JP2006309737A - 開示情報提示装置、個人特定度算出装置、id度取得装置、アクセス制御システム、開示情報提示方法、個人特定度算出方法、id度取得方法、及びプログラム - Google Patents

開示情報提示装置、個人特定度算出装置、id度取得装置、アクセス制御システム、開示情報提示方法、個人特定度算出方法、id度取得方法、及びプログラム Download PDF

Info

Publication number
JP2006309737A
JP2006309737A JP2006086564A JP2006086564A JP2006309737A JP 2006309737 A JP2006309737 A JP 2006309737A JP 2006086564 A JP2006086564 A JP 2006086564A JP 2006086564 A JP2006086564 A JP 2006086564A JP 2006309737 A JP2006309737 A JP 2006309737A
Authority
JP
Japan
Prior art keywords
personal information
user
service
degree
personal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2006086564A
Other languages
English (en)
Inventor
Takashi Nagaoka
孝 永岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2006086564A priority Critical patent/JP2006309737A/ja
Publication of JP2006309737A publication Critical patent/JP2006309737A/ja
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】ユーザの主観のみでなく客観的な基準を用いて開示情報を決定し、決定した開示情報に基づき開示制御を行うことを可能とする。
【解決手段】ユーザ端末に、当該ユーザ端末のユーザにとって開示してよい個人情報の組み合わせを提示する開示情報提示装置において、前記ユーザ端末から、前記ユーザが指定した指定個人特定度を受信する受信手段と、複数ユーザの個人情報を格納した個人情報データベースを参照する参照手段と、前記個人情報データベースを参照し、前記ユーザの個人情報の組み合わせを、当該個人情報の組み合わせと同じ個人情報の組み合わせを持つ前記個人情報データベースにおけるユーザの数が前記指定個人特定度以上となるように決定する開示情報決定手段と、決定した個人情報の組み合わせを前記ユーザ端末に送信する送信手段とを備える。
【選択図】図1

Description

本発明は、ネットワーク上での個人情報の開示を制御する技術に関連するものである。
ネットワーク上での個人情報の開示を制御する技術として、ユーザのネットワーク資源に対するアクセス権を記録したデータであるアクセスコントロールリストを用いる技術や、ユーザとサービス提供側のポリシーを用いる技術がある。
ポリシーを用いる技術では、例えば、ユーザが開示してもよい個人情報(ユーザポリシー)を登録しておき、これとサービス提供側が必要とする個人情報(サービスポリシー)とを比較することによりサービスへのアクセス許否を決定するといった制御が行われる。開示制御に関連する先行技術文献として、例えば特許文献1がある。
特開2002−149650号公報
しかし、上記のポリシーを用いる技術において、どの個人情報を開示したらどの程度個人が特定されてしまうのかは不明であるので、ユーザポリシーの決定、すなわち、開示してよい個人情報の決定はユーザの主観のみにたよるしかなく、個人のプライバシー保護という観点から見て適切な個人情報の開示が行われない可能性があった。また、ユーザにとって様々なサービスに対応した膨大なポリシーを設定する作業は負担が大きいという問題があった。
本発明は上記の点に鑑みてなされたものであり、ユーザの主観のみでなく客観的な基準を用いて開示情報を決定する技術を提供することを目的とする。
上記の課題は、ユーザ端末に、当該ユーザ端末のユーザにとって開示してよい個人情報の組み合わせを提示する開示情報提示装置であって、前記ユーザ端末から、前記ユーザが指定した指定個人特定度を受信する受信手段と、複数ユーザの個人情報を格納した個人情報データベースを参照する参照手段と、前記個人情報データベースを参照し、前記ユーザの個人情報の組み合わせを、当該個人情報の組み合わせと同じ個人情報の組み合わせを持つ前記個人情報データベースにおけるユーザの数が前記指定個人特定度以上となるように決定する開示情報決定手段と、決定した個人情報の組み合わせを前記ユーザ端末に送信する送信手段とを備えることを特徴とする開示情報提示装置により解決できる。
例えば、前記開示情報決定手段は、前記ユーザの一の個人情報の組み合わせを決め、その組み合わせと同じ組み合わせを持つ前記個人情報データベースにおけるユーザの数が、前記ユーザが指定した指定個人特定度以上である場合に、その組み合わせを、前記ユーザにとって開示してよい個人情報の組み合わせとして決定することができる。
また、前記開示情報提示装置は、個人情報の種別毎に、前記個人情報データベースに登録されたユーザの全数に対する個人情報の種類の数の割合をID度として取得する手段を備え、前記指定個人特定度とともに当該ID度を用いて前記ユーザ端末に送信するべき個人情報を決定することとしてもよい。
また、前記開示情報決定手段により決定されたユーザの個人情報の種別毎にID度を所定の閾値と比較し、全てのID度が当該所定の閾値より小さい場合に、前記決定されたユーザの個人情報の組み合わせを前記送信手段により前記ユーザ端末に送信するように構成してもよい。
また、所定の閾値より小さいID度を持つ種別の個人情報を、ユーザにとって開示してよい個人情報であると決定し、当該種別の個人情報を、前記指定個人特定度を用いた判定における個人情報の組み合わせから除外するように構成してもよい。
また、本発明は、個人特定度を算出するための個人特定度算出装置であって、複数ユーザの個人情報を格納した個人情報データベースを参照する参照手段と、ユーザ端末から、当該ユーザ端末のユーザに対してあるサービスを提供することを要求するサービス要求を受信した場合に、前記サービスの提供に必要な個人情報の種別の組み合わせを取得し、前記個人情報データベースにおける全ユーザのうち、前記サービスの提供に必要な個人情報の種別の組み合わせに該当する前記ユーザの個人情報の組み合わせと同じ組み合わせを持つユーザの数を前記個人特定度として算出する個人特定度算出手段とを有することを特徴とする個人特定度算出装置として構成してもよい。
また本発明は、ユーザ端末と、サービス提供装置と、アクセス制御システムとがネットワークを介して接続されたネットワークシステムにおいて使用される前記アクセス制御システムであって、当該アクセス制御システムは、開示情報提示手段と、アクセス制御手段と、複数ユーザの個人情報を格納した個人情報データベースと、ポリシー管理手段とを有し、前記開示情報提示手段は、前記ユーザ端末から、前記ユーザが指定した指定個人特定度を受信する受信手段と、前記個人情報データベースを参照する参照手段と、前記個人情報データベースを参照し、前記ユーザの個人情報の組み合わせを、当該個人情報の組み合わせと同じ個人情報の組み合わせを持つ前記個人情報データベースにおけるユーザの数が前記指定個人特定度以上となるように決定する開示情報決定手段と、決定した個人情報の組み合わせを前記ユーザ端末に送信する送信手段とを有し、前記ポリシー管理手段は、前記ユーザ端末から登録された前記ユーザの開示許可個人情報の種別と、前記サービス提供装置のサービスの提供に必要な個人情報の種別を格納し、前記アクセス制御手段は、前記ユーザに前記サービスを提供することを要求するサービス要求を受け付け、前記ポリシー管理手段に格納された情報を参照して、前記ユーザの開示許可個人情報と、前記サービスの提供に必要な個人情報とを比較し、前記サービスの提供に必要な個人情報が全て前記開示許可個人情報に含まれる場合に、前記サービスを提供するために必要な個人情報を前記サービス提供装置に送信することを特徴とするアクセス制御システムとして構成することもできる。
前記開示情報提示手段は、ユーザの個人情報の種別毎に、前記個人情報データベースに登録されたユーザの全数に対する個人情報の種類の数の割合をID度として取得する手段を備え、前記指定個人特定度とともに当該ID度を用いて前記ユーザ端末に送信するべき個人情報を決定することとしてもよい。
また、本発明は、ユーザ端末と、サービス提供装置と、アクセス制御システムとがネットワークを介して接続されたネットワークシステムにおいて使用される前記アクセス制御システムであって、当該アクセス制御システムは、アクセス制御手段と、複数ユーザの個人情報を格納した個人情報データベースと、ポリシー管理手段とを有し、前記ポリシー管理手段は、前記ユーザ端末から登録された、前記ユーザ端末のユーザが指定した指定個人特定度と、前記サービス提供装置のサービスの提供に必要な個人情報の種別を格納し、 前記アクセス制御手段は、前記ユーザ端末から、前記ユーザに対して前記サービスを提供することを要求するサービス要求を受信した場合に、前記サービスの提供に必要な個人情報の種別の組み合わせを前記ポリシー管理手段から取得し、前記個人情報データベースにおける全ユーザのうち、前記サービスの提供に必要な個人情報の種別の組み合わせに該当する前記ユーザの個人情報の組み合わせと同じ組み合わせを持つユーザの数を個人特定度として算出し、算出した個人特定度と、前記ポリシー管理手段に格納された指定個人特定度とを比較して、算出した個人特定度が前記指定個人特定度以上である場合に、前記サービスを提供するために必要な個人情報を前記サービス提供装置に送信することを特徴とするアクセス制御システムとして構成してもよい。
上記構成において、前記ポリシー管理手段は、前記ユーザ端末から登録された前記ユーザの開示許可個人情報の種別を更に格納し、前記アクセス制御手段は、前記サービスの提供に必要な個人情報の種別の中に、前記ユーザの開示許可個人情報の種別以外の種別が含まれている場合でも、算出した個人特定度が前記指定個人特定度以上である場合には、前記サービスの提供に必要な個人情報を前記サービス提供装置に送信するようにしてもよい。
前記アクセス制御手段は、個人情報の種別毎に、前記個人情報データベースに登録されたユーザの全数に対する個人情報の種類の数の割合をID度として取得する手段を備え、前記個人特定度とともに当該ID度を用いて前記サービス提供装置へのアクセス許否を決定するように構成してもよい。
例えば、前記アクセス制御手段は、前記サービスの提供に必要な個人情報の種別毎に、ID度を所定の閾値と比較し、全てのID度が当該所定の閾値より小さい場合に、前記サービス提供装置へのアクセスを許可する。また、前記アクセス制御手段は、所定の閾値より小さいID度を持つ種別の個人情報を、ユーザにとって開示してよい個人情報であると決定し、当該種別の個人情報を、前記個人特定度の算出における個人情報の組み合わせから除外することとしてもよい。
また、本発明は、複数ユーザの個人情報を格納した個人情報データベースを参照する参照手段と、ユーザ端末から、当該ユーザ端末のユーザに対してあるサービスを提供することを要求するサービス要求を受信した場合に、前記サービスの提供に必要な個人情報の種別の組み合わせを取得し、当該個人情報の種別毎に、前記個人情報データベースに登録されたユーザの全数に対する個人情報の種類の数の割合をID度として取得するID度取得手段とを備えることを特徴とするID度取得装置として構成することもできる。
更に、本発明は、ユーザ端末と、サービス提供装置と、アクセス制御システムとがネットワークを介して接続されたネットワークシステムにおいて使用される前記アクセス制御システムであって、当該アクセス制御システムは、アクセス制御手段と、複数ユーザの個人情報を格納した個人情報データベースを有し、前記ポリシー管理手段は、前記サービス提供装置のサービスの提供に必要な個人情報の種別を格納し、前記アクセス制御手段は、前記ユーザ端末から、前記ユーザに対して前記サービスを提供することを要求するサービス要求を受信した場合に、前記サービスの提供に必要な個人情報の種別の組み合わせを前記ポリシー管理手段から取得し、当該個人情報の種別毎に、前記個人情報データベースに登録されたユーザの全数に対する個人情報の種類の数の割合をID度として取得し、前記個人情報の種別毎に、ID度と所定の閾値とを比較することにより、前記サービス提供装置へのアクセスの許否を決定することを特徴とするアクセス制御システムとして構成することもできる。
また、本発明は、開示情報提示装置、個人特定度算出装置、ID度取得装置をコンピュータに実現させるプログラムとして構成することもできる。更に本発明は、開示情報提示装置、個人特定度算出装置、ID度取得装置が実行する方法の発明として構成することもできる。
本発明によれば、個人特定度という客観的な基準を用いて開示制御を行うので、個人の主観のみにたよる場合よりも、個人のプライバシーをより確実に保護した適切な開示制御を行うことが可能になる。また、本発明のアクセス制御システムによれば、ユーザが個人情報を利用する様々なサービスを利用する場合でも、それぞれのサービスに対して別々の開示ポリシーをユーザが設定する必要はなくなる。
また、ID度を用いることにより、個人を特定する度合いが高い可能性のある個人情報の開示をより確実に制限することが可能となる。また、必要以上に開示情報を制限してしまうことを防止することもできる。
以下、図面を参照して本発明の実施の形態を説明する。
(第1の実施の形態:個人特定度に基づく開示情報の提示)
図1に、本発明の第1の実施の形態におけるシステム構成図を示す。図1に示すように、本実施の形態のシステムは、指定された個人特定度に基づき開示してよい情報を決定し、提示する開示情報提示サーバ1、事前に登録された多数のユーザの個人情報をデータベースとして格納する個人情報管理サーバ2、個人特定度を指定して開示情報の提示を受けるユーザ端末3を有し、これらがネットワーク4を介して接続されている。
図2は、開示情報提示サーバ1の機能構成図である。図2に示すように、開示情報提示サーバ1は、ユーザ端末3にインタフェース画面を送信し、ユーザ端末3から個人特定度を受信し、個人特定度に基づき決定した開示情報種別(開示ポリシーという)を送信するユーザインタフェース部11と、個人情報管理サーバ2内の全ユーザの個人情報を参照して開示情報を決定する開示情報決定部12と、ネットワーク4を介して情報を送受信するための通信処理部13とを有している。
開示情報提示サーバ1は、CPU、メモリ、ハードディスク等の記憶装置等を有する一般的なコンピュータ上に、プログラムを搭載することにより実現可能であり、上記の各機能部はコンピュータのハードウェア資源とプログラムとが協働して実現されるものである。
図3のシーケンスチャートを参照して、このシステムの動作概要を説明する。まず、ユーザ端末3が、ユーザ端末3のユーザが指定した個人特定度をユーザの識別情報とともに開示情報提示サーバ1に送信する(ステップ1)。開示情報提示サーバ1は、個人情報管理サーバ2に格納された全ユーザの個人情報を参照し(ステップ2)、ユーザが指定した個人特定度以上となる、当該ユーザの個人情報の種別の組み合わせを決定し、決定した個人情報の種別の組み合わせをユーザ端末3に送信する(ステップ3)。ユーザ端末3では画面に個人情報の種別の組み合わせが表示される。個人特定度以上という条件を満たす組み合わせが複数あればそれら複数の組み合わせが表示される。ユーザは例えばその種別を用いてサービスに対するポリシー登録を行ったり、サービス利用の可否を判断することができる。
以下、個人特定度に基づき開示情報の種別を決定する処理について説明するが、まず「個人特定度」の定義について説明する。本願明細書及び特許請求の範囲において、あるユーザの所定の個人情報(姓、年齢等の組)の「個人特定度」とは、全ユーザの中で、上記対象ユーザの所定の個人情報と同じ個人情報を有しているユーザの数のことである。また、「種別」とは、「姓」、「年齢」等、個人情報の項目のことである。
「個人特定度」が大きいということは他に同じ個人情報を持つユーザが多数存在することを意味し、個人を特定する度合いは低くなり、「個人特定度」が小さいと個人を特定する度合いは高くなる。すなわち、「個人特定度」の大小と、一般的な意味での「個人を特定する度合い」の大小とでは意味が逆になるが、本願明細書及び特許請求の範囲において、「個人特定度が大きい」とは上記のように定義した「個人特定度」の値が大きいことを意味し、「個人特定度が小さい」とは上記のように定義した「個人特定度」の値が小さいことを意味する。
図4を参照して個人特定度の例について説明する。図4は、個人情報データベースがID、姓、名、年齢、性別、住所のフィールドからなる場合を示しており、姓が「山田」、年齢が「20」、住所が「東京」という特定の個人情報の個人特定度は、当該個人情報データベースにおいて、姓が「山田」、かつ、年齢が「20」、かつ、住所が「東京」という条件を満たすレコードの数であり、そのレコード数が3であれば、姓が「山田」、年齢が「20」、住所が「東京」という個人情報の個人特定度は3である。
開示情報決定部12が行う、あるユーザに関して個人特定度が与えられた場合において、その個人特定度以上の個人情報の種別の組み合わせを決定する処理については、指定された個人特定度以上の個人情報の種別の1つ又は複数の組を決定できる処理であればどのような処理を用いてもよいが、例えば次のような処理を行う。
まず、個人情報データベースにおける最初のフィールド(IDを除く。図4の例では「姓」)における対象ユーザの個人情報の個人特定度を求め、これが指定した個人特定度以上であれば、次のフィールド(図4の例では「名」)の個人情報を最初のフィールドの個人情報にANDした条件で個人特定度を求める。このようにしてフィールドの順番で次々ANDしていき、最初のフィールドから、個人特定度が指定した個人特定度未満となったフィールドの1つ前のフィールドまでの種別を、決定開示情報としてユーザ端末3に通知する。
例えば、図4の例において、「姓」AND「名」の個人特定度が指定した個人特定度以上であり、「姓」AND「名」AND「年齢」の個人特定度が指定した個人特定度未満となった場合は、「姓」と「名」を開示情報の種別としてユーザ端末3に通知する。また、例えば、図4の例において、「姓」の個人特定度は指定した個人特定度以上であり、「姓」AND「名」の個人特定度が指定した個人特定度未満となった場合において、「名」の代わりに「名」の次の「年齢」を用い、「姓」AND「年齢」の個人特定度が指定した個人特定度以上である場合、もしくは「姓」AND「年齢」AND「性別」の個人特定度が指定した個人特定度未満となった場合に、「姓」と「年齢」を決定開示情報としてユーザ端末3に通知する処理を行ってもよい。また、例えば、予め定めた種別数まで種別を選択したら、指定した個人特定度未満となる前に、それを開示情報として決定してもよい。
別の例として、対象ユーザの個人情報の各々の種別毎の個人特定度を求め、個人特定度が大きい順番でANDをとって個人特定度を求め、個人特定度が指定した個人特定度未満となった直前の種別までを決定開示情報としてユーザ端末に通知するようにしてもよい。例えば、図4の例では、まず対象ユーザの「姓」、「名」、「年齢」、「性別」、「住所」それぞれの個人特定度を求める。そして、このユーザの上記各種別の個人特定度の大きさが「性別」>「年齢」>「姓」>「住所」>「名」であった場合、まず「性別」の個人特定度が指定された個人特定度以上かをチェックし、次に「性別」AND「年齢」をチェックし、更に「性別」AND「年齢」AND「姓」をチェックし、といった具合にチェックしていき、個人特定度が指定した個人特定度未満になった直前までの種別を決定開示情報種別としてユーザ端末3に通知する。この場合も、ある種別をANDで加えたことにより個人特定度が個人特定度未満になった場合に、その種別の代わりに、次の種別をANDで加えてチェックを行ってもよい。また、上記の例と同様に、予め定めた種別数まで種別を選択したら、指定した個人特定度未満となる前に、それを開示情報として決定してもよい。このような処理に基づき開示ポリシーを決定することにより、多くのサービスで適用できる可能性が高い開示ポリシーを決定できると考えられる。
開示情報決定処理の結果、「姓」、「名」、「年齢」、「性別」、「住所」のうち「性別」、「年齢」、「姓」が開示情報として決定した場合、ユーザ端末3には例えば図5に示す画面が表示される。
なお、本実施の形態では開示情報提示サーバ1と個人情報管理サーバ2とを分離したが、これらを1つのサーバで構成してもよい。
(第2の実施の形態:開示情報の提示とアクセス制御)
次に、本発明の第2の実施の形態について説明する。図6は第2の実施の形態におけるシステム構成図である。図6に示すとおり、本実施の形態のシステムは、アクセス制御サーバ5、個人情報管理サーバ2、ポリシー管理サーバ6、ユーザ端末3、及びサービス提供サーバ7を有している。
個人情報管理サーバ2は第1の実施の形態と同様に全ユーザの個人情報を格納するが、本実施の形態では、アクセス制御サーバ5からの要求により個人情報を提供する機能を更に有している。アクセス制御サーバ5は、第1の実施の形態における開示情報提示サーバ1の機能と、ポリシー管理サーバ6に格納されたユーザポリシーとサービスポリシーとを参照してアクセス制御を行う機能を有している。ポリシー管理サーバ6は、ユーザの個人情報開示ポリシーをユーザ毎に格納するユーザポリシーデータベースと、サービスが必要とする個人情報をサービスポリシーとしてサービス毎に格納したサービスポリシーデータベースを有している。
ユーザ端末3は、第1の実施の形態と同様の個人特定度を指定して開示情報の提示を受ける機能とともに、サービス提供サーバ7が提供するサービスの利用をアクセス制御サーバ5に要求し、アクセスが許可された場合にサービス提供サーバ7が提供するサービスを利用する機能を有している。以下、ユーザ端末3のユーザをユーザa、サービス提供サーバ7が提供するサービスをサービスbとして説明する。
次に、図7の装置間動作図を参照して第2の実施の形態のシステムの動作を説明する。
まず、ユーザaがユーザ端末3上で個人特定度を指定し、ユーザ端末3はユーザaの識別情報と指定した個人特定度をアクセス制御サーバ5に送信する(ステップ11)。アクセス制御サーバ5は、第1の実施の形態で説明した処理と同様に、個人情報管理サーバ2の個人情報データベースを参照して、ユーザaが指定した個人特定度以上となる個人情報の種別の組み合わせを決定し(ステップ12)、それをユーザ端末3に送信する(ステップ13)。ユーザ端末3には図5に示したような画面が表示される。
ユーザaはユーザ端末3上で、アクセス制御サーバ5から送られた開示ポリシーを承認する旨の操作を行うと、当該開示ポリシーがアクセス制御サーバ5を介してポリシー管理サーバ6のユーザポリシーデータベースに送られ、登録される(ステップ14)。
図8(a)にユーザポリシーデータベースの内容例を示す。また、図8(b)にサービスポリシーデータベースの内容例を示す。図8(a)に示すように、ユーザ毎に、開示してよい情報(○で示す)と開示して欲しくない情報(×で示す)が記録されている。また、図8(b)に示すように、サービスポリシーデータベースには、サービス毎に、サービス提供のためにユーザに開示を要求する個人情報がサービスポリシーとして記録されている。
ユーザ端末3のユーザaがサービス提供サーバ7が提供するサービスbを利用する段階において、ユーザ端末3は、ユーザaがサービス提供サーバ7が提供するサービスbを利用する旨を示すサービス要求(ユーザaの識別情報、サービスbの識別情報を含む)をアクセス制御サーバ5に送信する(ステップ15)。
サービス要求を受信したアクセス制御サーバ5は、ポリシー管理サーバ6のユーザポリシーデータベースとサービスポリシーデータベースを参照し(ステップ16)、サービスbで必要とする個人情報が全てユーザaの開示ポリシーにおける開示許可情報に該当するかどうかを調べ、全て開示許可情報に該当する場合には、個人情報管理サーバ2から必要なユーザaの個人情報を取得して(ステップ17)、ユーザaへのサービス提供要求とともにサービス提供サーバ7に送信する(ステップ18)。サービス提供サーバ7は、受信した情報を用いてユーザ端末3にサービスを提供する(ステップ19)。
上記の処理において、ユーザaの個人情報を個人情報管理サーバ2から取得する代わりに、サービス提供サーバ7がユーザ端末3に要求を出して、ユーザ端末3から取得してもよい。また、サービスbが必要とする開示情報種別の中に一つでもユーザaが開示を許可しない種別が存在する場合は、アクセス制御サーバ5は、ユーザ端末3にサービスbの提供ができないことを通知する。もしくは、アクセス制御サーバ5は、サービスbが必要とするが開示不許可である情報種別名をユーザ端末3に通知し、ユーザ端末3にその情報種別を開示してよいかどうかを問い合わせ、その情報種別を開示してよい旨の通知をユーザ端末3から受信した場合に、ユーザaの個人情報をサービス提供サーバ7に送信するといった処理を行ってもよい。
なお、上記の実施の形態では、サービス側のサービスポリシーは、ユーザに開示を要求する個人情報の種別であったが、サービスの利用条件をポリシーとして加えてもよい。例えば、ユーザの年齢が20以上である場合にサービスを提供できるという条件である。
また、上記の処理では、ユーザaによる開示ポリシー登録の後、ユーザaからのサービス要求(ステップ15)から処理が開始しているが、ユーザaがサービス提供サーバ7と異なるサーバのサービスを利用している場合に、そのサービス内でサービス提供サーバ7のサービスbを利用する場合には、上記異なるサーバからアクセス制御サーバ5にサービスbのサービス要求がなされる場合もある。
また、上記のシステム構成では、個人情報管理サーバ2、アクセス制御サーバ5、及びポリシー管理サーバ6が分離されているが、これらの機能を1つのサーバに統合してもよい。この場合、コンピュータに個人情報管理サーバ2の機能、アクセス制御サーバ5の機能、及びポリシー管理サーバ6の機能を実現させるプログラムが、当該コンピュータに搭載される。
(第3の実施の形態:個人特定度に基づくアクセス制御)
次に、第3の実施の形態について説明する。第3の実施の形態のシステム構成は、図6で示した第2の実施の形態のシステム構成と同一である。
個人情報管理サーバ2は、第1の実施の形態と同様に全ユーザの個人情報を格納する。アクセス制御サーバ5は、あるサービスにおけるサービスポリシー(必要とする個人情報と種別)に対応するあるユーザの個人情報の個人特定度を算出する機能と、ポリシー管理サーバ6に格納されたユーザポリシーとサービスポリシーとを参照してアクセス制御を行う機能を有している。ポリシー管理サーバ6は、ユーザが指定した個人特定度をユーザ毎に格納するユーザポリシーデータベースと、サービスが必要とする個人情報をサービス毎に格納したサービスポリシーデータベースを有している。また、ユーザ端末は、ユーザが指定した個人特定度をポリシー管理サーバに登録する機能を有している。以下、第2の実施の形態と同様に、ユーザ端末3のユーザをユーザa、サービス提供サーバ7が提供するサービスをサービスbとして説明する。
第3の実施の形態におけるアクセス制御サーバ5の機能構成を図9に示す。図9に示すように、第3の実施の形態におけるアクセス制御サーバ5は、指定されたユーザの個人特定度をユーザポリシーデータベースから取得する個人特定度取得部51、指定されたサービスのポリシー(必要な個人情報の種別)をサービスポリシーデータベースから取得するサービスポリシー取得部52、サービス提供に必要な個人情報種別に基づき、個人情報管理サーバ2の個人情報データベースを参照して、指定されたユーザの個人特定度を算出する個人特定度算出部53、個人特定度算出部53で算出した個人特定度と、ユーザポリシーデータベースから取得した個人特定度とを比較して、当該ユーザに対するサービスへのアクセス制御を行うアクセス制御部54、及び通信処理部55を有している。なお、この第3の実施の形態におけるアクセス制御サーバ5は、個人特定度を算出するので、個人特定度算出装置の一例である。
アクセス制御サーバ5は、CPU、メモリ、ハードディスク等の記憶装置等を有する一般的なコンピュータ上にプログラムを搭載することにより実現可能であり、上記の各機能部はコンピュータのハードウェア資源とプログラムとが協働して実現されるものである。
個人特定度算出部54における個人情報の算出処理は、図4を用いて説明したとおりである。図4の個人情報データベースの例において、例えば、ユーザaがサービスbの利用を要求したとし、サービスbが必要とする個人情報が「性別」、「年齢」、「姓」である場合に、個人特定度算出部54は、「ユーザaの性別」AND「ユーザaの年齢」AND「ユーザaの姓」の条件で個人情報データベースを検索し、該当するレコード数を取得し、それを個人特定度とする。
また、「ユーザの年齢を開示する」という条件に代えて、サービスポリシーの中に利用条件として「年齢が20以上」という条件がある場合、上記の例でいえば、個人特定度の計算は、「ユーザaの性別」AND「年齢≧20」AND「ユーザaの姓」で行う。
次に、図10の装置間動作図を参照して第3の実施の形態のシステムの動作を説明する。ポリシー管理サーバ6のユーザポリシーデータベースにはユーザaが指定した個人特定度が既に登録されているものとする。また、ポリシー管理サーバ6には図8(b)で示したものと同様のサービスポリシーデータベースがあるものとする。
ユーザ端末3のユーザaがサービス提供サーバ7が提供するサービスbを利用する段階において、ユーザ端末3は、ユーザaがサービス提供サーバ7が提供するサービスbを利用する旨のサービス要求(ユーザaの識別情報、サービスbの識別情報を含む)をアクセス制御サーバ5に送信する(ステップ21)。
サービス要求を受信したアクセス制御サーバ5は、ポリシー管理サーバ6のサービスポリシーデータベースからサービスbが必要とする個人情報の種別を取得し(ステップ22)、それに基づき個人情報管理サーバ2内の個人情報データベースを参照して(ステップ23)、ユーザaの個人特定度を算出する。そして、アクセス制御サーバ5は、ポリシー管理サーバ6のユーザポリシーデータベースからユーザaが予め指定した個人特定度を取得し(ステップ24)、算出した個人特定度と比較する。
そして、アクセス制御サーバ5は、算出した個人特定度が予め指定した個人特定度以上であれば、個人情報管理サーバ2内の個人情報データベースからユーザaのサービスb利用に必要な個人情報を取得して(ステップ25)、ユーザaへのサービス提供要求とともにサービス提供サーバ7に送信する(ステップ26)。サービス提供サーバ7は、受信した情報を用いてユーザ端末3にサービスを提供する(ステップ27)。
上記の処理において、ユーザaが指定した個人特定度をポリシー管理サーバ6から取得する代わりに、ユーザ端末3から取得してもよい。また、サービスbが必要とする個人情報もユーザ端末3から取得するようにしてもよい。
また、算出した個人特定度が予め指定した個人特定度未満である場合は、アクセス制御サーバ5は、ユーザ端末3にサービスbの提供ができないことを通知する。もしくは、ユーザaにサービスbが必要とする個人情報の種別と、算出した個人特定度が予め指定した個人特定度未満であった旨をユーザ端末3に通知し、サービスbを利用するかどうかを確認し、利用する旨の通知をユーザ端末3から受信した場合は、算出した個人特定度が予め指定した個人特定度未満であっても、サービスbに必要な個人情報を取得して、サービス提供サーバ7に送信する。
また、第2の実施の形態と同様に、ユーザaがサービス提供サーバ7と異なるサーバのサービスを利用している場合に、そのサービス内でサービス提供サーバ7のサービスbを利用する場合には、上記異なるサーバからアクセス制御サーバ5にサービスbのサービス要求がなされる場合もある。また、個人情報管理サーバ2、アクセス制御サーバ5、及びポリシー管理サーバ6の機能を1つのサーバに統合してもよい。
(第4の実施の形態)
次に、第4の実施の形態について説明する。第4の実施の形態のシステム構成も、図6で示した第2の実施の形態のものと同一である。また、第4の実施の形態では、システムを構成する各装置は、第2の実施の形態における機能と、第3の実施の形態における機能の両方を有している。第4に実施の形態における処理の流れを図11のフローチャートを参照して説明する。
まず、ユーザ端末3が、第2の実施の形態と同様に、個人特定度を指定してお勧めの開示ポリシーを取得し、それをユーザポリシーとしてポリシー管理サーバ6に登録する(ステップ31)。更に、第3の実施の形態と同様に、アクセス制御時に参照される個人特定度を指定してポリシー管理サーバ6に登録する(ステップ32)。なお、お勧めの開示ポリシー取得のために指定する個人特定度と、サービス利用時に参照される個人特定度とは同じである必要はない。
次に、ユーザ端末3は、ユーザaがサービス提供サーバ7が提供するサービスを利用する旨のサービス要求(ユーザaの識別情報、サービスbの識別情報を含む)をアクセス制御サーバ7に送信する(ステップ33)。
サービス要求を受信したアクセス制御サーバ5は、ポリシー管理サーバ6のユーザポリシーデータベースとサービスポリシーデータベースを参照し、サービスbで必要とする個人情報が全てユーザaの開示ポリシーにおける開示許可情報(○の情報)に該当するかどうかを調べ(ステップ34)、全て開示許可情報に該当する場合には、個人情報管理サーバ2から必要なユーザaの個人情報を取得して、ユーザaへのサービス提供要求とともにサービス提供サーバ7に送信する(ステップ35)。
ステップ34において、サービスbで必要とする個人情報の種別のうち、1つでもユーザaの開示不許可情報(×の情報)がある場合、アクセス制御サーバ5は、サービスbが必要とする個人情報の種別に基づき、個人情報管理サーバ2内の個人情報データベースを参照して、その種別に対応するユーザaの個人特定度を算出する(ステップ36)。
そして、アクセス制御サーバ5は、ポリシー管理サーバ6のユーザポリシーデータベースからユーザaが予め指定した個人特定度を取得し、算出した個人特定度と比較する(ステップ37)。そして、算出した個人特定度が予め指定した個人特定度以上であれば、ユーザaの開示不許可情報が含まれていても、ユーザaのサービスb利用に必要な個人情報をサービス提供サーバ7に送信する。算出した個人特定度が予め指定した個人特定度未満であれば、ユーザ端末3に問い合わせを行って(ステップ38)、開示OKの回答があればユーザaのサービスb利用に必要な個人情報をサービス提供サーバ7に送信する。開示NGであればサービス提供不可とする(ステップ39)。なお、ステップ37で算出した個人特定度が予め指定した個人特定度以上である場合もユーザ端末3に問い合わせを行うようにしてもよい。
上記の処理において、ユーザ端末3で、○(開示許可)、×(非開示)の他に、△の種別を定め、これをポリシー管理サーバ6に登録し、×の種別については、算出した個人特定度が予め指定した個人特定度以上であっても開示しないようにし、△の種別については、算出した個人特定度が予め指定した個人特定度以上であれば開示する(上記の例の×の扱いと同様)こととしてもよい。
これまでに説明した実施の形態において、お勧めされた開示ポリシーをユーザが変更してポリシー管理サーバ6に登録してもよい。また、第2〜第4の実施の形態において、アクセス制御サーバ5がサービス毎にサービスを利用中の利用者数をカウントし、その利用者数を用いてアクセス制御を行うことも可能である。その場合、例えば、ユーザが予め所望の利用者数をポリシー管理サーバ6に登録しておき、ユーザがあるサービスに対するサービス提供要求をアクセス制御サーバ5に送信したときに、第2〜第4の実施の形態で説明したアクセス制御判断に加えて、要求されたサービスの現時点での利用者数と、ユーザが予め登録した利用者数とを比較し、サービスの利用者数が、予め登録した利用者数以下(あるいは以上)である場合に、サービスを利用してよい旨の判断をするといった処理を行う。
また、第3〜第4の実施の形態において、アクセス制御のためにあるサービスXに対するユーザaの個人特定度を算出する際に、ユーザaがそのサービスXに対してどのような個人情報を今までに開示したかの情報を考慮して個人特定度を算出してもよい。例えば、以前ユーザaがサービスXを利用したときにユーザaが「性別」と「年齢」を開示したとした場合において、再度サービスXを要求した際に今度は「姓」と「住所」の開示を求められた場合には、「姓」と「住所」に加えて、過去に開示した「性別」と「年齢」を加えて個人特定度を求める。すなわち、「姓」AND「住所」AND「性別」AND「年齢」の条件で個人特定度を求める。これは、各ユーザ毎に、サービス毎に開示した個人情報種別を記憶装置に記憶しておくことで実現できる。このようにすることにより、例えば、悪意のあるサービス提供者が、サービス提供条件を変えることにより、多くの個人情報をユーザに開示させることを防止できる。
また、サービスXがサービスポリシーとして利用条件(例えば年齢が20以上)を設定している場合にも、過去の条件を考慮してアクセス制御における個人特定度を算出する。例えば、サービスXのポリシーが過去に、「性別」、「姓」の開示、及び年齢≧20であった場合において、「ユーザaの性別」AND「年齢≧20」AND「ユーザaの姓」で算出した個人特定度がユーザaが指定した個人特定度以上であったため、ユーザaがサービスXを利用した場合において、その後、サービスXのポリシーが「性別」、「姓」の開示、及び年齢≦30に変更されたとする。その後、ユーザaがサービスXの利用を要求した場合には、アクセス制御サーバ5は、「ユーザaの性別」AND「20≦年齢≦30」AND「ユーザaの姓」を条件として個人特定度を算出し、アクセス制御に使用する。これによっても、悪意のあるサービス提供者による、必要以上の個人情報取得を防止することができる。
これまでに説明した実施の形態のシステムによれば、ユーザが個人情報を利用する様々なサービスを利用する場合でも、それぞれのサービスに対して別々の開示ポリシーを設定する必要はなくなる。また、個人特定度という客観的な基準を用いて開示制御を行うので、個人の主観のみにたよる場合よりも、個人のプライバシーをより確実に保護した適切な開示制御を行うことが可能になる。また、従来技術では、一度設定したユーザポリシーは固定的に適用され、柔軟にきめ細かなアクセス制御を行うことができないという問題があったが、第3、第4の実施の形態のシステムによれば、設定したユーザポリシーに基づき、指定した個人特定度を満たすか等の状況に応じて柔軟にアクセス制御を行うことが可能となる。
(第5の実施の形態)
これまでに説明したように、個人特定度を用いることにより、個人を特定する度合いが高い(つまり、個人特定度が低い)個人情報の開示を抑制できる。
しかし、個人特定度が低くても、開示して差し支えない情報が存在し得るため、個人特定度のみを用いて開示情報を制限すると、必要以上に開示情報を制限してしまう場合が発生し得る。
例えば、「趣味」という個人情報の種別について、ユーザ100人中99人が「サッカー」であり、「お菓子作り」が1人である場合を考える。この場合、「お菓子作り」を趣味として持つユーザの個人特定度は最低の1であり、通常これは個人を特定してしまう可能性が高いものとして開示を制限される。しかしながら、「お菓子作り」という趣味は極めてありふれた趣味なので、たとえこの趣味の情報を開示したとしても、個人を特定できる可能性はほとんどない。
一般に、ある個人情報の種別について、その値の種類が多いほど個人を特定する度合いが増す傾向にある。例えば、ある個人情報の種別について、母集団の数(データベース内のユーザの全数)と同じ種類数の値があるとすれば、それはすなわち、個人を一意に特定する“ID”に他ならない。また、ある個人情報の種別について、その値の種類が少ないほど、各値はありふれた一般的なものに近づくと考えられることから、各値の個人を特定する度合いは低くなる傾向にある。例えば、上記の「趣味」における各値がそれに該当する。上記の「お菓子作り」のように該当者が1人である場合も発生し得るが、これは偶然にすぎず、「趣味」という種別における各値の個人を特定する機能は低いといえる。
また、上記とは逆に、個人特定度が高くても、ある個人情報の種別について、その値の種類が多い場合には、個人を特定する度合いが高い場合が発生し得る。個人特定度のみではこのような種別の個人情報を排除できない場合がある。
上記の観点から、本実施の形態では、ある個人情報の種別の中の値の種類の数をデータベースに登録されたユーザ数(母集団の数)で割った値であるID度という概念を取り入れる。例えば、上記の場合の「趣味」のID度は、2÷100=0.02である。以下、個人特定度とともにID度を用いて個人情報の開示制御を行う実施形態について説明する。
本実施の形態の全体システム構成は、第2、第3の実施の形態で図6を参照して説明したシステム構成と同じである。また、個人特定度についての判断、制御に関する部分の機能は第3の実施の形態と同様である。
本実施の形態では、個人特定度に加えてID度を用いてアクセス制御を行うことから、アクセス制御サーバ5と個人情報管理サーバ2の機能が第3の実施の形態におけるものと異なる。
本実施の形態のアクセス制御サーバ5の機能構成を図12に示す。図12に示すように、第5の実施の形態におけるアクセス制御サーバ5は、個人特定度取得部51、サービスポリシー取得部52、個人特定度算出部53、ID度計算指示部56、ID度取得部57、アクセス制御部58、及び通信処理部55を備えている。
個人特定度取得部51は、ユーザが登録した個人特定度をユーザポリシーデータベースから取得する機能を備える。サービスポリシー取得部52は、ユーザにより指定されたサービスのポリシー(必要な個人情報の種別)をサービスポリシーデータベースから取得する機能を備えている。個人特定度算出部53は、個人情報管理サーバ2の個人情報データベースを参照して、サービス提供に必要な個人情報の種別に対する個人特定度を算出する機能を備えている。ID度計算指示部56は、個人情報管理サーバ2に対して定期的もしくは不定期に各種別毎のID度の計算を指示する機能を備えている。ID度取得部57は、サービス提供に必要な個人情報種別毎のID度を個人情報管理サーバ2から取得する機能を備えている。アクセス制御部58は、個人特定度算出部53で算出した個人特定度と、ユーザポリシーデータベースから取得した個人特定度とを比較して、個人特定度に基づくアクセス判定を行うととも、各種別のID度を予め定めた閾値(例えばユーザポリシーデータベースから取得する)と比較することによるアクセス判定を行う機能を備えている。通信処理部55はネットワークを介してデータ通信を行う機能を備えている。なお、アクセス制御サーバ5内に、ポリシー管理サーバ6の機能を備えてもよい。また、これまでに説明した実施の形態と同様に、本実施の形態のアクセス制御サーバ5もコンピュータに本発明に係るプログラムを実行させることにより実現可能である。
また、個人情報管理サーバ2は、事前に登録された多数のユーザの個人情報をデータベースとして格納するとともに、アクセス制御サーバ5からの指示に従って個人情報種別毎にID度を算出し、当該ID度を格納する機能を備えている。もちろん、個人情報管理サーバ2がID度を算出する機能を備える替わりに、アクセス制御サーバ5が個人情報管理サーバ2を参照してID度を算出する機能を備えてもよい。以下、ID度の算出方法を図13を参照して具体的に説明する。
図13は、個人情報データベースがID、姓、名、メールアドレス、性別、住所のフィールドからなり、全ユーザ数が100である場合を示している。
前述したとおり、「ある種別におけるID度=当該種別の値の種類数/全ユーザ数」である。ここで、IDはユーザ毎に異なるので、IDのID度は100/100=1である。姓の種類を50とすると、姓のID度は50/100=0.5である。また、メールアドレスの種類を95とすると、メールアドレスのID度は95/100=0.95である。
以下、図14に示すシーケンスチャートを参照して第5の実施の形態におけるシステムの動作を説明する。なお、サービス提供に必要な個人情報種別の取得や個人特定度の算出に関する動作は第3の実施の形態と同様であるので、図14ではそれらに関する図示を省略し、第3の実施の形態と異なるID度取得、判定に関する部分を特に示している。また、ポリシー管理サーバ6もしくはアクセス制御サーバ5にはユーザ毎にID度の閾値(ID度の条件ポリシー)が格納されており、下記で対象とするユーザのID度の閾値としてT(例えば0.5)が設定されているものとする。
アクセス制御サーバ5は、定期的もしくは不定期に、種別毎のID度計算の指示を個人情報管理サーバ2に対して行う(ステップ41)。個人情報管理サーバ2はこの指示に応じてID度を算出し、種別毎にID度を格納する。
ユーザ端末3のユーザaがサービス提供サーバ7が提供するサービスbを利用する段階において、ユーザ端末3は、ユーザaがサービス提供サーバ7が提供するサービスbを利用する旨のサービス要求(ユーザaの識別情報、サービスbの識別情報を含む)をアクセス制御サーバ5に送信する(ステップ42)。
サービス要求を受信したアクセス制御サーバ5は、ポリシー管理サーバ6のサービスポリシーデータベースからサービスbが必要とする個人情報の種別を取得し、それに基づき個人情報管理サーバ2内の個人情報データベースを参照して、ユーザaの個人特定度を算出する。そして、アクセス制御サーバ5は、ポリシー管理サーバ6のユーザポリシーデータベースからユーザaが予め指定した個人特定度を取得し、算出した個人特定度と比較し、個人特定度に基づく判定を行う(ステップ43)。この場合、ユーザaが予め指定した個人特定度よりも算出した個人特定度のほうが大きければアクセス可であると判定する。
更にアクセス制御サーバ5は、サービスbが必要とする個人情報の種別毎のID度を個人情報管理サーバ2から取得し、取得したID度のそれぞれを閾値Tと比較し、ID度に基づく判定を行う(ステップ44)。ここでは、全てのID度が閾値Tより小さい場合にアクセス可であると判定する。なお、閾値はID度毎に設定することとしてもよい。
そして、アクセス制御サーバ5は、ステップ43の判定とステップ44の判定の両方がアクセス可であれば、ユーザにアクセス許可を通知する(ステップ45、46)。また、第3の実施の形態と同様にして、個人情報管理サーバ2内の個人情報データベースからユーザaのサービスb利用に必要な個人情報を取得して、その個人情報をユーザaのサービス提供要求とともにサービス提供サーバ7に送信することとしてもよい。
上記の例では、ステップ43の判定とステップ44の判定の両方がアクセス可である場合に、ユーザにアクセス許可を通知していたが、ID度を用いたアクセス判定はこの方法に限らないことはいうまでもない。
例えば、ID度が1であるものがなければID度判定をアクセス可とすることも可能である。また、ID度判定を個人特定度判定より先に行い、ID度判定がOKである場合にのみ個人特定度判定を行うこととしてもよい。また、ID度判定NGの場合に、「サービスが要求する個人情報にはユーザを特定する可能性が高い情報が含まれる」等の情報をユーザに通知し、当該個人情報の開示許可/拒否をユーザに判断させることとしてもよい。
更に、ID度判定と個人特定度判定のいずれかがOKであればアクセスを許可することとしてもよい。この場合、例えば、個人特定度判定ではNGであるが、ID度判定でOKであればアクセスを許可する。
また、まずID度を取得し、ID度が所定の閾値より低い個人情報種別については、当該種別を個人特定度算出から除外することとしてもよい。例えば、サービスbが「姓」、「住所」、「趣味」を要求している場合に、「趣味」のID度が所定の閾値より低いものとすると、アクセス制御サーバ5は、「趣味」を開示してよいものと判断する。更に、「姓」AND「住所」AND「趣味」の条件で個人特定度を算出するのではなく、「姓」AND「住所」の条件で個人特定度を算出する。そして、「姓」AND「住所」の条件で算出した個人特定度によりアクセス許否を判定する。このような方法によれば、開示しても差し支えない情報によりアクセス制限がかかってしまうことを防止できる。
ID度は、これまでに説明したいずれの実施の形態にも適用可能である。例えば、第1の実施の形態にID度を適用する場合、個人情報管理サーバ2にID度算出、格納機能を備え、開示情報提示サーバ1に、ID度計算指示部とID度取得部を備える。そして、ID度取得部が、個人特定度に基づき決定された個人情報の種別毎のID度を取得し、開示情報決定部12が、各ID度を所定の閾値と比較し、全てのID度が当該閾値より小さければ、全ての決定された個人情報の種別を開示してよい情報としてユーザに通知する。所定の閾値以上のID度に対応する種別があれば、非開示として通知する。
このような形態の他、個人情報データベースにおける個人情報の種別のうち、ID度が所定の閾値より小さいものを開示してよい情報と決定し、ID度が所定の閾値より小さい種別を除いた種別で、個人特定度に基づく計算を行ってもよい。これにより、開示しても差し支えない情報を非開示として除外してしまうことを防止できる。
第2の実施の形態へのID度の適用に関しては、アクセス制御サーバ5が行う個人情報の種別決定の処理において、第1の実施の形態へのID度適用と全く同様にしてID度を適用できる。
なお、第5の実施の形態において、ID度のみを用いてアクセス制御を行うことも可能である。この場合は、アクセス制御サーバ5がID度取得装置として機能し、図14のシーケンスにおいて、ステップ43における個人特定度の算出、判定を行わず、種別毎のID度と閾値との比較による判定のみを行う。そして、例えば、1つでも閾値を超えるID度の種別が存在すればアクセスを拒否するか、ユーザにその旨を通知するといった制御を行う。また、アクセス制御サーバ5がID 度をユーザ端末に通知し、サービス提供装置にアクセスするか否かをユーザが判断することとしてもよい。
上記のように、ID度を用いることにより、個人を特定する度合いが高い可能性のある個人情報の開示をより確実に制限できる。また、必要以上に開示情報を制限してしまうことを防止することもできる。
つまり、個人特定度のみでは個人を特定する度合いの指標として不十分な場合に判断軸を増やすことによって、より厳密な個人特定の指標を与えることが可能となる。
なお、本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
第1の実施の形態におけるシステム構成図である。 開示情報提示サーバ1の機能構成図である。 第1の実施の形態におけるシステムの動作を説明するためのシーケンスチャートである。 個人特定度の例について説明するための図である。 ユーザ端末3に表示されるお勧め開示ポリシーの例である。 第2の実施の形態におけるシステム構成図である。 第2の実施の形態のシステムの動作を説明するための図である。 ポリシー管理サーバ6内のデータベースの内容例を示す図である。 第3の実施の形態におけるアクセス制御サーバ5の機能構成図である。 第3の実施の形態のシステムの動作を説明するための図である。 第4の実施の形態における処理の流れを示すフローチャートである。 第5の実施の形態におけるアクセス制御サーバ5の機能構成図である。 ID度の算出方法を説明するための図である。 第5の実施の形態におけるシステムの動作を説明するためのシーケンスチャートである。
符号の説明
1 開示情報提示サーバ
2 個人情報管理サーバ
3 ユーザ端末
4 ネットワーク
5 アクセス制御サーバ
6 ポリシー管理サーバ
7 サービス提供サーバ
11 ユーザインタフェース部
12 開示情報決定部
13 通信処理部
51 個人特定度取得部
52 サービスポリシー取得部
53 個人特定度算出部
54 アクセス制御部
55 通信処理部
56 ID度計算指示部
57 ID度取得部
58 アクセス制御部

Claims (22)

  1. ユーザ端末に、当該ユーザ端末のユーザにとって開示してよい個人情報の組み合わせを提示する開示情報提示装置であって、
    前記ユーザ端末から、前記ユーザが指定した指定個人特定度を受信する受信手段と、
    複数ユーザの個人情報を格納した個人情報データベースを参照する参照手段と、
    前記個人情報データベースを参照し、前記ユーザの個人情報の組み合わせを、当該個人情報の組み合わせと同じ個人情報の組み合わせを持つ前記個人情報データベースにおけるユーザの数が前記指定個人特定度以上となるように決定する開示情報決定手段と、
    決定した個人情報の組み合わせを前記ユーザ端末に送信する送信手段と
    を備えることを特徴とする開示情報提示装置。
  2. 前記開示情報決定手段は、前記ユーザの一の個人情報の組み合わせを決め、その組み合わせと同じ組み合わせを持つ前記個人情報データベースにおけるユーザの数が、前記ユーザが指定した指定個人特定度以上である場合に、その組み合わせを、前記ユーザにとって開示してよい個人情報の組み合わせとして決定する請求項1に記載の開示情報提示装置。
  3. 前記開示情報提示装置は、個人情報の種別毎に、前記個人情報データベースに登録されたユーザの全数に対する個人情報の種類の数の割合をID度として取得する手段を備え、
    前記指定個人特定度とともに当該ID度を用いて前記ユーザ端末に送信するべき個人情報を決定する請求項1に記載の開示情報提示装置。
  4. 前記開示情報決定手段により決定されたユーザの個人情報の種別毎にID度を所定の閾値と比較し、全てのID度が当該所定の閾値より小さい場合に、前記決定されたユーザの個人情報の組み合わせを前記送信手段により前記ユーザ端末に送信する請求項3に記載の開示情報提示装置。
  5. 所定の閾値より小さいID度を持つ種別の個人情報を、ユーザにとって開示してよい個人情報であると決定し、当該種別の個人情報を、前記指定個人特定度を用いた判定における個人情報の組み合わせから除外する請求項3に記載の開示情報提示装置。
  6. 個人特定度を算出するための個人特定度算出装置であって、
    複数ユーザの個人情報を格納した個人情報データベースを参照する参照手段と、
    ユーザ端末から、当該ユーザ端末のユーザに対してあるサービスを提供することを要求するサービス要求を受信した場合に、前記サービスの提供に必要な個人情報の種別の組み合わせを取得し、前記個人情報データベースにおける全ユーザのうち、前記サービスの提供に必要な個人情報の種別の組み合わせに該当する前記ユーザの個人情報の組み合わせと同じ組み合わせを持つユーザの数を前記個人特定度として算出する個人特定度算出手段と
    を備えることを特徴とする個人特定度算出装置。
  7. 前記個人特定度算出装置は、個人情報の種別毎に、前記個人情報データベースに登録されたユーザの全数に対する個人情報の種類の数の割合をID度として取得する手段を更に備える請求項6に記載の個人特定度算出装置。
  8. ユーザ端末と、サービス提供装置と、アクセス制御システムとがネットワークを介して接続されたネットワークシステムにおいて使用される前記アクセス制御システムであって、
    当該アクセス制御システムは、開示情報提示手段と、アクセス制御手段と、複数ユーザの個人情報を格納した個人情報データベースと、ポリシー管理手段とを備え、
    前記開示情報提示手段は、
    前記ユーザ端末から、前記ユーザが指定した指定個人特定度を受信する受信手段と、
    前記個人情報データベースを参照する参照手段と、
    前記個人情報データベースを参照し、前記ユーザの個人情報の組み合わせを、当該個人情報の組み合わせと同じ個人情報の組み合わせを持つ前記個人情報データベースにおけるユーザの数が前記指定個人特定度以上となるように決定する開示情報決定手段と、
    決定した個人情報の組み合わせを前記ユーザ端末に送信する送信手段とを有し、
    前記ポリシー管理手段は、前記ユーザ端末から登録された前記ユーザの開示許可個人情報の種別と、前記サービス提供装置のサービスの提供に必要な個人情報の種別を格納し、
    前記アクセス制御手段は、
    前記ユーザに前記サービスを提供することを要求するサービス要求を受け付け、
    前記ポリシー管理手段に格納された情報を参照して、前記ユーザの開示許可個人情報と、前記サービスの提供に必要な個人情報とを比較し、前記サービスの提供に必要な個人情報が全て前記開示許可個人情報に含まれる場合に、前記サービスを提供するために必要な個人情報を前記サービス提供装置に送信する
    ことを特徴とするアクセス制御システム。
  9. 前記開示情報提示手段は、個人情報の種別毎に、前記個人情報データベースに登録されたユーザの全数に対する個人情報の種類の数の割合をID度として取得する手段を備え、前記指定個人特定度とともに当該ID度を用いて前記ユーザ端末に送信するべき個人情報を決定する請求項8に記載のアクセス制御システム。
  10. ユーザ端末と、サービス提供装置と、アクセス制御システムとがネットワークを介して接続されたネットワークシステムにおいて使用される前記アクセス制御システムであって、
    当該アクセス制御システムは、アクセス制御手段と、複数ユーザの個人情報を格納した個人情報データベースと、ポリシー管理手段とを備え、
    前記ポリシー管理手段は、前記ユーザ端末から登録された、前記ユーザ端末のユーザが指定した指定個人特定度と、前記サービス提供装置のサービスの提供に必要な個人情報の種別を格納し、
    前記アクセス制御手段は、
    前記ユーザ端末から、前記ユーザに対して前記サービスを提供することを要求するサービス要求を受信した場合に、前記サービスの提供に必要な個人情報の種別の組み合わせを前記ポリシー管理手段から取得し、前記個人情報データベースにおける全ユーザのうち、前記サービスの提供に必要な個人情報の種別の組み合わせに該当する前記ユーザの個人情報の組み合わせと同じ組み合わせを持つユーザの数を個人特定度として算出し、
    算出した個人特定度と、前記ポリシー管理手段に格納された指定個人特定度とを比較して、算出した個人特定度が前記指定個人特定度以上である場合に、前記サービス提供装置へのアクセスを許可する
    ことを特徴とするアクセス制御システム。
  11. 前記ポリシー管理手段は、前記ユーザ端末から登録された前記ユーザの開示許可個人情報の種別を更に格納し、
    前記アクセス制御手段は、前記サービスの提供に必要な個人情報の種別の中に、前記ユーザの開示許可個人情報の種別以外の種別が含まれている場合でも、算出した個人特定度が前記指定個人特定度以上である場合には、前記サービス提供装置へのアクセスを許可する請求項10に記載のアクセス制御システム。
  12. 前記アクセス制御手段は、個人情報の種別毎に、前記個人情報データベースに登録されたユーザの全数に対する個人情報の種類の数の割合をID度として取得する手段を備え、前記個人特定度とともに当該ID度を用いて前記サービス提供装置へのアクセス許否を決定する請求項10に記載のアクセス制御システム。
  13. 前記アクセス制御手段は、前記サービスの提供に必要な個人情報の種別毎に、ID度を所定の閾値と比較し、全てのID度が当該所定の閾値より小さい場合に、前記サービス提供装置へのアクセスを許可する請求項12に記載のアクセス制御システム。
  14. 前記アクセス制御手段は、所定の閾値より小さいID度を持つ種別の個人情報を、ユーザにとって開示してよい個人情報であると決定し、当該種別の個人情報を、前記個人特定度の算出における個人情報の組み合わせから除外する請求項12に記載のアクセス制御システム。
  15. 複数ユーザの個人情報を格納した個人情報データベースを参照する参照手段と、
    ユーザ端末から、当該ユーザ端末のユーザに対してあるサービスを提供することを要求するサービス要求を受信した場合に、前記サービスの提供に必要な個人情報の種別の組み合わせを取得し、当該個人情報の種別毎に、前記個人情報データベースに登録されたユーザの全数に対する個人情報の種類の数の割合をID度として取得するID度取得手段と
    を備えることを特徴とするID度取得装置。
  16. ユーザ端末と、サービス提供装置と、アクセス制御システムとがネットワークを介して接続されたネットワークシステムにおいて使用される前記アクセス制御システムであって、
    当該アクセス制御システムは、アクセス制御手段と、複数ユーザの個人情報を格納した個人情報データベースを備え、
    前記ポリシー管理手段は、前記サービス提供装置のサービスの提供に必要な個人情報の種別を格納し、
    前記アクセス制御手段は、
    前記ユーザ端末から、前記ユーザに対して前記サービスを提供することを要求するサービス要求を受信した場合に、前記サービスの提供に必要な個人情報の種別の組み合わせを前記ポリシー管理手段から取得し、当該個人情報の種別毎に、前記個人情報データベースに登録されたユーザの全数に対する個人情報の種類の数の割合をID度として取得し、
    前記個人情報の種別毎に、ID度と所定の閾値とを比較することにより、前記サービス提供装置へのアクセスの許否を決定する
    ことを特徴とするアクセス制御システム。
  17. ユーザ端末に、当該ユーザ端末のユーザにとって開示してよい個人情報の組み合わせを提示する開示情報提示装置としての機能をコンピュータに実現させるプログラムであって、コンピュータを、
    前記ユーザ端末から、前記ユーザが指定した指定個人特定度を受信する受信手段、
    複数ユーザの個人情報を格納した個人情報データベースを参照する参照手段、
    前記個人情報データベースを参照し、前記ユーザの個人情報の組み合わせを、当該個人情報の組み合わせと同じ個人情報の組み合わせを持つ前記個人情報データベースにおけるユーザの数が前記指定個人特定度以上となるように決定する開示情報決定手段、
    決定した個人情報の組み合わせを前記ユーザ端末に送信する送信手段、
    として機能させるプログラム。
  18. 個人特定度を算出するための個人特定度算出装置としての機能をコンピュータに実現させるプログラムであって、コンピュータを、
    複数ユーザの個人情報を格納した個人情報データベースを参照する参照手段、
    ユーザ端末から、当該ユーザ端末のユーザに対してあるサービスを提供することを要求するサービス要求を受信した場合に、前記サービスの提供に必要な個人情報の種別の組み合わせを取得し、前記個人情報データベースにおける全ユーザのうち、前記サービスの提供に必要な個人情報の種別の組み合わせに該当する前記ユーザの個人情報の組み合わせと同じ組み合わせを持つユーザの数を前記個人特定度として算出する個人特定度算出手段、
    として機能させるプログラム。
  19. コンピュータを、
    複数ユーザの個人情報を格納した個人情報データベースを参照する参照手段、
    ユーザ端末から、当該ユーザ端末のユーザに対してあるサービスを提供することを要求するサービス要求を受信した場合に、前記サービスの提供に必要な個人情報の種別の組み合わせを取得し、当該個人情報の種別毎に、前記個人情報データベースに登録されたユーザの全数に対する個人情報の種類の数の割合をID度として取得するID度取得手段、
    として機能させるプログラム。
  20. ユーザ端末に、当該ユーザ端末のユーザにとって開示してよい個人情報の組み合わせを提示する開示情報提示装置が実行する開示情報提示方法であって、
    前記ユーザ端末から、前記ユーザが指定した指定個人特定度を受信する受信ステップと、
    複数ユーザの個人情報を格納した個人情報データベースを参照する参照ステップと、
    前記個人情報データベースを参照し、前記ユーザの個人情報の組み合わせを、当該個人情報の組み合わせと同じ個人情報の組み合わせを持つ前記個人情報データベースにおけるユーザの数が前記指定個人特定度以上となるように決定する開示情報決定ステップと、
    決定した個人情報の組み合わせを前記ユーザ端末に送信する送信ステップと、
    を備えることを特徴とする開示情報提示方法。
  21. 個人特定度を算出するための個人特定度算出装置が実行する個人特定度算出方法であって、
    複数ユーザの個人情報を格納した個人情報データベースを参照する参照ステップと、
    ユーザ端末から、当該ユーザ端末のユーザに対してあるサービスを提供することを要求するサービス要求を受信した場合に、前記サービスの提供に必要な個人情報の種別の組み合わせを取得し、前記個人情報データベースにおける全ユーザのうち、前記サービスの提供に必要な個人情報の種別の組み合わせに該当する前記ユーザの個人情報の組み合わせと同じ組み合わせを持つユーザの数を前記個人特定度として算出する個人特定度算出ステップと、
    を備えることを特徴とする個人特定度算出方法。
  22. 複数ユーザの個人情報を格納した個人情報データベースを参照する参照ステップと、
    ユーザ端末から、当該ユーザ端末のユーザに対してあるサービスを提供することを要求するサービス要求を受信した場合に、前記サービスの提供に必要な個人情報の種別の組み合わせを取得し、当該個人情報の種別毎に、前記個人情報データベースに登録されたユーザの全数に対する個人情報の種類の数の割合をID度として取得するID度取得ステップと、
    を備えることを特徴とするID度取得方法。
JP2006086564A 2005-03-28 2006-03-27 開示情報提示装置、個人特定度算出装置、id度取得装置、アクセス制御システム、開示情報提示方法、個人特定度算出方法、id度取得方法、及びプログラム Withdrawn JP2006309737A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006086564A JP2006309737A (ja) 2005-03-28 2006-03-27 開示情報提示装置、個人特定度算出装置、id度取得装置、アクセス制御システム、開示情報提示方法、個人特定度算出方法、id度取得方法、及びプログラム

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2005092226 2005-03-28
JP2006086564A JP2006309737A (ja) 2005-03-28 2006-03-27 開示情報提示装置、個人特定度算出装置、id度取得装置、アクセス制御システム、開示情報提示方法、個人特定度算出方法、id度取得方法、及びプログラム

Publications (1)

Publication Number Publication Date
JP2006309737A true JP2006309737A (ja) 2006-11-09

Family

ID=37476498

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006086564A Withdrawn JP2006309737A (ja) 2005-03-28 2006-03-27 開示情報提示装置、個人特定度算出装置、id度取得装置、アクセス制御システム、開示情報提示方法、個人特定度算出方法、id度取得方法、及びプログラム

Country Status (1)

Country Link
JP (1) JP2006309737A (ja)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008243205A (ja) * 2007-03-28 2008-10-09 Palo Alto Research Center Inc 文書からの望ましくない推論を検知するための方法及びシステム
JP2010097336A (ja) * 2008-10-15 2010-04-30 Nippon Telegr & Teleph Corp <Ntt> プライバシー侵害監視装置、プライバシー侵害監視方法及びプログラム
WO2010067535A1 (ja) * 2008-12-08 2010-06-17 日本電気株式会社 個人情報交換システム、個人情報提供装置、そのデータ処理方法、およびそのコンピュータプログラム
JP2011182239A (ja) * 2010-03-02 2011-09-15 Fujitsu Ltd 位置情報通知装置およびその方法
JP2011257863A (ja) * 2010-06-07 2011-12-22 Nec Corp プライバシー保護装置、プライバシー保護方法およびプログラム
JP2012527671A (ja) * 2009-05-19 2012-11-08 インターナショナル・ビジネス・マシーンズ・コーポレーション セキュリティ設定及び/又はプライバシー設定を管理するためのシステム及び方法
JPWO2013121790A1 (ja) * 2012-02-17 2015-05-11 日本電気株式会社 プライバシ情報を扱う情報処理装置、プライバシ情報を扱う情報処理システム、プライバシ情報を扱う情報処理方法及びプログラム
JP2015143894A (ja) * 2014-01-31 2015-08-06 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 情報処理装置、情報処理方法、及び、プログラム
JP2016151773A (ja) * 2015-02-16 2016-08-22 日本電信電話株式会社 データ管理装置及びデータ管理方法
JP2017076170A (ja) * 2015-10-13 2017-04-20 Kddi株式会社 リスク評価装置、リスク評価方法及びリスク評価プログラム
US9704203B2 (en) 2009-07-31 2017-07-11 International Business Machines Corporation Providing and managing privacy scores
JP2020154481A (ja) * 2019-03-18 2020-09-24 Necソリューションイノベータ株式会社 匿名化レベル判定装置、匿名化レベル判定方法およびプログラム
JP2020533676A (ja) * 2017-09-08 2020-11-19 コンヴィーダ ワイヤレス, エルエルシー 通信ネットワークにおける自動サービス登録

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008243205A (ja) * 2007-03-28 2008-10-09 Palo Alto Research Center Inc 文書からの望ましくない推論を検知するための方法及びシステム
JP2010097336A (ja) * 2008-10-15 2010-04-30 Nippon Telegr & Teleph Corp <Ntt> プライバシー侵害監視装置、プライバシー侵害監視方法及びプログラム
WO2010067535A1 (ja) * 2008-12-08 2010-06-17 日本電気株式会社 個人情報交換システム、個人情報提供装置、そのデータ処理方法、およびそのコンピュータプログラム
JP5348143B2 (ja) * 2008-12-08 2013-11-20 日本電気株式会社 個人情報交換システム、個人情報提供装置、そのデータ処理方法、およびそのコンピュータプログラム
JP2012527671A (ja) * 2009-05-19 2012-11-08 インターナショナル・ビジネス・マシーンズ・コーポレーション セキュリティ設定及び/又はプライバシー設定を管理するためのシステム及び方法
US10789656B2 (en) 2009-07-31 2020-09-29 International Business Machines Corporation Providing and managing privacy scores
US9704203B2 (en) 2009-07-31 2017-07-11 International Business Machines Corporation Providing and managing privacy scores
JP2011182239A (ja) * 2010-03-02 2011-09-15 Fujitsu Ltd 位置情報通知装置およびその方法
JP2011257863A (ja) * 2010-06-07 2011-12-22 Nec Corp プライバシー保護装置、プライバシー保護方法およびプログラム
JPWO2013121790A1 (ja) * 2012-02-17 2015-05-11 日本電気株式会社 プライバシ情報を扱う情報処理装置、プライバシ情報を扱う情報処理システム、プライバシ情報を扱う情報処理方法及びプログラム
JP2015143894A (ja) * 2014-01-31 2015-08-06 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 情報処理装置、情報処理方法、及び、プログラム
US9866590B2 (en) 2014-01-31 2018-01-09 International Business Machines Corporation Processing information based on policy information of a target user
JP2016151773A (ja) * 2015-02-16 2016-08-22 日本電信電話株式会社 データ管理装置及びデータ管理方法
JP2017076170A (ja) * 2015-10-13 2017-04-20 Kddi株式会社 リスク評価装置、リスク評価方法及びリスク評価プログラム
JP2020533676A (ja) * 2017-09-08 2020-11-19 コンヴィーダ ワイヤレス, エルエルシー 通信ネットワークにおける自動サービス登録
JP7179836B2 (ja) 2017-09-08 2022-11-29 コンヴィーダ ワイヤレス, エルエルシー 通信ネットワークにおける自動サービス登録
US11683353B2 (en) 2017-09-08 2023-06-20 Convida Wireless, Llc Automated service enrollment in a machine-to-machine communications network
JP7474302B2 (ja) 2017-09-08 2024-04-24 コンヴィーダ ワイヤレス, エルエルシー 通信ネットワークにおける自動サービス登録
JP2020154481A (ja) * 2019-03-18 2020-09-24 Necソリューションイノベータ株式会社 匿名化レベル判定装置、匿名化レベル判定方法およびプログラム
JP7226782B2 (ja) 2019-03-18 2023-02-21 Necソリューションイノベータ株式会社 匿名化レベル判定装置、匿名化レベル判定方法およびプログラム

Similar Documents

Publication Publication Date Title
JP2006309737A (ja) 開示情報提示装置、個人特定度算出装置、id度取得装置、アクセス制御システム、開示情報提示方法、個人特定度算出方法、id度取得方法、及びプログラム
US9760723B2 (en) Techniques for in-app user data authorization
US8489516B1 (en) Methods and systems for controlling access to relationship information in a social network
JP4764451B2 (ja) 属性情報開示システム、属性情報開示方法および属性情報開示処理プログラム
US8065173B2 (en) Collaborative multi-agent system for dynamic management of electronic services in a mobile global network environment
EP1793561A1 (en) Presence managing method and apparatus
US20090216749A1 (en) Identity based content filtering
CN110489663B (zh) 一种社交内容控制方法、装置及计算机设备
US10931665B1 (en) Cross-device user identification and content access control using cookie stitchers
US11204676B2 (en) Enterprise workspace notifications service
US11201840B2 (en) Communication control method and information processing apparatus
JP2007026147A (ja) 保険営業支援方法、プログラム及び装置
CN112514403A (zh) 由在线***对嵌入的内容项目进行分发
US11354010B2 (en) Enterprise workspace notifications service
US20210192025A1 (en) Service support system and service support method
EP3722982B1 (en) Device and method for processing attribute information
US20180032960A1 (en) Methods, Systems, and Computer-Readable Medium Having Computer Program Products Stored Thereon For a Proactive, Bi-Directional Professional Networking Application
JP2009015773A (ja) 引越情報提供システム
US10616293B1 (en) Multiple account binding
JP2005309500A (ja) プレゼンス情報開示可否判定システム
US20150193626A1 (en) Method and system for user content view protection
JP4893694B2 (ja) 情報処理装置、情報処理方法及びプログラム
US11205194B2 (en) Reliable user service system and method
US20120005272A1 (en) Relationship support apparatus, relationship support method, and storage medium
US20180121244A1 (en) Systems and methods for managing help requests

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20090602