JP2004341832A - 個人情報管理方法及びシステム、開示用識別子発行装置、個人情報開示装置 - Google Patents

個人情報管理方法及びシステム、開示用識別子発行装置、個人情報開示装置 Download PDF

Info

Publication number
JP2004341832A
JP2004341832A JP2003137798A JP2003137798A JP2004341832A JP 2004341832 A JP2004341832 A JP 2004341832A JP 2003137798 A JP2003137798 A JP 2003137798A JP 2003137798 A JP2003137798 A JP 2003137798A JP 2004341832 A JP2004341832 A JP 2004341832A
Authority
JP
Japan
Prior art keywords
disclosure
identifier
personal information
information
condition information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003137798A
Other languages
English (en)
Inventor
Takeshi Abe
剛 安部
Masahisa Kawashima
正久 川島
Katsumi Takahashi
克巳 高橋
Shunichi Ichikawa
俊一 市川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003137798A priority Critical patent/JP2004341832A/ja
Publication of JP2004341832A publication Critical patent/JP2004341832A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】個人情報の漏洩防止及び個人情報流通の効率化を図りつつ且つ利便性が高い個人情報管理方法及びシステムを提供する。
【解決手段】開示用識別子生成手段21が、利用者識別子R及び個人情報の開示条件情報Cに基づき、開示用識別子復元手段32でのみ復元できるような開示用識別子Tを生成する。開示用識別子復元手段32は、開示先である第三者端末12から開示用識別子Tを含む開示要求を受信すると、該開示用識別子Tから利用者識別子R及び個人情報の開示条件情報Cを復元する。開示条件判定手段33は、復元した開示条件情報Cにしたがって開示の可否を判定し、個人情報開示手段34は、利用者識別子Rを用いて個人情報を取得し第三者端末12に開示する。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
本発明は、インターネットなどのネットワークにおいて個人情報を管理する方法及びシステムに関する。
【0002】
【従来の技術】
近年、金融サービスなどの各種サービスをインターネット上で提供することが広く普及してきており、これに伴い氏名・住所などの個人情報がインターネット上で流通する機会が増えている。例えば、インターネット上に開設されたバーチャルショップで買い物をする場合には、氏名・住所・クレジットカード番号などの個人情報が利用者の端末からサービス提供サーバへと送信される。そして、このような個人情報はそのサービス提供者にのみ開示されるべきものであり、他者への漏洩などを防止する必要がある。一方、利用者がサービスを受ける際には、その都度、個人情報を入力しサービス提供者に送信する必要があるため、利用者にとっては面倒な作業となるだけでなく入力ミスが生じやすいという問題があった。
【0003】
このような個人情報の漏洩防止及び個人情報流通の効率化という観点から、個人情報を管理する方法として特開2002−229953号公報に記載されている技術が提案されている。
【0004】
以下に、この従来の技術について図15を参照して説明する。ここでは、例えばEC(Electronic Commerce/電子商取引)業者など個人情報を利用する者を情報利用者、個人情報を登録するものを登録者と呼ぶ。
【0005】
図15において、1001は個人情報を記憶・管理するための個人情報管理サーバ、1002は情報利用者の端末、1003は登録者の端末である。このような構成において、情報利用者が個人情報の取得を希望する際の動作について説明する。
【0006】
まず、登録者は、端末1003を用いて個人情報管理サーバ1001に個人情報を予め登録しておく(ステップS101)。情報利用者は、端末1002を用いて登録者の端末1003に対して個人情報アクセス要求を送信する(ステップS102)。登録者は、受信した個人情報アクセス要求を調査し、情報利用者に開示したくない事項についての要求が含まれていなければ、アクセスコード生成依頼を個人情報管理サーバ1001に送信する(ステップS103)。個人情報管理サーバ1002は、個人情報にアクセスするためのアクセスコードを生成し(ステップS104)、これを登録者に送り返す(ステップS105)。そして、登録者はこのアクセスコードを情報利用者に返す(ステップS106)。
【0007】
アクセスコードを入手した情報利用者は、該アクセスコードを用いて個人情報管理サーバ1001にアクセスする(ステップS107)。個人情報管理サーバ1001は、受信したアクセスコードを検証し、適切なコードである場合には該コードに対応する個人情報を抽出し(ステップS108)、抽出結果を情報利用者に返す(ステップS109)。
【0008】
このような処理により、情報利用者による個人情報の取得要求があると、情報利用者に対してどのような情報を開示してよいかという事を個人情報の登録者が判断することができる。すなわち、個人情報の流通を自らの意志でコントロールできる。また、個人情報自体は個人情報管理サーバで管理されているので、開示先毎に個人情報を入力するといった手間を省くことができる。
【0009】
【特許文献1】
特開2002−229953号公報
【0010】
【発明が解決しようとする課題】
しかしながら、従来の技術では、アクセスを許可された情報利用者以外の悪意の第三者が何らかの手段でアクセスコードを入手した場合、該悪意の第三者に対して個人情報を開示してしまう恐れがある。すなわち、従来の技術におけるアクセスコードは登録者によってアクセスを許可された情報利用者にみ発行されるものであり、該アクセスコードを流通させ他人が使用することは前提にしていない。このため、例えば特定のグループ内でコードを流通させて、該コードを入手したグループ内の人であれば誰でも個人情報の取得を可能にするといった用途に不向きであった。また、従来の技術では、多数の利用者が頻繁に個人情報の開示を要求するとその度にアクセスコードが生成されるので、個人情報管理サーバで管理しなければならないアクセスコードの数が爆発的に増加してしまう。したがって、個人情報管理サーバの負荷が大きくなってしまうという問題があった。
【0011】
本発明は、上記事情に鑑みてなされたものであり、その目的とするところは、個人情報の漏洩防止及び個人情報流通の効率化を図りつつ且つ利便性が高い個人情報管理方法及びシステムを提供することにある。
【0012】
【課題を解決するための手段】
上記目的を達成するために、本願発明では、利用者の個人情報を管理する個人情報管理方法において、利用者を一意に識別可能な利用者識別子が含まれる個人情報を各利用者毎に予め個人情報記憶手段に記憶しておく個人情報記憶段階と、開示用識別子生成手段が、利用者識別子に代えて第三者に開示するための開示用識別子を利用者識別子及び開示条件情報の組に対応づけて生成する開示用識別子生成段階と、第三者の端末から開示用識別子を用いて個人情報開示要求を行う個人情報開示要求段階と、個人情報復元手段が、第三者端末から受信した個人情報開示要求に含まれる開示用識別子から該開示用識別子に対応づけられた利用者識別子及び開示条件情報の組を復元する開示用識別子復元段階と、開示条件判断手段が、第三者端末から受信した個人情報開示要求が前記復元した開示条件情報を満たしているかを判断する開示条件判断段階と、個人情報取得手段が、開示条件判断結果に基づいて、復元した利用者識別子を用いて該利用者識別子に係る個人情報を前記個人情報記憶手段から取得する個人情報取得段階と、個人情報開示手段が、取得した個人情報を要求元の第三者端末に対して開示する個人情報開示段階とを含み、前記開示用識別子生成段階では、個人情報復元手段のみが利用者識別子及び開示条件情報の組を復元可能な開示用識別子を生成することを特徴とするものを提案する。
【0013】
本発明によれば、利用者の個人情報取得を希望する第三者は、該第三者に対する開示が許可された開示条件情報に対応づけられた開示用識別子を入手し、該開示用識別子を用いて個人情報開示手段に個人情報の開示を要求すれば、開示条件にしたがった個人情報を入手できる。すなわち、利用者は個人情報を個人情報記憶手段に予め登録しておくとともに、開示用識別子生成手段において適切な開示条件で開示用識別子を生成しておき、この開示用識別子を第三者が取得可能にすれば、該第三者に対する適切な個人情報の開示が可能となる。
【0014】
また、開示用識別子生成手段で生成された開示用識別子は開示用識別子復元手段でのみ復元可能であり、且つ、第三者端末から受信した個人情報開示要求が開示条件情報を満たしているかを判定しているので、開示用識別子が利用者の意図する開示先とは異なる第三者にわたっても該第三者は個人情報を取得することができない。したがって、個人情報の漏洩を防止して個人情報の保護を図ることができる。なお、開示用識別子は、利用者端末から第三者端末に送信するようにしてもよいし、開示用識別子生成手段から第三者端末に送信するようにしてもよいし、その他の手段によって通知するようにしてもよい。
【0015】
【発明の実施の形態】
本発明の一実施形態に係る個人情報管理システムについて図面を参照して説明する。まず、図1を参照して本発明に係る個人情報管理システムの動作原理について説明する。図1は個人情報管理システムの動作原理を説明するシステム構成図である。
【0016】
図1において、1は利用者、2は利用者1の個人情報を利用する第三者、11は利用者1が利用する利用者端末、12は第三者2が利用する第三者端末、21は個人情報に関連付けられた開示用識別子Tを生成する開示用識別子生成手段、30は第三者端末からの個人情報開示要求に応じて個人情報を開示する個人情報開示装置、40は個人情報を記憶管理する個人情報データベース(以下、個人情報DBという)である。
【0017】
この個人情報管理システムは、利用者1の個人情報を第三者2に開示する際に利用者1の意志が反映された適切な開示が行われるようにするとともに、個人情報の漏洩を防止するものである。本発明は、このような個人情報の開示を行うために、個人情報と関連付けられた開示用識別子Tをネットワーク上で流通させることを特徴としている。特に、本発明はこの開示用識別子Tがネットワーク上で流通することにより、前記第三者2とは異なる他の者が開示用識別子Tを入手した場合でも、この者に対して個人情報は開示せず、利用者1が本来開示させたい第三者2にのみ個人情報を開示する。なお、ここで個人情報の開示先となる第三者2は複数人であってもよい。したがって、例えば、特定のグループに属する者であれば誰でも開示用識別子Tから個人情報を取得できるということを実現できる。
【0018】
開示用識別子生成手段21は、利用者1を一意に識別可能な識別子であるユーザID(R)と、個人情報を第三者2に開示する際の条件である開示条件情報Cから、第三者2が個人情報にアクセスする際に用いる開示用識別子Tを生成する。この開示用識別子Tは、ユーザID(R)及び開示条件情報Cの組に対して一意に生成され、また、開示用識別子復元手段32のみがユーザID(R)及び開示条件情報Cを復元できるものである。開示条件情報Cとしては、例えば、開示先である第三者2を特定する情報、開示の有効期限、開示を許可する項目情報(例えば住所のみの開示を許可する)、開示の形態(例えば年齢25才という情報を年齢20代などのような表現することを指定する)など種々の条件を任意に組み合わせたものからなる。開示用識別子Tの生成に必要なユーザID(R)及び開示条件情報Cは、利用者端末11から取得される。開示用識別子Tの生成方法については後述する。
【0019】
個人情報開示装置30は、個人情報開示要求の要求元を認証する認証手段31と、個人情報開示要求に含まれる開示用識別子TからユーザID(R)及び開示条件情報Cを復元する開示用識別子復元手段32と、復元した開示条件情報Cに基づき個人情報の開示可否を判定する開示条件判定手段33と、個人情報を個人情報DB40から取得して第三者端末12に開示する個人情報開示手段34とを備えている。
【0020】
認証手段31は、第三者端末12からの個人情報開示要求を受け付ける際に個人情報の開示先となる第三者2を認証して該第三者2の識別子Sを取得する。認証手段31による認証方法としてはどのような形式のものであってもよい。例えば、識別子Sとパスワードを組にして認証を行うパスワード方式などが挙げられる。
【0021】
開示用識別子復元手段32は、第三者端末12から受信した開示用識別子Tから該識別子Tに対応するユーザID(R)及び開示条件情報Cを復元する。開示用識別子Tの復元手法は、開示用識別子生成手段21における生成方法に対応するものである。開示用識別子Tの復元手法については後述する。
【0022】
開示条件判定手段33は、開示用識別子復元手段32で復元された開示条件情報Cに基づき要求元に対して個人情報を開示するか否かを判定する。すなわち、例えば開示条件情報Cに開示先を特定する情報(開示先の識別子)が含まれている場合には、前記認証手段31で認識された要求元の第三者2の識別子Sを用いて開示可否を判定する。また、例えば開示条件情報Cに有効期限が含まれており、且つ、この有効期限が既に過ぎている場合にも個人情報の開示は許可しない。判定の結果、個人情報の開示が許可される場合には前記開示用識別子復元手段32で復元されたユーザID(R)を個人情報開示手段34に通知する。
【0023】
個人情報開示手段34は、開示条件判定手段33から通知されたユーザID(R)を用いて個人情報DB40から個人情報を取得し、この個人情報を要求元の第三者端末12に対して送信する。ここで、個人情報開示手段34は、必要に応じて、個人情報の所定の項目について、個人情報DB40に記憶されている情報そのものではなく、所定の形式に変換してから第三者端末12に送信する。
【0024】
個人情報開示手段34における個人情報の変換の形態としては、個人情報の所定項目に対して、一時的に用いられる識別子を生成し、この識別子を開示する方法が挙げられる。例えば、個人情報に電子メールアドレスなど個人を識別可能な識別子が含まれている場合、必要に応じて、該識別子から一時的な他の識別子を生成する。さらに具体的には、個人情報に含まれる電子メールアドレスに所定の付加情報を付加した文字列を暗号化し、さらにこれを電子メールアドレス形式に加工したものを一時的な電子メールアドレスとして開示する。このような識別子の生成については、本願の出願人による特許出願、出願番号2003−25976号,”通信方法、通信システム、その装置、通信プログラム及び通信プログラムを記録した媒体”を参照されたい。
【0025】
また、個人情報開示手段34における個人情報の変換の他の形態としては、個人情報の所定項目に対して、所定の書式・表現形態に変換して、これを第三者端末12に開示する方法が挙げられる。例えば、年齢の項目について、25才という個人情報を「20才以上」という形態で開示する。なお、どの項目についてどのような変換を行うかについては、開示条件情報Cに含ませておけばよい。
【0026】
個人情報DB40は、利用者1の個人情報を記憶・管理する装置であり、利用者1のユーザID(R)をキーとして該利用者1の個人情報にアクセス可能となっている。個人情報DB40に記憶される個人情報は、開示用識別子Tの流通の先立ち登録されるものとし、この登録作業を行う者は不問である。例えば、図1に示すように、利用者1が利用者端末11を用いて自ら個人情報を登録するようにしてもよいし、個人情報DB40の管理者が登録するようにしてもよい。個人情報DB40への登録方法の形態としては、例えば登録者が用いる端末においてWWWブラウザを用いてHTTP経由で登録する方法などが挙げられる。
【0027】
ここで、開示用識別子生成手段21,認証手段31,開示用識別子復元手段32,開示条件判定手段33,個人情報開示手段34,個人情報DB40は、それぞれコンピュータで動作するプログラムとして実装されるが、各プログラムと実装先のコンピュータとの位置関係はどのようなものであってもよい。すなわち、上記の全ての手段が1つのコンピュータに実装されていてもよいし、それぞれ別のコンピュータに実装されていてもよいし、任意の組み合わせでコンピュータに実装されていてもよい。また、1つの手段が複数のコンピュータに分散して実装されるような形態であってもよい。なお、複数のコンピュータを用いる場合には各コンピュータ間のデータの送受はネットワークを介して行うことになることは言うまでもない。
【0028】
次に、本発明の個人情報管理システムを利用して利用者の個人情報を第三者に開示する流れについて図2のシーケンスチャートを参照して説明する。
【0029】
まず、利用者1は、利用者端末11を用いて個人情報DB40に自身の個人情報を予め登録しておく(ステップS1)。この時、個人情報にはユーザID(R)が含まれる。
【0030】
次に、利用者1が利用者端末11を用いてユーザID(R)及び開示条件情報Cを開示用識別子生成手段21に送信すると(ステップS2)、該開示用識別子生成手段21は、受信した情報から開示用識別子Tを生成し(ステップS3)、該開示用識別子Tを利用者端末11に返信する(ステップS4)。次に、利用者1は、該開示用識別子Tを利用者端末11から第三者端末12に送信する(ステップS5)。
【0031】
次に、第三者端末12が開示用識別子生成手段21から受信した開示用識別子Tを用いて開示用識別子復元手段32に対して開示要求を送信する(ステップS6)。なお、図2では省略したが、この開示要求の送信の際には認証手段31による第三者2の認証が行われる。開示要求を受信した開示用識別子復元手段32は、開示用識別子TからユーザID(R)及び開示条件情報Cを復元し(ステップS7)、該情報を開示条件判定手段33に渡す(ステップS8)。
【0032】
次に、開示条件判定手段33は、受信した開示用条件情報Cに基づき個人情報の開示を許可するかを判定し(ステップS9)、許可する場合にはユーザID(R)を個人情報開示手段34に渡す(ステップS10)。個人情報開示手段34は、受信したユーザID(R)を用いて個人情報DB40から該ユーザID(R)に係る個人情報を取得し(ステップS11,S12,S13)、必要に応じて形式の変換を行った後に個人情報を第三者端末12に送信する(ステップS14)。
【0033】
なお、上記一連の処理の流れでは、第三者端末12は利用者端末11から開示用識別子Tを取得しているが、開示用識別子生成手段21から取得したり、開示用識別子Tを知った第三者2が第三者端末12に入力するようにしてもよい。
【0034】
次に、開示用識別子生成手段21及び開示用識別子復元手段32における開示用識別子Tの生成・復元の方法について詳述する。本発明では、開示用識別子Tの生成復元方法として2つの方法を提案する。第1の方法は開示用識別子TにユーザID(R)及び開示条件情報Cを埋め込む方法であり、第2の方法はユーザID(R)と開示条件情報Cを別途他の記憶手段に記憶しておく方法である。
【0035】
まず、第1の方法について説明する。この方法では、開示用識別子生成手段21は、ユーザID(R)及び開示条件情報Cを記述した情報に対して、開示用識別子復元手段32で復号できるような暗号化処理を行うことにより開示用識別子Tを生成する。暗号化処理には、共通鍵方式や公開鍵暗号化方式など種々のものを用いることができる。例えば、公開鍵暗号化方式を用いる場合には、開示用識別子生成手段21は、ユーザID(R)及び開示条件情報Cを記述した情報に対して、開示用識別子復元手段32の公開鍵を用いて暗号化することにより開示用識別子Tを生成する。一方、開示用識別子復元手段32は、自身の秘密鍵を用いて開示用識別子Tを復号化することにより、ユーザID(R)及び開示条件情報子Cを復元できる。
【0036】
次に、第2の方法について図3乃至図5を参照して説明する。図3は開示条件情報の構成を説明する図、図4は開示用識別子の生成復元方法を説明するシステム構成図、図5は記憶手段のデータ構造の一例を説明する図である。
【0037】
本方法では、開示条件情報Cを第1の開示条件情報と第2の開示条件情報にわけて考える。本実施形態では、図3に示すように、個人情報の開示先を特定する条件である第三者2の識別子S(請求項6〜10における第2の開示条件情報に相当)と、例えば有効期限等の他の条件情報C1(請求項6〜10における第2の開示条件情報に相当)とに分けて考える。
【0038】
そして、本方法では、図4に示すように、開示用識別子生成手段21及び開示用識別子復元手段32とは別に、開示用識別子TとユーザID(R)及び開示条件情報Cとの関連付けを記憶する記憶手段51を設けている。なお、記憶手段51の実装位置は不問である。
【0039】
記憶手段51は、図5に示すように、1つの開示用識別子Tに対応する1つのユーザID(R)と複数の開示条件情報Cとを記憶する。開示条件情報Cは、前述したように、それぞれ開示先識別子Sと他の開示条件情報C1が記憶されている。
【0040】
開示用識別子生成手段21は開示用識別子生成部21aを備えており、この開示用識別子生成部21aは、利用者1からユーザID(R)と開示条件情報Cとを含む生成要求があると、ユーザID(R)に対応する開示用識別子Tが記憶手段51に存在しない場合には、該ユーザID(R)に対応する開示用識別子Tを新たに生成し、該開示用識別子TとユーザID(R)及び開示条件情報Cの組とを対応づけて記憶手段51に記憶する。一方、ユーザID(R)に対応する開示用識別子Tが記憶手段51に存在している場合には、登録要求に係る開示条件情報Cを記憶手段51に追加する。
【0041】
開示用識別子復元手段32は登録情報復元部32aを備えており、この登録情報復元部32aは、開示要求に含まれる開示用識別子Tを用いて記憶手段51を参照することにより、開示用識別子Tに対応するユーザID(R)及び開示条件情報Cを取得する。ここで、記憶手段51には一のユーザID(R)に対して複数の開示条件情報Cが登録されている場合があるが、前述したように、開示条件情報Cには開示先の識別子Sが含まれる。そこで、開示要求時に認証手段31によって認証された開示先の識別子Sを用いて記憶手段51を参照することにより、開示用識別子Tに対応するユーザID(R)及び1つの開示条件情報Cを復元することができる。
【0042】
次に、この第2の方法の変形例について図6及び図7を参照して説明する。図6は開示用識別子の生成復元方法を説明するシステム構成図、図7は記憶手段のデータ構造の一例を説明する図である。
【0043】
この変形例では、開示用識別子生成手段21は、仮開示用識別子生成部21bとブロック暗号化部21cとを備えている。
【0044】
仮開示用識別子生成部21bは、前記開示用識別子生成部21aと同様の手順をもって仮開示用識別子を生成し、該仮開示用識別子とユーザID(R)及び開示条件情報Cの組とを対応づけて記憶手段51に記憶する(図7参照)。
【0045】
ブロック暗号化部21cは、開示条件情報Cに含まれる開示先の識別子Sに対応する暗号鍵を鍵管理手段52から取得し、取得した暗号鍵を用いて仮開示用識別子を暗号化する。ここで、暗号化処理は、鍵管理手段52で管理されている複数の暗号鍵の中から、開示先の識別子Sに依存する適当な関数(例えばハッシュ関数)を用いて1つの暗号鍵を選択し、選択した暗号鍵を用いて暗号化処理を行う。そして、この暗号化した仮開示用識別子を開示用識別子Tとする。なお、ハッシュ関数を用いる場合のさらに具体的な手順としては、例えば、開示先の識別子Sから計算されるハッシュ値を鍵管理手段52で管理されている暗号鍵の数で割った際の剰余を用いて暗号鍵を選択する方法などが挙げられる。
【0046】
開示用識別子復元手段32は、復号化部32bと、登録情報復元部32cとを備えている。
【0047】
復号化部32bは、前記ブロック暗号化部21cで暗号化された開示用識別子Tを復号化することにより仮開示用識別子を復元する。ここで復号化処理は、前記暗号化処理時と同様に、鍵管理手段52で管理されている複数の暗号鍵の中から、開示先の識別子Sに依存する適当な関数(例えばハッシュ関数)を用いて1つの暗号鍵を選択し、選択した暗号鍵を用いて復号化処理を行う。これにより、該復号化処理で開示用識別子Tの復号化ができなかった場合には、本来の開示先とは異なる第三者からの開示要求と判断することができるので、当該開示要求は拒否すればよい。なお、このような本来の開示先とは異なる第三者からの開示要求が所定時間内に連続して生じた場合には、当該第三者からの以降のアクセスをブロックするようにすると好適である。
【0048】
登録情報復元部32cは、前記登録情報復元部32aと同様の手順をもって、復号化部32bで復元した仮開示用識別子と、認証手段31で取得した開示先の識別子Sとから、ユーザID(R)と開示条件情報Cを復元する。
【0049】
次に、第2の方法の他の変形例について図8及び図9を参照して説明する。図8は開示用識別子の生成復元方法を説明するシステム構成図、図9は記憶手段のデータ構造の一例を説明する図である。
【0050】
この変形例では、開示用識別子生成手段21は、開示用識別子生成部21dと開示用識別子選択部21eとを備えている。
【0051】
開示用識別子生成部21dは、利用者1からユーザID(R)と開示条件情報Cとを含む生成要求があると、ユーザID(R)に対応する開示用識別子Tが記憶手段51に存在しない場合には、該ユーザID(R)に対応する開示用識別子Tを新たに生成し、該開示用識別子TとユーザID(R)及び開示条件情報Cの組とを対応づけて記憶手段51に記憶する。ここで開示用識別子生成部21dは、図9に示すように、複数個の開示用識別子Tを生成・記憶する。
【0052】
開示用識別子選択部21eは、開示条件情報Cに含まれる開示先の識別子Sを用いて、前記複数の開示用識別子Tの中から一つを選択し、これを流通させるようにする。開示用識別子Tの選択手法としては、開示先の識別子Sに依存する適当な関数(例えばハッシュ関数)を用いる方法が挙げられる。なお、ハッシュ関数を用いる場合のさらに具体的な手順としては、例えば、開示先の識別子Sから計算されるハッシュ値を開示用識別子Tの個数で割った際の剰余を用いて開示用識別子Tを選択する方法などが挙げられる。
【0053】
登録情報復元部32dは、まず、記憶手段51に記憶されている複数の開示用識別子の中から、前記開示用識別子選択部21eと同じロジックを用いて開示用識別子を選択し、選択した開示用識別子と開示要求に含まれる開示用識別子Tとを対比する。ただし、ここでの開示用識別子の選択では、開示要求時に認証手段31によって認証された開示先の識別子Sを用いる。そして、選択した開示用識別子と開示要求に含まれる開示用識別子Tが一致しない場合には、本来の開示先とは異なる第三者からの開示要求と判断することができるので、当該開示要求は拒否すればよい。
【0054】
登録情報復元部32dは、次に、開示要求に含まれる開示用識別子Tを用いて記憶手段51を参照することにより、開示用識別子Tに対応するユーザID(R)及び開示条件情報Cを取得する。ここで、記憶手段51には一のユーザID(R)に対して複数の開示条件情報Cが登録されている場合があるが、前述したように、開示条件情報Cには開示先の識別子Sが含まれる。そこで、開示要求時に認証手段31によって認証された開示先の識別子Sを用いて記憶手段51を参照することにより、開示用識別子Tに対応するユーザID(R)及び1つの開示条件情報Cを復元することができる。
【0055】
次に、第2の方法の他の例について図10及び図11を参照して説明する。図10は開示用識別子の生成復元方法を説明するシステム構成図、図11は記憶手段のデータ構造の一例を説明する図である。
【0056】
この変形例では、開示用識別子生成手段21は、仮開示用識別子生成部21fと、仮開示用識別子選択部21gと、ブロック暗号化部21hとを備えている。
【0057】
仮開示用識別子生成部21fは、前記開示用識別子生成部21dと同様の手順をもって複数の仮開示用識別子を生成し、該複数の仮開示用識別子とユーザID(R)及び開示条件情報Cの組とを対応づけて記憶手段51に記憶する(図11参照)。
【0058】
仮開示用識別子選択部21gは、開示条件情報Cに含まれる開示先の識別子Sを用いて、前記複数の仮開示用識別子の中から一つを選択する。開示用識別子の選択手法としては、ランダムに選択する方法や、開示先の識別子Sに依存する適当な関数(例えばハッシュ関数)を用いる方法が挙げられる。本実施の形態では後者を用いる方法を採用する。なお、ハッシュ関数を用いる場合のさらに具体的な手順としては、例えば、開示先の識別子Sから計算されるハッシュ値を仮開示用識別子の個数で割った際の剰余を用いて仮開示用識別子を選択する方法などが挙げられる。
【0059】
ブロック暗号化部21hは、開示条件情報Cに含まれる開示先の識別子Sに対応する暗号鍵を鍵管理手段52から取得し、取得した暗号鍵を用いて仮開示用識別子選択部21gで選択された仮開示用識別子を暗号化する。ここで、暗号化処理は、鍵管理手段52で管理されている複数の暗号鍵の中から、開示先の識別子Sに依存する適当な関数(例えばハッシュ関数)を用いて1つの暗号鍵を選択し、選択した暗号鍵を用いて暗号化処理を行う。そして、この暗号化した仮開示用識別子を開示用識別子Tとする。なお、ハッシュ関数を用いる場合のさらに具体的な手順としては、例えば、開示先の識別子Sから計算されるハッシュ値を鍵管理手段52で管理されている暗号鍵の数で割った際の剰余を用いて暗号鍵を選択する方法などが挙げられる。
【0060】
開示用識別子復元手段32は、復号化部32eと、登録情報復元部32fとを備えている。
【0061】
復号化部32eは、前記ブロック暗号化部21hで暗号化された開示用識別子Tを復号化することにより仮開示用識別子を復元する。ここで復号化処理は、前記暗号化処理時と同様に、鍵管理手段52で管理されている複数の暗号鍵の中から、開示先の識別子Sに依存する適当な関数(例えばハッシュ関数)を用いて1つの暗号鍵を選択し、選択した暗号鍵を用いて復号化処理を行う。これにより、該復号化処理で仮開示用識別子の復号化ができなかった場合には、本来の開示先とは異なる第三者からの開示要求と判断することができるので、当該開示要求は拒否すればよい。なお、このような本来の開示先とは異なる第三者からの開示要求が所定時間内に連続して生じた場合には、当該第三者からの以降のアクセスをブロックするようにすると好適である。
【0062】
登録情報復元部32fは、前記仮開示用識別子選択部21gにおいて、開示先の識別子Sに依存する適当な関数を用いて仮開示用識別子を選択した場合には、必要に応じて、開示先の判定を行う。具体的には、記憶手段51に記憶されている複数の仮開示用識別子の中から、前記仮開示用識別子選択部21gと同じロジックを用いて仮開示用識別子を選択し、選択した仮開示用識別子と前記復号化部32eで復号化された仮開示用識別子Tとを対比する。ただし、ここでの仮開示用識別子の選択では、開示要求時に認証手段31によって認証された開示先の識別子Sを用いる。そして、選択した仮開示用識別子と復号化した仮開示用識別子が一致しない場合には、本来の開示先とは異なる第三者からの開示要求と判断することができるので、当該開示要求は拒否すればよい。なお、ここでの判定については、同様の処理を復号化部32eでも実施していることから、省略してもよい。また、前記仮開示用識別子選択部21gにおいて、ランダムに仮開示用識別子を選択するなど他の選択方法を用いた場合にも省略する。
【0063】
登録情報復元部32fは、次に、復号化部32eで復号化された仮開示用識別子を用いて記憶手段51を参照することにより、仮開示用識別子に対応するユーザID(R)及び開示条件情報Cを取得する。ここで、記憶手段51には一のユーザID(R)に対して複数の開示条件情報Cが登録されている場合があるが、前述したように、開示条件情報Cには開示先の識別子Sが含まれる。そこで、開示要求時に認証手段31によって認証された開示先の識別子Sを用いて記憶手段51を参照することにより、開示用識別子Tに対応するユーザID(R)及び1つの開示条件情報Cを復元することができる。
【0064】
以上のように第2の方法による開示用識別子の生成復元方法では、開示条件情報Cとして開示先の識別子Sが含まれ、且つ、開示要求時に認証手段31によって取得された要求元の識別子Sを用いて開示用識別子Tの復元を行っているので、本来の開示先とは異なる第三者からの個人情報開示要求を適切に拒否できる。また、発行される開示用識別子Tの数は利用者数のオーダーになるので、開示要求の頻度があがっても記憶手段51での管理データ量が爆発的に増加することがない。したがって、個人情報開示装置30の負荷増大を防止できる。また、開示用識別子Tの数の増加を抑えることができるので、各開示用識別子Tをコード化する際にその桁数が長大になることを防止し、したがって簡便なコード体系を用いることができる。
【0065】
なお、上記第2の方法による開示用識別子の生成復元方法では、開示条件情報Cを、個人情報の開示先を特定する条件である第三者2の識別子Sと、それ以外の条件情報C1(例えば有効期限等)とに分けて考えたが、他の区分けであってもよい。例えば、有効期限に係る開示条件情報と、それ以外の開示条件情報とに分けてもよい。この場合、開示用識別子復元手段では、自装置内の時計等を用いることにより、有効期限に係る開示条件情報を判定するための現在時刻を取得すればよい。
【0066】
次に、本実施の形態に係る個人情報管理システムを用いて個人情報開示サービスについての実施例を図12乃至図14を参照して説明する。図12は個人情報開示サービスを説明するシステム構成図である。
【0067】
本実施例では、以下のような個人情報開示サービスについて例示する。すなわち、EC業者は、ECサーバ61を用いてインターネットなどのネットワーク70上で利用者に通信販売サービスを提供するものとする。個人情報管理業者は、開示用識別子生成サーバ62及び個人情報管理サーバ63を用いて利用者の個人情報を管理するものとする。したがって、ECサーバ61が前述の第三者端末12に相当する。また、開示用識別子生成サーバ12が前述の開示用識別子生成手段21を実装したものに相当する。さらに、個人情報管理サーバ63が前述の個人情報開示装置30及び個人情報DB40を実装したものに相当する。以上により、システム構成は図12に示すようなものとなる。なお、本実施例では、開示用識別子Tの生成・復元方法としては上記第2の方法を用いた。
【0068】
本実施例では、ECサーバ61が提供する通信販売サービスは、ユーザインタフェイスとしてWebアプリケーションを用いる。また、開示用識別子生成サーバ62の提供する開示用識別子生成サービスも、ユーザインタフェイスとして同様にWebアプリケーションを用いる。これにより、利用者に対して、シームレスなユーザインタフェイスを提供できる。
【0069】
次に、利用者がECサーバ61で商品を購入する場合を例にとり、利用者の個人情報をEC業者に開示する方法について図12を参照して説明する。
【0070】
まず、利用者は予め個人情報管理サーバ63に対して、住所・氏名等を登録しておく(ステップS11)。なお、複数の異なるサービスを受ける場合であっても、この登録作業は1回だけで行えばよい。
【0071】
次に、利用者が利用者端末11を用いてECサーバ61にアクセスして所定の通信販売に関する手続きを行ったのち、ECサーバ61は住所・氏名等を取得するために図13に示すような入力フォーム71を利用者端末11に送信する(ステップS12)。
【0072】
図13は入力フォームを利用者端末の画面上に表示させた際の一例を示すものである。図13に示すように、この入力フォーム71には、住所・氏名等の入力欄71aと、開示用識別子(図中では「コード」と表記した)の生成段階に移行するためのボタン71bが配置されている。ここで、入力フォーム71は、利用者端末11においてボタン71bが押下されると、利用者端末11が開示用識別子生成サーバ62にアクセスするように記述されている。また、このとき、利用者端末11から開示用識別子生成サーバ62に対して、EC業者に予め付与されているEC業者の識別子(図中では「通販サイトID」と表記した)が送信されるように入力フォーム71が記述されている。
【0073】
利用者が利用者端末11において該ボタン71bを押下すると、利用者端末11は開示用識別子生成サーバ62にアクセスする。このときEC業者の識別子が利用者端末11から開示用識別子生成サーバ62に送信される。開示用識別子生成サーバ62は、開示用識別子Tの生成要求を受け付けるために図14に示すような開示用識別子生成フォーム72を利用者端末11に送信する(ステップS13)。
【0074】
図14は開示用識別子生成フォームを利用者端末の画面上に表示させた際の一例を示す図である。図14に示すように、この開示用識別子生成フォーム72には、EC業者の識別子の入力欄72a,利用者のユーザID(R)の入力欄72b,開示する情報を選択する選択欄72c,開示用識別子を生成し再びECサーバ61に処理を移行するためのボタン72dが配置されている。ここで、フォーム72は、入力欄72aは、利用者端末11から受信したEC業者の識別子が予め入力された状態となっている。また、フォーム72は、利用者端末11において各入力欄72a,72b及び選択欄72cにデータが入力された状態でボタン72dが押下されると、各欄の情報が開示用識別子生成サーバ62に送信されるように記述されている。すなわち、利用者端末11においてフォーム72のボタン72dを押下することが開示用識別子Tの生成要求となる(ステップS14)。
【0075】
開示用識別子Tの生成要求を受信したECサーバ61は、開示用識別子生成フォーム72により得られた情報に基づき開示用識別子Tを生成する。ここで、開示用識別子Tは、ユーザID(R)として入力欄72bに入力されたものを用いるとともに、(1)開示先は入力欄72aで入力されたEC業者に限定,(2)開示項目は選択欄72cで選択された項目に限定、という情報を開示条件情報Cとして用いて生成する。生成された開示用識別子Tは利用者端末11を介してECサーバ61に渡される(ステップS15)。
【0076】
開示用識別子Tを受信したECサーバ61は、該開示用識別子Tを用いて個人情報管理サーバ63に対して個人情報の開示を取得する(ステップS16)。
【0077】
このような処理により、利用者にとっては住所・氏名等の個人情報をECサーバ61で買い物をするたびに入力するといった手間が省けるので、利便性が向上するとともに、データの誤入力を防止できる。また、EC業者に対して開示する個人情報は、買い物に必要なものに限定できるので個人情報の保護を図れる。特に、EC業者に渡される開示用識別子Tは、当該EC業者のみに個人情報の開示が限定され且つ開示項目の限定されていることから、該開示用識別子Tが他者に漏洩したとしても当該他者は個人情報を取得できないので、個人情報の漏洩を防止できる。
【0078】
以上のように本実施形態に係る個人情報管理システムによれば、利用者の識別子R及び個人情報の開示条件情報Cに関連付けられた開示用識別子Tを用いて個人情報の開示を行うようにしたので、開示条件情報Cを適切に設定すれば、該開示用識別子Tがネットワーク上で流通しても個人情報が漏洩することがない。
【0079】
以上本発明の一実施例について説明したが本発明はこれに限定されるものではない。例えば、個人情報開示サービスについて説明した前記実施例では、開示用識別子Tの生成復元方法として、図3乃至図11を参照して前述した第2の方法を用いたが、前述の第1の方法(利用者の識別子及び開示条件情報を暗号化することにより開示用識別子に埋め込む方法)を用いてもよい。
【0080】
また、上記実施例では、生成された開示用識別子Tは利用者端末を介して開示用識別子生成サーバからECサーバに送られていたが、利用者端末を介さず両サーバ間で開示用識別子Tを送信するようにしてもよい。
【0081】
さらに、上記実施例では、個人情報開示サービスとしてWebアプリケーションを用いて実現していたが、他のプロトコル等を用いてもよい。さらに、上記実施例では、通信販売を行うECサーバを例にとって個人情報開示サービスについて説明したが、他の業種用途であっても同様に本システムを適用できる。
【0082】
【発明の効果】
以上詳述したように、本発明によれば、利用者の個人情報取得を希望する第三者は、該第三者に対する開示が許可された開示条件情報に対応づけられた開示用識別子を入手し、該開示用識別子を用いて個人情報開示手段に個人情報の開示を要求すれば、開示条件にしたがった個人情報を入手できる。すなわち、利用者は個人情報を個人情報記憶手段に予め登録しておくとともに、開示用識別子生成手段において適切な開示条件で開示用識別子を生成しておき、この開示用識別子を第三者が取得可能にすれば、該第三者に対する適切な個人情報の開示が可能となる。
【0083】
また、開示用識別子生成手段で生成された開示用識別子は開示用識別子復元手段でのみ復元可能であり、且つ、第三者端末から受信した個人情報開示要求が開示条件情報を満たしているかを判定しているので、開示用識別子が利用者の意図する開示先とは異なる第三者にわたっても該第三者は個人情報を取得することができない。したがって、個人情報の漏洩を防止して個人情報の保護を図ることができる。
【図面の簡単な説明】
【図1】本発明の原理を説明するシステム構成図
【図2】本発明の原理を説明するシーケンスチャート
【図3】開示条件情報のデータ構造を説明する図
【図4】開示用識別子の生成復元方法の一例を説明するシステム構成図
【図5】図4の記憶手段におけるデータ構造の一例を説明する図
【図6】開示用識別子の生成復元方法の他の一例を説明するシステム構成図
【図7】図6の記憶手段におけるデータ構造の一例を説明する図
【図8】開示用識別子の生成復元方法の他の一例を説明するシステム構成図
【図9】図8の記憶手段におけるデータ構造の一例を説明する図
【図10】開示用識別子の生成復元方法の他の一例を説明するシステム構成図
【図11】図10の記憶手段におけるデータ構造の一例を説明する図
【図12】個人情報開示サービスを説明するシステム構成図
【図13】個人情報開示サービスにおいてECサーバでの入力フォームの一例を説明する画面イメージ
【図14】個人情報開示サービスにおいて開示用識別子生成サーバでのフォームの一例を説明する画面イメージ
【図15】従来の個人情報管理方法を説明する図
【符号の説明】
1…利用者、2…第三者、11…利用者端末、12…第三者端末、21…開示用識別子生成手段、21a…開示用識別子生成部、21b…仮開示用識別子生成部、21c…ブロック暗号化部、21d…開示用識別子生成部、21e…開示用識別子選択部、21f…仮開示用識別子生成部、21g…仮開示用識別子選択部、21h…ブロック暗号化部、31…個人情報開示装置、31…認証手段、32…開示用識別子復元手段、32a…登録情報復元部、32b…復号化部、32c…登録情報復元部、32d…登録情報復元部、32e…復号化部、32f…登録情報復元部、33…開示条件判定部、34…個人情報開示手段、40…個人情報データベース、51…記憶手段、52…鍵管理手段、61…ECサーバ、62…開示用識別子生成サーバ、63…個人情報管理サーバ、70…ネットワーク

Claims (19)

  1. 利用者の個人情報を管理する個人情報管理方法において、
    利用者を一意に識別可能な利用者識別子が含まれる個人情報を各利用者毎に予め個人情報記憶手段に記憶しておく個人情報記憶段階と、
    開示用識別子生成手段が、利用者識別子に代えて第三者に開示するための開示用識別子を利用者識別子及び開示条件情報の組に対応づけて生成する開示用識別子生成段階と、
    第三者の端末から開示用識別子を用いて個人情報開示要求を行う個人情報開示要求段階と、
    個人情報復元手段が、第三者端末から受信した個人情報開示要求に含まれる開示用識別子から該開示用識別子に対応づけられた利用者識別子及び開示条件情報の組を復元する開示用識別子復元段階と、
    開示条件判定手段が、第三者端末から受信した個人情報開示要求が前記復元した開示条件情報を満たしているかを判定する開示条件判定段階と、
    個人情報開示手段が、開示条件判定結果に基づいて、復元した利用者識別子を用いて該利用者識別子に係る個人情報を前記個人情報記憶手段から取得する個人情報取得段階と、
    個人情報開示手段が、取得した個人情報を要求元の第三者端末に対して開示する個人情報開示段階とを含み、
    前記開示用識別子生成段階では、個人情報復元手段のみが利用者識別子及び開示条件情報の組を復元可能な開示用識別子を生成する
    ことを特徴とする個人情報管理方法。
  2. 前記開示条件情報には開示先を限定する情報を含み、
    前記個人情報開示要求段階では要求元の第三者を認証する認証段階を含み、
    前記開示条件判定段階では、認証段階で認証した第三者が開示条件情報に含まれる開示先に該当するかという判定を含む
    ことを特徴とする請求項1記載の個人情報管理方法。
  3. 前記個人情報開示要求段階では要求元の第三者を認証する認証段階を含み、
    前記開示用識別子復元手段では、前記認証段階における認証結果に基づき開示用識別子から利用者識別子及び開示条件情報を復元する
    ことを特徴とする請求項1記載の個人情報管理方法。
  4. 前記開示用識別子生成段階では、利用者識別子及び開示条件情報の組に対して開示用識別子復元手段でのみ復元できるような暗号化処理を行うことにより開示用識別子を生成する
    ことを特徴とする請求項1乃至3何れか1項記載の個人情報管理方法。
  5. 前記開示用識別子生成段階では、利用者識別子及び開示条件情報の組と開示用識別子とを開示用識別子記憶手段に記憶しておき、前記開示用識別子復元段階では前記開示用識別子記憶手段を参照することにより開示用識別子から利用者識別子及び開示条件情報の組を復元する
    ことを特徴とする請求項1乃至3何れか1項記載の個人情報管理方法。
  6. 前記開示条件情報は、第1の開示条件情報及び第2の開示条件情報からなり、
    前記開示用識別子生成段階では、利用者識別子及び開示条件情報の組に対して1つの開示用識別子を生成するとともに該開示用識別子と利用者識別子及び開示条件情報の組とを対応づけて開示用識別子記憶手段に記憶し、
    前記開示用識別子復元段階は、前記第2の開示条件情報に係る情報を取得する段階と、個人情報開示要求に含まれる開示用識別子及び前記第2の開示条件情報に係る情報を用いて前記開示用識別子記憶手段を参照することにより利用者識別子及び第1の開示条件情報の組を復元する段階とを含む
    ことを特徴とする請求項5記載の個人情報管理方法。
  7. 前記開示条件情報は、第1の開示条件情報及び第2の開示条件情報からなり、
    前記開示用識別子生成段階は、利用者識別子及び第1の開示条件情報の組に対して1つの仮開示用識別子を生成するとともに該仮開示用識別子と利用者識別子及び第1の開示条件情報の組とを対応づけて開示用識別子記憶手段に記憶する段階と、開示用識別子復元手段でのみ復元できるように第2の開示条件情報に対応する暗号鍵で前記仮開示用識別子を暗号化処理することにより開示用識別子を生成する段階とを含み、
    前記開示用識別子復元段階は、前記第2の開示条件情報に係る情報を取得する段階と、前記第2の開示条件情報に係る情報に対応する暗号鍵で開示用識別子を復号化処理することにより仮開示用識別子を復元する段階と、復元した仮開示用識別子を用いて前記開示用識別子記憶手段を参照することにより利用者識別子及び第1の開示条件情報の組を復元する段階とを含む
    ことを特徴とする請求項5記載の個人情報管理方法。
  8. 前記開示条件情報は、第1の開示条件情報及び第2の開示条件情報からなり、
    前記開示用識別子生成段階では、利用者識別子及び第1の開示条件情報の組から複数の開示用識別子を生成するとともに該複数の開示用識別子と利用者識別子及び第1の開示条件情報の組とを対応づけて開示用識別子記憶手段に記憶する段階と、前記複数の開示用識別子から第2の開示条件情報に基づき1つの開示用識別子を選択する段階を含み、
    前記開示用識別子復元段階は、前記第2の開示条件情報に係る情報を取得する段階と、第2の開示条件情報に係る情報に基づき前記選択段階と同様の処理を用いて開示用識別子記憶手段に記憶されている複数の開示用識別子から1つの開示用識別子を選択するとともに該選択した開示用識別子と個人情報開示要求に含まれる開示用識別子が同一であるかを判定する段階と、個人情報開示要求に含まれる開示用識別子及び前記第2の開示条件情報に係る情報を用いて前記開示用識別子記憶手段を参照することにより利用者識別子及び第1の開示条件情報の組を復元する段階とを含む
    ことを特徴とする請求項5記載の個人情報管理方法。
  9. 前記開示条件情報は、第1の開示条件情報及び第2の開示条件情報からなり、
    前記開示用識別子生成段階は、利用者識別子及び第1の開示条件情報の組から複数の仮開示用識別子を生成するとともに該複数の仮開示用識別子と利用者識別子及び第1の開示条件情報の組とを対応づけて開示用識別子記憶手段に記憶する段階と、前記複数の仮開示用識別子から1つの仮開示用識別子を選択する段階と、開示用識別子復元手段でのみ復元できるように第2の開示条件情報に対応する暗号鍵で前記選択された仮開示用識別子を暗号化処理することにより開示用識別子を生成する段階とを含み、
    前記開示用識別子復元段階は、前記第2の開示条件情報に係る情報を取得する段階と、第2の開示条件情報に係る情報に対応する暗号鍵で開示用識別子を復号化処理することにより仮開示用識別子を復元する段階と、復元した仮開示用識別子及び前記第2の開示条件情報に係る情報を用いて前記開示用識別子記憶手段を参照することにより利用者識別子及び第1の開示条件情報の組を復元する段階とを含む
    ことを特徴とする請求項5記載の個人情報管理方法。
  10. 前記第2の開示条件情報は、個人情報を開示する開示先についての条件情報である
    ことを特徴とする請求項6乃至9何れか1項記載の個人情報管理方法。
  11. 前記第三者端末から開示条件情報を満たさない個人情報開示要求を所定時間内に所定回数以上受けた場合に該第三者端末からのアクセスを拒否する段階を含む
    ことを特徴とする請求項1乃至10何れか1項記載の個人情報管理方法。
  12. 前記個人情報は一以上の情報項目からなるとともに前記開示条件情報は情報項目の開示許否についての情報を含む
    ことを特徴とする請求項1乃至11何れか1項記載の個人情報管理方法。
  13. 前記個人情報開示段階は、個人情報記憶手段に記憶された個人情報に基づき開示用の個人情報を生成する段階と、生成した開示用の個人情報を要求元の第三者端末に開示する段階とを含み、
    前記開示条件情報は、前記開示用個人情報の生成段階において個人情報の全て又は一部の情報項目について所定の変換処理を行うように指示する情報を含む
    ことを特徴とする請求項1乃至11何れか1項記載の個人情報管理方法。
  14. 前記開示用個人情報の生成段階では、個人情報記憶手段に記憶された個人情報の所定の情報項目に基づき一時的な識別子を生成し、これを開示用の個人情報とする
    ことを特徴とする請求項13記載の個人情報管理方法。
  15. 利用者の個人情報を管理する個人情報管理システムにおいて、
    利用者を一意に識別可能な利用者識別子が含まれる個人情報を各利用者毎に予め記憶しておく個人情報記憶手段と、
    利用者識別子に代えて第三者に開示するための開示用識別子を利用者識別子及び開示条件情報の組に対応づけて生成する開示用識別子生成手段と、
    第三者の端末から受信した個人情報開示要求に含まれる開示用識別子から該開示用識別子に対応づけられた利用者識別子及び開示条件情報の組を復元する個人情報復元手段と、
    第三者端末から受信した個人情報開示要求が前記復元した開示条件情報を満たしているかを判定する開示条件判定手段と、
    開示条件判定結果に基づいて、復元した利用者識別子を用いて該利用者識別子に係る個人情報を前記個人情報記憶手段から取得し、取得した個人情報を要求元の第三者端末に対して開示する個人情報開示手段とを備え、
    前記開示用識別生成手段は、個人情報復元手段のみが利用者識別子及び開示条件情報の組を復元可能な開示用識別子を生成する
    ことを特徴とする個人情報管理システム。
  16. 前記開示用識別子生成手段は、利用者識別子及び開示条件情報の組に対して開示用識別子復元手段でのみ復元できるような暗号化処理を行うことにより開示用識別子を生成する
    ことを特徴とする請求項15記載の個人情報管理システム。
  17. 利用者識別子及び開示条件情報の組と開示用識別子とを記憶する開示用識別子記憶手段を備え、
    前記開示用識別子生成手段は、利用者識別子及び開示条件情報の組と開示用識別子とを前記開示用識別子記憶手段に記憶するとともに、前記開示用識別子復元手段は前記開示用識別子記憶手段を参照することにより開示用識別子から利用者識別子及び開示条件情報の組を復元する
    ことを特徴とする請求項15記載の個人情報管理システム。
  18. 個人情報開示装置に提示することにより該個人情報開示装置から個人情報の取得が可能な開示用識別子を発行する装置において、
    個人を識別可能な利用者識別子及び開示条件情報の組に対応づけて、個人情報開示装置でのみ利用者識別子及び開示条件情報の復元が可能な開示用識別子を生成する開示用識別子生成手段を備えた
    ことを特徴とする開示用識別子発行装置。
  19. 開示用識別子を含む個人情報開示要求に応じて、個人情報記憶装置から個人情報を取得し、該個人情報を要求元の端末に開示する個人情報開示装置において、
    端末から受信した個人情報開示要求に含まれる開示用識別子から該開示用識別子に対応づけられた利用者識別子及び開示条件情報の組を復元する個人情報復元手段と、
    端末から受信した個人情報開示要求が前記復元した開示条件情報を満たしているかを判定する開示条件判定手段と、
    開示条件判定結果に基づいて、復元した利用者識別子を用いて該利用者識別子に係る個人情報を前記個人情報記憶装置から取得する個人情報取得手段と、
    取得した個人情報を要求元の端末に対して開示する個人情報開示手段とを備えた
    ことを特徴とする個人情報開示装置。
JP2003137798A 2003-05-15 2003-05-15 個人情報管理方法及びシステム、開示用識別子発行装置、個人情報開示装置 Pending JP2004341832A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003137798A JP2004341832A (ja) 2003-05-15 2003-05-15 個人情報管理方法及びシステム、開示用識別子発行装置、個人情報開示装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003137798A JP2004341832A (ja) 2003-05-15 2003-05-15 個人情報管理方法及びシステム、開示用識別子発行装置、個人情報開示装置

Publications (1)

Publication Number Publication Date
JP2004341832A true JP2004341832A (ja) 2004-12-02

Family

ID=33527384

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003137798A Pending JP2004341832A (ja) 2003-05-15 2003-05-15 個人情報管理方法及びシステム、開示用識別子発行装置、個人情報開示装置

Country Status (1)

Country Link
JP (1) JP2004341832A (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006209225A (ja) * 2005-01-25 2006-08-10 Nippon Telegr & Teleph Corp <Ntt> アクセス制御システム、アクセス制御方法およびアクセス制御プログラム
JP2007041838A (ja) * 2005-08-03 2007-02-15 Fujitsu Ltd 携帯端末の個人情報の管理方式
JP2007048154A (ja) * 2005-08-11 2007-02-22 Canon Inc 表示データ送信装置、表示データ送信方法及びディスプレイシステム
JP2008176594A (ja) * 2007-01-19 2008-07-31 Fuji Xerox Co Ltd 情報配信管理システム、情報配信管理サーバ、プログラム
JP2009005202A (ja) * 2007-06-25 2009-01-08 Ripplex Inc 情報交換装置
JP2009181334A (ja) * 2008-01-30 2009-08-13 Nippon Telegr & Teleph Corp <Ntt> 情報管理代行装置、サービス提供システムおよびサービス提供方法
WO2009101755A1 (ja) * 2008-02-13 2009-08-20 Nec Corporation 個人情報流通制御システムおよび個人情報流通制御方法
JP2016006623A (ja) * 2014-05-29 2016-01-14 株式会社Practechs 情報利用システム
JP2016154011A (ja) * 2016-02-29 2016-08-25 ヤフー株式会社 情報取引装置、情報取引方法及び情報取引プログラム
JP2021177426A (ja) * 2020-03-19 2021-11-11 ソフトバンク株式会社 情報送信装置及びプログラム

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006209225A (ja) * 2005-01-25 2006-08-10 Nippon Telegr & Teleph Corp <Ntt> アクセス制御システム、アクセス制御方法およびアクセス制御プログラム
JP4564365B2 (ja) * 2005-01-25 2010-10-20 日本電信電話株式会社 アクセス制御システム、アクセス制御方法およびアクセス制御プログラム
JP4676274B2 (ja) * 2005-08-03 2011-04-27 富士通株式会社 携帯端末の個人情報の管理方式
JP2007041838A (ja) * 2005-08-03 2007-02-15 Fujitsu Ltd 携帯端末の個人情報の管理方式
JP2007048154A (ja) * 2005-08-11 2007-02-22 Canon Inc 表示データ送信装置、表示データ送信方法及びディスプレイシステム
JP2008176594A (ja) * 2007-01-19 2008-07-31 Fuji Xerox Co Ltd 情報配信管理システム、情報配信管理サーバ、プログラム
JP2009005202A (ja) * 2007-06-25 2009-01-08 Ripplex Inc 情報交換装置
JP2009181334A (ja) * 2008-01-30 2009-08-13 Nippon Telegr & Teleph Corp <Ntt> 情報管理代行装置、サービス提供システムおよびサービス提供方法
WO2009101755A1 (ja) * 2008-02-13 2009-08-20 Nec Corporation 個人情報流通制御システムおよび個人情報流通制御方法
JP2016006623A (ja) * 2014-05-29 2016-01-14 株式会社Practechs 情報利用システム
JP2016154011A (ja) * 2016-02-29 2016-08-25 ヤフー株式会社 情報取引装置、情報取引方法及び情報取引プログラム
JP2021177426A (ja) * 2020-03-19 2021-11-11 ソフトバンク株式会社 情報送信装置及びプログラム
JP7342073B2 (ja) 2020-03-19 2023-09-11 ソフトバンク株式会社 情報送信装置及びプログラム

Similar Documents

Publication Publication Date Title
JP4274421B2 (ja) 擬似匿名によるネットワーク上におけるユーザーおよびグループ認証方法およびシステム
TWI700916B (zh) 提供和獲取安全身份資訊的方法及裝置
US6275934B1 (en) Authentication for information exchange over a communication network
TW486902B (en) Method capable of preventing electronic documents from being illegally copied and its system
KR102180658B1 (ko) 민감한 데이터의 보안 수집
US20030105719A1 (en) Information content distribution based on privacy and/or personal information
US20030028493A1 (en) Personal information management system, personal information management method, and information processing server
US20060167810A1 (en) Multi-merchant purchasing environment for downloadable products
US20050228687A1 (en) Personal information management system, mediation system and terminal device
JP5218338B2 (ja) 情報伝達システム
CN101291217A (zh) 网络身份认证方法
WO2005022428A1 (ja) 属性情報提供サーバ、属性情報提供方法、およびプログラム
JP3950025B2 (ja) 携帯端末
US20030046213A1 (en) Anonymous processing of usage rights with variable degrees of privacy and accuracy
JP2004341832A (ja) 個人情報管理方法及びシステム、開示用識別子発行装置、個人情報開示装置
JP2006244095A (ja) 個人情報の漏洩を回避した個人認証システム
JP2002157226A (ja) パスワード集中管理システム
WO2011058629A1 (ja) 情報管理システム
JP4641148B2 (ja) 個人情報開示システム、個人情報開示方法および個人情報開示プログラム
JP2006119769A (ja) コンテンツ提供システム
US20080134346A1 (en) Transactions Certification Method And System To Protect Privacy On Details Of Electronic Transactions
JP4719480B2 (ja) アンケート実施システム及びアンケート実施サーバ
JP2002359618A (ja) 個人情報保護システム及び個人情報保護方法
JP2000112751A (ja) ソフトウエア流通システムに用いる装置
EP1288830A1 (en) Anonymous processing of usage rights with variable degrees of privacy and accuracy

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20041005

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070918

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080226