェントに対し、アクセスしようとしているサイトがその
予め入力設定されたアクセス許容範囲内のものであるか
否かを問合せる処理を行なう。アクセス許容範囲内でな
い場合には制御が再びS651へ戻り、再度乱数による
URLの生成およびそのURLへのアクセスが試みられ
る。
By going through the loop of S561 to S564, if there is a site corresponding to the randomly generated URL, YES is determined in S654 and the process proceeds to S655, where the site to be accessed is It is determined whether or not it is within a preset access allowable range. The user, for example, R
An allowable range in which access may be made to the user agent stored in the P IC terminal 19R is input and set. For example, enter and set the access allowable range, such as allowing sites other than sex business related sites. In S655, the user agent stored in the RP IC terminal 19R connected to the browser phone 30 is checked to see if the site to be accessed is within the preset allowable access range. Perform inquiry processing. If it is not within the access allowable range, the control returns to S651 again, and the generation of the URL by the random number and the access to the URL are tried again.

【0241】S655によりアクセス許容範囲内である
と判断された場合には、制御がS662へ進み、RP用
IC端末19Rからクッキーを呼出して、そのクッキー
とともにサイトへアクセスする処理がなされる。
If it is determined in S655 that the access is within the allowable access range, the control advances to S662, in which the RP IC terminal 19R calls a cookie to access the site together with the cookie.

【0242】次に制御がS656へ進み、そのサイトに
アクセスするとともにそのサイト内でランダムに行動
し、かつ、極力RPの住所,氏名および偽の嗜好情報等
をそのサイト側に提供する処理がなされる。この処理
は、ブラウザフォン30に接続されているRP用IC端
末19R内のユーザエージェントと協働で行なわれる。
次に制御がS660へ進み、サイト側からクッキーの送
信があったか否かの判断がなされる。ない場合にはS6
57へ制御が進むが、あった場合にはS661へ制御が
進み、その送信されてきたクッキーをRP用IC端末1
9Rに記憶させる処理がなされた後S657へ進む。
Next, the control advances to S656, where the site is accessed and at the same time randomly acted, and the address, name and fake preference information of the RP are provided to the site as much as possible. It This processing is performed in cooperation with the user agent in the RP IC terminal 19R connected to the browser phone 30.
Next, the control advances to S660, and it is judged whether or not the cookie has been transmitted from the site side. If not, S6
The control advances to 57, but if there is, the control advances to S661, and the transmitted cookie is sent to the RP IC terminal 1
After the processing of storing in 9R is performed, the process proceeds to S657.

【0243】次にS657により、そのサイトのアクセ
スを終了させる処理がなされ、S658により、所定時
間経過したか否かの判断がなされ、未だ所定時間経過し
ていない場合には再びS651へ戻るが、所定時間経過
したと判断された場合にはこのサブルーチンプログラム
が終了する。
Next, in S657, a process for terminating the access to the site is performed, and in S658, it is determined whether or not the predetermined time has elapsed. If the predetermined time has not yet elapsed, the process returns to S651 again. If it is determined that the predetermined time has elapsed, this subroutine program ends.

【0244】図37(a)を参照し、VP用IC端末1
9Vは、S253により、暗証番号チェック処理を行な
う。次にS254へ進み、クッキー処理を行なう。次に
S255へ進み、本人証明処理を行なう。次にS256
へ進み、データ入力処理を行なう。次にS257へ進
み、ユーザエージェント動作処理を行なう。次にS25
8へ進み、リロード金額の使用処理を行なう。次にS2
59へ進み、署名処理を行なう。次にS615により、
トラップ型VP処理がなされる。この処理は、図41に
基づいて後述する。
Referring to FIG. 37 (a), the VP IC terminal 1
The 9V performs the personal identification number check processing in S253. Next, proceeding to S254, cookie processing is performed. Next, the process proceeds to S255, and identity verification processing is performed. Then S256
Proceed to and perform data input processing. Next, proceeding to S257, user agent operation processing is performed. Then S25
Proceed to step 8 to perform the reload amount usage process. Then S2
Proceed to 59 to perform signature processing. Next, in S615,
Trap type VP processing is performed. This process will be described later with reference to FIG.

【0245】図37(b)を参照して、RP用IC端末
19Rは、S260により、暗証番号チェック処理を行
ない、S262により、本人証明処理を行ない、S26
3により、データ入力処理を行ない、S264により、
ユーザエージェント動作処理を行ない、S265によ
り、リロード金額の使用処理を行なう。次にS266へ
進み、署名処理を行なう。
Referring to FIG. 37 (b), the RP IC terminal 19R carries out a personal identification number checking process in S260, an identity verification process in S262, and S26.
The data input processing is performed by 3, and by S264,
A user agent operation process is performed, and a reload amount use process is performed in S265. Next, in S266, signature processing is performed.

【0246】図38(a)は、S253,S260に示
された暗証番号チェック処理のサブルーチンプログラム
を示すフローチャートである。S268により、暗証番
号が入力されたか否かの判断がなされ、入力されていな
い場合にはこのままサブルーチンプログラムが終了す
る。一方、暗証番号が入力されれば、S269へ進み、
入力された暗証番号を記憶している暗証番号と照合する
処理がなされる。次にS270へ進み、照合の結果一致
するか否かの判断がなされ、一致しない場合にはS27
1へ進み、不適正な旨をブラウザフォン30へ送信する
処理がなされる。一方、一致する場合にはS272へ進
み、適正な旨の返信を行なう。
FIG. 38 (a) is a flow chart showing a subroutine program of the personal identification number check processing shown in S253 and S260. In S268, it is determined whether or not the personal identification number has been input. If the personal identification number has not been input, the subroutine program ends as it is. On the other hand, if the personal identification number is input, the process proceeds to S269,
A process of collating the input personal identification number with the stored personal identification number is performed. Next, in S270, it is determined whether or not they match as a result of the collation, and if they do not match, S27.
The process proceeds to 1 and a process of transmitting an improper effect to the browser phone 30 is performed. On the other hand, if they match, the process proceeds to S272 and a reply to the effect is sent.

【0247】図38(b)は、S254に示されたクッ
キー処理(VP用)のサブルーチンプログラムを示すフ
ローチャートである。S275により、クッキーの入力
があるか否かの判断がなされる。ブラウザフォン30に
VP用IC端末19Vが接続された時点で、そのブラウ
ザフォン30にクッキーの記録があった場合には、前述
したように、その記録されているクッキーデータがVP
用IC端末19Vへ伝送される(S118参照)。ま
た、ブラウザフォン30によりサイトへアクセスしてそ
のサイトからクッキーが送信されてきた場合にも、その
送信されてきたクッキーデータをVP用IC端末19V
へ伝送する(S123参照)。VP用IC端末19Vで
は、S118やS123によってクッキーが伝送されて
くれば、S275によりYESの判断がなされてS27
6へ進み、その入力されたクッキーデータをVP氏名に
対応するクッキー記憶領域に記憶する処理を行なう。
FIG. 38B is a flow chart showing a subroutine program of the cookie processing (for VP) shown in S254. Through S275, it is determined whether or not there is a cookie input. If a cookie is recorded in the browser phone 30 at the time when the IC terminal 19V for the VP is connected to the browser phone 30, as described above, the recorded cookie data is the VP data.
It is transmitted to the IC terminal 19V for use (see S118). Further, even when a site is accessed by the browser phone 30 and a cookie is transmitted from the site, the transmitted cookie data is used as the VP IC terminal 19V.
(S123). In the IC terminal 19V for the VP, if the cookie is transmitted in S118 and S123, a YES determination is made in S275 and S27.
In step 6, the input cookie data is stored in the cookie storage area corresponding to the VP name.

【0248】一方、S275によりNOの判断がなされ
た場合には、S277へ進み、クッキーの呼出があるか
否かの判断がなされる。ブラウザフォン30によりサイ
トへアクセスする場合には、VP用IC端末19Vから
クッキーを呼出し、そのクッキーとともにサイトへアク
セスする(S121参照)。そのクッキーの呼出処理が
行なわれれば、S277によりYESの判断がなされて
S278へ進み、VP氏名に対応するクッキー記憶領域
に記憶しているクッキーデータと必要に応じてトラップ
型VP氏名とをブラウザフォン30に出力する処理がな
される。
On the other hand, if NO in S275, the process advances to S277 to determine whether or not a cookie is called. When accessing the site using the browser phone 30, the VP IC terminal 19V calls a cookie and accesses the site together with the cookie (see S121). If the cookie calling process is performed, YES is determined in S277 and the process proceeds to S278, in which the cookie data stored in the cookie storage area corresponding to the VP name and the trap type VP name are stored in the browser phone. Processing for outputting to 30 is performed.

【0249】図38(c)は、S255に示された本人
証明処理(VP用)のサブルーチンプログラムを示すフ
ローチャートである。S280により、乱数Rの入力が
あったか否かの判断がなされ、ない場合にはこのサブル
ーチンプログラムが終了する。乱数Rの入力があった場
合にS281へ進み、VP出生依頼時であるか否かの判
断がなされる。VP出生依頼時の場合には、S6,S1
51で説明したように、RPの認証鍵KNを用いてRP
が正当な本人であることを証明する必要がある。そのた
めに、VP出生依頼時の場合にはS283進み、入力さ
れた乱数RをRPの認証鍵KNで暗号化してIを生成す
る処理すなわちI=EKN(R)の算出処理を行なう。そ
して、と284により、その算出されたIをブラウザフ
ォン30へ出力する処理がなされる。
FIG. 38C is a flow chart showing a subroutine program of the personal identification processing (for VP) shown in S255. In S280, it is determined whether or not the random number R is input, and if not, this subroutine program ends. When the random number R is input, the process proceeds to S281, and it is determined whether or not it is a VP birth request. In case of VP birth request, S6, S1
As described in 51, the RP is authenticated using the RP authentication key KN.
Need to prove that he is a legitimate person. Therefore, in the case of a VP birth request, the process proceeds to S283, and a process of encrypting the input random number R with the authentication key KN of RP to generate I, that is, a process of calculating I = EKN (R). Then, according to steps 284 and 284, the calculated I is output to the browser phone 30.

【0250】一方、VP出生依頼時でない場合には、S
281によりNOの判断がなされてS282へ進み、V
Pは正当な本人であることを証明するべく、VPの秘密
鍵KSを用いて入力された乱数Rを暗号化してIを算出
する処理、すなわち、I=E SK(R)を算出する処理を
行なう。そしてS248により、その算出されたIをブ
ラウザフォン30へ出力する処理がなされる。
On the other hand, if it is not the time for the VP birth request, S
If NO is determined by 281, the process proceeds to S282, and V
Secret of VP to prove that P is a legitimate person
Calculating I by encrypting the random number R input using the key KS
Processing, that is, I = E SKThe process of calculating (R)
To do. Then, in S248, the calculated I is blocked.
The process of outputting to the rousaphone 30 is performed.

【0251】図38(d)は、S262に示された本人
証明処理(RP用)のサブルーチンプログラムを示すフ
ローチャートである。S287により、乱数Rが入力さ
れたか否かの判断がなされ、入力されていなければこの
サブルーチンプログラムが終了する。一方、入力された
場合には、制御がS288へ進み、RP用IC端末19
Rに記憶されている認証鍵KNを用いて入力されたRを
暗号化してIを算出する処理、すなわち、I=E
KN(R)の算出処理が行なわれる。次にS289へ進
み、その算出されたIをブラウザフォン30へ出力する
処理がなされる。
FIG. 38D is a flow chart showing a subroutine program of the personal identification processing (for RP) shown in S262. In S287, it is determined whether or not the random number R is input, and if it is not input, this subroutine program ends. On the other hand, if it is input, the control proceeds to S288, and the RP IC terminal 19
A process of encrypting R input using the authentication key KN stored in R to calculate I, that is, I = E
KN (R) calculation processing is performed. Next, the process proceeds to S289, and the process of outputting the calculated I to the browser phone 30 is performed.

【0252】図39(a)は、S256,S263に示
されたデータ入力処理のサブルーチンプログラムを示す
フローチャートである。S293により、データ入力が
あったか否かの判断がなされる。入力されるデータとし
ては、前述したように、VP管理サーバ9によって誕生
したVPに関するデータが記録されているCD−ROM
の記録データ、ユーザエージェントの知識データ(S1
79,S189参照)、引落し額G(S181,S19
1参照)等がある。これらのデータが入力されれば、制
御がS294へ進み、入力データに対応する記憶領域に
入力データを記憶させる処理がなされる。
FIG. 39 (a) is a flow chart showing a subroutine program of the data input processing shown in S256 and S263. Through S293, it is determined whether or not data has been input. As the input data, as described above, the CD-ROM in which the data regarding the VP created by the VP management server 9 is recorded.
Record data, user agent knowledge data (S1
79, S189), withdrawal amount G (S181, S19
1)) etc. When these data are input, the control proceeds to S294, and the process of storing the input data in the storage area corresponding to the input data is performed.

【0253】図39(b)は、S257,S264に示
されたユーザエージェント動作処理のサブルーチンプロ
グラムを示すフローチャートである。S295により、
公開鍵出力要求があったか否かの判断がなされる。公開
鍵の出力要求があった場合には、S298に進み、記憶
している公開鍵KPを出力する処理がなされる。S29
5によりNOの判断がなされた場合にS296へ進み、
デビットカード情報の出力要求があったか否かの判断が
なされる。あった場合にはS299へ進み、記憶してい
るデビットカード情報を出力する処理がなされる。
FIG. 39B is a flow chart showing a subroutine program of the user agent operation processing shown in S257 and S264. By S295
It is determined whether or not there is a public key output request. If there is a request to output the public key, the process proceeds to S298 and the stored public key KP is output. S29
If NO is determined in 5, the process proceeds to S296,
It is judged whether or not there is an output request for debit card information. If so, the process proceeds to S299, and the process of outputting the stored debit card information is performed.

【0254】S296によりNOの判断がなされた場合
にはS297へ進み、クレジットカード情報の出力要求
があったか否かの判断がなされる。あった場合にはS3
00へ進み、記憶しているクレジットカード情報を出力
する処理がなされる。次にS301へ進み、その他の動
作処理が行なわれる。このその他の動作処理は、図40
に基づいて後述する。
[0254] If NO is determined in S296, the flow proceeds to S297, in which it is determined whether or not there is an output request for credit card information. If so, S3
The process proceeds to 00 to output the stored credit card information. Next, in S301, other operation processing is performed. This other operation processing is shown in FIG.
It will be described later based on.

【0255】図39(c)は、S258,S265に示
されたリロード金額の使用処理のサブルーチンプログラ
ムを示すフローチャートである。S302により、引落
し額Gの引落し要求があったか否かの判断がなされ、な
い場合にはこのサブルーチンプログラムが終了する。あ
った場合には、S303へ進み、記憶しているリロード
金額がGを減算する処理がなされ、S304へ進み、引
落し完了信号を返信する処理がなされる。
FIG. 39C is a flow chart showing a subroutine program of the processing for using the reload amount shown in S258 and S265. In S302, it is determined whether or not there is a request for withdrawal of the withdrawal amount G, and if not, this subroutine program ends. If there is, the process proceeds to S303 where the stored reload amount is subtracted from G, and the process proceeds to S304 where a withdrawal completion signal is returned.

【0256】図39(d)は、S259,S266によ
り示された署名処理のサブルーチンプログラムを示すフ
ローチャートである。S370により、メッセージダイ
ジェストMDの入力があったか否かの判断がなされ、な
い場合にはこのサブルーチンプログラムが終了する。一
方、S244等によってMDがIC端末へ伝送されてく
れば、S370によりYESの判断がなされS371へ
進み、その入力されたメッセージダイジェストMDを秘
密鍵KSで復号化して電子署名を生成する処理がなされ
る。次にS372へ進み、その電子署名DKS(MD)を
出力する処理がなされる。
FIG. 39 (d) is a flowchart showing a subroutine program of the signature processing shown in S259 and S266. In S370, it is determined whether or not the message digest MD is input, and if not, this subroutine program ends. On the other hand, if the MD is transmitted to the IC terminal in S244 or the like, a YES determination is made in S370, the process proceeds to S371, and a process of decrypting the input message digest MD with the secret key KS to generate an electronic signature is performed. It Next, in S372, processing for outputting the electronic signature DKS (MD) is performed.

【0257】図39(e)は、S259により示された
VP署名処理のサブルーチンプログラムを示すフローチ
ャートである。S999により、メッセージダイジェス
トMDとVP氏名との入力がブラウザフォン30からあ
ったか否かの判断がなされ、ない場合にはこのサブルー
チンプログラムが終了する。
FIG. 39 (e) is a flow chart showing a subroutine program of the VP signature processing shown in S259. In S999, it is determined whether or not the message digest MD and the VP name are input from the browser phone 30, and if there is no input, this subroutine program ends.

【0258】MDとVP氏名との入力があった場合には
制御がS998へ進み、その入力されたVP氏名から秘
密鍵(KS)を生成する処理がなされる。具体的には、
VP用IC端末19Vは、入力されたVP氏名に基づい
てクッキーデータ記憶領域を検索してその入力されたV
P氏名が本名B13P(図11参照)を何回暗号化した
ものであるかを割出す。その割出された暗号化回数だけ
VPの秘密鍵をVPの秘密鍵で暗号化して秘密鍵(K
S)を生成する。
When the MD and the VP name are input, the control advances to S998, where the secret key (KS) is generated from the input VP name. In particular,
The IC terminal 19V for VP searches the cookie data storage area based on the input VP name, and inputs the V
Determine how many times P's name is the real name B13P (see FIG. 11) encrypted. The private key of VP is encrypted with the private key of VP by the number of times of the calculated encryption, and the private key (K
S) is generated.

【0259】次に制御がS997へ進み、その秘密鍵
(KS)を用いてメッセージダイジェストMDを復号化
して二重署名を生成する処理がなされる。次に制御がS
998へ進み、その二重署名D(KS)(MD)をブラウザ
フォン30へ出力する処理がなされる。
Next, the control advances to S997, where a process of decrypting the message digest MD using the secret key (KS) to generate a double signature is performed. Then control is S
Proceeding to 998, processing for outputting the double signature D (KS) (MD) to the browser phone 30 is performed.

【0260】図40は、S301に記載されたその他の
動作処理のサブルーチンプログラムを示すフローチャー
トである。S305により、個人情報の送信要求を受け
た否かの判断がなされる。この個人情報とは、図10に
示されたユーザエージェント用知識データのことであ
り、たとえば年齢や職業や各種嗜好情報や家族構成等の
個人情報のことである。なお、VPの住所、氏名、Eメ
ールアドレスに関しては、S700,S701で処理す
る。ユーザが加盟店6やライフ支援センター8やその他
各種サイトにアクセスした場合に、サイト側から個人情
報を要求される場合がある。個人情報の要求を受けた場
合には、制御がS306へ進み、プライバシーポリシー
を受信したか否かの判断がなされる。サイト側が、個人
情報を要求する場合には、その個人情報の収集目的や利
用範囲等を明示したプライバシーポリシーをユーザ側に
送信する。そのプライバシーポリシーを受信すれば、制
御がS307へ進み、個人情報を送信して良いか否かの
判断がなされる。
FIG. 40 is a flow chart showing a subroutine program of other operation processing described in S301. Through S305, it is determined whether or not a request for transmitting personal information has been received. This personal information is the user agent knowledge data shown in FIG. 10, and is, for example, personal information such as age, occupation, various preference information, and family structure. The address, name, and email address of the VP are processed in S700 and S701. When the user accesses the member store 6, the life support center 8 or other various sites, the site may request personal information. When the request for the personal information is received, the control proceeds to S306, and it is determined whether or not the privacy policy is received. When the site requests personal information, it sends the user a privacy policy that clearly indicates the purpose of collecting the personal information and the scope of use. If the privacy policy is received, the control advances to S307, and it is determined whether or not the personal information may be transmitted.

【0261】この判断は、予めユーザがIC端末19R
または19Vに、どのような場合に個人情報を送信して
良いか否かを入力設定し、その入力設定データに基づい
て判断がなされる。送信要求対象となる個人情報の種類
やプライバシーポリシーの内容に基づいて、S307に
よりYESの判断がなされた場合には、S310へ進
み、プライバシーポリシーと個人情報とをまとめてIC
端末19Rまた19Vの秘密鍵KSにより復号化して電
子署名を生成する処理がなされる。次にS310へ進
み、要求されている個人情報と電子署名とをサイト側に
送信する処理がなされる。
This judgment is made by the user in advance by the IC terminal 19R.
Alternatively, 19 V is set by inputting in what case personal information may be transmitted, and a determination is made based on the input setting data. If YES is determined in S307 based on the type of personal information to be requested for transmission and the content of the privacy policy, the process proceeds to S310, where the privacy policy and the personal information are combined into an IC.
A process of decrypting with the secret key KS of the terminal 19R or 19V to generate an electronic signature is performed. Next, the processing proceeds to S310, in which the requested personal information and electronic signature are transmitted to the site side.

【0262】次に制御がS313へ進み、個人情報の送
信要求を送信してきたサイトの種類に応じてVPの性格
を変化させる処理がなされる。VP用IC端末19Vに
は、ユーザエージェントとしてのプログラムが記憶され
ているとともに、ユーザがアクセスするサイトの種類に
応じてVPの性格を変化させるという、ゲームソフトの
分野でよく用いられているプログラムが記憶されてい
る。たとえば、ユーザがVPとして学術的なサイトに頻
繁にアクセスした場合には、VPの性格が理知的で学者
肌の性格となる。一方、ユーザが風俗関係のサイトに頻
繁にアクセスした場合には、VPの性格が、ふしだらで
ブロークンな性格となる。
Next, the control advances to S313, and a process of changing the character of the VP according to the type of the site which has transmitted the personal information transmission request is performed. A program used as a user agent is stored in the VP IC terminal 19V, and a program that is often used in the field of game software that changes the character of the VP according to the type of site accessed by the user. Remembered For example, when a user frequently accesses an academic site as a VP, the personality of the VP becomes a scholarly personality. On the other hand, when a user frequently accesses a site related to sex, the personality of the VP becomes a slutty and broken personality.

【0263】S307によりNOの判断がなされた場合
には、S308へ進み、要求されている個人情報が出力
できないか否かの判断がなされ、出力できないと判断さ
れた場合にはS311へ進み、送信拒絶の旨をサイトに
送信する処理がなされた後S313へ進む。
If NO in S307, the process proceeds to S308, and it is determined whether the requested personal information cannot be output. If it is determined that the personal information cannot be output, the process proceeds to S311 and the transmission. After the processing of transmitting the refusal to the site is performed, the process proceeds to S313.

【0264】IC端末19Rおよび19Vに記憶されて
いるユーザエージェントでは、送信できるかまたは送信
できないかの判断がつかない場合には、制御がS309
へ進み、出力要求を受けた個人情報とプライバシーポリ
シーとをブラウザフォン30のディスプレイに出力し
て、ユーザ自身に送信の許否を求める処理がなされる。
それを見たユーザは、送信して良いか否かをキーボード
から入力する。送信して良い旨の入力があった場合には
S312によりYESの判断がなされてS310へ進む
が、送信してはならない入力があった場合には、S31
2によりNOの判断がなされてS311へ進む。
If the user agent stored in the IC terminals 19R and 19V cannot judge whether the transmission is possible or not, the control is S309.
Then, the processing is performed in which the personal information and the privacy policy for which the output request is received are output to the display of the browser phone 30 and the user himself or herself is asked for permission to transmit.
The user who sees it inputs from the keyboard whether or not to send. If there is an input to the effect that the data may be transmitted, a YES determination is made in S312 and the process proceeds to S310, but if there is an input that should not be transmitted, S31 is executed.
If NO is determined in step 2, the process proceeds to step S311.

【0265】S305によりNOの判断がなされた場合
には、S314へ進み、ユーザであるRPから会話要求
があったか否かの判断がなされる。ユーザが、VP(V
Pのユーザエージェント)と会話がしたい場合には、会
話を要求する旨の操作をキーボードから入力する。する
と、S314によりYESの判断がなされてS314a
へ進み、VPの現在の正確を反映させながら会話をする
ことが可能となる。
[0265] If the determination is NO in S305, the flow advances to S314 to determine whether or not there is a conversation request from the RP who is the user. The user selects VP (V
If the user wants to have a conversation with the P user agent), he / she inputs an operation for requesting the conversation from the keyboard. Then, YES is determined in S314 and S314a is set.
Then, it becomes possible to have a conversation while reflecting the current accuracy of the VP.

【0266】図41は、S615により示されたトラッ
プ型VP処理のサブルーチンプログラムを示すフローチ
ャートである。S620により、新たなトラップ型VP
の生成要求があったか否かの判断がなされ、ない場合に
はS623へ進み、トラップ型VPが使用済みであるか
否かの問合せがあったか否かの判断がなされ、ない場合
にはこのサブルーチンプログラムが終了する。
FIG. 41 is a flow chart showing a subroutine program of the trap type VP processing shown in S615. New trap type VP by S620
It is judged whether or not there is a request for generation of No., and if not, the process proceeds to S623, and it is judged whether or not there is an inquiry as to whether or not the trap type VP has been used. finish.

【0267】ブラウザフォン30がS598に従ってV
P用IC端末19Vに新たなトラップ型VPの生成要求
を出した場合には、S620によりYESの判断がなさ
れて制御がS621へ進む。S621では、VP用IC
端末19Vのクッキーデータ領域の最後のVP氏名の暗
号回数nを「1」加算して、VPの本名をn+1回秘密
鍵で暗号化して新たなトラップ型VP氏名を生成する処
理がなされる。たとえば図11の場合には、クッキーデ
ータ領域の最後のVP氏名E3(B13P)の暗号回数
が3回であり、これに「1」加算して暗号回数4にし、
VPの本名B13Pを4回暗号化して新たなトラップ型
VP氏名E4(B13P)を生成する処理がなされる。
The browser phone 30 outputs V according to S598.
When a new trap type VP generation request is issued to the P IC terminal 19V, YES is determined in S620 and control proceeds to S621. In S621, IC for VP
A process of adding "1" to the encryption count n of the last VP name in the cookie data area of the terminal 19V and encrypting the real name of the VP with the secret key n + 1 times to generate a new trap type VP name is performed. For example, in the case of FIG. 11, the last VP name E 3 (B13P) in the cookie data area has the number of encryptions of 3 times, and “1” is added to this to make the number of encryptions 4
The real name B13P of the VP is encrypted four times to generate a new trap type VP name E 4 (B13P).

【0268】次にS622へ進み、その生成されたトラ
ップ型VPを、ブラウザフォン30へ出力するととも
に、クッキーデータ領域における最後のVP氏名の次の
空き領域に記憶させる処理がなされる。
Next, in S622, the generated trap type VP is output to the browser phone 30 and stored in an empty area next to the last VP name in the cookie data area.

【0269】S590に従ってブラウザフォン30がV
P用IC端末19Vに対し今アクセスしようとしている
サイトにトラップ型VPが既に使用されているか否かの
問合せを行なった場合には、S623によりYESの判
断がなされて制御がS624へ進む。この問合せの際に
はブラウザフォン30はVP用IC端末19Vに対し、
今アクセスしようとしているサイト名も併せて伝送す
る。S624では、クッキーデータ領域(図11参照)
を検索する処理がなされる。制御がS625へ進み、伝
送されてきたサイト名に対しトラップ型VP氏名が使用
済みであるか否かの判断がなされる。たとえばブラウザ
フォン30から伝送されてきたサイト名がMECであっ
た場合には、図11を参照して、トラップ型VP氏名E
2(B13P)が使用済みであることがわかる。
In accordance with S590, the browser phone 30 outputs V
If an inquiry is made to the P IC terminal 19V as to whether or not the site to be accessed is already using the trap type VP, a YES determination is made in S623 and control proceeds to S624. When making this inquiry, the browser phone 30 asks the IC terminal 19V for VP to
The name of the site you are trying to access is also transmitted. In S624, the cookie data area (see FIG. 11)
Is performed. The control advances to S625, and it is determined whether the trap type VP name has been used for the transmitted site name. For example, when the site name transmitted from the browser phone 30 is MEC, referring to FIG. 11, the trap type VP name E
It can be seen that 2 (B13P) has been used.

【0270】トラップ型VP氏名が使用済みであると判
断された場合には制御がS626へ進み、使用済みであ
る旨をブラウザフォン30へ出力するとともに、S62
7により、使用されているトラップ型VPとそれに対応
するクッキーデータとをブラウザフォン30へ出力する
処理がなされる。たとえば、図11の場合には、伝送さ
れてきたサイト名がMECであった場合には、トラップ
型VPとしてE2(B13P)がブラウザフォン30へ
出力されるとともに、クッキーデータmecがブラウザ
フォン30へ出力される。
When it is determined that the trap type VP name has been used, the control advances to S626, where the fact that it has been used is output to the browser phone 30, and S62
7, the process of outputting the trap type VP used and the corresponding cookie data to the browser phone 30 is performed. For example, in the case of FIG. 11, when the transmitted site name is MEC, E 2 (B13P) is output to the browser phone 30 as the trap type VP, and the cookie data mec is displayed in the browser phone 30. Is output to.

【0271】図11のクッキーデータ領域を検索した結
果、ブラウザフォン30から伝送されてきたサイト名に
対しトラップ型VPが未だ使用されていない場合にはS
625によりNOの判断がなされて制御がS628へ進
み、未使用の旨をブラウザフォン30へ出力する処理が
なされる。
As a result of searching the cookie data area in FIG. 11, if the trap type VP is not yet used for the site name transmitted from the browser phone 30, S
A NO determination is made by 625, the control advances to S628, and a processing of outputting the unused state to the browser phone 30 is performed.

【0272】図42,図43は、コンビニエンスストア
2のサーバ16の処理動作を説明するためのフローチャ
ートである。S315により、VPの氏名,Eメールア
ドレス,金融機関の名称を受信したか否かの判断がなさ
れ、受信していない場合にS316へ進み、VPが購入
した商品を預かったか否かの判断がなされ、預かってい
ない場合にS317へ進み、商品の引取り操作があった
か否かの判断がなされ、ない場合にはS318へ進み、
その他の処理を行なった後S315へ戻る。
42 and 43 are flowcharts for explaining the processing operation of the server 16 of the convenience store 2. By S315, it is judged whether the name, e-mail address, or name of the financial institution of the VP is received. If not received, the process proceeds to S316, and it is judged whether the VP has deposited the purchased product. If it is not kept, the process proceeds to S317, and it is determined whether or not there is an operation for picking up the merchandise. If not, the process proceeds to S318.
After performing other processing, the process returns to S315.

【0273】このS315〜S318のループの巡回途
中で、決済サーバ10が誕生したVPの氏名,Eメール
アドレス,当該金融機関の名称をコンビニエンスストア
2へ送信した場合には(S18参照)、S315により
YESの判断がなされてS319へ進み、正当機関チェ
ック処理がなされた後、S320へ進む。
When the settlement server 10 sends the name of the VP, the e-mail address, and the name of the financial institution to the convenience store 2 during the circulation of the loop of S315 to S318 (see S18), the process proceeds to S315. If YES is determined and the process proceeds to S319, the legal institution check process is performed, and then the process proceeds to S320.

【0274】S320では、R=DKP(L)であるか否
かの判断がなされ、正当機関でない場合にはNOの判断
がなされてS321へ進み、正当機関でない旨の警告表
示がなされる。一方、正当機関である場合にはS320
によりYESの判断がなされてS322へ進み、受信デ
ータをデータベース17へ登録する処理がなされる。
In S320, it is determined whether or not R = D KP (L), and if it is not a legal institution, a NO determination is made and the process proceeds to S321, and a warning display indicating that it is not a legal institution is displayed. On the other hand, if it is a legitimate institution, S320
Thus, a YES determination is made, the process proceeds to S322, and the process of registering the received data in the database 17 is performed.

【0275】ユーザがVPとしてたとえば電子ショッピ
ング等を行なってそのVPの住所であるコンビニエンス
ストア2に購入商品が配達されてコンビニエンスストア
2がその商品を預かった場合には、S316によりYE
Sの判断がなされてS316aへ進み、該当するVPの
商品預かり情報のアドレス領域に商品を預かった旨の情
報を記憶させる処理がなされる。その際に、当該商品の
決済が済んでいるか否かの情報も併せて記憶させる。次
に制御がS323へ進み、当該VPのEメールアドレス
を割出し、そのEメールアドレスへ商品を預かった旨の
メールを送信する処理がなされる。VPは、そのEメー
ルを見ることにより、コンビニエンスストアに購入商品
が配達されたことを知ることができ、その商品を引取る
ためにそのコンビニエンスストアに出向く。
[0275] If the user performs, for example, electronic shopping as the VP, the purchased product is delivered to the convenience store 2 which is the address of the VP, and the convenience store 2 deposits the product, the result of S316 is YE.
When the determination of S is made, the process proceeds to S316a, and a process of storing the information indicating that the product is stored in the address area of the product storage information of the corresponding VP is performed. At that time, information on whether or not the product has been settled is also stored. Next, the control advances to S323, where the e-mail address of the VP is indexed, and the e-mail address indicating that the merchandise has been deposited is transmitted to the e-mail address. By seeing the email, the VP can know that the purchased product has been delivered to the convenience store, and goes to the convenience store to pick up the product.

【0276】ユーザがVPとしてコンビニエンスストア
2に出向き、配達された商品を引取るための操作を行な
えば、S317によりYESの判断がなされる。そして
制御がS324へ進み、VP用IC端末19Vの差込指
示が表示される。それを見たユーザは、自己のVP用I
C端末19Vを端末73のUSBポートへ差込んで接続
する。すると、S325によりYESの判断がなされて
S326へ進み、暗証番号チェック処理がなされる。ユ
ーザは、端末73に設けられているキーボードからVP
用の暗証番号を入力する。暗証番号が一致して適正であ
ることを条件として、制御がS327へ進み、接続され
ているVP用IC端末19VからVP用の氏名を呼出し
てそれに基づいてデータベース17を検索する処理がな
される。そして、該当するVPの商品預かり情報のアド
レス領域に、商品預かり情報が記録されているか否かの
判断がS328によりなされる。商品預かり情報がなけ
ればS329へ進み、預かり商品がない旨が表示され
る。一方、商品預かり情報がある場合にはS330へ進
み、電子証明書の出力要求がVP用IC端末19Vに対
しなされる。VP用IC端末19Vは、それを受けて、
記憶している電子証明書をサーバ16に出力する。する
と、S331によりYESの判断がなされてS332へ
進み、出力されてきた電子証明書内の公開鍵KPを読出
し、S333により、本人チェック処理がなされる。
[0276] If the user goes to the convenience store 2 as a VP and performs an operation for picking up the delivered merchandise, a YES determination is made in S317. Then, the control advances to S324, and the insertion instruction of the VP IC terminal 19V is displayed. The user who sees it sees that his own VP I
The C terminal 19V is connected to the USB port of the terminal 73 by inserting it. Then, the determination of YES is made in S325, the process proceeds to S326, and the personal identification number checking process is performed. The user uses the keyboard provided on the terminal 73 to VP
Enter the security code. On the condition that the personal identification numbers match and are correct, the control advances to S327, and the processing for calling the VP name from the connected VP IC terminal 19V and searching the database 17 based on the VP name is performed. Then, it is judged in S328 whether or not the product deposit information is recorded in the address region of the product deposit information of the corresponding VP. If there is no merchandise deposit information, the process proceeds to S329, and it is displayed that there is no merchandise deposit. On the other hand, if there is merchandise deposit information, the process proceeds to S330, and an output request for an electronic certificate is made to the IC terminal 19V for VP. The VP IC terminal 19V receives it and
The stored electronic certificate is output to the server 16. Then, the determination of YES is made in S331, the process proceeds to S332, the public key KP in the output digital certificate is read, and the identity check process is performed in S333.

【0277】差込まれているVP用IC端末19Vは、
前述したように、VP本名に対する電子証明書は格納し
ているものの、トラップ型VPに対する電子証明書は格
納しておらず、そのトラップ型VPに対する電子証明書
はXMLストア50に格納されている。VP本名を用い
て電子ショッピング等を行なってその購入商品がコンビ
ニエンスストア2へ届けられた場合には、S327に従
って呼出されたVP氏名はVPの本名となる。その場合
には、S330の要求に従ってVP用IC端末19Vは
電子証明書を出力することができる。その場合にS33
1によりYESの判断がなされて制御がS332へ進
む。一方、トラップ型VP氏名を用いて電子ショッピン
グを行ないその購入商品がコンビニエンスストア2へ届
けられた場合には、その商品をトラップ型VPとしてコ
ンビニエンスストア2へ引取りに行くこととなる。その
場合には、S327によってVP用IC端末19Vから
呼出されるVP氏名は、トラップ型VP氏名となる。そ
の結果、そのトラップ型VP氏名に対応する電子証明書
の出力要求がS330からVP用IC端末19Vに対し
出される。その場合には、VP用IC端末19Vは、X
MLストア50から電子証明書を取り寄せる旨の指示を
出力する。
The inserted VP IC terminal 19V is
As described above, the electronic certificate for the VP real name is stored, but the electronic certificate for the trap type VP is not stored, and the electronic certificate for the trap type VP is stored in the XML store 50. When electronic shopping or the like is performed using the VP real name and the purchased product is delivered to the convenience store 2, the VP name called according to S327 becomes the VP real name. In that case, the VP IC terminal 19V can output the electronic certificate in accordance with the request of S330. In that case S33
The determination of YES is made by 1 and the control advances to S332. On the other hand, when electronically shopping is performed using the trap type VP name and the purchased product is delivered to the convenience store 2, the product is taken to the convenience store 2 as a trap type VP. In that case, the VP name called from the VP IC terminal 19V in S327 is the trap type VP name. As a result, an output request for an electronic certificate corresponding to the trap type VP name is issued from S330 to the VP IC terminal 19V. In that case, the IC terminal 19V for VP is X
An instruction to order the electronic certificate from the ML store 50 is output.

【0278】その出力があれば、制御がS631へ進
み、XMLストア50へアクセスして該当する電子証明
書を取り寄せる処理がなされた後制御がS332へ進
む。
If there is the output, the control advances to S631, and after the processing for accessing the XML store 50 to obtain the corresponding electronic certificate is performed, the control advances to S332.

【0279】次にS334へ進み、R=DKP(I)であ
るか否かの判断がなされる。正当でないなりすましのV
Pである場合には、S334によりNOの判断がなされ
てS335へ進み、不適正である旨が表示される。一
方、適正なVPであった場合には、制御がS336へ進
み、預かり商品番号を表示し、S337により、その商
品に関し決済済みであるか否かの判断がなされ、決済済
みの場合にはS339へ進むが、決済済みでない場合に
はS338へ進み、決済処理が行なわれる。
Next, in S334, it is determined whether or not R = D KP (I). Unauthorized spoofing V
If it is P, the determination of NO is made in S334, the process proceeds to S335, and it is displayed that it is improper. On the other hand, if the VP is appropriate, the control proceeds to S336, the stored merchandise number is displayed, and at S337, it is determined whether the merchandise has been settled. If the VP has been settled, S339 is set. However, if the payment has not been completed, the process advances to step S338 to perform a payment process.

【0280】S339では、商品の引渡しが完了したか
否かの判断がなされる。コンビニエンスストア2の店員
は、S336により表示された預かり商品番号を見て、
該当する番号の商品を探し出し、顧客にその商品を引渡
した後、商品引渡し完了操作を行なう。すると、S33
9によりYESの判断がなされてS340へ進み、デー
タベース17の商品預かり情報のアドレス領域を更新
し、商品預かりなしの状態にした後、S315へ戻る。
[0280] In S339, it is determined whether or not the delivery of the merchandise has been completed. The clerk of the convenience store 2 looks at the deposit item number displayed in S336,
After finding the product of the corresponding number and delivering the product to the customer, the product delivery completion operation is performed. Then, S33
The determination result of 9 is YES, the process proceeds to S340, the address area of the product deposit information of the database 17 is updated, and the product is not stored, the process returns to S315.

【0281】S326の暗証番号チェック処理は、図4
3(a)に示されている。S345により、暗証番号の
入力指示が表示され、ユーザが入力すればS347へ進
み、その入力された暗証番号をサーバ16に接続されて
いるVP用IC端末19Vへ伝送し、その暗証番号の適
否の判定結果がVP用IC端末19Vから返送されてく
れば、S349へ進む。S349では、適正な判定結果
か否かが判別され、不適正であればS350により不適
正の表示を行なってS315へ戻るが、適正であればこ
のサブルーチンが終了して、制御がS327へ進む。
The security code check processing of S326 is shown in FIG.
3 (a). At S345, the input instruction of the personal identification number is displayed, and if the user inputs it, the process proceeds to S347, the input personal identification number is transmitted to the IC terminal 19V for the VP connected to the server 16, and whether the personal identification number is proper or not. If the determination result is returned from the IC terminal 19V for VP, the process proceeds to S349. In S349, it is determined whether or not the determination result is proper, and if it is not proper, the improper display is made in S350 and the process returns to S315. If it is proper, this subroutine ends and the control proceeds to S327.

【0282】S333の本人チェック処理は、図43
(b)に示されている。S355により、乱数Rを生成
してVP用IC端末へ伝送する処理がなされ、チャレン
ジデータRに対するレスポンスデータIがVP用IC端
末から返送されてくるまで待機する。Iが返送されてく
れば、このサブルーチンが終了する。
The identity check process of S333 is shown in FIG.
It is shown in (b). By S355, the process of generating the random number R and transmitting it to the IC terminal for VP is performed, and waits until the response data I for the challenge data R is returned from the IC terminal for VP. If I is returned, this subroutine ends.

【0283】S338の決済処理は、図43(c)に示
されている。S359により、預かり商品の価格を表示
する処理がなされ、S360へ進み、入金があるか否か
の判断がなされる。ない場合にはS362へ進み、リロ
ード金額による支払操作があったか否かの判断がなさ
れ、ない場合にはS360へ戻る。そして、ユーザが現
金による支払を行なってコンビニエンスストアの店員が
入金があった旨の操作を行なえば、S360によりYE
Sの判断がなされてS361へ進み、商品販売会社の口
座へ入金処理を行なってこのサブルーチンプログラムが
終了する。
The settlement processing of S338 is shown in FIG. 43 (c). The processing of displaying the price of the deposited merchandise is performed in S359, and the flow proceeds to S360, in which it is determined whether or not there is a deposit. If not, the process proceeds to S362, it is determined whether or not there is a payment operation with the reload amount, and if not, the process returns to S360. Then, if the user pays in cash and the clerk at the convenience store performs an operation to the effect that the deposit has been made, S360 returns YE.
When the determination of S is made, the process proceeds to S361, the deposit process is performed to the account of the merchandise sales company, and this subroutine program ends.

【0284】一方、ユーザがVP用IC端末19に記憶
されているリロード金額を使用して支払操作を行なうべ
くその旨の操作がなされれば、S362によりYESの
判断がなされてS363へ進み、価格Gの引落し要求を
VP用IC端末19Vへ伝送する処理がなされる。そし
てS364へ進み、VP用IC端末19Vから引落し完
了信号が出力されてきたか否かの判断がなされ、出力さ
れてくるまで待機する。そして、引落し完了信号を受信
すれば、S364によりYESの判断がなされてS36
1へ進む。
On the other hand, if the user performs an operation to that effect to make a payment operation using the reload amount stored in the IC terminal 19 for VP, a YES determination is made in S362 and the flow proceeds to S363, where the price is set. Processing for transmitting the G withdrawal request to the VP IC terminal 19V is performed. Then, the processing proceeds to S364, it is determined whether or not the withdrawal completion signal is output from the IC terminal 19V for the VP, and the process waits until it is output. Then, if the withdrawal completion signal is received, the determination of YES is made in S364 and S36.
Go to 1.

【0285】次に、別実施の形態を説明する。この別実
施の形態は、ブラウザフォン30やユーザのパーソナル
コンピュータ等のユーザ側端末およびIC端末19およ
びWebサイトによって、個人情報保護のシステムが完
結する簡易型システムである。前述した実施の形態との
相違は、トラップ型VPのEメールアドレスがVP本名
のEメールアドレスと同じである。よって、トラップ型
VP宛のEメールを金融機関7が転送する必要がない。
またトラップ型VPの氏名は、そのトラップ型VPがア
クセスするサイトの名称を、VP本名に用いられる秘密
鍵で暗号化したものを用いる。トラップ型VPの口座番
号やクレジット番号も、VPが本名として用いる口座番
号,クレジット番号と同じものを用いる。
Next, another embodiment will be described. This another embodiment is a simple system in which the personal information protection system is completed by the user side terminal such as the browser phone 30 and the user's personal computer, the IC terminal 19 and the website. The difference from the above-described embodiment is that the email address of the trap type VP is the same as the email address of the VP real name. Therefore, it is not necessary for the financial institution 7 to transfer the email addressed to the trap type VP.
As the name of the trap type VP, the name of the site accessed by the trap type VP is encrypted with the secret key used for the real name of the VP. As for the account number and credit number of the trap type VP, the same account number and credit number as the real name used by the VP are used.

【0286】図44(a)は、VP用IC端末19Vの
EEPROM26のクッキー記憶領域に格納されている
情報を示す図である。このクッキー記憶領域には、VP
氏名として、VPの本名B13Pのみが記憶され、トラ
ップ型VP氏名は何ら記憶されない。トラップ型VPの
氏名は、トラップ型VPとしてアクセスしたサイトを本
名のVPの秘密鍵KSBで暗号化したものを用いる。こ
の暗号化回数は1回に限らず2回以上の或る定められた
回数であってもよい。よって、トラップ型VPがアクセ
スしたサイト名のみを記憶させることにより、そのサイ
ト名に対応するトラップ型VPの氏名は、わざわざ記憶
させなくとも、EKSB(サイト名)の演算式に従って必
要に応じてその都度算出することができる。トラップ型
VPの秘密鍵は、トラップ型VPに対応するサイト名を
本名のVPの秘密鍵KSBで復号化したものを用いる。
よって、トラップ型VPに対応させて逐一公開鍵や秘密
鍵をVP用IC端末19Vに記憶させる必要はなく、秘
密鍵=DKSB(サイト名)の演算式に従って必要に応じ
てその都度算出することができる。よって、XMLスト
ア50の「暗号回数」の記憶が不要となる。
FIG. 44 (a) is a diagram showing information stored in the cookie storage area of the EEPROM 26 of the VP IC terminal 19V. This cookie storage area contains VP
As the name, only the real name B13P of the VP is stored, and no trap type VP name is stored. The name of the trap type VP is obtained by encrypting the site accessed as the trap type VP with the secret key KSB of the VP of the real name. The number of times of encryption is not limited to once, but may be a predetermined number of times of two or more. Therefore, by storing only the name of the site accessed by the trap-type VP, the name of the trap-type VP corresponding to the site name need not be stored, and according to the operation formula of E KSB (site name), as necessary. It can be calculated each time. The secret key of the trap type VP is obtained by decrypting the site name corresponding to the trap type VP with the secret key KSB of the VP of the real name.
Therefore, it is not necessary to store the public key and the secret key in the IC terminal 19V for the VP in correspondence with the trap type VP, and to calculate each time according to the calculation formula of the secret key = D KSB (site name) as needed. You can Therefore, it is not necessary to store the “cipher count” in the XML store 50.

【0287】図44(b)は、トラップ型VP処理のサ
ブルーチンプログラムを示すフローチャートである。こ
のサブルーチンプログラムは、図41に示したトラップ
型VP処理の別実施の形態である。S960により、新
たなトラップ型VPの生成要求がブラウザフォン30か
らあったか否かの判断がなされ、あった場合には制御が
S959へ進み、アクセスするサイトの名称の入力要求
がブラウザフォン30へ出される。ブラウザフォン30
からアクセスするサイトの名称が伝送されてくれば、制
御がS957へ進み、その伝送されてきたサイト名をV
Pの本名B13Pの秘密鍵KSBで暗号化して、新たな
トラップ型VP氏名であるEKSB(サイト名)を算出す
る処理がなされる。次に制御がS956へ進み、その算
出した新たなトラップ型VP氏名をブラウザフォン30
へ出力する処理がなされ、S954により、入力された
サイト名をクッキー記憶領域に記憶させる処理がなされ
る。
FIG. 44B is a flow chart showing a subroutine program of the trap type VP processing. This subroutine program is another embodiment of the trap type VP processing shown in FIG. In S960, it is determined whether or not there is a request to generate a new trap type VP from the browser phone 30, and if so, the control proceeds to S959, and the browser phone 30 is requested to input the name of the site to be accessed. . Browser phone 30
If the name of the site to be accessed is transmitted from, the control advances to S957, where the transmitted site name is V
A process of encrypting with the private key KSB of the real name B13P of P and calculating E KSB (site name) which is a new trap type VP name is performed. Next, the control advances to S956, and the calculated new trap type VP name is set to the browser phone 30.
Is output, and the input site name is stored in the cookie storage area in S954.

【0288】S953〜S948は、図41に示したS
623〜S628と同じ制御のために、説明の繰返しを
省略する。
S953 to S948 are S shown in FIG.
Since the control is the same as that of S.623-S628, repeated description is omitted.

【0289】図44(c)は、VP用IC端末19Vに
よって行なわれる個人情報流通チェックのサブルーチン
プログラムを示すフローチャートである。S970によ
り、Eメールの受信があったか否かの判断がなされ、な
い場合にはこのサブルーチンプログラムが終了する。ト
ラップ型VP宛のEメールの受信があれば、ブラウザフ
ォン30は、そのEメールデータをVP用IC端末へ入
力する。すると制御がS969へ進み、その入力された
Eメールの宛名をVPの本名に用いられる公開鍵KPB
で復号化するDKPB(宛名)の演算を行ない、その演算
結果がEメールの送信者名と一致するか否かの判断がな
される。
FIG. 44C is a flow chart showing a subroutine program of the personal information distribution check performed by the IC terminal 19V for VP. In S970, it is determined whether or not an e-mail is received, and if not, this subroutine program ends. When the e-mail addressed to the trap type VP is received, the browser phone 30 inputs the e-mail data into the IC terminal for VP. Then, the control advances to S969, where the input e-mail address is the public key KPB used as the real name of the VP.
The calculation of D KPB (address) to be decrypted is carried out, and it is judged whether or not the calculation result matches the sender name of the E-mail.

【0290】Eメールの宛名はトラップ型VP氏名とな
っており、そのトラップ型VP氏名は、そのトラップ型
VPがアクセスしたサイト名をVPの秘密鍵KSBで暗
号化したものを用いている。よって、トラップ型VPが
その氏名を用いてアクセスしたサイトからそのトラップ
型VP宛にEメールが送信された場合には、S969に
よりYESの判断がなされる筈である。その場合には、
S968により、適正である旨がブラウザフォン30へ
出力され、ブラウザフォン30の表示部76によりその
旨が表示される。一方、トラップ型VPがその氏名を用
いてアクセスしたサイト以外のサイトからそのトラップ
型VP氏名をEメールの宛名としてEメールが送信され
てくれば、S969によりNOの判断がなされ、制御が
S967へ進む。S967では、Eメールの宛名を本名
のVPの公開鍵KPBで復号化する処理がなされる。そ
の結果、Eメールの宛名であるトラップ型VP氏名が公
開鍵KPBで復号化されて平文のサイト名が算出される
こととなる。このサイト名は、Eメールの宛名に用いら
れているVP氏名としてアクセスしたサイト名のことで
あり、アクセスしたサイトが個人情報をEメールの送信
者に不正流通したことが考えられる。よって、S967
により、DKPB(宛名)が不正流通し、送信者名の業者
が不正入手した旨をブラウザフォン30へ出力する。ブ
ラウザフォン30では、その旨を表示部76により表示
させる。
The e-mail address is the trap type VP name, and the trap type VP name uses the site name accessed by the trap type VP encrypted with the private key KSB of the VP. Therefore, if an e-mail is sent to the trap type VP from the site accessed by the trap type VP using the name, the determination of YES should be made in S969. In that case,
In step S968, the fact that it is appropriate is output to the browser phone 30, and the display unit 76 of the browser phone 30 displays the fact. On the other hand, if an e-mail is sent from a site other than the site accessed by the trap type VP using the name, with the trap type VP name as the e-mail address, a negative determination is made in S969 and control is passed to S967. move on. In S967, the processing of decrypting the e-mail address with the public key KPB of the VP having the real name is performed. As a result, the trap type VP name, which is the address of the email, is decrypted with the public key KPB, and the plaintext site name is calculated. This site name is the name of the site accessed as the VP name used for the email address, and it is conceivable that the accessed site illegally distributed personal information to the sender of the email. Therefore, S967
As a result, D KPB (address) is illegally distributed, and the fact that the sender of the sender name is illegally obtained is output to the browser phone 30. In the browser phone 30, the display unit 76 displays that effect.

【0291】なお、S969によりNOの判断がなされ
た場合に、前述した図17のS494とS494aとの
処理を行なった後、S494aによりNOの判断がなさ
れた場合にのみS967へ進むようにしてもよい。
When the determination of NO is made in S969, the processes of S494 and S494a in FIG. 17 described above may be performed, and then the process may proceed to S967 only when the determination of NO is made in S494a.

【0292】次に、以上説明した実施の形態における変
形例や特徴点等を以下に列挙する。 (1) 前述したように、ブラウザフォン(携帯電話)
30やPHS(Personal Handy-phone System)等の最
寄の基地局に対し電波で送受信する携帯型送受信機の場
合には、最寄の基地局を特定するために携帯型送受信機
の現在地がある程度割出されるようになっている。この
ような携帯型送受信機を用いてVPとしてサイトにアク
セスする等のネットワーク上での行動を行なう場合に
は、そのVPとして携帯型送受信機を利用している最中
に位置がある程度特定されてしまうおそれがある。その
結果、あるVPはあるRPと常に同じ場所に位置すると
いう統計上の結果が割出されてしまい、VPとRPとの
関連が見破られてしまうおそれがある。
Next, modifications and characteristic points of the above-described embodiment will be listed below. (1) As mentioned above, browser phones (mobile phones)
In the case of a portable transceiver that transmits / receives radio waves to / from the nearest base station such as 30 or PHS (Personal Handy-phone System), the current location of the portable transceiver is to some extent to identify the nearest base station. It is designed to be indexed. When performing a behavior on the network such as accessing a site as a VP by using such a portable transceiver, the position is specified to some extent while using the portable transceiver as the VP. There is a risk that As a result, the statistical result that a certain VP is always located in the same place as a certain RP is determined, and there is a risk that the relationship between the VP and the RP may be discovered.

【0293】そこで、次のような手段を採用する。ユー
ザに携帯され最寄の基地局との間で電波による送受信を
行なって該基地局を通してネットワーク内に進入可能な
携帯型送受信機であって、現実世界での実在人物(リア
ルパーソン)がネットワーク上で行動する際に、仮想人
物(バーチャルパーソン)になりすまして該仮想人物と
して行動できるようにするための仮想人物用処理機能
(S100〜S103,S580,S582〜S58
5)が備えられており、該仮想人物用処理機能を用いて
ユーザが仮想人物としてネットワーク内に進入する場合
に、ネットワークに接続された端末に対し直接無線通信
(ブルートゥース)を行ない、前記基地局からの進入ル
ートではなく前記端末からネットワーク内に進入する処
理を行なうための仮想人物用別ルート進入手段(S60
7〜S613)を備えている、携帯型送受信機(ブラウ
ザフォン30等)。
Therefore, the following means are adopted. It is a portable transceiver that is carried by a user and transmits / receives radio waves to / from the nearest base station and can enter the network through the base station. A real person in the real world is on the network. Virtual person processing function (S100 to S103, S580, S582 to S58) for impersonating a virtual person (virtual person) and acting as the virtual person when acting in
5) is provided, and when the user enters the network as a virtual person by using the virtual person processing function, direct wireless communication (Bluetooth) is performed to the terminal connected to the network, and the base station Virtual person separate route entry means (S60) for performing the process of entering the network from the terminal instead of the entry route from
7 to S613), a portable transceiver (browser phone 30 or the like).

【0294】このような手段を採用した結果、ユーザ
は、仮想人物としてネットワーク内に進入する際には、
仮想人物用別ルート進入手段を利用して、基地局からの
進入ルートではなく別ルートによる進入が可能となり、
その結果、仮想人物の位置が特定されてしまう不都合を
極力防止することができる。
As a result of adopting such means, when the user enters the network as a virtual person,
By using the alternative route entry means for virtual people, it is possible to enter by another route instead of the entry route from the base station,
As a result, it is possible to prevent the inconvenience that the position of the virtual person is specified as much as possible.

【0295】このような効果を奏する手段として、次の
ようなものを採用してもよい。ユーザに携帯され、最寄
の基地局に対し電波により送受信を行なってネットワー
ク内に進入可能な携帯型送受信機(ブラウザフォン30
等)に備えられているプロセッサ(CPU197)を動
作させるプログラムであって、前記プロセッサに、現実
世界での実在人物(リアルパーソン)がネットワーク上
で行動する際に、仮想人物(バーチャルパーソン)にな
りすまして該仮想人物として行動できるようにするため
の処理を行なう仮想人物処理手段(S100〜S10
3,S580,S582〜S585)と、該仮想人物処
理手段によりユーザが仮想人物としてネットワーク内に
進入する際に、該ネットワークに接続されている端末に
対し直接無線通信を行なって、前記基地局からの進入ル
ートではなく前記端末からネットワーク内に進入する仮
想人物用別ルート進入手段(S607〜S613)と、
として機能させるプログラム。
The following may be adopted as means for producing such effects. A portable transceiver (browser phone 30) that is carried by the user and can transmit and receive radio waves to and from the nearest base station to enter the network.
And the like) for operating a processor (CPU 197) provided in the processor, and impersonating the processor as a virtual person when the real person in the real world acts on the network. Virtual person processing means (S100 to S10) for performing processing for allowing the user to act as the virtual person.
3, S580, S582 to S585), when the user enters the network as a virtual person by the virtual person processing means, wireless communication is directly performed to a terminal connected to the network, and Another route entry means for virtual persons (S607 to S613) that enters the network from the terminal instead of the entry route of
A program to function as.

【0296】(2) ユーザの個人情報を利用する業者
側は、提供してもらいたい個人情報が本当に正しい内容
であるか否かを確認したいというニーズがある。
(2) The trader side who uses the personal information of the user needs to confirm whether or not the personal information to be provided is really correct.

【0297】そこで、以下のような手段を採用する。所
定機関にユーザから個人情報の登録要請があった場合
に、その個人情報の真偽チェックを行なうための処理を
行なう真偽チェック処理手段(S420)と、該真偽チ
ェック処理手段による処理の結果、正しいと判断される
個人情報に対し前記所定機関のデジタル署名を施すデジ
タル署名手段(S425)と、該デジタル署名が施され
た前記個人情報を当該個人情報のユーザが特定可能な態
様で格納する個人情報格納手段(S425,データベー
ス12a)と、あるユーザ名を指定しての依頼者からの
要請に応じて、該ユーザ名に対応する個人情報を前記個
人情報格納手段から検索する検索手段とを含む、個人情
報システム。
Therefore, the following means are adopted. When a user requests the predetermined institution to register personal information, the authenticity check processing means (S420) for performing processing for checking the authenticity of the personal information, and the result of the processing by the authenticity check processing means. , Digital signature means (S425) for applying a digital signature of the predetermined institution to the personal information that is judged to be correct, and storing the personal information with the digital signature in a form that can be specified by the user of the personal information. A personal information storage means (S425, database 12a) and a search means for searching the personal information storage means for personal information corresponding to a user name in response to a request from a client. Including a personal information system.

【0298】この個人情報システムは、以下の手段をさ
らに含んでもよい。前記依頼者が所有する個人情報の真
偽のチェックを依頼してきた場合に、該チェック対象と
なる前記依頼者の所有する個人情報に対応する個人情報
を前記個人情報格納手段から検索し、該検索された個人
情報と前記依頼者の個人情報とを照合して真偽チェック
を行なう真偽チェック手段(S471,S472)、該
真偽チェック手段による真偽の結果を前記依頼者に通知
する結果通知手段(S487)、前記真偽チェック手段
のチェックの結果と前記依頼者の個人情報が正しい内容
であった場合に該個人情報に対し前記所定機関のデジタ
ル署名を施すデジタル署名手段(S486)、前記真偽
チェック手段による真偽チェックの結果を前記依頼者に
通知してよいか否かを真偽チェック対象となっている個
人情報に対応するユーザに尋ねるための処理を行なう手
段(S476,S477)、前記個人情報格納手段に格
納されている個人情報の購入要求が依頼者からあった場
合に、該購入の対価をめぐる交渉を行なうための処理を
行なう交渉処理手段(S504〜S506)、該交渉処
理手段による交渉の結果交渉が成立した場合に、購入対
象の個人情報を当該個人情報に対する前記所定機関のデ
ジタル署名とともに購入依頼者に送信する送信手段(S
509)、前記交渉処理手段の結果交渉が成立した場合
にその成立した条件に対し、購入対象の個人情報に対応
するユーザ、前記購入依頼者、前記所定機関のそれぞれ
のデジタル署名を付して記憶しておく記憶手段(S50
8)。
The personal information system may further include the following means. When the client requests the authenticity check of the personal information owned by the client, the personal information corresponding to the personal information owned by the client to be checked is searched from the personal information storage means, and the search is performed. Authenticity check means (S471, S472) for checking the authenticity by comparing the personal information obtained with the personal information of the requester, and a result notification for notifying the requester of the authenticity result by the authenticity check means Means (S487), a digital signature means (S486) for applying a digital signature of the predetermined institution to the personal information when the check result of the authenticity checking means and the personal information of the requester are correct contents, To ask the user corresponding to the personal information that is the target of the authenticity check whether or not the requester may be notified of the result of the authenticity check by the authenticity check means. Means for performing processing (S476, S477), negotiation processing for performing processing for negotiating the price of the purchase when the client makes a purchase request for the personal information stored in the personal information storage means. Means (S504 to S506), a transmitting means (S) for transmitting personal information to be purchased together with the digital signature of the predetermined institution to the purchaser to the purchaser when the negotiation is successful as a result of the negotiation by the negotiation processing means.
509), when the negotiation is successful as a result of the negotiation processing means, the conditions that are satisfied are stored with digital signatures of the user corresponding to the personal information to be purchased, the purchase requester, and the predetermined institution. Means of storage (S50
8).

【0299】(3) ユーザがVPとしてネットワーク
上で行動することが多くなれば、RPとVPとの両方の
詳しい個人情報を収集した業者が、両個人情報を虱潰し
にマッチングチェックして、両個人情報が一致するRP
氏名とVP氏名とを割出し、VPに対応するRPの名前
を予測してしまうという不都合が生ずるおそれがある。
そこで、次のような解決手段を採用する。
(3) If the user often acts as a VP on the network, a trader who collects detailed personal information of both the RP and VP performs a thorough matching check on both personal information, and RP with matching personal information
There is a risk that the name and the VP name are calculated and the name of the RP corresponding to the VP is predicted.
Therefore, the following solution is adopted.

【0300】現実世界での実在人物(リアルパーソン)
がネットワーク上で行動する際に、仮想人物(バーチャ
ルパーソン)になりすまして該仮想人物として行動でき
るようにした個人情報保護方法に用いられる個人情報保
護装置であって、前記実在人物の要求に応じて、該実在
人物が意図しないサイトにアクセスするアクセス手段
(S651〜S662)を含む、個人情報保護装置。
Real person in the real world (real person)
A personal information protection device used in a personal information protection method, which enables a user to impersonate a virtual person (virtual person) when acting on the network and act as the virtual person, in response to a request from the real person. A personal information protection device including access means (S651 to S662) for accessing a site that the real person does not intend.

【0301】このような手段を採用した結果、実在人物
が意図しないサイトへのアクセスが自動的に行なわれる
こととなり、当該実在人物の個人情報の信頼性を低下さ
せることができる。その結果、実在人物と仮想人物との
両個人情報のマッチングチェックの結果の信頼性を低下
させることができる。
As a result of adopting such a means, it is possible to automatically access a site that the real person does not intend, and it is possible to reduce the reliability of the personal information of the real person. As a result, it is possible to reduce the reliability of the result of the matching check of the personal information of both the real person and the virtual person.

【0302】この個人情報保護装置は、さらに以下の手
段を含んでもよい。前記アクセス手段によりアクセスし
たサイト内で、前記実在人物が意図しない行動を行なう
行動手段(S656)、前記アクセス手段によりアクセ
スしたサイトに対し、前記実在人物の実名(太郎)を提
供する処理を行なう個人情報提供処理手段(S65
6)、前記アクセス手段によりアクセスしたサイトから
ユーザを識別するために送信されてきた識別データ(ク
ッキー)を受付けて記憶させるための処理を行なうクッ
キー受付処理手段(S660,S661)、前記アクセ
ス手段に備えられ、アクセスするサイトがユーザによっ
て予め設定されたアクセス許容範囲内のものか否かを判
別してアクセス許容範囲内でない場合にはアクセスしな
いアクセス禁止手段(S655)、なお、この個人情報
保護装置は、前述した実施の形態では、ユーザ側端末
(ブラウザフォン30等)により構成されているが、本
発明はこれに限らず、たとえばユーザ側の依頼に応じて
偽RPアクセス処理サービスを行なう所定のサービス機
関を設置し、そのサービス機関に対しユーザ側からの要
求があった場合に、前述したアクセス手段、行動手段、
等の動作を行なうようにしてもよい。さらに、実在人物
の嗜好情報とは異なる嗜好情報をサイト側に提供しても
よい。
The personal information protection device may further include the following means. In the site accessed by the access unit, an action unit (S656) performing an unintended action by the real person, and an individual performing a process of providing the real name (Taro) of the real person to the site accessed by the access unit. Information provision processing means (S65
6), cookie acceptance processing means (S660, S661) for accepting and storing the identification data (cookie) transmitted to identify the user from the site accessed by the access means, to the access means. An access prohibition means (S655) is provided, which determines whether the site to be accessed is within the access allowable range preset by the user, and does not access if it is not within the access allowable range. In the above-described embodiment, is configured by the user side terminal (browser phone 30 or the like), but the present invention is not limited to this, and, for example, a predetermined RP access processing service is provided in response to a user's request. If a service institution is set up and the user requests the service institution, Access means, action means that you mentioned,
You may make it operate | move like this. Further, preference information different from the preference information of the real person may be provided to the site side.

【0303】(4) 本発明でいう「人物」,「個人」
の用語は、自然人に限らず法人をも含む広い概念であ
る。本発明でいう「匿名」とは、仮想人物(VP)の氏
名のことであり、仮想人物の氏名と実在人物の匿名とは
同じ概念である。したがって、仮想人物の住所やEメー
ルアドレスや電子証明書は、実在人物が匿名でネットワ
ーク上で行動する場合の住所,Eメールアドレス,電子
証明書ということになる。
(4) "Person" and "individual" in the present invention
The term is a broad concept that includes corporations as well as natural persons. In the present invention, “anonymity” is the name of a virtual person (VP), and the name of a virtual person and the anonymity of a real person are the same concept. Therefore, the address, e-mail address, and electronic certificate of the virtual person are the address, e-mail address, and electronic certificate when the real person anonymously acts on the network.

【0304】本発明でいう「個人情報保護装置」は、装
置単体ばかりでなく、複数の装置がある目的を達成する
ために協働するように構築されたシステムをも含む広い
概念である。
The "personal information protection device" referred to in the present invention is a broad concept including not only the device itself but also a system constructed so that a plurality of devices cooperate to achieve a certain purpose.

【0305】(5) 図1に示すように、本実施の形態
では、金融機関7に、VP管理機能と、決済機能と、認
証機能とを設けたが、金融機関7から、VP管理機能を
分離独立させ、金融機関以外の他の守秘義務を有する所
定機関にVP管理機能を肩代わりさせてもよい。その肩
代わりする所定機関としては、官公庁等の公共的機関で
あってもよい。さらに、RPやVPに電子証明書を発行
する電子証明書発行機能を、金融機関7から分離独立さ
せ、専門の認証局に肩代わりさせてもよい。
(5) As shown in FIG. 1, in the present embodiment, the financial institution 7 is provided with the VP management function, the settlement function, and the authentication function. The VP management function may be taken over by a predetermined organization other than a financial institution that has a confidentiality obligation and is separated and independent. As the prescribed institution that takes the place of the above, a public institution such as a public office may be used. Further, the electronic certificate issuing function for issuing an electronic certificate to the RP or VP may be separated from the financial institution 7 and made independent, and a specialized certificate authority may be taken over.

【0306】また、本実施の形態では、コンビニエンス
ストア2の住所をVPの住所としているが、その代わり
に、たとえば郵便局や物流業者における荷物の集配場等
をVPの住所としてもよい。またVPの住所となる専用
の施設を新たに設置してもよい。
In this embodiment, the address of the convenience store 2 is the VP address. However, instead of this, for example, a post office or a parcel delivery / collecting place at a physical distribution company may be the VP address. In addition, a dedicated facility serving as a VP address may be newly installed.

【0307】VPを誕生させる処理は、本実施の形態で
は、所定機関の一例としての金融機関7が行なっている
が、本発明はこれに限らず、たとえば、ユーザ自身が自
己の端末(ブラウザフォン30等)によりVPを誕生
(出生)させ、その誕生させたVPの氏名,住所,公開
鍵,口座番号,Eメールアドレス等のVP用情報を、金
融機関7等の所定機関に登録するようにしてもよい。
In this embodiment, the financial institution 7 as an example of the predetermined institution performs the process of creating a VP. However, the present invention is not limited to this. A VP is born (born) by 30) and the VP information such as the name, address, public key, account number, and email address of the VP is registered in a predetermined institution such as the financial institution 7. May be.

【0308】また、誕生したVPは、必ずしも所定機関
に登録させなくてもよい。 (6) 処理装置の一例としてのIC端末19Rまたは
19Vは、ICカードや携帯電話あるいはPHSやPD
A(Personal digital Assistant)等の携帯型端末で構
成してもよい。これら携帯型端末で構成する場合には、
VP用の携帯型端末とRP用の携帯型端末との2種類の
ものを用意してもよいが、VP用モードあるいはRP用
モードに切換え可能に構成し、1種類の携帯型端末で事
足りるように構成してもよい。
The created VP does not necessarily have to be registered in a predetermined institution. (6) The IC terminal 19R or 19V as an example of the processing device is an IC card, a mobile phone, a PHS, or a PD.
It may be configured by a portable terminal such as A (Personal digital Assistant). When configuring with these portable terminals,
Two types of mobile terminals, one for VP and one for RP, may be prepared, but it is possible to switch between VP mode and RP mode so that one type of mobile terminal is sufficient. You may comprise.

【0309】図9に示したIC端末19Iによるアプリ
ケーションソフトのインストールに代えて、当該アプリ
ケーションソフトのサプライヤからネットワーク経由で
当該アプリケーションソフトをブラウザフォン30等へ
ダウンロードするように構成してもよい。
Instead of installing the application software by the IC terminal 19I shown in FIG. 9, the supplier of the application software may download the application software to the browser phone 30 or the like via the network.

【0310】(7) 本実施の形態では、図12に示し
たように、VPの誕生時にそのVPの電子証明書が自動
的に作成されて発行されるように構成したが、その代わ
りに、ユーザからの電子証明書の発行依頼があって初め
てVPの電子証明書の作成発行を行なうようにしてもよ
い。
(7) In the present embodiment, as shown in FIG. 12, the VP's electronic certificate is automatically created and issued when the VP is born. The electronic certificate of the VP may be created and issued only when the user issues an electronic certificate request.

【0311】図23等に示すように、本実施の形態で
は、RPの本人認証を行なう場合には、RPの認証鍵K
Nを用いるようにしたが、RPが電子証明書の発行を受
けている場合には、その電子証明書内の公開鍵を用いて
RPの本人認証を行なうようにしてもよい。
As shown in FIG. 23 and the like, in the present embodiment, in the case of authenticating the RP, the authentication key K of the RP is used.
Although N is used, if the RP has been issued an electronic certificate, the public key in the electronic certificate may be used to authenticate the identity of the RP.

【0312】(8) ブラウザフォン30に代えて、パ
ーソナルコンピュータを用いてもよい。
(8) A personal computer may be used instead of the browser phone 30.

【0313】トラップ型VP用に金融機関7が開設した
Eメールアドレス△△△△△は、1種類のみのEメール
アドレスではなく、複数種類用意し、トラップ型VP氏
名毎に使い分けるようにしてもよい。S620〜S62
2またはS960〜S956により、新たな匿名(トラ
ップ型VP氏名)の生成要求があった場合に、今までに
使われていない匿名を生成する新匿名生成手段が構成さ
れている。S431〜S441またはS954により、
前記新匿名生成手段により生成された匿名の登録を行な
う匿名登録機関(金融機関7またはEEPROM26)
に対し新たに生成された匿名の登録依頼があった場合
に、該匿名を登録する匿名登録手段が構成されている。
The e-mail address ΔΔΔΔΔ opened by the financial institution 7 for the trap type VP is not only one kind of e-mail address, but a plurality of e-mail addresses may be prepared and used for each trap type VP name. Good. S620 to S62
2 or S960 to S956 constitutes a new anonymous generation means for generating anonymity that has not been used until now when a new anonymous (trap type VP name) generation request is made. By S431 to S441 or S954,
Anonymous registration agency (financial institution 7 or EEPROM 26) that performs the anonymous registration generated by the new anonymous generation means.
On the other hand, when there is a newly created anonymous registration request, an anonymous registration means for registering the anonymous is configured.

【0314】前述したS450〜S460により、ユー
ザの個人情報を登録している登録機関に対しユーザから
自己の個人情報の確認要求があった場合に、当該ユーザ
の本人認証を行なう本人認証手段(S452〜S45
8)による本人認証の結果本人であることが確認された
ことを条件として、当該ユーザに対応する個人情報を当
該ユーザに送信する個人情報送信手段が構成されてい
る。
Through the above-described steps S450 to S460, when the user requests the registration agency that has registered the personal information of the user to confirm the personal information of the user, the personal authentication means (S452) for authenticating the user. ~ S45
The personal information transmitting means for transmitting the personal information corresponding to the user to the user is provided on condition that the person is confirmed as a result of the personal authentication by 8).

【0315】図44(a)で示したトラップ型VP氏名
は、サイト名をVPの秘密鍵KSBで複合化したもので
あってもよい。
The trap type VP name shown in FIG. 44 (a) may be a composite of the site name and the private key KSB of the VP.

【0316】つまり、S957により、DKSB(サイト
名)の演算を行なってトラップ型VP氏名を生成しても
よい。その場合には、S969により、EKPB(Eメー
ルの宛名)=送信者名 の演算式による判別を行なうこ
ととなる。S967では、E KPB(Eメールの宛名)が
不正流出し、送信者名の業者が不正入手した旨を出力す
るという処理になる。
That is, by S957, DKSB(site
Name) to generate a trap type VP name
Good. In that case, by S969, EKPB(E-mail
Address) = sender's name
And In S967, E KPB(Email address) is
Illegal leakage is output and the fact that the sender of the sender name is illegally obtained is output.
Processing.

【0317】前述したS957により、ユーザがネット
ワークを通してアクセスするサイトに対し、当該サイト
の名称を当該ユーザが使用できる鍵(秘密鍵KSB)に
より暗号化または復号化して生成した匿名を生成する匿
名生成手段が構成されている。
Anonymity generating means for generating anonymity generated by encrypting or decrypting the name of the site, which is accessed by the user through the network, by the key (secret key KSB) that can be used by the user in S957 described above. Is configured.

【0318】ユーザがネットワークを通してアクセスし
自己の個人情報を提供したサイトを特定するために用い
る識別情報を特定可能な情報であって、前記個人情報を
入手した者がその個人情報主であるユーザにメールを送
る場合には該メールに含まれることとなる識別情報とし
て、前述した実施の形態では匿名(トラップ型VP氏
名)を用いたが、その代わりにまたはそれに加えて、サ
イト毎に使い分ける複数のEメールアドレスやダイレク
トメール用の住所(私書箱等)を用いてもよい。
Information that can be used to specify the identification information used to specify the site that the user has accessed through the network and provided his / her own personal information, and the person who obtained the personal information is the person who is the owner of the personal information. Although anonymous (trap type VP name) was used in the above-described embodiment as identification information to be included in the email when sending an email, instead of or in addition to this, a plurality of different types of use are used for each site. An email address or an address for direct mail (post office box, etc.) may be used.

【0319】(9) ネットワーク(広域・大容量中継
網43)上での個人情報を保護する個人情報保護システ
ムであって、現実世界での実在人物(リアルパーソン)
がネットワーク上で行動する際に、仮想人物(バーチャ
ルパーソン)になりすまして該仮想人物として行動でき
るようにするための所定の仮想人物を誕生させる処理を
行なう仮想人物誕生処理手段(S1〜S12)と、前記
実在人物と前記仮想人物との対応関係を特定可能な情報
を守秘義務のある所定機関において登録する処理を行な
う登録処理手段(S15)を含むことを特徴とする、個
人情報保護システム。
(9) A personal information protection system for protecting personal information on a network (wide area / large capacity relay network 43), which is a real person in the real world.
And a virtual person birth processing means (S1 to S12) for performing a process of spoofing a virtual person (virtual person) to create a predetermined virtual person when the person acts on the network. A personal information protection system, comprising: registration processing means (S15) for performing processing of registering information capable of specifying a correspondence relationship between the real person and the virtual person at a predetermined institution that has a confidentiality obligation.

【0320】(10) 前記所定機関は、金融機関7で
ある。 (11) ネットワーク(広域・大容量中継網43)上
での個人情報を保護する個人情報保護システムであっ
て、現実世界での実在人物(リアルパーソン)がネット
ワーク上で行動する際に、仮想人物(バーチャルパーソ
ン)になりすまして該仮想人物として行動できるように
するための所定の仮想人物を誕生させる処理を行なう仮
想人物誕生処理手段(S1〜S12)と、前記仮想人物
用の電子証明書を発行するための処理を行なう電子証明
書発行処理手段(S16)とを含む。
(10) The predetermined institution is the financial institution 7. (11) A personal information protection system for protecting personal information on a network (wide area / large capacity relay network 43), which is a virtual person when a real person (real person) in the real world acts on the network. Virtual person birth processing means (S1 to S12) for performing a process of giving birth to a predetermined virtual person for impersonating (virtual person) and acting as the virtual person, and issuing an electronic certificate for the virtual person And an electronic certificate issuance processing means (S16) for performing the processing for performing.

【0321】(12) ネットワーク(広域・大容量中
継網43)上での個人情報を保護する個人情報保護シス
テムであって、現実世界での実在人物(リアルパーソ
ン)がネットワーク上で行動する際に、仮想人物(バー
チャルパーソン)になりすまして該仮想人物として行動
できるようにするための所定の仮想人物を誕生させるた
めの処理を行なう仮想人物誕生処理手段(S1〜S1
2)と、前記仮想人物の住所を、前記実在人物とは異な
る住所に設定するための処理を行なう住所設定手段(S
9〜S12)とを含む。
(12) A personal information protection system for protecting personal information on a network (wide area / large capacity relay network 43), when a real person in the real world acts on the network. , Virtual person birth processing means (S1 to S1) for performing processing to spawn a predetermined virtual person for impersonating a virtual person (virtual person) and acting as the virtual person.
2) and address setting means (S) for performing processing for setting the address of the virtual person to an address different from that of the real person.
9 to S12).

【0322】(13) 前記仮想人物の住所は、所定の
コンビニエンスストアの住所である(S9〜S11)。
(13) The address of the virtual person is the address of a predetermined convenience store (S9 to S11).

【0323】(14) ネットワーク(広域・大容量中
継網43)上での個人情報を保護する個人情報保護シス
テムであって、現実世界での実在人物(リアルパーソ
ン)がネットワーク上で行動する際に、仮想人物(バー
チャルパーソン)になりすまして該仮想人物として行動
できるようにするための所定の仮想人物を誕生させるた
めの処理を行なう仮想人物誕生処理手段(S1〜S1
2)と、前記仮想人物用のクレジット番号を発行するた
めの処理を行なうクレジット番号発行処理手段(カード
発行会社4)とを含み、該クレジット番号発行処理手段
により発行されたクレジット番号を利用して前記仮想人
物としてクレジットによる支払ができるようにした(S
58,S56,S75〜S78)。
(14) A personal information protection system for protecting personal information on a network (wide area / large capacity relay network 43), when a real person in the real world acts on the network. , Virtual person birth processing means (S1 to S1) for performing processing to spawn a predetermined virtual person for impersonating a virtual person (virtual person) and acting as the virtual person.
2) and credit number issuing processing means (card issuing company 4) for performing processing for issuing the credit number for the virtual person, and using the credit number issued by the credit number issuing processing means. Allowed to pay by credit as the virtual person (S
58, S56, S75 to S78).

【0324】(15) ネットワーク(広域・大容量中
継網43)上での個人情報を保護する個人情報保護シス
テムであって、現実世界での実在人物(リアルパーソ
ン)がネットワーク上で行動する際に、仮想人物(バー
チャルパーソン)になりすまして該仮想人物として行動
できるようにするための所定の仮想人物を誕生させる処
理を行なう仮想人物誕生処理手段(S1〜S12)と、
前記仮想人物用の銀行口座を開設するための処理を行な
う口座開設処理手段(S39,S42〜S45)とを含
み、該口座開設処理手段によって開設された口座内の資
金を利用して前記仮想人物として決済ができるようにし
た(S55〜S57,S60〜S74)。
(15) A personal information protection system for protecting personal information on a network (wide area / large capacity relay network 43), when a real person in the real world acts on the network. , Virtual person birth processing means (S1 to S12) for performing processing of spoofing a virtual person (virtual person) and creating a predetermined virtual person so that the person can act as the virtual person.
Account opening processing means (S39, S42 to S45) for performing processing for opening a bank account for the virtual person, and the virtual person using the funds in the account opened by the account opening processing means. Payment is made possible (S55 to S57, S60 to S74).

【0325】(16) ネットワーク(広域・大容量中
継網43)上での個人情報を保護する個人情報保護シス
テムであって、現実世界での実在人物(リアルパーソ
ン)がネットワーク上で行動する際に、仮想人物(バー
チャルパーソン)になりすまして該仮想人物として行動
できるようにするための所定の仮想人物を誕生させるた
めの処理を行なう仮想人物誕生処理手段(S1〜S1
2)を含み、前記実在人物としてネットワーク上で行動
する場合と前記仮想人物としてネットワーク上で行動す
る場合とで、サイト側がユーザを識別するために送信し
てくる識別データ(クッキー)の受付制限を異ならせる
ことができるようにした(S110〜S123,S12
5〜S137)。
(16) A personal information protection system for protecting personal information on the network (wide area / large capacity relay network 43), when a real person in the real world acts on the network. , Virtual person birth processing means (S1 to S1) for performing processing to spawn a predetermined virtual person for impersonating a virtual person (virtual person) and acting as the virtual person.
2) is included, the reception restriction of the identification data (cookie) transmitted for the site side to identify the user is restricted depending on whether the person acts on the network as the real person and the person acts on the network as the virtual person. It was made possible to be different (S110-S123, S12
5 to S137).

【0326】(17) ネットワーク(広域・大容量中
継網43)上での個人情報の保護に用いられる処理装置
(VP管理サーバ9)であって、現実世界での実在人物
(リアルパーソン)がネットワーク上で行動する際に、
仮想人物(バーチャルパーソン)になりすまして該仮想
人物として行動できるようにするための所定の仮想人物
を誕生させる要求を受付ける要求受付手段(S1)と、
該要求受付手段により要求が受付けられたことを条件と
して(S1によりYESの判断がなされたことを条件と
して)、仮想人物を誕生させるための処理を行なう仮想
人物誕生処理手段(S1a〜S12)と、該仮想人物誕
生処理手段により誕生した仮想人物と該仮想人物に対応
する前記実在人物との対応関係を特定可能な情報をデー
タベースとして記憶させるための処理を行なう対応関係
記憶処理手段(S15)とを含む。
(17) A processing device (VP management server 9) used to protect personal information on a network (wide area / large capacity relay network 43), in which a real person in the real world is a network. When acting on
Request accepting means (S1) for accepting a request to spawn a predetermined virtual person for impersonating a virtual person (virtual person) and acting as the virtual person;
Virtual person birth processing means (S1a to S12) that performs processing for giving birth to a virtual person on condition that the request is received by the request receiving means (condition that YES is determined in S1). A correspondence relationship storage processing means (S15) for performing processing for storing information capable of specifying a correspondence relationship between the virtual person born by the virtual person birth processing means and the real person corresponding to the virtual person as a database. including.

【0327】(18) ネットワーク(広域・大容量中
継網43)上での個人情報を保護するための処理装置
(VP管理サーバ9)であって、現実世界での実在人物
(リアルパーソン)がネットワーク上で行動する際に、
仮想人物(バーチャルパーソン)になりすまして該仮想
人物として行動できるようにするために誕生した所定の
仮想人物の公開鍵(KB)の入力を受付けて(S1
4)、該入力された公開鍵をデータベースに記憶させる
ための処理を行なう公開鍵記憶処理手段(S15)と、
前記記憶された公開鍵に対応する前記仮想人物用の電子
証明書を作成して発行する処理を行なうための電子証明
書作成発行処理手段(S16)とを含み、該電子証明書
作成発行処理手段は、前記実在人物と前記仮想人物との
対応関係を特定可能な情報が守秘義務のある所定機関
(金融機関7)に登録されている登録済みの前記仮想人
物であることを条件として(S7によりYESの判断が
なされたことを条件として)、電子証明書の作成発行処
理を行なう(S16の処理を行なう)。
(18) A processor (VP management server 9) for protecting personal information on the network (wide area / large capacity relay network 43), in which a real person in the real world is a network. When acting on
Accept the input of the public key (KB) of a predetermined virtual person created to impersonate the virtual person and act as the virtual person (S1).
4), public key storage processing means (S15) for performing processing for storing the input public key in the database,
An electronic certificate creation / issuing processing means (S16) for creating and issuing an electronic certificate for the virtual person corresponding to the stored public key. On the condition that the information capable of specifying the correspondence relationship between the real person and the virtual person is the registered virtual person registered in a predetermined institution (financial institution 7) having a confidentiality obligation (by S7 If YES is determined), the electronic certificate creation and issue process is performed (the process of S16 is performed).

【0328】(19) ネットワーク(広域・大容量中
継網43)上での個人情報を保護するための処理装置
(加盟店6のサーバ)であって、現実世界での実在人物
(リアルパーソン)がネットワーク上で行動する際に、
仮想人物(バーチャルパーソン)になりすまして該仮想
人物として行動できるようにするために誕生した所定の
仮想人物に発行されたクレジット番号を利用してクレジ
ット支払による購入要求があった場合に、支払の承認処
理を行なうための支払承認処理手段(支払承認部33)
と、該支払承認処理手段により承認されたクレジットに
よる支払の要求をクレジットカード発行会社4に出すた
めの処理を行なう支払要求処理手段(支払要求部33)
とを含み、前記支払承認処理手段は、前記仮想人物用に
発行された電子証明書を確認した上で、支払の承認を行
なう。
(19) A processing device (a server of the member store 6) for protecting personal information on the network (wide-area / large-capacity relay network 43), which is a real person in the real world. When acting on the network,
Approval of payment when there is a purchase request by credit payment using a credit number issued to a predetermined virtual person created to impersonate a virtual person (virtual person) and be able to act as the virtual person Payment approval processing means for performing processing (payment approval unit 33)
And a payment request processing unit (payment requesting unit 33) for performing processing for issuing a request for payment by credit approved by the payment approval processing unit to the credit card issuing company 4.
The payment approval processing means confirms the electronic certificate issued for the virtual person, and then approves the payment.

【0329】(20) ネットワーク(広域・大容量中
継網43)上での個人情報を保護するための処理装置
(決済サーバ10)であって、現実世界での実在人物
(リアルパーソン)がネットワーク上で行動する際に、
仮想人物(バーチャルパーソン)になりすまして該仮想
人物として行動できるようにするために誕生した所定の
仮想人物用に開設された銀行口座内の資金を決済に用い
るために引落す引落し要求を受付けるための処理を行な
う引落し要求受付処理手段(S55)と、該引落し要求
受付処理手段により引落し要求が受付けられた場合に、
該当する前記仮想人物に相当する銀行口座を割出して該
銀行口座内の資金から引落し要求金額(G)に相当する
資金を引落すための処理を行なう引落し処理手段(S6
9)とを含んでいる。
(20) A processing device (settlement server 10) for protecting personal information on the network (wide area / large capacity relay network 43), in which a real person in the real world is on the network. When acting in
To accept a withdrawal request for withdrawing funds in a bank account opened for a given virtual person that was created to impersonate a virtual person (virtual person) so that he / she can act as the virtual person. Withdrawal request acceptance processing means (S55) for carrying out the processing of (1), and withdrawal request accepted by the withdrawal request acceptance processing means,
Withdrawal processing means (S6) for performing processing for indexing a bank account corresponding to the virtual person concerned and withdrawing funds corresponding to the requested amount (G) from funds in the bank account.
9) and are included.

【0330】(21) ネットワーク(広域・大容量中
継網43)上での個人情報を保護するための処理装置
(サーバ16)であって、現実世界での実在人物(リア
ルパーソン)がネットワーク上で行動する際に、仮想人
物(バーチャルパーソン)になりすまして該仮想人物と
して行動できるようにするために誕生した所定の仮想人
物の住所であって、前記実在人物とは異なる住所(コン
ビニエンスストア2の住所)に前記処理装置が設置され
ており、該処理装置が設置されている住所を自己の住所
としている前記仮想人物を特定可能な情報をデータベー
ス17に記憶させるための処理を行なう記憶処理手段
(S322)と、該記憶処理手段に記憶されている仮想
人物が購入した商品であって前記処理装置が設置されて
いる住所に配達されてきた商品を預かったことを特定可
能な情報をデータベースに記憶させるための処理を行な
う預り情報記憶処理手段(S316a)と、前記預った
商品の引落し要求があった場合に(S317によりYE
Sの判断がなされた場合に)、当該引渡し要求を出した
仮想人物が前記データベースに記憶されている仮想人物
であることを確認し(S327)、かつ、商品を扱って
いる仮想人物であることを確認したことを条件として
(S328によりYESの判断がなされたことを条件と
して)、該当する商品の受渡しの許可を出すための処理
を行なう受渡し許可処理手段(S336)とを含む。
(21) A processor (server 16) for protecting personal information on the network (wide area / large capacity relay network 43), in which a real person (real person) in the real world is on the network. When acting, it is an address of a predetermined virtual person that was created to impersonate a virtual person (virtual person) so that he / she can act as the virtual person, and the address is different from the real person (address of the convenience store 2). ) In which the processing device is installed, and storage processing means (S322) for performing a process for storing in the database 17 information that can identify the virtual person whose address is the installation address of the processing device. ) And a commodity purchased by the virtual person stored in the storage processing means and delivered to the address where the processing device is installed. When a deposit information storage processing unit (S316a) performs a process for storing information that can specify that the deposited product has been deposited in the database, and there is a withdrawal request for the deposited product (YES in S317).
(If S is determined), it is confirmed that the virtual person who issued the delivery request is a virtual person stored in the database (S327), and that the virtual person is handling a product. And the delivery permission processing means (S336) for performing the processing for issuing the delivery permission of the corresponding merchandise on the condition that the confirmation is made (on the condition that YES is determined in S328).

【0331】(22) ネットワーク(広域・大容量中
継網43)上での個人情報を保護するためのプログラム
または該プログラムを記録している記録媒体(CD−R
OM31)であって、コンピュータ(パーソナルコンピ
ュータ30)に、現実世界での実在人物(リアルパーソ
ン)がネットワーク上で行動する際に、仮想人物(バー
チャルパーソン)になりすまして該仮想人物として行動
できるようにするための所定の仮想人物を誕生させるた
めの要求操作があったか否かを判定する誕生要求判定手
段(S141)と、該誕生要求判定手段により誕生要求
があった旨の判定がなされた場合に、前記仮想人物の出
生依頼要求を所定機関(金融機関7)に送信するための
処理を行なう出生要求送信手段(S142)と、前記仮
想人物の出生要求を行なう前記実在人物を特定可能な情
報であって前記仮想人物の出生に必要となる情報を前記
所定機関へ送信するための処理を行なう所定情報送信手
段(S147〜S149)と、して機能させるためのプ
ログラム、または該プログラムが記憶されているコンピ
ュータ読取可能な記録媒体。
(22) A program for protecting personal information on the network (wide area / large capacity relay network 43) or a recording medium (CD-R) recording the program.
OM31), which allows a computer (personal computer 30) to impersonate a virtual person (virtual person) and act as the virtual person when a real person (real person) in the real world acts on the network. A birth request determining means (S141) for determining whether or not there is a request operation for creating a predetermined virtual person for performing the birth, and when the birth request determining means determines that there is a birth request, Birth request transmission means (S142) for performing processing for transmitting the birth request request of the virtual person to a predetermined institution (financial institution 7), and information capable of specifying the real person making the birth request of the virtual person. Predetermined information transmitting means (S147 to S) for performing processing for transmitting information necessary for the birth of the virtual person to the predetermined institution. 49), and a program for causing the functions or computer-readable recording medium on which the program is stored.

【0332】(23) ネットワーク(広域・大容量中
継網43)上での個人情報を保護するための処理装置
(VP用IC端末19V)であって、該処理装置は、ユ
ーザの端末(パーソナルコンピュータ30)に対して情
報のやり取りが可能に構成されているとともに(USB
ポート18を介して情報のやり取りが可能に構成されて
いるとともに)、ユーザに携帯される携帯型の処理装置
であり、現実世界での実在人物(リアルパーソン)であ
る前記ユーザがネットワーク上で所定の仮想人物になり
すまして該仮想人物として行動する際に使用され、サイ
ト側がユーザを識別するために送信してくる識別データ
(クッキー)が前記端末に対し送信されてきた場合に該
識別データを当該端末の代わりに記憶可能に構成されて
いる(S276)。
(23) A processing device (VP IC terminal 19V) for protecting personal information on the network (wide area / large capacity relay network 43), the processing device being a user terminal (personal computer). 30) and is configured to exchange information (USB)
The information processing device is configured to be capable of exchanging information via the port 18) and is a portable processing device carried by a user, and the user, who is a real person in the real world, is predetermined on the network. When the identification data (cookie) sent by the site to identify the user is used to impersonate the virtual person and act as the virtual person, the identification data is sent to the terminal. It is configured so that it can be stored instead of the terminal (S276).

【0333】(24) さらに、前記端末(パーソナル
コンピュータ30)によってユーザがサイトにアクセス
した際に、必要に応じて記憶している前記識別データ
(クッキーデータ)を出力して該識別データを前記サイ
トに送信できるように構成されている(S278)。
(24) Further, when the user accesses the site by the terminal (personal computer 30), the stored identification data (cookie data) is output as needed to output the identification data to the site. It is configured to be able to be transmitted to (S278).

【0334】(25) 前記処理装置(VP用IC端末
19V)は、前記ユーザの端末に対し情報の入出力を可
能にするための入出力部(I/Oポート21)と、前記
ユーザの端末から前記識別情報が入力されてきた場合に
(S275によりYESの判断がなされた場合に)、該
入力された識別情報を記憶する識別情報記憶手段(S2
76)とをさらに含む。
(25) The processing device (IC terminal 19V for VP) has an input / output unit (I / O port 21) for enabling input / output of information to / from the user terminal, and the user terminal. When the identification information is input from (when YES is determined in S275), the identification information storage unit (S2) that stores the input identification information.
76) and are further included.

【0335】(26) 前記処理装置(VP用IC端末
19V)は、前記ユーザの端末から前記識別情報の出力
指令が入力されてきた場合に(S277によりYESの
判断がなされた場合に)、記憶している前記識別情報を
外部出力する識別情報外部出力手段(S278)をさら
に含む。
(26) The processing device (IC terminal 19V for VP) stores when an output command of the identification information is input from the terminal of the user (when YES is determined in S277). An identification information external output unit (S278) for externally outputting the identification information being output is further included.

【0336】(27) 前記処理装置(VP用IC端末
19V)は、前記仮想人物に関する情報(VPの氏名,
住所、VPのEメールアドレス、VPの公開鍵と秘密
鍵、VPの年齢,職業等)を記憶しており、前記VPに
関する情報の出力指令が入力されてきた場合に(S29
5,S305等によりYESの判断がなされた場合
に)、前記記憶している仮想人物に関する情報を外部出
力する情報外部出力手段(S298,S310等)をさ
らに含む。
(27) The processing device (IC terminal 19V for VP) uses the information (name of VP,
The address, the e-mail address of the VP, the public and private keys of the VP, the age of the VP, the occupation, etc.) are stored, and when an output command of information regarding the VP is input (S29).
5, when the determination of YES is made by S305 or the like), it further includes information external output means (S298, S310, etc.) for externally outputting the stored information about the virtual person.

【0337】前述した正当機関証明処理,正当機関チェ
ック処理,本人証明処理,S4〜S7等の本人チェック
処理により、本人であることの確認を行なってなりすま
しを防止するための本人認証手段が構成されている。
By the above-mentioned legitimate institution proof processing, legitimate institution check processing, identity verification processing, and identity verification processing such as S4 to S7, identity authentication means for confirming identity and preventing impersonation is constituted. ing.

【0338】S13〜S16により、バーチャルパーソ
ン(仮想人物)用の電子証明書を作成して発行する仮想
人物用電子証明書発行手段が構成されている。S25〜
S28により、現実世界に実在するリアルパーソン(実
在人物)用の電子証明書を作成して発行する実在人物用
電子証明書発行手段が構成されている。
S13 to S16 constitute virtual person electronic certificate issuing means for creating and issuing an electronic certificate for a virtual person (virtual person). S25 ~
S28 constitutes a digital certificate issuing means for a real person that creates and issues a digital certificate for a real person (real person) who actually exists in the real world.

【0339】S39〜S45により、仮想人物(バーチ
ャルパーソン)用の銀行口座を作成するための処理を行
なう銀行口座作成処理手段が構成されている。
S39 to S45 constitute a bank account creation processing means for carrying out a process for creating a bank account for a virtual person (virtual person).

【0340】S40〜S49により、実在人物(リアル
パーソン)または仮想人物(バーチャルパーソン)用の
デビットカードを発行するための処理を行なうデビット
カード発行処理手段が構成されている。S55〜S69
により、仮想人物(バーチャルパーソン)に携帯される
処理装置(VP用IC端末19V)に対し、該仮想人物
(バーチャルパーソン)の銀行口座内の資金の一部を引
落してリロードするための処理を行なう資金引落し処理
手段が構成されている。
[0340] S40 to S49 constitute debit card issuing processing means for performing processing for issuing a debit card for a real person (real person) or a virtual person (virtual person). S55 to S69
By this, the processing device (IC terminal 19V for VP) carried by the virtual person (virtual person) is processed to withdraw part of the funds in the bank account of the virtual person (virtual person) and reload it. The means for processing the withdrawal of funds is configured.

【0341】S57〜S74により、仮想人物(バーチ
ャルパーソン)のデビットカードを使用して決済を行な
うための処理を行なうデビットカード用決済処理手段が
構成されている。S57〜S78により、仮想人物(バ
ーチャルパーソン)のクレジットカードを使用しての決
済を行なうための処理を行なうクレジットカード用決済
処理手段が構成されている。このクレジットカード用決
済処理手段は、SecureElectronic Transaction(SE
T)に準拠して決済を行なう。
By S57 to S74, a debit card settlement processing means for performing a process for making a settlement using the debit card of the virtual person (virtual person) is configured. S57 to S78 constitute credit card payment processing means for performing processing for making a payment using a virtual person's credit card. This credit card payment processing means is a Secure Electronic Transaction (SE
Settle according to T).

【0342】(28) 本実施の形態では、図28に示
したように、クッキーの受付を制限または拒絶するよう
にしたが、それに代えてまたはそれに加えて、ユーザが
サイト側に再アクセスした際に、既に記憶しているクッ
キーを当該サイト側へ送信することを禁止または制限す
るように制御してもよい。すなわち、本発明における個
人情報保護システムにおいては、実在人物としてネット
ワーク上で行動する場合と仮想人物としてネットワーク
上で行動する場合とで、サイト側がユーザを識別するた
めに送信してきた識別データであって既に記憶されてい
る識別データを前記サイト側へ送信する際の送信制限を
異ならせることができるようにしてもよい。
(28) In the present embodiment, as shown in FIG. 28, the acceptance of cookies is restricted or rejected. Instead of or in addition to this, when the user re-accesses the site side, In addition, it may be controlled to prohibit or limit the transmission of the already stored cookie to the site side. That is, in the personal information protection system according to the present invention, the identification data transmitted by the site side to identify the user when the person acts on the network as a real person and when the person acts on the network as a virtual person. It is also possible to set different transmission restrictions when transmitting the already stored identification data to the site side.

【0343】S140〜S158により、ユーザが自己
の仮想人物(バーチャルパーソン)の出生依頼を行なう
処理を行なうための出生依頼処理手段が構成されてい
る。S9〜S12により、出生させる仮想人物(バーチ
ャルパーソン)の住所であって出生依頼者である実在人
物(リアルパーソン)の住所とは異なった住所を決定す
るための処理を行なう住所決定処理手段が構成されてい
る。この住所決定処理手段は、コンビニエンスストアの
住所を仮想人物(バーチャルパーソン)の住所として決
定する。また、この住所決定処理手段は、出生依頼者で
ある実在人物(リアルパーソン)の希望するコンビニエ
ンスストアの住所を仮想人物(バーチャルパーソン)の
住所として決定可能である。また、この住所決定処理手
段は、出生依頼者である実在人物(リアルパーソン)の
住所に近いコンビニエンスストアの住所を仮想人物(バ
ーチャルパーソン)の住所として決定することが可能で
ある。
S140 to S158 constitute a birth request processing means for carrying out a process for the user to make a birth request for his / her own virtual person (virtual person). By S9 to S12, the address determination processing means for performing processing for determining the address of the virtual person (virtual person) to be born and different from the address of the real person (real person) who is the birth requester is configured. Has been done. The address determination processing means determines the address of the convenience store as the address of the virtual person (virtual person). Further, the address determination processing means can determine the address of the convenience store desired by the real person (real person) who is the birth requester as the address of the virtual person (virtual person). Further, the address determination processing means can determine the address of the convenience store, which is close to the address of the real person (real person) who is the birth requester, as the address of the virtual person (virtual person).

【0344】S305〜S312により、ユーザに携帯
される前記処理装置(RP用IC端末19R,VP用I
C端末19V)に設けられ、当該処理装置の所有者であ
るユーザの実在人物(リアルパーソン)としての個人情
報または仮想人物(バーチャルパーソン)としての個人
情報の送信要求を受けた場合に、記憶している個人情報
の中から該当する個人情報を選び出して出力する処理が
可能な個人情報自動出力手段が構成されている。この個
人情報自動出力手段は、送信要求の対象となっている個
人情報が送信してよいものであるか否かを自動的に判別
するための処理を行なう自動判別処理手段(S307,
308,310,311)を含んでいる。この自動判別
処理手段は、どの種類の個人情報を出力してよいかをユ
ーザが事前に入力設定でき、その入力設定に従って自動
判別を行なう。またこの自動判別処理手段は、自動判別
できない場合には、要求対象となっている個人情報と送
信されてきたプライバシーポリシーとを出力してユーザ
に対し送信の許否を求めるための処理を行なう(S30
9)。
Through S305 to S312, the processing device carried by the user (RP IC terminal 19R, VP I terminal
It is provided in the C terminal 19V), and is stored when a request to send personal information as a real person (real person) or personal information as a virtual person (virtual person) of the user who owns the processing device is received. The personal information automatic output means capable of selecting and outputting the corresponding personal information from the stored personal information is configured. This personal information automatic output means automatically discriminates whether or not the personal information that is the subject of the transmission request may be transmitted (S307,
308, 310, 311). The automatic discrimination processing means allows the user to input and set in advance which type of personal information to output, and performs automatic discrimination according to the input setting. Further, if the automatic discrimination processing means cannot automatically discriminate, it outputs the requested personal information and the transmitted privacy policy, and performs processing for asking the user whether to permit transmission (S30).
9).

【0345】S313により、ユーザに携帯される仮想
人物(バーチャルパーソン)用の処理装置に設けられ、
当該処理装置の使用状況に応じて当該処理装置によって
形成される仮想人物の性格を変化させる仮想人物性格変
化形成手段が構成されている。この仮想人物性格変化形
成手段は、ユーザが仮想人物(バーチャルパーソン)と
してアクセスしたサイトの種類に応じて性格を変化させ
る。
[0345] By S313, it is provided in the processing device for the virtual person carried by the user.
A virtual person personality change forming unit configured to change a personality of a virtual person formed by the processing device according to a usage state of the processing device is configured. The virtual person personality change forming means changes the personality according to the type of the site accessed by the user as a virtual person (virtual person).

【0346】S314,S314aにより、ユーザが仮
想人物(バーチャルパーソン)と会話を要求した場合
に、前記性格変化形成手段により形成された現在の性格
を反映して仮想人物(バーチャルパーソン)との会話を
実現させる処理を行なう性格反映型会話実現処理手段が
構成されている。
In S314 and S314a, when the user requests a conversation with the virtual person, the conversation with the virtual person reflects the current personality formed by the personality change forming means. Personality-reflecting conversation realization processing means for performing realization is configured.

【0347】コンビニエンスストア2により、仮想人物
(バーチャルパーソン)がネットワーク上で購入した商
品が配達されてきた場合に当該商品を預る商品預り場が
構成されている。データベース17により、前記商品預
り場で商品を預る対象となる仮想人物(バーチャルパー
ソン)を登録しておくバーチャルパーソン登録手段が構
成されている。このバーチャルパーソン登録手段は、仮
想人物(バーチャルパーソン)ごとに分類して、商品を
預っているか否かを特定するための預り特定情報が記憶
される。さらに、当該商品の決済が済んでいるか否かを
特定するための決済特定情報が記憶される。また、前記
仮想人物(バーチャルパーソン)ごとに分類して当該仮
想人物(バーチャルパーソン)のEメールアドレスを記
憶している。
The convenience store 2 constitutes a merchandise depositing area for depositing merchandise purchased by a virtual person on the network. The database 17 constitutes a virtual person registration means for registering a virtual person (virtual person) who is a target for depositing products at the product deposit area. The virtual person registration means stores the custody specifying information for classifying each virtual person (virtual person) and specifying whether or not the commodity is kept. Further, payment specifying information for specifying whether or not the product has been settled is stored. Further, the virtual person (virtual person) is categorized and the e-mail address of the virtual person (virtual person) is stored.

【0348】S323により、前記商品預り場に設けら
れ、商品を預っている仮想人物(バーチャルパーソン)
のEメールアドレスに対し商品を預った旨のEメールを
送信するための処理を行なうEメール送信処理手段が構
成されている。S317〜S340により、前記商品預
り場に設けられ、ユーザが仮想人物(バーチャルパーソ
ン)として商品を引取りにきた場合に、当該ユーザに対
し該当する商品を引渡すための処理を行なう商品引渡し
処理手段が構成されている。この商品引渡し処理手段
は、引取りにきたユーザの仮想人物(バーチャルパーソ
ン)が本人であることを確認できたことを条件として引
渡し処理を行なう。前記商品引き渡し処理手段は、引き
渡す商品が決済済みであるか否かを判別し、決済済みで
ない場合には決済が行なわれたことを条件として商品の
引渡し処理を行なう。
Through S323, a virtual person (virtual person) who is provided in the product depository and is keeping the product
E-mail transmission processing means for performing processing for transmitting an e-mail indicating that the merchandise has been deposited to the e-mail address. Through S317 to S340, the product delivery processing means that is provided in the product depository and performs a process for delivering the product to the user when the user receives the product as a virtual person (virtual person). It is configured. The commodity delivery processing means carries out the delivery processing on condition that the virtual person (virtual person) of the user who came to the delivery can be confirmed as the person himself / herself. The merchandise delivery processing means determines whether or not the merchandise to be delivered has been settled, and if not settled, the merchandise delivery processing is performed on the condition that the settlement has been made.

【0349】今回開示された実施の形態はすべての点で
例示であって制限的なものではないと考えられるべきで
ある。本発明の範囲は上記した説明ではなくて特許請求
の範囲によって示され、特許請求の範囲と均等の意味お
よび範囲内でのすべての変更が含まれることが意図され
る。
The embodiments disclosed this time are to be considered as illustrative in all points and not restrictive. The scope of the present invention is shown not by the above description but by the claims, and is intended to include meanings equivalent to the claims and all modifications within the scope.

【0350】[0350]

【課題を解決するための手段の具体例】次に、課題を解
決するための各種手段と実施の形態との対応関係を以下
に示す。
Specific Examples of Means for Solving the Problems Next, the correspondence between various means for solving the problems and the embodiments will be shown below.

【0351】(1) コンピュータシステムを利用し
て、ネットワーク上で個人情報を保護する個人情報保護
方法であって、ユーザがネットワーク(広域・大容量中
継網43)を通してアクセスし自己の個人情報を提供す
るサイトを特定するために用いる識別情報であって、前
記個人情報を入手した者がその個人情報主であるユーザ
にメール(Eメール,ダイレクトメール)を送る場合に
該メールに含まれることとなる識別情報(匿名としての
トラップ型VP氏名, 図44(a)のEKSB(サイト
名),サイト毎に使い分けるEメールアドレスやダイレ
クトメール用の住所)をプロセッサ(CPU24)を利
用して生成する識別情報生成ステップ(S620とS6
21またはS960〜S956)と、該識別情報生成ス
テップにより生成された識別情報を用いてユーザがサイ
トにアクセスして個人情報を提供する個人情報提供ステ
ップ(S593,S600,S700,S701)と、
該個人情報提供ステップにより提供された前記個人情報
を入手した者が該個人情報主であるユーザに対し送った
メールに含まれている前記識別情報に基づいて特定され
る前記サイトと前記メールの送り主とが一致するか否か
を判定して前記ユーザの個人情報の流通状態を監視する
監視ステップ(S516またはS969)とを含む個人
情報保護方法。
(1) A personal information protection method for protecting personal information on a network using a computer system, in which a user accesses the network (wide area / large capacity relay network 43) and provides his / her own personal information. Identification information used to specify a site to be included in the mail when the person who obtained the personal information sends a mail (e-mail, direct mail) to the user who is the owner of the personal information. Identification for generating identification information (trap type VP name as anonymity, E KSB (site name) in FIG. 44A, E-mail address used for each site and address for direct mail) using the processor (CPU 24) Information generation step (S620 and S6
21 or S960 to S956), and a personal information providing step (S593, S600, S700, S701) in which the user accesses the site and provides personal information using the identification information generated by the identification information generating step,
The site identified by the identification information included in the email sent by the person who obtained the personal information provided by the personal information providing step to the user who is the personal information owner, and the sender of the email. And a monitoring step (S516 or S969) of monitoring the distribution state of the personal information of the user by determining whether or not

【0352】(2) 前記識別情報は、サイト毎に使い
分けるユーザの匿名(図11,図44(a)に示すトラ
ップ型VP氏名)である。
(2) The identification information is anonymity (trap type VP name shown in FIG. 11 and FIG. 44 (a)) of users who are selectively used for each site.

【0353】(3) コンピュータシステムを利用し
て、ネットワーク上での個人情報を保護する個人情報保
護装置であって、ユーザがネットワーク(広域・大容量
中継網43)を通してアクセスし自己の個人情報を提供
したサイトを特定するために用いる識別情報を特定可能
な情報であって、前記個人情報を入手した者がその個人
情報主であるユーザにメールを送る場合には該メールに
含まれることとなる識別情報を特定可能な情報(匿名と
してのトラップ型VP氏名,図44(a)のKSBとサ
イト名,サイト毎に使い分けるEメールアドレスやダイ
レクトメール用の住所)を格納する識別情報格納手段
(データベース12a,EEPROM26)と、前記個
人情報を入手した者がその個人情報主であるユーザに対
し送ったメール(Eメール,ダイレクトメール)に含ま
れている前記識別情報に基づいて特定される前記サイト
と前記メールの送り主とが一致するか否かを判定して前
記ユーザの個人情報の流通状態を監視する監視手段(S
516,S522,S523)とを含む個人情報保護装
置。
(3) A personal information protection device for protecting personal information on a network by using a computer system, in which a user accesses his / her own personal information through a network (wide area / large capacity relay network 43). It is information that can identify the identification information used to identify the provided site, and is included in the mail when the person who obtained the personal information sends a mail to the user who is the owner of the personal information. Identification information storage means (database that stores the information that can identify the identification information (trap type VP name as anonymity, KSB and site name in FIG. 44 (a), e-mail address used for each site and address for direct mail) 12a, EEPROM 26) and the mail (E-mail) sent by the person who obtained the personal information to the user who is the owner of the personal information. Direct mail) in included with the site specified based on the identification information and the sender of the email is determined whether match monitor the flow state of the personal information of the user monitoring means (S
516, S522, S523).

【0354】(4) 前記監視手段は、前記識別情報に
基づいて特定される前記サイトに前記ユーザが自己の個
人情報を提供した際に承諾した当該個人情報の流通許容
範囲内(XMLストア50のデータベース72に格納さ
れているプライバシーポリシーによって特定される流通
許容範囲内)に前記メールの送り主が含まれていない場
合に不適正である旨の判定(S523によるNOの判
定)を行なう。
(4) The monitoring means is within the permissible distribution range of the personal information that the user has consented to when the user provides his / her own personal information to the site specified based on the identification information (in the XML store 50). When the sender of the mail is not included in the distribution allowable range specified by the privacy policy stored in the database 72), it is determined to be inappropriate (NO in S523).

【0355】(5) コンピュータシステムを利用し
て、ネットワーク(広域・大容量中継網43)上での個
人情報を保護する個人情報保護装置であって、ユーザが
ネットワークを通してアクセスし自己の個人情報を提供
したサイトを特定するために用いる識別情報を特定可能
な情報であって、前記個人情報を入手した者がその個人
情報主であるユーザにメール(Eメール,ダイレクトメ
ール)を送る場合には該メールに含まれることとなる識
別情報を特定可能な情報(匿名としてのトラップ型VP
氏名,図44(a)のKSBとサイト名,サイト毎に使
い分けるEメールアドレスやダイレクトメール用の住
所)を格納する識別情報格納手段(S622,EEPR
OM26)と、ユーザがネットワークを通してサイトに
アクセスする際に、当該サイトを特定するために用いる
識別情報が既に前記識別情報格納手段に格納されている
場合には、当該格納されている識別情報を前記サイトに
対して用いるための処理を行なう識別情報使用制御手段
(S623〜S628)とを含む、個人情報保護装置。
(5) A personal information protection device for protecting personal information on a network (wide area / large capacity relay network 43) by using a computer system, in which a user can access his / her own personal information through the network. This is information that can identify identification information used to identify the provided site, and if the person who obtained the personal information sends a mail (e-mail, direct mail) to the user who is the owner of the personal information, Information that can identify the identification information that will be included in the email (trap type VP as anonymous
Identification information storage means (S622, EEPR) for storing name, KSB of FIG. 44 (a), site name, e-mail address used for each site and address for direct mail)
OM26) and, when the user accesses the site through the network, if the identification information used to identify the site is already stored in the identification information storage means, the stored identification information is stored as A personal information protection device including identification information use control means (S623 to S628) for performing processing for use on a site.

【0356】(6) ユーザと当該ユーザが用いる前記
識別情報との対応関係を特定可能な情報を守秘義務のあ
る所定機関(金融機関7)において登録する処理を行な
うための登録処理手段(S440)を、前記個人情報保
護装置がさらに含む。
(6) Registration processing means (S440) for performing processing for registering information capable of specifying the correspondence relationship between the user and the identification information used by the user at a predetermined institution (financial institution 7) having a confidentiality obligation. The personal information protection device further includes:

【0357】(7) 前記識別情報は、ユーザが前記サ
イト毎に使い分ける匿名(トラップ型VP氏名)である
(図11参照)。
(7) The identification information is anonymity (trap type VP name) used by the user for each site (see FIG. 11).

【0358】(8) 前記個人情報保護装置は、前記ユ
ーザが前記匿名を用いてネットワーク上で行動する際に
使用する前記匿名用の電子証明書を発行する処理を行な
うための電子証明書発行処理手段(S441)をさらに
含んでいる。
(8) The personal information protection device performs an electronic certificate issuing process for issuing the anonymous electronic certificate used when the user acts on the network using the anonymity. It further includes means (S441).

【0359】(9) 前記電子証明書は、ユーザと当該
ユーザが用いる前記識別情報との対応関係を特定可能な
情報を登録している守秘義務のある所定機関(金融機関
7)により発行され、前記匿名を用いるユーザが当該所
定機関において登録されているユーザであることを証明
するものである。
(9) The electronic certificate is issued by a prescribed institution (financial institution 7) having a confidentiality obligation, which registers information that can identify the correspondence between the user and the identification information used by the user, It proves that the user who uses the anonymous is a user registered in the predetermined institution.

【0360】(10) 前記ユーザが前記匿名を用いて
ネットワーク上で行動する際の住所を、前記ユーザの住
所とは異なる住所(コンビニエンスストア2の住所)に
設定する処理を行なう住所設定手段(S11,S12)
を、前記個人情報保護装置がさらに含んでいる。
(10) Address setting means (S11) for performing processing for setting an address when the user acts on the network using the anonymity to an address different from the address of the user (address of the convenience store 2). , S12)
The personal information protection device further includes:

【0361】(11) 前記住所設定手段は、所定のコ
ンビニエンスストアの住所を設定する(S11,S12
参照)。
(11) The address setting means sets an address of a predetermined convenience store (S11, S12).
reference).

【0362】(12) 前記個人情報保護装置は、前記
ユーザが前記匿名を用いてネットワーク上で行動するべ
くサイトにアクセスする場合には、ユーザが実名(たと
えば太郎)を用いてネットワーク上で行動した際にサイ
ト側からユーザを識別するために送信されてきた識別デ
ータ(クッキー)を、アクセスするサイトに送信しない
ようにするための処理を行なう識別データ制御処理手段
(S590〜S602)をさらに含む。
(12) In the personal information protection apparatus, when the user accesses the site to act on the network using the anonymity, the user acts on the network using his real name (for example, Taro). It further includes identification data control processing means (S590 to S602) for performing processing for preventing the identification data (cookie) transmitted from the site side to identify the user from being transmitted to the site to be accessed.

【0363】(13) 前記識別データ制御処理手段
は、前記匿名を用いてアクセスしたサイト(たとえばM
TT,MEC等)から送られてきた前記識別データ(ク
ッキー)のみを当該匿名専用の識別データとして格納す
る匿名対応識別データ格納手段(S595,S276,
EEPROM26のクッキーデータ記憶領域(図11参
照))と、以降ユーザが前記匿名を用いて当該匿名によ
り特定される前記サイトにアクセスする場合に、前記匿
名対応識別データ格納手段を検索して当該匿名に対応す
る識別データを割出し、該識別データを前記サイトへ送
信する識別データ検索送信手段(S623〜S628)
とを含んでいる。
(13) The identification data control processing means is a site accessed using the anonymity (for example, M
Anonymous corresponding identification data storage means (S595, S276, for storing only the identification data (cookie) sent from TT, MEC, etc.) as the identification data dedicated to the anonymity.
When the user uses the anonymity to access the site specified by the anonymity, the cookie data storage area of the EEPROM 26 (see FIG. 11) will be searched for in the anonymity-corresponding identification data storage means and the Identification data search and transmission means (S623 to S628) for indexing corresponding identification data and transmitting the identification data to the site.
Includes and.

【0364】(14) 前記個人情報保護装置は、ユー
ザが前記匿名を用いてネットワーク上で行動した場合の
行動履歴(どのサイトにアクセスしたか等のアクセス履
歴等)をどの匿名を用いて行動したかを特定できる態様
で格納する行動履歴データ格納手段(データベース12
a(図4参照))と、ユーザが前記匿名を用いてアクセ
スしたサイト側から、前記ユーザの他の匿名を用いての
ネットワーク上での行動履歴データの提供を求められた
場合に、前記行動履歴データ格納手段を検索して前記他
の匿名を用いての行動履歴データを前記サイトへ提供す
るための処理を行なう行動履歴データ提供処理手段(S
530〜S546)とをさらに含む。
(14) The personal information protection device uses which anonymity as the action history (access history such as which site is accessed) when the user acts on the network using the anonymity. Behavior history data storage means (database 12
a (see FIG. 4)), and the action is performed when the user is requested to provide action history data on the network using another anonymity of the user from the site accessed using the anonymity. Action history data providing processing means (S) for performing a process for searching the history data storage means and providing the action history data using the other anonymous to the site.
530 to S546).

【0365】(15) 前記個人情報保護装置は、前記
行動履歴データ提供処理手段に対し匿名を通知して該匿
名を用いたユーザの他の匿名を用いてのネットワーク上
での行動履歴データの提供を要求された場合に(ユーザ
の氏名が送信されてきてS535によりYESの判断が
なされた場合に)、該要求者と前記通知された匿名に基
づいて特定される前記サイトとが一致するか否かを判定
して前記ユーザの個人情報の流通状態を監視する監視手
段(S548)をさらに含む。。
(15) The personal information protection device notifies the action history data providing processing means of anonymity and provides the action history data on the network using another anonymity of the user who uses the anonymity. Is requested (when the user's name has been transmitted and the determination in S535 is YES), whether the requester matches the site specified based on the notified anonymity. It further includes a monitoring unit (S548) that determines whether or not the distribution state of the personal information of the user is monitored. .

【0366】(16) 前記個人情報保護装置は、ある
ユーザによって使用された複数種類の匿名のための共通
のクレジット番号(VP本名のクレジット番号)を各匿
名から割出し可能な態様で格納するための処理を行なう
クレジット番号格納処理手段(S438〜S440)
と、ユーザが前記匿名を用いてネットワーク上でクレジ
ット決済を行なった場合に、クレジット会社からの当該
匿名に対応するクレジット番号の有無の問合せを受付
け、前記クレジット番号登録処理手段により登録された
クレジット番号を検索して前記問合せのあった匿名に対
するクレジット番号の有無を判別し、その判別結果を前
記クレジット会社に通知するための処理を行なう通知手
段(S560〜S574)とを含んでいる。
(16) Since the personal information protection device stores a common credit number for a plurality of types of anonymity used by a user (credit number of VP real name) in a form that can be indexed from each anonymity. Credit number storage processing means (S438 to S440)
When the user makes a credit settlement on the network using the anonymity, the inquiry about the presence or absence of the credit number corresponding to the anonymity is accepted from the credit company, and the credit number registered by the credit number registration processing means. And a notification unit (S560 to S574) for performing processing for determining whether or not there is a credit number for the anonymous inquired person and notifying the credit company of the determination result.

【0367】(17) 前記個人情報保護装置は、ユー
ザが前記匿名によりネットワーク上で行動する際の当該
匿名宛の電子メールを受付け、該電子メールを当該匿名
に対応するユーザが閲覧可能な電子メールアドレスに転
送する、匿名宛電子メール転送手段(S514〜S52
2)をさらに含む。
(17) The personal information protection device receives an electronic mail addressed to the anonymity when the user acts on the network by the anonymity, and the electronic mail can be viewed by a user corresponding to the anonymity. Anonymous e-mail transfer means (S514 to S52) for transferring to an address
2) is further included.

【0368】(18) 前記個人情報保護装置は、前記
匿名宛電子メール転送手段が受付けた前記電子メールの
宛名である匿名に基づいて特定される前記サイトと前記
受付けた電子メールの送り主とが一致するか否かを判定
して前記ユーザの個人情報の流通状態を監視する監視手
段をさらに含む。
(18) In the personal information protection device, the site specified based on anonymity, which is the address of the electronic mail received by the anonymous electronic mail transfer means, matches the sender of the received electronic mail. The system further includes a monitoring unit that determines whether or not to do so and monitors the distribution state of the personal information of the user.

【0369】(19) 前記監視手段は、複数のユーザ
に対し適正であるか否かの判定サービスを行なう所定機
関(金融機関7)に設置され、該所定機関には、前記監
視手段による監視結果を集計してサイト毎の個人情報に
関する信頼度を算出する信頼度算出手段(S550,S
551)と、該信頼度算出手段により算出された信頼度
情報を提供する信頼度情報提供手段(S553)とが備
えられている。
(19) The monitoring means is installed in a predetermined institution (financial institution 7) that provides a service of determining whether or not it is appropriate for a plurality of users, and the predetermined institution provides the monitoring result by the monitoring means. Reliability calculation means (S550, S) for calculating the reliability of personal information for each site
551) and reliability information providing means (S553) for providing the reliability information calculated by the reliability calculating means.

【0370】(20) 前記匿名は、当該匿名を用いる
サイトの名称を、当該匿名を用いるユーザが使用できる
鍵(秘密鍵)で暗号化または復号化したものである。
(20) The anonymity is the name of a site using the anonymity encrypted or decrypted with a key (secret key) that can be used by a user using the anonymity.

【0371】(21) ネットワーク(広域・大容量中
継網43)上での個人情報を保護するためのプログラム
であって、プロセッサ(CPU24)に、ユーザがネッ
トワークを通してアクセスし自己の個人情報を提供した
サイトを特定するために用いる識別情報を特定可能な情
報であって、前記個人情報を入手した者がその個人情報
主であるユーザにメール(Eメール,ダイレクトメー
ル)を送る場合には該メールに含まれることとなる識別
情報を特定可能な情報(トラップ型VP氏名,図44
(a)に示すKSBとサイト名,サイト毎に使い分ける
Eメールアドレスやダイレクトメール用の住所)をメモ
リ(EEPROM26)に記憶させる識別情報記憶手段
(S622)と、ユーザがネットワークを通してサイト
にアクセスする際に、当該サイトを特定するために用い
る識別情報が既に前記メモリに記憶されている場合に
は、当該記憶されている識別情報を前記サイトに対し用
いるための処理を行なう識別情報使用制御手段(S62
5〜S627)と、して機能させるためのプログラム。
(21) A program for protecting personal information on the network (wide-area / large-capacity relay network 43), in which the user accesses the processor (CPU 24) through the network and provides his / her own personal information. Identification information that can be used to identify a site, and if the person who obtained the personal information sends a mail (email, direct mail) to the user who is the owner of the personal information, the information is sent to the mail. Information that can identify the identification information to be included (Trap type VP name, FIG.
Identification information storage means (S622) for storing the KSB shown in (a), the site name, the e-mail address used for each site and the address for direct mail) in the memory (EEPROM 26), and when the user accesses the site through the network. When the identification information used to specify the site is already stored in the memory, the identification information use control means (S62) for performing the process for using the stored identification information for the site.
5 to S627), and a program for functioning.

【0372】(22) 前記識別情報は、ユーザがサイ
ト毎に使い分ける匿名(トラップ型VP氏名)であり、
プロセッサに、さらに、前記ユーザが前記匿名を用いて
ネットワーク上で行動するべくサイトにアクセスする場
合には、ユーザが実名(たとえば太郎)を用いてネット
ワーク上で行動した際にサイト側からユーザを識別する
ために送信されてきた識別データ(クッキー)を、アク
セスするサイトに送信しないようにする処理を行なう識
別データ制御処理手段(S623〜S628)として機
能させる。
(22) The identification information is anonymity (trap type VP name) that the user uses for each site,
The processor further identifies the user from the site side when the user acts on the network using the real name (eg Taro) when the user accesses the site to act on the network using the anonymity. The identification data (cookie) transmitted to perform the operation is caused to function as identification data control processing means (S623 to S628) for performing processing for preventing the identification data (cookie) from being transmitted to the site to be accessed.

【0373】(23) 前記識別データ制御処理手段
は、前記匿名を用いてアクセスしたサイトから送られて
きた前記識別データ(クッキー)のみを当該匿名専用の
識別データとしてメモリに記憶させる匿名対応識別デー
タ記憶手段(S622)と、以降ユーザが前記匿名を用
いて当該匿名により特定される前記サイトにアクセスす
る場合に、前記メモリを検索して当該匿名に対応して格
納されている識別データを割出し、該識別データを前記
サイトへ送信するための処理を行なう識別データ検索送
信処理手段(S625〜S627)とを含む。
(23) The identification data control processing means stores only the identification data (cookie) sent from the site accessed using the anonymity in the memory as the identification data dedicated to the anonymity. When the user accesses the site specified by the anonymity using the storage means (S622) and the anonymity thereafter, the memory is searched to identify the identification data stored corresponding to the anonymity. , Identification data search and transmission processing means (S625 to S627) for performing processing for transmitting the identification data to the site.

【0374】(24) ネットワーク(広域・大容量中
継網43)上で個人情報を保護するためのプログラムで
あって、プロセッサ(CPU24)に、ユーザがネット
ワークを通してアクセスするサイトに対し、当該サイト
の名称を当該ユーザが使用できる鍵(秘密鍵KSB)に
より暗号化または復号化して生成した匿名(トラップ型
VP氏名)を使用し、匿名宛の電子メールを受信した場
合に、当該電子メールの宛名である匿名を鍵(公開鍵K
PB)により復号化または暗号化して平文のサイトの名
称に戻す変換手段(S969)と、して機能させるため
のプログラム。
(24) A program for protecting personal information on the network (wide-area / large-capacity relay network 43), which is the name of the site to which the user accesses the processor (CPU 24) through the network. Is an email address when an anonymous e-mail is received using anonymity (trap type VP name) generated by encrypting or decrypting with a key that can be used by the user (secret key KSB). Anonymous key (public key K
A program for functioning as a conversion unit (S969) for decrypting or encrypting by PB) to return to a plaintext site name.

【0375】(25) プロセッサ(CPU24)に、
さらに、前記変換手段により変換されたサイトの名称と
前記受信した電子メールの送り主の名称とが一致するか
否かを判定して前記ユーザの個人情報の流通状態を監視
する監視手段(S969、S968)として機能させ
る、プログラム。
(25) The processor (CPU 24)
Further, monitoring means (S969, S968) for monitoring the distribution state of the personal information of the user by determining whether or not the name of the site converted by the converting means matches the name of the sender of the received electronic mail. A program that functions as

【0376】本発明は、前述した(1)〜(25)のみ
に限定されるものではなく、(1)〜(25)の中から
任意に2つ以上選択したものの組合せも、本発明の解決
手段である。
The present invention is not limited to the above-mentioned (1) to (25), and any combination of two or more selected from (1) to (25) can solve the present invention. It is a means.

【0377】[0377]

【課題を解決するための手段の具体例の効果】ユーザの
個人情報を入手した者がその個人情報主であるユーザに
対し送ったメールに含まれている識別情報に基づいて、
当該個人情報を提供したサイトが特定されるのであり、
そのサイトと前記メールの送り主とが一致するか否かが
判別される。個人情報の提供を受けたサイトが他の業者
にその個人情報を流通させてその個人情報を受取った業
者から当該個人情報のユーザに対しメールが送られた場
合には、そのメールに含まれている識別情報に基づいて
特定されるサイトとそのメールの送り主である業者の名
前とが一致しないこととなる。その結果、ユーザの個人
情報の第1譲渡先のサイトから他の業者にその個人情報
が譲ったことが判別可能となる。
[Effects of Specific Examples of Means for Solving the Problem] Based on the identification information included in the mail sent to the user who is the owner of the personal information by the person who obtained the user's personal information,
The site that provided the personal information is specified,
It is determined whether the site matches the sender of the mail. If the site that receives the personal information distributes the personal information to other companies and the company that received the personal information sends an e-mail to the user of the personal information, it is included in the e-mail. The site specified based on the existing identification information does not match the name of the vendor who sends the mail. As a result, it is possible to determine that the personal information has been transferred from the first transfer destination site of the user's personal information to another trader.

【0378】前記識別情報がサイト毎に使い分けられる
ユーザの匿名の場合には、個人情報を入手した業者がユ
ーザを特定するのにその匿名を用い、その匿名からは当
該ユーザの個人情報の第1譲渡先であるサイト名が特定
できる。
When the identification information is the anonymity of the user who is properly used for each site, the anonymity is used by the trader who has obtained the personal information to identify the user. The site name of the transfer destination can be specified.

【0379】識別情報に基づいて特定されるサイトにユ
ーザが自己の個人情報を提供した際に承諾した当該個人
情報の流通許容範囲内にメールの送り主が含まれていな
い場合に不適正である旨の判定が行なわれるようにした
場合には、個人情報の譲渡時のユーザの個人情報流通許
容範囲の承諾をも考慮した適否判定が可能となる。
It is inappropriate if the sender of the mail is not included in the permissible distribution range of the personal information that the user consented to when the user provided the personal information to the site specified based on the identification information. If the determination is made, it is possible to perform the appropriateness determination in consideration of the consent of the user's personal information distribution allowable range at the time of transferring the personal information.

【0380】ユーザがネットワークを通してサイトにア
クセスする際に、当該サイトを特定するために用いる識
別情報が既に用いられている場合に、その識別情報を前
記サイトに対して用いるための処理が行なわれるため
に、同じサイトに対して複数種類の識別情報を用いる無
駄を省くことができる。
When the user accesses the site through the network, if the identification information used to identify the site is already used, a process for using the identification information for the site is performed. Moreover, it is possible to eliminate the waste of using a plurality of types of identification information for the same site.

【0381】ユーザとそのユーザが用いる前記識別情報
との対応関係を特定可能な情報が守秘義務のある所定機
関に登録された場合には、たとえばユーザと業者側との
間において、ユーザと前記識別情報との対応関係をめぐ
るトラブルが発生した場合に、所定機関に登録されてい
る対応関係の情報を参照することが可能となる。
When the information capable of identifying the correspondence between the user and the identification information used by the user is registered in a predetermined institution that has a confidentiality obligation, for example, between the user and the trader side, the identification of the user and the identification is performed. When a trouble occurs in the correspondence relationship with the information, it becomes possible to refer to the information on the correspondence relationship registered in a predetermined organization.

【0382】前記匿名用の電子証明書が発行された場合
には、ユーザがたとえば売買を行なう際に相手側にその
電子証明書を提示して匿名として売買を行なうことが可
能となり、ユーザが匿名を用いて法律行為を行なうこと
が可能となる。
When the electronic certificate for anonymity is issued, for example, when the user makes a trade, the electronic certificate can be presented to the other party to make an anonymous trade, and the user can be anonymous. It becomes possible to carry out legal acts by using.

【0383】ユーザが匿名を用いてネットワーク上で行
動する際の住所が、当該ユーザの住所とは異なる住所に
設定されれば、その住所を手掛かりにある匿名とあるユ
ーザとが同一人物であることを突き止められてしまう不
都合を極力防止することができる。
If the address used when the user acts on the network using anonymity is set to an address different from the address of the user, the anonymous person who has the address as a clue and the certain user are the same person. It is possible to prevent the inconvenience of being identified as much as possible.

【0384】ユーザが匿名を用いてネットワーク上で行
動する際の住所がコンビニエンスストアの住所であれ
ば、匿名を用いてたとえば電子ショッピング等を行なっ
た場合の商品の届出先がそのコンビニエンスストアとな
り、ユーザが匿名としてその商品を引取りに行く際の利
便性が向上する。
If the address when the user acts on the network using anonymity is the address of the convenience store, the notification destination of the product when the user uses anonymity to perform electronic shopping, for example, becomes the convenience store. Will improve the convenience when going to pick up the product anonymously.

【0385】ユーザが匿名を用いてネットワーク上で行
動するべくサイトにアクセスする場合には、ユーザが実
名を用いてネットワーク上で行動した際にサイト側から
ユーザを識別するために送信されてきた識別データを、
アクセスするサイトに送信しないようにするための処理
が行なわれた場合には、その識別データを手掛かりにあ
る匿名とあるユーザとが同一人物であることが見破られ
てしまう不都合を極力防止することができる。
When the user accesses the site by anonymously acting on the network, the identification sent from the site side to identify the user when the user acts on the network by using the real name. Data
If processing is performed to prevent transmission to a site to be accessed, it is possible to prevent the inconvenience of anonymity with the identification data being a clue that a certain user is the same person. it can.

【0386】匿名を用いてアクセスしたサイトから送ら
れてきた前記識別データのみが当該匿名専用の識別デー
タとして格納され、以降ユーザが前記匿名を用いて当該
匿名により特定されるサイトにアクセスする場合に、そ
の匿名に対応する識別データが前記サイトへ送信される
ようにした場合には、識別情報を手掛かりにある匿名と
他の匿名とが同一人物であることが見破られてしまう不
都合を極力防止することができる。
When the identification data sent from the site accessed by using anonymity is stored as identification data dedicated to the anonymity, and the user subsequently accesses the site specified by the anonymity using the anonymity. , When the identification data corresponding to the anonymity is transmitted to the site, the inconvenience that the anonymity with the identification information as a clue and the other anonymity are found to be the same person is prevented as much as possible. be able to.

【0387】その際に、ユーザが匿名を用いてアクセス
したサイト側から、ユーザの他の匿名を用いての行動履
歴データを前記サイトへ提供できるようにした場合に
は、識別データを手掛かりにある匿名と他の匿名とが同
一人物であることを見破られる不都合を防止できながら
も、同一人物に関するネットワーク上の行動履歴データ
をサイト側に提供して、その行動履歴データに基づいた
よりカスタマイズされたユーザ好みの情報やサービスを
ユーザ側に提供しやすくなる。
At that time, if the site accessed by the user using anonymity can provide the action history data using the user's other anonymity to the site, the identification data is a clue. Even if it is possible to prevent the inconvenience that anonymity and other anonymous people are the same person, it is possible to provide behavior history data on the network regarding the same person to the site side, and a more customized user based on the behavior history data. It becomes easier to provide users with desired information and services.

【0388】ユーザが匿名を用いてネットワーク上でク
レジット決済を行なった場合に、クレジット会社から当
該匿名に対応するクレジット番号の有無の問合せを受
け、その匿名のための共通のクレジット番号が検索され
て、問合せのあった匿名に対応するクレジット番号の有
無が判別され、その判別結果がクレジット会社に通知さ
れるために、複数種類の匿名のための共通のクレジット
番号までクレジット会社に登録しておく必要がなくな
り、その共通のクレジット番号を手掛かりにある匿名と
他の匿名とが同一人物であることを見破られる不都合が
極力防止できる。
When the user makes a credit settlement on the network by using anonymity, the credit company inquires about the existence of a credit number corresponding to the anonymity, and a common credit number for the anonymity is searched. , It is necessary to register with the credit company up to a common credit number for multiple types of anonymity in order to judge whether or not there is a credit number corresponding to the anonymity inquired and notify the credit company of the judgment result. Therefore, it is possible to prevent the inconvenience that it is possible to detect that the anonymous person who has the common credit number as a clue and the other anonymous person are the same person.

【0389】ユーザが匿名によりネットワーク上で行動
する際の当該匿名宛の電子メールが受付けられてその電
子メールが当該匿名に対応するユーザが閲覧可能な電子
メールアドレスに転送されるために、電子メールアドレ
スを手掛かりにある匿名と他の匿名とが同一人物である
ことを見破られる不都合を極力防止することができる。
When a user anonymously acts on the network, an e-mail addressed to the anonymity is accepted, and the e-mail is transferred to an e-mail address viewable by the user corresponding to the anonymity. It is possible to prevent the inconvenience of discovering that the anonymous person who has the address as a clue and the other anonymous person are the same person.

【0390】その匿名宛の電子メールの転送の際に、そ
の電子メールの宛名である匿名に基づいて特定されるサ
イトとその電子メールの送り主とが一致するか否かを判
定してユーザの個人情報の流通状態が監視されるため
に、電子メールの転送時に自動的に監視がなされてユー
ザの利便性が向上する。
When transferring an electronic mail addressed to the anonymity, it is judged whether or not the site specified based on the anonymity which is the address of the electronic mail and the sender of the electronic mail match, and the user's individual Since the distribution state of information is monitored, the monitoring is automatically performed when the electronic mail is transferred, which improves the convenience of the user.

【0391】信頼度算出手段により算出されたサイト毎
の個人情報に関する信頼度が提供されれば、ユーザがサ
イトに対し個人情報を提供する際の判断基準となり、ユ
ーザの利便性が向上する。
If the reliability regarding the personal information for each site calculated by the reliability calculating means is provided, it becomes a criterion for the user to provide the personal information to the site, and the convenience for the user is improved.

【0392】ユーザが使用できる鍵でサイトの名称を暗
号化または復号化したものを、当該サイトに用いる匿名
にした場合には、業者側から送られてきたメールの宛名
である匿名を、鍵により復号化または暗号化することに
よってサイト名に変換することができる。
When the site name is encrypted or decrypted with a key that can be used by the user and is made anonymous for the site, the anonymity, which is the address of the mail sent from the trader side, is changed by the key. It can be converted into a site name by decrypting or encrypting.

【図面の簡単な説明】[Brief description of drawings]

【図1】 個人情報保護システムの全体構成を示す概略
システム図である。
FIG. 1 is a schematic system diagram showing an overall configuration of a personal information protection system.

【図2】 (a)は会社の概略構成を示し、(b)はユ
ーザ宅の概略構成を示す図である。
FIG. 2A is a diagram showing a schematic configuration of a company, and FIG. 2B is a diagram showing a schematic configuration of a user's house.

【図3】 金融機関に設置されたデータベースに記憶さ
れている各種データを示す説明図である。
FIG. 3 is an explanatory diagram showing various data stored in a database installed in a financial institution.

【図4】 金融機関に設置されたデータベースに記憶さ
れている各種データを示す説明図である。
FIG. 4 is an explanatory diagram showing various data stored in a database installed in a financial institution.

【図5】 金融機関に設置されたデータベースに記憶さ
れている各種データを示す説明図である。
FIG. 5 is an explanatory diagram showing various data stored in a database installed in a financial institution.

【図6】 金融機関に設置されているデータベースに記
憶されている各種データを示す説明図である。
FIG. 6 is an explanatory diagram showing various data stored in a database installed in a financial institution.

【図7】 XMLストアのデータベースに記憶されてい
る各種データを示す説明図である。
FIG. 7 is an explanatory diagram showing various data stored in a database of an XML store.

【図8】 コンビニエンスストアに設置されているデー
タベースに記憶されている各種情報を説明するための説
明図である。
FIG. 8 is an explanatory diagram for explaining various kinds of information stored in a database installed in a convenience store.

【図9】 ユーザ端末の一例としてのブラウザフォンを
示す正面図である。
FIG. 9 is a front view showing a browser phone as an example of a user terminal.

【図10】 ユーザに携帯されるVP用IC端末の回路
を示すブロック図および記憶情報の内訳を示す図であ
る。
FIG. 10 is a block diagram showing a circuit of a VP IC terminal carried by a user and a diagram showing a breakdown of stored information.

【図11】 VP用IC端末のクッキーデータ記憶領域
に記憶されているクッキーデータの内訳を示す図であ
る。
FIG. 11 is a diagram showing a breakdown of cookie data stored in the cookie data storage area of the VP IC terminal.

【図12】 VP管理サーバの処理動作を示すフローチ
ャートである。
FIG. 12 is a flowchart showing the processing operation of the VP management server.

【図13】 (a)はVP管理サーバの処理動作を示す
フローチャートであり、(b)は個人情報の登録処理の
サブルーチンプログラムを示すフローチャートである。
FIG. 13A is a flowchart showing a processing operation of the VP management server, and FIG. 13B is a flowchart showing a subroutine program of personal information registration processing.

【図14】 トラップ情報の登録処理のサブルーチンプ
ログラムを示すフローチャートである。
FIG. 14 is a flowchart showing a subroutine program of trap information registration processing.

【図15】 個人情報の確認処理のサブルーチンプログ
ラムを示すフローチャートである。
FIG. 15 is a flowchart showing a subroutine program of personal information confirmation processing.

【図16】 個人情報の照合,流通チェックのサブルー
チンプログラムを示すフローチャートである。
FIG. 16 is a flowchart showing a subroutine program for collating personal information and checking distribution.

【図17】 (a)は個人情報の照合,流通チェックの
サブルーチンプログラムを示すフローチャートであり、
(b)は個人情報の販売代行のサブルーチンプログラム
を示すフローチャートである。
FIG. 17 (a) is a flowchart showing a subroutine program of personal information collation and distribution check,
(B) is a flowchart showing a subroutine program for selling personal information.

【図18】 メール転送,流通チェックのサブルーチン
プログラムを示すフローチャートである。
FIG. 18 is a flowchart showing a subroutine program for mail transfer and distribution check.

【図19】 他のトラップ型VPのアクセス履歴の提供
処理のサブルーチンプログラムを示すフローチャートで
ある。
FIG. 19 is a flowchart showing a subroutine program of another trap type VP access history providing processing.

【図20】 信頼度ランキング情報の集計,提供処理の
サブルーチンプログラムを示すフローチャートである。
FIG. 20 is a flowchart showing a subroutine program of a process of collecting and providing reliability ranking information.

【図21】 認証用サーバの処理動作を示すフローチャ
ートである。
FIG. 21 is a flowchart showing the processing operation of the authentication server.

【図22】 決済サーバの処理動作を示すフローチャー
トである。
FIG. 22 is a flowchart showing the processing operation of the payment server.

【図23】 決済処理のサブルーチンプログラムを示す
フローチャートである。
FIG. 23 is a flowchart showing a subroutine program of settlement processing.

【図24】 (a)は決済処理のサブルーチンの一部を
示し、(b)は正当機関証明処理のサブルーチンプログ
ラムを示すフローチャートである。
FIG. 24A is a flowchart showing a part of a settlement process subroutine, and FIG. 24B is a flowchart showing a legitimate institution certification process subroutine program.

【図25】 クレジットカード発行会社からの問合せ処
理のサブルーチンプログラムを示すフローチャートであ
る。
FIG. 25 is a flowchart showing a subroutine program of inquiry processing from the credit card issuing company.

【図26】 ブラウザフォンの処理動作を示すフローチ
ャートである。
FIG. 26 is a flowchart showing the processing operation of the browser phone.

【図27】 VP用クッキー処理のサブルーチンプログ
ラムを示すフローチャートである。
FIG. 27 is a flowchart showing a subroutine program of VP cookie processing.

【図28】 (a)は住所,氏名,Eメールアドレスの
送信処理のサブルーチンプログラムを示すフローチャー
トであり、(b)はRP用のクッキー処理のサブルーチ
ンプログラムを示すフローチャートである。
28A is a flowchart showing a subroutine program of address, name, and email address transmission processing, and FIG. 28B is a flowchart showing a subroutine program of RP cookie processing.

【図29】 VP出生依頼処理のサブルーチンプログラ
ムを示すフローチャートである。
FIG. 29 is a flowchart showing a subroutine program of VP birth request processing.

【図30】 (a)は正当機関チェック処理のサブルー
チンプログラムを示すフローチャートであり、(b)は
電子証明書発行要求処理のサブルーチンプログラムを示
すフローチャートである。
FIG. 30A is a flowchart showing a subroutine program of legitimate institution check processing, and FIG. 30B is a flowchart showing a subroutine program of electronic certificate issuance request processing.

【図31】 (a)はVP用入力処理のサブルーチンプ
ログラムを示すフローチャートであり、(b)はRP用
入力処理のサブルーチンプログラムを示すフローチャー
トである。
FIG. 31A is a flowchart showing a subroutine program of VP input processing, and FIG. 31B is a flowchart showing a subroutine program of RP input processing.

【図32】 SETによる決済処理の概要を説明するた
めの説明図である。
FIG. 32 is an explanatory diagram illustrating an outline of settlement processing by SET.

【図33】 VP用決済処理のサブルーチンプログラム
を示すフローチャートである。
FIG. 33 is a flowchart showing a subroutine program of VP settlement processing.

【図34】 (a)は本人証明処理のサブルーチンプロ
グラムを示すフローチャートであり、(b)はVP用決
済処理のサブルーチンプログラムの一部を示すフローチ
ャートである。
FIG. 34 (a) is a flowchart showing a subroutine program of identity verification processing, and FIG. 34 (b) is a flowchart showing a part of a subroutine program of VP settlement processing.

【図35】 VP用決済処理のサブルーチンプログラム
の一部を示すフローチャートである。
FIG. 35 is a flowchart showing a part of a subroutine program of VP settlement processing.

【図36】 (a)はVP用Webブラウザ,メール処
理のサブルーチンプログラムを示すフローチャートであ
り、(b)は偽RPアクセス処理のサブルーチンプログ
ラムを示すフローチャートである。
FIG. 36A is a flowchart showing a subroutine program of a VP Web browser and mail processing, and FIG. 36B is a flowchart showing a subroutine program of false RP access processing.

【図37】 (a)はVP用IC端末の処理動作を示す
フローチャートであり、(b)はRP用IC端末の処理
動作を示すフローチャートである。
37A is a flowchart showing a processing operation of the VP IC terminal, and FIG. 37B is a flowchart showing a processing operation of the RP IC terminal.

【図38】 (a)は暗証番号チェック処理のサブルー
チンプログラムを示すフローチャートであり、(b)は
クッキー処理(VP用)のサブルーチンプログラムを示
すフローチャートであり、(c)は本人証明処理(VP
用)のサブルーチンプログラムを示すフローチャートで
あり、(d)は本人証明処理(RP用)のサブルーチン
プログラムを示すフローチャートである。
38A is a flowchart showing a subroutine program of a personal identification number checking process, FIG. 38B is a flowchart showing a subroutine program of a cookie process (for VP), and FIG. 38C is a personal identification process (VP).
(D) is a flowchart showing a subroutine program, and (d) is a flowchart showing a subroutine program of identity verification processing (for RP).

【図39】 (a)はデータ入力処理のサブルーチンプ
ログラムを示すフローチャートであり、(b)はユーザ
エージェント動作処理のサブルーチンプログラムを示す
フローチャートであり、(c)はリロード金額の使用処
理のサブルーチンプログラムを示すフローチャートであ
り、(d)はRP署名処理のサブルーチンプログラムを
示すフローチャートであり、(e)はVP署名処理のサ
ブルーチンプログラムを示すフローチャートである。
39A is a flowchart showing a subroutine program of data input processing, FIG. 39B is a flowchart showing a subroutine program of user agent operation processing, and FIG. 39C is a subroutine program of usage processing of reload amount. It is a flowchart shown, (d) is a flowchart which shows the subroutine program of RP signature processing, (e) is a flowchart which shows the subroutine program of VP signature processing.

【図40】 その他の動作処理のサブルーチンプログラ
ムを示すフローチャートである。
FIG. 40 is a flowchart showing a subroutine program of other operation processing.

【図41】 トラップ型VP処理のサブルーチンプログ
ラムを示すフローチャートである。
FIG. 41 is a flowchart showing a subroutine program of trap type VP processing.

【図42】 コンビニサーバの処理動作を示すフローチ
ャートである。
FIG. 42 is a flowchart showing the processing operation of the convenience store server.

【図43】 (a)は暗証番号チェック処理のサブルー
チンプログラムを示すフローチャートであり、(b)は
本人チェック処理のサブルーチンプログラムを示すフロ
ーチャートであり、(c)は決済処理のサブルーチンプ
ログラムを示すフローチャートである。
43 (a) is a flowchart showing a subroutine program of personal identification number checking processing, FIG. 43 (b) is a flowchart showing a subroutine program of personal identification checking processing, and FIG. 43 (c) is a flowchart showing a subroutine program of settlement processing. is there.

【図44】 別実施の形態を示し、(a)は、VP用I
C端末に記憶されているトラップ情報であり、(b)
は、トラップ型VP処理のサブルーチンプログラムを示
すフローチャートであり、(c)は、VP用IC端末の
制御動作を示すフローチャートである。
FIG. 44 shows another embodiment, in which (a) shows an I for VP.
It is the trap information stored in the C terminal, (b)
FIG. 7 is a flowchart showing a subroutine program of trap type VP processing, and FIG. 7C is a flowchart showing a control operation of the IC terminal for VP.

【符号の説明】[Explanation of symbols]

Iはインターネット、43は広域・大容量中継網、1は
サプライヤ群、4はクレジットカード発行会社群、7は
金融機関群、5は加盟店契約会社群、50はXMLスト
ア、2はコンビニエンスストア群、45は会社群、30
はブラウザフォン、54は携帯電話網、55は基地局、
47はユーザ宅、9はVP管理サーバ、10は決済サー
バ、11は認証用サーバ、12a,12bはデータベー
ス、72はデータベース、75はデータベース、19V
はVP用IC端末、19RはRP用IC端末、18はU
SBポート、26はEEPROM、33は支払承認部、
34は支払要求部である。
I is the Internet, 43 is a wide area / large capacity relay network, 1 is a supplier group, 4 is a credit card issuing company group, 7 is a financial institution group, 5 is a member store contract company group, 50 is an XML store, and 2 is a convenience store group. , 45 are companies, 30
Is a browser phone, 54 is a mobile phone network, 55 is a base station,
47 is a user's house, 9 is a VP management server, 10 is a payment server, 11 is an authentication server, 12a and 12b are databases, 72 is a database, 75 is a database, and 19V.
Is an IC terminal for VP, 19R is an IC terminal for RP, and 18 is U
SB port, 26 is EEPROM, 33 is payment approval section,
34 is a payment requesting unit.

フロントページの続き (72)発明者 塚本 豊 神奈川県横浜市青葉区美しが丘5丁目35番 地の2 株式会社ローレルインテリジェン トシステムズ内 Fターム(参考) 5B017 AA07 CA16 5B085 AA08 AE00 Continued front page    (72) Inventor Yutaka Tsukamoto             5-35 Utsukushigaoka, Aoba-ku, Yokohama-shi, Kanagawa             Earth 2 Laurel Intelligence Co., Ltd.             Toto Systems F-term (reference) 5B017 AA07 CA16                 5B085 AA08 AE00

Claims (25)

【特許請求の範囲】[Claims] 【請求項1】 コンピュータシステムを利用して、ネッ
トワーク上での個人情報を保護する個人情報保護方法で
あって、 ユーザがネットワークを通してアクセスし自己の個人情
報を提供するサイトを特定するために用いる識別情報で
あって、前記個人情報を入手した者がその個人情報主で
あるユーザにメールを送る場合には該メールに含まれる
こととなる識別情報をプロセッサを利用して生成する識
別情報生成ステップと、 該識別情報生成ステップにより生成された識別情報を用
いてユーザがサイトにアクセスして個人情報を提供する
個人情報提供ステップと、 該個人情報提供ステップにより提供された前記個人情報
を入手した者が該個人情報主であるユーザに対し送った
メールに含まれている前記識別情報に基づいて特定され
る前記サイトと前記メールの送り主とが一致するか否か
を判定して前記ユーザの個人情報の流通状態を監視する
監視ステップとを含む、個人情報保護方法。
1. A personal information protection method for protecting personal information on a network by using a computer system, the identification being used by a user to identify a site which is accessed through the network and provides his / her own personal information. An identification information generating step of generating, by using a processor, identification information that is included in the email when the person who has obtained the personal information sends the email to the user who is the personal information owner; A personal information providing step in which a user accesses a site and provides personal information using the identification information generated in the identification information generating step; and a person who has obtained the personal information provided in the personal information providing step The site specified based on the identification information included in the email sent to the user who is the personal information owner And a monitoring step of monitoring whether the distribution state of the personal information of the user is determined by determining whether the sender of the email matches.
【請求項2】 前記識別情報は、サイト毎に使い分ける
ユーザの匿名である、請求項1に記載の個人情報保護方
法。
2. The personal information protection method according to claim 1, wherein the identification information is anonymity of users who are selectively used for each site.
【請求項3】 コンピュータシステムを利用して、ネッ
トワーク上での個人情報を保護する個人情報保護装置で
あって、 ユーザがネットワークを通してアクセスし自己の個人情
報を提供したサイトを特定するために用いる識別情報を
特定可能な情報であって、前記個人情報を入手した者が
その個人情報主であるユーザにメールを送る場合には該
メールに含まれることとなる識別情報を特定可能な情報
を格納する識別情報格納手段と、 前記個人情報を入手した者がその個人情報主であるユー
ザに対し送ったメールに含まれている前記識別情報に基
づいて特定される前記サイトと前記メールの送り主とが
一致するか否かを判定して前記ユーザの個人情報の流通
状態を監視する監視手段とを含む、個人情報保護装置。
3. A personal information protection device for protecting personal information on a network using a computer system, the identification being used for identifying a site that a user has accessed through the network and provided his / her personal information. Information that can specify information and that can identify identification information that will be included in the mail when the person who obtained the personal information sends a mail to the user who is the owner of the personal information Identification information storage means, the site specified based on the identification information included in the email sent by the person who obtained the personal information to the user who is the personal information owner, and the sender of the email match. A personal information protection device, comprising: a monitoring unit that determines whether or not to do so and monitors the distribution state of the personal information of the user.
【請求項4】 前記監視手段は、前記識別情報に基づい
て特定される前記サイトに前記ユーザが自己の個人情報
を提供した際に承諾した当該個人情報の流通許容範囲内
に前記メールの送り主が含まれていない場合に不適正で
ある旨の判定を行なう、請求項3に記載の個人情報保護
装置。
4. The monitoring means is arranged such that the sender of the mail is within the allowable distribution range of the personal information that the user has consented to when the user provides his / her own personal information to the site specified based on the identification information. The personal information protection device according to claim 3, wherein when it is not included, it is determined that it is inappropriate.
【請求項5】 コンピュータシステムを利用して、ネッ
トワーク上での個人情報を保護する個人情報保護装置で
あって、 ユーザがネットワークを通してアクセスし自己の個人情
報を提供したサイトを特定するために用いる識別情報を
特定可能な情報であって、前記個人情報を入手した者が
その個人情報主であるユーザにメールを送る場合には該
メールに含まれることとなる識別情報を特定可能な情報
を格納する識別情報格納手段と、 ユーザがネットワークを通してサイトにアクセスする際
に、当該サイトを特定するために用いる識別情報が既に
前記識別情報格納手段に格納されている場合には、当該
格納されている識別情報を前記サイトに対して用いるた
めの処理を行なう識別情報使用制御手段とを含む、個人
情報保護装置。
5. A personal information protection device for protecting personal information on a network using a computer system, the identification being used for identifying a site that a user has accessed through the network and provided his / her personal information. Information that can specify information and that can identify identification information that will be included in the mail when the person who obtained the personal information sends a mail to the user who is the owner of the personal information is stored. If the identification information storage means and the identification information used to identify the site when the user accesses the site through the network are already stored in the identification information storage means, the stored identification information A personal information protection device, including: identification information use control means for performing a process for using the above information for the site.
【請求項6】 ユーザと当該ユーザが用いる前記識別情
報との対応関係を特定可能な情報を守秘義務のある所定
機関において登録する処理を行なうための登録処理手段
をさらに含む、請求項3〜請求項5のいずれかに記載の
個人情報保護装置。
6. The method according to claim 3, further comprising registration processing means for performing processing of registering information capable of specifying a correspondence relationship between a user and the identification information used by the user at a predetermined institution that has a confidentiality obligation. Item 6. The personal information protection device according to any one of items 5.
【請求項7】 前記識別情報は、ユーザが前記サイト毎
に使い分ける匿名である、請求項3〜請求項6のいずれ
かに記載の個人情報保護装置。
7. The personal information protection apparatus according to claim 3, wherein the identification information is anonymity used by the user for each site.
【請求項8】 前記ユーザが前記匿名を用いてネットワ
ーク上で行動する際に使用する前記匿名用の電子証明書
を発行するための処理を行なう電子証明書発行処理手段
をさらに含む、請求項7に記載の個人情報保護装置。
8. The electronic certificate issuance processing means for performing a process for issuing the anonymity electronic certificate used when the user acts on the network using the anonymity. Personal information protection device described in.
【請求項9】 前記電子証明書は、ユーザと当該ユーザ
が用いる前記識別情報との対応関係を特定可能な情報を
登録している守秘義務のある所定機関により発行され、
前記匿名を用いるユーザが当該所定機関において登録さ
れているユーザであることを証明するものである、請求
項8に記載の個人情報保護装置。
9. The electronic certificate is issued by a prescribed institution that has a confidentiality obligation and registers information that can identify a correspondence relationship between a user and the identification information used by the user,
The personal information protection device according to claim 8, which proves that the user who uses the anonymity is a user registered in the predetermined institution.
【請求項10】 前記ユーザが前記匿名を用いてネット
ワーク上で行動する際の住所を、当該ユーザの住所とは
異なる住所に設定する処理を行なう住所設定手段をさら
に含む、請求項7〜請求項9のいずれかに記載の個人情
報保護装置。
10. The method according to claim 7, further comprising an address setting unit configured to set an address when the user acts on the network using the anonymity to an address different from the address of the user. 9. The personal information protection device according to any one of 9.
【請求項11】 前記住所設定手段は、所定のコンビニ
エンスストアの住所を設定する、請求項10に記載の個
人情報保護装置。
11. The personal information protection apparatus according to claim 10, wherein the address setting unit sets an address of a predetermined convenience store.
【請求項12】 前記ユーザが前記匿名を用いてネット
ワーク上で行動するべくサイトにアクセスする場合に
は、ユーザが実名を用いてネットワーク上で行動した際
にサイト側からユーザを識別するために送信されてきた
識別データを、アクセスするサイトに送信しないように
するための処理を行なう識別データ制御処理手段をさら
に含む、請求項7〜請求項11のいずれかに記載の個人
情報保護装置。
12. When the user accesses the site to act on the network using the anonymity, the site side transmits the user to identify the user when the user acts on the network using the real name. 12. The personal information protection apparatus according to claim 7, further comprising an identification data control processing unit that performs processing for preventing the transmitted identification data from being transmitted to an access site.
【請求項13】 前記識別データ制御処理手段は、 前記匿名を用いてアクセスしたサイトから送られてきた
前記識別データのみを当該匿名専用の識別データとして
格納する匿名対応識別データ格納手段と、 以降ユーザが前記匿名を用いて当該匿名により特定され
る前記サイトにアクセスする場合に、前記匿名対応識別
データ格納手段を検索して当該匿名に対応する識別デー
タを割出し、該識別データを前記サイトへ送信する識別
データ検索送信手段とを含む、請求項7〜請求項12の
いずれかに記載の個人情報保護装置。
13. The identification data control processing means stores anonymity-corresponding identification data storage means for storing only the identification data sent from a site accessed using the anonymity as identification data dedicated to the anonymity, and a user thereafter. When using the anonymity to access the site specified by the anonymity, the anonymity-corresponding identification data storage means is searched to identify the identification data corresponding to the anonymity, and the identification data is transmitted to the site. The personal information protection device according to any one of claims 7 to 12, further comprising: identification data search and transmission means.
【請求項14】 ユーザが前記匿名を用いてネットワー
ク上で行動した場合の行動履歴をどの匿名を用いて行動
したかを特定できる態様で格納する行動履歴データ格納
手段と、 ユーザが前記匿名を用いてアクセスしたサイト側から、
前記ユーザの他の匿名を用いてのネットワーク上での行
動履歴データの提供を求められた場合に、前記行動履歴
データ格納手段を検索して前記他の匿名を用いての行動
履歴データを前記サイトへ提供するための処理を行なう
行動履歴データ提供処理手段とをさらに含む、請求項1
3に記載の個人情報保護装置。
14. An action history data storage means for storing an action history when a user acts on a network using the anonymity in a form that can specify which anonymity is used, and a user uses the anonymity. From the site side accessed by
When it is requested to provide action history data on the network using another anonymity of the user, the action history data storage means is searched to obtain the action history data using the other anonymity on the site. And a behavior history data providing processing unit that performs a process for providing the action history data.
The personal information protection device described in 3.
【請求項15】 前記行動履歴データ提供処理手段に対
し匿名を通知して該匿名を用いたユーザの他の匿名を用
いてのネットワーク上での行動履歴データの提供を要求
された場合に、該要求者と前記通知された匿名に基づい
て特定される前記サイトとが一致するか否かを判定して
前記ユーザの個人情報の流通状態を監視する監視手段を
さらに含む、請求項14に記載の個人情報保護装置。
15. When the action history data providing processing means is notified of anonymity and requested to provide action history data on a network using another anonymity of the user who uses the anonymity, 15. The monitoring device according to claim 14, further comprising a monitoring unit that determines whether or not the requester and the site specified based on the notified anonymity match and monitors the distribution state of the personal information of the user. Personal information protection device.
【請求項16】 或るユーザによって使用された複数種
類の匿名のための共通のクレジット番号を各匿名から割
出し可能な態様で格納するための処理を行なうクレジッ
ト番号格納処理手段と、 ユーザが前記匿名を用いてネットワーク上でクレジット
決済を行なった場合に、クレジット会社からの当該匿名
に対応するクレジット番号の有無の問合せを受付け、前
記クレジット番号登録処理手段により登録されたクレジ
ット番号を検索して前記問合せのあった匿名に対応する
クレジット番号の有無を判別し、その判別結果を前記ク
レジット会社に通知するための処理を行なう通知手段と
を含む、請求項7〜請求項15のいずれかに記載の個人
情報保護装置。
16. A credit number storage processing unit for performing processing for storing a common credit number for anonymity of a plurality of types used by a user in a form that can be indexed from each anonymity; When credit settlement is performed on the network using anonymity, the inquiry about the presence or absence of the credit number corresponding to the anonymity is accepted from the credit company, and the credit number registered by the credit number registration processing means is searched to retrieve the credit number. 16. A notification unit for determining whether or not there is a credit number corresponding to anonymity inquired and notifying the credit company of the determination result. Personal information protection device.
【請求項17】 ユーザが前記匿名によりネットワーク
上で行動する際の当該匿名宛の電子メールを受付け、該
電子メールを当該匿名に対応するユーザが閲覧可能な電
子メールアドレスに転送する、匿名宛電子メール転送手
段をさらに含む、請求項7〜請求項16のいずれかに記
載の個人情報保護装置。
17. An anonymous addressee, which accepts an electronic mail addressed to the anonymous when the user acts on the network by the anonymity, and transfers the electronic mail to an electronic mail address viewable by a user corresponding to the anonymous name. The personal information protection apparatus according to any one of claims 7 to 16, further comprising a mail transfer unit.
【請求項18】 前記匿名宛電子メール転送手段が受付
けた前記電子メールの宛名である匿名に基づいて特定さ
れる前記サイトと前記受付けた電子メールの送り主とが
一致するか否かを判定して前記ユーザの個人情報の流通
状態を監視する監視手段をさらに含む、請求項17に記
載の個人情報保護装置。
18. A determination is made as to whether or not the site specified based on anonymity, which is the address of the electronic mail received by the anonymous electronic mail transfer means, matches the sender of the received electronic mail. The personal information protection apparatus according to claim 17, further comprising a monitoring unit that monitors a distribution state of the personal information of the user.
【請求項19】 前記監視手段は、複数のユーザに対し
個人情報の監視サービスを行なう所定機関に設置され、
該所定機関には、前記監視手段による監視結果を集計し
てサイト毎の個人情報に関する信頼度を算出する信頼度
算出手段と、該信頼度算出手段により算出された信頼度
情報を提供する信頼度情報提供手段とが備えられてい
る、請求項3〜請求項18のいずれかに記載の個人情報
保護装置。
19. The monitoring means is installed in a predetermined institution that provides a personal information monitoring service to a plurality of users,
A reliability calculation means for collecting the monitoring results of the monitoring means to calculate the reliability of personal information for each site, and a reliability for providing the reliability information calculated by the reliability calculation means to the predetermined organization. The personal information protection apparatus according to any one of claims 3 to 18, further comprising: an information providing unit.
【請求項20】 前記匿名は、当該匿名を用いるサイト
の名称を、当該匿名を用いるユーザが使用できる鍵で暗
号化または復号化したものである、請求項7〜請求項1
9のいずれかに記載の個人情報保護装置。
20. The anonymity is obtained by encrypting or decrypting a name of a site that uses the anonymity with a key that can be used by a user who uses the anonymity.
9. The personal information protection device according to any one of 9.
【請求項21】 ネットワーク上での個人情報を保護す
るためのプログラムであって、 プロセッサに、 ユーザがネットワークを通してアクセスし自己の個人情
報を提供したサイトを特定するために用いる識別情報を
特定可能な情報であって、前記個人情報を入手した者が
その個人情報主であるユーザにメールを送る場合には該
メールに含まれることとなる識別情報を特定可能な情報
をメモリに記憶させる識別情報記憶手段と、 ユーザがネットワークを通してサイトにアクセスする際
に、当該サイトを特定するために用いる識別情報が既に
前記メモリに記憶されている場合には、当該記憶されて
いる識別情報を前記サイトに対して用いるための処理を
行なう識別情報使用制御手段と、 して機能させるためのプログラム。
21. A program for protecting personal information on a network, the processor being capable of identifying identification information used for identifying a site that a user has accessed through the network and provided his / her own personal information. Identification information storage for storing, in a memory, information that can identify the identification information to be included in the mail when the person who obtained the personal information sends a mail to the user who is the personal information owner Means and, when the user accesses the site through the network, if the identification information used to identify the site is already stored in the memory, the stored identification information is stored for the site. Identification information use control means for performing processing for use, and a program for causing it to function.
【請求項22】 前記識別情報は、ユーザがサイト毎に
使い分ける匿名であり、 プロセッサに、さらに、 前記ユーザが前記匿名を用いてネットワーク上で行動す
るべくサイトにアクセスする場合には、ユーザが実名を
用いてネットワーク上で行動した際にサイト側からユー
ザを識別するために送信されてきた識別データを、アク
セスするサイトに送信しないようにする処理を行なう識
別データ制御処理手段として機能させる、請求項21に
記載のプログラム。
22. The identification information is anonymity used by the user for each site, and if the user further accesses the site to act on the network using the anonymity, the user uses the real name. A function as an identification data control processing means for performing a process of preventing the identification data transmitted from the site side to identify the user when acting on the network using 21. The program according to 21.
【請求項23】 前記識別データ制御処理手段は、 前記匿名を用いてアクセスしたサイトから送られてきた
前記識別データのみを当該匿名専用の識別データとして
前記メモリに記憶させる匿名対応識別データ記憶手段
と、 以降ユーザが前記匿名を用いて当該匿名により特定され
る前記サイトにアクセスする場合に、前記メモリを検索
して当該匿名に対応して格納されている識別データを割
出し、該識別データを前記サイトへ送信するための処理
を行なう識別データ検索送信処理手段とを含む、請求項
22に記載のプログラム。
23. Anonymity-corresponding identification data storage means for storing, in the memory, only the identification data sent from a site accessed using the anonymity in the memory as identification data dedicated to the anonymity. When the user subsequently uses the anonymity to access the site specified by the anonymity, the user searches the memory to identify the identification data stored corresponding to the anonymity, 23. The program according to claim 22, further comprising identification data search and transmission processing means for performing processing for transmission to a site.
【請求項24】 ネットワーク上で個人情報を保護する
ためのプログラムであって、 プロセッサに、 ユーザがネットワークを通してアクセスするサイトに対
し、当該サイトの名称を当該ユーザが使用できる鍵によ
り暗号化または復号化して生成した匿名を使用し、匿名
宛の電子メールを受信した場合に、当該電子メールの宛
名である匿名を鍵により復号化または暗号化して平文の
サイトの名称に戻す変換手段と、して機能させるための
プログラム。
24. A program for protecting personal information on a network, wherein a processor encrypts or decrypts a name of a site accessed by a user through the network with a key usable by the user. When using anonymity generated by using the above, when receiving an e-mail addressed to anonymity, it functions as a conversion means to decrypt or encrypt the anonymity that is the address of the e-mail with a key and return it to the plaintext site name A program to let you.
【請求項25】 プロセッサに、さらに、 前記変換手段により変換されたサイトの名称と前記受信
した電子メールの送り主の名称とが一致するか否かを判
定して前記ユーザの個人情報の流通状態を監視する監視
手段として機能させる、請求項24に記載のプログラ
ム。
25. The processor further determines whether or not the name of the site converted by the conversion means and the name of the sender of the received electronic mail match to determine the distribution status of the personal information of the user. The program according to claim 24, which is caused to function as monitoring means for monitoring.
JP2001258259A 2000-10-17 2001-08-28 Personal information protection device Expired - Lifetime JP5158662B2 (en)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2001258259A JP5158662B2 (en) 2001-08-28 2001-08-28 Personal information protection device
PCT/JP2001/008896 WO2002033610A1 (en) 2000-10-17 2001-10-10 Personal information protective method, personal information protective system, processing device, portable transmitter/receiver, and program
AU2001295913A AU2001295913A1 (en) 2000-10-17 2001-10-10 Personal information protective method, personal information protective system, processing device, portable transmitter/receiver, and program
US10/398,743 US8171556B2 (en) 2000-10-17 2001-10-10 Personal information protection method, personal information protection system, processing device, portable transmitter/receiver, and program
US12/613,757 US20100063929A1 (en) 2000-10-17 2009-11-06 Personal Information Protection Method, Personal Information Protection System, Processing Device, Portable Transmitter/Receiver and Program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001258259A JP5158662B2 (en) 2001-08-28 2001-08-28 Personal information protection device

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2010254057A Division JP5168676B2 (en) 2010-11-12 2010-11-12 Personal information protection device

Publications (2)

Publication Number Publication Date
JP2003067524A true JP2003067524A (en) 2003-03-07
JP5158662B2 JP5158662B2 (en) 2013-03-06

Family

ID=19085813

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001258259A Expired - Lifetime JP5158662B2 (en) 2000-10-17 2001-08-28 Personal information protection device

Country Status (1)

Country Link
JP (1) JP5158662B2 (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004272921A (en) * 2003-03-11 2004-09-30 Microsoft Corp System and method for protecting identification information
JP2005228198A (en) * 2004-02-16 2005-08-25 Mitsubishi Electric Corp Data transmitter-receiver and method for issuing electronic certificate
JP2006254078A (en) * 2005-03-10 2006-09-21 Nippon Telegr & Teleph Corp <Ntt> Anonymous access authentication method and program
JP2013012224A (en) 2012-08-30 2013-01-17 Yutaka Tsukamoto Personal information protection device
JP2015079501A (en) * 2013-10-15 2015-04-23 グーグル インコーポレイテッド Accessing location-based content
JP2015187779A (en) * 2014-03-26 2015-10-29 株式会社エヌ・ティ・ティ・データ Information processing system, information processing method, and program
CN106372524A (en) * 2015-07-23 2017-02-01 波音公司 Personally identifiable information (PII) disclosure detection
WO2020188665A1 (en) * 2019-03-15 2020-09-24 三菱電機株式会社 Personal information management device, personal information management system, personal information management method, and program

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210016838A (en) 2019-08-05 2021-02-17 삼성전자주식회사 Server and data management method

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08305714A (en) * 1995-04-28 1996-11-22 Fujitsu Ltd Distributed data base managing system
JPH09167220A (en) * 1995-12-18 1997-06-24 N T T Electron Technol Kk Information communication ic card, its issuing system and its communication system
JPH10285153A (en) * 1997-03-31 1998-10-23 Rooreru Intelligent Syst:Kk Communication system, ic card issue registration system, key code generator and recording medium
JPH11102238A (en) * 1997-09-29 1999-04-13 Toshiba Corp Computer system and suspend control method therefor
JPH11120238A (en) * 1997-10-14 1999-04-30 Sony Corp Information processor and its method, and transmission medium
JPH11250165A (en) * 1997-11-12 1999-09-17 Citicorp Dev Center Inc Distributed network based electronic wallet
JPH11306263A (en) * 1998-04-27 1999-11-05 Ntt Data Corp Electronic money system, linking method of bank account for electronic money and recording medium
JP2000201169A (en) * 1998-03-26 2000-07-18 Nippon Telegr & Teleph Corp <Ntt> Mail access control method, communication system and storage medium stored with mail access control program
JP2000330873A (en) * 1999-05-18 2000-11-30 M Ken:Kk Contents distribution system, method therefor and recording medium
JP2001186122A (en) * 1999-12-22 2001-07-06 Fuji Electric Co Ltd Authentication system and authentication method
JP2001188755A (en) * 1999-12-28 2001-07-10 Casio Comput Co Ltd Communication electronic equipment and storage medium stored with communication processing program
JP2001195422A (en) * 2000-01-17 2001-07-19 Tatsuro Kawaomo Method for surveying interest and taste by bookmark information management
JP2001216271A (en) * 2000-02-03 2001-08-10 Sony Corp Information processing system, information storage device, adapter device, and information terminal equipment

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08305714A (en) * 1995-04-28 1996-11-22 Fujitsu Ltd Distributed data base managing system
JPH09167220A (en) * 1995-12-18 1997-06-24 N T T Electron Technol Kk Information communication ic card, its issuing system and its communication system
JPH10285153A (en) * 1997-03-31 1998-10-23 Rooreru Intelligent Syst:Kk Communication system, ic card issue registration system, key code generator and recording medium
JPH11102238A (en) * 1997-09-29 1999-04-13 Toshiba Corp Computer system and suspend control method therefor
JPH11120238A (en) * 1997-10-14 1999-04-30 Sony Corp Information processor and its method, and transmission medium
JPH11250165A (en) * 1997-11-12 1999-09-17 Citicorp Dev Center Inc Distributed network based electronic wallet
JP2000201169A (en) * 1998-03-26 2000-07-18 Nippon Telegr & Teleph Corp <Ntt> Mail access control method, communication system and storage medium stored with mail access control program
JPH11306263A (en) * 1998-04-27 1999-11-05 Ntt Data Corp Electronic money system, linking method of bank account for electronic money and recording medium
JP2000330873A (en) * 1999-05-18 2000-11-30 M Ken:Kk Contents distribution system, method therefor and recording medium
JP2001186122A (en) * 1999-12-22 2001-07-06 Fuji Electric Co Ltd Authentication system and authentication method
JP2001188755A (en) * 1999-12-28 2001-07-10 Casio Comput Co Ltd Communication electronic equipment and storage medium stored with communication processing program
JP2001195422A (en) * 2000-01-17 2001-07-19 Tatsuro Kawaomo Method for surveying interest and taste by bookmark information management
JP2001216271A (en) * 2000-02-03 2001-08-10 Sony Corp Information processing system, information storage device, adapter device, and information terminal equipment

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN3013001617; 国際公開第2000/14648号公報 , 20000316, 世界知的所有権機関

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004272921A (en) * 2003-03-11 2004-09-30 Microsoft Corp System and method for protecting identification information
JP2005228198A (en) * 2004-02-16 2005-08-25 Mitsubishi Electric Corp Data transmitter-receiver and method for issuing electronic certificate
JP4628684B2 (en) * 2004-02-16 2011-02-09 三菱電機株式会社 Data transmitting / receiving apparatus and electronic certificate issuing method
JP2006254078A (en) * 2005-03-10 2006-09-21 Nippon Telegr & Teleph Corp <Ntt> Anonymous access authentication method and program
JP4565638B2 (en) * 2005-03-10 2010-10-20 日本電信電話株式会社 Anonymous access authentication method
JP2013012224A (en) 2012-08-30 2013-01-17 Yutaka Tsukamoto Personal information protection device
JP2015079501A (en) * 2013-10-15 2015-04-23 グーグル インコーポレイテッド Accessing location-based content
CN107832409A (en) * 2013-10-15 2018-03-23 谷歌有限责任公司 Access location-based content
JP2015187779A (en) * 2014-03-26 2015-10-29 株式会社エヌ・ティ・ティ・データ Information processing system, information processing method, and program
CN106372524A (en) * 2015-07-23 2017-02-01 波音公司 Personally identifiable information (PII) disclosure detection
JP2017027582A (en) * 2015-07-23 2017-02-02 ザ・ボーイング・カンパニーThe Boeing Company Personally identifiable information (pii) disclosure detection
CN106372524B (en) * 2015-07-23 2021-07-13 波音公司 Personally Identifiable Information (PII) leak detection
WO2020188665A1 (en) * 2019-03-15 2020-09-24 三菱電機株式会社 Personal information management device, personal information management system, personal information management method, and program
JPWO2020188665A1 (en) * 2019-03-15 2021-12-16 三菱電機株式会社 Personal information management device, personal information management system, personal information management method and program

Also Published As

Publication number Publication date
JP5158662B2 (en) 2013-03-06

Similar Documents

Publication Publication Date Title
WO2002033610A1 (en) Personal information protective method, personal information protective system, processing device, portable transmitter/receiver, and program
ES2299664T3 (en) A SYSTEM OF INFORMATION MANAGEMENT.
JP4597867B2 (en) Privacy protection method, privacy protection identifier transmission device, privacy protection system and program
KR100792147B1 (en) Interactive Financial settlement service method using mobile phone number or virtual number
RU2292589C2 (en) Authentified payment
KR101155858B1 (en) Electronic transfer system
US20090165107A1 (en) Identification managment system for electronic device authentication
KR20120083491A (en) Terminal management system and terminal management method
MXPA04003531A (en) A computerized money transfer system and method.
JP5544486B2 (en) Personal information management device
JP2002304522A (en) Authentication method, transaction-side system, computer program and recording medium recorded with the program
JP5158662B2 (en) Personal information protection device
EP1574978A1 (en) Personal information control system, mediation system, and terminal unit
KR20110114872A (en) System and method for unified authorization
JP2001216360A (en) Device and method for issuing advance order certificate
KR20200124121A (en) The Method to conveniently and safely authenticate the transfer of My Data
KR100528125B1 (en) Unified authentification using mobile communication terminal and method thereof
JP5257912B2 (en) Personal information management device
JP5510690B2 (en) Personal information protection device
JP5168676B2 (en) Personal information protection device
US20100287180A1 (en) Apparatus and Method for Issuing Certificate with User&#39;s Consent
JP5142237B2 (en) Personal information protection system, processing device and recording medium
JP5257911B2 (en) Personal information protection device
EP1610246A1 (en) Information processing system, information processing device, method, and program
JP5198678B2 (en) Personal information protection device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080827

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101130

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110131

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110405

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110606

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110726

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110928

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20111003

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20111111

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20120316

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20120316

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20120828

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121205

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5158662

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151221

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term