JP2004362123A - 機密情報保護システム及び機密情報保護方法 - Google Patents
機密情報保護システム及び機密情報保護方法 Download PDFInfo
- Publication number
- JP2004362123A JP2004362123A JP2003157941A JP2003157941A JP2004362123A JP 2004362123 A JP2004362123 A JP 2004362123A JP 2003157941 A JP2003157941 A JP 2003157941A JP 2003157941 A JP2003157941 A JP 2003157941A JP 2004362123 A JP2004362123 A JP 2004362123A
- Authority
- JP
- Japan
- Prior art keywords
- information
- confidential
- identification information
- encryption
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】個人識別情報等を含む機密情報の漏洩などの危険からより安全に保護することのできる機密情報保護システムを提供する。
【解決手段】指紋入力装置Fから入力された指紋データD3から得られる第3のハッシュ値D3aが機密データベースDB1に格納されている第1のハッシュ値D2aの何れかと一致すると判定した場合には、当該第1の暗号情報に対応する機密情報D1aを読み出し、前記認証情報から得られる第4のハッシュ値D3bが識別情報データベースDB2に格納されている第2のハッシュ値D2bの何れかと一致すると判定した場合には、当該第2の暗号情報に対応する識別情報D1bを読み出し、読み出された前記機密情報と、前記識別情報とを結合させて識別可能な機密情報D1として前記出力手段から出力させるように構成した。
【選択図】 図1
【解決手段】指紋入力装置Fから入力された指紋データD3から得られる第3のハッシュ値D3aが機密データベースDB1に格納されている第1のハッシュ値D2aの何れかと一致すると判定した場合には、当該第1の暗号情報に対応する機密情報D1aを読み出し、前記認証情報から得られる第4のハッシュ値D3bが識別情報データベースDB2に格納されている第2のハッシュ値D2bの何れかと一致すると判定した場合には、当該第2の暗号情報に対応する識別情報D1bを読み出し、読み出された前記機密情報と、前記識別情報とを結合させて識別可能な機密情報D1として前記出力手段から出力させるように構成した。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
この発明は、個人のプライバシー情報等の機密情報が、第三者による不正な取得行為や漏洩行為から安全に保護される機密情報保護システムおよび機密情報保護方法に関する。
【0002】
【従来の技術】
従来において、個人のプライバシー情報等の機密情報を保護する手法として、プライバシー情報自体は暗号化せずに、別途暗号化された所定情報と対応付けしてデータベースに格納し、入力された所定情報が一致した場合にのみ対応するプライバシー情報を出力できるように構成し、プライバシー情報の復号化処理を不要とした情報保護システムが提案されている(例えば、特許文献1参照)。
より具体的には、特許文献1の図1に示すように、入力装置1を介してユーザによって入力されたプライバシー情報(例えば健康診断結果等)は、結合装置3へ出力され、パスワード等の個人識別情報はハッシュ処理装置2へ出力される。
結合装置3はプライバシー情報とハッシュ処理装置102によりハッシュ変換された個人識別情報とを対応付けて記憶装置4へ格納されるようになっている。
そして、プライバシー情報を読み出す際には、入力装置1からパスワード等の個人識別情報を入力すると、その個人識別情報はハッシュ処理装置2によってハッシュ処理された後、検索装置5へ出力される。検索装置5は、ハッシュ処理された個人識別情報に基づいて対応するプライバシー情報を記憶装置4から読み出し、これを入力装置1へ出力するようになっている。
これにより、プライバシー情報を暗号化・復号化する必要がなくなるため、システムのスループット低下を抑えることができ、プライバシー情報の安全を確保しつつ、プライバシー情報の書き込みおよび読み出しを効率良く行うことが可能となり、ユーザに対して迅速に情報を提供することができるようになるというものである。
【0003】
【特許文献1】
特開2002−149497号公報(図1)
【0004】
【発明が解決しようとする課題】
しかし、上記のような情報保護システムでは、アクセス権限を有さない第三者が何らかの手法によりデータベースへの侵入に成功した場合には、暗号化されていない識別情報を含むプライバシー情報が容易に取得されてしまうおそれがあった。
例えば、データベースに格納されたプライバシー情報が、個人名、住所、電話番号等の個人識別情報と、各個人の健康診断結果であった場合には、「何処に在住の某氏の健康状態は〜〜である」といった重大な機密性を要する個人情報が漏洩してしまう危険性を秘めている。
【0005】
そこで、本発明は、個人識別情報等を含む機密情報の漏洩などの危険からより安全に保護することのできる機密情報保護システムおよび機密情報保護方法を提供することを目的とする。
【0006】
【課題を解決するための手段】
前記目的を達成するために、本願発明に係る機密情報保護システムは、識別情報を含まない機密情報と、該情報に対応して暗号化された第1の暗号情報(例えば第1のハッシュ値)を格納した1または2以上の機密データベースと、前記識別情報と、該識別情報に対応して暗号化された第2の暗号情報(例えば第2のハッシュ値)を格納した識別情報データベースと、認証情報(例えば指紋データ)を入力する入力手段(例えば指紋入力装置)と、前記各データベースから読み出された情報を出力する出力手段と、前記各情報の入出力処理,暗号化処理、認証処理および情報の結合処理を制御する制御手段とを少なくとも備え、前記制御手段は、前記入力手段から入力された前記認証情報から得られる第3の暗号情報(例えば第3のハッシュ値)が前記機密データベースに格納されている第1の暗号情報の何れかと一致すると判定した場合には、当該第1の暗号情報に対応する機密情報を読み出し、前記認証情報から得られる第4の暗号情報(例えば第4のハッシュ値D)が前記識別情報データベースに格納されている第2の暗号情報の何れかと一致すると判定した場合には、当該第2の暗号情報に対応する識別情報を読み出し、読み出された前記機密情報と、前記識別情報とを結合させて識別可能な機密情報として前記出力手段から出力させるように構成した。
【0007】
機密データベースと識別情報データベースとは、それぞれ別個の記憶装置(例えば、ハードディスク等)に個別に形成してもよいし、或いは一つの記憶装置の記憶領域を分割して形成するようにしてもよい。
【0008】
この発明によれば、識別情報を含まない機密情報を格納した1または2以上の機密データベースと、前記識別情報を格納した識別情報データベースとは、それぞれ分離して形成されているので、たとえ第三者が各データベースに不正に侵入したとしても、識別不能な機密情報(例えば、何処の誰のか不明な健康診断結果)や、識別情報(例えば、患者名などの氏名等)など単独では余り意味のない情報が取得されるだけで、重要な個人情報(例えば、「……氏の健康診断結果」等)が漏洩する危険を回避することができる。
【0009】
また特に、機密情報に対応付けされる第1の暗号情報と、識別情報に対応付けされる第2の暗号情報とは異なるので、機密データベースと識別情報データベースの両方から不正にデータが抜き出されたような場合であっても上記暗号情報に基づいて機密情報と識別情報を照合することはできず、より一層安全に機密情報を保護することが可能である。
【0010】
なお、データベースへのアクセス権限を有する者が情報を取得しようとする場合には、入力手段から正当な認証情報を入力することにより、当該認証情報から得られる第3の暗号情報が機密データベースに格納されている第1の暗号情報の何れかと一致すると判定され、当該認証情報から得られる第4の暗号情報が識別情報データベースに格納されている第2の暗号情報の何れかと一致すると判定された場合に限り、各データベースから読み出された機密情報と、識別情報とを結合させて識別可能な機密情報として出力手段から出力させることができる。この際に、機密情報および識別情報の復号化処理は不要であるのでシステムのスループットを低下させることなく、迅速に必要な情報を取得することができる。
【0011】
上記発明において、前記機密情報は、個人特定情報を含まないプライバシー情報であり、前記識別情報は、前記利用者の個人特定情報であるようにできる。
また、前記認証情報は、利用者またはデータベースへのアクセス権限を有する情報管理者の指紋等のバイオメトリクス情報であるようにしてもよい。これにより、データベースへのアクセス権限を有しない第三者の不正な侵入を有効に防止することができる。
【0012】
前記バイオメトリクス情報として、顔形、声紋、掌紋、虹彩、静脈パターン、網膜パターン等の身体的特徴に関する情報の何れか一つまたは二つ以上の組み合わせで構成されるようにできる。
前記認証情報は、利用者またはデータベースへのアクセス権限を有する情報管理者毎に定めたパスワード等の個人識別記号、筆跡等でもよい。
【0013】
前記機密データベースおよび識別情報データベースに各情報と対応付けして格納されている第1のハッシュ値および第2のハッシュ値に基づいて元の正当な認証情報を推定(逆算)することはハッシュ関数が有する一方向性より困難であるため、正当な認証情報が入力されて第1および第2のハッシュ値と一致する第3および第4のハッシュ値が生成された場合にのみデータベースにアクセスして情報の閲覧や変更することが可能となる。
特に、異なるハッシュ関数(第1のハッシュ関数と、第2のハッシュ関数)によって生成される第1および第2のハッシュ値は異なるので、機密データベースと識別情報データベースの両方から不正にデータが抜き出されたような場合であっても両ハッシュ値に基づいて機密情報と識別情報を照合することはできず、より一層安全に機密情報を保護することが可能となる。
【0014】
【発明の実施の形態】
以下、本発明の実施の形態を図面に基づいて説明する。
図1は本発明にかかる機密情報保護システムの構成例を示すブロック図、図2〜図4は当該システムで実行されるデータ登録処理の処理手順を示すフローチャート、図5は当該システムで実行されるデータ閲覧処理の処理手順を示すフローチャート、図6は当該システムの運用例を示す説明図である。
これら各図及び後述する各図において、同一の構成は同一の符号を付して、重複した説明を省略する。
【0015】
図1に示すように、本実施形態に係る機密情報保護システムSは、個人特定情報を含むプライバシー情報D1や認証情報D2等の各種データを入力する入力手段1と、入力された個人特定情報を含むプライバシー情報D1を個人特定情報を含まないプライバシー情報D1aと個人特定情報D1bとに分離するデータ分離手段2と、入力されたデータ登録時の認証情報D2(或いはデータ閲覧時の認証情報D3)に基づいてデータ登録用の第1のハッシュ値D2a(或いはデータ閲覧用の第3のハッシュ値D3a)とデータ登録用の第2のハッシュ値D2b(或いはデータ閲覧用の第4のハッシュ値D3b)に変換する第1のハッシュ手段3および第2のハッシュ化手段5と、認証時の第3のハッシュ値D3aに基づいて対応するプライバシー情報を検索する第1の検索手段4と、認証時の第4のハッシュ値D3bに基づいて対応する個人特定情報を検索する第2の検索手段6と、前記第1のハッシュ値D2aと個人特定情報を含まないプライバシー情報D1aを対応させたデータ群G1を格納して機密データベースDB1を形成する記憶装置(例えば、ハードディスク装置)HD1と、前記第2のハッシュ値D2bと個人特定情報D1bを対応させたデータ群G2を格納して識別情報データベースDB2を形成する記憶装置(例えば、ハードディスク装置)HD2と、正当な閲覧処理を経て機密データベースDB1と識別情報データベースDB2から読み出された個人特定情報を含まないプライバシー情報D1aと個人特定情報D1bとを結合させて個人特定情報を含むプライバシー情報D1を生成するデータ結合手段7と、結合生成された個人特定情報を含むプライバシー情報D1を出力するCRT、液晶表示装置等で構成される出力手段8とから構成されている。
【0016】
なお、本実施形態においては、符号2〜7の各手段は、プログラム等を実行するCPU(中央処理装置)、メモリ手段としてのROM(リードオンリメモリ)、RAM(ランダムアクセスメモリ)、HDD(ハードディスク装置)、FDD(フレキシブルディスクドライブ)等から構成されている。
入力手段1は、キーボード、あるいは指紋等、身体的特徴に基づくバイオメトリクス情報を取り込む各種認識装置、筆跡を認識するためのデジタイザやタブレット等で構成される。
なお、本実施形態では、入力手段1としてはキーボードKと指紋入力装置Fを備えるものとする。
【0017】
また、本実施形態では機密データベースDB1は1つであるが、2つ以上のデータベースに分散して機密情報を格納するようにしてもよい。
また、本実施形態では、機密データベースDB1と識別情報データベースDB2を個別の記憶装置HD1,HD2で構成する場合を示したが、これに限らず、例えば1つの記憶装置の記憶領域を論理的に分割してそれぞれの領域に機密データベースDB1と識別情報データベースDB2を形成するようにしてもよい。
また、機密データベースDB1と識別情報データベースDB2に格納されるデータ群G1,G2について、図1では代表値(D1aとD2a、D1bとD2b)のみが記載されているが、実際には複数の個人に関する複数のデータがテーブル形式で格納されている。
【0018】
ここで、図1に基づいてデータの流れを説明する。
まず、データの登録処理過程(処理手順の詳細については後述する)において、キーボードKを介して入力される個人特定情報を含むプライバシー情報(例えば、個人名とその個人に係る健康診断結果の情報)D1は、データ分離手段2によって個人特定情報を含まないプライバシー情報D1a(例えば、個人名を除いた単なる健康診断情報)と個人特定情報D1bに分離される。
【0019】
分離されたプライバシー情報D1aは機密データベースDB1の所定領域に、個人特定情報D1bは識別情報データベースDB2の所定領域に、それぞれ格納される。
次いで、指紋入力装置Fから入力される機密情報取扱者(利用者本人あるいはアクセス権限を有する情報管理者等)の指紋を読みとって数値化した認証情報D2を第1のハッシュ化手段3および第2のハッシュ化手段5に入力する。
【0020】
第1のハッシュ化手段3と第2のハッシュ化手段5は、それぞれが異なるハッシュ関数に基づいて認証情報D2の第1および第2のハッシュ値(メッセージダイジェスト)D2a,D2bを生成する。そして、第1のハッシュ値D2aは前述のプライバシー情報D1aと対応付けされて機密データベースDB1の所定領域に格納され、第2のハッシュ値D2bは前述の個人特定情報D1bと対応付けされて識別情報データベースDB2の所定領域に格納される。
【0021】
上述のように、個人特定情報を含まないプライバシー情報D1aを格納した機密データベースDB1と、各機密情報に対応する個人特定情報D1bを格納した識別情報データベースDB2とは、それぞれ分離して構成されている。従って、第三者が各データベースに不正に侵入したとしても、識別不能な機密情報(即ち、何処の誰のか不明な健康診断結果)や、個人特定情報(例えば、個人名)など単独では余り意味のない情報が取得されるだけで済み、重要な個人情報(例えば、「……氏の健康診断結果」等)が漏洩する危険を回避することができる。
【0022】
ここで、機密データベースDB1および識別情報データベースDB2に各情報と対応付けして格納されている第1のハッシュ値D2aおよび第2のハッシュ値D2bに基づいて元の正当な認証情報を推定(逆算)することはハッシュ関数が有する一方向性より困難である。
【0023】
よって、個人特定情報を含まないプライバシー情報D1aに対応付けされる第1のハッシュ値D2aと、個人特定情報に対応付けされる第2のハッシュ値D2bとは上述のように異なるので、機密データベースDB1と識別情報データベースDB2の両方から不正にデータが抜き出されたような場合であっても上記ハッシュ値D2a,D2bに基づいてプライバシー情報と個人特定情報を照合することはできず(即ち、どの健康診断結果が誰のものであるかを特定することはできず)、より一層安全にプライバシー情報を保護することが可能である。
【0024】
一方、正当な手順によってデータを閲覧したい場合には、データの閲覧処理過程(処理手順の詳細については後述する)において、指紋入力装置Fから入力される機密情報取扱者の指紋を読みとって数値化した認証情報D3を第1のハッシュ化手段3および第2のハッシュ化手段5に入力する。
第1のハッシュ化手段3と第2のハッシュ化手段5は、それぞれが備えるハッシュ関数に基づいて認証情報D3の第3および第4のハッシュ値(メッセージダイジェスト)D3a,D3bを生成する。
【0025】
そして、第3のハッシュ値D3aは、第1の検索手段4に入力され、機密データベースDB1内のデータを検索して、第3のハッシュ値D3aと一致する第1のハッシュ値D2aの有無を確認する。一致する第1のハッシュ値D2aを発見した場合には、そのハッシュ値D2aに対応するプライバシー情報D1aを読み出してデータ結合手段7に入力する。
【0026】
また、第4のハッシュ値D3bは、第2の検索手段6に入力され、識別情報データベースDB2内のデータを検索して、第4のハッシュ値D3bと一致する第2のハッシュ値D2bの有無を確認する。一致する第2のハッシュ値D2bを発見した場合には、そのハッシュ値D2aに対応する個人特定情報D1bを読み出してデータ結合手段7に入力する。
【0027】
データ結合手段7は、読み出されたプライバシー情報D1aと個人特定情報D1bを結合して、例えば、「……氏の健康診断結果」という特定情報を含むプライバシー情報D1を生成して出力手段8に出力する。
これにより、CRTや液晶表示装置等で構成される出力手段8に所望のプライバシー情報D1を表示出力させて閲覧することができる。
【0028】
次に、図2〜図4のフローチャートを参照して、上述の機密情報保護システムSにおけるデータ登録処理の処理手順について説明する。
【0029】
まず、この処理が開始されるとステップS1で指紋入力装置Fを介してオペレータの指紋を入力する。
次いで、ステップS2で認識した指紋が予め登録されている指紋データと一致するか否かの指紋チェックが行われ、一致しないと判断された場合にはアクセス権限が無いと判断してステップS1に戻り、他のオペレータの指紋の入力待ちの状態となる。
また、指紋データが一致すると判断された場合にはステップS3に移行して処理を終了するか否かが判断され、Noの場合にはステップS4に移行し、Yesの場合には処理を終了する。
【0030】
前記ステップS4では、機密情報取扱者のバイオメトリクス情報の一つである指紋データD2を指紋入力装置Fを介して入力する。
【0031】
次にステップ5に進み、演算処理その1のサブルーチンにジャンプし、その処理の終了後にステップ6に進み、演算処理その2のサブルーチンにジャンプし、その処理の終了後に前記ステップ3に戻る。
【0032】
前記演算処理その1の処理が開始されると、ステップS100とステップS104との間でステップS101〜S103までの処理を、機密情報のデータ数分繰り返して実行する。
【0033】
まず、ステップS101では、認証情報としての指紋データD2に対して第1のハッシュ化手段3と第2のハッシュ化手段5で第1のハッシュ値D2aおよび第2のハッシュ値D2bを生成する演算処理を行ってステップS102に移行する。
このステップS102では、演算処理データとしての第1のハッシュ値D2aおよび第2のハッシュ値D2bに基づいて、第1の検索手段4および第2の検索手段6を介して機密データベースDB1から機密情報としてのプライバシー情報D1aを、識別情報データベースDB2から個人特定情報D1bをそれぞれ検索し、データ結合手段7を介して個人特定情報を含むプライバシー情報D1(例えば、「……氏の健康診断結果」等)を生成してステップS103に進む。
【0034】
ステップS103では、個人特定情報を含むプライバシー情報D1をディスプレイで構成される出力手段8に表示させて、機密情報のデータ数分に達した時点でループを終了して、前記メインルーチンにリターンする。
【0035】
次に前記演算処理その2の処理が開始されると、キーボードKを介して個人特定情報を含むプライバシー情報D1を入力する。この際に、データ分離手段2によって、個人特定情報を含まないプライバシー情報D1aと個人特定情報D1bに分離する。
次いで、ステップS201とステップS205との間でステップS202〜S204の処理を機密情報のデータ数分繰り返して実行する。
【0036】
まずステップS202では、認証情報としての指紋データD2に対して第1のハッシュ化手段3と第2のハッシュ化手段5で第1のハッシュ値D2aおよび第2のハッシュ値D2bを生成する演算処理を行ってステップS203に移行する。
このステップS203では、第1のハッシュ値D2aと共にステップSS201で分離した個人特定情報を含まないプライバシー情報D1aを機密データベースDB1に仮登録し、第2のハッシュ値D2bと共にステップSS201で分離した個人特定情報D1bを識別情報データベースDB2に仮登録してステップS204に進む。
【0037】
このステップS204では、データ登録が完了したか否かを判断し、Yesの場合にはループを終了してステップS206に移行する。一方、Noの場合にはステップS207に移行して、各データの登録の取り消し処理を行いステップS208に移行して「登録を中止します」等の警告メッセージを出力手段8に表示した後、図2のデータ登録処理のメインルーチンにリターンする。
【0038】
また、ステップS206では、各登録データを確定処理を行った後、図2のデータ登録処理のメインルーチンにリターンする。
【0039】
以上のデータ登録処理の実行により、図6に示すように機密データベースDB1に、例えば「鈴木太郎氏の指紋データの第1のハッシュ値」と対応する「無記名の健康診断結果データ」(即ち、個人特定情報を含まないプライバシー情報)、「佐藤次郎氏の指紋データの第1のハッシュ値」と対応する「無記名の健康診断結果データ」、「田中三郎氏の指紋データの第1のハッシュ値」と対応する「無記名の健康診断結果データ」等の複数のプライバシー情報がテーブル形式で登録される。
【0040】
次に、図5のフローチャートを参照して、データ閲覧処理の処理手順について説明する。
この処理が開始されると、まずステップS300で指紋入力装置Fを介してオペレータの指紋データを入力する。
次に、ステップS301で認識した指紋が予め登録されている指紋データと一致するか否かの指紋チェックが行われ、一致しないと判定された場合にはアクセス権限が無いと判断してステップS300に戻り、他のオペレータの指紋データの入力待ちの状態となる。
【0041】
一方、指紋データが一致すると判定された場合にはステップS302に移行して処理を終了するか否かが判定され、Noの場合には前記演算処理その1のサブルーチンS5にジャンプし、図3に示した処理と同様の処理が行われ、機密情報のデータ数分に達した時点でループを終了して、図5のデータ閲覧処理のメインルーチンにリターンする。
一方、前記ステップ302においてYesの場合には処理を終了する。
【0042】
以上のデータ閲覧処理の実行により、図6に示すように、例えばシステムSのオペレータがアクセス権限を有する鈴木太郎氏である場合に、鈴木太郎氏の指紋データの第3のハッシュ値D3aと機密データベースDB1に格納された指紋データの第1のハッシュ値D2aが比較され、一致した場合には対応する「無記名の健康診断結果データ」が読み出される。
また、鈴木太郎氏の指紋データの第4のハッシュ値D3bと識別情報データベースDB2に格納された指紋データの第2のハッシュ値D2bが比較され、一致した場合には対応する「氏名データ:鈴木太郎」が読み出される。
そして、データ結合手段7により個人特定情報を含むプライバシー情報D1が生成され、CRTや液晶表示装置で構成される出力手段8の画面上に、例えば「鈴木太郎氏の健康診断結果:1.病気履歴……,2.血圧……,3.中性脂肪……等」のプライバシー情報の詳細が表示される。このように、アクセス権限を有する者にみが所定のプライバシー情報を閲覧することができるので、高い機密性を保証することができる。
【0043】
以上説明したように本実施形態に係る機密情報保護システムSによれば、個人特定情報を含まないプライバシー情報D1aを格納した機密データベースDB1と、各機密情報に対応する個人特定情報D1bを格納した識別情報データベースDB2とは、それぞれ分離して形成されているので、たとえ第三者が各データベースに不正に侵入したとしても、識別不能な機密情報(即ち、何処の誰のか不明な無記名の健康診断結果)や、個人特定情報(例えば、佐藤次郎,田中三郎等の個人名)など単独では余り意味のない情報が取得されるだけで済み、重要な個人情報が漏洩する危険を回避することができる。
【0044】
また、個人特定情報を含まないプライバシー情報D1aに対応付けされる第1のハッシュ値D2aと、個人特定情報に対応付けされる第2のハッシュ値D2bとは異なるので、機密データベースDB1と識別情報データベースDB2の両方から不正にデータが抜き出されたような場合であってもハッシュ値D2a,D2bに基づいてプライバシー情報と個人特定情報を照合することはできず(即ち、どの健康診断結果が誰のものであるかを特定することはできず)、より一層安全にプライバシー情報を保護することが可能である。
【0045】
さらに、データベースへのアクセス権限を有する者が情報を取得しようとする場合には、入力手段1から正当な認証情報(指紋データ等)D3を入力することにより、当該認証情報から得られる第3のハッシュ値D3aが機密データベースDB1に格納されている第1のハッシュ値D2aの何れかと一致すると判定され、当該認証情報から得られる第4のハッシュ値D3bが識別情報データベースDB2に格納されている第2のハッシュ値D2bの何れかと一致すると判定された場合に限り、各データベースから読み出されたプライバシー情報D1aと個人特定情報D1bとを結合させて識別可能なプライバシー情報として出力手段8から出力させることができる。
【0046】
なお、本実施形態では、機密データベースDB1にプライバシー情報としての健康診断結果データを格納する場合について述べたが、これに限定されず、個人、法人等の所定の識別情報に対応する秘匿性を要するデータであれば何であっても本システムを適用して保護することが可能である。
【0047】
【発明の効果】
本発明によれば、たとえ第三者が各データベースに不正に侵入したとしても、識別不能な機密情報(例えば、何処の誰のか不明な健康診断結果)や、識別情報(例えば、患者名などの氏名等)など単独では余り意味のない情報が取得されるだけで済み、重要な個人情報(例えば、「……氏の健康診断結果」等)が漏洩する危険を回避することができる。
また、識別情報を含まない複数の機密情報に対応付けされる第1の暗号情報と、識別情報に対応付けされる第2の暗号情報とは異なるので、機密データベースと識別情報データベースの両方から不正にデータが抜き出されたような場合であっても上記暗号情報に基づいて機密情報と識別情報を照合することはできず、より一層安全に機密情報を保護することができる。
【図面の簡単な説明】
【図1】本発明にかかる機密情報保護システムの構成例を示すブロック図、
【図2】同システムのプログラム流れ図、
【図3】同システムのプログラム流れ図、
【図4】同システムのプログラム流れ図、
【図5】同システムプログラム流れ図、
【図6】同システムの運用例を示す説明図である。
【符号の説明】
S 機密情報保護システム
1 入力手段(キーボードK,指紋入力装置F)
2 データ分離手段 3 第1のハッシュ化手段
4 第1の検索手段 5 第2のハッシュ化手段
6 第2の検索手段 7 データ結合手段
8 出力手段 C マイクロコンピュータ
DB1 機密データベース
DB2 識別情報データベース
G1,G2 データ群
HD1,HD2 ハードディスク装置
D1 個人特定情報を含むプライバシー情報
D1a 個人特定情報を含まないプライバシー情報
D1b 個人特定情報
D2,D3 認証情報(指紋データ)
D2a 認証情報の第1のハッシュ値
D2b 認証情報の第2のハッシュ値
D3a 認証情報の第3のハッシュ値
D3b 認証情報の第4のハッシュ値
【発明の属する技術分野】
この発明は、個人のプライバシー情報等の機密情報が、第三者による不正な取得行為や漏洩行為から安全に保護される機密情報保護システムおよび機密情報保護方法に関する。
【0002】
【従来の技術】
従来において、個人のプライバシー情報等の機密情報を保護する手法として、プライバシー情報自体は暗号化せずに、別途暗号化された所定情報と対応付けしてデータベースに格納し、入力された所定情報が一致した場合にのみ対応するプライバシー情報を出力できるように構成し、プライバシー情報の復号化処理を不要とした情報保護システムが提案されている(例えば、特許文献1参照)。
より具体的には、特許文献1の図1に示すように、入力装置1を介してユーザによって入力されたプライバシー情報(例えば健康診断結果等)は、結合装置3へ出力され、パスワード等の個人識別情報はハッシュ処理装置2へ出力される。
結合装置3はプライバシー情報とハッシュ処理装置102によりハッシュ変換された個人識別情報とを対応付けて記憶装置4へ格納されるようになっている。
そして、プライバシー情報を読み出す際には、入力装置1からパスワード等の個人識別情報を入力すると、その個人識別情報はハッシュ処理装置2によってハッシュ処理された後、検索装置5へ出力される。検索装置5は、ハッシュ処理された個人識別情報に基づいて対応するプライバシー情報を記憶装置4から読み出し、これを入力装置1へ出力するようになっている。
これにより、プライバシー情報を暗号化・復号化する必要がなくなるため、システムのスループット低下を抑えることができ、プライバシー情報の安全を確保しつつ、プライバシー情報の書き込みおよび読み出しを効率良く行うことが可能となり、ユーザに対して迅速に情報を提供することができるようになるというものである。
【0003】
【特許文献1】
特開2002−149497号公報(図1)
【0004】
【発明が解決しようとする課題】
しかし、上記のような情報保護システムでは、アクセス権限を有さない第三者が何らかの手法によりデータベースへの侵入に成功した場合には、暗号化されていない識別情報を含むプライバシー情報が容易に取得されてしまうおそれがあった。
例えば、データベースに格納されたプライバシー情報が、個人名、住所、電話番号等の個人識別情報と、各個人の健康診断結果であった場合には、「何処に在住の某氏の健康状態は〜〜である」といった重大な機密性を要する個人情報が漏洩してしまう危険性を秘めている。
【0005】
そこで、本発明は、個人識別情報等を含む機密情報の漏洩などの危険からより安全に保護することのできる機密情報保護システムおよび機密情報保護方法を提供することを目的とする。
【0006】
【課題を解決するための手段】
前記目的を達成するために、本願発明に係る機密情報保護システムは、識別情報を含まない機密情報と、該情報に対応して暗号化された第1の暗号情報(例えば第1のハッシュ値)を格納した1または2以上の機密データベースと、前記識別情報と、該識別情報に対応して暗号化された第2の暗号情報(例えば第2のハッシュ値)を格納した識別情報データベースと、認証情報(例えば指紋データ)を入力する入力手段(例えば指紋入力装置)と、前記各データベースから読み出された情報を出力する出力手段と、前記各情報の入出力処理,暗号化処理、認証処理および情報の結合処理を制御する制御手段とを少なくとも備え、前記制御手段は、前記入力手段から入力された前記認証情報から得られる第3の暗号情報(例えば第3のハッシュ値)が前記機密データベースに格納されている第1の暗号情報の何れかと一致すると判定した場合には、当該第1の暗号情報に対応する機密情報を読み出し、前記認証情報から得られる第4の暗号情報(例えば第4のハッシュ値D)が前記識別情報データベースに格納されている第2の暗号情報の何れかと一致すると判定した場合には、当該第2の暗号情報に対応する識別情報を読み出し、読み出された前記機密情報と、前記識別情報とを結合させて識別可能な機密情報として前記出力手段から出力させるように構成した。
【0007】
機密データベースと識別情報データベースとは、それぞれ別個の記憶装置(例えば、ハードディスク等)に個別に形成してもよいし、或いは一つの記憶装置の記憶領域を分割して形成するようにしてもよい。
【0008】
この発明によれば、識別情報を含まない機密情報を格納した1または2以上の機密データベースと、前記識別情報を格納した識別情報データベースとは、それぞれ分離して形成されているので、たとえ第三者が各データベースに不正に侵入したとしても、識別不能な機密情報(例えば、何処の誰のか不明な健康診断結果)や、識別情報(例えば、患者名などの氏名等)など単独では余り意味のない情報が取得されるだけで、重要な個人情報(例えば、「……氏の健康診断結果」等)が漏洩する危険を回避することができる。
【0009】
また特に、機密情報に対応付けされる第1の暗号情報と、識別情報に対応付けされる第2の暗号情報とは異なるので、機密データベースと識別情報データベースの両方から不正にデータが抜き出されたような場合であっても上記暗号情報に基づいて機密情報と識別情報を照合することはできず、より一層安全に機密情報を保護することが可能である。
【0010】
なお、データベースへのアクセス権限を有する者が情報を取得しようとする場合には、入力手段から正当な認証情報を入力することにより、当該認証情報から得られる第3の暗号情報が機密データベースに格納されている第1の暗号情報の何れかと一致すると判定され、当該認証情報から得られる第4の暗号情報が識別情報データベースに格納されている第2の暗号情報の何れかと一致すると判定された場合に限り、各データベースから読み出された機密情報と、識別情報とを結合させて識別可能な機密情報として出力手段から出力させることができる。この際に、機密情報および識別情報の復号化処理は不要であるのでシステムのスループットを低下させることなく、迅速に必要な情報を取得することができる。
【0011】
上記発明において、前記機密情報は、個人特定情報を含まないプライバシー情報であり、前記識別情報は、前記利用者の個人特定情報であるようにできる。
また、前記認証情報は、利用者またはデータベースへのアクセス権限を有する情報管理者の指紋等のバイオメトリクス情報であるようにしてもよい。これにより、データベースへのアクセス権限を有しない第三者の不正な侵入を有効に防止することができる。
【0012】
前記バイオメトリクス情報として、顔形、声紋、掌紋、虹彩、静脈パターン、網膜パターン等の身体的特徴に関する情報の何れか一つまたは二つ以上の組み合わせで構成されるようにできる。
前記認証情報は、利用者またはデータベースへのアクセス権限を有する情報管理者毎に定めたパスワード等の個人識別記号、筆跡等でもよい。
【0013】
前記機密データベースおよび識別情報データベースに各情報と対応付けして格納されている第1のハッシュ値および第2のハッシュ値に基づいて元の正当な認証情報を推定(逆算)することはハッシュ関数が有する一方向性より困難であるため、正当な認証情報が入力されて第1および第2のハッシュ値と一致する第3および第4のハッシュ値が生成された場合にのみデータベースにアクセスして情報の閲覧や変更することが可能となる。
特に、異なるハッシュ関数(第1のハッシュ関数と、第2のハッシュ関数)によって生成される第1および第2のハッシュ値は異なるので、機密データベースと識別情報データベースの両方から不正にデータが抜き出されたような場合であっても両ハッシュ値に基づいて機密情報と識別情報を照合することはできず、より一層安全に機密情報を保護することが可能となる。
【0014】
【発明の実施の形態】
以下、本発明の実施の形態を図面に基づいて説明する。
図1は本発明にかかる機密情報保護システムの構成例を示すブロック図、図2〜図4は当該システムで実行されるデータ登録処理の処理手順を示すフローチャート、図5は当該システムで実行されるデータ閲覧処理の処理手順を示すフローチャート、図6は当該システムの運用例を示す説明図である。
これら各図及び後述する各図において、同一の構成は同一の符号を付して、重複した説明を省略する。
【0015】
図1に示すように、本実施形態に係る機密情報保護システムSは、個人特定情報を含むプライバシー情報D1や認証情報D2等の各種データを入力する入力手段1と、入力された個人特定情報を含むプライバシー情報D1を個人特定情報を含まないプライバシー情報D1aと個人特定情報D1bとに分離するデータ分離手段2と、入力されたデータ登録時の認証情報D2(或いはデータ閲覧時の認証情報D3)に基づいてデータ登録用の第1のハッシュ値D2a(或いはデータ閲覧用の第3のハッシュ値D3a)とデータ登録用の第2のハッシュ値D2b(或いはデータ閲覧用の第4のハッシュ値D3b)に変換する第1のハッシュ手段3および第2のハッシュ化手段5と、認証時の第3のハッシュ値D3aに基づいて対応するプライバシー情報を検索する第1の検索手段4と、認証時の第4のハッシュ値D3bに基づいて対応する個人特定情報を検索する第2の検索手段6と、前記第1のハッシュ値D2aと個人特定情報を含まないプライバシー情報D1aを対応させたデータ群G1を格納して機密データベースDB1を形成する記憶装置(例えば、ハードディスク装置)HD1と、前記第2のハッシュ値D2bと個人特定情報D1bを対応させたデータ群G2を格納して識別情報データベースDB2を形成する記憶装置(例えば、ハードディスク装置)HD2と、正当な閲覧処理を経て機密データベースDB1と識別情報データベースDB2から読み出された個人特定情報を含まないプライバシー情報D1aと個人特定情報D1bとを結合させて個人特定情報を含むプライバシー情報D1を生成するデータ結合手段7と、結合生成された個人特定情報を含むプライバシー情報D1を出力するCRT、液晶表示装置等で構成される出力手段8とから構成されている。
【0016】
なお、本実施形態においては、符号2〜7の各手段は、プログラム等を実行するCPU(中央処理装置)、メモリ手段としてのROM(リードオンリメモリ)、RAM(ランダムアクセスメモリ)、HDD(ハードディスク装置)、FDD(フレキシブルディスクドライブ)等から構成されている。
入力手段1は、キーボード、あるいは指紋等、身体的特徴に基づくバイオメトリクス情報を取り込む各種認識装置、筆跡を認識するためのデジタイザやタブレット等で構成される。
なお、本実施形態では、入力手段1としてはキーボードKと指紋入力装置Fを備えるものとする。
【0017】
また、本実施形態では機密データベースDB1は1つであるが、2つ以上のデータベースに分散して機密情報を格納するようにしてもよい。
また、本実施形態では、機密データベースDB1と識別情報データベースDB2を個別の記憶装置HD1,HD2で構成する場合を示したが、これに限らず、例えば1つの記憶装置の記憶領域を論理的に分割してそれぞれの領域に機密データベースDB1と識別情報データベースDB2を形成するようにしてもよい。
また、機密データベースDB1と識別情報データベースDB2に格納されるデータ群G1,G2について、図1では代表値(D1aとD2a、D1bとD2b)のみが記載されているが、実際には複数の個人に関する複数のデータがテーブル形式で格納されている。
【0018】
ここで、図1に基づいてデータの流れを説明する。
まず、データの登録処理過程(処理手順の詳細については後述する)において、キーボードKを介して入力される個人特定情報を含むプライバシー情報(例えば、個人名とその個人に係る健康診断結果の情報)D1は、データ分離手段2によって個人特定情報を含まないプライバシー情報D1a(例えば、個人名を除いた単なる健康診断情報)と個人特定情報D1bに分離される。
【0019】
分離されたプライバシー情報D1aは機密データベースDB1の所定領域に、個人特定情報D1bは識別情報データベースDB2の所定領域に、それぞれ格納される。
次いで、指紋入力装置Fから入力される機密情報取扱者(利用者本人あるいはアクセス権限を有する情報管理者等)の指紋を読みとって数値化した認証情報D2を第1のハッシュ化手段3および第2のハッシュ化手段5に入力する。
【0020】
第1のハッシュ化手段3と第2のハッシュ化手段5は、それぞれが異なるハッシュ関数に基づいて認証情報D2の第1および第2のハッシュ値(メッセージダイジェスト)D2a,D2bを生成する。そして、第1のハッシュ値D2aは前述のプライバシー情報D1aと対応付けされて機密データベースDB1の所定領域に格納され、第2のハッシュ値D2bは前述の個人特定情報D1bと対応付けされて識別情報データベースDB2の所定領域に格納される。
【0021】
上述のように、個人特定情報を含まないプライバシー情報D1aを格納した機密データベースDB1と、各機密情報に対応する個人特定情報D1bを格納した識別情報データベースDB2とは、それぞれ分離して構成されている。従って、第三者が各データベースに不正に侵入したとしても、識別不能な機密情報(即ち、何処の誰のか不明な健康診断結果)や、個人特定情報(例えば、個人名)など単独では余り意味のない情報が取得されるだけで済み、重要な個人情報(例えば、「……氏の健康診断結果」等)が漏洩する危険を回避することができる。
【0022】
ここで、機密データベースDB1および識別情報データベースDB2に各情報と対応付けして格納されている第1のハッシュ値D2aおよび第2のハッシュ値D2bに基づいて元の正当な認証情報を推定(逆算)することはハッシュ関数が有する一方向性より困難である。
【0023】
よって、個人特定情報を含まないプライバシー情報D1aに対応付けされる第1のハッシュ値D2aと、個人特定情報に対応付けされる第2のハッシュ値D2bとは上述のように異なるので、機密データベースDB1と識別情報データベースDB2の両方から不正にデータが抜き出されたような場合であっても上記ハッシュ値D2a,D2bに基づいてプライバシー情報と個人特定情報を照合することはできず(即ち、どの健康診断結果が誰のものであるかを特定することはできず)、より一層安全にプライバシー情報を保護することが可能である。
【0024】
一方、正当な手順によってデータを閲覧したい場合には、データの閲覧処理過程(処理手順の詳細については後述する)において、指紋入力装置Fから入力される機密情報取扱者の指紋を読みとって数値化した認証情報D3を第1のハッシュ化手段3および第2のハッシュ化手段5に入力する。
第1のハッシュ化手段3と第2のハッシュ化手段5は、それぞれが備えるハッシュ関数に基づいて認証情報D3の第3および第4のハッシュ値(メッセージダイジェスト)D3a,D3bを生成する。
【0025】
そして、第3のハッシュ値D3aは、第1の検索手段4に入力され、機密データベースDB1内のデータを検索して、第3のハッシュ値D3aと一致する第1のハッシュ値D2aの有無を確認する。一致する第1のハッシュ値D2aを発見した場合には、そのハッシュ値D2aに対応するプライバシー情報D1aを読み出してデータ結合手段7に入力する。
【0026】
また、第4のハッシュ値D3bは、第2の検索手段6に入力され、識別情報データベースDB2内のデータを検索して、第4のハッシュ値D3bと一致する第2のハッシュ値D2bの有無を確認する。一致する第2のハッシュ値D2bを発見した場合には、そのハッシュ値D2aに対応する個人特定情報D1bを読み出してデータ結合手段7に入力する。
【0027】
データ結合手段7は、読み出されたプライバシー情報D1aと個人特定情報D1bを結合して、例えば、「……氏の健康診断結果」という特定情報を含むプライバシー情報D1を生成して出力手段8に出力する。
これにより、CRTや液晶表示装置等で構成される出力手段8に所望のプライバシー情報D1を表示出力させて閲覧することができる。
【0028】
次に、図2〜図4のフローチャートを参照して、上述の機密情報保護システムSにおけるデータ登録処理の処理手順について説明する。
【0029】
まず、この処理が開始されるとステップS1で指紋入力装置Fを介してオペレータの指紋を入力する。
次いで、ステップS2で認識した指紋が予め登録されている指紋データと一致するか否かの指紋チェックが行われ、一致しないと判断された場合にはアクセス権限が無いと判断してステップS1に戻り、他のオペレータの指紋の入力待ちの状態となる。
また、指紋データが一致すると判断された場合にはステップS3に移行して処理を終了するか否かが判断され、Noの場合にはステップS4に移行し、Yesの場合には処理を終了する。
【0030】
前記ステップS4では、機密情報取扱者のバイオメトリクス情報の一つである指紋データD2を指紋入力装置Fを介して入力する。
【0031】
次にステップ5に進み、演算処理その1のサブルーチンにジャンプし、その処理の終了後にステップ6に進み、演算処理その2のサブルーチンにジャンプし、その処理の終了後に前記ステップ3に戻る。
【0032】
前記演算処理その1の処理が開始されると、ステップS100とステップS104との間でステップS101〜S103までの処理を、機密情報のデータ数分繰り返して実行する。
【0033】
まず、ステップS101では、認証情報としての指紋データD2に対して第1のハッシュ化手段3と第2のハッシュ化手段5で第1のハッシュ値D2aおよび第2のハッシュ値D2bを生成する演算処理を行ってステップS102に移行する。
このステップS102では、演算処理データとしての第1のハッシュ値D2aおよび第2のハッシュ値D2bに基づいて、第1の検索手段4および第2の検索手段6を介して機密データベースDB1から機密情報としてのプライバシー情報D1aを、識別情報データベースDB2から個人特定情報D1bをそれぞれ検索し、データ結合手段7を介して個人特定情報を含むプライバシー情報D1(例えば、「……氏の健康診断結果」等)を生成してステップS103に進む。
【0034】
ステップS103では、個人特定情報を含むプライバシー情報D1をディスプレイで構成される出力手段8に表示させて、機密情報のデータ数分に達した時点でループを終了して、前記メインルーチンにリターンする。
【0035】
次に前記演算処理その2の処理が開始されると、キーボードKを介して個人特定情報を含むプライバシー情報D1を入力する。この際に、データ分離手段2によって、個人特定情報を含まないプライバシー情報D1aと個人特定情報D1bに分離する。
次いで、ステップS201とステップS205との間でステップS202〜S204の処理を機密情報のデータ数分繰り返して実行する。
【0036】
まずステップS202では、認証情報としての指紋データD2に対して第1のハッシュ化手段3と第2のハッシュ化手段5で第1のハッシュ値D2aおよび第2のハッシュ値D2bを生成する演算処理を行ってステップS203に移行する。
このステップS203では、第1のハッシュ値D2aと共にステップSS201で分離した個人特定情報を含まないプライバシー情報D1aを機密データベースDB1に仮登録し、第2のハッシュ値D2bと共にステップSS201で分離した個人特定情報D1bを識別情報データベースDB2に仮登録してステップS204に進む。
【0037】
このステップS204では、データ登録が完了したか否かを判断し、Yesの場合にはループを終了してステップS206に移行する。一方、Noの場合にはステップS207に移行して、各データの登録の取り消し処理を行いステップS208に移行して「登録を中止します」等の警告メッセージを出力手段8に表示した後、図2のデータ登録処理のメインルーチンにリターンする。
【0038】
また、ステップS206では、各登録データを確定処理を行った後、図2のデータ登録処理のメインルーチンにリターンする。
【0039】
以上のデータ登録処理の実行により、図6に示すように機密データベースDB1に、例えば「鈴木太郎氏の指紋データの第1のハッシュ値」と対応する「無記名の健康診断結果データ」(即ち、個人特定情報を含まないプライバシー情報)、「佐藤次郎氏の指紋データの第1のハッシュ値」と対応する「無記名の健康診断結果データ」、「田中三郎氏の指紋データの第1のハッシュ値」と対応する「無記名の健康診断結果データ」等の複数のプライバシー情報がテーブル形式で登録される。
【0040】
次に、図5のフローチャートを参照して、データ閲覧処理の処理手順について説明する。
この処理が開始されると、まずステップS300で指紋入力装置Fを介してオペレータの指紋データを入力する。
次に、ステップS301で認識した指紋が予め登録されている指紋データと一致するか否かの指紋チェックが行われ、一致しないと判定された場合にはアクセス権限が無いと判断してステップS300に戻り、他のオペレータの指紋データの入力待ちの状態となる。
【0041】
一方、指紋データが一致すると判定された場合にはステップS302に移行して処理を終了するか否かが判定され、Noの場合には前記演算処理その1のサブルーチンS5にジャンプし、図3に示した処理と同様の処理が行われ、機密情報のデータ数分に達した時点でループを終了して、図5のデータ閲覧処理のメインルーチンにリターンする。
一方、前記ステップ302においてYesの場合には処理を終了する。
【0042】
以上のデータ閲覧処理の実行により、図6に示すように、例えばシステムSのオペレータがアクセス権限を有する鈴木太郎氏である場合に、鈴木太郎氏の指紋データの第3のハッシュ値D3aと機密データベースDB1に格納された指紋データの第1のハッシュ値D2aが比較され、一致した場合には対応する「無記名の健康診断結果データ」が読み出される。
また、鈴木太郎氏の指紋データの第4のハッシュ値D3bと識別情報データベースDB2に格納された指紋データの第2のハッシュ値D2bが比較され、一致した場合には対応する「氏名データ:鈴木太郎」が読み出される。
そして、データ結合手段7により個人特定情報を含むプライバシー情報D1が生成され、CRTや液晶表示装置で構成される出力手段8の画面上に、例えば「鈴木太郎氏の健康診断結果:1.病気履歴……,2.血圧……,3.中性脂肪……等」のプライバシー情報の詳細が表示される。このように、アクセス権限を有する者にみが所定のプライバシー情報を閲覧することができるので、高い機密性を保証することができる。
【0043】
以上説明したように本実施形態に係る機密情報保護システムSによれば、個人特定情報を含まないプライバシー情報D1aを格納した機密データベースDB1と、各機密情報に対応する個人特定情報D1bを格納した識別情報データベースDB2とは、それぞれ分離して形成されているので、たとえ第三者が各データベースに不正に侵入したとしても、識別不能な機密情報(即ち、何処の誰のか不明な無記名の健康診断結果)や、個人特定情報(例えば、佐藤次郎,田中三郎等の個人名)など単独では余り意味のない情報が取得されるだけで済み、重要な個人情報が漏洩する危険を回避することができる。
【0044】
また、個人特定情報を含まないプライバシー情報D1aに対応付けされる第1のハッシュ値D2aと、個人特定情報に対応付けされる第2のハッシュ値D2bとは異なるので、機密データベースDB1と識別情報データベースDB2の両方から不正にデータが抜き出されたような場合であってもハッシュ値D2a,D2bに基づいてプライバシー情報と個人特定情報を照合することはできず(即ち、どの健康診断結果が誰のものであるかを特定することはできず)、より一層安全にプライバシー情報を保護することが可能である。
【0045】
さらに、データベースへのアクセス権限を有する者が情報を取得しようとする場合には、入力手段1から正当な認証情報(指紋データ等)D3を入力することにより、当該認証情報から得られる第3のハッシュ値D3aが機密データベースDB1に格納されている第1のハッシュ値D2aの何れかと一致すると判定され、当該認証情報から得られる第4のハッシュ値D3bが識別情報データベースDB2に格納されている第2のハッシュ値D2bの何れかと一致すると判定された場合に限り、各データベースから読み出されたプライバシー情報D1aと個人特定情報D1bとを結合させて識別可能なプライバシー情報として出力手段8から出力させることができる。
【0046】
なお、本実施形態では、機密データベースDB1にプライバシー情報としての健康診断結果データを格納する場合について述べたが、これに限定されず、個人、法人等の所定の識別情報に対応する秘匿性を要するデータであれば何であっても本システムを適用して保護することが可能である。
【0047】
【発明の効果】
本発明によれば、たとえ第三者が各データベースに不正に侵入したとしても、識別不能な機密情報(例えば、何処の誰のか不明な健康診断結果)や、識別情報(例えば、患者名などの氏名等)など単独では余り意味のない情報が取得されるだけで済み、重要な個人情報(例えば、「……氏の健康診断結果」等)が漏洩する危険を回避することができる。
また、識別情報を含まない複数の機密情報に対応付けされる第1の暗号情報と、識別情報に対応付けされる第2の暗号情報とは異なるので、機密データベースと識別情報データベースの両方から不正にデータが抜き出されたような場合であっても上記暗号情報に基づいて機密情報と識別情報を照合することはできず、より一層安全に機密情報を保護することができる。
【図面の簡単な説明】
【図1】本発明にかかる機密情報保護システムの構成例を示すブロック図、
【図2】同システムのプログラム流れ図、
【図3】同システムのプログラム流れ図、
【図4】同システムのプログラム流れ図、
【図5】同システムプログラム流れ図、
【図6】同システムの運用例を示す説明図である。
【符号の説明】
S 機密情報保護システム
1 入力手段(キーボードK,指紋入力装置F)
2 データ分離手段 3 第1のハッシュ化手段
4 第1の検索手段 5 第2のハッシュ化手段
6 第2の検索手段 7 データ結合手段
8 出力手段 C マイクロコンピュータ
DB1 機密データベース
DB2 識別情報データベース
G1,G2 データ群
HD1,HD2 ハードディスク装置
D1 個人特定情報を含むプライバシー情報
D1a 個人特定情報を含まないプライバシー情報
D1b 個人特定情報
D2,D3 認証情報(指紋データ)
D2a 認証情報の第1のハッシュ値
D2b 認証情報の第2のハッシュ値
D3a 認証情報の第3のハッシュ値
D3b 認証情報の第4のハッシュ値
Claims (5)
- 識別情報を含まない機密情報と、該情報に対応して暗号化された第1の暗号情報を格納した1または2以上の機密データベースと、
前記識別情報と、該識別情報に対応して暗号化された第2の暗号情報を格納した識別情報データベースと、
認証情報を入力する入力手段と、
前記各データベースから読み出された情報を出力する出力手段と、
前記各情報の入出力処理,暗号化処理、認証処理および情報の結合処理を制御する制御手段とを少なくとも備え、
前記制御手段は、前記入力手段から入力された前記認証情報から得られる第3の暗号情報が前記機密データベースに格納されている第1の暗号情報の何れかと一致すると判定した場合には、当該第1の暗号情報に対応する機密情報を読み出し、
前記認証情報から得られる第4の暗号情報が前記識別情報データベースに格納されている第2の暗号情報の何れかと一致すると判定した場合には、当該第2の暗号情報に対応する識別情報を読み出し、
読み出された前記機密情報と、前記識別情報とを結合させて、識別可能な機密情報として前記出力手段から出力させることを特徴とする機密情報保護システム。 - 前記機密情報は、個人を特定するための個人特定情報を含まない、個人の健康状態に関する情報等のプライバシー情報であり、前記識別情報は、前記個人特定情報であることを特徴とする請求項1に記載の機密情報保護システム。
- 前記認証情報は、利用者またはデータベースへのアクセス権限を有する情報管理者の指紋等のバイオメトリクス情報であることを特徴とする請求項1又は2に記載の機密情報保護システム。
- 前記第1の暗号情報および前記第3の暗号情報は、前記認証情報に第1のハッシュ関数を適用して得られる第1のハッシュ値で構成され、前記第2の暗号情報および前記第4の暗号情報は、前記認証情報に第2のハッシュ関数を適用して得られる第2のハッシュ値で構成され、前記第1の暗号情報および前記第3の暗号情報を構成する第1のハッシュ値が一致し、且つ、前記第2の暗号情報および前記第4の暗号情報を構成する第2のハッシュ値が一致した場合にのみ、前記機密情報と前記識別情報とを各データベースから読み出して結合させて識別可能な機密情報として、前記出力手段から出力させることを特徴とする請求項1から請求項3の何れかに記載の機密情報保護システム。
- 識別情報を含まない機密情報と、該各情報に対応して暗号化された第1の暗号情報を格納し、
前記識別情報と、該識別情報に対応して暗号化された第2の暗号情報を格納し、
入力される認証情報から得られる第3の暗号情報が前記第1の暗号情報の何れかと一致した場合には、当該第1の暗号情報に対応する機密情報を読み出し、
前記認証情報から得られる第4の暗号情報が前記第2の暗号情報の何れかと一致した場合には、当該第2の暗号情報に対応する識別情報を読み出し、
読み出された前記機密情報と、前記識別情報とを結合させて識別可能な機密情報として出力することを特徴とする機密情報保護方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003157941A JP2004362123A (ja) | 2003-06-03 | 2003-06-03 | 機密情報保護システム及び機密情報保護方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003157941A JP2004362123A (ja) | 2003-06-03 | 2003-06-03 | 機密情報保護システム及び機密情報保護方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004362123A true JP2004362123A (ja) | 2004-12-24 |
Family
ID=34051508
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003157941A Pending JP2004362123A (ja) | 2003-06-03 | 2003-06-03 | 機密情報保護システム及び機密情報保護方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004362123A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006244095A (ja) * | 2005-03-02 | 2006-09-14 | Takaaki Ito | 個人情報の漏洩を回避した個人認証システム |
| KR100919486B1 (ko) * | 2007-11-06 | 2009-09-28 | 고려대학교 산학협력단 | 부분 기하학적 해싱을 이용한 은닉된 지문 데이터의 정렬방법, 부분 기하학적 해싱을 이용한 지문 데이터 인증방법, 부분 기하학적 해싱을 이용한 은닉된 지문 데이터의정렬 장치 및 부분 기하학적 해싱을 이용한 지문 데이터인증 시스템 |
| WO2012043012A1 (ja) * | 2010-09-28 | 2012-04-05 | 日本電気株式会社 | 暗号化データベースシステム、クライアント端末、暗号化データベースサーバ、自然結合方法およびプログラム |
| KR101228362B1 (ko) | 2008-12-12 | 2013-02-07 | 한국전자통신연구원 | 지문 인식 장치와 이를 이용한 지문 등록 방법 |
| JP2015225356A (ja) * | 2014-05-26 | 2015-12-14 | 株式会社ジーンクエスト | 遺伝子情報提供方法、遺伝子情報提供プログラム、及び遺伝子情報提供システム |
| CN110647505A (zh) * | 2019-08-21 | 2020-01-03 | 杭州电子科技大学 | 一种基于指纹特征的计算机辅助密点标注方法 |
-
2003
- 2003-06-03 JP JP2003157941A patent/JP2004362123A/ja active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006244095A (ja) * | 2005-03-02 | 2006-09-14 | Takaaki Ito | 個人情報の漏洩を回避した個人認証システム |
| JP4697583B2 (ja) * | 2005-03-02 | 2011-06-08 | 琢晃 伊藤 | 個人情報の漏洩を回避した個人認証システム |
| KR100919486B1 (ko) * | 2007-11-06 | 2009-09-28 | 고려대학교 산학협력단 | 부분 기하학적 해싱을 이용한 은닉된 지문 데이터의 정렬방법, 부분 기하학적 해싱을 이용한 지문 데이터 인증방법, 부분 기하학적 해싱을 이용한 은닉된 지문 데이터의정렬 장치 및 부분 기하학적 해싱을 이용한 지문 데이터인증 시스템 |
| KR101228362B1 (ko) | 2008-12-12 | 2013-02-07 | 한국전자통신연구원 | 지문 인식 장치와 이를 이용한 지문 등록 방법 |
| WO2012043012A1 (ja) * | 2010-09-28 | 2012-04-05 | 日本電気株式会社 | 暗号化データベースシステム、クライアント端末、暗号化データベースサーバ、自然結合方法およびプログラム |
| JP5776696B2 (ja) * | 2010-09-28 | 2015-09-09 | 日本電気株式会社 | 暗号化データベースシステム、クライアント端末、暗号化データベースサーバ、自然結合方法およびプログラム |
| US9147079B2 (en) | 2010-09-28 | 2015-09-29 | Nec Corporation | Encrypted database system, client terminal, encrypted database server, natural joining method, and program |
| JP2015225356A (ja) * | 2014-05-26 | 2015-12-14 | 株式会社ジーンクエスト | 遺伝子情報提供方法、遺伝子情報提供プログラム、及び遺伝子情報提供システム |
| CN110647505A (zh) * | 2019-08-21 | 2020-01-03 | 杭州电子科技大学 | 一种基于指纹特征的计算机辅助密点标注方法 |
| CN110647505B (zh) * | 2019-08-21 | 2021-06-29 | 杭州电子科技大学 | 一种基于指纹特征的计算机辅助密点标注方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113536359B (zh) | 基于区块链的个人健康记录隐私保护和访问***及方法 | |
| US6317834B1 (en) | Biometric authentication system with encrypted models | |
| US8352746B2 (en) | Authorized anonymous authentication | |
| WO2017215504A1 (zh) | 一种基于生物信息的身份识别与社会信息记录方法及*** | |
| JP4900392B2 (ja) | 情報処理装置および情報管理方法 | |
| US20130318361A1 (en) | Encrypting and storing biometric information on a storage device | |
| US20070255963A1 (en) | System and method for biometrically secured, transparent encryption and decryption | |
| US20080072066A1 (en) | Method and apparatus for authenticating applications to secure services | |
| Castiglione et al. | Biometrics in the cloud: challenges and research opportunities | |
| JP2000315999A (ja) | 暗号鍵生成方法 | |
| KR20060090167A (ko) | 파일 암호화 및 복호화를 위한 다수의 키를 관리하는시스템 및 방법 | |
| JPH11143780A (ja) | データベースにおける秘密情報管理方法およびデータベースの秘密情報管理装置 | |
| US20060265328A1 (en) | Electronic information management system | |
| JP6619401B2 (ja) | データ検索システム、データ検索方法およびデータ検索プログラム | |
| KR20140029984A (ko) | 의료정보 데이터베이스 운영 시스템의 의료정보 관리 방법 | |
| US10992681B2 (en) | Authentication using blockchains | |
| JP2004362123A (ja) | 機密情報保護システム及び機密情報保護方法 | |
| JP6961414B2 (ja) | 情報漏洩防止装置、及び情報漏洩防止プログラム | |
| US20110208974A1 (en) | Countermeasure Against Keystroke Logger Devices | |
| JP4521514B2 (ja) | 医療情報流通システム及びその情報アクセス制御方法、コンピュータプログラム | |
| JPH1124997A (ja) | コンピュータで作成された記録ファイルの機密保持方法及び機密保持プログラムを記録したコンピュータ読み取り可能な記録媒体 | |
| KR101624394B1 (ko) | 패스워드 인증 장치 및 그 장치의 운용 방법 | |
| US9882879B1 (en) | Using steganography to protect cryptographic information on a mobile device | |
| CN106682531A (zh) | 一种基于生物信息授权的机密数据加密方法 | |
| JPH09204401A (ja) | データベース検索システムおよびデータベース保護方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050816 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20051213 |