知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-12-19
(45)【発行日】2023-12-27
(54)【発明の名称】サービス加入者のプライバシのためのデータ匿名化
(51)【国際特許分類】
H04W 12/02 20090101AFI20231220BHJP
H04W 8/18 20090101ALI20231220BHJP
H04W 92/24 20090101ALI20231220BHJP
H04W 4/70 20180101ALI20231220BHJP
G06F 21/62 20130101ALI20231220BHJP
H04L 67/06 20220101ALI20231220BHJP
【FI】
H04W12/02
H04W8/18
H04W92/24
H04W4/70
G06F21/62 354
H04L67/06
【請求項の数】
20
(21)【出願番号】P 2020567985
(86)(22)【出願日】2019-06-06
(65)【公表番号】
(43)【公表日】2021-10-11
(86)【国際出願番号】 US2019035751
(87)【国際公開番号】W WO2019236815
(87)【国際公開日】2019-12-12
【審査請求日】2022-05-30
(31)【優先権主張番号】62/681,709
(32)【優先日】2018-06-07
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】515222713
【氏名又は名称】コンヴィーダ ワイヤレス, エルエルシー
(74)【代理人】
【識別番号】110002147
【氏名又は名称】弁理士法人酒井国際特許事務所
(72)【発明者】
【氏名】ニングルク,ジワン,エル.
(72)【発明者】
【氏名】スターシニック,マイケル,エフ.
(72)【発明者】
【氏名】シード,デール,エヌ.
(72)【発明者】
【氏名】ムラディン,カタリーナ,ミハエラ
(72)【発明者】
【氏名】フリン 4世,ウィリアム,ロバート
(72)【発明者】
【氏名】チェン,ズオ
(72)【発明者】
【氏名】リ,クァン
(72)【発明者】
【氏名】リュー,ル
【審査官】石田 信行
(56)【参考文献】
【文献】米国特許出願公開第2015/0007249(US,A1)
【文献】特開2017-174458(JP,A)
【文献】Security Solutions,ONEM2M TECHNICAL SPECIFICATION,2018年03月15日,P.1-2,21,33-34,199-206,236,239,https://ftp.onem2m.org/Meetings/SEC/2018%20meetings/20180312_SEC34_Dallas/SEC-2018-0043-TS-0003v3_7_1-newBaseline.ZIP [retrieved on 2023-05-17]
(58)【調査した分野】(Int.Cl.,DB名)
H04W 12/02
H04W 8/18
H04W 92/24
H04W 4/70
G06F 21/62
H04L 67/06
(57)【特許請求の範囲】
【請求項1】
サービス層のエンティティによって実施される方法であって、前記サービス層のエンティティの特定のユーザに関連するデータにアクセスするリクエストをアプリケーションサービスプロバイダから受け取ることと、
前記データにアクセスする前記リクエストに基づいて、1つ以上のデータ匿名化ポリシが前記特定のユーザに関連していることを確認することであって、前記1つ以上のデータ匿名化ポリシは、ユーザの選好度、地方自治体により課せられる法規、またはデータコンシューマの選好度のうちの少なくとも1つに基づいて、決定され、また、前記1つ以上のデータ匿名化ポリシは、データ匿名化においてデータがどのように変更されるかを示す、ことと、
前記1つ以上のデータ匿名化ポリシを検索することと、
前記1つ以上のデータ匿名化ポリシに基づいて、前記アプリケーションサービスプロバイダが前記特定のユーザの1つ以上の識別特徴を確認することを防ぐ匿名化されたデータセットを作成することと、
前記匿名化されたデータセットを前記アプリケーションサービスプロバイダに送ることと、
を含む、方法。
【請求項2】
前記匿名化されたデータセットの作成は、前記データの少なくとも一部を削除することと前記データの少なくとも一部を変更することとのいずれかまたは両方を含む、請求項1記載の方法。
【請求項3】
前記データの少なくとも一部の変更は、前記データの少なくとも一部の省略と、前記データの少なくとも一部の置き換えと、前記データの少なくとも一部のシャッフルと、前記データの少なくとも一部の暗号化との1つ以上を含む、請求項2記載の方法。
【請求項4】
前記1つ以上のデータ匿名化ポリシは、前記特定のユーザに関連する1つ以上のユーザポリシと、1つ以上のアプリケーションサービスプロバイダポリシと、1つ以上の法的ポリシとを含む、請求項1記載の方法。
【請求項5】
前記特定のユーザに関連する前記データにアクセスする前記リクエストは、前記アプリケーションサービスプロバイダに関連する1つ以上の特徴を含む、請求項1記載の方法。
【請求項6】
少なくとも前記アプリケーションサービスプロバイダに関連する前記1つ以上の特徴に基づいて、前記特定のユーザに関連する複数のデータ匿名化ポリシの内の1つ以上を選択することをさらに含む、請求項5記載の方法。
【請求項7】
前記匿名化されたデータセットの送信は、前記データが匿名化されたことの通知と前記データの匿名化に用いた匿名化技術の通知との少なくとも一方を前記アプリケーションサービスプロバイダに送ることを含む、請求項1記載の方法。
【請求項8】
プロセッサとメモリとを備えた装置であって、前記メモリは、コンピュータで実行可能な命令であって、前記プロセッサによって実行されると通信ネットワークのサービス層のエンティティを実施させ、かつ前記サービス層のエンティティに動作を行わせる命令を保存し、前記動作は、前記サービス層のエンティティの特定のユーザに関連するデータにアクセスするリクエストをアプリケーションサービスプロバイダから受け取ることと、
前記データにアクセスする前記リクエストに基づいて、1つ以上のデータ匿名化ポリシが前記特定のユーザに関連していることを確認することであって、前記1つ以上のデータ匿名化ポリシは、ユーザの選好度、地方自治体により課せられる法規、またはデータコンシューマの選好度のうちの少なくとも1つに基づいて、決定され、また、前記1つ以上のデータ匿名化ポリシは、データ匿名化においてデータがどのように変更されるかを示す、ことと、
前記1つ以上のデータ匿名化ポリシを検索することと、
前記1つ以上のデータ匿名化ポリシに基づいて、前記アプリケーションサービスプロバイダが前記特定のユーザの1つ以上の識別特徴を確認することを防ぐ匿名化されたデータセットを作成することと、
前記匿名化されたデータセットを前記アプリケーションサービスプロバイダに送ることと、
を含む、装置。
【請求項9】
前記匿名化されたデータセットの作成は、前記データの少なくとも一部を削除することと前記データの少なくとも一部を変更することとのいずれかまたは両方を含む、請求項8記載の装置。
【請求項10】
前記データの少なくとも一部の変更は、前記データの少なくとも一部の省略と、前記データの少なくとも一部の置き換えと、前記データの少なくとも一部のシャッフルと、前記データの少なくとも一部の暗号化との1つ以上を含む、請求項9記載の装置。
【請求項11】
前記1つ以上のデータ匿名化ポリシは、前記特定のユーザに関連する1つ以上のユーザポリシと、1つ以上のアプリケーションサービスプロバイダポリシと、1つ以上の法的ポリシとを含む、請求項8記載の装置。
【請求項12】
前記特定のユーザに関連する前記データにアクセスする前記リクエストは、前記アプリケーションサービスプロバイダに関連する1つ以上の特徴を含む、請求項8記載の装置。
【請求項13】
前記命令は、実行されると、前記サービス層のエンティティに、少なくとも前記アプリケーションサービスプロバイダに関連する前記1つ以上の特徴に基づいて、前記特定のユーザに関連する複数のデータ匿名化ポリシの内の1つ以上を選択することを含む動作をさらに行わせる、請求項12記載の装置。
【請求項14】
前記匿名化されたデータセットの送信は、前記データが匿名化されたことの通知と前記データの匿名化に用いた匿名化技術の通知との少なくとも一方を前記アプリケーションサービスプロバイダに送ることを含む、請求項8記載の装置。
【請求項15】
プロセッサにより実行されると、通信ネットワークのサービス層のエンティティを実施させて、前記サービス層のエンティティに動作を行わせる命令を保存するコンピュータ可読記憶媒体であって、前記動作は、前記サービス層のエンティティの特定のユーザに関連するデータにアクセスするリクエストをアプリケーションサービスプロバイダから受け取ることと、
前記データにアクセスする前記リクエストに基づいて、1つ以上のデータ匿名化ポリシが前記特定のユーザに関連していることを確認することであって、前記1つ以上のデータ匿名化ポリシは、ユーザの選好度、地方自治体により課せられる法規、またはデータコンシューマの選好度のうちの少なくとも1つに基づいて、決定され、また、前記1つ以上のデータ匿名化ポリシは、データ匿名化においてデータがどのように変更されるかを示す、ことと、
前記1つ以上のデータ匿名化ポリシを検索することと、
前記1つ以上のデータ匿名化ポリシに基づいて、前記アプリケーションサービスプロバイダが前記特定のユーザの1つ以上の識別特徴を確認することを防ぐ匿名化されたデータセットを作成することと、
前記匿名化されたデータセットを前記アプリケーションサービスプロバイダに送ることと、
を含む、コンピュータ可読記憶媒体。
【請求項16】
前記匿名化されたデータセットの作成は、前記データの少なくとも一部を削除することと前記データの少なくとも一部を変更することとのいずれかまたは両方を含む、請求項15記載のコンピュータ可読記憶媒体。
【請求項17】
前記データの少なくとも一部の変更は、前記データの少なくとも一部の省略と、前記データの少なくとも一部の置き換えと、前記データの少なくとも一部のシャッフルと、前記データの少なくとも一部の暗号化との1つ以上を含む、請求項16記載のコンピュータ可読記憶媒体。
【請求項18】
前記1つ以上のデータ匿名化ポリシは、前記特定のユーザに関連する1つ以上のユーザポリシと、1つ以上のアプリケーションサービスプロバイダポリシと、1つ以上の法的ポリシとを含む、請求項15記載のコンピュータ可読記憶媒体。
【請求項19】
前記特定のユーザに関連する前記データにアクセスする前記リクエストは、前記アプリケーションサービスプロバイダに関連する1つ以上の特徴を含む、請求項15記載のコンピュータ可読記憶媒体。
【請求項20】
前記命令は、実行されると、前記サービス層のエンティティに、少なくとも前記アプリケーションサービスプロバイダに関連する前記1つ以上の特徴に基づいて、前記特定のユーザに関連する複数のデータ匿名化ポリシの内の1つ以上を選択することを含む動作をさらに行わせる、請求項19記載のコンピュータ可読記憶媒体。
【発明の詳細な説明】
【背景技術】
【0001】
M2M/IoTサービス層(SL)は、M2M/IoT機器と、IoTアプリケーションと、IoTデータとに対して付加価値サービスを提供することを目的とした技術である。近年、複数の業界標準団体(例えば、oneM2M、ETSI、OCF、LWM2Mなど)がM2M/IoT SLを開発しており、これによりM2M/IoT機器と、アプリケーションと、データとを、インターネット/ウェブ、セルラネットワーク、企業ネットワーク、およびホームネットワークを用いたデプロイメントに統合することに伴う課題の解決を図っている。
【発明の概要】
【0002】
本開示の方法とシステムとによりユーザのプライバシを保護する機能を備えたIoT/M2Mサービス層が提供される。この機能によってIoT/M2Mサービス層はユーザデータを匿名化することができ、特にユーザデータがサードパーティコンシューマに共有される場合に有効である。プライバシポリシサービスによりIoTサービス層システムが、法的義務や、加入者のプライバシ選好度や、データコンシューマの認証レベルなどの入力情報に基づく匿名化(例えばプライバシの匿名化)ポリシを作成することが可能になる。データ匿名化ポリシはプライバシポリシサービスから出力されてデータ匿名化サービスに送られ、データ匿名化サービスにおいて原データが1つ以上のデータ匿名化ポリシに基づいて匿名化される。データ匿名化サービス機能からの出力情報は、私事化版(例えば、匿名化版)のデータであって、データコンシューマがユーザの1つ以上の識別特徴を発見することを防ぐデータになる。
【0003】
(図面の簡単な説明)
本出願のより明確な理解を容易にするために添付図面を参照する。各図において、同様の構成要素には同様の参照数字を付している。これらの図面は本出願を限定するものではなく、あくまでも例として示したものである。
本出願のより明確な理解を容易にするために添付図面を参照する。各図において、同様の構成要素には同様の参照数字を付している。これらの図面は本出願を限定するものではなく、あくまでも例として示したものである。
【図面の簡単な説明】
【0004】
【発明を実施するための形態】
【0005】
M2M/IoT SLは、アプリケーションや機器に、多数のM2M/IoT指向機能へのアクセスを提供する。数種の例として、セキュリティ、課金、データ管理、機器管理、ディスカバリ、プロビジョニング、および接続性管理がある。これらの機能は、M2M/IoT SLにサポートされたメッセージフォーマット、リソース構造、およびリソース表現を用いるAPIを介して、アプリケーションに利用可能にされる。
【0006】
プロトコルスタックの面からは、SLは通常アプリケーションプロトコル層の上に位置して該SLがサポートするアプリケーションに付加価値サービスを提供する。このため、SLはしばしば「ミドルウェア」サービスに分類される。表1にアプリケーションプロトコルとアプリケーションとの間に位置したサービス層の一例を示す。
【0007】
【表1】
【0008】
デプロイメントの面では、M2M/IoT SLは、図1に示すとおり、サーバ、ゲートウェイ、および機器などの様々な種類のネットワークノードにデプロイされる。
【0009】
M2M/IoT SLはoneM2M標準により定義されている(oneM2M-TS-0001、oneM2M機能アーキテクチャ-V-2.10.1参照)。このSLの目的は、Eヘルス、フリート管理、およびスマートホームなどの、様々な「垂直」M2Mシステムならびにアプリケーションに利用可能な「水平」サービスを提供することである。図2に示したoneM2M SLのアーキテクチャは、4つの基準点をサポートする共通サービスエンティティ(Common Service Entity:CSE)を規定している。Mca基準点はアプリケーションエンティティ(AE)とインタフェースで接続している。Mcc基準点は同一サービスプロバイダドメイン内の別のCSEとインタフェースで接続し、Mcc′基準点は異なるサービスプロバイダドメイン内の別のCSEとインタフェースで接続する。Mcn基準点は下位のネットワークサービスエンティティ(NSE)とインタフェースで接続する。NSEは、機器管理、位置情報サービス、および機器トリガリングなどの下位ネットワークサービスをCSEに提供する。CSEは、「ディスカバリ」や「データ管理リポジトリ」などの「共通サービス機能(Common Service Functions:CSF)」と呼ばれる複数の論理機能を含んでいる。図3にoneM2MにサポートされたCSFを示す。
【0010】
oneM2Mアーキテクチャは、以下に例示した各ノード種にM2M/IoTサービスを分散してデプロイすることをサポートする分散アーキテクチャである。
【0011】
アプリケーションサービスノード(Application Service Node:ASN)
ASNは、1つのCSEと少なくとも1つのアプリケーションエンティティ(AE)とを含むノードである。物理マッピングの一例においてASNはM2M機器内に位置する。
ASNは、1つのCSEと少なくとも1つのアプリケーションエンティティ(AE)とを含むノードである。物理マッピングの一例においてASNはM2M機器内に位置する。
【0012】
アプリケーション専用ノード(Application Dedicated Node:ADN)
ADNは、少なくとも1つのAEを含んでCSEを含まないノードである。物理マッピングの一例においてアプリケーション専用ノードは制限付きM2M機器内に位置する。
ADNは、少なくとも1つのAEを含んでCSEを含まないノードである。物理マッピングの一例においてアプリケーション専用ノードは制限付きM2M機器内に位置する。
【0013】
ミドルノード(Middle Node:MN)
MNは1つのCSEを含むと共に、1つ以上のAEを含むもしくは含まないノードである。物理マッピングの一例においてMNはM2Mゲートウェイに位置する。
MNは1つのCSEを含むと共に、1つ以上のAEを含むもしくは含まないノードである。物理マッピングの一例においてMNはM2Mゲートウェイに位置する。
【0014】
インフラストラクチャノード(Infrastructure Node:IN)
INは1つのCSEを含むと共に、1つ以上のAEを含むもしくは含まないノードである。INのCSEは、他種のノードには適用できないCSE機能を含む。物理マッピングの一例においてINはM2Mサービスインフラストラクチャに位置する。
INは1つのCSEを含むと共に、1つ以上のAEを含むもしくは含まないノードである。INのCSEは、他種のノードには適用できないCSE機能を含む。物理マッピングの一例においてINはM2Mサービスインフラストラクチャに位置する。
【0015】
非oneM2Mノード(Non-oneM2M Node:NoDN)
非oneM2Mノードは、oneM2Mエンティティを含まない(AEとCSEとのいずれも含まない)ノードである。これらのノードは、管理などのインターワーキングのためにoneM2Mシステムにアタッチされた機器を表している。
非oneM2Mノードは、oneM2Mエンティティを含まない(AEとCSEとのいずれも含まない)ノードである。これらのノードは、管理などのインターワーキングのためにoneM2Mシステムにアタッチされた機器を表している。
【0016】
oneM2Mシステム内でサポートされた様々なエンティティのあり得る相互接続形態を図4に示す。
【0017】
現在のoneM2M/IoTシステムは、プライバシ保護管理(PPM)と呼ばれるプライバシの管理機能を備えている。「プライベートであるもの」が表現するものは、個人の見解と、社会規範と、行政機関から課せられたポリシとによって異なってくる。PPM機能はユーザの選好度に基づいてアクセス制御ポリシを作成し、これにより認証された者だけがユーザの個人特定情報(PII)にアクセスすることができるようになる。しかし、これらのポリシは、ユーザデータが匿名化(例えば、サニタイズ、別名化、省略など)される粒度へのアクセス制御は提供するものではない。M2M/IoTサービス層にこのようなレベルまでユーザのプライバシを保護することが可能な機能をもたせる方法とシステムとが本明細書で開示される。以下に述べるプライバシ保護アーキテクチャの説明は、Security Solutions-V-3.0.6のoneM2M-TS-0003の11節からの引用である。
【0018】
M2Mのアプリケーションサービスプロバイダ(ASP)はM2Mサービスプロバイダと加入契約を交わした者と定義される。M2M/IoTサービスプロバイダを介してASPにより提供されるサービスに加入するエンティティはM2Mサービス加入者と呼ばれる。
【0019】
サードパーティデータコンシューマはM2MサービスプロバイダからのM2Mサービス加入者のデータの入手を望んでいる。このとき、サードパーティデータコンシューマはASPとして振る舞う。oneM2MセキュリティCSF内のプライバシポリシマネージャ(PPM)機能がM2Mサービス加入者のプライバシ選好度に基づく個人データ管理フレームワークになり、これによりM2Mサービス加入者に合意されたポリシからアクセス制御情報が作成される。PPMは、非認証者と非認証集団とからM2Mサービス加入者の個人データを保護する。PPMは、M2Mサービスプロバイダ自身またはM2Mサービスプロバイダに代わる他のエンティティによって管理される。
【0020】
M2MサービスプロバイダがM2Mサービス加入者の個人データをサードパーティのM2Mのアプリケーションサービスプロバイダ(ASP)に提供する場合、M2MサービスプロバイダはM2Mサービス加入者の承諾を得る必要がある。データが属するエンティティはデータ主体と呼ばれる。つまり、M2Mサービス加入者がデータを供給するデータ主体になる。M2Mサービス加入者がサードパーティへの提供を示すプライバシポリシを承認した場合は、M2Mサービスプロバイダはデータ主体の個人データを該サードパーティに提供することができる。しかし、プライバシポリシがサードパーティへの提供を示していない場合は、サービスプロバイダはプライバシポリシを更新してそのポリシに対するM2Mサービス加入者の承諾を得る必要がある。
【0021】
PPMはプライバシ選好度とプライバシポリシとを管理する。
【0022】
プライバシ選好度とは、M2Mサービス加入者が自身の個人データをサードパーティに提供することについての選好度のことである。M2Mサービス加入者はM2Mサービス加入者のプライバシ選好度を作成してPPMに登録する。プライバシ属性のリストの例がoneM2M-TS-0003の付録Jに記載されている。
【0023】
プライバシポリシには、M2MサービスプロバイダがM2Mサービス加入者にサービスを提供するために必要な個人データが示されている。M2Mサービスプロバイダはプライバシポリシを作成してPPMに登録する。
【0024】
PPMは以下の機能の1つ以上を実行するように構成される。
【0025】
(1)M2Mサービス加入者のプライバシ選好度をASPのプライバシポリシに合わせるための高度な同意手順。プライバシポリシは、M2MサービスプロバイダがM2Mサービス加入者にサービスを提供するために必要な個人データを記述している。M2Mサービス加入者が、M2Mサービスプロバイダが提供するサービスに加入する場合、M2Mサービスプロバイダは該サービスのプライバシポリシに対するM2Mサービス加入者の同意を得る必要がある。PPMは、プライバシ選好度とプライバシポリシとを比較することによってM2Mサービス加入者に使いやすい同意手順を提供する。
【0026】
(2)分散認証におけるポリシ判定ポイント(PDP)ならびにポリシ検索ポイント(PRP)と、「アクセス制御ポリシ(AccessControlPolicy)」リソースの管理と、ダイナミック認証システムサーバ(DASS)との機能を以下に説明する。
【0027】
(a)PDP
発信者がポリシ実施ポイント(PEP)となるホスティングCSEから個人データをリクエストすると、ホスティングCSEはPDPとなるPPMからアクセス制御決定データをリクエストする。PPMは、M2Mサービス加入者の同意を得たポリシから作成されたアクセス制御情報から「認証決定(authorizationDecision)」リソースを作成し、その「認証決定」リソースの表示をもってホスティングCSEに応答する。PDPと「認証決定」との詳細はそれぞれTS-0003の7.5.2節とTS-0001の9.6.42節とに記載されている。
発信者がポリシ実施ポイント(PEP)となるホスティングCSEから個人データをリクエストすると、ホスティングCSEはPDPとなるPPMからアクセス制御決定データをリクエストする。PPMは、M2Mサービス加入者の同意を得たポリシから作成されたアクセス制御情報から「認証決定(authorizationDecision)」リソースを作成し、その「認証決定」リソースの表示をもってホスティングCSEに応答する。PDPと「認証決定」との詳細はそれぞれTS-0003の7.5.2節とTS-0001の9.6.42節とに記載されている。
【0028】
(b)PRP
発信者がPDPとなるホスティングCSEから個人データをリクエストすると、ホスティングCSEはPRPとなるPPMからアクセス制御ポリシをリクエストする。PPMは、M2Mサービス加入者の同意を得たポリシに基づいて「認証ポリシ(authorizationPolicy)」リソースを作成し、その「認証ポリシ」リソースの表示をもってホスティングCSEに応答する。PRPと「認証ポリシ」との詳細はそれぞれTS-0003の7.5.3節とTS-0001の9.6.43節とに記載されている。
発信者がPDPとなるホスティングCSEから個人データをリクエストすると、ホスティングCSEはPRPとなるPPMからアクセス制御ポリシをリクエストする。PPMは、M2Mサービス加入者の同意を得たポリシに基づいて「認証ポリシ(authorizationPolicy)」リソースを作成し、その「認証ポリシ」リソースの表示をもってホスティングCSEに応答する。PRPと「認証ポリシ」との詳細はそれぞれTS-0003の7.5.3節とTS-0001の9.6.43節とに記載されている。
【0029】
(c)CSEがホストとなる「アクセス制御ポリシ(accessControlPolicy)リソース」の管理
発信者がホスティングCSEから個人データをリクエストし、このCSEがローカル保存された「アクセス制御ポリシ」リソースを用いて7.1節(TS-0003)に記載された手順によりアクセス制御決定を導くと、PPMは、IN-AEであって、要求された「アクセス制御ポリシ」リソースを生成して各CSEにデプロイし、かつ適切なアクセス制御ポリシIDの属性をM2Mサービス加入者が作成したリソースに割り当てるIN-AEとして機能する。
発信者がホスティングCSEから個人データをリクエストし、このCSEがローカル保存された「アクセス制御ポリシ」リソースを用いて7.1節(TS-0003)に記載された手順によりアクセス制御決定を導くと、PPMは、IN-AEであって、要求された「アクセス制御ポリシ」リソースを生成して各CSEにデプロイし、かつ適切なアクセス制御ポリシIDの属性をM2Mサービス加入者が作成したリソースに割り当てるIN-AEとして機能する。
【0030】
(d)ダイナミック認証システム
【0031】
(i)直接ダイナミック認証
発信者がホスティングCSEに個人データをリクエストすると、ホスティングCSEは「ダイナミックACP情報(dynamicACPInfo)」リソースまたは「トークン(token)」リソースをPPMにリクエストする。PPMは、M2Mサービス加入者の同意を得たポリシに基づいて「ダイナミックACP情報」リソースまたは「トークン」リソースを作成し、「ダイナミックACP情報」リソースまたは「トークン」リソースの表示をもってホスティングCSEに応答する。直接ダイナミック認証の詳細はTS-0003の7.3.2.2節に記載されている。「ダイナミックACP情報」リソースと「トークン」リソースとの詳細はそれぞれTS-0001の9.6.40節と9.6.39節とに記載されている。
発信者がホスティングCSEに個人データをリクエストすると、ホスティングCSEは「ダイナミックACP情報(dynamicACPInfo)」リソースまたは「トークン(token)」リソースをPPMにリクエストする。PPMは、M2Mサービス加入者の同意を得たポリシに基づいて「ダイナミックACP情報」リソースまたは「トークン」リソースを作成し、「ダイナミックACP情報」リソースまたは「トークン」リソースの表示をもってホスティングCSEに応答する。直接ダイナミック認証の詳細はTS-0003の7.3.2.2節に記載されている。「ダイナミックACP情報」リソースと「トークン」リソースとの詳細はそれぞれTS-0001の9.6.40節と9.6.39節とに記載されている。
【0032】
(ii)間接ダイナミック認証
ある発信者がホスティングCSEに個人データをリクエストする前に、その発信者は「トークン」リソースまたはトークンIDをPPMにリクエストする。PPMは、M2Mサービス加入者の同意を得たポリシに基づいて「トークン」リソースを作成し、「トークン」リソースの表示またはトークンIDをもって発信者に応答する。次いで、発信者は「トークン」リソースまたはトークンIDを用いてホスティングCSEに個人データをリクエストする。間接ダイナミック認証の詳細はTS-0003の7.3.2.3節に記載されている。
ある発信者がホスティングCSEに個人データをリクエストする前に、その発信者は「トークン」リソースまたはトークンIDをPPMにリクエストする。PPMは、M2Mサービス加入者の同意を得たポリシに基づいて「トークン」リソースを作成し、「トークン」リソースの表示またはトークンIDをもって発信者に応答する。次いで、発信者は「トークン」リソースまたはトークンIDを用いてホスティングCSEに個人データをリクエストする。間接ダイナミック認証の詳細はTS-0003の7.3.2.3節に記載されている。
【0033】
(3)個人データの使われ方のトレーサビリティ
PPMは、どの発信者がどの種類の収集データにアクセスしたかを記録したアクセスログを保存している。この機能はoneM2Mにおける今後の研究課題であるが、同機能はoneM2Mで定義されたコンポーネントを用いて実装することができる。
PPMは、どの発信者がどの種類の収集データにアクセスしたかを記録したアクセスログを保存している。この機能はoneM2Mにおける今後の研究課題であるが、同機能はoneM2Mで定義されたコンポーネントを用いて実装することができる。
【0034】
PPMは、M2Mサービス加入者の選好度とM2Mアプリケーションサービスプロバイダのサービスプライバシポリシとを管理するように構成される。基本的に、M2Mアプリケーションサービスプロバイダはインフラストラクチャドメインに1つのPPMを備え、そのPPMにおけるM2Mサービス加入者の同意のステータスを管理する。PPMの使用には、以下の関係を有する4つの手順がある。
【0035】
M2Mサービス加入者が、M2Mサービスプロバイダが提供するサービスに加入する。
【0036】
M2Mサービス加入者が、ASPが提供するサービスに加入する。
【0037】
AE(IN-AEまたはフィールドドメインAE)がホスティングCSEに保存された個人データをリクエストする。
【0038】
M2Mサービス加入者が自身の個人データのアクセスログをチェックし、収集された個人データをホスティングCSEから削除するようにリクエストする。
【0039】
上記手順を用いるいくつかの関連エンティティを以下に示す。
【0040】
(1)M2Mサービス加入者
M2Mサービス加入者は、M2Mサービスプロバイダに扱われる情報へのアクセスを制御する機能を提供する、ASPのサービスに加入することによってM2Mサービスを利用することができる。個人データは、個人特定情報(PII)を作成するためにそのままでまたは個人を特定する他の情報と併せて使用される。
M2Mサービス加入者は、M2Mサービスプロバイダに扱われる情報へのアクセスを制御する機能を提供する、ASPのサービスに加入することによってM2Mサービスを利用することができる。個人データは、個人特定情報(PII)を作成するためにそのままでまたは個人を特定する他の情報と併せて使用される。
【0041】
(2)ADN-AE、ASN-AE
ADN-AEまたはASN-AEは、センサデータなどの様々な種類のデータを作成する。さらにADN-AEまたはASN-AEは、リソースのホスティングCSEにデータをリクエストする。
ADN-AEまたはASN-AEは、センサデータなどの様々な種類のデータを作成する。さらにADN-AEまたはASN-AEは、リソースのホスティングCSEにデータをリクエストする。
【0042】
(3)ホスティングCSE
ホスティングCSEがPPMをPDPとして用いる場合は、ホスティングCSEはポリシ実施ポイント(PEP)として機能する。ホスティングCSEがPPMをPRPとして用いる場合は、ホスティングCSEはPDPとして機能する。ホスティングCSEがPPMをDASとして用いる場合は、ホスティングCSEは、リクエストされたリソースにリンクされた「ダイナミック認証コンサルテーション(dynamicAuthorizationConsultation)リソースを設定する。
ホスティングCSEがPPMをPDPとして用いる場合は、ホスティングCSEはポリシ実施ポイント(PEP)として機能する。ホスティングCSEがPPMをPRPとして用いる場合は、ホスティングCSEはPDPとして機能する。ホスティングCSEがPPMをDASとして用いる場合は、ホスティングCSEは、リクエストされたリソースにリンクされた「ダイナミック認証コンサルテーション(dynamicAuthorizationConsultation)リソースを設定する。
【0043】
(4)アプリケーションサービスプロバイダ
アプリケーションサービスプロバイダは、M2Mサービスプロバイダに加入しているM2Mサービス加入者にサービスを提供する。
アプリケーションサービスプロバイダは、M2Mサービスプロバイダに加入しているM2Mサービス加入者にサービスを提供する。
【0044】
(5)M2Mサービスプロバイダ
M2Mポータルが、M2Mサービス加入者インタフェースであって、このインタフェースを通じてM2Mプラットフォームが提供するサービスが管理されるインタフェースを提供する。
M2Mポータルが、M2Mサービス加入者インタフェースであって、このインタフェースを通じてM2Mプラットフォームが提供するサービスが管理されるインタフェースを提供する。
【0045】
(6)PPM
PPMは、(oneM2Mによって定義されていない)自動化手順であって、M2Mサービス加入者の同意を得たポリシと選好度とに基づいてアクセス制御ポリシを作成してそのポリシをCSEにデプロイする、自動化手順の機能を備えている。PPMがPDPまたはPRPとして機能する場合は、PPMはCSE機能を要求する。PPMがダイナミック認証サービスサーバとして機能する場合は、PPMはAE機能を要求する。PPMはPPMポータルを介してM2Mサービス加入者インタフェースを提供する。M2Mサービス加入者はPPMポータルにアクセスしてM2Mサービス加入者のプライバシ選好度を設定する。PPMポータルはoneM2Mの範囲外にある。
PPMは、(oneM2Mによって定義されていない)自動化手順であって、M2Mサービス加入者の同意を得たポリシと選好度とに基づいてアクセス制御ポリシを作成してそのポリシをCSEにデプロイする、自動化手順の機能を備えている。PPMがPDPまたはPRPとして機能する場合は、PPMはCSE機能を要求する。PPMがダイナミック認証サービスサーバとして機能する場合は、PPMはAE機能を要求する。PPMはPPMポータルを介してM2Mサービス加入者インタフェースを提供する。M2Mサービス加入者はPPMポータルにアクセスしてM2Mサービス加入者のプライバシ選好度を設定する。PPMポータルはoneM2Mの範囲外にある。
【0046】
ここでPPMアーキテクチャにおける管理フローの一例を説明する。M2Mサービス加入者がM2Mサービスプロバイダに加入すると、M2Mサービス加入者はPPMを用いてプライバシ選好度を設定する。プライバシの選好度/ポリシが、どのデータがASPによって使用されることになっていて、かつ同意により他のサービス加入者と共有されることを許可されているか、を説明する。プロセスの一例を図5に示す。
【0047】
ステップ1で、M2Mサービス加入者はM2MサービスプロバイダのM2Mポータルにアクセスする。このプロセスは通常HTTPやHTTPSなどのWebアクセスプロトコルを用いて行われる。
【0048】
ステップ2で、M2Mサービス加入者はプライバシ選好度を設定してPPMポータルに登録する。M2Mサービス加入者がPPMポータルにアクセスする。またはM2MポータルがM2MサービスプロバイダをPPMポータルにリダイレクトする。このプロセスはWebアクセスプロトコルを用いて行われる。
【0049】
ステップ3で、M2MサービスプロバイダがM2Mサービス加入者からデータを集めて保存する。
【0050】
M2Mサービス加入者はM2Mサービスプロバイダを通じてASPが提供する様々な種類のサービスに加入することができる。サービスのリストがM2Mポータルに登録されていて、M2Mサービス加入者は加入するサービスを選択することができる。M2Mサービス加入者がサービスに加入する場合、そのM2Mサービス加入者はASPのプライバシポリシを承認する必要がある。M2Mサービス加入者がこのポリシを容易に理解するために、PPMは、ASPが提供するプライバシポリシとM2Mサービス加入者のプライバシ選好度とに基づいて、カスタマイズされたプライバシポリシを作成してもよい。このため、M2Mサービス加入者は個人データをコントロールすることが可能になり、合意にはプライバシポリシを理解したことが含意されている。図6にこのプロセスの概略例を示す。
【0051】
ステップ1で、M2Mサービス加入者はM2Mポータルにアクセスして加入するASPのサービスを選択する。M2Mポータルが、M2Mサービス加入者の同意を得るためにPPMポータルにリダイレクトする。この処理は通常HTTPやHTTPSなどのWebアクセスプロトコルを用いて行われる。
【0052】
ステップ2で、M2Mサービス加入者はASPのサービスに加入するためにプライバシポリシを承認する必要がある。PPMは、M2Mサービス加入者のプライバシ選好度とサービスのプライバシポリシとに基づいて各M2Mサービス加入者に対するカスタマイズされたプライバシポリシを作成する。M2Mサービス加入者が、プライバシ選好度とプライバシポリシとの差異を確認して、どの種類の個人データがASPに収集されているかを把握することは容易である。M2Mサービス加入者はプライバシポリシを承認した後、ASPのサービスに加入することができる。
【0053】
ステップ3で、PPMは、M2Mサービス加入者が承認したプライバシポリシを用いてアクセス制御ポリシを作成または更新する。
【0054】
4種の移植のオプションがTS-0003-V3.6.0に示されている。それらオプションを下記に示す。
【0055】
(1)PPMがPDPとして機能する。
【0056】
(2)PPMがPRPとして機能する。
【0057】
(3)PPMが下記の(a)、(b)いずれかを用いてダイナミック認証システムサーバ(DASS)として機能する。
【0058】
(a)直接ダイナミック認証
【0059】
(b)間接ダイナミック認証
【0060】
PPMは、ユーザが自身のプライバシ選好度を表示できるように構成されたデータ管理フレームワークである。ユーザの個人特定情報(PII)は、ユーザのプライバシ選好度を考慮して設定されたアクセス制御ポリシによって敵対者や非認証者から保護される。PPMは、M2Mサービスプロバイダまたは他の信頼できるステークホルダによって管理される。サービスプロバイダや信頼できるステークホルダは、当該ユーザのPIIをサードパーティと共有するために、そのPIIを共有することについてユーザの了解を得る必要がある。プライバシポリシにはサードパーティに関する規定が含まれている。
【0061】
サービスプロバイダが提供するサービスに加入するエンドユーザがデータ主体になる。データ主体はプライバシ選好度のテンプレートを有している。データ主体がサービスに加入しようとする場合、データ主体はプライバシ選好度テンプレートをPPMポータルからダウンロードし、そのテンプレートを自らのテンプレートと比較して整合しているかどうかを確認する。エンドユーザが自身のプライバシ選好度を表す属性を選択および選択解除した後、そのプライバシ選好度が同一のポータルを用いてPPMに登録される。
【0062】
oneM2Mでは、PPMは2つの機能を果たす。第1に、PPMはポリシ判定ポイント(PDP)として機能する。この場合、アプリケーションがIN-CSEに個人データをリクエストすると、PPMはユーザのプライバシ選好度に基づくアクセス判定で応答する。第2に、PPMはポリシ検索ポイント(PRP)として機能する。PDPがPPMにアクセス制御ポリシをリクエスト可能な状態で、アプリケーションがIN-CSEに個人データをリクエストすると、PPMはユーザのプライバシ選好度に基づくアクセス制御ポリシで応答する。
【0063】
oneM2Mサービス層において、Registration(REG)CSFは、レジストラCSEを用いて登録するようにAEまたは他のCSEからのリクエストを処理して、登録されたエンティティがレジストラCSEにより提出されたサービスを使えるようにする。
【0064】
Registrationは、登録するエンティティがAEである場合はそのエンティティが「AE」リソースを作成するプロセスになり、CSEを登録する場合は「リモートCSE」を作成するプロセスになる。登録の更新がある場合は、これらのリソースも更新される。
【0065】
Registrationとは、AEまたはCSE情報を別のCSEに送ってそのCSEがM2Mサービスを使えるようにするプロセスである。ASN、MN、またはINのAEは、対応するCSEへの局所的な登録を行って、そのCSEが提出したM2Mサービスを使えるようにする。ADNのAEは、MNまたはINにおけるCSEへの登録を行って、そのCSEが提出したM2Mサービスを使えるようにする。IN-AEは、INでの対応するCSEへの登録を行って、そのCSEが提出したM2Mサービスを使えるようにする。AEは、自身のレジストラCSEが対象CSEである場合、そのレジストラCSEを他のCSEに登録させることなく該レジストラCSEとインタラクションすることができる。ASNのCSEは、MN内のCSEへの登録を行って、そのMNのCSEが提出したM2Mサービスを使えるようにする。MN-CSEにASN-CSEが登録されると、ASNとMNとにおけるCSE同士の間に情報交換可能な関係が確立する。
【0066】
MNのCSEは、他のMNのCSEへの登録を行って、そのMNのCSEが提出したM2Mサービスを使えるようにする。MN-CSEが他のMN-CSEに登録されると、これらMNのCSE同士の間に情報交換可能な関係が確立する。ASNまたはMNのCSEは、INのCSEへの登録を行って、そのINのCSEが提出したM2Mサービスを使えるようにする。ASN/MNがIN-CSEに登録されると、これらASN/MNとINとのCSE間に情報交換可能な関係が確立する。
【0067】
oneM2MプラットフォームはIoT機器がスマート機器であることを想定している。したがって、登録プロセスの一部として、IoT機器の仮想表示をoneM2Mサービスプロバイダプラットフォーム(oneM2M Service Provider platform)に形成することができる。
【0068】
oneM2MはこれらIoT機器のユーザや所有権を認識していない。しかし、実生活のシナリオでは、個人ユーザや組織体はこれら機器に対し責任をもって管理する必要がある。また、シナリオによっては、機器が個人ユーザの所有物あるいは組織体の資産になっているが、他のユーザまたは組織体に貸し出されていることもある。それらのシナリオでは、ユーザまたは加入者のプロファイルがサービス層に認識されるようにされる。本開示のユーザプロファイルはユーザのアカウント情報を含んでいる。例えば、このアカウント情報は、ユーザ名と、ユーザIDと、所在地と、所有機器とを含んでいる。
【0069】
5Gモバイルコアネットワークアーキテクチャ(5G Mobile Core Network Architecture)が「3GPP TS 23.501、5Gシステムのシステムアーキテクチャ、ステージ2、v1.2.0、15版」に規定されている。図7に、制御プレーン内のサービスベースのインタフェースを備えた非ローミング参照アーキテクチャを示す。図8に、非ローミングの場合の5Gシステムアーキテクチャを、様々なネットワーク機能がどのように相互作用しているかを示す参照点表示を用いて示す。
【0070】
モビリティ管理機能とセッション管理機能とが分かれていることは注目に値する。1つのN1 NAS コネクションを用いて、登録管理(Registration Management)とコネクション管理(Connection Management)との両方(RM/CM)およびUE向けのSM関連メッセージおよび手順が行われる。1つのN1の終端点はAMFに位置している。AMFはSM関連のNAS情報をSMFに転送する。AMFは、UEと取り交わしたNAS信号の登録管理とコネクション管理との部分を扱う。SMFは、UEと取り交わしたNAS信号のセッション管理部分を扱う。
【0071】
3GPP TS 23.501に記載されているとおり、5GCは、サードパーティアプリケーションサーバおよび他のNFから分析情報を収集する、NWDAネットワーク機能を備えている。また、NWDAは分析情報を他のNFおよびサードパーティアプリケーションサーバに提供する。サードパーティアプリケーションサーバとNFとは分析情報を用いてネットワーク構成、データ経路、通信ポリシなどを最適化することができる。
【0072】
1つのN1 NASコネクションが、UEが接続される各アクセスに用いられる。1つのN1終端点がAMFに位置する。上記1つのN1 NASコネクションは、登録管理とコネクション管理との両方(RM/CM)ならびにUE向けのSMに関するメッセージおよび手順に使用される。N1におけるNASプロトコルは、NAS-MMコンポーネントとNAS-SMコンポーネントとからなる。 図9に、N1インタフェースを介したUEと5Gコアネットワーク間(例えば、UEとAMF間)における一般的なプロトコルスタックを示す。
【0073】
ネットワークスライシングはモバイルネットワークオペレータにより使用される手順であって、モバイルオペレータのネットワークの固定部と、バックホールとコアネットワークとの両方とにわたるエアインタフェースの背後の複数の「仮想」ネットワークをサポートする手順である(NGMN(Next Generation Mobile Networks)協定「ネットワークスライシングの概念の解説」参照)。この手順には、種々のRANをサポート、または1つのRANで作動する種々のサービスタイプをサポートするためにネットワークを複数の仮想ネットワークに「スライスすること」が含まれている。ネットワークスライシングによりオペレータは、多様な要件(例えば、機能、性能、および分離の面での要件)が求められる様々な市場シナリオに対して最適なソリューションを与えるようにカスタマイズされた複数のネットワークを形成することができる。
【0074】
図10にネットワークスライシングのアーキテクチャの一例を示す。ネットワークスライスインスタンスは一連のネットワーク機能とそれらネットワーク機能を実行するリソースで構成される。種々の色を用いて種々のネットワークスライスインスタンスまたはサブネットワークスライスインスタンスが示されている。サブネットワークスライスインスタンスは一連のネットワーク機能とそれらネットワーク機能を実行するリソースで構成されるが、それ自体は完全な論理ネットワークになっていない。サブネットワークスライスインスタンスは複数のネットワークスライスインスタンスに共有され得る。
【0075】
3GPP 5Gネットワークはネットワークスライシング技術を組み込んでいる。この技術は5Gネットワークによく適合する。この理由は、5Gユースケース(例えば、大規模なIoT、限界的な通信、および高度化モバイルブロードバンドなど)ではきわめて多様でかつ時に極端な条件が要求されるためである。現在のpre-5Gアーキテクチャでは、比較的モノリシックなネットワークとトランスポートフレームワークとを用いて、スマートフォン、OTT(Over The Top)コンテンツ、フィーチャフォン、データカード、および組み込みM2M機器からのモバイルトラヒックなどの多様なサービスに適応するようになっている。現在のアーキテクチャは、広範囲のビジネスニーズのそれぞれが特有の性能、拡張性、および可用性の要件のセットを有している場合に、そのビジネスニーズを効率よくサポートする上で十分な順応性と拡張性とを有していないと思われる。さらに、新しいネットワークサービスの導入をより効率的に行う必要がある。それにもかかわらず、複数のユースケースが同じオペレータネットワークで同時に進行していて、そのために高度な5Gネットワークの順応性と拡張性が必要になっていると思われる。
【0076】
ネットワークスライシングによりオペレータは、多様な要件(例えば、機能、性能、および分離の面での要件)が求められる様々な市場シナリオに対して最適なソリューションを与えるようにカスタマイズされた複数のネットワークを形成することができる。しかし、今後の5Gネットワークでネットワークスライシングをサポートするにはいくつかの課題がある。上記課題の例として以下のものがある。ただし、これに限定するものではない。
【0077】
ネットワークスライスインスタンス間の分離をどのように行うか、またどのレベルおよび種類の分離が必要か。
【0078】
どのようにして、またどのタイプの、リソースおよびネットワーク機能の共有をネットワークスライスインスタンス間で用いることができるか。
【0079】
どのようにしてUEは1オペレータの1つ以上の特定ネットワークスライスインスタンスから同時にサービスを得ることができるか。
【0080】
ネットワークスライシングに関して3GPPの範囲に含まれるものは何か(例えば、ネットワークスライスの形成/構成、変更、削除など)。
【0081】
どのネットワーク機能が特定のネットワークスライスインスタンスに含まれるか、またどのネットワーク機能がネットワークスライスから独立しているか。
【0082】
UE向けの特定のネットワークスライスの選択手順。
【0083】
ネットワークスライシングローミング(Network Slicing Roaming)シナリオのサポート方法。
【0084】
どのようにして、オペレータがネットワークスライシングの概念を用いて、類似のネットワーク特性を要する複数のサードパーティ(例えば、企業、サービスプロバイダ、コンテンツプロバイダなど)を効率よくサポートできるようにするか。
【0085】
前述のプライバシポリシ管理(PPM)アーキテクチャは、方法であって、その方法により認証された者だけが加入者/ユーザの個人特定情報(PII)にアクセスを許可される方法を提供するものである。上記認証ポリシはユーザ選好度とASPのプライバシポリシとに基づいてビルドされる。ユーザデータを選択的に匿名化することが可能な方法とシステムとが本明細書で開示される。本提案の技術は、データのサニタイズ、省略、および置き換えなどのデータ匿名化方法を含むものである。
【0086】
全てのデータには価値がある。あるデータが匿名化される場合、データの一部が隠されるかまたはデータコンシューマが個人情報を見たり確認したりできないように処理される。データを匿名化すると、情報の一部が失われるのでその分だけデータの価値が下がる。しかし、法的要件を満たすため、および/または人々が満足してデータを共有するために、データの匿名化が時に必要になる。例えば、自治体がデータを集めてそのデータをデータコンシューマ(例えば、広告者など)に利用できるようにする場合、プライバシの問題が生じてくる。データマーケットプレイスまたはデータプラットフォームのデプロイに対するプライバシ関連の法的かつ政治的障壁に対処するために、データプラットフォームはプライバシをサービスとして提供できる必要がある。最低でも、プライバシサービスは、ユーザのポリシとサービスプロバイダのポリシとに基づく一定程度のプライバシを提供できることが必要である。ユーザのポリシは、データに関連するユーザの個人的選好度に基づくものであり、サービスプロバイダのポリシはそのサービスプロバイダの内部業務方針と法的要件とに基づくものである。
【0087】
ここで第1ユースケースを機械学習とデータ処理とを参照して説明する。今後、機械学習を用いてユーザ、機器、およびアプリケーションの挙動と関心事とが予測されるであろう。例えば、サービス層システムがユーザ、機器、およびアプリケーションに関する情報を集める。集められた情報を処理した後、それを用いて今後の挙動および関心事の予測に使用可能なアルゴリズムを作成する。アルゴリズムを作成するステップは後処理作業であり、リアルタイムでは行われない。
【0088】
アルゴリズムが作成されると、リアルタイムでデータを集め、集めたデータに作成したアルゴリズムを適用して、ネットワークリソースをどのように割り当てるか、またどの情報をユーザ、機器、およびアプリケーションに送るか、などを決定する。アプリケーションデータを保存するサービス層は、機械学習アルゴリズムを適用するアプリケーションまたはサービス層にそのデータを提供する前のデータの匿名化に関するものでもある。
【0089】
ここで第2ユースケースについて自治体によるデータ収集を参照して説明する。プライバシの問題は、自治体がデータを集めて、開放市場を介してそのデータをデータコンシューマに利用できるようにする場合に生じる。ある人物のゴミ収集記録(名前、住所、収集毎の容器の数と種類、各容器の重さなど)を全て含むファイルを考える。この情報は種々の理由で有用である。ゴミ収集会社は資産計画および管理や、マーケティング目的(新規顧客の獲得や顧客の引き留めを試みる場合)でこの情報を用いることができる。ただし、自治体がこのデータを公表したときに、政治的および/または法的な問題が生じる恐れがある。プライバシに対する懸念が実際に生じると(人々が感じると)、投票者/住民は自治体内部の意思決定者に圧力をかけてデータを集めないようにまたはコンシューマがデータを利用できないようにさせる可能性がある。
【0090】
ここで第3ユースケースについて電力消費データを参照して説明する。家庭の電力消費の内訳(居住者氏名、居住者年齢、家庭の住所、電力を消費する全ての器具/機器のリスト、各器具/機器に消費される電力量、各器具/機器が使われる回数など)を全て含むファイルを考える。この情報は種々の理由で有用である。電力供給者はこの情報を対象となる消費者へのマーケティングキャンペーンに用いることができる。器具/機器メーカはこの情報を用いて、最新のもっとも電力効率のよいモデルに交換することでいかに多額の費用を節約できるかを消費者に語ることができる。電力配給会社はインフラストラクチャ計画のためにこの情報を用いることができる。このファイルには有用な情報が含まれているが、一方で共有できない情報も含まれている。例えば、このファイルには、家庭内に医療機器があって、その機器が何時使用されているか、またどれだけの電力がその機器に消費されているかを示す情報が含まれていることがある。この種の医療情報を共有することは違法であるため、このファイルは使えなくなる。
【0091】
現在のサービス層アーキテクチャは、サービスプロバイダが、個々のデータの利用を認められる者を設定することを可能にしている。しかし、PPMアーキテクチャでは、ユーザデータ内の情報に対するきめ細かい制御を得られない。特に、上記サービス層アーキテクチャでは、サービスプロバイダは、コンシューマがデータの一部分、変更版のデータ、またはサニタイズ版のデータにアクセスできるように、システムを構成することはできない。したがって、単にデータセットの一部が私的なものであるということだけで、データコンシューマは全てのデータも有することができない。さらに、ある所定のデータに伴うアクセス許可がデータ主体に依存することもあるが、現在のサービス層アーキテクチャではデータ主体を特定する方法が得られない。
【0092】
例えば、RESTfulリソースとそれにアタッチされた属性がある人物の電気使用量に関する情報を含んでいることがある。サービスプロバイダは、あるコンシューマがリソース内の全ての情報を読み出し、他のコンシューマは一部の情報しか読み出しできない(例えば、データコンシューマがある人物の電力消費とおよその位置を読み出しできるが、その人物の身元と特有の位置とを読み出すことはできない)というようにシステムを構成することはできない。サービス層は、位置情報を特定位置(例えば、住所)からおよその位置(例えば、町区)に変更するときを把握しているように構成される必要がある。M2M/IoTサービスプロバイダも、電気器具の名称を、データコンシューマから隠すことが必要になる。例えば、ある人物の医療機器が150kWhを消費することをコンシューマに示す代わりに、その医療機器についての記載を不可視にし、消費電力の総量もそれに応じて除かれるようにデータをサニタイズする必要がある。
【0093】
データセットの一部分、変更されたデータセット、および/またはサニタイズされたデータセットへのアクセスを制限する時期を決定するポリシで、どのようにサービス層を構成することができるか、についての方法とシステムとが開示される。上記ポリシで構成されることにより、サービス層は、ユーザ/加入者に、選択肢として、共有されないデータの部分を選択すること、ユーザデータを全て共有すること、およびユーザデータをサードパーティのデータコンシューマとの共有から完全に保護すること、を与えることができる。この選択は、M2M/IoTサービスプロバイダまたはアプリケーションサービスプロバイダが提供するサービスの質または他のインセンティブの影響を受ける(またはそれに基づいて行われる)。
【0094】
IoT/M2Mサービス層アーキテクチャは、自身が提供する種々のサービスからデータを集める。このデータは種々の面で有用であるため、IoT/M2Mサービスプロバイダはデータを用いると共に関係者と共有する。ただし、データを共有する場合はユーザのプライバシを保護する必要がある。
【0095】
IoT/M2Mサービス層にユーザのプライバシを保護する能力をもたせる機能が開示される。この機能により、特にユーザデータがサードパーティコンシューマと共有される場合に、IoT/M2Mサービス層が加入者/ユーザのデータを匿名化することが可能になる。本提案のソリューションは2つの主なサービスからなる。すなわち、プライバシポリシサービスとデータ匿名化サービスとである。
【0096】
プライバシポリシサービスは、IoTサーバシステムが、法的義務、加入者のプライバシ選好度、およびデータコンシューマの認証レベルなどの入力情報に基づいて匿名化(プライバシ)ポリシを作成することを助長するものである。データ匿名化(プライバシ)ポリシはプライバシポリシサービスから出力される。
【0097】
データ匿名化ポリシと匿名化する必要がある原データとがデータ匿名化サービス(DAS)への入力情報になる。次いで原データがデータ匿名化ポリシに基づいて匿名化される。このため、データ匿名化サービス機能からの出力情報が私事化(匿名化)版のデータになる。
【0098】
ユーザ/加入者に関する情報を取得するユーザプロファイルが開示されて、サービス層に保存されてどれだけ多く、またはどれだけ少なくデータをデータコンシューマに公表するべきかについてのポリシの作成に用いられるデータにユーザプロファイルが関連付けられるようにされる。また、ユーザプロファイルを作成、変更、およびサービス層に保存された他の情報とリンクする方法が開示される。
【0099】
上述のIoT/M2Mサービス層のプライバシサービス機能は、既存のプライバシおよびセキュリティ機能における追加特徴として、またはデータプライバシの進化した形態のいずれかとして実現される。
【0100】
ここで他のシステム(例えば、サービス層システム)内またはそれに並行してデプロイ可能なプライバシサービスを説明する。このプライバシサービスは、データセットの各部へのアクセスを何時ならびにどのように制限するかを決定するポリシで構成される。例として、変更されたデータセットおよび/またはサニタイズされたデータセットへのアクセスを与えるかどうか、が挙げられる。
【0101】
あるデータを公表、非公表、または匿名化のいずれにするべきかを決定する場合の重要な留意事項は、どのユーザがそのデータを作成したか、またはどのユーザがそのデータを所有しているかに基づいていることである。例えば、あるユーザは自身の全データをサードパーティに公表することに抵抗がなく、別のユーザは自身のデータがサードパーティに公表される前に匿名化されることを望むことがあり得る。なお、プライバシ選好度の選択に際してユーザの取り得る選択肢として、個人データを選択的に共有すること、データ全体を共有すること、およびユーザデータを共有することを完全に拒否することがある。この選択の決定は、M2M/IoTサービスプロバイダおよび/またはASPが提供するサービスの質または他のインセンティブに基づいてまたは影響されて行われる。プライバシサービスがデータを処理する際にどのポリシが適用されるべきかを決定するために、サービス層および/またはプライバシサービスはデータに関連するユーザを特定できる必要がある。
【0102】
ユーザプロファイルを、サービス層システムに保存されたいずれのアプリケーション、サービス層、または機器の登録情報からも独立して作成することが提案される。サービス層システムに、ユーザのプロファイルをアプリケーション、サービス層、および/または機器にリンクさせる方法が本明細書で開示される。例えば、リンクキーの考え方を導入する。リンクキーは、機器またはユーザに関連したキーである。機器がサービス層に登録する際に、その機器はユーザに関連したリンクキーを提示してユーザとのリンクを許可されていることを証明する。サービス層は、提示されたリンクキーがユーザのプロファイルに保存されたリンクキーに整合していることを確認する。同様に、ユーザがサービス層に登録する際には、ユーザは機器に関連したリンクキーを提示して機器とのリンクを許可されていることを証明する。サービス層は、提示されたリンクキーが機器のプロファイルに保存されたリンクキーに整合していることを確認する。
【0103】
図11に、プライバシをサービスとして提供する、高度化されたIoT/M2Mサービス層システムの一例を示す。このIoT/M2Mサービス層システムが、ユーザプロファイルの作成に使用される、加入者管理ポータル(Subscriber Management Portal:SMP)を公表する。例えば、各ユーザ(例えば、ユーザ1・・・ユーザN)はこのポータルを介してサービス層に接続して自身のプロファイルを作成する。また、サービス層プラットフォームによって、アプリケーションサービスプロバイダ(ASP)が、スマートメータなどの機器によってサービス層に保存されたデータにアクセスすることが可能になる。サービス層システムによってどのようにデータがASPに提供されたか、かつ提供されたかどうかは、プライバシポリシとプライバシサービスがそのプライバシポリシをどのように適用するかに基づいて定まる。
【0104】
ユーザプロファイルを作成する方法とシステムとが開示される。
【0105】
M2Mシステムにおけるあらゆるデータと、データにアクセス可能なユーザとは一連のポリシにより規制される。ある所定のデータに適用されるポリシは、そのデータがどの加入者に適用されるか、誰がそのデータの利用をリクエストしたか、およびサービス層システムのポリシによって決定される。現在のサービス層の規格(例えば、oneM2M)では加入者を特定する方法は示されていない。M2M/IoTサービス層が提供するサービスに申し込んだユーザが加入者になる。したがって、ユーザを加入者と呼ぶこともある。
【0106】
本節では個々のデータに関連する加入者(すなわちユーザ)を特定する方法について説明したが、同様の技法を用いて個々のデータを利用しようとしているサードパーティコンシューマを特定可能なことは言うまでもない。ユーザの情報はユーザプロファイルとしてIoT/M2Mサービス層プラットフォームに取得される。ユーザプロファイルには表2に示したような情報が含まれている。
【0107】
【表2】
【0108】
【表3】
【0109】
表3はユーザプライバシの保護規則の詳細を示している。IoT機器、アプリケーション、およびサービス層のエンティティもまたそれら自身に関する情報をサービス層に保存する。この情報は通常、機器、アプリケーション、またはサービス層がサービス層に登録するときにサービス層に提示される。その後、このデータは通常動作の間に処理される。表4に、IoT機器、アプリケーション、またはサービス層のプロファイルに含まれる情報で、どのプライバシポリシをサービス層のリクエストに適用するかを決定するために使用される情報を示す。
【0110】
【表4】
【0111】
例えば、表2に示したようなユーザプロファイルは、ユーザが自分自身をIoTサービス層の加入者管理ポータルを介してIoTサービス層プラットフォームに登録するときに作成される。この作成プロセスを図12に示す。図12の手順は、アプリケーションサービスプロバイダ(ASP)(例えば、電力会社、広告会社など)が、ある判断基準(例えば、位置、名前など)に適合するユーザが生まれたときに通知を受けるようにする加入の仕方を示している。IoT/M2Mサービス層システムは適合するユーザが生まれるとASPに通知を送る。次いでASPが、ユーザに関連するデータの読み出しリクエストなどの通知に基づいて動作を行う。図12の手順の詳細例を以下に説明する。
【0112】
ステップ1で、アプリケーションサービスプロバイダ(ASP)がIoT/M2Mサービス層のサービス(例えば、通知サービス)に加入する。加入リクエストには、以下の事象のいずれかが生じた場合に通知を受けたい旨が示されている。
【0113】
特定のユーザがプロファイルを作成する。
【0114】
特定のユーザのプロファイルが変更される。
【0115】
特定の機器、アプリケーション、またはサービス層に関連するユーザが変わる。
【0116】
ユーザプロファイルが作成または変更されて、そのプロファイルが、特定の機器、アプリケーション、またはサービス層タイプに関連付けられる。
【0117】
特定のグループに関連するユーザプロファイルが作成または変更される。
【0118】
ある判断基準に適合するユーザプロファイルが作成または変更される。この判断基準として、ユーザがある所定の位置に関連していることがある。また、この判断基準として、表2に示したいずれかのパラメータなどの、ユーザプロファイル中の何らかのパラメータがある所定の値または値範囲に割り当てられることがある。ならびに/または、
【0119】
ユーザプロファイルがある特定のリンクキーを備えて作成される。
【0120】
ステップ2で、サービス層は確認応答をASPに返送し、ASPは加入の成立を確認する。このメッセージには加入の成否が示されている。加入が成立しなかった場合、このメッセージにその要因値が示される。
【0121】
ステップ3で、ユーザは加入者管理ポータル(SMP)を介してIoTサービス層に自身のユーザプロファイルを作成する。加入者管理ポータルはRESTfulプロトコルを用いてアクセスされる。ユーザプロファイルの作成の間に設定されてメッセージに含められる項目を表2に示す。また、サービス層はこのメッセージのコンテンツを用いて自身のもつ新規ユーザ用のデータベース内にエントリを作成する。さらに、リクエストが、新規ユーザのプロファイルを、既にIoTサーバに登録された機器、アプリケーション、またはサービス層に関連付ける必要があることを示している場合は、IoTサーバは機器、アプリケーション、またはサービス層のプロファイルを更新してそれら(機器他)がユーザにリンクしていることを示すようにする。このユーザプロファイルを機器、アプリケーション、またはサービス層にリンクするプロセスについては後述する。リクエストがリンクキーを含んでいた場合は、IoTサーバは、機器、アプリケーション、またはサービス層のプロファイルが同じリンクキーを示していることを確認する。
【0122】
ステップ4で、ユーザプロファイルの作成が完了すると、サービス層は加入者管理ポータルに確認応答を返し、加入者管理ポータルはユーザプロファイルが作成されたことを確認もしくは作成できなかった理由の通知を確認する。
【0123】
ステップ5で、ステップ3で設定された加入、またはステップ3で更新された機器、アプリケーション、またはサービス層のプロファイルに基づいて、サービス層がASPに通知を送る。
【0124】
ステップ6で、IoTサーバから通知を受け取ると、ASPは確認応答をIoTサーバに返すことによって受信を確認する。
【0125】
機器、アプリケーション、および/またはサービス層をユーザプロファイルにリンクさせる方法とシステムとが開示される。
【0126】
ユーザプロファイルとのリンクの結果として、
【0127】
ユーザプロファイルの記録またはリソースが更新されて、ユーザが機器、アプリケーション、および/またはサービス層と関連していることが記録される。
【0128】
リンクされた機器、アプリケーション、および/またはサービス層に関連した記録またはリソースが更新されて、それら記録またはリソースがユーザに関連していることが記録される。ならびに/または、
【0129】
形成されるリンクの関係者へのトリガまたは通知が行われる。
【0130】
ユーザプロファイルが機器、アプリケーション、またはサービス層にリンクされる。リンクされた機器、アプリケーション、またはサービス層が既にサービス層に登録されている例では、ユーザプロファイルの作成時にリンクが行われる。
【0131】
ユーザプロファイルが作成されると、ユーザは、ユーザプロファイルの作成時(例えば、図13のステップ2)にユーザがリンクされることになっているアプリケーション、機器、および/またはサービス層の識別情報を提出する。
【0132】
これに加えてまたはこれに代えて、ユーザプロファイルの作成後、SMPにおける別のリクエストを、ユーザプロファイルをアプリケーション、機器、および/またはサービス層にリンクするリクエストとして用いることもある。
【0133】
リンクされた機器、アプリケーション、またはサービス層が未だサービス層に登録されていない場合は、ユーザプロファイルの作成時にリンクが行われる。
【0134】
機器、アプリケーション、またはサービス層は、その登録時にどのユーザにリンクされるのがよいかを示す(一例を図14のステップ1~3に示す)。ならびに/または、
【0135】
機器、アプリケーション、またはサービス層の登録時に、該機器、アプリケーション、またはサービス層が登録されたことを示す通知がSMPを介してユーザに送られる。サービス層は、以前にSMPを介してユーザから受け取った加入リクエストに基づいてこの通知を送るようにプログラムされる。この加入リクエストは、特定の機器、特定のアプリケーション、特定の機器タイプ、特定のアプリケーションタイプ、またはサービス層タイプが登録する場合、またはある判断基準に適合する機器、アプリケーション、またはサービス層が登録する場合に、ユーザが通知されることを望んでいることを示している。このプロセスの例を図14に示す。
【0136】
図13に、方法であって、その方法により加入者管理ポータル(SMP)からのユーザリクエストに基づいて、登録された機器、アプリケーション、またはサービス層にユーザプロファイルがリンクされる方法の一例を示す。
【0137】
ステップ1で、ユーザプロファイルを有するユーザがSMPを介して、そのユーザプロファイルと既存の登録された機器、アプリケーション、またはサービス層のエンティティとのリンクのリクエストを送る。このリクエストメッセージは、上記機器、アプリケーション、またはサービス層のエンティティの識別情報と、ユーザプロファイルの識別情報と、関連のリンクキーとを含んでいる。
【0138】
ステップ2で、IoT/M2Mサービス層がこのリクエストを受け取って処理する。このリクエストの処理には、ステップ1で提示されたリンクキーが、ユーザがリンクを望んでいる機器、アプリケーション、またはサービス層のプロファイルのリンクキーに整合していることを確認することが含まれる。この結果、リンクされた機器、アプリケーション、またはサービス層の記録またはリソース表示およびユーザの記録またはリソース表示が追加または更新されて、前記リンクすなわち関連付けが示される。したがって、このときに表4の情報が表2の情報と併せてリンクされる。
【0139】
ステップ3で、処理の完了とリクエストの結果についての通知がSMPを介してユーザに送られる。この通知は、ユーザのリクエストが実施されたかどうかを示しており、実施された場合は、リンクされた機器、アプリケーション、またはサービス層のエンティティについての情報も通知の一部として送られる。
【0140】
図14は、機器、アプリケーション、またはサービス層がIoTサーバに登録するときにユーザプロファイルが機器、アプリケーション、またはサービス層にリンクされる方法の一例を示すフローチャートである。
【0141】
ステップ1で、機器、アプリケーション、またはサービス層が、該機器、アプリケーション、またはサービス層がリンクを所望する対象ユーザを含む登録リクエストをIoTサーバに送る。このリクエストにはリンクキーが含まれている。
【0142】
ステップ2で、リクエストを受け取ると、IoTサービス層プラットフォームが、リクエスト元の機器、アプリケーション、またはサービス層をIoTサーバに登録すると共に、リクエストに示されたユーザのユーザプロファイルが、登録されたリクエスト元の機器、アプリケーション、またはサービス層とリンクされる。さらにIoTサーバが、ステップ1で提示されたリンクキーが、リクエスト元がリンクを所望した対象ユーザの記録内のリンクキーに整合していることを確認する。この結果、リンクされた機器、アプリケーション、またはサービス層の記録やリソース表示、およびユーザの記録および/またはリソース表示が追加または更新されて、前記リンクすなわち関連付けが示される。
【0143】
ステップ3で、登録の成否および示されたユーザとのリンクプロセスの成否に関する確認応答が機器、アプリケーション、またはサービス層に返される。
【0144】
ステップ4で、IoTサーバが、機器、アプリケーション、またはサービス層によって行われたリンクのリクエストに関する通知をSMPに送る。この通知はユーザに転送される。
【0145】
ステップ5で、受け取った通知の種類に基づいて、ユーザはIoTサーバを承認する。これに加えてまたはこれに代えて、ユーザが自身のプロファイルをリクエスト元の機器、アプリケーション、またはサービス層にリンクするリクエストを送ってもよい。
【0146】
ステップ6で、ユーザの同意を得ると、M2M/IoTサービス層プラットフォームは、ユーザプロファイルをリクエスト元の機器、アプリケーション、またはサービス層にリンクするプロセスを仕上げる。この結果、ユーザの記録またはリソース表示が追加または更新されて、前記リンクすなわち関連付けが示される。例えば、表4の情報が表2の情報と併せてリンクされる。
【0147】
ステップ7で、IoTサーバは、リクエストされたユーザと機器、アプリケーション、またはサービス層との間のリンクが完了したことについての確認応答を、リクエスト元の機器、アプリケーション、またはサービス層に返す。
【0148】
ステップ8で、IoTサービス層は、リクエストされたユーザのユーザプロファイルとリクエスト元の機器、アプリケーション、またはサービス層とのリンクが完了したことについての通知を、SMPを介してユーザに送る。
【0149】
機器、アプリケーション、またはサービス層は複数のユーザプロファイルとリンク可能なことは明らかである。
【0150】
プライバシポリシサービス(PPS)であって、これを用いて、データがデータコンシューマに提供される前にそのデータを匿名化する方法の決定に用いるポリシが検索される、プライバシポリシサービスが開示される。例えば、ASPがIoTサーバに保存されたリソースの読み出しをリクエストした場合、IoTサーバはPPSからポリシを検索する。このポリシは、リクエスト元の識別情報、リクエストされたデータに関連するユーザ、および/またはローカルポリシに基づくポリシである。
【0151】
PPSの入力情報と出力情報とをそれぞれ表5と表6とに示す。なお、リクエストされているデータまたはデータの種類に関連するユーザに基づいてポリシを検索することも可能である。
【0152】
【表5】
【0153】
【表6】
【0154】
受信した入力情報に基づいて、PPSは、ポリシであって、そのポリシを用いてデータがデータコンシューマ(ASP)に提供される前にそのデータをどのように変更するかを決定する、ポリシをビルドする。このポリシは以下の要因に基づくポリシである。
【0155】
ユーザ/加入者の選好度
ユーザの選好度は、ユーザが個人情報と考えるユーザデータの部分を隠すべきかどうかを決定させるものである。さらに、ユーザが、データを保有して欲しくないターゲットコンシューマのタイプを示すこともある。データがサードパーティに使われた場合でも、ユーザは共有を欲しない個人情報を管理することができる。この選好度(表5に記載)は、ポリシ作成リクエストと共にPPSに提供される。
ユーザの選好度は、ユーザが個人情報と考えるユーザデータの部分を隠すべきかどうかを決定させるものである。さらに、ユーザが、データを保有して欲しくないターゲットコンシューマのタイプを示すこともある。データがサードパーティに使われた場合でも、ユーザは共有を欲しない個人情報を管理することができる。この選好度(表5に記載)は、ポリシ作成リクエストと共にPPSに提供される。
【0156】
地方自治体により課せられる法規
既存の地方自治体の政策による規制によって、ユーザが特定の情報を共有することを強制されるまたは許可されることがある。例えば、現地法が、IoTサービスプロバイダが、ユーザの同意なしに(すなわちターゲットコンシューマ(例えば、医療介護部門)のみに依拠して)ユーザデータを共有または取り引きすることを許可していないことがある。人物の年齢、身長、およびこれまでの医学的状態を共有する必要がある場合もある。これらの選好度はローカルポリシからPPSにより取得される。ならびに/または、
既存の地方自治体の政策による規制によって、ユーザが特定の情報を共有することを強制されるまたは許可されることがある。例えば、現地法が、IoTサービスプロバイダが、ユーザの同意なしに(すなわちターゲットコンシューマ(例えば、医療介護部門)のみに依拠して)ユーザデータを共有または取り引きすることを許可していないことがある。人物の年齢、身長、およびこれまでの医学的状態を共有する必要がある場合もある。これらの選好度はローカルポリシからPPSにより取得される。ならびに/または、
【0157】
データコンシューマの選好度
この選好度はプライバシポリシとは対照的な管理ポリシとみなされる。データコンシューマは、ユーザのプロファイルまたは機器、アプリケーション、またはSLのエンティティのプロファイルの精確さのレベルおよび原データの精確さのレベルが選択することができる。この選好度の評価基準は、支払われた金額に基づいてどのデータをデータコンシューマに渡すかを決定する上で重要なものになる。これらの選好度は予備プロビジョニングを経てPPSにより取得される、またはローカルポリシとして実装される。
この選好度はプライバシポリシとは対照的な管理ポリシとみなされる。データコンシューマは、ユーザのプロファイルまたは機器、アプリケーション、またはSLのエンティティのプロファイルの精確さのレベルおよび原データの精確さのレベルが選択することができる。この選好度の評価基準は、支払われた金額に基づいてどのデータをデータコンシューマに渡すかを決定する上で重要なものになる。これらの選好度は予備プロビジョニングを経てPPSにより取得される、またはローカルポリシとして実装される。
【0158】
上記諸要因には何らかの優先度が伴っている。例えば、地方自治体により課せられる規制はユーザ/加入者の選好度に優先し、ユーザ/加入者の選好度はデータコンシューマの選好度に優先する。この優先度はローカル設定に基づくものである。
【0159】
このポリシは、データにエイリアス化、サニタイズ、またはマスキングなどを施す必要があるかどうかを示すものである。これについては後に詳しく述べる。さらに、このポリシは、諸データが所定の条件を満たした場合に、それらデータを単純に匿名化すればよいか、またはそれぞれ別な仕方で匿名化する必要があるかを示している。例えば、機器がある所定位置に存在している間にデータが作成された場合は、そのデータはエイリアス化するだけでよい。
【0160】
データ匿名化サービスであって、ポリシと一連のデータ(すなわち、ポリシとデータへのポインタ)を入力情報として受信して、匿名化されたデータセットおよび/または匿名化されたデータセットへのポインタを作成するデータ匿名化サービスが開示される。データ匿名化サービスの入力情報と出力情報との例を表7と表8とにそれぞれ示す。
【0161】
【表7】
【0162】
【表8】
【0163】
ユーザデータは1つ以上の匿名化技術を組み合わせて匿名化される。ユーザデータの匿名化に用いる技術の例として1つ以上の以下の技術がある。
【0164】
(1)データのサニタイズ
ユーザの個人データの一部を隠蔽(マスキング)することでプライバシを保つ。例えば、家庭の電気料金請求書には、ユーザの名称、住所番号を伴う所在地、その住居の居住人数、機器の数、機器のタイプ、機器の名称/銘柄などが載っている。個人情報が明白な部分はサニタイズまたはマスキングを施すことができる。
ユーザの個人データの一部を隠蔽(マスキング)することでプライバシを保つ。例えば、家庭の電気料金請求書には、ユーザの名称、住所番号を伴う所在地、その住居の居住人数、機器の数、機器のタイプ、機器の名称/銘柄などが載っている。個人情報が明白な部分はサニタイズまたはマスキングを施すことができる。
【0165】
(2)データの変更
【0166】
(a)省略
名前などのデータの一部がイニシャルで表される。例えば、Robin SharmaはRSと省略される。
名前などのデータの一部がイニシャルで表される。例えば、Robin SharmaはRSと省略される。
【0167】
(b)置き換え
データに名前を付けることでデータの価値が高められる。ただし、名前は乱数、文字、または他の一般名に置き換えられる。例えば、Robin SharmaをDHMCQSXLKZSに置き換えられる。他の置き換え形式としてエイリアスや省略形が用いられる。例えば、Robin SharmaはRSと省略される、あるいはJames S. Camronとエイリアス化される。
データに名前を付けることでデータの価値が高められる。ただし、名前は乱数、文字、または他の一般名に置き換えられる。例えば、Robin SharmaをDHMCQSXLKZSに置き換えられる。他の置き換え形式としてエイリアスや省略形が用いられる。例えば、Robin SharmaはRSと省略される、あるいはJames S. Camronとエイリアス化される。
【0168】
(c)シャフリング
置き換えに類似しているがデータ間に記録が付されている。これは大きいデータセットの場合のみ有効である。例えば、ある郵便番号について集められた電力消費データは、混ぜ合わされた場合でもその郵便番号での電力消費の巨視的様相を表すことができるので利用価値がある。
置き換えに類似しているがデータ間に記録が付されている。これは大きいデータセットの場合のみ有効である。例えば、ある郵便番号について集められた電力消費データは、混ぜ合わされた場合でもその郵便番号での電力消費の巨視的様相を表すことができるので利用価値がある。
【0169】
(d)暗号化
暗号化はデータの機密性の保護に寄与する。適正なキーを有する当事者だけがデータを見ることができる。この暗号化は、有線でデータを転送する場合、またはデータの一部を秘密キーを有する特定の人々に利用可能にするシナリオで重要になる。例えば、あるファイル内の2箇所のデータを2つの異なるキーで暗号化して、キーを組織内の特定の人々に(地位に応じて)与える場合は、別々のファイル受信者は1つのファイル内の別々のデータセットを見ることになる。
暗号化はデータの機密性の保護に寄与する。適正なキーを有する当事者だけがデータを見ることができる。この暗号化は、有線でデータを転送する場合、またはデータの一部を秘密キーを有する特定の人々に利用可能にするシナリオで重要になる。例えば、あるファイル内の2箇所のデータを2つの異なるキーで暗号化して、キーを組織内の特定の人々に(地位に応じて)与える場合は、別々のファイル受信者は1つのファイル内の別々のデータセットを見ることになる。
【0170】
ここでデータ匿名化手順が開示される。図15に、ポリシ作成およびデータ匿名化プロセスの図的記述の一例を示す。データ匿名化ポリシは3つの主要なコンポーネントに基づいている。すなわち、行政機関が定めたデータポリシ/法規と、加入者/ユーザの匿名化の選好度と、データコンシューマの要求事項とである。プライバシポリシサービス(PPS)がこれらの要件に基づいて適用可能なプライバシポリシを作成する。次いで、ポリシが、匿名化を要する原データと特定のデータリクエストに付随する匿名化パラメータと共に、データ匿名化サービス(DAS)に使用される。データ匿名化サービスは、匿名化(私事化)形式のデータを出力として算出する。データ匿名化サービスはk-匿名化などの技術を用いてデータを匿名化する。Kなどの匿名化パラメータはPPSにより作成され、ポリシ内に置かれて、ポリシの一部としてDASに提供される。他の例として、DASが、準同型暗号化や差分プライバシなどの演算を行うものもある。これらの匿名化/暗号化技術を構成するパラメータはPPSにより作成され、ポリシ内に置かれて、ポリシの一部としてDASに提供される。
【0171】
データ匿名化手順の2つのバリアントについて説明する。
【0172】
第1バリアントは、PPSとDASとが集中化(例えば、IoTサーバに集中化)されるデプロイメントによく適合する。原データのホストは、IoTサーバでもゲートウェイなどの分散IoTノードでもよい。このバリアントにおいて、PPSは、匿名化ポリシだけでなく、原データと共にDASに供給される、リクエスト毎の匿名化パラメータも提供する。
【0173】
第2バリアントは、PPSは集中化されるが一方でDASのサービスは分散して設けられるデプロイメントで、特にDASのサービスが原データのホストと同一箇所に置かれる場合によく適合する。このバリアントにおいて、PPSはポリシのみを提供し、匿名化パラメータはポリシと原データリクエストに基づいてDASにより作成される。
【0174】
図16に、第1バリアントによるデータ匿名化手順の方法例のフローチャートを示す。
【0175】
ステップ1で、ASPはユーザデータのリクエストをIoTサービス層プラットフォームに送る。このリクエストは、ASPの認証情報と属性とを含んでいる。例えば、ASPのAEアプリケーションは、ユーザのカテゴリ(すなわち、財政状態、日付範囲 2016年5月1日~2017年4月30日、所在地 郵便番号19126など)などの属性を含むリクエストを送る。このリクエストはさらに、ユーザのファーストネームとラストネームとからなるユーザIDなどのユーザ認証情報を含む。
【0176】
あるいは、ASPは、IoTサーバの記憶装置からデータを削除することを認められている者である。例えば、リクエストが、ある特定のユーザ、ユーザグループ、またはカテゴリなどに関連する全データを削除する必要があることを示す場合がある。このリクエストはさらに、ある日付範囲内または場所内で作成された全てのデータを削除する必要があることを示している。
【0177】
ステップ2で、IoTサーバはASPからのリクエストを解釈して、ASPにリクエストされたデータに適用可能な適切なプライバシポリシについての問い合わせをプライバシサービスに送る。
【0178】
ステップ3で、ASPの認証情報と属性とに基づいて、プライバシポリシサービス(PPS)は、ユーザデータの選好度とユーザの所在地のプライバシ法とについて適切なデータベースを検索する。検索された情報に基づいて、リクエストされたユーザデータに適用可能な特定のプライバシポリシが策定される。例えば、ユーザの選好度として、省略 > ユーザID AND サニタイズ > 街路名 AND サニタイズ > SSN AND 暗号化 > 誕生日、がある。「>」は命令を示す。ある例では、ASPは同一のリクエストを複数回送信する。過去に策定したポリシはM2M/IoTサービス層に保存され、後に再利用される。
【0179】
ステップ4で、PPSは匿名化ポリシを策定してIoTサーバに送り返す。
【0180】
ステップ5で、IoTサーバはユーザの原データと適用可能なポリシとをデータ匿名化サービス(DAS)に送る。例えば、完成したポリシは以下のとおりである。
【0181】
ポリシ1 施行 > ユーザ選好度 AND 施行 > データの共有に対するユーザの同意。
【0182】
ポリシ2 省略 > ユーザID AND サニタイズ > 街路名 AND サニタイズ > SSN AND 暗号化 > 誕生日。
【0183】
あるいは、上記ポリシが、何らかの操作をデータに施す必要があるかどうか(例えば、削除、変更、消去など)をDASに示す。
【0184】
ステップ6で、原データと適用可能なポリシとがデータ匿名化サービスに入力情報として受信される。このポリシに基づいてデータが匿名化される。この結果、全ての要件に適合した匿名化版のデータが作成される。例えば、匿名化版では、「ユーザID」「Sam Adams」は「ユーザID」「SA」(省略)になり、「住所」「フィラデルフィア」は「PA」に、「SSN」は「」に、「誕生日」は「Nv/gQsVqxRa460ib1RYgRfw==IwEmS」になる。
【0185】
ステップ7で、匿名化版のデータがIoTサーバに返送される。
【0186】
あるいは、ステップ5で提示されたポリシがデータを削除する必要があることを示している場合は、このメッセージは削除ができたかどうかを示す通知となる。
【0187】
ステップ8で、リクエストされたデータの匿名化版がリクエストしたASPに返送される。この応答には、データが匿名化されたことの通知が含まれている。さらに、この応答により、どの匿名化技術がデータに適用されたかが示される。ASPは、データセット全体へのアクセスをリクエストすることでこの応答に返信する。
【0188】
あるいは、ステップ1で提示されたポリシがデータを削除する必要があることを示している場合は、このメッセージは削除ができたかどうかを示す通知となる。
【0189】
IoTサーバは、誰がデータをリクエストしたか、どのデータがリクエストされたか、どのデータが提供されたか、どのようにしてデータを匿名化したか、どのデータを削除したか、などについての記録(例えば、課金データ記録)を作成する。
【0190】
なお、匿名化ポリシは、価格/費用要因であって、IoTサービス層プラットフォームに変動する価格/匿名性に応じて様々なデータをもたせることになる、価格/費用要因にも依存するものである。ただし、既存の行政機関のポリシ/法規に則った最低レベルの匿名性は必ず実施される必要がある。
【0191】
また、演算と管理とを簡略にするために様々なレベルの匿名化が実施される。上記匿名化のレベルは、価格と匿名性の選好度に基づいてモデル化可能である。
【0192】
図17に、第2バリアントによる、集中化PPSと分散DASとのサービスを用いてデータ匿名化を行う方法の一例のフローチャートを示す。図17は、DASのサービスを事前設定するプライバシポリシについての情報をサービス層が有するプロセスであって、ユーザデータがASPにリクエストされると、サービス層はそのプライバシポリシを用いて匿名化されたデータで応答するプロセスの例を示す。以下に各ステップを説明する。
【0193】
ステップ1で、サービス層(原データのホスト)がデータアクセスを開始する。このステップは、そのサービス層(SL)自体の他のSL(例えば、機器またはゲートウェイ用のSL)への登録などの所定の手順の一部として、他のSLが該SL(例えば、ゲートウェイまたはサーバ用のSL)に登録するときや、個々のリソースが最初に作成されるときなどに行われる。このとき、当該原データについてのアクセス制御ポリシが設定される。さらにこのときに、該原データがSL内の1つ以上のユーザプロファイルに関連付けられる。
【0194】
ステップ2で、SLが、ホストデータに適用されるプライバシポリシについてPPSと交信する。このステップは、他のトリガに基づいて付加的または代替的に行われるステップである。他のトリガとして、SLが定期的にポリシを更新するために、関連データについての新たなポリシを受け取った後、その新ポリシが利用可能になったことを通知されるときなどがある。さらにSLは、リソースの目的についてのキーワードや、リソース作成者などの、リクエスト中の関連のメタデータを提供する。
【0195】
ステップ3で、プライバシポリシサービス(PPS)は、リクエストパラメータと、ユーザ選好度と、デフォルトとに基づいて適用可能なポリシを作成する。行政機関のポリシとデータコンシューマの選好度とがデフォルトとして実装される。これに加えてまたはこれに代えて、このポリシは選択肢(例えば、データコンシューマのタイプによる差異など)を示している。PPSはリクエスト中に提示されたユーザ選好度を使用するか、または他のリクエストパラメータに基づいてユーザ選好度を発見する。例えば、ユーザX向けの医療アプリケーションにより作成された1つの情報に関連するポリシのリクエストが集中化PPSをトリガして、それによりそのPPSがXに関連するユーザ選好度と医療データとを(たとえそれらがSLによって提供されない場合でも)既に有しているかどうかがチェックされるようになっている。上記ポリシは、プログラムされる匿名化のタイプ、アルゴリズムのタイプならびに強さなどを含んでいる。さらにこのポリシにより、匿名化データと脱匿名化パラメータとを保存する場所と方法とが指定される。
【0196】
ステップ4で、PPSは匿名化ポリシを策定してSLに送る。なお、同じポリシが、例えば、データコンシューマのタイプ、位置、時間などによって、リクエスト毎に異なる処理をもたらすこともある。PPSが使用されるアルゴリズムなどの匿名化パラメータ(例えば、モンドリアン(Mondrian)、k-匿名性、k値など)を提供することもある。これに加えてまたはこれに代えて、DDSがこの情報をPPSによって提供されたポリシから引き出すこともある。
【0197】
ステップ5で、SLは(状況に応じて)所定のポリシについてのDASのサービスの事前設定を行う。この事前設定には、使用されるアルゴリズムの初期化や、ボールトサービスまたは匿名化データのストレージを提供するエンティティへの登録などが含まれる。
応答がSLに返される。
応答がSLに返される。
【0198】
ステップ6で、ASP(発信者)が、SLでの(保護されるプライバシである)ホストデータへのアクセスをリクエストする。
【0199】
ステップ7で、SLは、リクエストされた原データと適用可能なポリシとをデータアノニマイザ機能に送る。PPSが匿名化パラメータを提供していてかつDASが事前設定されていない場合は、上記情報もこのときに提供される。
【0200】
ステップ8で、原データと適用可能なポリシとがデータ匿名化機能に入力情報として受信される。適用可能なポリシに基づいて、(PPSによって提供されない場合は)匿名化パラメータが作成される。例えば、ポリシに含まれるデータコンシューマのタイプ毎に異なるハッシュの強さが算出される。なお、事前設定のオプションが使用される場合、匿名化パラメータの中にはDASで演算されるものもある(例えば、ステップ5bで)。データリクエスト(原データ自体を含む)と、匿名化ポリシと、匿名化パラメータとに基づいて、原データが匿名化される。この結果、全ての要件に適合した匿名化版のデータが作成される。ポリシによって脱匿名化データがリクエストされる場合は、そのデータも同様にポリシにしたがってDASにより作成されて保存される。
【0201】
ステップ9で、応答がSLに送られる。この応答が匿名化データを含むこともある(例えば、ポリシによって指定された場合)。含まない場合は、この応答は匿名化データの位置のみを含む。なお、ポリシが、脱匿名化情報を提供すべきかどうかおよびその情報をどのように保存するかを指定することもある。SLが脱匿名化情報を局所的に保存している場合、SLは、原データにのみ利用可能な情報の範囲の原データを用いた匿名データ(例えば、エイリアス)に基づいてクエリを行うことができる。あるいは、脱匿名化情報がDDSから受信されて外部のセキュアボールトに保存される。応答を受け取ると、SLは、原データの削除、原データを匿名化データに置き換えなどの、他の操作を行う。
【0202】
ステップ10で、匿名化版のリクエストデータ(またはその位置)がリクエスト元のASPに返送される。この応答は、データが匿名化されたことの通知と、用いた匿名化技術に関する情報とを含んでいる。ASPは、データセット全体へのアクセスをリクエストすることでこの応答に返信する。
【0203】
oneM2Mの一実施形態における本記載のデータ匿名化サービスの実装例を以下に述べる。
【0204】
図11との関連で述べた手順はoneM2Mシステムに適用可能である。例えば、IoTサーバはIN-CSEであり、SMPは、ユーザにユーザプロファイルの作成と変更とのリクエストを行わせる専用AEである。IoTサーバへのSMPのインタフェースはMcaインタフェースである。さらに、ASPはMca基準点でIN-CSEとAEとにインタフェースで接続する。
【0205】
ユーザプロファイルが作成されると、「ユーザプロファイル(<userProfile>)」リソースが作成される。「ユーザプロファイル」リソースは、「ユーザプライバシプロファイル(<userPrivacyProfile>)」子リソースを有している。「ユーザプロファイル」の名称は加入者IDに対して設定され、「ユーザプロファイル」リソースに関連する属性は表2に示したものと同じ項目のものである。
【0206】
「ユーザプロファイル」リソースを作成することでIN-CSE内の他のリソースも変更される。例えば、作成したユーザプロファイルリクエストが、ユーザが特定の機器、アプリケーション、またはサービス層にリンクされていることを示す場合は、対応する「ノード(<node>)」、「AE(<AE>)」、および「リモートCSE(<remoteCSE>)」リソースがそのリンクを示すように更新される。新しいリンクユーザ(linkedUser)属性が「ノード)」、「AE」、および「リモートCSE」リソースに関連付けられて、上記機器、アプリケーション、またはサービス層に関連する全てのユーザと等しく設定される。
【0207】
【表9】
【0208】
【表10】
【0209】
「ユーザプライバシプロファイル」リソースの属性を下表に示す。
【0210】
【表11】
【0211】
ここでユーザプロファイルを機器、アプリケーション、またはサービス層とリンクするプロセスの一例を説明する。ユーザプロファイルを機器、アプリケーション、またはサービス層とリンクする方法として2つの方法を前述した。すなわち、SMPリクエストに基づくプロファイルリンクと、機器、アプリケーション、またはサービス層の登録におけるプロファイルリンクである。これらのいずれの方法も、表4に示したパラメータを属性として「ノード」、「AE」、または「リモートCSE」リソースに付加することによって、または表4に示したパラメータに対応する属性を用いて対応する「機器プライバシプロファイル(<devicePrivacyProfile>)」を作成することによってoneM2Mシステムに適用可能である。同時に、「ユーザプロファイル」リソースに対するリンクノード(linkedNode)、リンクAE(linkedAE)、またはリンクCSE(linkedCSE)属性が更新または追加される。
【0212】
同時に、「ユーザプロファイル」リソースを「m2mサービス加入プロファイル(<m2mServiceSubscriptionProfile>)」リソースと、「サービス加入ノード(<serviceSubscribedNode>)」リソースと、「サービス加入アプリケーション規則(<serviceSubscribedAppRule>)」リソースとにリンクする。この関係により、ユーザプロファイルを介してユーザを、ユーザがアクセスを承認される「ノード」リソースと「AE」リソースとを規定する「CSEベース(<CSEBase>)」リソースを用いて、ユーザが加入するサービスの加入申し込みに関連付けることができる。ユーザプロファイルを機器、アプリケーション、またはサービス層にリンクする方法を以下に述べる。
【0213】
(1)SMPリクエストに基づくプロファイルのリンク
本記載のとおり、SMPは専用AEである。したがって、AEは、「ユーザプライバシプロファイル」が「ノード」、「AE」、または「リモートCSE」リソースとリンクしていることをリクエストまたは通知する。このリクエストは、AEが「ユーザプライバシプロファイル」のリンクノード、リンクAE、またはリンクCSE属性を更新することによって行われる。また、「ノード」、「AE」、または「リモートCSE」リソースのリンクユーザの属性を更新することによっても行われる。これに加えてまたはこれに代えて、リンクノード、リンクAE、またはリンクCSEの属性とリンクユーザの属性とをそれらの関連リソースのサブリソースとして実装してもよい。
本記載のとおり、SMPは専用AEである。したがって、AEは、「ユーザプライバシプロファイル」が「ノード」、「AE」、または「リモートCSE」リソースとリンクしていることをリクエストまたは通知する。このリクエストは、AEが「ユーザプライバシプロファイル」のリンクノード、リンクAE、またはリンクCSE属性を更新することによって行われる。また、「ノード」、「AE」、または「リモートCSE」リソースのリンクユーザの属性を更新することによっても行われる。これに加えてまたはこれに代えて、リンクノード、リンクAE、またはリンクCSEの属性とリンクユーザの属性とをそれらの関連リソースのサブリソースとして実装してもよい。
【0214】
(2)機器、アプリケーション、またはサービス層の登録におけるプロファイルのリンク
oneM2M CSEは、プロセスであって、そのプロセスにより、サービス層がIoTサーバに登録するときにユーザプロファイルが機器、アプリケーション、またはサービス層とリンクするプロセスをサポートすることができる。AEまたはCSEがCSEに登録する場合、AEまたはCSEは、その「AE」または「リモートCSE」リソースを作成するときにリンクユーザ属性を提示することによって、どのユーザにリンクすればよいかを示すことができる。ユーザがAE、CSE、またはノードにリンクすると通知が送られる。CSEまたはAEは、ある特定の値を割り当てられたシステム内の任意のリンクユーザ属性に同意するか、「ユーザプロファイル」リソースのリンクノード、リンクAE、またはリンクCSE属性の更新に同意するか、または「AE」、「リモートCSE」、または「ノード」リソースのリンクユーザ属性の更新に同意する。
oneM2M CSEは、プロセスであって、そのプロセスにより、サービス層がIoTサーバに登録するときにユーザプロファイルが機器、アプリケーション、またはサービス層とリンクするプロセスをサポートすることができる。AEまたはCSEがCSEに登録する場合、AEまたはCSEは、その「AE」または「リモートCSE」リソースを作成するときにリンクユーザ属性を提示することによって、どのユーザにリンクすればよいかを示すことができる。ユーザがAE、CSE、またはノードにリンクすると通知が送られる。CSEまたはAEは、ある特定の値を割り当てられたシステム内の任意のリンクユーザ属性に同意するか、「ユーザプロファイル」リソースのリンクノード、リンクAE、またはリンクCSE属性の更新に同意するか、または「AE」、「リモートCSE」、または「ノード」リソースのリンクユーザ属性の更新に同意する。
【0215】
図18に、メインの「CSEベース」リソースの下での、「ノード」、「AE」、または「リモートCSE」子リソースを対応するリソースおよび属性と共に示す。これら子リソースは、それぞれにアタッチされたリンクユーザの属性を示すことでリンクしたユーザプロファイルを示すようになっている。
【0216】
プライバシポリシサービス(PPS)は、前述の入力情報に基づいてデータプライバシポリシのビルドを促進するサービスである。oneM2Mサービス層において、このサービスは独立したoneM2M CSFまたは補助機能となるポリシ検索ポイント(PRP)のいずれかとして具現される。PRPはTS-0003の11章に規定されている。PRP(またはPPSを含むoneM2M CSF)の出力情報がプライバシポリシであり、リソースツリーにおける「プライバシポリシ(<privacyPolicy>)」リソースになる。PRP(またはPPSを含むoneM2M CSF)の入力情報を表5に示す。表6に示したこのoneM2M CSFまたはPRPの出力情報は「プライバシポリシ」リソースとして取得される。得られたデータプライバシ(または匿名化)ポリシは次いでデータ匿名化サービスに送られる。
【0217】
前述のデータ匿名化サービス(DAS)は、原ユーザデータの取得とPPS(PRP)から得られたデータ匿名化ポリシの施行とに関するものであった。oneM2Mにおいては、DASは、補助機能となるポリシ実施ポイント(PEP)として機能する、独立したoneM2M CSFになる。さらにDASは、ポリシを施行可能かどうかについての結論を下す際のポリシ判定ポイント(PDP)(PDPとPEPとはTS-0003の11章に規定されている)として機能する。PPS(PRP)からの出力「プライバシポリシ」がDAS(PEP)の入力情報になる。
【0218】
DASの入力情報を表7に示す。ユーザデータについてのPRPから出力されたポリシの施行がDASで決定される。次いで、例えば、受信したユーザデータにポリシを適用することによってポリシを施行する。したがって、DAS(PEP)からの出力情報が匿名化版のユーザデータになる。ユーザデータはoneM2Mの「フレックスコンテナ(<flexContainer>)」リソースにより具現される。
【0219】
図19に、oneM2Mサービス層のSMPを介したユーザによるユーザプロファイルの作成に関わるステップを示す。
【0220】
ステップ1で、ASPのAEはoneM2Mサービスプロバイダからの種々のサービスに加入する。例えば、この加入には、通知サービスや、機器ディスカバリサービスや、プライバシポリシ管理が含まれる。
【0221】
ステップ2で、確認応答により、AEが加入した可能性のある全ての加入申し込みが確認される。
【0222】
ステップ3で、ユーザは、oneM2Mサービス層内の専用AEである、加入者管理ポータル(SMP)と呼ばれるインテフェースを介してoneM2MシステムのCSEにアクセスする。ユーザプロファイルを作成するために、ユーザはリクエスト内に認証情報を含めて送信する。ユーザの認証情報には、ユーザのファーストネームと、SSNまたは運転免許証番号などの特有の識別情報と、その他の情報が含まれている。これらの情報は、作成されるユーザプロファイルリソース毎に子リソースおよび属性として具現される。
【0223】
ステップ4で、oneM2Mサービス層は、リクエスト元のユーザの情報を含む「ユーザプロファイル」リソースを作成する。このリソースは、作成者CSEの「CSEベース」リソースの子リソースとして作成される。ユーザに関連する追加情報も、「ユーザプロファイル」リソースの子リソースまたは「ユーザプロファイル」リソースの属性のいずれかとして具現される。例えば、「ユーザプロファイル1(<userProfile1>)」がメインのユーザプロファイルリソースで、リンクAEとGPS座標(GPSCoordinates)とが「ユーザプロファイル1」の属性になる。
【0224】
別の例では、「m2mサービス加入プロファイル」リソースを用いて「ユーザプロファイル」の子リソースが作成される。このように、「ユーザプロファイル」子リソースを有するユーザはサービス層の「CSEベース」リソースを用いて加入申し込みを行う。関連する「サービス加入ノード」リソースと「サービス加入アプリケーション規則」リソースとによって、ユーザがアクセスを認証される「ノード」リソースと「AE」リソースとが規定される。
【0225】
ステップ5で、oneM2Mサービス層のCSEが、「ユーザプロファイル」リソースの作成を通知する確認応答をAE(SMP)を介してユーザに返送する。
【0226】
ステップ6で、oneM2Mサービス層のCSEはさらに「ユーザプロファイル」リソースの作成についての通知をAE(ASP)に送る。
【0227】
ステップ7で、AE(ASP)は、「ユーザプロファイル」の作成の通知の受領を示す確認応答をoneM2Mサービス層に返送する。
【0228】
ユーザプロファイルが作成されると、次のステップでそのユーザプロファイルを「ノード」、「AE」、または「リモートCSE」にリンクさせる。ユーザプロファイルを機器、アプリケーション、またはサービス層にリンクさせるには2つの方法がある。図20に、ユーザのリクエストに基づいて、ユーザプロファイルを、それぞれ機器、アプリケーション、またはサービス層を表す、「ノード」、「AE」、または「リモートCSE」リソースにリンクさせることに関連する手順を示す。
【0229】
ステップ1で、AE(SMP)経由のユーザが、「ユーザプロファイル」リソースで表される自身のユーザプロファイルと「ノード」、「AE」、または「リモートCSE」リソースとのリンクをoneM2Mサービス層のCSEにリクエストする。このリクエストは機器、アプリケーション、またはサービス層の認証情報とユーザの認証情報とを含んでいる。
【0230】
ステップ2で、oneM2M/IoTサービス層がこのリクエストを受け取って処理する。これにより、サービス層のCSEが、それぞれがリンクされた機器、アプリケーション、またはサービス層のエンティティを表す、リンクノード、リンクAE、またはリンクCSE属性を用いて、「ユーザプロファイル」リソースを更新する。CSEはさらに、リンクした「ノード」リソース、「AE」リソース、および「リモートCSE」リソースのそれぞれをリンクユーザ属性によって更新して、機器、アプリケーション、またはサービス層のエンティティにそれぞれリンクされたユーザを示す。
【0231】
別の例では、複数のユーザプロファイルが「ノード」、「AE」、または「リモートCSE」リソースにリンクされる。この実装はケースバイケースで変化する。
【0232】
ステップ3で、oneM2M/IoTサービス層は、機器、アプリケーション、またはサービス層へのユーザの結合プロセスが完了したことを示す通知を、AEを介してユーザに返送する。
【0233】
第2方法は、この方法によりユーザプロファイルが機器、アプリケーション、またはサービス層にリンクする方法であり、機器、アプリケーション、またはサービス層からの登録リクエストであって、それぞれとリンクされる必要のあるユーザを含む登録リクエストに基づく方法である。図21は、oneM2Mシステムにおけるノード、AE、またはCSEがどのようにしてこのリクエストを作成するかを示す図である。
【0234】
ステップ1で、ノード、AE、またはCSEが、それぞれがリンクを所望するユーザの表示を含む登録リクエストをIoTサーバに送る。このリクエストはリンクキーを含む。
【0235】
ステップ2で、oneM2Mサービス層が、リクエスト元のノード、AE、またはCSEを登録する。さらに、リクエストに示されたユーザのユーザプロファイルが、リクエスト元でかつ登録済みのノード、AE、またはCSEにリンクされる。oneM2Mサービス層はさらに、ステップ1で提示されたリンクキーが、リクエスト元がリンクを望むユーザの記録内のリンクキーに整合していることを確認する。この結果、リンクされたノード、AE、またはCSEの記録またはリソースの表示とユーザの記録またはリソースの表示とが追加または更新されて、前記リンクすなわち関連付けが示される。図18において、リンクされたユーザのユーザプロファイルは、「ノード」、「AE」、および「CSE」リソースにおけるリンクユーザ属性として表されている。
【0236】
ステップ3で、示されたユーザに対する登録とリンクとのプロセスの成否についての確認応答が、リクエスト元のノード、AE、またはCSEに返送される。
【0237】
ステップ4で、oneM2Mサービス層は、ノード、AE、またはCSEによって行われたリンクのリクエストについての通知を(SMPを具現した)AEを介して送る。この通知はユーザに転送される。
【0238】
ステップ5で、ユーザは当該oneM2Mサービス層を承認する、またはユーザプロファイルをリクエスト元のノード、AE、またはCSEとリンクするリクエストを送る。
【0239】
ステップ6で、ユーザの同意を得ると、oneM2Mシステムは、ユーザプロファイルとリクエスト元のノード、AE、またはCSEとのリンクを仕上げる。これによってユーザの記録またはリソースの表示が追加または更新されて、前記リンクすなわち関連付けが示される。
【0240】
ステップ7で、oneM2Mサービス層が、ユーザとノード、AE、またはCSEとのリンクの完了についての確認応答を、リクエスト元のノード、AE、またはCSEに返送する。
【0241】
ステップ8で、oneM2Mサービス層は、ユーザのユーザプロファイルとリクエスト元のノード、AE、またはCSEとのリンクの完了についての通知をAEを介してユーザに送る。
【0242】
前述のデータ匿名化に係るプロセスには、このプロセスに関係するエンティティがどのようにoneM2Mドメイン内のエンティティに関係するかについての記述が含まれている。図15に、PPSとDASとを用いて私事化(匿名化)版のユーザデータを提供しつつ、サードパーティによるIoTサーバへのデータリクエストを処理する間の、関連する方法のコールフローの例を示す。この手順はoneM2Mシステムに適用可能である。アプリケーションサービスプロバイダ(ASP)が、サードパーティエンティティにユーザデータのリクエストを送らせるAEになる。このデータメッセージのリクエストは、Mcaインタフェースを介して送られるRESTful RETRIEVE動作になる。IoTサーバは、システムサーバが存在する場所、または実装の種類に応じてIN-CSE、MN-CSE、またはASN-CSEのいずれかになる。本記載のとおり、プライバシポリシサービス(PPS)がoneM2M CSFまたはPRPとして機能する。データ匿名化サービス(DAS)はoneM2Mシステム内のoneM2M CSFまたはPEP/PDPである。
【0243】
図22に、oneM2M/IoTシステムにおけるデータ匿名化手順のコールフロー図を示す。この図は、「ユーザプロファイル」リソースが作成されて、「ノード」、「AE」、または「CSE」リソースがその「ユーザプロファイル」リソースにリンクされたことを前提としている。
【0244】
ステップ1で、ASPを具現したAEがMcaインタフェースを介してoneM2MシステムにRESTful読み出しリクエストを送る。このリクエストがoneM2Mシステムに受信されると、ユーザデータのリクエストが識別される。このデータリクエストは、リクエスト元の選好度(データのカテゴリに基づいて定まる)、日付範囲、位置などを含む。
【0245】
ステップ2で、oneM2MシステムがAEからのリクエストを識別し、CSEが、AEから受け取ったリクエストに適用可能なデータ匿名化ポリシを要求する。
【0246】
ステップ3で、CSEからリクエストを受け取ると、PRPとして機能するPPSが、行政機関の法的要件/ポリシと、ユーザの選好度と、データコンシューマの選好度とをそれぞれのデータベースから検索する。これらの必要情報は別々のまたは1つのデータベースに存在している。これらの必要情報に基づいて、PPSはデータ匿名化に適用可能なポリシを策定する。
【0247】
ステップ4で、PPSは策定された匿名化ポリシをCSEに転送する。
【0248】
ステップ5で、CSEがユーザデータとポリシとをデータ匿名化サービス(DAS)に供給する。
【0249】
ステップ6で、DASがoneM2MシステムにおけるPEP/PDPとして機能する。匿名化ポリシが原ユーザデータに適用される。これにより、匿名化/私事化版のユーザデータが作成される。
【0250】
ステップ7で、DASが匿名化版のデータをCSEに転送する。
【0251】
ステップ8で、CSEは匿名化版のユーザデータを、RESTful通信を介してリクエスト元のAEに送る。この応答には、データが匿名化されたことを示す通知が含まれている。さらに、この応答は、どの匿名化技術がデータに適用されたかということも示している。AEは、データセット全体へのアクセスをリクエストすることによってこの応答に返信する。
【0252】
ある例では、PPSとDASとは、例えばゲートウェイ(またはoneM2Mの例ではMN-CSE)などのネットワークエッジにデプロイされる。これが有用となるのは、自宅所有者が自宅内に多数のIoT機器/センサをデプロイしていて、それら機器が、同様に自宅にデプロイされたゲートウェイにデータを保存するというシナリオを想定した場合である。
【0253】
ネットワークエッジデプロイメントのシナリオでは、GWのオーナは、どのようにデータを匿名化するか、およびどのデータを関連のサードパーティに公表するか、に関するポリシでGWを設定する。
【0254】
さらに、GWは、家庭内に見られる、様々なユーザ、機器、およびデータセットに対して矛盾のないエイリアスをもたらすエイリアスポリシで設定される。矛盾のないエイリアシングは、データコンシューマが週に一度機器についてのデータを読み出すシナリオにおいて重要になる。コンシューマは、データを取得する度に、読み出した情報を一週間前に得た読み出し情報と関連付ける必要がある。この種のデプロイメントには、分散データ匿名化サービスとの関連で前述した手続き型のフローが使用される。
【0255】
あるoneM2Mの実施形態例では、ユーザが、自宅のゲートウェイに登録された複数の機器(例えば、スマートウォッチ、健康監視機器置、スマートアプリケーションなど)を有している。これらの機器がADN-AEになり、ゲートウェイがMN-CSEになる。ADN-AEはMN-CSEに登録している。MN-CSE(ゲートウェイ)はoneM2Mサービスプロバイダが所有するIN-CSEに登録している。
【0256】
IN-CSEは、ユーザプロファイルをそのリソースツリー内に作成可能な、IN-AEに接続されている。IN-AEは、新たなユーザプロファイルの作成に用いられる。新しいユーザプロファイルを作成することで必然的に「ユーザプロファイル」リソースが作成される。このユーザプロファイルは、「ユーザプライバシプロファイル」サブリソースを含んでいる。「ユーザプライバシプロファイル」サブリソースは、どのサードパーティ(IN-AE)がユーザに関連するデータへのアクセスを許可されているかのリストとなっている。さらに、この「ユーザプライバシプロファイル」サブリソースは、各サードパーティ(IN-AE)からのリクエストの処理の仕方も示している。例えば、このサブリソースが、あるIN-AEを全データの閲覧が可能な認可サードパーティと特定し、別のIN-AEを制限されたサードパーティと特定することもある。このポリシはさらに、データアクセスの制限方法(例えば、IN-AEが所定のタイプのデータしか見ることができないか、または所定のタイプのデータを見ることを許容されないか、など)を示している。このポリシは、本明細書で述べた「ユーザプライバシプロファイル」のサブリソースまたは属性に規定されている。
【0257】
AND-AEの1つは、オーナの心拍数と運動活動とを追跡するスマートウォッチである。これらの値はゲートウェイに保存されてIN-CSEに報知される。
【0258】
サードパーティIN-AEの一方は、スマートウォッチのオーナが活動の概略を見ることができる健康監視アプリケーションである。このIN-AEは、ASPである場合、図16に示したデータの読み出しをリクエストする。IN-CSEがIoTサーバになり、プライバシポリシサービスとデータ匿名化サービスとがCSFになる。ステップ2で、IN-CSEがプライバシポリシサービスを呼び出すと、「ユーザプライバシプロファイル」のポリシがプライバシポリシサービスに与えられ、これを用いて健康監視システムがオーナの全データを見ることを許可することが決定される。プライバシポリシサービスにより作成されてステップ4で提供されたポリシは、IN-AEがユーザの全データにアクセス可能なことを示している。ステップ5で、このポリシが報知されたデータと併せてデータ匿名化サービスに提供される。ステップ7で、データ匿名化サービスは、ユーザの活動の全てを表すデータセットをIN-CSEに提供する。次いでこのデータがIN-AEに提供される。
【0259】
サードパーティIN-AEのもう1方は、オーナの保険料の割引が得られるようにオーナの運動活動を観察可能な健康保険アプリケーションである。しかし、オーナとしては、健康保険会社がオーナの活動の詳細(例えば、心拍数)を見ることを防ぐかもしくは制限したい意向である。このIN-AEは、ASPである場合、図16に示したデータの読み出しをリクエストする。IN-CSEがIoTサーバになり、プライバシポリシサービスとデータ匿名化サービスとがCSFになる。ステップ2で、IN-CSEがプライバシポリシサービスを呼び出すと、「ユーザプライバシプロファイル」のポリシがプライバシポリシサービスに与えられ、これを用いて健康保険会社がオーナの運動時間だけを見ることを許可され、他の健康測定項目は閲覧を許可されないことが決定される。プライバシポリシサービスにより作成されてステップ4で提示されたポリシは、IN-AEがオーナの運動時間だけを見ることを許可され、他の健康測定項目は見ることを許可されないことを示している。ステップ5で、このポリシが報知されたデータと併せてデータ匿名化サービスに提供される。ステップ7で、データ匿名化サービスは、オーナの運動時間だけを含むデータセットをIN-CSEに提供する。次いでこのデータがIN-AEに提供される。
【0260】
図23に、図11に示した例のoneM2M/IoTに特化した実装を示す。図23は、PPSとDDSとがインフラストラクチャノードのサービス層またはミドルノードのサービス層のいずれかに位置できることを示している。複数のASPがそれぞれ、Mca機器(例えば、スマートメータ)を介してIN-CSEまたはMN-CSEに接続したAEとして具現される個々のアプリケーションを備え、AEまたはCSEとして機能し、かつMcaまたはMccを介してIN-CSEまたはMS-CSEに接続している。ユーザは、AEとして示されたアプリケーションを用いて、Mcaを介してかつ加入者管理ポータルと呼ばれる特別のアプリケーションを通じてIN-CSEまたはMS-CSEに接続する。PPSとDASとは、この実装ではoneM2M/IoT共通サービス機能として存している。
【0261】
3GPP実施形態例において、3GPP 5Gコアネットワークでは、NWDAネットワーク機能が、ネットワークの性能、特定のネットワークスライス、特定のネットワーク機能、特定のユーザ、特定の機器、および/または特定の加入者に関するデータ(ユーザ、加入者、および機器の種類も併せて)を収集する。このデータは、AFとの直接インタフェースを介してサードパーティアプリケーション機能に公表される。これに加えてまたはこれに代えて、AFがNEF(Network Exposure Function)を介してリクエストを行うこともある。
【0262】
前述のとおり、サードパーティAFに公表されるデータは匿名化される必要がある。プライバシポリシサービスとデータ匿名化サービスとは仮想化ネットワーク機能として3GPP 5Gコアネットワークにデプロイされ、データがサードパーティアプリケーション機能に公表される前のデータのサニタイズを支援するために用いられる。
【0263】
プライバシポリシサービスが新しいスタンドアロンNFとしてデプロイされる。またはPPS機能が、NWDA、PCF、またはNEFなどの既存のNFと統合される。PPSは、データの匿名化方法に関するポリシをUDR(User Data Repository)に保存する。適正にポリシを策定するために、PPSは、ネットワークと、ユーザと、加入者と、サードパーティアプリケーションとのそれぞれの選好度をUDRから取得する。PPSがUDRにアクセスするとき、そのアクセスは直接アクセスまたはUDMを介したアクセスである。
【0264】
データ匿名化サービス(DAS)が新しいスタンドアロンNFとしてデプロイされる。またはPPS機能が、NWDA、PCF、またはNEFなどの既存のNFと統合される。適正にデータを匿名化するために、DASはPPSまたはUDRからプライバシポリシを取得する。これに加えてまたはこれに代えて、プライバシポリシがデータ匿名化リクエストによりDASに提供されることもある。PPSがUDRにアクセスするとき、そのアクセスは直接アクセスまたはUDMを介したアクセスになる。なお、PPS機能とDAS機能とは1つのNFに統合されてもよい。詳細例を図24に示す。また、以下で説明する。
【0265】
ステップ1で、サードパーティアプリケーション機能が、読み出しデータサービスを呼び出すことにより、一連のデータのリクエストをNWDAに送る。このリクエストは直接NWDAにアドレスして行われるか、またはNEFを介して行われる。このリクエストは少なくともAFがリクエストしているデータセットの種類を示している。このリクエスト動作はデータセット識別子を示すことによって行われる。このリクエストはさらに、AFが個々のまたはグループとしてのユーザ、加入者、機器、またはネットワークに属するデータを欲していることを示している。またこのリクエストは、認証キーであって、AFがリクエストデータを取得することを認められていることを確認するためにネットワークによってベリファイ/認証可能な認証キーを含んでいる。
【0266】
ステップ2で、NEFはこのデータリクエストとAF識別子とをNWDAに転送する。NEFは最初に、AFがデータを利用することを認められているかどうかをチェックするためにUDM/UDRMにクエリすることによってAFからのリクエストを認証する。UDM/UDRクエリはさらに提出された認証キーが正しいかどうかをベリファイする。
【0267】
ステップ3で、NWDAは、どのデータセットがリクエストされたか、誰がデータ(AF識別子)をリクエストしているか、およびデータに関連するユーザ、加入者、および機器についての通知をPPSに送る。PPSは、データに関連するユーザ、加入者、および機器に関するポリシまたは選好度を取得する。例えば、PPSは上記ポリシと選好度とをUDM/UDRから取得する。次いでPPSは、リクエストされたデータをどのように匿名化するのがよいかを示すポリシを策定する。
【0268】
ステップ4で、PPSは、ここに述べたポリシでNWDAに応答する。このポリシは、該データセットにアクセス可能でかつそのデータセットに上記ポリシを適用可能なDASの識別情報を含んでいる。なお、PPSはこのポリシをUDRなどのストレージ機能に保存していることもあり、この場合PPSは単にポリシに対する識別子(すなわちポインタ)をNWDAに提供するのみである。
【0269】
ステップ5で、NWDAは、データが匿名化されることを要求するリクエストをDASに送る。このリクエストは、データおよびポリシまたはデータおよびポリシに対するポインタを含んでいる。
【0270】
ステップ6で、DASはポリシを本記載のデータセットに適用して、匿名化されたデータをNWDAに提供する。前のステップのリクエストがデータおよび/またはポリシへのポインタを含んでいた場合は、DASは、データにポリシを適用する前に適当なストレージ機能からデータおよび/またはポリシを検索する必要がある。
【0271】
ステップ7で、NWDAは、リクエストされたデータセット(匿名化されている)でAFに応答する。この応答はNEFを介してAFに送られる。
【0272】
ステップ8で、NEFがAFに応答する。
【0273】
さらにAFからNEFへのリクエストは、AFが、所定の機器、加入者、またはユーザがネットワークに向かうトラヒック内にメタデータを挿入して、それによりAMF、SMF、およびUPFなどのNFがメタデータを収集してNWDAに転送するようにしたい、と考えていることも示している。NEFはこのリクエストをPCFに転送する。次いでPCFは、UEがメタデータをネットワークに送ることを示す、更新されたUSRPをUEに送る。UEからの分析データがNWDAに保存されると、データをサードパーティアプリケーションサーバに転送する前に図24の手順を用いてデータが匿名化される。
【0274】
あるサービス層のエンティティは、アプリケーションサービスプロバイダから、サービス層のエンティティの特定のユーザに関連するデータにアクセスするリクエストを受け取り、そのデータアクセスリクエストに基づいて1つ以上のプライバシポリシが該特定のユーザに関連していることを確認し、その1つ以上のプライバシポリシを検索し、該1つ以上のプライバシポリシに基づいて、アプリケーションサービスプロバイダが上記特定のユーザの1つ以上の識別特徴を確認することを防ぐ匿名化データセットを作成し、かつその匿名化データセットをアプリケーションサービスプロバイダに送るように構成される。
【0275】
匿名化データセットの作成は、データの少なくとも一部を削除することとデータの少なくとも一部を変更することとのいずれかまたは両方を含む。データの少なくとも一部の変更は、データの少なくとも一部の省略と、データの少なくとも一部の置き換えと、データの少なくとも一部のシャッフルと、データの少なくとも一部の暗号化との1つ以上を含む。1つ以上のプライバシポリシは、特定のユーザに関連する1つ以上のユーザポリシと、1つ以上のアプリケーションサービスプロバイダポリシと、1つ以上の法的ポリシとを含む。特定のユーザに関連するデータにアクセスするリクエストは、アプリケーションサービスプロバイダに関連する1つ以上の特徴を含む。匿名化データセットの送信には、データが匿名化されていることの通知と、データの匿名化に用いられた匿名化技術の通知とのいずれかまたは両方をアプリケーションサービスプロバイダに送信することを含む。サービス層のエンティティはさらに、少なくともアプリケーションサービスプロバイダに関連する1つ以上の特徴に基づいて、特定のユーザに関連する複数のプライバシポリシの内の1つ以上を選択するように構成される。
【0276】
あるサービス層のエンティティは、1つ以上のデータアクセスパラメータを初期化し、1つ以上のプライバシポリシをプライバシポリシサービスから検索し、該1つ以上のプライバシポリシをサービス層のエンティティに保存し、サービス層のエンティティに保存されたデータの少なくとも一部にアクセスするリクエストをアプリケーションサービスプロバイダから受け取り、保存されたプライバシポリシの1つ以上が上記データの一部に適用可能であることを確認し、その1つ以上のプライバシポリシに基づいて該データの一部を匿名化してアプリケーションサービスプロバイダが前記データの一部に関連する特定のユーザの1つ以上の識別特徴を確認することを防ぎ、かつその匿名化されたデータをアプリケーションサービスプロバイダに送るように構成される。
【0277】
データの匿名化は、データの少なくとも一部を削除することとデータの少なくとも一部を変更することとのいずれかまたは両方を含む。データの少なくとも一部の変更は、データの少なくとも一部の省略と、データの少なくとも一部の置き換えと、データの少なくとも一部のシャッフルと、データの少なくとも一部の暗号化との1つ以上を含む。1つ以上のプライバシポリシは、特定のユーザに関連する1つ以上のユーザポリシと、1つ以上のアプリケーションサービスプロバイダポリシと、1つ以上の法的ポリシとを含む。1つ以上のデータアクセスパラメータはサービス層登録手順の一部として初期化される。データの一部にアクセスするリクエストは、アプリケーションサービスプロバイダに関連する1つ以上の特徴を含む。匿名化データセットの送信には、データが匿名化されていることの通知と、データの匿名化に用いられた匿名化技術の通知とのいずれかまたは両方をアプリケーションサービスプロバイダに送信することを含む。サービス層のエンティティはさらに、少なくともアプリケーションサービスプロバイダに関連する1つ以上の特徴に基づいて、サービス層のエンティティに保存されたプライバシポリシの所定の1つを選択するように構成される。
【0278】
あるサービス層のエンティティは、機器と1つ以上のユーザプロファイルとのリンクの指示を含むリンクリクエストを機器から受け取り、その機器をそのサービス層のエンティティに登録し、上記リンクリクエストに基づく通知を加入者管理ポータルに送り、1つ以上のユーザプロファイルに関連するユーザがリンクリクエストを承認したことの通知を加入者管理ポータルから受け取り、かつ該サービス層のエンティティにおいて機器と1つ以上のユーザプロファイルとをリンクするように構成される。
【0279】
リンクリクエストはキーを含む。サービス層のエンティティは、機器から受け取ったリンクキーがユーザプロファイルに関連するリンクキーに整合することを確認するように構成される。サービス層のエンティティは、機器と1つ以上のユーザプロファイルとがリンクされたことの通知を、機器と加入者管理ポータルとのいずれかまたは両方に送るように構成される。機器は、ユーザ機器と、アプリケーションと、サービス層のエンティティとのいずれかである。
【0280】
サービス層、サービス層機器、サービス層アプリケーション、およびアプリケーションエンティティなどの、図5、6、9~17、および19~24に示した諸ステップを実行するエンティティは全て、ソフトウェア(すなわち、コンピュータで実行可能な命令)の形で実装される論理エンティティであって、図25Cに示したような無線および/またはネットワーク通信用に構成された装置または図25Dに示したようなコンピュータシステムのメモリに保存されてそのプロセッサで実行される論理エンティティである。すなわち、図5、6、9~17、および19~24に示した方法は、図25Cまたは図25Dに示した装置またはコンピュータシステムなどの装置のメモリに保存されたソフトウェア(すなわち、コンピュータで実行可能な命令)の形で実装され、そのコンピュータで実行可能な命令は、装置のプロセッサによって実行されると、図5、6、9~17、および19~24に示した諸ステップを実行する。図5、6、9~17、および19~24に示した送信と受信とのステップは、装置のプロセッサとそのプロセッサが実行するコンピュータで実行可能な命令(例えば、ソフトウェア)の制御の下で装置/エンティティの通信回路によって実行される。
【0281】
図25Aは、1つ以上の本開示の実施形態が実施される、マシンツーマシン(M2M)、モノのインターネット(IoT)、またはモノのウェブ(WoT)通信システム10の一例を示す図である。一般に、M2M技術によりIoT/WoTの構成要素が与えられ、あらゆるM2M機器、M2Mゲートウェイ、M2Mサーバ、またはM2MサービスプラットフォームはIoT/WoTならびにIoT/WoTサービス層などのコンポーネントまたは装置になる。図1~図24の全てに示したエンティティはいずれも、例えば、図25A~図25Dに示したような、通信システムのネットワーク装置を含む。
【0282】
サービス層はネットワークサービスアーキテクチャ内の機能層である。サービス層は通常HTTP、CoAP、またはMQTTなどのアプリケーションプロトコル層の上に位置して、付加価値サービスをクライアントアプリケーションに提供する。さらにサービス層は、例えば、制御層やトランスポート/アクセス層などの、下位のリソース層のコアネットワークにインタフェースを提供する。サービス層は、サービスの定義、サービスランタイムイネーブルメント、ポリシ管理、アクセス制御、およびサービスクラスタリングを含む、複数のカテゴリの(サービス)機能をサポートする。近年、いくつかの業界標準団体(例えば、oneM2Mなど)によりM2Mサービス層が開発されており、これによりM2Mタイプの機器とアプリケーションとを、インターネット/ウェブネットワーク、セルラネットワーク、企業ネットワーク、およびホームネットワークなどのデプロイメントに統合することに伴う課題の解決が図られている。M2Mサービス層は、アプリケーションおよび/または種々の機器に、該サービス層にサポートされた一連の上述の機能へのアクセスを提供するもので、CSEまたはSCL(サービス機能層:Service Capability Layer)とも呼ばれる。数種の例として、限定するものではないが、様々なアプリケーションで一般に用いられる、セキュリティ、課金、データ管理、機器管理、ディスカバリ、プロビジョニング、および接続性管理がある。これらの機能は、APIを介して、M2Mサービス層に規定されたメッセージフォーマット、リソース構造、およびリソース表現を用いるアプリケーションに利用できるようにされる。CSEまたはSCLは、ハードウェアおよび/またはソフトウェアによって実施される機能エンティティであって、公表される(サービス)機能を種々のアプリケーションおよび/または機器(すなわち、上記機能エンティティ間の機能インタフェース)に提供してそれらアプリケーション等が前記機能を使えるようにする機能エンティティである。
【0283】
図25Aに示したとおり、M2M/IoT/WoT通信システム10は通信ネットワーク12を備えている。通信ネットワーク12は、固定ネットワーク(例えば、Ethernet(登録商標)、Fiber、ISDN(integrated service digital network)、PLC(Power Line Communication)など)、または無線ネットワーク(例えば、WLAN、セルラなど)、または異機種ネットワークである。例えば、通信ネットワーク12は、多重アクセスネットワークであって、音声、データ、映像、メッセージング、放送などのコンテンツを複数のユーザに提供する多重アクセスネットワークからなる。例えば、通信ネットワーク12は、符号分割多重アクセス(CDMA)、時分割多重アクセス(TDMA)、周波数分割多重アクセス(FDMA)、直交FDMA(OFDMA)、単一キャリアFDMA(SC-FDMA)などの1つ以上のチャネルアクセス方式を用いる。さらに、通信ネットワーク12は、例えば、コアネットワーク、インターネット、センサネットワーク、産業用制御ネットワーク、パーソナルエリアネットワーク、融合パーソナルネットワーク、衛星ネットワーク、または企業ネットワークなどの他のネットワークを含む。
【0284】
図25Aに示したとおり、M2M/IoT/WoT通信システム10はインフラストラクチャドメインとフィールドドメインとを備えている。インフラストラクチャドメインとは終端間M2Mデプロイメントのネットワーク側を指し、フィールドドメインとは(通常はM2Mゲートウェイの背後にある)エリアネットワークを指す。フィールドドメインとインフラストラクチャドメインとは共にネットワークの様々なネットワーク装置(例えば、サーバ、ゲートウェイ、機器など)を含む。例えば、フィールドドメインはM2Mゲートウェイ14と機器18とを含む。任意の数のM2Mゲートウェイ機器14とM2M機器18とが前述のM2M/IoT/WoT通信システム10に含まれることは明らかである。M2Mゲートウェイ機器14とM2M機器18とはそれぞれ、通信回路を用いて、通信ネットワーク12または直接無線リンクを介して信号を送受信するように構成される。
【0285】
M2Mゲートウェイ機器14によって、無線M2M機器(例えば、セルラおよび非セルラなど)ならびに固定ネットワークM2M機器(例えば、PLCなど)が、通信ネットワーク12または直接無線リンクなどのオペレータネットワークのいずれかを通じて通信することができる。例えば、M2M機器18はデータを集め、そのデータを通信ネットワーク12または直接無線リンクを介してM2Mアプリケーション20または他のM2M機器18に送る。さらにM2M機器18はM2Mアプリケーション20またはある所定のM2M機器18からデータを受け取る。さらに、下記のとおり、データと信号とがM2Mサービス層22を介してM2Mアプリケーション20に対して送受信される。M2M機器18とゲートウェイ14とは、例えば、セルラ、WLAN(wireless local area network)、WPAN(wireless personal area network)(例えば、Zigbee(登録商標)、6LoWPAN、Bluetooth(登録商標)など)、直接無線リンク、および有線などの、様々なネットワークを介して通信を行う。M2M機器の例として、限定はしないが、タブレット、スマートフォン、医療機器、温度および天候モニタ、コネクティッド・カー、スマートメータ、ゲーム機、携帯情報端末、健康とフィットネスとのモニタ、照明、サーモスタット、電気器具、ガレージドアおよびその他のアクチュエータに基づく機器、防犯機器、およびスマートアウトレットがある。
【0286】
図25Bを参照する。フィールドドメインに示したM2Mサービス層22は、M2Mアプリケーション20と、M2Mゲートウェイ14と、M2M機器18と、通信ネットワーク12とにサービスを提供する。M2Mサービス層22は所望に応じて、任意の数のM2Mアプリケーション、M2Mゲートウェイ14、M2M機器18、および通信ネットワーク12と通信可能なことは明らかである。M2Mサービス層22は、ネットワークにおけるサーバ、コンピュータ、および機器などの、1つ以上のネットワーク装置によって実現される。M2Mサービス層22は、M2M機器18、M2Mゲートウェイ14、およびM2Mアプリケーション20に付与されるサービス機能を提供する。M2Mサービス層22の機能は、セルラコアネットワークやクラウド内などにおいて、例えばウェブサーバなどの様々な方式で実装される。
【0287】
インフラストラクチャドメインには、M2Mサービス層22に類似したM2Mサービス層22’が存在する。M2Mサービス層22’は、インフラストラクチャドメイン内のM2Mアプリケーション20’と下位の通信ネットワーク12とにサービスを提供する。さらにM2Mサービス層22’はフィールドドメイン内のM2Mゲートウェイ14とM2M機器18とにサービスを提供する。M2Mサービス層22’は、任意の数のM2Mアプリケーション、M2Mゲートウェイ、およびM2M機器と通信可能なことは明らかである。M2Mサービス層22’は異なるサービスプロバイダによってサービス層と情報のやりとりを行う。M2Mサービス層22’は、ネットワークにおけるサーバ、コンピュータ、機器、バーチャル・マシン(例えば、クラウドコンピューティング/ストレージファームなど)などの、1つ以上のネットワーク装置によって実現される。
【0288】
さらに図25Bを参照する。M2Mサービス層22、22’は、多様なアプリケーションとバーティカルとが影響を与える、サービス提供機能のコアセットを提供する。これらのサービス機能により、M2Mサービス層20、20’は、機器類と情報交換を行って、データ収集、データ分析、データ管理、保全、請求、サービス/機器のディスカバリなどの機能を実行することができる。実質的に、これらのサービス機能によって上記機能を実行する重荷からアプリケーションが解放されるので、アプリケーションの開発が簡単になり、市販化のコストと時間が低減される。さらにM2Mサービス層22、22’によって、M2Mアプリケーション20、20’は、サービス層22、22’が提供するサービスに接続したネットワーク12などの、様々なネットワークを通じて通信を行うことができる。
【0289】
M2Mアプリケーション20、20’は、限定はしないが、運輸、健康、コネクテッドホーム、エネルギ管理、資産管理、およびセキュリティならびにサーベイランスなどの様々な産業におけるアプリケーションを含む。前述のとおり、M2Mサービス層は機器、ゲートウェイ、サーバ、およびシステムにおけるその他のネットワーク装置にわたって動作し、例えば、データ収集、機器管理、セキュリティ、請求、位置の追跡/ジオフェンシング、機器/サービスのディスカバリ、およびレガシーシステムの統合などの機能をサポートし、かつこれらの機能をサービスとしてM2Mアプリケーション20、20’に提供する。
【0290】
一般に、図25Bに示したサービス層22、22’などのサービス層により、一連のアプリケーションプログラミングインタフェース(API)と下位のネットワークインタフェースとを通じて付加価値機能をサポートする、ソフトウェア(ミドルウェア)層が規定される。ETSI M2MアーキテクチャとoneM2Mアーキテクチャとは共にサービス層を規定する。ETSI M2Mのサービス層はサービス機能層(SCL)と呼ばれる。SCLは、ETSI M2Mアーキテクチャの様々な異なるノードで具現される。例えば、サービス層のインスタンスは、M2M機器(機器SCL(DSCL)と呼ばれる)、ゲートウェイ(ゲートウェイSCL(GSCL)と呼ばれる)、および/またはネットワークノード(ネットワークSCL(NSCL)と呼ばれる)内で実装される。oneM2Mサービス層は一連の共通サービス機能(CSF)(すなわち、サービス機能(service capabilities))をサポートする。一連の1つ以上の特定タイプのCSFをインスタンス化したものは共通サービスエンティティ(CSE)と呼ばれ、このエンティティは、種々のタイプのネットワークノード(例えば、インフラストラクチャノード、ミドルノード、特定用途向けノードなど)で動作する。第3世代パートナシッププロジェクト(3GPP)もマシンタイプコミュニケーション(MTC)のアーキテクチャを規定している。このアーキテクチャでは、サービス層とサービス層が提供するサービス機能とはサービス機能サーバ(SCS)の一部として実装される。ETSI M2MアーキテクチャのDSCL、GSCL、またはNSCL、3GPP MTCアーキテクチャのサービス機能サーバ(SCS)、oneM2MアーキテクチャのCSFまたはCSE、またはその他のネットワークノードのいずれで実施された場合でも、サービス層のインスタンスは論理エンティティ(例えば、ソフトウェア、コンピュータで実行可能な命令など)であって、サーバ、コンピュータ、およびその他のコンピュータ機器またはノードなどの、ネットワークにおける1つ以上のスタンドアロンノードのいずれかで実行される論理エンティティとして、または1つ以上の既存のノードの一部として実装される。一例として、サービス層またはそのサービス層のコンポーネントのインスタンスは、以下に述べる図25Cまたは図25Dに示す一般的アーキテクチャを有するネットワーク装置(例えば、サーバ、コンピュータ、ゲートウェイ、機器など)上で走るソフトウェアの形で実装される。
【0291】
さらに、本記載の方法と機能とは、サービス指向アーキテクチャ(SOA)および/またはリソース指向アーキテクチャ(ROA)を用いてサービスにアクセスするM2Mネットワークの一部として実装される。
【0292】
デプロイメントの面では、サービス層は、本記載の様々な形態で示したサーバ、ゲートウェイ、および機器を含む様々なタイプのネットワークノードにデプロイされる。サービス層の機能を実装した、もしくはサービス層のインスタンスを組み込んだ通信ネットワークの、このようなノード、サーバ、ゲートウェイ、機器、装置、または他の論理エンティティはいずれも本明細書ではサービス層のエンティティと呼ばれる。
【0293】
図25Cは、図25Aおよび図25Bに示したネットワークなどのM2MネットワークにおけるM2Mサーバ、ゲートウェイ、機器、または他のネットワーク装置として動作する、図1~24に示したエンティティのいずれかなどの、ネットワークの装置のハードウェア/ソフトウェアアーキテクチャの一例のブロック図である。図25Cに示したとおり、ネットワーク装置30は、プロセッサ32、非着脱式メモリ44、着脱式メモリ46、スピーカ/マイクロフォン38、キーパッド40、ディスプレイ、タッチパッド、および/またはインディケータ42、電源48、全地球測位システム(GPS)チップセット50、および他の周辺機器52を備えている。ネットワーク装置30はさらに、トランシーバ34と送受信素子36などの通信回路を備えている。ネットワーク装置30が、実施形態と矛盾することなく前述の部品の任意のサブコンビネーションを備え得ることは言うまでもない。このネットワーク装置は、図5、6、9~17、および19~24との関連で説明した諸操作などの、本記載のデータ匿名化方法を実施する装置である。
【0294】
プロセッサ32として、汎用プロセッサ、特定用途向けプロセッサ、従来型プロセッサ、デジタルシグナルプロセッサ(DSP)、複数のマイクロプロセッサ、DSPコアに付随した1つ以上マイクロプロセッサ、コントローラ、マイクロコントローラ、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)、その他各種の集積回路(IC)、状態機械などがある。一般に、プロセッサ32は、ネットワーク装置の様々な要求機能を果たすために、ネットワーク装置のメモリ(例えば、メモリ44および/またはメモリ46)に保存されたコンピュータで実行可能な命令を実行する。例えば、プロセッサ32は、信号コーディング、データ処理、電力制御、入出力処理、および/またはネットワーク装置30が無線または有線環境で動作できるようにする他の各種機能を実行する。プロセッサ32は、アプリケーション層のプログラム(例えば、ブラウザ)および/または無線アクセス層(RAN)のプログラムおよび/または他の通信プログラムを実行する。さらにプロセッサ32は、例えば、アクセス層および/またはアプリケーション層などにおいて、認証、セキュリティキーの承諾、および/または暗号動作などのセキュリティ動作を行う。
【0295】
図25Cに示したとおり、プロセッサ32は通信回路(例えば、トランシーバ34と送受信素子36)に接続されている。プロセッサ32がコンピュータで実行可能な命令の実行を通じて通信回路を制御することで、ネットワーク装置30が該装置30に接続されたネットワークを介して他のネットワーク装置と通信する。特に、プロセッサ32は通信回路を制御して本明細書(例えば、図5、6、9~17、および19~24に図示)ならびに請求の範囲に記載の送受信ステップを実行する。図25Cではプロセッサ32とトランシーバ34とは別々の構成要素として示されているが、プロセッサ32とトランシーバ34とは1つの電子パッケージまたはチップに集積してもよい。
【0296】
送受信素子36は、M2Mサーバ、ゲートウェイ、機器などの、他のネットワーク装置に信号を送信する、または該ネットワーク装置から信号を受信するように構成される。例えば、一実施形態において、送受信素子36は、RF(無線周波数)信号を送信および/または受信するように構成されたアンテナである。送受信素子36は、WLAN、WPAN、セルラなどの様々なネットワークおよびエアインタフェースをサポートする。一実施形態において、送受信素子36は、例えば、IR、UV、または可視光の信号を送信および/または受信するように構成されたエミッタ/ディテクタである。さらに別の実施形態において、送受信素子36はRF信号と光信号との両方を送受信するように構成される。送受信素子36は、任意の組み合わせによる無線または有線信号を送信および/または受信するように構成可能なことは明らかである。
【0297】
さらに、図25Cでは送受信素子36は1つの素子として図示されているが、ネットワーク装置30は任意の数の送受信素子36を含むことができる。より詳細には、ネットワーク装置30はMIMO技術を採用している。したがって、ある実施形態では、ネットワーク装置30は2つ以上の送受信素子36(例えば、複数のアンテナ)を備えて無線信号の送受信を行っている。
【0298】
トランシーバ34は、送受信素子36が送信する信号を変調すると共に、送受信素子36が受信した信号を復調する。前述したとおり、ネットワーク装置30は多モードの機能を有している。したがって、トランシーバ34は複数のトランシーバを含んでおり、それによりネットワーク装置30が、例えば、UTRA(Universal Terrestrial Radio Access)およびIEEE 802.11などの、複数のRAT(Remote Administration Tool)を介して通信できるようになっている。
【0299】
プロセッサ32は、非着脱式メモリ44および/または着脱式メモリ46などの、各種の適当なメモリから情報にアクセスすると共に、そのメモリにデータを保存する。例えば、プロセッサ32は、上述のメモリにセッションコンテキストを保存する。非着脱式メモリ44として、ランダムアクセスメモリ(RAM)、読み出し専用メモリ(ROM)、ハードディスク、およびその他の各種記憶装置がある。着脱式メモリ46として、加入者識別モジュール(SIM)カード、メモリスティック、セキュアデジタル(SD)メモリカードなどがある。他の実施形態において、プロセッサ32は、サーバやホームコンピュータなどの、ネットワーク装置30に物理的に位置していないメモリから情報にアクセスすると共に、そのメモリにデータを保存する。プロセッサ32は、ディスプレイまたはインディケータ42の点灯パターン、画像、または色彩を制御して装置の状態を反映または装置を設定するように構成されている。前記装置として、特に下位のネットワーク、アプリケーション、またはネットワーク装置と通信する他のサービスがある。ある実施形態では、ディスプレイ/インディケータ42がグラフィカルユーザインタフェースになっている。
【0300】
プロセッサ32は電源48から電力を受けて、その電力をネットワーク装置30の他のコンポーネントに分配するか、制御するか、またはその両方を行うように構成される。電源48は、ネットワーク装置30に電力を供給する任意の適当な機器である。例えば、電源48として、1つ以上のドライセル電池(例えば、ニッケル-カドミウム(NiCd)電池、ニッケル-亜鉛(NiZn)電池、ニッケル水素(NiMH)電池、リチウムイオン(Li-ion)電池など)、太陽電池、燃料電池などがある。
【0301】
さらにプロセッサ32は、ネットワーク装置30の現在位置に関する位置情報(例えば、経度と緯度)を与えるように構成された、GPSチップセット50に接続されることもある。ネットワーク装置30が、実施形態と矛盾することなく適当な位置決定法によって位置情報を取得し得ることは明らかである。
【0302】
さらにプロセッサ32は、1つ以上のソフトウェアおよび/またはハードウェアモジュールで構成されるその他の周辺機器52に接続され、これにより付加的な特徴、機能、および/または有線もしくは無線による接続性がもたらされる。例えば、周辺機器52として、加速度計や生体認証(例えば、指紋など)センサなどの各種センサ、電子コンパス、衛星トランシーバ、センサ、デジタルカメラ(写真用または映像用)、ユニバーサルシリアルバス(USB)ポートまたは他の相互接続インタフェース、振動機器、テレビ用トランシーバ、ハンズフリーヘッドセット、ブルートゥース(登録商標)モジュール、周波数変調(FM)無線装置、デジタル音楽プレーヤ、メディアプレーヤ、ビデオゲームプレーヤモジュール、インターネットブラウザなどがある。
【0303】
ネットワーク装置30は、他の装置または機器としても実施される。例えば、センサ、家庭用電化製品、スマートウォッチやスマートクロージングなどのウェアラブル機器、医療機器またはEヘルス機器、ロボット、産業機器、ドローン、乗用車、トラック、電車、飛行機などの乗り物などである。ネットワーク装置30は、周辺機器52のいずれかで構成される相互接続インタフェースなどの1つ以上の相互接続インタフェースを介して、その他のコンポーネント、その他のモジュール、または上記装置または機器のシステムに接続する。
【0304】
図25Dは、コンピュータシステム90であって、図25Aおよび図25Bに示したネットワークなどのM2MネットワークにおけるM2Mサーバ、ゲートウェイ、機器、または他のネットワーク装置として動作する、図1~24に示しかつ本明細書で説明したエンティティなどの、ネットワークにおける1つ以上のネットワーク装置の実現に使用されるコンピュータシステム90の一例のブロック図である。
【0305】
コンピュータシステム90はコンピュータまたはサーバを有し、主にソフトウェアの形のコンピュータ読み取り可能な命令であって、何処で、またはどのような手段で、そのソフトウェアが保存またはアクセスされたとしても、その命令により制御される。このコンピュータ読み取り可能な命令は、中央処理装置(CPU)91などのプロセッサ内で実行されて、コンピュータシステム90を動作させる。多くの公知のワークステーション、サーバ、および個人用コンピュータにおいて、中央処理装置91は、マイクロプロセッサと呼ばれる単チップのCPUにより実現される。別の装置では、中央処理装置91は複数のプロセッサで構成される。コプロセッサ81は、追加機能を実行するかまたはCPU91を支援する、メインのCPU91とは別のオプションのプロセッサである。CPU91および/またはコプロセッサ81が、本開示のシステムおよび方法に関するデータを受信、作成、および処理する。
【0306】
動作として、CPU91は命令をフェッチ、デコード、および実行して、コンピュータのメインデータ転送経路であるシステムバス80を介して、他のリソースと情報を送受信する。このシステムバスはコンピュータシステム90のコンポーネント同士を接続して、データ交換用の媒体を画定する。通常システムバス80は、データ送信用のデータラインと、アドレス送信用のアドレスラインと、割り込み送信およびシステムバス操作用の制御ラインとを備えている。このシステムバス80の一例としてPCI(周辺構成要素相互接続)バスがある。
【0307】
システムバス80に接続したメモリはランダムアクセスメモリ(RAM)82と読み出し専用メモリ(ROM)93とを備えている。これらのメモリは、情報の保存および検索を可能にする回路を含む。ROM93は通常、簡単には変更できない保存データを含んでいる。RAM82に保存されたデータは、CPU91または他のハードウェア機器によって読み出しまたは変更される。RAM82および/またはROM93へのアクセスはメモリコントローラ92によって制御される。メモリコントローラ92により、命令が実行されると仮想アドレスを物理アドレスに変換するアドレス変換機能が与えられる。さらにメモリコントローラ92により、システム内でプロセス同士を分離してシステムプロセスをユーザプロセスから切り離す、メモリ保護機能が与えられる。このため、第1モードで作動するプログラムはそれ自身のプロセスの仮想アドレス空間によってマッピングされたメモリにのみアクセスし、プロセス間のメモリ共有が設定されない限り他のプロセスの仮想アドレス空間内のメモリにアクセスすることはできない。
【0308】
また、コンピュータシステム90は、プリンタ94、キーボード84、マウス95、およびディスクドライブ85などの周辺機器へのCPU91からの命令の通信に関わる周辺機器コントローラ83を含む。
【0309】
ディスプレイコントローラ96によって制御されるディスプレイ86を用いて、コンピュータシステム90により生成された視覚的出力情報が表示される。この視覚的出力情報は、テキスト、グラフィックス、動画グラフィックス、および映像を含む。ディスプレイ86は、CRTベースのビデオディスプレイ、LCDベースのフラットパネルディスプレイ、ガスプラズマベースのフラットパネルディスプレイ、またはタッチパネルによって具現される。ディスプレイコントローラ96は、ディスプレイ86に送られるビデオ信号の生成に必要な電子コンポーネントである。ディスプレイ86と、CPU91により実行されるコンピュータで実行可能な命令との組み合わせにより、図25Dと関連の説明により図示および説明したグラフィカルユーザインタフェースが作成および操作される。
【0310】
さらに、コンピュータシステム90は、例えば、ネットワークアダプタ97などの通信回路を含む。この通信回路を用いてコンピュータシステム90が、図25A~図25Dのネットワーク12などの外部通信ネットワークに接続されて、コンピュータシステム90と外部通信ネットワークの他の装置との通信が可能になる。この通信回路を単独またはCPU91と組み合わせて用いて、本明細書(例えば、図5、6、9~17、および19~24)ならびに請求の範囲に示した諸ステップの送受信が行われる。
【0311】
本明細書記載のシステム、方法、およびプロセスはいずれも、コンピュータ可読の記憶媒体に保存されたコンピュータで実行可能な命令(すなわち、プログラムコード)の形で実施される。この命令は、例えば、M2Mのサーバ、ゲートウェイ、機器を含むM2Mネットワークの装置などの装置により実行されると、本明細書記載のシステム、方法、およびプロセスを実行および/または実施する。すなわち、前述のステップ、動作、または機能のいずれもコンピュータで実行可能な命令の形で実施される。コンピュータ可読の記憶媒体は、あらゆる非一時的(すなわち、有形の(物理的な))情報記憶方法または技術で実施される、揮発性と不揮発性との両方の媒体および着脱式と非着脱式との両方の媒体を含む。ただし、信号はこのコンピュータ可読記憶媒体には含まれない。コンピュータ可読の記憶媒体として、限定はしないが、RAM、ROM、EEPROM、フラッシュメモリ、または他のメモリ技術、CD-ROM、デジタル多用途ディスク(digital versatile disk:DVD)、または他の光ディスクストレージ、磁気カセット、磁気テープ、磁気ディスク、または他の磁気ストレージ機器、およびその他の所望の情報の保存に使用されてコンピュータによりアクセスされる有形の(すなわち物理的な)媒体がある。
【0312】
表12に、以上の説明におけるサービス層技術に関する頭字語のリストを示す。特段の指定がない限り、本明細書で用いる頭字語は下表に示した対応する語句を指す。
【0313】
【表12】
【0314】
以下に詳細な説明で用いた用語の説明と定義例を示す。
【0315】
データセットの一部分
住所は町区名だけを示すように変更される。住所番号は示されず、ダミー値と交換される。
住所は町区名だけを示すように変更される。住所番号は示されず、ダミー値と交換される。
【0316】
省略化データセット
人名は頭字語、イニシャル、短縮形などに変更される。
人名は頭字語、イニシャル、短縮形などに変更される。
【0317】
サニタイズ化データセット
データセットからデータが除かれる、ならびに/または重要なデータが除かれるようにデータが変更される。
データセットからデータが除かれる、ならびに/または重要なデータが除かれるようにデータが変更される。
【0318】
置き換えデータセット
人名を乱数、一般名、エイリアス、略語などと置き換える。なお、「置き換え」と「エイリアシング」とに関する語句は本文書では互換的に使用される。
人名を乱数、一般名、エイリアス、略語などと置き換える。なお、「置き換え」と「エイリアシング」とに関する語句は本文書では互換的に使用される。
【0319】
シャッフルデータセット
置き換えに類似しているが、固定ドメイン(例えば、郵便番号)内のデータ間にデータが記録されていて、データ同士の間で無作為にデータが交換される。シャッフルデータセットは変更データの一種である。例えば、郵便番号19128の住民(世帯)間の平均水消費量データをシャッフルしても、ユーザのプライバシを侵害することなく水消費量の中央値および平均値などの有意な統計データを得ることができる。
置き換えに類似しているが、固定ドメイン(例えば、郵便番号)内のデータ間にデータが記録されていて、データ同士の間で無作為にデータが交換される。シャッフルデータセットは変更データの一種である。例えば、郵便番号19128の住民(世帯)間の平均水消費量データをシャッフルしても、ユーザのプライバシを侵害することなく水消費量の中央値および平均値などの有意な統計データを得ることができる。
【0320】
暗号化データセット
人物のデータをキーによって暗号化することができる。当該キーを有するアプリケーションサービスプロバイダだけがデータを暗号化することができる。
人物のデータをキーによって暗号化することができる。当該キーを有するアプリケーションサービスプロバイダだけがデータを暗号化することができる。
【0321】
データ主体
あるデータが属するエンティティ。例えば、医療記録のデータ主体は患者になる。
あるデータが属するエンティティ。例えば、医療記録のデータ主体は患者になる。
【0322】
ユーザ
自然人または人間。
自然人または人間。
【0323】
ネットワーク機能(NF)
機能的挙動を規定しかつインタフェースを画定したネットワークにおける処理機能。NFは、専用ハードウェアにおけるネットワーク要素、専用ハードウェア上で走るソフトウェアインスタンス、または適当なプラットフォーム上で(例えば、クラウドインフラストラクチャ上で)インスタンス化された仮想機能、のいずれかとして実施される。
機能的挙動を規定しかつインタフェースを画定したネットワークにおける処理機能。NFは、専用ハードウェアにおけるネットワーク要素、専用ハードウェア上で走るソフトウェアインスタンス、または適当なプラットフォーム上で(例えば、クラウドインフラストラクチャ上で)インスタンス化された仮想機能、のいずれかとして実施される。
【0324】
データの匿名化技術とサニタイズ技術との例として、限定はしないが、シャフリング、フィルタリング、マスキング、およびエイリアシングがある。フィルタリングの例としてデータの除去がある。マスキングの例としてデータセットの一部分の除去がある(例えば、6789 3rd Ave.をマスキングするとXXXX 3rd Ave.になる)。エイリアシングの例として名前をエンティティに割り当てし直すことがある(例えば、ユーザ Bobはユーザ-Aに変更され、機器door-lockは機器-1に変更される)。
【0325】
本明細書は、最良の形態を含む実施例を用いて本発明を開示すると共に、当業者による本発明の実施であって、全ての機器またはシステムを作製および利用すること、ならびに全ての包含された方法を実行することを含む発明の実施を可能にするものである。本発明の特許範囲は請求の範囲によって定義され、当業者が考え得る他の実施例も含み得るものである。それら他の実施例は、それらが本請求の範囲の文言から逸脱しない要素を有する場合、あるいは本請求の範囲の文言と実質的に相違のない等価な要素を含む場合は、本発明の範囲内にあるものとする。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25A】
【図25B】
【図25C】
【図25D】