JP2005339308A - 生体認証と連携したプライバシー管理システムおよびそのための認証サーバ - Google Patents

生体認証と連携したプライバシー管理システムおよびそのための認証サーバ Download PDF

Info

Publication number
JP2005339308A
JP2005339308A JP2004158795A JP2004158795A JP2005339308A JP 2005339308 A JP2005339308 A JP 2005339308A JP 2004158795 A JP2004158795 A JP 2004158795A JP 2004158795 A JP2004158795 A JP 2004158795A JP 2005339308 A JP2005339308 A JP 2005339308A
Authority
JP
Japan
Prior art keywords
user
service
personal information
authentication
privacy policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004158795A
Other languages
English (en)
Inventor
Yoshiaki Isobe
義明 磯部
Masahiro Mimura
昌弘 三村
Kenta Takahashi
健太 高橋
Yoichi Seto
洋一 瀬戸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2004158795A priority Critical patent/JP2005339308A/ja
Publication of JP2005339308A publication Critical patent/JP2005339308A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】ネットワークを介したサービス提供を受けるために、開示した利用者の個人情報を利用者が承諾した利用目的内に利用を制限する。
【解決手段】利用者端末とネットワークを介して接続した認証サーバにおいて、本人確認をするための生体認証テンプレート情報と、サービス業務に用いる個人情報とを独立したデータベースで管理し、サービス提供時においては、生体認証テンプレート情報のみへアクセスを制限する手段を持つ。また、認証サーバは、利用者毎にプライバシーポリシーを設定する手段を持ち、利用者のプライバシーポリシーに応じて生体認証テンプレート情報および個人情報を利用するサービスを限定する手段を持つ。さらに、利用目的外の利用について、利用者のプライバシーポリシーに応じて利用申請を受け付ける手段を持つ。
【選択図】図1

Description

本発明は、特定のサービス提供を目的とした個人情報を収集するサービス事業において、利用者の本人確認とサービス業務を行う際の個人情報の保護に関する。
本発明に関連する従来技術として、以下のようなものがある。
特許文献1は、利用者の個人情報である生体情報を暗号化し、暗号化された生体情報は利用者の指定した認証サーバにのみ、復号可能な状態でネットワークを転送されるものとして、生体情報という利用者個人のプライバシーを、利用者の意思を反映した形で保護する。また、認証サーバで認証ログをとり、不正な情報の再使用を防止する。さらに、認証サーバによって認証されたか否かが認証依頼側で確認できるようにしてシステムのセキュリティを高く維持することを提案している。
特開2000−92046号公報
しかしながら、特許文献1では、ネットワークを介して生体認証に用いる照合用の生体情報を転送する際のセキュリティを保持するのみで、すでに登録されている照合の基準となる生体情報や個人情報に対する目的外の利用に対する保護が考慮されておらず、必ずしも、十分なものとは言えない。
本発明のシステムでは、この問題に対して、次のような解決手段を持たせて、より高いセキュリティを維持できるようにする。
本発明の生体認証と連携したプライバシー管理システムは、ネットワークを介してサービスを提供する際の利用者の本人確認は、利用者端末とネットワークを介して接続した認証サーバにおいて行う。認証サーバは、この際、生体認証により本人確認をするための生体認証テンプレート情報と、サービス業務に用いる個人情報とを独立したデータベースに管理して行うとともに、サービス提供時においては、生体認証テンプレート情報のみへのアクセスに制限する。ここで、独立したデータベースとは、例えば、物理的に分離されてアクセスを分離して管理できる複数のハードディスクで構成されても良いし、アクセスを領域分離して管理できる一つのハードディスクで構成されても良い。
また、本発明の認証サーバは、利用者毎にプライバシーポリシーを設定する手段を持ち、利用者のプライバシーポリシーに応じて生体認証テンプレート情報および個人情報を利用するサービスを限定する。また、利用者毎にプライバシーポリシーを設定することにより、利用目的外の利用について、利用者のプライバシーポリシーに応じて利用するサービスを限定する。さらに、利用者毎にプライバシーポリシーを設定することにより、利用者のプライバシーポリシーに応じて接続する機器のセキュリティレベルを機器認証し、利用目的を認証した上で、生体認証テンプレート情報による認証や個人情報を提供する。
本発明では、個人情報と生体認証テンプレート情報とを独立したDBで個別に管理しているため、認証時には生体認証テンプレート情報DBのみを、業務時には個人情報DBのみを各利用者のプライバシーポリシーに合致した上でアクセスに供することができ、登録生体認証テンプレート情報と個人情報が、直接結びつかず、生体認証テンプレート情報のみで個人を同定するに至らず、プライバシーを保持できる。
本発明の実施の形態を以下の順で説明する。
(1)システム構成、
(2)処理フロー、
(3)データベース、
(4)認証サーバの機能構成、
(5)サービスサーバの機能構成、
(6)別のシステム構成、および
(7)一時識別番号を発行する場合の処理フロー。
(1)システム構成
図1は本発明のプライバシー管理システムの構成を示すブロック図である。
本システムは、ネットワーク100に、認証サーバ110、複数のサービスサーバ120a,---、複数の利用者端末130a,---、サービス提供機器の一つである複数のサービス端末140a,---、他のサービス提供機器の一つである複数のサービス業務端末150a,---がつながって構成されている。
認証サーバ110は、各利用者の個人情報データベース(以下データベースはDBと表示する)111、各利用者のプライバシーポリシーDB112、生体認証テンプレート情報DB113を個別に持ち、認証処理のたびに追加する認証ログ114と個人情報を提示するたびに追加する個人情報提供ログ115を持つサーバ装置116で構成されている。
サービスサーバ120a,---は、各利用者の受けることができるサービスを規定するサービス権限DB121、各利用者へのサービス提供のたびに追加するサービスログ122を持つサーバ装置126より構成されている。
各利用者は、ネットワーク100によって認証サーバ110、サービスサーバ120a,---に接続された利用者端末130a,---または、特定サービス専用のサービス端末140a,---を介してサービスを受ける。本発明では、システムの利用に先立って、利用者端末130a,---を介して、生体認証の利用目的を認証サーバ110のプライバシーポリシーDB112に登録して置くことが必要である。これにより、生体認証の利用目的に沿ったサービスを受けたいときに、利用者端末130a,---、または、サービス提供機器の一つである特定サービス専用のサービス端末140a---、より、認証サーバ110によって、利用者本人である認証を行った上で、サービスの提供を受けることができる。
他のサービス提供機器の一つであるサービス業務端末150a,---は、サービス事業を提供する上で、必要な業務を行う端末である。例えば、あるサービスの対価を利用者へ請求するなどの業務処理を行う端末である。サービス業務端末150a,---は、例えば、サービスの対価を利用者へ請求する業務であれば、サービスサーバ120a,---のサービスログ122より未処理ログを得て、該当する未処理ログの利用者の識別番号の個人情報を、認証サーバ110へ請求し、認証サーバ110の承認の下に、これらの情報を受領して業務(例えば、請求書作成など)を行う。認証サーバ110は、個人情報の請求を行ったサービス業務端末が利用者のプライバシーポリシーに合致しているか否か確認のうえ、合致している場合にのみ必要な個人情報を提供する。
このように、認証サーバ110では、個人情報と生体認証テンプレート情報とを独立したDBで個別に管理しているため、認証時には生体認証テンプレート情報DB113のみを、業務時には個人情報DB111のみを各利用者のプライバシーポリシーに合致した上でアクセスに供するので、登録生体認証テンプレート情報と個人情報が、直接結びつかず、生体認証テンプレート情報のみで個人を同定するに至らず、プライバシーを保持できる。
認証サーバ110、複数のサービスサーバ120a,---、複数の利用者端末130a,---、複数のサービス端末140a,---および複数のサービス業務端末150a,---は、当然、電子計算機であり、より詳細な構成と保持するプログラムについては、認証サーバ110で代表して、図11Aと図11Bを参照して、後述する。
(2)処理フロー
本発明のプライバシー管理システムにおける処理フローを説明する。ここでは、まず、正当な利用者と確認した上でサービスを提供する際の認証サービス提供フローを、次いで、サービスの正規目的業務における個人情報を使った業務フローについて、それぞれ、説明する。
図2は、認証サービス提供時のシーケンスフローを示す図である。
利用者がサービス端末140aからサービスサーバ120aへサービスを要求する(ステップ201)と、要求されたサービスが本人確認の必要なサービスの場合、サービスサーバ120aからサービス端末140aへ認証要求する(ステップ202)。サービス端末140aは、利用するサービスID、利用者のIDを認証サーバ110へ送付する(ステップ205)。認証サーバ110は、ステップ201で認証要求がなされたサービスが、当該認証要求の認証対象であるIDの利用者のプライバシーポリシーDB112に設定されている目的内の利用サービスであるか、サービスIDを利用して確認する(ステップ206)。プライバシーポリシーによりサービス端末との間で機器認証が必要であれば、機器認証を行う(ステップ207)。プライバシーポリシーに合致しているか判定する(ステップ208)。合致していればステップ210へ、合致していなければ、ステップ209へ進み、NG情報をサービス端末へ通知し、処理を終了する。
ステップ210では、認証サーバより、サービス端末へ照合情報を要求する。サービス端末では照合情報を収集し(ステップ211)、認証サーバへ照合情報を送信する。認証サーバでは、対応するIDの生体認証テンプレート情報と照合し、しきい値以上であるか判定する(ステップ215)。評価結果がしきい値以上であればステップ221へ、しきい値未満であれば、連続してしきい値未満であった回数(試行回数)のカウンタの内容を1増加させ(ステップ216)て、ステップ217へ進む。ステップ217では、カウンタの内容が設定した回数以内、すなわち、連続して本サービス要求に対するしきい値未満であった回数(試行回数)が、設定した回数以内であれば、ステップ218へ進む。設定した回数を超えていれば、ステップ219へ進む。ステップ218では、認証サーバ110よりサービス端末140aへ再認証要求を行い、ステップ211へ戻る。ステップ219では認証処理(ステップ216)がNGの認証ログを記録し、認証処理NGをサービス端末140aへ通知(ステップ220)し、終了する。
ステップ221では認証ログを記録するとともに、図示を省略したが試行回数カウンタの内容をゼロにクリアし、ステップ222に進んで、ステップ215の照合結果と利用者IDを、認証サーバ110から当該サービスを提供するサービスサーバ120aへ送付する。サービスサーバ120aでは、当該IDの利用者がサービスの権限があるか確認する(ステップ230)。権限があれば、ステップ234へ進む。権限がなければ、権限NGをサービス端末140aへ通知(ステップ233)し、終了する。ステップ234では、サービス要求のあったサービス端末140aへ要求されたサービスを提供する。これに併せて、サービス提供のログを記録(ステップ235)し、処理を終了する。
次に、サービス業務において、個人情報を利用する際の処理を説明する。図3はサービス業務において、個人情報を利用する際の処理フローを示す図である。ここで、サービス業務とは、例えば、利用者へのサービス提供に対する対価の請求などがある。
まず、サービス業者は、サービス業務端末150aからサービスサーバ120aへ未処理ログを要求する(ステップ301)。サービスサーバ120aは未処理のログをサービス業務端末150aへ提示する(ステップ302)とともに、未処理ログの提示記録を取る(ステップ303)。サービス業務端末150aから、認証サーバ110へサービス提供ログのIDに対応する必要な個人情報を請求する(ステップ304)。この際、サービス業務端末のサービスIDも通知する。
認証サーバ110は利用者IDとサービスIDを利用して、利用者のプライバシーポリシーを確認する(ステップ310)。プライバシーポリシーにより、業務端末の機器認証やプログラムの目的の認証、業務端末のオペレータの認証が必要な場合は、それぞれの認証処理を行う(ステップ311)。認証サーバ110は、IDの利用者が設定したプライバシーポリシーに合致した請求であるか確認(ステップ312)し、合致していればステップ314へ進み、サービス業務端末へ個人情報を提供するとともに、個人情報提供ログを記録する(ステップ315)。合致していなければNGをサービス業務端末150aへ通知(ステップ313)し、終了する。
サービス業務端末150aでは、提供された個人情報により、業務処理を行う(ステップ320)。その後、サービス業務端末150aは、ログのIDの処理を終了したことをサービスサーバ120aへ通知する(ステップ321)。これを受けて、サービス端末では、処理が終了したことをログに記録(ステップ322)し、処理を終了する。
以上のように、認証サーバ110は、それぞれの処理において、サービスの提供を受ける際には利用者の識別情報に紐ついた生体認証テンプレート情報とその権限のみを、サービス業務を遂行する際には、必要な個人情報のみを提供するように切り分けることで、生体認証テンプレート情報と個人情報とが結びつくことを防止し、生体認証テンプレート情報のプライバシーを保護することができる。
続いて、利用者が生体認証テンプレート情報を利用する場合として、想定していない目的外の利用を行う場合について、説明する。ここで、目的外利用の例として、次の利用などが考えられる。
(i)セキュリティレベルを確認する目的の精度評価、
(ii)認証アルゴリズムをチューニング、
(iii)セキュリティホールとなり得る特定IDの生体認証テンプレート情報の調査・解析、および、
(iv)犯罪捜査(特に指紋認証の場合)。
また、生体認証テンプレート情報と同様に新しいサービス利用や一時的な利用目的など、個人情報の目的外利用も考えられる。本発明のプライバシー管理システムでは、生体認証テンプレート情報と同様に以下の処理フローを取る。
ここでは、まず、本発明のプライバシー管理システムにおける目的外利用を申請するフローを、次いで、目的外利用の申請に対する許可/拒否の処理フローを説明する。
図4は本発明のプライバシー管理システムにおける目的外利用の申請処理フローを示す図である。
認証サーバ110は、目的外の端末(例えば、サービス業務端末150a)から利用申請を受ける(ステップ401)これは、例えば、生体認証テンプレート情報の認証要求、あるいは、個人情報要求である。この場合、当然、目的外の端末は要求する利用者ID、利用目的、要求情報の種別、情報の管理責任者などの情報を提示して利用申請をする。認証サーバ110は要求された利用者IDのプライバシーポリシーを確認する(ステップ411)。プライバシーポリシーにより、要求端末の機器認証が必要な場合、要求を受けた端末や端末のプログラムのセキュリティレベルを認証する(ステップ412)。要求端末のセキュリティポリシーを検証し(ステップ413)、合致していれば、ステップ415へ進む。合致していなければ、目的外の端末へ個人情報の提示NGを通知し、処理を終了する(ステップ414)。
認証サーバ110は、要求端末のセキュリティポリシーが合致していれば、利用の申請があったIDの利用者へ通知する(ステップ415)。この通知は、目的外利用の申請内容を電子メールなどで通知する(ステップ416)ものであり、目的外処理待ち案件ID、目的外利用の利用目的、要求情報、情報の管理者、端末のセキュリティレベルなどを通知する。これに続けて、利用者の処理待ち案件リストへ登録(ステップ417)して処理を終了する。
図5は、目的外利用申請に対する利用者による許可/拒否の処理フローを示す図である。
利用者は、利用者端末130aにおいて上述した認証サーバ110のステップ416の通知によって目的外利用の通知を確認(ステップ501)すると、目的外利用の許可処理開始を目的外処理待ちの案件IDと利用者IDともに認証サーバ110に通知する(ステップ502)。
認証サーバ110は、ステップ502の通知を受けて、利用者IDの目的外利用のプライバシーポリシーを確認する(ステップ510)。プライバシーポリシーで機器認証が必要であれば、認証サーバは、利用者の端末を認証する(ステップ511)。ポリシーに合致した端末であるかどうかを判定し(ステップ512)、合致した端末であれば、ステップ514へ進む。合致していなければ、ステップ513としてNGを利用者端末へ返信し、処理を終了する。
ステップ514では、認証サーバ110は処理待ち案件リストの中から、当該利用者の案件を読み出し、案件情報を利用者に確認させるため、送信する(ステップ515)。
利用者端末130aは、送信された案件情報の内容を端末の表示装置に表示して利用者に見せる(ステップ516)。利用者は、利用者端末130aの表示装置に表示された案件情報に対して、利用者端末130aの入力装置によって、目的外利用の許可/拒否情報を入力する。さらに、利用者端末130aは、本人確認用の照合情報を収集する(ステップ517)。利用者端末130aは、収集した照合情報および利用者の入力した目的外の利用目的への個人情報または生体認証テンプレート情報の利用を許可するか、拒否するかの情報を認証サーバ110に送る(ステップ518)。
認証サーバ110は、許可/拒否情報を送った利用者が本人か否か、確認するため、ステップ518で得た照合情報により、利用者(生体)認証を行う(ステップ519)。ステップ519の認証がOKであれば、利用者の許可または否許可に応じて、利用申請した目的外端末に対し、個人情報または生体認証テンプレート情報の開示を許可/拒否する情報を、当該目的のサービスのIDとともに通知する(ステップ520)。ステップ519の認証がNGであれば、NGを利用者端末130aに通知して、処理を終了する(ステップ521)。さらに、ステップ519の認証が当該目的での利用を許可するものであったか否かを判定し(ステップ522)、許可であった場合、当該サービスIDの利用をポリシーに追加し(ステップ523)処理を終了する。不許可であった場合は何もしないで処理を終了する。
ここで、許可情報としては、(1)許可、(2)一定期間許可、(3)一定回数許可、などがある。また、これに対応して、許可するサービスに対するポリシー情報も同時に設定する(図8に示すポリシーデータベース112の項番1024−1035参照)。
このフローから分かるように、目的外の利用に対しても各利用者への許可を求めて柔軟に対応することができるシステムとなり、手続きが遵守されることにより、利用者に対しても安心を与えることができる。また、データ管理者にとっても、利用者の認証を確認できるため、個人情報を適切に管理できる。また、ポリシーデータベースの改変を利用者の認証がある場合のみに制限することができる。
(3)データベース
本発明のプライバシー管理システムの認証サーバ110では、利用者の個人情報DB111、生体認証テンプレート情報DB113およびプライバシーポリシーDB112の設定情報を管理している。これらのデータ内容について説明する。
図6は個人情報DB111のデータの構成例を示す図である。ここでは、利用者の識別番号601、利用者の氏名602、利用者の住所603、利用者の電話番号604、利用者のメールアドレス605などを、各利用者について持つ。これらの情報は暗号化して管理し、目的内の利用要求に対して、随時、復号化して提供する。このことにより、より安全に個人情報を管理できる。
図7は生体認証テンプレート情報DB113の構成例を示す図である。ここでは、利用者の識別番号701、利用者の生体認証テンプレート情報702などを持つ。場合によっては、複数の生体情報の生体認証テンプレート情報を持つ場合もある。
図8はプライバシーポリシーDB112の構成例を示す図である。プライバシーポリシーの設定情報の管理データを、図8を参照して説明する。
プライバシーポリシーの設定情報として、各利用者の識別番号に対して、次の三つの観点で設定を行う。
(i)生体認証テンプレート情報を使った認証に関する設定、
(ii)各サービスおよびサービスサーバに関する設定、
(iii)各サービスの業務端末に関する設定。
まず、生体認証テンプレート情報を使った認証に関する設定として、利用者の識別番号(1001)毎に、次のような情報を設定する:
生体認証テンプレート情報の暗号化(1011):する、しない、等、
暗号鍵の管理(1012):利用者が1011の暗号化鍵を管理する、認証サーバで管理する、あるいは、第三者機関に預託する、等、
生体認証の試行回数(1013):n回まで、等、
生体認証の利用目的のサービス(1014):サービスA、サービスB、等、
生体認証のための生体情報を収集する端末の制限(1015):利用者の端末のみ、利用目的のサービス端末OK、任意の端末OK、等、
生体認証を行う機器の制限(1016):認証サーバのみ、各利用者の端末で可、サービスサーバで可、等。
次に、各サービスやそのサービスを提供する各サービスサーバに関する設定として、利用者の識別番号毎に、次のような情報を設定する:
サービスサーバのサービス業務識別番号(1021)、
生体認証テンプレート情報開示(1022):OK、NG、等、
そのサービスに対する認証レベル(1023):しきい値設定、他人受入率(誤り率)設定、サーバデフォルト、等、
サービスサーバの有効期限、あるいは、そのサービスの有効回数(1024):2005年、あるいは、k回、等。
さらに、各サービスの業務端末に関する設定として、利用者の識別番号毎に、次のような情報を設定する:
業務端末のサービス業務識別番号(1031)。
業務端末のセキュリティレベル(1032):m以上、等、
そのサービスに対して、開示する個人情報の範囲(1033):氏名|住所|TEL|e−アドレス|クレジット番号|銀行口座|を01フラグで設定、等、
業務端末を操作するオペレータの認証(1034):あり、なし、等、
サービスサーバの有効期限、あるいは、そのサービスの有効回数(1035):2005年、あるいは、k回、等。
また、目的外利用に関する設定として、利用者の識別番号毎に、次のような情報などを設定する:
目的外利用端末(1042):申請を受け付ける、受け付けない、等、
目的外利用を申請した端末・サーバのセキュリティレベル(1041):n以上、等。
図1に明らかなように、認証サーバ110は、上述した情報の他に、認証履歴ログ114と、個人情報の提供ログ115を管理している。
図9はサービスサーバ120aの持つサービス権限DB121のデータの構成例を示す図である。サービス権限DB121では、利用者の識別番号801と、利用者の識別番号に対するサービスの権限情報801を、識別番号毎に管理する。
図10は、サービスサーバ120aのサービス提供ログ122のデータの構成例を示す図である。サービス提供ログ122は、提供を受けた日時901、利用者の識別番号902と、提供を受けたサービス内容903を持つ。
(4)認証サーバ110の機能構成
本発明のプライバシー管理システムの認証サーバの機能構成ブロックを図11Aに示す。認証サーバ110は、個人情報DB111を管理する個人情報管理プログラム1121、プライバシーポリシーDB112を管理するプライバシーポリシー管理プログラム1122、生体認証テンプレート情報DB113を管理する生体認証テンプレート情報管理プログラム1123、認証サーバ110の通信処理をつかさどるプログラムとネットワーク100と接続するためのハードとからなりネットワーク100を介して利用者端末130a,---やサービスサーバ120a,---、サービス端末140a,---、サービス業務端末150a,---と通信する通信インタフェイス1131、利用者端末130a,---との間の認証処理に対応して、認証処理を管理する認証要求処理管理プログラム1132、生体認証テンプレート情報管理プログラムより生体認証テンプレート情報を受け生体認証する生体認証プログラム1133、認証結果を記録した認証ログ114を管理する認証ログ管理プログラム1134を持つ。また、サービス業務端末150a,---との間の個人情報要求の処理を管理する個人情報要求処理管理プログラム1141、個人情報提供に関するアクセスを記録した個人情報提供ログ115を管理する個人情報提供ログ管理プログラム1142、利用者端末130a,---、サービス端末140a,---、サービス業務端末150a,---およびサービスサーバ120a,---の機器認証をする端末認証プログラム1143を持つ。
図11Aで説明した認証サーバ110は、電子計算機で構成されるものである。図11Bは、図11Aで説明した認証サーバ110の機能ブロックを電子計算機の構成として表示したブロック図である。20はシステムバスである。システムバス20には入力手段としてのキーボード21、マウス21が接続され、出力手段としての印刷手段21、表示手段21が接続される。さらに、システムバス20には、中央処理装置(CPU)22、メモリのワークエリア23、メモリの格納エリア24が接続される。また、通信インタフェイス1131を介してネットワーク100が接続され、ネットワーク100には認証サーバ110、サービスサーバ120a,---、利用者端末130a,---、サービス端末140a,---およびサービス業務端末150a,---が接続される。
先にフロー図で説明した各種の処理が、中央処理装置(CPU)22が格納エリア24に保持された必要なプログラムおよびデータをワークエリア23に読み出して実行する。なお、格納エリア24には、図11Aで説明したプログラムに限らず、電子計算機の動作に必要なプログラムが保持される。
(5)サービスサーバ120aの機能構成
サービスサーバ120a,---については詳細な説明は省略するが、認証サーバ110と同様に、各利用者の受けることができるサービスを規定するサービス権限DB121、各利用者へのサービス提供のたびに追加するサービスログ122および図3に例示したフローを実行するためのサービスプログラムをメモリとメモリにアクセスできる中央処理装置を持つサーバ装置126よりなる計算機で構成され、また、図2および図3に例示したフローを実行するためのサービスプログラムおよび中央処理装置を有する。中央処理装置はサービスプログラムに応じてサービス権限DB121およびサービスログ122のデータを基礎に必要な処理を行う。
(6)別のシステム構成
本発明のプライバシー管理システムの第2のシステム構成を図12Aに示す。本質的には図1に示すシステム構成と同じであり、同じ機能あるいは同等の機能を果たすものには同じ参照符号を付した。
図12Aに示すシステム構成は、ネットワーク100を利用者端末130a,---の接続されるWAN1240と、サービス端末140a,---およびサービス業務端末150a,---が接続されるLAN1250に分離し、これらの間を第1ゲートウエイGW1230と第2ゲートウエイGW1230を直列に接続して接続した。また、認証サーバ110を第1認証サーバ110−1と、第2認証サーバ110−2に分割して、第1認証サーバ110−1は第1ゲートウエイGW1230と第2ゲートウエイGW1230の接続点に接続し、第2認証サーバ110−2はLAN1250に接続した。サービスサーバ120a,---はLAN1250に接続した。
分離された第1認証サーバ110−1は生体認証の生体認証テンプレート情報と認証に関するプライバシーポリシーのみを管理し、分離された第2認証サーバ110−2は個人情報サーバとして機能するものとされる。そのため、プライバシーポリシーDB112も、ポリシー1DB112−1とポリシー2DB112−2に分離され、ポリシー1DB112−1には認証に関するプライバシーポリシーが格納され、ポリシー2DB112−2には個人情報に関するプライバシーポリシーが格納される。また、生体認証テンプレート情報DB113および認証ログ114は第1認証サーバ110−1に設けられる。同様に、個人情報DB111と個人情報提供ログ115は第2認証サーバ110−2に設けられる。
第1ゲートウエイGW1230は、WAN1240からLAN1250に向けた信号の流れでは、利用者端末130a,---から認証サーバ110−1向けのみに限定するように設定される。また、LAN1250からWAN1240に向けた信号の流れでは、サービスサーバ120a,---から利用者端末130a,---向けのみに限定するように設定される。第2ゲートウエイGW1230は、WAN1240からLAN1250に向けた信号の流れでは、認証サーバ110−1からサービスサーバ120a,---向けのみに限定するように設定される。また、LAN1250からWAN1240に向けた信号の流れでは、サービスサーバ120a,---から利用者端末130a,---向けのみに限定するように設定される。これらの信号の流を図中に太線で示した。
このように個人情報と生体認証テンプレート情報を分離管理し、ゲートウェイにより情報の流れを制御することで、サービス業務端末から生体認証テンプレート情報へのアクセスを制限できる。また、個人情報に対しても、WANからのアクセス脅威を削減できる。
図12Bおよび図12Cは、図12Aのシステム構成における第1認証サーバ110−1と第2認証サーバ110−2の具体的な構成例を図11Bと同様に示したものである。図12Aおよび図11Bと同一のもあるいは同等の機能を果たすものに同じ参照符号を付した。図12Aと対比して明らかなように、それぞれのサーバの目的に応じて、情報DBと処理プログラムが分割して配置される。動作の詳細は図12Aのそれと同様であるので、説明は省略する。
(7)一時識別番号発行する場合の処理フロー
本発明の生体認証と連携したプライバシー管理システムにおいて、サービスサーバにおいて、権限確認をしない場合、利用者のIDが必要ない。このような場合、認証サーバからサービスサーバに提供する利用者IDを一時的に利用するIDとして提示しても問題はない。この際、一時的なIDと利用者IDを認証サーバの認証ログに記録しておき、サービス業務端末による個人情報要求のあった一時IDに対し、認証サーバでは、認証ログを確認して利用者IDの個人情報をサービス業務端末へ提供することができる。
このような一時IDを利用することで、IDによる利用状況のトレーシングができなくなり、よりプライバシーを保持した運用ができる効果がある。
本発明は、ネットワークを介してサービスを提供するシステムにおいて、利用者本人であることを確認する場合に利用できる。
本発明の実施例を説明するシステム全体の構成図である。 本発明の実施例におけるサービス利用時に利用者認証の処理フローの例である。 本発明の実施例における目的内のサービス業務における個人情報要求の処理フローの例である。 本発明の実施例における目的外に個人情報や生体認証テンプレート情報の利用を申請する際の処理フローの例である。 本発明の実施例における目的外利用に関して、利用者の利用許可/拒否を行う際の処理フローの例である。 本発明の実施例における認証サーバで管理する個人情報のデータベースのデータ構成の例である。 本発明の実施例における認証サーバで管理する生体認証テンプレート情報データベースのデータ構成の例である。 本発明の実施例における認証サーバで管理するプライバシーポリシーの設定データベースのデータ構成の例である。 サービスサーバ120aの持つサービス権限DB121のデータの構成例を示す図である。 本発明の実施例におけるサービスサーバで管理するサービス提供ログのデータ構成の例である。 本発明の実施例における認証サーバの機能ブロックを示す図である。 図11Aで説明した認証サーバ110の機能ブロックを電子計算機の構成として表示したブロック図である。 本発明のプライバシー管理システムの第2のシステム構成を示す図である。 図12Aのシステム構成における第1認証サーバ110−1の具体的な構成例を示す図である。 図12Aのシステム構成における第2認証サーバ110−2の具体的な構成例を示す図である。
符号の説明
20…システムバス、21…キーボード21、21…マウス、21…印刷手段、21…表示手段、22…中央処理装置(CPU)、23…メモリのワークエリア、24…メモリの格納エリア24、100…ネットワーク、110…認証サーバ、120a…サービスサーバ、130a…利用者端末、140a…サービス端末、150a…サービス業務端末、111…個人情報データベース、112…プライバシーポリシー設定データベース、113…生体認証テンプレート情報データベース、114…認証ログ、115…個人情報提供ログ、116,126…サーバ装置、121…権限データベース、122…サービスログ、1131…通信インタフェイス。

Claims (18)

  1. ネットワークを介し、所定のサービスを実行するサービス提供機器と利用者端末とに接続された認証サーバであって、
    利用者の個人情報データベースと、
    前記個人情報データベースとは、独立してアクセスされる利用者の生体認証テンプレートデータベースと、
    利用者毎の利用者IDで管理され、前記生体認証テンプレートデータベースの利用目的を格納した利用者のプライバシーポリシーデータベースとを有し、
    前記サービス提供機器が発行するサービス内容を特定するサービスIDおよび利用者端末から送信される利用者IDに基づき、当該サービスIDおよび利用者IDの組が前記プライバシーポリシーに登録されているか否かを確認し、登録されている場合に、前記個人情報データベース、あるいは、前記プライバシーポリシーデータベースにアクセス可能であることを特徴とする認証サーバ。
  2. 前記利用者のプライバシーポリシーデータは、利用者端末からの利用者による要求を受けて、利用者毎の識別番号に応じて設定可能である請求項1記載の認証サーバ。
  3. 前記利用者のプライバシーポリシーデータの設定において、利用者のプライバシーポリシーに応じて、個人情報を暗号化し、利用者が設定した目的のみに対して復号化して提供する請求項2記載の認証サーバ。
  4. 前記利用者のプライバシーポリシーデータの設定において、利用者のプライバシーポリシーに応じて、目的内のサービスに対してのみ認証機能を提供する請求項2記載の認証サーバ。
  5. 前記利用者のプライバシーポリシーの目的外の利用に対して、他の利用者の個人情報の開示申請を受け付け、ポリシーの設定者である利用者の承認があったときは、他の利用者に個人情報を提供する請求項4記載の認証サーバ。
  6. 前記目的外の利用に対して、個人情報の開示申請をポリシーの設定者である利用者が承認したときは、プライバシーポリシーデータに開示申請に対応するプライバシーポリシーの目的を追加する請求項5記載の認証サーバ。
  7. 前記利用者のプライバシーポリシーデータが、個人情報を要求する前記サービス提供機器の一つであるサービス業務端末のセキュリティレベルの機器認証を要求するものであるときは、セキュリティレベルの機器認証を実行して所定のセキュリティレベルにあることを確認したうえで、個人情報を提供する請求項1記載の認証サーバ。
  8. 前記利用者のプライバシーポリシーデータが、本人確認の要求を許す利用者端末と本人確認の要求を制限する項目を持つ請求項1記載の認証サーバ。
  9. ネットワークに接続された認証サーバ、サービスサーバ、利用者端末、およびサービス提供機器からなり、サーバおよび端末間で相互にデータの送受信が出来るシステムに適用できるプライバシー管理システムであって、
    前記認証サーバは利用者の個人情報データベース、利用者の生体認証テンプレートデータベース、認証ログ、個人情報提供ログ、および、利用者のプライバシーポリシーデータベース、認証要求処理管理プログラムおよび個人情報要求処理管理プログラムを備えるメモリと、前記メモリにアクセス可能な中央処理装置とを備えた計算機であり、
    前記サービスサーバは各利用者の受けることができるサービスを規定するサービス権限データベース、各利用者へのサービス提供のたびに追加するサービスログおよびサービスのためのサービスプログラムを備えるメモリと、前記メモリにアクセス可能な中央処理装置とを備えた計算機であり、
    前記認証サーバは、利用者の個人情報データ、利用者の生体認証テンプレートデータ、および、利用者のプライバシーポリシーデータを利用者毎の識別番号にて管理するとともに、前記利用者の個人情報データベースと利用者の生体認証テンプレートデータベースとは独立して前記中央処理装置によりアクセスされるものとし、前記中央処理装置はサービス利用時の生体認証テンプレートデータを使った本人確認処理とサービス業務時の個人情報データを使った個人情報要求に対する処理を、当該プライバシーポリシーに設定した目的を確認したうえで実行することを特徴とするプライバシー管理システム。
  10. 前記認証サーバは、利用者が要求したサービスに対してサービスサーバが権限確認をしないものである場合には、サービスサーバに提供する利用者IDを一時的に利用するIDとして提示し、一時的なIDと利用者IDを認証サーバの認証ログに記録しておき、前記サービス提供機器の一つであるサービス業務端末による個人情報要求のあった一時IDに対し、認証ログを確認して利用者IDの個人情報をサービス業務端末へ提供する請求項9記載のプライバシー管理システム。
  11. 前記利用者のプライバシーポリシーデータは、利用者端末からの利用者による要求を受けて、前記中央処理装置によって利用者毎の識別番号に応じて設定可能である請求項9記載のプライバシー管理システム。
  12. 前記利用者のプライバシーポリシーデータの設定において、利用者のプライバシーポリシーに応じて、個人情報を暗号化し、利用者が設定した目的のみに対して復号化して提供する請求項11記載のプライバシー管理システム。
  13. 前記利用者のプライバシーポリシーデータの設定において、利用者のプライバシーポリシーに応じて、目的内のサービスに対してのみ認証機能を提供する請求項9記載のプライバシー管理システム。
  14. 前記利用者のプライバシーポリシーの目的外の利用に対して、他の利用者の個人情報の開示申請を受け付け、ポリシーの設定者である利用者の承認があったときは、他の利用者に個人情報を提供する請求項13記載のプライバシー管理システム。
  15. 前記目的外の利用に対して、個人情報の開示申請をポリシーの設定者である利用者が承認したときは、プライバシーポリシーデータに開示申請に対応するプライバシーポリシーの目的を追加する請求項14記載のプライバシー管理システム。
  16. 前記利用者のプライバシーポリシーデータが、個人情報を要求する前記サービス提供機器の一つであるサービス業務端末のセキュリティレベルの機器認証を要求するものであるときは、前記中央処理装置はセキュリティレベルの機器認証を実行して所定のセキュリティレベルにあることを確認したうえで、個人情報を提供する請求項9記載のプライバシー管理システム。
  17. 前記利用者のプライバシーポリシーデータが、本人確認の要求を許す利用者端末と本人確認の要求を制限する項目を持つ請求項9記載のプライバシー管理システム。
  18. 第1のネットワークに接続された利用者端末と、第2のネットワークに接続されたサービスサーバ、個人情報サーバおよびサービス提供機器とからなり、それぞれのネットワーク間は直列接続された第1、第2のゲートウエイで接続されるとともに、第1、第2のゲートウエイの接続点に認証サーバが接続されたプライバシー管理システムであって、
    前記認証サーバは利用者の生体認証テンプレートデータベースおよび認証ログ、利用者の生体認証テンプレートデータに関するプライバシーポリシーデータベース、認証要求処理管理プログラムを備えるメモリと、前記メモリにアクセス可能な中央処理装置とを備えた計算機であり、
    前記個人情報サーバは利用者の個人情報データベース、個人情報提供ログおよび利用者の個人情報データに関するプライバシーポリシーデータベース、個人情報要求処理管理プログラムを備えるメモリと、前記メモリにアクセス可能な中央処理装置とを備えた計算機であり、
    前記サービスサーバは各利用者の受けることができるサービスを規定するサービス権限データベース、各利用者へのサービス提供のたびに追加するサービスログおよびサービスのためのサービスプログラムを備えるメモリと、前記メモリにアクセス可能な中央処理装置とを備えた計算機であり、
    前記認証サーバは、利用者の生体認証テンプレートデータ、および、利用者の生体認証テンプレートデータに関するプライバシーポリシーデータを利用者毎の識別番号にて管理するとともに、前記中央処理装置はサービス利用時の生体認証テンプレートデータを使った本人確認処理を、当該プライバシーポリシーに設定した目的を確認したうえで実行し、
    前記個人情報サーバは利用者の個人情報データ、および、利用者の個人情報データに関するプライバシーポリシーデータを利用者毎の識別番号にて管理するとともに、前記中央処理装置はサービス利用時の利用者の個人情報確認処理を、当該プライバシーポリシーに設定した目的を確認したうえで実行し、
    前記第1のゲートウエイは前記利用者端末の接続された第1のネットワークから前記認証サーバへの信号の流れのみを許容し、前記第2のゲートウエイは前記認証サーバから前記サービスサーバへの信号の流れのみを許容し、前記直列接続された第1のゲートウエイと第2のゲートウエイは前記サービスサーバから前記利用者端末への信号の流れのみを許容する、
    ことを特徴とするプライバシー管理システム。
JP2004158795A 2004-05-28 2004-05-28 生体認証と連携したプライバシー管理システムおよびそのための認証サーバ Pending JP2005339308A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004158795A JP2005339308A (ja) 2004-05-28 2004-05-28 生体認証と連携したプライバシー管理システムおよびそのための認証サーバ

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004158795A JP2005339308A (ja) 2004-05-28 2004-05-28 生体認証と連携したプライバシー管理システムおよびそのための認証サーバ

Publications (1)

Publication Number Publication Date
JP2005339308A true JP2005339308A (ja) 2005-12-08

Family

ID=35492794

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004158795A Pending JP2005339308A (ja) 2004-05-28 2004-05-28 生体認証と連携したプライバシー管理システムおよびそのための認証サーバ

Country Status (1)

Country Link
JP (1) JP2005339308A (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010067535A1 (ja) * 2008-12-08 2010-06-17 日本電気株式会社 個人情報交換システム、個人情報提供装置、そのデータ処理方法、およびそのコンピュータプログラム
WO2011018937A1 (ja) * 2009-08-11 2011-02-17 日本電気株式会社 端末装置、通信システム、データ管理方法、サーバ装置、および記録媒体
JP2011065242A (ja) * 2009-09-15 2011-03-31 Nec Corp セキュリティポリシー作成装置、作成方法および作成プログラム
KR101222757B1 (ko) 2008-10-03 2013-01-15 후지쯔 가부시끼가이샤 개인 정보 시스템
KR101528785B1 (ko) * 2014-02-18 2015-06-15 주식회사 마인드웨어웤스 개인정보 소유자의 동의를 기반으로 하는 개인정보 보호시스템 및 그 방법
JP2016149082A (ja) * 2015-02-13 2016-08-18 エヌ・ティ・ティ・インターネット株式会社 生体認証プラットフォームシステム、生体認証情報管理装置、生体認証情報管理方法、及び生体認証情報管理プログラム
WO2016144098A1 (en) * 2015-03-09 2016-09-15 Samsung Electronics Co., Ltd. User information processing method and electronic device supporting the same
JP2018136792A (ja) * 2017-02-22 2018-08-30 Kddi株式会社 情報管理装置、情報管理方法、及びコンピュータプログラム
JP6839313B1 (ja) * 2020-02-18 2021-03-03 Dxyz株式会社 顔認証方法、プログラム、記録媒体および顔認証システム
JP2022500756A (ja) * 2018-09-12 2022-01-04 ライブランプ インコーポレーテッド ブロックチェーン分散型台帳を使用した複雑な消費者データのサプライチェーンの同意の履歴と適合性の追跡

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101222757B1 (ko) 2008-10-03 2013-01-15 후지쯔 가부시끼가이샤 개인 정보 시스템
WO2010067535A1 (ja) * 2008-12-08 2010-06-17 日本電気株式会社 個人情報交換システム、個人情報提供装置、そのデータ処理方法、およびそのコンピュータプログラム
JP5348143B2 (ja) * 2008-12-08 2013-11-20 日本電気株式会社 個人情報交換システム、個人情報提供装置、そのデータ処理方法、およびそのコンピュータプログラム
US8826369B2 (en) 2009-08-11 2014-09-02 Nec Corporation Terminal, communication system, data management method, server and storage medium
JPWO2011018937A1 (ja) * 2009-08-11 2013-01-17 日本電気株式会社 端末装置、通信システム、データ管理方法、サーバ装置、および記録媒体
WO2011018937A1 (ja) * 2009-08-11 2011-02-17 日本電気株式会社 端末装置、通信システム、データ管理方法、サーバ装置、および記録媒体
JP5681872B2 (ja) * 2009-08-11 2015-03-11 レノボ・イノベーションズ・リミテッド(香港) 端末装置、通信システム、データ管理方法、サーバ装置、および記録媒体
JP2011065242A (ja) * 2009-09-15 2011-03-31 Nec Corp セキュリティポリシー作成装置、作成方法および作成プログラム
KR101528785B1 (ko) * 2014-02-18 2015-06-15 주식회사 마인드웨어웤스 개인정보 소유자의 동의를 기반으로 하는 개인정보 보호시스템 및 그 방법
JP2016149082A (ja) * 2015-02-13 2016-08-18 エヌ・ティ・ティ・インターネット株式会社 生体認証プラットフォームシステム、生体認証情報管理装置、生体認証情報管理方法、及び生体認証情報管理プログラム
WO2016129439A1 (ja) * 2015-02-13 2016-08-18 エヌ・ティ・ティ・インターネット株式会社 生体認証プラットフォームシステム、生体認証情報管理装置、生体認証情報管理方法、及び生体認証情報管理プログラム
WO2016144098A1 (en) * 2015-03-09 2016-09-15 Samsung Electronics Co., Ltd. User information processing method and electronic device supporting the same
JP2018136792A (ja) * 2017-02-22 2018-08-30 Kddi株式会社 情報管理装置、情報管理方法、及びコンピュータプログラム
JP2022500756A (ja) * 2018-09-12 2022-01-04 ライブランプ インコーポレーテッド ブロックチェーン分散型台帳を使用した複雑な消費者データのサプライチェーンの同意の履歴と適合性の追跡
JP6839313B1 (ja) * 2020-02-18 2021-03-03 Dxyz株式会社 顔認証方法、プログラム、記録媒体および顔認証システム

Similar Documents

Publication Publication Date Title
US11314891B2 (en) Method and system for managing access to personal data by means of a smart contract
US7779457B2 (en) Identity verification system
US8832800B2 (en) Method for producing an electro-biometric signature allowing legal interaction between and identification of persons
US7698480B2 (en) Portable storage device with updatable access permission
EP3997605A1 (en) Cryptoasset custodial system with proof-of-stake blockchain support
US20030018915A1 (en) Method and system for user authentication and authorization of services
EP3997606B1 (en) Cryptoasset custodial system with custom logic
US20140223578A1 (en) Secure data delivery system
WO2016205813A1 (en) System and method for biometric-based authentication of a user for a secure event carried out via a portable electronic device
JP2004534988A (ja) 機密ネットワークアクセス
CN101310286A (zh) 改进的单点登录
JP2009258820A (ja) アカウント管理システム、アカウント管理装置、アカウント管理方法
US20030229782A1 (en) Method for computer identification verification
US7210163B2 (en) Method and system for user authentication and authorization of services
JP3587045B2 (ja) 認証管理装置及び認証管理システム
JP2005339308A (ja) 生体認証と連携したプライバシー管理システムおよびそのための認証サーバ
JP4805615B2 (ja) アクセス制御方法
RU2311676C2 (ru) Способ обеспечения доступа к объектам корпоративной сети
JP2002312326A (ja) Usbインターフェイスを備える電子デバイスを用いた複数認証方法
JP3966233B2 (ja) 端末利用認証システム
EP2254093B1 (en) Method and system for confirming the identity of a user
KR101360843B1 (ko) 차세대 금융 거래 시스템
CN108600178A (zh) 一种征信数据的安全保障方法及***、征信平台
KR102086234B1 (ko) 블록체인을 가지는 가상화폐 거래시스템
US20090235080A1 (en) Method And Server For Accessing An Electronic Safe Via a Plurality of Entities