この発明は、被アクセス者に関するサービスに対するアクセス者のアクセスを制御するアクセス制御システム、アクセス制御方法およびアクセス制御プログラムに関する。
従来より、被アクセス者に関するサービスに対するアクセス者のアクセスを制御するシステムがある。例えば、あるユーザAに関する個人情報(例えば、被参照者であるユーザAの氏名、住所、生年月日、クレジット番号などに代表される被参照者情報)を参照者である他のユーザBに開示する情報開示サービスに係るシステムがこれに該当する。ところで、このような情報開示サービスを実施する場合、ユーザAに関する情報を制限なく開示したのでは、被参照者であるユーザAが不利益を被ることもある。このようなことから、実用的な情報開示サービスを実現するためには、ユーザAが納得する形で個人情報をユーザBに開示することが必要になるが、このようなアクセス制御機能を実現する従来技術として、以下に説明するような従来技術が知られている。
例えば、特許文献1(特開2002−229953号公報)には、個人情報開示サーバにおいてアクセスコードに基づいてユーザの個人情報を開示するシステムが開示されている。具体的に説明すると、このシステムでは、被参照者がサーバに対して開示対象の属性(如何なる属性を開示対象にするかを示す情報)を指定したアクセスコード発行要求を送信すると、サーバは、これに応じてアクセスコードを生成し、このアクセスコードと開示対象の属性とを対応付けてデータベースに記憶するとともに、被参照者に対してアクセスコードを返信する。そして、被参照者が自ら開示を許可する参照者に対してアクセスコードを通知し、かかる参照者がサーバに対してアクセスコードを含んだ開示要求を送信すると、サーバは、アクセスコードに対応付けてデータベースに記憶された開示対象の属性を参照者に通知する。
ところで、上記した従来の技術は、以下に説明するように、第三者の仲介によってユーザ同士を引き合わせる場合の利便性に欠けるという問題がある。
これについて具体的に説明すると、例えば、ユーザBがユーザAの個人情報を参照するためのアクセスコード(以下「アクセスコードAB」と表記する。)、並びに、ユーザCがユーザBの個人情報を参照するためのアクセスコード(以下「アクセスコードBC」と表記する。)がそれぞれ発行されていたとする。このような状況で、ユーザBが仲介者となり、ユーザAとユーザCとを引き合わせ、ユーザCもユーザAの個人情報を参照できるようにするには、アクセスコードABやアクセスコードBCと同様、ユーザCがユーザAの個人情報を参照するためのアクセスコード(以下「アクセスコードAC」と表記する。)を発行する必要がある。このため、ユーザCにとっては、ユーザBの仲介によってユーザAと知り合いになったとしても、アクセスコードACの発行を待たなければ、ユーザAの個人情報を参照することができないという問題がある。
このような問題は、上記した情報開示サービスでアクセス制御を行う場合に限った問題ではなく、ある被アクセス者に関するサービスに対するアクセス者のアクセスを制御する場合であれば、同様に生じ得る問題であり、第三者の仲介があっても、アクセス者自らが被アクセス者にアクセスするためのアクセスコードがなければ、被アクセス者に関するサービスにアクセスすることはできなかった。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、アクセス者自らが被アクセス者にアクセスするためのアクセスコードそのものを有していなくても、被アクセス者に関するサービスにアクセスすることが可能なアクセス制御システム、アクセス制御方法およびアクセス制御プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するため、本発明は、被アクセス者に関するサービスに対するアクセス者のアクセスを制御するアクセス制御システムであって、前記被アクセス者を一意に特定する被アクセス者特定情報と前記アクセス者を限定するためのアクセス者限定情報とを少なくとも含んだアクセスコードを生成するアクセスコード生成手段と、所定のアクセス者Yから、複数のアクセスコードとして、少なくとも当該アクセス者Yのアクセス者限定情報を含んだアクセスコードTSおよびアクセス目標である所定の被アクセス者Xの被アクセス者特定情報を含んだアクセスコードTEを受け付けるアクセスコード受付手段と、前記アクセスコード受付手段によって受け付けた複数のアクセスコードにそれぞれ含まれる被アクセス者特定情報およびアクセス者限定情報に基づいて、前記アクセスコードTSから前記アクセスコードTEまで辿り着くか否かを判定する辿り着き判定手段と、前記辿り着き判定手段によって前記アクセスコードTEまで辿り着くと判定された場合に、前記被アクセス者Xに関するサービスについて、前記アクセス者Yのアクセスを制御するアクセス制御手段と、を備えたことを特徴とする。
また、本発明は、上記の発明において、前記アクセスコード生成手段は、前記被アクセス者と前記アクセス者との関係を示す関係情報、当該アクセス者からのアクセスを許可するために要求される有効条件若しくはこれらの組合せをさらに含んだアクセスコードを生成し、前記アクセス制御手段は、前記辿り着き判定手段によって前記アクセスコードTEまで辿り着くと判定された場合に、前記アクセスコード受付手段によって受け付けた複数のアクセスコードにそれぞれ含まれる関係情報、有効条件若しくはこれらの組合せに基づいて、前記アクセス者Yのアクセスを許可するか否かを判定するアクセス判定手段を備え、当該アクセス判定手段による判定結果に応じて、前記アクセス者Yのアクセスを許可することを特徴とする。
また、本発明は、上記の発明において、前記アクセス判定手段は、前記アクセスコードTSから前記アクセスコードTEまでの各アクセスコードに含まれる関係情報に基づいて、前記所定の被アクセス者Xと前記所定のアクセス者Yとの結び付き具合を示すリンク値を算出し、当該リンク値に応じて前記アクセス者Yのアクセスを許可するか否かを判定することを特徴とする。
また、本発明は、上記の発明において、前記アクセスコード生成手段は、前記所定のアクセス者Yからのアクセスを許可するために要求される拡張有効条件をさらに含んだアクセスコードを生成し、前記アクセス制御手段は、前記辿り着き判定手段によって前記アクセスコードTEまで辿り着くと判定された場合に、前記アクセスコード受付手段によって受け付けたアクセスコードTEに含まれる拡張有効条件に基づいて、前記アクセス者Yのアクセスを許可するか否かを判定するアクセス判定手段を備え、当該アクセス判定手段による判定結果に応じて、前記アクセス者Yのアクセスを許可することを特徴とする。
また、本発明は、上記の発明において、前記アクセス制御手段は、前記辿り着き判定手段によって前記アクセスコードTEまで辿り着くと判定された場合に、当該アクセスコードTEに辿り着くまでに経由したアクセスコードの個数が所定数を超えたか否かを判定するアクセス判定手段を備え、当該アクセス判定手段による判定結果に応じて、前記アクセス者Yのアクセスを許可することを特徴とする。
また、本発明は、上記の発明において、前記アクセスコード生成手段は、前記被アクセス者と前記アクセス者との関係を示す関係情報、または、前記アクセス者からのアクセスを制御するためのアクセス制御内容をさらに含んだアクセスコードを生成し、前記アクセス制御手段は、前記アクセスコードに含まれる関係情報またはアクセス制御内容に基づいて、前記所定のアクセス者Yのアクセスを制御することを特徴とする。
また、本発明は、上記の発明において、前記アクセス制御手段は、前記アクセスコードTSから前記アクセスコードTEまでの各アクセスコードに含まれる関係情報に基づいて算出された、前記所定の被アクセス者Xと前記所定のアクセス者Yとの結び付き具合を示すリンク値に応じて、前記所定のアクセス者Yのアクセスを制御することを特徴とする。
また、本発明は、上記の発明において、前記アクセスコード生成手段は、前記所定の被アクセス者Xとアクセス者Yとの関係を示す拡張関係情報、または、前記所定のアクセス者Yからのアクセスを制御するための拡張アクセス制御内容をさらに含んだアクセスコードを生成し、前記アクセス制御手段は、前記アクセスコードに含まれる拡張関係情報または拡張アクセス制御内容に基づいて、前記所定のアクセス者Yのアクセスを制御することを特徴とする。
また、本発明は、上記の発明において、前記アクセス制御手段は、前記アクセスコードTSから前記アクセスコードTEに辿り着くまでに経由したアクセスコードの個数に応じて、前記アクセス者Yのアクセスに対する制御内容を決定することを特徴とする。
また、本発明は、上記の発明において、前記辿り着き判定手段は、あるアクセスコードに含まれる被アクセス者特定情報と他のアクセスコードに含まれるアクセス者限定情報とが対応することを条件に両者のアクセスコードを結び付け、前記アクセスコードTSと前記アクセスコードTEとを他のアクセスコードを介して結び付けることができた場合に、前記アクセスコードTSから前記アクセスコードTEまで辿り着く旨を判定することを特徴とする。
また、本発明は、被アクセス者に関するサービスに対するアクセス者のアクセスを制御するアクセス制御方法であって、前記被アクセス者を一意に特定する被アクセス者特定情報と前記アクセス者を限定するためのアクセス者限定情報とを少なくとも含んだアクセスコードを生成するアクセスコード生成工程と、所定のアクセス者Yから、複数のアクセスコードとして、少なくとも当該アクセス者Yのアクセス者限定情報を含んだアクセスコードTSおよびアクセス目標である所定の被アクセス者Xの被アクセス者特定情報を含んだアクセスコードTEを受け付けるアクセスコード受付工程と、前記アクセスコード受付工程によって受け付けた複数のアクセスコードにそれぞれ含まれる被アクセス者特定情報およびアクセス者限定情報に基づいて、前記アクセスコードTSから前記アクセスコードTEまで辿り着くか否かを判定する辿り着き判定工程と、前記辿り着き判定工程によって前記アクセスコードTEまで辿り着くと判定された場合に、前記被アクセス者Xに関するサービスについて、前記アクセス者Yのアクセスを制御するアクセス制御工程と、を含んだことを特徴とする。
また、本発明は、上記の発明において、前記アクセスコード生成工程は、前記被アクセス者と前記アクセス者との関係を示す関係情報、当該アクセス者からのアクセスを許可するために要求される有効条件若しくはこれらの組合せをさらに含んだアクセスコードを生成し、前記アクセス制御工程は、前記辿り着き判定工程によって前記アクセスコードTEまで辿り着くと判定された場合に、前記アクセスコード受付工程によって受け付けた複数のアクセスコードにそれぞれ含まれる関係情報、有効条件若しくはこれらの組合せに基づいて、前記アクセス者Yのアクセスを許可するか否かを判定するアクセス判定工程を含み、当該アクセス判定工程による判定結果に応じて、前記アクセス者Yのアクセスを許可することを特徴とする。
また、本発明は、上記の発明において、前記アクセス判定工程は、前記アクセスコードTSから前記アクセスコードTEまでの各アクセスコードに含まれる関係情報に基づいて、前記所定の被アクセス者Xと前記所定のアクセス者Yとの結び付き具合を示すリンク値を算出し、当該リンク値に応じて前記アクセス者Yのアクセスを許可するか否かを判定することを特徴とする。
また、本発明は、上記の発明において、前記アクセスコード生成工程は、前記被アクセス者と前記アクセス者との関係を示す関係情報、または、前記アクセス者からのアクセスを制御するためのアクセス制御内容をさらに含んだアクセスコードを生成し、前記アクセス制御工程は、前記アクセスコードに含まれる関係情報またはアクセス制御内容に基づいて、前記所定のアクセス者Yのアクセスを制御することを特徴とする。
また、本発明は、上記の発明において、前記アクセス制御工程は、前記アクセスコードTSから前記アクセスコードTEまでの各アクセスコードに含まれる関係情報に基づいて算出された、前記所定の被アクセス者Xと前記所定のアクセス者Yとの結び付き具合を示すリンク値に応じて、前記所定のアクセス者Yのアクセスを制御することを特徴とする。
また、本発明は、被アクセス者に関するサービスに対するアクセス者のアクセスを制御するアクセス制御方法をコンピュータに実行させるアクセス制御プログラムであって、前記被アクセス者を一意に特定する被アクセス者特定情報と前記アクセス者を限定するためのアクセス者限定情報とを少なくとも含んだアクセスコードを生成するアクセスコード生成手順と、所定のアクセス者Yから、複数のアクセスコードとして、少なくとも当該アクセス者Yのアクセス者限定情報を含んだアクセスコードTSおよびアクセス目標である所定の被アクセス者Xの被アクセス者特定情報を含んだアクセスコードTEを受け付けるアクセスコード受付手順と、前記アクセスコード受付手順によって受け付けた複数のアクセスコードにそれぞれ含まれる被アクセス者特定情報およびアクセス者限定情報に基づいて、前記アクセスコードTSから前記アクセスコードTEまで辿り着くか否かを判定する辿り着き判定手順と、前記辿り着き判定手順によって前記アクセスコードTEまで辿り着くと判定された場合に、前記被アクセス者Xに関するサービスについて、前記アクセス者Yのアクセスを制御するアクセス制御手順と、をコンピュータに実行させることを特徴とする。
また、本発明は、上記の発明において、前記アクセスコード生成手順は、前記被アクセス者と前記アクセス者との関係を示す関係情報、当該アクセス者からのアクセスを許可するために要求される有効条件若しくはこれらの組合せをさらに含んだアクセスコードを生成し、前記アクセス制御手順は、前記辿り着き判定手順によって前記アクセスコードTEまで辿り着くと判定された場合に、前記アクセスコード受付手順によって受け付けた複数のアクセスコードにそれぞれ含まれる関係情報、有効条件若しくはこれらの組合せに基づいて、前記アクセス者Yのアクセスを許可するか否かを判定するアクセス判定手順をコンピュータに実行させ、当該アクセス判定手順による判定結果に応じて、前記アクセス者Yのアクセスを許可することを特徴とする。
また、本発明は、上記の発明において、前記アクセス判定手順は、前記アクセスコードTSから前記アクセスコードTEまでの各アクセスコードに含まれる関係情報に基づいて、前記所定の被アクセス者Xと前記所定のアクセス者Yとの結び付き具合を示すリンク値を算出し、当該リンク値に応じて前記アクセス者Yのアクセスを許可するか否かを判定することを特徴とする。
また、本発明は、上記の発明において、前記アクセスコード生成手順は、前記被アクセス者と前記アクセス者との関係を示す関係情報、または、前記アクセス者からのアクセスを制御するためのアクセス制御内容をさらに含んだアクセスコードを生成し、前記アクセス制御手順は、前記アクセスコードに含まれる関係情報またはアクセス制御内容に基づいて、前記所定のアクセス者Yのアクセスを制御することを特徴とする。
また、本発明は、上記の発明において、前記アクセス制御手順は、前記アクセスコードTSから前記アクセスコードTEまでの各アクセスコードに含まれる関係情報に基づいて算出された、前記所定の被アクセス者Xと前記所定のアクセス者Yとの結び付き具合を示すリンク値に応じて、前記所定のアクセス者Yのアクセスを制御することを特徴とする。
本発明によれば、アクセス者Yから被アクセス者Xに辿り着くための複数のアクセスコードを用いてアクセス者Yから被アクセス者Xへのアクセスを制御するので、アクセス者Yは、被アクセス者Xにアクセスするためのアクセスコードそのものを有していなくても、被アクセス者Xに関するサービスにアクセスすることが可能になる。言い換えれば、アクセス者Yは、第三者の仲介を通じて被アクセス者Xに辿り着くアクセスコードを入手すれば、被アクセス者Xにアクセスするためのアクセスコードの発行を待たずに、被アクセス者Xに関するサービスに早急にアクセスすることが可能になり、また、アクセス者Yは、被アクセス者Xを直接知らなくても、第三者の仲介を通じて被アクセス者Xに関するサービスにアクセスすることが可能になり、さらに、アクセス者Yは、第三者の仲介を通じて被アクセス者Xに対して自己の正当性や信頼性を担保することが可能になる。なお、仲介者である第三者にとっては、アクセスコードを介して知らない者同士を引き合わせることができ、新たな信頼関係の構築を仲介することが可能になる。また、アクセス者Yから被アクセス者Xへアクセスするためのアクセスコードを発行する必要がないので、アドレス発行サーバや被アクセス者X、アクセス者Yのアクセスコード発行に伴う負担を軽減することが可能になる。
また、本発明によれば、アクセスコードに含まれる関係情報や有効条件、拡張条件をアクセス判定に利用するので、アクセス者Xへのアクセスが仲介によって無制限に認められる事態を回避し、所定の条件を満たす範囲でのみ仲介によるアクセスを認めるという実用的な制御を実現することが可能になる。また、このようなアクセス判定に用いる条件をアクセスコードに含めるので、かかる条件をデータベースで管理する必要がなく、データベースのリソースを削減することが可能になる。さらに、通常のアクセス判定に用いる関係情報や有効条件を仲介時のアクセス判定にも利用することで、アクセスコードの生成手法を改変することなく、元もと仲介を意図していないアクセスコードをそのまま援用して仲介時のアクセス判定を行うことが可能になる。
また、本発明によれば、被アクセス者Xとアクセス者Yとの結び付き具合を示すリンク値を算出し、このリンク値をアクセス判定に利用するので、被アクセス者Xとアクセス者Yとの関係を推定しつつ、仲介によるアクセスを認める否かを実用的に判定することが可能になる。
また、本発明によれば、アクセスコードに通常含まれない拡張有効条件を用いて仲介時のアクセス判定を行うことで、通常のアクセス判定とは別に、仲介時に特化した実用的なアクセス判定を行うことが可能になる。
また、本発明によれば、アクセスコードTSからアクセスコードTEに辿り着くまでに経由したアクセスコードの個数(ホップ数)をアクセス判定に利用するので、被アクセス者Xとアクセス者Yとの近さを考慮して、仲介によるアクセスを認める否かを実用的に判定することが可能になる。
また、本発明によれば、通常のアクセス制御に用いる関係情報やアクセス制御内容を仲介時のアクセス制御にも利用することで、アクセスコードの生成手法を改変することなく、元もと仲介を意図していないアクセスコードをそのまま援用して仲介時のアクセス制御を行うことが可能になる。
また、本発明によれば、被アクセス者Xとアクセス者Yとの結び付き具合を示すリンク値をアクセス制御に利用するので、被アクセス者Xとアクセス者Yとの関係を推定しつつ、仲介時のアクセスを実用的に制御することが可能になる。
また、本発明によれば、アクセスコードに通常含まれない拡張関係情報または拡張アクセス制御内容を用いて仲介時のアクセス制御を行うことで、通常のアクセス制御とは別に、仲介時に特化した実用的なアクセス制御を行うことが可能になる。
また、本発明によれば、アクセスコードTSからアクセスコードTEに辿り着くまでに経由したアクセスコードの個数(ホップ数)をアクセス制御に利用するので、被アクセス者Xとアクセス者Yとの近さを考慮して、仲介時のアクセスを実用的に制御することが可能になる。
また、本発明によれば、あるアクセスコードに含まれる被アクセス者特定情報と他のアクセスコードに含まれるアクセス者限定情報とが対応するか否かに応じて複数のアクセスコードを結び付けることで、アクセスコードTSからアクセスコードTEまで辿り着くかを判定することが可能になる。
以下に添付図面を参照して、この発明に係るアクセス制御システム、アクセス制御方法およびアクセス制御プログラムの実施例を詳細に説明する。なお、以下では、情報開示サービスに本発明を適用した場合を実施例1および2として説明した後に、情報開示サービス以外のサービスに本発明を適用した場合を実施例3として説明する。
実施例1では、被アクセス者である被参照者の個人情報を開示制御する情報開示システムに本発明を適用した場合を説明する。なお、以下では、実施例1で用いる用語、実施例1に係る情報開示システムの概要および特徴を説明した後に、情報開示システムの構成、システムにおける各装置の詳細、開示用アドレス生成から通常の情報開示に至る処理手順、拡張された情報開示に至る処理手順などを説明し、最後に実施例1の効果を説明する。
[用語の説明(実施例1)]
最初に、実施例1で用いる主要な用語を説明する。実施例1で用いる「情報開示サービス(特許請求の範囲に記載の「サービス」に対応する。)」とは、被参照者であるユーザの情報を参照者であるユーザに開示するサービスのことであり、例えば、図4や図5に例示するような、被参照者の電話番号(phone)、メールアドレス(e-mail)、住所(address)、スケジュール(schedule)などの個人情報を参照者に開示する。
また、実施例1で用いる「参照者(特許請求の範囲に記載の「アクセス者」に対応する。)」とは、個人情報を参照する側のユーザのことであり、一方、「被参照者(特許請求の範囲に記載の「被アクセス者」に対応する。)」とは、個人情報を開示する側のユーザのことである。
また、実施例1で用いる「識別情報(ID)」とは、ユーザとしての被参照者や参照者を一意に識別(特定または限定)するための情報であり、例えば、ユーザ名やユーザ番号のようなユーザIDの他に、これらに対応付けられるユーザアドレスやアカウント(メールアドレスや電話番号など)、さらには、これらのユーザIDやユーザアドレスを用いて生成されるユーザ識別子(ユーザIDやユーザアドレスから生成されるハッシュ値や、これらを暗号化した暗号化データなど)がこれに該当する。なお、以下で用いる「被参照者ID」とは、被参照者を一意に識別するための識別情報のことであり、一方、「参照者ID」とは、参照者を一意に識別するための識別情報のことである。
また、実施例1で用いる「開示用アドレスT(特許請求の範囲に記載の「アクセスコード」に対応する。)」とは、上記した情報開示サービスにおいて参照者であるユーザが被参照者の個人情報について参照を要求する際に提示するアクセスコードのことであり、具体的には、上記した「被参照者ID」および「参照者ID」、後述する「開示制御内容S」もしくは「関係レベルR」、「有効条件C」などを含んで生成される。ここで、「開示制御内容S」や「関係レベルR」、「有効条件C」は、被参照者に関する情報開示サービスに対する参照者のアクセスを制御するための制御情報のことである。
このうち、「開示制御内容S(特許請求の範囲に記載の「アクセス制御内容」に対応する。また、適宜、「開示ポリシー」と表現する。)」とは、上記した情報開示サービスの情報開示に係る制御内容のことであり、例えば、図6に例示するように、「電話番号、メールアドレス、住所、並びに、スケジュールを全て開示する。」、「電話番号、メールアドレス、住所、並びに、公のスケジュール(public-schedule)を開示する。」、「メールアドレスおよび住所だけを開示する。」などの制御内容がこれに該当する。なお、以下の実施例1では、特に、開示が許可されている情報の項目(開示情報項目)を列挙する形式の開示制御内容Sを例に挙げて説明するので、開示制御内容を適宜「開示情報項目」と標記して説明する。
また、「関係レベルR(特許請求の範囲に記載の「関係情報」に対応する。)」とは、上記の開示制御内容Sと一意に対応付けられるとともに、上記した被参照者と参照者との関係を示す情報のことであり、例えば、友人、同僚、上司など、被アクセス者からみたアクセス者の関係を示す情報がこれに該当する。また、ここで言う「関係」は、被参照者からみた参照者の関係に限ったものではなく、参照者からみた被参照者の関係や、第三者からみた両者の関係など、あらゆる観点から把握される両者の関係が含まれる。なお、以下の実施例1では、図6に例示するように、「友人、同僚、上司」などの関係情報を、「0、1、2」というコード値(関係レベル値)に置き換えてシステム上で処理するようにしている。
また、「有効条件C(特許請求の範囲に記載の「有効条件」に対応する。)」とは、上記した開示制御内容Sの実行に際して必要とされる条件のことであり、例えば、開示制御内容Sの実行が許可される期間(例えば、週末のみ)、期限(例えば、何年何月何日まで)、時間(例えば、昼間のみ)若しくはこれらの組合せなどを指定した条件がこれに該当する。なお、実施例1では、上記したような「関係レベルR」もしくは「開示制御内容S」、「有効条件C」などの制御情報の他に、被参照者IDや参照者IDを鍵によって含んだ開示用アドレスTを生成する。つまり、図14のS1405に例示するように、複雑な文字列で形成される開示用アドレスTを生成する。
[システムの概要および特徴(実施例1)]
次に、図1を用いて、実施例1に係る情報開示システムの概要および特徴を説明する。図1は、実施例1に係る情報開示システムの概要を説明するための図である。ただし、ここでは、説明の便宜上、3人のユーザ(ユーザU1、ユーザU2、ユーザU3)が登場する場合であって、ユーザU2がユーザU1の個人情報を参照するための開示用アドレスT(U1_U2)、並びに、ユーザU3がユーザU2の個人情報を参照するための開示用アドレスT(U2_U3)が発行される場合を例に挙げて説明する。なお、開示用アドレスTの括弧内にある記号のうち、前者は被参照者としてのユーザを示し、後者は参照者としてのユーザを示すことにする。
(1)システムの概要
実施例1に係る情報開示システムの概要は、被参照者であるユーザの個人情報を参照者であるユーザの利用者端末に送信して開示するというものである。これを簡単に説明すると、実施例1に係る情報開示システムでは、ユーザ以外の第三者(例えば、開示用アドレスTを取り扱うサービスセンタ)が、被参照者であるユーザU1やユーザU2から個人情報を受け取って、これを個人情報記憶部に記憶し、また、ユーザU1やユーザU2からから開示ポリシー、つまり関係レベルRおよび開示制御内容Sを受け取って、これらを開示ポリシー記憶部に記憶する(図1の(1−1)および(2−1)参照)。
一方、サービスセンタは、開示用アドレスT(U1_U2)の発行要求として、被参照者であるユーザU1から被参照者ID_U1(被参照者であるユーザU1の識別情報)、参照者ID_U2(参照者であるユーザU2の識別情報)、関係レベルRおよび有効条件Cを受け取る(図1の(1−2)参照)。その上で、サービスセンタは、所定の鍵を用いて、「被参照者ID_U1、参照者ID_U2、関係レベルRおよび有効条件C」を含んだ開示用アドレスT(U1_U2)を生成する(図1の(1−3)参照)。さらに、サービスセンタは、生成した開示用アドレスT(U1_U2)を、参照者であるユーザU2に受け渡す(図1の(1−4)参照)。なお、図に示す「P」は、鍵を用いて開示用アドレスTを生成することを意味する。
そして、サービスセンタは、被参照者であるユーザU1の個人情報に対する参照要求として、参照者であるユーザU2から開示用アドレスT(U1_U2)を宛先アドレスとするメールを受け取る(図1の(1−5)参照)。その後、サービスセンタは、所定の鍵を用いて、開示用アドレスT(U1_U2)の正当性を検証するとともに、開示用アドレスT(U1_U2)から被参照者ID_U1、参照者ID_U2、関係レベルRおよび有効条件Cを抽出し、さらに、有効条件Cを用いて開示制御内容の実行可否を判定する(図1の(1−6)参照)。なお、図に示す「Q」は、鍵を用いて抽出することを意味する。
その上で、サービスセンタは、開示用アドレスT(U1_U2)の正当性が認められ、かつ、開示制御内容の実行が許可された場合には、個人情報記憶部に記憶された個人情報のうち開示用アドレスT(U1_U2)に含まれる被参照者ID_U1に対応する個人情報を、開示ポリシー記憶部に記憶された開示制御内容Sのうち開示用アドレスT(U1_U2)に含まれる関係レベルRに対応する開示制御内容Sに従って、参照者であるユーザU2にメール送信して開示する(図1の(1−7)参照)。つまり、ユーザU2から受け取った開示用アドレスT(U1_U2)に含まれる関係レベルRに対応する開示制御内容Sが「メールアドレスおよび住所だけを開示する。」であったならば、ユーザU1のメールアドレスおよび住所だけをユーザU2に開示する。
上記と同様に、サービスセンタは、開示用アドレスT(U2_U3)の発行要求として、被参照者であるユーザU2から被参照者ID_U2、参照者ID_U3、関係レベルRおよび有効条件Cを受け取った場合には、これらを含んだ開示用アドレスT(U2_U3)を所定の鍵で生成し、生成した開示用アドレスT(U2_U3)を参照者であるユーザU3に受け渡す(図1の(2−2)〜(2−4)参照)。
そして、サービスセンタは、被参照者であるユーザU2の個人情報に対する参照要求として、参照者であるユーザU3から開示用アドレスT(U2_U3)を宛先アドレスとするメールを受け取った場合には、所定の鍵を用いて、開示用アドレスT(U2_U3)の正当性を検証するとともに、開示用アドレスT(U2_U3)から被参照者ID_U2、参照者ID_U3、関係レベルRおよび有効条件Cを抽出し、さらに、有効条件Cを用いて開示制御内容の実行可否を判定する(図1の(2−5)および(2−6)参照)。
その上で、サービスセンタは、開示用アドレスT(U2_U3)の正当性が認められ、かつ、開示制御内容の実行が許可された場合には、個人情報記憶部に記憶された個人情報のうち開示用アドレスT(U2_U3)に含まれる被参照者ID_U2に対応する個人情報を、開示ポリシー記憶部に記憶された開示制御内容Sのうち開示用アドレスT(U2_U3)に含まれる関係レベルRに対応する開示制御内容Sに従って、参照者であるユーザU3にメール送信して開示する(図1の(2−7)参照)。
(2)システムの特徴
このように、実施例1に係る情報開示システムでは、開示用アドレスT(U1_U2)を通じてユーザU1の個人情報をユーザU2に開示し、また、開示用アドレスT(U2_U3)を通じてユーザU2の個人情報をユーザU3に開示するが、これは実施例1による通常の情報開示である。すなわち、この情報開示システムでは、通常の情報開示の他に、拡張された情報開示も行う点に主たる特徴があり、上記の例で言えば、ユーザU3がユーザU1の個人情報を参照するための開示用アドレスT(U1_U3)そのものを有していなくても、ユーザU1の個人情報を参照することができるようにしている。
この主たる特徴(拡張された情報開示)について具体的に説明すると、図1に例示した情報開示システムにおいて、ユーザU2は、ユーザU1とユーザU3とを引き合わせるために、自らが参照者としてユーザU1の個人情報を参照するための開示用アドレスT(U1_U2)をユーザU3に通知する(図1の(3−1)参照)。
一方、サービスセンタは、ユーザU1の個人情報に対する拡張された参照要求として、参照者であるユーザU3から開示用アドレスT(U1_U2)および開示用アドレスT(U2_U3)を含んだメールを受け取る(図1の(3−2)参照)。そして、サービスセンタは、所定の鍵を用いて、両方の開示用アドレスTの正当性を検証するとともに、各開示用アドレスTから被参照者ID、参照者ID、関係レベルRおよび有効条件Cを抽出し、開示用アドレスT(U2_U3)から開示用アドレスT(U1_U2)に辿り着くか否かを判定する(図1の(3−3)参照)。
ここで、「辿り着く」とは、開示用アドレスT(U2_U3)に含まれる被参照者IDと開示用アドレスT(U1_U2)に含まれる参照者IDとが対応することを意味し、上記の例で言えば、被参照者IDおよび参照者IDのいずれもがユーザID_U2であれば、「辿り着く」旨が判定される。つまり、ユーザU1が開示用アドレスT(U1−U2)を通じてユーザU2の参照を許可し、また、ユーザU2が開示用アドレスT(U2−U3)を通じてユーザU3の参照を許可していれば、ユーザU2を仲介者として、ユーザU3からユーザU1に「辿り着く」という意味である。なお、仮に、ユーザU3から、ユーザU1がユーザU4の参照を許可した開示用アドレスT(U1−U4)、並びに、ユーザU2がユーザU3の参照を許可した開示用アドレスT(U2−U3)を受け付けたような場合には、ユーザU3からユーザU1に「辿り着かない」旨が判定される。
さらに、サービスセンタは、このような辿り着き判定の他に、各開示用アドレスTに含まれる有効条件Cを満たすか否か、また、開示用アドレスTに含まれる関係レベルRが一致するか否かの観点から開示制御内容の実行可否を判定する(図1の(3−3)参照)。その上で、サービスセンタは、各開示用アドレスTの正当性が認められ、かつ、ユーザU3からユーザU1に「辿り着く」旨が判定され、さらに、開示制御内容の実行が許可された場合には、個人情報記憶部に記憶された個人情報のうちユーザID_U1に対応する個人情報を、開示ポリシー記憶部に記憶された開示制御内容Sのうち開示用アドレスT(U1_U2)に含まれる関係レベルRに対応する開示制御内容Sに従って、参照者であるユーザU3にメール送信して開示する(図1の(3−4)参照)。
このように、実施例1に係る情報開示システムでは、ユーザU3からユーザU1に辿り着くための複数の開示用アドレスT(U1_U2)および開示用アドレスT(U2_U3)を用いてユーザU1からユーザU3への情報開示を制御するので、上記した主たる特徴のように、ユーザU3は、自らがユーザU1の個人情報を参照するための開示用アドレスT(U1_U3)そのものを有していなくても、ユーザU1の個人情報を参照することが可能になる。なお、ここで言う「ユーザU3」は特許請求の範囲に記載の「アクセス者Y」に対応し、「ユーザU1」は同じく「被アクセス者X」に対応し、「開示用アドレスT(U1_U2)」は同じく「アクセスコードTE」に対応し、「開示用アドレスT(U2_U3)」は同じく「アクセスコードTS」に対応する。
ところで、実施例1に係る情報開示システムでは、生成した開示用アドレスTをデータベースで管理することはしないので、開示用アドレスTが生成される度に制御情報(関係レベルRや有効条件C)をデータベースに新たに蓄積していく必要性を排除し、このようなデータベースを用いることなく開示制御を行うことも可能になる。すなわち、生成される開示用アドレスTごとに関係レベルRや有効条件Cをデータベースで管理するのではなく、関係レベルRや有効条件Cを開示用アドレスTに含めるので、開示用アドレスTの作成数に比例してデータベースのリソースが大きくなることもなく、このようなデータベースそのものを不要にすることが可能になる。
[システムの構成(実施例1)]
続いて、図2を用いて、実施例1に係る情報開示システムの構成を説明する。図2は、実施例1に係る情報開示システムの構成を示す図である。なお、以下では、図1の(5)〜(7)に示した情報開示を「通常の情報開示」や「通常開示」と表現し、同図の(8)〜(11)に示した情報開示を「拡張された情報開示」や「拡張開示」と表現する。
図2に示すように、この情報開示システムは、複数の利用者端末1と、ユーザ情報サーバ10と、アドレス発行サーバ20と、情報開示サーバ30とを、ネットワーク(インターネット3やLAN4、ルータなどによって形成される通信網)を介して相互に通信可能に接続して構成される。以下に、各装置の概要を説明した後に、各装置の詳細を説明する。
利用者端末1は、電子メールソフトやブラウザソフト等の通信用ソフトがインストールされた、既知のパーソナルコンピュータやワークステーション、家庭用ゲーム機、インターネットTV、PDA、あるいは携帯電話やPHSの如き移動体通信端末などである。具体的には、利用者端末1は、ユーザが、被参照者、参照者または仲介者として利用する端末であり、それぞれの利用に応じて以下の役割を有する。すなわち、被参照者としてのユーザに利用される場合には、利用者端末1は、主として、個人情報や開示ポリシーを情報開示サーバ30に対して送信する役割などを有する。
また、通常開示における参照者としてのユーザに利用される場合には、利用者端末1は、主として、アドレス発行サーバ20から開示用アドレスTを受信して登録する役割、開示用アドレスTを伴った通常開示の参照要求メールを情報開示サーバ30に送信する役割、情報開示サーバ30から通常開示に係る個人情報を含んだ開示メールを受信する役割などを有する。その一方、拡張開示における参照者としてのユーザに利用される場合には、利用者端末1は、主として、仲介者であるユーザの利用者端末1から開示用アドレスTを受信して登録する役割、複数の開示用アドレスTを伴った拡張開示の参照要求メールを情報開示サーバ30に送信する役割、情報開示サーバ30から拡張開示に係る個人情報を含んだ開示メールを受信する役割などを有する。さらに、拡張開示における仲介者としてのユーザに利用される場合には、利用者端末1は、主として、拡張開示における参照者の利用者端末10に開示用アドレスTを送信する役割を有する。
ユーザ情報サーバ10は、実施例1に係る情報開示システムによる各種処理に必要なデータおよびプログラムを格納するデータベース装置であり、主として、情報開示サービスを利用するユーザの情報を管理する役割などを有する。
アドレス発行サーバ20は、開示用アドレスTを発行するサーバ装置であり、主として、発行者としてのユーザの利用者端末1からアドレス発行要求メッセージを受信する役割、開示用アドレスTを生成する役割、生成した開示用アドレスTを参照者や被参照者であるユーザの利用者端末1に送信する役割などを有する。
情報開示サーバ30は、情報開示サービスを提供するサーバ装置であり、主として、被参照者であるユーザの利用者端末1から個人情報や開示ポリシーを受信して登録する役割、参照者であるユーザの利用者端末1から開示用アドレスTを伴った通常開示の参照要求メールを受信する役割、参照要求メールに含まれる開示用アドレスTに基づいて開示可否を判定する役割、被参照者の個人情報を開示用アドレスTに基づいて参照者の利用者端末1に送信して開示する役割、さらに、参照者であるユーザの利用者端末1から複数の開示用アドレスTを伴った拡張開示の参照要求メールを受信する役割、参照要求メールに含まれる複数の開示用アドレスTに基づいて開示可否(辿り着くか否か等)を判定する役割、被参照者の個人情報を開示用アドレスTに基づいて参照者の利用者端末1に送信して開示する役割などを有する。
[利用者端末(実施例1)]
利用者端末1は、本発明に密接に関連するものとして、上記したように、ユーザによる被参照者、参照者または仲介者としての利用に応じて各種の役割を有する。以下に、上記した利用者端末1の役割を簡単に説明する。
利用者端末1による個人情報(すなわち、電話番号、メールアドレス、住所、スケジュールなどの被参照者情報)の送信は、被参照者としてのユーザの指示に応じて、または、所定時間ごと定期的に、若しくは、個人情報に変更が生じた際に、ユーザID、ユーザ認証用のパスワードおよび個人情報からなる更新要求メッセージを情報開示サーバ30に対して送信することで行われる。同様に、開示ポリシー(すなわち、関係レベルRおよび開示制御内容Sからなる情報)の送信も、被参照者としてのユーザの指示に応じて、または、所定時間ごと定期的に、若しくは、開示ポリシーに変更が生じた際に、ユーザID、ユーザ認証用のパスワードおよび開示ポリシーからなる更新要求メッセージを送信することで行われる。
また、被参照者としての開示用アドレスTの発行要求メッセージの送信は、図9に例示するような「開示用アドレス発行ページ」を通じて行われる。すなわち、アドレス発行サーバ20にアクセスした後、図8に例示するようなユーザ認証ページを通じてユーザ認証が成功すると、図9に例示するような「開示用アドレス発行ページ」が利用者端末1のモニタ等に出力されるが、かかるページに対して参照者ID、関係レベルR、有効条件C(有効期限指定)、開示用アドレスTの通知先がキーボードやマウスを介して被参照者から入力されると、これらの入力情報からなるアドレス発行要求メッセージをアドレス発行サーバ20に送信する。そして、被参照者としてのアドレス生成通知の受信は、図10に例示するような「アドレス発行応答ページ」をアドレス発行サーバ20から受信し、かかるページを利用者端末1のモニタ等に出力することで行われる。
また、参照者としての開示用アドレスTの受信および登録は、図11に例示するような「アドレス生成通知メール」を通じて行われる。すなわち、図11に例示するような「アドレス生成通知メール」をアドレス発行サーバ20から受信すると、開示用アドレスTを含んだ内容が参照者の利用者端末1のモニタ等に出力されるが、このメール上で開示用アドレスTがキーボードやマウスを介してユーザによって指定されると、指定された開示用アドレスTをアドレス記憶部1a(いわゆるメールソフトのアドレス帳)に登録する。なお、拡張開示において仲介者であるユーザの利用者端末1から開示用アドレスTを受信して登録する処理も、上記と同様にして行われる。
また、通常開示における参照要求メールの送信は、参照者であるユーザの指示に応じて、若しくは、所定時間ごと定期的に、図12に例示するような「通常開示の参照要求メール」を情報開示サーバ30に送信することで行われる。すなわち、図12に例示するように、開示用アドレスTを宛先とする参照要求メールが、利用者端末1のキーボードやマウスを介してユーザによって作成されると、利用者端末1は、作成された通常開示の参照要求メールを情報開示サーバ30に送信する。なお、かかる参照要求メールの送信に際して、参照者であるユーザは、図12に例示するように、メールの件名(SUBJECT)を介して限定的な開示要求を行うことができる。つまり、例を挙げれば、2004年4月1日のスケジュールについてのみ参照を要求する場合には、「sched 040401」の如き限定的な開示要求のコマンドを件名に入力する。
また、拡張開示における参照要求メールの送信は、参照者であるユーザの指示に応じて、若しくは、所定時間ごと定期的に、図18に例示するような「拡張開示の参照要求メール」を情報開示サーバ30に送信することで行われる。すなわち、図18に例示するように、アクセスコードTSに対応する開示用アドレスT(U2_U3)を宛先とし、また、アクセスコードTEに対応する開示用アドレスT(U1_U2)が[syoukai]の文字に続けて本文に記載され、さらに、上記した通常開示の参照要求メールと同様の限定的な開示要求が件名(SUBJECT)に記載された参照要求メールが、利用者端末1のキーボードやマウスを介してユーザによって作成されると、利用者端末1は、作成された拡張開示の参照要求メールを情報開示サーバ30に送信する。
また、通常開示および拡張開示における個人情報の受信は、図13や図19に例示するような「開示メール」を情報開示サーバ30から受信することで行われる。すなわち、図13や図19に例示するように、開示主(被参照者)のユーザ名、限定的な開示要求のコマンドとともに、開示対象である被参照者の個人情報が記載されたメールを受信する。
[ユーザ情報サーバ(実施例1)]
ユーザ情報サーバ10は、本発明に密接に関連するものとして、上記したように、情報開示サービスを受けるユーザ(参照者および被参照者)の情報を管理する役割を有する。具体的には、ユーザ情報サーバ10は、図2に示すように、ユーザ情報テーブル11を備えるが、このユーザ情報テーブル11は、図3に例示するように、各ユーザのユーザID(被参照者IDおよび参照者IDとして利用されるID)に対応付けて、ユーザ認証用のパスワードや電子メールアドレスなどを記憶して構成される。
[アドレス発行サーバ(実施例1)]
アドレス発行サーバ20は、本発明に密接に関連するものとして、図2に例示するように、通信部21と、ユーザ認証部22と、発行鍵記憶部23と、アドレス生成部24とを備える。なお、アドレス生成部24は特許請求の範囲に記載の「アクセスコード生成手段」に対応する。
このうち、通信部21は、いわゆるSMTPやHTTPの通信プロトコル等に従って、利用者端末1等との間における通信を制御する処理部である。具体的には、被参照者であるユーザの利用者端末1からアクセス要求を受信してユーザ認証ページ(図8参照)を利用者端末1に返信する処理、ユーザ認証ページで入力された情報からなるユーザ認証要求メッセージを利用者端末1から受信する処理、開示用アドレス発行ページ(図9参照)で入力された情報からなるアドレス発行要求メッセージを利用者端末1から受信する処理などを実行する。
さらに、通信部21は、後述するアドレス生成部24によって開示用アドレスTが生成された場合には、アドレス発行応答ページ(図10参照)を被参照者であるユーザの利用者端末1に送信する処理の他に、生成された開示用アドレスTを含んだ生成通知用のメール(図11参照)を作成し、この生成通知メールを参照者であるユーザの利用者端末1に送信する処理も実行する。
ユーザ認証部22は、被参照者が開示用アドレスTの発行を要求し得る正当なユーザであるか否かを認証する処理部である。具体的には、被参照者端末1からユーザ認証ページ(図8参照)で入力された情報からなるユーザ認証要求メッセージを受信した場合に、当該要求メッセージに含まれる識別情報およびパスワードがユーザ情報テーブル11に対応付けて記憶されているか否かを認証する。その結果、ユーザ認証が成功すれば、その旨の情報を後述するアドレス生成部24に受け渡し、ユーザ認証が失敗すれば、その旨を被参照者端末1に対して応答する。
発行鍵記憶部23は、開示用アドレスTの生成に用いる発行鍵(マスター鍵)を記憶する手段であり、この発行鍵は、後述する情報開示サーバ30の検証鍵記憶部36に記憶される検証鍵と同一の鍵である。
アドレス生成部24は、開示用アドレスTの生成に用いる情報を被参照者の利用者端末1から受け付けて開示用アドレスTを生成する処理部である。具体的には、図9に例示するような「開示用アドレス発行ページ」を通じて、参照者ID、関係レベルR、有効条件C(有効期限指定)、開示用アドレスTの通知先(参照者のユーザ名)を受け付ける。なお、被参照者IDについては、上記したユーザ認証ページで書き込まれたユーザ名をもって、入力を待つことなく受け付ける。
そして、アドレス生成部24は、発行鍵記憶部23に記憶された発行鍵、被参照者から受け付けた被参照者ID、参照者ID、関係レベルR、有効条件C(有効期限指定)を用いて、開示用アドレスTを生成する。なお、かかる開示用アドレスTの生成処理については後に図14を用いて詳述する。
[情報開示サーバ(実施例1)]
情報開示サーバ30は、本発明に密接に関連するものとして、図2に例示するように、通信部31と、ユーザ認証部32と、個人情報記憶部33と、開示ポリシー記憶部34と、情報更新部35と、検証鍵記憶部36と、開示判定部37(通常開示判定部37a、拡張開示判定部37b)と、開示制御部38(通常開示制御部38a、拡張開示制御部38b)とを備える。なお、通信部31は特許請求の範囲に記載の「アクセスコード受付手段」に対応し、拡張開示判定部37bは同じく「辿り着き判定手段」や「アクセス判定手段」に対応し、開示制御部38bは同じく「アクセス制御手段」に対応する。
このうち、通信部31は、いわゆるSMTPやHTTPの通信プロトコル等に従って、被参照者または参照者としてのユーザの利用者端末1等との間における通信を制御する処理部である。具体的には、被参照者であるユーザの利用者端末1から個人情報や開示ポリシーに係る更新要求メッセージを受信する処理、参照者であるユーザの利用者端末1から通常開示や拡張開示の参照要求メール(図12や図18参照)を受信する処理、通常開示や拡張開示に係る個人情報を含んだ開示メール(図13や図19参照)を参照者であるユーザの利用者端末1に送信する処理などを実行する。
ここで、通信部31は、通常開示や拡張開示の参照要求メールを受け付ける場合に、上記したように、メールの件名(SUBJECT)を介して参照者から限定的な開示要求を受け付ける。すなわち、図12や図18に例示するように、例えば、2004年4月1日のスケジュールについてのみ参照を要求するユーザからは、件名に「sched 040401」の如き限定的な開示要求のコマンドが入力された参照要求メールを受け付ける。
ユーザ認証部32は、被参照者であるユーザが情報開示サービスを受け得る正当なユーザであるか否かを認証する処理部である。具体的には、被参照者としてのユーザの利用者端末1から個人情報や開示ポリシーの更新要求メッセージを受信した場合に、メッセージに含まれるユーザIDやパスワードがユーザ情報テーブル11に対応付けて記憶されているか否かを認証する。その結果、ユーザ認証が成功すれば、その旨の情報を後述する情報更新部35に受け渡し、ユーザ認証が失敗すれば、その旨を被参照者の利用者端末1に対して応答する。
個人情報記憶部33は、被参照者であるユーザの利用者端末1から受信した各ユーザの個人情報を記憶する手段である。具体的には、図4および図5に例示するように、各ユーザのユーザIDに対応付けて、ユーザの電話番号(phone)、メールアドレス(e-mail)および住所(address)を基本情報テーブルに記憶するとともに、スケジュール(schedule)の開始日時、終了日時および内容をスケジュールテーブルに記憶して構成される。なお、スケジュールテーブルでは、スケジュールごとに、公の予定であるか、私的な予定であるか等も記憶するようにしてもよい。
開示ポリシー記憶部34は、被参照者であるユーザの利用者端末1から受信した各ユーザの開示ポリシーを記憶する手段である。具体的には、図6に例示するように、各ユーザのユーザIDに対応付けて、それぞれの関係レベルRごとに開示制御内容Sを記憶して構成される。ここで、実施例1では、関係レベルRごとに開示情報項目を使い分ける開示制御内容Sを採用するので、同図に例示するように、開示制御内容Sは、「phone、e-mail、address、schedule」等の開示が許可されている情報項目を列挙して規定される。なお、「schedule」とは、公のスケジュールであるか私的なスケジュールであるかを問わず、全てのスケジュールを開示する場合であり、「public-schedule」とは公のスケジュールのみを開示する場合である。
情報更新部35は、個人情報記憶部33および開示ポリシー記憶部34に個人情報および開示ポリシーをそれぞれ登録する処理部である。具体的には、被参照者であるユーザの利用者端末1から個人情報や開示ポリシーの更新要求メッセージを受信した後、被参照者のユーザ認証が成功すると、情報更新部35は、要求メッセージに含まれる更新後の個人情報や開示ポリシーを、個人情報記憶部33や開示ポリシー記憶部34に登録する。なお、かかる更新処理は、利用者端末1から個人情報や開示ポリシーを受信する度に実行され、また、後述するアドレス生成処理や開示判定処理、開示制御処理から独立していつでも実行され得る。
検証鍵記憶部36は、通常開示や拡張開示の参照要求メールに含まれる開示用アドレスTの検証に用いる検証鍵(マスター鍵)を記憶する手段であり、この検証鍵は、アドレス発行サーバ20の発行鍵記憶部23に記憶される発行鍵と同一の鍵である。
開示判定部37の通常開示判定部37aは、参照者であるユーザの利用者端末1から受け付けた通常開示の参照要求メールに含まれる開示用アドレスTに基づいて個人情報の開示可否を判定する処理部である。具体的には、利用者端末1から通常開示の参照要求メールを受信すると、参照要求メールに含まれる開示用アドレスTの正当性を検証し、正当性が認められた場合には、開示用アドレスTに含まれる有効条件Cを用いて開示制御内容Sの実行可否を判定する。なお、かかる通常開示判定処理については後に図15を用いて詳述する。
一方、開示判定部37の拡張開示判定部37bは、参照者であるユーザの利用者端末1から受け付けた拡張開示の参照要求メールに含まれる複数の開示用アドレスTに基づいて個人情報の開示可否を判定する処理部である。具体的には、利用者端末1から拡張開示の参照要求メールを受信すると、参照要求メールに含まれる各開示用アドレスTの正当性を検証するとともに、開示用アドレスTS(例えば、開示用アドレスT(U2_U3)のことであり、特許請求の範囲に記載の「アクセスコードTS」に対応する。)から開示用アドレスTE(例えば、開示用アドレスT(U1_U2)のことであり、特許請求の範囲に記載の「アクセスコードTE」に対応する。)に辿り着くか否か、各開示用アドレスTに含まれる有効条件Cを満たすか否か、各開示用アドレスTに含まれる関係レベルRが一致するか否かの観点から開示制御内容Sの実行可否を判定する。なお、かかる拡張開示判定処理については後に図20を用いて詳述する。
ところで、上記した開示判定部37は、利用者端末1から受け取った参照要求メールについて、本文の筆頭に[syoukai]の文字があるか否かを判定し、[syoukai]の文字がなければ、通常開示の参照要求メールであるとして、これを通常開示判定部37aに受け渡し、これとは反対に、[syoukai]の文字があれば、拡張開示の参照要求メールであるとして、これを拡張開示判定部37bに受け渡す。
開示制御部38の通常開示制御部38aは、通常開示判定部37aによって開示が許可された場合に、開示用アドレスTから特定される開示制御内容Sを実行する処理部である。具体的には、個人情報記憶部33に記憶された個人情報のうち開示用アドレスTに含まれる被参照者IDに対応する個人情報を、開示ポリシー記憶部34に記憶された開示制御内容Sのうち開示用アドレスTに含まれる関係レベルRに対応する開示制御内容Sに従って(より詳細には、参照要求メールの件名に入力された限定的な開示要求にも従って)開示する。なお、かかる通常開示制御処理については後に図16を用いて詳述する。
一方、開示制御部38の拡張開示制御部38bは、拡張開示判定部37によって開示が許可された場合に、開示用アドレスTEから特定される開示制御内容Sを実行する処理部である。具体的には、個人情報記憶部33に記憶された個人情報のうち開示用アドレスTEに含まれる被参照者IDに対応する個人情報を、開示ポリシー記憶部34に記憶された開示制御内容Sのうち開示用アドレスTEに含まれる関係レベルRに対応する開示制御内容Sに従って(より詳細には、参照要求メールの件名に入力された限定的な開示要求にも従って)開示する。なお、かかる拡張開示制御処理については後に図21を用いて詳述する。
[開示用アドレス生成から通常の情報開示に至る処理手順(実施例1)]
次に、図7を用いて、開示用アドレスT生成から通常の情報開示に至る処理手順を説明する。図7は、かかる開示用アドレス生成から通常の情報開示に至る処理手順を示すシーケンス図である。
同図に示すように、被参照者であるユーザの利用者端末1がアドレス発行サーバ20にアクセス要求メッセージを送信すると(ステップS701)、アドレス発行サーバ20は、図8に例示するような「ユーザ認証ページ」からなるアクセス応答メッセージを利用者端末1に送信する(ステップS702)。
続いて、被参照者の利用者端末1において「ユーザ認証ページ」に対してユーザ名(被参照者のユーザID)およびパスワードが入力され、これらの入力情報からなるユーザ認証要求メッセージがアドレス発行サーバ20に送信されると(ステップS703)、アドレス発行サーバ20は、当該要求メッセージに含まれるユーザIDおよびパスワードがユーザ情報テーブル11に対応付けて記憶されているか否かを認証する(ステップS704)。なお、ユーザ認証としては、上記したようなパスワード認証に限られず、ディジタル証明証など、他のあらゆる認証方式を採用してもよい。
その結果、ユーザ認証が成功すれば、アドレス発行サーバ20は、図9に例示するような「開示用アドレス発行ページ」からなる応答メッセージを被参照者の利用者端末1に送信する(ステップS705)。なお、ユーザ認証が失敗すれば、その旨を利用者端末1に対して応答する。
そして、被参照者の利用者端末1で「開示用アドレス発行ページ」に対して、参照者ID、関係レベルR、有効条件C(有効期限指定)、開示用アドレスTの通知先が入力され、これらの入力情報からなるアドレス発行要求メッセージがアドレス発行サーバ20に送信されると(ステップS706)、アドレス発行サーバ20は、開示用アドレスTを生成する(ステップS707)。なお、かかる開示用アドレスTの生成処理については図14を用いて後に詳述する。
続いて、アドレス発行サーバ20は、生成した開示用アドレスTを含んだアドレス発行応答ページ(図10参照)を被参照者(例えば、ユーザU1)の利用者端末1に送信するとともに、生成された開示用アドレスTを含んだ生成通知用のメール(図11参照)を作成し、この生成通知メールを参照者(例えば、ユーザU2)の利用者端末2に送信する(ステップS708およびS709)。
そして、参照者の利用者端末1では、図11に例示したような生成通知メールの内容がモニタ等に出力され、このメール上で開示用アドレスTがキーボードやマウスを介してユーザによって指定されると、アドレス記憶処理として、指定された開示用アドレスTをアドレス記憶部1a(いわゆるメールソフトのアドレス帳)に登録する(ステップS710)。
その後、参照者の利用者端末1は、参照者の指示に応じて、若しくは、所定時間ごと定期的に、図12に例示するように、開示用アドレスTを宛先とし、かつ、限定的な開示要求のコマンドが件名に入力された通常開示の参照要求メールを情報開示サーバ30に送信する(ステップS711)。なお、この参照要求メールの発信者アドレスに基づいて、図3に例示したユーザ情報テーブル11を参照することで、参照者であるユーザのユーザID(参照者ID)が取得される。
かかる通常開示の参照要求メールを受信した情報開示サーバ30では、通常開示判定処理として、参照要求メールに含まれる開示用アドレスTの正当性を検証するとともに、開示用アドレスTに含まれる有効条件Cを用いて開示制御内容Sの実行可否を判定する(ステップS712)。なお、かかる通常開示判定処理については後に図15を用いて詳述する。
そして、情報開示サーバ30は、通常開示制御処理として、開示用アドレスTに含まれる被参照者IDに対応する個人情報を、開示用アドレスTに含まれる関係レベルRに対応する開示制御内容Sに従って開示する開示メール(図13参照)を作成し、かかる開示メールを参照者の利用者端末1に送信する(ステップS713)。なお、かかる通常開示制御処理については後に図16を用いて詳述する。
[アドレス生成処理(実施例1)]
次に、図14を用いて、アドレス発行サーバ20による開示用アドレスTの生成処理を説明する。図14は、かかるアドレス生成処理の詳細を示すフローチャートである。
アドレス発行サーバ20では、図9に例示するような「開示用アドレス発行ページ」などを通じて、被参照者ID、参照者ID,関係レベルRおよび有効条件C(有効期限指定)が入力されると、アドレス生成部24は、関係レベルRおよび有効条件Cから下記のような4ビットの制御コードB0を生成し、このデータB0をデータ列Bの初期値とする(ステップS1401)。
制御コードB0:[b3 b2 b1 b0]
b3:有効期限指定がある場合は1、ない場合は0とする
b2からb0:関係レベルRの値を3ビットで整数符号化した値
つまり、例を挙げれば、有効期限指定も参照者指定もなく、関係レベルRとして「1」が指定された場合には、「0001」という制御コードB0を生成する。
そして、アドレス生成部24は、有効条件Cにおいて有効期限が指定されている場合には、2000年1月1日から指定に係る有効期限までの日数を15ビットの整数値として符号化してデータB1を生成し、このデータB1を上記のデータ列Bの最後尾に追加する(ステップS1402)。また、アドレス生成部24は、参照者IDのハッシュ値を求め、このハッシュ値の末尾15ビットからなるデータB2を上記のデータ列Bの最後尾に追加する(ステップS1403)。
その後、アドレス生成部24は、被参照者IDの後ろにデータ列Bを追加した文字列Yを生成し、発行鍵記憶部23の発行鍵Kを用いて文字列Yの鍵付きハッシュ関数の値を求め、このハッシュ値の末尾25ビットからなるデータB3を上記のデータ列Bの最後尾に追加する(ステップS1404)。
そして、アドレス生成部24は、上記のデータ列BをBASE32符号化して12文字の文字列X(改ざん防止コード)を生成した後、被参照者IDの後ろにドット文字“.”を追加し、さらに後ろに文字列Xを追加し、その後ろに“@121.anywhere.ne.jp”を付加することで、開示用アドレスTを生成して出力する(ステップS1405)。
なお、開示用アドレスTに含められるドメイン名(例えば、“@121.anywhere.ne.jp”)は、開示用アドレスTを処理する装置のアドレスであり、実施例1では、情報開示サーバ30のアドレスがこれに該当する。このため、開示用アドレスTを宛先とするメールは、情報開示サーバ30に配送されることになる。
[通常開示判定処理(実施例1)]
続いて、図15を用いて、情報開示サーバ30による通常開示判定処理を説明する。図15は、通常開示判定処理の詳細を示すフローチャートである。なお、以下の説明では、参照者ID(参照要求メールの発信者アドレスに基づいて、図3に例示したユーザ情報テーブル11を参照することで取得した参照者ID)および開示用アドレスTが既に情報開示サーバ30に入力されているものとする。
情報開示サーバ30の通常開示判定部37aは、通常開示の参照要求メールに含まれる開示用アドレスTから「文字列X、検証データV、データ列B、制御コードB0、被参照者ID」をそれぞれ復元する(ステップS1501)。すなわち、同図に示すように、開示用アドレスTにおいて、ユーザ名部分の末尾から数えて1つ目のドット文字“.”から末尾までの文字列を「文字列X」として、文字列XをBASE32復号化して得られるデータ列の末尾25ビットを「検証データV」として、文字列XをBASE32復号化して得られるデータ列の末尾25ビット以外の部分を「データ列B」として、データ列Bの最初の4ビットを「制御コードB0」として、ユーザ名部分のドット文字“.”の直前までの文字列を「被参照者ID」として、それぞれ復元する。
そして、通常開示判定部37aは、被参照者IDの後ろにデータ列Bを追加して文字列Yを生成し、検証鍵記憶部36に記憶された検証鍵Kを用いて文字列Yの鍵付きハッシュ関数の値を求め、このハッシュ値の末尾25ビットからなる文字列Vtを生成した後に、文字列Vtと検証データV(改ざん防止コード)とが一致するか判定し、一致しない場合は、開示用アドレスTを不正アドレスとみなし、開示不可(NG)と判定する(ステップS1502)。
さらに、通常開示判定部37aは、下記のようにして、制御コードB0から関係レベルRおよび有効条件Cを復元する(ステップS1503)。
制御コードB0:[b3 b2 b1 b0]において、
b3:1なら有効期限指定あり、0なら指定なし
b2からb0:3ビットを整数値に復号化して関係レベルRを復元。
その後、通常開示判定部37aは、有効期限が指定されている場合には、かかる有効条件を満たすか否かを判定する(ステップS1504)。すなわち、データ列Bの先頭から5ビット目以降の15ビットを読み取り、この15ビットを整数値とみなして得られる数(日数)を2000年1月1日に加算し、有効期限を復元する。そして、現在の日付が復元された有効期限を過ぎているか判定し、有効期限を過ぎている場合には、有効条件を満たさないものとして、開示不可(NG)と判定する。
さらに、通常開示判定部37aは、参照要求メールの発信者アドレスに基づいて取得した参照者IDの正当性を判定する(ステップS1505)。すなわち、データ列Bの先頭から20ビット目以降の15ビットを文字列B2として読み取るとともに、参照者IDのハッシュ値を求め、このハッシュ値の末尾15ビットからなるデータB2tを取得する。そして、文字列B2とデータB2tとが一致するか判定し、一致しない場合は、参照者IDが正当でないものとして、開示不可(NG)と判定する。
その結果、上記した判定(ステップS1502、S1504およびS1505)をいずれも満足する場合には、通常開示判定部37aは、被参照者IDおよび関係レベルRを、開示判定結果とともに通常開示制御部38aに出力する。
[通常開示制御処理(実施例1)]
続いて、図16を用いて、情報開示サーバ30による通常開示制御処理を説明する。図16は、通常開示制御処理の詳細を示すフローチャートである。なお、以下の説明では、上記の通常開示判定処理で開示許可された開示用アドレスTについて、被参照者ID、関係レベルRおよび限定的な開示要求が、既に情報開示サーバ30に入力されているものとする。
情報開示サーバ30の通常開示制御部38aは、同図に示すように、開示ポリシー記憶部34を参照して、被参照者IDの関係レベルRに対応する開示制御内容(開示情報項目)Sを抽出する(ステップS1601)。
さらに、通常開示制御部38aは、限定的な開示要求が参照要求メールの件名に含まれる場合には、上記で抽出した開示制御内容Sとメールに含まれる限定要求との重複範囲を抽出する(ステップS1602)。すなわち、開示情報項目に含まれる項目のうち、限定要求に含まれる項目を抽出するのであるが、例えば、「電話番号、メールアドレス、住所、並びに、スケジュールを全て開示する。」という開示制御内容Sに対して、「sched 040401」の如き限定的な開示要求があった場合には、結果として「2004年4月1日の全てのスケジュール」を重複範囲の開示情報項目として抽出する。
その後、通常開示制御部38aは、個人情報記憶部33を参照して、被参照者IDの個人情報のなかから重複範囲の開示情報項目に対応する個人情報を取得する(ステップS1603)。すなわち、上記の例で言えば、被参照者IDの個人情報のなかから、「2004年4月1日の全てのスケジュール」を取得する。
そして、通常開示制御部38aは、上記で取得した個人情報を開示情報として含んだ開示メール(図13参照)を作成し、かかる開示メールを参照者の利用者端末1に送信する(ステップS1604)。すなわち、上記の例で言えば、被参照者の「2004年4月1日の全てのスケジュール」が開示された開示メールを作成して参照者に送信する。
[拡張された情報開示に至る処理手順(実施例1)]
次に、図17を用いて、拡張された情報開示に至る処理手順を説明する。図17は、かかる拡張された情報開示に至る処理手順を示すシーケンス図である。
同図に示すように、ここでは、上記したような開示用アドレス生成処理を通じて、ユーザU1の個人情報をユーザU2に開示するための開示用アドレスT(U1_U2)がユーザU2の利用者端末1に記憶され(ステップS1701)、また、ユーザU2の個人情報をユーザU3に開示するための開示用アドレスT(U2_U3)がユーザU3の利用者端末1に記憶されているとする(ステップS1702)。
このような状況で、ユーザU2は、ユーザU1とユーザU3とを引き合わせるために、自らが参照者としてユーザU1の個人情報を参照するための開示用アドレスT(U1_U2)をユーザU3に通知する(ステップS1703)。つまり、開示用アドレスT(U1_U2)をインターネットメールや携帯メール等の電子メールメッセージ、若しくはSIPメッセージに含めてユーザU3の利用者端末1に送信する。なお、オフラインで開示用アドレスT(U1_U2)を通知してもよい。
そして、ユーザU3の利用者端末1では、開示用アドレスT(U1_U2)を含んだメッセージの内容がモニタ等に出力され、このメッセージ上で開示用アドレスTがキーボードやマウスを介してユーザU3によって指定されると、アドレス記憶処理として、指定された開示用アドレスTをアドレス記憶部1a(いわゆるメールソフトのアドレス帳)に登録する(ステップS1704)。
その後、ユーザU3の利用者端末1は、ユーザU3の指示に応じて、若しくは、所定時間ごと定期的に、図18に例示するように、アクセスコードTSに対応する開示用アドレスT(U2_U3)を宛先とし、また、アクセスコードTEに対応する開示用アドレスT(U1_U2)を[syoukai]の文字に続けて本文に記載し、さらに、限定的な開示要求のコマンドが件名に入力された拡張開示の参照要求メールを情報開示サーバ30に送信する(ステップS1705)。なお、情報開示サーバ30では、この参照要求メールの発信者アドレスに基づいて、図3に例示したユーザ情報テーブル11を参照することで、参照者であるユーザのユーザID(参照者ID)を取得する。
かかる拡張開示の参照要求メールを受信した情報開示サーバ30では、拡張開示判定処理として、参照要求メールに含まれる各開示用アドレスTの正当性を検証するとともに、開示用アドレスT(U2_U3)から開示用アドレスT(U1_U2)に辿り着くか否か、各開示用アドレスTに含まれる有効条件Cを満たすか否か、各開示用アドレスTに含まれる関係レベルRが一致するか否かの観点から開示制御内容Sの実行可否を判定する(ステップS1706)。なお、かかる拡張開示判定処理については後に図21を用いて詳述する。
そして、情報開示サーバ30は、拡張開示制御処理として、開示用アドレスT(T1_U2)に含まれる被参照者IDに対応する個人情報(つまり、ユーザU1の個人情報)を、開示用アドレスT(T1_U2)に含まれる関係レベルRに対応する開示制御内容Sに従って開示する開示メール(図19参照)を作成し、かかる開示メールを参照者であるユーザU3の利用者端末1に送信する(ステップS1707)。なお、かかる拡張開示制御処理については後に図21を用いて詳述する。
ところで、上記でも述べたように、情報開示サーバ30における個人情報や開示ポリシーの更新処理は、上記した開示用アドレス生成から通常の情報開示に至る処理手順、さらには拡張された情報開示に至る処理手順から独立して、被参照者の利用者端末1から更新後の個人情報や開示ポリシーを受信する度に実行される。したがって、参照者の利用者端末1から通常開示や拡張開示の参照要求メールを受信した時点で情報開示サーバ30に登録されている更新後の個人情報が、同じく当該時点で情報開示サーバ30に登録されている更新後の開示ポリシーに従って、参照者に開示されることになる。
[拡張開示判定処理(実施例1)]
続いて、図20を用いて、情報開示サーバ30による拡張開示判定処理を説明する。図20は、拡張開示判定処理の詳細を示すフローチャートである。なお、以下の説明では、参照者IDとしてのユーザID_U3(参照要求メールの発信者アドレスに基づいて、図3に例示したユーザ情報テーブル11を参照することで取得されたユーザU3のID)、開示用アドレスT(U1_U2)および開示用アドレスT(U2_U3)が既に情報開示サーバ30に入力されているものとする。
図20に示すように、情報開示サーバ30の拡張開示判定部37bは、開示用アドレスT(U2_U3)およびユーザID_U3(参照要求メールの発信者アドレスに基づいて取得したユーザID)を入力として上記した通常開示判定処理を行って、被参照者ID(ユーザID_U2)、開示判定結果および関係レベルRを出力する(ステップS2001)。つまり、拡張開示判定部37bは、開示用アドレスT(U2_U3)の正当性、参照者IDの正当性、有効条件Cを判定するとともに、開示用アドレスT(U2_U3)に含まれる被参照者IDおよび関係レベルRを抽出する。
そして、拡張開示判定部37bは、開示判定結果が「OK」であるか否かを判定し(ステップS2002)、開示判定結果が「NG」であった場合には(ステップS2002否定)、拡張開示判定結果を開示不可(NG)とする(ステップS2007)。
これとは反対に、開示判定結果が「OK」であった場合には(ステップS2002肯定)、拡張開示判定部37bは、開示用アドレスT(U1_U2)およびユーザID_U2(上記のステップS2001によって取得した被参照者ID)を入力として上記した通常開示判定処理を行って、被参照者ID(ユーザID_U1)、開示判定結果および関係レベルRを出力する(ステップS2001)。つまり、拡張開示判定部37bは、開示用アドレスT(U1_U2)の正当性、参照者ID(ユーザID_U2)の正当性、有効条件Cを判定するとともに、開示用アドレスT(U1_U2)に含まれる被参照者IDおよび関係レベルRを抽出する。
ここで、参照者ID(ユーザID_U2)の正当性を判定する処理は、開示用アドレスT(U2_U3)に含まれる被参照者IDと開示用アドレスT(U1_U2)に含まれる参照者IDとが対応するか否か、言い換えれば、開示用アドレスT(U2_U3)から開示用アドレスT(U1_U2)に辿り着くか否かの判定であり、具体的には、以下のようにして行う。すなわち、開示用アドレスT(U1_U2)を復元して得たデータ列Bの先頭から20ビット目以降の15ビットを文字列B2として読み取るとともに、上記のステップS2001によって取得した被参照者IDのハッシュ値を求め、このハッシュ値の末尾15ビットからなるデータB2tを取得する。そして、文字列B2とデータB2tとが一致するか判定し、一致しない場合は、開示用アドレスT(U2_U3)から開示用アドレスT(U1_U2)に辿り着けないものとして、開示不可(NG)と判定する。
そして、拡張開示判定部37bは、上記したステップS2003によって出力された開示判定結果が「OK」であるか否かを判定し(ステップS2004)、開示判定結果が「NG」であった場合には(ステップS2004否定)、拡張開示判定結果を開示不可(NG)とする(ステップS2007)。
その一方、開示判定結果が「OK」であった場合には(ステップS2004肯定)、拡張開示判定部37bは、上記したステップS2001およびS2003によって出力された関係レベルRが等しいか否かを判定する(ステップS2005)。そして、拡張開示判定部37bは、関係レベルRが等しい場合には(ステップS2005肯定)、拡張開示判定結果を開示可(OK)とするが(ステップS2006)、関係レベルRが等しくない場合には(ステップS2005否定)、拡張開示判定結果を開示不可(NG)とする(ステップS2007)。
その結果、上記した判定(ステップS2002、S2004およびS2005)をいずれも満足する場合には、拡張開示判定部37bは、上記したステップS2003によって出力された被参照者IDおよび関係レベルRを、上記の拡張開示判定結果とともに拡張開示制御部38bに出力する。
[拡張開示制御処理(実施例1)]
続いて、図21を用いて、情報開示サーバ30による拡張開示制御処理を説明する。図21は、拡張開示制御処理の詳細を示すフローチャートである。なお、以下の説明では、上記の拡張開示判定処理で拡張開示許可された開示用アドレスTE(つまり、開示用アドレスT(U1_U2))について、被参照者ID、関係レベルRおよび限定的な開示要求が、既に情報開示サーバ30に入力されているものとする。
情報開示サーバ30の拡張開示制御部38bは、同図に示すように、開示ポリシー記憶部34を参照して、開示用アドレスT(U1_U2)に含まれる被参照者ID、つまりユーザU1のユーザIDの関係レベルRに対応する開示制御内容(開示情報項目)Sを抽出する(ステップS2101)。
さらに、拡張開示制御部38bは、限定的な開示要求が拡張開示の参照要求メールの件名に含まれる場合には、上記で抽出した開示制御内容Sとメールに含まれる限定要求との重複範囲を抽出する(ステップS2102)。すなわち、図16に示した通常開示制御処理と同様、開示情報項目に含まれる項目のうち、限定要求に含まれる項目を抽出する。
その後、拡張開示制御部38bは、個人情報記憶部33を参照して、ユーザID_U1の個人情報のなかから重複範囲の開示情報項目に対応する個人情報を取得する(ステップS2103)。そして、拡張開示制御部38bは、上記で取得した個人情報を開示情報として含んだ開示メール(図19参照)を作成し、かかる開示メールを拡張開示の参照要求メールの発信元であるユーザU3の利用者端末1に送信する(ステップS2104)。
[実施例1の効果等]
このように、実施例1によれば、ユーザU3からユーザU1に辿り着くための複数の開示用アドレスT(U1_U2)および開示用アドレスT(U2_U3)を用いてユーザU1からユーザU3への情報開示を制御するので、ユーザU3は、自らがユーザU1の個人情報を参照するための開示用アドレスT(U1_U3)そのものを有していなくても、ユーザU1の個人情報を参照することが可能になる。
言い換えれば、実施例1によれば、ユーザU3は、第三者であるユーザU2の仲介を通じて被参照者であるユーザU1に辿り着く開示用アドレスT(U1_U2)および開示用アドレスT(U2_U3)を入手すれば、開示用アドレスT(U1_U3)の発行を待たずに、ユーザU1による情報開示に早急にアクセスすることが可能になり、また、ユーザU3は、ユーザU1を直接知らなくても、ユーザU2の仲介を通じてユーザU1による情報開示にアクセスすることが可能になり、さらに、ユーザU3は、ユーザU2の仲介を通じてユーザU1に対して自己の正当性や信頼性を担保することが可能になる。なお、仲介者であるユーザU2にとっては、開示用アドレスTを介して知らない者同士を引き合わせることができ、新たな信頼関係の構築を仲介することが可能になる。
また、実施例1によれば、ユーザU3からユーザU1へアクセスするための開示用アドレスT(U1_U3)を発行する必要がないので、アドレス発行サーバ20やユーザU1、ユーザU3の開示用アドレス発行に伴う負担を軽減することが可能になる。
また、実施例1によれば、開示用アドレスTに含まれる関係レベルRや有効条件Cを開示判定に利用するので、ユーザU1へのアクセスが仲介によって無制限に認められる事態を回避し、所定の条件を満たす範囲でのみ仲介によるアクセスを認めるという実用的な制御を実現することが可能になる。なお、ここでは、具体的な有効条件Cそのものを開示用アドレスTに含める場合を説明したが、本発明はこれに限定されるものではなく、具体的な有効条件Cと当該有効条件Cを一意に特定するための有効条件識別子とを対応付けてデータベースに記憶する一方で、かかる有効条件Cに代えて有効条件識別子を開示用アドレスTに含めるようにしてもよい。この場合には、開示判定処理における有効条件Cの判定は、開示用アドレスTから有効条件識別子を抽出し、抽出した有効条件識別子に対応する有効条件Cをデータベースから読み出して判定することで行われる。
また、実施例1によれば、このような開示判定に用いる条件を開示用アドレスTに含めるので、かかる条件をデータベースで管理する必要がなく、データベースのリソースを削減することが可能になる。さらに、通常の開示判定(通常の情報開示)に用いる関係レベルRや有効条件Cを仲介時の開示判定(拡張された情報開示)にも利用することで、開示用アドレスTの生成手法を改変することなく、元もと仲介を意図していない開示用アドレスTをそのまま援用して仲介時の開示判定を行うことが可能になる。
また、実施例1によれば、通常の開示制御(通常の情報開示)に用いる関係レベルRや開示制御内容Sを仲介時の開示制御(拡張された情報開示)にも利用することで、開示用アドレスTの生成手法を改変することなく、元もと仲介を意図していない開示用アドレスTをそのまま援用して仲介時の開示制御を行うことが可能になる。
さて、これまで実施例1に係る情報開示システムについて説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では実施例2に係る情報開示システムとして、種々の異なる実施例を(1)〜(14)に区分けして説明する。
(1)複数の仲介者
上記の実施例1では、一人の仲介者(ユーザU2)を介してユーザU3がユーザU1の情報開示にアクセスする場合を説明したが、本発明はこれに限定されるものではなく、複数の仲介者を介してユーザU1の情報開示にアクセスする場合にも本発明を同様に適用することができる。
つまり、図22に例示するように、n人のユーザ(ユーザU1、ユーザU2、・・・ユーザUn−1、ユーザUn)が存在し、ユーザU1からユーザU2に開示用アドレスT(U1_U2)が付与され、ユーザU2からユーザU3に開示用アドレスT(U2_U3)が付与され、・・・ユーザUn−1からユーザUnに開示用アドレスT(Un−1_Un)が付与されているような場合には、参照者としてのユーザUnは、複数の仲介者(ユーザU2からユーザUn−1)を介して、被参照者としてのユーザU1の情報開示にアクセスすることができる。
以下に、図22に示すように、開示用アドレスT(Un−1_Un)を開示用アドレスTSと表記し、開示用アドレスT(Un−2_Un−1)から開示用アドレスT(U2_U3)を開示用アドレスTMと表記し、開示用アドレスT(U1_U2)を開示用アドレスTEと表記して、複数の仲介者を介する場合における拡張開示の参照要求メール、並びに、拡張開示判定処理の詳細を説明する。
図23は、複数の仲介者を介する場合に参照者(ユーザUn)が送信する拡張開示の参照要求メールの構成例を示す図である。同図に示すように、開示用アドレスT(U1_U2)から開示用アドレスT(Un−1_Un)を入手したユーザUnは、メールの宛先において、開示用アドレスTSに対応する開示用アドレスT(Un−1_Un)が記載され、また、メールの本文において、[syoukai]の文字に続けて開示用アドレスTMに対応する複数の開示用アドレスT(Un−2_Un−1)から開示用アドレスT(U2_U3)、さらに、アクセスコードTEに対応する開示用アドレスT(U1_U2)が「/」を挟んで連記された参照要求メールを利用者端末1で作成し、この拡張開示の参照要求メールを情報開示サーバ30に送信する。
図24は、複数の仲介者を介する場合に実行される拡張開示判定処理の詳細を示すフローチャートである。なお、以下の説明では、参照者IDとしてのユーザID_Un(参照要求メールの発信者アドレスに基づいて、図3に例示したユーザ情報テーブル11を参照することで取得されたユーザUnのID)、開示用アドレスTSに対応する開示用アドレスT(Un−1_Un)、開示用アドレスTMに対応する複数の開示用コードT(Un−2_Un−1)から開示用アドレスT(U2_U3)、アクセスコードTEに対応する開示用アドレスT(U1_U2)が既に情報開示サーバ30に入力されているものとする。
図24に示すように、情報開示サーバ30の拡張開示判定部37bは、開示用アドレスTS、TM、TEから順番に一つの開示用アドレスTを取り出す(ステップS2401)。具体的には、開示用アドレスT(Un−1_Un)を最初に取り出し、後述するステップS2401〜S2404の処理を繰り返しながら、開示用アドレスT(U1_U2)を取り出すまで(後述するステップS2404肯定)、開示用アドレスT(Un−2_Un−1)、・・・開示用アドレスT(U2_U3)、開示用アドレスT(U1_U2)を順番に一つずつ取り出す。
そして、拡張開示判定部37bは、ステップS2401で取り出した開示用アドレスTおよび参照者のユーザID_Un(もしくは、前回の通常開示判定処理で出力された被参照者のユーザID)を入力として上記した通常開示判定処理を行って、被参照者ID、開示判定結果および関係レベルRを出力する(ステップS2402)。つまり、拡張開示判定部37bは、取り出した開示用アドレスTの正当性、参照者IDの正当性、有効条件Cを判定するとともに、開示用アドレスTに含まれる被参照者IDおよび関係レベルRを抽出する。
ここで、参照者IDの正当性を判定する処理について、具体的に例を挙げて説明すると、開示用アドレスT(Un−1_Un)を取り出した場合には、参照要求メールの発信者アドレスに基づいて取得した参照者ID(ユーザUnのユーザID_Un)が、開示用アドレスT(Un−1_Un)に含まれる参照者IDに対応するか否かを判定する。また、開示用アドレスT(Un−2_Un−1)を取り出した場合には、前回の通常開示判定処理で出力された被参照者ID(つまり、ユーザUn−1のユーザID_Un−1)が、開示用アドレスT(Un−2_Un−1)に含まれる参照者IDに対応するか否かを判定する。そして、これらのIDが対応しない場合には、開示用アドレスTSから開示用アドレスTEに辿り着けないものとして、開示不可(NG)と判定する。
そして、拡張開示判定部37bは、上記したステップS2402によって出力された開示判定結果が「OK」であるか否かを判定し(ステップS2403)、開示判定結果が「NG」であった場合には(ステップS2403否定)、拡張開示判定結果を開示不可(NG)とする(ステップS2407)。その一方、開示判定結果が「OK」であった場合には(ステップS2403肯定)、拡張開示判定部37bは、取り出した開示用アドレスTが開示用アドレスTEであったか否かを判定する(ステップS2404)。
この判定において、取り出した開示用アドレスTが開示用アドレスTEでない場合には(ステップS2404否定)、拡張開示判定部37bは、上記したステップS2401に戻って、次の開示用アドレスTを取り出し、新たに取り出した開示用アドレスTについて、上記と同様にステップS2402〜S2404の処理を実行する。
これとは反対に、取り出した開示用アドレスTが開示用アドレスTEであった場合には(ステップS2404肯定)、拡張開示判定部37bは、開示用アドレスTSから開示用アドレスTEに辿り着けたものとして、上記したステップS2402によって出力された各開示用アドレスTの関係レベルRが等しいか否かを判定する(ステップS2405)。そして、拡張開示判定部37bは、関係レベルRが等しい場合には(ステップS2405肯定)、拡張開示判定結果を開示可(OK)とするが(ステップS2406)、関係レベルRが等しくない場合には(ステップS2405否定)、拡張開示判定結果を開示不可(NG)とする(ステップS2407)。
その結果、上記した判定(ステップS2403およびS2405)をいずれも満足する場合には、拡張開示判定部37bは、上記したステップS2402によって最後に出力された開示用アドレスTEの被参照者ID(つまり、ユーザID_U1)および関係レベルRを、上記の拡張開示判定結果とともに拡張開示制御部38bに出力する。なお、これに続いて実行される拡張開示制御部38bによる拡張開示制御処理は、上記で図21を参照して説明した通りである。
上述したように、複数の仲介者を介するような場合でも、開示用アドレスTSから開示用アドレスTEまで辿り着くことができれば、ユーザUnはユーザU1の情報開示にアクセスすることが可能になる。つまり、上記したステップS2402の処理において、先の開示用アドレスTに含まれる被参照者IDと次の開示用アドレスTに含まれる参照者IDとが対応することを条件に両者の開示用アドレスTを結び付ける処理が順次実行され、結果として、開示用アドレスTSと開示用アドレスTEとを開示用アドレスTMを介して結び付けることができた場合には、開示用アドレスTSから開示用アドレスTEまで辿り着く旨が判定され、ユーザUnはユーザU1の情報開示にアクセスすることが可能になる。
(2)開示用アドレスTの生成方針
上記の実施例1では、被参照者ID、参照者ID、関係レベルRおよび有効条件Cを含んで生成された開示用アドレスTを情報開示(通常開示および拡張開示)に用いる場合を説明したが、本発明はこれに限定されるものではなく、以下に説明するような開示用アドレスTを情報開示に用いるようにしてもよい。
具体的に説明すると、図25の(1−1)に例示するように、被参照者を特定するための被参照者特定情報A、並びに、参照者を限定するための参照者限定情報Bのみを含んで生成された開示用アドレスTを情報開示に用いるようにしてもよい。ここで、「被参照者特定情報A」は、ユーザ名やユーザ番号のようなユーザIDの他に、これらに対応付けられるユーザアドレスやアカウントなど、ユーザを特定できる情報に限られるが、「参照者限定情報B」は、ユーザを特定できる情報に限られず、これらのユーザIDやユーザアドレスを用いて生成されるユーザ識別子や、ユーザが属する組織を特定するための情報など、ユーザを限定できる情報であってもよい。
そして、この開示用アドレスTを情報開示に用いる場合には、情報開示サーバ30側で用意された制御アルゴリズム(つまり、有効条件C、開示制御内容Sに対応するアルゴリズム)に従って通常の情報開示が行われる。つまり、被参照者や参照者で区別した開示制御や、これらを区別しない開示制御などを行う。なお、かかる開示用アドレスTを用いる場合に行われる拡張された情報開示については後述する。
また、その他の開示用アドレスTとしては、図25の(1−2)に例示するように、被参照者特定情報A、参照者限定情報B、および、仲介者を介しない通常の情報開示を制御するための制御情報Fを含んで生成された開示用アドレスTを情報開示に用いるようにしてもよい。ここで、開示用アドレスTに含められる「制御情報F」は、同図の(2−1)から(2−5)に例示するように、有効条件C、開示制御内容S若しくは関係レベルR、またはこれらの組合せである。
そして、この開示用アドレスTを情報開示に用いる場合には、開示用アドレスTに含まれる制御情報Fを用いて通常の情報開示が行われる。なお、かかる開示用アドレスTを用いる場合に行われる拡張された情報開示については後述する。
また、その他の開示用アドレスTとしては、図25の(1−3)に例示するように、被参照者特定情報A、参照者限定情報B、制御情報F、および、仲介者を介する拡張された情報開示を制御するための制御情報F+を含んで生成された開示用アドレスTを情報開示に用いるようにしてもよい。そして、この開示用アドレスTを情報開示に用いる場合には、開示用アドレスTに含まれる制御情報Fを用いて通常の情報開示が行われる。なお、かかる開示用アドレスTを用いる場合に行われる拡張された情報開示については後述する。
ここで、かかる開示用アドレスTに含められる「制御情報F+」は、同図の(3−1)から(3−5)に例示するように、有効条件C+、開示制御内容S+若しくは関係レベルR+、またはこれらの組合せである。より詳細には、「開示制御内容S+(特許請求の範囲に記載の「拡張アクセス制御内容」に対応する。)」とは、拡張された情報開示に係る制御内容のことであり、例えば、図6に例示した開示制御内容Sと同様、「電話番号、メールアドレス、住所、並びに、スケジュールを全て開示する。」などの制御内容がこれに該当する。
また、「関係レベルR+(特許請求の範囲に記載の「拡張関係情報」に対応する。)」とは、上記の開示制御内容S+と一意に対応付けられる情報のことであり、図6に例示した関係レベルRと同様、仲介者を介した場合における被参照者と参照者との関係を示し、例えば、近い紹介者、遠い紹介者などがこれに該当する。
さらに、「有効条件C+(特許請求の範囲に記載の「拡張有効条件」に対応する。)」とは、拡張された情報開示の実行に際して必要とされる条件のことであり、例えば、実行が許可される期間(例えば、週末のみ)、期限(例えば、何年何月何日まで)、時間(例えば、昼間のみ)、ホップ数(仲介者の数)、リンク値(参照者との結び付き具合を示す値)若しくはこれらの組合せなどを指定した条件がこれに該当する。なお、これらの制御情報F+の指定は、制御情報Fと同様、図9に例示したような「開示用アドレス発行ページ」を通じて行われる。
また、その他の開示用アドレスTとしては、図25の(1−4)に例示するように、被参照者特定情報A、参照者限定情報Bおよび制御情報F+を含んで生成された開示用アドレスTを情報開示に用いるようにしてもよい。そして、この開示用アドレスTを情報開示に用いる場合には、情報開示サーバ30側で用意された制御アルゴリズム(つまり、有効条件C、開示制御内容Sに対応するアルゴリズム)に従って通常の情報開示が行われる。なお、かかる開示用アドレスTを用いる場合に行われる拡張された情報開示については後述する。
上述したように、本発明では、被参照者ID、参照者ID、関係レベルRおよび有効条件Cを含んで生成された開示用アドレスTに限られず、上記で説明した開示用アドレスT(図25参照)を情報開示に用いることができる。また、被参照者特定情報A、参照者限定情報B、制御情報F、制御情報F+もしくはこれらの組合せを含んだ開示用アドレスTについては、これらを鍵によって含んだものに限定されず、これらを鍵に依ることなく含んだ開示用アドレスTであってもよい。
(3)拡張された情報開示の制御方針
続いて、上記した開示用アドレスTの生成方針を踏まえて、拡張された情報開示の制御方針を説明する。上記の実施例1では、開示用アドレスTSから開示用アドレスTEに辿り着くか否かの他に、各開示用アドレスTに含まれる有効条件Cを満たすか否か、また、開示用アドレスTに含まれる関係レベルRが一致するか否かを判定することで、拡張開示判定処理を行い、さらに、開示用アドレスTEに含まれる関係レベルRに従って被参照者の個人情報を開示することで、拡張開示制御処理を行う場合を説明したが、本発明はこれに限定されるものではなく、以下に説明するような拡張開示判定処理や拡張開示制御処理を行うようにしてもよい。
まず、拡張開示判定処理としては、図26に示すように、開示用アドレスTSから開示用アドレスTEに辿り着くか否かを判定するだけでもよく、さらには、かかる判定だけでなく仲介者を介した開示を許可するか否かも判定するようにしてもよい。ここで、辿り着くか否かの判断については、同図の(4−1)に示すように、拡張開示の参照要求メールに含まれる各開示用アドレスTの被参照者特定情報Aおよび参照者限定情報Bが判断要素として用いられる。
また、拡張開示を許可するか否かの判断については、同図の(5−1)から(5−4)に示すように、開示用アドレスTに含まれる制御情報Fを判断要素として用いること、開示用アドレスTに含まれる制御情報F+を判断要素として用いること、開示用アドレスTに含まれる制御情報Fおよび制御情報F+を判断要素として用いること、さらには、開示用アドレスTに含まれない他のアルゴリズムで判断することができる。
具体的には、開示用アドレスTに含まれる制御情報Fを判断要素として用いる場合(図26の(5−1)参照)としては、上記した実施例1のように、各開示用アドレスTの有効条件Cを判定するとともに、各開示用アドレスTの関係レベルRが一致するか否かを判定する場合に限られず、例えば、各開示用アドレスTの有効条件Cのみを判定する、各開示用アドレスTの関係レベルRが一致するかのみを判定する、開示用アドレスTSおよび開示用アドレスTEの有効条件Cのみを判定する、開示用アドレスTSの有効条件Cのみを判定する、開示用アドレスTEの有効条件Cのみを判定する、各開示用アドレスTの有効条件Cのうち半数以上を満たすか否かを判定するなど、開示用アドレスTに含まれる制御情報Fを判断要素とする場合であれば、あらゆる手法を採用することができる。
また、開示用アドレスTに含まれる制御情報F+を判断要素として用いる場合(図26の(5−2)参照)としては、例えば、各開示用アドレスTの有効条件C+を判定するとともに、各開示用アドレスTの関係レベルR+が一致するか否かを判定する、各開示用アドレスTの有効条件C+のみを判定する、各開示用アドレスTの関係レベルR+が一致するかのみを判定する、開示用アドレスTSおよび開示用アドレスTEの有効条件C+のみを判定する、開示用アドレスTSの有効条件C+のみを判定する、開示用アドレスTEの有効条件C+のみを判定する、各開示用アドレスTの有効条件C+のうち半数以上を満たすか否かを判定するなど、開示用アドレスTに含まれる制御情報F+を判断要素とする場合であれば、あらゆる手法を採用することができる。なお、有効条件C+を判断要素とする判定としては、図27や図29を用いて後述するホップ数やリンク値に基づいた判定がある。
また、開示用アドレスTに含まれる制御情報Fおよび制御情報F+を判断要素として用いる場合(図26の(5−3)参照)としては、例えば、各開示用アドレスTの有効条件Cおよび有効条件C+を判定するとともに、各開示用アドレスTの関係レベルRが一致するか、さらには関係レベルR+が一致するか否かを判定する、各開示用アドレスTの有効条件Cおよび有効条件C+を判定する、各開示用アドレスTの関係レベルRが一致するか、さらには関係レベルR+が一致するかを判定する、開示用アドレスTSおよび開示用アドレスTEの有効条件Cおよび有効条件C+のみを判定する、開示用アドレスTSの有効条件Cおよび有効条件C+のみを判定する、開示用アドレスTEの有効条件Cおよび有効条件C+のみを判定する、各開示用アドレスTの有効条件Cおよび有効条件C+のうち半数以上を満たすか否かを判定するなど、開示用アドレスTに含まれる制御情報Fおよび制御情報F+を判断要素とする場合であれば、あらゆる手法を採用することができる。
また、開示用アドレスTに含まれない他のアルゴリズムで判断する場合(図26の(5−4)参照)としては、例えば、情報開示サーバ30側で用意された制御アルゴリズム(つまり、有効条件Cや有効条件C+)であって、被参照者や参照者で区別した制御アルゴリズムや、これらを区別しない制御アルゴリズムを採用することができる。なお、このような制御アルゴリズムに基づいた判定としては、図28や図30を用いて後述するホップ数やリンク値に基づいた判定がある。
続いて、拡張開示制御処理において、どの開示制御内容を実行するかの判断については、図26の(6−1)から(6−3)に示すように、開示用アドレスTに含まれる制御情報Fに基づいて実行すること、開示用アドレスTに含まれる制御情報F+に基づいて実行すること、さらには、開示用アドレスTに含まれない他のアルゴリズムに基づいて実行することができる。
具体的には、開示用アドレスTに含まれる制御情報Fに基づいて拡張開示制御処理を実行する場合(図26の(6−1)参照)としては、上記した実施例1のように、各開示用アドレスTに含まれる同一の関係レベルRに対応する開示制御内容Sを実行する場合に限られず、例えば、開示用アドレスTSに含まれる関係レベルRに対応する開示制御内容Sを実行する、開示用アドレスTEに含まれる関係レベルRに対応する開示制御内容Sを実行する、開示用アドレスTSに含まれる開示制御内容Sを実行する、開示用アドレスTEに含まれる開示制御内容Sを実行するなど、開示用アドレスTに含まれる制御情報Fに基づいて開示制御内容を実行する場合であれば、あらゆる手法を採用することができる。
また、開示用アドレスTに含まれる制御情報F+に基づいて拡張開示制御処理を実行する場合(図26の(6−2)参照)としては、例えば、各開示用アドレスTに含まれる同一の関係レベルR+に対応する開示制御内容S+を実行する、開示用アドレスTSに含まれる関係レベルR+に対応する開示制御内容S+を実行する、開示用アドレスTEに含まれる関係レベルR+に対応する開示制御内容S+を実行する、開示用アドレスTSに含まれる開示制御内容S+を実行する、開示用アドレスTEに含まれる開示制御内容S+を実行するなど、開示用アドレスTに含まれる制御情報F+に基づいて開示制御内容を実行する場合であれば、あらゆる手法を採用することができる。
また、開示用アドレスTに含まれない他のアルゴリズムに基づいて拡張開示制御処理を実行する場合(図26の(6−3)参照)としては、例えば、情報開示サーバ30側で用意された制御アルゴリズム(つまり、開示制御内容Sや開示制御内容S+)であって、被参照者や参照者で区別した制御アルゴリズムや、これらを区別しない制御アルゴリズムを採用することができる。
上述したように、本発明では、開示用アドレスTに通常含まれない有効条件C+を用いて仲介時のアクセス判定を行うことで(図26の(5−2)や(5−3)の場合)、通常の開示判定とは別に、仲介時に特化した実用的な開示判定を行うことが可能になる。また、開示用アドレスTに通常含まれない関係レベルR+や開示制御内容+を用いて仲介時の開示制御を行うことで(図26の(6−2)の場合)、通常の開示制御とは別に、仲介時に特化した実用的な開示制御を行うことが可能になる。
(4)その他の拡張開示判定処理
続いて、図27を用いて、有効条件C+としてホップ数(仲介者の数)を含んだ開示用アドレスTについて拡張開示判定処理を行う場合を説明する。同図に示すように、図22に示した場合と同様、複数の仲介人を介する場合において、各開示用アドレスTに有効条件C+としてホップ数(被参照者が指定したホップ数)を含んでいるとする。
このような場合に、情報開示サーバ30の拡張開示判定部37bでは、開示用アドレスTS、TM、TEから順番に一つの開示用アドレスTを取り出して、開示用アドレスTSから開示用アドレスTEに辿り着くか否かを判定する際に、図27に示すように、一つの開示用アドレスTを取り出す度にホップ数を加算して、開示用アドレスTEに辿り着くまでに経由した開示用アドレスの個数(つまり、何人の仲介者を介したか)を算出する。そして、算出されたホップ数が開示用アドレスTEに含まれたホップ数を超えたか否かを判定し、これを超えれば拡張開示判定結果を開示不可(NG)とし、超えなければ拡張開示判定結果を開示可(OK)とする。
このように、開示用アドレスTSから開示用アドレスTEに辿り着くまでに経由した開示用アドレスTの個数(ホップ数)を拡張開示判定に利用するので、ユーザU1とユーザUnとの近さを考慮して、仲介によるアクセスを認める否かを実用的に判定することが可能になる。なお、図27では、ユーザごとにホップ数(仲介者の数)を開示用アドレスTに含める場合を説明したが、本発明はこれに限定されるものではなく、例えば、図28に例示するように、ホップ数を開示用アドレスTに含めることなく、システムで固定のホップ数(しきい値)を規定するようにしてもよい。
さらに続けて、図29を用いて、有効条件C+としてリンク値(ユーザUnとユーザU1との結び付き具合を示す値)を含んだ開示用アドレスTについて拡張開示判定処理を行う場合を説明する。同図に示すように、図22や図27に示した場合と同様、複数の仲介人を介する場合において、各開示用アドレスTに有効条件C+としてリンク値(被参照者が指定したリンク値)を含んでいるとする。
このような場合に、情報開示サーバ30の拡張開示判定部37bでは、開示用アドレスTS、TM、TEから順番に一つの開示用アドレスTを取り出して、開示用アドレスTSから開示用アドレスTEに辿り着くか否かを判定する際に、図29に示すように、ユーザUnとユーザU1との結び付き具合を示すリンク値を算出する。このリンク値の算出には如何なる算出式を採用してもよいが、例えば、同図に示すように、各開示用アドレスTに含まれる関係レベルRの平均値や、被参照者であるユーザU1からの距離(ホップ数)を考慮した加重平均値などを算出する。そして、拡張開示判定部37bでは、算出されたリンク値が開示用アドレスTEに含まれたリンク値を超えたか否かを判定し、これを超えれば拡張開示判定結果を開示可(OK)とし、超えなければ拡張開示判定結果を開示不可(NG)とする。
このように、被参照者であるユーザU1と参照者であるユーザUnとの結び付き具合を示すリンク値を算出し、このリンク値を拡張開示判定に利用するので、ユーザU1とユーザUnとの関係を推定しつつ、仲介によるアクセスを認める否かを実用的に判定することが可能になる。なお、図29では、ユーザごとにリンク値を開示用アドレスTに含める場合を説明したが、本発明はこれに限定されるものではなく、例えば、図30に例示するように、リンク値を開示用アドレスTに含めることなく、システムで固定のリンク値(しきい値)を規定するようにしてもよい。
(5)その他の拡張開示制御処理
上記の実施例1では、拡張開示制御処理として、開示用アドレスTEに含まれる関係レベルRに対応する開示制御内容を実行する場合を説明したが、本発明はこれに限定されるものではなく、例えば、図31に示すように、紹介用(仲介人を介した情報開示用)の開示制御内容を予め開示ポリシー記憶部34に記憶しておき、拡張開示制御部38bは、拡張開示判定結果が「OK」であれば、この紹介用の開示制御内容を実行するようにしてもよい。また、その他の例として、開示用アドレスTEに含まれる関係レベルRよりも数ランク下げた関係レベルRに対応する開示制御内容を実行するようにしてもよい。
また、その他の例として、図32に例示するように、複数の関係レベルR+(拡張関係情報)に対応付けて開示制御内容S+を予め開示ポリシー記憶部34に記憶しておき、拡張開示制御部38bは、拡張開示判定結果が「OK」であれば、開示用アドレスTEに含まれる関係レベルR+に対応した開示制御内容S+を開示ポリシー記憶部34から読み出して実行するようにしてもよい。
また、その他の例として、図33に例示するように、複数のホップ数Hに対応付けて開示制御内容S+を予め開示ポリシー記憶部34に記憶しておき、拡張開示制御部38bは、拡張開示判定結果が「OK」であれば、上記の図27や図28で説明したホップ数を利用し、算出されたホップ数に対応した開示制御内容S+を開示ポリシー記憶部34から読み出して実行するようにしてもよい。このように、開示用アドレスTSから開示用アドレスTEに辿り着くまでに経由した開示用アドレスTの個数(ホップ数)を拡張開示制御に利用するので、ユーザU1とユーザUnとの近さを考慮して、仲介時のアクセスを実用的に制御することが可能になる。
また、その他の例として、図34に例示するように、リンク値Lの範囲ごとに開示制御内容S+を予め開示ポリシー記憶部34に記憶しておき、拡張開示制御部38bは、拡張開示判定結果が「OK」であれば、上記の図29や図30で説明したリンク値を利用し、算出されたリンク値に対応した開示制御内容S+を開示ポリシー記憶部34から読み出して実行するようにしてもよい。このように、被参照者であるユーザU1と参照者であるユーザUnとの結び付き具合を示すリンク値を算出し、このリンク値を拡張開示制御に利用するので、ユーザU1とユーザUnとの関係を推定しつつ、仲介時のアクセスを実用的に制御することが可能になる。
なお、上記の実施例では、ユーザごとに開示ポリシーを記憶する場合を説明したが(図6や図31参照)、本発明はこれに限定されるものではなく、図35に例示するように、ユーザを区別することなく、システムで共通の開示ポリシーを記憶するようにしてもよい。これと同様に、図32〜図34に示した場合も、システムで共通の開示ポリシー(共通の関係レベルR+、ホップ数Hまたはリンク値Lに対応する開示制御内容)を記憶するようにしてもよい。
(6)開示のタイミング
上記の実施例では、ユーザから通常開示や拡張開示の参照要求メールを受信したタイミングで情報開示を行う場合を説明したが、本発明はこれに限定されるものではなく、個人情報が更新されたタイミングで情報開示を行うようにしてもよい。
すなわち、この場合には、参照者としてのユーザから通常開示または拡張開示の参照要求メールを受信すると、通常開示判定または拡張開示判定を行い、この開示判定で開示許可された開示用アドレスTについて、参照者ID、被参照者ID、並びに、開示制御内容および限定的な開示要求から導き出される開示情報項目を対応付けてデータベースに格納する。そして、情報開示サーバ30は、個人情報記憶部33に記憶された個人情報が更新された場合に、上記のデータベースから当該更新に係る個人情報が開示情報項目としてエントリされている参照者IDを検索し、この参照者IDに対して更新に係る個人情報を含んだ開示メールを送信する。
(7)開示制御内容
上記の実施例では、開示される情報の種類を開示制御内容として規定する場合を説明したが、本発明はこれに限定されるものではなく、図36に例示するように、開示されるタイミング、開示される端末(媒体)、開示に際しての加工処理など、他の制御内容を開示制御内容として規定するようにしてもよい。
すなわち、開示タイミングとして、例えば、「要求時(参照要求メールの送信時)」に開示する、「更新時(個人情報の更新時)」に開示する等を規定してもよい。また、開示端末(媒体)として、例えば、参照要求メールの発信元アドレス(なお、これが開示メールの宛先アドレスになる。)に基づいて、参照要求メールが「PCメール(インターネットメール)」であれば開示する、「携帯メール」であれば開示する等を規定してもよい。
さらに、開示加工処理として、例えば、スケジュールを開示する場合に、打合せ先の相手名を隠して開示する、スケジュール内容そのものを隠して「予定あり」だけを開示する等を規定してもよく、また、住所を開示する場合に、町名以降を隠して開示する等を規定してもよい。なお、開示制御内容に上記したような他の制御内容を規定する場合にも、参照者としてのユーザは限定的に開示要求を行うことができる。すなわち、例を挙げれば、「要求時」および「更新時」という2つの開示タイミングが規定されている場合において、「要求時」にのみ限定して開示を要求することなどができる。
(8)他の開示情報
上記の実施例では、被参照者であるユーザの電話番号、メールアドレス、住所、スケジュールなどの個人情報を開示する場合を説明したが、本発明はこれに限定されるものではなく、例えば、ユーザの婚姻状態(配偶者の有無)や家族構成などの情報、さらには、ネットワークに対する被参照者のログオン状態、ログオン場所、電話の使用状態を示す情報など、ネットワークにおけるユーザの動的属性を示すプレゼンス情報を開示するようにしてもよい。
さらには、このような個人に係る情報に限定されず、組織や団体であるユーザに関する情報を開示する場合でも、本発明を同様に適用することができる。すなわち、本発明は、個人であるか団体であるかを問わず、被参照主体としてのユーザを一意に識別するユーザIDに対応付けられて記憶・管理されている、あらゆる情報を開示する場合に適用することができる。
また、上記の実施例では、これらの個人情報(基本情報テーブルやスケジュールテーブルに記憶された情報)を被参照者であるユーザが更新する場合を説明したが、本発明はこれに限定されるものではなく、例えば、参照者であるユーザが被参照者のスケジュールに新たなスケジュールを追加し、また、既に追加されているスケジュールを変更するなど、参照者も被参照者の情報を更新することができるようにしてもよい。
さらに、このような参照者による更新を認める場合に、被参照者が、参照者ごとに更新を許可するか、いかなる情報項目について更新を許可するかを設定できるようにしてもよい。つまり、開示ポリシー記憶部34(図6参照)に記憶される開示情報項目Sと同様、関係レベルRに対応付けて、参照者による更新を許可する情報項目を規定した制御内容を記憶するようにしてもよい。これによって、アクセスコードに基づく開示制御と同様、アクセスコードに基づく更新制御を実現することも可能になる。
(9)メッセージアドレス
上記の実施例では、インターネットメールや携帯メール等の電子メールメッセージに利用されるメールアドレスの形式で開示用アドレスTを生成する場合を説明したが、本発明はこれに限定されるものではなく、例えば、いわゆるインスタントメッセージ、プレゼンス交換のメッセージ、IP電話の制御メッセージ等のSIPメッセージなどに利用されるメッセージアドレスの形式で開示用アドレスTを生成するようにしてもよい。
(10)URL形式の開示用アドレス
また、このようなメッセージアドレスの形式に限定されず、いわゆるURL(Uniform Resource Locator)形式で開示用アドレスTを生成するようにしてもよい。すなわち、図37や図38に例示するように、被参照者IDと、上記した実施例の改ざん防止コードとを連結した文字列を「パス名部分」とするURL(Uniform Resource Locator)アドレスとして形成してもよい。以下に、かかるURL形式の開示用アドレスTについて具体的に説明する。
図37は、参照者が受信する作成通知用メールの構成例を示す図であり、図38は、情報開示に係る画面の構成例を示す図である。ここで、図37に例示するように、URL形式の開示用アドレスTは、例えば、情報開示サーバのサーバ名(アドレス)を示す「//www.anywhere.ne.jp」の後ろに被参照者識別情報「/suzuki」および改ざん防止コード「/bgexrasdqwiu」を連結して形成される。
そして、参照者の利用者端末1では、図37に例示するような「アドレス生成通知メール」をアドレス発行サーバから受信すると、生成されたURLアドレスを含んだ内容が利用者端末1のモニタ等に出力されるが、このメール上でURLアドレスがキーボードやマウスを介してユーザによって指定されると、指定されたURLアドレスがアドレス記憶部1(いわゆるWebブラウザソフトのお気に入り)に登録される。
その後、参照者であるユーザが利用者端末1のWebブラウザソフトを用いて、URLアドレス(開示用アドレスT)を接続先アドレスとする参照要求メッセージを情報開示サーバに送信すると、情報開示サーバでは、URLアドレス(開示用アドレスT)に基づいて開示判定処理および開示制御処理を行って、図38に例示するような開示画面を参照者端末2に送信する。なお、URL形式の開示用アドレスTの場合には、図38に例示したように、改ざん防止コードに続けて、限定的な開示要求のコマンドを入力する。
また、拡張開示における参照要求の場合には、利用者端末1に表示されるWeb画面におけるURLの入力欄に、複数のURLアドレス(つまり、URLアドレスT(Un−1_Un)、URLアドレスT(Un−2_Un−1)、・・・URLアドレスT(U2_U3)、URLアドレスT(U1_U2))が[syoukai]の文字や「/」を挟んで連記された参照要求メッセージを情報開示サーバに送信する。
(11)他形式の開示用アドレスT
さらに、本発明は、かかるメッセージアドレス形式やURL形式の開示用アドレスTに限定されず、例えば、電話番号、バーコード(例えば、二次元バーコード)、各種のカード情報(例えば、カードの磁気情報、ICカードの内蔵情報)など、開示用アドレスTが表現可能な情報部材であれば、本発明を同様に適用することができる。
より詳細には、電話番号で表現された開示用アドレスTの場合には、かかる電話番号を接続先とする接続要求(もしくは、複数の電話番号からなる接続要求)を参照者であるユーザの電話端末から電話回線網の接続装置で受け取り、通常開示判定処理や通常開示制御処理(もしくは、拡張開示判定処理や拡張開示制御処理)を行って、被参照者の情報を電話端末に回答することになる。また、バーコードで表現された開示用アドレスTの場合には、かかるバーコード付きの媒体(例えば、名刺やプリペイドカード)をバーコード読取装置で一つ(もしくは、複数)読み取り、通常開示判定処理や通常開示制御処理(もしくは、拡張開示判定処理や拡張開示制御処理)を行って、バーコード読取装置に接続された表示装置から被参照者の情報を出力することになる。さらに、カード情報で表現された開示用アドレスTの場合にも、上記のバーコードと同様の手法で開示が行われる。
(12)開示用アドレスTの生成主体
上記の実施例では、ユーザではない第三者(サービスセンタ)が開示用アドレスTを生成する場合を説明したが、本発明はこれに限定されるものではなく、被参照者であるユーザの利用者端末1で開示用アドレスTを生成するようにしてもよい。つまり、この場合には、利用者端末1は、被参照者であるユーザの秘密鍵を用いて開示用アドレスTを生成し、情報開示サーバ30は、このユーザの公開鍵を用いて開示判定を行う。
(13)鍵を用いた開示用アドレスTの生成
上記の実施例では、関係レベルRを用いて改ざん防止コードを生成する場合を説明したが、本発明はこれに限定されるものではなく、関係レベルRに対応する開示制御内容Sを用いて改ざん防止コードを生成するようにしてもよい。すなわち、改ざん防止コードは、上記の実施例で説明したものに限定されず、被参照者特定情報A、参照者限定情報B、制御情報F、制御情報F+若しくはこれらの組合せを、適宜用いて得られる改ざん防止コードであればよい。
また、上記の実施例では、いわゆる改ざん防止コードを含んだ開示用アドレスTを生成する場合を説明したが、本発明はこれに限定されるものではなく、かかる改ざん防止コードに代えて、被参照者特定情報A、参照者限定情報B、制御情報F、制御情報F+若しくはこれらの組合せを、鍵で暗号化して得られる暗号化データを含んだ開示用アドレスTを生成するようにしてもよい。なお、鍵としては共通鍵または公開鍵を適宜用いることができる。
(14)システム構成等
また、上記の実施例で説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報(例えば、個人情報記憶部、開示ポリシー記憶部に記憶された情報等)については、特記する場合を除いて任意に変更することができる。
また、上記の実施例で図示した各装置(例えば、図2に例示したアドレス発行サーバ、情報開示サーバなど)の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、各装置の全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
なお、上記の実施例では、本発明を実現する各装置(例えば、利用者端末、アドレス発行サーバ、情報開示サーバなど)を機能面から説明したが、各装置の各機能はパーソナルコンピュータやワークステーションなどのコンピュータにプログラムを実行させることによって実現することもできる。すなわち、本実施例1および2で説明した各種の処理手順は、あらかじめ用意されたプログラムをコンピュータ上で実行することによって実現することができる。そして、これらのプログラムは、インターネットなどのネットワークを介して配布することができる。さらに、これらのプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。つまり、例を挙げれば、実施例1に示したようなアドレス発行サーバ用プログラムや、情報開示サーバ用プログラムを格納したCD−ROM(装置ごとに別個のCD−ROMであってもよい)を配布し、このCD−ROMに格納されたプログラムを各コンピュータが読み出して実行するようにしてもよい。
さて、これまで本発明に係るアクセス制御を情報開示サービスに適用した場合を説明してきたが、本発明はこれに限定されるものではなく、例えば、あるユーザ(アクセス者としての発信者)から他のユーザ(被アクセス者としての着信者)に発信されたメッセージを配送する「メッセージ配送サービス」や、あるユーザ(アクセス者としての発信者)から他のユーザ(被アクセス者としての着信者)に発信された電話接続要求を接続する「電話接続サービス」など、あるユーザに関して他のユーザがアクセスする、あらゆるサービスに本発明を同様に適用することができる。そこで、以下では、本発明に係るアクセス制御を「メッセージ配送サービス」と「電話接続サービス」に適用した場合の実施例を説明する。ただし、ここでは、説明の便宜上、図1と同様、3人のユーザ(ユーザU1、ユーザU2、ユーザU3)が登場する場合を例に挙げて説明する。
(1)メッセージ配送サービス
図39は、他の実施例に係るメッセージ配送システムを説明するための図である。ここで、ユーザU2がユーザU1にメッセージを配送するための配送用アドレスT(U1_U2)、並びに、ユーザU3がユーザU2にメッセージを配送するための配送用アドレスT(U2_U3)が発行される場合を例に挙げて説明する。また、メッセージ配送システムで取り扱う「メッセージ」とは、インターネットメールや携帯メール等の電子メールメッセージの他に、いわゆるインスタントメッセージ、プレゼンス交換のメッセージ、IP電話の制御メッセージ等のSIPメッセージなど、宛先アドレスをもって配送される各種のメッセージのことである。
このメッセージ配送システムでは、ユーザ以外の第三者(例えば、配送用アドレスTを取り扱うサービスセンタ)が、着信者としての各ユーザから配送先情報および配送ポリシーを受け取ると、これを配送先情報記憶部および配送ポリシー記憶部に記憶する(図39の(1−1)および(2−1)参照)。ここで、「配送先情報」とは、着信先が着信者としてのユーザであるメッセージの配送先を示す情報であり、例えば、ユーザの携帯メールアドレスや、PCメールアドレスなどがこれに該当する。また、「配送制御内容S」とは、メッセージ配送サービスの配送に係る制御内容のことであり、例えば、図39に例示するように、「ユーザの携帯電話およびPCにメッセージを配送する。」、「ユーザのPC(パソコン)にだけメッセージを配送する。」などの制御内容がこれに該当する。
一方、サービスセンタは、配送用アドレスT(U1_U2)の発行要求として、着信者であるユーザU1から着信者ID_U1(着信者であるユーザU1の識別情報)、発信者ID_U2(発信者であるユーザU2の識別情報)、関係レベルRおよび有効条件Cを受け取る(図39の(1−2)参照)。その上で、サービスセンタは、所定の鍵を用いて、「着信者ID_U1、発信者ID_U2、関係レベルRおよび有効条件C」を含んだ配送用アドレスT(U1_U2)を生成する(図39の(1−3)参照)。さらに、サービスセンタは、生成した配送用アドレスT(U1_U2)を、発信者であるユーザU2に受け渡す(図39の(1−4)参照)。
そして、サービスセンタは、着信者であるユーザU1に対するメッセージの配送要求として、発信者であるユーザU2から配送用アドレスT(U1_U2)を宛先アドレスとするメッセージ(メール)を受け取る(図39の(1−5)参照)。その後、サービスセンタは、所定の鍵を用いて、配送用アドレスT(U1_U2)の正当性を検証するとともに、配送用アドレスT(U1_U2)から着信者ID_U1、発信者ID_U2、関係レベルRおよび有効条件Cを抽出し、さらに、有効条件Cを用いて配送制御内容の実行可否を判定する(図39の(1−6)参照)。
その上で、サービスセンタは、配送用アドレスT(U1_U2)の正当性が認められ、かつ、配送制御内容の実行が許可された場合には、配送先情報記憶部に記憶された配送先情報のうち配送用アドレスT(U1_U2)に含まれる着信者ID_U1に対応する配送先情報を参照し、配送ポリシー記憶部に記憶された配送制御内容Sのうち配送用アドレスT(U1_U2)に含まれる関係レベルRに対応する配送制御内容Sに従って、着信者であるユーザU1にメッセージを配送する(図39の(1−7)参照)。
すなわち、具体例を挙げると、発信者であるユーザU2から受け取った配送用アドレスT(U1_U2)に含まれる関係レベルRに対応する配送制御内容Sが「携帯電話およびPCにメッセージを配送する。」であったならば、配送先情報記憶部に記憶された着信者であるユーザU1の携帯メールアドレスおよびPCメールアドレスを用いて、ユーザU1の携帯電話およびPC端末に発信者Bからのメッセージを配送する。
上記と同様に、サービスセンタは、配送用アドレスT(U2_U3)の発行要求として、着信者であるユーザU2から着信者ID_U2、発信者ID_U3、関係レベルRおよび有効条件Cを受け取った場合には、これらを含んだ配送用アドレスT(U2_U3)を所定の鍵で生成し、生成した配送用アドレスT(U2_U3)を発信者であるユーザU3に受け渡す(図39の(2−2)〜(2−4)参照)。
そして、サービスセンタは、着信者であるユーザU2に対するメッセージの配送要求として、発信者であるユーザU3から配送用アドレスT(U2_U3)を宛先アドレスとするメッセージを受け取った場合には、所定の鍵を用いて、配送用アドレスT(U2_U3)の正当性を検証するとともに、配送用アドレスT(U2_U3)から着信者ID_U2、発信者ID_U3、関係レベルRおよび有効条件Cを抽出し、さらに、有効条件Cを用いて配送制御内容の実行可否を判定する(図39の(2−5)および(2−6)参照)。
その上で、サービスセンタは、配送用アドレスT(U2_U3)の正当性が認められ、かつ、配送制御内容の実行が許可された場合には、配送先情報記憶部に記憶された配送先情報のうち配送用アドレスT(U2_U3)に含まれる着信者ID_U2に対応する配送先情報を参照し、配送ポリシー記憶部に記憶された配送制御内容Sのうち配送用アドレスT(U2_U3)に含まれる関係レベルRに対応する配送制御内容Sに従って、着信者であるユーザU2にメッセージを配送する(図39の(2−7)参照)。
このように、図39に示したメッセージ配送システムでは、配送用アドレスT(U1_U2)を通じてユーザU2からユーザU1にメッセージを配送し、また、配送用アドレスT(U2_U3)を通じてユーザU3からユーザU2にメッセージを配送するが、これは通常のメッセージ配送である。すなわち、このメッセージ配送システムでは、通常のメッセージ配送の他に、以下に説明するように、拡張されたメッセージ配送も行う。
具体的に説明すると、図39に例示したメッセージ配送システムにおいて、ユーザU2は、ユーザU1とユーザU3を引き合わせるために、自らが発信者としてユーザU1にメッセージを配送するための配送用アドレスT(U1_U2)をユーザU3に通知する(図39の(3−1)参照)。一方、サービスセンタは、ユーザU1に対する拡張されたメッセージの配送要求として、発信者であるユーザU3から配送用アドレスT(U1_U2)および配送用アドレスT(U2_U3)を含んだメッセージを受け取る(図39の(3−2)参照)。
そして、サービスセンタは、所定の鍵を用いて、両方の配送用アドレスTの正当性を検証するとともに、各配送用アドレスTから着信者ID、発信者ID、関係レベルRおよび有効条件Cを抽出し、配送用アドレスT(U2_U3)から配送用アドレスT(U1_U2)に辿り着くか否かを判定する(図39の(3−3)参照)。ここで、「辿り着く」とは、配送用アドレスT(U2_U3)に含まれる着信者IDと配送用アドレスT(U1_U2)に含まれる発信者IDとが対応することを意味し、上記の例で言えば、着信者IDおよび発信者IDのいずれもがユーザID_U2であれば、「辿り着く」旨が判定される。
さらに、サービスセンタは、このような辿り着き判定の他に、各配送用アドレスTに含まれる有効条件Cを満たすか否か、また、配送用アドレスTに含まれる関係レベルRが一致するか否かの観点から配送制御内容の実行可否を判定する(図39の(3−3)参照)。その上で、サービスセンタは、各配送用アドレスTの正当性が認められ、かつ、ユーザU3からユーザU1に「辿り着く」旨が判定され、さらに、配送制御内容の実行が許可された場合には、配送先情報記憶部に記憶された配送先情報のうち配送用アドレスT(U1_U2)に含まれる着信者ID_U1に対応する配送先情報を参照し、配送ポリシー記憶部に記憶された配送制御内容Sのうち配送用アドレスT(U1_U2)に含まれる関係レベルRに対応する配送制御内容Sに従って、着信者であるユーザU1にメッセージを配送する(図39の(3−4)参照)。
このように、上記したメッセージ配送システムでは、ユーザU3からユーザU1に辿り着くための複数の配送用アドレスT(U1_U2)および配送用アドレスT(U2_U3)を用いてユーザU3からユーザU1へのメッセージ配送を制御するので、ユーザU3は、自らがユーザU1にメッセージを配送するための配送用アドレスT(U1_U3)そのものを有していなくても、ユーザU1にメッセージを配送することが可能になる。
なお、このメッセージ配送システムにおいても、上記した実施例1および2に係る情報開示システムで説明したアクセス制御(開示制御)と同様のアクセス制御(配送制御)が実現される。すなわち、上記した実施例1および2の説明において、例えば、「開示用アドレス」を「配送用アドレス」と、「開示ポリシー」を「配送ポリシー」と、「開示制御内容」を「配送制御内容」と読み替えることで、同様のアクセス制御を適用することができる。
(2)電話接続サービス
図40は、他の実施例に係る電話接続システムを説明するための図である。ここで、ユーザU2がユーザU1に電話接続するための接続用アドレスT(U1_U2)、並びに、ユーザU3がユーザU2に電話接続するための接続用アドレスT(U2_U3)が発行される場合を例に挙げて説明する。
この電話接続システムでは、ユーザ以外の第三者(例えば、接続用アドレスTを取り扱うサービスセンタ)が、着信者としての各ユーザから接続先情報および接続ポリシーを受け取ると、これを接続先情報記憶部および接続ポリシー記憶部に記憶する(図40の(1−1)および(2−1)参照)。ここで、「接続先情報」とは、着信先が着信者としてのユーザである電話の接続先を示す情報であり、例えば、ユーザの携帯電話番号、自宅の電話番号、会社の電話番号などがこれに該当する。また、「接続制御内容S」とは、電話接続サービスの接続に係る制御内容のことであり、例えば、図40に例示するように、「ユーザの携帯電話に接続する。」、「ユーザの自宅電話に接続する。」などの制御内容がこれに該当する。
一方、サービスセンタは、接続用アドレスT(U1_U2)の発行要求として、着信者であるユーザU1から着信者ID_U1(着信者であるユーザU1の識別情報)、発信者ID_U2(発信者であるユーザU2の識別情報)、関係レベルRおよび有効条件Cを受け取る(図40の(1−2)参照)。その上で、サービスセンタは、所定の鍵を用いて、「着信者ID_U1、発信者ID_U2、関係レベルRおよび有効条件C」を含んだ接続用アドレスT(U1_U2)を生成する(図40の(1−3)参照)。さらに、サービスセンタは、生成した接続用アドレスT(U1_U2)を、発信者であるユーザU2に受け渡す(図40の(1−4)参照)。
そして、サービスセンタは、着信者であるユーザU1に対する電話の接続要求として、発信者であるユーザU2から接続用アドレスT(U1_U2)を着信先とする電話接続要求を受け取る(図40の(1−5)参照)。その後、サービスセンタは、所定の鍵を用いて、接続用アドレスT(U1_U2)の正当性を検証するとともに、接続用アドレスT(U1_U2)から着信者ID_U1、発信者ID_U2、関係レベルRおよび有効条件Cを抽出し、さらに、有効条件Cを用いて接続制御内容の実行可否を判定する(図40の(1−6)参照)。
その上で、サービスセンタは、接続用アドレスT(U1_U2)の正当性が認められ、かつ、接続制御内容の実行が許可された場合には、接続先情報記憶部に記憶された接続先情報のうち接続用アドレスT(U1_U2)に含まれる着信者ID_U1に対応する接続先情報を参照し、接続ポリシー記憶部に記憶された接続制御内容Sのうち接続用アドレスT(U1_U2)に含まれる関係レベルRに対応する接続制御内容Sに従って、着信者であるユーザU1に電話を接続する(図40の(1−7)参照)。
すなわち、具体例を挙げると、発信者であるユーザU2から受け取った接続用アドレスT(U1_U2)に含まれる関係レベルRに対応する接続制御内容Sが「ユーザの携帯電話に接続する。」であったならば、着信者であるユーザU1の携帯電話に対して、接続先情報記憶部に記憶されたユーザU1の携帯電話番号を用いて、発信者であるユーザU2からの電話接続要求を転送する。
上記と同様に、サービスセンタは、接続用アドレスT(U2_U3)の発行要求として、着信者であるユーザU2から着信者ID_U2、発信者ID_U3、関係レベルRおよび有効条件Cを受け取った場合には、これらを含んだ接続用アドレスT(U2_U3)を所定の鍵で生成し、生成した接続用アドレスT(U2_U3)を発信者であるユーザU3に受け渡す(図40の(2−2)〜(2−4)参照)。
そして、サービスセンタは、着信者であるユーザU2に対する電話の接続要求として、発信者であるユーザU3から接続用アドレスT(U2_U3)を着信先とする電話接続要求を受け取った場合には、所定の鍵を用いて、接続用アドレスT(U2_U3)の正当性を検証するとともに、接続用アドレスT(U2_U3)から着信者ID_U2、発信者ID_U3、関係レベルRおよび有効条件Cを抽出し、さらに、有効条件Cを用いて接続制御内容の実行可否を判定する(図40の(2−5)および(2−6)参照)。
その上で、サービスセンタは、接続用アドレスT(U2_U3)の正当性が認められ、かつ、接続制御内容の実行が許可された場合には、接続先情報記憶部に記憶された接続先情報のうち接続用アドレスT(U2_U3)に含まれる着信者ID_U2に対応する接続先情報を参照し、接続ポリシー記憶部に記憶された接続制御内容Sのうち接続用アドレスT(U2_U3)に含まれる関係レベルRに対応する接続制御内容Sに従って、着信者であるユーザU2に電話を接続する(図40の(2−7)参照)。
このように、図40に示した電話接続システムでは、接続用アドレスT(U1_U2)を通じてユーザU2からユーザU1に電話接続し、また、接続用アドレスT(U2_U3)を通じてユーザU3からユーザU2に電話接続するが、これは通常の電話接続である。すなわち、この電話接続システムでは、通常の電話接続の他に、以下に説明するように、拡張された電話接続も行う。
具体的に説明すると、図40に例示した電話接続システムにおいて、ユーザU2は、ユーザU1とユーザU3を引き合わせるために、自らが発信者としてユーザU1に電話接続するための接続用アドレスT(U1_U2)をユーザU3に通知する(図40の(3−1)参照)。一方、サービスセンタは、ユーザU1に対する拡張された電話接続要求として、発信者であるユーザU3から接続用アドレスT(U1_U2)および接続用アドレスT(U2_U3)を含んだ電話接続要求を受け取る(図40の(3−2)参照)。
そして、サービスセンタは、所定の鍵を用いて、両方の接続用アドレスTの正当性を検証するとともに、各接続用アドレスTから着信者ID、発信者ID、関係レベルRおよび有効条件Cを抽出し、接続用アドレスT(U2_U3)から接続用アドレスT(U1_U2)に辿り着くか否かを判定する(図40の(3−3)参照)。ここで、「辿り着く」とは、接続用アドレスT(U2_U3)に含まれる着信者IDと接続用アドレスT(U1_U2)に含まれる発信者IDとが対応することを意味し、上記の例で言えば、着信者IDおよび発信者IDのいずれもがユーザID_U2であれば、「辿り着く」旨が判定される。
さらに、サービスセンタは、このような辿り着き判定の他に、各接続用アドレスTに含まれる有効条件Cを満たすか否か、また、接続用アドレスTに含まれる関係レベルRが一致するか否かの観点から接続制御内容の実行可否を判定する(図40の(3−3)参照)。その上で、サービスセンタは、各接続用アドレスTの正当性が認められ、かつ、ユーザU3からユーザU1に「辿り着く」旨が判定され、さらに、接続制御内容の実行が許可された場合には、接続先情報記憶部に記憶された接続先情報のうち接続用アドレスT(U1_U2)に含まれる着信者ID_U1に対応する接続先情報を参照し、接続ポリシー記憶部に記憶された接続制御内容Sのうち接続用アドレスT(U1_U2)に含まれる関係レベルRに対応する接続制御内容Sに従って、着信者であるユーザU1に電話を接続する(図40の(3−4)参照)。
このように、上記した電話接続システムでは、ユーザU3からユーザU1に辿り着くための複数の接続用アドレスT(U1_U2)および接続用アドレスT(U2_U3)を用いてユーザU3からユーザU1への電話接続を制御するので、ユーザU3は、自らがユーザU1に電話接続するための接続用アドレスT(U1_U3)そのものを有していなくても、ユーザU1に電話接続することが可能になる。
なお、この電話接続システムにおいても、上記した実施例1および2に係る情報開示システムで説明したアクセス制御(開示制御)と同様のアクセス制御(接続制御)が実現される。すなわち、上記した実施例1および2の説明において、例えば、「開示用アドレス」を「接続用アドレス」と、「開示ポリシー」を「接続ポリシー」と、「開示制御内容」を「接続制御内容」と読み替えることで、同様のアクセス制御を適用することができる。
以上のように、本発明に係るアクセス制御システム、アクセス制御方法およびアクセス制御プログラムは、被アクセス者に関するサービスに対するアクセス者のアクセスを制御する場合に有用であり、特に、アクセス者Yが、被アクセス者Xにアクセスするためのアクセスコードそのものを有していなくても、被アクセス者Xに関するサービスにアクセスすることに適する。
実施例1に係る情報開示システムの概要を説明するための図である。
実施例1に係る情報開示システムの構成を示す図である。
ユーザ情報テーブルに記憶される情報の構成例を示す図である。
個人情報記憶部(基本情報テーブル)に記憶される情報の構成例を示す図である。
個人情報記憶部(スケジュールテーブル)に記憶される情報の構成例を示す図である。
開示ポリシー記憶部に記憶される情報の構成例を示す図である。
開示用アドレス生成から通常の情報開示に至る処理手順を示すシーケンス図である。
ユーザ認証要求に係る画面の構成例を示す図である。
開示用アドレス発行要求に係る画面の構成例を示す図である。
アドレス発行応答に係る画面の構成例を示す図である。
参照者が受信する作成通知用メールの構成例を示す図である。
参照者が送信する通常開示の参照要求メールの構成例を示す図である。
参照者が受信する通常開示の開示メールの構成例を示す図である。
アドレス生成処理の詳細を示すフローチャートである。
通常開示判定処理の詳細を示すフローチャートである。
通常開示制御処理の詳細を示すフローチャートである。
拡張された情報開示に至る処理手順を示すシーケンス図である。
参照者が送信する拡張開示の参照要求メールの構成例を示す図である。
参照者が受信する拡張開示の開示メールの構成例を示す図である。
拡張開示判定処理の詳細を示すフローチャートである。
拡張開示制御処理の詳細を示すフローチャートである。
複数の仲介者を介する場合の状況を説明するための図である。
複数の仲介者を介する場合に参照者が送信する拡張開示の参照要求メールの構成例を示す図である。
複数の仲介者を介する場合に実行される拡張開示判定処理の詳細を示すフローチャートである。
開示用アドレスの生成に係る概念を説明するための図である。
拡張された情報開示に係る概念を説明するための図である。
拡張開示判定処理の一例を説明するための図である。
拡張開示判定処理の一例を説明するための図である。
拡張開示判定処理の一例を説明するための図である。
拡張開示判定処理の一例を説明するための図である。
拡張開示制御処理の一例を説明するための図である。
拡張開示制御処理の一例を説明するための図である。
拡張開示制御処理の一例を説明するための図である。
拡張開示制御処理の一例を説明するための図である。
他の開示ポリシーを説明するための図である。
他の開示ポリシーを説明するための図である。
他形式の開示用アドレスを説明するための図である。
他形式の開示用アドレスを説明するための図である。
他の実施例に係るメッセージ配送システムを説明するための図である。
他の実施例に係る電話接続システムを説明するための図である。
符号の説明
1 利用者端末
1a アドレス記憶部
3 インターネット
4 LAN(Local Area Network)
10 ユーザ情報サーバ
11 ユーザ情報テーブル
20 アドレス発行サーバ
21 通信部
22 ユーザ認証部
23 発行鍵記憶部
24 アドレス生成部
30 情報開示サーバ
31 通信部
32 ユーザ認証部
33 個人情報記憶部
34 開示ポリシー記憶部
35 情報更新部
36 検証鍵記憶部
37 開示判定部
37a 通常開示判定部
37b 拡張開示判定部
38 開示制御部
38a 通常開示制御部
38b 拡張開示制御部