知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023141262
(43)【公開日】2023-10-05
(54)【発明の名称】個人情報管理システム及び個人情報移転制御方法
(51)【国際特許分類】
G06F 21/62 20130101AFI20230928BHJP
【FI】
G06F21/62 345
【審査請求】未請求
【請求項の数】9
【出願形態】OL
(21)【出願番号】P 2022047488
(22)【出願日】2022-03-23
(71)【出願人】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110002365
【氏名又は名称】弁理士法人サンネクスト国際特許事務所
(72)【発明者】
【氏名】鬼頭 大介
(72)【発明者】
【氏名】三根 なつこ
(72)【発明者】
【氏名】藤田 望美
(72)【発明者】
【氏名】青木(幸田) 恵理子
(57)【要約】 (修正有)
【課題】個人情報の国外移転において、これまでの移転状況及び各国の移転規制に留意して、移転の許可又は禁止を制御する個人情報管理システムを提供する。
【解決手段】個人情報管理システム100は、拠点サーバと管理サーバを備える。拠点サーバは、自拠点で取扱う個人情報の設定情報を第一管理情報に設定し、設定した設定情報を管理サーバに通知する。管理サーバは、拠点サーバから通知された設定情報に基づいて、第二管理情報を更新し、管理サーバは、データローカライゼーション情報及び第二管理情報を用いて、拠点サーバの拠点に適用される国内保持規制の観点に基づいて、拠点サーバによる個人情報の保管状況の適切性を判断し、その判断結果を拠点サーバに通知する。拠点サーバは、管理サーバによる個人情報の保管状況の適切性の判断結果に基づいて、国を跨いだ別の拠点サーバへの個人情報の移転の許可又は禁止を制御する。
【選択図】図1
【解決手段】個人情報管理システム100は、拠点サーバと管理サーバを備える。拠点サーバは、自拠点で取扱う個人情報の設定情報を第一管理情報に設定し、設定した設定情報を管理サーバに通知する。管理サーバは、拠点サーバから通知された設定情報に基づいて、第二管理情報を更新し、管理サーバは、データローカライゼーション情報及び第二管理情報を用いて、拠点サーバの拠点に適用される国内保持規制の観点に基づいて、拠点サーバによる個人情報の保管状況の適切性を判断し、その判断結果を拠点サーバに通知する。拠点サーバは、管理サーバによる個人情報の保管状況の適切性の判断結果に基づいて、国を跨いだ別の拠点サーバへの個人情報の移転の許可又は禁止を制御する。
【選択図】図1
【特許請求の範囲】
【請求項1】
各国の拠点で取扱う個人情報の移転制御を管理する個人情報管理システムであって、
自拠点で取扱う個人情報を管理する複数の第一の計算機と、前記複数の第一の計算機が管理する個人情報を一元的に管理する第二の計算機と、がネットワークを介して接続され、
前記第一の計算機は、自拠点で取扱う個人情報に関する情報が登録される第一管理情報を有し、
前記第二の計算機は、前記複数の第一の計算機が管理する各個人情報に関する情報が登録される第二管理情報と、各国で定められたデータの国内保持規制を示すデータローカライゼーション情報と、を有し、
前記第一の計算機は、自拠点で取扱う個人情報に関する所定項目の設定情報を前記第一管理情報に設定し、設定した設定情報を前記第二の計算機に通知し、
前記第二の計算機は、前記第一の計算機から通知された前記設定情報に基づいて、前記第二管理情報を更新し、
前記第二の計算機は、前記データローカライゼーション情報及び前記第二管理情報を用いて、前記第一の計算機の拠点に適用される国内保持規制の観点に基づいて、前記第一の計算機による前記個人情報の保管状況の適切性を判断し、その判断結果を前記第一の計算機に通知し、
前記第一の計算機は、前記第二の計算機による前記個人情報の保管状況の適切性の判断結果に基づいて、国を跨いだ別の第一の計算機への前記個人情報の移転の許可または禁止を制御する
ことを特徴とする個人情報管理システム。
自拠点で取扱う個人情報を管理する複数の第一の計算機と、前記複数の第一の計算機が管理する個人情報を一元的に管理する第二の計算機と、がネットワークを介して接続され、
前記第一の計算機は、自拠点で取扱う個人情報に関する情報が登録される第一管理情報を有し、
前記第二の計算機は、前記複数の第一の計算機が管理する各個人情報に関する情報が登録される第二管理情報と、各国で定められたデータの国内保持規制を示すデータローカライゼーション情報と、を有し、
前記第一の計算機は、自拠点で取扱う個人情報に関する所定項目の設定情報を前記第一管理情報に設定し、設定した設定情報を前記第二の計算機に通知し、
前記第二の計算機は、前記第一の計算機から通知された前記設定情報に基づいて、前記第二管理情報を更新し、
前記第二の計算機は、前記データローカライゼーション情報及び前記第二管理情報を用いて、前記第一の計算機の拠点に適用される国内保持規制の観点に基づいて、前記第一の計算機による前記個人情報の保管状況の適切性を判断し、その判断結果を前記第一の計算機に通知し、
前記第一の計算機は、前記第二の計算機による前記個人情報の保管状況の適切性の判断結果に基づいて、国を跨いだ別の第一の計算機への前記個人情報の移転の許可または禁止を制御する
ことを特徴とする個人情報管理システム。
【請求項2】
前記第一の計算機が前記第二の計算機に通知する前記個人情報の設定情報には、少なくとも、当該個人情報の取得国、当該個人情報の種類、及び当該個人情報の格納場所を示す情報が含まれ、
前記第二の計算機は、前記データローカライゼーション情報を用いて、前記第一の計算機の拠点におけるデータの国内保持の要否を判断し、前記国内保持が必要な場合にはさらに、前記第二管理情報を用いて、前記第一の計算機が国内保持規制に適合する形態で前記個人情報を保管しているか否かを判断することにより、前記第一の計算機による前記個人情報の保管状況の適切性を判断する
ことを特徴とする請求項1に記載の個人情報管理システム。
前記第二の計算機は、前記データローカライゼーション情報を用いて、前記第一の計算機の拠点におけるデータの国内保持の要否を判断し、前記国内保持が必要な場合にはさらに、前記第二管理情報を用いて、前記第一の計算機が国内保持規制に適合する形態で前記個人情報を保管しているか否かを判断することにより、前記第一の計算機による前記個人情報の保管状況の適切性を判断する
ことを特徴とする請求項1に記載の個人情報管理システム。
【請求項3】
前記第二の計算機は、
前記第一の計算機の拠点において前記データの国内保持が不要であるか、前記第一の計算機の拠点において前記データの国内保持が必要であるが当該第一の計算機が国内保持規制に適合する形態で前記個人情報を保管していると判断した場合に、前記第一の計算機による前記個人情報の保管状況が適切であると判断し、
前記第一の計算機の拠点において前記データの国内保持が必要であるが当該第一の計算機が国内保持規制に適合する形態で前記個人情報を保管していないと判断した場合に、前記第一の計算機による前記個人情報の保管状況が不適切であると判断する
ことを特徴とする請求項2に記載の個人情報管理システム。
前記第一の計算機の拠点において前記データの国内保持が不要であるか、前記第一の計算機の拠点において前記データの国内保持が必要であるが当該第一の計算機が国内保持規制に適合する形態で前記個人情報を保管していると判断した場合に、前記第一の計算機による前記個人情報の保管状況が適切であると判断し、
前記第一の計算機の拠点において前記データの国内保持が必要であるが当該第一の計算機が国内保持規制に適合する形態で前記個人情報を保管していないと判断した場合に、前記第一の計算機による前記個人情報の保管状況が不適切であると判断する
ことを特徴とする請求項2に記載の個人情報管理システム。
【請求項4】
前記第一の計算機は、自身が管理する前記個人情報の前記別の第一の計算機への移転が要求されたとき、
前記第二の計算機による前記個人情報の保管状況の適切性の判断結果と、前記要求された移転がデータを移転元に残す移転タイプであるか否かとに基づいて、自拠点において前記個人情報の国内保持が不要であるか、または、自拠点において前記個人情報の国内保持が必要であり国内保持に対応可能であると判断した場合に、当該個人情報の移転を許可する
ことを特徴とする請求項3に記載の個人情報管理システム。
前記第二の計算機による前記個人情報の保管状況の適切性の判断結果と、前記要求された移転がデータを移転元に残す移転タイプであるか否かとに基づいて、自拠点において前記個人情報の国内保持が不要であるか、または、自拠点において前記個人情報の国内保持が必要であり国内保持に対応可能であると判断した場合に、当該個人情報の移転を許可する
ことを特徴とする請求項3に記載の個人情報管理システム。
【請求項5】
前記第一の計算機は、前記別の第一の計算機への個人情報の移転が要求されたとき、指定された個人情報の移転が再移転に該当するか否かを判断し、再移転に該当する場合は、再移転の是非を前記第二の計算機に問合せ、
前記問合せを受けた前記第二の計算機は、再移転の是非判断として、移転対象の個人情報が国内保持が必要でその対応が可能である場合には、当該個人情報の以前の移転元の個人情報を管理している特定の前記第一の計算機に対して当該移転元の個人情報の保管状況の確認を行い、当該保管状況が適切である場合に、前記再移転が適切であると判断してその判断結果を前記第一の計算機に通知し、
前記第一の計算機は、前記第二の計算機から前記再移転が適切であるとの判断結果を受け取った場合に、前記別の第一の計算機への個人情報の移転を許可する
ことを特徴とする請求項3に記載の個人情報管理システム。
前記問合せを受けた前記第二の計算機は、再移転の是非判断として、移転対象の個人情報が国内保持が必要でその対応が可能である場合には、当該個人情報の以前の移転元の個人情報を管理している特定の前記第一の計算機に対して当該移転元の個人情報の保管状況の確認を行い、当該保管状況が適切である場合に、前記再移転が適切であると判断してその判断結果を前記第一の計算機に通知し、
前記第一の計算機は、前記第二の計算機から前記再移転が適切であるとの判断結果を受け取った場合に、前記別の第一の計算機への個人情報の移転を許可する
ことを特徴とする請求項3に記載の個人情報管理システム。
【請求項6】
前記第二の計算機は、
各国の国内保持規制の有無、個人情報の種類数、及び移転規制の有無に基づいて、個人情報の移転に関する各国の規制レベルを算出し、
前記再移転の是非判断においてさらに、前記再移転の移転根拠、前記個人情報の取得国、前記取得国における規制、及び前記取得国と再移転先の所在国との規制レベルの強弱関係に基づいて、再移転の適切性を判断し、
前記再移転が不適切であると判断した場合でも、前記以前の移転元の個人情報を管理している前記特定の第一の計算機と、前記再移転先の第一の計算機とに対して、個人情報の取扱いに関する合意形成を要求し、当該合意形成が可能との返答を受け取った場合に、再移転が適切であると判断する
ことを特徴とする請求項5に記載の個人情報管理システム。
各国の国内保持規制の有無、個人情報の種類数、及び移転規制の有無に基づいて、個人情報の移転に関する各国の規制レベルを算出し、
前記再移転の是非判断においてさらに、前記再移転の移転根拠、前記個人情報の取得国、前記取得国における規制、及び前記取得国と再移転先の所在国との規制レベルの強弱関係に基づいて、再移転の適切性を判断し、
前記再移転が不適切であると判断した場合でも、前記以前の移転元の個人情報を管理している前記特定の第一の計算機と、前記再移転先の第一の計算機とに対して、個人情報の取扱いに関する合意形成を要求し、当該合意形成が可能との返答を受け取った場合に、再移転が適切であると判断する
ことを特徴とする請求項5に記載の個人情報管理システム。
【請求項7】
前記第二の計算機は、前記第一の計算機による前記個人情報の保管状況の適切性を定期的に判断し、不適切であると判断した場合は、当該個人情報の移転の禁止を前記第一の計算機に通知する
ことを特徴とする請求項2に記載の個人情報管理システム。
ことを特徴とする請求項2に記載の個人情報管理システム。
【請求項8】
前記第二の計算機は、前記第一の計算機による前記個人情報の保管状況の適切性と、前記特定の第一の計算機による前記以前の移転元の個人情報の保管状況の適切性と、を定期的に判断する
ことを特徴とする請求項6に記載の個人情報管理システム。
ことを特徴とする請求項6に記載の個人情報管理システム。
【請求項9】
各国の拠点で取扱う個人情報の移転制御を管理する個人情報管理システムによる個人情報移転制御方法であって、
前記個人情報管理システムは、自拠点で取扱う個人情報を管理する複数の第一の計算機と、前記複数の第一の計算機が管理する個人情報を一元的に管理する第二の計算機と、がネットワークを介して接続され、
前記第一の計算機は、自拠点で取扱う個人情報に関する情報が登録される第一管理情報を有し、
前記第二の計算機は、前記複数の第一の計算機が管理する各個人情報に関する情報が登録される第二管理情報と、各国で定められたデータの国内保持規制を示すデータローカライゼーション情報と、を有し、
前記第一の計算機が、自拠点で取扱う個人情報に関する所定項目の設定情報を前記第一管理情報に設定し、設定した設定情報を前記第二の計算機に通知する第1ステップと、
前記第二の計算機が、前記第1ステップで前記第一の計算機から通知された前記設定情報に基づいて、前記第二管理情報を更新する第2ステップと、
前記第2ステップの後に、前記第二の計算機が、前記データローカライゼーション情報及び前記第二管理情報を用いて、前記第一の計算機の拠点に適用される国内保持規制の観点に基づいて、前記第一の計算機による前記個人情報の保管状況の適切性を判断し、その判断結果を前記第一の計算機に通知する第3ステップと、
前記第3ステップにおける前記第二の計算機による前記個人情報の保管状況の適切性の判断結果に基づいて、前記第一の計算機が、国を跨いだ別の第一の計算機への前記個人情報の移転の許可または禁止を制御する第4ステップと、
を備えることを特徴とする個人情報移転制御方法。
前記個人情報管理システムは、自拠点で取扱う個人情報を管理する複数の第一の計算機と、前記複数の第一の計算機が管理する個人情報を一元的に管理する第二の計算機と、がネットワークを介して接続され、
前記第一の計算機は、自拠点で取扱う個人情報に関する情報が登録される第一管理情報を有し、
前記第二の計算機は、前記複数の第一の計算機が管理する各個人情報に関する情報が登録される第二管理情報と、各国で定められたデータの国内保持規制を示すデータローカライゼーション情報と、を有し、
前記第一の計算機が、自拠点で取扱う個人情報に関する所定項目の設定情報を前記第一管理情報に設定し、設定した設定情報を前記第二の計算機に通知する第1ステップと、
前記第二の計算機が、前記第1ステップで前記第一の計算機から通知された前記設定情報に基づいて、前記第二管理情報を更新する第2ステップと、
前記第2ステップの後に、前記第二の計算機が、前記データローカライゼーション情報及び前記第二管理情報を用いて、前記第一の計算機の拠点に適用される国内保持規制の観点に基づいて、前記第一の計算機による前記個人情報の保管状況の適切性を判断し、その判断結果を前記第一の計算機に通知する第3ステップと、
前記第3ステップにおける前記第二の計算機による前記個人情報の保管状況の適切性の判断結果に基づいて、前記第一の計算機が、国を跨いだ別の第一の計算機への前記個人情報の移転の許可または禁止を制御する第4ステップと、
を備えることを特徴とする個人情報移転制御方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、個人情報管理システム及び個人情報移転制御方法に関し、個人情報保護の観点から個人情報の各国間での移転を制御する個人情報管理システム及び個人情報移転制御方法に適用して好適なものである。
【背景技術】
【0002】
近年、欧州のGDPR(General Data Protection Regulation)をはじめ、世界各国で個人情報保護に関する法律の整備が進んでいる。個人情報の収集、保存、参照、及び更新等の取扱いを行う事業者は、これらの法律を遵守することが求められる。個人情報は、個人を直接識別できる情報、または、他の情報を組合せて個人を識別できる情報といった内容で多くの国で定義されており、例えば氏名及び住所等の情報が該当すると考えられる。
【0003】
個人情報の取扱いにおいては、特に個人情報の国外移転(越境)に関して、厳しい規制が設けられており、グローバルに事業を展開する企業は、注意が必要である。また、近年急速に普及が進むクラウドにおいては、情報の所在が必ずしも国内とは限らず、情報が海外の様々な場所に保存されるケースも存在し、情報の国内保存を要求するような国においては注意が必要である。そこで、個人情報の国外移転においては、上述した各国の規制に適合するために、必要に応じて移転の許可または禁止を制御することが考えられる。
【0004】
個人情報の国外移転を制御する公知技術として、例えば特許文献1がある。特許文献1によれば、EU(European Union)からEU域外への個人情報の移転に関して、予め移転可能な国または企業を登録したリストを保持する。そして、個人情報を国外移転しようとする際に、上記リストを参照し、リスト内の国または企業への移転であれば移転を許可し、リスト外への移転であれば、必要に応じて情報を削除または加工等して移転する。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2020-112922号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかし、上記の特許文献1に開示されたように、単純な登録済み宛先リストを参照して個人情報の移転を制御するといった従来技術では、個人情報の初期の移転は許可するが再移転は禁止するといったような、これまでの移転状況に応じた移転制御を行うことが難しかった。また、移転先の宛先としては許可されていても、移転元の国に国内保持規制等が有る場合には、移転元国における規制を考慮しなければ、再移転先で十分に個人情報が保護されないといった事態も想定されるが、上述した従来技術では、このような移転元国の規制に応じた移転の制御を行うことも容易ではなく、宛先リストに登録されている宛先であれば移転が許可されてしまう問題があった。
【0007】
本発明は以上の点を考慮してなされたもので、個人情報の国外移転において、これまでの移転状況及び各国の移転規制に留意して、移転の許可または禁止を制御することが可能な個人情報管理システム及び個人情報移転制御方法を提案しようとするものである。
【課題を解決するための手段】
【0008】
かかる課題を解決するため本発明においては、各国の拠点で取扱う個人情報の移転制御を管理する個人情報管理システムであって、自拠点で取扱う個人情報を管理する複数の第一の計算機と、前記複数の第一の計算機が管理する個人情報を一元的に管理する第二の計算機と、がネットワークを介して接続され、前記第一の計算機は、自拠点で取扱う個人情報に関する情報が登録される第一管理情報を有し、前記第二の計算機は、前記複数の第一の計算機が管理する各個人情報に関する情報が登録される第二管理情報と、各国で定められたデータの国内保持規制を示すデータローカライゼーション情報と、を有し、前記第一の計算機は、自拠点で取扱う個人情報に関する所定項目の設定情報を前記第一管理情報に設定し、設定した設定情報を前記第二の計算機に通知し、前記第二の計算機は、前記第一の計算機から通知された前記設定情報に基づいて、前記第二管理情報を更新し、前記第二の計算機は、前記データローカライゼーション情報及び前記第二管理情報を用いて、前記第一の計算機の拠点に適用される国内保持規制の観点に基づいて、前記第一の計算機による前記個人情報の保管状況の適切性を判断し、その判断結果を前記第一の計算機に通知し、前記第一の計算機は、前記第二の計算機による前記個人情報の保管状況の適切性の判断結果に基づいて、国を跨いだ別の第一の計算機への前記個人情報の移転の許可または禁止を制御する、ことを特徴とする個人情報管理システムが提供される。
【0009】
また、かかる課題を解決するため本発明においては、各国の拠点で取扱う個人情報の移転制御を管理する個人情報管理システムによる個人情報移転制御方法であって、前記個人情報管理システムは、自拠点で取扱う個人情報を管理する複数の第一の計算機と、前記複数の第一の計算機が管理する個人情報を一元的に管理する第二の計算機と、がネットワークを介して接続され、前記第一の計算機は、自拠点で取扱う個人情報に関する情報が登録される第一管理情報を有し、前記第二の計算機は、前記複数の第一の計算機が管理する各個人情報に関する情報が登録される第二管理情報と、各国で定められたデータの国内保持規制を示すデータローカライゼーション情報と、を有し、前記第一の計算機が、自拠点で取扱う個人情報に関する所定項目の設定情報を前記第一管理情報に設定し、設定した設定情報を前記第二の計算機に通知する第1ステップと、前記第二の計算機が、前記第1ステップで前記第一の計算機から通知された前記設定情報に基づいて、前記第二管理情報を更新する第2ステップと、前記第2ステップの後に、前記第二の計算機が、前記データローカライゼーション情報及び前記第二管理情報を用いて、前記第一の計算機の拠点に適用される国内保持規制の観点に基づいて、前記第一の計算機による前記個人情報の保管状況の適切性を判断し、その判断結果を前記第一の計算機に通知する第3ステップと、前記第3ステップにおける前記第二の計算機による前記個人情報の保管状況の適切性の判断結果に基づいて、前記第一の計算機が、国を跨いだ別の第一の計算機への前記個人情報の移転の許可または禁止を制御する第4ステップと、を備えることを特徴とする個人情報移転制御方法が提供される。
【発明の効果】
【0010】
本発明によれば、個人情報の国外移転において、これまでの移転状況及び各国の移転規制に留意して、移転の許可または禁止を制御することができる。
【図面の簡単な説明】
【0011】
【図1】本発明の第1の実施形態に係る個人情報管理システム100の構成例を示すブロック図である。
【図2】拠点情報161のデータ構成例を示す図である。
【図3】個人情報管理情報162のデータ構成例を示す図である。
【図4】移転管理情報163のデータ構成例を示す図である。
【図5】データタイプ定義情報164のデータ構成例を示す図である。
【図6】移転タイプ定義情報165のデータ構成例を示す図である。
【図7】クラウド情報166のデータ構成例を示す図である。
【図8】各国ローカライゼーション情報167のデータ構成例を示す図である。
【図9】各国移転規制情報168のデータ構成例を示す図である。
【図10】各国規制レベル情報169のデータ構成例を示す図である。
【図11】各国十分性情報170のデータ構成例を示す図である。
【図12】各国センシティビティ情報171のデータ構成例を示す図である。
【図13】移転根拠グループ情報172のデータ構成例を示す図である。
【図14】移転根拠情報173のデータ構成例を示す図である。
【図15】個人情報管理情報114のデータ構成例を示す図である。
【図16】移転候補情報117のデータ構成例を示す図である。
【図17】個人情報及び移転候補情報の設定処理の処理手順例を示すフローチャートである。
【図18】個人情報の規制判断処理の処理手順例を示すフローチャートである。
【図19】個人情報の移転制御処理の処理手順例を示すフローチャートである。
【図20】移転終了通知後の個人情報登録処理の処理手順例を示すシーケンス図である。
【図21】再移転判断処理の処理手順例を示すフローチャートである。
【発明を実施するための形態】
【0012】
以下、図面を参照して、本発明の実施形態を詳述する。
【0013】
なお、以下の記載及び図面は、本発明を説明するための例示であって、説明の明確化のため、適宜、省略及び簡略化がなされている。また、実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。本発明が実施形態に制限されることは無く、本発明の思想に合致するあらゆる応用例が本発明の技術的範囲に含まれる。本発明は、当業者であれば本発明の範囲内で様々な追加や変更等を行うことができる。本発明は、他の種々の形態でも実施する事が可能である。特に限定しない限り、各構成要素は複数でも単数でも構わない。
【0014】
以下の説明では、「テーブル」、「表」、「リスト」、「データ」等の表現にて各種情報を説明することがあるが、各種情報は、これら以外のデータ構造で表現されていてもよい。データ構造に依存しないことを示すために「XXテーブル」、「XXリスト」等を「XX情報」や「XXデータ」と呼ぶことがある。各情報の内容を説明する際に、「識別情報」、「識別子」、「名」、「ID」、「番号」等の表現を用いるが、これらについてはお互いに置換が可能である。
【0015】
また、以下の説明では、同種の要素を区別しないで説明する場合には、参照符号又は参照符号における共通番号を使用し、同種の要素を区別して説明する場合は、その要素の参照符号を使用又は参照符号に代えてその要素に割り振られたIDを使用することがある。
【0016】
また、以下の説明では、プログラムを実行して行う処理を説明する場合があるが、プログラムは、少なくとも1以上のプロセッサ(例えばCPU)によって実行されることで、定められた処理を、適宜に記憶資源(例えばメモリ)及び/又はインタフェースデバイス(例えば通信ポート)等を用いながら行うため、処理の主体がプロセッサとされてもよい。同様に、プログラムを実行して行う処理の主体が、プロセッサを有するコントローラ、装置、システム、計算機、ノード、ストレージシステム、ストレージ装置、サーバ、管理計算機、クライアント、又は、ホストであってもよい。プログラムを実行して行う処理の主体(例えばプロセッサ)は、処理の一部又は全部を行うハードウェア回路を含んでもよい。例えば、プログラムを実行して行う処理の主体は、暗号化及び復号化、又は圧縮及び伸張を実行するハードウェア回路を含んでもよい。プロセッサは、プログラムに従って動作することによって、所定の機能を実現する機能部として動作する。プロセッサを含む装置及びシステムは、これらの機能部を含む装置及びシステムである。
【0017】
プログラムは、プログラムソースから計算機のような装置にインストールされてもよい。プログラムソースは、例えば、プログラム配布サーバ又は計算機が読み取り可能な記憶メディアであってもよい。プログラムソースがプログラム配布サーバの場合、プログラム配布サーバはプロセッサ(例えばCPU)と記憶資源を含み、記憶資源はさらに配布プログラムと配布対象であるプログラムとを記憶してよい。そして、プログラム配布サーバのプロセッサが配布プログラムを実行することで、プログラム配布サーバのプロセッサは配布対象のプログラムを他の計算機に配布してよい。また、以下の説明において、2以上のプログラムが1つのプログラムとして実現されてもよいし、1つのプログラムが2以上のプログラムとして実現されてもよい。
【0018】
(1)第1の実施形態
(1-1)システム構成
図1は、本発明の第1の実施形態に係る個人情報管理システム100の構成例を示すブロック図である。個人情報管理システム100は、1以上の拠点サーバ101と、1以上のクライアント端末141と、1以上の管理サーバ151とを備える計算機システムである。拠点サーバ101、クライアント端末141、及び管理サーバ151は、それぞれのインタフェース(I/F104,144,154)を介してネットワークに接続され、互いに通信可能に構成される。
(1-1)システム構成
図1は、本発明の第1の実施形態に係る個人情報管理システム100の構成例を示すブロック図である。個人情報管理システム100は、1以上の拠点サーバ101と、1以上のクライアント端末141と、1以上の管理サーバ151とを備える計算機システムである。拠点サーバ101、クライアント端末141、及び管理サーバ151は、それぞれのインタフェース(I/F104,144,154)を介してネットワークに接続され、互いに通信可能に構成される。
【0019】
拠点サーバ101は、メモリ102、CPU103、I/F104、及び記憶領域119を有するサーバ等の計算機である。拠点サーバ101の設置数及び設置場所は特に限定されないが、例えば、個人情報管理システム100を利用して個人情報の取扱いを行う事業者等の拠点ごと(あるいは、所在国ごと)に1つ以上が設置されると考えることができる。拠点や所在国については、図2に示す拠点情報を参照するとよい。
【0020】
CPU103は、例えばプロセッサであって、拠点サーバ101を全体的に制御する。具体的には例えば、CPU103は、I/F104を介して、外部機器(自分以外の拠点サーバ101,クライアント端末141,管理サーバ151等)からの操作要求の受信、上記外部機器から要求された操作(データ処理)の実行、データ処理結果の上記外部機器への送信、及び、データ処理要求の上記外部機器への送信、等を行う。
【0021】
メモリ102は、例えば主記憶装置であって、プログラム及びデータを記憶する。メモリ102は、CPU103及びI/F104と接続される。
【0022】
図1に示すように、メモリ102は、連携部105、情報管理部106、移転制御部107、拠点情報111、データタイプ定義情報112、移転タイプ定義情報113、個人情報管理情報114、移転根拠グループ情報115、移転根拠情報116、移転候補情報117、及びクラウド情報118を有する。これらの構成のうち、連携部105、情報管理部106、及び移転制御部107は、メモリ102に格納されたプログラムであり、当該プログラムがCPU103に実行されることによって所定の機能を実現する。そして、メモリ102内に示されたその他の構成は、プログラム以外のデータである。
【0023】
記憶領域119は、例えば補助記憶装置であって、拠点サーバ101が保有するデータベース等の情報(具体的には個人情報等)を記憶する。記憶領域119は、クラウドまたは外部接続される記憶装置等で実現されてもよい。
【0024】
クライアント端末141は、メモリ142、CPU143、及びI/F144を有する計算機である。クライアント端末141は、拠点サーバ101またはユーザが指示や操作を行うために使用する計算機であり、その所在地は特に限定されない。
【0025】
CPU143は、例えばプロセッサであって、I/F144を介して、外部機器(拠点サーバ101,管理サーバ151等)への操作要求、及び上記外部機器からの操作結果の受信等を行う。メモリ142は、例えば主記憶装置であって、プログラム及びデータを記憶する。メモリ142は、CPU143及びI/F144と接続される。また、メモリ142は、プログラムで実現される連携部145を有する。
【0026】
管理サーバ151は、メモリ152、CPU153、I/F154、及び記憶領域174を有するサーバ等の計算機である。管理サーバ151は、各拠点サーバ101が保持する個人情報の移転を管理する機能を有する計算機であって、その設置先や設置数は特に限定されない。
【0027】
CPU153は、例えばプロセッサであって、管理サーバ151を全体的に制御する。具体的には例えば、CPU153は、I/F154を介して、外部機器(自分以外の管理サーバ151,クライアント端末141,拠点サーバ101等)からの操作要求の受信、上記外部機器から要求された操作(データ処理)の実行、データ処理結果の上記外部機器への送信、及び、データ処理要求の上記外部機器への送信、等を行う。
【0028】
メモリ152は、例えば主記憶装置であって、プログラム及びデータを記憶する。メモリ152は、CPU153及びI/F154と接続される。
【0029】
図1に示すように、メモリ152は、連携部155、情報管理部156、規制判断部157、拠点情報161、個人情報管理情報162、移転管理情報163、データタイプ定義情報164、移転タイプ定義情報165、クラウド情報166、各国ローカライゼーション情報167、各国移転規制情報168、各国規制レベル情報169、各国十分性情報170、各国センシティビティ情報171、移転根拠グループ情報172、及び移転根拠情報173を有する。これらの構成のうち、連携部155、情報管理部156、及び規制判断部157は、メモリ152に格納されたプログラムであり、当該プログラムがCPU153に実行されることによって所定の機能を実現する。そして、メモリ152内に示されたその他の構成は、プログラム以外のデータである。
【0030】
記憶領域174は、例えば補助記憶装置であって、管理サーバ151が保有するデータベース等の情報(具体的には個人情報等)を記憶する。記憶領域174は、クラウドまたは外部接続される記憶装置等で実現されてもよい。
【0031】
(1-2)ソフトウェア構成
以下では、個人情報管理システム100のソフトウェア構成について詳細な説明を行う。具体的には、管理サーバ151のメモリ152に格納される情報、拠点サーバ101のメモリ102に格納される情報、及びクライアント端末141のメモリ142に格納される情報について、順に説明する。
以下では、個人情報管理システム100のソフトウェア構成について詳細な説明を行う。具体的には、管理サーバ151のメモリ152に格納される情報、拠点サーバ101のメモリ102に格納される情報、及びクライアント端末141のメモリ142に格納される情報について、順に説明する。
【0032】
【0033】
図2は、拠点情報161のデータ構成例を示す図である。拠点情報161は、個人情報の取扱いを行う事業者等の拠点を示す情報である。
【0034】
図2に示した拠点情報161は、拠点ID201、拠点名202、及び所在国203のデータ項目を有して構成される。拠点ID201は、各拠点を識別するIDを示す。拠点名202は、各拠点の名称を示す。所在国203は、各拠点の所在国を示す。なお、本発明の説明では、簡便のために「国」という表記を用いているが、この「国」が指す対象は、国家としての国に限定されるものではなく、地域(例えば欧州連合(EU))等を含むと考えてよい。
【0035】
図3は、個人情報管理情報162のデータ構成例を示す図である。個人情報管理情報162は、管理サーバ151において個人情報を管理するための情報であって、個人情報単位でレコードを保持する。
【0036】
図3に示した個人情報管理情報162は、管理ID301、取得国302、日時303、拠点ID304、データID305、データタイプ306、データ場所307、アドレス308、クラウドID309、国内保持310、及び元ID311のデータ項目を有して構成される。
【0037】
管理ID301は、管理サーバ151が管理対象の個人情報(以後、図3の説明では対象データと呼ぶ)を識別するIDを示す。取得国302は、対象データを取得した取得国を示す。日時303は、対象データの取得日時を示す。拠点ID304は、対象データがどの拠点に属するデータであるかを、拠点ID(図2の拠点ID201)で示す。
【0038】
データID305は、対象データが拠点ID304に示された拠点でどのように保持されているかを示し、具体的には、当該拠点で対象データに割り当てられている拠点内の識別ID(図15のデータID1501)で示す。データタイプ306は、対象データのデータタイプをデータタイプID(図5のデータタイプID501)で示す。データタイプは、図5に示すデータタイプ定義情報164で規定される。
【0039】
データ場所307は、対象データの格納場所の概要(拠点内、クラウド等)を示す。アドレス308は、対象データの格納場所の詳細を格納先のアドレスで示す。クラウドID309は、対象データがクラウドで保存される場合に、当該クラウドの識別ID(図7のクラウドID701)を示す。例えば、データ場所307の値が「自拠点」であれば、自拠点内に存在する拠点サーバ101の記憶領域119等に対象データが格納される。また、データ場所307の値が「バックアップ」であれば、対象データは、最初は一時的な記憶領域等に保存されるが、その後にデータコピー等の処理が行われることにより、アドレス308に示されるアドレスにデータが移されることを意味する。アドレス308に示すアドレスは、現時点で対象データが保存された記憶領域のアドレスが記載されるが、バックアップによってデータの保存場所が変更される場合には、バックアップ先のアドレスに更新される。
【0040】
国内保持310は、対象データの国内保持が国の法律等によって求められるか否か、また国内保持が求められる場合に現在の対象データの保管状況で対応可能か否かを示す。具体的には例えば、国内保持310の値が「-」であれば、対象データの国内保持が求められないことを意味する。国内保持の値が「10」であれば、対象データの国内保持が当該拠点において求められ、かつ現在のデータ保管状況で対応できることを意味する。国内保持の値が「11」であれば、対象データの国内保持が当該拠点において求められるが、現在のデータ保管状況では対応できないことを意味する。国内保持の値が「20」であれば、対象データの国内保持が当該拠点とは異なる拠点(対象データの移転元等、大元の対象データを保持する拠点)で求められ、かつ現在のデータ保管状況で対応できることを意味する。国内保持の値が「21」であれば、対象データの国内保持が当該拠点とは異なる拠点(対象データの移転元等、大元の対象データを保持する拠点)で求められるが、現在のデータ保管状況では対応できないことを意味する。
【0041】
元ID311は、対象データが移転で持ってきたデータであるか否かを示し、対象データが移転で現在の拠点に持ってきたデータである場合には、対象データの大元のデータの識別ID(管理ID301)を示す。具体的には例えば、元ID311の値が「-」であれば、対象データが移転で持ってきたデータではないことを意味する。また、元ID311の値が「d5」となっている場合は、対象データが移転で持ってきたデータであって、その大元(複数段階の移転が行われている場合は最初の移転元)となるデータは、管理サーバ151によって「d5」という識別ID(管理ID301)で管理されているデータであることを意味する。
【0042】
図4は、移転管理情報163のデータ構成例を示す図である。移転管理情報163は、個人情報の移転の履歴を管理する情報であって、移転ごとにレコードを有する。
【0043】
図4に示した移転管理情報163は、移転ID401、移転元402、移転元データID403、移転先404、移転先データID405、データタイプ406、移転根拠407、移転タイプ408、日時409、移転回数410、及び管理ID411のデータ項目を有して構成される。
【0044】
移転ID401は、管理対象の移転を識別するIDを示す。移転元402は、移転元の拠点を拠点ID(図2の拠点ID201)で示す。移転元データID403は、移転されたデータに関して、移転前に移転元拠点で管理されていたときに管理サーバ151から割り当てられた拠点内の識別ID(図15のデータID1501)を示す。移転先404は、移転先の拠点を拠点ID(図2の拠点ID201)で示す。移転先データID405は、移転されたデータに関して、移転後に移転先拠点で管理されるときに管理サーバ151から割り当てられた拠点内の識別ID(図15のデータID1501)を示す。データタイプ406は、移転データのデータタイプをデータタイプID(図5のデータタイプID501)で示す。データタイプは、図5に示すデータタイプ定義情報164で規定される。
【0045】
移転根拠407は、移転データの移転根拠を根拠ID(図14の根拠ID1401)で示す。移転根拠は、図14に示す移転根拠情報173で規定される。移転タイプ408は、移転データの移転タイプを移転タイプID(図6の移転タイプID601)で示す。移転タイプは、図6に示す移転タイプ定義情報165で規定される。日時409は、移転データを移転した日時を示す。移転回数410は、移転データの過去の移転回数を示す。具体的には例えば、移転回数410の値が「0」であれば、対象の移転データは以前に移転されたことがなく、今回が初めての移転であることを意味する。移転回数410の値が「1」であれば、対象の移転データは今回の移転より前に一度、移転が行われており、今回の移転は、移転されたデータの再移転であることを意味する。
【0046】
管理ID411は、移転元データに関して、移転元データID403に対応して管理サーバ151で管理されている識別ID(図3の管理ID301)を示す。管理ID411は、移転元拠点から移転終了の通知を受けた際に管理サーバ151によって設定され、その後、管理サーバ151と移転先拠点(拠点サーバ101)との間でデータの突合を行うために使用される。
【0047】
図5は、データタイプ定義情報164のデータ構成例を示す図である。データタイプ定義情報164は、拠点サーバ101または管理サーバ151が保有するデータベース等の記憶領域119,174で保持されるデータの分類を定義する情報である。記憶領域119,174には個人情報を含め様々な情報が格納されるが、個人情報管理システム100の各計算機(管理サーバ151,拠点サーバ101,クライアント端末141)は、データタイプ定義情報164,112に基づいて、記憶領域に格納されている情報にどのような分類のデータが含まれるかを把握することができる。
【0048】
図5に示したデータタイプ定義情報164は、データタイプID501及び内容502のデータ項目を有して構成される。データタイプID501は、データの分類を識別するID(データタイプID)を示す。内容502は、データの分類の内容を示す。例えば図5の場合、「氏名」を含むデータのデータタイプIDが「p1」、「住所」を含むデータのデータタイプIDが「p2」と定義されている。このとき、対象の情報に氏名及び住所が含まれる場合には、当該情報のデータタイプは、「p1」及び「p2」というように、複数の分類(データタイプID)が割り当てられる。
【0049】
図6は、移転タイプ定義情報165のデータ構成例を示す図である。移転タイプ定義情報165は、データの移転方法を定義する情報である。
【0050】
図6に示した移転タイプ定義情報165は、移転タイプID601及び内容602のデータ項目を有して構成される。移転タイプID601は、データの移転方法の分類を識別するID(移転タイプID)を示す。内容602は、データの移転方法の分類の内容を示す。例えば図6の場合、移転タイプIDが「t1」の移転方法は、データを移転元に残さずに移転先に送る移転方法を示す。また、移転タイプIDが「t2」の移転方法は、コピー等によりデータを移転元に残したまま移転先に送る移転方法を示す。
【0051】
図7は、クラウド情報166のデータ構成例を示す図である。クラウド情報166は、個人情報管理システム100がデータの格納先として利用可能なクラウドに関して、各種の情報を管理する情報である。
【0052】
図7に示したクラウド情報166は、クラウドID701、クラウドベンダ702、サービス名703、窓口704、及びデータ場所705,706のデータ項目を有して構成される。
【0053】
クラウドID701は、データを格納するクラウドの識別ID(クラウドID)を示す。クラウドベンダ702は、クラウドID701で特定されるクラウド(以下、当該クラウド)のベンダを示す。サービス名703は、当該クラウドのベンダが提供するサービスの種別を示す。例えば、サービス名703の値が「メール」である場合は、当該クラウドがメールサービスを提供するクラウドであることを意味し、サービス名703の値が「ストレージ」である場合は、当該クラウドがデータ格納のサービスを提供するクラウドであることを意味する。窓口704は、当該クラウドで提供されるサービスに関して設けられている窓口の所在地(例えば国名)を示す。データ場所705は、当該クラウドで提供されるサービスのデータ格納場所の概要(例えば、アジアや北米といった広範囲のエリア)を示し、データ場所706は、上記データ格納場所の詳細(例えば、国や都市)を示す。
【0054】
図8は、各国ローカライゼーション情報167のデータ構成例を示す図である。「各国ローカライゼーション」とは、各国が定めるデータのローカライゼーション(国内保持義務)の規制を意味する。各国ローカライゼーション情報167は、この各国ローカライゼーションの規制内容を管理する情報である。
【0055】
図8に示した各国ローカライゼーション情報167は、国801及びセンシティビティ802~805のデータ項目を有して構成される。国801は、国名を示す。センシティビティ802~805は、後述する図12の各国センシティビティ情報171で規定されるセンシティビティ「s1」,「s2」,「s3」,・・・に対応するデータ項目であり、各センシティビティに該当するデータについて、各国がデータのローカライゼーションの規制を有するか否かを示す。例えば図8の場合、国801の値が「中」であるレコードにおいてセンシティビティ803,804の値が「有」であることから、中国ではセンシティビティs2,S3のデータについてローカライゼーション(国内保持義務)の規制が掛けられている、ことが示される。
【0056】
図9は、各国移転規制情報168のデータ構成例を示す図である。「各国移転規制」とは、データの移転に関して各国が定める規制を意味する。各国移転規制情報168は、この各国移転規制の規制内容を管理する情報である。
【0057】
図9に示した各国移転規制情報168は、国901及びセンシティビティ902~905のデータ項目を有して構成される。国901は、国名を示す。センシティビティ902~905は、後述する図12の各国センシティビティ情報171で規定されるセンシティビティ「s1」,「s2」,「s3」,・・・に対応するデータ項目であり、各センシティビティに該当するデータについて、各国がどの移転根拠グループの規制を有するかを示す。移転根拠グループは、後述する図13の移転根拠グループ情報172で規定される。
【0058】
図10は、各国規制レベル情報169のデータ構成例を示す図である。各国規制レベル情報169は、各国の個人情報保護に関する規制の度合いを管理する情報である。
【0059】
図10に示した各国規制レベル情報169は、レベル1001及び国1002のデータ項目を有して構成される。レベル1001は、要求される個人情報保護のレベルの高さを示し、本例では、レベル値が大きいほど、個人情報保護に関して要求されるレベルが高い(すなわち、規制が厳しい)とする。国1002は、個人情報保護の各レベルに該当する国を示す。
【0060】
各国の規制レベル(レベル1001の値)は、管理サーバ151が、各国ローカライゼーション情報167、各国移転規制情報168、及び各国センシティビティ情報171の情報に基づいて、自動的に計算することができる。以下に、規制レベルの具体的な計算方法の一例を示す。
【0061】
図8に示した各国ローカライゼーション情報167について、管理サーバ151は、列ごと(センシティビティごと)に点数を定める。例えば、センシティビティ「s1」は1点、センシティビティ「s2」は2点、センシティビティ「s3」は3点等と定める。そして管理サーバ151は、図8を参照して、センシティビティに対する規制が有る場合に上記点数をカウントし、行ごと(国ごと)の合計得点を算出する。この場合、中国は6点となり、日本は0点となる。
【0062】
また、図12に示した各国センシティビティ情報171について、管理サーバ151は、センシティビティのバリエーションに基づいて得点を計算する。例えば、バリエーションが1種類であれば1点、2種類あれば2点、3種類あれば3点等と定める。そして管理サーバ151は、図12を参照して各国の得点を算出する。例えば米国のセンシティビティは「s1」の1種類だけであることから1点、欧州のセンシティビティは「s1」と「s2」の2種類であることから2点となる。
【0063】
また、図9に示した各国移転規制情報168について、管理サーバ151は、列ごと(センシティビティごと)に点数を定める。例えば、各列で規制が存在する(すなわち、何れかのグループの値が登録されている)場合にそれぞれ1点を加点し、合計得点を算出する。なお、得点算出の変形例として、グループを構成する移転根拠の要素数が多いものほど、移転可能な根拠のバリエーションが豊富で移転しやすいと見なして、点数を下げる(すなわち、規制が弱いと見なす)ようにしてもよい。
【0064】
以上のようにして、管理サーバ151は、各国ローカライゼーション情報167、各国移転規制情報168、及び各国センシティビティ情報171の情報からそれぞれ、国別の得点を算出することができる。そこで、管理サーバ151は、各情報から算出したこれらの得点を集計して国別の総合得点を算出し、この総合得点に応じて、点数が高い国ほど規制レベルが高くなるように、各国の規制レベルを決定する。
【0065】
なお、各国の規制レベルを算出するとき、上記観点以外にも、違反時の制裁金額の多寡を観点に持たせるようにしてもよい。この場合、管理サーバ151は、各国の違反時の制裁金額を示す制裁金額情報をメモリ152に保持し、制裁金額情報を参照して、違反時の制裁金額が多い国ほど、規制レベル算出のための点数を加算する等の処理を行えばよい。
【0066】
図11は、各国十分性情報170のデータ構成例を示す図である。各国十分性情報170は、個人情報の移転に関する各国間での十分性の認定関係を示す情報である。国を跨ぐ個人情報の移転において、当該個人情報に対する特段の手当てを行うことなく(すなわち、個人情報への扱いを変更することなく)移転が認められることを、十分性が認定されている、という。
【0067】
図11に示した各国十分性情報170は、国1101及び十分性対象国1102のデータ項目を有して構成される。国1101は国を示し、十分性対象国1102は、国1101に示した国に対して、十分性の認定を与えている国を示す。言い換えると、国1101に示した国にとって、十分性対象国1102に示した国は、十分性の対象となっている国である。例えば図11において、国1101の値が「日」であるレコードにおいて十分性対象国1102の値に「英、欧州」が登録されている。このレコードは、日本から英国やEUに対して、十分性認定を根拠としてデータを国外移転できることを示す。
【0068】
図12は、各国センシティビティ情報171のデータ構成例を示す図である。「各国センシティビティ」とは、データタイプ定義情報164で定義される各データタイプについて、各国で要求されるデータ取扱いの慎重さの度合い(データの機微度)を意味する。各国センシティビティ情報171は、この各国センシティビティを管理する情報である。
【0069】
図12に示した各国センシティビティ情報171は、国1201及びデータタイプ1202~1205のデータ項目を有して構成される。国1201は国を示す。データタイプ1202~1205は、図5のデータタイプ定義情報164で定義された各データタイプ(データタイプID501)である「p1」,「p2」,「p3」,・・・に対応するデータ項目であり、当該データタイプにおけるデータの機微度(センシティビティ)を示す。例えば図12の場合、図1201の値がEUを示す「欧」であるレコードにおいて、データタイプ1202~1204の各値を見ると、データタイプ「p1」のデータの機微度は「s1」であり、データタイプ「p2」のデータの機微度は「s1」であり、データタイプ「p3」のデータの機微度は「s2」である。ここで、「s1」よりも「s2」の方が機微度が高いとすると、データタイプ「p3」のデータは、データタイプ「p1」,「p2」のデータよりも、取扱いに慎重さが求められることが示される。
【0070】
図13は、移転根拠グループ情報172のデータ構成例を示す図である。移転根拠グループ情報172は、後述する図14の移転根拠情報173で規定される移転根拠の組み合わせから形成されるグループ(移転根拠グループ)を管理する情報である。移転根拠グループは、各国の移転において満たすべき要件を示す。
【0071】
図13に示した移転根拠グループ情報172は、グループID1301及び内容1302のデータ項目を有して構成される。グループID1301は、移転根拠グループを識別するIDを示す。内容1302は、移転根拠グループを構成する移転根拠の組み合わせを、図14に示す根拠ID1401で示す。例えば、図13においてグループID1301の値が「Gr2」の場合、内容1302の値は「g1 or g2」である。これは、移転するデータが「Gr2」の移転根拠グループに属する場合は、その移転根拠として「g1」または「g2」の少なくとも何れかを満たす必要があることを示している。
【0072】
図14は、移転根拠情報173のデータ構成例を示す図である。図14に示した移転根拠情報173は、根拠ID1401及び内容1402のデータ項目を有して構成される。根拠ID1401は、移転根拠を識別するIDを示す。内容1402は、移転根拠の内容を示す。例えば、図14において根拠ID1401の値が「g1」の場合、内容1402の値は「同意」である。これは、同意の取得が移転の条件の1つであることを示している。
【0073】
(1-2-2)管理サーバ151におけるプログラム
次に、管理サーバ151のメモリ152に格納されるプログラムについて説明する。上述したように、連携部155、情報管理部156、及び規制判断部157は、メモリ152に格納されたプログラムで実現される。
次に、管理サーバ151のメモリ152に格納されるプログラムについて説明する。上述したように、連携部155、情報管理部156、及び規制判断部157は、メモリ152に格納されたプログラムで実現される。
【0074】
連携部155は、ネットワークを介して、他の計算機(拠点サーバ101及びクライアント端末141等)との間でデータのやり取りを行う。なお、説明を簡便にするため、連携部155が自計算機内の他の機能部の要請を受けて他の計算機との間でデータのやり取りを行う場合、連携部155ではなく上記「他の機能部」をその処理主体として表記することがある。これは、拠点サーバ101の連携部105でも同様である。
【0075】
情報管理部156は、拠点サーバ101から通知された個人情報に関する情報を基に、管理サーバ151内でその個人情報を把握するための情報の登録や、ある拠点サーバ101から別の拠点サーバ101に移転された個人情報を把握するための情報の登録を行う。これらの情報の登録先は、(1-2-1)で詳述した、メモリ152内のプログラム以外のデータである。
【0076】
規制判断部157は、拠点サーバ101からの要求を受けて、移転しようとする個人情報のデータに対して規制が必要であるかの判断を行う。より具体的には、規制判断部157は、移転しようとする個人情報のデータに対して、ローカライゼーションの適用の有無の判断、当該データの保管状況の是非の判断、及び当該データの再移転の是非の判断等を行う。
【0077】
(1-2-3)拠点サーバ101におけるプログラム以外のデータ
次に、拠点サーバ101のメモリ102に格納される情報のうち、プログラム以外の情報について説明する。
次に、拠点サーバ101のメモリ102に格納される情報のうち、プログラム以外の情報について説明する。
【0078】
拠点サーバ101がメモリ102に保持する情報には、上述した管理サーバ151がメモリ152に保持する同名の情報と同様のデータ(少なくとも同様のデータ構成を有するデータ)が複数存在し、これらの情報については詳細な説明を省略する。具体的には、拠点情報111は図2に例示した拠点情報161と同様であり、データタイプ定義情報112は図5に例示したデータタイプ定義情報164と同様であり、移転タイプ定義情報113は図6に例示した移転タイプ定義情報165と同様であり、移転根拠グループ情報115は図13に例示した移転根拠グループ情報172と同様であり、移転根拠情報116は図14に例示した移転根拠情報173と同様であり、クラウド情報118は図7に例示したクラウド情報166と同様である。
【0079】
これらの情報は、例えば管理サーバ151で定義または保持されている同名の情報(拠点情報161,データタイプ定義情報164,移転タイプ定義情報165,クラウド情報166,移転根拠グループ情報172,移転根拠情報173)を各拠点に配布し、各拠点の拠点サーバ101がメモリ102に格納して使用するとしてもよい。なお、移転根拠グループ情報115については、管理サーバ151から移転根拠グループ情報172と同じ内容のものを各拠点に配布するのではなく、各拠点が個別に保持する個人情報に関係する移転根拠グループだけに絞った情報を管理サーバ151から拠点サーバ101に配布するようにしてもよい。また、他にも例えば、拠点サーバ101が独自に収集した情報を管理サーバ151に集約し、管理サーバ151において整合性をとったのち、適宜、各拠点の拠点サーバ101に配布する等としてもよい。
【0080】
拠点サーバ101が独自にメモリ102に保持する情報としては、個人情報管理情報114及び移転候補情報117が挙げられる。
【0081】
図15は、個人情報管理情報114のデータ構成例を示す図である。個人情報管理情報114は、管理サーバ151が保持する個人情報管理情報162(図3参照)と類似する情報であるが、自拠点で取扱う個人情報を管理するための情報である点で、全ての拠点の個人情報を集約して一元的に管理するための情報である個人情報管理情報162とは異なる。
【0082】
図15に示した個人情報管理情報114は、データID1501、取得国1502、日時1503、データタイプ1504、データ場所1505、アドレス1506、クラウドID1507、国内保持1508、管理ID1509、及び移転ID1510のデータ項目を有して構成される。取得国1502、日時1503、データタイプ1504、データ場所1505、アドレス1506、クラウドID1507、及び国内保持1508は、図3の個人情報管理情報162が有する同名のデータ項目と同様のものであり、詳細な説明を省略する。
【0083】
データID1501は、拠点サーバ101が管理対象の個人情報(以後、図15の説明では対象データと呼ぶ)を識別するIDを示す。
【0084】
管理ID1509は、管理サーバ151による対象データの管理IDを示す。管理ID1509は、管理サーバ151から割り当てられ、図3の個人情報管理情報162が有する管理ID301に対応する。管理IDは、例えば、拠点サーバ101から管理サーバ151に対象データ(個人情報)の概要に関する情報を通知した際に、管理サーバ151によって割り当てられ、拠点サーバ101に返信されて管理ID1509に設定される。
【0085】
移転ID1510は、対象データの移転を識別するための移転IDを示す。移転IDは、例えば、拠点サーバ101から管理サーバ151に対象データ(個人情報)の移転終了についての情報を通知した際に、管理サーバ151によって割り当てられ、拠点サーバ101に返信されて拠点ID1510に設定される。
【0086】
図16は、移転候補情報117のデータ構成例を示す図である。移転候補情報117は、自拠点で保持する個人情報の他拠点への移転候補を管理する情報である。
【0087】
図16に示した移転候補情報117は、候補ID1601、対象ID1602、移転先1603、データ場所1604、アドレス1605、クラウドID1606、移転根拠グループ1607、及び目的1608のデータ項目を有して構成される。
【0088】
候補ID1601は、移転候補の識別IDを示す。対象ID1602は、移転対象の個人情報の識別IDを拠点内の識別ID(図15のデータID1501)で示す。移転先1603は、移転先の拠点を拠点ID(図2の拠点ID201)で示す。データ場所1604は、移転先の個人情報の格納場所の概要(拠点内、クラウド等)を示す。アドレス1605は、移転先の個人情報の格納場所の詳細を格納先のアドレスで示す。クラウドID1606は、移転対象の個人情報がクラウドで保存される場合に、当該クラウドの識別ID(図7のクラウドID701)を示す。移転根拠グループ1607は、移転において満たすべき移転根拠の組合せからなる移転根拠グループを、その識別ID(図13に示したグループID1301)で示す。目的1608は、移転に関しての個人情報の取扱い目的(例えば、自拠点以外での情報保存、分析等)を示す。
【0089】
(1-2-4)拠点サーバ101におけるプログラム
次に、拠点サーバ101のメモリ102に格納されるプログラムについて説明する。上述したように、連携部105、情報管理部106、及び移転制御部107は、メモリ102に格納されたプログラムで実現される。
次に、拠点サーバ101のメモリ102に格納されるプログラムについて説明する。上述したように、連携部105、情報管理部106、及び移転制御部107は、メモリ102に格納されたプログラムで実現される。
【0090】
連携部105は、ネットワークを介して、他の計算機(管理サーバ151及びクライアント端末141等)との間でデータのやり取りを行う。
【0091】
情報管理部106は、クライアント端末141から通知された個人情報に関する情報を基に、拠点サーバ101内でその個人情報を把握するための情報の登録等を行う。
【0092】
移転制御部107は、管理サーバ151及びクライアント端末141等と連携し、自拠点に関係する個人情報(すなわち、拠点サーバ101が管理する個人情報)の移転について、管理サーバ151による移転の許可または禁止の決定に応じて、移転に関する制御を行う。
【0093】
(1-2-5)クライアント端末141におけるプログラム
次に、クライアント端末141のメモリ142に格納されるプログラムについて説明する。上述したように、連携部145は、メモリ142に格納されたプログラムで実現される。
次に、クライアント端末141のメモリ142に格納されるプログラムについて説明する。上述したように、連携部145は、メモリ142に格納されたプログラムで実現される。
【0094】
連携部145は、拠点サーバ101等の外部の計算機と連携し、ユーザによる操作に応じて、個人情報の設定、保護、または抽出等の要求を送信する。また、連携部145は、外部の計算機からの応答結果の受信等を行う。
【0095】
(1-3)処理
以下では、上述したハードウェア構成及びソフトウェア構成に基づいて、本実施形態に係る個人情報管理システム100が実行する処理を説明する。以下に説明する処理は、クライアント端末141から拠点サーバ101に対して、個人情報に関する設定処理の実行要求が行われたときに実行される。
以下では、上述したハードウェア構成及びソフトウェア構成に基づいて、本実施形態に係る個人情報管理システム100が実行する処理を説明する。以下に説明する処理は、クライアント端末141から拠点サーバ101に対して、個人情報に関する設定処理の実行要求が行われたときに実行される。
【0096】
(1-3-1)個人情報及び移転候補情報の設定処理
図17は、個人情報及び移転候補情報の設定処理の処理手順例を示すフローチャートである。図17に示す処理は、例えばユーザがクライアント端末141を操作して、ある個人情報を自拠点の拠点サーバ101に登録しようとする際に、拠点サーバ101が実行する処理である。図17に示す処理では、個人情報の登録を要求する際にその移転候補に関する移転候補情報の登録が要求されるが、移転候補情報の登録要求は、個人情報の登録要求とは別のタイミングで行われてもよい。その場合は、以下に説明する各処理のうち、移転候補情報の登録に関する処理が別途実行されればよい。また、図17に示す処理は、登録済みの個人情報または移転候補情報の内容を変更(更新)する際にも応用可能である。
図17は、個人情報及び移転候補情報の設定処理の処理手順例を示すフローチャートである。図17に示す処理は、例えばユーザがクライアント端末141を操作して、ある個人情報を自拠点の拠点サーバ101に登録しようとする際に、拠点サーバ101が実行する処理である。図17に示す処理では、個人情報の登録を要求する際にその移転候補に関する移転候補情報の登録が要求されるが、移転候補情報の登録要求は、個人情報の登録要求とは別のタイミングで行われてもよい。その場合は、以下に説明する各処理のうち、移転候補情報の登録に関する処理が別途実行されればよい。また、図17に示す処理は、登録済みの個人情報または移転候補情報の内容を変更(更新)する際にも応用可能である。
【0097】
図17によればまず、連携部105が、クライアント端末141から個人情報及びその移転候補情報の設定(登録、更新等)に関する要求を受け付ける(ステップS101)。ステップS101において、連携部105は、設定対象の個人情報及び移転候補情報もクライアント端末141から受信する。
【0098】
次に、ステップS501の要求に基づいて、情報管理部106が、受信した個人情報及び移転候補情報を用いて、メモリ102に格納される情報(個人情報管理情報114,移転候補情報117)を更新するとともに、管理サーバ151に対してその更新に関する情報を送信する(ステップS102)。ステップS102で送信された情報を受信した管理サーバ151では、後述する図18に示す処理が実行される。
【0099】
ステップS102における情報管理部106の処理内容を詳しく説明する。
【0100】
例えば、個人情報の登録が要求された場合、図15の個人情報管理情報114において、拠点サーバ101(情報管理部106)は、クライアント端末141からの情報に基づいて、登録が要求された個人情報に対する新たな識別ID(データID1501)を割当て、当該個人情報に関して、データの取得元の国(取得国1502)、取得日時(日時1503)、データのタイプ(データタイプ1504)、格納場所の概要(データ場所1505)、格納先の詳細なアドレス(アドレス1506)等の情報を登録する。
【0101】
また例えば、移転候補情報の登録が要求された場合、図16の移転候補情報117において、拠点サーバ101(情報管理部106)は、クライアント端末141からの情報に基づいて、登録が要求された移転候補情報に対する新たな識別ID(候補ID1601)を割当て、当該移転候補情報に関して、移転対象(対象ID1602)、移転先(移転先1603)、移転先のデータ格納場所の概要(データ場所1604)、格納先の詳細なアドレス(アドレス1605)等の情報を登録する。そして、上記の更新(登録)された情報や拠点サーバ101の拠点情報が、拠点サーバ101から管理サーバ151に送信され、後述する図18に示す処理により、管理サーバ151側の情報が更新される。
【0102】
次に、情報管理部106は、管理サーバ151からの応答情報に基づいて、個人情報管理情報114及び移転候補情報117に対して、所定のデータ項目を更新する(ステップS103)。所定のデータ項目とは、例えば、個人情報管理情報114においては国内保持1508及び管理ID1509であり、移転候補情報117においては移転根拠グループ1607である。
【0103】
詳しく説明すると、図15の個人情報管理情報114に対して、情報管理部106は、管理サーバ151で判断されたデータローカライゼーション対応の要否の結果を国内保持1508に設定する。データローカライゼーション対応の要否は、ステップS102で拠点サーバ101から受信した取得国1502及びデータタイプ1504の値等に基づいて、管理サーバ151で判断され、その判断結果が拠点サーバ101に通知される(後述する図18のステップS205,S208,S209)。また、情報管理部106は、図18の処理によって管理サーバ151が対象の個人情報に対して割り当てた管理ID301の値を管理ID1509に設定する。
【0104】
また、図16の移転候補情報117に対して、情報管理部106は、管理サーバ151で判断された移転根拠グループを移転根拠グループ1607に設定する。移転根拠グループは、ステップS102で拠点サーバ101から受信した取得国1502の値や移転候補先の情報等に基づいて、管理サーバ151で判断され、その判断結果が拠点サーバ101に通知される(後述する図18のステップS205,S208,S209)。
【0105】
以上のように図17の処理を実行することにより、拠点サーバ101は、管理サーバ151と連携しながら、設定が要求された個人情報及び移転先候補情報を自身のメモリ102に適宜設定することができる。
【0106】
(1-3-2)個人情報の規制判断処理
図18は、個人情報の規制判断処理の処理手順例を示すフローチャートである。図18に示す処理は、拠点サーバ101から個人情報または移転候補情報の通知(図17のステップS102)を受けとったときに、管理サーバ151が実行する処理であって、個人情報の国内保持の要否及び個人情報の保管状況の適切性等を判断する。
図18は、個人情報の規制判断処理の処理手順例を示すフローチャートである。図18に示す処理は、拠点サーバ101から個人情報または移転候補情報の通知(図17のステップS102)を受けとったときに、管理サーバ151が実行する処理であって、個人情報の国内保持の要否及び個人情報の保管状況の適切性等を判断する。
【0107】
図18によればまず、連携部155が、拠点サーバ101から個人情報及び移転候補情報を受信する(ステップS201)。
【0108】
次に、情報管理部156が、ステップS201で受信した情報に基づいて、個人情報管理情報162を更新する(ステップS202)。具体的には、図3に示した個人情報管理情報162に対して、情報管理部156は、拠点サーバ101で新たに登録された個人情報を管理サーバ151で管理するための識別ID(管理ID)を割り当て、管理ID301に設定する。さらに情報管理部156は、ステップS201で受信した個人情報に基づいて、新たな管理IDを設定したレコードのデータ項目302~309を設定する。なお、データID305には、拠点サーバ101で当該個人情報を識別するために使用されている識別ID(図15のデータID1501)の値が設定される。
【0109】
次に、規制判断部157が、拠点サーバ101から通知された個人情報が国内保持の必要があるか否かを、取得国302、データタイプ306、データ場所307、及び元ID311に基づいて判断する(ステップS203)。国内保持310の値は、ステップS203以降の複数の処理を経て決定され、設定される。
【0110】
ステップS203の処理を具体的に詳しく説明する。まず、規制判断部157は、個人情報のタイプ(データタイプ306)がその取得国(取得国302)においてどのセンシティビティに該当するかを、図12の各国センシティビティ情報171を参照して特定する。例えば取得国が「日本」でタイプが「p1」である場合、図12によれば、センシティビティは「s1」であると特定される。次いで、規制判断部157は、取得国において上記特定したセンシティビティのデータがローカライゼーション対応が必要とされているか否かを、図8の各国移転規制情報168を参照して特定する。例えば上記例のように取得国が「日本」でセンシティビティが「s1」である場合、図8によれば、該当する値は「-」であり、ローカライゼーション対応が不要と判断される。なお、図8において該当する値が「有」である場合は、ローカライゼーション対応が必要と判断される。
【0111】
上記のようにして、規制判断部157がローカライゼーション対応(国内保持)を不要と判断した場合は(ステップS203のNO)、国内保持310に「-」が設定され、後述するステップS209に進む。一方、規制判断部157がローカライゼーション対応(国内保持)を必要と判断した場合は(ステップS203のYES)、国内保持310に「有」が設定され、ステップS204に進む。
【0112】
ステップS204において、規制判断部157は、拠点サーバ101から通知された個人情報の保管状況が適切であるか否かを判断する。個人情報の保管状況が適切であると判断された場合は(ステップS204のYES)、ステップS205に進み、個人情報の保管状況が適切ではないと判断された場合は(ステップS204のNO)、ステップS209に進む。
【0113】
ステップS204の処理を具体的に詳しく説明する。規制判断部157は、まず、元ID311の登録の有無を確認し、その確認結果に応じて以下のような処理を行う。
【0114】
元ID311の値が未登録の場合、規制判断部157は、当該データ(個人情報)は移転によって持ってきたデータではなく新たに登録されたデータと判断する。このとき、規制判断部157は、拠点ID304、データ場所307、及びクラウドID309の情報に基づいて、データの所在国を特定する。そして規制判断部157は、当該所在国がデータの取得国(取得国302)と一致する場合には、自拠点に関してローカライゼーション対応が必要であり、かつ、現在のデータの保管状況でその対応ができていると判断して(ステップS204のYES)、国内保持310に「10」の値を設定する。なお、データ場所307の値が「クラウド」である場合、規制判断部157は、クラウドID309をキーとして図7のデータ場所706の値を参照することで、データの所在国を特定することができる。一方、規制判断部157は、特定したデータの所在国がデータの取得国(取得国302)と一致しない場合には、自拠点に関してローカライゼーション対応が必要であるが、現在のデータの保管状況ではその対応ができていないと判断して(ステップS204のNO)、国内保持310に「11」の値を設定する。
【0115】
すなわち、元ID311の値が未登録の場合、規制判断部157は、ステップS201の通知された拠点(自拠点)に保持された個人情報のデータについて、当該データの現在の格納場所が国内保持の観点に適合しているか否かを確認することによって、現在のデータの保管状況が適切であるか否かを判断し、適切であると判断した場合には国内保持310に「10」の値を設定し、不適切であると判断した場合には国内保持310に「11」の値を設定する。
【0116】
元ID311の値が登録済みである場合、規制判断部157は、当該データ(個人情報)は移転によって持ってきたデータと判断する。このとき、規制判断部157は、元ID311の値が未登録の場合と同様の方法で、移転によって持ってきたデータの格納場所が国内保持の観点に適合しているか否かを確認する。さらに、規制判断部157は、元ID311で示されるデータを保有する拠点(すなわち、移転の大元の個人情報を保持する拠点等)に対して、定期的にデータの格納場所(データ場所307)等のデータの保管状況の問合せを行い、問合せの結果を用いて、元ID311の値が未登録の場合で説明したのと同様の方法により、データローカライゼーション対応の要否を判断する。この判断は、移転元のデータにおける国内保持の要否を確認するものである。
【0117】
そして、規制判断部157は、移転によって持ってきたデータの格納場所が国内保持の観点に適合しているか否かの確認結果に基づいて、現在のデータの保管状況が適切であるか否かを判断し、さらに、移転元のデータにおける国内保持の要否の確認結果を踏まえて、国内保持310に設定する値を決定する。
【0118】
具体的には、規制判断部157は、移転によって持ってきたデータの格納場所が国内保持の観点に適合している場合に、現在のデータの保管状況が適切であると判断する(ステップS204のYES)。このとき、規制判断部157は、移転元のデータにおいて国内保持が必要であることを確認した場合に、国内保持310に「20」の値を設定し、移転元のデータにおいて国内保持が不要であることを確認した場合に、国内保持310に「10」の値を設定する。また、規制判断部157は、移転によって持ってきたデータの格納場所が国内保持の観点に適合していない場合に、現在のデータの保管状況が不適切であると判断する(ステップS204のNO)。このとき、規制判断部157は、移転元のデータにおいて国内保持が必要であることを確認した場合に、国内保持310に「21」の値を設定し、移転元のデータにおいて国内保持が不要であることを確認した場合に、国内保持310に「11」の値を設定する。
【0119】
なお、元ID311は、管理対象の個人情報が移転によって持ってきたデータである場合に登録(設定)され、その値は、移転元の拠点サーバ101が保有していた移転元データに対して管理サーバ151が管理用に割り当てていた識別ID(すなわち、移転元データのデータID301)が設定される。
【0120】
具体的には、管理サーバ151(情報管理部156または規制判断部157)は、今回新たに登録されるデータ(拠点ID304及びデータID305から識別可能)について、図4の移転管理情報163の移転先404及び移転先データID405から識別されるデータに一致するものが存在しないかを判断する。一致するデータが移転管理情報163に登録されていた場合は、その管理ID411の値が、今回登録するデータの大元の移転元の拠点サーバ101における識別IDに相当することから、管理サーバ151は、この管理ID411の値を元ID311に設定する。
【0121】
ステップS204以降の処理の説明を続ける。ここまでの説明をまとめると、ステップS201で通知された個人情報について、国内保持が必要で(ステップS203のYES)、かつ、現在のデータ保管状況が適切である(ステップS204のYES)と判断された場合に、ステップS205の処理が行われる。一方、ステップS201で通知された個人情報について、国内保持が不要であること(ステップS203のNO)、または、現在のデータ保管状況が不適切であること(ステップS204のNO)の少なくとも何れかが判断された場合に、ステップS209の処理が行われる。
【0122】
ステップS205では、管理サーバ151(情報管理部156または規制判断部157)は、国内保持310の値(国内保持フラグ)と移転根拠の情報を、ステップS201で個人情報を送信してきた拠点サーバ101に送信する。
【0123】
上記の「移転根拠の情報」は、対象の個人情報が将来移転される可能性がある場合に、その移転の根拠情報を収集したものである。具体的には、上記の管理サーバ151は、ステップS201で拠点サーバ101から受信した個人情報のデータID(データID305,データID1501)が、拠点サーバ101から受信した移転候補情報の対象ID1602と一致している場合は、当該個人情報は将来移転する可能性があると判断できる。この場合、管理サーバ151は、その移転の根拠情報を収集して、拠点サーバ101に送信する。より具体的には、管理サーバ151は、図3の個人情報管理情報162(特に取得国302,データタイプ306)と、図12の各国センシティビティ情報171とに基づいて、当該データのセンシティビティを特定し、特定したセンシティビティにおいて必要な移転根拠を図9の各国移転規制情報168及び図13の移転根拠グループ情報172から特定し、その特定結果を示す情報(例えば「Gr2」のような根拠グループの値)を拠点サーバ101に送信する。
【0124】
ステップS205の処理後、規制判断部157は、個人情報のデータを保有する拠点(大元の移転元の拠点等)に対して、定期的にデータの格納場所(データ場所307)等のデータの保管状況を問合せて状況を監視する(ステップS206)。そして、問合せの結果を得た規制判断部157は、上述したステップS204と同様の手順で保管状況の適切性を判断する(ステップS207)。保管状況が適切であると判断した場合(ステップS207のYES)、規制判断部157は、ステップS206に戻り監視を継続する。一方、保管状況が不適切であると判断した場合(ステップS207のNO)、規制判断部157は、保管状況の是正や当該データの移転を禁止する旨を拠点サーバ101に通知する(ステップS208)。このとき、規制判断部157は、対象データの国内保持310の値(国内保持フラグ)を状況に適合する特定の値に更新するようにしてもよい。また、ステップS208では、通知内容を示すフラグ等を送信してもよいし、通知内容に対応する値を送信する等してもよい。
【0125】
ステップS206~S207の処理は、データローカライゼーション対応が必要なデータが適切な保管状況で保有されているか否かを継続的に監視するものである。これは、ステップS204において現在の保管状況が適切(YES)と判定された場合でも、データが移転されるまでの間に保管状況が変化しないようにチェックする必要や、移転後も、大元のデータの保管状況をチェックする必要があるためである。
【0126】
また、ステップS209では、ステップS205と同様に、管理サーバ151(情報管理部156または規制判断部157)が、国内保持310の値と移転根拠の情報を、ステップS201で個人情報を送信してきた拠点サーバ101に送信する。
【0127】
以上のように図18の処理を実行することにより、管理サーバ151は、各拠点サーバ101で保管される個人情報について、各国のデータローカライゼーションに対応した個人情報の保管を可能にする。
【0128】
(2)第2の実施形態
第1の実施形態で説明した個人情報管理システム100を用いて、本発明の第2の実施形態について説明する。本実施形態では、個人情報の国外移転において、これまでの移転状況及び各国の移転規制に留意した移転是非の判断を可能にし、上記判断結果をもとに、移転の許可または禁止等の制御を実行可能にする。
第1の実施形態で説明した個人情報管理システム100を用いて、本発明の第2の実施形態について説明する。本実施形態では、個人情報の国外移転において、これまでの移転状況及び各国の移転規制に留意した移転是非の判断を可能にし、上記判断結果をもとに、移転の許可または禁止等の制御を実行可能にする。
【0129】
本実施形態に係る個人情報管理システム100において、拠点サーバ101は、クライアント端末141から個人情報の移転要求を受けた場合に、要求された移転が再移転であるかを判断し、再移転である場合は、管理サーバ151と連携してその移転の許可または禁止を制御する。以下にこのような制御を行うための処理の詳細を説明する。
【0130】
(2-1)個人情報の移転制御処理
図19は、個人情報の移転制御処理の処理手順例を示すフローチャートである。図19に示す処理は、ユーザがクライアント端末141を操作して、ある個人情報を現在の拠点から他の拠点に移転(移動またはコピー)しようとする際に、現在の拠点における拠点サーバ101が実行する処理である。なお、図19の処理は、第1の実施形態で図17及び図18に示した処理が完了しているときに実行可能である。また、以降の説明では、拠点サーバ101の混同を避けるために、移転元となる現在の拠点における拠点サーバ101を「拠点サーバ101A」、移転先となる拠点における拠点サーバ101を「拠点サーバ101B」、と表記することがある。
図19は、個人情報の移転制御処理の処理手順例を示すフローチャートである。図19に示す処理は、ユーザがクライアント端末141を操作して、ある個人情報を現在の拠点から他の拠点に移転(移動またはコピー)しようとする際に、現在の拠点における拠点サーバ101が実行する処理である。なお、図19の処理は、第1の実施形態で図17及び図18に示した処理が完了しているときに実行可能である。また、以降の説明では、拠点サーバ101の混同を避けるために、移転元となる現在の拠点における拠点サーバ101を「拠点サーバ101A」、移転先となる拠点における拠点サーバ101を「拠点サーバ101B」、と表記することがある。
【0131】
図19によればまず、拠点サーバ101Aの連携部105が、クライアント端末141から個人情報の移転要求を受信する(ステップS301)。ステップS301で受信する移転要求では、移転対象とする個人情報とその移転方法とが指定される。移転方法は、例えば、第1の実施形態で図6を参照して説明した移転タイプID601の値で示される。
【0132】
次に、拠点サーバ101A(例えば情報管理部106)は、移転要求で指定された個人情報がデータローカライゼーション対応可能であるか否かを判断する(ステップS302)。具体的には、拠点サーバ101Aは、自身のメモリ102に格納している個人情報管理情報114の国内保持1508を参照し(図15参照)、移転要求で指定された個人情報の国内保持1508の値が「-」や「20」である場合、及び、移転要求で指定された個人情報の国内保持1508の値が「10」であり移転要求で指定された移転タイプが「t2」等のデータが国内(移転元)に残る移転方法の場合は、データローカライゼーション対応が可能であると判断する。また、拠点サーバ101Aは、移転要求で指定された個人情報の国内保持1508の値が「11」や「21」である場合、及び、移転要求で指定された個人情報の国内保持1508の値が「10」であり移転要求で指定された移転タイプが「t2」等のデータが国内(移転元)に残らない移転方法の場合には、データローカライゼーション対応が不可能であると判断する。
【0133】
ステップS302においてデータローカライゼーション対応が不可能である(国内保持NG)と判断した場合(ステップS302のNO)、拠点サーバ101Aは、クライアント端末141に対して、移転拒否の通知、及び代替の移転可能方法の提示を行い(ステップS309)、処理を完了する。代替の移転可能方法の提示とは、例えば、「t1」の移転タイプが指定された移転要求において移転拒否と判断した場合に、「t2」や「t3」といった移転タイプを代替案として提示するものである。
【0134】
ステップS302においてデータローカライゼーション対応が可能である(国内保持OK)と判断した場合(ステップS302のYES)、拠点サーバ101Aは、データローカライゼーション以外の観点において移転に問題がないかを判断する(ステップS303)。具体的には、拠点サーバ101A(例えば情報管理部106)は、今回の移転要求で指定された移転根拠が適切なものであるかを判断する。適切であるかの判断は、図16の移転候補情報117の情報をもとに行う。例えば図16において、移転対象(対象ID1602)が「02」のものは、移転において、移転根拠グループ「Gr2」を満たす必要がある。ここで、図13の移転根拠グループ情報115によれば、移転根拠グループ「Gr2」は「g1」または「g2」の移転根拠から構成される。したがって、今回の移転要求で指定される移転根拠が「g1」または「g2」であれば、拠点サーバ101Aは、今回の移転根拠が適切である(問題がない)と判断することができる。
【0135】
ステップS303において移転に問題がある(移転NG)と判断した場合(ステップS303のNO)、拠点サーバ101Aは、クライアント端末141に対して、移転根拠が不適切である等の理由を添えて移転拒否を通知し、さらに、移転可能にするための代替の移転根拠を提示し(ステップS309)、処理を終了する。
【0136】
ステップS303において移転に問題がない(移転OK)と判断した場合(ステップS303のYES)、拠点サーバ101Aは、要求された移転が再移転に該当するか否かを判断する(ステップS304)。再移転に該当するか否かの判断は、個人情報管理情報114を参照して行うことができる。具体的には、移転対象に該当するデータID1501のレコードにおいて移転ID1510が登録済みであれば、移転で持ってきたデータの再移転であると判断し、未登録であれば再移転ではないと判断する。
【0137】
ステップS304において再移転に該当しない場合(ステップS304のNO)、拠点サーバ101A(移転制御部107)は、移転要求に従って個人情報の移転を実行する(ステップS307)。
【0138】
ステップS304において再移転に該当する場合(ステップS304のYES)、拠点サーバ101Aは、管理サーバ151に再移転の是非を問合せる(ステップS305)。ステップS305で問合せを受けた管理サーバ151は、図21で後述する再移転判断処理を実行し、その判断結果を拠点サーバ101Aに返答する。
【0139】
拠点サーバ101Aは、管理サーバ151からの返答が再移転を許可するものであるか否かを確認する(ステップS306)。管理サーバ151から再移転OKの返答を受け取った場合(ステップS306のYES)、拠点サーバ101A(移転制御部107)は、移転要求に従って個人情報の移転を実行する(ステップS307)。管理サーバ151から再移転OKの返答を受け取れなかった場合(ステップS306のNO)、拠点サーバ101Aは、クライアント端末141に対して、移転拒否の通知及び代替の移転可能方法の提示を行い(ステップS309)、処理を終了する。
【0140】
そして、ステップS307における個人情報の移転が終了した後、拠点サーバ101Aは、クライアント端末141、管理サーバ151、及び移転先の拠点サーバ101Bに対して、移転の終了を通知し(ステップS308)、処理を終了する。
【0141】
以上のように図19に示す処理が実行されることにより、クライアント端末141からの移転要求を受け取った拠点サーバ101Aは、管理サーバ151と連携して、移転対象の個人情報が移転可能であるか否かの判断を行い、移転可能と判断した場合には個人情報を拠点サーバ101Bに移転することができる。
【0142】
(2-2)移転終了通知後の情報登録処理
図20は、移転終了通知後の個人情報登録処理の処理手順例を示すシーケンス図である。図20に示す処理は、図19のステップS309で拠点サーバ101Aから移転の終了通知が送信された後に、管理サーバ151及び移転先の拠点サーバ101Bが実行する処理である。詳細は以下に説明するが、個人情報の移転の終了通知を受け取った管理サーバ151及び拠点サーバ101Bは、自身が管理する情報を更新する。
図20は、移転終了通知後の個人情報登録処理の処理手順例を示すシーケンス図である。図20に示す処理は、図19のステップS309で拠点サーバ101Aから移転の終了通知が送信された後に、管理サーバ151及び移転先の拠点サーバ101Bが実行する処理である。詳細は以下に説明するが、個人情報の移転の終了通知を受け取った管理サーバ151及び拠点サーバ101Bは、自身が管理する情報を更新する。
【0143】
図20によれば、まず、移転元の拠点サーバ101Aが、移転先の拠点サーバ101B及び管理サーバ151に対して、移転の終了通知を送信する(ステップS401)。ステップS401は、図19のステップS309と対応している。
【0144】
ステップS401の移転の終了通知において、拠点サーバ101Aから拠点サーバ101Bに対しては、移転したデータの情報(図15の個人情報管理情報114の該当するデータのレコードのうち、データID1501、国内保持1508、移転ID1510以外のデータ項目の値)が送信される。これらのデータは、拠点サーバ101Bが保持する個人情報管理情報114に引き継がれ、後述するように、必要に応じて所定項目の値が変更及び更新される。
【0145】
また、ステップS401の移転の終了通知において、拠点サーバ101Aから管理サーバ151に対しては、移転したデータに関して管理サーバ151が移転管理情報163を生成するために必要となる情報として、個人情報管理情報114のうちから移転したデータの識別ID(データID1501)や管理ID(管理ID312)等の情報が送信される。
【0146】
拠点サーバ101Bでは、連携部105が移転の終了通知を受信すると、管理サーバ151から移転ID及び管理IDの通知を受信するまで待機する(ステップS402)。
【0147】
一方、管理サーバ151では、連携部155が移転の終了通知を受信すると(ステップS403)、情報管理部156が、受信した情報をもとに、自身が管理する移転管理情報163を更新する(ステップS404)。具体的には、情報管理部156は、図4の移転管理情報163において、今回の移転用に新たな移転ID(移転ID401)を割当て、拠点サーバ101Aから受信した情報をもとに、移転先データID405以外のデータ項目の値を新規に登録する。
【0148】
ここで、移転回数410については、情報管理部156は、今回の移転で登録したデータ(移転元402及び移転元データID403から識別されるデータ)が今回以前にも移転されていないか、移転管理情報163の移転先404及び移転先データID405の値に基づいて判断し導出する。例えば、すでに登録済みの移転先404及び移転先データID405のなかに、今回の移転で登録したデータ(移転元402,移転元データID403)と一致するものが含まれていた場合、今回以前にも移転が行われているデータと判断することができる。この場合、上記のようにして一致したデータ(移転先404,移転先データID405)に関して登録されている移転回数410の値に「1」を追加した値を、移転回数として設定する。この結果、例えば移転回数410に「1」が設定された場合、今回の移転以前に移転が1回行われていたことを示す。
【0149】
また、管理ID411については、情報管理部156は、移転の終了通知の際に拠点サーバ101Aから送信された、移転対象のデータID(データID1501)に紐づけて管理されている個人情報管理情報114の管理ID312の値を、管理ID411に設定する。
【0150】
上述したように今回移転されたデータに関する移転管理情報163の更新が終了すると、情報管理部156は、更新後の移転ID401及び管理ID411の値を移転先の拠点サーバ101Bに送信する(ステップS405)。
【0151】
次に、拠点サーバ101Bの情報管理部106は、今回移転されたデータを自拠点で管理するための新たな識別ID(データID1501)を割当て、ステップS402で移転元の拠点サーバ101Aから受信した情報をもとに、個人情報管理情報114の国内保持1508~移転ID1510以外のデータ項目の値を設定する。さらに、情報管理部106は、ステップS405で管理サーバから受信した移転ID401の値を移転ID1510に設定する。なお、情報管理部106は、ステップS405で管理サーバ151から受信した管理ID411の値を暫定的に管理ID1509に設定するようにしてもよい。正式な管理ID1509の値は、後述するステップS410で設定される。
【0152】
そして、拠点サーバ101Bは、上記のように設定した情報について、クライアント端末141からの変更要求がなければ、設定した情報で個人情報管理情報114を更新し、更新した情報(例えばデータID1501等)を管理サーバ151に送信する(ステップS407)。所定のデータ項目についてクライアント端末141からの変更要求があった場合には、拠点サーバ101Bは、要求された値を当該データ項目に設定して個人情報管理情報114を更新した後、管理サーバ151に更新した情報を送信する。
【0153】
次に、管理サーバ151では、情報管理部156が、ステップS407で拠点サーバ101Bから受信した情報をもとに、移転管理情報163及び個人情報管理情報162を更新する(ステップS408)。
【0154】
具体的には、移転管理情報163の更新については、情報管理部156は、上述した更新後の移転ID401と、拠点サーバ101Bで新たに割り当てられた識別ID(データID1501)とに基づいて、当該移転ID401の値が設定された移転管理情報163のレコードにおいて、移転先データID405に当該識別IDの値を設定する。
【0155】
また、個人情報管理情報162の更新については、情報管理部156は、移転先の拠点サーバ101Bで管理される移転データ用に、個人情報管理情報162において新たに識別ID(管理ID301)を割当て、ステップS407で拠点サーバ101Bから受信した情報をもとに、新規に情報を登録する。このとき、取得国302~クラウドID309の各データ項目については、ステップS407で拠点サーバ101Bから受信した情報を設定すればよく、国内保持310及び元ID311については、図17のステップS102及びステップS103で説明したのと同様の手順で、適宜判断して設定することができる。
【0156】
そして、管理サーバ151は、ステップS408で更新した情報のうち、少なくとも個人情報管理情報162に新たに割当てた管理ID301と、国内保持310の値(国内保持フラグ)とを、拠点サーバ101Bに通知し(ステップS409)、管理サーバ151側の処理を終了する。
【0157】
次に、拠点サーバ101Bでは、ステップS409で管理サーバ151から送信された情報をもとに、情報管理部106が、ステップS407において未設定または暫定的に設定された個人情報管理情報114のデータ項目を更新する(ステップS410)。具体的には、情報管理部106は、管理サーバ151において新たに割当てられた管理ID301の値を、正式な値として管理ID1509に設定し、管理サーバ151で設定された国内保持310の値(国内保持フラグ)を国内保持1508に設定する。
【0158】
以上のように図20に示す処理が実行されることにより、移転先の拠点サーバ101B及び管理サーバ151は、拠点サーバ101Aから拠点サーバ101Bに移転された個人情報について、移転状況(移転元と移転先との関係、移転回数等)や国内保持の有無等を把握しながら、自計算機における管理情報を新たに登録することができる。
【0159】
(2-3)再移転判断処理
図21は、再移転判断処理の処理手順例を示すフローチャートである。図21に示す処理は、図19のステップS305において拠点サーバ101Aから再移転の是非の問合せを受けた際に、管理サーバ151(主に規制判断部157)が実行する処理である。
図21は、再移転判断処理の処理手順例を示すフローチャートである。図21に示す処理は、図19のステップS305において拠点サーバ101Aから再移転の是非の問合せを受けた際に、管理サーバ151(主に規制判断部157)が実行する処理である。
【0160】
【0161】
次に、管理サーバ151の規制判断部157は、ステップS501で問合せを受けたデータ、すなわち再移転しようとするデータについて、個人情報管理情報162の国内保持310の値に基づいて、国内保持が必要か否かを判断する(ステップS502)。国内保持が不要と判断した場合は(ステップS502のNO)、後述するステップS504に進む。国内保持が必要と判断した場合は(ステップS502のYES)、ステップS503に進む。
【0162】
ステップS503において、規制判断部157は、ステップS501で問合せを受けたデータ、すなわち再移転しようとするデータについて、当該データの保管状況が適切であるかを判断する。当該データの保管状況が不適切であると判断した場合は(ステップS503のNO)、後述するステップS511に進む。当該データの保管状況が適切であると判断した場合は、ステップS504に進む。
【0163】
ステップS503において、規制判断部157は、当該データの保管状況の適切性を、図18のS204で説明したのと同様の方法によって判断することができる。具体的には、規制判断部157は、再移転しようとしているデータに対応付けられた元ID311の値を基に、大元のデータを識別し(個人情報管理情報162において管理ID301に「元ID311の値」が設定されているレコードを特定し)、当該大元のデータを保持する拠点サーバ101(特定したレコードの拠点ID304)に対して、従前と同様に当該大元のデータを保持し続けているかの問合せを行う。そして、大元のデータに対応付けられた拠点サーバ101が大元のデータを保持し続けている場合、規制判断部157は、再移転しようとするデータの保管状況が適切であると判断する(ステップS502のYES)。一方、大元のデータに対応付けられた拠点サーバ101が大元のデータを保持し続けていない場合、規制判断部157は、再移転しようとするデータの保管状況が不適切であると判断する(ステップS502のNO)。
【0164】
再移転しようとするデータの保管状況が適切であると判断した場合、規制判断部157は、ステップS501で受信した問合せ情報を基に、前回の移転と今回の移転の移転根拠の情報、及び最初の移転元国と最終的な移転先国の規制レベルの情報を抽出する(ステップS504)。
【0165】
具体的には、規制判断部157は、これまでの移転先データ(図4に示した移転管理情報163の移転先404及び移転先データID405の組合せから識別される)のうち、今回どのデータを再移転しようとしているかを識別し、上記識別した移転先データに関連付けられている移転根拠407の値を参照することで、前回の移転根拠を抽出する。例えば、今回再移転しようとしているデータが拠点「k6」のデータID「6001」であった場合、これに合致する(移転先404及び移転先データID405の組合せが一致する)移転先データの情報は、図4の移転管理情報163において「i1」の移転IDが設定されたレコードに相当する。したがって、この移転先データは、今回の再移転の前に、移転元拠点「k5」から移転先拠点「k6」へ移転根拠「g1」で持ってきたデータであると特定される。また、規制判断部157は、最初の移転元国については、今回再移転しようとしているデータについて管理サーバ151が管理している取得国302の値に基づいて特定し、最終的な移転先国については、拠点サーバ101からの再移転の是非の問合せにおいて指定された移転先情報から特定する。そして、規制判断部157は、上記のようにして特定した移転元国や移転先国について、図10に示した各国規制レベル情報169に基づいて、それぞれの規制レベルを特定する。例えば移転先国が「英」であれば、規制レベルを「4」と判断する。
【0166】
次に、規制判断部157は、ステップS504で特定した情報に基づいて、問合せ対象のデータの再移転の是非を判断する(ステップS505)。具体的には、規制判断部157は、今回の再移転の移転根拠が「十分性」である(図14の移転根拠情報173によれば、根拠IDが「g3」である)場合に、図11に示した各国十分性情報170を参照し、最初の移転元国についての十分性対象国として今回の再移転先国が含まれているか、十分性対象国1102を基に判断する。
【0167】
今回の再移転先国が十分性対象国に含まれている場合には、規制判断部157は、再移転が適切であると判断し(ステップS505のYES)、再移転の是非を問合せた拠点サーバ101に、再移転OKである旨を通知する(ステップS506)。
【0168】
一方、今回の再移転先国が十分性対象国に含まれていない場合には、規制判断部157は、最終的な移転先国の規制レベルが最初の移転元国の規制レベルよりも低い場合に、再移転が不適切であると判断し(ステップS505のNO)、再移転の是非を問合せた拠点サーバ101に、再移転NGである旨とその理由、及び再移転のために必要な是正措置を通知する(ステップS507)。ステップS507の通知を受けた拠点サーバ101は、通知内容をクライアント端末141に転送して、必要な是正措置の実施を求めるようにしてもよい。必要な是正措置の実施がクライアント端末141から指示され、拠点サーバ101で実施された場合には、拠点サーバ101は、その是正措置の実施完了を管理サーバ151に通知する。
【0169】
ステップS507で通知を送った後、規制判断部157は、拠点サーバ101において必要な是正措置がとられるかを確認する(ステップS508)。拠点サーバ101において必要な是正措置が実施された場合は(ステップS508のYES)、ステップS506に進み、規制判断部157は、再移転OKである旨を拠点サーバ101に通知する。拠点サーバ101において必要な是正措置が実施されない場合は(ステップS508のNO)、後述するステップS511に進む。
【0170】
ここで、是正措置の通知について説明を補足する。具体的には、管理サーバ151は、再移転しようとしているデータの大元のデータを保持する拠点を特定する。そして管理サーバ151は、当該拠点の拠点サーバ101に対して、移転しようとしているデータの識別ID(個人情報管理情報162のデータID305)と移転目的(拠点サーバから提供される移転候補情報117の目的1608)とを提供し、是正措置の通知として、提供した情報に基づいて最終移転先との契約締結等の合意を行うことを要求する(ステップS507)。その後、上記の合意可能の返答を大元のデータを保持する拠点サーバ101から受け取った場合に、管理サーバ151は「是正あり」と判断し(ステップS508のYES)、再移転の是非の問合せを行った拠点サーバ101に再移転OKを通知する(ステップS506)。
【0171】
なお、上記説明では、合意可能の返答結果に基づいて是正措置の実施を判断したが、管理サーバ151は、それ以外の方法で是正措置の実施を判断するようにしてもよい。例えば、管理サーバ151が、移転対象のデータについての説明(当該データの識別ID等を含む情報)、移転目的、及び移転後の取扱い規則等についての記載を含む雛形の契約文書を作成し、管理サーバ151から大元のデータを保持する拠点サーバ101と最終的な移転先の拠点の拠点サーバ101とに作成した契約文書を送信し、これらの拠点サーバ101からの電子的な署名の押印を受信した場合に、ステップS508のYESと判断して、再移転OKを通知するようにしてもよい。
【0172】
また、今回の再移転の移転根拠が「十分性」以外である場合(図14の移転根拠情報173によれば根拠IDが「g2」等の場合)には、最初の移転根拠と最後の移転根拠とが、ともに同じ拘束的企業準則(同一企業グループ内個人情報取扱い規定)である場合を除いて、前述したのと同様に、規制判断部157は、最終的な移転先国の規制レベルと最初の移転元国の規制レベルとの強弱を比較して、最終的な移転先国の規制レベルが最終的な移転先国の規制レベルよりも低い場合に、再移転が不適切であると判断し(ステップS505のNO)、再移転の是非を問合せた拠点サーバ101に、再移転NGである旨とその理由、及び再移転のために必要な是正措置を通知する(ステップS507)。その後、是正が行われた場合は(ステップS508のYES)、管理サーバ151は、再移転の是非を問合せた拠点サーバ101に再移転OKを通知する(ステップS506)。
【0173】
そしてステップS506の後、管理サーバ151は、図18のステップS206~S208と同様にして、再移転するデータの大元のデータの保管状況についての定期的な監視と、保管状況の適切性についての判断を行い(ステップS509,S510)、保管状況が不適切であった場合は(ステップS510のNO)、データの移転禁止を拠点サーバ101に通知する(ステップS511)。
【0174】
以上のように図21の処理を実行することにより、管理サーバ151は、複数国に跨る再移転の移転状況や移転元国の規制に留意して再移転の是非を判断し、再移転の可否を問合せ元の拠点サーバ101に通知することができる。具体的には例えば、移転元国では厳しい個人情報保護に関する規制が設けられているにも関わらず、再移転先ではこのような厳しい規制が設けられていない場合には、最初の移転元国の規制を考慮して、再移転先で十分に個人情報が保護されるように、移転の許可または禁止を制御することが可能になる。
【0175】
(3)他の実施形態
以下では、上述した本発明の第1及び第2の実施形態に係る個人情報管理システム100の変形例について説明する。本変形例では、各国ローカライゼーション規制などの規制情報が変更された場合に、影響する拠点の拠点サーバ101に対して、管理サーバ151から個人情報設定の変更要求を行う。
以下では、上述した本発明の第1及び第2の実施形態に係る個人情報管理システム100の変形例について説明する。本変形例では、各国ローカライゼーション規制などの規制情報が変更された場合に、影響する拠点の拠点サーバ101に対して、管理サーバ151から個人情報設定の変更要求を行う。
【0176】
具体的には例えば、ある国において、新規にデータローカライゼーション規制が追加された場合、管理サーバ151は、データ取得国が上記の国に該当するデータを、図3に示した個人情報管理情報162の取得国302に基づいて特定する。
【0177】
そして上記特定したデータについて、個人情報管理情報162の対応レコードにおいて元ID311が未登録である場合は、管理サーバ151は、図18のステップS204と同様の方法で、個人情報管理情報162からデータの保管状況の適切性を判断し、判断結果である国内保持に変更がある場合は、新たな判断結果の国内保持フラグを国内保持310に設定し、上記特定したデータを保管する拠点の拠点サーバ101に対して、新たな国内保持フラグを送信し、情報更新を要求するとともに、以後は更新した国内保持フラグに基づいて移転制御を行うように要求する。
【0178】
一方、上記特定したデータについて、個人情報管理情報162の対応レコードにおいて元ID311が登録されている場合は、管理サーバ151は、個人情報管理情報162において管理ID301の値が元ID311の値に一致するレコード、すなわち大元のデータのレコードについて、上記と同様にして、大元のデータの保管状況の適切性を判断し、判断結果である国内保持に変更がある場合は、新たな判断結果の国内保持フラグを国内保持310に設定し、前述した元ID311と同じ値が元ID311に登録されているデータを保管する拠点の拠点サーバ101に対して、上記と同じようにして新たな国内保持フラグを送信し、情報更新を要求するとともに、以後は更新した国内保持フラグに基づいて移転制御を行うように要求する。さらに、管理サーバ151は、大元のデータを保管する拠点サーバ101に対して、上記と同様にして新たな国内保持フラグを送信するとともに、当該国内保持フラグの内容が国内保持への対応不可能を示す場合には、自拠点へのデータのバックアップ取得等、データの保管状況の是正を要求する。その後、大元のデータを保管する拠点サーバ101から是正の応答があった場合は、管理サーバ151は、データの保管状況を適切と判断して、是正内容に該当する国内保持フラグを生成し、大元のデータを保管する拠点サーバ101及び当該拠点サーバ101に関係する計算機(例えば、当該拠点サーバ101から移転されたデータを保管する拠点サーバ101等)に生成した国内保持フラグを送信して、各拠点サーバ101が保持する個人情報管理情報114における国内保持1508の更新を要求する。
【0179】
以上のように本変形例の処理が実行されることにより、個人情報管理システム100では、各国ローカライゼーション規制などの規制情報が変更された場合に、管理サーバ151が、規制情報の変更による影響を受ける拠点サーバ101に対して、個人情報の設定内容の変更を要求し、さらに管理サーバ151自身が管理する情報の設定内容も更新することができる。
【0180】
以上に説明した本発明の各実施形態によれば、例えば、クライアント端末(クライアント端末141)と第一の計算機(拠点サーバ101)と第二の計算機(管理サーバ151)とを含んで構成される計算機システム(個人情報管理システム100)において、第一の計算機は、自計算機または他の計算機の拠点を定義する拠点情報(拠点情報111)と、計算機が保持する情報の種類を定義するデータタイプ定義情報(データタイプ定義情報112)と、情報の移転方法を定義する移転タイプ定義情報(移転タイプ定義情報113)と、自計算機が保持する個人情報を管理するための個人情報管理情報(個人情報管理情報114)と、移転根拠の組合せからなる移転根拠グループ情報(移転根拠グループ情報115)と、移転根拠を定義する移転根拠情報(移転根拠情報116)と、今後移転可能性のあるデータを定義する移転候補情報(移転候補情報117)と、計算機が利用するクラウドを定義するクラウド情報(クラウド情報)と、を備える。第二の計算機は、自計算機または他の計算機の拠点を定義する拠点情報(拠点情報161)と、計算機が保持する情報の種類を定義するデータタイプ定義情報(データタイプ定義情報164)と、情報の移転方法を定義する移転タイプ定義情報(移転タイプ定義情報165)と、他の計算機が保持する個人情報を管理するための個人情報管理情報(個人情報管理情報162)と、移転根拠の組合せからなる移転根拠グループ情報(移転根拠グループ情報172)と、移転根拠を定義する移転根拠情報(移転根拠情報173)と、計算機が利用するクラウドを定義するクラウド情報(クラウド情報166)と、計算機のデータ移転を管理する移転管理情報(移転管理情報163)と、各国の国内保持規制(データローカライゼーション)を管理する各国ローカライゼーション情報(各国ローカライゼーション情報167)と、各国の移転規制を管理する各国移転規制情報(各国移転規制情報168)と、各国の規制レベルを定義する各国規制レベル情報(各国規制レベル情報169)と、各国の十分性認定情報を定義する各国十分性情報(各国十分性情報170)と、各国の情報の機微度を定義する各国センシティビティ情報(各国センシティビティ情報171)と、を備える。
【0181】
このような計算機システムにおいて、前記第一の計算機は、クライアント端末からの要求に基づき、個人情報の設定および移転候補の設定を行い、これらの情報を前記第二の計算機に通知し、前記第二の計算機は、受信した情報と各国の規制情報をもとに、前記第一の計算機の個人情報の保管状況の適切性の判断及び、前記第一の計算機への判断結果の通知を行う。前記第一の計算機は、前記第二の計算機からの判断結果を前記第一の計算機の個人情報管理情報に設定し、上記判断結果に応じた、当該データの移転の許可/禁止の制御を行う。また、前記第二の計算機は、前記第一の計算機の個人情報のうち、国内保持が必要なものについては定期的に保管状況の監視を行い、保管状況が不適切になった場合は移転の禁止等の通知を行う。また、前記第一の計算機は、個人情報の再移転において前記第二の計算機に再移転是非の問合せを行い、前記第二の計算機は、移転根拠と個人情報取得元国の規制情報の関係から、再移転是非の判断を行い、再移転不適切と判断した場合は、移転禁止の通知を前記第一の計算機に通知するか、または、移転するデータの大元のデータを保持する計算機及び最終的な移転先の計算機に対して、移転の合意形成の通知を行い、これらの計算機からの応答結果に基づき移転の禁止/許可を決定し、上記決定結果を前記第一の計算機に通知する。そして、前記第一の計算機は、前記第二の計算機の判断結果をもとに、当該データの再移転の許可または禁止の制御を行う。
【0182】
上述した構成を備えることにより、本発明の計算機システム(個人情報管理システム100)は、個人情報の国外移転において、これまでの移転状況や移転元国の規制に留意した移転制御が可能になり、複数国を跨る再移転のような場合であっても適切な移転制御を行うことが可能になる。
【符号の説明】
【0183】
100 個人情報管理システム
101 拠点サーバ
102,142,152 メモリ
103,143,153 CPU
104,144,154 I/F
105,145,155 連携部
106,156 情報管理部
107 移転制御部
111,161 拠点情報
112,164 データタイプ定義情報
113,165 移転タイプ定義情報
114,162 個人情報管理情報
115,172 移転根拠グループ情報
116,173 移転根拠情報
117 移転候補情報
118,166 クラウド情報
119,174 記憶領域
141 クライアント端末
151 管理サーバ
157 規制判断部
163 移転管理情報
167 各国ローカライゼーション情報
168 各国移転規制情報
169 各国規制レベル情報
170 各国十分性情報
171 各国センシティビティ情報
101 拠点サーバ
102,142,152 メモリ
103,143,153 CPU
104,144,154 I/F
105,145,155 連携部
106,156 情報管理部
107 移転制御部
111,161 拠点情報
112,164 データタイプ定義情報
113,165 移転タイプ定義情報
114,162 個人情報管理情報
115,172 移転根拠グループ情報
116,173 移転根拠情報
117 移転候補情報
118,166 クラウド情報
119,174 記憶領域
141 クライアント端末
151 管理サーバ
157 規制判断部
163 移転管理情報
167 各国ローカライゼーション情報
168 各国移転規制情報
169 各国規制レベル情報
170 各国十分性情報
171 各国センシティビティ情報
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】