知財求人 - 知財ポータルサイト「IP Force」
▶ メディセウス ダドス デ サウーヂ ソシエテ アノニムの特許一覧
特許7551651コンピュータシステム及び匿名データを処理するためのコンピュータシステムの操作方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-09-06
(45)【発行日】2024-09-17
(54)【発明の名称】コンピュータシステム及び匿名データを処理するためのコンピュータシステムの操作方法
(51)【国際特許分類】
G06F 21/62 20130101AFI20240909BHJP
G06F 21/60 20130101ALI20240909BHJP
【FI】
G06F21/62 354
G06F21/60 320
【請求項の数】
10
(21)【出願番号】P 2021564459
(86)(22)【出願日】2020-04-29
(65)【公表番号】
(43)【公表日】2022-06-29
(86)【国際出願番号】 EP2020061821
(87)【国際公開番号】W WO2020221778
(87)【国際公開日】2020-11-05
【審査請求日】2023-04-06
(31)【優先権主張番号】115479
(32)【優先日】2019-04-29
(33)【優先権主張国・地域又は機関】PT
(73)【特許権者】
【識別番号】521353805
【氏名又は名称】メディセウス ダドス デ サウーヂ ソシエテ アノニム
(74)【代理人】
【識別番号】100099759
【弁理士】
【氏名又は名称】青木 篤
(74)【代理人】
【識別番号】100123582
【弁理士】
【氏名又は名称】三橋 真二
(74)【代理人】
【識別番号】100092624
【弁理士】
【氏名又は名称】鶴田 準一
(74)【代理人】
【識別番号】100114018
【弁理士】
【氏名又は名称】南山 知広
(74)【代理人】
【識別番号】100153729
【弁理士】
【氏名又は名称】森本 有一
(72)【発明者】
【氏名】ペテル ビラックス
(72)【発明者】
【氏名】リカルド ロウラ
【審査官】吉田 歩
(56)【参考文献】
【文献】米国特許出願公開第2016/0147945(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/62
G06F 21/60
(57)【特許請求の範囲】
【請求項1】
暗号化された匿名識別子によってのみ識別されるデータ主体のパーソナルコンピューティングデバイス(110)にインストールされたパーソナルソフトウェアアプリケーション(100)を使用して、信頼できるデータコントローラコンピュータサーバ(130)に対する前記データ主体のログインプロセスを実行し、前記信頼できるデータコントローラコンピュータサーバ(130)によって関心のある情報を前記データ主体の前記パーソナルコンピューティングデバイス(110)に返す方法であって、a.前記データ主体が、前記パーソナルソフトウェアアプリケーション(100)及び暗号化ソフトウェアモジュール(101)を前記パーソナルコンピューティングデバイス(110)にダウンロード及びインストールし、少なくとも人の名前、個人識別子及びオプションの同意を入力するステップと、
b.前記パーソナルコンピューティングデバイス(110)の前記暗号化ソフトウェアモジュール(101)が、匿名識別子及び前記匿名識別子の暗号化されたバージョンを生成するステップと、
c.前記パーソナルコンピューティングデバイス(110)の前記パーソナルソフトウェアアプリケーション(100)が、前記データ主体に関連するデータを格納する一つ以上のデータプロバイダコンピュータサーバ(120)のデータ交換ソフトウェアアプリケーション(125)にコンタクトし、前記データプロバイダコンピュータサーバ(120)及び前記データ交換ソフトウェアアプリケーション(125)は、安全にデータを交換するように構成され、前記データ主体の名前、前記個人識別子、暗号化された前記匿名識別子及び前記オプションの同意を、前記データ主体の名前、前記個人識別子、暗号化された前記匿名識別子及び前記オプションの同意を受信する前記データ交換ソフトウェアアプリケーション(125)に送信するステップと、
d.一つ以上の前記データプロバイダコンピュータサーバ(120)の前記データ交換ソフトウェアアプリケーション(125)が、少なくとも前記データ主体の名前、前記個人識別子、暗号化された前記匿名識別子及び前記オプションの同意を受信及び記録し、前記データ主体の名前及び前記個人識別子によって、前記データ主体に関連するデータについて前記データプロバイダコンピュータサーバ(120)のアプリケーションデータベース(380)を検索するステップと、
e.関心のあるデータを見つけると、一つ以上の前記データプロバイダコンピュータサーバ(120)の前記データ交換ソフトウェアアプリケーション(125)が、前記関心のあるデータを匿名化するために前記関心のあるデータ及び前記データ主体の暗号化された前記匿名識別子を追加するとともに前記データ主体の名前及び全ての個人識別子を削除するメッセージを作成するステップと、
f.一つ以上の前記データプロバイダコンピュータサーバ(120)の前記データ交換ソフトウェアアプリケーション(125)が、前記データ主体の暗号化された前記匿名識別子によってのみ識別される匿名化された前記関心のあるデータを含むメッセージを、前記信頼できるデータコントローラコンピュータサーバ(130)に送信するステップと、
g.一つ以上の前記データプロバイダコンピュータサーバ(120)の前記データ交換ソフトウェアアプリケーション(125)と安全にデータを交換するように構成された前記信頼できるデータコントローラコンピュータサーバ(130)のデータ交換ソフトウェアアプリケーション(135)が、前記メッセージを受信して読み取り、元の匿名識別子を取得するために、暗号化された前記匿名識別子を解読し、前記匿名識別子が前記信頼できるデータコントローラコンピュータサーバ(130)にあるユーザ登録データベース(470)に既に記録されているか否かを確認し、
i.前記匿名識別子が見つからない場合、前記匿名識別子を新しいユーザとして前記ユーザ登録データベース(470)に記録し、前記匿名識別子及び前記メッセージのメタデータをログファイル(490)に記録し、少なくとも前記データ主体の匿名化された前記関心のあるデータ及び前記匿名識別子をアプリケーションデータベース(480)に保存し、匿名化された前記関心のあるデータは、前記データ主体の匿名識別子によってのみ識別される、又は
ii.前記匿名識別子を見つけると、前記匿名識別子及び前記メッセージのメタデータをログファイル(490)に記録し、前記データ主体の前記匿名識別子によってのみ識別される少なくとも前記データ主体の匿名化された前記関心のあるデータをアプリケーションデータベース(480)に保存するステップと、
h.同一のデータ主体に関連する新しい匿名化された前記関心のあるデータが前記信頼できるデータコントローラコンピュータサーバ(130)の前記アプリケーションデータベース(480)に継続的に追加されるように、匿名化された前記関心のあるデータの送信を、一つ以上の前記データプロバイダコンピュータサーバ(120)の前記データ交換ソフトウェアアプリケーション(125)と前記信頼できるデータコントローラコンピュータサーバ(130)の前記データ交換ソフトウェアアプリケーション(135)との間で定期的に行うステップと、
i.互いに安全に通信するように構成された前記データ主体の前記パーソナルコンピューティングデバイス(110)の前記パーソナルソフトウェアアプリケーション(100)及び前記信頼できるデータコントローラコンピュータサーバ(130)の前記データ交換ソフトウェアアプリケーション(135)が通信を確立し、前記信頼できるデータコントローラコンピュータ(130)の前記データ交換ソフトウェアアプリケーション(135)が、匿名化された前記関心のあるデータを前記パーソナルコンピューティングデバイス(110)の前記パーソナルソフトウェアアプリケーション(100)に送信し、それによって、匿名化された前記データを匿名された前記データ主体に返すステップと、
を備え、
前記信頼できるデータコントローラコンピュータサーバ(130)の既知の電子アドレスに接続するために、前記信頼できるデータコントローラコンピュータサーバ(130)と匿名された前記データ主体の前記パーソナルコンピューティングデバイス(110)の間の匿名化された前記関心のあるデータの送信は、前記データ主体の前記パーソナルコンピューティングデバイス(110)の前記パーソナルソフトウェアアプリケーション(100)によって常に開始される通信セッションによって行われ、前記信頼できるデータコントローラコンピュータサーバ(130)は、前記データ主体の名前、前記個人識別子又は前記パーソナルコンピューティングデバイス(110)の電子アドレスに関する情報がない場合にそのような通信セッションを開始することができないので、前記信頼できるデータコントローラコンピュータサーバ(130)の前記データ交換ソフトウェアアプリケーション(135)は、前記パーソナルソフトウェアアプリケーション(100)によって前記通信セッションが開始されるのを待つ必要がある、方法。
【請求項2】
前記データ主体の前記パーソナルコンピューティングデバイス(110)の前記パーソナルソフトウェアアプリケーション(100)と前記信頼できるデータコントローラコンピュータサーバ(130)の前記データ交換ソフトウェアアプリケーション(135)の間の通信セッションは、前記データ主体の前記匿名識別子又はデジタル署名によってのみ識別されるデータ交換要求を送信する前記パーソナルソフトウェアアプリケーション(100)によって開始され、前記データ交換ソフトウェアアプリケーション(135)は、前記データ交換要求を受信し、有効な要求を受信したこと及び保存された前記匿名識別子と受信した前記匿名識別子が同一の匿名の前記データ主体に対応することを確認する、請求項1に記載の方法。
【請求項3】
前記匿名識別子は、ランダムに生成された秘密暗号鍵から導出された前記パーソナルコンピューティングデバイス(110)の暗号ソフトウェアモジュール(101)によって非対称公開鍵として生成され、前記信頼できるデータコントローラコンピュータサーバ(130)の既知の公開暗号鍵により前記暗号化ソフトウェアモジュール(101)を使用して暗号化され、前記パーソナルソフトウェアアプリケーション(100)は、少なくとも前記データ主体の名前、前記個人識別子及び暗号化された前記匿名識別子を前記データプロバイダコンピュータサーバ(120)の各々に送信し、一つ以上の前記データプロバイダコンピュータサーバ(120)の前記データ交換ソフトウェアアプリケーション(125)が、それを受信し、匿名化された前記関心のあるデータを含む前記メッセージに暗号化された前記匿名識別子を含め、それを前記信頼できるデータコントローラコンピュータサーバ(130)の前記データ交換ソフトウェアアプリケーション(135)に送信し、前記信頼できるデータコントローラコンピュータサーバ(130)の暗号化ソフトウェアモジュール(101)は、暗号化された前記匿名識別子を受信し、前記信頼できるデータコントローラコンピュータサーバ(130)の前記秘密暗号鍵によって、暗号化された前記匿名識別子を解読する、請求項1に記載の方法。
【請求項4】
前記匿名識別子は、識別鍵、認証鍵及び暗号鍵である、請求項1に記載の方法。
【請求項5】
前記データ主体の前記パーソナルコンピューティングデバイス(110)、一つ以上の前記データプロバイダコンピュータサーバ(120)及び前記信頼できるデータコントローラコンピュータサーバ(130)の間の通信を暗号化する暗号化ソフトウェアモジュールは、好適には楕円曲線デジタル署名アルゴリズムを使用する非対称暗号鍵を使用する、請求項1に記載の方法。
【請求項6】
前記データ主体の前記パーソナルコンピューティングデバイス(110)の前記パーソナルソフトウェアアプリケーション(100)は、前記パーソナルソフトウェアアプリケーション(100)で設定されたデフォルトの時間間隔で又は前記データ主体によって設定された好適な時間間隔で又は前記データ主体のコマンドの任意の時に前記信頼できるデータコントローラコンピュータサーバ(130)の前記データ交換ソフトウェアアプリケーション(135)との通信セッションを開く、請求項1に記載の方法。
【請求項7】
一つ以上の前記データプロバイダコンピュータサーバ(120)から前記信頼できるデータコントローラコンピュータサーバ(130)への匿名化された前記関心のあるデータを含むメッセージの送信又は信頼できるデータコントローラユーザ登録データベース(470)への新しい匿名の前記データ主体の登録又は信頼できるデータコントローラ(130)から前記データ主体の前記パーソナルコンピューティングデバイス(110)への匿名化された前記関心のあるデータの通信は、コンピュータサーバ(120,130)のいずれかに保存されている通常のユーザ定義のユーザ名及びシステムパスワードを使用する前記データ主体なしで行われ、前記信頼できるデータコントローラコンピュータサーバ(130)の前記データ交換ソフトウェアアプリケーション(135)による前記データ主体の識別子の検証は、前記データ主体の前記匿名識別子によってのみ実現される、請求項1に記載の方法。
【請求項8】
前記データ主体の個人データは、一つ以上の前記データプロバイダコンピュータサーバ(120)の前記アプリケーションデータベース(380)から収集され、匿名化され、前記信頼できるデータコントローラコンピュータサーバ(130)に送信され、前記データ主体の前記匿名識別子の識別子の下で収集及び編成され、前記信頼できるデータコントローラコンピュータサーバ(130)の前記データ交換ソフトウェアアプリケーション(135)によって、前記データ主体の前記パーソナルコンピューティングデバイス(110)の前記パーソナルソフトウェアアプリケーション(100)に返される、請求項1に記載の方法。
【請求項9】
ソースコードを格納する非一時的なコンピュータ媒体であって、プロセッサによって実行されるときに、暗号化された匿名識別子によってのみ識別されるデータ主体のパーソナルコンピューティングデバイス(110)にインストールされたパーソナルソフトウェアアプリケーション(100)を使用して、信頼できるデータコントローラコンピュータサーバ(130)に対する前記データ主体のログインプロセスを実行し、前記信頼できるデータコントローラコンピュータサーバ(130)によって関心のある情報を前記データ主体の前記パーソナルコンピューティングデバイス(110)に返す方法であって、a.前記データ主体が、前記パーソナルソフトウェアアプリケーション(100)及び暗号化ソフトウェアモジュール(101)を前記パーソナルコンピューティングデバイス(110)にダウンロード及びインストールし、少なくとも人の名前、個人識別子及びオプションの同意を入力するステップと、
b.前記パーソナルコンピューティングデバイス(110)の前記暗号化ソフトウェアモジュール(101)が、匿名識別子及び前記匿名識別子の暗号化されたバージョンを生成するステップと、
c.前記パーソナルコンピューティングデバイス(110)の前記パーソナルソフトウェアアプリケーション(100)が、前記データ主体に関連するデータを格納する一つ以上のデータプロバイダコンピュータサーバ(120)のデータ交換ソフトウェアアプリケーション(125)にコンタクトし、前記データプロバイダコンピュータサーバ(120)及び前記データ交換ソフトウェアアプリケーション(125)は、安全にデータを交換するように構成され、前記データ主体の名前、前記個人識別子、暗号化された前記匿名識別子及び前記オプションの同意を、前記データ主体の名前、前記個人識別子、暗号化された前記匿名識別子及び前記オプションの同意を受信する前記データ交換ソフトウェアアプリケーション(125)に送信するステップと、
d.一つ以上の前記データプロバイダコンピュータサーバ(120)の前記データ交換ソフトウェアアプリケーション(125)が、少なくとも前記データ主体の名前、前記個人識別子、暗号化された前記匿名識別子及び前記オプションの同意を受信及び記録し、前記データ主体の名前及び前記個人識別子によって、前記データ主体に関連するデータについて前記データプロバイダコンピュータサーバ(120)のアプリケーションデータベース(380)を検索するステップと、
e.関心のあるデータを見つけると、一つ以上の前記データプロバイダコンピュータサーバ(120)の前記データ交換ソフトウェアアプリケーション(125)が、前記関心のあるデータを匿名化するために前記関心のあるデータ及び前記データ主体の暗号化された前記匿名識別子を追加するとともに前記データ主体の名前及び全ての個人識別子を削除するメッセージを作成するステップと、
f.一つ以上の前記データプロバイダコンピュータサーバ(120)の前記データ交換ソフトウェアアプリケーション(125)が、前記データ主体の暗号化された前記匿名識別子によってのみ識別される匿名化された前記関心のあるデータを含むメッセージを、前記信頼できるデータコントローラコンピュータサーバ(130)に送信するステップと、
g.一つ以上の前記データプロバイダコンピュータサーバ(120)の前記データ交換ソフトウェアアプリケーション(125)と安全にデータを交換するように構成された前記信頼できるデータコントローラコンピュータサーバ(130)のデータ交換ソフトウェアアプリケーション(135)が、前記メッセージを受信して読み取り、元の匿名識別子を取得するために、暗号化された前記匿名識別子を解読し、前記匿名識別子が前記信頼できるデータコントローラコンピュータサーバ(130)にあるユーザ登録データベース(470)に既に記録されているか否かを確認し、
i.前記匿名識別子が見つからない場合、前記匿名識別子を新しいユーザとして前記ユーザ登録データベース(470)に記録し、前記匿名識別子及び前記メッセージのメタデータをログファイル(490)に記録し、少なくとも前記データ主体の匿名化された前記関心のあるデータ及び前記匿名識別子をアプリケーションデータベース(480)に保存し、匿名化された前記関心のあるデータは、前記データ主体の匿名識別子によってのみ識別される、又は
ii.前記匿名識別子を見つけると、前記匿名識別子及び前記メッセージのメタデータをログファイル(490)に記録し、前記データ主体の前記匿名識別子によってのみ識別される少なくとも前記データ主体の匿名化された前記関心のあるデータをアプリケーションデータベース(480)に保存するステップと、
h.同一のデータ主体に関連する新しい匿名化された前記関心のあるデータが前記信頼できるデータコントローラコンピュータサーバ(130)の前記アプリケーションデータベース(480)に継続的に追加されるように、匿名化された前記関心のあるデータの送信を、一つ以上の前記データプロバイダコンピュータサーバ(120)の前記データ交換ソフトウェアアプリケーション(125)と前記信頼できるデータコントローラコンピュータサーバ(130)の前記データ交換ソフトウェアアプリケーション(135)との間で定期的に行うステップと、
i.互いに安全に通信するように構成された前記データ主体の前記パーソナルコンピューティングデバイス(110)の前記パーソナルソフトウェアアプリケーション(100)及び前記信頼できるデータコントローラコンピュータサーバ(130)の前記データ交換ソフトウェアアプリケーション(135)が通信を確立し、前記信頼できるデータコントローラコンピュータ(130)の前記データ交換ソフトウェアアプリケーション(135)が、匿名化された前記関心のあるデータを前記パーソナルコンピューティングデバイス(110)の前記パーソナルソフトウェアアプリケーション(100)に送信し、それによって、匿名化された前記データを匿名された前記データ主体に返すステップと、
を備え、
前記信頼できるデータコントローラコンピュータサーバ(130)の既知の電子アドレスに接続するために、前記信頼できるデータコントローラコンピュータサーバ(130)と匿名された前記データ主体の前記パーソナルコンピューティングデバイス(110)の間の匿名化された前記関心のあるデータの送信は、前記データ主体の前記パーソナルコンピューティングデバイス(110)の前記パーソナルソフトウェアアプリケーション(100)によって常に開始される通信セッションによって行われ、前記信頼できるデータコントローラコンピュータサーバ(130)は、前記データ主体の名前、前記個人識別子又は前記パーソナルコンピューティングデバイス(110)の電子アドレスに関する情報がない場合にそのような通信セッションを開始することができないので、前記信頼できるデータコントローラコンピュータサーバ(130)の前記データ交換ソフトウェアアプリケーション(135)は、前記パーソナルソフトウェアアプリケーション(100)によって前記通信セッションが開始されるのを待つ必要がある、方法を実行する、非一時的なコンピュータ媒体。
【請求項10】
データの匿名化のためのコンピュータシステムであって、a.ユーザの匿名識別子及びその暗号化バージョンを生成するように構成された暗号化ソフトウェアモジュール(101)を有するパーソナルコンピューティングデバイス(110)と、
b.ユーザの名前及び暗号化された匿名識別子を含む個人データを前記パーソナルコンピューティングデバイス(110)から受信し、前記個人データをユーザ登録データベース(370)に格納し、アプリケーションデータベース(380)でユーザデータを検索し、匿名化されたデータを作成するために前記ユーザの名前を暗号化された匿名識別子に置き換えるように構成された複数のデータプロバイダコンピュータサーバ(120)と、
c.前記複数のデータプロバイダコンピュータサーバ(120)から匿名化された前記データ及び暗号化された前記匿名識別子を受信するように構成された信頼できるデータコントローラコンピュータサーバ(130)と、
を備え、
前記信頼できるデータコントローラコンピュータサーバ(130)は、ユーザの前記匿名識別子によって識別される前記パーソナルコンピューティングデバイス(110)のパーソナルソフトウェアアプリケーション(100)からの有効なデータ交換要求を待機するとともにそれに応答するように構成された、コンピュータシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本願は、コンピュータシステム及び暗号化の分野にあり、本質的に安全なシステムアーキテクチャの使用によるユーザ識別及びプライバシーの権利の保護の改善に関する。
【0002】
関連出願の相互参照
本願は、2019年4月29日に出願されたポルトガル特許出願第115.479号に対する利益及び優先権を主張する。
本願は、2019年4月29日に出願されたポルトガル特許出願第115.479号に対する利益及び優先権を主張する。
【背景技術】
【0003】
このセクションは、特許請求の範囲に記載されている発明の背景又は事情を提供することを意図しており、追求することができるとともに新規である概念を含むことがある。文脈から明らかでない限り又は先行技術として明示的に述べられていない限り、そのような開示は、本願の説明及び特許請求の範囲において先行技術として認められるべきではない。
【0004】
インターネットは、何十億人の人々の個人データを処理するコンピュータシステムの作成を可能にした。コンピュータシステムは、情報化時代を企業及び州の実体の領域から個人のレベルにまで引き上げた。コンピュータシステムは、仕事、社会的交流及び商取引に有用な情報に対する比類のないアクセスと、人々の簡単、迅速、便利かつ非常に低コストの労働、交流及び取引を可能にする行動にアクセスと、を人々に可能にした。インターネットベースの企業は、無料で顧客にサービスを提供できることが多い。その理由は、そのような企業がコンピュータベースのインターネット接続されたインタラクションで顧客から収集するデータが経済的価値を有するからである。消費者の交流及び取引中に収集された消費者の嗜好及び選択により、インターネットベースの企業は、定義されたプロファイルに含まれる消費者に対して商業的オファーを正確に向けることができる消費者プロファイルを構築することができ、それによってターゲティング、マーケティング及び販売のコストを削減し、さらには、個々の消費者に商業的オファーを向けることさえできる。これにより、消費者の選択肢が増え、価格が下がり、かつ、販売量が増えるので、経済及び社会にとって非常に有益になる。これは、費用のかからない行動をとる-個人データへのアクセスを企業に許可する市民によって実現される。
【0005】
このように消費者の嗜好を簡単に特定することは、企業にとって第2の価値の源泉が創り出され、それは、従来の製品及びサービスの販売から得られる収益を超え、インターネット上での直接広告のデータを使用するとともに従来の製品及びサービスの販売を伸ばすサードパーティに対する消費者の個人データの販売からの収益を含む。
【0006】
このようにマスマーケットを高精度でターゲットにする機能を組み合わせることは、個人の消費者データを物理的な世界のデータと組み合わせて処理することによって更に洗練された。最近、このように複数のソースからのデータを組み合わせる機能は、第三者の干渉を受けないようにするために、データプロセッサが行動及び選択のパターンを決定し、そこから社会的及び道徳的慣習によって統治行為と見なされる市民の行動を予測するとともに時には影響を与えることを可能にするテクノロジーによって更に強化された。時には、サービスの向上及び経済的利益と引き換えに市民により誠意を持ってインターネットベースの企業に提供された個人データは、個人データが提供された本来の目的及び意図とは関係のない秘密の目的で使用される。
【0007】
さらに、他の分野では、個人データの誤用を非常に恐れることにより、コンピュータシステムの次善の開発が行われ、市民に利益をもたらすことに失敗していた。これは、医療記録及び健康データのような特定の種類の機密性の高い個人データで特に顕著であり、これらのデータは、データアトマイゼーション(data atomization)が個人データ保護の非自発的なメカニズムである複数の接続されていない相互運用不可能なシステムに保存されることによって特徴付けられる。データは、複数の医療提供者に属する非常に多くのファイル、データベース及びコンピュータシステムに冗長的に分散されており、患者の包括的な病歴にアクセスすることは不可能ではないにしても非常に困難である。個人の医療データを収集するとともに単一のシステムに統合することは、非常に一般的な関心である。
【0008】
したがって、コンピュータシステムが個人データを処理する方法を改善するとともに個人データが悪用される状況を防止する又は個人データが十分に使用されていない他者に対処する重要な必要性がある。それは、ここに提示された発明であり、市民が管理するとともに市民のプライバシーの権利が保護される安全で同意された方法で個人データを今に至るまで使用できないインターネットに特徴的な技術的欠陥に根ざした問題に対処する。この制御の問題を解決することは、理想的には、様々な参加者の間に新しい関係モデルを確立するとともにパーソナルコンピューティングデバイスを介してインターネット対話の制御者として個人を配置することによってインターネット通信プロトコルが変更されないが、それは、実用的ではなく、実際には必要ない。
【0009】
発明によって示される解決策は、データレコードの匿名化及び暗号化の必要性に基づく。インターネット上の個人データ、特に、個人の健康データ又は所有者が確保したい、内密にしたい又は秘密にしたい他の種類のデータのような機密データの保護は重要であり、この目的を達成するためのいくつかの方法が開発されている。そのような方法の一つは、所有者の識別子を隠す匿名化及び再識別を不可能にする不可逆的な匿名化を含む。データ主体を匿名に維持することが有用であるが識別用語の下でデータを集約する機能を維持するアプリケーションでは、所有者と1対1の関係を有する匿名識別子を使用することができる。このようにして、同一の人物に属するデータを、所有者の匿名識別子鍵の下で保存、整理及び処理することができる。
【0010】
また、再識別手段にアクセスできるコンピュータシステム及びコンピュータプリケーションを避けるように注意する必要があり、そのための技術的な方法は、例えば、所有者の生年月日、住所又は個人識別番号のような元の名前又は個人識別子とは関係のない匿名識別子をこれらのコンピュータで使用することである。さらに、特に、インターネットのような非常に大規模なネットワークに接続されるとともにパブリックアクセスの可能性があるコンピュータの場合、データをプレーンテキストで保存及び通信すること、すなわち、誰でも直ぐに読み取ることができるとともに理解できることは、プライバシーに対するリスクがある。暗号化方法の使用は、問題の有用な解決策であり、これらのネットワーク化されたコンピュータシステムで処理される購入記録、医療記録、財務記録、税記録、財産記録、消費者の嗜好等のような機密情報を保護するために使用することができる。
【0011】
これらの手法を使用する際には、データ主体の個人識別子が暗号化されるとともに関心のある情報が匿名化されている場合でも、関心のある情報は、そのプレーンテキストデータと関心のある同様のデータを含むとともに主体の識別子が既知である他のデータベースとの照合を行うことによってデータ主体の識別子を推測できるデータを含まない。したがって、データ主体のプライバシーの権利を保護する効果的な方法は、単にデータ主体の識別子を隠すことであるように思われる。データ主体の識別子を完全に隠すために、従来のユーザ名/パスワード識別子検証方法を排除することが有用であり、これは、機能するために、コンピュータがデータ主体のユーザ名を認識するとともにそのパスワードを保存する必要がある。
【0012】
しかしながら、所有者の個人データの匿名化を元に戻す必要があるアプリケーションがいくつか存在する。そのようなアプリケーションは、例えば、医療を変更して患者を確実に特定することが望ましいときに所有者を再特定する必要がある医療を含む。医療の他に、所有者の匿名化を元に戻す必要がある状況があり、これは、資産の所有権を証明するために又は支払う必要がある請求書についての情報、利用規約の変更、製品情報、新しいサービスの提供、同意の要求等を受け取るために所有者がデータ又はサービスプロバイダからコンタクトする必要がある又はコンタクトを希望する全ての状況を含む。
【0013】
可逆的な匿名化は、追加情報を使用せずに個人データを特定のデータ主体に帰属させることができないような方法で個人データを処理することとして欧州連合の一般データ保護規則で定義されている仮名化として知られている。これの実用的な実装の一つは、データ主体の所有者に関連する関心のある情報を含むデータ記録を選択するようにコンピュータシステムを構成することであり、このデータ記録は、機密コードで識別され、コードは、同一のコンピュータの別のファイルの場所又はデータ主体の名前及び個人識別子も含む他のコンピュータにコードが格納されている機密コードで識別される。両方のファイルの情報を照合することによって、データ主体を再識別することができる。このようにして、仮名化された健康記録を含むコンピュータファイル又は複数のデータ主体からの他の機密情報を、識別子を表示することなく処理することができるが、必要に応じて、各データ記録について、2番目のデータファイルによってデータ主体の識別子まで遡ることができる。
【0014】
残念ながら、データ主体の実際の識別子が他のコンピュータファイルで分離されているこのようなデータ分割は、特に両方のファイルが同一のデータコントローラコンピュータサーバの制御下にあるときに悪用される傾向があり、コンピュータサーバは、データ主体に属するとともにデータ主体のコンピュータから発信されたデータを処理するために他の活動の間にコンピュータシステムを使用するエンティティによって操作される。関係する全てのコンピュータを適切に構成することによって意図的な悪用又は偶発的な再識別を完全に防止しない場合、データ漏洩が生じ、かつ、個人データが危険にさらされるとともに明示的に又は黙示的にデータ主体が当初同意しなかった目的で使用されるリスクが常に存在する。このために、偶然に又は故意に内部オペレーター又は悪意のある外部オペレーターが仮名化された識別子を元に戻すのを防止するようにデータコントローラコンピュータサーバを構成する必要があるが、そのような構成によって、データコントローラコンピュータサーバが主体のデータを送信及び交換するためにデータ主体のコンピュータとの通信を確立することができるようにすることを防止することができない。
【0015】
本願は、このパラドックスに対する解決策を提示し、データ主体の名前識別子及び個人識別子を隠すために使用される匿名識別子を生成するようにデータ主体のコンピュータを構成し、したがって、そのような識別データがデータコントローラコンピュータサーバに送信されるのを防止して偶発的なリリース及び悪意のある漏洩の影響が及ぼされにくくなる安全なコンピュータシステム及び方法を記載している。データ主体のコンピュータは、個人データを転送できるか否か、誰に対して、何のために使用するか及びどの期間使用するかについての同意をデータ主体によって示すことができるようにするとともにデータコントローラコンピュータサーバとの通信を確立できるように更に構成され、それによって、データコントローラコンピュータサーバは、データ主体のコンピュータの識別子を検証することができる。
【0016】
文献には、個人データを既知又は発見可能にする可変匿名化モデルについての複数の文献が存在する。
【0017】
国際特許出願公開第2018/201009号明細書は、本願と同様の目的を達成するシステム及び方法を記載しているが、それは、各ユーザの動的識別子の使用を通じて行われている。動的識別子は、ユーザの匿名化に関して非常に効率的であるが、どのエンティティがユーザに識別子を帰属させるか、識別子の動的変更の管理及び動的に変更された識別子が常に同一人物を示すことを保証することについての法的責任の問題が生じる。静的で厳重に保護された識別子及びデータ最小化方法は、セキュリティ、操作性及び法的保証の間の更に良い妥協点を提供することができる。
【0018】
米国特許出願公開第2015/0149208号明細書は、匿名識別子が常に同一人物を示すという信頼性の向上に重点を置いた複数の医療提供者から健康データを収集するとともに匿名化するシステムを記載している。
【0019】
米国特許出願公開第2002/0091650号明細書は、プライバシー及び識別子を保護しながら地理、ライフスタイル及び購買習慣の観点からグループ又は特定のサブグループとして顧客を明確に理解することによって消費者の選択に関する秘密情報をマーケターに提供するシステムを記載している。しかしながら、提示された解決策は、特定の個人に到達することができるには不十分である。
【0020】
米国特許第8234698号明細書は、Webサービスプロバイダが顧客を確実に識別できるようにするために、例えば、顧客の個人識別子にアクセスするのを防止しながら購入申込又は取引のための支払いを守る方法でデータ主体がWebサービスにアクセスできるシステムを記載している。これは、サードパーティの匿名認証局及び銀行又は証券会社のような信頼できる組織による対面認証を介して行われる。これは、複雑かつ費用のかかる手順である。
【0021】
米国特許第7840813号明細書及び米国特許出願公開第2010/0131765号明細書の両方は、以前のケースの特徴のいくつかを含むが、匿名性が望ましくは不可逆的であるとともに可能であれば回復がデータコントローラの制御外である本願の目的に反して、明確に匿名性の取消又は失効を可能にする。
【0022】
米国特許出願公開第2014/0372149号明細書は、複数の医師による患者記録への安全なアクセスのために匿名化された識別フィールドを使用しながらクラウドに保存された患者記録を保存することによって、患者の健康データへのアクセスを曖昧さなく提供しながら患者の個人データの匿名化の必要性を調整することを試みる。これらの患者の記録、主に画像は、患者の割り当てられた医師によって操作される承認コンピュータを介してメインディスプレイ画面でアクセスされる。このコンピュータは、医師がデータを検査する患者に関する事前定義されたデータを有し、事前定義されたデータに一致する患者の記録のみが表示される。しかしながら、データコントローラ及びプロセッサのコンピュータサーバは、患者の記録と及び者の識別データの両方を有するので、前者を後者に一致させて患者を再識別するようにプログラムすることができる。
【0023】
米国特許第8,635,464号明細書は、コンピュータシステムを暗号化するための包括的な方法を詳述しているが、認証及び失効機関並びにデータ主体が別個のエンティティである方法である。ここでは、データ主体は、暗号化コードの管理を制御しておらず、個人データへのアクセスを単独で制御する立場にない。
【0024】
米国特許第5,369,702号明細書は、暗号化されたメッセージの受信者が暗号化されたメッセージを解読することを許可されているか否かを判定するコードが暗号化されたオブジェクトにラベル付けされるマルチレベルのマルチメディア暗号化システムを記載している。このシステムは、同一のメッセージが送信チェーンの送信者から受信者に送信されるようにネストされた暗号化を採用しているが、アクセスは、受信者がラベルで指定された許可されたリーダーであるか否かに応じて選択される。本発明は、受信機のクリアランスレベルに基づいて選択的にアクセスを与える必要がある多数の人々への情報の配信を対象とする。
【0025】
米国特許第9,910,902号明細書は、ユーザを識別できる情報を匿名化するプロセスを記載しているが、プロセッサがデータ主体を再識別するために匿名化マッピングテーブルを保持しているためにデータ主体の識別子をデータプロセッサコンピュータから完全に隠すことができない。
【発明の概要】
【発明が解決しようとする課題】
【0026】
したがって、検証、暗号化及びアクセス権管理システムが個人データを保護するために使用されてきたいくつかの先行技術の事例がある。しかしながら、それらのいずれも、個人データへのアクセスの許可及び取消を行う完全かつ唯一の権限を有し、匿名化され、かつ、データ主体の匿名化された個人データを管理及び処理する関係者との暗号化された通信を維持することができる保護モデルの中心に市民データ主体を配置していない。
【0027】
ツールを自由に使用するとともに特別な知識を必要とすることなくコンピュータを介してデータ主体によって自動的に制御される方法でアクセス及びアクセスの防止を同時に行う安全なデータ処理及び通信を可能にする独自のコンピュータシステム及びその使用方法を開発した。
【0028】
本発明は、個人データがコンピュータシステムに格納されるとともにデータ主体又はデータ所有者のプライバシーを保護する必要があるあらゆる分野で有用である。考えられる機密分野のリストは、科学的又は非科学的研究、データ収集、データ抽出を含み、関心のある情報は、性別、性的指向、人種、医療及びケアデータ、遺伝子データ、犯罪記録、生物測定データ、行動、ライフスタイル、能力、宗教、信念、政治的選択肢、政党所属、労働組合所属、政策立案、世論調査、広告への回答、フォーカスグループ、人材採用、経営管理、消費者の嗜好及び購入決定、購入記録及び履歴、税務記録及び履歴、投資又は投資若しくは保存するための決定、好き嫌い、社会的関係等を含んでもよい。実際には、非常に機密性の高い地域であるために一部の法域ではデフォルトで処理が禁止されており、正当な例外の下でのみ許可される。本発明は、そのような敏感な分野が個人のプライバシーの権利を最も厳密に尊重して研究されることを可能にし、保護は全ての適用可能な分野に対して主張される。
【課題を解決するための手段】
【0029】
発明の実体。本発明を提示する際に、この安全な個人データ交換及び処理コンピュータシステムに存在する様々な参加者及び機能に言及する。
【0030】
本発明は、参加者の三つのカテゴリー及びその各々のコンピュータシステムを識別する。第1のカテゴリーでは、一つ以上のデータ主体は、個人データを含むデータを処理するためにコンピュータを使用する個人又はエンティティである。個人又はエンティティは、市民、消費者、専門家、採用担当者、管理者、納税者、患者、企業、組織、非営利組織、非政府組織、州、諜報専門家、軍隊、公益通報者、信者、有権者、旅行者、作家、写真家、芸術家、友人、投資家、救済者等であり、実際には、人間の活動の結果としてデータが生成されるあらゆる機能の個人又は団体である。監視センサのようなマシンによって生成されたデータもこの範囲に含まれ、データ主体は、データを発信した個人又はエンティティになる。実際の法的な所有権は、管轄によって異なる場合があるが、本願の目的において、「データ主体」は、コンピュータデータを最初に生成した又はその代わりに生成された個人又はエンティティを意味する。このデータの貴重な特徴は、非常に大規模に生成されたときに新しい情報を抽出するとともにパフォーマンス、動作又は選択の相関、原因、影響及びパターンを分析できることである。そのような全ての操作にコンピュータの使用が必要であるが、一般的には、コンピュータは、データ主体にプライバシーの権利の十分な保護を提供する準備ができていない。
【0031】
第2のカテゴリーでは、データ管理者は、コンピュータシステムを使用するとともにデータ処理を専門のデータ処理者に委託した場合でもデータ処理の操作に法的に責任を負う個人又はエンティティである。一部のデータ管理者は、主要な又は戦略的なビジネス目標としてデータ主体の情報へのアクセスから経済的利益を引き出す。そのようなデータ管理者は、現在、a)データ主体の関心を記録するインターネット検索エンジンプラットフォーム、b)データを保存するとともに商品及びサービスの消費者及びプロバイダのための市場を作成することができるインターネットビジネス及び貿易プラットフォーム並びにc)人々の間の社会的相互作用及びやり取りを記録するとともにそれを管理するのを助けるインターネットソーシャルネットワークを含む。そのような三つのグループは全て、各個人の正確な消費者プロファイルを取得するためにデータ検索、購入及びソーシャルインタラクションに関するデータ主体の情報を記録し、かつ、広告サービス並びに正確な消費者ターゲティング情報及び手段を販売するために当該情報及びプロファイルデータを使用してもよい。この場合、データ主体は、データ管理者が被験者の無料データを収益性の高いビジネスに変えるのと同時に価値が高くて便利な無料サービスが提供されることによって恩恵を受ける。
【0032】
本願は、対象データが配置されている可能性のある任意のソースからの対象データのアクセス、取得及び統合を行うとともに市民のプライバシーの権利及び自己決定の保護と調和する方法で使用する新しいタイプのデータコントローラコンピュータサーバを作成する。このデータ管理者は、プライバシーの権利を保護しながら主体に代わってそのような全てのデータの抽出、統合、保存及び処理を実行するためにデータ主体によって選択される。本発明では、このエンティティは、信頼できるデータコントローラと呼ばれ、信頼できるデータコントローラコンピュータサーバを操作する。信頼できるデータコントローラコンピュータサーバは、本発明に記載されたコンピュータシステムの一部として、データ主体のプライバシーの権利を保護する方法で個人データを処理するように構成される。
【0033】
参加者の第3のカテゴリーは、データプロバイダである。サービスの提供及び商品の販売を主な事業とするもののその主な活動の過程でコンピュータシステムを使用して非常に大量の貴重な個人データを取得又は生成する企業体が数多く存在する。例は、上記データプロバイダ、銀行、保険会社、会計士、税務顧問、金融会社、マーケティング会社、消費者調査会社、製薬会社、委託研究機関、非政府機関、国の保健サービス、国勢調査機関、世論調査企業、病院、診療所、臨床試験サービス会社等である。実際には、データが主な事業である企業とデータの重要性が高まるとともに時には元の事業の重要性を超えるサービス及び製品企業との間の境界線がますます曖昧になっている。この後者のグループの特徴は、そのコンピュータシステムが個人情報の大規模なデータセットを保持するとともに専門のデータ管理者と契約することによってそれらを経済的に利用することに関心があるかもしれないということである。データ主体のプライバシーの権利の保護を確実にする方法で動作するようにデータプロバイダコンピュータサーバを構成することは、本発明の一部である。
【0034】
所定のタイプのデータプロバイダは、本発明において特に重要である。医療提供者は、そのようなタイプの提供者の一つであり、医師と、薬剤師と、看護師と、治療の目的で被験者の臨床記録を参照することを許可されていると同時に新しい治療及び健康情報を追加することを許可されている職員と、を含む。ここでは、基礎となる医療記録が実際に観察及び治療されている患者のものであることを確認できるようにするために医療提供者のコンピュータサーバがデータ主体を患者として明確に識別できるようにする必要があるが、このアクセスは、データ主体の情報のプライバシーが損なわれないようにする必要がある。
【0035】
オプションの参加者の第4のカテゴリーは、本人確認プロバイダであり、この場合、個人識別子を確認できるようにするためにコンピュータサーバがデータ主体の識別子を検証する。一つのオンラインの実施形態では、本人確認プロバイダは、市民情報並びに名前、個人識別子及び本願にとって重要な電子的なアドレス、eメールアドレス又は通信機能を有するデータ主体のスマートフォン、タブレット又は他の任意のパーソナルコンピューティングデバイスに関連する番号のような特定の情報を格納する非常に大規模なデータベースを管理するコンピュータサーバにアクセス及び接続するように構成されたコンピュータサーバである。例は、運転免許機関又は税務当局の政府データベース及び携帯電話事業者の個人データベースである。
【0036】
個人識別子は、データ主体を識別するために使用できる情報要素であり、情報要素は、個人の名前、性別、生年月日、住所、任意の個人識別番号(IDカード、税番号、社会保障番号、国民健康番号、保険契約者番号、銀行口座番号、電話番号、携帯電話番号等)又は個人の住所(自宅住所、雇用主の住所、ユーザ名、ソーシャルネットワーク名、電子メールアドレス、Webサイトのアドレス、コンピュータ名、電子アドレス等)を含み、その全ては、個人識別子と総称される。家族が個人の識別を支援できる限り、家族の個人識別子も個人識別子の境界に含まれる。
【0037】
本発明の実施形態は、暗号化技術を使用する。暗号化は、送信中にサードパーティのコンピュータが理解できないようにメッセージを暗号化し、その後、受信者が密接に関連するメカニズムを使用することによって、メッセージの操作プロセスを元に戻し、メッセージを解読し、その内容への読み取りアクセスを取得するためにデータ主体のコンピュータ又はデータコントローラのコンピュータサーバによって使用されるデータ操作メカニズムである。暗号化方法は、データ主体及び受信者の識別子を確認する能力及び暗号化されたデータへの変更を識別するとともにそのコンテンツの整合性を保証する能力も含む。
【0038】
暗号化は、コンピュータの暗号鍵が必要である。鍵は、読み取り可能なテキスト又はデータを一連の理解できない記号又は文字に変換するためにコンピュータの送信者側のコーディングアルゴリズムによって操作される一連の文字、数字又はバイトの情報である。次に、鍵は、メッセージを解読してプレーンテキストに戻すために、コード化されたテキストの受信側コンピュータによって使用される。
【0039】
本発明では、四つのタイプのコンピュータ暗号化システムが重要である。
【0040】
第1のタイプでは、送信側コンピュータ及び受信側コンピュータは、同一の暗号鍵及び同一のコーディングアルゴリズムを使用する。これは、対称鍵暗号化として知られており、コンピュータリソースの観点からは比較的高速なエンコードシステムである。ここでの困難は、この一意の鍵へのアクセスを管理することであり、これにより、二つのコンピュータの間の通信をエンコードすることが更に適切となり、送信側のコンピュータと受信側のコンピュータのペアごとに一つの対称鍵となる。
【0041】
コンピュータの対称鍵暗号化は、コンピュータの暗号化と解読の両方に単一の鍵kを使用する。コンピュータ対称鍵暗号化には様々な種類がある。一例は、Advanced Encryption Standard(AES)である。一般的には、コンピュータの対称鍵暗号化は、解読のために反転できる暗号化のための一連の決定論的操作を採用する。コンピュータ対称鍵暗号化の場合、鍵へのアクセスにより解読が行われるので、暗号鍵は、通常、通信している両方のコンピュータによって秘密に保持される。
【0042】
非対称鍵暗号化として知られる第2のタイプのコンピュータ暗号化システムでは、送信側コンピュータと受信側コンピュータは、公開鍵及び秘密鍵のペアの互いに異なる暗号鍵を使用する。コンピュータの公開鍵/秘密鍵暗号化は、商取引及び情報交換プロトコルで広く使用されている。一つの広く普及している公開鍵/秘密鍵暗号化システムはRSA暗号化技術と呼ばれ、RSAは、方法の発明者であるRivest、Shamir及びAdlemanの姓の最初の文字を含む。このコンピュータ暗号化システムでは、暗号鍵の対が生成される。一般的に、公開暗号鍵は、公に配布され、「公開鍵」と呼ばれ、それに対し、秘密暗号鍵は、暗号化されたメッセージを受信するコンピュータによって秘密に保持され、「秘密鍵」と呼ばれる。通常の使用法では、メッセージの送信側コンピュータは、一般的に知られている受信側コンピュータの公開鍵を使用してメッセージを暗号化し、機密である秘密鍵を使用して受信側コンピュータによって解読される。
【0043】
非対称鍵暗号化方式を、コンピュータの間のメッセージ認証を提供するためにメッセージにデジタル署名するのに使用してもよい。一例では、署名されるメッセージは、送信者の公開鍵で構成される。送信側のコンピュータは、送信側の秘密鍵を使用してメッセージを暗号化し、暗号化されたメッセージを受信側のコンピュータに送信する。受信側のコンピュータは、送信側のコンピュータの既知の公開鍵を使用してメッセージを解読する。解読されたメッセージの内容が送信側コンピュータの公開鍵と等しい場合、デジタル署名は、成功裏に検証されている。更に長いメッセージにデジタル署名するために、最初に、メッセージ全体をハッシュし、送信者の秘密鍵で暗号化し、解読及び検証のために受信側のコンピュータに送信するのが有用である。いくつかの方法が利用可能であるが、ここで好適な方法は、RSAの変形である楕円曲線デジタル署名アルゴリズム(ECDSA)である。
【0044】
第3のタイプの有用なコンピュータ暗号化は、ブロックチェーンである。これは、多数の処理ノードに分散されているトランザクションを記録するための安全なシステムであり、非常に大きいために暗号化を無効にすることができない。ブロックチェーンを使用して暗号化される情報の各オブジェクトは、通常、以前のブロックの暗号化ハッシュ、タイムスタンプ及びトランザクションデータを含む。設計上、ブロックチェーンは、データの変更に対して本質的に耐性がある。それは、二つのコンピュータの間のトランザクションを効率的に検証可能かつ永続的な方法で記録できるオープンな分散コンピュータ元帳である。分散型台帳として使用する場合、ブロックチェーンは、典型的には、新しいブロックのノード間通信及びブロックの検証のためのプロトコルに集団で順守するピアツーピアのコンピュータネットワークによって管理される。一度記録されると、特定のブロックのデータは、ネットワークの多数の共謀を必要とする後続の全てのブロックの変更なく遡及的に変更することはできない。
【0045】
本願において、ブロックチェーンは、データ主体のコンピュータ、本人確認者、データプロバイダ及び信頼できるデータ管理者の間の情報のトランザクションを記録するために有用となることができ、かつ、ブロックチェーンの特徴であるスマートコントラクトの使用による個人データの同意及び閲覧権を調整する能力をデータ主体に与える。スマートコントラクトによって、データ主体は、コンピュータを介して、誰が誰のコンピュータが個人データ及び関心のあるデータを見ることができるか、どのカテゴリーのデータを見ることができるか、誰によって書き込むことができるか及び誰によってどの動作を許可することができるかを、基礎となる関心のあるデータに応じて指定することができ、かつ、同意及びコンピュータクセス権をグローバルに又は選択的に付与又は削除することができる。
【0046】
第4の暗号化方式は、SHA-256、SHA-512又はそれらの後継のいずれかのようなセキュアハッシュアルゴリズムである。これは、式を非対称鍵よりも高いレベルのセキュリティで暗号化されたバージョンに暗号化する広く使用されている数学関数である。現在の最先端技術では、ハッシュされた番号を元に戻す総当たり攻撃は、公開鍵で暗号化された番号を元に戻すのに要する時間よりも大幅に時間を要する。本開示では、データ主体の匿名識別子を変換するためにハッシュを使用してもよい。
【0047】
コンピュータ暗号化のこれらの四つのシステム-対称鍵、非対称鍵、ブロックチェーン及びハッシュ-は、本発明において有用に組み合わせてもよい。セッション鍵、鍵リング、一時鍵、トークンのような他の暗号化機能及び他の任意の暗号化システムも使用してもよい。
【0048】
本発明の実施形態を理解するのに有用なのは、同意の概念である。同意は、主体の個人データ及び関心のあるデータへのアクセスを許可されている当事者を特定し、データが使用される目的及び同意の取消後に存在する目的を許可し、様々な受信者の性質及び結果的に得られる許可レベルに応じてアクセス及び処理してもよいデータの様々なカテゴリーを識別し、かつ、データが受信側のコンピュータによって保存及び処理される時間の長さを決定するためのデータ主体の明確かつ具体的に知らされた許可である。同意する権利は、同意を取り消す権利を含み、その結果、データ主体に由来する全ての個人データ及び関心のあるデータを、同意取消命令に含まれる全ての受信側コンピュータによって削除する必要がある。ここに記載した本発明のコンピュータシステムの実施形態は、この同意の概念を採用し、かつ、同意を変更する手順を可能にする。
【0049】
同意の形式は、EU一般データ保護規則で定義されているように、データ転送の要求を含み、これにより、データ主体は、データコントローラコンピュータサーバに保存されている個人データを別のデータコントローラコンピュータサーバに転送又はコピーするように要求することができる。本願において、データ主体によって発行されたデータ転送要求の下で転送されたデータの受信者であるのは、信頼できるデータコントローラ及びそのコンピュータサーバである。
【0050】
レポートは、コンピュータサーバ及びアプリケーションデータベースにある関心のある個人データを使用するがデータ主体の名前又は個人識別子を除外する又は非表示にするように信頼できるデータ管理者によって作成された文書である。レポートは、統計、データサイエンス、ビッグデータの手法を使用する。レポートは、関心のある個人データで取得された要素の間の関係を計算及び推測することによって新しい貴重な知識を抽出する。有用な分野は、とりわけ、商品及びサービスの広告、マーケティング及び販売、金融、保険、医療である。医学及び医療では、有用なサブフィールドは、年齢、性別、遺伝的特徴、疾患の重症度、複数の疾患の有無、複数の薬物の投与、薬物コンプライアンス、中毒、不耐性、アレルギー、ワクチン接種、マイクロバイオーム及びライフスタイルのような患者属性の全ての観点からの診断、スマート処方、有効性、効率及び安全性の観点からの薬物及び治療のランク付け、副作用、拒絶反応及び薬物相互作用の特定、薬物の費用対効果の比率、医療機器並びに治療である。レポートは、臨床試験の候補として望ましい同種又は異種の特性を共有する患者のコホートを特定するのにも有用である。
【0051】
レポートは、データ主体の母集団全体の関心のある情報を含む信頼できるデータコントローラのアプリケーションデータベースである時点で利用可能な全ての情報を使用する。個人データ及びデータ主体の関心のある情報が同意によって取得されるとき、将来の同意の取消は、元の同意条件に基づく同意の取消を存続させるためにレポートに影響を及ぼさない。これにより、本開示で有用なエンティティ及び機能の説明を終了する。
【0052】
本発明の説明。本開示は、コンピュータの間のデータ通信におけるデータ主体の名前及び個人識別子を匿名識別子に置き換えることによって大規模インターネット通信に固有のプライバシーの問題を解決し、同時に、信頼できるデータコントローラコンピュータサーバが匿名のデータ主体の識別子を絶対的に確認できるようにし、かつ、匿名化された関心のあるデータを、所有するデータ主体のパーソナルコンピューティングデバイスに正確に送信する。これにより、信頼できるデータコントローラコンピュータサーバがデータ主体の名前の識別子を保存することなく機密性の高い個人データを検索、収集、保存及び処理することができ、したがって、多くのインターネットベースの通信及びコンピュータシステムに特徴的なプライバシーの悪用及び侵害のリスクがなくなる。医療の分野では、これにより、本質的にプライベートな電子健康記録(EHR)システムの開発が可能になる。
【0053】
記載したシステム及び方法は、パーソナルソフトウェアアプリケーションを実行するパーソナルコンピューティングデバイス、コンピュータサーバでデータ交換ソフトウェアアプリケーションを実行する一つ以上のデータプロバイダ及びコンピュータサーバでデータ交換ソフトウェアアプリケーションを実行する信頼できるデータコントローラを有するデータ主体が必要である。3人の参加者全員のコンピュータは、暗号鍵を作成するとともにメッセージを暗号化及び解読できる暗号化ソフトウェアモジュールを有する。三つのソフトウェアアプリケーションはそれぞれ、他の二つのソフトウェアアプリケーションと安全に通信するとともにデータ交換を行うように構成されている。安全な通信によって、本開示に記載された方法で許可された通信のみが行われることを保証するためにコンピュータ暗号化手段が使用されることが理解される。有用なことには、本開示では、データ主体の匿名識別子が暗号鍵として又は暗号化システムの一部として使用される。
【0054】
一実施形態-一般的な実施形態-では、正当な受信側コンピュータシステムによってのみデータを解読できるように匿名識別子及び送信されたデータを安全に暗号化することができる全ての参加者のコンピュータシステムで実行される暗号化ソフトウェアモジュールによって採用される任意の暗号化手段が有用である。
【0055】
別の実施形態-非対称鍵の実施形態-では、暗号化手段は、全ての参加者のコンピュータシステムで実行される暗号化ソフトウェアモジュールによって採用される公開鍵/秘密鍵非対称暗号化システムを使用する。これらの手段は、適切な鍵を保持する使用する目的の受信側コンピュータシステムによってのみデータを解読できるように匿名識別子及び送信されたデータを安全に暗号化することができる。パーソナルコンピューティングデバイス及びデータプロバイダコンピュータサーバ又は信頼できるデータコントローラコンピュータサーバの間の通信を認証するために、匿名識別子をデジタル署名手順で使用してもよい。デジタル署名は、送信側コンピュータがデータを発信していないこと及びデータ交換が機密であると主張できないように、データを受信する各コンピュータが送信側コンピュータの所定の識別子であることを保証する。したがって、非対称鍵暗号化システムで公開鍵として使用される匿名識別子は、認証鍵及び暗号化鍵でもある。これらの方法の実装及び使用は、暗号化コミュニティで既知であり、本開示では、顕著な発明の態様のみを説明する。
【0056】
通信及び処理を更に安全にするために、第3の実施形態は、データ主体の匿名識別子及び送信データを暗号化するためにハッシュ及び非対称鍵の両方を使用するようにハッシュ機能を第2の実施形態に追加する。
【0057】
データ主体のパーソナルコンピューティングデバイスを、例えば、スマートフォン又はタブレットとすることができる。パーソナルコンピュータ又はサーバコンピュータのパーソナルアカウントを使用することもできるが、パーソナルデバイスが少ないので、これらのタスクには適さない。特に、サーバシステムの個人アカウントは、ユーザ定義のログインユーザ名及びシステムパスワードが必要な場合があり、これらは、データコントローラが知っているデータである可能性があり、データ主体の個人データを個人識別子に関連付けることができることがある。所定のコンピュータシステムでは、システム管理者がパスワードをリセットすることができ、これによって、管理者が個人データ及び識別可能なデータにすぐにアクセスできるようにすることができる。しかしながら、本発明は、スマートフォン又はタブレットに限定されず、十分な計算能力を有し、かつ、データ主体の到達範囲内であるとともにデータ主体の制御下にある将来開発される任意のデバイスが適切である。
【0058】
データ主体のパーソナルコンピューティングデバイスは、ウェブサイトから又はAppstore(登録商標)又はGoogle(登録商標) Playのようなアプリ配布サービスからパーソナルコンピューティングデバイスにダウンロードされたパーソナルソフトウェアアプリケーションによってここに記載されたステップを実行するように構成されてもよい。全ての場合において、パーソナルソフトウェアアプリケーションは、信頼できるデータコントローラによって提供される。このパーソナルソフトウェアアプリケーションの目的は、通常は非常に多くのデータプロバイダコンピュータサーバに配布されるデータ主体に関連する個人情報を単一のコンピューティングデバイスに収集することである。
【0059】
ここに記載のコンピュータサーバシステムは、データプロバイダ及び信頼できるデータコントローラによって操作されるコンピュータサーバを含み、それらは、一般的には、かなりの計算能力、記憶能力及び通信能力を有するサーバシステムである。データは、一つ以上のデータプロバイダコンピュータサーバに格納されているデータ交換ソフトウェアアプリケーションによりデータプロバイダによって処理される。データは、信頼できるデータコントローラのコンピュータサーバに格納されているデータ交換ソフトウェアアプリケーションにより信頼できるデータコントローラによって処理される。
【0060】
本発明の全てのコンピュータシステムは、プロセッサと、プログラム命令を格納できるメモリと、通信サブシステムと、記憶媒体と、キーボード、マウス、ポインタ、触覚スクリーン、マイクロフォン又はカメラのような入力装置と、ディスプレイ画面及びスピーカのような出力デバイスと、を備える。コンピュータシステムは、プライベートの電気通信ネットワーク又はパブリックの電気通信ネットワークを使用して互いに通信を行うことができるが、パブリックネットワークが好ましく、好適な媒体は、インターネットである。
【0061】
本開示におけるコンピュータ操作は、手動ステップ及び自動ステップを含む。手動操作は、パーソナルコンピューティングデバイスにパーソナルソフトウェアアプリケーションを設定するデータ主体がデータを入力する操作である。パーソナルソフトウェアアプリケーションのインストール中に、データ主体は、個人識別データを入力し、これにより、データプロバイダコンピュータサーバは、データ主体の健康データを識別することができる。これを、名前、個人識別子又はその両方とすることができる。オプションで、データ主体は、同意書及びデータ転送要求並びにその後のプログラム操作に必要であるとともにソフトウェアアプリケーションの特定の機能要件によって変化するユーザ設定又はデータを確立するために必要な他の指示も入力する。データ主体による他の手動タスクは、使用中のパーソナルソフトウェアアプリケーションのメニューオプションの選択を含む。
【0062】
ここに記載されている他の全てのタスクは、自動タスクであり、データ主体のパーソナルコンピューティングデバイス、一つ以上のデータプロバイダのコンピュータサーバ及び信頼できるデータコントローラのコンピュータサーバの全てのデータ処理並びにそれらの間の通信及びデータ交換を管理するためにコンピュータプログラムの制御下で自動的に発生する。
【0063】
本発明は、データ主体に関連する匿名化された関心のあるデータを検索、匿名化及び送信する一つ以上のデータプロバイダコンピュータサーバ並びに匿名化された関心のあるデータを受信、保存及び蓄積するとともに匿名のデータ主体のパーソナルコンピューティングデバイスに返す信頼できるデータコントローラコンピュータサーバにおいて、パーソナルコンピューティングデバイスのデータ主体の個人データに対して実行されるコンピュータプログラムの制御下でデータの一連の要求、検索、保存、処理及び交換を可能にすることを目的とする。
【0064】
信頼できるデータコントローラコンピュータサーバは、データ主体の名前又は個人識別子の情報若しくはそれに関連する情報又はデータ主体のパーソナルコンピューティングデバイスの携帯電話番号、電子アドレス又はインターネットアドレスのような任意の電子アドレス情報を保存しない。このデータを保存しないことは、コンピュータが偶発的に、過失により又は悪意を持ってデータ主体の個人データ及び関連するプライバシーの権利を侵害することを防ぐための効率的な方法である。したがって、名前又は個人識別子のようなデータ主体を識別するデータ項目は、信頼できるデータコントローラコンピュータサーバに伝達しないようにする必要があり、名前、個人識別子、ログインユーザ名又はシステムパスワードによってデータ主体を識別するために信頼できるデータコントローラコンピュータサーバに提供されない。その結果、本発明のコンピュータは、従来のログインユーザ名及びシステムパスワードを使用してデータ主体を識別するように構成されていない。システムパスワードは、通常、データ主体によって選択される機密コードであり、データ主体のコンピュータユーザカウントを管理するデータコントローラのコンピュータシステムに保存される。
【0065】
代わりに、パーソナルコンピューティングデバイスのパーソナルソフトウェアアプリケーションは、データ主体-匿名識別子-を識別するために一意の番号を使用する。この数は、複数の人間を識別するために少なくとも2人の人間が同一の匿名識別子を共有するとともに互いに異なるコンピュータが同一の匿名識別子を格納及び使用する確率がゼロに近いと見なされるような次元である。したがって、匿名識別子は、データ主体の識別鍵でもある。
【0066】
コンピュータシステムが匿名識別子を生成する方法は少なくとも二つあり、いずれもパーソナルコンピューティングデバイスで実行されている暗号化ソフトウェアモジュールを使用する。第1の方法は、単一の複素乱数を生成することであり、全てのコンピュータシステムの間の暗号化通信で使用される。それは、データ主体の匿名識別子を対称鍵暗号化システムの暗号鍵としても使用する。第2の方法は、非対称暗号鍵暗号化システムを使用することである。第1のステップにおいて、暗号化ソフトウェアモジュールは、データ主体の秘密暗号鍵となる乱数を生成する。暗号化ソフトウェアモジュールは、秘密鍵から、例えば、楕円曲線デジタル署名アルゴリズムの公開された方法を使用して、公開暗号鍵を数学的に導出する。これを、データ主体のコンピュータシステム、一つ以上のデータプロバイダ及び信頼できるデータコントローラの間の暗号化された通信に使用してもよい。
【0067】
データ主体の公開暗号鍵も匿名識別子になるが、機密が保持されるとともにデータ主体のコンピュータ及び信頼できるデータ管理者のコンピュータにのみ認識されるので、その使用法は、従来とは異なる。匿名識別子を、識別鍵、認証鍵及び暗号鍵とすることができるので、匿名識別子を、暗号化された匿名識別子を生成することによる暗号化によって厳重に保護する必要がある。
【0068】
セキュリティを強化するために、データ主体の元の匿名識別子を、元の匿名識別子を隠す方法でデータプロバイダに送信できるようにするために、パーソナルコンピューティングデバイスのデータ主体の暗号化ソフトウェアモジュールによってハッシュされてもよい。この実施形態では、データ主体がパーソナルソフトウェアアプリケーションをパーソナルコンピューティングデバイスにインストールするとき、インストールプロセスは、元の匿名識別子を信頼できるコントローラコンピュータサーバに送信するように構成される。信頼できるデータコントローラコンピュータサーバは、元の匿名識別子を受信すると、ハッシュアルゴリズムを元の匿名識別子に適用し、ハッシュされた匿名識別子を取得し、ハッシュされた匿名識別子は、ユーザ登録データベースのデータ主体のエントリレコードに保存される。その後に行われるデータプロバイダコンピュータサーバと信頼できるデータコントローラコンピュータサーバの間のデータ主体に関連する関心のある情報の送信では、主体のデータは、主体のハッシュされた匿名識別子によりデータプロバイダコンピュータサーバによって識別される。信頼できるデータコントローラのコンピュータサーバは、データ主体に関連する関心のある情報を受信すると、ハッシュされた匿名識別子をデータ登録データベースで検索し、一致を見つけると、同一のレコードのデータ主体の元の匿名識別子を読み取り、受信した関連する関心のあるデータを当該匿名の識別子の下で保存する。
【0069】
全ての暗号化の実施形態において、暗号化された匿名識別子が信頼できるデータコントローラコンピュータサーバによってのみ解読されることが望ましい。したがって、暗号化された匿名識別子及びそれを解読するために必要な暗号鍵は、データ主体のパーソナルコンピューティングデバイス及び信頼できるデータコントローラコンピュータサーバで実行される暗号化ソフトウェアモジュールにのみに知られており、データプロバイダコンピュータサーバのような他の全てのコンピュータには秘密である。
【0070】
複数の暗号化及びデータ変換方法が存在することを考慮し、本開示を単純化するために、表現「暗号化」、「ハッシュ」、「暗号化匿名識別子」、「暗号化データ」「デジタル署名」(及びそれらの対応する「解読」、「解読された匿名識別子」、「解読されたデータ」、「デジタル署名の検証済み」)を、使用される暗号化又はデータ変換方法を継続的に参照することなく使用し、必要ない限り単語「暗号化」及び「解読」を使用する。それにもかかわらず、暗号化の当業者は、それぞれの使用に最も適切な方法を特定することができる。
【0071】
本開示は、匿名化された個人データを処理するための本システム及び方法の動作を記載している。このシステム及び方法は、データ主体に関連する識別された個人データを検索及び取得するために使用され、パーソナルコンピューティングデバイスへのパーソナルソフトウェアアプリケーションのダウンロード及びインストールすることと、データ主体が少なくとも名前又は個人識別子又はその両方及びオプションの同意と、データ転送要求と、ユーザ設定と、を入力することと、を備える。暗号化ソフトウェアモジュールもダウンロード及びインストールされ、データ主体の匿名識別子と、暗号化されたバージョンである暗号化された匿名識別子と、を生成する。パーソナルソフトウェアアプリケーションは、データ及び暗号化された匿名識別子を一つ以上のデータプロバイダコンピュータサーバに送信し、一つ以上のデータプロバイダコンピュータサーバは、一つ以上のアプリケーションデータベースに保存されているデータ主体の関心のある情報を検索及び取得し、情報及びデータ主体を識別できないように匿名化するために全ての個人識別子を削除し、匿名化された情報及び暗号化された匿名識別子を信頼できるデータコントローラコンピュータサーバに送信し、信頼できるデータコントローラコンピュータサーバは、データ主体の匿名識別子を解読及び検証し、匿名化されたデータを保存及び処理して匿名のデータ主体のパーソナルコンピューティングデバイスに返す。
【0072】
更に詳しくは、インストール直後に、パーソナルコンピューティングデバイスのパーソナルソフトウェアアプリケーションは、データ主体に関連する個人データを有する可能性が高い参加している全てのデータプロバイダコンピュータサーバにコンタクトする。データプロバイダのコンピュータサーバは、パーソナルソフトウェアアプリケーションと安全に通信するように構成されたデータ交換ソフトウェアアプリケーションを実行する。データプロバイダコンピュータサーバは、データを個人ソフトウェアアプリケーションから受信し、データは、少なくとも名前又は個人識別子又はその両方及びオプションの同意、データ転送要求、ユーザ設定並びに暗号化された匿名識別子を有し、個人識別子によって、アプリケーションデータベースでデータ主体に関連する関心のある個人データを検索し、識別されたデータを取得する。データ交換ソフトウェアアプリケーションは、識別されたデータを見つけると、データ主体の関心のあるデータを識別できないように匿名化するために、識別された関心のあるデータから全ての個人識別子:名前、完全な生年月日、住所、個人識別番号、携帯電話番号、電子メールアドレス、インターネットアドレス等を削除する。これらの動作は、データ主体のパーソナルソフトウェアアプリケーションによってコンタクトされた全てのデータプロバイダコンピュータサーバによって実行される。
【0073】
次に、各データプロバイダコンピュータサーバのデータ交換ソフトウェアアプリケーションは、匿名の関心のあるデータにデータ主体の暗号化された匿名識別子及びオプションの情報を追加し、それを、信頼できるデータコントローラコンピュータサーバのデータ交換ソフトウェアアプリケーションに送信する。
【0074】
信頼できるデータコントローラコンピュータサーバは、データ送信を受信し、それが新規又は既存のデータ主体を参照しているか否かを確認する。これは、データ交換ソフトウェアアプリケーションがデータ主体の暗号化された匿名識別子を解読するとともに信頼できるデータコントローラコンピュータサーバのユーザ登録データベースでデータ主体の解読された匿名識別子を検索することによって行われる。
【0075】
データ交換ソフトウェアアプリケーションが匿名識別子を見つけない場合、データ主体は新規であり、データ交換ソフトウェアアプリケーションは、匿名識別子、オプションの同意、データ転送要求及び設定をユーザ登録データベース及び信頼できるデータコントローラコンピュータサーバの送信ログファイルの送信メタデータ(例えば、通信のタイムスタンプ、発信元データプロバイダの識別子及びアドレス等)に記録することにより、データ主体の新しいエントリを開く。データ交換ソフトウェアアプリケーションが匿名識別子を見つける場合、データ主体は、既存のものであり、データ交換ソフトウェアアプリケーションは、信頼できるデータコントローラコンピュータサーバの伝送ログファイルに伝送メタデータを記録する。その後、両方の場合において、データ交換ソフトウェアアプリケーションは、匿名の識別子及び匿名化された関心のあるデータを、信頼できるデータコントローラコンピュータサーバのアプリケーションデータベースに記録する。
【0076】
データ主体に関連する新しい個人データが一つ以上の参加データプロバイダコンピュータサーバのアプリケーションデータベースに入力される度に、データプロバイダコンピュータサーバから信頼できるデータコントローラコンピュータサーバへの匿名化されたデータの送信が定期的に行われる。データプロバイダコンピュータサーバのデータ交換ソフトウェアアプリケーションは、信頼できるデータコントローラコンピュータサーバへの後続の送信のために新しいデータを識別するように構成される。この定期的な送信は、データ主体が個人データへのアクセスと及び処理への同意を取り消さない限り発生し、取消は、パーソナルソフトウェアアプリケーションを介して、現在のコンピュータ及びデータ交換システムに参加している全てのサーバに配布される。時間の経過とともに、データプロバイダコンピュータサーバは、新しいデータの送信を継続し、信頼できるデータコントローラのコンピュータサーバは、データ主体の匿名識別子によってのみ識別される匿名化された関心のあるデータを十分に蓄積する。
【0077】
次に、信頼できるデータコントローラコンピュータサーバが匿名化された関心のあるデータを匿名のデータ主体のパーソナルソフトウェアアプリケーションに返す方法を説明する。パーソナルコンピューティングデバイスのパーソナルソフトウェアアプリケーション及び信頼できるデータコントローラコンピュータサーバのデータ交換ソフトウェアアプリケーションは、通信ネットワークを介した通信を確立し、データ交換ソフトウェアアプリケーションは、匿名化された関心のあるデータをパーソナルソフトウェアアプリケーションに送信し、それによって、個人データ及び関心のある情報を匿名のデータ主体のパーソナルコンピューティングデバイスに返す。
【0078】
これは、信頼できるデータコントローラコンピュータサーバの既知の電子アドレスに接続するデータ主体のパーソナルコンピューティングデバイスのパーソナルソフトウェアアプリケーションによって常に開始される通信セッションによって実現される。信頼できるデータコントローラコンピュータサーバがコンタクト要素、番号又はアドレスを有しないために信頼できるデータコントローラコンピュータサーバがこのような通信セッションを開始できないので、信頼できるデータコントローラコンピュータサーバのデータ交換ソフトウェアアプリケーションは、パーソナルソフトウェアアプリケーションによって通信セッションが開始されるのを待つ必要がある。
【0079】
データ主体のパーソナルコンピューティングデバイスと信頼できるデータコントローラコンピュータサーバと間の安全な通信は、パーソナルソフトウェアアプリケーションがデータ交換要求を信頼できるデータコントローラコンピュータサーバに送信することによって実現され、それを、互いに異なる二つの方法で検証してもよい。パーソナルソフトウェアアプリケーション及び暗号化ソフトウェアモジュールは、要求及びデータ主体の匿名識別子をデジタル署名形式で送信してもよく、匿名識別子は、暗号化ソフトウェアモジュールの秘密鍵で暗号化され、データ主体の公開鍵が添付される。信頼できるデータコントローラコンピュータサーバの暗号化ソフトウェアモジュールは、メッセージに添付された公開鍵を使用してメッセージを解読する。解読されたメッセージの内容が、解読に使用された公開鍵と同一である場合、デジタル署名及びメッセージを認証する。
【0080】
第2の方法では、データ主体の匿名識別子によって排他的に識別される要求を、それを受信するとともに信頼できるデータコントローラコンピュータサーバのユーザ登録データベースの同様のエントリと比較する信頼できるデータコントローラコンピュータサーバのデータ交換ソフトウェアアプリケーションによって認証してもよい。一致を見つけた場合、これは、有効な要求を受信したこと及び保存された匿名識別子及び受信した匿名識別子が同一の匿名のデータ主体に対応していることの確認である。
【0081】
これらの二つの検証方法のいずれかに従って、信頼できるデータコントローラコンピュータサーバのデータ交換ソフトウェアアプリケーションは、匿名化された関心のあるデータを、正当な所有者のデータ主体のパーソナルコンピューティングデバイスに確実に返す。この方法及びシステムは、これまでインターネットベースの通信及びコンピュータシステムに存在しなかった又は不十分であったプライバシーの権利に関するあるレベルのオペレーショナルセキュリティを、本発明のコンピュータに提供する。
【0082】
匿名識別子を生成するとともにデータ主体、データプロバイダ及び信頼できるデータコントローラの本発明の全てのコンピュータに非対称暗号鍵ペアを提供するための非対称鍵暗号化システムの選択並びに元の匿名識別子を変換するためのハッシュ関数の使用は、個人データに関連するプライバシーの悪用のリスクに関する既存のコンピュータシステムの現在の欠陥を更に高い効率及びセキュリティで埋め合わせる。
【0083】
このようにして、パーソナルソフトウェアアプリケーションが最初に一つ以上のデータプロバイダコンピュータサーバにコンタクトするとともにデータ主体のパーソナルコンピューティングデバイスのパーソナルソフトウェアアプリケーションのインストール中に入力された主体のデータを送信するとき、データ主体の元の匿名識別子は、ハッシュ又は暗号化されており、したがって、元の匿名の識別子は明らかにすることなくデータ主体の一意の識別子として機能する。その結果、データプロバイダのコンピュータサーバは、データ主体の元の匿名識別子によってデータプロバイダのコンピュータサーバに保存されるとともに既知になるデータ主体の名前及び個人識別子を関連付けることができない。これにより、匿名識別子でもあるデータ主体の公開鍵の機密性が確保される。データプロバイダのコンピュータサーバが、匿名化された関心のあるデータ及び暗号化された匿名識別子を、信頼できるデータコントローラコンピュータサーバに送信するとき、信頼できるデータコントローラコンピュータサーバは、データ主体の元の匿名識別子を解読するために秘密の暗号鍵を使用する。このようにして、データ主体、信頼できるデータコントローラ及びそれぞれのコンピュータを除いて、コンピュータを使用する当事者又はコンピュータは、データ主体の匿名識別子を知ることができず、それを使用して違法に又は悪意を持って信頼できるデータコントローラのコンピュータサーバからのデータ主体の関心のあるデータを違法に又は悪意を持って読み出すためにデータ主体の匿名識別子を使用することができず、かつ、データ主体のプライバシーの権利に違反してデータを使用することができない。インターセプトしたコンピュータが著しい量の関心のある情報を収集できたとしても、データ主体の名前又は個人識別子がない場合、既知の者を識別することができない又は関連付けることができない。
【0084】
パーソナルコンピューティングデバイスのパーソナルソフトウェアアプリケーション及び信頼できるデータコントローラコンピュータサーバのデータ交換ソフトウェアアプリケーションが通信してデータを送信するとき、通信セッションは、大抵の場合、パーソナルソフトウェアアプリケーションに存在するデフォルト設定、典型的には、毎日、毎週、毎月、又はそれ以上の期間に従って通信セッションが自動的に開始される。この頻度は、データの性質に依存する。医療の場合、適切なデフォルト値は月次であるが、人が入院している場合、更に適切な間隔は毎日の更新である。このために、データ主体は、パーソナルソフトウェアアプリケーションの更新頻度を希望の間隔に変更することができる又はパーソナルソフトウェアアプリケーションの即時更新オプションボタンを選択することができる。
【0085】
時限更新の場合、頻度は、パーソナルソフトウェアアプリケーションによって一つ以上のデータプロバイダコンピュータサーバのデータ交換ソフトウェアアプリケーションに伝達される。即時更新の場合、要求は、最近取得した関心のあるデータを検索するために、信頼できるデータコントローラコンピュータサーバのデータ交換ソフトウェアに直接送信される。
【0086】
全ての実施形態において、一つ以上のデータプロバイダコンピュータサーバから信頼できるデータコントローラコンピュータサーバへの匿名化された関心のあるデータを含むメッセージの通信の間、信頼できるデータコントローラユーザ登録データベースへの新しい匿名のデータ主体の登録の間及び信頼できるデータコントローラコンピュータサーバから匿名のデータ主体のパーソナルコンピューティングデバイスへの匿名化された関心のあるデータの通信の間、データ主体は、データ主体を望ましくない形で識別する従来のユーザ定義のユーザ名及びシステムを使用することはなく、それを使用することをパーソナルソフトウェアアプリケーションによって要求されることはない。パーソナルソフトウェアアプリケーションへのアクセスは、パーソナルコンピューティングデバイスに排他的に保存されたローカルスクリーンロックパスワードを使用することによって又はパーソナルコンピューティングデバイスにローカルに存在する指紋若しくは顔認識のような生体認証手段によって保証されてもよい。本人確認は、常に匿名の識別子によってのみ行われる。
【0087】
データ主体の個人データを収集するためのソフトウェアアプリケーションがいくつか存在し、これは、医療アプリケーション及び電子健康記録アプリケーションの場合である。しかしながら、そのようなアプリケーションは、通常、医療プロバイダ又は保険会社に関連付けられており、データ主体の記録が保存される可能性のある全てのデータプロバイダをカバーしていない。本願は、参加している複数のデータプロバイダコンピュータサーバに個人データを格納し、個人データを匿名化された形式で転送し、組織化された理解しやすい方法でデータ主体のパーソナルコンピューティングデバイスに個人データを返した場合に個人データを普遍的に収集することができる方法及びシステムを開示する。
【0088】
データ主体のパーソナルソフトウェアアプリケーションによって常に開始されるとともに匿名識別子によって識別される通信セッションでデータ主体の関心のある情報を返すことは、匿名化の可逆性/不可逆性のパラドックスを解決し、信頼できるデータコントローラコンピュータサーバがデータ主体のパーソナルコンピューティングと安全に通信できるようにするとともにデータ主体の名前、携帯電話番号、電子メールアドレス又はパーソナルコンピューティングデバイスのアドレスを知ることなく個人データの大規模な処理から得られた貴重な個人情報及び科学的知識を送信することができるようにする。
【0089】
本発明の一実施形態では、親は、子供の関心のある情報を親のパーソナルコンピューティングデバイスに格納し、次に、例えば、特定の法定年齢に達したときに子供の情報を親のデバイスから除去するとともに子供のデバイスに転送することを可能にしてもよい。
【0090】
医療に適用可能な本発明の他の実施形態では、データ主体は、パーソナルソフトウェアアプリケーションによって、データ主体の医療記録を受け取ることを許可される医療専門家を指名することができる。これを実現するために、データ主体は、信頼できるデータコントローラコンピュータサーバのデータ交換ソフトウェアアプリケーションに対してデータ主体の匿名識別子及び医療専門家の名前をパーソナルソフトウェアアプリケーションによって送信させる。医療専門家は、通信ネットワークを介して同一のデータ交換ソフトウェアアプリケーションに接続されているコンピュータでアプリケーションを実行する。信頼できるデータコントローラコンピュータサーバのこのアプリケーションは、データ主体の要求及び匿名の識別子並びに医療専門家の名前を受け取る。次に、信頼できるデータコントローラコンピュータサーバのアプリケーションは、アプリケーションデータベースからデータ主体の医療記録を検索し、それを、データ主体によって指定された医療専門家の名前とユーザ識別子が一致する医療データ交換ソフトウェアアプリケーションに接続されたコンピュータに送信する。したがって、医療記録は、データ主体及び選択した医療専門家によって共有することができ、データ共有は、信頼できるデータ管理者のコンピュータサーバがデータ主体の名前を知ることなく行われる。
【0091】
他の実施形態では、パーソナルソフトウェアアプリケーションは、近くにある他のデータ主体の他のパーソナルコンピューティングデバイスにインストールされた同一のパーソナルソフトウェアアプリケーションの存在を検出するように構成され、Wi-Fi(登録商標)又はブルートゥース(登録商標)を介して、パーソナルソフトウェアアプリケーションは、互いの暗号化された匿名識別子をブロードキャストし、受信し、かつ、保存する。この実施形態は、関係者全員にコンタクトするとともにそれに関連するアドバイスをパーソナルソフトウェアアプリケーションに送信するために、感染者の近くにいた全ての人の好ましくは匿名の識別子を知る必要がある流行状況において特に有用である。
【0092】
他の実施形態は、データ主体が実際にその名前によって示される人物であるとともにデータ主体の関心のある個人情報を違法に取得するためにデータ主体になりすまそうとしている別の人物ではないことを絶対的に保証することを目的としてインストール中に最初に既知の本人確認コンピュータサーバにコンタクトするパーソナルソフトウェアアプリケーションを含む。例えば、ポルトガル特許出願第115.304号に記載されているように、本人確認の際にのみ、許可を行う本人確認コンピュータサーバメッセージにより、パーソナルソフトウェアアプリケーションは、パーソナルコンピューティングデバイスへのインストールを成功裏に完了することができる。本人確認コンピュータサーバは、データ主体の関心のある情報を格納する可能性が高いデータプロバイダコンピュータサーバのリストを格納してもよい。この場合、本人確認コンピュータサーバは、参加している全てのデータプロバイダコンピュータサーバへのデータ主体のユーザ登録データの配布を確実にするようにプログラムされてもよい。これにより、パーソナルコンピューティングデバイスが、時間がかかる可能性のあるデータ主体の登録プロセスに縛られることがなくなる。データ主体の本人確認を行った後、パーソナルコンピューティングデバイスと一つ以上のデータプロバイダコンピュータサーバの間のデータ交換及び送信に関して本明細書で説明するのと完全に同一の方法でデータをデータプロバイダコンピュータサーバに送信するので、本人確認コンピュータサーバのこの可能な役割は、本開示をほとんど変更しない。この実施形態におけるデータの安全な交換を制御するための手段は、非対称暗号鍵、デジタル署名、ハッシュ関数及びブロックチェーンを含んでもよい。
【0093】
他の実施形態は、データ主体のパーソナルコンピューティングデバイスの紛失、破壊、盗難、再インストール又はアップグレードの場合にデータ主体の関心のある情報を回復する可能性を含む。ここでは、新しいパーソナルコンピューティングデバイスを使用し、パーソナルソフトウェアアプリケーションを再度ダウンロード及びインストールし、新しい匿名識別子を生成し、データ主体のコンピュータユーザカウントを回復し、一つ以上のデータプロバイダコンピュータを介してデータフロープロセスを再開し、信頼できるデータコントローラコンピュータサーバに保存されている既存の関心のある情報を、信頼できるデータコントローラコンピュータサーバにデータ主体の名前識別子又は個人識別子を送信又は開示することなく新しいデータ主体の匿名識別子に再び関連付けることができる。このような回復の手段は、コンピュータが回復プロセスの前に少なくともデータ主体の名前、個人識別子及び元の暗号化された匿名識別子を保存することを有する。したがって、データプロバイダコンピュータサーバ及び本人確認コンピュータサーバは、この回復に有用である。
【図面の簡単な説明】
【0094】
【図1a】本開示の例示的な実施形態によるパーソナルソフトウェアアプリケーションをパーソナルコンピューティングデバイスにダウンロード及びインストールするために使用されるシステムアーキテクチャのブロック図である。
【図1b】本開示の例示的な実施形態によるパーソナルコンピューティングデバイス、データプロバイダコンピュータサーバ及び信頼できるデータコントローラコンピュータサーバを接続するとともにそれらの全ての間の通信を確立するために使用されるコンピュータシステムアーキテクチャのブロック図である。
【図2】本開示の例示的な実施形態によるパーソナルコンピューティングデバイスのブロック図である。
【図3】本開示の例示的な実施形態によるデータプロバイダコンピュータサーバのブロック図である。
【図4】本開示の例示的な実施形態による信頼できるデータコントローラコンピュータサーバのブロック図である。
【図5】本開示の例示的な実施形態によるパーソナルコンピューティングデバイスへのパーソナルソフトウェアアプリケーションのインストールから開始するとともに信頼できるデータコントローラコンピュータサーバへの関心のある情報の転送により終了するプログラムフローのフローチャートである。
【図6】本開示の例示的な実施形態によるパーソナルソフトウェアアプリケーションによるデータ交換要求送信から開始するとともにデータ主体がパーソナルコンピューティングデバイスの関心のある個人情報へのアクセス及びその使用により終了するプログラムフローのフローチャートである。
【発明を実施するための形態】
【0095】
図面において、同様の番号は、明細書における同様の要素及び特徴を指す。
【0096】
図1aにおいて、データ主体は、パーソナルコンピューティングデバイスを、例えば、GSM(登録商標)システムのような公衆移動デジタル通信ネットワーク、インターネット又は他の通信ネットワーク-総称して通信ネットワーク-に接続する。次に、データ主体は、パーソナルソフトウェアアプリケーション100及び暗号化ソフトウェアモジュールをパーソナルコンピューティングデバイス110にダウンロード及びインストールする。パーソナルソフトウェアアプリケーション100及び暗号化ソフトウェアモジュール101は、データ主体がパーソナルコンピューティングデバイス110を使用して接続するAppStore(登録商標)又はGoogle(登録商標) Playのような適切なソフトウェア配布システム105又はインターネットウェブサイトからダウンロードされる。データ主体は、口コミ、ソーシャルネットワーク又は従来の広告を通じてパーソナルソフトウェアアプリケーション100を認識し、データ主体に関連する個人データを安全に収集するために信頼できるデータコントローラによって公開されたパーソナルソフトウェアアプリケーションとしてそれを識別する。
【0097】
図1bにおいて、ダウンロードが行われると、パーソナルソフトウェアアプリケーション100のインストールが行われ、データ主体は、少なくとも名前を入力し、他の個人識別子及び同意条件を入力してもよい。パーソナルソフトウェアアプリケーション100は、信頼できるデータコントローラの既知の公開鍵を使用して匿名識別子及びその暗号化されたバージョンを生成する。
【0098】
パーソナルコンピューティングデバイス110のパーソナルソフトウェアアプリケーション100は、データメッセージ全体-データ主体によって入力されたデータ及び暗号化された匿名識別子-を、パーソナルソフトウェアアプリケーションに知られているとともにデータ主体に関連する個人データを保持しようとしている一つ以上のデータプロバイダコンピュータサーバ120に送信する。一つ以上のデータプロバイダコンピュータサーバ120は、パーソナルソフトウェアアプリケーション100とデータを安全に交換するとともにそれを格納するように構成されたデータ交換ソフトウェアアプリケーション125を備える。
【0099】
データ交換ソフトウェアアプリケーション125は、データプロバイダコンピュータサーバ120のアプリケーションデータベースを検索し、データ主体に関連する関心のある情報を抽出する。データ交換ソフトウェアアプリケーション125は、名前及び個人識別子を削除するとともにそれらをデータ主体の暗号化された匿名識別子に置き換えることによって関心のある情報を匿名化し、それを、信頼できるデータコントローラコンピュータサーバ130に送信する。このサーバ130は、一つ以上のデータプロバイダコンピュータサーバ120のデータ交換ソフトウェアアプリケーション125とデータを安全に交換するように構成されたデータ交換ソフトウェアアプリケーション135も備える。次に、このデータの抽出、匿名化及び送信は、一つ以上のデータプロバイダコンピュータサーバ120で実行されるデータ交換ソフトウェアアプリケーション125の制御の下で定期的に行われる。
【0100】
信頼できるデータコントローラコンピュータサーバ130のデータ交換ソフトウェアアプリケーション135は、データプロバイダコンピュータサーバ120のデータ交換ソフトウェアアプリケーション125からデータメッセージを受信し、データメッセージは、匿名化された関心のある情報及び暗号化された匿名識別子を含む。
【0101】
データ交換ソフトウェアアプリケーション135は、データ主体の匿名識別子を解読又は検証し、匿名化された関心のある情報を格納する。一定の間隔で、信頼できるデータコントローラコンピュータサーバ130のデータ交換ソフトウェアアプリケーション135は、新たに受信した関心のある情報を、同一の匿名識別子によって匿名化された関心のある情報として識別されるデータ主体のパーソナルコンピューティングデバイス110のパーソナルソフトウェアアプリケーション100に送信する。
【0102】
図2において、パーソナルコンピューティングデバイス110を、その本質的なハードウェアコンポーネント及びソフトウェアコンポーネントに関連して示す。パーソナルコンピューティングデバイス110は、メインプロセッサ200と、通信ネットワークを介して全てのデータプロバイダコンピュータサーバ120及び信頼できるデータコントローラコンピュータサーバ130と通信するように設計された通信サブシステム210と、入力装置220と、ディスプレイ230と、コンピュータプログラム及びデータを格納する記憶媒体サブシステム235と、を備える。プロセッサ200は、メディアストレージサブシステム235から検索されたコンピュータプログラム及びデータを含むメモリ240とやり取りを行う。プロセッサ200は、必要に応じて、プログラム命令250と、パーソナルソフトウェアアプリケーション100と、暗号化ソフトウェアモジュール101と、信頼できるデータコントローラコンピュータサーバ130から受信した関心のある情報280を格納するファイル及びアプリケーションデータベースからのデータとを、メモリ240にロードする。
【0103】
図3は、一つ以上のデータプロバイダコンピュータサーバの必須のハードウェアコンポーネント及びソフトウェアコンポーネントを示す。
【0104】
一つ以上の一つのデータプロバイダコンピュータサーバ120は、メインプロセッサ300と、通信ネットワークを介して全てのデータ主体のパーソナルコンピューティングデバイス110及び信頼できるデータコントローラコンピュータサーバ130と通信するように設計された通信サブシステム310と、入力装置320と、ディスプレイ330と、コンピュータプログラム及びデータを格納する記憶媒体サブシステム335と、を備える。プロセッサ300は、メディアストレージサブシステム335から検索されたコンピュータプログラム及びデータを含むメモリ340とやり取りを行う。プロセッサ300は、必要に応じて、プログラム命令350と、データ交換ソフトウェアアプリケーション125と、暗号化ソフトウェアモジュール301と、ユーザ登録データベース370と、データ主体の識別された個人データを含むアプリケーションデータベース380と、少なくとも発信元コンピュータの識別子及びデータ交換イベントのタイムスタンプを備える全てのデータ交換セッションからの通信メタデータを含むトランザクションログファイル390と、をメモリ340にロードする。
【0105】
図4は、信頼できるデータコントローラコンピュータサーバの必須のハードウェアコンポーネント及びソフトウェアコンポーネントを示す。
【0106】
信頼できるデータコントローラコンピュータサーバ130は、メインプロセッサ400と、通信ネットワークを介してデータ主体パーソナルコンピューティングデバイス110及びデータプロバイダコンピュータサーバ120と通信するように設計された通信サブシステム410と、入力装置420と、ディスプレイ430と、コンピュータプログラム及びデータを保存する記憶媒体サブシステム435と、を備える。プロセッサ400は、メディアストレージサブシステム435から検索されたコンピュータプログラム及びデータを含むメモリ440とやり取りを行う。プロセッサ400は、必要に応じて、プログラム命令450と、データ交換ソフトウェアアプリケーション135と、暗号化ソフトウェアモジュール401と、ユーザ登録データベース470と、データ主体の匿名化された関心のある情報を含むアプリケーションデータベース480と、少なくとも発信元コンピュータの識別子及びデータ交換イベントのタイムスタンプを備える全てのデータ交換セッションからの通信メタデータを含むトランザクションログファイル490と、データサイエンスソフトウェアアプリケーション495と、をメモリ440にロードする。使用中、新しい情報及び新しい知識が導き出される前述のレポートを生成するためにアプリケーションデータベース480に非常に大規模に格納された匿名化された関心のある情報を処理するのは、このデータサイエンスソフトウェアアプリケーションである。これらのレポートは、著しい経済的価値を有し、医療のような特定の分野では、かなりの公益を有する。
【0107】
次に、図1a、図1b、図2、図3及び図4のコンピュータシステムの動作を、図5及び図6のフローチャートによって詳細に説明する。プログラムのステップは、500及び600のシリーズに属する数字を付しているが、前の図の要素も参照している。
【0108】
図5は、データ主体が本開示のコンピュータシステムに登録するプロセス及び関心のあるデータが一つ以上のデータプロバイダコンピュータサーバ120から収集されるとともに信頼できるデータコントローラコンピュータサーバ130に送信される方法を示す。ステップ500において、データ主体は、パーソナルソフトウェアアプリケーション100及び関連する暗号化ソフトウェアモジュール101を、適切なアプリ配布サービス又はウェブサイト105からパーソナルコンピューティングデバイス110にダウンロードする。インストールプロセス中に、データ主体は、入力装置220を介して、存在しうる数の名前、性別、生年月日、住所又は郵便番号のような個人識別データ及び市民のIDカード番号、運転免許証番号、社会保障番号又は税番号のような個人識別子をパーソナルソフトウェアアプリケーション100に入力し、これは、データプロバイダコンピュータサーバでの個人データのその後の検索を助ける。
【0109】
個人データを保護するための法律が要求する場合、データ主体は、信頼できるデータコントローラコンピュータサーバ130に転送されるとともに信頼できるデータコントローラコンピュータサーバ130によって処理される個人データを格納するデータプロバイダコンピュータサーバ120から個人データを検索すること及び個人データを信頼できるデータコントローラコンピュータサーバ130に転送するとともに信頼できるデータコントローラコンピュータサーバ130によって処理することに同意することを、データ入力装置220を介してパーソナルソフトウェアアプリケーション100に示す。通常、パーソナルソフトウェアアプリケーション100は、特定の信頼できるデータコントローラによって開発及び発行され、その信頼できるデータコントローラの名前をコンピューティングデバイス110の画面に表示するように構成され、その結果、データ主体は、匿名化された個人データが誰のコンピュータシステムに転送又はコピーされるべきかについて完全に明確である。データ主体は、入力装置220を使用して、パーソナルソフトウェアアプリケーション100によって要求された任意の嗜好又はオプションのデータを入力してもよい。
【0110】
データ入力段階が終了すると、ステップ510において、パーソナルコンピューティングデバイス110の暗号化ソフトウェアモジュール101は、匿名識別子及びその暗号化されたバージョンを生成する。匿名識別子を、実施形態及び所望のセキュリティレベルに応じて対称鍵システム又は非対称鍵システムを使用して生成してもよいが、匿名識別子を生成するために採用されるシステムとは無関係に、匿名識別子及び暗号化匿名識別子は、常に、元のデータ主体に関連付けられ、その後一つ以上のデータプロバイダコンピュータサーバ120で検索される全ての個人データを識別鍵として識別し、信頼できるデータコントローラコンピュータサーバ130に送信される。
【0111】
一般的な実施形態では、対称暗号鍵を使用するとき、匿名識別子を、パーソナルコンピューティングデバイス110の暗号化ソフトウェアモジュール101に含まれる高度暗号化標準を使用して暗号化鍵の機能を果たすために生成してもよい。
【0112】
非対称鍵の実施形態では、非対称暗号鍵は、楕円曲線デジタル署名アルゴリズムの好適なシステムを使用して生成される。秘密鍵は、パーソナルコンピューティングデバイス110の暗号化ソフトウェアモジュール101によってランダムに生成され、この秘密鍵から、暗号化ソフトウェアモジュール101は、公開暗号化鍵を数学的に導出する。この公開鍵は、データ主体の匿名識別子にもなる。次に、暗号化ソフトウェアモジュール101は、生成された公開鍵/匿名識別子を選択し、信頼できるデータコントローラコンピュータサーバ130の既知の公開暗号化鍵を使用して又は本開示に記載した他の暗号化若しくは変換方法のいずれかを使用して暗号化バージョンを生成する。信頼できるデータコントローラコンピュータサーバ130の公開鍵は、公に知られており、パーソナルコンピューティングデバイス110の暗号化ソフトウェアモジュール101に格納されている。これは、暗号化された匿名識別子を解読する手段を有する他のコンピュータによってデータ主体の暗号化された公開鍵が送信又はインターセプトされた場合に他のコンピュータがデータ主体の元の匿名識別子を知ることは決してないことを意味する。したがって、この図5に記載の初期登録プロセスの一部として一つ以上のデータプロバイダコンピュータサーバ120に送信されると、データプロバイダコンピュータサーバ120は、データ主体のプレーンテキスト匿名識別子を知ることができず、したがって、識別、認証及び暗号化鍵としての機能を使用することができない。
【0113】
ステップ520において、パーソナルコンピューティングデバイス110のパーソナルソフトウェアアプリケーション100は、健康記録、税記録、取引記録、財務記録、消費者の嗜好-本質的に秘密又は機密である可能性がある情報-のようなデータ主体の関心のあるデータを保持する全ての参加するデータプロバイダコンピュータサーバ120にコンタクトし、これらのレコードは、アプリケーションデータベース380に格納される。このコンタクトは、通信ネットワークを使用して実行される。データプロバイダコンピュータサーバ120の電子アドレスは、パーソナルコンピューティングデバイス110に格納されるとともにパーソナルソフトウェアアプリケーション100によってアクセスされるリストに書き込まれてもよい、又は、パーソナルソフトウェアアプリケーション100は、参加するデータプロバイダコンピュータサーバ120の電子アドレスの最新のリストを検索することができる信頼できるウェブサーバ(図示せず)にコンタクトしてもよい。
【0114】
パーソナルソフトウェアアプリケーション100及び一つ以上のデータプロバイダコンピュータサーバ120のデータ交換ソフトウェアアプリケーション125は、安全にデータを交換するように構成される。データ交換ソフトウェアアプリケーション125は、信頼できるデータコントローラによって開発されている。パーソナルソフトウェアアプリケーション100がデータプロバイダコンピュータサーバ120にコンタクトするのは初めてである。
【0115】
接続が確立された後、パーソナルソフトウェアアプリケーション100は、データ主体の名前、個人識別データ、個人識別子、オプションの同意条件、オプションのデータアクセス要求、オプションの個人設定及び暗号化された匿名識別子を、データプロバイダコンピュータサーバ120のデータ交換ソフトウェアアプリケーション125に送信する。
【0116】
ステップ530において、一つ以上のデータプロバイダコンピュータサーバ120のデータ交換ソフトウェアアプリケーション125は、データ主体の送信された識別データを受信し、それを、一つ以上のデータプロバイダコンピュータサーバ120に位置するユーザ登録データベース370に格納する。したがって、ユーザ登録データベース370は、データ主体の名前、全ての個人識別子、オプションの同意条件、オプションのデータ転送要求、オプションのユーザ設定及び暗号化された匿名識別子を記録する。
【0117】
このプロセスが完了すると、データ交換ソフトウェアアプリケーション125は、登録プロセスが特定のデータプロバイダコンピュータサーバ120で終了したというメッセージをパーソナルソフトウェアアプリケーション100に送信する。
【0118】
次に、パーソナルソフトウェアアプリケーション100は、データプロバイダコンピュータサーバのリストのデータプロバイダコンピュータサーバを選択し、データ主体がリストのコンピュータサーバ120全てのデータプロバイダに新規ユーザとして登録されるまで全てのデータプロバイダコンピュータサーバ120でユーザ登録プロセスを再開する。
【0119】
データ交換ソフトウェアアプリケーション125は、一つ以上のデータプロバイダコンピュータサーバ120のアプリケーションデータベース380を検索し、データ主体の名前及び個人識別子を使用して、識別されたデータ主体に関連する全ての関心のある個人データを見つけるとともに収集する。
【0120】
ステップ540において、関心のあるデータを見つけるとともにそれをデータプロバイダコンピュータサーバのメモリ340に配置すると、データ交換ソフトウェアアプリケーション125は、データ主体の名前及び個人識別子を削除し、それらをデータ主体の暗号化された匿名識別子に置き換える。主体の関心のあるデータは、個人識別要素が削除され、したがって、匿名化されるとともに識別不能にされる。
【0121】
次に、ステップ550において、一つ以上のデータプロバイダコンピュータサーバ120のデータ交換ソフトウェアアプリケーション125は、通信ネットワークによって、信頼できるデータコントローラコンピュータサーバ130に配置されたデータ交換ソフトウェアアプリケーション135にコンタクトする。コンタクトが確立されると、データプロバイダコンピュータサーバ120のデータ交換ソフトウェアアプリケーション125は、データ主体の識別されない匿名化された関心のある情報、オプションの同意条件、オプションのデータアクセス及び転送要求、オプションのユーザ設定及びデータ主体の暗号化された匿名識別子を、信頼できるデータコントローラコンピュータサーバ130のデータ交換ソフトウェアアプリケーション135に送信する。データ交換ソフトウェアアプリケーション125は、一つ以上のデータプロバイダコンピュータサーバ120のログファイル390に送信メタデータ(少なくとも通信するコンピュータの識別子及びデータ交換のタイムスタンプ)を記録する。
【0122】
信頼できるデータコントローラコンピュータサーバ130にデータ主体の名前及び個人識別子が送信されないことに留意されたい。この場合、匿名化された関心のあるデータの送信は、データ主体の同意がパーソナルソフトウェアアプリケーション100において取り消されないとともにデータ交換ソフトウェアアプリケーション125に伝達されない限り、新しい関心のあるデータ-新しい医療記録、新しい税記録、新しい財務記録等-が一つ以上のデータプロバイダコンピュータサーバ120のアプリケーションデータベース380によって取得されるときは常に定期的に行われる。データ交換ソフトウェアアプリケーション125は、この定期的な検索を実行し、かつ、関心のあるデータを匿名化するとともに信頼できるデータコントローラコンピュータサーバ130に送信するように構成される。最新の関心のある情報のみを送信するために、データ交換ソフトウェアアプリケーション125は、ログファイル390に含まれる以前の送信のメタデータを参照し、そのイベント以降に取得された関心のある情報のみを送信する。
【0123】
ステップ560において、信頼できるデータコントローラサーバ130は、一つ以上のデータプロバイダコンピュータサーバ120から送信されたデータを受信する。データ交換ソフトウェアアプリケーション135は、送信メタデータ(少なくとも通信するコンピュータの識別子及びデータ交換のタイムスタンプ)を、信頼できるデータコントローラコンピュータサーバ130のログファイル490に記録する。
【0124】
一つ以上のデータプロバイダコンピュータサーバ120からデータメッセージを受信すると、信頼できるデータコントローラコンピュータサーバ130のデータ交換ソフトウェアアプリケーション135は、先ず、暗号化された匿名識別子を読み取る必要がある。一般的な実施形態では、匿名識別子は、それを最初に暗号化するために使用された方法に対応する方法を使用して暗号化ソフトウェアモジュール401によって解読される。非対称鍵の実施形態では、暗号化ソフトウェアモジュール401は、データ主体の暗号化された匿名識別子を読み取り、信頼できるデータコントローラコンピュータサーバ130の秘密鍵を使用して匿名識別子を解読し、これによって、データ主体の元の匿名識別子及びその公開鍵を取得する。
【0125】
ステップ570において、信頼できるデータコントローラコンピュータサーバ130は、データ主体が新しいか否かを判定するために、解読した匿名識別子を使用する。データ交換ソフトウェアアプリケーション135は、信頼できるデータコントローラコンピュータサーバ130に配置されたユーザ登録データベース470を検索し、受信した匿名識別子と、ユーザ登録データベース470に格納された匿名識別子とを比較する。
【0126】
ステップ575において、一致が見つからない場合、データ主体の匿名識別子、オプションの同意条件、オプションのデータ転送要求及びオプションのユーザ設定を含む新しいエントリが、信頼できるデータコントローラコンピュータサーバ130のユーザ登録データベース470に記録され、送信のメタデータが、信頼できるデータコントローラコンピュータサーバ130に配置されたログファイル490に記録される。コンピュータプログラムフローは、ステップ580に続く。
【0127】
一致が見つかった場合又はステップ575から続くプログラムフローで、ステップ580において、データ主体は、信頼できるデータコントローラコンピュータサーバ130のユーザ登録データベース470に既に記録され、データ交換ソフトウェアアプリケーション135は、データ主体の匿名化された関心のあるデータを、データ主体の匿名識別子によってのみ識別される信頼できるデータコントローラコンピュータサーバ130のアプリケーションデータベース480に記録する。
【0128】
いくつかのデータ送信イベントの後、信頼できるデータコントローラコンピュータサーバ130は、アプリケーションデータベース480のデータ主体に関連する著しい量の匿名化された関心のある個人情報を格納する。その結果、信頼できるデータコントローラコンピュータサーバ130は、データ主体に関する個人を特定できる情報がない-名前がない、個人識別子がない、携帯電話番号がない、電子メールアドレスがない-場合、データ主体のパーソナルコンピューティングデバイス110のパーソナルソフトウェアアプリケーション100にコンタクトするとともにそれとの通信を確立するためのアドレスを有さず、複数のデータプロバイダコンピュータサーバ120から定期的に取得した関心のある情報を返す。信頼できるデータコントローラコンピュータサーバ130は、パーソナルコンピューティングデバイス110にコンタクトするとともにデータ主体を再識別する手段を有さず、これは、事故、過失又は悪意によってコンピュータがデータ主体の特定された個人データにアクセスするのを防止する。次の図に示す開示は、プライバシーの権利を侵害しない方法でデータ主体の個人データにアクセスするとともに処理するように構成されたコンピュータシステムを提供する。
【0129】
図6は、全てのステップ500~580が成功裏に実行された後に匿名化された関心のあるデータを匿名のデータ主体のパーソナルコンピューティングデバイス110のパーソナルソフトウェアアプリケーション100に返す方法を示す。
【0130】
ステップ600において、通信ネットワークを介した信頼できるデータコントローラコンピュータサーバ130のデータ交換ソフトウェアアプリケーション135との通信セッションを開くのは、パーソナルコンピューティングデバイス110のパーソナルソフトウェアアプリケーション100である。これが可能なのは、パーソナルソフトウェアアプリケーション100が信頼できるデータコントローラコンピュータサーバ130の電子アドレスを有するとともに定期的にそれに接続するように構成されているからである。
【0131】
ステップ610において、パーソナルソフトウェアアプリケーション100は、信頼できるデータコントローラコンピュータサーバ130のデータ交換ソフトウェアアプリケーション135にデータ交換要求を送信し、それは、好適にはデジタル署名の形態で暗号化されたデータ主体の匿名識別子を備える。データ交換ソフトウェアアプリケーション135は、通信セッションのメタデータ(匿名識別子及びタイムスタンプ)を、信頼できるデータコントローラコンピュータサーバ130のログファイル490に記録する。
【0132】
ステップ620において、信頼できるデータコントローラコンピュータサーバ130のデータ交換ソフトウェアアプリケーション135は、匿名識別子及び存在する場合のデジタル署名を読み取り、それが有効な要求であるか否かを判定する必要がある。
【0133】
ステップ630において、データ交換ソフトウェアアプリケーション135は、信頼できるデータコントローラコンピュータサーバ130に配置されたユーザ登録データベース470を検索し、受信した匿名識別子と、ユーザ登録データベース470に格納された匿名識別子と比較する。それがデジタル署名である場合、暗号化ソフトウェアモジュール401は、受信した匿名識別子をデジタル署名の解読鍵として使用してそれを検証する。
【0134】
ステップ635において、受信した匿名識別子と格納された匿名識別子との間の一致がない場合、受信した匿名識別子は無効である。解読したデジタル署名が受信した匿名識別子と同一でない場合、要求も無効である。信頼できるデータコントローラコンピュータサーバ130のデータ交換ソフトウェアアプリケーション135は、通信セッションにおいて、パーソナルソフトウェアアプリケーション100への応答を停止する。
【0135】
ステップ640において、受信した匿名識別子と格納された匿名識別子との間の一致がある場合又は解読したデジタル署名が受信した匿名識別子と一致する場合、受信した匿名識別子及びデータ交換要求は有効である。
【0136】
データ交換ソフトウェアアプリケーション135は、検証された匿名識別子によって識別される関心のある匿名データを、信頼できるデータコントローラコンピュータサーバ130のアプリケーションデータベース480において検索し、データ主体のパーソナルソフトウェアアプリケーション100と信頼できるデータコントローラコンピュータサーバ130のデータ交換ソフトウェアアプリケーション135の間の前の通信セッションの日付を含むログファイル490を参照することによって匿名のデータ主体の最新の関心のあるデータを取得する。
【0137】
ステップ650において、信頼できるデータコントローラコンピュータサーバ130のデータ交換ソフトウェアアプリケーション135は、最新の関心のある情報を、パーソナルコンピューティングデバイス110のパーソナルソフトウェアアプリケーション100に送信する。
【0138】
ステップ660において、パーソナルソフトウェアアプリケーション100は、関心のある情報を受信し、それを整理し、データ主体のパーソナルコンピューティングデバイス110の関心のある情報280のデータベースに格納する。
【0139】
ステップ670において、データ主体は、パーソナルコンピューティングデバイス110においてパーソナルソフトウェアアプリケーション100を開き、関心のある情報280を調べるとともに使用する。
【0140】
画像及び写真を送信するときのように非常に大きいファイルを含む関心のある情報の場合には送信時間が長くなる可能性があることが理解される。そのような大きなファイルの転送時間を短縮するために、信頼できるデータコントローラ130のデータ交換ソフトウェアアプリケーション135は、大きなファイルの代わりに、信頼できるデータコントローラコンピュータサーバ130のアプリケーションデータベース480にファイルが格納されているリンクアドレスを、パーソナルソフトウェアアプリケーション100に送信してもよい。この実施形態では、データ主体がこれらの大きなファイルを調べるとともに使用することを所望するときには常に、パーソナルソフトウェアアプリケーション100でリンクアドレスを選択すると、ステップ610~640で説明したデータ交換要求及び匿名識別子検証プロセスが自動的にトリガーされ、その後、大きなファイルは、信頼できるデータコントローラコンピュータサーバ130のデータ交換ソフトウェアアプリケーション135によって、関心のある情報280のデータベースに実際に送信され、パーソナルソフトウェアアプリケーション100に表示される。同様の実施形態では、この帯域幅節約プロセスを、データ主体のパーソナルソフトウェアアプリケーション100と信頼できるデータコントローラコンピュータサーバ130のデータ交換ソフトウェアアプリケーション135の間の関心のあるデータの全ての定期的な送信に使用してもよい。
【0141】
したがって、信頼できるデータコントローラコンピュータサーバ130は、複数のデータプロバイダコンピュータサーバ120から匿名化された関心のあるデータを収集し、それを、正当であるが匿名の所有者のパーソナルソフトウェアアプリケーション100に送信することができる。これは、個人データが交換される際のデータ主体のプライバシーの権利の保護における進歩を表す。
【0142】
アプリケーションデータベース480は、パーソナルコンピューティングデバイス110でパーソナルソフトウェアアプリケーション100を実行している多数のデータ主体から及び参加している全てのデータプロバイダコンピュータサーバ120から更に多くの関心のある情報を取得するので、信頼できるデータコントローラコンピュータサーバ130は、データサイエンスソフトウェアアプリケーション495を使用して格納データから新しい情報を取得するために、統計処理、ビッグデータ処理、機械学習及び人工知能のような技術を使用して非常に大規模なアプリケーションデータベース480を構築するとともに匿名化されたデータの大規模なコンピュータ処理を実行することができる。これは、健康データ及び医療の場合に特に関係があり、薬、治療法及び治療法の間に新しい関係を確立するとともに各個人又は個人のクラスへの影響を定量化することによって、現実世界のデータを使用する精密医療並びに更に良好な個人の健康及び公衆衛生につながる。これは、個人データの大規模な処理の観点から、消費者の嗜好、購入パターン又は社会的交流を特定するビジネスにも有用であるが、データ主体の名前を知ることがない。そのような有用な処理は、膨大な量の個人データがコンピュータに収集された場合にのみ可能になる。本発明は、処理を行うコンピュータがデータを特定の人物に関連付けることを防止する方法で個人データのそのような大量の蓄積を可能にし、したがって、それらのコンピュータによって個人データが処理される人々のプライバシーの権利の保護の問題を解決する。
【0143】
本発明のシステム及び方法の特定の実施形態を添付の図面に示さすとともに上述した詳細な説明に記載したが、本発明が開示された実施形態すなわち更に多い又は更に少ない暗号化手段又はその複数の組合せの使用に限定されず、本発明の精神から逸脱することなく多数の再配置、修正及び置換が可能であることが理解される。
本明細書に開示される発明は以下を含む。
[項目1]
一つ以上のデータプロバイダコンピュータサーバに格納されているデータ主体に関連する識別された個人データを検索及び取得し、データ及び前記データ主体を匿名化するために全ての個人識別子を削除し、匿名化された前記データを信頼できるデータコントローラコンピュータサーバに送信し、匿名化された前記データを匿名された前記データ主体のパーソナルコンピューティングデバイスに返す方法であって、
a.前記データ主体が、パーソナルソフトウェアアプリケーション及び暗号化ソフトウェアモジュールをパーソナルコンピューティングデバイスにダウンロード及びインストールし、少なくとも人の名前及び個人識別子を入力するステップと、
b.前記パーソナルコンピューティングデバイスの前記暗号化ソフトウェアモジュールが、匿名識別子及び前記匿名識別子の暗号化されたバージョンを生成するステップと、
c.前記パーソナルコンピューティングデバイスの前記パーソナルソフトウェアアプリケーションが、前記データ主体に関連するデータを格納する一つ以上のデータプロバイダコンピュータサーバのデータ交換ソフトウェアアプリケーションにコンタクトし、前記データ交換ソフトウェアアプリケーションは、前記パーソナルソフトウェアアプリケーションと安全にデータを交換するように構成され、前記パーソナルコンピューティングデバイスの前記パーソナルソフトウェアアプリケーションが、少なくとも前記データ主体の名前、前記個人識別子及び暗号化された前記匿名識別子を前記データプロバイダコンピュータサーバの各々に送信するステップと、
d.一つ以上の前記データプロバイダコンピュータサーバの前記データ交換ソフトウェアアプリケーションが、少なくとも前記データ主体の名前、前記個人識別子及び暗号化された前記匿名識別子を受信及び記録し、前記データ主体の名前及び前記個人識別子によって、前記データ主体に関連するデータについてデータプロバイダコンピュータサーバアプリケーションデータベースを検索するステップと、
e.関心のあるデータを見つけると、前記一つ以上のデータプロバイダコンピュータサーバの前記データ交換ソフトウェアアプリケーションが、前記関心のあるデータを匿名化するために前記関心のあるデータ及び前記データ主体の暗号化された前記匿名識別子を追加するとともに前記データ主体の名前及び全ての個人識別子を削除するメッセージを作成するステップと、
f.前記一つ以上のデータプロバイダコンピュータサーバの前記データ交換ソフトウェアアプリケーションが、前記データ主体の暗号化された前記匿名識別子によってのみ識別される匿名化された前記関心のあるデータを含むメッセージを、信頼できるデータコントローラコンピュータサーバに送信するステップと、
g.前記一つ以上のデータプロバイダコンピュータサーバの前記データ交換ソフトウェアアプリケーションと安全にデータを交換するように構成された前記信頼できるデータコントローラコンピュータサーバのデータ交換ソフトウェアアプリケーションが、前記メッセージを受信して読み取り、元の匿名識別子を取得するために暗号化された前記匿名識別子を解読し、前記匿名識別子が前記信頼できるデータコントローラコンピュータサーバにあるユーザ登録データベースに既に記録されているか否かを確認し、
i.前記匿名識別子が見つからない場合、前記匿名識別子を新しいユーザとして前記ユーザ登録データベースに記録し、前記匿名識別子及び前記メッセージのメタデータをログファイルに記録し、少なくとも前記データ主体の匿名化された前記関心のあるデータ及び匿名識別子をアプリケーションデータベースに保存し、匿名化された前記関心のあるデータは、前記データ主体の匿名識別子によってのみ識別される、又は
ii.前記匿名識別子を見つけると、前記匿名識別子及び前記メッセージのメタデータをログファイルに記録し、前記データ主体の前記匿名識別子によってのみ識別される少なくとも前記データ主体の匿名化された前記関心のあるデータをアプリケーションデータベースに保存するステップと、
h.同一のデータ主体に関連する新しい匿名化された前記関心のあるデータが前記信頼できるデータコントローラコンピュータサーバの前記アプリケーションデータベースに継続的に追加されるように、匿名化された前記関心のあるデータの送信を、前記一つ以上のデータプロバイダコンピュータサーバの前記データ交換ソフトウェアアプリケーションと前記信頼できるデータコントローラコンピュータサーバのデータ交換ソフトウェアアプリケーションとの間で定期的に行うステップと、
i.互いに安全に通信するように構成された前記データ主体の前記パーソナルコンピューティングデバイスの前記パーソナルソフトウェアアプリケーション及び前記信頼できるデータコントローラコンピュータサーバの前記データ交換ソフトウェアアプリケーションが通信を確立し、前記信頼できるデータコントローラコンピュータの前記データ交換ソフトウェアアプリケーションが、匿名化された前記関心のあるデータを前記パーソナルコンピューティングデバイスの前記パーソナルソフトウェアアプリケーションに送信し、それによって、匿名化された前記データを匿名された前記データ主体のパーソナルコンピューティングデバイスに返すステップと、
を備え、
前記信頼できるデータコントローラコンピュータサーバの既知の電子アドレスに接続するために、前記信頼できるデータコントローラコンピュータサーバと匿名された前記データ主体の前記パーソナルコンピューティングデバイスの間の匿名化された前記関心のあるデータの送信は、前記データ主体の前記パーソナルコンピューティングデバイスの前記パーソナルソフトウェアアプリケーションによって常に開始される通信セッションによって行われ、前記信頼できるデータコントローラコンピュータサーバは、前記データ主体の名前、前記個人識別子又は前記パーソナルコンピューティングデバイスの電子アドレスに関する情報がない場合にそのような通信セッションを開始することができないので、前記信頼できるデータコントローラコンピュータサーバの前記データ交換ソフトウェアアプリケーションは、前記パーソナルソフトウェアアプリケーションによって前記通信セッションが開始されるのを待つ必要がある、方法。
[項目2]
前記データ主体の前記パーソナルコンピューティングデバイスの前記パーソナルソフトウェアアプリケーションと前記信頼できるデータコントローラコンピュータサーバの前記データ交換ソフトウェアアプリケーションの間の通信セッションは、前記データ主体の前記匿名識別子又はデジタル署名によってのみ識別されるデータ交換要求を送信する前記パーソナルソフトウェアアプリケーションによって開始され、前記データ交換ソフトウェアアプリケーションは、前記データ交換要求を受信し、有効な要求を受信したこと及び保存された前記匿名識別子と受信した前記匿名識別子が同一の匿名の前記データ主体に対応することを確認する、項目1に記載の方法。
[項目3]
前記匿名識別子は、ランダムに生成された秘密暗号鍵から導出された前記パーソナルコンピューティングデバイスの暗号ソフトウェアモジュールによって非対称公開鍵として生成され、前記信頼できるデータコントローラコンピュータサーバの既知の公開暗号鍵により前記暗号化ソフトウェアモジュールを使用して暗号化され、前記パーソナルソフトウェアアプリケーションは、少なくとも前記データ主体の名前、前記個人識別子及び暗号化された前記匿名識別子を前記データプロバイダコンピュータサーバの各々に送信し、一つ以上の前記データプロバイダコンピュータサーバの前記データ交換ソフトウェアアプリケーションが、それを受信し、匿名化された前記関心のあるデータを含む前記メッセージに暗号化された前記匿名識別子を含め、それを前記信頼できるデータコントローラコンピュータサーバの前記データ交換ソフトウェアアプリケーションに送信し、前記信頼できるデータコントローラコンピュータサーバの暗号化ソフトウェアモジュールは、暗号化された前記匿名識別子を受信し、前記信頼できるデータコントローラコンピュータサーバの前記秘密暗号鍵によって、暗号化された前記匿名識別子を解読する、項目1に記載の方法。
[項目4]
前記匿名識別子は、識別鍵、認証鍵及び暗号鍵である、項目1に記載の方法。
[項目5]
前記データ主体の前記パーソナルコンピューティングデバイス、一つ以上の前記データプロバイダコンピュータサーバ及び前記信頼できるデータコントローラコンピュータサーバの間の通信を暗号化する暗号化ソフトウェアモジュールは、好適には楕円曲線デジタル署名アルゴリズムを使用する非対称暗号鍵を使用する、項目1に記載の方法。
[項目6]
前記データ主体の前記パーソナルコンピューティングデバイスの前記パーソナルソフトウェアアプリケーションは、前記パーソナルソフトウェアアプリケーションで設定されたデフォルトの時間間隔で又は前記データ主体によって設定された好適な時間間隔で又は前記データ主体のコマンドの任意の時に前記信頼できるデータコントローラコンピュータサーバの前記データ交換ソフトウェアアプリケーションとの通信セッションを開く、項目1に記載の方法。
[項目7]
一つ以上の前記データプロバイダコンピュータサーバから前記信頼できるデータコントローラコンピュータサーバへの匿名化された前記関心のあるデータを含むメッセージの送信又は信頼できるデータコントローラユーザ登録データベースへの新しい匿名の前記データ主体の登録又は信頼できるデータコントローラから前記データ主体の前記パーソナルコンピューティングデバイスへの匿名化された前記関心のあるデータの通信は、コンピュータサーバのいずれかに保存されている通常のユーザ定義のユーザ名及びシステムパスワードを使用する前記データ主体なしで行われ、前記信頼できるデータコントローラコンピュータサーバの前記データ交換ソフトウェアアプリケーションによる前記データ主体の識別子の検証は、前記データ主体の前記匿名識別子によってのみ実現される、項目1に記載の方法。
[項目8]
前記データ主体の個人データは、一つ以上の前記データプロバイダコンピュータサーバの前記アプリケーションデータベースから収集され、匿名化され、前記信頼できるデータコントローラコンピュータサーバに送信され、前記データ主体の前記匿名識別子の識別子の下で収集及び編成され、前記信頼できるデータコントローラコンピュータサーバの前記データ交換ソフトウェアアプリケーションによって、前記データ主体の前記パーソナルコンピューティングデバイスの前記パーソナルソフトウェアアプリケーションに返される、項目1に記載の方法。
[項目9]
データ主体と、一つ以上のデータプロバイダと、信頼できるデータコントローラとの間でデータを交換するデータを交換するコンピュータシステムであって、前記信頼できるデータコントローラは、通信ネットワークを介した適切なソフトウェアアプリケーションによって互いに安全に通信を行うように構成された少なくとも一つのパーソナルコンピューティングデバイス、少なくとも一つのデータプロバイダコンピュータサーバ及び一つの信頼できるデータコントローラコンピュータサーバを備え、
少なくとも一つの前記データプロバイダコンピュータサーバの前記データ主体に関連するデータは、前記信頼できるデータコントローラコンピュータサーバに対して前記パーソナルコンピューティングデバイスによって開始された通信セッションの間に、少なくとも一つの前記データプロバイダコンピュータサーバによって検索、取得及び匿名化され、前記信頼できるデータコントローラコンピュータサーバに送信され、そこから匿名のデータ主体のパーソナルコンピューティングデバイスに戻される、コンピュータシステム。
[項目10]
ソースコードを格納する非一時的なコンピュータ媒体であって、プロセッサによって実行されるときに、一つ以上のデータプロバイダコンピュータサーバに格納されているデータ主体に関連する識別された個人データを検索及び取得し、データ及び前記データ主体を匿名化するために全ての個人識別子を削除し、匿名化された前記データを信頼できるデータコントローラコンピュータサーバに送信し、匿名化された前記データを匿名された前記データ主体のパーソナルコンピューティングデバイスに返す方法であって、
a.前記データ主体が、パーソナルソフトウェアアプリケーション及び暗号化ソフトウェアモジュールをパーソナルコンピューティングデバイスにダウンロード及びインストールし、少なくとも人の名前及び個人識別子を入力するステップと、
b.前記パーソナルコンピューティングデバイスの前記暗号化ソフトウェアモジュールが、匿名識別子及び前記匿名識別子の暗号化されたバージョンを生成するステップと、
c.前記パーソナルコンピューティングデバイスの前記パーソナルソフトウェアアプリケーションが、前記データ主体に関連するデータを格納する一つ以上のデータプロバイダコンピュータサーバのデータ交換ソフトウェアアプリケーションにコンタクトし、前記データ交換ソフトウェアアプリケーションは、前記パーソナルソフトウェアアプリケーションと安全にデータを交換するように構成され、前記パーソナルコンピューティングデバイスの前記パーソナルソフトウェアアプリケーションが、少なくとも前記データ主体の名前、前記個人識別子及び暗号化された前記匿名識別子を前記データプロバイダコンピュータサーバの各々に送信するステップと、
d.一つ以上の前記データプロバイダコンピュータサーバの前記データ交換ソフトウェアアプリケーションが、少なくとも前記データ主体の名前、前記個人識別子及び暗号化された前記匿名識別子を受信及び記録し、前記データ主体の名前及び前記個人識別子によって、前記データ主体に関連するデータについてデータプロバイダコンピュータサーバアプリケーションデータベースを検索するステップと、
e.関心のあるデータを見つけると、前記一つ以上のデータプロバイダコンピュータサーバの前記データ交換ソフトウェアアプリケーションが、前記関心のあるデータを匿名化するために前記関心のあるデータ及び前記データ主体の暗号化された前記匿名識別子を追加するとともに前記データ主体の名前及び全ての個人識別子を削除するメッセージを作成するステップと、
f.前記一つ以上のデータプロバイダコンピュータサーバの前記データ交換ソフトウェアアプリケーションが、前記データ主体の暗号化された前記匿名識別子によってのみ識別される匿名化された前記関心のあるデータを含むメッセージを、信頼できるデータコントローラコンピュータサーバに送信するステップと、
g.前記一つ以上のデータプロバイダコンピュータサーバの前記データ交換ソフトウェアアプリケーションと安全にデータを交換するように構成された前記信頼できるデータコントローラコンピュータサーバのデータ交換ソフトウェアアプリケーションが、前記メッセージを受信して読み取り、元の匿名識別子を取得するために暗号化された前記匿名識別子を解読し、前記匿名識別子が前記信頼できるデータコントローラコンピュータサーバにあるユーザ登録データベースに既に記録されているか否かを確認し、
i.前記匿名識別子が見つからない場合、前記匿名識別子を新しいユーザとして前記ユーザ登録データベースに記録し、前記匿名識別子及び前記メッセージのメタデータをログファイルに記録し、少なくとも前記データ主体の匿名化された前記関心のあるデータ及び匿名識別子をアプリケーションデータベースに保存し、匿名化された前記関心のあるデータは、前記データ主体の匿名識別子によってのみ識別される、又は
ii.前記匿名識別子を見つけると、前記匿名識別子及び前記メッセージのメタデータをログファイルに記録し、前記データ主体の前記匿名識別子によってのみ識別される少なくとも前記データ主体の匿名化された前記関心のあるデータをアプリケーションデータベースに保存するステップと、
h.同一のデータ主体に関連する新しい匿名化された前記関心のあるデータが前記信頼できるデータコントローラコンピュータサーバの前記アプリケーションデータベースに継続的に追加されるように、匿名化された前記関心のあるデータの送信を、前記一つ以上のデータプロバイダコンピュータサーバの前記データ交換ソフトウェアアプリケーションと前記信頼できるデータコントローラコンピュータサーバのデータ交換ソフトウェアアプリケーションとの間で定期的に行うステップと、
i.互いに安全に通信するように構成された前記データ主体の前記パーソナルコンピューティングデバイスの前記パーソナルソフトウェアアプリケーション及び前記信頼できるデータコントローラコンピュータサーバの前記データ交換ソフトウェアアプリケーションが通信を確立し、前記信頼できるデータコントローラコンピュータの前記データ交換ソフトウェアアプリケーションが、匿名化された前記関心のあるデータを前記パーソナルコンピューティングデバイスの前記パーソナルソフトウェアアプリケーションに送信し、それによって、匿名化された前記データを匿名された前記データ主体のパーソナルコンピューティングデバイスに返すステップと、
を備え、
前記信頼できるデータコントローラコンピュータサーバの既知の電子アドレスに接続するために、前記信頼できるデータコントローラコンピュータサーバと匿名された前記データ主体の前記パーソナルコンピューティングデバイスの間の匿名化された前記関心のあるデータの送信は、前記データ主体の前記パーソナルコンピューティングデバイスの前記パーソナルソフトウェアアプリケーションによって常に開始される通信セッションによって行われ、前記信頼できるデータコントローラコンピュータサーバの前記データ交換ソフトウェアアプリケーションは、前記パーソナルソフトウェアアプリケーションによって前記通信セッションが開始されるのを待つ必要があり、前記信頼できるデータコントローラコンピュータサーバは、前記データ主体の名前、前記個人識別子又は前記パーソナルコンピューティングデバイスの電子アドレスに関する情報がない場合にそのような通信セッションを開始することができない、方法を実行する、非一時的なコンピュータ媒体。
[項目11]
データの匿名化のためのコンピュータシステムであって、
a.ユーザの匿名識別子及びその暗号化バージョンを生成するように構成された暗号化ソフトウェアモジュールを有するパーソナルコンピューティングデバイスと、
b.ユーザの名前及び暗号化された匿名識別子を含む個人データを前記パーソナルコンピューティングデバイスから受信し、前記個人データをユーザ登録データベースに格納し、アプリケーションデータベースでユーザデータを検索し、匿名化されたデータを作成するために前記ユーザの名前を暗号化された匿名識別子に置き換えるように構成された複数のデータプロバイダコンピュータサーバと、
c.前記複数のデータプロバイダコンピュータサーバから匿名化された前記データ及び暗号化された前記匿名識別子を受信するように構成された信頼できるデータコントローラコンピュータサーバと、
を備え、
前記信頼できるデータコントローラコンピュータサーバは、ユーザの前記匿名識別子によって識別される前記パーソナルコンピューティングデバイスのパーソナルソフトウェアアプリケーションからの有効なデータ交換要求を待機するとともにそれに応答するように構成された、コンピュータシステム。
本明細書に開示される発明は以下を含む。
[項目1]
一つ以上のデータプロバイダコンピュータサーバに格納されているデータ主体に関連する識別された個人データを検索及び取得し、データ及び前記データ主体を匿名化するために全ての個人識別子を削除し、匿名化された前記データを信頼できるデータコントローラコンピュータサーバに送信し、匿名化された前記データを匿名された前記データ主体のパーソナルコンピューティングデバイスに返す方法であって、
a.前記データ主体が、パーソナルソフトウェアアプリケーション及び暗号化ソフトウェアモジュールをパーソナルコンピューティングデバイスにダウンロード及びインストールし、少なくとも人の名前及び個人識別子を入力するステップと、
b.前記パーソナルコンピューティングデバイスの前記暗号化ソフトウェアモジュールが、匿名識別子及び前記匿名識別子の暗号化されたバージョンを生成するステップと、
c.前記パーソナルコンピューティングデバイスの前記パーソナルソフトウェアアプリケーションが、前記データ主体に関連するデータを格納する一つ以上のデータプロバイダコンピュータサーバのデータ交換ソフトウェアアプリケーションにコンタクトし、前記データ交換ソフトウェアアプリケーションは、前記パーソナルソフトウェアアプリケーションと安全にデータを交換するように構成され、前記パーソナルコンピューティングデバイスの前記パーソナルソフトウェアアプリケーションが、少なくとも前記データ主体の名前、前記個人識別子及び暗号化された前記匿名識別子を前記データプロバイダコンピュータサーバの各々に送信するステップと、
d.一つ以上の前記データプロバイダコンピュータサーバの前記データ交換ソフトウェアアプリケーションが、少なくとも前記データ主体の名前、前記個人識別子及び暗号化された前記匿名識別子を受信及び記録し、前記データ主体の名前及び前記個人識別子によって、前記データ主体に関連するデータについてデータプロバイダコンピュータサーバアプリケーションデータベースを検索するステップと、
e.関心のあるデータを見つけると、前記一つ以上のデータプロバイダコンピュータサーバの前記データ交換ソフトウェアアプリケーションが、前記関心のあるデータを匿名化するために前記関心のあるデータ及び前記データ主体の暗号化された前記匿名識別子を追加するとともに前記データ主体の名前及び全ての個人識別子を削除するメッセージを作成するステップと、
f.前記一つ以上のデータプロバイダコンピュータサーバの前記データ交換ソフトウェアアプリケーションが、前記データ主体の暗号化された前記匿名識別子によってのみ識別される匿名化された前記関心のあるデータを含むメッセージを、信頼できるデータコントローラコンピュータサーバに送信するステップと、
g.前記一つ以上のデータプロバイダコンピュータサーバの前記データ交換ソフトウェアアプリケーションと安全にデータを交換するように構成された前記信頼できるデータコントローラコンピュータサーバのデータ交換ソフトウェアアプリケーションが、前記メッセージを受信して読み取り、元の匿名識別子を取得するために暗号化された前記匿名識別子を解読し、前記匿名識別子が前記信頼できるデータコントローラコンピュータサーバにあるユーザ登録データベースに既に記録されているか否かを確認し、
i.前記匿名識別子が見つからない場合、前記匿名識別子を新しいユーザとして前記ユーザ登録データベースに記録し、前記匿名識別子及び前記メッセージのメタデータをログファイルに記録し、少なくとも前記データ主体の匿名化された前記関心のあるデータ及び匿名識別子をアプリケーションデータベースに保存し、匿名化された前記関心のあるデータは、前記データ主体の匿名識別子によってのみ識別される、又は
ii.前記匿名識別子を見つけると、前記匿名識別子及び前記メッセージのメタデータをログファイルに記録し、前記データ主体の前記匿名識別子によってのみ識別される少なくとも前記データ主体の匿名化された前記関心のあるデータをアプリケーションデータベースに保存するステップと、
h.同一のデータ主体に関連する新しい匿名化された前記関心のあるデータが前記信頼できるデータコントローラコンピュータサーバの前記アプリケーションデータベースに継続的に追加されるように、匿名化された前記関心のあるデータの送信を、前記一つ以上のデータプロバイダコンピュータサーバの前記データ交換ソフトウェアアプリケーションと前記信頼できるデータコントローラコンピュータサーバのデータ交換ソフトウェアアプリケーションとの間で定期的に行うステップと、
i.互いに安全に通信するように構成された前記データ主体の前記パーソナルコンピューティングデバイスの前記パーソナルソフトウェアアプリケーション及び前記信頼できるデータコントローラコンピュータサーバの前記データ交換ソフトウェアアプリケーションが通信を確立し、前記信頼できるデータコントローラコンピュータの前記データ交換ソフトウェアアプリケーションが、匿名化された前記関心のあるデータを前記パーソナルコンピューティングデバイスの前記パーソナルソフトウェアアプリケーションに送信し、それによって、匿名化された前記データを匿名された前記データ主体のパーソナルコンピューティングデバイスに返すステップと、
を備え、
前記信頼できるデータコントローラコンピュータサーバの既知の電子アドレスに接続するために、前記信頼できるデータコントローラコンピュータサーバと匿名された前記データ主体の前記パーソナルコンピューティングデバイスの間の匿名化された前記関心のあるデータの送信は、前記データ主体の前記パーソナルコンピューティングデバイスの前記パーソナルソフトウェアアプリケーションによって常に開始される通信セッションによって行われ、前記信頼できるデータコントローラコンピュータサーバは、前記データ主体の名前、前記個人識別子又は前記パーソナルコンピューティングデバイスの電子アドレスに関する情報がない場合にそのような通信セッションを開始することができないので、前記信頼できるデータコントローラコンピュータサーバの前記データ交換ソフトウェアアプリケーションは、前記パーソナルソフトウェアアプリケーションによって前記通信セッションが開始されるのを待つ必要がある、方法。
[項目2]
前記データ主体の前記パーソナルコンピューティングデバイスの前記パーソナルソフトウェアアプリケーションと前記信頼できるデータコントローラコンピュータサーバの前記データ交換ソフトウェアアプリケーションの間の通信セッションは、前記データ主体の前記匿名識別子又はデジタル署名によってのみ識別されるデータ交換要求を送信する前記パーソナルソフトウェアアプリケーションによって開始され、前記データ交換ソフトウェアアプリケーションは、前記データ交換要求を受信し、有効な要求を受信したこと及び保存された前記匿名識別子と受信した前記匿名識別子が同一の匿名の前記データ主体に対応することを確認する、項目1に記載の方法。
[項目3]
前記匿名識別子は、ランダムに生成された秘密暗号鍵から導出された前記パーソナルコンピューティングデバイスの暗号ソフトウェアモジュールによって非対称公開鍵として生成され、前記信頼できるデータコントローラコンピュータサーバの既知の公開暗号鍵により前記暗号化ソフトウェアモジュールを使用して暗号化され、前記パーソナルソフトウェアアプリケーションは、少なくとも前記データ主体の名前、前記個人識別子及び暗号化された前記匿名識別子を前記データプロバイダコンピュータサーバの各々に送信し、一つ以上の前記データプロバイダコンピュータサーバの前記データ交換ソフトウェアアプリケーションが、それを受信し、匿名化された前記関心のあるデータを含む前記メッセージに暗号化された前記匿名識別子を含め、それを前記信頼できるデータコントローラコンピュータサーバの前記データ交換ソフトウェアアプリケーションに送信し、前記信頼できるデータコントローラコンピュータサーバの暗号化ソフトウェアモジュールは、暗号化された前記匿名識別子を受信し、前記信頼できるデータコントローラコンピュータサーバの前記秘密暗号鍵によって、暗号化された前記匿名識別子を解読する、項目1に記載の方法。
[項目4]
前記匿名識別子は、識別鍵、認証鍵及び暗号鍵である、項目1に記載の方法。
[項目5]
前記データ主体の前記パーソナルコンピューティングデバイス、一つ以上の前記データプロバイダコンピュータサーバ及び前記信頼できるデータコントローラコンピュータサーバの間の通信を暗号化する暗号化ソフトウェアモジュールは、好適には楕円曲線デジタル署名アルゴリズムを使用する非対称暗号鍵を使用する、項目1に記載の方法。
[項目6]
前記データ主体の前記パーソナルコンピューティングデバイスの前記パーソナルソフトウェアアプリケーションは、前記パーソナルソフトウェアアプリケーションで設定されたデフォルトの時間間隔で又は前記データ主体によって設定された好適な時間間隔で又は前記データ主体のコマンドの任意の時に前記信頼できるデータコントローラコンピュータサーバの前記データ交換ソフトウェアアプリケーションとの通信セッションを開く、項目1に記載の方法。
[項目7]
一つ以上の前記データプロバイダコンピュータサーバから前記信頼できるデータコントローラコンピュータサーバへの匿名化された前記関心のあるデータを含むメッセージの送信又は信頼できるデータコントローラユーザ登録データベースへの新しい匿名の前記データ主体の登録又は信頼できるデータコントローラから前記データ主体の前記パーソナルコンピューティングデバイスへの匿名化された前記関心のあるデータの通信は、コンピュータサーバのいずれかに保存されている通常のユーザ定義のユーザ名及びシステムパスワードを使用する前記データ主体なしで行われ、前記信頼できるデータコントローラコンピュータサーバの前記データ交換ソフトウェアアプリケーションによる前記データ主体の識別子の検証は、前記データ主体の前記匿名識別子によってのみ実現される、項目1に記載の方法。
[項目8]
前記データ主体の個人データは、一つ以上の前記データプロバイダコンピュータサーバの前記アプリケーションデータベースから収集され、匿名化され、前記信頼できるデータコントローラコンピュータサーバに送信され、前記データ主体の前記匿名識別子の識別子の下で収集及び編成され、前記信頼できるデータコントローラコンピュータサーバの前記データ交換ソフトウェアアプリケーションによって、前記データ主体の前記パーソナルコンピューティングデバイスの前記パーソナルソフトウェアアプリケーションに返される、項目1に記載の方法。
[項目9]
データ主体と、一つ以上のデータプロバイダと、信頼できるデータコントローラとの間でデータを交換するデータを交換するコンピュータシステムであって、前記信頼できるデータコントローラは、通信ネットワークを介した適切なソフトウェアアプリケーションによって互いに安全に通信を行うように構成された少なくとも一つのパーソナルコンピューティングデバイス、少なくとも一つのデータプロバイダコンピュータサーバ及び一つの信頼できるデータコントローラコンピュータサーバを備え、
少なくとも一つの前記データプロバイダコンピュータサーバの前記データ主体に関連するデータは、前記信頼できるデータコントローラコンピュータサーバに対して前記パーソナルコンピューティングデバイスによって開始された通信セッションの間に、少なくとも一つの前記データプロバイダコンピュータサーバによって検索、取得及び匿名化され、前記信頼できるデータコントローラコンピュータサーバに送信され、そこから匿名のデータ主体のパーソナルコンピューティングデバイスに戻される、コンピュータシステム。
[項目10]
ソースコードを格納する非一時的なコンピュータ媒体であって、プロセッサによって実行されるときに、一つ以上のデータプロバイダコンピュータサーバに格納されているデータ主体に関連する識別された個人データを検索及び取得し、データ及び前記データ主体を匿名化するために全ての個人識別子を削除し、匿名化された前記データを信頼できるデータコントローラコンピュータサーバに送信し、匿名化された前記データを匿名された前記データ主体のパーソナルコンピューティングデバイスに返す方法であって、
a.前記データ主体が、パーソナルソフトウェアアプリケーション及び暗号化ソフトウェアモジュールをパーソナルコンピューティングデバイスにダウンロード及びインストールし、少なくとも人の名前及び個人識別子を入力するステップと、
b.前記パーソナルコンピューティングデバイスの前記暗号化ソフトウェアモジュールが、匿名識別子及び前記匿名識別子の暗号化されたバージョンを生成するステップと、
c.前記パーソナルコンピューティングデバイスの前記パーソナルソフトウェアアプリケーションが、前記データ主体に関連するデータを格納する一つ以上のデータプロバイダコンピュータサーバのデータ交換ソフトウェアアプリケーションにコンタクトし、前記データ交換ソフトウェアアプリケーションは、前記パーソナルソフトウェアアプリケーションと安全にデータを交換するように構成され、前記パーソナルコンピューティングデバイスの前記パーソナルソフトウェアアプリケーションが、少なくとも前記データ主体の名前、前記個人識別子及び暗号化された前記匿名識別子を前記データプロバイダコンピュータサーバの各々に送信するステップと、
d.一つ以上の前記データプロバイダコンピュータサーバの前記データ交換ソフトウェアアプリケーションが、少なくとも前記データ主体の名前、前記個人識別子及び暗号化された前記匿名識別子を受信及び記録し、前記データ主体の名前及び前記個人識別子によって、前記データ主体に関連するデータについてデータプロバイダコンピュータサーバアプリケーションデータベースを検索するステップと、
e.関心のあるデータを見つけると、前記一つ以上のデータプロバイダコンピュータサーバの前記データ交換ソフトウェアアプリケーションが、前記関心のあるデータを匿名化するために前記関心のあるデータ及び前記データ主体の暗号化された前記匿名識別子を追加するとともに前記データ主体の名前及び全ての個人識別子を削除するメッセージを作成するステップと、
f.前記一つ以上のデータプロバイダコンピュータサーバの前記データ交換ソフトウェアアプリケーションが、前記データ主体の暗号化された前記匿名識別子によってのみ識別される匿名化された前記関心のあるデータを含むメッセージを、信頼できるデータコントローラコンピュータサーバに送信するステップと、
g.前記一つ以上のデータプロバイダコンピュータサーバの前記データ交換ソフトウェアアプリケーションと安全にデータを交換するように構成された前記信頼できるデータコントローラコンピュータサーバのデータ交換ソフトウェアアプリケーションが、前記メッセージを受信して読み取り、元の匿名識別子を取得するために暗号化された前記匿名識別子を解読し、前記匿名識別子が前記信頼できるデータコントローラコンピュータサーバにあるユーザ登録データベースに既に記録されているか否かを確認し、
i.前記匿名識別子が見つからない場合、前記匿名識別子を新しいユーザとして前記ユーザ登録データベースに記録し、前記匿名識別子及び前記メッセージのメタデータをログファイルに記録し、少なくとも前記データ主体の匿名化された前記関心のあるデータ及び匿名識別子をアプリケーションデータベースに保存し、匿名化された前記関心のあるデータは、前記データ主体の匿名識別子によってのみ識別される、又は
ii.前記匿名識別子を見つけると、前記匿名識別子及び前記メッセージのメタデータをログファイルに記録し、前記データ主体の前記匿名識別子によってのみ識別される少なくとも前記データ主体の匿名化された前記関心のあるデータをアプリケーションデータベースに保存するステップと、
h.同一のデータ主体に関連する新しい匿名化された前記関心のあるデータが前記信頼できるデータコントローラコンピュータサーバの前記アプリケーションデータベースに継続的に追加されるように、匿名化された前記関心のあるデータの送信を、前記一つ以上のデータプロバイダコンピュータサーバの前記データ交換ソフトウェアアプリケーションと前記信頼できるデータコントローラコンピュータサーバのデータ交換ソフトウェアアプリケーションとの間で定期的に行うステップと、
i.互いに安全に通信するように構成された前記データ主体の前記パーソナルコンピューティングデバイスの前記パーソナルソフトウェアアプリケーション及び前記信頼できるデータコントローラコンピュータサーバの前記データ交換ソフトウェアアプリケーションが通信を確立し、前記信頼できるデータコントローラコンピュータの前記データ交換ソフトウェアアプリケーションが、匿名化された前記関心のあるデータを前記パーソナルコンピューティングデバイスの前記パーソナルソフトウェアアプリケーションに送信し、それによって、匿名化された前記データを匿名された前記データ主体のパーソナルコンピューティングデバイスに返すステップと、
を備え、
前記信頼できるデータコントローラコンピュータサーバの既知の電子アドレスに接続するために、前記信頼できるデータコントローラコンピュータサーバと匿名された前記データ主体の前記パーソナルコンピューティングデバイスの間の匿名化された前記関心のあるデータの送信は、前記データ主体の前記パーソナルコンピューティングデバイスの前記パーソナルソフトウェアアプリケーションによって常に開始される通信セッションによって行われ、前記信頼できるデータコントローラコンピュータサーバの前記データ交換ソフトウェアアプリケーションは、前記パーソナルソフトウェアアプリケーションによって前記通信セッションが開始されるのを待つ必要があり、前記信頼できるデータコントローラコンピュータサーバは、前記データ主体の名前、前記個人識別子又は前記パーソナルコンピューティングデバイスの電子アドレスに関する情報がない場合にそのような通信セッションを開始することができない、方法を実行する、非一時的なコンピュータ媒体。
[項目11]
データの匿名化のためのコンピュータシステムであって、
a.ユーザの匿名識別子及びその暗号化バージョンを生成するように構成された暗号化ソフトウェアモジュールを有するパーソナルコンピューティングデバイスと、
b.ユーザの名前及び暗号化された匿名識別子を含む個人データを前記パーソナルコンピューティングデバイスから受信し、前記個人データをユーザ登録データベースに格納し、アプリケーションデータベースでユーザデータを検索し、匿名化されたデータを作成するために前記ユーザの名前を暗号化された匿名識別子に置き換えるように構成された複数のデータプロバイダコンピュータサーバと、
c.前記複数のデータプロバイダコンピュータサーバから匿名化された前記データ及び暗号化された前記匿名識別子を受信するように構成された信頼できるデータコントローラコンピュータサーバと、
を備え、
前記信頼できるデータコントローラコンピュータサーバは、ユーザの前記匿名識別子によって識別される前記パーソナルコンピューティングデバイスのパーソナルソフトウェアアプリケーションからの有効なデータ交換要求を待機するとともにそれに応答するように構成された、コンピュータシステム。
【図1a】
【図1b】
【図2】
【図3】
【図4】
【図5】
【図6】