知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-12-05
(45)【発行日】2024-12-13
(54)【発明の名称】データ流通仲介装置およびデータ流通仲介方法
(51)【国際特許分類】
G06Q 50/10 20120101AFI20241206BHJP
【FI】
G06Q50/10
【請求項の数】
9
(21)【出願番号】P 2021124775
(22)【出願日】2021-07-29
(65)【公開番号】P2023019795
(43)【公開日】2023-02-09
【審査請求日】2024-02-08
(73)【特許権者】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110001689
【氏名又は名称】青稜弁理士法人
(72)【発明者】
【氏名】木谷 光博
(72)【発明者】
【氏名】シャフリル バンダラ
【審査官】田川 泰宏
(56)【参考文献】
【文献】特開2016-192218(JP,A)
【文献】国際公開第2021/085519(WO,A1)
【文献】特開2004-185521(JP,A)
【文献】国際公開第2008/108158(WO,A1)
【文献】特開2015-138534(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06Q 10/00-99/00
(57)【特許請求の範囲】
【請求項1】
データ所有者の提供するパーソナルデータを収集して提供するデータ提供者のデータ提供装置と、前記パーソナルデータに関連するサービス利用データを提供するサービス事業者のデータ利用装置との間に介在してデータのやりとりを仲介するデータ流通仲介装置であって、前記データ提供装置の保持する前記パーソナルデータのメタデータであるパーソナルデータメタデータを取得するパーソナルデータメタデータ管理部と、
前記パーソナルデータの流通利用に関する利用規約に基づいて、前記サービス利用データに関するメタデータであるサービス利用データメタデータを生成するサービス利用データ属性管理部と、
前記パーソナルデータメタデータと、前記サービス利用データメタデータの差異を検出するメタデータ属性差異検出部と、
前記メタデータ属性差異検出部で検出されたメタデータの差異から前記パーソナルデータの内容の変換処理要否を判定するパーソナルデータ変換判定部と、
前記パーソナルデータの内容を対応するサービス利用データの内容に変換するパーソナルデータ変換処理部とを備え、
前記パーソナルデータ変換判定部により、前記パーソナルデータの内容の変換要否を判定し、前記パーソナルデータの内容が変換要と判定されたときに、前記パーソナルデータ変換処理部は、前記サービス利用データメタデータに基づいて、前記パーソナルデータの内容を前記サービス利用データの内容に変換することを特徴とするデータ流通仲介装置。
【請求項2】
前記パーソナルデータの流通利用に関する利用規約は、前記データ提供装置と前記データ利用装置との間での相互通信によって取得され、
前記相互通信は、
サービスIDを含み、データ所有者端末により前記データ流通仲介装置に送信されるサービス利用要求メッセージと、
サービスIDを含み、前記データ流通仲介装置により前記データ利用装置に送信されるサービス利用規約要求メッセージと、
前記サービスIDに対応するサービス利用規約を含み、前記データ利用装置により前記データ流通仲介装置に送信されるサービス利用規約レスポンスとを含み、
前記利用規約は、前記サービスIDに対応するサービスを提供するサービス事業者によって定められることを特徴とする請求項1記載のデータ流通仲介装置。
【請求項3】
前記パーソナルデータ変換処理部は、前記サービス利用データメタデータに定義されたデータ項目ごとに定義された属性に合うように、前記パーソナルデータの内容を前記サービス利用データの内容に値を変換することを特徴とする請求項1記載のデータ流通仲介装置。
【請求項4】
前記パーソナルデータ変換判定部は、前記データ利用装置の提供するサービスのシナリオに基づいて、前記パーソナルデータの内容の変換要否を判定することを特徴とする請求項1記載のデータ流通仲介装置。
【請求項5】
前記パーソナルデータ変換判定部は、前記データ利用装置の提供するサービスのシナリオに基づいて、変換する内容を異ならしめることを特徴とする請求項4記載のデータ流通仲介装置。
【請求項6】
プライバシーランクデータを保持し、前記プライバシーランクデータに規定されたプライバシーランクに基づいた前記パーソナルデータの流通利用に関する利用規約に関する情報を保持することを特徴とする請求項1記載のデータ流通仲介装置。
【請求項7】
前記パーソナルデータの流通利用に関する利用規約を同意したか否かの情報を外部から受信し、前記データ利用装置からサービス利用データ要求メッセージの受信後に、
前記パーソナルデータ変換判定部により、前記パーソナルデータの内容の変換要否を判定し、前記パーソナルデータの内容が変換要と判定されたときに、前記パーソナルデータ変換処理部は、前記サービス利用データメタデータに基づいて、前記パーソナルデータの内容を前記サービス利用データの内容に変換し、
前記データ利用装置に、前記サービス利用データを送信することを特徴とする請求項1記載のデータ流通仲介装置。
【請求項8】
データ提供装置が保持するデータカタログに基づく前記パーソナルデータメタデータを取得することを特徴とする請求項1記載のデータ流通仲介装置。
【請求項9】
データ所有者の提供するパーソナルデータを収集して提供するデータ提供者のデータ提供装置と、前記パーソナルデータに関連するサービス利用データを提供するサービス事業者のデータ利用装置との間に介在してデータのやりとりを仲介するデータ流通仲介装置が行うデータ流通仲介方法であって、前記データ流通仲介装置が、前記データ提供装置の保持する前記パーソナルデータのメタデータであるパーソナルデータメタデータを取得するステップと、
前記データ流通仲介装置が、前記データ所有者と、前記データ提供者または前記サービス事業者との間により締結された契約に基づく前記パーソナルデータの流通利用に関する利用規約に基づいて、前記サービス利用データに関するメタデータであるサービス利用データメタデータを生成するステップと、
前記データ流通仲介装置が、前記パーソナルデータメタデータと、前記サービス利用データメタデータの差異を検出するステップと、
前記データ流通仲介装置が、前記パーソナルデータメタデータと、前記サービス利用データメタデータの差異を検出するステップにより検出されたメタデータの差異から前記パーソナルデータの内容の変換処理要否を判定するステップと、
前記パーソナルデータの内容の変換処理要否を判定するステップにより、変化要と判定されたときに、前記データ流通仲介装置が、前記サービス利用データメタデータに基づいて、前記パーソナルデータの内容を前記サービス利用データの内容に変換するステップとを有し、
前記パーソナルデータの流通利用に関する利用規約は、前記データ提供装置と前記データ利用装置との間での相互通信によって取得され、
前記相互通信は、
サービスIDを含み、データ所有者端末により前記データ流通仲介装置に送信されるサービス利用要求メッセージと、
サービスIDを含み、前記データ流通仲介装置により前記データ利用装置に送信されるサービス利用規約要求メッセージと、
前記サービスIDに対応するサービス利用規約を含み、前記データ利用装置により前記データ流通仲介装置に送信されるサービス利用規約レスポンスとを含み、
前記利用規約は、前記サービスIDに対応するサービスを提供するサービス事業者によって定められ、
前記パーソナルデータの内容を前記サービス利用データの内容に変換するステップにおいて、前記サービス利用データメタデータに定義されたデータ項目ごとに定義された属性に合うように、前記パーソナルデータの内容を前記サービス利用データの内容に変換することを特徴とするデータ流通仲介方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、データ流通仲介装置およびデータ流通仲介方法に係り、特に、パーソナルデータに基づいたサービスを行うサービス事業者とユーザとの規約に基づいてデータの利用を可能にし、パーソナルデータの利用促進とパーソナルデータに関するプライバシー保護を両立する用途に用いて好適なデータ流通仲介装置およびデータ流通仲介方法に関する。
【背景技術】
【0002】
近年、各企業において法人・個人向けサービス提供のため、収集されたパーソナルデータを含む様々なデータを、各企業や産業間を跨いで流通、利活用するための論議や検討が活発化している。特に、パーソナルデータについては、プライバシー保護に関する法律であるEUのGDPR(General Data Protection Regulation:一般データ保護規則)に代表されるように、データの主権者であるユーザ個人が自らのデータをコントロールすることの重要性とそのための仕組みが検討されている。その際、ユーザ個人で全てのデータをコントロールするのは難しいため、データ利用者である企業と、データの主権者である個人とは異なる独立した機関として、情報銀行やPD(Personal Data Store)といったデータ流通の仲介役となるシステム(データ流通仲介システム)を設置し、データ流通とそのためのデータや手続きの管理をサポートするモデルが注目されている。その際、データ提供者にて収集され保有しているデータと、新たなサービスをユーザへ提供するサービス事業者が取り扱うデータの間で、それらの内容に差異がある場合があり、データ流通を実現する上で解くべき課題の一つとなっている。
【0003】
データ流通仲介システムを用いたデータ流通に関する先行技術として、例えば、特許文献1がある。特許文献1では、データ主権者である個人、データ仲介者、データ提供者に対してインセンティブを付与する仕組みを導入し、データ流通を活性化するデータ流通制御に関するシステムが開示されている。また、この特許文献1では、データ流通の際、データ提供者において、予め定めたデータ形式へデータを変換して、データ流通仲介システムへ送信することが記載されている(段落[0066]、[0128])。
【先行技術文献】
【特許文献】
【0004】
【文献】特開2020-129311号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
上記特許文献1に記載されたデータ流通制御に関するシステムでは、データ提供企業のサーバが、提供依頼に提供条件のフォーマットに指定があるときには、指定されたフォーマットに変換することが述べられている。この特許文献1では、データ提供者におけるデータ形式変換についてのみ述べられており、データの内容そのものの変換方法については、具体的に言及されていない。ここでデータ形式とはCSV(Comma Separated Value)やXML(eXtensible Markup Language)などのデータフォーマットのことを指し、データフォーマットを変換してもデータの内容そのものは変わらない。また、上記特許文献1では、サービス事業者から提供されるサービス内容と、データ提供者で保有するデータ仕様に合わせて動的に変わるデータ内容の変換処理や、変換処理のための変換要否の判定方法については明記されていない。
【0006】
したがって、データ提供者がユーザ(パーソナルデータの所有者)との同意規約に基づいたデータの提供や、状況の変化に応じて、データを加工して提供することについては考慮されていない。例えば、通常時は、ユーザプライバシーの保護を厳密にし、緊急時には、プライバシー保護をゆるくして、データ利用することにより安全性を高めたり、公的なデータ利用が求められるときがある。
【0007】
本発明の目的は、パーソナルデータに基づいたサービスを行うサービス事業者とユーザとの規約に基づいてデータの利用を可能にし、パーソナルデータの利用促進とパーソナルデータに関するプライバシー保護を両立することのできるデータ流通仲介システムを提供することにある。
【課題を解決するための手段】
【0008】
本発明のデータ流通仲介装置の構成は、好ましくは、データ所有者の提供するパーソナルデータを収集して提供するデータ提供者のデータ提供装置と、パーソナルデータに関連するサービス利用データを提供するサービス事業者のデータ利用装置との間に介在してデータのやりとりを仲介するデータ流通仲介装置であって、データ提供装置の保持するパーソナルデータのメタデータであるパーソナルデータメタデータを取得するパーソナルデータメタデータ管理部と、パーソナルデータの流通利用に関する利用規約に基づいて、サービス利用データに関するメタデータであるサービス利用データメタデータを生成するサービス利用データ属性管理部と、パーソナルデータメタデータと、サービス利用データメタデータの差異を検出するメタデータ属性差異検出部と、メタデータ属性差異検出部で検出されたメタデータの差異からパーソナルデータの変換処理要否を判定するパーソナルデータ変換判定部と、パーソナルデータを対応するサービス利用データの変換するパーソナルデータ変換処理部とを備え、パーソナルデータ変換判定部により、パーソナルデータの変換要否を判定し、パーソナルデータが変換要と判定されたときに、パーソナルデータ変換処理部は、サービス利用データメタデータに基づいて、パーソナルデータをサービス利用データに変換するようにしたものである。
【発明の効果】
【0009】
本発明によれば、パーソナルデータに基づいたサービスを行うサービス事業者とユーザとの規約に基づいてデータの利用を可能にし、パーソナルデータの利用促進とパーソナルデータに関するプライバシー保護を両立することのできるデータ流通仲介システムを提供することができる。
【図面の簡単な説明】
【0010】
【図1】データ流通仲介システムの概要構成図である。
【図2】実施形態1に係るデータ流通仲介装置の機能構成図である。
【図3】データ流通仲介装置のハードウェア・ソフトウェア構成図である。
【図4】データ提供装置がデータ流通仲介装置に提供するパーソナルデータの一例を示す図である。
【図5】データ流通仲介装置がデータ利用装置に提供するサービス利用データの一例を示す図である。
【図6】実施形態1に係る利用規約テーブルの一例を示す図である。
【図7】パーソナルデータメタデータの一例を示す図である。
【図8】サービス利用データメタデータの一例を示す図である。
【図9】データ流通制御データの一例を示す図である。
【図10】実施形態1に係るスクリプト管理テーブルの一例を示す図である。
【図11A】データ流通仲介システムの処理を説明するシーケンスチャートである(その一)。
【図11B】データ流通仲介システムの処理を説明するシーケンスチャートである(その二)。
【図12】実施形態2に係るデータ流通仲介装置の機能構成図である。
【図13】プライバシーランクデータの一例を示す図である。
【図14】実施形態2に係る利用規約テーブルの一例を示す図である。
【図15】実施形態2に係るスクリプト管理テーブルの一例を示す図である。
【発明を実施するための形態】
【0011】
【0012】
【0013】
先ず、図1を用いてデータ流通仲介システムの概要構成について説明する。
データ流通仲介システムは、図1に示されるように、データ流通仲介装置100、データ提供装置200(図1では、データ提供装置200a,200b,…,200mと表記)、データ利用装置300(図1では、データ利用装置300a,300b,…,300nと表記)、データ所有者端末10(図1では、所有者端末1a,10b,…,10lと表記)がネットワーク5により接続された形態である。ネットワーク5は、有線でも無線でもよく、インターネットのようなグローバルなネットワークでもよいし、LAN(Local Area Network)でもよい。また、データ流通仲介装置100、データ提供装置200、データ利用装置300、データ所有者端末10のそれぞれが個別に接続されたネットワーク形態であってもよい。
データ流通仲介システムは、図1に示されるように、データ流通仲介装置100、データ提供装置200(図1では、データ提供装置200a,200b,…,200mと表記)、データ利用装置300(図1では、データ利用装置300a,300b,…,300nと表記)、データ所有者端末10(図1では、所有者端末1a,10b,…,10lと表記)がネットワーク5により接続された形態である。ネットワーク5は、有線でも無線でもよく、インターネットのようなグローバルなネットワークでもよいし、LAN(Local Area Network)でもよい。また、データ流通仲介装置100、データ提供装置200、データ利用装置300、データ所有者端末10のそれぞれが個別に接続されたネットワーク形態であってもよい。
【0014】
データ流通仲介装置100は、データ提供装置200とデータ利用装置300間におけるデータ流通を仲介して、必要なデータの変換や取捨選択を行う装置である。データ提供装置200は、データ所有者のデータ(パーソナルデータ、詳細は後述)をデータ利用装置300に提供する装置である。データ利用装置300は、データ提供装置200からサービス利用データ(詳細は後述)を受取ってサービスに利用する装置である。データ所有者端末10は、データ所有者がデータに関する設定、データ提供者やデータ利用者とのデータ利用に関する規約の同意、パーソナルデータをデータ提供装置200にアップロードする装置である。パーソナルデータは、データ所有者端末10からアップロードするだけではなく、別の経路によってデータ提供装置200に提供されることにしてもよい。
【0015】
本実施形態の説明では、主に、自動車道路における緊急通報サービスシステムを例にして説明することにする。緊急通報サービスとは、自動車道路における自動車事故が発生した場合、緊急通報事業者が車両データから状況を把握し、状況に応じて救急車等を要請するサービスである。この場合には、データ所有者は、自動車のドライバーであり、パーソナルデータとしては、事故被害状況データ、自動車のドライバーの個人医療データ(血液型、アレルギー、既往歴)である。パーソナルデータが事故被害状況である場合には、データ提供者は、自動車メーカーとなり、データ利用者は、警察、保険会社、病院、JAFなどのロードサービス事業者となり、パーソナルデータが個人医療データである場合には、データ提供者は、ドライバーの係り付け病院となり、データ利用者は、保険会社、事故時の搬送病院である。
【0016】
また、データ所有者端末10は、専用のハードウェアにより実現されるものであってもよく、または、CPU(Central Processing Unit:中央演算処理処置)およびメモリ等により構成され、各部の機能を実現するためのコンピュータプログラムをCPUが実行することによりその機能を実現させるものであってもよい。例えば、データ所有者端末10は、スマートフォンや自動車のカーナビゲーションシステム、車両に組み込まれてドライブ情報を収集するスマートデバイス等の移動通信端末装置であってもよく、または、据置き型の通信端末(例えば、パーソナルコンピュータ)であってもよい。
【0017】
次に、図2を用いてデータ流通仲介装置の機能構成について説明する。
データ流通仲介装置100は、図2に示されるように、データ提供者管理部101、サービス事業者管理部102、パーソナルデータ変換部110、利用規約管理部121、同意手続管理部122、データ流通制御部130、通信部140、記憶部150から構成される。
データ流通仲介装置100は、図2に示されるように、データ提供者管理部101、サービス事業者管理部102、パーソナルデータ変換部110、利用規約管理部121、同意手続管理部122、データ流通制御部130、通信部140、記憶部150から構成される。
【0018】
データ提供者管理部101は、データ提供装置200によりデータを提供するデータ提供者の情報、データ提供装置200により提供されたパーソナルデータの情報を管理する機能部である。
【0019】
サービス事業者管理部102は、データ所有者端末10を通じてユーザが利用しているサービスに関する様々な情報、すなわち、サービスの内容、サービスを提供する事業者の情報、サービスの利用状況などを管理する機能部である。
【0020】
パーソナルデータ変換部110は、データ提供装置200で収集、蓄積されるユーザのパーソナルデータをデータ利用装置300へ流通制御する際に、ユーザのパーソナルデータの内容を変換する必要があるか否かを判定して、必要な場合に変換処理する機能部である。
【0021】
パーソナルデータ変換部110は、パーソナルデータメタデータ管理部111、サービス利用データメタデータ管理部112、メタデータ属性差異検出部113、シナリオ毎サービス利用データメタデータ特定部114、パーソナルデータ変換判定部115、パーソナルデータ変換処理部116のサブ機能部から構成される。
【0022】
パーソナルデータメタデータ管理部111は、データ提供装置200で収集、蓄積されるユーザのパーソナルデータのメタデータ(以下、単に「パーソナルデータメタデータ」という、詳細は後述)を、データ提供装置200から取得し管理する機能部である。
【0023】
サービス利用データメタデータ管理部112は、サービスで利用されるユーザのパーソナルデータに関するメタデータ(以下、単に「サービス利用データメタデータ」という、詳細は後述)を管理する機能である。
【0024】
サービス利用データメタデータは、利用規約管理部121で管理されるユーザのパーソナルデータの収集、蓄積、利用用途を含むサービス規約情報と、同意手続管理部122で管理されるユーザの同意結果に基づき生成されるメタデータである。サービス利用データメタデータ管理部112により、ユーザ毎にカスタマイズされたサービス(サービスで利用するデータがユーザ毎に異なる)に対応したユーザのパーソナルデータのメタデータを管理することができる。また、サービス利用データメタデータをデータ流通仲介装置100で生成せずとも、サービス事業者やデータ利用装置300で生成されたサービスで利用されるユーザのパーソナルデータに関するメタデータを取得し管理するようにしてもよい。また、サービス利用データメタデータは、データ流通仲介装置100の運用・管理者によって生成されたものでもよい。
【0025】
メタデータ属性差異検出部113は、パーソナルデータメタデータ管理部111で管理されるパーソナルデータメタデータと、サービス利用データメタデータ管理部112で管理されるサービス利用データメタデータの差異を検出する機能部である。メタデータ属性差異検出部113における差異の検出は、パーソナルデータメタデータとサービス利用データメタデータにおけるメタデータの特定の属性(メタデータ属性)について行い、そのメタデータ属性の設定値の差分から検出することにより行われる。
【0026】
シナリオ毎サービス利用データメタデータ特定部114は、サービス事業者で提供されるサービスのシナリオ(詳細は、後述)毎に利用されるサービス利用データメタデータを特定する機能部である。
【0027】
パーソナルデータ変換判定部115は、メタデータ属性差異検出部113で検出されたメタデータ属性の設定値の差分に基づき、データ提供装置200で取集、蓄積されるユーザのパーソナルデータを変換する必要があるか否かを判定する機能部である。
【0028】
パーソナルデータ変換処理部116は、パーソナルデータ変換判定部115によりユーザのパーソナルデータを変換する必要があると判定された場合に、パーソナルデータメタデータ属性の設定と、サービス利用データメタデータ属性の設定に基づき、適切な変換処理を行う機能部である。
【0029】
利用規約管理部121は、ユーザが利用したいデータ利用装置300が提供するサービスに関して、ユーザとサービス事業者の間に合意するサービスの利用規約を、データ利用装置300から取得し、不備がないか否かを確認して、ユーザに開示する規約を管理する機能部である。
【0030】
同意手続管理部122は、サービス事業者のサービス利用規約に基づいて、データ所有者端末10に送信する同意要求通知を生成し、その通知を受け取ったユーザがデータ所有者端末10で同意するか否かを確定し、ユーザの同意結果を取得して管理する機能部である。
【0031】
データ流通制御部130は、同意手続管理部122で管理する、ユーザが同意したサービス利用規約に基づいて、データ提供装置200で収集、蓄積されるユーザのパーソナルデータを、データ流通制御データ(詳細は後述)に基づいてデータ利用装置300へ流通するためのデータフローを制御する。
【0032】
通信部140は、ネットワーク5を介して、データ提供装置200、データ利用装置300、データ所有者端末10との通信を行う機能部である。通信部140では、例えば、データ利用装置300からユーザが利用したいサービスのサービス利用規約を受信し、利用規約管理部121に転送する。また、利用規約管理部121で受信したサービス利用規約をデータ所有者端末10へ送信し、サービス利用規約の同意を求めるための通信を行い、また、データ所有者端末10から同意の結果を受信する。
【0033】
記憶部150は、データ提供者管理部101、サービス事業者管理部102、パーソナルデータ変換部110、利用規約管理部121、同意手続管理部122、データ流通制御部130が各部の機能を実現する際に生成したあるいは使用されるデータを記憶する機能部である。
【0034】
記憶部150には、パーソナルデータ401、サービス利用データ402、パーソナルデータメタデータ411、サービス利用データメタデータ412、データ提供・データ利用情報データ420、利用規約テーブル421、同意手続情報データ422、データ流通制御データ431、スクリプトデータ441、スクリプト管理テーブル442が保持される。なお、各データの詳細は後に説明する。
【0035】
次に、図3を用いてデータ流通仲介装置のハードウェア・ソフトウェア構成について説明する。
データ流通仲介装置100のハードウェア構成としては、例えば、図3に示されるパーソナルコンピュータのような一般的な情報処理装置で実現される。
データ流通仲介装置100のハードウェア構成としては、例えば、図3に示されるパーソナルコンピュータのような一般的な情報処理装置で実現される。
【0036】
データ流通仲介装置100は、CPU(Central Processing Unit)502、主記憶装置504、ネットワークI/F(InterFace)506、表示I/F508、入出力I/F510、補助記憶I/F512が、バスにより結合された形態になっている。
【0037】
CPU502は、データ流通仲介装置100の各部を制御し、主記憶装置504に必要なプログラムをロードして実行する。
【0038】
主記憶装置504は、通常、RAMなどの揮発メモリで構成され、CPU502が実行するプログラム、参照するデータが記憶される。
【0039】
ネットワークI/F506は、ネットワーク5と接続するためのインタフェースである。
【0040】
表示I/F508は、LCD(Liquid Crystal Display)などの表示装置520を接続するためのインタフェースである。
【0041】
入出力I/F510は、入出力装置を接続するためのインタフェースである。図5の例では、キーボード530とポインティングデバイスのマウス532が接続されている。
【0042】
補助記憶I/F512は、HDD(Hard Disk Drive)550やSSD(Solid State Drive)などの補助記憶装置を接続するためのインタフェースである。
【0043】
HDD550は、大容量の記憶容量を有しており、本実施形態を実行するためのプログラムが格納されている。データ流通仲介装置100には、データ提供者管理プログラム561、サービス事業者管理プログラム562、パーソナルデータ変換処理プログラム570、利用規約管理プログラム581、同意手続き管理プログラム582、データ流通制御プログラム590がインストールされている。
【0044】
データ提供者管理プログラム561、サービス事業者管理プログラム562、パーソナルデータ変換処理プログラム570、利用規約管理プログラム581、同意手続き管理プログラム582、データ流通制御プログラム590は、それぞれデータ提供者管理部101、サービス事業者管理部102、パーソナルデータ変換部110、利用規約管理部121、同意手続管理部122、データ流通制御部130の機能を実現するプログラムである。
【0045】
また、図示しなかったが、HDD550には、パーソナルデータ401、サービス利用データ402、パーソナルデータメタデータ411、サービス利用データメタデータ412、利用規約テーブル421、同意手続情報データ422、データ流通制御データ431、スクリプトデータ441が格納される。
【0046】
以上の例では、データ流通仲介装置100は、情報処理装置が各部の機能を実現するためのコンピュータプログラムをCPUが実行することによりその機能を実現させるとして記述したが、専用のハードウェアにより実現されるものであってもよい。
【0047】
【0048】
パーソナルデータ401は、データ提供装置200がデータ所有者の個人的なデータを収集して、データ流通仲介装置100に提供されるデータである。図4には、パーソナルデータ401の一例として、データ所有者の車両のドライブ情報として、JSON(JavaScript Object Notation)形式で記述した車両走行データが示されており、この図4の例では、車両データタイムスタンプ401a、車両位置データ(緯度)401b、車両位置データ(経度)401c、車両走行速度データ401d、車両ブレーキ動作情報401eを含んでいる。
【0049】
サービス利用データ402は、データ流通仲介装置100が、パーソナルデータ401を必要に応じて変換して、データ利用装置300に提供するデータである。
【0050】
本実施形態の例では、サービスのシナリオによって異なった変換を施して、データ利用装置300に提供することを前提としている。
【0051】
例えば、図5の例では、図5(a)にデータ所有者の車両のドライブ時に、事故が発生していない定常時に提供されるデータが示されており、図5(b)にデータ所有者の車両のドライブ時に、事故発生した時の緊急時に提供されるデータが示されている。
【0052】
図5(a)の定常時に提供されるデータは、車両データタイムスタンプ402a、車両位置データ(エリアコード)402fのみを含んでいる。一方、図5(b)の緊急時に提供されるデータは、より詳細なデータになっており、車両データタイムスタンプ402a、車両位置データ(緯度)402b、車両位置データ(経度)402c、車両走行速度データ402d、車両ブレーキ動作情報402fを含んでいる。図5のサービス利用データは、後に説明する利用規約テーブル421(特に、規約ID=A3,A4,A6が関係)に従ったものである。
【0053】
利用規約テーブル421は、データ所有者がデータ提供者またはデータ利用者との間で取り決めた利用規約の情報を格納するテーブルであり、図6に示されるように、規約ID422a、規約名422b、規約内容422cの各フィールドから構成される。規約ID422aには、利用規約の各レコードを一意に識別するIDが格納される。規約名422bには、利用規約の名称が格納される。規約内容422cには、利用規約の具体的な内容が格納される。
【0054】
図6に示されるの利用規約の名称としては、サービス概要、事業者、利用データ、データ取得方法、利用目的、加工利用、第三者提供、保存期間、本人関与、問合せ先がある。
【0055】
図6に示される利用規約テーブルの例は、事故緊急通報サービスを例にした場合であり、「利用データ」(規約ID422a「A3」)の規約内容は、車両走行データ等である。そしてそれらの「データ取得方法」(規約ID422a「A4」)は、定常時(事故発生無し)と緊急時(事故発生有り)で規約内容が異なる。緊急時の方が、定常時に比べて取得間隔が短く、データ提供装置200からのデータ収集間隔が緊急時と同様の50ミリ秒毎だとすると、定常時は、データ流通仲介装置100がそこから間引かれたデータをデータ利用装置300に提供することを示している。また、「加工利用」(規約ID422a「A6」)として、定常時は位置情報データを、エリアコード情報に匿名加工し、位置情報とタイムスタンプデータの車両の安全確認に必要な最小限データのみを収集し、緊急時は、位置情報データを匿名加工せずに、緯度・経度や道路IDといった詳細位置を特定できるデータを収集するようにし、事故検証に必要な位置情報、タイムスタンプデータ、車両走行速度、ブレーキ有無情報、加減速度情報の車両走行データを収集し、問い合わせ先情報は、定常・緊急に何れの状態にかかわらず秘匿化して収集するといったサービスに利用する具体的なデータとその秘匿化や匿名加工処理を規定している。
【0056】
本実施形態のサービスのシナリオの例として、データ所有者の車両のドライブ時に、事故が発生していない定常時、事故発生した時の緊急時として示したように、複数のサービス提供のシナリオをサポートする場合には、その旨をデータ所有者がデータ提供者またはデータ利用者との間で取り決めた利用規約に記述する必要がある。
【0057】
パーソナルデータメタデータ411は、パーソナルデータ401の項目やその記述形式を表すデータである。本実施形態のパーソナルデータメタデータ411は、パーソナルデータが車両走行データのときのメタデータであり、例えば、図7に示されるように、JSON形式で、車両データタイムスタンプデータ項目411a、車両位置データ項目411b、車両走行速度データ項目411cを含むデータである。
【0058】
車両データタイムスタンプデータ項目411aでは、車両データタイムスタンプの表現方法として、UNIX時刻を用いていることを示している。また、車両位置データ項目411bでは、車両位置データの表現方法として、緯度・経度で表され、N進法が10(10進法)であることを示している。さらに、車両走行速度データ項目411cとして、車両走行速度データの単位はkm/hであることを示している。なお、システム上でのメタデータの具体的表現形式は、本例で示したJSON形式以外のものであってもよい。
【0059】
サービス利用データメタデータ412は、サービス利用データ402の項目やその記述形式を表すデータである。本実施形態のサービス利用データメタデータ412は、パーソナルデータが車両走行データのときに、それを変換したサービス利用データ402のメタデータであり、図8に示されるように、サービスシナリオリスト412Aとして、サービスのシナリオに応じた複数のメタデータが定義されている。図8の例では、サービスシナリオリスト412Aの下位リストとして、事故緊急通報サービスの定常時リスト412A1、緊急時リスト412A2の2種類のシナリオで用いられるメタデータの例を記載している。
【0060】
サービスシナリオリスト412Aの先頭の定常時リスト412A1には、車両データタイムスタンプデータ項目412A1a、車両位置データ項目412A1bを含んでいる。そして、車両データタイムスタンプの表現方法は、UTC時刻を用いていることを示している。また、車両位置データの表現方法は、エリアコードで表され、N進法はNULL、すなわち、N進法表現は使用しないことを示している。
【0061】
続く緊急時リスト412A2には、車両データタイムスタンプデータ項目412A2a、車両位置データ項目412A2b、車両走行速度データ項目412A2bを含んでいる。そして、車両データタイムスタンプの表現方法は、UTC時刻を用いていることを示している。また、車両位置データの表現方法は、緯度・経度で表され、N進法が10(10進法)であることを示している。さらに、車両走行速度データの単位はm/secであることを示している。このようなリストによって複数のメタデータを定義し、サービスのシナリオ毎に使用するメタデータを切り替えることができる。なお、システム上でのメタデータの具体的表現形式は、本例で示したJSON形式以外のものであってもよい。
【0062】
データ流通制御データ431は、データ流通制御部130が他のコンポーネントとデータのやり取りに関する手順やデータ形式を記述するデータであり、例えば、図9に示されるように、XACML(eXtensible Access Control Markup Language)のようなXMLベースのマークアップ言語を使用して、データアクセス制御のルールを記述し、そのルールに則ってデータフローを制御する情報を記述するデータである。なお、データ流通制御データ431の記述は、XACML以外の記述形式でもよい。
【0063】
スクリプト管理テーブル442は、データ項目ごとに、変換前と変換後のデータの属性のペアと、変換を実現するためのスクリプトの情報を記述するテーブルであり、図10に示されるように、データID442a、変換前属性442b、変換後属性442c、変換用スクリプト442dの各フィールドからなる。データID442aには、データの種別を一意に識別するIDが格納される。変換前属性442bには、データID442aのデータの変換前の属性が格納される。変換後属性442cには、データID442aのデータの変換前の属性が格納される。変換用スクリプト442dには、変換を実現するためのスクリプトの名称やIDが格納される。
【0064】
データ提供・データ利用情報データ420は、図示しなかったが、データ流通仲介装置100が、データ提供装置200、データ利用装置300を利用するためのネットワークアドレスやその他の論理的情報である。
【0065】
同意手続情報データ422は、図示しなかったが、データの所有者が利用規約に同意したか否か、同意日時などのデータの所有者の同意に関する情報に関するデータである。
【0066】
スクリプトデータ441は、図示しなかったが、パーソナルデータ401から、サービス利用データ402に変換を行うためのスクリプトを記述するデータである。
【0067】
【0068】
先ず、データ所有者端末10は、ユーザ(データ所有者)の操作に応じて、データ流通仲介装置100にデータ利用装置300が提供するサービス利用要求メッセージM01を送信する(図11A)。サービス利用要求メッセージM01は、図示しなかったが、サービスIDとユーザID等を含むメッセージである。ここで、サービスIDは、データ利用装置300が提供するサービスを識別する識別子であり、ユーザIDは、ユーザを識別する識別子である。
【0069】
データ流通仲介装置100は、通信部140よりサービス利用要求メッセージM01を受信し、受信したサービス利用要求メッセージM01に関する情報を保持する。
【0070】
次に、データ提供・データ利用情報データ420には、サービスIDとデータ利用装置300とを関連付ける情報が予め定義されており、データ流通仲介装置100は、受信したサービス利用要求メッセージM01に含まれるサービスIDに該当するデータ利用装置300に、該サービスIDにおけるサービス利用規約要求メッセージM02を通信部140により送信する。
【0071】
データ利用装置300は、送信されたサービス利用規約要求メッセージM02を受信し、データ利用装置300は、受信したサービス利用規約要求メッセージM02に含まれるサービスIDに対応するサービス利用規約データの情報を含むサービス利用規約レスポンスR01をデータ流通仲介装置100に返信する。
【0072】
ここで、サービスIDに対応するサービス利用規約データは、該サービスIDに対応するサービスを提供するサービス事業者が定めた利用規約を表現する情報を含むデータである。
【0073】
次に、利用規約管理部121は、サービス利用規約データに該サービスの利用規約に不備がないか否かを確認し、不備がある場合には、該サービスの利用規約を修正し、ユーザに開示する規約を確定して(S01)、サービス利用規約データの情報を、図6に示した利用規約テーブル421として保管する(S02)。
【0074】
そして、データ流通仲介装置100は、通信部140を介して、データ利用装置300に、サービス利用規約確定通知N01を送信し、データ所有者端末10に、サービス利用規約の内容を含むサービス利用規約通知N02を行う。
【0075】
次に、同意手続管理部122は、データ所有者が送信したサービス利用規約に同意することを要求する同意要求メッセージM03を、データ所有者端末10に送信する。
【0076】
データ所有者端末10は、サービス利用規約の内容と、同意要求メッセージM03を受け取ったことをデータ所有者に知らせ、表示画面を通じて受け取ったサービス利用規約の内容と、同意要求メッセージM03の内容を表示する。データ所有者は、表示されている画面に表示されているサービス利用規約の内容と、同意要求メッセージM03の内容に基づき、新たに利用したいサービスの利用規約を同意するか否かの意思表示し(S03)、データ所有者端末10は、同意した場合に、同意通知N03をデータ流通仲介装置100に送信する。
【0077】
次に、同意手続管理部122は、通信部140を介して同意通知N03から同意したサービスに関する情報を取得し、例えば、どのデータ所有者が、どのサービスに、どのような利用規約を同意するかを、同意手続情報データ422として保管する(S04)。
【0078】
次に、パーソナルデータメタデータ管理部111は、パーソナルデータメタデータ提供要求メッセージM11をデータ提供装置200に送信し、する。パーソナルデータメタデータ411の提供を要求する(図11B)。パーソナルデータメタデータ411は、データ提供装置200で保有するパーソナルデータのデータカタログとして公開されたものである。一方、データカタログとして公開されていない場合でも、データ所有者の権利として、データ所有者がデータ所有者端末10からデータ流通仲介装置100を介して、データ提供装置200にパーソナルデータメタデータ411の提供を依頼することができる。
【0079】
次に、パーソナルデータメタデータ管理部111は、データ提供装置200から提供されるパーソナルデータメタデータ411を含むパーソナルデータメタデータレスポンスR11を受信し、受信した図7に示すパーソナルデータメタデータ411を保管する(S11)。
【0080】
次に、サービス利用データメタデータ管理部112は、パーソナルデータの収集、蓄積、利用用途を含む利用規約テーブルの情報と、同意手続情報データ422に基づき、図8に示すサービス利用データメタデータ412を生成し(S12)、そのサービス利用データメタデータ412を保管する(S13)。
【0081】
次に、データ利用装置300からのサービス利用データ要求メッセージM12をデータ流通仲介装置100が受信し、データ流通制御部130がそのデータ要求の内容の妥当性を判定することにより、データ流通仲介装置100が、データ提供装置200へのパーソナルデータ要求メッセージM13を送信するか、データ要求に対する拒否のレスポンスを、データ利用装置300へ送信するかを決定する。
【0082】
データ流通制御部130がそのデータ要求の内容の妥当性と判定したときには、データ所有者が新たに利用したいサービスで必要なパーソナルデータ要求メッセージM13をデータ提供装置200に送信する。
【0083】
なお、必ずしもデータ利用装置300からのデータ要求メッセージM12がなくとも、データ所有者端末10からサービス要求メッセージM01を受けたときに、データ提供装置200へのパーソナルデータ要求メッセージM13を送信するようにしてもよい。
【0084】
次に、データ提供装置200は、データ流通仲介装置100からの要求に対し、同意手続情報データ422を参照し、ユーザが同意済みであることを確認し、ユーザIDとデータ項目を使って必要なパーソナルデータを検索し、それらのパーソナルデータ401を含むパーソナルデータ提供レスポンスR12を、データ流通仲介装置100に送信する。
【0085】
次に、メタデータ属性差異検出部113は、図7のパーソナルデータメタデータ411と、図8に示されるサービス利用データメタデータ412の差異を検出する(S14)。図8で示したように、シナリオ毎サービス利用データメタデータ特定部114は、現在どのシナリオのサービスが提供されているかを検出し、その検出した情報から、図8のメタデータのリストの内、どのメタデータを使用すべきかを特定する。現在どのシナリオのサービスが提供されているかを検出する方法として、例えば、データ利用装置300からのサービス利用データ要求メッセージM12の内容によって検出する(例えば、パラメータに、“定常時”、“緊急時”をつける)ことが考えられる。そして、パーソナルデータ変換判定部115は、S14でのメタデータ属性差異検出部113でのメタデータの差異検出結果に基づき、パーソナルデータの変換要否を判定する(S15)。パーソナルデータの変換が必要だと判定された場合には(S15:Yes)、パーソナルデータ変換処理部116は、パーソナルデータの変換処理を行う(S16)、一方、S16でパーソナルデータの変換が不要だと判定された場合には(S15:No)、パーソナルデータの変換処理S16は、スキップされる。
【0086】
例えば、S16のパーソナルデータの変換処理は、例えば、図10に示したスクリプト管理テーブル442を参照し、該当するデータ項目と変換の仕様に従って対応するスクリプトを実行することにより実現することができる。また、一つの変換プログラムにより全てのデータ項目の変換を行うようにしてもよい。
【0087】
次に、データ流通仲介装置100は、受信した新たに利用したいサービスのために必要なパーソナルデータに関し、データ提供・データ利用情報データ420を参照し、データ利用装置300に提供するための図9に示されるデータ流通制御データ431を生成する(S17)。
【0088】
次に、データ流通仲介装置100は、パーソナルデータ401を変換せずに、あるいは、S16で変換したデータを、サービス利用データ402として、サービス利用データ402を含むサービス利用データ転送レスポンスR12をデータ利用装置300に送信する。サービス利用データ転送レスポンスR12には、データ所有者を識別するためのユーザIDと、サービスを識別するためのサービスID、該サービスで必要なサービス利用データ402のデータ項目が含まれる。
【0089】
次に、データ流通仲介装置100は、データ利用装置300に提供したデータ提供履歴を更新する(S18)。データ提供履歴には、タイムスタンプ、ユーザID、サービスID、データ項目が含まれる。
【0090】
次に、データ利用装置300は、サービス提供のためにデータを利用し(S19)、データ所有者端末10にサービス提供通知を送信する(N11)。
【0091】
本実施形態によれば、データ提供者にて収集され保有しているデータと、新たなサービスを提供するサービス事業者が取り扱うデータの間で、それらの内容に差異がある場合に、データ変換要否を判定し、適当なデータ変換処理を行った後、データを流通させることができる。また、データ提供者で保有されるデータ仕様が変更になった場合や、サービス事業者が新たなサービスの提供を開始する場合や、提供するサービスが複数のシナリオを持っている場合等、データ提供者で保有されるデータおよび、サービスで使用されるデータの動的な変化に対応して、データ変換要否判定と、適当なデータ変換処理を行って、データを流通させることができるため、サービス提供で用いることができないデータが流通してしまうことを抑止し、データ流通を活性化することができる。また、実施形態はパーソナルデータの流通に関する例を挙げて説明したが、パーソナルデータに限る必要はなく企業で保有する法人データに対しても本発明を適用することができ、上記と同様の効果を得ることができる。
【0092】
【0093】
実施形態1では、データ提供者にて収集され保有しているデータと、新たなサービスを提供するサービス事業者が取り扱うデータの間で、それらの内容に差異がある場合に、データ流通仲介装置でデータ変換要否を判定し、適当なデータ変換処理を行うデータ流通仲介システムの例を説明した。
【0094】
本実施形態では、実施形態1のデータ流通仲介システムをベースとして、データ所有者のプライバシー保護のためのプライバシーランクという概念を導入したシステムに関するものである。
【0095】
以下、実施形態1のデータ流通仲介システムと異なる所を中心に説明する。
【0096】
先ず、図12を用いて実施形態2に係るデータ流通仲介装置の機能構成図について説明する。
実施形態2に係るデータ流通仲介装置は、実施形態1と比べて、プライバシーランクデータ423を保持していることが異なっている。
実施形態2に係るデータ流通仲介装置は、実施形態1と比べて、プライバシーランクデータ423を保持していることが異なっている。
【0097】
プライバシーランクデータ423については、図13を用いて以下に詳細に説明する。
プライバシーランクデータ423は、個人のプライバシーの保護するランクに従って、データ変換の仕方を記述するデータであり、例えば、図13に示されように、プライバシーランク423a、車両位置データ423bの各フィールドを有する。
プライバシーランクデータ423は、個人のプライバシーの保護するランクに従って、データ変換の仕方を記述するデータであり、例えば、図13に示されように、プライバシーランク423a、車両位置データ423bの各フィールドを有する。
【0098】
プライバシーランク423aには、プライバシーランクを表すコードが格納される。車両位置データ423bには、サービス利用データ402でのデータ表現の形態が格納される。
【0099】
図13の例では、プライバシーランクの数が小さいほど、より強くプライバシーの保護するように設定されている。例えば、プライバシーランク423aの値「1」では、サービス利用データとしては、国のコード「カントリーコード」のみが利用されるが、プライバシーランク423aの値「5」では、サービス利用データとしては、国のコードのみが利用されるが、「道路ID+道路区間ID+緯度経度」のように、車両がどこを走行しているかの詳細な情報が開示される。
【0100】
次に、図14を用いて実施形態2に係る利用規約テーブルの一例について説明する。
実施形態2に係る利用規約テーブル421は、図6に示した実施形態1の利用規約テーブル421で規約ID422a「A6」、規約ID422b「加工利用」に該当する規約内容422cの値のみ異なっている。
実施形態2に係る利用規約テーブル421は、図6に示した実施形態1の利用規約テーブル421で規約ID422a「A6」、規約ID422b「加工利用」に該当する規約内容422cの値のみ異なっている。
【0101】
本実施形態の利用規約テーブル421の該当する規約内容では、定常時の位置情報データの加工と問合せ先情報がプライバシーランクを用いて記述されている。
【0102】
次に、図15を用いて実施形態2に係るスクリプト管理テーブルの一例を説明する。
本実施形態スクリプト管理テーブルでは、図14の利用規約テーブル421に規定されている加工内容に従って、データID442a「D200」のパーソナルデータの変換の属性として、変換前属性442bのプライバシーランク4の表現「緯度経度」から、変換後属性442cのプライバシーランク3の表現「エリアコード」で表現されることを示している。
本実施形態スクリプト管理テーブルでは、図14の利用規約テーブル421に規定されている加工内容に従って、データID442a「D200」のパーソナルデータの変換の属性として、変換前属性442bのプライバシーランク4の表現「緯度経度」から、変換後属性442cのプライバシーランク3の表現「エリアコード」で表現されることを示している。
【0103】
以上、本実施形態によれば、プライバシーランクを導入することにより、利用規約改定時にも、プライバシーランクデータ423のみを修正すればよいので、システムの改変を最低限に抑えて、メンテナンス性を向上させることができる。
【符号の説明】
【0104】
5…ネットワーク、10…データ所有者端末、100…データ流通仲介装置、200…データ提供装置、300…データ利用装置、101…データ提供者管理部、102…サービス事業者管理部、110…パーソナルデータ変換部、111…パーソナルデータメタデータ管理部、112…サービス利用データメタデータ管理部、113…メタデータ属性差異検出部、114…シナリオ毎サービス利用データメタデータ特定部、115…パーソナルデータ変換判定部、116…パーソナルデータ変換処理部、121…利用規約管理部、122…同意手続管理部、130…データ流通制御部、140…通信部、150…記憶部、401…パーソナルデータ、402…サービス利用データ、411…パーソナルデータメタデータ、412…サービス利用データメタデータ、420…データ提供・データ利用情報データ、421…利用規約テーブル、422…同意手続情報データ、423…プライバシーランクデータ、431…データ流通制御データ、441…スクリプトデータ、442…スクリプト管理テーブル
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11A】
【図11B】
【図12】
【図13】
【図14】
【図15】