特許第6706965号(P6706965)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 株式会社KDDI総合研究所

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社KDDI研究所の特許一覧 ▶ KDDI株式会社の特許一覧

特許6706965通信システム、端末装置、プライバシー保護装置、プライバシー保護方法、及びプログラム
<>
  • 特許6706965-通信システム、端末装置、プライバシー保護装置、プライバシー保護方法、及びプログラム 図000002
  • 特許6706965-通信システム、端末装置、プライバシー保護装置、プライバシー保護方法、及びプログラム 図000003
  • 特許6706965-通信システム、端末装置、プライバシー保護装置、プライバシー保護方法、及びプログラム 図000004
  • 特許6706965-通信システム、端末装置、プライバシー保護装置、プライバシー保護方法、及びプログラム 図000005
  • 特許6706965-通信システム、端末装置、プライバシー保護装置、プライバシー保護方法、及びプログラム 図000006
  • 特許6706965-通信システム、端末装置、プライバシー保護装置、プライバシー保護方法、及びプログラム 図000007
  • 特許6706965-通信システム、端末装置、プライバシー保護装置、プライバシー保護方法、及びプログラム 図000008
  • 特許6706965-通信システム、端末装置、プライバシー保護装置、プライバシー保護方法、及びプログラム 図000009
  • 特許6706965-通信システム、端末装置、プライバシー保護装置、プライバシー保護方法、及びプログラム 図000010
  • 特許6706965-通信システム、端末装置、プライバシー保護装置、プライバシー保護方法、及びプログラム 図000011
  • 特許6706965-通信システム、端末装置、プライバシー保護装置、プライバシー保護方法、及びプログラム 図000012
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6706965
(24)【登録日】2020年5月21日
(45)【発行日】2020年6月10日
(54)【発明の名称】通信システム、端末装置、プライバシー保護装置、プライバシー保護方法、及びプログラム
(51)【国際特許分類】
   G06F 21/62 20130101AFI20200601BHJP
   G08G 1/01 20060101ALI20200601BHJP
   G08G 1/13 20060101ALI20200601BHJP
   H04W 4/12 20090101ALI20200601BHJP
   H04W 12/02 20090101ALI20200601BHJP
【FI】
   G06F21/62 345
   G08G1/01 A
   G08G1/13
   H04W4/12
   H04W12/02
【請求項の数】17
【全頁数】27
(21)【出願番号】特願2016-87390(P2016-87390)
(22)【出願日】2016年4月25日
(65)【公開番号】特開2017-151942(P2017-151942A)
(43)【公開日】2017年8月31日
【審査請求日】2018年8月29日
(31)【優先権主張番号】特願2016-33558(P2016-33558)
(32)【優先日】2016年2月24日
(33)【優先権主張国】JP
(73)【特許権者】
【識別番号】599108264
【氏名又は名称】株式会社KDDI総合研究所
(73)【特許権者】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(74)【代理人】
【識別番号】100106909
【弁理士】
【氏名又は名称】棚井 澄雄
(74)【代理人】
【識別番号】100064908
【弁理士】
【氏名又は名称】志賀 正武
(74)【代理人】
【識別番号】100146835
【弁理士】
【氏名又は名称】佐伯 義文
(72)【発明者】
【氏名】平林 立彦
(72)【発明者】
【氏名】清本 晋作
【審査官】 岸野 徹
(56)【参考文献】
【文献】 特開2015−201097(JP,A)
【文献】 特開2011−204055(JP,A)
【文献】 特開2003−132160(JP,A)
【文献】 特開2007−094701(JP,A)
【文献】 特開2007−219636(JP,A)
【文献】 特開2003−284124(JP,A)
【文献】 特開2014−211607(JP,A)
【文献】 米国特許出願公開第2012/0192247(US,A1)
【文献】 特開2015−158852(JP,A)
【文献】 特開2007−080041(JP,A)
【文献】 中西 健一,粒度の動的変更による位置匿名性についての考察,情報処理学会論文誌 第46巻 第9号,日本,社団法人情報処理学会,2005年 9月15日,第46巻,pp.2260-2268
【文献】 橋田 浩一,個人データの本人管理に基づく自律分散協調ヘルスケア,第35回医療情報学連合大会論文集 (第16回日本医療情報学会学術大会) 医療情報学 第35巻 Suppl.,2015年11月 1日,pp.118-120
【文献】 堀越 功,スマホ、ビッグデータで揺れるプライバシー保護,日経コミュニケーション 第578号,日本,日経BP社,2012年 3月 1日,pp.20-33
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/62
G08G 1/01
G08G 1/13
H04W 4/12
H04W 12/02
(57)【特許請求の範囲】
【請求項1】
端末装置と、該端末装置が送信する情報を受信するプライバシー保護装置とを備える通信システムであって、
前記端末装置は、
情報を生成、或いは収集する制御部と、
該制御部によって生成、或いは収集された情報のうち、送信することが、前記プライバシー保護装置へ情報を送信する前記端末装置の利用者によって許可された情報を該プライバシー保護装置へ送信する送信部と
を備え、
前記プライバシー保護装置は、
前記端末装置によって生成、或いは収集される複数の情報から、提供先が要求する情報の組み合わせを抽出する情報抽出部と、
該情報抽出部によって抽出された情報の組み合わせがセンシティブ情報に該当するか否かを判定する情報判定部と、
該情報判定部によってセンシティブ情報に該当すると判定された情報の組み合わせについて、前記提供先へ送信するか否かを判定する転送判定部と、
前記転送判定部によって前記提供先へ送信すると判定された情報の組み合わせを前記提供先へ送信する送信部と
を備える、通信システム。
【請求項2】
前記プライバシー保護装置は、
前記転送判定部によって前記提供先へ送信すると判定された情報の組み合わせについて、該情報の組み合わせの粒度を変更する情報変更部
を備え、
前記送信部は、前記情報変更部によって情報の粒度が変更された情報の組み合わせを前記提供先へ送信する、請求項1に記載の通信システム。
【請求項3】
前記プライバシー保護装置は、
提供先へ送信する情報の保護のレベルを記憶する記憶部
を備え、
前記情報変更部は、前記記憶部に記憶された情報の保護のレベルに応じて、前記情報抽出部によって抽出された前記情報の組み合わせの粒度を変更する、請求項2に記載の通信システム。
【請求項4】
前記情報変更部は、所定の事象が発生しない場合に、前記情報の組み合わせの粒度を変更する、請求項2又は請求項3に記載の通信システム。
【請求項5】
前記情報変更部は、前記情報判定部によってセンシティブ情報に該当すると判定された前記情報の組み合わせの解像度、又は精度を変更する、請求項2から請求項4のいずれか1項に記載の通信システム。
【請求項6】
端末装置を備える通信システムであって、
前記端末装置は、
生成、或いは収集した情報を取得する取得部と、
前記取得部によって取得した情報から、提供先が要求する情報の組み合わせを抽出する情報抽出部と、
該情報抽出部によって抽出された情報の組み合わせがセンシティブ情報に該当するか否かを判定する情報判定部と、
該情報判定部によってセンシティブ情報に該当すると判定された情報の組み合わせについて、前記提供先へ送信するか否かを判定する転送判定部と、
前記転送判定部によって前記提供先へ送信すると判定された情報の組み合わせを前記提供先へ送信する送信部と
を備える、通信システム。
【請求項7】
前記端末装置は、
前記転送判定部によって前記提供先へ送信すると判定された情報の組み合わせについて、該情報の組み合わせの粒度を変更する情報変更部
を備え、
前記送信部は、前記情報変更部によって情報の粒度が変更された情報の組み合わせを前記提供先へ送信する、請求項6に記載の通信システム。
【請求項8】
前記端末装置は、
提供先へ送信する情報の保護のレベルを記憶する記憶部
を備え、
前記情報変更部は、前記記憶部に記憶された情報の保護のレベルに応じて、前記情報抽出部によって抽出された前記情報の組み合わせの粒度を変更する、請求項7に記載の通信システム。
【請求項9】
前記情報変更部は、所定の事象が発生しない場合に、前記情報の組み合わせの粒度を変更する、請求項7又は請求項8に記載の通信システム。
【請求項10】
前記情報変更部は、前記情報判定部によってセンシティブ情報に該当すると判定された前記情報の組み合わせの解像度、又は精度を変更する、請求項7から請求項9のいずれか1項に記載の通信システム。
【請求項11】
端末装置によって生成、或いは収集される複数の情報から、提供先が要求する情報を抽出する情報抽出部と、
該情報抽出部によって抽出された情報の組み合わせがセンシティブ情報に該当するか否かを判定する情報判定部と、
該情報判定部によってセンシティブ情報に該当すると判定された情報の組み合わせについて、前記提供先へ送信するか否かを判定する転送判定部と、
前記転送判定部によって前記提供先へ送信すると判定された情報の組み合わせを前記提供先へ送信する送信部と
を備える、プライバシー保護装置。
【請求項12】
生成、或いは収集した情報を取得する取得部と、
前記取得部によって取得した情報から、提供先が要求する情報の組み合わせを抽出する情報抽出部と、
該情報抽出部によって抽出された情報の組み合わせがセンシティブ情報に該当するか否かを判定する情報判定部と、
該情報判定部によってセンシティブ情報に該当すると判定された情報の組み合わせについて、前記提供先へ送信するか否かを判定する転送判定部と、
前記転送判定部によって前記提供先へ送信すると判定された情報の組み合わせを前記提供先へ送信する送信部と
を備える、端末装置。
【請求項13】
端末装置は、
情報を生成、或いは収集するステップと、
該生成、或いは収集された情報のうち、送信することが、プライバシー保護装置へ情報を送信する前記端末装置の利用者によって許可された情報を該プライバシー保護装置へ送信するステップと
を実行し、
前記プライバシー保護装置は、
前記端末装置によって生成、或いは収集される複数の情報から、提供先が要求する情報の組み合わせを抽出するステップと、
該抽出するステップで抽出された前記情報の組み合わせがセンシティブ情報に該当するか否かを判定するステップと、
該判定するステップでセンシティブ情報に該当すると判定された情報の組み合わせについて、前記提供先へ送信するか否かを判定するステップと、
前記提供先へ送信すると判定された情報の組み合わせを前記提供先へ送信するステップと
を実行する、プライバシー保護方法。
【請求項14】
端末装置によって生成、或いは収集される複数の情報から、提供先が要求する情報の組み合わせを抽出するステップと、
該抽出された前記情報の組み合わせがセンシティブ情報に該当するか否か判定するステップと、
該センシティブ情報に該当すると判定された情報の組み合わせについて、提供先へ送信するか否かを判定するステップと、
前記提供先へ送信すると判定された情報の組み合わせを前記提供先へ送信するステップと
を有する、プライバシー保護装置によって実行されるプライバシー保護方法。
【請求項15】
生成、或いは収集した情報を取得するステップと、
前記取得するステップによって取得した情報から、提供先が要求する情報の組み合わせを抽出するステップと、
該抽出するステップによって抽出された情報の組み合わせがセンシティブ情報に該当するか否かを判定するステップと、
該判定するステップによってセンシティブ情報に該当すると判定された情報の組み合わせについて、前記提供先へ送信するか否かを判定するステップと、
前記判定するステップによって前記提供先へ送信すると判定された情報の組み合わせを前記提供先へ送信するステップと
を有する、端末装置によって実行されるプライバシー保護方法。
【請求項16】
プライバシー保護装置のコンピュータに、
端末装置によって送信される複数の情報から、提供先が要求する情報の組み合わせを抽出するステップと、
該抽出された前記情報の組み合わせがセンシティブ情報に該当するか否か判定するステップと、
センシティブ情報に該当すると判定された情報の組み合わせについて、前記提供先へ送信するか否かを判定するステップと、
前記提供先へ送信すると判定された情報の組み合わせを前記提供先へ送信するステップと
を実行させる、プログラム。
【請求項17】
端末装置のコンピュータに、
生成、或いは収集した情報を取得するステップと、
前記取得するステップによって取得した情報から、提供先が要求する情報の組み合わせを抽出するステップと、
該抽出するステップによって抽出された情報の組み合わせがセンシティブ情報に該当するか否かを判定するステップと、
該判定するステップによってセンシティブ情報に該当すると判定された情報の組み合わせについて、前記提供先へ送信するか否かを判定するステップと、
前記判定するステップによって前記提供先へ送信すると判定された情報の組み合わせを前記提供先へ送信するステップと
を実行させる、プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、通信システム、端末装置、プライバシー保護装置、プライバシー保護方法、及びプログラムに関する。
【背景技術】
【0002】
ソーシャルネットワーキングサービス(social networking service:SNS)とは、インターネット上の交流を通して社会的ネットワーク(ソーシャルネットワーク)を構築するサービスのことである。ソーシャルネットワークの機能として、送出された個人情報の内容を監視し、必要に応じて個人情報を修正して外部へ提供する技術が知られている。
【0003】
ソーシャルネットワークに関して、ウェブサービスにパーソナルデータを提供する仕組みに関する規格が知られている(例えば、非特許文献1参照)。
P3P(Platform for Privacy Preference)にしたがって利用者によって設定される該利用者の意向に基づいて、これに違反するサービスが利用されようとした際に警告を発する技術が知られている(例えば、非特許文献2参照)。
【先行技術文献】
【非特許文献】
【0004】
【非特許文献1】W3C, “The platform for privacy preferences 1.0 (P3P1.0) specification”, 2000.
【非特許文献2】Lorrie Faith Cranor, et al. “Use of a P3P User Agent by Early Adopters”, In Proceedings of the 2002 ACM workshop on Privacy in the Electronic Society, WPES’02, pp.1−10, 2002.
【発明の概要】
【発明が解決しようとする課題】
【0005】
他人に知られたくない情報は、情報の提供先や、情報の種類によって異なる。しかし、情報の種類が数百種類にも及ぶ場合もあり、利用者が情報の提供先や情報の種類毎に提供してよいか否かを判断するとともに提供してもよい粒度等に情報を修正することは、利用者にかなりの労力を強いることになるため、実際には、提供先毎に情報を送信するか否かが設定されているに過ぎない。情報を送信しないように設定されている提供先であっても、情報の種類や状況によっては送信してもよい場合があるが、現状では送信されないため、利用者は、情報を提供することによって得られるサービスが制限されている。
【0006】
さらに、他人に知られたくない情報(以下、「センシティブ情報」と呼ぶ。)は、利用者の価値観や機微性によっても異なることが想定されるが、情報を提供するか否かを判定する際に利用者の価値観や機微性は考慮されていない。
本発明は、上記問題を解決すべくなされたもので、その目的は、提供する情報を保護するとともに、情報を提供することによって得られるサービスを増加させることにある。
【課題を解決するための手段】
【0007】
(1)本発明の一態様は、端末装置と、該端末装置が送信する情報を受信するプライバシー保護装置とを備える通信システムであって、前記端末装置は、情報を生成、或いは収集する制御部と、該制御部によって生成、或いは収集された情報のうち、送信することが、前記プライバシー保護装置へ情報を送信する前記端末装置の利用者によって許可された情報を該プライバシー保護装置へ送信する送信部とを備え、前記プライバシー保護装置は、前記端末装置によって生成、或いは収集される複数の情報から、提供先が要求する情報の組み合わせを抽出する情報抽出部と、該情報抽出部によって抽出された情報の組み合わせがセンシティブ情報に該当するか否かを判定する情報判定部と、該情報判定部によってセンシティブ情報に該当すると判定された情報の組み合わせについて、前記提供先へ送信するか否かを判定する転送判定部と、前記転送判定部によって前記提供先へ送信すると判定された情報の組み合わせを前記提供先へ送信する送信部とを備える、通信システムである。
【0008】
(2)本発明の一態様は、上記(1)に記載の通信システムにおいて、前記プライバシー保護装置は、前記転送判定部によって前記提供先へ送信すると判定された情報の組み合わせについて、該情報の組み合わせの粒度を変更する情報変更部を備え、前記送信部は、前記情報変更部によって情報の粒度が変更された情報の組み合わせを前記提供先へ送信する、通信システムである。
(3)本発明の一態様は、上記(2)に記載の通信システムにおいて、前記プライバシー保護装置は、提供先へ送信する情報の保護のレベルを記憶する記憶部を備え、前記情報変更部は、前記記憶部に記憶された情報の保護のレベルに応じて、前記情報抽出部によって抽出された前記情報の組み合わせの粒度を変更する、通信システムである。
(4)本発明の一態様は、上記(2)又は(3)に記載の通信システムにおいて、前記情報変更部は、所定の事象が発生しない場合に、前記情報の組み合わせの粒度を変更する、通信システムである。
【0009】
(5)本発明の一態様は、上記(2)から(4)のいずれか1項に記載の通信システムにおいて、前記情報変更部は、前記情報判定部によってセンシティブ情報に該当すると判定された前記情報の組み合わせの解像度、又は度を変更する、通信システムである。
(6)本発明の一態様は、端末装置を備える通信システムであって、生成、或いは収集した情報を取得する取得部と、前記取得部によって取得した情報から、提供先が要求する情報の組み合わせを抽出する情報抽出部と、該情報抽出部によって抽出された情報の組み合わせがセンシティブ情報に該当するか否かを判定する情報判定部と、該情報判定部によってセンシティブ情報に該当すると判定された情報の組み合わせについて、前記提供先へ送信するか否かを判定する転送判定部と、前記転送判定部によって前記提供先へ送信すると判定された情報の組み合わせを前記提供先へ送信する送信部とを備える、通信システムである。
(7)本発明の一態様は、上記(6)に記載の通信システムにおいて、前記端末装置は、前記転送判定部によって前記提供先へ送信すると判定された情報の組み合わせについて、該情報の組み合わせの粒度を変更する情報変更部を備え、前記送信部は、前記情報変更部によって情報の粒度が変更された情報の組み合わせを前記提供先へ送信する、通信システムである。
(8)本発明の一態様は、上記(7)に記載の通信システムにおいて、前記端末装置は、提供先へ送信する情報の保護のレベルを記憶する記憶部を備え、前記情報変更部は、前記記憶部に記憶された情報の保護のレベルに応じて、前記情報抽出部によって抽出された前記情報の組み合わせの粒度を変更する、通信システムである。
(9)本発明の一態様は、上記(7)又は(8)に記載の通信システムにおいて、前記情報変更部は、所定の事象が発生しない場合に、前記情報の組み合わせの粒度を変更する、通信システムである。
(10)本発明の一態様は、上記(7)から(9)のいずれか1項に記載の通信システムにおいて、前記情報変更部は、前記情報判定部によってセンシティブ情報に該当すると判定された前記情報の組み合わせの解像度、又は度を変更する、通信システムである。
【0010】
11)本発明の一態様は、端末装置によって生成、或いは収集される複数の情報から、提供先が要求する情報を抽出する情報抽出部と、該情報抽出部によって抽出された情報の組み合わせがセンシティブ情報に該当するか否かを判定する情報判定部と、該情報判定部によってセンシティブ情報に該当すると判定された情報の組み合わせについて、前記提供先へ送信するか否かを判定する転送判定部と、前記転送判定部によって前記提供先へ送信すると判定された情報の組み合わせを前記提供先へ送信する送信部とを備える、プライバシー保護装置である。
12)本発明の一態様は、生成、或いは収集した情報を取得する取得部と、前記取得部によって取得した情報から、提供先が要求する情報の組み合わせを抽出する情報抽出部と、該情報抽出部によって抽出された情報の組み合わせがセンシティブ情報に該当するか否かを判定する情報判定部と、該情報判定部によってセンシティブ情報に該当すると判定された情報の組み合わせについて、前記提供先へ送信するか否かを判定する転送判定部と、前記転送判定部によって前記提供先へ送信すると判定された情報の組み合わせを前記提供先へ送信する送信部とを備える、端末装置である。
【0011】
(13)本発明の一態様は、端末装置は、情報を生成、或いは収集するステップと、該生成、或いは収集された情報のうち、送信することが、プライバシー保護装置へ情報を送信する前記端末装置の利用者によって許可された情報を該プライバシー保護装置へ送信するステップとを実行し、前記プライバシー保護装置は、前記端末装置によって生成、或いは収集される複数の情報から、提供先が要求する情報の組み合わせを抽出するステップと、該抽出するステップで抽出された前記情報の組み合わせがセンシティブ情報に該当するか否かを判定するステップと、該判定するステップでセンシティブ情報に該当すると判定された情報の組み合わせについて、前記提供先へ送信するか否かを判定するステップと、前記提供先へ送信すると判定された情報の組み合わせを前記提供先へ送信するステップとを実行する、プライバシー保護方法である。
【0012】
14)本発明の一態様は、端末装置によって生成及び、或いは収集される複数の情報から、提供先が要求する情報の組み合わせを抽出するステップと、該抽出された前記情報の組み合わせがセンシティブ情報に該当するか否かを判定するステップと、該センシティブ情報に該当すると判定された情報の組み合わせについて、提供先へ送信するか否かを判定するステップと、前記提供先へ送信すると判定された情報の組み合わせを前記提供先へ送信するステップとを有する、プライバシー保護装置によって実行されるプライバシー保護方法である。
15)本発明の一態様は、生成、或いは収集した情報を取得するステップと、前記取得するステップによって取得した情報から、提供先が要求する情報の組み合わせを抽出するステップと、該抽出するステップによって抽出された情報の組み合わせがセンシティブ情報に該当するか否かを判定するステップと、該判定するステップによってセンシティブ情報に該当すると判定された情報の組み合わせについて、前記提供先へ送信するか否かを判定するステップと、前記判定するステップによって前記提供先へ送信すると判定された情報の組み合わせを前記提供先へ送信するステップとを有する、端末装置によって実行されるプライバシー保護方法である。
【0014】
16)本発明の一態様は、プライバシー保護装置のコンピュータに、端末装置によって生成及び、或いは収集される複数の情報から、提供先が要求する情報の組み合わせを抽出するステップと、該抽出された前記情報の組み合わせがセンシティブ情報に該当するか否かを判定するステップと、センシティブ情報に該当すると判定された情報の組み合わせについて、前記提供先へ送信するか否かを判定するステップと、前記提供先へ送信すると判定された情報の組み合わせを前記提供先へ送信するステップとを実行させる、プログラムである。
17)本発明の一態様は、端末装置のコンピュータに、生成、或いは収集した情報を取得するステップと、前記取得するステップによって取得した情報から、提供先が要求する情報の組み合わせを抽出するステップと、該抽出するステップによって抽出された情報の組み合わせがセンシティブ情報に該当するか否かを判定するステップと、該判定するステップによってセンシティブ情報に該当すると判定された情報の組み合わせについて、前記提供先へ送信するか否かを判定するステップと、前記判定するステップによって前記提供先へ送信すると判定された情報の組み合わせを前記提供先へ送信するステップとを実行させる、プログラムである。
【発明の効果】
【0015】
本発明によれば、提供する情報を保護するとともに、情報を提供することによって得られるサービスを増加させることができる。
【図面の簡単な説明】
【0016】
図1】本実施形態に係る通信システムを示す図である。
図2】本実施形態に係る車両用通信システムを示す図である。
図3】本実施形態に係るプライバシー保護装置のハードウェア構成例を示す図である。
図4】本実施形態に係るプライバシー保護装置の機能ブロック図である。
図5】プライバシー保護対象外事象判定テーブルの一例を示す図である。
図6】センシティブ情報判定テーブルの一例を示す図である。
図7】保護レベル判定テーブルの一例を示す図である。
図8】本実施形態に係るプライバシー保護装置の動作を示す図である。
図9】本実施形態に係る通信システムを示す図である。
図10】本実施形態に係る車両用通信システムを示す図である。
図11】本実施形態に係るプライバシー保護装置の動作を示す図である。
【発明を実施するための形態】
【0017】
次に、本発明を実施するための形態を、図面を参照しつつ説明する。以下で説明する実施形態は一例に過ぎず、本発明が適用される実施形態は、以下の実施形態に限られない。
なお、実施形態を説明するための全図において、同一の機能を有するものは同一符号を用い、繰り返しの説明は省略する。
【0018】
<第1の実施形態>
<通信システムの構成>
図1は、本実施形態に係るプライバシー保護装置が適用される通信システムの一例を示す。
通信システムは、プライバシー保護装置100と、パーソナルデータ送出装置200とを備える。パーソナルデータ送出装置200には、データd01、データd02、・・・、データd0N(Nは、N>2の整数)が供給される。パーソナルデータ送出装置200は、通信ネットワーク20と接続され、該通信ネットワーク20を経由してデータd01、データd02、・・・、データd0Nをプライバシー保護装置100へ送信する。通信ネットワーク20の一例は、移動通信ネットワークである。パーソナルデータ送出装置200の一例は、スマートフォン、タブレット端末、PC、車載端末等の端末装置である。
【0019】
プライバシー保護装置100は、通信ネットワーク20及びインターネット50等のネットワークと接続される。プライバシー保護装置100には、プライバシーポリシーが設定される。プライバシーポリシーは、パーソナルデータ送出装置200から送信されたデータをそのまま転送するのか、一定の条件に基づいて加工して転送するのか、転送しないのか等のデータの取り扱いを定めた規範である。例えば、プライバシーポリシーは、データd01、データd02、・・・、データd0Nをパーソナルデータ送出装置200へ供給するプライバシー保護装置100の利用者によって設定される。
【0020】
プライバシー保護装置100は、プライバシーポリシーに基づいて、パーソナルデータ送出装置200によって送信されたデータd01、データd02、・・・、データd0Nをどのように取り扱うのかを判定する。例えば、プライバシー保護装置100は、データd01、データd02、・・・、データd0Nの各々について、転送先へ転送するのか否か、転送する場合にデータを加工するのか否かを判定する。
【0021】
そして、プライバシー保護装置100は、データを加工しないでインターネット50を経由して転送先T01、転送先T02、・・・、転送先T0Mのいずれか、或いは複数の転送先へ転送すると判定した場合に、パーソナルデータ送出装置200に対して当該データのプライバシー保護装置100への送信を許可し、プライバシー保護装置100は、当該データを当該転送先へ転送する。また、プライバシー保護装置100は、データを変更して転送先へ転送すると判定した場合に、パーソナルデータ送出装置200に対して当該データのプライバシー保護装置100への送信を許可し、受信した当該データを適切な情報の粒度に変更した上で、インターネット50を経由して転送先T01、転送先T02、・・・、転送先T0Mのいずれか、或いは複数の転送先へ転送する。パーソナルデータ送出装置200及びプライバシー保護装置100は、転送しないデータは破棄する。
以下、一例として、パーソナルデータ送出装置200に車載端末を適用した場合について説明を続ける。
【0022】
図2は、パーソナルデータ送出装置200に車載端末350を適用した場合の車両用通信システムの構成例を示す。
車両用通信システムは、プライバシー保護装置100と、車載端末350とを備える。車載端末350は、車両300に搭載され、車両300で取得される情報をプライバシー保護装置100へ送信する。車両300には、ECU(Electronic Control Unit)310a、ECU310b、ECU310c、ECU310d、GPS(Global Positioning System)330、及びゲートウェイ(G/W:gateway)320が設置される。ECU310aと、ECU310bと、ECU310cと、ECU310dと、G/W320との間は、CAN(Controller Area Network)315等の機器間のデータ転送に使われる規格にしたがって接続される。
【0023】
ECU310a、ECU310b、ECU310c、及びECU310dは、エンジン、モーター、メーター、トランスミッション、ブレーキ、エアバック、ランプ、パワーステアリング、パワーウィンドウ、カーエアコン、電子キーの車両側受信部、カーオーディオ、カーナビゲーション等のシステムを制御する。ECU310a、ECU310b、ECU310c、及びECU310dは、速度情報、走行ルート情報、アクセス操作情報、ブレーキ操作情報、ハンドル操作情報、エンジン回転数情報、消費燃費情報等を取得し、車載端末350へ出力する。GPS330は、車両300の位置情報を取得する。
【0024】
ECU310a、ECU310b、ECU310c、ECU310d、及びGPS330によって取得される情報(以下、「車両情報」という)は、G/W320から、データブローカ340へ出力される。データブローカ340は、車両情報を収集し、車載端末350へ出力する。車載端末350は、データブローカ340によって出力される車両情報をプライバシー保護装置100へ送信する。車載端末350によって出力される車両情報は、パーソナルデータ送出装置200の機能に相当するパーソナルデータ送出アプリケーション・プログラム(APPS#0)355によって、通信ネットワーク20を経由してプライバシー保護装置100へ送信される。
【0025】
プライバシー保護装置100は、インターネット50と接続される。インターネット50には、道路交通情報サーバ400a、データセンター400b、保険会社・ロードサービス会社のサーバ400c、X社のサーバ400d等が接続される。
道路交通情報サーバ400aは、車載端末350へ道路交通情報を提供する。データセンター400bは、車載端末350へ各種データを提供する。保険会社・ロードサービス会社のサーバ400cは、車載端末350へ保険に関するサービスを提供する。X社のサーバ400dは、車載端末350へX社が提供するサービスを提供する。
【0026】
以下、一例として、車載端末350を搭載した車両300のユーザが、保険会社・ロードサービス会社のサーバ400cから保険に関するサービスの提供を受ける場合について説明を続ける。ただし、車載端末350を搭載した車両300のユーザが、サーバ400cから保険に関するサービスの提供を受ける場合に限らず、道路交通情報サーバ400a、データセンター400b、又はX社のサーバ400dからサービスの提供を受ける場合についても適用できる。
【0027】
車載端末350を搭載した車両300のユーザが、サーバ400cから保険に関するサービスの提供を受ける場合、プライバシー保護装置100は、車両300から取得した車両情報をサーバ400cへ転送するか否かを判定するとともに、転送すると判定した車両情報については該車両情報の粒度を変更するか否かも判定する。
【0028】
<車載端末>
車載端末350は、ハードウェア(HW)及びオペレーティングシステム(OS)(HW+OS)352と、ウェブランタイム(Webruntime)354と、パーソナルデータ送出アプリケーション・プログラム(APPS#0)355と、APPS#1と、APPS#2と、APPS#3、・・・、APPS#n(nは、n>3の整数)とを備える。
HWは、CPU(Central Processing Unit)と、ROM(Read Only Memory)と、RAM(Random Access Memory)と、不揮発性メモリと、通信I/F部と、各部を接続する内部バスとを備えている。
【0029】
CPUは、車載端末350の動作を制御する制御プログラム等を不揮発性メモリから読み出し、RAMに展開して実行する。不揮発性メモリは、フラッシュメモリ、HDD(Hard Disk Drive)、SSD(Solid State Drive)、SD(Secure Digital)カード等によって構成される。不揮発性メモリは、車載端末350の動作を制御する制御プログラム等を記憶する。通信I/F部は、無線LANモジュール、移動通信モジュール等の通信モジュールによって構成され。通信I/F部は、移動通信によってプライバシー保護装置100等の外部の機器との間で通信を行う。
【0030】
OSは、HWを機能毎に抽象化したインターフェースをアプリケーションソフトウェアに提供する。Webruntime354は、ウェブアプリケーション・プログラムを実行し、当該プログラムのライフサイクル、レイアウト及びセキュリティを管理する。
APPS#0、APPS#1、APPS#2、APPS#3、・・・、及びAPPS#nは、車両300に搭載されたECU310a、ECU310b、ECU310c、ECU310d、及びGPS330によって生成され、且つ出力される車両情報を取得する要求をウェブランタイム354に通知する。
【0031】
ウェブランタイム354は、APPS#0−APPS#nの要求に応じて、データブローカ340を経由して、G/W320から車両情報を取得し、取得した当該車両情報をAPPS#0−APPS#n)へ通知する。
さらに、APPS#0のパーソナルデータ送出アプリケーション・プログラム355は、プライバシー保護装置100によって送出を許可された車両情報をプライバシー保護装置100へ送信する。
【0032】
本実施形態に係る車載端末350は、複数のAPPS#0−APP#nの各々がプライバシー保護装置100へ送信するのではなく、APPS#0が他のAPPS#1−APPS#nから外部へ転送する車両データをまとめて、プライバシー保護装置100へ送信する。
【0033】
これによって、車載端末350とプライバシー保護装置100との間の通信回数を低減できるため、通信ネットワーク20への負荷を低減できる。
また、車載端末350に撮像部を備え、車両300の画像を撮像し、車両情報としてプライバシー保護装置100へ送信するようにしてもよい。具体的には、撮像部は、車両300の車内外で発生している事象を検出できる画像を撮像する。
【0034】
<プライバシー保護装置>
図3は、本実施形態に係るプライバシー保護装置100のハードウェア構成の一例を示す。プライバシー保護装置100は、CPU102と、メモリ104と、不揮発性メモリ106と、通信I/F108と、内部バス110とを備えている。
CPU102は、例えば不揮発性メモリ106に格納されるプログラムを実行し、メモリ104をワークメモリとして使用して、プライバシー保護装置100の各部を制御する。メモリ104は、半導体素子を利用した揮発性のメモリ等のRAMによって構成される。メモリ104は、CPU102のワークメモリとして使用される。
【0035】
不揮発性メモリ106は、例えばハードディスク(HD)やROM等によって構成され、CPU102によって実行されるプログラムが格納される。通信I/F108は、車載端末350等の外部機器と通信して、車両データ等の送受信を行うためのインターフェースである。さらに、通信I/F108は、インターネット50を経由して、サービスゲートウェイ、アプリケーションストア、道路交通情報サーバ400a、データセンター400b、保険会社・ロードサービス会社のサーバ400c、X社のサーバ400dと通信を行う。内部バス110は、CPU102、メモリ104、不揮発性メモリ106、通信I/F108を互いに接続する。内部バス110に接続される各部は、内部バス110を介して互いにデータのやりとりを行うことができるようにされている。
【0036】
<プライバシー保護装置の機能構成>
図4は、プライバシー保護装置100の機能構成の一例を示す。
プライバシー保護装置100は、無線通信部152、通信部154、情報抽出部156、事象判定部158、情報判定部160、転送判定部162、情報変更部164、記憶部166、及び上記各構成要素を図4に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン168を有している。これらの各部は、図4に示されている各構成要素のいずれかが、不揮発性メモリ106からメモリ104上に展開されたプログラム1062を実行するCPU102からの命令によって動作することで実現される機能である。
【0037】
<プライバシー保護装置の各機能構成>
図3及び図4を用いて、プライバシー保護装置100の各機能構成について詳細に説明する。なお、以下では、プライバシー保護装置100の各機能構成を説明するにあたって、図3に示されている各構成要素のうち、プライバシー保護装置100の各機能構成を実現させるための主なハードウェアとの関係も説明する。
【0038】
図4に示されているプライバシー保護装置100の無線通信部152は、CPU102からの命令、及び通信I/F108よって実現される。無線通信部152は、車載端末350等の他の装置との間で車両情報等の各種データの送受信を行う。
通信部154は、CPU102からの命令、及び通信I/F108によって実現される。通信部154は、インターネット50を経由して、道路交通情報サーバ400a、データセンター400b、保険会社・ロードサービス会社のサーバ400c、X社のサーバ400d等の他の装置との間で各種データの送受信を行う。
【0039】
記憶部166には、プライバシー保護対象外事象判定テーブル1662、センシティブ情報判定テーブル1664、及び保護レベル判定テーブル1666が格納される。ここで、センシティブ情報(データ)は、他人には知られたくない情報である。センシティブ情報に対して、他人に知られても支障がない、或いは気にならならない情報はノンセンシティブ情報と呼ばれる。ノンセンシティブ情報と呼ばれる情報であっても、情報を複数組み合わせることによってセンシティブ情報となりうる場合がある。本実施形態では、情報を複数組み合わせることによってセンシティブ情報となる情報を「コンテキストセンシティブ情報」と定義する。
プライバシー保護対象外事象とは、車載端末350から取得した車両情報がセンシティブ情報、或いはコンテキストセンシティブ情報であっても、該車両情報の粒度を変更することなく転送先へ送信すると判定される事象である。
【0040】
<プライバシー保護対象外事象判定テーブル>
図5は、プライバシー保護対象外事象判定テーブル1662の一例を示す。プライバシー保護対象外事象判定テーブル1662は、プライバシー保護対象外事象の識別情報と、プライバシー保護対象外事象とを紐付けたテーブルである。
センシティブ情報、コンテキストセンシティブ情報或いはDo Not Trackモード等によって車両情報の提供が拒否されている対象であっても、プライバシー保護対象外事象が発生した場合には、車両情報の削除や情報の粒度を変更する等による情報の保護は行わず、原車両情報を提供先へ送信しても、利用者個人から許容されることが多いと想定される。
【0041】
プライバシー保護対象外事象には、識別情報「#a」に紐付けられる「生命・身体・財産の保護を目的とした事象」が含まれる。
「生命・身体・財産の保護を目的とした事象」には、運転者、同乗者、歩行者等の生命を守る事象、或いは負傷等から救済するため、合理的に必要となる事象が含まれる。具体的には、エアバッグ展開、タイヤ破裂、車両異常警報時等が該当する。
【0042】
また、「生命・身体・財産の保護を目的とした事象」には、盗難、損傷を受けたと合理的に認定される車両の位置の特定や、状況把握及び発見支援(盗難の場合)を行うために、必要となる事象が含まれる。
また、「生命・身体・財産の保護を目的とした事象」には、誘拐、テロ、殺人等の凶悪犯罪の捜査、車両の位置特定又は発見支援を行うため、法的権限内において合理的に必要となる事象が含まれる。
また、「生命・身体・財産の保護を目的とした事象」には、天変地異等の発災時の橋梁倒壊、トンネル崩落、落盤等における被災車両・被災者の特定又は発見支援を行うため、法的権限内において合理的に必要となる事象が含まれる。
【0043】
プライバシー保護対象外事象には、識別情報「#b」に紐付けられる「後続・周辺車両等の安全・便益を目的とした事象」が含まれる。
「後続・周辺車両等の安全・便益を目的とした事象」には、健康状態の急変、居眠り等によって自車が危険走行車両と判定される事象が含まれる。
また、「後続・周辺車両等の安全・便益を目的とした事象」には、積雪、圧雪、凍結、半湿、湿潤、冠水等によって危険な路面状態や、事故車両・落石・陥没等の障害物、急ブレーキ・スポット(歩行者を含む飛び出し)等後続車両等へ通知する事象が含まれる。
また、「後続・周辺車両等の安全・便益を目的とした事象」には、車線規制や大型パーキングの空きスペースを通知する事象が含まれる。
【0044】
プライバシー保護対象外事象には、識別情報「#c」に紐付けられる「利用者の便益等を目的とした事象」が含まれる。
「利用者の便益等を目的とした事象」には、一つのアプリケーション・プログラムが複数の提供サービスや動作モード等を有しており、一定の条件において、利用者の情報提供の対象や、粒度が異なっているために、プライバシー保護対象から除外される場合が含まれる。
【0045】
例えば、「利用者の便益等を目的とした事象」には、カーシェアやライドシェアでの客待ち、つまり待機モード(個人行動モード)と出迎え、つまり乗車モード(ビジネスモード)が含まれる。さらに、「利用者の便益等を目的とした事象」には、ある店舗から一定の距離内にいる場合にのみ受けたいクーポンや優待案内等が含まれる。
車両300のユーザは、プライバシー保護対象外事象として、識別情報#a、#b、及び#cのいずれか又は複数の識別情報を指定できるが、この例に限られない。例えば、利用者によって、識別情報#a、#b、及び#c以外の事象が登録されてもよい。
【0046】
<センシティブ情報判定テーブル>
図6は、センシティブ情報判定テーブル1664の一例を示す。センシティブ情報判定テーブル1664は、車両情報又は車両情報を複数組み合わせたものがセンシティブ情報又はコンテキストセンシティブ情報に該当するか否かを判定する際に使用される。センシティブ情報判定テーブル1664は、センシティブ情報を識別する情報と、センシティブ情報とを紐付けたテーブルである。センシティブデータには、JIS規格 Q15001:2006「個人情報保護マネジメントシステム」で述べられている機微情報と一般的な個人情報とがあるが、車両及びその走行に関しては、利用者個人にもよるが、図6に示される情報がセンシティブ情報となりえる代表例である。
【0047】
センシティブ情報には、識別情報「#A」に紐付けられる「自宅・勤務先・行先」が含まれる。
「自宅・勤務先・行先」には、センシティブ・ロケーションと時刻・位置情報が含まれる。
センシティブ情報には、識別情報「#B」に紐付けられる「交通違反と判断されうる情報」が含まれる。
【0048】
「交通違反と判断されうる情報」には、速度超過、徐行場所違反、駐停車違反、信号無視、一時不停止、踏切不停止、通行区分・通行帯違反が含まれる。さらに、徐行場所違反には、時刻・位置情報、制限速度情報、走行速度等が含まれる。駐停車違反には、時刻・位置情報、道路標識情報、速度、パーキングブレーキ、イグニッション・オフが含まれる。信号無視には、時刻・位置情報、交通信号、速度が含まれる。踏切不停止には、時刻・位置情報、道路標識情報、速度、ブレーキ等が含まれる。通行区分・通行帯違反には、時刻・位置情報、道路標識情報、速度が含まれる。
【0049】
センシティブ情報には、識別情報「#C」に紐付けられる「ストーカや強盗被害等の危険性が高まる情報」が含まれる。
「ストーカや強盗被害等の危険性が高まる情報」には、走行ルート、時刻・位置、速度、とくに現在位置が含まれる。
センシティブ情報には、識別情報「#D」に紐付けられる「運転癖・技能」が含まれる。「運転癖・技能」には、アクセル/ブレーキ/ハンドル操作、車速、加速度、エンジン回転数、消費燃料量・電力量が含まれる。さらに、加速度には、急発進・急ブレーキが含まれる。
【0050】
センシティブ情報判定テーブル1664によれば、位置情報はデータ単体でも、上記したJIS規格、及び一般的個人情報で掲げられている情報に関係するため、センシティブ情報となる可能性が高い。ただし、位置情報以外の情報については単一のデータでは殆どの場合、利用者個人にとってセンシティブ性が低く、データの組合せ(コンテキスト)によってセンシティブ性が高くなる。
【0051】
<保護レベル判定テーブル>
保護レベル判定テーブル1666は、車両情報に対する利用者個人の意向を登録したものである。ユーザが気になる情報の組み合わせや、センシティブ情報となる情報の組合せ(コンテキスト)は、転送先(情報の提供先)とその目的によって、情報の削除や情報の粒度の変更が必要となる場合がある。例えば、交通違反を気にする場合には、交通違反と判定されない走行であれば、ノンセンシティブ情報として、特に車両情報の変更や、削除を必要としない。また、走行時点検アプリ等も位置情報が不要であれば車両情報の変更や、削除を必要としない。
図7は、保護レベル判定テーブル1666の一例を示す。保護レベル判定テーブル1666は、利用者識別IDと、プライバシーとして保護を求める対象となる情報と、保護のレベルと、保護の例外とを紐付けたテーブルである。保護レベル判定テーブル1666の各欄は、車両300のユーザによって登録される。
【0052】
利用者識別IDは、サーバ400cへ車両情報を提供してサービスを受ける車両300のユーザを識別する情報である。
プライバシーとして保護を求める対象となる情報は、センシティブ情報に該当するデータが登録される。つまり、図6のセンシティブ情報判定テーブル1664の識別情報#A、#B、#C、及び#Dのいずれか又は複数の識別情報が登録される。利用者が、識別情報#A、#B、#C、及び#D以外の情報を登録してもよい。
図7に示される例では、利用者識別IDが「100aa」であるユーザのプライバシーとして保護を求める対象となる情報は「#A」である。つまり、図6のセンシティブ情報判定テーブル1664の「自宅・勤務先・行先」が登録される。
【0053】
保護のレベルは、センシティブ情報に該当する車両情報、又はコンテキストセンシティブ情報に該当する車両情報について、サーバ400cへ送信するか否か、また、送信する場合に該車両情報へ適用する情報の粒度が登録される。
具体的には、保護のレベルは、サーバ400cへ送信しない場合には「提供不可」が登録される。
【0054】
さらに、プライバシーとして保護を求める対象となる情報に識別情報「#A」(自宅・勤務先・行先)が登録されている場合に、保護のレベルとして「原データレベル」、「市町村レベル」、「都道府県レベル」等のエリアの規模が登録される。また、プライバシーとして保護を求める対象となる情報に識別情報「#A」が登録されている場合に、保護のレベルとして緯度経度の粒度が登録されてもよい。例えば、北緯35.7011293度、東経139.740906度の位置情報を北緯35.70度、東経139.74度と変更するように情報の解像度を変更することが登録されてもよい。
【0055】
また、プライバシーとして保護を求める対象となる情報に識別情報「#B」(交通違反と判断されうる情報)が登録されている場合に、保護のレベルとして「原データレベル」、「10km/hの解像度」、「一般道10km/h未満か否か」、「高速道路30km/h未満か否か」等の情報の粒度が登録されてもよい。
【0056】
また、プライバシーとして保護を求める対象となる情報に識別情報「#C」(ストーカや強盗被害等の危険性が高まる情報)が登録されている場合には、保護のレベルとして「原データレベル」、「市町村レベル」、「都道府県レベル」等のエリアの規模が登録される。また、プライバシーとして保護を求める対象となる情報に識別情報「#C」が登録されている場合に、保護のレベルとして緯度経度の粒度が登録されてもよい。また、プライバシーとして保護を求める対象となる情報に識別情報「#C」が登録されている場合に、保護のレベルとして「原データレベル」、「10km/hの解像度」、「一般道10km/h未満か否か」、「高速道路30km/h未満か否か」等の情報の粒度が登録されてもよい。
【0057】
また、プライバシーとして保護を求める対象となる情報に識別情報「#D」(運転癖・技能)が登録されている場合には、保護のレベルとして、識別情報「#A」、「#B」、「#C」とは異なる粒度が各センシティブ情報について登録されてもよい。
図7に示される例では、「自宅・勤務先・行先」を保険会社・ロードサービス会社のサーバ400cへ提供する場合に「市町村レベル」の粒度へ変更することが登録されている。
【0058】
保護の例外は、センシティブ情報に該当する車両情報であっても、原車両情報のままサーバ400cへ提供すると判定される事象が登録される。つまり、図5のプライバシー保護対象外事象判定テーブル1662の識別情報#a、#b、及び#cのいずれか又は複数の識別情報が登録される。利用者が、識別情報#a、#b、及び#c以外の情報が登録されてもよい。
【0059】
図7に示される例では、保護の例外として、図5のプライバシー保護対象外事象判定テーブル1662に示される識別情報が「#a」が登録されている。つまり、「生命・身体・財産の保護を目的とした事象」が発生した場合に、プライバシー保護装置100は、センシティブ情報に該当するデータであっても、原車両情報のままサーバ400cへ提供する。
図4へ戻り説明を続ける。
【0060】
情報抽出部156は、CPU102からの命令、及び通信I/F108によって実現される。情報抽出部156には、インターネット50を経由して、サーバ400cから保険会社・ロードサービス会社が要求する車両情報を表す情報が供給される。例えば、サーバ400cから保険会社・ロードサービス会社が要求する車両情報の一覧SP1が供給される。さらに、情報抽出部156には、プライバシー保護装置100によって収集できる車両情報が登録された収集可能データテーブルT1が保持される。情報抽出部156は、収集可能データテーブルT1と、車両情報の一覧SP1を照合することによって、車両情報の一覧SP1に含まれる車両情報から、プライバシー保護装置100によって収集可能な車両情報を抽出する。情報抽出部156は、抽出した車両情報を車載端末350から取得し、情報判定部160へ出力する。
【0061】
事象判定部158は、CPU102からの命令によって実現される。事象判定部158は、車両300にプライバシー保護対象外事象が発生しているか否かを判定する。例えば、事象判定部158は、記憶部166に記憶されているプライバシー保護対象外事象判定テーブル1662、及び保護レベル判定テーブル1666を参照し、車載端末350が送信する車両情報が、保護レベル判定テーブル1666の保護の例外の欄に登録されているプライバシー保護対象外事象判定テーブル1662の識別情報#a、#b、及び#cのいずれかに該当するかを判定する。
事象判定部158は、車両情報が、保護レベル判定テーブル1666の保護の例外の欄に登録されているプライバシー保護対象外事象判定テーブル1662の識別情報#a、#b、及び#cのいずれかに該当するか否かの判定結果を表す情報を情報判定部160へ出力する。
【0062】
情報判定部160は、CPU102からの命令によって実現される。情報判定部160は、事象判定部158によって供給された判定結果が、プライバシー保護対象外事象が発生していることを表しているか否かを判定する。
プライバシー保護対象外事象が発生している場合、情報判定部160は、記憶部166に記憶されているセンシティブ情報判定テーブル1664、及び保護レベル判定テーブル1666を参照し、情報抽出部156から供給された車両情報がセンシティブ情報に該当するか否かを判定する。
【0063】
具体的には、情報判定部160は、情報抽出部156から供給された車両情報が、保護レベル判定テーブル1666のプライバシーとして保護を求める対象となる情報の欄に登録されているセンシティブ情報判定テーブル1664の識別情報#A、#B、#C、及び#Dのいずれかに該当するかを判定する。そして、情報判定部160は、センシティブ情報に該当する車両情報を転送判定部162へ出力し、センシティブ情報に該当する車両情報以外の車両情報を通信部154へ出力する。つまり、情報判定部160は、コンテキストセンシティブ情報に該当しない、又はノンセンシティブ情報に該当する車両情報を通信部154へ出力する。
【0064】
また、プライバシー保護対象外事象が発生していない場合、情報判定部160は、記憶部166に記憶されているセンシティブ情報判定テーブル1664、及び保護レベル判定テーブル1666を参照し、情報抽出部156から供給された車両情報がセンシティブ情報又はコンテキストセンシティブ情報に該当するか否かを判定する。具体的には、情報判定部160は、情報抽出部156から供給された車両情報又は車両情報を複数組み合わせたものが、保護レベル判定テーブル1666のプライバシーとして保護を求める対象となる情報の欄に登録されているセンシティブ情報判定テーブル1664の識別情報#A、#B、#C、及び#Dのいずれかに該当するかを判定する。そして、情報判定部160は、センシティブ情報又はコンテキストセンシティブ情報に該当する車両情報を転送判定部162へ出力し、センシティブ情報又はコンテキストセンシティブ情報に該当する車両情報以外の車両情報を通信部154へ出力する。つまり、情報判定部160は、ノンセンシティブ情報に該当する車両情報を通信部154へ出力する。
【0065】
転送判定部162は、CPU102からの命令によって実現される。転送判定部162は、情報判定部160によって供給された車両情報をサーバ400cへ転送するか否かを判定する。具体的には、転送判定部162は、記憶部166に格納された保護レベル判定テーブル1666の保護レベルの欄を参照し、「提供不可」とされている場合には転送しないと判定し、「提供不可」以外とされている場合には転送すると判定する。転送判定部162は、「提供不可」とされている場合に情報判定部160によって供給された車両情報を削除し、「提供不可」以外とされている場合に情報判定部160によって供給された車両情報を情報変更部164へ出力する。
【0066】
情報変更部164は、CPU102からの命令によって実現される。情報変更部164は、転送判定部162によって供給された車両情報をサーバ400cへ転送する場合に、該車両情報の粒度を変更する。具体的には、情報変更部164は、記憶部166に格納された保護レベル判定テーブル1666の保護レベルの欄に登録されている情報の粒度にしたがって、車両情報を変更する。そして、情報変更部164は、情報の粒度を変更した車両情報を通信部154へ出力する。ここで、情報変更部164は、一つのデータに対して指定されている保護レベルが複数あり、且つ異なる場合には、保護レベルが高い方を採用するようにしてもよい。例えば、センシティブ・ロケーション域内において速度超過があった場合の位置情報として、住所コード(都道府県・市区郡・町村コード)が最も保護レベルが高い場合、該住所コードが採用されてもよい。
【0067】
<プライバシー保護装置の動作>
図8は、本実施形態に係るプライバシー保護装置100の動作を示す。図8に示される例では、サーバ400cから該保険会社・ロードサービス会社が要求する車両情報の一覧SP1がプライバシー保護装置100へ供給された後の動作を示す。
【0068】
ステップS802では、プライバシー保護装置100の無線通信部152は、車両300に搭載された車載端末350によって送信される車両情報を収集する。
ステップS804では、プライバシー保護装置100の情報抽出部156は、ステップS802において収集した車両情報から、情報提供先、つまり保険会社・ロードサービス会社から要求される車両情報を抽出する。
【0069】
ステップS806では、プライバシー保護装置100の事象判定部158は、プライバシー保護の対象外となる事象が発生しているか否かを判定する。
ステップS808は、ステップS806においてプライバシー保護の対象外となる事象が発生していない場合に実行される。ステップS808では、プライバシー保護装置100の情報判定部160は、ステップS804において抽出した車両情報がセンシティブ情報であるか否かを判定する。
【0070】
ステップS810は、ステップS808において、抽出された車両情報がセンシティブ情報であると判定された場合に実行される。ステップS810では、プライバシー保護装置100の転送判定部162は、ステップS804において抽出した車両情報をサーバ400cへ提供するか否かを判定する。サーバ400cへ提供しないと判定した場合、終了する。
ステップS812は、ステップS810において車両情報を情報提供先へ提供すると判定した場合に実行される。ステップS812では、プライバシー保護装置100の情報変更部164は、保護レベル判定テーブル1666の保護レベルの欄に登録された情報の粒度にしたがって、車両情報を変更する。
【0071】
ステップS814は、ステップS808において情報抽出部156が抽出した車両情報がセンシティブ情報でないと判定された場合、つまりコンテキストセンシティブ情報に該当しない、又はノンセンシティブ情報であると判定された場合に実行される。また、ステップS814は、ステップS812において情報変更部164が車両情報を変更した場合に実行される。ステップS814では、通信部154は、変更されたセンシティブ情報及びコンテキストセンシティブ情報、並びにノンセンシティブ情報を含むメッセージセットを作成する。通信部154は、サーバ400cへ、作成したメッセージセットを送信する。
【0072】
ステップS816は、ステップS806においてプライバシー保護の対象外となる事象が発生した場合に実行される。ステップS816では、プライバシー保護装置100の情報判定部160は、ステップS804において情報抽出部156が抽出した車両情報がノンセンシティブ情報であるか否かを判定する。
【0073】
ステップS818は、ステップS816において、抽出された車両情報がノンセンシティブ情報でないと判定された場合、つまり抽出された車両情報がセンシティブ情報、又はコンテキストセンシティブ情報であると判定された場合に実行される。ステップS818では、プライバシー保護装置100の転送判定部162は、ステップS804において抽出した車両情報を情報提供先へ提供するか否かを判定する。情報提供先へ提供しないと判定した場合、終了する。
【0074】
ステップS820は、ステップS818において車両情報を情報提供先へ提供すると判定した場合に実行される。ステップS820では、プライバシー保護装置100の情報変更部164は、保護レベル判定テーブル1666の保護レベルの欄に登録された情報の粒度にしたがって、車両情報を変更する。
【0075】
ステップS822は、ステップS816において情報抽出部156が抽出した車両情報がノンセンシティブ情報であると判定された場合に実行される。また、ステップS822は、ステップS820において情報変更部164が車両情報を変更した場合に実行される。ステップS822では、通信部154は、ノンセンシティブ情報、変更されたセンシティブ情報、及び変更されたコンテキストセンシティブ情報を含むメッセージセットを作成する。通信部154は、サーバ400cへ、作成したメッセージセットを送信する。
図8に示されるフローチャートは一例であり、図8とは異なる順序で処理が行われてもよい。例えば、ステップS806と、ステップS808、及びステップS816の順序が入れ替えられてもよい。
【0076】
<本実施形態に係るプライバシー保護装置の出力例>
(例1)
車載カメラにより得られる道路の制限速度情報、或は別のデータベースにより得られる道路の制限速度情報が40km/hの道路を、車両300が時速50km/hで移動している。この場合、プライバシー保護装置100は、位置情報と、制限速度情報と、車速情報との組合せを、利用者の意向により、交通渋滞を監視する情報センターへ、車速「40km/h以上」、或いは「巡行速度」として転送する。
【0077】
(例2)
車両情報の送出先が公的機関であっても、他人に知られたくない行先や経路がある場合には、プライバシー保護装置100は、車両300が走行する全ての位置情報を転送対象から除外する。また、プライバシー保護装置100は、位置情報を出力する際に、該当する場所や経路の属性の上位の属性情報(例えば、市町村)を出力する。
【0078】
(例3)
外部から取得される車両数の統計データ等によって、個人或いは車両が特定される可能性が高々1/M(Mは、M>1の整数)となるように、プライバシー保護装置100は、端末装置或いは車両の位置情報の解像度を端末装置の数がM以上となるまで位置情報或は時刻情報の解像度を下げる。
【0079】
上述した実施形態において、プライバシー保護装置100は、インターネットへのアクセスログを一定数保存するようにしてもよい。そして、利用者によってアクセスログの全て、或いは一部を削除すること、並びに特定のサイトへのアクセスを禁じることができるようにしてもよい。また、プライバシー保護装置100は、指定された通信プロトコル以外の通信プロトコルにおいて、原データ或いはデータ群を転送先に伝送することを禁じるようにしてもよい。また、プライバシー保護装置100は、指定されたデータフォーマット以外のデータフォーマットにおいて、原データ或いはデータ群を転送先に伝送することを禁じるようにしてもよい。
【0080】
また、プライバシー保護装置100は、提供先によって収集された車両情報を第三者へ提供する場合等の二次利用に関する事前承諾が、提供先から利用者へ求められた場合に、利用者に代行して回答するようにしてもよい。この場合、プライバシー保護装置100は、以下の(イ)、(ロ)、及び(ハ)の場合には二次利用を禁止する回答を返信してもよい。
(イ) 第三者が、利用者の意向により二次利用を禁じられている場合
(ロ) 第三者が、プライバシー保護装置において既に転送先である場合
(ハ) 第三者が、プライバシー保護装置において過去に転送先であり、その転送期間に二次利用データの対象期間が含まれる場合
【0081】
上述した実施の形態では、プライバシー保護装置100の事象判定部158が車載端末350から送信される車両300の画像に基づいて、プライバシー保護対象外事象に該当するか否かを判断する場合について説明したが、この例に限られない。例えば、車載端末350は、車両情報にプライバシー保護対象外事象に該当するか否かを表す情報を含めて送信するようにしてもよい。具体的には、車両情報のヘッダ情報に緊急レベルを表す情報が付帯されてもよい。そして、事象判定部158は、該ヘッダ情報に付帯されている緊急レベルを表す情報に基づいて、プライバシー保護対象外事象が発生しているか否かを判定するようにしてもよい。これによって、車載端末350から画像を表す情報を送信させることなく、車両300がプライバシー保護対象外事象に該当するか否かを判定できる。このため、通信ネットワーク20への負荷を低減できる。
【0082】
また、上述した実施形態においては、利用者識別ID、及び情報の提供先毎に情報の粒度を変更する場合について説明したが、この例に限られない。例えば、車載端末350に搭載されているアプリケーション毎に情報の粒度を変更するようにしてもよい。
さらに、プライバシー保護装置100では、プライバシー保護対象外の事象が発生しているか否かを判定できない場合には、車載端末350で判定されてもよいし、車載端末350以外の装置によって判定されてもよい。
また、上述した実施形態においては、パーソナルデータ送出装置200が通信ネットワーク20に接続される場合について説明したが、通信ネットワーク20に限られず、インターネット50に接続されてもよい。また、上述した実施形態においては、プライバシー保護装置100がインターネット50に接続される場合について説明したが、インターネットに限られず、インターネット以外のネットワークに接続されてもよい。さらに、パーソナルデータ送出装置200が、インターネット以外のネットワークに接続されてもよい。
【0083】
また、上述した実施形態においては、プライバシー保護装置100が、データを、インターネット50を経由して転送先T01、転送先T02、・・・、転送先T0Mのいずれか、或いは複数の転送先へ転送すると判定した場合に、当該データをパーソナルデータ送出装置200にプライバシー保護装置100への送出を許可する場合について説明したが、この例に限られない。例えば、パーソナルデータ送出装置200は、プライバシー保護装置に全ての情報を(重複がないように)送信してもよい。この場合、プライバシー保護装置100は、パーソナルデータ送出装置200が送信したデータについて、転送可否、粒度変更を行う。このように構成することによって、パーソナルデータ送出装置200、及びプライバシー保護装置100を単純化或いは低コスト化することができる。
【0084】
本実施形態に係る通信システムによれば、提供元から提供先へ、プライバシー保護装置を経由して車両情報が送信される。プライバシー保護装置は、提供元から複数の車両情報を取集し、提供先毎に、提供元の意向に基づいて、車両情報の変更や、削除を行い、変更した車両情報を配信できる。
つまり、個人情報の提供先、提供情報、情報粒度等の取り扱いに関して、利用者本人の意向により、状況に合わせ、きめ細かく設定・変更することができる。このため、提供先毎に情報を送信するか否かが設定されている場合と比較して、情報を送信しないように設定されている提供先であっても、情報の粒度を変更して送信できる。
さらに、利用者の知られたくない情報やその基本的意向は、クルマ、デバイスやアプリケーションが違っても、あまり変わらないことから、利用者のプリファレンスをプライバシー保護のデフォルト設定として利用でき、クルマやデバイス毎、アプリ毎のプライバシー設定が省略できることも多く、利用者がプライバシーを保護するために生じる労力や設定等の煩わしさを軽減することができる。利用者としてクルマやデバイス毎、アプリ毎のプライバシー設定も確認でき、また後から個別に設定変更することもできる。
これによって、情報を保護できるとともに、情報の提供先を増加させることができるため、情報を提供することによって得られるサービスを増加させることができる。また、多種多様なプライバシー保護サービスの展開を容易とする新たなプライバシー保護基盤が実現できる。
【0085】
さらに、車載端末は、複数のアプリケーションが、個別に車両情報を取得し、情報の提供先に転送する場合に比べ、プライバシー保護装置100へ送信することによって、車載端末によって出力されるデータの伝送量を低減できるとともに、効率化できる。
さらに、車両情報の変更は、解像度、精度、鮮度等の情報の粒度を変更することによって実現される。ユーザは、適用する情報の粒度について、どの程度抽象化した概念を採用するのかについて自己の状況に応じて選択できる。例えば、ユーザは、位置情報については緯度経度の桁数や市町村名、時刻については時分秒や朝昼夕晩等、自己の状況については平時であるのか、緊急事態等の特別な事象が発生した場合であるのかに応じて選択できる。
【0086】
さらに、個人情報の提供先や、保管先が一極集中することを回避できるとともに、個人情報の二次利用を管理できる。従来、多くの製造業者を含むサービス提供者は、利用者から取得した個人情報を蓄積・保管しサービスを利用者に提供することから、サービス提供者がそれらデータを囲い込み、公正な第三者提供(二次利用)や利用者によるデータ保管先の変更ができず、所謂ベンダーロックインが生じやすい問題があった。
ベンダーロックインが生じることを回避するため、情報の提供元から提供先毎にデータを変更し、伝送する形態を採用する場合には、同じ原情報でありながら、提供先毎に別の通信トラヒックとなり、情報が送出される通信ネットワークに対する負荷が増大する。
【0087】
さらに、多種多様な個人情報を収集し、送出するアプリケーションが複数実装され、個別に車載端末から外部に転送される場合、通信ネットワークに対する負荷はさらに増大し、通信回線のスループットが低下する。さらに、プライバシー保護装置に、アプリケーションを実行するためのCPUがより高性能なものが必要となる。本実施形態に係るプライバシー保護装置は、車載端末から収集した車両情報を記憶することなく、提供先へ送信する。これによって、上述したベンダーロックインが生じることもない。
【0088】
本実施形態に係るプライバシー保護装置は、車両、及び車載端末から供給される車両情報に限定するものではなく、あらゆる端末装置によって供給される情報も収容し、上述した機能を提供することができる。これによって、多種多様なものがネットワークに接続されるようなIoT(Internet of Things)が適用される環境において、利用者がプライバシー保護のために生じる負担を一層軽減することができる。
【0089】
<第2の実施形態>
<通信システムの構成>
図9は、本実施形態に係るプライバシー保護装置が適用される通信システムの一例を示す。通信システムは、プライバシー保護装置500を備え、第1の実施形態とパーソナルデータ送出装置200がない点で異なる。プライバシー保護装置500には、データd01、データd02、・・・、データd0N(Nは、N>2の整数)が供給される。プライバシー保護装置500の一例は、スマートフォン、タブレット端末、PC、車載端末等の端末装置である。ここで、車載端末は、次世代車載情報通信システム(In−Vehicle Infotainment system,IVIシステム)を構成するものであってもよい。
【0090】
図10は、車載端末にプライバシー保護装置を備えるようにした場合の車両用通信システムの構成例を示す。
車両用通信システムは、車載端末600を備える。車載端末600は車両300に搭載され、プライバシー保護装置500を備える。車載端末600は、インターネット50と接続される。インターネット50には、道路交通情報サーバ400a、データセンター400b、保険会社・ロードサービス会社のサーバ400c、X社のサーバ400d等が接続される。
以下、上述した実施形態と同様に、一例として、車載端末600を搭載した車両300のユーザが、保険会社・ロードサービス会社のサーバ400cから保険に関するサービスの提供を受ける場合について説明を続ける。
【0091】
<車載端末>
車載端末600は、HW及びOS(HW+OS)352と、Webruntime354と、パーソナルデータ送出アプリケーション・プログラム(APPS#0)355と、APPS#1と、APPS#2と、APPS#3、・・・、APPS#n(nは、n>3の整数)と、プライバシー保護装置500とを備える。
HW+OS352、Webruntime354、パーソナルデータ送出アプリケーション・プログラム355、APPS#1、及びAPPS#2、APPS#3、・・・、APPS#n(nは、n>3の整数)は、上述した実施形態を適用できる。
【0092】
<プライバシー保護装置>
本実施形態に係るプライバシー保護装置500のハードウェア構成は、図3を適用できる。
<プライバシー保護装置の機能構成>
プライバシー保護装置500の機能構成の一例は、図4を適用できる。ただし、情報抽出部156の機能が上述した実施形態と異なる。情報抽出部156は、CPU102からの命令、及び通信I/F108によって実現される。情報抽出部156には、インターネット50を経由して、サーバ400cから保険会社・ロードサービス会社が要求する車両情報を表す情報が供給される。例えば、サーバ400cから保険会社・ロードサービス会社が要求する車両情報の一覧SP1が供給される。さらに、情報抽出部156には、プライバシー保護装置500によって収集できる車両情報が登録された収集可能データテーブルT1が保持される。情報抽出部156は、収集可能データテーブルT1と、車両情報の一覧SP1を照合することによって、車両情報の一覧SP1に含まれる車両情報から、プライバシー保護装置500によって収集可能な車両情報を抽出する。情報抽出部156は、抽出した車両情報をAPPS#0のパーソナルデータ送出アプリケーション・プログラム355から取得し、情報判定部160へ出力する。
【0093】
<車載端末の動作>
図11は、本実施形態に係る車載端末600の動作を示す。図11に示される例では、サーバ400cから該保険会社・ロードサービス会社が要求する車両情報の一覧SP1が車載端末600へ供給された後の動作を示す。
ステップS1102では、プライバシー保護装置500の無線通信部152は、APPS#0のパーソナルデータ送出アプリケーション・プログラム355から車両情報を収集する。ステップS1104−S1122は、図8のステップS804−S822を適用できる。
【0094】
本実施形態によれば、車載端末600にプライバシー保護装置500を備え、車載端末600から車両情報が提供先へ送信されるようにしたので、第1の実施形態と比較して、構成を簡略化できる。特に、車載端末600は、車両情報を収集し且つ送出するアプリケーションの実装数が少ない場合や、車両情報の送出量が少ない場合に、簡略化した構成で、上述した実施形態と同様の処理を実現できる。
例えば、IVIシステム等を構成する車載端末600にプライバシー保護装置500を備えた場合、個人の体格等に合わせ、現行の車両における座席位置や角度、ハンドルの位置や高さ、ミラーの角度等を記憶する機能と連動させることができる。
さらに、プライバシーポリシーを事前登録したり、音声、指紋、顔、パスワード等のポリシーに対する本人確認を行ったり、本人に限定したプライバシーポリシーを閲覧したり、修正したりする機能を、車載端末600が備えることによって、プライバシー保護装置500へ入力するプライバシーポリシーが人に覗かれたり、本人以外のプライバシーポリシーで情報が提供されることを防止できる。ただし、プライバシーポリシーをリセットする権限は、所有者或いは主たる使用者が有する。
【0095】
<第3の実施形態>
<通信システムの構成>
本実施形態に係るプライバシー保護装置500が適用される通信システムの一例は、図1を適用できる。ただし、通信ネットワーク20の一例は、WiFi(登録商標)、Bluetooth(登録商標)等の近距離の無線方式や、USB(Universal Serial Bus)等の有線方式によって車両内に形成されたネットワークや、パーソナルエリアネットワークである。また、プライバシー保護装置500の一例は、スマートフォン、タブレット端末、PC等の端末装置であり、家電機器、体重計、センサー、カメラと接続して、利用することができる。
【0096】
車載端末にパーソナルデータ送出装置を備えるようにした場合の車両用通信システムの構成例は、図2を適用できる。ただし、通信ネットワーク20の代わりに、車両内に形成されたネットワークや、パーソナルエリアネットワークが適用される。
車載端末350、及びプライバシー保護装置500は、上述した第1の実施形態を適用できる。また、プライバシー保護装置500の動作は、上述した第1の実施形態を適用できる。
【0097】
本実施形態によれば、プライバシー保護装置500を車載端末350などの端末装置で構成することによって、プライバシー保護装置500にプライバシーポリシーを容易に設定できる。端末装置におけるパーソナル・エージェント機能は、利用者にとって分かり易く、設定や管理がし易いためである。
また、車載端末600に、車両情報を収集し且つ送出するアプリケーションの実装数が少ない場合や、車両情報の送出量が少ない場合に、簡略化した構成で、上述した実施形態と同様の処理を実現できる。
また、今後は、車両情報に加え、ウエラブルセンサー、家電製品やフィットネス機器からスマートフォンへの接続機会が増えることが想定されるため、端末装置へパーソナル・エージェント機能を実装することによって、プライバシー保護を実現できる。
【0098】
上述した実施形態では、車載端末350とプライバシー保護装置500との間が、移動体ネットワーク、車両内に形成されたネットワーク、パーソナルエリアネットワーク等のネットワークである場合について説明したがこの例に限られない。例えば、車載端末350とプライバシー保護装置500との間が、DSRC(Dedicated Short Range Communications)やWiFiスポット等であってもよい。
【0099】
上述した実施形態において、プライバシー保護装置500は、転送先が要求するデータの種類毎に、利用者に代わって転送先への情報提供の可否判断と情報提供における解像度、精度、鮮度等の情報の粒度を決定する。ここで、情報提供の可否判断の基準と、情報の粒度は、利用者が変更できる。
また、プライバシー保護装置500は、データ或いはデータ群を、時刻と位置情報とともに転送するようにしてもよい。この場合、プライバシー保護装置500は、転送する情報によって、個人或いは車両が特定される可能性が高々1/J(Jは、J>1の整数)となるように、端末或いは車両の位置情報の解像度を端末数がJ以上となるまで解像度を下げる。
【0100】
また、プライバシー保護装置500は、データ或いはデータ群を、時刻と位置情報とともに転送する場合、車両位置の統計データから、端末の近傍の車両がK(Kは、K>1の整数)以上となるようパーソナル・エージェントにおいて位置情報の解像度を下げるようにしてもよい。ここで、統計データには、前日、1週間前、1か月前或いは1年前の同時刻における位置の車両数が含まれる。
また、プライバシー保護装置500は、データ或いはデータ群を、時刻と位置情報とともに転送する場合、車両のイグニッション・キーがオンにされ、走行が開始されてからM1分間の間、時刻と位置情報とを転送対象から除外するようにしてもよい。ここで、M1は、出発地の近傍における車両の保管台数及び走行車両台数の統計と、利用者にとって知られたくない度合により決定される。
【0101】
また、プライバシー保護装置500は、データ或いはデータ群を、時刻と位置情報とともに転送する場合、車両のイグニッション・キーがオフにされた後、再度イグニッション・キーがオンにされた場合、イグニッション・キーがオフにされた時刻のM2分間前からのデータを利用者に代わって転送先のデータから削除するようにしてもよい。そして、転送先では、プライバシー保護装置500によって要求された削除要求に応じて、削除を実行する。ここで、M2は、到着地近傍の車両保管台数及び走行車両台数の統計と、利用者にとって知られたくない度合により決定される。
また、プライバシー保護装置500は、プライバシー保護対象外事象が発生し、機関、団体からの開示リクエストを受領した場合には、機関・団体に対して、要求のあった情報をすべて開示するようにしてもよい。
【0102】
上述した実施の形態において、車載端末は端末装置の一例であり、車載情報は情報の一例であり、保険会社・ロードサービス会社のサーバ400cは提供先の一例であり、コンテキストは情報の組み合わせの一例であり、通信部は送信部の一例であり、パーソナルデータ送出装置200は取得部の一例である。
【0103】
本発明は特定の実施例、変形例を参照しながら説明されてきたが、各実施例、変形例は単なる例示に過ぎず、当業者は様々な変形例、修正例、代替例、置換例等を理解するであろう。説明の便宜上、本発明の実施例に従った装置は機能的なブロック図を用いて説明されたが、そのような装置はハードウェアで、ソフトウェアでまたはそれらの組み合わせで実現されてもよい。本発明は上記実施例に限定されず、本発明の精神から逸脱することなく、様々な変形例、修正例、代替例、置換例等が包含される。
【符号の説明】
【0104】
20…通信ネットワーク
50…インターネット
100、500…プライバシー保護装置
152…無線通信部
154…通信部
156…情報抽出部
158…事象判定部
160…情報判定部
162…転送判定部
164…情報変更部
166…記憶部
1662…プライバシー保護対象外事象判定テーブル
1664…センシティブ情報判定テーブル
1666…保護レベル判定テーブル
200…パーソナルデータ送出装置
300…車両
310a、310b、310c、310d…ECU
315…CAN
320…G/W
330…GPS
340…Data Broker
350、600…車載端末
352…HW+OS
354…Web runtime
355…パーソナルデータ送出アプリケーション・プログラム
400a…道路交通情報サーバ
400b…データセンター
400c…保険会社・ロードサービス会社のサーバ
400d…X社のサーバ
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.