ホーム > 特許ランキング > 株式会社ジェーシービー
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022076165
(43)【公開日】2022-05-19
(54)【発明の名称】情報処理装置、プログラムおよび情報処理方法
(51)【国際特許分類】
H04L 9/08 20060101AFI20220512BHJP
G06Q 20/38 20120101ALI20220512BHJP
G09C 1/00 20060101ALI20220512BHJP
G06F 21/62 20130101ALI20220512BHJP
【FI】
H04L9/00 601A
G06Q20/38 322
G09C1/00 650Z
G06F21/62
【審査請求】有
【請求項の数】14
【出願形態】OL
(21)【出願番号】P 2020186455
(22)【出願日】2020-11-09
(11)【特許番号】
(45)【特許公報発行日】2021-08-25
(71)【出願人】
【識別番号】593022629
【氏名又は名称】株式会社ジェーシービー
(74)【代理人】
【識別番号】100079108
【弁理士】
【氏名又は名称】稲葉 良幸
(74)【代理人】
【識別番号】100109346
【弁理士】
【氏名又は名称】大貫 敏史
(74)【代理人】
【識別番号】100117189
【弁理士】
【氏名又は名称】江口 昭彦
(74)【代理人】
【識別番号】100134120
【弁理士】
【氏名又は名称】内藤 和彦
(72)【発明者】
【氏名】間下 公照
(72)【発明者】
【氏名】南井 享
(72)【発明者】
【氏名】荒井 一彰
(72)【発明者】
【氏名】中川 祐
【テーマコード(参考)】
5L055
【Fターム(参考)】
5L055AA71
(57)【要約】
【課題】データまたは価値に対する処理の履歴情報の機密性や完全性を担保しつつ履歴情報の訂正を可能とする情報処理装置、プログラムおよび情報処理方法を提供する。
【解決手段】情報処理装置は、ユーザのユーザ装置から、データまたは価値に対する第1処理の履歴に関する第1履歴情報に対する訂正を要求する訂正要求を受け付ける要求受付部と、訂正前の第1履歴情報を、鍵記憶部に記憶された第1鍵情報を用いて秘匿化を行う秘匿化部と、秘匿化された訂正前の第1履歴情報を、バックアップ用記憶部に保存する保存部と、訂正要求に基づいて、第1履歴情報を記憶する履歴記憶部を参照して、第1履歴情報を訂正するための処理を行う訂正部と、第1鍵情報を、第1履歴情報の複数の権限者ごとに分割する分割部と、分割された第1鍵情報を、複数の権限者の複数の権限者装置それぞれに送信し、送信済みの第1鍵情報を鍵記憶部から削除する送信部と、を備える。
【選択図】図7
【解決手段】情報処理装置は、ユーザのユーザ装置から、データまたは価値に対する第1処理の履歴に関する第1履歴情報に対する訂正を要求する訂正要求を受け付ける要求受付部と、訂正前の第1履歴情報を、鍵記憶部に記憶された第1鍵情報を用いて秘匿化を行う秘匿化部と、秘匿化された訂正前の第1履歴情報を、バックアップ用記憶部に保存する保存部と、訂正要求に基づいて、第1履歴情報を記憶する履歴記憶部を参照して、第1履歴情報を訂正するための処理を行う訂正部と、第1鍵情報を、第1履歴情報の複数の権限者ごとに分割する分割部と、分割された第1鍵情報を、複数の権限者の複数の権限者装置それぞれに送信し、送信済みの第1鍵情報を鍵記憶部から削除する送信部と、を備える。
【選択図】図7
【特許請求の範囲】
【請求項1】
ユーザのユーザ装置から、データまたは価値に対する第1処理の履歴に関する第1履歴情報に対する訂正を要求する訂正要求を受け付ける要求受付部と、
訂正前の前記第1履歴情報を、鍵記憶部に記憶された第1鍵情報を用いて秘匿化を行う秘匿化部と、
前記秘匿化された訂正前の第1履歴情報を、バックアップ用記憶部に保存する保存部と、
前記訂正要求に基づいて、前記第1履歴情報を記憶する履歴記憶部を参照して、前記第1履歴情報を訂正するための処理を行う訂正部と、
前記第1鍵情報を、前記第1履歴情報の複数の権限者ごとに分割する分割部と、
前記分割された第1鍵情報を、前記複数の権限者の複数の権限者装置それぞれに送信し、送信済みの第1鍵情報を前記鍵記憶部から削除する送信部と、を備える、
情報処理装置。
訂正前の前記第1履歴情報を、鍵記憶部に記憶された第1鍵情報を用いて秘匿化を行う秘匿化部と、
前記秘匿化された訂正前の第1履歴情報を、バックアップ用記憶部に保存する保存部と、
前記訂正要求に基づいて、前記第1履歴情報を記憶する履歴記憶部を参照して、前記第1履歴情報を訂正するための処理を行う訂正部と、
前記第1鍵情報を、前記第1履歴情報の複数の権限者ごとに分割する分割部と、
前記分割された第1鍵情報を、前記複数の権限者の複数の権限者装置それぞれに送信し、送信済みの第1鍵情報を前記鍵記憶部から削除する送信部と、を備える、
情報処理装置。
【請求項2】
前記権限者ごとに、前記第1履歴情報に対する権限レベルが設定され、
前記分割部は、前記第1鍵情報を、前記複数の権限者の中で所定の権限レベル以上の前記権限レベルが設定された複数の上位権限者ごとに分割し、
前記送信部は、前記分割された第1鍵情報を、前記複数の上位権限者の前記複数の権限者装置それぞれに送信し、送信済みの前記分割された第1鍵情報を前記鍵記憶部から削除する、
請求項1に記載の情報処理装置。
前記分割部は、前記第1鍵情報を、前記複数の権限者の中で所定の権限レベル以上の前記権限レベルが設定された複数の上位権限者ごとに分割し、
前記送信部は、前記分割された第1鍵情報を、前記複数の上位権限者の前記複数の権限者装置それぞれに送信し、送信済みの前記分割された第1鍵情報を前記鍵記憶部から削除する、
請求項1に記載の情報処理装置。
【請求項3】
前記第1処理は、データまたは価値の移転をするための処理であり、
前記ユーザは、前記移転の移転元または移転先であり、
前記情報処理装置は、
前記訂正要求が受け付けられた場合、前記移転の移転元または移転先の移転者の移転者装置に、前記訂正要求がなされた旨を示す要求通知を通知する第1通知部と、
前記相手方装置から、前記要求通知に対する応答として、前記訂正要求に対する評価を受け付ける第1評価受付部と、をさらに備え、
前記訂正部は、前記受け付けられた評価にさらに基づいて、前記第1履歴情報を訂正するための処理を行う、
請求項1または2に記載の情報処理装置。
前記ユーザは、前記移転の移転元または移転先であり、
前記情報処理装置は、
前記訂正要求が受け付けられた場合、前記移転の移転元または移転先の移転者の移転者装置に、前記訂正要求がなされた旨を示す要求通知を通知する第1通知部と、
前記相手方装置から、前記要求通知に対する応答として、前記訂正要求に対する評価を受け付ける第1評価受付部と、をさらに備え、
前記訂正部は、前記受け付けられた評価にさらに基づいて、前記第1履歴情報を訂正するための処理を行う、
請求項1または2に記載の情報処理装置。
【請求項4】
前記第1履歴情報は、データまたは価値に対する第2処理であって前記第1処理に関連する第2処理の第2履歴情報と関連づけられて前記履歴記憶部に記憶され、
前記訂正部は、前記訂正するための処理を行う際に、訂正前の前記第1履歴情報と前記第2履歴情報との関連づけを解除し、訂正後の前記第1履歴情報を、前記第2履歴情報と関連づけて前記履歴記憶部に記憶する、
請求項1から3のいずれか一項に記載の情報処理装置。
前記訂正部は、前記訂正するための処理を行う際に、訂正前の前記第1履歴情報と前記第2履歴情報との関連づけを解除し、訂正後の前記第1履歴情報を、前記第2履歴情報と関連づけて前記履歴記憶部に記憶する、
請求項1から3のいずれか一項に記載の情報処理装置。
【請求項5】
前記第2処理は、データまたは価値の移転をするための処理であり、
前記訂正要求が受け付けられた場合、かつ前記第1履歴情報が前記第2履歴情報に関連づけられて記憶されている場合、前記第2処理の移転元または移転先の移転者の移転者装置に、前記訂正要求がなされた旨を示す要求通知を通知する第2通知部と、
前記移転者装置から、前記要求通知に対する応答として、前記訂正要求に対する評価を受け付ける第2評価受付部と、をさらに備え、
前記訂正部は、前記受け付けられた評価にさらに基づいて、前記第1履歴情報を訂正するための処理を行う、
請求項4に記載の情報処理装置。
前記訂正要求が受け付けられた場合、かつ前記第1履歴情報が前記第2履歴情報に関連づけられて記憶されている場合、前記第2処理の移転元または移転先の移転者の移転者装置に、前記訂正要求がなされた旨を示す要求通知を通知する第2通知部と、
前記移転者装置から、前記要求通知に対する応答として、前記訂正要求に対する評価を受け付ける第2評価受付部と、をさらに備え、
前記訂正部は、前記受け付けられた評価にさらに基づいて、前記第1履歴情報を訂正するための処理を行う、
請求項4に記載の情報処理装置。
【請求項6】
前記要求受付部は、前記ユーザ装置から、前記訂正前の第1履歴情報の参照を要求する参照要求を受け付け、
前記情報処理装置は、
前記複数の権限者装置それぞれから、前記参照に対する前記権限者の合意と前記分割された第1鍵情報を含む合意情報を取得する取得部と、
前記参照要求および前記合意情報に基づいて、前記バックアップ用記憶部を参照して、前記秘匿化された訂正前の第1履歴情報の秘匿化を解除する解除部と、
前記秘匿化を解除された訂正前の第1履歴情報を、前記ユーザ装置に提供する提供部と、をさらに備える、
請求項1から5のいずれか一項に記載の情報処理装置。
前記情報処理装置は、
前記複数の権限者装置それぞれから、前記参照に対する前記権限者の合意と前記分割された第1鍵情報を含む合意情報を取得する取得部と、
前記参照要求および前記合意情報に基づいて、前記バックアップ用記憶部を参照して、前記秘匿化された訂正前の第1履歴情報の秘匿化を解除する解除部と、
前記秘匿化を解除された訂正前の第1履歴情報を、前記ユーザ装置に提供する提供部と、をさらに備える、
請求項1から5のいずれか一項に記載の情報処理装置。
【請求項7】
前記要求受付部は、前記ユーザ装置から、前記訂正前の第1履歴情報の復旧を要求する復旧要求を受け付け、
前記情報処理装置は、
前記複数の権限者装置それぞれから、前記復旧に対する前記権限者の合意と前記分割された第1鍵情報を含む合意情報を取得する取得部と、
前記復旧要求および前記合意情報に基づいて、前記バックアップ用記憶部を参照して、前記秘匿化された訂正前の第1履歴情報の秘匿化を解除する解除部と、
前記秘匿化を解除された訂正前の第1履歴情報を、前記履歴記憶部に復旧させる復旧部と、をさらに備える、
請求項1から6のいずれか一項に記載の情報処理装置。
前記情報処理装置は、
前記複数の権限者装置それぞれから、前記復旧に対する前記権限者の合意と前記分割された第1鍵情報を含む合意情報を取得する取得部と、
前記復旧要求および前記合意情報に基づいて、前記バックアップ用記憶部を参照して、前記秘匿化された訂正前の第1履歴情報の秘匿化を解除する解除部と、
前記秘匿化を解除された訂正前の第1履歴情報を、前記履歴記憶部に復旧させる復旧部と、をさらに備える、
請求項1から6のいずれか一項に記載の情報処理装置。
【請求項8】
前記秘匿化部は、前記復旧部により訂正前の第1履歴情報を復旧させる際に、訂正後の前記第1履歴情報を、前記鍵記憶部に記憶された第2鍵情報を用いて秘匿化を行い、
前記保存部は、前記秘匿化された訂正後の第1履歴情報を、前記バックアップ用記憶部に保存する、
前記分割部は、前記第2鍵情報を、前記複数の権限者ごとに分割し、
前記送信部は、前記分割された第2鍵情報を、前記複数の権限者装置それぞれに送信し、送信済みの前記分割された第2鍵情報を前記鍵記憶部から削除する、
請求項7に記載の情報処理装置。
前記保存部は、前記秘匿化された訂正後の第1履歴情報を、前記バックアップ用記憶部に保存する、
前記分割部は、前記第2鍵情報を、前記複数の権限者ごとに分割し、
前記送信部は、前記分割された第2鍵情報を、前記複数の権限者装置それぞれに送信し、送信済みの前記分割された第2鍵情報を前記鍵記憶部から削除する、
請求項7に記載の情報処理装置。
【請求項9】
前記分割部は、前記訂正前の第1履歴情報を、前記複数の権限者ごとに分割し、
前記秘匿化部は、前記分割された訂正前の第1履歴情報それぞれを、前記第1鍵情報を用いて秘匿化を行い、
前記保存部は、前記秘匿化され分割された訂正前の第1履歴情報を、前記バックアップ用記憶部に保存する、
請求項1から8のいずれか一項に記載の情報処理装置。
前記秘匿化部は、前記分割された訂正前の第1履歴情報それぞれを、前記第1鍵情報を用いて秘匿化を行い、
前記保存部は、前記秘匿化され分割された訂正前の第1履歴情報を、前記バックアップ用記憶部に保存する、
請求項1から8のいずれか一項に記載の情報処理装置。
【請求項10】
前記第1鍵情報は、前記分割された訂正前の第1履歴情報を分割前に復元するための履歴復元情報を含み、
前記情報処理装置は、
前記秘匿化を解除され分割された訂正前の第1履歴情報を、前記権限者装置から取得された第1鍵情報に基づいて、訂正前の第1履歴情報を分割前に復元する復元部をさらに備える、
請求項8に記載の情報処理装置。
前記情報処理装置は、
前記秘匿化を解除され分割された訂正前の第1履歴情報を、前記権限者装置から取得された第1鍵情報に基づいて、訂正前の第1履歴情報を分割前に復元する復元部をさらに備える、
請求項8に記載の情報処理装置。
【請求項11】
前記情報処理装置は、前記権限者装置から、前記第1鍵情報について、分割して前記複数の権限者装置に保存させることと、前記ユーザ、および前記第1処理に関する事業者以外の第三者機関の第三者機関装置に保存させることと、のいずれかの選択を受け付ける選択受付部をさらに備え、
前記送信部は、前記第三者機関装置に保存させる選択を受け付けた場合、前記分割部による前記第1鍵情報の分割をさせないで、前記第1鍵情報を前記第三者機関に送信し、送信済みの第1鍵情報を前記鍵記憶部から削除する、
請求項1から9のいずれか一項に記載の情報処理装置。
前記送信部は、前記第三者機関装置に保存させる選択を受け付けた場合、前記分割部による前記第1鍵情報の分割をさせないで、前記第1鍵情報を前記第三者機関に送信し、送信済みの第1鍵情報を前記鍵記憶部から削除する、
請求項1から9のいずれか一項に記載の情報処理装置。
【請求項12】
前記情報処理装置は、前記第1鍵情報について、前記第1履歴情報の特性に基づいて、分割して前記複数の権限者装置に保存させることと、前記ユーザ、および前記第1処理に関する事業者以外の第三者機関の第三者機関装置に保存させることと、のいずれかを選択する選択部をさらに備え、
前記送信部は、前記第三者機関装置に保存させる選択を受け付けた場合、前記分割部による前記第1鍵情報の分割をさせないで、前記第1鍵情報を前記第三者機関に送信し、送信済みの第1鍵情報を前記鍵記憶部から削除する、
請求項1から9のいずれか一項に記載の情報処理装置。
前記送信部は、前記第三者機関装置に保存させる選択を受け付けた場合、前記分割部による前記第1鍵情報の分割をさせないで、前記第1鍵情報を前記第三者機関に送信し、送信済みの第1鍵情報を前記鍵記憶部から削除する、
請求項1から9のいずれか一項に記載の情報処理装置。
【請求項13】
コンピュータに、
ユーザのユーザ装置から、データまたは価値に対する第1処理の履歴に関する第1履歴情報に対する訂正を要求する訂正要求を受け付ける要求受付機能と、
訂正前の前記第1履歴情報を、鍵記憶部に記憶された第1鍵情報を用いて秘匿化を行う秘匿化機能と、
前記秘匿化された訂正前の第1履歴情報を、バックアップ用記憶部に保存する保存機能と、
前記訂正要求に基づいて、前記第1履歴情報を記憶する履歴記憶部を参照して、前記第1履歴情報を訂正するための処理を行う訂正機能と、
前記第1鍵情報を、前記第1履歴情報の複数の権限者ごとに分割する分割機能と、
前記分割された第1鍵情報を、前記複数の権限者の複数の権限者装置それぞれに送信し、送信済みの第1鍵情報を前記鍵記憶部から削除する送信機能と、を実現させる、
プログラム。
ユーザのユーザ装置から、データまたは価値に対する第1処理の履歴に関する第1履歴情報に対する訂正を要求する訂正要求を受け付ける要求受付機能と、
訂正前の前記第1履歴情報を、鍵記憶部に記憶された第1鍵情報を用いて秘匿化を行う秘匿化機能と、
前記秘匿化された訂正前の第1履歴情報を、バックアップ用記憶部に保存する保存機能と、
前記訂正要求に基づいて、前記第1履歴情報を記憶する履歴記憶部を参照して、前記第1履歴情報を訂正するための処理を行う訂正機能と、
前記第1鍵情報を、前記第1履歴情報の複数の権限者ごとに分割する分割機能と、
前記分割された第1鍵情報を、前記複数の権限者の複数の権限者装置それぞれに送信し、送信済みの第1鍵情報を前記鍵記憶部から削除する送信機能と、を実現させる、
プログラム。
【請求項14】
コンピュータが、
ユーザのユーザ装置から、データまたは価値に対する第1処理の履歴に関する第1履歴情報に対する訂正を要求する訂正要求を受け付け、
訂正前の前記第1履歴情報を、鍵記憶部に記憶された第1鍵情報を用いて秘匿化を行い、
前記秘匿化された訂正前の第1履歴情報を、バックアップ用記憶部に保存し、
前記訂正要求に基づいて、前記第1履歴情報を記憶する履歴記憶部を参照して、前記第1履歴情報を訂正するための処理を行い、
前記第1鍵情報を、前記第1履歴情報の複数の権限者ごとに分割し、
前記分割された第1鍵情報を、前記複数の権限者の複数の権限者装置それぞれに送信し、送信済みの第1鍵情報を前記鍵記憶部から削除する、
情報処理方法。
ユーザのユーザ装置から、データまたは価値に対する第1処理の履歴に関する第1履歴情報に対する訂正を要求する訂正要求を受け付け、
訂正前の前記第1履歴情報を、鍵記憶部に記憶された第1鍵情報を用いて秘匿化を行い、
前記秘匿化された訂正前の第1履歴情報を、バックアップ用記憶部に保存し、
前記訂正要求に基づいて、前記第1履歴情報を記憶する履歴記憶部を参照して、前記第1履歴情報を訂正するための処理を行い、
前記第1鍵情報を、前記第1履歴情報の複数の権限者ごとに分割し、
前記分割された第1鍵情報を、前記複数の権限者の複数の権限者装置それぞれに送信し、送信済みの第1鍵情報を前記鍵記憶部から削除する、
情報処理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置、プログラムおよび情報処理方法に関する。
【背景技術】
【0002】
近年、情報処理や決済処理等の、データまたは価値に対する処理の履歴情報を記録・参照するための技術が知られている。また、このような技術では、個人情報保護や情報セキュリティの観点で、履歴情報の機密性や完全性を一定程度担保する必要がある。例えば、特許文献1には、設定データを操作した際のユーザデータを含む履歴情報の一部をマスクして記録する自動設定システムが開示されている。この自動設定システムでは、履歴情報の取得要求に対し、履歴情報に含まれるユーザデータがマスクされておらず、かつ、履歴情報を保有する組織と履歴情報の取得要求元のユーザが属する組織とが異なる場合、履歴情報の一部がマスクされる。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2020-135576号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところで、誤った履歴情報が記録されていた場合、この誤った履歴情報に対して訂正(修正や削除)を要求されることがある。また、このような訂正の要求に応える際にも履歴情報の機密性や完全性を担保する必要がある。しかしながら、上記従来技術では、履歴情報の機密性や完全性を担保しつつ履歴情報の訂正の要求に応えることができない。
【0005】
そこで、本発明は、データまたは価値に対する処理の履歴情報の機密性や完全性を担保しつつ履歴情報の訂正を可能とする情報処理装置、プログラムおよび情報処理方法を提供することを目的とする。
【課題を解決するための手段】
【0006】
本発明の一態様に係る情報処理装置は、ユーザのユーザ装置から、データまたは価値に対する第1処理の履歴に関する第1履歴情報に対する訂正を要求する訂正要求を受け付ける要求受付部と、訂正前の第1履歴情報を、鍵記憶部に記憶された第1鍵情報を用いて秘匿化を行う秘匿化部と、秘匿化された訂正前の第1履歴情報を、バックアップ用記憶部に保存する保存部と、訂正要求に基づいて、第1履歴情報を記憶する履歴記憶部を参照して、第1履歴情報を訂正するための処理を行う訂正部と、第1鍵情報を、第1履歴情報の複数の権限者ごとに分割する分割部と、分割された第1鍵情報を、複数の権限者の複数の権限者装置それぞれに送信し、送信済みの第1鍵情報を鍵記憶部から削除する送信部と、を備える。
【0007】
本発明の一態様に係るプログラムは、コンピュータに、ユーザのユーザ装置から、データまたは価値に対する第1処理の履歴に関する第1履歴情報に対する訂正を要求する訂正要求を受け付ける要求受付機能と、訂正前の第1履歴情報を、鍵記憶部に記憶された第1鍵情報を用いて秘匿化を行う秘匿化機能と、秘匿化された訂正前の第1履歴情報を、バックアップ用記憶部に保存する保存機能と、訂正要求に基づいて、第1履歴情報を記憶する履歴記憶部を参照して、第1履歴情報を訂正するための処理を行う訂正機能と、第1鍵情報を、第1履歴情報の複数の権限者ごとに分割する分割機能と、分割された第1鍵情報を、複数の権限者の複数の権限者装置それぞれに送信し、送信済みの第1鍵情報を鍵記憶部から削除する送信機能と、を実現させる。
【0008】
本発明の一態様に係る情報処理方法は、コンピュータが、ユーザのユーザ装置から、データまたは価値に対する第1処理の履歴に関する第1履歴情報に対する訂正を要求する訂正要求を受け付け、訂正前の第1履歴情報を、鍵記憶部に記憶された第1鍵情報を用いて秘匿化を行い、秘匿化された訂正前の第1履歴情報を、バックアップ用記憶部に保存し、訂正要求に基づいて、第1履歴情報を記憶する履歴記憶部を参照して、第1履歴情報を訂正するための処理を行い、第1鍵情報を、第1履歴情報の複数の権限者ごとに分割し、分割された第1鍵情報を、複数の権限者の複数の権限者装置それぞれに送信し、送信済みの第1鍵情報を鍵記憶部から削除する。
【発明の効果】
【0009】
本発明によればデータまたは価値に対する処理の履歴情報の機密性や完全性を担保しつつ履歴情報の訂正を可能とする情報処理装置、プログラムおよび情報処理方法を提供することができる。
【図面の簡単な説明】
【0010】
【図1】第1実施形態に係る情報管理システムのシステム構成例を説明するための図である。
【図2】第1実施形態に係る情報管理システムの概要の一例を説明するための図である。
【図3】第1実施形態に係る情報管理システムの概要の一例を説明するための図である。
【図4】第1実施形態に係る情報管理システムの概要の一例を説明するための図である。
【図5】第1実施形態に係る情報管理システムの概要の一例を説明するための図である。
【図6】第1実施形態に係る情報管理システムの概要の一例を説明するための図である。
【図7】第1実施形態に係る管理装置の機能構成の一例を示す図である。
【図8】第1実施形態に係る情報管理システムのデータ構成の一例を示す図である。
【図9】第1実施形態に係る情報管理システムのデータ構成の一例を示す図である。
【図10】第1実施形態に係る情報管理システムの動作例を示す図である。
【図11】第1実施形態に係る情報管理システムの動作例を示す図である。
【図12】第1実施形態に係る管理装置のハードウェア構成の一例を示す図である。
【図13】第2実施形態に係る管理装置の機能構成の一例を示す図である。
【発明を実施するための形態】
【0011】
添付図面を参照して、本発明の好適な実施形態について説明する。なお、各図において、同一の符号を付したものは、同一または同様の構成を有する。
【0012】
本発明において、「部」や「手段」、「装置」、「システム」とは、単に物理的手段を意味するものではなく、その「部」や「手段」、「装置」、「システム」が有する機能をソフトウェアによって実現する場合も含む。また、1つの「部」や「手段」、「装置」、「システム」が有する機能が2つ以上の物理的手段や装置により実現されても、2つ以上の「部」や「手段」、「装置」、「システム」の機能が1つの物理的手段や装置により実現されても良い。
【0013】
[第1実施形態]
本発明の第1実施形態(以下、「本実施形態」という)について説明する。
本発明の第1実施形態(以下、「本実施形態」という)について説明する。
【0014】
本実施形態に係る情報管理システム1は、データまたは価値を含む対象に対する処理の履歴に関する履歴情報を管理するためのシステムである。情報管理システム1は、例えば、対象の移転(以下、単に「移転」ともいう)を実行する複数の事業者それぞれから移転の履歴を取得し、取得した移転の履歴の中からユーザが所望する履歴を取り出すことができるインフラ(以下、「リトリーバル(Retrieval)インフラ」ともいう)を提供する。また、情報管理システム1は、リトリーバルインフラで管理するこれらの履歴情報に対する訂正要求を受け付けて、この訂正要求に基づいて、情報セキュリティ(機密性・完全性・可用性)を担保しつつ履歴情報の訂正(修正や削除)を行う。
【0015】
「対象」とは、履歴情報の履歴における処理の対象である。対象は、例えば、処理が「移転」の場合、複数のアカウント間を移転する価値または複数の装置間を移転するデータの少なくともいずれかを含む。また、対象は、例えば、処理が「操作」の場合、操作するデータを含む。また、ここで「アカウント」とは、典型的には口座だが、他にもネットワーク上のサービスを受けるためのユーザの権利(ユーザIDとパスワードの組み合わせ)や対象が有体物の場合にはその所有者等としてもよい。
【0016】
「価値」とは、例えば、電子マネーや仮想通貨(暗号資産)、または各社が発行するポイント(いわゆる企業通貨)等を含む。
【0017】
「価値の移転」とは、価値を所有する所有者が変わることをいう。価値の移転は、例えば、同じ人物が保有する複数の異なるアカウント(例えば、口座)間の移転を含んでもよい。価値の移転は、例えば、複数の口座間の送金取引、口座への入金/口座からの出金、ポイント変換、銀行口座を利用する決済取引(例えば、銀行振込)、またはデビットカードやクレジットカードもしくはプリペイドカード等を利用したカード決済取引等を含んでもよい。
【0018】
「操作」とは、例えば、データの取得、更新、加工、統合または提供等をいう。
【0019】
<1.システム構成>
図1を参照して、本実施形態に係る情報管理システム1のシステム構成例を説明する。
図1を参照して、本実施形態に係る情報管理システム1のシステム構成例を説明する。
【0020】
図1に示すように、情報管理システム1は、管理装置100と、ユーザ装置200と、相手方装置300と、事業者装置400と、を含む。
【0021】
管理装置100は、ユーザ装置200と相手方装置300と事業者装置400との間で履歴情報等の連携を行うため、ネットワークNを介してこれらの装置と通信可能に接続されている。また、管理装置100は、例えば、ネットワークNを介して、その他の外部の装置、例えば、外部システム5の第三者機関装置500と通信可能に接続されてもよい。
【0022】
「履歴情報」とは、データまたは価値に対する処理の履歴(ログを含む)に関する情報である。履歴情報は、例えば、移転の履歴を示す情報であってもよいし、移転の履歴にアクセスするためのアクセス情報(例えば、URL等)であってもよい。履歴情報は、第1履歴情報と、第2履歴情報とを含む。履歴情報の詳細は、後述の要求受付部111で説明する。
【0023】
「第1履歴情報」とは、データまたは価値に対する第1処理の履歴に関する情報である。第1処理は、例えば、データまたは価値の移転をするための処理であってもよい。
【0024】
「第2履歴情報」とは、データまたは価値に対する第2処理の履歴に関する情報である。第2処理は、第1処理と異なる処理であり、第1処理と関連する処理である。第1処理と第2処理とは、例えば、一定の連関性や因果関係があればよい。第2処理は、例えば、データまたは価値の移転をするための処理であってもよい。
【0025】
第2処理は、例えば、第1処理に対する以下の(A)~(B21)のような処理であってもよい。
(A)同一の取引に関する処理
(A1)同一の取引に関する処理の中で、一定の連続性がある処理
(B)関連する取引に関する処理
(B1)同じユーザに関する所定期間内における異なる取引に関する処理
(B11)異なる取引に関する処理の中で、一定の連続性がある処理
(B2)同じ相手方に関する所定期間内における異なる取引に関する処理
(B21)異なる取引に関する処理の中で、一定の連続性がある処理
(A)同一の取引に関する処理
(A1)同一の取引に関する処理の中で、一定の連続性がある処理
(B)関連する取引に関する処理
(B1)同じユーザに関する所定期間内における異なる取引に関する処理
(B11)異なる取引に関する処理の中で、一定の連続性がある処理
(B2)同じ相手方に関する所定期間内における異なる取引に関する処理
(B21)異なる取引に関する処理の中で、一定の連続性がある処理
【0026】
上記(A)の場合、例えば、クレジットカード決済を用いた商取引であれば、クレジットカード利用者の口座からの出金の処理を第1処理とし、クレジットカードを利用して商品を購入した加盟店の口座への入金の処理を第2処理としてもよい。また、上記(A)の場合、送金取引であれば、送金元の銀行口座からの出金の処理を第1処理とし、送金先の相手の銀行口座への入金の処理を第2処理としてもよい。
【0027】
ネットワークNは、無線ネットワークや有線ネットワークにより構成される。ネットワークの一例としては、携帯電話網や、PHS(Personal Handy-phone System)網、無線LAN(Local Area Network)、3G(3rd Generation)、LTE(Long Term Evolution)、4G(4th Generation)、5G(5th Generation)、WiMax(登録商標)、赤外線通信、Bluetooth(登録商標)、有線LAN、電話線、電灯線ネットワーク、IEEE1394等に準拠したネットワークがある。
【0028】
管理装置100は、リトリーバルインフラにより、履歴情報をユーザに提供し、またユーザからの要求に応じて履歴情報の訂正を可能とするサービス(以下、「情報管理サービス」という)を提供するための情報処理装置である。管理装置100は、所定のプログラムを実行することにより、複数の事業者装置400から取得した履歴情報のうちユーザが必要とするものを抽出して当該ユーザのユーザ装置200に提供するサーバ機能を実現する。また、管理装置100は、ユーザからの訂正要求を受け付けて、この訂正要求に基づいて履歴情報の訂正を行う。なお、この所定のプログラムは、例えば、管理装置100にインストールされた情報管理システム1専用のプログラムであってもよい。
【0029】
管理装置100は、情報管理システム1専用のハードウェアやOS等(例えば、オンプレミス型のサーバ構成)を設けてもよいし、クラウドサーバによるSaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure as a Service)を適宜用いてもよい。
【0030】
管理装置100は、例えば、履歴情報を取得するための情報管理システム1用のSDK(Software Development Kit)やAPI(Application Programming Interface)を事業者装置400に提供してもよい。事業者装置400は、これらのSDKやAPIを利用して履歴情報を管理装置100に取得させてもよい。
【0031】
ユーザ装置200は、スマートフォンやラップトップ等の端末装置であり、管理装置100や事業者装置400が提供する機能に対するユーザからの入力やこれらの機能からのユーザに対する出力、これらの装置との通信を行うことが可能である。ユーザ装置200は、所定のプログラムを実行することにより、管理装置100や事業者装置400と接続してこれらの装置の機能に関する情報を送受信したり、顧客からのこれらの機能に対する指示を受け付けたりする。ユーザ装置200は、例えば、履歴情報に対する訂正を要求する訂正要求(以下、単に「訂正要求」ともいう)の入力を受け付けたり、訂正前の履歴情報の復旧を要求する復旧要求(以下、単に「復旧要求」ともいう)の入力を受け付けたりする。なお、この所定のプログラムは、例えば、ユーザ装置200が標準的に備えるWebアプリであってもよいし、ユーザ装置200にインストールされた情報管理システム1専用のアプリケーションプログラム(以下、「情報提供アプリ」ともいう)であってもよい。
【0032】
ユーザは、情報管理システム1を利用する者であり、例えば、データまたは価値の移転の移転元または移転先の移転者であってもよい。
【0033】
相手方装置300は、スマートフォンやラップトップ等の端末装置であり、管理装置100や事業者装置400が提供する機能に対する相手方からの入力やこれらの機能からの相手方に対する出力、これらの装置との通信を行うことが可能である。ここで「相手方」とは、対象の移転の移転元または移転先の相手である。相手方もユーザであり、相手方装置300はユーザ装置200でもある。相手方装置300は、所定のプログラムを実行することにより、管理装置100や事業者装置400と接続してこれらの装置の機能に関する情報を送受信したり、相手方からのこれらの機能に対する指示を受け付けたりする。相手方装置300は、例えば、訂正要求がなされた旨を示す要求通知(以下、単に「要求通知」ともいう)を管理装置100から受信して出力したり、訂正要求に対する評価の入力を受け付けたりする。なお、この所定のプログラムは、相手方装置300が標準的に備えるWebアプリであってもよいし、情報提供アプリであってもよい。
【0034】
第1処理や第2処理がデータまたは価値の移転をするための処理で、かつユーザもその相手方も移転元または移転先の移転者の場合、ユーザ装置200と相手方装置300は、移転者が使用する移転者装置でもある。
【0035】
事業者装置400は、価値の移転やデータの操作等の対象に対する処理を実行する事業者が使用する情報処理装置である。事業者は、リトリーバルインフラのユーザでもある。本実施形態では、事業者装置400を、事業者Aが使用する事業者装置400a、事業者Bが使用する事業者装置400b、および事業者Cが使用する事業者装置400cとする例を説明するがこれに限る趣旨ではない。
【0036】
事業者Aは、仮想通貨であるAコインを発行元の事業者である。事業者Aは、Aコインによる取引を実行する。事業者Bは、電子マネーであるBペイの発行元の事業者である。事業者Cは、Cポイントの発行元の事業者である。事業者Cは、Cポイントによる取引を実行する。事業者装置400は、事業者それぞれの取引を実行するための処理を行う。そして事業者装置400は、実行した取引の履歴(移転の履歴)をそれぞれの記憶部に記憶する。
【0037】
ユーザ装置200と、相手方装置300と、事業者装置400の少なくとも一部とは、例えば、それぞれ後述の権限者装置であってもよい。権限者装置であるユーザ装置200と、相手方装置300と、事業者装置400とは、管理装置100から管理装置100から分割された鍵情報を受信し、受信した鍵情報を管理する。また、これらの装置は、管理装置100からの合意情報等の要求に応じて、管理する鍵情報を管理装置100に送信する。これらの装置は、例えば、送信済みの鍵情報は削除してもよい。ここで「合意情報」とは、第1履歴情報に対する参照・復旧等に対する権限者等の合意を示す情報である。
【0038】
第三者機関装置500は、第三者機関が使用する情報処理装置である。第三者機関装置500は、例えば、権限者装置であってもよい。第三者機関装置500は、例えば、管理装置100から鍵情報を受信し、受信した鍵情報を管理する。また、第三者機関装置500は、管理装置100からの合意情報等の要求に応じて、管理する鍵情報を管理装置100に送信する。第三者機関装置500は、例えば、送信済みの鍵情報は削除してもよい。
【0039】
「第三者機関」とは、ユーザ、および第1処理に関する事業者以外の機関である。第三者機関は、中立的な機関であり、例えば、監査者(監督官庁やスキーム運営者)、弁護士、TTP(Trusted Tird Party)等の機関である。また、第三者機関は、例えば、第2処理に関する事業者以外の機関としてもよい。
【0040】
<2.概要>
図2~6を参照して、情報管理システム1の概要の例を説明する。図2では履歴情報の取得・記憶の場面、図3では訂正がない履歴情報の参照の場面、図4では履歴情報の訂正の場面、図5では訂正前の履歴情報の参照の場面、図6では訂正前の履歴情報の復旧の場面それぞれの場面での概要の例を説明する。
図2~6を参照して、情報管理システム1の概要の例を説明する。図2では履歴情報の取得・記憶の場面、図3では訂正がない履歴情報の参照の場面、図4では履歴情報の訂正の場面、図5では訂正前の履歴情報の参照の場面、図6では訂正前の履歴情報の復旧の場面それぞれの場面での概要の例を説明する。
【0041】
<2-1.履歴情報の取得・記憶>
図2を参照して、情報管理システム1での履歴情報の取得・記憶の例を説明する。前提として、図2に示すように、以下の価値の移転(ア)~(カ)がユーザ1~4の間で実行されたとする。
(ア)事業者装置400aにおいて、ユーザ1の顧客確認(KYC)の上、ユーザ1のAコインの口座へ入金(移転者:ユーザ1)
(イ)事業者装置400aにおいて、ユーザ1・2のAコインの口座間で送金(移転者:ユーザ1・2)
(ウ)事業者装置400aと事業者装置400bにおいて、ユーザ2のAコインの口座から指定した量をBペイに変換して、ユーザ2のBペイの口座に移行(移転者:ユーザ2)
(エ)事業者装置400bと事業者装置400cにおいて、ユーザ2のBペイの口座からユーザ3のCポイントの口座に指定した量を送金(移転者:ユーザ2・3)
(オ)事業者装置400cにおいて、ユーザ3・4のCポイントの口座間で送金(移転者はユーザ3・4)
(カ)事業者装置400cにおいて、商品等の購入に対する支払い決済のため、ユーザ4の顧客確認の上、ユーザ4のCポイントの口座から出金(移転者:ユーザ4)
図2を参照して、情報管理システム1での履歴情報の取得・記憶の例を説明する。前提として、図2に示すように、以下の価値の移転(ア)~(カ)がユーザ1~4の間で実行されたとする。
(ア)事業者装置400aにおいて、ユーザ1の顧客確認(KYC)の上、ユーザ1のAコインの口座へ入金(移転者:ユーザ1)
(イ)事業者装置400aにおいて、ユーザ1・2のAコインの口座間で送金(移転者:ユーザ1・2)
(ウ)事業者装置400aと事業者装置400bにおいて、ユーザ2のAコインの口座から指定した量をBペイに変換して、ユーザ2のBペイの口座に移行(移転者:ユーザ2)
(エ)事業者装置400bと事業者装置400cにおいて、ユーザ2のBペイの口座からユーザ3のCポイントの口座に指定した量を送金(移転者:ユーザ2・3)
(オ)事業者装置400cにおいて、ユーザ3・4のCポイントの口座間で送金(移転者はユーザ3・4)
(カ)事業者装置400cにおいて、商品等の購入に対する支払い決済のため、ユーザ4の顧客確認の上、ユーザ4のCポイントの口座から出金(移転者:ユーザ4)
【0042】
(1)管理装置100の取得部120は、上記価値の移転(ア)~(カ)を実行する事業者A~Cそれぞれが使用する事業者装置400から、第1履歴情報(ア)~(カ)を取得する。なお本例では、第1履歴情報(ア)~(カ)を、単に「履歴(ア)~(カ)」ともいう。
【0043】
(2)管理装置100の記録部(不図示)は、取得された第1履歴情報に基づいて、価値または価値の移転の少なくともいずれかを表すタグ情報を、当該移転の履歴情報に関連づけて履歴記憶部に記録する。なおここでいう「履歴記憶部」は、最新の履歴情報を記憶する記憶部であり、後述の管理装置100の履歴記憶部131であってもよいし、外部装置の記憶部であってもよい。ここで「タグ情報」とは、価値または価値の移転の少なくともいずれかを表す情報である。言い換えれば、タグ情報は、履歴情報に含まれる項目に意味付けを行う情報である。
【0044】
記録部は、例えば、移転の移転元または移転先のアカウント識別情報を表すタグ情報「ユーザ1~4」を、それぞれの移転の履歴情報に関連づけて記録してもよい。例えば、履歴(オ)には、移転元のアカウント識別情報「ユーザ3」とするタグ情報と移転先のアカウント識別情報「ユーザ4」とするタグ情報がそれぞれ関連づけられている。
【0045】
上記構成によれば、管理装置100は、履歴情報に関連づけたタグ情報によってユーザが要求するものを検索して抽出することができる。このため上記構成によれば、例えば、管理装置100は、検索・抽出のために履歴情報を正規化等する必要がない。したがって上記構成によれば、管理装置100は、複数の事業者における履歴情報のフォーマットがそれぞれ異なっていても、これらのフォーマットを統一させることなく検索・抽出を可能にできる。
【0046】
<2-2.履歴情報の提供>
図3を参照して、情報管理システム1での訂正がされていない履歴情報の参照の例を説明する。本例を含め図3~図6の例では、タグ情報をタグ記憶部(図3~6では、タグ記憶部を「タグDB」と表記)に記憶するものとする。タグ情報と履歴情報とは、その記憶場所(DB)は違うものの、関連づけて記憶されている。タグ記憶部と履歴記憶部とは、異なるセキュリティレベルを設定されていてもよい。
図3を参照して、情報管理システム1での訂正がされていない履歴情報の参照の例を説明する。本例を含め図3~図6の例では、タグ情報をタグ記憶部(図3~6では、タグ記憶部を「タグDB」と表記)に記憶するものとする。タグ情報と履歴情報とは、その記憶場所(DB)は違うものの、関連づけて記憶されている。タグ記憶部と履歴記憶部とは、異なるセキュリティレベルを設定されていてもよい。
【0047】
(1)図3に示すように、ユーザ4は、自身に送金してきたユーザ3の価値(Cポイント)がどのように移転されてきたものかを確認するため、ユーザ3に関する移転の第1履歴情報の参照を管理装置100に要求する。具体的には、ユーザ4は、ユーザ装置200から移転の履歴を要求する参照要求を管理装置100に送信する。管理装置100の要求受付部111は、この参照要求をユーザ装置200から受け付ける。
【0048】
(2)管理装置100の取得部120は、タグ情報および上記(1)の参照要求に基づいて、履歴記憶部(図3~6では、履歴記憶部を「履歴DB」と表記)を検索する。本例では、ユーザ3に関する移転の第1履歴情報を検索する際の検索キーを、「ユーザ3」とする。
【0049】
(3)管理装置100の取得部120は、検索キーに対応する移転の第1履歴情報を履歴記憶部から抽出して、取得する。管理装置100は、例えば、検索キー「ユーザ3」に略一致するタグ情報が関連づけられている第1履歴情報(エ)を抽出して、取得する。また、管理装置100は、第1履歴情報(エ)と併せて第1履歴情報に関連する第2履歴情報(オ)も抽出して、取得する。ここでいう「略一致」には、検索キーが示す文字列や数値(以下、「文字列等」という)とタグ情報の文字列等との完全一致または部分一致を含んでもよい。また略一致には、例えば、それぞれの文字列等のゆらぎを吸収した形、文字列等を丸めた形または文字列等にレンジをもたせた形で一致させることを含んでもよい。
【0050】
「第1履歴情報」とは、データまたは価値に対する第1処理の履歴に関する履歴情報である。また、「第2履歴情報」は、データまたは価値に対する第2処理の履歴に関する履歴情報である。第1履歴情報と第2履歴情報とは関連づけられて履歴記憶部に記憶される。本例では、第1処理を上記(エ)「ユーザ2のBペイの口座からユーザ3のCポイントの口座への送金」とし、第2処理を上記(オ)「ユーザ3・4のCポイントの口座間での送金」とする。
【0051】
(4)管理装置100の提供部122は、ユーザ装置200に、抽出された第1履歴情報(エ)・(オ)を提供する。ユーザ4は、提供された第1履歴情報(エ)をユーザ装置200で確認して、自身に送金してきたユーザ3のCポイントは、ユーザ2のBペイの口座からユーザ3のCポイントの口座に送金されたものと関連していることを把握することができる。
【0052】
上記構成によれば、管理装置100は、事業者装置400から取得した複数の移転の履歴を、ユーザの要求に応じて必要とするものを提供することができる。このため上記構成によれば、複数の対象の移転をまとめてユーザが把握することができる。
【0053】
<2-3.履歴情報の訂正>
図4を参照して、情報管理システム1での履歴情報の訂正の例を説明する。
図4を参照して、情報管理システム1での履歴情報の訂正の例を説明する。
【0054】
(1)図4に示すように、ユーザ3は、提供要求により管理装置100から提供された第1履歴情報を確認した際に第1履歴情報に誤りがあることが判明したため、第1履歴情報の訂正を管理装置100に要求する。本例では、第1履歴情報において、ユーザ2のBペイの口座からユーザ3のCポイントの口座に送金した際の出金額が誤っているものとし、訂正要求には、その旨と第1履歴情報を特定するための情報と正しい出金額とが含まれているものとする。この「第1履歴情報を特定するための情報」とは、例えば、後述の図8(a)や図9(a)で示す履歴情報に含まれる情報であってもよい。具体的には、ユーザ3は、ユーザ装置200から、第1履歴情報に対する訂正を要求する訂正要求を管理装置100に送信する。管理装置100の要求受付部111は、この訂正要求をユーザ装置200から受け付ける。
【0055】
(2)管理装置100の取得部120は、上記(1)の訂正要求が受け付けられた場合、第1履歴情報が示す移転の移転者に関するユーザデータを取得する。具体的には、取得部120は、訂正要求元かつ移転元のユーザ2からみて相手方の相手方装置300に上記(1)の訂正要求がなされた旨を示す要求通知(以下、単に「要求通知」ともいう)を通知するために、相手方のメールアドレスや相手方装置300のIPアドレス等を検索する。取得部120は、検索の結果として、移転の相手方に関するユーザデータ(メールアドレスやIPアドレス)を取得する。ユーザデータとは、ユーザに関するデータである。ユーザデータの詳細は、後述する。
【0056】
(3)管理装置100の第1通知部116は、上記(2)の取得された相手方に関するユーザデータに基づいて、相手方であるユーザ2の相手方装置300に、要求通知を通知する。
【0057】
(4)管理装置100の第1評価受付部117は、相手方装置300から、上記(2)の要求通知に対する応答として、上記(1)の訂正要求に対する評価(以下、「第1評価」ともいう)を受け付ける。ここで「訂正要求に対する評価」とは、例えば、訂正要求された第1履歴情報の訂正に対して相手方が合意するか否か、また、訂正の内容に妥当性があるか否か等の評価をすることをいう。
【0058】
(5)管理装置100の訂正部114は、上記(4)で受け付けられた第1評価に基づいて、第1履歴情報の訂正が可能か否かを判定する。本例では、訂正部114は、訂正要求や上記(4)の第1評価に基づいて、第1履歴情報を訂正が可能と判定したものとする。
【0059】
(6)管理装置100の秘匿化部112は、第1鍵情報を用いて、訂正前の第1履歴情報の秘匿化を行う。ここで「第1鍵情報」とは、鍵記憶部に記憶された第1暗号鍵(図4~6では、「鍵A」と表記)を含む情報である。なお、第1鍵情報と後述の第2鍵情報とを総称して、「鍵情報」ともいう。鍵情報は、例えば、暗号鍵そのものではなく暗号鍵の利用権限を有するトークンであってもよい。本実施形態では、暗号鍵を、共通鍵暗号方式の共通鍵として説明するが、これに限定する趣旨ではない。暗号鍵は、例えば、公開鍵暗号方式の公開鍵と秘密鍵のペアであってもよく、この場合、秘密鍵を鍵情報に含めてもよい。秘匿化部112は、例えば、第1暗号鍵を用いて訂正前の第1履歴情報を暗号化する。保存部113は、秘匿化した訂正前の第1履歴情報をバックアップ用記憶部(図3~6では、バックアップ用記憶部を「バックアップDB」と表記)に保存(記憶)する。なおここでいう「鍵記憶部」は、最新の鍵情報を記憶する記憶部であり、後述の管理装置100の鍵記憶部132であってもよいし、外部装置の記憶部であってもよい。
【0060】
(7)管理装置100の訂正部114は、上記(5)の判定の結果に基づいて、第1履歴情報を訂正するための処理を行う。本例では、訂正部114は、第1履歴情報の出金額を訂正要求に含まれる正しい出金額に修正(変更)する。
【0061】
(8)管理装置100の分割部115は、第1鍵情報を、秘密分散法を用いた処理(以下、「秘密分散処理」ともいう)により、第1履歴情報の複数の権限者ごとに分割する。ここで「権限者」とは、第1履歴情報に対する権限を有する者であり、例えば、第1履歴情報で示される第1処理に対する権限を有するものであってもよい。本例では、権限者は、説明を簡単にするためにユーザ2とユーザ3とするが、これに限定されない。権限者は、ユーザ2とユーザ3以外にも、ユーザ2のBペイの口座からユーザ3のCポイントの口座への送金に関与するBペイの事業者BやCポイントの事業者C、第三者機関等を含めてもよい。
【0062】
(9)管理装置100の送信部141は、上記(7)の訂正の結果と、分割された第1暗号鍵(図4~6では、「鍵A1」と「鍵A2」と表記)とを、複数の権限者の複数の権限者装置、すなわちユーザ2のユーザ装置200とユーザ3の相手方装置300それぞれに送信する。
【0063】
(10)管理装置100の送信部141は、上記(9)の送信済みの第1暗号鍵を鍵記憶部から削除する。
【0064】
上記構成によれば、管理装置100は、訂正前の履歴情報を秘匿化しその鍵情報を権限者に分散させることで機密性を、また、訂正前の履歴情報を保存することで履歴情報の完全性を一定程度確保することができる。このため、上記構成によれば、管理装置100は、データまたは価値に対する処理の履歴情報の機密性や完全性を担保しつつ履歴情報の訂正を可能とする。
【0065】
<2-4.訂正前の履歴情報の参照>
図5を参照して、情報管理システム1での訂正前の履歴情報の参照の例を説明する。
図5を参照して、情報管理システム1での訂正前の履歴情報の参照の例を説明する。
【0066】
(1)図5に示すように、ユーザ3は、訂正前の第1履歴情報の参照を管理装置100に要求する。具体的には、ユーザ3は、ユーザ装置200から、訂正前の第1履歴情報の参照を要求する参照要求(以下、「参照要求」ともいう)を送信する。管理装置100の要求受付部111は、この参照要求をユーザ装置200から受け付ける。また、この参照要求には、ユーザ装置200は、上記図4の(8)で分割された第1暗号鍵(鍵A1)が含まれているものとする。
【0067】
(2)管理装置100の取得部120は、複数の権限者装置それぞれから、上記(1)の参照要求の参照に対するユーザ2(権限者)の合意と分割された第1暗号鍵を含む合意情報を取得するため、この合意情報の要求をユーザ2の相手方装置300に送信する。なお、合意情報は、権限者の合意を直接的に示してもよいし、権限者自身が所有する第1暗号鍵を含めることで権限者の合意を間接的に示してもよい。
【0068】
(3)管理装置100の取得部120は、上記(2)の要求に対する応答として、相手方装置300から送信された合意情報を取得する。なお、残りの権限者であるユーザ2について、ユーザ2は参照要求元であるため、管理装置100は、参照要求元であることをもってこの参照に対する合意をしたとみなし、参照要求を合意情報とみなしてもよい。
【0069】
(4)管理装置100の解除部121は、上記(1)の参照要求および上記(3)の合意情報に基づいて、元の第1暗号鍵(鍵A)を復元する。解除部121は、例えば、参照要求と合意情報に含まれる分割された第1暗号鍵(鍵A1と鍵A2)から元の第1暗号鍵(鍵A)を秘密分散処理により復元する。すなわち、解除部121は、権限者装置から分割された第1暗号鍵を集めることで、権限者からの参照要求に対する合意形成を図る。
【0070】
(5)管理装置100の解除部121は、上記(1)の参照要求および上記(3)の合意情報に基づいて復元した第1暗号鍵により、秘匿化された訂正前の第1履歴情報の秘匿化を解除する。解除部121は、復元した第1暗号鍵(鍵A)により訂正前の第1履歴情報を復号する。
【0071】
(6)管理装置100の提供部122は、上記(4)で秘匿化を解除された訂正前の第1履歴情報を、ユーザ3のユーザ装置200に提供する。
【0072】
(7)管理装置100の秘匿化部112は、第1鍵情報とは異なる第2鍵情報を生成し、鍵記憶部に記憶する。ここで「第2鍵情報」とは、鍵記憶部に記憶された第1暗号鍵とは異なる第2暗号鍵(図4~6では、「鍵A’」と表記)を含む情報である。秘匿化部112は、生成した第2暗号鍵で再び訂正前の第1履歴情報を秘匿化する。分割部115は、秘匿化した第2暗号鍵を権限者ごとに分割する。送信部141は、分割された第2暗号鍵を権限者装置それぞれに送信し、送信済みの別の第2暗号鍵を鍵記憶部から削除する。
【0073】
上記構成によれば、管理装置100は、訂正前の第1履歴情報の参照にあたって、分割された第1暗号鍵を権限者から集めることにより参照に対する合意形成を図った上で、ユーザに参照させることができる。このため、上記構成によれば、管理装置100は、機密性を維持しつつ、ユーザに、訂正前の第1履歴情報を参照させることができる。
【0074】
<2-5.訂正前の履歴情報の復旧>
図6を参照して、情報管理システム1での訂正前の履歴情報の復旧の例を説明する。
図6を参照して、情報管理システム1での訂正前の履歴情報の復旧の例を説明する。
【0075】
(1)図6に示すように、ユーザ3は、上記図4の訂正が誤りだった場合、元(訂正前の履歴情報)に戻すため、訂正前の第1履歴情報の復旧を管理装置100に要求する。具体的には、ユーザ3は、ユーザ装置200から、訂正前の第1履歴情報の復旧を要求する復旧要求(以下、単に「復旧要求」ともいう)を送信する。管理装置100の要求受付部111は、この復旧要求を、ユーザ装置200から受け付ける。
【0076】
(2)管理装置100の取得部120は、複数の権限者装置それぞれから、上記(1)の復旧要求の復旧に対するユーザ2(権限者)の合意と分割された第1暗号鍵を含む合意情報を取得するため、この合意情報の要求をユーザ2の相手方装置300に送信する。
【0077】
(3)管理装置100の取得部120は、上記(2)の要求に対する応答として、相手方装置300から送信された合意情報を取得する。なお、残りの権限者であるユーザ2について、ユーザ2は復旧要求元であるため、管理装置100は、復旧要求元であることをもってこの復旧に対する合意をしたとみなし、復旧要求を合意情報とみなしてもよい。
【0078】
(4)管理装置100の解除部121は、上記(1)の復旧要求および上記(3)の合意情報に基づいて、元の第1暗号鍵(鍵A)を復元する。解除部121は、例えば、参照要求と合意情報に含まれる分割された第1暗号鍵(鍵A1と鍵A2)から元の第1暗号鍵(鍵A)を秘密分散処理により復元する。すなわち、解除部121は、権限者装置から分割された第1暗号鍵を集めることで、権限者からの復旧要求に対する合意形成を図る。
【0079】
(5)管理装置100の解除部121は、上記(1)の復旧要求および上記(3)の合意情報に基づいて復元した第1暗号鍵により、秘匿化された訂正前の第1履歴情報の秘匿化を解除する。解除部121は、具体的には、復元した第1暗号鍵(鍵A)により訂正前の第1履歴情報を復号する。
【0080】
(6)管理装置100の秘匿化部112は、訂正後の第1履歴情報を、第2暗号鍵(鍵A’)を生成して、生成した第2暗号鍵を用いて秘匿化を行う。保存部113は、秘匿化された訂正後の第1履歴情報をバックアップ用記憶部に保存する。その後、分割部115は、秘匿化された第2暗号鍵を権限者ごとに分割する。送信部141は、分割された第2暗号鍵を権限者装置それぞれに送信し、送信済みの第2暗号鍵を鍵記憶部から削除する。
【0081】
(7)管理装置100の復旧部123は、秘匿化を解除された訂正前の第1履歴情報を、履歴記憶部131に復旧させる。
【0082】
(8)管理装置100の復旧部123は、上記(7)の復旧にあたって、訂正前の第1履歴情報と第2履歴情報との再関連づけを行う。
【0083】
上記構成によれば、管理装置100は、訂正前の第1履歴情報の復旧にあたって、分割された第1暗号鍵を権限者から集めることにより復旧に対する合意形成を図った上で、復旧させることができる。このため、上記構成によれば、管理装置100は、機密性を維持しつつ、訂正前の第1履歴情報を復旧させることができる。
【0084】
上記構成によれば、管理装置100は、訂正後の履歴情報を秘匿化しその鍵情報を権限者に分散させることで機密性を、また、訂正後の履歴情報を上書き更新等で消滅させることなく保存することで履歴情報の完全性を一定程度確保することができる。このため、上記構成によれば、管理装置100は、データまたは価値に対する処理の履歴情報の機密性や完全性を担保しつつ履歴情報の訂正を可能とする。
【0085】
【0086】
制御部110は、要求受付部111と、秘匿化部112と、保存部113と、訂正部114と、分割部115と、を備える。また制御部110は、例えば、第1通知部116、第1評価受付部117、第2通知部118、第2評価受付部119、取得部120、解除部121、提供部122、または復旧部123を備えてもよい。また制御部110は、例えば、記録部(不図示)を備えてもよい。
【0087】
-要求受付部-
要求受付部111は、ユーザのユーザ装置200から、データまたは価値に対する第1処理の履歴に関する第1履歴情報に対する訂正を要求する訂正要求を受け付ける。
要求受付部111は、ユーザのユーザ装置200から、データまたは価値に対する第1処理の履歴に関する第1履歴情報に対する訂正を要求する訂正要求を受け付ける。
【0088】
要求受付部111が訂正要求を含む各種要求を受け付ける態様は、どのような態様でもよい。要求受付部111は、例えば、この訂正要求を示すメッセージをユーザ装置200から通信部140を介して受信してもよい。また要求受付部111は、ユーザ装置200が表示する情報管理サービスの画面(情報提供アプリの画面またはWebブラウザ)から情報要求をユーザに入力させて受け付けてもよい。また、要求受付部111は、例えば、管理装置100が実装するAPIやSDKのライブラリをユーザ装置200が利用することで、この情報要求を受け付けてもよい。
【0089】
要求受付部111は、例えば、ユーザ装置200から、訂正対象または参照対象の移転の履歴に関する検索キーを指定した各種要求を受け付けてもよい。
【0090】
ここで図8~9を参照して、第1履歴情報と第2履歴情報とを含む履歴情報の構成例を説明する。
【0091】
図8(a)に示すように、履歴情報は、例えば、第1処理や第2処理が対象の移転の場合、移転の履歴として、事業者ごとに発行する移転それぞれの移転識別情報、移転が実行された日時を示す移転日時、移転元/移転先のアカウント識別情報、移転が実行された装置を示す移転場所、移転内容、移転に関する処理等の履歴を示す関連履歴、移転に関するデータを示す関連データ、その他外部情報、権限者等を含んでもよい。
【0092】
移転識別情報は、例えば、事業者ごとの整理番号、送金取引の照会番号(リファレンスナンバー)または売上伝票の伝票番号等であってもよい。アカウント識別情報は、例えば、振込の振込人名や受取人名、第1事業者が顧客に対して発行する顧客IDや口座番号等であってもよい。
【0093】
履歴情報は、例えば、信用情報を含んでもよい。ここで「信用情報」とは、移転に基づく関与者の信用を示す情報である。ここで「関与者」とは、移転に関与する者であり、例えば、移転元/移転先の移転者であるユーザ、移転を実行する事業者等である。関与者の少なくとも一部は、例えば、相手方や権限者であってもよい。信用情報は、例えば、価値の移転に対する承認や拒否の履歴、取引時の評価の履歴(「いいね」のような取引関係者からの評価)、移転の際の顧客確認・法人確認の結果、宅配・通販等の外部情報等を含んでもよい。信用情報は、例えば、クレジットカード決済による移転の場合、クレジットカードの利用にあたっての利用者に対する与信状況であってもよい。
【0094】
履歴情報は、その権限者ごとに、履歴情報に対する権限レベルが設定されてもよい。「権限レベル」とは、履歴情報の参照・復旧に対する権限の度合いをいう。権限レベルは、例えば、「上位」「標準」「下位」の3段階で設定し、権限レベルが「下位」の場合は履歴情報に対する参照要求のみ可能とし、「標準」の場合は履歴情報の参照要求に加え訂正要求を可能とし、「上位」の場合は参照要求・訂正要求に加えて、分割された鍵情報を所有し、秘匿化された履歴情報の秘匿化解除(例えば、復号等)を可能としてもよい。
【0095】
権限レベルは、他の例として、履歴情報にアクセスするためのアクセス権限レベルであってもよい。例えば、アクセス権限レベルを「上位」「標準」「下位」の3段階で設定し、アクセス権限レベルが「下位」の場合は履歴情報に対する参照のみ可能とし、「標準」の場合は履歴情報の参照に加え訂正を可能とし、「上位」の場合は参照・訂正に加えて、履歴情報の定義情報の参照・変更(履歴情報のフォーマットやアクセス権限レベル等の参照・変更)や履歴情報の保存(バックアップ)等も可能としてもよい。
【0096】
本実施形態では、権限レベル「上位」が設定された権限者を「上位権限者」、権限レベル「標準」が設定された権限者を「標準権限者」、権限レベル「下位」が設定された権限者を「下位権限者」という。例えば、上位権限者を第三者機関とし、標準権限者を事業者や第1処理の関与者(移転元/移転先の移転者等)とし、下位権限者をその他のユーザとしてもよい。以下、「権限者」に関しては、例えば、履歴情報の特性(例えば、秘匿性等)に基づいて、上位権限者または上位権限者および標準権限者に限定してもよい。また、他の例として、上位権限者に、参照要求・訂正要求の要求元かつ第1処理のユーザを含めてもよい。このような構成によれば、事業者による恣意的な情報参照や訂正を抑止することができる。
【0097】
【0098】
図9(a)に示すように、履歴情報は、例えば、第1処理や第2処理がデータの操作の場合、移転の履歴として、データ操作の履歴、操作対象のデータ、その他外部情報等を含んでもよい。
【0099】
図9(b)に示すように、図9(a)の履歴情報に関連づけられるタグ情報であってデータを表すタグ情報は、例えば、関与者(権限者)、操作を実行した日時を示す操作日時、操作種別、または操作を実行した場所を示す操作場所等であってもよい。
【0100】
図8(a)の関連データや図9(a)操作対象のデータであるユーザデータは、例えば、ユーザを識別するための、ユーザ識別情報、氏名、電話番号、住所、メールアドレス、個人番号(マイナンバー)、性別、または生年月日、等のユーザのいわゆる個人情報を含んでもよい。
【0101】
ユーザデータは、例えば、免許証番号、カード番号、ユーザが保有する口座の口座データ、ユーザが使用するユーザ装置200のデバイス情報(例えば、MACアドレス、IPアドレス、製造番号等)を含んでもよい。
【0102】
ユーザデータは、例えば、ユーザの生体的特徴に関する生体情報(例えば、ユーザの顔画像データ、指紋情報、眼球の虹彩情報または声紋情報等)を含んでもよい。
【0103】
ユーザデータは、例えば、位置情報(例えば、GPSデータ等)、Web履歴情報(例えば、閲覧履歴、検索履歴、Cookie情報等)、またはECサイトでの商品の購入履歴情報等を含んでもよい。
【0104】
図8(a)の関連データや図9(a)操作対象のデータである「取引データ」とは、取引による移転において、当該取引に関するデータである。取引データは、例えば、支払対象の取引を識別するための「取引識別情報」、支払人である顧客の名称を示す支払人名、受取人の名称を示す受取人名、支払い決済の状況(例えば、「未請求」/「請求完了」/「支払い決済指示完了」/「決済完了」等)を示す支払い決済状況、支払対象のサービス名または商品名、支払対象の取引において支払う金額を示す支払い金額(決済金額)、カード決済、電子マネー決済または銀行振込等の決済方法を表す決済方法、取引が行われた時間を示す取引時間、取引が行われた場所を示す取引場所等のデータ項目を含んでもよい。また取引データは、支払元の口座または支払先の口座の口座データに関するデータ項目を含んでもよい。
【0105】
図8(a)の関連データや図9(a)操作対象のデータである「口座データ」とは、各口座を管理するための情報である。口座データは、例えば、対象の銀行を識別するための銀行識別情報、口座種別、口座番号、名義、支払人または受取人が有する口座を識別するための口座ID、口座に入金されている総額等の口座残高を示す口座残高または口座を利用した取引の内容を示す取引内容等を含む。
【0106】
取引内容は、例えば、入出金履歴を含む。入出金履歴は、例えば、各入出金を識別するための入出金ID、入出金の際に利用した銀行カードのIDやクレジットカードの引き落としにおけるクレジットカード会社等の入出金の相手方を示すID等を示す取引先ID、入出金された日時を示す入出金日時、口座に入金された金額を示す入金額または口座から出金された金額を示す出金額等を含む。
【0107】
図7に戻って説明を続ける。要求受付部111は、例えば、ユーザ装置200から、訂正前の第1履歴情報を含む履歴情報の参照を要求する参照要求を受け付けてもよい。
【0108】
要求受付部111は、例えば、ユーザ装置200から、訂正前の第1履歴情報の復旧を要求する復旧要求を受け付けてもよい。
【0109】
-秘匿化部-
秘匿化部112は、訂正前/訂正後の第1履歴情報を、鍵記憶部132に記憶された第1鍵情報を用いて秘匿化を行う。秘匿化部112は、例えば、第1鍵情報が第1暗号鍵の場合、第1暗号鍵を用いて訂正前後の第1履歴情報を暗号化する。
秘匿化部112は、訂正前/訂正後の第1履歴情報を、鍵記憶部132に記憶された第1鍵情報を用いて秘匿化を行う。秘匿化部112は、例えば、第1鍵情報が第1暗号鍵の場合、第1暗号鍵を用いて訂正前後の第1履歴情報を暗号化する。
【0110】
秘匿化部112は、例えば、訂正前/訂正後の第1履歴情報に対して個人を特定可能な情報を秘匿加工してもよい。秘匿化部112は、例えば、訂正前/訂正後の第1履歴情報に対して、(1)個人情報に関するデータ項目の削除若しくはデータ項目に含まれるセル削除、(2)個人情報に関するデータの全部又は一部を抽象化、(3)個人情報に関するデータの上位概念化若しくは数値による短縮化によって置き換える一般化、(4)個人情報に関するデータに対するトップ若しくはボトムコーディング、(5)個人情報に関するデータのデータ交換、又は(6)個人情報に関するデータに対するノイズ(誤差)の付加、等を施すことによって秘匿加工してもよい。
【0111】
秘匿化部112は、例えば、後述の分割部115により分割された訂正前の第1履歴情報それぞれを、第1鍵情報を用いて秘匿化を行ってもよい。
【0112】
秘匿化部112は、例えば、後述の復旧部123により訂正前の第1履歴情報を復旧させる際に、訂正後の第1履歴情報を、鍵記憶部132に記憶された第2鍵情報を用いて秘匿化を行ってもよい。
【0113】
-保存部-
保存部113は、秘匿化部112により秘匿化された訂正前の第1履歴情報を、バックアップ用記憶部133(図7では、「bk用記憶部」と表記)に保存する。
保存部113は、秘匿化部112により秘匿化された訂正前の第1履歴情報を、バックアップ用記憶部133(図7では、「bk用記憶部」と表記)に保存する。
【0114】
保存部113は、例えば、秘匿化部112により秘匿化され分割された訂正前の第1履歴情報を、バックアップ用記憶部133に保存してもよい。
【0115】
上記構成によれば、秘匿化部112により秘匿化された訂正前の第1履歴情報を保存するため、訂正が行われても履歴情報の完全性を一定程度担保することができる。
【0116】
保存部113は、例えば、秘匿化部112により秘匿化された訂正後の第1履歴情報を、バックアップ用記憶部133に保存してもよい。
【0117】
-訂正部-
訂正部114は、要求受付部111により受け付けられた訂正要求に基づいて、履歴記憶部131を参照して、第1履歴情報を訂正するための処理を行う。
訂正部114は、要求受付部111により受け付けられた訂正要求に基づいて、履歴記憶部131を参照して、第1履歴情報を訂正するための処理を行う。
【0118】
訂正部114は、例えば、第1評価受付部117により受け付けられた第1評価にさらに基づいて、第1履歴情報を訂正するための処理を行ってもよい。訂正部114は、例えば、第1評価の全てが「訂正要求で要求された訂正に対して合意する」であった場合には、第1履歴情報を訂正するための処理を行う。他方、訂正部114は、第1評価の一部が「訂正要求で要求された訂正に対して合意しない」であった場合には、第1履歴情報を訂正するための処理を行わないとしてもよい。
【0119】
上記構成によれば、訂正部114は、虚偽の訂正要求がなされた場合でも、この訂正要求に対する相手方や権限者の第1評価をふまえて訂正を行うため、虚偽の訂正を抑止することができる。
【0120】
訂正部114は、例えば、訂正するための処理を行う際に、訂正前の第1履歴情報と第2履歴情報との関連づけを解除し、訂正後の第1履歴情報を、第2履歴情報と関連づけて履歴記憶部131に記憶してもよい。
【0121】
例えば、訂正前の第1履歴情報を訂正後の第1履歴情報で上書き更新等して、第2履歴情報との関連づけもそのまま引き継げるようなデータ構成(例えば、RDB等を利用する場合)の場合は第2履歴情報との関連づけが消滅してしまうことはない。しかしながら、第1履歴情報の訂正において第2履歴情報との関連づけが訂正前後で引き継げない場合(例えば、訂正前後の第1履歴情報を別のファイルとして管理するファイルシステムを利用する場合等)、第2履歴情報との関連づけが消滅してしまう可能性がある。上記構成によれば、このように関連づけを引き継げないデータ構成において、訂正後の第1履歴情報を、第2履歴情報と関連づけて履歴記憶部131に記憶するため、第1履歴情報と第2履歴情報との関連づけを消滅させずに済むことができる。
【0122】
訂正部114は、例えば、第2評価受付部119により受け付けられた評価(以下、「第2評価」ともいう)にさらに基づいて、第1履歴情報を訂正するための処理を行ってもよい。訂正部114は、例えば、第2評価の所定の数以上が「訂正要求で要求された訂正に対して合意する」であった場合には、第1履歴情報を訂正するための処理を行う。他方、訂正部114は、例えば、第2評価の所定の数以上が「訂正要求で要求された訂正に対して合意しない」であった場合には、第1履歴情報を訂正するための処理を行わないとしてもよい。第2評価は、第2処理がデータまたは価値の移転をするための処理の場合、訂正対象の第1処理と関連する移転の移転者の評価である。このため、訂正部114は、訂正を行うための条件(以下、「訂正条件」ともいう)を、第1評価と第2評価とで変えてもよく、典型的には、第1評価の訂正条件を第2評価の訂正条件より厳しい内容としてもよい。
【0123】
履歴情報の訂正にあたって、虚偽の訂正要求に対して、虚偽の修正がなされて関連する取引との整合が取れなくなってしまうリスクがある。上記構成によれば、関連する取引の移転の移転者の第2評価に基づいて訂正を行うため、このようなリスクを低減することができる。
【0124】
-分割部-
分割部115は、第1鍵情報を、第1履歴情報の複数の権限者ごとに分割する。分割部115は、例えば、第1鍵情報に含まれる第1暗号鍵を、秘密分散処理により第1履歴情報の複数の権限者ごとに分割してもよい。
分割部115は、第1鍵情報を、第1履歴情報の複数の権限者ごとに分割する。分割部115は、例えば、第1鍵情報に含まれる第1暗号鍵を、秘密分散処理により第1履歴情報の複数の権限者ごとに分割してもよい。
【0125】
分割部115は、例えば、第1鍵情報を、複数の権限者の中で所定の権限レベル以上の権限レベルが設定された複数の上位権限者ごとに分割してもよい。
【0126】
分割部115は、例えば、第2鍵情報を、複数の権限者ごとに分割してもよい。
【0127】
-第1通知部-
第1通知部116は、第1処理がデータまたは価値の移転をするための処理で要求受付部111により訂正要求が受け付けられた場合、移転の移転元または移転先の移転者の移転者装置(相手方装置300)や権限者装置に、この訂正要求がなされた旨を示す要求通知を通知する。第1通知部116や後述の第2通知部118が、移転者装置、権限者装置等に、要求通知を含む各種情報を通知する態様は、どのような態様でもよい。第1通知部116等は、例えば、相手方装置300に、要求通知をプッシュ通知する情報を送信し、当該情報に基づいて相手方装置300の画面にアラートメッセージとして表示させてもよい。第1通知部116等は、例えば、相手方装置300に、情報管理サービスの画面に訂正要求がなされた旨を出力させて通知してもよい。また、第1通知部116等は、例えば、相手方のメールアドレス宛に訂正要求がなされた旨を通知するメールを送信してもよい。
第1通知部116は、第1処理がデータまたは価値の移転をするための処理で要求受付部111により訂正要求が受け付けられた場合、移転の移転元または移転先の移転者の移転者装置(相手方装置300)や権限者装置に、この訂正要求がなされた旨を示す要求通知を通知する。第1通知部116や後述の第2通知部118が、移転者装置、権限者装置等に、要求通知を含む各種情報を通知する態様は、どのような態様でもよい。第1通知部116等は、例えば、相手方装置300に、要求通知をプッシュ通知する情報を送信し、当該情報に基づいて相手方装置300の画面にアラートメッセージとして表示させてもよい。第1通知部116等は、例えば、相手方装置300に、情報管理サービスの画面に訂正要求がなされた旨を出力させて通知してもよい。また、第1通知部116等は、例えば、相手方のメールアドレス宛に訂正要求がなされた旨を通知するメールを送信してもよい。
【0128】
第1通知部116は、例えば、第1処理がデータまたは価値の移転をするための処理で要求受付部111により訂正要求が受け付けられた場合、移転元または移転先の移転者の移転者装置に加え/代えて、移転の相手方と所定の近似条件で取引をおこなった者の端末装置に、要求通知を通知してもよい。ここで「所定の近似条件」とは、訂正対象の移転と近似する状況(例えば、取引データに含まれる取引時間・取引場所等)で行われた移転等の取引かどうかを判定するための条件である。
【0129】
-第1評価受付部-
第1評価受付部117は、相手方装置300や権限者装置から、第1通知部116が通知した要求通知に対する応答として、訂正要求に対する第1評価を受け付ける。第1評価受付部117が第1評価を受け付ける態様は、要求受付部111と同様にどのような態様でもよい。
第1評価受付部117は、相手方装置300や権限者装置から、第1通知部116が通知した要求通知に対する応答として、訂正要求に対する第1評価を受け付ける。第1評価受付部117が第1評価を受け付ける態様は、要求受付部111と同様にどのような態様でもよい。
【0130】
-第2通知部-
第2通知部118は、要求受付部111により訂正要求が受け付けられた場合、かつ第1履歴情報が第2履歴情報に関連づけられて記憶されている場合、第2処理の移転元または移転先の移転者の移転者装置(相手方装置300)や権限者装置に、訂正要求がなされた旨を示す要求通知を通知する。
第2通知部118は、要求受付部111により訂正要求が受け付けられた場合、かつ第1履歴情報が第2履歴情報に関連づけられて記憶されている場合、第2処理の移転元または移転先の移転者の移転者装置(相手方装置300)や権限者装置に、訂正要求がなされた旨を示す要求通知を通知する。
【0131】
上記構成によれば、第2通知部118は、例えば、第1履歴情報に関連する取引の移転の第2履歴情報も訂正する必要がある場合等において、第2履歴情報の移転の移転者や権限者にも訂正要求がなされた旨を示す要求通知を通知することができる。このため、上記構成によれば、第2通知部118は、第1処理と第2処理との間の不整合等を解消するために第2処理の移転者に訂正を促すことができる。
【0132】
-第2評価受付部-
第2評価受付部119は、移転者装置や権限者装置から、第2通知部118が通知した要求通知に対する応答として、訂正要求に対する第2評価を受け付ける。第2評価受付部119が第2評価を受け付ける態様は、要求受付部111と同様にどのような態様でもよい。
第2評価受付部119は、移転者装置や権限者装置から、第2通知部118が通知した要求通知に対する応答として、訂正要求に対する第2評価を受け付ける。第2評価受付部119が第2評価を受け付ける態様は、要求受付部111と同様にどのような態様でもよい。
【0133】
-取得部-
取得部120は、複数の権限者装置それぞれから、参照要求の参照に対する権限者の合意と分割部115により分割された第1鍵情報を含む合意情報を取得する。取得部120における合意情報を含む各種情報を取得する態様は、どのような態様でもよい。取得部120は、例えば、権限者装置から合意情報を示すデータファイルを通信部140を介して受信してもよいし、権限者装置にリモートアクセスして合意情報を示すデータファイルを取得してもよい。
取得部120は、複数の権限者装置それぞれから、参照要求の参照に対する権限者の合意と分割部115により分割された第1鍵情報を含む合意情報を取得する。取得部120における合意情報を含む各種情報を取得する態様は、どのような態様でもよい。取得部120は、例えば、権限者装置から合意情報を示すデータファイルを通信部140を介して受信してもよいし、権限者装置にリモートアクセスして合意情報を示すデータファイルを取得してもよい。
【0134】
取得部120は、例えば、複数の権限者装置それぞれから、訂正前の第1履歴情報の復旧に対する権限者の合意と分割された第1鍵情報を含む合意情報を取得してもよい。
【0135】
取得部120は、第1処理や第2処理を実行する複数の事業者それぞれが使用する複数の事業者装置400から、これらの処理の履歴に関する履歴情報を取得する。取得部120は、例えば、事業者装置400から合意情報を示すデータファイルを通信部140を介して受信してもよいし、事業者装置400にリモートアクセスして履歴情報を示すデータファイルを取得してもよい。
【0136】
取得部120は、上記態様の他の例として、管理装置100や事業者装置400が実装するAPIまたはSDKが提供するライブラリに事業者装置400が記憶する履歴情報を管理装置100に提供させる指示をしてもよい。APIやライブラリから、取得部120は、この指示の応答として履歴情報を取得してもよい。
【0137】
取得部120は、例えば、履歴情報を取得する前提として事業者装置400またはユーザ装置200から同意情報を取得してもよい。ここで「同意情報」とは、事業者の顧客(例えば、図2の例のユーザ1~4等)に関する移転の履歴情報を事業者装置400から管理装置100に提供することに対して当該顧客が同意する旨を示す情報である。同意情報は、例えば、同意対象の事項を含んでもよい。同意対象の事項とは、例えば、履歴情報の少なくとも一部の提供可否、提供先での利用可否、または、第1履歴情報の少なくとも一部の提供および利用を「可」とする場合におけるその利用目的(例えば、第三者への提供/開示等)等を含んでもよい。
【0138】
取得部120が同意情報を取得するタイミングは、(a)事業者の顧客が情報管理サービスのユーザ登録をする際、(b)ユーザ装置200にインストールされたアプリや利用規約等の変更をする際、(c)価値の移転の実行都度、等のタイミングが考えられる。
【0139】
取得部120は、取得した履歴情報から、ユーザデータ、取引データ、または口座データ等の情報を抽出してもよい。また他の例として、取得部120は、事業者装置400またはユーザ装置200から、第1履歴情報とは別に、ユーザデータ、取引データ、または口座データ等を取得してもよい。
【0140】
-解除部-
解除部121は、参照要求および合意情報に基づいて、バックアップ用記憶部133を参照して、秘匿化された訂正前の第1履歴情報の秘匿化を解除する。
解除部121は、参照要求および合意情報に基づいて、バックアップ用記憶部133を参照して、秘匿化された訂正前の第1履歴情報の秘匿化を解除する。
【0141】
解除部121は、例えば、参照要求と合意情報に含まれる分割された第1暗号鍵から元の第1暗号鍵を秘密分散処理により復元する。解除部121は、復元した第1暗号鍵により、訂正前の第1履歴情報を復号する。
【0142】
解除部121は、例えば、復旧要求および合意情報に基づいて、バックアップ用記憶部133を参照して、秘匿化された訂正前の第1履歴情報の秘匿化を解除してもよい。
【0143】
解除部121は、例えば、復旧要求と合意情報に含まれる分割された第1暗号鍵から元の第1暗号鍵を秘密分散処理により復元する。解除部121は、復元した第1暗号鍵により、訂正前の第1履歴情報を復号する。
【0144】
解除部121は、復元部(不図示)を備えてもよい。第1鍵情報は、分割部115により分割された訂正前の第1履歴情報を分割前に復元するための履歴復元情報を含んでもよい。履歴復元情報は、例えば、秘密分散処理により分割された訂正前の第1履歴情報(分散片)であってもよい。復元部は、秘匿化を解除され分割された訂正前の第1履歴情報を、権限者装置から取得された履歴復元情報を含む第1鍵情報に基づいて、訂正前の第1履歴情報を分割前に復元する。
【0145】
上記構成によれば、第1履歴情報自体も分割して、それを権限者の合意形成の上で、復元することができる。このため、上記構成によれば、第1履歴情報の訂正にあたって、より履歴情報の機密性を向上させることができる。
【0146】
-提供部-
提供部122は、解除部121により秘匿化を解除された訂正前の第1履歴情報を、要求元のユーザ装置200に提供する。提供部122が第1履歴情報を含む各種情報を提供する態様はどのような態様でもよい。提供部122は、例えば、第1履歴情報にアクセスするためのリンク情報を含むデータファイルやメッセージを、ユーザ装置200に送信してもよい。提供部122は、他の例として、情報管理サービスの画面で第1履歴情報をユーザ装置200に参照させてもよい。
提供部122は、解除部121により秘匿化を解除された訂正前の第1履歴情報を、要求元のユーザ装置200に提供する。提供部122が第1履歴情報を含む各種情報を提供する態様はどのような態様でもよい。提供部122は、例えば、第1履歴情報にアクセスするためのリンク情報を含むデータファイルやメッセージを、ユーザ装置200に送信してもよい。提供部122は、他の例として、情報管理サービスの画面で第1履歴情報をユーザ装置200に参照させてもよい。
【0147】
上記構成によれば、提供部122は、権限者の合意形成を図った上で、訂正前の第1履歴情報を要求元のユーザ装置200に提供することができる。このため、上記構成によれば、提供部122は、履歴情報の機密性を担保しつつ、その可用性(訂正前の第1履歴情報を参照可能とすること)も確保することができる。
【0148】
-復旧部-
復旧部123は、秘匿化を解除された訂正前の第1履歴情報を、履歴記憶部131に復旧させる。復旧部123は、例えば、履歴記憶部131の訂正後の第1履歴情報を訂正前の第1履歴情報で更新してもよい。
復旧部123は、秘匿化を解除された訂正前の第1履歴情報を、履歴記憶部131に復旧させる。復旧部123は、例えば、履歴記憶部131の訂正後の第1履歴情報を訂正前の第1履歴情報で更新してもよい。
【0149】
上記構成によれば、訂正前の第1履歴情報を復旧させる際に、権限者の合意形成を図った上で復旧させることができる。このため、上記構成によれば、提供部122は、履歴情報の機密性を担保しつつ、その可用性(訂正前の第1履歴情報を復旧可能とすること)も確保することができる。
【0150】
-記録部-
記録部は、取得部120により取得された履歴情報に基づいて、タグ情報を、当該履歴情報に関連づけてタグ記憶部に記録する。記録部が履歴情報に関連づけるタグ情報は、複数あってもよい。
記録部は、取得部120により取得された履歴情報に基づいて、タグ情報を、当該履歴情報に関連づけてタグ記憶部に記録する。記録部が履歴情報に関連づけるタグ情報は、複数あってもよい。
【0151】
記録部は、例えば、図2に示す例において、送金による価値の移転(イ)・(エ)・(オ)について、それぞれの履歴情報に取引種別「送金取引」を示すタグ情報を関連づけて記憶してもよい。
【0152】
記録部は、例えば、移転の関与者を表すタグ情報を移転の第1履歴情報に関連づけて記録してもよい。移転の関与者は、例えば、第1処理や第2処理が移転の場合、移転元または移転先の移転者を含んでもよい。
【0153】
第1処理は第1移転を、第2処理は第2移転をそれぞれ含んでもよい。記録部は、例えば、第1移転の第1履歴情報と第2移転の第2履歴情報を互いに関連づけて履歴記憶部131に記録してもよい。
【0154】
-記憶部-
記憶部130は、履歴情報、タグ情報、ユーザデータ、取引データおよび/または口座データ等を記憶する。記憶部130は、データベースマネジメントシステム(DBMS)を利用して各情報を記憶してもよいし、ファイルシステムを利用して各情報を記憶してもよい。DBMSを利用する場合は、記憶部130では、上記情報ごとにテーブルを設けて、当該テーブル間を関連づけて各情報を管理してもよい。記憶部130は、履歴記憶部131と、鍵記憶部132と、バックアップ用記憶部133と、を備える。履歴記憶部131と、鍵記憶部132と、バックアップ用記憶部133とは、それぞれ異なるセキュリティレベルを設定してもよい。記憶部130は、例えば、タグ記憶部を備えてもよい。
記憶部130は、履歴情報、タグ情報、ユーザデータ、取引データおよび/または口座データ等を記憶する。記憶部130は、データベースマネジメントシステム(DBMS)を利用して各情報を記憶してもよいし、ファイルシステムを利用して各情報を記憶してもよい。DBMSを利用する場合は、記憶部130では、上記情報ごとにテーブルを設けて、当該テーブル間を関連づけて各情報を管理してもよい。記憶部130は、履歴記憶部131と、鍵記憶部132と、バックアップ用記憶部133と、を備える。履歴記憶部131と、鍵記憶部132と、バックアップ用記憶部133とは、それぞれ異なるセキュリティレベルを設定してもよい。記憶部130は、例えば、タグ記憶部を備えてもよい。
【0155】
履歴記憶部131は、第1履歴情報と第2履歴情報とを関連づけて記憶する。また、履歴記憶部131は、例えば、タグ記憶部に記憶されるタグ情報を関連づけて履歴情報を記憶してもよい。
【0156】
-通信部-
通信部140は、ネットワークNを介して、ユーザ装置200や相手方装置300、事業者装置400またはその他の外部システムの装置等と各種情報・各種データを送受信する。通信部140は、例えば、ネットワークNを介して、事業者装置400から履歴情報を受信したり、ユーザ装置200から参照要求を受信したりする。通信部140は、例えば、ネットワークNを介して、参照要求に対する参照の結果として、ユーザ装置200に履歴情報を送信する。通信部140は、送信部141を備える。
通信部140は、ネットワークNを介して、ユーザ装置200や相手方装置300、事業者装置400またはその他の外部システムの装置等と各種情報・各種データを送受信する。通信部140は、例えば、ネットワークNを介して、事業者装置400から履歴情報を受信したり、ユーザ装置200から参照要求を受信したりする。通信部140は、例えば、ネットワークNを介して、参照要求に対する参照の結果として、ユーザ装置200に履歴情報を送信する。通信部140は、送信部141を備える。
【0157】
-送信部-
送信部141は、分割部115により分割された第1鍵情報を、複数の権限者の複数の権限者装置それぞれに送信し、送信済みの第1鍵情報を鍵記憶部132から削除する。
送信部141は、分割部115により分割された第1鍵情報を、複数の権限者の複数の権限者装置それぞれに送信し、送信済みの第1鍵情報を鍵記憶部132から削除する。
【0158】
上記構成によれば、訂正前の履歴情報を秘匿化しその鍵情報を権限者に分散させることで機密性を一定程度確保することができる。このため、上記構成によれば、データまたは価値に対する処理の履歴情報の機密性を担保しつつ履歴情報の訂正を可能とする。
【0159】
送信部141は、例えば、分割部115により分割された第1鍵情報を、複数の上位権限者の複数の権限者装置それぞれに送信し、送信済みの分割された第1鍵情報を鍵記憶部132から削除してもよい。
【0160】
例えば、権限者が大勢いるケース等、権限者全員に鍵情報を分散させて合意形成を図ることが難しい場合がある。上記構成によれば、このような場合において、訂正前の履歴情報を秘匿化しその鍵情報を上位権限者に限定して分散させることできる。このため、上記構成によれば、履歴情報の機密性を一定程度確保しつつ、その可用性も一定程度担保することができる。このため、上記構成によれば、管理装置100は、データまたは価値に対する処理の履歴情報の機密性や可用性を担保しつつ履歴情報の訂正を可能とする。
【0161】
送信部141は、例えば、分割部115により分割された第2鍵情報を、複数の権限者装置それぞれに送信し、送信済みの分割された第2鍵情報を鍵記憶部132から削除する。
【0162】
上記構成によれば、訂正後の履歴情報を秘匿化しその鍵情報を権限者に分散させることで機密性を一定程度確保することができる。このため、上記構成によれば、管理装置100は、データまたは価値に対する処理の履歴情報の機密性を担保しつつ訂正前の履歴情報の復旧を可能とする。
【0163】
<4.動作例>
図10~11を参照して、管理装置100の動作例を説明する。図10(a)は、管理装置100において、事業者装置400から履歴情報を取得してから当該取得した第1履歴情報を記録するまでの処理の流れを示すフロー図である。図10(b)は、管理装置100において、訂正が行われていない第1履歴情報において、ユーザ装置200から参照要求を受け付けてから第1履歴情報を提供するまでの処理の流れを示すフロー図である。図11は、管理装置100において、ユーザ装置200から訂正要求を受け付けてから第1履歴情報を訂正するまでの処理の流れを示すフロー図である。なお、以下に示す処理の順番は一例であって、適宜、変更されてもよい。
図10~11を参照して、管理装置100の動作例を説明する。図10(a)は、管理装置100において、事業者装置400から履歴情報を取得してから当該取得した第1履歴情報を記録するまでの処理の流れを示すフロー図である。図10(b)は、管理装置100において、訂正が行われていない第1履歴情報において、ユーザ装置200から参照要求を受け付けてから第1履歴情報を提供するまでの処理の流れを示すフロー図である。図11は、管理装置100において、ユーザ装置200から訂正要求を受け付けてから第1履歴情報を訂正するまでの処理の流れを示すフロー図である。なお、以下に示す処理の順番は一例であって、適宜、変更されてもよい。
【0164】
図10(a)に示すように、管理装置100の取得部120は、データまたは価値の少なくともいずれかを含む対象の移転を実行する複数の事業者それぞれが使用する複数の事業者装置400から、第1履歴情報を取得する(S10)。
【0165】
記録部は、取得部120により取得された第1履歴情報に基づいて、対象または移転の少なくともいずれかを表すタグ情報を、移転の第1履歴情報に関連づけて履歴記憶部131に記録する(S11)。
【0166】
図10(b)に示すように、管理装置100の要求受付部111は、ユーザ装置200から、移転の履歴に関する検索キーを指定して移転の履歴の参照を要求する参照要求を受け付ける(S20)。
【0167】
提供部122は、タグ情報および要求受付部111が受け付けた参照要求に基づいて、履歴記憶部131を参照して、検索キーに対応する移転の第1履歴情報を抽出する(S21)。
【0168】
提供部122は、要求元のユーザ装置200に、抽出した第1履歴情報を提供する(S22)。
【0169】
図11に示すように、管理装置100の要求受付部111は、履歴記憶部131を参照して、ユーザ装置200から、第1履歴情報に対する訂正を要求する訂正要求を受け付ける(S30)。
【0170】
秘匿化部112は、訂正前の第1履歴情報を、鍵記憶部132に記憶された第1鍵情報を用いて秘匿化を行う(S31)。保存部113は、秘匿化された訂正前の第1履歴情報を、バックアップ用記憶部133に保存する(S32)。
【0171】
訂正部114は、訂正要求に基づいて、第1履歴情報を記憶する履歴記憶部131を参照して、第1履歴情報を訂正するための処理を行う(S33)。分割部115は、第1鍵情報を、第1履歴情報の複数の権限者ごとに分割する(S34)。
【0172】
送信部141は、分割された第1鍵情報を、複数の権限者の複数の権限者装置それぞれに送信する(S35)。送信部141は、送信済みの第1鍵情報を鍵記憶部132から削除する(S36)。
【0173】
<5.ハードウェア構成>
図12を参照して、上述してきた管理装置100をコンピュータ800により実現する場合のハードウェア構成の一例を説明する。なお、それぞれの装置の機能は、複数台の装置に分けて実現することもできる。
図12を参照して、上述してきた管理装置100をコンピュータ800により実現する場合のハードウェア構成の一例を説明する。なお、それぞれの装置の機能は、複数台の装置に分けて実現することもできる。
【0174】
図12に示すように、コンピュータ800は、プロセッサ801と、メモリ803と、記憶装置805と、入力I/F部807と、データI/F部809と、通信I/F部811、及び表示装置813を含む。
【0175】
プロセッサ801は、メモリ803に記憶されているプログラムを実行することによりコンピュータ800における様々な処理を制御する。例えば、管理装置100の制御部110が備える各機能部等は、メモリ803に一時記憶されたプログラムを、プロセッサ801が実行することにより実現可能である。
【0176】
メモリ803は、例えばRAM(Random Access Memory)等の記憶媒体である。メモリ803は、プロセッサ801によって実行されるプログラムのプログラムコードや、プログラムの実行時に必要となるデータを一時的に記憶する。
【0177】
記憶装置805は、例えばハードディスクドライブ(HDD)やフラッシュメモリ等の不揮発性の記憶媒体である。記憶装置805は、オペレーティングシステムや、上記各構成を実現するための各種プログラムを記憶する。この他、記憶装置805は、履歴情報やユーザデータ等の各種情報・各種データを登録するテーブルと、当該テーブルを管理するDBを記憶することも可能である。このようなプログラムやデータは、必要に応じてメモリ803にロードされることにより、プロセッサ801から参照される。
【0178】
入力I/F部807は、ユーザからの入力を受け付けるためのデバイスである。入力I/F部807の具体例としては、キーボードやマウス、タッチパネル、各種センサ、ウェアラブル・デバイス等が挙げられる。入力I/F部807は、例えばUSB(Universal Serial Bus)等のインタフェースを介してコンピュータ800に接続されてもよい。
【0179】
データI/F部809は、コンピュータ800の外部からデータを入力するためのデバイスである。データI/F部809の具体例としては、各種記憶媒体に記憶されているデータを読み取るためのドライブ装置等がある。データI/F部809は、コンピュータ800の外部に設けられることも考えられる。その場合、データI/F部809は、例えばUSB等のインタフェースを介してコンピュータ800へと接続される。
【0180】
通信I/F部811は、コンピュータ800の外部の装置と有線または無線により、インターネットNを介したデータ通信を行うためのデバイスである。通信I/F部811は、コンピュータ800の外部に設けられることも考えられる。その場合、通信I/F部811は、例えばUSB等のインタフェースを介してコンピュータ800に接続される。
【0181】
表示装置813は、各種情報を表示するためのデバイスである。表示装置813の具体例としては、例えば液晶ディスプレイや有機EL(Electro-Luminescence)ディスプレイ、ウェアラブル・デバイスのディスプレイ等が挙げられる。表示装置813は、コンピュータ800の外部に設けられてもよい。その場合、表示装置813は、例えばディスプレイケーブル等を介してコンピュータ800に接続される。また、入力I/F部807としてタッチパネルが採用される場合には、表示装置813は、入力I/F部807と一体化して構成することが可能である。
【0182】
[第2実施形態]
次に、本発明の第2実施形態(以下、「本実施形態」という)について説明する。第1実施形態は鍵情報を複数の権限者ごとに分散させて管理する形態だが、本実施形態は、鍵情報を分散管理することに加え、第三者機関に鍵情報の管理を委託することを選択可能とする形態である。以下、第1実施形態と異なる点を中心に説明する。
次に、本発明の第2実施形態(以下、「本実施形態」という)について説明する。第1実施形態は鍵情報を複数の権限者ごとに分散させて管理する形態だが、本実施形態は、鍵情報を分散管理することに加え、第三者機関に鍵情報の管理を委託することを選択可能とする形態である。以下、第1実施形態と異なる点を中心に説明する。
【0183】
<1.システム構成>
本実施形態に係る管理システム1aでは、鍵情報の管理方法について、手動または自動で、以下の(a)・(b)のいずれかの管理方法を選択することができる。
(a)複数の権限者ごとに分割した鍵情報を、複数の権限者装置それぞれに分散させて管理させる
(b)第三者機関にのみ鍵情報を管理させる(鍵情報は分割しない)
本実施形態に係る管理システム1aでは、鍵情報の管理方法について、手動または自動で、以下の(a)・(b)のいずれかの管理方法を選択することができる。
(a)複数の権限者ごとに分割した鍵情報を、複数の権限者装置それぞれに分散させて管理させる
(b)第三者機関にのみ鍵情報を管理させる(鍵情報は分割しない)
【0184】
本実施形態に係る管理装置100aは、例えば、権限者装置等から、上記(1)・(2)のいずれの管理方法を採用するかの選択を受け付ける。また、管理装置100aは、この受け付けた選択に基づいて、鍵情報を分割するか否か、また、鍵情報の管理先(送信先)をどこにするかを判定する。管理装置100aは、この判定の結果に基づいて、鍵情報を分割したり(もしくは、分割しないでおいたり)、鍵情報を管理先に送信したりする。
【0185】
第三者機関装置500は、例えば、管理装置100から分割されていない鍵情報を受信し、受信した鍵情報を管理する。また、第三者機関装置500は、管理装置100からの合意情報等の要求に応じて、管理する鍵情報を管理装置100に送信する。第三者機関装置500は、例えば、送信済みの鍵情報は削除してもよい。
【0186】
<2.機能構成>
図13を参照して、本実施形態に係る管理装置100aの機能構成の一例を説明する。図13に示すように、管理装置100aの制御部110は、管理装置100の制御部110の要求受付部111と、秘匿化部112と、保存部113と、訂正部114と、分割部115と、第1通知部116と、第1評価受付部117と、第2通知部118と、第2評価受付部119と、取得部120と、解除部121と、提供部122と、復旧部123とを共通して備える。管理装置100aの制御部110は、これらの機能部に加えて選択受付部124と、選択部125とを備える。
図13を参照して、本実施形態に係る管理装置100aの機能構成の一例を説明する。図13に示すように、管理装置100aの制御部110は、管理装置100の制御部110の要求受付部111と、秘匿化部112と、保存部113と、訂正部114と、分割部115と、第1通知部116と、第1評価受付部117と、第2通知部118と、第2評価受付部119と、取得部120と、解除部121と、提供部122と、復旧部123とを共通して備える。管理装置100aの制御部110は、これらの機能部に加えて選択受付部124と、選択部125とを備える。
【0187】
選択受付部124は、少なくともいずれかの権限者装置から、鍵情報について、分割して複数の権限者装置に保存させることと(上記(a)の管理方法)、ユーザ、および第1処理に関する事業者以外の第三者機関の第三者機関装置500に保存させることと(上記(b)の管理方法)、のいずれかの選択を受け付ける。
【0188】
選択部125は、鍵情報について、第1履歴情報の特性に基づいて、分割して複数の権限者装置に保存させることと(上記(a)の管理方法)、ユーザ、および第1処理に関する事業者以外の第三者機関の第三者機関装置500に保存させることと(上記(b)の管理方法)、のいずれかを選択する。
【0189】
「第1履歴情報の特性」とは、例えば、第1履歴情報の秘匿性(秘匿すべき個人情報を含むか否か、または開示レベル等)、第1履歴情報が示す第1処理の実行日時(履歴の記録日時)、第1履歴情報が示す第1処理の実行主体、または第1処理の分類(対象はデータまたは価値のいずれであるか、また、第1処理は価値の移転かデータの操作か等)等である。
【0190】
「開示レベル」とは、履歴情報の情報開示の度合いを示す。例えば、第1処理が本人確認処理の場合、開示レベルは、以下のように1~3の3段階で示してもよい。なお、開示レベル1~3は、末尾の数値が大きければ大きいほど開示の度合いが高いことを示す。
・開示レベル1:処理を実行したことのみ示すログ(例えば、「yy月dd日:本人確認処理を実行」)
・開示レベル2:処理を実行したことと、実行した結果(OK/NG)まで含めたログ(例えば、「yy月dd日:本人確認処理を実行し、本人確認成功」)
・開示レベル3:処理対象のデータ(対象データ)(例えば、本人確認処理で使用された免許書の画像データ)
・開示レベル1:処理を実行したことのみ示すログ(例えば、「yy月dd日:本人確認処理を実行」)
・開示レベル2:処理を実行したことと、実行した結果(OK/NG)まで含めたログ(例えば、「yy月dd日:本人確認処理を実行し、本人確認成功」)
・開示レベル3:処理対象のデータ(対象データ)(例えば、本人確認処理で使用された免許書の画像データ)
【0191】
送信部141は、例えば、第三者機関装置500に保存させる選択、すなわち上記(b)の管理方法を採用する選択を選択受付部124が受け付けた場合、分割部115による鍵情報の分割をさせないで、鍵情報を第三者機関500に送信し、送信済みの鍵情報を鍵記憶部132から削除してもよい。また、送信部141は、例えば、第三者機関装置500に保存させる選択を選択部125がした場合、分割部115による鍵情報の分割をさせないで、鍵情報を第三者機関500に送信し、送信済みの鍵情報を鍵記憶部132から削除してもよい。
【0192】
取得部120は、例えば、第三者機関装置500から、第1履歴情報の参照・復旧に対する第三者の合意と分割されていない鍵情報とを含む合意情報を取得してもよい。
【0193】
取得部120は、例えば、複数の権限者装置それぞれから、鍵情報を含まない合意情報であって第1履歴情報の参照・復旧参照に対する権限者の合意を含む合意情報を取得してもよい。
【0194】
なお、上記実施の形態は、本発明を説明するための例示であり、本発明をその実施の形態のみに限定する趣旨ではない。また、本発明は、その要旨を逸脱しない限り、さまざまな変形が可能である。さらに、当業者であれば、以下に述べる各要素を均等なものに置換した実施の形態を採用することが可能であり、かかる実施の形態も本発明の範囲に含まれる。
【0195】
[変形例]
なお、本発明を上記実施の形態に基づいて説明してきたが、以下のような場合も本発明に含まれる。
なお、本発明を上記実施の形態に基づいて説明してきたが、以下のような場合も本発明に含まれる。
【0196】
[変形例1]
上記実施形態に係る管理装置100、100aが備える各構成の少なくとも一部は、事業者装置400が備えていてもよい。例えば、管理装置100の要求受付部111や提供部122の機能を事業者装置400に実装させてもよい。
上記実施形態に係る管理装置100、100aが備える各構成の少なくとも一部は、事業者装置400が備えていてもよい。例えば、管理装置100の要求受付部111や提供部122の機能を事業者装置400に実装させてもよい。
【0197】
[変形例2]
上記実施形態に係る管理装置100の分割部115や解除部121等が用いる秘密分散処理の秘密分散法は、例えば、(t,n)しきい値法であってもよい。(t,n)しきい値法では、例えば、第1暗号鍵や第2暗号鍵を含む暗号鍵や履歴情報をn個に分割部115が分割した場合、t個以上の分割された暗号鍵や履歴情報を集めることで分割する前の暗号鍵を解除部121は復元できる。例えば、分割部115は、tを全ての権限者の数で設定し、nを権限者の中で上位権限者の数で設定してもよい。
上記実施形態に係る管理装置100の分割部115や解除部121等が用いる秘密分散処理の秘密分散法は、例えば、(t,n)しきい値法であってもよい。(t,n)しきい値法では、例えば、第1暗号鍵や第2暗号鍵を含む暗号鍵や履歴情報をn個に分割部115が分割した場合、t個以上の分割された暗号鍵や履歴情報を集めることで分割する前の暗号鍵を解除部121は復元できる。例えば、分割部115は、tを全ての権限者の数で設定し、nを権限者の中で上位権限者の数で設定してもよい。
【0198】
[変形例3]
上記実施形態では示していないが、履歴情報は、例えば、分散型台帳技術(ブロックチェーン技術)を用いて複数の装置で分散管理をしてもよい。例えば、分散型台帳技術を用いて履歴情報を分散管理する場合、管理装置100は、複数の装置から構成され、この複数の装置で履歴情報を分散して管理する。また、このような場合、鍵情報を管理する第三者機関は、仮想通貨取引所であってもよい。
上記実施形態では示していないが、履歴情報は、例えば、分散型台帳技術(ブロックチェーン技術)を用いて複数の装置で分散管理をしてもよい。例えば、分散型台帳技術を用いて履歴情報を分散管理する場合、管理装置100は、複数の装置から構成され、この複数の装置で履歴情報を分散して管理する。また、このような場合、鍵情報を管理する第三者機関は、仮想通貨取引所であってもよい。
【符号の説明】
【0199】
1…情報管理システム、100、100a…管理装置、110…制御部、111…要求受付部、112…秘匿化部、113…保存部113、114…訂正部、115…分割部、116…第1通知部、117…第1評価受付部、118…第2通知部118、119…第2評価受付部、120…取得部、121…解除部、122…提供部、123…復旧部、130…記憶部、140…通信部、200…ユーザ装置、300…相手方装置、400…事業者装置、800…コンピュータ、801…プロセッサ、803…メモリ、805…記憶装置、807…入力I/F部、809…データI/F部、811…通信I/F部、813…表示装置
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【手続補正書】
【提出日】2021-07-07
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
ユーザのユーザ装置から、データまたは価値に対する第1処理の履歴に関する第1履歴情報に対する訂正を要求する訂正要求を受け付ける要求受付部と、
訂正前の前記第1履歴情報を、鍵記憶部に記憶された第1鍵情報を用いて秘匿化を行う秘匿化部と、
前記秘匿化された訂正前の第1履歴情報を、バックアップ用記憶部に保存する保存部と、
前記訂正要求に基づいて、前記第1履歴情報を記憶する履歴記憶部を参照して、前記第1履歴情報を訂正するための処理を行う訂正部と、
前記第1鍵情報を、前記第1履歴情報の複数の権限者ごとに分割する分割部と、
前記分割された第1鍵情報を、前記複数の権限者の複数の権限者装置それぞれに送信し、送信済みの第1鍵情報を前記鍵記憶部から削除する送信部と、を備える、
情報処理装置。
訂正前の前記第1履歴情報を、鍵記憶部に記憶された第1鍵情報を用いて秘匿化を行う秘匿化部と、
前記秘匿化された訂正前の第1履歴情報を、バックアップ用記憶部に保存する保存部と、
前記訂正要求に基づいて、前記第1履歴情報を記憶する履歴記憶部を参照して、前記第1履歴情報を訂正するための処理を行う訂正部と、
前記第1鍵情報を、前記第1履歴情報の複数の権限者ごとに分割する分割部と、
前記分割された第1鍵情報を、前記複数の権限者の複数の権限者装置それぞれに送信し、送信済みの第1鍵情報を前記鍵記憶部から削除する送信部と、を備える、
情報処理装置。
【請求項2】
前記権限者ごとに、前記第1履歴情報に対する権限レベルが設定され、
前記分割部は、前記第1鍵情報を、前記複数の権限者の中で所定の権限レベル以上の前記権限レベルが設定された複数の上位権限者ごとに分割し、
前記送信部は、前記分割された第1鍵情報を、前記複数の上位権限者の前記複数の権限者装置それぞれに送信し、送信済みの前記分割された第1鍵情報を前記鍵記憶部から削除する、
請求項1に記載の情報処理装置。
前記分割部は、前記第1鍵情報を、前記複数の権限者の中で所定の権限レベル以上の前記権限レベルが設定された複数の上位権限者ごとに分割し、
前記送信部は、前記分割された第1鍵情報を、前記複数の上位権限者の前記複数の権限者装置それぞれに送信し、送信済みの前記分割された第1鍵情報を前記鍵記憶部から削除する、
請求項1に記載の情報処理装置。
【請求項3】
前記第1処理は、データまたは価値の移転をするための処理であり、
前記ユーザは、前記移転の移転元または移転先であり、
前記情報処理装置は、
前記訂正要求が受け付けられた場合、前記移転の移転元または移転先の移転者の移転者装置に、前記訂正要求がなされた旨を示す要求通知を通知する第1通知部と、
前記移転者装置から、前記要求通知に対する応答として、前記訂正要求に対する評価を受け付ける第1評価受付部と、をさらに備え、
前記訂正部は、前記受け付けられた評価にさらに基づいて、前記第1履歴情報を訂正するための処理を行う、
請求項1または2に記載の情報処理装置。
前記ユーザは、前記移転の移転元または移転先であり、
前記情報処理装置は、
前記訂正要求が受け付けられた場合、前記移転の移転元または移転先の移転者の移転者装置に、前記訂正要求がなされた旨を示す要求通知を通知する第1通知部と、
前記移転者装置から、前記要求通知に対する応答として、前記訂正要求に対する評価を受け付ける第1評価受付部と、をさらに備え、
前記訂正部は、前記受け付けられた評価にさらに基づいて、前記第1履歴情報を訂正するための処理を行う、
請求項1または2に記載の情報処理装置。
【請求項4】
前記第1履歴情報は、データまたは価値に対する第2処理であって前記第1処理に関連する第2処理の第2履歴情報と関連づけられて前記履歴記憶部に記憶され、
前記訂正部は、前記訂正するための処理を行う際に、訂正前の前記第1履歴情報と前記第2履歴情報との関連づけを解除し、訂正後の前記第1履歴情報を、前記第2履歴情報と関連づけて前記履歴記憶部に記憶する、
請求項1から3のいずれか一項に記載の情報処理装置。
前記訂正部は、前記訂正するための処理を行う際に、訂正前の前記第1履歴情報と前記第2履歴情報との関連づけを解除し、訂正後の前記第1履歴情報を、前記第2履歴情報と関連づけて前記履歴記憶部に記憶する、
請求項1から3のいずれか一項に記載の情報処理装置。
【請求項5】
前記第2処理は、データまたは価値の移転をするための処理であり、
前記訂正要求が受け付けられた場合、かつ前記第1履歴情報が前記第2履歴情報に関連づけられて記憶されている場合、前記第2処理の移転元または移転先の移転者の移転者装置に、前記訂正要求がなされた旨を示す要求通知を通知する第2通知部と、
前記移転者装置から、前記要求通知に対する応答として、前記訂正要求に対する評価を受け付ける第2評価受付部と、をさらに備え、
前記訂正部は、前記受け付けられた評価にさらに基づいて、前記第1履歴情報を訂正するための処理を行う、
請求項4に記載の情報処理装置。
前記訂正要求が受け付けられた場合、かつ前記第1履歴情報が前記第2履歴情報に関連づけられて記憶されている場合、前記第2処理の移転元または移転先の移転者の移転者装置に、前記訂正要求がなされた旨を示す要求通知を通知する第2通知部と、
前記移転者装置から、前記要求通知に対する応答として、前記訂正要求に対する評価を受け付ける第2評価受付部と、をさらに備え、
前記訂正部は、前記受け付けられた評価にさらに基づいて、前記第1履歴情報を訂正するための処理を行う、
請求項4に記載の情報処理装置。
【請求項6】
前記要求受付部は、前記ユーザ装置から、前記訂正前の第1履歴情報の参照を要求する参照要求を受け付け、
前記情報処理装置は、
前記複数の権限者装置それぞれから、前記参照に対する前記権限者の合意と前記分割された第1鍵情報を含む合意情報を取得する取得部と、
前記参照要求および前記合意情報に基づいて、前記バックアップ用記憶部を参照して、前記秘匿化された訂正前の第1履歴情報の秘匿化を解除する解除部と、
前記秘匿化を解除された訂正前の第1履歴情報を、前記ユーザ装置に提供する提供部と、をさらに備える、
請求項1から5のいずれか一項に記載の情報処理装置。
前記情報処理装置は、
前記複数の権限者装置それぞれから、前記参照に対する前記権限者の合意と前記分割された第1鍵情報を含む合意情報を取得する取得部と、
前記参照要求および前記合意情報に基づいて、前記バックアップ用記憶部を参照して、前記秘匿化された訂正前の第1履歴情報の秘匿化を解除する解除部と、
前記秘匿化を解除された訂正前の第1履歴情報を、前記ユーザ装置に提供する提供部と、をさらに備える、
請求項1から5のいずれか一項に記載の情報処理装置。
【請求項7】
前記要求受付部は、前記ユーザ装置から、前記訂正前の第1履歴情報の復旧を要求する復旧要求を受け付け、
前記情報処理装置は、
前記複数の権限者装置それぞれから、前記復旧に対する前記権限者の合意と前記分割された第1鍵情報を含む合意情報を取得する取得部と、
前記復旧要求および前記合意情報に基づいて、前記バックアップ用記憶部を参照して、前記秘匿化された訂正前の第1履歴情報の秘匿化を解除する解除部と、
前記秘匿化を解除された訂正前の第1履歴情報を、前記履歴記憶部に復旧させる復旧部と、をさらに備える、
請求項1から6のいずれか一項に記載の情報処理装置。
前記情報処理装置は、
前記複数の権限者装置それぞれから、前記復旧に対する前記権限者の合意と前記分割された第1鍵情報を含む合意情報を取得する取得部と、
前記復旧要求および前記合意情報に基づいて、前記バックアップ用記憶部を参照して、前記秘匿化された訂正前の第1履歴情報の秘匿化を解除する解除部と、
前記秘匿化を解除された訂正前の第1履歴情報を、前記履歴記憶部に復旧させる復旧部と、をさらに備える、
請求項1から6のいずれか一項に記載の情報処理装置。
【請求項8】
前記秘匿化部は、前記復旧部により訂正前の第1履歴情報を復旧させる際に、訂正後の前記第1履歴情報を、前記鍵記憶部に記憶された第2鍵情報を用いて秘匿化を行い、
前記保存部は、前記秘匿化された訂正後の第1履歴情報を、前記バックアップ用記憶部に保存し、
前記分割部は、前記第2鍵情報を、前記複数の権限者ごとに分割し、
前記送信部は、前記分割された第2鍵情報を、前記複数の権限者装置それぞれに送信し、送信済みの前記分割された第2鍵情報を前記鍵記憶部から削除する、
請求項7に記載の情報処理装置。
前記保存部は、前記秘匿化された訂正後の第1履歴情報を、前記バックアップ用記憶部に保存し、
前記分割部は、前記第2鍵情報を、前記複数の権限者ごとに分割し、
前記送信部は、前記分割された第2鍵情報を、前記複数の権限者装置それぞれに送信し、送信済みの前記分割された第2鍵情報を前記鍵記憶部から削除する、
請求項7に記載の情報処理装置。
【請求項9】
前記分割部は、前記訂正前の第1履歴情報を、前記複数の権限者ごとに分割し、
前記秘匿化部は、前記分割された訂正前の第1履歴情報それぞれを、前記第1鍵情報を用いて秘匿化を行い、
前記保存部は、前記秘匿化され分割された訂正前の第1履歴情報を、前記バックアップ用記憶部に保存する、
請求項1から8のいずれか一項に記載の情報処理装置。
前記秘匿化部は、前記分割された訂正前の第1履歴情報それぞれを、前記第1鍵情報を用いて秘匿化を行い、
前記保存部は、前記秘匿化され分割された訂正前の第1履歴情報を、前記バックアップ用記憶部に保存する、
請求項1から8のいずれか一項に記載の情報処理装置。
【請求項10】
前記第1鍵情報は、前記分割された訂正前の第1履歴情報を分割前に復元するための履歴復元情報を含み、
前記情報処理装置は、
前記秘匿化を解除され分割された訂正前の第1履歴情報を、前記権限者装置から取得された第1鍵情報に基づいて、訂正前の第1履歴情報を分割前に復元する復元部をさらに備える、
請求項8に記載の情報処理装置。
前記情報処理装置は、
前記秘匿化を解除され分割された訂正前の第1履歴情報を、前記権限者装置から取得された第1鍵情報に基づいて、訂正前の第1履歴情報を分割前に復元する復元部をさらに備える、
請求項8に記載の情報処理装置。
【請求項11】
前記情報処理装置は、前記権限者装置から、前記第1鍵情報について、分割して前記複数の権限者装置に保存させることと、前記ユーザ、および前記第1処理に関する事業者以外の第三者機関の第三者機関装置に保存させることと、のいずれかの選択を受け付ける選択受付部をさらに備え、
前記送信部は、前記第三者機関装置に保存させる選択を受け付けた場合、前記分割部による前記第1鍵情報の分割をさせないで、前記第1鍵情報を前記第三者機関に送信し、送信済みの第1鍵情報を前記鍵記憶部から削除する、
請求項1から9のいずれか一項に記載の情報処理装置。
前記送信部は、前記第三者機関装置に保存させる選択を受け付けた場合、前記分割部による前記第1鍵情報の分割をさせないで、前記第1鍵情報を前記第三者機関に送信し、送信済みの第1鍵情報を前記鍵記憶部から削除する、
請求項1から9のいずれか一項に記載の情報処理装置。
【請求項12】
前記情報処理装置は、前記第1鍵情報について、前記第1履歴情報の特性に基づいて、分割して前記複数の権限者装置に保存させることと、前記ユーザ、および前記第1処理に関する事業者以外の第三者機関の第三者機関装置に保存させることと、のいずれかを選択する選択部をさらに備え、
前記送信部は、前記第三者機関装置に保存させる選択を受け付けた場合、前記分割部による前記第1鍵情報の分割をさせないで、前記第1鍵情報を前記第三者機関に送信し、送信済みの第1鍵情報を前記鍵記憶部から削除する、
請求項1から9のいずれか一項に記載の情報処理装置。
前記送信部は、前記第三者機関装置に保存させる選択を受け付けた場合、前記分割部による前記第1鍵情報の分割をさせないで、前記第1鍵情報を前記第三者機関に送信し、送信済みの第1鍵情報を前記鍵記憶部から削除する、
請求項1から9のいずれか一項に記載の情報処理装置。
【請求項13】
コンピュータに、
ユーザのユーザ装置から、データまたは価値に対する第1処理の履歴に関する第1履歴情報に対する訂正を要求する訂正要求を受け付ける要求受付機能と、
訂正前の前記第1履歴情報を、鍵記憶部に記憶された第1鍵情報を用いて秘匿化を行う秘匿化機能と、
前記秘匿化された訂正前の第1履歴情報を、バックアップ用記憶部に保存する保存機能と、
前記訂正要求に基づいて、前記第1履歴情報を記憶する履歴記憶部を参照して、前記第1履歴情報を訂正するための処理を行う訂正機能と、
前記第1鍵情報を、前記第1履歴情報の複数の権限者ごとに分割する分割機能と、
前記分割された第1鍵情報を、前記複数の権限者の複数の権限者装置それぞれに送信し、送信済みの第1鍵情報を前記鍵記憶部から削除する送信機能と、を実現させる、
プログラム。
ユーザのユーザ装置から、データまたは価値に対する第1処理の履歴に関する第1履歴情報に対する訂正を要求する訂正要求を受け付ける要求受付機能と、
訂正前の前記第1履歴情報を、鍵記憶部に記憶された第1鍵情報を用いて秘匿化を行う秘匿化機能と、
前記秘匿化された訂正前の第1履歴情報を、バックアップ用記憶部に保存する保存機能と、
前記訂正要求に基づいて、前記第1履歴情報を記憶する履歴記憶部を参照して、前記第1履歴情報を訂正するための処理を行う訂正機能と、
前記第1鍵情報を、前記第1履歴情報の複数の権限者ごとに分割する分割機能と、
前記分割された第1鍵情報を、前記複数の権限者の複数の権限者装置それぞれに送信し、送信済みの第1鍵情報を前記鍵記憶部から削除する送信機能と、を実現させる、
プログラム。
【請求項14】
コンピュータが、
ユーザのユーザ装置から、データまたは価値に対する第1処理の履歴に関する第1履歴情報に対する訂正を要求する訂正要求を受け付け、
訂正前の前記第1履歴情報を、鍵記憶部に記憶された第1鍵情報を用いて秘匿化を行い、
前記秘匿化された訂正前の第1履歴情報を、バックアップ用記憶部に保存し、
前記訂正要求に基づいて、前記第1履歴情報を記憶する履歴記憶部を参照して、前記第1履歴情報を訂正するための処理を行い、
前記第1鍵情報を、前記第1履歴情報の複数の権限者ごとに分割し、
前記分割された第1鍵情報を、前記複数の権限者の複数の権限者装置それぞれに送信し、送信済みの第1鍵情報を前記鍵記憶部から削除する、
情報処理方法。
ユーザのユーザ装置から、データまたは価値に対する第1処理の履歴に関する第1履歴情報に対する訂正を要求する訂正要求を受け付け、
訂正前の前記第1履歴情報を、鍵記憶部に記憶された第1鍵情報を用いて秘匿化を行い、
前記秘匿化された訂正前の第1履歴情報を、バックアップ用記憶部に保存し、
前記訂正要求に基づいて、前記第1履歴情報を記憶する履歴記憶部を参照して、前記第1履歴情報を訂正するための処理を行い、
前記第1鍵情報を、前記第1履歴情報の複数の権限者ごとに分割し、
前記分割された第1鍵情報を、前記複数の権限者の複数の権限者装置それぞれに送信し、送信済みの第1鍵情報を前記鍵記憶部から削除する、
情報処理方法。