WO2022249293A1

WO2022249293A1 - 制御方法、制御プログラム、情報処理システムおよび情報処理装置

Info

Publication number: WO2022249293A1
Application number: PCT/JP2021/019841
Authority: WO
Inventors: 孝一矢崎; 大山本; 洋介中村; 忠信角田; 陸大小嶋
Original assignee: 富士通株式会社
Priority date: 2021-05-25
Filing date: 2021-05-25
Publication date: 2022-12-01
Also published as: JPWO2022249293A1

Abstract

情報処理装置は、第１の端末から、クラウドストレージに格納された第１のユーザのデータを識別する第１の情報と、データの提供先である第２のユーザを識別する第２の情報とを受信すると、データの提供元が第１のユーザであり、かつ、データの提供先が第２のユーザであることを示す第３の情報と、第３の情報に関する情報処理装置の署名情報を示す第４の情報を、第１の端末に送信する。情報処理装置は、第２の端末から、第１の情報と、第３の情報と、第４の情報と、データの格納先を示す第５の情報とを受信すると、格納先にデータを格納する指示を出力する。

Description

制御方法、制御プログラム、情報処理システムおよび情報処理装置

　本発明は、制御方法等に関する。

　受信者の認証を行わない環境下で、送信者と受信者との間でセキュアにデータの共有を行うことが求められている。以下の説明では、事前に、受信者の認証を行わない環境を、適宜、事前設定（Trusted　Setup）のない環境下と表記する。

　たとえば、事前設定のない環境下では、従来技術１、従来技術２等を用いて、送信者と受信者との間でデータを共有する。

　図１３は、従来技術１を説明するための図である。従来技術１では、送信者と受信者とでデータを共有する場合、ＰＰＡＰ（Pre　send　Password　file　After　send　Password）の手法を採用する。

　図１３に示す例では、送信者１０Ａは、所定のツール３を用いて個人データ２を暗号化し、送信者１０ａの端末のストレージ４ａに保存する。また、ツール３は、暗号化した暗号データ２ａと、暗号データ２ａを復号するためのパスワード２ｂとを、受信者１０Ｂの端末に送信する。暗号データ２ａおよびパスワード２ｂは、受信者１０Ｂの端末のストレージ４ｂに保存される。受信者１０Ｂは、パスワード２ｂを用いて、暗号データ２ａを復号し、個人データ２を参照する。

　従来技術１では、送信者１０Ａのストレージ４ａに暗号データ２ａのみ格納するため、送信者１０Ａの端末が第三者から、不正アクセス等を受けたとしても、暗号データ２ａしか漏洩しない。

　しかし、従来技術１では、受信者１０Ｂが、ストレージ４ｂの暗号データ２ａおよびパスワード２ｂを適切に管理することが情報漏洩を防止する前提となっているため、図１４で説明するような問題が発生する。

　図１４は、従来技術１の問題を説明するための図である。たとえば、送信者１０Ａから送信された暗号データ２ａ、パスワード２ｂは、受信者１０Ｂの受信ｂｏｘ８に保存される。ここで、受信者１０Ｂが、適切な管理を行わず、第三者から、受信ｂｏｘ８に対して不正アクセスを受けると、暗号データ２ａ、パスワード２ｂが読み取られ、個人データ２が漏洩してしまう。

　図１５は、従来技術２を説明するための図である。従来技術２では、クラウド上のストレージを用いて、送信者と受信者とでデータを共有する。以下の説明では、クラウド上のストレージを、適宜、「クラウドストレージ」と表記する。

　図１５に示す例では、送信者１０Ａは、所定のツール５を用いて、個人データ２を暗号化し、送信者１０ａの端末のストレージ４ａに保存する。ツール５は、暗号化した暗号データを、クラウドストレージ６に配置し、アクセス可能な時間を一定時間に制限する。また、ツール５は、クラウドストレージ６に対するアクセス権を与える共有リンク情報７を、受信者１０Ｂの端末に送信し、受信ｂｏｘ８等に保存する。

　共有リンク情報８には、クラウドストレージ６に配置された暗号データのパスワードが設定される場合もある。受信者１０Ｂは、共有リンク情報７を基にして、クラウドストレージ６にアクセスし、個人データ２を取得する。

　従来技術２では、クラウドストレージ６に配置したデータへのアクセスを、共有リンク情報７を送信した送信者のみに限定することで、アクセス制限を行う。また、データ自体は、受信ｂｏｘ８に存在しないため、従来技術１のように、第三者から受信ｂｏｘ８に対する攻撃を受けた場合でも、データが漏洩することはない。

特開２０００－２５３０４２号公報

　しかしながら、上述した従来技術２であっても、第三者による情報の閲覧を防止することができないという問題がある。

　図１６は、従来技術２の問題を説明するための図である。たとえば、クラウドストレージ６に配置したデータへのアクセスは、共有リンク情報７を知っていれば、第三者でもアクセスすることが可能になる。このため、受信者１０Ｂが、共有リンク情報７を、第三者１０Ｃに誤転送すると、第三者１０Ｃは、クラウドストレージ６にアクセスして、データを取得することができてしまう。

　１つの側面では、本発明は、第三者による情報の閲覧を防止することができる制御方法、制御プログラム、情報処理システムおよび情報処理装置を提供することを目的とする。

　第１の案では、情報処理装置は制御方法として、次の処理を実行する。情報処理装置は、第１の端末から、クラウドストレージに格納された第１のユーザのデータを識別する第１の情報と、データの提供先である第２のユーザを識別する第２の情報とを受信する。情報処理装置は、データの提供元が第１のユーザであり、かつ、データの提供先が第２のユーザであることを示す第３の情報と、第３の情報に関する情報処理装置の署名情報を示す第４の情報を、第１の端末に送信する。情報処理装置は、第２の端末から、第１の情報と、第３の情報と、第４の情報と、データの格納先を示す第５の情報とを受信すると、格納先にデータを格納する指示を出力する。

　第三者による情報の閲覧を防止することができる。

図１は、本実施例に係る情報処理システムの処理を説明するための図（１）である。図２は、本実施例に係る情報処理システムの処理を説明するための図（２）である。図３は、トークンのデータ構造の一例を示す図である。図４は、本実施例に係る情報処理システムの処理を説明するための図（３）である。図５は、本実施例に係る情報処理システムの処理を説明するための図（４）である。図６は、本実施例に係る端末装置２０Ａの構成を示す機能ブロック図である。図７は、本実施例に係る情報処理装置の構成を示す機能ブロック図である。図８は、本実施例に係る情報処理装置の処理手順を示すフローチャート（１）である。図９は、本実施例に係る情報処理装置の処理手順を示すフローチャート（２）である。図１０は、情報処理システムのその他の処理を説明するための図である。図１１は、情報処理装置と同様の機能を実現するコンピュータのハードウェア構成の一例を示す図である。図１２は、端末装置と同様の機能を実現するコンピュータのハードウェア構成の一例を示す図である。図１３は、従来技術１を説明するための図である。図１４は、従来技術１の問題を説明するための図である。図１５は、従来技術２を説明するための図である。図１６は、従来技術２の問題を説明するための図である。

　以下に、本願の開示する制御方法、制御プログラム、情報処理システムおよび情報処理装置の実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。

　図１は、本実施例に係る情報処理システムの処理を説明するための図（１）である。図１に示す例では、情報処理システムは、情報処理装置１００と、端末装置２０Ａ，２０Ｂ，２０Ｃを有する。図示を省略するが、情報処理装置１００、端末装置２０Ａ，２０Ｂ，２０Ｃは、ネットワークを介して相互に接続される。

　端末装置２０Ａを、送信者１０Ａの端末装置とする。端末装置２０Ｂを、受信者１０Ｂの端末装置とする。端末装置２０Ｃを、第三者１０Ｃの端末装置とする。図１では、送信者１０Ａの個人データ１５を、受信者１０Ｂに提供する場合について説明する。

　端末装置２０Ａではエージェント（Agent）３０が動作している。エージェント３０は、個人データ１５の入力を受け付けると、個人データ１５を、送信者１０ＡのクラウドストレージＣＳ１に配置する。エージェント３０は、情報処理装置１００によって生成されるトークン１６を、端末装置２０Ｂに送信する。

　トークン１６には、送信者１０ＡのクラウドストレージＣＳ１に配置された個人データ１５を、受信者１０Ｂのみがアクセス可能なクラウドストレージＣＳ２に移動させる命令が含まれる。

　端末装置２０Ｂは、受信者１０Ｂの操作入力を受け付けると、トークン１６を、情報処理装置１００に送信する。情報処理装置１００は、トークン１６を受信すると、トークン１６の命令に基づいて、クラウドストレージＣＳ１の個人データ１５を、クラウドストレージＣＳ２に移動させる。これによって、受信者１０Ｂは、端末装置２０Ｂを操作して、クラウドストレージＣＳ２から、個人データ１５を取得することができる。

　続いて、受信者１０Ｂが、トークン１６を、端末装置２０Ｃに誤転送した場合について説明する。端末装置２０Ｃは、第三者１０Ｃの操作入力を受け付けると、トークン１６を、情報処理装置１００に送信する。情報処理装置１００は、トークン１６を受信すると、トークン１６の命令に基づいて、クラウドストレージＣＳ１の個人データ１５を、クラウドストレージＣＳ２に移動させる。

　ここで、情報処理装置１００は、あくまで、トークン１６の命令を基にして、個人データ１５を移動させるため、端末装置２０Ｃから、トークン１６を受信した場合でも、クラウドストレージＣＳ１の個人データ１５を、クラウドストレージＣＳ２に移動させる。すなわち、情報処理装置１００が、第三者１０ＣのクラウドストレージＣＳ３等に、個人データ１５を移動させることはない。

　上記のように、第三者１０Ｃは、クラウドストレージＣＳ２にアクセスすることは出来ないので、受信者１０Ｂが、トークン１６を、端末装置２０Ｃに誤転送した場合でも、第三者１０Ｃによる個人データ１５の閲覧を防止することができる。

　続いて、図１で説明した処理を、図２を用いてより具体的に説明する。図２は、本実施例に係る情報処理システムの処理を説明するための図（２）である。図２に示すように、情報処理システムは、以下に示す、ステップＳ１～ステップＳ８の処理を実行する。

　情報処理システムが実行するステップＳ１の処理について説明する。端末装置２０Ａのエージェント３０は、個人データ１５の入力を受け付けると、個人データ１５を、送信者１０ＡのクラウドストレージＣＳ１に配置する。また、エージェント３０は、クラウドストレージＣＳ１の個人データ１５を、情報処理装置１００がアクセス可能なTaaS領域ＴＳ１に移動させる。個人データ１５には、データを一意に識別可能なデータＩＤ（Identification）が付与されているものとする。たとえば、個人データ１５に設定されるデータＩＤは「第１の情報」に対応する。

　情報処理システムが実行するステップＳ２の処理について説明する。エージェント３０は、送信者１０Ａに指定された宛先リスト１１を、情報処理装置１００に送信することで、トークン生成依頼を行う。宛先リスト１１には、個人データの提供先となる端末装置のアドレス（emailアドレス等）が設定される。たとえば、個人データ１５の提供先が、受信者１０Ｂの端末装置２０Ｂとなる場合には、宛先リスト１１には、端末装置２０Ｂのアドレスが設定される。提供先が複数の場合には、宛先リスト１１には複数のアドレスが設定される。図２の説明では、宛先リストには、端末装置２０Ｂ（受信者１０Ｂ）のアドレスが設定されているものとする。宛先リスト１１に設定されるアドレスは「第２の情報」に対応する。

　また、宛先リスト１１に設定されるアドレスは、受信者のクラウドストレージを識別する情報として利用される。たとえば、受信者１０Ｂが、端末装置２０Ｂのアドレスを用いて、２つのクラウドストレージＣＳ２－１，ＣＳ２－２を利用しているものとする。この場合には、宛先リスト１１に設定される端末装置２０Ｂのアドレスによって、クラウドストレージＣＳ２－１，ＣＳ２－２が識別される。

　情報処理システムが実行するステップＳ３の処理について説明する。情報処理装置１００は、宛先リスト１１を受信すると、トークン（token）１６を生成する。図３は、トークンのデータ構造の一例を示す図である。図３に示すように、このトークン１６は、アドレス群、データＩＤ、送信者アドレス、nonce、署名情報を有する。

　アドレス群は、宛先リスト１１に設定される個人データ１５の提供先となる受信者１０Ｂ（受信者１０Ｂの端末装置２０Ｂ）のアドレスが設定される。データＩＤは、個人データ１５を一意に識別する情報である。送信者アドレスは、個人データ１５を提供する送信者１０Ａ（送信者１０Ａの端末装置２０Ａ）のアドレスが設定される。nonceは、replay攻撃対策で利用される情報である。署名情報は、情報処理装置１００が有するTaaS鍵によって生成される署名情報である。たとえば、情報処理装置１００は、トークン１６の所定領域のデータをハッシュ関数でハッシュ値に変換し、かかるハッシュ値をTaaS鍵によって暗号化することで、署名情報を生成する。トークン１６に含まれるアドレス群および送信者アドレスが、「第３の情報」に対応する。トークン１６に含まれる署名情報が、「第４の情報」に対応する。

　情報処理システムが実行するステップＳ４の処理について説明する。エージェント３０は、情報処理装置１００から、トークン１６を取得する。

　情報処理システムが実行するステップＳ５の処理について説明する。エージェント３０は、情報処理装置１００から取得したトークン１６を、端末装置２０Ｂに送信する。

　情報処理システムが実行するステップＳ６の処理について説明する。端末装置２０Ｂは、エージェント３０からトークン１６を受信すると、端末装置２０Ｂの表示画面等に、トークン１６（送信者１０Ａからのメール）を受信した旨の画面情報を表示する。受信者１０Ｂは、端末装置２０Ｂを操作して、トークン１６を選択し、クラウドストレージＣＳ２－１，ＣＳ２－２のうちいずれか一方を選択する。図２の説明では、受信者１０Ｂは、クラウドストレージＣＳ２－１，ＣＳ２－２のうち、クラウドストレージＣＳ２－１を選択した場合について説明する。

　端末装置２０Ｂは、受信者１０Ｂからの操作を受け付けると、トークン１６を情報処理装置１００に送信する。トークン１６には、クラウドストレージＣＳ２－１が選択された旨の情報が付与される。係る選択されたクラウドストレージの情報は、「第５の情報」に対応する。

　情報処理システムが実行するステップＳ７の処理について説明する。情報処理装置１００は、トークン１６を受信すると、情報処理装置１００は、次の処理を実行する。情報処理装置１００は、トークン１６に含まれる署名情報と、TaaS鍵とを基にして、トークン１６を認証する。たとえば、情報処理装置１００は、トークン１６の所定領域のデータをハッシュ関数でハッシュ値と、署名情報をTaaS鍵で復号した値とが対応する場合に、トークン１６の認証が成功したと判定する。

　情報処理装置１００は、トークン１６の認証に成功した場合、トークン１６の送信者アドレスに対応付けられるTaaS領域ＴＳ１にアクセスし、データＩＤに対応する個人データ１５を取得する。

　情報処理装置１００は、アドレス群に設定されたクラウドストレージＣＳ２－１，ＣＳ２－２のうち、受信者１０Ｂに選択された側のクラウドストレージＣＳ２－１であって、クラウドストレージＣＳ２－１に対応するTaaS領域ＴＳ２を特定する。情報処理装置１００は、TaaS領域ＴＳ２に個人データ１５を配置する。

　情報処理システムが実行するステップＳ８の処理について説明する。端末装置２０Ｂは、クラウドストレージＣＳ２－１にアクセスし、TaaS領域ＴＳ２に配置された個人データ１５を、クラウドストレージＣＳ２－１に移動させる。

　上記のように、情報処理システムは、ステップＳ１～ステップＳ８の処理を実行することによって、送信者１０Ａと、受信者１０Ｂとの間で、セキュアに、個人データ１５を共有することができる。図２では図示を省略しているが、仮に、トークン１６が、第三者１０Ｃの端末装置２０Ｃに誤転送された場合でも、図１で説明したように、あくまで、受信者１０Ｂがアクセス可能なクラウドストレージＣＳ２－１に個人データ１５が格納されるため、個人データ１５の情報漏洩を防止できる。

　なお、図２に示したクラウドストレージと、TaaS領域とは、同一のストレージ装置に設定されていてもよい。また、送信者１０Ａのクラウドストレージと、受信者１０Ｂのクラウドストレージが同一のクラウドストレージとなる場合もある。

　次に、図４、図５を用いて、本実施例の情報処理システムに係るデータの流れの一例について説明する。図４、図５は、本実施例に係る情報処理システムの処理を説明するための図（３）、（４）である。

　図４に示すように、端末装置２０Ａのエージェント３０は、クラウドストレージＣＳ１との間で認証処理を実行する（ステップＳ２０）。認証処理に成功すると、エージェント３０は、個人データをクラウドストレージＣＳ１に送信する（ステップＳ２１）。クラウドストレージＣＳ１は、個人データを保存する（ステップＳ２２）。

　クラウドストレージＣＳ１は、エージェント３０の指示により、個人データをTaaS領域ＴＳ１に移動させる（ステップＳ２３）。TaaS領域ＴＳ１は、個人データを保存する（ステップＳ２４）。情報処理装置１００は、TaaS領域ＴＳ１に保存された個人データを取得する（ステップＳ２５）。

　エージェント３０と、情報処理装置１００は、認証処理を実行する（ステップＳ２６）。認証処理に成功すると、エージェント３０は、宛先リストを情報処理装置１００に送信する（ステップＳ２７）。

　情報処理装置１００は、トークンを生成する（ステップＳ２８）。情報処理装置１００は、トークンをエージェント３０に送信する（ステップＳ２９）。エージェント３０は、情報処理装置１００から受信したトークンを、端末装置２０Ｂに送信する（ステップＳ３０）。

　図５の説明に移行する。端末装置２０Ｂは、端末装置２０Ａのエージェント３０から受信したトークンを、情報処理装置１００に送信する（ステップＳ３１）。

　情報処理装置１００は、トークンを基にして、個人データの移動先を特定する（ステップＳ３２）。情報処理装置１００は、個人データをTaaS領域ＴＳ２に移動させる（ステップＳ３３）。TaaS領域ＴＳ２は、個人データを保存する（ステップＳ３４）。

　TaaS領域ＴＳ２は、情報処理装置１００等の指示により、個人データを保存したことを、端末装置２０Ｂに通知する（ステップＳ３５）。端末装置２０Ｂは、クラウドストレージＣＳ２との間で認証処理を実行する（ステップＳ３６）。

　TaaS領域ＴＳ２は、認証処理に成功した端末装置２０Ｂからの指示により、個人データをクラウドストレージＣＳ２に移動させる（ステップＳ３７）。クラウドストレージＣＳ２は、個人データを保存する（ステップＳ３８）。端末装置２０Ｂは、クラウドストレージＣＳ２から個人データを取得する（ステップＳ３９）。

　次に、図１、図２等で説明した端末装置２０Ａの構成の一例について説明する。端末装置２０Ａは、スマートフォン、タブレット端末、ノートＰＣ（Personal　Computer）、ＰＣ等に対応する。ここでは、本実施例で密接に関連する機能のみについて説明を行う。

　図６は、本実施例に係る端末装置２０Ａの構成を示す機能ブロック図である。図６に示すように、端末装置２０Ａは、通信部２１、入力部２２、表示部２３、記憶部２４、制御部２５を有する。

　通信部２１は、ネットワークを介して、情報処理装置１００、端末装置２０Ｂ、クラウドストレージＣＳ１等とデータ通信を実行する。通信部２１は、通信装置の一例である。

　入力部２２は、各種の情報を、端末装置２０Ａに入力するための入力装置である。たとえば、送信者１０Ａは、入力部２２を操作して、個人データ１５を入力する。また、送信者１０Ａは、入力部２２を操作して、個人データ１５の提供先のアドレスを入力する。

　表示部２３は、制御部２５から出力される情報を表示する表示装置である。

　記憶部２４は、宛先リスト１１、個人データ１５、トークン１６を有する。記憶部２４は、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ（Flash　Memory）などの半導体メモリ素子や、ＨＤＤ（Hard　Disk　Drive）などの記憶装置に対応する。

　宛先リスト１１には、個人データ１５の提供先のアドレスが設定される。宛先リスト１１に設定するアドレスは、送信者１０Ａによって指定される。

　個人データ１５は、送信者１０Ａが、受信者１０Ｂに提供するデータである。

　トークン１６は、情報処理装置１００によって生成される情報である。トークン１６のデータ構造は、図３で説明したデータ構造に対応する。

　制御部２５は、受付部２５ａ、エージェント実行部２５ｂを有する。制御部２５は、ＣＰＵ（Central　Processing　Unit）やＧＰＵ（Graphics　Processing　Unit）、ＡＳＩＣ（Application　Specific　Integrated　Circuit）やＦＰＧＡ（Field　Programmable　Gate　Array）などのハードワイヤードロジック等によって実現される。

　受付部２５ａは、通信部２１、入力部２２から、各種の情報を受け付ける。たとえば、受付部２５ａは、通信部２１または入力部２２から、個人データ１５を受け付け、記憶部２４に格納する。受付部２５ａは、個人データ１５の提供先のアドレスを受け付けた場合、受け付けたアドレスを、宛先リスト１１に設定する。

　エージェント実行部２５ｂは、エージェント３０を実行する。エージェント３０が行う処理内容は、図１、図２、図４で説明したエージェント３０の処理に対応する。以下において、エージェント３０の処理の内容の一例について説明する。

　エージェント３０は、クラウドストレージＣＳ１との間で認証処理を行う。たとえば、エージェント３０は、送信者１０Ａに指定されるユーザＩＤ、パスワードを用いて、クラウドストレージＣＳ１に認証要求を行う。エージェント３０は、認証に成功した場合に、個人データ１５を、クラウドストレージＣＳ１に格納する。エージェント３０は、クラウドストレージＣＳ１に対して、個人データ１５を、TaaS領域ＴＳ１に移動される要求を行う。

　エージェント３０は、情報処理装置１００との間で認証処理を行う。たとえば、エージェント３０は、送信者１０Ａに指定されるユーザＩＤ、パスワードを用いて、情報処理装置１００に認証要求を行う。エージェント３０は、認証に成功した場合に、情報処理装置１００にトークン生成依頼を送信する。たとえば、トークン生成依頼には、宛先リスト１１、個人データ１５を識別するデータＩＤ、端末装置２０Ａのアドレスが含まれる。

　エージェント３０は、情報処理装置１００から、トークン１６を受信した場合には、トークン１６を、宛先リスト１１に設定されたアドレスの端末装置（たとえば、端末装置２０Ｂ）に送信する。

　ところで、図１等で説明した端末装置２０Ｂ，２０Ｃの構成は、スマートフォン、タブレット端末、ノートＰＣ、ＰＣ等に対応する構成であるため、機能ブロック図による説明を省略する。

　次に、図１、図２等で説明した情報処理装置１００の構成の一例について説明する。図７は、本実施例に係る情報処理装置の構成を示す機能ブロック図である。図７に示すように、情報処理装置１００は、通信部１１０、記憶部１４０、制御部１５０を有する。

　通信部１１０は、ネットワークを介して、端末装置２０Ａ，２０Ｂ、TaaS領域ＴＳ１，ＴＳ２，ＴＳ３等とデータ通信を実行する。通信部１１０は、通信装置の一例である。

　記憶部１４０は、個人データテーブル１４１、TaaS鍵情報１４２、トークン１６を有する。記憶部１４０は、ＲＡＭ、フラッシュメモリなどの半導体メモリ素子や、ＨＤＤなどの記憶装置に対応する。

　個人データテーブル１４１は、送信者（たとえば、送信者１０Ａ）が、受信者（たとえば、受信者１０Ｂ）に提供する個人データ（たとえば、個人データ１５）を保持する。個人データ１５は、TaaS領域ＴＳ１から取得される。個人データテーブル１４１の個人データは、固有のデータＩＤに対応付けられる。

　TaaS鍵情報１４２は、トークン１６に登録する署名情報を生成する場合、トークン１６の署名情報を認証する場合に利用される。

　トークン１６は、後述する制御部１５０によって生成される。トークン１６のデータ構造は、図３で説明したデータ構造に対応する。

　制御部１５０は、受信部１５１と、生成部１５２と、移動制御部１５３とを有する。制御部１５０は、ＣＰＵやＧＰＵ、ＡＳＩＣやＦＰＧＡなどのハードワイヤードロジック等によって実現される。

　受信部１５１は、定期的にTaaS領域ＴＳ１にアクセスし、個人データ１５を取得する。受信部１５１は、取得した個人データ１５を、個人データテーブル１４１に登録する。受信部１５１は、他のTaaS領域にアクセスし、他の個人データを取得して、個人データテーブル１４１に登録してもよい。

　受信部１５１は、端末装置２０Ａのエージェント３０から、認証要求を受け付け、エージェント３０から受信するユーザＩＤ、パスワード等を基にして、認証を行う。受信部１５１は、認証に成功した場合、エージェント３０から、トークン生成依頼を受信する。受信部１５１は、トークン生成依頼の情報を、生成部１５２に出力する。

　生成部１５２は、トークン１６を生成する処理部である。生成部１５２は、トークン生成依頼に含まれる宛先リスト１１、データＩＤ、端末装置２０Ａのアドレスを、トークン１６のアドレス群、データＩＤ、送信者アドレスにそれぞれ設定する。生成部１５２は、nonceの情報を生成し、トークン１６に設定する。

　生成部１５２は、TaaS鍵情報１４２を用いて、署名情報を生成し、トークン１６に設定する。たとえば、生成部１５２は、トークン１６に設定したアドレス群、データＩＤ、送信者アドレスを、ハッシュ関数でハッシュ値に変換し、かかるハッシュ値をTaaS鍵情報１４２によって暗号化することで、署名情報を生成する。

　生成部１５２は、上記処理により生成したトークン１６を、端末装置２０Ａのエージェント３０に送信する。

　移動制御部１５３は、端末装置２０Ｂ等から、トークン１６を受信した場合に、トークン１６に基づいて、個人データテーブル１４１に登録された個人データ１５を指定のTaaS領域に移動させる処理部である。たとえば、移動制御部１５３は、以下の処理を実行する。

　移動制御部１５３は、トークン１６を受信すると、トークン１６が適切なトークンであるかを認証する。移動制御部１５３は、受信したトークン１６に設定されたアドレス群、データＩＤ、送信者アドレスを、ハッシュ関数でハッシュ値に変換する。移動制御部１５３は、受信したトークン１６に設定された署名情報を、TaaS鍵情報で復号する。移動制御部１５３は、復号した値と、ハッシュ値とが一致する場合に、トークン１６が適切なトークンであると判定する。移動制御部１５３は、トークン１６に設定されたnonceの情報を用いて、認証を行う。

　移動制御部１５３は、トークン１６の認証に成功すると、トークン１６に設定されたデータＩＤに対応する個人データ１５を、個人データテーブル１４１から取得する。また、移動制御部１５３は、トークン１６のアドレス群に設定されたアドレスを基にして、個人データ１５の移動先となるクラウドストレージを特定する。移動制御部１５３は、アドレスに対応するクラウドストレージが複数存在する場合には、トークン１６に付与されるクラウドストレージの選択情報を基にして、移動先となるクラウドストレージを特定する。移動制御部１５３は、特定したクラウドストレージに対応するTaaS領域に、個人データ１５を配置する。

　たとえば、移動制御部１５３は、個人データ１５の移動先が、クラウドストレージＣＳ２－１となる場合には、TaaS領域ＴＳ２に、個人データ１５を配置する。移動制御部１５３は、個人データ１５の移動先が、クラウドストレージＣＳ２－２となる場合には、TaaS領域ＴＳ３に、個人データ１５を配置する。

　次に、本実施例に係る情報処理装置１００の処理手順の一例について説明する。図８は、本実施例に係る情報処理装置の処理手順を示すフローチャート（１）である。図８に示すように、情報処理装置１００の受信部１５１は、TaaS領域から個人データを取得し、取得した個人データを、個人データテーブル１４１に登録する（ステップＳ１０１）。

　受信部１５１は、端末装置のエージェントとの間で認証処理を実行する（ステップＳ１０２）。受信部１５１は、認証に成功した場合に、エージェントからトークン生成依頼を受信する（ステップＳ１０３）。

　情報処理装置１００の生成部１５２は、トークン生成依頼を基にして、トークン１６を生成する（ステップＳ１０４）。生成部１５２は、生成したトークン１６を、エージェントに送信する（ステップＳ１０５）。

　図９は、本実施例に係る情報処理装置の処理手順を示すフローチャート（２）である。図９に示すように、情報処理装置１００の移動制御部１５３は、端末装置からトークンを受信する（ステップＳ２０１）。

　移動制御部１５３は、トークンの認証を実行する（ステップＳ２０２）。移動制御部１５３は、トークンの認証に成功した場合に、トークンのデータＩＤに対応する個人データを、個人データテーブル１４１から取得する（ステップＳ２０３）。

　移動制御部１５３は、トークンおよび選択情報を基にして、移動先のTaaS領域を特定する（ステップＳ２０４）。移動制御部１５３は、個人データを、特定したTaaS領域に移動させる（ステップＳ２０５）。

　次に、本実施例に係る情報処理装置１００の効果について説明する。情報処理装置１００は、端末装置２０Ａからトークン生成依頼（宛先リスト１１）を受信した場合に、トークン１６を生成し、トークン１６を端末装置２０Ａに送信する。情報処理装置１００は、端末装置２０Ｂから、トークン１６を受信した場合には、TaaS領域ＴＳ１に配置された個人データ１５を、トークン１６に指定されるTaaS領域（たとえば、TaaS領域ＴＳ２）に配置する。TaaS領域ＴＳ２は、個人データ１５の提供先となる宛先リスト１１の受信者１０Ｂのみがアクセス可能な領域となる。このため、仮に、トークン１６が、第三者１０Ｃの端末装置２０Ｃに誤転送された場合でも、個人データ１５の情報漏洩を防止することができる。

　本実施例の情報処理システムによれば、関係者間でのパスワードの共通、どのクラウドストレージを個人データの受け渡し先に利用するのか等の事前設定を行うことなく、データが不特定多数に触れないように、関係者との間だけで、個人データを共有できる。

　情報処理装置１００は、トークン１６を受信した場合に、トークン１６に含まれる署名情報等を基にして、トークン１６の認証を行い、認証に成功した場合に、個人データ１５を、トークン１６に指定されるTaaS領域に移動させる。これによって、適切に個人データ１５を移動させることができる。

　情報処理装置１００は、端末装置２０Ａとの間で共通するTaaS領域ＴＳ１から、個人データ１５を取得する。これによって、端末装置２０Ａの送信者１０Ａは、セキュアに個人データ１５を、情報処理装置１００に渡すことができる。

　ところで、上述した情報処理システムの処理は一例であり、他の処理を実行してもよい。たとえば、端末装置２０Ｂにエージェントを導入して、受信者１０Ｂの作業を自動化してもよい。

　図１０は、情報処理システムのその他の処理を説明するための図である。図１０に示す処理のうち、ステップＳ１～Ｓ５、Ｓ７の処理は、図３で説明したステップＳ１～Ｓ５、Ｓ７の処理と同様であるため説明を省略する。図１０に示すように、端末装置２０Ｂでは、エージェント３１が動作する。

　情報処理システムが実行するステップＳ６´の処理について説明する。エージェント３１は、端末装置２０Ａのエージェント３０からトークン１６を受信すると、トークン１６を情報処理装置１００に転送する。端末装置２０Ｂのアドレスに対応するクラウドストレージが複数存在する場合には、受信者１０Ｂは、事前にどのクラウドストレージを利用するのかを示す情報を、エージェント３１に設定しておく。エージェント３１は、事前に設定されたクラウドストレージの情報を、トークン１６に付与する。

　情報処理システムが時刻するステップＳ８´の処理について説明する。エージェント３１は、クラウドストレージＣＳ２－１にアクセスし、TaaS領域ＴＳ２に配置された個人データ１５を、クラウドストレージＣＳ２－１に移動させる。たとえば、エージェント３１は、Mail　Box内のトークンのリンク先を、受信者１０Ｂさんの固有ストレージ（クラウドストレージＣＳ２－１）に書き換える。

　上記のように、エージェント３１が受信者１０Ｂの作業を代行することで、受信者１０Ｂは容易に、個人データ１５を取得することができる。

　次に、上記実施例に示した情報処理装置１００と同様の機能を実現するコンピュータのハードウェア構成の一例について説明する。図１１は、情報処理装置と同様の機能を実現するコンピュータのハードウェア構成の一例を示す図である。

　図１１に示すように、コンピュータ２００は、各種演算処理を実行するＣＰＵ２０１と、ユーザからのデータの入力を受け付ける入力装置２０２と、ディスプレイ２０３とを有する。また、コンピュータ２００は、外部装置からデータを受信する通信装置２０４と、各種の装置と接続するインタフェース装置２０５とを有する。コンピュータ２００は、各種情報を一時記憶するＲＡＭ２０６と、ハードディスク装置２０７とを有する。そして、各装置２０１～２０７は、バス２０８に接続される。

　ハードディスク装置２０７は、受信プログラム２０７ａ、生成プログラム２０７ｂ、移動制御プログラム２０７ｃを有する。ＣＰＵ２０１は、受信プログラム２０７ａ、生成プログラム２０７ｂ、移動制御プログラム２０７ｃを読み出してＲＡＭ２０６に展開する。

　受信プログラム２０７ａは、受信プロセス２０６ａとして機能する。生成プログラム２０７ｂは、生成プロセス２０６ｂとして機能する。移動制御プログラム２０７ｃは、移動制御プロセス２０６ｃとして機能する。

　受信プロセス２０６ａの処理は、受信部１５１の処理に対応する。生成プロセス２０６ｂの処理は、生成部１５２の処理に対応する。移動制御プロセス２０６ｃの処理は、移動制御部１５３の処理に対応する。

　なお、各プログラム２０７ａ～２０７ｃについては、必ずしも最初からハードディスク装置２０７に記憶させておかなくてもよい。例えば、コンピュータ２００に挿入されるフレキシブルディスク（ＦＤ）、ＣＤ－ＲＯＭ、ＤＶＤディスク、光磁気ディスク、ＩＣカードなどの「可搬用の物理媒体」に各プログラムを記憶させておく。そして、コンピュータ２００が各プログラム２０７ａ～２０７ｃを読み出して実行するようにしてもよい。

　次に、上記実施例に示した端末装置２０Ａ（２０Ｂ）と同様の機能を実現するコンピュータのハードウェア構成の一例について説明する。図１２は、端末装置と同様の機能を実現するコンピュータのハードウェア構成の一例を示す図である。

　図１２に示すように、コンピュータ３００は、各種演算処理を実行するＣＰＵ３０１と、ユーザからのデータの入力を受け付ける入力装置３０２と、ディスプレイ３０３とを有する。また、コンピュータ３００は、外部装置からデータを受信する通信装置３０４と、各種の装置と接続するインタフェース装置３０５とを有する。コンピュータ３００は、各種情報を一時記憶するＲＡＭ３０６と、ハードディスク装置３０７とを有する。そして、各装置３０１～３０７は、バス３０８に接続される。

　ハードディスク装置３０７は、受信プログラム３０７ａ、エージェント実行プログラム３０７ｂを有する。ＣＰＵ３０１は、受信プログラム３０７ａ、エージェント実行プログラム３０７ｂを読み出してＲＡＭ３０６に展開する。

　受信プログラム３０７ａは、受信プロセス３０６ａとして機能する。エージェント実行プログラム３０７ｂは、エージェント実行プロセス３０６ｂとして機能する。

　受信プロセス３０６ａの処理は、受付部２５ａの処理に対応する。エージェント実行プロセス３０６ｂの処理は、エージェント実行部２５ｂの処理に対応する。

　なお、各プログラム３０７ａ，３０７ｂについては、必ずしも最初からハードディスク装置３０７に記憶させておかなくてもよい。例えば、コンピュータ３００に挿入されるフレキシブルディスク（ＦＤ）、ＣＤ－ＲＯＭ、ＤＶＤディスク、光磁気ディスク、ＩＣカードなどの「可搬用の物理媒体」に各プログラムを記憶させておく。そして、コンピュータ３００が各プログラム３０７ａ，３０７ｂを読み出して実行するようにしてもよい。

　　１１　　宛先リスト
　　１５　　個人データ
　　１６　　トークン
　　２０Ａ，２０Ｂ，２０Ｃ　　端末装置
　　２１，１１０　　通信部
　　２２　　入力部
　　２３　　表示部
　　２４，１４０　　記憶部
　　２５，１５０　　制御部
　　２５ａ　　受付部
　　２５ｂ　　エージェント実行部
　１００　　情報処理装置
　１４１　　個人データテーブル
　１４２　　TaaS鍵情報
　１５１　　受信部
　１５２　　生成部
　１５３　　移動制御部

Claims

　情報処理装置は、第１の端末から、クラウドストレージに格納された第１のユーザのデータを識別する第１の情報と、前記データの提供先である第２のユーザを識別する第２の情報とを受信すると、前記データの提供元が前記第１のユーザであり、かつ、前記データの提供先が前記第２のユーザであることを示す第３の情報と、前記第３の情報に関する前記情報処理装置の署名情報を示す第４の情報を、前記第１の端末に送信し、
　前記情報処理装置は、第２の端末から、前記第１の情報と、前記第３の情報と、前記第４の情報と、前記データの格納先を示す第５の情報とを受信すると、前記格納先に前記データを格納する指示を出力する、
　処理を実行することを特徴とする制御方法。
　前記情報処理装置は、前記第４の情報を基にして認証を行う処理を更に実行し、認証に成功した場合に、前記格納先に前記データを格納する指示を出力することを特徴とする請求項１に記載の制御方法。
　前記情報処理装置は、前記クラウドストレージにおいて、前記第１の端末と、前記情報処理装置とで共有される共有領域に格納された前記データを取得することを特徴とする請求項１に記載の制御方法。
　第１の端末から、クラウドストレージに格納された第１のユーザのデータを識別する第１の情報と、前記データの提供先である第２のユーザを識別する第２の情報とを受信すると、前記データの提供元が前記第１のユーザであり、かつ、前記データの提供先が前記第２のユーザであることを示す第３の情報と、前記第３の情報に関する情報処理装置の署名情報を示す第４の情報を、前記第１の端末に送信し、
　第２の端末から、前記第１の情報と、前記第３の情報と、前記第４の情報と、前記データの格納先を示す第５の情報とを受信すると、前記格納先に前記データを格納する指示を出力する、
　処理をコンピュータに実行させることを特徴とする制御プログラム。
　前記第４の情報を基にして認証を行う処理を更に実行し、認証に成功した場合に、前記格納先に前記データを格納する指示を出力することを特徴とする請求項４に記載の制御プログラム。
　前記クラウドストレージにおいて、前記第１の端末と、前記情報処理装置とで共有される共有領域に格納された前記データを取得することを特徴とする請求項４に記載の制御プログラム。
　情報処理装置と、第１の端末と、第２の端末と、前記情報処理装置および前記第１の端末との間で共有されるクラウドストレージを有する情報処理システムであって、
　前記情報処理装置は、前記第１の端末から、前記クラウドストレージに格納された第１のユーザのデータを識別する第１の情報と、前記データの提供先である第２のユーザを識別する第２の情報とを受信すると、前記データの提供元が前記第１のユーザであり、かつ、前記データの提供先が前記第２のユーザであることを示す第３の情報と、前記第３の情報に関する前記情報処理装置の署名情報を示す第４の情報を、前記第１の端末に送信し、
　前記情報処理装置は、前記第２の端末から、前記第１の情報と、前記第３の情報と、前記第４の情報と、前記データの格納先を示す第５の情報とを受信すると、前記格納先に前記データを格納する指示を出力する、
　ことを特徴とする情報処理システム。
　前記情報処理装置は、前記第４の情報を基にして認証を行う処理を更に実行し、認証に成功した場合に、前記格納先に前記データを格納する指示を出力することを特徴とする請求項７に記載の情報処理システム。
　前記情報処理装置は、前記クラウドストレージにおいて、前記第１の端末と、前記情報処理装置とで共有される共有領域に格納された前記データを取得することを特徴とする請求項７に記載の情報処理システム。
　第１の端末から、クラウドストレージに格納された第１のユーザのデータを識別する第１の情報と、前記データの提供先である第２のユーザを識別する第２の情報とを受信すると、前記データの提供元が前記第１のユーザであり、かつ、前記データの提供先が前記第２のユーザであることを示す第３の情報と、前記第３の情報に関する自情報処理装置の署名情報を示す第４の情報を、前記第１の端末に送信する生成部と、
　第２の端末から、前記第１の情報と、前記第３の情報と、前記第４の情報と、前記データの格納先を示す第５の情報とを受信すると、前記格納先に前記データを格納する指示を出力する移動制御部と
　を有することを特徴とする情報処理装置。
　前記移動制御部は、前記第４の情報を基にして認証を行う処理を更に実行し、認証に成功した場合に、前記格納先に前記データを格納する指示を出力することを特徴とする請求項１０に記載の情報処理装置。
　前記クラウドストレージにおいて、前記第１の端末と、前記情報処理装置とで共有される共有領域に格納された前記データを取得する受信部を更に有することを特徴とする請求項１０に記載の情報処理装置。