[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP5158662B2 - Personal information protection device - Google Patents

Personal information protection device Download PDF

Info

Publication number
JP5158662B2
JP5158662B2 JP2001258259A JP2001258259A JP5158662B2 JP 5158662 B2 JP5158662 B2 JP 5158662B2 JP 2001258259 A JP2001258259 A JP 2001258259A JP 2001258259 A JP2001258259 A JP 2001258259A JP 5158662 B2 JP5158662 B2 JP 5158662B2
Authority
JP
Japan
Prior art keywords
personal information
user
identification data
virtual person
person
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2001258259A
Other languages
Japanese (ja)
Other versions
JP2003067524A (en
Inventor
將迪 鳥飼
豊 塚本
Original Assignee
豊 塚本
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=19085813&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP5158662(B2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by 豊 塚本 filed Critical 豊 塚本
Priority to JP2001258259A priority Critical patent/JP5158662B2/en
Priority to AU2001295913A priority patent/AU2001295913A1/en
Priority to PCT/JP2001/008896 priority patent/WO2002033610A1/en
Priority to US10/398,743 priority patent/US8171556B2/en
Publication of JP2003067524A publication Critical patent/JP2003067524A/en
Priority to US12/613,757 priority patent/US20100063929A1/en
Application granted granted Critical
Publication of JP5158662B2 publication Critical patent/JP5158662B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、コンピュータシステムを利用して、ネットワーク上での個人情報を保護する個人情報保護装置に関する。
【0002】
【従来の技術】
従来において、ユーザがネットワークを通してサイトにアクセスして、たとえばショッピング等のネットワーク上での何らかの行動を起こす際に、当該ユーザの住所氏名や年齢あるいは嗜好情報等の個人情報の送信をサイト側から要求される場合がある。
【0003】
このような場合において、個人のプライバシーを維持したまま、安心できる状態で安全に正しく権限を与えられた情報転送を行なうものとして、特開平11−250165号公報に記載のものがあった。この特許文献に記載のものは、第1のデータ記憶はユーザーに関する静的身元確認データを含む。第2のデータ記憶はユーザーに関する適度に動的な個人データを含む。第3のデータ記憶は、ユーザーに関する動的実態的人口統計学的情報データを含む。上記のシステムで電子ウォレット(財布)を使用して、データの選択された部分をダウンロードしてユーザーに使用させることができる。データは、フォームを埋めたり、ユーザーにサービスを提供したり、ユーザーの匿名性を維持したまま店主が選択的に販売対象となるユーザーを定めることができるように使用することができる。
【0004】
【発明が解決しようとする課題】
本発明目的はユーザとそのユーザが用いる識別情報(たとえばサイト毎に使い分けられるユーザの匿名)との対応関係を特定可能な情報を守秘義務のある所定機関に登録し、たとえばユーザと業者側との間において、ユーザと前記識別情報との対応関係をめぐるトラブルが発生した場合に、所定機関に登録されている対応関係の情報を参照することを可能とすることである。また、同一人物に関するネットワーク上の行動履歴データをサイト側に提供して、その行動履歴データに基づいたよりカスタマイズされたユーザ好みの情報やサービスをユーザ側に提供しやすくすることである。
【0008】
【課題を解決するための手段】
請求項1に記載の本発明は、コンピュータシステムを利用して、ネットワーク上での個人情報を保護する個人情報保護装置であって、
現実世界での実在人物を特定して識別するための実在人物用識別データとは異なる仮想人物を識別するための仮想人物用識別データを生成する仮想人物用識別データ生成手段と、
該仮想人物用識別データ生成手段により生成された前記仮想人物用識別データと前記実在人物用識別データとの対応関係を特定可能な情報を守秘義務のある所定機関において登録する処理を行なう登録手段と、
前記実在人物であるユーザが前記仮想人物としてネットワーク上で行動してウェブサイトにアクセスする際に、ユーザを特定する情報の要求に応じて、当該ユーザに対応する前記仮想人物用識別データを当該ウェブサイトの業者に提供する提供手段と、
複数の前記ユーザの各々の行動履歴情報を各ユーザの個人情報として記憶する個人情報記憶手段と、
該個人情報記憶手段に記憶されている個人情報を提供するための制御を行なう個人情報提供制御手段とを含み、
前記仮想人物用識別データ生成手段が生成する前記仮想人物用識別データは、前記実在人物であるユーザが前記仮想人物としてネットワーク上で行動する際の当該仮想人物を識別するための識別データであって、前記ウェブサイトの業者が前記実在人物を特定できない識別データであり、
前記仮想人物用識別データ生成手段は、1人のユーザが第1ウェブサイトに対しアクセスする毎に繰り返して用いる当該第1ウェブサイト専用の第1の仮想人物用識別データを生成するとともに、当該1人のユーザが第2ウェブサイトに対しアクセスする毎に繰り返して用いる当該第2ウェブサイト専用の第2の仮想人物用識別データを生成し、
前記登録手段は、各ユーザ毎に、前記実在人物用識別データと前記第1の仮想人物用識別データと前記第2の仮想人物用識別データとの対応関係を特定可能な情報を登録し、
前記提供手段は、前記仮想人物用識別データ生成手段により生成された前記第1の仮想人物用識別データを前記第1ウェブサイトの業者に提供するとともに、前記仮想人物用識別データ生成手段により生成された前記第2の仮想人物用識別データを前記第2ウェブサイトの業者に提供することにより、前記仮想人物用識別データを使分けて提供し、
前記個人情報提供制御手段は、
ユーザの個人情報を前記第1ウェブサイトに提供する際に、当該個人情報の前記第1ウェブサイトの業者への提供を許諾してよいか否かを判定する許諾判定手段を含み、さらに、
該許諾判定手段により許諾してよいと判定された場合に、当該個人情報に対応するユーザの前記第1ウェブサイト以外のウェブサイトでの行動履歴情報を前記第1ウェブサイトの業者に提供する。
【0009】
請求項2に記載の本発明は、コンピュータシステムを利用して、ネットワーク上での個人情報を保護する個人情報保護装置であって、
現実世界での実在人物を特定して識別するための実在人物用識別データとは異なる仮想人物を識別するための仮想人物用識別データを生成する仮想人物用識別データ生成手段と、
該仮想人物用識別データ生成手段により生成された前記仮想人物用識別データと前記実在人物用識別データとの対応関係を特定可能な情報を守秘義務のある所定機関において登録する処理を行なう登録手段と、
前記実在人物であるユーザが前記仮想人物としてネットワーク上で行動してウェブサイトにアクセスする際に、ユーザを特定する情報の要求に応じて、当該ユーザに対応する前記仮想人物用識別データを当該ウェブサイトの業者に提供する提供手段と、
複数の前記ユーザの各々の個人情報を記憶する個人情報記憶手段と、
該個人情報記憶手段に記憶されている個人情報を提供するための制御を行なう個人情報提供制御手段とを含み、
前記仮想人物用識別データ生成手段が生成する前記仮想人物用識別データは、前記実在人物であるユーザが前記仮想人物としてネットワーク上で行動する際の当該仮想人物を識別するための識別データであって、前記ウェブサイトの業者が前記実在人物を特定できない識別データであり、
前記仮想人物用識別データ生成手段は、1人のユーザが第1ウェブサイトに対しアクセスする毎に繰り返して用いる当該第1ウェブサイト専用の第1の仮想人物用識別データを生成するとともに、当該1人のユーザが第2ウェブサイトに対しアクセスする毎に繰り返して用いる当該第2ウェブサイト専用の第2の仮想人物用識別データを生成し、
前記登録手段は、各ユーザ毎に、前記実在人物用識別データと前記第1の仮想人物用識別データと前記第2の仮想人物用識別データとの対応関係を特定可能な情報を登録し、
前記提供手段は、前記仮想人物用識別データ生成手段により生成された前記第1の仮想人物用識別データを前記第1ウェブサイトの業者に提供するとともに、前記仮想人物用識別データ生成手段により生成された前記第2の仮想人物用識別データを前記第2ウェブサイトの業者に提供することにより、前記仮想人物用識別データを使分けて提供し、
前記個人情報提供制御手段は、1人のユーザの個人情報を前記第1ウェブサイトの業者または前記第2ウェブサイトの業者に提供する際に、当該1人のユーザにより前記第1ウェブサイトと前記第2ウェブサイトとで個別に設定されている許諾条件に従って個人情報を提供する。
【0010】
請求項3に記載の本発明は、請求項1または請求項2に記載の発明の構成に加えて、前記登録手段は、前記実在人物が仮想人物としてネットワーク上で行動し不正行為を行なった場合に、当該仮想人物に対応する前記実在人物を前記対応関係を特定可能な情報を用いて割出すことが可能となるように前記登録する処理を行なう。
【0011】
請求項4に記載の本発明は、請求項1〜請求項3のいずれかに記載の発明の構成に加えて、前記第1ウェブサイトの業者から仮想人物用識別データの通知を受付て当該仮想人物用識別データに対応するユーザの他のウェブサイトでの行動履歴情報の要求を受付ける要求受付手段と、
該要求受付手段により受付けられた前記仮想人物用識別データが前記第1ウェブサイトに使用されている仮想人物用識別データであるか否かを判定して前記ユーザの個人情報の流通状態を監視する監視手段とを含む。
【0014】
請求項に記載の本発明は、請求項1〜請求項4のいずれかに記載の発明の構成に加えて、前記仮想人物用識別データは、ユーザが前記ウェブサイト毎に使い分ける匿名としてのコードデータを含む。
【0015】
請求項に記載の本発明は、請求項5に記載の発明の構成に加えて、前記ユーザが前記匿名を用いてネットワーク上で行動する際に使用する前記匿名用の電子証明書を発行するための処理を行なう電子証明書発行処理手段をさらに含む。
【0016】
請求項に記載の本発明は、請求項に記載の発明の構成に加えて、前記電子証明書は、前記実在人物用識別データと前記仮想人物用識別データとの対応関係を特定可能な情報を登録している守秘義務のある所定機関により発行され、前記匿名を用いるユーザが当該所定機関において登録されているユーザであることを証明するものである。
【0027】
請求項に記載の本発明は、請求項〜請求項のいずれかに記載の発明の構成に加えて、前記匿名としてのコードデータは、当該匿名を用いるウェブサイトの名称を、当該匿名を用いるユーザが使用できる鍵で暗号化または復号化したものである。
請求項9に記載の本発明は、請求項1〜請求項8のいずれかに記載の発明の構成に加えて、複数の前記ユーザの個人情報の中に、当該個人情報からユーザ本人が特定される特定個人情報が含まれているか否か判定する特定個人情報判定手段と、
該特定個人情報判定手段により特定個人情報が含まれていると判定された場合に、当該特定個人情報を加工処理してユーザ本人を特定できないようにする個人情報加工手段をさらに含み、
前記提供手段は、前記個人情報加工手段により加工処理された後の個人情報を提供する。
請求項10に記載の本発明は、請求項1〜請求項9のいずれかに記載の発明の構成に加えて、ユーザが実在人物としてウェブサイトにアクセスして前記実在人物用識別データを提供した当該ウェブサイト側からユーザを識別するために送信してきた第1クッキーを受付けた後、同じウェブサイトに同じユーザが仮想人物としてアクセスして前記仮想人物用識別データを提供した当該ウェブサイト側からユーザを識別するために送信してきた第2クッキーを受付けたときに、前記第1クッキーと前記第2クッキーとを区別して記憶し、以降同じユーザが前記仮想人物として同じ前記ウェブサイトにアクセスする際に、前記第1クッキーの当該ウェブサイトへの送信を阻止するとともに、前記第2クッキーを当該ウェブサイトへ送信する送信制御手段をさらに含む。
【0033】
【発明の実施の形態】
次に、本発明の実施の形態を図面に基づいて詳細に説明する。図1は、ブロードバンドを利用したネットワークシステムを示し、個人情報保護システムの全体の概略を示す構成図である。広域・大容量中継網43を通じて、クレジットカード発行会社群4、加盟店契約会社群5、受信局42、加盟店群6、サプライヤ群1、NM群(ニューミドルマン群)48、電子行政群49、XMLストア50、コンテンツプロバイダ群51、信号52、携帯電話網54に接続されたゲートウェイ53、インターネットI、ユーザ宅47、認証局群46、コンビニエンスストア群2、会社群45、データセンタ44、放送局41、金融機関群7等が、情報の送受信ができるように構成されている。なお、図中40は衛星(サテライト)であり、放送局41からの放送電波を中継して受信局42に電波を送るためのものである。
【0034】
クレジットカード発行会社群4とは、たとえばSET(Secure Electronic Transaction)により決済を行なう場合のイシュアとしての機能を発揮するカード発行会社である。加盟店契約会社群5は、電子モール等を構成する加盟店群6が契約している金融機関等からなる会社であり、SETにおけるアクアイアラとして機能する機関である。サプライヤ群1とは、商品メーカー等であり、商品や情報を提供する機関のことである。NM群48とは、サプライヤ群1と消費者(自然人または法人)との仲立ちを行ない、たとえば消費者のショッピング等の消費行動の支援を行なうサービス業者のことである。従来の問屋や商社等の中間業者が、サプライヤ群の販売支援を行なうのに対し、このNM群48は、消費者の購入支援(消費行動支援)を行なう点で相違する。NM群48の具体例としては、消費者の嗜好情報や購買履歴情報やWebサイトへのアクセス履歴情報をデータベースとして蓄積し、その蓄積されている消費者のプロフィール情報(個人情報)に基づいてその消費者にマッチする商品情報等を推薦して、消費者の消費行動を助けるサービス業者が当てはまる。
【0035】
電子行政群49は、たとえば市役所や税務署あるいは中央官庁等の行政を電子化したものである。XMLストア50とは、XMLによる統一されたデータ構造によってデータを格納するとともに、必要に応じてデータの要求者に所定のデータを提供するデータベースのことである。XMLストア50には、ユーザの各種個人情報やユーザエージェント(エージェント用知識データを含む)を格納している。金融機関群7やユーザからXMLストア50にアクセスがあった場合には、本人認証を行なってセキュリティを保ったうえで、必要なデータを提供できるように構成されている。コンテンツプロバイダ群51とは、映像、文字、音等の種々のコンテンツをネットワークを通じて提供する業者群のことである。交通整理を行なうための信号機52も、広域・大容量中継網43に接続され、遠隔制御できるように構成されている。
【0036】
携帯電話網45に接続されている基地局55に対し、ブラウザフォン(次世代携帯電話)30の電波が送信され、基地局55,携帯電話網45,ゲートウェイ53,広域・大容量中継網43を介して、金融機関群7,加盟店群6,NM群48,電子行政群49,XMLストア50,コンテンツプロバイダ群51等にアクセスできるように構成されている。また車両56も同様に、基地局55,携帯電話網54,ゲートウェイ53,広域・大容量中継網54を介して、各種サービス業者や各種機関にアクセスできるように構成されている。
【0037】
認証局群46とは、電子証明書の発行希望者に対して本人認証をしたうえで電子証明書を発行する機関である。データセンタ44は、放送局41から電波により配信される各種データを格納,管理する機関のことである。加盟店群6,サプライヤ群1,NM群48,電子行政群49,コンテンツプロバイダ群51等にユーザが所定の情報の送信を依頼した場合に、大容量のデータを送信する際には、それら各機関やサービス業者の配信するデータを一旦データセンタ44に格納しておき、所定の日時が来たときに放送局41から電波を通じてそのデータを配信し、受信局42で受信したデータを所定のユーザに広域・大容量中継網43を通じて配信する。
【0038】
なお、図1中二重線で示した部分は、無線LAN,CATV,衛星,xDSL(digital subscriber line),FTTH(fiber to the home)などである。
【0039】
本実施の形態では、認証局群46ばかりでなく、金融機関群7も、電子証明書を発行する。図1中、19はユーザに携帯されるIC端末であり、後述するようにユーザのプロフィール情報(個人情報)等が格納されている。
【0040】
図2(a)は、図1に示した会社群45の一例を示し、図2(b)は、図1に示したユーザ宅47の一例を示している。
【0041】
会社45内には、社内LANが構築されており、パーソナルコンピュータ57,自動販売機58,サーバ59,データベース60,ノート型パーソナルコンピュータ62,ファクシミリ61が情報のやり取りができるように接続されている。
【0042】
ブラウザフォン30は、パーソナルコンピュータ57,自動販売機58,サーバ59,他のブラウザフォン30に対し、ブルートゥース(Bluetooth)を使用して直接送受信できるように構成されている。前述したデータセンタ44は、配信しようとするコンテンツ等の情報のうちセキュリティを要求される情報に関しては暗号化して格納しており、その暗号化情報を配信するときには暗号化された情報のままで放送局41から電波により配信される。一方、IC端末19は、個人情報の他にそのIC端末19の所持者であるユーザの本人認証用の鍵や暗号アルゴリズム等のセキュリティ機能が備えられている。前述した放送局41から配信されてきて広域・大容量中継網43等を経由して会社45内の社内LANに伝送されてきた暗号化情報は、このIC端末19に記憶されている鍵およびアルゴリズムによって復号化できるように構成されている。
【0043】
さらに、ブラウザフォン30にこのIC端末19を接続することにより、送られてきた情報をブラウザフォン30で受けてその暗号化情報をIC端末19により復号化して平文等の元の情報にして表示することができる。ブラウザフォン30にIC端末19を接続した場合には、さらに通話を暗号化して送受信することができる。暗号化された通話をブラウザフォン30が受信すれば、IC端末19によりリアルタイムで復号化してもとの通話に戻してその通話をスピーカから流すことができるように構成されている。
【0044】
ファクシミリ61にIC端末19を接続することにより、ファクシミリ61による送受信データを暗号化することができる。そして暗号化されたデータをファクシミリ61が受信すれば、IC端末19によりそれを復号化して平文等の元のデータに戻してプリントアウトできる。
【0045】
図2(b)のユーザ宅47のRANには、セットボックス63、テレビ67、パーソナルコンピュータ68、照明64、冷蔵庫69、エアコンディショナ65、電話66、電子錠70等が接続されている。
【0046】
図2に示す、パーソナルコンピュータ57、自動販売機58、サーバ59、ファクシミリ61、ノート型パーソナルコンピュータ62、セットボックス63、テレビ67、パーソナルコンピュータ68、照明器具64、冷蔵庫69、エアコンディショナ65、電話66、電子錠70等は、それぞれURLが割振られており、外部から広域・大容量中継網43等を経由してそのURL(Uniform Resource Locator)にアクセスすることによりそれぞれの装置にアクセスできるように構成されている。それぞれの装置にアクセスし、その装置の現在の状態等をチェックしたり、外部から遠隔操作できる。たとえば、電子錠70にアクセスして施錠されていない場合には遠隔操作によって施錠したり、エアコンディショナ65にアクセスして、ユーザがユーザ宅47に帰宅する10分ほど前に、エアコンディショナ65が作動するようにセットしたり等ができる。
【0047】
図3は、金融機関7を説明するための説明図である。金融機関7には、VP管理サーバ9、決済サーバ10、認証用サーバ11、データベース12a,12bが備えられている。VP管理サーバ9は、仮想人物としてのバーチャルパーソン(以下、単に「VP」という)を管理するためのサーバである。VPとは、現実世界に実在しないネットワーク上で行動する仮想の人物のことであり、現実世界での実在人物であるリアルパーソン(以下、単に「RP」という)がネットワーク上で行動する際に、VPになりすましてそのVPとして行動できるようにするために誕生させた仮想人物のことである。
【0048】
VP管理サーバ9は、後述するように、RPからVPの出生依頼があれば、そのVPの氏名や住所等の所定情報を決定してVPを誕生させ、そのVPのデータをデータベース12aに記憶させておく機能を有している。また、このVP管理サーバ9は、VP用の電子証明書を作成して発行する機能も有している。VPが売買や決済等の法律行為を行なう場合に、この電子証明書を相手方に送信することにより、仮想人物でありながら独立して法律行為を行なうことが可能となる。
【0049】
認証用サーバ11は、RP用の電子証明書を作成して発行する機能を有する。金融機関7に設置されている決済サーバ10は、RPによる電子マネーやデビットカードを使用しての決済ばかりでなく、VPとして電子マネーやデビットカードを使用しての決済を行なうための処理を行なう機能も有している。
【0050】
データベース12aは、RPやVPに関するデータを格納するものである。データベース12bは、広域・大容量中継網43やインターネットIに接続されているサイト(業者)を管理するためのデータを格納している。
【0051】
図3に示すように、データベース12aには、RP用のデータとして、RPの氏名、住所、認証鍵KN、公開鍵KT、口座番号等が記憶されている。認証鍵とは、RPが金融機関7にアクセスしてきた場合に共通鍵暗号方式により本人認証を行なうための鍵である。公開鍵とは、公開鍵暗号方式に用いられる鍵であり、秘密鍵とペアとなっている鍵である。口座番号は、当該金融機関7においてRPが開設している口座番号のことである。
【0052】
トラップ情報とは、サイト(業者)側が個人情報を収集してそれを不正に流通させた場合に、それを行なった犯人を割出すためにトラップ(罠)を仕掛けるための情報である。たとえば、VPが自己の個人情報をあるサイト(第1譲渡先)に譲渡する際に、その第1譲渡先特有の氏名を用いる。すなわち、VPが自己の氏名を複数種類有し、サイト(業者)ごとに使い分ける。このようなVP氏名を、便宜上トラップ型VP氏名という。このようにすれば、ダイレクトメールやEメールが業者側から送られてきた場合には、そのメールの宛名がトラップ型VP氏名となっているはずである。その送ってきたサイト(業者)が、トラップ型VP氏名から割出される第1譲渡先とは異なりかつ譲渡した自己の個人情報の開示許容範囲(流通許容範囲)を超えたサイト(業者)であった場合には、その個人情報が第1譲渡先によって不正に開示(流通)されたこととなる。このように、不正流通(不正開示)を行なった第1譲渡先を、トラップ型VP氏名から割出すことができる。
【0053】
なお、図3では、次郎が第2トラップ情報、第3トラップ情報、第2個人情報、第3個人情報、2つの情報を有している。次郎が、ネットワーク上で行動する場合に、この2人のVPを使い分けて行動するために、これら2種類のVP情報を金融機関7に登録している。VPの住所とは、後述するように、RPの希望するまたはRPの住所に近いコンビニエンスストア2の住所である。その結果、VPとして電子ショッピングをした場合の商品の配達先が、そのVPの住所であるコンビニエンスストア2に配達されることとなる。RPは、その配達されてきた商品をVPになりすましてコンビニエンスストア2にまで出向いて商品を引取ることが可能となる。このようにすれば、住所を手がかりにVPとRPとの対応関係が見破られてしまう不都合が防止できる。
【0054】
図3に示したトラップ情報の詳細は、図4に示されている。第1トラップ情報、第2トラップ情報、…の各トラップ情報は、サイト名ごとに、氏名(トラップ型VP氏名)、公開鍵、Eメールアドレス、バーチャル口座番号、バーチャルクレジット番号を含んでいる。たとえば、サイト名(業者名)ABCにVPがアクセスする際には、VPの本名であるB13Pを用い、VPの秘密鍵KSBとペアの公開鍵KPB'を用い、VPの本当のEメールアドレスである○□×△×を用い、VPの本当の口座番号である2503を用い、VPの本当のクレジット番号である3288を用いる。
【0055】
一方、サイト名(業者名)MTTにアクセスする場合には、VPの本名をそのVPの秘密鍵で1回暗号化したE(B13P)を、トラップ型VP氏名として用いる。秘密鍵としては、VPの本当の秘密鍵KSBをVPの本当の秘密鍵KSBで1回暗号化したEKSB(KSB)を用いる。この秘密鍵EKSB(KSB)に対する公開鍵KPBがデータベース12aに格納されている。Eメールアドレスとしては、金融機関7がトラップ型VPのために開設しているEメールアドレス△△△△△を用いる。口座番号としては、VPの本当の口座番号をVPの本当の秘密鍵で1回暗号化したE(2503)をバーチャル口座番号として用いる。クレジット番号は、VPの本当のクレジット番号をVPの本当の秘密鍵で1回暗号化したE(3288)を用いる。
【0056】
さらに、サイト名(業者名)MECにアクセスする場合には、VPの秘密鍵でVPの本名を2回暗号化したE2(B13P)をトラップ型VP氏名として用いる。
【0057】
VPがトラップ型VP氏名E2(B13P)を用いてネットワーク上で行動する場合には、秘密鍵KSBを秘密鍵KSBで2回暗号化した2回暗号化秘密鍵E2 KSB(KSB)を用いる。その2回暗号化秘密鍵とペアになっている公開鍵がKPB″である。Eメールアドレスは、金融機関7がトラップ型VP用のEメールアドレスとして開設している△△△△△を用いる。バーチャル口座番号は、VPの本当の口座番号を秘密鍵で2回暗号化したE2(2503)を用いる。クレジット番号は、VPの本当のクレジット番号をVPの秘密鍵で2回暗号化したバーチャルクレジット番号E2(3288)を用いる。
【0058】
このように、サイト名ごとに、トラップ情報の暗号回数が異なる。サイト側(業者側)に提供した個人情報というものは、ネットワーク上を流通した後最終的にはその個人情報主にEメールやダイレクトメールの形で返ってくる。この個人情報の帰還ループを利用してトラップを仕掛けて個人情報の不正流通を行なった犯人を追跡できるようにするのが、このトラップ情報の狙いである。すなわち、ユーザをネット上で追跡するトラッキング型クッキーの逆を行なうものである。
【0059】
図5は、図3に示したVPの個人情報を説明する図である。第1個人情報、第2個人情報、第3個人情報、…の各個人情報は、個人情報A、個人情報B、…の複数種類の個人情報が集まって構成されている。たとえば、個人情報Aは、VPの年齢,性別,職業,年収等であり、個人情報Bは、VPの嗜好に関する情報である。
【0060】
図5に示すように、各個人情報は,金融機関7の秘密鍵KSによるデジタル署名が付されている。たとえば,第1個人情報の個人情報Aは、○○△の個人情報自体に対しデジタル署名であるDKS(○○△)が付されている。
【0061】
このデータベース12aに格納されている各個人情報は、後述するように、金融機関7がその真偽をチェックして正しいもののみをデータベース12aに格納し、正しいことを認証するためのデジタル署名が付される。
【0062】
図6は、金融機関7のデータベース12bに格納されている情報を示す図である。データベース12bには、サイト名(業者名)ごとに、その業者が個人情報を不正入手した値と、個人情報を不正流出(不正流通)した値と、それら両値から割出される悪い順位とが記憶されている。
【0063】
後述するように、あるサイト名(業者名)MTTが、個人情報を不正に入手すればその不正入手値が「1」加算更新され、個人情報を不正に流通すれば、その不正流通値が「1」加算更新される。そして悪い順位は、不正入手値+2×不正流出値の計算式で値を出し、その値が大きいほど悪い順位が上位となる。前記計算式の値が一番大きければ悪い順位が一番となる。
【0064】
図7は、XMLストア50の構成を示す図である。XMLストア50には、データベース72とそれを制御するサーバ71とが設置されている。サーバ71は、XMLストア50にアクセスしてきた者を、本人認証してアクセス制御する機能も備えている。
【0065】
データベース72には、XMLで表現されたデータが格納されている。そのデータの中身は、VP情報として、VPの氏名であるたとえばB13P、VPユーザエージェント(知識データを含む)、サイト別情報として、サイト名たとえばABC、そのサイトにアクセスしたVPに発行された電子証明書、そのVPの個人情報と当該サイトのプライバシーポリシーとそれら両情報に対し当該VPが付したデジタル署名DKSB(個人情報+ポリシー)と当該サイトABCが付したデジタル署名DKSA(個人情報+ポリシー)と、トラップ情報としての暗号化回数「0」と、当該VPのEメールアドレスである○□×△×が含まれている。さらに、VPがサイト名MTTにアクセスした場合には、そのサイト名MTTにアクセスしたトラップ型VPに対し発行された電子証明書と、そのサイトにトラップ型VPが提供した個人情報とそのサイトのプライバシーポリシーとそれら両情報に対する当該トラップ型VPのデジタル署名と当該サイトのデジタル署名と、トラップ情報としての暗号回数「1」とEメールアドレスとが含まれている。
【0066】
さらに、氏名がNPXAの他のVPの情報も、前述と同様の項目がデータベース72に記憶される。このデータベース72には、非常に多くのVPごとに、前述した項目でデータが記憶されている。
【0067】
なお、サイト名ABCについては、図4で説明したように、トラップ情報として1回も暗号化していない情報を用いているために、データベース72に格納されている暗号回数も「0」となっている。サイト名MTTについて言えば、図4で説明したように、トラップ情報として1回暗号化した情報を用いているために、データベース72に記憶されている暗号化回数も「1」となっている。
【0068】
前述したVPユーザエージェントとは、ユーザであるVPのために動作する自立型ソフトウェアのことである。このVPユーザエージェントは、ネットワークを通して移動できるようにモバイルエージェントで構成されている。
【0069】
なお、図3〜図7に示した各データは、暗号化した状態で各データベースに格納しておいてもよい。そうすれば、万一データが盗まれたとしても、解読できないために、セキュリティ上の信頼性が向上する。一方、たとえばVP(トラップ型VPを含む)がネットワーク上で目に余る不正行為(たとえば刑法に違反する行為)を行なった場合には、所定機関(たとえば警察等)からの要請等に応じて、そのVPをデータベース12a等から検索してそのVPに対応するRPを割出し、RPの住所氏名等を要請のあった所定機関(たとえば警察等)に提供するようにしてもよい。
【0070】
図8は、コンビニエンスストア2の構成を示す図である。コンビニエンスストア2には、データベース75と、それに接続されたサーバ74と、そのサーバに接続された端末73とが設置されている。データベース75には、当該コンビニエンスストアに住所を持つVP(トラップ型VPを含む)の氏名と、それら各氏名に対応して、商品の預かり情報、Eメールアドレス、顧客管理情報等が記憶されている。
【0071】
当該コンビニエンスストア2にB13PのVPが購入した商品が配達されれば、データベース75のB13Pの記憶領域に、商品預かり情報として「ABC会社からの商品預かり,未決済」が格納される。この未決済とは、B13Pがネットを通じて商品を購入したもののまだ支払を行なっていない状態のことである。
【0072】
データベース75のEメールアドレスの欄には、各VPに対応してEメールアドレスが格納されている。B13Pの場合には、トラップ型VPでないために、当該VPの本当のEメールアドレスである○□×△×が格納されている。
【0073】
トラップ型VPであるE(B13P)も同様に、商品預かり情報としてたとえば「MTT会社からの商品預かり,決済済」が格納される。なお、E(B13P)は、トラップ型VPであるために、Eメールアドレスは、金融機関7のトラップ型VPのために開設されているEメールアドレスが格納される。
【0074】
サーバ74は、後述するように、コンビニエンスストア2にVP(トラップ型VPを含む)として商品を引取りに来た顧客が、当該コンビニエンスストア2に登録されているVP(トラップ型VPを含む)に対し商品を預かっている場合にはその商品をVP(トラップ型VPを含む)に引渡すための処理を行なう。
【0075】
コンビニエンスストア2は、商品の預かりサービスばかりでなくVP用のダイレクトメールの預かりサービスも行なう。VPはコンビニエンスストア2が住所でありVP宛のダイレクトメールはコンビニエンスストア2に郵送されるためである。
【0076】
図9は、ユーザに用いられる端末の一例のブラウザフォン30を示す正面図である。ブラウザフォン30には、マイクロコンピュータ199が備えられている。このマイクロコンピュータ199には、CPU(Central Processing Unit)197と、I/Oポート198と、ROM195と、EEPROM194と、RAM196とが備えられている。このブラウザフォン30は、USB(Universal Serial Bus)ポートを備えており、USBポートに対し、IC端末19Rまたは19Vまたは19Iが差込み可能に構成されている。IC端末19Rは、RP用のIC端末である。IC端末19Vは、VP用のIC端末である。IC端末19Iは、後述するように金融機関が発行したVP用のデータやプログラムが格納されてユーザにまで配達されてくるものであり、その配達されてきたIC端末19Iをブラウザフォン30のUSBポートに指込むことにより、IC端末19Iに記憶されているデータやソフトウェアがブラウザフォン30に記憶されることとなる。
【0077】
図10は、VP用IC端末19Vを説明するための説明図である。VP用IC端末19Vは、前述したように、ブラウザフォン30のUSBポート18に対し着脱自在に構成されており、USBポート18に差込むことにより、ブラウザフォン30との情報がやり取りできるようになり、使用可能な状態となる。
【0078】
VP用IC端末19V内には、LSIチップ20が組込まれている。このLSIチップ20には、制御中枢としてのCPU24、CPU24の動作プログラムが記憶されているROM25、CPU24のワークエリアとしてのRAM22、電気的に記憶データを消去可能なEEPROM26、コプロセッサ23、外部とのデータの入出力を行なうためのI/Oポート21等が設けられており、それらがバスにより接続されている。
【0079】
EEPROM26には、電子マネー用のプログラムであるモンデックス(リロード金額データを含む)、その他の各種アプリケーションソフト、VP用に発行された電子証明書、暗証番号、クッキーデータが記憶されている。
【0080】
さらに、VP用IC端末19Vは、VPのユーザエージェントとしての機能を有しており、ユーザエージェント用知識データとして、デビットカード情報、クレジットカード情報、VPの氏名,住所、VPのEメールアドレス、VPの公開鍵KPと秘密鍵KS、RPの認証鍵KN、VPの年齢,職業等、VPの各種嗜好情報、VPの家族構成、…等の各種知識データが記憶されている。
【0081】
RP用IC端末19Rの場合も、図10に示したVP用IC端末19Vとほぼ同様の構成を有している。相違点といえば、EEPROM26に記録されているユーザエージェント用知識データの内容が相違する。具体的には、VPの氏名,住所の代わりにRPの氏名,住所、VPのEメールアドレスの代わりにRPのEメールアドレス,VPの公開鍵や秘密鍵の代わりにRPの公開鍵,秘密鍵、VPの年齢や職業等の代わりにRPの年齢や職業等、VPの各種嗜好情報の代わりにRPの各種嗜好情報、VPの家族構成の代わりにRPの家族構成となる。
【0082】
なお、VPの家族構成は、VPに対応するRPの家族がVPを誕生させている場合には、その誕生しているVPの名前や住所や年齢等のデータから構成されている。つまり、RPの家族に対応するVPの家族すなわちバーチャル家族のデータがこのVPの家族構成の記憶領域に記憶されることとなる。
【0083】
図11は、図10に示したクッキーデータの詳細を示す図である。クッキーデータの記憶領域には、VP氏名ごとに、そのVP氏名を用いてアクセスしたサイト(業者)側から送られてきたクッキーが格納される。VPが本名B13Pを用いてサイトにアクセスする場合には、既にトラップ型VPを用いてアクセスしたサイト以外のサイトは、どのサイトでもアクセスできる。その結果、本名B13Pに限り多くのサイトからのクッキーデータが記憶されている。
【0084】
図12は、図3に示したVP管理サーバ9の処理動作を示すフローチャートである。ステップS(以下単にSという)1により、VPの出生依頼があったか否かの判断がなされる。顧客(ユーザ)がブラウザフォン30を操作してVPの出生依頼を行なえば、S1aに進み、正当機関である旨の証明処理がなされる。この証明処理は、金融機関7がVPの管理をする正当な機関であることを証明するための処理であり、他人が金融機関7になりすます不正行為を防止するための処理である。この処理については、図24(b)に基づいて後述する。次にS2へ進み、RPの氏名,住所の入力要求をブラウザフォン30へ送信する。次にS3へ進み、RPの氏名,住所の返信がブラウザフォン30からあったか否かの判断がなされ、あるまで待機する。
【0085】
ユーザであるRPがブラウザフォン30から自分の氏名,住所を入力して送信すれば、S3によりYESの判断がなされてS4へ進み、乱数Rを生成してチャレンジデータとしてブラウザフォン30へ送信する処理がなされる。ユーザがVPの出生依頼を行なう場合には、ブラウザフォン30のUSBポート18にVP用IC端末19Vを差込んでおく。その状態で、VP管理サーバ9から乱数Rが送信されてくれば、その乱数をVP用IC端末19Vへ入力する。すると、後述するように、VP用IC端末19V内において入力された乱数RをRPの認証鍵KNを用いて暗号化する処理がなされ、その暗号結果がブラウザフォン30へ出力される。ブラウザフォン30では、その出力されてきた暗号化データであるレスポンスデータIをVP管理サーバ9へ送信する。すると、S5によりYESの判断がなされてS6へ進み、RPの認証鍵KNを用いて、受信したレスポンスデータIを復号化する処理すなわちDKN(I)を算出する処理がなされる。次にS7へ進み、S4により生成した乱数R=DKN(I)であるか否かの判断がなされる。
【0086】
VPの出生依頼者が金融機関7のデータベース12に記憶されている正規のRPである場合には、R=DKN(I)となるために、制御がS9へ進むが、データベース12に記憶されているRPに他人がなりすましてVPの出生依頼を行なった場合には、R=DKN(I)とはならないために、制御がS8へ進み、アクセス拒絶の旨がブラウザフォン30へ送信されてS1へ戻る。
【0087】
一方、S7によりYESの判断がなされた場合には、S9へ進み、希望のコンビニエンスストアの入力があったか否かの判断がなされる。VPの出生依頼を行なったRPは、誕生してくるVPの住所となるコンビニエンスストアについて特に希望するコンビニエンスストアがあれば、ブラウザフォン30に入力してVP管理サーバ9へ送信する。その場合には、S9によりYESの判断がなされてS10へ進み、その入力されてきたコンビニエンスストアの情報を記憶した後S12へ進む。一方、希望するコンビニエンスストアの入力がなかった場合にはS11へ進み、RPの住所に近いコンビニエンスストアを検索してそのコンビニエンスストアを記憶した後S12へ進む。
【0088】
S12では、VPの氏名,VPの住所であるコンビニエンスストアの住所,VPのEメールアドレス等を決定する。次にS13へ進み、VPの公開鍵の送信要求をブラウザフォン30へ送信する。そして、S14へ進み、公開鍵KPの返信があったか否かの判断がなされ、あるまで待機する。VPの公開鍵の送信要求を受けたブラウザフォン30は、接続されているVP用IC端末19Vへ公開鍵出力要求を出力する。すると、後述するように、VP用IC端末19Vは、記憶しているVP用の公開鍵KPをブラウザフォン30へ出力する。ブラウザフォン30では、その出力されてきたVP用の公開鍵KPをVP管理サーバ9へ返信する。すると、S14よりYESの判断がなされてS15へ進み、RPに対応付けて、VPの氏名,住所,公開鍵KP,Eメールアドレスをデータベース12へ記憶させる処理がなされる。
【0089】
次にS16へ進み、VPの電子証明書を作成してXMLストア50に登録する処理がなされる。次にS17へ進み、RPに、VPの氏名,コンビニエンスストアの住所,コンビニエンスストアの名称,Eメールアドレス,電子証明書を記憶したIC端末19Iを郵送するための処理がなされる。次にS18へ進み、S12で決定された住所のコンビニエンスストアにVPの氏名,Eメールアドレス,当該金融機関7の名称を送信する処理がなされる。次にS19へ進み、正当機関である旨の証明処理がなされる。この正当機関である旨の証明処理は、前述したS1aと同じ処理である。次にS1へ戻る。
【0090】
本発明でいう「匿名用の電子証明書」とは、ユーザと当該ユーザが用いる匿名(VP氏名)との対応関係を特定可能な情報を登録している守秘義務のある所定機関(金融機関7)により発行され、前記匿名を用いるユーザが当該所定機関に登録されているユーザであることを証明する証明書を含む概念である。よって、本人確認に用いる一般的なデジタルIDばかりでなく、前記所定機関が前記匿名を用いるユーザに対し当該ユーザは当該所定機関に登録されているユーザであることを証明する電子的な証明書をすべて含む概念である。たとえば、ユーザが用いる匿名とその匿名が前記所定機関に登録されているメッセージとに対し、前記所定機関によるデジタル署名が施されただけの、簡単な証明書を含む概念である。
【0091】
S1によりNOの判断がなされた場合にはS13(a)のS400へ進む。S400では、個人情報の登録処理が行なわれ、次にS401によりトラップ情報の登録処理が行なわれ、S402により個人情報の確認処理が行なわれ、S403により個人情報の照合,流通チェック処理が行なわれ、S404により個人情報の販売代行処理が行なわれ、S405によりメール転送,流通チェック処理が行なわれ、S406により他のトラップ型VPのアクセス履歴の提供処理が行なわれ、S407により信頼度ランキング情報の集計,提供処理が行なわれてS1へ戻る。ユーザから個人情報の提供を受けたサイト(業者)側では、提供してもらった個人情報が本当に正しい内容であるか否かを確認したいというニーズがある。そこで、金融機関7のVP管理サーバ9は、ユーザから個人情報を受付けてその個人情報が正しい個人情報かどうかをチェックし、正しい個人情報のみをデータベース12aに登録する。その処理をS400により行なう。
【0092】
一方、ネットワーク上でVPの利用が盛んになった場合には、RPとVPとの両方の詳しい個人情報を収集した業者が、両個人情報をしらみつぶしにマッチングして、両個人情報が一致するRP氏名とVP氏名とを割出し、VPに対応するRPを予測してしまうという不都合が生ずる恐れがある。そこで、個人情報をデータベース12aに登録する場合には、勤務先名や所属部署名あるいは役職等のRPが特定されてしまうような個人情報を排除(または変更)して、登録する必要がある。そのような処理を、S400により行なう。
【0093】
一方、個人情報主であるユーザは、自己の個人情報が正しい内容で流通しているか否かを監視し、間違っていれば正しい内容に修正したいというニーズがある。そこで、データベース12bに登録されている自己の個人情報の真偽をユーザがチェックできるように、S402により、個人情報の確認処理が行なわれる。
【0094】
さらに、ユーザが自己の個人情報の公開範囲(流通範囲)を限定した上でその個人情報を業者側(サイト側)に提供した場合に、その公開範囲(流通範囲)が守られているか否かを監視したいというニーズがある。個人情報の提供を受けた業者側は、前述したようにその個人情報が正しい情報であるか否かを確認したいというニーズがある。そこで、サイト側(業者側)が所有している個人情報を正しい個人情報が登録されているデータベース12aの個人情報と照合できるようにする一方、その照合対象となった業者側所有の個人情報の流通許容範囲をチェックして正しく流通されているか否かをチェックできるように、S403の処理が行なわれる。
【0095】
ユーザは、個人情報を提供する見返りとして、何らかのサービスあるいは金銭を入手したいというニーズがある。そこで、S404により、個人情報の販売代行が行なわれる。図4に基づいて説明したように、トラップ型VPは、Eメールアドレスを金融機関7のトラップ型VP用として開設しているアドレスにしているため、そのトラップ型VPに宛てたEメールは金融機関7のトラップ型VP用に開設されたEメールアドレス宛に送られる。そこで、その送られてきたEメールを対応するVPのEメールアドレスに転送する必要がある。その処理を、S405により行なう。その際に、業者側から送られてくるEメールの宛名はトラップ型VPとなっているために、そのトラップ型VPに対応するサイトを割出し(図4参照)、その割出されたサイトからのEメールでなかった場合には当該トラップ型VPの個人情報の流通許容範囲内のサイトからのEメールか否かをチェックし、流通チェックを行なうことも、S405により行なわれる。
【0096】
図4に基づいて説明したように、トラップ型VP氏名をサイト別に使い分ける場合には、ユーザ側において、それら氏名毎に分離してサイト側からのクッキーが記録されるように交通整理を行なう必要がある。同一のクッキーが複数のトラップ型VPにまたがって共通に付着されている場合には、その複数のトラップ型VPは同一人物のVPであることが見破られてしまうためである。
【0097】
このような交通整理を行なった場合には、業者側(サイト側)は、ある1つのトラップ型VPについてのアクセス履歴情報や商品購入履歴情報を収集することはできるが、同一のVPでありながら他のトラップ型VP氏名使用時におけるアクセス履歴や商品購入履歴情報は収集できなくなる。つまり、業者側(サイト側)は、あるVPについてその一部の履歴情報しか収集できなくなるという不都合が生ずる。
【0098】
そこで、業者側(サイト側)から要請があった場合に、他のトラップ型VPのアクセス履歴を提供し得る処理が、S406により行なわれる。
【0099】
ユーザが自己の個人情報をサイト側(業者側)に提供する際には、その業者がプライバシー保護に関してどの程度信用できる業者であるか否か確認したいというニーズがある。そこで、S407により、信頼度ランキング情報の集計を行なってその集計結果を提供する処理が行なわれる。
【0100】
図13の(b)は、S400の個人情報の登録処理のサブルーチンプログラムを示すフローチャートである。この個人情報の登録処理は、ユーザがVPとして個人情報を登録する際の処理である。
【0101】
乱数Rを受信したブラウザフォン30は、そのブラウザフォン30に接続されているVP用IC端末19Vに記憶されているVP用の秘密鍵を用いて乱数Rを1回暗号化してレスポンスデータIを生成する。そしてそのレスポンスデータIを金融機関7のVP用管理サーバ9へ送信する。
【0102】
S410により、ユーザ側から個人情報の登録要求があったか否かの判断がなされ、ない場合にはこのサブルーチンプログラムが終了する。登録要求があった場合にはS411へ進み、正当機関証明処理がなされる。次に制御がS412へ進み、VPの氏名の入力要求がなされ、S413により入力があったか否かの判断がなされる。入力があった場合には制御がS414へ進み、乱数Rを生成してチャレンジデータとして登録要求を行なったユーザ側に送信する処理がなされる。S415へ進み、ユーザ側からレスポンスデータIを受信したか否かの判断がなされ、受信するまで待機する。受信した段階でS416へ進み、VPの公開鍵KPをデータベース12aから検索して、受信したレスポンスデータIを公開鍵KPで暗号化したDkp(I)を生成する処理がなされる。
【0103】
次に制御がS417へ進み、チャレンジデータRとDkp(I)が等しいか否かの判断がなされる。等しくなければユーザの本人認証ができなかったこととなりS422へ進み、登録拒否の処理がなされる。S417によりYESの判断がなされた場合には制御がS418へ進み、登録要求を出したユーザに対し登録を希望する個人情報の入力要求を出す処理がなされる。次にS419へ進み、入力があったか否かの判断がなされ、入力があるまで待機する。入力があった段階で制御がS420へ進み、登録対象の個人情報の真偽チェックを行なう。
【0104】
この真偽チェックは、たとえば、XMLストア50にアクセスして該当するユーザの個人情報が登録されている場合にそれと照合チェックしたり、電子行政群49に含まれる市役所等にアクセスしてそこに登録されている個人情報と照合チェックしたりして行なわれる。このような機械検索による照合チェックだけでは不十分な場合には、金融機関7の調査員が裏取り調査を行なって真偽チェックを行なう。
【0105】
次に制御がS421へ進み、真偽チェックの結果正しいか否かの判断がなされ、正しくない場合にはS422へ進み登録拒否の処理がなされる一方、正しい場合にはS423へ進み、RPが特定される個人情報か否かの判断がなされる。登録しようとしているVPの個人情報の中に、たとえば勤務先名や所属部署名あるいは役職等のRPが特定されてしまうような個人情報が存在する場合に、それをそのまま登録してしまうと、その登録情報からどのVPがどのRPに対応するかを第三者に予測されてしまう恐れがある。このデータベース12aに登録される個人情報は、S403やS404によりサイト側(業者側)が知り得る状態となる。その結果、サイト側(業者側)に、RPとVPとの対応関係が予測される恐れが生ずる。
【0106】
そこで、S423により、RPが特定される個人情報か否かの判断がなされ、予測される個人情報でなければS425へ進むが、予測される恐れのある個人情報の場合にはS424へ進み、その個人情報を加工する処理がなされた後S425へ進む。たとえば、勤務先名がMECであった場合には、それをたとえば「某大手電気メーカー」に加工したり、役職がたとえば専務であった場合には、たとえば「重役」に加工したりする。
【0107】
S425では、個人情報に当該金融機関のデジタル署名を付してユーザ名別に登録する処理がなされる。その結果、図5に示すようなデータがデータベース12aに登録される。
【0108】
図14は、S401に示されたトラップ情報の登録処理のサブルーチンプログラムを示すフローチャートである。S430により、正当機関証明処理がなされ、S431により、VP氏名の入力要求がトラップ情報の登録依頼をしてきたVPに出される。次にS432へ進み、その登録依頼をしてきたVPが自己のVP氏名を入力したか否かの判断がなされ、入力するまでS431の要求が出される。次に制御がS433へ進み、乱数Rを生成してチャレンジデータとして登録依頼者であるVPに送信する処理がなされる。S434により、レスポンスデータIを受信したか否かの判断がなされる。
【0109】
送信されてきたチャレンジデータRを受信した登録依頼者であるVPがそのチャレンジデータRを自己の秘密鍵で暗号化してレスポンスデータIを生成し、金融機関7のVP管理サーバ9へ送信する。すると、制御がS435へ進み、登録依頼をしてきたVPの公開鍵KPをデータベース12aから検索し、受信したレスポンスデータIをその公開鍵KPで復号化する処理を行なう。そしてS436により、チャレンジデータR=Dkp(I)であるか否かの判断がなされ、イコールでない場合には認証の結果そのVPが本人と確定できないということであり、S437により登録拒否の通知がそのVPになされる。一方、S436によりYESの判断がなされて認証の結果VPが本人であることが確認できた場合には、制御がS438へ進み、トラップ情報の送信要求をそのVPへ送信する処理がなされる。
【0110】
VPから登録してもらいたいトラップ情報が送信されてきたか否かがS439によりなされ、送信されてくるまで待機する。送信されてきた段階で制御がS440へ進み、送信されてきたトラップ情報をデータベース12aに記憶させる処理がなされる。このトラップ情報は、登録依頼者であるVPに対応した記憶領域に記憶される。次に制御がS441へ進み、そのトラップ情報に対する電子署名を金融機関7が生成して、その電子証明書をXMLストア50へ登録する処理がなされる。その結果、図7に基づいて説明したように、XMLストア50のデータベース72に電子証明書が格納される。
【0111】
この電子証明書は、XMLストア50に格納する代わりに登録依頼を行なってきたVPのIC端末19Vに格納してもよい。しかし、トラップ情報は、前述したように、そのVPがアクセスしたWebサイト毎に異なり、その結果電子証明書もWebサイト毎に異なることとなり、多数の電子証明書をIC端末19Vに格納するとなると、記憶容量の問題が生ずる。ゆえに、本実施の形態では、その記憶容量の問題を克服するために、XMLストア50へ登録する。なお、IC端末19Vの記憶容量が非常に大きなものであれば、金融機関7が発行した電子証明書のすべてまたはその大半をこのIC端末19Vに記憶させてもよい。
【0112】
図15は、S402に示された個人情報の確認処理のサブルーチンプログラムを示すフローチャートである。金融機関7のデータベース12aに登録されている自己の個人情報をユーザが確認したい場合には、ユーザがRPとして金融機関7のVP管理サーバ9へ確認要求を送信する。その確認要求の送信があればS450によりYESの判断がなされ、S451〜S458により、前述したものと同様の本人認証処理がなされる。なお、S452による氏名の入力要求とは、ユーザのRPの氏名の入力要求である。本人認証の結果ユーザが本人であることが確認された場合にはS457によりYESの判断がなされて制御がS459へ進む。
【0113】
S459では、個人情報の確認要求であったか否かの判断がなされる。この個人情報の確認処理のサブルーチンプログラムは、ユーザから自己の個人情報の変更要求があった場合も対処できるように構成されている。そのユーザからの個人情報の変更要求の場合には、S459によりNOの判断がなされるが、個人情報の確認要求であった場合にはS459によりYESの判断がなされて制御がS460へ進み、入力されたRP氏名に対応する個人情報をそのユーザに送信する処理がなされる。
【0114】
送信されてきた個人情報を確認したユーザは、その個人情報の中に間違った個人情報がある場合、あるいは、転職や引越し等を行なって個人情報が変更された場合には、自己の個人情報の変更要求を金融機関7のVP管理サーバ9へ送信する。すると、S450aによりYESの判断がなされて制御がS451へ進み、S451〜S458の認証処理が行なわれる。そして認証の結果本人であることが確認された場合にはS457によりYESの判断がなされてS459へ進み、個人情報の確認要求であったか否かの判断がなされる。この場合には、個人情報の変更要求であるために、制御がS459aへ進み、変更したい個人情報(変更情報)の送信要求がそのユーザに対してなされる。
【0115】
ユーザは、自己の個人情報中のどの箇所をどのように変更したいかという変更情報を金融機関7のVP管理サーバ9へ送信する。すると、S459bによりYESの判断がなされてS461により、その送信されてきた変更情報が正しいか否かの真偽チェックがなされる。次にS462により、そのチェックの結果をユーザに返信する処理がなされる。次にS463により、チェックの結果正しいか否かの判断がなされ、正しくなければ個人情報の変更を行なうことなくそのままこのサブルーチンプログラムが終了するが、正しい場合にはS464へ進み、データベース12a中の個人情報の該当箇所を変更する処理がなされる。
【0116】
図16は、S403により示された個人情報の照合,流通チェック処理のサブルーチンプログラムを示すフローチャートである。S465により、照合依頼があったか否かの判断がなされる。たとえば、Webサイト側において、アクセスしてきたユーザの住所、氏名、年齢、性別、年収、嗜好情報等の、個人情報を収集した場合に、その個人情報が本当に正しい個人情報であるか否かを金融機関7において照合できるようにしたのが、このサブルーチンプログラムである。そのようなサイト側(業者側)から照合依頼があれば、制御がS466へ進み、金融機関7側の電子証明書をサイト側(業者側)へ送信し、S467により、そのサイト側(業者側)の電子証明書の送信を要求する処理がなされる。その業者側から自己の電子証明書が送信されてくればS468によりYESの判断がなされて制御がS469へ進み、照合したいユーザの氏名をその照合依頼者に要求する処理がなされる。照合依頼者であるサイト側(業者側)が照合したいユーザの氏名を送信してくれば、制御がS473へ進み、照合したい個人情報の送信要求が依頼者側に出される。依頼者側が照合したい個人情報を金融機関7側に送信してくれば、制御がS471へ進む。
【0117】
S471では、送信されてきた依頼者の電子証明書の業者名(サイト名)と送信されてきた照合対象となるユーザ名とが合致するか否かをトラップ情報に基づいてチェックする処理がなされる。依頼者の電子証明書には、当該依頼者の業者名(サイト名)が記載されている。図4に基づいて説明したように、VPは、Webサイトへアクセスする際に、VPの本名を使う場合もあればトラップ型VPを使う場合もある。つまり、VPは、アクセスするサイト毎に氏名を使い分けているのである。よって、たとえば、図4のMTTから個人情報の照合依頼があった場合には、S470により受信したユーザ氏名は本来E(B13P)の筈である。このように、サイト名とそれに用いられているVP氏名とが一致するか否かがS472により判断され、一致する場合にはS473へ進むが、一致しない場合には図17のS494へ進む。
【0118】
S494では、XMLストアの該当個人情報を検索して、プライバシーポリシーに定められている流通許容範囲内に依頼者が含まれているか否かをチェックする処理がなされる。業者名(サイト名)とユーザ名とが一致しなければ、即個人情報の不正流通がなされたと判断すべきではなく、VPがサイト側に個人情報を提供する際にある一定の流通許容範囲内においては他の業者にその個人情報を流通(開示)させてもよいことを承諾している場合が考えられる。この流通許容範囲は、サイト側が用意しているプライバシーポリシーに記述されている。そこで、S494により、XMLストアの該当個人情報を検索して、そこに格納されているプライバシーポリシーに定められている流通許容範囲内に依頼者が含まれているか否かをチェックするのである。たとえば、依頼者MTTから送られてきてユーザ名がB13Pであり(図4参照)、そのユーザ名からそれに対応するサイト名ABCを割出すことができる。
【0119】
その割出されたサイト名ABCに基づいてXMLストア50のデータベース72を検索し、サイト名ABCに付随して格納されている「ポリシー」を検索する(図7参照)。このプライバシーポリシーは、WebサイトABCが個人情報を収集する際にユーザ側に提示したものであり、そのプライバシーポリシーには、収集した個人情報の流通許容範囲が記述されている。その流通許容範囲内に照合依頼者であるMTTが含まれているか否かが、S494によっりチェックされる。含まれている場合にはS494aによりYESの判断がなされてS475へ進むが、含まれていない場合には、その個人情報が不正に流通されたということになり、S495以降の処理がなされる。
【0120】
S495では、依頼者名に対応させて個人情報の不正入手値を「1」加算更新する処理がなされる。前述した例では、依頼者MTTがVP氏名B13Pを送信してきたということは、サイト(業者)ABCからVP氏名B13Pの個人情報を不正に入手したということである。よって、S495により、不正入手値を「1」加算更新する処理がなされる。この不正入手値は、データベース12bに格納される(図6参照)。
【0121】
次に制御がS496へ進み、送信されてきたユーザ名に対応するサイト名(業者名)を割出し、そのサイト名(業者名)に対応させて個人情報の不正流出値を「1」加算更新する処理がなされる。前述した例では、送られてきたユーザ名B13Pに対応するサイト名(業者名)ABCを割出し、そのサイト名(業者名)ABCに対応させて個人情報の不正流出値を「1」加算更新する。つまり、サイト(業者)ABCは、VP氏名B13Pの個人情報をMTTに不正に流出させたのであり、そのため、不正流出値を「1」加算更新するのである。この不正流出値も、データベース12bに格納される(図6参照)。
【0122】
次に制御がS497へ進み、個人情報の不正があった旨およびその詳細データを該当するユーザに通知する処理がなされる。
【0123】
一方、依頼者の電子証明書に記載されている業者名と送られてきたユーザ名とが合致する場合には、制御がS475へ進み、依頼者から送信されてきた個人情報をデータベース12aの該当するユーザの個人情報(図5参照)と照合する処理がなされる。次にS476により、照合対象となっているユーザのユーザエージェントをXMLストアから呼出す処理がなされる。次にS477により、そのユーザエージェントに照合結果を知らせ、依頼者に返信してよいか否かを尋ねる処理がなされる。ユーザエージェントからの返答があれば、制御がS479へ進み、依頼者に返信してよい旨の返答であった場合には、制御がS486へ進み、照合結果、正しい個人情報にデジタル署名を付す処理がなされる。このデジタル署名は、正しい個人情報である旨を金融機関7が確認したことを表わすものである。次にS487により、そのデジタル署名を付した個人情報を依頼者に返信して、それ以外は誤りである旨を依頼者に通知する処理がなされる。なお、依頼者から送信されてきた個人情報に相当するユーザの個人情報がデータベース12aになかった場合には、照合できないために、その照合できなかった個人情報について照合できなかった旨を依頼者に返信する。
【0124】
一方、ユーザエージェントからの返答の結果がOKでなかった場合には制御がS480へ進み、依頼者への返信の条件としてその依頼者(業者)から見返りを要求するという内容の返答がユーザエージェントからなされたか否かの判断がなされる。ユーザエージェントは、OKの返答と見返り要求の返答と依頼者への返信を拒否する返答との3種類の返答を行なう。依頼者への返信を拒否する返答であった場合には、制御がS481へ進み、回答拒否を依頼者に返信する処理がなされる。
【0125】
見返りを要求する返答であった場合には、制御がS482へ進み、出された見返り要求を依頼者に返信する処理がなされる。次にS483により、依頼者からの返答があったか否かの判断がなされ、返答があるまで待機する。返答があった段階でS484により、交渉が成立したか否かの判断がなされる。交渉不成立の場合には制御がS481へ進み、回答を拒否する旨を依頼者に返信する処理がなされる。交渉が成立したと判断される場合にはS485へ進み、交渉が成立した旨をユーザに通知する処理がなされる。それと同時に、金融機関7のVP管理サーバ9は、交渉によって決定された見返り内容を記憶しておく。次に、制御がS486へ進む。
【0126】
図17の(b)は、S404により示された個人情報の販売代行処理のサブルーチンプログラムを示すフローチャートである。S498により、個人情報の購入要求があったか否かの判断がなされる。業者側から金融機関7のVP管理サーバ9に個人情報の購入要求があれば、制御がS499へ進み、金融機関7の電子証明書をその購入要求者に送信する処理がなされる。次にS500により、購入要求者の電子証明書の送信をその購入要求者に要求する処理がなされる。購入要求者から電子証明書の送信があれば制御がS502へ進み、購入対象のユーザ名を購入要求者に要求する処理がなされる。購入要求者から購入対象のユーザ名の送信があれば、制御がS504へ進み、送信されてきたユーザ名のユーザエージェントをXMLストア50から呼出す処理がなされる。
【0127】
次にS505により、そのユーザエージェントと購入依頼者とで直接交渉させる処理がなされる。この交渉は、購入要求者に対し個人情報を提供してもよいか否か、また提供するにあたってはどの程度の見返りを要求するか、またその見返り内容は金銭の支払かあるいはサービスの提供か等の交渉である。S506により、交渉が成立したか否かの判断がなされ、不成立の場合には、S507により、販売を拒否する旨を依頼者(購入要求者)に返信する処理がなされる。交渉が成立していると判断された場合には、制御がS508へ進み、ユーザ名,購入依頼者名,見返り等の販売条件,個人情報の開示許容範囲(流通許容範囲)を含むプライバシーポリシーに対し、ユーザ,依頼者(購入要求者),金融機関7のそれぞれのデジタル署名を付して記憶する処理がなされる。次にS509により、販売が決定された金融機関7のデジタル署名を付して依頼者に返信する処理がなされる。
【0128】
金融機関7のデータベース12aに格納されている個人情報は、その金融機関によって真偽チェックがなされて正しい個人情報のみが格納されており、その正しい個人情報を業者に提供する場合やその正しい個人情報との照合結果を業者に提供する場合には、S486、S509により金融機関7のデジタル署名が付される。よって、業者が所有する個人情報のうち金融機関7のデジタル署名が付されていない個人情報については、誤りの可能性のある個人情報であり、金融機関7のデジタル署名が付されている個人情報は正しい個人情報であることが、一目瞭然でわかる。
【0129】
図18は、S405に示されたメール転送,流通チェックのサブルーチンプログラムを示すフローチャートである。S514により、サイト(業者)からメールが送られてきたか否かの判断がなされる。図4等に基づいて説明したように、VPが、本名を用いてサイトにアクセスした場合にはVP自身のEメールアドレスをそのサイト側に通知するが、トラップ型VP氏名を用いてサイトにアクセスした場合には、金融機関7のトラップ型VP用として開設されているEメールアドレスをそのサイト側に提供する。その結果、そのサイトからのEメールは、金融機関7のトラップ型VP用に開設されたEメールアドレスで送られてくることとなる。
【0130】
金融機関7では、そのトラップ型VP用に開設したEメールアドレスに送信されてきたメールがある場合には、VP管理用サーバ9は、S514により、YESの判断を行なう。その結果、制御がS515へ進み、その送られてきたEメールに含まれている宛名に対応するサイト名(業者名)をデータベース12aから割出す処理を行なう。データベース12aは、図4に基づいて説明したように、VPの氏名とそのVPがアクセスしたサイト名とが対応付けられて記憶されている。この対応関係を利用して、メールの宛名から対応するサイト名(業者名)を割出す処理がなされる。
【0131】
次にS516により、割出されたサイト名とEメールを送ったサイト名とが一致するか否かの判断がなされる。本来なら一致する筈であるが、個人情報が不正に流通された場合には、その不正流通された個人情報を不正入手したサイトがその個人情報主にEメールを送る場合がある。その場合には、割出されたサイト名とメールを送ったサイト名とが一致しない状態となる。
【0132】
割出されたサイト名とメールを送ったサイト名とが一致しない場合に、即座に個人情報が不正流通されたとは断定できない。サイト側に個人情報を提供する際に、ある一定の流通許容範囲内においては流通させてもよいと個人情報主であるユーザから承諾を得ている場合がある。よって、図17のS494,S494aで説明したのと同様に、S522に制御が進み、XMLストアの該当個人情報を検索して、ポリシーに定められている流通許容範囲内にEメール送信者が含まれるか否かチェックする処理がなされ、S523により、含まれると判断された場合には制御がS517へ進むが、含まれないと判断された場合には制御がS519へ進む。
【0133】
S519では、Eメールを送ったサイト名に対応させて個人情報の不正入手値を「1」加算更新する処理がなされ、S520により、S515によって割出されたサイト名に対応させて個人情報の不正流出値を「1」加算更新する処理がなされる。次にS521により、個人情報の不正があった旨およびその詳細データを該当するユーザへ通知する処理がなされる。
【0134】
一方、個人情報が不正流通されていないと判断された場合には制御がS517へ進み、Eメールの宛名に対応するユーザのメールアドレスを割出す処理がなされ、S518により、その割出されたアドレスにEメールを転送する処理がなされる。
【0135】
図19は、S406に示された他のトラップ型VPのアクセス履歴の提供処理のサブルーチンプログラムを示すフローチャートである。前述したように、VPがトラップ型VPとしてサイトにアクセスした場合には、そのサイト側から送られてくるクッキーはそのトラップ型VPのみに対応してVPをIC端末19Vに記憶される(図11参照)。よって、トラップ型VPとしてアクセスを受けたサイト側では、そのトラップ型VPのみのアクセス履歴や購買履歴しか収集できず、そのトラップ型VPが他のトラップ型VPとしてまたはVPの本名を用いてネットワーク上で行動したその行動履歴(アクセス履歴等)は、何ら集計できない。このような場合において、そのサイト側から他のトラップ型VP(本名を用いたVPを含む)のアクセス履歴等のネットワーク上の行動履歴のデータを提供してもらいたいという依頼が、金融機関7にあった場合には、S530によりYESの判断がなされて制御がS531へ進み、金融機関7の電子証明書を送信する処理がなされる。
【0136】
次にS532により、依頼者の電子証明書の送信をその依頼者に要求する処理がなされる。電子証明書がその依頼者から送信されてきた段階でS533によりYESの判断がなされて制御がS534へ進み、提供してもらいたいユーザの氏名を依頼者に対し要求する処理がなされる。次にS535へ進み、依頼者からユーザの氏名の送信があったか否かの判断がなされ、あった場合にS536へ進み、ユーザの許可証の送信をその依頼者に要求する処理がなされる。ユーザは、トラップ型VPとしてサイトにアクセスして個人情報を提供する際に、他のトラップ型VP(本名を用いたVPを含む)のアクセス履歴等のネットワーク上の行動履歴データも提供してよい旨の承諾を行なう場合がある。
【0137】
つまり、図4を参照して、たとえばVPがトラップ型VPであるE2(B13P)としてサイトMECにアクセスして個人情報を提供した際に、他のトラップ型VPであるE(B13P)が本名B13Pを用いたVPのアクセス履歴等のネットワーク上の行動履歴データも併せてそのサイトMECに提供してもよいことを承諾する場合がある。その場合には、ユーザは、その旨を示す電子的な許可証をそのサイトに送信する。この許可証は、ユーザのデジタル署名が付されている。S536の要求に応じてサイトがその許可証を送信すれば、S537によりYESの判断がなされ、S539によりその許可証が適正であるか否かの判断がなされる。適正でない場合にはS545により、アクセス履歴の提供を拒否する通知が依頼者に送信されるが、適正である場合にはS540により、送信されてきたユーザ氏名に対応する他のトラップ型VP(本名を用いたVPを含む)のアクセス履歴等のネットワーク上での行動履歴データを割出してその依頼者に送信する処理がなされる。
【0138】
一方、依頼者であるサイト側がユーザの許可証を持っていない場合には、許可証なしの返信を金融機関7に送信する。すると、S538によりYESの判断がなされて制御がS541へ進み、当該ユーザのユーザエージェントをXMLストア50から呼出す処理がなされ、S542により、そのユーザエージェントと依頼者であるサイト側とを直接交渉させる処理がなされる。
【0139】
次にS543により、交渉が成立したか否かの判断がなされる。交渉不成立の場合にはS545によりアクセス履歴の提供を拒否する通知が依頼者側に送信される。一方、交渉成立の場合には制御がS544へ進み、個人情報主であるユーザが無条件で許諾したか否かの判断がなされる。無条件で許諾した場合には、制御がS540へ進み、アクセス履歴等の行動履歴データを依頼者側に送信する処理がなされる。一方、ユーザが条件付きの許諾を行なった場合には、制御がS546へ進み、その条件を記憶する処理がなされた後、S540へ進む。S546による条件を記憶する際には、交渉の当事者であるユーザおよび依頼者の名前と決定された条件とを個人情報の開示許容範囲(流通許容範囲)を含む依頼者側のプライバシーポリシーとに対し、交渉の当事者,金融機関7のそれぞれのデジタル署名を付して記憶する。
【0140】
図20は、S407により示された信頼度ランキング情報の集計,提供処理のサブルーチンプログラムを示すフローチャートである。このサブルーチンプログラムは、データベース12bの記憶データに基づいてVP管理サーバ9が動作するためのものである。S550により、各サイト(業者)毎に、J=不正入手値+不正流出値×2 を算出する処理がなされる。これは、個人情報を不正に入手した者よりも個人情報を不正に流出(流通)させた者の方が、悪質であり罪が重たいために、×2を行なっているのである。
【0141】
次にS551により、算出されたJが大きい順に悪い順位を算出して各サイト(業者)毎にデータベース12bに記憶させる処理がなされる。次にS552により、順位の公表要求があったか否かの判断がなされる。個人情報主であるユーザあるいは業者等から順位の公表要求が金融機関7のVP管理サーバ9にあった場合には、制御がS553へ進み、その要求者に対し順位データを送信する処理がなされる。
【0142】
図21は、図3に示した認証用サーバ11の処理動作を示すフローチャートである。まずS25により,RPから電子証明書の発行依頼があったか否かの判断がなされ、あるまで待機する。ユーザであるRPがブラウザフォン30からRPの電子証明書の発行依頼要求を認証用サーバ11へ送信すれば、制御がS26へ進み、RPの住所,氏名,公開鍵の送信要求をブラウザフォン30へ送信する処理がなされる。次にS27へ進み、ブラウザフォン30からRPの住所,氏名,公開鍵の返信があるか否かの判断がなされ、あるまで待機する。そして、返信があった段階で制御がS28へ進み、RPの電子証明書を作成してブラウザフォン30へ送信する処理がなされる。次にS29へ進み、RPの住所,氏名,公開鍵KPをデータベース12aに記憶する処理がなされてS25へ戻る。
【0143】
図22〜図24は、図3の決済サーバ10の処理動作を示すフローチャートである。S35により、RPの銀行口座番号の作成依頼があったか否かの判断がなされ、ない場合にはS39へ進み、VPの銀行口座番号の作成依頼があったか否かの判断がなされ、ない場合にはS40へ進み、デビットカードの発行要求があったか否かの判断がなされ、ない場合にはS41へ進み、決済要求があったか否かの判断がなされ、ない場合にはS35へ戻る。
【0144】
このS35〜S41のループの巡回途中で、ユーザが金融機関7へ出向き、RPの銀行口座の開設依頼を行なってRPの銀行口座番号の作成依頼が入力されれば、制御がS36へ進み、RPの住所,氏名等の入力要求がなされ、入力があれば制御がS38へ進み、RPの銀行口座を作成して、データベース12aに記憶するとともにRPに通知する処理がなされてS35へ戻る。
【0145】
ユーザが金融機関7へ出向き、VPの銀行口座の開設依頼を行なってVPの銀行口座番号の作成依頼要求が入力されれば、S42へ進み、VPの住所,氏名等,RPの住所,氏名等の入力要求がなされる。ユーザは、これら情報を手動でキーボードから入力するか、または、決済サーバ10にRP用IC端末19RやVP用IC端末19Vを接続してこれらデータを自動入力する。データが入力されれば、制御がS44へ進み、RPとVPの対応が適正であるか否かが、データベース12aを検索することにより確認される。
【0146】
RPとVPの対応が適正でない場合にはS51へ進み、対応が不適正である旨を報知してS35へ戻る。一方、RPとVPとの対応が適正な場合にはS45へ進み、VPの銀行口座を作成して、データベース12aに記憶するとともに、VPに対応するRPにその銀行口座を郵送する処理がなされた後S35へ戻る。
【0147】
ユーザが金融機関7へ出向き、デビットカードの発行要求の依頼を行なってデビットカードの発行要求の入力があれば、S40によりYESの判断がなされてS46へ進み、口座番号と氏名と暗証番号の入力要求がなされる。ユーザがRP用のデビットカードの発行を要求する場合には、RPの銀行口座番号と氏名と暗証番号を入力する。一方、ユーザがVP用のデビットカードの発行要求を希望する場合には、VPの銀行口座番号とVPの氏名とVPの暗証番号とを入力する。これらのデータの入力は、RP用IC端末19RまたはVP用IC端末19Vを決済サーバ10へ接続して自動的に入力する。
【0148】
これらデータの入力が行なわれれば制御がS48へ進み、入力データをデータベース12aへ記憶するとともに、デビットカードを発行する処理がなされる。次にS49へ進み、発行されたデビットカードの記憶データをRP用IC端末またはVP用IC端末へ伝送する処理がなされてS35へ戻る。
【0149】
決済サーバ10に決済要求が送信されてくれば、S41によりYESの判断がなされてS50へ進み、決済処理がなされた後S35へ戻る。
【0150】
図23は、図22に示したS50の決済処理のサブルーチンプログラムを示すフローチャートである。決済要求には、銀行口座内の資金を一部RP用IC端末19RまたはVP用IC端末19Vに引落す引落し要求と、デビットカードを使用しての決済要求と、クレジットカードを使用して決済を行なった場合のクレジットカード発行会社からのクレジット使用金額の引落し要求とがある。まずS55よりIC端末19Rまたは19Vへの引落し要求があったか否かの判断がなされ、ない場合にはS57へ進み、デビットカードを使用しての決済要求があったか否かの判断がなされ、ない場合にはS58へ進み、クレジットカード発行会社からの引落し要求があったか否かの判断がなされ、ない場合にはS554へ進み、クレジットカード発行会社からの問合せ処理が行なわれた後、S59によりその他の処理がなされてこのサブルーチンプログラムが終了する。
【0151】
ユーザがブラウザフォン30等からRP用IC端末19RまたはVP用IC端末19Vへ資金の一部引落し要求を決済サーバ10へ送信した場合には、S55によりYESの判断がなされてS56へ進み、正当機関証明処理がなされた後S60へ進む。S60では、氏名の入力要求をブラウザフォン30等へ送信する処理がなされる。その要求を受けたブラウザフォン30では、接続されているIC端末19Rまたは19Vに対し氏名の出力要求を伝送する。すると、接続されているIC端末19Rまたは19Vから氏名がブラウザフォン30へ伝送され、その伝送されてきた氏名をブラウザフォン30が決済サーバ10へ伝送する。すると、S61によりYESの判断がなされてS62へ進み、乱数Rを生成してチャレンジデータとしてブラウザフォン30へ送信する処理がなされる。
【0152】
その乱数Rを受けたブラウザフォン30は、後述するように、接続されているIC端末19Rまたは19Vに対し乱数Rを伝送する。乱数Rを受取ったIC端末がRP用IC端末19Rの場合には、記憶している認証鍵KNを用いてRを暗号化してレスポンスデータIを生成し、それをブラウザフォン30へ出力する。ブラウザフォン30では、その出力されてきたレスポンスデータIを決済サーバ10へ送信する。一方、乱数Rを受取ったIC端末がVP用IC端末19Vの場合には、受取った乱数Rを記憶している公開鍵KPを用いて暗号化してレスポンスデータIを生成し、ブラウザフォン30へ出力する。ブラウザフォン30では、その出力されてきたレスポンスデータIを決済サーバ10へ送信する。
【0153】
レスポンスデータIが送信されてくれば、S63によりYESの判断がなされてS64に進み、S60に応じて入力された氏名がRPのものであるか否かが判別され、RPの場合にはS65へ進み、RPの認証鍵KNをデータベース12から検索してその認証鍵KNを用いて受信したレスポンスデータIを復号化する処理すなわちDKN(I)を生成する処理がなされる。次にS66へ進み、R=DKN(I)であるか否かの判断がなされる。IC端末への引落し要求を行なったユーザがデータベース12に登録されている適正なユーザである場合には、R=DKN(I)となるはずであるが、データベース12に登録されているユーザになりすまして銀行口座の資金の一部を引落しするという不正行為が行われた場合には、RとDKN(I)とが一致しない状態となる。その場合には制御がS79へ進み、不適正である旨をブラウザフォン30へ返信する処理がなされてサブルーチンプログラムが終了する。
【0154】
一方、R=DKN(I)の場合には制御がS67へ進み、引落し額の入力要求をブラウザフォン30へ送信する処理がなされ、引落し額がブラウザフォン30から送信されてくれば、制御がS69へ進み、RPの口座から引落し額Gを減算してGをブラウザフォン30へ送信する処理がなされてサブルーチンプログラムが終了する。
【0155】
一方、ユーザがVPとしてVP用IC端末19Vへの引落しを行なう場合には、VPの本名を用いる。入力された氏名がVPの本名であった場合にはS64によりNOの判断がなされて制御が図9のS85へ進む。S85では、VPの公開鍵KPをデータベース12から検索してその公開鍵KPを用いて受信したレスポンスデータIを復号化する処理すなわちDKP(I)を生成する処理がなされる。次にS86へ進み、R=DKP(I)であるか否かの判断がなされる。引落し要求を行なっているものがデータベース12に登録されているVPになりすまして引落すという不正行為を行なっている場合には、S86によりNOの判断がなされてS79に進み、不適正である旨がブラウザフォン30へ返信されることとなる。一方、S86によりYESの判断がなされた場合にはS87へ進み、引落し額Gの入力要求をブラウザフォン30へ送信する処理がなされ、ブラウザフォン30から引落し額Gの送信があれば、S89へ進み、VPの銀行口座からGを減算してGをブラウザフォン30へ送信する処理がなされた後サブルーチンプログラムが終了する。
【0156】
ユーザがデビットカードを使用しての決済を行なうべくデビットカード使用操作を行なった場合には、デビットカード使用要求が決済サーバ10へ送信され、S57によりYESの判断がなされてS56へ進み、正当機関証明処理がなされる。次にS70へ進み、暗証番号とカード情報入力要求がユーザのブラウザフォン30へ送信される。デビットカードの暗証番号とデビットカード情報とがブラウザフォン30から決済サーバ10へ送信されてくれば制御がS72へ進み、その送信されてきたデータが適正であるか否かの判断がなされ、不適正であればS79へ進む。
【0157】
一方、適正である場合にはS73へ進み、使用額Gの入力を待つ。ユーザが使用額Gを入力してそれが決済サーバ10へ送信されてくれば制御がS74へ進み、該当する口座を検索してGを減算するとともにGをユーザのブラウザフォン30に送信する処理がなされる。
【0158】
ユーザがRPまたはVPの本名を用いて後述するようにクレジットカードによるSETを用いた決済を行なった場合には、クレジットカード発行会社4(図1,図15参照)からクレジット支払金額の引落し要求が決済サーバ10へ送信される。その引落し要求が送信されてくればS58によりYESの判断がなされてS56の正当機関証明処理がなされた後S75へ進み、ユーザの氏名,口座番号の入力を待つ。クレジットカード発行会社4からユーザの氏名と口座番号とが送信されてくれば制御がS76へ進み、その入力されたデータが適正であるか否かをデータベース12を検索して判別する。不適正の場合にはS79へ進むが、適正な場合にはS77へ進み、引落し額Gの入力を待機する。クレジットカード発行会社4から引落し額Gすなわちクレジット支払額と手数料との合計金額が送信されてくれば制御がS78へ進み、口座からGを減算してクレジットカード発行会社の口座Gに加算する処理すなわち資金の移動処理がなされる。
【0159】
S58によりNOの判断がなされた場合にはS554によるクレジット発行会社4からの問合せ処理が行なわれた後S59へ進み、その他の処理が行なわれる。
【0160】
図24(b)は、前述したS1a,S19,S56に示された正当機関証明処理のサブルーチンプログラムを示すフローチャートである。まずS90により、当該機関の電子証明書を送信する処理がなされる。この電子証明書を受信した側においては、乱数Rを生成してその乱数Rを送信する。すると、S91によりYESの判断がなされてS92へ進み、その受信した乱数Rを当該機関の秘密鍵KSで暗号化する処理すなわちL=EKS(R)を算出する処理がなされ、その算出されたLを返信する処理がなされる。
【0161】
このLを受信した受信側においては、既に受信している電子証明書内の当該機関の公開鍵KPを利用してLを復号化することによりRを得ることができる。そのRと送信したRとがイコールであるか否かをチェックすることにより、正当機関であるか否かをチェックすることが可能となる。これについては後述する。
【0162】
図25は、S554に示されたクレジットカード会社からの問合せ処理のサブルーチンプログラムを示すフローチャートである。前述したように、VPがトラップ型VPとしてサイトにアクセスして電子ショッピング等を行なってクレジット決済を行なった場合には、VP本人のクレジット番号が用いられるのではなく、そのVP本人のクレジット番号を何回か秘密鍵で暗号化した暗号化クレジット番号が用いられることとなる。たとえば、図4に示すように、トラップ型VP氏名E(B13P)としてサイトMPPにアクセスしたVPは、電子ショッピング等を行なってクレジット決済をする際には、バーチャルクレジット番号E(3288)を用いる。VPは、クレジットカード発行会社4に対し3288のクレジット番号は登録しているが、E(3288)の暗号化クレジット番号までは登録していない。よって、E(3288)のバーチャルクレジット番号がクレジット決済に伴ってクレジットカード発行会社4に送信されてきた場合には、クレジットカード発行会社4は、そのE(3288)のバーチャルクレジット番号を自社で検索して真偽を確かめることはできない。
【0163】
そこで、そのような場合に、クレジットカード発行会社は、金融機関7にそのバーチャルクレジット番号が正しいか否かの照会を行なってもらうのである。
【0164】
クレジットカード発行会社からの問合せがあれば制御はS561へ進み、S561〜S568の前述したものと同様の認証処理が行なわれる。認証の結果本人が確認されればS567によりYESの判断がなされてS569へ進み、照会対象データの入力要求がクレジットカード発行会社に送信される。この照会対象データとは、前述したバーチャルクレジット番号とトラップ型VP氏名とを含む。このトラップ型VP氏名をも入力されることにより、そのトラップ型VP氏名とバーチャルクレジット番号とが対応しているか否か等も照会できる。
【0165】
照会対象データがクレジットカード発行会社から送信されてくれば制御はS571へ進み、データベース12aを検索してその送信されてきた照会対象データと照合する処理がなされる。次にS572により、照合結果送られてきた照会対象データが適正であるか否かの判断がなされ、適正な場合にS573により、適正な旨をクレジットカード発行会社へ返信し、照合結果適正でない場合にはS574により、不適正な旨がクレジットカード発行会社に返信される。S573による適正な旨を返信する際には、S570により入力された照会対象データに対し適正な旨を表わす金融機関7側のデジタル署名を付し、そのデジタル署名付きデータが問合せをしたクレジットカード発行会社4へ返信されることとなる。
【0166】
図26〜図31,図33〜図36は、ブラウザフォン30の動作を説明するためのフローチャートである。S95により、IC端末使用モードであるか否かの判断がなされる。ブラウザフォン30は、RP用IC端末19RまたはVP用IC端末19Vのうちのいずれか少なくとも一方をUSBポート18に接続していなければ動作しないIC端末使用モードと、IC端末を接続していなくても動作可能なIC端末未使用モードとに切換えることが可能に構成されている。そして、IC未使用モードでない場合にはS96へ進み、その他の処理がなされるが、IC端末使用モードになっている場合には、S97へ進み、VP用IC端末19Vが接続されているか否かの判断がなされ、接続されていない場合にはS98へ進み、RP用IC端末19Rが接続されているか否かの判断がなされ、接続されていない場合すなわち両IC端末ともに接続されていない場合には、制御はS99へ進み、IC端末未使用の警告表示がなされた後S95へ戻る。
【0167】
一方、VP用IC端末19Vが接続されている場合には、制御はS100へ進み、VP用のクッキー処理がなされる。この処理については、図27に基づいて後述する。ブラウザフォン30は、サイト側から送られてきたクッキーデータを記憶するための記憶領域を有していない。ゆえに、サイト側から送られてきたクッキーデータであって記憶する必要のあるものは、すべてVP用IC端末19VまたはRP用IC端末19Rに記憶される。次に制御はS101へ進み、VP出生依頼処理がなされる。この処理については図29に基づいて後述する。次にS102へ進み、VP用入力処理がなされる。この処理については図31(a)に基づいて後述する。次にS103へ進みVP用決済処理がなされる。この処理については図33に基づいて説明する。
【0168】
次に制御がS580へ進み、個人情報の登録処理がなされる。この個人情報の登録処理は、図13(b)に示したVP管理サーバ9の登録処理に対応するブラウザフォン30側の処理である。まずVPとしての本人認証処理を行ない、VP管理サーバ9が本人認証の確認を行なったことを条件として、VPの個人情報を金融機関7のVP管理サーバ9へ送信してデータベース12aに登録してもらう処理を行なう。
【0169】
次に制御がS582へ進み、個人情報の確認処理がなされる。この処理は、金融機関7のVP管理サーバ9により図15に示された確認処理に対応してブラウザフォン30によりなされる処理である。まずVPとしての本人認証がなされ、次に、データベース12aに格納されている自分の個人情報の確認を行なう処理がなされる。一方、確認の結果誤りがある場合あるいは引越しや転職等によって個人情報に変更があった場合には、このS582により、その変更情報が、金融機関7のVP管理サーバ9へ送信される。
【0170】
次に制御がS583へ進み、VP用Webブラウザ,メール処理がなされる。この処理は、図36(a)に基づいて後述する。次に制御がS585へ進み、住所,氏名,Eメールアドレスの送信処理が行なわれる。一方、ブラウザフォン30のUSBポート18にRP用IC端末19Rが接続されている場合には、S98によりYESの判断がなされてS104へ進み、RP用のクッキー処理がなされる。この処理については図28(b)に基づいて後述する。次にS105へ進み、電子証明書発行要求処理がなされる。この処理については図30(b)に基づいて後述する。次に制御がS106へ進み、RP用入力処理がなされる。この処理については図31(b)に基づいて後述する。次にS107へ進み、RP用決済処理がなされる。この処理については、VP用決済処理と類似した制御処理であり、図示を省略する。次に制御がS584へ進み、偽RPアクセス処理がなされる。この偽RPアクセス処理は、図36(b)に基づいて後述する。
【0171】
図27は、S102により示されたクッキー処理のサブルーチンプログラムを示すフローチャートである。S110により、暗証番号が適正である旨のチェックが済んでいるか否かの判断がなされる。チェック済みである場合にはS120へ進むが、まだチェック済みでない場合にはS111へ進み、暗証番号の入力要求を表示する。ユーザがブラウザフォン30のキーボード77からVP用IC端末19Vの暗証番号を入力すれば、制御がS113へ進み、入力された暗証番号をVP用IC端末19Vへ伝送する処理がなされ、VP用IC端末から適否の返信があるまで待機する(S114)。暗証番号が入力されたVP用IC端末19Vでは、後述するように、記憶している暗証番号と入力された暗証番号とを照合して一致するか否かの判断を行ない、一致する場合には適正である旨の返信を行ない、一致しない場合には不適正である旨の返信を行なう。適正である旨が返信されてきた場合には、S115によりYESの判断がなされるが、不適正である旨が返信されてきた場合には制御がS116へ進み、不適正である旨の報知(表示)がブラウザフォン30によりなされる。
【0172】
適正である場合にのみ暗証番号チェック済み状態となり、制御がS119へ進み、Webサイトへのアクセス操作があったか否かの判断がなされ、ない場合にはS120に進み、その他の処理がなされてこのサブルーチンプログラムが終了する。一方、サイトへのアクセス操作があった場合にはS590へ進み、そのサイトにトラップ型VPを既に使用しているか否かを、VP用IC端末19Vに問う処理がなされる。VP用IC端末19Vは、図11に基づいて説明したように、クッキーデータの記憶領域に、アクセスしたサイト名とそれに用いたVP氏名とを記憶している。VP用IC端末では、ブラウザフォン30から問合せがあったサイトにトラップ型VPを使用しているか否かを、このクッキーデータ記憶領域を検索して割出す。そしてその回答をブラウザフォン30へ返信する。すると、制御はS592へ進み、その回答がトラップ型VPを使用済みという内容であるか否かの判断がなされる。使用済みであるとの回答内容であった場合には、制御はS593へ進み、使用しているトラップ型VPとそれに対応するクッキーとをVP用IC端末のクッキーデータ記憶領域から呼出し、そのクッキーとともにサイトへアクセスする処理がなされる。
【0173】
次に制御がS594へ進み、アクセスしたサイトからクッキーが送信されてきたか否かの判断がなされ、送信されてきていない場合にはこのサブルーチンプログラムが終了する。一方、クッキーデータとともにサイトへアクセスしたとしても、そのサイトの別のページをアクセスした際にさらに別のクッキーがサイト側から送られてくる場合がある。そのようなクッキーが送られてきた場合には、S594によりYESの判断がなされて制御がS595へ進み、トラップ型VP氏名と送られてきたクッキーデータとをVP用IC端末へ転送する処理がなされる。VP用IC端末では、伝送されてきたクッキーデータを伝送されてきたトラップ型VP氏名に対応させて記憶させる処理が行なわれる。
【0174】
S592により、トラップ型VPがまだ使用されていないサイトであると判断された場合には、制御がS596へ進み、トラップ型VPの使用の有無をユーザに尋ねる処理が行なわれる。具体的には、ブラウザフォン30の表示部76に、「トラップ型VPを使用しますか?」の表示を行なう。
【0175】
次にS597により、使用する旨の操作がキーボード77から入力されたか否かの判断がなされる。使用しない旨の操作が行なわれた場合には制御がS121へ進むが、使用する旨の操作が行なわれた場合には、制御がS598へ進み、VP用IC端末19Vへ新たなトラップ型VPの生成を要求する処理がなされる。このS598の処理は、S119によりアクセス操作がされたサイト名とトラップ型VPの生成を要求する指令とを、VP用IC端末19Vへ伝送するものである。
【0176】
VP用IC端末では、その要求を受ければ、クッキーデータ領域に記憶されているVP氏名の最後のもの(図11ではE3(B13P)が何回暗号化されているかを判別し(図11では3回)、その暗号化回数よりも1つ多い暗号化回数(図11では4回)VP氏名の本名(B13P)を暗号化して新たなトラップ型VP氏名E4(B13P)を生成する。そしてその生成された新たなトラップ型VPをブラウザフォン30へ出力する。すると、S599によりYESの判断がなされてS600へ進み、VP用IC端末から送られてきたトラップ型VPの氏名を用いてサイトへアクセスする処理がなされる。よって、サイト側から氏名を要求されれば、その新たなトラップ型VP氏名E4(B13P)を伝送する。ただし、住所はB13Pの住所すなわち、VP本人のコンビニエンスストアの住所を伝送する。またEメールアドレスは、金融機関7がトラップ型VP用として開設しているEメールアドレスである△△△△△を伝送する。
【0177】
次に制御がS581へ進み、トラップ情報の登録処理がなされる。このトラップ情報の登録処理は、S598に従って新たなトラップ型VPが生成されたために、その新たに生成されたトラップ型VPをデータベース12aに登録してもらうために金融機関7のVP管理サーバ9へ送信するための処理である。この処理は、たとえば後述するS143〜S145,S150〜S152,S160〜S163と同様のセキュリティのためのチェック処理を行ない、その後新たに生成されたトラップ型VPのデータすなわちトラップ型VP氏名,そのトラップ型VP氏名を用いるサイト名,公開鍵,バーチャル口座番号,バーチャルクレジット番号を送信する処理である。
【0178】
次に制御がS601へ進み、サイト側からクッキーが送信されてきたか否かの判断がなされる。送信されてきた場合には制御がS602へ進み、そのサイトに使用しているトラップ型VP氏名と送られてきたクッキーデータとをVP用IC端末へ伝送する処理がなされる。VP用IC端末では、その伝送されてきたクッキーデータを伝送されてきたトラップ型VP氏名に対応する領域に記憶させる処理を行なう。
【0179】
S597により、トラップ型VPを使用しない旨の操作がなされたと判断された場合には制御がS121へ進み、VP用IC端末からVP用のクッキーすなわちVPの本名(図11ではB13P)に対応して記憶されているクッキー(図11ではabc,hij,amz,rak…)を呼出し、それらクッキーとともにサイトへアクセスする処理がなされる。
【0180】
この場合には、そのアクセスしたサイトでは、VP本名を用いることとなる。次に制御がS122へ進み、サイトからクッキーが送信されてきたか否かの判断がなされる。サイト側からクッキーが送信されてくれば、制御がS123へ進み、その送信されてきたクッキーをVP用IC端末19Vへ伝送する処理がなされる。VP用IC端末19Vでは、クッキーデータが単独で伝送されてくれば、自動的にVP本名に対応する記憶領域にその伝送されてきたクッキーデータを記憶する処理を行なう。
【0181】
図28(a)は、S585により示された住所,氏名,Eメールアドレスの送信処理のサブルーチンプログラムを示すフローチャートである。S700により、サイト側から住所,氏名,Eメールアドレスの送信要求があったか否かの判断がなされ、ない場合にはこのサブルーチンプログラムが終了する。あった場合には制御がS701へ進み、そのサイトに使用しているVPの氏名,住所,Eメールアドレスを送信する処理がなされる。たとえば図11に示す例の場合には、サイトMTTに使用しているVP氏名はE(B13P)であるために、この氏名E(B13P)を送信する。住所は、B13Pの住所すなわち□△〇である(図3参照)。Eメールアドレスは、金融機関7がトラップ型VP用として開設しているEメールアドレス△△△△△が送信される。
【0182】
このVP用のクッキー処理と住所,氏名,Eメールアドレスの送信処理とが行なわれた結果、あるサイトにトラップ型VPとしてアクセスした場合には以降そのサイトにアクセスした際自動的に前回のトラップ型VP氏名が用いられて前回のトラップ型VPとしてアクセスする状態となる。またサイト側から送られてくるクッキーデータも、そのサイトに対応するトラップ型VP氏名に付着する状態となる。具体的には、図11を参照して、サイトMTTにトラップ型VP氏名E(B13P)を使用して一旦アクセスすれば、それ以降においては、MTTにアクセスする場合には必ずこのトラップ型VP氏名E(B13P)が用いられ、その際には、前回MTTから送られてきたクッキーmttとともにMTTにアクセスすることとなる。一方、VPがその本名B13Pを用いてMTTにアクセスすることはできない。このようなアクセスを行なおうとした場合には、S592によりYESの判断がなされてS593により、自動的にE(B13P)としてMTTにアクセスする状態となる。
【0183】
VP用IC端末19Vを使用している場合には、VPの氏名や住所等がサイト側に収集されることはあっても、RPの氏名や住所等がサイト側に収集されることがないために、ユーザ側においてもプライバシーを保護することが可能となる。
【0184】
しかも、トラップ型VP氏名を利用することにより、前述したように、個人情報の不正流出等をチェックすることが可能となる。
【0185】
図28(b)は、S104に示されたRP用のクッキー処理のサブルーチンプログラムを示すフローチャートである。S125により、暗証番号のチェック済みであるか否かの判断がなされ、暗証番号が適正な旨のチェックが既に行なわれている場合にはS125によりYESの判断がなされてS132へ進む。一方、適正な暗証番号である旨のチェックが済んでいない場合にはS126へ進み、暗証番号の入力要求がなされ、RP用IC端末19Rの暗証番号をユーザがキーボードから入力すれば、S128へ進み、入力された暗証番号とRP用IC端末へ伝送する処理がなされる。そしてRP用IC端末19Rから暗証番号の適否の返信があるまで待機する(S129)。
【0186】
RP用IC端末19Rから暗証番号の適否の判定結果が返信されてくれば、S130へ進み、適正である旨の返信結果であるか否かの判断がなされ、適正でない場合にはS131へ進み、不適正である旨の報知(表示)がなされる。一方、適正である旨の返信であった場合には、S134へ進み、サイトへのアクセス操作があったか否かの判断がなされ、ない場合にはS137のその他の処理が行なわれる。一方、サイトへのアクセス操作があった場合にはS135へ進み、サイトからクッキー(この場合にはトラッキング型クッキー)が送信されてきたか否かの判断がなされる。サイトからクッキーが送信されてきた場合には、S136へ進み、送信されてきたクッキーを拒絶する処理がなされる。その結果、RP用IC端末19Rをパソコン30のUSBポート18へ接続して使用している場合には、サイト側から送信されてきたクッキー(トラッキング型クッキー)をすべて拒絶し、そのクッキーがRP用IC端末19Rに記録されてしまうことが防止できる。
【0187】
その結果、RP用IC端末19Rを使用してユーザがRPとしてネットワーク上で行動する場合には、トラッキング型クッキーを手掛かりのユーザの本名であるRPの氏名や住所等を収集されることがなく、ユーザのプライバシーが守られる。
【0188】
図29はS101に示されたVP出生依頼処理のサブルーチンプログラムを示すフローチャートである。このVP出生依頼は、PVを新たに誕生させるための依頼をVP管理サーバ9へ出すための処理である。S140により、暗証番号のチェック済みであるか否かの判断がなされ、適正な暗証番号である旨のチェックが済んでいる場合にはS141へ進むが、適正な暗証番号のチェックが未だ済んでいない場合にはこのサブルーチンプログラムが終了する。適正な暗証番号である旨のチェックが済んでいる場合にはS141へ進みV出生要求の操作があったか否かの判断がなされる。ユーザがブラウザフォン30のキーボードを操作してVP出生要求の操作を行なえば、制御がS142へ進み、VP出生依頼要求を金融機関7のVP管理サーバ9へ送信する処理がなされる。次にS143へ進み、正当機関チェック処理がなされる。この正当機関チェック処理は、相手側の機関(この場合には金融機関7)が正当な機関であるか否かをチェックするものであり、金融機関7になりすまして対応する不正行為を防止するためのものであり、図30(a)にそのサブルーチンプログラムが示されている。
【0189】
先に、図30(a)に基づいて正当機関チェック処理のサブルーチンプログラムを説明する。この正当機関チェック処理は、図24(b)に示された正当機関証明処理に対応するチェック側のプログラムである。まずS160により、電子証明書を受信したか否かの判断を行ない、受信するまで待機する。正当機関証明処理では、図24に示されているように、S90により電子証明書が送信される。この電子証明書が送信されてくれば、制御がS161へ進み、乱数Rを生成して送信する処理がなされる。すると、機関側では、図24に示すようにS92により、当該機関の秘密鍵SKを用いて受信した乱数Rを暗号化してLを算出して送信する処理が行なわれる。このRの暗号化データLをブラウザフォン30が受信すれば、制御がS163へ進み、受信した電子証明書内の公開鍵KPを用いてLを復号化する処理すなわちDKP(L)を算出する処理が行なわれる。
【0190】
そして、図29のS144へ進み、R=DKP(L)であるか否かの判断がなされる。正当な機関である場合には、R=DKP(L)となるはずであり、その場合にはS146へ進むが、他人が金融機関7になしすましている場合には、S144によりNOの判断がなされ、S145へ進み、正当機関でない旨の警告表示がブラウザフォン30によりなされてこのサブルーチンプログラムが終了する。
【0191】
正当機関であることが確認された場合には、S146へ進み、RPの氏名,住所の入力要求を受信したか否かの判断がなされ、受信するまで待機する。VP管理サーバ9では、前述したように、VP出生依頼要求を受信すれば、RPの氏名,住所の入力要求を送信するのであり(S2参照)、そのRPの氏名,住所の入力要求をブラウザフォン30が受信すれば、S146によりYESの判断がなされて制御がS147へ進む。
【0192】
S147では、RPの氏名,住所の入力指示をブラウザフォン30のディスプレイに表示する処理がなされ、入力があるまで待機する(S148)。入力があった段階でS149へ進み、その入力データを金融機関7のVP管理サーバ9へ送信する処理がなされる。
【0193】
次にS150へ進み、本人証明処理が行なわれる。この本人証明処理は、VP出生依頼を行なったユーザが本人自身であるか否かを証明するための処理であり、図34(a)にそのサブルーチンプログラムが示されている。ここで、図34(a)に基づいて、その本人証明書のサブルーチンプログラムを説明する。
【0194】
この本人証明処理は、前述したS4,S62等に基づいて乱数Rが送信されてきた場合にその乱数に基づいて本人証明を行なうためのものである。まずS125により、乱数Rを受信したか否かの判断がなされ、受信するまで待機する。乱数Rを受信した場合にはS216へ進み、その受信した乱数RをIC端末19Rまたは19Vへ送信する処理がなされる。IC端末では、後述するように、記憶している認証鍵KNまたは公開鍵KPを用いて乱数Rを暗号化してレスポンスデータIを生成して出力する処理が行われる。そのレスポンスデータIが出力されてくれば、S217によりYESの判断がなされてS218へ進み、そのIをVP管理サーバ9へ送信する処理がなされる。
【0195】
図29に示すVP出生依頼処理を行なう場合には、ブラウザフォン30のUSBポート18にVP用IC端末19Vを接続している。そして、VP出生依頼処理の際の本人証明処理では、VP用IC端末19Vに記憶されているRPの認証鍵KNを用いて乱数Rを暗号化する処理がなされる。これについては、後述する。
【0196】
その結果、図29のS150のVP出生依頼処理の際の本人証明では、RPであることの証明がなされる。
【0197】
次にS151へ進み、アクセス拒絶を受信したか否かの判断がなされ、アクセス拒絶を受信した場合にS152へ進み、アクセス拒絶の表示が行なわれる。一方、アクセスが許容された場合にはS153へ進み、VP出生依頼を行なったユーザが希望するコンビニエンスストア2の入力があるか否かの判断がなされる。出生したVPの住所が、コンビニエンスストア2の住所となるために、ユーザは、自己の希望するコンビニエンスストア2がある場合には、そのコンビニエンスストア2を特定する情報をブラウザフォン30のキーボードから入力する。入力があれば、S154により、その希望のコンビニエンスストア2のデータがVP管理サーバ9へ送信される。希望のコンビニエンスストア2の入力がなかった場合には、前述したように、RPの住所に最も近いコンビニエンスストア2の住所が出生したVPの住所となる。
【0198】
次にS155へ進み、VPの公開鍵の送信要求があったか否かの判断がなされ、あるまで待機する。VP管理サーバ9では、前述したように、VPの出生依頼があった場合に、VPの公開鍵の送信要求を出す(S30参照)。その送信要求をブラウザフォン30が受ければ、制御がS156へ進み、VP用IC端末19Vへ公開鍵出力要求を出す。すると、VP用IC端末19Vが、記憶しているVPの公開鍵KPを出力する。その出力があれば、制御がS158へ進み、その出力された公開鍵KPを金融機関7のVP管理サーバ9へ送信する。
【0199】
図30(b)は、S105に示された電子証明書発行要求処理のサブルーチンプログラムを示すフローチャートである。S165により、適正な暗証番号である旨のチェックが済んでいるか否かの判断がなされ、未だに済んでいない場合にはこのサブルーチンプログラムが終了する。一方、適正な暗証番号である旨のチェックが済んでいる場合にはS166へ進み、RP用電子証明書の発行依頼操作があったか否かの判断がなされる。ユーザがブラウザフォン30のキーボードを操作して発行依頼を行なった場合には、制御がS167へ進み、RPの住所,氏名の入力指示が表示される。ユーザがキーボードより入力すれば、制御がS169へ進み、RP用IC端末19Rから公開鍵KPを呼出す処理がなされる。この電子証明書発行要求処理を行なう場合には、ユーザは、ブラウザフォン30のUSBポート18に自己のRP用IC端末19Rを接続しておく必要がある。そして、S169の処理が行なわれた場合には、その接続されているRP用IC端末19Rが記憶しているRP用の公開鍵KPがブラウザフォン30に出力され、S170により、その出力されてきた公開鍵KPと入力されたRPの住所,氏名とが金融機関7の認証用サーバ11へ送信される。
【0200】
図31(a)はS102に示されたVP用入力処理のサブルーチンプログラムを示し、図31(b)はS106に示されたRP用入力処理のサブルーチンプログラムを示すフローチャートである。
【0201】
VP用入力処理が行なわれる場合には、ブラウザフォン30のUSBポート18にVP用IC端末19Vを接続しておく必要がある。S175により、適正な暗証番号である旨のチェックが終了しているか否かの判断がなされ、適正な暗証番号のチェックが未だなされていない場合にはこのサブルーチンプログラムが終了する。適正な暗証番号のチェック済の場合には、S176へ進み、VP用入力操作があったか否かの判断がなされる。前述したように、金融機関7のVP管理サーバ9によりVPの出生処理が行なわれた場合には、誕生したVPの氏名,住所(コンビニエンスストア2の住所),コンビニエンスストア2の名称,Eメールアドレス,電子証明書が記憶されたIC端末19Iが郵送されてくるのであり、そのIC端末19Iをユーザがブラウザフォン30に挿入すれば、S176によりYESの判断がなされてS178へ進み、そのIC端末19Iの記録データが読込まれて接続されているVP用IC端末19Vへ伝送される。
【0202】
ユーザがブラウザフォン30のキーボードからVP用ユーザエージェントの知識データの入力操作を行なえば、S177によりYESの判断がなされてS179へ進み、入力された知識データをVP用IC端末19Vへ伝送する処理がなされる。
【0203】
ユーザが金融機関7の自己の口座から資金を一部引落しすれば、その引落し額Gがブラウザフォン30へ送信されてくる(S69参照)。その引落し額Gがブラウザフォン30に入力されれば、S180によりYESの判断がなされてS181へ進み、引落し額GをVP用IC端末19Vへ転送してリロード金額として加算記憶させる処理がなされる。
【0204】
RP用入力処理が行なわれる場合には、ブラウザフォン30のUSBポート18にRP用IC端末19Rを接続しておく必要がある。まずS185により、適正な暗証番号のチェックが済んでいるか否かの判断がなされ、済んでいる場合にはS186へ進み、RPの電子証明書を受信したか否かの判断がなされる。ユーザがRPの電子証明書の発行依頼を認証用サーバに対し行なえば、前述したように、RPの電子証明書が作成されてブラウザフォン30に送信されてくる(S28参照)。その電子証明書が送信されてくれば、S186によりYESの判断がなされてS187へ進み、受信した電子証明書をRP用IC端末19Rへ伝送して、RP用IC端末へ記憶させる処理がなされる。
【0205】
ユーザがブラウザフォン30のキーボードを操作して、RP用ユーザエージェントの知識データの入力操作を行なえば、S188によりYESの判断がなされてS189へ進み、その入力された知識データをRP用IC端末19Rへ伝送する処理がなされ、RP用IC端末19Rがその入力された知識データを記憶する。
【0206】
ユーザが決済サーバ10に対し自己の口座内の資金の一部を引落す引落し要求を行なった場合には、前述したように、引落し金額であるGが決済サーバ10からユーザのブラウザフォン30へ送信される。すると、S190によりYESの判断がなされてS191へ進み、引落し額GをRP用IC端末19Rへ伝送し、リロード金額としてGを加算更新する処理が行なわれる。
【0207】
図32は、ユーザ(RPとVPが存在する)がクレジットカードの支払を行なってSETに従った決済が行なわれる場合の全体概略システムを示す図である。まず、カード会員がクレジットカードの発行手続を行なえば、クレジットカード発行会社4に設置されているサーバが、クレジット発行の申込みがあったことを判別して、当該カード会員に対しクレジットカード番号を発行する。その際に、カード会員がVP用のクレジットカードの発行を要求した場合には、クレジットカード発行会社4のサーバは、そのVPの氏名や住所等のデータを入力してもらい、そのデータに基づいて金融機関などに登録されているVPか否かを金融機関7に問合せる。そして、金融機関7のデータベース12に記憶されている正規のVPであることが確認されたことを条件として、クレジットカード発行会社4のサーバは、そのVPに対しクレジット番号を発行する処理を行なう。
【0208】
つまり、クレジットカード発行会社4のサーバは、仮想人物用のクレジット番号を発行するクレジット番号発行ステップを含んでいる。また、仮想人物用のクレジット番号を発行するクレジット番号発行手段を含んでいる。さらに、このクレジット番号発行ステップまたはクレジット番号発行手段は、前述したように、クレジット番号発行対象となる仮想人物が前記所定機関に登録されている正規の仮想人物であることが確認されたことを条件として、前記クレジット番号を発行する。クレジットカード発行会社4によって発行されたクレジットカード(RP用とVP用の2種類存在する)を所持するユーザは、SETによる取引をするための会員の登録要求を認証用サーバ11に出す。認証用サーバ11は、そのユーザがクレジットカード発行会社4のクレジット会員であるか否かの認証要求をクレジットカード発行会社4に出す。クレジットカード発行会社4からクレジットカードの会員である旨の認証の回答が認証用サーバ11に返信されてくれば、認証用サーバ11は、SET用の電子証明書を作成してカード会員に送る。
【0209】
電子モール等の加盟店6がSETによる取引を可能にするためには、まず、SETによる取引のための会員登録要求を認証用サーバ11に出す。認証用サーバ11では、加盟店6が契約している加盟店契約会社(アクアイアラ)5に、当該加盟店6が正当な契約会社であるか否かの認証要求を送信する。加盟店契約会社5から正当な加盟店である旨の回答が返信されてくれば、認証用サーバ11は、その加盟店6のためのSET用の電子証明書を作成して加盟店6に発行する。
【0210】
この状態で、カード会員が加盟店6により電子ショッピングを行なってSETにより取引を行なう場合には、まず商品やサービス等の購入要求をカード会員が加盟店6へ送信する。加盟店6では、その購入要求を承認してよいか否かの承認要求を支払承認部33からペイメントゲートウェイ27を介してクレジットカード発行会社4へ送信する。クレジットカード発行会社4から承認の回答がペイメントゲートウェイ27を介して加盟店6に返信されてくれば、加盟店6は、購入を受理した旨をカード会員に送信する。また加盟店6は、支払要求部34から支払要求をペイメントゲートウェイ27に送信する。ペイメントゲートウェイ27は、その支払要求に応じた決済要求をクレジットカード発行会社4へ送信するとともに、支払回答を加盟店6へ返信する。
【0211】
カード会員と加盟店6との間では、商品やサービスの購入取引を行なう際に、互いの電子証明書を送信して、正当な本人である旨の確認が行なわれる。
【0212】
クレジットカード発行会社4が、ユーザとしてのRPにクレジットカードを発行した場合には、そのクレジットカード番号等のカード情報が当該ユーザのRP用IC端末19Rに入力されて記憶される。一方、ユーザがVPとしてクレジットカード発行会社4からクレジットカードの発行を受ける際には、VP用に発行された電子証明書をクレジットカード発行会社4に送信し、金融機関7による身分の証明を行なってもらう必要がある。その上で、クレジットカード発行会社4がクレジットカードを発行した場合には、そのクレジットカードのカード番号等のカード情報が当該ユーザのVP用IC端末19Vに入力されて記憶される。
【0213】
前述したSET用の電子証明書の発行も、RP用とVP用との2種類のケースに分けて発行される。そしてそれぞれ発行されたSET用の電子証明書が、それぞれのIC端末19Rまたは19Vに入力されて記憶される。
【0214】
図33は、S103に示したVP用決済処理のサブルーチンプログラムを示すフローチャートである。まずS195により、適正な暗証番号である旨のチェックが終了しているか否かの判断がなされ、終了していなければこのサブルーチンプログラムが終了し、適正な暗証番号のチェック済の場合にはS196へ進む。
【0215】
このVP用決済処理は、金融機関7のユーザの銀行口座内の資金の一部を引落してVP用IC端末19Vへリロードする処理と、デビットカードを使用して決済を行なう処理と、クレジットカードを使用して決済を行なう処理と、VP用IC端末19Vへリロードされているリロード金額を使用して決済を行なう場合とを有している。
【0216】
ユーザが自己の銀行口座内の資金を一部引落してVP用IC端末へリロードする操作を行なえば、S197により、その引落し要求が金融機関7の決済サーバ10へ送信される。次にS198へ進み、正当機関チェック処理(図30(a)参照)が行なわれる。
【0217】
次にS199へ進み、R=DKP(L)である否かの判断がなされ、正当機関でない場合にはS119によりNOの判断がなされてS200へ進み、正当機関でない旨の警告表示がなされる。一方、正当機関である場合には、R=DKP(L)となるために、制御がS201へ進み、氏名の入力要求があったか否かの判断がなされ、あるまで待機する。前述したように、決済サーバ10は、IC端末への引落し要求があった場合には、氏名の入力要求を送信する(S60参照)。この氏名の入力要求が送信されてくれば、S201によりYESの判断がなされてS202へ進み、VP用IC端末19VからVPの氏名を呼出して決済サーバ10へ送信する処理がなされる。次にS203へ進み、本人証明処理(図34(a)参照)がなされる。
【0218】
次にS204へ進み、引落し額の入力要求があったか否かの判断がなされ、なければS205へ進み、不適正な旨の返信があったか否かの判断がなされ、なければS204へ戻る。この204,205のループの巡回途中で、決済サーバ10がユーザの正当性が確認できないと判断した場合には不適正である旨の返信を行なう(S79参照)。その結果、S205によりYESの判断がなされてS207へ進み、不適正である旨がパーソナルコンピュータのディスプレイにより表示される。一方、決済サーバ10が本人認証の結果正当な本人であると判断した場合には引落し額の入力要求をブラウザフォン30へ送信する(S87参照)。すると、S204によりYESの判断がなされてS206へ進む。
【0219】
S206では、引落し額の入力指示をブラウザフォン30のディスプレイに表示させる処理がなされる。ユーザがキーボードから引落し額を入力すれば、S208によりYESの判断がなされてS209へ進み、その入力された引落し額Gを決済サーバ10へ送信する処理がなされる。決済サーバ10では、引落し額Gを受信すれば、VPの口座からGを減算してGを送信する処理がなされる(S89参照)。その結果、S210によりYESの判断がなされてS211へ進み、引落し額GをVP用IC端末19Vへ送信してGをリロード金額に加算更新する処理がなされる。
【0220】
S196により、NOの判断がなされた場合には、図34(b)のS220へ進み、デビットカードの使用操作があったか否かの判断がなされる。デビットカードの使用操作があった場合には、S235へ進み、デビットカード使用要求を決済サーバ10へ送信する処理がなされる。次にS221へ進み、正当機関チェック処理(図30(a)参照)がなされる。そしてS222へ進み、R=DKP(L)であるか否かの判断がなされる。正当機関でない場合には、NOの判断がなされてS223へ進み、正当機関でない旨の警告表示がなされる。一方、正当機関である場合には制御がS224へ進み、デビットカードの暗証番号とカード情報の入力要求があったか否かの判断がなされ、あるまで待機する。決済サーバ10は、デビットカードの使用要求があった場合には、暗証番号とカード情報の入力要求をブラウザフォン30へ送信する(S70参照)。その送信を受信すれば、制御がS225へ進み、暗証番号の入力指示がブラウザフォン30の表示部76に表示される。ユーザがデビットカードの暗証番号をキーボードから入力すれば、S226によりYESの判断がなされてS227へ進み、VP用ICカード19Vからカード情報を読出し暗証番号とともに決済サーバ10へ送信する処理がなされる。
【0221】
次にS228へ進み、不適正である旨の返信があったか否かの判断がなされる。暗証番号とカード情報とを受信した決済サーバ10は、適正か否かの判断を行ない(S72)、適正でない場合には不適正である旨の返信を行なう(S79参照)。不適正である旨が返信されてくれば、S228によりYESの判断がなされてS229へ進み、不適正である旨の表示がなされる。一方、不適正である旨の返信が送られてこなければ、制御がS230へ進み、使用金額の入力指示がパーソナルコンピュータのディスプレイに表示される。ユーザが使用金額をキーボードから入力すれば、S231によりYESの判断がなされてS232へ進み、入力された使用金額Gを決済サーバ10へ送信する処理がなされる。
【0222】
使用金額Gを受信した決済サーバ10は、前述したように、ユーザに該当する銀行口座を検索して使用金額Gを減算するとともに、その使用金額Gをブラウザフォン30に返信する処理を行なう(S74)。
【0223】
その結果、S233によりYESの判断がなされてS234へ進み、決済が完了した旨の表示をブラウザフォン30の表示部76に表示させる処理がなされる。
【0224】
S220によりNOの判断がなされた場合には、制御がS238へ進む。S238では、クレジットカードの使用操作があったか否かの判断がなされる。ユーザがブラウザフォン30のキーボード77を操作してクレジットカードの使用を入力すれば、制御がS237へ進み、クレジットカードによる決済要求を加盟店6へ送信する処理がなされる。この加盟店は、ユーザが商品やサービスを購入しようとしている商店である。次に制御がS239へ進み、正当機関チェック処理がなされる。この正当機関チェック処理は、図30(a)に示したものである。この正当機関チェック処理に合せて、加盟店6は、当該加盟店の電子証明書を顧客のブラウザフォン30へ送信し、次に乱数Rを受信すれば、その乱数を自己の秘密鍵KSを用いて暗号化し、その暗号結果Lを顧客のブラウザフォン30へ送信する。
【0225】
制御がS240へ進み、R=DKP(L)であるか否かの判断がなされる。正当な販売店(加盟店)でない場合には、S240によりNOの判断がなされて、S241へ進み、正当な販売店でない旨の警告表示がなされる。一方、正当な販売店(加盟店)である場合には、S242へ進み、オーダ情報OIと支払指示PIとが作成される。オーダ情報OIとは、商品やサービス等の購入対象物や購入個数等を特定するための情報である。支払指示PIは、たとえばクレジット番号何々のクレジットカードを利用してクレジットの支払を行なう旨の指示等である。
【0226】
次にS243へ進み、オーダ情報OIと支払指示PIのメッセージダイジェストを連結した二重ダイジェストMDを算出する処理がなされる。次にS244へ進み、二重ダイジェストMDとクレジットカードを使用するVP氏名とをVP用IC端末19Vへ伝送して署名指示を出すとともに、VP用電子証明書の出力要求を行なう。
【0227】
クレジットカードを使用するVP氏名と署名指示と電子証明書の出力要求を受けたVP用IC端末19Vは、入力されたVP氏名をクッキーデータ記憶領域と照合してそのVP氏名がVPの本名B13P(図11参照)を何回暗号化したものかを割出す。そしてその回数だけ秘密鍵を秘密鍵で暗号化して、その暗号化秘密鍵(KS)を用いて入力されたMDを復号化していわゆる二重署名を生成する。この二重署名を便宜上D(KS)(MD)と表現する。VP用IC端末19Vは、そのD(KS)(MD)をブラウザフォン30へ出力する。
【0228】
S244に従って入力されたVP氏名がVPの本名B13Pであった場合には、VP用IC端末19Vは、その本名に対する電子証明書を格納しているために、その格納している電子証明書をブラウザフォン30へ出力する。一方、S244に従って入力されたVP氏名がトラップ型VP氏名であった場合には、VP用IC端末19Vがそのトラップ型VP氏名用の電子証明書を格納していない。そのトラップ型VP氏名用の電子証明書は、前述したようにXMLストア50に格納されている。よって、その場合には、VP用IC端末19Vは、XMLストア50に電子証明書を取寄せる旨の指示をブラウザフォン30へ出力する。
【0229】
S244の要求をVP用IC端末19Vへ出力した後、VP用IC端末19Vから何らかの返信があれば、S245によりYESの判断がなされてS605へ制御が進む。S605では、XMLストア50への電子証明書の取り寄せ指示であったか否かの判断がなされ、取り寄せ指示でなかった場合にはS246へ進むが、取り寄せ指示であった場合には制御がS606へ進む。S606では、XMLストア50へアクセスしてトラップ型VP氏名に対応する電子証明書を検索してS246へ進み、オーダ情報OIと支払指示PIと出力されてきた署名としてのD(KS)(MD)とVP用電子証明書とを加盟店6へ送信する処理がなされる。加盟店6では、それら情報を確認した上で、ユーザの購入要求を受理する購入受理の回答をユーザのブラウザフォン30へ送信する。すると、S247によりYESの判断がなされてS248へ進み、取引が完了した旨の表示が行なわれる。
【0230】
S238によりNOの判断がなされた場合にS249へ進み、リロード金額の使用操作があったか否かの判断がなされる。ユーザが、VP用IC端末19Vに蓄えられているリロード金額を使用する旨のキーボード操作を行なえば、制御がS250へ進み、使用金額の入力指示がブラウザフォン30のディスプレイに表示される。ユーザが使用金額をキーボードから入力すれば、S251によりYESの判断がなされてS252へ進み、入力された使用金額Gの引落し要求をVP用IC端末19Vへ伝送する処理がなされる。
【0231】
VP用IC端末19Vでは、後述するように、引落し要求を受ければ、その使用金額Gだけリロード金額を減算更新し、引落しが完了した旨の信号をブラウザフォン30へ返信する。すると、S252aによりYESの判断がなされてS252bへ進み、Gの支払処理がなされる。
【0232】
なお、RP用決済処理は、以上説明したVP用決済処理とほとんど同じ内容の処理であるために、図示および説明の繰返しを省略する。
【0233】
図36(a)は、S58に示したVP用Webブラウザ,メール処理のサブルーチンプログラムを示すフローチャートである。S607により、サイトへのアクセス要求があったか否かの判断がなされる。ない場合にはメールの送信要求があったか否かの判断がなされる。ない場合にはこのサブルーチンプログラムが終了する。
【0234】
ユーザがブラウザフォン30のキーボード77を操作してサイトへアクセスする操作を行なった場合にはS607によりYESの判断がなされて制御がS608へ進む。S608では、ブルートゥース(Bluetooth)が使用できる端末が近くにあるか否かの判断がなされる。ブルートゥースは、10メートル程度の近距離無線通信インターフェイスのコード名であり、ブラウザフォン30に標準装備されている。このS608により、10メートル四方に広域・大容量中継網43に接続されてブルートゥースが使用できる端末がない場合には、制御がS612へ進み、アクセスできない旨をブラウザフォン30の表示部76に表示する処理がなされる。一方、ブルートゥースが使用できる端末がある場合にはS609へ進み、ブルートゥースを用いてその端末経由でサイトにアクセスする処理がなされる。
【0235】
このように、ブラウザフォン30にVP用IC端末19Vを接続してVPとしてブラウザフォン30からサイトにアクセスする場合には、携帯電話用の基地局55,携帯電話網45,ゲートウェイ53経由でサイトにアクセスするのでなく、広域・大容量中継網に接続された端末経由でアクセスする。その理由は、ブラウザフォン30が発信している電波を手掛かりにその現在位置が割出されるおそれがあるためである。ブラウザフォン30の場合には、ブラウザフォン30同士の通話を実現するために、ブラウザフォン30が位置する一番近い基地局55を割出してその基地局55から通話電波を発信するようにしているために、ブラウザフォン30の位置情報が特定できるように構成されている。このような位置がある程度割出し可能なブラウザフォン30を利用して、RPとしてそのブラウザフォン30を利用したり、あるいはVPとしてサイトにアクセスしたりした場合には、あるRPとあるVPとが常に同じ位置に存在することが統計上突き止められてしまい、そのRPとそのVPとは同一人物ではないかと、見破られてしまうおそれがある。
【0236】
そこで、VPとしてブラウザフォン30を利用してネットワーク上で行動する場合には、携帯電話網54を利用することなくブルートゥースを利用して広域・大容量中継網43に接続されている端末経由でネットワーク内に入り込むようにしているのである。
【0237】
一方、ユーザがブラウザフォン30のキーボード77を操作してEメールの送受信要求を行なった場合には、S610によりYESの判断がなされて制御がS611へ進み、ブルートゥースが使用できる端末が近くにあるか否かの判断がなされる。ない場合にはS611aに進み、Eメールの送受信ができない旨を表示部76に表示させる制御を行なった後、このサブルーチンプログラムが終了する。一方、近くにブルートゥースが使用できる端末があった場合には制御がS613へ進み、ブルートゥースを用いてその端末経由でEメールの送受信を行なう処理がなされる。
【0238】
図36(b)は、S584に示された偽RPアクセス処理のサブルーチンプログラムを示すフローチャートである。ユーザがVPとしてネットワーク上で行動することが多くなれば、RPとVPとの両方の詳しい個人情報を収集した業者が、両個人情報を虱潰しにマッチングチェックして、両個人情報が一致するRP氏名とVP氏名とを割出し、VPに対応するRPの名前を予測してしまうという不都合が生ずるおそれがある。その1つの解決方法として、RPの個人情報の信頼性を低下させることが考えられる。その偽RPアクセス処理は、RPの氏名を名乗ってランダムにサイトを次から次へとアクセスして渡り歩く動作を自動的に行なうものである。
【0239】
S650により偽RPアクセス要求があったか否かの判断がなされ、ない場合にはこのサブルーチンプログラムが終了する。ユーザがブラウザフォン30のキーボード77を操作して偽RPアクセス要求を行なえば、制御がS651へ進み、乱数Rを発生させる処理がなされる。次にS652により、その乱数RからURL(Uniform Resource Locator)を作成する処理がなされる。次にS653により、そのURLへアクセスを試みる処理がなされる。次にS654により、そのアクセスが成功したか否かの判断がなされる。このURLは乱数によってランダムに生成されたものであるために、そのURLに必ず該当するサイトがあるとは限らない。よって、該当するサイトがなければS654によりNOの判断がなされて制御が再びS651へ戻り、S651〜S653の処理を繰返す。
【0240】
このS561〜S564のループを巡回することによって、ランダムに生成されたURLに該当するサイトがあった場合には、S654によりYESの判断がなされてS655へ進み、アクセスしようとしているサイトが予め設定されたアクセス許容範囲内のものであるか否かの判断がなされる。ユーザは、たとえば、RP用IC端末19Rに格納されているユーザエージェントに対し、アクセスを行なってもよい許容範囲を入力設定しておく。たとえば風俗営業関連のサイト以外を許容する等のように、アクセス許容範囲を入力設定しておく。S655では、ブラウザフォン30に接続されているRP用IC端末19Rに格納されているユーザエージェントに対し、アクセスしようとしているサイトがその予め入力設定されたアクセス許容範囲内のものであるか否かを問合せる処理を行なう。アクセス許容範囲内でない場合には制御が再びS651へ戻り、再度乱数によるURLの生成およびそのURLへのアクセスが試みられる。
【0241】
S655によりアクセス許容範囲内であると判断された場合には、制御がS662へ進み、RP用IC端末19Rからクッキーを呼出して、そのクッキーとともにサイトへアクセスする処理がなされる。
【0242】
次に制御がS656へ進み、そのサイトにアクセスするとともにそのサイト内でランダムに行動し、かつ、極力RPの住所,氏名および偽の嗜好情報等をそのサイト側に提供する処理がなされる。この処理は、ブラウザフォン30に接続されているRP用IC端末19R内のユーザエージェントと協働で行なわれる。次に制御がS660へ進み、サイト側からクッキーの送信があったか否かの判断がなされる。ない場合にはS657へ制御が進むが、あった場合にはS661へ制御が進み、その送信されてきたクッキーをRP用IC端末19Rに記憶させる処理がなされた後S657へ進む。
【0243】
次にS657により、そのサイトのアクセスを終了させる処理がなされ、S658により、所定時間経過したか否かの判断がなされ、未だ所定時間経過していない場合には再びS651へ戻るが、所定時間経過したと判断された場合にはこのサブルーチンプログラムが終了する。
【0244】
図37(a)を参照し、VP用IC端末19Vは、S253により、暗証番号チェック処理を行なう。次にS254へ進み、クッキー処理を行なう。次にS255へ進み、本人証明処理を行なう。次にS256へ進み、データ入力処理を行なう。次にS257へ進み、ユーザエージェント動作処理を行なう。次にS258へ進み、リロード金額の使用処理を行なう。次にS259へ進み、署名処理を行なう。次にS615により、トラップ型VP処理がなされる。この処理は、図41に基づいて後述する。
【0245】
図37(b)を参照して、RP用IC端末19Rは、S260により、暗証番号チェック処理を行ない、S262により、本人証明処理を行ない、S263により、データ入力処理を行ない、S264により、ユーザエージェント動作処理を行ない、S265により、リロード金額の使用処理を行なう。次にS266へ進み、署名処理を行なう。
【0246】
図38(a)は、S253,S260に示された暗証番号チェック処理のサブルーチンプログラムを示すフローチャートである。S268により、暗証番号が入力されたか否かの判断がなされ、入力されていない場合にはこのままサブルーチンプログラムが終了する。一方、暗証番号が入力されれば、S269へ進み、入力された暗証番号を記憶している暗証番号と照合する処理がなされる。次にS270へ進み、照合の結果一致するか否かの判断がなされ、一致しない場合にはS271へ進み、不適正な旨をブラウザフォン30へ送信する処理がなされる。一方、一致する場合にはS272へ進み、適正な旨の返信を行なう。
【0247】
図38(b)は、S254に示されたクッキー処理(VP用)のサブルーチンプログラムを示すフローチャートである。S275により、クッキーの入力があるか否かの判断がなされる。ブラウザフォン30にVP用IC端末19Vが接続された時点で、そのブラウザフォン30にクッキーの記録があった場合には、前述したように、その記録されているクッキーデータがVP用IC端末19Vへ伝送される(S118参照)。また、ブラウザフォン30によりサイトへアクセスしてそのサイトからクッキーが送信されてきた場合にも、その送信されてきたクッキーデータをVP用IC端末19Vへ伝送する(S123参照)。VP用IC端末19Vでは、S118やS123によってクッキーが伝送されてくれば、S275によりYESの判断がなされてS276へ進み、その入力されたクッキーデータをVP氏名に対応するクッキー記憶領域に記憶する処理を行なう。
【0248】
一方、S275によりNOの判断がなされた場合には、S277へ進み、クッキーの呼出があるか否かの判断がなされる。ブラウザフォン30によりサイトへアクセスする場合には、VP用IC端末19Vからクッキーを呼出し、そのクッキーとともにサイトへアクセスする(S121参照)。そのクッキーの呼出処理が行なわれれば、S277によりYESの判断がなされてS278へ進み、VP氏名に対応するクッキー記憶領域に記憶しているクッキーデータと必要に応じてトラップ型VP氏名とをブラウザフォン30に出力する処理がなされる。
【0249】
図38(c)は、S255に示された本人証明処理(VP用)のサブルーチンプログラムを示すフローチャートである。S280により、乱数Rの入力があったか否かの判断がなされ、ない場合にはこのサブルーチンプログラムが終了する。乱数Rの入力があった場合にS281へ進み、VP出生依頼時であるか否かの判断がなされる。VP出生依頼時の場合には、S6,S151で説明したように、RPの認証鍵KNを用いてRPが正当な本人であることを証明する必要がある。そのために、VP出生依頼時の場合にはS283進み、入力された乱数RをRPの認証鍵KNで暗号化してIを生成する処理すなわちI=EKN(R)の算出処理を行なう。そして、と284により、その算出されたIをブラウザフォン30へ出力する処理がなされる。
【0250】
一方、VP出生依頼時でない場合には、S281によりNOの判断がなされてS282へ進み、VPは正当な本人であることを証明するべく、VPの秘密鍵KSを用いて入力された乱数Rを暗号化してIを算出する処理、すなわち、I=ESK(R)を算出する処理を行なう。そしてS248により、その算出されたIをブラウザフォン30へ出力する処理がなされる。
【0251】
図38(d)は、S262に示された本人証明処理(RP用)のサブルーチンプログラムを示すフローチャートである。S287により、乱数Rが入力されたか否かの判断がなされ、入力されていなければこのサブルーチンプログラムが終了する。一方、入力された場合には、制御がS288へ進み、RP用IC端末19Rに記憶されている認証鍵KNを用いて入力されたRを暗号化してIを算出する処理、すなわち、I=EKN(R)の算出処理が行なわれる。次にS289へ進み、その算出されたIをブラウザフォン30へ出力する処理がなされる。
【0252】
図39(a)は、S256,S263に示されたデータ入力処理のサブルーチンプログラムを示すフローチャートである。S293により、データ入力があったか否かの判断がなされる。入力されるデータとしては、前述したように、VP管理サーバ9によって誕生したVPに関するデータが記録されているCD−ROMの記録データ、ユーザエージェントの知識データ(S179,S189参照)、引落し額G(S181,S191参照)等がある。これらのデータが入力されれば、制御がS294へ進み、入力データに対応する記憶領域に入力データを記憶させる処理がなされる。
【0253】
図39(b)は、S257,S264に示されたユーザエージェント動作処理のサブルーチンプログラムを示すフローチャートである。S295により、公開鍵出力要求があったか否かの判断がなされる。公開鍵の出力要求があった場合には、S298に進み、記憶している公開鍵KPを出力する処理がなされる。S295によりNOの判断がなされた場合にS296へ進み、デビットカード情報の出力要求があったか否かの判断がなされる。あった場合にはS299へ進み、記憶しているデビットカード情報を出力する処理がなされる。
【0254】
S296によりNOの判断がなされた場合にはS297へ進み、クレジットカード情報の出力要求があったか否かの判断がなされる。あった場合にはS300へ進み、記憶しているクレジットカード情報を出力する処理がなされる。次にS301へ進み、その他の動作処理が行なわれる。このその他の動作処理は、図40に基づいて後述する。
【0255】
図39(c)は、S258,S265に示されたリロード金額の使用処理のサブルーチンプログラムを示すフローチャートである。S302により、引落し額Gの引落し要求があったか否かの判断がなされ、ない場合にはこのサブルーチンプログラムが終了する。あった場合には、S303へ進み、記憶しているリロード金額がGを減算する処理がなされ、S304へ進み、引落し完了信号を返信する処理がなされる。
【0256】
図39(d)は、S259,S266により示された署名処理のサブルーチンプログラムを示すフローチャートである。S370により、メッセージダイジェストMDの入力があったか否かの判断がなされ、ない場合にはこのサブルーチンプログラムが終了する。一方、S244等によってMDがIC端末へ伝送されてくれば、S370によりYESの判断がなされS371へ進み、その入力されたメッセージダイジェストMDを秘密鍵KSで復号化して電子署名を生成する処理がなされる。次にS372へ進み、その電子署名DKS(MD)を出力する処理がなされる。
【0257】
図39(e)は、S259により示されたVP署名処理のサブルーチンプログラムを示すフローチャートである。S999により、メッセージダイジェストMDとVP氏名との入力がブラウザフォン30からあったか否かの判断がなされ、ない場合にはこのサブルーチンプログラムが終了する。
【0258】
MDとVP氏名との入力があった場合には制御がS998へ進み、その入力されたVP氏名から秘密鍵(KS)を生成する処理がなされる。具体的には、VP用IC端末19Vは、入力されたVP氏名に基づいてクッキーデータ記憶領域を検索してその入力されたVP氏名が本名B13P(図11参照)を何回暗号化したものであるかを割出す。その割出された暗号化回数だけVPの秘密鍵をVPの秘密鍵で暗号化して秘密鍵(KS)を生成する。
【0259】
次に制御がS997へ進み、その秘密鍵(KS)を用いてメッセージダイジェストMDを復号化して二重署名を生成する処理がなされる。次に制御がS998へ進み、その二重署名D(KS)(MD)をブラウザフォン30へ出力する処理がなされる。
【0260】
図40は、S301に記載されたその他の動作処理のサブルーチンプログラムを示すフローチャートである。S305により、個人情報の送信要求を受けた否かの判断がなされる。この個人情報とは、図10に示されたユーザエージェント用知識データのことであり、たとえば年齢や職業や各種嗜好情報や家族構成等の個人情報のことである。なお、VPの住所、氏名、Eメールアドレスに関しては、S700,S701で処理する。ユーザが加盟店6やライフ支援センター8やその他各種サイトにアクセスした場合に、サイト側から個人情報を要求される場合がある。個人情報の要求を受けた場合には、制御がS306へ進み、プライバシーポリシーを受信したか否かの判断がなされる。サイト側が、個人情報を要求する場合には、その個人情報の収集目的や利用範囲等を明示したプライバシーポリシーをユーザ側に送信する。そのプライバシーポリシーを受信すれば、制御がS307へ進み、個人情報を送信して良いか否かの判断がなされる。
【0261】
この判断は、予めユーザがIC端末19Rまたは19Vに、どのような場合に個人情報を送信して良いか否かを入力設定し、その入力設定データに基づいて判断がなされる。送信要求対象となる個人情報の種類やプライバシーポリシーの内容に基づいて、S307によりYESの判断がなされた場合には、S310へ進み、プライバシーポリシーと個人情報とをまとめてIC端末19Rまた19Vの秘密鍵KSにより復号化して電子署名を生成する処理がなされる。次にS310へ進み、要求されている個人情報と電子署名とをサイト側に送信する処理がなされる。
【0262】
次に制御がS313へ進み、個人情報の送信要求を送信してきたサイトの種類に応じてVPの性格を変化させる処理がなされる。VP用IC端末19Vには、ユーザエージェントとしてのプログラムが記憶されているとともに、ユーザがアクセスするサイトの種類に応じてVPの性格を変化させるという、ゲームソフトの分野でよく用いられているプログラムが記憶されている。たとえば、ユーザがVPとして学術的なサイトに頻繁にアクセスした場合には、VPの性格が理知的で学者肌の性格となる。一方、ユーザが風俗関係のサイトに頻繁にアクセスした場合には、VPの性格が、ふしだらでブロークンな性格となる。
【0263】
S307によりNOの判断がなされた場合には、S308へ進み、要求されている個人情報が出力できないか否かの判断がなされ、出力できないと判断された場合にはS311へ進み、送信拒絶の旨をサイトに送信する処理がなされた後S313へ進む。
【0264】
IC端末19Rおよび19Vに記憶されているユーザエージェントでは、送信できるかまたは送信できないかの判断がつかない場合には、制御がS309へ進み、出力要求を受けた個人情報とプライバシーポリシーとをブラウザフォン30のディスプレイに出力して、ユーザ自身に送信の許否を求める処理がなされる。それを見たユーザは、送信して良いか否かをキーボードから入力する。送信して良い旨の入力があった場合にはS312によりYESの判断がなされてS310へ進むが、送信してはならない入力があった場合には、S312によりNOの判断がなされてS311へ進む。
【0265】
S305によりNOの判断がなされた場合には、S314へ進み、ユーザであるRPから会話要求があったか否かの判断がなされる。ユーザが、VP(VPのユーザエージェント)と会話がしたい場合には、会話を要求する旨の操作をキーボードから入力する。すると、S314によりYESの判断がなされてS314aへ進み、VPの現在の正確を反映させながら会話をすることが可能となる。
【0266】
図41は、S615により示されたトラップ型VP処理のサブルーチンプログラムを示すフローチャートである。S620により、新たなトラップ型VPの生成要求があったか否かの判断がなされ、ない場合にはS623へ進み、トラップ型VPが使用済みであるか否かの問合せがあったか否かの判断がなされ、ない場合にはこのサブルーチンプログラムが終了する。
【0267】
ブラウザフォン30がS598に従ってVP用IC端末19Vに新たなトラップ型VPの生成要求を出した場合には、S620によりYESの判断がなされて制御がS621へ進む。S621では、VP用IC端末19Vのクッキーデータ領域の最後のVP氏名の暗号回数nを「1」加算して、VPの本名をn+1回秘密鍵で暗号化して新たなトラップ型VP氏名を生成する処理がなされる。たとえば図11の場合には、クッキーデータ領域の最後のVP氏名E3(B13P)の暗号回数が3回であり、これに「1」加算して暗号回数4にし、VPの本名B13Pを4回暗号化して新たなトラップ型VP氏名E4(B13P)を生成する処理がなされる。
【0268】
次にS622へ進み、その生成されたトラップ型VPを、ブラウザフォン30へ出力するとともに、クッキーデータ領域における最後のVP氏名の次の空き領域に記憶させる処理がなされる。
【0269】
S590に従ってブラウザフォン30がVP用IC端末19Vに対し今アクセスしようとしているサイトにトラップ型VPが既に使用されているか否かの問合せを行なった場合には、S623によりYESの判断がなされて制御がS624へ進む。この問合せの際にはブラウザフォン30はVP用IC端末19Vに対し、今アクセスしようとしているサイト名も併せて伝送する。S624では、クッキーデータ領域(図11参照)を検索する処理がなされる。制御がS625へ進み、伝送されてきたサイト名に対しトラップ型VP氏名が使用済みであるか否かの判断がなされる。たとえばブラウザフォン30から伝送されてきたサイト名がMECであった場合には、図11を参照して、トラップ型VP氏名E2(B13P)が使用済みであることがわかる。
【0270】
トラップ型VP氏名が使用済みであると判断された場合には制御がS626へ進み、使用済みである旨をブラウザフォン30へ出力するとともに、S627により、使用されているトラップ型VPとそれに対応するクッキーデータとをブラウザフォン30へ出力する処理がなされる。たとえば、図11の場合には、伝送されてきたサイト名がMECであった場合には、トラップ型VPとしてE2(B13P)がブラウザフォン30へ出力されるとともに、クッキーデータmecがブラウザフォン30へ出力される。
【0271】
図11のクッキーデータ領域を検索した結果、ブラウザフォン30から伝送されてきたサイト名に対しトラップ型VPが未だ使用されていない場合にはS625によりNOの判断がなされて制御がS628へ進み、未使用の旨をブラウザフォン30へ出力する処理がなされる。
【0272】
図42,図43は、コンビニエンスストア2のサーバ16の処理動作を説明するためのフローチャートである。S315により、VPの氏名,Eメールアドレス,金融機関の名称を受信したか否かの判断がなされ、受信していない場合にS316へ進み、VPが購入した商品を預かったか否かの判断がなされ、預かっていない場合にS317へ進み、商品の引取り操作があったか否かの判断がなされ、ない場合にはS318へ進み、その他の処理を行なった後S315へ戻る。
【0273】
このS315〜S318のループの巡回途中で、決済サーバ10が誕生したVPの氏名,Eメールアドレス,当該金融機関の名称をコンビニエンスストア2へ送信した場合には(S18参照)、S315によりYESの判断がなされてS319へ進み、正当機関チェック処理がなされた後、S320へ進む。
【0274】
S320では、R=DKP(L)であるか否かの判断がなされ、正当機関でない場合にはNOの判断がなされてS321へ進み、正当機関でない旨の警告表示がなされる。一方、正当機関である場合にはS320によりYESの判断がなされてS322へ進み、受信データをデータベース17へ登録する処理がなされる。
【0275】
ユーザがVPとしてたとえば電子ショッピング等を行なってそのVPの住所であるコンビニエンスストア2に購入商品が配達されてコンビニエンスストア2がその商品を預かった場合には、S316によりYESの判断がなされてS316aへ進み、該当するVPの商品預かり情報のアドレス領域に商品を預かった旨の情報を記憶させる処理がなされる。その際に、当該商品の決済が済んでいるか否かの情報も併せて記憶させる。次に制御がS323へ進み、当該VPのEメールアドレスを割出し、そのEメールアドレスへ商品を預かった旨のメールを送信する処理がなされる。VPは、そのEメールを見ることにより、コンビニエンスストアに購入商品が配達されたことを知ることができ、その商品を引取るためにそのコンビニエンスストアに出向く。
【0276】
ユーザがVPとしてコンビニエンスストア2に出向き、配達された商品を引取るための操作を行なえば、S317によりYESの判断がなされる。そして制御がS324へ進み、VP用IC端末19Vの差込指示が表示される。それを見たユーザは、自己のVP用IC端末19Vを端末73のUSBポートへ差込んで接続する。すると、S325によりYESの判断がなされてS326へ進み、暗証番号チェック処理がなされる。ユーザは、端末73に設けられているキーボードからVP用の暗証番号を入力する。暗証番号が一致して適正であることを条件として、制御がS327へ進み、接続されているVP用IC端末19VからVP用の氏名を呼出してそれに基づいてデータベース17を検索する処理がなされる。そして、該当するVPの商品預かり情報のアドレス領域に、商品預かり情報が記録されているか否かの判断がS328によりなされる。商品預かり情報がなければS329へ進み、預かり商品がない旨が表示される。一方、商品預かり情報がある場合にはS330へ進み、電子証明書の出力要求がVP用IC端末19Vに対しなされる。VP用IC端末19Vは、それを受けて、記憶している電子証明書をサーバ16に出力する。すると、S331によりYESの判断がなされてS332へ進み、出力されてきた電子証明書内の公開鍵KPを読出し、S333により、本人チェック処理がなされる。
【0277】
差込まれているVP用IC端末19Vは、前述したように、VP本名に対する電子証明書は格納しているものの、トラップ型VPに対する電子証明書は格納しておらず、そのトラップ型VPに対する電子証明書はXMLストア50に格納されている。VP本名を用いて電子ショッピング等を行なってその購入商品がコンビニエンスストア2へ届けられた場合には、S327に従って呼出されたVP氏名はVPの本名となる。その場合には、S330の要求に従ってVP用IC端末19Vは電子証明書を出力することができる。その場合にS331によりYESの判断がなされて制御がS332へ進む。一方、トラップ型VP氏名を用いて電子ショッピングを行ないその購入商品がコンビニエンスストア2へ届けられた場合には、その商品をトラップ型VPとしてコンビニエンスストア2へ引取りに行くこととなる。その場合には、S327によってVP用IC端末19Vから呼出されるVP氏名は、トラップ型VP氏名となる。その結果、そのトラップ型VP氏名に対応する電子証明書の出力要求がS330からVP用IC端末19Vに対し出される。その場合には、VP用IC端末19Vは、XMLストア50から電子証明書を取り寄せる旨の指示を出力する。
【0278】
その出力があれば、制御がS631へ進み、XMLストア50へアクセスして該当する電子証明書を取り寄せる処理がなされた後制御がS332へ進む。
【0279】
次にS334へ進み、R=DKP(I)であるか否かの判断がなされる。正当でないなりすましのVPである場合には、S334によりNOの判断がなされてS335へ進み、不適正である旨が表示される。一方、適正なVPであった場合には、制御がS336へ進み、預かり商品番号を表示し、S337により、その商品に関し決済済みであるか否かの判断がなされ、決済済みの場合にはS339へ進むが、決済済みでない場合にはS338へ進み、決済処理が行なわれる。
【0280】
S339では、商品の引渡しが完了したか否かの判断がなされる。コンビニエンスストア2の店員は、S336により表示された預かり商品番号を見て、該当する番号の商品を探し出し、顧客にその商品を引渡した後、商品引渡し完了操作を行なう。すると、S339によりYESの判断がなされてS340へ進み、データベース17の商品預かり情報のアドレス領域を更新し、商品預かりなしの状態にした後、S315へ戻る。
【0281】
S326の暗証番号チェック処理は、図43(a)に示されている。S345により、暗証番号の入力指示が表示され、ユーザが入力すればS347へ進み、その入力された暗証番号をサーバ16に接続されているVP用IC端末19Vへ伝送し、その暗証番号の適否の判定結果がVP用IC端末19Vから返送されてくれば、S349へ進む。S349では、適正な判定結果か否かが判別され、不適正であればS350により不適正の表示を行なってS315へ戻るが、適正であればこのサブルーチンが終了して、制御がS327へ進む。
【0282】
S333の本人チェック処理は、図43(b)に示されている。S355により、乱数Rを生成してVP用IC端末へ伝送する処理がなされ、チャレンジデータRに対するレスポンスデータIがVP用IC端末から返送されてくるまで待機する。Iが返送されてくれば、このサブルーチンが終了する。
【0283】
S338の決済処理は、図43(c)に示されている。S359により、預かり商品の価格を表示する処理がなされ、S360へ進み、入金があるか否かの判断がなされる。ない場合にはS362へ進み、リロード金額による支払操作があったか否かの判断がなされ、ない場合にはS360へ戻る。そして、ユーザが現金による支払を行なってコンビニエンスストアの店員が入金があった旨の操作を行なえば、S360によりYESの判断がなされてS361へ進み、商品販売会社の口座へ入金処理を行なってこのサブルーチンプログラムが終了する。
【0284】
一方、ユーザがVP用IC端末19に記憶されているリロード金額を使用して支払操作を行なうべくその旨の操作がなされれば、S362によりYESの判断がなされてS363へ進み、価格Gの引落し要求をVP用IC端末19Vへ伝送する処理がなされる。そしてS364へ進み、VP用IC端末19Vから引落し完了信号が出力されてきたか否かの判断がなされ、出力されてくるまで待機する。そして、引落し完了信号を受信すれば、S364によりYESの判断がなされてS361へ進む。
【0285】
次に、別実施の形態を説明する。この別実施の形態は、ブラウザフォン30やユーザのパーソナルコンピュータ等のユーザ側端末およびIC端末19およびWebサイトによって、個人情報保護のシステムが完結する簡易型システムである。前述した実施の形態との相違は、トラップ型VPのEメールアドレスがVP本名のEメールアドレスと同じである。よって、トラップ型VP宛のEメールを金融機関7が転送する必要がない。またトラップ型VPの氏名は、そのトラップ型VPがアクセスするサイトの名称を、VP本名に用いられる秘密鍵で暗号化したものを用いる。トラップ型VPの口座番号やクレジット番号も、VPが本名として用いる口座番号,クレジット番号と同じものを用いる。
【0286】
図44(a)は、VP用IC端末19VのEEPROM26のクッキー記憶領域に格納されている情報を示す図である。このクッキー記憶領域には、VP氏名として、VPの本名B13Pのみが記憶され、トラップ型VP氏名は何ら記憶されない。トラップ型VPの氏名は、トラップ型VPとしてアクセスしたサイトを本名のVPの秘密鍵KSBで暗号化したものを用いる。この暗号化回数は1回に限らず2回以上の或る定められた回数であってもよい。よって、トラップ型VPがアクセスしたサイト名のみを記憶させることにより、そのサイト名に対応するトラップ型VPの氏名は、わざわざ記憶させなくとも、EKSB(サイト名)の演算式に従って必要に応じてその都度算出することができる。トラップ型VPの秘密鍵は、トラップ型VPに対応するサイト名を本名のVPの秘密鍵KSBで復号化したものを用いる。よって、トラップ型VPに対応させて逐一公開鍵や秘密鍵をVP用IC端末19Vに記憶させる必要はなく、秘密鍵=DKSB(サイト名)の演算式に従って必要に応じてその都度算出することができる。よって、XMLストア50の「暗号回数」の記憶が不要となる。
【0287】
図44(b)は、トラップ型VP処理のサブルーチンプログラムを示すフローチャートである。このサブルーチンプログラムは、図41に示したトラップ型VP処理の別実施の形態である。S960により、新たなトラップ型VPの生成要求がブラウザフォン30からあったか否かの判断がなされ、あった場合には制御がS959へ進み、アクセスするサイトの名称の入力要求がブラウザフォン30へ出される。ブラウザフォン30からアクセスするサイトの名称が伝送されてくれば、制御がS957へ進み、その伝送されてきたサイト名をVPの本名B13Pの秘密鍵KSBで暗号化して、新たなトラップ型VP氏名であるEKSB(サイト名)を算出する処理がなされる。次に制御がS956へ進み、その算出した新たなトラップ型VP氏名をブラウザフォン30へ出力する処理がなされ、S954により、入力されたサイト名をクッキー記憶領域に記憶させる処理がなされる。
【0288】
S953〜S948は、図41に示したS623〜S628と同じ制御のために、説明の繰返しを省略する。
【0289】
図44(c)は、VP用IC端末19Vによって行なわれる個人情報流通チェックのサブルーチンプログラムを示すフローチャートである。S970により、Eメールの受信があったか否かの判断がなされ、ない場合にはこのサブルーチンプログラムが終了する。トラップ型VP宛のEメールの受信があれば、ブラウザフォン30は、そのEメールデータをVP用IC端末へ入力する。すると制御がS969へ進み、その入力されたEメールの宛名をVPの本名に用いられる公開鍵KPBで復号化するDKPB(宛名)の演算を行ない、その演算結果がEメールの送信者名と一致するか否かの判断がなされる。
【0290】
Eメールの宛名はトラップ型VP氏名となっており、そのトラップ型VP氏名は、そのトラップ型VPがアクセスしたサイト名をVPの秘密鍵KSBで暗号化したものを用いている。よって、トラップ型VPがその氏名を用いてアクセスしたサイトからそのトラップ型VP宛にEメールが送信された場合には、S969によりYESの判断がなされる筈である。その場合には、S968により、適正である旨がブラウザフォン30へ出力され、ブラウザフォン30の表示部76によりその旨が表示される。一方、トラップ型VPがその氏名を用いてアクセスしたサイト以外のサイトからそのトラップ型VP氏名をEメールの宛名としてEメールが送信されてくれば、S969によりNOの判断がなされ、制御がS967へ進む。S967では、Eメールの宛名を本名のVPの公開鍵KPBで復号化する処理がなされる。その結果、Eメールの宛名であるトラップ型VP氏名が公開鍵KPBで復号化されて平文のサイト名が算出されることとなる。このサイト名は、Eメールの宛名に用いられているVP氏名としてアクセスしたサイト名のことであり、アクセスしたサイトが個人情報をEメールの送信者に不正流通したことが考えられる。よって、S967により、DKPB(宛名)が不正流通し、送信者名の業者が不正入手した旨をブラウザフォン30へ出力する。ブラウザフォン30では、その旨を表示部76により表示させる。
【0291】
なお、S969によりNOの判断がなされた場合に、前述した図17のS494とS494aとの処理を行なった後、S494aによりNOの判断がなされた場合にのみS967へ進むようにしてもよい。
【0292】
次に、以上説明した実施の形態における変形例や特徴点等を以下に列挙する。
(1) 前述したように、ブラウザフォン(携帯電話)30やPHS(Personal Handy-phone System)等の最寄の基地局に対し電波で送受信する携帯型送受信機の場合には、最寄の基地局を特定するために携帯型送受信機の現在地がある程度割出されるようになっている。このような携帯型送受信機を用いてVPとしてサイトにアクセスする等のネットワーク上での行動を行なう場合には、そのVPとして携帯型送受信機を利用している最中に位置がある程度特定されてしまうおそれがある。その結果、あるVPはあるRPと常に同じ場所に位置するという統計上の結果が割出されてしまい、VPとRPとの関連が見破られてしまうおそれがある。
【0293】
そこで、次のような手段を採用する。
ユーザに携帯され最寄の基地局との間で電波による送受信を行なって該基地局を通してネットワーク内に進入可能な携帯型送受信機であって、
現実世界での実在人物(リアルパーソン)がネットワーク上で行動する際に、仮想人物(バーチャルパーソン)になりすまして該仮想人物として行動できるようにするための仮想人物用処理機能(S100〜S103,S580,S582〜S585)が備えられており、
該仮想人物用処理機能を用いてユーザが仮想人物としてネットワーク内に進入する場合に、ネットワークに接続された端末に対し直接無線通信(ブルートゥース)を行ない、前記基地局からの進入ルートではなく前記端末からネットワーク内に進入する処理を行なうための仮想人物用別ルート進入手段(S607〜S613)を備えている、携帯型送受信機(ブラウザフォン30等)。
【0294】
このような手段を採用した結果、ユーザは、仮想人物としてネットワーク内に進入する際には、仮想人物用別ルート進入手段を利用して、基地局からの進入ルートではなく別ルートによる進入が可能となり、その結果、仮想人物の位置が特定されてしまう不都合を極力防止することができる。
【0295】
このような効果を奏する手段として、次のようなものを採用してもよい。
ユーザに携帯され、最寄の基地局に対し電波により送受信を行なってネットワーク内に進入可能な携帯型送受信機(ブラウザフォン30等)に備えられているプロセッサ(CPU197)を動作させるプログラムであって、
前記プロセッサに、
現実世界での実在人物(リアルパーソン)がネットワーク上で行動する際に、仮想人物(バーチャルパーソン)になりすまして該仮想人物として行動できるようにするための処理を行なう仮想人物処理手段(S100〜S103,S580,S582〜S585)と、
該仮想人物処理手段によりユーザが仮想人物としてネットワーク内に進入する際に、該ネットワークに接続されている端末に対し直接無線通信を行なって、前記基地局からの進入ルートではなく前記端末からネットワーク内に進入する仮想人物用別ルート進入手段(S607〜S613)と、
として機能させるプログラム。
【0296】
(2) ユーザの個人情報を利用する業者側は、提供してもらいたい個人情報が本当に正しい内容であるか否かを確認したいというニーズがある。
【0297】
そこで、以下のような手段を採用する。
所定機関にユーザから個人情報の登録要請があった場合に、その個人情報の真偽チェックを行なうための処理を行なう真偽チェック処理手段(S420)と、
該真偽チェック処理手段による処理の結果、正しいと判断される個人情報に対し前記所定機関のデジタル署名を施すデジタル署名手段(S425)と、
該デジタル署名が施された前記個人情報を当該個人情報のユーザが特定可能な態様で格納する個人情報格納手段(S425,データベース12a)と、
あるユーザ名を指定しての依頼者からの要請に応じて、該ユーザ名に対応する個人情報を前記個人情報格納手段から検索する検索手段とを含む、個人情報システム。
【0298】
この個人情報システムは、以下の手段をさらに含んでもよい。
前記依頼者が所有する個人情報の真偽のチェックを依頼してきた場合に、該チェック対象となる前記依頼者の所有する個人情報に対応する個人情報を前記個人情報格納手段から検索し、該検索された個人情報と前記依頼者の個人情報とを照合して真偽チェックを行なう真偽チェック手段(S471,S472)、
該真偽チェック手段による真偽の結果を前記依頼者に通知する結果通知手段(S487)、
前記真偽チェック手段のチェックの結果と前記依頼者の個人情報が正しい内容であった場合に該個人情報に対し前記所定機関のデジタル署名を施すデジタル署名手段(S486)、
前記真偽チェック手段による真偽チェックの結果を前記依頼者に通知してよいか否かを真偽チェック対象となっている個人情報に対応するユーザに尋ねるための処理を行なう手段(S476,S477)、
前記個人情報格納手段に格納されている個人情報の購入要求が依頼者からあった場合に、該購入の対価をめぐる交渉を行なうための処理を行なう交渉処理手段(S504〜S506)、
該交渉処理手段による交渉の結果交渉が成立した場合に、購入対象の個人情報を当該個人情報に対する前記所定機関のデジタル署名とともに購入依頼者に送信する送信手段(S509)、
前記交渉処理手段の結果交渉が成立した場合にその成立した条件に対し、購入対象の個人情報に対応するユーザ、前記購入依頼者、前記所定機関のそれぞれのデジタル署名を付して記憶しておく記憶手段(S508)。
【0299】
(3) ユーザがVPとしてネットワーク上で行動することが多くなれば、RPとVPとの両方の詳しい個人情報を収集した業者が、両個人情報を虱潰しにマッチングチェックして、両個人情報が一致するRP氏名とVP氏名とを割出し、VPに対応するRPの名前を予測してしまうという不都合が生ずるおそれがある。そこで、次のような解決手段を採用する。
【0300】
現実世界での実在人物(リアルパーソン)がネットワーク上で行動する際に、仮想人物(バーチャルパーソン)になりすまして該仮想人物として行動できるようにした個人情報保護方法に用いられる個人情報保護装置であって、
前記実在人物の要求に応じて、該実在人物が意図しないサイトにアクセスするアクセス手段(S651〜S662)を含む、個人情報保護装置。
【0301】
このような手段を採用した結果、実在人物が意図しないサイトへのアクセスが自動的に行なわれることとなり、当該実在人物の個人情報の信頼性を低下させることができる。その結果、実在人物と仮想人物との両個人情報のマッチングチェックの結果の信頼性を低下させることができる。
【0302】
この個人情報保護装置は、さらに以下の手段を含んでもよい。
前記アクセス手段によりアクセスしたサイト内で、前記実在人物が意図しない行動を行なう行動手段(S656)、
前記アクセス手段によりアクセスしたサイトに対し、前記実在人物の実名(太郎)を提供する処理を行なう個人情報提供処理手段(S656)、
前記アクセス手段によりアクセスしたサイトからユーザを識別するために送信されてきた識別データ(クッキー)を受付けて記憶させるための処理を行なうクッキー受付処理手段(S660,S661)、
前記アクセス手段に備えられ、アクセスするサイトがユーザによって予め設定されたアクセス許容範囲内のものか否かを判別してアクセス許容範囲内でない場合にはアクセスしないアクセス禁止手段(S655)、
なお、この個人情報保護装置は、前述した実施の形態では、ユーザ側端末(ブラウザフォン30等)により構成されているが、本発明はこれに限らず、たとえばユーザ側の依頼に応じて偽RPアクセス処理サービスを行なう所定のサービス機関を設置し、そのサービス機関に対しユーザ側からの要求があった場合に、前述したアクセス手段、行動手段、等の動作を行なうようにしてもよい。さらに、実在人物の嗜好情報とは異なる嗜好情報をサイト側に提供してもよい。
【0303】
(4) 本発明でいう「人物」,「個人」の用語は、自然人に限らず法人をも含む広い概念である。本発明でいう「匿名」とは、仮想人物(VP)の氏名のことであり、仮想人物の氏名と実在人物の匿名とは同じ概念である。したがって、仮想人物の住所やEメールアドレスや電子証明書は、実在人物が匿名でネットワーク上で行動する場合の住所,Eメールアドレス,電子証明書ということになる。
【0304】
本発明でいう「個人情報保護装置」は、装置単体ばかりでなく、複数の装置がある目的を達成するために協働するように構築されたシステムをも含む広い概念である。
【0305】
(5) 図1に示すように、本実施の形態では、金融機関7に、VP管理機能と、決済機能と、認証機能とを設けたが、金融機関7から、VP管理機能を分離独立させ、金融機関以外の他の守秘義務を有する所定機関にVP管理機能を肩代わりさせてもよい。その肩代わりする所定機関としては、官公庁等の公共的機関であってもよい。さらに、RPやVPに電子証明書を発行する電子証明書発行機能を、金融機関7から分離独立させ、専門の認証局に肩代わりさせてもよい。
【0306】
また、本実施の形態では、コンビニエンスストア2の住所をVPの住所としているが、その代わりに、たとえば郵便局や物流業者における荷物の集配場等をVPの住所としてもよい。またVPの住所となる専用の施設を新たに設置してもよい。
【0307】
VPを誕生させる処理は、本実施の形態では、所定機関の一例としての金融機関7が行なっているが、本発明はこれに限らず、たとえば、ユーザ自身が自己の端末(ブラウザフォン30等)によりVPを誕生(出生)させ、その誕生させたVPの氏名,住所,公開鍵,口座番号,Eメールアドレス等のVP用情報を、金融機関7等の所定機関に登録するようにしてもよい。
【0308】
また、誕生したVPは、必ずしも所定機関に登録させなくてもよい。
(6) 処理装置の一例としてのIC端末19Rまたは19Vは、ICカードや携帯電話あるいはPHSやPDA(Personal digital Assistant)等の携帯型端末で構成してもよい。これら携帯型端末で構成する場合には、VP用の携帯型端末とRP用の携帯型端末との2種類のものを用意してもよいが、VP用モードあるいはRP用モードに切換え可能に構成し、1種類の携帯型端末で事足りるように構成してもよい。
【0309】
図9に示したIC端末19Iによるアプリケーションソフトのインストールに代えて、当該アプリケーションソフトのサプライヤからネットワーク経由で当該アプリケーションソフトをブラウザフォン30等へダウンロードするように構成してもよい。
【0310】
(7) 本実施の形態では、図12に示したように、VPの誕生時にそのVPの電子証明書が自動的に作成されて発行されるように構成したが、その代わりに、ユーザからの電子証明書の発行依頼があって初めてVPの電子証明書の作成発行を行なうようにしてもよい。
【0311】
図23等に示すように、本実施の形態では、RPの本人認証を行なう場合には、RPの認証鍵KNを用いるようにしたが、RPが電子証明書の発行を受けている場合には、その電子証明書内の公開鍵を用いてRPの本人認証を行なうようにしてもよい。
【0312】
(8) ブラウザフォン30に代えて、パーソナルコンピュータを用いてもよい。
【0313】
トラップ型VP用に金融機関7が開設したEメールアドレス△△△△△は、1種類のみのEメールアドレスではなく、複数種類用意し、トラップ型VP氏名毎に使い分けるようにしてもよい。S620〜S622またはS960〜S956により、新たな匿名(トラップ型VP氏名)の生成要求があった場合に、今までに使われていない匿名を生成する新匿名生成手段が構成されている。S431〜S441またはS954により、前記新匿名生成手段により生成された匿名の登録を行なう匿名登録機関(金融機関7またはEEPROM26)に対し新たに生成された匿名の登録依頼があった場合に、該匿名を登録する匿名登録手段が構成されている。
【0314】
前述したS450〜S460により、ユーザの個人情報を登録している登録機関に対しユーザから自己の個人情報の確認要求があった場合に、当該ユーザの本人認証を行なう本人認証手段(S452〜S458)による本人認証の結果本人であることが確認されたことを条件として、当該ユーザに対応する個人情報を当該ユーザに送信する個人情報送信手段が構成されている。
【0315】
図44(a)で示したトラップ型VP氏名は、サイト名をVPの秘密鍵KSBで複合化したものであってもよい。
【0316】
つまり、S957により、DKSB(サイト名)の演算を行なってトラップ型VP氏名を生成してもよい。その場合には、S969により、EKPB(Eメールの宛名)=送信者名 の演算式による判別を行なうこととなる。S967では、EKPB(Eメールの宛名)が不正流出し、送信者名の業者が不正入手した旨を出力するという処理になる。
【0317】
前述したS957により、ユーザがネットワークを通してアクセスするサイトに対し、当該サイトの名称を当該ユーザが使用できる鍵(秘密鍵KSB)により暗号化または復号化して生成した匿名を生成する匿名生成手段が構成されている。
【0318】
ユーザがネットワークを通してアクセスし自己の個人情報を提供したサイトを特定するために用いる識別情報を特定可能な情報であって、前記個人情報を入手した者がその個人情報主であるユーザにメールを送る場合には該メールに含まれることとなる識別情報として、前述した実施の形態では匿名(トラップ型VP氏名)を用いたが、その代わりにまたはそれに加えて、サイト毎に使い分ける複数のEメールアドレスやダイレクトメール用の住所(私書箱等)を用いてもよい。
【0319】
(9) ネットワーク(広域・大容量中継網43)上での個人情報を保護する個人情報保護システムであって、
現実世界での実在人物(リアルパーソン)がネットワーク上で行動する際に、仮想人物(バーチャルパーソン)になりすまして該仮想人物として行動できるようにするための所定の仮想人物を誕生させる処理を行なう仮想人物誕生処理手段(S1〜S12)と、
前記実在人物と前記仮想人物との対応関係を特定可能な情報を守秘義務のある所定機関において登録する処理を行なう登録処理手段(S15)を含むことを特徴とする、個人情報保護システム。
【0320】
(10) 前記所定機関は、金融機関7である。
(11) ネットワーク(広域・大容量中継網43)上での個人情報を保護する個人情報保護システムであって、
現実世界での実在人物(リアルパーソン)がネットワーク上で行動する際に、仮想人物(バーチャルパーソン)になりすまして該仮想人物として行動できるようにするための所定の仮想人物を誕生させる処理を行なう仮想人物誕生処理手段(S1〜S12)と、
前記仮想人物用の電子証明書を発行するための処理を行なう電子証明書発行処理手段(S16)とを含む。
【0321】
(12) ネットワーク(広域・大容量中継網43)上での個人情報を保護する個人情報保護システムであって、
現実世界での実在人物(リアルパーソン)がネットワーク上で行動する際に、仮想人物(バーチャルパーソン)になりすまして該仮想人物として行動できるようにするための所定の仮想人物を誕生させるための処理を行なう仮想人物誕生処理手段(S1〜S12)と、
前記仮想人物の住所を、前記実在人物とは異なる住所に設定するための処理を行なう住所設定手段(S9〜S12)とを含む。
【0322】
(13) 前記仮想人物の住所は、所定のコンビニエンスストアの住所である(S9〜S11)。
【0323】
(14) ネットワーク(広域・大容量中継網43)上での個人情報を保護する個人情報保護システムであって、
現実世界での実在人物(リアルパーソン)がネットワーク上で行動する際に、仮想人物(バーチャルパーソン)になりすまして該仮想人物として行動できるようにするための所定の仮想人物を誕生させるための処理を行なう仮想人物誕生処理手段(S1〜S12)と、
前記仮想人物用のクレジット番号を発行するための処理を行なうクレジット番号発行処理手段(カード発行会社4)とを含み、
該クレジット番号発行処理手段により発行されたクレジット番号を利用して前記仮想人物としてクレジットによる支払ができるようにした(S58,S56,S75〜S78)。
【0324】
(15) ネットワーク(広域・大容量中継網43)上での個人情報を保護する個人情報保護システムであって、
現実世界での実在人物(リアルパーソン)がネットワーク上で行動する際に、仮想人物(バーチャルパーソン)になりすまして該仮想人物として行動できるようにするための所定の仮想人物を誕生させる処理を行なう仮想人物誕生処理手段(S1〜S12)と、
前記仮想人物用の銀行口座を開設するための処理を行なう口座開設処理手段(S39,S42〜S45)とを含み、
該口座開設処理手段によって開設された口座内の資金を利用して前記仮想人物として決済ができるようにした(S55〜S57,S60〜S74)。
【0325】
(16) ネットワーク(広域・大容量中継網43)上での個人情報を保護する個人情報保護システムであって、
現実世界での実在人物(リアルパーソン)がネットワーク上で行動する際に、仮想人物(バーチャルパーソン)になりすまして該仮想人物として行動できるようにするための所定の仮想人物を誕生させるための処理を行なう仮想人物誕生処理手段(S1〜S12)を含み、
前記実在人物としてネットワーク上で行動する場合と前記仮想人物としてネットワーク上で行動する場合とで、サイト側がユーザを識別するために送信してくる識別データ(クッキー)の受付制限を異ならせることができるようにした(S110〜S123,S125〜S137)。
【0326】
(17) ネットワーク(広域・大容量中継網43)上での個人情報の保護に用いられる処理装置(VP管理サーバ9)であって、
現実世界での実在人物(リアルパーソン)がネットワーク上で行動する際に、仮想人物(バーチャルパーソン)になりすまして該仮想人物として行動できるようにするための所定の仮想人物を誕生させる要求を受付ける要求受付手段(S1)と、
該要求受付手段により要求が受付けられたことを条件として(S1によりYESの判断がなされたことを条件として)、仮想人物を誕生させるための処理を行なう仮想人物誕生処理手段(S1a〜S12)と、
該仮想人物誕生処理手段により誕生した仮想人物と該仮想人物に対応する前記実在人物との対応関係を特定可能な情報をデータベースとして記憶させるための処理を行なう対応関係記憶処理手段(S15)とを含む。
【0327】
(18) ネットワーク(広域・大容量中継網43)上での個人情報を保護するための処理装置(VP管理サーバ9)であって、
現実世界での実在人物(リアルパーソン)がネットワーク上で行動する際に、仮想人物(バーチャルパーソン)になりすまして該仮想人物として行動できるようにするために誕生した所定の仮想人物の公開鍵(KB)の入力を受付けて(S14)、該入力された公開鍵をデータベースに記憶させるための処理を行なう公開鍵記憶処理手段(S15)と、
前記記憶された公開鍵に対応する前記仮想人物用の電子証明書を作成して発行する処理を行なうための電子証明書作成発行処理手段(S16)とを含み、
該電子証明書作成発行処理手段は、前記実在人物と前記仮想人物との対応関係を特定可能な情報が守秘義務のある所定機関(金融機関7)に登録されている登録済みの前記仮想人物であることを条件として(S7によりYESの判断がなされたことを条件として)、電子証明書の作成発行処理を行なう(S16の処理を行なう)。
【0328】
(19) ネットワーク(広域・大容量中継網43)上での個人情報を保護するための処理装置(加盟店6のサーバ)であって、
現実世界での実在人物(リアルパーソン)がネットワーク上で行動する際に、仮想人物(バーチャルパーソン)になりすまして該仮想人物として行動できるようにするために誕生した所定の仮想人物に発行されたクレジット番号を利用してクレジット支払による購入要求があった場合に、支払の承認処理を行なうための支払承認処理手段(支払承認部33)と、
該支払承認処理手段により承認されたクレジットによる支払の要求をクレジットカード発行会社4に出すための処理を行なう支払要求処理手段(支払要求部33)とを含み、
前記支払承認処理手段は、前記仮想人物用に発行された電子証明書を確認した上で、支払の承認を行なう。
【0329】
(20) ネットワーク(広域・大容量中継網43)上での個人情報を保護するための処理装置(決済サーバ10)であって、
現実世界での実在人物(リアルパーソン)がネットワーク上で行動する際に、仮想人物(バーチャルパーソン)になりすまして該仮想人物として行動できるようにするために誕生した所定の仮想人物用に開設された銀行口座内の資金を決済に用いるために引落す引落し要求を受付けるための処理を行なう引落し要求受付処理手段(S55)と、
該引落し要求受付処理手段により引落し要求が受付けられた場合に、該当する前記仮想人物に相当する銀行口座を割出して該銀行口座内の資金から引落し要求金額(G)に相当する資金を引落すための処理を行なう引落し処理手段(S69)とを含んでいる。
【0330】
(21) ネットワーク(広域・大容量中継網43)上での個人情報を保護するための処理装置(サーバ16)であって、
現実世界での実在人物(リアルパーソン)がネットワーク上で行動する際に、仮想人物(バーチャルパーソン)になりすまして該仮想人物として行動できるようにするために誕生した所定の仮想人物の住所であって、前記実在人物とは異なる住所(コンビニエンスストア2の住所)に前記処理装置が設置されており、
該処理装置が設置されている住所を自己の住所としている前記仮想人物を特定可能な情報をデータベース17に記憶させるための処理を行なう記憶処理手段(S322)と、
該記憶処理手段に記憶されている仮想人物が購入した商品であって前記処理装置が設置されている住所に配達されてきた商品を預かったことを特定可能な情報をデータベースに記憶させるための処理を行なう預り情報記憶処理手段(S316a)と、
前記預った商品の引落し要求があった場合に(S317によりYESの判断がなされた場合に)、当該引渡し要求を出した仮想人物が前記データベースに記憶されている仮想人物であることを確認し(S327)、かつ、商品を扱っている仮想人物であることを確認したことを条件として(S328によりYESの判断がなされたことを条件として)、該当する商品の受渡しの許可を出すための処理を行なう受渡し許可処理手段(S336)とを含む。
【0331】
(22) ネットワーク(広域・大容量中継網43)上での個人情報を保護するためのプログラムまたは該プログラムを記録している記録媒体(CD−ROM31)であって、
コンピュータ(パーソナルコンピュータ30)に、
現実世界での実在人物(リアルパーソン)がネットワーク上で行動する際に、仮想人物(バーチャルパーソン)になりすまして該仮想人物として行動できるようにするための所定の仮想人物を誕生させるための要求操作があったか否かを判定する誕生要求判定手段(S141)と、
該誕生要求判定手段により誕生要求があった旨の判定がなされた場合に、前記仮想人物の出生依頼要求を所定機関(金融機関7)に送信するための処理を行なう出生要求送信手段(S142)と、
前記仮想人物の出生要求を行なう前記実在人物を特定可能な情報であって前記仮想人物の出生に必要となる情報を前記所定機関へ送信するための処理を行なう所定情報送信手段(S147〜S149)と、
して機能させるためのプログラム、または該プログラムが記憶されているコンピュータ読取可能な記録媒体。
【0332】
(23) ネットワーク(広域・大容量中継網43)上での個人情報を保護するための処理装置(VP用IC端末19V)であって、
該処理装置は、ユーザの端末(パーソナルコンピュータ30)に対して情報のやり取りが可能に構成されているとともに(USBポート18を介して情報のやり取りが可能に構成されているとともに)、ユーザに携帯される携帯型の処理装置であり、現実世界での実在人物(リアルパーソン)である前記ユーザがネットワーク上で所定の仮想人物になりすまして該仮想人物として行動する際に使用され、
サイト側がユーザを識別するために送信してくる識別データ(クッキー)が前記端末に対し送信されてきた場合に該識別データを当該端末の代わりに記憶可能に構成されている(S276)。
【0333】
(24) さらに、前記端末(パーソナルコンピュータ30)によってユーザがサイトにアクセスした際に、必要に応じて記憶している前記識別データ(クッキーデータ)を出力して該識別データを前記サイトに送信できるように構成されている(S278)。
【0334】
(25) 前記処理装置(VP用IC端末19V)は、
前記ユーザの端末に対し情報の入出力を可能にするための入出力部(I/Oポート21)と、
前記ユーザの端末から前記識別情報が入力されてきた場合に(S275によりYESの判断がなされた場合に)、該入力された識別情報を記憶する識別情報記憶手段(S276)とをさらに含む。
【0335】
(26) 前記処理装置(VP用IC端末19V)は、
前記ユーザの端末から前記識別情報の出力指令が入力されてきた場合に(S277によりYESの判断がなされた場合に)、記憶している前記識別情報を外部出力する識別情報外部出力手段(S278)をさらに含む。
【0336】
(27) 前記処理装置(VP用IC端末19V)は、
前記仮想人物に関する情報(VPの氏名,住所、VPのEメールアドレス、VPの公開鍵と秘密鍵、VPの年齢,職業等)を記憶しており、
前記VPに関する情報の出力指令が入力されてきた場合に(S295,S305等によりYESの判断がなされた場合に)、前記記憶している仮想人物に関する情報を外部出力する情報外部出力手段(S298,S310等)をさらに含む。
【0337】
前述した正当機関証明処理,正当機関チェック処理,本人証明処理,S4〜S7等の本人チェック処理により、本人であることの確認を行なってなりすましを防止するための本人認証手段が構成されている。
【0338】
S13〜S16により、バーチャルパーソン(仮想人物)用の電子証明書を作成して発行する仮想人物用電子証明書発行手段が構成されている。S25〜S28により、現実世界に実在するリアルパーソン(実在人物)用の電子証明書を作成して発行する実在人物用電子証明書発行手段が構成されている。
【0339】
S39〜S45により、仮想人物(バーチャルパーソン)用の銀行口座を作成するための処理を行なう銀行口座作成処理手段が構成されている。
【0340】
S40〜S49により、実在人物(リアルパーソン)または仮想人物(バーチャルパーソン)用のデビットカードを発行するための処理を行なうデビットカード発行処理手段が構成されている。S55〜S69により、仮想人物(バーチャルパーソン)に携帯される処理装置(VP用IC端末19V)に対し、該仮想人物(バーチャルパーソン)の銀行口座内の資金の一部を引落してリロードするための処理を行なう資金引落し処理手段が構成されている。
【0341】
S57〜S74により、仮想人物(バーチャルパーソン)のデビットカードを使用して決済を行なうための処理を行なうデビットカード用決済処理手段が構成されている。S57〜S78により、仮想人物(バーチャルパーソン)のクレジットカードを使用しての決済を行なうための処理を行なうクレジットカード用決済処理手段が構成されている。このクレジットカード用決済処理手段は、Secure Electronic Transaction(SET)に準拠して決済を行なう。
【0342】
(28) 本実施の形態では、図28に示したように、クッキーの受付を制限または拒絶するようにしたが、それに代えてまたはそれに加えて、ユーザがサイト側に再アクセスした際に、既に記憶しているクッキーを当該サイト側へ送信することを禁止または制限するように制御してもよい。すなわち、本発明における個人情報保護システムにおいては、実在人物としてネットワーク上で行動する場合と仮想人物としてネットワーク上で行動する場合とで、サイト側がユーザを識別するために送信してきた識別データであって既に記憶されている識別データを前記サイト側へ送信する際の送信制限を異ならせることができるようにしてもよい。
【0343】
S140〜S158により、ユーザが自己の仮想人物(バーチャルパーソン)の出生依頼を行なう処理を行なうための出生依頼処理手段が構成されている。S9〜S12により、出生させる仮想人物(バーチャルパーソン)の住所であって出生依頼者である実在人物(リアルパーソン)の住所とは異なった住所を決定するための処理を行なう住所決定処理手段が構成されている。この住所決定処理手段は、コンビニエンスストアの住所を仮想人物(バーチャルパーソン)の住所として決定する。また、この住所決定処理手段は、出生依頼者である実在人物(リアルパーソン)の希望するコンビニエンスストアの住所を仮想人物(バーチャルパーソン)の住所として決定可能である。また、この住所決定処理手段は、出生依頼者である実在人物(リアルパーソン)の住所に近いコンビニエンスストアの住所を仮想人物(バーチャルパーソン)の住所として決定することが可能である。
【0344】
S305〜S312により、ユーザに携帯される前記処理装置(RP用IC端末19R,VP用IC端末19V)に設けられ、当該処理装置の所有者であるユーザの実在人物(リアルパーソン)としての個人情報または仮想人物(バーチャルパーソン)としての個人情報の送信要求を受けた場合に、記憶している個人情報の中から該当する個人情報を選び出して出力する処理が可能な個人情報自動出力手段が構成されている。この個人情報自動出力手段は、送信要求の対象となっている個人情報が送信してよいものであるか否かを自動的に判別するための処理を行なう自動判別処理手段(S307,308,310,311)を含んでいる。この自動判別処理手段は、どの種類の個人情報を出力してよいかをユーザが事前に入力設定でき、その入力設定に従って自動判別を行なう。またこの自動判別処理手段は、自動判別できない場合には、要求対象となっている個人情報と送信されてきたプライバシーポリシーとを出力してユーザに対し送信の許否を求めるための処理を行なう(S309)。
【0345】
S313により、ユーザに携帯される仮想人物(バーチャルパーソン)用の処理装置に設けられ、当該処理装置の使用状況に応じて当該処理装置によって形成される仮想人物の性格を変化させる仮想人物性格変化形成手段が構成されている。この仮想人物性格変化形成手段は、ユーザが仮想人物(バーチャルパーソン)としてアクセスしたサイトの種類に応じて性格を変化させる。
【0346】
S314,S314aにより、ユーザが仮想人物(バーチャルパーソン)と会話を要求した場合に、前記性格変化形成手段により形成された現在の性格を反映して仮想人物(バーチャルパーソン)との会話を実現させる処理を行なう性格反映型会話実現処理手段が構成されている。
【0347】
コンビニエンスストア2により、仮想人物(バーチャルパーソン)がネットワーク上で購入した商品が配達されてきた場合に当該商品を預る商品預り場が構成されている。データベース17により、前記商品預り場で商品を預る対象となる仮想人物(バーチャルパーソン)を登録しておくバーチャルパーソン登録手段が構成されている。このバーチャルパーソン登録手段は、仮想人物(バーチャルパーソン)ごとに分類して、商品を預っているか否かを特定するための預り特定情報が記憶される。さらに、当該商品の決済が済んでいるか否かを特定するための決済特定情報が記憶される。また、前記仮想人物(バーチャルパーソン)ごとに分類して当該仮想人物(バーチャルパーソン)のEメールアドレスを記憶している。
【0348】
S323により、前記商品預り場に設けられ、商品を預っている仮想人物(バーチャルパーソン)のEメールアドレスに対し商品を預った旨のEメールを送信するための処理を行なうEメール送信処理手段が構成されている。S317〜S340により、前記商品預り場に設けられ、ユーザが仮想人物(バーチャルパーソン)として商品を引取りにきた場合に、当該ユーザに対し該当する商品を引渡すための処理を行なう商品引渡し処理手段が構成されている。この商品引渡し処理手段は、引取りにきたユーザの仮想人物(バーチャルパーソン)が本人であることを確認できたことを条件として引渡し処理を行なう。前記商品引き渡し処理手段は、引き渡す商品が決済済みであるか否かを判別し、決済済みでない場合には決済が行なわれたことを条件として商品の引渡し処理を行なう。
【0349】
今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
【0350】
【課題を解決するための手段の具体例】
次に、課題を解決するための各種手段と実施の形態との対応関係を以下に示す。
【0351】
(1) コンピュータシステムを利用して、ネットワーク上で個人情報を保護する個人情報保護方法であって、
ユーザがネットワーク(広域・大容量中継網43)を通してアクセスし自己の個人情報を提供するサイトを特定するために用いる識別情報であって、前記個人情報を入手した者がその個人情報主であるユーザにメール(Eメール,ダイレクトメール)を送る場合に該メールに含まれることとなる識別情報(匿名としてのトラップ型VP氏名, 図44(a)のEKSB(サイト名),サイト毎に使い分けるEメールアドレスやダイレクトメール用の住所)をプロセッサ(CPU24)を利用して生成する識別情報生成ステップ(S620とS621またはS960〜S956)と、
該識別情報生成ステップにより生成された識別情報を用いてユーザがサイトにアクセスして個人情報を提供する個人情報提供ステップ(S593,S600,S700,S701)と、
該個人情報提供ステップにより提供された前記個人情報を入手した者が該個人情報主であるユーザに対し送ったメールに含まれている前記識別情報に基づいて特定される前記サイトと前記メールの送り主とが一致するか否かを判定して前記ユーザの個人情報の流通状態を監視する監視ステップ(S516またはS969)とを含む個人情報保護方法。
【0352】
(2) 前記識別情報は、サイト毎に使い分けるユーザの匿名(図11,図44(a)に示すトラップ型VP氏名)である。
【0353】
(3) コンピュータシステムを利用して、ネットワーク上での個人情報を保護する個人情報保護装置であって、
ユーザがネットワーク(広域・大容量中継網43)を通してアクセスし自己の個人情報を提供したサイトを特定するために用いる識別情報を特定可能な情報であって、前記個人情報を入手した者がその個人情報主であるユーザにメールを送る場合には該メールに含まれることとなる識別情報を特定可能な情報(匿名としてのトラップ型VP氏名,図44(a)のKSBとサイト名,サイト毎に使い分けるEメールアドレスやダイレクトメール用の住所)を格納する識別情報格納手段(データベース12a,EEPROM26)と、
前記個人情報を入手した者がその個人情報主であるユーザに対し送ったメール(Eメール,ダイレクトメール)に含まれている前記識別情報に基づいて特定される前記サイトと前記メールの送り主とが一致するか否かを判定して前記ユーザの個人情報の流通状態を監視する監視手段(S516,S522,S523)とを含む個人情報保護装置。
【0354】
(4) 前記監視手段は、前記識別情報に基づいて特定される前記サイトに前記ユーザが自己の個人情報を提供した際に承諾した当該個人情報の流通許容範囲内(XMLストア50のデータベース72に格納されているプライバシーポリシーによって特定される流通許容範囲内)に前記メールの送り主が含まれていない場合に不適正である旨の判定(S523によるNOの判定)を行なう。
【0355】
(5) コンピュータシステムを利用して、ネットワーク(広域・大容量中継網43)上での個人情報を保護する個人情報保護装置であって、
ユーザがネットワークを通してアクセスし自己の個人情報を提供したサイトを特定するために用いる識別情報を特定可能な情報であって、前記個人情報を入手した者がその個人情報主であるユーザにメール(Eメール,ダイレクトメール)を送る場合には該メールに含まれることとなる識別情報を特定可能な情報(匿名としてのトラップ型VP氏名,図44(a)のKSBとサイト名,サイト毎に使い分けるEメールアドレスやダイレクトメール用の住所)を格納する識別情報格納手段(S622,EEPROM26)と、
ユーザがネットワークを通してサイトにアクセスする際に、当該サイトを特定するために用いる識別情報が既に前記識別情報格納手段に格納されている場合には、当該格納されている識別情報を前記サイトに対して用いるための処理を行なう識別情報使用制御手段(S623〜S628)とを含む、個人情報保護装置。
【0356】
(6) ユーザと当該ユーザが用いる前記識別情報との対応関係を特定可能な情報を守秘義務のある所定機関(金融機関7)において登録する処理を行なうための登録処理手段(S440)を、前記個人情報保護装置がさらに含む。
【0357】
(7) 前記識別情報は、ユーザが前記サイト毎に使い分ける匿名(トラップ型VP氏名)である(図11参照)。
【0358】
(8) 前記個人情報保護装置は、前記ユーザが前記匿名を用いてネットワーク上で行動する際に使用する前記匿名用の電子証明書を発行する処理を行なうための電子証明書発行処理手段(S441)をさらに含んでいる。
【0359】
(9) 前記電子証明書は、ユーザと当該ユーザが用いる前記識別情報との対応関係を特定可能な情報を登録している守秘義務のある所定機関(金融機関7)により発行され、前記匿名を用いるユーザが当該所定機関において登録されているユーザであることを証明するものである。
【0360】
(10) 前記ユーザが前記匿名を用いてネットワーク上で行動する際の住所を、前記ユーザの住所とは異なる住所(コンビニエンスストア2の住所)に設定する処理を行なう住所設定手段(S11,S12)を、前記個人情報保護装置がさらに含んでいる。
【0361】
(11) 前記住所設定手段は、所定のコンビニエンスストアの住所を設定する(S11,S12参照)。
【0362】
(12) 前記個人情報保護装置は、前記ユーザが前記匿名を用いてネットワーク上で行動するべくサイトにアクセスする場合には、ユーザが実名(たとえば太郎)を用いてネットワーク上で行動した際にサイト側からユーザを識別するために送信されてきた識別データ(クッキー)を、アクセスするサイトに送信しないようにするための処理を行なう識別データ制御処理手段(S590〜S602)をさらに含む。
【0363】
(13) 前記識別データ制御処理手段は、
前記匿名を用いてアクセスしたサイト(たとえばMTT,MEC等)から送られてきた前記識別データ(クッキー)のみを当該匿名専用の識別データとして格納する匿名対応識別データ格納手段(S595,S276,EEPROM26のクッキーデータ記憶領域(図11参照))と、
以降ユーザが前記匿名を用いて当該匿名により特定される前記サイトにアクセスする場合に、前記匿名対応識別データ格納手段を検索して当該匿名に対応する識別データを割出し、該識別データを前記サイトへ送信する識別データ検索送信手段(S623〜S628)とを含んでいる。
【0364】
(14) 前記個人情報保護装置は、
ユーザが前記匿名を用いてネットワーク上で行動した場合の行動履歴(どのサイトにアクセスしたか等のアクセス履歴等)をどの匿名を用いて行動したかを特定できる態様で格納する行動履歴データ格納手段(データベース12a(図4参照))と、
ユーザが前記匿名を用いてアクセスしたサイト側から、前記ユーザの他の匿名を用いてのネットワーク上での行動履歴データの提供を求められた場合に、前記行動履歴データ格納手段を検索して前記他の匿名を用いての行動履歴データを前記サイトへ提供するための処理を行なう行動履歴データ提供処理手段(S530〜S546)とをさらに含む。
【0365】
(15) 前記個人情報保護装置は、前記行動履歴データ提供処理手段に対し匿名を通知して該匿名を用いたユーザの他の匿名を用いてのネットワーク上での行動履歴データの提供を要求された場合に(ユーザの氏名が送信されてきてS535によりYESの判断がなされた場合に)、該要求者と前記通知された匿名に基づいて特定される前記サイトとが一致するか否かを判定して前記ユーザの個人情報の流通状態を監視する監視手段(S548)をさらに含む。。
【0366】
(16) 前記個人情報保護装置は、あるユーザによって使用された複数種類の匿名のための共通のクレジット番号(VP本名のクレジット番号)を各匿名から割出し可能な態様で格納するための処理を行なうクレジット番号格納処理手段(S438〜S440)と、
ユーザが前記匿名を用いてネットワーク上でクレジット決済を行なった場合に、クレジット会社からの当該匿名に対応するクレジット番号の有無の問合せを受付け、前記クレジット番号登録処理手段により登録されたクレジット番号を検索して前記問合せのあった匿名に対するクレジット番号の有無を判別し、その判別結果を前記クレジット会社に通知するための処理を行なう通知手段(S560〜S574)とを含んでいる。
【0367】
(17) 前記個人情報保護装置は、ユーザが前記匿名によりネットワーク上で行動する際の当該匿名宛の電子メールを受付け、該電子メールを当該匿名に対応するユーザが閲覧可能な電子メールアドレスに転送する、匿名宛電子メール転送手段(S514〜S522)をさらに含む。
【0368】
(18) 前記個人情報保護装置は、前記匿名宛電子メール転送手段が受付けた前記電子メールの宛名である匿名に基づいて特定される前記サイトと前記受付けた電子メールの送り主とが一致するか否かを判定して前記ユーザの個人情報の流通状態を監視する監視手段をさらに含む。
【0369】
(19) 前記監視手段は、複数のユーザに対し適正であるか否かの判定サービスを行なう所定機関(金融機関7)に設置され、該所定機関には、前記監視手段による監視結果を集計してサイト毎の個人情報に関する信頼度を算出する信頼度算出手段(S550,S551)と、
該信頼度算出手段により算出された信頼度情報を提供する信頼度情報提供手段(S553)とが備えられている。
【0370】
(20) 前記匿名は、当該匿名を用いるサイトの名称を、当該匿名を用いるユーザが使用できる鍵(秘密鍵)で暗号化または復号化したものである。
【0371】
(21) ネットワーク(広域・大容量中継網43)上での個人情報を保護するためのプログラムであって、
プロセッサ(CPU24)に、
ユーザがネットワークを通してアクセスし自己の個人情報を提供したサイトを特定するために用いる識別情報を特定可能な情報であって、前記個人情報を入手した者がその個人情報主であるユーザにメール(Eメール,ダイレクトメール)を送る場合には該メールに含まれることとなる識別情報を特定可能な情報(トラップ型VP氏名,図44(a)に示すKSBとサイト名,サイト毎に使い分けるEメールアドレスやダイレクトメール用の住所)をメモリ(EEPROM26)に記憶させる識別情報記憶手段(S622)と、
ユーザがネットワークを通してサイトにアクセスする際に、当該サイトを特定するために用いる識別情報が既に前記メモリに記憶されている場合には、当該記憶されている識別情報を前記サイトに対し用いるための処理を行なう識別情報使用制御手段(S625〜S627)と、
して機能させるためのプログラム。
【0372】
(22) 前記識別情報は、ユーザがサイト毎に使い分ける匿名(トラップ型VP氏名)であり、
プロセッサに、さらに、
前記ユーザが前記匿名を用いてネットワーク上で行動するべくサイトにアクセスする場合には、ユーザが実名(たとえば太郎)を用いてネットワーク上で行動した際にサイト側からユーザを識別するために送信されてきた識別データ(クッキー)を、アクセスするサイトに送信しないようにする処理を行なう識別データ制御処理手段(S623〜S628)として機能させる。
【0373】
(23) 前記識別データ制御処理手段は、
前記匿名を用いてアクセスしたサイトから送られてきた前記識別データ(クッキー)のみを当該匿名専用の識別データとしてメモリに記憶させる匿名対応識別データ記憶手段(S622)と、
以降ユーザが前記匿名を用いて当該匿名により特定される前記サイトにアクセスする場合に、前記メモリを検索して当該匿名に対応して格納されている識別データを割出し、該識別データを前記サイトへ送信するための処理を行なう識別データ検索送信処理手段(S625〜S627)とを含む。
【0374】
(24) ネットワーク(広域・大容量中継網43)上で個人情報を保護するためのプログラムであって、
プロセッサ(CPU24)に、
ユーザがネットワークを通してアクセスするサイトに対し、当該サイトの名称を当該ユーザが使用できる鍵(秘密鍵KSB)により暗号化または復号化して生成した匿名(トラップ型VP氏名)を使用し、匿名宛の電子メールを受信した場合に、当該電子メールの宛名である匿名を鍵(公開鍵KPB)により復号化または暗号化して平文のサイトの名称に戻す変換手段(S969)と、
して機能させるためのプログラム。
【0375】
(25) プロセッサ(CPU24)に、さらに、
前記変換手段により変換されたサイトの名称と前記受信した電子メールの送り主の名称とが一致するか否かを判定して前記ユーザの個人情報の流通状態を監視する監視手段(S969、S968)として機能させる、プログラム。
【0376】
本発明は、前述した(1)〜(25)のみに限定されるものではなく、(1)〜(25)の中から任意に2つ以上選択したものの組合せも、本発明の解決手段である。
【0377】
【課題を解決するための手段の具体例の効果】
ユーザの個人情報を入手した者がその個人情報主であるユーザに対し送ったメールに含まれている識別情報に基づいて、当該個人情報を提供したサイトが特定され、そのサイトと前記メールの送り主とが一致するか否かが判別されるようにした場合には、個人情報の提供を受けたサイトが他の業者にその個人情報を流通させてその個人情報を受取った業者から当該個人情報のユーザに対しメールが送られた場合に、そのメールに含まれている識別情報に基づいて特定されるサイトとそのメールの送り主である業者の名前とが一致しないこととなる。その結果、ユーザの個人情報の第1譲渡先のサイトから他の業者にその個人情報が譲ったことが判別可能となる。
【0378】
前記識別情報がサイト毎に使い分けられるユーザの匿名の場合には、個人情報を入手した業者がユーザを特定するのにその匿名を用い、その匿名からは当該ユーザの個人情報の第1譲渡先であるサイト名が特定できる。
【0379】
識別情報に基づいて特定されるサイトにユーザが自己の個人情報を提供した際に承諾した当該個人情報の流通許容範囲内にメールの送り主が含まれていない場合に不適正である旨の判定が行なわれるようにした場合には、個人情報の譲渡時のユーザの個人情報流通許容範囲の承諾をも考慮した適否判定が可能となる。
【0380】
ユーザがネットワークを通してサイトにアクセスする際に、当該サイトを特定するために用いる識別情報が既に用いられている場合に、その識別情報を前記サイトに対して用いるための処理が行なわれるために、同じサイトに対して複数種類の識別情報を用いる無駄を省くことができる。
【0381】
ユーザとそのユーザが用いる前記識別情報との対応関係を特定可能な情報が守秘義務のある所定機関に登録された場合には、たとえばユーザと業者側との間において、ユーザと前記識別情報との対応関係をめぐるトラブルが発生した場合に、所定機関に登録されている対応関係の情報を参照することが可能となる。
【0382】
前記匿名用の電子証明書が発行された場合には、ユーザがたとえば売買を行なう際に相手側にその電子証明書を提示して匿名として売買を行なうことが可能となり、ユーザが匿名を用いて法律行為を行なうことが可能となる。
【0383】
ユーザが匿名を用いてネットワーク上で行動する際の住所が、当該ユーザの住所とは異なる住所に設定されれば、その住所を手掛かりにある匿名とあるユーザとが同一人物であることを突き止められてしまう不都合を極力防止することができる。
【0384】
ユーザが匿名を用いてネットワーク上で行動する際の住所がコンビニエンスストアの住所であれば、匿名を用いてたとえば電子ショッピング等を行なった場合の商品の届出先がそのコンビニエンスストアとなり、ユーザが匿名としてその商品を引取りに行く際の利便性が向上する。
【0385】
ユーザが匿名を用いてネットワーク上で行動するべくサイトにアクセスする場合には、ユーザが実名を用いてネットワーク上で行動した際にサイト側からユーザを識別するために送信されてきた識別データを、アクセスするサイトに送信しないようにするための処理が行なわれた場合には、その識別データを手掛かりにある匿名とあるユーザとが同一人物であることが見破られてしまう不都合を極力防止することができる。
【0386】
匿名を用いてアクセスしたサイトから送られてきた前記識別データのみが当該匿名専用の識別データとして格納され、以降ユーザが前記匿名を用いて当該匿名により特定されるサイトにアクセスする場合に、その匿名に対応する識別データが前記サイトへ送信されるようにした場合には、識別情報を手掛かりにある匿名と他の匿名とが同一人物であることが見破られてしまう不都合を極力防止することができる。
【0387】
その際に、ユーザが匿名を用いてアクセスしたサイト側から、ユーザの他の匿名を用いての行動履歴データを前記サイトへ提供できるようにした場合には、識別データを手掛かりにある匿名と他の匿名とが同一人物であることを見破られる不都合を防止できながらも、同一人物に関するネットワーク上の行動履歴データをサイト側に提供して、その行動履歴データに基づいたよりカスタマイズされたユーザ好みの情報やサービスをユーザ側に提供しやすくなる。
【0388】
ユーザが匿名を用いてネットワーク上でクレジット決済を行なった場合に、クレジット会社から当該匿名に対応するクレジット番号の有無の問合せを受け、その匿名のための共通のクレジット番号が検索されて、問合せのあった匿名に対応するクレジット番号の有無が判別され、その判別結果がクレジット会社に通知されるために、複数種類の匿名のための共通のクレジット番号までクレジット会社に登録しておく必要がなくなり、その共通のクレジット番号を手掛かりにある匿名と他の匿名とが同一人物であることを見破られる不都合が極力防止できる。
【0389】
ユーザが匿名によりネットワーク上で行動する際の当該匿名宛の電子メールが受付けられてその電子メールが当該匿名に対応するユーザが閲覧可能な電子メールアドレスに転送されるために、電子メールアドレスを手掛かりにある匿名と他の匿名とが同一人物であることを見破られる不都合を極力防止することができる。
【0390】
その匿名宛の電子メールの転送の際に、その電子メールの宛名である匿名に基づいて特定されるサイトとその電子メールの送り主とが一致するか否かを判定してユーザの個人情報の流通状態が監視されるために、電子メールの転送時に自動的に監視がなされてユーザの利便性が向上する。
【0391】
信頼度算出手段により算出されたサイト毎の個人情報に関する信頼度が提供されれば、ユーザがサイトに対し個人情報を提供する際の判断基準となり、ユーザの利便性が向上する。
【0392】
ユーザが使用できる鍵でサイトの名称を暗号化または復号化したものを、当該サイトに用いる匿名にした場合には、業者側から送られてきたメールの宛名である匿名を、鍵により復号化または暗号化することによってサイト名に変換することができる。
【図面の簡単な説明】
【図1】 個人情報保護システムの全体構成を示す概略システム図である。
【図2】 (a)は会社の概略構成を示し、(b)はユーザ宅の概略構成を示す図である。
【図3】 金融機関に設置されたデータベースに記憶されている各種データを示す説明図である。
【図4】 金融機関に設置されたデータベースに記憶されている各種データを示す説明図である。
【図5】 金融機関に設置されたデータベースに記憶されている各種データを示す説明図である。
【図6】 金融機関に設置されているデータベースに記憶されている各種データを示す説明図である。
【図7】 XMLストアのデータベースに記憶されている各種データを示す説明図である。
【図8】 コンビニエンスストアに設置されているデータベースに記憶されている各種情報を説明するための説明図である。
【図9】 ユーザ端末の一例としてのブラウザフォンを示す正面図である。
【図10】 ユーザに携帯されるVP用IC端末の回路を示すブロック図および記憶情報の内訳を示す図である。
【図11】 VP用IC端末のクッキーデータ記憶領域に記憶されているクッキーデータの内訳を示す図である。
【図12】 VP管理サーバの処理動作を示すフローチャートである。
【図13】 (a)はVP管理サーバの処理動作を示すフローチャートであり、(b)は個人情報の登録処理のサブルーチンプログラムを示すフローチャートである。
【図14】 トラップ情報の登録処理のサブルーチンプログラムを示すフローチャートである。
【図15】 個人情報の確認処理のサブルーチンプログラムを示すフローチャートである。
【図16】 個人情報の照合,流通チェックのサブルーチンプログラムを示すフローチャートである。
【図17】 (a)は個人情報の照合,流通チェックのサブルーチンプログラムを示すフローチャートであり、(b)は個人情報の販売代行のサブルーチンプログラムを示すフローチャートである。
【図18】 メール転送,流通チェックのサブルーチンプログラムを示すフローチャートである。
【図19】 他のトラップ型VPのアクセス履歴の提供処理のサブルーチンプログラムを示すフローチャートである。
【図20】 信頼度ランキング情報の集計,提供処理のサブルーチンプログラムを示すフローチャートである。
【図21】 認証用サーバの処理動作を示すフローチャートである。
【図22】 決済サーバの処理動作を示すフローチャートである。
【図23】 決済処理のサブルーチンプログラムを示すフローチャートである。
【図24】 (a)は決済処理のサブルーチンの一部を示し、(b)は正当機関証明処理のサブルーチンプログラムを示すフローチャートである。
【図25】 クレジットカード発行会社からの問合せ処理のサブルーチンプログラムを示すフローチャートである。
【図26】 ブラウザフォンの処理動作を示すフローチャートである。
【図27】 VP用クッキー処理のサブルーチンプログラムを示すフローチャートである。
【図28】 (a)は住所,氏名,Eメールアドレスの送信処理のサブルーチンプログラムを示すフローチャートであり、(b)はRP用のクッキー処理のサブルーチンプログラムを示すフローチャートである。
【図29】 VP出生依頼処理のサブルーチンプログラムを示すフローチャートである。
【図30】 (a)は正当機関チェック処理のサブルーチンプログラムを示すフローチャートであり、(b)は電子証明書発行要求処理のサブルーチンプログラムを示すフローチャートである。
【図31】 (a)はVP用入力処理のサブルーチンプログラムを示すフローチャートであり、(b)はRP用入力処理のサブルーチンプログラムを示すフローチャートである。
【図32】 SETによる決済処理の概要を説明するための説明図である。
【図33】 VP用決済処理のサブルーチンプログラムを示すフローチャートである。
【図34】 (a)は本人証明処理のサブルーチンプログラムを示すフローチャートであり、(b)はVP用決済処理のサブルーチンプログラムの一部を示すフローチャートである。
【図35】 VP用決済処理のサブルーチンプログラムの一部を示すフローチャートである。
【図36】 (a)はVP用Webブラウザ,メール処理のサブルーチンプログラムを示すフローチャートであり、(b)は偽RPアクセス処理のサブルーチンプログラムを示すフローチャートである。
【図37】 (a)はVP用IC端末の処理動作を示すフローチャートであり、(b)はRP用IC端末の処理動作を示すフローチャートである。
【図38】 (a)は暗証番号チェック処理のサブルーチンプログラムを示すフローチャートであり、(b)はクッキー処理(VP用)のサブルーチンプログラムを示すフローチャートであり、(c)は本人証明処理(VP用)のサブルーチンプログラムを示すフローチャートであり、(d)は本人証明処理(RP用)のサブルーチンプログラムを示すフローチャートである。
【図39】 (a)はデータ入力処理のサブルーチンプログラムを示すフローチャートであり、(b)はユーザエージェント動作処理のサブルーチンプログラムを示すフローチャートであり、(c)はリロード金額の使用処理のサブルーチンプログラムを示すフローチャートであり、(d)はRP署名処理のサブルーチンプログラムを示すフローチャートであり、(e)はVP署名処理のサブルーチンプログラムを示すフローチャートである。
【図40】 その他の動作処理のサブルーチンプログラムを示すフローチャートである。
【図41】 トラップ型VP処理のサブルーチンプログラムを示すフローチャートである。
【図42】 コンビニサーバの処理動作を示すフローチャートである。
【図43】 (a)は暗証番号チェック処理のサブルーチンプログラムを示すフローチャートであり、(b)は本人チェック処理のサブルーチンプログラムを示すフローチャートであり、(c)は決済処理のサブルーチンプログラムを示すフローチャートである。
【図44】 別実施の形態を示し、(a)は、VP用IC端末に記憶されているトラップ情報であり、(b)は、トラップ型VP処理のサブルーチンプログラムを示すフローチャートであり、(c)は、VP用IC端末の制御動作を示すフローチャートである。
【符号の説明】
Iはインターネット、43は広域・大容量中継網、1はサプライヤ群、4はクレジットカード発行会社群、7は金融機関群、5は加盟店契約会社群、50はXMLストア、2はコンビニエンスストア群、45は会社群、30はブラウザフォン、54は携帯電話網、55は基地局、47はユーザ宅、9はVP管理サーバ、10は決済サーバ、11は認証用サーバ、12a,12bはデータベース、72はデータベース、75はデータベース、19VはVP用IC端末、19RはRP用IC端末、18はUSBポート、26はEEPROM、33は支払承認部、34は支払要求部である。
[0001]
BACKGROUND OF THE INVENTION
  The present invention protects personal information on a network using a computer system.IndividualPersonal information protection equipmentIn placeRelated.
[0002]
[Prior art]
Conventionally, when a user accesses a site through a network and takes some action on the network such as shopping, the site is requested to transmit personal information such as the name, age, or preference information of the user. There is a case.
[0003]
  In such a case, Japanese Patent Application Laid-Open No. 11-250165 discloses an information transfer that is safely and correctly authorized in a safe state while maintaining personal privacy. In the device described in this patent document, the first data storage includes static identification data regarding the user. The second data store contains reasonably dynamic personal data about the user. The third data store includes dynamic real demographic information data about the user. An electronic wallet can be used in the above system to download selected portions of data for use by the user. The data can be used to fill forms, provide services to users, and allow shop owners to selectively define users for sale while maintaining user anonymity.
[0004]
[Problems to be solved by the invention]
  The present inventionofMy goal is,Information that can specify the correspondence between the user and the identification information used by the user (for example, the anonymous user who is used for each site) is registered in a predetermined organization with a confidentiality obligation. When a trouble related to the correspondence between the identification information and the identification information occurs, it is possible to refer to the information on the correspondence registered in a predetermined organization. In addition, it is to provide action history data on the network relating to the same person to the site side, and to make it easier for the user to provide user-customized information and services based on the action history data.
[0008]
[Means for Solving the Problems]
  The present invention according to claim 1 is a personal information protection device for protecting personal information on a network using a computer system,
  Virtual person identification data generating means for generating virtual person identification data for identifying a virtual person different from real person identification data for identifying and identifying a real person in the real world;
  Registration means for performing processing for registering information capable of specifying a correspondence relationship between the identification data for virtual person generated by the identification data for virtual person and the identification data for real person in a predetermined organization having a confidentiality obligation; ,
  When the user who is the real person acts on the network as the virtual person and accesses the website, the virtual person identification data corresponding to the user is sent to the web in response to a request for information identifying the user. Providing means to the site vendors;
  Personal information storage means for storing the action history information of each of the plurality of users as personal information of each user;
  Personal information provision control means for performing control for providing personal information stored in the personal information storage means,
  The virtual person identification data generated by the virtual person identification data generating means is identification data for identifying the virtual person when the user who is the real person acts on the network as the virtual person. , Identification data that cannot be used by the website vendor to identify the real person,
  The virtual person identification data generating means generates first virtual person identification data dedicated to the first website that is repeatedly used every time a user accesses the first website. Generating second virtual person identification data dedicated to the second website that is repeatedly used every time a user accesses the second website;
  The registration unit registers, for each user, information that can identify a correspondence relationship between the identification data for the real person, the identification data for the first virtual person, and the identification data for the second virtual person,
  The providing means provides the first virtual person identification data generated by the virtual person identification data generating means to a vendor of the first website and is generated by the virtual person identification data generating means. By providing the second virtual person identification data to the second website vendor, the virtual person identification data is provided separately.
  The personal information provision control means includes
    When providing personal information of the user to the first website, including permission determination means for determining whether or not to permit the provision of the personal information to a vendor of the first website,
    If it is determined by the permission determination means that the permission can be granted, action history information on a website other than the first website of the user corresponding to the personal information is provided to the trader of the first website.
[0009]
  The present invention according to claim 2 is a personal information protection device for protecting personal information on a network using a computer system,
  Virtual person identification data generating means for generating virtual person identification data for identifying a virtual person different from real person identification data for identifying and identifying a real person in the real world;
  Registration means for performing processing for registering information capable of specifying a correspondence relationship between the identification data for virtual person generated by the identification data for virtual person and the identification data for real person in a predetermined organization having a confidentiality obligation; ,
  When the user who is the real person acts on the network as the virtual person and accesses the website, the virtual person identification data corresponding to the user is sent to the web in response to a request for information identifying the user. Providing means to the site vendors;
  Personal information storage means for storing personal information of each of the plurality of users;
  Personal information provision control means for performing control for providing personal information stored in the personal information storage means,
  The virtual person identification data generated by the virtual person identification data generating means is identification data for identifying the virtual person when the user who is the real person acts on the network as the virtual person. , Identification data that cannot be used by the website vendor to identify the real person,
  The virtual person identification data generating means generates first virtual person identification data dedicated to the first website that is repeatedly used every time a user accesses the first website. Generating second virtual person identification data dedicated to the second website that is repeatedly used every time a user accesses the second website;
  The registration unit registers, for each user, information that can identify a correspondence relationship between the identification data for the real person, the identification data for the first virtual person, and the identification data for the second virtual person,
  The providing means provides the first virtual person identification data generated by the virtual person identification data generating means to a vendor of the first website and is generated by the virtual person identification data generating means. By providing the second virtual person identification data to the second website vendor, the virtual person identification data is provided separately.
  When the personal information provision control means provides personal information of one user to a merchant of the first website or a merchant of the second website, the one user and the first web site Personal information is provided in accordance with permission conditions individually set for the second website.
[0010]
  The present invention according to claim 3 provides:In addition to the configuration of the invention described in claim 1 or 2, when the real person acts as a virtual person on the network and performs an illegal act, the registration means corresponds to the real person. The registration process is performed so that a person can be determined using information that can identify the correspondence.
[0011]
  The present invention according to claim 4 provides:Any one of claims 1 to 3In addition to the configuration of the invention described inRequest accepting means for accepting a notification of virtual person identification data from a supplier of the first website and accepting a request for action history information on another website of the user corresponding to the virtual person identification data;
  It is determined whether or not the virtual person identification data received by the request receiving means is the virtual person identification data used for the first website, and the distribution state of the personal information of the user is monitored. Monitoring means.
[0014]
  Claim5The present invention described inIn addition to the configuration of the invention according to any one of claims 1 to 4, the virtual person identification data includes code data as anonymity that a user uses for each of the websites.
[0015]
  Claim6The present invention described in, ContractClaimTo 5In addition to the structure of the described invention,It further includes electronic certificate issuance processing means for performing processing for issuing the anonymous electronic certificate used when the user acts on the network using the anonymity.
[0016]
  Claim7The present invention described in claim6In addition to the configuration of the invention described inThe electronic certificate is issued by a predetermined confidentiality organization that registers information that can identify the correspondence between the identification data for the real person and the identification data for the virtual person. It proves that the user is registered at a predetermined organization.
[0027]
  Claim8The present invention described in claim5~ Claim7In addition to the configuration of the invention described in any of the above,The code data as the anonymity is obtained by encrypting or decrypting a name of a website using the anonymity with a key that can be used by a user using the anonymity.
  According to a ninth aspect of the present invention, in addition to the configuration of the invention according to any one of the first to eighth aspects, the user himself / herself is specified from the personal information among the plurality of personal information of the user. Specific personal information determination means for determining whether or not specific personal information is included;
  When the specific personal information determination means determines that the specific personal information is included, it further includes a personal information processing means for processing the specific personal information so that the user cannot be identified.
  The providing means provides the personal information after being processed by the personal information processing means.
  According to a tenth aspect of the present invention, in addition to the configuration of the invention according to any one of the first to ninth aspects, the user accesses the website as a real person and provides the identification data for the real person After receiving the first cookie transmitted to identify the user from the website side, the same user accesses the same website as a virtual person and provides the virtual person identification data from the website side. When the second cookie transmitted to identify the first cookie is received, the first cookie and the second cookie are distinguished and stored, and thereafter the same user accesses the same website as the virtual person. , Transmission control for preventing transmission of the first cookie to the website and transmitting the second cookie to the website Further comprising a stage.
[0033]
DETAILED DESCRIPTION OF THE INVENTION
Next, embodiments of the present invention will be described in detail with reference to the drawings. FIG. 1 shows a network system using broadband, and is a configuration diagram showing an outline of the entire personal information protection system. Through the wide area / large capacity relay network 43, the credit card issuing company group 4, the member store contract company group 5, the receiving station 42, the member store group 6, the supplier group 1, the NM group (New Middleman group) 48, the electronic administration group 49, XML store 50, content provider group 51, signal 52, gateway 53 connected to mobile phone network 54, Internet I, user home 47, certificate authority group 46, convenience store group 2, company group 45, data center 44, broadcasting station 41, the financial institution group 7 and the like are configured to transmit and receive information. In the figure, reference numeral 40 denotes a satellite (satellite) for relaying broadcast radio waves from the broadcast station 41 and sending radio waves to the receiving station 42.
[0034]
The credit card issuer group 4 is a card issuer that exhibits a function as an issuer when making a settlement by, for example, SET (Secure Electronic Transaction). The member store contract company group 5 is a company composed of a financial institution or the like with which the member store group 6 constituting the electronic mall or the like has a contract, and is an organization that functions as an AQUAIRA in SET. The supplier group 1 is a product manufacturer or the like and is an organization that provides products and information. The NM group 48 is a service provider that mediates between the supplier group 1 and consumers (natural persons or corporations) and supports consumer behavior such as shopping for consumers. While conventional dealers such as wholesalers and trading companies provide sales support for suppliers, the NM group 48 differs in that it provides consumer purchase support (consumption behavior support). As a specific example of the NM group 48, consumer preference information, purchase history information, and website access history information are stored as a database, and based on the stored consumer profile information (personal information) This applies to service providers who recommend product information that matches consumers and help consumers' consumption behavior.
[0035]
The electronic administration group 49 is an electronic version of administration such as a city hall, tax office or central government office. The XML store 50 is a database that stores data in a unified data structure by XML and provides predetermined data to a data requester as necessary. The XML store 50 stores various personal information of users and user agents (including knowledge data for agents). When there is an access to the XML store 50 from the financial institution group 7 or a user, it is configured so that necessary data can be provided after performing personal authentication and maintaining security. The content provider group 51 is a group of suppliers that provide various contents such as video, text, and sound through a network. A traffic light 52 for traffic control is also connected to a wide area / large capacity relay network 43 and configured to be remotely controlled.
[0036]
The radio waves of the browser phone (next-generation mobile phone) 30 are transmitted to the base station 55 connected to the mobile phone network 45, and the base station 55, the mobile phone network 45, the gateway 53, and the wide area / large capacity relay network 43 are transmitted. Via the financial institution group 7, member store group 6, NM group 48, electronic administration group 49, XML store 50, content provider group 51, and the like. Similarly, the vehicle 56 is configured to be accessible to various service providers and various institutions via the base station 55, the mobile phone network 54, the gateway 53, and the wide area / large capacity relay network 54.
[0037]
The certification authority group 46 is an organization that issues an electronic certificate after authenticating a person who wishes to issue an electronic certificate. The data center 44 is an organization that stores and manages various data distributed by radio waves from the broadcasting station 41. When a user requests transmission of predetermined information to a member store group 6, a supplier group 1, an NM group 48, an electronic administration group 49, a content provider group 51 and the like, Data distributed by an institution or service provider is temporarily stored in the data center 44, and when the predetermined date and time arrives, the data is distributed from the broadcasting station 41 through radio waves, and the data received by the receiving station 42 is transmitted to a predetermined user. Distributed over a wide area / large capacity relay network 43.
[0038]
1 are wireless LAN, CATV, satellite, xDSL (digital subscriber line), FTTH (fiber to the home), and the like.
[0039]
In the present embodiment, not only the certification authority group 46 but also the financial institution group 7 issues an electronic certificate. In FIG. 1, reference numeral 19 denotes an IC terminal carried by the user, which stores user profile information (personal information) and the like as will be described later.
[0040]
FIG. 2A shows an example of the company group 45 shown in FIG. 1, and FIG. 2B shows an example of the user home 47 shown in FIG.
[0041]
An in-house LAN is built in the company 45, and a personal computer 57, a vending machine 58, a server 59, a database 60, a notebook personal computer 62, and a facsimile 61 are connected so that information can be exchanged.
[0042]
The browser phone 30 is configured to be able to directly transmit / receive to / from the personal computer 57, the vending machine 58, the server 59, and other browser phones 30 using Bluetooth. The data center 44 described above encrypts and stores information that requires security among information such as contents to be distributed, and broadcasts the encrypted information as it is when distributing the encrypted information. Distributed from the station 41 by radio waves. On the other hand, in addition to personal information, the IC terminal 19 is provided with security functions such as a key for authenticating a user who is the owner of the IC terminal 19 and an encryption algorithm. The encrypted information distributed from the broadcasting station 41 and transmitted to the in-house LAN in the company 45 via the wide area / large capacity relay network 43 or the like is stored in the key and algorithm stored in the IC terminal 19. It is comprised so that it can decode by.
[0043]
Further, by connecting the IC terminal 19 to the browser phone 30, the transmitted information is received by the browser phone 30, and the encrypted information is decrypted by the IC terminal 19 and displayed as original information such as plain text. be able to. When the IC terminal 19 is connected to the browser phone 30, the call can be further encrypted and transmitted / received. If the browser phone 30 receives the encrypted call, the IC phone 19 can return to the original call even if it is decrypted in real time, and the call can be played from the speaker.
[0044]
By connecting the IC terminal 19 to the facsimile 61, the data transmitted / received by the facsimile 61 can be encrypted. If the facsimile 61 receives the encrypted data, the IC terminal 19 can decrypt it and return it to the original data such as plain text for printing out.
[0045]
A set box 63, a television 67, a personal computer 68, a lighting 64, a refrigerator 69, an air conditioner 65, a telephone 66, an electronic lock 70, and the like are connected to the RAN of the user home 47 in FIG.
[0046]
2, personal computer 57, vending machine 58, server 59, facsimile 61, notebook personal computer 62, set box 63, television 67, personal computer 68, lighting fixture 64, refrigerator 69, air conditioner 65, telephone 66, electronic lock 70, etc. are assigned URLs, and each device can be accessed by accessing the URL (Uniform Resource Locator) from outside via the wide area / large capacity relay network 43, etc. It is configured. Each device can be accessed and the current status of the device can be checked or remotely operated from the outside. For example, when the electronic lock 70 is not locked, the air conditioner 65 is locked by remote operation or the air conditioner 65 is accessed and about 10 minutes before the user returns to the user home 47. Can be set to operate.
[0047]
FIG. 3 is an explanatory diagram for explaining the financial institution 7. The financial institution 7 includes a VP management server 9, a settlement server 10, an authentication server 11, and databases 12a and 12b. The VP management server 9 is a server for managing a virtual person (hereinafter simply referred to as “VP”) as a virtual person. A VP is a virtual person who acts on a network that does not exist in the real world. When a real person who is a real person in the real world (hereinafter simply referred to as “RP”) acts on the network, It is a virtual person born to impersonate a VP and be able to act as that VP.
[0048]
As will be described later, if there is a VP birth request from the RP, the VP management server 9 determines predetermined information such as the name and address of the VP, creates a VP, and stores the VP data in the database 12a. It has a function to keep. The VP management server 9 also has a function of creating and issuing a VP electronic certificate. When the VP performs a legal action such as buying and selling or settlement, the electronic certificate can be transmitted to the other party, so that the legal action can be performed independently while being a virtual person.
[0049]
The authentication server 11 has a function of creating and issuing an electronic certificate for RP. The settlement server 10 installed in the financial institution 7 performs processing for performing settlement using electronic money or debit card as a VP as well as settlement using electronic money or debit card by RP. It also has a function.
[0050]
The database 12a stores data related to RP and VP. The database 12b stores data for managing sites (traders) connected to the wide area / large capacity relay network 43 and the Internet I.
[0051]
As shown in FIG. 3, the database 12a stores the name, address, authentication key KN, public key KT, account number, and the like of the RP as RP data. The authentication key is a key for performing personal authentication by a common key encryption method when the RP accesses the financial institution 7. A public key is a key used for a public key cryptosystem and is a key paired with a secret key. The account number is an account number established by the RP in the financial institution 7.
[0052]
The trap information is information for setting a trap (i.e., a trap) in order to determine a criminal who has performed personal information collected illegally by the site (trader). For example, when the VP assigns his / her personal information to a certain site (first assignee), the name unique to the first assignee is used. In other words, the VP has a plurality of types of names and uses them for each site (trader). Such a VP name is referred to as a trap type VP name for convenience. In this way, when direct mail or e-mail is sent from the trader side, the address of the mail should be the trap type VP name. The sent site (trader) is a site (trader) that is different from the first transfer destination calculated from the trap-type VP name and exceeds the disclosure allowable range (distribution allowable range) of the transferred personal information. If this happens, the personal information is illegally disclosed (distributed) by the first transferee. In this way, the first transfer destination that has performed unauthorized distribution (illegal disclosure) can be determined from the trap type VP name.
[0053]
In FIG. 3, Jiro has the second trap information, the third trap information, the second personal information, the third personal information, and two pieces of information. When Jiro is acting on the network, these two types of VP information are registered in the financial institution 7 in order to act using the two VPs properly. As will be described later, the VP address is an address of the convenience store 2 desired by the RP or close to the RP address. As a result, the delivery destination of the product when electronic shopping is performed as a VP is delivered to the convenience store 2 that is the address of the VP. The RP can impersonate the delivered product as a VP and go to the convenience store 2 to collect the product. In this way, it is possible to prevent the inconvenience that the correspondence between VP and RP is overlooked using the address as a clue.
[0054]
Details of the trap information shown in FIG. 3 are shown in FIG. The trap information of the first trap information, the second trap information,... Includes a name (trap type VP name), a public key, an e-mail address, a virtual account number, and a virtual credit number for each site name. For example, when the VP accesses the site name (trader name) ABC, it uses the VP's real name B13P, the VP's private key KSB and the pair's public key KPB ', and the VP's real email address. A certain □□ × Δ × is used, 2503 which is a real account number of VP is used, and 3288 which is a real credit number of VP is used.
[0055]
On the other hand, when accessing the site name (trader name) MTT, E (B13P) obtained by encrypting the real name of the VP once with the private key of the VP is used as the trap type VP name. As the secret key, the VP real secret key KSB is encrypted once with the VP real secret key KSB.KSB(KSB) is used. This secret key EKSBThe public key KPB for (KSB) is stored in the database 12a. As the e-mail address, the e-mail address ΔΔΔΔΔ established by the financial institution 7 for the trap type VP is used. As the account number, E (2503) obtained by encrypting the real account number of the VP once with the real secret key of the VP is used as the virtual account number. As the credit number, E (3288) obtained by encrypting the real credit number of the VP once with the real secret key of the VP is used.
[0056]
Furthermore, when accessing the site name (trader name) MEC, the VP real name is encrypted twice with the VP private key.2(B13P) is used as the trap type VP name.
[0057]
VP is trap type VP name E2When acting on the network using (B13P), the twice-encrypted secret key E obtained by encrypting the secret key KSB twice with the secret key KSB2 KSB(KSB) is used. The public key paired with the twice-encrypted private key is KPB ″. As the e-mail address, ΔΔΔΔΔ established by the financial institution 7 as the e-mail address for the trap type VP is used. The virtual account number is an E that encrypts the VP's real account number twice with a private key.2(2503) is used. The credit number is a virtual credit number E obtained by encrypting the VP's real credit number twice with the VP's private key.2(3288) is used.
[0058]
In this way, the number of times the trap information is encrypted differs for each site name. The personal information provided to the site side (the trader side) is finally returned in the form of e-mail or direct mail mainly after the personal information is distributed on the network. The purpose of this trap information is to make it possible to trace a criminal who has illegally distributed personal information by setting a trap using this personal information feedback loop. In other words, it is the reverse of the tracking cookie that tracks the user on the net.
[0059]
FIG. 5 is a diagram for explaining the personal information of the VP shown in FIG. Each personal information of the first personal information, the second personal information, the third personal information,... Is composed of a plurality of types of personal information A, personal information B,. For example, the personal information A is the age, sex, occupation, annual income, etc. of the VP, and the personal information B is information regarding the preference of the VP.
[0060]
As shown in FIG. 5, each personal information is given a digital signature with the private key KS of the financial institution 7. For example, the personal information A of the first personal information is a digital signature D with respect to the personal information itself of XXKS(○○ △) is attached.
[0061]
As will be described later, each personal information stored in the database 12a is checked by the financial institution 7 to store only correct information in the database 12a, and a digital signature for authenticating the correctness is attached. Is done.
[0062]
FIG. 6 is a diagram showing information stored in the database 12b of the financial institution 7. In the database 12b, for each site name (name of trader), a value obtained by the trader illegally obtaining personal information, a value obtained by illegally leaking personal information (illegal distribution), and a bad ranking calculated from these two values. It is remembered.
[0063]
As will be described later, if a certain site name (trader name) MTT illegally obtains personal information, the unauthorized acquisition value is updated by adding “1”, and if the personal information is illegally distributed, the unauthorized distribution value becomes “ 1 ”is added and updated. The bad ranking is calculated by the formula of unauthorized acquisition value + 2 × illegal outflow value. The larger the value, the higher the ranking. If the value of the calculation formula is the largest, the bad ranking is the first.
[0064]
FIG. 7 is a diagram showing the configuration of the XML store 50. In the XML store 50, a database 72 and a server 71 that controls the database 72 are installed. The server 71 also has a function of authenticating the person who has accessed the XML store 50 and controlling access.
[0065]
The database 72 stores data expressed in XML. The contents of the data are VP information such as B13P, which is the name of the VP, VP user agent (including knowledge data), and site-specific information such as ABC, which is an electronic certificate issued to the VP accessing the site. Certificate, the personal information of the VP, the privacy policy of the site, and the digital signature D attached by the VP to both informationKSB(Personal information + policy) and digital signature D attached to the site ABCKSA(Personal information + policy), the number of times of encryption “0” as trap information, and □□ × Δ ×, which is the e-mail address of the VP. Further, when the VP accesses the site name MTT, the electronic certificate issued to the trap type VP accessing the site name MTT, the personal information provided by the trap type VP to the site, and the privacy of the site The policy, the digital signature of the trap-type VP for both information, the digital signature of the site, the number of times of encryption “1” as the trap information, and the e-mail address are included.
[0066]
Furthermore, items of information similar to those described above are stored in the database 72 for other VP information whose name is NPXA. In the database 72, data is stored for the above-mentioned items for every very large number of VPs.
[0067]
As described with reference to FIG. 4, the site name ABC uses information that has never been encrypted as trap information, so the encryption count stored in the database 72 is also “0”. Yes. As for the site name MTT, as described with reference to FIG. 4, since the information encrypted once is used as the trap information, the number of times of encryption stored in the database 72 is also “1”.
[0068]
The above-mentioned VP user agent is self-supporting software that operates for a user VP. This VP user agent is composed of a mobile agent so that it can move through the network.
[0069]
Each data shown in FIGS. 3 to 7 may be stored in each database in an encrypted state. Then, even if the data is stolen, it cannot be deciphered, so the security reliability is improved. On the other hand, for example, when a VP (including a trap-type VP) performs an unjustified act on the network (for example, an action that violates criminal law), in response to a request from a predetermined organization (for example, police), The VP may be searched from the database 12a and the like, the RP corresponding to the VP may be determined, and the name and the like of the RP may be provided to a predetermined organization (for example, police) requesting the request.
[0070]
FIG. 8 is a diagram illustrating a configuration of the convenience store 2. In the convenience store 2, a database 75, a server 74 connected thereto, and a terminal 73 connected to the server are installed. The database 75 stores the names of VPs (including trap-type VPs) having addresses in the convenience store, and product storage information, e-mail addresses, customer management information, etc. corresponding to the names. .
[0071]
If the product purchased by the B13P VP is delivered to the convenience store 2, “product receipt from ABC company, unsettled” is stored in the B13P storage area of the database 75 as product receipt information. This unsettled state is a state in which B13P has purchased a product through the Internet but has not yet paid.
[0072]
An e-mail address corresponding to each VP is stored in the e-mail address column of the database 75. In the case of B13P, since it is not a trap type VP, the true e-mail address of the VP is stored.
[0073]
Similarly, E (B13P) which is a trap type VP stores, for example, “product receipt from MTT company, settlement completed” as product receipt information. Since E (B13P) is a trap-type VP, the e-mail address stores an e-mail address established for the trap-type VP of the financial institution 7.
[0074]
As will be described later, the server 74 uses a VP (including a trap type VP) registered in the convenience store 2 when a customer who has picked up a product as a VP (including a trap type VP) at the convenience store 2. On the other hand, when the merchandise is stored, processing for delivering the merchandise to the VP (including the trap type VP) is performed.
[0075]
Convenience store 2 provides not only product custody services but also VP direct mail custody services. This is because the convenience store 2 is the address of the VP, and the direct mail addressed to the VP is mailed to the convenience store 2.
[0076]
FIG. 9 is a front view showing a browser phone 30 as an example of a terminal used by a user. The browser phone 30 is provided with a microcomputer 199. The microcomputer 199 includes a CPU (Central Processing Unit) 197, an I / O port 198, a ROM 195, an EEPROM 194, and a RAM 196. The browser phone 30 includes a USB (Universal Serial Bus) port, and the IC terminal 19R, 19V, or 19I can be inserted into the USB port. The IC terminal 19R is an RP IC terminal. The IC terminal 19V is an IC terminal for VP. As will be described later, the IC terminal 19I stores VP data and programs issued by financial institutions and delivers them to the user, and the delivered IC terminal 19I is connected to the USB port of the browser phone 30. The data and software stored in the IC terminal 19I are stored in the browser phone 30.
[0077]
FIG. 10 is an explanatory diagram for explaining the VP IC terminal 19V. As described above, the VP IC terminal 19 </ b> V is configured to be detachable from the USB port 18 of the browser phone 30, and by inserting into the USB port 18, information can be exchanged with the browser phone 30. , Ready to use.
[0078]
An LSI chip 20 is incorporated in the VP IC terminal 19V. The LSI chip 20 includes a CPU 24 as a control center, a ROM 25 in which an operation program of the CPU 24 is stored, a RAM 22 as a work area of the CPU 24, an EEPROM 26 capable of electrically erasing stored data, a coprocessor 23, and an external device. An I / O port 21 for inputting / outputting data is provided, and these are connected by a bus.
[0079]
The EEPROM 26 stores Mondex (including reload amount data), which is a program for electronic money, various other application software, an electronic certificate issued for VP, a personal identification number, and cookie data.
[0080]
Further, the IC terminal 19V for VP has a function as a user agent of VP, and as knowledge data for user agent, debit card information, credit card information, VP name, address, VP e-mail address, VP And various kinds of knowledge data such as various VP preference information, VP family structure,..., Etc. are stored.
[0081]
The RP IC terminal 19R also has substantially the same configuration as the VP IC terminal 19V shown in FIG. Speaking of differences, the contents of the user agent knowledge data recorded in the EEPROM 26 are different. Specifically, RP name and address instead of VP name and address, RP e-mail address instead of VP e-mail address, RP public key and secret key instead of VP public key and private key Instead of the age and occupation of the VP, the age and occupation of the RP, the various RP preference information instead of the VP preference information, and the RP family structure instead of the VP family structure.
[0082]
Note that the family structure of the VP includes data such as the name, address, and age of the VP when the RP family corresponding to the VP is born. That is, the data of the VP family corresponding to the RP family, that is, the data of the virtual family is stored in the storage area of the VP family structure.
[0083]
FIG. 11 is a diagram showing details of the cookie data shown in FIG. In the cookie data storage area, for each VP name, a cookie sent from the site (trader) side accessed using the VP name is stored. When the VP accesses the site using the real name B13P, any site other than the site that has already been accessed using the trap type VP can be accessed. As a result, cookie data from many sites is stored only for the real name B13P.
[0084]
FIG. 12 is a flowchart showing the processing operation of the VP management server 9 shown in FIG. In step S (hereinafter simply referred to as S) 1, it is determined whether or not a VP birth request has been made. If the customer (user) operates the browser phone 30 to make a VP birth request, the process proceeds to S1a, and proof processing to the effect of a legitimate institution is performed. This certification process is a process for proving that the financial institution 7 is a legitimate institution managing the VP, and is a process for preventing an illegal act of impersonating another financial institution 7. This process will be described later with reference to FIG. Next, the process proceeds to S <b> 2, and an input request for the name and address of the RP is transmitted to the browser phone 30. Next, the process proceeds to S3, where it is determined whether or not a reply of the name and address of the RP has been received from the browser phone 30 and waits until there is.
[0085]
If the user RP inputs his / her name and address from the browser phone 30 and transmits the result, a determination of YES is made in S3, the process proceeds to S4, and a random number R is generated and transmitted to the browser phone 30 as challenge data Is made. When the user makes a VP birth request, the VP IC terminal 19V is inserted into the USB port 18 of the browser phone 30. In this state, if a random number R is transmitted from the VP management server 9, the random number is input to the VP IC terminal 19V. Then, as will be described later, the random number R input in the VP IC terminal 19V is encrypted using the RP authentication key KN, and the encryption result is output to the browser phone 30. The browser phone 30 transmits response data I, which is the output encrypted data, to the VP management server 9. Then, a determination of YES is made in S5, and the process proceeds to S6, where a process of decrypting the received response data I using the RP authentication key KN, that is, a process of calculating DKN (I) is performed. Next, the process proceeds to S7, where it is determined whether or not the random number R generated in S4 is R = DKN (I).
[0086]
If the birth requester of the VP is a regular RP stored in the database 12 of the financial institution 7, since R = DKN (I), the control advances to S9, but is stored in the database 12. If another person impersonates another RP and makes a VP birth request, since R = DKN (I) is not satisfied, the control proceeds to S8, and an access rejection message is transmitted to the browser phone 30 and to S1. Return.
[0087]
On the other hand, if YES is determined in S7, the process proceeds to S9 to determine whether or not a desired convenience store has been input. The RP that requested the birth of the VP inputs it to the browser phone 30 and transmits it to the VP management server 9 if there is a desired convenience store for the convenience store that is the address of the VP to be born. In that case, the determination of YES is made in S9, and the process proceeds to S10. After the inputted convenience store information is stored, the process proceeds to S12. On the other hand, if there is no input of the desired convenience store, the process proceeds to S11, a convenience store close to the address of the RP is searched, the convenience store is stored, and the process proceeds to S12.
[0088]
In S12, the name of the VP, the convenience store address that is the VP address, the e-mail address of the VP, and the like are determined. Next, the process proceeds to S <b> 13, and a VP public key transmission request is transmitted to the browser phone 30. Then, the process proceeds to S14, where it is determined whether or not the public key KP has been returned, and waits until it is received. Upon receiving the VP public key transmission request, the browser phone 30 outputs a public key output request to the connected VP IC terminal 19V. Then, as described later, the VP IC terminal 19V outputs the stored VP public key KP to the browser phone 30. The browser phone 30 returns the output VP public key KP to the VP management server 9. Then, a determination of YES is made from S14, the process proceeds to S15, and a process of storing the name, address, public key KP, and e-mail address of the VP in the database 12 in association with the RP is performed.
[0089]
Next, the process proceeds to S <b> 16, and processing for creating an electronic certificate for the VP and registering it in the XML store 50 is performed. Next, the process proceeds to S17, and processing for mailing the IC terminal 19I storing the name of the VP, the address of the convenience store, the name of the convenience store, the e-mail address, and the electronic certificate to the RP is performed. Next, the process proceeds to S18, in which the VP name, e-mail address, and name of the financial institution 7 are transmitted to the convenience store of the address determined in S12. Next, the process proceeds to S19, and a proof process to the effect that it is a legitimate institution is performed. This proof processing to the effect that it is a legitimate institution is the same processing as S1a described above. Next, the process returns to S1.
[0090]
The “anonymous electronic certificate” as used in the present invention refers to a predetermined institution (financial institution 7) that is registered with information that can identify the correspondence between the user and the anonymity (VP name) used by the user. ) And a certificate including a certificate that proves that the user using the anonymity is a user registered in the predetermined organization. Therefore, not only a general digital ID used for identity verification, but also an electronic certificate that proves that the user is a user registered in the predetermined organization for the user using the anonymity of the predetermined organization. It is a concept that includes everything. For example, it is a concept including a simple certificate in which an anonymous used by a user and a message in which the anonymous is registered in the predetermined organization are simply digitally signed by the predetermined organization.
[0091]
If NO is determined in S1, the process proceeds to S400 in S13 (a). In S400, personal information registration processing is performed, then trap information registration processing is performed in S401, personal information confirmation processing is performed in S402, personal information collation and distribution check processing is performed in S403, In S404, personal information sales agency processing is performed, in S405 mail transfer and distribution check processing is performed, in S406, other trap-type VP access history provision processing is performed, and in S407, reliability ranking information is aggregated. The providing process is performed, and the process returns to S1. There is a need for a site (trader) that receives personal information from a user to check whether the personal information provided is really correct. Therefore, the VP management server 9 of the financial institution 7 receives personal information from the user, checks whether the personal information is correct personal information, and registers only correct personal information in the database 12a. The process is performed in S400.
[0092]
On the other hand, when the use of VP becomes active on the network, a supplier who collects detailed personal information of both RP and VP matches both personal information with scrutiny, and both personal information matches. There is a possibility that the inconvenience of calculating the RP name and the VP name and predicting the RP corresponding to the VP may occur. Therefore, when registering personal information in the database 12a, it is necessary to exclude (or change) and register personal information that may specify an RP such as a company name, department name, or post. Such processing is performed in S400.
[0093]
On the other hand, there is a need for a user who is the main person of personal information to monitor whether or not his / her personal information is distributed with the correct content and to correct it if it is incorrect. Therefore, a personal information confirmation process is performed in S402 so that the user can check the authenticity of his / her personal information registered in the database 12b.
[0094]
Further, when the user limits the disclosure range (distribution range) of his / her personal information and provides the personal information to the vendor side (site side), whether or not the disclosure range (distribution range) is protected There is a need to monitor. As described above, there is a need for a vendor who receives provision of personal information to confirm whether or not the personal information is correct information. Therefore, while allowing the personal information owned by the site side (the trader side) to be collated with the personal information in the database 12a in which the correct personal information is registered, The process of S403 is performed so that the distribution allowable range can be checked to check whether the distribution is correctly performed.
[0095]
There is a need for a user to obtain some service or money in return for providing personal information. In S404, a personal information sales agent is performed. As described with reference to FIG. 4, since the trap type VP uses an e-mail address that is established for the trap type VP of the financial institution 7, the e-mail addressed to the trap type VP is a financial institution. 7 is sent to the e-mail address established for the trap type VP. Therefore, it is necessary to transfer the sent e-mail to the e-mail address of the corresponding VP. This process is performed in S405. At that time, since the e-mail address sent from the trader side is a trap type VP, a site corresponding to the trap type VP is indexed (see FIG. 4), and from the indexed site. If it is not an e-mail, the e-mail from a site within the permissible distribution range of the personal information of the trap type VP is checked, and a distribution check is also performed in S405.
[0096]
As described with reference to FIG. 4, when the trap-type VP name is properly used for each site, it is necessary for the user side to perform traffic control so that the cookie from the site side is recorded separately for each name. is there. This is because if the same cookie is attached in common across a plurality of trap-type VPs, the plurality of trap-type VPs are overlooked to be VPs of the same person.
[0097]
When such traffic control is performed, the trader side (site side) can collect access history information and product purchase history information for a certain trap-type VP, although it is the same VP. Access history and product purchase history information when using other trap type VP names cannot be collected. That is, the inconvenience that the trader side (site side) can collect only a part of history information about a certain VP occurs.
[0098]
Therefore, when there is a request from the trader side (site side), a process capable of providing an access history of another trap type VP is performed in S406.
[0099]
When a user provides his / her own personal information to the site side (the trader side), there is a need to check whether the trader is a trustworthy trader regarding privacy protection. Therefore, in S407, a process of collecting the reliability ranking information and providing a result of the aggregation is performed.
[0100]
FIG. 13B is a flowchart showing a subroutine program for personal information registration processing in S400. This personal information registration process is a process performed when the user registers personal information as a VP.
[0101]
The browser phone 30 that has received the random number R generates the response data I by encrypting the random number R once using the VP secret key stored in the VP IC terminal 19V connected to the browser phone 30. To do. Then, the response data I is transmitted to the VP management server 9 of the financial institution 7.
[0102]
In S410, it is determined whether or not there is a request for registration of personal information from the user side, and if not, this subroutine program ends. If there is a registration request, the process proceeds to S411 and a legitimate authority certification process is performed. Next, the control advances to S412, a request for inputting the name of the VP is made, and it is determined whether or not an input has been made in S413. If there is an input, the control advances to S414, and a process of generating a random number R and transmitting it as challenge data to the user who has requested registration is performed. Proceeding to S415, it is determined whether or not response data I has been received from the user side, and waits until it is received. When the data is received, the process proceeds to S416, where the public key KP of the VP is searched from the database 12a, and the received response data I is encrypted with the public key KP.kpProcessing for generating (I) is performed.
[0103]
Control then proceeds to S417, where challenge data R and DkpA determination is made whether (I) is equal. If they are not equal, the identity of the user could not be authenticated, and the process proceeds to S422, where registration rejection processing is performed. If YES is determined in S417, the control advances to S418, and a process for issuing an input request for personal information desired to be registered to the user who has issued the registration request is performed. Next, the process proceeds to S419, where it is determined whether or not there is an input and waits until there is an input. When the input is made, the control proceeds to S420, and the authenticity of the personal information to be registered is checked.
[0104]
For this authenticity check, for example, when the personal information of the corresponding user is registered by accessing the XML store 50, it is checked against it, or it is registered by accessing the city office included in the electronic administration group 49, etc. It is done by checking against personal information. When such a collation check by machine search is not sufficient, an investigator of the financial institution 7 conducts a fraud investigation and performs a true / false check.
[0105]
Next, the control advances to S421, where it is determined whether or not the result of the authenticity check is correct. If it is not correct, the process advances to S422 to perform registration rejection processing. On the other hand, if correct, the process advances to S423 to specify the RP. Judgment is made as to whether or not personal information is to be processed. If there is personal information in the personal information of the VP that you are trying to register, such as a business name, department name, or RP such as job title, if you register it as it is, There is a possibility that a third party may predict which VP corresponds to which RP from the registration information. The personal information registered in the database 12a is in a state where the site side (the trader side) can know through S403 and S404. As a result, there is a possibility that the correspondence relationship between the RP and the VP is predicted on the site side (the trader side).
[0106]
Accordingly, in S423, it is determined whether or not the RP is personal information to be identified. If it is not predicted personal information, the process proceeds to S425. If personal information is likely to be predicted, the process proceeds to S424. After processing for processing personal information is performed, the process proceeds to S425. For example, when the work name is MEC, it is processed into, for example, a “major electrical manufacturer”, and when the job title is, for example, an executive, it is processed into, for example, “Executive”.
[0107]
In S425, the personal information is added with the digital signature of the financial institution and registered by user name. As a result, data as shown in FIG. 5 is registered in the database 12a.
[0108]
FIG. 14 is a flowchart showing a subroutine program of the trap information registration process shown in S401. In S430, a legitimate authority certification process is performed, and in S431, an input request for a VP name is issued to the VP that has requested trap information registration. Next, the process proceeds to S432, where it is determined whether or not the VP requesting the registration has input its own VP name, and the request of S431 is issued until the input. Next, the control advances to S433, and processing for generating a random number R and sending it as challenge data to the registration requester VP is performed. By S434, it is determined whether or not response data I has been received.
[0109]
The VP that is the registration requester who has received the transmitted challenge data R encrypts the challenge data R with its own secret key, generates response data I, and transmits it to the VP management server 9 of the financial institution 7. Then, the control advances to S435, where the public key KP of the VP that has requested registration is searched from the database 12a, and the received response data I is decrypted with the public key KP. And by S436, challenge data R = DkpIf it is not equal, it means that the VP cannot be determined as the result of the authentication, and a registration rejection notification is sent to the VP in S437. On the other hand, if YES is determined in S436 and it is confirmed that the VP is the authentication result, the control proceeds to S438, and a process of transmitting a trap information transmission request to the VP is performed.
[0110]
Whether or not trap information desired to be registered from the VP has been transmitted is determined in S439, and the process waits until it is transmitted. Control proceeds to S440 at the stage of transmission, and processing for storing the transmitted trap information in the database 12a is performed. This trap information is stored in a storage area corresponding to the registration requester VP. Next, the control advances to S441, where the financial institution 7 generates an electronic signature for the trap information and registers the electronic certificate in the XML store 50. As a result, the electronic certificate is stored in the database 72 of the XML store 50 as described with reference to FIG.
[0111]
This electronic certificate may be stored in the IC terminal 19V of the VP that has made a registration request instead of being stored in the XML store 50. However, as described above, the trap information is different for each Web site accessed by the VP, and as a result, the electronic certificate is also different for each Web site, and a large number of electronic certificates are stored in the IC terminal 19V. Storage capacity issues arise. Therefore, in this embodiment, in order to overcome the problem of the storage capacity, registration is performed in the XML store 50. If the IC terminal 19V has a very large storage capacity, all or most of the electronic certificates issued by the financial institution 7 may be stored in the IC terminal 19V.
[0112]
FIG. 15 is a flowchart showing a subroutine program of the personal information confirmation process shown in S402. When the user wants to confirm his / her personal information registered in the database 12a of the financial institution 7, the user transmits a confirmation request to the VP management server 9 of the financial institution 7 as RP. If the confirmation request is transmitted, a determination of YES is made in S450, and a personal authentication process similar to that described above is performed in S451 to S458. The name input request in S452 is a request for inputting the name of the user's RP. If it is confirmed that the user is the user as a result of the personal authentication, a determination of YES is made in S457, and the control advances to S459.
[0113]
In S459, it is determined whether or not the request is for confirmation of personal information. The subroutine program for confirming personal information is configured so that it can cope with a change request of personal information from the user. In the case of a personal information change request from the user, a NO determination is made in S459. However, in the case of a personal information confirmation request, a YES determination is made in S459, and the control advances to S460 for input. The personal information corresponding to the RP name is sent to the user.
[0114]
The user who has confirmed the personal information that has been sent, if there is wrong personal information in the personal information, or if the personal information has been changed due to job change or moving, etc., A change request is transmitted to the VP management server 9 of the financial institution 7. Then, YES is determined in S450a, the control proceeds to S451, and authentication processing in S451 to S458 is performed. If the identity is confirmed as a result of the authentication, a determination of YES is made in S457, and the process proceeds to S459, where it is determined whether or not a request for confirmation of personal information has been made. In this case, since this is a request for changing personal information, the control advances to S459a, and a transmission request for personal information (change information) to be changed is made to the user.
[0115]
The user transmits to the VP management server 9 of the financial institution 7 change information indicating how to change which part in his / her personal information. Then, a determination of YES is made in S459b, and whether or not the transmitted change information is correct is checked in S461. Next, in S462, a process for returning the result of the check to the user is performed. Next, in S463, it is determined whether or not it is correct as a result of the check. If it is not correct, the subroutine program ends without changing the personal information. If correct, the process proceeds to S464, and the individual in the database 12a is processed. Processing to change the corresponding part of the information is performed.
[0116]
FIG. 16 is a flowchart showing a subroutine program for personal information collation and distribution check processing shown in S403. In S465, it is determined whether or not a collation request has been made. For example, when personal information such as the address, name, age, gender, annual income, and preference information of the accessing user is collected on the website side, whether or not the personal information is really correct personal information is financed. It is this subroutine program that enables the engine 7 to collate. If there is a verification request from such a site side (trader side), the control proceeds to S466, and the electronic certificate of the financial institution 7 side is transmitted to the site side (trader side). ) Is requested to send an electronic certificate. If the supplier's electronic certificate is transmitted from the supplier side, a determination of YES is made in S468 and the control advances to S469, and a process of requesting the name of the user who wants to be verified to the verification requester is performed. If the site side (the trader side), which is the collation requester, transmits the name of the user to be collated, the control advances to S473, and a request for transmitting personal information to be collated is issued to the requester side. If the client side transmits the personal information to be verified to the financial institution 7, the control proceeds to S471.
[0117]
In S471, processing is performed to check whether or not the trader name (site name) of the transmitted electronic certificate of the requester matches the transmitted user name to be verified based on the trap information. . The client name (site name) of the requester is described in the requester's electronic certificate. As described based on FIG. 4, the VP may use the real name of the VP or the trap type VP when accessing the Web site. In other words, the VP uses a name for each site to be accessed. Therefore, for example, when there is a request for collation of personal information from the MTT in FIG. 4, the user name received in S470 is originally E (B13P). In this way, it is determined in S472 whether or not the site name matches the VP name used in the site name. If they match, the process proceeds to S473, but if they do not match, the process proceeds to S494 in FIG.
[0118]
In S494, the personal information in the XML store is searched to check whether or not the client is included in the allowable distribution range defined in the privacy policy. If the trader name (site name) and the user name do not match, it should not be determined that the personal information has been illegally distributed, and the VP must provide a certain distribution allowable range when providing personal information to the site. In this case, it is conceivable that the person has agreed to distribute (disclosure) the personal information to other traders. This allowable distribution range is described in the privacy policy prepared by the site. Therefore, in S494, the corresponding personal information in the XML store is searched, and it is checked whether or not the client is included in the distribution allowable range defined in the privacy policy stored therein. For example, the user name is B13P sent from the client MTT (see FIG. 4), and the corresponding site name ABC can be determined from the user name.
[0119]
The database 72 of the XML store 50 is searched based on the determined site name ABC, and “policy” stored accompanying the site name ABC is searched (see FIG. 7). This privacy policy is presented to the user when the website ABC collects personal information, and the privacy policy describes the allowable distribution range of the collected personal information. It is checked by S494 whether or not the matching requester is included in the distribution allowable range. If it is included, a determination of YES is made in S494a and the process proceeds to S475. However, if it is not included, the personal information is illegally distributed, and the processing after S495 is performed.
[0120]
In S495, a process of adding and updating the unauthorized acquisition value of personal information by “1” is performed in association with the client name. In the example described above, the fact that the client MTT has transmitted the VP name B13P means that the personal information of the VP name B13P has been illegally obtained from the site (trader) ABC. Therefore, the process of updating the unauthorized acquisition value by “1” is performed in S495. This illegally obtained value is stored in the database 12b (see FIG. 6).
[0121]
Next, the control advances to S496, where a site name (trader name) corresponding to the transmitted user name is determined, and an illegal outflow value of personal information is updated by adding “1” in correspondence with the site name (trader name). Processing is performed. In the above-described example, the site name (trader name) ABC corresponding to the sent user name B13P is determined, and the illegal leak value of personal information is updated by adding “1” in correspondence with the site name (trader name) ABC. To do. That is, the site (trader) ABC illegally leaked the personal information of the VP name B13P to the MTT, and therefore, the illegal outflow value is updated by adding “1”. This illegal outflow value is also stored in the database 12b (see FIG. 6).
[0122]
Next, the control advances to S497, and processing for notifying the corresponding user of the fact that the personal information is illegal and the detailed data is performed.
[0123]
On the other hand, if the trader name described in the requester's electronic certificate matches the sent user name, the control advances to S475, and the personal information sent from the requester is stored in the database 12a. A process of collating with the personal information (see FIG. 5) of the user who performs the process is performed. Next, in S476, a process for calling the user agent of the user to be collated from the XML store is performed. Next, in S477, the user agent is informed of the collation result, and a process for asking whether or not the requester can reply is performed. If there is a response from the user agent, the control proceeds to S479, and if it is a reply that it can be returned to the requester, the control proceeds to S486, and a process of attaching a digital signature to the verification result and correct personal information Is made. This digital signature represents that the financial institution 7 has confirmed that the personal information is correct. Next, in S487, the personal information with the digital signature is returned to the requester, and processing is performed to notify the requester that the other information is incorrect. In addition, when the personal information of the user corresponding to the personal information transmitted from the requester is not in the database 12a, since it cannot be verified, the requester is informed that the personal information that could not be verified could not be verified. Send back.
[0124]
On the other hand, if the result of the response from the user agent is not OK, the control advances to S480, and a response with a content requesting a return from the requester (trader) is sent from the user agent as a return condition to the requester. A determination is made whether or not it has been made. The user agent performs three types of responses: an OK response, a return request response, and a response rejecting the response to the client. If it is a reply that rejects the reply to the requester, the control advances to S481, and a process of replying the reply rejection to the requester is performed.
[0125]
If it is a reply requesting a reward, the control advances to S482, and a process of returning the issued reward request to the requester is performed. Next, in S483, it is determined whether or not there is a response from the client, and the system waits until a response is received. When there is a response, it is determined in S484 whether or not the negotiation has been established. If the negotiation is not established, the control advances to S481, and a process for returning to the requester that the reply is rejected is performed. If it is determined that the negotiation has been established, the process proceeds to S485, and processing for notifying the user that the negotiation has been established is performed. At the same time, the VP management server 9 of the financial institution 7 stores the reward contents determined by the negotiation. Next, control proceeds to S486.
[0126]
FIG. 17B is a flowchart showing a subroutine program of the personal information sales agency process shown in S404. Through S498, it is determined whether or not a purchase request for personal information has been made. If there is a request for purchase of personal information from the vendor side to the VP management server 9 of the financial institution 7, the control advances to S499, and processing for transmitting the electronic certificate of the financial institution 7 to the purchase requester is performed. Next, in S500, processing for requesting the purchase requester to transmit the electronic certificate of the purchase requester is performed. If an electronic certificate is transmitted from the purchase requester, the control advances to S502, and processing for requesting the purchase requester from the purchase requester is performed. If there is a transmission of the user name to be purchased from the purchase requester, the control advances to S504, and a process for calling the user agent of the transmitted user name from the XML store 50 is performed.
[0127]
In step S505, the user agent and the purchase requester directly negotiate. In this negotiation, whether or not personal information may be provided to the purchase requester, what level of return is required, and whether the return is payment of money or provision of services, etc. Negotiations. In S506, it is determined whether or not the negotiation has been established. If the negotiation has not been established, a process of returning to the requester (purchase requester) that the sale is rejected is performed in S507. If it is determined that the negotiation has been established, the control advances to S508, and the privacy policy including the user name, the purchase requester name, the sales conditions such as the reward, and the disclosure allowable range (distribution allowable range) of personal information is set. On the other hand, a process of attaching and storing digital signatures of the user, the requester (purchase requester), and the financial institution 7 is performed. Next, in S509, a process of attaching a digital signature of the financial institution 7 determined to be sold and sending it back to the client is performed.
[0128]
The personal information stored in the database 12a of the financial institution 7 has been checked for authenticity by the financial institution, and only correct personal information is stored. Is provided to the vendor, the digital signature of the financial institution 7 is attached in S486 and S509. Therefore, personal information that is not digitally signed by the financial institution 7 among personal information owned by the trader is personal information that may be erroneous, and personal information that has the digital signature of the financial institution 7 attached. It is clear at a glance that is the correct personal information.
[0129]
FIG. 18 is a flowchart showing a subroutine program for mail transfer and distribution check shown in S405. By S514, it is determined whether or not an email has been sent from the site (trader). As explained based on FIG. 4 and the like, when a VP accesses a site using a real name, the site notifies the VP's own e-mail address to the site, but accesses the site using a trap type VP name. In this case, the e-mail address established for the trap type VP of the financial institution 7 is provided to the site side. As a result, the e-mail from the site is sent to the e-mail address established for the trap type VP of the financial institution 7.
[0130]
In the financial institution 7, when there is a mail transmitted to the e-mail address established for the trap type VP, the VP management server 9 determines YES in S514. As a result, the control advances to S515, and the site name (trader name) corresponding to the address included in the sent e-mail is calculated from the database 12a. As described with reference to FIG. 4, the database 12a stores the VP name and the site name accessed by the VP in association with each other. Using this correspondence, a process for determining the corresponding site name (trader name) from the mail address is performed.
[0131]
Next, in S516, it is determined whether or not the determined site name matches the site name that sent the e-mail. If the personal information is illegally distributed, the site that illegally obtained the illegally distributed personal information may send an e-mail to the owner of the personal information. In that case, the determined site name and the site name that sent the email do not match.
[0132]
If the calculated site name does not match the name of the site that sent the email, it cannot be determined that the personal information has been illegally distributed immediately. When providing personal information to the site side, there is a case where consent is obtained from a user who is the owner of personal information that it may be distributed within a certain distribution allowable range. Therefore, as described in S494 and S494a of FIG. 17, the control proceeds to S522, the corresponding personal information in the XML store is searched, and the email sender is included within the distribution allowable range defined in the policy. The process proceeds to S517 if it is determined that it is included in S523, whereas the control proceeds to S519 if it is determined that it is not included.
[0133]
In S519, an unauthorized acquisition value of personal information is incremented by “1” and updated in correspondence with the site name that sent the e-mail. In S520, the personal information is illegally associated with the site name determined in S515. Processing to update the outflow value by “1” is performed. Next, in S521, a process for notifying the corresponding user of the fact that the personal information is illegal and the detailed data is performed.
[0134]
On the other hand, if it is determined that the personal information is not illegally distributed, the control advances to S517, where a process for determining the user's mail address corresponding to the e-mail address is performed, and the determined address is determined in S518. The process of forwarding the email to
[0135]
FIG. 19 is a flowchart showing a subroutine program of the access history providing process of another trap type VP shown in S406. As described above, when a VP accesses a site as a trap type VP, a cookie sent from the site side is stored in the IC terminal 19V corresponding to only the trap type VP (FIG. 11). reference). Therefore, on the site side that has been accessed as a trap type VP, only the access history and purchase history of that trap type VP can be collected, and the trap type VP can be used as another trap type VP or on the network using the real name of the VP. The action history (access history etc.) that was acted on can not be totaled. In such a case, the financial institution 7 requests that the site side provide data of action history on the network such as access history of other trap type VPs (including VPs using real names). If there is, a determination of YES is made in S530, the control proceeds to S531, and processing for transmitting the electronic certificate of the financial institution 7 is performed.
[0136]
Next, in S532, the requester is requested to send the requester's electronic certificate. When the electronic certificate is transmitted from the requester, a determination of YES is made in S533, the control proceeds to S534, and a process for requesting the name of the user who is requested to be provided is performed. Next, the process proceeds to S535, where it is determined whether or not the name of the user has been transmitted from the requester. If there is, the process proceeds to S536, and processing for requesting the requester to transmit the user's permit is performed. When a user accesses a site as a trap type VP and provides personal information, the user may also provide action history data on the network such as an access history of other trap type VPs (including VPs using real names). There may be cases where consent is given.
[0137]
That is, referring to FIG. 4, for example, E in which VP is a trap type VP.2When accessing the site MEC as (B13P) and providing personal information, E (B13P), which is another trap type VP, also records action history data on the network such as the access history of the VP using the real name B13P. You may agree that it may be provided to the site MEC. In that case, the user transmits an electronic permit indicating that to the site. This permit is accompanied by a digital signature of the user. If the site transmits the permit in response to the request in S536, a determination of YES is made in S537, and a determination is made as to whether or not the permit is appropriate in S539. If it is not appropriate, a notification for refusing the provision of the access history is transmitted to the requester by S545. If it is appropriate, another trap type VP (real name) corresponding to the transmitted user name is transmitted by S540. (Including the VP using the network) and the like, the process of calculating the action history data on the network such as the access history and transmitting it to the requester is performed.
[0138]
On the other hand, when the requesting site does not have the user's permit, a reply without the permit is transmitted to the financial institution 7. Then, a determination of YES is made in S538, and the control advances to S541, a process of calling the user agent of the user from the XML store 50 is performed, and a process of directly negotiating between the user agent and the requesting site side in S542 Is made.
[0139]
Next, in S543, it is determined whether or not the negotiation has been established. If the negotiation is not established, a notification refusing to provide the access history is transmitted to the requester side in S545. On the other hand, if the negotiation is successful, the control proceeds to S544, where it is determined whether or not the user who is the main personal information has granted the license unconditionally. If the license is granted unconditionally, the control advances to S540, and processing for transmitting action history data such as an access history to the requester is performed. On the other hand, if the user gives a conditional permission, control proceeds to S546, and after processing for storing the condition is performed, the process proceeds to S540. When storing the conditions according to S546, the names of the users and clients who are parties to the negotiation and the determined conditions are compared with the privacy policy of the client side including the disclosure allowable range (distribution allowable range) of personal information. The digital signatures of the parties to the negotiation and the financial institution 7 are attached and stored.
[0140]
FIG. 20 is a flowchart showing a subroutine program of the aggregation and provision processing of the reliability ranking information shown in S407. This subroutine program is for the VP management server 9 to operate based on the data stored in the database 12b. Through S550, for each site (trader), a process of calculating J = illegal acquisition value + illegal outflow value × 2 is performed. This is because the person who illegally leaked (distributed) the personal information is more malicious and guilty than the person who obtained the personal information illegally.
[0141]
Next, in S551, processing is performed in which the bad ranking is calculated in descending order of the calculated J and stored in the database 12b for each site (trader). Next, in S552, it is determined whether or not there has been a request for publication of the ranking. If there is a rank announcement request from the user or the trader who is the principal of personal information to the VP management server 9 of the financial institution 7, the control advances to S553, and processing for sending rank data to the requester is performed. .
[0142]
FIG. 21 is a flowchart showing the processing operation of the authentication server 11 shown in FIG. First, in S25, it is determined whether or not an electronic certificate issuance request has been received from the RP, and the process waits until it is received. If the user RP sends a request for issuing an RP electronic certificate from the browser phone 30 to the authentication server 11, the control advances to S 26, and a request for sending the RP address, name, and public key is sent to the browser phone 30. Processing to transmit is performed. Next, the process proceeds to S27, where it is determined whether there is a reply of the address, name, and public key of the RP from the browser phone 30, and waits until there is. Then, when the reply is received, the control proceeds to S28, and processing for creating an electronic certificate for the RP and transmitting it to the browser phone 30 is performed. Next, the process proceeds to S29, where the process of storing the RP address, name, and public key KP in the database 12a is performed, and the process returns to S25.
[0143]
22 to 24 are flowcharts showing the processing operation of the settlement server 10 of FIG. In S35, it is determined whether or not there is a request to create an RP bank account number. If not, the process proceeds to S39, and it is determined whether or not there is a request to create a VP bank account number. The process proceeds to S41, where it is determined whether or not a debit card issuance request has been made. If not, the process proceeds to S41. If there is a settlement request, the process returns to S35.
[0144]
If the user goes to the financial institution 7 in the course of the loop of S35 to S41, makes a request for opening an RP bank account, and inputs a request to create an RP bank account number, the control proceeds to S36, and RP If there is an input request for the address, name, etc., control proceeds to S38, where a bank account of RP is created and stored in the database 12a and notified to the RP, and the process returns to S35.
[0145]
If the user goes to the financial institution 7 and requests to open a VP bank account and receives a request to create a VP bank account number, the process proceeds to S42, where the VP address, name, RP address, name, etc. Is requested. The user manually inputs the information from the keyboard or connects the RP IC terminal 19R and the VP IC terminal 19V to the settlement server 10 to automatically input the data. If data is input, the control proceeds to S44, and it is confirmed by searching the database 12a whether or not the correspondence between RP and VP is appropriate.
[0146]
If the correspondence between the RP and the VP is not appropriate, the process proceeds to S51, informing that the correspondence is inappropriate, and returns to S35. On the other hand, if the correspondence between the RP and the VP is appropriate, the process proceeds to S45, where the VP bank account is created and stored in the database 12a, and the bank account is mailed to the RP corresponding to the VP. After that, the process returns to S35.
[0147]
If the user goes to the financial institution 7 and requests the debit card issuance request, and if there is an input of the debit card issuance request, a determination of YES is made in S40 and the process proceeds to S46, where the account number, name and password are entered. A request is made. When the user requests the issuance of a debit card for RP, the bank account number, name and password of RP are input. On the other hand, when the user desires to issue a VP debit card, the VP bank account number, the VP name, and the VP password are input. These data are automatically input by connecting the RP IC terminal 19R or the VP IC terminal 19V to the settlement server 10.
[0148]
If these data are input, the control proceeds to S48, where the input data is stored in the database 12a and a process of issuing a debit card is performed. Next, the process proceeds to S49, in which the stored data of the issued debit card is transmitted to the RP IC terminal or the VP IC terminal, and the process returns to S35.
[0149]
If a settlement request is transmitted to the settlement server 10, a determination of YES is made in S41, the process proceeds to S50, a settlement process is performed, and the process returns to S35.
[0150]
FIG. 23 is a flowchart showing a subroutine program of the settlement process in S50 shown in FIG. In the payment request, a withdrawal request for partially dropping the funds in the bank account to the IC terminal 19R for RP or the IC terminal 19V for VP, a payment request using a debit card, and a payment using a credit card. There is a request to withdraw the credit usage amount from the credit card issuer when the credit card is issued. First, it is determined whether or not there has been a withdrawal request to the IC terminal 19R or 19V from S55. If not, the process proceeds to S57, and it is determined whether or not there has been a settlement request using a debit card. In S58, it is determined whether or not there has been a withdrawal request from the credit card issuing company. If not, the process proceeds to S554, and after the inquiry processing from the credit card issuing company is performed, other processing is performed in S59. Processing is completed and this subroutine program ends.
[0151]
If the user transmits a request for partial withdrawal of funds from the browser phone 30 or the like to the RP IC terminal 19R or the VP IC terminal 19V to the settlement server 10, a determination of YES is made in S55, and the process proceeds to S56. After the authority certification process is performed, the process proceeds to S60. In S60, a process of transmitting a name input request to the browser phone 30 or the like is performed. Upon receiving the request, the browser phone 30 transmits a name output request to the connected IC terminal 19R or 19V. Then, the name is transmitted from the connected IC terminal 19 </ b> R or 19 </ b> V to the browser phone 30, and the transmitted name is transmitted to the settlement server 10 by the browser phone 30. Then, a determination of YES is made in S61, and the process proceeds to S62, in which a random number R is generated and transmitted to the browser phone 30 as challenge data.
[0152]
The browser phone 30 that has received the random number R transmits the random number R to the connected IC terminal 19R or 19V, as will be described later. When the IC terminal that has received the random number R is the RP IC terminal 19R, R is encrypted using the stored authentication key KN to generate response data I, which is output to the browser phone 30. The browser phone 30 transmits the output response data I to the settlement server 10. On the other hand, when the IC terminal that has received the random number R is the VP IC terminal 19V, the response data I is generated by encrypting the received random number R using the public key KP and output to the browser phone 30. To do. The browser phone 30 transmits the output response data I to the settlement server 10.
[0153]
If the response data I is transmitted, a determination of YES is made in S63 and the process proceeds to S64, where it is determined whether or not the name input in accordance with S60 is that of the RP, and in the case of RP, the process proceeds to S65. Then, a process of retrieving the RP authentication key KN from the database 12 and decrypting the response data I received using the authentication key KN, that is, a process of generating DKN (I) is performed. Next, the process proceeds to S66, where it is determined whether or not R = DKN (I). If the user who made the withdrawal request to the IC terminal is an appropriate user registered in the database 12, it should be R = DKN (I), but the user registered in the database 12 If an improper act of impersonating a part of the funds in the bank account is performed, R and DKN (I) do not match. In that case, the control advances to S79, a process of returning to the browser phone 30 that it is inappropriate is performed, and the subroutine program ends.
[0154]
On the other hand, if R = DKN (I), the control advances to S67, where a process for transmitting a debit amount input request to the browser phone 30 is performed, and if the debit amount is transmitted from the browser phone 30, control is performed. The process proceeds to S69, where the amount G deducted from the RP account is subtracted and G is transmitted to the browser phone 30, and the subroutine program is terminated.
[0155]
On the other hand, when the user withdraws the VP to the VP IC terminal 19V, the real name of the VP is used. If the input name is the real name of the VP, NO is determined in S64, and the control advances to S85 in FIG. In S85, a process for retrieving the VP public key KP from the database 12 and decrypting the response data I received using the public key KP, that is, a process for generating DKP (I) is performed. Next, the process proceeds to S86, where it is determined whether or not R = DKP (I). In the case where a fraudulent act is performed in which a withdrawal request is made by impersonating a VP registered in the database 12, a NO determination is made in S86, and the process advances to S79 to indicate that it is inappropriate. Is returned to the browser phone 30. On the other hand, if YES is determined in S86, the process proceeds to S87, where a process for transmitting an input request for the withdrawal amount G is performed to the browser phone 30, and if there is a transmission of the withdrawal amount G from the browser phone 30, S89 is performed. Then, after subtracting G from the VP bank account and transmitting G to the browser phone 30, the subroutine program ends.
[0156]
When the user performs a debit card use operation to make a payment using a debit card, a debit card use request is transmitted to the payment server 10, a determination of YES is made in S57, and the process proceeds to S56. Proof processing is performed. Next, the process proceeds to S <b> 70, and the password and card information input request are transmitted to the user's browser phone 30. If the password of the debit card and the debit card information are transmitted from the browser phone 30 to the settlement server 10, the control proceeds to S72, where it is determined whether or not the transmitted data is appropriate. If so, the process proceeds to S79.
[0157]
On the other hand, if it is appropriate, the process proceeds to S73 and waits for the input of the usage amount G. If the user inputs the usage amount G and it is transmitted to the settlement server 10, the control proceeds to S74, where a process of searching for the corresponding account, subtracting G and transmitting G to the user's browser phone 30 is performed. Made.
[0158]
When the user makes a settlement using a credit card SET using the real name of RP or VP as will be described later, a request to withdraw the credit payment amount from the credit card issuing company 4 (see FIGS. 1 and 15). Is transmitted to the settlement server 10. If the withdrawal request is transmitted, a YES determination is made in S58, the legitimate authority certification process in S56 is performed, and then the process proceeds to S75 to wait for input of the user name and account number. If the user's name and account number are transmitted from the credit card issuing company 4, the control advances to S76, and it is determined by searching the database 12 whether or not the input data is appropriate. If it is inappropriate, the process proceeds to S79. If it is appropriate, the process proceeds to S77, and the input of the withdrawal amount G is waited. If the debit amount G, that is, the total amount of the credit payment amount and the fee, is transmitted from the credit card issuing company 4, the control advances to S78, and the process of subtracting G from the account and adding it to the account G of the credit card issuing company That is, the funds are transferred.
[0159]
If NO is determined in S58, an inquiry process from the credit issuing company 4 is performed in S554, and then the process proceeds to S59 to perform other processes.
[0160]
FIG. 24B is a flowchart showing a subroutine program of the legitimate authority certification process shown in S1a, S19, and S56 described above. First, in S90, processing for transmitting the electronic certificate of the organization is performed. On the side receiving this electronic certificate, a random number R is generated and the random number R is transmitted. Then, a determination of YES is made in S91, and the process proceeds to S92. A process of encrypting the received random number R with the secret key KS of the institution, that is, a process of calculating L = EKS (R) is performed, and the calculated L Is returned.
[0161]
On the receiving side that has received L, R can be obtained by decrypting L using the public key KP of the organization in the already received electronic certificate. By checking whether the R and the transmitted R are equal, it is possible to check whether the R is a legitimate organization. This will be described later.
[0162]
FIG. 25 is a flowchart showing a subroutine program for inquiry processing from the credit card company shown in S554. As described above, when a VP accesses a site as a trap type VP and performs electronic shopping or the like and performs credit settlement, the credit number of the VP himself is not used, but the credit number of the VP himself is used. An encrypted credit number encrypted several times with a secret key is used. For example, as shown in FIG. 4, a VP that has accessed the site MPP as a trap type VP name E (B13P) uses the virtual credit number E (3288) when performing electronic shopping and making a credit card payment. The VP has registered a credit number of 3288 with respect to the credit card issuing company 4, but has not registered an encrypted credit number of E (3288). Therefore, when the virtual credit number of E (3288) is transmitted to the credit card issuing company 4 along with the credit settlement, the credit card issuing company 4 searches for the virtual credit number of E (3288) in-house. And you can't confirm the truth.
[0163]
In such a case, the credit card issuing company asks the financial institution 7 to inquire whether the virtual credit number is correct.
[0164]
If there is an inquiry from the credit card issuing company, the control proceeds to S561, and the same authentication process as described above in S561 to S568 is performed. If the person is confirmed as a result of the authentication, a determination of YES is made in S567, and the process proceeds to S569, and an input request for data to be referred is transmitted to the credit card issuing company. This inquiry target data includes the virtual credit number and the trap type VP name described above. By inputting the trap type VP name, it is also possible to inquire whether or not the trap type VP name and the virtual credit number correspond.
[0165]
If the inquiry target data is transmitted from the credit card issuing company, the control proceeds to S571, and a process of searching the database 12a and collating with the transmitted inquiry target data is performed. Next, in S572, it is determined whether or not the inquiry target data sent to the verification result is appropriate. If it is appropriate, a response to the credit card issuing company is returned in S573, and the verification result is not appropriate. In step S574, an inappropriate message is returned to the credit card issuing company. When returning the appropriateness in S573, a digital signature of the financial institution 7 representing the appropriateness is attached to the inquiry target data input in S570, and the credit card issuance in which the data with the digital signature makes an inquiry It will be returned to company 4.
[0166]
26 to 31 and FIGS. 33 to 36 are flowcharts for explaining the operation of the browser phone 30. By S95, it is determined whether or not the IC terminal use mode is set. The browser phone 30 does not operate unless at least one of the RP IC terminal 19R and the VP IC terminal 19V is connected to the USB port 18, and even if the IC terminal is not connected. It is possible to switch to an operable IC terminal unused mode. If it is not in the IC unused mode, the process proceeds to S96, and other processing is performed. If it is in the IC terminal use mode, the process proceeds to S97, and whether or not the VP IC terminal 19V is connected. If it is not connected, the process proceeds to S98, where it is determined whether or not the RP IC terminal 19R is connected. If not, that is, if both IC terminals are not connected. Then, control proceeds to S99, where an IC terminal unused warning is displayed, and then returns to S95.
[0167]
On the other hand, if the VP IC terminal 19V is connected, the control advances to S100, and VP cookie processing is performed. This process will be described later with reference to FIG. The browser phone 30 does not have a storage area for storing cookie data sent from the site side. Therefore, all the cookie data sent from the site side that needs to be stored is stored in the VP IC terminal 19V or the RP IC terminal 19R. Control then proceeds to S101, where VP birth request processing is performed. This process will be described later with reference to FIG. In step S102, VP input processing is performed. This process will be described later with reference to FIG. Next, the process proceeds to S103 and VP settlement processing is performed. This process will be described with reference to FIG.
[0168]
Control then proceeds to S580, where personal information registration processing is performed. This personal information registration process is a process on the browser phone 30 side corresponding to the registration process of the VP management server 9 shown in FIG. First, personal authentication processing as a VP is performed, and on the condition that the VP management server 9 confirms the personal authentication, the personal information of the VP is transmitted to the VP management server 9 of the financial institution 7 and registered in the database 12a. Process to get.
[0169]
Control then proceeds to S582, where personal information confirmation processing is performed. This process is a process performed by the browser phone 30 corresponding to the confirmation process shown in FIG. 15 by the VP management server 9 of the financial institution 7. First, personal authentication as a VP is performed, and then processing for confirming personal information stored in the database 12a is performed. On the other hand, if there is an error as a result of confirmation or if the personal information is changed due to moving or changing jobs, the changed information is transmitted to the VP management server 9 of the financial institution 7 in S582.
[0170]
Next, the control advances to S583 where VP Web browser and mail processing are performed. This process will be described later with reference to FIG. Control then proceeds to S585, where address, name, and e-mail address transmission processing is performed. On the other hand, if the RP IC terminal 19R is connected to the USB port 18 of the browser phone 30, a determination of YES is made in S98, the process proceeds to S104, and RP cookie processing is performed. This process will be described later with reference to FIG. In step S105, an electronic certificate issuance request process is performed. This process will be described later with reference to FIG. Control then proceeds to S106, where RP input processing is performed. This process will be described later with reference to FIG. Next, the process proceeds to S107, and RP settlement processing is performed. This process is a control process similar to the VP settlement process, and is not shown. Next, the control advances to S584, and a false RP access process is performed. This false RP access process will be described later with reference to FIG.
[0171]
FIG. 27 is a flowchart showing a subroutine program for cookie processing shown in S102. By S110, it is determined whether or not the check that the personal identification number is appropriate has been completed. If checked, the process proceeds to S120, but if not checked yet, the process proceeds to S111, and a password input request is displayed. If the user inputs the personal identification number of the VP IC terminal 19V from the keyboard 77 of the browser phone 30, the control proceeds to S113, and the process of transmitting the input personal identification number to the VP IC terminal 19V is performed. (S114). In the VP IC terminal 19V to which the personal identification number is inputted, as will be described later, the stored personal identification number and the inputted personal identification number are collated to determine whether or not they match. A reply indicating that it is appropriate is made. If they do not match, a reply indicating that it is inappropriate is made. If it is returned that it is appropriate, a determination of YES is made in S115. However, if it is returned that it is inappropriate, the control proceeds to S116, and a notification that it is inappropriate ( Display) is performed by the browser phone 30.
[0172]
Only when it is appropriate, the code number has been checked, the control proceeds to S119, and it is determined whether or not there has been an access operation to the Web site. If not, the process proceeds to S120, where other processing is performed and this subroutine is performed. The program ends. On the other hand, if there is an access operation to the site, the process proceeds to S590, and processing is performed to inquire the VP IC terminal 19V whether or not the trap type VP is already used for the site. As described with reference to FIG. 11, the VP IC terminal 19V stores the name of the accessed site and the VP name used in the storage area of the cookie data. The VP IC terminal searches the cookie data storage area to determine whether or not the trap-type VP is being used for the site inquired from the browser phone 30. Then, the answer is returned to the browser phone 30. Then, the control advances to S592, and it is determined whether or not the answer is that the trap type VP has been used. If the content of the reply indicates that it has been used, the control advances to S593, and the trap type VP and the corresponding cookie used are called from the cookie data storage area of the IC terminal for the VP, together with the cookie. Processing to access the site is made.
[0173]
Next, control proceeds to S594, where it is determined whether or not a cookie has been transmitted from the accessed site. If it has not been transmitted, this subroutine program ends. On the other hand, even if the site is accessed together with the cookie data, another cookie may be sent from the site side when another page of the site is accessed. If such a cookie has been sent, a determination of YES is made in S594 and control proceeds to S595, where a process of transferring the trap type VP name and the sent cookie data to the VP IC terminal is performed. The In the VP IC terminal, a process for storing the transmitted cookie data in correspondence with the transmitted trap type VP name is performed.
[0174]
If it is determined in S592 that the trap-type VP is a site that has not been used yet, the control advances to S596, and processing for asking the user whether or not the trap-type VP is used is performed. Specifically, “Do you use a trap type VP?” Is displayed on the display unit 76 of the browser phone 30.
[0175]
Next, in S597, it is determined whether or not an operation for use has been input from the keyboard 77. If an operation not to use is performed, the control proceeds to S121. However, if an operation to be used is performed, the control proceeds to S598, and a new trap type VP is transferred to the VP IC terminal 19V. Processing to request generation is performed. The processing of S598 is to transmit the name of the site where the access operation has been performed in S119 and a command requesting generation of the trap type VP to the VP IC terminal 19V.
[0176]
When receiving the request, the VP IC terminal receives the last VP name stored in the cookie data area (in FIG. 11, EThreeIt is determined how many times (B13P) is encrypted (three times in FIG. 11), and the number of times of encryption one more than the number of times of encryption (four times in FIG. 11) is encrypted with the real name (B13P) of the VP name. New trap type VP name EFour(B13P) is generated. Then, the generated new trap type VP is output to the browser phone 30. Then, a determination of YES is made in S599, and the process proceeds to S600, in which processing for accessing the site is performed using the name of the trap type VP sent from the VP IC terminal. Therefore, if a name is requested from the site, the new trap type VP name EFour(B13P) is transmitted. However, the address transmits the address of B13P, that is, the address of the convenience store of the VP. The e-mail address transmits ΔΔΔΔΔ, which is an e-mail address established by the financial institution 7 for the trap type VP.
[0177]
Control then proceeds to S581, where trap information registration processing is performed. In this trap information registration process, since a new trap type VP is generated in accordance with S598, the newly generated trap type VP is transmitted to the VP management server 9 of the financial institution 7 so as to be registered in the database 12a. It is a process to do. In this processing, for example, security check processing similar to S143 to S145, S150 to S152, and S160 to S163 described later is performed, and then newly generated trap type VP data, that is, the trap type VP name and its trap type. This is a process of transmitting a site name using a VP name, a public key, a virtual account number, and a virtual credit number.
[0178]
Control then proceeds to S601, where it is determined whether a cookie has been sent from the site. If it has been transmitted, the control proceeds to S602, where the trap type VP name used at the site and the transmitted cookie data are transmitted to the VP IC terminal. The VP IC terminal performs processing for storing the transmitted cookie data in an area corresponding to the transmitted trap type VP name.
[0179]
If it is determined in S597 that an operation not to use the trap type VP is performed, the control proceeds to S121, and the VP IC terminal responds to the VP cookie, that is, the VP real name (B13P in FIG. 11). A stored cookie (abc, hij, amz, rak... In FIG. 11) is called, and a process of accessing the site together with the cookie is performed.
[0180]
In this case, the VP real name is used at the accessed site. Control then proceeds to S122, where it is determined whether a cookie has been sent from the site. If the cookie is transmitted from the site side, the control proceeds to S123, and the transmitted cookie is transmitted to the VP IC terminal 19V. In the VP IC terminal 19V, if the cookie data is transmitted alone, the cookie data transmitted is automatically stored in the storage area corresponding to the VP real name.
[0181]
FIG. 28A is a flowchart showing a subroutine program of the address, name, and e-mail address transmission process shown in S585. In S700, it is determined whether or not there is a request for transmission of an address, name, and e-mail address from the site side, and if not, this subroutine program ends. If there is, the control advances to S701, and processing for transmitting the name, address, and e-mail address of the VP used for the site is performed. For example, in the example shown in FIG. 11, since the VP name used for the site MTT is E (B13P), this name E (B13P) is transmitted. The address is the address of B13P, that is, □ ΔO (see FIG. 3). As the e-mail address, the e-mail address ΔΔΔΔΔ established by the financial institution 7 for the trap type VP is transmitted.
[0182]
As a result of this VP cookie processing and address, name, and e-mail address transmission processing, if a site is accessed as a trap-type VP, the previous trap-type is automatically accessed when the site is subsequently accessed. The name of the VP is used to access the previous trap type VP. Also, the cookie data sent from the site side is attached to the trap type VP name corresponding to the site. Specifically, referring to FIG. 11, once the site MTT is accessed using the trap type VP name E (B13P), the trap type VP name is always used when accessing the MTT thereafter. E (B13P) is used, and at that time, the MTT is accessed together with the cookie mtt sent from the previous MTT. On the other hand, the VP cannot access the MTT using its real name B13P. If such an access is to be made, a YES determination is made in S592, and the MTT is automatically accessed as E (B13P) in S593.
[0183]
When the VP IC terminal 19V is used, the name and address of the VP are collected on the site side, but the name and address of the RP are not collected on the site side. In addition, privacy can be protected also on the user side.
[0184]
In addition, by using the trap type VP name, as described above, it is possible to check illegal leakage of personal information.
[0185]
FIG. 28B is a flowchart showing a subroutine program for RP cookie processing shown in S104. In S125, it is determined whether or not the personal identification number has been checked. If the personal identification number has already been checked, YES is determined in S125 and the process proceeds to S132. On the other hand, if it is not checked that the password is an appropriate password, the process proceeds to S126, where a password input request is made, and if the user inputs the password of the RP IC terminal 19R from the keyboard, the process proceeds to S128. The input password and the process of transmitting it to the RP IC terminal are performed. Then, it waits until a reply indicating whether the password is appropriate is received from the RP IC terminal 19R (S129).
[0186]
If the determination result of the suitability of the personal identification number is returned from the RP IC terminal 19R, the process proceeds to S130, and it is determined whether or not the reply result is appropriate. If not, the process proceeds to S131. Notification (indication) that it is inappropriate is made. On the other hand, if the reply is appropriate, the process proceeds to S134, where it is determined whether or not there has been an access operation to the site, and if not, other processes in S137 are performed. On the other hand, if there is an operation for accessing the site, the process proceeds to S135, where it is determined whether or not a cookie (in this case, a tracking cookie) has been transmitted. When a cookie is transmitted from the site, the process proceeds to S136, and processing for rejecting the transmitted cookie is performed. As a result, when the RP IC terminal 19R is connected to the USB port 18 of the personal computer 30, all cookies (tracking cookies) sent from the site side are rejected, and the cookie is used for the RP. Recording on the IC terminal 19R can be prevented.
[0187]
As a result, when the user acts on the network as the RP using the IC terminal 19R for RP, the name and address of the RP, which is the user's real name of the tracking cookie, is not collected, User privacy is protected.
[0188]
FIG. 29 is a flowchart showing a subroutine program of the VP birth request process shown in S101. This VP birth request is a process for issuing a request for newly creating a PV to the VP management server 9. In S140, it is determined whether or not the personal identification number has been checked. If the personal identification number has been checked, the process proceeds to S141, but the proper personal identification number has not yet been checked. In this case, this subroutine program ends. If it is checked that the password is proper, the process proceeds to S141 to determine whether or not a V birth request operation has been performed. If the user operates the keyboard of the browser phone 30 to perform a VP birth request operation, the control proceeds to S142, and a process for transmitting the VP birth request request to the VP management server 9 of the financial institution 7 is performed. Next, the process proceeds to S143, and a legitimate organization check process is performed. This legitimate institution check process checks whether or not the counterpart institution (in this case, financial institution 7) is a legitimate institution, and prevents improper conduct by impersonating the financial institution 7. FIG. 30 (a) shows the subroutine program.
[0189]
First, a sub-routine program for legitimate institution check processing will be described with reference to FIG. This legitimate authority check process is a program on the check side corresponding to the legitimate authority certification process shown in FIG. First, in S160, it is determined whether or not an electronic certificate has been received and waits until it is received. In the legitimate authority certification process, as shown in FIG. 24, an electronic certificate is transmitted in S90. If this electronic certificate is transmitted, the control advances to S161, and processing for generating and transmitting a random number R is performed. Then, on the institution side, as shown in FIG. 24, in S92, a random number R received using the institution's private key SK is encrypted, L is calculated and transmitted. If the browser phone 30 receives the encrypted data L of R, the control proceeds to S163, where L is decrypted using the public key KP in the received electronic certificate, that is, DKP (L) is calculated. Is done.
[0190]
Then, the process proceeds to S144 in FIG. 29, and it is determined whether or not R = DKP (L). If it is a legitimate institution, it should be R = DKP (L). In this case, the process proceeds to S146. If another person is impersonating the financial institution 7, NO is determined in S144. Then, the process proceeds to S145, where a warning display indicating that the institution is not a legal institution is made by the browser phone 30, and this subroutine program ends.
[0191]
If it is confirmed that it is a legitimate institution, the process proceeds to S146, where it is determined whether or not an input request for the name and address of the RP has been received and waits until it is received. As described above, when receiving the VP birth request, the VP management server 9 transmits an input request for the name and address of the RP (see S2). If 30 is received, a YES determination is made in S146 and control proceeds to S147.
[0192]
In S147, a process of displaying an input instruction for the name and address of the RP on the display of the browser phone 30 is performed, and the process waits until there is an input (S148). When there is an input, the process proceeds to S149, and processing for transmitting the input data to the VP management server 9 of the financial institution 7 is performed.
[0193]
Next, the process proceeds to S150, and personal identification processing is performed. This identity verification process is a process for verifying whether or not the user who made the VP birth request is the identity of the person himself, and FIG. 34 (a) shows the subroutine program. Here, based on FIG. 34A, the subroutine program of the personal certificate will be described.
[0194]
This identity verification process is for performing identity verification based on the random number R when the random number R is transmitted based on S4, S62, etc. described above. First, in S125, it is determined whether or not the random number R has been received and waits until it is received. When the random number R is received, the process proceeds to S216, and the received random number R is transmitted to the IC terminal 19R or 19V. In the IC terminal, as will be described later, a process of generating and outputting response data I by encrypting the random number R using the stored authentication key KN or public key KP is performed. If the response data I is output, a determination of YES is made in S217, the process proceeds to S218, and processing for transmitting the I to the VP management server 9 is performed.
[0195]
When the VP birth request process shown in FIG. 29 is performed, the VP IC terminal 19V is connected to the USB port 18 of the browser phone 30. In the identity verification process at the time of the VP birth request process, the random number R is encrypted using the RP authentication key KN stored in the VP IC terminal 19V. This will be described later.
[0196]
As a result, the identity verification at the time of the VP birth request processing in S150 of FIG. 29 is proved to be RP.
[0197]
Next, the process proceeds to S151, where it is determined whether or not an access rejection has been received. If an access rejection has been received, the process proceeds to S152 and an access rejection is displayed. On the other hand, if access is permitted, the process proceeds to S153, and it is determined whether or not there is an input of the convenience store 2 desired by the user who has made the VP birth request. Since the address of the birth VP becomes the address of the convenience store 2, the user inputs information specifying the convenience store 2 from the keyboard of the browser phone 30 when there is the convenience store 2 desired by the user. . If there is an input, the data of the desired convenience store 2 is transmitted to the VP management server 9 through S154. When there is no input of the desired convenience store 2, as described above, the address of the convenience store 2 closest to the RP address is the address of the VP where the birth occurred.
[0198]
Next, the process proceeds to S155, where it is determined whether or not a VP public key transmission request has been made, and the process waits until it is received. As described above, when there is a VP birth request, the VP management server 9 issues a VP public key transmission request (see S30). If the browser phone 30 receives the transmission request, the control proceeds to S156 and issues a public key output request to the VP IC terminal 19V. Then, the VP IC terminal 19V outputs the stored VP public key KP. If there is an output, the control proceeds to S158, and the output public key KP is transmitted to the VP management server 9 of the financial institution 7.
[0199]
FIG. 30B is a flowchart showing a subroutine program of the electronic certificate issuance request process shown in S105. In S165, it is determined whether or not the check that the password is proper has been completed. If it has not been completed yet, this subroutine program ends. On the other hand, if it is checked that the password is proper, the process proceeds to S166, and it is determined whether or not an operation for issuing an RP electronic certificate is requested. When the user makes an issuance request by operating the keyboard of the browser phone 30, the control advances to S167, and an input instruction for the RP address and name is displayed. If the user inputs from the keyboard, the control advances to S169, and a process of calling the public key KP from the RP IC terminal 19R is performed. When performing the electronic certificate issuance request process, the user needs to connect his / her RP IC terminal 19R to the USB port 18 of the browser phone 30. Then, when the process of S169 is performed, the RP public key KP stored in the connected RP IC terminal 19R is output to the browser phone 30, and is output by S170. The public key KP and the input address and name of the RP are transmitted to the authentication server 11 of the financial institution 7.
[0200]
FIG. 31A shows a subroutine program for the VP input process shown in S102, and FIG. 31B is a flowchart showing the subroutine program for the RP input process shown in S106.
[0201]
When the VP input process is performed, the VP IC terminal 19V needs to be connected to the USB port 18 of the browser phone 30. In S175, it is determined whether or not the check of the proper password has been completed. If the check of the proper password has not been performed yet, this subroutine program is terminated. If the proper password has been checked, the process proceeds to S176, where it is determined whether or not a VP input operation has been performed. As described above, when a VP birth process is performed by the VP management server 9 of the financial institution 7, the name, address (address of the convenience store 2), name of the convenience store 2, and e-mail address of the created VP. , The IC terminal 19I in which the electronic certificate is stored is mailed, and if the user inserts the IC terminal 19I into the browser phone 30, a determination of YES is made in S176 and the process proceeds to S178, and the IC terminal 19I Is read and transmitted to the connected VP IC terminal 19V.
[0202]
If the user performs an operation of inputting knowledge data of the user agent for VP from the keyboard of the browser phone 30, a determination of YES is made in S177 and the process proceeds to S179, and processing for transmitting the input knowledge data to the IC terminal 19V for VP is performed. Made.
[0203]
If the user withdraws some funds from his / her own account of the financial institution 7, the withdrawal amount G is transmitted to the browser phone 30 (see S69). If the withdrawal amount G is input to the browser phone 30, a determination of YES is made in S180, the process proceeds to S181, and the withdrawal amount G is transferred to the VP IC terminal 19V and added and stored as a reload amount. The
[0204]
When the RP input process is performed, the RP IC terminal 19R needs to be connected to the USB port 18 of the browser phone 30. First, in S185, it is determined whether or not the proper password has been checked. If it has been checked, the process proceeds to S186 to determine whether or not the RP electronic certificate has been received. When the user requests the authentication server to issue an RP electronic certificate, the RP electronic certificate is created and transmitted to the browser phone 30 as described above (see S28). If the electronic certificate is transmitted, a determination of YES is made in S186 and the process proceeds to S187, where the received electronic certificate is transmitted to the RP IC terminal 19R and stored in the RP IC terminal. .
[0205]
If the user operates the keyboard of the browser phone 30 to input the knowledge data of the RP user agent, a determination of YES is made in S188 and the process proceeds to S189, and the input knowledge data is transferred to the RP IC terminal 19R. The RP IC terminal 19R stores the input knowledge data.
[0206]
When the user makes a withdrawal request to the settlement server 10 to withdraw a part of the funds in his / her account, as described above, the withdrawal amount G is transferred from the settlement server 10 to the user's browser phone 30. Sent to. Then, a determination of YES is made in S190, and the process proceeds to S191, where the debit amount G is transmitted to the RP IC terminal 19R, and processing for adding and updating G as the reload amount is performed.
[0207]
FIG. 32 is a diagram showing an overall schematic system when a user (having RP and VP) pays a credit card and performs settlement according to SET. First, when a card member performs a credit card issuance procedure, the server installed in the credit card issuing company 4 determines that an application for credit is issued and issues a credit card number to the card member. To do. At that time, when a card member requests issuance of a credit card for a VP, the server of the credit card issuing company 4 asks the user to input data such as the name and address of the VP, and based on the data The financial institution 7 is inquired whether the VP is registered in the financial institution or the like. Then, on the condition that it is confirmed that the VP is a legitimate VP stored in the database 12 of the financial institution 7, the server of the credit card issuing company 4 performs a process of issuing a credit number to the VP.
[0208]
That is, the server of the credit card issuing company 4 includes a credit number issuing step for issuing a virtual person credit number. Also included is a credit number issuing means for issuing a credit number for a virtual person. Further, as described above, the credit number issuing step or the credit number issuing means is based on the condition that it is confirmed that the virtual person for which the credit number is issued is a regular virtual person registered in the predetermined organization. The credit number is issued. A user who possesses a credit card issued by the credit card issuing company 4 (two types for RP and VP) issues a registration request for a member to make a transaction by SET to the authentication server 11. The authentication server 11 issues an authentication request to the credit card issuing company 4 as to whether or not the user is a credit member of the credit card issuing company 4. If an authentication response indicating that the credit card is issued by the credit card issuing company 4 is returned to the authentication server 11, the authentication server 11 creates an electronic certificate for SET and sends it to the card member.
[0209]
In order for the member store 6 such as an electronic mall to make a transaction by SET, first, a member registration request for the transaction by SET is issued to the authentication server 11. The authentication server 11 transmits an authentication request as to whether or not the member store 6 is a valid contract company to the member store contract company (Aqua Iara) 5 with which the member store 6 has a contract. When a reply indicating that the member store contract company 5 is a valid member store is returned, the authentication server 11 creates an electronic certificate for SET for the member store 6 and issues it to the member store 6. To do.
[0210]
In this state, when the card member conducts electronic shopping at the member store 6 and makes a transaction through SET, the card member first transmits a purchase request for goods, services, etc. to the member store 6. In the member store 6, an approval request as to whether or not to approve the purchase request is transmitted from the payment approval unit 33 to the credit card issuing company 4 via the payment gateway 27. If the approval response is returned from the credit card issuing company 4 to the member store 6 via the payment gateway 27, the member store 6 transmits to the card member that the purchase has been accepted. Further, the member store 6 transmits a payment request from the payment request unit 34 to the payment gateway 27. The payment gateway 27 transmits a settlement request corresponding to the payment request to the credit card issuing company 4 and returns a payment response to the member store 6.
[0211]
When the card member and the member store 6 make a purchase transaction of goods or services, each other's electronic certificate is transmitted to confirm that the person is an authorized person.
[0212]
When the credit card issuing company 4 issues a credit card to the RP as a user, card information such as the credit card number is input and stored in the user's RP IC terminal 19R. On the other hand, when the user receives a credit card issued from the credit card issuing company 4 as a VP, the electronic certificate issued for the VP is transmitted to the credit card issuing company 4 and the identity of the financial institution 7 is verified. It is necessary to have you. In addition, when the credit card issuing company 4 issues a credit card, card information such as the card number of the credit card is input and stored in the user's VP IC terminal 19V.
[0213]
The issuance of the electronic certificate for SET described above is also divided into two types of cases for RP and VP. Each issued electronic certificate for SET is input and stored in each IC terminal 19R or 19V.
[0214]
FIG. 33 is a flowchart showing a subroutine program of the VP settlement process shown in S103. First, in S195, it is determined whether or not the check that the password is proper has been completed. If it has not been completed, the subroutine program is terminated. If the password has been checked, the process proceeds to S196. move on.
[0215]
The VP settlement process includes a process of withdrawing a part of funds in the bank account of the user of the financial institution 7 and reloading it to the VP IC terminal 19V, a process of performing a settlement using a debit card, and a credit card. And a process of making a payment using the reload amount reloaded to the VP IC terminal 19V.
[0216]
If the user performs an operation of withdrawing a part of funds in his / her bank account and reloading it to the IC terminal for VP, the withdrawal request is transmitted to the settlement server 10 of the financial institution 7 in S197. Next, the process proceeds to S198, where a legitimate institution check process (see FIG. 30A) is performed.
[0217]
Next, go to S199 and R = DKPA determination is made as to whether or not (L), and if it is not a legal institution, a determination of NO is made in S119 and the process proceeds to S200, where a warning display indicating that it is not a legal institution is made. On the other hand, if it is a legitimate institution, R = DKPIn order to become (L), the control proceeds to S201, where it is determined whether or not a name input request has been made, and waits until there is a request. As described above, when there is a withdrawal request to the IC terminal, the settlement server 10 transmits a name input request (see S60). If this name input request is transmitted, a determination of YES is made in S201, and the process proceeds to S202, where the VP name is called from the VP IC terminal 19V and transmitted to the settlement server 10. Next, it progresses to S203 and a personal identification process (refer Fig.34 (a)) is made.
[0218]
Next, the process proceeds to S204, in which it is determined whether or not there has been a request for input of the withdrawal amount. If not, the process proceeds to S205, and it is determined whether or not there is a reply indicating that it is inappropriate. If the settlement server 10 determines that the legitimacy of the user cannot be confirmed during the looping of the loops 204 and 205, a reply indicating that it is inappropriate is made (see S79). As a result, a YES determination is made in S205, and the process proceeds to S207, where an inappropriate message is displayed on the display of the personal computer. On the other hand, when the payment server 10 determines that the person is a valid person as a result of the personal authentication, a request for input of the withdrawal amount is transmitted to the browser phone 30 (see S87). Then, a determination of YES is made in S204, and the process proceeds to S206.
[0219]
In S <b> 206, a process for displaying a withdrawal amount input instruction on the display of the browser phone 30 is performed. If the user inputs a withdrawal amount from the keyboard, a determination of YES is made in S208, and the process proceeds to S209, where the inputted withdrawal amount G is transmitted to the settlement server 10. When the settlement server 10 receives the withdrawal amount G, the settlement server 10 performs a process of subtracting G from the VP account and transmitting G (see S89). As a result, a determination of YES is made in S210, and the process proceeds to S211 to perform processing for transmitting the withdrawal amount G to the VP IC terminal 19V and updating G by adding it to the reload amount.
[0220]
If NO is determined in S196, the process proceeds to S220 in FIG. 34B to determine whether or not a debit card use operation has been performed. If there is a debit card use operation, the process proceeds to S235, and a process of transmitting a debit card use request to the settlement server 10 is performed. Next, the process proceeds to S221, and a legitimate institution check process (see FIG. 30A) is performed. And it progresses to S222 and R = DKPIt is determined whether or not (L). If it is not a legitimate institution, a determination of NO is made and the process proceeds to S223, and a warning is displayed indicating that it is not a legitimate institution. On the other hand, if it is a legitimate institution, the control proceeds to S224, where it is determined whether or not there has been a request for input of the PIN code number and card information of the debit card, and waits until there is. When there is a request for using a debit card, the settlement server 10 transmits a request for inputting a personal identification number and card information to the browser phone 30 (see S70). If the transmission is received, the control proceeds to S225, and a password input instruction is displayed on the display unit 76 of the browser phone 30. If the user inputs the personal identification number of the debit card from the keyboard, a determination of YES is made in S226 and the process proceeds to S227, where the card information is read from the VP IC card 19V and transmitted to the settlement server 10 together with the personal identification number.
[0221]
Next, the process proceeds to S228, and it is determined whether or not there is a reply indicating that it is inappropriate. The settlement server 10 that has received the personal identification number and the card information determines whether or not it is appropriate (S72), and if it is not appropriate, sends a reply indicating that it is inappropriate (see S79). If it is returned that it is improper, a determination of YES is made in S228, and the process proceeds to S229 to display that it is improper. On the other hand, if a reply indicating that it is inappropriate is not sent, the control advances to S230, and an instruction to input the usage amount is displayed on the display of the personal computer. If the user inputs the usage amount from the keyboard, a determination of YES is made in S231, the process proceeds to S232, and processing for transmitting the input usage amount G to the settlement server 10 is performed.
[0222]
As described above, the settlement server 10 that has received the usage amount G searches for a bank account corresponding to the user, subtracts the usage amount G, and returns the usage amount G to the browser phone 30 (S74). ).
[0223]
As a result, a determination of YES is made in S233, the process proceeds to S234, and a process for displaying a display to the effect that payment has been completed on the display unit 76 of the browser phone 30 is performed.
[0224]
If NO is determined in S220, the control proceeds to S238. In S238, it is determined whether or not a credit card use operation has been performed. If the user operates the keyboard 77 of the browser phone 30 and inputs the use of a credit card, the control advances to S237, and a process of transmitting a payment request by credit card to the member store 6 is performed. This member store is a store where the user intends to purchase goods or services. Next, the control advances to S239, and a legitimate engine check process is performed. This legitimate institution check process is shown in FIG. In accordance with the legitimate institution check process, the member store 6 transmits the member store's electronic certificate to the browser phone 30 of the customer, and then receives the random number R, the random number is used for its own private key KS. The encrypted result L is transmitted to the customer's browser phone 30.
[0225]
Control proceeds to S240, R = DKPIt is determined whether or not (L). If it is not a legitimate store (member store), a determination of NO is made in S240, and the process proceeds to S241 to display a warning indicating that the store is not a legitimate store. On the other hand, if it is a legitimate store (member store), the process proceeds to S242, where order information OI and payment instruction PI are created. The order information OI is information for specifying a purchase object such as a product or service, the number of purchases, and the like. The payment instruction PI is, for example, an instruction for paying credit using a credit card of any credit number.
[0226]
Next, the processing proceeds to S243, and a process of calculating a double digest MD obtained by connecting the order information OI and the message digest of the payment instruction PI is performed. In step S244, the double digest MD and the name of the VP using the credit card are transmitted to the VP IC terminal 19V to issue a signature instruction, and an output request for the VP electronic certificate is made.
[0227]
The VP IC terminal 19V that has received the output request for the VP name, signature instruction, and electronic certificate using the credit card collates the input VP name against the cookie data storage area, and the VP name is the real name B13P of the VP ( The number of times of encryption (see FIG. 11) is calculated. Then, the secret key is encrypted with the secret key for the number of times, and the input MD is decrypted using the encrypted secret key (KS) to generate a so-called double signature. This double signature is for convenience D(KS)Expressed as (MD). The VP IC terminal 19V has its D(KS)(MD) is output to the browser phone 30.
[0228]
When the VP name input in accordance with S244 is the VP's real name B13P, the VP IC terminal 19V stores the electronic certificate for the real name, so the stored electronic certificate is displayed in the browser. Output to the phone 30. On the other hand, when the VP name input in accordance with S244 is the trap type VP name, the VP IC terminal 19V does not store the electronic certificate for the trap type VP name. The electronic certificate for the trap type VP name is stored in the XML store 50 as described above. Therefore, in this case, the VP IC terminal 19V outputs an instruction to the XML phone 50 to request an electronic certificate to the browser phone 30.
[0229]
After outputting the request in S244 to the VP IC terminal 19V, if there is any reply from the VP IC terminal 19V, a YES determination is made in S245 and the control advances to S605. In S605, it is determined whether or not an instruction for obtaining an electronic certificate has been sent to the XML store 50. If the instruction is not for obtaining, the process proceeds to S246. If the instruction is for obtaining, the control proceeds to S606. In S606, the XML store 50 is accessed to search for an electronic certificate corresponding to the trap type VP name, and the process proceeds to S246, where the order information OI and the payment instruction PI are output as the signature D.(KS)Processing for transmitting (MD) and the VP electronic certificate to the member store 6 is performed. After confirming the information, the member store 6 transmits a purchase acceptance response for accepting the user's purchase request to the browser phone 30 of the user. Then, a determination of YES is made in S247, and the process proceeds to S248 to display that the transaction is completed.
[0230]
If NO is determined in S238, the process proceeds to S249, and it is determined whether or not a reload amount usage operation has been performed. If the user performs a keyboard operation to use the reload amount stored in the VP IC terminal 19V, the control advances to S250, and an input instruction for the amount used is displayed on the display of the browser phone 30. If the user inputs the usage amount from the keyboard, a determination of YES is made in S251, and the process proceeds to S252, where a process for transmitting the input usage amount G withdrawal request to the VP IC terminal 19V is performed.
[0231]
As will be described later, when receiving a withdrawal request, the VP IC terminal 19V decrements and updates the reload amount by the amount G used, and returns a signal to the browser phone 30 that the withdrawal has been completed. Then, a determination of YES is made in S252a, the process proceeds to S252b, and G payment processing is performed.
[0232]
The RP settlement process is a process having almost the same contents as the above-described VP settlement process, and therefore repeated illustration and description are omitted.
[0233]
FIG. 36A is a flowchart showing the VP Web browser and mail processing subroutine program shown in S58. In S607, it is determined whether or not there is a request for accessing the site. If not, it is determined whether or not a mail transmission request has been made. If not, this subroutine program ends.
[0234]
If the user operates the keyboard 77 of the browser phone 30 to access the site, a YES determination is made at S607 and control proceeds to S608. In S608, it is determined whether there is a nearby terminal that can use Bluetooth. Bluetooth is a code name of a short-range wireless communication interface of about 10 meters, and is standard on the browser phone 30. If there is no terminal connected to the wide-area / large-capacity relay network 43 that is 10 meters square and capable of using Bluetooth, the control advances to S612 and displays on the display unit 76 of the browser phone 30 that access is not possible. Processing is done. On the other hand, if there is a terminal that can use Bluetooth, the process proceeds to S609, and processing for accessing the site via the terminal using Bluetooth is performed.
[0235]
As described above, when the VP IC terminal 19V is connected to the browser phone 30 and the site is accessed from the browser phone 30 as a VP, the mobile phone base station 55, the mobile phone network 45, and the gateway 53 are connected to the site. Instead of accessing it, it is accessed via a terminal connected to a wide-area, large-capacity relay network. The reason is that there is a possibility that the current position may be determined using the radio wave transmitted by the browser phone 30 as a clue. In the case of the browser phone 30, in order to realize a call between the browser phones 30, the nearest base station 55 where the browser phone 30 is located is indexed and a call radio wave is transmitted from the base station 55. Therefore, the position information of the browser phone 30 can be specified. When the browser phone 30 that can be indexed to some extent is used and the browser phone 30 is used as an RP or a site is accessed as a VP, a certain RP and a certain VP are always It is statistically determined that it exists in the same position, and there is a possibility that the RP and the VP may be overlooked as being the same person.
[0236]
Therefore, when acting on the network using the browser phone 30 as a VP, the network is not transmitted through the terminal connected to the wide area / large capacity relay network 43 using Bluetooth without using the mobile phone network 54. I try to get inside.
[0237]
On the other hand, when the user operates the keyboard 77 of the browser phone 30 to make an e-mail transmission / reception request, a determination of YES is made in S610, the control advances to S611, and there is a terminal that can use Bluetooth nearby. A determination is made whether or not. If not, the process proceeds to S611a, and after controlling to display on the display unit 76 that the e-mail cannot be transmitted / received, this subroutine program ends. On the other hand, if there is a terminal that can use Bluetooth in the vicinity, the control advances to S613, and processing for sending and receiving e-mails via the terminal using Bluetooth is performed.
[0238]
FIG. 36B is a flowchart showing a subroutine program of the false RP access process shown in S584. If the user often acts on the network as a VP, a supplier who collects detailed personal information of both the RP and the VP performs a matching check on both personal information in a crushed manner, and the RP in which both personal information matches. There is a possibility that inconvenience arises that the name and VP name are determined and the name of the RP corresponding to the VP is predicted. One solution is to reduce the reliability of the personal information of the RP. The fake RP access processing automatically performs an operation of walking around the site by randomly accessing the site from the next to the next with the name of the RP.
[0239]
In S650, it is determined whether or not there has been a false RP access request. If not, this subroutine program ends. If the user operates the keyboard 77 of the browser phone 30 to make a fake RP access request, the control advances to S651 and processing for generating a random number R is performed. In step S652, a URL (Uniform Resource Locator) is created from the random number R. Next, in S653, processing for attempting to access the URL is performed. Next, in S654, it is determined whether or not the access is successful. Since this URL is randomly generated by a random number, there is not always a site corresponding to the URL. Therefore, if there is no corresponding site, NO is determined in S654, the control returns to S651 again, and the processes of S651 to S653 are repeated.
[0240]
If there is a site corresponding to the randomly generated URL by going through the loop of S561 to S564, a determination of YES is made in S654 and the process proceeds to S655, and the site to be accessed is set in advance. It is determined whether the access is within the allowable range. For example, the user inputs and sets an allowable range in which access may be made to the user agent stored in the RP IC terminal 19R. For example, an allowable access range is input and set so as to allow sites other than those related to customs sales. In S655, it is determined whether or not the site to be accessed with respect to the user agent stored in the RP IC terminal 19R connected to the browser phone 30 is within the access allowable range set in advance. Performs inquiry processing. If it is not within the allowable access range, the control returns to S651 again, and generation of a URL by a random number and access to the URL are attempted again.
[0241]
If it is determined in S655 that the access is within the allowable range, the control proceeds to S662, where a cookie is called from the RP IC terminal 19R and a process of accessing the site together with the cookie is performed.
[0242]
Next, control proceeds to S656, where the site is accessed, the user acts randomly within the site, and the address, name, fake preference information, etc. of the RP are provided to the site as much as possible. This process is performed in cooperation with the user agent in the RP IC terminal 19R connected to the browser phone 30. Control then proceeds to S660, where it is determined whether a cookie has been sent from the site. If not, the control proceeds to S657. If there is, the control proceeds to S661, and after the process of storing the transmitted cookie in the RP IC terminal 19R is performed, the process proceeds to S657.
[0243]
Next, in S657, a process for terminating the access to the site is performed. In S658, it is determined whether or not a predetermined time has elapsed. If the predetermined time has not yet elapsed, the process returns to S651 again. If it is determined that the subroutine program has been completed, the subroutine program ends.
[0244]
Referring to FIG. 37A, the VP IC terminal 19V performs a password check process in S253. In step S254, cookie processing is performed. Next, the process proceeds to S255, and personal identification processing is performed. In step S256, data input processing is performed. In step S257, user agent operation processing is performed. Next, the process proceeds to S258, and processing for using the reload amount is performed. In step S259, signature processing is performed. Next, trap type VP processing is performed in S615. This process will be described later with reference to FIG.
[0245]
Referring to FIG. 37 (b), IC terminal 19R for RP performs a password check process in S260, performs a personal identification process in S262, performs a data input process in S263, and performs a user agent process in S264. An operation process is performed, and a reloading amount usage process is performed in S265. In step S266, signature processing is performed.
[0246]
FIG. 38A is a flowchart showing a subroutine program for the password check process shown in S253 and S260. In S268, it is determined whether or not a password has been entered. If it has not been entered, the subroutine program ends. On the other hand, if the code number is input, the process proceeds to S269, where the input code number is checked against the stored code number. Next, the process proceeds to S270, where it is determined whether or not they match, and if they do not match, the process proceeds to S271 and a process of transmitting an inappropriate message to the browser phone 30 is performed. On the other hand, if they match, the process proceeds to S272, and a reply to the effect is sent.
[0247]
FIG. 38B is a flowchart showing a subroutine program for cookie processing (for VP) shown in S254. By S275, it is determined whether or not there is a cookie input. When a cookie is recorded in the browser phone 30 when the VP IC terminal 19V is connected to the browser phone 30, as described above, the recorded cookie data is transferred to the VP IC terminal 19V. It is transmitted (see S118). Also, when a cookie is transmitted from the site when the browser phone 30 accesses the site, the transmitted cookie data is transmitted to the VP IC terminal 19V (see S123). In the VP IC terminal 19V, if a cookie is transmitted in S118 or S123, a determination of YES is made in S275 and the process proceeds to S276, and the input cookie data is stored in the cookie storage area corresponding to the VP name. To do.
[0248]
On the other hand, if NO is determined in S275, the process proceeds to S277 to determine whether there is a cookie call. When accessing the site via the browser phone 30, a cookie is called from the VP IC terminal 19V and the site is accessed together with the cookie (see S121). If the cookie call processing is performed, YES is determined in S277, and the process proceeds to S278, where the cookie data stored in the cookie storage area corresponding to the VP name and, if necessary, the trap type VP name are displayed on the browser phone. Processing to output to 30 is performed.
[0249]
FIG. 38C is a flowchart showing a subroutine program of the personal identification process (for VP) shown in S255. In S280, it is determined whether or not a random number R has been input. If not, this subroutine program ends. When the random number R is input, the process proceeds to S281, and it is determined whether or not it is a VP birth request time. In the case of a VP birth request, as described in S6 and S151, it is necessary to prove that the RP is an authorized person using the RP authentication key KN. For this reason, in the case of a VP birth request, the process proceeds to S283, where the input random number R is encrypted with the RP authentication key KN to generate I, that is, I = EKN (R) is calculated. Then, in step 284, the calculated I is output to the browser phone 30.
[0250]
On the other hand, if it is not at the time of the VP birth request, NO is determined in S281 and the process proceeds to S282, and the random number R input using the VP secret key KS is used to prove that the VP is a legitimate person. Processing to calculate I by encryption, ie, I = ESKProcessing for calculating (R) is performed. In S248, the calculated I is output to the browser phone 30.
[0251]
FIG. 38D is a flowchart showing a subroutine program of the personal identification process (for RP) shown in S262. In S287, it is determined whether or not the random number R has been input. If it has not been input, this subroutine program ends. On the other hand, if it is input, the control proceeds to S288, in which the input R is encrypted using the authentication key KN stored in the RP IC terminal 19R to calculate I, that is, I = EKN(R) calculation processing is performed. Next, the process proceeds to S289, where the calculated I is output to the browser phone 30.
[0252]
FIG. 39A is a flowchart showing a subroutine program for data input processing shown in S256 and S263. In S293, it is determined whether or not data has been input. As described above, as input data, as described above, CD-ROM recording data in which data related to the VP created by the VP management server 9 is recorded, user agent knowledge data (see S179, S189), and withdrawal amount G (See S181 and S191). If these data are input, the control advances to S294, and a process of storing the input data in the storage area corresponding to the input data is performed.
[0253]
FIG. 39B is a flowchart showing a subroutine program of the user agent operation process shown in S257 and S264. Through S295, it is determined whether or not there has been a public key output request. If there is a public key output request, the process proceeds to S298, and a process of outputting the stored public key KP is performed. If NO is determined in S295, the process proceeds to S296, and it is determined whether or not an output request for debit card information has been made. If there is, the process proceeds to S299, and the stored debit card information is output.
[0254]
If NO is determined in S296, the process proceeds to S297 to determine whether or not there is a request for outputting credit card information. If there is, the process proceeds to S300, where the stored credit card information is output. Next, the process proceeds to S301, and other operation processes are performed. This other operation processing will be described later with reference to FIG.
[0255]
FIG. 39C is a flowchart showing a subroutine program of the reload amount use process shown in S258 and S265. In S302, it is determined whether or not a withdrawal request for the withdrawal amount G has been made, and if not, this subroutine program ends. If there is, the process proceeds to S303 where the stored reload amount is subtracted from G, and the process proceeds to S304 where a withdrawal completion signal is returned.
[0256]
FIG. 39D is a flowchart showing a subroutine program for signature processing shown in S259 and S266. In S370, it is determined whether or not a message digest MD has been input. If not, the subroutine program ends. On the other hand, if the MD is transmitted to the IC terminal by S244 or the like, a determination of YES is made in S370 and the process proceeds to S371, where the input message digest MD is decrypted with the private key KS to generate an electronic signature. The In step S372, the electronic signature DKS (MD) is output.
[0257]
FIG. 39 (e) is a flowchart showing a subroutine program of the VP signature process shown in S259. In S999, it is determined whether or not the message digest MD and the VP name have been input from the browser phone 30, and if not, this subroutine program ends.
[0258]
If the MD and VP name are input, the control advances to S998, and a process of generating a secret key (KS) from the input VP name is performed. Specifically, the IC terminal 19V for VP searches the cookie data storage area based on the inputted VP name, and the inputted VP name encrypts the real name B13P (see FIG. 11) many times. Find out if there is. The secret key (KS) is generated by encrypting the secret key of the VP with the secret number of the VP for the determined number of times of encryption.
[0259]
Next, the control advances to S997, and a process of generating a double signature by decrypting the message digest MD using the secret key (KS) is performed. Control then proceeds to S998, where the double signature D(KS)Processing to output (MD) to the browser phone 30 is performed.
[0260]
FIG. 40 is a flowchart showing a subroutine program of other operation processing described in S301. Through S305, it is determined whether or not a personal information transmission request has been received. This personal information is the user agent knowledge data shown in FIG. 10, for example, personal information such as age, occupation, various types of preference information, and family structure. Note that the VP address, name, and email address are processed in S700 and S701. When a user accesses the member store 6, the life support center 8, or other various sites, personal information may be requested from the site side. If a request for personal information is received, control proceeds to S306, where it is determined whether a privacy policy has been received. When the site requests personal information, the site transmits a privacy policy that clearly indicates the purpose of collecting the personal information and the range of use. If the privacy policy is received, the control advances to S307 to determine whether or not the personal information can be transmitted.
[0261]
This determination is made in advance by setting whether or not the user can transmit personal information to the IC terminal 19R or 19V in advance, and the determination is made based on the input setting data. If YES is determined in S307 based on the type of personal information to be transmitted and the content of the privacy policy, the process proceeds to S310, where the privacy policy and the personal information are collectively stored in the IC terminal 19R or 19V. Processing for decrypting with the key KS and generating an electronic signature is performed. In step S310, the requested personal information and electronic signature are transmitted to the site.
[0262]
Next, the control advances to S313, and a process for changing the character of the VP according to the type of the site that has transmitted the personal information transmission request is performed. The VP IC terminal 19V stores a program as a user agent, and a program often used in the field of game software that changes the character of the VP according to the type of site accessed by the user. It is remembered. For example, when a user frequently accesses an academic site as a VP, the personality of the VP is intelligent and scholarly. On the other hand, when the user frequently accesses a site related to customs, the personality of the VP becomes a sloppy and broken personality.
[0263]
If NO is determined in S307, the process proceeds to S308, where it is determined whether or not the requested personal information cannot be output. If it is determined that the personal information cannot be output, the process proceeds to S311 and the transmission rejection is made. Is sent to the site, the process proceeds to S313.
[0264]
If the user agents stored in the IC terminals 19R and 19V cannot determine whether transmission is possible or not, control proceeds to S309, and the personal information and privacy policy for which the output request has been received are displayed on the browser phone. A process for outputting to the display 30 and asking the user himself / herself to permit transmission is performed. The user who sees it inputs from the keyboard whether or not transmission is allowed. If there is an input indicating that transmission is allowed, a determination of YES is made in S312 and the process proceeds to S310. However, if there is an input that should not be transmitted, a determination of NO is made in S312 and the process proceeds to S311. .
[0265]
If NO is determined in S <b> 305, the process proceeds to S <b> 314, and it is determined whether or not there is a conversation request from the user RP. When the user wants to talk to the VP (VP user agent), the user inputs an operation for requesting the conversation from the keyboard. Then, a determination of YES is made in S314, and the process proceeds to S314a, where it is possible to have a conversation while reflecting the current accuracy of the VP.
[0266]
FIG. 41 is a flowchart showing a subroutine program of the trap type VP process shown in S615. In S620, it is determined whether or not there is a request for generating a new trap type VP. If not, the process proceeds to S623 to determine whether or not there is an inquiry as to whether or not the trap type VP has been used. If not, this subroutine program ends.
[0267]
If the browser phone 30 issues a request for generating a new trap type VP to the VP IC terminal 19V in accordance with S598, a YES determination is made in S620, and the control advances to S621. In S621, the encryption number n of the last VP name in the cookie data area of the IC terminal 19V for VP is incremented by “1”, and the real name of the VP is encrypted with the secret key n + 1 times to generate a new trap type VP name. Processing is done. For example, in the case of FIG. 11, the last VP name E in the cookie data area.ThreeThe number of encryptions of (B13P) is 3, and “1” is added to this to make the number of encryptions 4 and the real name B13P of VP is encrypted 4 times to obtain a new trap type VP name EFourProcessing to generate (B13P) is performed.
[0268]
In step S622, the generated trap-type VP is output to the browser phone 30 and stored in the empty area next to the last VP name in the cookie data area.
[0269]
If the browser phone 30 makes an inquiry as to whether or not the trap-type VP is already used at the site to which the browser phone 30 is currently accessing the VP IC terminal 19V in accordance with S590, a determination of YES is made in S623 and control is performed. The process proceeds to S624. At the time of this inquiry, the browser phone 30 also transmits the name of the site to be accessed to the VP IC terminal 19V. In S624, a process for searching the cookie data area (see FIG. 11) is performed. Control proceeds to S625, where it is determined whether or not the trap type VP name has been used for the transmitted site name. For example, when the site name transmitted from the browser phone 30 is MEC, referring to FIG.2It can be seen that (B13P) has been used.
[0270]
If it is determined that the trap type VP name has been used, the control advances to S626, and the fact that it has been used is output to the browser phone 30. At S627, the trap type VP used and the corresponding type. Processing for outputting the cookie data to the browser phone 30 is performed. For example, in the case of FIG. 11, when the transmitted site name is MEC, the trap type VP is E.2(B13P) is output to the browser phone 30, and the cookie data mec is output to the browser phone 30.
[0271]
As a result of searching the cookie data area of FIG. 11, if the trap type VP is not yet used for the site name transmitted from the browser phone 30, a determination of NO is made in S625, and the control advances to S628. A process of outputting the usage message to the browser phone 30 is performed.
[0272]
42 and 43 are flowcharts for explaining the processing operation of the server 16 of the convenience store 2. In S315, it is determined whether or not the VP's name, e-mail address, and financial institution name have been received. If not, the process proceeds to S316 to determine whether or not the VP has kept the purchased product. If not, the process proceeds to S317, where it is determined whether or not the product has been picked up. If not, the process proceeds to S318, and after other processing is performed, the process returns to S315.
[0273]
If the name, e-mail address, and name of the financial institution where the settlement server 10 was born were sent to the convenience store 2 during the loop of S315 to S318 (see S18), a YES determination is made at S315. The process proceeds to S319, and after the legal authority check process is performed, the process proceeds to S320.
[0274]
In S320, R = DKPIt is determined whether or not (L), and if it is not a legal institution, a determination of NO is made and the process proceeds to S321, where a warning display indicating that it is not a legal institution is made. On the other hand, if it is a legitimate institution, a determination of YES is made in S320, the process proceeds to S322, and processing for registering received data in the database 17 is performed.
[0275]
When the user performs, for example, electronic shopping as a VP, and the purchased product is delivered to the convenience store 2 that is the address of the VP, and the convenience store 2 deposits the product, a determination of YES is made in S316 and the process proceeds to S316a. The process proceeds to store information indicating that the product has been stored in the address area of the product storage information of the corresponding VP. At this time, information on whether or not the product has been settled is also stored. Next, the control advances to S323, where an e-mail address of the VP is determined, and an e-mail indicating that the merchandise has been stored is sent to the e-mail address. By looking at the e-mail, the VP can know that the purchased item has been delivered to the convenience store, and goes to the convenience store to pick up the item.
[0276]
If the user goes to the convenience store 2 as a VP and performs an operation for picking up the delivered goods, a YES determination is made in S317. Then, the control proceeds to S324, and an instruction for inserting the VP IC terminal 19V is displayed. The user who sees it plugs his / her VP IC terminal 19V into the USB port of the terminal 73 and connects it. Then, a determination of YES is made in S325, and the process proceeds to S326, where a password number check process is performed. The user inputs a password for VP from a keyboard provided on the terminal 73. On the condition that the passwords match and are appropriate, the control advances to S327, and a process for calling the name of the VP from the connected VP IC terminal 19V and searching the database 17 based on it is performed. Then, in S328, it is determined whether or not the merchandise custody information is recorded in the address area of the merchandise custody information of the corresponding VP. If there is no product custody information, the process proceeds to S329 and a message that there is no custody product is displayed. On the other hand, if there is merchandise custody information, the process proceeds to S330, and an electronic certificate output request is made to the VP IC terminal 19V. In response to this, the VP IC terminal 19 </ b> V outputs the stored electronic certificate to the server 16. Then, a determination of YES is made in S331, the process proceeds to S332, the public key KP in the output electronic certificate is read, and the identity check process is performed in S333.
[0277]
As described above, the inserted VP IC terminal 19V stores the electronic certificate for the VP real name, but does not store the electronic certificate for the trap type VP, and does not store the electronic certificate for the trap type VP. The certificate is stored in the XML store 50. When electronic shopping or the like is performed using the VP real name and the purchased product is delivered to the convenience store 2, the VP name called according to S327 becomes the VP real name. In this case, the VP IC terminal 19V can output an electronic certificate in accordance with the request of S330. In that case, a YES determination is made in S331, and control proceeds to S332. On the other hand, when electronic shopping is performed using the trap type VP name and the purchased product is delivered to the convenience store 2, the product is picked up as a trap type VP to the convenience store 2. In this case, the VP name called from the VP IC terminal 19V by S327 becomes the trap type VP name. As a result, an electronic certificate output request corresponding to the trap type VP name is issued from S330 to the VP IC terminal 19V. In this case, the VP IC terminal 19V outputs an instruction to request an electronic certificate from the XML store 50.
[0278]
If there is an output, control proceeds to S631, and after processing for accessing the XML store 50 and obtaining the corresponding electronic certificate is performed, control proceeds to S332.
[0279]
Next, the process proceeds to S334, where R = DKPIt is determined whether or not (I). If it is an improperly impersonated VP, NO is determined in S334, and the process proceeds to S335 to display that it is inappropriate. On the other hand, if it is an appropriate VP, the control proceeds to S336, the custody product number is displayed, and it is determined in S337 whether or not the product has been settled. If the payment has not been completed, the process proceeds to S338, where payment processing is performed.
[0280]
In S339, it is determined whether or not the delivery of the product has been completed. The store clerk of the convenience store 2 looks at the stored product number displayed in S336, finds the product with the corresponding number, delivers the product to the customer, and then performs a product delivery completion operation. Then, YES is determined in S339, and the process proceeds to S340. The address area of the merchandise custody information in the database 17 is updated to make the merchandise custody-free state, and then the process returns to S315.
[0281]
The password check process in S326 is shown in FIG. In S345, a password input instruction is displayed. If the user inputs it, the process proceeds to S347, where the input password is transmitted to the VP IC terminal 19V connected to the server 16, and whether the password is appropriate or not. If the determination result is returned from the VP IC terminal 19V, the process proceeds to S349. In S349, it is determined whether or not the determination result is appropriate, and if it is inappropriate, an inappropriate display is made in S350 and the process returns to S315. If it is appropriate, this subroutine ends and the control proceeds to S327.
[0282]
The identity checking process in S333 is shown in FIG. In S355, a process of generating a random number R and transmitting it to the VP IC terminal is performed, and the process waits until response data I for the challenge data R is returned from the VP IC terminal. If I is returned, this subroutine ends.
[0283]
The settlement process in S338 is shown in FIG. By S359, the process of displaying the price of the stored product is performed, and the process proceeds to S360, where it is determined whether or not there is a deposit. If not, the process proceeds to S362, where it is determined whether or not a payment operation has been performed with the reload amount. If not, the process returns to S360. Then, if the user pays with cash and the clerk at the convenience store performs an operation to confirm that the deposit has been made, a determination of YES is made in S360 and the process proceeds to S361, where the deposit processing is performed to the account of the merchandise sales company. The subroutine program ends.
[0284]
On the other hand, if the user performs an operation to make a payment operation using the reload amount stored in the VP IC terminal 19, a determination of YES is made in S362, and the process proceeds to S363, where the price G is reduced. The request is transmitted to the VP IC terminal 19V. Then, the process proceeds to S364, where it is determined whether or not a withdrawal completion signal has been output from the VP IC terminal 19V, and waits until it is output. If a withdrawal completion signal is received, a YES determination is made in S364 and the process proceeds to S361.
[0285]
Next, another embodiment will be described. This another embodiment is a simple system in which a personal information protection system is completed by a user terminal such as the browser phone 30 or a user's personal computer, the IC terminal 19 and a Web site. The difference from the above-described embodiment is that the email address of the trap type VP is the same as the email address of the VP real name. Therefore, it is not necessary for the financial institution 7 to transfer the email addressed to the trap type VP. The name of the trap type VP is obtained by encrypting the name of the site accessed by the trap type VP with the secret key used for the VP real name. The account number and credit number of the trap type VP are the same as the account number and credit number used by the VP as their real names.
[0286]
FIG. 44 (a) is a diagram showing information stored in the cookie storage area of the EEPROM 26 of the VP IC terminal 19V. In this cookie storage area, only the real name B13P of the VP is stored as the VP name, and no trap type VP name is stored. The name of the trap type VP is obtained by encrypting the site accessed as the trap type VP with the secret key KSB of the real name VP. The number of times of encryption is not limited to one, but may be a predetermined number of times of two or more. Therefore, by storing only the name of the site accessed by the trap type VP, the name of the trap type VP corresponding to the site name can be stored without having to memorize it.KSBIt can be calculated as needed according to the calculation formula of (site name). The trap type VP secret key is obtained by decrypting the site name corresponding to the trap type VP with the secret key KSB of the real name VP. Therefore, it is not necessary to store the public key or the secret key in the VP IC terminal 19V in correspondence with the trap type VP, and the secret key = DKSBIt can be calculated as needed according to the calculation formula of (site name). Therefore, it is not necessary to store the “encryption count” in the XML store 50.
[0287]
FIG. 44B is a flowchart showing a subroutine program of the trap type VP process. This subroutine program is another embodiment of the trap type VP process shown in FIG. In S960, it is determined whether a request for generating a new trap-type VP has been issued from the browser phone 30. If there is a request, control proceeds to S959, and an input request for the name of the site to be accessed is issued to the browser phone 30. . If the name of the site to be accessed is transmitted from the browser phone 30, the control advances to S957, and the transmitted site name is encrypted with the private key KSB of the VP real name B13P, and the new trap type VP name is used. A certain EKSBProcessing for calculating (site name) is performed. Control then proceeds to S956, where the calculated new trap-type VP name is output to the browser phone 30, and in S954, the input site name is stored in the cookie storage area.
[0288]
Since S953 to S948 are the same control as S623 to S628 shown in FIG. 41, the description will not be repeated.
[0289]
FIG. 44 (c) is a flowchart showing a subroutine program for personal information distribution check performed by the VP IC terminal 19V. In S970, it is determined whether or not an e-mail has been received. If not, the subroutine program ends. If the e-mail addressed to the trap type VP is received, the browser phone 30 inputs the e-mail data to the VP IC terminal. Control then proceeds to S969, where the input e-mail address is decrypted with the public key KPB used as the VP's real name DKPB(Address) is calculated, and it is determined whether or not the calculation result matches the sender name of the email.
[0290]
The e-mail address is the trap type VP name, and the trap type VP name is obtained by encrypting the site name accessed by the trap type VP with the VP secret key KSB. Therefore, if an email is sent to the trap type VP from the site accessed by the trap type VP using the name, a YES determination is to be made in S969. In that case, the fact that it is appropriate is output to the browser phone 30 in S968, and that fact is displayed on the display unit 76 of the browser phone 30. On the other hand, if an e-mail is sent from a site other than the site accessed by the trap type VP using the name as the e-mail address of the trap type VP, a NO determination is made in S969, and the control advances to S967. move on. In S967, a process of decrypting the e-mail address with the public key KPB of the real name VP is performed. As a result, the name of the trap-type VP, which is the e-mail address, is decrypted with the public key KPB, and the plaintext site name is calculated. This site name is the name of the site accessed as the VP name used for the e-mail address, and it is considered that the accessed site illegally distributed personal information to the e-mail sender. Therefore, by S967, DKPB(Address) is illegally distributed, and a message indicating that the sender name has been illegally obtained is output to the browser phone 30. The browser phone 30 displays that fact on the display unit 76.
[0291]
If NO is determined in S969, the process may proceed to S967 only when NO is determined in S494a after the processing of S494 and S494a in FIG. 17 described above is performed.
[0292]
Next, modifications, feature points, and the like in the embodiment described above are listed below.
(1) As described above, in the case of a portable transceiver that transmits / receives to / from the nearest base station such as browser phone (mobile phone) 30 or PHS (Personal Handy-phone System), the nearest base In order to identify the station, the current location of the portable transceiver is determined to some extent. When performing actions on a network such as accessing a site as a VP using such a portable transceiver, the position is specified to some extent while using the portable transceiver as the VP. There is a risk that. As a result, a statistical result that a certain VP is always located at the same place as a certain RP is determined, and the relation between the VP and the RP may be overlooked.
[0293]
Therefore, the following means is adopted.
A portable transceiver that can be carried by a user to and from a nearby base station by radio waves and enter the network through the base station,
When a real person (real person) in the real world acts on the network, the virtual person processing function (S100 to S103, S580) for impersonating a virtual person (virtual person) and acting as the virtual person , S582 to S585),
When the user enters the network as a virtual person using the virtual person processing function, the terminal performs wireless communication (Bluetooth) directly to the terminal connected to the network, and does not enter the route from the base station. A portable transceiver (browser phone 30 or the like) including virtual person separate route entry means (S607 to S613) for performing processing for entering the network from the network.
[0294]
As a result of adopting such means, when entering the network as a virtual person, the user can enter another route instead of the entry route from the base station using the virtual person alternative route entry means As a result, the inconvenience of specifying the position of the virtual person can be prevented as much as possible.
[0295]
The following may be adopted as means for producing such an effect.
A program for operating a processor (CPU 197) provided in a portable transceiver (such as browser phone 30) that is carried by a user and transmits / receives to / from the nearest base station by radio waves. ,
In the processor,
When a real person (real person) in the real world acts on the network, the virtual person processing means (S100 to S103) performs processing for impersonating the virtual person (virtual person) and acting as the virtual person. , S580, S582 to S585),
When the user enters the network as a virtual person by the virtual person processing means, wireless communication is performed directly to a terminal connected to the network so that the terminal does not enter the network from the base station. Route entry means (S607 to S613) for virtual persons entering the road,
Program to function as.
[0296]
(2) There is a need for a trader who uses a user's personal information to confirm whether or not the personal information desired to be provided is really correct.
[0297]
Therefore, the following means are adopted.
A true / false check processing means (S420) for performing a process for checking the authenticity of the personal information when there is a registration request of the personal information from the user to the predetermined organization;
A digital signature means (S425) for applying a digital signature of the predetermined organization to personal information determined to be correct as a result of the processing by the authenticity check processing means;
Personal information storage means (S425, database 12a) for storing the personal information to which the digital signature has been applied in a manner that allows the user of the personal information to be specified;
A personal information system comprising: search means for searching personal information corresponding to a user name from the personal information storage means in response to a request from a client who designates a user name.
[0298]
This personal information system may further include the following means.
When requesting a genuine check of the personal information owned by the client, the personal information corresponding to the personal information owned by the client to be checked is searched from the personal information storage means, and the search is performed. Authenticity checking means (S471, S472) for checking the authenticity of the client personal information with the personal information of the client
A result notifying means (S487) for notifying the requester of the true / false result of the true / false checking means;
A digital signature means (S486) for applying a digital signature of the predetermined organization to the personal information when the result of the check by the authenticity checking means and the personal information of the requester are correct.
Means (S476, S477) for asking the user corresponding to the personal information that is subject to authenticity check whether or not the client may be notified of the result of the authenticity check by the authenticity checking means. ),
Negotiation processing means (S504 to S506) for performing processing for negotiating the consideration for the purchase when a request for purchase of the personal information stored in the personal information storage means is received from the client;
A transmission unit (S509) for transmitting the personal information to be purchased to the purchase requester together with the digital signature of the predetermined organization for the personal information when negotiation is established as a result of the negotiation by the negotiation processing unit;
When negotiation is established as a result of the negotiation processing means, a digital signature of each of the user corresponding to the personal information to be purchased, the purchase requester, and the predetermined organization is stored with the conditions established. Storage means (S508).
[0299]
(3) If a user often acts on the network as a VP, a supplier who collects detailed personal information of both the RP and the VP performs a matching check on both personal information in a crushed manner. There is a possibility that the inconvenience that the matching RP name and VP name are determined and the name of the RP corresponding to the VP is predicted. Therefore, the following solution is adopted.
[0300]
When a real person in the real world (real person) acts on a network, it is a personal information protection device used for a personal information protection method that impersonates a virtual person (virtual person) and can act as the virtual person. And
A personal information protection device including access means (S651 to S662) for accessing a site that the real person does not intend in response to the request of the real person.
[0301]
As a result of adopting such means, access to a site unintended by the real person is automatically performed, and the reliability of the personal information of the real person can be reduced. As a result, it is possible to reduce the reliability of the matching check result of both personal information of the real person and the virtual person.
[0302]
This personal information protection device may further include the following means.
Action means (S656) for performing an action unintended by the real person in the site accessed by the access means,
Personal information provision processing means (S656) for performing processing for providing the real name (Taro) of the real person to the site accessed by the access means;
Cookie acceptance processing means (S660, S661) for performing processing for receiving and storing identification data (cookie) transmitted to identify a user from the site accessed by the access means;
An access prohibiting means that is provided in the access means and determines whether or not a site to be accessed is within an access allowable range set in advance by a user and does not access if the site is not within the access allowable range (S655);
The personal information protection device is configured by the user side terminal (browser phone 30 or the like) in the above-described embodiment. However, the present invention is not limited to this, and for example, a false RP in response to a request from the user side. A predetermined service organization that performs an access processing service may be installed, and when the user requests the service organization, the above-described access means, action means, and the like may be operated. Further, preference information different from the preference information of the actual person may be provided to the site side.
[0303]
(4) The terms “person” and “individual” in the present invention are broad concepts including not only natural persons but also corporations. “Anonymous” in the present invention means the name of a virtual person (VP), and the name of the virtual person and the anonymity of a real person are the same concept. Therefore, the virtual person's address, e-mail address, and electronic certificate are the address, e-mail address, and electronic certificate when the real person acts anonymously on the network.
[0304]
The “personal information protection device” in the present invention is a wide concept including not only a single device but also a system constructed so as to cooperate in order to achieve a certain object.
[0305]
(5) As shown in FIG. 1, in this embodiment, the financial institution 7 is provided with a VP management function, a settlement function, and an authentication function. However, the VP management function is separated and independent from the financial institution 7. Alternatively, a VP management function may be assumed by a predetermined organization having a confidentiality obligation other than a financial institution. The predetermined organization that takes over may be a public organization such as a government office. Furthermore, an electronic certificate issuing function for issuing an electronic certificate to the RP or VP may be separated and independent from the financial institution 7 and be replaced by a specialized certificate authority.
[0306]
In the present embodiment, the address of the convenience store 2 is the VP address, but instead, for example, a post office or a distribution center for goods at a logistics company may be used as the VP address. In addition, a dedicated facility serving as the VP address may be newly installed.
[0307]
In the present embodiment, the process of creating a VP is performed by the financial institution 7 as an example of a predetermined institution. However, the present invention is not limited to this. For example, the user himself / herself (the browser phone 30 or the like) The VP may be born (born), and VP information such as the name, address, public key, account number, and e-mail address of the VP may be registered in a predetermined organization such as the financial institution 7. .
[0308]
In addition, the created VP does not necessarily have to be registered with a predetermined organization.
(6) The IC terminal 19R or 19V as an example of a processing device may be configured by an IC card, a mobile phone, or a portable terminal such as a PHS or PDA (Personal digital Assistant). When these portable terminals are used, two types of VP portable terminals and RP portable terminals may be prepared, but the VP mode or the RP mode can be switched. In addition, one type of portable terminal may be sufficient.
[0309]
Instead of installing application software by the IC terminal 19I shown in FIG. 9, the application software may be downloaded from the supplier of the application software to the browser phone 30 or the like via the network.
[0310]
(7) In this embodiment, as shown in FIG. 12, the electronic certificate of the VP is automatically generated and issued when the VP is born. Instead, from the user, The creation and issue of a VP electronic certificate may be performed only when an electronic certificate issuance request is received.
[0311]
As shown in FIG. 23 and the like, in this embodiment, the RP authentication key KN is used when performing RP identity authentication. However, when the RP has issued an electronic certificate. RP personal authentication may be performed using the public key in the electronic certificate.
[0312]
(8) Instead of the browser phone 30, a personal computer may be used.
[0313]
The email addresses ΔΔΔΔΔ established by the financial institution 7 for the trap type VP may be prepared for a plurality of types instead of only one type of email address, and used for each trap type VP name. By S620 to S622 or S960 to S956, when there is a request for generation of a new anonymity (trap type VP name), a new anonymity generation unit that generates anonymity that has not been used so far is configured. When there is an anonymous registration request newly generated for an anonymous registration institution (financial institution 7 or EEPROM 26) that performs anonymous registration generated by the new anonymous generation means by S431 to S441 or S954, the anonymous An anonymous registration means for registering is configured.
[0314]
In S450 to S460 described above, when the user requests the registration authority that registers the personal information of the user to confirm the personal information of the user, personal authentication means (S452 to S458) is used to authenticate the user. The personal information transmitting means is configured to transmit the personal information corresponding to the user to the user on the condition that the user is confirmed as a result of the personal authentication.
[0315]
The trap type VP name shown in FIG. 44A may be a combination of the site name and the VP secret key KSB.
[0316]
That is, by S957, DKSBThe trap type VP name may be generated by calculating (site name). In that case, EKPB(E-mail address) = sender name is determined by the calculation formula. In S967, EKPBThe processing is such that (e-mail address) is illegally leaked and that the sender's name is illegally obtained.
[0317]
By the above-described S957, anonymity generating means for generating anonymity generated by encrypting or decrypting the name of the site with a key (secret key KSB) that can be used by the user is configured for the site accessed by the user through the network. ing.
[0318]
Information that can identify identification information used to identify a site that the user has accessed through the network and provided his / her personal information, and the person who obtained the personal information sends an e-mail to the user who is the principal person of the personal information In this case, as the identification information to be included in the mail, anonymous (trap type VP name) is used in the above-described embodiment, but instead of or in addition, a plurality of e-mail addresses used for each site. Or a direct mail address (post office box, etc.) may be used.
[0319]
(9) A personal information protection system for protecting personal information on a network (wide area / large capacity relay network 43),
When a real person (real person) in the real world acts on the network, the virtual person performs processing to impersonate a virtual person (virtual person) and create a predetermined virtual person to be able to act as the virtual person Person birth processing means (S1 to S12);
A personal information protection system comprising registration processing means (S15) for performing processing for registering information capable of specifying the correspondence between the real person and the virtual person at a predetermined organization having a confidentiality obligation.
[0320]
(10) The predetermined organization is the financial institution 7.
(11) A personal information protection system for protecting personal information on a network (wide area / large capacity relay network 43),
When a real person (real person) in the real world acts on the network, the virtual person performs processing to impersonate a virtual person (virtual person) and create a predetermined virtual person to be able to act as the virtual person Person birth processing means (S1 to S12);
Electronic certificate issuance processing means (S16) for performing processing for issuing the virtual person electronic certificate.
[0321]
(12) A personal information protection system for protecting personal information on a network (wide area / large capacity relay network 43),
When a real person in the real world (real person) acts on the network, a process for creating a predetermined virtual person to impersonate the virtual person (virtual person) and act as the virtual person is performed. Virtual person birth processing means (S1 to S12) to perform;
Address setting means (S9 to S12) for performing processing for setting the address of the virtual person to an address different from that of the real person.
[0322]
(13) The address of the virtual person is an address of a predetermined convenience store (S9 to S11).
[0323]
(14) A personal information protection system for protecting personal information on a network (wide area / large capacity relay network 43),
When a real person in the real world (real person) acts on the network, a process for creating a predetermined virtual person to impersonate the virtual person (virtual person) and act as the virtual person is performed. Virtual person birth processing means (S1 to S12) to perform;
Credit number issuing processing means (card issuing company 4) for performing processing for issuing a credit number for the virtual person,
The credit number issued by the credit number issuing processing means can be used to pay by credit as the virtual person (S58, S56, S75 to S78).
[0324]
(15) A personal information protection system for protecting personal information on a network (wide area / large capacity relay network 43),
When a real person (real person) in the real world acts on the network, the virtual person performs processing to impersonate a virtual person (virtual person) and create a predetermined virtual person to be able to act as the virtual person Person birth processing means (S1 to S12);
Account opening processing means (S39, S42 to S45) for performing processing for opening a bank account for the virtual person,
The funds in the account opened by the account opening processing means can be used for settlement as the virtual person (S55 to S57, S60 to S74).
[0325]
(16) A personal information protection system for protecting personal information on a network (wide area / large capacity relay network 43),
When a real person in the real world (real person) acts on the network, a process for creating a predetermined virtual person to impersonate the virtual person (virtual person) and act as the virtual person is performed. Including virtual person birth processing means (S1 to S12) to perform,
It is possible to vary the restriction on acceptance of identification data (cookie) transmitted to identify the user by the site side when acting on the network as the real person and when acting on the network as the virtual person. (S110 to S123, S125 to S137).
[0326]
(17) A processing device (VP management server 9) used for protecting personal information on a network (wide area / large capacity relay network 43),
A request for accepting a request to create a predetermined virtual person to impersonate a virtual person (virtual person) and act as the virtual person when a real person (real person) in the real world acts on the network Receiving means (S1);
Virtual person birth processing means (S1a to S12) for performing a process for creating a virtual person on the condition that the request is accepted by the request accepting means (provided that YES is determined in S1); ,
Correspondence storage processing means (S15) for performing processing for storing, as a database, information capable of specifying the correspondence between the virtual person born by the virtual person birth processing means and the real person corresponding to the virtual person. Including.
[0327]
(18) A processing device (VP management server 9) for protecting personal information on a network (wide area / large capacity relay network 43),
When a real person (real person) in the real world acts on the network, the public key (KB) of a predetermined virtual person created to impersonate a virtual person (virtual person) and act as the virtual person ) (S14), and public key storage processing means (S15) for performing processing for storing the input public key in the database;
Electronic certificate creation issuance processing means (S16) for performing processing for creating and issuing the electronic certificate for the virtual person corresponding to the stored public key,
The electronic certificate creation / issuance processing means is the registered virtual person in which information capable of specifying the correspondence between the real person and the virtual person is registered in a predetermined organization (financial institution 7) having a confidentiality obligation. If there is a certain condition (provided that YES is determined in S7), an electronic certificate creation / issuance process is performed (the process of S16 is performed).
[0328]
(19) A processing device (server of member store 6) for protecting personal information on a network (wide area / large capacity relay network 43),
When a real person in the real world (real person) acts on the network, a credit issued to a predetermined virtual person created to impersonate a virtual person (virtual person) and act as the virtual person A payment approval processing means (payment approval unit 33) for performing a payment approval process when there is a purchase request by credit payment using a number;
Payment request processing means (payment request unit 33) for performing processing for issuing a request for payment by credit approved by the payment approval processing means to the credit card issuing company 4,
The payment approval processing means confirms the electronic certificate issued for the virtual person and then approves the payment.
[0329]
(20) A processing device (payment server 10) for protecting personal information on a network (wide area / large capacity relay network 43),
Established for a specific virtual person who was born to be able to act as a virtual person by impersonating a virtual person (virtual person) when a real person (real person) in the real world acts on the network A withdrawal request reception processing means (S55) for performing processing for accepting a withdrawal request for withdrawal of funds in the bank account for use in settlement;
When a withdrawal request is accepted by the withdrawal request acceptance processing means, a bank account corresponding to the corresponding virtual person is determined and deducted from the funds in the bank account, and a fund corresponding to the requested amount (G) And withdrawal processing means (S69) for carrying out the processing for withdrawing.
[0330]
(21) A processing device (server 16) for protecting personal information on a network (wide area / large capacity relay network 43),
When a real person in the real world (real person) acts on the network, it is the address of a predetermined virtual person born to impersonate a virtual person (virtual person) and act as the virtual person , The processing device is installed at an address different from the real person (address of convenience store 2),
Storage processing means (S322) for performing processing for storing in the database 17 information capable of specifying the virtual person whose address is the address where the processing device is installed;
Processing for storing in the database information that can identify that the product purchased by the virtual person stored in the storage processing means and delivered to the address where the processing device is installed has been deposited Deposit information storage processing means (S316a) for performing
When there is a withdrawal request for the deposited goods (when YES is determined in S317), it is confirmed that the virtual person who issued the delivery request is a virtual person stored in the database. (S327) and processing for giving permission for delivery of the corresponding product on the condition that it is confirmed that the person is a virtual person handling the product (provided that YES is determined in S328) Delivery permission processing means (S336).
[0331]
(22) A program for protecting personal information on a network (wide area / large capacity relay network 43) or a recording medium (CD-ROM 31) storing the program,
To the computer (personal computer 30),
When a real person (real person) in the real world acts on the network, a request operation for creating a predetermined virtual person to impersonate a virtual person (virtual person) and act as the virtual person Birth request determination means (S141) for determining whether or not there is,
Birth request transmission means (S142) for performing processing for transmitting the birth request of the virtual person to a predetermined organization (financial institution 7) when the birth request determination means determines that a birth request has been made. When,
Predetermined information transmitting means (S147 to S149) for performing processing for transmitting information necessary for birth of the virtual person to the predetermined organization, which is information that can identify the real person who requests the birth of the virtual person When,
Or a computer-readable recording medium in which the program is stored.
[0332]
(23) A processing device (VP IC terminal 19V) for protecting personal information on a network (wide area / large capacity relay network 43),
The processing apparatus is configured to exchange information with the user terminal (personal computer 30) (configured to exchange information via the USB port 18), and is carried by the user. A portable processing device that is used when the user who is a real person (real person) in the real world acts as a virtual person by impersonating a predetermined virtual person on the network,
When identification data (cookie) transmitted to identify the user on the site side is transmitted to the terminal, the identification data can be stored instead of the terminal (S276).
[0333]
(24) Further, when the user accesses the site by the terminal (personal computer 30), the stored identification data (cookie data) can be output as necessary and transmitted to the site. (S278).
[0334]
(25) The processing device (VP IC terminal 19V)
An input / output unit (I / O port 21) for enabling input / output of information to the user terminal;
When the identification information is input from the user terminal (when YES is determined in S275), an identification information storage unit (S276) that stores the input identification information is further included.
[0335]
(26) The processing device (VP IC terminal 19V)
Identification information external output means (S278) for externally outputting the stored identification information when the identification information output command is input from the user terminal (when YES is determined in S277) Further included.
[0336]
(27) The processor (VP IC terminal 19V)
Information related to the virtual person (VP name, address, VP e-mail address, VP public and private keys, VP age, occupation, etc.)
When an output command for information on the VP is input (when YES is determined in S295, S305, etc.), information external output means (S298, S310).
[0337]
By the above-described legitimate authority certification process, legitimate authority check process, identity certification process, and identity check processes such as S4 to S7, identity authentication means for confirming the identity and preventing impersonation is configured.
[0338]
S13 to S16 constitute virtual person electronic certificate issuing means for creating and issuing an electronic certificate for a virtual person (virtual person). S25 to S28 constitute real person electronic certificate issuing means for creating and issuing an electronic certificate for a real person (real person) in the real world.
[0339]
S39 to S45 constitute bank account creation processing means for performing processing for creating a bank account for a virtual person (virtual person).
[0340]
S40 to S49 constitute debit card issue processing means for performing a process for issuing a debit card for a real person (real person) or a virtual person (virtual person). In S55 to S69, a part of the funds in the bank account of the virtual person (virtual person) is withdrawn and reloaded to the processing device (VP IC terminal 19V) carried by the virtual person (virtual person). The funds withdrawal processing means for performing the above processing is configured.
[0341]
S57 to S74 constitute debit card settlement processing means for performing a process for performing settlement using a debit card of a virtual person (virtual person). S57 to S78 constitute a credit card settlement processing means for performing processing for performing settlement using a credit card of a virtual person (virtual person). This credit card settlement processing means performs settlement in accordance with Secure Electronic Transaction (SET).
[0342]
(28) In the present embodiment, as shown in FIG. 28, the acceptance of cookies is restricted or rejected, but instead of or in addition, when the user re-accesses the site side, You may control to prohibit or restrict the transmission of the stored cookie to the site. That is, in the personal information protection system according to the present invention, the identification data transmitted for identifying the user when the user acts on the network as a real person and when the person acts on the network as a virtual person, You may enable it to change the transmission restriction | limiting at the time of transmitting the identification data already stored to the said site side.
[0343]
S140 to S158 constitute birth request processing means for the user to perform a process of requesting birth of his / her virtual person (virtual person). By S9-S12, the address determination processing means which performs the process for determining the address which is the address of the virtual person (virtual person) to be born and different from the address of the real person (real person) who is the birth requester is configured. Has been. This address determination processing means determines the address of the convenience store as the address of the virtual person (virtual person). Further, this address determination processing means can determine the address of the convenience store desired by the real person (real person) who is the birth requester as the address of the virtual person (virtual person). Further, this address determination processing means can determine the address of the convenience store close to the address of the real person (real person) who is the birth requester as the address of the virtual person (virtual person).
[0344]
Personal information as a real person (real person) of the user who is provided in the processing device (RP IC terminal 19R, VP IC terminal 19V) carried by the user through S305 to S312 and is the owner of the processing device Alternatively, a personal information automatic output unit is configured that can process the process of selecting and outputting the corresponding personal information from the stored personal information when a request for transmitting personal information as a virtual person (virtual person) is received. ing. This personal information automatic output means is an automatic discrimination processing means (S307, 308, 310) that performs processing for automatically discriminating whether or not the personal information that is the subject of the transmission request can be transmitted. , 311). This automatic discrimination processing means allows the user to input and set in advance which type of personal information may be output, and performs automatic discrimination according to the input setting. In addition, if the automatic determination processing means cannot automatically determine, the personal information to be requested and the transmitted privacy policy are output to perform a process for asking the user whether to permit transmission (S309). ).
[0345]
By S313, a virtual person personality change formation that is provided in the processing device for a virtual person (virtual person) carried by the user and changes the personality of the virtual person formed by the processing device according to the usage status of the processing device. Means are configured. This virtual personality change forming means changes the personality according to the type of site accessed by the user as a virtual person (virtual person).
[0346]
Processing for realizing a conversation with a virtual person (virtual person) reflecting the current personality formed by the personality change forming means when a user requests a conversation with a virtual person (virtual person) by S314, S314a The personality reflecting type conversation realization processing means is configured.
[0347]
The convenience store 2 constitutes a merchandise depository for depositing merchandise purchased by a virtual person (virtual person) on the network. The database 17 constitutes a virtual person registration means for registering a virtual person (virtual person) who is a target for depositing merchandise at the merchandise depository. The virtual person registration means stores deposit specifying information for classifying each virtual person (virtual person) and specifying whether or not the merchandise is deposited. Further, settlement specifying information for specifying whether or not the product has been settled is stored. Further, it classifies each virtual person (virtual person) and stores the e-mail address of the virtual person (virtual person).
[0348]
E-mail transmission processing means for performing processing for sending an e-mail indicating that the merchandise has been deposited to the e-mail address of a virtual person (virtual person) who has deposited the merchandise and is provided in the merchandise depository by S323 It is configured. Product delivery processing means that performs processing for delivering the corresponding product to the user when the user comes to pick up the product as a virtual person (virtual person) by S317 to S340. It is configured. This commodity delivery processing means performs delivery processing on the condition that the virtual person (virtual person) of the user who came to the delivery can be confirmed. The product delivery processing means determines whether or not the delivered product has been settled. If the product has not been settled, the product delivery processing unit performs a product delivery process on the condition that settlement has been performed.
[0349]
The embodiment disclosed this time should be considered as illustrative in all points and not restrictive. The scope of the present invention is defined by the terms of the claims, rather than the description above, and is intended to include any modifications within the scope and meaning equivalent to the terms of the claims.
[0350]
[Specific examples of means for solving the problems]
Next, the correspondence between various means for solving the problems and the embodiments is shown below.
[0351]
(1) A personal information protection method for protecting personal information on a network using a computer system,
User identification information used for identifying a site that is accessed by a user through a network (wide area / large-capacity relay network 43) and provides his / her own personal information, and the person who obtained the personal information is the personal information owner Identification information (name of trap type VP as anonymous, E in FIG. 44 (a))KSBAn identification information generation step (S620 and S621 or S960 to S956) for generating (site name), an e-mail address or an address for direct mail used for each site) by using a processor (CPU 24);
A personal information provision step (S593, S600, S700, S701) in which the user accesses the site using the identification information generated in the identification information generation step to provide personal information;
The site specified by the identification information included in the mail sent to the user who is the personal information owner by the person who obtained the personal information provided in the personal information providing step and the sender of the mail And a monitoring step (S516 or S969) of monitoring whether or not the user's personal information distribution state is monitored by determining whether or not they match.
[0352]
(2) The identification information is anonymity (name of trap-type VP shown in FIGS. 11 and 44A) of the user who uses it for each site.
[0353]
(3) A personal information protection device for protecting personal information on a network using a computer system,
Information that can be used to identify identification information used to identify a site that a user has accessed through a network (wide area / large capacity relay network 43) and provided his / her personal information, and the person who obtained the personal information When sending a mail to the user who is the main information, information that can specify identification information included in the mail (name of trap type VP as anonymous, KSB and site name in FIG. 44 (a), for each site Identification information storage means (database 12a, EEPROM 26) for storing different email addresses or direct mail addresses);
The site specified based on the identification information included in the mail (E-mail, direct mail) sent to the user who is the personal information owner by the person who acquired the personal information and the sender of the mail A personal information protection device including monitoring means (S516, S522, S523) for determining whether or not they match and monitoring a distribution state of the personal information of the user.
[0354]
(4) The monitoring means is within a distribution allowable range of the personal information approved when the user provides his / her personal information to the site specified based on the identification information (in the database 72 of the XML store 50). When the sender of the mail is not included in the distribution allowable range specified by the stored privacy policy, it is determined that it is inappropriate (NO determination in S523).
[0355]
(5) A personal information protection device for protecting personal information on a network (wide area / large capacity relay network 43) using a computer system,
Information that can identify identification information used to identify a site that the user has accessed through the network and provided his / her personal information, and the person who obtained the personal information sends an email (E When sending mail (direct mail), information that can identify identification information included in the mail (name of trap type VP as anonymous, KSB and site name in FIG. 44 (a), E for each site) Identification information storage means (S622, EEPROM 26) for storing a mail address or an address for direct mail);
When the identification information used for specifying the site is already stored in the identification information storage means when the user accesses the site through the network, the stored identification information is stored in the site. A personal information protection device including identification information use control means (S623 to S628) for performing processing for use.
[0356]
(6) registration processing means (S440) for performing processing for registering information capable of specifying a correspondence relationship between a user and the identification information used by the user in a predetermined organization (financial institution 7) having a confidentiality obligation; Further included is a personal information protection device.
[0357]
(7) The identification information is anonymous (trap type VP name) that the user uses for each site (see FIG. 11).
[0358]
(8) The personal information protection device is an electronic certificate issuance processing means (S441) for performing a process of issuing the anonymous electronic certificate used when the user acts on the network using the anonymity. ).
[0359]
(9) The electronic certificate is issued by a predetermined confidentiality organization (financial institution 7) that registers information that can identify the correspondence between the user and the identification information used by the user. This is to prove that the user to be used is a user registered in the predetermined organization.
[0360]
(10) Address setting means (S11, S12) for performing processing for setting an address when the user acts on the network using the anonymity to an address different from the user's address (address of convenience store 2) Is further included in the personal information protection device.
[0361]
(11) The address setting means sets an address of a predetermined convenience store (see S11 and S12).
[0362]
(12) When the user accesses the site to act on the network using the anonymity, the personal information protection device is configured when the user acts on the network using the real name (eg, Taro). It further includes identification data control processing means (S590 to S602) for performing processing for preventing the identification data (cookie) transmitted for identifying the user from the side from being transmitted to the accessing site.
[0363]
(13) The identification data control processing means includes:
Anonymity-compatible identification data storage means (S595, S276, EEPROM26) that stores only the identification data (cookie) sent from a site accessed using the anonymous (for example, MTT, MEC, etc.) Cookie data storage area (see FIG. 11)),
Thereafter, when the user accesses the site specified by the anonymity using the anonymity, the anonymous correspondence identification data storage unit is searched to determine the identification data corresponding to the anonymity, and the identification data is determined to be the site. Identification data search / transmission means (S623 to S628).
[0364]
(14) The personal information protection device includes:
Action history data storage means for storing an action history (access history such as which site has been accessed, etc.) when the user has acted on the network using the anonymity in a manner that can specify which anonymity is used (Database 12a (see FIG. 4));
When the user is requested to provide action history data on the network using the other anonymous of the user from the site side accessed using the anonymous, the action history data storage means is searched to It further includes behavior history data provision processing means (S530 to S546) for performing processing for providing behavior history data using other anonymous to the site.
[0365]
(15) The personal information protection device is requested to provide behavior history data on the network using other anonymity of the user using the anonymity by notifying the behavior history data provision processing means of anonymity. If the requester and the site specified based on the notified anonymity coincide with each other (when the user's name has been transmitted and a determination of YES is made in S535), And monitoring means (S548) for monitoring the distribution state of the personal information of the user. .
[0366]
(16) The personal information protection device performs a process for storing a plurality of types of anonymity common credit numbers (VP real name credit numbers) used by a user in a manner that can be indexed from each anonymity. Credit number storage processing means (S438 to S440) to be performed;
When the user makes a credit settlement on the network using the anonymous, accepts an inquiry from the credit company regarding the existence of a credit number corresponding to the anonymous, and searches for the credit number registered by the credit number registration processing means. And a notification means (S560 to S574) for determining whether or not there is a credit number corresponding to the inquired anonymity and for notifying the credit company of the determination result.
[0367]
(17) The personal information protection device accepts an email addressed to the anonymous when the user acts on the network by the anonymity, and transfers the email to an email address that can be browsed by the user corresponding to the anonymous An anonymous e-mail transfer means (S514 to S522) is further included.
[0368]
(18) In the personal information protection device, whether or not the site specified based on anonymity that is the address of the e-mail accepted by the anonymous e-mail transfer unit matches the sender of the accepted e-mail It further includes monitoring means for determining whether or not the distribution state of the personal information of the user is monitored.
[0369]
(19) The monitoring means is installed in a predetermined institution (financial institution 7) that provides a determination service as to whether or not it is appropriate for a plurality of users, and the monitoring results by the monitoring means are aggregated in the predetermined institution. Reliability calculation means (S550, S551) for calculating reliability related to personal information for each site;
And reliability information providing means (S553) for providing reliability information calculated by the reliability calculation means.
[0370]
(20) The anonymity is obtained by encrypting or decrypting a name of a site using the anonymity with a key (secret key) that can be used by a user using the anonymity.
[0371]
(21) A program for protecting personal information on a network (wide area / large capacity relay network 43),
To the processor (CPU 24),
Information that can identify identification information used to identify a site that the user has accessed through the network and provided his / her personal information, and the person who obtained the personal information sends an email (E When sending mail (direct mail), information that can specify identification information included in the mail (name of trap type VP, KSB and site name shown in FIG. 44 (a), e-mail address used for each site) And an address for direct mail) in the memory (EEPROM 26), the identification information storage means (S622),
When identification information used for specifying the site is already stored in the memory when the user accesses the site through the network, a process for using the stored identification information for the site Identification information use control means (S625 to S627) for performing
Program to make it function.
[0372]
(22) The identification information is anonymous (trap type VP name) that the user uses for each site,
In addition to the processor,
When the user accesses the site to act on the network using the anonymity, it is transmitted to identify the user from the site side when the user acts on the network using the real name (for example, Taro). The received identification data (cookie) is made to function as identification data control processing means (S623 to S628) for performing processing to prevent transmission to the site to be accessed.
[0373]
(23) The identification data control processing means includes:
Anonymity-compatible identification data storage means (S622) for storing only the identification data (cookie) sent from the site accessed using the anonymity in the memory as the identification data dedicated to the anonymous;
Thereafter, when the user accesses the site specified by the anonymity using the anonymity, the memory is searched to determine the identification data stored corresponding to the anonymity, and the identification data is determined to be the site. Identification data search / transmission processing means (S625 to S627) for performing processing for transmission to the network.
[0374]
(24) A program for protecting personal information on a network (wide area / large capacity relay network 43),
To the processor (CPU 24),
Anonymity (trap name VP name) generated by encrypting or decrypting the name of the site with a key (secret key KSB) that can be used by the user for the site accessed by the user through the network A conversion means (S969) for decrypting or encrypting anonymity as the address of the e-mail with a key (public key KPB) and returning it to the name of the plaintext site when the mail is received;
Program to make it function.
[0375]
(25) To the processor (CPU 24),
As monitoring means (S969, S968) for determining whether the name of the site converted by the conversion means matches the name of the sender of the received e-mail and monitoring the distribution state of the personal information of the user. A program that makes it work.
[0376]
The present invention is not limited only to the above-mentioned (1) to (25), and a combination of two or more arbitrarily selected from (1) to (25) is also a solution of the present invention. .
[0377]
[Effects of specific examples of means for solving the problems]
  The site that provided the personal information is identified based on the identification information included in the email sent by the person who acquired the user's personal information to the user who is the personal information owner.AndIt is determined whether the site and the sender of the email match.If you doWhen a site receiving personal information distributes the personal information to other vendors and a mail is sent from the vendor that received the personal information to the user of the personal informationIn addition,The site specified based on the identification information included in the mail does not match the name of the trader who is the sender of the mail. As a result, it is possible to determine that the personal information has been transferred from the first transfer destination site of the user's personal information to another vendor.
[0378]
In the case of the user's anonymity for which the identification information is properly used for each site, the supplier who obtained the personal information uses the anonymity to identify the user, and from the anonymity, the first transfer destination of the user's personal information A site name can be identified.
[0379]
Judgment that it is inappropriate if the sender of the email is not included in the distribution allowable range of the personal information approved when the user provided his / her personal information to the site specified based on the identification information If it is performed, it is possible to determine whether or not it is appropriate in consideration of the consent of the user's personal information distribution allowable range when the personal information is transferred.
[0380]
When the user accesses the site through the network, if the identification information used to identify the site is already used, the process for using the identification information for the site is performed. It is possible to eliminate waste of using a plurality of types of identification information for a site.
[0381]
When information that can specify the correspondence between a user and the identification information used by the user is registered in a predetermined organization with a confidentiality obligation, for example, between the user and the contractor side, the user and the identification information When a trouble related to the correspondence relationship occurs, it is possible to refer to the correspondence relationship information registered in the predetermined organization.
[0382]
When the electronic certificate for anonymity is issued, for example, when the user makes a sale, the electronic certificate can be presented to the other party and the sale can be made anonymously. It becomes possible to conduct legal acts.
[0383]
If the address when the user acts on the network using anonymity is set to an address different from the address of the user, it can be determined that the anonymous and the user who is the clue is the same person. Inconveniences can be prevented as much as possible.
[0384]
If the address when the user acts on the network using anonymity is the address of a convenience store, the notification destination of the product when performing electronic shopping etc. using anonymity will be the convenience store, and the user will be anonymous Convenience when going to pick up the product improves.
[0385]
When the user accesses the site to act on the network using anonymity, the identification data transmitted to identify the user from the site side when the user acts on the network using the real name, When processing for preventing transmission to a site to be accessed is performed, it is possible to prevent as much as possible the inconvenience that it is forgotten that anonymity and a certain user whose identification data is a clue are the same person it can.
[0386]
When only the identification data sent from a site accessed using anonymity is stored as the identification data dedicated to the anonymity, and thereafter the user accesses the site specified by the anonymity using the anonymity, the anonymity When the identification data corresponding to is transmitted to the site, it is possible to prevent as much as possible the inconvenience that anonymity that is a clue to the identification information and another anonymous are the same person. .
[0387]
At that time, if the user can provide action history data using other anonymity of the user to the site from the site side accessed by the user using anonymity, anonymity other than the identification data and other Although it is possible to prevent the inconvenience that the anonymous person is the same person, the action history data on the network related to the same person is provided to the site side, and more customized user preference information based on the action history data And providing services to users.
[0388]
When a user performs credit payment on the network using anonymity, the credit company receives an inquiry about the existence of a credit number corresponding to the anonymity, a common credit number for the anonymity is searched, and the inquiry In order to determine whether there is a credit number corresponding to anonymity that was present and to notify the credit company of the determination result, it is not necessary to register with the credit company to multiple types of common credit numbers for anonymity, It is possible to prevent as much as possible the inconvenience that anonymity with the common credit number as a clue and other anonymity are the same person.
[0389]
An email addressed to the anonymous when the user acts anonymously on the network is accepted and the email is forwarded to an email address that can be viewed by the user corresponding to the anonymous It is possible to prevent as much as possible the inconvenience that anonymity and other anonymity can be seen as being the same person.
[0390]
Distribution of the user's personal information by determining whether the site identified based on the anonymity that is the address of the e-mail matches the sender of the e-mail when transferring the e-mail addressed to the anonymous Since the status is monitored, monitoring is automatically performed when the e-mail is transferred, and the convenience of the user is improved.
[0390]
If the reliability related to the personal information for each site calculated by the reliability calculation means is provided, it becomes a criterion for the user to provide personal information to the site, and the convenience for the user is improved.
[0392]
When the site name is encrypted or decrypted with a key that can be used by the user and made anonymous to be used for the site, the anonymity that is the address of the email sent from the vendor side is decrypted with the key. It can be converted into a site name by encryption.
[Brief description of the drawings]
FIG. 1 is a schematic system diagram showing an overall configuration of a personal information protection system.
FIG. 2A is a diagram showing a schematic configuration of a company, and FIG. 2B is a diagram showing a schematic configuration of a user's house.
FIG. 3 is an explanatory diagram showing various data stored in a database installed in a financial institution.
FIG. 4 is an explanatory diagram showing various data stored in a database installed in a financial institution.
FIG. 5 is an explanatory diagram showing various data stored in a database installed in a financial institution.
FIG. 6 is an explanatory diagram showing various data stored in a database installed in a financial institution.
FIG. 7 is an explanatory diagram showing various data stored in an XML store database.
FIG. 8 is an explanatory diagram for explaining various types of information stored in a database installed in a convenience store.
FIG. 9 is a front view showing a browser phone as an example of a user terminal.
FIG. 10 is a block diagram showing a circuit of a VP IC terminal carried by a user and a breakdown of stored information.
FIG. 11 is a diagram showing a breakdown of cookie data stored in a cookie data storage area of a VP IC terminal.
FIG. 12 is a flowchart showing the processing operation of the VP management server.
13A is a flowchart showing the processing operation of the VP management server, and FIG. 13B is a flowchart showing a subroutine program for personal information registration processing.
FIG. 14 is a flowchart showing a subroutine program for trap information registration processing;
FIG. 15 is a flowchart showing a subroutine program for personal information confirmation processing;
FIG. 16 is a flowchart showing a subroutine program for checking personal information and checking distribution.
FIG. 17A is a flowchart showing a subroutine program for personal information collation and distribution check, and FIG. 17B is a flowchart showing a subroutine program for sales representative of personal information.
FIG. 18 is a flowchart showing a subroutine program for mail transfer and distribution check.
FIG. 19 is a flowchart showing a subroutine program of access history providing processing of another trap type VP.
FIG. 20 is a flowchart showing a subroutine program for a process of counting and providing reliability ranking information.
FIG. 21 is a flowchart showing the processing operation of the authentication server.
FIG. 22 is a flowchart showing the processing operation of the settlement server.
FIG. 23 is a flowchart showing a subroutine program for settlement processing.
24A is a flowchart showing a part of a settlement processing subroutine, and FIG. 24B is a flowchart showing a legitimate institution certification processing subroutine program.
FIG. 25 is a flowchart showing a subroutine program for an inquiry process from a credit card issuing company.
FIG. 26 is a flowchart showing processing operations of the browser phone.
FIG. 27 is a flowchart showing a subroutine program for VP cookie processing;
28A is a flowchart showing a subroutine program for address, name, and e-mail address transmission processing, and FIG. 28B is a flowchart showing a subroutine program for RP cookie processing.
FIG. 29 is a flowchart showing a subroutine program of a VP birth request process.
30A is a flowchart showing a subroutine program for legitimate authority check processing, and FIG. 30B is a flowchart showing a subroutine program for digital certificate issuance request processing.
FIG. 31A is a flowchart showing a subroutine program for VP input processing, and FIG. 31B is a flowchart showing a subroutine program for RP input processing.
FIG. 32 is an explanatory diagram for explaining an outline of a settlement process by SET.
FIG. 33 is a flowchart showing a subroutine program for VP settlement processing.
FIG. 34A is a flowchart showing a subroutine program for identity verification processing, and FIG. 34B is a flowchart showing a part of a subroutine program for VP settlement processing.
FIG. 35 is a flowchart showing a part of a subroutine program for VP settlement processing.
36A is a flowchart showing a VP Web browser and a mail processing subroutine program, and FIG. 36B is a flowchart showing a pseudo RP access processing subroutine program.
FIG. 37A is a flowchart showing the processing operation of the VP IC terminal, and FIG. 37B is a flowchart showing the processing operation of the RP IC terminal.
38 (a) is a flowchart showing a subroutine program for a password check process, FIG. 38 (b) is a flowchart showing a subroutine program for a cookie process (for VP), and FIG. 38 (c) is a personal identification process (for VP). ) Is a flowchart showing a subroutine program of (), and (d) is a flowchart showing a subroutine program of identity verification processing (for RP).
FIG. 39A is a flowchart showing a subroutine program for data input processing, FIG. 39B is a flowchart showing a subroutine program for user agent operation processing, and FIG. 39C shows a subroutine program for reload amount usage processing. (D) is a flowchart showing a subroutine program for RP signature processing, and (e) is a flowchart showing a subroutine program for VP signature processing.
FIG. 40 is a flowchart showing a subroutine program of other operation processing.
FIG. 41 is a flowchart showing a subroutine program for trap-type VP processing;
FIG. 42 is a flowchart showing the processing operation of the convenience store server.
43A is a flowchart showing a subroutine program for a personal identification number check process, FIG. 43B is a flowchart showing a subroutine program for a personal identification check process, and FIG. 43C is a flowchart showing a subroutine program for a settlement process. is there.
44 shows another embodiment, (a) is trap information stored in the IC terminal for VP, (b) is a flowchart showing a subroutine program of trap type VP processing, (c ) Is a flowchart showing the control operation of the VP IC terminal.
[Explanation of symbols]
I is the Internet, 43 is a wide area / large capacity relay network, 1 is a supplier group, 4 is a credit card issuing company group, 7 is a financial institution group, 5 is a member store contract company group, 50 is an XML store, 2 is a convenience store group , 45 is a company group, 30 is a browser phone, 54 is a mobile phone network, 55 is a base station, 47 is a user home, 9 is a VP management server, 10 is a settlement server, 11 is an authentication server, 12a and 12b are databases, 72 is a database, 75 is a database, 19V is a VP IC terminal, 19R is an RP IC terminal, 18 is a USB port, 26 is an EEPROM, 33 is a payment approval unit, and 34 is a payment request unit.

Claims (10)

コンピュータシステムを利用して、ネットワーク上での個人情報を保護する個人情報保護装置であって、
現実世界での実在人物を特定して識別するための実在人物用識別データとは異なる仮想人物を識別するための仮想人物用識別データを生成する仮想人物用識別データ生成手段と、
該仮想人物用識別データ生成手段により生成された前記仮想人物用識別データと前記実在人物用識別データとの対応関係を特定可能な情報を守秘義務のある所定機関において登録する処理を行なう登録手段と、
前記実在人物であるユーザが前記仮想人物としてネットワーク上で行動してウェブサイトにアクセスする際に、ユーザを特定する情報の要求に応じて、当該ユーザに対応する前記仮想人物用識別データを当該ウェブサイトの業者に提供する提供手段と、
複数の前記ユーザの各々の行動履歴情報を各ユーザの個人情報として記憶する個人情報記憶手段と、
該個人情報記憶手段に記憶されている個人情報を提供するための制御を行なう個人情報提供制御手段とを含み、
前記仮想人物用識別データ生成手段が生成する前記仮想人物用識別データは、前記実在人物であるユーザが前記仮想人物としてネットワーク上で行動する際の当該仮想人物を識別するための識別データであって、前記ウェブサイトの業者が前記実在人物を特定できない識別データであり、
前記仮想人物用識別データ生成手段は、1人のユーザが第1ウェブサイトに対しアクセスする毎に繰り返して用いる当該第1ウェブサイト専用の第1の仮想人物用識別データを生成するとともに、当該1人のユーザが第2ウェブサイトに対しアクセスする毎に繰り返して用いる当該第2ウェブサイト専用の第2の仮想人物用識別データを生成し、
前記登録手段は、各ユーザ毎に、前記実在人物用識別データと前記第1の仮想人物用識別データと前記第2の仮想人物用識別データとの対応関係を特定可能な情報を登録し、
前記提供手段は、前記仮想人物用識別データ生成手段により生成された前記第1の仮想人物用識別データを前記第1ウェブサイトの業者に提供するとともに、前記仮想人物用識別データ生成手段により生成された前記第2の仮想人物用識別データを前記第2ウェブサイトの業者に提供することにより、前記仮想人物用識別データを使分けて提供し、
前記個人情報提供制御手段は、
ユーザの個人情報を前記第1ウェブサイトに提供する際に、当該個人情報の前記第1ウェブサイトの業者への提供を許諾してよいか否かを判定する許諾判定手段を含み、さらに、
該許諾判定手段により許諾してよいと判定された場合に、当該個人情報に対応するユーザの前記第1ウェブサイト以外のウェブサイトでの行動履歴情報を前記第1ウェブサイトの業者に提供する、個人情報保護装置。
A personal information protection device for protecting personal information on a network using a computer system,
Virtual person identification data generating means for generating virtual person identification data for identifying a virtual person different from real person identification data for identifying and identifying a real person in the real world;
Registration means for performing processing for registering information capable of specifying a correspondence relationship between the identification data for virtual person generated by the identification data for virtual person and the identification data for real person in a predetermined organization having a confidentiality obligation; ,
When the user who is the real person acts on the network as the virtual person and accesses the website, the virtual person identification data corresponding to the user is sent to the web in response to a request for information identifying the user. Providing means to the site vendors;
Personal information storage means for storing the action history information of each of the plurality of users as personal information of each user;
Personal information provision control means for performing control for providing personal information stored in the personal information storage means,
The virtual person identification data generated by the virtual person identification data generating means is identification data for identifying the virtual person when the user who is the real person acts on the network as the virtual person. , Identification data that cannot be used by the website vendor to identify the real person,
The virtual person identification data generating means generates first virtual person identification data dedicated to the first website that is repeatedly used every time a user accesses the first website. Generating second virtual person identification data dedicated to the second website that is repeatedly used every time a user accesses the second website;
The registration unit registers, for each user, information that can identify a correspondence relationship between the identification data for the real person, the identification data for the first virtual person, and the identification data for the second virtual person,
The providing means provides the first virtual person identification data generated by the virtual person identification data generating means to a vendor of the first website and is generated by the virtual person identification data generating means. By providing the second virtual person identification data to the second website vendor, the virtual person identification data is provided separately.
The personal information provision control means includes
When providing personal information of the user to the first website, including permission determination means for determining whether or not to permit the provision of the personal information to a vendor of the first website,
When it is determined by the permission determination means that the license can be granted, action history information on a website other than the first website of the user corresponding to the personal information is provided to a vendor of the first website. Personal information protection device.
コンピュータシステムを利用して、ネットワーク上での個人情報を保護する個人情報保護装置であって、
現実世界での実在人物を特定して識別するための実在人物用識別データとは異なる仮想人物を識別するための仮想人物用識別データを生成する仮想人物用識別データ生成手段と、
該仮想人物用識別データ生成手段により生成された前記仮想人物用識別データと前記実在人物用識別データとの対応関係を特定可能な情報を守秘義務のある所定機関において登録する処理を行なう登録手段と、
前記実在人物であるユーザが前記仮想人物としてネットワーク上で行動してウェブサイトにアクセスする際に、ユーザを特定する情報の要求に応じて、当該ユーザに対応する前記仮想人物用識別データを当該ウェブサイトの業者に提供する提供手段と、
複数の前記ユーザの各々の個人情報を記憶する個人情報記憶手段と、
該個人情報記憶手段に記憶されている個人情報を提供するための制御を行なう個人情報提供制御手段とを含み、
前記仮想人物用識別データ生成手段が生成する前記仮想人物用識別データは、前記実在人物であるユーザが前記仮想人物としてネットワーク上で行動する際の当該仮想人物を識別するための識別データであって、前記ウェブサイトの業者が前記実在人物を特定できない識別データであり、
前記仮想人物用識別データ生成手段は、1人のユーザが第1ウェブサイトに対しアクセスする毎に繰り返して用いる当該第1ウェブサイト専用の第1の仮想人物用識別データを生成するとともに、当該1人のユーザが第2ウェブサイトに対しアクセスする毎に繰り返して用いる当該第2ウェブサイト専用の第2の仮想人物用識別データを生成し、
前記登録手段は、各ユーザ毎に、前記実在人物用識別データと前記第1の仮想人物用識別データと前記第2の仮想人物用識別データとの対応関係を特定可能な情報を登録し、
前記提供手段は、前記仮想人物用識別データ生成手段により生成された前記第1の仮想人物用識別データを前記第1ウェブサイトの業者に提供するとともに、前記仮想人物用識別データ生成手段により生成された前記第2の仮想人物用識別データを前記第2ウェブサイトの業者に提供することにより、前記仮想人物用識別データを使分けて提供し、
前記個人情報提供制御手段は、1人のユーザの個人情報を前記第1ウェブサイトの業者または前記第2ウェブサイトの業者に提供する際に、当該1人のユーザにより前記第1ウェブサイトと前記第2ウェブサイトとで個別に設定されている許諾条件に従って個人情報を提供する、個人情報保護装置。
A personal information protection device for protecting personal information on a network using a computer system,
Virtual person identification data generating means for generating virtual person identification data for identifying a virtual person different from real person identification data for identifying and identifying a real person in the real world;
Registration means for performing processing for registering information capable of specifying a correspondence relationship between the identification data for virtual person generated by the identification data for virtual person and the identification data for real person in a predetermined organization having a confidentiality obligation; ,
When the user who is the real person acts on the network as the virtual person and accesses the website, the virtual person identification data corresponding to the user is sent to the web in response to a request for information identifying the user. Providing means to the site vendors;
Personal information storage means for storing personal information of each of the plurality of users;
Personal information provision control means for performing control for providing personal information stored in the personal information storage means,
The virtual person identification data generated by the virtual person identification data generating means is identification data for identifying the virtual person when the user who is the real person acts on the network as the virtual person. , Identification data that cannot be used by the website vendor to identify the real person,
The virtual person identification data generating means generates first virtual person identification data dedicated to the first website that is repeatedly used every time a user accesses the first website. Generating second virtual person identification data dedicated to the second website that is repeatedly used every time a user accesses the second website;
The registration unit registers, for each user, information that can identify a correspondence relationship between the identification data for the real person, the identification data for the first virtual person, and the identification data for the second virtual person,
The providing means provides the first virtual person identification data generated by the virtual person identification data generating means to a vendor of the first website and is generated by the virtual person identification data generating means. By providing the second virtual person identification data to the second website vendor, the virtual person identification data is provided separately.
When the personal information provision control means provides personal information of one user to a merchant of the first website or a merchant of the second website, the one user and the first web site A personal information protection device that provides personal information in accordance with permission conditions individually set for the second website.
前記登録手段は、前記実在人物が仮想人物としてネットワーク上で行動し不正行為を行なった場合に、当該仮想人物に対応する前記実在人物を前記対応関係を特定可能な情報を用いて割出すことが可能となるように前記登録する処理を行なう、請求項1または請求項2に記載の個人情報保護装置。  When the real person acts as a virtual person on the network and performs an illegal act, the registration unit can determine the real person corresponding to the virtual person using information that can identify the correspondence relationship. The personal information protection device according to claim 1, wherein the registration processing is performed so that the registration is possible. 前記第1ウェブサイトの業者から仮想人物用識別データの通知を受付て当該仮想人物用識別データに対応するユーザの他のウェブサイトでの行動履歴情報の要求を受付ける要求受付手段と、
該要求受付手段により受付けられた前記仮想人物用識別データが前記第1ウェブサイトに使用されている仮想人物用識別データであるか否かを判定して前記ユーザの個人情報の流通状態を監視する監視手段とを含む、請求項1〜請求項3のいずれかに記載の個人情報保護装置。
Request accepting means for accepting a notification of virtual person identification data from a supplier of the first website and accepting a request for action history information on another website of the user corresponding to the virtual person identification data;
It is determined whether or not the virtual person identification data received by the request receiving means is the virtual person identification data used for the first website, and the distribution state of the personal information of the user is monitored. The personal information protection apparatus according to claim 1, further comprising a monitoring unit.
前記仮想人物用識別データは、ユーザが前記ウェブサイト毎に使い分ける匿名としてのコードデータを含む、請求項1〜請求項4のいずれかに記載の個人情報保護装置。  The personal information protection device according to any one of claims 1 to 4, wherein the virtual person identification data includes anonymous code data that a user uses for each of the websites. 前記ユーザが前記匿名を用いてネットワーク上で行動する際に使用する前記匿名用の電子証明書を発行するための処理を行なう電子証明書発行処理手段をさらに含む、請求項5に記載の個人情報保護装置。  The personal information according to claim 5, further comprising electronic certificate issuance processing means for performing processing for issuing the electronic certificate for anonymity used when the user acts on the network using the anonymity. Protective device. 前記電子証明書は、前記実在人物用識別データと前記仮想人物用識別データとの対応関係を特定可能な情報を登録している守秘義務のある所定機関により発行され、前記匿名を用いるユーザが当該所定機関において登録されているユーザであることを証明するものである、請求項6に記載の個人情報保護装置。  The electronic certificate is issued by a predetermined confidentiality organization that registers information that can identify the correspondence between the identification data for the real person and the identification data for the virtual person. The personal information protection device according to claim 6, wherein the personal information protection device certifies that the user is registered at a predetermined organization. 前記匿名としてのコードデータは、当該匿名を用いるウェブサイトの名称を、当該匿名を用いるユーザが使用できる鍵で暗号化または復号化したものである、請求項5〜請求項7のいずれかに記載の個人情報保護装置。  The code data as the anonymity is obtained by encrypting or decrypting a name of a website using the anonymity with a key that can be used by a user using the anonymity. Personal information protection device. 複数の前記ユーザの個人情報の中に、当該個人情報からユーザ本人が特定される特定個人情報が含まれているか否か判定する特定個人情報判定手段と、
該特定個人情報判定手段により特定個人情報が含まれていると判定された場合に、当該特定個人情報を加工処理してユーザ本人を特定できないようにする個人情報加工手段をさらに含み、
前記提供手段は、前記個人情報加工手段により加工処理された後の個人情報を提供する、請求項1〜請求項8のいずれかに記載の個人情報保護装置。
Specific personal information determination means for determining whether or not the personal information of the plurality of users includes specific personal information for identifying the user himself / herself from the personal information;
When the specific personal information determination means determines that the specific personal information is included, it further includes a personal information processing means for processing the specific personal information so that the user cannot be identified.
The personal information protection device according to claim 1, wherein the providing means provides personal information after being processed by the personal information processing means.
ユーザが実在人物としてウェブサイトにアクセスして前記実在人物用識別データを提供した当該ウェブサイト側からユーザを識別するために送信してきた第1クッキーを受付けた後、同じウェブサイトに同じユーザが仮想人物としてアクセスして前記仮想人物用識別データを提供した当該ウェブサイト側からユーザを識別するために送信してきた第2クッキーを受付けたときに、前記第1クッキーと前記第2クッキーとを区別して記憶し、以降同じユーザが前記仮想人物として同じ前記ウェブサイトにアクセスする際に、前記第1クッキーの当該ウェブサイトへの送信を阻止するとともに、前記第2クッキーを当該ウェブサイトへ送信する送信制御手段をさらに含む、請求項1〜請求項9のいずれかに記載の個人情報保護装置。  After accepting the first cookie transmitted to identify the user from the website side where the user has accessed the website as the real person and provided the identification data for the real person, the same user is virtual on the same website. When receiving the second cookie transmitted to identify the user from the website side that has accessed the virtual person identification data by accessing as a person, the first cookie and the second cookie are distinguished. Transmission control to prevent transmission of the first cookie to the website and to transmit the second cookie to the website when the same user accesses the same website as the virtual person thereafter. The personal information protection device according to claim 1, further comprising means.
JP2001258259A 2000-10-17 2001-08-28 Personal information protection device Expired - Lifetime JP5158662B2 (en)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2001258259A JP5158662B2 (en) 2001-08-28 2001-08-28 Personal information protection device
AU2001295913A AU2001295913A1 (en) 2000-10-17 2001-10-10 Personal information protective method, personal information protective system, processing device, portable transmitter/receiver, and program
PCT/JP2001/008896 WO2002033610A1 (en) 2000-10-17 2001-10-10 Personal information protective method, personal information protective system, processing device, portable transmitter/receiver, and program
US10/398,743 US8171556B2 (en) 2000-10-17 2001-10-10 Personal information protection method, personal information protection system, processing device, portable transmitter/receiver, and program
US12/613,757 US20100063929A1 (en) 2000-10-17 2009-11-06 Personal Information Protection Method, Personal Information Protection System, Processing Device, Portable Transmitter/Receiver and Program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001258259A JP5158662B2 (en) 2001-08-28 2001-08-28 Personal information protection device

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2010254057A Division JP5168676B2 (en) 2010-11-12 2010-11-12 Personal information protection device

Publications (2)

Publication Number Publication Date
JP2003067524A JP2003067524A (en) 2003-03-07
JP5158662B2 true JP5158662B2 (en) 2013-03-06

Family

ID=19085813

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001258259A Expired - Lifetime JP5158662B2 (en) 2000-10-17 2001-08-28 Personal information protection device

Country Status (1)

Country Link
JP (1) JP5158662B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11250163B2 (en) 2019-08-05 2022-02-15 Samsung Electronics Co., Ltd. Server and data management method

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7162640B2 (en) * 2003-03-11 2007-01-09 Microsoft Corporation System and method for protecting identity information
JP4628684B2 (en) * 2004-02-16 2011-02-09 三菱電機株式会社 Data transmitting / receiving apparatus and electronic certificate issuing method
JP4565638B2 (en) * 2005-03-10 2010-10-20 日本電信電話株式会社 Anonymous access authentication method
JP5198678B2 (en) 2012-08-30 2013-05-15 豊 塚本 Personal information protection device
US8812705B1 (en) * 2013-10-15 2014-08-19 Google Inc. Accessing location-based content
JP6483346B2 (en) * 2014-03-26 2019-03-13 株式会社エヌ・ティ・ティ・データ Information processing system and information processing method
US10152609B2 (en) * 2015-07-23 2018-12-11 The Boeing Company Personally identifiable information (PII) disclosure detection
WO2020188665A1 (en) * 2019-03-15 2020-09-24 三菱電機株式会社 Personal information management device, personal information management system, personal information management method, and program

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08305714A (en) * 1995-04-28 1996-11-22 Fujitsu Ltd Distributed data base managing system
JPH09167220A (en) * 1995-12-18 1997-06-24 N T T Electron Technol Kk Information communication ic card, its issuing system and its communication system
JP3860280B2 (en) * 1997-03-31 2006-12-20 株式会社ローレルインテリジェントシステムズ Communication system, IC card issuance registration system, key code generation device, and recording medium
JPH11102238A (en) * 1997-09-29 1999-04-13 Toshiba Corp Computer system and suspend control method therefor
JP3922482B2 (en) * 1997-10-14 2007-05-30 ソニー株式会社 Information processing apparatus and method
EP0917119A3 (en) * 1997-11-12 2001-01-10 Citicorp Development Center, Inc. Distributed network based electronic wallet
JP3449941B2 (en) * 1998-03-26 2003-09-22 日本電信電話株式会社 Mail access control method, communication system, and storage medium storing mail access control program
JPH11306263A (en) * 1998-04-27 1999-11-05 Ntt Data Corp Electronic money system, linking method of bank account for electronic money and recording medium
JP2000330873A (en) * 1999-05-18 2000-11-30 M Ken:Kk Contents distribution system, method therefor and recording medium
JP2001186122A (en) * 1999-12-22 2001-07-06 Fuji Electric Co Ltd Authentication system and authentication method
JP2001188755A (en) * 1999-12-28 2001-07-10 Casio Comput Co Ltd Communication electronic equipment and storage medium stored with communication processing program
JP2001195422A (en) * 2000-01-17 2001-07-19 Tatsuro Kawaomo Method for surveying interest and taste by bookmark information management
JP2001216271A (en) * 2000-02-03 2001-08-10 Sony Corp Information processing system, information storage device, adapter device, and information terminal equipment

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11250163B2 (en) 2019-08-05 2022-02-15 Samsung Electronics Co., Ltd. Server and data management method

Also Published As

Publication number Publication date
JP2003067524A (en) 2003-03-07

Similar Documents

Publication Publication Date Title
WO2002033610A1 (en) Personal information protective method, personal information protective system, processing device, portable transmitter/receiver, and program
US11924324B2 (en) Registry blockchain architecture
JP4597867B2 (en) Privacy protection method, privacy protection identifier transmission device, privacy protection system and program
ES2299667T3 (en) A SYSTEM OF INFORMATION MANAGEMENT.
US9785942B2 (en) Methods for performing internet processes using global positioning and other means
KR101155858B1 (en) Electronic transfer system
KR100792147B1 (en) Interactive Financial settlement service method using mobile phone number or virtual number
JP3987710B2 (en) Certification system and authentication method
JP4740879B2 (en) Authentication mobile terminal, and electronic transaction system and method using the terminal
JP2004517381A (en) Method and system for using electronic communication for electronic contracts
JP5544486B2 (en) Personal information management device
JP5158662B2 (en) Personal information protection device
JP5510690B2 (en) Personal information protection device
JP5257912B2 (en) Personal information management device
JP5168676B2 (en) Personal information protection device
JP2001216360A (en) Device and method for issuing advance order certificate
JP5257911B2 (en) Personal information protection device
JP5142237B2 (en) Personal information protection system, processing device and recording medium
JP5198678B2 (en) Personal information protection device
JP5326178B2 (en) Personal information management device
JP2003228683A (en) Third organization for credit settlement, method for controlling third organization, program and recording medium
KR101309835B1 (en) A system for total financial transaction
WO2010054259A1 (en) Intermediary service and method for processing financial transaction data with mobile device confirmation
WO2020027879A1 (en) Privacy-preserving assertion system and method
JPH0785171A (en) Electronic small amount settlement system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080827

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101130

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110131

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110405

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110606

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110726

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110928

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20111003

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20111111

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20120316

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20120316

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20120828

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121205

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5158662

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151221

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term