知財求人 - 知財ポータルサイト「IP Force」
特許7065045管理装置、データ提供装置、コンピュータプログラム、管理方法及びデータ提供方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-04-27
(45)【発行日】2022-05-11
(54)【発明の名称】管理装置、データ提供装置、コンピュータプログラム、管理方法及びデータ提供方法
(51)【国際特許分類】
G06F 21/62 20130101AFI20220428BHJP
【FI】
G06F21/62 345
【請求項の数】
6
(21)【出願番号】P 2019002745
(22)【出願日】2019-01-10
(65)【公開番号】P2020112993
(43)【公開日】2020-07-27
【審査請求日】2020-12-16
(73)【特許権者】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(74)【代理人】
【識別番号】100165179
【弁理士】
【氏名又は名称】田▲崎▼ 聡
(74)【代理人】
【識別番号】100175824
【弁理士】
【氏名又は名称】小林 淳一
(74)【代理人】
【識別番号】100114937
【弁理士】
【氏名又は名称】松本 裕幸
(72)【発明者】
【氏名】清本 晋作
【審査官】今城 朋彬
(56)【参考文献】
【文献】特開2011-123752(JP,A)
【文献】特開2000-078235(JP,A)
【文献】特開2003-308271(JP,A)
【文献】特開2016-045689(JP,A)
【文献】特開2000-041062(JP,A)
【文献】特開2004-357204(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 8/00- 8/77
G06F 9/44- 9/445
G06F 21/00-21/88
G09C 1/00- 5/00
H04K 1/00- 3/00
H04L 9/00- 9/04
(57)【特許請求の範囲】
【請求項1】
ユーザの個人プライバシ情報をデータ受信者へ提供したことを示すデータ提供ログに基づいて、前記個人プライバシ情報を受信したことの証跡を前記データ受信者へ要求する証跡要求部を備え、前記証跡要求部は、前記データ受信者から受信した前記証跡を前記データ提供ログに関連付けてデータ保管装置に格納する、
管理装置であって、
前記証跡要求部は、前記データ提供ログに基づいて前記証跡を検証し、当該検証が不合格である場合に、前記証跡を前記データ受信者へ再要求する、又は前記個人プライバシ情報のデータ識別情報を要求する、
管理装置。
【請求項2】
ユーザの個人プライバシ情報をデータ受信者へ送信するデータ送信部と、前記個人プライバシ情報を前記データ受信者へ送信したことに基づいて、前記個人プライバシ情報を受信したことの証跡を前記データ受信者へ要求する証跡要求部と、を備え、
前記証跡要求部は、前記データ受信者から受信した前記証跡を、前記個人プライバシ情報を前記データ受信者へ提供したことを示すデータ提供ログに関連付けてデータ保管装置に格納する、
データ提供装置であって、
前記証跡要求部は、前記データ提供ログに基づいて前記証跡を検証し、当該検証が不合格である場合に、前記証跡を前記データ受信者へ再要求する、又は前記個人プライバシ情報のデータ識別情報を要求する、
データ提供装置。
【請求項3】
コンピュータに、ユーザの個人プライバシ情報をデータ受信者へ提供したことを示すデータ提供ログに基づいて、前記個人プライバシ情報を受信したことの証跡を前記データ受信者へ要求する証跡要求ステップと、
前記データ受信者から受信した前記証跡を前記データ提供ログに関連付けてデータ保管装置に格納するデータ格納ステップと、
を実行させるためのコンピュータプログラムであって、
前記証跡要求ステップは、前記データ提供ログに基づいて前記証跡を検証し、当該検証が不合格である場合に、前記証跡を前記データ受信者へ再要求する、又は前記個人プライバシ情報のデータ識別情報を要求する、
コンピュータプログラム。
【請求項4】
コンピュータに、ユーザの個人プライバシ情報をデータ受信者へ送信するデータ送信ステップと、
前記個人プライバシ情報を前記データ受信者へ送信したことに基づいて、前記個人プライバシ情報を受信したことの証跡を前記データ受信者へ要求する証跡要求ステップと、
前記データ受信者から受信した前記証跡を、前記個人プライバシ情報を前記データ受信者へ提供したことを示すデータ提供ログに関連付けてデータ保管装置に格納するデータ格納ステップと、
を実行させるためのコンピュータプログラムであって、
前記証跡要求ステップは、前記データ提供ログに基づいて前記証跡を検証し、当該検証が不合格である場合に、前記証跡を前記データ受信者へ再要求する、又は前記個人プライバシ情報のデータ識別情報を要求する、
コンピュータプログラム。
【請求項5】
管理装置が、ユーザの個人プライバシ情報をデータ受信者へ提供したことを示すデータ提供ログに基づいて、前記個人プライバシ情報を受信したことの証跡を前記データ受信者へ要求する証跡要求ステップと、前記管理装置が、前記データ受信者から受信した前記証跡を前記データ提供ログに関連付けてデータ保管装置に格納するデータ格納ステップと、
を含む管理方法であって、
前記証跡要求ステップは、前記データ提供ログに基づいて前記証跡を検証し、当該検証が不合格である場合に、前記証跡を前記データ受信者へ再要求する、又は前記個人プライバシ情報のデータ識別情報を要求する、
管理方法。
【請求項6】
データ提供装置が、ユーザの個人プライバシ情報をデータ受信者へ送信するデータ送信ステップと、前記データ提供装置が、前記個人プライバシ情報を前記データ受信者へ送信したことに基づいて、前記個人プライバシ情報を受信したことの証跡を前記データ受信者へ要求する証跡要求ステップと、
前記データ提供装置が、前記データ受信者から受信した前記証跡を、前記個人プライバシ情報を前記データ受信者へ提供したことを示すデータ提供ログに関連付けてデータ保管装置に格納するデータ格納ステップと、
を含むデータ提供方法であって、
前記証跡要求ステップは、前記データ提供ログに基づいて前記証跡を検証し、当該検証が不合格である場合に、前記証跡を前記データ受信者へ再要求する、又は前記個人プライバシ情報のデータ識別情報を要求する、
データ提供方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、管理装置、データ提供装置、コンピュータプログラム、管理方法及びデータ提供方法に関する。
【背景技術】
【0002】
従来の個人情報保護技術として、例えば非特許文献1,2が知られている。非特許文献1には、ウェブ(Web)サービスに対して個人情報を提供することを制御する仕組みに関する規格であるP3P(Platform for Privacy Preference)が記載されている。非特許文献2には、利用者がP3Pによりプライバシプリファレンス(privacy preference)を設定することで、プライバシプリファレンスに違反するサービスを利用しようとした際に警告を発するようなエージェントシステムが提案されている。
【先行技術文献】
【非特許文献】
【0003】
【文献】W3C,“The platform for privacy preferences 1.0 (P3P1.0) specification”,2002.
【文献】L. F. Cranor, et. Al.,“Use of a P3P user agent by early adopters,”In Proceedings of the 2002 ACM workshop on Privacy in the Electronic Society,WPES’02,pp.1-10,2002.
【発明の概要】
【発明が解決しようとする課題】
【0004】
ユーザの個人プライバシ情報がデータ受信者に提供される際に記録されたデータ提供ログは、当該個人プライバシ情報を当該データ受信者へ提供したことを示すものではあるが、当該データ受信者が当該個人プライバシ情報を受信したことを証明するためには、当該データ提供ログのみでは証拠能力が不十分である可能性があった。
【0005】
本発明は、このような事情を考慮してなされたものであり、その目的は、データ受信者が個人プライバシ情報を受信したことを証明するための証拠能力の向上を図ることにある。
【課題を解決するための手段】
【0006】
(1)本発明の一態様は、ユーザの個人プライバシ情報をデータ受信者へ提供したことを示すデータ提供ログに基づいて、前記個人プライバシ情報を受信したことの証跡を前記データ受信者へ要求する証跡要求部を備え、前記証跡要求部は、前記データ受信者から受信した前記証跡を前記データ提供ログに関連付けてデータ保管装置に格納する、管理装置である。
(2)本発明の一態様は、前記証跡要求部は、前記データ提供ログに基づいて前記証跡を検証し、当該検証が不合格である場合に、前記証跡を前記データ受信者へ再要求する、又は前記個人プライバシ情報のデータ識別情報を要求する、上記(1)に記載の管理装置である。
(2)本発明の一態様は、前記証跡要求部は、前記データ提供ログに基づいて前記証跡を検証し、当該検証が不合格である場合に、前記証跡を前記データ受信者へ再要求する、又は前記個人プライバシ情報のデータ識別情報を要求する、上記(1)に記載の管理装置である。
【0007】
(3)本発明の一態様は、ユーザの個人プライバシ情報をデータ受信者へ送信するデータ送信部と、前記個人プライバシ情報を前記データ受信者へ送信したことに基づいて、前記個人プライバシ情報を受信したことの証跡を前記データ受信者へ要求する証跡要求部と、を備え、前記証跡要求部は、前記データ受信者から受信した前記証跡を、前記個人プライバシ情報を前記データ受信者へ提供したことを示すデータ提供ログに関連付けてデータ保管装置に格納する、データ提供装置である。
(4)本発明の一態様は、前記証跡要求部は、前記データ提供ログに基づいて前記証跡を検証し、当該検証が不合格である場合に、前記証跡を前記データ受信者へ再要求する、又は前記個人プライバシ情報のデータ識別情報を要求する、上記(3)に記載のデータ提供装置である。
(4)本発明の一態様は、前記証跡要求部は、前記データ提供ログに基づいて前記証跡を検証し、当該検証が不合格である場合に、前記証跡を前記データ受信者へ再要求する、又は前記個人プライバシ情報のデータ識別情報を要求する、上記(3)に記載のデータ提供装置である。
【0008】
(5)本発明の一態様は、コンピュータに、ユーザの個人プライバシ情報をデータ受信者へ提供したことを示すデータ提供ログに基づいて、前記個人プライバシ情報を受信したことの証跡を前記データ受信者へ要求する証跡要求ステップと、前記データ受信者から受信した前記証跡を前記データ提供ログに関連付けてデータ保管装置に格納するデータ格納ステップと、を実行させるためのコンピュータプログラムである。
(6)本発明の一態様は、コンピュータに、ユーザの個人プライバシ情報をデータ受信者へ送信するデータ送信ステップと、前記個人プライバシ情報を前記データ受信者へ送信したことに基づいて、前記個人プライバシ情報を受信したことの証跡を前記データ受信者へ要求する証跡要求ステップと、前記データ受信者から受信した前記証跡を、前記個人プライバシ情報を前記データ受信者へ提供したことを示すデータ提供ログに関連付けてデータ保管装置に格納するデータ格納ステップと、を実行させるためのコンピュータプログラムである。
(6)本発明の一態様は、コンピュータに、ユーザの個人プライバシ情報をデータ受信者へ送信するデータ送信ステップと、前記個人プライバシ情報を前記データ受信者へ送信したことに基づいて、前記個人プライバシ情報を受信したことの証跡を前記データ受信者へ要求する証跡要求ステップと、前記データ受信者から受信した前記証跡を、前記個人プライバシ情報を前記データ受信者へ提供したことを示すデータ提供ログに関連付けてデータ保管装置に格納するデータ格納ステップと、を実行させるためのコンピュータプログラムである。
【0009】
(7)本発明の一態様は、管理装置が、ユーザの個人プライバシ情報をデータ受信者へ提供したことを示すデータ提供ログに基づいて、前記個人プライバシ情報を受信したことの証跡を前記データ受信者へ要求する証跡要求ステップと、前記管理装置が、前記データ受信者から受信した前記証跡を前記データ提供ログに関連付けてデータ保管装置に格納するデータ格納ステップと、を含む管理方法である。
(8)本発明の一態様は、データ提供装置が、ユーザの個人プライバシ情報をデータ受信者へ送信するデータ送信ステップと、前記データ提供装置が、前記個人プライバシ情報を前記データ受信者へ送信したことに基づいて、前記個人プライバシ情報を受信したことの証跡を前記データ受信者へ要求する証跡要求ステップと、前記データ提供装置が、前記データ受信者から受信した前記証跡を、前記個人プライバシ情報を前記データ受信者へ提供したことを示すデータ提供ログに関連付けてデータ保管装置に格納するデータ格納ステップと、を含むデータ提供方法である。
(8)本発明の一態様は、データ提供装置が、ユーザの個人プライバシ情報をデータ受信者へ送信するデータ送信ステップと、前記データ提供装置が、前記個人プライバシ情報を前記データ受信者へ送信したことに基づいて、前記個人プライバシ情報を受信したことの証跡を前記データ受信者へ要求する証跡要求ステップと、前記データ提供装置が、前記データ受信者から受信した前記証跡を、前記個人プライバシ情報を前記データ受信者へ提供したことを示すデータ提供ログに関連付けてデータ保管装置に格納するデータ格納ステップと、を含むデータ提供方法である。
【発明の効果】
【0010】
本発明によれば、データ受信者が個人プライバシ情報を受信したことを証明するための証拠能力の向上を図ることができるという効果が得られる。
【図面の簡単な説明】
【0011】
【図1】第1実施形態に係るデータ提供システムの構成例を示すブロック図である。
【図2】第1実施形態に係る管理方法の例を示すシーケンス図である。
【図3】第2実施形態に係るデータ提供システムの構成例を示すブロック図である。
【図4】第2実施形態に係るデータ提供方法の例を示すシーケンス図である。
【発明を実施するための形態】
【0012】
以下、図面を参照し、本発明の各実施形態について説明する。各実施形態において、個人プライバシ情報とは、個人に関する情報であって、特定の個人を識別することができる情報又は個人のプライバシに関わる情報をいう。
【0013】
[第1実施形態]
図1は、第1実施形態に係るデータ提供システムの構成例を示すブロック図である。図1において、データ提供システム1は、PPM(Privacy Policy Manager、プライバシーポリシマネージャ)装置10(管理装置)と、データベース装置(DB)12(データ保管装置)と、データ送信者装置20と、データ流通プラットフォーム30と、データ受信者装置40とを備える。PPM装置10は、DB12、データ送信者装置20、データ流通プラットフォーム30及びデータ受信者装置40と通信によりデータを送受する。データ流通プラットフォーム30は、データ送信者装置20及びデータ受信者装置40と通信によりデータを送受する。
図1は、第1実施形態に係るデータ提供システムの構成例を示すブロック図である。図1において、データ提供システム1は、PPM(Privacy Policy Manager、プライバシーポリシマネージャ)装置10(管理装置)と、データベース装置(DB)12(データ保管装置)と、データ送信者装置20と、データ流通プラットフォーム30と、データ受信者装置40とを備える。PPM装置10は、DB12、データ送信者装置20、データ流通プラットフォーム30及びデータ受信者装置40と通信によりデータを送受する。データ流通プラットフォーム30は、データ送信者装置20及びデータ受信者装置40と通信によりデータを送受する。
【0014】
データ送信者装置20は、データ送信者であるユーザの個人プライバシ情報をデータ流通プラットフォーム30へ送信する。
【0015】
データ流通プラットフォーム30は、PPM装置10から提供される認可情報に基づいて、データ送信者装置20から受信した個人プライバシ情報をデータ受信者へ提供するか否を制御する。データ流通プラットフォーム30は、データ送信者装置20のユーザの識別情報(ユーザID)及びデータ送信者装置20から受信した個人プライバシ情報の識別情報(個人プライバシ情報ID)の組合せが認可情報においてデータ受信者へ提供可能である場合、当該個人プライバシ情報を当該データ受信者のデータ受信者装置40へ送信する。データ流通プラットフォーム30は、データ送信者装置20のユーザの個人プライバシ情報をデータ受信者へ提供したことを示すデータ提供ログをPPM装置10へ送信する。
【0016】
データ受信者装置40は、データ流通プラットフォーム30から受信した個人プライバシ情報を保持する。
【0017】
PPM装置10は、認可情報をデータ流通プラットフォーム30へ提供することにより、ユーザの個人プライバシ情報が正当にデータ受信者へ提供されるように、データ提供の制御を行う。PPM装置10は証跡要求部11を備える。証跡要求部11は、データ流通プラットフォーム30から受信したデータ提供ログに基づいて、当該データ提供ログに示される個人プライバシ情報を受信したことの証跡を、当該データ提供ログに示されるデータ受信者へ要求する。証跡要求部11は、当該データ受信者から受信した証跡を当該データ提供ログに関連付けてDB12に格納する。
【0018】
【0019】
(ステップS1) PPM装置10は、認可情報をデータ流通プラットフォーム30へ提供する。認可情報は、データ提供が認可される対象を示す情報であって、例えば、データ送信者のユーザID及び個人プライバシ情報IDと、データ受信者の識別情報(データ受信者ID)との組である。データ流通プラットフォーム30は、PPM装置10から提供された認可情報に基づいて、データ送信者装置20から受信した個人プライバシ情報をデータ受信者へ提供するか否を制御する。なお、認可情報は、必ずしもデータ提供が認可される対象を直接的に示す情報である必要はなく、例えば、データ提供が認可されない対象を示す情報によって、間接的にデータ提供が認可される対象を示すものであってもよい。
【0020】
(ステップS2) データ流通プラットフォーム30は、例えば、データ送信者装置20のユーザID及びデータ送信者装置20から受信した個人プライバシ情報の個人プライバシ情報IDと、データ受信者装置40のデータ受信者IDとの組と認可情報とに基づいて、当該個人プライバシ情報のデータ受信者装置40への提供が許可されると判断する場合、当該個人プライバシ情報及び個人プライバシ情報IDをデータ受信者装置40へ送信する。このとき、データ流通プラットフォーム30は、個人プライバシ情報及び個人プライバシ情報IDを含む送信データに、当該認可情報の提供元のPPM装置10の識別情報(PPMID)を含める。
【0021】
(ステップS3) データ流通プラットフォーム30は、データ送信者装置20のユーザの個人プライバシ情報をデータ受信者へ提供したことを示すデータ提供ログをPPM装置10へ送信する。データ提供ログには、データ送信者装置20のユーザID、データ受信者へ提供した個人プライバシ情報の個人プライバシ情報ID、当該個人プライバシ情報のハッシュ(hash)値、データ受信者ID、及び提供日時などの情報が記載される。
【0022】
(ステップS4) PPM装置10の証跡要求部11は、データ流通プラットフォーム30から受信したデータ提供ログに記載されるデータ受信者IDのデータ受信者装置40に対し、当該データ提供ログに記載される個人プライバシ情報IDと自PPM装置10のPPMIDとを通知してデータ受領問い合わせを行い、当該個人プライバシ情報IDの個人プライバシ情報を受信したことの証跡を要求する。
【0023】
(ステップS5) データ受信者装置40は、PPM装置10からのデータ受領問い合わせに応じて、当該データ受領問い合わせで通知された個人プライバシ情報ID及びPPMIDが、データ流通プラットフォーム30から受信した個人プライバシ情報の個人プライバシ情報ID及びPPMIDと一致することを確認する。次いで、データ受信者装置40は、当該個人プライバシ情報IDの個人プライバシ情報を受信したことの証跡を生成し、生成した証跡をPPM装置10へ送信する。個人プライバシ情報を受信したことの証跡は、当該個人プライバシ情報のハッシュ値と、データ受信者の電子署名とを含む情報である。さらには、個人プライバシ情報を受信したことの証跡は、データ受信者名称、データ送信者名称、個人プライバシ情報受信日時のタイムスタンプなどの情報を含んでもよい。
【0024】
(ステップS6) PPM装置10の証跡要求部11は、データ提供ログに基づいて、データ受信者装置40から受信した証跡を検証する。具体的には、証跡要求部11は、証跡に含まれる個人プライバシ情報のハッシュ値が、データ提供ログに記載された個人プライバシ情報のハッシュ値に一致するか否かを判断する。この判断の結果、一致である場合は証跡の検証が合格であり、一方、不一致である場合は証跡の検証が不合格である。
【0025】
証跡の検証が合格である場合には、証跡要求部11は、データ受信者装置40から受信した証跡をデータ提供ログに関連付けてDB12に格納する。この後、ステップS7へ進む。
【0026】
一方、証跡の検証が不合格である場合、証跡要求部11は所定の証跡不合格エラー処理を実行する。この証跡不合格エラー処理の例1、例2を以下に示す。
【0027】
(証跡不合格エラー処理の例1)
証跡要求部11は、データ受信者装置40に対し、証跡を再要求する。証跡要求部11は、データ提供ログに基づいて、データ受信者装置40から再度受信した証跡を検証する。証跡要求部11は、証跡の検証が合格するまで証跡の再要求を繰り返す。なお、証跡の再要求回数に上限を設けてもよい。
証跡要求部11は、データ受信者装置40に対し、証跡を再要求する。証跡要求部11は、データ提供ログに基づいて、データ受信者装置40から再度受信した証跡を検証する。証跡要求部11は、証跡の検証が合格するまで証跡の再要求を繰り返す。なお、証跡の再要求回数に上限を設けてもよい。
【0028】
(証跡不合格エラー処理の例2)
証跡要求部11は、データ受信者装置40に対し、個人プライバシ情報IDを要求する。証跡要求部11は、データ受信者装置40から受信した個人プライバシ情報IDが、データ提供ログに記載された個人プライバシ情報IDに一致するか否かを判断する。この判断の結果、不一致である場合には、証跡に使用された個人プライバシ情報が誤っていることをデータ受信者装置40へ通知する。これにより、データ受信者が正しい個人プライバシ情報を使用して証跡を生成することを促すことができる。
証跡要求部11は、データ受信者装置40に対し、個人プライバシ情報IDを要求する。証跡要求部11は、データ受信者装置40から受信した個人プライバシ情報IDが、データ提供ログに記載された個人プライバシ情報IDに一致するか否かを判断する。この判断の結果、不一致である場合には、証跡に使用された個人プライバシ情報が誤っていることをデータ受信者装置40へ通知する。これにより、データ受信者が正しい個人プライバシ情報を使用して証跡を生成することを促すことができる。
【0029】
上記の証跡不合格エラー処理の例1、例2は、単独で実行されてもよく、両方を組み合わせて実行されてもよい。証跡不合格エラー処理の結果、証跡の検証が合格した場合には、証跡要求部11は、検証が合格した証跡をデータ提供ログに関連付けてDB12に格納する。この後、ステップS7へ進む。一方、証跡不合格エラー処理を実行してもまだ証跡の検証が不合格である場合には、ステップS7へ進む。
【0030】
(ステップS7) PPM装置10の証跡要求部11は、証跡に関する結果をデータ送信者装置20へ通知する。証跡に関する結果は、証跡の取得の有無、証跡の検証の結果(合格又は不合格)などの情報である。なお、データ送信者装置20への証跡に関する結果の通知は、データ送信者が希望する場合にのみ実施してもよい。
【0031】
上述した第1実施形態によれば、ユーザの個人プライバシ情報を受信したことの証跡をデータ受信者から取得することができる。これにより、データ受信者が個人プライバシ情報を受信したことを証明するための証拠能力が向上する効果が得られる。
【0032】
なお、PPM装置10は、DB12に格納される証跡を対象にして、ユーザが自分の個人プライバシ情報に関する証跡を閲覧できるように制御してもよい。
【0033】
[第2実施形態]
図3は、第2実施形態に係るデータ提供システムの構成例を示すブロック図である。図3において、データ提供システム1aは、PPM装置10aと、DB12と、データ送信者装置20と、データ提供装置30a(データ流通プラットフォーム)と、データ受信者装置40とを備える。データ提供装置30aは、PPM装置10a、データ送信者装置20及びデータ受信者装置40と通信によりデータを送受する。PPM装置10aは、DB12及びデータ送信者装置20と通信によりデータを送受する。
図3は、第2実施形態に係るデータ提供システムの構成例を示すブロック図である。図3において、データ提供システム1aは、PPM装置10aと、DB12と、データ送信者装置20と、データ提供装置30a(データ流通プラットフォーム)と、データ受信者装置40とを備える。データ提供装置30aは、PPM装置10a、データ送信者装置20及びデータ受信者装置40と通信によりデータを送受する。PPM装置10aは、DB12及びデータ送信者装置20と通信によりデータを送受する。
【0034】
データ送信者装置20は、データ送信者であるユーザの個人プライバシ情報をデータ提供装置30aへ送信する。
【0035】
データ提供装置30aは、PPM装置10aから提供される認可情報に基づいて、データ送信者装置20から受信した個人プライバシ情報をデータ受信者へ提供するか否を制御する。データ提供装置30aは、データ送信者装置20のユーザID及びデータ送信者装置20から受信した個人プライバシ情報の個人プライバシ情報IDの組合せが認可情報においてデータ受信者へ提供可能である場合、当該個人プライバシ情報を当該データ受信者のデータ受信者装置40へ送信する。データ提供装置30aは、データ送信者装置20のユーザの個人プライバシ情報をデータ受信者へ提供したことを示すデータ提供ログをPPM装置10aへ送信する。
【0036】
データ提供装置30aは、証跡要求部11aとDB31(データ保管装置)を備える。証跡要求部11aは、個人プライバシ情報をデータ受信者へ送信したことに基づいて、当該個人プライバシ情報を受信したことの証跡を当該データ受信者へ要求する。証跡要求部11aは、当該データ受信者から受信した証跡をデータ提供ログに関連付けてDB31に格納する。
【0037】
データ受信者装置40は、データ提供装置30aから受信した個人プライバシ情報を保持する。
【0038】
PPM装置10aは、認可情報をデータ提供装置30aへ提供することにより、ユーザの個人プライバシ情報が正当にデータ受信者へ提供されるように、データ提供の制御を行う。PPM装置10aは、データ提供装置30aから受信したデータ提供ログをDB12に格納する。
【0039】
【0040】
(ステップS11) PPM装置10aは、認可情報をデータ提供装置30aへ提供する。認可情報は、データ提供が認可される対象を示す情報であって、例えば、データ送信者のユーザID及び個人プライバシ情報IDと、データ受信者IDとの組である。データ提供装置30aは、PPM装置10aから提供された認可情報に基づいて、データ送信者装置20から受信した個人プライバシ情報をデータ受信者へ提供するか否を制御する。なお、認可情報は、必ずしもデータ提供が認可される対象を直接的に示す情報である必要はなく、例えば、データ提供が認可されない対象を示す情報によって、間接的にデータ提供が認可される対象を示すものであってもよい。
【0041】
(ステップS12) データ提供装置30aは、例えば、データ送信者装置20のユーザID及びデータ送信者装置20から受信した個人プライバシ情報の個人プライバシ情報IDと、データ受信者装置40のデータ受信者IDとの組と認可情報とに基づいて、当該個人プライバシ情報のデータ受信者装置40への提供が許可されると判断する場合、当該個人プライバシ情報及び個人プライバシ情報IDをデータ受信者装置40へ送信する。
【0042】
データ提供装置30aは、データ送信者装置20のユーザの個人プライバシ情報をデータ受信者へ提供したことを示すデータ提供ログを生成してDB31に格納する。データ提供ログには、データ送信者装置20のユーザID、データ受信者へ提供した個人プライバシ情報の個人プライバシ情報ID、当該個人プライバシ情報のハッシュ値、データ受信者ID、及び提供日時などの情報が記載される。
【0043】
(ステップS13) データ提供装置30aの証跡要求部11aは、データ受信者装置40に対し、送信した個人プライバシ情報IDを通知してデータ受領問い合わせを行い、当該個人プライバシ情報IDの個人プライバシ情報を受信したことの証跡を要求する。
【0044】
(ステップS14) データ受信者装置40は、データ提供装置30aからのデータ受領問い合わせに応じて、当該データ受領問い合わせで通知された個人プライバシ情報IDの個人プライバシ情報を受信したことの証跡を生成し、生成した証跡をデータ提供装置30aへ送信する。個人プライバシ情報を受信したことの証跡は、当該個人プライバシ情報のハッシュ値と、データ受信者の電子署名とを含む情報である。さらには、個人プライバシ情報を受信したことの証跡は、データ受信者名称、データ送信者名称、個人プライバシ情報受信日時のタイムスタンプなどの情報を含んでもよい。
【0045】
(ステップS15) データ提供装置30aの証跡要求部11aは、データ提供ログに基づいて、データ受信者装置40から受信した証跡を検証する。具体的には、証跡要求部11は、証跡に含まれる個人プライバシ情報のハッシュ値が、データ提供ログに記載された個人プライバシ情報のハッシュ値に一致するか否かを判断する。この判断の結果、一致である場合は証跡の検証が合格であり、一方、不一致である場合は証跡の検証が不合格である。
【0046】
証跡の検証が合格である場合には、証跡要求部11aは、データ受信者装置40から受信した証跡をデータ提供ログに関連付けてDB31に格納する。この後、ステップS16へ進む。
【0047】
一方、証跡の検証が不合格である場合、証跡要求部11aは所定の証跡不合格エラー処理を実行する。この証跡不合格エラー処理は、上述した証跡不合格エラー処理の例1、例2と同様である。
【0048】
上記の証跡不合格エラー処理の例1、例2は、単独で実行されてもよく、両方を組み合わせて実行されてもよい。証跡不合格エラー処理の結果、証跡の検証が合格した場合には、証跡要求部11aは、検証が合格した証跡をデータ提供ログに関連付けてDB31に格納する。この後、ステップS16へ進む。一方、証跡不合格エラー処理を実行してもまだ証跡の検証が不合格である場合には、ステップS16へ進む。
【0049】
(ステップS16) データ提供装置30aは、データ提供ログをPPM装置10aへ送信する。このとき、証跡に関する結果をPPM装置10aへ通知してもよい。証跡に関する結果は、証跡の取得の有無、証跡の検証の結果(合格又は不合格)などの情報である。
【0050】
(ステップS17) PPM装置10aは、データ提供装置30aから受信したデータ提供ログをDB12に格納する。PPM装置10aは、データ提供装置30aから証跡に関する結果を受信した場合には、証跡に関する結果をデータ提供ログに関連付けてDB12に格納する。
【0051】
(ステップS18) PPM装置10aは、データ提供装置30aから証跡に関する結果を受信した場合、証跡に関する結果をデータ送信者装置20へ通知する。なお、データ送信者装置20への証跡に関する結果の通知は、データ送信者が希望する場合にのみ実施してもよい。
【0052】
上述した第2実施形態によれば、ユーザの個人プライバシ情報を受信したことの証跡をデータ受信者から取得することができる。これにより、データ受信者が個人プライバシ情報を受信したことを証明するための証拠能力が向上する効果が得られる。
【0053】
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
【0054】
例えば、データ受信者に対するデータ受領問い合わせ(証跡の要求)は、1回の個人プライバシ情報の提供ごとに実施されてもよく、又は、複数回の個人プライバシ情報の提供をまとめて実施されてもよい。複数回の個人プライバシ情報の提供をまとめてデータ受領問い合わせ(証跡の要求)を実施する場合、証跡は、1回の個人プライバシ情報の提供分ごとに生成されたものであってもよく、又は、複数回の個人プライバシ情報の提供分をまとめて生成されたものであってもよい。
【0055】
また、上述した各装置の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
【0056】
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【符号の説明】
【0057】
1,1a…データ提供システム、10,10a…PPM装置、11,11a…証跡要求部、12,31…DB、20…データ送信者装置、30…データ流通プラットフォーム、30a…データ提供装置、40…データ受信者装置
【図1】
【図2】
【図3】
【図4】