WO2021152817A1

WO2021152817A1 - データ流通管理装置、データ流通管理方法、およびプログラム

Info

Publication number: WO2021152817A1
Application number: PCT/JP2020/003624
Authority: WO
Inventors: 健治馬越; 啓一郎柏木; 由唯齋藤; 弘樹神谷
Original assignee: 日本電信電話株式会社
Priority date: 2020-01-31
Filing date: 2020-01-31
Publication date: 2021-08-05
Also published as: EP4099203A1; EP4099203A4; US20230081480A1; JP7315873B2; JPWO2021152817A1

Abstract

専用データストア２に蓄積されたデータを共有データストア３に複製して共有するデータ流通管理装置１である。データ流通管理装置１は、共有するデータを限定する条件および共有するデータを参照可能なユーザを限定する条件を含むデータ共有条件の合意形成を仲介し、合意したデータ共有条件を提案データベース１５に登録する提案管理部１１と、合意したデータ共有条件に基づいて共有するデータへのアクセス制御に用いるアクセス制御ポリシーをポリシーＤＢ１６に登録するポリシー管理部１２と、アクセス制御ポリシーに基づいて共有するデータを専用データストア２から共有データストア３に複製し、共有するデータに対するデータ参照要求に応じて、アクセス制御ポリシーを基づいて共有するデータに対するアクセス制御を行うポリシー施行部１３を有する。

Description

データ流通管理装置、データ流通管理方法、およびプログラム

　本発明は、データ流通管理装置、データ流通管理方法、およびプログラムに関する。

　企業または個人の持つ情報、ならびに機器およびセンサから生成されたデータを活用し、データ分析・可視化などの処理が行われている。企業は、自社の有するデータだけではなく他社またはユーザの持つ情報を利用したデータ分析やサービス提供を行うことで競争力を高めることが望まれる。

　一方で企業または個人の提供したデータを安全に取り扱うことへの要求が近年高まっている。複数の国および地域においてデータの取り扱いと所有権に関する法律が制定された。例えば、日本では、平成３０年に不正競争防止法における限定提供データの取り扱いに関する改正が行われた。この改正では、一定の条件を満たし共有相手を限定して提供したデータを限定提供データと規定し、その不正取得、使用、および開示が不正競争として位置づけられた。また、欧州および米国では、ＧＤＰＲやＣＣＰＡ等の個人情報保護に関する法律が制定され、提供されたユーザの情報を保護する動きが進んでいる。

内林俊洋、外１０名、「iKaaS―プライバシーに配慮した IoT プラットホーム―」、電子情報通信学会論文誌、Vol. J101-B, No. 1, pp. 3-15 原田要之助、「データガバナンスの規格と活用について-GDPR との関係の整理」、研究報告電子化知的財産・社会基盤、Vol. 2017-EIP-78, No. 11, pp. 1-8

　企業または個人の提供したデータを共有するためには、各国または各地域の法令に準拠する必要がある。例えば、データ提供者がデータ共有範囲を管理したり、データ共有の合意形成の証跡とデータ共有のトレーサビリティが必要であったり、データの配置場所（国内または地域内）を管理したり、あるいは、共有条件を満たさなくなったデータを削除したりする必要がある。

　データを活用したサービスを提供するためには、企業間でデータを流通させるデータ流通プラットフォームがあると便利である。データ流通プラットフォームは、法令に従ってデータを扱うための仕組みが必要である。

　本発明は、上記に鑑みてなされたものであり、組織間で共有するデータを適切に管理および流通することを目的とする。

　本発明の一態様のデータ流通管理装置は、専用データストアに蓄積されたデータの複製またはデータへのポインタを共有データストアに蓄積して前記データを共有するデータ流通管理装置であって、共有するデータを限定する条件および共有するデータにアクセス可能なユーザを限定する条件を含むデータ共有条件の合意形成を仲介し、合意した前記データ共有条件を提案データベースに登録する提案管理部と、合意した前記データ共有条件に基づいて前記共有するデータへのアクセス制御に用いるアクセス制御ポリシーをポリシーデータベースに登録するポリシー管理部と、前記アクセス制御ポリシーに基づいて前記専用データストアに蓄積された前記共有するデータの複製または前記共有するデータへのポインタを前記共有データストアに蓄積し、前記共有するデータに対するアクセス要求に応じて、前記アクセス制御ポリシーに基づいて前記共有データストアに蓄積された前記共有するデータまたは前記共有するデータへのポインタに対するアクセス制御を行うポリシー施行部を有する。

　本発明によれば、組織間で共有するデータを適切に管理および流通することができる。

図１は、本実施形態のデータ流通管理装置を含むデータ流通管理システムの全体構成を示す図である。図２は、データ共有条件の合意形成処理の流れを示すフローチャートである。図３は、共有するデータの参照処理の流れを示すフローチャートである。図４は、データの蓄積処理の流れを示すフローチャートである。図５は、規制対象データの蓄積処理の流れを示すフローチャートである。図６は、規制対象データへのアクセス処理の流れを示すフローチャートである。図７は、データ流通管理装置のハードウェア構成の一例を示す図である。

　以下、本発明の実施の形態について図面を用いて説明する。

　図１を参照し、本実施形態のデータ流通管理装置１を含むデータ流通管理システムについて説明する。図１のデータ流通管理システムは、データ流通管理装置１、専用データストア２、共有データストア３、およびＩＤ管理装置４を備える。

　データ流通管理装置１は、組織間のデータ共有条件の合意を形成する機能および合意に基づいて共有するデータを管理し、流通する機能を有する。データ流通管理装置１の詳細については後述する。

　専用データストア２は、共有するデータを持つ組織のみで使用し、外部組織に提供しないデータを蓄積するデータストアである。以下、共有するデータを持つ組織を組織Ａと称し、外部組織を外部組織Ｂと称する。専用データストア２に蓄積されたデータは、組織Ａ内のユーザのみがアクセス可能である。専用データストア２は、外部組織Ｂからアクセスできないように、ネットワークで分離されたり、データ流通管理装置１によるアクセス制御が行われたりする。

　共有データストア３は、外部組織Ｂに共有するデータを蓄積するデータストアである。共有データストア３は、専用データストア２に蓄積されたデータの一部（共有するデータ）をリードオンリーでコピーされたデータを蓄積する。共有データストア３には、共有するデータに対して匿名化または抽象化などの所定の加工処理を行ったデータを蓄積してもよい。共有データストア３は、データ本体を蓄積する代わりにデータ本体へのポインタを蓄積してもよい。ポインタを介して専用データストア２に蓄積したデータ本体にアクセスできる。以下の説明では、共有データストア３へのデータの蓄積および複製（コピー）はデータ本体へのポインタの蓄積を含み、共有データストア３からのデータの削除はポインタの削除を含むものとする。

　共有データストア３は、データ流通管理装置１を介してアクセス可能な場所に配置する。共有データストア３は、複数存在していてもよい。国または地域ごとに異なる共有データストア３を配置してもよいし、蓄積するデータの種別ごとに異なる共有データストア３を備えてもよい。あるいは、共有先の外部組織Ｂごとに異なる共有データストア３を備えてもよい。

　ＩＤ管理装置４は、ユーザ、組織、ユーザと組織を含むグループ、クライアント５Ａ，５Ｂ、またはアプリケーションを識別するＩＤ情報を管理して認証を行う。

　クライアント５Ａは、組織Ａのユーザが使用する端末の一例である。クライアント５Ａは、データ流通管理装置１を介して、専用データストア２および共有データストア３に蓄積されたデータを参照したり、専用データストア２および共有データストア３にデータを蓄積したりできる。クライアント５Ａは、データ流通管理装置１を介さずに専用データストア２にアクセスできてもよい。

　また、クライアント５Ａは、外部組織Ｂのユーザから提案されたデータ共有条件をデータ流通管理装置１から受信し、このデータ共有条件に対する承認または否決を返信する。クライアント５Ａは、データ共有条件を修正し、データ流通管理装置１へ返信してもよい。

　クライアント５Ｂは、外部組織Ｂのユーザが使用する端末の一例である。クライアント５Ｂは、データ共有条件をデータ流通管理装置１へ送信し、データの共有を要求する。データ流通管理装置１を介して組織間のデータ共有条件の合意が形成される。合意したデータ共有条件に従って共有するデータは、専用データストア２から共有データストア３にコピーされる。クライアント５Ｂは、データ共有条件に基づき、データ流通管理装置１を介して、共有データストア３に蓄積されたデータにアクセスできる。

　クライアント５Ａ，５Ｂは、データ流通管理装置１を介さない別のデータストア（図示せず）を利用できてもよい。

　次に、データ流通管理装置１の構成の一例について説明する。図１のデータ流通管理装置１は、提案管理部１１、ポリシー管理部１２、ポリシー施行部１３、ゲートウェイ１４、提案データベース（ＤＢ）１５、ポリシーＤＢ１６、および配置情報ＤＢ１７を備える。

　提案管理部１１は、組織間のデータ共有条件の合意形成を仲介し、組織間で合意したデータ共有条件を提案ＤＢ１５に登録する。具体的には、提案管理部１１は、データ共有を要求する外部組織Ｂのユーザ（クライアント５Ｂ）からデータ共有条件を含むデータ共有提案情報を受信すると、承認権限を持つ組織Ａのユーザ（クライアント５Ａ）に提案されたデータ共有条件を通知する。提案管理部１１は、クライアント５Ａからデータ共有条件の承認または否決を受け付けて、組織間で合意したデータ共有条件を提案ＤＢ１５に登録する。提案ＤＢ１５には、データ共有条件に加えて、提案者情報、承認者情報、および承認時刻情報を登録してもよい。

　提案管理部１１は、クライアント５Ａから修正されたデータ共有条件を受信した場合、修正されたデータ共有条件をクライアント５Ｂへ通知する。提案管理部１１は、クライアント５Ｂから承認が得られると、修正後のデータ共有条件を合意したデータ共有条件として提案ＤＢ１５に登録する。このように、クライアント５Ａ，５Ｂ間で、データ共有条件を修正しながら合意を形成してもよい。

　提案管理部１１は、組織間で合意が得られなかったデータ共有条件を提案ＤＢ１５に登録してもよい。この場合、提案ＤＢ１５には、否決したデータ共有条件に加えて、提案者情報、否決者情報、および否決時刻情報を登録してもよい。

　提案管理部１１が、組織間で合意したデータ共有条件を提案ＤＢ１５に登録することで、合意形成のトレーサビリティを確保でき、共有するデータを法律で一定の保護を受ける限定提供データとして取り扱うことが可能になる。また、個人情報管理の上でもデータ共有範囲をデータ提供者が確認可能となる。

　データ共有条件は、共有するデータを限定する条件、共有するデータにアクセス可能なユーザ（組織またはグループであってもよい）を限定する条件を含む。データ共有条件は、データ利用期間または有効期限、ユーザの位置を限定する条件、データ利用目的、データの提供先地域の条件、もしくはデータスキーマの一部を指定する条件を含んでもよい。

　ポリシー管理部１２は、合意したデータ共有条件に対応するアクセス制御ポリシーを生成してポリシーＤＢ１６に登録する。アクセス制御ポリシーは、データに対するアクセス権限を定義した情報であり、共有するデータへのアクセス制御に用いられる。例えば、アクセス制御ポリシーは、対象となるユーザ、組織、またはグループを限定する情報と、対象とするデータ（共有するデータ）を限定する条件、およびポリシーの有効期限を含む。アクセス制御ポリシーは、ユーザを限定する階層化された情報（ＹＡＭＬ形式）とそれ以外の条件に関する情報（ＪＳＯＮ形式）の２種類の形式を含んでもよい。ポリシー管理部１２は、登録したアクセス制御ポリシーを一意に識別するためのポリシー識別子をデータ共有条件を合意した組織（クライアント５Ａ，５Ｂ）に送信してもよい。

　また、ポリシー管理部１２は、合意したデータ共有条件に基づいて、共有するデータを蓄積する共有データストア３を選択し、共有するデータを蓄積するデータストアを示すデータ配置情報を配置情報ＤＢ１７に登録する。例えば、ポリシー管理部１２は、国外または地域外へのデータの移動に対して制限がある種別のデータについては、当該国または地域内に配置された共有データストア３を選択する。あるいは、ポリシー管理部１２は、データの種別に応じてデータを蓄積する共有データストア３を選択してもよい。

　ポリシー施行部１３は、データ共有条件に基づくアクセス制御ポリシーがポリシーＤＢ１６に登録された後、所定のタイミングで、当該アクセス制御ポリシーによるアクセス制御対象であるデータを専用データストア２から共有データストア３にコピーする。専用データストア２から共有データストア３へのデータのコピーは、データの複製を共有データストア３に蓄積してもよいし、専用データストア２に蓄積されたデータへのポインタを共有データストア３に蓄積してもよい。このとき、ポリシー施行部１３は、配置情報ＤＢ１７を参照し、共有するデータを蓄積する共有データストア３を特定する。ポリシー施行部１３は、データを共有データストア３に蓄積する際、データに対して所定の加工処理を施してもよい。所定の加工処理とは、例えば、データの種別が個人情報であった場合、個人を特定する情報を削除したり、個人情報を匿名化したり、データを抽象化したりする処理である。所定の加工処理を施すデータの種別としては、法令により定められたデータがある。例えば、ユーザのプロファイル、支払い情報、医療情報、または政府・公官庁の情報などである。

　ポリシー施行部１３は、クライアント５Ｂからのデータ参照要求に応じて、アクセス制御ポリシーに基づき、要求されたデータに対するアクセスの可否を判定する。要求されたデータへのアクセスは許可されていると判定した場合、ポリシー施行部１３は、共有データストア３からデータまたはデータへのポインタを取得してクライアント５Ｂへ送信する。ポリシー施行部１３は、必要であれば、共有データストア３から取得したデータに対して加工処理を施した後、クライアント５Ｂへ送信する。

　ポリシー施行部１３は、アクセス制御ポリシーの有効期限が切れたとき、またはアクセス制御ポリシーが削除されたときなど、アクセス制御ポリシーが無効になったときに、当該アクセス制御ポリシーによるアクセス制御対象であるデータまたはデータへのポインタを共有データストア３から削除する。

　ポリシー施行部１３は、クライアント５Ａからのデータ蓄積要求に応じて、アクセス制御ポリシーに基づき、受信したデータを専用データストア２に蓄積するとともに、受信したデータが共有するデータに該当するときは当該データを共有データストア３に蓄積する。ポリシー施行部１３は、必要であれば、データに対して必要な加工処理を施した後、共有データストア３に蓄積する。

　ゲートウェイ１４は、クライアント５Ａ，５Ｂとの間で信号の送受信、およびクライアント５Ａ，５Ｂの認証を行う。具体的には、ゲートウェイ１４は、クライアント５Ａ，５Ｂから、データ共有提案情報、データ参照要求、およびデータ蓄積要求を受信すると、ＩＤ管理装置４を利用してクライアント５Ａ，５Ｂを認証し、データ流通管理装置１の備える機能を利用して要求に応じた処理を実行する。

　次に、データ流通管理装置１の動作について説明する。

　まず、図２を参照し、データ共有条件の合意形成処理について説明する。

　ステップＳ１１にて、ゲートウェイ１４は、外部組織Ｂの提案者（クライアント５Ｂ）からデータ共有条件を含むデータ共有提案情報を受信する。受信したデータ共有提案情報は提案管理部１１に渡される。

　ステップＳ１２にて、提案管理部１１は、承認権限を持つ承認者（クライアント５Ａ）にデータ共有条件を通知する。なお、提案の承認を行うべき承認者が複数存在する場合、全てのユーザに対してデータ共有条件を通知する。

　ステップＳ１３にて、提案管理部１１は、クライアント５Ａからの承認結果に基づき、データ共有条件が承認されたか否かを判定する。複数の承認者からの承認が必要な場合、提案管理部１１は全ての承認者が承認したか否かを判定する。

　ステップＳ１４にて、提案管理部１１は、クライアント５Ａからの承認結果に基づき、データ共有条件が否決されたか否かを判定する。

　データ共有条件が否決された場合、ステップＳ１５にて、提案管理部１１は、否決されたデータ共有条件を提案ＤＢ１５に登録する。このとき、提案管理部１１は、提案者情報、否決者情報、および否決時刻情報を提案ＤＢ１５に登録してもよい。

　承認も否決もされずに、データ共有条件が修正された場合、ステップＳ１６にて、提案管理部１１は、修正されたデータ共有条件を提案者へ通知し、処理をステップＳ１３へ進める。ステップＳ１３では、提案管理部１１は、提案者も含めた全員から修正後のデータ共有条件が承認されたか否かを判定する。

　データ共有条件の合意が形成された場合、ステップＳ１７にて、提案管理部１１は、合意されたデータ共有条件を提案ＤＢ１５に登録する。このとき、提案管理部１１は、提案者情報、承認者情報、および承認時刻情報を提案ＤＢ１５に登録してもよい。

　ステップＳ１８にて、ポリシー管理部１２は、合意したデータ共有条件に対応するアクセス制御ポリシーをポリシーＤＢ１６に登録するとともに、共有するデータのデータ配置情報を配置情報ＤＢ１７に登録する。

　ステップＳ１９にて、ポリシー管理部１２は、ポリシーＤＢ１６に登録したアクセス制御ポリシーの識別子を提案者および承認者に通知する。

　以上の処理により、データ共有条件が合意され、データ共有条件に対応するアクセス制御ポリシーがポリシーＤＢ１６に登録される。

　アクセス制御ポリシーが登録された後、ポリシー施行部１３は、ポリシーＤＢ１６に登録されたアクセス制御ポリシーを参照して共有するデータを特定するとともに、配置情報ＤＢ１７に登録されたデータ配置情報を参照して共有するデータを蓄積する共有データストア３を特定し、共有するデータを専用データストア２から共有データストア３へコピーする。共有データストア３にデータを蓄積する際、ポリシー施行部１３は、データの種別に応じて、データに所定の加工処理を施してもよい。共有するデータのコピーは、アクセス制御ポリシーの登録後すぐに行われてもよいし、登録されたアクセス制御ポリシーに基づくデータ参照要求を受信したときに行われてもよい。所定のタイミングまたは管理者からの指示に応じて共有するデータのコピーが行われてもよい。

　ポリシー施行部１３は、アクセス制御ポリシーの有効期限が切れたり、アクセス制御ポリシーが無効になったりした場合、アクセス制御ポリシーに対応する共有データストア３上のデータを削除する。

　続いて、図３を参照し、共有するデータの参照処理について説明する。

　ステップＳ２１にて、ゲートウェイ１４は、外部組織Ｂのユーザ（クライアント５Ｂ）からデータ参照要求を受信する。受信したデータ参照要求はポリシー施行部１３に渡される。データ参照要求は、ポリシー識別子と要求するデータを特定するための検索条件を含む。データ参照要求は、ユーザを特定するための情報を含んでもよい。

　ステップＳ２２にて、ポリシー施行部１３は、ポリシー識別子で特定されるアクセス制御ポリシーは有効であるか否か判定する。例えば、ポリシー施行部１３は、ポリシー識別子で特定されるアクセス制御ポリシーがポリシーＤＢ１６に登録されているか否か、アクセス制御ポリシーは有効期限内であるか否かを判定する。

　アクセス制御ポリシーが有効な場合、ステップＳ２３にて、ポリシー施行部１３は、要求されたデータへのアクセス権限があるか否かを判定する。例えば、ポリシー施行部１３は、アクセス制御ポリシーを参照し、データ参照要求を送信したユーザを対象としているか否か、要求されたデータは対象であるか否かを判定する。データへのアクセス権限があるか否かは、ユーザまたはユーザの属するグループに基づいて判定してもよい。

　アクセス制御ポリシーが有効でない場合、またはユーザがデータへのアクセス権限を有しない場合、ステップＳ２４にて、ポリシー施行部１３は、ゲートウェイ１４を介して、クライアント５Ｂへエラーを返却する。エラーには、アクセス制御ポリシーが有効でないこと、またはアクセス権限を有しないことなどのエラーの原因を含めてもよい。

　ユーザがデータへのアクセス権限を有する場合、ステップＳ２５にて、ポリシー施行部１３は、要求されたデータを共有データストア３から取得する。より具体的には、ポリシー施行部１３は、配置情報ＤＢ１７に登録されたデータ配置情報を参照し、要求されたデータが蓄積された共有データストア３を特定して、共有データストア３から要求されたデータを取得する。

　ステップＳ２６にて、ポリシー施行部１３は、取得したデータに対して所定の加工処理が必要であるか否かを判定する。

　データに対して処理が必要な場合、ステップＳ２７にて、ポリシー施行部１３は、データに対して所定の加工処理を施す。

　ステップＳ２８にて、ポリシー施行部１３は、ゲートウェイ１４を介して、要求されたデータをクライアント５Ｂへ返却する。ステップＳ２７にてデータに対して加工処理が施された場合は、加工処理が施されたデータを返却する。

　データ流通管理装置１は、データ共有の提案に対して、その都度、データ共有条件の合意を仲介し、データ共有条件が合意されると、専用データストア２から共有データストア３へ共有するデータの複製を行い、共有するデータへのアクセス制御を行う。これにより、一時的な、データへのアクセス権限の付与を容易に実現でき、データ流通の促進に寄与できる。

　続いて、図４を参照し、データの蓄積処理について説明する。

　ステップＳ３１にて、ゲートウェイ１４は、組織Ａ内のユーザ（クライアント５Ａ）からデータ蓄積要求を受信する。受信したデータ蓄積要求はポリシー施行部１３に渡される。

　ステップＳ３２にて、ポリシー施行部１３は、蓄積するデータは共有するデータに該当するか否か判定する。

　共有するデータに該当しない場合、ステップＳ３３にて、ポリシー施行部１３は、受信したデータを専用データストア２に蓄積する。

　共有するデータに該当する場合、ステップＳ３４にて、ポリシー施行部１３は、データを蓄積する際に所定の加工処理が必要なデータであるか否かを判定する。

　データに対して処理が必要な場合、ステップＳ３５にて、ポリシー施行部１３は、データに対して所定の加工処理を施す。

　ステップＳ３６にて、ポリシー施行部１３は、データを共有データストア３に蓄積する。ステップＳ３５にてデータに対して加工処理が施された場合は、加工処理が施されたデータを共有データストア３に蓄積する。

　続いて、図５を参照し、規制対象データの蓄積処理について説明する。規制対象データとは、法令により規制対象となる種別のデータである。規制対象データは、蓄積場所が制限されたり、データの複製が制限されたり、組織外または国外への移動が制限されたりする。

　ステップＳ４１にて、ゲートウェイ１４は、組織Ａ内のユーザ（クライアント５Ａ）からデータ蓄積要求を受信する。受信したデータ蓄積要求はポリシー施行部１３に渡される。

　ステップＳ４２にて、ポリシー施行部１３は、蓄積するデータは規制対象データであるか否かを判定する。

　規制対象データでない場合、ステップＳ４３にて、ポリシー施行部１３は、図４で示した通常のフローに従ってデータを蓄積する。

　規制対象データである場合、ステップＳ４４にて、ポリシー施行部１３は、法令で規定された条件を満たす共有データストア３を検索する。例えば、蓄積するデータが国外への移動が禁止された規制対象データである場合、ポリシー施行部１３は、国内に配置された共有データストア３を検索する。

　ステップＳ４５にて、ポリシー施行部１３は、条件を満たす共有データストア３が存在するか否かを判定する。

　条件を満たすデータストアが存在しない場合、ステップＳ４６にて、ポリシー施行部１３は、ゲートウェイ１４を介して、クライアント５Ａにエラーを送信する。

　条件を満たすデータストアが存在する場合、ステップＳ４７にて、ポリシー施行部１３は、ステップＳ４４で検索した共有データストア３にデータを蓄積するとともに、データを蓄積した共有データストア３のデータ配置情報を配置情報ＤＢ１７に登録する。

　続いて、図６を参照し、規制対象データへのアクセス処理について説明する。アクセス処理には、例えば、参照、複製、または移動などの処理がある。規制対象データへのアクセスを要求するデータ参照要求は、図３のフローチャートに従って処理されて、データを要求したユーザは規制対象データへのアクセス権限を有すると判定されたものとする。

　ステップＳ５１にて、ポリシー施行部１３は、規制対象データに対して要求されたアクセス処理は、法令で認められた処理であるか否かを判定する。例えば、規制対象データの複製が禁止されている場合、アクセス処理が規制対象データの複製を要求するものであれば、そのアクセス処理は法令で認められていないと判定する。あるいは、規制対象データを蓄積する共有データストア３の配置された国では規制対象データを国外に持ち出すことが禁止されている場合、規制対象データを要求したユーザが国外にいるときは、そのユーザの要求する規制対象データへのアクセス処理は法令で認められていないと判定する。あるいは、規制対象データへのアクセス処理を要求するユーザのいる国では、規制対象データを共有することが認められていない場合、規制対象データへのアクセス処理は法令で認められていないと判定する。

　規制対象データに対する所望のアクセス処理が認められない場合、ステップＳ５２にて、ポリシー施行部１３は、ゲートウェイ１４を介して、クライアント５Ｂにエラーを送信する。

　規制対象データに対する所望のアクセス処理が認められる場合、ステップＳ５３にて、ポリシー施行部１３は、規制対象データに対してアクセス処理する際に、法令で規定された処理が必要であるか否かを判定する。

　法令で規定された処理が必要である場合、ステップＳ５４にて、ポリシー施行部１３は、法令で規定された処理を実施する。

　ステップＳ５５にて、ポリシー施行部１３は、規制対象データに対して要求されたアクセス処理を実施する。このとき、ポリシー施行部１３は、法令の条件を満たすネットワークおよびプロキシを利用して要求されたアクセス処理を実施する。例えば、規制対象データの国外への移動が禁止されている場合、国外を経由しないネットワークを利用して要求されたアクセス処理を実施する。法令の条件を満たすことができない場合、ポリシー施行部１３は、ゲートウェイ１４を介して、クライアント５Ｂにエラーを送信する。

　以上説明したように、本実施形態によれば、提案管理部１１が、共有するデータを限定する条件および共有するデータにアクセス可能なユーザを限定する条件を含むデータ共有条件の合意形成を仲介し、合意したデータ共有条件を提案ＤＢ１５に登録し、ポリシー管理部１２が、合意したデータ共有条件に基づいて共有するデータへのアクセス制御に用いるアクセス制御ポリシーをポリシーデータベースに登録し、ポリシー施行部１３が、アクセス制御ポリシーに基づいて共有するデータを専用データストア２から共有データストア３に複製し、データ参照要求に応じて、アクセス制御ポリシーに基づいて共有するデータに対するアクセス制御を行う。これにより、合意形成の証跡およびデータ共有に対するトレーサビリティが確保でき、組織間で共有するデータを適切に管理および流通することができる。

　本実施形態によれば、複数の共有データストア３を備えて、共有するデータの蓄積場所を分散させることで、データの蓄積場所の制限またはデータの移動制限など法令に従ってデータを管理することが可能となる。

　上記説明したデータ流通管理装置１には、例えば、図７に示すような、中央演算処理装置（ＣＰＵ）９０１と、メモリ９０２と、ストレージ９０３と、通信装置９０４と、入力装置９０５と、出力装置９０６とを備える汎用的なコンピュータシステムを用いることができる。このコンピュータシステムにおいて、ＣＰＵ９０１がメモリ９０２上にロードされた所定のプログラムを実行することにより、データ流通管理装置１が実現される。このプログラムは磁気ディスク、光ディスク、半導体メモリ等のコンピュータ読み取り可能な記録媒体に記録することも、ネットワークを介して配信することもできる。

　１…データ流通管理装置
　１１…提案管理部
　１２…ポリシー管理部
　１３…ポリシー施行部
　１４…ゲートウェイ
　１５…提案ＤＢ
　１６…ポリシーＤＢ
　１７…配置情報ＤＢ
　２…専用データストア
　３…共有データストア
　４…ＩＤ管理装置
　５Ａ，５Ｂ…クライアント

Claims

　専用データストアに蓄積されたデータの複製またはデータへのポインタを共有データストアに蓄積して前記データを共有するデータ流通管理装置であって、
　共有するデータを限定する条件および共有するデータにアクセス可能なユーザを限定する条件を含むデータ共有条件の合意形成を仲介し、合意した前記データ共有条件を提案データベースに登録する提案管理部と、
　合意した前記データ共有条件に基づいて前記共有するデータへのアクセス制御に用いるアクセス制御ポリシーをポリシーデータベースに登録するポリシー管理部と、
　前記アクセス制御ポリシーに基づいて前記専用データストアに蓄積された前記共有するデータの複製または前記共有するデータへのポインタを前記共有データストアに蓄積し、
　前記共有するデータに対するアクセス要求に応じて、前記アクセス制御ポリシーに基づいて前記共有データストアに蓄積された前記共有するデータまたは前記共有するデータへのポインタに対するアクセス制御を行うポリシー施行部を有する
　データ流通管理装置。
　請求項１に記載のデータ流通管理装置であって、
　前記ポリシー施行部は、前記アクセス制御ポリシーが無効になったときに、前記共有するデータまたは前記共有するデータへのポインタを前記共有データストアから削除する
　データ流通管理装置。
　請求項１または２に記載のデータ流通管理装置であって、
　前記ポリシー施行部は、データの蓄積要求に応じて、蓄積するデータが前記共有するデータに該当するかどうかを判定し、前記共有するデータに該当する場合は前記蓄積するデータを前記専用データストアに蓄積するとともに、前記蓄積するデータの複製または前記蓄積するデータへのポインタを前記共有データストアに蓄積し、前記共有するデータに該当しない場合は前記蓄積するデータを前記専用データストアに蓄積する
　データ流通管理装置。
　請求項３に記載のデータ流通管理装置であって、
　前記アクセス制御ポリシーに前記共有するデータに対する加工処理が定められているとき、前記ポリシー施行部は、前記共有するデータの送信時または蓄積時に前記共有するデータに対して加工処理を行う
　データ流通管理装置。
　請求項１ないし４のいずれかに記載のデータ流通管理装置であって、
　複数の共有データストアを利用してデータを共有し、
　前記ポリシー施行部は、前記共有するデータの種別に基づいて、前記共有するデータを蓄積する共有データストアを選択し、当該共有データストアを示すデータ配置情報を配置情報データベースに登録し、
　前記ポリシー施行部は、前記アクセス制御ポリシーおよび前記データ配置情報を参照して前記共有するデータまたは前記共有するデータへのポインタに対するアクセス制御を行う
　データ流通管理装置。
　請求項５に記載のデータ流通管理装置であって、
　前記ポリシー施行部は、前記共有するデータの種別が法令により制限を受ける種別である場合、法令により規定された条件を満たす共有データストアを選択する
　データ流通管理装置。
　専用データストアに蓄積されたデータの複製またはデータへのポインタを共有データストアに蓄積して前記データを共有するデータ流通管理方法であって、
　コンピュータが、
　共有するデータを限定する条件および共有するデータにアクセス可能なユーザを限定する条件を含むデータ共有条件の合意形成を仲介し、合意した前記データ共有条件を提案データベースに登録し、
　合意した前記データ共有条件に基づいて前記共有するデータへのアクセス制御に用いるアクセス制御ポリシーをポリシーデータベースに登録し、
　前記アクセス制御ポリシーに基づいて前記専用データストアに蓄積された前記共有するデータの複製または前記データへのポインタを前記共有データストアに蓄積し、
　前記共有するデータに対するアクセス要求に応じて、前記アクセス制御ポリシーを基づいて前記共有データストアに蓄積された前記共有するデータまたは前記共有するデータへのポインタに対するアクセス制御を行う
　データ流通管理方法。
　請求項１ないし６のいずれかに記載のデータ流通管理装置の各部としてコンピュータを動作させるプログラム。