GOMI HIDEHITO (JP)
HATAKEYAMA MAKOTO (JP)
GOMI HIDEHITO (JP)
| JP2007164449A | 2007-06-28 | |||
| JP2004135004A | 2004-04-30 | |||
| JP2002183491A | 2002-06-28 | |||
| JP2007026663A | 2007-02-01 |
| 通信回線を介してサービス提供装置が提供するサービスを利用する利用者の利用者装置から取得した個人情報を登録する手段と、 登録した前記個人情報を含む不可逆なメッセージ情報を生成する手段と、 前記メッセージ情報を暗号化する手段と、 暗号化した前記メッセージ情報を復号するための復号鍵を生成する手段と、 前記サービス提供装置からの個人情報の要求に応じて、暗号化した前記メッセージ情報を前記サービス提供装置に送付する手段と、 前記サービス提供装置から受信した前記メッセージ情報の復号鍵の要求に応じて、当該復号鍵を前記サービス提供装置に送付する手段と を備えることを特徴とする個人情報管理装置。 |
| 登録した前記個人情報と一意に対応し、当該個人情報が登録されたことを示す個人情報登録証明情報を発行する個人情報登録証明情報発行手段を備え、 前記サービス提供装置からの前記個人情報要求と共に、要求された個人情報に一意に対応する前記個人情報登録証明情報を確認できた場合に、前記登録情報に対応する個人情報を暗号化して前記サービス提供装置に送信すること を特徴とする請求項1に記載の個人情報管理装置。 |
| 前記個人情報管理装置自身がすでに生成して保管した復号鍵を検索する生成済み復号鍵検索手段を含むことを特徴とする請求項1又は請求項2に記載の個人情報管理装置。 |
| 前記送受信に関する通信ログを記録する通信記録保管手段と 前記サービス提供装置から受信した要求及び情報の内容を検証する受信情報確認手段と を含むことを特徴とする請求項1から請求項3のいずれか1項に記載の個人情報管理装置。 |
| 前記サービス提供装置及び前記利用者装置に送信する前記個人情報登録証明情報と前記暗号化された個人情報に、前記個人情報管理装置自身の電子署名を付与することを特徴とする請求項1から請求項4のいずれか1項に記載の個人情報管理装置。 |
| 通信回線を介して利用者に対してサービスを提供するサービス提供装置において、 前記利用者の個人情報を管理する個人情報管理装置に対して前記利用者の個人情報の要求を送付する手段と、 前記個人情報管理装置で生成され、かつ暗号化された前記個人情報を含む不可逆なメッセージ情報を前記個人情報管理装置から取得する手段と、 取得した前記暗号化された前記個人情報を復号するための復号鍵の要求を前記個人情報管理装置に送付する手段と、 前記個人情報管理装置から受信した復号鍵に基づいて、暗号化された前記メッセージ情報を復号することにより、サービスを利用する前記利用者の照合のための前記個人情報を取得する手段と を備えることを特徴とするサービス提供装置。 |
| 前記個人情報要求と共に、各個人情報と一意に対応し、当該個人情報が前記個人情報管理装置に登録されたことを示す前記個人情報登録証明情報を前記個人情報管理装置に送信すること を特徴とする請求項6に記載のサービス提供装置。 |
| 取得した復号鍵を管理する復号鍵保管手段と、 前記復号鍵保管手段を検索して復号鍵を取得する取得済み復号鍵検索手段と を含むことを特徴とする請求項6又は請求項7記載のサービス提供装置。 |
| 前記送受信に関する通信ログを記録する通信記録保管手段と 前記個人情報管理装置から受信した情報の内容を検証する受信情報確認手段と を含むことを特徴とする請求項6から請求項8のいずれか1項に記載のサービス提供装置。 |
| 前記個人情報管理装置に送信する前記個人情報登録証明情報に、前記サービス提供装置自身の電子署名を付与することを特徴とする請求項7から請求項9のいずれか1項に記載のサービス提供装置。 |
| 前記個人情報管理装置に送信する前記個人情報要求に、前記サービス提供装置自身の電子署名を付与することを特徴とする請求項6から請求項10のいずれか1項に記載のサービス提供装置。 |
| コンピュータで実現される、個人情報の管理を行う個人情報管理装置上で実行されるプログラムであって、 前記コンピュータに、 通信回線を介してサービス提供装置が提供するサービスを利用する利用者の利用者装置から取得した個人情報を登録する処理と、 登録した前記個人情報を含む不可逆なメッセージ情報を生成する処理と、 前記メッセージ情報を暗号化する処理と、 暗号化した前記メッセージ情報を復号するための復号鍵を生成する処理と、 前記サービス提供装置からの個人情報の要求に応じて、暗号化した前記メッセージ情報を前記サービス提供装置に送付する処理と、 前記サービス提供装置から受信した前記メッセージ情報の復号鍵の要求に応じて、当該復号鍵を前記サービス提供装置に送付する処理と を実行させることを特徴とするプログラム。 |
| 前記コンピュータに、 登録した前記個人情報と一意に対応し、当該個人情報が登録されたことを示す個人情報登録証明情報を発行する個人情報登録証明情報発行処理と、 前記サービス提供装置からの前記個人情報要求と共に、要求された個人情報に一意に対応する前記個人情報登録証明情報を確認できた場合に、前記登録情報に対応する個人情報を暗号化して前記サービス提供装置に送信する処理と を実行させることを特徴とする請求項12に記載のプログラム。 |
| 前記コンピュータに、 前記個人情報管理装置自身がすでに生成して保管した復号鍵を検索する生成済み復号鍵検索処理を実行させることを特徴とする請求項12又は請求項13に記載のプログラム。 |
| 前記コンピュータに、 前記送受信に関する通信ログを記録する通信記録保管処理と 前記サービス提供装置から受信した要求及び情報の内容を検証する受信情報確認処理と を実行させることを特徴とする請求項12から請求項14のいずれか1項に記載のプログラム。 |
| 前記コンピュータに、 前記サービス提供装置及び前記利用者装置に送信する前記個人情報登録証明情報と前記暗号化された個人情報に、前記個人情報管理装置自身の電子署名を付与する処理を実行させることを特徴とする請求項12から請求項15のいずれか1項に記載のプログラム。 |
| コンピュータで実現される、通信回線を介して利用者に対してサービスを提供するサービス提供装置上で実行されるプログラムであって、 前記コンピュータに、 前記利用者の個人情報を管理する個人情報管理装置に対して前記利用者の個人情報の要求を送付する処理と、 前記個人情報管理装置で生成され、かつ暗号化された前記個人情報を含む不可逆なメッセージ情報を前記個人情報管理装置から取得する処理と、 取得した前記暗号化された前記個人情報を復号するための復号鍵の要求を前記個人情報管理装置に送付する処理と、 前記個人情報管理装置から受信した復号鍵に基づいて、暗号化された前記メッセージ情報を復号することにより、サービスを利用する前記利用者の照合のための前記個人情報を取得する処理と を実行させることを特徴とするプログラム。 |
| 前記コンピュータに、 前記個人情報要求と共に、各個人情報と一意に対応し、当該個人情報が前記個人情報管理装置に登録されたことを示す前記個人情報登録証明情報を前記個人情報管理装置に送信する処理を実行させることを特徴とする請求項17に記載のプログラム。 |
| 前記コンピュータに、 取得した復号鍵を復号鍵保管手段に保管する復号鍵保管処理と、 前記復号鍵保管手段を検索して復号鍵を取得する取得済み復号鍵検索処理と を実行させることを特徴とする請求項17又は請求項18記載のプログラム。 |
| 前記コンピュータに、 前記送受信に関する通信ログを記録する通信記録保管処理と 前記個人情報管理装置から受信した情報の内容を検証する受信情報確認処理と を実行させることを特徴とする請求項17から請求項19のいずれか1項に記載のプログラム。 |
| 前記コンピュータに、 前記個人情報管理装置に送信する前記個人情報登録証明情報に、前記サービス提供装置自身の電子署名を付与する処理を実行させることを特徴とする請求項18から請求項20のいずれか1項に記載のプログラム。 |
| 前記コンピュータに、 前記個人情報管理装置に送信する前記個人情報要求に、前記サービス提供装置自身の電子署名を付与する処理を実行させることを特徴とする請求項17から請求項21のいずれか1項に記載のプログラム。 |
| 個人情報管理装置上で個人情報の管理を行う個人情報管理方法であって、 通信回線を介してサービス提供装置が提供するサービスを利用する利用者の利用者装置から取得した個人情報を登録するステップと、 登録した前記個人情報を含む不可逆なメッセージ情報を生成するステップと、 前記メッセージ情報を暗号化するステップと、 暗号化した前記メッセージ情報を復号するための復号鍵を生成するステップと、 前記サービス提供装置からの個人情報の要求に応じて、暗号化した前記メッセージ情報を前記サービス提供装置に送付するステップと、 前記サービス提供装置から受信した前記メッセージ情報の復号鍵の要求に応じて、当該復号鍵を前記サービス提供装置に送付するステップと を含むことを特徴とする個人情報管理方法。 |
| 登録した前記個人情報と一意に対応し、当該個人情報が登録されたことを示す個人情報登録証明情報を発行する個人情報登録証明情報発行ステップと、 前記サービス提供装置からの前記個人情報要求と共に、要求された個人情報に一意に対応する前記個人情報登録証明情報を確認できた場合に、前記登録情報に対応する個人情報を暗号化して前記サービス提供装置に送信するステップと を含むことを特徴とする請求項23に記載の個人情報管理方法。 |
| 前記個人情報管理装置自身がすでに生成して保管した復号鍵を検索する生成済み復号鍵検索ステップを含むことを特徴とする請求項23又は請求項24に記載の個人情報管理方法。 |
| 前記送受信に関する通信ログを記録する通信記録保管ステップと 前記サービス提供装置から受信した要求及び情報の内容を検証する受信情報確認ステップと を含むことを特徴とする請求項23から請求項25のいずれか1項に記載の個人情報管理方法。 |
| 前記サービス提供装置及び前記利用者装置に送信する前記個人情報登録証明情報と前記暗号化された個人情報に、前記個人情報管理装置自身の電子署名を付与するステップを含むことを特徴とする請求項23から請求項26のいずれか1項に記載の個人情報管理方法。 |
| 通信回線を介して利用者に対してサービスを提供するサービス提供装置上で実行する前記利用者の個人情報の照合方法であって、 前記利用者の個人情報を管理する個人情報管理装置に対して前記利用者の個人情報の要求を送付するステップと、 前記個人情報管理装置で生成され、かつ暗号化された前記個人情報を含む不可逆なメッセージ情報を前記個人情報管理装置から取得するステップと、 取得した前記暗号化された前記個人情報を復号するための復号鍵の要求を前記個人情報管理装置に送付するステップと、 前記個人情報管理装置から受信した復号鍵に基づいて、暗号化された前記メッセージ情報を復号することにより、サービスを利用する前記利用者の照合のための前記個人情報を取得するステップと を含むことを特徴とする照合方法。 |
| 前記個人情報要求と共に、各個人情報と一意に対応し、当該個人情報が前記個人情報管理装置に登録されたことを示す前記個人情報登録証明情報を前記個人情報管理装置に送信するステップを含むことを特徴とする請求項28に記載の照合方法。 |
| 取得した復号鍵を復号鍵保管手段に保管する復号鍵保管ステップと、 前記復号鍵保管手段を検索して復号鍵を取得する取得済み復号鍵検索ステップと を含むことを特徴とする請求項28又は請求項29記載の照合方法。 |
| 前記送受信に関する通信ログを記録する通信記録保管ステップと 前記個人情報管理装置から受信した情報の内容を検証する受信情報確認ステップと を含むことを特徴とする請求項28から請求項30のいずれか1項に記載の照合方法。 |
| 前記個人情報管理装置に送信する前記個人情報登録証明情報に、前記サービス提供装置自身の電子署名を付与するステップを含むことを特徴とする請求項29から請求項31のいずれか1項に記載の照合方法。 |
| 前記個人情報管理装置に送信する前記個人情報要求に、前記サービス提供装置自身の電子署名を付与するステップを含むことを特徴とする請求項28から請求項32のいずれか1項に記載の照合方法。 |
| 個人情報の管理を行う個人情報管理装置において、 通信回線を介してサービス提供装置が提供するサービスを利用する利用者の利用者装置から取得した個人情報を登録するステップと、 登録した前記個人情報を含む不可逆なメッセージ情報を生成するステップと、 前記メッセージ情報を暗号化するステップと、 暗号化した前記メッセージ情報を復号するための復号鍵を生成するステップと、 前記サービス提供装置からの個人情報の要求に応じて、暗号化した前記メッセージ情報を前記サービス提供装置に送付するステップと、 前記サービス提供装置から受信した前記メッセージ情報の復号鍵の要求に応じて、当該復号鍵を前記サービス提供装置に送付するステップと を含み、 通信回線を介して利用者に対してサービスを提供するサービス提供装置において、 前記利用者の個人情報を管理する個人情報管理装置に対して前記利用者の個人情報の要求を送付するステップと、 前記個人情報管理装置で生成され、かつ暗号化された前記個人情報を含む不可逆なメッセージ情報を前記個人情報管理装置から取得するステップと、 取得した前記暗号化された前記個人情報を復号するための復号鍵の要求を前記個人情報管理装置に送付するステップと、 前記個人情報管理装置から受信した復号鍵に基づいて、暗号化された前記メッセージ情報を復号することにより、サービスを利用する前記利用者の照合のための前記個人情報を取得するステップと を含むことを特徴とする照合方法。 |
| 前記個人情報管理装置において、 登録した前記個人情報と一意に対応し、当該個人情報が登録されたことを示す個人情報登録証明情報を発行する個人情報登録証明情報発行ステップと、 前記サービス提供装置からの前記個人情報要求と共に、要求された個人情報に一意に対応する前記個人情報登録証明情報を確認できた場合に、前記登録情報に対応する個人情報を暗号化して前記サービス提供装置に送信するステップと を含み、 前記サービス提供装置において、 前記個人情報要求と共に、当該個人情報が前記個人情報管理装置に登録されたことを示す前記個人情報登録証明情報を前記個人情報管理装置に送信するステップを含むことを特徴とする請求項34に記載の照合方法。 |
| 前記個人情報管理装置において、 前記送受信に関する通信ログを記録する通信記録保管ステップと 前記サービス提供装置から受信した要求及び情報の内容を検証する受信情報確認ステップと を含み、 前記サービス提供装置において、 前記送受信に関する通信ログを記録する通信記録保管ステップと 前記個人情報管理装置から受信した情報の内容を検証する受信情報確認ステップと を含むことを特徴とする請求項34又は請求項35に記載の照合方法。 |
| 前記個人情報管理装置において、 前記サービス提供装置及び前記利用者装置に送信する前記個人情報登録証明情報と前記暗号化された個人情報に、前記個人情報管理装置自身の電子署名を付与するステップを含み、 前記サービス提供装置において、 前記個人情報管理装置に送信する前記個人情報要求又は前記個人情報登録証明情報に、前記サービス提供装置自身の電子署名を付与するステップを含むことを特徴とする請求項35又は請求項36に記載の照合方法。 |
| 個人情報の管理を行う個人情報管理装置において、 通信回線を介してサービス提供装置が提供するサービスを利用する利用者の利用者装置から取得した個人情報を登録する手段と、 登録した前記個人情報を含む不可逆なメッセージ情報を生成する手段と、 前記メッセージ情報を暗号化する手段と、 暗号化した前記メッセージ情報を復号するための復号鍵を生成する手段と、 前記サービス提供装置からの個人情報の要求に応じて、暗号化した前記メッセージ情報を前記サービス提供装置に送付する手段と、 前記サービス提供装置から受信した前記メッセージ情報の復号鍵の要求に応じて、当該復号鍵を前記サービス提供装置に送付する手段と を含み、 通信回線を介して利用者に対してサービスを提供するサービス提供装置において、 前記利用者の個人情報を管理する個人情報管理装置に対して前記利用者の個人情報の要求を送付する手段と、 前記個人情報管理装置で生成され、かつ暗号化された前記個人情報を含む不可逆なメッセージ情報を前記個人情報管理装置から取得する手段と、 取得した前記暗号化された前記個人情報を復号するための復号鍵の要求を前記個人情報管理装置に送付する手段と、 前記個人情報管理装置から受信した復号鍵に基づいて、暗号化された前記メッセージ情報を復号することにより、サービスを利用する前記利用者の照合のための前記個人情報を取得する手段と を含むことを特徴とする個人情報照合システム。 |
| 前記個人情報管理装置において、 登録した前記個人情報と一意に対応し、当該個人情報が登録されたことを示す個人情報登録証明情報を発行する個人情報登録証明情報発行手段と、 前記サービス提供装置からの前記個人情報要求と共に、要求された個人情報に一意に対応する前記個人情報登録証明情報を確認できた場合に、前記登録情報に対応する個人情報を暗号化して前記サービス提供装置に送信する手段と を含み、 前記サービス提供装置において、 前記個人情報要求と共に、当該個人情報が前記個人情報管理装置に登録されたことを示す前記個人情報登録証明情報を前記個人情報管理装置に送信する手段を含むことを特徴とする請求項38に記載の個人情報照合システム。 |
| 前記個人情報管理装置において、 前記送受信に関する通信ログを記録する通信記録保管手段と 前記サービス提供装置から受信した要求及び情報の内容を検証する受信情報確認手段と を含み、 前記サービス提供装置において、 前記送受信に関する通信ログを記録する通信記録保管手段と 前記個人情報管理装置から受信した情報の内容を検証する受信情報確認手段と を含むことを特徴とする請求項38又は請求項39に記載の個人情報照合システム。 |
| 前記個人情報管理装置において、 前記サービス提供装置及び前記利用者装置に送信する前記個人情報登録証明情報と前記暗号化された個人情報に、前記個人情報管理装置自身の電子署名を付与する手段を含み、 前記サービス提供装置において、 前記個人情報管理装置に送信する前記個人情報要求又は前記個人情報登録証明情報に、前記サービス提供装置自身の電子署名を付与する手段を含むことを特徴とする請求項39又は請求項40に記載の個人情報照合システム。 |
本発明は、個人情報管理装置、サービス 供装置、プログラム、個人情報管理方法、 合方法、および個人情報照合システムに関 、特に、信頼できる第三者がいない場合で 、個人情報の改ざんを防止し、個人情報の 受信の否認を防止できる個人情報管理装置 サービス提供装置、プログラム、個人情報 理方法、照合方法、および個人情報照合シ テムに関する。
関連技術の情報流通保証システムの一例 、特許文献1(特開2002-183491号公報)に記載さ ている。図27に示すように、この特許文献1 記載の情報流通保証システムは、ユーザ端 、電子文書仲介装置と、サービス提供者装 とから構成されている。電子文書仲介装置 、暗号/復号部と、認証部と、通信内容保管D Bと、アクセス記録DBから構成されており、サ ービス提供者装置は、暗号/復号部と認証部 ら構成される。
このような構成を有する情報流通保証シ テムはつぎのように動作する。
すなわち、電子文書仲介装置を介してユー
端末とサービス提供者を暗号化された通信
で繋ぎ、サービス提供者がユーザ端末に電
文書を送付する際には、必ず電子文書仲介
置が中継する。電子文書仲介装置は、サー
ス提供者から受け取った電子文書をユーザ
末に転送するのではなく、一度通信内容保
DBに保管し、ユーザ端末に電子文書受信通
を送付する。ユーザ端末は、電子文書受信
知を受け取った後で、電子文書にアクセス
る。そのときに、電子文書仲介装置は、ア
セス記録DBにユーザがアクセスしたことを記
録する。電子文書仲介装置は、通信内容保管
DBに保管されている通信内容と、ユーザ端末
サービス提供者が管理している情報を照合
ることで、ユーザ端末とサービス提供者の
ちらが情報を改ざんしたか判断することが
きる。また、電子文書仲介装置は、ユーザ
クセスをアクセス記録DBに登録することで
ユーザが情報を取得したことを否認するこ
を防ぐ。
しかしながら、上述した情報流通保証シ テムは、以下に示す問題点を有する。
第1の問題点は、個人情報を流通させる際 に第三者が個人情報の流通を監視していない 状況では、サービス提供装置が個人情報の受 信を否認することを防止できないということ である。
その理由は、サービス提供装置が個人情 を受信したことを確認するための手段を個 情報管理装置が持たないためである。特許 献1にあるような第三者が個人情報の流通を 監視している状況では、第三者はサービス提 供装置と個人情報管理装置を特定しているた め、否認を防止することができる。しかし、 第三者が存在すると個人情報の流通を全て監 視できるが、第三者に個人情報の送受信の情 報を渡すため、多くの通信が発生して通信負 荷が高くなる。また、第三者の流通監視サー ビスを利用すると、サービス利用のためのコ ストが発生してしまう。そこで、負荷やコス トを削減するために、個人情報を送受信する 装置が流通を監視することが求められる。
しかし、個人情報管理装置とサービス提 装置しか存在しない場合には、サービス提 装置が個人情報を受信したことを個人情報 理装置は確認できない。サービス提供装置 個人情報を受信したことを個人情報管理装 に伝える確認メッセージの送受信があれば 個人情報管理装置はサービス提供装置が受 したことを確認できる。しかし、このよう 確認メッセージをサービス提供装置が送信 ない場合でもサービス提供装置は個人情報 取得し、利用できる。そのため、サービス 供装置が個人情報の送受信を否認した場合 個人情報管理装置はこれを防ぐことができ い。
ここで、個人情報の流通を監視する第三 として、例えば、電子公証サービスを提供 る日本電子公証機構(http://www.jnotary.com/service _new/service_new.html、非特許文献1)や、ベリサイ (http://www.verisign.co.jp/mpki/benefits/option/notarizati on.html、非特許文献2)等がある。これら電子公 証サービスを提供する第三者が、電子公証サ ービス利用者から個人情報等を受け取り、そ の個人情報等の内容を保証する証明書を発行 することによって、当該利用者や当該利用者 にコンテンツ等を提供するプロバイダ等が、 この証明書によって個人情報等が正しいこと を確認する。
第2の問題点は、個人情報を流通させると きに第三者が個人情報の流通を監視していな い状況では、流通させる個人情報が改ざんさ れていないことを個人情報管理装置とサービ ス提供装置は確認できないということである 。
その理由は、個人情報管理装置とサービ 提供装置は自身が送受信するメッセージの を確認しても、通信相手が不正に情報を改 んしていないことを確認できないためであ 。特許文献1に挙げた電子文書仲介装置のよ うな第三者が個人情報の流通を全て監視して いる状況ならば、どちらが個人情報を不正に 改ざんしているか判断できる。
しかし、第三者が存在しない場合には、 人情報管理装置とサービス提供装置はそれ れが送受信したメッセージを確認し、改ざ していないことを確認することになる。こ 状況では、サービス提供装置が個人情報管 装置からユーザの個人情報を取得したとき 、ユーザが登録した個人情報と、個人情報 理装置が送付した個人情報が同じであるか 断することができない。サービス提供装置 、個人情報を所持していないため、改ざん 確認するための情報が無いからである。も 、個人情報管理装置が個人情報を改ざんし も、サービス提供装置は確認するための情 がないため、個人情報が改ざんされたこと 検出することができない。
第3の問題点は、個人情報を管理するため に高い管理コストが発生するということ、ま た、当該管理コストが発生することを防ぐた めにすでに個人情報の送受信が終了した後で 再び同じ情報を取得するときに、個人情報の 送受信に多くの通信が発生するということで ある。
その理由は、一度正常に個人情報の送受 が終了しても、正常に終了したという状態 個人情報管理装置とサービス提供装置とで 有しないためである。例えば、図28にあげ ように、個人情報を個人情報管理装置にお て一箇所で集中的に管理し、サービス提供 置が自身で個人情報を管理しない場合には サービス提供装置は、個人情報を利用する びに個人情報管理装置に対して個人情報を 求する。この例では、サービス提供装置は 身で個人情報を保有、管理していない。個 情報を管理するためには、情報漏洩対策を たり、個人情報保護法に対応するといった 個人情報を管理するための特別な処理が必 になり、そのための管理コストが発生する そこで、これらのコストを無くすために、 ービス提供装置は、一度情報取得した個人 報をそのまま保持するのではなく、同じ個 情報を何度も個人情報管理装置に要求する
これらの装置は、同じ通信を何度も繰り すことになるため、簡略化した通信が必要 なるが、サービス提供装置は、個人情報を 求する際に、すでに個人情報の送受信が正 に終了していることを確認していない。そ ため、個人情報を再度送受信する際に、情 改ざんが行われていないことや、改ざん防 されていないことを確認するための処理を 度行うことになり、個人情報の流通に関す 確認のために同じ通信が何度も発生する。
第4の問題点は、個人情報を流通させると きに第三者が個人情報の流通を監視していな い状況では、個人情報の流通が正しく行われ ていることを任意のタイミングで確認できな いということである。
その理由は、通信相手が送受信したメッ ージを確認して、個人情報が改ざんされて たり、送受信が否認されることなく正しく 通されたことを確認できないためである。 三者が個人情報の流通を監視している状況 は、全ての情報を第三者が保持しているた 、その情報を参照すれば情報流通が正しく われたことをいつでも確認できる。また、 人情報を送受信するときには、自身が何の 報を送受信したかを確認できる。しかし、 人情報の送受信が終了すると、自身の通信 グのみが残る。自身のログだけでは、第1の 問題点と同様に、通信相手が処理した内容を 確認できないため、情報の送受信が正しく行 われていたことを示す通信相手の情報が無い 。そのため、相手が送付した情報を確認でき ない。
(発明の目的)
本発明の目的は、公正な第三者が個人情報
送受信に関する公証を行っていない状況に
いて、個人情報管理装置が送信した情報を
ービス提供装置が受信する際に、サービス
供装置が個人情報を受信したことを否認で
ないようにする個人情報照合システムを提
することにある。
本発明の他の目的は、公正な第三者が個 情報流通に関する公証を行っていない状況 も、個人情報管理装置とサービス提供装置 個人情報を送受信するときに、送受信する 人情報が改ざんされた場合にその改ざんを 出することを可能にする個人情報照合シス ムを提供することにある。
本発明のさらに他の目的は、同じ個人情 を何度も送受信される状況で、個人情報管 装置とサービス提供装置が、個人情報の改 んがないことと送受信の事実が否認されな ことを確認する処理を簡略化できる個人情 照合システムを提供することにある。
本発明のさらに他の目的は、個人情報管 装置とサービス提供装置が、個人情報が改 んされずに送受信され、また、個人情報の 受信に関する否認が無いことを任意のタイ ングで確認できる個人情報照合システムを 供することにある。
本発明による個人情報管理装置は、通信 線を介してサービス提供装置が提供するサ ビスを利用する利用者の利用者装置から取 した個人情報を登録する手段と、登録した 人情報を含む不可逆なメッセージ情報を生 する手段と、メッセージ情報を暗号化する 段と、暗号化したメッセージ情報を復号す ための復号鍵を生成する手段と、サービス 供装置からの個人情報の要求に応じて、暗 化したメッセージ情報をサービス提供装置 送付する手段と、サービス提供装置から受 したメッセージ情報の復号鍵の要求に応じ 、当該復号鍵をサービス提供装置に送付す 手段とを含む。
本発明によるサービス提供装置は、通信 線を介して利用者に対してサービスを提供 るサービス提供装置において、利用者の個 情報を管理する個人情報管理装置に対して 用者の個人情報の要求を送付する手段と、 人情報管理装置で生成され、かつ暗号化さ た個人情報を含む不可逆なメッセージ情報 個人情報管理装置から取得する手段と、取 した暗号化された個人情報を復号するため 復号鍵の要求を個人情報管理装置に送付す 手段と、個人情報管理装置から受信した復 鍵に基づいて、暗号化されたメッセージ情 を復号することにより、サービスを利用す 利用者の照合のための個人情報を取得する 段とを含む。
本発明による第1のプログラムは、コンピ ュータで実現される、個人情報の管理を行う 個人情報管理装置上で実行されるプログラム であって、コンピュータに、通信回線を介し てサービス提供装置が提供するサービスを利 用する利用者の利用者装置から取得した個人 情報を登録する処理と、登録した個人情報を 含む不可逆なメッセージ情報を生成する処理 と、メッセージ情報を暗号化する処理と、暗 号化したメッセージ情報を復号するための復 号鍵を生成する処理と、サービス提供装置か らの個人情報の要求に応じて、暗号化したメ ッセージ情報をサービス提供装置に送付する 処理と、サービス提供装置から受信したメッ セージ情報の復号鍵の要求に応じて、当該復 号鍵をサービス提供装置に送付する処理とを 実行させる。
本発明による第2のプログラムは、コンピ ュータで実現される、通信回線を介して利用 者に対してサービスを提供するサービス提供 装置上で実行されるプログラムであって、コ ンピュータに、利用者の個人情報を管理する 個人情報管理装置に対して利用者の個人情報 の要求を送付する処理と、個人情報管理装置 で生成され、かつ暗号化された個人情報を含 む不可逆なメッセージ情報を個人情報管理装 置から取得する処理と、取得した暗号化され た個人情報を復号するための復号鍵の要求を 個人情報管理装置に送付する処理と、個人情 報管理装置から受信した復号鍵に基づいて、 暗号化されたメッセージ情報を復号すること により、サービスを利用する利用者の照合の ための個人情報を取得する処理とを実行させ る。
本発明による個人情報管理方法は、個人 報管理装置上で個人情報の管理を行う個人 報管理方法であって、通信回線を介してサ ビス提供装置が提供するサービスを利用す 利用者の利用者装置から取得した個人情報 登録するステップと、登録した個人情報を む不可逆なメッセージ情報を生成するステ プと、メッセージ情報を暗号化するステッ と、暗号化したメッセージ情報を復号する めの復号鍵を生成するステップと、サービ 提供装置からの個人情報の要求に応じて、 号化したメッセージ情報をサービス提供装 に送付するステップと、サービス提供装置 ら受信したメッセージ情報の復号鍵の要求 応じて、当該復号鍵をサービス提供装置に 付するステップとを含む。
本発明による第1の照合方法は、通信回線 を介して利用者に対してサービスを提供する サービス提供装置上で実行する利用者の個人 情報の照合方法であって、利用者の個人情報 を管理する個人情報管理装置に対して利用者 の個人情報の要求を送付するステップと、個 人情報管理装置で生成され、かつ暗号化され た個人情報を含む不可逆なメッセージ情報を 個人情報管理装置から取得するステップと、 取得した暗号化された個人情報を復号するた めの復号鍵の要求を個人情報管理装置に送付 するステップと、個人情報管理装置から受信 した復号鍵に基づいて、暗号化されたメッセ ージ情報を復号することにより、サービスを 利用する利用者の照合のための個人情報を取 得するステップとを含む。
本発明による第2の照合方法は、個人情報 の管理を行う個人情報管理装置において、通 信回線を介してサービス提供装置が提供する サービスを利用する利用者の利用者装置から 取得した個人情報を登録するステップと、登 録した個人情報を含む不可逆なメッセージ情 報を生成するステップと、メッセージ情報を 暗号化するステップと、暗号化したメッセー ジ情報を復号するための復号鍵を生成するス テップと、サービス提供装置からの個人情報 の要求に応じて、暗号化したメッセージ情報 をサービス提供装置に送付するステップと、 サービス提供装置から受信したメッセージ情 報の復号鍵の要求に応じて、当該復号鍵をサ ービス提供装置に送付するステップとを含み 、通信回線を介して利用者に対してサービス を提供するサービス提供装置において、利用 者の個人情報を管理する個人情報管理装置に 対して利用者の個人情報の要求を送付するス テップと、個人情報管理装置で生成され、か つ暗号化された個人情報を含む不可逆なメッ セージ情報を個人情報管理装置から取得する ステップと、取得した暗号化された個人情報 を復号するための復号鍵の要求を個人情報管 理装置に送付するステップと、個人情報管理 装置から受信した復号鍵に基づいて、暗号化 されたメッセージ情報を復号することにより 、サービスを利用する利用者の照合のための 個人情報を取得するステップとを含む。
本発明による個人情報照合システムは、個
情報の管理を行う個人情報管理装置におい
、通信回線を介してサービス提供装置が提
するサービスを利用する利用者の利用者装
から取得した個人情報を登録する手段と、
録した個人情報を含む不可逆なメッセージ
報を生成する手段と、メッセージ情報を暗
化する手段と、暗号化したメッセージ情報
復号するための復号鍵を生成する手段と、
ービス提供装置からの個人情報の要求に応
て、暗号化したメッセージ情報をサービス
供装置に送付する手段と、
サービス提供装置から受信したメッセージ
報の復号鍵の要求に応じて、当該復号鍵を
ービス提供装置に送付する手段とを含み、
信回線を介して利用者に対してサービスを
供するサービス提供装置において、利用者
個人情報を管理する個人情報管理装置に対
て利用者の個人情報の要求を送付する手段
、個人情報管理装置で生成され、かつ暗号
された個人情報を含む不可逆なメッセージ
報を個人情報管理装置から取得する手段と
取得した暗号化された個人情報を復号する
めの復号鍵の要求を個人情報管理装置に送
する手段と、個人情報管理装置から受信し
復号鍵に基づいて、暗号化されたメッセー
情報を復号することにより、サービスを利
する利用者の照合のための個人情報を取得
る手段とを含む。
本発明によれば、以下に示す効果を達成 ることができる。
第1の効果は、サービス提供装置が個人情 報の受信を否認することを、個人情報管理装 置が通信負荷を抑えて低コストで防止できる ことである。
第2の効果は、個人情報管理装置がユーザ 端末から取得した個人情報を改ざんしている か否かをサービス提供装置が低コストで検証 できることである。
第3の効果は、個人情報管理装置とサービ ス提供装置がすでに個人情報を送受信してい た場合に、個人情報の送受信の処理を簡略化 できることである。
第4の効果は、個人情報管理装置とサービ ス提供装置は、個人情報が改ざんされずに送 受信されたこと、また、否認されずに送受信 されたことを任意のタイミングに低コストで 確認できることである。
第5の効果は、適切な個人情報のみを送受 信していることを主張できることである。
第6の効果は、個人情報を利用したサービ スを低コストで容易に提供できることである 。
(第1の実施の形態)
次に、本発明の第1の実施の形態について図
面を参照して詳細に説明する。
(第1の実施の形態の構成)
図1は本実施の形態の構成の概略を示す図、
図2は本実施の形態の構成を示すブロック図
あり、図1を参照すると、本実施の形態は、
ットワーク2000を介して個人情報管理装置1
びサービス提供装置2が接続されている。
図2を参照すると、本実施の形態は、個人 情報管理装置1とサービス提供装置2とネット ーク2000とから構成されている。
個人情報管理装置1は、個人情報保管手段 11と、個人情報要求確認手段12と、送信情報 成部13と、通信手段14とを含む。さらに、送 情報生成部13は、送信メッセージ生成手段13 1と個人情報暗号化手段132と復号鍵保管手段13 3と復号鍵送付手段134とを含む。
一方、サービス提供装置2は、個人情報要 求部21と、個人情報確認部22と、通信手段23と を含む。さらに、個人情報要求部21は要求メ セージ生成手段211と応答確認手段212とを含 、個人情報確認部22は復号鍵要求手段221と 人情報復号手段222とを含む。
これらの手段はそれぞれ概略つぎのよう 動作する。
個人情報保管手段11は、個人情報管理装 1が保持する個人情報を記録する。
ここで、個人情報保管手段11において記 される個人情報の例を図3に示す。
図3を参照すると、この個人情報は、記録 する各個人情報を識別するユーザID毎に、ユ ザの氏名、住所、電話番号、メールアドレ を対応付けて記録される。また、個人情報 、ユーザの購入履歴等のマーケティング情 等を含んでいてもよい。
個人情報要求確認手段12は、他の装置が 人情報管理装置1に送付した要求メッセージ 解析する処理を行う。すなわち、個人情報 求確認手段12は、送付された要求が、個人 報の要求であるか、暗号化された個人情報 復号するための復号鍵の要求であるかを解 する。
送信メッセージ生成手段131は、個人情報 管手段11から個人情報を取得し、取得した 人情報に基づいて、他の装置に送付する応 メッセージ(個人情報応答メッセージ)を生成 する。
個人情報暗号化手段132は、送付する個人 報の暗号鍵、復号鍵を生成し、個人情報を 号化する。ここでは、通信手段14が通信路 暗号化(例えばSSLなどを利用した暗号化)して いるか否かにかかわらず必ず個人情報を暗号 化する。生成した鍵は、復号鍵保管手段133に 保管する。さらに、暗号化した情報に個人情 報管理装置1自身の署名をつける。この処理 よって、サービス提供装置2が個人情報を不 に改ざんした場合に、個人情報管理装置1は その改ざんに関与していないことを証明でき る。なぜならば、情報を改ざんすると、個人 情報管理装置1が付与した署名の検証に失敗 るので、個人情報管理装置1とは別の装置が ざんしていることを証明できからである。
復号鍵保管手段133は、復号鍵とそれに関 する情報を登録しておく。関連する情報と 、例えば、暗号鍵や暗号化した個人情報に するユーザ名、個人情報の送信先である受 装置名である。すなわち、復号鍵保管手段1 33は、個人情報の主体であるユーザごとに復 鍵を管理する。
ここで、復号鍵保管手段133において登録 れる情報(テーブル)の例を図4に示す。
図4を参照すると、当該情報(テーブル)は、
得したユーザの個人情報の各属性(氏名・住
所・電話番号・メールアドレス等)毎に、取
した個人情報の各属性を識別するユーザIDと
、取得日時と、暗号化したそれらの情報を復
号する復号鍵とを対応付けて登録される。な
お、当該情報(テーブル)の例において、復号
の形式として、XML暗号(W3C Recommendation, "XML
Encryption Syntax and Processing", 10
December 2002 http://www.w3.org/TR/xmlenc-core/、非特
文献3)及びXML署名(W3C Recommendation, "XML-Signatur
e Syntax and Processing", 12
February 2002 http://www.w3.org/TR/xmldsig-core/、非特
文献4)で定義された形式を用いているが、
論、他の形式を用いてもよく、用いる形式
して特に制限はない。
復号鍵送付手段134は、個人情報管理装置1 が個人情報を暗号化して送った装置が、復号 鍵を要求してきた場合に、復号鍵保管手段133 に保管してある復号鍵を送信する。すなわち 、復号鍵送付手段134は、メッセージID等を比 することによって、復号鍵要求メッセージ 、個人情報応答メッセージとの対応関係を べる。
通信手段14は、個人情報暗号化手段132が 成した情報や、復号鍵送付手段134による情 を他の装置に送信したり、他の装置が個人 報管理装置1向けに送付したメッセージを受 したりする。
要求メッセージ生成手段211は、必要な個 情報を他の装置に要求するために要求メッ ージ(個人情報要求メッセージ)を生成する
応答確認手段212は、応答メッセージを確 する。確認する内容は、例えば、通信手段2 3が受信した個人情報要求に対する応答メッ ージ(個人情報応答メッセージ)に個人情報管 理装置1の署名がついているか否か、その署 は正しいか否か、ということである。個人 報管理装置1の署名が正しくついていること 確認することによって、サービス提供装置2 は、個人情報管理装置1が個人情報の送信に いて否認することを防ぐことができる。
復号鍵要求手段221は、暗号化された個人 報を受信した場合に、暗号を解くための復 鍵を要求するメッセージ(復号鍵要求メッセ ージ)を生成する。すなわち、復号鍵要求手 221は、暗号化された特定の個人情報を復号 るために、当該暗号化された特定の個人情 に対応する特定の復号鍵を要求する。
個人情報復号手段222は、通信手段23が受 した暗号化された個人情報を、復号鍵を用 て復号し、個人情報を取得する。
通信手段23は、個人情報要求メッセージ 復号鍵要求メッセージ等を送信する。また 暗号化された個人情報や復号鍵を受信する
ここで、個人情報管理装置1及びサービス 提供装置2のハードウェア構成例の説明をす 。
図5は、本実施の形態による個人情報管理 装置1及びサービス提供装置2のハードウェア 成例を示すブロック図である。
図5を参照すると、本発明による個人情報 管理装置1及びサービス提供装置2は、一般的 コンピュータ装置と同様のハードウェア構 によって実現することができ、CPU(Central Pro cessing Unit)1001、RAM(Random Access Memory)等のメイ ンメモリであり、データの作業領域やデータ の一時退避領域に用いられる主記憶部1002、 ットワーク2000を介してデータの送受信を行 通信制御部1003、液晶ディスプレイ、プリン タやスピーカ等の提示部1004、キーボードや ウス等の入力部1005、周辺機器と接続してデ タの送受信を行うインタフェース部1006、ROM (Read Only Memory)、磁気ディスク、半導体メモ 等の不揮発性メモリから構成されるハード ィスク装置である補助記憶部1007、本情報処 理装置の上記各構成要素を相互に接続するシ ステムバス1008等を備えている。
本発明による個人情報管理装置1及びサー ビス提供装置2は、その動作を、個人情報管 装置1及びサービス提供装置2内部にそのよう な機能を実現するプログラムを組み込んだ、 LSI(Large Scale Integration)等のハードウェア部品 からなる回路部品を実装してハードウェア的 に実現することは勿論として、上記した各構 成要素の各機能を提供するプログラムを、コ ンピュータ処理装置上のCPU1001で実行するこ により、ソフトウェア的に実現することが きる。
すなわち、CPU1001は、補助記憶部1007に格 されているプログラムを、主記憶部1002にロ ドして実行し、個人情報管理装置1又はサー ビス提供装置2の動作を制御することにより 上述した各機能をソフトウェア的に実現す 。
なお、後述する個人情報管理装置4、6、8 サービス提供装置5、7、9が上述のような構 を有し、上述した各機能をハードウェア的 はソフトウェア的に実現してもよい。
(第1の実施の形態の動作)
次に、図2~図7を参照して本実施の形態の全
の動作について詳細に説明する。
前提として、ユーザは個人情報を個人情 保管手段11に登録しているものとする。こ 状況で、サービス提供装置2が個人情報管理 置1に個人情報を要求して、個人情報を取得 する。
まず、図6を用い、サービス提供装置2が 人情報管理装置1に個人情報を要求して個人 報を取得する動作の概略を説明する。
(1)サービス提供装置2が、サービス提供装 置2の電子署名付きの個人情報要求メッセー を個人情報管理装置1に対して送信する。
(2)個人情報管理装置1が、電子署名を認証 すると、要求された個人情報を暗号化する。
(3)個人情報管理装置1が、暗号化された個 人情報に電子署名をつけてサービス提供装置 2に対して送信する。
(4)サービス提供装置2が、暗号化された個 人情報を受信し、電子署名を認証すると、サ ービス提供装置2の電子署名付きの復号鍵要 メッセージを個人情報管理装置1に対して送 する。
(5)個人情報管理装置1が、電子署名を認証 すると、復号鍵をサービス提供装置2に対し 送信する。
(6)サービス提供装置2が、暗号化された個 人情報を復号して個人情報を取得する。
次いで、図2及び図7のフローチャートを い、サービス提供装置2が個人情報管理装置1 に個人情報を要求して個人情報を取得する動 作を詳細に説明する。
まず、要求メッセージ生成手段211が個人 報要求メッセージを生成する(ステップS1)。 この処理は、例えば、個人情報を利用する装 置が、個人情報を取得する際に、要求メッセ ージ生成手段211に個人情報要求を伝えること によって開始される。
この処理によって生成する個人情報要求 ッセージには、サービス提供装置2の電子署 名をつける。この電子署名によって、サービ ス提供装置2は、個人情報を要求したことを 認することができなくなる。
次に、サービス提供装置2の通信手段23が 個人情報管理装置1の通信手段14に個人情報 求メッセージを送付する(ステップS2)。
個人情報管理装置1が個人情報要求メッセ ージを受信すると、個人情報要求確認手段12 要求メッセージを確認する(ステップS3)。こ こで、確認処理には、例えば、個人情報管理 装置1で管理している個人情報であるか否か 確認、メッセージに付加されている電子署 の検証といった処理が含まれる。
確認処理が終了すると、送信メッセージ 成手段131が、個人情報保管手段11から個人 報を取得し、取得した個人情報に基づいて 答メッセージを生成する(ステップS4)。
次に、個人情報暗号化手段132が前記応答 ッセージを暗号化し、電子署名をつける(ス テップS5)。このときに、暗号鍵と復号鍵を生 成して、復号鍵を復号鍵保管手段133に登録し ておく。電子署名をつけることで、サービス 提供装置2での個人情報の改ざんを防止し、 人情報管理装置1は、個人情報を送付したこ を否認することができなくなる。
次に、個人情報管理装置1の通信手段14が サービス提供装置2の通信手段23に前記応答 ッセージを送付する(ステップS6)。
サービス提供装置2が応答メッセージを受 け取ると、応答確認手段212が応答メッセージ を確認する(ステップS7)。この確認作業は、 えば、応答メッセージの電子署名の検証で る。
次に、復号鍵要求手段221が、ステップS6 取得した情報を復号するための復号鍵を要 するメッセージを生成する(ステップS8)。
次に、サービス提供装置2の通信装置23が 個人情報管理装置1の通信手段14に復号鍵要 メッセージを送付する(ステップS9)。このメ ッセージには、サービス提供装置2の電子署 をつける。個人情報管理装置1とサービス提 装置2間における復号鍵要求メッセージの送 受信によってackに相当する処理を行うことで 、ackと同等の効果が生まれ、ackが不要になる ので(復号鍵の要求を個人情報取得の確認メ セージとみなすことができるので)、署名つ 復号鍵要求メッセージを受け取った個人情 管理装置1は、個人情報要求装置2が暗号化 み個人情報をすでに取得していることを否 することを防止できる。
個人情報管理装置1が復号鍵要求メッセー ジを受信すると、復号鍵送付手段134が復号鍵 保管手段133を検索して復号鍵を取得する(ス ップS10)。
次に、個人情報管理装置1の通信手段14が サービス提供装置2の通信手段23に復号鍵を 付する(ステップS11)。
サービス提供装置2が復号鍵を取得すると 、個人情報復号手段222が、すでに取得してい た暗号化済み個人情報を復号する(ステップS1 2)。
以上の動作によって、個人情報管理装置1 は、サービス提供装置2から個人情報の受信 認のメッセージを取得できるので、個人情 の送受信の否認を防止できる。
(第1の実施の形態の効果)
次に、本実施の形態の効果について説明す
。本実施の形態によれば、以下の効果を達
する。
第1に、サービス提供装置2は個人情報を 身で管理するのではなく必要に応じて個人 報を個人情報管理装置1より取得する、とい ように構成されているため、サービス提供 置2は個人情報を管理する必要がなくなり、 個人情報を管理するコストを削減できる。
第2に、サービス提供装置2が、サービス 供装置2の電子署名付きの個人情報要求メッ ージを個人情報管理装置1に対して送信する ため、この電子署名によって、サービス提供 装置2が個人情報を要求したことを否認する とを個人情報管理装置1が防止できる。
第3に、個人情報管理装置1が、暗号化さ た個人情報に電子署名をつけてサービス提 装置2に対して送信するため、この電子署名 よって、サービス提供装置2での個人情報の 改ざんを防止でき、また、個人情報管理装置 1は、個人情報を送付したことを否認するこ ができなくなる。
第4に、暗号化されている応答メッセージ に対する復号鍵要求メッセージの送受信によ ってackに相当する処理を行うことで、ackと同 等の効果が生まれるため、署名つき復号鍵要 求メッセージを受け取った個人情報管理装置 1は、ackによる処理を行うことなく、また、 人情報の流通を監視する第三者を必要とす ことなく、個人情報要求装置2が暗号化済み 人情報をすでに取得していることを否認す ことを防止できる。すなわち、暗号化され いる応答メッセージを受信したサービス提 装置2が必ず個人情報管理装置1へ個人情報 受信確認のメッセージ(復号鍵要求メッセー )を送付するため、サービス提供装置2が個 情報の受信を否認することを、個人情報管 装置1は、個人情報の流通を監視する第三者 必要とすることなく通信負荷を抑えて低コ トで防止できる。
(第2の実施の形態)
次に、本発明の第2の実施の形態について図
面を参照して詳細に説明する。
(第2の実施の形態の構成)
図8は本実施の形態の構成の概略を示す図、
図9は本実施の形態の構成を示すブロック図
あり、図8を参照すると、本実施の形態は、
ットワーク2000を介してユーザ端末3、個人
報管理装置4及びサービス提供装置5が接続さ
れている。
図9を参照すると、本発明の第2の実施の 態は、ユーザ端末3と個人情報管理装置4とサ ービス提供装置5とネットワーク2000とから構 される。
個人情報管理装置4は、図2に示した第1の 施の形態における個人情報管理装置1の構成 要素に加え、個人情報登録部41と、個人情報 録証明書保管手段42と、個人情報登録証明 確認手段43とを有する。
また、サービス提供装置5は、図2に示し 第1の実施の形態におけるサービス提供装置2 の構成に加え、個人情報登録証明書取得手段 51と、個人情報登録証明書保管手段52と、個 情報検証手段53とを有する。個人情報登録部 41は、個人情報受付手段411と、個人情報登録 明書発行手段412とを含む。
これらの手段はそれぞれ次のように動作 る。
個人情報受付手段411は、ユーザ端末3が登 録要求した個人情報を個人情報保管手段15に 納する。
個人情報登録証明書発行手段412は、個人 報に対応した個人情報登録証明書を発行す 。この個人情報登録証明書は、他の装置が 人情報管理装置4に対して個人情報を要求す るときに必要となる情報である。もし、この 個人情報登録証明書を他の装置が提示しない 場合には個人情報管理装置4は個人情報を送 しない。個人情報登録証明書には、個人情 に関連する情報と、個人情報と個人情報登 証明書を1対1に結びつける情報が含まれてい る。例えば、個人情報登録証明書には、個人 情報の種類、個人情報を登録したユーザ、登 録時刻、個人情報等から生成した一方向性ハ ッシュ値、個人情報処理装置4の電子署名を める。
ここで、個人情報登録証明書は、ユーザ よって登録された個人情報を個人情報管理 置4が改ざんせずに管理していることを他の 装置に主張するためのデータである。この証 明書は、ユーザ名、登録時間、登録した個人 情報名だけでなく、個人情報から生成される 一方向性ハッシュ値等、登録した個人情報か ら一意に決まる情報を含む。
この情報を利用することで、ユーザ端末3 、そのユーザ及びサービス提供装置5は、ユ ザの個人情報が改ざんされていないことを 認できる。例えば、ユーザ端末3は、登録し 個人情報から生成されるハッシュ値と個人 報登録証明書に含まれているハッシュ値と 比較をすることによって、個人情報管理装 4が正しい情報を登録しているか否かを確認 できる。また、サービス提供装置5は、個人 報管理装置4から取得した個人情報に基づい 生成されるハッシュ値と、ユーザ端末3から 取得した証明書に含まれるハッシュ値を比較 することで、個人情報管理装置4がユーザ端 3から取得した個人情報を改ざんせずに管理 ているか否かを確認できる。
個人情報登録証明書保管手段42は、個人 報登録証明書発行手段412が発行した個人情 登録証明書を保管する。
図10は、個人情報登録証明書発行手段412 おいて発行され、個人情報登録証明書保管 段42において保管される個人情報登録証明書 の例を示す図である。
図10を参照すると、当該個人情報登録証 書は、個人情報受付手段411において格納さ たユーザの個人情報の各属性(氏名・住所・ 話番号・メールアドレス等)毎に、取得した 個人情報の各属性を識別するユーザIDと、取 日時と、個人情報証明データとを対応付け 発行される。なお、個人情報証明データは 個人情報の各属性に基づいて生成されたハ シュ値であり、例えば、“1b9fb2f257720d7bcfdc8f 74f002a12c”は、“山田 太郎”に基づいて生成 された値である。
個人情報登録証明書確認手段43は、他の 置が個人情報管理装置4に送付した個人情報 録証明書を確認する。この確認は、個人情 登録証明書の署名を検証して個人情報登録 明書が改ざんされていないことを確認し、 人情報が個人情報保管手段15に保管されて ることを確認する処理である。
個人情報登録証明書取得手段51は、個人 報を取得する際に必要となる個人情報登録 明書をユーザ端末3から取得する。
個人情報登録証明書保管手段52は、個人 報登録証明書取得手段51が取得した個人情報 登録証明書を保管する。
個人情報検証手段53は、ユーザ端末3から 得した個人情報登録証明書に含まれる情報 、個人情報管理装置4から取得した個人情報 を比較する。ここで比較する内容は、例えば 、個人情報管理装置から取得した個人情報か ら生成したハッシュ値と個人情報登録証明書 に含まれているハッシュ値の比較であり、同 じであるならば個人情報は改ざんされていな いと判断する。
(第2の実施の形態の動作)
次に、図9~図14を参照して本実施の形態の動
作について説明する。この動作は、ユーザ端
末3が個人情報管理装置4に個人情報を登録す
動作と、サービス提供装置5が個人情報管理
装置4から個人情報を取得する動作に分けら
る。
まず、図9、図11の概略図及び図12のフロ チャートを用いて、ユーザ端末3が個人情報 登録するときの動作について説明する。
ユーザ端末3は、サービスの提供を要求し たサービス提供装置5から個人情報の登録要 を通知されること等によって、個人情報管 装置4に対して個人情報を送信し(図11の(1))、 個人情報受付手段411を介して個人情報管理装 置4の個人情報保管手段11に個人情報を登録す る(図12のステップA1、図11の(2))。
次に、個人情報登録証明書発行手段412が ステップA1で取得した個人情報に対応する 人情報登録証明書を発行する(ステップA2)。
さらに、個人情報登録証明書保管手段42 おいて、ステップA1で取得した個人情報とス テップA2で発行した個人情報登録証明書を対 付けて登録する(ステップA3、図11の(3))。
次に、個人情報登録証明書発行手段412は ユーザ端末3に対して個人情報登録証明書を 送付する(ステップA4、図11の(4))。
ユーザ端末3は、個人情報登録証明書を取 得すると、個人情報登録証明書と個人情報の 関係が正しいか否かの確認処理をする(ステ プA5、図11の(5))。この処理は、例えば、ユー ザ端末3がステップA1で個人情報管理装置4に して送信した個人情報に対するハッシュ値 、個人情報管理装置4が発行した個人情報登 証明書に書かれているハッシュ値を比較し 登録した個人情報が正しいものであるか否 を確認する。ユーザ端末3のユーザによって 、取得した個人情報登録証明書と個人情報の 関係が正しいか否かの確認入力がなされても よい。もし、ハッシュ値が異なっている場合 には、個人情報管理装置4はユーザ端末3が登 要求した個人情報と異なる情報を登録して ることになるので、個人情報登録処理を途 で終了する。一方、ハッシュ値が同じ場合 、個人情報管理装置4はユーザ端末3が登録 求した情報をそのまま登録したことになる
ハッシュ値が同じ場合は次に、ユーザ端 3が、個人情報登録証明書保管手段52に対し 個人情報登録証明書を送信し(図11の(6))、サ ービス提供装置5の個人情報登録証明書取得 段51を介し、個人情報登録証明書を個人情報 登録証明書保管手段52に登録する(ステップA6 図11の(7))。ユーザ端末3が個人情報を登録し た際に個人情報管理装置4から取得した個人 報登録証明書をあらかじめサービス提供装 5に登録しておくことで、サービス提供装置5 は、任意のタイミングで個人情報管理装置4 り個人情報を取得することができる。
次に、図9、図13の概略図及び図14のフロ チャートを用いて、サービス提供装置5が、 人情報管理装置4に個人情報を要求し、個人 情報を取得する動作について説明する。
まず、図13を用い、サービス提供装置5が 個人情報管理装置4に個人情報を要求して個 人情報を取得する動作の概略を説明する。
(1)サービス提供装置5が、サービス提供装 置5の電子署名付きの個人情報要求メッセー 及び個人情報登録証明書を個人情報管理装 4に対して送信する。
(2)個人情報管理装置4が、電子署名及び個 人情報登録証明書を認証すると、要求された 個人情報を暗号化する。
(3)個人情報管理装置4が、暗号化された個 人情報に電子署名をつけてサービス提供装置 5に対して送信する。
(4)サービス提供装置5が、暗号化された個 人情報を受信し、電子署名を認証すると、サ ービス提供装置5の電子署名付きの復号鍵要 メッセージを個人情報管理装置4に対して送 する。
(5)個人情報管理装置4が、電子署名を認証 すると、復号鍵をサービス提供装置5に対し 送信する。
(6)サービス提供装置5が、暗号化された個 人情報を復号して取得した個人情報を検証す る。
次いで、図9及び図14を用い、サービス提 装置5が個人情報管理装置4に個人情報を要 して個人情報を取得する動作を詳細に説明 る。
サービス提供装置5が個人情報を利用する ために他の装置からの取得を開始する状況と は、要求メッセージ生成手段211が個人情報の 要求に関する依頼を受けたときである。この ときに要求メッセージ生成手段211は、要求す る個人情報に関する個人情報登録証明書があ るか確認するために、個人情報登録証明書保 管手段52を検索する(図14のステップB1)。個人 報登録証明書がない場合には、個人情報管 装置4とサービス提供装置5との間で個人情 の送受信を行わない。
個人情報登録証明書がある場合には、要 メッセージ生成手段211が、個人情報登録証 書を取得して個人情報要求メッセージを生 する(ステップB2)。ここで、個人情報要求メ ッセージには、サービス提供装置5の電子署 をつける。電子署名によって、サービス提 装置5が個人情報を要求することを否認する とができなくなる。
次に、サービス提供装置5の通信手段23が サービス提供装置4の通信手段14に個人情報 求メッセージと、個人情報登録証明書をま めて送付する(ステップB3)。
サービス提供装置4が個人情報要求メッセ ージを受信すると、個人情報要求確認手段12 要求メッセージを確認する(ステップB4)。こ こで確認する処理は、例えば、個人情報を管 理しているか確認したり、メッセージについ ている電子署名を検証したりする処理である 。
確認処理が終了すると、個人情報登録証 書確認手段43が、次にサービス提供装置5か 取得した個人情報登録証明書を確認する(ス テップB5)。この確認処理は、例えば、個人情 報登録証明書の電子署名を確認したり、個人 情報登録証明書に対応する個人情報が個人情 報保管手段11に登録されているか確認したり る。確認作業に失敗した場合は、個人情報 理装置4は、個人情報要求確認手段12におい エラーメッセージを生成し、通信手段14を してサービス提供装置5にエラーメッセージ 送付し、個人情報の送受信を中止する(ステ ップB6)。
確認作業が正常終了すると、送信メッセ ジ生成手段131が個人情報保管手段11から個 情報を送付し、応答メッセージを生成する( テップB7)。
次に、個人情報暗号化手段132が、前記応 メッセージを暗号化し、電子署名をつける( ステップB8)。このときに、暗号鍵と復号鍵を 生成して、復号鍵を復号鍵保管手段に133に登 録する。電子署名をつけることで、サービス 提供装置5での個人情報の改ざんを防止し、 人情報管理装置4が個人情報を送付したこと 否認を防止することができる。
次に、個人情報管理装置4の通信手段14が サービス提供装置5の通信手段23に前記応答 ッセージを送付する(ステップB9)。
サービス提供装置5が応答メッセージを受 け取ると、応答確認手段212が応答メッセージ を確認する(ステップB10)。この確認作業は、 えば、応答メッセージの電子署名の検証で る。
次に、復号鍵要求手段221が、ステップB9 取得した情報に対応する復号鍵を要求する めのメッセージを生成する(ステップB11)。
次に、サービス提供装置5の通信装置23が 個人情報管理装置4の通信手段14に復号鍵要 メッセージを送付する(ステップB12)。この ッセージには、サービス提供装置5の電子署 をつける。これによって、署名つき復号鍵 求メッセージを受け取った個人情報管理装 4は、個人情報要求装置5が暗号化ずみ個人 報をすでに取得していることを否認できな なる。
個人情報管理装置4が復号鍵要求メッセー ジを受信すると、復号鍵送付手段134が、復号 鍵保管手段133を検索して復号鍵を取得する( テップB13)。
次に、個人情報管理装置4の通信手段14が サービス提供装置5の通信手段23に復号鍵を 付する(ステップB14)。
サービス提供装置5が復号鍵を取得すると 、個人情報復号手段222が、すでに取得してい た暗号化個人情報を復号する(ステップB15)。
次に、復号した個人情報を個人情報検証 段53が検証する(ステップB16)。ここで検証す る処理は、例えば、個人情報から生成したハ ッシュ値と個人情報登録証明書に含まれてい るハッシュ値を比較する。同じであれば、サ ービス提供装置5は、個人情報管理装置4によ て個人情報が改ざんされていないことを確 できる。もし、個人情報の確認に失敗した 合は、個人情報が改ざんされていると判断 、個人情報の送受信の処理を終了する。
(第2の実施の形態の効果)
次に、本実施の形態の効果について説明す
。
本実施の形態では、個人情報管理装置4と サービス提供装置5は、それぞれが否認防止 るための手段を持っており、送受信したメ セージを確認する、というように構成され いるため、個人情報管理装置4とサービス提 装置5は個人情報を独立して管理でき、適切 な個人情報のみを送受信していることを証明 できる。
(第3の実施の形態)
次に本発明の第3の実施の形態について図面
を参照して詳細に説明する。
(第3の実施の形態の構成)
図15を参照すると、本発明の第3の実施の形
は、個人情報管理装置6が、図9に示した第2
実施の形態における個人情報管理装置4の構
成要素に加え、生成済み復号検索手段61を備
る点で異なる。また、サービス提供装置7が
、図9に示した第2の実施の形態におけるサー
ス提供装置5の構成要素に加え、取得済み復
号鍵検索手段71と、復号鍵保管手段72とを備
る点で異なる。
これらの手段はそれぞれ次のように動作 る。
生成済み復号鍵検索手段61は、復号鍵保 手段133を検索し、個人情報管理装置6がすで 復号鍵を生成しているか否かを判別する。
取得済み復号鍵検索手段71は、復号鍵保 手段72を検索し、復号鍵をすでにサービス提 供装置7が取得していたか否かを判断する。 得していた場合は復号鍵を利用して個人情 を復号する処理に移り、取得していなかっ 場合は復号鍵を要求する処理に移る。
復号鍵保管手段72は、復号鍵とそれに関 する情報を保管する。関連する情報とは、 えば、復号鍵を発行した個人情報管理装置 割り振られたID、ユーザ名などである。
(第3の実施の形態の動作)
次に、図15、図16の概略図及び図17のフロー
ャートを用いて本実施の形態の全体の動作
ついて説明する。
まず、図16を用い、サービス提供装置7が 個人情報管理装置6に個人情報を要求して個 人情報を取得する動作の概略を説明する。
(1)サービス提供装置7が、サービス提供装 置7の電子署名付きの個人情報要求メッセー 及び個人情報登録証明書を個人情報管理装 6に対して送信する。
(2)個人情報管理装置6が、電子署名及び個 人情報登録証明書を認証し、復号鍵保管手段 133を検索して取得した復号鍵によって、要求 された個人情報を暗号化する。
(3)個人情報管理装置6が、暗号化された個 人情報に電子署名をつけてサービス提供装置 7に対して送信する。
(4)サービス提供装置7が、暗号化された個 人情報を受信し、電子署名を認証すると、取 得済みの復号鍵によって、暗号化された個人 情報を復号して個人情報を取得する。
次いで、図15及び図17を用い、サービス提 供装置7が個人情報管理装置6に個人情報を要 して個人情報を取得する動作を詳細に説明 る。
サービス提供装置7が、個人情報管理装置 6に個人情報を要求して個人情報登録証明書 送付する動作は、本発明の第2の実施の形態 ステップB1からステップB7までと同じ動作で ある(図17のステップB1からステップB7)。
個人情報管理装置6が送付する応答メッセ ージの生成が終了すると、生成済み復号鍵検 索手段61が復号鍵保管手段133を検索し、個人 報管理装置6が復号鍵をすでに生成してある か否かを確認する(ステップC1)。
すでに生成している場合には、個人情報 号化手段132が、復号鍵保管手段133より復号 を取得して応答メッセージを暗号化する(ス テップC2)。
しかし、ステップC1で復号鍵がない場合 は、個人情報暗号化手段132が、暗号鍵と復 鍵を生成して復号鍵保管手段133に登録し、 答メッセージを暗号化する(ステップC3)。個 情報暗号化手段132は、応答メッセージを暗 化したときには、当該応答メッセージに個 情報管理装置6の署名をつけておく。
次に、応答メッセージを通信手段14が通 手段23に送付する(ステップB9)。
サービス提供装置7が応答メッセージを受 け取ると、応答確認手段212が応答メッセージ を確認する(ステップB10)。
次に、取得済み復号鍵検索手段71が、復 鍵保管手段72を検索し、すでに復号鍵を取得 していたか否かを判断する(ステップC4)。
もし、復号鍵が復号鍵保管手段72に存在 る場合は、取得済み復号鍵検索手段71が復号 鍵を取得する(ステップC5)。
次に、本発明の第2の実施の形態のステッ プB15以降の処理と同じ動作をする。
一方、ステップC4で復号鍵がない場合は 本発明の第2の実施の形態のステップB11から テップB14と同じ処理をする。
サービス提供装置7が復号鍵を取得すると 、復号鍵を復号鍵保管手段72に登録する(ステ ップC6)。
次に、個人情報を前記取得した復号鍵を いて復号する(ステップB15)。
復号された個人情報は、本発明の第2の実 施の形態のステップB16と同様に個人情報検証 手段53が検証する(ステップB16)。
(第3の実施の形態の効果)
次に、本発明の実施の形態の効果について
明する。
本発明の実施の形態では、サービス提供 置7が同じ情報を何度も要求する場合には、 通信を簡略化できる。
その理由は、復号鍵をすでに取得してい 場合は復号鍵を再利用するというように構 されているためである。サービス提供装置7 が同じ情報を何度も要求する場合は、サービ ス提供装置7自身が個人情報を管理しない場 である。サービス提供装置7が個人情報を管 しないことでプライバシ管理のコストを減 すことができる。サービス提供装置7は、自 身で個人情報を管理しない場合でも、復号鍵 を管理することによって、復号鍵の要求・応 答メッセージの交換をなくすことができ、個 人情報交換の通信を簡略化できる。
(第4の実施の形態)
次に、本発明の第4の実施の形態について図
面を参照して詳細に説明する。
(第4の実施の形態の構成)
図18を参照すると、本発明の第4の実施の形
は、個人情報管理装置8が、図15に示した第3
の実施の形態における個人情報管理装置6の
成要素に加え、通信記録保管手段81と送信情
報確認手段82を有する点で異なる。また、サ
ビス提供装置9が図15に示した第3の実施の形
態におけるサービス提供装置7の構成要素に
え、通信記録保管手段91と送信情報確認手段
92を有する点で異なる。
通信記録保管手段81は、通信履歴(通信記 )を保管する手段であって、個人情報管理装 置8が送信または、受信したメッセージを保 する。
ここで、通信記録保管手段81において保 される通信履歴の例を図19に示す。
図19を参照すると、当該通信履歴は、通 日時毎に、Receive、Send等のactionと、通信相手 と、通信した際のメッセージ本文とを対応付 けて保管される。なお、メッセージ本文の形 式に特に制限はない。
送信情報確認手段82は、個人情報管理装 8が送付した暗号化個人情報が正しい情報で ったか確認する。
通信記録保管手段91は、サービス提供装 9が送信または、受信したメッセージを保管 る。
送信情報確認手段92は、サービス提供装 9が送付した個人情報要求メッセージや個人 報登録証明書が正しい情報であったか確認 る。
(第4の実施の形態の動作)
次に、図18、図20及び図21のフローチャート
参照して本実施の形態の全体の動作につい
詳細に説明する。
個人情報管理装置8は、個人情報にかかわ るメッセージの送受信をするときに、全ての メッセージを通信記録保管手段81に管理する 同様に、サービス提供装置9は、個人情報に かかわるメッセージの送受信をするときに、 全てのメッセージを通信記録保管手段91に管 する。
そして、個人情報管理装置8は、任意のタ イミングで個人情報の流通が正しく行われて いたか確認するための処理を開始する。その ための最初の処理として、個人情報管理装置 8は、通信記録保管手段81に保管されている個 人情報要求メッセージを取得し、個人情報要 求確認手段12を用いて個人情報要求メッセー を確認する(ステップD1)。ここでの確認処理 は、例えば、個人情報要求メッセージについ ている電子署名の検証や要求している個人情 報を管理しているか否かを確認する処理であ る。
次に、個人情報管理装置8は、個人情報登 録証明書確認手段43を用い、通信記録保管手 81が管理している受信した個人情報登録証 書を確認する(ステップD2)。この確認処理は 例えば、個人情報登録証明書の署名を検証 るといった個人情報登録証明書の有効性を 認する処理である。
次に、個人情報管理装置8は、送信情報確 認手段82を用い、通信記録保管手段81が管理 ている送信情報を確認する(ステップD3)。こ 処理は、例えば、送信情報が暗号化されて たか、電子署名がついていたか、などを確 する処理である。
次に、個人情報管理装置8は、送信情報確 認手段82を用い、通信記録保管手段81が管理 ている復号鍵要求メッセージを確認する(ス ップD4)。これは、例えば、復号鍵要求メッ ージについている電子署名の検証や、実際 個人情報管理装置8が復号鍵を送付していた か否かを確認する処理である。
一方、サービス提供装置9での確認処理は 、まず、送信情報確認手段92を用い、送信し 個人情報要求メッセージを確認する(ステッ プE1)。この要求メッセージは、通信記録保管 手段91で管理されている。ステップE1では、 えば、要求メッセージについている署名の 証等である。
次に、サービス提供装置9は、送信情報確 認手段92を用い、個人情報管理装置8に送信し た個人情報登録証明書を確認する(ステップE2 )。ここで確認する個人情報登録証明書は、 信記録保管手段91に登録されている個人情報 登録証明書である。ここでは、例えば、署名 や個人情報登録証明書有効期限等の個人情報 登録証明書の有効であるか否かを確認する。
次に、サービス提供装置9は、個人情報復 号手段222を利用し、受信した個人情報を確認 する(ステップE3)。ここでは、例えば、受信 たメッセージの署名検証や、個人情報登録 明書と個人情報の対応を確認する処理を行 。
(第4の実施の形態の効果)
次に、本実施の形態の効果について説明す
。
本発明の実施の形態では、個人情報を扱 個人情報管理装置8及びサービス提供装置9 、個人情報を正しく送受信した証拠をいつ も提出することができる。その理由は、個 情報を扱う個人情報管理装置8及びサービス 供装置9は、全ての通信ログを管理しており 、任意のタイミングで通信ログを用いてどの 個人情報を送受信したか確認できるためであ る。
(第5の実施の形態)
次に、本発明の第5の実施の形態について図
面を参照して詳細に説明する。
図22を参照すると、本発明の第5の実施の 態は、第1、第2、第3及び第4の実施の形態と 同様に、個人情報管理装置Aと、サービス提 装置Cとを備える。
個人情報管理用プログラムBは、個人情報 管理装置Aの動作を制御し、サービス提供装 Cからの要求に従って、個人情報や復号鍵を ービス提供装置Cに送付したり、個人情報を 取得するための個人情報登録証明書を発行し たりする。個人情報管理装置Aは、個人情報 理用プログラムBの制御により第1、第2、第3 び第4の実施の形態における個人情報管理装 置1、4、6、8による処理と同一の処理を実行 る。
個人情報受信用プログラムDは、サービス 提供装置Cの動作を制御し、個人情報要求メ セージを個人情報管理装置Aへ送付し、個人 報を受信する。
サービス提供装置Cは、個人情報受信用プ ログラムDの制御により第1、第2、第3および 4の実施の形態におけるサービス提供装置2、 5、7、9による処理と同一の処理を実行する。
次に、具体的な実施例を用いて本発明の 施例1の動作を説明する。
図23に示す例では、モバイルキャリア(個 情報管理装置)は携帯電話(ユーザ端末)のユ ザの個人情報を管理している。コンテンツ ロバイダ(サービス提供装置)は、モバイル ャリアより個人情報を取得して、ユーザの 帯電話にコンテンツを提供している。この ンテンツプロバイダが必要とする個人情報 、ユーザの連絡先(電話番号と住所)と課金情 報(クレジットカード番号や銀行口座番号)で り、ユーザの全ての情報がモバイルキャリ に登録されているわけではないものとする なお、説明の便宜を図るため、図23及び図24 (後述)においてネットワーク2000を省略する。
この状況で、まず、(1)ユーザの要求によ 携帯電話がコンテンツプロバイダにコンテ ツの購入を要求する。
ここで、コンテンツプロバイダは、個人 報を取得するための個人情報登録証明書が いために、(2)携帯電話のユーザに対して、 バイルキャリアでの個人情報登録を要求す 。
そこで、(3)ユーザの個人情報を入力され 携帯電話が、モバイルキャリアで個人情報 登録する。
登録が終了すると、(4)携帯電話は、モバ ルキャリアより個人情報取得のための個人 報登録証明書を取得する。
次に、(5)携帯電話からコンテンツプロバ ダに個人情報登録証明書が送付される。
コンテンツプロバイダが個人情報登録証 書を取得すると、(6)個人情報登録証明書と 人情報要求メッセージを送付する。
モバイルキャリアはこの要求を受け取る 、(7)暗号化した個人情報をコンテンツプロ イダに送付する。
コンテンツプロバイダは、暗号化情報を 号する復号鍵を保持していないため、(8)復 鍵要求メッセージをモバイルキャリアに送 する。
そこでモバイルキャリアは、復号鍵要求 検証し、(9)復号鍵を送付する。
次に、コンテンツプロバイダは、個人情 を復号化し、(10)個人情報を利用してコンテ ンツを携帯電話に送付する。
このモバイルキャリアとコンテンツプロ イダの構成は、例えば図24のようになる。
モバイルキャリアEは、個人情報管理装置 8とアクセス制御装置Gを備える。
アクセス制御装置Gは、モバイルキャリア EがコンテンツプロバイダFに個人情報を送付 てよいか否かを判断する装置である。もし クセス制御装置Gが個人情報の送受信を認め ない場合は、送信メッセージ生成手段131は個 人情報保管手段11より個人情報を取得せず、 信メッセージを生成しない。
また、コンテンツプロバイダFは、サービ ス提供装置9とコンテンツ配信装置Hを備える
コンテンツ配信装置Hは、ユーザの個人情 報に基づいて、ユーザにコンテンツを販売す る装置である。ユーザがコンテンツの購入を 要求する場合は、最初にユーザ端末3はコン ンツ配信装置Hにアクセスする。コンテンツ 信装置Hは、要求メッセージ生成手段211に個 人情報を要求し、個人情報確認手段53から個 情報を取得する。個人情報を取得したコン ンツ配信装置Hはユーザにコンテンツを配信 する。
次に、具体的な実施例を用いて本発明の 施例2を説明する。
図25に示す例では、図24に示す実施例1と なり、コンテンツプロバイダIが通信手段J及 びコンテンツ配信装置Hを備え、サービス提 装置9及びプロキシ装置Kを備え、コンテンツ プロバイダI、モバイルキャリアE及び携帯電 (ユーザ端末3)と接続するプロキシサーバLが 、モバイルキャリアEより個人情報を取得し 、コンテンツプロバイダIから配信されたコ テンツをユーザの携帯電話に提供している なお、図26に示すように、プロキシサーバL 個人情報を取得した後において、個人情報 基づいて提供されるコンテンツが、プロキ サーバMを経由されずに、コンテンツプロバ イダIによって直接ユーザの携帯電話に提供 れてもよい。なお、説明の便宜を図るため 図25及び図26においてネットワーク2000を省略 する。
上述した各実施の形態による無線通信シ テムの構成の概要を以下に述べる。
第1の個人情報照合システムは、個人情報 をユーザ端末から取得し必要に応じて他の装 置へ開示する個人情報管理装置(図2の1)と、 人情報を他の装置から取得するサービス提 装置(図2の2)からなり、個人情報の管理を行 個人情報管理装置において、通信回線を介 てサービス提供装置が提供するサービスを 用する利用者の利用者装置から取得した個 情報を登録する手段と、登録した個人情報 含む不可逆なメッセージ情報を生成する手 と、メッセージ情報を暗号化する手段と、 号化したメッセージ情報を復号するための 号鍵を生成する手段と、サービス提供装置 らの個人情報の要求に応じて、暗号化した ッセージ情報をサービス提供装置に送付す 手段と、サービス提供装置から受信したメ セージ情報の復号鍵の要求に応じて、当該 号鍵をサービス提供装置に送付する手段と 含み、通信回線を介して利用者に対してサ ビスを提供するサービス提供装置において 利用者の個人情報を管理する個人情報管理 置に対して利用者の個人情報の要求を送付 る手段と、個人情報管理装置で生成され、 つ暗号化された個人情報を含む不可逆なメ セージ情報を個人情報管理装置から取得す 手段と、取得した暗号化された個人情報を 号するための復号鍵の要求を個人情報管理 置に送付する手段と、個人情報管理装置か 受信した復号鍵に基づいて、暗号化された ッセージ情報を復号することにより、サー スを利用する利用者の照合のための個人情 を取得する手段とを含むことを特徴とする
個人情報管理装置は、入力された個人情 を管理する個人情報保管手段(図2の11)と、 の装置が送信した個人情報の要求や復号鍵 要求を解析する個人情報要求確認手段(図2の 12)と、他の装置に送付する個人情報を含むメ ッセージを生成する送信情報生成部(図2の13) 、他の装置と通信をする通信手段(図2の14) を備え、送信情報生成部は、送付する個人 報を確認する送信メッセージ生成手段(図2の 131)と、個人情報を暗号化する暗号鍵と復号 を生成してから個人情報を暗号化する個人 報暗号化手段(図2の132)と、個人情報暗号化 段で暗号化した鍵に対応する復号鍵を登録 る復号鍵保管手段(図2の133)と、復号鍵を他 装置へ送付する復号鍵送付手段(図2の134)と 備える。
サービス提供装置は、個人情報を要求す 個人情報要求部(図2の21)と、受信した個人 報を確認する個人情報確認部(図2の22)と、他 の装置と通信をする通信手段(図7の23)とを備 る。個人情報要求部は、個人情報を個人情 管理装置に要求するためのメッセージを生 する要求メッセージ生成手段(図2の211)と、 求メッセージに対応する応答メッセージを 認する応答確認手段(図2の212)とを備え、個 情報確認部は、受信した個人情報が暗号化 れているときに復号鍵を要求する復号鍵要 手段(図2の221)と、暗号化された個人情報を 号化する個人情報復号手段(図2の222)とを備 る。
このような構成を採用し、サービス提供 置が個人情報を個人情報管理装置に要求し 個人情報管理装置が要求を受け入れて個人 報を送付する場合は、個人情報管理装置が 人情報を暗号化してサービス提供装置に送 する。暗号化された個人情報を受信したサ ビス提供装置は、復号鍵を個人情報管理装 に要求する。復号鍵要求を受け取った個人 報管理装置は、復号鍵を個人情報要求装置 送付する。個人情報要求装置は、復号鍵と 号化された個人情報がそろうと、個人情報 復号し、個人情報を利用できる状態にする ここで、個人情報管理装置とサービス提供 置は、復号鍵を要求するメッセージを個人 報の取得確認のメッセージとしてみなすと 個人情報の送受信の否認ができなくなる。 上の動作によって、本発明の第1の目的を達 成することができる。
また、第2の個人情報照合システムは、第 1の個人情報照合システムの構成に加えて、 人情報管理装置(図9の4)が、ユーザ端末(図9 3)から入力された個人情報を登録する個人情 報登録部(図9の41)と、個人情報とともに管理 る個人情報登録証明書を登録する個人情報 録証明書保管手段(図9の42)と、他の装置か 取得した個人情報登録証明書を検証する個 情報登録証明書確認手段(図9の43)とを備える 。個人情報登録部は、個人情報の登録を受け 付ける個人情報受付手段(図9の411)と、個人情 報を管理するための個人情報登録証明書を発 行する個人情報登録証明書発行手段(図9の412) とを備える。個人情報登録証明書には、個人 情報を取得するための情報が記述されており 、個人情報に関連した情報だけでなく当該個 人情報から生成される一方向性ハッシュ値の ような個人情報から一意に生成される情報が 含まれているものとする。つまり、個人情報 登録証明書と個人情報は1対1に対応しており 個人情報管理装置は、これら2つの情報を保 持していれば、個人情報登録証明書に対応す る個人情報を確認することができる。個人情 報管理装置は、この個人情報登録証明書を開 示した装置に対してのみ個人情報を開示する 。
また、サービス提供装置(図9の5)が、第1 個人情報照合システムの構成のサービス提 装置に加え、個人情報を取得するための個 情報登録証明書を受け取る個人情報登録証 書取得手段(図9の51)と、個人情報登録証明書 を保管する個人情報登録証明書保管手段(図9 52)と、個人情報登録証明書の内容と個人情 を比較して個人情報が改ざんされていない とを確認する個人情報検証手段(図9の53)と 備える。
このような構成を採用し、ユーザ端末が 人情報を個人情報管理装置に登録する際に 、ユーザ端末が個人情報を個人情報管理装 に入力し、個人情報管理装置は、個人情報 関する個人情報登録証明書をユーザ端末に して発行し、ユーザ端末に送付する。ユー 端末は、個人情報登録証明書を取得すると 個人情報登録証明書の内容を検証する。さ に、ユーザ端末は個人情報登録証明書をあ かじめサービス提供装置に登録しておく。 方、サービス提供装置は、個人情報を取得 る際には個人情報登録証明書を利用し、個 情報の要求メッセージを生成し、個人情報 録証明書とともに個人情報の要求メッセー を個人情報管理装置に送付する。個人情報 理装置は、要求メッセージを受信すると個 情報登録証明書の内容を確認し、個人情報 録証明書の検証に成功した場合には暗号化 た個人情報をサービス提供装置に送付する サービス提供装置は、暗号化された個人情 を受信すると個人情報管理装置に復号鍵を 求して復号鍵を取得する。サービス提供装 は、復号鍵と暗号化した個人情報がそろう 、復号鍵を用いて暗号化された個人情報復 し、個人情報の内容を検証して、個人情報 利用する。ここで、個人情報管理装置とサ ビス提供装置間で交換されるメッセージは てメッセージ生成装置の電子署名をつける ユーザ端末が個人情報登録証明書の内容を 証することで、個人情報管理装置での個人 報の改ざんを検証し、個人情報管理装置の 子署名を個人情報につけることによってサ ビス提供装置での個人情報の改ざんを検証 きる。また、個人情報管理装置が、復号鍵 要求メッセージを個人情報取得の確認メッ ージとして利用することにより、サービス 供装置が個人情報を受信したことを否認す ことが防止できる。以上の動作によって、 発明の第1および第2の目的を達成すること できる。
また、本発明の第3の個人情報照合システ ムは、第2の個人情報照合システムの構成に えて、個人情報管理装置(図15の6)が、復号鍵 を送付していたか検索する生成済み復号鍵検 索手段(図15の61)を備え、サービス提供装置( 15の7)が、復号鍵を受信していたか検索する 得済み復号鍵検索手段(図15の71)と、受信し 復号鍵を保管する復号鍵保管装置(図15の72) を備える。このような構成を採用し、個人 報管理装置6は、個人情報を暗号化する際に 、以前に利用した暗号鍵を検索して再度利用 し、サービス提供装置7は、復号鍵保管装置 保管する復号鍵を利用して暗号化個人情報 復号する。復号鍵を要求して、取得するの はなく、以前に取得した復号鍵を再利用す ことより本発明の第3の目的を達成すること できる。
また、本発明の第4の個人情報照合システ ムは、第1、第2及び第3の個人情報照合システ ムの構成に加え、個人情報管理装置(図18の8) 、通信ログを管理する通信記録保管手段(図 18の81)と、以前に個人情報管理装置が送付し メッセージを検証する送信情報確認手段(図 18の82)とを備え、サービス提供装置(図18の9) 、通信ログを管理する通信記録保管手段(図1 8の91)と、以前にサービス提供装置が送付し メッセージを検証する送信情報確認手段(図1 8の92)とを備える。このような構成を採用し 個人情報管理装置8とサービス提供装置9が、 それぞれ通信ログを管理し、送信情報確認手 段や個人情報登録証明書確認手段、個人情報 要求確認手段、応答確認手段を用いてログを 確認することで、個人情報の流通の正しさを 任意のタイミングで確認できるようにするこ とにより本発明の第4の目的を達成すること できる。
上述した各実施の形態により以下のす効 を達成することができる。
第1の効果は、サービス提供装置が個人情 報の受信を否認することを、個人情報管理装 置が通信負荷を抑えて低コストで防止できる ことである。
その理由は、個人情報の流通を監視する 三者を必要とすることなく、サービス提供 置が必ず個人情報管理装置へ個人情報の受 確認のメッセージを送付するからである。 置間で送受信される個人情報は暗号化され いるので、サービス提供装置は個人情報を 信した後に復号鍵の要求を送信する。この 号鍵の要求は、個人情報の受信確認とみな れるので個人情報の送受信が行われたこと 確認することができ、サービス提供装置の 認を防止できる。
第2の効果は、個人情報管理装置がユーザ 端末から取得した個人情報を改ざんしている か否かをサービス提供装置が低コストで検証 できることである。
その理由は、個人情報の流通を監視する 三者を必要とすることなく、サービス提供 置はユーザ端末から取得した個人情報に関 する情報が含まれている個人情報登録証明 と、個人情報管理装置から取得した個人情 を比較できるからである。サービス提供装 は個人情報を取得するための個人情報登録 明書をユーザ端末から取得するため、個人 報登録証明書にはユーザ端末が登録した正 い個人情報に関連する情報が記述されてい 。一方、個人情報管理装置から取得した個 情報は、改ざんされている可能性がある。 しい個人情報に関連する情報と、個人情報 理装置から取得した個人情報を比較するこ で、個人情報が改ざんされていないか確認 きる。
第3の効果は、個人情報管理装置とサービ ス提供装置がすでに個人情報を送受信してい た場合に、個人情報の送受信の処理を簡略化 できることである。
その理由は、個人情報管理装置とサービ 提供装置は過去に送受信した内容を保存す からである。サービス提供装置が個人情報 のものを保存すると、個人情報管理のコス がかかるため、個人情報ではなく、個人情 を復号するための復号鍵のみを保管する。 た、個人情報管理装置も個人情報を暗号化 る際に、同じ暗号鍵を使う。このようにす ことで、復号鍵の送受信に関する通信を削 することができる。
第4の効果は、個人情報管理装置とサービ ス提供装置は、個人情報が改ざんされずに送 受信されたこと、また、否認されずに送受信 されたことを任意のタイミングに低コストで 確認できることである。
その理由は、個人情報の流通を監視して 人情報を保持する第三者を必要とすること く、それぞれの装置が個人情報の送受信に する通信のログを全て保存し、いつでも送 信した内容を検証するための手段を持って るからである。送受信した個人情報や個人 報登録証明書、復号鍵の送受信に関するメ セージを個人情報管理装置とサービス提供 置は全て保存する。これにより、個人情報 送受信が終わっても、いつでも個人情報の ざんや否認に関する検証ができる。
第5の効果は、適切な個人情報のみを送受 信していることを主張できることである。
その理由は、個人情報の流通を監視する 三者を必要とすることなく、個人情報を送 信するときに、何の情報を誰が誰に送受信 たかを確認できるためである。個人情報を 受信するときに改ざんと否認を防止できる め、何の情報を誰が誰に送付したかを個人 報管理装置とサービス提供装置は確認する とができる。そのため、不要な個人情報を 得していない場合には、それを証明できる
第6の効果は、個人情報を利用したサービ スを低コストで容易に提供できることである 。
その理由は、個人情報の流通を監視して 人情報を保持する第三者を必要とすること く、また、個人情報を自身で管理しなくて 、個人情報を安全に取得できるからである 個人情報を自身で管理すると、管理コスト かかり、プライバシ漏洩のリスクに対応す 必要がある。また、個人情報保護法等に対 する必要もある。しかし、個人情報の流通 際、個人情報管理装置と受信装置は正しい 報を送受信したことを確認できるため、安 に個人情報を取得できる。そのため、他の 置が個人情報を管理していれば、自身が直 管理していなくても、個人情報を送受信す ことで、個人情報を利用したサービスを提 することができる。
以上好ましい実施の形態をあげて本発明 説明したが、本発明は必ずしも、上記実施 形態に限定されるものでなく、その技術的 想の範囲内において様々に変形して実施す ことができる。
この出願は、2007年2月6日に出願された日 出願特願2007-026663号を基礎とする優先権を 張し、その開示の全てをここに取り込む。
本発明によれば、第三者がいない状況でも
人情報の委託業務を請け負うことが可能な
人情報管理のためのプログラムといった用
に適用できる。また、モバイルキャリアやI
SPなどの個人情報を管理している業者が、個
情報を管理していない業者に対して、第三
を経由せずに個人情報の管理代行サービス
提供するといった用途にも適用可能である
また、テレフォンセンタなどの業務を外部
業者へ委託する場合、個人情報を委託元が
括管理し、必要に応じて委託先事業者が個
情報を取得、利用するといった用途にも適
可能である。