知財求人 - 知財ポータルサイト「IP Force」
特許7606481パーソナルデータを含む媒体の安全な保存と、保存されたパーソナルデータの消去と、のためのデバイス及び方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-12-17
(45)【発行日】2024-12-25
(54)【発明の名称】パーソナルデータを含む媒体の安全な保存と、保存されたパーソナルデータの消去と、のためのデバイス及び方法
(51)【国際特許分類】
G06F 21/62 20130101AFI20241218BHJP
【FI】
G06F21/62 354
【請求項の数】
15
【外国語出願】
(21)【出願番号】P 2022013847
(22)【出願日】2022-02-01
(65)【公開番号】P2022122266
(43)【公開日】2022-08-22
【審査請求日】2024-11-11
(31)【優先権主張番号】21155892
(32)【優先日】2021-02-09
(33)【優先権主張国・地域又は機関】EP
【早期審査対象出願】
(73)【特許権者】
【識別番号】502208205
【氏名又は名称】アクシス アーベー
(74)【代理人】
【識別番号】110002077
【氏名又は名称】園田・小林弁理士法人
(72)【発明者】
【氏名】ファルク, ダニエル
(72)【発明者】
【氏名】トレス, ラルフ ベルゲル
【審査官】石坂 知樹
(56)【参考文献】
【文献】特表2022-530535(JP,A)
【文献】特表2021-533435(JP,A)
【文献】米国特許出願公開第2019/0377901(US,A1)
【文献】米国特許出願公開第2019/0377900(US,A1)
【文献】米国特許出願公開第2020/0311303(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/62
(57)【特許請求の範囲】
【請求項1】
パーソナルデータを含むファイルを保存するための方法(100)であって、人の一時的な無記名の識別子(AnonID.m)であって、前記ファイルのトークン(FileID.m)に依存する一時的な無記名の識別子(AnonID.m)を取得すること(114)と、
前記ファイルから、前記人に関連付けられているパーソナルデータアイテムを抽出すること(116)と、
前記パーソナルデータアイテムのそれぞれについて、前記パーソナルデータアイテムが前記ファイルに回復されることを可能にするロケータ(Loc.m.n)と、前記人の、そのアイテム特有の無記名の識別子(AnonID.m.n)と、を生成すること(118)であって、前記アイテム特有の無記名の識別子は、予め定められた一方向性関数を、前記一時的な無記名の識別子(AnonID.m)と前記パーソナルデータアイテムの識別子(n)との組み合わせに適用することにより生成される、ロケータと識別子とを生成すること(118)と、
前記パーソナルデータアイテムのそれぞれを、前記ロケータと前記アイテム特有の無記名の識別子と共に、第1のメモリに保存すること(120)と、
前記パーソナルデータアイテムを含まない、前記ファイルの無記名化されたバージョンを、第2のメモリに保存すること(130)と、
を含む、方法。
【請求項2】
前記人に対するカウンタエントリであって、前記人に関連付けられている前記パーソナルデータアイテムのすべての一覧の包括性の検証を可能にするカウンタエントリを保存すること(122)をさらに含む、請求項1に記載の方法。
【請求項3】
前記カウンタエントリは、前記一方向性関数を前記一時的な無記名の識別子(AnonID.m)に適用することにより生成された、前記人の、認識可能な無記名の識別子(RecAnonID.m)を含む、請求項2に記載の方法。
【請求項4】
データの受領者により行われ、前記予め定められた一方向性関数と共に構成されている一方向性関数インターフェースを利用可能にして(110)、人が、前記一時的な無記名の識別子(AnonID.m)を、プライベート識別子(PrivID)と前記ファイルの前記トークン(FileID.m)との組み合わせに基づいて、前記プライベート識別子を前記データの受領者とシェアすることなく、生成できるようにすることと、
前記ファイルの前記トークン(FileID.m)を、前記人又は前記一方向性関数インターフェースと任意選択的にシェアすること(112)と、
をさらに含む、請求項1から3のいずれか一項に記載の方法。
【請求項5】
前記一方向性関数インターフェースは、前記人が、前記プライベート識別子(PrivID)を、パーソナル識別子(ID)に基づいて生成できるようにするようさらに構成されている、請求項4に記載の方法。
【請求項6】
前記一時的な無記名の識別子(AnonID.m)の不揮発性の保存を防止するアクションをとること(124)をさらに含む、請求項1から5のいずれか一項に記載の方法。
【請求項7】
前記ファイルにおける前記パーソナルデータアイテムを、削除することと、隠すことと、編集することと、マスクすることと、置き換えること、上書きすること、フィルタすること、画像処理することと、のうちの少なくとも1つを含む無記名化動作により削除して(128)、前記ファイルの前記無記名化されたバージョンを取得することをさらに含む、請求項1から6のいずれか一項に記載の方法。
【請求項8】
前記ファイルの更新された無記名化されたバージョンを前記第2のメモリに保存すること(134)をさらに含む、請求項1から7のいずれか一項に記載の方法。
【請求項9】
前記パーソナルデータアイテムのうちの少なくとも1つは、ビデオシーケンスにおけるフレームのエリアであり、前記ロケータ(Loc.m.n)は、前記ビデオシーケンスにおける前記フレームを示し、前記フレームにおける前記エリアをさらに示す、
請求項1から8のいずれか一項に記載の方法。
【請求項10】
パーソナルデータアイテムが、対応するロケータ(Loc.m.n)と、前記パーソナルデータアイテムに関連付けられている人の、アイテム特有の無記名の識別子(AnonID.m.n)と共に、請求項1に記載の方法で予め保存されている第1のメモリから、人に関連付けられているパーソナルデータを消去するための方法(200)であって、前記人のプライベート識別子(PrivID)を取得すること(210)と、
前記パーソナルデータアイテムが抽出された可能性のあるすべてのファイルのトークン(FileID.m)を取得すること(212)と、
ファイルトークン(FileID.m)のそれぞれ1つについて、前記人に関連付けられており且つ対応するファイルから抽出された可能性のあるすべての前記パーソナルデータアイテムの識別子(n)を取得すること(214)と、
予め定められた一方向性関数を、取得された前記プライベート識別子(PrivID)と、取得された前記ファイルトークン(FileID.m)との組み合わせに適用することにより、前記人の一時的な無記名の識別子(AnonID.m)を生成すること(216)と、
前記人の生成された前記一時的な無記名の識別子(AnonID.m)のそれぞれについて、前記予め定められた一方向性関数を、前記一時的な無記名の識別子(AnonID.m)と前記パーソナルデータアイテムの取得された前記識別子(n)との組み合わせに適用することにより、前記人の、アイテム特有の無記名の識別子(AnonID.m.n)を生成すること(218)と、
前記人の生成された前記アイテム特有の無記名の識別子(AnonID.m.n)のいずれかにマッチする前記パーソナルデータアイテムのすべてを、前記第1のメモリから消去すること(224)と、
を含む、方法。
【請求項11】
前記パーソナルデータアイテムが抽出された可能性のあるすべてのファイルの前記トークン(FileID.m)が、前記パーソナルデータアイテムが抽出された前記ファイルの無記名化されたバージョンが請求項1に記載の方法で予め保存された第2のメモリにクエリを送ること(212.1)により取得される、請求項10に記載の方法。
【請求項12】
前記すべてのパーソナルデータアイテムの前記識別子(n)は、前記人に対するカウンタエントリを回収すること(214.1)により取得される、請求項10又は11に記載の方法。
【請求項13】
前記人に関連付けられている前記すべてのパーソナルデータアイテムの前記識別子(n)を一覧することと、一覧された前記識別子の包括性を、回収された前記カウンタエントリに基づいて検証することと、
をさらに含む、請求項12に記載の方法。
【請求項14】
第1及び第2のメモリ(421、422)に通信可能に接続されており、請求項1から13のいずれか一項に記載の方法を行うよう配置されている処理回路(411)を含む、デバイス(410)。
【請求項15】
コンピュータプログラムであって、前記プログラムがコンピュータにより実行されると、前記コンピュータに、請求項1から13のいずれか一項に記載の方法を実行させる命令を含む、コンピュータプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、パーソナルデータを含む媒体を安全に保存及び再生し、そのようなパーソナルデータを要求に応じて確実に消去するための技術に関連する。
【背景技術】
【0002】
本発明は、パーソナルデータと他のデータとを混合したものを含む媒体の保存に対処し、特に、パーソナルデータの処理に関する自然人の保護と、そのようなデータの自由な移動と、についての規則(欧州)2016/679(一般データ保護規則(GDPR))、中国サイバーセキュリティ法、カリフォルニア州消費者プライバシ法、及び、他の米国連邦法及び州法などの法的文書において著される、身分のプライバシセーフガードを満たすような技術を提案することを模索する。GDPRの下では、人はそれぞれ、彼又は彼女の保存されたパーソナルデータの完全な抹消をいつでも要求する権利を有すものとする。これは、データ主体の、消去に対する権利、又は、「忘れられる権利」と呼ばれる。既存の技術においては、しかし、忘れられる権利は、多くのデータセットを長期にわたって管理するためにおおよそ必須のツールである、データバージョンコントロールと両立し得ない場合がある。
【0003】
テキスト、画像、及びビデオデータなどの離散していない媒体の保存に関連して、特定の困難な事態が生じる。1つのシナリオにおいては、ある人(データ主体)が、ある会社(データの受領者)に対して、フレームのごく小さな一部に彼女が現れるビデオを保存することを以前に同意しており、そして、そのデータの受領者に接触し、彼女のパーソナルデータを消去するよう要求する。そのデータの受領者には、原則として、その人が現れるそれら以外のフレームのすべてを保持する権限が与えられている一方で、ビデオフレームのそれぞれに対するパーソナル識別子を保存することは、データ保護の観点から、多くの問題となるであろう。これは、関連付けられているプライバシのリスクがより高い、識別されたパーソナルデータを保存することは、現実的には手に負えないものとなり得る、より高い安全レベルを確かなものとする技術的構成を必要とするからである。この人の消去に対する要求を満たすため、したがって、データの受領者には、完全なビデオシーケンスを無差別に抹消するオプションがある。これは、有益なデータの重度で不当な損失を表す。
【発明の概要】
【0004】
本開示の1つの目的は、パーソナルデータを含むファイルを保存するための方法及びデバイスを、データ主体の、彼女のパーソナルデータの消去に対する要求を、そのファイルに含まれる他のデータを不必要に抹消することなく遂行することができるよう、利用可能にすることである。別の目的は、パーソナルデータを伴うそのファイルが、そのような消去に対する要求が行われるまで、依然として、それ自体を効率的な管理及び処理に役立つ形態にて、安全に保存されることを確かにすることである。本開示により対処される特定の安全な態様は、保存されたパーソナルデータへの権限のないアクセスを得た者が、それが属するデータ主体(人)を識別することを防止することである。特定の効率的な態様は、バージョンコントロールを可能にすることである。本開示の別の目的は、ここに提案する技術を使用して安全に保存された、パーソナルデータを伴うファイルを効率的に回復させるための方法及びデバイスを利用可能にすることである。
【0005】
これら及び他の態様は、独立請求項に係る本発明により実現される。従属請求項は、本発明の好適な実施形態に関する。
【0006】
本発明の第1の態様においては、パーソナルデータを含むファイルを保存するための方法が提供される。この方法は、人の一時的な無記名の識別子(AnonID.m)であって、そのファイルのトークン(FileID.m)に依存する一時的な無記名の識別子(AnonID.m)を取得することと、そのファイルから、その人に関連付けられているパーソナルデータアイテムを抽出することと、パーソナルデータアイテムのそれぞれについて、そのパーソナルデータアイテムがそのファイルに回復されることを可能にするロケータ(Loc.m.n)と、その人の、アイテム特有の無記名の識別子(AnonID.m.n)と、を生成することであって、そのアイテム特有の無記名の識別子は、予め定められた一方向性関数を、その一時的な無記名の識別子(AnonID.m)と、そのパーソナルデータアイテムの識別子(n)と、の組み合わせに適用することにより生成された、ロケータと識別子を生成することと、パーソナルデータアイテムのそれぞれを、そのロケータと、そのアイテム特有の無記名の識別子と、共に、第1のメモリに保存することと、それらのパーソナルデータアイテムを含まない、そのファイルの無記名化されたバージョンを、第2のメモリに保存することと、を含む。
【0007】
アイテム特有の無記名の識別子は、一方向性関数を使用して生成されるため、第1のメモリへの権限のないアクセスを得た者は、保存されたパーソナルデータアイテムを、その人に対する属性とすることが容易にできない。また、権限のない者については、同じ人に関連付けられているパーソナルデータアイテムのすべてを集める方法がない。これは、そのファイルの匿名化の形態と考えてよい。そのファイルは、第2のメモリに保存される前に無記名化されるため、このメモリは、第1のメモリよりも厳しくない安全要件の対象となってよい。その人は、一時的な無記名の識別子により識別されるため、データの受領者は、そのファイルを保存するための方法を、その人に、彼女自身の非無記名の識別子をシェアすることを求めることなく、実行することができる。最後に、パーソナルデータアイテムのそれぞれは、アイテム特有の無記名の識別子と共に保存されるため、特定の人に関連するアイテムのすべての包括的かつ高精度な抹消が、要求に応じて可能である。
【0008】
第2の態様においては、人に関連付けられているパーソナルデータを、パーソナルデータアイテムを、対応するロケータ(Loc.m.n)と、それらのパーソナルデータアイテムに関連付けられている人の、アイテム特有の無記名の識別子(AnonID.m.n)と、共に保存する第1のメモリから消去するための方法が提供される。この方法は、その人のプライベート識別子(PrivID)を取得することと、それらのパーソナルデータアイテムがそれらから抽出され得るファイルのすべてのトークン(FileID.m)を取得することと、それらのファイルのそれぞれ1つについて、その人に関連付けられており、そのファイルから抽出され得るパーソナルデータアイテムのすべての識別子(n)を取得することと、その人の一時的な無記名の識別子(AnonID.m)を、予め定められた一方向性関数を、取得されたプライベート識別子(PrivID)と、取得されたファイルトークン(FileID.m)と、の組み合わせに適用することにより、生成することと、その人の生成された一時的な無記名の識別子(AnonID.m)のそれぞれについて、その人の、アイテム特有の無記名の識別子(AnonID.m.n)を、予め定められた一方向性関数を、その一時的な無記名の識別子(AnonID.m)と、それらのパーソナルデータアイテムの取得された識別子(n)と、の組み合わせに適用することにより、生成することと、その人の生成されたアイテム特有の無記名の識別子(AnonID.m.n)のいずれかにマッチするパーソナルデータアイテムのすべてを、第1のメモリから消去することと、を含む。
【0009】
パーソナルデータアイテムのそれぞれが、アイテム特有の無記名の識別子と共に保存されているという事実は、特定の人に関連するアイテムのすべてを包括的かつ高精度に見つけて消去することを可能にする。第2の態様に係るこの消去方法は、パーソナルデータアイテムがそれらから抽出されているそれらのファイルのいずれの無記名化されたバージョンを変更又は抹消することを必要としない。これは、そのファイルが、その人のパーソナルデータアイテムの消去後に、どのように、どの程度まで復旧されるかを、データの受領者が自由に決定するようにする。データの受領者は、該当するデータのタイプと、対象としている使用事例と、に適している細かさの程度にしたがって、消去後に、そのファイルのサブセットを再構成してそれを使用するよう決定してよい。いくつかの例に言及すると、例えば、人の顔の、画像からの消去後、この画像の切り取られたバージョンが、さらなる使用のために保持されてよい。人の顔の、ビデオシーケンスにおける特定のフレームからの消去後、残りのビデオフレームのすべて、又は、少なくともN個の残りのフレームの連続するビデオのサブシーケンスのそれぞれが、保持されてよい。人の名前の、データベースの行からの消去後、そのデータベースの他の行が、保持されてよい。人の認証情報の、文書からの消去後、その文書の他のセクションが、保持されてよい。この消去方法はそれ自体、そのファイルを復旧することにおけるいずれの大きな技術的制限を伴わない。最後に、この方法の実行により、その人に関連付けられているパーソナルデータのすべてが完全に消去されたことを検証するため、生成されたアイテム特有の無記名の識別子がどれも、第1のメモリに保存されたままのそれらのパーソナルデータアイテムのいずれともマッチしないことを証明すれば十分である。
【0010】
第3の態様では、パーソナルデータをファイルに回復させるための方法が提供される。この方法は、ファイルから抽出されたパーソナルデータアイテムを、対応するロケータ(Loc.m.n)と、それらのパーソナルデータアイテムに関連付けられている人の、アイテム特有の無記名の識別子(AnonID.m.n)と、共に保存している第1のメモリから、そのファイルから抽出されたそれらのパーソナルデータアイテムと、対応するロケータと、を回収することと、第2のメモリから、それらのパーソナルデータアイテムを含まない、そのファイルの無記名化されたバージョンを回収することと、それらのパーソナルデータアイテムを、それらの対応するロケータにしたがって、その無記名化されたバージョンに回復させることと、を含む。
【0011】
これらのパーソナルデータアイテムは、対応するロケータと、アイテム特有の無記名の識別子と、共に保存されているため、これらのパーソナルデータアイテムを、そこに関連付けられているそれらの人のプライバシを危険にさらすことなく、そのファイルの無記名化されたバージョンに正しく回復させることができる。この回復方法は、データの受領者により、その人に、彼女自身の非無記名の識別子をシェアすることを要求することなく、実行することができる。さらに、この回復方法は、そのファイルの無記名化されたバージョンを、入力として使用するため、この方法は、例えば、関連付けられている人による要求に応じて、これらのパーソナルデータのいくらか又はすべてが、第1のメモリから消去される場合でも、確実に実行されることとなる。その場合には、より正確には、この方法は、確実に実行され、消去されたパーソナルデータアイテムがそれらから消去された部位が、破損効果を有しない、(一貫している、判読可能である、編集可能である、などの)使用可能なファイルバージョンを返すことを終えるようにしてよい。
【0012】
共に使用されると、本発明のこれらの3つの態様は、意図的にプライバシを持つデータストレージエコシステムを形成する。
【0013】
第1及び第2のメモリに通信可能に接続されており、第1、第2、又は第3の態様の方法を行うよう配置されている処理回路を含むデバイスが、さらに提供される。本発明は、コンピュータ、又は、特に、このデバイスに、第1、第2、又は第3の態様の方法を実行させる命令を含むコンピュータプログラムにさらに関する。このコンピュータプログラムは、データキャリアに保存されてよい、又は、これにより配布されてよい。ここで使用するように、「データキャリア」は、変調された電磁波又は光波などの一時的データキャリア、又は、非一時的データキャリアであってよい。非一時的データキャリアは、磁気、光学、又はソリッドステートタイプの恒久的及び非恒久的記憶媒体などの、揮発性及び不揮発性メモリを含む。依然として、「データキャリア」の範囲内では、そのようなメモリは、固定的に載置されてよい、又は、ポータブルであってよい。
【0014】
本開示において、「ファイル」は、幅広く使用され、データベース、ファイルアーカイブ、又は他のデータストレージのコンテキストを含む、ファイルシステムにおいて独立して保存可能及び/又は処理可能ないずれのデータセットを指す。消去に対する要求に応えて、データを不必要に削除することを回避する利益において、データの受領者は通常、パーソナルデータを含む媒体を、実際的にできるだけ小さいチャンクとして、つまり、通常は、ファイル毎に扱うことを欲するであろう。本発明は、それが、ファイルだけでなく、ファイルのサブセットまでもが、人のパーソナルデータが消去された後に、復旧されることを可能とする限りにおいて、この要求と一致する。先にリスト化される例を再度参照すると、ファイルは、例えば、画像、ビデオシーケンス、データベース、又は文書に対応してよい。
【0015】
本開示は、「パーソナルデータ」、「データ主体」(つまり、自然人)、「データの受領者」(つまり、パーソナルデータが少なくとも開示される者)、及び「匿名化」という用語を、GDPRにおけるそれらの意味と一貫して使用するよう努める。結果として、「パーソナルデータアイテム」は、「パーソナルデータ」のアイテム、例えば、人の顔を含む画像のエリア、個人として所有する車のライセンスプレートが映るビデオフレーム、人の名前を含むデータベースの行、又は、人の認証情報を含む文書のセクションである。
【0016】
一般的に、特許請求の範囲にて使用するすべての用語は、本明細書にて明確に定義しない限り、技術分野におけるそれらの通常の意味にしたがって解釈される。「ある(a/an)/その(the)エレメント、機器、コンポーネント、手段、ステップ、など」を指すものはすべて、特に明記しない限り、そのエレメント、機器、コンポーネント、手段、ステップ、などのうちの少なくとも1つの例を指すものとして公然と解釈される。本明細書に開示するいずれの方法のステップは、明記しない限り、開示する順序に正しく行う必要はない。
【0017】
態様及び実施形態を、例示を目的として、添付の図面を参照して、以下に説明する。
【図面の簡単な説明】
【0018】
【図1】パーソナルデータを含むファイルを保存するための方法のフローチャートである。
【図2】人に関連付けられているパーソナルデータを消去するための方法のフローチャートである。
【図3】パーソナルデータを、保存されたファイルに回復させるための方法のフローチャートである。
【図5】矢印のそれぞれが一方向マッピングを表すキー導出構造を示す。
【発明を実施するための形態】
【0019】
本開示の態様を、本発明の特定の実施形態を示す添付の図面を参照して、以下にさらに詳細に説明する。これらの態様はしかし、多くの異なる形態にて体現されてよく、限定するものとして理解すべきでない。むしろこれらの実施形態は、例示を目的として、本開示が完璧で完全となり、本発明の態様のすべての範囲を当業者に十分伝えるよう提供される。本明細書を通して、類似の参照番号は類似の構成要素を示す。
パーソナルデータを含むファイルを保存する
パーソナルデータを含むファイルを保存する
【0020】
図1は、パーソナルデータを含むファイルを保存するための方法100を示す。方法100は、データの受領者、自然人、若しくは法人により、又は、その者のために行われてよい。この人は、このファイルを受信又は生成しており、ある人の、そのファイルにおいて、彼女のパーソナルデータを保存することについての同意をさらに取得している。この同意は、保存されるそのファイルにおけるパーソナルデータだけでなく、追加的なファイルも同様にカバーしてよい。方法100は、その人が、彼女の同意を取り消すシナリオを扱うことから考え出されている。この取り消しは、その人のパーソナルデータを完全に消去することに対する要求に等しくともよい。
【0021】
初期の、任意のステップ110において、予め定められた一方向性関数と共に構成されている一方向性関数インターフェース(図4のエレメント490を参照されたい)が、人に対して利用可能となり、彼女が、一時的な無記名の識別子(AnonID.m)を、プライベート識別子(PrivID)と、保存されるそのファイルのトークン(FileID.m)と、の組み合わせに基づいて生成できるようにする。一方向性関数インターフェースは、その人が、一時的な無記名の識別子(AnonID.m)を、プライベート識別子(PrivID)をデータの受領者とシェアすることなく、生成できるよう置かれた、ローカルにインストールされたソフトウェア、又は、オンラインインターフェースとして利用可能である。プライベート識別子(PrivID)をシェアすることは、図2を参照して以下に説明するように、その人が、彼女のパーソナルデータが消去されることを望む場合にのみ、必要であってよい。
【0022】
一方向性関数としては、方法100を実施することは、ハッシュ関数、特に、保存されるパーソナルデータの機密性を考慮して、適度なものと考えられる安全レベルを提供する暗号学的ハッシュ関数を使用してよい。これらの2つの例は、SHA-256及びSHA3-512である。一方向性関数は、一時的な無記名の識別子(AnonID.m)を、消去に対する要求が実行された際に再生できるよう、予め定められたものとする(例えば、それは、再生可能なものとする)。
【0023】
ステップ110においてその人に利用可能となる一方向性関数インターフェースは、さらに、その人が、プライベート識別子(PrivID)を、パーソナル識別子(ID)に基づいて生成できるようにしてよい。パーソナル識別子(ID)は、その人が、それを積極的にアーカイブすることなく再構成できる、識別番号、ソーシャルセキュリティ番号、パスポート番号、名前と誕生日の組み合わせ、などの民間用又は正式の識別子であってよい。この利点が重要であると考えられない場合、その人は、一方向性関数インターフェースに、任意のビットパターンを、プライベート識別子(PrivID)として、彼女が、消去に対する将来の要求に関連して、そのビットパターンを再生でき、そのビットパターンが、再生をする第三者に対して合理的に難しいと、その人が確信している限り、提供してよい。パーソナル識別子(ID)からプライベート識別子(PrivID)へのマッピングは、プライベート識別子(PrivID)を一時的な無記名の識別子(AnonID.m)にマップすることに使用されるものと同じ一方向性関数とすることができる。代替的に、異なる一方向性関数を使用することができる。どちらにしても、その人がプライベート識別子(PrivID)を確実に保存していない限り、彼女は、同じ一方向性関数、又は、複数の一方向性関数への将来のアクセスをも彼女が有しており、彼女のパーソナルデータの消去を依然として指示できることを、確かにすべきである。
【0024】
保存されるそのファイルのトークン(FileID.m)は、それを、第2のメモリに保存されたファイルについての情報に基づいて再構成できる限り、任意である。トークン(FileID.m)は、実行シーケンス番号であってよい。(例えば、消去が要求された際に)遡及効果のある一覧を可能とするために、トークンは、好ましくは、離散量である。例示的なトークンとしては、ファイル生成日、媒体記録データ、(そのファイルの無記名化されたバージョンの)ファイルサイズ、そのファイルサイズが、予め定められたサイズビンのセットに属するサイズビン(例えば、[0、10)、[10、20)、[20、30)、などの範囲における、MBでのサイズ)、ファイルコンテンツの指紋/ダイジェスト、ファイルシステムにおいてそのファイルを識別するファイル名、などが含まれる。パーソナルデータの消去を遂行するため、データの受領者は、これらのトークンの、完全な値のセットを、ファイルシステムに、第2のメモリにおいて保存されたファイルのすべてについてクエリを送ることにより、遡及して取得してよい。ファイル生成日がトークンとして使用された場合、完全な値のセットは、それにわたってファイルの保存が進み、これは、例えば、デジタル又は非デジタルのフォーマットにおいて、ワークログから読み出すことができるデータ範囲に対応する。本発明に必須ではない一方で、固有のトークンをファイルのそれぞれ(つまり、識別子)について使用することは、いくらかの利点がある。なぜならこれは、アイテム特有の無記名の識別子(AnonID.m.n)の間に不一致がないことを確かなものとするからである。代替的に、同一のトークン(FileID.m)が、同時に、又は、近い時点にて保存された複数のファイルのクラスタに対して使用され、機密性の高い一時的な無記名の識別子(AnonID.m)を保存する必要性が生じないようにしてよい。しかし、ファイルのすべてに対して一定のトークンを使用することは賢明ではない。なぜならこれは、アイテム特有の無記名の識別子のすべてが、共通のシーケンスに属し、保存されたパーソナルデータアイテムの合計量の効率的な文書への記録を不可能にすることを暗示するからである。そのような文書への記録は、完全消去が要求された際に、大きな助けとなるものである。
【0025】
保存されるそのファイルのトークン(FileID.m)が、例えば、今日の日付などとは違って、その人に対して未知である場合、その値は、その人とシェアされてよい。又は、これは、2番目の任意のステップ112において、一方向性関数インターフェースに直接供給されてよい。一時的な無記名の識別子(AnonID.m)は続いて、プライベート識別子(PrivID)と、トークン(FileID.m)と、の組み合わせに基づいて、正しく生成することができる。方法100は、ステップ110若しくはステップ112、又は、それらのステップの組み合わせを含んでよいし、含まなくともよい。
【0026】
方法100の次のステップ114において、その人の一時的な無記名の識別子(AnonID.m)が取得される。一時的な無記名の識別子(AnonID.m)は、そのファイルのトークン(FileID.m)と共に変わる。一時的な無記名の識別子(AnonID.m)を取得する好ましい方法は、それを、その人から受信することである。このような方法では、その人は、プライベート又はパーソナル識別子を、方法100を実行するデータの受領者とシェアする必要がない。
【0027】
ステップ116において、その人に関連付けられているパーソナルデータアイテムが抽出される。
【0028】
ステップ118において、ステップ116において抽出されたパーソナルデータアイテムのそれぞれについて、ロケータ(Loc.m.n)と、その人の、アイテム特有の無記名の識別子(AnonID.m.n)と、が生成される。
【0029】
ロケータ(Loc.m.n)は、パーソナルデータアイテムが、ファイルに回復されることを可能にする。その構造は、ファイルが関連する媒体のタイプに依存してよい。パーソナルデータアイテムが、画像のエリアであれば、ロケータ(Loc.m.n)は、その画像におけるそのエリアを、例えば、その境界ボックスの座標を単位として示してよい。ビデオデータについては、フレームにおける、その人の顔又は彼女の車のライセンスプレートに対応する、抽出されたエリアの回復を可能にするロケータは、そのフレームのシーケンス番号と、抽出されたエリアの画像の座標と、を示してよい。
【0030】
その人の、アイテム特有の無記名の識別子(AnonID.m.n)は、ステップ118において、予め定められた一方向性関数を、その一時的な無記名の識別子(AnonID.m)と、そのパーソナルデータアイテムの識別子(n)と、の組み合わせに適用することにより、生成される。一方向性関数は、その人が、一時的な無記名の識別子(AnonID.m)を生成するために使用したものと同じであってよい。又は、それは、同様の特性を持つ異なる一方向性関数であってよい。パーソナルデータアイテムの識別子(n)は、ファイル特有のシーケンス番号とすることができる。つまり、シーケンスカウンタが、保存される新たなファイルのそれぞれについて、又は、場合によっては、同時に保存されるファイルのクラスタのそれぞれについてリセットされ、識別子のそれぞれが、そのファイル(ファイルクラスタ)内において固有となるようにする。しかし、2つの異なるファイル(ファイルクラスタ)に属するパーソナルデータアイテムが、同一の識別子を有してよい。識別子(n)は、さらに、グローバルシーケンス番号であってよい。又は、それは、オペレーティングシステム、又は、別の関連するネームスペースのレベルでの、パーソナルデータアイテムの完全な識別子であってよい。数的なカウンタの代わりに、あるものは、アルファベットのカウンタ、又は、いずれの適した離散集合又は空間における値をとるカウンタを等しく使用してよい。カウンタは、予め定められた一覧(又は、増分)ルール
を使用してよい。
【0031】
あるファイルの連続するバージョンをそれぞれ保存することができる、方法100のさらなる発展型において、新たなバージョンが保存されると、ステップ118が繰り返される。これにより、それらのパーソナルデータアイテムのロケータが、そのファイルのバージョン(又は、コミット)v、つまり、Loc.m.n.v、にさらに依存する。これは、第2のメモリにおけるバージョンコントロールの実施をサポートする。
【0032】
図5を参照する。これは、識別子ID、PrivID、AnonID.m、AnonID.m.nがどのように関連するかを示す。下向きの矢印はそれぞれ、一方向性関数の適用に対応する。図5の左側の文字は、どのエンティティが、該当する識別子へのアクセスを有しているかをさらに示す。
A:プライベート識別子(ID)はデータ主体にある。データの受領者とのシェアは必要ない。
B:データ主体は、パーソナルデータを保存することに対する同意が取り消されるまで、プライベート識別子(PrivID)を保存する。その時点にて、データ主体は、プライベート識別子(PrivID)を、データの受領者とシェアし、データの受領者が、彼女のパーソナルデータを、方法200にしたがって消去できるようにする。
C:データ主体が、一時的な無記名の識別子(AnonID.m)の1つを、データの受領者とシェアすることは、彼女のパーソナルデータを伴うそのファイルの保存に同意することに等しい。データの受領者は、この識別子を使用し、そのファイルの保存を、方法100にしたがって遂行する。
D:データの受領者は、アイテム特有の無記名の識別子(AnonID.m.n)を、第1のメモリに、抽出されたパーソナルデータアイテムと共に保存する。データの受領者が、それらのパーソナルデータアイテムの要求された消去を、方法200にしたがって遂行できるようにするため、それらの識別子は、それらのパーソナルデータアイテムが抹消されるまで抹消できない。
A:プライベート識別子(ID)はデータ主体にある。データの受領者とのシェアは必要ない。
B:データ主体は、パーソナルデータを保存することに対する同意が取り消されるまで、プライベート識別子(PrivID)を保存する。その時点にて、データ主体は、プライベート識別子(PrivID)を、データの受領者とシェアし、データの受領者が、彼女のパーソナルデータを、方法200にしたがって消去できるようにする。
C:データ主体が、一時的な無記名の識別子(AnonID.m)の1つを、データの受領者とシェアすることは、彼女のパーソナルデータを伴うそのファイルの保存に同意することに等しい。データの受領者は、この識別子を使用し、そのファイルの保存を、方法100にしたがって遂行する。
D:データの受領者は、アイテム特有の無記名の識別子(AnonID.m.n)を、第1のメモリに、抽出されたパーソナルデータアイテムと共に保存する。データの受領者が、それらのパーソナルデータアイテムの要求された消去を、方法200にしたがって遂行できるようにするため、それらの識別子は、それらのパーソナルデータアイテムが抹消されるまで抹消できない。
【0033】
図1に戻ると、方法100は、ステップ120をさらに含む。ここでは、パーソナルデータアイテムのそれぞれが、ロケータ(Loc.m.n又はLoc.m.n.v)と、アイテム特有の無記名の識別子(AnonID.m.n)と、共に、第1のメモリに保存される(図4のエレメント421を参照されたい)。この保存動作のために、リレーショナルデータベースが使用されてよい。これは、以下の一般的な外見を持つ表として視覚化されてよい:
【0034】
任意のステップ122において、その人に対するカウンタエントリが、例えば、第1のメモリ又は任意のものに保存される。カウンタエントリは、その人に関連付けられているパーソナルデータアイテムのすべての一覧の包括性の検証を可能にする。このために、カウンタエントリは、以下を示してよい:
-パーソナルデータアイテムの合計数。この場合、消去方法は、予め合意された一覧ルールと開始ルールとを適用する。
-最初と最後のパーソナルデータアイテム(例えば、それらのアイテム特有の無記名の識別子、AnonID.m.n、を単位として、又は、それらのロケータ、Loc.m.n、を単位として)。この場合、消去方法は、一覧ルールを適用する。
-パーソナルデータアイテムのすべてのリスト。この場合、消去方法は、非依存的とすることができる。又は
-パーソナルデータアイテムのすべての場所のリスト又はそれらの場所。この場合、消去方法は、非依存的とすることができる。
好ましくは、1つのカウンタエントリが、その人のパーソナルデータを含むファイルのそれぞれについて、又は、使用される新たなファイルトークン(FileID.m)のそれぞれについて、保存される。
-パーソナルデータアイテムの合計数。この場合、消去方法は、予め合意された一覧ルールと開始ルールとを適用する。
-最初と最後のパーソナルデータアイテム(例えば、それらのアイテム特有の無記名の識別子、AnonID.m.n、を単位として、又は、それらのロケータ、Loc.m.n、を単位として)。この場合、消去方法は、一覧ルールを適用する。
-パーソナルデータアイテムのすべてのリスト。この場合、消去方法は、非依存的とすることができる。又は
-パーソナルデータアイテムのすべての場所のリスト又はそれらの場所。この場合、消去方法は、非依存的とすることができる。
好ましくは、1つのカウンタエントリが、その人のパーソナルデータを含むファイルのそれぞれについて、又は、使用される新たなファイルトークン(FileID.m)のそれぞれについて、保存される。
【0035】
いくつかの実施形態では、カウンタエントリは、その人の、認識可能な無記名の識別子(RecAnonID.m)を含む。これは、図5において点線の矢印がまた示すように、一方向性関数を、一時的な無記名の識別子(AnonID.m)に適用することにより生成される。認識可能な無記名の識別子(RecAnonID.m)は、一方向性関数を用いて生成されているため、これは、その人に対する属性とすることはできない。認識可能な無記名の識別子(RecAnonID.m)はしかし、消去要求を遂行することに関連して、正しい人のカウンタエントリが見つかっていることを検証することを可能にする。カウンタエントリが、認識可能な無記名の識別子(RecAnonID.m)を含む場合、これは、以下の構造を有してよい:
これは、以下のように理解されてよい:トークンFileID.1が使用されている1つのファイル又は複数のファイルは、その人に関連付けられている、N1個のパーソナルデータアイテムを厳密に含む。トークンFileID.2が使用されている1つのファイル又は複数のファイルは、その人に関連付けられている、N2個のパーソナルデータアイテムを厳密に含む。以降同じ。
【0036】
方法100のさらなる任意のステップ124において、一時的な無記名の識別子(AnonID.m)の不揮発性の保存を防止するアクションがとられる。そのような保護対策は、ランタイムメモリにおける識別子を消去すること、又は、それを上書きすることを含んでよい。代替的に、第1及び第2のメモリ及びいずれの利用可能なさらなる不揮発性メモリに、一時的な無記名の識別子(AnonID.m)のデータタイプを有するデータの保存を拒否するゲートキーパー機能が提供される。このようにして、新たなファイルが後日に保存される場合、この期間は、識別子をランタイムメモリに保持するには長すぎるものと想定されるが、新たな、一時的な無記名の識別子(AnonID.(m+1))を取得する必要がある、つまり、ステップ114を新たに実行する必要がある。
【0037】
この時点にて、ステップ126において、保存されるファイルが、いずれのさらなる人に関連付けられているパーソナルデータを含むか否かが査定される。この場合(枝Y)、実行はそのループを戻り、ステップ114、116、118、及び120を(任意のステップ110及び112が含まれる場合はそれらと共に)、そのさらなる人に対して、実行する。結果として、そのさらなる人の一時的な無記名の識別子(AnonID’.m)が取得される。そのさらなる人に関連付けられているパーソナルデータアイテムが抽出される。そして、ロケータ(Loc.m.n)と、そのさらなる人の、アイテム特有の無記名の識別子(AnonID’.m.n)と、が、パーソナルデータアイテムのそれぞれについて生成される。これらの人の双方のロケータは、同じシーケンスに属する識別子(n)に依存してよいことに留意されたい。
【0038】
保存されるファイルについて考慮しなければならないさらなる人がいない場合(ステップ126からの枝N)、方法100の実行は、任意のステップ128に続く。ここでは、そのファイルにおけるパーソナルデータアイテムが削除され、そのファイルの無記名化された(又は、打ち切られた)バージョンが取得される。この削除は、パーソナルデータアイテムを削除すること(抹消すること)と、パーソナルデータアイテムにおける可能性のある認識因子を破棄することと、パーソナルデータアイテムを隠すこと、編集すること、マスクすること、置き換えること、若しくは上書きすることと、のうちの少なくとも1つにより、又は、適したフィルタリング又は画像処理をさらに適用することにより、実現されてよい。適したフィルタリング及び画像処理は、ぼやけさせること、ピクセル化すること、変形させること、又は、識別可能でないパーソナルデータを描く傾向のある他の効果を授けるそれらを含む。そのようなフィルタリング又は画像処理は、典型的には、データ破壊タイプのものであり、そのファイルの情報コンテンツを減らすこととなる。
【0039】
後続のステップ130において、それらのパーソナルデータアイテムを含まない、そのファイルの無記名化されたバージョンが、第2のメモリに保存される(図4のエレメント422を参照されたい)。第2のメモリは、第1のメモリと同じメモリであってよい。しかし、いくつかの実施形態では、第2のメモリは、第1のメモリとは異なる。
【0040】
ステップ130内では、抽出されたパーソナルデータアイテムのすべてのロケータ(Loc.m.n)が、任意選択的に、そのファイルの無記名化されたバージョンと共に保存されてよい。換言すると、このオプションは、ロケータ(Loc.m.n)が、第1及び第2のメモリの双方に保存されることを意味する。ロケータ(Loc.m.n)のスペアコピーへのアクセスは、それが元々含んでいた、パーソナルデータのいくらかが消去されており、この消去が、ロケータを含む、要求している人に関連付けられている、表1の行のすべてを抹消することにより行われていたシチュエーションにおいて、ファイルが再構成される際に役立つ。ロケータ(Loc.m.n)のスペアコピーは続いて、対応する場所が、その消去にもかかわらず、空としてマークされる/変更される/無効とされることを可能にする。代替的に、同じマーキング機能は、消去動作が行われても、ロケータが保持される(つまり、それによっても、表1の最初の列が完全なままに残される)場合に、実行することができる。
【0041】
これにより、そのファイルの最初のバージョンの保存が完了する。
【0042】
任意選択的に、方法100は、その人に関連付けられているパーソナルデータをも含む第2のファイルの保存にも延長してよい。第2のファイルは、同じ一時的、空間的、又は対象のコンテキストに属することによる最初の1つに関連してよい。例えば、これらのファイルは、連続する時点にて取得された画像、又は、互いに連続するビデオシーケンスを表してよい。これらのファイルは、管理可能なファイルサイズ、細かさ、又は同様のものを取得するために区分けされている、撮像された空間の異なるサブエリアにさらに関連してよい。
【0043】
結果として、ステップ132において、第2のファイルが保存されるか否かが査定される。この場合(枝Y)、実行はそのループを戻り、ステップ114にて開始する。この実行ラウンドにおいて、その人の第2の一時的な無記名の識別子(AnonID.(m+1))が取得される。その一時的な無記名の識別子(AnonID.(m+1))は、第2のファイルのトークン(FileID.(m+1))に依存する。その人に関連付けられているパーソナルデータアイテムが、第2のファイルから抽出される。抽出されたパーソナルデータアイテムのそれぞれについて、ロケータ(Loc.(m+1).n)と、その人の、アイテム特有の無記名の識別子(AnonID.(m+1).n)と、が生成される。パーソナルデータアイテムのそれぞれは、そのロケータと、そのアイテム特有の無記名の識別子と、共に、第1のメモリに保存される。最後に、それらのパーソナルデータアイテムを含まない、第2のファイルの無記名化されたバージョンが、第2のメモリに保存される。
【0044】
保存されるファイルがそれ以上なければ(ステップ132からの枝N)、方法100の実行は終わることができる。
【0045】
方法100の任意の追加的ステップ134において、そのファイルの更新された無記名化されたバージョンが、第2のメモリに保存される。更新された無記名化されたバージョンは、バージョンコントロールの下で保存されてよい。つまり、前の無記名化されたバージョンは、第2のメモリから抹消されない。更新された無記名化されたバージョンの保存は、有効のままである第1のメモリにおける情報を必ずしも更新することなく行われてよい。この事実は、パーソナルデータの処理を委託されたスタッフの輪を制限することを好適に可能にする。
【0046】
任意選択的に、ステップ134は、第1及び第2のメモリの双方におけるデータに影響する。ビデオシーケンスにおいて、輝度を上げることが望ましいと想定すると、この画像処理動作は、第1のメモリにおける、ビデオシーケンスのフレームのすべてと、切り取られた画像(つまり、抽出されたパーソナルデータアイテム)のすべてと、に適用されてよい。無記名化されたビデオシーケンスは、バージョン管理された第2のメモリにおいて、新たなバージョンとして保存される。第1のメモリのデータ構造における新たな行に保存された新たなロケータ(Loc.m.n.2)が、その新たなバージョン(v=2)に対して生成される。新たな行のそれぞれは、変更された(明るくされた)、切り取られた画像を含むが、AnonID.m.nは、最初のバージョンに対するものと同じである。これは、その人のプライバシの保護を損なうことなく可能である。
人に関連付けられているパーソナルデータを消去する
人に関連付けられているパーソナルデータを消去する
【0047】
図2は、第1のメモリから、人に関連付けられているパーソナルデータを消去するための方法200を、フローチャートの形態に示す。方法200は、メモリが、パーソナルデータアイテムを、対応するロケータ(Loc.m.n)と、それらのパーソナルデータアイテムに関連付けられている人の、アイテム特有の無記名の識別子(AnonID.m.n)と、共に保存する時点にて開始される。このコンテンツは、上記のパーソナルデータを含むファイルを保存するための方法100を実行することの結果として、メモリにロードされてよい。
【0048】
方法200は、例えば、データの受領者、自然人、若しくは法人により、又は、その者のためにて行われてよい。この人は以前に、1つ又はそれ以上のファイルを受信又は生成しており、その人の、それらのファイルに含まれる彼女のパーソナルデータを保存することについての同意を取得している。その人に関連付けられているパーソナルデータを消去するための方法200は、その人が「忘れられる」(彼女のパーソナルデータを消去する)ことを要求すると、又は、等しく、その人が、以前に与えた同意を取り消すと、実行されてよい。
【0049】
方法200の最初のステップ210において、その人のプライベート識別子(PrivID)が取得される。データの受領者は、そのファイルを保存するための方法100の通常の実行の実施中には、いずれのプライベート識別子(PrivID)もその人からは受信せず、そのようにシェアすることは、その人のプライバシを改善しないため、ステップ210は通常、プライベート識別子(PrivID)をその人から受信すること、又は、プライベート識別子(PrivID)を、その人がデータの受領者に読み出しアクセスを許可した、シェアしているメモリから回収すること、を必然的に伴う。
【0050】
2番目のステップ212において、それらのパーソナルデータアイテムがそれらから抽出され得るファイルのすべてのトークン(FileID.m)が取得される。このステップ212において、データの受領者は、パーソナルデータが含まれていた1つ又はそれ以上のファイルの保存に関するルール及び/又は文書にしたがって、トークン(FileID.m)を再生してよい。代替的に、トークン(FileID.m)は、メモリから受信又はフェッチされる。
【0051】
原則として、その人は、消去に対する要求に関連して、彼女がデータの受領者とシェアするトークン(FileID.m)の、彼女自身の登録記録を保持し得る。これは、その人が、例えば、特定の日に記録されたファイルに含まれるパーソナルデータの部分的な消去に対する彼女の要求を制限することを可能にするであろう。データの受領者がプロフェッショナルなエンティティである場合はしかし、より便利なオプションとは、データの受領者に対して、それが、トークン(FileID.m)を包括的にそのまま再生させることを可能にすることに十分な情報を、プライベート識別子(PrivID)以外の、その人からのいずれの他の入力なく、保存することであってよい。この情報の保存は、もしその情報を失った場合に、特定の人に関連するプライベートデータの知識に基づく選択的な抹消を行うためのいずれの便利方法がないことに対して、プライベートデータの保存が少なくとも信頼でき及び/又は長続きするものであるべきである。トークン(FileID.m)が、ファイル名、元のファイルサイズ、生成日、又は他のファイル属性に基づいている場合に実践できる、より魅力的なオプションは、データの受領者に対して、それらのパーソナルデータアイテムがそれらから抽出されているそれらのファイルの無記名化されたバージョンを保存する第2のメモリに、クエリを送ることである。続いて、サブステップ212.1において、このクエリは、第2のメモリのファイルシステムに対して発行される、第2のメモリが該当するファイルを保存する限り成功となる、ls又はdirコマンドを含んでよい。クエリの出力から生じたトークンは、続くステップ224において、生成されたアイテム特有の無記名の識別子(AnonID.m.n)に対してマッチするため、第2のメモリに対するクエリが、副産物としてその人に関連しない追加的なファイルの属性を返すかどうかは、非常に小さな懸念である。
【0052】
次のステップ214において、それらのファイルのトークン(FileID.m)のそれぞれについて、その人に関連付けられており、対応する1つのファイル又は複数のファイルから抽出され得るそれらのパーソナルデータアイテムのすべての識別子(n)が取得される。それらの識別子(n)の取得は、それらをメモリ又は他のエンティティから回収することを含んでよい、又は、再生プロセスに基づいてよい。再生プロセスは、その人から受信するプライベート識別子(PrivID)によって制御されてよく、データの受領者が保持するメモリに保存された情報にさらに依存してよい。
【0053】
例えば、消去されるそれらのパーソナルデータアイテムの識別子(n)は、その人に対するカウンタエントリが読み出されるサブステップ214.1を実行することにより取得されてよい。カウンタエントリのコンセプトが、認識可能な無記名の識別子(RecAnonID.m)を任意選択的に含む例示的データ構造と共に保存するための方法100のステップ122に関連して、先に導入された。複数の保存されたカウンタエントリの中から、あるファイルに対して正しいカウンタエントリを見つけるため、データの受領者は、認識可能な無記名の識別子(RecAnonID.m)を、一方向性関数を、プライベート識別子(PrivID)と、そのファイルのトークン(FileID.m)と、の組み合わせを最初に適用することにより、これは、一時的な無記名の識別子(AnonID.m)を返し、続いて、その一方向性関数を、その一時的な無記名の識別子(AnonID.m)に適用することにより、再生する。データの受領者は、この動作の出力を、複数の保存されたカウンタエントリの、関連するフィールド(列)とマッチさせる。マッチするカウンタエントリの別のフィールドは、パーソナルデータアイテムの合計数、予め定められた一覧ルールにより判定されるシーケンスにおける、最初と最後のパーソナルデータアイテム、パーソナルデータアイテムのすべてのリスト、又は、ステップ122の下においてリスト化される他のオプションのどれか、を表すこととなる。結果として、1つのカウンタエントリが、一時的な無記名の識別子(AnonID.m)のそれぞれについて予期されるため、サブステップ214.1は、一時的な無記名の識別子(AnonID.m)のそれぞれについて、1セットの識別子(n)を返す。
【0054】
これを示すため、カウンタエントリが、保存された、最初のパーソナルデータアイテムの識別子
と、最後のパーソナルデータアイテムの識別子
と、を示すことが想定される。ここで、「最初」と「最後」とは、識別子の一覧のシーケンスを指し、それらのパーソナルデータアイテムが保存された時点を必ずしも指さない。この場合では、消去方法200は、保存方法100において使用される、対応する一覧ルールと同一又はこれに等しい一覧ルール
を適用する。この一覧ルールを、最初のパーソナルデータアイテムの識別子
に、続いて、最後のパーソナルデータアイテムの識別子
に到達するまで、再帰的に、連続する出力に適用することにより、データの受領者は、識別子のすべてを再生してよい。カウンタエントリに保存された最後のパーソナルデータアイテムの識別子
は、一覧された識別子の包括性を検証する用に供される。この再生プロセスのバリエーションにおいて、最初のパーソナルデータアイテムの識別子
は、予め合意又は予め指定されてよい。さらに代替的に、識別子の合計数を示すカウンタエントリは、保存された最後のパーソナルデータアイテムの識別子
を知ることに有益となる。
【0055】
さらなるステップ216において、その人の一時的な無記名の識別子(AnonID.m)が、予め定められた一方向性関数を、取得されたプライベート識別子(PrivID)と、取得されたファイルトークン(FileID.m)と、の組み合わせに適用することにより、生成される。一方向性関数は、そのアクションが、パーソナルデータを含む1つのファイル又は複数のファイルが保存された際に、一時的な無記名の識別子(AnonID.m)を生成するために使用された一方向性関数に等しい、という意味において、予め定められている。
【0056】
当業者であれば、ステップ214及び216を、いずれの順序にて、又は、並行して実行できることを理解するであろう。ステップ216において生成された一時的な無記名の識別子(AnonID.m)は、サブステップ214.1において入力として使用されてよいため、並行しての実行は、一方向性関数が評価されなければならない合計回数を減らし得る。
【0057】
次に、その人の、アイテム特有の無記名の識別子(AnonID.m.n)を生成するステップ218が続く。これは、その人の生成された一時的な無記名の識別子(AnonID.m)のそれぞれについて、予め定められた一方向性関数を、一時的な無記名の識別子(AnonID.m)と、それらのパーソナルデータアイテムの、取得された識別子(n)と、の組み合わせに適用することにより進行する。完全な消去を確かなものとするため、ステップ218は、その人に関連付けられているパーソナルデータアイテムを保存するために使用された、それらのアイテム特有の無記名の識別子(AnonID.m.n)の完全なコレクションを生成すべきである。識別子(n)が、サブステップ214.1を使用して取得されている場合、一時的な無記名の識別子(AnonID.m)のそれぞれについて、1セットの識別子(n)がある。それは続いて、それらのセットの1つにおける識別子(n)を、対応する一時的な無記名の識別子(AnonID.m)と組み合わせることに十分なものとなるべきである。一方、異なる一時的な無記名の識別子(AnonID.m’)と組み合わせることは、保存されたパーソナルデータアイテムのいずれかにマッチするさらなるアイテム特有の無記名の識別子を提供するとは考えにくい。
【0058】
ステップ220において、その人の、いずれのさらに生成された一時的な無記名の識別子(AnonID.m)が、ステップ218において引き続き処理されるか否かが査定される。そうでなければ(枝N)、ステップ222において、その人に関連付けられているパーソナルデータアイテムを保存するために使用されたいずれのさらなるファイルトークン(FileID.m)があるか否かが査定される。そのようなさらなるファイルトークン(FileID.m)が存在することがわかった場合(枝Y)、ステップ214以降が、さらなるファイルトークン(FileID.m)のそれぞれについて再度実行される。
【0059】
ファイルトークン(FileID.m)のすべてが処理されると、方法200は、ステップ224に進む。ここでは、その人の生成されたアイテム特有の無記名の識別子(AnonID.m.n)のいずれかにマッチするパーソナルデータアイテムのすべてが、第1のメモリから消去される。この消去は、パーソナルデータアイテムのみを対象としてよい。又は、対応するロケータ及び/又はアイテム特有の無記名の識別子が、一緒に抹消されてよい。後者のオプションは、先の表1に示すデータ構造の行を完全に抹消することに対応する。それらのパーソナルデータアイテムがそれらから抽出されているそのファイルの部位を見つけることが望ましい場合(例えば、マーキングの目的のために)、それらのロケータは、完全なままに残されるか、又は、それらのロケータのコピーがどこかに保存されていない限り、いくつかの他の方法にて、回復されるべきである。
パーソナルデータを、保存されたファイルに回復する
パーソナルデータを、保存されたファイルに回復する
【0060】
図3は、パーソナルデータをファイルに回復させるための方法300のフローチャートである。方法300は、第1のメモリが、パーソナルデータアイテムを、対応するロケータ(Loc.m.n)と、それらのパーソナルデータアイテムに関連付けられている人の、アイテム特有の無記名の識別子(AnonID.m.n)と、共に保存し、第2のメモリが、そのファイルの無記名化されたバージョンを保存した時点にて開始される。これらのメモリは、このコンテンツを、上記のパーソナルデータを含むファイルを保存するための方法100の実行の結果として受信してよい。ファイルを保存した時から、さらに、人に関連付けられているパーソナルデータを消去するための方法200が実行されてよい。この場合では、第1のメモリが、保存方法100が実行された際にそのファイルから抽出された、それらのパーソナルデータアイテムの不完全なコレクションをすでに含んでいる。
【0061】
方法300の最初のステップ310において、そのファイルから抽出されたそれらのパーソナルデータアイテムと、対応するロケータ(Loc.m.n)と、が、第1のメモリから回収される。ロケータ(Loc.m.n)が、第2のメモリなどの、第1のメモリ以外の場所にも保存されている場合、それらはそこから等しく回収されてよい。
【0062】
2番目のステップ312において、それらのパーソナルデータアイテムを含まない、そのファイルの無記名化されたバージョンが、第2のメモリから回収される。
【0063】
それらのパーソナルデータアイテムが続いて、ステップ314において、そのファイルの無記名化されたバージョンに、対応するロケータ(Loc.m.n)にしたがって回復される。例えば、人の顔に対応する、ビデオフレームの切り取られたエリアが、ロケータ(Loc.m.n)に示すように、そのビデオフレームに貼り付け戻されてよい。これは、そのビデオフレームを元に戻し、その元の状態と同様の外見にする。元に戻されたビデオフレームは、そのファイルの後のバージョンが、例えば、画像処理又はビデオ編集の結果として保存されている場合には、元の状態とは異なってよい。ステップ314は、そのファイルを完全に元に戻すことを、つまり、彼らが関連付けられている人に関わらず、パーソナルデータアイテムのすべてを回復させることにより、必然的に伴ってよい。
【0064】
サブステップ314.1は、ステップ314を実行する好適な方法を表す。ここでは、回収されたパーソナルデータアイテムのすべては、順次詳しく検討される。ステップ314は、最後のアイテムの後に終了する。サブステップ314.1は、パーソナルデータのいくらか又はすべてが、例えば、関連付けられている人による要求に応じて、第1のメモリから消去されていても、確実に実行される。それは、(破損していない、判読可能である、編集可能である、などの)使用可能なファイルを、それらの消去されたパーソナルデータアイテムに対応する、いくつかの残りの部位と共に返すよう構成することができる。残りの部位は、保存方法100の実行において適用された、削除することと、隠すことと、編集することと、マスクすることと、置き換えること、上書きすること、フィルタすることと、及び画像処理することと、のいずれの出力を含んでよい。
【0065】
任意のステップ316において、あるパーソナルデータアイテムが抽出されているものの、回復されていない、無記名化されたバージョンのそのような部位が識別される。
【0066】
さらなる任意のステップ318において、下流のユーティリティ処理ステップに、ステップ316において識別された部位が通知される。識別された部位は、自然なデータ又は代理となるデータとは対照的に、無効なデータ又は人工的に変更されたデータとして理解されてよい。例えば、下流の処理が、機械学習(ML)モデルに学習させることを含む場合、識別された部位は、MLモデルに送られる学習データから除外されてよい。代替的に、(例えば、ニューラルネットワークに対して、更新された重量、又は、計算された傾斜、又は、生じたエラーのセットにより表されるように)識別された部位から生じた、MLモデルのいずれの更新が、抹消される、中立にされる、又は前の値に戻される。
【0067】
回復されたパーソナルデータアイテムを伴うファイルは、方法300を実行するプロセッサのランタイムメモリに保持される。データ主体のプライバシを強化するため、方法300は、任意選択的に、それらの回復されたパーソナルデータアイテムを伴うそのファイルの不揮発性の保存を防止するためのアクションをとる最後のステップ320を含んでよい。そのようなアクションは、ランタイムメモリにおけるそのファイルを消去すること、又は、それが処理された後に、それを上書きすることを含んでよい。代替的に、第1及び第2のメモリと、いずれの利用可能なさらなる不揮発性メモリと、に、そのファイルの保存を防止するゲートキーパー機能が提供される。さらに代替的に、依存性トラッキング技術に基づくクリーンアップが行われてよい。
デバイスの実装
デバイスの実装
【0068】
図4は、第1及び第2のメモリ421、422に通信可能に接続されており、保存方法100、消去方法200、及び/又は回復方法300を行うよう配置されている処理回路411を含むデバイス410を示す。処理回路411は、アプリケーション特有又はプログラマブル回路を含んでよい。又は、それらは、ネットワーク化された(「クラウド」)リソースを使用して分散して実行されてよい。処理回路411は、揮発性ランタイムメモリを含んでよい。代替的に、メモリは、不揮発性であってよく、ゲートキーパーが提供されてよい、又は、依存性トラッキングによりカバーされてよい。第1のメモリ421は、ファイルから抽出された、抽出されたパーソナルデータアイテムと、ロケータと、アイテム特有の無記名の識別子と、を保存するために使用されてよい。第1のメモリ421は、比較的機密性の高いコンテンツに対して使用されるため、それは、好ましくは、侵入攻撃に対する高い耐性を有するべきである。同様に、例えば、ネットワークを介しての第1のメモリ421への通信接続は、盗聴に対して保護されるべきである。第2のメモリ422は、そのファイルの1つの無記名化されたバージョン(又は、複数の無記名化されたバージョン)を保存するために使用されてよい。メモリ421、422の双方は、不揮発性メモリであってよい。第2のメモリ422は、バージョンコントロールの対象とされてよい。第1のメモリ421は、バージョンコントロールを受ける必要はない。
【0069】
図4には、保存方法100がどのように実行され得るかを示すデータラベルにて、注釈付けがされている。保存されるファイルは、デバイス410の左上側にて供給される。左下側にて、一時的な無記名の識別子(AnonID.m)が供給される。一時的な無記名の識別子(AnonID.m)は、一方向性関数インターフェース490を使用して、プライベートデータに関連付けられているその人により、又は、その人のために生成されてよい。ここに示すように、一方向性関数インターフェース490は、その人のプライベート識別子(PrivID)を、入力として受信する。これは、デバイス410が供給するファイルトークン(FileID.m)にしたがってさらに変更される。その人は、一方向性関数インターフェース490(そのさらなる例として図4に示す)を使用して、プライベート識別子(PrivID)を、パーソナル識別子(ID)に基づいて生成してよい。それらの入力に基づいて、デバイス410は、パーソナルデータアイテム(図4において矩形及び円として記号化されている)を、供給されたファイルから抽出し、それらを、対応するロケータ(Loc.m.n)と、アイテム特有の無記名の識別子(AnonID.m.n)と、共に、第1のメモリ421に保存する。第1のメモリは続いて、パーソナルデータアイテムと、ロケータと、識別子と、のトリプレットを含んでよい。これと並行して、デバイス410は、そのファイルの無記名化されたバージョンを、第2のメモリ422に保存する。
【0070】
デバイス410が、消去方法200を実行すると、それは、要求する人のプライベート識別子(PrivID)を受信してよい。それは続いて、抹消コマンドを、第1のメモリ421に対して発行する。デバイス410が、回復方法300を実行すると、それは、データを、第1のメモリ421と第2のメモリ422とから回収し、回復されたファイルを出力する。
番号付き実施形態
番号付き実施形態
【0071】
実施形態1。
パーソナルデータを含むファイルを保存するための方法(100)であって、
人の一時的な無記名の識別子(AnonID.m)であって、そのファイルのトークン(FileID.m)に依存する一時的な無記名の識別子(AnonID.m)を取得すること(114)と、
そのファイルから、その人に関連付けられているパーソナルデータアイテムを抽出すること(116)と、
パーソナルデータアイテムのそれぞれについて、そのパーソナルデータアイテムがそのファイルに回復されることを可能にするロケータ(Loc.m.n)と、その人の、アイテム特有の無記名の識別子(AnonID.m.n)と、を生成すること(118)であって、そのアイテム特有の無記名の識別子は、予め定められた一方向性関数を、その一時的な無記名の識別子(AnonID.m)と、そのパーソナルデータアイテムの識別子(n)と、の組み合わせに適用することにより生成された、ロケータを識別子とを生成することと、
パーソナルデータアイテムのそれぞれを、そのロケータと、そのアイテム特有の無記名の識別子と、共に、第1のメモリに保存すること(120)と、
それらのパーソナルデータアイテムを含まない、そのファイルの無記名化されたバージョンを、第2のメモリに保存すること(130)と、
を含む方法。
パーソナルデータを含むファイルを保存するための方法(100)であって、
人の一時的な無記名の識別子(AnonID.m)であって、そのファイルのトークン(FileID.m)に依存する一時的な無記名の識別子(AnonID.m)を取得すること(114)と、
そのファイルから、その人に関連付けられているパーソナルデータアイテムを抽出すること(116)と、
パーソナルデータアイテムのそれぞれについて、そのパーソナルデータアイテムがそのファイルに回復されることを可能にするロケータ(Loc.m.n)と、その人の、アイテム特有の無記名の識別子(AnonID.m.n)と、を生成すること(118)であって、そのアイテム特有の無記名の識別子は、予め定められた一方向性関数を、その一時的な無記名の識別子(AnonID.m)と、そのパーソナルデータアイテムの識別子(n)と、の組み合わせに適用することにより生成された、ロケータを識別子とを生成することと、
パーソナルデータアイテムのそれぞれを、そのロケータと、そのアイテム特有の無記名の識別子と、共に、第1のメモリに保存すること(120)と、
それらのパーソナルデータアイテムを含まない、そのファイルの無記名化されたバージョンを、第2のメモリに保存すること(130)と、
を含む方法。
【0072】
実施形態2。
その人に関連付けられているパーソナルデータを含む第2のファイルをさらに保存するための、実施形態1の方法であって、
その人の第2の一時的な無記名の識別子(AnonID.(m+1))であって、その第2のファイルのトークン(FileID.(m+1))に依存するその一時的な無記名の識別子(AnonID.(m+1))を取得すること(114)と、
第2のファイルから、その人に関連付けられているパーソナルデータアイテムを抽出すること(116)と、
パーソナルデータアイテムのそれぞれについて、ロケータ(Loc.(m+1).n)と、その人の、アイテム特有の無記名の識別子(AnonID.(m+1).n)と、を生成すること(118)とであって、そのアイテム特有の無記名の識別子は、一方向性関数を、その第2の一時的な無記名の識別子(AnonID.(m+1))と、そのパーソナルデータアイテムの識別子(n)と、の組み合わせに適用することにより生成された、ロケータと識別子とを生成することと、
パーソナルデータアイテムのそれぞれを、そのロケータと、そのアイテム特有の無記名の識別子と、共に、第1のメモリに保存すること(120)と、
それらのパーソナルデータアイテムを含まない、その第2のファイルの無記名化されたバージョンを、第2のメモリに保存すること(130)と、
を含む方法。
その人に関連付けられているパーソナルデータを含む第2のファイルをさらに保存するための、実施形態1の方法であって、
その人の第2の一時的な無記名の識別子(AnonID.(m+1))であって、その第2のファイルのトークン(FileID.(m+1))に依存するその一時的な無記名の識別子(AnonID.(m+1))を取得すること(114)と、
第2のファイルから、その人に関連付けられているパーソナルデータアイテムを抽出すること(116)と、
パーソナルデータアイテムのそれぞれについて、ロケータ(Loc.(m+1).n)と、その人の、アイテム特有の無記名の識別子(AnonID.(m+1).n)と、を生成すること(118)とであって、そのアイテム特有の無記名の識別子は、一方向性関数を、その第2の一時的な無記名の識別子(AnonID.(m+1))と、そのパーソナルデータアイテムの識別子(n)と、の組み合わせに適用することにより生成された、ロケータと識別子とを生成することと、
パーソナルデータアイテムのそれぞれを、そのロケータと、そのアイテム特有の無記名の識別子と、共に、第1のメモリに保存すること(120)と、
それらのパーソナルデータアイテムを含まない、その第2のファイルの無記名化されたバージョンを、第2のメモリに保存すること(130)と、
を含む方法。
【0073】
実施形態3。
さらなる人の一時的な無記名の識別子(AnonID’.m)であって、そのファイルのトークン(FileID.m)に依存する一時的な無記名の識別子(AnonID’.m)を取得すること(114)と、
そのファイルから、そのさらなる人に関連付けられているパーソナルデータアイテムを抽出すること(116)と、
パーソナルデータアイテムのそれぞれについて、ロケータ(Loc.m.n)と、そのさらなる人の、アイテム特有の無記名の識別子(AnonID’.m.n)と、を生成すること(118)とであって、そのアイテム特有の無記名の識別子は、一方向性関数を、その一時的な無記名の識別子(AnonID’.m)と、そのパーソナルデータアイテムの識別子(n)と、の組み合わせに適用することにより生成された、ロケータと識別子とを生成することと、
パーソナルデータアイテムのそれぞれを、そのロケータと、そのアイテム特有の無記名の識別子と、共に、第1のメモリに保存すること(120)と、
をさらに含み、
ここで、そのファイルの無記名化されたバージョンは、第2のメモリに、その人に関連付けられているパーソナルデータアイテムと、そのさらなる人に関連付けられているパーソナルデータアイテムと、を含まずに、保存される、
実施形態1又は実施形態2の方法。
さらなる人の一時的な無記名の識別子(AnonID’.m)であって、そのファイルのトークン(FileID.m)に依存する一時的な無記名の識別子(AnonID’.m)を取得すること(114)と、
そのファイルから、そのさらなる人に関連付けられているパーソナルデータアイテムを抽出すること(116)と、
パーソナルデータアイテムのそれぞれについて、ロケータ(Loc.m.n)と、そのさらなる人の、アイテム特有の無記名の識別子(AnonID’.m.n)と、を生成すること(118)とであって、そのアイテム特有の無記名の識別子は、一方向性関数を、その一時的な無記名の識別子(AnonID’.m)と、そのパーソナルデータアイテムの識別子(n)と、の組み合わせに適用することにより生成された、ロケータと識別子とを生成することと、
パーソナルデータアイテムのそれぞれを、そのロケータと、そのアイテム特有の無記名の識別子と、共に、第1のメモリに保存すること(120)と、
をさらに含み、
ここで、そのファイルの無記名化されたバージョンは、第2のメモリに、その人に関連付けられているパーソナルデータアイテムと、そのさらなる人に関連付けられているパーソナルデータアイテムと、を含まずに、保存される、
実施形態1又は実施形態2の方法。
【0074】
実施形態4。
第1のメモリではなく、第2のメモリが、バージョンコントロールの対象である、先の実施形態のいずれか1つの方法。
第1のメモリではなく、第2のメモリが、バージョンコントロールの対象である、先の実施形態のいずれか1つの方法。
【0075】
実施形態5。
第1及び第2のメモリは不揮発性である、先の実施形態のいずれか1つの方法。
第1及び第2のメモリは不揮発性である、先の実施形態のいずれか1つの方法。
【0076】
実施形態6。
パーソナルデータアイテムのうちの少なくとも1つは、画像のエリアであり、
ロケータ(Loc.m.n)は、その画像におけるそのエリアを示す、
先の実施形態のいずれか1つの方法。
パーソナルデータアイテムのうちの少なくとも1つは、画像のエリアであり、
ロケータ(Loc.m.n)は、その画像におけるそのエリアを示す、
先の実施形態のいずれか1つの方法。
【0077】
実施形態7。
パーソナルデータをファイルに回復させるための方法(300)であって、
ファイルから抽出されたパーソナルデータアイテムを、対応するロケータ(Loc.m.n)と、それらのパーソナルデータアイテムに関連付けられている人の、アイテム特有の無記名の識別子(AnonID.m.n)と、共に保存している第1のメモリから、そのファイルから抽出されたそれらのパーソナルデータアイテムと、対応するロケータと、を回収すること(310)と、
第2のメモリから、それらのパーソナルデータアイテムを含まない、そのファイルの無記名化されたバージョンを回収すること(312)と、
それらのパーソナルデータアイテムを、それらの対応するロケータにしたがって、無記名化されたバージョンに回復させること(314)と、
を含む方法。
パーソナルデータをファイルに回復させるための方法(300)であって、
ファイルから抽出されたパーソナルデータアイテムを、対応するロケータ(Loc.m.n)と、それらのパーソナルデータアイテムに関連付けられている人の、アイテム特有の無記名の識別子(AnonID.m.n)と、共に保存している第1のメモリから、そのファイルから抽出されたそれらのパーソナルデータアイテムと、対応するロケータと、を回収すること(310)と、
第2のメモリから、それらのパーソナルデータアイテムを含まない、そのファイルの無記名化されたバージョンを回収すること(312)と、
それらのパーソナルデータアイテムを、それらの対応するロケータにしたがって、無記名化されたバージョンに回復させること(314)と、
を含む方法。
【0078】
実施形態8。
その回復させることは、回収されたパーソナルデータアイテムを順次回復させること(314.1)と、最後のアイテムの後に終了することと、を含む、実施形態7の方法。
その回復させることは、回収されたパーソナルデータアイテムを順次回復させること(314.1)と、最後のアイテムの後に終了することと、を含む、実施形態7の方法。
【0079】
実施形態9。
あるパーソナルデータアイテムが抽出されているものの、回復されていない、無記名化されたバージョンのそのような部位を識別すること(316)と、
下流のユーティリティ処理ステップに、それらの識別された部位を通知すること(318)と、
をさらに含む、実施形態7又は実施形態8の方法。
あるパーソナルデータアイテムが抽出されているものの、回復されていない、無記名化されたバージョンのそのような部位を識別すること(316)と、
下流のユーティリティ処理ステップに、それらの識別された部位を通知すること(318)と、
をさらに含む、実施形態7又は実施形態8の方法。
【0080】
実施形態10。
それらの回復されたパーソナルデータアイテムを伴うそのファイルの不揮発性の保存を防止するアクションをとること(320)をさらに含む、実施形態7から実施形態9のいずれの方法。
それらの回復されたパーソナルデータアイテムを伴うそのファイルの不揮発性の保存を防止するアクションをとること(320)をさらに含む、実施形態7から実施形態9のいずれの方法。
【0081】
本開示の態様を主に、いくつかの実施形態を参照して先に説明した。しかし、当業者にただちに明白であるように、上記に開示するものとは異なる他の実施形態も、特許請求の範囲に規定されるように、本発明の範囲内にて等しく可能である。
【図1】
【図2】
【図3】
【図4】
【図5】