知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6040102
(24)【登録日】2016年11月11日
(45)【発行日】2016年12月7日
(54)【発明の名称】不正情報検知方法および不正情報検知装置
(51)【国際特許分類】
G06F 21/62 20130101AFI20161128BHJP
G06Q 50/00 20120101ALI20161128BHJP
【FI】
G06F21/62 345
G06Q50/00
【請求項の数】6
【全頁数】17
(21)【出願番号】特願2013-117465(P2013-117465)
(22)【出願日】2013年6月4日
(65)【公開番号】特開2014-235623(P2014-235623A)
(43)【公開日】2014年12月15日
【審査請求日】2015年6月22日
(73)【特許権者】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】100100310
【弁理士】
【氏名又は名称】井上 学
(74)【代理人】
【識別番号】100098660
【弁理士】
【氏名又は名称】戸田 裕二
(74)【代理人】
【識別番号】100091720
【弁理士】
【氏名又は名称】岩崎 重美
(72)【発明者】
【氏名】渡辺 夏樹
(72)【発明者】
【氏名】安細 康介
(72)【発明者】
【氏名】安藤 祐樹
【審査官】
戸島 弘詩
(56)【参考文献】
【文献】
特開2006−056014(JP,A)
【文献】
特表2008−537210(JP,A)
【文献】
特開2012−084084(JP,A)
【文献】
特開2004−013724(JP,A)
【文献】
特開2004−118620(JP,A)
【文献】
特開2002−222294(JP,A)
【文献】
特開2006−146559(JP,A)
【文献】
特開平08−171535(JP,A)
【文献】
特開2003−178027(JP,A)
【文献】
特開2011−243093(JP,A)
【文献】
特開2003−177967(JP,A)
【文献】
特開2011−048812(JP,A)
【文献】
特表2004−538678(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F21/00
G06Q50/00
(57)【特許請求の範囲】
【請求項1】
ネットワークと接続された不正情報検知装置を用いた、複数組織間で個人情報を連携する際の不正情報検知方法であって、
情報連携の対象となる個人を特定する個人特定情報と当該個人の所属組織を特定する所属組織特定情報とを組み合わせたデータのハッシュ値と、当該個人の異動に関する情報を示す異動情報と、当該異動した日時を示す異動日時情報と、を記憶する第1の記憶部と、
前記個人の所属組織と、当該所属組織が所属する組織グループと、を対応付けて記憶する第2の記憶部と、
前記組織グループと、当該組織グループ内の所属組織間で情報連携を許可する要件となる情報連携の理由を示す情報連携要求の理由に関する情報と、情報連携を許可する情報連携要求可能期間と、を対応付けて記憶する第3の記憶部と、を具備し、
前記ネットワークを介して、第1の個人に関する前記個人特定情報と、前記所属組織特定情報と、を含む情報連携要求を受信し、
前記第1の個人に関する個人特定情報と、情報の連携を要求する組織を示す情報連携要求元組織の所属組織特定情報とを組み合わせた第1のデータを生成し、
前記第1のデータから第1のハッシュ値を生成し、
前記第1のハッシュ値に基づき前記第1の記憶部を検索し、前記第1のハッシュ値が前
記第1の記憶部にあり、かつ該当レコードに前記第1の個人が異動したことを示す情報がある場合に、前記情報連携要求元組織の所属組織特定情報と前記第2の記憶部から前記第1の個人の組織グループを特定し、
前記第3の記憶部から、前記第1の個人に関する前記組織グループと前記情報連携要求の理由と情報連携要求可能期間とを取得し、
前記情報連携要求を受信した日時が、取得した前記情報連携要求可能期間と前記第1の記憶部から取得した前記第1の個人の前記異動日時情報とを加算した値より大きい場合に、前記情報連携要求が不正な情報連携要求である旨を出力する、
ことを特徴とする不正情報検知方法。
情報連携の対象となる個人を特定する個人特定情報と当該個人の所属組織を特定する所属組織特定情報とを組み合わせたデータのハッシュ値と、当該個人の異動に関する情報を示す異動情報と、当該異動した日時を示す異動日時情報と、を記憶する第1の記憶部と、
前記個人の所属組織と、当該所属組織が所属する組織グループと、を対応付けて記憶する第2の記憶部と、
前記組織グループと、当該組織グループ内の所属組織間で情報連携を許可する要件となる情報連携の理由を示す情報連携要求の理由に関する情報と、情報連携を許可する情報連携要求可能期間と、を対応付けて記憶する第3の記憶部と、を具備し、
前記ネットワークを介して、第1の個人に関する前記個人特定情報と、前記所属組織特定情報と、を含む情報連携要求を受信し、
前記第1の個人に関する個人特定情報と、情報の連携を要求する組織を示す情報連携要求元組織の所属組織特定情報とを組み合わせた第1のデータを生成し、
前記第1のデータから第1のハッシュ値を生成し、
前記第1のハッシュ値に基づき前記第1の記憶部を検索し、前記第1のハッシュ値が前
記第1の記憶部にあり、かつ該当レコードに前記第1の個人が異動したことを示す情報がある場合に、前記情報連携要求元組織の所属組織特定情報と前記第2の記憶部から前記第1の個人の組織グループを特定し、
前記第3の記憶部から、前記第1の個人に関する前記組織グループと前記情報連携要求の理由と情報連携要求可能期間とを取得し、
前記情報連携要求を受信した日時が、取得した前記情報連携要求可能期間と前記第1の記憶部から取得した前記第1の個人の前記異動日時情報とを加算した値より大きい場合に、前記情報連携要求が不正な情報連携要求である旨を出力する、
ことを特徴とする不正情報検知方法。
【請求項2】
請求項1に記載の不正情報検知方法において、
前記ネットワークを介して、第1の個人の個人特定情報と前記第1の個人の異動先組織に関する所属組織特定情報と前記第1の個人の異動元組織の所属組織特定情報と情報連携要求の理由に関する情報と、を含む情報連携要求を受信し、
前記情報連携要求の理由に関する情報にて特定された要求の理由が前記第1の記憶部の更新対象であることを示す理由の場合に、前記第1の個人の個人特定情報と前記第1の個人の異動先組織の所属組織特定情報とを組み合わせた第2のデータを生成し、
前記第2のデータから第2のハッシュ値を生成し、これを前記第1の記憶部に登録し、
前記第1の個人の特定情報と前記第1の個人の異動元組織の所属組織特定情報とを組み合わせた第3のデータを生成し、
前記第3のデータから第3のハッシュ値を生成し、前記第3のハッシュ値に基づき前記第1の記憶部を検索し、該当レコードに前記第1の個人が異動したことを示す情報と前記第1の個人の前記異動日時情報を登録する、
ことを特徴とする不正情報検知方法。
前記ネットワークを介して、第1の個人の個人特定情報と前記第1の個人の異動先組織に関する所属組織特定情報と前記第1の個人の異動元組織の所属組織特定情報と情報連携要求の理由に関する情報と、を含む情報連携要求を受信し、
前記情報連携要求の理由に関する情報にて特定された要求の理由が前記第1の記憶部の更新対象であることを示す理由の場合に、前記第1の個人の個人特定情報と前記第1の個人の異動先組織の所属組織特定情報とを組み合わせた第2のデータを生成し、
前記第2のデータから第2のハッシュ値を生成し、これを前記第1の記憶部に登録し、
前記第1の個人の特定情報と前記第1の個人の異動元組織の所属組織特定情報とを組み合わせた第3のデータを生成し、
前記第3のデータから第3のハッシュ値を生成し、前記第3のハッシュ値に基づき前記第1の記憶部を検索し、該当レコードに前記第1の個人が異動したことを示す情報と前記第1の個人の前記異動日時情報を登録する、
ことを特徴とする不正情報検知方法。
【請求項3】
請求項2に記載の不正情報検知方法において、
前記ネットワークを介して、前記第1の個人の特定情報と前記情報連携要求元組織の特
定情報を含む前記情報連携要求を受信し、
受信した前記情報連携要求元組織の所属組織特定情報と前記第2の記憶部から前記第1の個人の組織グループを特定し、
前記第2のハッシュ値に基づき、特定した前記組織グループに対応した前記第1の記憶
部を検索し、前記第2のハッシュ値が2個以上ある場合に、前記情報連携要求が不正な情報連携要求である旨を出力する、
ことを特徴とする不正情報検知方法。
前記ネットワークを介して、前記第1の個人の特定情報と前記情報連携要求元組織の特
定情報を含む前記情報連携要求を受信し、
受信した前記情報連携要求元組織の所属組織特定情報と前記第2の記憶部から前記第1の個人の組織グループを特定し、
前記第2のハッシュ値に基づき、特定した前記組織グループに対応した前記第1の記憶
部を検索し、前記第2のハッシュ値が2個以上ある場合に、前記情報連携要求が不正な情報連携要求である旨を出力する、
ことを特徴とする不正情報検知方法。
【請求項4】
ネットワークと接続され、複数組織間で個人情報を連携する際の不正を検知する不正情報検知装置であって、
情報連携の対象となる個人を特定する個人特定情報と当該個人の所属組織を特定する所属組織特定情報とを組み合わせたデータのハッシュ値と、当該個人の異動に関する情報を示す異動情報と、当該異動した日時を示す異動日時情報と、を記憶する第1の記憶部と、
前記個人の所属組織と、当該所属組織が所属する組織グループと、を対応付けて記憶する第2の記憶部と、
前記組織グループと、当該組織グループ内の所属組織間で情報連携を許可する要件となる情報連携の理由を示す情報連携要求の理由に関する情報と、情報連携を許可する情報連携要求可能期間と、を対応付けて記憶する第3の記憶部と、
演算処理部と、を具備し、
前記演算処理部は、
前記ネットワークを介して、第1の個人に関する個人特定情報と、情報の連携を要求する組織を示す情報連携要求元組織の所属組織特定情報と、を含む情報連携要求を受信し、
前記第1の個人に関する個人特定情報と前記情報連携要求元組織の所属組織特定情報とを組み合わせた第1のデータを生成し、
前記第1のデータから第1のハッシュ値を生成し、
前記第1のハッシュ値に基づき前記第1の記憶部を検索し、前記第1のハッシュ値が前
記第1の記憶部にあり、かつ該当レコードに前記第1の個人が異動したことを示す情報がある場合に、前記情報連携要求元組織の所属組織特定情報と前記第2の記憶部から前記第1の個人の組織グループを特定し、
前記第3の記憶部から、前記第1の個人に関する前記組織グループと前記情報連携要求の理由と情報連携要求可能期間とを取得し、
前記情報連携要求を受信した日時が、取得した前記情報連携要求可能期間と前記第1の記憶部から取得した前記第1の個人の前記異動日時情報とを加算した値より大きい場合に、前記情報連携要求が不正な情報連携要求である旨を出力する、
ことを特徴とする不正情報検知装置。
情報連携の対象となる個人を特定する個人特定情報と当該個人の所属組織を特定する所属組織特定情報とを組み合わせたデータのハッシュ値と、当該個人の異動に関する情報を示す異動情報と、当該異動した日時を示す異動日時情報と、を記憶する第1の記憶部と、
前記個人の所属組織と、当該所属組織が所属する組織グループと、を対応付けて記憶する第2の記憶部と、
前記組織グループと、当該組織グループ内の所属組織間で情報連携を許可する要件となる情報連携の理由を示す情報連携要求の理由に関する情報と、情報連携を許可する情報連携要求可能期間と、を対応付けて記憶する第3の記憶部と、
演算処理部と、を具備し、
前記演算処理部は、
前記ネットワークを介して、第1の個人に関する個人特定情報と、情報の連携を要求する組織を示す情報連携要求元組織の所属組織特定情報と、を含む情報連携要求を受信し、
前記第1の個人に関する個人特定情報と前記情報連携要求元組織の所属組織特定情報とを組み合わせた第1のデータを生成し、
前記第1のデータから第1のハッシュ値を生成し、
前記第1のハッシュ値に基づき前記第1の記憶部を検索し、前記第1のハッシュ値が前
記第1の記憶部にあり、かつ該当レコードに前記第1の個人が異動したことを示す情報がある場合に、前記情報連携要求元組織の所属組織特定情報と前記第2の記憶部から前記第1の個人の組織グループを特定し、
前記第3の記憶部から、前記第1の個人に関する前記組織グループと前記情報連携要求の理由と情報連携要求可能期間とを取得し、
前記情報連携要求を受信した日時が、取得した前記情報連携要求可能期間と前記第1の記憶部から取得した前記第1の個人の前記異動日時情報とを加算した値より大きい場合に、前記情報連携要求が不正な情報連携要求である旨を出力する、
ことを特徴とする不正情報検知装置。
【請求項5】
請求項4に記載の不正情報検知装置において、
前記演算処理部は、
前記ネットワークを介して、第1の個人の個人特定情報と前記第1の個人の異動先組織に関する所属組織特定情報と前記第1の個人の異動元組織の所属組織特定情報と情報連携要求の理由に関する情報と、を含む情報連携要求を受信し、
前記情報連携要求の理由に関する情報にて特定された要求の理由が前記第1の記憶部の更新対象であることを示す理由の場合に、前記第1の個人の個人特定情報と前記第1の個人の異動先組織の所属組織特定情報とを組み合わせた第2のデータを生成し、
前記第2のデータから第2のハッシュ値を生成し、これを前記第1の記憶部に登録し、
前記第1の個人の特定情報と前記第1の個人の異動元組織の所属組織特定情報とを組み合わせた第3のデータを生成し、
前記第3のデータから第3のハッシュ値を生成し、前記第3のハッシュ値に基づき前記第1の記憶部を検索し、該当レコードに前記第1の個人が異動したことを示す情報と前記第1の個人の前記異動日時情報を登録する、
ことを特徴とする不正情報検知装置。
前記演算処理部は、
前記ネットワークを介して、第1の個人の個人特定情報と前記第1の個人の異動先組織に関する所属組織特定情報と前記第1の個人の異動元組織の所属組織特定情報と情報連携要求の理由に関する情報と、を含む情報連携要求を受信し、
前記情報連携要求の理由に関する情報にて特定された要求の理由が前記第1の記憶部の更新対象であることを示す理由の場合に、前記第1の個人の個人特定情報と前記第1の個人の異動先組織の所属組織特定情報とを組み合わせた第2のデータを生成し、
前記第2のデータから第2のハッシュ値を生成し、これを前記第1の記憶部に登録し、
前記第1の個人の特定情報と前記第1の個人の異動元組織の所属組織特定情報とを組み合わせた第3のデータを生成し、
前記第3のデータから第3のハッシュ値を生成し、前記第3のハッシュ値に基づき前記第1の記憶部を検索し、該当レコードに前記第1の個人が異動したことを示す情報と前記第1の個人の前記異動日時情報を登録する、
ことを特徴とする不正情報検知装置。
【請求項6】
請求項5に記載の不正情報検知装置において、
前記演算処理部は、
前記ネットワークを介して、前記第1の個人の特定情報と前記情報連携要求元組織の特
定情報を含む前記情報連携要求を受信し、
受信した前記情報連携要求元組織の所属組織特定情報と前記第2の記憶部から前記第1の個人の組織グループを特定し、
前記第2のハッシュ値に基づき、特定した前記組織グループに対応した前記第1の記憶
部を検索し、前記第2のハッシュ値が2個以上ある場合に、前記情報連携要求が不正な情報連携要求である旨を出力する、
ことを特徴とする不正情報検知装置。
前記演算処理部は、
前記ネットワークを介して、前記第1の個人の特定情報と前記情報連携要求元組織の特
定情報を含む前記情報連携要求を受信し、
受信した前記情報連携要求元組織の所属組織特定情報と前記第2の記憶部から前記第1の個人の組織グループを特定し、
前記第2のハッシュ値に基づき、特定した前記組織グループに対応した前記第1の記憶
部を検索し、前記第2のハッシュ値が2個以上ある場合に、前記情報連携要求が不正な情報連携要求である旨を出力する、
ことを特徴とする不正情報検知装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、自治体や行政機関、民間企業等の複数の組織間で、個人に関する情報の要求に応じて個人に関する情報を提供する情報システムに関する。
【背景技術】
【0002】
政府では、行政事務の効率化や国民利便性の向上を図る事を目的に、自治体や行政機関、民間企業等の複数の組織間で、国民に関する情報(個人に関する情報)の要求(以下、「情報連携要求」という)に応じて個人に関する情報の提供を可能にする情報システムを構築する事を検討している。
【0003】
このような情報システムが実現されると、組織間で個人情報の送受信(連携)が可能になり、業務の効率化、国民利便性の向上が図られる一方、組織間で個人情報が不正に連携され、個人情報が盗み見られる、漏洩するといった事が懸念されているため、不正な情報連携要求を検知することで、不正な情報の連携を防止する技術が望まれている。
【0004】
情報システムにおいて考えられる不正な情報としては、所属外の組織からの情報連携要求がある。例えば、AさんがB市に居住している場合、B市は業務を行うためにAさんに関する情報を必要とするが、B市以外の市区町村(例えばC市)は業務を行うためにAさんに関する情報を必要としない。すなわち、B市に所属しているAさんに関する情報を、Aさんが所属していない組織(例えばC市)が要求することは不正な情報連携要求である。この時、考慮すべき事として、引っ越しや転職により、ある人の所属組織が変更されることがある。例えば、前例において、AさんはB市に住んでいたが、引っ越しを行いC市に異動することが考えられ、引っ越したのちはC市からの情報連携要求は正当なものとして処理し、B市からの情報連携要求は不正な情報連携要求として処理する必要がある。
【0005】
関連技術として、例えば、送信元、送信先、および送信内容を記載した通信予約テーブルを用いて不正な通信を検知する技術がある(特許文献1参照)。この通信予約テーブルに相当するものとして、誰がどの組織に所属しているかの情報を記憶した所属テーブルを事前に作成しておくことにより、情報連携要求を受信した時に、上記所属テーブルを参照し、対象の個人が情報連携要求を行った組織に所属しているか否かを確認することで、不正な情報連携要求を検知できる。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2011−118608号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、上記所属テーブルに記載される所属情報には、個人が居住している市区町村や、勤務先などが含まれるため、万が一、所属テーブルに対して不正アクセスがあった場合、個人や個人の所属情報が漏洩する可能性が高くリスクが大きい。
【0008】
本発明は、このような事情に鑑みてなされたものであり、複数の組織間で個人に関する情報を送受信(連携)する情報システムにおいて、誰がどの組織に所属しているかを示す情報を記憶する記憶部に対して不正アクセスがあった場合でも、個人や個人の所属情報が漏洩するリスクを低減するとともに、不正な情報連携要求を検知し、不正な情報の連携を防止する不正情報検知方法、および、これを実施する不正情報検知装置を提供することを目的とする。
【課題を解決するための手段】
【0009】
上記課題を解決するための代表的な一例は、次の通りである。すなわち、ネットワークと接続された不正情報検知装置が、個人特定情報と当該個人の所属組織の特定情報とを組み合わせたデータのハッシュ値を記憶する記憶部を具備し、前記ネットワークを介して、第1の個人の特定情報と情報連携要求元組織の特定情報を含む情報連携要求を受信し、前記第1の個人の特定情報と前記情報連携要求元組織の特定情報とを組み合わせた第1のデータを生成し、前記第1のデータから第1のハッシュ値を生成し、前記第1のハッシュ値に基づき前記記憶部を検索し、前記第1のハッシュ値が前記記憶部に無い場合に、前記情報連携要求が不正な情報連携要求である旨を出力する、ことを特徴とする。
【発明の効果】
【0010】
複数の組織間で個人に関する情報を送受信(連携)する情報システムにおいて、誰がどの組織に所属しているかを示す情報を記憶する記憶部に対して不正アクセスがあった場合でも、個人や個人の所属情報が漏洩するリスクを低減するとともに、不正な情報連携要求を検知し、不正な情報の連携を防止できる。
【図面の簡単な説明】
【0011】
【図1】本発明の第1の実施形態に係る情報システム1の構成の一例を示すブロック図である。
【図2】本発明の第1の実施形態に係る不正情報検知装置102の機能の概略構成の一例を示すブロック図である。
【図3】本発明の第1の実施形態に係る不正情報検知装置102、情報中継装置101、情報連携装置105のハードウェア構成の一例を示すブロック図である。
【図4】本発明の第1の実施形態に係る所属ハッシュテーブル209の構成の一例を示す図である。
【図5】本発明の第1の実施形態に係る初期付番の記録内容の一例を示す図である。
【図6】本発明の第1の実施形態に係る所属ハッシュテーブル209を生成する処理の一例を示すフローチャートである。
【図7】本発明の第1の実施形態に係る不正な情報連携要求を検知する処理の一例を示すフローチャートである。
【図8】本発明の第1の実施形態に係る情報連携要求の構成の一例を示す図である。
【図9】本発明の第1の実施形態に係る所属ハッシュテーブル209を更新する処理の一例を示すフローチャートである。
【図10】本発明の第1の実施形態に係る異動情報を含む情報連携要求の構成の一例を示す図である。
【図11】本発明の第2の実施形態に係る所属ハッシュテーブル1100の構成の一例を示す図である。
【図12(a)】本発明の第2の実施形態に係る組織グループと組織コードとの対応関係を管理するグループ管理テーブル1200の一例を示す図である。
【図12(b)】本発明の第2の実施形態に係る、ある個人が別の組織に異動した後でも、当該個人の異動前の組織からの情報連携要求が可能な期間を、組織グループと、情報連携の理由毎に管理する有効期間テーブル1201の一例を示す図である。
【図13】本発明の第2の実施形態に係る所属ハッシュテーブル1100を更新する処理の一例を示すフローチャートである。
【図14】本発明の第2の実施形態に係る不正な情報連携要求を検知する処理の一例を示すフローチャートである。
【図15(a)】本発明の第3の実施形態に係る市区町村グループの所属ハッシュテーブル1500の構成の一例を示す図である。
【図15(b)】本発明の第3の実施形態に係る企業グループの所属ハッシュテーブル1501の構成の一例を示す図である。
【図16】本発明の第3の実施形態に係る不正な情報連携要求を検知する処理の一例を示すフローチャートである。
【発明を実施するための形態】
【0012】
以下に、本発明の実施形態について、図面を参照して詳細に説明する。(第1の実施形態)
図1は、本発明の第1の実施形態に係る情報システム1の構成の一例を示す図である。本実施形態に係る情報システム1は、インターネットや広域WAN等のネットワーク104と、ネットワーク104に接続されている、自治体や行政機関、民間企業等における組織内ネットワーク103と、から構成される。ネットワーク104には、情報連携要求や情報連携要求に応じて情報提供を行う各自治体や行政機関、民間企業等の組織内に設置した情報連携装置1051〜105N(以下、特に指定のない場合は、「情報連携装置105」と記す)が接続されている。また、組織内ネットワーク103には、情報連携装置105間で送受信される情報の中継する情報中継装置101と、情報連携装置105間で送受信される情報連携要求が不正な情報連携要求か否かを判断する不正情報検知装置102と、が接続されている。
【0013】
このような構成を有する情報システム1において、例えば、情報連携要求元組織内に設置された情報連携装置1051が、情報連携要求を送信すると、この情報連携要求が情報中継装置101を介して不正情報検知装置102に送信される。不正情報検知装置は、後述する所定の処理を行うことで、不正な情報連携要求を検知する。なお、情報中継装置102は、情報連携要求を中継する際に、個人を特定する情報(ID)の変換等を行う。
【0014】
図2は、本発明の第1の実施形態に係る不正情報検知装置102の機能の概略構成の一例を示すブロック図である。不正情報検知装置102は、処理部201と、記憶部202と、不正な情報連携要求を検知した場合に、情報中継装置101を介して受信した情報連携要求が不正な情報連携要求である旨(アラート)等を出力する入出力部203と、組織内ネットワーク103を介して他装置と通信を行うための通信部204と、を有する。
【0015】
処理部201は、情報中継装置101を介して受信した情報連携要求と、記憶部202に記憶されているデータと、をもとに、受信した情報連携要求が不正な情報連携要求か否かを判断し、不正な情報連携要求の場合にはこの情報連携要求が不正な情報連携要求である旨等を入出力部203に出力する不正情報検知部206と、記憶部202に記憶されているテーブルの生成や更新等を行うテーブル管理部207と、不正情報検知装置102の各部を統括的に制御する制御部208と、を有する。
【0016】
記憶部202には、個人特定情報と、当該個人の所属情報の特定情報とを組み合わせたデータのハッシュ値を記憶する所属ハッシュテーブル209が格納されている。
【0017】
図3は、本発明の第1の実施形態に係る不正情報検知装置102、情報中継装置101、情報連携装置105のハードウェア構成の一例を示すブロック図である。情報中継装置101、不正情報検知装置102、情報連携装置105の各々は、CPU301と、メモリ302と、ハードディスク等の外部記憶装置304と、CD−ROM等の可搬性を有する記憶媒体308から情報を読み取る読み取り装置307と、組織内ネットワーク103またはネットワーク104を介して他装置と通信を行うための通信装置303と、キーボードやマウス等の入力装置305と、モニタやプリンタ等の出力装置306と、これら各装置の間のデータ送受を行う内部通信線309とを備えた、一般的な電子計算機上に構築できる。
【0018】
また、上記各装置は、CPU301と記憶装置とを備える一般的な計算機、あるいは一般的な計算機と同等の機能を有するプログラムやハードウェアを用いて実現することができる。
【0019】
そして、CPU301が外部記憶装置304からメモリ302上にロードされた所定のプログラムを実行することにより、上述の各処理部を実現できる。すなわち、通信部204は、CPU301が通信装置303を利用することにより、入出力部203は、CPU301が入力装置305や、出力装置306や、読み取り装置307を利用することにより、そして、記憶部202は、CPU301がメモリ302や外部記憶装置304を利用することにより実現される。また、処理部201はCPU301のプロセスとして実現される。
【0020】
上記所定のプログラムは、予め外部記憶装置304に格納されていても良いし、上記電子計算機が利用可能な記憶媒体308に格納されており、読み取り装置307を介して、必要に応じて読み出され、あるいは、上記電子計算機が利用可能な通信媒体であるネットワークまたはネットワーク上を伝搬する搬送波を利用する通信装置303と接続された他の装置から、必要に応じてダウンロードされて、外部記憶装置304に導入されるものであってもよい。
【0021】
図4は、本発明の第1の実施形態に係る所属ハッシュテーブル209の構成の一例を示す図である。所属ハッシュテーブル209は、記憶部202に格納されており、ある個人がどの組織に所属しているかの情報を、ハッシュ化された状態で記憶する。具体的には、所属ハッシュテーブルは、ある個人のIDと、当該個人が所属する組織を特定する情報(組織コード)と、を組み合わせたデータに対してハッシュ値を計算した結果を記憶している。
【0022】
例えば、テーブルに記憶されたひとつのレコード401のH(ID1,A)(「H(X)」はデータXのハッシュ値を示す。以下同様)は、ID1で識別される個人が組織コードAの組織に所属している情報をハッシュ化して記憶している状態を示している。また、組織コードAの組織にはID1で識別される個人以外の個人も所属しており、例えば、レコード402のH(ID2,A)はID2で識別される個人が組織コードAの組織に所属していることを示す。また、ID1で識別される個人は組織コードAの組織以外の組織に所属することも可能であり、例えば、レコード403のH(ID1,α)は、組織コードαの組織にも所属していることを示す。
【0023】
なお、個人のIDとは、ある個人を特定するために計算機上で定義された情報であり、不正情報検知装置102の内部のみ、または、情報中継装置101と不正情報検知装置102との間のみで使用され、これらの外部には秘匿される。なお、IDを不正情報検知装置102および情報中継装置101の外部に秘匿する方法としては、不正情報検知装置102または情報中継装置101内部に耐タンパ装置を設置し、耐タンパ装置に保存した鍵で暗号化する、または、不正情報検知装置102および情報中継装置101のみが知る値を付加してハッシュ化する方法等が考えられる。
【0025】
図5は、システム稼働初期等に、情報中継装置101が、各組織に設置された情報連携装置105からの付番要求に基づいて、各組織に所属する個人に対してIDを付番した記録内容の一例を示す図である。
【0026】
図5の記録は、情報中継装置101から不正情報検知装置102の制御部208を介して、テーブル管理部207に送信され、テーブル管理部207にて所属ハッシュテーブル209を生成する際に使用される。
【0027】
図6は、本発明の第1の実施形態に係る所属ハッシュテーブル209を生成する処理の一例を示すフローチャートである。ここでは、不正情報検知装置103の制御部208からの命令を受けたテーブル管理部207が行う処理を説明する。なお、図6の処理は不正情報検知装置102が、情報中継装置101から図5に示す記録を取得したときなど、所定のタイミングで実施される。
【0028】
先ず、テーブル管理部207が、制御部208から記録501を受け取る事で当該処理を開始する。テーブル管理部207は、ある個人のID1と付番要求者を識別する情報(組織コード)Aを組み合わせたデータを生成する(ステップ601)。このとき、組み合わせる方法は、ID1のデータの後ろにAのデータを結合する方法や、ID1とAの排他的論理和を計算する方法等が考えられる。次に、テーブル管理部207は、ID1とAを組み合わせたデータのハッシュ値H(ID1,A)を生成し(ステップ602)、生成したハッシュ値H(ID1,A)を所属ハッシュテーブルに登録し(ステップ603)、処理を終了する。
【0029】
次に、図4、図7および図8を参照して、第1の実施形態に係る不正な情報連携要求を検知する処理の一例について説明する。図7は、本発明の第1の実施形態に係る不正な情報連携要求を検知する処理の一例を示すフローチャートである。図8は、本発明の第1の実施形態に係る情報連携要求の構成の一例を示す図である。図8に示すように、情報連携要求は、情報連携要求元の組織コードと、情報連携要求先の組織コードと、個人のIDと、情報連携の対象となる個人情報の種類と、情報連携要求の理由と、情報連携が実行された日時を含む。例示する情報連携要求801は、情報連携要求元の組織コードとして「A」、情報連携要求先の組織コードとして「C」、個人のIDとして「ID1」、個人情報の種類として「年金情報」、情報連携の理由として「生活保護」、情報連携実行日時として「T11」を含む。また、例示する情報連携要求802は、情報連携要求元の組織コードとして「B」、情報連携要求先の組織コードとして「C」、個人のIDとして「ID2」、個人情報の種類として「年金情報」、情報連携の理由として「生活保護」、情報連携実行日時として「T12」を含む。
【0030】
先ず、不正情報検知装置102の制御部208が、任意の情報連携装置105からの情報連携要求801を通信部204を介して受信し、制御部208の命令を受けた不正情報検知部206が行う情報処理を説明する。
【0031】
不正情報検知部206は、制御部208から情報連携要求801を受け取ることで処理を開始する。不正情報検知部206は、情報連携要求に含まれる情報連携の理由が、異動に関するものなど所属ハッシュテーブル209更新対象でない理由を示す場合、情報連携要求元の組織コードであるAと個人のIDであるID1を組み合わせたデータを生成し(ステップ701)、生成したデータのハッシュ値H(ID1,A)を生成する(ステップ702)。次に、不正情報検知部206は、生成したハッシュ値H(ID1,A)に基づき所属ハッシュテーブル209を検索し、H(ID1,A)が所属ハッシュテーブル209に有るか否かを判断する(ステップ703)。例示する所属ハッシュテーブル209(図4)にはH(ID1,A)が存在するので、不正情報検知部206は、情報連携要求801を正当な情報連携要求と判断し、処理を終了する。
【0032】
次に、不正情報検知装置102の制御部208が、任意の情報連携装置105からの情報連携要求802を通信部204を介して受信し、制御部208の命令を受けた不正情報検知部206が行う情報処理を説明する。
【0033】
不正情報検知部206は、制御部208から情報連携要求802を受け取ることで処理を開始する。不正情報検知部206は、情報連携要求に含まれる情報連携の理由が、異動に関するものなど所属ハッシュテーブル209更新対象でない理由を示す場合、情報連携要求元の組織コードであるBと個人のIDであるID2を組み合わせたデータを生成し(ステップ701)、生成したデータのハッシュ値H(ID2,B)を生成する(ステップ702)。次に、不正情報検知部206は、生成したハッシュ値H(ID2,B)に基づき所属ハッシュテーブル209を検索し、H(ID2,B)が所属ハッシュテーブル209に有るか否かを判断する(ステップ703)。例示する所属ハッシュテーブル209(図4)にはH(ID2,B)が無いため、不正情報検知部206は、情報連携要求802を不正な情報連携要求と判断し、出力装置306に不正な情報連携要求を検知したことなどを示すアラートを出力する。なお、これ以外の不正な情報連携要求を検知した場合の処理として、外部の装置に不正な情報連携要求を検知したことなどを示すアラートを送信するようにしてもよい。
【0034】
次に、図9および図10を用いて、個人が別の組織に異動した場合に所属ハッシュテーブル209を更新する処理の一例について説明する。図9は、本発明の第1の実施形態に係る所属ハッシュテーブル209を更新する処理の一例を示すフローチャートである。図10は、本発明の第1の実施形態に係る異動情報を含む情報連携要求1001の構成の一例を示す図である。ここでは、任意の情報連携装置105からの連携要求1001を通信部204を介して受信した不正情報検知装置102の制御部208、および、制御部208の命令を受けたテーブル管理部207が行う情報処理を説明する。
【0035】
制御部208は、通信部204から情報連携要求1001を受取る事で処理を開始する。先ず、制御部208は、情報連携要求に含まれる情報連携の理由がテーブル更新対象であることを示す理由であるか否かを判断し、テーブル更新対象であるを示す場合、テーブル管理部207を呼び出す(ステップ901)。テーブル更新対象であることを示す理由として、例えば、「引越し」や「転職」など異動に関するものが考えられる。なお、情報連携の理由と異動かどうかの関係は事前に管理者等からあたらえられるものとする。ここでは、情報連携要求1001の情報連携の理由は「引越し」であり、これは異動に相当しテーブル更新対象となる。次に、テーブル管理部207は、個人のID1と要求元(当該個人異動先組織)の組織コードのCを組み合わせたデータを生成し、生成した値のハッシュ値H(ID1,C)を生成し(ステップ902)、生成したハッシュ値H(ID1,C)を図4の所属ハッシュテーブル209に追登録する(ステップ903)。次に、テーブル管理部207は、上記ID1と要求先(当該個人異動元組織)の組織コードAを組み合わせたデータを生成し、生成した値のハッシュ値H(ID1,A)を生成し(ステップ904)、生成したハッシュ値H(ID1,A)を、所属ハッシュテーブル209から削除し(ステップ905)更新処理を終了する。なお、ステップ901において、情報連携の理由がテーブル更新対象で無い場合には、図7に示す不正情報検知処理が実施される。
【0036】
以上、本発明の第1の実施形態について説明した。
【0037】
上記第1の実施形態によれば、事前に、個人のIDと、当該個人が所属する組織と、を組み合わせたデータのハッシュ値を所属ハッシュテーブル209に記憶しておき、不正情報検知装置102が、情報連携要求受信時に、個人のIDと、連携元組織コードと、を組み合わせたデータのハッシュ値を生成し、生成したハッシュ値を所属ハッシュテーブル209から検索し、一致するハッシュ値が無い場合に、受信した情報連携要求を不正な情報連携要求として検知する。
【0038】
これにより、所属ハッシュテーブル209に対して不正アクセスがあった場合でも、個人の所属が漏洩するリスクを低減するとともに、不正な情報連携要求を検知することで不正な情報の連携を防止できる。
【0039】
また、「引っ越し」や「転職」などにより個人の所属が変更となった場合に、所属ハッシュテーブル209を更新するようにしたので、個人の所属が変更された場合において、引っ越し前の組織からの情報連携要求を不正な情報連携要求として検知できる。
【0040】
なお、上記第1の実施形態では、情報連携要求が発生する毎に、情報連携要求を情報中継装置101を介して不正情報検知装置102に送信しているが、情報中継装置101に一定期間分の情報連携要求を保持し、その後、一定期間分の情報連携要求をまとめて不正情報検知装置102に送信してもよい。
【0041】
また、不正情報検知部206において、1回の「不正な情報連携要求の検知」だけでなく、複数回の「不正な情報連携要求の検知」を考慮し、統計手法等を組み合わせて不正な情報連携要求を検知してもよい。すなわち、1つの情報連携要求を不正な情報連携要求として検知した際にアラートを上げるだけでなく、複数回の情報連携要求を考慮し、不正な情報連携要求である可能性がより高い場合にアラートを上げられるような仕組みとしてもよい。(第2の実施形態)
図11〜図14を参照して、本発明の第2の実施形態について説明する。本発明の第1の実施形態との相違点は、(1)図1の情報システムにおける個人の異動の際に、図4の所属ハッシュテーブル209で、個人が異動したことを示すフラグと当該個人の異動日時を併せて管理し、(2)当該個人が所属する組織グループと組織コードとの対応関係を管理し、(3)上記組織グループおよび情報連携の理由毎の情報連携可能期間を管理する点である。この相違点により、ある個人が別の組織に異動した場合でも、情報連携要求を受信した日時が、当該個人の異動前組織グループおよび情報連携要求に含まれる情報連携の理由の組み合わせで決まる情報連携可能期間と当該個人の移動日時とを加算した値より大きい場合に、異動前組織からの当該個人に関する情報の要求を不正な情報連携要求として検知できる。
【0042】
図11は、本発明の第2の実施形態に係る所属ハッシュテーブル1100の構成の一例を示す図ある。本発明の第2の実施形態に係る所属ハッシュテーブル1100には、個人のIDと当該個人が所属する組織の組織コードとを組み合わせたデータのハッシュ値1101と、当該個人が当該組織から異動している場合に異動したことを示す異動フラグ1102と、当該個人の異動日時1103と、がぞれぞれ対応付けて記憶されている。なお、ここでは、異動フラグ1102には「異動」が登録されているが、当該個人が異動したことを示す情報であれば、その他の情報であってもよい。また、異動日時1103には、例えば、所属ハッシュテーブル1100に異動フラグ1102が登録された日時1103が登録される。
【0043】
図12(a)は、本発明の第2の実施形態に係る組織グループと組織コードとの対応関係を管理するグループ管理テーブル1200の一例を示す図である。組織グループとは、同じ種類の組織をグループにまとめたものである。例えば、組織コードA,B,Cで示される組織がそれぞれA市、B町、C村の場合、組織コードA、B、Cは市区町村グループに属しており、組織コードα、β、γで示される組織がそれぞれα社、β社、γ社の場合、組織コードα、β、γは企業グループに属していることを示す。
【0044】
図12(b)は、本発明の第2の実施形態に係る、ある個人が別の組織に異動した後でも、当該個人の異動前の組織からの情報連携要求が可能な期間を、組織グループと、情報連携の理由毎に管理する有効期間テーブル1201の一例を示す図である。情報連携の理由には、情報連携要求に含まれるものと同様の理由が記憶されている。例えば、レコード1202は、市区町村グループの組織は、ある住民が異動した後に、当該異動した住民を対象に、異動日時を起算日として5年間住民税の情報を要求してもよいことを示す。
【0046】
図13は、第2の実施形態に係る所属ハッシュテーブル1100を更新する処理の一例を示すフローチャートである。なお、図13のステップ1301〜ステップ1304の処理は、図9のステップ901〜ステップ904の処理と同様の処理である。ステップ1304の処理後、テーブル管理部207は、図11の所属ハッシュテーブル1100から、ステップ1304で生成した、個人のID1と当該個人異動前の組織の組織コードAを組み合わせたデータのハッシュ値H(ID1,A)を検索してレコード1104を特定し、特定したレコード1104の異動フラグ1102に「異動」を登録し、その登録時刻を異動日時1103に登録する(ステップ1305)。
【0047】
次に、図8、図11、図12(a)、図12(b)および図14を参照して、第2の実施形態に係る不正な情報連携要求を検知する処理の一例について説明する。図14は、本発明の第2の実施形態に係る不正な情報連携要求を検知する処理の一例を示すフローチャートである。なお、ここでは、情報連携要求として、情報連携要求801を例にとり説明する。
【0048】
不正情報検知部206は、制御部208から情報連携要求801を受け取る事で処理を開始する。先ず、不正情報検知部206は、ステップ701〜703の処理と同様の処理を行って、ハッシュ値H(ID1,A)を生成し、生成したハッシュ値H(ID1,A)に基づき所属ハッシュテーブル1100を検索し、ハッシュ値H(ID1,A)が所属ハッシュテーブル1100に有るか否かを判断する(ステップ1401〜ステップ1403)。ここでは、ハッシュ値H(ID1,A)が有る(レコード1104)ため、不正情報検知部206は、さらにレコード1104の異動フラグ1102の有無を確認する(ステップ1404)。ここでは、異動フラグが有るため、不正情報検知部206は、グループ管理テーブル1200から、要求元組織コードであるAに対応するグループである市区町村を示す情報を取得する(ステップ1405)。次に、不正情報検知部206は、市区町村を示す情報と情報連携要求801に含まれる情報連携の理由(生活保護)を示す情報に基づき有効期間テーブル1201を検索し、該当情報連携可能期間(3年間)を示す情報を取得する(ステップ1406)。次に、不正情報検知部206は、レコード1104の異動日時1103に、ステップ1406で取得した情報連携可能期間を加算した時刻と、情報連携要求受信日時を比較し(ステップ1407)、情報連携要求受信日時の方が大きい場合、受信した情報連携要求は正当な情報連携要求と判断し、情報連携要求受信日時の方が小さい場合、受信した情報連携要求を不正な情報連携要求として出力装置306にアラート等を出力し、処理を終了する。
【0049】
なお、ステップ1403で、ハッシュ値H(ID1,A)が所属ハッシュテーブル1100に無い場合、受信した情報連携要求を不正な情報連携要求として出力装置306にアラート等を出力する。また、ステップ1404において異動フラグが無い場合、受信した情報連携要求は正当な情報連携要求と判断し、処理を終了する。
【0050】
以上、本発明の第2の実施形態について説明した。
【0051】
上記第2の実施形態によれば、(1)第1の実施形態で示した所属ハッシュテーブル209(図4)で、個人が異動したことを示すフラグと当該個人の異動日時を併せて管理し、(2)当該個人が所属する組織グループと組織コードとの対応関係を管理し、(3)上記組織グループおよび情報連携の理由毎の情報連携可能期間を管理することで、ある個人が別の組織に異動した場合でも、情報連携要求受信日時が、異動日時と、当該個人の異動前組織グループおよび情報連携要求に含まれる情報連携の理由の組み合わせで決まる情報連携可能期間とを加算した値より大きい場合に、異動前組織からの当該個人に関する情報の要求を不正な情報連携要求として検知する。
【0052】
これにより、ある個人が異動した後も、当該個人異動元の組織は一定期間につき情報連携を行うことができ、一定期間が過ぎた後は、当該個人異動元の組織からの情報連携要求を不正な情報連携要求として検知することで不正な情報の連携を防止できる。(第3の実施形態)
図15(a)、図15(b)および図16を参照して、本発明の第3の実施形態について説明する。第3の実施形態では、組織グループ毎の所属ハッシュテーブルにおいて、個人のIDと組織コードを組み合わせたデータのハッシュ値と、個人のIDのハッシュ値とを対応付けて管理する点が、第1の実施形態および第2の実施形態で説明した所属ハッシュテーブルの構成との相違点である。この相違点により、ある個人は1つの組織グループ内の複数の組織には所属しないことを根拠に不正な情報連携を防止する。例えば、ある個人の住民票は1つの市区町村に登録されるため、2つの市区町村に2重登録されることはない。つまり、市区町村グループ内に特定個人が所属する組織が複数あることは、どちらか一方が不正であることが示唆される。
【0053】
図15(a)と図15(b)は、本発明の第3の実施形態に係る所属ハッシュテーブルの構成の一例を示す図である。図15(a)は、市区町村グループの所属ハッシュテーブル1500の構成の一例を示し、図15(b)は、企業グループの所属ハッシュテーブル1501の構成の一例を示したものである。本発明の第3の実施形態では、図12(a)に示すような組織グループと組織コードとの対応関係を管理するグループ管理テーブル1200を不正情報検知装置102で管理し、例えば、図6のステップ601の前に、情報連携要求に含まれる組織コードとグループ管理テーブル1200から、個人の組織グループを特定するステップと、当該個人のIDのハッシュ値H(ID)を生成するステップを加え、ステップ603において、組織グループ毎の所属ハッシュテーブル1500、1501にH(ID、組織コード)とH(ID)とを対応付けて登録する。なお、H(ID)を生成するタイミングは、図6のステップ601の後であっても、ステップ602の後であってもよい。
【0054】
図16は、本発明の第3の実施形態に係る不正な情報連携要求を検知する処理の一例を示す図である。ここでは、不正情報検知装置102の制御部208が、任意の情報連携装置105からの情報連携要求801を通信部204を介して受信し、制御部208の命令を受けた不正情報検知部206が行う情報処理を説明する。
【0055】
不正情報検知部206は、制御部208から情報連携要求801を受け取ることで処理を開始する。先ず、個人のID(ここでは、ID1)のハッシュ値であるH(ID1)を生成する(ステップ1601)。次に、不正情報検知部206は、グループ管理テーブル1200を参照し、要求元組織コードAの組織が所属する組織グループとして市区町村グループを特定し、ステップ1601で生成したハッシュ値H(ID1)に基づき、特定した市町村グループの所属ハッシュテーブル1500を検索する(ステップ1602)。検索の結果、ここでは、ハッシュ値H(ID1)の個数が1個であるため、不正情報検知部206は、情報連携要求801をもとに、連携元組織コードAとID1を組み合わせたデータを生成し(ステップ1603、ステップ1604)、生成した値のハッシュ値H(ID1,A)を生成する(ステップ1605)。次に、不正情報検知部206は、生成したハッシュ値H(ID1,A)に基づき、ステップ1602で特定した市町村グループの所属ハッシュテーブル1500を検索し、ハッシュ値H(ID1,A)が市町村グループの所属ハッシュテーブル1500に有れば、情報連携要求801を正当な情報連携要求として処理を終了する(ステップ1606でYes)。
【0056】
なお、ステップ1603において、IDのハッシュ値の個数が0個の場合、不正情報検知部206は、情報連携要求を不正な情報連携要求として出力装置306にアラートを出力し処理を終了する。また、ステップ1603において、IDのハッシュ値の個数が2個以上の場合、不正情報検知部206は、1つの所属ハッシュテーブル1500に同じIDが2重に登録されることは不正の可能性があるため、当該情報連携要求を不正な情報連携要求として出力装置306にアラートを出力し処理を終了する。また、ステップ1606において、ステップ1605で生成したハッシュ値が市町村グループの所属ハッシュテーブル1500に無ければ、当該情報連携要求を不正な情報連携要求として出力装置306にアラートを出力し処理を終了する(ステップ1606でNo)。
【0057】
以上、本発明の第三の実施形態について説明した。
【0058】
なお、上記本発明の第3の実施形態では、「情報連携要求の受信」を契機として、個人のIDのハッシュ値の2重登録を検知する場合を例にとり説明したが、所属ハッシュテーブル全てのレコードを対象に、ステップ1603の処理を行うことで、個人のIDの2重登録を検知するようにしてもよい。
【0059】
以上本発明の第3の実施形態について説明したが、本発明の第3の実施形態では、組織グループ毎の所属ハッシュテーブルにおいて、個人のIDと組織コードを組み合わせたデータのハッシュ値と、上記IDのハッシュ値とを対応付けて管理し、情報連携要求受信時に、情報連携要求に含まれる個人のID、のハッシュ値を生成し、生成したIDのハッシュ値が、情報連携要求元組織が属する組織グループの所属ハッシュテーブルに2個以上有った場合に、上記情報連携要求を不正な情報連携要求として検知する。
【0060】
これにより、複数の組織間で個人に関する情報を送受信する情報システムにおいて所属ハッシュテーブルに対して不正アクセスがあった場合でも、個人に関する情報が漏洩するリスクを低減するとともに、不正な情報連携要求を検知し、不正な情報の連携を防止することができる。
【0061】
また、上記本発明の第3の実施形態によって、ある組織グループの所属ハッシュテーブルに複数の同じ個人に関する情報が登録されるような不正を検知できる。
【符号の説明】
【0062】
101・・・情報中継装置、102・・・不正情報検知装置、103・・・組織内ネットワーク、104・・・ネットワーク、105・・・情報連携装置、201・・・処理部、202・・・記憶部、203・・・入出力部、204・・・通信部、206・・・不正情報検知部、207・・・テーブル管理部、208・・・制御部、209・・・所属ハッシュテーブル、301・・・CPU、302・・・メモリ、303・・・通信装置、304・・・外部記憶装置、305・・・入力装置、306・・・出力装置、307・・・読取装置、308・・・可搬性を有する記憶媒体、309・・・内部通信線。