特許 6595959 プライバシ認証システム、プライバシ認証方法及びプライバシ認証プログラム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6595959

(24)【登録日】2019年10月4日

(45)【発行日】2019年10月23日

(54)【発明の名称】プライバシ認証システム、プライバシ認証方法及びプライバシ認証プログラム

(51)【国際特許分類】

   H04L 9/32 20060101AFI20191010BHJP

   G06F 21/62 20130101ALI20191010BHJP

【ＦＩ】

   H04L9/00 675D

   H04L9/00 675B

   G06F21/62 345

【請求項の数】8

【全頁数】16

(21)【出願番号】特願2016-138960(P2016-138960)

(22)【出願日】2016年7月13日

(65)【公開番号】特開2018-11203(P2018-11203A)

(43)【公開日】2018年1月18日

【審査請求日】2018年9月20日

【国等の委託研究の成果に係る記載事項】（出願人による申告）平成２７年度、総務省、「プライバシーに配慮した情報提供を可能にする高度知識集約プラットフォームの研究開発」委託研究、産業技術力強化法第１９条の適用を受ける特許出願

(73)【特許権者】

【識別番号】599108264

【氏名又は名称】株式会社ＫＤＤＩ総合研究所

(74)【代理人】

【識別番号】100106002

【弁理士】

【氏名又は名称】正林 真之

(74)【代理人】

【識別番号】100120891

【弁理士】

【氏名又は名称】林 一好

(72)【発明者】

【氏名】披田野 清良

(72)【発明者】

【氏名】清本 晋作

【審査官】 中里 裕正

(56)【参考文献】

【文献】 特開２００２−０６４４８５（ＪＰ，Ａ）

【文献】 特開２００３−３４５９３０（ＪＰ，Ａ）

【文献】 特開２００２−０７２８７６（ＪＰ，Ａ）

【文献】 特開２０１４−１３４７９９（ＪＰ，Ａ）

【文献】 特開２０１５−０７９４５５（ＪＰ，Ａ）

【文献】 米国特許出願公開第２００５／０２８３４４３（ＵＳ，Ａ１）

【文献】 披田野清良，清本晋作，村上陽亮，越境データのプライバシ問題に配慮したｉＫａａＳアーキテクチャの提案，コンピュータセキュリティシンポジウム２０１５ 論文集，２０１５年１０月１４日，p.56-63

【文献】 山口英 他，ｂｉｔ別冊 情報セキュリティ，共立出版株式会社，２０００年 １月 ５日，p.183-185

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｈ０４Ｌ ９／３２

Ｇ０６Ｆ ２１／６２

ＪＳＴＰｌｕｓ／ＪＭＥＤＰｌｕｓ／ＪＳＴ７５８０（ＪＤｒｅａｍＩＩＩ）

ＩＥＥＥ Ｘｐｌｏｒｅ

(57)【特許請求の範囲】

【請求項1】

アプリケーションからの要求に応じて、プライバシポリシーにより制限された地域間でデータにアクセスするためのプライバシ証明書を発行するプライバシ認証システムであって、
地域の包含関係によって階層化されたプライバシポリシーそれぞれに対応して、プライバシ認証装置が複数の階層化構造として設けられ、
前記階層化構造における最下位のプライバシ認証装置は、
前記プライバシ証明書を要求する前記アプリケーションが自身のプライバシポリシーに適合するか否かを審査し、当該審査に合格した場合に、前記アプリケーションの公開鍵及び自身の秘密鍵による署名を含むプライバシ証明書を生成する生成部と、
上位のプライバシ認証装置が存在する場合、前記生成したプライバシ証明書を、自身の公開鍵と共に当該上位のプライバシ認証装置へ送信する第１通信部と、を備え、
前記階層化構造で下位のプライバシ認証装置が存在する上位のプライバシ認証装置は、
前記下位のプライバシ認証装置から受信したプライバシ証明書の署名を、当該プライバシ証明書と共に受信した公開鍵により検証する第１検証部と、
当該プライバシ証明書の内容が自身のプライバシポリシーに適合するか否かを審査し、当該審査に合格した場合、当該プライバシ証明書に前記受信した公開鍵及び自身の秘密鍵による署名を付加して更新する第１更新部と、
上位のプライバシ認証装置が存在する場合、更新したプライバシ証明書を、自身の公開鍵と共に当該上位のプライバシ認証装置へ送信する第２通信部と、を備えるプライバシ認証システム。

【請求項2】

前記階層化構造における最上位のプライバシ認証装置は、
前記生成部により生成されたプライバシ証明書、又は前記第１更新部により更新されたプライバシ証明書を、前記アプリケーションがアクセスしたいデータの存在する地域における最上位のプライバシ認証装置へ、自身の公開鍵と共に送信し、送信先のプライバシ認証装置から返信されたプライバシ証明書を、前記アプリケーション又は下位のプライバシ認証装置へ返信する第３通信部と、
他の最上位のプライバシ認証装置から受信したプライバシ証明書の署名を、当該プライバシ証明書と共に受信した公開鍵により検証する第２検証部と、
当該他の最上位のプライバシ認証装置から受信したプライバシ証明書の内容が自身のプライバシポリシーに適合するか否かを審査し、当該審査に合格した場合、当該プライバシ証明書に前記受信した公開鍵及び自身の秘密鍵による署名を付加して更新する第２更新部と、
更新したプライバシ証明書を、前記他の最上位のプライバシ認証装置へ返信する第４通信部と、を備える請求項１に記載のプライバシ認証システム。

【請求項3】

前記階層化構造における最下位のプライバシ認証装置の配下に、前記データの提供を制御するゲートウェイを備え、
当該ゲートウェイは、
自身の属する地域の最上位のプライバシ認証装置の公開鍵を、前記階層化構造に従って受信し、
前記アプリケーションから、アクセス要求と共に、当該アプリケーションに返信されたプライバシ証明書を受信する請求項２に記載のプライバシ認証システム。

【請求項4】

前記ゲートウェイは、前記アプリケーションから受信したプライバシ証明書、及び自身が記憶しているデータ提供ポリシーに基づいて、前記データの提供の可否を判定する請求項３に記載のプライバシ認証システム。

【請求項5】

前記プライバシ認証装置は、前記階層化構造に従って、上位のプライバシ認証装置から順に、前記データの種類に応じた前記データ提供ポリシーを構成し、前記ゲートウェイに提供する請求項４に記載のプライバシ認証システム。

【請求項6】

前記ゲートウェイは、
前記アプリケーションから受信したプライバシ証明書に含まれる当該アプリケーションの公開鍵を用いて、データアクセスを識別するためのトークンを暗号化して前記アプリケーションへ送信し、
前記アプリケーションの秘密鍵により復号された前記トークンと共にデータアクセス用のクエリを受信する請求項３から請求項５のいずれかに記載のプライバシ認証システム。

【請求項7】

アプリケーションからの要求に応じて、プライバシポリシーにより制限された地域間でデータにアクセスするためのプライバシ証明書を発行するプライバシ認証方法であって、
地域の包含関係によって階層化されたプライバシポリシーそれぞれに対応して、プライバシ認証装置が複数の階層化構造として設けられ、
前記階層化構造における最下位のプライバシ認証装置は、
前記プライバシ証明書を要求する前記アプリケーションが自身のプライバシポリシーに適合するか否かを審査し、当該審査に合格した場合に、前記アプリケーションの公開鍵及び自身の秘密鍵による署名を含むプライバシ証明書を生成する生成ステップと、
上位のプライバシ認証装置が存在する場合、前記生成したプライバシ証明書を、自身の公開鍵と共に当該上位のプライバシ認証装置へ送信する第１通信ステップと、を実行し、
前記階層化構造で下位のプライバシ認証装置が存在する上位のプライバシ認証装置は、
前記下位のプライバシ認証装置から受信したプライバシ証明書の署名を、当該プライバシ証明書と共に受信した公開鍵により検証する検証ステップと、
当該プライバシ証明書の内容が自身のプライバシポリシーに適合するか否かを審査し、当該審査に合格した場合、当該プライバシ証明書に前記受信した公開鍵及び自身の秘密鍵による署名を付加して更新する更新ステップと、
上位のプライバシ認証装置が存在する場合、更新したプライバシ証明書を、自身の公開鍵と共に当該上位のプライバシ認証装置へ送信する第２通信ステップと、を実行するプライバシ認証方法。

【請求項8】

アプリケーションからの要求に応じて、プライバシポリシーにより制限された地域間でデータにアクセスするためのプライバシ証明書を発行させるためのプライバシ認証プログラムであって、
地域の包含関係によって階層化されたプライバシポリシーそれぞれに対応して、プライバシ認証装置が複数の階層化構造として設けられ、
前記階層化構造における最下位のプライバシ認証装置に、
前記プライバシ証明書を要求する前記アプリケーションが自身のプライバシポリシーに適合するか否かを審査し、当該審査に合格した場合に、前記アプリケーションの公開鍵及び自身の秘密鍵による署名を含むプライバシ証明書を生成する生成ステップと、
上位のプライバシ認証装置が存在する場合、前記生成したプライバシ証明書を、自身の公開鍵と共に当該上位のプライバシ認証装置へ送信する第１通信ステップと、を実行させ、
前記階層化構造で下位のプライバシ認証装置が存在する上位のプライバシ認証装置に、
前記下位のプライバシ認証装置から受信したプライバシ証明書の署名を、当該プライバシ証明書と共に受信した公開鍵により検証する検証ステップと、
当該プライバシ証明書の内容が自身のプライバシポリシーに適合するか否かを審査し、当該審査に合格した場合、当該プライバシ証明書に前記受信した公開鍵及び自身の秘密鍵による署名を付加して更新する更新ステップと、
上位のプライバシ認証装置が存在する場合、更新したプライバシ証明書を、自身の公開鍵と共に当該上位のプライバシ認証装置へ送信する第２通信ステップと、を実行させるためのプライバシ認証プログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、プライバシポリシーを共有しない地域間でデータにアクセスするためのプライバシ認証システム、プライバシ認証方法及びプライバシ認証プログラムに関する。

【背景技術】

【0002】

従来、インターネットには、パソコン及びサーバなどの情報機器が接続されている。さらに、テレビ及びデジタルカメラなどのデジタル情報家電、並びに各種センサデバイスなどもインターネットに直接接続されるようになり、このような機器は、ＩｏＴ（Ｉｎｔｅｒｎｅｔ ｏｆ Ｔｈｉｎｇｓ）デバイスと呼ばれる。ＩｏＴデバイスから収集されるデータには、個人のプライバシに関わる機微なデータが含まれる場合がある。このため、これらのデータを利活用する際には、セキュリティ及びプライバシの両観点からアーキテクチャを設計することが求められる。

【0003】

また、あるアプリケーションがクロスボーダでパーソナルデータにアクセスする場合、これらのデータが保管されているシステムは、地域毎に定められたパーソナルデータのクロスボーダ提供に関わる規則に従ってデータを提供する必要がある。
このため、例えば非特許文献１及び２では、プライバシに関わる規則（プライバシポリシー）の第三者執行機関としてプライバシ認証局を各国に設置し、プライバシ認証局が発行するプライバシ証明書を用いてアプリケーションの正当性を確認する手法が提案されている。

【先行技術文献】

【非特許文献】

【0004】

【非特許文献1】披田野清良、清本晋作、村上陽亮，“越境データのプライバシ問題に配慮したｉＫａａＳアーキテクチャの提案，”ＣＳＳ２０１５．

【非特許文献2】Ｓｅｉｒａ Ｈｉｄａｎｏ， Ｓｈｉｎｓａｋｕ Ｋｉｙｏｍｏｔｏ， Ｙｏｓｕｋｅ Ｍｕｒａｋａｍｉ， Ｐａｎａｇｉｏｔｉｓ Ｖｌａｃｈｅａｓ， ａｎｄ Ｋｌａｕｓ Ｍｏｅｓｓｎｅｒ， “Ｄｅｓｉｇｎ ｏｆ ａ Ｓｅｃｕｒｉｔｙ Ｇａｔｅｗａｙ ｆｏｒ ｉＫａａＳ Ｐｌａｔｆｏｒｍ，” ＣｌｏｕｄＣｏｍｐ ２０１５．

【発明の概要】

【発明が解決しようとする課題】

【0005】

ところで、プライバシ認証局は、自国のアプリケーションが他国のシステムのパーソナルデータにアクセスする場合、自国の規則に基づいて、アプリケーションがアクセスしてもよい国の名前とデータの種類とをプライバシ証明書に記載し、アプリケーションに対して発行する。アクセス先となるシステムは、アプリケーションが持つプライバシ証明書を参照し、このアプリケーションがアプリケーション側の国の規則により、自身が保管するデータへのアクセスが許可されていることを確認する。

【0006】

しかしながら、プライバシポリシーは国単位のものだけでなく、例えばＥＵデータ保護指令のように、国よりも広い範囲に効力を及ぼすものがある。また、国よりも狭い都市単位のプライバシポリシーも策定される可能性がある。したがって、プライバシ認証局を各国に設置した場合、過不足が生じる可能性がある。

【0007】

本発明は、クロスボーダでのデータアクセスに際して、階層化された複数のプライバシポリシーへの適合を証明できるプライバシ認証システム、プライバシ認証方法及びプライバシ認証プログラムを提供することを目的とする。

【課題を解決するための手段】

【0008】

本発明に係るプライバシ認証システムは、アプリケーションからの要求に応じて、プライバシポリシーにより制限された地域間でデータにアクセスするためのプライバシ証明書を発行するプライバシ認証システムであって、地域の包含関係によって階層化されたプライバシポリシーそれぞれに対応して、プライバシ認証局が複数の階層化構造として設けられ、前記階層化構造における最下位のプライバシ認証局は、前記プライバシ証明書を要求する前記アプリケーションが自身のプライバシポリシーに適合するか否かを審査し、当該審査に合格した場合に、前記アプリケーションの公開鍵及び自身の秘密鍵による署名を含むプライバシ証明書を生成する生成部と、上位のプライバシ認証局が存在する場合、前記生成したプライバシ証明書を、自身の公開鍵と共に当該上位のプライバシ認証局へ送信する第１通信部と、を備え、前記階層化構造で下位のプライバシ認証局が存在する上位のプライバシ認証局は、前記下位のプライバシ認証局から受信したプライバシ証明書の署名を、当該プライバシ証明書と共に受信した公開鍵により検証する第１検証部と、当該プライバシ証明書の内容が自身のプライバシポリシーに適合するか否かを審査し、当該審査に合格した場合、当該プライバシ証明書に前記受信した公開鍵及び自身の秘密鍵による署名を付加して更新する第１更新部と、上位のプライバシ認証局が存在する場合、更新したプライバシ証明書を、自身の公開鍵と共に当該上位のプライバシ認証局へ送信する第２通信部と、を備える。

【0009】

前記階層化構造における最上位のプライバシ認証局は、前記生成部により生成されたプライバシ証明書、又は前記第１更新部により更新されたプライバシ証明書を、前記アプリケーションがアクセスしたいデータの存在する地域における最上位のプライバシ認証局へ、自身の公開鍵と共に送信し、送信先のプライバシ認証局から返信されたプライバシ証明書を、前記アプリケーション又は下位のプライバシ認証局へ返信する第３通信部と、他の最上位のプライバシ認証局から受信したプライバシ証明書の署名を、当該プライバシ証明書と共に受信した公開鍵により検証する第２検証部と、当該他の最上位のプライバシ認証局から受信したプライバシ証明書の内容が自身のプライバシポリシーに適合するか否かを審査し、当該審査に合格した場合、当該プライバシ証明書に前記受信した公開鍵及び自身の秘密鍵による署名を付加して更新する第２更新部と、更新したプライバシ証明書を、前記他の最上位のプライバシ認証局へ返信する第４通信部と、を備えてもよい。

【0010】

前記プライバシ認証システムは、前記階層化構造における最下位のプライバシ認証局の配下に、前記データの提供を制御するゲートウェイを備え、当該ゲートウェイは、自身の属する地域の最上位のプライバシ認証局の公開鍵を、前記階層化構造に従って受信し、前記アプリケーションから、アクセス要求と共に、当該アプリケーションに返信されたプライバシ証明書を受信してもよい。

【0011】

前記ゲートウェイは、前記アプリケーションから受信したプライバシ証明書、及び自身が記憶しているデータ提供ポリシーに基づいて、前記データの提供の可否を判定してもよい。

【0012】

前記プライバシ認証局は、前記階層化構造に従って、上位のプライバシ認証局から順に、前記データの種類に応じた前記データ提供ポリシーを構成し、前記ゲートウェイに提供してもよい。

【0013】

前記ゲートウェイは、前記アプリケーションから受信したプライバシ証明書に含まれる当該アプリケーションの公開鍵を用いて、データアクセスを識別するためのトークンを暗号化して前記アプリケーションへ送信し、前記アプリケーションの秘密鍵により復号された前記トークンと共にデータアクセス用のクエリを受信してもよい。

【0014】

本発明に係るプライバシ認証方法は、アプリケーションからの要求に応じて、プライバシポリシーにより制限された地域間でデータにアクセスするためのプライバシ証明書を発行するプライバシ認証方法であって、地域の包含関係によって階層化されたプライバシポリシーそれぞれに対応して、プライバシ認証局が複数の階層化構造として設けられ、前記階層化構造における最下位のプライバシ認証局は、前記プライバシ証明書を要求する前記アプリケーションが自身のプライバシポリシーに適合するか否かを審査し、当該審査に合格した場合に、前記アプリケーションの公開鍵及び自身の秘密鍵による署名を含むプライバシ証明書を生成する生成ステップと、上位のプライバシ認証局が存在する場合、前記生成したプライバシ証明書を、自身の公開鍵と共に当該上位のプライバシ認証局へ送信する第１通信ステップと、を実行し、前記階層化構造で下位のプライバシ認証局が存在する上位のプライバシ認証局は、前記下位のプライバシ認証局から受信したプライバシ証明書の署名を、当該プライバシ証明書と共に受信した公開鍵により検証する検証ステップと、当該プライバシ証明書の内容が自身のプライバシポリシーに適合するか否かを審査し、当該審査に合格した場合、当該プライバシ証明書に前記受信した公開鍵及び自身の秘密鍵による署名を付加して更新する更新ステップと、上位のプライバシ認証局が存在する場合、更新したプライバシ証明書を、自身の公開鍵と共に当該上位のプライバシ認証局へ送信する第２通信ステップと、を実行する。

【0015】

本発明に係るプライバシ認証プログラムは、アプリケーションからの要求に応じて、プライバシポリシーにより制限された地域間でデータにアクセスするためのプライバシ証明書を発行させるためのプライバシ認証プログラムであって、地域の包含関係によって階層化されたプライバシポリシーそれぞれに対応して、プライバシ認証局が複数の階層化構造として設けられ、前記階層化構造における最下位のプライバシ認証局に、前記プライバシ証明書を要求する前記アプリケーションが自身のプライバシポリシーに適合するか否かを審査し、当該審査に合格した場合に、前記アプリケーションの公開鍵及び自身の秘密鍵による署名を含むプライバシ証明書を生成する生成ステップと、上位のプライバシ認証局が存在する場合、前記生成したプライバシ証明書を、自身の公開鍵と共に当該上位のプライバシ認証局へ送信する第１通信ステップと、を実行させ、前記階層化構造で下位のプライバシ認証局が存在する上位のプライバシ認証局に、前記下位のプライバシ認証局から受信したプライバシ証明書の署名を、当該プライバシ証明書と共に受信した公開鍵により検証する検証ステップと、当該プライバシ証明書の内容が自身のプライバシポリシーに適合するか否かを審査し、当該審査に合格した場合、当該プライバシ証明書に前記受信した公開鍵及び自身の秘密鍵による署名を付加して更新する更新ステップと、上位のプライバシ認証局が存在する場合、更新したプライバシ証明書を、自身の公開鍵と共に当該上位のプライバシ認証局へ送信する第２通信ステップと、を実行させる。

【発明の効果】

【0016】

本発明によれば、クロスボーダでのデータアクセスに際して、階層化された複数のプライバシポリシーへの適合を証明できる。

【図面の簡単な説明】

【0017】

【図1】実施形態に係るプライバシ認証システムの構成を示す図である。

【図2】実施形態に係る最下位のプライバシ認証局の機能構成を示す図である。

【図3】実施形態に係る中間プライバシ認証局の機能構成を示す図である。

【図4】実施形態に係るルートプライバシ認証局の機能構成を示す図である。

【図5】実施形態に係るセキュリティゲートウェイの機能構成を示す図である。

【図6】実施形態に係るプライバシ証明書の発行手順を示すシーケンス図である。

【図7】実施形態に係るデータのアクセス手順を示すシーケンス図である。

【発明を実施するための形態】

【0018】

以下、本発明の実施形態の一例について説明する。
図１は、本実施形態に係るプライバシ認証システム１の構成を示す図である。

【0019】

プライバシ認証システム１は、プライバシ認証局（プライバシＣＡ）１０を階層化し、階層化されたプライバシ認証局１０間で連携してプライバシ証明書を発行する。これにより、プライバシ認証システム１は、国よりも広い範囲の規則、及び国よりも狭い範囲の規則が混在する場合における、クロスボーダのアプリケーションの正当性確認の機能を提供する。

【0020】

プライバシ認証局１０（最下位のプライバシ認証局１１、中間プライバシ認証局１２、ルートプライバシ認証局１３）は、プライバシにポリシー毎に階層的に設置される。

【0021】

プライバシ認証局１１は、階層化構造の最下位に位置し、国ｂ又は都市ｉなどの最も有効範囲の狭いポリシーを管轄し、アプリケーションからプライバシ証明書の発行依頼を受け付ける。
また、プライバシ認証局１１は、プライベートデータを管理しているシステムを管轄し、システムからのデータの提供を制御するセキュリティゲートウェイ２０がプライバシ認証局１１の配下に設置される。
なお、下位の存在しないルートプライバシ認証局１３（例えば、地域Ｂ及びＣ）は、最下位のプライバシ認証局１１の機能を併せ持つ。

【0022】

中間プライバシ認証局１２は、ルートプライバシ認証局１３よりも狭く、最下位のプライバシ認証局１１よりも広い範囲に有効なポリシーを管轄する。地域Ａの国ａでは中間プライバシ認証局１２は１階層のみ設けられているが、さらに多段に設置される場合もある。

【0023】

ルートプライバシ認証局１３は、パーソナルデータのクロスボーダ提供に関わる最も有効範囲の広いポリシーを管轄する。例えば、国よりも広い地域単位のポリシーがある場合には、地域Ａ、Ｃのように地域単位のポリシーを管轄するプライバシ認証局１０がルートプライバシ認証局１３となる。また、地域単位のポリシーがなく、国単位のポリシーがある場合には、地域Ｂのように国単位のポリシーを管轄するプライバシ認証局１０がルートプライバシ認証局１３となる。

【0024】

あるアプリケーションが他地域のシステムにアクセスする場合、このアプリケーションは、自地域の中で最も有効範囲の狭いポリシーを管轄する最下位のプライバシ認証局１１又はルートプライバシ認証局１３に、プライバシ証明書の発行を依頼する。このとき、アプリケーションは、アクセスしたいシステムが設置されている地域の名前とデータの種類を明示する。

【0025】

最下位のプライバシ認証局１１又はルートプライバシ認証局１３は、自身が管轄するポリシーに基づき、明示された地域のデータにアクセスしてよければ、プライバシ証明書を作成する。作成されたプライバシ証明書は、２番目に有効範囲の狭いポリシーを管轄する中間プライバシ認証局１２又はルートプライバシ認証局１３に送られる。

【0026】

２番目に有効範囲の狭いポリシーを管轄する中間プライバシ認証局１２又はルートプライバシ認証局１３は、自身が管轄するポリシーと、受け取ったプライバシ証明書の内容とを照合する。プライバシ証明書の内容がポリシーに適合していれば、プライバシ証明書は、３番目に有効範囲の狭いポリシーを管轄する中間プライバシ認証局１２又はルートプライバシ認証局１３に送られる。
この処理はプライバシ証明書が最も広い範囲のポリシーを管轄するルートプライバシ認証局１３に渡るまで繰り返される。これにより、複数のポリシーが階層的に存在する場合も、データを提供するシステムは、プライバシ証明書を用いて、階層化された複数のポリシーに従って過不足なくアプリケーションの正当性の確認を行える。

【0027】

また、プライバシ証明書を作成又は確認したプライバシ認証局１１又は中間プライバシ認証局１２は、上位の中間プライバシ認証局１２又はルートプライバシ認証局１３にプライバシ証明書を送る際に、自身の秘密鍵を用いて署名を付加し、署名入りのプライバシ証明書と自身の公開鍵とをセットにして渡す。これにより、パーソナルデータを管理しているシステムは、アプリケーションからプライバシ証明書を受け取った際に、アプリケーションがプライバシ証明書の発行を依頼したプライバシ認証局１１の公開鍵を知ることなくプライバシ証明書の正当性を確認できる。

【0028】

アプリケーション側の最も有効範囲の広いポリシーを管轄する最上位のルートプライバシ認証局１３は、プライバシ証明書をアプリケーションに発行する前に、パーソナルデータを管理しているシステム側の最も有効範囲の広いポリシーを管轄するルートプライバシ認証局１３にプライバシ証明書を送る。
システム側のルートプライバシ認証局１３は、自身が管轄するポリシーに基づき、受信したプライバシ証明書の内容を確認する。これにより、パーソナルデータを管理しているシステムは、アプリケーションから受け取ったプライバシ証明書だけからではなく、アプリケーション側のポリシー及びシステム側のポリシーの両方の観点から、自身が保管するデータをアプリケーションに提供してよいか否かを確認できる。

【0029】

アプリケーション側のルートプライバシ認証局１３は、システム側のルートプライバシ認証局１３にプライバシ証明書を送る際に、自身の公開鍵を提示する。プライバシ証明書を受け取ったシステム側のルートプライバシ認証局１３は、アプリケーション側のルートプライバシ認証局１３の公開鍵をプライバシ証明書に追記し、自身の秘密鍵を用いて署名を付加する。
これにより、パーソナルデータを提供するシステムによるプライバシ証明書の署名の確認は、自身が属する地域のルートプライバシ認証局１３の公開鍵のみで行えるため、各ルートプライバシ認証局１３は、同一地域に設置された管理下のシステムに対してのみ公開鍵を配布すればよく、鍵を更新した際の公開鍵の再配布に関わるコストを大幅に削減できる。

【0030】

図２は、本実施形態に係る階層化構造における最下位のプライバシ認証局１１の機能構成を示す図である。
プライバシ認証局１１は、生成部１１１と、第１通信部１１２とを備える。

【0031】

生成部１１１は、アプリケーションから他地域に設置されたシステムのパーソナルデータにアクセスしたいとの依頼、すなわちプライバシ証明書の発行要求を受け、このアプリケーションが自身の管轄するプライバシポリシーに適合するか否かを審査する。生成部１１１は、この審査に合格した場合に、アプリケーションの公開鍵及び自身の秘密鍵による署名を含むプライバシ証明書を生成する。

【0032】

プライバシ証明書には、以下の情報が記載される。
・アプリケーションのＩＰアドレス
・アプリケーションが提供するサービスの種類
・システムが保管されている地域の名前
・アプリケーションがアクセスできるデータの種類
・プライバシ証明書の有効期限
・アプリケーションの公開鍵
・プライバシ認証局１１の秘密鍵で作成された署名

【0033】

第１通信部１１２は、生成部１１１により生成されたプライバシ証明書を、自身の公開鍵と共に、上位の中間プライバシ認証局１２又はルートプライバシ認証局１３へ送信する。
また、第１通信部１１２は、上位の中間プライバシ認証局１２又はルートプライバシ認証局１３から返信されたプライバシ証明書を、要求元のアプリケーションへ返信する。

【0034】

また、プライバシ認証局１１は、セキュリティゲートウェイ２０からプライバシ認証システム１に対する登録要求があった場合、このセキュリティゲートウェイ２０を自身の管轄対象リストに加え、ルートプライバシ認証局１３から配布された公開鍵を送信する。

【0035】

図３は、本実施形態に係る階層化構造における中間プライバシ認証局１２の機能構成を示す図である。
中間プライバシ認証局１２は、第１検証部１２１と、第１更新部１２２と、第２通信部１２３とを備える。

【0036】

第１検証部１２１は、下位のプライバシ認証局１１又は中間プライバシ認証局１２から受信したプライバシ証明書の署名を、このプライバシ証明書と共に受信した公開鍵により検証する。

【0037】

第１更新部１２２は、下位から受信したプライバシ証明書の内容を自身のプライバシポリシーと照合し、適合するか否かを審査する。第１検証部１２１による検証に合格し、この審査にも合格した場合、第１更新部１２２は、プライバシ証明書に、下位から受信した公開鍵及び自身の秘密鍵による署名を付加して更新する。

【0038】

第２通信部は、第１更新部１２２により更新されたプライバシ証明書を、自身の公開鍵と共に、上位の中間プライバシ認証局１２又はルートプライバシ認証局１３へ送信する。
また、第２通信部は、上位の中間プライバシ認証局１２又はルートプライバシ認証局１３から返信されたプライバシ証明書を、下位のプライバシ認証局１１又は中間プライバシ認証局１２へ返信する。

【0039】

また、中間プライバシ認証局１２は、ルートプライバシ認証局１３から配布された公開鍵を、下位のプライバシ認証局１１又は中間プライバシ認証局１２へ送信する。

【0040】

図４は、本実施形態に係る階層化構造におけるルートプライバシ認証局１３の機能構成を示す図である。
ルートプライバシ認証局１３は、第３通信部１３１と、第２検証部１３２と、第２更新部１３３と、第４通信部１３４とを備える。

【0041】

また、下位にプライバシ認証局１１又は中間プライバシ認証局１２が存在する場合、ルートプライバシ認証局１３は、中間プライバシ認証局１２と同様の第１検証部１２１及び第１更新部１２２を備え、下位から受信し検証及び審査に合格したプライバシ証明書を更新して、第３通信部１３１に提供する（Ａ）。
一方、階層化構造における最下位に位置し、下位のプライバシ認証局１１又は中間プライバシ認証局１２が存在しないルートプライバシ認証局１３（例えば、図１の地域Ｂ又はＣ）は、プライバシ認証局１１と同様の生成部１１１を備え、プライバシ証明書を生成して、第３通信部１３１に提供する（Ｂ）。

【0042】

第３通信部１３１は、生成部１１１により生成されたプライバシ証明書、又は下位のプライバシ認証局１０から受信し、第１更新部１２２により更新されたプライバシ証明書を、アプリケーションがアクセスしたいデータの存在する地域におけるルートプライバシ認証局１３へ、自身の公開鍵と共に送信する。
また、送信先のルートプライバシ認証局１３から返信されたプライバシ証明書を、アプリケーション、下位のプライバシ認証局１１又は中間プライバシ認証局１２へ返信する。

【0043】

第２検証部１３２は、他の地域のルートプライバシ認証局１３から受信したプライバシ証明書の署名を、このプライバシ証明書と共に受信した公開鍵により検証する。

【0044】

第２更新部１３３は、他の地域のルートプライバシ認証局１３から受信したプライバシ証明書の内容を自身のプライバシポリシーと照合し、プリケーションに対してデータを提供してよいか否かを審査する。第２検証部１３２による検証に合格し、この審査にも合格した場合、第２更新部１３３は、プライバシ証明書に、他の地域のルートプライバシ認証局１３から受信した公開鍵及び自身の秘密鍵による署名を付加して更新する。

【0045】

第４通信部１３４は、第２更新部１３３により更新されたプライバシ証明書を、送信元である他のルートプライバシ認証局１３へ返信する。

【0046】

また、ルートプライバシ認証局１３は、下位のプライバシ認証局１１又は中間プライバシ認証局１２に自身の公開鍵を配布する。

【0047】

図５は、本実施形態に係るセキュリティゲートウェイ２０の機能構成を示す図である。
セキュリティゲートウェイ２０は、パーソナルデータを保管するシステムの入り口に設置され、アプリケーションがシステムのデータにアクセスする際は、必ずセキュリティゲートウェイ２０を経由する。

【0048】

セキュリティゲートウェイ２０は、鍵管理部２１と、認証部２２と、データ提供部２３とを備える。
鍵管理部２１は、自身の属する地域のルートプライバシ認証局１３の公開鍵を、プライバシ認証局１０の階層化構造を順に辿って受信し保有する。

【0049】

認証部２２は、アプリケーションから、プライベートデータへのアクセス要求と共に、アプリケーションに発行されたプライバシ証明書を受信する。
すなわち、アプリケーションは、あるシステムのデータへアクセスする際は、事前にプライバシ認証局１０からプライバシ証明書を取得する。そして、アプリケーションは、アクセスしたいデータが格納されているシステムのセキュリティゲートウェイ２０に取得したプライバシ証明書を明示し、セキュリティゲートウェイ２０がプライバシ証明書を用いてアプリケーションの正当性を確認できた場合にのみ、データにアクセスできる。

【0050】

また、認証部２２は、アプリケーションから受信したプライバシ証明書、及び自身が記憶しているデータ提供ポリシーに基づいて、データの提供の可否を判定する。
このデータ提供ポリシーは、セキュリティゲートウェイ２０に予め記憶されていてもよい。また、データ提供ポリシーは、階層化構造に従って、ルートプライバシ認証局１３から順に、アプリケーションの種類及びデータの種類などに応じて構成され、セキュリティゲートウェイ２０に提供されてもよい。

【0051】

データ提供部２３は、受信したプライバシ証明書に含まれるアプリケーションの公開鍵を用いて、データアクセスを識別するためのトークンを暗号化してアプリケーションへ送信する。そして、データ提供部２３は、アプリケーションの秘密鍵により復号されたトークンと共にデータアクセス用のクエリを受信することで、認証されたアプリケーションに対してデータを提供する。

【0052】

図６は、本実施形態に係るプライバシ証明書の発行手順を示すシーケンス図である。
この例では、プライバシ認証局１０が３層以上の階層化構造を有し、最下位のプライバシ認証局１１、１つ以上の中間プライバシ認証局１２、及びルートプライバシ認証局１３が存在する場合を説明する。

【0053】

ステップＳ１において、アプリケーションは、自地域の最下位のプライバシ認証局１１にプライバシ証明書の発行を要求する。このとき、アプリケーションは、プライバシ認証局１１に対して、少なくともアクセスしたいシステムがある地域の名前とデータの種類とを明示する。

【0054】

ステップＳ２において、プライバシ認証局１１は、アプリケーションを審査した後、プライバシ証明書を作成し、自身の秘密鍵を用いて署名を付加する。

【0055】

ステップＳ３において、プライバシ認証局１１は、プライバシ証明書と自身の公開鍵とを、中間プライバシ認証局１２に送る。

【0056】

ステップＳ４において、中間プライバシ認証局１２は、プライバシ証明書の内容を自身のポリシーに照らして確認し、問題がなければ、下位のプライバシ認証局１１又は中間プライバシ認証局１２の名前及び公開鍵のペアを追記し、自身の秘密鍵を用いて署名を付加する。

【0057】

ステップＳ５において、中間プライバシ認証局１２は、プライバシ証明書と自身の公開鍵とを、上位の中間プライバシ認証局又はルートプライバシ認証局１３に送る。
ステップＳ４及びＳ５は、プライバシ証明書がアプリケーション側のルートプライバシ認証局１３に渡るまで繰り返される。

【0058】

ステップＳ６において、アプリケーション側のルートプライバシ認証局１３は、プライバシ証明書の内容を自身のポリシーに照らして確認し、問題がなければ、下位の中間プライバシ認証局１２の名前及び公開鍵のペアを追記し、自身の秘密鍵を用いて署名を付加する。

【0059】

ステップＳ７において、アプリケーション側のルートプライバシ認証局１３は、プライバシ証明書に記載されているシステムが保管されている地域の名前を参照し、システム側のルートプライバシ認証局１３にプライバシ証明書と自身の公開鍵とを送る。

【0060】

ステップＳ８において、システム側のルートプライバシ認証局１３は、プライバシ証明書の内容を自身のポリシーに照らして確認し、問題なければ、アプリケーション側のルートプライバシ認証局１３の名前と公開鍵とのペアを追記し、自身の秘密鍵を用いて署名を付ける。

【0061】

ステップＳ９において、システム側のルートプライバシ認証局１３は、アプリケーション側のルートプライバシ認証局１３、中間プライバシ認証局１２、アプリケーションがプライバシ証明書の発行を要求した最下位のプライバシ認証局１１を経由して、プライバシ証明書をアプリケーションに返す。

【0062】

ステップＳ１０において、システム側のルートプライバシ認証局１３は、同一地域における中間プライバシ認証局１２及び最下位のプライバシ認証局１１を経由して、セキュリティゲートウェイ２０に自身の公開鍵を配布する。このとき、アプリケーションの内容が共に伝えられてもよい。

【0063】

図７は、本実施形態に係るアプリケーションによる他地域のデータへのアクセス手順を示すシーケンス図である。
なお、アプリケーションは、プライバシ認証局１０から事前にプライバシ証明書を取得しているものとする。

【0064】

ステップＳ１１において、アプリケーションは、アクセスしたいデータが格納されているシステムのセキュリティゲートウェイ２０にプライバシ証明書を送る。

【0065】

ステップＳ１２において、セキュリティゲートウェイ２０は、事前に配布されたシステム側のルートプライバシ認証局１３の公開鍵を用いて、プライバシ証明書に記載されているルートプライバシ認証局１３の署名を確認する。

【0066】

ステップＳ１３において、セキュリティゲートウェイ２０は、プライバシ証明書に記載されているアプリケーション側のルートプライバシ認証局１３の公開鍵を用いて、このルートプライバシ認証局１３の署名を確認する。

【0067】

ステップＳ１４において、セキュリティゲートウェイ２０は、プライバシ証明書に記載されているアプリケーション側のルートプライバシ認証局１３の直下の中間プライバシ認証局１２の公開鍵を用いて、この中間プライバシ認証局１２の署名を確認する。

【0068】

ステップＳ１５において、セキュリティゲートウェイ２０は、プライバシ証明書に記載されている、署名を確認済みの中間プライバシ認証局１２の直下のプライバシ認証局１１又は中間プライバシ認証局１２の公開鍵を用いて、対応する署名を確認する。
ステップＳ１５は、最下位のプライバシ認証局１１の署名を確認するまで繰り返される。

【0069】

ステップＳ１６において、セキュリティゲートウェイ２０は、トークンを生成し、プライバシ証明書に記載されているアプリケーションの公開鍵を用いて、このトークンを暗号化する。

【0070】

ステップＳ１７において、セキュリティゲートウェイ２０は、暗号化されたトークンをアプリケーションに返す。

【0071】

ステップＳ１８において、アプリケーションは、自身の秘密鍵を用いて、暗号化されたトークンを復号する。

【0072】

ステップＳ１９において、アプリケーションは、復号したトークンと共にクエリをセキュリティゲートウェイ２０に送る。

【0073】

ステップＳ２０において、セキュリティゲートウェイ２０は、受信したトークンの真正性を確認した後に、データをアプリケーションに提供する。

【0074】

本実施形態によれば、プライバシ認証システム１は、階層化されたプライバシ認証局１０において、最下位のプライバシ認証局１１で生成されたプライバシ証明書を上位の各階層で順に確認する。これにより、プライバシ認証システム１は、クロスボーダでのデータアクセスに際して、階層化された複数のプライバシポリシーへの適合を証明できる。
したがって、アプリケーション側のプライバシポリシーが地域、国、都市などで階層的に定義された場合においても、アプリケーションは、単一のポリシーだけでなく、関係する全てのポリシーに従ってパーソナルデータにクロスボーダでアクセスできる。

【0075】

また、プライバシ認証システム１は、データを保管するシステム側のルートプライバシ認証局１３において、アプリケーション側のルートプライバシ認証局１３から受信したプライバシ証明書を確認し署名を行う。したがって、プライバシ認証システム１は、プライバシ証明書だけでアプリケーション側とシステム側との両方のポリシーに従ったデータ提供が可能となる。

【0076】

さらに、プライバシ認証システム１は、システム側のルートプライバシ認証局１３がプライバシ証明書に署名し、検証用の公開鍵を配下のセキュリティゲートウェイへ配布する。したがって、プライバシ証明書の真正性の確認に用いる公開鍵の配布が自地域内で完結し、アプリケーション側の各プライバシ認証局１０は、データの提供元となる異なる地域のセキュリティゲートウェイを管理下に置く必要がないため、鍵の配布に関わるコストの削減が期待できる。
なお、公開鍵の配布タイミングは、プライバシ証明書の署名時には限られず、事前に、例えば鍵を変更した際などでもよい。

【0077】

また、プライバシ認証システム１において、セキュリティゲートウェイ２０は、自身が記憶しているデータ提供ポリシーに基づいて、データ提供の可否を判定するので、プライバシ証明書に加えて、プライバシ認証局１０のみでは判断できないデータ提供に関する詳細な条件に従って、より適切にデータアクセスを制御できる。

【0078】

さらに、プライバシ認証システム１は、データの種類に応じて、ルートプライバシ認証局１３のポリシーを下位のポリシーで順に補強していくことにより、セキュリティゲートウェイ２０のデータ提供ポリシーを動的に構成できる。

【0079】

プライバシ認証システム１により発行されたプライバシ証明証は、各階層の署名を検証するための公開鍵の他、アプリケーションの公開鍵も含み、セキュリティゲートウェイ２０は、このアプリケーションの公開鍵を用いてトークンを暗号化して提供する。これにより、セキュリティゲートウェイ２０は、アプリケーションの秘密鍵により復号されたトークンと共にデータアクセス用のクエリを受信することにより、認証したアプリケーションからのクエリを確実に識別し、セキュリティ及びプライバシの両観点から安全にデータを提供できる。

【0080】

以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本実施形態に記載されたものに限定されるものではない。

【0081】

プライバシ認証システム１によるプライバシ認証方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置（コンピュータ）にインストールされる。また、これらのプログラムは、ＣＤ−ＲＯＭのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したＷｅｂサービスとしてユーザのコンピュータに提供されてもよい。

【符号の説明】

【0082】

１ プライバシ認証システム
１０ プライバシ認証局
１１ プライバシ認証局
１２ 中間プライバシ認証局
１３ ルートプライバシ認証局
２０ セキュリティゲートウェイ
２１ 鍵管理部
２２ 認証部
２３ データ提供部
１１１ 生成部
１１２ 第１通信部
１２１ 第１検証部
１２２ 第１更新部
１２３ 第２通信部
１３１ 第３通信部
１３２ 第２検証部
１３３ 第２更新部
１３４ 第４通信部

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】