JP2006053711A - Information management method, information processing system and program - Google Patents

Information management method, information processing system and program Download PDF

Info

Publication number
JP2006053711A
JP2006053711A JP2004234152A JP2004234152A JP2006053711A JP 2006053711 A JP2006053711 A JP 2006053711A JP 2004234152 A JP2004234152 A JP 2004234152A JP 2004234152 A JP2004234152 A JP 2004234152A JP 2006053711 A JP2006053711 A JP 2006053711A
Authority
JP
Japan
Prior art keywords
information
data
record
database
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004234152A
Other languages
Japanese (ja)
Inventor
Tamaki Hirano
環 平野
Kaori Muranaga
かおり 村永
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to JP2004234152A priority Critical patent/JP2006053711A/en
Publication of JP2006053711A publication Critical patent/JP2006053711A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a method for specifying a leak source or leak route of leaked information in case that information is leaked in a significant form by illicit access from the outside of a system or by illicit action of a system insider. <P>SOLUTION: In this information management method for an information processor including at least one database and a control part controlling write of data to the database and read of data from the database, in which the control part acquires, in response to a request from a user, a record from the database and presents it to the user, the acquired record is outputted while mixing dummy data unique to the user who requested the record based on a predetermined procedure. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は情報管理方法、情報処理システム、及びプログラムに係わり、特に氏名、住所、電話番号などといった個人情報を安全に管理することができる情報管理方法、情報処理システム、及びプログラムに関する。   The present invention relates to an information management method, an information processing system, and a program, and more particularly to an information management method, an information processing system, and a program capable of safely managing personal information such as name, address, and telephone number.

顧客管理やマーケティング等を目的として、個人の氏名や住所、電話番号等をデータベース化して管理することは、従来さまざまな分野で行われてきている。特に、近年大容量の記憶装置が安価に導入できるようになってきたこと、インターネットをはじめとする高速の通信ネットワークが発達してきたことなどにより、多くの企業や機関において大量の個人情報が蓄積されるようになってきた。いわゆるネットを介した通信販売の利便性が知られて頻繁に利用されるようになっている今日の状況では、前記個人情報の中にクレジットカードの番号や銀行預金口座の番号など、漏洩した場合に重大な被害が発生する恐れがある情報も含まれるようになっており、かかる情報漏洩を確実に防止することが切望されていた。このような背景に基づいて、特許文献1には、ユーザの個人情報を分割によって断片化させた状態でネットワーク上の複数のロケーションに格納しセキュリティの向上を図る個人情報管理システムが提案されている。
特開2003−271782 For the purpose of customer management, marketing, etc., it has been performed in various fields in the past to manage personal names, addresses, telephone numbers, etc. in a database. In particular, a large amount of personal information has been accumulated in many companies and institutions due to the recent introduction of large-capacity storage devices at low cost and the development of high-speed communication networks such as the Internet. It has come to be. In today's situation where the convenience of so-called mail-order sales via the Internet is known and frequently used, if the credit card number or bank account number leaked in the personal information Information that may cause serious damage is also included, and there has been an urgent need to reliably prevent such information leakage. Based on such a background, Patent Document 1 proposes a personal information management system for storing a plurality of locations on a network in a state where user personal information is fragmented by division and improving security. .
JP 2003-271882 A

前記特許文献1に提案のシステムによっても、システム外部からの不正アクセスによるにせよ、システム内部者の不正行為によるにせよ、万一意味のある形で情報が漏洩した場合に、その漏洩した情報の漏洩元や漏洩経路を特定することははなはだ困難である。また、一部の情報が漏洩した場合に、システムの運用を停止することなく、システムのセキュリティを回復することも難しかった。   Even in the case of the system proposed in Patent Document 1, even if information is leaked in a meaningful way, whether it is due to unauthorized access from outside the system or due to an unauthorized act of a system insider, the leaked information It is very difficult to specify the leak source and leak path. Also, when some information is leaked, it is difficult to restore the system security without stopping the system operation.

上記の問題点を解決することを主たる目的としてなされた本発明の一態様は、
少なくとも一つのデータベースと、そのデータベースへのデータの書き込み、及びそのデータベースからのデータの読み出しを制御する制御部とを有し、ユーザからの要求に応じて前記制御部が前記データベースから該当レコードを取得してユーザに提示する、情報処理装置における情報管理方法であって、
前記取得されたレコードに、所定の手順に基づいて、そのレコードを要求したユーザに固有のダミーデータを混入して出力する
ことを特徴とする情報管理方法である。 One aspect of the present invention, which was made mainly for the purpose of solving the above problems,
It has at least one database and a control unit that controls the writing of data to the database and the reading of data from the database, and the control unit acquires the corresponding record from the database in response to a request from the user. The information management method in the information processing apparatus to present to the user,
In this information management method, dummy data specific to the user who requested the record is mixed and output to the acquired record based on a predetermined procedure.

また、本発明の他の態様は、
複数の独立したデータベースに1のレコードを構成する個々の項目データがそれぞれ別個に格納され、
前記1のレコードにおける前記各項目間の連係情報がさらに別のデータベースに格納され、前記各データベースに格納されている項目データにはそれぞれ前記連係情報と対応する固有の管理情報が付与され、
ユーザインターフェイスからの要求に応じて前記連係情報を読み出して、前記対応する管理情報により各項目データをそれぞれのデータベースから読み出して要求されたレコードを構成して提示する、情報処理装置における情報管理方法であって、
前記管理情報と連係情報とも組み合わせは前記ユーザインターフェイスからの所定の要求あるいは定められた条件にしたがって変更することができる機能を具備する
ことを特徴とする情報管理方法である。 Another aspect of the present invention is as follows:
Each item data constituting one record is stored separately in a plurality of independent databases,
Linkage information between the items in the one record is stored in another database, and item data stored in each database is given unique management information corresponding to the link information,
An information management method in an information processing apparatus that reads the linkage information in response to a request from a user interface, reads each item data from the database with the corresponding management information, and presents the requested record. There,
A combination of the management information and the linkage information is an information management method having a function that can be changed according to a predetermined request from the user interface or a predetermined condition.

また、本発明のさらに他の態様は、
複数の独立したデータベースに1のレコードを構成する個々の項目データがそれぞれ別個に格納され、
前記1のレコードにおける前記各項目間の連係情報がさらに別のデータベースに格納され、前記各データベースに格納されている項目データにはそれぞれ前記連係情報と対応する固有の管理情報が付与され、
ユーザインターフェイスからの要求に応じて前記連係情報を読み出して、前記対応する管理情報により各項目データをそれぞれのデータベースから読み出して要求されたレコードを構成して提示する、情報処理装置における情報管理方法であって、
前記管理情報と連係情報との組み合わせは前記ユーザインターフェイスからの所定の要求あるいは定められた条件にしたがって変更することができる機能を具備し、
前記要求されたレコードを構成する際に、所定の手順に基づいて、前記要求されたレコード中にダミーデータを混入させ、
前記ダミーデータを、そのダミーデータの生成対象となった操作者の識別符号とともに記録して保持しておく
ことを特徴とする情報管理方法である。 Still another aspect of the present invention provides:
Each item data constituting one record is stored separately in a plurality of independent databases,
Linkage information between the items in the one record is stored in another database, and item data stored in each database is given unique management information corresponding to the link information,
An information management method in an information processing apparatus that reads the linkage information in response to a request from a user interface, reads each item data from the database with the corresponding management information, and presents the requested record. There,
The combination of the management information and the linkage information comprises a function that can be changed according to a predetermined request from the user interface or a predetermined condition,
When configuring the requested record, based on a predetermined procedure, mix dummy data in the requested record,
In the information management method, the dummy data is recorded and held together with an identification code of an operator who is a generation target of the dummy data.

また、本発明のさらに他の態様は、
1のレコードを構成する個々の項目データが管理情報を伴ってそれぞれ別個に格納されている複数の独立したデータベースと、
前記1のレコードにおける前記各項目間の対応関係を前記管理情報に基づいて規定する連係情報が格納されているさらに別のデータベースと、
ユーザインターフェイスからの要求に応じて前記連係情報を読み出して、その要求内容に基づいて各項目データをそれぞれのデータベースから読み出して要求されたレコードを構成して提示する制御部と、を備えた情報処理システムであって、前記制御部は、
前記管理情報と連係情報との組み合わせを前記ユーザインターフェイスからの所定の要求あるいは定められた条件にしたがって変更できる機能を具備し、
前記要求されたレコードを構成する際に、所定の手順に基づいてダミーデータを前記要求されたレコード中に混入させ、
前記ダミーデータを、そのダミーデータの生成対象となった操作者の識別符号とともに記録して保持しておく
ことを特徴とする情報処理システムである。 Still another aspect of the present invention provides:
A plurality of independent databases in which individual item data constituting one record is separately stored with management information;
Still another database storing linkage information that defines the correspondence between the items in the one record based on the management information;
A control unit that reads the link information in response to a request from the user interface, reads out each item data from each database based on the request content, and composes and presents the requested record. The system, wherein the control unit is
A function capable of changing a combination of the management information and linkage information according to a predetermined request from the user interface or a predetermined condition;
When configuring the requested record, dummy data is mixed in the requested record based on a predetermined procedure,
In the information processing system, the dummy data is recorded and held together with an identification code of an operator who is a generation target of the dummy data.

本発明のさらなる態様は、
複数の独立したデータベースに1のレコードを構成する個々の項目データが管理情報を伴ってそれぞれ別個に格納され、
前記1のレコードにおける前記各項目間の対応関係を前記管理情報に基づいて規定する連係情報がさらに別のデータベースに格納され、それらのデータベースが通信可能に接続されている情報処理装置において、当該情報処理装置に、
ユーザインターフェイスからの要求に応じて前記連係情報を読み出すステップと、
その要求内容に基づいて各項目データをそれぞれのデータベースから読み出して要求されたレコードを構成して提示するステップと、
前記管理情報と連係情報との組み合わせを前記ユーザインターフェイスからの所定の要求、あるいは定められた条件にしたがって変更するステップと、
前記要求されたレコードを構成する際に、所定の手順に基づいて、前記要求されたレコード中にダミーデータを混入させるステップと、
前記ダミーデータを、そのダミーデータの生成対象となった操作者の識別符号とともに記録して保持しておくステップと
を実行させるコンピュータソフトウェアプログラム
である。 A further aspect of the invention is:
Individual item data constituting one record is stored separately with management information in a plurality of independent databases,
In the information processing apparatus in which the linkage information that defines the correspondence between the items in the one record based on the management information is stored in another database, and the databases are connected to be communicable, the information In the processing unit,
Reading the linkage information in response to a request from the user interface;
Reading out each item data from the respective database based on the request content and composing and presenting the requested record; and
Changing a combination of the management information and linkage information according to a predetermined request from the user interface or a predetermined condition;
Mixing dummy data in the requested record based on a predetermined procedure when configuring the requested record;
A computer software program for executing the step of recording and holding the dummy data together with the identification code of the operator who is the generation target of the dummy data.

以下、添付図面を参照して本発明の実施形態について説明する。   Hereinafter, embodiments of the present invention will be described with reference to the accompanying drawings.

===基本システム構成===
図1は、本発明の一実施形態による情報処理システムの基本構成を示す概略ブロック図である。連係データベース(連係DB)120、項目データベース(項目DB)130〜150が、データ伝送路Lを介して、データベース管理システム(DBMS)102を含むデータ制御部100との間でデータ送受信が可能な態様で接続されている。制御部としてのデータ制御部100は、DBMS102が実装された、通信機能を有するコンピュータであって、使用するOS、DBMSアプリケーションの形式・種類、ネットワーク環境などは、導入先の事情に合わせて適宜決定すればよい。データ制御部100にはさらに、DBMSと連携するようにダミーデータ処理部104が設けられており、後述する各項目DB130〜150に格納されるダミーデータの生成及び各項目DBへの書込みを行うように構成される。 === Basic system configuration ===
FIG. 1 is a schematic block diagram showing a basic configuration of an information processing system according to an embodiment of the present invention. A mode in which the linkage database (linkage DB) 120 and the item databases (item DBs) 130 to 150 can exchange data with the data control unit 100 including the database management system (DBMS) 102 via the data transmission path L. Connected with. The data control unit 100 as the control unit is a computer having a communication function, in which the DBMS 102 is mounted, and the OS to be used, the format / type of the DBMS application, the network environment, and the like are appropriately determined according to the circumstances of the installation destination. do it. The data control unit 100 is further provided with a dummy data processing unit 104 so as to cooperate with the DBMS so as to generate dummy data stored in each item DB 130 to 150 described later and write to each item DB. Configured.

この図1の実施形態のシステムにあっては、データ制御部100、連係DB120、及び項目DB130〜150は一のロケーションに集中して、例えば一のラック、筐体などにまとめて実装されている態様を想定している。しかし、リスク分散の観点から、連係DB120と項目DB130〜150の一部あるいは全部を別々のロケーションに物理的に分散させて設けた記憶装置に格納してもよい。その場合、前記データ伝送路Lは、専用線、公衆電話回線、LAN、インターネット等の伝送路から選択して採用することができる。   In the system of the embodiment of FIG. 1, the data control unit 100, the linkage DB 120, and the item DBs 130 to 150 are concentrated in one location, and are collectively mounted in, for example, one rack, case, or the like. A mode is assumed. However, from the viewpoint of risk distribution, part or all of the linkage DB 120 and the item DBs 130 to 150 may be stored in a storage device that is physically distributed in different locations. In this case, the data transmission line L can be selected and adopted from a transmission line such as a dedicated line, a public telephone line, a LAN, and the Internet.

図1では、各DBが互いに物理的に独立した記憶装置であるかのように図示されているが、物理的に同一の記憶装置を論理的に分割して各論理ブロックに各DBを格納するようにしてもよい。当然のことながら、記憶装置としては、HDD、半導体メモリ等、利用可能な種々の形式の記憶デバイスを採用することができる。   In FIG. 1, each DB is illustrated as if it is a physically independent storage device, but the physically same storage device is logically divided and each DB is stored in each logical block. You may do it. As a matter of course, various types of usable storage devices such as an HDD and a semiconductor memory can be adopted as the storage device.

なお、本実施形態にあっては、個人情報を構成する各項目データを、互いに独立した項目DBに分割して格納しているが、必ずしも各項目を分割格納する必要はなく、個人情報全体を1つのレコードとして編成し、1つのデータベースにまとめて格納してもよい。このような構成であっても、後述するダミーデータの効果は、言うまでもなく享受することができる。   In this embodiment, each item data constituting personal information is divided and stored in item DBs independent of each other. However, it is not always necessary to separately store each item, and the entire personal information is stored. They may be organized as one record and stored together in one database. Even in such a configuration, it is needless to say that the effect of dummy data described later can be enjoyed.

ユーザインターフェイス110は、データ制御部100のDBMS102やダミーデータ処理部104に対するユーザからの指令を入力したり、DBMS102等からの出力をユーザに伝達したりするためのインターフェイス装置である。入力側デバイスとしては、キーボード、マウス、タッチパネル、タブレット、バーコードスキャナ、音声認識入力装置等の一般的なコンピュータ入力機器が、出力側としては、CRT、LCD等の各種ディスプレイ、プリンタ、フロッピーディスク、CD、DVD等の記録媒体用ドライブ、音声出力装置などが適宜設けられる。このユーザインターフェイス110により、システムのユーザはDBMS102を介して連係DB120、項目DB130〜150に対してクエリーを与えて所望のレコードを呼び出したり、各DBの格納データを操作したりすることができる。   The user interface 110 is an interface device for inputting a command from the user to the DBMS 102 and the dummy data processing unit 104 of the data control unit 100 and transmitting an output from the DBMS 102 and the like to the user. As an input side device, a general computer input device such as a keyboard, a mouse, a touch panel, a tablet, a barcode scanner, and a voice recognition input device is used. A drive for a recording medium such as a CD and a DVD, an audio output device, and the like are provided as appropriate. With this user interface 110, a user of the system can call a desired record by giving a query to the linked DB 120 and the item DBs 130 to 150 via the DBMS 102, and can operate stored data in each DB.

===各DBの構成===
本システムが管理するDBは、例えば病院に来院する患者や通信販売の顧客といった管理対象について、それに含まれる個人情報を管理するものである。図1に示すように、本実施形態では、登録されている各個人について、以下のフィールド(項目)を含むレコードとして記録されている。(表1)

Figure 2006053711
=== Configuration of each DB ===
The DB managed by this system manages personal information included in management objects such as patients visiting a hospital and mail order customers. As shown in FIG. 1, in the present embodiment, each registered individual is recorded as a record including the following fields (items). (Table 1)
Figure 2006053711

(1)項目DB
各項目データである氏名、住所、電話番号のデータは、項目DB130〜150に分割してそれぞれ、例えば図1の項目データテーブルT1ないしT3として格納されている。各項目データテーブルの詳細について、図2〜図4を参照しながら説明する。各項目DBに格納されている項目データには、それぞれ管理情報としての内部キー(本実施形態では、氏名キー、住所キー、電話番号キー)が付与されている。なお、各項目データテーブルに設けられている、ダミーフラグを格納したフィールドについては、ダミーデータとの関連で後述する。 (1) Item DB
Each item data of name, address, and telephone number is divided into item DBs 130 to 150 and stored, for example, as item data tables T1 to T3 in FIG. Details of each item data table will be described with reference to FIGS. Each item data stored in each item DB is provided with an internal key (in this embodiment, a name key, an address key, and a telephone number key) as management information. The field storing the dummy flag provided in each item data table will be described later in relation to the dummy data.

なお、登録する個人情報の種類や性質に応じて、さらに他の登録項目を格納する項目DBを必要に応じて追加して設けることができる。   Depending on the type and nature of personal information to be registered, an item DB for storing other registration items can be additionally provided as necessary.

万一いずれかの項目DBからデータが漏洩した場合には、該当項目DBの管理情報として格納されている内部キーを変更する。例えば、氏名、住所、電話番号が個別の項目DBに記録されており、氏名キーがN001、住所キーがA001、電話番号キーがT001、対応する会員IDが1011であるとすると、連係DBの該当レコードは、「1011,N001,A001,T001」である。ここで、例えば氏名情報が流出した場合には、内部管理用の氏名キーを変更することになる。例えば会員IDが1011の会員の内部管理用氏名キーをN011に変更した場合、連係DBのレコードもあわせて「1011,N011,A001,T001」と変更される。この操作は、会員ID毎に各項目DBのレコードをロックし、当該項目DBと連係DBの内部キーデータを順次差し替えることにより行われる。これと同様の操作を他の項目DBについても繰り返すことにより、さらに氏名キー以外の、他の内部キーをも差し替えてしまってもよく、この場合、漏洩した項目データに限って内部キーデータを差し替えるよりも、セキュリティがよりいっそう高められる。   If data leaks from any item DB, the internal key stored as management information of the corresponding item DB is changed. For example, if the name, address, and telephone number are recorded in individual item DBs, the name key is N001, the address key is A001, the telephone number key is T001, and the corresponding member ID is 1011. The record is “1011, N001, A001, T001”. Here, for example, when name information leaks, the name key for internal management is changed. For example, when the internal management name key of the member whose member ID is 1011 is changed to N011, the record in the linkage DB is also changed to “1011, N011, A001, T001”. This operation is performed by locking the record of each item DB for each member ID and sequentially replacing the internal key data of the item DB and the linkage DB. By repeating the same operation for other item DBs, other internal keys other than the name key may be replaced. In this case, the internal key data is replaced only for leaked item data. Rather than security.

なお、内部キーの変更は、上述のように、データ漏洩が発覚したことに対応して実施するほか、不測のデータ漏洩を未然に防ぐために、データ漏洩が発生しなくとも、データ制御部100にあらかじめ設定した一定条件が成立したときにデータ制御部100で強制的に、いずれかのあるいはすべての項目データに付帯している内部キーを、連係DBの該当内部キーと合わせて変更する構成としてもよい。前記一定条件としては、システムの運用時間が一定値に達した場合、レコードの読み出し回数が所定数に達した場合など、適宜の条件をデータ制御部100にて設定することができる。   As described above, the change of the internal key is performed in response to the detection of the data leakage, and in order to prevent the unexpected data leakage, the data control unit 100 can be changed even if no data leakage occurs. The data control unit 100 may forcibly change the internal key attached to any or all of the item data together with the corresponding internal key of the linkage DB when a predetermined constant condition is satisfied. Good. As the predetermined condition, an appropriate condition can be set by the data control unit 100, for example, when the operation time of the system reaches a certain value, or when the number of times of record reading reaches a predetermined number.

(2)連係DB
次に、連係DB120について、図5を参照して説明する。連係DB120の連係テーブルLT(図1)に格納されたデータは、本システムに個人情報が登録されている各個人について会員IDを付与して管理している。連係DB120の1レコードは、会員ID、氏名キー、住所キー、電話番号キー、及びダミーフラグの5つのフィールドから構成されている(ダミーフラグについては後述する。)。したがって、連係DB120に所望の会員IDについてのレコードに関するクエリーを与えれば、データ制御部100のDBMS102は、その会員IDに関連付けられたレコードに含まれる当該会員の氏名キー、住所キー、電話番号キーを用いて各項目DB130〜150へ問い合わせ、それぞれのキーに対応する項目データを会員IDと関連付けて取得し、ユーザインターフェイス110を介してユーザに提示する。 (2) Linkage DB
Next, the linkage DB 120 will be described with reference to FIG. The data stored in the linkage table LT (FIG. 1) of the linkage DB 120 is managed by assigning a member ID to each individual whose personal information is registered in this system. One record of the linkage DB 120 is composed of five fields: member ID, name key, address key, telephone number key, and dummy flag (the dummy flag will be described later). Therefore, if a query related to a record about a desired member ID is given to the linkage DB 120, the DBMS 102 of the data control unit 100 uses the name key, address key, and telephone number key of the member included in the record associated with the member ID. Using this, the item DBs 130 to 150 are inquired, item data corresponding to each key is acquired in association with the member ID, and presented to the user via the user interface 110.

この際、各項目DB単位に異なるDB管理者を割り当てて、データ制御部100から各項目DBにデータ読み出しの要求がなされる都度、各DB管理者の認証がなければ該当する項目データを読み出すことができない構成としておけば、複数のDB管理者の認証がある場合のみに意味のあるレコードを抽出することができることとなり、よりいっそうセキュリティが向上する。また、各項目DB単位でDB管理者を設けることなく、ユーザがデータ制御部100に与えたクエリーに基づいて、各項目DBに連係情報が与えられ、データの読み出し要求がされた場合に、データ制御部100及びユーザインターフェイス110を介して認証パスワードなどを要求するダイアログ画面を提示するようにしてもよい。この場合、ユーザが少なくとも2以上の項目DBについてその認証パスワードを知得していない限り、当該ユーザは有意なレコードを読み出すことができないことになる。   At this time, a different DB administrator is assigned to each item DB unit, and each time the data read request is made to each item DB from the data control unit 100, the corresponding item data is read if there is no authentication of each DB administrator. If the configuration is not possible, a meaningful record can be extracted only when there is authentication of a plurality of DB managers, and the security is further improved. In addition, without providing a DB administrator for each item DB unit, when link information is given to each item DB based on a query given by the user to the data control unit 100 and a data read request is made, the data A dialog screen for requesting an authentication password or the like may be presented via the control unit 100 and the user interface 110. In this case, unless the user knows the authentication password for at least two item DBs, the user cannot read a significant record.

なお、以上の各DBに格納されるデータは平文であるものとして構成しているが、例えばデータ制御部100に各DBへの送信データを暗号化し、また各DBからの受信データを復号化するモジュールを公知の構成を用いて設けることにより、各DBのセキュリティを強化することができる。また、会員IDに関連付けられる内部キーについて、例えば、氏名データについて、
[会員ID指定]→[第1の氏名キー]→[第2の氏名キー]→[氏名データ]
といった氏名キーの関連付けを、階層を持たせるように設定すれば、よりデータへの不正アクセスがしにくいシステムを構築することができる。 The data stored in each DB is configured as plain text. For example, the data control unit 100 encrypts transmission data to each DB and decrypts reception data from each DB. By providing the module using a known configuration, the security of each DB can be enhanced. In addition, for the internal key associated with the member ID, for example, name data,
[Member ID designation] → [First name key] → [Second name key] → [Name data]
If the name key association is set so as to have a hierarchy, it is possible to construct a system that is more resistant to unauthorized access to data.

(3)ダミーデータ
次に、本願発明の主たる特徴の一つであるダミーデータについて説明する。図2ないし図5を参照されたい。 (3) Dummy Data Next, dummy data that is one of the main features of the present invention will be described. Please refer to FIG. 2 to FIG.

本実施例のシステムでは、図示のとおり、各項目DBである氏名DB、住所DB、電話番号DBと、連係DBに、ダミーフラグを格納したフィールド(各DBに格納されたテーブルの右端の列)が設けられている。ここで、ダミーフラグとは、特定のユーザが本システムにログインした場合に、そのユーザに固有のダミーデータを生成するためのインデックスとなるデータである。ダミーフラグの値が0であるレコードは、真正のデータが格納されているレコードである。一方、0以外の文字列が格納されているレコードは、そのレコードに関するデータがダミーであることを示す。ダミーフラグに記録されている文字列は、あるユーザがシステムにログインしてレコードを読み出した場合に、個々のユーザについてユニークに割り当てられた符号である。本実施例では、説明を簡単にするために、A,B,Cの3人のユーザがシステムに登録されているものとする。それぞれのユーザがログインしてレコードを読み出した場合に、各ダミーフラグに基づいてダミーデータが生成されて、ユーザの要求にしたがって読み出されたレコードにその割り当てられたダミーデータが混入されることとなる。   In the system of the present embodiment, as shown in the figure, fields that store dummy flags in the name DB, address DB, telephone number DB, and linkage DB that are each item DB (the rightmost column of the table stored in each DB). Is provided. Here, the dummy flag is data serving as an index for generating dummy data unique to a specific user when the specific user logs in to the system. A record having a dummy flag value of 0 is a record in which authentic data is stored. On the other hand, a record in which a character string other than 0 is stored indicates that the data related to the record is dummy. The character string recorded in the dummy flag is a code uniquely assigned to each user when a certain user logs in to the system and reads the record. In this embodiment, it is assumed that three users A, B, and C are registered in the system in order to simplify the description. When each user logs in and reads a record, dummy data is generated based on each dummy flag, and the assigned dummy data is mixed into the record read according to the user's request. Become.

いま一例として、ユーザAが本システムにログインして所望のデータを読み出すプロセスを考える。ユーザAが与えたクエリーに対して、会員ID1011〜1013がヒットしたと仮定する。この場合、ユーザAのログインに基づいて、データ制御部100のダミーデータ処理部104は、上記のヒットしたレコードに加えて、ユーザA固有のダミーデータ(該当する会員IDに*印を付して示す。この印はあくまでも分かりやすくするために付したもので、このような記号が実際にデータ中に含まれるわけではない。)をダミーフラグAに基づいて生成する。(表2)

Figure 2006053711
As an example, consider a process in which user A logs in to the system and reads out desired data. Assume that the member IDs 1011 to 1013 have hit the query given by the user A. In this case, based on the login of the user A, the dummy data processing unit 104 of the data control unit 100 adds the dummy data unique to the user A (* to the corresponding member ID) in addition to the hit record. This mark is given only for the sake of clarity, and such a symbol is not actually included in the data.) Is generated based on the dummy flag A. (Table 2)
Figure 2006053711

会員ID1014のレコードは、ユーザAについて生成されたダミーデータである。したがって、このユーザAが読み出した情報が外部に漏洩した場合には、必ずその情報に会員ID1014に関するユーザA固有のダミーデータが混入されていることとなり、漏洩した情報に含まれるデータを解析すれば、その情報漏洩がユーザAによるもの(若しくはユーザAの関与が濃厚に疑われるもの)と判定することができる。   The record of the member ID 1014 is dummy data generated for the user A. Therefore, when the information read out by the user A is leaked to the outside, the information unique to the user A relating to the member ID 1014 is always mixed in the information, and if the data included in the leaked information is analyzed. Therefore, it can be determined that the information leakage is caused by the user A (or the user A is strongly suspected of being involved).

なお、上記のダミーフラグが記録されたフィールドは、各ユーザ固有のダミーデータが不用意に露見しないように、通常のアクセス権限を有する一般ユーザには不可視となるように、データ制御部100を構成するものとする。そして、特権的なシステム管理者が、システムに設定された特殊な認証コード等を入力した場合にのみダミーフラグフィールドを閲覧することができるようにする。   The field in which the dummy flag is recorded configures the data control unit 100 so that the dummy data unique to each user is not inadvertently exposed so that it is not visible to general users having normal access authority. It shall be. The privileged system administrator can browse the dummy flag field only when a special authentication code or the like set in the system is input.

以上の説明からわかるように、ダミーデータは、本システムユーザが気づかないように、実在の抽出データに混在する形で出力される。したがって、例えばダイレクトメールの送り先リストなどとして抽出されたデータを利用するシステムユーザにしてみれば、知らないうちに無効なデータが混入されていることとなる。この点、抽出データの有用性がある程度損なわれることは確かである。ただ、個人情報の保護がますます重要性を持ってきていることを考慮すれば、多少データの有用性が低下しても許容しうると考えられる。データの有用性をより重視するとすれば、ダミーデータ処理部104に生成されたダミーデータを除去するフィルタ機能を実装する、ダミーデータを混入せずにデータの抽出を行うことを許容するような特殊な認証パスワードを別途設けること等が考えられる。   As can be seen from the above description, the dummy data is output in a mixed form with the actual extracted data so as not to be noticed by the system user. Therefore, for example, if it is a system user who uses data extracted as a direct mail destination list, invalid data is mixed without knowing it. In this respect, it is certain that the usefulness of the extracted data is impaired to some extent. However, considering that the protection of personal information has become increasingly important, it can be tolerated even if the usefulness of data is somewhat reduced. If more importance is attached to the usefulness of the data, a special filter function that removes dummy data generated in the dummy data processing unit 104 is implemented, and data extraction is allowed without mixing dummy data. It may be possible to provide a separate authentication password.

また、ユーザAとユーザBが共謀してデータの不正なダウンロードを試みたと仮定すると、本実施形態の例では、ユーザAのダウンロードしたデータ群とユーザBがダウンロードしたデータ群とを突き合わせて検証すれば、共通の実在データ以外に、互いに一致しないダミーデータが混入されていることが露見してしまうおそれがある。このような事態を未然に防ぐためには、ダミーフラグフィールドを2以上設けて、複数のユーザが共謀してデータの不正入手を図った場合でも、そのユーザの組み合わせに該当するダミーデータを生成して混入し、ダミーデータの混入を見破られないようにすることが考えられる。   Assuming that user A and user B collide and attempt to download data illegally, in the example of this embodiment, the data group downloaded by user A and the data group downloaded by user B are matched and verified. For example, it may be revealed that dummy data that do not match each other is mixed in addition to the common actual data. In order to prevent such a situation in advance, even if two or more dummy flag fields are provided, and a plurality of users conspire to illegally obtain data, dummy data corresponding to the combination of the users is generated. It may be possible to prevent mixing and dummy data from being detected.

例えば表3の例では、ユーザA,Bが共謀したとしても、それぞれダミーデータとして会員ID1014のデータが共通に含まれることになるので、ユーザAおよびユーザBが入手したデータをAND条件またはOR条件で結合したとしても、完全にダミーデータを排除することはできなくなる。

Figure 2006053711
For example, in the example of Table 3, even if the users A and B collide, since the data of the member ID 1014 is included in common as dummy data, the data obtained by the user A and the user B are AND conditions or OR conditions. Even if they are combined with each other, dummy data cannot be completely eliminated.
Figure 2006053711

===本実施形態のシステムの作用===
以下、本実施形態のシステムが奏する作用について、より具体的に説明する。 === Operation of System of this Embodiment ===
Hereinafter, the effect | action which the system of this embodiment show | plays is demonstrated more concretely.

<<通常業務におけるデータの読み出し>>
図6に、通常業務におけるデータ読み出しの概略フローを示す。通常業務とは、特権的なシステム管理者ではない一般のシステムユーザが、自己の認証手段を用いてシステムから所望のデータを読み出す日常的な操作を行うことである。 << Reading data in normal operation >>
FIG. 6 shows a schematic flow of data reading in normal business. The normal business is that a general system user who is not a privileged system administrator performs a daily operation of reading desired data from the system using his / her own authentication means.

まず、データを読み出そうとするユーザは、所定の認証手段(パスワード入力等)によって、ユーザインターフェイス110を介して本システムにログインする。そして、入力画面などを通じて、クエリーを与える。   First, a user who wants to read data logs in to the system via the user interface 110 by a predetermined authentication means (password input or the like). Then, a query is given through an input screen.

入力されたクエリーは、ユーザインターフェイス110を介してデータ制御部100へ渡される(S10,S12)。クエリーが会員IDに基づいて与えられた場合には、データ制御部100のDBMS102は、直接連係DB120の連係テーブルLTにアクセスし、会員IDに対応する内部キーを入手する(S14,S16)。   The input query is passed to the data control unit 100 via the user interface 110 (S10, S12). When the query is given based on the member ID, the DBMS 102 of the data control unit 100 directly accesses the linkage table LT of the linkage DB 120 and obtains an internal key corresponding to the member ID (S14, S16).

連係DB120から必要な内部キー(氏名キー、住所キー、電話番号キー)を取得したDBMS102は、次いでその各内部キーに基づいて、各項目DBにアクセスし、前記内部キーにより関連する氏名、住所、電話番号のデータを取得する(S18,S20)。DBMS102は、会員IDとそれに関連する各項目データを会員IDごとのレコードに編集し、表形式等適宜の形式でユーザインターフェイス110に出力する(S22,S24)。例えば、ユーザは、表2のリストの形式でプリンタからプリントアウトすることもできるし、フロッピーディスク等の他の記憶媒体へ種々のファイル形式(CSV形式、SYLK形式等)で出力させることもできる。この場合、表2について前述したように、取り出したデータにはアクセスしたユーザに固有のダミーデータが混入されることとなる。   The DBMS 102 that has acquired the necessary internal keys (name key, address key, telephone number key) from the linkage DB 120 then accesses each item DB based on each internal key, and the name, address, The telephone number data is acquired (S18, S20). The DBMS 102 edits the member ID and each item data related to the member ID into a record for each member ID, and outputs it to the user interface 110 in an appropriate format such as a table format (S22, S24). For example, the user can print out from the printer in the form of the list shown in Table 2, or can output it to other storage media such as a floppy disk in various file formats (CSV format, SYLK format, etc.). In this case, as described above with reference to Table 2, dummy data specific to the accessing user is mixed in the extracted data.

なお、どのようなダミーデータが、どのユーザについて生成されたかは、ユーザのアクセスログの一部として、データ制御部100に設ける適宜の記憶装置に格納され、後日追跡できるように構成される。   Note that what kind of dummy data is generated for which user is stored in an appropriate storage device provided in the data control unit 100 as a part of the user's access log, and can be traced later.

<<ダミーデータの生成>>
次に、ダミーデータの生成の仕方について、例を挙げて説明する。
図7は、データ制御部100に設けられているダミーデータ処理部104におけるダミーデータ生成のフローの一例を示す。まず、ユーザがユーザインターフェイス110を通じて新規の会員データを追加すると(S700)、ダミーデータ処理部104は、登録された会員データ数があらかじめ設定されている所定値を越えたかどうか調べる(S710)。所定値に達していなければ(S710、No)、ダミーデータを生成することなくこのフローは終了する。登録会員データ数が所定値に達していると判定されれば(S710、Yes)、ダミーデータ作成プロセスに移る。 << Dummy data generation >>
Next, how to generate dummy data will be described with an example.
FIG. 7 shows an example of a flow of dummy data generation in the dummy data processing unit 104 provided in the data control unit 100. First, when a user adds new member data through the user interface 110 (S700), the dummy data processing unit 104 checks whether or not the number of registered member data exceeds a predetermined value (S710). If the predetermined value has not been reached (S710, No), this flow ends without generating dummy data. If it is determined that the number of registered member data has reached a predetermined value (S710, Yes), the process proceeds to a dummy data creation process.

まず、ダミーデータの作成ルールが定義されているかどうかを調べる(S720)。ダミーデータは、前記したように、あらかじめ各項目DBに格納しておいて、読み出し要求があったときにそれらを組み合わせて作成してもよいし、読み出し要求に応じて各項目についてリアルタイムに生成するようにしてもよい。リアルタイムでダミーデータを生成する場合には、ダミーデータ生成ルールを原則として各項目DBについて設定しておく(S720,Yes、S730)。例えば、本実施形態における氏名、住所のような日本語文字列データの場合、ダミーデータであることが容易に露見しないように、あらかじめ実在の氏名や住所に似せて作成した多数のダミーの中からランダムに選択してダミーデータとすることができる。あるいは、電話番号や金融機関の口座番号、クレジットカード番号のような英数文字列であれば、疑似乱数生成プロセスによってダミーデータを作り出すこともできる。   First, it is checked whether or not a dummy data creation rule is defined (S720). As described above, the dummy data may be stored in each item DB in advance, and may be created by combining them when there is a read request, or generated in real time for each item in response to the read request. You may do it. When generating dummy data in real time, a dummy data generation rule is set for each item DB in principle (S720, Yes, S730). For example, in the case of Japanese character string data such as name and address in this embodiment, from among a number of dummies created in advance to resemble real names and addresses so that the dummy data is not easily revealed. Random selection can be made into dummy data. Alternatively, dummy data can be created by a pseudo-random number generation process for alphanumeric character strings such as telephone numbers, financial institution account numbers, and credit card numbers.

ダミーデータ作成ルールが定義されていない場合には(S720,No)、すでに各項目DBに格納されている実在データから適宜のアルゴリズムによって抽出したデータを組み合わせることで、実在データではありえないダミーデータのレコードを生成する(S740)。なお、実在データの一部の文字列を入れ替えたり、他の文字列と置き換えたりして実在データとは異なるダミーデータを生成するようにしてもよい。   If no dummy data creation rule is defined (S720, No), a record of dummy data that cannot be real data by combining the data extracted by the appropriate algorithm from the real data already stored in each item DB Is generated (S740). Note that dummy data different from the actual data may be generated by replacing a part of the character string of the actual data or replacing it with another character string.

<<アクセス監視機能と組み合わせたデータ読み出し処理>>
次に、ユーザのシステムへのアクセス状況を監視する機能を組み込んだ本発明の一変形例に係るデータ読み出し処理について、図8のフローチャートを参照して説明する。この処理フローは、例えば、DBMS102及びダミーデータ処理部104を備えたデータ制御部100に実装されるコンピュータソフトウェアによって実現される。 << Data read processing combined with access monitoring function >>
Next, a data read process according to a modification of the present invention that incorporates a function of monitoring the access status of the user to the system will be described with reference to the flowchart of FIG. This processing flow is realized by, for example, computer software installed in the data control unit 100 including the DBMS 102 and the dummy data processing unit 104.

まず、ユーザが、ユーザインターフェイス110の入力デバイスを介して自己のユーザID及び認証パスワードをシステムに入力すると、データ制御部100は、その入力されたユーザID及び認証パスワードがあらかじめシステムに登録されているものと一致するかどうか(正しいかどうか)を調べる(S800、S802)。ユーザID又は認証パスワードに不備があれば(S802,No)、システムはそのユーザのログインを拒否してフローは終了する。   First, when the user inputs his / her user ID and authentication password to the system via the input device of the user interface 110, the data control unit 100 registers the input user ID and authentication password in the system in advance. It is checked whether it matches (whether it is correct) (S800, S802). If the user ID or the authentication password is incomplete (S802, No), the system rejects the user's login and the flow ends.

入力されたユーザID及び認証パスワードが正規のものであると判定されれば(S802,Yes)、入力されたユーザIDに基づいて、混入するダミーデータを作成する(S804)。ダミーデータの作成処理については、すでに説明したフローを参照されたい。ここで、データ制御部100は、ユーザからの命令入力を待つアイドリング状態となる(S806)。   If it is determined that the input user ID and authentication password are valid (S802, Yes), the mixed dummy data is created based on the input user ID (S804). For the dummy data creation process, refer to the flow already described. Here, the data control unit 100 enters an idling state waiting for a command input from the user (S806).

次いで、ユーザから入力された命令が終了(ログオフ)処理の要求であると判定されれば(S808,Yes)、そのままこのフローは終了する。ユーザから入力された命令が終了(ログオフ)処理でないと判定されれば(S808,No)、データ制御部100は、ユーザが入力した命令内容を適宜のメモリに記録する(S810)。この処理は、情報漏洩や不正アクセスなどの異常事態が生じた場合に、どのユーザからどのような処理要求があったかをさかのぼって追跡できるようにするために、各ユーザのアクセスログをとるプロセスである。   Next, if it is determined that the command input from the user is a request for end (logoff) processing (S808, Yes), this flow ends. If it is determined that the command input by the user is not an end (logoff) process (S808, No), the data control unit 100 records the command content input by the user in an appropriate memory (S810). This process is a process that takes each user's access log in order to be able to trace back what kind of processing request has been made by which user when an abnormal situation such as information leakage or unauthorized access occurs. .

次に、データ制御部100は、ユーザからの命令入力があらかじめ設定された第一の処理数設定値(「警告」レベル)に達したか否かを調べる(S812)。命令入力の処理数が前記設定値に達していた場合は(S812,Yes)、その事象をシステム管理者に通知する(S814)。この場合、前記の通知は、通信ネットワークを介してシステム管理者のアドレス宛に電子メールを送信する等、公知の適宜な構成を用いて行うことができる。   Next, the data control unit 100 checks whether or not the command input from the user has reached a preset first processing number setting value (“warning” level) (S812). If the number of processes for command input has reached the set value (S812, Yes), the event is notified to the system administrator (S814). In this case, the notification can be performed using a known appropriate configuration, such as sending an e-mail addressed to the system administrator address via a communication network.

そして、さらにデータ制御部100は、ユーザからの命令入力があらかじめ設定された、前記第一の処理数設定値よりも大きい第二の処理数設定値(「禁止」レベル)に達したか否かを調べる(S816)。命令入力の処理数が前記第二の設定値に達していた場合は(S816,Yes)、データ制御部100は、ユーザインターフェイス110を通じてユーザにそれ以上の命令を受け付けることができなくなった旨を表示し(S818)、フローを終了する。このように「警告」、「禁止」レベルを設定してユーザからの命令入力を監視するのは、一回のログインであらかじめ想定した命令処理数を超えるような大量の命令をシステムに処理させようとしている場合には、なんらかの意図をもって大量の会員データをダウンロードしようとしているなど、不正行為につながる蓋然性が高いと考えられるからである。このように大量の命令処理について警告、又は処理禁止の対応を行うことによって、不正アクセスによる情報漏洩といった事態に対するシステム耐性がいっそう高まる。   Further, the data control unit 100 further determines whether or not a command input from the user has reached a preset second processing number setting value (“prohibited” level) that is larger than the first processing number setting value. (S816). If the command input processing number has reached the second set value (S816, Yes), the data control unit 100 displays that the user can no longer accept more commands through the user interface 110. (S818), and the flow ends. In this way, setting the “Warning” and “Prohibition” levels to monitor the command input from the user is to let the system process a large number of commands that exceed the number of command processing that is assumed in advance by one login. This is because there is a high probability of being fraudulent, such as trying to download a large amount of member data with some intention. In this way, by providing a warning or processing prohibition for a large amount of instruction processing, system resistance against a situation such as information leakage due to unauthorized access is further increased.

なお、命令入力の処理数が前記「警告」レベルに達した場合には、上述のようにシステム管理者にその旨を通知するとともに、各項目データに付された内部キー(管理情報)とそれに対応する連係DBのレコード(連係情報)を自動的に変更する構成としておくことにより、よりいっそうセキュリティの強化を図ることができる。   When the number of command input processes reaches the “warning” level, the system administrator is notified as described above, and the internal key (management information) attached to each item data and it By adopting a configuration in which the corresponding linkage DB record (linkage information) is automatically changed, the security can be further enhanced.

一方、ユーザからの命令入力処理数が前記第一の処理数設定値に達していないか、前記第二の処理数設定値に達していない場合には(S812,No又はS816,No)、さらにユーザの入力した命令がデータ抽出処理であるかどうかを判定する(S820)。ユーザの入力した命令がデータ抽出処理の要求であれば(S820,Yes)、データ制御部100は、前述したダミーデータの生成方法によって生成された、アクセスしているユーザに対して一意に対応するダミーデータを、ユーザの要求にしたがって抽出したデータに混入して、ユーザインターフェイス110を介してユーザに提示する(S822)。ユーザからの要求がデータ抽出処理でなければ(S820,No)、ダミーデータは生成せずに、ユーザの要求した処理を実行してアイドリング状態に戻り待機する(S824、S806)。   On the other hand, when the number of instruction input processes from the user has not reached the first process number setting value or the second process number setting value (S812, No or S816, No), It is determined whether or not the command input by the user is data extraction processing (S820). If the command input by the user is a request for data extraction processing (S820, Yes), the data control unit 100 uniquely corresponds to the accessing user generated by the above-described dummy data generation method. The dummy data is mixed with the data extracted according to the user's request and presented to the user via the user interface 110 (S822). If the request from the user is not the data extraction process (S820, No), the process requested by the user is executed without generating dummy data, and the process returns to the idling state and waits (S824, S806).

以上、本発明の種々の実施形態によって詳細に説明したように、単一のDB管理者の不正行為により情報が漏洩した場合には、意味のある個人情報の漏洩にならない(仮に、氏名だけが漏洩しても、そこに記載されている氏名が他に付帯的情報を持たなければ、人名辞典程の意味しかない。)ので、セキュリティが保障される。また、各項目DBについて個別の認証を受けなければ、個人についての連係した意味のある情報を得られないようにすることができる。   As described above in detail according to various embodiments of the present invention, when information is leaked due to a fraudulent act of a single DB administrator, no meaningful personal information is leaked. Even if it is leaked, if the name listed there has no other incidental information, it is only the meaning of a personal dictionary, so security is guaranteed. Moreover, unless individual authentication is received for each item DB, linked meaningful information about an individual can be prevented from being obtained.

また、各システムユーザに固有のダミーデータを生成・記録し、実在データに混入して出力するようにしたので、万一情報の漏洩があった場合には、漏洩した情報から、漏洩元、漏洩経路を知ることができる。   In addition, since dummy data unique to each system user is generated and recorded and mixed with actual data and output, if there is any information leakage, the leakage source, leakage You can know the route.

さらに、一部の項目DBから情報が漏洩した場合には、システムとしての運用を止めることなく、内部管理情報としての内部キーを差し替えることで、盗難されたデータが外部で連携されることを防ぐことが可能になる。   Furthermore, when information is leaked from some item DBs, the stolen data is prevented from being linked externally by replacing the internal key as internal management information without stopping the operation as a system. It becomes possible.

本発明は、病院情報システム、金融システム等の個人情報を扱うシステムのデータベースといった用途に適用できる。また、未公開の特許出願やシステム開発のノウハウ等が記録された機密情報を扱うデータベースといった用途にも適用可能である。   The present invention can be applied to uses such as a database of a system that handles personal information such as a hospital information system and a financial system. It can also be applied to applications such as databases that handle confidential information in which unpublished patent applications and system development know-how are recorded.

本発明の一実施形態による情報処理システムの基本構成を示す概略ブロック図である。It is a schematic block diagram which shows the basic composition of the information processing system by one Embodiment of this invention. 本発明の一実施形態に係る項目データテーブルである。It is an item data table concerning one embodiment of the present invention. 本発明の一実施形態に係る項目データテーブルである。It is an item data table concerning one embodiment of the present invention. 本発明の一実施形態に係る項目データテーブルである。It is an item data table concerning one embodiment of the present invention. 本発明の一実施形態に係る連係データテーブルである。It is a linkage data table concerning one embodiment of the present invention. 本発明の一実施形態に係る情報処理システムの通常業務におけるデータ読み出し処理の概略フローである。It is a schematic flow of the data read-out process in the normal business of the information processing system which concerns on one Embodiment of this invention. 本発明の一実施形態に係る情報処理システムのダミーデータ生成フローの一例を示す。2 shows an example of a dummy data generation flow of an information processing system according to an embodiment of the present invention. 本発明の他の実施形態に係る情報処理システムのデータ読み出し処理の概略フローである。It is a schematic flow of the data reading process of the information processing system which concerns on other embodiment of this invention.

符号の説明Explanation of symbols

100 データ制御部
110 ユーザインターフェイス
102 データベース管理システム
104 ダミーデータ処理部
120 連係データベース
130,140,150 項目データベース
L データ伝送路 DESCRIPTION OF SYMBOLS 100 Data control part 110 User interface 102 Database management system 104 Dummy data processing part 120 Linked database 130,140,150 Item database L Data transmission line

Claims (5)

少なくとも一つのデータベースと、そのデータベースへのデータの書き込み、及びそのデータベースからのデータの読み出しを制御する制御部とを有し、ユーザからの要求に応じて前記制御部が前記データベースから該当レコードを取得してユーザに提示する、情報処理装置における情報管理方法であって、
前記取得されたレコードに、所定の手順に基づいて、そのレコードを要求したユーザに固有のダミーデータを混入して出力する
ことを特徴とする情報管理方法。 It has at least one database and a control unit that controls the writing of data to the database and the reading of data from the database, and the control unit acquires the corresponding record from the database in response to a request from the user. The information management method in the information processing apparatus to present to the user,
An information management method characterized in that, based on a predetermined procedure, dummy data specific to the user who requested the record is mixed and output to the acquired record. 複数の独立したデータベースに1のレコードを構成する個々の項目データがそれぞれ別個に格納され、
前記1のレコードにおける前記各項目間の連係情報がさらに別のデータベースに格納され、前記各データベースに格納されている項目データにはそれぞれ前記連係情報と対応する固有の管理情報が付与され、
ユーザインターフェイスからの要求に応じて前記連係情報を読み出して、前記対応する管理情報により各項目データをそれぞれのデータベースから読み出して要求されたレコードを構成して提示する、情報処理装置における情報管理方法であって、
前記管理情報と連係情報との組み合わせは、前記ユーザインターフェイスからの所定の要求あるいは定められた条件にしたがって変更することができる機能を具備する
ことを特徴とする情報管理方法。 Each item data constituting one record is stored separately in a plurality of independent databases,
Linkage information between the items in the one record is stored in another database, and item data stored in each database is given unique management information corresponding to the link information,
An information management method in an information processing apparatus that reads the linkage information in response to a request from a user interface, reads each item data from the database with the corresponding management information, and presents the requested record. There,
A combination of the management information and the linkage information includes a function that can be changed according to a predetermined request from the user interface or a predetermined condition. 複数の独立したデータベースに1のレコードを構成する個々の項目データがそれぞれ別個に格納され、
前記1のレコードにおける前記各項目間の連係情報がさらに別のデータベースに格納され、前記各データベースに格納されている項目データにはそれぞれ前記連係情報と対応する固有の管理情報が付与され、
ユーザインターフェイスからの要求に応じて前記連係情報を読み出して、前記対応する管理情報により各項目データをそれぞれのデータベースから読み出して要求されたレコードを構成して提示する、情報処理装置における情報管理方法であって、
前記管理情報と連係情報との組み合わせは前記ユーザインターフェイスからの所定の要求あるいは定められた条件にしたがって変更することができる機能を具備し、
前記要求されたレコードを構成する際に、所定の手順に基づいてダミーデータを前記要求されたレコード中に混入させ、
前記ダミーデータを、そのダミーデータの生成対象となった操作者の識別符号とともに記録して保持しておく
ことを特徴とする情報管理方法。 Each item data constituting one record is stored separately in a plurality of independent databases,
Linkage information between the items in the one record is stored in another database, and item data stored in each database is given unique management information corresponding to the link information,
An information management method in an information processing apparatus that reads the linkage information in response to a request from a user interface, reads each item data from the database with the corresponding management information, and presents the requested record. There,
The combination of the management information and the linkage information comprises a function that can be changed according to a predetermined request from the user interface or a predetermined condition,
When configuring the requested record, dummy data is mixed in the requested record based on a predetermined procedure,
An information management method, wherein the dummy data is recorded and held together with an identification code of an operator who is a generation target of the dummy data. 1のレコードを構成する個々の項目データが管理情報を伴ってそれぞれ別個に格納されている複数の独立したデータベースと、
前記1のレコードにおける前記各項目間の対応関係を前記管理情報に基づいて規定する連係情報が格納されているさらに別のデータベースと、
ユーザインターフェイスからの要求に応じて前記連係情報を読み出して、その要求内容に基づいて各項目データをそれぞれのデータベースから読み出して要求されたレコードを構成して提示する制御部と、を備えた情報処理システムであって、前記制御部は、
前記管理情報と連係情報との組み合わせを前記ユーザインターフェイスからの所定の要求あるいは定められた条件にしたがって変更できる機能を具備し、
前記要求されたレコードを構成する際に、所定の手順に基づいてダミーデータを前記要求されたレコード中に混入させ、
前記ダミーデータを、そのダミーデータの生成対象となった操作者の識別符号とともに記録して保持しておく
ことを特徴とする情報処理システム。 A plurality of independent databases in which individual item data constituting one record is separately stored with management information;
Still another database storing linkage information that defines the correspondence between the items in the one record based on the management information;
A control unit that reads the link information in response to a request from the user interface, reads out each item data from each database based on the request content, and composes and presents the requested record. The system, wherein the control unit is
A function capable of changing a combination of the management information and linkage information according to a predetermined request from the user interface or a predetermined condition;
When configuring the requested record, dummy data is mixed in the requested record based on a predetermined procedure,
An information processing system, wherein the dummy data is recorded and stored together with an identification code of an operator who is a generation target of the dummy data. 複数の独立したデータベースに1のレコードを構成する個々の項目データが管理情報を伴ってそれぞれ別個に格納され、
前記1のレコードにおける前記各項目間の対応関係を前記管理情報に基づいて規定する連係情報がさらに別のデータベースに格納され、それらのデータベースが通信可能に接続されている情報処理装置において、当該情報処理装置に、
ユーザインターフェイスからの要求に応じて前記連係情報を読み出すステップと、
その要求内容に基づいて各項目データをそれぞれのデータベースから読み出して要求されたレコードを構成して提示するステップと、
前記管理情報と連係情報との組み合わせを前記ユーザインターフェイスからの所定の要求、あるいは定められた条件にしたがって変更するステップと、
前記要求されたレコードを構成する際に、所定の手順に基づいて、前記要求されたレコード中にダミーデータを混入させるステップと、
前記ダミーデータを、そのダミーデータの生成対象となった操作者の識別符号とともに記録して保持しておくステップと
を実行させるコンピュータソフトウェアプログラム。

Individual item data constituting one record is stored separately with management information in a plurality of independent databases,
In the information processing apparatus in which the linkage information that defines the correspondence between the items in the one record based on the management information is stored in another database, and the databases are connected to be communicable, the information In the processing unit,
Reading the linkage information in response to a request from the user interface;
Reading out each item data from the respective database based on the request content and composing and presenting the requested record; and
Changing a combination of the management information and linkage information according to a predetermined request from the user interface or a predetermined condition;
Mixing dummy data in the requested record based on a predetermined procedure when configuring the requested record;
A computer software program for executing the step of recording and holding the dummy data together with the identification code of the operator who is the generation target of the dummy data.

JP2004234152A 2004-08-11 2004-08-11 Information management method, information processing system and program Pending JP2006053711A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004234152A JP2006053711A (en) 2004-08-11 2004-08-11 Information management method, information processing system and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004234152A JP2006053711A (en) 2004-08-11 2004-08-11 Information management method, information processing system and program

Publications (1)

Publication Number Publication Date
JP2006053711A true JP2006053711A (en) 2006-02-23

Family

ID=36031163

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004234152A Pending JP2006053711A (en) 2004-08-11 2004-08-11 Information management method, information processing system and program

Country Status (1)

Country Link
JP (1) JP2006053711A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006330901A (en) * 2005-05-24 2006-12-07 Nippon Hoso Kyokai <Nhk> System, server and program for detecting person related with illegal leakage
WO2012165518A1 (en) * 2011-06-02 2012-12-06 日本電気株式会社 Distributed anonymization system, distributed anonymization device, and distributed anonymization method
JP5137046B1 (en) * 2012-05-31 2013-02-06 株式会社イースティル Series data protection method and series data protection program
JP2016177688A (en) * 2015-03-20 2016-10-06 株式会社東芝 Data processor, data processing method and computer program
JP2021071943A (en) * 2019-10-31 2021-05-06 株式会社野村総合研究所 Risk management support apparatus

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08202739A (en) * 1995-01-23 1996-08-09 Mitsubishi Electric Corp Data collector
JPH09311807A (en) * 1996-05-22 1997-12-02 Fujitsu Ltd File protection and management device
JPH1145508A (en) * 1997-07-30 1999-02-16 Sony Corp Device and method for recording data, device and method for reproducing data, and transmission medium
JP2000059355A (en) * 1998-08-04 2000-02-25 Dainippon Printing Co Ltd Enciphering processing system
JP2001016655A (en) * 1999-06-30 2001-01-19 Advanced Mobile Telecommunications Security Technology Research Lab Co Ltd Portable terminal with security
JP2002027404A (en) * 2000-07-04 2002-01-25 Matsushita Electric Ind Co Ltd Recording and reproducing equipment
WO2002035369A1 (en) * 2000-10-13 2002-05-02 Kabushiki Kaisha Toshiba Data relay system, data relay method, data relay program, information processing method, and information processing program

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08202739A (en) * 1995-01-23 1996-08-09 Mitsubishi Electric Corp Data collector
JPH09311807A (en) * 1996-05-22 1997-12-02 Fujitsu Ltd File protection and management device
JPH1145508A (en) * 1997-07-30 1999-02-16 Sony Corp Device and method for recording data, device and method for reproducing data, and transmission medium
JP2000059355A (en) * 1998-08-04 2000-02-25 Dainippon Printing Co Ltd Enciphering processing system
JP2001016655A (en) * 1999-06-30 2001-01-19 Advanced Mobile Telecommunications Security Technology Research Lab Co Ltd Portable terminal with security
JP2002027404A (en) * 2000-07-04 2002-01-25 Matsushita Electric Ind Co Ltd Recording and reproducing equipment
WO2002035369A1 (en) * 2000-10-13 2002-05-02 Kabushiki Kaisha Toshiba Data relay system, data relay method, data relay program, information processing method, and information processing program

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006330901A (en) * 2005-05-24 2006-12-07 Nippon Hoso Kyokai <Nhk> System, server and program for detecting person related with illegal leakage
JP4700408B2 (en) * 2005-05-24 2011-06-15 日本放送協会 Unauthorized outflow detection system, unauthorized outflow detection server, and unauthorized outflow detection program
WO2012165518A1 (en) * 2011-06-02 2012-12-06 日本電気株式会社 Distributed anonymization system, distributed anonymization device, and distributed anonymization method
JPWO2012165518A1 (en) * 2011-06-02 2015-02-23 日本電気株式会社 Distributed anonymization system, distributed anonymization device, and distributed anonymization method
US9405787B2 (en) 2011-06-02 2016-08-02 Nec Corporation Distributed anonymization system, distributed anonymization device, and distributed anonymization method
JP5137046B1 (en) * 2012-05-31 2013-02-06 株式会社イースティル Series data protection method and series data protection program
JP2016177688A (en) * 2015-03-20 2016-10-06 株式会社東芝 Data processor, data processing method and computer program
JP2021071943A (en) * 2019-10-31 2021-05-06 株式会社野村総合研究所 Risk management support apparatus
JP7368184B2 (en) 2019-10-31 2023-10-24 株式会社野村総合研究所 Risk management support device

Similar Documents

Publication Publication Date Title
EP3788533B1 (en) Protecting personally identifiable information (pii) using tagging and persistence of pii
US7216292B1 (en) System and method for populating forms with previously used data values
US20060005017A1 (en) Method and apparatus for recognition and real time encryption of sensitive terms in documents
US11223482B2 (en) Secure data exchange
US20060259960A1 (en) Server, method and program product for management of password policy information
US20060075228A1 (en) Method and apparatus for recognition and real time protection from view of sensitive terms in documents
US20080066020A1 (en) System and Method to Capture and Manage Input Values for Automatic Form Fill
US20090292930A1 (en) System, method and apparatus for assuring authenticity and permissible use of electronic documents
US20070174762A1 (en) Personal web page annotation system
JP5707250B2 (en) Database access management system, method, and program
US20120331571A1 (en) System and method of managing multiple levels of privacy in documents
US9342697B1 (en) Scalable security policy architecture for data leakage prevention
WO2004081816A1 (en) Secure database access through partial encryption
US7962492B2 (en) Data management apparatus, data management method, data processing method, and program
JP2015515218A (en) Method and system for abstracted and randomized one-time use password for transaction authentication
JP4742010B2 (en) Personal information file monitoring system
Stapleton Security without obscurity: A guide to confidentiality, authentication, and integrity
US20110071994A1 (en) Method and system to securely store data
JP4585925B2 (en) Security design support method and support device
JP3814655B1 (en) File management system, information processing apparatus, and file management program
JP4948460B2 (en) Data management system
CN1811785A (en) Secure computer password system and method
JP2008059063A (en) Information management program
JP2006343887A (en) Storage medium, server device, and information security system
JP2006053711A (en) Information management method, information processing system and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070615

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100209

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100921