WO2007138716A1 - 暗号化通信方法及び暗号化通信システム - Google Patents

Abstract

本発明は、データセンターに配置された、電子的データを保存する暗号化されたデータベースとデータベースの復号化キーを暗号化して保存し上記データベースへのアクセスを管理するデータ管理装置と、ユーザのもとに配置された、インターネット回線を通じて上記データ管理装置と通信可能なユーザ装置と、認証センターに配置された、上記データベースの復号化キーの復号化キーを保存し上記ユーザの上記データベースへのアクセス権を管理する、上記ユーザ装置および上記データ管理装置とインターネット回線を通じて通信可能な認証装置とを含み、上記ユーザが上記データセンターのデータを利用するためには、上記認証センターからの有効なアクセス許可証および上記データベースの復号化キーの復号化キーを必要とする情報管理システムを提供する。

Description

明細書 暗号化通信方法及び暗号化通信システム 技術分野

本発明は、 暗号化通信方法及び暗号化通信システムに関し、 特に、 ィ ン夕ーネットにおいて秘密情報を送受信する際に好適に用いられる暗号 化通信方法、 暗号化通信システム、 およびこれらを利用した情報管理シ ステムに関する。 背景技術

今日、 ィン夕一ネットの進歩に伴い種々の情報がィン夕ーネット回線 を通じて送受信されている。 このようにインターネットを介して送受信 される情報には、 秘密情報も多く含まれる。 このような秘密情報として は、 例えば、 患者と病院又は診断会社との間で送受信される疾病に関す る情報、 ユーザと銀行等の金融機関で送受信される自己の口座に関する 情報、 ユーザとクレジット会社との間で送受信されるカード使用情報、 カード使用残高情報、 ユーザと信用調査会社との間で送受信される各種 信用情報などが挙げられる。

上記のような情報の秘密を守るために、 種々の暗号化方法が開発され ている。 暗号とは、 情報の意味が当事者以外には理解できないように情 報を交換することである。 暗号において、 誰でも理解できる元の文 ·情 報 （以下、 「平文」 という） を第三者には意味がわからない文 （暗号文） に変換することが暗号化である。 また、 暗号文を平文に戻すことが復号 化であり、 この暗号化と復号との方式をまとめて暗号方式と呼ぶ。 喑号 化工程及び復号工程には、 それぞれ暗号化キー及び復号化キーと呼ばれ る秘密の情報が用いられる。復号時には秘密の復号化キーが必要なので、 この複号化キーを知っている者のみが暗号文を復号化でき、 必要な機密 情報を入手することができる。 また、 ネットワーク上での通信において秘密情報を暗号化する方法と しては、 従来から、 共通鍵暗号方式と公開鍵暗号方式が知られている。 共通鍵暗号方式は、 暗号鍵と復号鍵が同じ方式であり、 例えば、 米国商 務省標準局が採用した D E S (Data Encryption Standards)等が例示さ れる。

一方、 公開鍵暗号方式では、 暗号鍵と復号鍵が異なる。 この公開鍵喑 号方式は、 暗号を利用する各ユーザが暗号化キーと複号化キーとを一対 ずつ作成し、 暗号化キーを公開鍵リストにて公開し、 復号化キーのみを 秘密に保持するという暗号方式である。 公開鍵暗号方式では、 この一対 となる暗号化キーと復号化キ一とが異なり、 一方向性関数を利用するこ とによって暗号化キーから復号化キ一を割り出せないという特徴を持た せている。 公開鍵暗号方式は、 多くのユーザが秘密情報を利用する高度 情報化社会において極めて都合のよい暗号方式である。 そして、 典型的 な公開鍵暗号方式として、 素因数分解の困難さを利用した R S A暗号方 式が提案された。

従来法のィン夕ーネットによる暗号化通信方法においては、 上記のよ うな共通鍵暗号方式あるいは公開鍵暗号方式が利用され、 秘密情報は暗 号化して送信される。 しかしながら、 従来法の暗号化通信方法において は、 基本的には、 暗号化キー及び復号化キー （共通鍵暗号方式では同一 のキ一） と、 暗号化情報とが情報提供者と情報利用者との 2者において 交換されるためハッキングに極めて弱いという欠点がある。

また、 最近、 2者間の通信に認証機関を介在させることによって安全 性を改善した K e r b e r 0 s という暗号化通信方法も開発されている (KE RB ERO S—ネットワーク認証システム （最新ネッ トワーク技 術ハンドブック）、 Brian Tung (原著）、 桑村潤（翻訳）、 ピアソンェデュ ケ一ション発行（1999年 12月））。 しかしながら、 Ke r b e r o s法に よっても、 未だ、 認証手段、 暗号化キーの管理などにおいて十分ではな い。

- ゆえに、 さらに安全性が向上した暗号化通信方法及び暗号化通信シス テムの提案が望まれていた 発明の開示

このような状況を鑑み、 本発明は、 以下の情報管理システムを提供す る。

( 1 ) データセンタ一に配置された、 電子的データを保存する暗号化 ざれたデ一夕ベースと前記データべ一スの復号化キーを暗号化して保存 し前記デ一夕べ一スへのアクセスを管理するデータ管理装置と、

ユーザのもとに配置された、 ィン夕ーネット回線を通じて前記データ 管理装置と通信可能なユーザ装置と、

認証セン夕一に配置された、 前記データベースの復号化キーの復号化 キーを保存し前記ユーザの前記デ一夕ベースへのアクセス権を管理する、 前記ユーザ装置および前記デ一夕管理装置とィンターネッ卜回線を通じ て通信可能な認証装置と、

を含み、 前記ユーザが前記データセン夕一のデータを利用するために は、 前記認証セン夕一からの有効なアクセス許可証および前記データべ 一スの復号化キーの復号化キーを必要とする情報管理システムであって、 前記ユーザ装置は、

( i ) 前記ュ一ザの入力に従って、 前記認証装置へ前記データベース の前記デ一夕へのアクセス権の確認要求を送信し、 前記認証装置から前 記データへのアクセス許可証を受信すると、 前記アクセス許可証ととも にデ一夕送信リクエストを前記データ管理装置へ送信し、 （ i i )前記デ 一夕管理装置から前記リクエス卜したデータを受信し、

前記データ管理装置は、

( i ) 前記ュ一ザ装置からのデータ送信リクエストを受信すると、 前 記アクセス許可証の有無を確認し、前記アクセス許可証がある場合には、 前記認証装置へ前記'アクセス許可証の有効性の確認要求を送信し、 （ i i ) 前記認証装置から前記データベースの複号化キーの複号化キ一を受 信した場合には、 前記データベースの復号化キーを復号化して用いて前 記データべ一スを復号化し、 前記リクエストされたデータを抽出して前 記ユーザ装置へ送信し、

記認証装置は、

( i ) 前記ユーザ装置から前記デ一夕ベースのデータへのアクセス権 の認証要求を受信した場合には、 前記アクセス権の有無を判断して、 ァ クセス権がある場合には、 前記ユーザ装置へ前記データへのアクセス許 可 '証を送信し、 （ i i )前記データ管理装置から前記アクセス許可証の有 効性の確認要求を受信した場合には、 前記アクセス許可証の有効性を判 断して、 前記アクセス許可証が有効な場合には、 前記データベースの復 号化キーの復号化キーを前記データ管理装置へ送信する、

情報管理システム。 .

( 2 ) 上記 （ 1 ) に記載の情報管理システムであって、

前記ユーザ装置は、

( i ) 前記ユーザの入力に従って、 前記認証装置へ前記デ一夕べ一ス のデ一夕へのアクセス権の確認要求を送信し、 前記認証装置から前記デ —夕へのアクセス許可証および前記データの復号化キーを受信すると、 前記アクセス許可証とともにデータ送信リクエストを前記デ一夕管理装 置へ送信し、 （ i i )前記デ一夕管理装置から暗号化された前記リクエス 卜したデータを受信すると、 前記デ一夕の複号化キーを用いて前記デー 夕を復号化し、

前記データ管理装置は、

( i ) 前記ユーザ装置からのデータ送信リクエストを受信すると、 前 記アクセス許可証の有無を確認し、前記アクセス許可証がある場合には、 前記認証装置へ前記アクセス許可証の有効性の確認要求を送信し、 （ i i ) 前記認証装置から前記デ一夕ベースの復号化キーの復号化キーおよ び前記データの暗号化キーを受信した場合には、 前記データベースの復 号化キーを復号化して用いて前記データべ一スを復号化し、 前記リクェ ストされたデータを抽出し、 前記暗号化キ一により暗号化してから前記 ' ユーザ装置へ送信し、 ' 目 U 己認証装置は、

( i ) 前記ュ一ザ装置から前記データベースのデータへのアクセス権 の認証要求を受信した場合には、 前記アクセス権の有無を判断して、 ァ クセス権がある場合には、 前記ユーザ装置へ前記データへのアクセス許 可証および前記データの復号化キーを送信し、 （ i i ) 前記データ管理装 置から前記アクセス許可証の有効性の確認要求を受信した場合には、 前 記—アクセス許可証の有効性を判断して、 前記アクセス許可証が有効な場 合には、 前記データベースの復号化キーの復号化キーおよび前記デ一夕 の暗号化キーを前記データ管理装置へ送信する、 情報管理システム。

( 3 ) 上記 （ 1 ) または （2 ) に記載の情報管理システムであって、 前記ユーザ装置はさらに、

( i ) 前記認証装置から前記データへのアクセス認証不可の旨を受信 すると、 アクセス認証不可の旨を前記ユーザ装置の出力装置により出力 し、 （ i i )前記データ管理装置から前記データへのアクセス不可の旨を 受信すると、 アクセス不可の旨を前記ユーザ装置の前記出力装置により 出力し、

前記データ管理装置はさらに、

( i ) 前記ユーザ装置からのデータ送信リクエストを受信すると、 前 記アクセス許可証の有無を確認し、前記アクセス許可証がない場合には、 前記ユーザ装置へアクセス不可の旨を送信し、 （ i i ) 前記認証装置から 前記アクセス許可証が有効でない旨を受信した場合には、 前記ユーザ装 置へアクセス不可の旨を送信し、

前記認証装置はさらに、

( i ) 前記ユーザ装置から前記デ一夕ベースへのアクセス権の認証要 求を受信した場合には、 前記アクセス権の有無を判断して、 アクセス権 が無い場合には、 前記ユーザ装置へアクセス認証不可の旨を送信し、 （ i 1 ) 前記データ管理装置から前記アクセス許可証の有効性の確認要求を 受信した場合には、 前記アクセス許可証の有効性を判断して、 前記ァク - セス許可証が有効でない場合には、 前記アクセス許可証が有効でない旨 を前記データ管理装置へ送信する、

情報管理システム。

(4) 前記データべ一スおよび前記ユーザがそれぞれ複数存在し、 各 データベースが前記ユーザ毎に個別に割り当てられており、

前記データ管理装置は、 各データベースを個別に暗号化して管理し、 前記認証装置は、 各ユーザのデータへのアクセス権を各ユーザに割り 当-てられたデータベースに対応させて管理する、 上記 （ 1 ) 〜 （ 3) の いずれか） に記載の情報管理システム。

( 5 ) 前記アクセス許可証の有効性が、 前記アクセス許可証の発行時 からの経過時間によって決定される、 上記 （ 1 ) 〜 （4) のいずれかに 記載の情報管理システム。

( 6 ) 前記データベースの前記復号化キーが、 前記データベースの作 成時にランダムに発生し、 前記データ管理装置内に暗号化されて保存さ れ、 前記データベースの前記複号化キーの復号化キーが、 前記認証装置 内に保存される、 上記 （ 1 ) 〜 （ 5 ) のいずれかに記載の情報管理シス アム。

( 7 ) 前記認証装置が送信する前記アクセス許可証、 および前記デー 夕ベースの復号化キーの復号化キーが、 1回限定使用のものである、 上 記 （ 1 ) 〜 （6 ) のいずれかに記載のシステム。

(8 ) 前記認証装置が送信する前記データの暗号化キ一、 および前記 データの復号化キーが、 1回限定使用のものである、 上記 （2) 〜 （7) のいずれかに記載のシステム。

(9 ) 前記ュ一ザ装置が、 前記デ一夕のコピー、 プリントアウト、 お よびハードコピ一から選択される 1以上の事象の記録を保存する、 上記 ( 1 ) 〜 （ 8) のいずれかに記載の情報管理システム。

( 1 0) 前記データ管理装置が、 前記データへのアクセスに関する事 象の記録を保存する、 上記 （ 1 ) 〜 （9 ) のいずれかに記載の情報管理 システム。

- ( 1 1 )前記認証装置が、前記認証に関連する事象の記録を保存する、 上記 （ 1 ) 〜 （ 1 0 ) のいずれかに記載のシステム。

本発明の情報管理システムによれば、 デ一夕センタ一におけるデータ ベースは暗号化されており、 そのデータベースの復号化に用いられる個 別キ一も暗号化され、 その復号化キーは認証センターによって管理され る。 また、 好まじい態様では、 データセンターから情報利用者 （ユーザ） に送信される情報の暗号化および復号化に用いられる暗号化キーと復号 化キ一は、 認証セン夕一によって情報利用者とデータセンターに対して それぞれ発行される。このため、本発明の情報管理システムにおいては、 データセン夕一、認証セン夕一及びユーザのいずれをハッキングしても、 暗号化情報の秘密を守ることが可能となり、 極めて安全性が改善された 暗号化通信方法を提供することができる。

さらに、 本発明の好ましい形態においては、 アクセス許可証、 暗号化 キー及び複号化キー等をそれぞれ暗号化して送受信することによって、 さらにセキュリティを改善することができる。

また、 好ましい態様では、 ユーザ装置におけるデータのコピー、 プリ ントアウト、 およびハードコピー （ディスプレー上に表示されている画 面をそのままコピーまたは印刷） から選択される 1つ、 2つまたは 3つ の事象の記録が、ログとして保存されるような仕組みになっているため、 ユーザによるデータの不正使用を予防することができるという利点があ る。

なお、 上記本発明の暗号化通信方法は、 多重の構成でありながら、 ュ —ザには極めてシンプルに利用できるというメリッ トもある。 本発明はさらに別の実施形態において、 以下の情報管理システムを提 供する。

( 1 2 ) データセンターに配置された、 電子的データを保存する暗号 化されたデータベースと前記データベースの復号化キ一を暗号化して保 存し前記データベースへのアクセスを管理するデーダ管理装置と、 ユーザのもとに配置された、 前記データベースの復号化キ一の第 1の 復号化キ一を保存する、 ィン夕一ネット回線を通じて前記データ管理装 置と通信可能なユーザ装置と、

認証セン夕一に配置された、 前記データベースの復号化キーの第 2の 復号化キーを保存し前記ユーザの前記データベースへのアクセス権を管 理する、 前記ユーザ装置および前記データ管理装置とインターネット回 線を通じて通信可能な認証装置と、

—を含み、 前記ユーザが前記デ一夕センターのデ一夕を利用するために は、 前記ユーザが保存する前記第 1の復号化キ一および前記認証セン夕 —が保存する前記第 2の復号化キ一、 ならびに前記認証セン夕一からの 有効なアクセス許可証を必要とする情報管理システムであって、 前記ユーザ装置は、

( i ) 前記ユーザの入力に従って、 前記認証装置へ前記データべ一ス の前記データへのアクセス権の確認要求を送信し、 前記認証装置から前 記データへのアクセス許可証を受信すると、 前記アクセス許可証および 前記第 1の復号化キーとともにデータ送信リクエストを前記データ管理 ' 装置へ送信し、 （ i i )前記データ管理装置から前記リクエストしたデー 夕を受信し、

' 前記データ管理装置は、

( i ) 前記ユーザ装置からのデータ送信リクエストを受信すると、 前 記アクセス許可証の有無および前記第 1の復号化キーの有無を確認し、 前記アクセス許可証および前記第 1の復号化キーがある場合には、 前記 認証装置へ前記アクセス許可証の有効性の確認要求を送信し、 （ i i )前 記認証装置から前記データベースの復号化キーの第 2の復号化キーを.受 信した場合には、 前記第 1の復号化キーおよび前己第 2の復号化キ一を 用いて前記データベースの復号化キーを復号化し、 前記復号化した前記 データベースの復号化キーを用いて前記データベースを復号化し、 前記 リクエス卜されたデーダを抽出して前記ユーザ装置へ送信し、

目 記認証装置は、

- ( i ) 前記ユーザ装置から前記データベースのデータへのアクセス権 の認証要求を受信した場合には、 前記アクセス権の有無を判断して、 ァ クセス権がある場合には、 前記ユーザ装置へ前記デ一夕へのアクセス許 可証を送信し、 （ i i ) 前記データ管理装置から前記アクセス許可証の有 効性の確認要求を受信した場合には、 前記アクセス許可証の有効性を判 断して、 前記アクセス許可証が有効な場合には、 前記データべ一スの復 号化キーの前記第 2の複号化キーを前記デ一夕管理装置へ送信する、 情報管理システム。

( 1 3 ) 上記 （ 1 2 ) に記載の情報管理システムであって、 前記ユーザ装置は、

( i ) 前記ユーザの入力に従って、 前記認証装置へ前記データベース のデ一夕へのアクセス権の確認要求を送信し、 前記認証装置から前記デ 一夕へのアクセス許可証および前記デ一夕の復号化キ一を受信すると、 前記アクセス許可証および前記第 1の復号化キーとともにデータ送信リ クエストを前記データ管理装置へ送信し、 （ i i )前記データ管理装置か ら暗号化された前記リクエストしたデータを受信すると、 前記データの 前記復号化キーを用いて前記データを復号化し、

前記データ管理装置は、

( i ) 前記ュ一ザ装置からのデータ送信リクエストを受信すると、 前 記アクセス許可証の有無および前記第 1の復号化キーの有無を確認し、 前記アクセス許可証および前記第 1の復号化キーがある場合には、 前記 認証装置へ前記アクセス許可証の有効性の確認要求を送信し、 （ i i )前 記認証装置から前記データベースの復号化キーの第 2の復号化キーおよ び前記データの暗号化キーを受信した場合には、 前記第 1の復号化キー および前記第 2の複号化キーを用いて前記データベースの復号化キ一を 復号化し、 前記復号化した前記データベースの復号化キーを用いて前記 データベースを復号化し、 前記リクエストされたデータを抽出し、 前記 デ一夕の前記暗号化キーを用いて前記データを暗号化してから前記ュ一 ザ装置へ送信し、 '

• ftu記認証装置は、 · ( i ) 前記ユーザ装置から前記データベースのデ一夕への.アクセス権 の認証要求を受信した場合には、 前記アクセス権の有無を判断して、 ァ クセス権がある場合には、 前記ユーザ装置へ前記デ一夕へのアクセス許 可証および前記データの復号化キーを送信し、 （ i i )前記データ管理装 置から前記アクセス許可証の有効性の確認要求を受信した場合には、 前 記アクセス許可証の有効性を判断して、 前記アクセス許可証が有効な場 合には、 前記データベースの復号化キーの前記第 2の復号化キーおよび 前記データの暗号化キーを前記デ一夕管理装置へ送信する、 情報管理シ ステム。

( 1 4 ) 上記 （ 1 2 ) または （ 1 3 ) に記載の情報管理システムであ つて、

前記ユーザ装置はさらに、

( i ) 前記認証装置から前記データへのアクセス認証不可の旨を受信 すると、 アクセス認証不可の旨を前記ユーザ装置の出力装置により出力 し、 （ i i ) 前記データ管理装置から前記データへのアクセス不可の旨を 受信すると、 アクセス不可の旨を前記ユーザ装置の前記出力装置により 出力し、

前記データ管理装置はさらに、

( i ) 前記ユーザ装置からのデータ送信リクエストを受信すると、 前 記アクセス許可証の有無および前記第 1の復号化キーの有無を確認し、 前記アクセス許可証または前記第 1の復号化キーがない場合には、 前記 ユーザ装置へアクセス不可の旨を送信し、 （ i i )前記認証装置から前記 アクセス許可証が有効でない旨を受信した場合には、 前記ユーザ装置へ アクセス不可の旨を送信し、

前記認証装置はさらに、

( i ) 前記ユーザ装置から前記デ一夕ベースへのアクセス権の認証要 求を受信した場合には、 前記アクセス権の有無を判断して、 アクセス権 が無い場合には、前記ユーザ装置にアクセス認証不可の旨を送信し、 （ i - i ) 前記データ管理装置から前記アクセス許可証の有効性の確認要求を 受信した場合には、 前記アクセス許可証の有効性を判断して、 前記ァク セス許可証が有効でない場合には、 前記アクセス許可証が有効でない旨 を前記データ管理装置へ送信する、

情報管理システム。

( 1 5) 前記データベースおよび前記ユーザがそれぞれ複数存在し、 各データベースが前記ュ一ザ毎に個別に割り当てられており、

前記データ管理装置は、 各データベースを個別に暗号化して管理し、 前記認証装置は、 各ユーザのデータへのアクセス権を各ユーザに割り 当てられたデータベースに対応させて管理する、 上記 （ 1 2) 〜 （ 1 4) のいずれかに記載の情報管理システム。

( 1 6 ) 前記アクセス許可証の有効性が、 前記アクセス許可証の発行 時からの経過時間によって決定される、 上記 （ 1 2) 〜 （ 1 5) のいず れかに記載の情報管理システム。

( 1 7 ) 前記データベースの前記復号化キーが、 前記データベースの 作成時にランダムに発生し、 前記データ管理装置内に暗号化されて保存 され、 前記データベースの前記復号化キーの前記第 1の復号化キーが前 記ユーザ装置内に保存され、 前記第 2の復号化キーが前記認証装置内に 保存される、 上記 （ 1 2 ) 〜 （ 1 6) のいずれかに記載の情報管理シス テム。

( 1 8 ) 前記認証装置が送信する前記アクセス許可証、 および前記デ

• —夕ベースの復号化キーの複号化キーが、 1回限定使用のものである、 上記 （ 1 2) 〜 （ 1 7) のいずれかに記載のシステム。

( 1 9 ) 前記認証装置が送信する前記データの暗号化キー、 および前 記データの復号化キーが、 1回限定使用のものである、 上記 （ 1 3 ) 〜 ( 1 8 ) のいずれかに記載のシステム。

(2 0 ) 前記ユーザ装置が、 前記デ一夕のコピー、 プリントアウト、 およびハードコピーから選択される 1以上の事象の記録を保存する、 上 記 （ 1 2 ) 〜 （ 1 9) のいずれかに記載の情報管理システム。

- (2 1 ) 前記データ管理装置が、 前記デ一夕へのアクセスに関する事 象の記録を保存する、 上記 （ 1 2 ) 〜 （ 2 0 ) のいずれかに記載の情報 管理システム。

( 2 2 )前記認証装置が、前記認証に関連する事象の記録を保存する、 上記 （ 1 2 ) 〜 （2 1 ) のいずれかに記載のシステム。

本発明の上記 （ 1 2 ) 〜 （2 2 ) に記載される情報管理システムにお いては、 デ一夕センタ一のデータべ一スが喑号化されており、 そのデー ダベースの復号化キーがさらに暗号化され、 そのデ一夕ベースの複号化 キーの複号化キーが、 認証センタ一およびユーザのもとにそれぞれ保存 される。 したがって、 デ一夕センターのデータベースの所望のデータに アクセスするためには、 ユーザが保有するデータべ一ス復号化キ一の第 1の復号化キーと、 認証セン夕一が保有するデ一夕べ一ス復号化キーの 第 2の複号化キーとの両方を用いなければならないため、 よりセキュリ ティの向上した情報管理システムが提供される。

また、 好ましい態様では、 ユーザ装置におけるデータのコピー、 プリ ントアウト、 およびハードコピーから選択される 1つ、 2つまたは 3つ の事象の記録が、ログとして保存されるような仕組みになっているため、 ユーザによるデ一夕の不正使用を予防することができるという利点があ る。 図面の簡単な説明

図 1は、 本発明の情報管理システムの概略構成を示すブロック図であ る。

図 2は、 本発明の情報管理システムにおけるユーザグループ 1 に配置 されるユーザ装置 1 1の代表的構成を示すブロック図である。

図 3は、 本発明の情報管理システムにおける認証セン夕一 3に配置さ れる認証装置 3 1の代表的構成を示すブロック図である。

図 4は、 本発明の情報管理システムにおけるデ一夕セン夕一 2に配置 されるデータ管理装置 2 1およびデータべ一ス 2 2の代表的構成を示す ' ブロック図である。 ' 図 5は、 本発明の情報管理システムの第 1の実施形態におけるユーザ 装置 1 1の C PU 1 1 5が行う代表的な処理動作を示すフロー図である。 図 6 Aは、 本発明の情報管理システムの第 1の実施形態における認証 装置 3 1の C PU 3 1 5が行う 1つの代表的な処理動作を示すフロー図 である。

図 6 Bは、 本発明の情報管理システムの第 1の実施形態における認証 装置 3 1の C PU 3 1 5が行う別の代表的な処理動作を示すフロー図で ある。

図 7は、 本発明の情報管理システムの第 1の実施形態におけるデータ 管理装置 2 1の C PU 2 1 5が行う代表的な処理動作を示すフロー図で ある。

図 8は、 本発明の情報管理システムの第 2の実施形態におけるユーザ 装置 1 1の C PU 1 1 5が行う代表的な処理動作を示すフロー図である。 図 9 Aは、 本発明の情報管理システムの第 2の実施形態における認証 装置 3 1の C PU 3 1 5が行う 1つの代表的な処理動作を示すフロ一図 である。

図 9 Bは、 本発明の情報管理システムの第 2の実施形態における認証 装置 3 1の C PU 3 1 5が行う第 2の代表的な処理動作を示すフロー図 である。

図 1 0は、 本発明の情報管理システムの第 2の実施形態におけるデ一 夕管理装置 2 1の C PU 2 1 5が行う代表的な処理動作を示すフロー図 である。 発明を実施するための最良の形態

以下、 本発明の実施の形態を、 図面を参照しながら説明する。

(実施の形態 1)

本発明は、 第 1の実施形態において、 データセンターに配置された、 電子的デ一夕を保存する暗号化されたデータベースと該データベースの - 復号化キ一を暗号化して保存し上記データベースへのアクセスを管理す るデータ管理装置と、 ユーザのもとに配置された、 インターネット回線 を通じて上記デ一夕管理装置と通信可能なユーザ装置と、 認証センター に配置された、 データベースの復号化キーの復号化キ一を保存しユーザ の上記データベースへのアクセス権を管理する、 上記ユーザ装置および 上記デ一夕管理装置とィン夕ーネット回線を通じて通信可能な認証装置 とを含む情報管理システムを提供する。 この情報管理システムにおいて ば、 ュ一ザがデータセン夕一のデータを利用するためには、 認証センタ 一からの有効なアクセス許可証およびデ 夕ベースの復号化キーの復号 化キーを必要とする。

図 1は、 本発明の第 1の実施形態にかかる、 情報管理システムの概略 構成をブロック図である。 図に示されるように、 本発明の情報管理シス テムは、 代表的には、 ユーザ装置 （ 1 1 , 1 2 , 1 3 ) から構成される ユーザグループ 1、 データベース 2 2およびそれを管理するデ一夕管理 装置 2 1を備えるデータセン夕一 2、 ならびに認証装置 3 1を備える認 証センタ一 3を含んでいる。

本発明の情報管理システムにおいては、 ユーザは 1人でもよいが、 通 常は.、 複数のュ一ザが存在する。 図 1では、 ュ一ザグループには、 3人 のユーザ （または 3つのユーザ装置 （ 1 1 , 1 2 , 1 3 ) ) が含まれる例 が示されているが、ユーザの数はこれに限定されない。各ユーザ装置は、 インターネット回線 4を介して、 データセンタ一 2の管理装置 2 1およ び認証センター 3の認証装置 3 1と通信可能に接続されている。

データセンター 2は、 データベース 2 2および該デ一夕ベースへのァ クセス等を管理するデータ管理装置 2 1を備えている。

認証センター 3は、 ユーザのデータベース 2 2へのアクセス権に関す る情報等を管理する認証装置 3 1を備え、 認証装置 3 1は、 ユーザ装置 ( 1 1， 1 2 , 1 3 ) およびデータ管理装置 2 1とインターネット回線 により通信可能に接続されている。

図 2は、 本発明の第 1の実施形態にかかる情報管理システムにおける • ユーザ装置 1 1の代表的構成を示すブロッ 'ク図である。 ユーザ装置 1 1 は、 入力装置 1 1 1、 メモリ 1 1 2、 出力装置 1 1 3、通信装置 1 1 4、 および中央演算処理装置（C P U ) 1 1 5を備える。ユーザ装置 1 1は、 通常、 通信装置を備えたパーソナルコンピュータ、 P D A、 携帯電話、 P H Sなど （好ましくは、 パーソナルコンピュータ） で構成される。 入力装置 1 1 1は、 ユーザが指示を入力するための装置である。 指示 としては、 例えば、 認証装置 3 1への上記データセンター 2のデータへ の'アクセス権の認証要求の送信、 データ管理装置 2 1へのデータ送信要 求の送信、 出力装置 1 1 3への出力指示 （例えば、 プリントアウト、 デ イスプレイへの表示） 等が挙げられる。 入力装置 1 1 1は、 通常、 キ一 ボード、 マウス、 夕ツチパッドなどの入力手段から構成される。

メモリ 1 1 2は、 R A Mまたは R O Mなどの記憶装置で構成され、 C P U 1 1 5が行う処理のためのプログラム、 データベースから取得した データ、または暗号化されたデータの復号化キーなどを保存する。また、 好ましい実施形態では、 メモリ 1 1 2には、 ユーザがデータをコピー、 プリントアウト、 またはハードコピーをすると口グが残るようにするた めのプログラムが格納されている。

出力装置 1 1 3は、 ディスプレイ、 プリンタなどで構成されており、 入力装置に入力された指示または予めプログラムされた処理手順に従つ て、 処理状況や処理結果など出力 （例えば、 表示、 印刷） する。

通信装置 1 1 4は、 ユーザ装置 1 1が、 インタ一ネッ ト回線 4との接 続を確立するためのィン夕ーフェースであり、 ュ一ザの P Cに内蔵され たモデム、 P Cカード、ケーブルモデム、 I S D Nターミナルアダプタ、 A D S Lモデム、 L A Nポートなどから構成される。

C P U 1 1 5は、 制御装置 （不図示） および演算装置 （不図示） から 構成され、 ュ一ザ装置 1 1の各部の動作をプログラムに基づいて、 また は入力装置 1 1 1から入力されたユーザの指示に基づいて制御する。 図 3は、 本発明の第 1の実施形態にかかる情報管理システムにおける 認証装置 3 1の代表的構成を示すブロック図である。 認証装置 3 1は、 • 入力装置 3 1 1、 メモリ 3 1 2、 出力装置' 3 1 3、 通信装置 3 1 4、 お よび C PU 3 1 5を備える。

入力装置 3 1 1は、 通常、 キーボード、 マウス、 夕ツチパッドなどの 入力手段から構成され、 これを用いて操作者が指示 （例えば、 出力装置 3 1 3への出力 （例えば、 プリントアウト、 ディスプレイにおける表示） など） を入力する。

メモリ 3 1 2は、 RAMまたは R OMなどの記憶装置で構成され、 C P"U 3 1 5が行う処理のためのプログラム、 デ一夕センターのデータべ —スに保存されているデータへのアクセス権認証のために必要な情報 (例えば、 データの識別情報およびクライアントまたはユーザ識別情報 等）、 または暗号化されたデータの復号化キーなどを保存する。 なお、 好 ましい実施形態では、 メモリ 3 1 2には、 認証装置 3 1が認証した認証 情報をログとして残すためのプログラムが格納されている。

出力装置 3 1 3は、 ディスプレイ、 プリン夕などで構成され、 入力装 置に入力された指示または予めプログラムされた処理手順に従って、 処 理状況や処理結果など出力 （例えば、 表示、 印刷） する。

通信装置 3 1 4は、 認証装置 3 1が、 イン夕一ネッ ト回線 4との接続 を確立するためのイン夕一フェースであり、 例えば、 I SDNタ一ミナ ルアダプタ、 ケーブルモデム、 AD S Lモデム、 P Cカード、 LANポ 一卜などから構成される。

C P U 3 1 5は、認証装置 3 1の各部の動作をプログラムに基づいて、 または入力装置から入力された指示に基づいて制御する。

図 4は、 本発明の第 1の実施形態にかかる情報管理システムにおける データセン夕一 2に配置されるデータ管理装置 2 1およびデ一夕べ一ス 2 2の代表的構成を示すブロック図である。

デ一夕管理装置 2 1は、 入力装置 2 1 1、 メモリ 2 1 2、 出力装置 2 1 3、 通信装置 2 1 4、 および C P U 2 1 5を備える。

デ—夕ベース ₂ 2は、 大容量の記憶装置などで構成される 1つ以上の データベース （図の例では、 D B 1〜D B 5 ( 2 2 1〜2 2 5)) を備え - る。 データベース 2 2には、 代表的には、 'クライアント毎に区別された データベース （D B 1〜DB 5 (2 2 1〜2 2 5)) が備えられている。 データべ一ス 2 2に保存するデータおよびクライァントの種類としては、 特に限定されないが、 例えば、 次のような組み合わせが例示される。

( I ) 遺伝子デ一夕バンクノ遺伝子情報等

(2) 病院 Z患者のカルテ情報等

(3) 信用調査会社 Z信用情報等

(4) 金融機関 Z口座情報等

( 5) クレジット会社/カード使用情報等 _

(6) ソフトウェア開発会社/ソースコード等

(7) 顧客管理システム/顧客属性、 購買履歴等

(8) A S Pシステムノデータベース等

( 9) 一般企業 Z会計、 顧客、 人事、 販売、 仕入情報等

( 1 0) 物流倉庫会社 Z在庫情報、 流通情報等

( I I ) 研究開発機関ノ研究データ等。

入力装置 2 1 1は、 操作者が指示を入力するための装置である。 指示 としては、例えば、 出力装置 2 1 3への出力 （例えば、 プリントアウト、 ディスプレイへの表示） などが挙げられる。 入力装置 2 1 1は、 キーポ ード、 マウス、 夕ツチパッ ドなどの入力手段から構成される。

メモリ 2 1 2は、 RAMまたは R〇Mなどの記憶装置で構成され、 C PU 2 1 5が行う処理のためのプログラム、 データベースの復号化キー の復号化キー、 またはデータの暗号化キーなどを保存する。 なお、 好ま しい実施形態では、 メモリ 2 1 2には、 データべ一ス 2 2のファイルま たはデータへのアクセスに関する事象をログとして記録するためのプロ グラムが格納されている。

出力装置 2 1 3は、 ディスプレイ、 プリン夕などで構成されている。 通信装置 2 1 4は、 デ一夕管理装置 2 1が、 インタ一ネット回線 4と の接続を確立するためのインターフェースであり、 例えば、 I S DN夕 一ミナルアダプタ、 ケーブルモデム、 AD S Lモデム、 P Cカード、 L - ANポートなどから構成される。 ' C P U 2 1 5は、 デ一夕管理装置 2 1の各部の動作をプログラムに基 づいて、 または入力装置から入力された指示に基づいて制御する。 次に、 本発明の第 1の実施形態にかかる情報管理システムにおけるュ —ザ装置 1 1、 データ管理装置 2 1、 および認証装置 3 1の各 C P Uが 行う処理動作を説明する。

囟 5は、 本発明の情報管理システムの第 1の実施形態におけるユーザ 装置 1 1の C P U l 1 5が行う代表的な処理動作を示すフロー図である。 スタートにおいて待機状態にある C P U 1 1 5は、 ユーザによりデー 夕ベース 2 2のデータへのアクセスのための認証センターへの認証要求 の指示が入力装置 1 1 1を介して入力されると、 ステップ S 1 0 1にお いて、 通信装置 1 1 4を介して認証センター 3の認証装置 3 1へ認証要 永を送信する。

次いで、 ステップ S 1 0 2において、 認証セン夕一 3の認証装置 3 1 からアクセス許可証および希望するデータの復号化キーを受信したか否 かを判断し、 受信した場合 （ S 1 0 2 ： Y E S ) には、 ステップ S 1 0 3において、 データセンタ一 2のデ一夕管理装置 2 1へ、 通信装置 1 1 4を介してデータ送信リクエストを上記アクセス許可証とともに送信し、 ステップ S 1 0 4に進む。

ステップ S 1 0 4において、 データセンタ一 2のデータ管理装置 2 1 からユーザがリクエス卜したデータを受信したか否か判断し、 受信した 場合 （S 1 0 4 : Y E S )、 ステップ S 1 0 5に進む。 ここで、 デ一夕管 理装置 2 1から受信するデ一夕は、 典型的には、 セキュリティを向上さ せるために暗号化されている。 したがって、 ステップ S 1 0 5では、 ス テツプ S 1 0 2において認証装置 3 1から送信されたデータ復号化キー を使用して上記暗号化されたデータを復号化し、 処理を終了する。 ュ一 ザは、 この復号化されたデータを所望の目的のために使用することがで さる。

- なお、 好ましい実施形態では、 ユーザ装置 1 1のメモリ 1 1 2にユー ザがデ一夕をコピー、 プリントアウト、 またはハードコピーをすると口 グが残るようにするプログラムを予めインストールしておき、 C PU 1 1 5がこのプログラムを実行する。 このようにして、 万一データが不正 使用された場合には不正使用者を容易に特定することができるようにし ておくことによって、 ユーザによるデ一夕の不正使用を抑止することが でき、 より安全性の向上した情報管理システムが提供される。

'一方、 ステップ S 1 0 2において、 認証センター 3の認証装置 3 1か らアクセス許可証および上記デ一夕の復号化キ一を受信しなかった場合 (S 1 0 2 : NO)、 ステップ S 1 0 6に進んで、 認証センタ一 3からァ クセス認証不可の旨を受信したか否か判断し、 受信していない場合 （ス テツプ S 1 0 6 ： N O )、ステップ S 1 0 2に戻る。受信した場合には（ス テツプ S 1 0 6 ： YE S)、 ステップ S 1 0 7においてアクセス認証不可 の旨を出力装置 1 1 3により出力（例えば、表示またはプリントアウト） し、 処理を終了する。

さらに、 一方、 ステップ S 1 04において、 データセン夕一 2のデー 夕管理装置 2 1からユーザがリクェストしたデータを受信していない場 合 （ステップ S 1 04 ： NO), ステップ S 1 0 8においてデー夕セン夕 一 2のデータ管理装置 2 1からアクセス不可の旨を受信したか否かを判 断し、 受信していない場合 （ステップ S 1 0 8 ： NO), ステップ S 1 0 4に戻る。 受信した場合 （ステップ S 1 0 8 ： YE S)、 ステップ S I 0 9において出力装置 1 1 3 (例えば、 ディスプレイ） においてアクセス 不可の旨を出力 （例えば、 表示） して、 処理を終了する。

なお、 上記 C PU 1 1 5の処理動作において、 ステップ S 1 0 7およ び S 1 0 9の出力装置 1 1 1による出力のステップはオプショナルであ る （なくてもよい）。 次に、 本発明の情報管理システムの第 1の実施形態における認証装置 3 1の C P U 3 1 5が行う処理について説明する。

- 図 6 Aおよび 6 Bは、 認証装置 3 1の C'P U 3 1 5が行う代表的な処 理動作を示すフロー図である。 図 6 Aは、 認証装置 3 1がユーザ装置 1 1からデータベース 2 2へのアクセス権の認証要求を受信した場合の C PU 3 1 5の処理を示し、 図 6 Bは、 認証装置 3 1がデータ管理装置 2 1からデータべ一ス 2 2に対するユーザのアクセス許可証の有効性につ いて認証要求を受信した場合の C PU 3 1 5の処理を示す。

図 6 Aを参照し、 スタートにおいて待機状態にある C P U 3 1 5は、 ズテツプ S 3 0 1においてュ一ザ装置 1 1からの認証要求を受信すると、 ステップ S 30 2において要求が正当か否か判断し、正当である場合（S 3 0 2 : YE S)、 ステップ S 3 0 3においてアクセス許可証およびュ一 ザがリクエストしたデータの復号化キーをュ一ザ装置 1 1へ送信し、 処 理を終了する。 ステップ S 3 0 2において、 要求が正当でない場合 （S 3 0 2 ： NO)、 ステップ S 3 0 4に進み、 アクセス認証不可の旨をユー ザ装置 1 1に送信し、 処理を終了する。 なお、 上記の認証要求が正当か 否かの判断は、 例えば、 I Dおよびパスワード、 I Dおよびワンタイム パスワード方式、 指紋認証 · 眼底照合等のバイオメトリックス等を利用 して行うことができる。

図 6 Bを参照し、 スタートにおいて待機状態にある C P U 3 1 5は、 ステップ S 3 1 1においてデータ管理装置 2 1からのユーザから送信さ れたアクセス許可証の有効性 （参照権） の確認要求を受信すると、 ステ ップ S 3 1 2においてその参照権が有効であるか否かを判断し、 有効で ある場合 （S 3 1 2 ： Y E S ) , ステップ S 3 1 3に進んで、 ユーザから リクエストされたデータベースの復号化キーの複号化キーおよび復号化 したデータベースから抽出したデータを暗号化するための暗号化キーを データセンター 2のデ一夕管理装置 2 1へ送信し、 処理を終了する。 一 方、 ステップ S 3 1 2において参照権が有効でない場合 （S 3 1 2 ： N 〇）、 ステップ S 3 1 4に進み、 参照権が有効でない旨をデータ管理装置 2 1へ送信し、 処理を終了する。

なお、 認証装置 3 1におけるアクセス許可証の有効性の判断のステツ • プ S 3 1 2において、 上記アクセス許可証の有効性は、 例えば、 そのュ —ザが認証登録されているか否か、 そのリクエス卜されたデータを参照 する権利があるか否か、 アクセス許可証の有効期限内か、 1度目の使用 か否か （ワンタイムキ一方式となっている場合） などによって決めるこ とができる。 例えば、 アクセス許可証は発行から 2 0分間有効であると いうように予め決定すれば、 アクセス許可証の発行から 2 0分を経過し た後に受信したアクセス許可証の有効性確認要求に対しては、 アクセス 不可の旨を返信することになる。なお、有効期限は上記の例に限られず、 任意に決定できる。

また、 好ましい実施形態では、 認証装置 3 1における認証に関する情 報をログとしてメモリ 3 1 2に保存することによって、 認証情報などの 不正使用があった場合などにも容易に履歴を参照することができる。 次に、 本発明の情報管理システムの第 1の実施形態におけるデータ管 理装置 2 1の C P U 2 1 5が行う処理について説明する。

図 7は、 本発明の情報管理システムの第 1の実施形態におけるデ一夕 管理装置 2 1の C P U 2 1 5が行う代表的な処理動作を示すフロー図で ある。 スタートにおいて待機状態にある C P U 2 1 5は、 ステップ S 2 0 1においてユーザからのデータ送信リクエストを受信すると、 ステツ プ S 2 0 2においてアクセス許可証の有無を判断し、 アクセス許可証が ある場合 （S 2 0 2 ： Y E S )、 ステップ S 2 0 3においてユーザの参照 権の確認要求を認証センター 3の認証装置 3 1に送信する。

次いで、 ステップ S 2 0 4において、 認証装置 3 1から D B復号化キ —の復号化キ一およびデ一夕暗号化キーを受信したか否かを判断し、 受 信した場合には （ステップ S 2 0 4 ： Y E S )、 ステップ S 2 0 5におい てュ一ザからリクエストされたデータベースの複号化キーを、 上記復号 化キ一を用いて復号化し、 その復号化された上記データベースの復号化 キーを用いてデータベースを復号化して、 リクエストされたデータを抽 出し、 それを上記認証装置 3 1から送信されたデータ暗号化キ一を使用 • して暗号化した後、 ュ一ザ装置 1 1へ送信'し、 処理を終了する。 一方、ステップ S 2 0 2でアクセス許可証が無い場合には（S 2 0 2 : NO)、ステップ S 2 0 7に進んで、 アクセス不可の旨を通信装置 2 1 4 を介してユーザ装置 1 1へ送信し、 処理を終了する。

また、 ステップ S 2 0 4で認証装置 3 1からデータべ一ス復号化キ一 の復号化キーおよびデ一夕暗号化キーを受信していない場合 （S 2 0 4 ： NO), ステップ S 2 0 6において参照権が有効でない旨を認証装置 3 1から受信したか否かを判断し、 受信していない場合は （S 2 0 6 ： NO)、ステップ S 2 04に戻り、受信した場合は（S 2 0 6 ： YE S)、 ステップ S 2 0 7においてアクセス不可の旨をユーザ装置 1 1に送信し て、 処理を終了する。

なお、 好ましい実施形態では、 データ装置 2 1におけるデータまたは ファイルへのアクセスに関連する事象をログとしてメモリ 2 1 2に保存 するようにすることによって、 不正アクセスがあった場合などにも容易 に履歴を参照することができる。 上記本発明の情報管理システムにおいて、 デ一夕管理センタ一 2のデ 一夕管理装置 2 1が管理する個別の,データべ一ス （ 2 2 1 , 2 2 2 , 2 2 3 , 2 2 4, 2 2 5 ) は、 代表的には、 個別暗号化キー方式の暗号化 プログラムによって暗号化されている。 ここで用いられる暗号化プログ ラム （暗号アルゴリズム） としては、 例えば、 M I S T Y 1、 M I S T Y 2、 I D EA, R C 2等が用いられる。 個別暗号化キーの復号化キ一 はそれぞれのデータべ一スを作成する際にランダムに発生し、 データ管 理装置 2 1のメモリ 2 1 2に暗号化された状態で保持される。 この復号 化キーはさらに暗号化されており、 その復号化キーは、 ュ一ザにもデ一 夕ベース作成者にも特定が不可能である。 このデータベース復号化キー の復号化キ一は、 認証センター 3によって管理される （認証装置 3 1内 に保持される）。 こうすることによって、 第三者がデ一夕センター 2のデ —夕ベース 2 2に侵入したとしても、 認証装置 3 1に保存された復号化 - キーがない限り、暗号化されたそのデータを復号化することはできなレ 。 このようにして、 本発明は、 セキュリティの向上した情報管理システム を提供する。

なお、 上記本発明の情報管理システムにおいて、 認証装置 3 1、 ユー ザ装置 （ 1 1， 1 2， 1 3)、 およびデータ管理装置 2 1の間で送受信さ 5 れるアクセス許可証、 キーおよびデータは、 必ずしも暗号化される必要 はない。 したがって、 上記各 C P Uの処理動作の説明において、 認証装 ¾'3 1が該デ一夕の復号化キーをユーザ装置 （ 1 1 , 1 2、 1 3 ) に送 信すること、 および該デ一夕の暗号化キーをデ一夕管理装置 2 1へ送信 すること、 ならびにデータ管理装置 2 1においてデータを送信前に暗号 0 化すること、 およびユーザ装置 （ 1 1， 1 2、 1 3 ) において喑号化さ れたデ一夕を復号化することは、 オプショナルである。 しかしながら、 インターネットを介して通信されるこれらのデータ、 キー、 およびァク セス許可証等は、 セキユリティを考慮すれば暗号化されて送受信される ことが好ましい。 暗号化または復号化のためのキーおよびアクセス許可 5 証は、 好ましくは、 公開キー方式で、 データは共通キー方式でそれぞれ 送受信されることが好ましい。ここで用いられる公開キー方式としては、 公知の方式が挙げられ、 例えば、 R S A暗号方式、 E l G ama l暗号

' ' 方式、 D i f f i e— H e l l ma n鍵配送方式、 等が例示される （後 述の文献等参照）。

0 また、 好ましい態様では、 認証センターが発行する暗号化キー及び復 号化キー、 ならびに Zまたはアクセス許可証を 1回限定利用のワンタイ ムキーとすることにより、 例えば、 正規のユーザの端末の盗難等によつ て暗号化キーが盗まれたとしても、 データセン夕一のデータベースを復 号化することはできないし、 また、 ネットワーク上のデ一夕を盗聴する 5 こともできないため、 さらに安全性を向上することができる。

さらに、 上記の例では、 認証セン夕一 3からユーザへアクセス許可証 およびデータの復号化キーが送信される態様を示したが、 本発明の目的 のためには、 この態様に限定される必要はなく、 例えば、 アクセス許可 - 証をデータ復号化キーと別個のものとせずに、 データ復号化キー自体に 有効期限を設定して発行する （データ復号化キーとアクセス許可証とを —体のものとする） ような態様としてもよい。

(実施の形態 2 )

本発明は、 第 2の実施形態において、 データセンタ一に配置された、 電子的デ一夕を保存する暗号化されたデータベースと該デ一夕ベースの , m号化キーを暗号化して保存し上記データベースへのアクセスを管理す るデータ管理装置と、 ユーザのもとに配置された、 上記データベースの 復号化キーの第 1の復号化キ一を保存する、 インターネット回線を通じ て上記デ一夕管理装置と通信可能なユーザ装置と、 認証セン夕一に配置 された、 データベースの復号化キーの第 2の復号化キ一を保存しユーザ の上記データベースへのアクセス権を管理する、 上記ユーザ装置および 上記デ一夕管理装置とィン夕ーネット回線を通じて通信可能な認証装置 とを含む情報管理システムを提供する。 この情報管理システムにおいて は、 ユーザがデ一夕センターのデータを利用するためには、 ユーザが保 存する上記第 1の復号化キーおよび認証センターが保存する上記第 2の 復号化キー、 ならびに認証センターからの有効なアクセス許可証を必要 とする。

本発明の第 2の実施形態にかかる情報管理システムの概略構成および その構成要素の典型的な構成は、 本発明の第 1の実施形態に係る情報管 理システムについて図 1〜4を参照して説明したものと同様であるので、 ここでは説明を省略する。

以下、 本発明の第 2の実施形態にかかる情報管理システムにおけるュ —ザ装置 1 1、 デ一夕管理装置 2 1、 および認証装置 3 1の各 C P Uが 行う処理動作を説明する。

図 8は、 本発明の情報管理システムの第 2の実施形態におけるユーザ 装置 1 1の C P U 1 1 5が行う代表的な処理動作を示すフロー図である。 スタートにおいて待機状態にある C P U 1 1 5は、 ユーザによりデー • 夕ベース 2 2のデ一夕へのアクセスのための認証セン夕一への認証要求 の指示が入力装置 1 1 1を介して入力されると、 ステップ S 1 1 1にお いて、 通信装置 1 1 4を介して認証センター 3の認証装置 3 1へ認証要 求を送信する。

次いで、 ステップ S 1 1 2において、 認証センタ一 3の認証装置 3 1 からアクセス許可証および希望するデータの復号化キーを受信したか否 かを判断し、 受信した場合 （S 1 1 2 ： YE S)、 ステップ S 1 1 3にお い''て、 データセンタ一 2のデータ管理装置 2 1へ送るためのリクエスト にアクセス許可証を添付し、 ステップ S 1 1 4においてさらにデ一夕べ 一ス復号化キーの第 1の復号化キ一を添付し、 次いでステップ S 1 1 5 においてこれらを通信装置 1 1 4を介してデータセンター 2のデ一夕管 理装置 2 1へ送信し、 ステップ S 1 1 6に進む。 なお、 ステップ S 1 1 3および S 1 1 4は順序が逆になってもよいし、またステップ S 1 1 3、 S 1 1 4および S 1 1 5は、 合わせて 1つのステップとして-もよい。 ステップ S 1 0 6において、 デ一夕センター 2のデータ管理装置 2 1 からユーザがリクエストしたデ一夕を受信したか否かを判断し、 受信し た場合（ステップ S 1 1 6 : YE S)、ステップ S 1 1 7に進む。ここで、 データ管理装置 2 1から受信するデータは、 典型的には、 セキュリティ を向上させるために暗号化されている。 したがって、 ステップ S 1 1 7 では、 ステップ S 1 1 2において認証装置 3 1から送信されたデータ復 号化キーを使用して上記暗号化されたデ一夕を復号化し、 処理を終了す る。 ユーザは、 この復号化されたデ一夕を所望の目的のために利用する ことができる。

なお、 好ましい実施形態では、 ユーザ装置 1 1のメモリ 1 1 2には、 ユーザがデータをコピー、 プリントアウト、 またはハードコピーをする と口グが残るプログラムがィンストールされており、 C PU 1 1 5はこ のプログラムを実行する。 このようにして、 万一データが不正使用され た場合には不正使用者を容易に特定することができるようにしておくこ とによって、 ユーザによるデータの不正使用等を抑止することができ、 ' より安全性の向上した情報管理システムが提供される。 一方、 ステップ S 1 1 2において、 認証センタ一 3の認証装置 3 1か らアクセス許可証および上記データの復号化キ一を受信しなかった場合 (S 1 1 2 ： N〇）、 ステップ S 1 1 8に進んで、 認証セン夕一 3からァ クセス認証不可の旨を受信したか否か判断し、 受信していない場合 （ス テツプ S 1 1 8 ： N〇）、ステツプ S 1 1 2に戻る。受信した場合には（ス テツプ S 1 1 8 ： YE S)、 ステツプ S 1 1 9においてアクセス認証不可 の旨を出力装置 1 1 3により出力 （例えば、 表示またはプリントアウト） し、 処理を終了する。

さらに、 一方、 ステップ S 1 1 6において、 デ一夕センター 2のデー 夕管理装置 2 1からュ一ザがリクェストしたデ一タを受信していない場 合 （ステップ S 1 1 6 ： NO), ステップ S 1 2 0においてデータセンタ ― 2のデータ管理装置 2 1からアクセス不可の旨を受信したか否かを判 断し、 受信していない場合 （ステップ S 1 2 0 ： N O )、 ステップ S 1 1 6に戻る。 受信した場合 （ステップ S 1 2 0 ： YE S)、 ステップ S I 2 1において出力装置 1 1 3 (例えば、 ディスプレイ） においてアクセス 不可の旨を出力 （例えば、 表示） して、 処理を終了する。

なお、 上記 C PU 1 1 5の処理動作において、 ステップ S 1 1 8およ び S 1 2 1の出力装置 1 1 1による出力のステツプはォプショナルであ る。 次に、 本発明の情報管理システムの第 2の実施形態における認証装置 3 1の C P U 3 1 5が行う処理について説明する。

図 9 Aおよび 9 Bは、 認証装置 3 1の C P U 3 1 5が行う代表的な処 理動作を示すフロー図である。 図 9 Aは、 認証装置 3 1がユーザ装置 1 1からデータベース 2 2へのアクセス権の認証要求を受信した場合の C PU 3 1 5の処理を示し、 図 9 Bは、 認証装置 3 1がデータ管理装置 2 1からデータベース 2 2に対するユーザのアクセス許可証の有効性につ いて認証要求を受信した場合の C PU 3 1 5の処理を示す。

• 図 9 Aを参照し、 スタートにおいて待機状態にある C P U 3 1 5は、 ステツプ S 3 2 1においてユーザ装置 1 1からの認証要求を受信するど、 ステップ S 3 2 2において要求が正当か否か判断し、正当である場合（S 3 2 2 : YE S)、 ステップ S 3 2 3においてアクセス許可証およびュ一 ザがリクエストしたデータの復号化キーをユーザ装置 1 1へ送信し、 処 理を終了する。 ステップ S 3 2 2において、 要求が正当でない場合 （S 3 2 2 ： N〇）、 ステップ S 3 2 4に進み、 アクセス認証不可の旨をュ一 ザ—装置 1 1に送信し、 処理を終了する。 なお、 上記の認証要求が正当か 否かの判断は、 例えば、 I Dおよびパスワード、 I Dおよびワンタイム パスワード方式、 指紋認証 ·眼底照合等のバイオメ トリックス等を利用 して行うことができる。

図 9 Bを参照し、 スター卜において待機状態にある C P U 3 1 5は、 ステツプ S 3 3 1においてデ一夕管理装置 2 1からのユーザから送信さ れたアクセス許可証の有効性 （参照権） の確認要求を受信すると、 ステ ップ S 3 3 2においてその参照権が有効であるか否かを判断し、 有効で ある場合 （S 3 3 2 : YE S)、 ステップ S 3 3 3に進んで、 ュ一ザから リクエストされたデータベースの復号化キーの第 2の復号化キーおよび 復号化したデータベースから抽出したデータを暗号するための暗号化キ —をデータセンタ一 2のデータ管理装置 2 1へ送信し、処理を終了する。 一方、 ステップ S 3 3 2において参照権が有効でない場合 （S 3 3 2 ： NO)、 ステップ S 3 34に進み、 参照権が有効でない旨をデータ管理装 置 2 1へ送信し、 処理を終了する。

なお、 認証装置 3 1におけるアクセス許可証の有効性の判断のステツ プ S 3 3 2において、 上記アクセス許可証の有効性は、 例えば、 そのュ 一ザが認証登録されているか否か、 そのリクエストされたデータを参照 する権利があるか否か、 アクセス許可証の有効期限内か、 1度目の使用 か否か （ワンタイムキー方式となっている場合） などによって決めるこ とができる。 例えば、 アクセス許可証は発行から 2 0分間有効であると いうように予め決定すれば、 アクセス許可証の発行から 20分を経過し - た後に受信したアクセス許可証の有効性確認要求に対しては、 アクセス 不可の旨を返信することになる。なお、有効期限は上記の例に限られず、 任意に決定できる。

また、 好ましい実施形態では、 認証装置 3 1における認証に関する情 報をログとしてメモリ 3 1 2に保存することによって、 認証情報などの 不正使用があった場合などにも容易に履歴を参照することができる。 次に、 本発明の情報管理システムの第 2の実施形態におけるデ一夕管 理装置 2 1の C PU 2 1 5が行う処理について説明する。

' 図 1 0は、 本発明の情報管理システムの第 2の実施形態におけるデ一 夕管理装置 2 1の C PU 2 1 5が行う代表的な処理動作を示すフロー図 である。 スタートにおいて待機状態にある C P U 2 1 5は、 ステップ S 2 1 1においてュ一ザからのデータ送信リクエストを受信すると、 ステ ップ S 2 1 2においてアクセス許可証の有無を判断し、 アクセス許可証 がある場合 （S 2 1 2 : YE S)、 ステップ S 2 1 3に進み、 データべ一 ス復号化キーの第 1の復号化キーの有無を判断する。 第 1の復号化キー がある場合 （S 2 1 3 ： YE S), ステップ S 2 1 4に進み、 ユーザの参 照権の確認要求を認証センタ一 3の認証装置 3 1に送信する。

次いで、 ステップ S 2 1 5において、 認証装置 3 1から D B復号化キ 一の第 2の復号化キ一およびデータ暗号化キーを受信したか否かを判断 し、，受信した場合には （ステップ S 2 1 5 ： Y E S )、 ステップ S 2 1 6 においてュ一ザからリクエストされたデータを含むデータベースの復号 化キ一を、 上記第 1および第 2の復号化キーを用いて復号化し、 その復 号化された上記データベースの復号化キーを用いてデータべ一スを復号 化して、 リクエストされたデータを抽出し、 それを上記認証装置 3 1か ら送信されたデータ暗号化キーを使用して暗号化した後、 ユーザ装置 1 1へ送信し、 処理を終了する。

一方、ステップ S 2 1 2でアクセス許可証が無い場合には（S 2 1 2 : NO)、ステップ S 2 1 8に進んで、 アクセス不可の旨を通信装置 2 1 4 を介してユーザ装置 1 1へ送信し、 処理を終了する。 また、 ステップ S 2 1 3でデータべ一ス復号化キーの第 1の復号化キ 一が無い場合 （S 2 1 3 ： NO), ステップ S 2 1 8に進んで、 アクセス 不可の旨を通信装置 2 1 4を介してユーザ装置 1 1へ送信し、 処理を終 了する。

さらに、 ステップ S 2 1 5で認証装置 3 1からデ一夕べ一ス復号化キ 一の第 2の復号化キーおよびデ一夕暗号化キーを受信していない場合 (S 2 1 5 : N〇）、ステップ S 2 1 7において参照権が有効でない旨を 認証装置 3 1から受信したか否かを判断し、 受信していない場合は （S 2 1 7 ： NO), ステップ S 2 1 5に戻り、 受信した場合は （ S 2 1 7 ： YE S)、ステップ S 2 1 8においてアクセス不可の旨をユーザ装置 1 1 に送信して、 処理を終了する。

なお、 好ましい実施形態では、 データ装置 2 1におけるデ一夕または ファイルへのアクセスに関連する事象をログとしてメモリ 2 1 2に保存 するようにすることによって、 不正アクセスがあった場合などにも容易 に履歴を参照することができる。 上記本発明の第 2の実施形態にかかる情報管理システムにおいて、 デ 一夕管理センター 2のデ一夕管理装置 2 1が管理する個別のデータべ一 ス （2 2 1， 2 2 2 , 2 2 3 , 2 2 4, 2 2 5 ) は、 代表的には、 個別 暗号化キー方式の暗号化プログラムによって暗号化されている。 ここで 用いられる暗号化プログラム （暗号アルゴリズム） としては、 例えば、 M I S TY 1、 M I S TY 2、 I D EA, RC 2等が用いられる。

個別暗号化キーの復号化キ一はそれぞれのデータベースを作成する際 にランダムに発生し、 データ管理装置 2 1のメモリ 2 1 2に暗号化され た状態で保持される。 この復号化キーはさらに暗号化されており、 その 復号化キ一は、 ユーザにもデータベース作成者にも特定不可能である。 本発明の第 2の実施形態にかかる情報管理システムでは、 このデータべ 一ス復号化キーの復号化キ一は、 ユーザ 1によって管理される （ユーザ - 装置 1 1に保存される） 第 1の復号化キー'と、 認証センター 3によって 管理される （認証装置 3 1内に保持される） 第 2の復号化キーとから構 成される。 したがって、 データベース 2 2の復号化キ一は、 ュ一ザ 1に よって管理される上記第 1の復号化キ一と、 認証センター 3によって管 理される上記第 2の復号化キーとが揃ったときに初めて復号化すること ができる。

こうすることによって、 第三者がデータセン夕一 2のデータベース 2 2'に侵入したとしても、 ユーザ装置 1 1に保存された第 1の復号化キー および認証装置 3 1に保存された第 2の復号化キ一がない限り、 暗号化 されたそのデ一夕を復号化することはできない。 このようにして、 本発 明は、セキュリティのさらに一層向上した情報管理システムを提供する。 なお、 上記本発明の情報管理システムにおいて、 認証装置 3 1、 ユー ザ装置 （ 1 1， 1 2 , 1 3)、 およびデ一夕管理装置 2 1の間で送受信さ れるアクセス許可証、 キーおよびデ一夕は、 必ずしも暗号化される必要 はない。 したがって、 上記各 C P Uの処理動作の説明において、 認証装 置 3 1が該データの復号化キーをユーザ装置 （ 1 1 , 1 2、 1 3) に送 信すること、 および該データの暗号化キ一をデータ管理装置 2 1へ送信 すること、 ならびにデータ管理装置 2 1においてデ一夕を送信前に暗号 化すること、 およびュ一ザ装置 （ 1 1， 1 2、 1 3 ) において暗号化さ れたデータを複号化することは、 オプショナルである。 しかしながら、 インタ一ネットを介して通信されるこれらのデータ、 キー、 およびァク セス許可証等は、 セキュリティを考慮すれば暗号化されて送受信される ことが好ましい。 暗号化または復号化のためのキーおよびアクセス許可 証は、 好ましくは、 公開キ一方式で、 データは共通キ一方式でそれぞれ 送受信されることが好ましい。ここで用いられる公開キ一方式としては、 公知の方式が挙げられ、 例えば、 R SA暗号方式、 E l G ama l喑号 方式、 D i f f i e - H e l l ma n鍵配送方式、 等が例示される （後 述の文献等参照）。

また、 好ましい態様では、 認証セン夕一が発行する暗号化キ一及び復 ' 号化キー、 ならびに/またはアクセス許可'証を 1回限定利用のワンタイ ムキーとすることにより、 例えば、 正規のユーザの端末の盗難等によつ て暗号化キーが盗まれたとしても、 データセンターのデータベースを復 号化することはできないし、 また、 ネッ トワーク上のデータを盗聴する こともできないため、 さらに安全性を向上することができる。

さらに、 上記の例では、 認証セン夕一 3からユーザへアクセス許可証 およびデータの復号化キーが送信される態様を示したが、 本発明の目的 のためには、 この態様に限定される必要はなく、 例えば、 デ一夕復号化 キー自体に有効期限を設定して発行する （データ復号化キーとアクセス 許可証とを一体のものとする） ような態様としてもよい。 以上、 図面を参照して、 本発明の実施の形態を説明したが、 本発明の 範囲はこれらの実施形態に限定されるものではなく、 請求の範囲に記載 される本発明の範囲を超えない限度において、 種々の変更が可能であり それらは本発明の範囲に含まれる。 参考のために、 暗号化に関する文献等を下記に記す。

1 . J. Kelsey, B. Schneier, and D. Wagner, "Related - Key Crypta-nalysis of 3 -WAY, Biham-DES, CAST, DES-X, NewDES, RC2, and

TEA, " ICICS ' 97 Proceedings.

2 . J. Kelsey, B. Schneier, and D. Wagner, " Key - Schedule

Crypta-nalysis of 3-WAY, IDEA, G-DES, RC4, SAFER, and Triple-DES, "

Advances in Cryptology -- CRYPTO ' 96 Proceedings.

3. 池野信一 ·小山謙二： 「現代暗号理論」 第 3章 3.4 電子情報通信学 会、 1986.

4. B. Schneier, " Appl ide Cryptography 2nd edit ion" , John Wi ley & Sons, 1996.

5. J. J. QuisQuater and C. Couvereur, "First Decipherment Algorithm for SA Public Key Cryptosys tem" , Electronic Letters, ' v. 18, 1982, ppl55-168. - 6. 岡本栄司著： 「暗号理論入門」、 共立出版、 1993.

7. 岡本龍明、 山本博資共著： 「現代暗号」、 産業図書、 1997.

8. 岡本龍明、 太田和夫編： 「暗号、 ゼロ知識証明、 数論」、 共立出版、

1995.

9. 岡本達明、 山本博資： 「現代暗号」 1997年、 産業図書.

1 0. Alfred J. Menezes, Paul C. van Oorschot, Scot t A. Vanstone ： " Handbook of Applied Cryptography "， 1997, CRC Press.

1 1. 櫻井孝一監訳： 「暗号理論の基礎」、 1996年、 共立出版.

1 2. 池野信一、 小山謙二： 「現代暗号理論」、 1986年、 電子情報通信学 会.

1 3. 辻井重男： 「暗号」、 1996年、 講談社選書メチェ.

1 4. 電子情報通信学会： 「『暗号アルゴリズムの設計と評価』 ヮ一クシ ョップ講演論文集」、 1996年、 電子情報通信学会 .

1 5. 宮武修、 脇本和昌：「乱数とモンテカルロ法」、 1978年、森北出版. 1 6. 白橋明弘：「P C環境におけるセキュリティ—電子メールを中心に 一」 / ITSoftware Designj 97年 6月号， 技術評論社.

1 7. 今井秀樹： 「暗号のおはなし」、 1993年、 財団法人日本規格協会. 1 8. 菊池豊彦：「インターネット世紀のコンピュータネッ トワーク暗号 システム」 1995年、 NE Cクリエィティブ. 産業上の利用可能性

本発明の暗号化通信方法、 暗号化通信システム、 およびこれらを利用 した情報管理システムは、 インターネットを介して秘密情報を送受信す る場合に利用できる。 特に、 本発明の暗号化通信方法、 暗号化通信シス テム、 およびこれらを利用した情報管理システムは、 例えば、 患者と病 院又は診断会社との間で送受信される疾病に関する情報、 ユーザと銀行 等の金融機関で送受信される自己の口座に関する情報、 ュ一ザとクレジ ット会社との間で送受信されるカード使用情報、 カード使用残高情報、 - ユーザと信用調査会社との間で送受信される各種信用情報等をィン夕ー ネッ トを介して送受信する際に好適に用いることができる。

Claims

請求の範囲

1 . デ一夕センタ一に配置された、 電子的データを保存する暗号化され たデータベースと前記データベースの復号化キ一を暗号化して保存し前 5 記データベースへのアクセスを管理するデータ管理装置と、

ュ一ザのもとに配置された、 ィン夕ーネット回線を通じて前記デ一夕 管' '理装置と通信可能なユーザ装置と、

認証センターに配置された、 前記データベースの複号化キーの復号化 キ一を保存し前記ユーザの前記データベースへのアクセス権を管理する、 10 前記ュ一ザ装置および前記データ管理装置とィン夕ーネット回線を通じ て通信可能な認証装置と、

を含み、 前記ユーザが前記データセン夕一のデータを利用するために は、 前記認証センターからの有効なアクセス許可証および前記データべ 一スの復号化キーの復号化キーを必要とする情報管理システムであって、

15 前記ユーザ装置は、

( i ) 前記ユーザの入力に従って、 前記認証装置へ前記データべ一ス の前記デ一夕へのアクセス権の確認要求を送信し、 前記認証装置から前 ' ' '記デ一夕へのアクセス許可証を受信すると、 前記アクセス許可証ととも にデータ送信リクエストを前記データ管理装置へ送信し、 （ i i )前記デ 20 一夕管理装置から前記リクエストしたデータを受信し、

前記データ管理装置は、

( i ) 前記ユーザ装置からのデ一夕送信リクエストを受信すると、 前 記アクセス許可証の有無を確認し、前記アクセス許可証がある場合には、 前記認証装置へ前記アクセス許可証の有効性の確認要求を送信し、 （ i 25 i ) 前記認証装置から前記データベースの復号化キーの復号化キーを受 信した場合には、 前記データベースの復号化キーを復号化して用いて前 記データべ一スを復号化し、 前記リクェストされたデータを抽出して前 記ユーザ装置へ送信し、

HiJ ci認証装置は、 ( i ) 前記ユーザ装置から前記データベースのデータへのアクセス権 の認証要求を受信した場合には、 前記アクセス権の有無を判断して、 ァ クセス権がある場合には、 前記ユーザ装置へ前記データへのアクセス許 可証を送信し、 （ i i ) 前記データ管理装置から前記アクセス許可証の有 5 効性の確認要求を受信した場合には、 前記アクセス許可証の有効性を判 断して、 前記アクセス許可証が有効な場合には、 前記データベースの復 号化キーの復号化キーを前記データ管理装置へ送信する、

情報管理システム。

2 . 請求項 1に記載の情報管理システムであって、

0 前記ユーザ装置は、

( i ) 前記ユーザの入力に従って、 前記認証装置へ前記データベース のデータへのアクセス権の確認要求を送信し、 前記認証装置から前記デ 一夕へのアクセス許可証および前記データの復号化キーを受信すると、 前記アクセス許可証とともにデータ送信リクエストを前記デ一夕管理装 5 置へ送信し、 （ i i )前記データ管理装置から暗号化された前記リクエス 卜したデータを受信すると、 前記データの複号化キーを用いて前記デー 夕を復号化し、

' ' 前記デ一夕管理装置は、

( i ) 前記ユーザ装置からのデータ送信リクエストを受信すると、 前 0 記アクセス許可証の有無を確認し、前記アクセス許可証がある場合には、 前記認証装置へ前記アクセス許可証の有効性の確認要求を送信し、 （ i i ) 前記認証装置から前記データべ一スの復号化キーの復号化キーおよ び前記データの暗号化キーを受信した場合には、 前記データベースの復 号化キーを復号化して用いて前記データベースを復号化し、 前記リクェ 5 ストされたデータを抽出し、 前記暗号化キ一により暗号化してから前記 ユーザ装置へ送信し、

刖 ci言忍証装置は、

( i ) 前記ユーザ装置から前記データベースのデータへのアクセス権 • の認証要求を受信した場合には、 前記アクセス権の有無を判断して、 ァ クセス権がある場合には、 前記ユーザ装置へ前記データへのアクセス許 可証および前記データの復号化キ一を送信し、 （ i i ) 前記データ管理装 置から前記アクセス許可証の有効性の確認要求を受信した場合には、 前 記アクセス許可証の有効性を判断して、 前記アクセス許可証が有効な場 5 合には、 前記データベースの復号化キーの復号化キーおよび前記デ一夕 の暗号化キーを前記データ管理装置へ送信する、 情報管理システム。

3 . 請求項 1または 2に記載の情報管理システムであって、

前記ユーザ装置はさらに、

( i ) 前記認証装置から前記データへのアクセス認証不可の旨を受信 10 すると、 アクセス認証不可の旨を前記ユーザ装置の出力装置により出力 し、 （ i i )前記デ一夕管理装置から前記データへのアクセス不可の旨を 受信すると、 アクセス不可の旨を前記ユーザ装置の前記出力装置により 出力し、

前記データ管理装置はさらに、

15 ( i ) 前記ユーザ装置からのデータ送信リクエストを受信すると、 前 記アクセス許可証の有無を確認し、前記アクセス許可証がない場合には、 前記ユーザ装置へアクセス不可の旨を送信し、 （ i i )前記認証装置から

' ' 前記アクセス許可証が有効でない旨を受信した場合には、 前記ユーザ装 置へアクセス不可の旨を送信し、

20 前記認証装置はさらに、

( i ) 前記ユーザ装置から前記デ一夕ベースへのアクセス権の認証要 求を受信した場合には、 前記アクセス権の有無を判断して、 アクセス権 が無い場合には、前記ユーザ装置へアクセス認証不可の旨を送信し、 （ i i ) 前記データ管理装置から前記アクセス許可証の有効性の確認要求を

25 受信した場合には、 前記アクセス許可証の有効性を判断して、 前記ァク セス許可証が有効でない場合には、 前記アクセス許可証が有効でない旨 を前記データ管理装置へ送信する、

情報管理システム。

•

4 . 前記デ一夕ベースおよび前記ユーザがそれぞれ複数存在し、 各デ一 夕ベースが前記ユーザ毎に個別に割り当てられており、

前記データ管理装置は、 各データベースを個別に暗号化して管理し、 前記認証装置は、 各ユーザのデ一夕へのアクセス権を各ユーザに割り 当てられたデ一夕ベースに対応させて管理する、 請求項 1〜 3のいずれ 5 かに記載の情報管理システム。

5 . 前記アクセス許可証の有効性が、 前記アクセス許可証の発行時から の経過時間によって決定される、 請求項 1〜4のいずれかに記載の情報 管理システム。

6 . 前記データベースの前記復号化キーが、 前記データベースの作成時 10 にランダムに発生し、 前記デ一夕管理装置内に暗号化されて保存され、 前記データベースの前記復号化キーの復号化キーが、 前記認証装置内に 保存される、 請求項 1〜 5のいずれかに記載の情報管理システム。

7 . 前記認証装置が送信する前記アクセス許可証、 および前記デ一夕べ —スの復号化キーの復号化キーが、 1回限定使用のものである、 請求項 15 1〜 6のいずれかに記載のシステム。

8 . 前記認証装置が送信する前記データの暗号化キー、 および前記デー 夕の復号化キーが、 1回限定使用のものである、 請求項 2〜 7のいずれ

' ' かに記載のシステム。

9 . 前記ユーザ装置が、 前記データのコピー、 プリントアウト、 および 20 ハードコピーから選択される 1以上の事象の記録を保存する、 請求項 1

〜 8のいずれかに記載の情報管理システム。

1 0 . 前記データ管理装置が、 前記データへのアクセスに関する事象の 記録を保存する、 請求項 1〜 9のいずれかに記載の情報管理システム。

1 1 . 前記認証装置が、 前記認証に関連する事象の記録を保存する、 請 25 求項 1〜 1 0のいずれかに記載のシステム。

1 2 . データセンターに配置された、 電子的データを保存する暗号化さ れたデータベースと前記データベースの復号化キ一を暗号化して保存し 前記デ一夕ベースへのアクセスを管理するデータ管理装置と、

' ユーザのもとに配置された、 前記データ 'ベースの復号化キーの第 1の 復号化キ一を保存する、 ィンターネッ ト回線を通じて前記データ管理装 置と通信可能なユーザ装置と、

認証センタ一に配置された、 前記データベースの復号化キーの第 2の 復号化キ一を保存し前記ユーザの前記データベースへのアクセス権を管 5 理する、 前記ユーザ装置および前記データ管理装置とイン夕一ネッ ト回 線を通じて通信可能な認証装置と、

を含み、 前記ユーザが前記データセンターのデータを利用するために は、 前記ユーザが保存する前記第 1の復号化キーおよび前記認証センタ 一が保存する前記第 2の復号化キー、 ならびに前記認証セン夕一からの 10 有効なアクセス許可証を必要とする情報管理システムであって、

前記ユーザ装置は、

( i ) 前記ユーザの入力に従って、 前記認証装置へ前記データベース の前記データへのアクセス権の確認要求を送信し、 前記認証装置から前 記デ一夕へのアクセス許可証を受信すると、 前記アクセス許可証および

15 前記第 1の復号化キ一とともにデ一夕送信リクエストを前記データ管理 装置へ送信し、 （ i i )前記データ管理装置から前記リクエストしたデー 夕を受信し、

' ' 前記データ管理装置は、

( i ) 前記ユーザ装置からのデータ送信リクエストを受信すると、 前

20 記アクセス許可証の有無および前記第 1の復号化キーの有無を確認し、 前記アクセス許可証および前記第 1の復号化キーがある場合には、 前記

.認証装置へ前記アクセス許可証の有効性の確認要求を送信し、 （ i i )前 記認証装置から前記データベースの復号化キーの第 2の復号化キーを受 信した場合には、 前記第 1の復号化キーおよび前記第 2の復号化キーを

25 用いて前記デ一夕ベースの復号化キ一を復号化し、 前記復号化した前記 データベースの復号化キーを用いて前記データべ—スを復号化し、 前記 リクエス卜されたデータを抽出して前記ユーザ装置へ送信し、

刖記認証装置は、

■ ( i ) 前記ユーザ装置から前記データべ一スのデ一夕へのアクセス権 の認証要求を受信した場合には、 前記アクセス権の有無を判断して、 ァ クセス権がある場合には、 前記ユーザ装置へ前記デ一夕へのアクセス許 可証を送信し、 （ i i )前記データ管理装置から前記アクセス許可証の有 効性の確認要求を受信した場合には、 前記アクセス許可証の有効性を判 断して、 前記アクセス許可証が有効な場合には、 前記デ一夕ベースの復 号化キーの前記第 2の復号化キ一を前記データ管理装置へ送信する、 情 #管理システム。

1 3 . 請求項 1 2に記載の情報管理システムであって、

前記ユーザ装置は、

( i ) 前記ユーザの入力に従って、 前記認証装置へ前記データベース のデータへのアクセス権の確認要求を送信し、 前記認証装置から前記デ —夕へのアクセス許可証および前記データの復号化キーを受信すると、 前記アクセス許可証および前記第 1の復号化キーとともにデータ送信リ クエス トを前記データ管理装置へ送信し、 （ i i )前記デ一夕管理装置か ら暗号化された前記リクエストしたデータを受信すると、 前記データの 前記復号化キーを用いて前記データを復号化し、

前記デ一夕管理装置は、

' ( i ) 前記ユーザ装置からのデータ送信リクエストを受信すると、 前 記アクセス許可証の有無および前記第 1の復号化キーの有無を確認し、 前記アクセス許可証および前記第 1の復号化キーがある場合には、 前記 認証装置へ前記アクセス許可証の有効性の確認要求を送信し、 （ i i )前 記認証装置から前記データベースの複号化キーの第 2の復号化キーおよ び前記データの暗号化キーを受信した場合には、 前記第 1の復号化キー および前記第 2の復号化キーを用いて前記デ一夕ベースの復.号化キ一を 復号化し、 前記復号化した前記データベースの復号化キ一を用いて前記 データべ—スを復号化し、 前記リクエストされたデ一夕を抽出し、 前記 データの前記暗号化キーを用いて前記データを暗号化してから前記ユー ザ装置へ送信し、

• 記認証 置は、 ( i ) 前記ユーザ装置から前記デ一夕ベースのデータへのアクセス権 の認証要求を受信した場合には、 前記アクセス権の有無を判断して、 ァ クセス権がある場合には、 前記ユーザ装置へ前記データべのアクセス許 可証および前記デ一夕の復号化キーを送信し、 （ i i )前記データ管理装 置から前記アクセス許可証の有効性の確認要求を受信した場合には、 前 記アクセス許可証の有効性を判断して、 前記アクセス許可証が有効な場 合 は、 前記データベースの復号化キーの前記第 2の復号化キーおよび 前記データの暗号化キ一を前記データ管理装置へ送信する、 情報管理シ スァム。

1 4 . 請求項 1 2または 1 3に記載の情報管理システムであって、 前記ユーザ装置はさらに、

( i ) 前記認証装置から前記デ一夕へのアクセス認証不可の旨を受信 すると、 アクセス認証不可の旨を前記ユーザ装置の出力装置により出力 し、 （ i i )前記データ管理装置から前記データへのアクセス不可の旨を 受信すると、 アクセス不可の旨を前記ユーザ装置の前記出力装置により 出力し、

前記データ管理装置はさらに、

( i ) 前記ユーザ装置からのデータ送信リクエストを受信すると、 前 記アクセス許可証の有無および前記第 1の復号化キーの有無を確認し、 前記アクセス許可証または前記第 1の復号化キーがない場合には、 前記 ユーザ装置へアクセス不可の旨を送信し、 （ i i ) 前記認証装置から前記 アクセス許可証が有効でない旨を受信した場合には、 前記ユーザ装置へ アクセス不可の旨を送信し、

刖記認:証装置はさらに、

( i ) 前記ユーザ装置から前記データベースへのアクセス権の認証要 求を受信した場合には、 前記アクセス権の有無を判断して、 アクセス権 が無い場合には、前記ユーザ装置にアクセス認証不可の旨を送信し、 （ i i ) 前記データ管理装置から前記アクセス許可証の有効性の確認要求を 。 受信した場合には、 前記アクセス許可証の有効性を判断して、 前記ァク セス許可証が有効でない場合には、 前記アクセス許可証が有効でない旨 を前記データ管理装置へ送信する、

情報管理システム。

1 5 . 前記データベースおよび前記ユーザがそれぞれ複数存在し、 各デ 一夕ベースが前記ユーザ毎に個別に割り当てられており、

前記デ一夕管理装置は、 各データべ一スを個別に暗号化して管理し、 '前記認証装置は、 各ユーザのデータへのアクセス権を各ユーザに割り 当てられたデータベースに対応させて管理する、 請求項 1 2〜 1 4のい ずれかに記載の情報管理システム。

1 6 . 前記アクセス許可証の有効性が、 前記アクセス許可証の発行時か らの経過時間によって決定される、 請求項 1 2〜 1 5のいずれかに記載 の情報管理システム。

1 7 . 前記デ一夕ベースの前記復号化キーが、 前記データベースの作成 時にランダムに発生し、前記データ管理装置内に暗号化されて保存され、 前記データベースの前記復号化キーの前記第 1の復号化キーが前記ユー ザ装置内に保存され、 前記第 2の復号化キーが前記認証装置内に保存さ れる、 請求項 1 2〜 1 6のいずれかに記載の情報管理システム。

' 1 8 . 前記認証装置が送信する前記アクセス許可証、 および前記データ ベースの復号化キーの復号化キーが、 1回限定使用のものである、 請求 項 1 2〜 1 7のいずれかに記載のシステム。

1 9 . 前記認証装置が送信する前記データの暗号化キ一、 および前記デ 一夕の復号化キーが、 1回限定使用のものである、 請求項 1 3〜 1 8の いずれかに記載のシステム。

2 0 . 前記ユーザ装置が、 前記データのコピー、 プリントアウト、 およ びハードコピーから選択される 1以上の事象の記録を保存する、 請求項 1 2〜 1 9のいずれかに記載の情報管理システム。

2 1 . 前記データ管理装置が、 前記デ一夕へのアクセスに関する事象の 記録を保存する、 請求項 1 2〜 2 0のいずれかに記載の情報管理システ • ム。

2 2 . 前記認証装置が、 前記認証に関連する事象の記録を保存する、 請 求項 1 2〜 2 1のいずれかに記載のシステム。