JP7131314B2 - 情報管理プログラム、情報管理方法、情報管理装置、情報処理プログラム、情報処理方法及び情報処理装置 - Google Patents
情報管理プログラム、情報管理方法、情報管理装置、情報処理プログラム、情報処理方法及び情報処理装置 Download PDFInfo
- Publication number
- JP7131314B2 JP7131314B2 JP2018211642A JP2018211642A JP7131314B2 JP 7131314 B2 JP7131314 B2 JP 7131314B2 JP 2018211642 A JP2018211642 A JP 2018211642A JP 2018211642 A JP2018211642 A JP 2018211642A JP 7131314 B2 JP7131314 B2 JP 7131314B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- access
- data table
- data
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007726 management method Methods 0.000 title claims description 12
- 230000010365 information processing Effects 0.000 title description 9
- 238000003672 processing method Methods 0.000 title description 3
- 238000012545 processing Methods 0.000 claims description 52
- 230000004044 response Effects 0.000 claims description 11
- 238000000034 method Methods 0.000 claims description 8
- 230000008569 process Effects 0.000 claims description 7
- 238000001514 detection method Methods 0.000 description 17
- 238000011156 evaluation Methods 0.000 description 15
- 238000010586 diagram Methods 0.000 description 14
- 230000005540 biological transmission Effects 0.000 description 10
- 238000004458 analytical method Methods 0.000 description 6
- 238000012550 audit Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 238000013500 data storage Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000004083 survival effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
- G06Q50/26—Government or public services
- G06Q50/265—Personal security, identity or safety
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Bioethics (AREA)
- Computer Security & Cryptography (AREA)
- Tourism & Hospitality (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Primary Health Care (AREA)
- Marketing (AREA)
- Medical Informatics (AREA)
- Human Resources & Organizations (AREA)
- Economics (AREA)
- Educational Administration (AREA)
- Development Economics (AREA)
- Data Mining & Analysis (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Description
本発明は、情報管理プログラム、情報管理方法、情報管理装置、情報処理プログラム、情報処理方法及び情報処理装置に関する。
改正個人情報保護法の全面施行により、平成29年5月30日から個人情報を取り扱う全ての事業者に個人情報保護法が適用され、各事業者に対して個人情報に関する厳正な取扱いが求められる。このため、個人情報の安全管理に関する対策を講じる動きが活発化しつつある。特に、個人情報の漏洩に関しては、企業の存続にも大きく影響を与えることから、個人情報を取り扱う管理部門での企業コンプライアンスの徹底だけでなく、個人情報データベースシステムでのセキュリティ対策が重要となっている。
個人情報データベースシステムでは、個人情報だけでなく準個人情報のセキュリティ対策も重要である。ここで、「準個人情報」とは、個人情報の要素となる情報であり、関連する情報と組み合わせることで個人情報となり得る情報である。
図11は、準個人情報を説明するための図である。図11において、準個人情報テーブル11aは、SNS(Social Networking Service)を利用するユーザの氏名や生年月日などの準個人情報を管理するテーブルである。準個人情報テーブル11aには個人情報の一部が含まれる。準個人情報テーブル11aには、アカウントデータとして、アカウントID、氏名、メールアドレス、生年月日、住所、電話番号が含まれる。
アカウントIDは、ユーザのSNSのアカウントを識別する識別子である。氏名は、ユーザの名前である。メールアドレスは、ユーザのメールアドレスである。生年月日は、ユーザが生まれた年月日である。住所は、ユーザの住所である。電話番号は、ユーザの電話番号である。
関連テーブル11bは、投稿内容などアカウントに付随した情報をリアルタイムに蓄積するテーブルである。関連テーブル11bには人物の詳細な行動などが記録され、関連テーブル11bに蓄積される情報は、個人は特定されないが秘匿性のある情報である。関連テーブル11bには、投稿データとして、ポストID、アカウントID、投稿日、投稿内容が含まれる。
ポストIDは、投稿を識別する識別子である。アカウントIDは、投稿したユーザのアカウントを識別する識別子である。投稿日は、投稿された年月日である。投稿内容は、投稿された内容である。
準個人情報テーブル11aと関連テーブル11bは、アカウントIDを用いて結合が可能である。また、アカウントデータに対する投稿データの関係は1:n(nは正の整数)である。アカウントIDを用いてアカウントデータと投稿データを組み合わせることで個人の行動や嗜好が判明するので、アカウントデータと投稿データを組み合わせた情報は個人情報となる。
なお、携帯端末から顧客情報の閲覧を要求されると、表示条件テーブルに登録された年月日、携帯端末識別情報、顧客名が閲覧要求と合致する場合に、顧客情報を携帯端末に表示させることで、携帯端末からの重要情報の漏洩リスクを最小限に抑える従来技術がある。
また、取得要求で要求されたデータが格納される列の機密識別属性を参照して該データが機密情報であるか否かを判定し、機密情報である場合には列の射影を禁止することで、機密情報を保護するデータベース管理システムがある。
また、操作対象データ又はその所有者ごとにアクセス制御ルールを作成しなくても済むようにすることで、データ蓄積システムの管理者の負担を軽減する従来技術がある。この従来技術では、データ蓄積システムは、データ操作要求を受信した場合に、このデータ操作要求により指定されたアクセス者情報、操作種別情報及びデータ集合識別情報の全てが一致することを第1の検索条件とする。また、データ蓄積システムは、データ操作要求により指定された操作対象の患者データに含まれる複数の項目のうちアクセス制御データキーとして用いる項目の1つ以上の組み合わせと一致することを第2の検索条件とする。そして、第1及び第2の検索条件を満足するアクセス制御ルールを、アクセス制御リスト記憶部から検索し、このアクセス制御ルールをもとにアクセス拒否を判定する。
また、参照者が参照した被参照者に関する個人情報やライフログ情報が複数統合されて、被参照者が公開したくないと考える範囲まで個人の特定が絞り込まれるのを防ぐ従来技術がある。この従来技術では、開示要求取得部が、参照者が公開を要求している公開情報を示す開示要求を取得する。すると、情報開示制御部は、参照情報記憶部が記憶する参照情報に含まれる公開情報と開示要求が示す公開情報との組み合わせが、拒否情報記憶部が記憶する拒否情報に含まれるか否かを判定する。そして、情報開示制御部は、拒否情報に含まれると判定した場合、開示要求が示す公開情報の該参照者への送信を禁止し、拒否情報に含まれないと判定した場合、開示要求が示す公開情報を公開情報記憶部から読み出して、情報開示部に参照者端末へ送信させる。
しかしながら、上記技術では複数のテーブルに記憶されたデータの組み合わせにより個人情報となる情報であるか否かを判定する場合に、開示を禁止する情報となる可能性のあるテーブルの組み合わせを予め設定しておく必要があり処理が煩雑となる。
本発明は、1つの側面では、予め設定することなしに準個人情報と関連情報の組み合わせによる個人情報漏洩を抑止可能とすることを目的とする。
1つの態様では、情報管理プログラムは、ある個人の情報へのアクセス要求を、前記ある個人の情報を含みうる第1のデータテーブルと前記ある個人の情報を含みうる第2のデータテーブルとの指定とともに受け付ける処理をコンピュータに実行させる。そして、前記情報管理プログラムは、前記第1のデータテーブルと前記第2のデータテーブルとに同一のキーが含まれるか否かに応じて、前記アクセス要求に対する応答結果が個人を特定する情報を含み得るか否かを判定する処理を前記コンピュータに実行させる。ここで、応答結果は、前記第1のデータテーブルと前記第2のデータテーブルとを組み合わせたデータである。そして、前記情報管理プログラムは、個人を特定する情報を含み得ると判定した場合に前記アクセス要求に対する応答の出力を制御する。
1つの側面では、本発明は、予め設定することなしに準個人情報と関連情報の組み合わせによる個人情報漏洩を抑止可能とすることができる。
以下に、本願の開示する情報管理プログラム、情報管理方法、情報管理装置、情報処理プログラム、情報処理方法及び情報処理装置の実施例を図面に基づいて詳細に説明する。なお、この実施例は開示の技術を限定するものではない。
まず、実施例に係るデータベース管理システム(DBMS:Database Management System)の機能構成について説明する。図1は、実施例に係るDBMSの機能構成を示す図である。図1に示すように、実施例に係るDBMS1は、テーブル記憶部11と、メタ情報記憶部12と、属性情報作成部13と、監査ログ記憶部14と、SQL処理部20とを有する。
テーブル記憶部11は、図11に例を示した準個人情報テーブル11aと関連テーブル11bを記憶する。準個人情報テーブル11aと関連テーブル11bの組み合わせにより個人情報が特定される。なお、関連テーブル11bは複数あってもよい。また、テーブル記憶部11は、準個人情報テーブル11aでもなく関連テーブル11bでもないテーブルも記憶する。
メタ情報記憶部12は、テーブル記憶部11が記憶する情報に関する情報をメタ情報として記憶する。メタ情報記憶部12は、テーブル属性情報12aとポリシー情報12bと定義情報12cを記憶する。テーブル属性情報12aは、テーブルの属性に関する情報である。ポリシー情報12bは、準個人情報テーブル11a及び関連テーブル11bにアクセスする正常な業務のポリシーに関する情報である。定義情報12cは、テーブルを定義する情報である。
図2は、テーブル属性情報12aとポリシー情報12bの例を示す図である。図2(a)に示すように、テーブル属性情報12aには、テーブル名と、属性と、準個人情報テーブル名と、結合キーとが含まれる。
テーブル名は、テーブルを識別する名前である。属性は、テーブルが準個人情報テーブル11aであるか関連テーブル11bであるかその他の非対象テーブルであるかを示す。準個人情報テーブル名は、テーブルが関連テーブル11bである場合に、結合される準個人情報テーブル11aの名前である。結合キーは、準個人情報テーブル11aと関連テーブル11bの結合に用いられるキーである。
例えば、「account」で識別されるテーブルは、準個人情報テーブル11aであり、関連テーブル11bとの結合に用いられるキーは、「acc_id」である。また、「post_message」で識別されるテーブルは、関連テーブル11bであり、結合される準個人情報テーブル11aは「account」であり、準個人情報テーブル11aとの結合に用いられるキーは、「acc_id」である。
図2(b)に示すように、ポリシー情報12bには、準個人情報テーブル名と、種別と、ポリシーとが含まれる。
準個人情報テーブル名は、ポリシーが適用される準個人情報テーブル11aを識別する名前である。種別は、ポリシーの種別である。種別には、正常な業務が準個人情報テーブル11aにアクセスする時間である「アクセス時間」と、正常な業務の名前である「業務アプリケーション名」と、アクセスする装置を示す「クライアントマシン」がある。
ポリシーは、正常なアクセスに関する情報であり、種別毎に異なる。種別が「アクセス時間」の場合には、ポリシーは、正常なアクセスが行われる時間帯である。種別が「業務アプリケーション名」の場合には、ポリシーは、正常なアクセスを行うアプリケーションの名前である。種別が「クライアントマシン」の場合には、ポリシーは、正常なアクセスを行うクライアント装置のIP(Internet Protocol)アドレスである。
例えば、「account」で識別される準個人情報テーブル11aは、IPアドレスが「192.33.44.*」である装置で動作する「apl01」から「00:00:00」-「06:29:59」にアクセスされる。
なお、準個人情報テーブル名が「default」であるエントリは、デフォルト値を示す。図2(b)では、デフォルト値は、「アクセス時間」が「00:00:00」-「05:59:59」である。このように、ポリシー情報12bには、「アクセス時間」、「業務アプリケーション名」、「クライアントマシン」のうち一つ以上が含まれればよい。
属性情報作成部13は、テーブル記憶部11が記憶するテーブルを解析してテーブル属性情報12aを作成し、メタ情報としてメタ情報記憶部12に格納する。属性情報作成部13は、テーブルに格納されているデータのカラム(列)を氏名や生年月日などの名詞句に自然言語解析を用いて分類し、例えば、氏名と生年月日をカラムに含むテーブルを準個人情報テーブル11aとして特定する。
属性情報作成部13は、例えば、DBMS1が定期的に非同期で行っている統計情報の最新化の延長で準個人情報テーブル11aを特定する。あるいは、属性情報作成部13は、SQL文によるデータ格納時に準個人情報テーブル11aを特定してもよい。あるいは、属性情報作成部13は、システム管理者からキーボードやタッチパネルによるテーブル名の入力を受け付けて、準個人情報テーブル11aを特定してもよい。
属性情報作成部13は、準個人情報テーブル11aの一意性制約が設定されたカラムを用いて関連テーブル11bを特定する。その理由は、準個人情報テーブル11aのようなアカウントを管理するテーブルの場合、アカウントを一意に示す識別子に一意性制約が設定されるためである。
関連テーブル11bは、準個人情報テーブル11aで一意性制約が設定された識別子を結合キーとして準個人情報テーブル11aに関連付けられる。関連テーブル11bでは、準個人情報テーブル11aに関連付けられることを示すために、外部キー制約である参照制約が設定される。属性情報作成部13は、準個人情報テーブル11aで一意性制約が設定された識別子を参照する参照制約を用いて関連テーブル11bを特定する。
図3は、参照制約の一例を示す図である。図3では、「post_message」で識別されるテーブル(TABLE)において、「CONSTRAINT cs1 FOREIGN KEY(acc_id) REFERENCES account(acc_id)」が参照制約である。
「account」で識別される準個人情報テーブル11aでは、「PRIMARY KEY(acc_id)」により「acc_id」に一意性制約が設定される。また、参照制約で、「account」で識別される準個人情報テーブル11aの「acc_id」が外部キーとして参照され、「acc_id」が結合キーとなる。「cs1」は、参照制約を識別する識別子である。参照制約は定義情報12cに含まれる。
図1に戻って、監査ログ記憶部14は、テーブルへの不正アクセスや予兆アクセスが行われた場合のアラートを記憶する。ここで、予兆アクセスとは、個人情報へのアクセスの予兆となるアクセスである。
SQL処理部20は、SQL問合せを処理する。SQL処理部20は、関係判断部21と、検知部22と、リスク評価部23と、アラート発信部24と、データ秘匿部25とを有する。
関係判断部21は、SQLによる問合せが準個人情報テーブル11aと関連テーブル11bの少なくとも一方へのアクセスであるか否かをテーブル属性情報12aを参照して判断する。
検知部22は、関係判断部21により準個人情報テーブル11aと関連テーブル11bの少なくとも一方へのアクセスであると判断されたSQL問合せの中から、予兆アクセス又は個人情報アクセスを検知する。
検知部22は、結合キーをSQL文の選択列に指定している場合に、SQL問合せを予兆アクセスとして検知する。検知部22は、結合キーをSQL文の条件列に指定している場合に、SQL問合せを個人情報アクセスとして検知する。検知部22は、SQL文で準個人情報テーブル11aと関連テーブル11bを結合している場合に、SQL問合せを個人情報アクセスとして検知する。
図4は、予兆アクセス及び個人情報アクセスの例を示す図である。図4(a)は、結合キーをSQL文の選択列に指定する予兆アクセスの例を示す。図4(b)は、結合キーをSQL文の条件列に指定する個人情報アクセスの例を示し、図4(c)は、SQL文で準個人情報テーブル11aと関連テーブル11bを結合する個人情報アクセスの例を示す。
図4(a)は、準個人情報テーブル11a又は関連テーブル11bを検索するために結合キーを事前に検索していることを示す。図4(a)の最初の例は結合キー「acc_id」を準個人情報テーブル11a「account」から検索し、図4(a)の2番目の例は結合キー「acc_id」を関連テーブル11b「post_message」から検索している。
図4(b)では、結合キーから個人情報が検索されている。図4(b)の最初のSQL文で関連テーブル11b「post_message」から「message(投稿内容)」が検索されている。そして、2番目のSQL文で準個人情報テーブル11a「account」から「name(氏名)」と「address(住所)」が検索されている。2つのSQL文の検索結果を組み合わせると、個人情報が得られる。
図4(c)では、一つのSQL文で完結させて、個人情報が検索されている。図4(c)の例では、「post_message」と「account」で「acc_id」が等しく、「account」の「name(氏名)」の一部に「hoge」を含む「message(投稿内容)」が検索されている。
リスク評価部23は、検知部22により検知された予兆アクセス及び個人情報アクセスのリスクを評価する。リスク評価部23は、検知部22により予兆アクセスが検知された場合には、監視が必要であると判定する。また、リスク評価部23は、検知部22により個人情報アクセスが検知された場合には、ポリシー情報12bに基づいて、正常な業務のポリシーに沿った正常アクセスであるのか正常な業務のポリシーに沿わない不正アクセスであるのかを判定する。
アラート発信部24は、リスク評価部23により監視が必要であると判定された場合及び不正アクセスであると判定された場合に、アラームを監査ログ記憶部14に出力する。図5は、アラームの例を示す図である。図5(a)は、予兆アクセスが行われた場合のアラートを示し、図5(b)は、不正アクセスが行われた場合のアラートを示す。
図5(a)に示すように、アラート発信部24が結合キー(foreign key)を出力することで、システム管理者は結合キーを条件列に指定する検索に限定して、実際に個人情報をアクセスする問合せを監視することができる。また、図5(b)に示すように、アラート発信部24がアラートを出力することで、システム管理者は不正なアクセスが行われたことを知ることができる。
また、アラート発信部24は、リスク評価部23により不正アクセスであると判定された場合に、不正アクセスのコネクションを強制切断する。
データ秘匿部25は、リスク評価部23により正常アクセスであると判定された場合に、準個人情報テーブル11aと関連テーブル11bへの問合せ結果を秘匿化して出力する。なお、業務によって秘匿化が必要ない場合には、データ秘匿部25は、秘匿化を行うことなく問合せ結果を出力する。
次に、SQL問合せ処理のフローについて説明する。図6は、SQL問合せ処理のフローを示すフローチャートである。図6に示すように、SQL処理部20は、ユーザを認証するユーザ認証処理を行い(ステップS1)、ユーザ認証に成功すると、ユーザが入力したSQL文の読み込みを行う(ステップS2)。
そして、SQL処理部20は、SQL文の字句解析及び構文解析を行い(ステップS3)、意味解析を行う(ステップS4)。SQL処理部20は、意味解析を行う際に、SQLによる問合せが準個人情報テーブル11aと関連テーブル11bの少なくとも一方へのアクセスであるか否かをテーブル属性情報12aを参照して判断する。そして、SQL処理部20は、SQLによる問合せが準個人情報テーブル11aと関連テーブル11bの少なくとも一方へのアクセスであると判断すると、予兆アクセス又は個人情報アクセスを検知する処理を行う。
そして、SQL処理部20は、SQL問合せを実行する実行プランを生成する(ステップS5)。SQL処理部20は、クエリ実行の際に、アクセスリスクを評価し、評価結果に基づいてアラートの出力等の対応処理を行う。
そして、SQL処理部20は、不正アクセスでない場合には、問合せを実行するクエリ実行処理を行い(ステップS6)、問合せ結果を通知する(ステップS7)。SQL処理部20は、正常アクセスの問合せ結果を通知する際にデータの秘匿化を行う。
このように、SQL処理部20は、意味解析を行う際に、予兆アクセス又は個人情報アクセスを検知することで、個人情報の漏洩を防ぐことができる。
次に、検知処理のフローについて説明する。ここで、検知処理とは、SQLによる問合せが準個人情報テーブル11aと関連テーブル11bの少なくとも一方への予兆アクセス又は個人情報アクセスを検知する処理である。図7は、検知処理のフローを示すフローチャートである。
図7に示すように、SQL処理部20は、メタ情報記憶部12から、アクセス対象テーブルの属性を取得し(ステップS11)、SQL問合せが準個人情報テーブル11aと関連テーブル11bを結合して検索するか否かを判定する(ステップS12)。そして、SQL問合せが準個人情報テーブル11aと関連テーブル11bを結合して検索する場合には、SQL処理部20は、SQL問合せを個人情報アクセスと判断する(ステップS13)。
一方、SQL問合せが準個人情報テーブル11aと関連テーブル11bを結合した検索でない場合には、SQL処理部20は、SQL問合せが準個人情報テーブル11a又は関連テーブル11bを結合キーを条件に検索するか否かを判定する(ステップS14)。そして、SQL問合せが準個人情報テーブル11a又は関連テーブル11bを結合キーを条件に検索する場合には、SQL処理部20は、SQL問合せを個人情報アクセスと判断する(ステップS13)。
一方、SQL問合せが準個人情報テーブル11a又は関連テーブル11bの結合キーを条件にした検索でない場合は、SQL処理部20は、SQL問合せが準個人情報テーブル11a又は関連テーブル11bから結合キーを検索するかを判定する(ステップS15)。そして、SQL問合せが準個人情報テーブル11a又は関連テーブル11bから結合キーを検索する場合には、SQL処理部20は、SQL問合せを予兆アクセスと判断する(ステップS16)。
一方、SQL問合せが準個人情報テーブル11a又は関連テーブル11bからの結合キーの検索でない場合には、SQL処理部20は、SQL問合せを個人情報アクセスにも予兆アクセスにも該当せずと判断する(ステップS17)。
このように、SQL処理部20は、アクセス対象テーブルの属性とアクセス対象テーブルへの検索内容に基づいて予兆アクセス及び個人情報アクセスを検知するので、個人情報の漏洩を防ぐことができる。なお、ステップS12、ステップS14及びステップS15の判定は他の順番で行われてもよい。例えば、ステップS15、ステップS14、ステップS12の順に判定が行われてもよい。
次に、リスク評価及びアラート発信処理のフローについて説明する。図8は、リスク評価及びアラート発信処理のフローを示すフローチャートである。
図8に示すように、SQL処理部20は、SQL問合せを個人情報アクセスと判断したか否かを判定し(ステップS21)、SQL問合せを個人情報アクセスと判断した場合には、SQL問合せが正常な業務のポリシーに即しているかを判定する(ステップS22)。そして、SQL処理部20は、SQL問合せが正常な業務のポリシーに即していない場合は、SQL問合せを不正アクセスと判断し(ステップS23)、監査ログ記憶部14へアラートを出力し(ステップS24)、コネクションを強制切断する(ステップS25)。
一方、SQL問合せが正常な業務のポリシーに即している場合には、SQL処理部20は、SQL問合せを正常アクセスと判断する(ステップS26)。また、SQL問合せを個人情報アクセスでないと判断した場合には、SQL処理部20は、SQL問合せを予兆アクセスと判断したか否かを判定する(ステップS27)。そして、SQL処理部20は、SQL問合せを予兆アクセスと判断した場合には、要監視と判断し(ステップS28)、監査ログ記憶部14へアラートを出力する(ステップS29)。
このように、SQL処理部20は、不正アクセスに対してコネクションを強制切断するので、個人情報の漏洩を防ぐことができる。
次に、データ秘匿化処理のフローについて説明する。図9は、データ秘匿化処理のフローを示すフローチャートである。図9に示すように、SQL処理部20は、正常アクセスと判断したか否かを判定し(ステップS31)、正常アクセスと判断した場合には、データの秘匿化を行う(ステップS32)。
このように、SQL処理部20は、個人情報が特定される情報を提供する場合にデータを秘匿化することで、個人情報の漏洩を防ぐことができる。
上述してきたように、実施例では、属性情報作成部13が、準個人情報テーブル11aと結合キーで結合される関連テーブル11bを特定し、テーブル属性情報12aに登録する。そして、関係判断部21が、テーブル属性情報12aを参照して、SQL問合せが準個人情報テーブル11aと関連テーブル11bの少なくとも一方へのアクセスであるか否かを判断する。そして、関係判断部21がSQL問合せが準個人情報テーブル11aと関連テーブル11bの少なくとも一方へのアクセスであると判断すると、検知部22が、SQL問合せが予兆アクセス又は個人情報アクセスであるか否かを判定する。そして、リスク評価部23が、ポリシー情報12bに基づいて、個人情報アクセスが正常アクセスであるか不正アクセスであるかを判定する。そして、アラート発信部24が、予兆アクセスに対してはアラートの出力を行い、不正アクセスに対してはアラートの出力とコネクションの強制切断を行う。したがって、DBMS1は、準個人情報テーブル11aと関連テーブル11bを組み合わせることで特定される個人情報の漏洩を防ぐことができる。
また、実施例では、SQL問合せが準個人情報テーブル11aの情報と関連テーブル11bの情報を結合キーで組み合わせる検索である場合に、検知部22は、SQL問合せが個人情報アクセスであると判定する。あるいは、SQL問合せが準個人情報テーブル11a又は関連テーブル11bから結合キーを用いて情報を検索する場合に、検知部22は、SQL問合せが個人情報アクセスであると判定する。また、SQL問合せが準個人情報テーブル11a又は関連テーブル11bから結合キーを検索する場合に、検知部22は、SQL問合せが予兆アクセスであると判定する。したがって、DBMS1は、個人情報アクセスと予兆アクセスを検知することができる。
また、実施例では、リスク評価部23が、ポリシー情報12bに基づいて個人情報アクセスが正常アクセスであるか否かを判定するので、DBMS1は、ポリシーに沿ったアクセスを許可することができる。
また、実施例では、ポリシー情報12bには、アクセス時間、業務アプリケーション名及びクライアントマシンの情報が含まれるので、リスク評価部23は、ポリシーに沿った正常アクセスを特定することができる。
また、実施例では、属性情報作成部13は、複数のテーブルの中から氏名及び生年月日を含むテーブルを準個人情報テーブル11aとして特定するので、準個人情報テーブル11aを正確に特定することができる。
また、実施例では、属性情報作成部13は、定義情報12cから関連テーブル11bに設定された参照制約の情報を取り出して、準個人情報テーブル11aと関連テーブル11bの関連を特定するので、関連テーブル11bを正確に特定することができる。
なお、実施例では、DBMS1について説明したが、DBMS1の機能は、データベース管理プログラムをコンピュータで実行することで実現される。そこで、データベース管理プログラムを実行するコンピュータについて説明する。
図10は、実施例に係るデータベース管理プログラムを実行するコンピュータのハードウェア構成を示す図である。図10に示すように、コンピュータ50は、メインメモリ51と、CPU(Central Processing Unit)52と、LAN(Local Area Network)インタフェース53と、HDD(Hard Disk Drive)54とを有する。また、コンピュータ50は、スーパーIO(Input Output)55と、DVI(Digital Visual Interface)56と、ODD(Optical Disk Drive)57とを有する。
メインメモリ51は、プログラムやプログラムの実行途中結果等を記憶するメモリである。CPU52は、メインメモリ51からプログラムを読み出して実行する中央処理装置である。CPU52は、メモリコントローラを有するチップセットを含む。
LANインタフェース53は、コンピュータ50をLAN経由で他のコンピュータに接続するためのインタフェースである。HDD54は、プログラムやデータを格納するディスク装置であり、スーパーIO55は、マウスやキーボード等の入力装置を接続するためのインタフェースである。DVI56は、液晶表示装置を接続するインタフェースであり、ODD57は、DVDの読み書きを行う装置である。
LANインタフェース53は、PCIエクスプレス(PCIe)によりCPU52に接続され、HDD54及びODD57は、SATA(Serial Advanced Technology Attachment)によりCPU52に接続される。スーパーIO55は、LPC(Low Pin Count)によりCPU52に接続される。
そして、コンピュータ50において実行されるデータベース管理プログラムは、コンピュータ50により読み出し可能な記録媒体の一例であるDVDに記憶され、ODD57によってDVDから読み出されてコンピュータ50にインストールされる。あるいは、データベース管理プログラムは、LANインタフェース53を介して接続された他のコンピュータシステムのデータベース等に記憶され、これらのデータベースから読み出されてコンピュータ50にインストールされる。そして、インストールされたデータベース管理プログラムは、HDD54に記憶され、メインメモリ51に読み出されてCPU52によって実行される。
1 DBMS
11 テーブル記憶部
11a 準個人情報テーブル
11b 関連テーブル
12 メタ情報記憶部
12a テーブル属性情報
12b ポリシー情報
12c 定義情報
13 属性情報作成部
14 監査ログ記憶部
20 SQL処理部
21 関係判断部
22 検知部
23 リスク評価部
24 アラート発信部
25 データ秘匿部
50 コンピュータ
51 メインメモリ
52 CPU
53 LANインタフェース
54 HDD
55 スーパーIO
56 DVI
57 ODD
11 テーブル記憶部
11a 準個人情報テーブル
11b 関連テーブル
12 メタ情報記憶部
12a テーブル属性情報
12b ポリシー情報
12c 定義情報
13 属性情報作成部
14 監査ログ記憶部
20 SQL処理部
21 関係判断部
22 検知部
23 リスク評価部
24 アラート発信部
25 データ秘匿部
50 コンピュータ
51 メインメモリ
52 CPU
53 LANインタフェース
54 HDD
55 スーパーIO
56 DVI
57 ODD
Claims (7)
- ある個人の情報へのアクセス要求を、前記ある個人の情報を含みうる第1のデータテーブルと前記ある個人の情報を含みうる第2のデータテーブルとの指定とともに受け付け、
前記第1のデータテーブルと前記第2のデータテーブルとに同一のキーが含まれるか否かに応じて、前記アクセス要求に対する応答結果である前記第1のデータテーブルと前記第2のデータテーブルとを組み合わせたデータが個人を特定する情報を含み得るか否かを判定し、
前記アクセス要求が前記第1のデータテーブルと前記第2のデータテーブルを前記キーによって組み合わせる要求である場合、又は、前記第1のデータテーブル又は前記第2のデータテーブルから前記キーを用いて前記ある個人の情報を検索する場合に、前記アクセス要求が前記個人を特定する情報へのアクセスであると判定した場合に前記データへのアクセスの禁止または応答結果の秘匿化を実行するとともに、不正アクセスを示す第1のアラートを出力し、
前記アクセス要求が前記第1のデータテーブル又は前記第2のデータテーブルから前記キーを検索する場合に、前記アクセス要求が前記個人を特定する情報へのアクセスである可能性があると判定した場合に予兆アクセスを示す第2のアラートを出力するように制御する
処理をコンピュータに実行させることを特徴とする情報管理プログラム。 - 前記制御する処理は、
前記アクセス要求が前記個人を特定する情報へのアクセスであると判定した場合に、前記アクセス要求が正常な業務のポリシーに即した個人を特定する情報へのアクセスであるか否かをさらに判定し、ポリシーに即した個人を特定する情報へのアクセスであると判定した場合に前記データへのアクセスの禁止または応答結果の秘匿化を実行することを特徴とする請求項1に記載の情報管理プログラム。 - 前記ポリシーには、前記アクセス要求が行われる時間帯、前記アクセス要求を行うアプリケーション、前記アクセス要求を行うクライアント装置の少なくとも一つが含まれることを特徴とする請求項2に記載の情報管理プログラム。
- 前記第2のデータテーブルに設定された参照制約を用いて前記第2のデータテーブルと前記第1のデータテーブルとの関連を特定する処理を前記コンピュータにさらに実行させることを特徴とする請求項1乃至3のいずれか一項に記載の情報管理プログラム。
- 複数のデータテーブルの中から氏名及び生年月日を含むデータテーブルを前記第1のデータテーブルとして特定する処理を前記コンピュータにさらに実行させることを特徴とする請求項1乃至4のいずれか一項に記載の情報管理プログラム。
- ある個人の情報へのアクセス要求を、前記ある個人の情報を含みうる第1のデータテーブルと前記ある個人の情報を含みうる第2のデータテーブルとの指定とともに受け付け、
前記第1のデータテーブルと前記第2のデータテーブルとに同一のキーが含まれるか否かに応じて、前記アクセス要求に対する応答結果である前記第1のデータテーブルと前記第2のデータテーブルとを組み合わせたデータが個人を特定する情報を含み得るか否かを判定し、
前記アクセス要求が前記第1のデータテーブルと前記第2のデータテーブルを前記キーによって組み合わせる要求である場合、又は、前記第1のデータテーブル又は前記第2のデータテーブルから前記キーを用いて前記ある個人の情報を検索する場合に、前記アクセス要求が前記個人を特定する情報へのアクセスであると判定した場合に前記データへのアクセスの禁止または応答結果の秘匿化を実行するとともに、不正アクセスを示す第1のアラートを出力し、
前記アクセス要求が前記第1のデータテーブル又は前記第2のデータテーブルから前記キーを検索する場合に、前記アクセス要求が前記個人を特定する情報へのアクセスである可能性があると判定した場合に予兆アクセスを示す第2のアラートを出力するように制御する
処理をコンピュータが実行することを特徴とする情報管理方法。 - ある個人の情報へのアクセス要求を、前記ある個人の情報を含みうる第1のデータテーブルと前記ある個人の情報を含みうる第2のデータテーブルとの指定とともに受け付け、前記第1のデータテーブルと前記第2のデータテーブルとに同一のキーが含まれるか否かに応じて、前記アクセス要求に対する応答結果である前記第1のデータテーブルと前記第2のデータテーブルとを組み合わせたデータが個人を特定する情報を含み得るか否かを判定する判定部と、
前記アクセス要求が前記第1のデータテーブルと前記第2のデータテーブルを前記キーによって組み合わせる要求である場合、又は、前記第1のデータテーブル又は前記第2のデータテーブルから前記キーを用いて前記ある個人の情報を検索する場合に、前記アクセス要求が前記個人を特定する情報へのアクセスであると判定した場合に前記データへのアクセスの禁止または応答結果の秘匿化を実行するとともに、不正アクセスを示す第1のアラートを出力し、前記アクセス要求が前記第1のデータテーブル又は前記第2のデータテーブルから前記キーを検索する場合に、前記アクセス要求が前記個人を特定する情報へのアクセスである可能性があると判定した場合に予兆アクセスを示す第2のアラートを出力するように制御する処理部と、
を有することを特徴とする情報管理装置。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018211642A JP7131314B2 (ja) | 2018-11-09 | 2018-11-09 | 情報管理プログラム、情報管理方法、情報管理装置、情報処理プログラム、情報処理方法及び情報処理装置 |
| US16/671,885 US11429744B2 (en) | 2018-11-09 | 2019-11-01 | Information management device and information management method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018211642A JP7131314B2 (ja) | 2018-11-09 | 2018-11-09 | 情報管理プログラム、情報管理方法、情報管理装置、情報処理プログラム、情報処理方法及び情報処理装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020077339A JP2020077339A (ja) | 2020-05-21 |
| JP7131314B2 true JP7131314B2 (ja) | 2022-09-06 |
Family
ID=70550513
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018211642A Active JP7131314B2 (ja) | 2018-11-09 | 2018-11-09 | 情報管理プログラム、情報管理方法、情報管理装置、情報処理プログラム、情報処理方法及び情報処理装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US11429744B2 (ja) |
| JP (1) | JP7131314B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11329990B2 (en) * | 2019-05-17 | 2022-05-10 | Imprivata, Inc. | Delayed and provisional user authentication for medical devices |
| US20220035941A1 (en) * | 2020-07-31 | 2022-02-03 | Mx Technologies, Inc. | Data protection query interface |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002312220A (ja) | 2001-01-18 | 2002-10-25 | Hitachi Ltd | ユーザ定義機能を使用したセルレベルのデータアクセス制御 |
| JP2005182707A (ja) | 2003-12-24 | 2005-07-07 | Internatl Business Mach Corp <Ibm> | アクセス制御システム、アクセス制御装置、アクセス制御方法、プログラム、及び記録媒体 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5748905A (en) * | 1996-08-30 | 1998-05-05 | Fujitsu Network Communications, Inc. | Frame classification using classification keys |
| US20030014394A1 (en) | 2001-03-22 | 2003-01-16 | Shinji Fujiwara | Cell-level data access control using user-defined functions |
| JP2003044520A (ja) * | 2001-07-27 | 2003-02-14 | Fujitsu Ltd | 設計資産情報検索システム |
| US8825639B2 (en) * | 2004-06-30 | 2014-09-02 | Google Inc. | Endorsing search results |
| US20060287766A1 (en) * | 2005-06-20 | 2006-12-21 | Kraft Harold H | Privacy Information Reporting Systems with Enhanced Utility |
| JP2008134936A (ja) | 2006-11-29 | 2008-06-12 | Hitachi Ltd | データベース管理方法、データベース管理装置、及びデータベース管理プログラム |
| CA2672938A1 (en) * | 2006-12-18 | 2008-06-26 | Razz Serbanescu | System and method for electronic commerce and other uses |
| JP5257172B2 (ja) * | 2009-03-16 | 2013-08-07 | 富士通株式会社 | 検索方法、検索プログラム及び検索装置 |
| JP5533291B2 (ja) | 2010-06-07 | 2014-06-25 | 日本電気株式会社 | プライバシー保護装置、プライバシー保護方法およびプログラム |
| JP5422639B2 (ja) | 2011-12-27 | 2014-02-19 | 日本電信電話株式会社 | データ蓄積システムとそのデータアクセス制御方法 |
| EP2948890A4 (en) * | 2013-02-19 | 2016-04-06 | Huawei Tech Co Ltd | SYSTEM AND METHOD FOR SEARCHING DATABASES |
| JP2015176310A (ja) | 2014-03-14 | 2015-10-05 | 株式会社日立国際電気 | 商品販売支援システム |
| US11283832B2 (en) * | 2018-10-31 | 2022-03-22 | SpyCloud, Inc. | Detecting use of compromised security credentials in private enterprise networks |
| WO2020092776A1 (en) * | 2018-11-01 | 2020-05-07 | Rewardstyle, Inc. | System and method for improved searching across multiple databases |
-
2018
- 2018-11-09 JP JP2018211642A patent/JP7131314B2/ja active Active
-
2019
- 2019-11-01 US US16/671,885 patent/US11429744B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002312220A (ja) | 2001-01-18 | 2002-10-25 | Hitachi Ltd | ユーザ定義機能を使用したセルレベルのデータアクセス制御 |
| JP2005182707A (ja) | 2003-12-24 | 2005-07-07 | Internatl Business Mach Corp <Ibm> | アクセス制御システム、アクセス制御装置、アクセス制御方法、プログラム、及び記録媒体 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11429744B2 (en) | 2022-08-30 |
| US20200151357A1 (en) | 2020-05-14 |
| JP2020077339A (ja) | 2020-05-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10404757B1 (en) | Privacy enforcement in the storage and access of data in computer systems | |
| US11568079B2 (en) | Secure data point matching in a multiple tenant database system | |
| CN109885554A (zh) | 数据库安全审计方法、***及计算机可读存储介质 | |
| US20140012833A1 (en) | Protection of data privacy in an enterprise system | |
| US20120023132A1 (en) | Method for monitoring stored procedures | |
| US20220100899A1 (en) | Protecting sensitive data in documents | |
| Agrawal et al. | Enabling the 21st century health care information technology revolution | |
| US20160098572A1 (en) | Providing Integrated Role-based Access Control | |
| US10262159B2 (en) | Privileged user access monitoring in a computing environment | |
| US11269741B2 (en) | Change-protected database system | |
| US20110225118A1 (en) | System, method and computer program product for conditionally sharing an object with one or more entities | |
| US10657273B2 (en) | Systems and methods for automatic and customizable data minimization of electronic data stores | |
| EP3707635B1 (en) | Online determination of result set sensitivity | |
| JP7131314B2 (ja) | 情報管理プログラム、情報管理方法、情報管理装置、情報処理プログラム、情報処理方法及び情報処理装置 | |
| US9396085B2 (en) | Data access logging | |
| US11334539B2 (en) | Change-protected database system | |
| US9202069B2 (en) | Role based search | |
| KR101200907B1 (ko) | Query에 대한 데이터베이스 응답값 분석 및 이상 징후 탐지를 이용한 개인정보 유출 방지 시스템 및 유출 방지 방법 | |
| US20210357410A1 (en) | Method for managing data of digital documents | |
| US20210256089A1 (en) | Identifying and monitoring relevant enterprise data stored in software development repositories | |
| Chen et al. | A Privacy‐Preserved Analytical Method for eHealth Database with Minimized Information Loss | |
| JP2007299093A (ja) | 文書管理システム | |
| Dia et al. | Risk aware query replacement approach for secure databases performance management | |
| JP7265199B2 (ja) | 支援装置、支援方法、プログラム、及び支援システム | |
| WO2023163960A1 (en) | Systems and methods of facilitating controlling access to data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210810 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220527 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220607 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220714 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220726 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220808 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7131314 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |