Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7559756B2 - Information system, information terminal, information processing method, and information providing method - Google Patents
[go: Go Back, main page]

JP7559756B2 - Information system, information terminal, information processing method, and information providing method - Google Patents

Information system, information terminal, information processing method, and information providing method Download PDF

Info

Publication number
JP7559756B2
JP7559756B2 JP2021533035A JP2021533035A JP7559756B2 JP 7559756 B2 JP7559756 B2 JP 7559756B2 JP 2021533035 A JP2021533035 A JP 2021533035A JP 2021533035 A JP2021533035 A JP 2021533035A JP 7559756 B2 JP7559756 B2 JP 7559756B2
Authority
JP
Japan
Prior art keywords
information
pieces
fragment
stored
hash value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021533035A
Other languages
Japanese (ja)
Other versions
JPWO2021010317A1 (en
Inventor
賢司 久永
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Corp
Sony Group Corp
Original Assignee
Sony Corp
Sony Group Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sony Corp, Sony Group Corp filed Critical Sony Corp
Publication of JPWO2021010317A1 publication Critical patent/JPWO2021010317A1/ja
Application granted granted Critical
Publication of JP7559756B2 publication Critical patent/JP7559756B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/18File system types
    • G06F16/182Distributed file systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)

Description

本技術は、個人情報を情報所有者のプライバシーを確保しつつ第3者に提供する情報システム、情報システムに情報所有者の個人情報を提供する情報端末、これらに関連する情報処理方法および情報提供方法に関する。 This technology relates to an information system that provides personal information to a third party while ensuring the privacy of the information owner, an information terminal that provides the information owner's personal information to the information system, and information processing methods and information provision methods related to these.

現状、個人の情報を扱うサービスは、情報所有者より提供される情報の提供をサービス事業者自身が受け、サービス事業者自身がこれを保持し、利用するといった形態をとることが一般的とされる。
このようなサービスの実現を支え得る従来の技術として、データの分散がある。例えば、特許文献1には、個人情報を、その個人を識別可能な氏名などの識別情報と、住所、電話番号、生年月日、年齢、性別、身長、体重などの属性情報とに分割し、さらに識別情報を氏と名に分割し、分割された各情報を別々のデータファイルに分散して記録することによって、いずれかのデータファイルが漏洩しても、1つのデータファイルに記録された情報だけでは有用性を欠くという点から個人情報の保護を図るものである。
また、特許文献2には、個人情報を分割管理サーバの記憶媒体にいくつかの部分に分割して保存するあたり、分割された保存データを保護レベルに応じて、平文、ハッシュ値にして保存することが開示されている。
Currently, services that handle personal information generally operate in a format in which the service provider receives the information provided by the information owner, retains it, and uses it.
Data distribution is a conventional technology that can support the realization of such a service. For example, in Patent Document 1, personal information is divided into identification information such as a name that can identify the individual, and attribute information such as an address, telephone number, date of birth, age, sex, height, and weight, and the identification information is further divided into a last name and a first name, and each divided piece of information is distributed and recorded in separate data files, thereby protecting personal information from the fact that information recorded in only one data file is not useful even if any of the data files is leaked.
Furthermore, Patent Document 2 discloses that when personal information is divided into several parts and stored on the storage medium of a divided management server, the divided stored data is stored as plain text or hash values depending on the protection level.

特開2007-035022号公報JP 2007-035022 A 特開2006-189925号公報JP 2006-189925 A

しかしながら、これまで、本技術のように個人情報を構成する複数の断片情報を、例えば運営主体が異なるような複数の情報システムに分散して保存する技術は知られていない。1つの情報システムのデータベースなどに情報を分散して保存する上記引用文献1,2に代表されるような技術では、例えば、システムへの不正利用者の侵入を万が一許してしまった場合、データベース単位での漏洩が生じるおそれがあり、いくらそのデータベースに分散してデータが保存されていたとしても、いずれ1つの個人情報が復元されてしまうことは時間の問題である。However, to date, no technology has been known that distributes and stores multiple pieces of information that make up personal information across multiple information systems, for example operated by different entities, as in the present technology. With technologies such as those in cited documents 1 and 2 above, which distribute and store information in the databases of a single information system, for example, if an unauthorized user were to gain access to the system, there is a risk of leakage on a database-by-database basis, and no matter how distributed the data stored in the databases, it is only a matter of time before any single piece of personal information is restored.

以上のような事情に鑑み、本技術の目的は、情報漏洩を目的とした不正利用者からの攻撃に対する耐性向上、情報利用者に対する個人情報の公開範囲の調整など、情報を分散して保存管理するシステムの機能的および性能的な向上を図ることのできる情報システム、情報端末、情報処理方法および情報提供方法を提供することにある。 In light of the above circumstances, the objective of this technology is to provide an information system, information terminal, information processing method, and information provision method that can improve the functionality and performance of a system that stores and manages information in a distributed manner, such as improving resistance to attacks from unauthorized users attempting to leak information and adjusting the scope of disclosure of personal information to information users.

上記目的を達成するため、本開示の一形態に係る情報システムは、
情報所有者の個人情報を構成する複数の断片情報のうちの1以上の断片情報と、他のすべての断片情報をそれぞれ示す1以上のハッシュ値とを保存する保存部と、
情報利用者からの情報要求を受け、前記保存部から該当する1以上の断片情報および1以上のハッシュ値を取り出し、前記複数の断片情報のうち前記保存された断片情報以外の断片情報が保存された他の情報システムに、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報を要求する制御部と、を具備する。
In order to achieve the above object, an information system according to an embodiment of the present disclosure includes:
a storage unit for storing one or more pieces of fragment information among a plurality of pieces of fragment information constituting the personal information of an information owner, and one or more hash values each indicating all the other pieces of fragment information;
The information processing system includes a control unit that receives an information request from an information user, extracts one or more corresponding fragment information and one or more hash values from the storage unit, and requests one or more fragment information indicated by the one or more extracted hash values from another information system in which fragment information other than the stored fragment information among the plurality of fragment information is stored.

前記他の情報システムが複数あり、それぞれの他の情報システムには、前記複数の断片情報のうち前記保存部に保存された断片情報以外のすべての断片情報が分散して保存され、前記制御部は、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報をそれぞれ前記他の複数の情報システムに要求するように構成されたものであってよい。There may be a plurality of other information systems, and each of the other information systems may store all of the plurality of fragment information pieces other than the fragment information stored in the storage unit in a distributed manner, and the control unit may be configured to request one or more fragment information pieces indicated by the one or more extracted hash values, respectively, from each of the other information systems.

前記制御部は、前記取り出した1以上の断片情報および前記他の情報システムから取得した1以上の断片情報に基づいて情報処理を行い、その結果を前記情報利用者の端末に応答するように構成されたものであってよい。The control unit may be configured to perform information processing based on the one or more pieces of extracted fragmentary information and the one or more pieces of fragmentary information obtained from the other information system, and to respond with the results to the terminal of the information user.

前記制御部は、前記保存部の前記ハッシュ値の漏洩を検出した場合、前記漏洩したハッシュ値が示す断片情報が保存された他の情報システムに対して当該断片情報のアクセス禁止を要求するとともに、前記漏洩したハッシュ値を無効化して新しいハッシュ値に更新するように構成されたものであってよい。The control unit may be configured, when it detects a leak of the hash value of the storage unit, to request other information systems in which the fragment information indicated by the leaked hash value is stored to be prohibited from accessing the fragment information, and to invalidate the leaked hash value and update it to a new hash value.

前記複数の断片情報が、前記情報所有者の行動に付随して同期的に生成される互いに異なる属性の複数の情報であってよい。The multiple pieces of information may be multiple pieces of information with different attributes that are generated synchronously in conjunction with the actions of the information owner.

前記複数の断片情報は、前記個人情報を構造的に断片化した複数の情報であってよい。 The multiple pieces of fragmented information may be multiple pieces of information that structurally fragment the personal information.

前記個人情報が所定の桁数を有する数値列であり、前記複数の断片情報が、前記数値列を桁毎の数値に断片化した複数の情報であってよい。The personal information may be a numeric string having a predetermined number of digits, and the multiple pieces of fragmented information may be multiple pieces of information obtained by fragmenting the numeric string into numbers for each digit.

前記ハッシュ値は、権限機関によって公開鍵暗号化されたハッシュ値でもよい。 The hash value may be a hash value publicly key encrypted by an authorized authority.

前記ハッシュ値には、当該ハッシュ値が示す断片情報が保存された前記他の情報システムを特定する識別情報が付加され、前記制御部は、前記識別情報により特定される前記他の情報システムに、当該ハッシュ値が示す断片情報を要求するように構成されたものであってもよい。The hash value may be added with identification information that identifies the other information system in which the fragmentary information indicated by the hash value is stored, and the control unit may be configured to request the fragmentary information indicated by the hash value from the other information system identified by the identification information.

前記ハッシュ値は、前記他の情報システム毎に決められたレンジ内で与えられたものであってもよい。The hash value may be given within a range determined for each of the other information systems.

前記制御部は、前記ハッシュ値と前記他の情報システムとのマッピングを管理するリポジトリに問い合わせて、当該ハッシュ値が示す断片情報が保存された他の情報システムを特定するように構成されたものであってよい。The control unit may be configured to query a repository that manages the mapping between the hash value and the other information systems, and identify the other information systems in which the fragmented information indicated by the hash value is stored.

また、本開示に係る情報端末は、情報所有者の個人情報を構成する複数の断片情報を生成し、前記生成される複数の断片情報のハッシュ値を生成し、複数の断片情報およびこれらの断片情報の複数のハッシュ値のうち、1以上の断片情報と当該断片情報以外の1以上の断片情報の1以上のハッシュ値との組み合わせをネットワークを通じて接続された複数の情報システムのうちの1つの情報システムに保存されるように転送し、前記情報システムに保存された1以上のハッシュ値がそれぞれ示す1以上の断片情報を他の1以上の情報システムにそれぞれ分散して保存されるように転送する制御部とを具備する。The information terminal of the present disclosure also includes a control unit that generates multiple pieces of fragment information constituting the personal information of an information owner, generates hash values of the multiple pieces of fragment information generated, transfers a combination of one or more pieces of fragment information and one or more hash values of one or more pieces of fragment information other than the multiple pieces of fragment information among the multiple pieces of fragment information and the multiple hash values of the fragment information to be stored in one of multiple information systems connected via a network, and transfers the one or more pieces of fragment information indicated by the one or more hash values stored in the information system to be stored in a distributed manner in one or more other information systems.

前記情報端末の制御部は、複数の情報システムにそれぞれ分散して保存する情報の種類の決定をグラフィカル・ユーザインタフェースを用いて支援するように構成されてもよい。The control unit of the information terminal may be configured to assist in determining the type of information to be distributed and stored in each of the multiple information systems using a graphical user interface.

また、本開示に係る情報処理方法は、制御部が、情報利用者の端末からの情報要求を受け、個人情報を構成する複数の断片情報のうちの1以上の断片情報と、他の1以上の断片情報をそれぞれ示す1以上のハッシュ値とを保存する保存部から該当する1以上の断片情報および1以上のハッシュ値を取り出し、前記複数の断片情報のうち前記保存部に保存された断片情報以外の断片情報が保存された他の情報システムに、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報を要求する。 In addition, in the information processing method disclosed herein, the control unit receives an information request from an information user's terminal, extracts one or more pieces of fragment information and one or more hash values from a storage unit that stores one or more pieces of fragment information among multiple pieces of fragment information constituting personal information and one or more hash values that respectively indicate the other one or more pieces of fragment information, and requests one or more pieces of fragment information that are respectively indicated by the one or more extracted hash values from another information system in which fragment information among the multiple pieces of fragment information other than the fragment information stored in the storage unit is stored.

また、本開示に係る情報提供方法は、制御部が、情報所有者の個人情報を構成する複数の断片情報を生成し、前記生成される複数の断片情報のハッシュ値を生成し、複数の断片情報およびこれらの断片情報の複数のハッシュ値のうち、1以上の断片情報と当該断片情報以外の1以上の断片情報の1以上のハッシュ値との組み合わせをネットワークを通じて接続された複数の情報システムのうちの1つの情報システムに保存されるように転送し、前記情報システムに保存された1以上のハッシュ値がそれぞれ示す1以上の情報を他の1以上の情報システムにそれぞれ分散して保存されるように転送する。In addition, the information provision method disclosed herein includes a control unit that generates multiple pieces of fragment information constituting the personal information of an information owner, generates hash values for the multiple pieces of fragment information generated, transfers a combination of one or more pieces of fragment information and one or more hash values of one or more pieces of fragment information other than the multiple pieces of fragment information and the multiple hash values of the fragment information to be stored in one of multiple information systems connected via a network, and transfers one or more pieces of information indicated by the one or more hash values stored in the information system to be stored in a distributed manner in one or more other information systems.

本実施形態の情報銀行システム100の全体的な構成を示す図である。FIG. 1 is a diagram showing an overall configuration of an information bank system 100 according to an embodiment of the present invention. 図1の情報銀行システム100の複数の情報システム1a、1b、1cにおける情報分散形態を示す図である。FIG. 2 is a diagram showing an information distribution form in a plurality of information systems 1a, 1b, and 1c of the information bank system 100 of FIG. 図2の情報銀行システム100を構成する各機器の構成を示すブロック図である。FIG. 3 is a block diagram showing the configuration of each device constituting the information bank system 100 of FIG. 2. 図1の情報銀行システム100における情報保存時の動作シーケンスである。2 shows an operation sequence when storing information in the information bank system 100 of FIG. 1 . 所有者端末2の表示画面Dに表示される分散方式決定用のユーザインタフェースの例を示す図である。13 is a diagram showing an example of a user interface for determining a distribution method displayed on a display screen D of the owner terminal 2. FIG. 図1の情報銀行システム100における情報利用者U2による情報要求時の動作シーケンスを示す図である。FIG. 2 is a diagram showing an operational sequence when an information user U2 in the information bank system 100 of FIG. 1 makes an information request. 複数の情報システム1a、1b、1c間で不均等な数の割合で断片情報を保存する一例を示す図である。FIG. 1 is a diagram showing an example in which fragmented information is stored in unequal numbers among a plurality of information systems 1a, 1b, and 1c. 個々の断片情報A、B、Cがそれぞれ3桁の数値列である場合に、その数値列の各桁毎の値を3つの情報システム1a、1b、1cに分散して保存した例を示す図である。FIG. 13 is a diagram showing an example in which, when each of the pieces of fragmentary information A, B, and C is a three-digit numeric string, the values of each digit of the numeric string are distributed and stored in three information systems 1a, 1b, and 1c. ハッシュ値の漏洩に対する処理を説明するための図である。FIG. 11 is a diagram for explaining a process for dealing with leakage of a hash value. 同じくハッシュ値の漏洩に対するアクセス失効を示す図である。FIG. 13 is a diagram showing access revocation due to leakage of a hash value. 同じくハッシュ値の漏洩に対するリハッシュを示す図である。FIG. 13 is a diagram showing rehashing in response to leakage of a hash value. ハッシュ値の公開鍵暗号化を説明する図である。FIG. 13 is a diagram illustrating public key encryption of a hash value. ハッシュ値が示す断片情報の保存先の情報システムを特定する方法を説明する図である。11 is a diagram illustrating a method for identifying an information system in which fragmented information indicated by a hash value is stored. FIG. 複数の情報システム1a、1b、1cにおける情報分散形態の変形を示す図である。1A to 1C are diagrams showing variations in information distribution patterns in a plurality of information systems 1a, 1b, and 1c.

以下、本技術に係る実施形態を図面を参照しながら説明する。
<第1の実施形態>
(本実施形態の概要)
本実施形態の情報銀行システム100は、例えば、図1に示すように、クラウド1を構成する複数の運営主体である複数の情報銀行A、B、Cの複数の情報システム1a、1b、1cと、複数の情報システム1a、1b、1cに個人情報が分散保存されるように提供する情報端末である情報所有者U1の端末(以下「所有者端末2」と呼ぶ。)と、複数の情報システム1a、1b、1cに分散保存された個人情報を利用する利用者U2の端末(以下「利用者端末3」と呼ぶ。)と、を含む。ここで、個々の情報システム1a、1b、1cはそれぞれ相互接続された1台以上のサーバ装置などの情報処理装置で構成される。
Hereinafter, an embodiment of the present technology will be described with reference to the drawings.
First Embodiment
(Outline of this embodiment)
1, the information bank system 100 of this embodiment includes multiple information systems 1a, 1b, 1c of multiple information banks A, B, C which are multiple operating entities constituting the cloud 1, a terminal of an information owner U1 (hereinafter referred to as "owner terminal 2") which is an information terminal that provides personal information so that it is distributed and stored in the multiple information systems 1a, 1b, 1c, and a terminal of a user U2 (hereinafter referred to as "user terminal 3") which uses the personal information distributed and stored in the multiple information systems 1a, 1b, 1c. Here, each of the information systems 1a, 1b, 1c is composed of one or more information processing devices such as interconnected server devices.

個々の情報システム1a、1b、1cはそれぞれ、情報所有者U1の個人情報を構成する複数の断片情報のうちの1以上の断片情報と、他のすべての断片情報をそれぞれ示す1以上のハッシュ値とを保存するデータベース14と、情報利用者U2からの情報要求を受け、データベース14から該当する1以上の断片情報および1以上のハッシュ値を取り出し、前記複数の断片情報のうち前記保存された断片情報以外の断片情報が保存された他の情報システムに、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報を要求する制御部10と、を具備する。Each of the information systems 1a, 1b, 1c comprises a database 14 that stores one or more pieces of fragment information out of the multiple pieces of fragment information that constitute the personal information of the information owner U1 and one or more hash values that respectively indicate all of the other pieces of fragment information, and a control unit 10 that receives an information request from an information user U2, extracts the corresponding one or more pieces of fragment information and one or more hash values from the database 14, and requests one or more pieces of fragment information that are respectively indicated by the one or more extracted hash values from other information systems in which fragment information out of the multiple pieces of fragment information other than the stored fragment information is stored.

図2は、複数の情報システム1a、1b、1cにおける情報分散形態を示す図である。
同図において、A、B、C、D、E、Fのカラムはそれぞれ情報所有者U1の例えば行動に付随して同期的にそれぞれ生成され、ひとまとまりで有意な個人情報5を構成する複数の断片情報である。これらの断片情報A-Fのうち、第1の情報システム1aには、断片情報C、Dと、断片情報A、Bのハッシュ値と、断片情報E、Fのハッシュ値とが1つのレコードとして保存される。第2の情報システム1bには、断片情報A、Bと、断片情報C、Dのハッシュ値と、断片情報E、Fのハッシュ値が1つのレコードとして保存される。そして第3の情報システム1cには、断片情報E、Fと、断片情報A、Bのハッシュ値と、断片情報C、Dのハッシュ値が1つのレコードとして保存される。本明細書では、各情報システム1a、1b、1cに分散して保存された断片情報A-Fは実データであるという意味で「公開情報」と呼び、ハッシュ値は「非公開情報」と呼ぶ場合がある。
FIG. 2 is a diagram showing a form of information distribution in a plurality of information systems 1a, 1b, and 1c.
In the figure, columns A, B, C, D, E, and F are multiple pieces of fragmentary information that are generated synchronously in association with, for example, the actions of the information owner U1, and that constitute a single set of significant personal information 5. Of these pieces of fragmentary information A-F, the first information system 1a stores fragmentary information C and D, the hash values of fragmentary information A and B, and the hash values of fragmentary information E and F as one record. The second information system 1b stores fragmentary information A and B, the hash values of fragmentary information C and D, and the hash values of fragmentary information E and F as one record. The third information system 1c stores fragmentary information E and F, the hash values of fragmentary information A and B, and the hash values of fragmentary information C and D as one record. In this specification, the fragmentary information A-F stored in a distributed manner in each of the information systems 1a, 1b, and 1c is referred to as "public information" in the sense that it is real data, and the hash values may be referred to as "private information."

所有者端末2は、例えば購買行為に付随する商品情報、金額などの決済情報、心拍数、血圧、呼吸数などの生体情報、さらには、時刻情報、位置情報(緯度・経度)などの様々な情報を、個人情報5を構成する複数の断片情報A、B、C、D、E、Fとして生成し、情報システムa1、b1、c1毎の保存用レコードを生成して、各情報システムa1、b1、c1に送信する制御部20を有する。The owner terminal 2 has a control unit 20 which generates various information such as product information associated with the purchase, payment information such as amount, biometric information such as heart rate, blood pressure, respiratory rate, and even time information and location information (latitude and longitude) as multiple fragmentary information A, B, C, D, E, and F which constitute personal information 5, generates storage records for each information system a1, b1, and c1, and transmits them to each information system a1, b1, and c1.

利用者端末3は、認証を通してログインした例えば第1の情報システム1aなどに情報の取得を要求し、第1の情報システム1aが、1以上の情報システムから収集した複数の断片情報、あるいは収集された複数の断片情報に基づく情報を受信する。受信した情報は、利用者端末3の保存部に保存され、例えばディスプレイ等を通して情報利用者U2に提示される。The user terminal 3 requests information from, for example, the first information system 1a that has logged in through authentication, and the first information system 1a receives multiple pieces of information collected from one or more information systems, or information based on the multiple pieces of collected information. The received information is stored in the storage unit of the user terminal 3 and is presented to the information user U2, for example, via a display or the like.

利用者端末3からの情報取得要求を受けた第1の情報システム1aの制御部10は、自システム内のデータベース14に公開情報として保存された1以上の断片情報の他、アクセスが認可された他の情報システム1b、1cのそれぞれのデータベース14に公開情報として保存された1以上の断片情報を、第1の情報システム1aのデータベース14から取得したハッシュ値に基づいて他の情報システム1b、1cに要求することによってそれぞれ取得することができる。The control unit 10 of the first information system 1a, upon receiving an information acquisition request from the user terminal 3, can acquire one or more pieces of fragmentary information stored as public information in the database 14 within its own system, as well as one or more pieces of fragmentary information stored as public information in the database 14 of each of the other information systems 1b and 1c to which access has been authorized, by making a request to the other information systems 1b and 1c based on the hash value acquired from the database 14 of the first information system 1a.

これに対して、不正な情報利用者による一部の情報システムへの攻撃による不正侵入によって、その情報システムに開示情報として保存された断片情報の漏洩が生じたとしても、漏洩した断片情報は情報所有者U1の個人情報5を構成する複数の断片情報の一部に過ぎないため、被害を低く抑えることができる。また、ハッシュ値が示す断片情報は別の情報システムに保存されているので、不正な情報利用者は、その情報システムにも攻撃行為を通じて侵入を図る必要がある。On the other hand, even if an unauthorized intrusion by an unauthorized information user into an information system results in the leakage of fragmentary information stored as disclosure information in that information system, the damage can be kept low because the leaked fragmentary information is only a part of the multiple fragmentary information that make up personal information 5 of information owner U1. Also, because the fragmentary information indicated by the hash value is stored in another information system, the unauthorized information user would need to intrude into that information system through an attack as well.

(情報銀行システムの機能構成)
図3は情報銀行システム100を構成する各機器の構成を示すブロック図である。
なお、同図では、紙面サイズの制約から、情報システムについては第1の情報システム1aと第2の情報システム1bのみを示し、第3の情報システム1cの図示は省かれている。
(Functional configuration of the information bank system)
FIG. 3 is a block diagram showing the configuration of each device that constitutes the information bank system 100.
In addition, due to limitations of paper size, in the figure, only the first information system 1a and the second information system 1b are shown, and the third information system 1c is omitted from the illustration.

(所有者端末2の構成)
所有者端末2は、例えばスマートホン、タブレット端末、時計型・腕輪型・ブレスレット型などのウエラブル機器など、情報所有者U1が携帯可能な機器である。所有者端末2は、CPU、ROM、RAM、通信装置、ディスプレイ、ユーザ入力部などの典型的なコンピュータのハードウェア要素、プログラムなどのソフトウェア要素を備える。RAMには、上記のプログラムが格納され、CPUはこのプログラムを実行するための各種の演算処理を実行する。また、所有者端末2は、情報所有者U1の生体情報を生成する各種の生体センサー、位置情報を得ることが可能なGPSユニット、その他、個人情報の生成に必要な検出器や測定器などを備える。
(Configuration of Owner Terminal 2)
The owner terminal 2 is a device that can be carried by the information owner U1, such as a smartphone, a tablet terminal, or a wearable device such as a watch, wristwatch, or bracelet. The owner terminal 2 includes typical computer hardware elements such as a CPU, ROM, RAM, communication device, display, and user input unit, and software elements such as a program. The RAM stores the above programs, and the CPU executes various arithmetic processes to execute the programs. The owner terminal 2 also includes various biosensors that generate biometric information of the information owner U1, a GPS unit that can obtain location information, and other detectors and measuring instruments necessary for generating personal information.

所有者端末2は、制御部20を有する。制御部20は、1以上の情報生成部21、情報収集部22、分散方針決定部23、情報断片化部24、ハッシュ生成器25、情報送信部26を含む。
情報生成部21は、上記の生体センサー、GPSユニット、その他の検出器や測定器の出力から生体情報、位置情報、時刻情報、その他、インターネット上での購買行為に付随する決済情報等を生成する。これらの断片情報は、情報所有者U1の行動に付随して同期的に生成される互いに異なる属性の複数の情報という事ができる。
情報収集部22は、1以上の情報生成部21で生成される複数の情報のなかから分散方針に従って複数の種類の情報を選択し、個人情報5を構成する複数の断片情報として収集する。
The owner terminal 2 has a control unit 20. The control unit 20 includes one or more information generation units 21, an information collection unit 22, a distribution policy determination unit 23, an information fragmentation unit 24, a hash generator 25, and an information transmission unit .
The information generating unit 21 generates biometric information, location information, time information, and other payment information associated with online purchasing actions from the outputs of the biometric sensor, GPS unit, and other detectors and measuring devices. These pieces of information can be considered as multiple pieces of information with different attributes that are generated synchronously in association with the actions of the information owner U1.
The information collection unit 22 selects multiple types of information from the multiple pieces of information generated by the one or more information generation units 21 in accordance with a distribution policy, and collects them as multiple pieces of information that constitute the personal information 5.

分散方針決定部23は、情報生成部21によって得られる複数の情報のうち、情報収集部22の収集対象とする情報の種類、その情報をどの情報銀行(情報システム)に預けるか、といった分散方針をグラフィカルなユーザインタフェースを用いて情報所有者U1に決定してもらう。分散方針決定部23は、さらに、情報生成部21により生成される情報をさらに複数の情報に断片化する方針の決定をも支援する。例えば、GPSユニットにより得られた位置情報は緯度と経度に断片化することなどが可能である。The distribution policy determination unit 23 uses a graphical user interface to have the information owner U1 determine a distribution policy, such as the type of information to be collected by the information collection unit 22 from among the multiple pieces of information obtained by the information generation unit 21, and which information bank (information system) to deposit the information in. The distribution policy determination unit 23 also assists in determining a policy for further fragmenting the information generated by the information generation unit 21 into multiple pieces of information. For example, location information obtained by a GPS unit can be fragmented into latitude and longitude.

情報断片化部24は、分散方針に従って特定の種類の情報の断片化を行う。
ここで、情報収集部22によって分散方針に従って収集された複数の種類の情報および収集された情報の一部を情報断片化部24によってさらに断片化した複数の情報を、本明細書では「個人情報5を構成する複数の断片情報」と呼ぶ。
The information fragmentation unit 24 fragments a specific type of information in accordance with a distribution policy.
Here, the multiple types of information collected by the information collection unit 22 in accordance with the distribution policy and the multiple pieces of information into which some of the collected information has been further fragmented by the information fragmentation unit 24 are referred to in this specification as ``multiple fragmented pieces of information constituting personal information 5.''

ハッシュ生成器25は、断片情報のハッシュ値を算出する。
情報送信部26は、情報銀行の情報システムのデータベース14に公開情報として登録される1以上の断片情報と、非公開情報として登録される1以上のハッシュ値を含む情報銀行毎の第1のレコードを分散方針に従って第1の情報システム1a、第2の情報システム1b、第3の情報システム1cに送信する。このときそれぞれのハッシュ値には、対象の断片情報の保存先の情報銀行を識別する銀行IDが付加される。さらに、情報送信部26は、上記第1のレコードとともに、第1のレコードに含まれる1以上の断片情報それぞれのハッシュ値を含む情報銀行毎の第2のレコードを生成して、第1のレコードの送信先と同じ情報システム1a、1b、1cに送信する。
The hash generator 25 calculates a hash value of the fragment information.
The information transmission unit 26 transmits a first record for each information bank, which includes one or more pieces of fragmentary information registered as public information in the database 14 of the information bank's information system and one or more hash values registered as private information, to the first information system 1a, the second information system 1b, and the third information system 1c in accordance with the distribution policy. At this time, a bank ID that identifies the information bank in which the target fragmentary information is stored is added to each hash value. Furthermore, the information transmission unit 26 generates a second record for each information bank, which includes the first record and each hash value of one or more pieces of fragmentary information included in the first record, and transmits the second record to the same information system 1a, 1b, or 1c as the destination of the first record.

(情報システムの構成)
情報システム1a、1b、1cはそれぞれ1以上のサーバ装置などで構成される。情報システム1a、1b、1cは、所有者端末2および利用者端末3からクラウド1として利用される。上記のサーバ装置には、データベース用のストレージデバイスがローカル接続、あるいはネットワークを通じて接続される。サーバ装置は、典型的なコンピュータのハードウェア要素と、情報システムとしてコンピュータを動作させるためのプログラムなどのソフトウェア要素を有する。コンピュータのハードウェア要素には、例えば、CPU、ROM、RAM、ユーザインタフェース用の入力装置およびディスプレイ、通信装置、ストレージとのインタフェースなどが含まれる。RAMには、上記のプログラムが格納され、CPUはこのプログラムを実行するための各種の演算処理を実行する。
(Information System Configuration)
Each of the information systems 1a, 1b, and 1c is composed of one or more server devices. The information systems 1a, 1b, and 1c are used as a cloud 1 from an owner terminal 2 and a user terminal 3. A storage device for a database is connected to the above-mentioned server device locally or through a network. The server device has typical computer hardware elements and software elements such as a program for operating a computer as an information system. The computer hardware elements include, for example, a CPU, a ROM, a RAM, an input device and a display for a user interface, a communication device, and an interface with storage. The above-mentioned program is stored in the RAM, and the CPU executes various arithmetic operations to execute the program.

情報システム1a、1b、1cは、制御部10を有する。制御部10は、情報受信部11、情報更新部12、ハッシュテーブル13、データベース14、情報要求受信部15、情報処理部16、情報返信部17、クエリ実施部18、他行クエリ送信部19a、他行データ受信部19b、クエリ受信部19c、データ返信部19dを有する。情報システム1a、1b、1cの構成は同じであってよい。 The information systems 1a, 1b, and 1c each have a control unit 10. The control unit 10 has an information receiving unit 11, an information updating unit 12, a hash table 13, a database 14, an information request receiving unit 15, an information processing unit 16, an information reply unit 17, a query implementation unit 18, a other bank query sending unit 19a, a other bank data receiving unit 19b, a query receiving unit 19c, and a data reply unit 19d. The information systems 1a, 1b, and 1c may have the same configuration.

これらの機能ブロックにおいて、情報受信部11、情報更新部12、ハッシュテーブル13、データベース14は、所有者端末2から送信される情報をデータベース14に登録する動作に関与する。
すなわち、情報受信部11は、所有者端末2から送信された1以上の断片情報および1以上のハッシュ値を含む第1のレコードと、データベース14に保存される1以上の断片情報にそれぞれ対応するハッシュ値を含む第2のレコードを受信する。
In these functional blocks, the information receiving unit 11 , the information updating unit 12 , the hash table 13 , and the database 14 are involved in the operation of registering the information transmitted from the owner terminal 2 in the database 14 .
That is, the information receiving unit 11 receives a first record including one or more pieces of fragment information and one or more hash values transmitted from the owner terminal 2, and a second record including hash values corresponding to each of the one or more pieces of fragment information stored in the database 14.

情報更新部12は、情報受信部11にて受信した第1のレコードをデータベース14に保存する。
ハッシュテーブル13には、情報受信部11にて受信した第2のレコードに含まれる1以上のハッシュ値、すなわちデータベース14に保存された1以上の断片情報にそれぞれ対応する1以上のハッシュ値と、データベース14に保存された1以上の断片情報を特定するインデックスキーとの対応表が登録される。
The information update unit 12 stores the first record received by the information receiving unit 11 in the database 14 .
The hash table 13 registers a correspondence table between one or more hash values included in the second record received by the information receiving unit 11, i.e., one or more hash values each corresponding to one or more pieces of fragment information stored in the database 14, and index keys that identify the one or more pieces of fragment information stored in the database 14.

情報システム1a、1b、1cにおける機能ブロックにおいて、情報要求受信部15、情報処理部16、情報返信部17、クエリ実施部18、他行クエリ送信部19a、他行データ受信部19b、クエリ受信部19c、データ返信部19dは、利用者端末3からの情報要求を処理する動作に関与する。
情報要求受信部15は、利用者端末3からの情報取得要求を受信する。
クエリ実施部18は、情報要求受信部15にて受信した情報取得要求に基づいてデータベース14から該当するレコードを取り出し、取り出したレコード中の1以上の断片情報を情報処理部16に供給する。また、クエリ実施部18は、データベース14から取り出されたレコード中の1以上のハッシュ値を他行クエリ送信部19aに供給する。
In the functional blocks of the information systems 1a, 1b, and 1c, the information request receiving unit 15, the information processing unit 16, the information response unit 17, the query implementation unit 18, the other bank query sending unit 19a, the other bank data receiving unit 19b, the query receiving unit 19c, and the data response unit 19d are involved in the operation of processing information requests from the user terminal 3.
The information request receiving unit 15 receives an information acquisition request from the user terminal 3 .
The query implementation unit 18 retrieves a corresponding record from the database 14 based on the information acquisition request received by the information request receiving unit 15, and supplies one or more pieces of fragmented information in the retrieved record to the information processing unit 16. The query implementation unit 18 also supplies one or more hash values in the record retrieved from the database 14 to the other row query sending unit 19a.

他行クエリ送信部19aは、上記ハッシュ値を含むクエリを生成し、ハッシュ値に付加された銀行IDが示す他情報銀行の情報システムに送信する。
クエリ受信部19cは、自情報銀行宛のハッシュ値を含むクエリを受信する。
クエリ実施部18は、クエリ受信部19cにて受信したクエリに含まれるハッシュ値に対応するインデックスキーをハッシュテーブル13から検索し、このインデックスキーに基づいてデータベース14より該当する断片情報を取り出す。
データ返信部19dは、データベース14より取り出された断片情報をクエリ送信元の情報銀行の情報システムに返信する。
他行データ受信部19bは、クエリ送信先の情報システムから返信された断片情報を受信して、情報処理部16に供給する。
情報処理部16は、クエリ実施部18および他行データ受信部19bにて得た複数の断片情報に対して予め決められた情報処理を行う。
情報返信部17は、情報処理部16による複数の断片情報に対する処理結果のレポートを利用者端末3からの情報取得要求に対する応答として返信する。
The other-bank query sending unit 19a generates a query including the above-mentioned hash value, and sends it to the information system of the other information bank indicated by the bank ID added to the hash value.
The query receiving unit 19c receives a query including a hash value addressed to its own information bank.
The query execution unit 18 searches the hash table 13 for an index key that corresponds to the hash value included in the query received by the query reception unit 19c, and extracts the corresponding fragment information from the database 14 based on this index key.
The data reply unit 19d returns the fragmented information extracted from the database 14 to the information system of the information bank that sent the query.
The other row data receiving unit 19 b receives fragmented information returned from the information system to which the query was sent, and supplies it to the information processing unit 16 .
The information processing unit 16 performs a predetermined information process on the multiple pieces of fragmented information obtained by the query execution unit 18 and the other row data receiving unit 19b.
The information reply unit 17 replies with a report on the results of processing performed by the information processing unit 16 on the multiple pieces of fragmented information as a response to the information acquisition request from the user terminal 3 .

(利用者端末3の構成)
利用者端末3は、例えばスマートホン、タブレット端末、パーソナルコンピュータなどの情報処理装置である。利用者端末3は、CPU、ROM、RAM、通信装置、ディスプレイ、ユーザ入力部などの典型的なコンピュータのハードウェア要素、プログラムなどのソフトウェア要素を備える。RAMには、上記のプログラムが格納され、CPUはこのプログラムを実行するための各種の演算処理を実行する。
(Configuration of user terminal 3)
The user terminal 3 is an information processing device such as a smartphone, a tablet terminal, a personal computer, etc. The user terminal 3 includes typical computer hardware elements such as a CPU, a ROM, a RAM, a communication device, a display, a user input unit, etc., and software elements such as a program. The RAM stores the above-mentioned program, and the CPU executes various arithmetic operations to execute the program.

利用者端末3は、機能的には、情報要求送信部31、情報結果受信部32を有し、さらに図示を省略したが、情報結果受信部32にて受信した情報結果を保存する保存部と、情報結果を情報利用者U2に提示する表示部を備えるものであってよい。
情報要求送信部31は、情報銀行システム100の任意の第1の情報銀行の情報システム1aに情報結果を要求する。
情報結果受信部32は、利用者端末3から第1の情報システム1aに送信した情報要求に対して第1の情報システム1aが自身を含む1以上の情報システムより収集した1以上の断片情報に基づく処理結果のレポートを受信し、保存部に保存したり、表示部に出力する。
Functionally, the user terminal 3 has an information request sending unit 31 and an information result receiving unit 32, and may further be equipped with a storage unit (not shown) for storing the information results received by the information result receiving unit 32, and a display unit for presenting the information results to the information user U2.
The information request sending unit 31 requests information results from the information system 1a of any first information bank in the information bank system 100.
The information result receiving unit 32 receives a report of processing results based on one or more fragmentary pieces of information collected by the first information system 1a from one or more information systems including itself in response to an information request sent from the user terminal 3 to the first information system 1a, and stores the report in the storage unit or outputs it to the display unit.

<動作の説明>
次に、本実施形態の情報銀行システム100の動作を説明する。
(1.情報保存時の動作)
図4は本実施形態の情報銀行システム100における情報保存時の動作シーケンスである。
所有者端末2の各情報生成部21において情報所有者U1の生体情報、決済情報、位置情報、時刻情報などの情報が生成される(S1)。情報収集部22は、情報生成部21により生成された情報を収集する(S2)。
初回の情報収集に際して分散方針決定部23が起動される。分散方針決定部23は、生成される複数の情報においてどの情報をひとまとまりの個人情報5を構成する複数の断片情報として収集するか、収集した複数の断片情報をどのような組み合わせで複数の情報銀行に公開情報として分散して保存するかといった分散方式を情報所有者U1からの入力等によって決定し、決定された分散方式に関する情報を更新用ハッシュデータベース14aに登録する(S3)。この分散方針の決定ステップは、初回時あるいは分散方式に変更があるときのみ行われ、その他の場合にはステップされる。
<Explanation of operation>
Next, the operation of the information bank system 100 of this embodiment will be described.
(1. Operation when saving information)
FIG. 4 shows an operation sequence for storing information in the information bank system 100 of this embodiment.
Each information generating unit 21 of the owner terminal 2 generates information such as biometric information, payment information, location information, and time information of the information owner U1 (S1). The information collecting unit 22 collects the information generated by the information generating unit 21 (S2).
The distribution policy determination unit 23 is started when collecting information for the first time. The distribution policy determination unit 23 determines a distribution method based on input from the information owner U1, such as which information among the generated pieces of information should be collected as pieces of fragmentary information that constitute a set of personal information 5, and in what combination the collected pieces of fragmentary information should be distributed and stored as public information in a number of information banks, and registers information about the determined distribution method in the update hash database 14a (S3). This step of determining the distribution policy is performed only for the first time or when there is a change in the distribution method, and is performed in other cases.

(分散方式の決定について)
ここで、分散方式の決定方法について説明を補足する。
情報所有者U1の情報を複数の情報銀行に公開情報としてどのような組み合わせで分散して保存するかは、情報漏洩によるリスクの大きさを考慮して決めることが望ましい。その決定は情報所有者U1自身が行うか、あるいは所有者端末2にリスク管理上好ましい情報の組み合わせに関する情報をプリセットしておき、このプリセット情報に基づいて情報所有者U1の意思決定をユーザインタフェース上でガイドするようにしてもよい。あるいは、リスク管理上好ましい情報の組み合わせに関するお薦めの情報を管理するリポジトリへ問い合わせて、情報所有者U1の指定条件に合ったお薦めの組み合わせの紹介を受けるようにしてもよい。さらに、お薦めの組み合わせを情報所有者U1自身がカスタマイズして使用するようにしてもよい。
(Decision on the distribution method)
Here, a supplementary explanation will be given regarding the method for determining the distribution method.
It is desirable to decide in what combination the information of the information owner U1 is to be distributed and stored as public information in a plurality of information banks, taking into consideration the magnitude of the risk of information leakage. The decision may be made by the information owner U1 himself, or information regarding information combinations preferable from the viewpoint of risk management may be preset in the owner terminal 2, and the information owner U1's decision-making may be guided on a user interface based on this preset information. Alternatively, an inquiry may be made to a repository that manages recommended information regarding information combinations preferable from the viewpoint of risk management, and a recommended combination that meets the conditions specified by the information owner U1 may be introduced. Furthermore, the recommended combination may be customized and used by the information owner U1 himself.

図5は所有者端末2の表示画面Dに表示される分散方式決定用のユーザインタフェースの例を示す図である。このユーザインタフェースは、情報銀行の選択領域41と断片情報の種別の選択領域42とを有する。情報銀行の選択領域41には、情報銀行毎のアイコン43、44、45が配置され、断片情報の種別の選択領域42にも断片情報の種別毎のアイコン46,47、48、49が配置される。そして情報所有者U1が情報銀行の選択領域41と断片情報の種別の選択領域42との間で互いに関連付けたいアイコン同士をドラッグすることなどによって情報銀行(情報システム)とこれに保存する断片情報の種別との紐付けを行うことができる。例えば、図5の例では、買い物に関する決済情報と時刻情報を情報銀行A(第1の情報システム1a)へ、位置情報を情報銀行B(第2の情報システム1b)へ、心拍数情報を情報銀行C(第3の情報システム1c)へそれぞれ公開情報として保存するといった分散方針が決定される。 Figure 5 is a diagram showing an example of a user interface for determining a distribution method displayed on the display screen D of the owner terminal 2. This user interface has an information bank selection area 41 and a fragment information type selection area 42. In the information bank selection area 41, icons 43, 44, and 45 for each information bank are arranged, and in the fragment information type selection area 42, icons 46, 47, 48, and 49 for each fragment information type are arranged. The information owner U1 can then link the information bank (information system) with the type of fragment information to be stored therein by dragging icons that the information owner U1 wants to associate with each other between the information bank selection area 41 and the fragment information type selection area 42. For example, in the example of Figure 5, a distribution policy is determined in which payment information and time information related to shopping are stored as public information in information bank A (first information system 1a), location information in information bank B (second information system 1b), and heart rate information in information bank C (third information system 1c).

分散方式の決定の際、所有者端末2の分散方針決定部23は、1つの情報銀行に保存するように選択された複数の断片情報が漏洩した場合のリスク評価を行い、その結果を情報所有者U1にフィードバックしてもよい。情報所有者U1はリスク評価のフィードバックから分散方式を再検討し、リスクがより低い分散方針への変更をユーザインタフェースを使って指定することができる。また、分散方式を決定するときだけではなく、既に決定され、運用が始まっている分散方式についてもリスク評価を行って、情報所有者U1にその結果を提示するようにしてもよい。
さらに、所有者端末2の分散方針決定部23は、リスク最小の断片情報の組み合わせを算出し、ユーザインタフェースを通じて情報所有者U1に推奨するようにしてもよい。
When deciding on a distribution method, the distribution policy decision unit 23 of the owner terminal 2 may perform a risk assessment in the case where multiple pieces of information selected to be stored in one information bank are leaked, and feed back the result to the information owner U1. The information owner U1 can reconsider the distribution method from the feedback of the risk assessment, and specify a change to a distribution policy with a lower risk using a user interface. In addition, risk assessment may be performed not only when deciding on a distribution method, but also on distribution methods that have already been decided and are in operation, and the result may be presented to the information owner U1.
Furthermore, the distribution policy determination unit 23 of the owner terminal 2 may calculate a combination of fragmentary information with the minimum risk, and recommend it to the information owner U1 via the user interface.

例えば、仮に決済情報と時刻情報が開示情報として保存された第1の情報システム1aから上記の断片情報が漏洩したとしても、決済が行われる場所(位置情報)に関する情報が得られない以上、漏洩情報が悪用される可能性は低くなる。よって、決済情報および時刻情報と、位置情報は別々の自用法システムに保存されることが望ましい。また、高額の決済時には人の心拍数が上がることが多いことが知られており、高額決済が心拍数から特定されないように、決済情報と心拍数情報は別々の情報システムに保存されることが望ましい。For example, even if the above fragmentary information were to leak from the first information system 1a in which payment information and time information are stored as disclosure information, the leaked information is unlikely to be misused since no information regarding the place where the payment is made (location information) is obtained. Therefore, it is desirable to store the payment information, time information, and location information in separate personal information systems. In addition, it is known that a person's heart rate often increases when making a large amount of payment, so it is desirable to store the payment information and heart rate information in separate information systems so that a large amount of payment cannot be identified from the heart rate.

図4の動作説明に戻って、分散方式が決定された以降、情報収集部22は、その分散方式に従って、情報生成部21により生成された複数の情報のなかから断片情報として収集する情報を選択し(S2)、情報断片化部24に供給する。情報断片化部24は、情報収集部22により収集された断片情報のハッシュ値をハッシュ生成器25を用いて生成する。
なお、情報断片化部24は、決められた分散方式に従って、情報収集部22により収集された特定の種類の断片情報例えば緯度と経度とで構成される位置情報などを、さらに複数の断片情報例えば緯度情報と経度情報とに断片化して、それぞれのハッシュ値をハッシュ生成器25を用いて生成する(S4)。
4, after the distribution method is determined, the information collection unit 22 selects information to be collected as fragment information from the plurality of pieces of information generated by the information generation unit 21 in accordance with the distribution method (S2), and supplies the selected information to the information fragmentation unit 24. The information fragmentation unit 24 generates a hash value of the fragment information collected by the information collection unit 22 using a hash generator 25.
In addition, the information fragmentation unit 24 further fragments a specific type of fragment information collected by the information collection unit 22, such as location information consisting of latitude and longitude, into multiple fragment information, such as latitude information and longitude information, in accordance with a determined distribution method, and generates a hash value for each of the fragment information using the hash generator 25 (S4).

次に、情報送信部26が、情報断片化部24により生成された複数の断片情報および複数のハッシュ値から分散方針に従って情報銀行毎のデータベース保存用の第1のレコードとハッシュテーブル更新用の第2のレコードを生成し、各情報システム1a、1b、1cに送信する(S5)。Next, the information transmission unit 26 generates a first record for database storage for each information bank and a second record for updating the hash table from the multiple fragmented information and multiple hash values generated by the information fragmentation unit 24 in accordance with the distribution policy, and transmits them to each information system 1a, 1b, 1c (S5).

第1の情報システム1aは、情報受信部11にて所有者端末2からの上記第1のレコードおよび第2のレコードを受信すると(S6)、情報更新部12によって第2のレコードに含まれるハッシュ値がハッシュテーブル13に登録され(S7)、さらに、受信した第1のレコードの内容がデータベース14に登録される(S8)。さらに情報更新部12によって、ハッシュテーブル13には、データベース14に公開情報として登録された断片情報を特定するインデックスキーが登録済みのハッシュ値に対応付けて記録される。その他の情報システム1b、1cにおいても同様に所有者端末2から受信した第1のレコードおよび第2のレコードの内容に基づいてハッシュテーブル13およびデータベース14が更新される。When the first information system 1a receives the first record and the second record from the owner terminal 2 at the information receiving unit 11 (S6), the information updating unit 12 registers the hash value contained in the second record in the hash table 13 (S7), and further registers the contents of the received first record in the database 14 (S8). Furthermore, the information updating unit 12 records in the hash table 13 an index key that identifies the fragmentary information registered as public information in the database 14 in association with the registered hash value. Similarly, in the other information systems 1b and 1c, the hash tables 13 and databases 14 are updated based on the contents of the first record and the second record received from the owner terminal 2.

(2.情報利用者U2による情報要求時の動作)
図6は情報利用者U2による情報要求時の動作シーケンスを示す図である。
利用者端末3の情報利用者U2は、情報所有者U1からの許諾を受けた条件下で、第1の情報システム1aの認証を受け、認証トークンを保有した状態で第1の情報システム1aへのアクセスを開始する。第1の情報システム1aは、認証トークンをもったアクセスを許容する。このような一定のコンテキストをもった一連の情報アクセスをまとめてここではセッションと呼ぶ。また、情報利用者U2は、情報所有者U1からの許諾をもとに第2の情報システム1bおよび第3の情報システム1cがそれぞれ保有する情報に対するアクセス権を示す認可トークンを得ることができる。第1の情報システム1aは、認可トークンがあることを条件に、その認可トークンの対象である情報システムからハッシュ値によって断片情報を取得することができる。例えば、情報利用者U2が、第2の情報システム1bおよび第3の情報システム1cがそれぞれ保有する断片情報に対するそれぞれの認可トークンを所持しているならば、第1の情報システム1aは、第2の情報システム1bおよび第3の情報システム1cからハッシュ値による断片情報の取得を実行する。しかし、情報利用者U2が、第2の情報システム1bが保有する断片情報に対する認可トークンしか所持していないならば、第1の情報システム1aは、第2の情報システム1bからのハッシュ値による断片情報の取得のみを実行する。以下、情報利用者U2が、第2の情報システム1bおよび第3の情報システム1cがそれぞれ保有する断片情報に対するそれぞれの認可トークンを有することを前提に情報利用者U2からの情報要求時の動作を説明する。
(2. Actions taken when an information consumer U2 requests information)
FIG. 6 is a diagram showing an operation sequence when an information user U2 makes an information request.
The information user U2 of the user terminal 3 is authenticated by the first information system 1a under the condition of permission from the information owner U1, and starts accessing the first information system 1a while holding the authentication token. The first information system 1a allows access with the authentication token. A series of information accesses with a certain context is collectively referred to as a session here. In addition, the information user U2 can obtain an authorization token indicating an access right to information held by the second information system 1b and the third information system 1c based on permission from the information owner U1. The first information system 1a can obtain fragmented information by a hash value from the information system that is the target of the authorization token, on the condition that there is an authorization token. For example, if the information user U2 holds the authorization tokens for the fragmented information held by the second information system 1b and the third information system 1c, the first information system 1a executes the acquisition of fragmented information by a hash value from the second information system 1b and the third information system 1c. However, if the information consumer U2 only has an authorization token for the fragmented information held by the second information system 1b, the first information system 1a only executes acquisition of the fragmented information by hash value from the second information system 1b. Below, the operation at the time of information request from the information consumer U2 will be described on the assumption that the information consumer U2 has authorization tokens for each of the fragmented information held by the second information system 1b and the third information system 1c.

利用者端末3の情報要求送信部31は、第1の情報システム1aに、情報所有者U1の個人情報5に関する情報取得要求を送信する(S11)。第1の情報システム1aは、情報要求受信部15にてこの情報取得要求を受信すると、クエリ実施部18に情報取得要求を供給する(S12)。クエリ実施部18は、情報取得要求に基づいてデータベース14から該当するレコードを取り出し(S13)、取り出したレコード中の1以上の断片情報を情報処理部16に供給する(S14)。また、クエリ実施部18は、当該レコード中の1以上のハッシュ値を他行クエリ送信部19aに供給する(S15)。The information request sending unit 31 of the user terminal 3 sends an information acquisition request regarding the personal information 5 of the information owner U1 to the first information system 1a (S11). When the first information system 1a receives this information acquisition request at the information request receiving unit 15, it supplies the information acquisition request to the query implementation unit 18 (S12). The query implementation unit 18 retrieves a relevant record from the database 14 based on the information acquisition request (S13), and supplies one or more pieces of information in the retrieved record to the information processing unit 16 (S14). The query implementation unit 18 also supplies one or more hash values in the record to the other row query sending unit 19a (S15).

他行クエリ送信部19aは、クエリ実施部18より供給されたハッシュ値を含むクエリを、当該ハッシュ値に付加された銀行IDに該当する情報銀行の情報システムに送信する(S16)。ここで、そのハッシュ値を含むクエリが第2の情報システム1bに送信された場合を説明する。The other bank query sending unit 19a sends a query including the hash value provided by the query execution unit 18 to the information system of the information bank corresponding to the bank ID added to the hash value (S16). Here, we will explain the case where the query including the hash value is sent to the second information system 1b.

第2の情報システム1bは、クエリ受信部19cにてハッシュ値を含むクエリを受信して自情報システム1b内のクエリ実施部18に供給する(S17)。クエリ実施部18は、ハッシュテーブル13から当該クエリに含まれるハッシュ値に対応する断片情報をデータベース14から引き当てるためのインデックスキーを取り出し、クエリ実施部18に供給する(S18)。クエリ実施部18は、このインデックスキーをキーにデータベース14より該当する断片情報を取り出す(S19)。データベース14から取り出された断片情報は、データ返信部19dによって第1の情報システム1aに返信される(S20、S21)。The second information system 1b receives the query including the hash value at the query receiving unit 19c and supplies it to the query implementation unit 18 in its own information system 1b (S17). The query implementation unit 18 retrieves an index key for retrieving from the hash table 13 the fragment information corresponding to the hash value included in the query in the database 14, and supplies this to the query implementation unit 18 (S18). The query implementation unit 18 retrieves the corresponding fragment information from the database 14 using this index key (S19). The fragment information retrieved from the database 14 is returned to the first information system 1a by the data reply unit 19d (S20, S21).

第1の情報システム1aは、他行データ受信部19bにて情報システム1bから返信された断片情報を受信してクエリ実施部18に供給する。他行データ受信部19bからクエリ実施部18に供給された断片情報は、クエリ実施部18から情報処理部16に供給される(S14)。The first information system 1a receives the fragmented information returned from the information system 1b at the other bank data receiving unit 19b and supplies it to the query implementation unit 18. The fragmented information supplied from the other bank data receiving unit 19b to the query implementation unit 18 is supplied from the query implementation unit 18 to the information processing unit 16 (S14).

なお、S13でデータベース14から取り出されたレコードから第3の情報システム1cに保存された断片情報のハッシュ値が取り出された場合には、クエリ実施部18は、第3の情報システム1cにそのハッシュ値を含むクエリを送信する。これにより、第3の情報システム1cから該当する断片情報が第1の情報システム1aに返信される。このようにして、複数の情報システム1a、1b、1cに分散して保存された個人情報5を構成する複数の断片情報が第1の情報システム1aに揃い集められる。 When the hash value of the fragmentary information stored in the third information system 1c is extracted from the record extracted from the database 14 in S13, the query implementation unit 18 transmits a query including that hash value to the third information system 1c. This causes the third information system 1c to return the corresponding fragmentary information to the first information system 1a. In this way, the multiple fragmentary information pieces constituting the personal information 5 that are distributed and stored in the multiple information systems 1a, 1b, and 1c are gathered together in the first information system 1a.

第1の情報システム1aの情報処理部16は、上記のように複数の情報システム1a、1b、1cから揃い集めた断片情報を処理して、処理結果であるレポートを生成する(S22)。生成されたレポートは、情報返信部17によって利用者端末3に送信され(S23)、利用者端末3の情報結果受信部32にて受信される(S24)。The information processing unit 16 of the first information system 1a processes the fragmented information collected from the multiple information systems 1a, 1b, and 1c as described above, and generates a report that is the processing result (S22). The generated report is sent to the user terminal 3 by the information reply unit 17 (S23), and is received by the information result receiving unit 32 of the user terminal 3 (S24).

(認可トークンとレポートとの関係) (Relationship between authorization tokens and reports)

情報利用者U2に提供されるレポートのソースとなる断片情報の種類は、その情報利用者U2が所有する認可トークンの種類によって制限され得る。
例えば、情報利用者U2が第2の情報システム1bの断片情報に対する認可トークンと第3の情報システム1cの保有する断片情報に対する認可トークンの両方を所有しない場合、第1の情報システム1aは自身のデータベース14に開示情報として保存されている断片情報の範囲で情報処理を実行する。例えば、自身のデータベース14に決済情報と時刻情報が保存されている場合、客単価の高い時刻や購買数の多い時間帯に関するレポートなどが作成される。
The type of fragmented information that is the source of the report provided to the information consumer U2 may be restricted by the type of authorization token that the information consumer U2 possesses.
For example, if the information user U2 does not possess both an authorization token for the fragmentary information of the second information system 1b and an authorization token for the fragmentary information held by the third information system 1c, the first information system 1a executes information processing within the scope of the fragmentary information stored as disclosure information in its own database 14. For example, if payment information and time information are stored in its own database 14, a report on the time of day when the average customer spending is high or the time period when the number of purchases is high is created.

一方、情報利用者U2が第2の情報システム1bの断片情報に対する認可トークンと第3の情報システム1cの断片情報に対する認可トークンを所有する場合には、第1の情報システム1aは自身のデータベース14に開示情報として保存されている断片情報とともに、第2の情報システム1bおよび第3の情報システム1cにそれぞれ開示情報として保存されている断片情報に基づいて情報処理を行った結果をレポートとして作成することができる。例えば、第2の情報システム1bには位置情報が、第3の情報システム1cには心拍数情報が保存されている場合、第1の情報システム1aは、決済金額の大きい地域や、購入者の心拍数と決済額の相関といった、より高度な情報レポートを作成することができる。On the other hand, if information user U2 possesses an authorization token for the fragmentary information of the second information system 1b and an authorization token for the fragmentary information of the third information system 1c, the first information system 1a can create a report on the results of information processing based on the fragmentary information stored as disclosure information in the second information system 1b and the third information system 1c, together with the fragmentary information stored as disclosure information in its own database 14. For example, if location information is stored in the second information system 1b and heart rate information is stored in the third information system 1c, the first information system 1a can create a more advanced information report, such as areas with large payment amounts and the correlation between a purchaser's heart rate and payment amount.

このように第1の情報システム1aに収集された複数の断片情報は、情報処理部16において例えば統計処理された結果などとして情報利用者U2へ提供されるので、複数の断片情報をそのまま情報利用者U2へ提供する場合に比べて、情報所有者個人のブラバイシーを守る上で有効である。 In this way, the multiple pieces of fragmentary information collected in the first information system 1a are provided to the information user U2 as the results of, for example, statistical processing in the information processing unit 16, which is more effective in protecting the privacy of the individual information owner than providing the multiple pieces of fragmentary information directly to the information user U2.

上記の情報利用者U2による情報要求時の動作例では、利用者端末3の情報利用者U2は、第1の情報システム1aの認証を受け、認証トークンを保有した状態で第1の情報システム1aへのアクセスを開始する場合について説明した。しかし、本実施形態の情報銀行システム100では、それぞれの情報システム1a、1b、1cのデータベース14に、個人情報5を構成する複数の断片情報が分散して保存され、さらに、個人情報5を構成する複数の断片情報のうち自情報システムに保存された断片情報以外のすべての断片情報のハッシュ値が保存されている。したがって、利用者端末3の情報利用者U2は、第2の情報システム1bの認証を受け、認証トークンを保有した状態で第2の情報システム1bへのアクセスを開始したり、第3の情報システム1cの認証を受け、認証トークンを保有した状態で第3の情報システム1cへのアクセスを開始することによっても、第1の情報システム1aへのアクセスを開始した場合と同様に各情報システム1a、1b、1cのデータベース14に開示情報として分散保存された複数の断片情報をアクセス開始元の情報システムに集めて情報処理を行うことができる。In the above example of operation when the information user U2 requests information, the information user U2 of the user terminal 3 is authenticated by the first information system 1a and starts accessing the first information system 1a while holding an authentication token. However, in the information bank system 100 of this embodiment, a plurality of pieces of information constituting the personal information 5 are distributed and stored in the database 14 of each of the information systems 1a, 1b, and 1c, and hash values of all pieces of information other than the pieces of information stored in the information system itself among the plurality of pieces of information constituting the personal information 5 are stored. Therefore, the information user U2 of the user terminal 3 can collect the plurality of pieces of information distributed and stored as disclosure information in the database 14 of each of the information systems 1a, 1b, and 1c to the information system from which the access was started, as in the case of starting access to the first information system 1a, by being authenticated by the second information system 1b and starting accessing the second information system 1b while holding an authentication token, or by being authenticated by the third information system 1c and starting accessing the third information system 1c while holding an authentication token, and can perform information processing.

<第1の変形例>
上記の第1の実施形態では、個人情報を構成する複数の断片情報の公開情報を複数の情報システムに均等な数で分散して預ける場合を示した。しかし、複数の断片情報を複数の情報システムにどのような数の割合で分散するかは任意に決めることができる。
<First Modification>
In the above first embodiment, the public information of a plurality of pieces of fragmented information constituting personal information is distributed equally among a plurality of information systems and deposited. However, the ratio of the number of pieces of fragmented information to be distributed among the plurality of information systems can be determined arbitrarily.

図7は複数の情報システム1a、1b、1c間で不均等な数の割合で断片情報を保存する一例を示している。この例では、個人情報を構成する6つの断片情報A、B、C、D、E、Fのうち、第1の情報システム1aに4つの断片情報B、C、D、Eが保存され、第3の情報システム1cに1つの断片情報Aが保存され、第3の情報システム1cに1つの断片情報Fが保存される。ハッシュ値については、第1の情報システム1aに2つの断片情報A、Fのハッシュ値が保存され、第2の情報システム1bに5つの断片情報B、C、D、E、Fのハッシュ値が保存され、第3の情報システム1cに5つの断片情報A、B、C、D、Eのハッシュ値が保存される。このように各情報システム1a、1b、1cに不均一な数の断片情報の保存を許容することによって、自情報システムに情報を誘引する競争力が生まれ、情報利用者U2に提供される情報の寄与度に応じた便益を運営主体が得られるような仕組みの導入との組み合わせによって、情報銀行システム100全体の規模、サービス、信頼性の向上が期待できる。 Figure 7 shows an example in which fragment information is stored in unequal numbers among multiple information systems 1a, 1b, and 1c. In this example, of six pieces of fragment information A, B, C, D, E, and F that make up personal information, four pieces of fragment information B, C, D, and E are stored in the first information system 1a, one piece of fragment information A is stored in the third information system 1c, and one piece of fragment information F is stored in the third information system 1c. As for hash values, the hash values of two pieces of fragment information A and F are stored in the first information system 1a, the hash values of five pieces of fragment information B, C, D, E, and F are stored in the second information system 1b, and the hash values of five pieces of fragment information A, B, C, D, and E are stored in the third information system 1c. In this way, by allowing each information system 1a, 1b, 1c to store an uneven number of fragmentary information, a competitive edge is created that attracts information to the information system itself, and by combining this with the introduction of a mechanism that allows the operating entity to obtain benefits according to the degree of contribution of the information provided to information user U2, it is expected that the scale, services, and reliability of the entire information bank system 100 will be improved.

<第2の変形例>
上記第1の実施形態では、例えばセンサーの出力のデータなど、単体でも何らかの意味が分かるデータを1つの断片情報として扱うこととした。しかし、1つの断片情報であっても漏洩によって大きな損害が生じる場合も考えられる。
<Second Modification>
In the first embodiment, data that can be understood by itself, such as sensor output data, is treated as one piece of fragmentary information. However, even if it is just one piece of fragmentary information, there may be a case where leakage of the information may cause a great deal of damage.

そこで個々の断片情報を、構造的にさらに細かい情報に断片化して、それぞれ複数の情報システムに分散して保存するようにしてもよい。
図8は個々の断片情報A、B、Cがそれぞれ3桁の数値列である場合に、その数値列の各桁毎の値を3つの情報システム1a、1b、1cに分散して保存した例である。この例では、断片情報A、B、Cそれぞれの3桁の数値列のうち1桁目の数値が第1の情報システム1aに公開情報として保存され、2桁目の数値が第2の情報システム1bに公開情報として保存され、3桁目の数値が第3の情報システム1cに公開情報として保存される。第1の情報システム1aには、さらに、2桁目と3桁目の数値のハッシュ値が保存され、第2の情報システム1bには、さらに、1桁目と3桁目の数値のハッシュ値が保存され、第3の情報システム1cには、さらに、1桁目と2桁目の数値のハッシュ値が保存される。
Therefore, each piece of information may be structurally divided into smaller pieces of information, and each piece of information may be distributed and stored in a plurality of information systems.
8 shows an example in which each of the fragment information A, B, and C is a three-digit numeric string, and the values of each digit of the numeric string are distributed and stored in three information systems 1a, 1b, and 1c. In this example, the first digit of each of the three-digit numeric strings of the fragment information A, B, and C is stored as public information in the first information system 1a, the second digit is stored as public information in the second information system 1b, and the third digit is stored as public information in the third information system 1c. The first information system 1a further stores hash values of the second and third digits, the second information system 1b further stores hash values of the first and third digits, and the third information system 1c further stores hash values of the first and second digits.

このように断片情報を構造的にさらに細かい複数の情報に断片化して複数の情報システム1a、1b、1cに分散して保存し、各々の情報システム1a、1b、1cにおいて、公開情報部分以外の部分の情報をハッシュ値として保存したことによって、断片情報の単位での漏洩のリスクを低減できる。In this way, the fragmented information is structurally fragmented into multiple pieces of smaller information and stored in a distributed manner across multiple information systems 1a, 1b, and 1c, and the information other than the public information portion is stored as a hash value in each information system 1a, 1b, and 1c, thereby reducing the risk of leakage at the fragmented information level.

なお、この変形例では、個人情報5を構成する複数の断片情報を複数の情報システム1a、1b、1cに分散して保存する必要はない。 In addition, in this modified example, there is no need to distribute and store multiple fragmentary pieces of information that make up personal information 5 across multiple information systems 1a, 1b, and 1c.

<第3の変形例>
上記第1の実施形態では、情報システムから攻撃行為によってハッシュ値が漏洩した場合、そのハッシュ値を使った他の情報システムへの不正アクセスによって他の情報システムに保存された断片情報までもが漏洩してしまう可能性を必ずしも否定できない。そこで、情報システムの制御部10が、自情報システムからのハッシュ値の漏洩を検出したならば、漏洩したハッシュ値が示す断片情報が保存された他の情報システムに対して、該当する断片情報のアクセス禁止を要求するとともに、自情報システムに登録されたハッシュ値を無効化して新しいハッシュ値に更新する。
<Third Modification>
In the first embodiment, if a hash value is leaked from an information system due to an attack, the possibility cannot be denied that the fragmented information stored in another information system may also be leaked due to unauthorized access to the other information system using the hash value. Therefore, when the control unit 10 of the information system detects leakage of a hash value from its own information system, it requests the other information system in which the fragmented information indicated by the leaked hash value is stored to prohibit access to the corresponding fragmented information, and invalidates the hash value registered in its own information system and updates it to a new hash value.

例えば、図9Aに示すように、3つの情報システム1a、1b、1cのなかの1つの第3の情報システム1cに対する攻撃によって断片情報A、B、C、Dへのハッシュ値が漏洩したとする。第3の情報システム1cの制御部10は、このハッシュ値漏洩を検出すると、直ちに他の情報システム1a、1bに、漏洩したハッシュ値が示す断片情報に対するアクセスの失効(Revocation)を要求する。第1の情報システム1aの制御部10は、この失効(Revocation)要求に応じて、図9Bに示すように、漏洩したハッシュ値が示す断片情報C、Dへのアクセスを禁止状態にする。同様に、第2の情報システム1bの制御部10も、失効(Revocation)要求に応じて、図9Bに示すように、漏洩したハッシュ値が示す断片情報A、Bへのアクセスを禁止状態にする。続いて、第3の情報システム1cの制御部10は、図9Cに示すように、漏洩したハッシュ値に代わる新たなハッシュ値(NEW_HASH)を生成し、この新たなハッシュ値(NEW_HASH)を漏洩した古いハッシュ値と入れ替え、この新たなハッシュ値(NEW_HASH)を含むリハッシュ要求を第1の情報銀行システムと第2の情報システム1bにそれぞれ送信する。第1の情報銀行システムと第2の情報システム1bのそれぞれの制御部10は、リハッシュ要求を受けると、このリハッシュ要求に含まれる新たなハッシュ値(NEW_HASH)で自身のハッシュテーブル13をそれぞれ更新する。For example, as shown in FIG. 9A, assume that hash values for fragment information A, B, C, and D are leaked due to an attack on one of three information systems 1a, 1b, and 1c, the third information system 1c. When the control unit 10 of the third information system 1c detects this hash value leak, it immediately requests the other information systems 1a and 1b to revocation access to the fragment information indicated by the leaked hash value. In response to this revocation request, the control unit 10 of the first information system 1a prohibits access to the fragment information C and D indicated by the leaked hash value, as shown in FIG. 9B. Similarly, in response to the revocation request, the control unit 10 of the second information system 1b also prohibits access to the fragment information A and B indicated by the leaked hash value, as shown in FIG. 9B. Next, the control unit 10 of the third information system 1c generates a new hash value (NEW_HASH) to replace the leaked hash value, replaces the old leaked hash value with this new hash value (NEW_HASH), and transmits a rehash request including this new hash value (NEW_HASH) to each of the first information bank system and the second information system 1b, as shown in Fig. 9C. Upon receiving the rehash request, the control units 10 of the first information bank system and the second information system 1b update their own hash tables 13 with the new hash value (NEW_HASH) included in the rehash request.

これにより、情報システムから漏洩したハッシュ値による他の情報システムからの断片情報漏洩を防止することができる。 This makes it possible to prevent fragmented information from being leaked from other information systems due to hash values leaked from one information system.

<第4の変形例>
情報銀行毎に預けられた断片情報を指定するハッシュ値は、情報銀行毎に決められた権限機関による公開鍵暗号化が行われたものとしてもよい。
例えば図10に示すように、第1の情報システム1aには個人情報を構成する複数の断片情報C、D、E、Fのうちの断片情報C、Dが保存され、第3の情報システム1cには複数の断片情報E、Fが保存され、さらに第1の情報システム1aには第3の情報システム1cに保存された断片情報E、Fのハッシュ値が保存され、第3の情報システム1cには第1の情報システム1aに保存された断片情報C、Dのハッシュ値が保存されているものとする。
ここで、断片情報C、Dのハッシュ値は機関Xによる公開鍵暗号化が施され、断片情報E、Fのハッシュ値は機関Yによる公開鍵暗号化が施される。このため、第3の情報システム1cから第1の情報システム1aに対し、断片情報C、Dをハッシュ値で取得するためには、暗号化されたハッシュ値(Coded_HASH)が機関Xによって復号されなければならない。同様に、第1の情報システム1aから第3の情報システム1cに対し、断片情報E、Fをハッシュ値で取得するためには、その暗号化されたハッシュ値(Coded_HASH)が機関Yによって復号されなければならない。
<Fourth Modification>
The hash value specifying the fragment of information deposited for each information bank may be public key encrypted by an authority determined for each information bank.
For example, as shown in FIG. 10, the first information system 1a stores fragment information C and D out of multiple pieces of fragment information C, D, E, and F that make up personal information, the third information system 1c stores multiple pieces of fragment information E and F, and further the first information system 1a stores hash values of the fragment information E and F stored in the third information system 1c, and the third information system 1c stores hash values of the fragment information C and D stored in the first information system 1a.
Here, the hash values of the fragment information C and D are public key encrypted by the institution X, and the hash values of the fragment information E and F are public key encrypted by the institution Y. Therefore, in order to obtain the fragment information C and D as hash values from the third information system 1c to the first information system 1a, the encrypted hash value (Coded_HASH) must be decrypted by the institution X. Similarly, in order to obtain the fragment information E and F as hash values from the first information system 1a to the third information system 1c, the encrypted hash value (Coded_HASH) must be decrypted by the institution Y.

これにより、漏洩したハッシュ値を用いた断片情報の不正取得に対する耐性をより一層強化することができる。さらに、一度復号化されたハッシュ値は無効化されるように、各機関X、Yで改めて公開鍵暗号化が行われた新たなハッシュ値を生成して、各情報システム1a、1cのデータベース14およびハッシュテーブル13を更新してもよい。This makes it possible to further strengthen resistance to unauthorized acquisition of fragmentary information using leaked hash values. Furthermore, to invalidate hash values that have been decrypted once, each institution X and Y may generate new hash values that have been public-key encrypted, and use the new hash values to update the databases 14 and hash tables 13 of each information system 1a and 1c.

<第5の変形例>
ハッシュ値に対して、該当する断片情報を保有する情報システムを特定する方法として、上記第1の実施形態では、ハッシュ値に銀行IDを付加する方法を採用したが、予め情報システム毎にハッシュ値のレンジを決めておく方法も考えられる。
さらに、図11に示すように、ハッシュ値またはハッシュ値レンジと銀行とのマッピングを管理するリポジトリ51を用意し、各情報システムが、他情報システムにハッシュ値を用いて断片情報を要求する都度、リポジトリ51に、そのハッシュ値に対応する情報システムを問い合わせる方法がある。
<Fifth Modification>
In the first embodiment described above, a method of adding a bank ID to a hash value was adopted as a method for identifying an information system that holds the corresponding fragment information based on a hash value. However, it is also possible to consider a method in which a range of hash values is determined in advance for each information system.
Furthermore, as shown in FIG. 11, a repository 51 is prepared to manage the mapping between hash values or hash value ranges and banks, and each time an information system requests fragmented information from another information system using a hash value, the repository 51 is queried as to which information system corresponds to that hash value.

<第6の変形例>
所有者端末2に、複数の情報システムに分散して保存した複数の断片情報のハッシュ値を保持する機能を設けることによって、各情報システムに保存された断片情報を更新したい場合に、第5の変形例で挙げたリポジトリ51に対し、ハッシュ値を用いて断片情報を要求する先の情報システムを問い合わせ、その情報システムに対して、ハッシュ値を指定してデータベース14の断片情報の更新を行うようにしてもよい。
<Sixth Modification>
By providing the owner terminal 2 with a function for retaining hash values of multiple pieces of fragment information stored in a plurality of information systems, when it is desired to update the fragment information stored in each information system, the repository 51 mentioned in the fifth variant example can be queried using the hash value to request the information system from which the fragment information is to be requested, and the fragment information in the database 14 can be updated by specifying the hash value to that information system.

<第7の変形例>
上記の第1の実施形態では、図2に示したように、複数の情報システム1a、1b、1cに情報所有者U1の個人情報5を構成する複数の断片情報A-Fのうち、第1の情報システム1aには、断片情報C、Dと、断片情報A、Bのハッシュ値と、断片情報E、Fのハッシュ値とが1つのレコードとして保存され、第2の情報システム1bには、断片情報A、Bと、断片情報C、Dのハッシュ値と、断片情報E、Fのハッシュ値が1つのレコードとして保存され、第3の情報システム1cには、断片情報E、Fと、断片情報A、Bのハッシュ値と、断片情報C、Dのハッシュ値が1つのレコードとして保存されることとした。これは、情報利用者U2が、どの情報システム1a、1b、1cに対するアクセスを開始しても、個人情報5を構成するすべての断片情報A-Fをアクセス開始先の情報システムで揃い集めることができるためである。これに対し、例えばアクセス開始先の情報システムが固定されるような場合、例えば、第3の情報システム1cが情報利用者U2からの情報要求を受けることが決められているような場合には、例えば、図12に示すように、ハッシュ値については、第3の情報システム1cにだけ保存し、他の情報システム1a、1bには断片情報だけを保存するようにしてもよい。また、このような保存方針を所有者端末2において決定できるようにしてもよい。
<Seventh Modification>
In the first embodiment described above, as shown in Fig. 2, among the multiple pieces of fragment information A-F constituting the personal information 5 of the information owner U1 in the multiple information systems 1a, 1b, and 1c, the first information system 1a stores the fragment information C and D, the hash values of the fragment information A and B, and the hash values of the fragment information E and F as one record, the second information system 1b stores the fragment information A and B, the hash values of the fragment information C and D, and the hash values of the fragment information E and F as one record, and the third information system 1c stores the fragment information E and F, the hash values of the fragment information A and B, and the hash values of the fragment information C and D as one record. This is because, regardless of which of the information systems 1a, 1b, and 1c the information user U2 starts accessing, all of the fragment information A-F constituting the personal information 5 can be collected in the information system from which the information user U2 starts accessing. On the other hand, in a case where the information system from which access is started is fixed, for example, when it is decided that the third information system 1c will receive an information request from the information user U2, the hash value may be stored only in the third information system 1c, and only fragmentary information may be stored in the other information systems 1a and 1b, as shown in Fig. 12. Also, such a storage policy may be determined at the owner terminal 2.

(本開示の情報銀行システムの効果)
以上のように、本技術の情報銀行システム100によれば、個人情報を構成する複数の断片情報を複数の情報システムへ分散して保存するため、仮に不正な情報利用者による一部の情報システムへの攻撃による不正侵入によって、その情報システムに開示情報として保存された断片情報の漏洩が生じたとしても、漏洩した断片情報は個人情報5を構成する複数の断片情報の一部に過ぎないため、被害を低く抑えることができる。また、ハッシュ値が示す断片情報は別の情報システムに保存されているので、不正な情報利用者は、その情報システムにも攻撃行為を通じて侵入を図る必要がある。これにより、情報漏洩耐性の高い情報銀行システムが得られる。
(Effects of the information bank system disclosed herein)
As described above, according to the information bank system 100 of the present technology, multiple pieces of information constituting personal information are distributed and stored in multiple information systems, so even if an unauthorized information user intrudes into some information systems through an attack, causing the fragmented information stored in the information systems to be leaked as disclosure information, the leaked fragmented information is only a part of the multiple pieces of information constituting the personal information 5, so damage can be kept low. Furthermore, since the fragmented information indicated by the hash value is stored in another information system, the unauthorized information user must also attempt to intrude into that information system through an attack. This provides an information bank system that is highly resistant to information leaks.

情報の利用を情報システム単位で認可することによって情報の開示範囲を制御することができる。さらに、所有者端末2で決定される分散方針によって、各情報システムに公開情報として保存する断片情報の種別の組み合わせを、万が一情報が漏洩しても情報所有者U1が実効的な被害を被らないように定めることができる。例えば、購入情報、位置情報、時間情報が存在する場合において、位置情報と時刻情報が1つの情報システムに保存されることは、万が一これらの情報が漏洩した場合に情報所有者U1のプライバシーが損なわれる可能性があるので、このような組み合わせを避けるように情報利用者U2は所有者端末2上で分散方針を決定することができる。 The scope of information disclosure can be controlled by authorizing the use of information on an information system basis. Furthermore, the distribution policy determined by the owner terminal 2 can determine the combination of types of fragmentary information to be stored as public information in each information system so that the information owner U1 will not suffer effective damage even if the information is leaked. For example, in a case where purchase information, location information, and time information exist, storing the location information and time information in one information system could potentially compromise the privacy of the information owner U1 if this information were to be leaked, so the information user U2 can determine the distribution policy on the owner terminal 2 to avoid such combinations.

一方、情報システムは、情報所有者U1によって情報公開の認可が情報システム単位で制限されていたとしても、情報公開が認可された断片情報の範囲で統計的な処理を通して有益な情報を生成し、情報利用者U2に提供することができる。例えば、購入情報、位置情報、時間情報が存在する場合において、位置情報を保存する情報システムの開示情報の利用を情報所有者U1が認可していなくも、購入情報と時間情報を保存する他の情報システムの開示情報の利用を情報所有者U1が認可している場合には、情報処理部16によって、商品の売れる時間帯の分析などの情報処理を行い得る。あるいは、位置情報を保存する情報システムの開示情報の利用のみを情報所有者U1が認可している場合には、情報処理部16によって、人口分析などの情報処理を行い得る。On the other hand, even if the information owner U1 restricts the authorization for information disclosure on an information system basis, the information system can generate useful information through statistical processing within the scope of fragmentary information for which information disclosure has been authorized, and provide it to the information user U2. For example, in a case where purchase information, location information, and time information exist, even if the information owner U1 has not authorized the use of the disclosure information of the information system that stores the location information, if the information owner U1 has authorized the use of the disclosure information of another information system that stores the purchase information and time information, the information processing unit 16 can perform information processing such as analysis of time periods when products are sold. Alternatively, if the information owner U1 has authorized only the use of the disclosure information of the information system that stores the location information, the information processing unit 16 can perform information processing such as population analysis.

権限機関によるハッシュ値の公開鍵暗号化により、たとえば、裁判所の開示命令がなければ、権限機関より権限の低い利用者はすべての情報にアクセスすることはできない、といった堅牢性が実現される。 Public key encryption of the hash value by the authorized authority provides robustness, such as ensuring that users with less authority than the authorized authority cannot access all of the information unless a court orders disclosure.

本開示の情報銀行システム100はゴミ収集機関によるゴミ出しの中身を情報化するシステムへの応用も考えられる。個人が出したゴミには個人情報が多く含まれており、ゴミの情報と個人情報とを複数の情報システムに分散して保存することによって、個人のプライバシーを保護しつつ、例えばゴミ収集機関と警察の双方の許諾がそろった条件で、悪質なゴミだしをした個人を特定することができる。The information bank system 100 disclosed herein can also be applied to a system that digitalizes the contents of garbage disposal by garbage collection agencies. Garbage disposed of by individuals contains a lot of personal information, and by distributing and storing garbage information and personal information in multiple information systems, it is possible to protect the privacy of individuals while identifying individuals who have disposed of garbage in a malicious manner, for example, under conditions where permission is obtained from both the garbage collection agency and the police.

リポジトリ51を介することで、情報銀行の新規参入や撤退、合従連衡といった動的な変化に対してハッシュ値を作り直すことなく、より迅速な対応が可能になる。またこれらの変化に伴う情報システム間での保有情報の移行も可能である。情報システムの構成が変わらない場合でも、情報システム間の保有情報の取引も同様に可能になる。 By using repository 51, it becomes possible to respond more quickly to dynamic changes such as the entry or withdrawal of information banks, or mergers and acquisitions, without having to recreate hash values. It is also possible to transfer held information between information systems in response to these changes. Even if the configuration of the information systems does not change, trading of held information between information systems is also possible.

断片情報の分散方針は、センサーなどのデバイスごとのプリセットに基づいて行うことができる。この場合、漏洩時のリスクが大きくなるような情報の組み合わせを避けるように、デバイスベンダと情報システムの運営主体との協議によって断片情報の最適な保存先を決めるようにしてもよい。 The distribution policy for fragmented information can be based on a preset for each device, such as a sensor. In this case, the optimal storage destination for fragmented information can be determined through discussion between the device vendor and the operator of the information system, in order to avoid combinations of information that would increase the risk of leakage.

[本技術の別の構成]
なお、本技術は以下のような構成も採ることができる。
(1)情報所有者の個人情報を構成する複数の断片情報のうちの1以上の断片情報と、他のすべての断片情報をそれぞれ示す1以上のハッシュ値とを保存する保存部と、
情報利用者からの情報要求を受け、前記保存部から該当する1以上の断片情報および1以上のハッシュ値を取り出し、前記複数の断片情報のうち前記保存された断片情報以外の断片情報が保存された他の情報システムに、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報を要求する制御部と、
を具備する情報システム。
(2)上記(1)に記載の情報システムであって、
前記他の情報システムが複数あり、それぞれの他の情報システムには、前記複数の断片情報のうち前記保存部に保存された断片情報以外のすべての断片情報が分散して保存され、
前記制御部は、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報をそれぞれ前記他の複数の情報システムに要求するように構成された
情報システム。
(3)前記(1)または(2)に記載の情報システムであって、
前記制御部は、前記取り出した1以上の断片情報および前記他の情報システムから取得した1以上の断片情報に基づいて情報処理を行い、その結果を前記情報利用者の端末に応答するように構成された
情報システム。
(4)前記(1)から(3)のいずれかに記載の情報システムであって、
前記制御部は、前記保存部の前記ハッシュ値の漏洩を検出した場合、前記漏洩したハッシュ値が示す断片情報が保存された他の情報システムに対して当該断片情報のアクセス禁止を要求するとともに、前記漏洩したハッシュ値を無効化して新しいハッシュ値に更新するように構成された
情報システム。
(5)前記(1)から(4)のいずれかに記載の情報システムであって、
前記複数の断片情報が、前記情報所有者の行動に付随して同期的に生成される互いに異なる属性の複数の情報である
情報システム。
(6)前記(1)から(4)のうちいずれかに記載の情報システムであって、
前記複数の断片情報が、前記個人情報を構造的に断片化した複数の情報である
情報システム。
(7)前記(6)に記載の情報システムであって、
前記個人情報が所定の桁数を有する数値列であり、前記複数の断片情報が、前記数値列を桁毎の数値に断片化した複数の情報である
情報システム。
(8)前記(1)から(7)のうちいずれかに記載の情報システムであって、
前記ハッシュ値は、権限機関によって公開鍵暗号化されたハッシュ値である
情報システム。
(9)前記(1)から(8)のうちいずれかに記載の情報システムであって、
前記ハッシュ値には、当該ハッシュ値が示す断片情報が保存された前記他の情報システムを特定する識別情報が付加され、
前記制御部は、前記識別情報により特定される前記他の情報システムに、当該ハッシュ値が示す断片情報を要求するように構成された
情報システム。
(10)前記(1)から(8)のうちいずれかに記載の情報システムであって、
前記ハッシュ値は、前記他の情報システム毎に決められたレンジ内で与えられる
情報システム。
(11)前記(1)から(8)のうちいずれかに記載の情報システムであって、
前記制御部は、前記ハッシュ値と前記他の情報システムとのマッピングを管理するリポジトリに問い合わせて、当該ハッシュ値が示す断片情報が保存された他の情報システムを特定するように構成された
情報システム。
(12)情報所有者の個人情報を構成する複数の断片情報を生成し、前記生成される複数の断片情報のハッシュ値を生成し、複数の断片情報およびこれらの断片情報の複数のハッシュ値のうち、1以上の断片情報と当該断片情報以外の1以上の断片情報の1以上のハッシュ値との組み合わせをネットワークを通じて接続された複数の情報システムのうちの1つの情報システムに保存されるように転送し、前記情報システムに保存された1以上のハッシュ値がそれぞれ示す1以上の断片情報を他の1以上の情報システムにそれぞれ分散して保存されるように転送する制御部と
を具備する情報端末。
(13)前記(12)に記載の情報端末であって、
前記制御部は、前記複数の情報システムに、複数の断片情報を分散して保存し、それぞれの情報システム毎に、保存された1以上の断片情報以外のすべての断片情報それぞれのハッシュ値を保存するように構成された
情報端末。
(14)前記(12)または(13)に記載の情報端末であって、
前記制御部は、複数の情報システムにそれぞれ分散して保存する断片情報の種類の決定をグラフィカル・ユーザインタフェースを用いて支援するように構成された
情報端末。
(15)前記(14)に記載の情報端末であって、
前記制御部は、1つの情報システムに保存する複数の種類の断片情報を決定する際、リスク管理上好ましい断片情報の組み合わせに関する情報に基づいて、前記情報所有者の意思決定をグラフィカル・ユーザインタフェースを通して案内するように構成された
情報端末。
(16)制御部が、
情報利用者の端末からの情報要求を受け、個人情報を構成する複数の断片情報のうちの1以上の断片情報と、他の1以上の断片情報をそれぞれ示す1以上のハッシュ値とを保存する保存部から該当する1以上の断片情報および1以上のハッシュ値を取り出し、
前記複数の断片情報のうち前記保存部に保存された断片情報以外の断片情報が保存された他の情報システムに、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報を要求する
情報処理方法。
(17)上記(16)に記載の情報処理方法であって、
前記他の情報システムが複数あり、それぞれの他の情報システムには、前記複数の断片情報のうち前記保存部に保存された断片情報以外のすべての断片情報が分散して保存され、
前記制御部は、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報をそれぞれ前記他の複数の情報システムに要求する
情報処理方法。
(18)前記(16)または(17)に記載の情報処理方法であって、
前記制御部は、前記取り出した1以上の断片情報および前記他の情報システムから取得した1以上の断片情報に基づいて情報処理を行い、その結果を前記情報利用者の端末に応答する
情報処理方法。
(19)前記(16)から(18)のいずれかに記載の情報処理方法であって、
前記制御部は、前記保存部の前記ハッシュ値の漏洩を検出した場合、前記漏洩したハッシュ値が示す断片情報が保存された他の情報システムに対して当該断片情報のアクセス禁止を要求するとともに、前記漏洩したハッシュ値を無効化して新しいハッシュ値に更新する
情報処理方法。
(20)前記(16)から(19)のいずれかに記載の情報処理方法であって、
前記複数の断片情報が、前記情報所有者の行動に付随して同期的に生成される互いに異なる属性の複数の情報である
情報処理方法。
(21)前記(16)から(19)のうちいずれかに記載の情報処理方法であって、
前記複数の断片情報が、前記個人情報を構造的に断片化した複数の情報である
情報処理方法。
(22)前記(21)に記載の情報処理方法であって、
前記個人情報が所定の桁数を有する数値列であり、前記複数の断片情報が、前記数値列を桁毎の数値に断片化した複数の情報である
情報処理方法。
(23)前記(16)から(22)のうちいずれかに記載の情報処理方法であって、
前記ハッシュ値は、権限機関によって公開鍵暗号化されたハッシュ値である
情報処理方法。
(24)前記(16)から(23)のうちいずれかに記載の情報処理方法であって、
前記ハッシュ値には、当該ハッシュ値が示す断片情報が保存された前記他の情報システムを特定する識別情報が付加され、
前記制御部は、前記識別情報により特定される前記他の情報システムに、当該ハッシュ値が示す断片情報を要求する
情報処理方法。
(25)前記(16)から(23)のうちいずれかに記載の情報処理方法であって、
前記ハッシュ値は、前記他の情報システム毎に決められたレンジ内で与えられる
情報処理方法。
(26)前記(16)から(23)のうちいずれかに記載の情報処理方法であって、
前記制御部は、前記ハッシュ値と前記他の情報システムとのマッピングを管理するリポジトリに問い合わせて、当該ハッシュ値が示す断片情報が保存された他の情報システムを特定するように構成された
情報処理方法。
(27)制御部が、情報所有者の個人情報を構成する複数の断片情報を生成し、
前記生成される複数の断片情報のハッシュ値を生成し、複数の断片情報およびこれらの断片情報の複数のハッシュ値のうち、1以上の断片情報と当該断片情報以外の1以上の断片情報の1以上のハッシュ値との組み合わせをネットワークを通じて接続された複数の情報システムのうちの1つの情報システムに保存されるように転送し、前記情報システムに保存された1以上のハッシュ値がそれぞれ示す1以上の情報を他の1以上の情報システムにそれぞれ分散して保存されるように転送する
情報提供方法。
(28)前記(27)に記載の情報提供方法であって、
前記制御部は、前記複数の情報システムに、複数の断片情報を分散して保存し、それぞれの情報システム毎に、保存された1以上の断片情報以外のすべての断片情報それぞれのハッシュ値を保存する
情報提供方法。
(29)前記(27)または(28)に記載の情報提供方法であって、
前記制御部は、複数の情報システムにそれぞれ分散して保存する断片情報の種類の決定をグラフィカル・ユーザインタフェースを用いて支援する
情報提供方法。
(30)前記(29)に記載の情報提供方法であって、
前記制御部は、1つの情報システムに保存する複数の種類の断片情報を決定する際、リスク管理上好ましい断片情報の組み合わせに関する情報に基づいて、前記情報所有者の意思決定をグラフィカル・ユーザインタフェースを通して案内する
情報提供方法。
[Another configuration of the present technology]
The present technology can also be configured as follows.
(1) a storage unit that stores one or more pieces of fragmented information among a plurality of pieces of fragmented information constituting the personal information of an information owner, and one or more hash values that respectively indicate all of the other pieces of fragmented information;
a control unit that receives an information request from an information user, extracts one or more pieces of fragment information and one or more hash values corresponding to the request from the storage unit, and requests one or more pieces of fragment information indicated by the one or more extracted hash values from another information system in which fragment information other than the stored fragment information among the plurality of pieces of fragment information is stored;
An information system having the above.
(2) The information system according to (1) above,
The other information systems include a plurality of the other information systems, and all the fragmented information other than the fragmented information stored in the storage unit among the plurality of fragmented information is stored in a distributed manner in each of the other information systems;
The control unit is configured to request, from the other information systems, one or more pieces of fragment information indicated by the one or more extracted hash values, respectively.
(3) The information system according to (1) or (2),
The control unit is configured to perform information processing based on the extracted one or more pieces of fragmentary information and one or more pieces of fragmentary information acquired from the other information system, and to respond with the result to the terminal of the information user.
(4) The information system according to any one of (1) to (3),
The information system is configured such that, when the control unit detects a leak of the hash value in the storage unit, it requests other information systems in which fragmentary information indicated by the leaked hash value is stored to be prohibited from accessing the fragmentary information, and also invalidates the leaked hash value and updates it to a new hash value.
(5) The information system according to any one of (1) to (4),
The plurality of pieces of information are a plurality of pieces of information having different attributes and which are generated synchronously in association with the actions of the information owner.
(6) The information system according to any one of (1) to (4),
The plurality of pieces of information are pieces of information obtained by structurally fragmenting the personal information.
(7) The information system according to (6),
An information system, wherein the personal information is a numeric string having a predetermined number of digits, and the plurality of pieces of information are pieces of information obtained by fragmenting the numeric string into numeric values for each digit.
(8) The information system according to any one of (1) to (7),
The hash value is a hash value public key encrypted by an authority.
(9) The information system according to any one of (1) to (8),
Identification information for identifying the other information system in which the fragmented information indicated by the hash value is stored is added to the hash value; and
The control unit is configured to request fragment information indicated by the hash value from the other information system identified by the identification information.
(10) The information system according to any one of (1) to (8),
The hash value is given within a range determined for each of the other information systems.
(11) The information system according to any one of (1) to (8),
The control unit is configured to query a repository that manages mapping between the hash value and the other information system, and identify the other information system in which the fragmented information indicated by the hash value is stored.
(12) An information terminal comprising: a control unit that generates multiple pieces of fragment information constituting personal information of an information owner, generates hash values of the multiple pieces of fragment information generated, transfers a combination of one or more pieces of fragment information and one or more hash values of one or more pieces of fragment information other than the multiple pieces of fragment information among the multiple pieces of fragment information and the multiple hash values of the fragment information to be stored in one of multiple information systems connected via a network, and transfers the one or more pieces of fragment information represented by the one or more hash values stored in the information system to be stored in a distributed manner in one or more other information systems.
(13) The information terminal according to (12),
The control unit is configured to store multiple pieces of fragment information in a distributed manner in the multiple information systems, and to store, for each information system, hash values of all pieces of fragment information other than the one or more pieces of fragment information stored therein.
(14) The information terminal according to (12) or (13),
The information terminal is configured such that the control unit uses a graphical user interface to assist in determining the types of fragmented information to be distributed and stored in each of a plurality of information systems.
(15) The information terminal according to (14),
The control unit is configured to guide the information owner's decision-making through a graphical user interface when determining multiple types of fragmentary information to store in one information system, based on information regarding combinations of fragmentary information that are preferable from a risk management perspective.
(16) The control unit
receiving an information request from an information user's terminal, extracting one or more pieces of fragment information and one or more hash values corresponding to the one or more pieces of fragment information constituting the personal information from a storage unit that stores one or more pieces of fragment information and one or more hash values that respectively indicate the other one or more pieces of fragment information;
An information processing method, which requests one or more pieces of fragment information indicated by the one or more extracted hash values from another information system in which fragment information other than the fragment information stored in the storage unit is stored among the plurality of pieces of fragment information.
(17) The information processing method according to (16),
The other information systems include a plurality of the other information systems, and all the fragmented information other than the fragmented information stored in the storage unit among the plurality of fragmented information is stored in a distributed manner in each of the other information systems;
the control unit requests the other information systems to transmit one or more pieces of fragmented information indicated by the one or more extracted hash values, respectively.
(18) The information processing method according to (16) or (17),
The control unit performs information processing based on the one or more pieces of extracted information and one or more pieces of fragmented information acquired from the other information system, and responds with the result of the processing to the terminal of the information user.
(19) The information processing method according to any one of (16) to (18),
When the control unit detects a leak of the hash value in the storage unit, the control unit requests other information systems in which fragmented information indicated by the leaked hash value is stored to prohibit access to the fragmented information, and invalidates the leaked hash value and updates it to a new hash value.
(20) The information processing method according to any one of (16) to (19),
The information processing method, wherein the plurality of pieces of information are a plurality of pieces of information having different attributes and which are generated synchronously in association with the actions of the information owner.
(21) The information processing method according to any one of (16) to (19),
The information processing method, wherein the plurality of pieces of information are pieces of information obtained by structurally fragmenting the personal information.
(22) The information processing method according to (21),
An information processing method, wherein the personal information is a numeric string having a predetermined number of digits, and the plurality of pieces of information are pieces of information obtained by fragmenting the numeric string into numerical values for each digit.
(23) The information processing method according to any one of (16) to (22),
The information processing method, wherein the hash value is a hash value public-key encrypted by an authority.
(24) The information processing method according to any one of (16) to (23),
Identification information for identifying the other information system in which the fragmented information indicated by the hash value is stored is added to the hash value; and
The control unit requests fragment information indicated by the hash value from the other information system identified by the identification information.
(25) The information processing method according to any one of (16) to (23),
The hash value is given within a range determined for each of the other information systems.
(26) The information processing method according to any one of (16) to (23),
The control unit is configured to query a repository that manages mapping between the hash value and the other information system, and identify the other information system in which the fragmented information indicated by the hash value is stored.
(27) The control unit generates a plurality of pieces of information constituting the personal information of the information owner,
An information providing method which generates hash values of the generated fragment information, transfers a combination of one or more fragment information and one or more hash values of one or more fragment information other than the fragment information among the fragment information and the multiple hash values of the fragment information to be stored in one information system out of multiple information systems connected via a network, and transfers one or more pieces of information represented by the one or more hash values stored in the information system to be stored in a distributed manner in one or more other information systems.
(28) The information providing method according to (27),
The control unit distributes and stores multiple pieces of fragmented information in the multiple information systems, and stores hash values of all pieces of fragmented information other than the one or more pieces of fragmented information stored in each information system.
(29) The information providing method according to (27) or (28),
The control unit uses a graphical user interface to assist in determining the types of fragmented information to be distributed and stored in a plurality of information systems.
(30) The information providing method according to (29),
The control unit, when determining multiple types of fragmented information to store in one information system, guides the information owner in making a decision through a graphical user interface based on information regarding combinations of fragmented information that are preferable from a risk management perspective.

U1…情報所有者
U2…情報利用者
1…クラウド
1a…第1の情報システム
1b…第2の情報システム
1c…第3の情報システム
2…所有者端末
3…利用者端末
5…個人情報
10…情報システムの制御部
11…情報受信部
12…情報更新部
13…ハッシュテーブル
14…データベース
15…情報要求受信部
16…情報処理部
17…情報返信部
18…クエリ実施部
19a…他行クエリ送信部
19b…他行データ受信部
19c…クエリ受信部
19d…データ返信部
20…所有者端末の制御部
21…情報生成部
22…情報収集部
23…分散方針決定部
24…情報断片化部
25…ハッシュ生成器
26…情報送信部
31…情報要求送信部
32…情報結果受信部
51…リポジトリ
100…情報銀行システム
U1... Information owner U2... Information user 1... Cloud 1a... First information system 1b... Second information system 1c... Third information system 2... Owner terminal 3... User terminal 5... Personal information 10... Information system control unit 11... Information receiving unit 12... Information updating unit 13... Hash table 14... Database 15... Information request receiving unit 16... Information processing unit 17... Information reply unit 18... Query implementation unit 19a... Other bank query sending unit 19b... Other bank data receiving unit 19c... Query receiving unit 19d... Data reply unit 20... Owner terminal control unit 21... Information generating unit 22... Information collecting unit 23... Distribution policy decision unit 24... Information fragmentation unit 25... Hash generator 26... Information sending unit 31... Information request sending unit 32... Information result receiving unit 51... Repository 100... Information bank system

Claims (14)

情報所有者の個人情報を構成する複数の断片情報のうちの1以上の断片情報と、他のすべての断片情報をそれぞれ示す1以上のハッシュ値とを保存する保存部と、
情報利用者からの情報要求を受け、前記保存部から該当する1以上の断片情報および1以上のハッシュ値を取り出し、前記複数の断片情報のうち前記保存された断片情報以外の断片情報が保存された他の情報システムに、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報を要求する制御部と、
を具備し、
前記他の情報システムが複数あり、それぞれの他の情報システムには、前記複数の断片情報のうち前記保存部に保存された断片情報以外のすべての断片情報が分散して保存され、
前記制御部は、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報をそれぞれ前記他の複数の情報システムに要求するように構成され、
前記制御部は、前記取り出した1以上の断片情報および前記他の情報システムから取得した1以上の断片情報に基づいて情報処理を行い 、その結果を前記情報利用者の端末に応答するように構成され、
前記制御部は、前記保存部の前記ハッシュ値の漏洩を検出した場合、前記漏洩したハッシュ値が示す断片情報が保存された他の情報システムに対して当該断片情報のアクセス禁止を要求するとともに、前記漏洩したハッシュ値を無効化して新しいハッシュ値に更新するように構成された
情報システム。
a storage unit for storing one or more pieces of fragment information among a plurality of pieces of fragment information constituting the personal information of an information owner, and one or more hash values each indicating all the other pieces of fragment information;
a control unit that receives an information request from an information user, extracts one or more pieces of fragment information and one or more hash values corresponding to the request from the storage unit, and requests one or more pieces of fragment information indicated by the one or more extracted hash values from another information system in which fragment information other than the stored fragment information among the plurality of pieces of fragment information is stored;
Equipped with
The other information systems include a plurality of the other information systems, and all the fragmented information other than the fragmented information stored in the storage unit among the plurality of fragmented information is stored in a distributed manner in each of the other information systems;
the control unit is configured to request one or more pieces of fragment information indicated by the one or more extracted hash values, respectively, from the other multiple information systems;
the control unit is configured to perform information processing based on the one or more pieces of extracted information and the one or more pieces of fragmented information acquired from the other information system, and to respond with the result of the processing to the terminal of the information user;
The control unit is configured, when detecting leakage of the hash value of the storage unit, to request another information system in which the fragmented information indicated by the leaked hash value is stored to prohibit access to the fragmented information, and to invalidate the leaked hash value and update it to a new hash value.
Information systems.
請求項1に記載の情報システムであって、
前記複数の断片情報が、前記情報所有者の行動に付随して同期的に生成される互いに異なる属性の複数の情報である
情報システム。
2. The information system of claim 1 ,
The plurality of pieces of information are a plurality of pieces of information having different attributes and which are generated synchronously in association with the actions of the information owner.
請求項1に記載の情報システムであって、
前記複数の断片情報が、前記個人情報を構造的に断片化した複数の情報である
情報システム。
2. The information system of claim 1 ,
The plurality of pieces of information are pieces of information obtained by structurally fragmenting the personal information.
請求項3に記載の情報システムであって、
前記個人情報が所定の桁数を有する数値列であり、前記複数の断片情報が、前記数値列を桁毎の数値に断片化した複数の情報である
情報システム。
4. The information system according to claim 3 ,
An information system, wherein the personal information is a numeric string having a predetermined number of digits, and the plurality of pieces of information are pieces of information obtained by fragmenting the numeric string into numeric values for each digit.
請求項1に記載の情報システムであって、
前記ハッシュ値は、権限機関によって公開鍵暗号化されたハッシュ値である
情報システム。
2. The information system of claim 1 ,
The hash value is a hash value public key encrypted by an authority.
請求項1に記載の情報システムであって、
前記ハッシュ値には、当該ハッシュ値が示す断片情報が保存された前記他の情報システムを特定する識別情報が付加され、
前記制御部は、前記識別情報により特定される前記他の情報システムに、当該ハッシュ値が示す断片情報を要求するように構成された
情報システム。
2. The information system of claim 1 ,
Identification information for identifying the other information system in which the fragmented information indicated by the hash value is stored is added to the hash value; and
The control unit is configured to request fragment information indicated by the hash value from the other information system identified by the identification information.
請求項1に記載の情報システムであって、
前記ハッシュ値は、前記他の情報システム毎に決められたレンジ内で与えられる
情報システム。
2. The information system of claim 1 ,
The hash value is given within a range determined for each of the other information systems.
請求項1に記載の情報システムであって、
前記制御部は、前記ハッシュ値と前記他の情報システムとのマッピングを管理するリポジトリに問い合わせて、当該ハッシュ値が示す断片情報が保存された他の情報システムを特定するように構成された
情報システム。
2. The information system of claim 1 ,
The control unit is configured to query a repository that manages mapping between the hash value and the other information system, and identify the other information system in which the fragmented information indicated by the hash value is stored.
情報所有者の個人情報を構成する複数の断片情報を生成し、前記生成される複数の断片情報のハッシュ値を生成し、複数の断片情報およびこれらの断片情報の複数のハッシュ値のうち、1以上の断片情報と当該断片情報以外の1以上の断片情報の1以上のハッシュ値との組み合わせをネットワークを通じて接続された複数の情報システムのうちの1つの情報システムに保存されるように転送し、前記情報システムに保存された1以上のハッシュ値がそれぞれ示す1以上の断片情報を他の1以上の情報システムにそれぞれ分散して保存されるように転送する制御部と
を具備する情報端末。
and a control unit that generates a plurality of pieces of fragment information constituting the personal information of an information owner, generates hash values of the generated plurality of pieces of fragment information, transfers a combination of one or more pieces of fragment information and one or more hash values of one or more pieces of fragment information other than the plurality of pieces of fragment information among the plurality of pieces of fragment information and the plurality of hash values of the fragment information to be stored in one of a plurality of information systems connected via a network, and transfers the one or more pieces of fragment information respectively indicated by the one or more hash values stored in the information system to be stored in a distributed manner in one or more other information systems.
請求項9に記載の情報端末であって、
前記制御部は、前記複数の情報システムに、複数の断片情報を分散して保存し、それぞれの情報システム毎に、保存された1以上の断片情報以外のすべての断片情報それぞれのハッシュ値を保存するように構成された
情報端末。
10. An information terminal according to claim 9 ,
The control unit is configured to store multiple pieces of fragment information in a distributed manner in the multiple information systems, and to store, for each information system, hash values of all pieces of fragment information other than the one or more pieces of fragment information stored therein.
請求項10に記載の情報端末であって、
前記制御部は、複数の情報システムにそれぞれ分散して保存する断片情報の種類の決定をグラフィカル・ユーザインタフェースを用いて支援するように構成された
情報端末。
An information terminal according to claim 10 ,
The information terminal is configured such that the control unit uses a graphical user interface to assist in determining the types of fragmented information to be distributed and stored in each of a plurality of information systems.
請求項11に記載の情報端末であって、
前記制御部は、1つの情報システムに保存する複数の種類の断片情報を決定する際、リスク管理上好ましい断片情報の組み合わせに関する情報に基づいて、前記情報所有者の意思決定をグラフィカル・ユー ザインタフェースを通して案内するように構成された
情報端末。
12. An information terminal according to claim 11 ,
The control unit is configured to guide the information owner in making a decision through a graphical user interface based on information regarding a combination of fragmented information that is preferable in terms of risk management when determining multiple types of fragmented information to be stored in one information system.
制御部が、
情報利用者の端末からの情報要求を受け、個人情報を構成する複数の断片情報のうちの1以上の断片情報と、他の1以上の断片情報をそ れぞれ示す1以上のハッシュ値とを保存する保存部から該当する1以上の断片情報および1以上のハッシュ値を取り出し、
前記複数の断片情報のうち前記保存部に保存された断片情報以外の断片情報が保存された他の情報システムに、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報を要求し、
前記取り出した1以上の断片情報および前記他の情報システムから取得した1以上の断片情報に基づいて情報処理を行い 、その結果を前記情報利用者の端末に応答し、
前記保存部の前記ハッシュ値の漏洩を検出した場合、前記漏洩したハッシュ値が示す断片情報が保存された他の情報システムに対して当該断片情報のアクセス禁止を要求するとともに、前記漏洩したハッシュ値を無効化して新しいハッシュ値に更新する
情報処理方法。
The control unit:
receiving an information request from an information user's terminal, extracting one or more pieces of fragment information and one or more hash values corresponding to the one or more pieces of fragment information constituting the personal information from a storage unit that stores one or more pieces of fragment information and one or more hash values each representing the other one or more pieces of fragment information;
requesting one or more pieces of fragment information indicated by the one or more extracted hash values from another information system in which fragment information other than the fragment information stored in the storage unit is stored among the plurality of pieces of fragment information;
performing information processing based on the one or more pieces of fragmented information extracted and the one or more pieces of fragmented information acquired from the other information system, and responding with the result of the processing to the terminal of the information user;
When a leak of the hash value of the storage unit is detected, a request is made to another information system in which the fragmented information indicated by the leaked hash value is stored to prohibit access to the fragmented information, and the leaked hash value is invalidated and updated to a new hash value.
Information processing methods.
制御部が、情報所有者の個人情報を構成する複数の断片情報を生成し、
前記生成される複数の断片情報のハッシュ値を生成し、複数の断片情報およびこれらの断片情報の複数のハッシュ値のうち、1以上の断 片情報と当該断片情報以外の1以上の断片情報の1以上のハッシュ値との組み合わせをネットワークを通じて接続された複数の情報システムのうちの1つの情報システムに保存されるように転送し、前記情報システムに保存された1以上のハッシュ値がそれぞれ示す1以上の情報を他の1以上の情報システムにそれぞれ分散して保存されるように転送する
情報提供方法。
A control unit generates a plurality of pieces of information constituting the personal information of the information owner,
a method of providing information, which generates hash values of the generated multiple pieces of fragment information, transfers a combination of one or more pieces of fragment information and one or more hash values of one or more pieces of fragment information other than the multiple pieces of fragment information among the multiple pieces of fragment information and the multiple hash values of the fragment information to be stored in one information system among multiple information systems connected via a network, and transfers one or more pieces of information represented by the one or more hash values stored in the information system to be stored in a distributed manner in one or more other information systems.
JP2021533035A 2019-07-17 2020-07-10 Information system, information terminal, information processing method, and information providing method Active JP7559756B2 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2019132070 2019-07-17
JP2019132070 2019-07-17
PCT/JP2020/027024 WO2021010317A1 (en) 2019-07-17 2020-07-10 Information system, information terminal, information processing method and information providing method

Publications (2)

Publication Number Publication Date
JPWO2021010317A1 JPWO2021010317A1 (en) 2021-01-21
JP7559756B2 true JP7559756B2 (en) 2024-10-02

Family

ID=74210904

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021533035A Active JP7559756B2 (en) 2019-07-17 2020-07-10 Information system, information terminal, information processing method, and information providing method

Country Status (2)

Country Link
JP (1) JP7559756B2 (en)
WO (1) WO2021010317A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7805534B2 (en) * 2024-01-26 2026-01-23 三菱電機株式会社 USE RIGHT PROTECTION DEVICE, USE RIGHT PROTECTION METHOD, USE RIGHT PROTECTION PROGRAM, AND DISTRIBUTED FILE SYSTEM

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006189925A (en) 2004-12-28 2006-07-20 Senken:Kk Private information management system, private information management program, and private information protection method
JP2007334417A (en) 2006-06-12 2007-12-27 Nippon Telegr & Teleph Corp <Ntt> Distributed information sharing method and terminal device
JP2008181213A (en) 2007-01-23 2008-08-07 Fuji Xerox Co Ltd Information management system, information management device, and program

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006189925A (en) 2004-12-28 2006-07-20 Senken:Kk Private information management system, private information management program, and private information protection method
JP2007334417A (en) 2006-06-12 2007-12-27 Nippon Telegr & Teleph Corp <Ntt> Distributed information sharing method and terminal device
JP2008181213A (en) 2007-01-23 2008-08-07 Fuji Xerox Co Ltd Information management system, information management device, and program

Also Published As

Publication number Publication date
WO2021010317A1 (en) 2021-01-21
JPWO2021010317A1 (en) 2021-01-21

Similar Documents

Publication Publication Date Title
US11983298B2 (en) Computer system and method of operating same for handling anonymous data
EP4154153B1 (en) Split keys for wallet recovery
JP7836440B2 (en) Data utilization methods, systems, and programs using BCN (Blockchain Network)
US7905417B2 (en) Blinded electronic medical records
CN104704493B (en) Searchable encrypted data
US8495384B1 (en) Data comparison system
US20240146523A1 (en) Access control using a blockchain identity and policy based authorization
US20190182216A1 (en) System and methods for validating and performing operations on homomorphically encrypted data
CN110309259B (en) Audit result data storage and query methods, and audit item storage method and device
US12602512B2 (en) Data resolution using user domain names
JPWO2018124297A1 (en) Data utilization method, system and program using BCN (block chain network)
KR20020015932A (en) A method for managing card information in a data center
CN1961605A (en) Privacy-preserving information distributing system
WO2002006948A1 (en) Method for protecting the privacy, security, and integrity of sensitive data
JP6545888B1 (en) Information processing system, method of changing public key, and program
US7438233B2 (en) Blinded electronic medical records
CN117786756B (en) Method and system for realizing safe sharing of user patient data based on skin database
Kimura et al. Amazon biobank: Assessing the implementation of a blockchain-based genomic database
JP7559756B2 (en) Information system, information terminal, information processing method, and information providing method
WO2019191579A1 (en) System and methods for recording codes in a distributed environment
WO2020004137A1 (en) Service support system and service support method
JP2016181171A (en) Information processing apparatus, system, method, and program
CN112740249B (en) Digital ticket system and method
JP7460847B1 (en) Information processing system, information processing method, and information processing device.
Thompson et al. A secure decentralized privacy-preserving healthcare system using blockchain

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230607

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240604

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240805

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240820

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240902

R150 Certificate of patent or registration of utility model

Ref document number: 7559756

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150