ホーム > 特許ランキング > ソニーグループ株式会社
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-09-24
(45)【発行日】2024-10-02
(54)【発明の名称】情報システム、情報端末、情報処理方法および情報提供方法
(51)【国際特許分類】
G06F 21/62 20130101AFI20240925BHJP
G06F 16/182 20190101ALI20240925BHJP
【FI】
G06F21/62 345
G06F16/182
【請求項の数】
14
(21)【出願番号】P 2021533035
(86)(22)【出願日】2020-07-10
(86)【国際出願番号】 JP2020027024
(87)【国際公開番号】W WO2021010317
(87)【国際公開日】2021-01-21
【審査請求日】2023-06-07
(31)【優先権主張番号】P 2019132070
(32)【優先日】2019-07-17
(33)【優先権主張国・地域又は機関】JP
(73)【特許権者】
【識別番号】000002185
【氏名又は名称】ソニーグループ株式会社
(74)【代理人】
【識別番号】110003339
【氏名又は名称】弁理士法人南青山国際特許事務所
(72)【発明者】
【氏名】久永 賢司
【審査官】宮司 卓佳
(56)【参考文献】
【文献】特開2008-181213(JP,A)
【文献】特開2006-189925(JP,A)
【文献】特開2007-334417(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/62
G06F 16/182
(57)【特許請求の範囲】
【請求項1】
情報所有者の個人情報を構成する複数の断片情報のうちの1以上の断片情報と、他のすべての断片情報をそれぞれ示す1以上のハッシュ値とを保存する保存部と、情報利用者からの情報要求を受け、前記保存部から該当する1以上の断片情報および1以上のハッシュ値を取り出し、前記複数の断片情報のうち前記保存された断片情報以外の断片情報が保存された他の情報システムに、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報を要求する制御部と、
を具備し、
前記他の情報システムが複数あり、それぞれの他の情報システムには、前記複数の断片情報のうち前記保存部に保存された断片情報以外のすべての断片情報が分散して保存され、
前記制御部は、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報をそれぞれ前記他の複数の情報システムに要求するように構成され、
前記制御部は、前記取り出した1以上の断片情報および前記他の情報システムから取得した1以上の断片情報に基づいて情報処理を行い 、その結果を前記情報利用者の端末に応答するように構成され、
前記制御部は、前記保存部の前記ハッシュ値の漏洩を検出した場合、前記漏洩したハッシュ値が示す断片情報が保存された他の情報システムに対して当該断片情報のアクセス禁止を要求するとともに、前記漏洩したハッシュ値を無効化して新しいハッシュ値に更新するように構成された
情報システム。
【請求項2】
請求項1に記載の情報システムであって、前記複数の断片情報が、前記情報所有者の行動に付随して同期的に生成される互いに異なる属性の複数の情報である
情報システム。
【請求項3】
請求項1に記載の情報システムであって、前記複数の断片情報が、前記個人情報を構造的に断片化した複数の情報である
情報システム。
【請求項4】
請求項3に記載の情報システムであって、前記個人情報が所定の桁数を有する数値列であり、前記複数の断片情報が、前記数値列を桁毎の数値に断片化した複数の情報である
情報システム。
【請求項5】
請求項1に記載の情報システムであって、前記ハッシュ値は、権限機関によって公開鍵暗号化されたハッシュ値である
情報システム。
【請求項6】
請求項1に記載の情報システムであって、前記ハッシュ値には、当該ハッシュ値が示す断片情報が保存された前記他の情報システムを特定する識別情報が付加され、
前記制御部は、前記識別情報により特定される前記他の情報システムに、当該ハッシュ値が示す断片情報を要求するように構成された
情報システム。
【請求項7】
請求項1に記載の情報システムであって、前記ハッシュ値は、前記他の情報システム毎に決められたレンジ内で与えられる
情報システム。
【請求項8】
請求項1に記載の情報システムであって、前記制御部は、前記ハッシュ値と前記他の情報システムとのマッピングを管理するリポジトリに問い合わせて、当該ハッシュ値が示す断片情報が保存された他の情報システムを特定するように構成された
情報システム。
【請求項9】
情報所有者の個人情報を構成する複数の断片情報を生成し、前記生成される複数の断片情報のハッシュ値を生成し、複数の断片情報およびこれらの断片情報の複数のハッシュ値のうち、1以上の断片情報と当該断片情報以外の1以上の断片情報の1以上のハッシュ値との組み合わせをネットワークを通じて接続された複数の情報システムのうちの1つの情報システムに保存されるように転送し、前記情報システムに保存された1以上のハッシュ値がそれぞれ示す1以上の断片情報を他の1以上の情報システムにそれぞれ分散して保存されるように転送する制御部とを具備する情報端末。
【請求項10】
請求項9に記載の情報端末であって、前記制御部は、前記複数の情報システムに、複数の断片情報を分散して保存し、それぞれの情報システム毎に、保存された1以上の断片情報以外のすべての断片情報それぞれのハッシュ値を保存するように構成された
情報端末。
【請求項11】
請求項10に記載の情報端末であって、前記制御部は、複数の情報システムにそれぞれ分散して保存する断片情報の種類の決定をグラフィカル・ユーザインタフェースを用いて支援するように構成された
情報端末。
【請求項12】
請求項11に記載の情報端末であって、前記制御部は、1つの情報システムに保存する複数の種類の断片情報を決定する際、リスク管理上好ましい断片情報の組み合わせに関する情報に基づいて、前記情報所有者の意思決定をグラフィカル・ユー ザインタフェースを通して案内するように構成された
情報端末。
【請求項13】
制御部が、情報利用者の端末からの情報要求を受け、個人情報を構成する複数の断片情報のうちの1以上の断片情報と、他の1以上の断片情報をそ れぞれ示す1以上のハッシュ値とを保存する保存部から該当する1以上の断片情報および1以上のハッシュ値を取り出し、
前記複数の断片情報のうち前記保存部に保存された断片情報以外の断片情報が保存された他の情報システムに、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報を要求し、
前記取り出した1以上の断片情報および前記他の情報システムから取得した1以上の断片情報に基づいて情報処理を行い 、その結果を前記情報利用者の端末に応答し、
前記保存部の前記ハッシュ値の漏洩を検出した場合、前記漏洩したハッシュ値が示す断片情報が保存された他の情報システムに対して当該断片情報のアクセス禁止を要求するとともに、前記漏洩したハッシュ値を無効化して新しいハッシュ値に更新する
情報処理方法。
【請求項14】
制御部が、情報所有者の個人情報を構成する複数の断片情報を生成し、前記生成される複数の断片情報のハッシュ値を生成し、複数の断片情報およびこれらの断片情報の複数のハッシュ値のうち、1以上の断 片情報と当該断片情報以外の1以上の断片情報の1以上のハッシュ値との組み合わせをネットワークを通じて接続された複数の情報システムのうちの1つの情報システムに保存されるように転送し、前記情報システムに保存された1以上のハッシュ値がそれぞれ示す1以上の情報を他の1以上の情報システムにそれぞれ分散して保存されるように転送する
情報提供方法。
【発明の詳細な説明】
【技術分野】
【0001】
本技術は、個人情報を情報所有者のプライバシーを確保しつつ第3者に提供する情報システム、情報システムに情報所有者の個人情報を提供する情報端末、これらに関連する情報処理方法および情報提供方法に関する。
【背景技術】
【0002】
現状、個人の情報を扱うサービスは、情報所有者より提供される情報の提供をサービス事業者自身が受け、サービス事業者自身がこれを保持し、利用するといった形態をとることが一般的とされる。
このようなサービスの実現を支え得る従来の技術として、データの分散がある。例えば、特許文献1には、個人情報を、その個人を識別可能な氏名などの識別情報と、住所、電話番号、生年月日、年齢、性別、身長、体重などの属性情報とに分割し、さらに識別情報を氏と名に分割し、分割された各情報を別々のデータファイルに分散して記録することによって、いずれかのデータファイルが漏洩しても、1つのデータファイルに記録された情報だけでは有用性を欠くという点から個人情報の保護を図るものである。
また、特許文献2には、個人情報を分割管理サーバの記憶媒体にいくつかの部分に分割して保存するあたり、分割された保存データを保護レベルに応じて、平文、ハッシュ値にして保存することが開示されている。
このようなサービスの実現を支え得る従来の技術として、データの分散がある。例えば、特許文献1には、個人情報を、その個人を識別可能な氏名などの識別情報と、住所、電話番号、生年月日、年齢、性別、身長、体重などの属性情報とに分割し、さらに識別情報を氏と名に分割し、分割された各情報を別々のデータファイルに分散して記録することによって、いずれかのデータファイルが漏洩しても、1つのデータファイルに記録された情報だけでは有用性を欠くという点から個人情報の保護を図るものである。
また、特許文献2には、個人情報を分割管理サーバの記憶媒体にいくつかの部分に分割して保存するあたり、分割された保存データを保護レベルに応じて、平文、ハッシュ値にして保存することが開示されている。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2007-035022号公報
【文献】特開2006-189925号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、これまで、本技術のように個人情報を構成する複数の断片情報を、例えば運営主体が異なるような複数の情報システムに分散して保存する技術は知られていない。1つの情報システムのデータベースなどに情報を分散して保存する上記引用文献1,2に代表されるような技術では、例えば、システムへの不正利用者の侵入を万が一許してしまった場合、データベース単位での漏洩が生じるおそれがあり、いくらそのデータベースに分散してデータが保存されていたとしても、いずれ1つの個人情報が復元されてしまうことは時間の問題である。
【0005】
以上のような事情に鑑み、本技術の目的は、情報漏洩を目的とした不正利用者からの攻撃に対する耐性向上、情報利用者に対する個人情報の公開範囲の調整など、情報を分散して保存管理するシステムの機能的および性能的な向上を図ることのできる情報システム、情報端末、情報処理方法および情報提供方法を提供することにある。
【課題を解決するための手段】
【0006】
上記目的を達成するため、本開示の一形態に係る情報システムは、
情報所有者の個人情報を構成する複数の断片情報のうちの1以上の断片情報と、他のすべての断片情報をそれぞれ示す1以上のハッシュ値とを保存する保存部と、
情報利用者からの情報要求を受け、前記保存部から該当する1以上の断片情報および1以上のハッシュ値を取り出し、前記複数の断片情報のうち前記保存された断片情報以外の断片情報が保存された他の情報システムに、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報を要求する制御部と、を具備する。
情報所有者の個人情報を構成する複数の断片情報のうちの1以上の断片情報と、他のすべての断片情報をそれぞれ示す1以上のハッシュ値とを保存する保存部と、
情報利用者からの情報要求を受け、前記保存部から該当する1以上の断片情報および1以上のハッシュ値を取り出し、前記複数の断片情報のうち前記保存された断片情報以外の断片情報が保存された他の情報システムに、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報を要求する制御部と、を具備する。
【0007】
前記他の情報システムが複数あり、それぞれの他の情報システムには、前記複数の断片情報のうち前記保存部に保存された断片情報以外のすべての断片情報が分散して保存され、前記制御部は、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報をそれぞれ前記他の複数の情報システムに要求するように構成されたものであってよい。
【0008】
前記制御部は、前記取り出した1以上の断片情報および前記他の情報システムから取得した1以上の断片情報に基づいて情報処理を行い、その結果を前記情報利用者の端末に応答するように構成されたものであってよい。
【0009】
前記制御部は、前記保存部の前記ハッシュ値の漏洩を検出した場合、前記漏洩したハッシュ値が示す断片情報が保存された他の情報システムに対して当該断片情報のアクセス禁止を要求するとともに、前記漏洩したハッシュ値を無効化して新しいハッシュ値に更新するように構成されたものであってよい。
【0010】
前記複数の断片情報が、前記情報所有者の行動に付随して同期的に生成される互いに異なる属性の複数の情報であってよい。
【0011】
前記複数の断片情報は、前記個人情報を構造的に断片化した複数の情報であってよい。
【0012】
前記個人情報が所定の桁数を有する数値列であり、前記複数の断片情報が、前記数値列を桁毎の数値に断片化した複数の情報であってよい。
【0013】
前記ハッシュ値は、権限機関によって公開鍵暗号化されたハッシュ値でもよい。
【0014】
前記ハッシュ値には、当該ハッシュ値が示す断片情報が保存された前記他の情報システムを特定する識別情報が付加され、前記制御部は、前記識別情報により特定される前記他の情報システムに、当該ハッシュ値が示す断片情報を要求するように構成されたものであってもよい。
【0015】
前記ハッシュ値は、前記他の情報システム毎に決められたレンジ内で与えられたものであってもよい。
【0016】
前記制御部は、前記ハッシュ値と前記他の情報システムとのマッピングを管理するリポジトリに問い合わせて、当該ハッシュ値が示す断片情報が保存された他の情報システムを特定するように構成されたものであってよい。
【0017】
また、本開示に係る情報端末は、情報所有者の個人情報を構成する複数の断片情報を生成し、前記生成される複数の断片情報のハッシュ値を生成し、複数の断片情報およびこれらの断片情報の複数のハッシュ値のうち、1以上の断片情報と当該断片情報以外の1以上の断片情報の1以上のハッシュ値との組み合わせをネットワークを通じて接続された複数の情報システムのうちの1つの情報システムに保存されるように転送し、前記情報システムに保存された1以上のハッシュ値がそれぞれ示す1以上の断片情報を他の1以上の情報システムにそれぞれ分散して保存されるように転送する制御部とを具備する。
【0018】
前記情報端末の制御部は、複数の情報システムにそれぞれ分散して保存する情報の種類の決定をグラフィカル・ユーザインタフェースを用いて支援するように構成されてもよい。
【0019】
また、本開示に係る情報処理方法は、制御部が、情報利用者の端末からの情報要求を受け、個人情報を構成する複数の断片情報のうちの1以上の断片情報と、他の1以上の断片情報をそれぞれ示す1以上のハッシュ値とを保存する保存部から該当する1以上の断片情報および1以上のハッシュ値を取り出し、前記複数の断片情報のうち前記保存部に保存された断片情報以外の断片情報が保存された他の情報システムに、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報を要求する。
【0020】
また、本開示に係る情報提供方法は、制御部が、情報所有者の個人情報を構成する複数の断片情報を生成し、前記生成される複数の断片情報のハッシュ値を生成し、複数の断片情報およびこれらの断片情報の複数のハッシュ値のうち、1以上の断片情報と当該断片情報以外の1以上の断片情報の1以上のハッシュ値との組み合わせをネットワークを通じて接続された複数の情報システムのうちの1つの情報システムに保存されるように転送し、前記情報システムに保存された1以上のハッシュ値がそれぞれ示す1以上の情報を他の1以上の情報システムにそれぞれ分散して保存されるように転送する。
【図面の簡単な説明】
【0021】
【図1】本実施形態の情報銀行システム100の全体的な構成を示す図である。
【図5】所有者端末2の表示画面Dに表示される分散方式決定用のユーザインタフェースの例を示す図である。
【図7】複数の情報システム1a、1b、1c間で不均等な数の割合で断片情報を保存する一例を示す図である。
【図8】個々の断片情報A、B、Cがそれぞれ3桁の数値列である場合に、その数値列の各桁毎の値を3つの情報システム1a、1b、1cに分散して保存した例を示す図である。
【図9A】ハッシュ値の漏洩に対する処理を説明するための図である。
【図9B】同じくハッシュ値の漏洩に対するアクセス失効を示す図である。
【図9C】同じくハッシュ値の漏洩に対するリハッシュを示す図である。
【図10】ハッシュ値の公開鍵暗号化を説明する図である。
【図11】ハッシュ値が示す断片情報の保存先の情報システムを特定する方法を説明する図である。
【図12】複数の情報システム1a、1b、1cにおける情報分散形態の変形を示す図である。
【発明を実施するための形態】
【0022】
以下、本技術に係る実施形態を図面を参照しながら説明する。
<第1の実施形態>
(本実施形態の概要)
本実施形態の情報銀行システム100は、例えば、図1に示すように、クラウド1を構成する複数の運営主体である複数の情報銀行A、B、Cの複数の情報システム1a、1b、1cと、複数の情報システム1a、1b、1cに個人情報が分散保存されるように提供する情報端末である情報所有者U1の端末(以下「所有者端末2」と呼ぶ。)と、複数の情報システム1a、1b、1cに分散保存された個人情報を利用する利用者U2の端末(以下「利用者端末3」と呼ぶ。)と、を含む。ここで、個々の情報システム1a、1b、1cはそれぞれ相互接続された1台以上のサーバ装置などの情報処理装置で構成される。
<第1の実施形態>
(本実施形態の概要)
本実施形態の情報銀行システム100は、例えば、図1に示すように、クラウド1を構成する複数の運営主体である複数の情報銀行A、B、Cの複数の情報システム1a、1b、1cと、複数の情報システム1a、1b、1cに個人情報が分散保存されるように提供する情報端末である情報所有者U1の端末(以下「所有者端末2」と呼ぶ。)と、複数の情報システム1a、1b、1cに分散保存された個人情報を利用する利用者U2の端末(以下「利用者端末3」と呼ぶ。)と、を含む。ここで、個々の情報システム1a、1b、1cはそれぞれ相互接続された1台以上のサーバ装置などの情報処理装置で構成される。
【0023】
個々の情報システム1a、1b、1cはそれぞれ、情報所有者U1の個人情報を構成する複数の断片情報のうちの1以上の断片情報と、他のすべての断片情報をそれぞれ示す1以上のハッシュ値とを保存するデータベース14と、情報利用者U2からの情報要求を受け、データベース14から該当する1以上の断片情報および1以上のハッシュ値を取り出し、前記複数の断片情報のうち前記保存された断片情報以外の断片情報が保存された他の情報システムに、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報を要求する制御部10と、を具備する。
【0024】
図2は、複数の情報システム1a、1b、1cにおける情報分散形態を示す図である。
同図において、A、B、C、D、E、Fのカラムはそれぞれ情報所有者U1の例えば行動に付随して同期的にそれぞれ生成され、ひとまとまりで有意な個人情報5を構成する複数の断片情報である。これらの断片情報A-Fのうち、第1の情報システム1aには、断片情報C、Dと、断片情報A、Bのハッシュ値と、断片情報E、Fのハッシュ値とが1つのレコードとして保存される。第2の情報システム1bには、断片情報A、Bと、断片情報C、Dのハッシュ値と、断片情報E、Fのハッシュ値が1つのレコードとして保存される。そして第3の情報システム1cには、断片情報E、Fと、断片情報A、Bのハッシュ値と、断片情報C、Dのハッシュ値が1つのレコードとして保存される。本明細書では、各情報システム1a、1b、1cに分散して保存された断片情報A-Fは実データであるという意味で「公開情報」と呼び、ハッシュ値は「非公開情報」と呼ぶ場合がある。
同図において、A、B、C、D、E、Fのカラムはそれぞれ情報所有者U1の例えば行動に付随して同期的にそれぞれ生成され、ひとまとまりで有意な個人情報5を構成する複数の断片情報である。これらの断片情報A-Fのうち、第1の情報システム1aには、断片情報C、Dと、断片情報A、Bのハッシュ値と、断片情報E、Fのハッシュ値とが1つのレコードとして保存される。第2の情報システム1bには、断片情報A、Bと、断片情報C、Dのハッシュ値と、断片情報E、Fのハッシュ値が1つのレコードとして保存される。そして第3の情報システム1cには、断片情報E、Fと、断片情報A、Bのハッシュ値と、断片情報C、Dのハッシュ値が1つのレコードとして保存される。本明細書では、各情報システム1a、1b、1cに分散して保存された断片情報A-Fは実データであるという意味で「公開情報」と呼び、ハッシュ値は「非公開情報」と呼ぶ場合がある。
【0025】
所有者端末2は、例えば購買行為に付随する商品情報、金額などの決済情報、心拍数、血圧、呼吸数などの生体情報、さらには、時刻情報、位置情報(緯度・経度)などの様々な情報を、個人情報5を構成する複数の断片情報A、B、C、D、E、Fとして生成し、情報システムa1、b1、c1毎の保存用レコードを生成して、各情報システムa1、b1、c1に送信する制御部20を有する。
【0026】
利用者端末3は、認証を通してログインした例えば第1の情報システム1aなどに情報の取得を要求し、第1の情報システム1aが、1以上の情報システムから収集した複数の断片情報、あるいは収集された複数の断片情報に基づく情報を受信する。受信した情報は、利用者端末3の保存部に保存され、例えばディスプレイ等を通して情報利用者U2に提示される。
【0027】
利用者端末3からの情報取得要求を受けた第1の情報システム1aの制御部10は、自システム内のデータベース14に公開情報として保存された1以上の断片情報の他、アクセスが認可された他の情報システム1b、1cのそれぞれのデータベース14に公開情報として保存された1以上の断片情報を、第1の情報システム1aのデータベース14から取得したハッシュ値に基づいて他の情報システム1b、1cに要求することによってそれぞれ取得することができる。
【0028】
これに対して、不正な情報利用者による一部の情報システムへの攻撃による不正侵入によって、その情報システムに開示情報として保存された断片情報の漏洩が生じたとしても、漏洩した断片情報は情報所有者U1の個人情報5を構成する複数の断片情報の一部に過ぎないため、被害を低く抑えることができる。また、ハッシュ値が示す断片情報は別の情報システムに保存されているので、不正な情報利用者は、その情報システムにも攻撃行為を通じて侵入を図る必要がある。
【0029】
(情報銀行システムの機能構成)
図3は情報銀行システム100を構成する各機器の構成を示すブロック図である。
なお、同図では、紙面サイズの制約から、情報システムについては第1の情報システム1aと第2の情報システム1bのみを示し、第3の情報システム1cの図示は省かれている。
図3は情報銀行システム100を構成する各機器の構成を示すブロック図である。
なお、同図では、紙面サイズの制約から、情報システムについては第1の情報システム1aと第2の情報システム1bのみを示し、第3の情報システム1cの図示は省かれている。
【0030】
(所有者端末2の構成)
所有者端末2は、例えばスマートホン、タブレット端末、時計型・腕輪型・ブレスレット型などのウエラブル機器など、情報所有者U1が携帯可能な機器である。所有者端末2は、CPU、ROM、RAM、通信装置、ディスプレイ、ユーザ入力部などの典型的なコンピュータのハードウェア要素、プログラムなどのソフトウェア要素を備える。RAMには、上記のプログラムが格納され、CPUはこのプログラムを実行するための各種の演算処理を実行する。また、所有者端末2は、情報所有者U1の生体情報を生成する各種の生体センサー、位置情報を得ることが可能なGPSユニット、その他、個人情報の生成に必要な検出器や測定器などを備える。
所有者端末2は、例えばスマートホン、タブレット端末、時計型・腕輪型・ブレスレット型などのウエラブル機器など、情報所有者U1が携帯可能な機器である。所有者端末2は、CPU、ROM、RAM、通信装置、ディスプレイ、ユーザ入力部などの典型的なコンピュータのハードウェア要素、プログラムなどのソフトウェア要素を備える。RAMには、上記のプログラムが格納され、CPUはこのプログラムを実行するための各種の演算処理を実行する。また、所有者端末2は、情報所有者U1の生体情報を生成する各種の生体センサー、位置情報を得ることが可能なGPSユニット、その他、個人情報の生成に必要な検出器や測定器などを備える。
【0031】
所有者端末2は、制御部20を有する。制御部20は、1以上の情報生成部21、情報収集部22、分散方針決定部23、情報断片化部24、ハッシュ生成器25、情報送信部26を含む。
情報生成部21は、上記の生体センサー、GPSユニット、その他の検出器や測定器の出力から生体情報、位置情報、時刻情報、その他、インターネット上での購買行為に付随する決済情報等を生成する。これらの断片情報は、情報所有者U1の行動に付随して同期的に生成される互いに異なる属性の複数の情報という事ができる。
情報収集部22は、1以上の情報生成部21で生成される複数の情報のなかから分散方針に従って複数の種類の情報を選択し、個人情報5を構成する複数の断片情報として収集する。
情報生成部21は、上記の生体センサー、GPSユニット、その他の検出器や測定器の出力から生体情報、位置情報、時刻情報、その他、インターネット上での購買行為に付随する決済情報等を生成する。これらの断片情報は、情報所有者U1の行動に付随して同期的に生成される互いに異なる属性の複数の情報という事ができる。
情報収集部22は、1以上の情報生成部21で生成される複数の情報のなかから分散方針に従って複数の種類の情報を選択し、個人情報5を構成する複数の断片情報として収集する。
【0032】
分散方針決定部23は、情報生成部21によって得られる複数の情報のうち、情報収集部22の収集対象とする情報の種類、その情報をどの情報銀行(情報システム)に預けるか、といった分散方針をグラフィカルなユーザインタフェースを用いて情報所有者U1に決定してもらう。分散方針決定部23は、さらに、情報生成部21により生成される情報をさらに複数の情報に断片化する方針の決定をも支援する。例えば、GPSユニットにより得られた位置情報は緯度と経度に断片化することなどが可能である。
【0033】
情報断片化部24は、分散方針に従って特定の種類の情報の断片化を行う。
ここで、情報収集部22によって分散方針に従って収集された複数の種類の情報および収集された情報の一部を情報断片化部24によってさらに断片化した複数の情報を、本明細書では「個人情報5を構成する複数の断片情報」と呼ぶ。
ここで、情報収集部22によって分散方針に従って収集された複数の種類の情報および収集された情報の一部を情報断片化部24によってさらに断片化した複数の情報を、本明細書では「個人情報5を構成する複数の断片情報」と呼ぶ。
【0034】
ハッシュ生成器25は、断片情報のハッシュ値を算出する。
情報送信部26は、情報銀行の情報システムのデータベース14に公開情報として登録される1以上の断片情報と、非公開情報として登録される1以上のハッシュ値を含む情報銀行毎の第1のレコードを分散方針に従って第1の情報システム1a、第2の情報システム1b、第3の情報システム1cに送信する。このときそれぞれのハッシュ値には、対象の断片情報の保存先の情報銀行を識別する銀行IDが付加される。さらに、情報送信部26は、上記第1のレコードとともに、第1のレコードに含まれる1以上の断片情報それぞれのハッシュ値を含む情報銀行毎の第2のレコードを生成して、第1のレコードの送信先と同じ情報システム1a、1b、1cに送信する。
情報送信部26は、情報銀行の情報システムのデータベース14に公開情報として登録される1以上の断片情報と、非公開情報として登録される1以上のハッシュ値を含む情報銀行毎の第1のレコードを分散方針に従って第1の情報システム1a、第2の情報システム1b、第3の情報システム1cに送信する。このときそれぞれのハッシュ値には、対象の断片情報の保存先の情報銀行を識別する銀行IDが付加される。さらに、情報送信部26は、上記第1のレコードとともに、第1のレコードに含まれる1以上の断片情報それぞれのハッシュ値を含む情報銀行毎の第2のレコードを生成して、第1のレコードの送信先と同じ情報システム1a、1b、1cに送信する。
【0035】
(情報システムの構成)
情報システム1a、1b、1cはそれぞれ1以上のサーバ装置などで構成される。情報システム1a、1b、1cは、所有者端末2および利用者端末3からクラウド1として利用される。上記のサーバ装置には、データベース用のストレージデバイスがローカル接続、あるいはネットワークを通じて接続される。サーバ装置は、典型的なコンピュータのハードウェア要素と、情報システムとしてコンピュータを動作させるためのプログラムなどのソフトウェア要素を有する。コンピュータのハードウェア要素には、例えば、CPU、ROM、RAM、ユーザインタフェース用の入力装置およびディスプレイ、通信装置、ストレージとのインタフェースなどが含まれる。RAMには、上記のプログラムが格納され、CPUはこのプログラムを実行するための各種の演算処理を実行する。
情報システム1a、1b、1cはそれぞれ1以上のサーバ装置などで構成される。情報システム1a、1b、1cは、所有者端末2および利用者端末3からクラウド1として利用される。上記のサーバ装置には、データベース用のストレージデバイスがローカル接続、あるいはネットワークを通じて接続される。サーバ装置は、典型的なコンピュータのハードウェア要素と、情報システムとしてコンピュータを動作させるためのプログラムなどのソフトウェア要素を有する。コンピュータのハードウェア要素には、例えば、CPU、ROM、RAM、ユーザインタフェース用の入力装置およびディスプレイ、通信装置、ストレージとのインタフェースなどが含まれる。RAMには、上記のプログラムが格納され、CPUはこのプログラムを実行するための各種の演算処理を実行する。
【0036】
情報システム1a、1b、1cは、制御部10を有する。制御部10は、情報受信部11、情報更新部12、ハッシュテーブル13、データベース14、情報要求受信部15、情報処理部16、情報返信部17、クエリ実施部18、他行クエリ送信部19a、他行データ受信部19b、クエリ受信部19c、データ返信部19dを有する。情報システム1a、1b、1cの構成は同じであってよい。
【0037】
これらの機能ブロックにおいて、情報受信部11、情報更新部12、ハッシュテーブル13、データベース14は、所有者端末2から送信される情報をデータベース14に登録する動作に関与する。
すなわち、情報受信部11は、所有者端末2から送信された1以上の断片情報および1以上のハッシュ値を含む第1のレコードと、データベース14に保存される1以上の断片情報にそれぞれ対応するハッシュ値を含む第2のレコードを受信する。
すなわち、情報受信部11は、所有者端末2から送信された1以上の断片情報および1以上のハッシュ値を含む第1のレコードと、データベース14に保存される1以上の断片情報にそれぞれ対応するハッシュ値を含む第2のレコードを受信する。
【0038】
情報更新部12は、情報受信部11にて受信した第1のレコードをデータベース14に保存する。
ハッシュテーブル13には、情報受信部11にて受信した第2のレコードに含まれる1以上のハッシュ値、すなわちデータベース14に保存された1以上の断片情報にそれぞれ対応する1以上のハッシュ値と、データベース14に保存された1以上の断片情報を特定するインデックスキーとの対応表が登録される。
ハッシュテーブル13には、情報受信部11にて受信した第2のレコードに含まれる1以上のハッシュ値、すなわちデータベース14に保存された1以上の断片情報にそれぞれ対応する1以上のハッシュ値と、データベース14に保存された1以上の断片情報を特定するインデックスキーとの対応表が登録される。
【0039】
情報システム1a、1b、1cにおける機能ブロックにおいて、情報要求受信部15、情報処理部16、情報返信部17、クエリ実施部18、他行クエリ送信部19a、他行データ受信部19b、クエリ受信部19c、データ返信部19dは、利用者端末3からの情報要求を処理する動作に関与する。
情報要求受信部15は、利用者端末3からの情報取得要求を受信する。
クエリ実施部18は、情報要求受信部15にて受信した情報取得要求に基づいてデータベース14から該当するレコードを取り出し、取り出したレコード中の1以上の断片情報を情報処理部16に供給する。また、クエリ実施部18は、データベース14から取り出されたレコード中の1以上のハッシュ値を他行クエリ送信部19aに供給する。
情報要求受信部15は、利用者端末3からの情報取得要求を受信する。
クエリ実施部18は、情報要求受信部15にて受信した情報取得要求に基づいてデータベース14から該当するレコードを取り出し、取り出したレコード中の1以上の断片情報を情報処理部16に供給する。また、クエリ実施部18は、データベース14から取り出されたレコード中の1以上のハッシュ値を他行クエリ送信部19aに供給する。
【0040】
他行クエリ送信部19aは、上記ハッシュ値を含むクエリを生成し、ハッシュ値に付加された銀行IDが示す他情報銀行の情報システムに送信する。
クエリ受信部19cは、自情報銀行宛のハッシュ値を含むクエリを受信する。
クエリ実施部18は、クエリ受信部19cにて受信したクエリに含まれるハッシュ値に対応するインデックスキーをハッシュテーブル13から検索し、このインデックスキーに基づいてデータベース14より該当する断片情報を取り出す。
データ返信部19dは、データベース14より取り出された断片情報をクエリ送信元の情報銀行の情報システムに返信する。
他行データ受信部19bは、クエリ送信先の情報システムから返信された断片情報を受信して、情報処理部16に供給する。
情報処理部16は、クエリ実施部18および他行データ受信部19bにて得た複数の断片情報に対して予め決められた情報処理を行う。
情報返信部17は、情報処理部16による複数の断片情報に対する処理結果のレポートを利用者端末3からの情報取得要求に対する応答として返信する。
クエリ受信部19cは、自情報銀行宛のハッシュ値を含むクエリを受信する。
クエリ実施部18は、クエリ受信部19cにて受信したクエリに含まれるハッシュ値に対応するインデックスキーをハッシュテーブル13から検索し、このインデックスキーに基づいてデータベース14より該当する断片情報を取り出す。
データ返信部19dは、データベース14より取り出された断片情報をクエリ送信元の情報銀行の情報システムに返信する。
他行データ受信部19bは、クエリ送信先の情報システムから返信された断片情報を受信して、情報処理部16に供給する。
情報処理部16は、クエリ実施部18および他行データ受信部19bにて得た複数の断片情報に対して予め決められた情報処理を行う。
情報返信部17は、情報処理部16による複数の断片情報に対する処理結果のレポートを利用者端末3からの情報取得要求に対する応答として返信する。
【0041】
(利用者端末3の構成)
利用者端末3は、例えばスマートホン、タブレット端末、パーソナルコンピュータなどの情報処理装置である。利用者端末3は、CPU、ROM、RAM、通信装置、ディスプレイ、ユーザ入力部などの典型的なコンピュータのハードウェア要素、プログラムなどのソフトウェア要素を備える。RAMには、上記のプログラムが格納され、CPUはこのプログラムを実行するための各種の演算処理を実行する。
利用者端末3は、例えばスマートホン、タブレット端末、パーソナルコンピュータなどの情報処理装置である。利用者端末3は、CPU、ROM、RAM、通信装置、ディスプレイ、ユーザ入力部などの典型的なコンピュータのハードウェア要素、プログラムなどのソフトウェア要素を備える。RAMには、上記のプログラムが格納され、CPUはこのプログラムを実行するための各種の演算処理を実行する。
【0042】
利用者端末3は、機能的には、情報要求送信部31、情報結果受信部32を有し、さらに図示を省略したが、情報結果受信部32にて受信した情報結果を保存する保存部と、情報結果を情報利用者U2に提示する表示部を備えるものであってよい。
情報要求送信部31は、情報銀行システム100の任意の第1の情報銀行の情報システム1aに情報結果を要求する。
情報結果受信部32は、利用者端末3から第1の情報システム1aに送信した情報要求に対して第1の情報システム1aが自身を含む1以上の情報システムより収集した1以上の断片情報に基づく処理結果のレポートを受信し、保存部に保存したり、表示部に出力する。
情報要求送信部31は、情報銀行システム100の任意の第1の情報銀行の情報システム1aに情報結果を要求する。
情報結果受信部32は、利用者端末3から第1の情報システム1aに送信した情報要求に対して第1の情報システム1aが自身を含む1以上の情報システムより収集した1以上の断片情報に基づく処理結果のレポートを受信し、保存部に保存したり、表示部に出力する。
【0043】
<動作の説明>
次に、本実施形態の情報銀行システム100の動作を説明する。
(1.情報保存時の動作)
図4は本実施形態の情報銀行システム100における情報保存時の動作シーケンスである。
所有者端末2の各情報生成部21において情報所有者U1の生体情報、決済情報、位置情報、時刻情報などの情報が生成される(S1)。情報収集部22は、情報生成部21により生成された情報を収集する(S2)。
初回の情報収集に際して分散方針決定部23が起動される。分散方針決定部23は、生成される複数の情報においてどの情報をひとまとまりの個人情報5を構成する複数の断片情報として収集するか、収集した複数の断片情報をどのような組み合わせで複数の情報銀行に公開情報として分散して保存するかといった分散方式を情報所有者U1からの入力等によって決定し、決定された分散方式に関する情報を更新用ハッシュデータベース14aに登録する(S3)。この分散方針の決定ステップは、初回時あるいは分散方式に変更があるときのみ行われ、その他の場合にはステップされる。
次に、本実施形態の情報銀行システム100の動作を説明する。
(1.情報保存時の動作)
図4は本実施形態の情報銀行システム100における情報保存時の動作シーケンスである。
所有者端末2の各情報生成部21において情報所有者U1の生体情報、決済情報、位置情報、時刻情報などの情報が生成される(S1)。情報収集部22は、情報生成部21により生成された情報を収集する(S2)。
初回の情報収集に際して分散方針決定部23が起動される。分散方針決定部23は、生成される複数の情報においてどの情報をひとまとまりの個人情報5を構成する複数の断片情報として収集するか、収集した複数の断片情報をどのような組み合わせで複数の情報銀行に公開情報として分散して保存するかといった分散方式を情報所有者U1からの入力等によって決定し、決定された分散方式に関する情報を更新用ハッシュデータベース14aに登録する(S3)。この分散方針の決定ステップは、初回時あるいは分散方式に変更があるときのみ行われ、その他の場合にはステップされる。
【0044】
(分散方式の決定について)
ここで、分散方式の決定方法について説明を補足する。
情報所有者U1の情報を複数の情報銀行に公開情報としてどのような組み合わせで分散して保存するかは、情報漏洩によるリスクの大きさを考慮して決めることが望ましい。その決定は情報所有者U1自身が行うか、あるいは所有者端末2にリスク管理上好ましい情報の組み合わせに関する情報をプリセットしておき、このプリセット情報に基づいて情報所有者U1の意思決定をユーザインタフェース上でガイドするようにしてもよい。あるいは、リスク管理上好ましい情報の組み合わせに関するお薦めの情報を管理するリポジトリへ問い合わせて、情報所有者U1の指定条件に合ったお薦めの組み合わせの紹介を受けるようにしてもよい。さらに、お薦めの組み合わせを情報所有者U1自身がカスタマイズして使用するようにしてもよい。
ここで、分散方式の決定方法について説明を補足する。
情報所有者U1の情報を複数の情報銀行に公開情報としてどのような組み合わせで分散して保存するかは、情報漏洩によるリスクの大きさを考慮して決めることが望ましい。その決定は情報所有者U1自身が行うか、あるいは所有者端末2にリスク管理上好ましい情報の組み合わせに関する情報をプリセットしておき、このプリセット情報に基づいて情報所有者U1の意思決定をユーザインタフェース上でガイドするようにしてもよい。あるいは、リスク管理上好ましい情報の組み合わせに関するお薦めの情報を管理するリポジトリへ問い合わせて、情報所有者U1の指定条件に合ったお薦めの組み合わせの紹介を受けるようにしてもよい。さらに、お薦めの組み合わせを情報所有者U1自身がカスタマイズして使用するようにしてもよい。
【0045】
図5は所有者端末2の表示画面Dに表示される分散方式決定用のユーザインタフェースの例を示す図である。このユーザインタフェースは、情報銀行の選択領域41と断片情報の種別の選択領域42とを有する。情報銀行の選択領域41には、情報銀行毎のアイコン43、44、45が配置され、断片情報の種別の選択領域42にも断片情報の種別毎のアイコン46,47、48、49が配置される。そして情報所有者U1が情報銀行の選択領域41と断片情報の種別の選択領域42との間で互いに関連付けたいアイコン同士をドラッグすることなどによって情報銀行(情報システム)とこれに保存する断片情報の種別との紐付けを行うことができる。例えば、図5の例では、買い物に関する決済情報と時刻情報を情報銀行A(第1の情報システム1a)へ、位置情報を情報銀行B(第2の情報システム1b)へ、心拍数情報を情報銀行C(第3の情報システム1c)へそれぞれ公開情報として保存するといった分散方針が決定される。
【0046】
分散方式の決定の際、所有者端末2の分散方針決定部23は、1つの情報銀行に保存するように選択された複数の断片情報が漏洩した場合のリスク評価を行い、その結果を情報所有者U1にフィードバックしてもよい。情報所有者U1はリスク評価のフィードバックから分散方式を再検討し、リスクがより低い分散方針への変更をユーザインタフェースを使って指定することができる。また、分散方式を決定するときだけではなく、既に決定され、運用が始まっている分散方式についてもリスク評価を行って、情報所有者U1にその結果を提示するようにしてもよい。
さらに、所有者端末2の分散方針決定部23は、リスク最小の断片情報の組み合わせを算出し、ユーザインタフェースを通じて情報所有者U1に推奨するようにしてもよい。
さらに、所有者端末2の分散方針決定部23は、リスク最小の断片情報の組み合わせを算出し、ユーザインタフェースを通じて情報所有者U1に推奨するようにしてもよい。
【0047】
例えば、仮に決済情報と時刻情報が開示情報として保存された第1の情報システム1aから上記の断片情報が漏洩したとしても、決済が行われる場所(位置情報)に関する情報が得られない以上、漏洩情報が悪用される可能性は低くなる。よって、決済情報および時刻情報と、位置情報は別々の自用法システムに保存されることが望ましい。また、高額の決済時には人の心拍数が上がることが多いことが知られており、高額決済が心拍数から特定されないように、決済情報と心拍数情報は別々の情報システムに保存されることが望ましい。
【0048】
図4の動作説明に戻って、分散方式が決定された以降、情報収集部22は、その分散方式に従って、情報生成部21により生成された複数の情報のなかから断片情報として収集する情報を選択し(S2)、情報断片化部24に供給する。情報断片化部24は、情報収集部22により収集された断片情報のハッシュ値をハッシュ生成器25を用いて生成する。
なお、情報断片化部24は、決められた分散方式に従って、情報収集部22により収集された特定の種類の断片情報例えば緯度と経度とで構成される位置情報などを、さらに複数の断片情報例えば緯度情報と経度情報とに断片化して、それぞれのハッシュ値をハッシュ生成器25を用いて生成する(S4)。
なお、情報断片化部24は、決められた分散方式に従って、情報収集部22により収集された特定の種類の断片情報例えば緯度と経度とで構成される位置情報などを、さらに複数の断片情報例えば緯度情報と経度情報とに断片化して、それぞれのハッシュ値をハッシュ生成器25を用いて生成する(S4)。
【0049】
次に、情報送信部26が、情報断片化部24により生成された複数の断片情報および複数のハッシュ値から分散方針に従って情報銀行毎のデータベース保存用の第1のレコードとハッシュテーブル更新用の第2のレコードを生成し、各情報システム1a、1b、1cに送信する(S5)。
【0050】
第1の情報システム1aは、情報受信部11にて所有者端末2からの上記第1のレコードおよび第2のレコードを受信すると(S6)、情報更新部12によって第2のレコードに含まれるハッシュ値がハッシュテーブル13に登録され(S7)、さらに、受信した第1のレコードの内容がデータベース14に登録される(S8)。さらに情報更新部12によって、ハッシュテーブル13には、データベース14に公開情報として登録された断片情報を特定するインデックスキーが登録済みのハッシュ値に対応付けて記録される。その他の情報システム1b、1cにおいても同様に所有者端末2から受信した第1のレコードおよび第2のレコードの内容に基づいてハッシュテーブル13およびデータベース14が更新される。
【0051】
(2.情報利用者U2による情報要求時の動作)
図6は情報利用者U2による情報要求時の動作シーケンスを示す図である。
利用者端末3の情報利用者U2は、情報所有者U1からの許諾を受けた条件下で、第1の情報システム1aの認証を受け、認証トークンを保有した状態で第1の情報システム1aへのアクセスを開始する。第1の情報システム1aは、認証トークンをもったアクセスを許容する。このような一定のコンテキストをもった一連の情報アクセスをまとめてここではセッションと呼ぶ。また、情報利用者U2は、情報所有者U1からの許諾をもとに第2の情報システム1bおよび第3の情報システム1cがそれぞれ保有する情報に対するアクセス権を示す認可トークンを得ることができる。第1の情報システム1aは、認可トークンがあることを条件に、その認可トークンの対象である情報システムからハッシュ値によって断片情報を取得することができる。例えば、情報利用者U2が、第2の情報システム1bおよび第3の情報システム1cがそれぞれ保有する断片情報に対するそれぞれの認可トークンを所持しているならば、第1の情報システム1aは、第2の情報システム1bおよび第3の情報システム1cからハッシュ値による断片情報の取得を実行する。しかし、情報利用者U2が、第2の情報システム1bが保有する断片情報に対する認可トークンしか所持していないならば、第1の情報システム1aは、第2の情報システム1bからのハッシュ値による断片情報の取得のみを実行する。以下、情報利用者U2が、第2の情報システム1bおよび第3の情報システム1cがそれぞれ保有する断片情報に対するそれぞれの認可トークンを有することを前提に情報利用者U2からの情報要求時の動作を説明する。
図6は情報利用者U2による情報要求時の動作シーケンスを示す図である。
利用者端末3の情報利用者U2は、情報所有者U1からの許諾を受けた条件下で、第1の情報システム1aの認証を受け、認証トークンを保有した状態で第1の情報システム1aへのアクセスを開始する。第1の情報システム1aは、認証トークンをもったアクセスを許容する。このような一定のコンテキストをもった一連の情報アクセスをまとめてここではセッションと呼ぶ。また、情報利用者U2は、情報所有者U1からの許諾をもとに第2の情報システム1bおよび第3の情報システム1cがそれぞれ保有する情報に対するアクセス権を示す認可トークンを得ることができる。第1の情報システム1aは、認可トークンがあることを条件に、その認可トークンの対象である情報システムからハッシュ値によって断片情報を取得することができる。例えば、情報利用者U2が、第2の情報システム1bおよび第3の情報システム1cがそれぞれ保有する断片情報に対するそれぞれの認可トークンを所持しているならば、第1の情報システム1aは、第2の情報システム1bおよび第3の情報システム1cからハッシュ値による断片情報の取得を実行する。しかし、情報利用者U2が、第2の情報システム1bが保有する断片情報に対する認可トークンしか所持していないならば、第1の情報システム1aは、第2の情報システム1bからのハッシュ値による断片情報の取得のみを実行する。以下、情報利用者U2が、第2の情報システム1bおよび第3の情報システム1cがそれぞれ保有する断片情報に対するそれぞれの認可トークンを有することを前提に情報利用者U2からの情報要求時の動作を説明する。
【0052】
利用者端末3の情報要求送信部31は、第1の情報システム1aに、情報所有者U1の個人情報5に関する情報取得要求を送信する(S11)。第1の情報システム1aは、情報要求受信部15にてこの情報取得要求を受信すると、クエリ実施部18に情報取得要求を供給する(S12)。クエリ実施部18は、情報取得要求に基づいてデータベース14から該当するレコードを取り出し(S13)、取り出したレコード中の1以上の断片情報を情報処理部16に供給する(S14)。また、クエリ実施部18は、当該レコード中の1以上のハッシュ値を他行クエリ送信部19aに供給する(S15)。
【0053】
他行クエリ送信部19aは、クエリ実施部18より供給されたハッシュ値を含むクエリを、当該ハッシュ値に付加された銀行IDに該当する情報銀行の情報システムに送信する(S16)。ここで、そのハッシュ値を含むクエリが第2の情報システム1bに送信された場合を説明する。
【0054】
第2の情報システム1bは、クエリ受信部19cにてハッシュ値を含むクエリを受信して自情報システム1b内のクエリ実施部18に供給する(S17)。クエリ実施部18は、ハッシュテーブル13から当該クエリに含まれるハッシュ値に対応する断片情報をデータベース14から引き当てるためのインデックスキーを取り出し、クエリ実施部18に供給する(S18)。クエリ実施部18は、このインデックスキーをキーにデータベース14より該当する断片情報を取り出す(S19)。データベース14から取り出された断片情報は、データ返信部19dによって第1の情報システム1aに返信される(S20、S21)。
【0055】
第1の情報システム1aは、他行データ受信部19bにて情報システム1bから返信された断片情報を受信してクエリ実施部18に供給する。他行データ受信部19bからクエリ実施部18に供給された断片情報は、クエリ実施部18から情報処理部16に供給される(S14)。
【0056】
なお、S13でデータベース14から取り出されたレコードから第3の情報システム1cに保存された断片情報のハッシュ値が取り出された場合には、クエリ実施部18は、第3の情報システム1cにそのハッシュ値を含むクエリを送信する。これにより、第3の情報システム1cから該当する断片情報が第1の情報システム1aに返信される。このようにして、複数の情報システム1a、1b、1cに分散して保存された個人情報5を構成する複数の断片情報が第1の情報システム1aに揃い集められる。
【0057】
第1の情報システム1aの情報処理部16は、上記のように複数の情報システム1a、1b、1cから揃い集めた断片情報を処理して、処理結果であるレポートを生成する(S22)。生成されたレポートは、情報返信部17によって利用者端末3に送信され(S23)、利用者端末3の情報結果受信部32にて受信される(S24)。
【0058】
(認可トークンとレポートとの関係)
【0059】
情報利用者U2に提供されるレポートのソースとなる断片情報の種類は、その情報利用者U2が所有する認可トークンの種類によって制限され得る。
例えば、情報利用者U2が第2の情報システム1bの断片情報に対する認可トークンと第3の情報システム1cの保有する断片情報に対する認可トークンの両方を所有しない場合、第1の情報システム1aは自身のデータベース14に開示情報として保存されている断片情報の範囲で情報処理を実行する。例えば、自身のデータベース14に決済情報と時刻情報が保存されている場合、客単価の高い時刻や購買数の多い時間帯に関するレポートなどが作成される。
例えば、情報利用者U2が第2の情報システム1bの断片情報に対する認可トークンと第3の情報システム1cの保有する断片情報に対する認可トークンの両方を所有しない場合、第1の情報システム1aは自身のデータベース14に開示情報として保存されている断片情報の範囲で情報処理を実行する。例えば、自身のデータベース14に決済情報と時刻情報が保存されている場合、客単価の高い時刻や購買数の多い時間帯に関するレポートなどが作成される。
【0060】
一方、情報利用者U2が第2の情報システム1bの断片情報に対する認可トークンと第3の情報システム1cの断片情報に対する認可トークンを所有する場合には、第1の情報システム1aは自身のデータベース14に開示情報として保存されている断片情報とともに、第2の情報システム1bおよび第3の情報システム1cにそれぞれ開示情報として保存されている断片情報に基づいて情報処理を行った結果をレポートとして作成することができる。例えば、第2の情報システム1bには位置情報が、第3の情報システム1cには心拍数情報が保存されている場合、第1の情報システム1aは、決済金額の大きい地域や、購入者の心拍数と決済額の相関といった、より高度な情報レポートを作成することができる。
【0061】
このように第1の情報システム1aに収集された複数の断片情報は、情報処理部16において例えば統計処理された結果などとして情報利用者U2へ提供されるので、複数の断片情報をそのまま情報利用者U2へ提供する場合に比べて、情報所有者個人のブラバイシーを守る上で有効である。
【0062】
上記の情報利用者U2による情報要求時の動作例では、利用者端末3の情報利用者U2は、第1の情報システム1aの認証を受け、認証トークンを保有した状態で第1の情報システム1aへのアクセスを開始する場合について説明した。しかし、本実施形態の情報銀行システム100では、それぞれの情報システム1a、1b、1cのデータベース14に、個人情報5を構成する複数の断片情報が分散して保存され、さらに、個人情報5を構成する複数の断片情報のうち自情報システムに保存された断片情報以外のすべての断片情報のハッシュ値が保存されている。したがって、利用者端末3の情報利用者U2は、第2の情報システム1bの認証を受け、認証トークンを保有した状態で第2の情報システム1bへのアクセスを開始したり、第3の情報システム1cの認証を受け、認証トークンを保有した状態で第3の情報システム1cへのアクセスを開始することによっても、第1の情報システム1aへのアクセスを開始した場合と同様に各情報システム1a、1b、1cのデータベース14に開示情報として分散保存された複数の断片情報をアクセス開始元の情報システムに集めて情報処理を行うことができる。
【0063】
<第1の変形例>
上記の第1の実施形態では、個人情報を構成する複数の断片情報の公開情報を複数の情報システムに均等な数で分散して預ける場合を示した。しかし、複数の断片情報を複数の情報システムにどのような数の割合で分散するかは任意に決めることができる。
上記の第1の実施形態では、個人情報を構成する複数の断片情報の公開情報を複数の情報システムに均等な数で分散して預ける場合を示した。しかし、複数の断片情報を複数の情報システムにどのような数の割合で分散するかは任意に決めることができる。
【0064】
図7は複数の情報システム1a、1b、1c間で不均等な数の割合で断片情報を保存する一例を示している。この例では、個人情報を構成する6つの断片情報A、B、C、D、E、Fのうち、第1の情報システム1aに4つの断片情報B、C、D、Eが保存され、第3の情報システム1cに1つの断片情報Aが保存され、第3の情報システム1cに1つの断片情報Fが保存される。ハッシュ値については、第1の情報システム1aに2つの断片情報A、Fのハッシュ値が保存され、第2の情報システム1bに5つの断片情報B、C、D、E、Fのハッシュ値が保存され、第3の情報システム1cに5つの断片情報A、B、C、D、Eのハッシュ値が保存される。このように各情報システム1a、1b、1cに不均一な数の断片情報の保存を許容することによって、自情報システムに情報を誘引する競争力が生まれ、情報利用者U2に提供される情報の寄与度に応じた便益を運営主体が得られるような仕組みの導入との組み合わせによって、情報銀行システム100全体の規模、サービス、信頼性の向上が期待できる。
【0065】
<第2の変形例>
上記第1の実施形態では、例えばセンサーの出力のデータなど、単体でも何らかの意味が分かるデータを1つの断片情報として扱うこととした。しかし、1つの断片情報であっても漏洩によって大きな損害が生じる場合も考えられる。
上記第1の実施形態では、例えばセンサーの出力のデータなど、単体でも何らかの意味が分かるデータを1つの断片情報として扱うこととした。しかし、1つの断片情報であっても漏洩によって大きな損害が生じる場合も考えられる。
【0066】
そこで個々の断片情報を、構造的にさらに細かい情報に断片化して、それぞれ複数の情報システムに分散して保存するようにしてもよい。
図8は個々の断片情報A、B、Cがそれぞれ3桁の数値列である場合に、その数値列の各桁毎の値を3つの情報システム1a、1b、1cに分散して保存した例である。この例では、断片情報A、B、Cそれぞれの3桁の数値列のうち1桁目の数値が第1の情報システム1aに公開情報として保存され、2桁目の数値が第2の情報システム1bに公開情報として保存され、3桁目の数値が第3の情報システム1cに公開情報として保存される。第1の情報システム1aには、さらに、2桁目と3桁目の数値のハッシュ値が保存され、第2の情報システム1bには、さらに、1桁目と3桁目の数値のハッシュ値が保存され、第3の情報システム1cには、さらに、1桁目と2桁目の数値のハッシュ値が保存される。
図8は個々の断片情報A、B、Cがそれぞれ3桁の数値列である場合に、その数値列の各桁毎の値を3つの情報システム1a、1b、1cに分散して保存した例である。この例では、断片情報A、B、Cそれぞれの3桁の数値列のうち1桁目の数値が第1の情報システム1aに公開情報として保存され、2桁目の数値が第2の情報システム1bに公開情報として保存され、3桁目の数値が第3の情報システム1cに公開情報として保存される。第1の情報システム1aには、さらに、2桁目と3桁目の数値のハッシュ値が保存され、第2の情報システム1bには、さらに、1桁目と3桁目の数値のハッシュ値が保存され、第3の情報システム1cには、さらに、1桁目と2桁目の数値のハッシュ値が保存される。
【0067】
このように断片情報を構造的にさらに細かい複数の情報に断片化して複数の情報システム1a、1b、1cに分散して保存し、各々の情報システム1a、1b、1cにおいて、公開情報部分以外の部分の情報をハッシュ値として保存したことによって、断片情報の単位での漏洩のリスクを低減できる。
【0068】
なお、この変形例では、個人情報5を構成する複数の断片情報を複数の情報システム1a、1b、1cに分散して保存する必要はない。
【0069】
<第3の変形例>
上記第1の実施形態では、情報システムから攻撃行為によってハッシュ値が漏洩した場合、そのハッシュ値を使った他の情報システムへの不正アクセスによって他の情報システムに保存された断片情報までもが漏洩してしまう可能性を必ずしも否定できない。そこで、情報システムの制御部10が、自情報システムからのハッシュ値の漏洩を検出したならば、漏洩したハッシュ値が示す断片情報が保存された他の情報システムに対して、該当する断片情報のアクセス禁止を要求するとともに、自情報システムに登録されたハッシュ値を無効化して新しいハッシュ値に更新する。
上記第1の実施形態では、情報システムから攻撃行為によってハッシュ値が漏洩した場合、そのハッシュ値を使った他の情報システムへの不正アクセスによって他の情報システムに保存された断片情報までもが漏洩してしまう可能性を必ずしも否定できない。そこで、情報システムの制御部10が、自情報システムからのハッシュ値の漏洩を検出したならば、漏洩したハッシュ値が示す断片情報が保存された他の情報システムに対して、該当する断片情報のアクセス禁止を要求するとともに、自情報システムに登録されたハッシュ値を無効化して新しいハッシュ値に更新する。
【0070】
例えば、図9Aに示すように、3つの情報システム1a、1b、1cのなかの1つの第3の情報システム1cに対する攻撃によって断片情報A、B、C、Dへのハッシュ値が漏洩したとする。第3の情報システム1cの制御部10は、このハッシュ値漏洩を検出すると、直ちに他の情報システム1a、1bに、漏洩したハッシュ値が示す断片情報に対するアクセスの失効(Revocation)を要求する。第1の情報システム1aの制御部10は、この失効(Revocation)要求に応じて、図9Bに示すように、漏洩したハッシュ値が示す断片情報C、Dへのアクセスを禁止状態にする。同様に、第2の情報システム1bの制御部10も、失効(Revocation)要求に応じて、図9Bに示すように、漏洩したハッシュ値が示す断片情報A、Bへのアクセスを禁止状態にする。続いて、第3の情報システム1cの制御部10は、図9Cに示すように、漏洩したハッシュ値に代わる新たなハッシュ値(NEW_HASH)を生成し、この新たなハッシュ値(NEW_HASH)を漏洩した古いハッシュ値と入れ替え、この新たなハッシュ値(NEW_HASH)を含むリハッシュ要求を第1の情報銀行システムと第2の情報システム1bにそれぞれ送信する。第1の情報銀行システムと第2の情報システム1bのそれぞれの制御部10は、リハッシュ要求を受けると、このリハッシュ要求に含まれる新たなハッシュ値(NEW_HASH)で自身のハッシュテーブル13をそれぞれ更新する。
【0071】
これにより、情報システムから漏洩したハッシュ値による他の情報システムからの断片情報漏洩を防止することができる。
【0072】
<第4の変形例>
情報銀行毎に預けられた断片情報を指定するハッシュ値は、情報銀行毎に決められた権限機関による公開鍵暗号化が行われたものとしてもよい。
例えば図10に示すように、第1の情報システム1aには個人情報を構成する複数の断片情報C、D、E、Fのうちの断片情報C、Dが保存され、第3の情報システム1cには複数の断片情報E、Fが保存され、さらに第1の情報システム1aには第3の情報システム1cに保存された断片情報E、Fのハッシュ値が保存され、第3の情報システム1cには第1の情報システム1aに保存された断片情報C、Dのハッシュ値が保存されているものとする。
ここで、断片情報C、Dのハッシュ値は機関Xによる公開鍵暗号化が施され、断片情報E、Fのハッシュ値は機関Yによる公開鍵暗号化が施される。このため、第3の情報システム1cから第1の情報システム1aに対し、断片情報C、Dをハッシュ値で取得するためには、暗号化されたハッシュ値(Coded_HASH)が機関Xによって復号されなければならない。同様に、第1の情報システム1aから第3の情報システム1cに対し、断片情報E、Fをハッシュ値で取得するためには、その暗号化されたハッシュ値(Coded_HASH)が機関Yによって復号されなければならない。
情報銀行毎に預けられた断片情報を指定するハッシュ値は、情報銀行毎に決められた権限機関による公開鍵暗号化が行われたものとしてもよい。
例えば図10に示すように、第1の情報システム1aには個人情報を構成する複数の断片情報C、D、E、Fのうちの断片情報C、Dが保存され、第3の情報システム1cには複数の断片情報E、Fが保存され、さらに第1の情報システム1aには第3の情報システム1cに保存された断片情報E、Fのハッシュ値が保存され、第3の情報システム1cには第1の情報システム1aに保存された断片情報C、Dのハッシュ値が保存されているものとする。
ここで、断片情報C、Dのハッシュ値は機関Xによる公開鍵暗号化が施され、断片情報E、Fのハッシュ値は機関Yによる公開鍵暗号化が施される。このため、第3の情報システム1cから第1の情報システム1aに対し、断片情報C、Dをハッシュ値で取得するためには、暗号化されたハッシュ値(Coded_HASH)が機関Xによって復号されなければならない。同様に、第1の情報システム1aから第3の情報システム1cに対し、断片情報E、Fをハッシュ値で取得するためには、その暗号化されたハッシュ値(Coded_HASH)が機関Yによって復号されなければならない。
【0073】
これにより、漏洩したハッシュ値を用いた断片情報の不正取得に対する耐性をより一層強化することができる。さらに、一度復号化されたハッシュ値は無効化されるように、各機関X、Yで改めて公開鍵暗号化が行われた新たなハッシュ値を生成して、各情報システム1a、1cのデータベース14およびハッシュテーブル13を更新してもよい。
【0074】
<第5の変形例>
ハッシュ値に対して、該当する断片情報を保有する情報システムを特定する方法として、上記第1の実施形態では、ハッシュ値に銀行IDを付加する方法を採用したが、予め情報システム毎にハッシュ値のレンジを決めておく方法も考えられる。
さらに、図11に示すように、ハッシュ値またはハッシュ値レンジと銀行とのマッピングを管理するリポジトリ51を用意し、各情報システムが、他情報システムにハッシュ値を用いて断片情報を要求する都度、リポジトリ51に、そのハッシュ値に対応する情報システムを問い合わせる方法がある。
ハッシュ値に対して、該当する断片情報を保有する情報システムを特定する方法として、上記第1の実施形態では、ハッシュ値に銀行IDを付加する方法を採用したが、予め情報システム毎にハッシュ値のレンジを決めておく方法も考えられる。
さらに、図11に示すように、ハッシュ値またはハッシュ値レンジと銀行とのマッピングを管理するリポジトリ51を用意し、各情報システムが、他情報システムにハッシュ値を用いて断片情報を要求する都度、リポジトリ51に、そのハッシュ値に対応する情報システムを問い合わせる方法がある。
【0075】
<第6の変形例>
所有者端末2に、複数の情報システムに分散して保存した複数の断片情報のハッシュ値を保持する機能を設けることによって、各情報システムに保存された断片情報を更新したい場合に、第5の変形例で挙げたリポジトリ51に対し、ハッシュ値を用いて断片情報を要求する先の情報システムを問い合わせ、その情報システムに対して、ハッシュ値を指定してデータベース14の断片情報の更新を行うようにしてもよい。
所有者端末2に、複数の情報システムに分散して保存した複数の断片情報のハッシュ値を保持する機能を設けることによって、各情報システムに保存された断片情報を更新したい場合に、第5の変形例で挙げたリポジトリ51に対し、ハッシュ値を用いて断片情報を要求する先の情報システムを問い合わせ、その情報システムに対して、ハッシュ値を指定してデータベース14の断片情報の更新を行うようにしてもよい。
【0076】
<第7の変形例>
上記の第1の実施形態では、図2に示したように、複数の情報システム1a、1b、1cに情報所有者U1の個人情報5を構成する複数の断片情報A-Fのうち、第1の情報システム1aには、断片情報C、Dと、断片情報A、Bのハッシュ値と、断片情報E、Fのハッシュ値とが1つのレコードとして保存され、第2の情報システム1bには、断片情報A、Bと、断片情報C、Dのハッシュ値と、断片情報E、Fのハッシュ値が1つのレコードとして保存され、第3の情報システム1cには、断片情報E、Fと、断片情報A、Bのハッシュ値と、断片情報C、Dのハッシュ値が1つのレコードとして保存されることとした。これは、情報利用者U2が、どの情報システム1a、1b、1cに対するアクセスを開始しても、個人情報5を構成するすべての断片情報A-Fをアクセス開始先の情報システムで揃い集めることができるためである。これに対し、例えばアクセス開始先の情報システムが固定されるような場合、例えば、第3の情報システム1cが情報利用者U2からの情報要求を受けることが決められているような場合には、例えば、図12に示すように、ハッシュ値については、第3の情報システム1cにだけ保存し、他の情報システム1a、1bには断片情報だけを保存するようにしてもよい。また、このような保存方針を所有者端末2において決定できるようにしてもよい。
上記の第1の実施形態では、図2に示したように、複数の情報システム1a、1b、1cに情報所有者U1の個人情報5を構成する複数の断片情報A-Fのうち、第1の情報システム1aには、断片情報C、Dと、断片情報A、Bのハッシュ値と、断片情報E、Fのハッシュ値とが1つのレコードとして保存され、第2の情報システム1bには、断片情報A、Bと、断片情報C、Dのハッシュ値と、断片情報E、Fのハッシュ値が1つのレコードとして保存され、第3の情報システム1cには、断片情報E、Fと、断片情報A、Bのハッシュ値と、断片情報C、Dのハッシュ値が1つのレコードとして保存されることとした。これは、情報利用者U2が、どの情報システム1a、1b、1cに対するアクセスを開始しても、個人情報5を構成するすべての断片情報A-Fをアクセス開始先の情報システムで揃い集めることができるためである。これに対し、例えばアクセス開始先の情報システムが固定されるような場合、例えば、第3の情報システム1cが情報利用者U2からの情報要求を受けることが決められているような場合には、例えば、図12に示すように、ハッシュ値については、第3の情報システム1cにだけ保存し、他の情報システム1a、1bには断片情報だけを保存するようにしてもよい。また、このような保存方針を所有者端末2において決定できるようにしてもよい。
【0077】
(本開示の情報銀行システムの効果)
以上のように、本技術の情報銀行システム100によれば、個人情報を構成する複数の断片情報を複数の情報システムへ分散して保存するため、仮に不正な情報利用者による一部の情報システムへの攻撃による不正侵入によって、その情報システムに開示情報として保存された断片情報の漏洩が生じたとしても、漏洩した断片情報は個人情報5を構成する複数の断片情報の一部に過ぎないため、被害を低く抑えることができる。また、ハッシュ値が示す断片情報は別の情報システムに保存されているので、不正な情報利用者は、その情報システムにも攻撃行為を通じて侵入を図る必要がある。これにより、情報漏洩耐性の高い情報銀行システムが得られる。
以上のように、本技術の情報銀行システム100によれば、個人情報を構成する複数の断片情報を複数の情報システムへ分散して保存するため、仮に不正な情報利用者による一部の情報システムへの攻撃による不正侵入によって、その情報システムに開示情報として保存された断片情報の漏洩が生じたとしても、漏洩した断片情報は個人情報5を構成する複数の断片情報の一部に過ぎないため、被害を低く抑えることができる。また、ハッシュ値が示す断片情報は別の情報システムに保存されているので、不正な情報利用者は、その情報システムにも攻撃行為を通じて侵入を図る必要がある。これにより、情報漏洩耐性の高い情報銀行システムが得られる。
【0078】
情報の利用を情報システム単位で認可することによって情報の開示範囲を制御することができる。さらに、所有者端末2で決定される分散方針によって、各情報システムに公開情報として保存する断片情報の種別の組み合わせを、万が一情報が漏洩しても情報所有者U1が実効的な被害を被らないように定めることができる。例えば、購入情報、位置情報、時間情報が存在する場合において、位置情報と時刻情報が1つの情報システムに保存されることは、万が一これらの情報が漏洩した場合に情報所有者U1のプライバシーが損なわれる可能性があるので、このような組み合わせを避けるように情報利用者U2は所有者端末2上で分散方針を決定することができる。
【0079】
一方、情報システムは、情報所有者U1によって情報公開の認可が情報システム単位で制限されていたとしても、情報公開が認可された断片情報の範囲で統計的な処理を通して有益な情報を生成し、情報利用者U2に提供することができる。例えば、購入情報、位置情報、時間情報が存在する場合において、位置情報を保存する情報システムの開示情報の利用を情報所有者U1が認可していなくも、購入情報と時間情報を保存する他の情報システムの開示情報の利用を情報所有者U1が認可している場合には、情報処理部16によって、商品の売れる時間帯の分析などの情報処理を行い得る。あるいは、位置情報を保存する情報システムの開示情報の利用のみを情報所有者U1が認可している場合には、情報処理部16によって、人口分析などの情報処理を行い得る。
【0080】
権限機関によるハッシュ値の公開鍵暗号化により、たとえば、裁判所の開示命令がなければ、権限機関より権限の低い利用者はすべての情報にアクセスすることはできない、といった堅牢性が実現される。
【0081】
本開示の情報銀行システム100はゴミ収集機関によるゴミ出しの中身を情報化するシステムへの応用も考えられる。個人が出したゴミには個人情報が多く含まれており、ゴミの情報と個人情報とを複数の情報システムに分散して保存することによって、個人のプライバシーを保護しつつ、例えばゴミ収集機関と警察の双方の許諾がそろった条件で、悪質なゴミだしをした個人を特定することができる。
【0082】
リポジトリ51を介することで、情報銀行の新規参入や撤退、合従連衡といった動的な変化に対してハッシュ値を作り直すことなく、より迅速な対応が可能になる。またこれらの変化に伴う情報システム間での保有情報の移行も可能である。情報システムの構成が変わらない場合でも、情報システム間の保有情報の取引も同様に可能になる。
【0083】
断片情報の分散方針は、センサーなどのデバイスごとのプリセットに基づいて行うことができる。この場合、漏洩時のリスクが大きくなるような情報の組み合わせを避けるように、デバイスベンダと情報システムの運営主体との協議によって断片情報の最適な保存先を決めるようにしてもよい。
【0084】
[本技術の別の構成]
なお、本技術は以下のような構成も採ることができる。
(1)情報所有者の個人情報を構成する複数の断片情報のうちの1以上の断片情報と、他のすべての断片情報をそれぞれ示す1以上のハッシュ値とを保存する保存部と、
情報利用者からの情報要求を受け、前記保存部から該当する1以上の断片情報および1以上のハッシュ値を取り出し、前記複数の断片情報のうち前記保存された断片情報以外の断片情報が保存された他の情報システムに、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報を要求する制御部と、
を具備する情報システム。
(2)上記(1)に記載の情報システムであって、
前記他の情報システムが複数あり、それぞれの他の情報システムには、前記複数の断片情報のうち前記保存部に保存された断片情報以外のすべての断片情報が分散して保存され、
前記制御部は、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報をそれぞれ前記他の複数の情報システムに要求するように構成された
情報システム。
(3)前記(1)または(2)に記載の情報システムであって、
前記制御部は、前記取り出した1以上の断片情報および前記他の情報システムから取得した1以上の断片情報に基づいて情報処理を行い、その結果を前記情報利用者の端末に応答するように構成された
情報システム。
(4)前記(1)から(3)のいずれかに記載の情報システムであって、
前記制御部は、前記保存部の前記ハッシュ値の漏洩を検出した場合、前記漏洩したハッシュ値が示す断片情報が保存された他の情報システムに対して当該断片情報のアクセス禁止を要求するとともに、前記漏洩したハッシュ値を無効化して新しいハッシュ値に更新するように構成された
情報システム。
(5)前記(1)から(4)のいずれかに記載の情報システムであって、
前記複数の断片情報が、前記情報所有者の行動に付随して同期的に生成される互いに異なる属性の複数の情報である
情報システム。
(6)前記(1)から(4)のうちいずれかに記載の情報システムであって、
前記複数の断片情報が、前記個人情報を構造的に断片化した複数の情報である
情報システム。
(7)前記(6)に記載の情報システムであって、
前記個人情報が所定の桁数を有する数値列であり、前記複数の断片情報が、前記数値列を桁毎の数値に断片化した複数の情報である
情報システム。
(8)前記(1)から(7)のうちいずれかに記載の情報システムであって、
前記ハッシュ値は、権限機関によって公開鍵暗号化されたハッシュ値である
情報システム。
(9)前記(1)から(8)のうちいずれかに記載の情報システムであって、
前記ハッシュ値には、当該ハッシュ値が示す断片情報が保存された前記他の情報システムを特定する識別情報が付加され、
前記制御部は、前記識別情報により特定される前記他の情報システムに、当該ハッシュ値が示す断片情報を要求するように構成された
情報システム。
(10)前記(1)から(8)のうちいずれかに記載の情報システムであって、
前記ハッシュ値は、前記他の情報システム毎に決められたレンジ内で与えられる
情報システム。
(11)前記(1)から(8)のうちいずれかに記載の情報システムであって、
前記制御部は、前記ハッシュ値と前記他の情報システムとのマッピングを管理するリポジトリに問い合わせて、当該ハッシュ値が示す断片情報が保存された他の情報システムを特定するように構成された
情報システム。
(12)情報所有者の個人情報を構成する複数の断片情報を生成し、前記生成される複数の断片情報のハッシュ値を生成し、複数の断片情報およびこれらの断片情報の複数のハッシュ値のうち、1以上の断片情報と当該断片情報以外の1以上の断片情報の1以上のハッシュ値との組み合わせをネットワークを通じて接続された複数の情報システムのうちの1つの情報システムに保存されるように転送し、前記情報システムに保存された1以上のハッシュ値がそれぞれ示す1以上の断片情報を他の1以上の情報システムにそれぞれ分散して保存されるように転送する制御部と
を具備する情報端末。
(13)前記(12)に記載の情報端末であって、
前記制御部は、前記複数の情報システムに、複数の断片情報を分散して保存し、それぞれの情報システム毎に、保存された1以上の断片情報以外のすべての断片情報それぞれのハッシュ値を保存するように構成された
情報端末。
(14)前記(12)または(13)に記載の情報端末であって、
前記制御部は、複数の情報システムにそれぞれ分散して保存する断片情報の種類の決定をグラフィカル・ユーザインタフェースを用いて支援するように構成された
情報端末。
(15)前記(14)に記載の情報端末であって、
前記制御部は、1つの情報システムに保存する複数の種類の断片情報を決定する際、リスク管理上好ましい断片情報の組み合わせに関する情報に基づいて、前記情報所有者の意思決定をグラフィカル・ユーザインタフェースを通して案内するように構成された
情報端末。
(16)制御部が、
情報利用者の端末からの情報要求を受け、個人情報を構成する複数の断片情報のうちの1以上の断片情報と、他の1以上の断片情報をそれぞれ示す1以上のハッシュ値とを保存する保存部から該当する1以上の断片情報および1以上のハッシュ値を取り出し、
前記複数の断片情報のうち前記保存部に保存された断片情報以外の断片情報が保存された他の情報システムに、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報を要求する
情報処理方法。
(17)上記(16)に記載の情報処理方法であって、
前記他の情報システムが複数あり、それぞれの他の情報システムには、前記複数の断片情報のうち前記保存部に保存された断片情報以外のすべての断片情報が分散して保存され、
前記制御部は、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報をそれぞれ前記他の複数の情報システムに要求する
情報処理方法。
(18)前記(16)または(17)に記載の情報処理方法であって、
前記制御部は、前記取り出した1以上の断片情報および前記他の情報システムから取得した1以上の断片情報に基づいて情報処理を行い、その結果を前記情報利用者の端末に応答する
情報処理方法。
(19)前記(16)から(18)のいずれかに記載の情報処理方法であって、
前記制御部は、前記保存部の前記ハッシュ値の漏洩を検出した場合、前記漏洩したハッシュ値が示す断片情報が保存された他の情報システムに対して当該断片情報のアクセス禁止を要求するとともに、前記漏洩したハッシュ値を無効化して新しいハッシュ値に更新する
情報処理方法。
(20)前記(16)から(19)のいずれかに記載の情報処理方法であって、
前記複数の断片情報が、前記情報所有者の行動に付随して同期的に生成される互いに異なる属性の複数の情報である
情報処理方法。
(21)前記(16)から(19)のうちいずれかに記載の情報処理方法であって、
前記複数の断片情報が、前記個人情報を構造的に断片化した複数の情報である
情報処理方法。
(22)前記(21)に記載の情報処理方法であって、
前記個人情報が所定の桁数を有する数値列であり、前記複数の断片情報が、前記数値列を桁毎の数値に断片化した複数の情報である
情報処理方法。
(23)前記(16)から(22)のうちいずれかに記載の情報処理方法であって、
前記ハッシュ値は、権限機関によって公開鍵暗号化されたハッシュ値である
情報処理方法。
(24)前記(16)から(23)のうちいずれかに記載の情報処理方法であって、
前記ハッシュ値には、当該ハッシュ値が示す断片情報が保存された前記他の情報システムを特定する識別情報が付加され、
前記制御部は、前記識別情報により特定される前記他の情報システムに、当該ハッシュ値が示す断片情報を要求する
情報処理方法。
(25)前記(16)から(23)のうちいずれかに記載の情報処理方法であって、
前記ハッシュ値は、前記他の情報システム毎に決められたレンジ内で与えられる
情報処理方法。
(26)前記(16)から(23)のうちいずれかに記載の情報処理方法であって、
前記制御部は、前記ハッシュ値と前記他の情報システムとのマッピングを管理するリポジトリに問い合わせて、当該ハッシュ値が示す断片情報が保存された他の情報システムを特定するように構成された
情報処理方法。
(27)制御部が、情報所有者の個人情報を構成する複数の断片情報を生成し、
前記生成される複数の断片情報のハッシュ値を生成し、複数の断片情報およびこれらの断片情報の複数のハッシュ値のうち、1以上の断片情報と当該断片情報以外の1以上の断片情報の1以上のハッシュ値との組み合わせをネットワークを通じて接続された複数の情報システムのうちの1つの情報システムに保存されるように転送し、前記情報システムに保存された1以上のハッシュ値がそれぞれ示す1以上の情報を他の1以上の情報システムにそれぞれ分散して保存されるように転送する
情報提供方法。
(28)前記(27)に記載の情報提供方法であって、
前記制御部は、前記複数の情報システムに、複数の断片情報を分散して保存し、それぞれの情報システム毎に、保存された1以上の断片情報以外のすべての断片情報それぞれのハッシュ値を保存する
情報提供方法。
(29)前記(27)または(28)に記載の情報提供方法であって、
前記制御部は、複数の情報システムにそれぞれ分散して保存する断片情報の種類の決定をグラフィカル・ユーザインタフェースを用いて支援する
情報提供方法。
(30)前記(29)に記載の情報提供方法であって、
前記制御部は、1つの情報システムに保存する複数の種類の断片情報を決定する際、リスク管理上好ましい断片情報の組み合わせに関する情報に基づいて、前記情報所有者の意思決定をグラフィカル・ユーザインタフェースを通して案内する
情報提供方法。
なお、本技術は以下のような構成も採ることができる。
(1)情報所有者の個人情報を構成する複数の断片情報のうちの1以上の断片情報と、他のすべての断片情報をそれぞれ示す1以上のハッシュ値とを保存する保存部と、
情報利用者からの情報要求を受け、前記保存部から該当する1以上の断片情報および1以上のハッシュ値を取り出し、前記複数の断片情報のうち前記保存された断片情報以外の断片情報が保存された他の情報システムに、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報を要求する制御部と、
を具備する情報システム。
(2)上記(1)に記載の情報システムであって、
前記他の情報システムが複数あり、それぞれの他の情報システムには、前記複数の断片情報のうち前記保存部に保存された断片情報以外のすべての断片情報が分散して保存され、
前記制御部は、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報をそれぞれ前記他の複数の情報システムに要求するように構成された
情報システム。
(3)前記(1)または(2)に記載の情報システムであって、
前記制御部は、前記取り出した1以上の断片情報および前記他の情報システムから取得した1以上の断片情報に基づいて情報処理を行い、その結果を前記情報利用者の端末に応答するように構成された
情報システム。
(4)前記(1)から(3)のいずれかに記載の情報システムであって、
前記制御部は、前記保存部の前記ハッシュ値の漏洩を検出した場合、前記漏洩したハッシュ値が示す断片情報が保存された他の情報システムに対して当該断片情報のアクセス禁止を要求するとともに、前記漏洩したハッシュ値を無効化して新しいハッシュ値に更新するように構成された
情報システム。
(5)前記(1)から(4)のいずれかに記載の情報システムであって、
前記複数の断片情報が、前記情報所有者の行動に付随して同期的に生成される互いに異なる属性の複数の情報である
情報システム。
(6)前記(1)から(4)のうちいずれかに記載の情報システムであって、
前記複数の断片情報が、前記個人情報を構造的に断片化した複数の情報である
情報システム。
(7)前記(6)に記載の情報システムであって、
前記個人情報が所定の桁数を有する数値列であり、前記複数の断片情報が、前記数値列を桁毎の数値に断片化した複数の情報である
情報システム。
(8)前記(1)から(7)のうちいずれかに記載の情報システムであって、
前記ハッシュ値は、権限機関によって公開鍵暗号化されたハッシュ値である
情報システム。
(9)前記(1)から(8)のうちいずれかに記載の情報システムであって、
前記ハッシュ値には、当該ハッシュ値が示す断片情報が保存された前記他の情報システムを特定する識別情報が付加され、
前記制御部は、前記識別情報により特定される前記他の情報システムに、当該ハッシュ値が示す断片情報を要求するように構成された
情報システム。
(10)前記(1)から(8)のうちいずれかに記載の情報システムであって、
前記ハッシュ値は、前記他の情報システム毎に決められたレンジ内で与えられる
情報システム。
(11)前記(1)から(8)のうちいずれかに記載の情報システムであって、
前記制御部は、前記ハッシュ値と前記他の情報システムとのマッピングを管理するリポジトリに問い合わせて、当該ハッシュ値が示す断片情報が保存された他の情報システムを特定するように構成された
情報システム。
(12)情報所有者の個人情報を構成する複数の断片情報を生成し、前記生成される複数の断片情報のハッシュ値を生成し、複数の断片情報およびこれらの断片情報の複数のハッシュ値のうち、1以上の断片情報と当該断片情報以外の1以上の断片情報の1以上のハッシュ値との組み合わせをネットワークを通じて接続された複数の情報システムのうちの1つの情報システムに保存されるように転送し、前記情報システムに保存された1以上のハッシュ値がそれぞれ示す1以上の断片情報を他の1以上の情報システムにそれぞれ分散して保存されるように転送する制御部と
を具備する情報端末。
(13)前記(12)に記載の情報端末であって、
前記制御部は、前記複数の情報システムに、複数の断片情報を分散して保存し、それぞれの情報システム毎に、保存された1以上の断片情報以外のすべての断片情報それぞれのハッシュ値を保存するように構成された
情報端末。
(14)前記(12)または(13)に記載の情報端末であって、
前記制御部は、複数の情報システムにそれぞれ分散して保存する断片情報の種類の決定をグラフィカル・ユーザインタフェースを用いて支援するように構成された
情報端末。
(15)前記(14)に記載の情報端末であって、
前記制御部は、1つの情報システムに保存する複数の種類の断片情報を決定する際、リスク管理上好ましい断片情報の組み合わせに関する情報に基づいて、前記情報所有者の意思決定をグラフィカル・ユーザインタフェースを通して案内するように構成された
情報端末。
(16)制御部が、
情報利用者の端末からの情報要求を受け、個人情報を構成する複数の断片情報のうちの1以上の断片情報と、他の1以上の断片情報をそれぞれ示す1以上のハッシュ値とを保存する保存部から該当する1以上の断片情報および1以上のハッシュ値を取り出し、
前記複数の断片情報のうち前記保存部に保存された断片情報以外の断片情報が保存された他の情報システムに、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報を要求する
情報処理方法。
(17)上記(16)に記載の情報処理方法であって、
前記他の情報システムが複数あり、それぞれの他の情報システムには、前記複数の断片情報のうち前記保存部に保存された断片情報以外のすべての断片情報が分散して保存され、
前記制御部は、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報をそれぞれ前記他の複数の情報システムに要求する
情報処理方法。
(18)前記(16)または(17)に記載の情報処理方法であって、
前記制御部は、前記取り出した1以上の断片情報および前記他の情報システムから取得した1以上の断片情報に基づいて情報処理を行い、その結果を前記情報利用者の端末に応答する
情報処理方法。
(19)前記(16)から(18)のいずれかに記載の情報処理方法であって、
前記制御部は、前記保存部の前記ハッシュ値の漏洩を検出した場合、前記漏洩したハッシュ値が示す断片情報が保存された他の情報システムに対して当該断片情報のアクセス禁止を要求するとともに、前記漏洩したハッシュ値を無効化して新しいハッシュ値に更新する
情報処理方法。
(20)前記(16)から(19)のいずれかに記載の情報処理方法であって、
前記複数の断片情報が、前記情報所有者の行動に付随して同期的に生成される互いに異なる属性の複数の情報である
情報処理方法。
(21)前記(16)から(19)のうちいずれかに記載の情報処理方法であって、
前記複数の断片情報が、前記個人情報を構造的に断片化した複数の情報である
情報処理方法。
(22)前記(21)に記載の情報処理方法であって、
前記個人情報が所定の桁数を有する数値列であり、前記複数の断片情報が、前記数値列を桁毎の数値に断片化した複数の情報である
情報処理方法。
(23)前記(16)から(22)のうちいずれかに記載の情報処理方法であって、
前記ハッシュ値は、権限機関によって公開鍵暗号化されたハッシュ値である
情報処理方法。
(24)前記(16)から(23)のうちいずれかに記載の情報処理方法であって、
前記ハッシュ値には、当該ハッシュ値が示す断片情報が保存された前記他の情報システムを特定する識別情報が付加され、
前記制御部は、前記識別情報により特定される前記他の情報システムに、当該ハッシュ値が示す断片情報を要求する
情報処理方法。
(25)前記(16)から(23)のうちいずれかに記載の情報処理方法であって、
前記ハッシュ値は、前記他の情報システム毎に決められたレンジ内で与えられる
情報処理方法。
(26)前記(16)から(23)のうちいずれかに記載の情報処理方法であって、
前記制御部は、前記ハッシュ値と前記他の情報システムとのマッピングを管理するリポジトリに問い合わせて、当該ハッシュ値が示す断片情報が保存された他の情報システムを特定するように構成された
情報処理方法。
(27)制御部が、情報所有者の個人情報を構成する複数の断片情報を生成し、
前記生成される複数の断片情報のハッシュ値を生成し、複数の断片情報およびこれらの断片情報の複数のハッシュ値のうち、1以上の断片情報と当該断片情報以外の1以上の断片情報の1以上のハッシュ値との組み合わせをネットワークを通じて接続された複数の情報システムのうちの1つの情報システムに保存されるように転送し、前記情報システムに保存された1以上のハッシュ値がそれぞれ示す1以上の情報を他の1以上の情報システムにそれぞれ分散して保存されるように転送する
情報提供方法。
(28)前記(27)に記載の情報提供方法であって、
前記制御部は、前記複数の情報システムに、複数の断片情報を分散して保存し、それぞれの情報システム毎に、保存された1以上の断片情報以外のすべての断片情報それぞれのハッシュ値を保存する
情報提供方法。
(29)前記(27)または(28)に記載の情報提供方法であって、
前記制御部は、複数の情報システムにそれぞれ分散して保存する断片情報の種類の決定をグラフィカル・ユーザインタフェースを用いて支援する
情報提供方法。
(30)前記(29)に記載の情報提供方法であって、
前記制御部は、1つの情報システムに保存する複数の種類の断片情報を決定する際、リスク管理上好ましい断片情報の組み合わせに関する情報に基づいて、前記情報所有者の意思決定をグラフィカル・ユーザインタフェースを通して案内する
情報提供方法。
【符号の説明】
【0085】
U1…情報所有者
U2…情報利用者
1…クラウド
1a…第1の情報システム
1b…第2の情報システム
1c…第3の情報システム
2…所有者端末
3…利用者端末
5…個人情報
10…情報システムの制御部
11…情報受信部
12…情報更新部
13…ハッシュテーブル
14…データベース
15…情報要求受信部
16…情報処理部
17…情報返信部
18…クエリ実施部
19a…他行クエリ送信部
19b…他行データ受信部
19c…クエリ受信部
19d…データ返信部
20…所有者端末の制御部
21…情報生成部
22…情報収集部
23…分散方針決定部
24…情報断片化部
25…ハッシュ生成器
26…情報送信部
31…情報要求送信部
32…情報結果受信部
51…リポジトリ
100…情報銀行システム
U2…情報利用者
1…クラウド
1a…第1の情報システム
1b…第2の情報システム
1c…第3の情報システム
2…所有者端末
3…利用者端末
5…個人情報
10…情報システムの制御部
11…情報受信部
12…情報更新部
13…ハッシュテーブル
14…データベース
15…情報要求受信部
16…情報処理部
17…情報返信部
18…クエリ実施部
19a…他行クエリ送信部
19b…他行データ受信部
19c…クエリ受信部
19d…データ返信部
20…所有者端末の制御部
21…情報生成部
22…情報収集部
23…分散方針決定部
24…情報断片化部
25…ハッシュ生成器
26…情報送信部
31…情報要求送信部
32…情報結果受信部
51…リポジトリ
100…情報銀行システム
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9A】
【図9B】
【図9C】
【図10】
【図11】
【図12】