(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2024-09-02
(45)【発行日】2024-09-10
(54)【発明の名称】パーソナルデータ管理システム、パーソナルデータ管理方法、及びプログラム
(51)【国際特許分類】
G06F 21/62 20130101AFI20240903BHJP
G06F 21/33 20130101ALI20240903BHJP
【FI】
G06F21/62 345
G06F21/33
(21)【出願番号】P 2024006789
(22)【出願日】2024-01-19
【審査請求日】2024-01-19
【早期審査対象出願】
(73)【特許権者】
【識別番号】000003193
【氏名又は名称】TOPPANホールディングス株式会社
(74)【代理人】
【識別番号】100149548
【氏名又は名称】松沼 泰史
(74)【代理人】
【識別番号】100139686
【氏名又は名称】鈴木 史朗
(74)【代理人】
【識別番号】100169764
【氏名又は名称】清水 雄一郎
(74)【代理人】
【識別番号】100147267
【氏名又は名称】大槻 真紀子
(72)【発明者】
【氏名】児玉 侑理加
(72)【発明者】
【氏名】宮田 智博
【審査官】三森 雄介
(56)【参考文献】
【文献】国際公開第2023/242961(WO,A1)
【文献】特開2001-188757(JP,A)
【文献】特開2023-010221(JP,A)
【文献】特開2022-138699(JP,A)
【文献】田口 慶二 KEIJI TAGUCHI,じっくり理解を深めるネットワーク教養講座 第4回,日経NETWORK 第39号 ,日本,日経BP社 Nikkei Business Publications,Inc.
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/00-21/88
G06Q 10/00-10/10
G06Q 30/00-30/08
G06Q 50/00-99/00
(57)【特許請求の範囲】
【請求項1】
代理人によるパーソナルデータの管理が必要な管理対象者である第1のユーザと、前記代理人である第2のユーザとの関係について、前記第2のユーザが前記第1のユーザの代理人であることが、前記第1のユーザと前記第2のユーザとの関係を検証可能な検証用情報に基づき第三者によって証明されていることを示す証明情報の入力を受け付ける入力受付部と、
入力が受け付けられた前記証明情報に基づき、前記代理人である前記第2のユーザに対して、前記管理対象者である前記第1のユーザの前記パーソナルデータを管理することが可能となる権限を付与する権限管理部と、
前記第1のユーザと前記第2のユーザの本人確認時、前記第1のユーザと前記第2のユーザの各々が属する国又は地域を示す所属情報を取得する本人確認部と、
を備え、
前記検証用情報は、前記第1のユーザと前記第2のユーザとの関係を証明する情報であり、
前記証明情報は、前記検証用情報に基づき、前記検証用情報の発行者とは異なる前記第三者によって発行され
、
前記権限管理部は、前記所属情報が示す国又は地域に対応する法律に基づき、前記第2のユーザが前記第1のユーザの前記パーソナルデータを管理する期間を設定し、前記期間の経過後、前記第1のユーザに対して前記第2のユーザによる管理を継続するか否かを選択させる、
パーソナルデータ管理システム。
【請求項2】
前記権限を有する前記第2のユーザからの要求に応じて、前記第1のユーザのパーソナルデータのうち、前記第1のユーザが利用するサービスに必要な情報を前記サービスへオプトインするオプトイン管理部、
をさらに備える請求項1に記載のパーソナルデータ管理システム。
【請求項3】
前記オプトイン管理部は、前記第1のユーザが利用する前記サービスが前記第1のユーザと前記第2のユーザとの関係の証明を必要とするサービスである場合、前記証明情報を前記サービスへオプトインする、
請求項2に記載のパーソナルデータ管理システム。
【請求項4】
前記第1のユーザの前記パーソナルデータと前記第2のユーザの前記パーソナルデータは、別々のデータベースにてそれぞれ管理されており、
入力が受け付けられた前記証明情報に基づき、前記第1のユーザの前記パーソナルデータが管理されている第1のデータベースと、前記第1のユーザの前記代理人である前記第2のユーザの前記パーソナルデータが管理されている第2のデータベースとの間にリレーションを設定するリレーション管理部と、
前記権限及び前記リレーションに基づき、前記パーソナルデータを管理するパーソナルデータ管理部と、
をさらに備える請求項1に記載のパーソナルデータ管理システム。
【請求項5】
前記パーソナルデータ管理部は、前記権限を有する前記第2のユーザが自身の前記パーソナルデータを更新した際に、前記第2のユーザの前記管理対象者である第1のユーザと共通する情報が更新した前記パーソナルデータに含まれている場合、前記第1のユーザの前記パーソナルデータも同様に更新する、
請求項4に記載のパーソナルデータ管理システム。
【請求項6】
前記管理対象者が未成年者である場合、前記第1のユーザが成年者となった際に、
前記権限管理部は、前記第1のユーザの代理人である前記第2のユーザから前記権限を削除し、
前記リレーション管理部は、前記第1のユーザの前記第1のデータベースと、前記第1のユーザの代理人である前記第2のユーザの前記第2のデータベースとの間の前記リレーションを解除する、
請求項4に記載のパーソナルデータ管理システム。
【請求項7】
前記代理人は、前記管理対象者と法的に認められた関係を有する者である、
請求項1に記載のパーソナルデータ管理システム。
【請求項8】
前記検証用情報は、戸籍謄本であり、
前記証明情報は、VC(Verifiable Credentials)である、
請求項1に記載のパーソナルデータ管理システム。
【請求項9】
代理人によるパーソナルデータの管理が必要な管理対象者である第1のユーザと、前記代理人である第2のユーザとの関係について、前記第2のユーザが前記第1のユーザの代理人であることが、前記第1のユーザと前記第2のユーザとの関係を検証可能な検証用情報に基づき第三者によって証明されていることを示す証明情報の入力を受け付ける入力受付過程と、
入力が受け付けられた前記証明情報に基づき、前記代理人である前記第2のユーザに対して、前記管理対象者である前記第1のユーザの前記パーソナルデータを管理することが可能となる権限を付与する権限管理過程と、
前記第1のユーザと前記第2のユーザの本人確認時、前記第1のユーザと前記第2のユーザの各々が属する国又は地域を示す所属情報を取得する本人確認過程と、
を含み、
前記検証用情報は、前記第1のユーザと前記第2のユーザとの関係を証明する情報であり、
前記証明情報は、前記検証用情報に基づき、前記検証用情報の発行者とは異なる前記第三者によって発行され
、
前記権限管理過程は、前記所属情報が示す国又は地域に対応する法律に基づき、前記第2のユーザが前記第1のユーザの前記パーソナルデータを管理する期間を設定し、前記期間の経過後、前記第1のユーザに対して前記第2のユーザによる管理を継続するか否かを選択させる、
コンピュータにより実行されるパーソナルデータ管理方法。
【請求項10】
コンピュータを、
代理人によるパーソナルデータの管理が必要な管理対象者である第1のユーザと、前記代理人である第2のユーザとの関係について、前記第2のユーザが前記第1のユーザの代理人であることが、前記第1のユーザと前記第2のユーザとの関係を検証可能な検証用情報に基づき第三者によって証明されていることを示す証明情報の入力を受け付ける入力受付手段と、
入力が受け付けられた前記証明情報に基づき、前記代理人である前記第2のユーザに対して、前記管理対象者である前記第1のユーザの前記パーソナルデータを管理することが可能となる権限を付与する権限管理手段と、
前記第1のユーザと前記第2のユーザの本人確認時、前記第1のユーザと前記第2のユーザの各々が属する国又は地域を示す所属情報を取得する本人確認手段と、
として機能させ、
前記検証用情報は、前記第1のユーザと前記第2のユーザとの関係を証明する情報であり、
前記証明情報は、前記検証用情報に基づき、前記検証用情報の発行者とは異なる前記第三者によって発行され
、
前記権限管理手段は、前記所属情報が示す国又は地域に対応する法律に基づき、前記第2のユーザが前記第1のユーザの前記パーソナルデータを管理する期間を設定し、前記期間の経過後、前記第1のユーザに対して前記第2のユーザによる管理を継続するか否かを選択させる、
プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、パーソナルデータ管理システム、パーソナルデータ管理方法、及びプログラムに関する。
【背景技術】
【0002】
従来、各種サービスの利用者は、サービスを利用するにあたり、個人情報などのパーソナルデータの提供をサービスの提供者から求められる場合がある。個人情報の提供については、本人が個人情報の取り扱いについて同意をしたことによって生ずる結果を判断できる能力を有していない者(例えば未成年者)である場合、本人の代理人(例えば親)から同意を得る必要があることが個人情報保護法によって定められている。これに関連して、サービスの中には、サービスの利用者の代わりに代理人が手続きを行うことが可能なサービスも存在し、そのための技術も各種提案されている。
【0003】
例えば、下記特許文献1には、利用者の代理人による手続きにおいて、その代理人の認証を支援する技術が開示されている。当該技術では、契約者(利用者)の家族(代理人)が契約者に代わる手続きを行う場合に、契約者の契約データと手続者の身分証明書に記載の情報とを比較し、両者が家族であると判断できた場合に代理人による手続きを可能としている。代理人が手続きを行うことは、即ち、利用者の個人情報をサービスへ提供することに同意したことにもなる。
【先行技術文献】
【特許文献】
【0004】
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、上記特許文献1に記載の技術では、代理人が利用者のパーソナルデータを管理することまではできず、その管理は利用者本人に委ねられていた。誰でも気軽にSNS(Social networking service)やインターネットなどを利用可能な現代において、例えば個人情報漏洩や高額サービスへの誤った課金など、未成年者がパーソナルデータを管理することによる被害が発生している。このため、個人情報の取り扱いにおいて代理人を要する利用者については、代理人が利用者のデータを適切に管理できることが望まれる。
【0006】
上述の課題を鑑み、本発明の目的は、個人情報を含むパーソナルデータを安全に活用することが可能なパーソナルデータ管理システム、パーソナルデータ管理方法、及びプログラムを提供することにある。
【課題を解決するための手段】
【0007】
上述の課題を解決するために、本発明の一態様に係るパーソナルデータ管理システムは、代理人によるパーソナルデータの管理が必要な管理対象者である第1のユーザと、前記代理人である第2のユーザとの関係について、前記第2のユーザが前記第1のユーザの代理人であることが、前記第1のユーザと前記第2のユーザとの関係を検証可能な検証用情報に基づき第三者によって証明されていることを示す証明情報の入力を受け付ける入力受付部と、入力が受け付けられた前記証明情報に基づき、前記代理人である前記第2のユーザに対して、前記管理対象者である前記第1のユーザの前記パーソナルデータを管理することが可能となる権限を付与する権限管理部と、前記第1のユーザと前記第2のユーザの本人確認時、前記第1のユーザと前記第2のユーザの各々が属する国又は地域を示す所属情報を取得する本人確認部と、を備え、前記検証用情報は、前記第1のユーザと前記第2のユーザとの関係を証明する情報であり、前記証明情報は、前記検証用情報に基づき、前記検証用情報の発行者とは異なる前記第三者によって発行され、前記権限管理部は、前記所属情報が示す国又は地域に対応する法律に基づき、前記第2のユーザが前記第1のユーザの前記パーソナルデータを管理する期間を設定し、前記期間の経過後、前記第1のユーザに対して前記第2のユーザによる管理を継続するか否かを選択させる、パーソナルデータ管理システムである。
【0008】
本発明の一態様に係るパーソナルデータ管理方法は、代理人によるパーソナルデータの管理が必要な管理対象者である第1のユーザと、前記代理人である第2のユーザとの関係について、前記第2のユーザが前記第1のユーザの代理人であることが、前記第1のユーザと前記第2のユーザとの関係を検証可能な検証用情報に基づき第三者によって証明されていることを示す証明情報の入力を受け付ける入力受付過程と、入力が受け付けられた前記証明情報に基づき、前記代理人である前記第2のユーザに対して、前記管理対象者である前記第1のユーザの前記パーソナルデータを管理することが可能となる権限を付与する権限管理過程と、前記第1のユーザと前記第2のユーザの本人確認時、前記第1のユーザと前記第2のユーザの各々が属する国又は地域を示す所属情報を取得する本人確認過程と、を含み、前記検証用情報は、前記第1のユーザと前記第2のユーザとの関係を証明する情報であり、前記証明情報は、前記検証用情報に基づき、前記検証用情報の発行者とは異なる前記第三者によって発行され、前記権限管理過程は、前記所属情報が示す国又は地域に対応する法律に基づき、前記第2のユーザが前記第1のユーザの前記パーソナルデータを管理する期間を設定し、前記期間の経過後、前記第1のユーザに対して前記第2のユーザによる管理を継続するか否かを選択させる、コンピュータにより実行されるパーソナルデータ管理方法である。
【0009】
本発明の一態様に係るプログラムは、コンピュータを、代理人によるパーソナルデータの管理が必要な管理対象者である第1のユーザと、前記代理人である第2のユーザとの関係について、前記第2のユーザが前記第1のユーザの代理人であることが、前記第1のユーザと前記第2のユーザとの関係を検証可能な検証用情報に基づき第三者によって証明されていることを示す証明情報の入力を受け付ける入力受付手段と、入力が受け付けられた前記証明情報に基づき、前記代理人である前記第2のユーザに対して、前記管理対象者である前記第1のユーザの前記パーソナルデータを管理することが可能となる権限を付与する権限管理手段と、前記第1のユーザと前記第2のユーザの本人確認時、前記第1のユーザと前記第2のユーザの各々が属する国又は地域を示す所属情報を取得する本人確認手段と、として機能させ、前記検証用情報は、前記第1のユーザと前記第2のユーザとの関係を証明する情報であり、前記証明情報は、前記検証用情報に基づき、前記検証用情報の発行者とは異なる前記第三者によって発行され、前記権限管理手段は、前記所属情報が示す国又は地域に対応する法律に基づき、前記第2のユーザが前記第1のユーザの前記パーソナルデータを管理する期間を設定し、前記期間の経過後、前記第1のユーザに対して前記第2のユーザによる管理を継続するか否かを選択させる、プログラムである。
【発明の効果】
【0010】
本発明によれば、個人情報を含むパーソナルデータを安全に活用することができる。
【図面の簡単な説明】
【0011】
【
図1】本実施形態に係るパーソナルデータ管理サービスの概要を示す図である。
【
図2】本実施形態に係るパーソナルデータ管理システムの構成の一例を示すブロック図である。
【
図3】本実施形態に係るユーザ端末の機能構成の一例を示すブロック図である。
【
図4】本実施形態に係る認証サーバの機能構成の一例を示すブロック図である。
【
図5】本実施形態に係るパーソナルデータ管理サーバの機能構成の一例を示すブロック図である。
【
図6】本実施形態に係るサービス管理サーバの機能構成の一例を示すブロック図である。
【
図7】本実施形態に係る証明情報発行における準備処理の流れの一例を示すシーケンス図である。
【
図8】本実施形態に係る証明情報発行処理の流れの一例を示すシーケンス図である。
【
図9】本実施形態に係る証明情報発行に伴うパーソナルデータ管理サーバにおける処理の流れの一例を示すシーケンス図である。
【
図10】本実施形態に係る個人が自身のデータを参照する場合における処理の流れの一例を示すシーケンス図である。
【
図11】本実施形態に係る代理人が自身のデータを更新する場合における処理の流れの一例を示すシーケンス図である。
【
図12】本実施形態に係る代理人が管理対象者のデータも参照又は更新する場合における処理の流れの一例を示すシーケンス図である。
【
図13】本実施形態に係るユーザがサービスを利用する場合におけるオプトイン処理の流れの一例を示すシーケンス図である。
【発明を実施するための形態】
【0012】
以下、図面を参照しながら本発明の実施形態について詳しく説明する。
【0013】
<1.パーソナルデータ管理サービスの概要>
図1を参照して、本実施形態に係るパーソナルデータ管理サービスの概要について説明する。
図1は、本実施形態に係るパーソナルデータ管理サービスの概要を示す図である。
図1に示すパーソナルデータ管理サービスSAは、管理対象者であるユーザ(第1のユーザ)のパーソナルデータの利用を、代理人であるユーザ(第2のユーザ)のコントロールによって許諾することが可能なサービスである。
【0014】
管理対象者は、代理人によるパーソナルデータの管理が必要な者である。管理対象者は、本人が個人情報の取り扱いについて同意をしたことによって生ずる結果を判断できる能力を有していない者である。管理対象者の一例には、未成年者、高齢者、病気(認知症や精神障害など)によって判断能力が低下した者などがある。このような管理対象者については、自身の個人情報を他社へ提供する場合に本人の代理人(例えば親)から同意を得る必要があることが個人情報保護法によって定められている。
代理人は、管理対象者のパーソナルデータを代理で管理する者である。代理人は、管理対象者と法的に認められた関係を有する者である。代理人の一例として、法定代理人(親権者)、後見人(未成年後見人、成年後見人)などがある。
【0015】
ここで、ユーザがパーソナルデータ管理サービスSAを利用する際のサービスの流れについて説明する。なお、以下では、管理対象者が子供(未成年者)であり、代理人が親(親権者)である例を一例として、サービスの流れについて説明する。この場合、親が子供のパーソナルデータを管理する期間(以下、「管理対象期間」とも称される)は、親に権限が付与されてから子供が成年者(成人)となるまでの期間となる。
なお、未成年者は、成人していない者(18歳未満)であるが、管理対象者とする未成年者の範囲はさらに限定的であってもよい。例えば、管理対象者は、12歳から15歳までの年齢以下の子供であってもよい。この場合、管理対象期間は、管理対象者とする未成年者の範囲に応じて設定されてもよい。
【0016】
図1に示すように、まず、子供US1と親US2は、本人確認を行う(ステップS1)。本人確認は、例えば、オンライン本人確認(eKYC:electronic Know Your Customer)又は公的個人認証サービス(JPKI: Japanese Public Key Infrastructure)によって行われる。
オンライン本人確認(eKYC)では、写真付き本人確認書類(例えば免許証)の画像と本人の容貌(顔)の画像とを照合することによる本人確認がオンラインで行われる。
公的個人認証サービス(JPKI)では、マイナンバーカードのICチップに搭載された署名用電子証明書や利用者証明用電子証明書を利用した本人認証が行われる。
【0017】
次に、子供US1と親US2は、両者の関係を証明するための情報を用意する(ステップS2)。当該情報は、例えば、戸籍謄本である。この場合、子供US1と親US2は、役所にて戸籍謄本を入手し、当該戸籍謄本を撮影した画像を戸籍謄本情報としてシステムへアップロードする。
【0018】
次に、子供US1と親US2とは異なる第三者によって、ステップS1における本人確認の結果と、ステップS2にてアップロードされた戸籍謄本情報とに基づき、VC(Verifiable Credentials)の発行が行われる(ステップS3)。
VCは、オンラインで検証可能なデジタル証明書を示す情報であり、本実施形態に係る証明情報の一例である。証明情報は、親US2が子供US1の代理人であることが第三者によって証明されていることを示す情報である。
第三者は、管理対象者と代理人との関係を検証可能な情報(以下、「検証用情報」とも称される)を用いて、管理対象者と代理人との関係が適切であるかを検証する。戸籍謄本情報は、検証用情報の一例である。戸籍謄本のように紙の印刷物は、例えばカメラによって撮影された画像が検証用情報として用いられてもよいし、OCR(Optical Character Recognition:光学的文字認識)によって読み取られた文字情報が検証用情報として用いられてもよい。第三者は、検証用情報を目視で確認し、管理対象者と代理人との関係が適切であると判定できた場合、その関係を証明するVCを発行する。
なお、VCの発行を行う第三者は、任意の事業者であってよい。例えば、第三者は、パーソナルデータ管理サービスSAを提供する事業者や、BPO(Business Process Outsourcing)によって業務を外部委託された事業者であってもよい。
【0019】
第三者によってVCが発行されると、PDS(パーソナルデータストア)にて子供DBと親DBとの間のリレーションが設定される(ステップS4)。PDSは、ユーザのパーソナルデータをユーザごとに管理する仕組みである。子供DBは、子供US1のパーソナルデータが管理されるデータベースである。親DBは、親US2のパーソナルデータが管理されるデータベースである。
なお、各ユーザは、データカタログによって各自のパーソナルデータを管理することができる。データカタログは、PDSのDBに登録されているパーソナルデータに基づき、ユーザごとに生成される。
【0020】
また、第三者によってVCが発行されると、代理人である親US2に対して、管理対象者である子供US1のパーソナルデータを管理することが可能となる権限が付与される(ステップS5)。リレーションの設定及び権限の付与により、親US2が自身のパーソナルデータ(親DB)を更新すると、親US2の管理対象者である子供US1と共通する情報が更新したパーソナルデータに含まれている場合、子供US1のパーソナルデータ(子供DB)も同様に更新される。
【0021】
権限が付与された親US2は、マスターカタログによって自身のパーソナルデータと管理対象者である子供US1のパーソナルデータを管理することができる(ステップS6)。マスターカタログは、PDSのDBに登録されている管理対象者とその代理人のパーソナルデータに基づき生成される。
【0022】
子供US1がサービスを利用する場合、親US2は、子供US1のパーソナルデータのうち、子供US1が利用するサービスに必要な情報をサービスへオプトインする(ステップS7)。親US2は、マスターカタログを参照して、サービスへオプトインする子供US1のパーソナルデータを選択することができる。
なお、親US2は、サービスカタログによって、サービスの利用に必要な情報を確認することができる。サービスカタログは、サービス提供者であるサービスプロバイダから提示され、サービス提供者によって提供されるサービスの内容(提供される価値)と、サービスの利用に必要なパーソナルデータとが示されている。
図1には、一例として、サービスプロバイダAによって提供されるサービスAのサービスカタログと、サービスプロバイダBによって提供されるサービスBのサービスカタログとが示されている。
【0023】
サービス提供者は、ユーザによって必要な情報がオプトインされると、対象となるユーザに対してサービスを提供する(ステップS8)。
図1に示す例の場合、親US2によって子供US1のパーソナルデータがサービスプロバイダによって提供されるサービスAへオプトインされている。このため、サービスプロバイダAは、子供US1と親US2に対して、サービスAを提供している。
【0024】
<2.パーソナルデータ管理システムの構成>
以上、本実施形態に係るパーソナルデータ管理サービスSAについて説明した。続いて、
図2を参照して、本実施形態に係るパーソナルデータ管理システムの構成について説明する。
図2は、本実施形態に係るパーソナルデータ管理システムの構成の一例を示すブロック図である。
図2に示すパーソナルデータ管理システム1は、
図1を参照して概要を説明したパーソナルデータ管理サービスSAを運用するためのシステムである。
【0025】
図2に示すように、パーソナルデータ管理システム1は、ユーザ端末10と、認証サーバ20と、パーソナルデータ管理サーバ30と、サービス管理サーバ40とを備える。
ネットワークNWは、には、情報の授受を行うための構成として、例えば、LAN(Local Area Network)、WAN(Wide Area Network)、電話網(携帯電話網、固定電話網等)、地域IP(Internet Protocol)網、インターネット、QKDネットワーク等が適用される。
【0026】
(1)ユーザ端末10
ユーザ端末10は、ユーザがパーソナルデータ管理サービスを利用するために操作する端末である。ユーザ端末10は、例えば、スマートフォン、タブレット端末、PC(Personal Computer)などである。ユーザ端末10は、ネットワークNWを介して、認証サーバ20と、パーソナルデータ管理サーバ30と、サービス管理サーバ40と通信可能に接続されている。
なお、ユーザ端末10の数は特に限定されず、1又は複数の端末が存在してよい。また、管理対象者と代理人は、パーソナルデータ管理サービスSAを利用する際に、各自が有するユーザ端末10をそれぞれ用いてもよいし、一方が有するユーザ端末10のみを用いてもよい。
【0027】
ユーザ端末10には、ユーザがパーソナルデータ管理システム1を利用するためのポータルとして機能するアプリケーション(以下、「ポータルアプリ」とも称される)によって、各種のUI(User Inteface)が表示される。ユーザは、ポータルアプリによってユーザ端末10に表示されるUIを操作することで、パーソナルデータ管理システム1を利用することができる。
なお、ポータルアプリの機能は、ユーザ端末10にポータルアプリをインストールすること(即ちネイティブアプリ)で提供されてもよいし、Webシステム(即ちWebアプリ)によって提供されてもよい。Webアプリの場合、ポータルアプリはサーバで管理されており、その機能はWebブラウザを介して提供される。
【0028】
(2)認証サーバ20
認証サーバ20は、ユーザがパーソナルデータ管理サービスSAを利用するための認証に関する処理を行うサーバである。認証サーバ20は、例えばPC、1又は複数のサーバ(例えば、クラウドサーバ)によって構成される。認証サーバ20は、ネットワークNWを介して、ユーザ端末10と、パーソナルデータ管理サーバ30と通信可能に接続されている。
【0029】
(3)パーソナルデータ管理サーバ30
パーソナルデータ管理サーバ30は、ユーザのパーソナルデータを管理するための処理を行うサーバである。パーソナルデータ管理サーバ30は、例えばPC、1又は複数のサーバ(例えば、クラウドサーバ)によって構成される。パーソナルデータ管理サーバ30は、ネットワークNWを介して、ユーザ端末10と、認証サーバ20と、サービス管理サーバ40と通信可能に接続されている。
【0030】
(4)サービス管理サーバ40
サービス管理サーバ40は、サービスを管理するための処理を行うサーバである。サービス管理サーバ40は、例えばPC、1又は複数のサーバ(例えば、クラウドサーバ)によって構成される。サービス管理サーバ40は、ネットワークNWを介して、ユーザ端末10と、パーソナルデータ管理サーバ30と通信可能に接続されている。
なお、サービス管理サーバ40の数は特に限定されず、1又は複数のサーバが存在してよい。例えば、サービス管理サーバ40は、ユーザへ提供されるサービスの数だけ存在し得る。
【0031】
<3.ユーザ端末の機能構成>
以上、本実施形態に係るパーソナルデータ管理システム1の構成について説明した。続いて、
図3を参照して、本実施形態に係るユーザ端末10の機能構成について説明する。
図3は、本実施形態に係るユーザ端末10の機能構成の一例を示すブロック図である。
図3に示すように、ユーザ端末10は、通信部110と、入力部120と、撮像部130と、記憶部140と、制御部150と、出力部160とを備える。
【0032】
(1)通信部110
通信部110は、各種情報を送受信する機能を有する。通信部110は、例えば、ネットワークNWを介して、認証サーバ20と、パーソナルデータ管理サーバ30と、サービス管理サーバ40と各種情報の送受信を行う。
また、通信部110は、NFC(Near field communication)による通信が可能な構成を有してもよい。通信部110は、NFCによって、例えばマイナンバーカードのICチップに搭載された署名用電子証明書や利用者証明用電子証明書を読み取ることができる。
【0033】
(2)入力部120
入力部120は、入力を受け付ける機能を有する。入力部120は、例えば、ユーザ端末10がハードウェアとして備える入力装置、例えばボタン、タッチパネル、マイクロフォン、マウス、キーボード等によって構成される。
【0034】
(3)撮像部130
撮像部130は、画像を撮像する機能を有する。撮像部130は、例えば、ユーザ端末10がハードウェアとして備えるカメラによって構成される。撮像部130は、ユーザが本人確認や検証用情報のアップロードを行う際に、ユーザの操作に応じて各種の画像を撮像する。ユーザがeKYCによる本人確認を行う場合、写真付き本人確認書類(例えば免許証)の画像と本人の容貌(顔)の画像とが必要となる。このため、撮像部130は、ユーザの操作に応じて、ユーザの本人確認書類の画像(以下、「本人確認書類画像」とも称される)とユーザの容貌の画像(顔画像)とを撮像する。
ユーザが検証用情報のアップロードを行う場合、撮像部130は、例えば戸籍謄本の画像を撮像する。
【0035】
(4)記憶部140
記憶部140は、各種情報を記憶する機能を有する。記憶部140の機能は、ユーザ端末10がハードウェアとして備える記憶媒体、例えば、HDD(Hard Disk Drive)、SSD(Solid State Drive)、フラッシュメモリ、EEPROM(Electrically Erasable Programmable Read Only Memory)、RAM(Random Access read/write Memory)、ROM(Read Only Memory)、又はこれらの記憶媒体の任意の組み合わせによって構成される。
【0036】
(5)制御部150
制御部150は、ユーザ端末10の動作全般を制御する機能を有する。制御部150の機能は、例えば、ユーザ端末10がハードウェアとして備えるCPU(Central Processing Unit)又はGPU(Graphics Processing Unit)にプログラムを実行させることによって実現される。
図3に示すように、制御部150は、入力処理部151と、アプリケーション処理部152と、ウォレット管理部153と、出力処理部154とを備える。
【0037】
(5-1)入力処理部151
入力処理部151は、入力部120に入力されたユーザの操作を受け付け、操作内容に応じた処理を実行する機能を有する。入力処理部151による機能は、ポータルアプリによって実行される。ユーザの操作は、例えば、ID認証認可操作、本人認証操作、検証用情報登録操作、証明情報発行操作、個人参照操作、データ更新操作、代理人参照操作、データ更新操作、サービス利用操作、オプトイン操作などである。
【0038】
(5-2)アプリケーション処理部152
アプリケーション処理部152は、アプリの機能を提供するための機能を有する。例えば、アプリケーション処理部152は、ポータルアプリの機能を提供するための処理を実行する。ポータルアプリの機能の一例として、ID認証認可機能、本人認証機能、検証用情報読込登録機能、オプトイン管理機能、証明情報発行機能、パーソナルデータ管理機能などがある。アプリケーション処理部152は、これらの機能を提供するために、各機能に対応するUIを出力する。アプリケーション処理部152は、ユーザによってUIに入力される操作に応じて、各機能を提供するための処理を実行する。
なお、本人認証機能では、例えばeKYC又はJPKIを選択可能である。eKYCが選択された場合、アプリケーション処理部152は、撮像部130と連動して画像の撮像を行う。一方、JPKIが選択された場合、アプリケーション処理部152は、通信部110と連動して、マイナンバーカードのICチップからの読み取りを行う。証明情報発行機能では、例えばVCが発行される。
【0039】
(5-3)ウォレット管理部153
ウォレット管理部153は、証明情報を管理する機能を有する。例えば、ウォレット管理部153は、ポータルアプリの証明情報発行機能によって発行された証明情報を保管し、必要に応じて出力する。なお、ウォレット管理部153の機能は、例えばユーザ端末10にインストールされているOS(Operating System)によって提供される。
【0040】
(5-4)出力処理部154
出力処理部154は、出力部160における出力を制御する機能を有する。出力処理部154は、例えば、ポータルアプリによって提供されるUIや、サービス事業者によって提供されるサービスに関するUIなどを出力部160に表示させる。
【0041】
(6)出力部160
出力部160は、各種情報を出力する機能を有する。出力部160は、ユーザ端末10がハードウェアとして備える出力装置、例えばディスプレイ装置やタッチスクリーン(タッチパネル)などの表示装置やスピーカなどの音声出力装置によって構成される。
【0042】
<4.認証サーバの機能構成>
以上、本実施形態に係るユーザ端末10の機能構成について説明した。続いて、
図4を参照して、本実施形態に係る認証サーバ20の機能構成について説明する。
図4は、本実施形態に係る認証サーバ20の機能構成の一例を示すブロック図である。
図4に示すように、認証サーバ20は、通信部210と、記憶部220と、制御部230とを備える。
【0043】
(1)通信部210
通信部210は、各種情報を送受信する機能を有する。通信部210は、例えば、ネットワークNWを介して、ユーザ端末10と、パーソナルデータ管理サーバ30と各種情報の送受信を行う。
【0044】
(2)記憶部220
記憶部220は、各種情報を記憶する機能を有する。記憶部220の機能は、認証サーバ20がハードウェアとして備える記憶媒体、例えば、HDD、SSD、フラッシュメモリ、EEPROM、RAM、ROM、又はこれらの記憶媒体の任意の組み合わせによって構成される。
【0045】
図4に示すように、記憶部220は、認証用情報記憶部221を備える。
【0046】
(2-1)認証用情報記憶部221
認証用情報記憶部221は、認証用情報を記憶する機能を有する。認証用情報は、例えば、LDAP(Lightweight Directory Access Protocol)における認証用IDや認可情報である。また、認証用情報は、本人確認(eKYC)による確認が済んでいることやその確認の基礎情報、本人認証(JPKI)による認証が済んでいることやその認証の基礎情報などを示す情報である。
【0047】
(3)制御部230
制御部230は、認証サーバ20の動作全般を制御する機能を有する。制御部230は、例えば、認証サーバ20がハードウェアとして備えるCPU又はGPUにプログラムを実行させることによって実現される。
図4に示すように、制御部230は、画像取得部231と、ID認証認可部232と、本人確認部233と、公的個人認証部234と、証明情報発行部235とを備える。
【0048】
(3-1)画像取得部231
画像取得部231は、各種画像を取得する機能を有する。例えば、画像取得部231は、ユーザがeKYCによる本人確認を行う際に、ユーザ端末10から本人確認書類画像と顔画像を取得する。画像取得部231は、取得した本人確認書類画像と顔画像を本人確認部233へ出力する。
また、画像取得部231は、ユーザが検証用情報のアップロードを行う際に、ユーザ端末10から戸籍謄本の画像を撮像する。画像取得部231は、取得した戸籍謄本の画像を証明情報発行部235へ出力する。
【0049】
(3-2)ID認証認可部232
ID認証認可部232は、ユーザごとに発行されるIDに対する認証及び認可を行う機能を有する。ID認証認可部232は、アクセスしようとするユーザが確かに本人であることをIDとパスワードで認証し、その認証結果を元に特定のシステムやデータへのアクセスを許可(認可)する。例えば、ID認証認可部232は、eKYCやJPKIでの本人確認を行い認証された親(代理人)に対して、子供(管理対象者)のデータへアクセスすることを許可する(認可結果を返す)。
ID認証認可部232は、認証用情報記憶部221での認証用情報の管理も行う。
【0050】
(3-3)本人確認部233
本人確認部233は、本人認証処理として、本人確認処理を実行する機能を有する。例えば、本人確認部233は、通信部210がユーザ端末10から本人確認要求の信号を受信した場合に、通信部210が信号とともに受信した本人確認書類画像と登録時顔画像とに基づき、ユーザの本人確認を行う。本人確認が成功した場合、本人確認部233は、本人確認が成功したことを示す情報をユーザ端末10又は証明情報発行部235へ出力する。一方、本人確認が失敗した場合、本人確認部233は、本人確認が失敗したことを示す情報をユーザ端末10又は証明情報発行部235へ出力する。
【0051】
(3-4)公的個人認証部234
公的個人認証部234は、本人認証処理として、公的個人認証処理を実行する機能を有する。例えば、公的個人認証部234は、通信部210がユーザ端末10から本人認証要求の信号を受信した場合に、通信部210が信号とともに受信した署名用電子証明書と利用者証明用電子証明書とに基づき、ユーザの公的個人認証を行う。公的個人認証が成功した場合、公的個人認証部234は、公的個人認証が成功したことを示す情報をユーザ端末10又は証明情報発行部235へ出力する。一方、公的個人認証が失敗した場合、公的個人認証部234は、公的個人認証が失敗したことを示す情報をユーザ端末10又は証明情報発行部235へ出力する。
【0052】
(3-5)証明情報発行部235
証明情報発行部235は、証明情報の発行に関する処理を行う機能を有する。証明情報発行部235は、画像取得部231によって入力される戸籍謄本の画像と、本人確認部233又は公的個人認証部234によって入力される本人認証処理の結果とを、第三者の端末へ出力する。第三者は、端末に出力された戸籍謄本の画像と本人認証の結果とを目視で確認し、管理対象者と代理人との関係が適切であるか否かを検証する。検証の結果、関係が適切であると判定できた場合、第三者は、端末に対して証明情報を発行するための操作を行う。当該操作を受けて、証明情報発行部235は、証明情報を発行する。
【0053】
<5.パーソナルデータ管理サーバの機能構成>
以上、本実施形態に係る認証サーバ20の機能構成について説明した。続いて、
図5を参照して、本実施形態に係るパーソナルデータ管理サーバ30の機能構成について説明する。
図5は、本実施形態に係るパーソナルデータ管理サーバ30の機能構成の一例を示すブロック図である。
図5に示すように、パーソナルデータ管理サーバ30は、通信部310と、記憶部320と、制御部330とを備える。
【0054】
(1)通信部310
通信部310は、各種情報を送受信する機能を有する。通信部310は、例えば、ネットワークNWを介して、ユーザ端末10と、認証サーバ20と、サービス管理サーバ40と各種情報の送受信を行う。
【0055】
(2)記憶部320
記憶部320は、各種情報を記憶する機能を有する。記憶部320の機能は、パーソナルデータ管理サーバ30がハードウェアとして備える記憶媒体、例えば、HDD、SSD、フラッシュメモリ、EEPROM、RAM、ROM、又はこれらの記憶媒体の任意の組み合わせによって構成される。
【0056】
図5に示すように、記憶部320は、パーソナルデータ記憶部321と、リレーション情報記憶部322とを備える。
【0057】
(2-1)パーソナルデータ記憶部321
パーソナルデータ記憶部321は、パーソナルデータを記憶する機能を有する。即ち、パーソナルデータ記憶部321は、PDS(パーソナルデータストア)として機能する。パーソナルデータ記憶部321は、管理対象者(第1のユーザ)のパーソナルデータと代理人(第2のユーザ)のパーソナルデータを別々のデータベースにてそれぞれ管理する。
図5に示すように、本実施形態に係るパーソナルデータ記憶部321は、管理対象者である子供のパーソナルデータを管理するために子供DB3211を備え、代理人である親のパーソナルデータを管理するために親DB3212を備える。
【0058】
(2-2)リレーション情報記憶部322
リレーション情報記憶部322は、リレーション情報を記憶する機能を有する。リレーション情報は、リレーションが設定されたDBを示す情報である。例えば、リレーション情報記憶部322は、後述するリレーション管理部334によって子供と親のリレーションが設定されると、当該子供の子供DB3211と当該親の親DB3212との間にリレーションがあることを登録する。
【0059】
(3)制御部330
制御部330は、パーソナルデータ管理サーバ30の動作全般を制御する機能を有する。制御部330は、例えば、パーソナルデータ管理サーバ30がハードウェアとして備えるCPU又はGPUにプログラムを実行させることによって実現される。
図5に示すように、制御部330は、入力受付部331と、パーソナルデータ管理部332と、カタログ処理部333と、リレーション管理部334と、権限管理部335と、オプトイン管理部336とを備える。
【0060】
(3-1)入力受付部331
入力受付部331は、各種の入力を受け付ける機能を有する。例えば、入力受付部331は、通信部310を介して、認証サーバ20によって発行された証明情報の入力、ユーザがパーソナルデータを管理するためにユーザ端末10に入力した情報、ユーザがサービスを利用するためにユーザ端末10に入力した情報などの入力を受け付ける。
【0061】
(3-2)パーソナルデータ管理部332
パーソナルデータ管理部332は、パーソナルデータを管理する機能を有する。例えば、パーソナルデータ管理部332は、各ユーザからの入力に基づき、パーソナルデータ記憶部321に記憶されている各ユーザのパーソナルデータを管理する。
ユーザが管理対象者である場合、パーソナルデータ管理部332は、パーソナルデータ記憶部321に記憶されているパーソナルデータの参照のみを許可する。
【0062】
ユーザが代理人である場合、パーソナルデータ管理部332は、代理人に付与された権限及び当該代理人と管理対象者とのリレーションに基づき、パーソナルデータ記憶部321に記憶されている各ユーザのパーソナルデータを管理する。例えば、代理人に対して特に権限が付与されておらず、管理対象者とのリレーションも設定されていない場合、パーソナルデータ管理部332は、代理人に対して、パーソナルデータ記憶部321に記憶されている自身のパーソナルデータの参照及び更新を許可する。代理人に対して権限が付与され、管理対象者とのリレーションも設定されている場合、パーソナルデータ管理部332は、代理人に対して、パーソナルデータ記憶部321に記憶されている自身及び管理対象者のパーソナルデータの参照及び更新を許可する。
【0063】
また、パーソナルデータ管理部332は、権限を有する代理人が自身のパーソナルデータを更新した際に、代理人の管理対象者と共通する情報が更新したパーソナルデータに含まれている場合、管理対象者のパーソナルデータも同様に更新する。代理人と管理対象者との間で共通する情報は、例えば、住所や、共用している電話番号やメールアドレスなどである。
【0064】
なお、代理人に付与された権限が削除され、管理対象者とのリレーションも削除された場合、代理人は、パーソナルデータ記憶部321に記憶されている自身及び管理対象者のパーソナルデータのみを参照及び更新が可能であり、管理対象者であったユーザのパーソナルデータについては参照及び更新することができなくなる。一方で、管理対象者であったユーザは、参照のみが可能であった自身のパーソナルデータについて更新することも可能となる。
【0065】
(3-3)カタログ処理部333
カタログ処理部333は、カタログに関する処理を行う機能を有する。例えば、カタログ処理部333は、パーソナルデータ記憶部321に記憶されたパーソナルデータに基づき、パーソナルデータの管理状況を示す管理情報を含むデータカタログをユーザごとに生成する。カタログ処理部333は、生成したデータカタログをユーザ端末10に表示させる。
また、カタログ処理部333は、パーソナルデータ記憶部321に記憶されたパーソナルデータと、リレーション情報記憶部322に記憶されたリレーション情報とに基づき、管理対象者と代理人のパーソナルデータの管理状況を示す管理情報を含むマスターカタログを生成する。カタログ処理部333は、生成したマスターカタログをユーザ端末10に表示させる。
【0066】
(3-4)リレーション管理部334
リレーション管理部334は、管理対象者と代理人との間のリレーションを管理する機能を有する。例えば、リレーション管理部334は、入力受付部331によって入力が受け付けられた証明情報に基づき、管理対象者であるユーザのパーソナルデータが管理されているDB(第1のデータベース)と、管理対象者の代理人であるユーザのパーソナルデータが管理されているDB(第2のデータベース)との間にリレーションを設定する。
【0067】
リレーション管理の一例として、管理対象者が未成年者であるとする。この場合、リレーション管理部334は、管理対象者と代理人との証明情報が発行されたタイミングで、管理対象者であるユーザのデータベースと、当該ユーザの代理人であるユーザのデータベースとの間のリレーションを設定する。
リレーション管理部334は、管理対象者であるユーザが成年者となった際(即ち管理対象期間の経過後)に、当該ユーザのデータベースと、当該ユーザの代理人であるユーザのデータベースとの間のリレーションを解除する。管理対象者のデータベースと代理人のデータベースは、別々に管理されている。このため、代理人は、リレーションが解除されたことに伴い、管理対象者のデータベースの管理を代理人から管理対象者へそのまま引き継ぐことができる。これにより、管理対象者は、自身が生まれたときからの子供データ(小学生のときの成績表、幼稚園のときの健康診断結果、旅行の写真など)を成人後も自分自身のライフログデータとして保持することができる。
また、代理人は、管理対象者へ管理対象者のデータベースの管理を引き継ぐと、管理対象者のデータベースの参照や更新ができなくなる。これにより、管理対象者は、代理人から管理を引き継がれて以降、自身のデータベースの管理についてプライバシーを確保することができる。
【0068】
(3-5)権限管理部335
権限管理部335は、代理人の権限を管理する機能を有する。例えば、権限管理部335は、入力受付部331によって入力が受け付けられた証明情報に基づき、代理人であるユーザに対して、管理対象者であるユーザのパーソナルデータを管理することが可能となる権限を付与する。
【0069】
権限管理の一例として、管理対象者が未成年者であるとする。この場合、権限管理部335は、管理対象者と代理人との証明情報が発行されたタイミングで、代理人であるユーザに対して権限を付与する。代理人であるユーザに対して権限が付与に伴い、管理対象期間が開始する。
権限管理部335は、管理対象者であるユーザが成年者(即ち管理対象期間の経過後)となった際に、当該ユーザの代理人であるユーザから権限を削除する。
【0070】
(3-6)オプトイン管理部336
オプトイン管理部336は、ユーザのパーソナルデータのオプトインを管理する機能を有する。例えば、オプトイン管理部336は、権限を有する代理人であるユーザからの要求に応じて、管理対象者であるユーザのパーソナルデータのうち、管理対象者であるユーザが利用するサービスに必要な情報をサービスへオプトインする。また、オプトイン管理部336は、権限を有する代理人であるユーザからの要求に応じて、サービスにオプトインされているパーソナルデータを、当該サービスからオプトアウトしてもよい。
【0071】
なお、オプトイン管理部336がサービスへオプトイン又はオプトアウトする情報は、パーソナルデータに限定されない。例えば、オプトイン管理部336は、管理対象者であるユーザが利用するサービスが管理対象者であるユーザと代理人であるユーザとの関係の証明を必要とするサービスである場合、証明情報をサービスへオプトイン又は当該サービスからオプトアウトしてもよい。
【0072】
<6.サービス管理サーバの機能構成>
以上、本実施形態に係るパーソナルデータ管理サーバ30の機能構成について説明した。続いて、
図6を参照して、本実施形態に係るサービス管理サーバ40の機能構成について説明する。
図6は、本実施形態に係るサービス管理サーバ40の機能構成の一例を示すブロック図である。
図6に示すように、サービス管理サーバ40は、通信部410と、記憶部420と、制御部430とを備える。
【0073】
(1)通信部410
通信部410は、各種情報を送受信する機能を有する。通信部410は、例えば、ネットワークNWを介して、ユーザ端末10と、パーソナルデータ管理サーバ30と各種情報の送受信を行う。
【0074】
(2)記憶部420
記憶部420は、各種情報を記憶する機能を有する。記憶部420の機能は、サービス管理サーバ40がハードウェアとして備える記憶媒体、例えば、HDD、SSD、フラッシュメモリ、EEPROM、RAM、ROM、又はこれらの記憶媒体の任意の組み合わせによって構成される。
【0075】
図6に示すように、記憶部420は、サービスカタログ記憶部421と、ユーザ情報記憶部422とを備える。
【0076】
(2-1)サービスカタログ記憶部421
サービスカタログ記憶部421は、サービスカタログを記憶する機能を有する。例えば、サービスカタログ記憶部421は、サービス提供者によって提供されるサービスごとに用意されたサービスカタログを、それぞれ記憶する。
【0077】
(2-2)ユーザ情報記憶部422
ユーザ情報記憶部422は、サービスを利用するユーザに関する情報を記憶する機能を有する。例えば、ユーザ情報記憶部422は、ユーザによって登録された情報、ユーザによってオプトインされた情報、ユーザがサービスを利用することによって生じた情報などを記憶する。
【0078】
(3)制御部430
制御部430は、サービス管理サーバ40の動作全般を制御する機能を有する。制御部430は、例えば、サービス管理サーバ40がハードウェアとして備えるCPU又はGPUにプログラムを実行させることによって実現される。
図6に示すように、制御部430は、入力受付部431と、サービスカタログ管理部432と、サービス処理部433とを備える。
【0079】
(3-1)入力受付部431
入力受付部431は、各種の入力を受け付ける機能を有する。例えば、入力受付部431は、通信部410を介して、ユーザがサービスを利用するためにユーザ端末10に入力した情報や、パーソナルデータ管理サーバ30からオプトインされるパーソナルデータの入力を受け付ける。
【0080】
(3-2)サービスカタログ管理部432
サービスカタログ管理部432は、サービスカタログを管理する機能を有する。例えば、サービスカタログ管理部432は、入力受付部431が入力を受け付けたサービスカタログの参照要求に基づき、サービスカタログ記憶部421に記憶されているサービスカタログをユーザ端末10に表示させる。
【0081】
(3-3)サービス処理部433
サービス処理部433は、ユーザへ提供するサービスに関する処理を実行する機能を有する。例えば、サービス処理部433は、ユーザに関する情報に基づき、ユーザ情報記憶部422に記憶されている情報の更新や、ユーザへサービス提供を行う。
【0082】
<7.処理の流れ>
以上、本実施形態に係るサービス管理サーバ40の機能構成について説明した。続いて、
図7から
図13を参照して、本実施形態に係る処理の流れについて説明する。以下では、管理対象者が子供、代理人が親である例を一例として、処理の流れについて説明する。
【0083】
(1)証明情報発行における準備処理の流れ
図7を参照して、本実施形態に係る証明情報発行における準備処理の流れについて説明する。
図7は、本実施形態に係る証明情報発行における準備処理の流れの一例を示すシーケンス図である。なお、
図7に示すユーザの操作は、子供又は親がそれぞれ行ってもよいし、子供の分の操作を親が代わりに行ってもよい。
【0084】
図7に示すように、まず、ユーザは、ユーザ端末10に対して、ID認証認可操作を行う(ステップS101)。
ユーザ端末10のアプリケーション処理部152は、入力処理部151によってユーザからのID認証認可操作が受け付けられると、通信部110から認証サーバ20へID認証認可要求を送信する(ステップS102)。
認証サーバ20のID認証認可部232は、通信部210がユーザ端末10からID認証認可要求を受信すると、ID認証認可処理を実行する(ステップS103)。
【0085】
次に、ユーザは、ユーザ端末10に対して、本人認証操作を行う(ステップS104)。当該操作にて、ユーザは、eKYC又はJPKIのどちらで本人認証を行うかを選択する。また、ユーザは選択した本人認証方法に応じて、必要な情報の用意(画像の撮影やマイナンバーカードの読み取りなど)を行う。
ユーザ端末10のアプリケーション処理部152は、入力処理部151によってユーザからの本人認証操作が受け付けられると、通信部110から認証サーバ20へ本人認証要求を送信する(ステップS105)。この時、アプリケーション処理部152は、ユーザによって用意された情報も認証サーバ20へ送信する。
認証サーバ20の本人確認部233又は公的個人認証部234は、通信部210がユーザ端末10から本人認証要求を受信すると、本人認証処理を実行する(ステップS106)。本人認証要求がeKYCであることを示す場合、本人確認部233によってeKYCによる本人認証処理が行われる。本人認証要求がJPKIであることを示す場合、公的個人認証部234によってJPKIによる本人認証処理が行われる。
【0086】
次に、ユーザは、ユーザ端末10に対して、検証用情報登録操作を行う(ステップS107)。当該操作にて、ユーザは、登録する検証用情報の用意(戸籍謄本の撮影)を行う。
ユーザ端末10のアプリケーション処理部152は、入力処理部151によってユーザからの検証用情報登録操作が受け付けられると、通信部110から認証サーバ20へ検証用情報登録要求を送信する(ステップS108)。この時、アプリケーション処理部152は、ユーザによって用意された検証用情報も認証サーバ20へ送信する。
認証サーバ20の画像取得部231は、通信部210がユーザ端末10から検証用情報登録要求を受信すると、通信部210が受信した検証用情報を記憶部220に登録する(ステップS109)。
【0087】
(2)証明情報発行処理の流れ
図8を参照して、本実施形態に係る証明情報発行処理の流れについて説明する。
図8は、本実施形態に係る証明情報発行処理の流れの一例を示すシーケンス図である。なお、
図8に示すユーザの操作は、代理人である親によって行われる。
【0088】
図8に示すように、まず、ユーザは、ユーザ端末10に対して、証明情報発行操作を行う(ステップS201)。
ユーザ端末10のアプリケーション処理部152は、入力処理部151によってユーザからの証明情報発行操作が受け付けられると、通信部110から認証サーバ20へ証明情報発行要求を送信する(ステップS202)。
認証サーバ20の証明情報発行部235は、通信部210がユーザ端末10から証明情報発行要求を受信すると、第三者に対して管理対象者と代理人との関係の検証を依頼する(ステップS203)。この時、証明情報発行部235は、第三者の端末に対して、ステップS106にて得られた本人認証処理の結果とステップS109にて得られた検証用情報とを表示させる。
第三者は、端末に表示された本人認証処理の結果と検証用情報とに基づき、管理対象者と代理人との関係を検証する(ステップS204)。
検証後、第三者は、端末を操作して、認証サーバ20に検証結果を登録する(ステップS205)。
【0089】
認証サーバ20の証明情報発行部235は、第三者によって登録された検証結果を確認する(ステップS206)。管理対象者と代理人との関係が適切でないことを検証結果が示す場合(ステップS206/NO)、処理はステップS207へ進む。一方、管理対象者と代理人との関係が適切であることを検証結果が示す場合(ステップS206/YES)、処理はステップS208へ進む。
処理がステップS207へ進んだ場合、証明情報発行部235は、ユーザ端末10に対して、管理対象者と代理人との関係が適切でないことを示すエラーを通知する(ステップS207)。
処理がステップS208へ進んだ場合、証明情報発行部235は、管理対象者と代理人との関係が適切であることを証明する証明情報を発行する(ステップS208)。
【0090】
(3)証明情報発行に伴うパーソナルデータ管理サーバにおける処理の流れ
図9を参照して、本実施形態に係る証明情報発行に伴うパーソナルデータ管理サーバ30における処理の流れについて説明する。
図9は、本実施形態に係る証明情報発行に伴うパーソナルデータ管理サーバ30における処理の流れの一例を示すシーケンス図である。
【0091】
図9に示すように、まず、認証サーバ20の証明情報発行部235は、発行した証明情報を通信部210からパーソナルデータ管理サーバ30へ送信する(ステップS301)。
パーソナルデータ管理サーバ30の入力受付部331は、通信部310が認証サーバ20から受信した証明情報の入力を受け付ける(ステップS302)。
パーソナルデータ管理サーバ30のパーソナルデータ管理部332は、入力受付部331によって入力が受け付けられた証明情報を記憶部320のパーソナルデータ記憶部321に登録する(ステップS303)。この時、パーソナルデータ記憶部321は、管理対象者と代理人の共通データとして証明情報を登録する。
次いで、パーソナルデータ管理サーバ30のリレーション管理部334は、入力受付部331によって入力が受け付けられた証明情報に基づき、管理対象者であるユーザのパーソナルデータが管理されているDBと、管理対象者の代理人であるユーザのパーソナルデータが管理されているDBとの間にリレーションを設定する(ステップS304)。
また、パーソナルデータ管理サーバ30の権限管理部335は、入力受付部331によって入力が受け付けられた証明情報に基づき、代理人であるユーザに対して、管理対象者であるユーザのパーソナルデータを管理することが可能となる権限を付与する(ステップS305)。
【0092】
(4)個人が自身のデータを参照する場合における処理の流れ
図10を参照して、本実施形態に係る個人が自身のデータを参照する場合における処理の流れについて説明する。
図10は、本実施形態に係る個人が自身のデータを参照する場合における処理の流れの一例を示すシーケンス図である。なお、
図10に示すユーザの操作は、子供又は親がそれぞれ実行可能である。
【0093】
図10に示すように、まず、ユーザは、ユーザ端末10に対して、個人参照操作を行う(ステップS401)。個人参照操作は、ユーザが自身のパーソナルデータを参照するための操作である。
ユーザ端末10のアプリケーション処理部152は、入力処理部151によってユーザからの個人参照操作が受け付けられると、通信部110からパーソナルデータ管理サーバ30へデータカタログ参照要求を送信する(ステップS402)。
パーソナルデータ管理サーバ30のカタログ処理部333は、通信部310がユーザ端末10からデータカタログ参照要求を受信すると、個人参照操作を行ったユーザのデータカタログを生成する(ステップS403)。
生成後、カタログ処理部333は、通信部310からユーザ端末10へ生成したデータカタログを送信する(ステップS404)。
ユーザ端末10の出力処理部154は、通信部110がパーソナルデータ管理サーバ30から受信したデータカタログを出力部160に表示させる(ステップS405)。
ユーザは、ユーザ端末10の出力部160に表示されたデータカタログを参照する(ステップS406)。
【0094】
(5)代理人が自身のデータを更新する場合における処理の流れ
図11を参照して、本実施形態に係る代理人が自身のデータを更新する場合における処理の流れについて説明する。
図11は、本実施形態に係る代理人が自身のデータを更新する場合における処理の流れの一例を示すシーケンス図である。なお、
図11に示すユーザの操作は、代理人である親によって行われる。
【0095】
図11に示すように、まず、ユーザは、ユーザ端末10に対して、自身のパーソナルデータを更新するためのデータ更新操作を行う(ステップS501)。
ユーザ端末10のアプリケーション処理部152は、入力処理部151によってユーザ(親)からデータ更新操作が受け付けられると、通信部110からパーソナルデータ管理サーバ30へデータ更新要求を送信する(ステップS502)。
パーソナルデータ管理サーバ30のパーソナルデータ管理部332は、通信部310がユーザ端末10からデータ更新要求を受信すると、データ更新操作を行った親のDBを更新する(ステップS503)。
また、パーソナルデータ管理部332は、更新した親のデータに子供のデータと共通するデータが含まれているか否かを確認する(ステップS504)。共通するデータが含まれている場合(ステップS504/YES)、処理はステップS505へ進む。一方、共通するデータが含まれていない場合(ステップS504/NO)、処理は終了する。
処理がステップS505へ進んだ場合、パーソナルデータ管理部332は、共通するデータについて親のDBと同様に子供のDBも更新し(ステップS505)、処理を終了する。
【0096】
(6)代理人が管理対象者のデータも参照又は更新する場合における処理の流れ
図12を参照して、本実施形態に係る代理人が管理対象者のデータも参照又は更新する場合における処理の流れについて説明する。
図12は、本実施形態に係る代理人が管理対象者のデータも参照又は更新する場合における処理の流れの一例を示すシーケンス図である。なお、
図12に示すユーザの操作は、代理人である親によって行われる。
【0097】
図12に示すように、まず、ユーザは、ユーザ端末10に対して、代理人参照操作を行う(ステップS601)。代理人参照操作は、代理人であるユーザが自身のパーソナルデータと管理対象者であるユーザのパーソナルデータを参照するための操作である。
ユーザ端末10のアプリケーション処理部152は、入力処理部151によってユーザからの代理人参照操作が受け付けられると、通信部110からパーソナルデータ管理サーバ30へマスターカタログ参照要求を送信する(ステップS602)。
パーソナルデータ管理サーバ30のカタログ処理部333は、通信部310がユーザ端末10からマスターカタログ参照要求を受信すると、代理人参照操作を行ったユーザと当該ユーザの管理対象者であるユーザに関するマスターカタログを生成する(ステップS603)。
生成後、カタログ処理部333は、通信部310からユーザ端末10へ生成したマスターカタログを送信する(ステップS604)。
ユーザ端末10の出力処理部154は、通信部110がパーソナルデータ管理サーバ30から受信したマスターカタログを出力部160に表示させる(ステップS605)。
ユーザは、ユーザ端末10の出力部160に表示されたマスターカタログを参照する(ステップS606)。
【0098】
また、ユーザは、ユーザ端末10に対して、マスターカタログを更新するためのデータ更新操作を行う(ステップS607)。
ユーザ端末10のアプリケーション処理部152は、入力処理部151によってユーザ(親)からマスターカタログを更新するためのデータ更新操作が受け付けられると、通信部110からパーソナルデータ管理サーバ30へデータ更新要求を送信する(ステップS608)。
パーソナルデータ管理サーバ30のパーソナルデータ管理部332は、通信部310がユーザ端末10からマスターカタログを更新するためのデータ更新要求を受信すると、更新対象となるデータを確認する(ステップS609)。更新対象のデータが親のデータである場合(ステップS609/YES)、処理はステップS610へ進む。一方、更新対象のデータが子供のデータである場合(ステップS609/NO)、処理はステップS611へ進む。
処理がステップS610へ進んだ場合、パーソナルデータ管理部332は、親のDBを更新し(ステップS610)、処理を終了する。
処理がステップS611へ進んだ場合、パーソナルデータ管理部332は、子供のDBを更新し(ステップS611)、処理を終了する。
【0099】
(7)ユーザがサービスを利用する場合におけるオプトイン処理の流れ
図13を参照して、本実施形態に係るユーザがサービスを利用する場合におけるオプトイン処理の流れについて説明する。
図13は、本実施形態に係るユーザがサービスを利用する場合におけるオプトイン処理の流れの一例を示すシーケンス図である。なお、
図13に示すユーザの操作は、代理人である親によって行われる。
【0100】
図13に示すように、まず、ユーザは、ユーザ端末10に対して、サービス利用操作を行う(ステップS701)。
ユーザ端末10のアプリケーション処理部152は、入力処理部151によってユーザからのサービス利用操作が受け付けられると、通信部110からサービス管理サーバ40へサービスカタログ参照要求を送信する(ステップS702)。
サービス管理サーバ40のサービスカタログ管理部432は、通信部410がユーザ端末10からサービスカタログ参照要求を受信すると、通信部410からユーザ端末10へサービスカタログを送信する(ステップS703)。
ユーザ端末10の出力処理部154は、通信部110がサービス管理サーバ40から受信したサービスカタログを出力部160に表示させる(ステップS704)。
ユーザは、ユーザ端末10の出力部160に表示されたサービスカタログを参照する(ステップS705)。
【0101】
サービスカタログの参照後、ユーザは、ユーザ端末10にてマスターカタログを参照する(ステップS706)。
次いで、ユーザは、ユーザ端末10に表示されたマスターカタログからサービスの利用に必要なデータを選択する(ステップS707)。
選択後、ユーザは、ユーザ端末10に対して、オプトイン操作を行う(ステップS708)。
ユーザ端末10のアプリケーション処理部152は、入力処理部151によってユーザからのオプトイン操作が受け付けられると、通信部110からパーソナルデータ管理サーバ30へオプトイン要求を送信する(ステップS709)。
パーソナルデータ管理サーバ30のオプトイン管理部336は、通信部310がユーザ端末10からオプトイン要求を受信すると、通信部310からサービス管理サーバ40へ必要なデータをオプトインする(ステップS710)。
サービス管理サーバ40のサービス処理部433は、パーソナルデータ管理サーバ30からオプトインされたデータに基づき、ユーザへサービスを提供する(ステップS711)。
【0102】
以上、本実施形態に係る処理の流れについて説明した。
以上説明したように、本実施形態に係るパーソナルデータ管理システム1は、代理人によるパーソナルデータの管理が必要な管理対象者である第1のユーザと、代理人である第2のユーザとの関係について、第2のユーザが第1のユーザの代理人であることが第三者によって証明されていることを示す証明情報の入力を受け付ける入力受付部331と、入力が受け付けられた証明情報に基づき、代理人である第2のユーザに対して、管理対象者である第1のユーザのパーソナルデータを管理することが可能となる権限を付与する権限管理部335と、を備える。
【0103】
かかる構成により、管理対象者と代理人との関係がデジタル上で証明され、証明されていることを示す証明情報もデジタル上で保持することができる。これにより、代理人が管理対象者のパーソナルデータを管理することを実現し、管理対象者のパーソナルデータをサービス提供者にオプトインすることをはじめとするコントロールを、デジタル上で完結した方式にて安全かつ適切に行うこと可能となる。その結果、管理対象者のパーソナルデータのプライバシー問題、紛失、失念、盗難リスクを防止し、安心・安全に個人情報を含むパーソナルデータの活用が可能となる。
よって、本実施形態に係るパーソナルデータ管理システム1は、個人情報を含むパーソナルデータを安全に活用することを可能とする。
また、パーソナルデータ管理システム1により、同意を得る仕組みが全てデジタル上でシームレスに行えるため、申請側の手続き及び企業側のデータ管理が簡単に実施可能となる。これにより、従来のアナログ媒体での登録・管理にかかるコストを削減することもできる。
【0104】
<8.変形例>
本発明の実施形態について説明した。続いて、本発明の実施形態の変形例について説明する。なお、以下に説明する変形例は、単独で本発明の実施形態に適用されてもよいし、組み合わせで本発明の実施形態に適用されてもよい。また、変形例は、本発明の実施形態で説明した構成に代えて適用されてもよいし、本発明の実施形態で説明した構成に対して追加的に適用されてもよい。
【0105】
上述した実施形態では、管理対象者が子供(未成年者)であり、代理人が親(親権者)である例、即ち代理人が未成年後見人である例について説明したが、かかる例に限定されない。例えば、代理人が成年後見人であってもよい。この場合、管理対象者は例えば親であり、代理人は例えば子供である。
【0106】
また、上述した実施形態では、管理対象者が子供であり、代理人が親である場合に、親に権限が付与されてから子供が成年者(成人)となるまでの期間が管理対象期間として設定される例について説明したが、かかる例に限定されない。例えば、管理対象期間は、管理対象者と代理人が属する国又は地域に対応する法律に基づき設定されてもよい。管理対象者と代理人の各々が属する国又は地域を示す情報は、以下では「所属情報」とも称される。所属情報は、例えば、本人確認書類に記載されている本人の住所や書類の発行元などから抽出可能な情報である。
認証サーバ20の本人確認部233は、管理対象者と代理人の本人確認時、本人確認書類から管理対象者と代理人の所属情報をそれぞれ抽出し、取得する。本人確認部233は、通信部210を介して、取得した所属情報をパーソナルデータ管理サーバ30へ送信する。
パーソナルデータ管理サーバ30の入力受付部331は、通信部310が認証サーバ20から受信した所属情報の入力を受け付ける。パーソナルデータ管理サーバ30のパーソナルデータ管理部332は、入力受付部331によって入力が受け付けられた所属情報を記憶部320のパーソナルデータ記憶部321に登録する。パーソナルデータ管理サーバ30の権限管理部335は、代理人への権限付与時、所属情報に基づき管理対象期間を設定する。例えば、権限管理部335は、所属情報が示す国又は地域に対応する法律に基づき、代理人が管理対象者のパーソナルデータを管理する管理対象期間を設定する。
これにより、管理対象者が所属する国の法令に則って、適切に管理対象者のプライバシーの権利を守ることができる。
【0107】
また、上述した実施形態では、管理対象期間の経過後に代理人に付与された管理対象者のパーソナルデータを管理可能な権限が削除される例について説明したが、かかる例に限定されない。例えば、権限管理部335は、管理対象期間の経過後、管理対象者に対して代理人によるパーソナルデータ管理を継続するか否かを選択させてもよい。
管理対象者が代理人によるパーソナルデータ管理を継続することを選択した場合、権限管理部335は、管理対象期間の経過後であっても、代理人に付与されている権限を削除しない。あるいは、権限管理部335は、代理人に付与されている権限を削除したあと、権限を再付与してもよい。また、管理対象期間は、権限管理部335が所属情報に基づき再設定してもよいし、管理対象者又は代理人によって任意に設定可能であってもよい。
管理対象者が代理人によるパーソナルデータ管理を継続しない(代理人の管理下から外れる)ことを選択した場合、権限管理部335は、代理人に付与されている権限を削除する。
これにより、管理対象者は、自身のパーソナルデータについて、自身による適切なデータアクセスコントロールが可能となる。
【0108】
<9.実施例>
以上、本発明の実施形態について説明した。続いて、本発明の実施形態の実施例について説明する。
【0109】
(1)第1の実施例
第1の実施例では、上述した実施形態に係るパーソナルデータ管理システム1がお弁当予約サービスに適用される実施例について説明する。
お弁当予約サービスは、学生(例えば高校生)を対象にお弁当の予約と販売を行うサービスである。当該サービスにおいて、親(代理人)は、パーソナルデータ管理システム1を利用することで、子供(管理対象者)のお弁当を代理で予約することができる。当該サービスでは、親がお弁当を予約する際に、例えば子供が食べたいお弁当もしくは子供に食べて欲しいお弁当を検索して選択することもできる。また、当該サービスでは、子供がお弁当を食べた結果データの親への連携と、子供のDBへの蓄積も可能となる。当該サービスにより、親側としては子供の健康状態管理が可能となり、子供側としてはライフログデータの育成が可能となる。
【0110】
(2)第2の実施例
第2の実施例では、上述した実施形態に係るパーソナルデータ管理システム1が顔認証入退室管理サービスに適用される実施例について説明する。
顔認証入退室管理サービスは、部屋などのスペースへのユーザの入退室を顔認証データに基づき管理するサービスである。当該サービスにおいて、親(代理人)は、パーソナルデータ管理システム1を利用することで、自身の顔画像データとまとめて子供(管理対象者)の顔画像データもオプトインが可能となる。これにより、子供は自分自身で登録することなく、サービス利用が可能となる。
【0111】
(3)第3の実施例
第3の実施例では、上述した実施形態に係るパーソナルデータ管理システム1がシニア向けお迎えサービスに適用される実施例について説明する。
シニア向けお迎えサービスは、介護施設や老人ホームを利用している高齢者を自宅までお迎えに行くサービスである。当該サービスにおいて、子供(代理人)は、パーソナルデータ管理システム1を利用することで、高齢者である親(管理対象者)の代わりにお迎えを代理申請することが可能となる。
【0112】
以上、本発明の実施形態の実施例について説明した。
なお、上述した実施形態におけるパーソナルデータ管理システム1、ユーザ端末10、認証サーバ20、パーソナルデータ管理サーバ30、及びサービス管理サーバ40の一部又は全部の機能をコンピュータで実現するようにしてもよい。その場合、この機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによって実現してもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD-ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含んでもよい。また上記プログラムは、前述した機能の一部を実現するためのものであってもよく、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであってもよく、FPGA(Field Programmable Gate Array)等のプログラマブルロジックデバイスを用いて実現されるものであってもよい。
【0113】
以上、図面を参照してこの発明の実施形態について詳しく説明してきたが、具体的な構成は上述のものに限られることはなく、この発明の要旨を逸脱しない範囲内において様々な設計変更等をすることが可能である。
【符号の説明】
【0114】
1…パーソナルデータ管理システム、10…ユーザ端末、20…認証サーバ、30…パーソナルデータ管理サーバ、40…サービス管理サーバ、110…通信部、120…入力部、130…撮像部、140…記憶部、150…制御部、151…入力処理部、152…アプリケーション処理部、153…ウォレット管理部、154…出力処理部、160…出力部、210…通信部、220…記憶部、221…認証用情報記憶部、230…制御部、231…画像取得部、232…ID認証認可部、233…本人確認部、234…公的個人認証部、235…証明情報発行部、310…通信部、320…記憶部、321…パーソナルデータ記憶部、322…リレーション情報記憶部、330…制御部、331…入力受付部、332…パーソナルデータ管理部、333…カタログ処理部、334…リレーション管理部、335…権限管理部、336…オプトイン管理部、410…通信部、420…記憶部、421…サービスカタログ記憶部、422…ユーザ情報記憶部、430…制御部、431…入力受付部、432…サービスカタログ管理部、433…サービス処理部、3211…子供DB、3212…親DB、NW…ネットワーク、SA…パーソナルデータ管理サービス、US1…子供、US2…親
【要約】
【課題】個人情報を含むパーソナルデータを安全に活用することが可能なパーソナルデータ管理システム、パーソナルデータ管理方法、及びプログラムを提供する。
【解決手段】代理人によるパーソナルデータの管理が必要な管理対象者である第1のユーザと、前記代理人である第2のユーザとの関係について、前記第2のユーザが前記第1のユーザの代理人であることが第三者によって証明されていることを示す証明情報の入力を受け付ける入力受付部と、入力が受け付けられた前記証明情報に基づき、前記代理人である前記第2のユーザに対して、前記管理対象者である前記第1のユーザの前記パーソナルデータを管理することが可能となる権限を付与する権限管理部と、を備えるパーソナルデータ管理システム。
【選択図】
図1