IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 株式会社東芝

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社東芝の特許一覧

特許7441157データ管理方法、コンピュータプログラム及びデータ管理システム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-02-20
(45)【発行日】2024-02-29
(54)【発明の名称】データ管理方法、コンピュータプログラム及びデータ管理システム
(51)【国際特許分類】
   G06F 21/62 20130101AFI20240221BHJP
【FI】
G06F21/62
【請求項の数】 18
(21)【出願番号】P 2020186046
(22)【出願日】2020-11-06
(65)【公開番号】P2022075328
(43)【公開日】2022-05-18
【審査請求日】2023-02-17
(73)【特許権者】
【識別番号】000003078
【氏名又は名称】株式会社東芝
(74)【代理人】
【識別番号】100091487
【弁理士】
【氏名又は名称】中村 行孝
(74)【代理人】
【識別番号】100105153
【弁理士】
【氏名又は名称】朝倉 悟
(74)【代理人】
【識別番号】100107582
【弁理士】
【氏名又は名称】関根 毅
(74)【代理人】
【識別番号】100118876
【弁理士】
【氏名又は名称】鈴木 順生
(72)【発明者】
【氏名】小美濃 つかさ
(72)【発明者】
【氏名】米村 智子
(72)【発明者】
【氏名】花谷 嘉一
(72)【発明者】
【氏名】山口 泰平
(72)【発明者】
【氏名】小松 みさき
【審査官】平井 誠
(56)【参考文献】
【文献】国際公開第2020/122095(WO,A1)
【文献】特表2006-507604(JP,A)
【文献】特開2020-181275(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/00-88
G06Q 50/10
(57)【特許請求の範囲】
【請求項1】
個人に関するデータである第1データに対して処理を行うことを要求する、前記第1データの所有者を識別する所有者識別子を含む第1要求情報を受信し、
データの所有者が前記データの処理を行うことに同意する条件と、前記所有者を識別する所有者識別子と、同意情報を識別する同意情報識別子と、を含む前記同意情報を保持する第1記憶システムから、前記第1要求情報に含まれる前記所有者識別子に一致する所有者識別子を含む第1同意情報を取得し、
前記第1要求情報と、前記第1同意情報に含まれる前記条件とに基づき、前記第1データに対する前記処理の実行可否を判定し、
前記実行可否の判定結果に応じて前記第1データに対し前記処理を行った場合に、前記処理の内容と、前記第1データの属性情報と、前記処理の実行可否の判定に用いられた前記第1同意情報の前記同意情報識別子とを含む記録情報を生成し、
前記記録情報を、前記記録情報を記憶する第2記憶システムに提供する
ことをコンピュータにより実行するデータ管理方法。
【請求項2】
前記第1要求情報が前記第1同意情報に含まれる前記条件を満たす場合に、前記処理の実行を許可する
請求項1に記載のデータ管理方法。
【請求項3】
前記第1要求情報が前記第1データの一部についてのみ前記条件を満たす場合、前記第1データの一部に対してのみ、前記処理の実行を許可する
請求項2に記載のデータ管理方法。
【請求項4】
前記第1同意情報に含まれる前記条件は、前記第1データの属性情報に関する条件、前記処理の目的に関する条件、前記処理によって前記第1データを提供、受領又は取得する事業者に関する条件、前記処理に基づき前記第1データから別のデータを生成する事業者に関する条件、前記処理を行う期間の制限に関する条件のうち少なくとも、前記処理によって前記第1データを提供する事業者に関する条件を含む
請求項1~3のいずれか一項に記載のデータ管理方法。
【請求項5】
前記第1同意情報は、複数の前記条件を含み、
複数の前記条件を全て満たす場合に前記処理の実行を許可する
請求項4に記載のデータ管理方法。
【請求項6】
前記第1要求情報に含まれる前記所有者識別子に一致する所有者識別子を含む第1同意情報前記第1記憶システムに複数存在する場合に、最新の第1同意情報に含まれる前記条件に基づいて前記第1データに対する前記処理の実行可否を判定する、
請求項1~のいずれか一項に記載のデータ管理方法。
【請求項7】
前記第1同意情報を撤回する撤回情報が前記第1同意情報に含まれるかを検査し、前記最新の第1同意情報に前記撤回情報が含まれる場合は、前記処理の実行を許可しない
請求項に記載のデータ管理方法。
【請求項8】
前記処理は、前記第1データを、前記コンピュータにより前記データ管理方法を実行する第1事業者から第2事業者に提供する処理、前記第1データを、前記第2事業者から前記コンピュータにより前記データ管理方法を実行する前記第1事業者に提供する処理、前記第1データに基づき第2データを生成する処理、前記第1データを取得する処理のうちの少なくとも1つを含む
請求項1~のいずれか一項に記載のデータ管理方法。
【請求項9】
前記第1要求情報が要求する前記処理は、第2事業者から前記コンピュータにより前記データ管理方法を実行する第1事業者に前記第1データを提供する処理であり、
前記第1事業者は、前記コンピュータにより前記条件が満たされたことが確認された後、前記処理によって前記第1データを受領する、
請求項4~のいずれか一項に記載のデータ管理方法。
【請求項10】
前記第1事業者は、前記第1要求情報の送信元の事業者と同じ事業者である
請求項又はに記載のデータ管理方法。
【請求項11】
前記第1事業者は、前記第1要求情報の送信元の事業者と異なる事業者である
請求項8又は9に記載のデータ管理方法。
【請求項12】
前記第1記憶システムにおける前記同意情報は、ブロックチェーンで管理されている
請求項1~11のいずれか一項に記載のデータ管理方法。
【請求項13】
前記第2記憶システムにおける前記記録情報は、前記ブロックチェーンで管理されている、
請求項12に記載のデータ管理方法。
【請求項14】
前記コンピュータにおいて前記個人は前記所有者識別子である第1識別子によって管理され、
前記個人は前記第1記憶システムにおいて前記所有者識別子である第2識別子によって管理され、
前記第1要求情報は前記第1識別子を含み、
前記第1識別子と前記第2識別子とを対応づけた対応表に基づき、前記第1識別子に対応する前記第2識別子を特定し、
前記第1記憶システムから、特定した前記第2識別子に一致する所有者識別子を含む前記第1同意情報を取得する
請求項1~13のいずれか一項に記載のデータ管理方法。
【請求項15】
個人に関するデータである第1データに対して処理を行うことを要求する、前記第1データの所有者を識別する所有者識別子を含む第1要求情報を受信するステップと、
データの所有者が前記データの処理を行うことに同意する条件と、前記所有者を識別する所有者識別子と、同意情報を識別する同意情報識別子と、を含む前記同意情報を保持する第1記憶システムから、前記第1要求情報に含まれる前記所有者識別子に一致する所有者識別子を含む第1同意情報を取得するステップと、
前記第1要求情報と、前記第1同意情報に含まれる前記条件とに基づき、前記第1データに対する前記処理の実行可否を判定するステップと、
前記実行可否の判定結果に応じて、前記第1データに対し前記処理を行った場合に、前記処理の内容と、前記第1データの属性情報と、前記処理の実行可否の判定に用いられた前記第1同意情報の前記同意情報識別子と、を含む記録情報を生成するステップと、
前記記録情報を、前記記録情報を記憶する第2記憶システムに提供するステップと、
をコンピュータに実行させるためのコンピュータプログラム。
【請求項16】
個人に関するデータである第1データに対して処理を行うことを要求する、前記第1データの所有者を識別する所有者識別子を含む第1要求情報を受信する受信部と、
データの所有者が前記データの処理を行うことに同意する条件と、前記所有者を識別する所有者識別子と、同意情報を識別する同意情報識別子と、を含む前記同意情報を保持する第1記憶システムから、前記第1要求情報に含まれる前記所有者識別子に一致する所有者識別子を含む第1同意情報を取得し、前記第1要求情報と、取得した前記同意情報に含まれる前記条件とに基づき、前記第1データに対する前記処理の実行可否を判定する判定処理部と、
前記第1同意情報を保管する同意情報記憶部と、
前記実行可否の判定結果に応じて前記第1データに対し前記処理を行った場合に、前記処理の内容と、前記第1データの属性情報と、前記処理の実行可否の判定に用いられた前記第1同意情報の前記同意情報識別子とを含む記録情報を生成し、前記記録情報を、前記同意情報記憶部に提供する履歴登録部と、
を備えるデータ管理システム。
【請求項17】
前記同意情報記憶部は、ブロックチェーンの少なくとも1つのノードである、
請求項16に記載のデータ管理システム。
【請求項18】
個人に関するデータである第1データに対して処理を行うことを要求する、前記第1データの所有者を識別する所有者識別子を含む第1要求情報を受信する受信部と、
前記第1要求情報に基づいて前記第1データに対する前記処理の実行可否の判定を依頼する判定依頼部と、
データの所有者が前記データの処理を行うことに同意する条件と、前記所有者を識別する所有者識別子と、同意情報を識別する同意情報識別子と、を含む前記同意情報を保持する第1記憶システムであって、前記第1要求情報に含まれる前記所有者識別子に一致する所有者識別子を含む第1同意情報を特定し、前記第1要求情報と、前記第1同意情報に含まれる条件とに基づき、前記第1データに対する前記処理の実行可否を判定する第1記憶システムと、
前記実行可否の判定結果に応じて前記第1データに対し前記処理を行った場合に、前記処理の内容と、前記第1データの属性情報と、前記処理の実行可否の判定に用いられた前記第1同意情報の前記同意情報識別子とを含む記録情報を生成する履歴登録部と、
前記記録情報を記憶する第2記憶システムと、
を備えるデータ管理システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、データ管理方法、コンピュータプログラム及びデータ管理システムに関する。
【背景技術】
【0002】
個人情報の保護に関する法律(以下、個人情報保護法)により、個人情報取扱事業者が個人データを第3者に提供する際には、あらかじめ本人の同意を得ることが求められる。個人データを活用したサービスでは、より多くの個人データを収集することで、付加価値の高いサービスの提供が可能になる。効率的に個人データを収集するためには、本人の同意を効率的に確認することが望まれる。
【先行技術文献】
【特許文献】
【0003】
【文献】特許第4225815号
【文献】特許第4881059号
【発明の概要】
【発明が解決しようとする課題】
【0004】
本発明の実施形態は、データ利活用時にデータ提供者、データ受領者又はデータ利用者が個人の同意を確認することを可能にするデータ管理方法、コンピュータプログラム及びデータ管理システムを提供する。
【課題を解決するための手段】
【0005】
本実施形態に係るデータ管理方法は、個人に関する第1データに対して第1処理を行うことを要求する第1要求情報を受信し、前記個人が前記第1処理を行うことに同意する第1条件を定めた同意情報と、前記第1要求情報とに基づき、前記第1データに対する前記第1処理の実行可否を判定する、ことをコンピュータにより実行する。
【図面の簡単な説明】
【0006】
図1】第1の実施形態に係るデータ管理システムの全体構成図。
図2】個人データとその属性情報の例を示す図。
図3】データの種別及び詳細の例、事業者の目的、及び同意情報の撤回時の取り扱いの例を説明する図。
図4】同意情報の2つの例を示す図。
図5】同意情報の他の例を示す図。
図6】要求情報の3つの例を示す図。
図7図6に示した要求情報の一部に一致する2つの同意情報の例を示す図。
図8】修正後の要求情報を示す図。
図9】個人データの属性情報、要求情報及び同意情報の例を示す図。
図10】提供の記録情報の一例と、受領の記録情報の一例を示す図。
図11】個人データの属性情報、要求情報及び同意情報の例を示す図。
図12】個人データの属性情報、要求情報及び同意情報の例を示す図。
図13】個人データの属性情報、要求情報及び同意情報の例を示す図。
図14】取得の記録情報の一例を示す図。
図15】データ管理装置が個人データの提供(受領及び保管)の要求情報を受信した場合の動作の一例を示すフローチャート。
図16】データ管理装置が個人データの提供(受領及び保管)の要求情報を受信した場合の動作の他の例を示すフローチャート。
図17】データ管理装置がデータの利用の要求情報を受信した場合の動作の一例を示すフローチャート。
図18】データ管理装置が他の事業者へのデータの提供(送信)の要求情報を受信した場合の動作の一例を示すフローチャート。
図19】データ管理装置がデータの取得の要求情報を受信した場合の動作の一例を示すフローチャート。
図20】記憶システムがブロックチェーンを用いる場合のデータ管理装置の構成例を示す図。
図21】記憶システムの構成例を示す図。
図22】記憶システムの他の構成例を示す図。
図23】同意情報の例を示す図。
図24】ステート保持部に保持されているステートの更新例を示す図。
図25】変形例4に係るデータ管理システムの全体構成図。
図26】第2の実施形態に係るデータ管理システムの全体構成図。
図27】対応表の例を示す図。
図28】データ管理装置が個人データの提供の要求情報を受信した場合の動作の一例を示す図。
図29】所有者識別子を仮名にした対応表の例を示す図。
図30】データ管理装置(情報処理装置)のハードウェア構成を示す図。
【発明を実施するための形態】
【0007】
以下、図面を参照して、本発明の実施形態について説明する。
(第1の実施形態)
図1は、第1の実施形態に係るデータ管理システムの全体構成図である。図1のデータ管理システムは、データ管理装置101(コンピュータ)と、同意情報・履歴情報記憶システム201(以下、記憶システム201と記載する)、データ送信元装置301、データ受信先装置401及び所有者装置501を備えている。
【0008】
データ管理装置101は、通信ネットワークを介して、記憶システム201、データ送信元装置301、データ受信先装置401と接続されている。データ管理装置101が、通信ネットワークを介して所有者装置501と接続されていてもよい。所有者装置501は、通信ネットワークを介して、記憶システム201と接続されている。データ送信元装置301及びデータ受信先装置401が、通信ネットワークを介して、記憶システム201に接続されていてもよい。各通信ネットワークは、インターネット又はモバイルネットワーク等のワイドエリアネットワークでも、イーサネット又は無線LAN(Local Area Network)等のローカルエリアネットワークでもよいし、シリアル通信ケーブル等のケーブルでもよい。データ管理装置101は、一例としてCPU(Central Processing Unit)等のプロセッサ及びメモリ等を含むコンピュータにより構成される。
【0009】
データ管理装置101は、データ管理装置101を管理する事業者の装置やシステム(図示のデータ管理装置101以外の装置やシステム)、データ送信元装置301、データ受信先装置401、所有者装置501からある個人に関するデータに対して処理(第1処理)を行うことを要求する要求情報(第1要求情報)を受信する。データ送信元装置301又はデータ受信装置401からデータ管理装置101への要求情報の送信は、データ管理装置101を管理する事業者の装置やシステム(図示のデータ管理装置101以外の装置やシステム)又は所有者装置501が、データ送信元装置301又はデータ受信装置401に要求情報の送信を要求することで行われることもある。個人に関するデータは、一例として、個人データ(第1個人データ)、個人データを解析した解析結果データ(個人データに基づき生成されたデータ)等である。以下では、単にデータと記述した場合、個人に関するデータを意味し、個人データでも、解析結果データなどいずれでもよい。第1要求情報は、例えば他の事業者へのデータの提供、データの利用(解析等)、又は、個人からのデータの取得等を要求する情報である。他の事業者へのデータの提供は、当該他の事業者から見ればデータの受領及び保有(保管)の少なくとも一方を意味する。したがって、データの提供の要求は、データの受領及び保有(保管)の少なくとも一方の要求を含んでいる。データ管理装置101は、個人が当該個人のデータに第1処理を行うことに同意する同意条件(第1条件)を含む同意情報を記憶システム201から取得する。データ管理装置101は、取得した同意情報と第1要求情報とに基づき、データに対する第1処理の実行可否を判定する。データ管理装置101は、実行可否の判定結果に応じて、データに対し第1処理を行う。データ管理装置101は、第1処理を行った場合に、第1処理の内容等を示す記録情報を作成し、記録情報を記憶システム201に登録する。
【0010】
所有者装置501は、個人データの所有者である個人が操作する装置である。所有者装置501は、一例としてノート型又はデスクトップ型のパーソナルコンピュータ(PC)、スマートフォン、タブレット端末等である。個人は、所有者装置501から記憶システム201に1つ以上の同意情報を登録することができる。また個人は所有者装置501から個人データをデータ管理装置101に送信することができる。すなわち、データ管理装置101が所有者装置501から個人データを受信(取得)することができる。
【0011】
記憶システム201は、1人以上の個人の同意情報を記憶している。また記憶システム201はデータ管理装置101で行われた処理の内容等を示す記録情報の履歴を記憶している。記憶システム201は、情報を記憶可能なシステムである。記憶システム201のうち同意情報を記憶する部分は同意情報記憶部に対応し、記録情報の履歴を記憶する部分は記録情報記憶部に対応する。記憶システム201は、一例として、ブロックチェーンシステム、又はデータベースである。記憶システム201がブロックチェーンシステムの場合、同意情報と記録情報とがそれぞれトランザクションとして同じブロックチェーンで管理されてもよいし、別々のブロックチェーンシステムで管理されてもよい。記憶システム201がデータベースの場合も、同意情報と記録情報とがそれぞれ同じデータベースで管理されてもよいし、別々のデータベースで管理されてもよい。
【0012】
データ送信元装置301は、個人データ等のデータの処理(提供、利用(解析等)、取得等)をデータ管理装置101に要求する装置である。または、データ送信元装置301は、データの処理に関する要求を、データ管理装置101を管理する事業者の装置やシステム(図示のデータ管理装置101以外の装置やシステム)又は所有者装置501から受信し、当該要求に基づいて、データ管理装置101にデータの処理を行う場合もある。データ送信元装置301は、一例としてデータ送信元装置301を管理する事業者に従事する職員(ユーザ)によって操作される。データ送信元装置301は、要求情報をデータ管理装置101に送信する。または、データ送信元装置301は、要求情報を受信する。要求情報の種類に応じて、処理を行う対象となるデータもデータ管理装置101に送信する。データ送信元装置301がデータ管理装置101とは異なる他のデータ管理装置(データ管理装置101と同等の構成を有する装置)であってもよい。データ管理装置101を管理する事業者とデータ送信元装置301を管理する事業者が同一の事業者であってもよい。データ管理装置101を管理する事業者とデータ送信元装置301を管理する事業者が異なる事業者であってもよい。データ送信元装置301が所有者装置501と同一のこともあり得る。
【0013】
データ受信先装置401は、データ(個人データ又は解析結果データ等)をデータ管理装置101から受信する装置である。データ受信先装置401は、データの処理(提供、利用(解析等)等)の要求を、データ管理装置101を管理する事業者の装置やシステム(図示のデータ管理装置101以外の装置やシステム)又は所有者装置501から受信し、当該要求に基づいて、データ管理装置101にデータの処理を行う場合もある。データ送信元装置401は、個人データ等のデータの処理(提供、利用(解析等)、取得等)をデータ管理装置101に要求する場合もある。データ受信先装置401は、一例としてデータ受信先装置401を管理する事業者に従事する職員(ユーザ)によって操作される。データ受信先装置401は、要求情報をデータ管理装置101に送信する。または、データ受信先装置401は、要求情報を受信する。データ受信先装置401は、データをデータ管理装置101から受信する。データ受信先装置401がデータ管理装置101とは異なる他のデータ管理装置(データ管理装置101と同等の構成を有する装置)でもよい。データ管理装置101を管理する事業者とデータ受信先装置401を管理する事業者が同一の事業者であってもよい。データ管理装置101を管理する事業者とデータ受信先装置401を管理する事業者が異なる事業者であってもよい。
【0014】
データ受信先装置401の事業者とデータ送信元装置301の事業者が同一であってもよい。また、データ受信先装置401とデータ送信元装置301が同一の装置であってもよい。また、データ管理装置101の事業者が、データ送信元装置301の事業者及びデータ受信先装置401の少なくとも一方の事業者と同一であってもよい。
【0015】
以下、「個人データ」、「同意情報」、「要求情報」ついて説明する。
【0016】
図2は、個人データとその属性情報の例として、個人データ1及び属性情報1を示す。属性情報は個人データの1つ又は複数の属性を含む。個人データ1の属性情報が属性情報1である。属性情報1は、データの所有者識別子、データ種別(種別)と、1つ以上のデータ詳細(詳細)を含む。詳細を含まない場合もあり得る。図2の例では詳細1、詳細2、詳細3が示される。
【0017】
所有者識別子は、データの所有者(個人)に振られる識別子である。本実施形態において所有者識別子は、データ管理装置101、記憶システム201、データ送信元装置301、データ受信先装置401で共通の値が用いられる。種別及び詳細の値は、識別子、文字列、日付型データ又は数値等である。
【0018】
図3(A)は、データの種別及び詳細の例を示す。種別はデータ種別識別子、詳細はデータ詳細識別子で表される。データ種別識別子T0001はヘルスケアデータを示す。T0001はデータ詳細識別子D0001、D0002、D0003に関連付けられている。D0001、D0002、D0003は、それぞれ体温、体重、歩数を表す。
【0019】
上述の図2の例では、詳細1の値が、D0001である。詳細2は日付、詳細3は任意の数値(例えばインデックス番号等)である。図2の個人データ1は、所有者識別子U000001の個人の2020年8月における各日の体温の値を含む。
【0020】
図3(B)は、事業者識別子の例を示す。図3(C)は、データの処理の目的の識別子(目的識別子)の例を示す。図3(D)は、同意情報の撤回時の取り扱いに関する撤回識別子の例を示す。図3(B)~図3(D)の情報は後述する同意情報及び要求情報等で用いられる。
【0021】
次に、同意情報について説明する。同意情報は、同意情報識別子、所有者識別子、データ種別(種別)、詳細、1つ以上の事業者、同意対象の事象、当該事象に対する同意状態(同意/不同意)、同意期間、撤回時の取り扱い、同意日時等を含む。詳細を含まない場合もある。
【0022】
図4は、同意情報の2つの例として、同意情報1と同意情報2を示す。同意情報1及び同意情報2は、同意情報識別子、所有者識別子、種別、詳細、提供事業者、受領事業者、同意対象の事象、同意対象への同意状態(同意/不同意)、同意期間、撤回時の取り扱い、同意日時等を含む。同意情報が詳細を含まない場合もあり得る。同意対象の事象は、例えば、受領事業者によるデータ受領、受領事業者によるデータ保有、受領又は保有による目的への利用、同意情報と記録情報との保存である。受領事業者はデータを受領する事業者であり、受け取ったデータを保有又は保存することもある。同意情報識別子は、同意情報を識別する情報である。
【0023】
図5は、同意情報の他の例として、同意情報3と同意情報4を示す。同意情報3は、同意情報識別子、所有者識別子、種別、詳細、取得事業者、同意対象の事象、同意対象への同意状態(同意/不同意)、同意期間、撤回時の取り扱い、同意日時等を含む。同意情報は詳細を含まない場合もあり得る。同意対象の事象は例えば、取得事業者によるデータ取得、取得事業者によるデータ保有(保存)、取得する目的への利用、同意情報と記録情報との保存がある。取得事業者は個人のデータを個人の所有者装置501やデータ送信元装置301から取得する事業者であり、図の例ではデータ管理装置101の事業者(C001)である。
【0024】
同意情報4は、同意情報識別子、所有者識別子、種別、詳細、利用事業者、同意対象の事象、同意対象への同意状態(同意/不同意)、同意期間、撤回時の取り扱い、同意日時等を含む。同意情報は詳細をさらに含んでもよい。同意対象の事象は例えば、利用事業者によるデータ保有、利用事業者の目的への利用、同意情報と記録情報との保存がある。利用事業者はデータを解析等の利用を行い、解析結果等のデータを生成する事業者である。
【0025】
次に、要求情報について説明する。要求情報は、データ管理装置101に処理の要求を行う情報である。要求の種類は、一例として、提供、利用(解析等)、取得がある。
【0026】
図6の左は、要求の種類が提供の場合の要求情報の例として要求情報1を示す。要求の種類が提供の場合、要求情報は、所有者識別子、データ種別(種別)、詳細、提供事業者、受領事業者、1つ以上の受領事業者の受領及び保有(保存)の目的、を含む。要求情報1が詳細を含まない場合もある。提供は、提供先の事業者に受領と保有(保存)を要求する。
【0027】
図6の中央は、要求の種類が利用の場合の要求情報の例として要求情報2を示す。要求の種類が利用の場合、要求情報は、所有者識別子、データ種別(種別)、詳細、利用事業者(図の例では解析事業者)、1つ以上の利用事業者(図の例では解析事業者)のデータの利用の目的、を含む。要求情報2が詳細を含まない場合もあり得る。データの利用とはデータ(第1データ)に何らかの処理を行い新たなデータ(第2データ)を生成することを含む。例えばヘルスケアデータを解析して、健康状態に関する解析結果データを生成することがある。
【0028】
図6の右は、要求の種類が取得の場合の要求情報の例として要求情報3を示す。要求の種類が取得の場合、要求情報は、所有者識別子、データ種別(種別)、詳細、取得事業者、1つ以上の取得事業者の取得の目的、を含む。要求情報3が詳細を含まない場合もあり得る。
【0029】
以下、データ管理装置101の各部について説明する。データ管理装置101は、データ保管部11と、同意情報取得部12と、判定処理部13と、履歴登録部14と、入力部15と、出力部16と、データ解析部17と、を備える。データ管理装置101が備える要素はこれらに限定されず、例えば、情報又は指示を入力する入力インタフェース、情報又はデータを表示する表示装置等の出力インタフェースを備えていてもよい。
【0030】
入力部15は、データ送信元装置301またはデータ受信元装置401または所有者装置501またはデータ管理装置101を管理する事業者の装置やシステムから処理(提供、利用(解析等)、又は取得等)を要求する要求情報を受信し、受信した要求情報を判定処理部13に送る。入力部15は、要求情報を受信する受信部の一例である。また、入力部15は、データ送信元装置301から個人に関するデータ(個人データ等)を受信し、受信したデータをデータ保管部11に送る。上述したように、入力部15はデータ送信元装置301以外の装置から要求情報及びデータの少なくとも一方を受信してもよい。例えばデータ管理装置101の管理者が操作する装置又は所有者装置501等から、要求情報及びデータの少なくとも一方を受信してもよい。
【0031】
判定処理部13は、入力部15から要求情報を受け取り、受け取った要求情報に基づき同意情報を取得する指示を同意情報取得部12に送る。
【0032】
同意情報取得部12は、要求情報に基づき所有者識別子が一致する同意情報の読み出しを記憶システム201に依頼し、記憶システム201から同意情報を受け取る。同意情報取得部12は、最新の同意情報(例えば最新の同意日付の同意情報)だけを記憶システム201から受け取ってもよい。また同意情報取得部12は、全てまたは一定期間の全ての同意情報を受け取ってもよい。また、所有者識別子が一致する全ての同意情報を受け取ってもよい。要求情報のうち所有者識別子に加え、他の1つ以上の項目が一致する同意情報を受け取ってもよい。
【0033】
判定処理部13は、同意情報取得部12によって取得された同意情報を受け取り、要求情報が同意情報を満たすかに応じて、要求情報によって要求された処理の実行可否を判定する。判定処理部13は、判定結果を示す情報をデータ保管部11と出力部16とに送る。
【0034】
判定処理部13による判定方法の第1例を、前述した図4及び図5と、図6とを用いて説明する。
【0035】
要求情報が図6の要求情報1であるとする。要求情報1の所有者識別子、種別、詳細、提供事業者、受領事業者、受領事業者の受領(又は保有)の目的等の比較項目が一致する同意情報を特定する。目的については、同意情報の目的が要求情報1の目的を含んでいればよく、要求情報1に存在しない目的が同意情報に含まれていてもよい。特定した同意情報において、受領事業者によるデータ受領への同意状態、受領事業者によるデータ保有(データ保存)への同意状態、要求情報1に含まれる目的への同意状態がすべて「同意」であるとき、要求情報1は同意情報を満たす(同意情報に含まれる第1条件を満たす)。要求情報1に存在しない目的が同意情報で不同意であってもよい。特定した同意情報が複数あるときは、最新の同意情報を対象として、各同意状態を判断する。要求情報1が同意情報を満たすとき、要求情報1によって要求された処理は実行可能であると判定される。上述の図4の同意情報1は、要求情報1が満たす同意情報である。従って、同意情報1が取得された場合は、要求情報1によって要求された処理は実行可能であると判定される。要求情報1が満たす同意情報が無い場合は、要求情報1によって要求された処理の実行は不可と判定される。例えば、比較項目が一致する同意情報がある場合であっても、同意状態が「不同意」になっていた場合、処理の実行は不可と判定される。最新か否かは、一例として、同意情報に含まれる同意日付(同意日時)から判断することができる。あるいは、記憶システム201に登録する同意情報にタイムスタンプをつけ、タイムスタンプで判断してもよい。
【0036】
判定処理部13による判定方法の第2の例を、前述した図6を用いて説明する。図6に示した要求情報2の要求の種類は利用である。要求情報2の所有者識別子、種別、詳細の全てが一致し、要求情報2の利用事業者(本例では解析事業者)が同意情報の利用者事業者と一致し、要求情報2の事業者の利用の目的と一致する目的を含む同意情報を特定する。目的については、同意情報の目的が要求情報2の目的を含んでいればよく、要求情報2に存在しない目的が同意情報に含まれていてもよい。特定した同意情報において、要求情報2に含まれる目的への利用への同意状態がすべて「同意」であるとき、要求情報2が同意情報を満たす(同意情報に含まれる第1条件を満たす)。要求情報2に存在しない目的が同意情報で不同意になっていてもよい。特定した同意情報が複数あるときは、最新の同意情報を対象として、各同意状態を判断する。要求情報2が同意情報を満たすとき、要求情報2によって要求された処理は実行可能と判定される。上述した図5の同意情報4は要求情報2が満たす同意情報である。要求情報2を満たす同意情報が無い場合は、要求情報2によって要求された処理の実行は不可と判定される。例えば、比較項目が一致する同意情報がある場合であっても、同意状態が「不同意」になっていた場合、処理の実行は不可と判定される。
【0037】
判定処理部13による判定方法の第3の例を、前述した図6を用いて説明する。図6に示した要求情報3の要求の種類は取得である。要求情報3の所有者識別子、種別、詳細の全てが一致し、要求情報3の取得事業者(本例ではデータ管理装置101の事業者)が同意情報の取得事業者と一致し、要求情報3の取得事業者の取得の目的と一致する目的を含む同意情報を特定する。目的については、同意情報が要求情報3の目的について同意していればよく、要求情報3に存在しない目的に対して不同意であってもよい。特定した同意情報において、要求情報3に含まれる目的への同意状態がすべて「同意」であるとき、要求情報3が同意情報を満たす。特定した同意情報が複数あるときは、最新の同意情報を対象として、各同意状態を判断する。要求情報3が同意情報を満たすとき、要求情報3によって要求された処理は実行可能と判定される。上述した図5の同意情報3は要求情報5が満たす同意情報である。要求情報5を満たす同意情報が無い場合は、要求情報5によって要求された処理の実行は不可と判定される。例えば、比較項目が一致する同意情報がある場合であっても、同意状態が「不同意」になっていた場合、処理の実行は不可と判定される。
【0038】
同意情報の範囲が要求情報より広い場合もある。この場合は、各項目の同意状態が「同意」である場合、要求情報は同意情報を満たす。以下、この場合の例を示す。
【0039】
前述した図4に示した同意情報2では、詳細3は「制約なし」になっているため、要求情報1の詳細3の値はどのような値でもよい。同意情報2の詳細2の日付型情報2020/01~2020/12に要求情報1の詳細2の日付型情報2020/08は含まれる。また各項目の同意状態は「同意」である。よって、要求情報1は同意情報2を満たす。
【0040】
逆に、要求情報の範囲が同意情報より広い場合もある。すなわち、要求情報によって処理を要求されているデータの一部についてのみ同意情報(第1条件)を満たす場合がある。この場合、処理を要求されている個人データの一部に対してのみ、処理の実行を許可する。以下、この場合の例を、図7を用いて説明する。
【0041】
図7は、それぞれ図6に示した要求情報2の一部に一致する同意情報5と同意情報6を示す。同意情報5と同意情報6のいずれとも要求情報2と同じ所有者識別子「U00001」を有する。
【0042】
要求情報2の詳細1~3が「制約なし」になっており、同意情報5と同意情報6は、それぞれ詳細1が「D0001」、「D0002」になっている。このため、要求情報2によって要求されている処理は、詳細1については「D0001」と「D0002」に限定して可能と判定される。判定の結果、要求情報2を、データ管理装置101の内部処理として修正する。
【0043】
図8は、修正後の要求情報2を示す。判定処理部13は、修正後の要求情報2によって要求される処理の実行が実行可能であると判定する。記憶システム201への処理の記録情報の登録も、修正後の要求情報2に基づき行う。他の例として、要求情報の所有者識別子を「制約なし」としてもよい。この場合、要求情報は、同意する人すべてを対象とすることを意味する。
【0044】
データ保管部11は、要求情報が処理としてデータ(例えば個人データ)のデータ管理装置101への提供(データ管理装置101によるデータの保管及び受領)を要求する場合に、入力部15から保管対象となるデータを受け取る。判定処理部13による判定結果が処理の実行可を示す場合は、データを内部の記憶部に保管する。実行不可の場合はデータを削除する。入力部15は、判定処理部13により処理の実行可が判定された後に、データ送信元装置301からデータを受信してもよい。この場合、処理が実行不可と判定された場合にはデータを受け取らないため、データを削除する動作が不要になる。
【0045】
データ保管部11は、要求情報が処理としてデータ(例えば個人データ)をデータ受信先装置401へ提供(送信)することを要求する場合、判定処理部13により当該処理の実行可が決定された後、該当データを内部の記憶部から読み出す。データ保管部11は、データを、出力部16を経由して、データ受信先装置401へ送信する。なおデータの送信先がデータ受信先装置401以外の装置である場合もあり得る。
【0046】
データ保管部11は、要求情報が処理としてデータ(例えば個人データ)の利用(例えば解析)を要求する場合は、判定処理部13により処理の実行可が判定された後に、解析対象となる1つ以上のデータを内部の記憶部から読み出して、データ解析部17に送る。
【0047】
データ解析部17は、当該データに対して所定の解析を行い、解析結果データをデータ保管部11に送る。解析結果データは属性情報を含み、属性情報は解析結果データの複数の属性を含む。データ保管部11は、解析結果データを内部の記憶部に記憶する。データの解析要求が解析データの提供の要求を含む場合は、データ保管部11は、解析結果データを出力部16に送る。
【0048】
出力部16は、判定処理部13による処理の実行可否の判定結果を、要求情報の送信元であるデータ送信元装置301またはデータ受信元装置401に送信する。判定結果を要求情報の送信元である所有者装置501またはデータ管理装置101を管理する事業者の装置やシステムに送信しても良い。また、出力部16は、データ保管部11から受け取ったデータ(個人データ、解析結果データ等)を、受領事業者、利用者事業者又は取得事業者等として指定された事業者のデータ受信先装置401に送信する。なお、利用者事業者又は取得事業者がデータ管理装置101の事業者であり、データ送信元装置301又はデータ受信先装置401がデータ管理装置101と同じ装置である場合は、送信は不要である。出力部16は、判定結果又はデータ等を送信する送信部の一例である。
【0049】
履歴登録部14は、データ保管部11により行われた処理の履歴の記録をするため、処理の内容を示す記録情報を生成する。記録情報は属性情報を含み、属性情報は記録情報の複数の属性を含む。処理の例としては、データ(個人データ又は解析結果データ等)の提供、利用(解析等)、取得等がある。データを受領する事業者が存在する場合、受領の記録情報を生成してもよい。履歴登録部14は、記録情報を記憶システム201に送る。記憶システム201は、受け取った記録情報を内部に記録する。記録情報は監査に用いてもよい。
【0050】
図9及び図10を用いて、記録情報の生成の具体例を説明する。
図9は、個人データの属性情報、要求情報及び同意情報の例として、属性情報2、要求情報4及び同意情報7を示す。要求情報4は、属性情報2の個人データを事業者C002(提供事業者)から事業者C001(受領事業者)に提供することを要求し、要求情報4は同意情報7を満たしている。
【0051】
図10の左は、提供の記録情報の一例を示す。提供の記録情報は、記録識別子、記録の種類(本例では“提供”)、記憶システム201に記録を行った記録事業者(提供事業者)、受領事業者の名称、同意情報識別子、個人データを特定する情報(所有者識別子、種別、詳細等)、日時(提供年月日)を含む。データ管理装置101の履歴登録部14は、個人データが提供された後、提供の記録情報を生成する。
【0052】
図10の右は、受領の記録情報の一例を示す。受領の記録は、記録識別子、記録の種類(本例では“受領”)、記憶システム201に記録を行った記録事業者(受領事業者)、提供事業者の名称、同意情報識別子、取得の経緯、データを特定する情報(データの属性)、提供年月日を含む。取得の経緯は、提供者が個人データをどのように取得したのかの情報を含む文書1を指定する。文書1は、例えば、個人データの売買契約書、取得の経緯が示されている契約書、取得の経緯が示されている提供者のウェブサイト、提供者が本人の同意を得ていることを誓約する書面、又は同意情報等である。個人データを受領した事業者C001の装置(本例ではデータ管理装置101)が、個人データの受領(保管)の記録情報を生成し、記憶システム201に記憶情報を登録する。
【0053】
データ管理装置101の事業者が提供事業者の場合、データ管理装置101が提供の記録情報を作成して記憶システム201に登録する。そして、受領事業者の装置(例えばデータ受信先装置401の事業者)が受領の記録情報を作成して、受領事業者の装置で保存する。あるいは、受領事業者の装置が記録情報を記憶システム201に記録情報を登録してもよい。すなわち、記憶システム201を事業者間で共有して、提供事業者と受領事業者で同一の記憶システム201に記録情報を登録してもよい。一方、データ管理装置101の事業者が受領事業者の場合、データ管理装置101が受領の記録情報を作成して記憶システム201に登録する。そして、提供事業者の装置(例えばデータ送信元装置301の事業者)が提供の記録情報を作成して、事業提供者の装置で保存する。あるいは、提供事業者の装置が記録情報を記憶システム201に記録情報を登録してもよい。
【0054】
図11及び図12を用いて、記録情報の他の具体例を説明する。
図11は、個人データの属性情報、要求情報及び同意情報の例として、属性情報2、要求情報5及び同意情報7を示す。要求情報5は、属性情報2の個人データを事業者C001(保有事業者)が利用(ここでは解析を想定)することを要求し、要求情報2は同意情報7を満たしている。
【0055】
データ管理装置101の履歴登録部14は、データ解析部17によるデータ解析結果に基づき、解析の記録情報を生成する。より詳細には、データ管理装置101(事業者C001)のデータ解析部17は、属性情報2を有する個人データを解析し、解析結果データを生成する。解析結果データはデータの利用により生成されるデータ(生成データ)の一例である。解析結果データ(生成データ)はデータ本体と属性情報とを含む。解析結果データはデータ保管部11で保管される。履歴登録部14は、解析結果データに基づき、利用(ここでは解析)の記録情報を作成する。
【0056】
図12の左は解析結果データ(生成データ)の属性情報の例として属性情報3を示す。図12の右は、解析の記録情報の一例を示す。解析の記録情報は、記録識別子、記録の種類(本例では“生成”)、記憶システム201に記録を行った記録事業者(解析事業者)、同意情報識別子、1つ以上の利用したデータを特定する情報(利用データ所有者識別子、利用データ種別、利用データ詳細等。本例では属性情報2の情報)、生成データを特定する情報(生成データ所有者識別子、生成データ種別、生成データ詳細、生成データが生成された日時)を含む。生成データを特定する情報は本例では属性情報3に相当する。
【0057】
図13を用いて、記録情報の他の具体例を説明する。
図13は、個人データの属性情報、要求情報及び同意情報の例として、属性情報1、要求情報3及び同意情報3を示している。要求情報3は、属性情報2の個人データを事業者C001が個人から取得することを要求している。要求情報2は同意情報3を満たしている。
【0058】
データ管理装置101の履歴登録部14は、個人データの取得に基づき、取得の記録情報を生成する。
【0059】
図14は、取得の記録情報の一例を示す。取得の記録情報は、記録識別子、記録の種類、記録事業者(取得事業者)、同意情報、取得したデータを特定する情報(本例では属性情報1の情報)、取得日時を含む。
【0060】
記録情報に含まれる項目のうちは、記録情報が参照する同意情報と同一の項目に関しては、同意情報を参照することで、項目の値を省略してもよい。
【0061】
図15は、データ管理装置101が個人データの提供の要求情報を受信した場合の動作の一例を示すフローチャートである。要求情報は、データ管理装置101への個人データの提供(データ管理装置101による個人データの受領及び保管)を要求している。なお、個人データは、1つ又は複数の個人データの集合を意味する。
【0062】
入力部15は、個人データの保管の要求情報と保管対象となる個人データを受信する(ステップS1)。入力部15は、判定処理部13に要求情報を送り、データ保管部11に個人データを送る。データ保管部11は個人データを受け取り、個人データを内部の記憶部に記憶する(ステップS2)。判定処理部13は、要求情報を受け取り、要求情報を同意情報取得部12に送る。同意情報取得部12は、記憶システム201に同意情報の読み出しを依頼し、記憶システム201から同意情報を受け取る(ステップS3)。同意情報取得部12は、同意情報を判定処理部13に送り、判定処理部13は、同意情報と要求情報とに基づいて、保管可否を判定する(ステップS4)。判定処理部13は、判定結果をデータ保管部11に送る。データ保管部11は、判定結果が保管不可を示す場合(ステップS5のNO)、個人データを削除する(ステップS6)。データ保管部11は、出力部16を経由して、保管不可の通知をデータ送信元装置301に送信してもよい。データ保管部11は、判定結果が保管可を示す場合(ステップS5のYES)、処理内容を“受領”(又は保管等とする場合もある)とし、個人データの属性情報と処理内容を示す情報とを履歴登録部14に送る。履歴登録部14は、個人データの属性情報と処理内容を示す情報とを受け取り、受領(又は保管)の記録情報を生成する(ステップS7)。履歴登録部14は、記録情報の登録を記憶システム201に依頼し、記憶システム201は、保管の記録情報を記憶する(同ステップS7)。
【0063】
図16は、データ管理装置101が個人データの提供の要求情報を受信した場合の動作の他の例を示すフローチャートである。本例では、保管の可否を判定して保管可が決定された後に、保管対象となる個人データを受信することを特徴とする。その他の動作は基本的に図15と同じである。
【0064】
入力部15は、個人データの保管の要求情報を受信する(ステップS11)。入力部15は、判定処理部13に要求情報を送る。判定処理部13は、要求情報を受け取り、要求情報を同意情報取得部12に送る。同意情報取得部12は、要求情報に基づき記憶システム201に同意情報の読み出しを依頼し、記憶システム201から同意情報を受け取る(ステップS12)。同意情報取得部12は、同意情報を判定処理部13に送り、判定処理部13は、同意情報と要求情報とに基づいて、保管可否を判定する(ステップS13)。判定処理部13は、判定結果をデータ保管部11に送る。データ保管部11は、判定結果が保管可を示す場合(ステップS14のYES)、保管可である個人データを、入力部15を通してデータ送信元装置301から受け取る(ステップS15)。データ保管部11は、受け取った個人データを内部に保管する(ステップS16)。データ保管部11は、処理内容を示す情報を“受領”(又は保管等とする場合もある)とし、個人データの属性情報と処理内容を示す情報を履歴登録部14に送る。履歴登録部14は、個人データの属性情報と処理内容を示す情報を受け取り、保管の記録情報を生成する(ステップS17)。履歴登録部14は、記録情報の登録を記憶システム201に依頼し、記憶システム201は、受領(又は保管)の記録情報を記憶する(同ステップS17)。データ保管部11は、判定結果が保管可を示す場合(ステップS14のNO)、出力部16を経由して、保管不可の通知をデータ送信元装置301に送信してもよい。
【0065】
図17は、データ管理装置101がデータの利用(ここではデータ解析)の要求情報を受信した場合の動作の一例を示すフローチャートである。入力部15は、データ解析の要求情報を受信し、判定処理部13にデータ解析の要求情報を送る(ステップS21)。判定処理部13は、データ解析の要求情報を受け取り、要求情報を同意情報取得部12に送る。同意情報取得部12は、要求情報に基づいて記憶システム201に同意情報の読み出しを依頼し、記憶システム201から同意情報を受け取る(ステップS22)。同意情報取得部12は同意情報を判定処理部13に送り、判定処理部13は、同意情報と要求情報とに基づいて、解析可否を判定する(ステップS23)。判定処理部13は、判定結果をデータ保管部11に送る(ステップS24)。データ解析部17は、判定結果が解析可の場合(ステップS24のYES)、データ保管部11から個人データを読み出して所定の解析処理を実行し、解析結果データを生成する(ステップS25)。データ解析部17は、解析結果データをデータ保管部11に送り、データ保管部11は解析結果データを内部の記憶部に記憶する(ステップS26)。なお解析結果データはデータ本体と属性情報とを含む。データ保管部11は、解析に用いた個人データの属性情報と解析結果データの属性情報とを履歴登録部14に送る。履歴登録部14は、解析に用いた個人データの属性情報と解析結果データの属性情報とを受け取って、解析の記録情報を生成し、解析の記録情報の登録を記憶システム201に依頼する(ステップS27)。記憶システム201は、解析の記録情報を記憶する(同ステップS27)。データ保管部11は、判定結果が解析不可を示す場合(ステップS24のNO)、出力部16を経由して、解析不可の通知をデータ送信元装置301に送信してもよい。
【0066】
図18は、データ管理装置101が他の事業者へのデータの提供(送信)の要求情報を受信した場合の動作の一例を示すフローチャートである。入力部15は提供の要求情報を受信し、提供の要求情報を判定処理部13に送る(ステップS31)。判定処理部13は、提供の要求情報を受け取り、要求情報を同意情報取得部12に送る。同意情報取得部12は、要求情報に基づいて記憶システム201に同意情報の読み出しを依頼し、記憶システム201から同意情報を受け取る(ステップS32)。同意情報取得部12は、同意情報を判定処理部13に送る。判定処理部13は、同意情報と要求情報とに基づいてデータ送信可否(提供可否)を判定し、判定結果をデータ保管部11に送る(ステップS33)。データ保管部11は、判定結果が送信可の場合(ステップS34のYES)、該当するデータ(個人データ又は解析結果データ等)を、出力部16を経由して、データ受信先装置401に送信する(ステップS35)。データ保管部11は、送信したデータの属性情報と処理の内容を示す情報とを履歴登録部14に送る。履歴登録部14は、データの属性情報と処理の内容を示す情報とを受け取り、提供(送信)の記録情報を生成し、記録情報の登録を記憶システム201に依頼する(ステップS36)。記憶システム201は、提供の記録情報を記憶する(同ステップS36)。データ保管部11は、判定結果が送信不可を示す場合(ステップS24のNO)、出力部16を経由して、送信不可の通知をデータ送信元装置301に送信してもよい。
【0067】
図19は、データ管理装置101がデータの取得の要求情報を受信した場合の動作の一例を示すフローチャートである。ここでは所有者装置501がデータ送信元装置301と同一である場合を想定する。入力部15は取得の要求情報(取得事業者がデータ管理装置101であるとする)をデータ送信元装置301(又は所有者装置501)から受信し、取得の要求情報を判定処理部13に送る(ステップS51)。データ管理装置101の内部で要求情報を発行してもよい。判定処理部13は、取得の要求情報を受け取り、要求情報を同意情報取得部12に送る。同意情報取得部12は、要求情報に基づいて記憶システム201に同意情報の読み出しを依頼し、記憶システム201から同意情報を受け取る(ステップS52)。同意情報取得部12は、同意情報を判定処理部13に送る。判定処理部13は、同意情報と要求情報とに基づいてデータ取得可否を判定し、判定結果をデータ保管部11に送る(ステップS53)。データ保管部11は、判定結果が取得可の場合(ステップS54のYES)、該当するデータ(個人データ)を、入力部15を経由して、データ送信元装置301(又は所有者装置501)から取得する(ステップS55)。データ保管部11は、取得したデータの属性情報と処理の内容を示す情報とを履歴登録部14に送る。履歴登録部14は、データの属性情報と処理の内容を示す情報とを受け取り、取得の記録情報を生成し、記録情報の登録を記憶システム201に依頼する(ステップS56)。記憶システム201は、取得の記録情報を記憶する(同ステップS56)。データ保管部11は、判定結果が取得不可を示す場合(ステップS54のNO)、出力部16を経由して、取得不可の通知をデータ送信元装置301(又は所有者装置501)に送信してもよい。
【0068】
以上、本実施形態によれば、個人に関するデータの処理に関する要求情報が個人の同意する条件(同意条件)を満たしているか否かを記憶システムから同意情報を取得することによって高速に確認することができる。よって、個人に関するデータを処理するための同意を効率的に確認することが可能になる。例えば、個人に関するデータを活用したサービスでは、より多くの個人に関するデータの収集が必要である。本実施形態では同意の条件を事業者単位、目的単位など、細かな粒度で設定できるため、様々な要求情報に対して同意の有無(同意条件を満たすか否か)を容易に確認できる。よって個人に関するデータの収集を効率的に行うことができる。また個人の同意に基づいたデータの利活用は、個人に対しての付加価値になるため、より多くのデータ収集につなげることが期待できる。
【0069】
(変形例1)
データ管理装置101がデータ管理装置101の事業者の識別子を保持する識別子保持部をさらに備えていてもよい。この場合、判定処理部13およびデータ保管部11が識別子保持部から、データ管理装置101を管理する事業者の識別子を読み出してもよい。または、判定処理部13およびデータ保管部11の内部に当該事業者の識別子を保持してもよい。
【0070】
(変形例2)
データ管理装置101が受け取る要求情報において事業者に関する項目が空白の場合に、要求情報を受信した事業者の識別子を格納するルールを導入してもよい。例えば要求情報に、取得事業者、利用事業者、提供事業者及び受領事業者のうちの少なくとも1つの項目が存在し、当該項目が空白のときは、データ管理装置101の事業者の識別子を格納してもよい。この際、変形例1の識別子保持部から事業者の識別子を読み出してもよい。
【0071】
(変形例3)
上述したように記憶システム201はブロックチェーンにより記録情報及び同意情報を管理してもよい。ブロックチェーンは、データ管理装置101の事業者のみで管理しても良い。ブロックチェーンを管理する複数のノード(コンピュータ、サーバ)の一部をデータ管理装置101の事業者が管理し、複数のノードの別の一部を、データ管理装置101の事業者以外、例えば、データ送信元装置301を管理する事業者や、データ受信先装置401を管理する事業者が管理しても良い。同意情報記憶部の一部がブロックチェーンの複数のノードの一部として、データ管理装置101の事業者によって管理されてもよい。
【0072】
図20は、記憶システム201がブロックチェーンを用いる場合のデータ管理装置101の構成例を示す。データ管理装置101は鍵記憶部21と署名部22をさらに備えている。履歴登録部14は、記録情報をブロックチェーンのトランザクションの形式にし、トランザクションへの署名を署名部22に依頼する。署名部22は鍵記憶部21から署名鍵を読み出し、トランザクションに署名し、署名付きトランザクションを履歴登録部14に送る。履歴登録部14は、署名付きトランザクションを記憶システム201に送る。記憶システム201は署名付きトランザクションをブロックに追加し、ブロックをブロックチェーンに追加する。同意情報も記録情報と同じブロックチェーンで管理されてもよい。この場合、所有者装置501は、同意情報をトランザクションの形式にし、署名鍵を用いてトランザクションに署名を行い、署名付きトランザクションを記憶システム201に送る。記憶システム201は、署名付きトランザクションをブロックに追加し、ブロックをブロックチェーンに追加する。
【0073】
ブロックチェーンを用いた場合、データ管理装置により取得された同意情報が最新であるか否かを、ブロックの順番から判断してもよい。または、ステートと呼ばれる領域に、最新の同意情報を記録し、そのステートの情報を読み出すことで最新の同意情報を確認してもよい。以下、ブロックチェーンを用いた記憶システム201について図21を用いて説明する。
【0074】
図21は、記憶システム201の構成例を示す。記憶システム201は、同意情報及び記録情報をブロックチェーンのブロックに記録する。1つのブロックは、1つまたは複数の同意情報や記録情報をトランザクションとして含む。同意情報又は記録情報の登録時に、各情報(トランザクション)にトランザクションID(図10のtxID)を割り振ってもよく、トランザクションIDに基づいて情報(同意情報又は記録情報)を参照してもよい。
【0075】
図22図23及び図24を用いて別の方式のブロックチェーンを用いた記憶システム201を説明する。
【0076】
図22は、記憶システム201の他の構成例を示す。記憶システム201は、1つ以上のブロックを含むブロックチェーンと、ステート保持部31と、スマートコントラクト処理部32を備える。記憶システム201は、登録を依頼された同意情報又は記録情報をブロックに記録する。1つのブロックは、同意情報及び履歴情報の少なくとも一方を1つまたは複数、トランザクションとして含む。記録時に、各情報(トランザクション)トランザクションIDを割り振ってもよく、トランザクションIDに基づいて情報を参照してもよい。
【0077】
本例では同意情報8を含むブロックと、同意情報9を含むブロックとを含む複数のブロックが接続されたブロックチェーンが示されている。ブロックは面に沿って右側に追加されていく。
【0078】
図23は、同意情報8及び同意情報9の例を示す。また、同意情報8及び同意情報9が対象とするある個人の2つの個人データの属性情報(属性情報2及び属性情報3)を示す。
【0079】
ステート保持部31は、例えば各個人データに対する現在(最新)の同意情報の一部又は全部をステートとして記録している。スマートコントラクト処理部32は、新たに登録を依頼された同意情報又は記録情報と、ステート保持部に保持されている現在のステートとに基づいて、ステート保持部31を更新する。
【0080】
図24は、ステート保持部31に保持されているステートの更新例を示す。例えば同意情報8をブロックに書き込んだとき、ステート保持部31はステート1に更新される。この後、同意情報9をブロックに書き込むときは、ステート1はステート2に更新される。
(変形例4)
図22の記憶システム201のスマートコントラクト処理部32が、判定処理を行っても良い。図25を用いて説明する。
図25は変形例4に係るデータ管理システムの全体構成図である。
入力部15は要求情報を受け取り、判定依頼部18に要求情報を送る。判定依頼部18は要求情報をトランザクションの形式にして、記憶システム201に送る。記憶システム201のスマートコントラクト処理部32は、受信した要求情報と、ステート保持部31から読み出した同意情報とに基づいて、第1の実施形態の判定処理部13と同様の判定処理を行う。記憶システム201は判定結果を判定依頼部18に送る。判定依頼部18は判定結果をデータ保管部11に送る。
以上、変形例3、4によれば、ブロックチェーンを用いることにより、同意情報や記録の改ざん耐性を向上させることができる。
【0081】
(第2の実施形態)
図26は、第2の実施形態に係るデータ管理システムの全体構成図である。データ管理装置101が、識別子対応関係記憶部41と、識別子変換部42を更に備える。
【0082】
第2の実施形態では、ある同一のデータ所有者(個人)に対して、データ管理装置101、記憶システム201、データ送信元装置301、データ受信先装置401は、互いに異なる所有者識別子を用いる。
【0083】
識別子対応関係記憶部41は、各装置(101、201、301、401)間の所有者識別子間の対応表を記憶する。対応表は、データ管理装置101の管理者等により格納される。
【0084】
図27は、対応表の例を示す。一例として、所有者識別子1は記憶システム201で所有者の管理(識別)に用いる識別子、所有者識別子2はデータ管理装置101で所有者の管理に用いる識別子である。また、所有者識別子3はデータ送信元装置301で所有者の管理に用いる識別子、所有者識別子4はデータ受信先装置401で所有者の管理に用いる識別子である。複数の装置で所有者識別子が共通の場合は、4種類の所有者識別子でなく、2種類又は3種類の所有者識別子の対応表でもよい。例えば所有者識別子2と所有者識別子3の対応表でもよい。予め得ている所有者識別子と、新たに取得した所有者識別子とを対応づけて、対応表を生成してもよい。
【0085】
識別子変換部42は、変換対象の所有者識別子を含む情報(変換対象情報)と、変換後の所有者識別子を含む情報の出力先の情報(出力先情報)とを受け取る。識別子変換部42は、変換対象情報に含まれる所有者識別子i(i=1,…,4)から、対応表に基づき、対応する所有者識別子j(j=1,…,4, j≠i)を得る。識別子変換部42は、変換対象情報の所有者識別子iを所有者識別子jに置換した情報を変換後情報として生成する。これにより変換対象情報に含まれていた所有者識別子iを所有者識別子jに変換する。識別子変換部42は、変換後の所有者識別子jを含む変換後情報を、出力先情報が示す出力先に出力する。
【0086】
第2の実施形態のデータ管理装置101の動作は、異なる所有者識別子を扱う装置間のやりとりが発生する場合に識別子変換部42で所有者識別子を変換する処理が追加される点が第1の実施形態と異なる。複数の装置の一部間で所有者識別子が共通している場合は、所有者識別子が共通する装置間のやりとりにおいて、識別子変換部42で所有者識別子を変換する処理は不要である。
【0087】
図28は、識別子変換部42を用いた動作の一例として、データ管理装置101が個人データの提供の要求情報を受信した場合の動作の一例を示す。要求情報は、データ管理装置101への個人データの提供(データ管理装置101による個人データの受領及び保管)を要求している。
【0088】
入力部15は、個人データの保管の要求情報と保管対象となる個人データを受信する(ステップS41)。入力部15は、識別子変換部42に要求情報と個人データとを送る。識別子変換部42は、受け取った個人データの属性情報の所有者識別子3を所有者識別子2に変換し、変換後の個人データをデータ保管部11に送る(ステップS42)。また、識別子変換部42は、受け取った要求情報の属性情報の所有者識別子3を所有者識別子2に変換し、変換後の要求情報を判定処理部13に送る(同ステップS42)。データ保管部11は、変換後の個人データを受け取り、個人データを内部の記憶部に記憶する(ステップS43)。
【0089】
判定処理部13は受け取った要求情報と同意読み出し依頼を識別子変換部42に送り、識別子変換部42は、受け取った要求情報の属性情報の所有者識別子2を所有者識別子1に変換し、変換後の要求情報を同意情報取得部12に送る(ステップS44)。同意情報取得部12は、変換後の要求情報に基づき、記憶システム201に同意情報の読み出しを依頼し、記憶システム201から同意情報を受け取る(ステップS45)。同意情報取得部12は、同意情報を識別子変換部42に送り、識別子変換部42は、受け取った同意情報の所有者識別子1を所有者識別子2に変換し、変換後の同意情報を判定処理部13に送る(ステップS46)。
【0090】
判定処理部13は、変換後の同意情報と、識別子変換部42から受け取った変換後の要求情報とに基づいて、保管可否を判定する(ステップS47)。判定処理部13は、判定結果をデータ保管部11に送る。データ保管部11は、判定結果が保管不可を示す場合(ステップS48のNO)、個人データを削除する(ステップS49)。データ保管部11は、出力部16を経由して、保管不可の通知をデータ送信元装置301に送信してもよい。データ保管部11は、判定結果が保管可を示す場合(ステップS48のYES)、処理内容を示す情報を履歴登録部14に送るとともに、個人データの属性情報を識別子変換部42に送る。識別子変換部42は、受け取った属性情報の所有者識別子2を所有者識別子1に変換し、変換後の属性情報を履歴登録部14に送る(ステップS50)。履歴登録部14は、変換後の属性情報と処理内容を示す情報とを受け取り、受領(又は保管)の記録情報を生成する(ステップS51)。履歴登録部14は、記録情報の登録を記憶システム201に依頼し、記憶システム201は、受領(又は保管)の記録情報を記憶する(同ステップS51)。
【0091】
利用(解析等)の要求情報、又は取得の要求情報等を受信した場合も、識別子変換部を用いて所有者識別子を変換する動作を行うことで、第1の実施形態と同様の動作が可能である。
以上、本実施形態によれば、各システム又は装置で異なる所有者識別子を用いていても、同意の確認や記録を行うことができる。
【0092】
(変形例1)
データ保管部11で用いる所有者識別子(所有者識別子2)は仮名でもよい。仮名は、例えばランダムで互いに重複しない文字列である。仮名だけでは個人を識別できないが、対応表を用いることで、個人を識別することができる。
図29は、所有者識別子2を仮名にした対応表の例を示す。所有者識別子2以外の所有者識別子が仮名であってもよい。また所有者識別子1~4のうちの複数が仮名であってもよい。
以上、本変形例によれば、データを仮名で保存することができ、個人のプライバシーを保護することができる。
【0093】
(ハードウェア構成)
図30は、データ管理装置101(情報処理装置)のハードウェア構成を示す。データ管理装置101は、コンピュータ600により構成される。コンピュータ600は、CPU601と、入力インタフェース602と、表示装置603と、通信装置604と、主記憶装置605と、外部記憶装置606とを備え、これらはバス607により相互に接続されている。
【0094】
CPU(中央演算装置)601は、主記憶装置605上で、コンピュータプログラムである情報処理プログラムを実行する。情報処理プログラムは、データ管理装置101の上述の各機能構成を実現するプログラムのことである。情報処理プログラムは、1つのプログラムではなく、複数のプログラムやスクリプトの組み合わせにより実現されていてもよい。CPU601が、情報処理プログラムを実行することにより、各機能構成は実現される。
【0095】
入力インタフェース602は、キーボード、マウス、及びタッチパネルなどの入力装置からの操作信号を、データ管理装置101に入力するための回路である。
【0096】
表示装置603は、データ管理装置101から出力されるデータを表示する。表示装置603は、例えば、LCD(液晶ディスプレイ)、有機エレクトロルミネッセンスディスプレイ、CRT(ブラウン管)、又はPDP(プラズマディスプレイ)であるが、これに限られない。
【0097】
通信装置604は、データ管理装置101が外部装置と無線又は有線で通信するための回路である。データは、通信装置604を介して外部装置から入力することができる。外部装置から入力したデータを、主記憶装置605や外部記憶装置606に格納することができる。通信装置604は、図1の入力部15、出力部16、履歴登録部14が備える送受信機能、又は同意情報取得部12が備える送受信機能に相当する。
【0098】
主記憶装置605は、情報処理プログラム、情報処理プログラムの実行に必要なデータ、及び情報処理プログラムの実行により生成されたデータなどを記憶する。情報処理プログラムは、主記憶装置605上で展開され、実行される。主記憶装置605は、例えば、RAM、DRAM、SRAMであるが、これに限られない。データ管理装置101の各記憶部又はデータベースは、主記憶装置605上に構築されてもよい。
【0099】
外部記憶装置606は、情報処理プログラム、情報処理プログラムの実行に必要なデータ、及び情報処理プログラムの実行により生成されたデータなどを記憶する。これらの情報処理プログラムやデータは、情報処理プログラムの実行の際に、主記憶装置605に読み出される。外部記憶装置606は、例えば、ハードディスク、光ディスク、フラッシュメモリ、及び磁気テープであるが、これに限られない。データ管理装置101の各記憶部又はデータベースは、外部記憶装置606上に構築されてもよい。
【0100】
なお、情報処理プログラムは、コンピュータ600にあらかじめインストールされていてもよいし、CD-ROMなどの記憶媒体に記憶されていてもよい。また、情報処理プログラムは、インターネット上にアップロードされていてもよい。
【0101】
また、データ管理装置101は、単一のコンピュータ600により構成されてもよいし、相互に接続された複数のコンピュータ600からなるシステムとして構成されてもよい。
【0102】
なお、本発明は上記各実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記各実施形態に開示されている複数の構成要素を適宜組み合わせることによって種々の発明を形成できる。また例えば、各実施形態に示される全構成要素からいくつかの構成要素を削除した構成も考えられる。さらに、異なる実施形態に記載した構成要素を適宜組み合わせてもよい。
【符号の説明】
【0103】
11 データ保管部
12 同意情報取得部
13 判定処理部
14 履歴登録部
15 入力部(受信部)
16 出力部(送信部)
17 データ解析部
18 判定依頼部
21 鍵記憶部
22 署名部
31 ステート保持部
32 スマートコントラクト処理部
41 識別子対応関係記憶部
42 識別子変換部
101 データ管理装置
201 記憶システム(同意情報記憶部、記録情報記憶部)
301 データ送信元装置
401 データ受信先装置
501 所有者装置
600 コンピュータ
602 入力インタフェース
603 表示装置
604 通信装置
605 主記憶装置
606 外部記憶装置
607 バス
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
図15
図16
図17
図18
図19
図20
図21
図22
図23
図24
図25
図26
図27
図28
図29
図30
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.