JP2004362123A - System and method for protecting classified information - Google Patents

System and method for protecting classified information Download PDF

Info

Publication number
JP2004362123A
JP2004362123A JP2003157941A JP2003157941A JP2004362123A JP 2004362123 A JP2004362123 A JP 2004362123A JP 2003157941 A JP2003157941 A JP 2003157941A JP 2003157941 A JP2003157941 A JP 2003157941A JP 2004362123 A JP2004362123 A JP 2004362123A
Authority
JP
Japan
Prior art keywords
information
confidential
identification information
encryption
database
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003157941A
Other languages
Japanese (ja)
Inventor
Kenichi Nakayama
健一 中山
Katsuhiro Sugiyama
克浩 杉山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
READ ENG KK
Original Assignee
READ ENG KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by READ ENG KK filed Critical READ ENG KK
Priority to JP2003157941A priority Critical patent/JP2004362123A/en
Publication of JP2004362123A publication Critical patent/JP2004362123A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a system for protecting classified information, which can more securely protect from a risk such as the leak of classified information including personal identification information or the like. <P>SOLUTION: This system is constituted such that, when it decides that a third hash value D3a acquired from fingerprint data D3 inputted from a fingerprint input device F matches any of first hash values D2a stored in a classified database DB1, classified information D1a corresponding to first cipher information is read out. In addition, this system is constituted such that, when it decides that a fourth hash value D3b acquired from authentication information matches any of second hash values D2b stored in an identification information database DB2, identification information D1b corresponding to second cipher information is read out, and the classified information is outputted as classified information D1 by combining the read classified information and the identification information. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
この発明は、個人のプライバシー情報等の機密情報が、第三者による不正な取得行為や漏洩行為から安全に保護される機密情報保護システムおよび機密情報保護方法に関する。
【0002】
【従来の技術】
従来において、個人のプライバシー情報等の機密情報を保護する手法として、プライバシー情報自体は暗号化せずに、別途暗号化された所定情報と対応付けしてデータベースに格納し、入力された所定情報が一致した場合にのみ対応するプライバシー情報を出力できるように構成し、プライバシー情報の復号化処理を不要とした情報保護システムが提案されている(例えば、特許文献1参照)。
より具体的には、特許文献1の図1に示すように、入力装置1を介してユーザによって入力されたプライバシー情報(例えば健康診断結果等)は、結合装置3へ出力され、パスワード等の個人識別情報はハッシュ処理装置2へ出力される。
結合装置3はプライバシー情報とハッシュ処理装置102によりハッシュ変換された個人識別情報とを対応付けて記憶装置4へ格納されるようになっている。
そして、プライバシー情報を読み出す際には、入力装置1からパスワード等の個人識別情報を入力すると、その個人識別情報はハッシュ処理装置2によってハッシュ処理された後、検索装置5へ出力される。検索装置5は、ハッシュ処理された個人識別情報に基づいて対応するプライバシー情報を記憶装置4から読み出し、これを入力装置1へ出力するようになっている。
これにより、プライバシー情報を暗号化・復号化する必要がなくなるため、システムのスループット低下を抑えることができ、プライバシー情報の安全を確保しつつ、プライバシー情報の書き込みおよび読み出しを効率良く行うことが可能となり、ユーザに対して迅速に情報を提供することができるようになるというものである。
【0003】
【特許文献1】
特開2002−149497号公報(図1)
【0004】
【発明が解決しようとする課題】
しかし、上記のような情報保護システムでは、アクセス権限を有さない第三者が何らかの手法によりデータベースへの侵入に成功した場合には、暗号化されていない識別情報を含むプライバシー情報が容易に取得されてしまうおそれがあった。
例えば、データベースに格納されたプライバシー情報が、個人名、住所、電話番号等の個人識別情報と、各個人の健康診断結果であった場合には、「何処に在住の某氏の健康状態は〜〜である」といった重大な機密性を要する個人情報が漏洩してしまう危険性を秘めている。
【0005】
そこで、本発明は、個人識別情報等を含む機密情報の漏洩などの危険からより安全に保護することのできる機密情報保護システムおよび機密情報保護方法を提供することを目的とする。
【0006】
【課題を解決するための手段】
前記目的を達成するために、本願発明に係る機密情報保護システムは、識別情報を含まない機密情報と、該情報に対応して暗号化された第1の暗号情報(例えば第1のハッシュ値)を格納した1または2以上の機密データベースと、前記識別情報と、該識別情報に対応して暗号化された第2の暗号情報(例えば第2のハッシュ値)を格納した識別情報データベースと、認証情報(例えば指紋データ)を入力する入力手段(例えば指紋入力装置)と、前記各データベースから読み出された情報を出力する出力手段と、前記各情報の入出力処理,暗号化処理、認証処理および情報の結合処理を制御する制御手段とを少なくとも備え、前記制御手段は、前記入力手段から入力された前記認証情報から得られる第3の暗号情報(例えば第3のハッシュ値)が前記機密データベースに格納されている第1の暗号情報の何れかと一致すると判定した場合には、当該第1の暗号情報に対応する機密情報を読み出し、前記認証情報から得られる第4の暗号情報(例えば第4のハッシュ値D)が前記識別情報データベースに格納されている第2の暗号情報の何れかと一致すると判定した場合には、当該第2の暗号情報に対応する識別情報を読み出し、読み出された前記機密情報と、前記識別情報とを結合させて識別可能な機密情報として前記出力手段から出力させるように構成した。
【0007】
機密データベースと識別情報データベースとは、それぞれ別個の記憶装置(例えば、ハードディスク等)に個別に形成してもよいし、或いは一つの記憶装置の記憶領域を分割して形成するようにしてもよい。
【0008】
この発明によれば、識別情報を含まない機密情報を格納した1または2以上の機密データベースと、前記識別情報を格納した識別情報データベースとは、それぞれ分離して形成されているので、たとえ第三者が各データベースに不正に侵入したとしても、識別不能な機密情報(例えば、何処の誰のか不明な健康診断結果)や、識別情報(例えば、患者名などの氏名等)など単独では余り意味のない情報が取得されるだけで、重要な個人情報(例えば、「……氏の健康診断結果」等)が漏洩する危険を回避することができる。
【0009】
また特に、機密情報に対応付けされる第1の暗号情報と、識別情報に対応付けされる第2の暗号情報とは異なるので、機密データベースと識別情報データベースの両方から不正にデータが抜き出されたような場合であっても上記暗号情報に基づいて機密情報と識別情報を照合することはできず、より一層安全に機密情報を保護することが可能である。
【0010】
なお、データベースへのアクセス権限を有する者が情報を取得しようとする場合には、入力手段から正当な認証情報を入力することにより、当該認証情報から得られる第3の暗号情報が機密データベースに格納されている第1の暗号情報の何れかと一致すると判定され、当該認証情報から得られる第4の暗号情報が識別情報データベースに格納されている第2の暗号情報の何れかと一致すると判定された場合に限り、各データベースから読み出された機密情報と、識別情報とを結合させて識別可能な機密情報として出力手段から出力させることができる。この際に、機密情報および識別情報の復号化処理は不要であるのでシステムのスループットを低下させることなく、迅速に必要な情報を取得することができる。
【0011】
上記発明において、前記機密情報は、個人特定情報を含まないプライバシー情報であり、前記識別情報は、前記利用者の個人特定情報であるようにできる。
また、前記認証情報は、利用者またはデータベースへのアクセス権限を有する情報管理者の指紋等のバイオメトリクス情報であるようにしてもよい。これにより、データベースへのアクセス権限を有しない第三者の不正な侵入を有効に防止することができる。
【0012】
前記バイオメトリクス情報として、顔形、声紋、掌紋、虹彩、静脈パターン、網膜パターン等の身体的特徴に関する情報の何れか一つまたは二つ以上の組み合わせで構成されるようにできる。
前記認証情報は、利用者またはデータベースへのアクセス権限を有する情報管理者毎に定めたパスワード等の個人識別記号、筆跡等でもよい。
【0013】
前記機密データベースおよび識別情報データベースに各情報と対応付けして格納されている第1のハッシュ値および第2のハッシュ値に基づいて元の正当な認証情報を推定(逆算)することはハッシュ関数が有する一方向性より困難であるため、正当な認証情報が入力されて第1および第2のハッシュ値と一致する第3および第4のハッシュ値が生成された場合にのみデータベースにアクセスして情報の閲覧や変更することが可能となる。
特に、異なるハッシュ関数(第1のハッシュ関数と、第2のハッシュ関数)によって生成される第1および第2のハッシュ値は異なるので、機密データベースと識別情報データベースの両方から不正にデータが抜き出されたような場合であっても両ハッシュ値に基づいて機密情報と識別情報を照合することはできず、より一層安全に機密情報を保護することが可能となる。
【0014】
【発明の実施の形態】
以下、本発明の実施の形態を図面に基づいて説明する。
図1は本発明にかかる機密情報保護システムの構成例を示すブロック図、図2〜図4は当該システムで実行されるデータ登録処理の処理手順を示すフローチャート、図5は当該システムで実行されるデータ閲覧処理の処理手順を示すフローチャート、図6は当該システムの運用例を示す説明図である。
これら各図及び後述する各図において、同一の構成は同一の符号を付して、重複した説明を省略する。
【0015】
図1に示すように、本実施形態に係る機密情報保護システムSは、個人特定情報を含むプライバシー情報D1や認証情報D2等の各種データを入力する入力手段1と、入力された個人特定情報を含むプライバシー情報D1を個人特定情報を含まないプライバシー情報D1aと個人特定情報D1bとに分離するデータ分離手段2と、入力されたデータ登録時の認証情報D2(或いはデータ閲覧時の認証情報D3)に基づいてデータ登録用の第1のハッシュ値D2a(或いはデータ閲覧用の第3のハッシュ値D3a)とデータ登録用の第2のハッシュ値D2b(或いはデータ閲覧用の第4のハッシュ値D3b)に変換する第1のハッシュ手段3および第2のハッシュ化手段5と、認証時の第3のハッシュ値D3aに基づいて対応するプライバシー情報を検索する第1の検索手段4と、認証時の第4のハッシュ値D3bに基づいて対応する個人特定情報を検索する第2の検索手段6と、前記第1のハッシュ値D2aと個人特定情報を含まないプライバシー情報D1aを対応させたデータ群G1を格納して機密データベースDB1を形成する記憶装置(例えば、ハードディスク装置)HD1と、前記第2のハッシュ値D2bと個人特定情報D1bを対応させたデータ群G2を格納して識別情報データベースDB2を形成する記憶装置(例えば、ハードディスク装置)HD2と、正当な閲覧処理を経て機密データベースDB1と識別情報データベースDB2から読み出された個人特定情報を含まないプライバシー情報D1aと個人特定情報D1bとを結合させて個人特定情報を含むプライバシー情報D1を生成するデータ結合手段7と、結合生成された個人特定情報を含むプライバシー情報D1を出力するCRT、液晶表示装置等で構成される出力手段8とから構成されている。
【0016】
なお、本実施形態においては、符号2〜7の各手段は、プログラム等を実行するCPU(中央処理装置)、メモリ手段としてのROM(リードオンリメモリ)、RAM(ランダムアクセスメモリ)、HDD(ハードディスク装置)、FDD(フレキシブルディスクドライブ)等から構成されている。
入力手段1は、キーボード、あるいは指紋等、身体的特徴に基づくバイオメトリクス情報を取り込む各種認識装置、筆跡を認識するためのデジタイザやタブレット等で構成される。
なお、本実施形態では、入力手段1としてはキーボードKと指紋入力装置Fを備えるものとする。
【0017】
また、本実施形態では機密データベースDB1は1つであるが、2つ以上のデータベースに分散して機密情報を格納するようにしてもよい。
また、本実施形態では、機密データベースDB1と識別情報データベースDB2を個別の記憶装置HD1,HD2で構成する場合を示したが、これに限らず、例えば1つの記憶装置の記憶領域を論理的に分割してそれぞれの領域に機密データベースDB1と識別情報データベースDB2を形成するようにしてもよい。
また、機密データベースDB1と識別情報データベースDB2に格納されるデータ群G1,G2について、図1では代表値(D1aとD2a、D1bとD2b)のみが記載されているが、実際には複数の個人に関する複数のデータがテーブル形式で格納されている。
【0018】
ここで、図1に基づいてデータの流れを説明する。
まず、データの登録処理過程(処理手順の詳細については後述する)において、キーボードKを介して入力される個人特定情報を含むプライバシー情報(例えば、個人名とその個人に係る健康診断結果の情報)D1は、データ分離手段2によって個人特定情報を含まないプライバシー情報D1a(例えば、個人名を除いた単なる健康診断情報)と個人特定情報D1bに分離される。
【0019】
分離されたプライバシー情報D1aは機密データベースDB1の所定領域に、個人特定情報D1bは識別情報データベースDB2の所定領域に、それぞれ格納される。
次いで、指紋入力装置Fから入力される機密情報取扱者(利用者本人あるいはアクセス権限を有する情報管理者等)の指紋を読みとって数値化した認証情報D2を第1のハッシュ化手段3および第2のハッシュ化手段5に入力する。
【0020】
第1のハッシュ化手段3と第2のハッシュ化手段5は、それぞれが異なるハッシュ関数に基づいて認証情報D2の第1および第2のハッシュ値(メッセージダイジェスト)D2a,D2bを生成する。そして、第1のハッシュ値D2aは前述のプライバシー情報D1aと対応付けされて機密データベースDB1の所定領域に格納され、第2のハッシュ値D2bは前述の個人特定情報D1bと対応付けされて識別情報データベースDB2の所定領域に格納される。
【0021】
上述のように、個人特定情報を含まないプライバシー情報D1aを格納した機密データベースDB1と、各機密情報に対応する個人特定情報D1bを格納した識別情報データベースDB2とは、それぞれ分離して構成されている。従って、第三者が各データベースに不正に侵入したとしても、識別不能な機密情報(即ち、何処の誰のか不明な健康診断結果)や、個人特定情報(例えば、個人名)など単独では余り意味のない情報が取得されるだけで済み、重要な個人情報(例えば、「……氏の健康診断結果」等)が漏洩する危険を回避することができる。
【0022】
ここで、機密データベースDB1および識別情報データベースDB2に各情報と対応付けして格納されている第1のハッシュ値D2aおよび第2のハッシュ値D2bに基づいて元の正当な認証情報を推定(逆算)することはハッシュ関数が有する一方向性より困難である。
【0023】
よって、個人特定情報を含まないプライバシー情報D1aに対応付けされる第1のハッシュ値D2aと、個人特定情報に対応付けされる第2のハッシュ値D2bとは上述のように異なるので、機密データベースDB1と識別情報データベースDB2の両方から不正にデータが抜き出されたような場合であっても上記ハッシュ値D2a,D2bに基づいてプライバシー情報と個人特定情報を照合することはできず(即ち、どの健康診断結果が誰のものであるかを特定することはできず)、より一層安全にプライバシー情報を保護することが可能である。
【0024】
一方、正当な手順によってデータを閲覧したい場合には、データの閲覧処理過程(処理手順の詳細については後述する)において、指紋入力装置Fから入力される機密情報取扱者の指紋を読みとって数値化した認証情報D3を第1のハッシュ化手段3および第2のハッシュ化手段5に入力する。
第1のハッシュ化手段3と第2のハッシュ化手段5は、それぞれが備えるハッシュ関数に基づいて認証情報D3の第3および第4のハッシュ値(メッセージダイジェスト)D3a,D3bを生成する。
【0025】
そして、第3のハッシュ値D3aは、第1の検索手段4に入力され、機密データベースDB1内のデータを検索して、第3のハッシュ値D3aと一致する第1のハッシュ値D2aの有無を確認する。一致する第1のハッシュ値D2aを発見した場合には、そのハッシュ値D2aに対応するプライバシー情報D1aを読み出してデータ結合手段7に入力する。
【0026】
また、第4のハッシュ値D3bは、第2の検索手段6に入力され、識別情報データベースDB2内のデータを検索して、第4のハッシュ値D3bと一致する第2のハッシュ値D2bの有無を確認する。一致する第2のハッシュ値D2bを発見した場合には、そのハッシュ値D2aに対応する個人特定情報D1bを読み出してデータ結合手段7に入力する。
【0027】
データ結合手段7は、読み出されたプライバシー情報D1aと個人特定情報D1bを結合して、例えば、「……氏の健康診断結果」という特定情報を含むプライバシー情報D1を生成して出力手段8に出力する。
これにより、CRTや液晶表示装置等で構成される出力手段8に所望のプライバシー情報D1を表示出力させて閲覧することができる。
【0028】
次に、図2〜図4のフローチャートを参照して、上述の機密情報保護システムSにおけるデータ登録処理の処理手順について説明する。
【0029】
まず、この処理が開始されるとステップS1で指紋入力装置Fを介してオペレータの指紋を入力する。
次いで、ステップS2で認識した指紋が予め登録されている指紋データと一致するか否かの指紋チェックが行われ、一致しないと判断された場合にはアクセス権限が無いと判断してステップS1に戻り、他のオペレータの指紋の入力待ちの状態となる。
また、指紋データが一致すると判断された場合にはステップS3に移行して処理を終了するか否かが判断され、Noの場合にはステップS4に移行し、Yesの場合には処理を終了する。
【0030】
前記ステップS4では、機密情報取扱者のバイオメトリクス情報の一つである指紋データD2を指紋入力装置Fを介して入力する。
【0031】
次にステップ5に進み、演算処理その1のサブルーチンにジャンプし、その処理の終了後にステップ6に進み、演算処理その2のサブルーチンにジャンプし、その処理の終了後に前記ステップ3に戻る。
【0032】
前記演算処理その1の処理が開始されると、ステップS100とステップS104との間でステップS101〜S103までの処理を、機密情報のデータ数分繰り返して実行する。
【0033】
まず、ステップS101では、認証情報としての指紋データD2に対して第1のハッシュ化手段3と第2のハッシュ化手段5で第1のハッシュ値D2aおよび第2のハッシュ値D2bを生成する演算処理を行ってステップS102に移行する。
このステップS102では、演算処理データとしての第1のハッシュ値D2aおよび第2のハッシュ値D2bに基づいて、第1の検索手段4および第2の検索手段6を介して機密データベースDB1から機密情報としてのプライバシー情報D1aを、識別情報データベースDB2から個人特定情報D1bをそれぞれ検索し、データ結合手段7を介して個人特定情報を含むプライバシー情報D1(例えば、「……氏の健康診断結果」等)を生成してステップS103に進む。
【0034】
ステップS103では、個人特定情報を含むプライバシー情報D1をディスプレイで構成される出力手段8に表示させて、機密情報のデータ数分に達した時点でループを終了して、前記メインルーチンにリターンする。
【0035】
次に前記演算処理その2の処理が開始されると、キーボードKを介して個人特定情報を含むプライバシー情報D1を入力する。この際に、データ分離手段2によって、個人特定情報を含まないプライバシー情報D1aと個人特定情報D1bに分離する。
次いで、ステップS201とステップS205との間でステップS202〜S204の処理を機密情報のデータ数分繰り返して実行する。
【0036】
まずステップS202では、認証情報としての指紋データD2に対して第1のハッシュ化手段3と第2のハッシュ化手段5で第1のハッシュ値D2aおよび第2のハッシュ値D2bを生成する演算処理を行ってステップS203に移行する。
このステップS203では、第1のハッシュ値D2aと共にステップSS201で分離した個人特定情報を含まないプライバシー情報D1aを機密データベースDB1に仮登録し、第2のハッシュ値D2bと共にステップSS201で分離した個人特定情報D1bを識別情報データベースDB2に仮登録してステップS204に進む。
【0037】
このステップS204では、データ登録が完了したか否かを判断し、Yesの場合にはループを終了してステップS206に移行する。一方、Noの場合にはステップS207に移行して、各データの登録の取り消し処理を行いステップS208に移行して「登録を中止します」等の警告メッセージを出力手段8に表示した後、図2のデータ登録処理のメインルーチンにリターンする。
【0038】
また、ステップS206では、各登録データを確定処理を行った後、図2のデータ登録処理のメインルーチンにリターンする。
【0039】
以上のデータ登録処理の実行により、図6に示すように機密データベースDB1に、例えば「鈴木太郎氏の指紋データの第1のハッシュ値」と対応する「無記名の健康診断結果データ」(即ち、個人特定情報を含まないプライバシー情報)、「佐藤次郎氏の指紋データの第1のハッシュ値」と対応する「無記名の健康診断結果データ」、「田中三郎氏の指紋データの第1のハッシュ値」と対応する「無記名の健康診断結果データ」等の複数のプライバシー情報がテーブル形式で登録される。
【0040】
次に、図5のフローチャートを参照して、データ閲覧処理の処理手順について説明する。
この処理が開始されると、まずステップS300で指紋入力装置Fを介してオペレータの指紋データを入力する。
次に、ステップS301で認識した指紋が予め登録されている指紋データと一致するか否かの指紋チェックが行われ、一致しないと判定された場合にはアクセス権限が無いと判断してステップS300に戻り、他のオペレータの指紋データの入力待ちの状態となる。
【0041】
一方、指紋データが一致すると判定された場合にはステップS302に移行して処理を終了するか否かが判定され、Noの場合には前記演算処理その1のサブルーチンS5にジャンプし、図3に示した処理と同様の処理が行われ、機密情報のデータ数分に達した時点でループを終了して、図5のデータ閲覧処理のメインルーチンにリターンする。
一方、前記ステップ302においてYesの場合には処理を終了する。
【0042】
以上のデータ閲覧処理の実行により、図6に示すように、例えばシステムSのオペレータがアクセス権限を有する鈴木太郎氏である場合に、鈴木太郎氏の指紋データの第3のハッシュ値D3aと機密データベースDB1に格納された指紋データの第1のハッシュ値D2aが比較され、一致した場合には対応する「無記名の健康診断結果データ」が読み出される。
また、鈴木太郎氏の指紋データの第4のハッシュ値D3bと識別情報データベースDB2に格納された指紋データの第2のハッシュ値D2bが比較され、一致した場合には対応する「氏名データ:鈴木太郎」が読み出される。
そして、データ結合手段7により個人特定情報を含むプライバシー情報D1が生成され、CRTや液晶表示装置で構成される出力手段8の画面上に、例えば「鈴木太郎氏の健康診断結果:1.病気履歴……,2.血圧……,3.中性脂肪……等」のプライバシー情報の詳細が表示される。このように、アクセス権限を有する者にみが所定のプライバシー情報を閲覧することができるので、高い機密性を保証することができる。
【0043】
以上説明したように本実施形態に係る機密情報保護システムSによれば、個人特定情報を含まないプライバシー情報D1aを格納した機密データベースDB1と、各機密情報に対応する個人特定情報D1bを格納した識別情報データベースDB2とは、それぞれ分離して形成されているので、たとえ第三者が各データベースに不正に侵入したとしても、識別不能な機密情報(即ち、何処の誰のか不明な無記名の健康診断結果)や、個人特定情報(例えば、佐藤次郎,田中三郎等の個人名)など単独では余り意味のない情報が取得されるだけで済み、重要な個人情報が漏洩する危険を回避することができる。
【0044】
また、個人特定情報を含まないプライバシー情報D1aに対応付けされる第1のハッシュ値D2aと、個人特定情報に対応付けされる第2のハッシュ値D2bとは異なるので、機密データベースDB1と識別情報データベースDB2の両方から不正にデータが抜き出されたような場合であってもハッシュ値D2a,D2bに基づいてプライバシー情報と個人特定情報を照合することはできず(即ち、どの健康診断結果が誰のものであるかを特定することはできず)、より一層安全にプライバシー情報を保護することが可能である。
【0045】
さらに、データベースへのアクセス権限を有する者が情報を取得しようとする場合には、入力手段1から正当な認証情報(指紋データ等)D3を入力することにより、当該認証情報から得られる第3のハッシュ値D3aが機密データベースDB1に格納されている第1のハッシュ値D2aの何れかと一致すると判定され、当該認証情報から得られる第4のハッシュ値D3bが識別情報データベースDB2に格納されている第2のハッシュ値D2bの何れかと一致すると判定された場合に限り、各データベースから読み出されたプライバシー情報D1aと個人特定情報D1bとを結合させて識別可能なプライバシー情報として出力手段8から出力させることができる。
【0046】
なお、本実施形態では、機密データベースDB1にプライバシー情報としての健康診断結果データを格納する場合について述べたが、これに限定されず、個人、法人等の所定の識別情報に対応する秘匿性を要するデータであれば何であっても本システムを適用して保護することが可能である。
【0047】
【発明の効果】
本発明によれば、たとえ第三者が各データベースに不正に侵入したとしても、識別不能な機密情報(例えば、何処の誰のか不明な健康診断結果)や、識別情報(例えば、患者名などの氏名等)など単独では余り意味のない情報が取得されるだけで済み、重要な個人情報(例えば、「……氏の健康診断結果」等)が漏洩する危険を回避することができる。
また、識別情報を含まない複数の機密情報に対応付けされる第1の暗号情報と、識別情報に対応付けされる第2の暗号情報とは異なるので、機密データベースと識別情報データベースの両方から不正にデータが抜き出されたような場合であっても上記暗号情報に基づいて機密情報と識別情報を照合することはできず、より一層安全に機密情報を保護することができる。
【図面の簡単な説明】
【図1】本発明にかかる機密情報保護システムの構成例を示すブロック図、
【図2】同システムのプログラム流れ図、
【図3】同システムのプログラム流れ図、
【図4】同システムのプログラム流れ図、
【図5】同システムプログラム流れ図、
【図6】同システムの運用例を示す説明図である。
【符号の説明】
S 機密情報保護システム
1 入力手段(キーボードK,指紋入力装置F)
2 データ分離手段 3 第1のハッシュ化手段
4 第1の検索手段 5 第2のハッシュ化手段
6 第2の検索手段 7 データ結合手段
8 出力手段 C マイクロコンピュータ
DB1 機密データベース
DB2 識別情報データベース
G1,G2 データ群
HD1,HD2 ハードディスク装置
D1 個人特定情報を含むプライバシー情報
D1a 個人特定情報を含まないプライバシー情報
D1b 個人特定情報
D2,D3 認証情報(指紋データ)
D2a 認証情報の第1のハッシュ値
D2b 認証情報の第2のハッシュ値
D3a 認証情報の第3のハッシュ値
D3b 認証情報の第4のハッシュ値[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a confidential information protection system and a confidential information protection method in which confidential information such as personal privacy information is safely protected from unauthorized acquisition or leakage by a third party.
[0002]
[Prior art]
Conventionally, as a technique for protecting confidential information such as personal privacy information, privacy information itself is not encrypted, but is stored in a database in association with separately encrypted predetermined information, and input predetermined information is stored in a database. There has been proposed an information protection system that is configured to output the corresponding privacy information only when they match, and that does not require the privacy information decoding process (for example, see Patent Document 1).
More specifically, as shown in FIG. 1 of Patent Literature 1, privacy information (for example, a health check result or the like) input by a user via an input device 1 is output to a coupling device 3 and a personal information such as a password is output. The identification information is output to the hash value calculation device 2.
The combining device 3 associates the privacy information with the personal identification information hash-converted by the hash processing device 102 and stores the personal information in the storage device 4.
Then, when reading the privacy information, when personal identification information such as a password is input from the input device 1, the personal identification information is hashed by the hash processing device 2 and then output to the search device 5. The search device 5 reads the corresponding privacy information from the storage device 4 based on the hashed personal identification information, and outputs this to the input device 1.
This eliminates the need to encrypt / decrypt the privacy information, thereby suppressing a decrease in the system throughput, and making it possible to write and read the privacy information efficiently while ensuring the security of the privacy information. Thus, information can be promptly provided to the user.
[0003]
[Patent Document 1]
JP-A-2002-149497 (FIG. 1)
[0004]
[Problems to be solved by the invention]
However, in the information protection system described above, if a third party who does not have the access right succeeds in invading the database by some method, privacy information including unencrypted identification information can be easily obtained. There was a risk of being done.
For example, if the privacy information stored in the database is personal identification information such as an individual's name, address, telephone number, and the like, and a result of a medical checkup for each individual, "where is the health status of a certain resident? The risk is that personal information that requires significant confidentiality will be leaked.
[0005]
Accordingly, an object of the present invention is to provide a confidential information protection system and a confidential information protection method that can more securely protect against danger such as leakage of confidential information including personal identification information.
[0006]
[Means for Solving the Problems]
In order to achieve the above object, a confidential information protection system according to the present invention provides a confidential information that does not include identification information, and first encrypted information (for example, a first hash value) encrypted corresponding to the information. One or two or more confidential databases storing the identification information, the identification information database storing second encryption information (for example, a second hash value) encrypted corresponding to the identification information, Input means (for example, fingerprint input device) for inputting information (for example, fingerprint data), output means for outputting information read from each of the databases, input / output processing of each of the information, encryption processing, authentication processing, At least control means for controlling a process of combining information, wherein the control means includes third encryption information (for example, third hash information) obtained from the authentication information input from the input means. ) Is determined to match any one of the first cryptographic information stored in the confidential database, the confidential information corresponding to the first cryptographic information is read, and the fourth cryptographic information obtained from the authentication information is read. When it is determined that the information (for example, the fourth hash value D) matches any one of the second encryption information stored in the identification information database, the identification information corresponding to the second encryption information is read, The read confidential information and the identification information are combined and output from the output unit as identifiable confidential information.
[0007]
The confidential database and the identification information database may be individually formed in separate storage devices (for example, hard disks), or may be formed by dividing the storage area of one storage device.
[0008]
According to the present invention, one or more confidential databases storing confidential information not including identification information and the identification information database storing the identification information are formed separately from each other. Even if a person illegally invades each database, it cannot be used alone to identify unrecognizable confidential information (for example, a result of a medical checkup where it is unknown) or identification information (for example, the name of a patient). Only by obtaining the missing information, it is possible to avoid the danger of leaking important personal information (for example, “results of health examination of...”).
[0009]
Particularly, since the first encryption information associated with the confidential information is different from the second encryption information associated with the identification information, data is illegally extracted from both the confidential database and the identification information database. Even in such a case, the confidential information and the identification information cannot be collated based on the cipher information, and the confidential information can be protected further more safely.
[0010]
In the case where a person who has access authority to the database attempts to obtain information, by inputting valid authentication information from the input means, the third encryption information obtained from the authentication information is stored in the confidential database. Is determined to match any one of the first encrypted information, and it is determined that the fourth encrypted information obtained from the authentication information matches any of the second encrypted information stored in the identification information database. In this case, the secret information read from each database and the identification information can be combined and output from the output unit as identifiable secret information. At this time, since the decryption process of the confidential information and the identification information is unnecessary, necessary information can be quickly acquired without lowering the throughput of the system.
[0011]
In the above invention, the confidential information may be privacy information that does not include personal identification information, and the identification information may be personal identification information of the user.
In addition, the authentication information may be biometric information such as a fingerprint of a user or an information manager who has access authority to a database. As a result, unauthorized intrusion by a third party who does not have access to the database can be effectively prevented.
[0012]
The biometric information may be constituted by any one or a combination of two or more of information on physical characteristics such as a face shape, a voiceprint, a palmprint, an iris, a vein pattern, and a retinal pattern.
The authentication information may be a personal identification symbol such as a password or a handwriting determined for each user or information manager who has access authority to the database.
[0013]
Estimating (back-calculating) the original valid authentication information based on the first hash value and the second hash value stored in the confidential database and the identification information database in association with each information is performed by a hash function. Since it is more difficult than the one-way method, the database is accessed only when valid authentication information is input and the third and fourth hash values that match the first and second hash values are generated. Can be viewed and changed.
In particular, since the first and second hash values generated by different hash functions (the first hash function and the second hash function) are different, data is illegally extracted from both the confidential database and the identification information database. Even in such a case, the confidential information and the identification information cannot be collated based on the two hash values, and the confidential information can be protected more safely.
[0014]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 is a block diagram showing a configuration example of a confidential information protection system according to the present invention, FIGS. 2 to 4 are flowcharts showing processing procedures of data registration processing executed by the system, and FIG. 5 is executed by the system. FIG. 6 is a flowchart showing the procedure of the data browsing process, and FIG. 6 is an explanatory diagram showing an operation example of the system.
In these drawings and the drawings described later, the same components are denoted by the same reference numerals, and redundant description will be omitted.
[0015]
As shown in FIG. 1, a confidential information protection system S according to the present embodiment includes an input unit 1 for inputting various data such as privacy information D1 and authentication information D2 including personal identification information, and The data separating means 2 for separating the privacy information D1 including the privacy information D1a and the personal identification information D1b not including the personal identification information, and the authentication information D2 at the time of data registration (or the authentication information D3 at the time of data browsing). Based on the first hash value D2a for data registration (or the third hash value D3a for data browsing) and the second hash value D2b for data registration (or fourth hash value D3b for data browsing), The first hash means 3 and the second hash means 5 for conversion and the privacy corresponding to the third hash value D3a at the time of authentication. First search means 4 for searching for information, second search means 6 for searching for corresponding personal identification information based on the fourth hash value D3b at the time of authentication, and the first hash value D2a and the personal identification. A storage device (for example, a hard disk device) HD1 that stores a data group G1 corresponding to privacy information D1a containing no information and forms a confidential database DB1, associates the second hash value D2b with personal identification information D1b. (For example, a hard disk drive) HD2 that stores the data group G2 and forms the identification information database DB2, and includes the personal identification information read from the confidential database DB1 and the identification information database DB2 through a legitimate browsing process. Privacy information D1a and personal identification information D1b are combined with privacy information including personal identification information. And data combining means 7 for generating information D1, CRT that outputs the privacy information D1 including personal identification information combined generated, and an output unit 8 Metropolitan constituted by a liquid crystal display device or the like.
[0016]
In the present embodiment, means 2 to 7 are a CPU (Central Processing Unit) for executing programs and the like, a ROM (Read Only Memory) as a memory means, a RAM (Random Access Memory), a HDD (Hard Disk) Device), FDD (flexible disk drive) and the like.
The input unit 1 includes a keyboard, various kinds of recognition devices that take in biometric information based on physical characteristics such as fingerprints, a digitizer and a tablet for recognizing handwriting.
In this embodiment, the input means 1 includes a keyboard K and a fingerprint input device F.
[0017]
Further, in the present embodiment, the confidential database DB1 is one, but confidential information may be stored in two or more databases in a distributed manner.
In the present embodiment, the case where the confidential database DB1 and the identification information database DB2 are configured by the individual storage devices HD1 and HD2 has been described. However, the present invention is not limited to this. For example, the storage area of one storage device is logically divided. Then, a confidential database DB1 and an identification information database DB2 may be formed in each area.
Although only representative values (D1a and D2a, D1b and D2b) are described in FIG. 1 for data groups G1 and G2 stored in the confidential database DB1 and the identification information database DB2, actually, a plurality of individuals are involved. Multiple data are stored in a table format.
[0018]
Here, the flow of data will be described with reference to FIG.
First, in the data registration process (details of the processing procedure will be described later), privacy information including personal identification information input via the keyboard K (for example, personal name and information on a health check result relating to the individual) The data D1 is separated by the data separating means 2 into privacy information D1a not containing personal identification information (for example, mere health examination information excluding a personal name) and personal identification information D1b.
[0019]
The separated privacy information D1a is stored in a predetermined area of the confidential database DB1, and the personal identification information D1b is stored in a predetermined area of the identification information database DB2.
Next, the fingerprint information of the confidential information handler (user or an information manager having access authority) input from the fingerprint input device F is read and digitized, and the authentication information D2 is digitized and converted into first hashing means 3 and second authentication means D2. Is input to the hashing means 5.
[0020]
The first hashing means 3 and the second hashing means 5 generate first and second hash values (message digests) D2a and D2b of the authentication information D2 based on different hash functions. Then, the first hash value D2a is stored in a predetermined area of the confidential database DB1 in association with the above-mentioned privacy information D1a, and the second hash value D2b is associated with the above-mentioned individual identification information D1b in the identification information database. It is stored in a predetermined area of DB2.
[0021]
As described above, the confidential database DB1 storing the privacy information D1a not including the personal identification information and the identification information database DB2 storing the personal identification information D1b corresponding to each confidential information are separately configured. . Therefore, even if a third party illegally intrudes into each database, it cannot be used alone because it is difficult to identify confidential information that cannot be identified (that is, a result of a medical examination in which the where is unknown) or personal identification information (for example, personal name). It is only necessary to obtain information without the information, and it is possible to avoid the danger of leaking important personal information (for example, “results of health examination of...”).
[0022]
Here, the original valid authentication information is estimated (back calculation) based on the first hash value D2a and the second hash value D2b stored in the confidential database DB1 and the identification information database DB2 in association with each information. Doing so is more difficult than the one-way property of a hash function.
[0023]
Therefore, the first hash value D2a associated with the privacy information D1a that does not include the personal identification information and the second hash value D2b associated with the personal identification information are different as described above. Even if data is illegally extracted from both the ID information database DB2 and the identification information database DB2, the privacy information and the personal identification information cannot be collated based on the hash values D2a and D2b (that is, which health It is impossible to identify who the diagnosis result belongs to), and it is possible to protect the privacy information more safely.
[0024]
On the other hand, if the user wants to browse the data by a legitimate procedure, the fingerprint of the confidential information handler input from the fingerprint input device F is read and digitized in the data browsing process (details of the processing procedure will be described later). The obtained authentication information D3 is input to the first hashing means 3 and the second hashing means 5.
The first hashing unit 3 and the second hashing unit 5 generate third and fourth hash values (message digests) D3a and D3b of the authentication information D3 based on the respective hash functions.
[0025]
Then, the third hash value D3a is input to the first search means 4, and searches the data in the confidential database DB1 to confirm the presence or absence of the first hash value D2a that matches the third hash value D3a. I do. When the matching first hash value D2a is found, the privacy information D1a corresponding to the hash value D2a is read and input to the data combining means 7.
[0026]
Further, the fourth hash value D3b is input to the second search means 6, which searches data in the identification information database DB2 to determine whether or not there is a second hash value D2b that matches the fourth hash value D3b. Confirm. When a matching second hash value D2b is found, the personal identification information D1b corresponding to the hash value D2a is read and input to the data combining means 7.
[0027]
The data combining unit 7 combines the read privacy information D1a and the personal identification information D1b to generate, for example, privacy information D1 including the specific information “Mr. Output.
As a result, the desired privacy information D1 can be displayed and viewed on the output unit 8 including a CRT, a liquid crystal display device, or the like for viewing.
[0028]
Next, the processing procedure of the data registration processing in the above-described confidential information protection system S will be described with reference to the flowcharts of FIGS.
[0029]
First, when this process is started, the fingerprint of the operator is input via the fingerprint input device F in step S1.
Next, a fingerprint check is performed to determine whether or not the fingerprint recognized in step S2 matches the fingerprint data registered in advance. If it is determined that the fingerprint does not match, it is determined that there is no access right, and the process returns to step S1. , Waiting for the input of the fingerprint of another operator.
If it is determined that the fingerprint data matches, the process proceeds to step S3 to determine whether or not to end the process. If No, the process proceeds to step S4, and if Yes, the process ends. .
[0030]
In step S4, the fingerprint data D2, which is one of the biometrics information of the confidential information handler, is input via the fingerprint input device F.
[0031]
Next, the process proceeds to step 5 and jumps to the subroutine of the calculation process 1 and proceeds to step 6 after the process is completed, jumps to the subroutine of the calculation process 2 and returns to step 3 after the process is completed.
[0032]
When the processing of the first calculation processing is started, the processing of steps S101 to S103 is repeated between step S100 and step S104 for the number of data of the confidential information.
[0033]
First, in step S101, a first hash value D2a and a second hash value D2b are generated by the first hashing means 3 and the second hashing means 5 for fingerprint data D2 as authentication information. And the process moves to step S102.
In this step S102, based on the first hash value D2a and the second hash value D2b as the operation processing data, the confidential database DB1 receives the confidential information from the confidential database DB1 via the first searching means 4 and the second searching means 6. The personal information D1b is searched from the identification information database DB2, and the privacy information D1 including the personal identification information (for example, “health check result of Mr....”) Is retrieved via the data combining means 7. Generate and proceed to step S103.
[0034]
In step S103, the privacy information D1 including the personal identification information is displayed on the output means 8 composed of a display, and when the number of data of the confidential information is reached, the loop is terminated and the process returns to the main routine.
[0035]
Next, when the second calculation process is started, privacy information D1 including personal identification information is input via the keyboard K. At this time, the data separating unit 2 separates the privacy information D1a and the personal identification information D1b that do not include the personal identification information.
Next, the processing of steps S202 to S204 is repeated between step S201 and step S205 for the number of pieces of confidential information data.
[0036]
First, in step S202, the first hashing means 3 and the second hashing means 5 generate a first hash value D2a and a second hash value D2b for fingerprint data D2 as authentication information. Go to step S203.
In this step S203, the privacy information D1a not including the personal identification information separated in step SS201 is temporarily registered in the confidential database DB1 together with the first hash value D2a, and the personal identification information separated in step SS201 together with the second hash value D2b. D1b is temporarily registered in the identification information database DB2, and the process proceeds to step S204.
[0037]
In this step S204, it is determined whether or not the data registration has been completed, and in the case of Yes, the loop is ended and the routine goes to step S206. On the other hand, in the case of No, the process shifts to step S207 to cancel the registration of each data, shifts to step S208, and displays a warning message such as "Cancel registration" on the output means 8, and then returns to FIG. The process returns to the main routine of the data registration process of No. 2.
[0038]
In step S206, after the registration data is determined, the process returns to the main routine of the data registration process of FIG.
[0039]
By executing the above data registration process, as shown in FIG. 6, for example, “unsigned health examination result data” corresponding to “first hash value of fingerprint data of Taro Suzuki” (ie, individual "Privacy information not containing specific information", "the first hash value of Jiro Sato's fingerprint data" and "the anonymous health check result data" and "the first hash value of Mr. Saburo Tanaka's fingerprint data" A plurality of pieces of privacy information such as “unregistered medical examination result data” are registered in a table format.
[0040]
Next, the processing procedure of the data browsing processing will be described with reference to the flowchart of FIG.
When this process is started, first, fingerprint data of the operator is input via the fingerprint input device F in step S300.
Next, a fingerprint check is performed to determine whether or not the fingerprint recognized in step S301 matches the fingerprint data registered in advance. If it is determined that the fingerprint does not match, it is determined that there is no access right, and the process proceeds to step S300. Then, the operation waits for input of fingerprint data of another operator.
[0041]
On the other hand, if it is determined that the fingerprint data matches, the process proceeds to step S302 to determine whether or not to end the process. If No, the process jumps to the subroutine S5 of the first calculation process and returns to FIG. The same processing as the processing shown is performed, and when the number of data of the confidential information has been reached, the loop is ended, and the process returns to the main routine of the data browsing processing of FIG.
On the other hand, if Yes in step 302, the process ends.
[0042]
By performing the above data browsing process, as shown in FIG. 6, if the operator of the system S is Mr. Taro Suzuki who has access authority, for example, the third hash value D3a of the fingerprint data of Mr. Taro Suzuki and the secret database The first hash values D2a of the fingerprint data stored in DB1 are compared, and if they match, the corresponding “unsigned health examination result data” is read.
Further, the fourth hash value D3b of the fingerprint data of Taro Suzuki is compared with the second hash value D2b of the fingerprint data stored in the identification information database DB2, and if they match, the corresponding “name data: Taro Suzuki” Is read.
Then, the privacy information D1 including the personal identification information is generated by the data combining means 7, and, for example, "The medical examination result of Taro Suzuki: 1. Disease history" is displayed on the screen of the output means 8 composed of a CRT or a liquid crystal display device. , 2. blood pressure, 3. neutral fat, etc. ". As described above, only the person having the access right can browse the predetermined privacy information, so that high confidentiality can be guaranteed.
[0043]
As described above, according to the confidential information protection system S according to the present embodiment, the confidential database DB1 storing the privacy information D1a that does not include the personal identification information, and the identification storing the personal identification information D1b corresponding to each confidential information. Since the information database DB2 is formed separately from each other, even if a third party illegally invades each database, unidentifiable confidential information (that is, the result of anonymous medical checkup whose location is unknown is unknown). ) Or personal identification information (for example, personal names such as Jiro Sato and Saburo Tanaka) alone, it is only necessary to obtain information that has little meaning, and it is possible to avoid the danger of leaking important personal information.
[0044]
Further, since the first hash value D2a associated with the privacy information D1a not including the personal identification information is different from the second hash value D2b associated with the personal identification information, the confidential database DB1 and the identification information database Even when data is illegally extracted from both the DB2, the privacy information and the personal identification information cannot be collated based on the hash values D2a and D2b (that is, which health check result indicates The privacy information cannot be specified), and the privacy information can be more securely protected.
[0045]
Further, when a person who has access authority to the database attempts to acquire information, the user inputs valid authentication information (fingerprint data or the like) D3 from the input means 1 so that the third information obtained from the authentication information can be obtained. It is determined that the hash value D3a matches any one of the first hash values D2a stored in the confidential database DB1, and the fourth hash value D3b obtained from the authentication information is stored in the identification information database DB2. The privacy information D1a read from each database and the personal identification information D1b can be combined and output from the output means 8 as identifiable privacy information only when it is determined that the hash value D2b matches any one of the hash values D2b. it can.
[0046]
In the present embodiment, a case has been described in which health check result data as privacy information is stored in the confidential database DB1, but the present invention is not limited to this, and confidentiality corresponding to predetermined identification information such as an individual or a corporation is required. It is possible to protect any data as long as this system is applied.
[0047]
【The invention's effect】
According to the present invention, even if a third party illegally invades each database, unidentifiable confidential information (for example, a medical examination result of unknown where or who) is identified or identification information (for example, patient name, etc.). It is only necessary to obtain information that is meaningless by itself, such as name, etc., and it is possible to avoid the danger of leaking important personal information (for example, “health check result of Mr....”).
Further, since the first encryption information associated with a plurality of pieces of confidential information that does not include identification information is different from the second encryption information associated with the identification information, illegal information is obtained from both the confidential database and the identification information database. Even if the data is extracted in the first place, the confidential information and the identification information cannot be collated based on the cipher information, and the confidential information can be protected more safely.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration example of a confidential information protection system according to the present invention;
FIG. 2 is a program flow chart of the system,
FIG. 3 is a program flow chart of the system,
FIG. 4 is a program flow chart of the system,
FIG. 5 is a flowchart of the system program,
FIG. 6 is an explanatory diagram showing an operation example of the system.
[Explanation of symbols]
S confidential information protection system
1. Input means (keyboard K, fingerprint input device F)
2 data separating means 3 first hashing means
4 First search means 5 Second hashing means
6 Second search means 7 Data combining means
8 output means C microcomputer
DB1 confidential database
DB2 identification information database
G1, G2 data group
HD1, HD2 hard disk drive
D1 Privacy information including personal identification information
D1a Privacy information without personal identification information
D1b Personal identification information
D2, D3 Authentication information (fingerprint data)
D2a First hash value of authentication information
D2b Second hash value of authentication information
D3a Third hash value of authentication information
D3b Fourth hash value of authentication information

Claims (5)

識別情報を含まない機密情報と、該情報に対応して暗号化された第1の暗号情報を格納した1または2以上の機密データベースと、
前記識別情報と、該識別情報に対応して暗号化された第2の暗号情報を格納した識別情報データベースと、
認証情報を入力する入力手段と、
前記各データベースから読み出された情報を出力する出力手段と、
前記各情報の入出力処理,暗号化処理、認証処理および情報の結合処理を制御する制御手段とを少なくとも備え、
前記制御手段は、前記入力手段から入力された前記認証情報から得られる第3の暗号情報が前記機密データベースに格納されている第1の暗号情報の何れかと一致すると判定した場合には、当該第1の暗号情報に対応する機密情報を読み出し、
前記認証情報から得られる第4の暗号情報が前記識別情報データベースに格納されている第2の暗号情報の何れかと一致すると判定した場合には、当該第2の暗号情報に対応する識別情報を読み出し、
読み出された前記機密情報と、前記識別情報とを結合させて、識別可能な機密情報として前記出力手段から出力させることを特徴とする機密情報保護システム。Confidential information not containing identification information, one or more confidential databases storing first encrypted information corresponding to the information,
The identification information, an identification information database storing second encrypted information encrypted corresponding to the identification information,
Input means for inputting authentication information;
Output means for outputting information read from each of the databases,
A control unit that controls input / output processing, encryption processing, authentication processing, and information combining processing of the information,
If the control unit determines that the third encryption information obtained from the authentication information input from the input unit matches any one of the first encryption information stored in the confidential database, Read the confidential information corresponding to the first encrypted information,
If it is determined that the fourth encryption information obtained from the authentication information matches any one of the second encryption information stored in the identification information database, the identification information corresponding to the second encryption information is read. ,
A confidential information protection system, wherein the read confidential information and the identification information are combined and output from the output unit as identifiable confidential information. 前記機密情報は、個人を特定するための個人特定情報を含まない、個人の健康状態に関する情報等のプライバシー情報であり、前記識別情報は、前記個人特定情報であることを特徴とする請求項1に記載の機密情報保護システム。2. The personal information according to claim 1, wherein the confidential information is privacy information such as information on an individual's health condition, which does not include personal identification information for identifying an individual, and the identification information is the personal identification information. Confidential information protection system. 前記認証情報は、利用者またはデータベースへのアクセス権限を有する情報管理者の指紋等のバイオメトリクス情報であることを特徴とする請求項1又は2に記載の機密情報保護システム。3. The confidential information protection system according to claim 1, wherein the authentication information is biometric information such as a fingerprint of a user or an information manager who has access authority to a database. 前記第1の暗号情報および前記第3の暗号情報は、前記認証情報に第1のハッシュ関数を適用して得られる第1のハッシュ値で構成され、前記第2の暗号情報および前記第4の暗号情報は、前記認証情報に第2のハッシュ関数を適用して得られる第2のハッシュ値で構成され、前記第1の暗号情報および前記第3の暗号情報を構成する第1のハッシュ値が一致し、且つ、前記第2の暗号情報および前記第4の暗号情報を構成する第2のハッシュ値が一致した場合にのみ、前記機密情報と前記識別情報とを各データベースから読み出して結合させて識別可能な機密情報として、前記出力手段から出力させることを特徴とする請求項1から請求項3の何れかに記載の機密情報保護システム。The first cryptographic information and the third cryptographic information are configured with a first hash value obtained by applying a first hash function to the authentication information, and the second cryptographic information and the fourth The cryptographic information is configured by a second hash value obtained by applying a second hash function to the authentication information, and the first hash value configuring the first cryptographic information and the third cryptographic information is The secret information and the identification information are read out from each database and combined only when they match, and only when the second hash values constituting the second encryption information and the fourth encryption information match. 4. The confidential information protection system according to claim 1, wherein the confidential information is output from the output unit as identifiable confidential information. 識別情報を含まない機密情報と、該各情報に対応して暗号化された第1の暗号情報を格納し、
前記識別情報と、該識別情報に対応して暗号化された第2の暗号情報を格納し、
入力される認証情報から得られる第3の暗号情報が前記第1の暗号情報の何れかと一致した場合には、当該第1の暗号情報に対応する機密情報を読み出し、
前記認証情報から得られる第4の暗号情報が前記第2の暗号情報の何れかと一致した場合には、当該第2の暗号情報に対応する識別情報を読み出し、
読み出された前記機密情報と、前記識別情報とを結合させて識別可能な機密情報として出力することを特徴とする機密情報保護方法。Storing confidential information that does not include identification information and first encrypted information that is encrypted corresponding to each piece of information;
Storing the identification information and second encryption information encrypted corresponding to the identification information;
When the third encryption information obtained from the input authentication information matches any one of the first encryption information, the confidential information corresponding to the first encryption information is read,
When the fourth encryption information obtained from the authentication information matches any of the second encryption information, the identification information corresponding to the second encryption information is read,
A confidential information protection method comprising: combining the read confidential information and the identification information to output as identifiable confidential information.
JP2003157941A 2003-06-03 2003-06-03 System and method for protecting classified information Pending JP2004362123A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003157941A JP2004362123A (en) 2003-06-03 2003-06-03 System and method for protecting classified information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003157941A JP2004362123A (en) 2003-06-03 2003-06-03 System and method for protecting classified information

Publications (1)

Publication Number Publication Date
JP2004362123A true JP2004362123A (en) 2004-12-24

Family

ID=34051508

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003157941A Pending JP2004362123A (en) 2003-06-03 2003-06-03 System and method for protecting classified information

Country Status (1)

Country Link
JP (1) JP2004362123A (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006244095A (en) * 2005-03-02 2006-09-14 Takaaki Ito Personal identification system avoiding leakage of personal information
KR100919486B1 (en) * 2007-11-06 2009-09-28 고려대학교 산학협력단 Method for aligning concealed fingerprint data using partial geometric hashing, Method for authenticating fingerprint data using partial geometric hashing, Apparatus and System thereof
WO2012043012A1 (en) * 2010-09-28 2012-04-05 日本電気株式会社 Encrypted database system, client terminal, encrypted database server, natural joining method, and program
KR101228362B1 (en) 2008-12-12 2013-02-07 한국전자통신연구원 A fingerprint identifying apparatus and method for registrating a fingerprint and identifying user for the same
JP2015225356A (en) * 2014-05-26 2015-12-14 株式会社ジーンクエスト Gene information providing method, gene information providing program, and gene information providing system
CN110647505A (en) * 2019-08-21 2020-01-03 杭州电子科技大学 Computer-assisted secret point marking method based on fingerprint characteristics

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006244095A (en) * 2005-03-02 2006-09-14 Takaaki Ito Personal identification system avoiding leakage of personal information
JP4697583B2 (en) * 2005-03-02 2011-06-08 琢晃 伊藤 Personal authentication system that avoids leakage of personal information
KR100919486B1 (en) * 2007-11-06 2009-09-28 고려대학교 산학협력단 Method for aligning concealed fingerprint data using partial geometric hashing, Method for authenticating fingerprint data using partial geometric hashing, Apparatus and System thereof
KR101228362B1 (en) 2008-12-12 2013-02-07 한국전자통신연구원 A fingerprint identifying apparatus and method for registrating a fingerprint and identifying user for the same
WO2012043012A1 (en) * 2010-09-28 2012-04-05 日本電気株式会社 Encrypted database system, client terminal, encrypted database server, natural joining method, and program
JP5776696B2 (en) * 2010-09-28 2015-09-09 日本電気株式会社 Encrypted database system, client terminal, encrypted database server, natural join method and program
US9147079B2 (en) 2010-09-28 2015-09-29 Nec Corporation Encrypted database system, client terminal, encrypted database server, natural joining method, and program
JP2015225356A (en) * 2014-05-26 2015-12-14 株式会社ジーンクエスト Gene information providing method, gene information providing program, and gene information providing system
CN110647505A (en) * 2019-08-21 2020-01-03 杭州电子科技大学 Computer-assisted secret point marking method based on fingerprint characteristics
CN110647505B (en) * 2019-08-21 2021-06-29 杭州电子科技大学 Computer-assisted secret point marking method based on fingerprint characteristics

Similar Documents

Publication Publication Date Title
US6317834B1 (en) Biometric authentication system with encrypted models
US8352746B2 (en) Authorized anonymous authentication
CN113536359B (en) Personal health record privacy protection and access system and method based on blockchain
WO2017215504A1 (en) Identity recognition and social information recording method and system based on biological information
JP4900392B2 (en) Information processing apparatus and information management method
US20130318361A1 (en) Encrypting and storing biometric information on a storage device
US20070255963A1 (en) System and method for biometrically secured, transparent encryption and decryption
US20080072066A1 (en) Method and apparatus for authenticating applications to secure services
Castiglione et al. Biometrics in the cloud: challenges and research opportunities
JP2000315999A (en) Cryptographic key generating method
KR20060090167A (en) Systems and methods for managing multiple keys for file encryption and decryption
JPH11143780A (en) Method and device for managing secret information in database
US20060265328A1 (en) Electronic information management system
JP6619401B2 (en) Data search system, data search method, and data search program
KR20140029984A (en) Medical information management method of medical database operating system
US10992681B2 (en) Authentication using blockchains
JP2004362123A (en) System and method for protecting classified information
JP6961414B2 (en) Information leakage prevention device and information leakage prevention program
US20110208974A1 (en) Countermeasure Against Keystroke Logger Devices
JP4521514B2 (en) Medical information distribution system, information access control method thereof, and computer program
JPH1124997A (en) Security method for recording computer generated file and computer readable recording medium to store security program
KR101624394B1 (en) Device for authenticating password and operating method thereof
US9882879B1 (en) Using steganography to protect cryptographic information on a mobile device
CN106682531A (en) Method for confidential data encryption based on biological information authorization
JPH09204401A (en) Data base retrieval system and data base protection method

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050816

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20051213