知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】5969681
(24)【登録日】2016年7月15日
(45)【発行日】2016年8月17日
(54)【発明の名称】秘密情報管理システム
(51)【国際特許分類】
G06F 21/62 20130101AFI20160804BHJP
G06F 17/30 20060101ALI20160804BHJP
【FI】
G06F21/62 345
G06F17/30 120A
【請求項の数】5
【全頁数】15
(21)【出願番号】特願2015-215131(P2015-215131)
(22)【出願日】2015年10月30日
【審査請求日】2015年12月14日
【早期審査対象出願】
(73)【特許権者】
【識別番号】512033992
【氏名又は名称】株式会社第一コンピュータサービス
(74)【代理人】
【識別番号】110000051
【氏名又は名称】特許業務法人共生国際特許事務所
(72)【発明者】
【氏名】渡 邉 誉 夫
【審査官】
中里 裕正
(56)【参考文献】
【文献】
特開平07−182355(JP,A)
【文献】
特開2004−317764(JP,A)
【文献】
特表2010−507172(JP,A)
【文献】
特開2012−123614(JP,A)
【文献】
特開2013−156675(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/62
G06F 17/30
(57)【特許請求の範囲】
【請求項1】
秘密情報を暗号化して管理する秘密情報管理システムであって、
暗号化された前記秘密情報を含む保管用秘密情報データを保管するデータ保管サーバと、
前記データ保管サーバに保管される前記保管用秘密情報データを生成し、前記保管用秘密情報データの検索、更新、及び削除を行うデータ管理サーバと、を備え、
前記データ管理サーバは、
暗号化に用いられる公開鍵及び該公開鍵により暗号化された前記秘密情報の復号に用いられる秘密鍵を生成し、前記秘密鍵を前記データ管理サーバに保管する手段と、
前記秘密情報を複数のデータ項目に分割し、前記分割されたデータ項目の中から選択された検索用のデータ項目を検索キーワードに設定する手段と、
前記保管用秘密情報データに、該保管用秘密情報データのそれぞれに対応する前記検索キーワード並びに同じ乱数列からなる検索用識別子及びデータ識別子を生成して付加する手段と、
前記保管用秘密情報データのそれぞれに前記検索用識別子及びデータ識別子とは異なる乱数列を生成して付加する手段と、
前記保管用秘密情報データの前記付加された検索キーワード及び検索用識別子以外の部分を、前記公開鍵を使用して暗号化する手段と、
前記暗号化された保管用秘密情報データを前記データ保管サーバに送信する手段と、
前記検索キーワードを使用して前記データ保管サーバに保管された所望の前記保管用秘密情報データを検索して読み出す手段と、
前記読み出された保管用秘密情報データを、前記秘密鍵を使用して復号する手段と、を備えることを特徴とする秘密情報管理システム。
暗号化された前記秘密情報を含む保管用秘密情報データを保管するデータ保管サーバと、
前記データ保管サーバに保管される前記保管用秘密情報データを生成し、前記保管用秘密情報データの検索、更新、及び削除を行うデータ管理サーバと、を備え、
前記データ管理サーバは、
暗号化に用いられる公開鍵及び該公開鍵により暗号化された前記秘密情報の復号に用いられる秘密鍵を生成し、前記秘密鍵を前記データ管理サーバに保管する手段と、
前記秘密情報を複数のデータ項目に分割し、前記分割されたデータ項目の中から選択された検索用のデータ項目を検索キーワードに設定する手段と、
前記保管用秘密情報データに、該保管用秘密情報データのそれぞれに対応する前記検索キーワード並びに同じ乱数列からなる検索用識別子及びデータ識別子を生成して付加する手段と、
前記保管用秘密情報データのそれぞれに前記検索用識別子及びデータ識別子とは異なる乱数列を生成して付加する手段と、
前記保管用秘密情報データの前記付加された検索キーワード及び検索用識別子以外の部分を、前記公開鍵を使用して暗号化する手段と、
前記暗号化された保管用秘密情報データを前記データ保管サーバに送信する手段と、
前記検索キーワードを使用して前記データ保管サーバに保管された所望の前記保管用秘密情報データを検索して読み出す手段と、
前記読み出された保管用秘密情報データを、前記秘密鍵を使用して復号する手段と、を備えることを特徴とする秘密情報管理システム。
【請求項2】
それぞれの前記秘密情報に対して複数の異なる検索用のデータ項目を設定する場合、前記設定された複数の検索用のデータ項目ごとに、前記検索キーワード並びに同じ乱数列からなる前記検索用識別子及びデータ識別子を付加した秘密情報を含む保管用秘密情報データを個別に生成し、
前記個別に生成された複数の保管用秘密情報データのそれぞれは、前記複数の検索用のデータ項目のそれぞれに対して生成されたデータ識別子の全てを含むことを特徴とする請求項1に記載の秘密情報管理システム。
前記個別に生成された複数の保管用秘密情報データのそれぞれは、前記複数の検索用のデータ項目のそれぞれに対して生成されたデータ識別子の全てを含むことを特徴とする請求項1に記載の秘密情報管理システム。
【請求項3】
前記データ管理サーバは、前記保管用秘密情報データを生成する手段として、
文字または記号で記載された前記秘密情報を含むイメージデータを、前記秘密情報が特定困難な複数のデータ項目に分割する手段と、
前記データ項目毎の分割イメージデータのそれぞれに、前記分割前のイメージデータとの対応関係を特定する統合用インデックスを付加する手段と、
前記公開鍵を用いて前記それぞれの分割イメージデータに付加された前記統合用インデックスを暗号化する手段と、
前記暗号化された統合用インデックスを付加した分割イメージデータを、テキストデータ変換作業を行う外部のデータエントリーシステムに送信する手段と、
前記外部のデータエントリーシステムから、テキストデータ変換作業が終了した前記暗号化された統合用インデックスが付加された分割テキストデータを受信する手段と、
前記分割テキストデータに付加された前記暗号化された統合用インデックスを前記秘密鍵を使用して復号する手段と、
前記復号された統合用インデックスに基づき、前記分割テキストデータを統合して前記秘密情報に対応するテキストデータを生成する手段と、を更に備えることを特徴とする請求項1に記載の秘密情報管理システム。
文字または記号で記載された前記秘密情報を含むイメージデータを、前記秘密情報が特定困難な複数のデータ項目に分割する手段と、
前記データ項目毎の分割イメージデータのそれぞれに、前記分割前のイメージデータとの対応関係を特定する統合用インデックスを付加する手段と、
前記公開鍵を用いて前記それぞれの分割イメージデータに付加された前記統合用インデックスを暗号化する手段と、
前記暗号化された統合用インデックスを付加した分割イメージデータを、テキストデータ変換作業を行う外部のデータエントリーシステムに送信する手段と、
前記外部のデータエントリーシステムから、テキストデータ変換作業が終了した前記暗号化された統合用インデックスが付加された分割テキストデータを受信する手段と、
前記分割テキストデータに付加された前記暗号化された統合用インデックスを前記秘密鍵を使用して復号する手段と、
前記復号された統合用インデックスに基づき、前記分割テキストデータを統合して前記秘密情報に対応するテキストデータを生成する手段と、を更に備えることを特徴とする請求項1に記載の秘密情報管理システム。
【請求項4】
前記保管用秘密情報データのそれぞれに付加される前記検索用識別子及びデータ識別子とは異なる乱数列は、検索用識別子及びデータ識別子の乱数列とは桁数が異なることを特徴とする請求項1に記載の秘密情報管理システム。
【請求項5】
コンピュータを請求項1に記載のデータ管理サーバの前記各手段として機能させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、秘密情報管理システムに関し、より詳しくは、個人情報などの秘密情報を含む電子データをセキュアに保管するとともに、保管された秘密情報を含む電子データの管理を容易にする秘密情報管理システムに関する。
【背景技術】
【0002】
従来、各種の伝票類や顧客アンケート葉書等に記載された個人情報を含む帳票を、電子データ化するために、帳票に記載された文字情報をイメージ化して、このイメージデータ、すなわち画像データを人間が目で確認しながら、情報処理システムにデータエントリーする方法が用いられている(例えば、特許文献1を参照)。
【0003】
一方、データエントリー作業により電子化された個人情報データやその他の方法で作成された企業秘密情報等を含む電子データを、セキュアに保管するとともに、保管した秘密情報データの活用を容易にするデータ管理システムが求められている。
【0004】
例えば、秘密情報の漏洩を防ぐ方法として、特許文献2には、個人情報を分割によって断片化させた状態でネットワーク上の複数のデータ格納端末に格納する方法が提案されている。
【0005】
しかしながら、このような従来の情報管理技術は、個人情報などの秘密情報を含む電子データ(以下、秘密情報データと呼ぶ)の保管に伴う紛失、漏洩、破壊などへの対応に主眼が置かれ、ユーザが保管した秘密情報データに対して高いセキュリティを保持しつつ、低い運用コストで容易にデータ管理が可能なシステムを提供することについては注意が払われていない。すなわち、保管データの安全性を向上させるために、データを分割して多数のデータサーバに分散して保存する方法は、分散管理に対応するための設備、プログラム、及び維持費用等が増大するという問題があった。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2003−58813号公報
【特許文献2】特開2003−271782号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明は、上記従来の問題に鑑みてなされたものであって、本発明の目的は、個人情報を含む秘密情報データをセキュアに保管するとともに、保管された秘密情報データを容易に管理することができる個人情報セキュア管理システムを提供することにある。
【課題を解決するための手段】
【0008】
上記目的を達成するためになされた本発明の一態様による秘密情報管理システムは、秘密情報を暗号化して管理する秘密情報管理システムであって、暗号化された前記秘密情報を含む保管用秘密情報データを保管するデータ保管サーバと、前記データ保管サーバに保管される前記保管用秘密情報データを生成し、前記保管用秘密情報データの検索、更新、及び削除を行うデータ管理サーバと、を備え、前記データ管理サーバは、暗号化に用いられる公開鍵及び該公開鍵により暗号化された前記秘密情報の復号に用いられる秘密鍵を生成し、前記秘密鍵を前記データ管理サーバに保管する手段と、前記秘密情報を複数のデータ項目に分割し、前記分割されたデータ項目の中から選択された検索用のデータ項目を検索キーワードに設定する手段と、前記保管用秘密情報データに、該保管用秘密情報データのそれぞれに対応する前記検索キーワード並びに同じ乱数列からなる検索用識別子及びデータ識別子を生成して付加する手段と、前記保管用秘密情報データのそれぞれに前記検索用識別子及びデータ識別子とは異なる乱数列を生成して付加する手段と、前記保管用秘密情報データの前記付加された検索キーワード及び検索用識別子以外の部分を前記公開鍵を使用して暗号化する手段と、前記暗号化された保管用秘密情報データを前記データ保管サーバに送信する手段と、前記検索キーワード及び検索用識別子を使用して前記データ保管サーバに保管された所望の前記保管用秘密情報データを検索して読み出す手段と、前記読み出された保管用秘密情報データを、前記秘密鍵を使用して復号する手段と、を備えることを特徴とする。
【0009】
それぞれの前記秘密情報に対して複数の異なる検索用のデータ項目を設定する場合、前記設定された複数の検索用のデータ項目ごとに、前記検索キーワード並びに同じ乱数列からなる前記検索用識別子及びデータ識別子を付加した秘密情報を含む保管用秘密情報データを個別に生成し、前記個別に生成された複数の保管用秘密情報データのそれぞれは、前記複数の検索用のデータ項目のそれぞれに対して生成されたデータ識別子の全てを含み得る。
【0010】
前記データ管理サーバは、前記保管用秘密情報データを生成する手段として、文字または記号で記載された前記秘密情報を含むイメージデータを、前記秘密情報が特定困難な複数のデータ項目に分割する手段と、前記データ項目毎の分割イメージデータのそれぞれに、前記分割前のイメージデータとの対応関係を特定する統合用インデックスを付加する手段と、前記公開鍵を用いて前記それぞれの分割イメージデータに付加された前記統合用インデックスを暗号化する手段と、前記暗号化された統合用インデックスを付加した分割イメージデータを、テキストデータ変換作業を行う外部のデータエントリーシステムに送信する手段と、前記外部のデータエントリーシステムから、テキストデータ変換作業が終了した前記暗号化された統合用インデックスが付加された分割テキストデータを受信する手段と、前記分割テキストデータに付加された前記暗号化された統合用インデックスを、前記秘密鍵を使用して復号する手段と、前記復号された統合用インデックスに基づき、前記分割テキストデータを統合して前記秘密情報に対応するテキストデータを生成する手段と、を更に備え得る。
【0011】
前記保管用秘密情報データのそれぞれに付加される前記検索用識別子及びデータ識別子とは異なる乱数列は、検索用識別子及びデータ識別子の乱数列とは桁数が異なり得る。
【0012】
コンピュータを上述したデータ管理サーバの前記各手段として機能させるためのプログラムであることを特徴とする。
【発明の効果】
【0013】
本発明の秘密情報管理システムによれば、秘密情報を含む保管用秘密情報データのそれぞれに対して検索用識別子及びデータ識別子を生成し、保管用秘密情報データにデータ識別子及び個別の乱数列を付加して公開鍵による暗号化を行って保管することにより、秘密情報データが漏洩しても、個々の秘密情報データ間の関係を推定するのが困難で、ユーザの所有するデータ管理サーバ内に保管された秘密鍵でのみ復号が可能な、強固なセキュリティを有する秘密情報管理システムを具現することができる。また、本発明の秘密情報管理システムによれば、ユーザが必要な秘密情報を迅速に検索でき、更新や削除を容易に行える費用対効果の高い秘密情報管理システムを構築することができる。
【図面の簡単な説明】
【0014】
【図1】本発明の一実施形態による秘密情報管理システムの全体構成を示す図である。
【図2】本発明の一実施形態によるデータ管理サーバの構成例を示す概略図である。
【図3】本発明の一実施形態によるデータ保管サーバの構成例を示す概略図である。
【図4】本発明の一実施形態による秘密情報管理システムで管理される秘密情報データのデータ構成例を示す図である。
【図5】本発明の一実施形態による秘密情報管理システムで使用される保管用秘密情報データの基本構成例を説明する模式図である。
【図6】本発明の一実施形態による秘密情報管理システムで使用される保管用秘密情報データのデータ構成例を示す図であり、(a)はデータ項目1に対するデータ構成表1、(b)はデータ項目3に対するデータ構成表2、(c)はデータ項目Nに対するデータ構成表3を示す図である。
【図7】本発明の一実施形態による秘密情報管理システムのデータ保管サーバに保管される暗号化された保管用秘密情報データのデータ構成例を示す図である。
【図8】本発明の一実施形態による秘密情報管理システムで管理される秘密情報データの生成手順を示すフローチャートである。
【図9】申込用紙等の帳票に記載された個人情報を含む文書イメージを分割する手順を示す概念図であり、(a)は原本シートの例、(b)は読み取られたイメージデータ例である。
【図10】本実施形態によるデータ管理サーバの保管用秘密情報データの管理手段を示すフローチャートである。
【発明を実施するための形態】
【0015】
以下、本発明を実施するための形態の具体例を、図面を参照しながら詳細に説明する。
【0016】
図1は、本発明の一実施形態による秘密情報管理システムの全体構成を示す図である。
【0017】
図1に示すように、本発明の一実施形態による秘密情報管理システム1は、データ管理サーバ10、通信網5を介してデータ管理サーバ10に通信可能に接続されるデータ保管サーバ20、及び通信網5を介してデータ管理サーバ10に通信可能に接続されるデータエントリーシステム30で構成される。
【0018】
データ管理サーバ10及びデータ保管サーバ20は、それぞれが互いに物理的に離隔して設置され、データエントリーシステム30は、データエントリー業務の受託元であるデータエントリー事業者Aのデータエントリー受付サーバ31を介して、複数のデータエントリー事業者のサーバ及びオペレータ端末に接続される。
【0019】
データ管理サーバ10は、パーソナルコンピュータ、ワークステーション、タブレット端末、又はその他の形式の各種コンピュータで構成され、本システムで管理する保管用秘密情報データの生成、保管用秘密情報データの検索、更新、及び削除等の各種処理を実行する。また、暗号化された電子データを復号するための秘密鍵を保管するセキュアな記憶装置を備える。データ保管サーバ20は、所定の性能を有するコンピュータ及び秘密情報データを保存する信頼性の高い記憶装置(図示せず)を備える。通信網5は、インターネット網、LAN、公衆通信回線網、電話回線網等で構成される。
【0020】
次に、本発明の一実施形態による秘密情報管理システムの各構成要素について詳細に説明する。
【0021】
図2は、本発明の一実施形態によるデータ管理サーバの構成例を示す概略図である。図2に示すように、データ管理サーバ10は、通信網5を介して外部装置とのデータ通信を行う送受信部12、データ管理サーバ10の動作全般及び各構成要素を制御する制御部(CPU)13、各種の機能を実行する機能部14、並びに各種データ及びコンピュータプログラムなどを保管する記憶部15を備える。また、記憶部15とは別にセキュアな記憶装置11を備え得る。
【0022】
機能部14は、暗号化処理部16、エントリーデータ管理部17、データ照合・統合部18、及び分割ファイル作成部19を含む。暗号化処理部16は、制御部13の制御の下で公開鍵及び秘密鍵を生成し、データの暗号化及び復号化処理を行い、また所定の長さの乱数列を発生する。
【0023】
また、データ管理サーバ10は、各種の伝票類や加入申込用紙等の帳票であって複数のデータ項目が記載された原本シートを光学的に読み取ってイメージデータに変換するスキャナー40に通信網5とは異なる通信ポートで直接接続される。スキャナー40で読み取られた原本シートのイメージデータを、機能部14の各構成要素により、秘密情報データに対応するテキストデータを生成する手段については後述する。
【0024】
図3は、本発明の一実施形態によるデータ保管サーバの構成例を示す概略図である。図3に示すように、データ保管サーバ20は、通信網5を介してデータ管理サーバ10とデータ通信を行う送受信部22、データ保管サーバ20の動作全般及び各構成要素を制御する制御部(CPU)23、データ保管サーバに保管された各種データを管理するデータ管理部24、並びに各種データ及びコンピュータプログラム等を保管する記憶装置25を備える。
【0025】
データ管理部24は、制御部23の制御の下で記憶装置25を管理し、データ管理サーバ10から送信された保管用秘密情報データを受信して記憶装置25に登録し、また、データ管理サーバ10からの検索問い合わせに応答して、保管された保管用秘密情報データの中から、検索条件に一致した保管用秘密情報データをデータ管理サーバ10に返信する。
【0027】
本発明において、「秘密情報」とは、個人情報に代表される秘密に管理される事項を含む情報の意味である。また、秘密情報は、複数のデータ項目で構成され、各データ項目は、例えば一意の個人を特定困難なレベルに分割することで、元のデータの管理、例えば、修正や更新を容易にするとともに、検索に使用するデータ項目に設定可能である。
【0028】
図4は、本発明の一実施形態による秘密情報管理システムで管理される秘密情報データのデータ構成例を示す図である。図4に示すように、秘密情報データは、ユーザ仕様に基づく複数のデータ項目からなる秘密情報を含むテキストデータである。
【0029】
図4に示す本実施形態による秘密情報データは、データ項目として、構成表100に示すように、例えば、「姓」、「名」、「性別」、「年齢」、「住所」、「電話番号(上位桁)」、「電話番号(下4桁)」等のN個(Nは2以上の整数)の項目が設定され、1つのデータ行(101、102)に各個人の情報が、N個のデータ項目の組(tuple)として、例えば、(「山田」、「一郎」、「男性」、「55歳」、「東京都新宿区原町○○」、・・・、「03−xxxx」、「1234」)が登録され、以下同様に、各行の各データ項目に、対応する各個人の情報が登録される。
【0030】
データ管理サーバ10は、上述した構成の秘密情報データに基づく保管用秘密情報データを生成し、暗号化処理を行った後に、通信網5を介してデータ保管サーバ20に送信する。なお、暗号化された保管用秘密情報データを、コンピュータ読み取り可能な記憶媒体に保存して、この記憶媒体を、本秘密情報管理システムを提供するサービス事業者が管理するデータ保管サーバ20に直接読み取らせることも可能である。
【0031】
データ管理サーバ10は、ユーザからの選択入力に基づき、N個のデータ項目の中から検索に使用するデータ項目を、秘密情報データに付加する検索用ヘッダ(header)に設定する。検索用ヘッダは、検索に使用するデータ項目に対応する各秘密情報データの該当部分からなる「検索キーワード」と、「データ項目識別子」のそれぞれに対して個別に付加される乱数列からなる「検索用識別子」とで構成される。データ管理サーバ10は、各秘密情報データに対し、暗号化処理部16により、所定の長さの乱数列を発生させた検索用識別子を各秘密情報データのデータ項目の組の先頭に付加する。検索用ヘッダの具体例は、以下で説明する。
【0032】
図5は、本発明の一実施形態による秘密情報管理システムで使用される保管用秘密情報データの基本構成例を説明する模式図である。図5に示すように、本実施形態による保管用秘密情報データは、図4に示した秘密情報データに、データ項目の中から検索に適したデータ項目として、例えば、図4に示す秘密情報データの構成表100の中のデータ項目1:「姓」が選択された場合、データ項目1の「姓」の欄に登録された各個人のテキストデータを「検索キーワード1」に設定し、これに乱数列からなる「検索用識別子1」を付加して、姓をカテゴリとする検索用ヘッダ部200Aを生成する。
【0033】
具体的に、図4に示す秘密情報データの構成表100の第1のデータ行101に登録された個人情報の組の中から、データ項目1の「姓」の欄111に登録されたテキストデータの「山田」を、これに対応する図5の保管用秘密情報データの構成表200の第1のデータ行201に登録された保管用秘密情報データの「検索キーワード1」の欄221に登録し、同行の先頭列の欄211に、暗号化処理部16で発生させた乱数列「556113」を「検索用識別子1」として付加する。同様に、図4の構成表100の第2のデータ行102に登録された個人情報の組のデータ項目1の「姓」の欄112に登録されたテキストデータの「山田」に対しても、図5の構成表200の第2のデータ行202に登録された保管用秘密情報データの「検索キーワード1」の欄222に登録し、同行の先頭列の欄212に、乱数列「242111」を「検索用識別子1」として付加する。
【0034】
一方、データ管理サーバ10は、データ項目1の「姓」に関する検索用ヘッダ部200Aを生成すると同時に、図5に示す保管用秘密情報データの構成表200の各データ行に登録された個人ごとのデータの組(tuple)200Bの最後となるN番目のデータ項目Nの次列に検索用識別子と同じ乱数列を「データ識別子」として付加し、更に最後列に、暗号化処理部16で発生させた検索用識別子及びデータ識別子とは別の乱数列を「データ撹乱子」として付加する。データ識別子及びデータ撹乱子は、保管用秘密情報データのフッタ部200Cを構成する。
【0035】
具体的に、図4の構成表100に示す秘密情報データに基づき、図5に示すように、第1のデータ行201に登録された個人情報の組の先頭列の欄211には、「検索用識別子1」に対応する乱数列「556113」が登録され、同時に、N番目のデータ項目Nの次列の欄291に「検索用識別子1」と同じ乱数列「556113」を登録する。更に、最後列の欄2A1に、「検索用識別子1」とは別の乱数列「576」を付加する。最後列に付加する乱数列は、「検索用識別子1」よりも桁数が小さい乱数を設定する。
【0036】
図5では、本発明の一実施形態による保管用秘密情報データの基本構成を説明するため、検索に使用するデータ項目が1つの場合について説明したが、より現実的には、検索に使用するデータ項目として、複数のデータ項目を設定する。これは、検索の際に、所望の秘密情報を特定するためだけではなく、後述する保管用秘密情報データの秘匿性を向上させる目的にも使用される。
【0037】
図6は、本発明の一実施形態による秘密情報管理システムで使用される保管用秘密情報データのデータ構成例を示す図である。本実施形態では、検索用のデータ項目として、図4に示す秘密情報データの構成表100のデータ項目1の「姓」に加えて、データ項目3の「性別」及びデータ項目Nの「電話番号(下4桁)」が選択された例について説明する。図6の(a)は、データ項目1に対するデータ構成表1、(b)は、データ項目3に対するデータ構成表2、(c)は、データ項目Nに対するデータ構成表3を示す図である。
【0038】
本実施形態による秘密情報管理システムでは、図6に示すように、選択された検索用のデータ項目ごとに、1セットの保管用秘密情報データを生成して管理する。すなわち、3つの検索用のデータ項目が選択されると、データ管理サーバ10は、元になる秘密情報データに基づき、検索用データ項目ごとの保管用秘密情報データからなる3セットのデータ構成表を生成して管理する。
【0039】
まず、データ管理サーバ10は、図6の(a)に示すように、ユーザからの選択入力に基づき、図5を参照して説明した例と同様に、データ項目1の「姓」に対する保管用秘密情報データのデータ構成表1の第1のデータ行301に、図4に示す秘密情報データの構成表100の対応するテキストデータである「山田」を「検索キーワード1」の欄321に登録し、同行の先頭列の欄311に、暗号化処理部16で発生させた乱数列「556113」を「検索用識別子1」として付加する。
【0040】
同様に、図4に示す秘密情報データの構成表100から、第1のデータ行101に登録された個人情報の組の中のデータ項目3の「性別」に対応する欄113に登録されたテキストデータの「男性」を、これに対応する図6の(b)に示す保管用秘密情報データのデータ構成表2の第1のデータ行401の「検索キーワード2」の欄421に登録し、同行の先頭列の欄411に、暗号化処理部16で発生させた乱数列「765553」を「検索用識別子2」として付加する。
【0041】
さらに、図4に示す秘密情報データの構成表100の第1のデータ行に登録された個人情報からデータ項目Nの「電話番号(下4桁)」の欄114に登録された「1234」に対して、これに対応する図6の(c)に示す保管用秘密情報データのデータ構成表3の第1のデータ行501の「検索キーワード3」の欄521にテキストデータ「1234」を登録し、同行の先頭列の欄511に、暗号化処理部16で発生させた乱数列「871450」を「検索用識別子3」として付加する。
【0042】
一方、データ管理サーバ10は、各検索用のデータ項目に対応するデータ構成表に登録された各秘密情報データに対して、それぞれ検索キーワード及び検索用識別子からなる検索用ヘッダ部300Aを付加すると同時に、N番目のデータ項目Nの次列以降に、検索用識別子と同じ乱数列を「データ識別子」として付加し、最後列に、検索用識別子及びデータ識別子とは別の乱数列を「データ撹乱子」として付加する。複数の検索用データ項目が選択された場合には、各保管用秘密情報データには、検索用のデータ項目ごとに付加された検索用識別子と同じ乱数列の全てを、それぞれの保管用秘密情報データにデータ識別子として付加する。
【0043】
具体的に、図6の(a)に示す保管用秘密情報データのデータ構成表1の第1のデータ行301に登録された個人情報の組300BのN番目のデータ項目Nの次列の欄371に、「検索用識別子1」と同じ乱数列「556113」を「データ識別子1」として登録し、その次列の欄381に、図6の(b)に示す性別用のデータ構成表2の第1のデータ行401の先頭列の欄411に登録した「検索用識別子2」に対応する乱数列「765553」を「データ識別子2」として登録し、更に次列の欄391に、図6の(c)に示す電話番号(下4桁)用のデータ構成表3の第1のデータ行501の先頭列の欄511に登録した「検索用識別子3」に対応する乱数列「871450」を「データ識別子3」として登録する。そして、最後列の欄3A1に、これらのデータ識別子とは別の乱数列を「データ撹乱子」として個別に登録する。最後列に付加する乱数列は、検索用識別子及びデータ識別子とは桁数が異なる乱数列を設定する。
【0044】
上述のように、検索用のデータ項目として、m個のデータ項目を選択した場合、各個人の秘密情報データに対して、各検索用データ項目に対応する検索用識別子及び検索キーワードからなる検索用ヘッダ部を有するm行の保管用秘密情報データが生成される。そして、m行の保管用秘密情報データのそれぞれは、各検索用データ項目に付加された検索用識別子と同じ乱数列からなるm個のデータ識別子と、最後列に付加される個別の乱数列からなるデータ撹乱子とを含んで構成される。
【0045】
図7は、本発明の一実施形態による秘密情報管理システムのデータ保管サーバに保管される暗号化された保管用秘密情報データのデータ構成例を示す図である。
【0046】
データ管理サーバ10は、生成された保管用秘密情報データを、データ保管サーバ20に送信する場合、各保管用秘密情報データの検索用ヘッダ部600A、すなわち検索用識別子及び検索キーワード以外のデータ部分600Bを暗号化して送信する。この暗号化処理は、データ管理サーバ10の暗号化処理部16で作成させた公開鍵を使用してデータ管理サーバ10で実行される。また、データ管理サーバ10は、暗号化された保管用秘密情報データを復号するための秘密鍵を作成させてセキュアな記憶装置11に保管する。なお、秘密鍵は紙媒体に印刷して保存することも可能である。
【0047】
公開鍵で各保管用秘密情報データの検索用ヘッダ部600Aである検索用識別子及び検索キーワード以外のデータ部分600Bを暗号化する際に、各保管用秘密情報データの最後列に付加されたデータ行ごとの個別の乱数列であるデータ撹乱子が、暗号化されたデータ部分600Bをそれぞれ異なった暗号文にするため、個人毎に複数生成される保管用秘密情報データの各検索用識別子の関係性を、暗号化されたデータ部分から特定することが困難になる。このため、上述の手段により暗号化された保管用秘密情報データの秘匿性が大幅に向上する。
【0048】
また、暗号化された保管用秘密情報データを復号するための秘密鍵は、データ管理サーバのセキュアな記憶装置又は紙媒体に保管されるため、当該秘密鍵が保管されたデータ管理サーバの所有者であるユーザだけが、暗号化された保管用秘密情報データを復号することができる。したがって、暗号化された保管用秘密情報データが、通信経路あるいはデータ保管サーバから盗まれ、又は流出しても、解読することが困難なため、秘密情報を保護することができる。
【0050】
図8は、本発明の一実施形態による秘密情報管理システムで管理される秘密情報データの生成手順を示すフローチャートである。
【0051】
図8のステップS100において、スキャナー40は、各種の伝票類や加入申込用紙等の帳票であって複数のデータ項目が記載された原本シートを読み取って、イメージデータに変換し、通信網5とは異なる通信ポートでデータ管理サーバ10に送信する。
【0052】
図9は、申込用紙等の帳票に記載された個人情報を含む文書イメージを分割する手順を示す概念図であり、(a)は原本シートの例、(b)は読み取られたイメージデータ例である。
【0053】
データ管理サーバ10の制御部13は、例えば、図9の(a)に示す形態の原本シート(701、702)を、スキャナー40でスキャンニングしてイメージデータに変換された原本イメージデータを記憶部15内のデータ保存部15aに一時保存するように制御する。
【0054】
ステップS110において、データ管理サーバ10の分割ファイル作成部19は、データ保存部15aに保存された原本イメージデータを読み出して、読み出された原本イメージデータを、図9の(b)に示すように、ユーザにより予め設定された複数のデータ項目単位の分割イメージデータ(721a〜721d)に分割する。そして、ステップS120において、分割ファイル作成部19は、分割された複数の分割イメージデータ(721a〜721d)に対して、同一の原本イメージデータから分割されたものであることを識別するための統合用インデックス(711a〜711d)を付加し、付加された統合用インデックスのリストを原本ごとに分類して記憶部15内の検索用インデックス保存部15bに保管する。
【0055】
ステップS130において、データ管理サーバ10のエントリーデータ管理部17は、分割ファイル作成部19によって統合用インデックスが付加された分割イメージデータを、送受信部12を介して通信網5に接続されたデータエントリー事業者の運営するデータエントリーシステム30のデータエントリー受付サーバ31に送信する。この際、分割イメージデータに付加される統合用インデックスは、暗号化処理部16によって生成された公開鍵を使用して暗号化される。なお、暗号化された統合用インデックスが付加された分割イメージデータの送信順序を順不同に行うことで、原本イメージデータと分割イメージデータとの関係を特定し難くすることができる。
【0056】
図1に示すデータエントリーシステム30は、元請けとなるデータエントリー事業者Aの所有するデータエントリー受付サーバ31で受信したユーザからの分割イメージデータを、所定のデータエントリー事業者Bにも振り分けて、データエントリー作業を実行する。この際、分割イメージデータに付加された統合用インデックスは暗号化されているため、データエントリー作業を担当する事業者及びオペレータには、個々の分割イメージデータ間の関係を把握できない。したがって、一意の個人を特定することができないので秘密情報の漏洩を防ぐことができる。
【0057】
データエントリー作業により、暗号化された統合用インデックスが付加された分割イメージデータの分割イメージデータ部分がテキストデータに変換される。データエントリー作業が終了すると、元請けとなるデータエントリー事業者Aの所有するデータエントリー受付サーバ31から、暗号化された統合用インデックスが付加された分割テキストデータが、データ管理サーバ10に送信される。
【0058】
ステップS140において、データ管理サーバ10のエントリーデータ管理部17は、送受信部12を介してデータエントリーサービス事業者のデータエントリー受付サーバ31から作業済の分割テキストデータを受信すると、暗号化された統合用インデックスが付加された分割テキストデータを暗号化処理部16に伝達し、ステップS150において、暗号化処理部16は、各分割テキストデータに付加された暗号化された統合用インデックスを復号する。なお、暗号化された統合用インデックスの復号には、セキュアな記憶装置11に保管された秘密鍵を使用する。
【0059】
ステップS160において、データ管理サーバ10のデータ照合・統合部18は、検索用インデックス保存部15bに保管された統合用インデックスのリストを参照して、復号された統合用インデックスに基づいて、各分割テキストデータを元の原本シート単位のテキストデータに統合する。
【0060】
上述の手段で生成された統合後のテキストデータが、本秘密情報管理システムで管理される秘密情報データになる。なお、本実施形態では、紙媒体に記載された秘密情報を外部のデータエントリー事業者に委託して秘密情報を含む電子データ、すなわち秘密情報データに変換する形態を示したが、これに限定されない。OCR機能を有するスキャナー又は複合機などを利用して、ユーザ自身で秘密情報データに生成することも可能である。また、上述の手段をデータ管理サーバで実行させるためのコンピュータプログラムは、予め本秘密情報管理システムを提供するサービス提供事業者から提供されて、ユーザの所有するデータ管理サーバにインストールされる。
【0062】
図10は、本実施形態によるデータ管理サーバの保管用秘密情報データの管理手段を示すフローチャートである。本秘密情報管理システムの利用を希望するユーザには、予め本秘密情報管理システムを提供するサービス提供事業者から、コンピュータを上述した各手段として機能させるためプログラムが提供されて、ユーザの所有するデータ管理サーバにインストールされる。
【0063】
ステップS200において、ユーザの所有するデータ管理サーバ10は、ユーザによってデータ管理サーバ10の備えるキーボード等のインターフェイス(図示せず)を介して入力されたデータ保管サーバ20に保管された保管用秘密情報データの検索要求を受信すると、予め設定された検索キーワードに対するテキスト入力を要求する(ステップS210)。
【0064】
ユーザが、検索キーワードに所望のテキスト入力を行うと、データ管理サーバ10は、入力されたテキストデータをデータ保管サーバ20に送信して問い合わせを行う(ステップS220)。
【0065】
データ保管サーバ20は、受信した各検索キーワードに一致する、すなわち各保管用秘密情報データのヘッダ部に登録された検索キーワードを有する保管用秘密情報データを検出して、検出された全ての保管用秘密情報データをデータ管理サーバ10に返信する(ステップS230)。
【0066】
データ管理サーバ10は、受信した各保管用秘密情報データを、秘密鍵を使用して復号し、復号された秘密情報データをデータ管理サーバ10の備える表示装置(図示せず)に表示する(ステップS240)。なお、ステップS210において、複数の検索キーワードに対して、それぞれテキスト入力が実行された場合、それぞれの検索キーワードに対して、ステップS220〜ステップS240の各段階を実行する。
【0067】
また、複数の検索キーワードに対するテキスト入力を受け付けた場合、各検索キーワードについてAND条件又はOR条件を指定して、所望の検索条件に合致した保管用秘密情報データのみを表示するように制御することも可能である。
【0068】
次に、データ管理サーバ10は、特定の保管用秘密情報データの修正の要否に関する入力を要求する(ステップS250)。特定の保管用秘密情報データとは、例えば特定の個人に対応する保管用秘密情報データの意味である。修正を行う場合、設定された検索キーワードのそれぞれに対応付けられた複数の保管用秘密情報データが存在するため、これらの保管用秘密情報データを全て読み出し、検索用識別子に基づき判別する。該当する全ての保管用秘密情報データのそれぞれに対して、修正対象となるデータ項目を所望の内容に書き換え、同時にそれぞれの保管用秘密情報データに付加された検索用識別子及びデータ識別子を当初の乱数列とは異なる乱数列に更新する(ステップS260)。
【0069】
この後、ユーザから更新された保管用秘密情報データの登録要求が入力されると、データ管理サーバ10は、更新された保管用秘密情報データを上述した手段により暗号化して、データ保管サーバ20に送信し、同時に更新前の保管用秘密情報データの削除を要求する(ステップS270)。
【0070】
一方、修正なしの入力がなされた場合、データ管理サーバ10は、動作を終了する(ステップS280)。
【0071】
上述のように、本発明による秘密情報管理システムは、秘密情報を含む保管用秘密情報データのそれぞれに対して乱数列からなる検索用識別子を付加し、保管用秘密情報データに検索用識別子と同じ乱数列からなるデータ識別子及び個別の乱数列を付加して公開鍵による暗号化を行って保管することにより、秘密情報データが漏洩しても、個々の秘密情報データ間の関係を推定することが困難で、ユーザの所有するデータ管理サーバ内に保管された秘密鍵でのみ復号が可能な、強固なセキュリティを有する秘密情報管理システムを具現することができる。
【0072】
また、本発明の一実施形態による秘密情報管理システムは、保管用秘密情報データを複数のデータ保管サーバに分散保管しなくても、データの解読が困難な高度の秘匿性を具現できるため、費用対効果の高い秘密情報管理システムを提供することができる。
【0073】
以上、本発明の実施形態について図面を参照しながら詳細に説明したが、本発明は、上述の実施形態に限定されるものではなく、本発明の技術的範囲から逸脱しない範囲内で多様に変更実施することが可能である。
【符号の説明】
【0074】
1 秘密情報管理システム5 通信網
10 データ管理サーバ
11 セキュアな記憶装置
12、22 送受信部
13、23 制御部(CPU)
14 機能部
15 記憶部
15a データ保存部
15b 検索用インデックス保存部
16 暗号化処理部
17 エントリーデータ管理部
18 データ照合・統合部
19 分割ファイル作成部
20 データ保管サーバ
24 データ管理部
25 記憶装置
30 データエントリーシステム
31 データエントリー受付サーバ
40 スキャナー
100、200 構成表
101、102、201、202、301、401、501 データ行
200A、300A、600A 検索用ヘッダ部
200B データの組(tuple)
200C フッタ部
600B データ部分
【要約】
【課題】個人情報などの秘密情報を含む電子データをセキュアに保管するとともに、保管された秘密情報を含む電子データを管理に容易する秘密情報管理システムを提供する。【解決手段】本発明の秘密情報管理システムは、暗号化された秘密情報を含む保管用秘密情報データを格納するデータ保管サーバと、データ保管サーバに保管される保管用秘密情報データを生成し、保管用秘密情報データの検索、更新、及び削除を行うデータ管理サーバと、を備え、データ管理サーバは、秘密鍵をデータ管理サーバに保管し、保管用秘密情報データに同じ乱数列からなる検索用識別子及びデータ識別子を付加し、保管用秘密情報データを、公開鍵を用いて暗号化してデータ保管サーバに送信し、検索用識別子を用いてデータ保管サーバに保管された所望の保管用秘密情報データを検索し、読み出された保管用秘密情報データを、秘密鍵を用いて復号する手段と、を備える。
【選択図】図5