[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

WO2011058629A1 - 情報管理システム - Google Patents

情報管理システム Download PDF

Info

Publication number
WO2011058629A1
WO2011058629A1 PCT/JP2009/069257 JP2009069257W WO2011058629A1 WO 2011058629 A1 WO2011058629 A1 WO 2011058629A1 JP 2009069257 W JP2009069257 W JP 2009069257W WO 2011058629 A1 WO2011058629 A1 WO 2011058629A1
Authority
WO
WIPO (PCT)
Prior art keywords
information
attribute
server
terminal
identification code
Prior art date
Application number
PCT/JP2009/069257
Other languages
English (en)
French (fr)
Inventor
杉中順子
古川義久
Original Assignee
Suginaka Junko
Furukawa Yoshihisa
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suginaka Junko, Furukawa Yoshihisa filed Critical Suginaka Junko
Priority to PCT/JP2009/069257 priority Critical patent/WO2011058629A1/ja
Priority to JP2011540355A priority patent/JPWO2011058629A1/ja
Publication of WO2011058629A1 publication Critical patent/WO2011058629A1/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks

Definitions

  • the present invention relates to an information management system that transmits personal information such as member attribute information to an information processing terminal that is an access (call) source via a network without information leakage.
  • biometric information of a registrant received from a biometric information input unit is divided into two, and an authentication storage unit that stores one divided biometric information and a registrant specific that stores the other divided biometric information.
  • An authentication system including an IC card and a control unit is described.
  • the control unit accepts the biometric information of the authenticator and the other divided biometric information from the IC card, and the other divided biometric information and one divided
  • the biometric information is synthesized and personal authentication is performed by comparing the synthesized biometric information with the biometric information of the certifier accepted from the biometric information input unit. This prevents unauthorized use even if one of the divided information is stolen.
  • Patent Document 2 discloses an acquisition unit that acquires multimedia information that is information for confirming an individual, a dividing unit that divides the multimedia information, and a divided multimedia that is multimedia information divided into a plurality of pieces by the dividing unit.
  • a registration device is described that includes storage control means for storing media information in a plurality of storage means of the verification device. More specifically, in the invention of Patent Document 2, the division unit divides the multimedia information from divided multimedia information with a small amount of information into divided multimedia information with a large amount of information in stages, and the storage control unit Thus, the divided multimedia information is stored in different storage means. Furthermore, instead of synthesizing the divided multimedia information and then collating it, it is possible to repeat the collation multiple times step by step for each divided multimedia information. It makes it difficult to restore media information.
  • Patent Document 1 is a mode in which personal information is stored in two divided into an IC card and a storage device in the collation device, personal information is stolen from one medium and the information is used to impersonate another person. There is a risk of passing through the verification process.
  • Patent Documents 1 and 2 when information divided at a given ratio is distributed and stored in a plurality of storage units, the storage location is identified, while regarding the confidentiality of the information itself, No measures beyond distributed processing are taken. Therefore, there is a limit to the risk of information theft, which is not sufficient in terms of security.
  • the present invention divides and stores personal attribute information, associates the divided information with linked information, and does not include attribute information when an access request is made to an information storage source, and reads the attribute information It is an object of the present invention to provide an information management system which prevents theft of information itself by setting it as a constant value of a program file, and further makes it impossible to decode the information even if the information is stolen.
  • the data is selectively transmitted from the server storing each piece of information of the plurality of attribute items for identifying the member to the information processing terminal possessed by the member that is the access source via the network.
  • the server has divided attribute information in which the attribute information in each attribute item is divided into at least two in order from one end side to the other end side according to a predetermined rule Each of the division attribute information, the division identification code information for identifying the division attribute information, the division identification code information of the division attribute information of the next order in the ordering, and the location of the division attribute information of the next order.
  • Terminal communication processing means for receiving the read program file, and executing the received read program file, reading each division attribute information of the attribute item to the output unit, and sequentially dividing the next division identification code information into the division Read to the terminal communication processing means to transmit to the information storage unit corresponding to the storage location information of the identification code information It is characterized in that a program execution processing unit.
  • each of the attribute information in each attribute item is divided into at least two divided attribute information items in order from one end side to the other end side according to a predetermined rule.
  • the division identification code information for identifying the division attribute information, the division identification code information of the division attribute information of the next order in the ordering, and the location of the division attribute information of the next order Read program files for storing the storage location information as constant values are stored in a distributed manner. Then, the read program file sending means returns a read program file corresponding to the divided identification code information from the designated information storage unit to the information processing terminal of the access source, and the terminal communication processing means sends out the member attribute information.
  • the division identification code information from the one end to the other end and the corresponding storage destination information are sequentially transmitted to the information storage unit corresponding to the storage destination information for designation, and the division from the information storage unit
  • the read program file corresponding to the identification code information is received.
  • the received read program file is executed by the program execution processing means, and each division attribute information of the attribute item is read to the output unit, and the next division identification code information is sequentially stored in the division identification code information.
  • the server also has a plurality of information storage units, and is distributed and stored in the plurality of information storage units according to the division identification code information and the storage location information for each division attribute information. Therefore, even if one piece of division attribute information is wiretapped, only the division identification code information and storage location information in the following order can be obtained in this information. Information cannot be collected. In addition, associating the divided information with the linked information so that the attribute information is not included when calling the information storage unit, and the attribute information is set as a constant value of the read program file, so that a reply from the server is also possible. Decoding is difficult, and the information itself is prevented from being stolen.
  • the next division identification code information is transmitted to any of the information storage units via the management unit 4 (see FIG. 1).
  • the management unit 4 since it is merely a distribution process, it is substantially the same as that information is transmitted from the terminal communication processing means to the information storage unit corresponding to the storage location information.
  • personal attribute information is divided and distributed and stored, and the divided information is associated with the linked information, and the attribute information is not included when calling the information storage unit, and the attribute information is stored.
  • FIG. 1 is a schematic configuration diagram of a network system to which an information management system according to the present invention is applied.
  • the block diagram which each divided the function which a terminal, a USB memory, and a member server have is shown.
  • 3 is a diagram showing an example of a memory map of a USB memory 2 and data servers 51 to 56.
  • FIG. 4 is a diagram illustrating an example of a list of program files A.
  • FIG. 4 is a flowchart for explaining a procedure of member information registration processing executed by a control unit 41 of the management unit 4. It is a flowchart explaining the procedure of the mounting determination process of the USB memory 2 performed by the control part of a terminal. It is a flowchart explaining the procedure of the browsing permission grant process of member information performed by the control part of a terminal.
  • FIG. 1 is a schematic configuration diagram of a network system to which an information management system according to the present invention is applied.
  • the network system shown in FIG. 1 includes, for example, a terminal (information processing terminal) 1 that is a member, a consumer, a store, a company, or the like, and a terminal (information processing terminal) 1 arranged in one or more financial institutions that perform settlement. And a member server 3 disposed in a management organization that performs overall management and storage of information between the terminal 1 and the terminal 1.
  • the terminal 1 is generally composed of a personal computer or the like with a built-in CPU (Central Processing Unit).
  • general processing such as information creation, processing, storage using general document and figure creation software, and transmission / reception of information using communication software, etc.
  • a program file (see the general-purpose AP (application software) storage unit 131 in FIG. 2) and a program file that performs processing related to the execution of specific application software (a specific AP (in FIG. 2)).
  • Application software storage unit 132). More specifically, in the terminal 1 such as a consumer, a store, or a company, a specific AP storage unit 132 is used as software for making and communicating each document related to buying and selling of goods and services, estimation or billing, and deposit and withdrawal. The software is installed.
  • the terminal 1 performs settlement in general commercial transactions, for example, issuance and receipt of invoices from a merchant store, and deposit (i.e., payment) instructions from the purchaser to the account of the contract financial institution that issued the invoice.
  • deposit i.e., payment
  • the terminal 1 can create various documents as electronic files in text format or binary format.
  • the electronic file is exchanged between the terminals 1 via the member server 3, for example.
  • Special application software that performs payment instruction processing (such as instructions for payment processing between financial institutions) in accordance with the financial payment document from the terminal 1 of the consumer or company is also installed in each financial institution terminal 1. ing.
  • the terminal 1 also has a USB port P1 to which a portable storage medium (member external storage medium), for example, a USB (Universal Serial Bus) memory 2 can be attached (connected).
  • a portable storage medium member external storage medium
  • the storage medium may be stick-like hardware using an IEEE 1394 port.
  • the USB memory 2 is given to members, and has storage units (areas) in which predetermined information can be updated and stored as will be described later. Note that the storage medium does not have to be a rewritable memory in the case where there is no variation processing as will be described later.
  • the member server 3 stores attribute information relating to various attribute items for identifying a member, such as a member's name, date of birth, address, and telephone number, in units of members. The storage form of these information will be described later.
  • the member server 3 further includes an unillustrated file storage unit that stores a file transmission / reception history of each member, its files, and the like for each member.
  • this system creates and stores secret information, for example, information communication between a plurality of terminals 1 connected to a LAN in a corporate organization that is a public institution.
  • secret information for example, information communication between a plurality of terminals 1 connected to a LAN in a corporate organization that is a public institution.
  • This system uses an Internet network in terms of hardware. That is, while the terminal 1 is connected to the Internet, as described later, the above-described specific AP that is secured with software is permitted to execute with the Internet. From the viewpoint of a network divided by software according to the present invention, it can be handled as a dedicated network different from the Internet. As a result, it is possible to construct a system that does not require a new infrastructure, and each terminal 1 can communicate with other personal computers via the Internet as needed and perform normal information communication and Web site on the Internet. Search, browse and obtain information.
  • the terminal 1 is connected to a network 7 via a provider (ISP) 6.
  • ISP provider
  • a plurality of terminals 1 are connected to the ISP 6.
  • an appropriate number of servers having Web sites that provide various types of information are connected to the ISP 6.
  • the terminal 1 connected to the ISP 6 includes a terminal 1 as a member in which a specific AP is installed, and a normal terminal 1 ′ in which only a general-purpose AP is installed.
  • the predetermined application software in the specific AP includes processing for executing processing with the USB memory 2, for example, mounting determination processing on the terminal 1, and reading and writing processing of predetermined information.
  • the member server 3 includes a management unit 4 and a database 5.
  • the database 5 stores the above-described member attribute information, and has a predetermined number, for example, data servers 51 to 56.
  • the data servers 51 to 56 store attribute information of all members for each member, and details will be described later.
  • the management unit 4 is provided on the network 7 and manages information reading processing, information reception, fluctuation, writing processing, and the like between the terminal 1 and the database 5.
  • the management unit 4 substantially functions as a server.
  • the function of the management unit 4 may be provided in each of the data servers 51 to 56.
  • the member attribute information can be acquired, for example, by displaying necessary attribute items on the display unit 15 as an input guide screen and inputting via the operation unit 14 at the time of member registration (membership).
  • the input attribute information is divided according to a predetermined rule, and is further distributed and stored in any of the data servers 51 to 56 in a form in which linked information is sequentially attached.
  • FIG. 2 shows a block diagram in which the functions of the terminal 1, the USB memory 2, and the member server 3 are respectively blocked.
  • the terminal 1 includes a control unit 11 composed of a CPU.
  • a ROM (Read Only Memory) 12 and a RAM (Random Access Memory) 13 are connected to the control unit 11.
  • the CPU of the control unit 11 functions as an execution unit for normal processing by executing the general-purpose AP stored on the RAM 13.
  • the CPU of the control unit 11 executes the specific AP held on the RAM 13 to give the authorization processing unit 111 that determines the mounting of the USB memory 2 and the authority to permit browsing of personal information of itself.
  • a call signal to the member server 3 is sent from the terminal 1 of the member and the browsing permission granting unit 112 that designates the attribute item to which the browsing permission is given, and the member terminal 1 to which the browsing permission is given by the browsing permission granting unit 112.
  • Read program file execution for executing the read program file stored in the call setting unit 113 and the data servers 51 to 56 generated as the browsing request signal and read by the terminal 1 (calling source) Unit 114, encryption processing unit 115 for encrypting information to be transmitted to the member server 3, encryption received from the member server 3
  • the authentication processing unit 111 determines whether or not the USB memory 2 is mounted on the USB port P1, and determines whether or not the USB memory 2 is mounted based on the presence or absence of a response signal to the handshake signal that is periodically sent to the USB port P1. Like to do. In addition, when the installation of the USB memory 2 is confirmed, the authentication processing unit 111 confirms the installation of the USB memory 2 with a specific AP that has been installed in the specific AP storage unit 132 in the RAM 13 in advance. In response, a process of switching to executable is performed.
  • FIG. 3 is a diagram showing an example of a memory map of the USB memory 2 and the data servers 51 to 56.
  • the terminal 1A is the member A's terminal
  • the USB memory 2A is the member A's.
  • the terminal 1B is a member B's terminal different from the member A
  • the USB memory 2B is the member B's.
  • the member A's attribute information includes the name “Taro Tanaka”, the date of birth “March 4, 1975”, the address “1-1 Asahioka, Nerima-ku, Tokyo”, and the telephone number “03-1234”. -5678 ".
  • the name is “Koji Suzuki”
  • the date of birth is “March 11, 1980”
  • the address is “3-10-21 Motoazabu, Minato-ku, Tokyo”
  • the telephone is “03-9876-5432”. ”.
  • the USB memory 2 includes an authentication information storage unit 21 that stores authentication information and an attribute information list storage unit 22 that stores an attribute information list.
  • the authentication information is identification information (USBID) for identifying the USB memory 2 individually.
  • the member server 3 stores the identification information of each USB memory 2 and verification information (member ID) and USBID corresponding to the password information for member authentication adopted as necessary. Yes. Note that the member ID), the USB ID, and the identification information of the terminal 1 owned by the member may be stored correspondingly.
  • the attribute information list is storage destination information (ID) indicating any one of the identification code information and the data servers 51 to 56 where the information is stored for each attribute item of name to telephone number.
  • ID storage destination information
  • the identification code information is “402001” and the storage destination information is “server 1”.
  • the identification code information is “500101”, and the storage location information is “server 3”.
  • the identification code information is “100213” and the storage location information is “server 4”.
  • the identification code information is “200073” and the storage location information is “server 6”.
  • information is stored for each attribute item in the USB memory 2B of the member B.
  • the attribute information list is stored in such a manner that it is placed as a constant value of the read program file, as will be described later.
  • the attribute information list is stored in the form of a read program file, it cannot be easily decrypted, and the read program file is stored in the USB 2 in an encrypted state by the terminal 1 as will be described later. Further confidentiality against exploitation and alteration can be secured.
  • the identification code information of the member A attribute information “name” is “402001”, and the storage location information is “server 1”. Accordingly, when the identification code information “402001” of the data server 51 (corresponding to “server 1”) is observed, “Tanaka” is stored as the attribute item “surname”. Furthermore, as the attribute item “name”, “006125” as identification code information and “server 5” as storage destination information are stored in association with each other, that is, as linked information. Next, “Taro” is stored in the identification code information “006125” of the attribute item “name” in the data server 55 (corresponding to “server 5”). This information has no further associated information.
  • the attribute item “name” is divided into “last name” and “first name” in order from the top.
  • the identification code information of the attribute item “name” is the identification code information of the first “last name”.
  • the identification code information of the attribute item “birth date” in the USB memory 2 of the member A is “500101”, and the storage location information is “server 3”. . Therefore, when the identification code information “500101” of the data server 53 is observed, “1975” is stored as the attribute item “year”. Furthermore, as the attribute item “month / day”, identification code information “417890” and “server 2” as storage destination information are stored in association with each other, that is, as linked information. Next, in the data server 52, “March 4” is stored in the identification code information “417890” of the attribute item “Month day”. This information has no further associated information.
  • the attribute item “birth date” is divided into “year” and “month / day” in order from the top.
  • the identification code information of the attribute item “birth date” is the identification code information of the first “year”.
  • the identification code information of the attribute item “address” in the USB memory 2 of the member A is “100213”, and the storage destination information is “server 4”. Therefore, when the identification code information “100213” of the data server 54 is observed, “Nerima-ku, Tokyo” is stored as the attribute item “address 1”. Further, as the attribute item “address 2”, identification code information “508729” and “server 2” as storage destination information are stored in correspondence with each other, that is, as linked information. Next, the data server 52 stores “Asahioka” in the identification code information “508729” of the attribute item “address 2”.
  • identification code information “000834” and “server 1” as storage location information are stored in association with each other, that is, as linked information.
  • the data server 51 stores “1-1” in the identification code information “000834” of the attribute item “address 3”. This information has no further associated information.
  • the attribute item “address” is divided into “address 1”, “address 2”, and “address 3” in order from the top.
  • the identification code information of the attribute item “address” is the identification code information of the first “address 1”.
  • the identification code information of the attribute item “telephone” in the USB memory 2 of the member A is “200073”, and the storage destination information is “server 6”. Therefore, when the identification code information “200073” of the data server 56 is observed, “03” is stored as the attribute item “telephone 1”. Further, as the attribute item “telephone 2”, identification code information “380026” and “server 5” as storage destination information are stored in association with each other, that is, as linked information. Next, the data server 55 stores “1234” in the identification code information “380026” of the attribute item “telephone 2”.
  • identification code information “740034” and “server 4” as storage destination information are stored in association with each other, that is, as linked information.
  • the data server 54 stores “5678” in the identification code information “740034” of the attribute item “phone 3”. This information has no further associated information.
  • the attribute item “telephone” is divided into “telephone 1”, “telephone 2”, and “telephone 3” in order from the top.
  • the identification code information of the attribute item “telephone” is the identification code information of the first “telephone 1”.
  • each attribute information is divided according to a predetermined rule, distributed according to a predetermined rule, and distributed and stored in the data servers 51 to 56.
  • the division rule is divided in basic units of information or in units of a predetermined dimension.
  • a mode in which mechanical division is equally performed or equal division into a predetermined number may be employed.
  • the divided attribute information is called divided attribute information, and the code for identifying the divided attribute information is called divided identification code information.
  • the distribution rule may be set randomly using a random number generated from a random number generator (in this embodiment, a numerical value “1” to “6”), or may be set in advance. Rules may be adopted. It is preferable that continuous division attribute information is not continuously stored in the same data server.
  • the browsing permission assigning unit 112 displays the attribute information list (see FIG. 3) stored in the attribute information list storage unit 22 of the USB memory 2 on the display unit 15 and operates the operation unit 14 to operate the required attribute.
  • the item is instructed.
  • the attribute item instruction is for permitting a specific member to view the contents of a predetermined attribute item in his / her attribute information.
  • the USB memory 2A is attached to the terminal 1A, and the member A, for example, the name and address attribute items are permitted to be viewed by any member, for example, the member B.
  • the browsing permission granting unit 112 has information of a specific member designated by the operation unit 14, for example, member B, and a read program file including the specified operation content and a browsing permission signal.
  • the browsing permission means that the management unit of the member server 3 through the execution of the read program file including the designated operation content and the browsing permission signal received by the member B from the member A via the member server 3 as will be described later.
  • accessing (calling) 4 it is possible to view or acquire the attribute information of the name and address of the authorized member A.
  • a member terminal may be specified.
  • This process assumes that, for example, member A who is a consumer makes a purchase at member B's store and pays with this network system.
  • member B which is a store, needs to issue a bill to member A.
  • the member B needs to know the name and address of the member A described in the invoice, so that the member A passes the member server 3 to the terminal 1B of the member B with his / her personal information.
  • a process for permitting browsing of a certain name and address is performed.
  • member A has a certain certificate issued by member B such as an organization
  • member B needs to know the predetermined information of member A, such as the name and date of birth. is there.
  • the member A performs a process for permitting the terminal 1B of the member B to browse the name and date of birth as the personal information of the member B via the member server 3.
  • the designated operation content includes the content of the designated attribute item and the attribute information list in the USB memory 2, that is, the read program file in which the attribute item, its identification code information, and storage destination information are placed as constant values. It is.
  • the attribute information list itself may be included in the browsing permission grant information between the terminals 1A and 1B. In this case, when the terminal 1B makes a call to the member server 3, it may be configured to send and receive information about only the attribute items permitted to be viewed.
  • the call setting unit 113 generates a call signal as a browsing request in the database 5 by attaching the designated operation content and the browsing permission signal received from another member, and the generated call signal is the communication processing unit 118. Is transmitted to the member server 3.
  • the transmission permission may be determined based on the presence / absence of the browsing permission signal in the received signals from other members. It is preferable that a rule is set in advance for the browsing permission signal. When there is no browsing permission signal or when it is wrong, it can be determined as an unauthorized access.
  • the browsing permission signal may be a specially created signal, or another signal, for example, partner information for permitting browsing.
  • the read program file execution unit 114 receives and executes a read program file corresponding to the call content.
  • the encryption processing unit 115 performs the same processing on the authentication information in the USB memory 2 and the contents of the attribute information list in addition to the encryption on the information exchanged with the member server 3. As a result, the contents of the authentication information and the attribute information list in the USB memory 2 are encrypted and stored by the encryption program at that time. Therefore, easy decoding is prevented. Note that a decryption program paired with the encryption program executed by the encryption processing unit 115 is also taken into the terminal 1 at the same time, and information read from the USB memory 2 executes the decryption program. Decrypted by the decryption processing unit 116. Next, when it is transmitted to the member server 3, it is re-encrypted by the latest received encryption / decryption program.
  • FIG. 4 is a diagram showing an example of a read program file. More specifically, it shows an example of a list of the read program file A, and includes a constant value and a logic part.
  • the constant value is described (coded) in the program in association with the logic part, and is generated as one executable file (program file) when compiled.
  • it is uniformly called a read program file.
  • This division identification code information (ID), this division attribute information, this division corresponds to the four pieces of information of division identification code information (ID) for identifying the next (NEXT) division attribute information in the division order with respect to the attribute information and the storage information of the next (NEXT) division attribute information. To do.
  • the next (NEXT) division identification code information (ID) and the next (NEXT) storage location information are the associated information described above. In the case of the last division attribute information in the division order, there is no next division attribute information, so only the last division identification code information (ID) and division attribute information are provided.
  • the logic part includes the output (OUTPUT) of the current division attribute information, the next (NEXT) storage location information, and the next (NEXT) division identification code information call (CALL). With this output, the division attribute information is output and displayed on the display unit 15, for example.
  • the call executes a read request for the corresponding read program file in the same manner as the previous time in accordance with the next storage location information.
  • the read program file execution unit 114 finishes the output and the call up to the last divided attribute information of each specified attribute item, the read program file execution unit 114 sequentially combines the divided attribute information for each attribute item and displays the combined attribute information on the display unit 15. .
  • the output mode may be output to a printer, audio output from a speaker, or only temporary writing processing in the RAM 13 as necessary.
  • the management unit 4 also executes a process of changing (changing) the distributed storage status of the divided attribute information of the data servers 51 to 56 according to a predetermined condition including regular or irregular.
  • the update processing unit 117 rewrites the storage location information of the corresponding attribute item in the USB memory 2 when the storage location information of the first division attribute information is changed by the management unit 4.
  • the execution result can be reflected (updated) in the USB memory 2 at that time.
  • the change process is executed while the USB memory 2 is not attached, and the next attribute when the member's USB memory 2 is attached to the terminal 1 next time. If there is a change history for the information, the update process may be executed first.
  • the control unit 11 is connected to a ROM 12 storing an operation system (OS) and the like, and a RAM 13 storing various application software and information being processed.
  • the RAM 13 includes a general-purpose AP storage unit 131, a specific AP storage unit 132, a file storage unit 133 that stores a created document and a written file, a read program file storage unit 134 that temporarily stores a received read program file, and an encryption A decryption program storage unit 135 and a decryption program storage unit 136.
  • the management unit 4 includes a control unit 41 composed of a CPU.
  • a ROM 42 and a RAM 43 are connected to the control unit 41.
  • the CPU of the control unit 41 executes a program developed on the RAM 43, thereby dividing the attribute information at the time of member registration and performing a distributed storage, and a corresponding reading program call in response to a call signal.
  • a read program file sending unit 412 that controls sending to the original terminal 1, an encryption / decryption program setting unit 413 that selects a plurality of encryption and decryption programs prepared in advance, and transmission information to the terminal 1 are set.
  • the read program file sending unit 412 When the read program file sending unit 412 receives the call signal designating the data server corresponding to the storage destination information, the read program file sending unit 412 stores the read program file including the constant value and the logic part stored in the data server. This is a reply to the terminal 1.
  • the read program file that is the attribute information list in the USB memory 2 ⁇ / b> A of the member A is transmitted to the member server 3 and temporarily stored.
  • the temporarily stored read program file of member A is transmitted to terminal 1B. That is, the member B attribute information acquisition process by the member B is started by executing the read program file that is the member A attribute information list.
  • the USBID is attached to the member A's read program file, and the management unit 4 of the member server 3 monitors the presence / absence of the USBID to determine whether or not the file is an illegally read program file. You may do it.
  • the management unit 4 of the member server 3 sends an unauthorized read program file of the member A to the terminal 1B, and then illegally determines whether the USBID attached to the read program file is received as an inquiry signal from the terminal 1B. It may be determined whether or not there is.
  • the terminal 1B cannot execute the read program file of the member A received from the member server 3 as it is, and the execution ban that is returned from the management unit 4 to the terminal 1B in response to the reception of the inquiry signal.
  • An execution condition is that a signal is received.
  • the encryption / decryption program setting unit 413 prepares a large number of paired encryption programs and decryption programs in the encryption / decryption program storage unit 431, from which the member server 3 transmits them to the terminal 1 side.
  • the encryption program and the decryption program for performing encryption and decryption are respectively changed for the information to be transmitted and the information transmitted from the terminal 1 to the member server 3.
  • the encryption / decryption program setting unit 413 transmits the set encryption program and decryption program to the terminal 1 and stores them in the encryption program storage unit 135 and the decryption program storage unit 136 of the RAM 13.
  • the encryption / decryption program setting unit 413 executes the change process every time the USB memory 2 is attached and the attribute information browsing process is executed.
  • the present invention is not limited to this, and when the member operates through the operation unit 14, the change process may be performed every time the number of browsing processes reaches a predetermined number or every time a predetermined time elapses. .
  • a substitution expression that replaces a character or phrase in a general format with another character or symbol (group) a character substitution expression that replaces a single character with another character / symbol (group), two characters, or three
  • a spelling substitution formula that changes a character group such as a character to another character or symbol (group)
  • a dictionary formula that changes to another character or symbol group in units of characters, words, phrases, short sentences, etc., or two or more substitution tables A multi-table expression that encrypts while changing the table according to the rules, and a random number (character) expression that encrypts by adding a random number (letter) to a single-format ciphertext converted to a number (character)
  • Encrypted text that is frequently updated using lexicographic or spelling ciphers is often updated with character substitutions, secondary expressions that are encrypted with spelling substitutions, and the first part is used as the key, and then the original text or cipher is
  • the encryption processing unit 414 and the decryption processing unit 415 decrypt the information received from any one of the terminals 1 with a decryption program that has been set most recently with the terminal 1, and the decrypted information is transmitted to another terminal. Before being transmitted to 1, the data is encrypted with the encryption program set most recently with the other terminal 1.
  • the change processing unit 416 changes (changes) the storage location of the divided attribute information, and the change process is executed every time the USB memory 2 is attached and the attribute information browsing process is executed.
  • the change process is performed by changing the storage location of “Taro” of “Name”, which is the division attribute information, from “Server 5” to “Server 3” in the “Name” attribute item.
  • the NEXT storage location information of the data server 51 is rewritten from “server 5” to “server 3”, and the information of “ID: 006125, name, Taro” in the data server 55 before the change is changed.
  • the data server 53 is rewritten (and deleted from the data server 55).
  • the storage destination information in the corresponding attribute item of the USB memory 2 is updated. Updated by the unit 117.
  • the shuffle relation storage unit 432 of the RAM 43 stores the result changed for each member by the change processing unit 416. For example, the content of the attribute information list of the USB memory 2 when the storage information of the first divided attribute information at the time of initial member registration is changed to “server 3” next time is “server 3”. Until the call is updated, if the call related to the viewing request for the attribute item of the member from the terminal 1 is “server 1”, the call destination is changed with reference to the shuffle relation storage unit 432 To “Server 3”. Then, when the contents of the USB memory 2 are updated, the change information of the storage location information of the member in the shuffle relation storage unit 432 may be deleted. It is possible to adopt a mode in which the contents of the USB memory are not updated. In this case, the shuffle relation storage unit 432 creates a comparison table between the first storage destination information and the latest storage destination information whenever there is a change. This will be possible.
  • FIG. 5 is a flowchart for explaining the procedure of member information registration processing executed by the control unit 41 of the management unit 4.
  • the attribute information is divided in order according to a predetermined rule, for example, from the top side (that is, from one end to the other end).
  • Information is created, and in the created division attribute information, the division identification code information and storage location information of the next division attribute information are set as linked information (step S1).
  • the order of attribute items is represented by c
  • the division order is represented by d.
  • step S15 a read program file that is information stored in any of the data servers 51 to 56 of the database 5 in order Is created (step S11) and transmitted (step S13).
  • This transmission is preferably performed with the information encrypted.
  • the encryption is performed by an encryption program among encryption and decryption programs set in advance between the terminal 1 and the member server 3. Until the next call, the memory is maintained in the state encrypted by the encryption program. Thereby, the confidentiality of information on the member server 3 side is maintained.
  • FIG. 6 is a flowchart for explaining the procedure of the USB memory 2 attachment determination process executed by the control unit 11 of the terminal 1.
  • a handshake signal is periodically transmitted to the USB port P1, and the state of the USB port P1 is determined (step S21).
  • the attachment is confirmed by returning a response signal in response to the handshake signal (step S23).
  • the response signal is not returned (NO in step S21), and the process exits this flow.
  • a response signal is returned, it is assumed that the USB memory 2 is attached and the specific AP can be executed (step S25).
  • FIG. 7 is a flowchart for explaining the procedure of the member information browsing permission grant process executed by the control unit 11 of the terminal 1.
  • the presence / absence of an operation for designating a member who is permitted to browse is determined (step S31). If there is a designating operation, the presence / absence of an operation for designating an attribute item that is permitted to be browsed is determined (step S33). If it is determined that an attribute item designation operation has been performed, the terminal information of the other party to be authorized is attached to the read program file including the attribute information list and the designated attribute item information, and the member server is used as a browsing permission grant signal. 3 to the management unit 4 (step S35).
  • designated time of the other party's terminal 1 may be before and after designation
  • the browsing permission grant signal transmitted to the management unit 4 of the member server 3 is transmitted after being encrypted by the encryption program set with the terminal 1. Therefore, after receiving, the management unit 4 performs decoding using the set decoding program.
  • FIG. 8 is a flowchart for explaining the procedure of the member information browsing permission information reception process executed by the control unit 11 of the terminal 1.
  • a new browsing permission grant signal has been received from the management unit 4 of the member server 3 (step S41), and if received, the buffer unit of the terminal 1 (even in a predetermined buffer area in the RAM 13). Is taken in (step S43).
  • step S45 it is determined whether or not the terminal 1 is operating (step S45). If the terminal 1 is operating, it is written, for example, in a list in accordance with the chronological direction, for example, in an e-mail reception history (step S49).
  • the terminal 1 waits for activation (YES in step S47), and is written in the e-mail reception history in step S49. Note that this flow is exited when the signal is not a new browsing permission grant signal (NO in step S41) and the terminal 1 is not operating (power off) (NO in step S47).
  • the browsing permission grant signal is encrypted on the member server 3 side using an encryption / decryption program set in advance with the counterpart terminal 1 as described later, Decoding is performed on the terminal 1 side of the other party.
  • the browsing permission grant signal may be transmitted directly from the terminal 1 that permits browsing to the terminal 1 that is permitted to browse or in parallel with transmission to the member server 3. Good.
  • the present embodiment (indirect) performed through the member server 3 is substantially transmitted from the terminal 1 that permits browsing to the terminal 1 that permits browsing.
  • FIG. 9 is a flowchart for explaining the procedure of the writing process to the USB memory 2 executed by the control unit 11 of the terminal 1.
  • step S61 it is determined whether or not the USB memory 2 is mounted. If it is determined that the USB memory 2 is mounted, the first divided identification code information for each attribute item is determined from its own attribute information written in the member server 3. And the storage location information are encrypted and written, and the attribute information list is written (step S63).
  • FIG. 10 is a flowchart for explaining the procedure of the member information acquisition request (call to the member server 3) process executed by the control unit 11 of the terminal 1.
  • step S71 it is determined whether or not the USB memory 2 is mounted. If it is determined that the USB memory 2 is mounted, it is determined whether or not there is an operation for a call from the operation unit 14 (step S73). When there is an operation for a call, a call signal is created based on the browsing permission information and further encrypted (step S75). Next, this first call signal is transmitted to the management unit 4 of the member server 3 (step S77). On the management unit 4 side of the member server 3, the data server corresponding to the storage location information of the attribute item included in the call signal is designated from the data servers 51 to 56.
  • FIG. 11 is a flowchart for explaining the read program file reply process executed by the control unit 41 of the management unit 4.
  • the presence / absence of a call (including the first call) is determined (step S91).
  • a decoding process is performed on the received call signal (step S93).
  • a data server corresponding to the storage location information in the call signal is selected (step S95).
  • information of the read program file corresponding to the division identification code information in the call signal is selected and encrypted. (Step S97).
  • the encrypted information is returned to the caller terminal 1 (step S99). If there is no call in step S91, the process exits this flow.
  • FIG. 12 is a flowchart for explaining the procedure of the read program file execution process executed by the control unit 11 of the terminal 1.
  • a reply signal that is, a read program file is received from the member server 3 (step S111), and if received, decryption is executed (step S113), and the read program file is executed.
  • the execution result is output to the display unit 15 (step S115).
  • the process exits this flow.
  • step S117 the presence / absence of linked information, that is, the division identification code information in the next order and its storage location information is determined in the reply signal received this time (step S117). If there is next linked information, a call signal is created and encrypted based on the next division identification code information and its storage location information (step S119) and transmitted to the management unit 4 of the member server 3. (Step S121), this flow is finished. On the other hand, if there is no next linked information in step S117, it is determined whether or not all of the attribute items permitted to be browsed are finished (step S123), and if there are remaining attribute items, it corresponds to the next attribute item.
  • a call signal is created based on the information in the attribute information list, encrypted (step S125), and transmitted to the management unit 4 of the member server 3 (step S127). On the other hand, if the call processing is completed for all the attribute items permitted to be browsed in step S123, this flow ends. After the call signal is transmitted in steps S121 and S127, a reply signal from the member server 3 is in a standby state (NO in step S111).
  • the read program file that has already been executed may be deleted immediately, but in this embodiment, the read program file is deleted after completion of the predetermined processing as follows. That is, when two read program files adjacent to each other in the order of division are compared to the read program file of the “parent and child”, the child read program file returned this time is the source of the reply after decoding.
  • a parent-child relationship authentication process is first executed with the parent read program file returned immediately before.
  • the information for the parent-child relationship authentication is created by, for example, so-called tally information, and may be created at the time of creation of a child call signal (for reading a child reading program file) or by joining.
  • the child read program file may have been created illegally.
  • the parent read program file may be deleted after the authentication process is completed. Further, in the case where the execution result is output to the display unit 15 on the condition that the read program file is executed for all the attribute items to which browsing permission is given, the authentication denial is halfway through the processing. When such unauthorized access is discovered, no attribute information is displayed on the display unit 15, which is preferable.
  • FIG. 13 is a flowchart for explaining the procedure of the encryption / decryption program change process executed by the control unit 41 of the management unit 4.
  • the change condition may be one before or after the member information acquisition process.
  • a stage of handshake (session) signal exchange with the management unit 4 before issuing the first call signal and after the member information acquisition process is a series of call signals This is a point in time before the reply signal is sent and the line is disconnected.
  • it may be every time information communication occurs with the member server 3, or may be preset every hour or time, and further may be every number of communications or every traffic.
  • the encryption / decryption program is shuffled (step S143).
  • the shuffle process may be random or based on a predetermined rule. It is desirable that the predetermined rule includes at least one of the information on the time, the amount of communication information, and the number of times of communication described above because it is substantially random.
  • the encryption / decryption program is adopted for information communication between a certain terminal 1 and the member server 3, and is a mode in which information is exchanged (typically, a certain terminal). It is preferable to use different encryption programs for the call signal from the one side and the return signal from the member server 3 in response to the call signal (ie, the forward path and the return path). The encryption / decryption program is changed and set.
  • step S145 one of the changed encryption / decryption programs of each pair is transmitted to the caller terminal 1 (step S145), and this flow is finished.
  • the encryption / decryption program transmitted to each terminal 1 is written in the shuffle relationship storage unit 32 in a state where it can be browsed.
  • FIG. 14 is a flowchart for explaining a procedure for changing the storage destination of the division attribute information executed by the control unit 41 of the management unit 4.
  • Information storage location change processing is executed (step S153).
  • the change process may be performed for at least one kind of attribute item of the member who has permitted the browsing, or may be performed for all the attribute items.
  • the change process may be executed for a different attribute item each time.
  • the storage location information of the division attribute information at the beginning of the attribute item (in this embodiment, the same as the attribute information in the attribute information list of the USB memory 2 as shown in FIG. 3) is changed, and the second and later in the division order.
  • the storage location information (corresponding to the above-described tied information) of the divided attribute information is considered to be changed.
  • the present invention only needs to be changed for at least one of them.
  • the change processing includes rewriting of the linked information portion of the target divided attribute information and rewriting between data servers actually stored as constant values for the target attribute item.
  • the target split attribute information is sequentially selected, and each of the current data servers 51 to 56 is changed from the current data server 51 to 56 according to a random or predetermined rule. It is executed by setting.
  • an actual information rewrite process is executed for the data servers 51 to 56 (step S155).
  • the rewriting is a process for changing the storage location information of the linked portion, and updating the division attribute information, the division identification code information, and the storage location information for the data server before and after the change.
  • step S157 it is determined whether or not the storage location of the first division attribute information has been changed.
  • the storage location of the first divided attribute information is changed, it is necessary to update the storage location information of the target attribute item in the attribute information list of the USB memory 2, so that the change result is permitted to be viewed. It is transmitted to the terminal 1 of the member who made it (step S159).
  • FIG. 15 is a flowchart for explaining the procedure of the attribute information list update process executed by the control unit 11 of the terminal 1.
  • step S171 it is determined whether or not the USB memory 2 is mounted. If it is determined that the USB memory 2 is mounted, it is determined whether or not storage destination change result information is received from the member server 3 (step S171). S173). If the storage destination change result information is received, the storage destination information of the corresponding attribute item in the attribute information list of the mounted USB memory 2 is updated according to the change result (step S175). On the other hand, if the USB memory 2 has been removed in step S171, no information is received due to the confidentiality of the information, and this flow ends.
  • the attribute list is encrypted and stored in the form of a read program file
  • the partial update in the attribute information list of the USB memory 2 is temporarily read out and decrypted to the terminal 1 side. After performing a predetermined update process, the data is encrypted again and written to the USB memory 2.
  • the member information acquisition process may be restricted so as to be performed from its own terminal 1.
  • the determination can be made, for example, by comparing the authentication information of the mounted USB memory 2 with the identification information set in advance in the terminal 1.
  • the specific application software stored in the specific AP storage unit 132 is stored in the member server 3 or a corresponding program authentication server, and is downloaded from the program authentication server and installed. preferable. Thereby, it is possible to execute the specific application software installed in the terminal 1 in an appropriate state by applying a virus countermeasure to the program authentication server.
  • virus information can be obtained by using code information (hash value code, etc.) created by using the program, header information, etc., periodically calculating the hash value code, and checking it against the first code. It is possible to determine the possibility of the application, and to effectively prohibit the execution of application software that may be infected with a virus.
  • the number of data servers is six, the number is not limited to this, and an appropriate number can be set in terms of the number of types of attribute items, the number of divisions of attribute information, and securing dispersibility.
  • the information to be changed may include the division attribute code information in addition to the storage location information to further improve the confidentiality.
  • the description of the process of inputting the member ID as a password and authenticating whether or not the USB memory 2 is attached to the terminal 1 by a legitimate member has been omitted.
  • an authentication method when the USB memory 2 is attached to the terminal 1, a screen for prompting the input of a password is displayed, a required password is received, transmitted to the member server 3 in pairs with the USBID, and the member server 3 It is determined whether or not the member is a legitimate member by collating with the member ID of each member for collation stored in advance. In the case of mismatch, a prohibition signal transmitted from the member server 3 side is received, and processing for prohibiting all execution of the specific AP of the terminal 1 is performed.
  • the following methods are also conceivable as other methods of member authentication.
  • it is a method of determining the legitimacy of the person who has attached the USB memory 2 to the terminal 1 by communicating with the member server 3 using other information communication means.
  • the member server 3 is configured to have a communication function capable of communicating with the other information communication means, and a function for collating the received information with the identification information of the information communication means registered at the time of enrollment, a collation result It is only necessary to further provide a function of determining whether the terminal is legitimate according to the above and issuing an operation permission signal to the terminal 1.
  • the present invention selectively transmits the above data to the information processing terminal possessed by the member, which is the access source, from the server storing each piece of information of the plurality of attribute items for identifying the member.
  • the server has divided attribute information in which attribute information in each attribute item is divided into at least two in order from one end side to the other end side according to a predetermined rule Each of the division attribute information, the division identification code information for identifying the division attribute information, the division identification code information of the division attribute information of the next order in the ordering, and the location of the division attribute information of the next order.
  • a plurality of information storage units in which read program files for storing storage destination information for indicating as constant values are distributed and stored.
  • Read program file sending means for returning a read program file corresponding to the divided identification code information from the information storage unit to the information processing terminal of the access source, wherein the information processing terminal is the one end of the member attribute information From the information storage unit to the division identification code information, the division identification code information from the first to the other end and the corresponding storage location information are sequentially transmitted to the information storage unit corresponding to the storage location information.
  • the terminal communication processing means for receiving the read program file, and the received read program file are executed to read each division attribute information of the attribute item to the output unit, and the next division identification code information is sequentially divided into the division Read to the terminal communication processing means to transmit to the information storage unit corresponding to the storage location information of the identification code information It is characterized in that a program execution processing unit.
  • one attribute information is divided into a plurality of divided attribute information.
  • the server also has a plurality of information storage units, and is distributed and stored in the plurality of information storage units according to the division identification code information and the storage location information for each division attribute information. Therefore, even if one piece of division attribute information is wiretapped, only the division identification code information and storage location information in the following order can be obtained in this information. Information cannot be collected.
  • associating the divided information with linked information so that attribute information is not included when calling to the information storage unit, and the attribute information is set as a constant value of the read program file, a reply from the server is also possible Decoding is difficult, and the information itself is prevented from being stolen.
  • the program execution processing unit combines the read division attribute information according to the ordering and reproduces the information on the output unit. According to this configuration, the divided attribute information is automatically reproduced.
  • the terminal communication processing unit receives the one-end division identification code information and the storage location information on the member attribute item from another member's information processing terminal, the one-end division identification code It is preferable that transmission of information and its storage location information to the information storage unit is permitted.
  • a browsing permission signal transmitted directly or indirectly (that is, via the server) from the member who is the granting authority of browsing permission is received, and the received information is used to Since it is possible to make a call for acquiring member attribute information, unauthorized access (call) can be prevented, and operation at the time of the call is facilitated.
  • the information processing terminal includes first and second operation units and a connection unit to which a portable member external storage medium possessed by a member can be attached and detached.
  • the division identification code information at one end and the corresponding storage location information for each attribute item of a member who is a member are stored, and the terminal communication processing means is configured such that the member external storage medium is connected to the connection unit.
  • the corresponding storage location information is transmitted to the server with the information on the information processing terminal designated by the second operation unit, and the server stores the division identification code information at the one end and the corresponding storage.
  • Destination information It is preferable to transmit to the information processing terminal that is specified by the second operation unit. According to this configuration, a desired designation operation is facilitated by the first operation unit using the storage information in the member external storage medium. In addition, it is desirable from the point of secrecy that the storage information in the member external storage medium is in the form of a read program file.
  • a management server that manages the information storage unit on the network, the management server for each predetermined condition, the division identification corresponding to the division attribute information in the next order stored in the information storage unit; It is preferable to provide a change processing means for changing the storage location of the code information between the information storage units and rewriting the content of the information storage unit before the change to the information storage unit after the change according to the change content. According to this configuration, it is possible to appropriately change the storage location of so-called tied information and its divided attribute information, and high confidentiality can be achieved against unauthorized access.
  • the change processing means updates an update instruction signal for updating the contents of the member external storage medium attached to the connection unit when the information to be changed is storage destination information of the one-side split attribute information To the information processing terminal attached to the connection unit, and the information processing terminal updates the content of the attached member external storage medium in accordance with the received update instruction signal. It is preferable to provide an update processing means. According to this configuration, the content of the member external storage medium is updated by changing the divided attribute information at one end of the attribute information, for example, the head side, so that the external storage medium that has not been updated is illegal. It becomes possible to check as.
  • the predetermined condition is that the member external storage medium is attached to the connection unit. According to this configuration, when the member external storage medium is attached to the connection unit, the storage destination is changed, so that it is impossible to eavesdrop on specific information by unauthorized access.
  • the change processing means perform the change at random. According to this configuration, since the storage destination cannot be predicted, unauthorized access is effectively prevented.
  • the change processing means performs the rewriting on a member basis. According to this configuration, since rewriting is performed depending on the circumstances of each member or independently of it, unauthorized access aimed at a specific member is effectively prevented.
  • the change processing means performs the rewriting on a member-by-member attribute item basis. According to this configuration, by making it possible to change the storage destination for a part of member attribute information, it is possible to perform a change process rich in elasticity.
  • the management server includes server encryption processing means for encrypting a read program file to be transmitted to the information processing terminal, and server decryption processing means for decrypting information transmitted encrypted from the information processing terminal.
  • the information processing terminal includes: a terminal encryption processing unit that encrypts information to be transmitted to the server; and a terminal decryption processing unit that decrypts the encrypted read program file received from the server. It is preferable to provide. According to this configuration, since the information exchanged between the information processing terminal and the management server is encrypted, the confidentiality is improved.
  • the management server includes a plurality of encryption programs and decryption programs corresponding to each other, and a predetermined encryption program is stored in each communication with an information processing terminal in which the member external storage medium is mounted.
  • a pair of decryption programs is set, and the set pair of encryption program and decryption program is transmitted to the information processing terminal.
  • the information processing terminal includes a third operation unit, and the terminal communication processing unit performs the third identification for the division identification code information and the storage destination information related to the division attribute information at the one end of the attribute information ordering. It is preferable that a transmission instruction is received from the operation unit to perform transmission. According to this configuration, since the attribute information is finally combined and reproduced by an operation of instructing information that is not the attribute information itself such as a so-called leading identification code or storage destination, the instruction operation becomes easy.
  • the attribute item preferably includes a name and an address. According to this configuration, it is possible to protect basic personal attribute information such as name and address under high confidentiality.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)

Abstract

 本システムは端末(1)とサーバ(3)を有する。サーバ(3)は分割属性情報及び分割識別コード情報と、次の分割属性情報の分割識別コード情報及びその格納先情報とを定数値として置く読出プログラムファイルが分散して格納される6個のデータサーバ(51~56)と、指定されたデータサーバから分割識別コード情報に対応した読出プログラムファイルをアクセス元の端末(1)に返信する読出プログラムファイル送出部(412,417)とを備える。端末(1)は各分割識別コード情報を、順次、格納先情報に対応したデータサーバに送信すると共に読出プログラムファイルを受信する端末通信処理手段(113,114,118)と、受信した読出プログラムファイルを実行して各分割属性情報を結合し、かつ順次次の分割識別コード情報を格納先情報に対応するデータサーバに送信するためのプログラムファイル実行部(114)を備えた。

Description

情報管理システム
 本発明は、会員の属性情報等の個人情報をネットワークを介して、アクセス(コール)元の情報処理端末に情報の漏洩なく送信する情報管理システムに関する。
 近年、インターネットを始めとした通信ネットワークの急激な進展により、種々の商取引等のサービスが通信ネットワークを介して行われるようになってきている。同様に、行政機関等に対する行政手続等のサービスも通信ネットワークを介して行われるようになってきている。かかるサービスの実行に際し、ネットワークを介して授受される情報には決済情報、取引情報の他、個人情報等が含まれる場合が少なくない。この個人情報(個人を特定するための各属性に関する情報)に対し、他人になりすましてサーバやデータベース等に侵入し、データを盗用したり改竄したりする不正行為が増大している。従って、個人情報を高セキュリティの元で管理する方策が要請される。
 特許文献1には、生体情報入力部から受け入れた登録者の生体情報を2分割し、その一方の分割生体情報が格納される認証記憶部と、他方の分割生体情報が格納される登録者固有のICカードと、制御部とを備えた認証システムが記載されている。特許文献1の発明は、認証要求が有った時、前記制御部によって、前記認証者の生体情報とICカードから前記他方の分割生体情報とを受け入れて、他方の分割生体情報と一方の分割生体情報とを合成し、合成した生体情報と生体情報入力部から受け入れた認証者の生体情報とを比較することで個人認証を行うようにしている。これによって、分割された情報のうちのどちらか一方が盗難にあった場合でも不正使用されることが防止できる。
 特許文献2には、個人を確認する情報であるマルチメディア情報を取得する取得手段と、前記マルチメディア情報を分割する分割手段と、該分割手段により複数に分割されたマルチメディア情報である分割マルチメディア情報を、前記照合装置の複数の格納手段にそれぞれ格納する格納制御手段とを備えた登録装置が記載されている。より詳細には、特許文献2の発明は、前記分割手段によって、前記マルチメディア情報を情報量の少ない分割マルチメディア情報から情報量の多い分割マルチメディア情報へ段階的に分割し、前記格納制御手段によって、該分割マルチメディア情報をそれぞれ異なる前記格納手段に格納するようにしている。さらに、分割したマルチメディア情報を合成してから照合するのではなく、各分割マルチメディア情報毎に段階的に複数回の照合を繰り返す構成にすることで、分割後のマルチメディア情報から元のマルチメディア情報を復元することを困難にしている。従って、複数の記憶装置のマルチメディア情報が同時に盗難に遭った場合でも、それらを用いて元のマルチメディア情報を復元することが困難であれば、照合処理を通過することが困難であり、セキュリティを向上することができる。これによって、情報の盗難などの際のリスクを分散でき、セキュリティの向上を図ることができる。
特開2001-067137号公報 特開2007-234054号公報
 しかしながら、特許文献1は、個人情報をICカードと照合装置内の記憶装置とに2分割して格納する態様であるため、一方の媒体から個人情報が盗まれ、その情報を使って他人になりすまして照合処理を通過されてしまう危険性がある。また、特許文献1,2はいずれも、所与の比率で分割された情報を複数の記憶部に分散して格納する場合に、格納場所の識別を行う一方、情報自体の秘匿性に関しては、分散処理以上の方策は施されていない。従って、情報の盗難リスクには限界があり、セキュリティ面で十分ではない。
 本発明は、個人の属性情報を分割及び分散して記憶し、かつ分割された情報を紐付き情報にて関係付けると共に、情報記憶源へのアクセス要求時に属性情報を含まず、かつ属性情報を読出プログラムファイルの定数値として設定することで情報自体の盗難防止を図り、さらに仮に情報が盗難されてもその解読を実質不可にした情報管理システムを提供することにある。
 請求項1記載の発明は、会員を識別するための複数の属性項目の各情報を記憶するサーバからネットワークを介して、アクセス元である、会員の所持する情報処理端末に上記データを選択的に送信し、出力部に導く情報管理システムにおいて、前記サーバは、各属性項目内の属性情報が所定のルールで一方端側から他方端側に向けて順序付けて少なくとも2以上に分割された分割属性情報のそれぞれについて、分割属性情報及び当該分割属性情報を識別するための分割識別コード情報と、前記順序付けにおける次の順序の分割属性情報の分割識別コード情報及び前記次の順序の分割属性情報の所在を示すための格納先情報とを定数値として置くための読出プログラムファイルがそれぞれ分散して格納される複数の情報記憶部と、指定された前記情報記憶部から分割識別コード情報に対応した読出プログラムファイルをアクセス元の情報処理端末に返信する読出プログラムファイル送出手段とを備え、前記情報処理端末は、会員の属性情報のうちの前記一方端から前記他方端までの各分割識別コード情報及び対応する格納先情報を指定用として、順次、格納先情報に対応した情報記憶部に送信すると共に前記情報記憶部から前記分割識別コード情報に対応する前記読出プログラムファイルを受信する端末通信処理手段と、受信した前記読出プログラムファイルを実行して、前記属性項目の各分割属性情報を前記出力部に読み出すと共に、順次次の分割識別コード情報を当該分割識別コード情報の格納先情報に対応する前記情報記憶部に送信するべく前記端末通信処理手段に読み出すプログラム実行処理手段とを備えたことを特徴とするものである。
 この発明によれば、複数の情報記憶部には、各属性項目内の属性情報が所定のルールで一方端側から他方端側に向けて順序付けて少なくとも2以上に分割された分割属性情報のそれぞれについて、分割属性情報及び当該分割属性情報を識別するための分割識別コード情報と、前記順序付けにおける次の順序の分割属性情報の分割識別コード情報及び前記次の順序の分割属性情報の所在を示すための格納先情報とを定数値として置くための読出プログラムファイルがそれぞれ分散して記憶されている。そして、読出プログラムファイル送出手段によって、指定された前記情報記憶部から分割識別コード情報に対応した読出プログラムファイルがアクセス元の情報処理端末に返信され、端末通信処理手段によって、会員の属性情報のうちの前記一方端から前記他方端までの各分割識別コード情報及び対応する格納先情報が指定用として、順次、格納先情報に対応した情報記憶部に送信されると共に、前記情報記憶部から前記分割識別コード情報に対応する前記読出プログラムファイルが受信される。プログラム実行処理手段によって、受信された読出プログラムファイルが実行され、前記属性項目の各分割属性情報が前記出力部に読み出されると共に、順次次の分割識別コード情報が当該分割識別コード情報の格納先情報に対応する前記情報記憶部に送信されるべく前記端末通信処理手段に読み出される。このようにして、1つの属性情報が、複数の分割属性情報に分割される。また、サーバは複数の情報記憶部を有し、各分割属性情報に対する分割識別コード情報及びその格納先情報によって、複数の情報記憶部に分散して記憶される。従って、1つの分割属性情報が仮に盗聴されても、この情報には、次の順序の分割識別コード情報と格納先情報とが得られるのみで、さらにサーバに侵入乃至はキャプチャしなければ、分割情報を採取することができない。しかも、分割された情報を紐付き情報にて関係付け、情報記憶部へのコール時に属性情報が含まれないようにし、かつ属性情報を読出プログラムファイルの定数値として設定することでサーバからの返信も解読が困難となって、情報自体の盗難防止が図られる。なお、端末通信処理手段について、本実施形態では、次の分割識別コード情報は管理部4(図1参照)を介していずれかの前記情報記憶部に送信されるが、管理部4の機能は、ここでは単に振り分け処理であるので、実質的には、端末通信処理手段から格納先情報に対応する情報記憶部に情報が送信されることと実質同一である。
 本発明によれば、個人の属性情報を分割及び分散して記憶し、かつ分割された情報を紐付き情報にて関係付けると共に、情報記憶部へのコール時に属性情報を含まず、かつ属性情報を読出プログラムファイルの定数値として設定することで情報自体の盗難防止を図り、さらに仮に情報が盗難されてもその解読を実質不可にした。
本発明に係る情報管理システムが適用されるネットワークシステムの概略構成図である。 端末、USBメモリ及び会員サーバの有する機能をそれぞれブロック化した構成図を示すものである。 USBメモリ2及びデータサーバ51~56のメモリマップの一例を示す図である。 プログラムファイルAのリストの一例を示す図である。 管理部4の制御部41によって実行される会員情報の登録処理の手順を説明するフローチャートである。 端末の制御部によって実行されるUSBメモリ2の装着判定処理の手順を説明するフローチャートである。 端末の制御部によって実行される会員情報の閲覧許可付与処理の手順を説明するフローチャートである。 端末の制御部によって実行される会員情報の閲覧許可情報の受信処理の手順を説明するフローチャートである。 端末の制御部によって実行されるUSBメモリ2への書込処理の手順を説明するフローチャートである。 端末の制御部によって実行される会員情報の取得リクエスト(会員サーバ3へのコール)処理の手順を説明するフローチャートである。 管理部の制御部によって実行される読出プログラムファイルの返信処理の手順を説明するフローチャートである。 端末の制御部によって実行される読出プログラムファイルの実行処理の手順を説明するフローチャートである。 管理部の制御部によって実行される暗号化、復号化プログラムの変更処理の手順を説明するフローチャートである。 管理部の制御部によって実行される分割属性情報の格納先の変更処理の手順を説明するフローチャートである。 端末の制御部によって実行される属性情報リストの更新処理の手順を説明するフローチャートである。
 図1は、本発明に係る情報管理システムが適用されるネットワークシステムの概略構成図である。図1に示すネットワークシステムは、例えば、会員である、消費者や商店乃至は企業等、更には決済を行う1又は複数の金融機関に配置される端末(情報処理端末)1と、これらの各端末1及び端末1間での情報の管理及び保管を統括的に行う管理機関に配設された会員サーバ3とを備える。
 端末1は、一般的にはCPU(Central Processing Unit)を内蔵するパーソナルコンピュータ等で構成されている。端末1内には、一般的な文書や図形の作成ソフトウエアを利用しての情報の作成、加工、記憶、更に通信用のソフトウエアを利用しての情報の送受信等の一般的な各処理を実行するプログラムファイル(図2の汎用AP(アプリケーションソフトウエア;Application software)記憶部131参照)と、後述する特定のアプリケーションソフトウエアの実行に関連する処理を行うプログラムファイル(図2の特定AP(アプリケーションソフトウエア)記憶部132参照)とを備える。より具体的には、消費者、商店及び企業等の端末1には、特定AP記憶部132として、商品やサービスの売買、見積もり乃至は請求、入出金に関する各書類の作成と通信とを行うソフトウエアがインストールされる。すなわち、端末1は、一般的な商取引における決済、例えば業者店舗からの請求書の発行、受領や、購買者側から請求書発行元の契約金融機関の口座への入金(すなわち支払い)指示書、その受領書の発行の他、電子決済の如何を問わず種々の電子書面での送受信処理を可能とするものである。端末1は、各種書類をテキスト形式の、またバイナリー形式の電子ファイルとして作成可能である。電子ファイルは、例えば会員サーバ3を中継して端末1間で授受される。各金融機関の端末1には、消費者や企業の端末1からの金融的な決済書面に従った決済指示処理(金融機関間での決済処理の指令等)を行う特別アプリケーションソフトウエアもインストールされている。
 また、端末1は、携行可能な記憶媒体(会員用外部記憶媒体)、例えばUSB(Universal Serial Bus)メモリ2が装着(接続)可能なUSBポートP1を有する。記憶媒体としては、IEEE1394ポートを使用したスティック状のハードウエアでもよい。USBメモリ2は、会員に付与されるもので、後述するように所定の情報が更新的に記憶可能な各記憶部(領域)を有する。なお、記憶媒体は、後述するような変動処理がない態様の場合には、書き換え可能なメモリでなくてもよい。
 会員サーバ3は、会員を特定するための各種の属性項目に関する属性情報、例えば会員の氏名、生年月日、住所、電話番号等を会員単位で記憶するものである。これらの情報の記憶形態については、後述する。なお、会員サーバ3は、さらに、各会員によるファイルの送受信履歴やそのファイル類等を会員毎に記憶する図略のファイル記憶部を備えている。
 また、本システムは、他の適用例として、秘密情報を作成、保管管理する、例えば公的機関である団体組織内のLANに接続された複数の端末1間での情報通信、さらに団体組織外にある端末との間における情報通信・管理体制に適用する例を挙げることができる。団体組織外にある端末との間における情報通信としては、例えば証明書の発行などが想定される。
 本システムは、ハードウエア的にはインターネットのネットワークを用いる。すなわち端末1はインターネットに接続される一方、後述するように、インターネットとの間ではソフトウエア的にセキュリティが確保された前述の特定APが実行許可されるようにしている。本発明によってソフトウエア的に分断されたネットワークという観点で、インターネットとは異なる専用ネットワークとして扱い得る。これにより、新たなインフラを必要としないシステムの構築が可能で、かつ各端末1は必要に応じてインターネットを経由して他のパーソナルコンピュータとの間で通常の情報通信及びインターネット上のWebサイトの検索、閲覧及び情報の取得が可能である。
 図1において、端末1はプロバイダ(ISP)6を介してネットワーク7に接続されている。ISP6には、複数の端末1が接続されている。なお、図1には示されていないが、ISP6には、各種の情報を提供するWebサイトを有するサーバも、適宜の数だけ接続されている。また、ISP6に接続される端末1には、特定APがインストールされている会員としての端末1と、汎用APしかインストールされていない通常の端末1′とが存在する。特定AP内の所定のアプリケーションソフトウエアは、USBメモリ2との間での処理、例えば端末1への装着判定処理、所定の情報の読み出し書き込み処理を実行するものを含む。
 会員サーバ3は、管理部4とデータベース5とを備えている。データベース5は、上述の会員の属性情報を記憶するもので、所定数、例えばデータサーバ51~56を有する。データサーバ51~56は、全ての会員の属性情報を会員毎に記憶するもので、詳細は後述する。管理部4は、ネットワーク7上に設けられ、端末1とデータベース5との間での情報の読出処理、情報の受信、変動、及び書き込み処理等を管理するものである。管理部4は実質的にサーバとして機能する。なお、管理部4の機能は、各データサーバ51~56内に設けてもよい。なお、会員の属性情報の取得は、会員登録(入会)時に、例えば、必要な属性項目を入力ガイド画面として表示部15に表示し、操作部14を介して入力することで可能である。入力された属性情報は、後述するように、所定のルールで分割され、さらに、順次紐付き情報を付された形態で、データサーバ51~56のいずれかに分散されて格納される。
 図2は、端末1、USBメモリ2及び会員サーバ3の有する機能をそれぞれブロック化した構成図を示すものである。図2において、端末1は、CPUから構成される制御部11を備えている。制御部11には、ROM(Read Only Memory)12とRAM(Random Access Memory)13とが接続されている。制御部11のCPUは、RAM13上に記憶された汎用APを実行することによって、通常の処理の実行部として機能する。また、制御部11のCPUは、RAM13上に保持された特定APを実行することによって、USBメモリ2の装着を判定する認証処理部111、自己の個人情報の閲覧を許可する権限を付与するべく、その会員の端末1及び閲覧許可が付与される属性項目を指定する閲覧許可付与部112、閲覧許可付与部112によって閲覧許可が与えられた会員の端末1から、会員サーバ3へのコール信号を閲覧リクエスト信号として生成するコール設定部113、データサーバ51~56に格納されている読出プログラムファイルであって、(コール元の)端末1に読み出された読出プログラムファイルを実行する読出プログラムファイル実行部114、会員サーバ3へ送信する情報を暗号化する暗号処理部115、会員サーバ3から受信した暗号化されている情報を復号化する復号処理部116、データサーバ51~56に記憶されている属性情報の分散状況の変更(変動)をUSBメモリ2に反映させるべく更新する更新処理部117、及び他の会員の端末1との間や、会員サーバ3との間での情報の授受を制御する通信処理部118として機能する。
 認証処理部111は、USBポートP1にUSBメモリ2が装着されているか否かを判定するもので、周期的にUSBポートP1に送出するハンドシェイク信号への応答信号の有無で装着の有無を判断するようにしている。また、認証処理部111は、USBメモリ2の装着が確認されると、予めRAM13内の特定AP記憶部132にインストールされた特定APを、USBメモリ2の装着を確認して許可される信号を受けて実行可能に切り換える処理を行う。
 図3は、USBメモリ2及びデータサーバ51~56のメモリマップの一例を示す図である。図3において、端末1Aは会員Aの端末であり、USBメモリ2Aは会員Aのものである。端末1Bは会員Aとは異なる会員Bの端末であり、USBメモリ2Bは会員Bのものであるとする。
 本例として、会員Aの属性情報は、氏名が「田中太郎」、生年月日が「1975年3月4日」、住所が「東京都練馬区旭丘1-1」、電話が「03-1234-5678」であるとする。会員Bの属性情報は、氏名が「鈴木浩治」、生年月日が「1980年8月11日」、住所が「東京都港区元麻布3-10-21」、電話が「03-9876-5432」であるとする。
 USBメモリ2は、認証用の情報が記憶された認証用情報記憶部21と、属性情報リストを記憶する属性情報リスト記憶部22とを有する。認証用の情報とは、USBメモリ2を固体識別のための識別情報(USBID)である。なお、会員サーバ3には、各USBメモリ2の識別情報及び必要に応じて採用される会員認証用のパスワード情報に対応する照合のための情報(会員ID)及びUSBIDが対応して記憶されている。なお、会員ID)、USBID及び当該会員の所持する端末1の識別情報が対応して記憶される態様としてもよい。
 属性情報リストとは、氏名~電話番号の各属性項目に対して、識別コード情報と、その情報が記憶される所在であるデータサーバ51~56のいずれかを示す格納先情報(ID)である。会員Aの例では、氏名については、識別コード情報が「402001」、格納先情報が「サーバ1」である。生年月日については、識別コード情報が「500101」、格納先情報が「サーバ3」である。住所については、識別コード情報が「100213」、格納先情報が「サーバ4」である。電話については、識別コード情報が「200073」、格納先情報が「サーバ6」である。なお、会員BのUSBメモリ2Bについても同様に属性項目毎に情報が記憶されている。また、属性情報リストは、後述するように、読出プログラムファイルの定数値として置かれる態様で記憶される。属性情報リストを読出プログラムファイルの形式で記憶することで、容易に解読ができず、しかも後述するように読出プログラムファイルが端末1によって暗号化された状態でUSB2に格納されるようにすることで、搾取、改竄に対する一層の秘匿性が確保できる。
 続いて、USBメモリ2の属性情報リストとデータサーバ51~56のメモリマップの関係を説明する。会員Aの属性情報「氏名」の識別コード情報は「402001」で、格納先情報は「サーバ1」である。そこで、データサーバ51(「サーバ1」に対応)の識別コード情報「402001」を観察すると、属性項目「姓」として、「田中」が格納されている。さらに、属性項目「名」として、識別コード情報としての「006125」と格納先情報としての「サーバ5」が対応して、すなわち紐付き情報として記憶されている。次いで、データサーバ55(「サーバ5」に対応)には、属性項目「名」の識別コード情報「006125」に「太郎」が記憶されている。そして、この情報には、それ以上の紐付き情報はない。
 すなわち、属性項目「氏名」は、先頭側から順に、「姓」、「名」の2つに分割されている。そして、「氏名」の属性項目の識別コード情報が、先頭の「姓」の識別コード情報とされている。
 同様に、次の属性項目「生年月日」について観察すると、会員AのUSBメモリ2の属性項目「生年月日」の識別コード情報は「500101」で、格納先情報は「サーバ3」である。そこで、データサーバ53の識別コード情報「500101」を観察すると、属性項目「年」として、「1975」が格納されている。さらに、属性項目「月日」として、識別コード情報「417890」と格納先情報としての「サーバ2」が対応して、すなわち紐付き情報として記憶されている。次いで、データサーバ52には、属性項目「月日」の識別コード情報「417890」に「3月4日」が記憶されている。そして、この情報には、それ以上の紐付き情報はない。
 すなわち、属性項目「生年月日」は、先頭側から順に、「年」、「月日」の2つに分割されている。そして、「生年月日」の属性項目の識別コード情報が、先頭の「年」の識別コード情報とされている。
 同様に、次の属性情報「住所」について観察すると、会員AのUSBメモリ2の属性項目「住所」の識別コード情報は「100213」で、格納先情報は「サーバ4」である。そこで、データサーバ54の識別コード情報「100213」を観察すると、属性項目「住所1」として、「東京都練馬区」が格納されている。さらに、属性項目「住所2」として、識別コード情報「508729」と格納先情報としての「サーバ2」が対応して、すなわち紐付き情報として記憶されている。次いで、データサーバ52には、属性項目「住所2」の識別コード情報「508729」に「旭丘」が記憶されている。さらに、属性項目「住所3」として、識別コード情報「000834」と格納先情報としての「サーバ1」が対応して、すなわち紐付き情報として記憶されている。次いで、データサーバ51には、属性項目「住所3」の識別コード情報「000834」に「1-1」が記憶されている。そして、この情報には、それ以上の紐付き情報はない。
 すなわち、属性項目「住所」は、先頭側から順に、「住所1」、「住所2」、「住所3」の3つに分割されている。そして、「住所」の属性項目の識別コード情報が、先頭の「住所1」の識別コード情報とされている。
 同様に、次の属性情報「電話」について観察すると、会員AのUSBメモリ2の属性項目「電話」の識別コード情報は「200073」で、格納先情報は「サーバ6」である。そこで、データサーバ56の識別コード情報「200073」を観察すると、属性項目「電話1」として、「03」が格納されている。さらに、属性項目「電話2」として、識別コード情報「380026」と格納先情報としての「サーバ5」が対応して、すなわち紐付き情報として記憶されている。次いで、データサーバ55には、属性項目「電話2」の識別コード情報「380026」に「1234」が記憶されている。さらに、属性項目「電話3」として、識別コード情報「740034」と格納先情報としての「サーバ4」が対応して、すなわち紐付き情報として記憶されている。次いで、データサーバ54には、属性項目「電話3」の識別コード情報「740034」に「5678」が記憶されている。そして、この情報には、それ以上の紐付き情報はない。
 すなわち、属性項目「電話」は、先頭側から順に、「電話1」、「電話2」、「電話3」の3つに分割されている。そして、「電話」の属性項目の識別コード情報が、先頭の「電話1」の識別コード情報とされている。
 以上のように、各属性情報は、所定のルールで分割され、所定のルールで分散設定されて、データサーバ51~56に分散して記憶されている。分割のルールは、情報の基本単位で、乃至は所定の次元の単位で分割されている。あるいは、他の分割ルールとして、機械的に等分割としたり、また所定数に均等分割したりする態様でもよい。分割された属性情報を分割属性情報といい、分割属性情報を識別するコードを分割識別コード情報という。また、分散のルールは、乱数発生器からの発生乱数(本実施形態では、“1”~“6”の数値)を利用して無作為に設定するようにしてもよいし、予め設定されたルールを採用してもよい。なお、連続する分割属性情報が同じデータサーバで連続して格納されないようにすることが好ましい。
 閲覧許可付与部112は、USBメモリ2の属性情報リスト記憶部22に記憶されている属性情報リスト(図3参照)を表示部15に表示した状態で、操作部14の操作を通して、所要の属性項目の指示を行うものである。属性項目の指示は、自己の属性情報の内、所定の属性項目の内容を特定の会員に対して閲覧を許可するためのものである。上記の例で言えば、端末1AにUSBメモリ2Aが装着されて、会員Aの例えば氏名と住所の属性項目について、いずれかの会員、例えば会員Bに閲覧を許可する場合である。閲覧許可付与部112は、閲覧を許可する属性項目の指示が終了すると、操作部14によって指定された特定会員、例えば会員Bの情報と、指定操作内容及び閲覧許可信号を含む読出プログラムファイルとが会員サーバ3へ送信される。なお、閲覧の許可とは、会員Bが、会員Aから、後述するように会員サーバ3を経由して受信した指定操作内容及び閲覧許可信号を含む読出プログラムファイルの実行を通して会員サーバ3の管理部4にアクセス(コール)することで、許可された会員Aの氏名と住所の属性情報を閲覧乃至は取得することができることを意味する。また、閲覧許可相手としては会員を指定する他、会員端末の指定でもよい。
 この処理は、例えば、消費者である会員Aが会員Bの商店で買い物を行い、本ネットワークシステムによって支払いを行う場合を想定している。この場合、商店である会員Bは会員Aに請求書の発行を行う必要がある。そのためには、会員Bは、請求書に記載する会員Aの氏名と住所とを知る必要があり、そこで、会員Aは会員サーバ3を経由させて会員Bの端末1Bに、自己の個人情報である氏名と住所との閲覧を許可する処理を行う。また、他の例としては、会員Aが団体等の会員Bから、ある種の証明書を発行してもらう場合、会員Bは会員Aの所定の情報、例えば氏名、生年月日を知る必要がある。そこで、会員Aは会員サーバ3を経由させて会員Bの端末1Bに、自己の個人情報である氏名と生年月日との閲覧を許可する処理を行う。指定操作内容は、具体的には、指示した属性項目の内容と、USBメモリ2内の属性情報リスト、すなわち、属性項目、その識別コード情報及び格納先情報が定数値として置かれた読出プログラムファイルである。なお、端末1の処理負担を低減するためには、端末1Aと1B間での閲覧許可付与情報に属性情報リストそのものを含めてもよい。なお、この場合、端末1Bが会員サーバ3にコールする際に、閲覧許可された属性項目についてのみの情報を送受する態様とすればよい。
 コール設定部113は、他の会員から受信した前記指定操作内容及び前記閲覧許可信号を添付してデータベース5に閲覧リクエストとしてのコール信号を生成するもので、生成されたコール信号は通信処理部118によって会員サーバ3に送信される。送信許可は、前述したように、他の会員からの受信信号中の閲覧許可信号の有無に基づいて判断されればよい。閲覧許可信号は予めルールが設定されていることが好ましい。この閲覧許可信号がない場合乃至は間違っている場合には、不正なアクセスとして判断することが可能となる。なお、閲覧許可信号は、特別に作成したものでもよいし、別の信号、例えば閲覧を許可する相手情報を兼用してもよい。
 読出プログラムファイル実行部114は、コール内容に対応した読出プログラムファイルを受信して実行するものである。
 暗号処理部115は、会員サーバ3との間で授受される情報に対する暗号化の他、USBメモリ2の認証用情報や属性情報リストの内容に対しても同様に処理を行う。この結果、USBメモリ2の認証用情報や属性情報リストの内容は、その時の暗号化プログラムによって暗号化されて記憶されている。従って、容易に解読することが阻止される。なお、この暗号化処理部115によって実行される暗号化プログラムと対となる復号化プログラムも同時に端末1に取り込まれており、USBメモリ2から読み出された情報は、当該復号化プログラムを実行する復号処理部116によって復号される。次いで、会員サーバ3に送信されるなどの場合には、最新に受信されている暗号化、復号化プログラムで再度暗号化される。
 図4は、読出プログラムファイルの一例を示す図である。より詳細には、読出プログラムファイルAのリストの一例を示すもので、定数値とロジック部分とを含んで構成されている。本実施形態では、定数値は、ロジック部分と関連付けられてプログラム内に記述(コーディング)され、コンパイルされたとき、実行可能ファイル(プログラムファイル)として一つのファイルに生成されるものである。ここでは、一律に読出プログラムファイルという。
 定数値とは、ロジック部分の実行の際にプログラム内に置かれて(導かれて)処理に供されるもので、今回の分割識別コード情報(ID)、今回の分割属性情報、今回の分割属性情報に対して分割順序で次(NEXT)の分割属性情報を識別する分割識別コード情報(ID)、及び当該次(NEXT)の分割属性情報の格納先情報の4つの情報が、これに相当する。なお、次(NEXT)の分割識別コード情報(ID)、及び当該次(NEXT)の格納先情報は、前述した紐付き情報である。また、分割順序の最後の分割属性情報の場合には、次の分割属性情報は存在しないので、最後の分割識別コード情報(ID)及び分割属性情報のみとなる。
 ロジック部分は、今回の分割属性情報の出力(OUTPUT)と、次(NEXT)の格納先情報、及び次(NEXT)の分割識別コード情報のコール(CALL)を含む。この出力によって、分割属性情報が出力されて例えば表示部15に表示される。コールは、次の格納先情報に従って、該当する読出プログラムファイルの読み出し要求を、前回と同様にして実行する。読出プログラムファイル実行部114は、かかる出力とコールとを指定された各属性項目の最後の分割属性情報まで終了すると、属性項目毎の分割属性情報を順番に結合して、表示部15に表示する。例えば、会員Aにおいて氏名の属性項目が指定された場合、「田中」と「太郎」とが順次出力され、最終的には「田中太郎」として結合され、表示部15に表示される。なお、出力態様は表示部15への表示の他、必要に応じてプリンタへの出力、スピーカからの音声出力でもよく、あるいはRAM13内への一時的な書き込み処理のみであってもよい。
 管理部4は、後述するように、データサーバ51~56の分割属性情報の分散記憶状況を定期的乃至は不定期を含む所定の条件に従って変更する(変動させる)処理も実行する。更新処理部117は、管理部4によって、先頭の分割属性情報の格納先情報が変更された場合に、USBメモリ2の該当する属性項目の格納先情報を書き換えるものである。管理部4による、分散記憶状況の変更処理は、USBメモリ2が装着されている間に実行される場合、実行結果をその時点でUSBメモリ2に反映する(更新する)ことが可能である。あるいは、時間的な余裕を考慮して、USBメモリ2が装着されていない間に、変更処理を実行しておき、次に当該会員のUSBメモリ2が端末1に装着された時に、先頭の属性情報に対して変更履歴があれば、まず更新処理を実行するようにしてもよい。
 制御部11には、オペレーションシステム(OS)等が格納されたROM12、各種のアプリケーションソフトウエアや処理途中の情報を格納するRAM13が接続されている。RAM13は、前述した汎用AP記憶部131、特定AP記憶部132、作成した文書、書面ファイルを格納するファイル記憶部133、受信した読出プログラムファイルを一時的に記憶する読出プログラムファイル記憶部134、暗号化プログラム記憶部135、及び復号化プログラム記憶部136を有する。
 図2に示される会員サーバ3の管理部4の構成の一実施形態について説明する。管理部4は、CPUから構成される制御部41を備えている。制御部41には、ROM42とRAM43とが接続されている。制御部41のCPUは、RAM43上に展開されたプログラムを実行することによって、会員登録時における属性情報の分割及び分散記憶を行う登録処理部411、コール信号に応答して対応する読出プログラムのコール元の端末1への送出を制御する読出プログラムファイル送出部412、予め準備された複数の暗号化、復号化プログラムの選定を行う暗号/復号プログラム設定部413、端末1への送信情報を設定された暗号化プログラムによって暗号化する暗号処理部414、端末1からの受信情報を設定された復号化プログラムによって復号化する復号処理部415、分割属性情報の格納先を変更する(分散記憶先をシャッフルするなどのようにして変動させる)変更処理部416、及び通信処理部417として機能する。
 読出プログラムファイル送出部412は、格納先情報に該当するデータサーバを指定したコール信号が受信されると、当該データサーバに記憶されている定数値及びロジック部分を含む読出プログラムファイルを、コール元の端末1に返信するものである。
 なお、本実施形態では、図3で例示したように、会員AのUSBメモリ2A内の属性情報リストである読出プログラムファイルが会員サーバ3に送信されて一時的に格納され、後に会員Bから当該会員Aの属性情報リストの取得リクエストがあった際に、前記一時的に格納しておいた会員Aの読出プログラムファイルを端末1Bに送信するようにしている。すなわち、会員Bによる会員Aの属性情報の取得処理が、会員Aの属性情報リストである読出プログラムファイルの実行によって開始されるようにしている。このとき、会員Aの読出プログラムファイルにUSBIDを添付しておき、会員サーバ3の管理部4が、このUSBIDの有無を監視して、不正に作成された不正読出プログラムファイルか否かを判断するようにしてもよい。あるいは、会員サーバ3の管理部4は、会員Aの読出プログラムファイルを端末1Bに送信した後、端末1Bから、読出プログラムファイルに添付されていた前記USBIDを問い合わせ信号として受信したか否かで不正の有無を判断するようにしてもよい。この場合、端末1Bは、会員サーバ3から受信した会員Aの読出プログラムファイルをそのままでは実行することができず、前記問い合わせ信号の受信に応答して管理部4から端末1Bへ返信される実行解禁信号を受信したことを実行条件としている。このように問い合わせ処理を活用することで、読出プログラムファイルがキャプチャされても、なりすましによる属性情報全体の不正搾取行為を阻止することができる。なお、会員Aが自己の属性情報を確認する場合、前記問い合わせ処理を省略してもよいが、同様に実行する方が好ましい。
 暗号/復号プログラム設定部413は、対となる暗号化プログラムと復号化プログラムとを暗号化・復号化プログラム記憶部431に多数準備しておき、そのうちから、会員サーバ3から端末1側へ送信される情報に対して、及び端末1側から会員サーバ3へ送信される情報に対して、それぞれ暗号化と復号化とを実行する暗号化プログラムと復号化プログラムとを変更するものである。暗号/復号プログラム設定部413は、端末1側に、設定された暗号化プログラム、復号化プログラムを送信し、RAM13の暗号化プログラム記憶部135、復号化プログラム記憶部136に格納させる。暗号/復号プログラム設定部413は、USBメモリ2が装着されて属性情報の閲覧処理が実行される毎に、変更処理が実行されることが好ましい。しかし、これに限定されず、会員が操作部14を介して操作した場合、また、閲覧処理回数が所定回数に達する毎に、あるいは所定時間が経過する毎に、変更処理するようにしてもよい。
 準備される暗号の種類としては、コンピュータで処理可能な範囲において、種々の方式が採用可能である。例えば、一般形式中の、文字または語句等を他文字または記号(群)で置き換える換字式としては、単一の文字を他の文字・記号(群)に換える文字置換式や、2文字や3文字等の文字群を他の文字や記号(群)に換える綴字換字式や、文字、単語、句及び短文等を単位として他の文字や記号群に換える辞書式や、2種以上の換字表を作って規則に従って表を変えながら暗号化してゆく多表式や、数字(文字)化した単一形式の暗号文に乱数(字)を加えて暗号化する乱数(字)式や、更新が頻繁にできない辞書式または綴字式暗号で暗号化した暗号文をしばしば更新する文字換字、綴字換字式で暗号化する2次式や、最初の部分を鍵として暗号化して後は原文または暗号を鍵として逐次暗号化してゆく連鎖式や、ストリップという細片に不規則にアルファベットが2回繰り返してあるものを数十回使用して暗号化するストリップ式がある。また、文字または単語を基本として、文章と異なる配列に置き換える転置式もある。そして、同一方式の暗号化でも、具体的なやり方を微妙に変更する等によって得られる暗号を、別の暗号として扱えば、多数の暗号化プログラムが準備できる。
 暗号処理部414及び復号処理部415は、いずれかの端末1から受信した情報を当該端末1との間で直近に設定されている復号化プログラムで復号し、当該復号化した情報を他の端末1に送信する前に、当該他の端末1との間で直近に設定されている暗号化プログラムで暗号化する。
 変更処理部416は、分割属性情報の格納先を変更する(変動させる)もので、USBメモリ2が装着されて属性情報の閲覧処理が実行される毎に、変更処理が実行される。変更処理は、例えば、図3の例で説明すれば、属性項目の「氏名」において、分割属性情報である「名」の「太郎」の格納先を「サーバ5」から、例えば「サーバ3」に変更する等である。この場合、データサーバ51のNEXTの格納先情報を「サーバ5」から「サーバ3」に書き換えると共に、変更前のデータサーバ55にある「ID:006125,名,太郎」の情報を、変更後のデータサーバ53に書き換えるものである(かつ、データサーバ55からは削除されることになる)。なお、上記において、データサーバ51の「ID:4002001,姓,田中」の情報が他のデータサーバに書き換えられる場合には、USBメモリ2の該当する属性項目のうちの格納先情報が、更新処理部117によって更新される。
 RAM43のシャッフル関係記憶部432は、変更処理部416によって会員毎に変更された結果を記憶するものである。例えば、当初の会員登録時に、先頭の分割属性情報の格納先情報が「サーバ1」であったものが、次に「サーバ3」に変更された場合に、USBメモリ2の属性情報リストの内容が更新されるまでの間は、端末1からの当該会員の当該属性項目に対する閲覧リクエストに係るコールが、「サーバ1」であれば、シャッフル関係記憶部432を参照して、コール先を変更後の「サーバ3」に変更するようにしている。そして、USBメモリ2の内容が更新された場合には、シャッフル関係記憶部432の当該会員の格納先情報の変更情報を削除する等すればよい。なお、USBメモリの内容を更新しない態様も採用可能であり、この場合、シャッフル関係記憶部432には、変更がある都度、最初の格納先情報と直近の格納先情報との対照表を作成することで対応可能となる。
 次に、図5~図15を用いて、端末1、会員サーバ3の動作について説明する。図5は、管理部4の制御部41によって実行される会員情報の登録処理の手順を説明するフローチャートである。まず、入会会員の各属性項目の内容が入力されると、それらの属性情報が所定のルールに従って、例えば先頭側から(すなわち、一方端から他方端に向けて)、順序付けて分割されて分割属性情報が作成され、作成された分割属性情報に、その次の分割属性情報の分割識別コード情報及び格納先情報が紐付き情報として設定される(ステップS1)。ここに、属性項目の順序をcで表し、分割順序をdで表すとする。次いで、値cが0にセットされ(ステップS3)、かつc=c+1が算出される(ステップS5)。次いで、値dが0にセットされ(ステップS7)、かつd=d+1が算出される(ステップS9)。
 続いて、値c=1において、値dの先頭である1番から最後Dまで(ステップS15でNO)、順にデータベース5のデータサーバ51~56のいずれかに格納される情報である読出プログラムファイルが作成され(ステップS11)、送信される(ステップS13)。この送信は、好ましくは情報を暗号化して行われる。暗号化は、後述するように予め当該端末1と会員サーバ3との間で設定された暗号化、復号化プログラムの内の暗号化プログラムによって行われる。そして、次に呼び出しがあるまでは、当該暗号化プログラムで暗号化された状態で記憶が維持される。これにより、会員サーバ3側での情報の秘匿性が保持される。
 値c=1の属性項目の分割属性情報の送信が終了すると、全ての属性項目について分割属性情報の送信処理が終了するまで(ステップS17でYES)、c=c+1によって順次次の属性項目について同様な処理が繰り返し実行される。そして、全ての属性項目について分割属性情報の送信処理が終了すると、本フローが終了する。
 図6は、端末1の制御部11によって実行されるUSBメモリ2の装着判定処理の手順を説明するフローチャートである。まず、USBポートP1に対して周期的にハンドシェイク信号の送信が行われて、USBポートP1の状態が判断される(ステップS21)。このとき、USBポートP1にUSBメモリ2が装着されていれば、ハンドシェイク信号に応答して応答信号が返信されることで、装着が確認される(ステップS23)。一方、USBメモリ2が装着されていなければ、応答信号は返信されず(ステップS21でNO)、本フローを抜ける。次いで、応答信号が返信されてくると、USBメモリ2が装着されているとして、特定APが実行可能な状態にされる(ステップS25)。
 図7は、端末1の制御部11によって実行される会員情報の閲覧許可付与処理の手順を説明するフローチャートである。まず、閲覧を許可する相手先の会員の指定の操作の有無が判断され(ステップS31)、指定操作があれば、次に閲覧を許可する属性項目の指定の操作の有無が判断される(ステップS33)。属性項目の指定操作があったと判断されると、属性情報リスト及び指定された属性項目の情報を含む読出プログラムファイルに許可する相手先の端末1情報が付されて閲覧許可付与信号として、会員サーバ3の管理部4に送信される(ステップS35)。なお、相手先の端末1の指定時点は、属性項目の指定の前後のいずれでもよい。また、会員サーバ3の管理部4へ送信される閲覧許可付与信号は、当該端末1との間で設定されている暗号化プログラムによって暗号化されて送信される。従って、管理部4では、受信した後、設定されている復号化プログラムで復号化することになる。
 図8は、端末1の制御部11によって実行される会員情報の閲覧許可情報の受信処理の手順を説明するフローチャートである。まず、新たに閲覧許可付与信号が会員サーバ3の管理部4から受信されたか否かが判断され(ステップS41)、受信されたのであれば、端末1のバッファ部(RAM13内の所定バッファ領域でもよい)に取り込まれる(ステップS43)。次いで、端末1が動作中か否かが判断され(ステップS45)、動作中であれば、例えば電子メールの受信履歴に、例えば経時方向に従ってリスト的に書き込まれる(ステップS49)。一方、端末1が動作中でなければ、起動を待って(ステップS47でYES)、ステップS49で、電子メールの受信履歴に書き込まれる。なお、新たな閲覧許可付与信号でなく(ステップS41でNO)、また端末1が非動作(電源オフ)中(ステップS47でNO)は、本フローを抜ける。なお、この場合も、相手先の端末1との間で、後述するように予め設定されている暗号化、復号化プログラムを用いて、閲覧許可付与信号は、会員サーバ3側で暗号化され、相手先の端末1側で復号化される。
 また、図7、図8において、閲覧許可付与信号は、閲覧を許可する端末1から閲覧が許可される端末1へ直接、あるいは会員サーバ3への送信と並列的に送信する態様であってもよい。なお、会員サーバ3を経て行う(間接的な)本実施態様も、実質的には、閲覧を許可する端末1から閲覧が許可される端末1へ送信されたことになる。
 図9は、端末1の制御部11によって実行されるUSBメモリ2への書込処理の手順を説明するフローチャートである。まず、USBメモリ2の装着の有無が判断され(ステップS61)、装着されていると判断されると、会員サーバ3に書き込まれた自己の属性情報から、属性項目毎に先頭の分割識別コード情報、及びその格納先情報が暗号化されて書き込まれ、これにより属性情報リストの書き込みが行われる(ステップS63)。
 図10は、端末1の制御部11によって実行される会員情報の取得リクエスト(会員サーバ3へのコール)処理の手順を説明するフローチャートである。まず、USBメモリ2の装着の有無が判断され(ステップS71)、装着されていると判断されると、操作部14からのコールのための操作の有無が判断される(ステップS73)。コールのための操作があると、閲覧許可情報に基づいてコール信号が作成され、更に暗号化される(ステップS75)。次いで、この最初のコール信号が会員サーバ3の管理部4に送信される(ステップS77)。なお、会員サーバ3の管理部4側では、データサーバ51~56のうちから、コール信号に含まれる属性項目の格納先情報に対応するデータサーバを指定する。
 図11は、管理部4の制御部41によって実行される読出プログラムファイルの返信処理の手順を説明するフローチャートである。まず、(最初のコールを含む)コールの有無が判断され(ステップS91)、コールがあると、受信されたコール信号に対する復号化処理が実行される(ステップS93)。次いで、コール信号内の格納先情報に対応するデータサーバが選定され(ステップS95)、続いて、コール信号内の分割識別コード情報に対応する読出プログラムファイルの情報が選定されて、暗号化される(ステップS97)。そして、暗号化された情報がコール元の端末1に返信される(ステップS99)。なお、ステップS91で、コールがなければ、本フローを抜ける。
 図12は、端末1の制御部11によって実行される読出プログラムファイルの実行処理の手順を説明するフローチャートである。まず、会員サーバ3から返信信号、すなわち読出プログラムファイルの受信の有無が判断され(ステップS111)、受信されたのであれば、復号化が実行されて(ステップS113)、当該読出プログラムファイルが実行され、実行結果が表示部15に出力される(ステップS115)。一方、ステップS111で、返信信号の受信がなければ、本フローを抜ける。
 次いで、今回受信した返信信号内に、紐付き情報、すなわち次の順序の分割識別コード情報及びその格納先情報の有無が判断される(ステップS117)。次の紐付き情報があれば、次の順序の分割識別コード情報及びその格納先情報に基づいてコール信号が作成され、かつ暗号化されて(ステップS119)、会員サーバ3の管理部4に送信されて(ステップS121)、本フローを終了する。一方、ステップS117で、次の紐付き情報がなければ、閲覧許可した属性項目の全てが終了したか否かが判断され(ステップS123)、残りの属性項目があれば、次の属性項目に該当する属性情報リストの情報に基づいてコール信号が作成され、かつ暗号化されて(ステップS125)、会員サーバ3の管理部4に送信される(ステップS127)。一方、ステップS123で閲覧許可した全ての属性項目についてコール処理が終了したのであれば、本フローを終了する。そして、ステップS121、S127でのコール信号の送信後には、会員サーバ3からの返信信号の待機状態(ステップS111でNO)となる。
 なお、実行済みの読出プログラムファイルは直ちに削除されてもよいが、本実施形態では、以下のように、所定の処理の終了後に削除されるようにしている。すなわち、分割の順序で互いに隣接する2つの読出プログラムファイルを、“親子”の読出プログラムファイルに例える場合に、今回返信されてきた子供の読出プログラムファイルに対し、復号後に、その返信の元となった直前に返信された親の読出プログラムファイルとの間で親子関係の認証処理が、ステップS115において、先ず実行される。親子関係の認証のための情報は、例えばいわゆる割り符的な情報で作成されており、(子供の読出プログラムファイルを読み出すための)子供のコール信号の作成時に作成してもよいし、あるいは入会時の読出プログラムファイルの登録時点、例えば、属性情報の分割処理時に作成し、データベース5への登録時に同時に記憶するようにしてもよい。親子認証において、認証が否定されると、子供の読出プログラムファイルが不正に作成された可能性があることがわかる。認証が否定された場合、当該子供の読出プログラムファイルの実行が中止され、不正アクセスに対する秘匿性を確保している。そして、親の読出プログラムファイルは、かかる認証処理の終了後に削除されればよい。また、閲覧許可が付与された属性項目の全てについて読出プログラムファイルが実行されたことを条件に、実行結果が表示部15に出力される態様とした場合には、処理途中で、かかる認証否定のような不正アクセスが発見された場合には、属性情報は一切表示部15に表示されないため、好ましい。
 図13は、管理部4の制御部41によって実行される暗号化、復号化プログラムの変更処理の手順を説明するフローチャートである。まず、変更条件になったか否かが判断される(ステップS141)。変更条件とは、会員情報の取得処理の前後の一方が考えられる。会員情報の取得処理の前とは、最初のコール信号を発する前に管理部4とのハンドシェイク(セッション)信号の授受の段階であり、会員情報の取得処理の後とは、一連のコール信号に対する返信信号の送出が終了し、回線が切られる前の時点である。あるいは、会員サーバ3との間で情報通信が発生する度であってもよいし、予め設定された、時間毎に、あるいは時刻でもよく、さらには通信回数や通信量毎でもよい。
 変更条件が満たされていると、暗号化、復号化プログラムのシャッフルが実行される(ステップS143)。シャッフル処理は無作為でもよいし、所定のルールに基づいてもよい。所定のルールには、前述した時刻、通信情報量、通信回数の各情報の少なくとも1つが含まれることが、実質的に無作為に近くなることから望ましい。なお、暗号化、復号化プログラムは、ある1つの端末1と会員サーバ3との間での情報通信に採用されるもので、情報の授受が行われる態様(典型的には、ある1つの端末1側からの前記コール信号と、それに応答しての会員サーバ3からの返信信号、すなわち往路と復路と)で、異なる暗号化プログラムを使用することが好ましく、従って、このフローチャートでは、2対の暗号化、復号化プログラムが変更設定されることになる。
 次いで、変更された各対の暗号化、復号化プログラムの一方が、コール元の端末1に送信されて(ステップS145)、本フローを終了する。なお、各端末1に送信された暗号化、復号化プログラムは、閲覧可能な状態でシャッフル関係記憶部32に書き込まれている。
 図14は、管理部4の制御部41によって実行される分割属性情報の格納先の変更処理の手順を説明するフローチャートである。まず、閲覧が許可された相手先の会員による会員情報の取得処理が終了したか否かが判断され(ステップS151)、終了していると、閲覧を許可した会員の属性項目毎に、分割属性情報の格納先の変更処理が実行される(ステップS153)。
 変更処理は、当該閲覧を許可した会員の少なくとも1種類の属性項目について行われればよく、また全ての属性項目について行われてもよい。なお、変更処理が任意の属性項目について行われる態様では、その都度異なる属性項目に対して実行されてもよい。また、属性項目の先頭の分割属性情報(本実施形態では、図3に示すように、USBメモリ2の属性情報リストの属性情報と同一)の格納先情報の変更、及び分割順序で2番目以降となる分割属性情報の格納先情報(前述の紐付き情報に相当)の変更とが考えられるが、本発明は少なくとも一方に対する変更が行われればよい。変更処理は、より具体的には、対象となる属性項目について、対象となる分割属性情報の紐付き情報部分の書き換えと、実際に定数値として格納されているデータサーバ間の書き換えとからなる。変更先の設定処理は、対象となる分割属性情報を順次選定し、それぞれについて無作為乃至は所定のルールに従って、現在のデータサーバ51~56から他のいずれかのデータサーバ51~56になるかを設定することで実行される。
 変更処理が終了すると、データサーバ51~56に対して、実際の情報の書き換え処理が実行される(ステップS155)。書き換えは、紐付き部分の格納先情報の変更処理、及び変更前後間でのデータサーバに対する分割属性情報、分割識別コード情報及び格納先情報の更新である。
 次いで、先頭の分割属性情報の格納先が変更されたか否かが判断される(ステップS157)。先頭の分割属性情報の格納先が変更された場合には、USBメモリ2の属性情報リストのうち、対象となる属性項目の格納先情報を更新する必要があるため、変更結果を当該閲覧を許可した会員の端末1に送信される(ステップS159)。
 図15は、端末1の制御部11によって実行される属性情報リストの更新処理の手順を説明するフローチャートである。まず、USBメモリ2の装着の有無が判断され(ステップS171)、装着されていると判断されると、会員サーバ3から、格納先の変更結果情報が受信されたか否かが判断される(ステップS173)。格納先の変更結果情報が受信されたのであれば、変更結果に従って、装着中のUSBメモリ2の属性情報リスト中の該当する属性項目の格納先情報が更新される(ステップS175)。一方、ステップS171で、USBメモリ2が抜かれていた場合には、情報の秘匿性から、情報の受信は行われず、本フローを終了する。なお、USBメモリ2の属性情報リスト中の一部情報の更新は、属性リストが読出プログラムファイルの形で暗号化されて記憶されているため、一旦、読出プログラムファイルを端末1側に読み出して復号化し、所定の更新処理を施した後、再度暗号化してUSBメモリ2に書き込むことで行われる。
 なお、本発明は、以下の態様が採用可能である。
(1)会員情報の取得処理は自己の端末1から行うように制限を掛けてもよい。判断は、例えば、装着されたUSBメモリ2の認証情報と端末1に予め設定された識別情報とを照合することで可能である。
(2)特定AP記憶部132に記憶される特定アプリケーションソフトウエアは会員サーバ3乃至はそれに相当するプログラム認証サーバに格納されており、このプログラム認証サーバからダウンロードされ、インストールされる態様とすることが好ましい。これにより、プログラム認証サーバに対してウイルス対策を施しておくことで、端末1にインストールされた特定アプリケーションソフトウエアを適正状態で実行することが可能となる。また、この場合に、特定アプリケーションソフトウエアを保証のない外部から取得したり、また自作することが考えられる。かかるプログラムに対しては、プログラムやヘッダ情報等利用して作成したコード情報(ハッシュ値コード等)を活用し、周期的にハッシュ値コードを算出し、最初のコードと照合することで、ウイルス感染の可能性を判断することができ、ウイルス感染の可能性のあるアプリケーションソフトウエアの実行を効果的に禁止し得るようにしている。
(3)データサーバの個数を6個としたが、これに限定されず、属性項目の種類数、属性情報の分割数、及び分散性の確保の点から、適宜の個数が設定可能である。
(4)変動させる情報に、格納先情報の他、分割属性コード情報を含めて、秘匿性をより向上させてもよい。
(5)本実施形態では、会員IDをパスワードとして入力し、USBメモリ2が正当な会員によって端末1に装着されたか否かを認証する処理については説明を省略したが、パスワードによって認証を行うことが好ましい。認証方法としては、USBメモリ2が端末1に装着された時点で、パスワードの入力を催促する画面を表示させ、所要のパスワードを受け付けて、USBIDとペアで会員サーバ3に送信し、会員サーバ3に予め格納されている照合用の各会員の会員IDと照合することで正当会員か否かを判断するようにしている。不一致の場合には、会員サーバ3側から送信される禁止信号を受けて、端末1の特定APの実行が全て禁止される処理が施される。また、会員認証の他の方法として、以下の方法も考えられる。例えば、他の情報通信手段を用いて、会員サーバ3との間で通信を行い、端末1にUSBメモリ2を装着した者の正当性を判定する方法である。この場合、会員サーバ3は、前記他の情報通信手段と通信可能な通信機能を備えた構成であり、受信情報と入会時に登録された前記情報通信手段の識別情報とを照合する機能、照合結果に従って正当か否かを判定し、端末1に動作の許否信号を発する機能をさらに備えればよい。
 以上のとおり、本発明は、会員を識別するための複数の属性項目の各情報を記憶するサーバからネットワークを介して、アクセス元である、会員の所持する情報処理端末に上記データを選択的に送信し、出力部に導く情報管理システムにおいて、前記サーバは、各属性項目内の属性情報が所定のルールで一方端側から他方端側に向けて順序付けて少なくとも2以上に分割された分割属性情報のそれぞれについて、分割属性情報及び当該分割属性情報を識別するための分割識別コード情報と、前記順序付けにおける次の順序の分割属性情報の分割識別コード情報及び前記次の順序の分割属性情報の所在を示すための格納先情報とを定数値として置くための読出プログラムファイルがそれぞれ分散して格納される複数の情報記憶部と、指定された前記情報記憶部から分割識別コード情報に対応した読出プログラムファイルをアクセス元の情報処理端末に返信する読出プログラムファイル送出手段とを備え、前記情報処理端末は、会員の属性情報のうちの前記一方端から前記他方端までの各分割識別コード情報及び対応する格納先情報を指定用として、順次、格納先情報に対応した情報記憶部に送信すると共に前記情報記憶部から前記分割識別コード情報に対応する前記読出プログラムファイルを受信する端末通信処理手段と、受信した前記読出プログラムファイルを実行して、前記属性項目の各分割属性情報を前記出力部に読み出すと共に、順次次の分割識別コード情報を当該分割識別コード情報の格納先情報に対応する前記情報記憶部に送信するべく前記端末通信処理手段に読み出すプログラム実行処理手段とを備えたことを特徴とするものである。
 これによれば、1つの属性情報が、複数の分割属性情報に分割される。また、サーバは複数の情報記憶部を有し、各分割属性情報に対する分割識別コード情報及びその格納先情報によって、複数の情報記憶部に分散して記憶される。従って、1つの分割属性情報が仮に盗聴されても、この情報には、次の順序の分割識別コード情報と格納先情報とが得られるのみで、さらにサーバに侵入乃至はキャプチャしなければ、分割情報を採取することができない。しかも、分割された情報を紐付き情報にて関係付け、情報記憶部へのコール時に属性情報が含まれないようし、かつ属性情報を読出プログラムファイルの定数値として設定することでサーバからの返信も解読が困難となって、情報自体の盗難防止が図られる。
 また、前記プログラム実行処理手段は、読み出した分割属性情報を順序付けに従って結合し、前記出力部に再生するようにすることが好ましい。この構成によれば、分割された属性情報が自動的に再生される。
 また、前記端末通信処理手段は、会員の属性項目についての前記一方端の分割識別コード情報及びその格納先情報を他の会員の情報処理端末から受信した場合に、当該前記一方端の分割識別コード情報及びその格納先情報の前記前記情報記憶部への送信が許可されることが好ましい。この構成によれば、閲覧許可の付与元である会員から端末によって直接、間接的に(すなわち前記サーバを経由して)送信された閲覧許可の信号が受信され、この受信情報を用いて、当該会員の属性情報を取得するコールが可能となるので、不正アクセス(コール)が防止でき、またコール時の操作が容易となる。
 また、前記情報処理端末は、第1、第2の操作部と、会員が所持する携行型の会員用外部記憶媒体が着脱可能な接続部とを備え、前記会員用外部記憶媒体には、所持者である会員の前記属性項目毎の前記一方端の分割識別コード情報及び対応する格納先情報が記憶されており、前記端末通信処理手段は、前記会員用外部記憶媒体が前記接続部に接続されて前記情報処理端末と通信可能にされた状態で、前記第1の操作部によって選択された前記会員用外部記憶媒体の記憶内容の全部又は一部の属性項目の前記一方端の分割識別コード情報及び対応する格納先情報を、前記第2の操作部によって指定された前記情報処理端末の情報を付して前記サーバに送信し、前記サーバによって、前記一方端の分割識別コード情報及び対応する格納先情報を前記第2の操作部によって指定された前記情報処理端末に送信することが好ましい。この構成によれば、会員用外部記憶媒体内の記憶情報を用いて第1の操作部で所望の指定操作が容易になる。なお、会員用外部記憶媒体内の記憶情報は読出プログラムファイルの形式であることが秘匿性の点から望ましい。
 また、前記ネットワーク上に前記情報記憶部を管理する管理サーバを備え、前記管理サーバは、所定の条件毎に、前記情報記憶部に記憶された、次の順番の分割属性情報に対応する分割識別コード情報の格納先を前記情報記憶部間で変更すると共に、前記変更内容に従って、変更前の前記情報記憶部の内容を変更後の情報記憶部に書き換える変更処理手段を備えることが好ましい。この構成によれば、いわゆる紐付き情報及びその分割属性情報の格納箇所を適宜に変更することが可能となり、不正アクセスに対して高い秘匿性が図れる。
 また、前記変更処理手段は、前記変更される情報が前記一方端の分割属性情報の格納先情報である場合、前記接続部に装着された前記会員用外部記憶媒体の内容を更新する更新指示信号を、前記会員用外部記憶媒体が前記接続部に装着された情報処理端末に送信し、前記情報処理端末は、受信した更新指示信号に従って、装着された前記会員用外部記憶媒体の内容を更新する更新処理手段を備えることが好ましい。この構成によれば、属性情報の内の一方端、例えば先頭側の分割属性情報を変更して、会員用外部記憶媒体の内容を更新するので、更新が行われていない外部記憶媒体を不正物としてチェックすることが可能となる。
 また、前記所定の条件は、前記会員用外部記憶媒体が前記接続部に装着された場合であるとすることが好ましい。この構成によれば、会員用外部記憶媒体が接続部に装着されると、格納先が変更されるので、不正なアクセスによって特定の情報を盗聴することが不可となる。
 また、前記変更処理手段は、前記変更を無作為に行うことが好ましい。この構成によれば、格納先の予想が立たないため、不正アクセスが効果的に防止される。
 また、前記変更処理手段は、前記書き換えを会員単位で行うことが好ましい。この構成によれば、各会員の事情に応じて乃至はそれとは無関係に書き換えが行われるので、特定会員を狙った不正アクセスが効果的に防止される。
 また、前記変更処理手段は、前記書き換えを会員個々の属性項目単位で行うことが好ましい。この構成によれば、会員の属性情報の一部についての格納先の変更を可能とすることで、弾力性に富んだ変更処理が可能となる。
 また、前記管理サーバは、前記情報処理端末に送信する読出プログラムファイルを暗号化するサーバ暗号化処理手段と、前記情報処理端末から暗号化されて送信される情報を復号化するサーバ復号化処理手段とを備え、前記情報処理端末は、前記サーバに送信する情報を暗号化する端末暗号化処理手段と、前記サーバから受信する暗号化された読出プログラムファイルを復号化する端末復号化処理手段とを備えていることが好ましい。この構成によれば、情報処理端末と管理サーバとの間で授受される情報を暗号化して行うので、秘匿性が向上する。
 また、前記管理サーバは、互いに対応する暗号化プログラム及び復号化プログラムを複数備え、前記会員用外部記憶媒体が装着された状態の情報処理端末との通信毎に、その内から所定の暗号化プログラム及び復号化プログラムの対が設定され、設定された暗号化プログラム及び復号化プログラムの対が当該情報処理端末に送信されることが好ましい。この構成によれば、会員用外部記憶媒体が情報処理端末に装着される毎に、暗号化プログラムが変更されるので、秘匿性が向上する。
 また、前記情報処理端末は、第3の操作部を備え、前記端末通信処理手段は、前記属性情報の順序付けの前記一方端の分割属性情報に関する分割識別コード情報及び格納先情報に対する前記第3の操作部からの送信指示を受け付けて、送信を行うものであることが好ましい。この構成によれば、いわゆる先頭の識別コードや格納先と言った属性情報そのものではない情報を指示する操作で属性情報が最終的に結合して再生されるため、指示操作が容易となる。
 また、前記属性項目には、氏名及び住所が含まれることが好ましい。この構成によれば、氏名や住所といった基本的な個人の属性情報を高い秘匿性の元で保護することが可能となる。
 1 端末(情報処理端末)
 11 制御部
 111 認証処理部
 112 閲覧許可付与部
 113 コール設定部(端末通信処理手段の一部)
 114 読出プログラムファイル実行部(端末通信処理手段の一部、プログラム実行処理手段)
 115 暗号処理部
 116 復号処理部
 117 更新処理部(更新処理手段)
 118 通信処理部118(端末通信処理手段の一部)
 132 特定AP記憶部
 134 読出プログラムファイル記憶部
 14 操作部
 15 表示部(出力部)
 2 USBメモリ(会員用外部記憶媒体)
 22 属性情報リスト記憶部
 3 会員サーバ(サーバ)
 4 管理部(管理サーバ)
 41 制御部
 411 登録処理部
 412 読出プログラムファイル送出部(読出プログラムファイル送出手段)
 413 暗号/復号プログラム設定部
 414 暗号処理部(サーバ暗号化処理手段)
 415 復号処理部(サーバ復号化処理手段)
 416 変更処理部(変更処理手段)
 417 通信処理部
 431 暗号化・復号化プログラム記憶部
 432 シャッフル関係記憶部
 5 データベース
 51~56 データサーバ(情報記憶部)
 7 ネットワーク

Claims (14)

  1. 会員を識別するための複数の属性項目の各情報を記憶するサーバからネットワークを介して、アクセス元である、会員の所持する情報処理端末に上記データを選択的に送信し、出力部に導く情報管理システムにおいて、
     前記サーバは、
     各属性項目内の属性情報が所定のルールで一方端側から他方端側に向けて順序付けて少なくとも2以上に分割された分割属性情報のそれぞれについて、分割属性情報及び当該分割属性情報を識別するための分割識別コード情報と、前記順序付けにおける次の順序の分割属性情報の分割識別コード情報及び前記次の順序の分割属性情報の所在を示すための格納先情報とを定数値として置くための読出プログラムファイルがそれぞれ分散して格納される複数の情報記憶部と、
     指定された前記情報記憶部から分割識別コード情報に対応した読出プログラムファイルをアクセス元の情報処理端末に返信する読出プログラムファイル送出手段とを備え、
     前記情報処理端末は、
     会員の属性情報のうちの前記一方端から前記他方端までの各分割識別コード情報及び対応する格納先情報を指定用として、順次、格納先情報に対応した情報記憶部に送信すると共に前記情報記憶部から前記分割識別コード情報に対応する前記読出プログラムファイルを受信する端末通信処理手段と、
     受信した前記読出プログラムファイルを実行して、前記属性項目の各分割属性情報を前記出力部に読み出すと共に、順次次の分割識別コード情報を当該分割識別コード情報の格納先情報に対応する前記情報記憶部に送信するべく前記端末通信処理手段に読み出すプログラム実行処理手段とを備えたことを特徴とする情報管理システム。
  2. 前記プログラム実行処理手段は、読み出した分割属性情報を順序付けに従って結合し、前記出力部に再生することを特徴とする請求項1に記載の情報管理システム。
  3. 前記端末通信処理手段は、会員の属性項目についての前記一方端の分割識別コード情報及びその格納先情報を他の会員の情報処理端末から受信した場合に、当該前記一方端の分割識別コード情報及びその格納先情報の前記情報記憶部への送信が許可されることを特徴とする請求項1又は2に記載の情報管理システム。
  4. 前記情報処理端末は、第1、第2の操作部と、会員が所持する携行型の会員用外部記憶媒体が着脱可能な接続部とを備え、
     前記会員用外部記憶媒体には、所持者である会員の前記属性項目毎の前記一方端の分割識別コード情報及び対応する格納先情報が記憶されており、
     前記端末通信処理手段は、前記会員用外部記憶媒体が前記接続部に接続されて前記情報処理端末と通信可能にされた状態で、前記第1の操作部によって選択された前記会員用外部記憶媒体の記憶内容の全部又は一部の属性項目の前記一方端の分割識別コード情報及び対応する格納先情報を、前記第2の操作部によって指定された前記情報処理端末の情報を付して前記サーバに送信し、
     前記サーバは、前記一方端の分割識別コード情報及び対応する格納先情報を前記第2の操作部によって指定された前記情報処理端末に送信することを特徴とする請求項1~3のいずれかに記載の情報管理システム。
  5. 前記ネットワーク上に前記情報記憶部を管理する管理サーバを備え、
     前記管理サーバは、所定の条件毎に、前記情報記憶部に記憶された、次の順番の分割属性情報に対応する分割識別コード情報の格納先を前記情報記憶部間で変更すると共に、前記変更内容に従って、変更前の前記情報記憶部の内容を変更後の情報記憶部に書き換える変更処理手段を備えたことを特徴とする請求項4に記載の情報管理システム。
  6. 前記変更処理手段は、前記変更される情報が前記一方端の分割属性情報の格納先情報である場合、前記接続部に装着された前記会員用外部記憶媒体の内容を更新する更新指示信号を、前記会員用外部記憶媒体が前記接続部に装着された情報処理端末に送信し、
     前記情報処理端末は、受信した更新指示信号に従って、装着された前記会員用外部記憶媒体の内容を更新する更新処理手段を備えることを特徴とする請求項5に記載の情報管理システム。
  7. 前記所定の条件は、前記会員用外部記憶媒体が前記接続部に装着された場合であることを特徴とする請求項5又は6に記載の情報管理システム。
  8. 前記変更処理手段は、前記変更を無作為に行うことを特徴とする請求項5~7のいずれかに記載の情報管理システム。
  9. 前記変更処理手段は、前記書き換えを会員単位で行うことを特徴とする請求項5~8のいずれかに記載の情報管理システム。
  10. 前記変更処理手段は、前記書き換えを会員個々の属性項目単位で行うことを特徴とする請求項5~8のいずれかに記載の情報管理システム。
  11. 前記管理サーバは、前記情報処理端末に送信する読出プログラムファイルを暗号化するサーバ暗号化処理手段と、前記情報処理端末から暗号化されて送信される情報を復号化するサーバ復号化処理手段とを備え、
     前記情報処理端末は、前記サーバに送信する情報を暗号化する端末暗号化処理手段と、前記サーバから受信する暗号化された読出プログラムファイルを復号化する端末復号化処理手段とを備えていることを特徴とする請求項5~10のいずれかに記載の情報管理システム。
  12. 前記管理サーバは、互いに対応する暗号化プログラム及び復号化プログラムを複数備え、前記会員用外部記憶媒体が装着された状態の情報処理端末との通信毎に、その内から所定の暗号化プログラム及び復号化プログラムの対が設定され、設定された暗号化プログラム及び復号化プログラムの対が当該情報処理端末に送信されることを特徴とする請求項5~11のいずれかに記載の情報管理システム。
  13. 前記情報処理端末は、第3の操作部を備え、
     前記端末通信処理手段は、前記属性情報の順序付けの前記一方端の分割属性情報に関する分割識別コード情報及び格納先情報に対する前記第3の操作部からの送信指示を受け付けて、送信を行うものであることを特徴とする請求項1~12のいずれかに記載の情報管理システム。
  14. 前記属性項目には、氏名及び住所が含まれることを特徴とする請求項1~13のいずれかに記載の情報管理システム。
PCT/JP2009/069257 2009-11-12 2009-11-12 情報管理システム WO2011058629A1 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
PCT/JP2009/069257 WO2011058629A1 (ja) 2009-11-12 2009-11-12 情報管理システム
JP2011540355A JPWO2011058629A1 (ja) 2009-11-12 2009-11-12 情報管理システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2009/069257 WO2011058629A1 (ja) 2009-11-12 2009-11-12 情報管理システム

Publications (1)

Publication Number Publication Date
WO2011058629A1 true WO2011058629A1 (ja) 2011-05-19

Family

ID=43991308

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2009/069257 WO2011058629A1 (ja) 2009-11-12 2009-11-12 情報管理システム

Country Status (2)

Country Link
JP (1) JPWO2011058629A1 (ja)
WO (1) WO2011058629A1 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013012139A (ja) * 2011-06-30 2013-01-17 Yahoo Japan Corp 情報管理装置及び方法
JP2015228084A (ja) * 2014-05-30 2015-12-17 摩利夫 岡部 通信システム、並びにファイル保管システム
JP2016164741A (ja) * 2015-03-06 2016-09-08 日本電気株式会社 情報処理装置、情報処理方法、情報処理プログラム、及び、情報処理システム
JP2016164740A (ja) * 2015-03-06 2016-09-08 日本電気株式会社 情報処理装置、情報処理方法、情報処理プログラム、データ構造、及び、情報処理システム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001265633A (ja) * 2000-03-21 2001-09-28 Sanyo Electric Co Ltd ファイル記録管理システムおよびファイル記録管理方法
JP2003046500A (ja) * 2001-08-03 2003-02-14 Nec Corp 個人情報管理システム及び個人情報管理方法、並びに情報処理サーバ
JP2004145755A (ja) * 2002-10-25 2004-05-20 Ntt Communications Kk データ分割方法及びデータ復元方法並びにプログラム
WO2007007643A1 (ja) * 2005-07-12 2007-01-18 Vodafone K.K. プログラム及び移動通信端末装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004246642A (ja) * 2003-02-14 2004-09-02 Nissho Electronics Kk 電子文書ファイル保管及び検索方法及びシステム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001265633A (ja) * 2000-03-21 2001-09-28 Sanyo Electric Co Ltd ファイル記録管理システムおよびファイル記録管理方法
JP2003046500A (ja) * 2001-08-03 2003-02-14 Nec Corp 個人情報管理システム及び個人情報管理方法、並びに情報処理サーバ
JP2004145755A (ja) * 2002-10-25 2004-05-20 Ntt Communications Kk データ分割方法及びデータ復元方法並びにプログラム
WO2007007643A1 (ja) * 2005-07-12 2007-01-18 Vodafone K.K. プログラム及び移動通信端末装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013012139A (ja) * 2011-06-30 2013-01-17 Yahoo Japan Corp 情報管理装置及び方法
JP2015228084A (ja) * 2014-05-30 2015-12-17 摩利夫 岡部 通信システム、並びにファイル保管システム
JP2016164741A (ja) * 2015-03-06 2016-09-08 日本電気株式会社 情報処理装置、情報処理方法、情報処理プログラム、及び、情報処理システム
JP2016164740A (ja) * 2015-03-06 2016-09-08 日本電気株式会社 情報処理装置、情報処理方法、情報処理プログラム、データ構造、及び、情報処理システム

Also Published As

Publication number Publication date
JPWO2011058629A1 (ja) 2013-03-28

Similar Documents

Publication Publication Date Title
CN109951489B (zh) 一种数字身份认证方法、设备、装置、系统及存储介质
JP5802137B2 (ja) 安全なプライベート・データ記憶装置を有する集中型の認証システム、および方法
JP5165598B2 (ja) 秘密鍵とのアカウントリンク
KR100786551B1 (ko) 복수 개의 방식에 의한 일회용 비밀번호의 사용자 등록,인증 방법 및 그러한 방법을 수행하는 프로그램이 기록된컴퓨터 판독 가능 기록 매체
US10135614B2 (en) Integrated contactless MPOS implementation
US8555079B2 (en) Token management
EP3701668B1 (en) Methods for recording and sharing a digital identity of a user using distributed ledgers
US8656180B2 (en) Token activation
US20080059797A1 (en) Data Communication System, Agent System Server, Computer Program, and Data Communication Method
CN103390124B (zh) 安全输入和处理口令的设备、系统和方法
US20120246075A1 (en) Secure electronic payment methods
TW486902B (en) Method capable of preventing electronic documents from being illegally copied and its system
JP2009526321A (ja) 変化する識別子を使用して販売時点情報管理端末において取引を実行するためのシステム
KR20030057565A (ko) 스프핑 방지 패스워드 보호 방법 및 장치
WO2015060157A1 (ja) 属性情報提供方法および属性情報提供システム
CN104662870A (zh) 数据安全管理系统
KR20130125316A (ko) 패스워드의 보안 입력 및 처리 장치, 시스템 및 방법
WO2013119914A1 (en) Tokenization in mobile and payment environments
KR20030074483A (ko) 서비스 제공자 장치로부터 네트워크를 통하여 서비스이용자 장치에 서비스를 제공하는 서비스 제공 시스템
US7412603B2 (en) Methods and systems for enabling secure storage of sensitive data
CN107332666A (zh) 终端文件加密方法
CN200993803Y (zh) 网上银行系统安全终端
KR100286904B1 (ko) 분산 pc 보안관리 시스템 및 방법
WO2011058629A1 (ja) 情報管理システム
JP4256361B2 (ja) 認証管理方法及びシステム

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 09851262

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 2011540355

Country of ref document: JP

32PN Ep: public notification in the ep bulletin as address of the adressee cannot be established

Free format text: NOTING OF LOSS OF RIGHTS PURSUANT TO RULE 112(1) EPC (EPO FORM 1205A DATED 050912)

122 Ep: pct application non-entry in european phase

Ref document number: 09851262

Country of ref document: EP

Kind code of ref document: A1