[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2003271782A - 個人情報管理システム - Google Patents

個人情報管理システム

Info

Publication number
JP2003271782A
JP2003271782A JP2002070653A JP2002070653A JP2003271782A JP 2003271782 A JP2003271782 A JP 2003271782A JP 2002070653 A JP2002070653 A JP 2002070653A JP 2002070653 A JP2002070653 A JP 2002070653A JP 2003271782 A JP2003271782 A JP 2003271782A
Authority
JP
Japan
Prior art keywords
personal information
terminal
user
information management
service providing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002070653A
Other languages
English (en)
Inventor
Sakae Shimamura
栄 島村
Satoru Fujita
悟 藤田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2002070653A priority Critical patent/JP2003271782A/ja
Publication of JP2003271782A publication Critical patent/JP2003271782A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 【課題】 情報の漏洩や喪失に対する高い安全性を持
ち、負荷の集中によるサービス品質の低下を防ぐことの
できる個人情報管理システムを提供すること。 【解決手段】 ユーザの個人情報を分割によって断片化
させた状態でネットワーク1上の複数のデータ格納端末
20に格納することで個人情報の機密性を保持し、か
つ、情報の格納に関連した負荷を分散し、同時に、デー
タ喪失時の安全性を確保する。更に、個人情報管理端末
40やサービス提供端末30の夫々に対してユーザが許
可した項目の情報のみが開示されるように個人情報の各
項目を暗号化することで、システム外部や内部からのク
ラッキング等による情報漏洩を防止する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ネットワーク上に
設置される個人情報管理システムの改良に関する。
【0002】
【従来の技術】ネットワーク上でユーザの個人情報を一
元管理して流通させるサービスとしては、既に、特開2
001−5777号に開示されるような個人情報管理装
置や特開2001−344143号に開示されるような
個人情報管理システム等が提案されている。
【0003】このような個人情報管理サービスを用いて
住所,氏名,クレジットカード番号やウェブページのブ
ックマーク,個人のスケジュール情報等のユーザの個人
情報をサーバに格納しておくと、ユーザは、ネットワー
ク上のサービスで必要とされる個人情報を個人情報管理
サービスのインタフェースから何時でも必要に応じて取
り出し、利用することができる。
【0004】例えば、ユーザAがホテル予約サイトBで
ホテルの空き部屋の検索を行う場合を考えてみる。この
時、ユーザAがホテル予約サイトBを信用していれば、
自分の個人情報へアクセスするためのユーザIDおよび
パスワードと個人のスケジュール情報へのアクセス権を
ホテル予約サイトBへ渡す。
【0005】ホテル予約サイトBは受け取ったユーザI
Dとパスワードを用いて個人情報管理サービスからユー
ザAの個人情報のうちアクセス権の与えられたスケジュ
ール情報を取得して、ユーザAの旅行スケジュールを元
に空き部屋の情報をユーザAの端末画面上に表示するこ
とができる。
【0006】ユーザAが信用する別のホテル予約サイト
Cにおいても、同様に個人情報管理サービスを用いてユ
ーザAのスケジュール情報を利用することができる。
【0007】また、ホテル予約サイトCから予約を行う
際に、ユーザが予約に必要な住所,クレジットカード番
号等に対するアクセス権をホテル予約サイトCに認める
ことで、ホテル予約サイトCが個人情報管理サービスか
ら必要な情報を得ることができる。
【0008】このように、ホテル予約サイトB,Cは無
制限にユーザAの個人情報を参照できるわけではなく、
ユーザAがアクセス権を与えて許可した項目のみを取得
することができ、また、ネットワーク上を流れるデータ
は暗号化されているので、セキュリティ上安全であると
いえる。
【0009】このような処理操作により、ユーザは、サ
ービス毎にユーザ登録を行ったり、同じような個人情報
を繰り返し入力する必要がなくなり、ネットワーク上の
個人情報を共用して様々なサービスを利用することがで
きるようになる。また、個人情報をネットワーク上に置
くことで、使用する端末に拘わらず同じ個人情報へアク
セスできるという利点もある。
【0010】
【発明が解決しようとする課題】しかし、その一方で、
個人情報を特定の個人情報管理サービスで集中的に格納
および管理することには問題もある。
【0011】第1の課題は、情報漏洩の問題である。個
人情報管理サービスとの間で機密保守に関する契約を交
わした場合でも、外部からの侵入による情報漏洩やシス
テムを運用する個人情報管理サービス内部の悪意ある構
成員等による個人情報漏洩の危険性がある。
【0012】第2の課題は、情報喪失の問題である。こ
ういった個人情報は、個人情報管理サービス内でのデー
タの2重化等の対策でシステムダウンや故障等による情
報喪失を防いでいるが、予期されない大規模な災害,テ
ロ,個人情報管理会社の倒産等による喪失に関して十分
な対策を行うには非常にコストがかかる。
【0013】第3の課題は、負荷の問題である。1つの
個人情報管理サービスで大規模な人数の個人情報を扱う
場合、負荷分散を行うために多大な資源が必要となる。
また、十分な資源が用意されない場合、プロファイル情
報の参照に非常に長い時間がかかったり、参照そのもの
が不可能となる場合もある。
【0014】
【発明の目的】そこで、本発明の目的は、ネットワーク
上での個人情報管理に伴う利便性を生かしつつ、情報の
漏洩や喪失に対する高い安全性を持ち、負荷の集中によ
るサービス品質の低下を防ぐことのできる個人情報管理
システムを提供することにある。
【0015】
【課題を解決するための手段】本発明は、ユーザ端末
と,ユーザの個人情報を利用してユーザにサービスを提
供するサービス提供端末と,個人情報管理端末と,複数
のデータ格納端末とをネットワークを介して接続してな
る個人情報管理システムであり、前記目的を達成するた
め、特に、前記ユーザ端末には、ユーザ端末が保持する
ユーザの個人情報を分割する手段と、分割された個人情
報の断片を複数のデータ格納端末に転送する手段とを設
け、前記データ格納端末には、ユーザ端末から格納を依
頼された個人情報の断片を格納する手段を設け、前記個
人情報管理端末には、前記サービス提供端末によって指
定されたユーザの断片化された個人情報を前記複数のデ
ータ格納端末から収集する手段を設け、前記サービス提
供端末には、前記ユーザ端末からの個人情報利用許諾に
基いて当該ユーザの個人情報の収集を前記個人情報管理
端末に依頼する手段と、前記個人情報管理端末によって
収集された個人情報のうちユーザが閲覧を許可した項目
のみを利用する手段とを設けたことを特徴とする構成を
有する。
【0016】このような構成により、ユーザ端末は、ユ
ーザ端末が保持するユーザの個人情報を分割し、分割に
よって断片化した個人情報をネットワークを介して複数
のデータ格納端末に分けて転送する。そして、各データ
格納端末は、ユーザ端末から格納を依頼された個人情報
の断片を格納する。また、個人情報を利用したサービス
を受けるためにユーザ端末からサービス提供端末に個人
情報利用許諾が入力されると、サービス提供端末は、こ
の個人情報利用許諾に基いて当該ユーザの個人情報の収
集を個人情報管理端末に依頼する。一方、個人情報の収
集を依頼された個人情報管理端末は、サービス提供端末
によって指定されたユーザに関する断片化された個人情
報を複数のデータ格納端末から収集し、ネットワークを
介してサービス提供端末に渡す。これを受けたサービス
提供端末は、個人情報管理端末によって収集された個人
情報のうち、ユーザが閲覧を許可した項目のみを利用し
てユーザに所定のサービスを提供する。以上に述べたよ
うに、ユーザの個人情報は分割によって断片化した状態
で複数のデータ格納端末に格納されるから、ユーザの個
人情報を特定の個人情報管理サービスで集中的に格納お
よび管理していた従来型のシステムに比べて個人情報の
機密性についての安全が向上し、同時に、個人情報の格
納に関連した負荷も分散される。しかも、サービス提供
端末は、収集された個人情報のうちユーザが閲覧を許可
した項目以外は参照できないので、サービス提供端末に
よってユーザの個人情報が無制限に利用されるといった
心配もない。
【0017】また、ユーザ端末は、ユーザ端末が保持す
るユーザの個人情報を分割する際に個人情報を暗号化す
るように構成することが望ましい。
【0018】個人情報を暗号化することによって、個人
情報の機密性についての安全を大幅に向上させることが
できる。
【0019】更に、前記構成に加え、個人情報管理端末
から発行された鍵で個人情報の断片の格納先を暗号化し
てサービス提供端末に渡す機能をユーザ端末に付加し、
また、暗号化された格納先を個人情報管理端末へ渡す機
能をサービス提供端末に持たせ、個人情報管理端末が、
ユーザに発行した鍵で個人情報の格納先の暗号を復号し
て個人情報の断片を収集するようにしてもよい。
【0020】このような構成を適用した場合、断片化し
て格納された個人情報の格納先を知ることができるの
は、格納先の暗号を復号することが可能な個人情報管理
端末のみであり、サービス提供端末は、ユーザの個人情
報の格納先を特定することができない。従って、サービ
ス提供端末を運用する会社の内部に悪意のある構成員が
いたとしても、サービス提供端末を不正に操作してユー
ザの個人情報を入手することは困難であり、個人情報の
機密性が保証される。この場合も、前記と同様、個人情
報の分割の際に暗号化を行う構成を併せて適用すること
で、個人情報の機密性についての安全を大幅に向上させ
ることが可能である。
【0021】また、個人情報を分割する際に該個人情報
を構成する各項目を項目毎に別の鍵で暗号化し、閲覧を
許可する項目を復号するための鍵のみをサービス提供端
末に渡す機能をユーザ端末に持たせ、個人情報管理端末
が収集した個人情報をサービス提供端末によって復号さ
せるようにしてもよい。
【0022】このような構成を適用した場合、個人情報
管理端末は、単に、断片化して格納された個人情報を収
集してサービス提供端末に渡すのみで、個人情報管理端
末それ自体で個人情報を復号することはできない。従っ
て、個人情報管理端末を運用する会社の内部に悪意のあ
る構成員がいたとしても、個人情報管理端末を不正に操
作してユーザの個人情報を入手することは困難であり、
個人情報の機密性についての安全が向上する。サービス
提供端末はユーザ端末から渡された鍵を利用してユーザ
の個人情報を復号するが、ユーザ端末から渡される鍵
は、ユーザが閲覧を許可した項目の鍵のみに制限される
ので、サービス提供端末を介してユーザの個人情報が無
制限に利用されるといった心配はない。この場合も、前
記と同様、個人情報管理端末から発行された鍵で個人情
報の断片の格納先を暗号化してサービス提供端末に渡す
機能をユーザ端末に付加し、また、暗号化された格納先
を個人情報管理端末へ渡す機能をサービス提供端末に持
たせ、個人情報管理端末が、ユーザに発行した鍵で個人
情報の格納先の暗号を復号して個人情報の断片を収集す
る構成を併せて適用することが可能である。
【0023】また、個人情報を分割する際に該個人情報
を構成する各項目を項目毎に別の鍵で暗号化し、閲覧を
許可する項目を復号するための鍵のみをユーザ端末から
サービス提供端末を介して個人情報管理端末に渡し、個
人情報管理端末が収集した個人情報を個人情報管理端末
それ自体によって復号させるように構成することも可能
である。
【0024】このような構成を適用した場合、断片化し
て格納された個人情報を収集した個人情報管理端末それ
自体が個人情報を復号することになるが、個人情報管理
端末が復号できるのはユーザが閲覧を許可した項目に制
限される。従って、個人情報管理端末を運用する会社の
内部に悪意ある構成員がいたとしても、ユーザの個人情
報が無制限に利用されるといった心配はない。この場合
も、前記と同様、個人情報管理端末から発行された鍵で
個人情報の断片の格納先を暗号化してサービス提供端末
に渡す機能をユーザ端末に付加し、また、暗号化された
格納先を個人情報管理端末へ渡す機能をサービス提供端
末に持たせ、個人情報管理端末が、ユーザに発行した鍵
で個人情報の格納先の暗号を復号して個人情報の断片を
収集する構成を併せて適用することが可能である。
【0025】更に、ユーザの個人情報を項目毎に別の鍵
で暗号化してから個人情報全体を暗号化する全体暗号鍵
で暗号化する手段と、個人情報管理端末のみが復号でき
るようにデータ格納先を暗号化した暗号化データと閲覧
を許可された項目を復号するための鍵とをサービス提供
端末に渡す手段をユーザ端末に設けると共に、暗号化デ
ータをサービス提供端末を介して個人情報管理端末に渡
すようにし、個人情報管理端末によって暗号化データを
復号してデータ格納先からユーザの個人情報の断片を収
集して全体暗号鍵で復元させ、更に、各項目が暗号化さ
れたままの状態で復元された個人情報を個人情報管理端
末からサービス提供端末に渡し、サービス提供端末が、
ユーザ端末から送られた鍵を用いて閲覧を許可された項
目のみを復号して利用するようにしてもよい。
【0026】この場合は、ユーザの個人情報がユーザ端
末によって項目毎に別の鍵で暗号化され、更に、個人情
報全体を暗号化する全体暗号鍵で暗号化される。また、
データ格納先を暗号化した暗号化データがユーザ端末か
らサービス提供端末を介して個人情報管理端末に渡さ
れ、閲覧を許可された項目を復号するための鍵は、ユー
ザ端末からサービス提供端末に渡されてサービス提供端
末に保持される。そして、サービス提供端末からの依頼
を受けた個人情報管理端末が、暗号化データを復号して
個人情報の格納先を特定し、断片化された個人情報を各
データ格納端末から収集して全体暗号鍵で復元する。但
し、この段階では個人情報は項目毎に別の鍵で暗号化さ
れたままの状態にある。個人情報管理端末は、復元した
個人情報をサービス提供端末に渡し、これを受けたサー
ビス提供端末が、ユーザ端末から渡された鍵を用いて、
閲覧を許可された項目のみを復号し、ユーザの個人情報
の内の幾つかの項目あるいは全てをサービスに利用す
る。以上に述べたように、ユーザの個人情報は項目毎の
鍵と個人情報全体を暗号化する全体暗号鍵で2重に暗号
化されので、個人情報の機密に関する安全性は極めて高
い。また、閲覧を許可された項目を復号するための鍵は
個人情報管理端末には渡されないので、個人情報管理端
末の不正使用等によってユーザの個人情報を手に入れる
ことは事実上不可能であり、また、サービス提供端末
も、閲覧を許可された項目以外は復号することができな
いので、閲覧を許可されていないユーザの個人情報を引
き出すことは事実上不可能である。つまり、個人情報管
理端末を運用する会社とサービス提供端末を運用する会
社が同時に悪意を持って不正行為を行わない限り、ユー
ザの個人情報は、ほぼ確実に安全である。
【0027】
【発明の実施の形態】次に、本発明の実施形態について
図面を参照して詳細に説明する。図1に本発明の一実施
形態の構成を示す。
【0028】本実施形態の個人情報管理システムは、イ
ンターネット等のネットワーク1と、このネットワーク
1に接続された複数のユーザ端末10(11〜13)、
および、ユーザの個人情報を格納する複数のデータ格納
端末20(21〜23)と、ユーザに対して物品の販売
や情報の提供等のサービスを行う1以上のサービス提供
端末30(31〜33)、ならびに、ユーザの個人情報
を管理する1以上の個人情報管理端末40(41〜4
3)とによって構成される。
【0029】但し、これらの端末は複数の役割を同時に
担うこともありうる。特に、個人情報管理端末40とサ
ービス提供端末30を同じ端末で構築することが考えら
れる。
【0030】そして、夫々の端末はネットワーク1に対
し、役割ごとに共通の個人情報管理のためのインタフェ
ース(15,25,35,45)を公開している。夫々
の端末の内部の処理は独自の実装であっても、他の端末
に対して個人情報管理の目的でネットワーク1上に公開
しているインタフェースは標準的な規約に従ったもので
ある。
【0031】このうち、ユーザ端末10のインタフェー
ス15は、実質的に、ユーザの個人情報を分割する手段
と個人情報の断片を複数のデータ格納端末に転送する手
段とを兼ねる。また、データ格納端末20のインタフェ
ース25は、ユーザ端末から格納を依頼された個人情報
の断片を補助記憶装置等に格納する手段となり、サービ
ス提供端末30のインタフェース35は、ユーザ端末か
らの個人情報利用許諾に基いてユーザの個人情報の収集
を個人情報管理端末に依頼する手段、および、個人情報
管理端末によって収集された個人情報のうちユーザが閲
覧を許可した項目のみを利用するサービス提供手段とし
て機能する。個人情報管理端末40のインタフェース4
5は、サービス提供端末から指定されたユーザの断片化
された個人情報を複数のデータ格納端末から収集する手
段として機能する。
【0032】これらのインタフェース(15,25,3
5,45)の実体は、各々の端末に直接的に実装された
アプリケーションプログラム、あるいは、ネットワーク
1上でCGI等を利用して公開されたアプリケーション
プログラムである。各インタフェースの機能について
は、フローチャート等の図面を参照しながら追って説明
することにする。
【0033】図2に本実施形態におけるユーザの持つ個
人情報の構成を示す。個人情報500はユーザ自身の名
前501,性別502,生年月日503,血液型50
4,職業505,住所506,電話番号507,クレジ
ットカード番号508,スケジュール情報509,お気
に入りサイト(ブックマーク)510の各項目から構成
される。無論、個人情報を構成する項目は、これに限る
ものではなく、サービスに必要な項目の追加や削除は自
由である。
【0034】図3(a)に本実施形態におけるユーザの
持つアカウント情報の構成を示す。アカウント情報52
0は、ユーザID521,全体暗号鍵522,個人情報
の各項目と暗号鍵との対応関係を記憶した項目暗号鍵リ
スト550,契約している個人情報管理端末と各個人情
報管理端末から渡された情報管理者暗号鍵との対応関係
を保存した鍵束540,分割により断片化された個人情
報の格納先を記憶する個人情報格納先情報523,契約
している個人情報管理端末を記憶した契約個人情報管理
端末情報524、および、個人情報の各項目の閲覧の可
否を記憶させた開示項目情報530からなる。
【0035】このうち、項目暗号鍵リスト550は、図
3(b)に示されるように、各個人情報項目551とそ
の項目に対する項目暗号鍵552の組のリストである。
全体暗号鍵522と項目暗号鍵552はユーザがあらか
じめ決定する必要がある。項目暗号鍵552は全体暗号
鍵522から乱数を元に自動生成したり、予めユーザが
与える主データを元に自動生成する等してもよい。但
し、別の項目暗号鍵552や全体暗号鍵522から容易
に推測できるような項目暗号鍵552の生成方法は避け
る。
【0036】鍵束540は、図3(d)に示されるよう
に、契約個人情報管理端末ID541と各個人情報管理
端末から渡された情報管理者暗号鍵542の組からな
る。
【0037】本実施形態では、暗号化に関しては暗号鍵
と復号鍵を同一とした共通鍵暗号方式を仮定しており、
これ以降の説明では、暗号化に用いる鍵も復号に用いる
鍵も共に暗号鍵と記述している。しかしながら、例えば
情報管理者暗号鍵542については公開鍵暗号方式にす
ることができ、その場合は、情報管理者暗号鍵542と
して個人情報管理端末の公開鍵が格納されることにな
る。
【0038】開示項目情報530は、ユーザがユーザ端
末10を介してサービス提供端末30へアクセスした際
に、前回の開示項目の設定状況を参照したり、予め閲覧
を許可する項目をサービス提供端末毎に決めておく際に
用いられ、必ずしも必須の項目ではなく、サービス提供
端末へのアクセスの都度ユーザに問い合わせるようにし
てもよい。
【0039】開示項目情報530の構成は、図3(c)
に示されるように、サービス提供端末を特定するための
応用サービスID531とサービス提供端末に対して閲
覧を許可する個人情報の開示項目532の組のリストと
なる。
【0040】これらを含むアカウント情報520は、ユ
ーザが個人情報へアクセスするための情報としてユーザ
の使用する端末,メモリカード,ICカード等の記憶媒
体に記録される。
【0041】次に本実施形態での個人情報管理サービス
を説明する。以下の説明では、ユーザ端末11を使用す
る正当なユーザAがサービス提供端末31を利用する場
合を例にして説明する。
【0042】まず、ユーザAは、個人情報管理サービス
の利用に先立ち、個人情報管理端末40(41〜43)
の中から自分が契約する個人情報管理端末を選ぶ。この
とき、複数の個人情報管理端末と契約してもよいし、単
独の個人情報管理端末と契約してもよい。以下の例では
ユーザAが複数の個人情報管理端末と契約しており、そ
の中に個人情報管理端末41が含まれているものと仮定
して説明する。なお、契約を行った個人情報管理端末4
1から発行された情報管理者暗号鍵は、その個人情報管
理端末IDと共にアカウント情報520の鍵束540に
自動的に記録される。
【0043】また、ユーザAは、ユーザ端末11を使用
して予め個人情報500を各項目毎の項目暗号鍵と全体
暗号鍵とで暗号化して分割しておく。そして、この分割
された個人情報の各断片をデータ格納端末20(21〜
23)の中から選択した複数のデータ格納端末に転送し
て格納を依頼する。
【0044】以下の例では選択されたデータ格納端末の
中にデータ格納端末21が含まれているものと仮定して
説明する。その際のユーザAおよびユーザ端末11の動
作を図4に沿って説明する。
【0045】まず、この段階で既に分散して格納されて
いる個人情報500があれば、ユーザ端末11は、個人
情報格納先情報523を参照してデータ格納端末からユ
ーザAの個人情報500の断片を収集し、全体暗号鍵5
22および項目暗号鍵552により復号して個人情報5
00を復元する(ステップS1001)。
【0046】次いで、ユーザ端末11は、個人情報50
0の各項目を項目毎の別の項目暗号鍵552で個別に暗
号化し(ステップS1002)、更に、個別に暗号化さ
れた個人情報の全体を全体暗号鍵522で纏めて暗号化
する(ステップS1003)。
【0047】そして、ユーザ端末11は、暗号化された
個人情報を複数に分割した後(ステップS1004)、
分割により断片化した個人情報の各々を複数のデータ格
納端末のインタフェース25に転送して格納を依頼する
(ステップS1005)。
【0048】本実施形態では、ステップS1003の処
理で用いる分割方法として、冗長性や復元のパリティ情
報を付加することにより、一部のデータ格納端末による
データ喪失が生じても元のデータを復元できるように暗
号化の処理を行う。どの程度の冗長性やパリティ情報を
持たせるかは、ユーザの要求する安全性に依存して決定
する。このような分割を可能とする方式の例としてRA
IDと呼ばれる記憶装置の分散化技術の応用が可能であ
る。
【0049】個人情報の暗号化と分割および転送に必要
とされる手段はユーザ端末11のインタフェース15に
予めプログラムとして組み込まれている。
【0050】一方、ユーザAの個人情報の断片を受け取
ったデータ格納端末21は、ユーザAのアカウント情報
520に記憶されているユーザID521と、契約個人
情報管理端末524の組と、受信した個人情報の断片と
を結び付けて記録する。データ格納端末21は、記録し
た個人情報の断片に対しては、格納した本人であるユー
ザ(ユーザID521を有するユーザ)、もしくは、こ
のユーザが契約している個人情報管理端末(当該ユーザ
のアカウント情報520の契約個人情報管理端末524
の欄に記憶されている個人情報管理端末)からのアクセ
スしか認めないように設計されている。
【0051】このようにして個人情報をネットワーク1
上に登録した後、ユーザAは、必要に応じて、ユーザ端
末11等を介しネットワーク1上のサービス提供端末3
1を利用し、物品の購入や情報取得等のサービスを受け
る。サービス提供端末31は商品発送や決済あるいは配
達日のチェック等のためにユーザAの個人情報500を
得る必要が生じた場合に、ユーザAのユーザ端末11に
対して個人情報の使用許可を求める。
【0052】ここで、利用しようとしているサービス提
供端末31が信頼できるものであると判断した場合、ユ
ーザAは、ユーザ端末11を操作して個人情報利用許諾
600を生成し、この個人情報利用許諾600をサービ
ス提供端末31のインタフェース35に対して送信す
る。この個人情報利用許諾600の構成を図5を参照し
て説明する。
【0053】個人情報利用許諾600は、図5(a)に
示されるように、ユーザID601と情報管理者向けレ
コードリスト610、および、情報の閲覧を許可する個
人情報の項目と項目暗号鍵との対応関係を示す開示項目
暗号鍵リスト620から構成される。
【0054】このうち、情報管理者向けレコードリスト
610は、契約している個人情報管理端末の数だけ情報
管理者向けレコード611を保存したものである。ま
た、情報管理者向けレコード611は、図5(b)に示
されるように、個人情報管理端末ID612と暗号化部
分615とからなる。暗号化部分615は個人情報格納
先情報613と全体暗号鍵614と取得有効期限616
の組を、その個人情報情報管理端末から契約時に発行さ
れた情報管理者暗号鍵で暗号化した部分である。取得有
効期限616はサービス提供端末31に対して情報の取
得を認める期限である。この暗号化部分615はユーザ
A自身と、ユーザAが契約した個人情報管理端末を運用
しているシステム管理者のみが内容を知ることができ、
サービス提供端末31を操作しても内容を知ることがで
きない。開示項目暗号鍵リスト620は、図5(c)に
示される通り、そのサービス提供端末30に対して閲覧
を許可する個人情報の項目621とその項目に対応する
項目暗号鍵622の組のリストである。
【0055】次に、個人情報利用許諾600の生成手順
を図6を参照して説明する。
【0056】まず、ユーザ端末11は、個人情報格納先
情報523をユーザAが契約している個人情報管理端末
40の数だけコピーし(ステップS1501)、これら
のコピーの中から一つの個人情報格納先情報523を取
り出す(ステップS1502)。
【0057】次に、鍵束540に登録されている一つの
個人情報管理端末ID541と対応する情報管理者暗号
鍵542を取り出し(ステップS1503)、ステップ
S1502で取り出した個人情報格納先情報と全体暗号
鍵522と取得有効期限の組を、ステップS1503で
取り出した情報管理者暗号鍵542で暗号化して暗号化
部分615を生成し(ステップS1504)、この暗号
化部分615にステップS1503で取り出した個人情
報管理端末IDを付加して情報管理者向けレコードリス
ト610に追加する(ステップS1505)。個人情報
格納先の暗号化に必要とされる手段はユーザ端末11の
インタフェース15に予めプログラムとして組み込まれ
ている。
【0058】そして、更に、全てのコピーに対して別々
の情報管理者暗号鍵でステップS1501〜S1505
の処理を繰り返し実行し(ステップS1506)、この
ようにして生成した情報管理者向けレコードのリストと
閲覧を許可する個人情報の項目に対する項目暗号鍵およ
びユーザIDから個人情報利用許諾600を生成して、
この個人情報利用許諾600をサービス提供端末31の
インタフェース35へ送信する(ステップS150
7)。
【0059】これに対し、個人情報利用許諾600を受
け取ったサービス提供端末31は、図7で示される個人
情報収集依頼700を生成する。個人情報収集依頼70
0は、暗号化部分615とユーザID701からなる。
【0060】サービス提供端末31はこの個人情報収集
依頼を図8の手順で生成し、個人情報管理端末のインタ
フェース45に対して送信する。ここで、個人情報収集
依頼の生成に関連する処理について説明する。
【0061】サービス提供端末31は、まず、ユーザ端
末11から受信した個人情報利用許諾600から、情報
管理者向けレコード611を1つ取り出し(ステップS
3001)、情報管理者向けレコード611から取り出
した暗号化部分615とユーザID601から図7で示
した個人情報収集依頼700を生成する(ステップS3
002)。そして、個人情報管理端末ID612で特定
される個人情報管理端末のインタフェース45に対して
個人情報収集依頼700を送信する(ステップS300
3)。更に、全ての情報管理者向けレコードに対してス
テップS3001〜S3003の手順を繰り返し実行す
る(ステップS3004)。
【0062】そして、サービス提供端末31から個人情
報収集依頼700を受信した個人情報管理端末41は、
図9の手順で個人情報を収集する。
【0063】個人情報管理端末41は、まず、ユーザI
D701で識別されるユーザAとの契約時に発行した情
報管理者暗号鍵で暗号化部分615を復号し、取得有効
期限616を取り出して(ステップS4001)、有効
期限内かどうかを調べる(ステップS4002)。有効
期限外である場合は、取得エラーをサービス提供端末3
1に返す(ステップS4003)。
【0064】また、有効期限内である場合には、復号済
みの暗号化部分615から個人情報格納先情報613を
得る(ステップS4004)。次いで、取得した個人情
報格納先情報613で特定されるデータ格納端末にユー
ザID701を通知し、該当ユーザの断片化した個人情
報を収集する(ステップS4005)。個人情報格納先
情報613で特定される全てのデータ格納端末から収集
した断片情報を結合した後、全体暗号鍵614で復号し
て復元し、各項目が暗号化されたままの個人情報を得る
(ステップS4006)。そして、この個人情報を個人
情報収集依頼の送信元であるサービス提供端末31へ返
信する(ステップS4007)。
【0065】個人情報管理端末41が復元してサービス
提供端末31へ返す個人情報は各項目が項目暗号鍵で暗
号化されたままの状態にあり、本実施形態では項目暗号
鍵が個人情報管理端末41へ渡されないため、個人情報
管理端末41を運用しているシステム管理者であっても
個人情報の内容を知ることはできない。
【0066】次に、個人情報管理端末41から返信され
た個人情報を受信したサービス提供端末31の動作を図
10を参照して説明する。
【0067】サービス提供端末31は、前述したステッ
プS3003の処理で個人情報収集依頼700を送信し
た複数の個人情報管理端末のうち最も早く応答した個人
情報管理端末、つまり、最初に個人情報を返信してきた
個人情報管理端末からユーザAの個人情報を受信し(ス
テップS3011)、ユーザAから送られた個人情報利
用許諾600の開示項目暗号鍵リスト620を用いて閲
覧が許可されている個人情報の項目のみを復号し、サー
ビスに利用する(S3012)。
【0068】ユーザAはサービス終了毎もしくは一定期
間毎に図4で説明した手順でデータの格納先を変更す
る。これにより、個人情報の漏洩に対する安全性を更に
高めることができる。
【0069】次に、サービス提供端末におけるデータ抽
出操作の信頼性を高めるための処理の一例を図11を参
照して説明する。この処理は前述した図10の処理に代
えて利用することができる。
【0070】この場合、サービス提供端末は、前述した
ステップS3003の処理で個人情報収集依頼700を
送信したN個の個人情報管理端末のうちn個(n≦N)
の個人情報管理端末からの応答を待つ(ステップS31
01)。次いで、受信した個人情報から1つを取り出
し、個人情報利用許諾600の開示項目暗号鍵リスト6
20を用いて閲覧が許可されている個人情報の項目のみ
を復号する(ステップS3102)。
【0071】そして、n個の受信済み個人情報に対して
ステップS3102の処理を実行し(ステップS310
3)、n個の個人情報から復号された情報を項目毎に比
較して矛盾がないかどうかをチェックする(ステップS
3104)。その結果、矛盾がない場合のみサービスに
利用し(ステップS3105)、また、矛盾があった場
合には、セキュリティエラーをユーザAのユーザ端末1
1と個人情報管理端末40に対して返す(ステップS3
106)。
【0072】ここで、nは、1から個人情報収集依頼7
00を送信した個人情報管理端末40の総数Nの間の整
数である。nを大きくすると信頼性が高くなるが、シス
テムの応答性が悪くなる。nはシステム全体の負荷と、
信頼性および応答性のトレードオフから動的もしくは静
的に決定する。
【0073】前述した各実施形態では、項目毎に暗号化
されたままの個人情報を個人情報管理端末41からサー
ビス提供端末31に送信してから、個人情報の各項目を
サービス提供端末31の側で復号するようにしたが、更
に、別の実施形態として、サービス提供端末31が必要
とする項目の抽出に関連した処理を個人情報管理端末4
1の側で行うことが考えられる。
【0074】次に、個人情報の各項目を個人情報管理端
末41の側で復号してからサービス提供端末31に渡す
場合の実施形態について簡単に説明する。まず、この実
施形態においてユーザAがユーザ端末11で生成する個
人情報利用許諾650の構成を図12を参照して説明す
る。
【0075】個人情報利用許諾650は、図12(a)
に示されるように、ユーザID651と情報管理者向け
レコードリスト660の組から成る。情報管理者向けレ
コードリスト660は、図12(b)に示される通り、
情報管理者向けレコード661のリストとなっており、
これは、個人情報管理端末ID662と暗号化部分66
5からなる。暗号化部分665は、対応した情報管理者
暗号鍵で暗号化された個人情報格納先情報663,全体
暗号鍵664,取得有効期限666,開示項目暗号鍵リ
スト620からなる。
【0076】次に、ユーザ端末11における個人情報利
用許諾650の生成手順を図13を参照して説明する。
【0077】ユーザAはユーザ端末11を使用して個人
情報格納先情報523をユーザが契約している個人情報
管理端末の数だけコピーする(ステップS1551)。
次いで、これらのコピーの中から一つの個人情報格納先
情報を取り出す。(ステップS1552)。そして、鍵
束540から情報管理者暗号鍵542と、これに対応す
る個人情報管理端末ID541を取り出す(ステップS
1553)。次に、ステップS1552で取り出した個
人情報格納先情報,取得有効期限,全体暗号鍵522,
閲覧を許可する個人情報の項目に対する項目暗号鍵リス
ト620の組を、ステップS1553で取り出した情報
管理者暗号鍵542で暗号化して暗号化部分665を生
成する(ステップS1554)。そして、暗号化部分6
65にステップS1553で取り出した個人情報管理端
末ID541を付加して情報管理者向けレコードリスト
660に追加する(ステップS1555)。
【0078】更に、全てのコピーに対して個人情報管理
端末IDに対応した各々の情報管理者暗号鍵でステップ
S1551〜S1555の処理を繰り返し実行する(ス
テップS1556)。そして、このようにして生成した
情報管理者向けレコードのリストとユーザIDから個人
情報利用許諾650を生成し、この個人情報利用許諾6
50をサービス提供端末31のインタフェース35へ送
信する(ステップS1557)。
【0079】これに対し、個人情報利用許諾650を受
け取ったサービス提供端末31が個人情報収集依頼を生
成する。
【0080】次に、この実施形態でサービス提供端末3
1が生成する個人情報収集依頼710の構成を図14で
説明する。個人情報収集依頼710は、暗号化部分66
5とユーザID711から構成される。
【0081】ユーザからの個人情報利用許諾650を受
け取ったサービス提供端末31が個人情報収集依頼71
0を生成する際の動作について図15を参照して説明す
る。
【0082】サービス提供端末31は、まず、ユーザ端
末11から受信した個人情報利用許諾650から、情報
管理者向けレコード661を1つ取り出し(ステップS
3101)、情報管理者向けレコードから取り出した暗
号化部分665とユーザID651から個人情報収集依
頼710を生成する(ステップS3102)。そして、
個人情報管理端末ID662で特定される個人情報管理
端末のインタフェース45に対して個人情報収集依頼7
10を送信する(ステップS3103)。更に、全ての
情報管理者向けレコード661の個人情報管理端末に対
してS3101〜S3103の手順を繰り返し実行する
(ステップS3104)。
【0083】前述した実施形態(図8)との相違は、サ
ービス提供端末31から個人情報管理端末に送られる個
人情報収集依頼に、閲覧を許可する個人情報の項目に対
する項目暗号鍵リスト620が含まれている点である。
【0084】そして、サービス提供端末31からの個人
情報収集依頼710を受信した個人情報管理端末41
は、図16の手順で個人情報を収集する。
【0085】個人情報管理端末41は、まず、ユーザI
D711で識別されるユーザAに対して発行した情報管
理者暗号鍵で暗号化部分665を復号し、取得有効期限
666を取り出して(ステップS4101)、有効期限
内かどうかを調べる(ステップS4102)。ここで、
有効期限外である場合は、取得エラーをサービス提供端
末31に返す(ステップS4103)。また、有効期限
内である場合には、復号済みの暗号化部分665から個
人情報格納先663を得る(ステップS4104)。
【0086】次いで、取得した個人情報格納先663で
特定されるデータ格納端末にユーザID711を通知
し、該当ユーザの断片化した個人情報を収集する(ステ
ップS4105)。個人情報格納先663で特定される
全ての個人情報格納先から収集した断片情報を結合した
後、全体暗号鍵664で復号して復元し、各項目が暗号
化されたままの個人情報を得る(ステップS410
6)。
【0087】そして、更に、暗号化部分665の開示項
目暗号鍵リスト620内の項目暗号鍵で閲覧を許可され
ている項目の復号を行い(ステップS4107)、復号
された項目の内容を個人情報収集依頼の送信元であるサ
ービス提供端末31へ返信する(ステップS410
8)。
【0088】前述した各実施形態と同様、サービス提供
端末は、個人情報管理端末から返信された個人情報の項
目情報を用いてユーザにサービスを提供する。但し、本
実施形態では、個人情報の各項目は既に復号されている
のでサービス提供端末側で暗号の復号に関連した処理を
行う必要はない。
【0089】サービス提供端末の側における個人情報の
抽出処理については、最も早く返信された個人情報管理
端末からの情報のみを用いてもよいし(図10参照)、
あるいは、複数の個人情報管理端末からの返信を検証し
てから用いてもよい(図11参照)。
【0090】
【発明の効果】本発明の個人情報管理システムは、ユー
ザの個人情報を分割によって断片化させた状態でネット
ワーク上の複数のデータ格納端末に格納するようにした
ので、ユーザの個人情報を特定の個人情報管理サービス
で集中的に格納および管理していた従来型のシステムに
比べて個人情報の機密性についての安全が向上し、ま
た、個人情報の格納に関連した負荷も分散されて、デー
タ喪失時の安全性も保障される。しかも、サービス提供
端末は、収集された個人情報のうちユーザが閲覧を許可
した項目以外は参照できないので、サービス提供端末を
運用するシステム管理者あるいは他の従業員等によって
ユーザの個人情報が無制限に利用されるといった心配が
ない。
【0091】また、ユーザ端末は、ユーザ端末が保持す
るユーザの個人情報を分割する際に暗号化の処理を行う
ように構成されているため、個人情報の機密性について
の安全を大幅に向上させることができる。
【0092】更に、個人情報管理端末から発行された鍵
を利用してユーザ端末側の処理で個人情報の断片の格納
先を暗号化するようにしたから、断片化して格納された
個人情報の格納先を知ることができるのは個人情報管理
端末のみであり、サービス提供端末は、ユーザの個人情
報の格納先を特定することができない。従って、サービ
ス提供端末を運用する会社の内部に悪意のある構成員が
いたとしても、サービス提供端末を不正に操作してユー
ザの個人情報を入手することは困難であり、個人情報の
機密性が保証される。
【0093】また、個人情報を分割する際に該個人情報
を構成する各項目を項目毎に別の鍵で暗号化し、閲覧を
許可した項目を復号するための鍵のみをサービス提供端
末に渡し、個人情報管理端末が収集した個人情報をサー
ビス提供端末によって復号させるようにしたから、個人
情報管理端末は、単に、断片化して格納された個人情報
を収集してサービス提供端末に渡すのみで、個人情報管
理端末それ自体で個人情報を復号することはできず、個
人情報管理端末を運用する会社の内部に悪意のある構成
員がいたとしても、個人情報管理端末を不正に操作して
ユーザの個人情報を入手することは困難であり、個人情
報の機密性についての安全が向上する。この際、サービ
ス提供端末はユーザ端末から渡された項目の鍵を利用し
てユーザの個人情報を復号することができるが、ユーザ
端末から渡される鍵は、ユーザが閲覧を許可した項目に
制限されるので、サービス提供端末を介してユーザの個
人情報が無制限に利用されるといった心配はない。
【0094】また、個人情報を分割する際に該個人情報
を構成する各項目を項目毎に別の鍵で暗号化し、閲覧を
許可する項目を復号するための鍵のみをユーザ端末から
サービス提供端末を介して個人情報管理端末に渡し、個
人情報管理端末が収集した個人情報を個人情報管理端末
それ自体によって復号させる構成を適用した場合におい
ては、断片化して格納された個人情報を収集した個人情
報管理端末それ自体が個人情報を復号することになる
が、個人情報管理端末が復号できるのはユーザが閲覧を
許可した項目のみに制限されるので、個人情報管理端末
を運用する会社の内部に悪意ある構成員がいたとして
も、ユーザの個人情報が無制限に利用されるといった心
配はない。
【0095】更に、ユーザの個人情報を項目毎に別の鍵
で暗号化してから個人情報全体を暗号化する全体暗号鍵
で暗号化し、個人情報管理端末のみが復号できるように
データ格納先を暗号化した暗号化データをサービス提供
端末を介して個人情報管理端末に渡す一方、ユーザが閲
覧を許可した項目を復号するための鍵をサービス提供端
末に保持させ、個人情報管理端末側の処理で暗号化デー
タを復号してデータ格納先からユーザの個人情報の断片
を収集して全体暗号鍵で復元させ、更に、各項目が暗号
化されたままの状態で復元された個人情報を個人情報管
理端末からサービス提供端末に渡し、閲覧を許可された
項目のみをサービス提供端末側の処理で復号する構成を
適用した場合においては、ユーザの個人情報が項目毎の
鍵と全体暗号鍵で2重に暗号化されので、個人情報の機
密に関する安全性が極めて高くなる。しかも、閲覧を許
可された項目を復号するための鍵は個人情報管理端末に
は渡されないので、個人情報管理端末の不正使用等によ
ってユーザの個人情報を手に入れることはできず、ま
た、サービス提供端末も、閲覧を許可された項目以外は
復号することができないので、閲覧を許可されていない
ユーザの個人情報を引き出すことはできず、ユーザの個
人情報の機密を高い次元で保証することが可能となっ
た。
【0096】このように、ユーザの個人情報が断片化さ
れて複数のデータ格納端末によって分散格納され、ま
た、個人情報管理端末やサービス提供端末の夫々に対し
てユーザが許可した項目の情報のみを開示することによ
り、システム外部や内部からのクラッキングによる情報
漏洩および情報喪失の可能性を小さくすることができ
る。また、データが分散して格納されるため、特定のデ
ータ格納端末に対する負荷の集中を避けることができ、
同時に、複数の個人情報管理端末を併用することによっ
て通信の応答速度や受信データの信頼性を高めることが
できるので、個人情報の閲覧を必要とするサービスのサ
ービス品質が向上する。更に、1つのデータ格納端末が
全てのユーザの個人情報を扱う必要はなく、所定のイン
タフェースを備えた格納アプリケーションを既存の記憶
装置に持たせるだけで、既存の記憶装置の僅かな空き記
憶領域を有効活用することができるので、個人情報の格
納のために大規模な設備を使用しなくても済むようにな
る。例えばデータウェアハウス業務のかたわらで発生し
た余剰もしくは断片化した空き記憶領域を有効に活用す
ることが可能である。
【図面の簡単な説明】
【図1】本発明を適用した個人情報管理システムの一実
施形態について示したブロック図である。
【図2】同実施形態における個人情報の構成を示した概
念図である。
【図3】同実施形態におけるユーザアカウント情報の構
成を示した概念図である。
【図4】同実施形態におけるユーザ端末が実行する個人
情報の暗号化および分割処理の概略を示したフローチャ
ートである。
【図5】同実施形態のユーザ端末から送出される個人情
報利用許諾の構成を示した概念図である。
【図6】同実施形態のユーザ端末による個人情報利用許
諾の生成手順の概略を示したフローチャートである。
【図7】同実施形態のサービス提供端末から送出される
個人情報収集依頼の構成を示した概念図である。
【図8】同実施形態のサービス提供端末による個人情報
収集依頼の生成手順の概略を示したフローチャートであ
る。
【図9】同実施形態の個人情報管理端末による個人情報
の収集手順の概略を示したフローチャートである。
【図10】同実施形態のサービス提供端末による復号処
理の概略を示したフローチャートである。
【図11】サービス提供端末におけるデータ抽出操作の
信頼性を高めるための処理の一例を示したフローチャー
トである。
【図12】項目の抽出に関連した処理を個人情報管理端
末の側で行う場合に必要とされる個人情報利用許諾の構
成を示した概念図である。
【図13】項目の抽出に関連した処理を個人情報管理端
末の側で行う場合に必要とされる個人情報利用許諾の生
成手順の概略を示したフローチャートである。
【図14】項目の抽出に関連した処理を個人情報管理端
末の側で行う場合に必要とされる個人情報収集依頼のの
構成を示した概念図である。
【図15】項目の抽出に関連した処理を個人情報管理端
末の側で行う場合に必要とされる個人情報収集依頼の生
成手順の概略を示したフローチャートである。
【図16】項目の抽出に関連した処理を個人情報管理端
末の側で行う場合に必要とされる個人情報の収集手順の
概略を示したフローチャートである。
【符号の説明】
1 ネットワーク 10(11〜13) ユーザ端末 15 インタフェース 20(21〜23) データ格納端末 25 インタフェース 30(31〜33) サービス提供端末 35 インタフェース 40(41〜43) 個人情報管理端末 45 インタフェース 500 個人情報 501 名前(個人情報の一項目) 502 性別(個人情報の一項目) 503 生年月日(個人情報の一項目) 504 血液型(個人情報の一項目) 505 職業(個人情報の一項目) 506 住所(個人情報の一項目) 507 電話番号(個人情報の一項目) 508 クレジットカード番号(個人情報の一項目) 509 スケジュール情報(個人情報の一項目) 510 お気に入りサイト(個人情報の一項目) 520 アカウント情報 521 ユーザID 522 全体暗号鍵 523 個人情報格納先情報 524 契約個人情報管理端末 530 開示項目情報 531 応用サービスID 532 開示項目 540 鍵束 541 契約個人情報管理端末ID 542 情報管理者暗号鍵(個人情報管理端末から渡さ
れた鍵) 550 項目暗号鍵リスト 551 個人情報項目 552 項目暗号鍵 600 個人情報利用許諾 601 ユーザID 610 情報管理者向けレコードリスト 611 情報管理者向けレコード 612 個人情報管理端末ID 613 個人情報格納先 615 暗号化部分 614 全体暗号鍵 616 取得有効期限 620 開示項目暗号鍵リスト 650 個人情報利用許諾 651 ユーザID 660 情報管理者向けレコードリスト 661 情報管理者向けレコード 662 個人情報管理端末ID 663 個人情報格納先情報 664 全体暗号鍵 665 暗号化部分 666 取得有効期限 700 個人情報収集依頼 701 ユーザID 710 個人情報収集依頼 711 ユーザID
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) G09C 1/00 660 G09C 1/00 660D Fターム(参考) 5B017 AA07 BA07 BA10 CA16 5B075 KK44 ND03 UU08 5J104 AA16 DA02 EA08 EA15 FA06 MA05

Claims (6)

    【特許請求の範囲】
  1. 【請求項1】 ユーザ端末と,ユーザの個人情報を利用
    してユーザにサービスを提供するサービス提供端末と,
    個人情報管理端末と,複数のデータ格納端末とをネット
    ワークを介して接続してなる個人情報管理システムであ
    って、 前記ユーザ端末は、該ユーザ端末が保持するユーザの個
    人情報を分割する手段と、分割された個人情報の断片を
    複数のデータ格納端末に転送する手段を持ち、 前記データ格納端末は、ユーザ端末から格納を依頼され
    た個人情報の断片を格納する手段を持ち、 前記個人情報管理端末は、前記サービス提供端末によっ
    て指定されたユーザの断片化された個人情報を前記複数
    のデータ格納端末から収集する手段を持ち、 前記サービス提供端末は、前記ユーザ端末からの個人情
    報利用許諾に基いて当該ユーザの個人情報の収集を前記
    個人情報管理端末に依頼する手段と、前記個人情報管理
    端末によって収集された個人情報のうちユーザが閲覧を
    許可した項目のみを利用する手段を持つことを特徴とす
    る個人情報管理システム。
  2. 【請求項2】 前記ユーザ端末は、該ユーザ端末が保持
    するユーザの個人情報を分割する際に該個人情報を暗号
    化するように構成されていることを特徴とする請求項1
    記載の個人情報管理システム。
  3. 【請求項3】 前記ユーザ端末は、個人情報管理端末か
    ら発行された鍵で個人情報の断片の格納先を暗号化して
    前記サービス提供端末に渡し、 前記サービス提供端末は、前記暗号化された格納先を個
    人情報管理端末へ渡し、 前記個人情報管理端末が、ユーザに発行した前記鍵で格
    納先の暗号を復号して、個人情報の断片を収集すること
    を特徴とする請求項1または請求項2記載の個人情報管
    理システム。
  4. 【請求項4】 前記ユーザ端末は、個人情報を分割する
    際に該個人情報を構成する各項目を項目毎に別の鍵で暗
    号化し、閲覧を許可する項目を復号するための鍵のみを
    前記サービス提供端末に渡し、 前記サービス提供端末は、前記個人情報管理端末が収集
    した個人情報を閲覧が許可されている項目の鍵で復号す
    ることを特徴とする請求項1,請求項2または請求項3
    記載の個人情報管理システム。
  5. 【請求項5】 前記ユーザ端末は、個人情報を分割する
    際に該個人情報を構成する項目を項目毎に別の鍵で暗号
    化し、閲覧を許可する項目を復号するための鍵のみを前
    記サービス提供端末に渡し、 前記サービス提供端末は、前記ユーザ端末から渡された
    閲覧を許可する項目を復号するための鍵を前記個人情報
    管理端末に渡し、 前記個人情報管理端末は、収集した個人情報をサービス
    提供端末から渡された閲覧を許可する項目の鍵で復号し
    てサービス提供端末に渡すことを特徴とする請求項2ま
    たは請求項3記載の個人情報管理システム。
  6. 【請求項6】 前記ユーザ端末は、個人情報を分割する
    際に該個人情報を構成する項目を項目毎に別の鍵で暗号
    化してから個人情報全体を暗号化する全体暗号鍵で暗号
    化する手段と、前記個人情報管理端末のみが復号できる
    ようにデータ格納先を暗号化した暗号化データと閲覧を
    許可された項目を復号するための鍵とを前記サービス提
    供端末に渡す手段を備え、 前記サービス提供端末は、前記暗号化データを前記個人
    情報管理端末に渡す手段を備え、 前記個人情報管理端末は、前記暗号化データを復号して
    得たデータ格納先から前記ユーザの個人情報の断片を収
    集する手段と、収集した断片から前記全体暗号鍵で各項
    目が暗号化されたままの個人情報を復元する手段と、復
    元された個人情報を前記サービス提供端末に渡す手段と
    を備え、 前記サービス提供端末は、前記閲覧を許可された項目を
    復号するための鍵で閲覧を許可された項目のみを復号す
    る手段を備えることを特徴とする請求項1または請求項
    2記載の個人情報管理システム。
JP2002070653A 2002-03-14 2002-03-14 個人情報管理システム Pending JP2003271782A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002070653A JP2003271782A (ja) 2002-03-14 2002-03-14 個人情報管理システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002070653A JP2003271782A (ja) 2002-03-14 2002-03-14 個人情報管理システム

Publications (1)

Publication Number Publication Date
JP2003271782A true JP2003271782A (ja) 2003-09-26

Family

ID=29201161

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002070653A Pending JP2003271782A (ja) 2002-03-14 2002-03-14 個人情報管理システム

Country Status (1)

Country Link
JP (1) JP2003271782A (ja)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006215843A (ja) * 2005-02-04 2006-08-17 E Safe:Kk 個人情報管理システム及びその方法、並びに個人情報管理プログラム及びそのプログラムを記憶した記憶媒体
JP2006268500A (ja) * 2005-03-24 2006-10-05 Osaka Gas Co Ltd 作業帳票作成システム及び顧客情報提供方法
WO2007011036A1 (ja) 2005-07-22 2007-01-25 Sophia Co., Ltd. データ管理装置、データ管理方法、データ処理方法及びプログラム
JP2012159919A (ja) * 2011-01-31 2012-08-23 Nec System Technologies Ltd 電子データ管理システム、サーバ装置、電子データ管理方法、及びプログラム
JP2012238039A (ja) * 2011-05-09 2012-12-06 Nippon Telegr & Teleph Corp <Ntt> 情報配信システム及び情報配信方法
JP2013101574A (ja) * 2011-11-09 2013-05-23 Nippon Telegr & Teleph Corp <Ntt> 情報配信システム及び情報配信方法
JP5735722B1 (ja) * 2014-10-28 2015-06-17 楽天株式会社 情報処理装置、情報処理方法、プログラム及び記憶媒体
KR20160021670A (ko) * 2014-08-18 2016-02-26 남기원 개인 데이터 관리 시스템 및 그 방법
JPWO2014050027A1 (ja) * 2012-09-28 2016-08-22 パナソニックIpマネジメント株式会社 情報管理方法および情報管理システム
JP2016164740A (ja) * 2015-03-06 2016-09-08 日本電気株式会社 情報処理装置、情報処理方法、情報処理プログラム、データ構造、及び、情報処理システム
JP2016164741A (ja) * 2015-03-06 2016-09-08 日本電気株式会社 情報処理装置、情報処理方法、情報処理プログラム、及び、情報処理システム
JP2017107306A (ja) * 2015-12-08 2017-06-15 株式会社コネクトドット 個人情報保護・利用サーバ

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001265771A (ja) * 2000-03-22 2001-09-28 Nippon Telegr & Teleph Corp <Ntt> 個人情報管理装置、個人情報管理方法、及び個人情報管理装置または方法を実行するプログラムを記録した記録媒体

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001265771A (ja) * 2000-03-22 2001-09-28 Nippon Telegr & Teleph Corp <Ntt> 個人情報管理装置、個人情報管理方法、及び個人情報管理装置または方法を実行するプログラムを記録した記録媒体

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006215843A (ja) * 2005-02-04 2006-08-17 E Safe:Kk 個人情報管理システム及びその方法、並びに個人情報管理プログラム及びそのプログラムを記憶した記憶媒体
JP2006268500A (ja) * 2005-03-24 2006-10-05 Osaka Gas Co Ltd 作業帳票作成システム及び顧客情報提供方法
WO2007011036A1 (ja) 2005-07-22 2007-01-25 Sophia Co., Ltd. データ管理装置、データ管理方法、データ処理方法及びプログラム
US7962492B2 (en) 2005-07-22 2011-06-14 Sophia Co., Ltd. Data management apparatus, data management method, data processing method, and program
JP2012159919A (ja) * 2011-01-31 2012-08-23 Nec System Technologies Ltd 電子データ管理システム、サーバ装置、電子データ管理方法、及びプログラム
JP2012238039A (ja) * 2011-05-09 2012-12-06 Nippon Telegr & Teleph Corp <Ntt> 情報配信システム及び情報配信方法
JP2013101574A (ja) * 2011-11-09 2013-05-23 Nippon Telegr & Teleph Corp <Ntt> 情報配信システム及び情報配信方法
JPWO2014050027A1 (ja) * 2012-09-28 2016-08-22 パナソニックIpマネジメント株式会社 情報管理方法および情報管理システム
JP2019046488A (ja) * 2012-09-28 2019-03-22 パナソニックIpマネジメント株式会社 情報管理方法および情報管理システム
JP2017168130A (ja) * 2012-09-28 2017-09-21 パナソニックIpマネジメント株式会社 情報管理方法および情報管理システム
KR20160021670A (ko) * 2014-08-18 2016-02-26 남기원 개인 데이터 관리 시스템 및 그 방법
KR101687287B1 (ko) * 2014-08-18 2017-01-02 남기원 개인 데이터 관리 시스템 및 그 방법
TWI552093B (zh) * 2014-10-28 2016-10-01 Rakuten Inc Information processing devices, information processing methods and memory media
WO2016067362A1 (ja) * 2014-10-28 2016-05-06 楽天株式会社 情報処理装置、情報処理方法、プログラム及び記憶媒体
JP5735722B1 (ja) * 2014-10-28 2015-06-17 楽天株式会社 情報処理装置、情報処理方法、プログラム及び記憶媒体
JP2016164740A (ja) * 2015-03-06 2016-09-08 日本電気株式会社 情報処理装置、情報処理方法、情報処理プログラム、データ構造、及び、情報処理システム
JP2016164741A (ja) * 2015-03-06 2016-09-08 日本電気株式会社 情報処理装置、情報処理方法、情報処理プログラム、及び、情報処理システム
JP2017107306A (ja) * 2015-12-08 2017-06-15 株式会社コネクトドット 個人情報保護・利用サーバ

Similar Documents

Publication Publication Date Title
CN101855860B (zh) 用于管理加密密钥的系统和方法
CN103039057B (zh) 对移动中数据进行保护的系统和方法
ES2581548T3 (es) Sistemas y procedimientos para asegurar entornos informáticos de máquinas virtuales
CN101939946B (zh) 使用多因素或密钥式分散对数据进行保护的系统和方法
US20240135036A1 (en) Privacy-preserving mobility as a service supported by blockchain
US9613220B2 (en) Secure data parser method and system
CN103636160A (zh) 安全文件共享方法与系统
CN103229165A (zh) 用于数据的安全远程存储的系统和方法
CN103959302A (zh) 用于安全分布式存储的系统与方法
CN104079573A (zh) 用于安全保护云中的数据的系统和方法
CN104917780A (zh) 对移动中数据进行保护的系统和方法
CN106452737A (zh) 用于安全多租户数据存储的系统和方法
CN103384196A (zh) 安全数据解析方法和系统
CN103563325A (zh) 用于保护数据的系统和方法
CN105516110A (zh) 移动设备安全数据传送方法
JP2003271782A (ja) 個人情報管理システム
KR100655346B1 (ko) 전자 정보 조회 방법
KR20160040399A (ko) 개인정보 관리 시스템 및 개인정보 관리 방법
Ahmad et al. Tokenization based service model for cloud computing environment
CN112257084A (zh) 基于区块链的个人信息存储与监控方法、系统及存储介质
JP2002342145A (ja) 電磁的記録の認証システム、および、プログラム
CN103190129B (zh) 对移动中数据进行保护的系统和方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050812

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050823

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20051220