IP Force 特許公報掲載プロジェクト 2022.1.31 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社日立製作所の特許一覧

特許7590925機微データ管理システムおよび機微データ管理方法
<>
  • 特許-機微データ管理システムおよび機微データ管理方法 図1
  • 特許-機微データ管理システムおよび機微データ管理方法 図2
  • 特許-機微データ管理システムおよび機微データ管理方法 図3
  • 特許-機微データ管理システムおよび機微データ管理方法 図4
  • 特許-機微データ管理システムおよび機微データ管理方法 図5
  • 特許-機微データ管理システムおよび機微データ管理方法 図6
  • 特許-機微データ管理システムおよび機微データ管理方法 図7
  • 特許-機微データ管理システムおよび機微データ管理方法 図8
  • 特許-機微データ管理システムおよび機微データ管理方法 図9A
  • 特許-機微データ管理システムおよび機微データ管理方法 図9B
  • 特許-機微データ管理システムおよび機微データ管理方法 図9C
  • 特許-機微データ管理システムおよび機微データ管理方法 図9D
  • 特許-機微データ管理システムおよび機微データ管理方法 図9E
  • 特許-機微データ管理システムおよび機微データ管理方法 図9F
  • 特許-機微データ管理システムおよび機微データ管理方法 図9G
  • 特許-機微データ管理システムおよび機微データ管理方法 図10
  • 特許-機微データ管理システムおよび機微データ管理方法 図11
  • 特許-機微データ管理システムおよび機微データ管理方法 図12
  • 特許-機微データ管理システムおよび機微データ管理方法 図13
  • 特許-機微データ管理システムおよび機微データ管理方法 図14
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-11-19
(45)【発行日】2024-11-27
(54)【発明の名称】機微データ管理システムおよび機微データ管理方法
(51)【国際特許分類】
   G06F 21/62 20130101AFI20241120BHJP
【FI】
G06F21/62 345
【請求項の数】 10
(21)【出願番号】P 2021091003
(22)【出願日】2021-05-31
(65)【公開番号】P2022183596
(43)【公開日】2022-12-13
【審査請求日】2024-02-13
(73)【特許権者】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110000176
【氏名又は名称】弁理士法人一色国際特許事務所
(72)【発明者】
【氏名】池川 航史
(72)【発明者】
【氏名】西島 直
(72)【発明者】
【氏名】小澤 洋司
【審査官】塩澤 如正
(56)【参考文献】
【文献】国際公開第2021/009789(WO,A1)
【文献】特開2018-132931(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/62
(57)【特許請求の範囲】
【請求項1】
複数の組織により機微データの利活用を行う分散台帳システムであって、
前記組織それぞれのノードは、自身の分散台帳において、各組織が所有する機微データのメタデータを保持し、プライベートストレージにおいて、自組織が所有者となっている機微データの実データを保持して、
前記機微データに対する利用権限の申請および承認のワークフローをスマートコントラクトにより実行し、当該利用権限に関するワークフローの結果を前記分散台帳に格納する処理と、前記プライベートストレージに保管する機微データに関して処理要求を受けた場合、当該機微データに対する前記利用権限を確認し、当該利用権限に応じて処理を実行して、当該処理の経緯に関するログを分散台帳に格納し、前記機微データに関して受けた前記処理要求に応じた前記処理の結果のみを前記処理要求の発信元に応答する処理を実行するものである、
ことを特徴とする機微データ管理システム。
【請求項2】
前記組織のノードは、
前記機微データに対する各種処理を、Trusted Execution Environmentを用いて実行するものである、
ことを特徴とする請求項1に記載の機微データ管理システム。
【請求項3】
前記組織のノードは、
前記処理要求として、前記機微データの提供先たる前記組織に対する、当該機微データの提供者の意向であって、当該機微データの削除または利用権限の剥奪の要求を受けた場合、前記Trusted Execution Environment上で、当該処理要求に対応する処理を実行し、当該処理の経緯に関するログを前記分散台帳に格納するものである、
ことを特徴とする請求項2に記載の機微データ管理システム。
【請求項4】
前記組織のノードは、
前記機微データを起点に、前記機微データに関して受けた前記処理要求に応じた前記処理により順次生成されていく、一連のN次データの関係性を前記処理の経緯に関するログとして分散台帳にて管理するものである、
ことを特徴とする請求項2に記載の機微データ管理システム。
【請求項5】
前記機微データの利活用に関する監査用のノードは、
分散台帳で保持する前記メタデータに基づいて監査対象の機微データを特定して、前記分散台帳上で保持する当該機微データの処理のトランザクションを特定し、当該トランザクションと、前記機微データの前記ログが示す経緯とを照合することで、機微データを起点にした前記関係性の正しさ、または、機微データの正しさに関する監査処理を実行するものである、
ことを特徴とする請求項4に記載の機微データ管理システム。
【請求項6】
複数の組織により機微データの利活用を行う分散台帳システムにおいて、
前記組織それぞれのノードが、
自身の分散台帳において、各組織が所有する機微データのメタデータを保持し、プライベートストレージにおいて、自組織が所有者となっている機微データの実データを保持して、
前記機微データに対する利用権限の申請および承認のワークフローをスマートコントラクトにより実行し、当該利用権限に関するワークフローの結果を前記分散台帳に格納する処理と、前記プライベートストレージに保管する機微データに関して処理要求を受けた場合、当該機微データに対する前記利用権限を確認し、当該利用権限に応じて処理を実行して、当該処理の経緯に関するログを分散台帳に格納し、前記機微データに関して受けた前記処理要求に応じた前記処理の結果のみを前記処理要求の発信元に応答する処理、
を実行することを特徴とする機微データ管理方法。
【請求項7】
前記組織のノードが、
前記機微データに対する各種処理を、Trusted Execution Environmentを用いて実行する、
ことを特徴とする請求項6に記載の機微データ管理方法。
【請求項8】
前記組織のノードが、
前記処理要求として、前記機微データの提供先たる前記組織に対する、当該機微データの提供者の意向であって、当該機微データの削除または利用権限の剥奪の要求を受けた場合、前記Trusted Execution Environment上で、当該処理要求に対応する処理を実行し、当該処理の経緯に関するログを前記分散台帳に格納する、
ことを特徴とする請求項7に記載の機微データ管理方法。
【請求項9】
前記組織のノードが、
前記機微データを起点に、前記機微データに関して受けた前記処理要求に応じた前記処理により順次生成されていく、一連のN次データの関係性を前記処理の経緯に関するログとして分散台帳にて管理する、
ことを特徴とする請求項7に記載の機微データ管理方法。
【請求項10】
前記機微データの利活用に関する監査用のノードが、
分散台帳で保持する前記メタデータに基づいて監査対象の機微データを特定して、前記分散台帳上で保持する当該機微データの処理のトランザクションを特定し、当該トランザクションと、前記機微データの前記ログが示す経緯とを照合することで、機微データを起点にした前記関係性の正しさ、または、機微データの正しさに関する監査処理を実行する、
ことを特徴とする請求項9に記載の機微データ管理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、機微データ管理システムおよび機微データ管理方法に関するものである。
【背景技術】
【0002】
2019年に提唱されたDFFT(Data Free Flow with Trust)は、国や企業など組織間におけるデータ共有および利活用が焦点となっている。そこで、これを実現する一つの手段として、複数組織が同じ権限でシステム運用可能である、分散台帳技術の採用が想定される。
分散台帳技術は、従来において金融機関や政府といった信頼できる中央集権機関を経由して実施されてきた取引を、利用者間のP2P(Peer to Peer)による直接的な取引で代替する技術といえる。
【0003】
こうした分散台帳技術に関しては、様々な派生技術が提案され、進化を続けている。現状の主な特徴としては、(1)分散台帳への参加者間の取引において、中央集権機関ではなく(任意ないしは特定の)参加者による合意形成や承認によって取引を確定させること、(2)複数のトランザクションをブロックとしてまとめ、数珠つなぎにブロックチェーンと呼ばれる分散台帳に記録し、連続するブロックにハッシュ計算を施すことにより、改ざんを実質不可能にすること、(3)参加者全員が同一の台帳データを共有することにより、参加者全員での取引の確認を可能とすることが挙げられる。
【0004】
このような特徴を有する分散台帳技術は、信頼できるデータの管理/共有や、契約に基づく取引の執行/管理を行う仕組みとして、金融や製造業等、幅広い分野での応用が検討されている。
【0005】
一方で、分散台帳技術においては、参加組織全ての間で分散台帳を通じてデータ共有することになる。そのため、EU一般データ保護規則プライバシー保護(GDPR)などの法律に対応するためには、プライバシー保護が必要となる機微データを取り扱うことが困難である。
【0006】
なお、データの利活用に関する従来技術としては、データ処理ツールに手を加えることなくデータリネージュを生成する情報処理装置(特許文献1参照)などが提案されている。
【0007】
この情報処理装置は、自装置で実行中のプロセスの識別子を取得する取得部と、前記取得部によって取得された前記プロセスの識別子に基づいて、前記プロセスに対応するデータ処理ツールを特定する特定部と、前記特定部によって特定された前記データ処理ツールの動作中のスクリプトの記述内容を解析し、解析した結果に基づいて、入カデータ名と出カデータ名とを特定する解析部と、前記解析部によって特定された前記入カデータ名と前記出カデータ名とに基づいて、前記スクリプトに関するデータリネージュを生成する生成部と、を有するものである。
【先行技術文献】
【特許文献】
【0008】
【文献】WO2020/188779
【発明の概要】
【発明が解決しようとする課題】
【0009】
ところで、上述のような機微データの提供者としては、その預託先となる組織に対し、データ利活用に関する同意の剥奪や、データ自体の削除といった各種操作を依頼するケースもある。ところが、そうした操作が正しく行われたことを保証し、その監査を行う手立てが存在していない。この状況は、機微データたる個人情報や提供者の保護の観点からも、問題とすべき課題となっている。
そこで本発明の目的は、利活用される機微データをその提供者の意図に沿って、検証可能かつ正しく管理可能とする技術を提供することにある。
【課題を解決するための手段】
【0010】
上記課題を解決する本発明の機微データ管理システムは、複数の組織により機微データの利活用を行う分散台帳システムであって、前記組織それぞれのノードは、自身の分散台帳において、各組織が所有する機微データのメタデータを保持し、プライベートストレージにおいて、自組織が所有者となっている機微データの実データを保持して、前記機微データに対する利用権限の申請および承認のワークフローをスマートコントラクトにより実行し、当該利用権限に関するワークフローの結果を前記分散台帳に格納する処理と、前記プライベートストレージに保管する機微データに関して処理要求を受けた場合、当該機微データに対する前記利用権限を確認し、当該利用権限に応じて処理を実行して、当該処理の経緯に関するログを分散台帳に格納し、前記機微データに関して受けた前記処理要求に応じた前記処理の結果のみを前記処理要求の発信元に応答する処理を実行するものである、 ことを特徴とする。
また、本発明の機微データ管理方法は、複数の組織により機微データの利活用を行う分散台帳システムにおいて、前記組織それぞれのノードが、自身の分散台帳において、各組織が所有する機微データのメタデータを保持し、プライベートストレージにおいて、自組織が所有者となっている機微データの実データを保持して、前記機微データに対する利用権限の申請および承認のワークフローをスマートコントラクトにより実行し、当該利用権限に関するワークフローの結果を前記分散台帳に格納する処理と、前記プライベートストレージに保管する機微データに関して処理要求を受けた場合、当該機微データに対する前記利用権限を確認し、当該利用権限に応じて処理を実行して、当該処理の経緯に関するログを分散台帳に格納し、前記機微データに関して受けた前記処理要求に応じた前記処理の結果のみを前記処理要求の発信元に応答する処理、を実行することを特徴とする。
【発明の効果】
【0011】
本発明によれば、利活用される機微データをその提供者の意図に沿って、検証可能かつ正しく管理可能となる。
【図面の簡単な説明】
【0012】
図1】本実施形態における分散台帳ネットワークの構成例を示す図である。
図2】本実施形態の分散台帳ノードのハードウェア構成を示す図である。
図3】本実施形態のタスク処理装置のハードウェア構成を示す図である。
図4】本実施形態の監査装置のハードウェア構成を示す図である。
図5】本実施形態のクライアントのハードウェア構成を示す図である。
図6】本実施形態の分散台帳で管理されるデータカタログの構成を示す図である。
図7】本実施形態の分散台帳で管理されるタスク一覧の構成を示す図である。
図8】本実施形態の分散台帳で管理されるデータの関係性の構成を示す図である。
図9A】本実施形態の処理の流れを示す図である。
図9B】本実施形態の処理の中のデータ提供を示す図である。
図9C】本実施形態の処理の中のアクセス権依頼を示す図である。
図9D】本実施形態の処理の中のアクセス権承認を示す図である。
図9E】本実施形態の処理の中の解析依頼を示す図である。
図9F】本実施形態の処理の中の解析実行を示す図である。
図9G】本実施形態の処理の中の監査を示す図である。
図10】本実施形態の監査処理の中のデータ整合性監査を示す図である。
図11】本実施形態の監査処理の中のデータ削除監査を示す図である。
図12】本実施形態の監査処理の中のデータ同意情報監査を示す図である。
図13】本実施形態の監査処理の中のデータアクセス権監査を示す図である。
図14】本実施形態の監査UIを示す図である。
【発明を実施するための形態】
【0013】
<ネットワーク構成>
以下に本発明の実施形態について図面を用いて詳細に説明する。図1は、本実施形態における機微データ管理システム1のネットワーク構成例を示す図である。本実施形態の機微データ管理システム1は、利活用される機微データをその提供者の意図に沿って、検証可能かつ正しく管理可能とする分散台帳システムである(以下、分散台帳システム1として説明する)。
【0014】
本実施形態における分散台帳システム1は、図1で示すように、分散台帳ネットワーク2を介して通信可能に接続された、1つまたは複数の処理依頼組織3のシステム、1つまたは複数のデータ保有組織4のシステム、および1つまたは複数の監査組織5のシステムから構成される。よって、これらを総称して機微データ管理システム1としてもよい。
【0015】
このうち処理依頼組織3のシステムは、分散台帳ノード10及びクライアント50を有している。処理依頼組織3のユーザは、クライアント50を操作し、機微データに対する処理要求を生成・発信することとなる。
【0016】
また、データ保有組織4のシステムは、分散台帳ノード12、タスク処理装置20、プライベートストレージ30、及びクライアント52を有している。
【0017】
タスク処理装置20は、処理依頼組織3の分散台帳ノード10ないしクライアント50から発信された処理要求に応じ、分散台帳で保持する機微データに対する処理を実行し、応答する。
【0018】
また、プライベートストレージ30は、分散台帳のごときノード間での同期は図られない記憶装置であって、他組織からは切り離された記憶装置である。
【0019】
また、クライアント52は、データ保有組織4のユーザが操作する端末である。
【0020】
また、監査組織5のシステムは、分散台帳ノード15、監査サーバ40、及びクライアント55を有している。監査サーバ40は、分散台帳ノード15と協働し、データ保有組織4の分散台帳ノード12やプライベートストレージ30で管理されている情報の正しさ、処理経緯の正しさ等に関する監査業務を主導するサーバ装置である。
【0021】
また、クライアント55は、監査組織5のユーザが操作する端末である。
<<ハードウェア構成>>
本実施形態の分散台帳管理システム1を構成する各装置のハードウェア構成を、以下に示す。図2は分散台帳ノード10のハードウェア構成を示した図である。
【0022】
本実施形態における分散台帳ノード10は、記憶部210、演算部240、メモリ250、及び通信部260から構成され、それぞれはBUSを介して接続されている。
【0023】
このうち記憶部210は、SSD(Solid State Drive)やハードディスクドライブなど適宜な不揮発性記憶素子で構成される。
【0024】
また、メモリ250は、RAM(Random Access Memory)など揮発性記憶素子で構成される。
【0025】
また、演算部240は、記憶部210に保持されるプログラム211をメモリ250に読み出すなどして実行し装置自体の統括制御を行なうとともに各種判定、演算及び制御処理を行なうCPU(Central Processing Unit)である。
【0026】
また、記憶部210にはプログラム211、分散台帳220、及びステートデータベース230が保存されている。
【0027】
このうち分散台帳220は、ブロックと呼ばれるトランザクションをまとめたデータを数珠つなぎのようにつなぎ合わせたデータであり、いわゆるブロックチェーンである。
【0028】
また、ステートデータベース230は、分散台帳220にて管理されているトランザクションの実行時における最新のテーブルデータを保存するデータベースである。
【0029】
なお、プログラム211は、メモリ250にロードされてから演算部240で計算処理が実行され、必要な機能を実現する。
【0030】
こうしたプログラム211は、データ管理スマコン(スマートコントラクト)212、およびタスク管理スマコン213を有している。
【0031】
このうちデータ管理スマコン212は、データ(機微データを含む各種データ)の管理を行うスマートコントラクトである。また、タスク管理スマコン213は、タスクの管理を行うスマートコントラクトである。このタスクは、処理依頼組織3から要求される処理内容に応じたものとなる。
【0032】
続いて図3は、タスク処理装置30のハードウェア構成を示した図である。このタスク処理装置30は、記憶部310、演算部330、メモリ340、及び通信部350から構成され、それぞれはBUSを介して接続されている。
【0033】
このうち記憶部310は、SSD(Solid State Drive)やハードディスクドライブなど適宜な不揮発性記憶素子で構成される。
【0034】
また、メモリ340は、RAM(Random Access Memory)など揮発性記憶素子で構成される。
【0035】
また、演算部330は、記憶部310に保持されるプログラム311をメモリ340に読み出すなどして実行し装置自体の統括制御を行なうとともに各種判定、演算及び制御処理を行なうCPU(Central Processing Unit)である。
【0036】
また、演算部330は、メモリ340の領域の一部を暗号化するTEE(Trusted Execution Environment)と呼ばれる暗号化領域作成部331を持つ。この暗号化領域作成部331により、メモリ340において暗号化領域341を生成することができる。
【0037】
こうした暗号化領域341にプログラム311を読み込んで実行することで、このプログラム311は外部の攻撃者による攻撃および改ざんから守られることになる。これにより、分散台帳システム1は、プログラム311が正しく動作したことを保証することがで
きる。
【0038】
続いて図4は、監査サーバ40のハードウェア構成例を示した図である。監査サーバ40は、記憶部410、演算部430、メモリ431、及び通信部432から構成され、それぞれはBUSを介して接続されている。
【0039】
このうち記憶部410は、SSD(Solid State Drive)やハードディスクドライブなど適宜な不揮発性記憶素子で構成される。
【0040】
また、メモリ431は、RAM(Random Access Memory)など揮発性記憶素子で構成される。
【0041】
また、演算部430は、記憶部410に保持されるプログラム411をメモリ431に読み出すなどして実行し装置自体の統括制御を行なうとともに各種判定、演算及び制御処理を行なうCPU(Central Processing Unit)である。
【0042】
なお、プログラム411は、ユーザインターフェイス提供プログラム412および監査実行プログラム413を含む。ユーザインターフェイス提供プログラム412は、監査業務のユーザが操作するクライアント55に所定のユーザインターフェイスを配信し、監査業務の指示等の入力や監査結果の出力を行う。また、監査実行プログラム413は、監査業務に応じた各種処理を実行するためのプログラムである。
【0043】
図5はクライアント50のハードウェア構成を示した図である。クライアント50は記憶部510、演算部530、メモリ531、および通信部532から構成され、それぞれはBUSを介して接続されている。
【0044】
このうち記憶部510は、SSD(Solid State Drive)やハードディスクドライブなど適宜な不揮発性記憶素子で構成される。
【0045】
また、メモリ531は、RAM(Random Access Memory)など揮発性記憶素子で構成される。
【0046】
また、演算部530は、記憶部510に保持されるプログラム511をメモリ531に読み出すなどして実行し装置自体の統括制御を行なうとともに各種判定、演算及び制御処理を行なうCPU(Central Processing Unit)である。
【0047】
なお、記憶部510のプログラム511は、クライアントインターフェイス512およびユーザ命令送受信部513を持つ。クライアントインターフェイス512は、上述の監査サーバ40から配信される入出力画面である。
【0048】
また、ユーザ命令送受信部513は、上述のクライアントインターフェイス512を介してユーザから受け付けた指示を監査サーバ40に送信し、またその指示に応じた処理結果すなわち監査結果を監査サーバ40から受信するものとなる。
<データ構造例>
続いて、本実施形態の機微データ管理システム1において用いる各種情報について説明する。図6に、本実施形態におけるデータカタログ221の一例を示す。このデータカタログ221は、分散台帳220で管理されるテーブルである。
【0049】
データカタログ221は、機微データを一意に特定するデータID600をキーとして、当該機微データのデータ名601、オーナー602、同意情報603、アクセス権60
4、およびハッシュ値605が管理されている。
【0050】
このうち、オーナー602は、当該機微データの保有者である。
【0051】
また、同意情報603は、当該機微データの提供者が、上述のオーナー602による当該機微データの利活用に同意したかを示す値である。
【0052】
また、アクセス権604は、当該機微データに対してアクセスが許可された組織を規定する値である。
【0053】
また、ハッシュ値605は、当該機微データをハッシュ関数に入力して得たハッシュ値である。
【0054】
また図7は、分散台帳220で管理されるタスク一覧222のデータ構成例を示した図である。このタスク一覧222は、タスクを一意に特定するタスクID700をキーとして、当該タスクを依頼した依頼者701、そのタスクに使用する元データ(たる機微データ)のID702、タスクの内容703、およびそのタスクの実行結果704が管理されている。
【0055】
また図8は、分散台帳220で管理されるデータ関係性223の構成例を示した図である。このデータ関係性223は、機微データの各間の関係性について管理するテーブルであり、レコードID800をキーとして、処理対象となった機微データを示す元データ801、当該機微データの処理結果を示す結果データ802、当該処理の起因となったタスクを示すタスクID803、および正しさの保証804が管理されている。
【0056】
このうち正しさの保証804は、監査サーバ40による監査結果により真正性が認められた場合に設定される値である。図8の例では、チェックマークが設定されている。
<フロー例:メインフロー>
以下、本実施形態における機微データ管理方法の実際手順について図に基づき説明する。以下で説明する機微データ管理方法に対応する各種動作は、機微データ管理システム1を構成する各装置らがそれぞれのメモリ等に読み出して実行するプログラムによって実現される。そして、このプログラムは、以下に説明される各種の動作を行うためのコードから構成されている。
【0057】
図9Aは、本実施形態における機微データ管理方法のフロー例であり、全体フローの例を示す図である。なお、本実施形態では、処理依頼組織3、データ保有組織4、および監査組織5の各装置が分散台帳ネットワークにより接続されている。
【0058】
まず、データ保有組織4のタスク処理装置20が、データ提供(S10)をする。ただしここでのデータ提供は、機微データのメタデータであって、例えば、データカタログ221やデータ関係性223の一部または全部を想定する。
【0059】
次に、処理依頼組織3のクライアント50にて、上述のデータ保有組織4の分散台帳220にて所有されている機微データに対する、アクセス権の付与依頼を実行する(S11)。
【0060】
次に、データ保有組織4のタスク処理装置20にて、上述の処理依頼組織3のクライアント50から受け付けたアクセス権付与依頼に応じて、アクセス権付与承認(S12)の処理を実行する。
【0061】
次に、処理依頼組織3のクライアント50にて、上述の処理(S12)の結果、アクセス権が得られた機微データに対する解析の処理依頼(S13)を実行する。
【0062】
次に、データ保有組織4のタスク処理装置20にて、上述の処理依頼組織3のクライアント50から依頼を受け付けた解析を実行(S14)し、処理を終了する。
【0063】
一方、監査組織5の監査サーバ40は、こうしたデータ保有組織4のタスク処理装置20における処理結果等について、所定の監査処理(S15)を実行することとなる。
<フロー例:データ提供>
図9Bは本実施形態における機微データ管理方法の一部である、データ提供(S10)の詳細例を示したフロー図である。この場合の処理の実行主体は、データ保有組織4のクライアント52および分散台帳ノード12となる。
【0064】
なお、データ保有組織4の業務担当者等であるユーザ900は、クライアント52を操作し、上述のデータ提供の指示を行うものとする。クライアント52は、この指示を受けて、自組織が適宜な記憶装置にて保有する機微データを読み出し、これを分散台帳ノード12にデータ提供(901)する。この場合のデータ提供は、機微データの実データとなる。
【0065】
次に、データ保有組織4の分散台帳ノード12は、クライアント52から機微データを受け取り(902)、この機微データをプライベートストレージ30に書き込む(903)。
【0066】
次に、データ保有組織4の分散台帳ノード12は、クライアント52から受け取った機微データからメタデータを作成し(904)、これを分散台帳220のデータカタログ221に書き込み(905)、処理を終了する。
【0067】
なお、ここでの書き込み対象となるメタデータとは、データ名601、オーナー602、同意情報603、アクセス権604、およびハッシュ値605を含むデータである。
<フロー例:アクセス権限の処理>
図9Cは本実施形態における機微データ管理方法の一部であるアクセス権依頼に対応する処理フローを示した図である。ここでは、処理依頼組織3のクライアント50および分散台帳ノード10が協働するものとする。また、処理依頼組織3のユーザ910が、クライアント50を操作し、当該フローのトリガーとなる依頼を実行することとする。
【0068】
まず、処理依頼組織3のクライアント50は、データ一覧取得依頼(911)を実行し、分散台帳ノード10に対して、分散台帳220で管理されているデータカタログ221を要求する。
【0069】
続いて、処理依頼組織3の分散台帳ノード10は、データ一覧取得(912)を実行し、分散台帳220からデータカタログ221を取得して、これをクライアント50に送信(913)する。これにより、機微データのデータカタログ221が、クライアント50に渡されることになる。
【0070】
一方、クライアント50は、分散台帳ノード10から送られてきたデータカタログ221を受信する(914)。クライアント50は、このデータカタログ221を表示して、ユーザ910の閲覧向けに提示する。ユーザ910はデータカタログ221を参照し、利用希望の機微データを検討する。そして、当該機微データに関して、アクセス権を望むことになる。
【0071】
そこでクライアント50は、ユーザ910からの指示を受けて、上述の機微データのアクセス権を要求するため、アクセス権要求依頼(915)を実行する。
【0072】
一方、分散台帳ノード10は、クライアント50からのアクセス権要求を受信し、上述の機微データに対するアクセス権の付与申請情報を分散台帳220に書き込み(916)、処理を終了する。
<フロー例:アクセス権承認>
図9Dは本実施形態における機微データ管理方法の一部である、アクセス権承認のフロー例を示した図である。この場合、データ保有組織4のクライアント52および分散台帳ノード12が協働するものとする。また、データ保有組織4のユーザ920は、クライアント52を操作し、本フローのトリガーを与えることとなる。
【0073】
データ保有組織4のクライアント52は、アクセス権要求一覧取得依頼(921)を実行し、自組織が保有する機微データに対するアクセス権付与の要求が来ていることを確認する。このアクセス権付与の要求は、上述の図9Cのフローにおけるステップ916で分散台帳220に格納されたものである。
【0074】
分散台帳ノード12は、分散台帳220に書き込まれているアクセス権付与の申請情報を取得する(922)。
【0075】
次に、分散台帳ノード12は、上述のステップ922で取得したアクセス権付与申請情報を、クライアント52に送信する(923)。
【0076】
一方、クライアント52は、アクセス権付与申請の情報を受け取り(924)、これに対する承認作業のワークフローを実行する(925)。このワークフローは、例えば、クライアント52が、機微データの提供者の端末に対してアクセス権の付与可否についての問合せを実行して、その結果を取得するといったものを想定できる。
【0077】
次に、分散台帳ノード12は、分散台帳220にてアクセス権承認情報の書き込み(926)を実行し、また、当該機微データに関するアクセス権の承認情報を、分散台帳220のデータカタログ221のアクセス権604の項目に書き込み、処理を終了する。
<フロー例:解析依頼>
図9Eは本実施形態における機微データ管理方法の一部である、解析依頼フローの例を示した図である。この場合、データ保有組織4のクライアント50および分散台帳ノード10が協働するものとする。また、ユーザ930が、クライアント50を操作し、本フローのトリガーとなる。
【0078】
ユーザ930の操作を受けたクライアント50は、アクセス権を取得した機微データに対して、例えば、所定の解析処理であるタスクの実行をするため、分散台帳ノード10に対するタスク実行依頼(931)を実行する。
【0079】
一方、分散台帳ノード10は、タスク実行可否確認(932)を実行し、処理依頼組織3が正しくアクセス権を取得しているか、また、対象となる機微データがデータ提供者から正しく同意情報を得られているか等の確認を実行する。この確認は、データカタログ221における同意情報603が「Agree」であるか、また、アクセス権604の値に、当該処理依頼組織3の識別情報が含まれているか、をチェックする処理となる。
【0080】
次に、分散台帳ノード10は、分散台帳220のタスク一覧222にタスクの内容を書き込み(933)、処理を終了する。なお、ここで書き込む内容は、依頼者701、元データ702、及びタスク内容703である。このうち元データ702は、解析対象とされ
た機微データのIDである。
<フロー例:タスク処理>
図9Fは本実施形態における機微データ管理方法の一部である、解析実行フローの例を示した図である。この場合、データ保有組織4のタスク処理装置20および分散台帳ノード15が協働するものとする。
【0081】
まず、タスク処理装置20が、分散台帳ノード12の分散台帳220で管理されているタスク一覧222をポーリングする(941)。
【0082】
一方、分散台帳ノード12は、上述のポーリングを受けて、分散台帳220で管理されているタスクがある場合、これをタスク処理装置20に渡す(942)。
【0083】
次に、タスク処理装置20は、分散台帳ノード12からタスクを取得し(943)、当該タスクの対象となる機微データに関して、その実データを取得(944)する。ここで取得される実データは、プライベートストレージ30にて管理されている実データである。
【0084】
続いて、タスク処理装置20は、タスク実行判定(945)を実行し、ステップ944で得ている実データが正しいものであるか確認する。
【0085】
このタスク実行判定(945)における、実データが正しいものであるか確認する手法としては、例えば、取得した実データをハッシュ関数(分散台帳ノード12が保持・利用するものと同じもの)に入力してハッシュ値を計算し、これを、分散台帳220のデータカタログ221にて保存されているハッシュ値605の値と比較するものを想定できる。この比較の結果、両者が一致する場合、正しいデータがロードされたことを確認できる。
【0086】
次に、タスク処理装置20は、タスク実行(946)を実行し、プライベートストレージ30から読み込んだ実データに対して解析等の処理を実行する。
【0087】
次に、タスク処理装置20は、タスク実行結果返却(947)を実行し、分散台帳ノード12に対して解析結果を応答する。
【0088】
また、分散台帳ノード12は、タスク実行結果書き込み(948)を実行し、分散台帳220で管理されているタスク一覧222の結果704に、解析に成功したか失敗したかを書き込む。
【0089】
なお、タスク実行結果返却(947)で得られた結果データは、データ提供(S10)と同様の処理により、プライベートストレージ30および分散台帳220におけるデータカタログ221に新たなデータとして追加される。また、分散台帳220で管理されているデータ関係性223に、新たな項目として、元データ801、結果データ802、タスクID803が書き込まれることとなる。
<フロー例:>
図9Gは本実施形態における機微データ管理方法の一部である、監査フローの例を示した図である。この場合、監査組織5のクライアント54、監査サーバ40、および分散台帳ノード14が協働するものとする。また、監査組織5のユーザ950が、クライアント54を操作し、本フローのトリガーを与える。
【0090】
まず、クライアント54は、監査UI接続(951)を実行し、監査業務用のUIを監査サーバ40に要求する。
【0091】
一方、監査サーバ40は、上述のクライアント54に対し、監査UI提供(952)を行う。ここでクライアント54に対して提供されるUIは、例えば、図14に示す監査UI500の出力画面を想定できる。
【0092】
図14は本実施形態における監査UI500の例を示す図である。この監査UI500において、ユーザはクライアント54により監査種類選択インターフェイス510を操作し、監査種類を選択する。この監査種類には、後に図10から図12で示す、データ整合性監査、データ削除監査、同意情報監査、およびアクセス権監査がある。
【0093】
また、上述のユーザは、監査対象設定520において、対象となる機微データを選択するか、または、全ての機微データを監査対象として選択できる。
【0094】
また、上述のユーザは、クライアント54により監査周期設定インターフェイス530を操作し、監査周期を設定可能である。監査を定期的に実行する設定か、一回のみ実行する設定を行うことが可能である。
【0095】
また、監査結果表示領域540には、監査サーバ40による監査結果が表示される。
【0096】
次に、クライアント54は、上述の監査UI500を介して受けた監査内容について、監査サーバ40に指示を送る、監査操作指示(953)を実行する。
【0097】
一方、監査操作指示を受けた監査サーバ40および分散台帳ノード14は、互いにやり取りを行って、監査を実行(954)する。本監査の内容については図10から図13に基づき後述する。
【0098】
続いて、監査サーバ40が監査結果をクライアント54に応答する一方、クライアント54は、上述の監査UI500(図14)の監査結果表示領域540に監査結果を表示し(955)、処理を終了する。
<フロー例:整合性監査>
図10はデータの監査実行(954)における監査内容の一部であり、データ整合性監査のフロー例を示す図である。
【0099】
まず、監査サーバ40は、データカタログ221から、監査対象の機微データに関するメタデータを取得(1001)する。
【0100】
次に、監査サーバ40は、タスク一覧222を参照し、監査対象となる機微データを用いたタスクを取得(1002)する。
【0101】
次に、監査サーバ40は、タスク実行結果から得られた結果データが正しいかを確認(1003)する。この確認の手法としては、例えば、分散台帳220で当該機微データに対するタスク処理に関して保持するトランザクション(の内容)と、データ関係性223が示す当該タスクの結果データ802とを照合し、一致するか確認するものを想定できる。
【0102】
次に、監査サーバ40は、1003の結果が正しい旨を示すものであれば、データ関係性223の正しさの保証804に正しい旨の値(図8でのチェック)を書き込む。
【0103】
また、監査サーバ40は、結果データ用いて更に解析が行われているか、タスク一覧222やデータ関係性223にて確認し、それがある場合は(1004:YES)、そのデータを監査対象として1001に戻る。一方、ない場合(1004:NO)、監査サーバ
40は、監査結果を監査UI500の監査結果表示領域540に表示し(1005)、処理を終了する。
<フロー例:削減監査>
図11はデータの監査実行(954)における監査内容の一部であり、データ削除監査のフロー例を示す図である。
【0104】
はじめに、監査サーバ40は、データカタログ221から、監査対象となる機微データ管理システムのメタデータを取得(1101)する。
【0105】
次に、監査サーバ40は、監査対象の機微データが正しく削除されているかを確認(1102)する。この確認は、例えば、分散台帳220で当該機微データに対する削除処理に関して保持するトランザクション(の内容)の存在と、データカタログ221における該当機微データの不存在を確認するものを想定できる。
【0106】
次に、監査サーバ40は、タスク一覧222から、監査対象の機微データを用いたタスクを探索し、当該タスクある場合(1103:YES)、新たな監査対象として1101に戻る。
【0107】
一方、ない場合(1103:NO)、監査サーバ40は、監査UI500の監査結果表示領域540に監査結果を表示し(1104)、処理を終了する。
<フロー例:同意情報監査>
図12はデータの監査実行(954)における監査内容の一部であり、データ同意情報の監査フローの例を示す図である。
【0108】
まず、監査サーバ40は、データカタログ221から、監査対象の機微データに関するメタデータを取得(1201)する。
【0109】
次に、監査サーバ40は、分散台帳220におけるトランザクションから、当該機微データに関するアクセス権の同意情報の書き換え履歴を取得(1202)する。
【0110】
次に、監査サーバ40は、同意情報の変更履歴を監査(1203)する。この監査は、例えば、分散台帳220で当該機微データに対する同意情報に関してステップ1202で得ている書き換え履歴(の内容)と、データカタログ221における該当機微データの同意情報603の内容とが一致するか判定するものを想定できる。
【0111】
次に、監査サーバ40は、更に前の変更履歴があるかを確認(1204)し、ある場合(1204:YES)、処理を1202にもどる。
【0112】
一方、ない場合(1204:NO)、監査サーバ40は、監査UI500の監査結果表示領域540に監査結果を表示し(1205)、処理を終了する。
<フロー例:データアクセス権監査>
図13はデータの監査実行(954)における監査内容の一部であり、データアクセス権の監査フローの例を示す図である。
【0113】
まず、監査サーバ40は、データカタログ221から、監査対象の機微データに関するメタデータを取得(1301)する。
【0114】
次に、監査サーバ40は、分散台帳220におけるトランザクションから、上述の機微データに関するアクセス権の項目の書き換え履歴を取得(1302)する。
【0115】
次に、監査サーバ40は、アクセス権の申請および承認情報の監査(1303)をする。この場合の監査としては、例えば、分散台帳220で当該機微データに対するアクセス権付与に関してステップ1302で得ている書き換え履歴(の内容)と、データカタログ221における該当機微データのアクセス権604の内容とが一致するか判定するものを想定できる。
【0116】
次に、監査サーバ40は、更に前の書き換え履歴があるかを確認(1304)し、ある場合(1304:YES)、処理を1302に戻す。
【0117】
一方、ない場合(1304:NO)、監査サーバ40は、監査UI500の監査結果表示領域540に監査結果を表示し(1305)、処理を終了する。
【0118】
以上、本発明を実施するための最良の形態などについて具体的に説明したが、本発明はこれに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。
【0119】
こうした本実施形態によれば、機微データの提供者は、提供先に関する利活用の同意情報の剥奪やデータ削除等が正しく行われたことを確認可能であり、正しく安全に保管、利活用されていることを知ることができる。すなわち、利活用される機微データをその提供者の意図に沿って、検証可能かつ正しく管理可能となる。
【0120】
本明細書の記載により、少なくとも次のことが明らかにされる。すなわち、本実施形態の機微データ管理システムにおいて、前記組織のノードは、前記機微データに対する各種処理を、Trusted Execution Environmentを用いて実行するものである、としてもよい。
【0121】
これによれば、セキュアかつ真正性を保った処理が保証されることとなる。ひいては、利活用される機微データをその提供者の意図に沿って、より検証可能かつ正しく管理可能となる。
【0122】
また、本実施形態の機微データ管理システムにおいて、前記組織のノードは、前記処理要求として、前記機微データの提供先たる前記組織に対する、当該機微データの提供者の意向であって、当該機微データの削除または利用権限の剥奪の要求を受けた場合、前記Trusted Execution Environment上で、当該処理要求に対応する処理を実行し、当該処理の経緯に関するログを前記分散台帳に格納するものである、としてもよい。
【0123】
これによれば、機微データの削除や利用権限剥奪といった各処理をセキュアかつ真正性を保って実行可能となる。ひいては、利活用される機微データをその提供者の意図に沿って、より検証可能かつ正しく管理可能となる。
【0124】
また、本実施形態の機微データ管理システムにおいて、前記組織のノードは、前記機微データを起点に前記処理により順次生成されていく、一連のN次データの関係性を前記処理の経緯に関するログとして分散台帳にて管理するものである、としてもよい。
【0125】
これによれば、機微データに関する処理で順次生じたデータの関係性を改竄不可能に管理可能となる。ひいては、利活用される機微データをその提供者の意図に沿って、より検証可能かつ正しく管理可能となる。
【0126】
また、本実施形態の機微データ管理システムにおいて、前記機微データの利活用に関する監査用のノードは、分散台帳で保持する前記メタデータに基づいて監査対象の機微デー
タを特定して、前記分散台帳上で保持する当該機微データの処理のトランザクションを特定し、当該トランザクションと、前記機微データの前記ログが示す経緯とを照合することで、機微データを起点にした前記関係性の正しさ、または、機微データの正しさに関する監査処理を実行するものである、としてもよい。
【0127】
これによれば、改竄不可能な上述の関係性の情報に基づいた各種監査が可能となる。ひいては、利活用される機微データをその提供者の意図に沿って、より検証可能かつ正しく管理可能となる。
【0128】
また、本実施形態の機微データ管理方法において、前記組織のノードが、前記機微データに対する各種処理を、Trusted Execution Environmentを用いて実行する、としてもよい。
【0129】
また、本実施形態の機微データ管理方法において、前記組織のノードが、前記処理要求として、前記機微データの提供先たる前記組織に対する、当該機微データの提供者の意向であって、当該機微データの削除または利用権限の剥奪の要求を受けた場合、前記Trusted Execution Environment上で、当該処理要求に対応する処理を実行し、当該処理の経緯に関するログを前記分散台帳に格納する、としてもよい。
【0130】
また、本実施形態の機微データ管理方法において、前記組織のノードが、前記機微データを起点に前記処理により順次生成されていく、一連のN次データの関係性を前記処理の経緯に関するログとして分散台帳にて管理する、としてもよい。
【0131】
また、本実施形態の機微データ管理方法において、前記機微データの利活用に関する監査用のノードが、分散台帳で保持する前記メタデータに基づいて監査対象の機微データを特定して、前記分散台帳上で保持する当該機微データの処理のトランザクションを特定し、当該トランザクションと、前記機微データの前記ログが示す経緯とを照合することで、機微データを起点にした前記関係性の正しさ、または、機微データの正しさに関する監査処理を実行する、としてもよい。
【符号の説明】
【0132】
1 機微データ管理システム
2 分散台帳ネットワーク
3 処理依頼組織
4 データ保有組織
5 監査組織
10 分散台帳ノード(処理依頼組織)
12 分散台帳ノード(データ保有組織)
15 分散台帳ノード(監査組織)
20 タスク処理装置
30 プライベートストレージ
40 監査サーバ
50 クライアント(処理依頼組織)
52 クライアント(データ保有組織)
55 クライアント(監査組織)
210 記憶部
211 プログラム
212 データ管理スマコン
213 タスク管理スマコン
220 分散台帳
221 データカタログ
222 タスク一覧
223 データ関係性
230 ステートDB
240 演算部
250 メモリ
310 記憶部
311 プログラム
330 演算部
331 暗号化領域作成部
340 メモリ
341 暗号化領域
350 通信部
410 記憶部
411 プログラム
412 ユーザインターフェイス提供プログラム
413 監査実行プログラム
430 演算部
431 メモリ
432 通信部
510 記憶部
511 プログラム
512 クライアントユーザインターフェイス
513 ユーザ命令送受信部
530 演算部
531 メモリ
532 通信部
図1
図2
図3
図4
図5
図6
図7
図8
図9A
図9B
図9C
図9D
図9E
図9F
図9G
図10
図11
図12
図13
図14