JP4813278B2 - 端末装置及び履歴サービス利用方法及び履歴サービス利用プログラム及びサーバ装置及び履歴サービス提供システム - Google Patents
端末装置及び履歴サービス利用方法及び履歴サービス利用プログラム及びサーバ装置及び履歴サービス提供システム Download PDFInfo
- Publication number
- JP4813278B2 JP4813278B2 JP2006195678A JP2006195678A JP4813278B2 JP 4813278 B2 JP4813278 B2 JP 4813278B2 JP 2006195678 A JP2006195678 A JP 2006195678A JP 2006195678 A JP2006195678 A JP 2006195678A JP 4813278 B2 JP4813278 B2 JP 4813278B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- history
- usage
- record
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 117
- PWPJGUXAGUPAHP-UHFFFAOYSA-N lufenuron Chemical compound C1=C(Cl)C(OC(F)(F)C(C(F)(F)F)F)=CC(Cl)=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F PWPJGUXAGUPAHP-UHFFFAOYSA-N 0.000 title 1
- 238000012545 processing Methods 0.000 claims description 667
- 238000003860 storage Methods 0.000 claims description 296
- 238000004891 communication Methods 0.000 claims description 277
- 230000005540 biological transmission Effects 0.000 claims description 275
- 230000008569 process Effects 0.000 claims description 84
- 238000012795 verification Methods 0.000 description 187
- 238000004364 calculation method Methods 0.000 description 91
- 238000010586 diagram Methods 0.000 description 62
- 230000000694 effects Effects 0.000 description 16
- 238000006243 chemical reaction Methods 0.000 description 14
- 230000006870 function Effects 0.000 description 8
- 230000004048 modification Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 6
- 239000000284 extract Substances 0.000 description 4
- 230000004075 alteration Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000007429 general method Methods 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000007639 printing Methods 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000003892 spreading Methods 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
従来の履歴サービスは、サービス提供者が利用者のサービス利用履歴を保存し、利用者が誰であるかを特定した上で、提供されるものである。
利用者がサービス利用履歴を保存する方式の場合、サービス提供者の側で保存したサービス利用履歴と照合することにより、利用者を特定されてしまうという課題がある。
また、データマイニング技術の発達により、サービス利用履歴の一部だけをサービス提供者に教えた場合であっても、バラバラの利用履歴から関連性を把握し、利用者のサービス利用の全貌を明らかにすることができる場合がある。
情報を記憶する記憶装置と、
情報を処理する処理装置と、
利用したサービス内容を記録した利用記録情報を複数記憶するサーバ装置と通信する通信装置と、
上記記憶装置を用いて、上記サーバ装置が記憶した上記利用記録情報のうち、所定の利用者が利用した上記サービス内容についての利用記録情報を利用履歴情報として記憶する利用履歴記憶部と、
上記通信装置を用いて、上記サーバ装置から、上記利用記録情報を複数受信し、上記処理装置を用いて、受信した複数の上記利用記録情報を出力する利用記録受信部と、
上記処理装置を用いて、上記利用記録受信部が出力した複数の上記利用記録情報と、上記利用履歴記憶部が記憶した上記利用履歴情報とを入力し、上記処理装置を用いて、入力した複数の上記利用記録情報に基づいて、入力した上記利用履歴情報のうち上記サーバ装置に送信しても上記所定の利用者が特定されにくい情報を判別し、上記処理装置を用いて、判別した上記情報を匿名履歴情報として出力する匿名履歴判別部と、
上記処理装置を用いて、上記匿名履歴判別部が出力した上記匿名履歴情報を入力し、上記通信装置を用いて、上記サーバ装置に対して、入力した上記匿名履歴情報を送信する匿名履歴送信部とを有することを特徴とする。
実施の形態1について、図1〜図9を用いて説明する。
履歴サービス提供システム800は、利用者が過去に利用したサービスの内容に基づいて、その利用者が利用するであろうサービスを予測し、その利用者にとって有用な情報を利用者に提供するシステムである。
例えば、商店において、顧客が過去に購入した商品についての情報から、その顧客が購入しそうな商品を予測し、その商品についての値引き情報などをその顧客に提供する。
サービス提供装置810は、サーバ装置の一例である。
利用者端末装置100は、端末装置の一例である。
サービス提供装置810は、利用者端末装置100が送信してきた利用履歴情報を受信し、受信した利用履歴情報に基づいて、利用者の嗜好などを分析する。サービス提供装置810は、分析結果に基づいて、利用者によって有用であろう情報を判別し、利用者端末装置100に対して送信する。
利用者端末装置100は、サービス提供装置810が送信してきた情報を受信し、受信した情報を画面に表示するなどして、利用者に通知する。
そこで、この実施の形態における利用者端末装置100は、利用履歴情報のうち、利用記録情報と照合しても容易に利用者を特定できない情報(以下「匿名履歴情報」という)を判別し、判別した匿名履歴情報のみをサービス提供装置810に対して送信する。
サービス提供装置810は、システムユニット910、CRT(Cathode・Ray・Tube)やLCD(液晶)の表示画面を有する表示装置901、キーボード902(Key・Board:K/B)、マウス903、FDD904(Flexible・Disk・Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907などのハードウェア資源を備え、これらはケーブルや信号線で接続されている。
システムユニット910は、コンピュータであり、ファクシミリ機932、電話器931とケーブルで接続され、また、ローカルエリアネットワーク942(LAN)、ゲートウェイ941を介してインターネット940に接続されている。
サービス提供装置810は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、通信装置915、表示装置901、キーボード902、マウス903、FDD904、CDD905、プリンタ装置906、スキャナ装置907、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信装置915、キーボード902、スキャナ装置907、FDD904などは、入力部、入力装置の一例である。
また、通信装置915、表示装置901、プリンタ装置906などは、出力部、出力装置の一例である。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
ファイル群924には、以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の計算結果」、「〜の処理結果」として説明する情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disc)等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
利用者端末装置100は、通信装置915、表示装置901、キーボード902などの入力装置、CPU911などの処理装置、RAM914などの記憶装置、カード部200などを有する。
通信装置915は、無線通信や赤外線通信等を用いて他の機器との通信をする。
表示装置901は、CPU911などの処理装置から送られた情報を画面に表示する。
キーボード902などの入力装置は、操作ボタンやタッチパネル等を用いて利用者が情報を入力する。
CPU911などの処理装置は、利用者端末装置100の処理を制御する。
RAM914などの記憶装置は、利用者端末装置100の処理に必要なプログラムやデータを格納する。
カード部200は、内部にUIM210(User Identity Module)を装着する。
UIM210は、通信装置915、CPU911などの処理装置、RAM914などの記憶装置を有する。
通信装置915は、無線通信やその他の通信手段を用いて他の機器との通信をする。
CPU911などの処理装置は、UIM210の処理を制御する。
RAM914などの記憶装置は、UIM210の処理に必要なプログラムやデータを格納する。
利用者は、サービスを利用する前に、利用者端末装置100を用いて履歴サービスを利用するために必要なプログラムやデータを利用者端末装置100に格納する。
格納方法としては、専用端末に利用者端末装置100を接続してダウンロードしたり、CD−ROM等の外部記憶媒体を利用者の計算機に設置し、利用者端末装置101を接続してダウンロードしたりする。
また、利用者が利用するサービスが、実在の店舗によって提供されるものではなく、例えば、インターネットを介して提供される仮想商店のようなサービスである場合には、利用者端末装置は、利用者がインターネットに接続してサービスを利用するコンピュータなどの装置であってもよい。
サービス提供装置810は、通信装置915、表示装置901、キーボード902などの入力装置、CPU911などの処理装置、磁気ディスク装置920などの記憶装置を有する。
通信装置915は、インターネット通信や無線通信・赤外線通信等を用いて利用者端末装置100や他の機器との通信をする。
表示装置901は、CPU911などの処理装置から送られた情報を画面に表示する。
キーボード902などの入力装置は、キーボードやタッチパネル等を用いて店員が情報を入力する。
CPU911などの処理装置は、サービス提供装置810の処理を制御する。
磁気ディスク装置920などの記憶装置は、サービス提供装置810の処理に必要なプログラムやデータを格納する。
店員は、履歴サービスを構築する際に、サービスを提供する際に必要なプログラムやデータをサービス提供装置810に格納する。
格納方法としては、管理サーバにサービス提供装置810を接続してダウンロードしたり、CDD905等の外部記憶装置をサービス提供装置810に設置して、インストールしたりする。
利用者端末装置100は、利用記録受信部111、利用履歴受信部112、利用履歴記憶部121、匿名履歴判別部130、匿名履歴送信部141などを有する。
サービス提供装置810は、利用者を特定できる情報を記録しないので、利用記録情報がどの利用者についてのものか知らない。サービス提供装置810は、利用者端末装置100を所持している利用者についての利用記録情報だけでなく、他の利用者についての利用記録情報も送信してくる。利用記録受信部111は、利用者端末装置100を処理している利用者についての利用記録情報だけでなく、他の利用者についての利用記録情報も受信し、出力する。
サービス提供装置810が送信してくる利用履歴情報は、今回利用者が利用したサービスについてのものである。サービス提供装置810は、利用者を特定できる情報を記録しないが、いまサービスを提供したばかりなので、その利用履歴情報を送信すべき利用者端末装置100がどれかを判別できる。利用履歴受信部112は、その利用者端末装置100を所持している利用者が今回利用したサービスについての利用履歴情報を受信し、出力する。
利用履歴記憶部121は、メモリなどの記憶装置を用いて、入力した利用履歴情報を記憶する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、利用履歴記憶部121が記憶した(前回までの)利用履歴情報を入力する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、入力した利用記録情報に基づいて、入力した利用履歴情報のうち、サービス提供装置810に送信しても利用者端末装置100を所持している利用者を特定されにくい情報(匿名履歴情報)を判別する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、判別した匿名履歴情報を出力する。
匿名履歴送信部141は、通信装置915を用いて、サービス提供装置810に対して、入力した匿名履歴情報を送信する。
利用者端末装置100がこれを受信し、表示装置901に表示するなどして、利用者に通知する。利用者は、自分の嗜好にあった情報を得ることができる。
匿名性判断部131は、CPU911などの処理装置を用いて、利用履歴情報が記録したサービスの内容についての情報をサービス提供装置810に送信しても利用者を特定されにくいか否かを判断する。
匿名性判断部131は、CPU911などの処理装置を用いて、判別したサービスの内容のそれぞれについて、そのサービス内容を利用した利用回数を算出する。
匿名性判断部131は、CPU911などの処理装置を用いて、算出した利用回数を所定の回数と比較し、算出した利用回数のほうが多い場合に、そのサービス内容についての情報をサービス提供装置810に送信しても利用者を特定されにくいと判断する。
そこで、匿名性判断部131は、利用記録情報を分析して、他の利用者も含めたサービスの利用者が利用したサービスの利用回数を算出する。
サービス提供装置810が、このような結びつけをいくつも集めることにより、一人の利用者によるサービス利用の全体像を把握できてしまう危険がある。
したがって、このような情報をサービス提供装置810に送信すると、利用者を特定されやすい。
したがって、他の誰も利用したことがない場合と比べると、利用者を特定される危険は少ないものの、利用者を特定されやすいということができる。
また、そのサービスをその利用者しか利用していない場合であっても、その回数が多ければ、サービス提供装置810はそれが同一の利用者によるものか、異なる利用者によるものかを知らないので、利用者を特定される危険は小さい。
以下、利用者を特定されにくい程度のことを「匿名性」と呼ぶこととする。
「同一のサービス」とは、例えば、商店での商品販売というサービスであれば、利用者が購入した商品が同じ場合を「同一のサービス」であるとする。匿名性判断部131は、利用記録情報を分析して、サービスの利用者が購入した商品を求め、利用者端末装置100の所持者が過去に購入したことのある商品と同一の商品を、サービスの利用者が購入した回数を算出する。
匿名性判断部131は、算出した「同一の商品を購入した回数」を所定の閾値と比較し、「同一の商品を購入した回数」のほうが多ければ、匿名性が高い(利用者を特定されにくい)と判断する。
あるいは、匿名性判断部131は、算出した「同一の商品を購入した回数」に基づいて、上述した「利用者特定率」を算出し、算出した「利用者特定率」を所定の閾値と比較し、「利用者特定率」のほうが小さければ、匿名性が高いと判断してもよい。
比較の対象となる閾値は、あらかじめ定めたものを、メモリなどの記憶装置を用いて記憶しておいてもよいし、利用者端末装置100のキーボード902などの入力装置を用いて、利用者が設定した閾値を利用者端末装置100が入力し、メモリなどの記憶装置を用いて記憶しておいてもよい。
閾値を安全性が高くなるように(利用回数の閾値であれば大きく、利用者特定率の閾値であれば小さく)設定すると、利用者を特定されにくくなるが、匿名履歴情報としてサービス提供装置810に送信できる情報量が少なくなるので、サービス提供装置810が利用者にとって有用な情報を判別しにくくなり、その結果、利用者は、有用な情報を受け取り損なったり、不必要な情報を見せられたりする可能性がある。逆に、安全性が低くなるように閾値を設定すると、利用者にぴったりの情報を通知してもらうことができるかわりに、利用者を特定される危険が高くなる。
その場合、その商品と同一の商品を同一の個数購入した場合に「同一のサービス」であるとして、匿名性判断部131が、利用回数を算出し、匿名性を判断する。
その場合、その匿名履歴情報によって特定できる「サービス内容」と同一の内容のサービスを「同一のサービス」とし、匿名性判断部131が利用回数を算出して、匿名性を判断する。
利用者端末装置100を所持している利用者がサービスを利用すると、サービス提供装置810が利用者端末装置100に対して利用履歴情報610を送信する。
利用履歴受信部112は、通信装置915を用いて、サービス提供装置810が送信してきた利用履歴情報610を受信する。
利用履歴情報610は、例えば、商品コード611、購入個数612、購入日時613などからなる。
商品コード611は、利用者が購入した商品の商品コードを示す情報である。
購入個数612は、利用者が購入した商品の個数を示す情報である。
購入日時613は、利用者がその商品を購入した日時を示す情報である。
この例では、利用者が1月18日15時21分に商品Aを2個、商品Bを2個購入したことを示す利用履歴情報610を、利用履歴受信部112が受信する。
この例では、過去3回分の利用履歴情報610を利用履歴記憶部121が既に記憶している。利用履歴記憶部121は、新たに利用履歴受信部112が受信した利用履歴情報610をこれに追加して、合計4つの利用履歴情報610を記憶する。
サービス提供装置810は、サービスの利用者が来店したときなどに、その利用者が所持している利用者端末装置100に対して、利用記録情報620を送信する。
利用記録受信部111は、通信装置915を用いて、サービス提供装置810が送信してきた利用記録情報620を受信する。
利用記録情報620は、例えば、商品コード621、購入個数622などからなる。
商品コード621は、商品コード611と同様、利用者が購入した商品の商品コードを示す情報である。
購入個数622は、購入個数612と同様、利用者がそのときに購入した商品の個数を示す情報である。
この例では、8つの利用記録情報620がサービス提供装置810から送信され、利用記録受信部111が受信する。
一番目の利用記録情報620は、「商品Aを1個、商品Bを2個、商品Dを2個」購入した利用者がいたことを示している。図6に示した利用履歴記憶部121が記憶している利用履歴情報610と照らし合わせると、この利用記録情報620と一致する内容の利用履歴情報610を利用履歴記憶部121が記憶しているので、この利用記録情報620は、利用者端末装置100を所持している利用者自身のサービス利用を記録したものであることがわかる。しかし、サービス提供装置810は、利用者を特定できる情報を記録していないので、そのことを判別できない。
二番目の利用記録情報620は、「商品Aを3個、商品Bを1個」購入した利用者がいたことを示している。図6に示した利用履歴記憶部121が記憶している利用履歴情報610と照らし合わせると、この利用記録情報620と一致する内容の利用履歴情報610を利用履歴記憶部121が記憶していないので、この利用記録情報620は、利用者端末装置100を所持している利用者以外の他の利用者のサービス利用を記録したものであることがわかる。しかし、サービス提供装置810は、利用者を特定できる情報を記録していないので、そのことを判別できない。
したがって、サービス提供装置810は、その利用者が利用したサービスの利用記録情報620も、他の利用者が利用したサービスの利用記録情報620も、区別せずに送信する。
この例では、購入した商品が同じ場合を「同一のサービス」として数えることとし、匿名性判断部131は、商品Aの利用回数(購入回数)が6回、商品Bが5回、商品Cが1回、商品Dが3回であることを求める。
なお、利用記録受信部111が受信した利用記録情報620には、商品Eについてのサービス利用も記録されているが、図6に示した利用履歴記憶部121が記憶している利用履歴情報610によれば、利用者端末装置100を所持している利用者は商品Eを購入したことがなく、「商品Eを購入したことがある」という内容の匿名履歴情報を匿名履歴送信部141が送信することはあり得ないので、商品Eについての利用回数は算出していない。
匿名性判断部131は、CPU911などの処理装置を用いて、算出した利用回数に基づいて利用者特定率を算出する。
この例では、匿名性判断部131が利用回数を閾値「4回」と比較し、あるいは、利用者特定率を閾値「25%」と比較して、商品A及び商品Bの購入履歴については、匿名性が高いと判断する。また、商品C及び商品Dの購入履歴については、匿名性が低く、サービス提供装置810に送信すると利用者を特定される危険があると判断する。
匿名履歴情報630は、例えば、商品コード631などからなる。
商品コード631は、利用者が購入したことがある商品の商品コードを示す情報である。
この例では、商品Aと商品Bを購入したことがあることを、サービス提供装置810に知らせても、利用者を特定されにくいと匿名性判断部131が判断したので、匿名履歴判別部130は、「商品Aを購入したことがある」ことを示す匿名履歴情報630と、「商品Bを購入したことがある」ことを示す匿名履歴情報630とを生成する。
匿名履歴送信部141は、CPU911などの処理装置を用いて、匿名履歴判別部130が出力した匿名履歴情報630を入力する。
匿名履歴送信部141は、通信装置915を用いて、サービス提供装置810に対して、入力した匿名履歴情報630を送信する。
履歴サービス提供処理は、履歴サービス利用方法の一例である。
サービス提供装置810は、通信装置915を用いて、利用者端末装置100に対して、読み出した利用記録情報620を送信する。
利用記録受信部111は、CPU911などの処理装置を用いて、受信した利用記録情報620を出力する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、入力した利用記録情報620に基づいて、入力した利用履歴情報610のうちサービス提供装置810に送信しても利用者を特定されにくい情報を判別する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、判別した情報に基づいて匿名履歴情報630を生成する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、生成した匿名履歴情報630を出力する。
匿名履歴送信部141は、通信装置915を用いて、サービス提供装置810に対して、入力した匿名履歴情報630を送信する。
なお、匿名履歴送信部141は、送信すべき匿名履歴情報630がない場合、履歴サービス提供システム800の処理を先に進めるため、サービス提供装置810に対して、空の情報を送信する。送信すべき匿名履歴情報630がない場合とは、例えば、利用者がそのサービスを初めて利用する場合などである。
なお、サービス提供装置810は、生成した履歴サービス情報を利用者端末装置100に送信するのではなく、例えば、店内に設置したディスプレイ画面に表示するなどして、利用者に通知してもよい。
サービス提供装置810は、記憶した利用記録情報620を分析することにより、サービス利用者の利用傾向などの情報を得ることができる。しかし、複数の利用記録情報620を結びつけることはできないので、それにより、利用者を特定することはできない。
利用履歴受信部112は、CPU911などの処理装置を用いて、受信した利用履歴情報610を出力する。
利用履歴記憶部121は、メモリなどの記憶装置を用いて、入力した利用履歴情報610を記憶する。
匿名履歴判別処理は、図8のS22(匿名履歴判別工程)に相当する処理である。
匿名履歴判別部130は、CPU911などの処理装置を用いて、入力した利用履歴情報610に基づいて、購入したことのある商品を判別する。
匿名性判断部131は、CPU911などの処理装置を用いて、入力し利用記録情報620に基づいて、他の利用者も含むサービスの利用者が、購入した商品を判別する。
匿名性判断部131は、CPU911などの処理装置を用いて、判別した商品のうち、S41で判別した商品のリストに含まれる商品について、購入記録の出現回数(購入回数)を数える。
匿名性が高いと判断した商品については、S44へ進む。
匿名性が低いと判断した商品については、匿名履歴判別処理を終了する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、生成した匿名履歴情報630を出力する。
サービス提供装置810に対して、匿名性の高い情報のみで構成された匿名履歴情報630を、匿名履歴送信部141が送信することで、利用者は履歴サービスを受ける。
これにより、利用者を特定されることなく、利用者が履歴サービスを受けることができる。
情報を記憶するメモリなどの記憶装置と、
情報を処理するCPU911などの処理装置と、
利用したサービス内容を記録した利用記録情報620を複数記憶するサービス提供装置810(サーバ装置)と通信する通信装置915と、
メモリなどの記憶装置を用いて、サービス提供装置810が記憶した利用記録情報620のうち、利用者端末装置100を所持する利用者が利用したサービス内容についての利用記録情報620を利用履歴情報610として記憶する利用履歴記憶部121と、
通信装置915を用いて、サービス提供装置810から、利用記録情報620を複数受信し、CPU911などの処理装置を用いて、受信した複数の利用記録情報620を出力する利用記録受信部111と、
CPU911などの処理装置を用いて、利用記録受信部111が出力した複数の利用記録情報620と、利用履歴記憶部121が記憶した利用履歴情報610とを入力し、CPU911などの処理装置を用いて、入力した複数の利用記録情報620に基づいて、入力した利用履歴情報610のうちサービス提供装置810に送信しても利用者が特定されにくい情報を判別し、CPU911などの処理装置を用いて、判別した情報を匿名履歴情報630として出力する匿名履歴判別部130と、
CPU911などの処理装置を用いて、匿名履歴判別部130が出力した匿名履歴情報630を入力し、通信装置915を用いて、サービス提供装置810に対して、入力した匿名履歴情報630を送信する匿名履歴送信部141とを有することを特徴とする。
匿名履歴判別部130が、
CPU911などの処理装置を用いて、入力した複数の利用記録情報620のそれぞれについて、利用記録情報620が記録したサービス内容を判別し、CPU911などの処理装置を用いて、判別したサービス内容のそれぞれについて、そのサービス内容を利用した利用回数を算出し、CPU911などの処理装置を用いて、算出した利用回数が所定の回数よりも多い場合に、そのサービス内容についての情報をサービス提供装置810に送信しても利用者が特定されにくいと判断する匿名性判断部131を有することを特徴とする。
情報を記憶するメモリなどの記憶装置と、情報を処理するCPU911などの処理装置と、利用したサービス内容を記録した利用記録情報620を複数記憶するサービス提供装置810(サーバ装置)と通信する通信装置915とを有する利用者端末装置100(端末装置)が、サービス提供装置810が提供する履歴サービスを利用する履歴サービス利用方法において、
メモリなどの記憶装置が、サービス提供装置810が記憶した利用記録情報620のうち、所定の利用者が利用したサービス内容についての利用記録情報620を利用履歴情報610として記憶する利用履歴記憶工程と、
通信装置915が、サービス提供装置810から、利用記録情報620を複数受信し、CPU911などの処理装置が、受信した複数の利用記録情報620を出力する利用記録受信工程と、
CPU911などの処理装置が、利用記録受信工程でCPU911などの処理装置が出力した複数の利用記録情報620と、利用履歴記憶工程でメモリなどの記憶装置が記憶した利用履歴情報610とを入力し、CPU911などの処理装置を用いて、入力した複数の利用記録情報620に基づいて、入力した利用履歴情報610のうちサービス提供装置810に送信しても利用者が特定されにくい情報を判別し、CPU911などの処理装置が、判別した情報を匿名履歴情報630として出力する匿名履歴判別工程と、
CPU911などの処理装置が、匿名履歴判別工程でCPU911などの処理装置が出力した匿名履歴情報630を入力し、通信装置915が、サービス提供装置810に対して、入力した匿名履歴情報630を送信する匿名履歴送信工程とを有することを特徴とする。
実施の形態2について、図10〜図12を用いて説明する。
この実施の形態における履歴サービス提供システム800の全体構成、利用者端末装置100及びサービス提供装置810のハードウェア構成は、実施の形態1で説明したものと同様なので、ここでは説明を省略する。
なお、実施の形態1で説明したブロックと共通するブロックについては、同一の符号を付し、ここでは説明を省略する。
信頼性判断部151は、CPU911などの処理装置を用いて、利用記録受信部111が出力した利用記録情報620と、利用履歴記憶部121が記憶した利用履歴情報610とを入力する。
信頼性判断部151は、CPU911などの処理装置を用いて、入力した利用記録情報620と、入力した利用履歴情報610とに基づいて、利用記録情報620が信頼できるか否かを判断する。
信頼性判断部151は、CPU911などの処理装置を用いて、判断結果を示す情報を出力する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、入力した情報に基づいて、利用記録情報620が信頼できると信頼性判断部151が判断した場合に、実施の形態1で説明した処理を行い、匿名履歴情報630を出力する。
例えば、サービス提供装置810が記憶している利用記録情報620が、図7に示したものであり、サービス提供装置810は、商品Cを購入した利用者を特定したいものとする。
サービス提供装置810が記憶している利用記録情報620を、利用者端末装置100に対して正直に送信すると、実施の形態1で説明したように、商品Cを購入したことがあるという情報は匿名性が低いと、匿名性判断部131が判断する。したがって、匿名履歴送信部141がサービス提供装置810に対して送信する匿名履歴情報630には、商品Cを購入したことがあることを示す情報は含まれず、サービス提供装置810は、商品Cを購入した利用者を特定することができない。
利用記録受信部111は、通信装置915を用いて、サービス提供装置810が送信してきた「嘘の」利用記録情報620を受信する。
この図において、利用記録情報620が改変された部分を太枠で示している。
この判断に基づいて、匿名履歴判別部130は、CPU911などの処理装置を用いて、商品Cを購入したことがあることを示す匿名履歴情報630を生成する。匿名履歴送信部141は、通信装置915を用いて、サービス提供装置810に対して、生成した匿名履歴情報630を送信する。
サービス提供装置810は、利用者端末装置100が送信してきた匿名履歴情報630を受信し、以前に商品Cを購入した利用者を特定する。
信頼性判断部151は、CPU911などの処理装置を用いて、入力した利用履歴情報610すべてについて同じ内容を示す利用記録情報620が存在するか否かを判断する。
利用履歴情報610すべてについて同じ内容の利用記録情報620があると判断した場合は、S52へ進む。
利用履歴情報610のなかに同じ内容の利用記録情報620がないと判断した場合は、S53へ進む。
その後、S54へ進む。
信頼性判断部151は、同様に、図6の2つ目(1月10日)の利用履歴情報610に記録されている内容「商品Bを1個購入した」と、同一の内容を有する利用記録情報620があるか否かを判断する。図11の利用記録情報620にはこれに該当する利用記録情報620がない。したがって、この情報が改変されていることがわかる。
1つでも改変されている情報を見つけた場合、信頼性判断部151は、利用記録情報620全体が信頼できないと判断する。
そこで、匿名履歴送信部141は、利用記録情報620が信頼できないと信頼性判断部151が判断して、匿名履歴判別部130が匿名履歴情報630を出力しなかった場合、サービス提供装置810に対して、空の情報を送信する。
これは、その利用者がサービスを初めて利用する場合の手順と同じなので、サービス提供装置810は、利用記録情報620が信頼されなかったのか、その利用者がサービスを初めて利用するのか区別できない。これにより、サービス提供装置810に利用者を特定する手がかりを与えずに済む。
CPU911などの処理装置を用いて、利用履歴記憶部121が記憶した利用履歴情報610と利用記録受信部111が出力した利用記録情報620とを入力し、CPU911などの処理装置を用いて、入力した利用記録情報620のなかに、入力した利用履歴情報610が記録したサービス内容と一致するサービス内容を記録した利用記録情報620が存在するか否かを判断し、一致するサービス内容を記録した利用記録情報620があると判断した場合に、利用記録情報620が信頼できると判断する信頼性判断部151を有し、
匿名履歴判別部130が、CPU911などの処理装置を用いて、利用記録情報620が信頼できると信頼性判断部151が判断した場合に、匿名履歴情報630を出力することを特徴とする。
しかし、サービス提供装置810は、利用者を特定できる情報を記録していないので、利用記録情報620がどの利用者についてのものか判別できず、他の利用者についての利用記録情報620だけを改変することはできない。
しかし、このような改変が1回でも発覚すれば、顧客の信用を失い、顧客を失うことになるので、たとえ実際に見破ることができる可能性が低いとしても、このような改変を抑止する効果を期待することができる。
あるいは、利用者端末装置100は、利用者が店を出たあとで、個人情報を収集している可能性があることを表示装置901を用いて表示し、利用者に警告してもよい(その場で警告しないのは、見破ったことを店側に悟られないためである)。
実施の形態3について、図13〜図15を用いて説明する。
この実施の形態における履歴サービス提供システム800の全体構成、利用者端末装置100及びサービス提供装置810のハードウェア構成は、実施の形態1で説明したものと同様なので、ここでは説明を省略する。
また、この実施の形態における利用者端末装置100の機能ブロックの構成は、実施の形態2で説明したものと同様なので、ここでは説明を省略する。
なお、実施の形態1で図6を用いて説明した利用履歴情報610と共通する部分については、同一の符号を付し、ここでは説明を省略する。
利用履歴受信部112が受信する利用履歴情報610には、履歴識別情報614が含まれている。
利用履歴受信部112は、CPU911などの処理装置を用いて、受信した利用履歴情報610を出力する。利用履歴受信部112が出力する利用履歴情報610には、受信した履歴識別情報614が含まれている。利用履歴受信部112は、受信した履歴識別情報614を利用履歴情報610とともに出力する。
利用履歴記憶部121は、メモリなどの記憶装置を用いて、入力した利用履歴情報610と履歴識別情報614とを記憶する。
なお、実施の形態1で図7を用いて説明した利用記録情報620と共通する部分については、同一の符号を付し、ここでは説明を省略する。
利用記録受信部111が受信する利用記録情報620には、記録識別情報624が含まれている。
利用記録受信部111は、CPU911などの処理装置を用いて、受信した利用記録情報620を出力する。利用記録受信部111が出力する利用記録情報620には、受信した記録識別情報624が含まれている。利用記録受信部111は、受信した記録識別情報624を利用記録情報620とともに出力する。
サービス提供装置810は、利用者端末装置100に対して、利用記録情報620を送信するにあたり、その利用記録情報620の記録識別情報624を一緒に送信する。
しかし、他の利用者についての利用記録情報620のなかに、まったく同一内容を示す利用記録情報620があった場合、両者を区別できなければ、利用記録情報620を見破ることができない。
なお、実施の形態2で図12を用いて説明した処理と共通する処理については、同一の符号を付し、ここでは説明を省略する。
信頼性判断部151は、CPU911などの処理装置を用いて、入力した履歴識別情報614と入力した記録識別情報624とが一致するものについて、利用履歴記憶部121が記録した利用履歴情報610と、利用記録受信部111が出力した利用記録情報620とを入力する。
すなわち、信頼性判断部151は、CPU911などの処理装置を用いて、利用記録受信部111が出力した利用記録情報620のなかから、利用履歴記憶部121が記憶した利用履歴情報610の履歴識別情報614と一致する記録識別情報624を有する利用記録情報620を抽出する。
入力した利用記録情報620のなかに、履歴識別情報614と一致する記録識別情報624を有する利用記録情報620がない場合には、S53へ進み、利用記録情報620が信頼できないと判断する。
入力した履歴識別情報614すべてについて、一致する記録識別情報624を有する利用記録情報620がある場合には、S56へ進む。
サービス内容が一致する場合は、S52へ進み、利用記録情報620が信頼できると判断する。
サービス内容が一致しない場合は、S53へ進み、利用記録情報620が信頼できないと判断する。
したがって、匿名履歴送信部141は、サービス提供装置810に対して匿名履歴情報630を送信せず、匿名性の低い情報により利用者を特定されるのを防ぐことができる。
利用履歴記憶部121が、
メモリなどの記憶装置を用いて、利用履歴情報610と利用履歴情報610を識別する履歴識別情報614とを記憶し、
利用記録受信部111が、
通信装置915を用いて、複数の利用記録情報620と複数の利用記録情報620をそれぞれ識別する複数の記録識別情報624とを受信し、CPU911などの処理装置を用いて、受信した複数の利用記録情報620と受信した複数の記録識別情報624とを出力し、
利用者端末装置100が、更に、
CPU911などの処理装置を用いて、利用履歴記憶部121が記憶した履歴識別情報614と、利用記録受信部111が出力した複数の記録識別情報624とを入力し、CPU911などの処理装置を用いて、入力した履歴識別情報614と入力した記録識別情報624とが一致するものについて、利用履歴記憶部121が記憶した利用履歴情報610のうち、履歴識別情報614によって識別される利用履歴情報610と、利用記録受信部111が出力した利用履歴情報610のうち、記録識別情報624によって識別される利用記録情報620とを入力し、CPU911などの処理装置を用いて、入力した利用履歴情報610が記録したサービス内容と、入力した利用記録情報620が記録したサービス内容とが一致するか否かを判断し、CPU911などの処理装置を用いて、サービス内容が一致すると判断した場合に、利用記録情報620が信頼できると判断する信頼性判断部151を有し、
匿名履歴判別部130が、
CPU911などの処理装置を用いて、利用記録情報620が信頼できると信頼性判断部151が判断した場合に、匿名履歴情報630を出力することを特徴とする。
信頼性判断部151が、更に、
CPU911などの処理装置を用いて、入力した利用記録情報620のなかに、利用履歴記憶部121が記憶した履歴識別情報614と一致する記録識別情報624を含む利用記録情報620がない場合に、利用記録情報620が信頼できないと判断することを特徴とする。
サービス提供装置810が、利用記録情報620の一部を送信しないことにより、利用者端末装置100を誤誘導して、匿名性の低い情報を送信させようとした場合、そのことを見破ることができるので、匿名性の低い情報により、利用者を特定されるのを防ぐことができるという効果を奏する。
実施の形態4について、図16〜図18を用いて説明する。
この実施の形態における履歴サービス提供システム800の全体構成、利用者端末装置100及びサービス提供装置810のハードウェア構成は、実施の形態1で説明したものと同様なので、ここでは説明を省略する。
なお、実施の形態2で説明した機能ブロックと共通するブロックについては、同一の符号を付し、ここでは説明を省略する。
記録識別受信部113は、CPU911などの処理装置を用いて、受信した記録識別情報624のリストを出力する。
記録識別選択部152は、CPU911などの処理装置を用いて、入力した記録識別情報624のリストのなかから、適当な数の記録識別情報624を選択する。
記録識別選択部152は、CPU911などの処理装置を用いて、選択した記録識別情報624を出力する。
選択識別送信部142は、通信装置915を用いて、サービス提供装置810に対して、入力した記録識別情報624を送信する。
サービス提供装置810は、通信装置915を用いて、利用者端末装置100が選択した記録識別情報624を受信する。
サービス提供装置810は、通信装置915を用いて、利用者端末装置100に対して、受信した記録識別情報624に対応する利用記録情報620を送信する。
サービス提供装置810は、通信装置915を用いて、利用者端末装置100に対して、生成したすべての記録識別情報624のリストを送信する。
記録識別受信部113は、CPU911などの処理装置を用いて、受信した記録識別情報624のリストを出力する。
記録識別選択部152は、CPU911などの処理装置を用いて、入力した記録識別情報624のリストのなかから、複数の記録識別情報624を選択する。
記録識別選択部152は、CPU911などの処理装置を用いて、選択した複数の記録識別情報624を出力する。
選択識別送信部142は、通信装置915を用いて、サービス提供装置810に対して、入力した複数の記録識別情報624を送信する。
利用記録受信部111は、CPU911などの処理装置を用いて、受信した利用記録情報620を出力する。
記録識別選択部152は、CPU911などの処理装置を用いて、入力した記録識別情報624のリストのなかに、入力した履歴識別情報614と一致する記録識別情報624がすべて含まれているか否かを判断する。
履歴識別情報614と一致する記録識別情報624がすべて含まれている場合は、S63へ進む。
履歴識別情報614と一致する記録識別情報624が含まれていない場合は、S62へ進む。
記録識別選択部152は、メモリなどの記憶装置を用いて、判断結果を示す情報を記憶する。
これにより、匿名履歴判別部130が匿名履歴情報630を出力せず、匿名履歴送信部141が匿名履歴情報630を送信しないので、匿名性の低い情報により利用者を特定されるのを防ぐことができる。
また、実施の形態2で説明したように、匿名履歴送信部141が匿名履歴情報630を送信しなくても、サービス提供装置810は見破ったことを判別できないので、利用者を特定する手がかりを与えずに済む。
このとき、記録識別選択部152は、履歴識別情報614と一致する記録識別情報624をすべて選択してもよいし、履歴識別情報614と一致する記録識別情報624の一部を選択してもよいが、信頼性判断部151が利用記録情報620の信頼性を検証するために十分な数の記録識別情報624を選択するものとする。
このとき、記録識別選択部152は、匿名性判断部131が情報の匿名性を判断するのに十分な数の記録識別情報624を選択する。他の利用者についての利用記録情報620を十分な数得られなければ、情報の匿名性を正しく判断できないからである。
履歴識別情報614と一致しない記録識別情報624を選択する数は、最低でも、履歴識別情報614と一致する記録識別情報624を選択した数より多いことが好ましい。
できれば、履歴識別情報614と一致する記録識別情報624を選択した数の10倍以上であることが、更に好ましい。
また、送信させる利用記録情報620は、利用者端末装置100が選択したものであるから、サービス提供装置810が恣意的に送信する利用記録情報620を選択し、信頼性判断部151の判断を狂わせることができない。
通信装置915を用いて、サービス提供装置810(サーバ装置)が記憶した利用記録情報620を識別する記録識別情報624のリストを受信し、CPU911などの処理装置を用いて、受信した記録識別情報624のリストを出力する記録識別受信部113と、
CPU911などの処理装置を用いて、記録識別受信部113が出力した記録識別情報624のリストのなかから、複数の記録識別情報624を選択し、CPU911などの処理装置を用いて、選択した複数の記録識別情報624を出力する記録識別選択部152と、
CPU911などの処理装置を用いて、記録識別選択部152が出力した複数の記録識別情報624を入力し、通信装置915を用いて、サービス提供装置810に対して、入力した複数の記録識別情報624を送信する選択識別送信部142とを有し、
利用記録受信部111が、
通信装置915を用いて、サービス提供装置810から、選択識別送信部142が送信した複数の記録識別情報624によって識別される複数の利用記録情報620を受信することを特徴とする。
すなわち、CPU911などの処理装置の処理能力が低い利用者端末装置100であれば、受信する利用記録情報620の量を減らして、処理を円滑に進めることができ、CPU911などの処理装置が高い利用者端末装置100であれば、受信する利用記録情報620の量を増やして、匿名性判断部131が匿名性をより正確に判断できるようにすることができる。
また、サービス提供装置810が送信する利用記録情報620を恣意的に選択することができないので、匿名性判断部131の判断を狂わせられる危険がない。
記録識別選択部152が、更に、
CPU911などの処理装置を用いて、利用履歴記憶部121が記憶した履歴識別情報614を入力し、
CPU911などの処理装置を用いて、入力した履歴識別情報614と一致する記録識別情報624を選択し、
CPU911などの処理装置を用いて、入力した履歴識別情報614と一致しない記録識別情報624をランダムに選択することを特徴とする。
また、サービス提供装置810が、記録識別選択部152が選択した記録識別情報624から、利用者を特定する手がかりを得ることができないという効果を奏する。
実施の形態5について、図19〜図20を用いて説明する。
この実施の形態における履歴サービス提供システム800の全体構成、利用者端末装置100及びサービス提供装置810のハードウェア構成は、実施の形態1で説明したmのと同様なので、ここでは説明を省略する。
また、この実施の形態における利用者端末装置100の機能ブロックの構成は、実施の形態4で説明したものと同様なので、ここでは説明を省略する。
なお、実施の形態1で図7を用いて説明した利用記録情報620と共通する部分については、同一の符号を付し、ここでは説明を省略する。
利用記録受信部111が受信する利用記録情報620には、ハッシュ値625が含まれている。
利用記録受信部111は、CPU911などの処理装置を用いて、受信した利用記録情報620を出力する。利用記録受信部111が出力する利用記録情報620には、受信したハッシュ値625が含まれている。利用記録受信部111は、受信したハッシュ値625も利用記録情報620とともに出力する。
ハッシュ値は、通常、元のデータよりも情報量が少ないので、ハッシュ値から元のデータを復元することはできない。
ハッシュ値は、元のデータの要約とも呼ばれ、元のデータが異なれば、通常、ハッシュ値も異なる。
ハッシュ値は、通常、元のデータよりも情報量が少ないので、異なるデータから生成したハッシュ値が同一になる場合もある(これをハッシュ値の衝突という)が、同一のハッシュ値が生成される別のデータを予測することは極めて困難である。
ハッシュ値はこのような性質を有しているので、例えば、電子署名などにおいて、元のデータが改変されていないかどうかを検証するために用いられる。
ハッシュ値625は、実施の形態3で説明した記録識別情報624の代わりとなるものであり、利用記録情報620を識別するために利用する。
そのため、利用者が何らかの方法で、他の利用者が利用したサービスを記録した利用記録情報620の記録識別情報624を知ることができれば、他の利用者が利用したサービスの内容を知ることができる。
信頼性判断部151は、CPU911などの処理装置を用いて、入力した利用履歴情報610の記録識別情報624と、利用履歴情報610の内容(商品コード611や購入個数612など)とから、ハッシュ値を生成する。
信頼性判断部151は、CPU911などの処理装置を用いて、入力したハッシュ値625とS57で生成したハッシュ値とが一致するものについて、利用記録受信部111が出力した利用記録情報620を入力する。
すなわち、信頼性判断部151は、CPU911などの処理装置を用いて、利用記録受信部111が出力した利用記録情報620のなかから、利用履歴記憶部121が記憶した利用履歴情報610の履歴識別情報614と一致する記録識別情報624を有する利用記録情報620を抽出する。
入力した利用記録情報620のなかに、算出したハッシュ値と一致するハッシュ値625を有する利用記録情報620がない場合には、S53へ進み、利用記録情報620が信頼できないと判断する。
入力した履歴識別情報614すべてについて、一致する記録識別情報624を有する利用記録情報620がある場合には、S56へ進む。
ハッシュ値の算出方法(ハッシュ関数)は、利用者端末装置100とサービス提供装置810とで同じものを使用する。したがって、元のデータが等しければ、算出されるハッシュ値も等しくなる。
利用者端末装置100は、履歴識別情報614をもとに算出したハッシュ値を、受信したハッシュ値625と比較することにより、受信していない記録識別情報624と、履歴識別情報614とを比較するのと同じ効果を得る。
信頼性判断部151は、ハッシュ値が一致した利用記録情報620の内容と利用履歴情報610の内容とを比較して、内容が改変されていないかを調べ、受信した利用記録情報620が信頼できるか否かを判断する。
そのため、サービス提供装置810は、選択識別送信部142が送信した記録識別情報624の数が少ない場合には、利用記録情報620の送信を拒否することとしてもよい。
そうすれば、他の利用者は購入日時613を知らないので、ハッシュ値を算出できず、記録識別情報624と利用記録情報620との対応関係を判別できない。
利用履歴記憶部121が、
メモリなどの記憶装置を用いて、利用履歴情報610と利用履歴情報610を識別する履歴識別情報614とを記憶し、
利用記録受信部111が、
通信装置915を用いて、複数のハッシュ値625と、複数のハッシュ値625それぞれに対応する複数の利用記録情報620とを受信し、CPU911などの処理装置を用いて、受信した複数のハッシュ値625と受信した複数の利用記録情報620とを出力し、
利用者端末装置100は、更に、
CPU911などの処理装置を用いて、利用履歴記憶部121が記憶した履歴識別情報614と利用履歴情報610と、利用記録受信部111が出力した複数のハッシュ値625とを入力し、CPU911などの処理装置を用いて、入力した履歴識別情報614と入力した利用履歴情報610とに基づいて、ハッシュ値を算出し、CPU911などの処理装置を用いて、入力したハッシュ値625と算出した上記ハッシュ値とが一致するものについて、利用記録受信部111が出力した利用記録情報620のうち、ハッシュ値625に対応する利用記録情報620を入力し、CPU911などの処理装置を用いて、入力した利用履歴情報610が記録したサービス内容と、入力した利用記録情報620が記録したサービス内容とが一致するか否かを判断し、CPU911などの処理装置を用いて、上記サービス内容が一致すると判断した場合に、利用記録情報620が信頼できると判断する信頼性判断部151を有し、
匿名履歴判別部130が、
CPU911などの処理装置を用いて、利用記録情報620が信頼できると信頼性判断部151が判断した場合に、匿名履歴情報630を出力することを特徴とする。
実施の形態6について、図21〜図23を用いて説明する。
この実施の形態における履歴サービス提供システム800の全体構成、利用者端末装置100及びサービス提供装置810のハードウェア構成は、実施の形態1で説明したものと同様なので、ここでは説明を省略する。
また、この実施の形態における利用者端末装置100の機能ブロックの構成は、実施の形態4で説明したものと同様なので、ここでは説明を省略する。
なお、実施の形態3で図13を用いて説明した利用記録情報620と共通する部分については、同一の符号を付し、ここでは説明を省略する。
利用履歴受信部112が受信する利用履歴情報610には、サービス暗号鍵616が含まれている。
利用履歴受信部112は、CPU911などの処理装置を用いて、受信した利用履歴情報610を出力する。利用履歴受信部112が出力する利用履歴情報610には、受信したサービス暗号鍵616が含まれている。利用履歴受信部112は、受信したサービス暗号鍵616を利用履歴情報610とともに出力する。
利用履歴記憶部121は、メモリなどの記憶装置を用いて、入力した利用履歴情報610とサービス暗号鍵616とを記憶する。
この例では、利用履歴記憶部121が、利用履歴情報610とサービス暗号鍵616とを別々に記憶しているが、受信した利用履歴情報610の形式のまま、一緒に記憶することとしてもよい。
この例では、利用者が「商品A」「商品B」「商品C」「商品D」を購入したことがあるので、利用履歴記憶部121は、これらの商品についてのサービス暗号鍵616を記憶している。それ以外の商品は利用者が購入したことがないので、利用履歴記憶部121は、それ以外の商品についてのサービス暗号鍵616を記憶していない。
暗号化記録情報640は、サービス提供装置810が利用記録情報620を暗号化したものである。
この例では、利用記録情報620のうち、購入個数622を暗号化して暗号化購入個数642としたものを暗号化記録情報640とし、他の部分は暗号化していない。しかし、他の部分も暗号化してもよい。
この例では、購入した商品ごとにサービス内容の種別が異なることとしているので、1つの利用記録情報620に複数の種別のサービスが記録されている。そこで、それぞれのサービス種別ごとに、異なるサービス暗号鍵616で暗号化し、暗号化記録情報640とする。
すなわち、「商品A」の購入個数622は「商品A」のサービス暗号鍵616で暗号化して暗号化購入個数642とし、「商品B」の購入個数622は「商品B」のサービス暗号鍵616で暗号化して暗号化購入個数642とする。
なお、暗号化の方式は、このような単純なものではなく、もっと高度な方式を用いてもよい。
利用記録受信部111は、CPU911などの処理装置を用いて、受信した暗号化記録情報640を、入力したサービス暗号鍵616で復号して、利用記録情報620を取得する。
利用記録受信部111は、CPU911などの処理装置を用いて、取得した利用記録情報620を出力する。
したがって、利用者が利用したことのないサービスについては、匿名性を判断する必要がない。例えば、利用者が購入したことのない「商品E」についての情報を取得できなくても、匿名履歴判別部130は、匿名履歴情報630を生成できる。
利用者が利用したことのないサービスについての情報を含む利用記録情報620は、利用者自身の利用履歴情報610ではあり得ないから、その利用記録情報620を取得できなくても、信頼性判断部151は、利用記録情報620の信頼性を検証できる。
この実施の形態における履歴サービス提供システム800によれば、その利用者が利用したことがないサービスについての利用記録情報620は、利用者端末装置100が取得することができないので、そのような形での営業秘密の漏洩を避けることができる。
この例において、暗号化記録情報640は、すべての商品についての暗号化購入個数642を含む。暗号化購入個数642は、例えば、商品コード順に並んでおり、左から順に「商品A」「商品B」「商品C」「商品D」「商品E」についてのものである。
これにより、暗号化購入個数642を復号できなければ、その商品の売れた数だけでなく、売れたのか売れなかったのかもわからない。
通信装置915を用いて、利用者端末装置100を所持している利用者がサービス内容を利用した場合に、サービス提供装置810(サーバ装置)から、利用したサービス内容を記録した利用記録情報620とそのサービス内容の種別に対応する暗号鍵とを受信し、CPU911などの処理装置を用いて、受信した利用記録情報620を利用履歴情報610として出力し、受信した暗号鍵をサービス暗号鍵616として出力する利用履歴受信部112を有し、
利用履歴記憶部121が、
CPU911などの処理装置を用いて、利用履歴受信部112が出力した利用履歴情報610とサービス暗号鍵616とを入力し、メモリなどの記憶装置を用いて、入力した利用履歴情報610とサービス暗号鍵616とを記憶し、
利用記録受信部111が、
通信装置915を用いて、サービス提供装置810から、複数の利用記録情報620を、利用記録情報620が記録したサービス内容の種別ごとに異なる暗号鍵でそれぞれ暗号化した複数の暗号化記録情報640を受信し、CPU911などの処理装置を用いて、利用履歴記憶部121が記憶したサービス暗号鍵616を入力し、CPU911などの処理装置を用いて、受信した複数の暗号化記録情報640を、入力したサービス暗号鍵616でそれぞれ復号して、複数の利用記録情報620を取得し、CPU911などの処理装置を用いて、取得した複数の利用記録情報620を出力することを特徴とする。
実施の形態7について、図24〜図27を用いて説明する。
この実施の形態における履歴サービス提供システム800の全体構成、利用者端末装置100及びサービス提供装置810のハードウェア構成は、実施の形態1で説明したものと同様なので、ここでは説明を省略する。
また、この実施の形態における利用者端末装置100の機能ブロックの構成は、実施の形態4で説明したものと同様なので、ここでは説明を省略する。
なお、実施の形態3で図13を用いて説明した利用履歴情報610と共通する部分については、同一の符号を付し、ここでは説明を省略する。
利用履歴受信部112が受信する利用履歴情報610には、履歴暗号鍵617が含まれている。
利用履歴受信部112は、CPU911などの処理装置を用いて、受信した利用履歴情報610を出力する。利用履歴受信部112が出力する利用履歴情報610には、受信した履歴暗号鍵617が含まれている。利用履歴受信部112は、受信した履歴暗号鍵617を利用履歴情報610とともに出力する。
利用履歴記憶部121は、メモリなどの記憶装置を用いて、入力した利用履歴情報610と履歴暗号鍵617とを記憶する。
サービス提供装置810は、更に、CPU911などの処理装置を用いて、その利用履歴情報610に対応する履歴暗号鍵617を生成する。サービス提供装置810は、通信装置915を用いて、利用者端末装置100に対して、生成した履歴暗号鍵617を、利用履歴情報610とともに送信する。
サービス提供装置810は、磁気ディスク装置920などの記憶装置を用いて、利用履歴情報610と履歴暗号鍵617とを、利用記録情報620と記録暗号鍵627として記憶する。
なお、実施の形態6で図23を用いて説明した暗号化記録情報640と共通する部分については、同一の符号を付し、ここでは説明を省略する。
サービス提供装置810は、CPU911などの処理装置を用いて、ランダムな順番を生成し、生成した順番に暗号化購入個数642を並べて暗号化記録情報640とする。
暗号化購入個数642の順番は、一回に送信される暗号化記録情報640の間では同じ順番である。次回の送信、あるいは、他の利用者端末装置100に対して送信するときには、異なる順番となる。
暗号化暗号鍵650は、それぞれの記録識別情報624によって識別される利用記録情報620を暗号化した暗号化記録情報640について、暗号化の鍵を、利用記録情報620に対応する記録暗号鍵627で暗号化したものである。
サービス提供装置810は、利用者端末装置100に対して送信した暗号化記録情報640と同じ数の暗号化暗号鍵650を、利用者端末装置100に対して送信する。それぞれの暗号化暗号鍵650は、それぞれの暗号化記録情報640に対応している。
利用記録受信部111は、CPU911などの処理装置を用いて、利用履歴記憶部121が記憶した履歴暗号鍵617を入力する。
利用記録受信部111は、CPU911などの処理装置を用いて、履歴暗号鍵617が対応する利用履歴情報610の履歴識別情報614と一致する記録識別情報624を付された暗号化暗号鍵650を、履歴暗号鍵617で復号する。
商品コード651は、対応する利用記録情報620に記録された商品コード621と同じものである。
位置652は、暗号化記録情報640のなかで、商品コード651に対応する暗号化購入個数642の位置を示す情報である。
サービス暗号鍵656は、その暗号化購入個数642を復号するために必要な暗号鍵である。
記録識別情報624「0576」で識別される利用記録情報620には、利用者が「商品A」「商品B」「商品D」を購入したことが記憶されているので、記録識別情報624「0576」に対応する暗号化暗号鍵650を復号すると、利用記録受信部111は、「商品A」「商品B」「商品D」についての位置652、サービス暗号鍵656を取得できる。
また、記録識別情報624「1085」に対応する暗号化暗号鍵650を復号すると、利用記録受信部111は、「商品A」「商品C」についての位置652、サービス暗号鍵656を取得できる。
利用記録受信部111は、CPU911などの処理装置を用いて、復号して得た利用記録情報620を出力する。
しかし、暗号鍵を頻繁に変えるほうが、解読されにくくなるので好ましい。
この実施の形態は、暗号化記録情報640を1回送信するごとにサービス暗号鍵656を変化させることにより、暗号を解読されにくくするものである。
利用記録送信処理は、図17のS11に相当する処理である。
また、サービス提供装置810は、CPU911などの処理装置を用いて、利用記録情報620において暗号化購入個数642を並べる順番をランダムに生成する。
サービス提供装置810は、CPU911などの処理装置を用いて、読み出した利用記録情報620に含まれる購入個数622を、その商品についてS71で生成したサービス暗号鍵656で暗号化し、暗号化購入個数642を生成する。
サービス提供装置810は、CPU911などの処理装置を用いて、生成した暗号化購入個数642を、S71で生成した順序に並べて、暗号化記録情報640を生成する。
サービス提供装置810は、CPU911などの処理装置を用いて、S72で読み出した利用記録情報620に購入したことが記録されている商品についてS71で生成したサービス暗号鍵656を、読み出した記録暗号鍵627で暗号化して、暗号化暗号鍵650を生成する。
利用記録受信部111は、CPU911などの処理装置を用いて、S81で受信した暗号化暗号鍵650を、抽出した履歴暗号鍵617で復号し、商品コード651、位置652、サービス暗号鍵656を取得する。
利用記録受信部111は、CPU911などの処理装置を用いて、S82で取得した商品コード651と、取得した購入個数622とから、利用記録情報620を生成する。
また、暗号化記録情報640のなかにおける暗号化購入個数642の位置を毎回変えることにより、更に暗号を解読されにくくすることができる。
通信装置915を用いて、利用者端末装置100を所持している利用者がサービス内容を利用した場合に、サービス提供装置810(サーバ装置)から、利用したサービス内容を記録した利用記録情報620と利用記録情報620に対応する暗号鍵とを受信し、CPU911などの処理装置を用いて、受信した利用記録情報620を利用履歴情報610として出力し、受信した暗号鍵を履歴暗号鍵617として出力する利用履歴受信部112を有し、
利用履歴記憶部121が、
CPU911などの処理装置を用いて、利用履歴受信部112が出力した利用履歴情報610と履歴暗号鍵617とを入力し、メモリなどの記憶装置を用いて、入力した利用履歴情報610と履歴暗号鍵617とを記憶し、
利用記録受信部111が、
通信装置915を用いて、サービス提供装置810から、複数の利用記録情報620を、利用記録情報620が記録したサービス内容の種別ごとに異なるサービス暗号鍵656でそれぞれ暗号化した複数の暗号化記録情報640と、利用記録情報620が記録したサービス内容の種別に対応するサービス暗号鍵656を、利用記録情報620に対応する記録暗号鍵627でそれぞれ暗号化した複数の暗号化暗号鍵650とを受信し、CPU911などの処理装置を用いて、利用履歴記憶部121が記憶した履歴暗号鍵617を入力し、CPU911などの処理装置を用いて、受信した複数の暗号化暗号鍵650の少なくともいずれかを、入力した履歴暗号鍵617で復号して、サービス暗号鍵656を取得し、CPU911などの処理装置を用いて、受信した複数の暗号化記録情報640を、取得したサービス暗号鍵656でそれぞれ復号して、複数の利用記録情報620を取得し、CPU911などの処理装置を用いて、取得した複数の利用記録情報620を出力することを特徴とする。
実施の形態8について、図28〜図36を用いて説明する。
この実施の形態における履歴サービス提供システム800の全体構成、利用者端末装置100及びサービス提供装置810のハードウェア構成は、実施の形態1で説明したものと同様なので、ここでは説明を省略する。
また、この実施の形態における利用者端末装置100の機能ブロックの構成は、実施の形態4で説明したものと同様なので、ここでは説明を省略する。
サービス利用記録群とは、利用履歴記憶部121が記憶した利用履歴情報610のことである。サービス利用記録群は、利用者の購入した商品の購入情報の集まりであり、利用者が商品を購入する度に追加される。
利用者特定率設定情報とは、匿名性判断部131が匿名性を判断するために、利用者特定率と比較する閾値を示す情報である。利用者特定率設定情報は、店舗が履歴に含まれる購入情報から利用者を特定できる確率(利用者特定率)を記した情報であり、利用者端末装置100の匿名履歴判別部130は、購入情報を履歴(匿名履歴情報630)に含めるか否かを、この値を用いて判断する。
サービス提供装置810は、利用履歴生成部821、利用履歴送信部822、利用記録記憶部823、記録識別送信部824、選択識別受信部825、送信利用記録生成部826、利用記録送信部827、匿名履歴受信部831、サービス情報記憶部832、サービス情報選択部833、サービス情報送信部834、秘密鍵記憶部841、証明書記憶部842などを有する。
以下に説明するサービス提供装置810の機能ブロックは、サービス提供装置810の磁気ディスク装置920などの記憶装置が記憶したサービス提供プログラムを、サービス提供装置810のCPU911などの処理装置が実行することにより実現する。
サービス提供プログラムは、履歴サービスを提供するための処理を行うプログラムである。
利用履歴生成部821は、CPU911などの処理装置を用いて、生成した利用履歴情報610を出力する。
利用履歴生成部821は、例えば、店内のレジなどと通信して情報を入力し、利用履歴情報610を生成する。
利用履歴送信部822は、通信装置915を用いて、入力した利用履歴情報610を、その利用者の所持する利用者端末装置100に対して送信する。
利用記録記憶部823は、磁気ディスク装置920などの記憶装置を用いて、入力した利用履歴情報610を利用記録情報620として記憶する。
利用履歴情報610は、利用者がサービスを利用するごとに個別に生成され、利用記録記憶部823が利用記録情報620として蓄積していく。利用記録記憶部823が記憶する利用記録情報620は、利用者がサービスを利用するたびに追加されて増えていく。
記録識別送信部824は、通信装置915を用いて、利用者端末装置100に対して、入力した記録識別情報624を送信する。
この例では、記録識別情報624として、サービス利用記録情報に含まれるID番号を使用する。
選択識別受信部825は、CPU911などの処理装置を用いて、受信した選択識別情報を出力する。
選択識別情報とは、記録識別送信部824が送信した記録識別情報624のなかから利用者端末装置100が選択した記録識別情報624を示す情報である。
送信利用記録生成部826は、CPU911などの処理装置を用いて、利用記録記憶部823が記憶した利用記録情報620のうち、入力した選択識別情報に基づいて、利用者端末装置100が選択した記録識別情報624によって識別される利用記録情報620を入力する。
送信利用記録生成部826は、CPU911などの処理装置を用いて、入力した利用記録情報620に、暗号化などの処理を加えて、送信利用記録情報を生成する。
送信利用記録生成部826は、CPU911などの処理装置を用いて、生成した送信利用記録情報を出力する。
そこで、例えば、選択できる記録識別情報624の数に上限を設けてもよい。すなわち、送信利用記録生成部826は、CPU911などの処理装置を用いて、利用者端末装置100が選択した記録識別情報624の数を数える。送信利用記録生成部826は、CPU911などの処理装置を用いて、数えた記録識別情報624の数を所定の閾値と比較して、利用者端末装置100が選択した記録識別情報624の数が適正であるか(多すぎないか)を判断する。利用者端末装置100が選択した記録識別情報624の数が適正であると判断した場合のみ、送信利用記録生成部826は、CPU911などの処理装置を用いて、送信利用記録情報を生成し、利用者端末装置100が選択した記録識別情報624の数が適正でない(多すぎる)と判断した場合は、送信利用記録生成部826は、送信利用記録情報を生成しない。
これにより、例えば、ライバル店の店員が売れ筋商品を調べるなど、履歴サービスを利用する以外の目的で、利用記録情報を得ようとした場合に、情報が流出するのを防ぐことができる。
利用記録送信部827は、通信装置915を用いて、利用者端末装置100に対して、入力した送信利用記録情報を送信する。
匿名履歴受信部831は、CPU911などの処理装置を用いて、受信した匿名履歴情報630を出力する。
匿名履歴情報630とは、利用者が過去にサービスを利用した履歴を示す情報であり、利用者端末装置100が生成して、送信する。利用者端末装置100は、利用履歴送信部822が送信した利用履歴情報610を受信して記憶しておくことにより、利用者端末装置100を所持している利用者がサービスを利用した利用履歴情報610をすべて記憶している。利用者端末装置100は、利用記録送信部827が送信した送信利用記録情報に基づいて、記憶した利用履歴情報610のなかから利用者を特定されにくい情報を判別し、匿名履歴情報630を生成する。
サービス情報とは、利用者に対して提供すべきサービスについての情報である。例えば、商品の値引き情報などである。
サービス情報選択部833は、CPU911などの処理装置を用いて、サービス情報記憶部832が記憶したサービス情報のうち、入力した匿名履歴情報630に基づいて、その利用者にとって有用であろうサービス情報を選択して、入力する。
サービス情報選択部833は、CPU911などの処理装置を用いて、入力したサービス情報を出力する。
サービス情報送信部834は、通信装置915を用いて、利用者端末装置100に対して、入力したサービス情報を送信する。
利用者端末装置100は、サービス情報送信部834が送信したサービス情報を受信し、表示装置901に表示するなどして、利用者に通知する。
これにより、利用者は、厳選された情報のみを見ることができ、有用な情報を見逃す心配がない。
サービス提供者の秘密鍵とは、サービス提供装置810が利用者端末装置100と通信するために用いる公開鍵暗号方式における秘密鍵であり、サービス提供装置810が他者に知られないよう保管しているものである。
公開鍵証明書とは、サービス提供装置810が利用者端末装置100と通信するために用いる公開鍵暗号方式において、秘密鍵記憶部841が記憶した秘密鍵と対になる公開鍵が、本当にそのサービス提供装置810の秘密鍵と対をなすものであることを証明する情報である。
公開鍵証明書は、サービス提供装置810の秘密鍵と対をなす公開鍵を示す情報を含み、証明書発行機関あるいはその店舗自身が発行する。
サービス利用記録情報群710は、1以上のサービス利用記録情報711を有する。
サービス利用記録情報711は、ID番号712、共通鍵713、サービス利用記録714などを含む。
ID番号712は、商品購入などのサービス利用時に利用者が用いた可変の匿名IDを示す情報である。ID番号712は、記録識別情報624の一例である。
共通鍵713は、商品購入などのサービス利用時に利用者との通信を暗号化するためにい用いた共通鍵暗号の鍵を示す情報である。
サービス利用記録714は、商品購入などのサービス利用を記録した情報であり、商品コード、個数、購入時刻などが含まれる。
例えば、ID番号712「ID1」のサービス利用記録情報には、そのときの通信に用いた共通鍵が「共通鍵1」であること、そのときに購入した商品が「商品Aが3個」「商品Bが1個」であり、購入時刻が「1月15日10時30分」であることが記録されている。
同様に、ID番号712「ID2」のサービス利用記録情報には、共通鍵が「共通鍵2」、購入した商品が「商品Aが2個」「商品Cが1個」「商品Dが2個」、購入時刻が「1月15日14時15分」であることが記録されている。
しかも、サービス提供装置810は、サービス利用記録情報711から利用者を特定できないので、利用者は安心してサービスを利用することができる。
履歴サービス提供システム800は、店舗の入口などに設置されたセンサー端末などによって、利用者の来店を検知する。
サービス提供装置810は、利用者端末装置100との間の通信を確立する(通信確立処理)。
利用者は、提供されたサービス情報を参考にして、商品を購入する。
サービス提供装置810は、利用者が購入した商品などを示すサービス利用記録情報を生成し、記憶する。サービス提供装置810は、生成したサービス利用記録情報を利用者端末装置100に送信し、利用者端末装置100も、サービス利用記録情報を記憶する(利用記録処理)。
利用者端末装置100は、CPU911などの処理装置を用いて、受信した公開鍵証明書を検証し、サービス提供装置810を認証する。
利用者端末装置100は、CPU911などの処理装置を用いて、生成した共通鍵を、サービス提供装置810の公開鍵証明書に含まれるサービス提供装置810の公開鍵で暗号化する。
利用者端末装置100は、通信装置915を用いて、サービス提供装置810に対して、暗号化した共通鍵を送信する。
サービス提供装置810は、CPU911などの処理装置を用いて、受信した暗号化した共通鍵を、秘密鍵記憶部841が記憶した秘密鍵で復号し、共通鍵を取得する。
また、通信確立処理の過程において、利用者端末装置100の公開鍵など利用者端末装置100を特定できる情報は、サービス提供装置810に送信されていない。したがって、サービス提供装置810は、通信確立処理で得た情報に基づいて利用者端末装置100及び利用者を特定することはできない。
共有鍵が衝突する可能性はほとんどないが、万が一衝突した場合には、サービス提供装置810が通信を切断し、通信確立処理を最初からやり直すこととしてもよい。
利用者端末装置100は、通信装置915を用いて、サービス提供装置810に対して、生成した匿名IDを送信する。
サービス提供装置810は、CPU911などの処理装置を用いて、利用記録記憶部823が記憶したサービス利用記録情報711のID番号712を入力する。
サービス提供装置810は、CPU911などの処理装置を用いて、入力したID番号712のなかに、受信した匿名IDと同一のものがないか判断する。
利用者端末装置100は、通信装置915を用いてこれを受信し、CPU911などの処理装置を用いて別の匿名IDを生成し、通信装置915を用いてサービス提供装置810に対して送信する。
例えば、この時点では、現在通信中の他の利用者端末装置100との間で匿名IDが衝突していなければよいことにして、これを仮匿名IDとする。その後、利用者端末装置100は、仮匿名IDによる通信により、ID番号712の一覧を受信し、受信したID番号712の一覧から、衝突しない匿名IDを判別する。これを正式な匿名IDとして、サービス提供装置810に送信し、以後は、正式な匿名IDによる通信を行う。
記録識別送信部824は、CPU911などの処理装置を用いて、入力したID番号712の一覧を作成する。
記録識別送信部824は、通信装置915を用いて、利用者端末装置100に対して、作成したID番号712の一覧を送信する。
記録識別受信部113は、CPU911などの処理装置を用いて、受信したID番号712の一覧を出力する。
記録識別選択部152は、CPU911などの処理装置を用いて、入力したID番号712の一覧のうち、利用履歴記憶部121が記憶しているサービス利用記録情報群710(利用履歴情報610)に含まれるすべてのID番号712(履歴識別情報614)を選択する。
記録識別選択部152は、CPU911などの処理装置を用いて、入力したID番号712の一覧のうち、更に、それ以外のID番号712を十分な数選択する。
記録識別選択部152は、CPU911などの処理装置を用いて、選択したID番号712のリストを出力する。
選択識別送信部142は、通信装置915を用いて、サービス提供装置810に対して、入力したID番号712のリストを送信する。
選択識別受信部825は、CPU911などの処理装置を用いて、受信したID番号712のリストを出力する。
送信利用記録生成部826は、CPU911などの処理装置を用いて、入力したID番号712それぞれについて、利用記録記憶部823が記憶したサービス利用記録情報711を入力する。
送信利用記録生成部826は、CPU911などの処理装置を用いて、入力したサービス利用記録情報711から送信利用記録情報を作成する。
送信利用記録生成部826は、CPU911などの処理装置を用いて、作成した送信利用記録情報を出力する。
なお、送信利用記録情報は、利用者端末装置100が匿名履歴情報630を生成するために使用するものなので、履歴生成用情報と呼ぶ場合がある。
利用記録送信部827は、通信装置915を用いて、利用者端末装置100に対して、入力した送信利用記録情報を送信する。
利用記録受信部111は、CPU911などの処理装置を用いて、受信した送信利用記録情報から利用記録情報620を取得する。
利用記録受信部111は、CPU911などの処理装置を用いて、取得した利用記録情報620を出力する。
信頼性判断部151は、CPU911などの処理装置を用いて、入力した利用記録情報620が改竄されていないかを検証する。
利用記録情報620が改竄されていないと、信頼性判断部151が判断した場合は、履歴生成工程を実行する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、入力した利用記録情報620に基づいて、個々の商品について利用者特定率を算出する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、算出した利用者特定率と、利用者特定率設定情報が示す閾値とを比較して、その商品についての情報の匿名性を判断する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、匿名性が高いと判断した商品についての情報から、匿名履歴情報630を生成する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、生成した匿名履歴情報630を出力する。
匿名履歴送信部141は、通信装置915を用いて、サービス提供装置810に対して、入力した匿名履歴情報630を送信する。
匿名履歴判別部130が匿名履歴情報630を出力しない場合とは、例えば、利用者が商品を購入したことがなく、送信すべき履歴が存在しない場合である。
あるいは、利用記録情報620が改竄されていると信頼性判断部151が判断した結果、匿名履歴判別部130が匿名履歴情報630を出力しない場合もある。
また、購入したことがあるすべての商品について、匿名性が低いと匿名履歴判別部130が判断した結果、匿名履歴情報630を出力しない場合もある。
匿名履歴受信部831は、CPU911などの処理装置を用いて、受信した匿名履歴情報630を出力する。
サービス情報選択部833は、CPU911などの処理装置を用いて、入力した匿名履歴情報630を分析して、利用者が購入したことがある商品などのサービス利用履歴を取得する。
サービス情報選択部833は、CPU911などの処理装置を用いて、取得したサービス利用履歴に基づいて、サービス情報記憶部832が記憶したサービス情報のなかから、その利用者にとって有用そうな情報を選択する。
サービス情報選択部833は、CPU911などの処理装置を用いて、選択したサービス情報を出力する。
サービス情報送信部834は、通信装置915を用いて、利用者端末装置100に対して、入力したサービス情報を送信する。
利用記録記憶部823は、「ID1」「ID2」「ID3」「ID4」「ID5」の5つのサービス利用記録情報711を記憶している。
すなわち、この2回のサービス利用記録は、この利用者端末装置100を所持している利用者のものである。しかし、サービス提供装置810は、そのことを知らない。
記録識別受信部113は、記録識別送信部824が送信したID番号712の一覧を受信する。
選択識別受信部825は、選択識別送信部142が送信したID番号712のリストを受信する。
サービス情報群741は、1以上のサービス記録情報742からなる。
サービス記録情報742は、利用記録記憶部823が記憶したサービス利用記録情報711に対応する情報である。サービス記録情報742は、利用記録記憶部823が記憶したサービス利用記録情報群710において、選択識別受信部825が受信したID番号712のリストに含まれるID番号712によって識別されるサービス利用記録情報711に基づいて、送信利用記録生成部826が生成する。
サービス記録情報742は、ID番号743と暗号化個別サービス情報群744とからなる。
ID番号743は、元のサービス利用記録情報711のID番号712である。
暗号化個別サービス情報群744は、元のサービス利用記録情報711のサービス利用記録714から生成した情報である。暗号化個別サービス情報群744は、暗号化変換情報群の一例である。
暗号化個別サービス情報群744は、1以上の暗号化個別サービス情報745からなる。
暗号化個別サービス情報745は、サービス利用記録714に含まれる商品コード、購入個数などを暗号化して生成した情報である。暗号化個別サービス情報745は、暗号化変換情報の一例である。
ここで、「E」は「暗号化」を意味し、「E(…)」は、暗号化の結果生成されたデータを示す。「E」の添え字は暗号化に用いた共通鍵を意味し、例えば「E2」は、「共通鍵2」による暗号化を示す。
例えば、「E2(商品A:2:4:3:15)」は、「商品A:2:4:3:15」というデータ(文字列)を、「共通鍵2」で暗号化して生成したデータを示す。
送信利用記録生成部826は、サービス利用記録情報711の共通鍵713で暗号化することにより、暗号化個別サービス情報745を生成する。
検証用情報752は、利用記録記憶部823が記憶したサービス利用記録情報711に対応する情報である。検証用情報752は、利用記録記憶部823が記憶したサービス利用記録情報群710において、選択識別受信部825が受信したID番号712のリストに含まれるID番号712によって識別されるサービス利用記録情報711に基づいて、送信利用記録生成部826が生成する。
送信利用記録生成部826は、検証用情報752をランダムな順番に並べて、検証用情報群751を生成する。したがって、検証用情報752の順番から、どのサービス利用記録情報711から生成したものであるかを知ることもできない。
個別サービス情報検証用情報群753は、1以上の個別サービス情報検証用情報754からなる。
個別サービス情報検証用情報754は、サービス記録情報742が改竄されていないかを利用者端末装置100が検証するための情報である。
個別サービス情報検証用情報754は、元のサービス利用記録情報711のID番号712、サービス利用記録714に含まれる商品コード、購入個数などから生成したハッシュ値である。
ここで、「H」は「ハッシュ関数」を意味し、「H(…)」は、ハッシュ関数により算出したハッシュ値を示す。例えば、「H(ID3,C,0)」は、「ID3,C,0」というデータ(文字列)から算出したハッシュ値を示す。
この例では、ID番号、商品コード、購入個数を「,」で区切って連結した文字列をハッシュ関数の引数としている。
ただし、1つの検証用情報群751に含まれる個別サービス情報検証用情報群753において、送信利用記録生成部826は、同じ順番に個別サービス情報検証用情報754を並べて、個別サービス情報検証用情報群753を生成する。
個別サービス個数算出用情報群755は、1以上の個別サービス個数算出用情報756からなる。
個別サービス個数算出用情報756は、送信利用記録生成部826がサービス利用記録情報711に基づいて、商品の種別ごとに生成する。この例では、商品の種別が4つあるので、1つの個別サービス個数算出用情報群755は、4つの個別サービス個数算出用情報756から構成される。個別サービス個数算出用情報756は、個別サービス内容取得用情報の一例である。
送信利用記録生成部826は、個別サービス個数算出用情報756をランダムな順番に並べて、個別サービス個数算出用情報群755を生成する。個別サービス個数算出用情報群755における個別サービス個数算出用情報756の順番と、個別サービス情報検証用情報群753における個別サービス情報検証用情報754の順番とは、無関係である。したがって、個別サービス個数算出用情報群755における個別サービス個数算出用情報756の位置から、その個別サービス個数算出用情報756がどの商品についてのものであるかを知ることはできない。
ただし、1つの検証用情報群751に含まれる個別サービス個数算出用情報群755において、送信利用記録生成部826は、同じ順番に個別サービス個数算出用情報756を並べて、個別サービス個数算出用情報群755を生成する。
商品コード715は、元のサービス利用記録情報711のサービス利用記録714に含まれる商品コードである。
購入個数716は、元のサービス利用記録情報711のサービス利用記録714に含まれれる購入個数である。
検証用位置761及び算出用位置762及び算出用数値763は、サービス変換情報の一例である。また、算出用数値763は、サービス暗号鍵の一例である。
送信利用記録生成部826は、ID番号712、商品コード715、購入個数716からなるデータのハッシュ値を算出して、個別サービス情報検証用情報754を生成する。
送信利用記録生成部826は、生成した個別サービス情報検証用情報754を、検証用位置761が示す位置に並べて、個別サービス情報検証用情報群753を生成する。同様に、送信利用記録生成部826は、生成した個別サービス個数算出用情報756を、算出用位置762が示す位置に並べて、個別サービス個数算出用情報群755を生成する。
サービス提供装置810では、選択識別受信部825がこれを受信し、送信利用記録生成部826がこれに対応する履歴生成用情報740を生成する。図34が生成された履歴生成用情報740である。利用記録送信部827が、利用者端末装置100に対して、履歴生成用情報740を送信する。
利用記録受信部111は、CPU911などの処理装置を用いて、受信した履歴生成用情報740に含まれるサービス情報群741のなかから、利用履歴記憶部121が記憶したサービス利用記録情報群710に含まれるID番号712と一致するID番号743を有するサービス記録情報742を抽出する。
この例において、利用記録受信部111は、「ID3」と「ID5」の2つのサービス記録情報742を抽出する。
この例において、利用記録受信部111は、「ID3」のサービス記録情報742から、「商品A:2:4:3:15」と「商品B:2:2:1:13」を取得し、「ID5」のサービス記録情報742から、「商品A:2:4:3:15」と「商品C:1:1:2:11」を取得する。
利用記録受信部111は、これに基づいて、「商品A」についての検証用位置761「4」、算出用位置762「3」、算出用数値763「15」を取得する。同様に、「商品B」についての検証用位置761「2」、算出用位置762「1」、算出用数値763「13」、「商品C」についての検証用位置761「1」、算出用位置762「2」、算出用数値763「11」を取得する。
利用記録受信部111は、「商品D」についての検証用位置761などは取得できない。利用者が「商品D」を購入したことがないので、「ID3」や「ID5」のサービス記録情報742には、「商品D」についての情報は含まれていない。「ID2」や「ID4」のサービス記録情報742には、「商品D」についての情報が含まれているが、利用履歴記憶部121が「ID2」や「ID4」に対応する共通鍵713を記憶していないので、復号することができない。
検証用情報群751のなかで、検証用情報752はランダムな順番に並んでいるので、「ID3」についての検証用情報752がどれかはわからない。しかし、サービス記録情報742を解読した結果、「商品A」についての個別サービス情報検証用情報754は、個別サービス情報検証用情報群753のなかの4番目にあることがわかっている。
この例では、検証用情報群751のなかの1番目の検証用情報752が条件に合致する。
信頼性判断部151は、CPU911などの処理装置を用いて、これが「ID3」についての検証用情報752であるか、更に詳しく検証する。
信頼性判断部151は、CPU911などの処理装置を用いて、他の商品についてもハッシュ値を算出する。「商品B」については「H(ID3,B,2)」を、「商品C」については「H(ID3,C,0)」を算出する。なお、購入したことのない「商品D」については、商品コードが不明なので、信頼性判断部151はハッシュ値「H(ID3,D,0)」を算出することができない。
「商品B」についての個別サービス情報検証用情報754は、個別サービス情報検証用情報群753のなかの2番目にあることがわかっているので、信頼性判断部151は、CPU911などの処理装置を用いて、算出したハッシュ値「H(ID3,B,2)」と、2番目の個別サービス情報検証用情報754とを比較して、一致することを確認する。
「商品C」についても同様に、信頼性判断部151は、CPU911などの処理装置を用いて、算出したハッシュ値「H(ID3、C,0)」と、1番目の個別サービス情報検証用情報754とを比較して、一致することを確認する。
これで、この検証用情報752が「ID3」についてのものであることが確認できる。
なお、この例では、購入したことのない商品が1つだけなので、残る位置である3番目の個別サービス情報検証用情報754が「商品D」についてのものであることが特定できる。しかし、実際には、取り扱う商品の種類がもっと多いので、購入したことのない商品が1つだけであるという状況は極めて稀であり、信頼性判断部151は購入したことのない商品についての情報を知ることはできないといってよい。
利用記録受信部111は、CPU911などの処理装置を用いて、検証用情報群751に含まれるすべての検証用情報752から、「商品A」についての個別サービス個数算出用情報756を取得する。暗号化個別サービス情報745の復号結果から、「商品A」についての個別サービス個数算出用情報756は、個別サービス個数算出用情報群755のなかの3番目にあることがわかっている。
また、利用記録受信部111は、CPU911などの処理装置を用いて、検証用情報群751に含まれるすべての検証用情報752から、「商品A」についての個別サービス情報検証用情報754を取得する。暗号化個別サービス情報745の復号結果から、「商品A」についての個別サービス情報検証用情報754は、個別サービス情報検証用情報群753のなかの4番目にあることがわかっている。
利用記録受信部111は、CPU911などの処理装置を用いて、取得した個別サービス個数算出用情報756から個別サービス情報検証用情報754を減算する。利用記録受信部111は、CPU911などの処理装置を用いて、更にその結果を、暗号化個別サービス情報745の復号結果から取得した算出用数値763「15」で割り、余りを求める。
この例では、例えば、1番目の検証用情報752であれば、個別サービス個数算出用情報756「H(ID3,A,2)+62」−個別サービス情報検証用情報754「H(ID3,A,2)」=「62」、「62÷15=4あまり2」である。これは、このサービス記録情報742において、「商品A」の購入個数が「2個」であることを示している。
利用記録受信部111は、他の利用者の利用記録についても同様の演算により、購入個数を求めることができる。また、「商品B」「商品C」についても同様に、購入個数を求めることができる。
しかし、「商品D」については、商品コード715も算出用位置762も算出用数値763もわからないので、購入個数を求めることができない。
この例は、利用記録受信部111が、図34に示した履歴生成用情報740を復号した場合を示している。
利用記録受信部111が受信した履歴生成用情報740は、4つのID番号743「ID2」「ID3」「ID4」「ID5」についてのサービス記録情報742及び検証用情報752が含まれている。このうち、「ID3」と「ID5」についてのサービス利用記録情報711は、利用履歴記憶部121が記憶している。
利用記録受信部111は、CPU911などの処理装置を用いて、サービス情報群741のうち、ID番号743「ID3」と「ID5」についてのサービス記録情報742を、利用履歴記憶部121が記憶した共通鍵713で復号して、サービス利用記録724を取得する。
また、利用記録受信部111は、CPU911などの処理装置を用いて、「ID3」と「ID5」についてのサービス記録情報742を復号して取得した検証用位置761、算出用位置762、算出用数値763に基づいて、検証用情報群751に含まれるすべての検証用情報752を復号し、サービス利用記録724を取得する。
このとき、「ID3」についてのサービス記録情報742を復号して取得できる商品コード715、検証用位置761、算出用位置762、算出用数値763は、「商品A」及び「商品B」についてのものである。また、「ID5」についてのサービス記録情報742を復号して取得できるのは、「商品A」及び「商品C」についてのものである。したがって、「商品D」についての商品コード715、検証用位置761、算出用位置762、算出用数値763は得られていない。
したがって、利用記録受信部111は、検証用情報群751に基づいて、購入したことのない商品が1つあることは判別できるものの、その商品の商品コードが「商品D」であることは判別できず、「商品D」についてのサービス利用記録724も復号できない。
しかし、匿名履歴判別部130が生成する匿名履歴情報630に、購入したことのない「商品D」についての情報が含まれることはないので、匿名履歴判別部130は「商品D」についての情報の匿名性を判断する必要はない。したがって、匿名履歴判別部130は、「商品D」についての情報を知らなくても、判断する必要のある情報の匿名性を判断することができる。
しかし、匿名履歴判別部130は、情報の匿名性を判断するために他の利用者が購入した商品についての情報を利用するが、その商品を購入した利用者が誰であるかを知る必要はないので、他の利用者のID番号743を知らなくても、判断する必要のある情報の匿名性を判断することができる。
これにより、利用者端末装置100に知らせる必要のない情報が流出するのを防ぐことができる。
利用履歴記憶部121が記憶したサービス利用記録情報群710によれば、利用者が「商品Aを2個」購入したことがあるので、匿名履歴判別部130は、この情報をサービス提供装置810に送信した場合の利用者特定率を算出する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、利用記録受信部111が出力したサービス利用記録情報721を入力する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、入力したサービス利用記録情報721に基づいて、「商品Aを購入した」ことの記録がいくつあるか数える。この例では、「商品Aを購入した」記録は、3つある。
また、匿名履歴判別部130は、CPU911などの処理装置を用いて、入力したサービス利用記録情報721に基づいて、商品Aを「2個」購入したことの記録がいくつあるか数える。この例では、「商品Aを2個購入した」記録は、3つある。
このように、匿名履歴判別部130は、単に「購入したことがある」記録と、「購入した個数が同じ」記録の双方を数える。
この例において、匿名履歴判別部130は、「商品Aを購入したことがある」という情報の利用者特定率は「33.3%」、「商品Aを2個購入したことがある」という情報の利用者特定率は「33.3%」、「商品Bを購入したことがある」という情報の利用者特定率は「100%」、「商品Bを2個購入したことがある」という情報の利用者特定率は「100%」、「商品Cを購入したことがある」という情報の利用者特定率は「33.3%」、「商品Cを1個購入したことがある」という情報の利用者特定率は「50%」であると算出する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、算出した利用者特定率と、記憶した利用者特定率設定情報が示す値とを比較して、その情報の匿名性が高いか否かを判断する。例えば、利用者特定率設定情報が「50%」である場合、匿名履歴判別部130は、利用者特定率が「50%」より低い場合に、その情報の匿名性が高いと判断する。
この例では、匿名履歴判別部130は、「商品Aを購入したことがある」「商品Aを2個購入したことがある」「商品Cを購入したことがある」という情報は匿名性が高いと判断する。また、「商品Bを購入したことがある」「商品Bを2個購入したことがある」「商品Cを1個購入したことがある」という情報は匿名性が低いと判断する。
この例において、匿名履歴判別部130が生成する匿名履歴情報630は、「商品Aを2個購入したことがある」こと及び「商品Cを購入したことがある」ことを示す情報を含む。
しかし、匿名履歴判別部130は、匿名性が低いと判断した情報は、匿名履歴情報630に含めない。
この例において、匿名履歴判別部130が生成する匿名履歴情報630は、「商品Bを購入したことがある」こと及び「商品Cを1個購入したことがある」ことを示す情報を含まない。
また、2段階の情報のうち、概略的な情報(「その商品を購入したことがある」)の匿名性が低い(利用者特定率が閾値以上)場合、詳細な情報(「その商品を購入した個数」)にはその上位概念である概略的な情報が含まれる(「商品Cを1個購入したことがある」という情報には「商品Cを購入したことがある」という情報が含まれる)ので、詳細な情報の利用者特定率を算出するまでもなく、詳細な情報の匿名性は低い。
そこで、匿名履歴判別部130は、CPU911などの処理装置を用いて、概略的な情報の匿名性を判断し、匿名性が高い場合のみ、詳細な情報の匿名性を判断することとしてもよい。
これは、詳細な情報の利用者特定率が閾値よりも低い場合に、詳細な情報をサービス提供装置810に対して必ず送信するよう構成すると、概略的な情報だけ送信して、詳細な情報を送信しなかった場合に、サービス提供装置810に利用者を特定する手がかりを与えてしまう場合があるからである。
例えば、「商品Aを購入したことがある」利用者がたくさんいて、ほとんどの人が「2個購入」しているのに対して、一人だけ「1個購入」したことがある場合、「商品Aを購入したことがある」という概略的な情報も、「商品Aを2個購入したことがある」という詳細な情報も、利用者特定率が低い。
利用者特定率が低い場合に必ず送信する構成だと、この例で「商品Aを購入したことがある」という情報しか送信しなければ、サービス提供装置810には「商品Aを2個購入したことがある」のではないということがわかる。したがって、「商品Aを1個購入したことがある」という利用者特定率の高い情報は、サービス提供装置810に送信していないが、サービス提供装置810に知られてしまうことになる。
詳細な情報について利用者特定率が低い場合でも、一定の確率で匿名性が低いと判断し、サービス提供装置810に対して送信しない構成とすれば、「商品Aを購入したことがある」という情報しか送信しなくても、サービス提供装置810から見ると「商品Aを2個購入したことがある」かもしれず、送信していない利用者特定率の高い情報を、サービス提供装置810に知られてしまうのを防ぐことができる。
情報を記憶する磁気ディスク装置920などの記憶装置と、
情報を処理するCPU911などの処理装置と、
利用したサービス内容を記録した利用履歴情報を記憶する複数の利用者端末装置100(端末装置)と通信する通信装置915と、
磁気ディスク装置920などの記憶装置を用いて、利用されたサービス内容を記憶したサービス利用記録情報711(利用記録情報)と、サービス利用記録情報711を識別するID番号712(記録識別情報)とを複数記憶する利用記録記憶部823と、
CPU911などの処理装置を用いて、利用記録記憶部823が記憶したID番号712を入力し、CPU911などの処理装置を用いて、入力したID番号712のリストを生成し、通信装置915を用いて、利用者端末装置100に対して、生成したID番号712のリストを送信する記録識別送信部824と、
通信装置915を用いて、利用者端末装置100から、記録識別送信部824が送信したID番号712のリストのなかから、利用者端末装置100が選択した複数のID番号712を受信し、CPU911などの処理装置を用いて、受信したID番号712を出力する選択識別受信部825と、
CPU911などの処理装置を用いて、選択識別受信部825が出力した複数の上記ID番号712を入力し、CPU911などの処理装置を用いて、入力した複数のID番号712によって識別される複数のサービス利用記録情報711を入力し、CPU911などの処理装置を用いて、入力した複数のサービス利用記録情報711に基づいて、利用者端末装置100に対して送信する履歴生成用情報740(送信利用記録情報)を生成し、CPU911などの処理装置を用いて、生成した履歴生成用情報740を出力する送信利用記録生成部826と、
CPU911などの処理装置を用いて、送信利用記録生成部826が出力した履歴生成用情報740を入力し、通信装置915を用いて、利用者端末装置100に対して、入力した履歴生成用情報740を送信する利用記録送信部827と、
通信装置915を用いて、利用者端末装置100が記憶したサービス利用記録情報711(利用履歴情報)のうち、利用記録送信部827が送信した履歴生成用情報740に基づいて、匿名性が高いと利用者端末装置100が判別した情報を、通信装置915から受信し、CPU911などの処理装置を用いて、受信した情報を匿名履歴情報630として出力する匿名履歴受信部831と、
磁気ディスク装置920などの記憶装置を用いて、利用者端末装置100に対して提供すべきサービス情報を記憶するサービス情報選択部833と、
CPU911などの処理装置を用いて、匿名履歴受信部831が出力した匿名履歴情報630を入力し、CPU911などの処理装置を用いて、サービス情報記憶部832が記憶したサービス情報のなかから、入力した匿名履歴情報630に基づいて、利用者端末装置100にとって有用な情報を選択し、CPU911などの処理装置を用いて、選択したサービス情報を出力するサービス情報選択部833とを有することを特徴とする。
複数の商品(サービス種別)のうち少なくともいずれかの商品を購入(サービス種別に属するサービス内容を利用)したことを記録したサービス利用記録情報群710(複数の利用記録情報)に基づいて生成する履歴生成用情報740のデータ構造において、
履歴生成用情報740は、サービス情報群741と検証用情報群751とを有し、
サービス情報群741は、複数のサービス利用記録情報711(利用記録情報)それぞれについてのサービス記録情報742を複数並べたリストであり、
サービス記録情報742は、サービス利用記録情報711を識別するID番号712と、暗号化個別サービス情報群744(暗号化変換情報群)とを有し、
暗号化個別サービス情報群744は、サービス利用記録情報711が記録した購入商品(サービス内容が属するサービス種別)それぞれについての暗号化個別サービス情報745(暗号化変換情報)を並べたリストであり、
暗号化個別サービス情報745は、商品に対応する検証用位置761・算出用位置762・算出用数値763(サービス変換情報)を、商品を購入(サービス内容を利用)した際に通知した共通鍵713(履歴暗号鍵)で暗号化した情報であり、
検証用情報群751は、複数のサービス利用記録情報711それぞれについての検証用情報752をランダムな順番で並べたリストであり、
検証用情報752は、個別サービス情報検証用情報群753と個別サービス個数算出用情報群755(個別サービス内容取得用情報群)とを有し、
個別サービス情報検証用情報群753は、複数の商品それぞれについての個別サービス情報検証用情報754を、検証用位置761(サービス変換情報)が示すランダムな第一の順番で並べたリストであり、
個別サービス情報検証用情報754は、サービス利用記録情報711を識別するID番号712とサービス利用記録情報711が記録した商品コード715・購入個数716(サービス内容)とから生成したハッシュ値であり、
個別サービス個数算出用情報群755は、複数の商品それぞれについての個別サービス個数算出用情報756(個別サービス内容取得用情報)を、算出用位置762(サービス変換情報)が示すランダムな第二の順番で並べたリストであり、
個別サービス個数算出用情報756は、サービス利用記録情報711が記録した購入個数716(サービス内容)を個別サービス情報検証用情報754に基づいて変換し、算出用数値763(サービス変換情報に含まれるサービス暗号鍵)で暗号化した情報であることを特徴とする。
また、検証用情報752に含まれる情報のうち、利用したことのないサービス種別についての情報は復元できないので、利用者端末装置100は、他の利用者の利用記録については、検証及び匿名性の判断に必要な情報だけを取得し、不必要な情報の拡散を防ぐことができるという効果を奏する。
また、利用者が店舗から入手する履歴に関する情報量は利用者によって制御できるため、利用者の携帯端末の性能に応じて最適な情報量を調整可能である。
また、利用者は、店舗から入手する履歴に関する情報のうちいずれかを検証可能であるが、店舗は利用者が検証する情報を特定できないため、店舗が情報を都合の良い値に改竄することを防止できる。
また、店舗から入手する履歴に関する情報のうち利用者が知ることができる情報は、利用者自身が過去に購入した商品に関する情報のみであり、他の利用者の購入情報は保護される。
また、利用者の携帯端末と店舗のサーバ間の通信データは暗号化されているため、第三者の盗聴を防止できる。
実施の形態9について、図37〜図41を用いて説明する。
図37は、この実施の形態における履歴サービス提供システム800の全体構成及びハードウェア構成の一例を示すシステム構成図である。
なお、実施の形態1で説明した履歴サービス提供システム800と共通する部分については、同一の符号を付し、ここでは説明を省略する。
履歴サービス提供システム800は、更に、ID管理装置850を有する。
ID管理装置850は、例えば、サーバ装置である。
ID管理装置850のハードウェア構成は、サービス提供装置810と同様である。
ID管理装置850は、通信装置915を用いて、利用者端末装置100と通信する。また、ID管理装置850は、通信装置915を用いて、サービス提供装置810と通信する。
ID管理装置850は、利用者の匿名IDを管理する。
なお、実施の形態4で説明した機能ブロックと共通するブロックについては、同一の符号を付し、ここでは説明を省略する。
また、サービス提供装置810の機能ブロックの構成は、実施の形態8で説明したものと同様なので、ここでは説明を省略する。
生成識別受信部163は、CPU911などの処理装置を用いて、受信した匿名IDを出力する。
記録識別送信部164は、通信装置915を用いて、サービス提供装置810に対して、入力した匿名IDを送信し、匿名IDによる通信を確立する。
利用者用履歴受信部172は、CPU911などの処理装置を用いて、受信した利用者用履歴情報を出力する。
利用者用履歴情報は、ID管理装置850がサービス提供装置810から受信した履歴生成用情報740に基づいて生成する。
信頼性判断部151は、CPU911などの処理装置を用いて、入力した利用者用利k例情報に含まれるサービス利用記録情報721と、入力したサービス利用記録情報711とを比較して、一致するか否かを判断する。一致すると判断した場合には、履歴生成用情報740が信頼できると判断し、一致しないと判断した場合には、履歴生成用情報740が信頼できないと判断する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、入力した利用者用履歴情報に含まれる利用者特定率情報に基づいて、情報の匿名性を判断し、匿名履歴情報630を生成して、出力する。
記録識別生成部862は、CPU911などの処理装置を用いて、生成した匿名IDを出力する。
生成識別送信部863は、通信装置915を用いて、利用者端末装置100に対して、入力した匿名IDを送信する。
記録識別記憶部864は、磁気ディスク装置920などの記憶装置を用いて、入力した匿名IDを、利用者端末装置100の実名IDと関連づけて記憶する。
利用者用履歴生成部871は、CPU911などの処理装置を用いて、入力した履歴生成用情報740に基づいて、利用者特定率を算出する。
利用者用履歴生成部871は、CPU911などの処理装置を用いて、入力した履歴生成用情報740のうち、利用者端末装置100を所持している利用者についての履歴生成用情報740を抽出する。
利用者用履歴生成部871は、CPU911などの処理装置を用いて、算出した利用者特定率を示す利用者特定率情報と、抽出した履歴生成用情報740とを含む利用者用履歴情報を生成する。
利用者用履歴生成部871は、CPU911などの処理装置を用いて、生成した利用者用履歴情報を出力する。
利用者用履歴送信部872は、通信装置915を用いて、利用者端末装置100に対して、生成した利用者用履歴情報を送信する。
この実施の形態における履歴サービス提供システム800が履歴サービスを提供する履歴サービス提供処理の全体の流れは、実施の形態8で図30を用いて説明したものと同様なので、ここでは説明を省略する。
以下T14まで、実施の形態8で説明したのと同様の手順により、利用者端末装置100とサービス提供装置810とは共有鍵を共有し、この共有鍵によって暗号化した通信が確立する。以後、通信切断まで、この共有鍵により暗号化した通信により、利用者端末装置100とサービス提供装置810との間の通信が行われる。
T21において、利用者端末装置100とID管理装置850との間では、相互認証を行い、共通鍵による通信を確立する。
例えば、利用者端末装置100は、通信装置915を用いて、ID管理装置850に対して、公開鍵証明書の送付を要求する情報を送信する。
ID管理装置850は、CPU911などの処理装置を用いて、磁気ディスク装置920などの記憶装置が記憶したID管理装置850の公開鍵証明書を読み出し、通信装置915を用いて、利用者端末装置100に対して、送信する。
利用者端末装置100は、通信装置915を用いて、ID管理装置850が送信してきた公開鍵証明書を受信し、CPU911などの処理装置を用いて、受信した公開鍵証明書の内容を確認して、ID管理装置850を認証する。
利用者端末装置100は、CPU911などの処理装置を用いて、メモリなどの記憶装置が記憶した利用者端末装置100の公開鍵証明書を読み出し、ID管理装置850の公開鍵で暗号化し、通信装置915を用いて、ID管理装置850に対して送信する。
ID管理装置850は、通信装置915を用いて、利用者端末装置100が送信してきた暗号化された公開鍵証明書を受信し、CPU911などの処理装置を用いて、ID管理装置850の秘密鍵で復号した上で、内容を確認し、利用者端末装置100を認証する。
その後、利用者端末装置100及びID管理装置850は、今回の通信に用いる共通鍵の素を生成し、相手の公開鍵で暗号化して、送信する。利用者端末装置100及びID管理装置850は、受信した共通鍵の素を自身の秘密鍵で復号し、自身が生成した共通鍵の素と合成して、今回の通信に用いる共通鍵を生成する。
記録識別生成部862は、CPU911などの処理装置を用いて、生成した匿名IDと、記録識別記憶部864が記憶した匿名IDとが衝突しているか否かを判断する。
衝突している場合、記録識別生成部862は、CPU911などの処理装置を用いて、匿名IDの生成をやり直し、衝突しない匿名IDを生成するまで繰り返す。
衝突していない場合、記録識別生成部862は、CPU911などの処理装置を用いて、生成した匿名IDを出力する。
記録識別記憶部864は、磁気ディスク装置920などの記憶装置を用いて、入力した匿名IDを、利用者端末装置100を識別する情報(例えば、実名ID)と関連づけて記憶する。
生成識別送信部863は、通信装置915を用いて、利用者端末装置100に対して、入力した匿名IDを送信する。
生成識別受信部163は、CPU911などの処理装置を用いて、受信した匿名IDを出力する。
記録識別送信部164は、通信装置915を用いて、サービス提供装置810に対して、入力した匿名IDを送信する。
以下、それぞれの一対一通信で用いられる共通鍵を区別するため、利用者端末装置100とサービス提供装置810との間の共通鍵を「共通鍵US」、利用者端末装置100とID管理装置850との間の共通鍵を「共通鍵UI」、サービス提供装置810とID管理装置850との間の共通鍵を「共通鍵IS」と呼ぶ。
記録識別送信部824は、CPU911などの処理装置を用いて、入力したID番号712の一覧を作成する。
記録識別送信部824は、通信装置915を用いて、ID管理装置850に対して、作成したID番号712の一覧を送信する。
また、記録識別送信部824は、通信装置915を用いて、ID管理装置850に対して、利用者端末装置100の匿名IDを、ID番号712の一覧とともに送信する。
記録識別受信部113は、CPU911などの処理装置を用いて、受信したID番号712の一覧と利用者端末装置100の匿名IDとを出力する。
記録識別選択部152は、CPU911などの処理装置を用いて、入力したID番号712の一覧のうちから、記録識別記憶部864が記憶した匿名IDと一致するID番号712を抽出し、実在ID番号とする。
記録識別選択部152は、CPU911などの処理装置を用いて、記録識別記憶部864が記憶した匿名IDに基づいて、入力した匿名IDと同一の利用者の匿名IDを判別する。
記録識別選択部152は、CPU911などの処理装置を用いて、入力したID番号712の一覧のうち、判別した匿名IDと同一のID番号712(履歴識別情報614)をすべて選択する。
記録識別選択部152は、CPU911などの処理装置を用いて、抽出した実在ID番号のうちから、更に、それ以外のID番号712を十分な数選択する。
記録識別選択部152は、CPU911などの処理装置を用いて、選択したID番号712のリストを出力する。
選択識別送信部142は、通信装置915を用いて、サービス提供装置810に対して、入力したID番号712のリストを送信する。
選択識別受信部825は、CPU911などの処理装置を用いて、受信したID番号712のリストを出力する。
送信利用記録生成部826は、CPU911などの処理装置を用いて、入力したID番号712それぞれについて、利用記録記憶部823が記憶したサービス利用記録情報711を入力する。
送信利用記録生成部826は、CPU911などの処理装置を用いて、入力したサービス利用記録情報711から履歴生成用情報740を作成する。
送信利用記録生成部826は、CPU911などの処理装置を用いて、作成した履歴生成用情報740を出力する。
利用記録送信部827は、通信装置915を用いて、ID管理装置850に対して、入力した送信利用記録情報を送信する。
利用記録受信部111は、CPU911などの処理装置を用いて、受信した送信利用記録情報からサービス利用記録情報721(利用記録情報620)を取得する。
利用記録受信部111は、CPU911などの処理装置を用いて、取得したサービス利用記録情報721を出力する。
利用者用履歴生成部871は、CPU911などの処理装置を用いて、入力したサービス利用記録情報721に基づいて、個々の商品について利用者特定率を算出する。
利用者用履歴生成部871は、CPU911などの処理装置を用いて、入力したサービス利用記録情報721のなかから、利用者端末装置100を所持している利用者についてのサービス利用記録情報721を抽出する。
利用者用履歴生成部871は、CPU911などの処理装置を用いて、算出した利用者特定率を示す利用者特定率情報と、抽出したサービス利用記録情報721とを含む利用者用履歴情報を生成する。
利用者用履歴生成部871は、CPU911などの処理装置を用いて、生成した利用者用履歴情報を出力する。
利用者用履歴送信部872は、通信装置915を用いて、利用者端末装置100に対して、入力した利用者用履歴情報を送信する。
利用者用履歴受信部172は、CPU911などの処理装置を用いて、受信した利用者用履歴情報を出力する。
信頼性判断部151は、CPU911などの処理装置を用いて、入力した利用者用履歴情報に含まれるサービス利用記録情報721が改竄されていないかを検証する。
サービス利用記録情報721が改竄されていないと、信頼性判断部151が判断した場合は、履歴生成工程を実行する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、入力した利用者用履歴情報に含まれる利用者特定率情報が示す利用者特定率と、利用者特定率設定情報が示す閾値とを比較して、その商品についての情報の匿名性を判断する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、匿名性が高いと判断した商品についての情報から、匿名履歴情報630を生成する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、生成した匿名履歴情報630を出力する。
一方、ID管理装置850は、サービス利用記録情報711を記憶していないので、信頼性を検証することができない。
そこで、ID管理装置850は、その利用者についてのサービス利用記録情報721だけを利用者端末装置100に対して送信し、利用者端末装置100が信頼性を検証する。
サービス種別情報群771は、1以上の暗号化サービス種別情報772からなる。
暗号化サービス種別情報772は、送信利用記録生成部826が、CPU911などの処理装置を用いて、サービスの種別を示す情報(この例では、商品コード)を、利用者端末装置100とサービス提供装置810との間で今回の通信に使用している共通鍵USで暗号化して生成した情報である。
サービス種別情報群771は、送信利用記録生成部826が、CPU911などの処理装置を用いて、暗号化サービス種別情報772をランダムな順番に並べて生成する。
これにより、ID管理装置850は、履歴生成用情報740から、利用されたサービスの種別を知ることができない。
サービス記録情報742は、利用記録記憶部823が記録したサービス利用記録情報711に対応する情報である。サービス記録情報742は、利用記録記憶部823が記憶したサービス利用記録情報群710において、選択識別受信部825が受信したID番号712のリストに含まれるID番号712によって識別されるサービス利用記録情報711に基づいて、送信利用記録生成部826が生成する。
サービス記録情報742は、ID番号743と個別サービス情報群746とからなる。
ID番号743は、元のサービス利用記録情報711のID番号712である。
個別サービス情報群746は、元のサービス利用記録情報711のサービス利用記録714から生成した情報である。
個別サービス情報群746は、1以上の個別サービス情報747からなる。
個別サービス情報747は、利用されたサービスの内容を示す情報(この例では、購入個数)である。
個別サービス情報群746は、送信利用記録生成部826が、CPU911などの処理装置を用いて、個別サービス情報747を、サービス種別情報群771における暗号化サービス種別情報772と同じ順番に並べて生成する。
これにより、ID管理装置850は、どの個別サービス情報747がどの暗号化サービス種別情報772に対応するものであるかを知ることができる。
利用者用履歴生成部871は、CPU911などの処理装置を用いて、入力した匿名IDから、利用者端末装置100の利用者の匿名IDを判別し、判別した匿名IDと一致するID番号743を有するサービス記録情報742を、入力したサービス記録情報742から抽出する。
この例において、利用者用履歴生成部871は、「ID3」と「ID5」のサービス記録情報742を抽出する。
この例において、利用者用履歴生成部871は、3番目の商品以外の商品について、利用者特定率を算出する。
サービス種別情報群771は、送信利用記録生成部826が生成した履歴生成用情報740に含まれるサービス種別情報群771から、利用者用履歴生成部871が、購入したことがないと判別した商品についての暗号化サービス情報を除いて生成する。
サービス情報群741は、送信利用記録生成部826が生成した履歴生成用情報740に含まれるサービス情報群741のサービス記録情報742のうちから、利用者用履歴生成部871が、その利用者についてのサービス記録情報742だけを抽出し、更に、購入したことがないと判別した商品についての個別サービス情報747を除いて生成する。
利用者特定率情報群781は、利用者用履歴生成部871が算出した利用者特定率を示す利用者特定率情報782を、利用者用履歴生成部871が、サービス種別情報群771における暗号化サービス種別情報772と同じ順序に並べて生成する。
また、利用者特定率ではなく、利用回数を算出してもよい。
利用者用履歴受信部172は、CPU911などの処理装置を用いて、復号した商品コードを含む利用者用履歴情報780を出力する。
信頼性判断部151は、CPU911などの処理装置を用いて、利用者用履歴情報780が示す利用したサービス内容と、サービス利用記録情報711が示す利用したサービス内容とを比較し、一致するか否かを判断する。
一致すると判断した場合、信頼性判断部151は、ID管理装置850が受信した履歴生成用情報740が信頼できると判断する。
一致しないと判断した場合、信頼性判断部151は、ID管理装置850が受信した履歴生成用情報740が信頼できないと判断する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、入力した利用者用履歴情報780が示す利用者特定率に基づいて、対応する商品を購入したことがあることを示す情報の匿名性を判断する。
匿名履歴判別部130は、匿名性が高いと判断した情報から、匿名履歴情報630を生成し、出力する。
利用者端末装置100は、例えば携帯電話であり、ID管理装置850は、例えばサーバ装置であるから、一般にID管理装置850のほうが利用者端末装置100よりもCPU911などの処理装置の処理能力、通信装置915の通信能力が高く、より多くのサービス利用記録に基づいて、利用者特定率を算出できるからである。
しかし、ID管理装置850は、サービス利用記録情報711のID番号712の間のつながりを知っているが、サービス利用記録情報711の内容は知らないので、利用者が利用したサービス内容の全貌を、ID管理装置850が知ることはない。
また、匿名IDの管理は、利用者端末装置100がそれぞれ行うこととしてID管理装置850をなくし、利用者特定率算出装置が、利用者特定率の算出を代行する処理だけを行う構成としてもよい。
これにより、利用者端末装置100が受信する利用者用履歴情報780は、ID管理装置850がサービス提供装置810から受信する履歴生成用情報740よりも、はるかに少ない情報量となるので、利用者端末装置100の通信装置915の通信能力が低くても、履歴生成用情報740の信頼性を判断することができる。
この実施の形態におけるID管理装置850は、記録識別受信部113が受信したID番号712の一覧のうちから、記録識別選択部152が、記録識別記憶部864が記憶した匿名IDに基づいて、実在するID番号を抽出し、そのなかから履歴生成用情報740を生成するためのID番号を選択するので、サービス提供装置810が送信してきたID番号712の一覧のなかに架空のID番号が含まれている場合でも、履歴生成用情報740には、実在するID番号に対応するサービス記録情報742しか含まれない。
また、店舗から入手する履歴に関する情報量はID管理装置850によって制御できるため、ID管理装置850や利用者端末装置100の性能に応じて最適な情報量を調整可能である。
また、利用者端末装置100は、店舗から入手する履歴に関する情報のいずれかを検証可能であるが、店舗は利用者が検証する情報を特定できないため、店舗が情報を都合の良い値に改竄することを防止できる。
また、店舗から入手する履歴に関する情報のうちID管理装置850が知ることができる情報は、商品の個数に関する情報のみであり、商品を特定する商品コードは保護される。
また、店舗は、ID管理装置850から匿名IDや利用者特定率を含んだ情報を中継する場合であっても、情報は暗号化されているため、店舗はこれらの情報を閲覧して利用者を特定することはできない。
また、利用者端末装置100と店舗のサービス提供装置810間、利用者端末装置100とID管理装置850間、店舗のサービス提供装置810とID管理装置850間の通信データは暗号化されているため、第三者の盗聴を防止できる。
実施の形態10について、図42〜図43を用いて説明する。
この実施の形態における履歴サービス提供システム800の全体構成、利用者端末装置100及びサービス提供装置810のハードウェア構成は、実施の形態1で説明したものと同様なので、ここでは説明を省略する。
また、この実施の形態におけるサービス提供装置810の機能ブロックの構成は、実施の形態8で説明したものと同様なので、ここでは説明を省略する。
なお、実施の形態4で説明した機能ブロックと共通するブロックについては、同一の符号を付し、ここでは説明を省略する。
ここで、利用者が利用したサービスの種別とは、例えば、利用者が今回購入した商品のことである。また、利用者が利用したサービスの内容とは、例えば、利用者が今回購入した商品の個数のことである。
利用履歴入力部181は、CPU911などの処理装置を用いて、入力したサービスの種別・内容を示す情報を出力する。
種別識別判別部182は、CPU911などの処理装置を用いて、入力した利用履歴情報610と、入力したサービスの種別・内容を示す情報とを照合し、利用履歴情報610に含まれる商品コード611などのサービスの種別を示す情報(以下「種別識別情報」という)が、実際にどのサービス種別に対応するかを判別する。
種別識別判別部182は、CPU911などの処理装置を用いて、種別識別情報と、その種別識別情報が示すサービスの種別を示す情報とを出力する。
種別識別記憶部183は、CPU911などの処理装置を用いて、入力した種別識別情報と、その種別識別情報が示すサービスの種別との対応関係が、既に記憶している対応関係と矛盾しないか判断する。
矛盾がないと判断した場合、種別識別記憶部183は、メモリなどの記憶装置を用いて、種別識別情報と、その種別識別情報が示すサービスの種別を示す情報とを記憶する。
矛盾があると判断した場合、種別識別記憶部183は、メモリなどの記憶装置を用いて、種別識別情報と、その種別識別情報が示すサービスの種別を示す情報とを記憶し、更に、その種別識別情報が信頼できないことを示す情報を記憶する。
また、逆に、種別識別判別部182が出力した種別識別情報と一致する種別識別情報を、種別識別記憶部183が既に記憶している場合、種別識別記憶部183は、対応するサービス種別が一致するか否かを判断する。一致しない場合、種別識別記憶部183は、矛盾があると判断する。
その種別識別情報が信頼できないと判断した場合、匿名履歴判別部130は、CPU911などの処理装置を用いて、その種別識別情報にかかわる情報は匿名性が低いと判断する。
そのため、サービス提供装置810が種別識別情報に何らかの細工をして、利用者を特定しようとする可能性がある。例えば、同じサービスに複数の種別識別情報を割り当てて、利用者を絞り込む手がかりにすることができる可能性がある。
利用履歴受信部112は、CPU911などの処理装置を用いて、受信した利用履歴情報610を出力する。
例えば、利用履歴入力部181は、表示装置901を用いて、利用者に入力を促すメッセージを表示し、利用者がキーボード902などの入力装置を操作した操作内容に基づいて、利用者が利用したサービスの種別・内容を示す情報を入力する。
利用履歴入力部181は、CPU911などの処理装置を用いて、入力したサービスの種別・内容を示す情報を出力する。
また、種別識別判別部182は、CPU911などの処理装置を用いて、T32で利用履歴入力部181が出力したサービスの種別・内容を示す情報を入力する。
種別識別判別部182は、CPU911などの処理装置を用いて、入力した利用履歴情報610と、入力したサービスの種別・内容を示す情報とを照合し、利用履歴情報610に含まれる商品コード611などの種別識別情報と、その種別識別情報が示すサービス種別との対応関係を判別する。
種別識別判別部182は、CPU911などの処理装置を用いて、種別識別情報とその種別識別情報が示すサービス種別との対応関係を示す情報を出力する。
利用履歴受信部112が受信した利用履歴情報610には、商品コード「商品A」と購入個数「1」を示す情報が含まれている。
種別識別判別部182は、CPU911などの処理装置を用いて、この情報を照合し、商品コード「商品A」が示す商品の商品名が「XYZ」であることを判別する。
このように、種別識別判別部182は、利用したサービスの内容が一致する場合に、種別識別情報と、入力したサービス種別とを結びつけ、対応関係を判別する。
利用履歴受信部112が受信した利用履歴情報610には、商品コード「商品B」と購入個数「2」、商品コード「商品C」と購入個数「3」を示す情報が含まれている。
種別識別判別部182は、CPU911などの処理装置を用いて、この情報を照合し、商品コード「商品B」が示す商品の商品名が「PQR」であり、商品コード「商品C」が示す商品の商品名が「UVW」であることを判別する。
このように、1回のサービス利用に際して、複数の種別のサービスを利用した場合、種別識別判別部182は、利用したサービスの内容が一致するものを結びつけ、対応関係を判別する。
種別識別記憶部183は、CPU911などの処理装置を用いて、既に記憶している種別識別対応情報のなかから、種別識別情報あるいはサービス種別のいずれかが、入力した種別識別対応情報と一致する種別識別対応情報を検索する。
検索の結果、種別識別情報かサービス種別のどちらかが入力した種別識別対応情報と一致する情報が見つかった場合、種別識別記憶部183は、CPU911などの処理装置を用いて、種別識別情報およびサービス種別の双方が一致するか否かを判断する。
検索の結果見つけた種別識別対応情報のなかに、種別識別情報かサービス種別のどちらか一方は入力した種別識別対応情報と一致するが、他方は一致しない種別識別対応情報があると判断した場合、種別識別記憶部183は、CPU911などの処理装置を用いて、対応関係に矛盾があると判断する。
検索の結果見つかったすべての種別識別対応情報について、種別識別情報及びサービス種別の双方が入力した種別識別対応情報と一致すると判断した場合、種別識別記憶部183は、CPU911などの処理装置を用いて、対応関係に矛盾がないと判断する。
対応関係に矛盾がないと判断した場合、T35へ進む。
対応関係に矛盾があると判断した場合、T36へ進む。
その後、種別識別判定処理を終了する。
また、種別識別記憶部183は、CPU911などの処理装置を用いて、T33で検索の結果見つけた種別識別対応情報にも、それが信頼できないことを示す情報を付加し、メモリなどの記憶装置を用いて記憶する。
その後、種別識別判定処理を終了する。
そこで、情報の匿名性を判断するに際し、匿名履歴判別部130は、CPU911などの処理装置を用いて、種別識別記憶部183が記憶した種別識別対応情報のなかから、匿名性を判断したい情報に含まれる種別識別情報についての種別識別対応情報を検索する。
匿名履歴判別部130は、CPU911などの処理装置を用いて、検索の結果見つかった種別識別対応情報のなかに、信頼できないことを示す情報が付加されたものがあるか否かを判断する。
信頼できないことを示す情報が付加された種別識別対応情報がある場合、匿名履歴判別部130は、CPU911などの処理装置を用いて、匿名性が低いと判断する。
信頼できないことを示す情報が付加された種別識別対応情報がない場合、匿名履歴判別部130は、CPU911などの処理装置を用いて、利用者特定率を算出するなどして、通常どおり匿名性を判断する。
CPU911などの処理装置を用いて、利用履歴受信部112が出力した利用履歴情報610を入力し、CPU911などの処理装置を用いて、入力した利用履歴情報610から、利用者が利用したサービスの種別を識別する種別識別情報を取得し、CPU911などの処理装置を用いて、取得した種別識別情報と、実際に利用者が利用したサービス種別との対応関係を判別し、CPU911などの処理装置を用いて、判別した対応関係を示す情報を出力する種別識別判別部182と、
CPU911などの処理装置を用いて、種別識別判別部182が出力した対応関係を示す情報を、種別識別対応情報として入力し、CPU911などの処理装置を用いて、記憶した種別識別対応情報のなかから、入力した種別識別対応情報が示す種別識別情報と一致する種別識別情報についての種別識別対応情報と、入力した種別識別対応情報が示すサービス種別と一致するサービス種別についての種別識別対応情報とを検索し、CPU911などの処理装置を用いて、検索した種別識別対応情報が示す対応関係と、入力した種別識別対応情報が示す対応関係とを比較して、対応関係が一致しないものがあるか否かを判断し、CPU911などの処理装置を用いて、対応関係が一致しないものがないと判断した場合、メモリなどの記憶装置を用いて、入力した種別識別対応情報を記憶し、CPU911などの処理装置を用いて、対応関係が一致しないものがあると判断した場合、入力した種別識別対応情報に、信頼できないことを示す情報を付加し、メモリなどの記憶装置を用いて、信頼できないことを示す情報を付加した種別識別対応情報を記憶する種別識別記憶部183とを有し、
匿名履歴判別部130は、更に、
CPU911などの処理装置を用いて、入力した利用履歴情報610から、種別識別情報を取得し、CPU911などの処理装置を用いて、種別識別記憶部183が記憶した種別識別対応情報のなかから、取得した種別識別情報についての種別識別対応情報を検索し、CPU911などの処理装置を用いて、検索した種別識別対応情報に、信頼できないことを示す情報が付加されているか否かを判断し、CPU911などの処理装置を用いて、信頼できないことを示す情報が付加されている場合、入力した利用履歴情報610は利用者が特定されやすいと判断することを特徴とする。
実施の形態11について、図44〜図47を用いて説明する。
なお、実施の形態1で説明した履歴サービス提供システム800と共通する部分については、同一の符号を付し、ここでは説明を省略する。
履歴サービス提供システム800は、更に、ID署名装置880を有する。
ID署名装置880は、例えば、信頼できる第三者機関が有するサーバ装置である。
ID署名装置880のハードウェア構成は、サービス提供装置810と同様である。
ID署名装置880は、通信装置915を用いて、利用者端末装置100と通信する。
ID署名装置880は、利用者端末装置100が生成した匿名IDに署名を付し、サービス提供装置810が捏造した架空の匿名IDでないことを保証する。
なお、実施の形態4で説明した機能ブロックと共通するブロックについては、同一の符号を付し、ここでは説明を省略する。
また、サービス提供装置810の機能ブロックの構成は、実施の形態8で説明したものと同様なので、ここでは説明を省略する。
署名要求情報は、署名してほしい情報(以下「署名対象情報」という)を含む。利用者端末装置100は、署名対象情報として匿名ID(あるいは、匿名IDを変換した情報)を含む署名要求情報を、ID署名装置880に対して送信する。
署名要求受信部881は、CPU911などの処理装置を用いて、受信した署名要求情報から署名対象情報を取得し、取得した署名対象情報を出力する。
署名生成部882は、CPU911などの処理装置を用いて、入力した署名対象情報を、ID署名装置880の秘密鍵で暗号化して、電子署名情報を生成する。
署名生成部882は、CPU911などの処理装置を用いて、生成した電子署名情報を出力する。
署名送信部883は、通信装置915を用いて、利用者端末装置100に対して、入力した電子署名情報を送信する。
記録識別生成部862は、CPU911などの処理装置を用いて、生成した匿名IDを出力する。
識別署名要求送信部191は、CPU911などの処理装置を用いて、入力した匿名IDを変換する。
識別署名要求送信部191は、通信装置915を用いて、ID署名装置880に対して、匿名IDを変換した情報を含む署名要求情報(以下「識別署名要求情報」という)を送信する。
識別署名受信部192は、CPU911などの処理装置を用いて、受信した電子署名情報を変換して、匿名IDについての電子署名情報(以下「識別署名情報」という)を取得する。
識別署名受信部192は、CPU911などの処理装置を用いて、取得した識別署名情報を出力する。
利用者端末装置100がID署名装置880に対して、署名してほしい匿名IDをそのまま送信すると、ID署名装置880のなかに、利用者端末装置100と匿名IDとの対応関係が残ってしまう可能性がある。
そこで、この実施の形態では、ブラインド署名方式により、ID署名装置880に署名してもらう。
すなわち、署名してほしい情報(匿名ID)を変換した情報を署名対象情報として、ID署名装置880に送信し、署名してもらう。このとき、ID署名装置880は、署名してほしい情報を変換した変換式を知らないので、署名してほしい情報を復元することはできず、ID署名装置880に署名してほしい情報を知られることはない。
利用者端末装置100は、ID署名装置880が署名した電子署名情報を受信し、署名してほしい情報を変換したのと逆の変換をする。これにより、利用者端末装置100は、署名してほしい情報に、ID署名装置880が直接署名した場合と同じ情報を取得することができる。
記録識別送信部164は、CPU911などの処理装置を用いて、入力した匿名IDに、入力した識別署名情報を付加した情報(以下「署名付き匿名ID」という)を生成する。
記録識別送信部164は、通信装置915を用いて、サービス提供装置810に対して、生成した署名付き匿名IDを送信する。
例えば、記録識別受信部113が受信するID番号712(匿名ID)の一覧は、署名付き匿名IDの一覧となる。
署名検証部193は、CPU911などの処理装置を用いて、入力した署名付き匿名IDの一覧に含まれるすべての署名付き匿名IDについて署名を検証し、匿名IDが捏造・改竄されていないか判断する。
署名検証部193は、CPU911などの処理装置を用いて、取得した識別署名情報を、ID署名装置880の公開鍵で復号する。
署名検証部193は、CPU911などの処理装置を用いて、取得した匿名IDと、復号して得た情報とを比較して、一致するか否かを判断する。
一致すると判断した場合、署名検証部193は、CPU911などの処理装置を用いて、その匿名IDが捏造・改竄されたものではないと判断する。
一致しないと判断した場合、署名検証部193は、CPU911などの処理装置を用いて、その匿名IDが捏造・改竄されたものであると判断する。
しかし、サービス提供装置810は、ID署名装置880の秘密鍵を知らないので、捏造した匿名IDについての識別署名情報を生成できない。
なお、実施の形態8において図31で説明した通信確立処理と共通する工程については、同一の符号を付し、説明を省略する。
記録識別生成部862は、CPU911などの処理装置を用いて、生成した匿名IDを出力する。
T41で生成した匿名IDは、他の匿名IDと衝突している可能性があるので、仮の匿名IDである。
記録識別送信部164は、通信装置915を用いて、サービス提供装置810に対して、入力した匿名IDを送信する。
この段階では、まだ仮の匿名IDなので署名はつけず、匿名IDだけを送信する。
利用者端末装置100は、通信装置915を用いて、サービス提供装置810が送信してきた判断結果を示す情報を受信する。
受信した判断結果に基づいて、他の匿名IDと衝突している場合には、T41に戻り、別の匿名IDを生成する。
他の匿名IDと衝突していない場合には、T43へ進む。
識別署名要求送信部191は、CPU911などの処理装置を用いて、入力した匿名IDを変換して署名対象情報を生成する。
識別署名要求送信部191は、通信装置915を用いて、ID署名装置880に対して、生成した署名対象情報を含む識別署名要求情報を送信する。
識別署名受信部192は、CPU911などの処理装置を用いて、T43で識別署名要求送信部191が匿名IDを変換したのと逆の変換を、受信した電子署名情報に対して行い、識別署名情報を取得する。
識別署名受信部192は、CPU911などの処理装置を用いて、取得した識別署名情報を出力する。
記録識別送信部164は、CPU911などの処理装置を用いて、T42で入力した匿名IDに、入力した識別署名情報を付加して、署名付き匿名IDを生成する。
記録識別送信部164は、通信装置915を用いて、サービス提供装置810に対して、生成した署名付き匿名IDを送信する。
この段階では、匿名IDが衝突していないことを確認済みなので、正式の匿名IDとして、署名付き匿名IDを送信する。
記録識別送信部824は、CPU911などの処理装置を用いて、入力したID番号712の一覧を作成する。このとき、それぞれのID番号712には、そのID番号712についての識別署名情報を付加する。
記録識別送信部824は、通信装置915を用いて、利用者端末装置100に対して、作成したID番号712の一覧(署名付き)を送信する。
記録識別受信部113は、CPU911などの処理装置を用いて、受信したID番号712の一覧(署名付き)を出力する。
署名検証部193は、CPU911などの処理装置を用いて、入力したID番号712の一覧(署名付き)から、すべてのID番号712と、そのID番号712についての識別署名情報とを取得する。
署名検証部193は、CPU911などの処理装置を用いて、取得した識別署名情報を、ID署名装置880の公開鍵で復号する。
署名検証部193は、CPU911などの処理装置を用いて、復号して得た情報と、取得したID番号712とを比較し、一致するか否かを判断する。
署名検証部193は、CPU911などの処理装置を用いて、一致すると判断したID番号712の一覧を生成する。
署名検証部193は、CPU911などの処理装置を用いて、生成したID番号712の一覧を出力する。
記録識別選択部152は、CPU911などの処理装置を用いて、入力したID番号712の一覧のうち、利用履歴記憶部121が記憶しているサービス利用記録情報群710(利用履歴情報610)に含まれるすべてのID番号712(履歴識別情報614)を選択する。
記録識別選択部152は、CPU911などの処理装置を用いて、入力したID番号712の一覧のうち、更に、それ以外のID番号712を十分な数選択する。
記録識別選択部152は、CPU911などの処理装置を用いて、選択したID番号712のリストを出力する。
CPU911などの処理装置を用いて、匿名ID(記録識別情報)を生成し、CPU911などの処理装置を用いて、生成した匿名IDを出力する記録識別生成部862と、
CPU911などの処理装置を用いて、記録識別生成部862が出力した匿名IDを入力し、通信装置915を用いて、入力した匿名IDについての署名を要求する識別署名要求情報を、ID署名装置880(識別署名装置)に対して送信する識別署名要求送信部191と、
通信装置915を用いて、識別署名要求送信部191が送信した識別署名要求情報に対する応答として、ID署名装置880が送信した電子署名情報を受信し、CPU911などの処理装置を用いて、受信した電子署名情報から、匿名IDについての電子署名情報を取得し、取得した電子署名情報を識別署名情報として出力する識別署名受信部192と、
CPU911などの処理装置を用いて、記録識別生成部862が出力した匿名IDと、識別署名受信部192が出力した識別署名情報とを入力し、通信装置915を用いて、サービス提供装置810(サーバ装置)に対して、入力した匿名IDと、入力した識別署名情報とを送信する記録識別送信部164と、
通信装置915を用いて、サービス提供装置810が記憶した利用記録情報を識別するID番号712(記録識別情報)と、そのID番号712についての識別署名情報とのリストを受信し、CPU911などの処理装置を用いて、受信したID番号712と識別署名情報とのリストを出力する記録識別受信部113と、
CPU911などの処理装置を用いて、記録識別受信部113が出力したID番号712の一覧と、識別署名情報とを入力し、CPU911などの処理装置を用いて、入力した識別署名情報に基づいて、入力したID番号712の一覧に含まれるID番号712が改変されているか否かを判断し、CPU911などの処理装置を用いて、改変されていないと判断したID番号712の一覧(記録識別情報のリスト)を生成し、CPU911などの処理装置を用いて、生成したID番号712の一覧を出力する署名検証部193と、
CPU911などの処理装置を用いて、署名検証部193が出力したID番号712の一覧のなかから、複数のID番号712を選択し、CPU911などの処理装置を用いて、選択した複数のID番号712を出力する記録識別選択部152と、
CPU911などの処理装置を用いて、記録識別選択部152が出力した複数のID番号712を入力し、通信装置915を用いて、サービス提供装置810に対して、入力した複数のID番号712を送信する選択識別送信部142とを有し、
利用記録受信部111は、
通信装置915を用いて、サービス提供装置810から、選択識別送信部142が送信した複数のID番号712によって識別される複数の利用記録情報を受信することを特徴とする。
実施の形態12について、図48〜図51を用いて説明する。
図48は、この実施の形態における履歴サービス提供システム800の全体構成の一例を示すシステム構成図である。
なお、実施の形態1で説明した履歴サービス提供システム800と共通する部分については、同一の符号を付し、ここでは説明を省略する。
サービス提供装置810、ID管理装置850、利用者端末装置100のハードウェア構成は、実施の形態9で説明したものと同様なので、ここでは説明を省略する。
利用者端末装置100は、サービスを利用する際、ID管理装置850のいずれかとの通信を確立し、匿名IDを発行してもらい、サービスを利用する。
利用者端末装置100は、サービスを利用するごとに、異なるID管理装置850に匿名IDを発行してもらってもよいし、同一のID管理装置850に匿名IDを発行してもらってもよい。
ID管理装置850は、自己が発行した匿名IDを管理する。
なお、実施の形態9において図38で説明したID管理装置850の機能ブロックと共通するブロックについては、同一の符号を付し、ここでは説明を省略する。
また、利用者端末装置100及びサービス提供装置810の機能ブロックの構成は、実施の形態9で説明したものと同様なので、ここでは説明を省略する。
署名生成部882は、CPU911などの処理装置を用いて、入力した匿名IDを、ID管理装置850の秘密鍵で暗号化し、識別署名情報を生成する。
署名生成部882は、CPU911などの処理装置を用いて、生成した識別署名情報を出力する。
生成識別送信部863は、CPU911などの処理装置を用いて、入力した匿名IDに、入力した記録識別情報を付加して、署名付き匿名IDを生成する。
生成識別送信部863は、通信装置915を用いて、利用者端末装置100に対して、生成した署名付き匿名IDを送信する。
したがって、ID管理装置850が生成した匿名IDが、他のID管理装置850が生成した匿名IDと衝突する可能性はない。
この実施の形態における記録識別受信部113が受信するID番号712の一覧には、それぞれのID番号712についての識別署名情報が含まれる。
記録識別受信部113は、CPU911などの処理装置を用いて、受信したID番号712の一覧(署名付き)を出力する。
署名検証部193は、CPU911などの処理装置を用いて、入力したID番号712の一覧(署名付き)から、すべてのID番号712と、そのID番号712についての識別署名情報とを取得する。
署名検証部193は、CPU911などの処理装置を用いて、ID番号712に基づいて、そのID番号712を生成したID管理装置850を判別する。
署名検証部193は、CPU911などの処理装置を用いて、取得した識別署名情報を、判別したID管理装置850の公開鍵で復号する。
署名検証部193は、CPU911などの処理装置を用いて、復号して得た情報と、取得したID番号712とを比較し、一致するか否かを判断する。
署名検証部193は、CPU911などの処理装置を用いて、一致すると判断したID番号712の一覧を生成する。
署名検証部193は、CPU911などの処理装置を用いて、生成したID番号712の一覧を出力する。
そのため、実施の形態11で説明したのと同様、ID番号に付加した署名を検証することにより、サービス提供装置810が送信してきたID番号712の一覧のなかに、架空のID番号が含まれていないかを検証する。
記録識別選択部152は、CPU911などの処理装置を用いて、入力したID番号712の一覧のうち、判別した匿名IDと同一のID番号712(履歴識別情報614)をすべて選択する。
記録識別選択部152は、CPU911などの処理装置を用いて、抽出した実在ID番号のうちから、更に、それ以外のID番号712を十分な数選択する。
記録識別選択部152は、CPU911などの処理装置を用いて、選択したID番号712のリストを出力する。
したがって、記録識別選択部152が選択するID番号には、利用者端末装置100が利用したサービスを記録した利用記録情報を識別するID番号のうち、ID管理装置850自身が生成したID番号(匿名ID)はすべて含まれるが、他のID管理装置850が生成したID番号は含まれない場合がある。
例えば、利用者端末装置100が他のID管理装置850に匿名IDを発行してもらったことはあるが、そのID管理装置850に匿名IDを発行してもらうのが初めてである場合、記録識別選択部152が選択するID番号に、その利用者端末装置100が利用したサービスを記録した利用記録情報を識別するID番号がまったく含まれず、利用者端末装置100が履歴生成用情報740の信頼性を判断できない可能性もある。
あるいは、ID管理装置850が、他のID管理装置850に問い合わせることにより、他のID管理装置850が生成したID番号と、利用者端末装置100との対応を示す情報を取得することとしてもよい。
利用記録検証部194は、CPU911などの処理装置を用いて、入力したサービス利用記録情報711を検証し、利用記録受信部111が受信した履歴生成用情報740が改竄されているか否かを判断する。
利用記録検証部194は、CPU911などの処理装置を用いて、判断結果を示す情報を出力する。
利用記録受信部111が受信した履歴生成用情報740が改竄されていないと利用記録検証部194が判断した場合、利用者用履歴生成部871は、CPU911などの処理装置を用いて、実施の形態9で説明したのと同様の動作により、利用者用履歴情報780を生成する。
利用記録受信部111が受信した履歴生成用情報740が改竄されていると利用記録検証部194が判断した場合、利用者用履歴生成部871は、CPU911などの処理装置を用いて、空の利用者用履歴情報780を生成する。
利用者用履歴生成部871は、CPU911などの処理装置を用いて、生成した利用者用履歴情報780を出力する。
履歴生成用情報740は、サービス提供装置810の送信利用記録生成部826が生成し、利用記録送信部827が、ID管理装置850に対して送信し、ID管理装置850の利用記録受信部111が受信するものである。
なお、実施の形態8において図34で説明した履歴生成用情報740と共通する情報については、同一の符号を付し、ここでは説明を省略する。
ID管理装置850は、商品コードを知らないが、商品コードを共通鍵で暗号化した情報は、暗号化個別サービス情報745から取得できるので、ハッシュ値を計算することが可能である。
ID管理装置850は、商品コードを知らないが、ハッシュ値を計算することができ、算出用位置762、算出用数値763を暗号化個別サービス情報745から取得できるので、個別サービス個数算出用情報756から購入個数を算出することが可能である。
利用記録受信部111は、CPU911などの処理装置を用いて、復元したサービス利用記録情報711を出力する。
利用記録検証部194は、CPU911などの処理装置を用いて、入力したサービス利用記録情報711に基づいて、利用記録受信部111が受信した履歴生成用情報740が改竄されているか否かを判断する。
すなわち、利用記録検証部194は、利用記録受信部111がサービス情報群741から復元した購入個数などの情報と、検証用情報群751から復元した情報とを比較し、一致するか否かを判断し、一致しないと判断した場合に、履歴生成用情報740が改竄されていると判断する。
したがって、サービス情報群741から復元した情報と検証用情報群751から復元した情報とが一致しない場合には、履歴生成用情報740がサービス提供装置810からID管理装置850へ送信される途中で、第三者により改竄された可能性が高い。
そこで、サービス情報群741から復元した情報と検証用情報群751から復元した情報とが一致しない場合、利用記録検証部194は、履歴生成用情報740が改竄されていると判断する。
そこで、利用記録検証部194は、両者が一致する場合には、とりあえず改竄はないものと判断し、利用者用履歴生成部871が利用者用履歴情報780を生成する。
実施の形態9で説明したように、利用者用履歴情報780には、その利用者が利用したサービスを記録したサービス記録情報742が含まれているので、利用者端末装置100がこれを受信し、利用者端末装置100が記憶したサービス利用記録情報721と比較することにより、履歴生成用情報740が改竄されているか否かを最終的に判断する。
なお、実施の形態9において図40を用いて説明した工程と共通する工程については、同一の名称を付し、ここでは説明を省略する。
記録識別送信部824は、CPU911などの処理装置を用いて、入力したID番号の一覧(署名付き)を生成する。
記録識別送信部824は、通信装置915を用いて、ID管理装置850に対して、生成したID番号712の一覧(署名付き)と利用者端末装置100の匿名IDとを送信する。
記録識別受信部113は、CPU911などの処理装置を用いて、受信したID番号712の一覧(署名付き)と利用者端末装置100の匿名IDとを出力する。
署名検証部193は、CPU911などの処理装置を用いて、入力したID番号712の一覧(署名付き)に含まれるすべてのID番号712について、署名を検証し、検証の結果、改変されていないと判断したID番号712の一覧を生成する。
署名検証部193は、CPU911などの処理装置を用いて、生成したID番号712の一覧を出力する。
記録識別選択部152は、CPU911などの処理装置を用いて、入力したID番号712の一覧のなかから、十分な数のID番号712を選択し、選択したID番号712のリストを出力する。
選択識別送信部142は、通信装置915を用いて、サービス提供装置810に対して、入力したID番号712のリストを送信する。
選択識別受信部825は、CPU911などの処理装置を用いて、受信したID番号712のリストを出力する。
送信利用記録生成部826は、CPU911などの処理装置を用いて、生成した履歴生成用情報740を出力する。
利用記録送信部827は、通信装置915を用いて、ID管理装置850に対して、入力した履歴生成用情報740を送信する。
利用記録受信部111は、CPU911などの処理装置を用いて、受信した履歴生成用情報740に基づいて、サービス利用記録情報711(利用記録情報)を復元する。
利用記録受信部111は、CPU911などの処理装置を用いて、復元したサービス利用記録情報711を出力する。
利用記録検証部194は、CPU911などの処理装置を用いて、入力したサービス利用記録情報711に基づいて、履歴生成用情報受信工程で利用記録受信部111が受信した履歴生成用情報740に改竄があるか否かを判断する。
利用記録検証部194は、CPU911などの処理装置を用いて、判断結果を示す情報を出力する。
利用記録検証部194が履歴生成用情報740に改竄がないと判断した場合、利用者用履歴生成部871は、CPU911などの処理装置を用いて、入力したサービス利用記録情報711に基づいて、利用者用履歴情報780を生成する。
利用記録検証部194が履歴生成用情報740に改竄があると判断した場合、利用者用履歴生成部871は、CPU911などの処理装置を用いて、空の利用者用履歴情報780を生成する。
利用者用履歴生成部871は、CPU911などの処理装置を用いて、生成した利用者用履歴情報780を出力する。
利用者用履歴送信部872は、通信装置915を用いて、利用者端末装置100に対して、入力した利用者用履歴情報780を送信する。
利用者用履歴受信部172は、CPU911などの処理装置を用いて、受信した利用者用履歴情報780を出力する。
信頼性判断部151は、CPU911などの処理装置を用いて、入力した利用者用履歴情報780に基づいて、履歴生成用情報740の信頼性を判断する。
信頼性判断部151が入力した利用者用履歴情報780が空である場合、履歴生成用情報740が改竄されているとID管理装置850が判断したことを示しているので、信頼性判断部151は、履歴生成用情報740が信頼できないと判断する。
それ以外の場合、信頼性判断部151は、実施の形態9で説明したのと同様の動作により、履歴生成用情報740の信頼性を判断する。
Claims (13)
- 情報を記憶する記憶装置と、
情報を処理する処理装置と、
利用したサービス内容を記録した利用記録情報を複数記憶するサーバ装置と通信する通信装置と、
上記記憶装置を用いて、上記サーバ装置が記憶した上記利用記録情報のうち、所定の利用者が利用した上記サービス内容についての利用記録情報を利用履歴情報として記憶する利用履歴記憶部と、
上記通信装置を用いて、上記サーバ装置から、上記利用記録情報を複数受信し、上記処理装置を用いて、受信した複数の上記利用記録情報を出力する利用記録受信部と、
上記処理装置を用いて、上記利用記録受信部が出力した複数の上記利用記録情報と、上記利用履歴記憶部が記憶した上記利用履歴情報とを入力し、上記処理装置を用いて、入力した複数の上記利用記録情報に基づいて、入力した上記利用履歴情報のうち上記サーバ装置に送信しても上記所定の利用者が特定されにくい情報を判別し、上記処理装置を用いて、判別した上記情報を匿名履歴情報として出力する匿名履歴判別部と、
上記処理装置を用いて、上記匿名履歴判別部が出力した上記匿名履歴情報を入力し、上記通信装置を用いて、上記サーバ装置に対して、入力した上記匿名履歴情報を送信する匿名履歴送信部とを有し、
上記匿名履歴判別部は、上記処理装置を用いて、入力した複数の上記利用記録情報のそれぞれについて、上記利用記録情報が記録した上記サービス内容を判別し、上記処理装置を用いて、判別した上記サービス内容のそれぞれについて、上記サービス内容を利用した利用回数を算出し、上記処理装置を用いて、算出した上記利用回数が所定の回数よりも多い場合に、上記サービス内容についての情報を上記サーバ装置に送信しても上記所定の利用者が特定されにくいと判断する匿名性判断部を有することを特徴とする端末装置。 - 情報を記憶する記憶装置と、
情報を処理する処理装置と、
利用したサービス内容を記録した利用記録情報を複数記憶するサーバ装置と通信する通信装置と、
上記記憶装置を用いて、上記サーバ装置が記憶した上記利用記録情報のうち、所定の利用者が利用した上記サービス内容についての利用記録情報を利用履歴情報として記憶する利用履歴記憶部と、
上記通信装置を用いて、上記サーバ装置から、上記利用記録情報を複数受信し、上記処理装置を用いて、受信した複数の上記利用記録情報を出力する利用記録受信部と、
上記処理装置を用いて、上記利用記録受信部が出力した複数の上記利用記録情報と、上記利用履歴記憶部が記憶した上記利用履歴情報とを入力し、上記処理装置を用いて、入力した複数の上記利用記録情報に基づいて、入力した上記利用履歴情報のうち上記サーバ装置に送信しても上記所定の利用者が特定されにくい情報を判別し、上記処理装置を用いて、判別した上記情報を匿名履歴情報として出力する匿名履歴判別部と、
上記処理装置を用いて、上記匿名履歴判別部が出力した上記匿名履歴情報を入力し、上記通信装置を用いて、上記サーバ装置に対して、入力した上記匿名履歴情報を送信する匿名履歴送信部とを有し、
上記利用履歴記憶部は、上記記憶装置を用いて、上記利用履歴情報と上記利用履歴情報を識別する履歴識別情報とを記憶し、
上記利用記録受信部は、上記通信装置を用いて、複数の上記利用記録情報と複数の上記利用記録情報をそれぞれ識別する複数の記録識別情報とを受信し、上記処理装置を用いて、受信した複数の上記利用記録情報と受信した複数の上記記録識別情報とを出力し、
更に、
上記処理装置を用いて、上記利用履歴記憶部が記憶した上記履歴識別情報と、上記利用記録受信部が出力した複数の上記記録識別情報とを入力し、上記処理装置を用いて、入力した上記履歴識別情報と入力した上記記録識別情報とが一致するものについて、上記利用履歴記憶部が記憶した上記利用履歴情報のうち、上記履歴識別情報によって識別される利用履歴情報と、上記利用記録受信部が出力した上記利用記録情報のうち、上記記録識別情報によって識別される利用記録情報とを入力し、上記処理装置を用いて、入力した上記利用履歴情報が記録したサービス内容と、入力した上記利用記録情報が記録したサービス内容とが一致するか否かを判断し、上記処理装置を用いて、上記サービス内容が一致すると判断した場合に、上記利用記録情報が信頼できると判断する信頼性判断部を有し、
上記匿名履歴判別部は、上記処理装置を用いて、上記利用記録情報が信頼できると上記信頼性判断部が判断した場合に、上記匿名履歴情報を出力することを特徴とする端末装置。 - 情報を記憶する記憶装置と、
情報を処理する処理装置と、
利用したサービス内容を記録した利用記録情報を複数記憶するサーバ装置と通信する通信装置と、
上記記憶装置を用いて、上記サーバ装置が記憶した上記利用記録情報のうち、所定の利用者が利用した上記サービス内容についての利用記録情報を利用履歴情報として記憶する利用履歴記憶部と、
上記通信装置を用いて、上記サーバ装置から、上記利用記録情報を複数受信し、上記処理装置を用いて、受信した複数の上記利用記録情報を出力する利用記録受信部と、
上記処理装置を用いて、上記利用記録受信部が出力した複数の上記利用記録情報と、上記利用履歴記憶部が記憶した上記利用履歴情報とを入力し、上記処理装置を用いて、入力した複数の上記利用記録情報に基づいて、入力した上記利用履歴情報のうち上記サーバ装置に送信しても上記所定の利用者が特定されにくい情報を判別し、上記処理装置を用いて、判別した上記情報を匿名履歴情報として出力する匿名履歴判別部と、
上記処理装置を用いて、上記匿名履歴判別部が出力した上記匿名履歴情報を入力し、上記通信装置を用いて、上記サーバ装置に対して、入力した上記匿名履歴情報を送信する匿名履歴送信部とを有し、
上記利用履歴記憶部は、上記記憶装置を用いて、上記利用履歴情報と上記利用履歴情報を識別する履歴識別情報とを記憶し、
上記利用記録受信部は、上記通信装置を用いて、複数のハッシュ値と、複数の上記ハッシュ値それぞれに対応する複数の上記利用記録情報とを受信し、上記処理装置を用いて、受信した複数の上記ハッシュ値と受信した複数の上記利用記録情報とを出力し、
更に、
上記処理装置を用いて、上記利用履歴記憶部が記憶した上記履歴識別情報と上記利用履歴情報と、上記利用記録受信部が出力した複数の上記ハッシュ値とを入力し、上記処理装置を用いて、入力した上記履歴識別情報と入力した上記利用履歴情報とに基づいて、ハッシュ値を算出し、上記処理装置を用いて、入力した上記ハッシュ値と算出した上記ハッシュ値とが一致するものについて、上記利用記録受信部が出力した上記利用記録情報のうち、上記ハッシュ値に対応する利用記録情報を入力し、上記処理装置を用いて、入力した上記利用履歴情報が記録したサービス内容と、入力した上記利用記録情報が記録したサービス内容とが一致するか否かを判断し、上記処理装置を用いて、上記サービス内容が一致すると判断した場合に、上記利用記録情報が信頼できると判断する信頼性判断部を有し、
上記匿名履歴判別部は、上記処理装置を用いて、上記利用記録情報が信頼できると上記信頼性判断部が判断した場合に、上記匿名履歴情報を出力することを特徴とする端末装置。 - 上記利用履歴記憶部は、上記記憶装置を用いて、上記利用履歴情報と上記利用履歴情報を識別する履歴識別情報とを記憶し、
上記利用記録受信部は、上記通信装置を用いて、複数の上記利用記録情報と複数の上記利用記録情報をそれぞれ識別する複数の記録識別情報とを受信し、上記処理装置を用いて、受信した複数の上記利用記録情報と受信した複数の上記記録識別情報とを出力し、
上記端末装置は、更に、
上記処理装置を用いて、上記利用履歴記憶部が記憶した上記履歴識別情報と、上記利用記録受信部が出力した複数の上記記録識別情報とを入力し、上記処理装置を用いて、入力した上記履歴識別情報と入力した上記記録識別情報とが一致するものについて、上記利用履歴記憶部が記憶した上記利用履歴情報のうち、上記履歴識別情報によって識別される利用履歴情報と、上記利用記録受信部が出力した上記利用記録情報のうち、上記記録識別情報によって識別される利用記録情報とを入力し、上記処理装置を用いて、入力した上記利用履歴情報が記録したサービス内容と、入力した上記利用記録情報が記録したサービス内容とが一致するか否かを判断し、上記処理装置を用いて、上記サービス内容が一致すると判断した場合に、上記利用記録情報が信頼できると判断する信頼性判断部を有し、
上記匿名履歴判別部は、上記処理装置を用いて、上記利用記録情報が信頼できると上記信頼性判断部が判断した場合に、上記匿名履歴情報を出力することを特徴とする請求項1に記載の端末装置。 - 上記端末装置は、更に、
上記通信装置を用いて、上記サーバ装置が記憶した利用記録情報を識別する上記記録識別情報のリストを受信し、上記処理装置を用いて、受信した上記記録識別情報のリストを出力する記録識別受信部と、
上記処理装置を用いて、上記記録識別受信部が出力した上記記録識別情報のリストのなかから、複数の記録識別情報を選択し、上記処理装置を用いて、選択した複数の上記記録識別情報を出力する記録識別選択部と、
上記処理装置を用いて、上記記録識別選択部が出力した複数の上記記録識別情報を入力し、上記通信装置を用いて、上記サーバ装置に対して、入力した複数の上記記録識別情報を送信する選択識別送信部とを有し、
上記利用記録受信部は、上記通信装置を用いて、上記サーバ装置から、上記選択識別送信部が送信した複数の上記記録識別情報によって識別される複数の上記利用記録情報を受信することを特徴とする請求項2または請求項4に記載の端末装置。 - 上記記録識別選択部は、更に、上記処理装置を用いて、上記利用履歴記憶部が記憶した上記履歴識別情報を入力し、上記処理装置を用いて、入力した上記履歴識別情報と一致する上記記録識別情報を選択し、上記処理装置を用いて、入力した上記履歴識別情報と一致しない上記記録識別情報をランダムに選択することを特徴とする請求項5に記載の端末装置。
- 上記利用履歴記憶部は、上記記憶装置を用いて、上記利用履歴情報と上記利用履歴情報を識別する履歴識別情報とを記憶し、
上記利用記録受信部は、上記通信装置を用いて、複数のハッシュ値と、複数の上記ハッシュ値それぞれに対応する複数の上記利用記録情報とを受信し、上記処理装置を用いて、受信した複数の上記ハッシュ値と受信した複数の上記利用記録情報とを出力し、
上記端末装置は、更に、
上記処理装置を用いて、上記利用履歴記憶部が記憶した上記履歴識別情報と上記利用履歴情報と、上記利用記録受信部が出力した複数の上記ハッシュ値とを入力し、上記処理装置を用いて、入力した上記履歴識別情報と入力した上記利用履歴情報とに基づいて、ハッシュ値を算出し、上記処理装置を用いて、入力した上記ハッシュ値と算出した上記ハッシュ値とが一致するものについて、上記利用記録受信部が出力した上記利用記録情報のうち、上記ハッシュ値に対応する利用記録情報を入力し、上記処理装置を用いて、入力した上記利用履歴情報が記録したサービス内容と、入力した上記利用記録情報が記録したサービス内容とが一致するか否かを判断し、上記処理装置を用いて、上記サービス内容が一致すると判断した場合に、上記利用記録情報が信頼できると判断する信頼性判断部を有し、
上記匿名履歴判別部は、上記処理装置を用いて、上記利用記録情報が信頼できると上記信頼性判断部が判断した場合に、上記匿名履歴情報を出力することを特徴とする請求項1に記載の端末装置。 - 上記端末装置は、更に、
上記通信装置を用いて、上記所定の利用者が上記サービス内容を利用した場合に、上記サーバ装置から、利用した上記サービス内容を記録した利用記録情報と上記サービス内容の種別に対応する暗号鍵とを受信し、上記処理装置を用いて、受信した上記利用記録情報を利用履歴情報として出力し、受信した上記暗号鍵をサービス暗号鍵として出力する利用履歴受信部を有し、
上記利用履歴記憶部は、上記処理装置を用いて、上記利用履歴受信部が出力した上記利用履歴情報と上記サービス暗号鍵とを入力し、上記記憶装置を用いて、入力した上記利用履歴情報と上記サービス暗号鍵とを記憶し、
上記利用記録受信部は、上記通信装置を用いて、上記サーバ装置から、複数の上記利用記録情報を、上記利用記録情報が記録したサービス内容の種別ごとに異なる暗号鍵でそれぞれ暗号化した複数の暗号化記録情報を受信し、上記処理装置を用いて、上記利用履歴記憶部が記憶した上記サービス暗号鍵を入力し、上記処理装置を用いて、受信した複数の上記暗号化記録情報を、入力した上記サービス暗号鍵でそれぞれ復号して、複数の上記利用記録情報を取得し、上記処理装置を用いて、取得した複数の上記利用記録情報を出力することを特徴とする請求項1乃至請求項7のいずれかに記載の端末装置。 - 上記端末装置は、更に、
上記通信装置を用いて、上記所定の利用者が上記サービス内容を利用した場合に、上記サーバ装置から、利用した上記サービス内容を記録した利用記録情報と上記利用記録情報に対応する暗号鍵とを受信し、上記処理装置を用いて、受信した上記利用記録情報を利用履歴情報として出力し、受信した上記暗号鍵を履歴暗号鍵として出力する利用履歴受信部を有し、
上記利用履歴記憶部は、上記処理装置を用いて、上記利用履歴受信部が出力した上記利用履歴情報と上記履歴暗号鍵とを入力し、上記記憶装置を用いて、入力した上記利用履歴情報と上記履歴暗号鍵とを記憶し、
上記利用記録受信部は、上記通信装置を用いて、上記サーバ装置から、複数の上記利用記録情報を、上記利用記録情報が記録したサービス内容の種別ごとに異なるサービス暗号鍵でそれぞれ暗号化した複数の暗号化記録情報と、上記利用記録情報が記録したサービス内容の種別に対応する上記サービス暗号鍵を、上記利用記録情報に対応する暗号鍵でそれぞれ暗号化した複数の暗号化暗号鍵とを受信し、上記処理装置を用いて、上記利用履歴記憶部が記憶した上記履歴暗号鍵を入力し、上記処理装置を用いて、受信した複数の上記暗号化暗号鍵の少なくともいずれかを、入力した上記履歴暗号鍵で復号して、上記サービス暗号鍵を取得し、上記処理装置を用いて、受信した複数の上記暗号化記録情報を、取得した上記サービス暗号鍵でそれぞれ復号して、複数の上記利用記録情報を取得し、上記処理装置を用いて、取得した複数の上記利用記録情報を出力することを特徴とする請求項1乃至請求項7のいずれかに記載の端末装置。 - 情報を記憶する記憶装置と、情報を処理する処理装置と、利用したサービス内容を記録した利用記録情報を複数記憶するサーバ装置と通信する通信装置とを有する端末装置が、上記サーバ装置が提供する履歴サービスを利用する履歴サービス利用方法において、
上記記憶装置が、上記サーバ装置が記憶した上記利用記録情報のうち、所定の利用者が利用した上記サービス内容についての利用記録情報を利用履歴情報として記憶する利用履歴記憶工程と、
上記通信装置が、上記サーバ装置から、上記利用記録情報を複数受信し、上記処理装置が、受信した複数の上記利用記録情報を出力する利用記録受信工程と、
上記処理装置が、上記利用記録受信工程で上記処理装置が出力した複数の上記利用記録情報と、上記利用履歴記憶工程で上記記憶装置が記憶した上記利用履歴情報とを入力し、上記処理装置が、入力した複数の上記利用記録情報に基づいて、入力した上記利用履歴情報のうち上記サーバ装置に送信しても上記所定の利用者が特定されにくい情報を判別し、上記処理装置が、判別した上記情報を匿名履歴情報として出力する匿名履歴判別工程と、
上記処理装置が、上記匿名履歴判別工程で上記処理装置が出力した上記匿名履歴情報を入力し、上記通信装置が、上記サーバ装置に対して、入力した上記匿名履歴情報を送信する匿名履歴送信工程とを有し、
上記匿名履歴判別工程は、上記処理装置が、入力した複数の上記利用記録情報のそれぞれについて、上記利用記録情報が記録した上記サービス内容を判別し、上記処理装置が、判別した上記サービス内容のそれぞれについて、上記サービス内容を利用した利用回数を算出し、上記処理装置が、算出した上記利用回数が所定の回数よりも多い場合に、上記サービス内容についての情報を上記サーバ装置に送信しても上記所定の利用者が特定されにくいと判断する匿名性判断工程を有することを特徴とする履歴サービス利用方法。 - 情報を記憶する記憶装置と、情報を処理する処理装置と、利用したサービス内容を記録した利用記録情報を複数記憶するサーバ装置と通信する通信装置とを有するコンピュータを、請求項1乃至請求項9のいずれかに記載の端末装置として機能させることを特徴とする履歴サービス利用プログラム。
- 情報を記憶する記憶装置と、
情報を処理する処理装置と、
利用したサービス内容を記録した利用履歴情報を記憶する複数の端末装置と通信する通信装置と、
上記記憶装置を用いて、利用されたサービス内容を記憶した利用記録情報と、上記利用記録情報を識別する記録識別情報とを複数記憶する利用記録記憶部と、
上記処理装置を用いて、上記利用記録記憶部が記憶した上記記録識別情報を入力し、上記処理装置を用いて、入力した上記記録識別情報のリストを生成し、上記通信装置を用いて、上記端末装置に対して、生成した上記記録識別情報のリストを送信する記録識別送信部と、
上記通信装置を用いて、上記端末装置から、上記記録識別送信部が送信した上記記録識別情報のリストのなかから、上記端末装置が選択した複数の記録識別情報を受信し、上記処理装置を用いて、受信した上記記録識別情報を出力する選択識別受信部と、
上記処理装置を用いて、上記選択識別受信部が出力した複数の上記記録識別情報を入力し、上記処理装置を用いて、入力した複数の上記記録識別情報によって識別される複数の上記利用記録情報を入力し、上記処理装置を用いて、入力した複数の上記利用記録情報に基づいて、上記端末装置に対して送信する送信利用記録情報を生成し、上記処理装置を用いて、生成した上記送信利用記録情報を出力する送信利用記録生成部と、
上記処理装置を用いて、上記送信利用記録生成部が出力した上記送信利用記録情報を入力し、上記通信装置を用いて、上記端末装置に対して、入力した上記送信利用記録情報を送信する利用記録送信部と、
上記通信装置を用いて、上記端末装置が記憶した利用履歴情報と上記利用記録送信部が送信した上記送信利用記録情報とに基づいて上記端末装置が生成した上記端末装置が利用したサービス内容に関する情報を、上記端末装置から受信し、上記処理装置を用いて、受信した上記情報を匿名履歴情報として出力する匿名履歴受信部と、
上記記憶装置を用いて、上記端末装置に対して提供すべきサービス情報を記憶するサービス情報記憶部と、
上記処理装置を用いて、上記匿名履歴受信部が出力した上記匿名履歴情報を入力し、上記処理装置を用いて、上記サービス情報記憶部が記憶したサービス情報のなかから、入力した上記匿名履歴情報に基づいて、上記端末装置にとって有用な情報を選択し、上記処理装置を用いて、選択した上記サービス情報を出力するサービス情報選択部と、
を有することを特徴とするサーバ装置。 - 請求項1乃至請求項9のいずれかに記載の端末装置を有することを特徴とする履歴サービス提供システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006195678A JP4813278B2 (ja) | 2006-07-18 | 2006-07-18 | 端末装置及び履歴サービス利用方法及び履歴サービス利用プログラム及びサーバ装置及び履歴サービス提供システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006195678A JP4813278B2 (ja) | 2006-07-18 | 2006-07-18 | 端末装置及び履歴サービス利用方法及び履歴サービス利用プログラム及びサーバ装置及び履歴サービス提供システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008026955A JP2008026955A (ja) | 2008-02-07 |
JP4813278B2 true JP4813278B2 (ja) | 2011-11-09 |
Family
ID=39117556
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006195678A Expired - Fee Related JP4813278B2 (ja) | 2006-07-18 | 2006-07-18 | 端末装置及び履歴サービス利用方法及び履歴サービス利用プログラム及びサーバ装置及び履歴サービス提供システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4813278B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5956272B2 (ja) * | 2012-07-26 | 2016-07-27 | Kddi株式会社 | ソーシャルメディアにおけるユーザ信頼度推定装置、方法、プログラムおよび記録媒体 |
JP7146023B1 (ja) | 2021-06-04 | 2022-10-03 | 三菱電機株式会社 | 匿名化装置、分析システム、匿名化方法及び匿名化プログラム |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001290934A (ja) * | 2000-04-06 | 2001-10-19 | Toshiba Tec Corp | 情報端末装置 |
JP4322455B2 (ja) * | 2002-01-11 | 2009-09-02 | 株式会社日立製作所 | 記録情報の原本性確認方法およびシステム |
JP4417132B2 (ja) * | 2004-02-19 | 2010-02-17 | 日本電信電話株式会社 | プライバシ情報管理サーバ及び方法並びにプログラム |
-
2006
- 2006-07-18 JP JP2006195678A patent/JP4813278B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2008026955A (ja) | 2008-02-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6814147B2 (ja) | 端末、方法、不揮発性記憶媒体 | |
KR101497782B1 (ko) | 다른 채널에 대한 다른 데이터 부분들을 이용한 다른 엔티티들 간의 통신을 위한 시스템 및 방법 | |
EP3465523B1 (en) | Secure collection of sensitive data | |
US20100153273A1 (en) | Systems for performing transactions at a point-of-sale terminal using mutating identifiers | |
US20120005474A1 (en) | Information system and method of identifying a user by an application server | |
JP2008527905A (ja) | セキュリティコード生成方法、セキュリティコード生成方法を用いた方法、及びセキュリティコード生成方法のためのプログラム可能な装置 | |
WO2004095772A1 (ja) | 機器認証システム | |
KR101745706B1 (ko) | 생체 정보 기반 인증 장치 그리고 이의 동작 방법 | |
CN101689236B (zh) | 安全登录协议 | |
JP4979210B2 (ja) | ログイン情報管理装置及び方法 | |
JP4611988B2 (ja) | 端末装置 | |
JPWO2003105037A1 (ja) | 購入者携帯端末と共働するデータ通信仲介装置 | |
JP2002157226A (ja) | パスワード集中管理システム | |
JP4813278B2 (ja) | 端末装置及び履歴サービス利用方法及び履歴サービス利用プログラム及びサーバ装置及び履歴サービス提供システム | |
WO2011058629A1 (ja) | 情報管理システム | |
JP2008011092A (ja) | 暗号化コンテンツ検索方式 | |
JP2008502045A (ja) | 電子商取引の確保 | |
JP3497936B2 (ja) | 個人認証方法 | |
JP2007065789A (ja) | 認証システム及び方法 | |
JP2006302116A (ja) | 認証システム、認証サーバ、端末装置、認証方法およびプログラム | |
JP7306170B2 (ja) | 通信プログラムおよび通信方法 | |
CN116527230B (zh) | 一种金融信贷征信数据防泄露方法及*** | |
US8607047B2 (en) | Mobile system, service system, and service providing method to securely transmit private information for use in service | |
JP2006311112A (ja) | Id管理方法及び管理装置 | |
JPH11145949A (ja) | 個人情報安全運用方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090511 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110427 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110510 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110629 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110719 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110808 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110823 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110824 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140902 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |