JP7559756B2 - Information system, information terminal, information processing method, and information providing method - Google Patents
Information system, information terminal, information processing method, and information providing method Download PDFInfo
- Publication number
- JP7559756B2 JP7559756B2 JP2021533035A JP2021533035A JP7559756B2 JP 7559756 B2 JP7559756 B2 JP 7559756B2 JP 2021533035 A JP2021533035 A JP 2021533035A JP 2021533035 A JP2021533035 A JP 2021533035A JP 7559756 B2 JP7559756 B2 JP 7559756B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- pieces
- fragment
- stored
- hash value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/182—Distributed file systems
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
Description
本技術は、個人情報を情報所有者のプライバシーを確保しつつ第3者に提供する情報システム、情報システムに情報所有者の個人情報を提供する情報端末、これらに関連する情報処理方法および情報提供方法に関する。 This technology relates to an information system that provides personal information to a third party while ensuring the privacy of the information owner, an information terminal that provides the information owner's personal information to the information system, and information processing methods and information provision methods related to these.
現状、個人の情報を扱うサービスは、情報所有者より提供される情報の提供をサービス事業者自身が受け、サービス事業者自身がこれを保持し、利用するといった形態をとることが一般的とされる。
このようなサービスの実現を支え得る従来の技術として、データの分散がある。例えば、特許文献1には、個人情報を、その個人を識別可能な氏名などの識別情報と、住所、電話番号、生年月日、年齢、性別、身長、体重などの属性情報とに分割し、さらに識別情報を氏と名に分割し、分割された各情報を別々のデータファイルに分散して記録することによって、いずれかのデータファイルが漏洩しても、1つのデータファイルに記録された情報だけでは有用性を欠くという点から個人情報の保護を図るものである。
また、特許文献2には、個人情報を分割管理サーバの記憶媒体にいくつかの部分に分割して保存するあたり、分割された保存データを保護レベルに応じて、平文、ハッシュ値にして保存することが開示されている。
Currently, services that handle personal information generally operate in a format in which the service provider receives the information provided by the information owner, retains it, and uses it.
Data distribution is a conventional technology that can support the realization of such a service. For example, in
Furthermore,
しかしながら、これまで、本技術のように個人情報を構成する複数の断片情報を、例えば運営主体が異なるような複数の情報システムに分散して保存する技術は知られていない。1つの情報システムのデータベースなどに情報を分散して保存する上記引用文献1,2に代表されるような技術では、例えば、システムへの不正利用者の侵入を万が一許してしまった場合、データベース単位での漏洩が生じるおそれがあり、いくらそのデータベースに分散してデータが保存されていたとしても、いずれ1つの個人情報が復元されてしまうことは時間の問題である。However, to date, no technology has been known that distributes and stores multiple pieces of information that make up personal information across multiple information systems, for example operated by different entities, as in the present technology. With technologies such as those in cited
以上のような事情に鑑み、本技術の目的は、情報漏洩を目的とした不正利用者からの攻撃に対する耐性向上、情報利用者に対する個人情報の公開範囲の調整など、情報を分散して保存管理するシステムの機能的および性能的な向上を図ることのできる情報システム、情報端末、情報処理方法および情報提供方法を提供することにある。 In light of the above circumstances, the objective of this technology is to provide an information system, information terminal, information processing method, and information provision method that can improve the functionality and performance of a system that stores and manages information in a distributed manner, such as improving resistance to attacks from unauthorized users attempting to leak information and adjusting the scope of disclosure of personal information to information users.
上記目的を達成するため、本開示の一形態に係る情報システムは、
情報所有者の個人情報を構成する複数の断片情報のうちの1以上の断片情報と、他のすべての断片情報をそれぞれ示す1以上のハッシュ値とを保存する保存部と、
情報利用者からの情報要求を受け、前記保存部から該当する1以上の断片情報および1以上のハッシュ値を取り出し、前記複数の断片情報のうち前記保存された断片情報以外の断片情報が保存された他の情報システムに、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報を要求する制御部と、を具備する。
In order to achieve the above object, an information system according to an embodiment of the present disclosure includes:
a storage unit for storing one or more pieces of fragment information among a plurality of pieces of fragment information constituting the personal information of an information owner, and one or more hash values each indicating all the other pieces of fragment information;
The information processing system includes a control unit that receives an information request from an information user, extracts one or more corresponding fragment information and one or more hash values from the storage unit, and requests one or more fragment information indicated by the one or more extracted hash values from another information system in which fragment information other than the stored fragment information among the plurality of fragment information is stored.
前記他の情報システムが複数あり、それぞれの他の情報システムには、前記複数の断片情報のうち前記保存部に保存された断片情報以外のすべての断片情報が分散して保存され、前記制御部は、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報をそれぞれ前記他の複数の情報システムに要求するように構成されたものであってよい。There may be a plurality of other information systems, and each of the other information systems may store all of the plurality of fragment information pieces other than the fragment information stored in the storage unit in a distributed manner, and the control unit may be configured to request one or more fragment information pieces indicated by the one or more extracted hash values, respectively, from each of the other information systems.
前記制御部は、前記取り出した1以上の断片情報および前記他の情報システムから取得した1以上の断片情報に基づいて情報処理を行い、その結果を前記情報利用者の端末に応答するように構成されたものであってよい。The control unit may be configured to perform information processing based on the one or more pieces of extracted fragmentary information and the one or more pieces of fragmentary information obtained from the other information system, and to respond with the results to the terminal of the information user.
前記制御部は、前記保存部の前記ハッシュ値の漏洩を検出した場合、前記漏洩したハッシュ値が示す断片情報が保存された他の情報システムに対して当該断片情報のアクセス禁止を要求するとともに、前記漏洩したハッシュ値を無効化して新しいハッシュ値に更新するように構成されたものであってよい。The control unit may be configured, when it detects a leak of the hash value of the storage unit, to request other information systems in which the fragment information indicated by the leaked hash value is stored to be prohibited from accessing the fragment information, and to invalidate the leaked hash value and update it to a new hash value.
前記複数の断片情報が、前記情報所有者の行動に付随して同期的に生成される互いに異なる属性の複数の情報であってよい。The multiple pieces of information may be multiple pieces of information with different attributes that are generated synchronously in conjunction with the actions of the information owner.
前記複数の断片情報は、前記個人情報を構造的に断片化した複数の情報であってよい。 The multiple pieces of fragmented information may be multiple pieces of information that structurally fragment the personal information.
前記個人情報が所定の桁数を有する数値列であり、前記複数の断片情報が、前記数値列を桁毎の数値に断片化した複数の情報であってよい。The personal information may be a numeric string having a predetermined number of digits, and the multiple pieces of fragmented information may be multiple pieces of information obtained by fragmenting the numeric string into numbers for each digit.
前記ハッシュ値は、権限機関によって公開鍵暗号化されたハッシュ値でもよい。 The hash value may be a hash value publicly key encrypted by an authorized authority.
前記ハッシュ値には、当該ハッシュ値が示す断片情報が保存された前記他の情報システムを特定する識別情報が付加され、前記制御部は、前記識別情報により特定される前記他の情報システムに、当該ハッシュ値が示す断片情報を要求するように構成されたものであってもよい。The hash value may be added with identification information that identifies the other information system in which the fragmentary information indicated by the hash value is stored, and the control unit may be configured to request the fragmentary information indicated by the hash value from the other information system identified by the identification information.
前記ハッシュ値は、前記他の情報システム毎に決められたレンジ内で与えられたものであってもよい。The hash value may be given within a range determined for each of the other information systems.
前記制御部は、前記ハッシュ値と前記他の情報システムとのマッピングを管理するリポジトリに問い合わせて、当該ハッシュ値が示す断片情報が保存された他の情報システムを特定するように構成されたものであってよい。The control unit may be configured to query a repository that manages the mapping between the hash value and the other information systems, and identify the other information systems in which the fragmented information indicated by the hash value is stored.
また、本開示に係る情報端末は、情報所有者の個人情報を構成する複数の断片情報を生成し、前記生成される複数の断片情報のハッシュ値を生成し、複数の断片情報およびこれらの断片情報の複数のハッシュ値のうち、1以上の断片情報と当該断片情報以外の1以上の断片情報の1以上のハッシュ値との組み合わせをネットワークを通じて接続された複数の情報システムのうちの1つの情報システムに保存されるように転送し、前記情報システムに保存された1以上のハッシュ値がそれぞれ示す1以上の断片情報を他の1以上の情報システムにそれぞれ分散して保存されるように転送する制御部とを具備する。The information terminal of the present disclosure also includes a control unit that generates multiple pieces of fragment information constituting the personal information of an information owner, generates hash values of the multiple pieces of fragment information generated, transfers a combination of one or more pieces of fragment information and one or more hash values of one or more pieces of fragment information other than the multiple pieces of fragment information among the multiple pieces of fragment information and the multiple hash values of the fragment information to be stored in one of multiple information systems connected via a network, and transfers the one or more pieces of fragment information indicated by the one or more hash values stored in the information system to be stored in a distributed manner in one or more other information systems.
前記情報端末の制御部は、複数の情報システムにそれぞれ分散して保存する情報の種類の決定をグラフィカル・ユーザインタフェースを用いて支援するように構成されてもよい。The control unit of the information terminal may be configured to assist in determining the type of information to be distributed and stored in each of the multiple information systems using a graphical user interface.
また、本開示に係る情報処理方法は、制御部が、情報利用者の端末からの情報要求を受け、個人情報を構成する複数の断片情報のうちの1以上の断片情報と、他の1以上の断片情報をそれぞれ示す1以上のハッシュ値とを保存する保存部から該当する1以上の断片情報および1以上のハッシュ値を取り出し、前記複数の断片情報のうち前記保存部に保存された断片情報以外の断片情報が保存された他の情報システムに、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報を要求する。 In addition, in the information processing method disclosed herein, the control unit receives an information request from an information user's terminal, extracts one or more pieces of fragment information and one or more hash values from a storage unit that stores one or more pieces of fragment information among multiple pieces of fragment information constituting personal information and one or more hash values that respectively indicate the other one or more pieces of fragment information, and requests one or more pieces of fragment information that are respectively indicated by the one or more extracted hash values from another information system in which fragment information among the multiple pieces of fragment information other than the fragment information stored in the storage unit is stored.
また、本開示に係る情報提供方法は、制御部が、情報所有者の個人情報を構成する複数の断片情報を生成し、前記生成される複数の断片情報のハッシュ値を生成し、複数の断片情報およびこれらの断片情報の複数のハッシュ値のうち、1以上の断片情報と当該断片情報以外の1以上の断片情報の1以上のハッシュ値との組み合わせをネットワークを通じて接続された複数の情報システムのうちの1つの情報システムに保存されるように転送し、前記情報システムに保存された1以上のハッシュ値がそれぞれ示す1以上の情報を他の1以上の情報システムにそれぞれ分散して保存されるように転送する。In addition, the information provision method disclosed herein includes a control unit that generates multiple pieces of fragment information constituting the personal information of an information owner, generates hash values for the multiple pieces of fragment information generated, transfers a combination of one or more pieces of fragment information and one or more hash values of one or more pieces of fragment information other than the multiple pieces of fragment information and the multiple hash values of the fragment information to be stored in one of multiple information systems connected via a network, and transfers one or more pieces of information indicated by the one or more hash values stored in the information system to be stored in a distributed manner in one or more other information systems.
以下、本技術に係る実施形態を図面を参照しながら説明する。
<第1の実施形態>
(本実施形態の概要)
本実施形態の情報銀行システム100は、例えば、図1に示すように、クラウド1を構成する複数の運営主体である複数の情報銀行A、B、Cの複数の情報システム1a、1b、1cと、複数の情報システム1a、1b、1cに個人情報が分散保存されるように提供する情報端末である情報所有者U1の端末(以下「所有者端末2」と呼ぶ。)と、複数の情報システム1a、1b、1cに分散保存された個人情報を利用する利用者U2の端末(以下「利用者端末3」と呼ぶ。)と、を含む。ここで、個々の情報システム1a、1b、1cはそれぞれ相互接続された1台以上のサーバ装置などの情報処理装置で構成される。
Hereinafter, an embodiment of the present technology will be described with reference to the drawings.
First Embodiment
(Outline of this embodiment)
1, the
個々の情報システム1a、1b、1cはそれぞれ、情報所有者U1の個人情報を構成する複数の断片情報のうちの1以上の断片情報と、他のすべての断片情報をそれぞれ示す1以上のハッシュ値とを保存するデータベース14と、情報利用者U2からの情報要求を受け、データベース14から該当する1以上の断片情報および1以上のハッシュ値を取り出し、前記複数の断片情報のうち前記保存された断片情報以外の断片情報が保存された他の情報システムに、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報を要求する制御部10と、を具備する。Each of the
図2は、複数の情報システム1a、1b、1cにおける情報分散形態を示す図である。
同図において、A、B、C、D、E、Fのカラムはそれぞれ情報所有者U1の例えば行動に付随して同期的にそれぞれ生成され、ひとまとまりで有意な個人情報5を構成する複数の断片情報である。これらの断片情報A-Fのうち、第1の情報システム1aには、断片情報C、Dと、断片情報A、Bのハッシュ値と、断片情報E、Fのハッシュ値とが1つのレコードとして保存される。第2の情報システム1bには、断片情報A、Bと、断片情報C、Dのハッシュ値と、断片情報E、Fのハッシュ値が1つのレコードとして保存される。そして第3の情報システム1cには、断片情報E、Fと、断片情報A、Bのハッシュ値と、断片情報C、Dのハッシュ値が1つのレコードとして保存される。本明細書では、各情報システム1a、1b、1cに分散して保存された断片情報A-Fは実データであるという意味で「公開情報」と呼び、ハッシュ値は「非公開情報」と呼ぶ場合がある。
FIG. 2 is a diagram showing a form of information distribution in a plurality of
In the figure, columns A, B, C, D, E, and F are multiple pieces of fragmentary information that are generated synchronously in association with, for example, the actions of the information owner U1, and that constitute a single set of significant
所有者端末2は、例えば購買行為に付随する商品情報、金額などの決済情報、心拍数、血圧、呼吸数などの生体情報、さらには、時刻情報、位置情報(緯度・経度)などの様々な情報を、個人情報5を構成する複数の断片情報A、B、C、D、E、Fとして生成し、情報システムa1、b1、c1毎の保存用レコードを生成して、各情報システムa1、b1、c1に送信する制御部20を有する。The
利用者端末3は、認証を通してログインした例えば第1の情報システム1aなどに情報の取得を要求し、第1の情報システム1aが、1以上の情報システムから収集した複数の断片情報、あるいは収集された複数の断片情報に基づく情報を受信する。受信した情報は、利用者端末3の保存部に保存され、例えばディスプレイ等を通して情報利用者U2に提示される。The
利用者端末3からの情報取得要求を受けた第1の情報システム1aの制御部10は、自システム内のデータベース14に公開情報として保存された1以上の断片情報の他、アクセスが認可された他の情報システム1b、1cのそれぞれのデータベース14に公開情報として保存された1以上の断片情報を、第1の情報システム1aのデータベース14から取得したハッシュ値に基づいて他の情報システム1b、1cに要求することによってそれぞれ取得することができる。The
これに対して、不正な情報利用者による一部の情報システムへの攻撃による不正侵入によって、その情報システムに開示情報として保存された断片情報の漏洩が生じたとしても、漏洩した断片情報は情報所有者U1の個人情報5を構成する複数の断片情報の一部に過ぎないため、被害を低く抑えることができる。また、ハッシュ値が示す断片情報は別の情報システムに保存されているので、不正な情報利用者は、その情報システムにも攻撃行為を通じて侵入を図る必要がある。On the other hand, even if an unauthorized intrusion by an unauthorized information user into an information system results in the leakage of fragmentary information stored as disclosure information in that information system, the damage can be kept low because the leaked fragmentary information is only a part of the multiple fragmentary information that make up
(情報銀行システムの機能構成)
図3は情報銀行システム100を構成する各機器の構成を示すブロック図である。
なお、同図では、紙面サイズの制約から、情報システムについては第1の情報システム1aと第2の情報システム1bのみを示し、第3の情報システム1cの図示は省かれている。
(Functional configuration of the information bank system)
FIG. 3 is a block diagram showing the configuration of each device that constitutes the
In addition, due to limitations of paper size, in the figure, only the
(所有者端末2の構成)
所有者端末2は、例えばスマートホン、タブレット端末、時計型・腕輪型・ブレスレット型などのウエラブル機器など、情報所有者U1が携帯可能な機器である。所有者端末2は、CPU、ROM、RAM、通信装置、ディスプレイ、ユーザ入力部などの典型的なコンピュータのハードウェア要素、プログラムなどのソフトウェア要素を備える。RAMには、上記のプログラムが格納され、CPUはこのプログラムを実行するための各種の演算処理を実行する。また、所有者端末2は、情報所有者U1の生体情報を生成する各種の生体センサー、位置情報を得ることが可能なGPSユニット、その他、個人情報の生成に必要な検出器や測定器などを備える。
(Configuration of Owner Terminal 2)
The
所有者端末2は、制御部20を有する。制御部20は、1以上の情報生成部21、情報収集部22、分散方針決定部23、情報断片化部24、ハッシュ生成器25、情報送信部26を含む。
情報生成部21は、上記の生体センサー、GPSユニット、その他の検出器や測定器の出力から生体情報、位置情報、時刻情報、その他、インターネット上での購買行為に付随する決済情報等を生成する。これらの断片情報は、情報所有者U1の行動に付随して同期的に生成される互いに異なる属性の複数の情報という事ができる。
情報収集部22は、1以上の情報生成部21で生成される複数の情報のなかから分散方針に従って複数の種類の情報を選択し、個人情報5を構成する複数の断片情報として収集する。
The
The
The
分散方針決定部23は、情報生成部21によって得られる複数の情報のうち、情報収集部22の収集対象とする情報の種類、その情報をどの情報銀行(情報システム)に預けるか、といった分散方針をグラフィカルなユーザインタフェースを用いて情報所有者U1に決定してもらう。分散方針決定部23は、さらに、情報生成部21により生成される情報をさらに複数の情報に断片化する方針の決定をも支援する。例えば、GPSユニットにより得られた位置情報は緯度と経度に断片化することなどが可能である。The distribution
情報断片化部24は、分散方針に従って特定の種類の情報の断片化を行う。
ここで、情報収集部22によって分散方針に従って収集された複数の種類の情報および収集された情報の一部を情報断片化部24によってさらに断片化した複数の情報を、本明細書では「個人情報5を構成する複数の断片情報」と呼ぶ。
The
Here, the multiple types of information collected by the
ハッシュ生成器25は、断片情報のハッシュ値を算出する。
情報送信部26は、情報銀行の情報システムのデータベース14に公開情報として登録される1以上の断片情報と、非公開情報として登録される1以上のハッシュ値を含む情報銀行毎の第1のレコードを分散方針に従って第1の情報システム1a、第2の情報システム1b、第3の情報システム1cに送信する。このときそれぞれのハッシュ値には、対象の断片情報の保存先の情報銀行を識別する銀行IDが付加される。さらに、情報送信部26は、上記第1のレコードとともに、第1のレコードに含まれる1以上の断片情報それぞれのハッシュ値を含む情報銀行毎の第2のレコードを生成して、第1のレコードの送信先と同じ情報システム1a、1b、1cに送信する。
The
The
(情報システムの構成)
情報システム1a、1b、1cはそれぞれ1以上のサーバ装置などで構成される。情報システム1a、1b、1cは、所有者端末2および利用者端末3からクラウド1として利用される。上記のサーバ装置には、データベース用のストレージデバイスがローカル接続、あるいはネットワークを通じて接続される。サーバ装置は、典型的なコンピュータのハードウェア要素と、情報システムとしてコンピュータを動作させるためのプログラムなどのソフトウェア要素を有する。コンピュータのハードウェア要素には、例えば、CPU、ROM、RAM、ユーザインタフェース用の入力装置およびディスプレイ、通信装置、ストレージとのインタフェースなどが含まれる。RAMには、上記のプログラムが格納され、CPUはこのプログラムを実行するための各種の演算処理を実行する。
(Information System Configuration)
Each of the
情報システム1a、1b、1cは、制御部10を有する。制御部10は、情報受信部11、情報更新部12、ハッシュテーブル13、データベース14、情報要求受信部15、情報処理部16、情報返信部17、クエリ実施部18、他行クエリ送信部19a、他行データ受信部19b、クエリ受信部19c、データ返信部19dを有する。情報システム1a、1b、1cの構成は同じであってよい。
The
これらの機能ブロックにおいて、情報受信部11、情報更新部12、ハッシュテーブル13、データベース14は、所有者端末2から送信される情報をデータベース14に登録する動作に関与する。
すなわち、情報受信部11は、所有者端末2から送信された1以上の断片情報および1以上のハッシュ値を含む第1のレコードと、データベース14に保存される1以上の断片情報にそれぞれ対応するハッシュ値を含む第2のレコードを受信する。
In these functional blocks, the
That is, the
情報更新部12は、情報受信部11にて受信した第1のレコードをデータベース14に保存する。
ハッシュテーブル13には、情報受信部11にて受信した第2のレコードに含まれる1以上のハッシュ値、すなわちデータベース14に保存された1以上の断片情報にそれぞれ対応する1以上のハッシュ値と、データベース14に保存された1以上の断片情報を特定するインデックスキーとの対応表が登録される。
The
The hash table 13 registers a correspondence table between one or more hash values included in the second record received by the
情報システム1a、1b、1cにおける機能ブロックにおいて、情報要求受信部15、情報処理部16、情報返信部17、クエリ実施部18、他行クエリ送信部19a、他行データ受信部19b、クエリ受信部19c、データ返信部19dは、利用者端末3からの情報要求を処理する動作に関与する。
情報要求受信部15は、利用者端末3からの情報取得要求を受信する。
クエリ実施部18は、情報要求受信部15にて受信した情報取得要求に基づいてデータベース14から該当するレコードを取り出し、取り出したレコード中の1以上の断片情報を情報処理部16に供給する。また、クエリ実施部18は、データベース14から取り出されたレコード中の1以上のハッシュ値を他行クエリ送信部19aに供給する。
In the functional blocks of the
The information
The
他行クエリ送信部19aは、上記ハッシュ値を含むクエリを生成し、ハッシュ値に付加された銀行IDが示す他情報銀行の情報システムに送信する。
クエリ受信部19cは、自情報銀行宛のハッシュ値を含むクエリを受信する。
クエリ実施部18は、クエリ受信部19cにて受信したクエリに含まれるハッシュ値に対応するインデックスキーをハッシュテーブル13から検索し、このインデックスキーに基づいてデータベース14より該当する断片情報を取り出す。
データ返信部19dは、データベース14より取り出された断片情報をクエリ送信元の情報銀行の情報システムに返信する。
他行データ受信部19bは、クエリ送信先の情報システムから返信された断片情報を受信して、情報処理部16に供給する。
情報処理部16は、クエリ実施部18および他行データ受信部19bにて得た複数の断片情報に対して予め決められた情報処理を行う。
情報返信部17は、情報処理部16による複数の断片情報に対する処理結果のレポートを利用者端末3からの情報取得要求に対する応答として返信する。
The other-bank
The
The
The data reply
The other row
The
The
(利用者端末3の構成)
利用者端末3は、例えばスマートホン、タブレット端末、パーソナルコンピュータなどの情報処理装置である。利用者端末3は、CPU、ROM、RAM、通信装置、ディスプレイ、ユーザ入力部などの典型的なコンピュータのハードウェア要素、プログラムなどのソフトウェア要素を備える。RAMには、上記のプログラムが格納され、CPUはこのプログラムを実行するための各種の演算処理を実行する。
(Configuration of user terminal 3)
The
利用者端末3は、機能的には、情報要求送信部31、情報結果受信部32を有し、さらに図示を省略したが、情報結果受信部32にて受信した情報結果を保存する保存部と、情報結果を情報利用者U2に提示する表示部を備えるものであってよい。
情報要求送信部31は、情報銀行システム100の任意の第1の情報銀行の情報システム1aに情報結果を要求する。
情報結果受信部32は、利用者端末3から第1の情報システム1aに送信した情報要求に対して第1の情報システム1aが自身を含む1以上の情報システムより収集した1以上の断片情報に基づく処理結果のレポートを受信し、保存部に保存したり、表示部に出力する。
Functionally, the
The information
The information result receiving
<動作の説明>
次に、本実施形態の情報銀行システム100の動作を説明する。
(1.情報保存時の動作)
図4は本実施形態の情報銀行システム100における情報保存時の動作シーケンスである。
所有者端末2の各情報生成部21において情報所有者U1の生体情報、決済情報、位置情報、時刻情報などの情報が生成される(S1)。情報収集部22は、情報生成部21により生成された情報を収集する(S2)。
初回の情報収集に際して分散方針決定部23が起動される。分散方針決定部23は、生成される複数の情報においてどの情報をひとまとまりの個人情報5を構成する複数の断片情報として収集するか、収集した複数の断片情報をどのような組み合わせで複数の情報銀行に公開情報として分散して保存するかといった分散方式を情報所有者U1からの入力等によって決定し、決定された分散方式に関する情報を更新用ハッシュデータベース14aに登録する(S3)。この分散方針の決定ステップは、初回時あるいは分散方式に変更があるときのみ行われ、その他の場合にはステップされる。
<Explanation of operation>
Next, the operation of the
(1. Operation when saving information)
FIG. 4 shows an operation sequence for storing information in the
Each
The distribution
(分散方式の決定について)
ここで、分散方式の決定方法について説明を補足する。
情報所有者U1の情報を複数の情報銀行に公開情報としてどのような組み合わせで分散して保存するかは、情報漏洩によるリスクの大きさを考慮して決めることが望ましい。その決定は情報所有者U1自身が行うか、あるいは所有者端末2にリスク管理上好ましい情報の組み合わせに関する情報をプリセットしておき、このプリセット情報に基づいて情報所有者U1の意思決定をユーザインタフェース上でガイドするようにしてもよい。あるいは、リスク管理上好ましい情報の組み合わせに関するお薦めの情報を管理するリポジトリへ問い合わせて、情報所有者U1の指定条件に合ったお薦めの組み合わせの紹介を受けるようにしてもよい。さらに、お薦めの組み合わせを情報所有者U1自身がカスタマイズして使用するようにしてもよい。
(Decision on the distribution method)
Here, a supplementary explanation will be given regarding the method for determining the distribution method.
It is desirable to decide in what combination the information of the information owner U1 is to be distributed and stored as public information in a plurality of information banks, taking into consideration the magnitude of the risk of information leakage. The decision may be made by the information owner U1 himself, or information regarding information combinations preferable from the viewpoint of risk management may be preset in the
図5は所有者端末2の表示画面Dに表示される分散方式決定用のユーザインタフェースの例を示す図である。このユーザインタフェースは、情報銀行の選択領域41と断片情報の種別の選択領域42とを有する。情報銀行の選択領域41には、情報銀行毎のアイコン43、44、45が配置され、断片情報の種別の選択領域42にも断片情報の種別毎のアイコン46,47、48、49が配置される。そして情報所有者U1が情報銀行の選択領域41と断片情報の種別の選択領域42との間で互いに関連付けたいアイコン同士をドラッグすることなどによって情報銀行(情報システム)とこれに保存する断片情報の種別との紐付けを行うことができる。例えば、図5の例では、買い物に関する決済情報と時刻情報を情報銀行A(第1の情報システム1a)へ、位置情報を情報銀行B(第2の情報システム1b)へ、心拍数情報を情報銀行C(第3の情報システム1c)へそれぞれ公開情報として保存するといった分散方針が決定される。
Figure 5 is a diagram showing an example of a user interface for determining a distribution method displayed on the display screen D of the
分散方式の決定の際、所有者端末2の分散方針決定部23は、1つの情報銀行に保存するように選択された複数の断片情報が漏洩した場合のリスク評価を行い、その結果を情報所有者U1にフィードバックしてもよい。情報所有者U1はリスク評価のフィードバックから分散方式を再検討し、リスクがより低い分散方針への変更をユーザインタフェースを使って指定することができる。また、分散方式を決定するときだけではなく、既に決定され、運用が始まっている分散方式についてもリスク評価を行って、情報所有者U1にその結果を提示するようにしてもよい。
さらに、所有者端末2の分散方針決定部23は、リスク最小の断片情報の組み合わせを算出し、ユーザインタフェースを通じて情報所有者U1に推奨するようにしてもよい。
When deciding on a distribution method, the distribution
Furthermore, the distribution
例えば、仮に決済情報と時刻情報が開示情報として保存された第1の情報システム1aから上記の断片情報が漏洩したとしても、決済が行われる場所(位置情報)に関する情報が得られない以上、漏洩情報が悪用される可能性は低くなる。よって、決済情報および時刻情報と、位置情報は別々の自用法システムに保存されることが望ましい。また、高額の決済時には人の心拍数が上がることが多いことが知られており、高額決済が心拍数から特定されないように、決済情報と心拍数情報は別々の情報システムに保存されることが望ましい。For example, even if the above fragmentary information were to leak from the
図4の動作説明に戻って、分散方式が決定された以降、情報収集部22は、その分散方式に従って、情報生成部21により生成された複数の情報のなかから断片情報として収集する情報を選択し(S2)、情報断片化部24に供給する。情報断片化部24は、情報収集部22により収集された断片情報のハッシュ値をハッシュ生成器25を用いて生成する。
なお、情報断片化部24は、決められた分散方式に従って、情報収集部22により収集された特定の種類の断片情報例えば緯度と経度とで構成される位置情報などを、さらに複数の断片情報例えば緯度情報と経度情報とに断片化して、それぞれのハッシュ値をハッシュ生成器25を用いて生成する(S4)。
4, after the distribution method is determined, the
In addition, the
次に、情報送信部26が、情報断片化部24により生成された複数の断片情報および複数のハッシュ値から分散方針に従って情報銀行毎のデータベース保存用の第1のレコードとハッシュテーブル更新用の第2のレコードを生成し、各情報システム1a、1b、1cに送信する(S5)。Next, the
第1の情報システム1aは、情報受信部11にて所有者端末2からの上記第1のレコードおよび第2のレコードを受信すると(S6)、情報更新部12によって第2のレコードに含まれるハッシュ値がハッシュテーブル13に登録され(S7)、さらに、受信した第1のレコードの内容がデータベース14に登録される(S8)。さらに情報更新部12によって、ハッシュテーブル13には、データベース14に公開情報として登録された断片情報を特定するインデックスキーが登録済みのハッシュ値に対応付けて記録される。その他の情報システム1b、1cにおいても同様に所有者端末2から受信した第1のレコードおよび第2のレコードの内容に基づいてハッシュテーブル13およびデータベース14が更新される。When the
(2.情報利用者U2による情報要求時の動作)
図6は情報利用者U2による情報要求時の動作シーケンスを示す図である。
利用者端末3の情報利用者U2は、情報所有者U1からの許諾を受けた条件下で、第1の情報システム1aの認証を受け、認証トークンを保有した状態で第1の情報システム1aへのアクセスを開始する。第1の情報システム1aは、認証トークンをもったアクセスを許容する。このような一定のコンテキストをもった一連の情報アクセスをまとめてここではセッションと呼ぶ。また、情報利用者U2は、情報所有者U1からの許諾をもとに第2の情報システム1bおよび第3の情報システム1cがそれぞれ保有する情報に対するアクセス権を示す認可トークンを得ることができる。第1の情報システム1aは、認可トークンがあることを条件に、その認可トークンの対象である情報システムからハッシュ値によって断片情報を取得することができる。例えば、情報利用者U2が、第2の情報システム1bおよび第3の情報システム1cがそれぞれ保有する断片情報に対するそれぞれの認可トークンを所持しているならば、第1の情報システム1aは、第2の情報システム1bおよび第3の情報システム1cからハッシュ値による断片情報の取得を実行する。しかし、情報利用者U2が、第2の情報システム1bが保有する断片情報に対する認可トークンしか所持していないならば、第1の情報システム1aは、第2の情報システム1bからのハッシュ値による断片情報の取得のみを実行する。以下、情報利用者U2が、第2の情報システム1bおよび第3の情報システム1cがそれぞれ保有する断片情報に対するそれぞれの認可トークンを有することを前提に情報利用者U2からの情報要求時の動作を説明する。
(2. Actions taken when an information consumer U2 requests information)
FIG. 6 is a diagram showing an operation sequence when an information user U2 makes an information request.
The information user U2 of the
利用者端末3の情報要求送信部31は、第1の情報システム1aに、情報所有者U1の個人情報5に関する情報取得要求を送信する(S11)。第1の情報システム1aは、情報要求受信部15にてこの情報取得要求を受信すると、クエリ実施部18に情報取得要求を供給する(S12)。クエリ実施部18は、情報取得要求に基づいてデータベース14から該当するレコードを取り出し(S13)、取り出したレコード中の1以上の断片情報を情報処理部16に供給する(S14)。また、クエリ実施部18は、当該レコード中の1以上のハッシュ値を他行クエリ送信部19aに供給する(S15)。The information
他行クエリ送信部19aは、クエリ実施部18より供給されたハッシュ値を含むクエリを、当該ハッシュ値に付加された銀行IDに該当する情報銀行の情報システムに送信する(S16)。ここで、そのハッシュ値を含むクエリが第2の情報システム1bに送信された場合を説明する。The other bank
第2の情報システム1bは、クエリ受信部19cにてハッシュ値を含むクエリを受信して自情報システム1b内のクエリ実施部18に供給する(S17)。クエリ実施部18は、ハッシュテーブル13から当該クエリに含まれるハッシュ値に対応する断片情報をデータベース14から引き当てるためのインデックスキーを取り出し、クエリ実施部18に供給する(S18)。クエリ実施部18は、このインデックスキーをキーにデータベース14より該当する断片情報を取り出す(S19)。データベース14から取り出された断片情報は、データ返信部19dによって第1の情報システム1aに返信される(S20、S21)。The
第1の情報システム1aは、他行データ受信部19bにて情報システム1bから返信された断片情報を受信してクエリ実施部18に供給する。他行データ受信部19bからクエリ実施部18に供給された断片情報は、クエリ実施部18から情報処理部16に供給される(S14)。The
なお、S13でデータベース14から取り出されたレコードから第3の情報システム1cに保存された断片情報のハッシュ値が取り出された場合には、クエリ実施部18は、第3の情報システム1cにそのハッシュ値を含むクエリを送信する。これにより、第3の情報システム1cから該当する断片情報が第1の情報システム1aに返信される。このようにして、複数の情報システム1a、1b、1cに分散して保存された個人情報5を構成する複数の断片情報が第1の情報システム1aに揃い集められる。
When the hash value of the fragmentary information stored in the
第1の情報システム1aの情報処理部16は、上記のように複数の情報システム1a、1b、1cから揃い集めた断片情報を処理して、処理結果であるレポートを生成する(S22)。生成されたレポートは、情報返信部17によって利用者端末3に送信され(S23)、利用者端末3の情報結果受信部32にて受信される(S24)。The
(認可トークンとレポートとの関係) (Relationship between authorization tokens and reports)
情報利用者U2に提供されるレポートのソースとなる断片情報の種類は、その情報利用者U2が所有する認可トークンの種類によって制限され得る。
例えば、情報利用者U2が第2の情報システム1bの断片情報に対する認可トークンと第3の情報システム1cの保有する断片情報に対する認可トークンの両方を所有しない場合、第1の情報システム1aは自身のデータベース14に開示情報として保存されている断片情報の範囲で情報処理を実行する。例えば、自身のデータベース14に決済情報と時刻情報が保存されている場合、客単価の高い時刻や購買数の多い時間帯に関するレポートなどが作成される。
The type of fragmented information that is the source of the report provided to the information consumer U2 may be restricted by the type of authorization token that the information consumer U2 possesses.
For example, if the information user U2 does not possess both an authorization token for the fragmentary information of the
一方、情報利用者U2が第2の情報システム1bの断片情報に対する認可トークンと第3の情報システム1cの断片情報に対する認可トークンを所有する場合には、第1の情報システム1aは自身のデータベース14に開示情報として保存されている断片情報とともに、第2の情報システム1bおよび第3の情報システム1cにそれぞれ開示情報として保存されている断片情報に基づいて情報処理を行った結果をレポートとして作成することができる。例えば、第2の情報システム1bには位置情報が、第3の情報システム1cには心拍数情報が保存されている場合、第1の情報システム1aは、決済金額の大きい地域や、購入者の心拍数と決済額の相関といった、より高度な情報レポートを作成することができる。On the other hand, if information user U2 possesses an authorization token for the fragmentary information of the
このように第1の情報システム1aに収集された複数の断片情報は、情報処理部16において例えば統計処理された結果などとして情報利用者U2へ提供されるので、複数の断片情報をそのまま情報利用者U2へ提供する場合に比べて、情報所有者個人のブラバイシーを守る上で有効である。
In this way, the multiple pieces of fragmentary information collected in the
上記の情報利用者U2による情報要求時の動作例では、利用者端末3の情報利用者U2は、第1の情報システム1aの認証を受け、認証トークンを保有した状態で第1の情報システム1aへのアクセスを開始する場合について説明した。しかし、本実施形態の情報銀行システム100では、それぞれの情報システム1a、1b、1cのデータベース14に、個人情報5を構成する複数の断片情報が分散して保存され、さらに、個人情報5を構成する複数の断片情報のうち自情報システムに保存された断片情報以外のすべての断片情報のハッシュ値が保存されている。したがって、利用者端末3の情報利用者U2は、第2の情報システム1bの認証を受け、認証トークンを保有した状態で第2の情報システム1bへのアクセスを開始したり、第3の情報システム1cの認証を受け、認証トークンを保有した状態で第3の情報システム1cへのアクセスを開始することによっても、第1の情報システム1aへのアクセスを開始した場合と同様に各情報システム1a、1b、1cのデータベース14に開示情報として分散保存された複数の断片情報をアクセス開始元の情報システムに集めて情報処理を行うことができる。In the above example of operation when the information user U2 requests information, the information user U2 of the
<第1の変形例>
上記の第1の実施形態では、個人情報を構成する複数の断片情報の公開情報を複数の情報システムに均等な数で分散して預ける場合を示した。しかし、複数の断片情報を複数の情報システムにどのような数の割合で分散するかは任意に決めることができる。
<First Modification>
In the above first embodiment, the public information of a plurality of pieces of fragmented information constituting personal information is distributed equally among a plurality of information systems and deposited. However, the ratio of the number of pieces of fragmented information to be distributed among the plurality of information systems can be determined arbitrarily.
図7は複数の情報システム1a、1b、1c間で不均等な数の割合で断片情報を保存する一例を示している。この例では、個人情報を構成する6つの断片情報A、B、C、D、E、Fのうち、第1の情報システム1aに4つの断片情報B、C、D、Eが保存され、第3の情報システム1cに1つの断片情報Aが保存され、第3の情報システム1cに1つの断片情報Fが保存される。ハッシュ値については、第1の情報システム1aに2つの断片情報A、Fのハッシュ値が保存され、第2の情報システム1bに5つの断片情報B、C、D、E、Fのハッシュ値が保存され、第3の情報システム1cに5つの断片情報A、B、C、D、Eのハッシュ値が保存される。このように各情報システム1a、1b、1cに不均一な数の断片情報の保存を許容することによって、自情報システムに情報を誘引する競争力が生まれ、情報利用者U2に提供される情報の寄与度に応じた便益を運営主体が得られるような仕組みの導入との組み合わせによって、情報銀行システム100全体の規模、サービス、信頼性の向上が期待できる。
Figure 7 shows an example in which fragment information is stored in unequal numbers among
<第2の変形例>
上記第1の実施形態では、例えばセンサーの出力のデータなど、単体でも何らかの意味が分かるデータを1つの断片情報として扱うこととした。しかし、1つの断片情報であっても漏洩によって大きな損害が生じる場合も考えられる。
<Second Modification>
In the first embodiment, data that can be understood by itself, such as sensor output data, is treated as one piece of fragmentary information. However, even if it is just one piece of fragmentary information, there may be a case where leakage of the information may cause a great deal of damage.
そこで個々の断片情報を、構造的にさらに細かい情報に断片化して、それぞれ複数の情報システムに分散して保存するようにしてもよい。
図8は個々の断片情報A、B、Cがそれぞれ3桁の数値列である場合に、その数値列の各桁毎の値を3つの情報システム1a、1b、1cに分散して保存した例である。この例では、断片情報A、B、Cそれぞれの3桁の数値列のうち1桁目の数値が第1の情報システム1aに公開情報として保存され、2桁目の数値が第2の情報システム1bに公開情報として保存され、3桁目の数値が第3の情報システム1cに公開情報として保存される。第1の情報システム1aには、さらに、2桁目と3桁目の数値のハッシュ値が保存され、第2の情報システム1bには、さらに、1桁目と3桁目の数値のハッシュ値が保存され、第3の情報システム1cには、さらに、1桁目と2桁目の数値のハッシュ値が保存される。
Therefore, each piece of information may be structurally divided into smaller pieces of information, and each piece of information may be distributed and stored in a plurality of information systems.
8 shows an example in which each of the fragment information A, B, and C is a three-digit numeric string, and the values of each digit of the numeric string are distributed and stored in three
このように断片情報を構造的にさらに細かい複数の情報に断片化して複数の情報システム1a、1b、1cに分散して保存し、各々の情報システム1a、1b、1cにおいて、公開情報部分以外の部分の情報をハッシュ値として保存したことによって、断片情報の単位での漏洩のリスクを低減できる。In this way, the fragmented information is structurally fragmented into multiple pieces of smaller information and stored in a distributed manner across
なお、この変形例では、個人情報5を構成する複数の断片情報を複数の情報システム1a、1b、1cに分散して保存する必要はない。
In addition, in this modified example, there is no need to distribute and store multiple fragmentary pieces of information that make up
<第3の変形例>
上記第1の実施形態では、情報システムから攻撃行為によってハッシュ値が漏洩した場合、そのハッシュ値を使った他の情報システムへの不正アクセスによって他の情報システムに保存された断片情報までもが漏洩してしまう可能性を必ずしも否定できない。そこで、情報システムの制御部10が、自情報システムからのハッシュ値の漏洩を検出したならば、漏洩したハッシュ値が示す断片情報が保存された他の情報システムに対して、該当する断片情報のアクセス禁止を要求するとともに、自情報システムに登録されたハッシュ値を無効化して新しいハッシュ値に更新する。
<Third Modification>
In the first embodiment, if a hash value is leaked from an information system due to an attack, the possibility cannot be denied that the fragmented information stored in another information system may also be leaked due to unauthorized access to the other information system using the hash value. Therefore, when the
例えば、図9Aに示すように、3つの情報システム1a、1b、1cのなかの1つの第3の情報システム1cに対する攻撃によって断片情報A、B、C、Dへのハッシュ値が漏洩したとする。第3の情報システム1cの制御部10は、このハッシュ値漏洩を検出すると、直ちに他の情報システム1a、1bに、漏洩したハッシュ値が示す断片情報に対するアクセスの失効(Revocation)を要求する。第1の情報システム1aの制御部10は、この失効(Revocation)要求に応じて、図9Bに示すように、漏洩したハッシュ値が示す断片情報C、Dへのアクセスを禁止状態にする。同様に、第2の情報システム1bの制御部10も、失効(Revocation)要求に応じて、図9Bに示すように、漏洩したハッシュ値が示す断片情報A、Bへのアクセスを禁止状態にする。続いて、第3の情報システム1cの制御部10は、図9Cに示すように、漏洩したハッシュ値に代わる新たなハッシュ値(NEW_HASH)を生成し、この新たなハッシュ値(NEW_HASH)を漏洩した古いハッシュ値と入れ替え、この新たなハッシュ値(NEW_HASH)を含むリハッシュ要求を第1の情報銀行システムと第2の情報システム1bにそれぞれ送信する。第1の情報銀行システムと第2の情報システム1bのそれぞれの制御部10は、リハッシュ要求を受けると、このリハッシュ要求に含まれる新たなハッシュ値(NEW_HASH)で自身のハッシュテーブル13をそれぞれ更新する。For example, as shown in FIG. 9A, assume that hash values for fragment information A, B, C, and D are leaked due to an attack on one of three
これにより、情報システムから漏洩したハッシュ値による他の情報システムからの断片情報漏洩を防止することができる。 This makes it possible to prevent fragmented information from being leaked from other information systems due to hash values leaked from one information system.
<第4の変形例>
情報銀行毎に預けられた断片情報を指定するハッシュ値は、情報銀行毎に決められた権限機関による公開鍵暗号化が行われたものとしてもよい。
例えば図10に示すように、第1の情報システム1aには個人情報を構成する複数の断片情報C、D、E、Fのうちの断片情報C、Dが保存され、第3の情報システム1cには複数の断片情報E、Fが保存され、さらに第1の情報システム1aには第3の情報システム1cに保存された断片情報E、Fのハッシュ値が保存され、第3の情報システム1cには第1の情報システム1aに保存された断片情報C、Dのハッシュ値が保存されているものとする。
ここで、断片情報C、Dのハッシュ値は機関Xによる公開鍵暗号化が施され、断片情報E、Fのハッシュ値は機関Yによる公開鍵暗号化が施される。このため、第3の情報システム1cから第1の情報システム1aに対し、断片情報C、Dをハッシュ値で取得するためには、暗号化されたハッシュ値(Coded_HASH)が機関Xによって復号されなければならない。同様に、第1の情報システム1aから第3の情報システム1cに対し、断片情報E、Fをハッシュ値で取得するためには、その暗号化されたハッシュ値(Coded_HASH)が機関Yによって復号されなければならない。
<Fourth Modification>
The hash value specifying the fragment of information deposited for each information bank may be public key encrypted by an authority determined for each information bank.
For example, as shown in FIG. 10, the
Here, the hash values of the fragment information C and D are public key encrypted by the institution X, and the hash values of the fragment information E and F are public key encrypted by the institution Y. Therefore, in order to obtain the fragment information C and D as hash values from the
これにより、漏洩したハッシュ値を用いた断片情報の不正取得に対する耐性をより一層強化することができる。さらに、一度復号化されたハッシュ値は無効化されるように、各機関X、Yで改めて公開鍵暗号化が行われた新たなハッシュ値を生成して、各情報システム1a、1cのデータベース14およびハッシュテーブル13を更新してもよい。This makes it possible to further strengthen resistance to unauthorized acquisition of fragmentary information using leaked hash values. Furthermore, to invalidate hash values that have been decrypted once, each institution X and Y may generate new hash values that have been public-key encrypted, and use the new hash values to update the
<第5の変形例>
ハッシュ値に対して、該当する断片情報を保有する情報システムを特定する方法として、上記第1の実施形態では、ハッシュ値に銀行IDを付加する方法を採用したが、予め情報システム毎にハッシュ値のレンジを決めておく方法も考えられる。
さらに、図11に示すように、ハッシュ値またはハッシュ値レンジと銀行とのマッピングを管理するリポジトリ51を用意し、各情報システムが、他情報システムにハッシュ値を用いて断片情報を要求する都度、リポジトリ51に、そのハッシュ値に対応する情報システムを問い合わせる方法がある。
<Fifth Modification>
In the first embodiment described above, a method of adding a bank ID to a hash value was adopted as a method for identifying an information system that holds the corresponding fragment information based on a hash value. However, it is also possible to consider a method in which a range of hash values is determined in advance for each information system.
Furthermore, as shown in FIG. 11, a
<第6の変形例>
所有者端末2に、複数の情報システムに分散して保存した複数の断片情報のハッシュ値を保持する機能を設けることによって、各情報システムに保存された断片情報を更新したい場合に、第5の変形例で挙げたリポジトリ51に対し、ハッシュ値を用いて断片情報を要求する先の情報システムを問い合わせ、その情報システムに対して、ハッシュ値を指定してデータベース14の断片情報の更新を行うようにしてもよい。
<Sixth Modification>
By providing the
<第7の変形例>
上記の第1の実施形態では、図2に示したように、複数の情報システム1a、1b、1cに情報所有者U1の個人情報5を構成する複数の断片情報A-Fのうち、第1の情報システム1aには、断片情報C、Dと、断片情報A、Bのハッシュ値と、断片情報E、Fのハッシュ値とが1つのレコードとして保存され、第2の情報システム1bには、断片情報A、Bと、断片情報C、Dのハッシュ値と、断片情報E、Fのハッシュ値が1つのレコードとして保存され、第3の情報システム1cには、断片情報E、Fと、断片情報A、Bのハッシュ値と、断片情報C、Dのハッシュ値が1つのレコードとして保存されることとした。これは、情報利用者U2が、どの情報システム1a、1b、1cに対するアクセスを開始しても、個人情報5を構成するすべての断片情報A-Fをアクセス開始先の情報システムで揃い集めることができるためである。これに対し、例えばアクセス開始先の情報システムが固定されるような場合、例えば、第3の情報システム1cが情報利用者U2からの情報要求を受けることが決められているような場合には、例えば、図12に示すように、ハッシュ値については、第3の情報システム1cにだけ保存し、他の情報システム1a、1bには断片情報だけを保存するようにしてもよい。また、このような保存方針を所有者端末2において決定できるようにしてもよい。
<Seventh Modification>
In the first embodiment described above, as shown in Fig. 2, among the multiple pieces of fragment information A-F constituting the
(本開示の情報銀行システムの効果)
以上のように、本技術の情報銀行システム100によれば、個人情報を構成する複数の断片情報を複数の情報システムへ分散して保存するため、仮に不正な情報利用者による一部の情報システムへの攻撃による不正侵入によって、その情報システムに開示情報として保存された断片情報の漏洩が生じたとしても、漏洩した断片情報は個人情報5を構成する複数の断片情報の一部に過ぎないため、被害を低く抑えることができる。また、ハッシュ値が示す断片情報は別の情報システムに保存されているので、不正な情報利用者は、その情報システムにも攻撃行為を通じて侵入を図る必要がある。これにより、情報漏洩耐性の高い情報銀行システムが得られる。
(Effects of the information bank system disclosed herein)
As described above, according to the
情報の利用を情報システム単位で認可することによって情報の開示範囲を制御することができる。さらに、所有者端末2で決定される分散方針によって、各情報システムに公開情報として保存する断片情報の種別の組み合わせを、万が一情報が漏洩しても情報所有者U1が実効的な被害を被らないように定めることができる。例えば、購入情報、位置情報、時間情報が存在する場合において、位置情報と時刻情報が1つの情報システムに保存されることは、万が一これらの情報が漏洩した場合に情報所有者U1のプライバシーが損なわれる可能性があるので、このような組み合わせを避けるように情報利用者U2は所有者端末2上で分散方針を決定することができる。
The scope of information disclosure can be controlled by authorizing the use of information on an information system basis. Furthermore, the distribution policy determined by the
一方、情報システムは、情報所有者U1によって情報公開の認可が情報システム単位で制限されていたとしても、情報公開が認可された断片情報の範囲で統計的な処理を通して有益な情報を生成し、情報利用者U2に提供することができる。例えば、購入情報、位置情報、時間情報が存在する場合において、位置情報を保存する情報システムの開示情報の利用を情報所有者U1が認可していなくも、購入情報と時間情報を保存する他の情報システムの開示情報の利用を情報所有者U1が認可している場合には、情報処理部16によって、商品の売れる時間帯の分析などの情報処理を行い得る。あるいは、位置情報を保存する情報システムの開示情報の利用のみを情報所有者U1が認可している場合には、情報処理部16によって、人口分析などの情報処理を行い得る。On the other hand, even if the information owner U1 restricts the authorization for information disclosure on an information system basis, the information system can generate useful information through statistical processing within the scope of fragmentary information for which information disclosure has been authorized, and provide it to the information user U2. For example, in a case where purchase information, location information, and time information exist, even if the information owner U1 has not authorized the use of the disclosure information of the information system that stores the location information, if the information owner U1 has authorized the use of the disclosure information of another information system that stores the purchase information and time information, the
権限機関によるハッシュ値の公開鍵暗号化により、たとえば、裁判所の開示命令がなければ、権限機関より権限の低い利用者はすべての情報にアクセスすることはできない、といった堅牢性が実現される。 Public key encryption of the hash value by the authorized authority provides robustness, such as ensuring that users with less authority than the authorized authority cannot access all of the information unless a court orders disclosure.
本開示の情報銀行システム100はゴミ収集機関によるゴミ出しの中身を情報化するシステムへの応用も考えられる。個人が出したゴミには個人情報が多く含まれており、ゴミの情報と個人情報とを複数の情報システムに分散して保存することによって、個人のプライバシーを保護しつつ、例えばゴミ収集機関と警察の双方の許諾がそろった条件で、悪質なゴミだしをした個人を特定することができる。The
リポジトリ51を介することで、情報銀行の新規参入や撤退、合従連衡といった動的な変化に対してハッシュ値を作り直すことなく、より迅速な対応が可能になる。またこれらの変化に伴う情報システム間での保有情報の移行も可能である。情報システムの構成が変わらない場合でも、情報システム間の保有情報の取引も同様に可能になる。
By using
断片情報の分散方針は、センサーなどのデバイスごとのプリセットに基づいて行うことができる。この場合、漏洩時のリスクが大きくなるような情報の組み合わせを避けるように、デバイスベンダと情報システムの運営主体との協議によって断片情報の最適な保存先を決めるようにしてもよい。 The distribution policy for fragmented information can be based on a preset for each device, such as a sensor. In this case, the optimal storage destination for fragmented information can be determined through discussion between the device vendor and the operator of the information system, in order to avoid combinations of information that would increase the risk of leakage.
[本技術の別の構成]
なお、本技術は以下のような構成も採ることができる。
(1)情報所有者の個人情報を構成する複数の断片情報のうちの1以上の断片情報と、他のすべての断片情報をそれぞれ示す1以上のハッシュ値とを保存する保存部と、
情報利用者からの情報要求を受け、前記保存部から該当する1以上の断片情報および1以上のハッシュ値を取り出し、前記複数の断片情報のうち前記保存された断片情報以外の断片情報が保存された他の情報システムに、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報を要求する制御部と、
を具備する情報システム。
(2)上記(1)に記載の情報システムであって、
前記他の情報システムが複数あり、それぞれの他の情報システムには、前記複数の断片情報のうち前記保存部に保存された断片情報以外のすべての断片情報が分散して保存され、
前記制御部は、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報をそれぞれ前記他の複数の情報システムに要求するように構成された
情報システム。
(3)前記(1)または(2)に記載の情報システムであって、
前記制御部は、前記取り出した1以上の断片情報および前記他の情報システムから取得した1以上の断片情報に基づいて情報処理を行い、その結果を前記情報利用者の端末に応答するように構成された
情報システム。
(4)前記(1)から(3)のいずれかに記載の情報システムであって、
前記制御部は、前記保存部の前記ハッシュ値の漏洩を検出した場合、前記漏洩したハッシュ値が示す断片情報が保存された他の情報システムに対して当該断片情報のアクセス禁止を要求するとともに、前記漏洩したハッシュ値を無効化して新しいハッシュ値に更新するように構成された
情報システム。
(5)前記(1)から(4)のいずれかに記載の情報システムであって、
前記複数の断片情報が、前記情報所有者の行動に付随して同期的に生成される互いに異なる属性の複数の情報である
情報システム。
(6)前記(1)から(4)のうちいずれかに記載の情報システムであって、
前記複数の断片情報が、前記個人情報を構造的に断片化した複数の情報である
情報システム。
(7)前記(6)に記載の情報システムであって、
前記個人情報が所定の桁数を有する数値列であり、前記複数の断片情報が、前記数値列を桁毎の数値に断片化した複数の情報である
情報システム。
(8)前記(1)から(7)のうちいずれかに記載の情報システムであって、
前記ハッシュ値は、権限機関によって公開鍵暗号化されたハッシュ値である
情報システム。
(9)前記(1)から(8)のうちいずれかに記載の情報システムであって、
前記ハッシュ値には、当該ハッシュ値が示す断片情報が保存された前記他の情報システムを特定する識別情報が付加され、
前記制御部は、前記識別情報により特定される前記他の情報システムに、当該ハッシュ値が示す断片情報を要求するように構成された
情報システム。
(10)前記(1)から(8)のうちいずれかに記載の情報システムであって、
前記ハッシュ値は、前記他の情報システム毎に決められたレンジ内で与えられる
情報システム。
(11)前記(1)から(8)のうちいずれかに記載の情報システムであって、
前記制御部は、前記ハッシュ値と前記他の情報システムとのマッピングを管理するリポジトリに問い合わせて、当該ハッシュ値が示す断片情報が保存された他の情報システムを特定するように構成された
情報システム。
(12)情報所有者の個人情報を構成する複数の断片情報を生成し、前記生成される複数の断片情報のハッシュ値を生成し、複数の断片情報およびこれらの断片情報の複数のハッシュ値のうち、1以上の断片情報と当該断片情報以外の1以上の断片情報の1以上のハッシュ値との組み合わせをネットワークを通じて接続された複数の情報システムのうちの1つの情報システムに保存されるように転送し、前記情報システムに保存された1以上のハッシュ値がそれぞれ示す1以上の断片情報を他の1以上の情報システムにそれぞれ分散して保存されるように転送する制御部と
を具備する情報端末。
(13)前記(12)に記載の情報端末であって、
前記制御部は、前記複数の情報システムに、複数の断片情報を分散して保存し、それぞれの情報システム毎に、保存された1以上の断片情報以外のすべての断片情報それぞれのハッシュ値を保存するように構成された
情報端末。
(14)前記(12)または(13)に記載の情報端末であって、
前記制御部は、複数の情報システムにそれぞれ分散して保存する断片情報の種類の決定をグラフィカル・ユーザインタフェースを用いて支援するように構成された
情報端末。
(15)前記(14)に記載の情報端末であって、
前記制御部は、1つの情報システムに保存する複数の種類の断片情報を決定する際、リスク管理上好ましい断片情報の組み合わせに関する情報に基づいて、前記情報所有者の意思決定をグラフィカル・ユーザインタフェースを通して案内するように構成された
情報端末。
(16)制御部が、
情報利用者の端末からの情報要求を受け、個人情報を構成する複数の断片情報のうちの1以上の断片情報と、他の1以上の断片情報をそれぞれ示す1以上のハッシュ値とを保存する保存部から該当する1以上の断片情報および1以上のハッシュ値を取り出し、
前記複数の断片情報のうち前記保存部に保存された断片情報以外の断片情報が保存された他の情報システムに、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報を要求する
情報処理方法。
(17)上記(16)に記載の情報処理方法であって、
前記他の情報システムが複数あり、それぞれの他の情報システムには、前記複数の断片情報のうち前記保存部に保存された断片情報以外のすべての断片情報が分散して保存され、
前記制御部は、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報をそれぞれ前記他の複数の情報システムに要求する
情報処理方法。
(18)前記(16)または(17)に記載の情報処理方法であって、
前記制御部は、前記取り出した1以上の断片情報および前記他の情報システムから取得した1以上の断片情報に基づいて情報処理を行い、その結果を前記情報利用者の端末に応答する
情報処理方法。
(19)前記(16)から(18)のいずれかに記載の情報処理方法であって、
前記制御部は、前記保存部の前記ハッシュ値の漏洩を検出した場合、前記漏洩したハッシュ値が示す断片情報が保存された他の情報システムに対して当該断片情報のアクセス禁止を要求するとともに、前記漏洩したハッシュ値を無効化して新しいハッシュ値に更新する
情報処理方法。
(20)前記(16)から(19)のいずれかに記載の情報処理方法であって、
前記複数の断片情報が、前記情報所有者の行動に付随して同期的に生成される互いに異なる属性の複数の情報である
情報処理方法。
(21)前記(16)から(19)のうちいずれかに記載の情報処理方法であって、
前記複数の断片情報が、前記個人情報を構造的に断片化した複数の情報である
情報処理方法。
(22)前記(21)に記載の情報処理方法であって、
前記個人情報が所定の桁数を有する数値列であり、前記複数の断片情報が、前記数値列を桁毎の数値に断片化した複数の情報である
情報処理方法。
(23)前記(16)から(22)のうちいずれかに記載の情報処理方法であって、
前記ハッシュ値は、権限機関によって公開鍵暗号化されたハッシュ値である
情報処理方法。
(24)前記(16)から(23)のうちいずれかに記載の情報処理方法であって、
前記ハッシュ値には、当該ハッシュ値が示す断片情報が保存された前記他の情報システムを特定する識別情報が付加され、
前記制御部は、前記識別情報により特定される前記他の情報システムに、当該ハッシュ値が示す断片情報を要求する
情報処理方法。
(25)前記(16)から(23)のうちいずれかに記載の情報処理方法であって、
前記ハッシュ値は、前記他の情報システム毎に決められたレンジ内で与えられる
情報処理方法。
(26)前記(16)から(23)のうちいずれかに記載の情報処理方法であって、
前記制御部は、前記ハッシュ値と前記他の情報システムとのマッピングを管理するリポジトリに問い合わせて、当該ハッシュ値が示す断片情報が保存された他の情報システムを特定するように構成された
情報処理方法。
(27)制御部が、情報所有者の個人情報を構成する複数の断片情報を生成し、
前記生成される複数の断片情報のハッシュ値を生成し、複数の断片情報およびこれらの断片情報の複数のハッシュ値のうち、1以上の断片情報と当該断片情報以外の1以上の断片情報の1以上のハッシュ値との組み合わせをネットワークを通じて接続された複数の情報システムのうちの1つの情報システムに保存されるように転送し、前記情報システムに保存された1以上のハッシュ値がそれぞれ示す1以上の情報を他の1以上の情報システムにそれぞれ分散して保存されるように転送する
情報提供方法。
(28)前記(27)に記載の情報提供方法であって、
前記制御部は、前記複数の情報システムに、複数の断片情報を分散して保存し、それぞれの情報システム毎に、保存された1以上の断片情報以外のすべての断片情報それぞれのハッシュ値を保存する
情報提供方法。
(29)前記(27)または(28)に記載の情報提供方法であって、
前記制御部は、複数の情報システムにそれぞれ分散して保存する断片情報の種類の決定をグラフィカル・ユーザインタフェースを用いて支援する
情報提供方法。
(30)前記(29)に記載の情報提供方法であって、
前記制御部は、1つの情報システムに保存する複数の種類の断片情報を決定する際、リスク管理上好ましい断片情報の組み合わせに関する情報に基づいて、前記情報所有者の意思決定をグラフィカル・ユーザインタフェースを通して案内する
情報提供方法。
[Another configuration of the present technology]
The present technology can also be configured as follows.
(1) a storage unit that stores one or more pieces of fragmented information among a plurality of pieces of fragmented information constituting the personal information of an information owner, and one or more hash values that respectively indicate all of the other pieces of fragmented information;
a control unit that receives an information request from an information user, extracts one or more pieces of fragment information and one or more hash values corresponding to the request from the storage unit, and requests one or more pieces of fragment information indicated by the one or more extracted hash values from another information system in which fragment information other than the stored fragment information among the plurality of pieces of fragment information is stored;
An information system having the above.
(2) The information system according to (1) above,
The other information systems include a plurality of the other information systems, and all the fragmented information other than the fragmented information stored in the storage unit among the plurality of fragmented information is stored in a distributed manner in each of the other information systems;
The control unit is configured to request, from the other information systems, one or more pieces of fragment information indicated by the one or more extracted hash values, respectively.
(3) The information system according to (1) or (2),
The control unit is configured to perform information processing based on the extracted one or more pieces of fragmentary information and one or more pieces of fragmentary information acquired from the other information system, and to respond with the result to the terminal of the information user.
(4) The information system according to any one of (1) to (3),
The information system is configured such that, when the control unit detects a leak of the hash value in the storage unit, it requests other information systems in which fragmentary information indicated by the leaked hash value is stored to be prohibited from accessing the fragmentary information, and also invalidates the leaked hash value and updates it to a new hash value.
(5) The information system according to any one of (1) to (4),
The plurality of pieces of information are a plurality of pieces of information having different attributes and which are generated synchronously in association with the actions of the information owner.
(6) The information system according to any one of (1) to (4),
The plurality of pieces of information are pieces of information obtained by structurally fragmenting the personal information.
(7) The information system according to (6),
An information system, wherein the personal information is a numeric string having a predetermined number of digits, and the plurality of pieces of information are pieces of information obtained by fragmenting the numeric string into numeric values for each digit.
(8) The information system according to any one of (1) to (7),
The hash value is a hash value public key encrypted by an authority.
(9) The information system according to any one of (1) to (8),
Identification information for identifying the other information system in which the fragmented information indicated by the hash value is stored is added to the hash value; and
The control unit is configured to request fragment information indicated by the hash value from the other information system identified by the identification information.
(10) The information system according to any one of (1) to (8),
The hash value is given within a range determined for each of the other information systems.
(11) The information system according to any one of (1) to (8),
The control unit is configured to query a repository that manages mapping between the hash value and the other information system, and identify the other information system in which the fragmented information indicated by the hash value is stored.
(12) An information terminal comprising: a control unit that generates multiple pieces of fragment information constituting personal information of an information owner, generates hash values of the multiple pieces of fragment information generated, transfers a combination of one or more pieces of fragment information and one or more hash values of one or more pieces of fragment information other than the multiple pieces of fragment information among the multiple pieces of fragment information and the multiple hash values of the fragment information to be stored in one of multiple information systems connected via a network, and transfers the one or more pieces of fragment information represented by the one or more hash values stored in the information system to be stored in a distributed manner in one or more other information systems.
(13) The information terminal according to (12),
The control unit is configured to store multiple pieces of fragment information in a distributed manner in the multiple information systems, and to store, for each information system, hash values of all pieces of fragment information other than the one or more pieces of fragment information stored therein.
(14) The information terminal according to (12) or (13),
The information terminal is configured such that the control unit uses a graphical user interface to assist in determining the types of fragmented information to be distributed and stored in each of a plurality of information systems.
(15) The information terminal according to (14),
The control unit is configured to guide the information owner's decision-making through a graphical user interface when determining multiple types of fragmentary information to store in one information system, based on information regarding combinations of fragmentary information that are preferable from a risk management perspective.
(16) The control unit
receiving an information request from an information user's terminal, extracting one or more pieces of fragment information and one or more hash values corresponding to the one or more pieces of fragment information constituting the personal information from a storage unit that stores one or more pieces of fragment information and one or more hash values that respectively indicate the other one or more pieces of fragment information;
An information processing method, which requests one or more pieces of fragment information indicated by the one or more extracted hash values from another information system in which fragment information other than the fragment information stored in the storage unit is stored among the plurality of pieces of fragment information.
(17) The information processing method according to (16),
The other information systems include a plurality of the other information systems, and all the fragmented information other than the fragmented information stored in the storage unit among the plurality of fragmented information is stored in a distributed manner in each of the other information systems;
the control unit requests the other information systems to transmit one or more pieces of fragmented information indicated by the one or more extracted hash values, respectively.
(18) The information processing method according to (16) or (17),
The control unit performs information processing based on the one or more pieces of extracted information and one or more pieces of fragmented information acquired from the other information system, and responds with the result of the processing to the terminal of the information user.
(19) The information processing method according to any one of (16) to (18),
When the control unit detects a leak of the hash value in the storage unit, the control unit requests other information systems in which fragmented information indicated by the leaked hash value is stored to prohibit access to the fragmented information, and invalidates the leaked hash value and updates it to a new hash value.
(20) The information processing method according to any one of (16) to (19),
The information processing method, wherein the plurality of pieces of information are a plurality of pieces of information having different attributes and which are generated synchronously in association with the actions of the information owner.
(21) The information processing method according to any one of (16) to (19),
The information processing method, wherein the plurality of pieces of information are pieces of information obtained by structurally fragmenting the personal information.
(22) The information processing method according to (21),
An information processing method, wherein the personal information is a numeric string having a predetermined number of digits, and the plurality of pieces of information are pieces of information obtained by fragmenting the numeric string into numerical values for each digit.
(23) The information processing method according to any one of (16) to (22),
The information processing method, wherein the hash value is a hash value public-key encrypted by an authority.
(24) The information processing method according to any one of (16) to (23),
Identification information for identifying the other information system in which the fragmented information indicated by the hash value is stored is added to the hash value; and
The control unit requests fragment information indicated by the hash value from the other information system identified by the identification information.
(25) The information processing method according to any one of (16) to (23),
The hash value is given within a range determined for each of the other information systems.
(26) The information processing method according to any one of (16) to (23),
The control unit is configured to query a repository that manages mapping between the hash value and the other information system, and identify the other information system in which the fragmented information indicated by the hash value is stored.
(27) The control unit generates a plurality of pieces of information constituting the personal information of the information owner,
An information providing method which generates hash values of the generated fragment information, transfers a combination of one or more fragment information and one or more hash values of one or more fragment information other than the fragment information among the fragment information and the multiple hash values of the fragment information to be stored in one information system out of multiple information systems connected via a network, and transfers one or more pieces of information represented by the one or more hash values stored in the information system to be stored in a distributed manner in one or more other information systems.
(28) The information providing method according to (27),
The control unit distributes and stores multiple pieces of fragmented information in the multiple information systems, and stores hash values of all pieces of fragmented information other than the one or more pieces of fragmented information stored in each information system.
(29) The information providing method according to (27) or (28),
The control unit uses a graphical user interface to assist in determining the types of fragmented information to be distributed and stored in a plurality of information systems.
(30) The information providing method according to (29),
The control unit, when determining multiple types of fragmented information to store in one information system, guides the information owner in making a decision through a graphical user interface based on information regarding combinations of fragmented information that are preferable from a risk management perspective.
U1…情報所有者
U2…情報利用者
1…クラウド
1a…第1の情報システム
1b…第2の情報システム
1c…第3の情報システム
2…所有者端末
3…利用者端末
5…個人情報
10…情報システムの制御部
11…情報受信部
12…情報更新部
13…ハッシュテーブル
14…データベース
15…情報要求受信部
16…情報処理部
17…情報返信部
18…クエリ実施部
19a…他行クエリ送信部
19b…他行データ受信部
19c…クエリ受信部
19d…データ返信部
20…所有者端末の制御部
21…情報生成部
22…情報収集部
23…分散方針決定部
24…情報断片化部
25…ハッシュ生成器
26…情報送信部
31…情報要求送信部
32…情報結果受信部
51…リポジトリ
100…情報銀行システム
U1... Information owner U2...
Claims (14)
情報利用者からの情報要求を受け、前記保存部から該当する1以上の断片情報および1以上のハッシュ値を取り出し、前記複数の断片情報のうち前記保存された断片情報以外の断片情報が保存された他の情報システムに、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報を要求する制御部と、
を具備し、
前記他の情報システムが複数あり、それぞれの他の情報システムには、前記複数の断片情報のうち前記保存部に保存された断片情報以外のすべての断片情報が分散して保存され、
前記制御部は、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報をそれぞれ前記他の複数の情報システムに要求するように構成され、
前記制御部は、前記取り出した1以上の断片情報および前記他の情報システムから取得した1以上の断片情報に基づいて情報処理を行い 、その結果を前記情報利用者の端末に応答するように構成され、
前記制御部は、前記保存部の前記ハッシュ値の漏洩を検出した場合、前記漏洩したハッシュ値が示す断片情報が保存された他の情報システムに対して当該断片情報のアクセス禁止を要求するとともに、前記漏洩したハッシュ値を無効化して新しいハッシュ値に更新するように構成された
情報システム。 a storage unit for storing one or more pieces of fragment information among a plurality of pieces of fragment information constituting the personal information of an information owner, and one or more hash values each indicating all the other pieces of fragment information;
a control unit that receives an information request from an information user, extracts one or more pieces of fragment information and one or more hash values corresponding to the request from the storage unit, and requests one or more pieces of fragment information indicated by the one or more extracted hash values from another information system in which fragment information other than the stored fragment information among the plurality of pieces of fragment information is stored;
Equipped with
The other information systems include a plurality of the other information systems, and all the fragmented information other than the fragmented information stored in the storage unit among the plurality of fragmented information is stored in a distributed manner in each of the other information systems;
the control unit is configured to request one or more pieces of fragment information indicated by the one or more extracted hash values, respectively, from the other multiple information systems;
the control unit is configured to perform information processing based on the one or more pieces of extracted information and the one or more pieces of fragmented information acquired from the other information system, and to respond with the result of the processing to the terminal of the information user;
The control unit is configured, when detecting leakage of the hash value of the storage unit, to request another information system in which the fragmented information indicated by the leaked hash value is stored to prohibit access to the fragmented information, and to invalidate the leaked hash value and update it to a new hash value.
Information systems.
前記複数の断片情報が、前記情報所有者の行動に付随して同期的に生成される互いに異なる属性の複数の情報である
情報システム。 2. The information system of claim 1 ,
The plurality of pieces of information are a plurality of pieces of information having different attributes and which are generated synchronously in association with the actions of the information owner.
前記複数の断片情報が、前記個人情報を構造的に断片化した複数の情報である
情報システム。 2. The information system of claim 1 ,
The plurality of pieces of information are pieces of information obtained by structurally fragmenting the personal information.
前記個人情報が所定の桁数を有する数値列であり、前記複数の断片情報が、前記数値列を桁毎の数値に断片化した複数の情報である
情報システム。 4. The information system according to claim 3 ,
An information system, wherein the personal information is a numeric string having a predetermined number of digits, and the plurality of pieces of information are pieces of information obtained by fragmenting the numeric string into numeric values for each digit.
前記ハッシュ値は、権限機関によって公開鍵暗号化されたハッシュ値である
情報システム。 2. The information system of claim 1 ,
The hash value is a hash value public key encrypted by an authority.
前記ハッシュ値には、当該ハッシュ値が示す断片情報が保存された前記他の情報システムを特定する識別情報が付加され、
前記制御部は、前記識別情報により特定される前記他の情報システムに、当該ハッシュ値が示す断片情報を要求するように構成された
情報システム。 2. The information system of claim 1 ,
Identification information for identifying the other information system in which the fragmented information indicated by the hash value is stored is added to the hash value; and
The control unit is configured to request fragment information indicated by the hash value from the other information system identified by the identification information.
前記ハッシュ値は、前記他の情報システム毎に決められたレンジ内で与えられる
情報システム。 2. The information system of claim 1 ,
The hash value is given within a range determined for each of the other information systems.
前記制御部は、前記ハッシュ値と前記他の情報システムとのマッピングを管理するリポジトリに問い合わせて、当該ハッシュ値が示す断片情報が保存された他の情報システムを特定するように構成された
情報システム。 2. The information system of claim 1 ,
The control unit is configured to query a repository that manages mapping between the hash value and the other information system, and identify the other information system in which the fragmented information indicated by the hash value is stored.
を具備する情報端末。 and a control unit that generates a plurality of pieces of fragment information constituting the personal information of an information owner, generates hash values of the generated plurality of pieces of fragment information, transfers a combination of one or more pieces of fragment information and one or more hash values of one or more pieces of fragment information other than the plurality of pieces of fragment information among the plurality of pieces of fragment information and the plurality of hash values of the fragment information to be stored in one of a plurality of information systems connected via a network, and transfers the one or more pieces of fragment information respectively indicated by the one or more hash values stored in the information system to be stored in a distributed manner in one or more other information systems.
前記制御部は、前記複数の情報システムに、複数の断片情報を分散して保存し、それぞれの情報システム毎に、保存された1以上の断片情報以外のすべての断片情報それぞれのハッシュ値を保存するように構成された
情報端末。 10. An information terminal according to claim 9 ,
The control unit is configured to store multiple pieces of fragment information in a distributed manner in the multiple information systems, and to store, for each information system, hash values of all pieces of fragment information other than the one or more pieces of fragment information stored therein.
前記制御部は、複数の情報システムにそれぞれ分散して保存する断片情報の種類の決定をグラフィカル・ユーザインタフェースを用いて支援するように構成された
情報端末。 An information terminal according to claim 10 ,
The information terminal is configured such that the control unit uses a graphical user interface to assist in determining the types of fragmented information to be distributed and stored in each of a plurality of information systems.
前記制御部は、1つの情報システムに保存する複数の種類の断片情報を決定する際、リスク管理上好ましい断片情報の組み合わせに関する情報に基づいて、前記情報所有者の意思決定をグラフィカル・ユー ザインタフェースを通して案内するように構成された
情報端末。 12. An information terminal according to claim 11 ,
The control unit is configured to guide the information owner in making a decision through a graphical user interface based on information regarding a combination of fragmented information that is preferable in terms of risk management when determining multiple types of fragmented information to be stored in one information system.
情報利用者の端末からの情報要求を受け、個人情報を構成する複数の断片情報のうちの1以上の断片情報と、他の1以上の断片情報をそ れぞれ示す1以上のハッシュ値とを保存する保存部から該当する1以上の断片情報および1以上のハッシュ値を取り出し、
前記複数の断片情報のうち前記保存部に保存された断片情報以外の断片情報が保存された他の情報システムに、前記取り出した1以上のハッシュ値がそれぞれ示す1以上の断片情報を要求し、
前記取り出した1以上の断片情報および前記他の情報システムから取得した1以上の断片情報に基づいて情報処理を行い 、その結果を前記情報利用者の端末に応答し、
前記保存部の前記ハッシュ値の漏洩を検出した場合、前記漏洩したハッシュ値が示す断片情報が保存された他の情報システムに対して当該断片情報のアクセス禁止を要求するとともに、前記漏洩したハッシュ値を無効化して新しいハッシュ値に更新する
情報処理方法。 The control unit:
receiving an information request from an information user's terminal, extracting one or more pieces of fragment information and one or more hash values corresponding to the one or more pieces of fragment information constituting the personal information from a storage unit that stores one or more pieces of fragment information and one or more hash values each representing the other one or more pieces of fragment information;
requesting one or more pieces of fragment information indicated by the one or more extracted hash values from another information system in which fragment information other than the fragment information stored in the storage unit is stored among the plurality of pieces of fragment information;
performing information processing based on the one or more pieces of fragmented information extracted and the one or more pieces of fragmented information acquired from the other information system, and responding with the result of the processing to the terminal of the information user;
When a leak of the hash value of the storage unit is detected, a request is made to another information system in which the fragmented information indicated by the leaked hash value is stored to prohibit access to the fragmented information, and the leaked hash value is invalidated and updated to a new hash value.
Information processing methods.
前記生成される複数の断片情報のハッシュ値を生成し、複数の断片情報およびこれらの断片情報の複数のハッシュ値のうち、1以上の断 片情報と当該断片情報以外の1以上の断片情報の1以上のハッシュ値との組み合わせをネットワークを通じて接続された複数の情報システムのうちの1つの情報システムに保存されるように転送し、前記情報システムに保存された1以上のハッシュ値がそれぞれ示す1以上の情報を他の1以上の情報システムにそれぞれ分散して保存されるように転送する
情報提供方法。 A control unit generates a plurality of pieces of information constituting the personal information of the information owner,
a method of providing information, which generates hash values of the generated multiple pieces of fragment information, transfers a combination of one or more pieces of fragment information and one or more hash values of one or more pieces of fragment information other than the multiple pieces of fragment information among the multiple pieces of fragment information and the multiple hash values of the fragment information to be stored in one information system among multiple information systems connected via a network, and transfers one or more pieces of information represented by the one or more hash values stored in the information system to be stored in a distributed manner in one or more other information systems.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019132070 | 2019-07-17 | ||
| JP2019132070 | 2019-07-17 | ||
| PCT/JP2020/027024 WO2021010317A1 (en) | 2019-07-17 | 2020-07-10 | Information system, information terminal, information processing method and information providing method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2021010317A1 JPWO2021010317A1 (en) | 2021-01-21 |
| JP7559756B2 true JP7559756B2 (en) | 2024-10-02 |
Family
ID=74210904
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021533035A Active JP7559756B2 (en) | 2019-07-17 | 2020-07-10 | Information system, information terminal, information processing method, and information providing method |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP7559756B2 (en) |
| WO (1) | WO2021010317A1 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7805534B2 (en) * | 2024-01-26 | 2026-01-23 | 三菱電機株式会社 | USE RIGHT PROTECTION DEVICE, USE RIGHT PROTECTION METHOD, USE RIGHT PROTECTION PROGRAM, AND DISTRIBUTED FILE SYSTEM |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006189925A (en) | 2004-12-28 | 2006-07-20 | Senken:Kk | Private information management system, private information management program, and private information protection method |
| JP2007334417A (en) | 2006-06-12 | 2007-12-27 | Nippon Telegr & Teleph Corp <Ntt> | Distributed information sharing method and terminal device |
| JP2008181213A (en) | 2007-01-23 | 2008-08-07 | Fuji Xerox Co Ltd | Information management system, information management device, and program |
-
2020
- 2020-07-10 JP JP2021533035A patent/JP7559756B2/en active Active
- 2020-07-10 WO PCT/JP2020/027024 patent/WO2021010317A1/en not_active Ceased
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006189925A (en) | 2004-12-28 | 2006-07-20 | Senken:Kk | Private information management system, private information management program, and private information protection method |
| JP2007334417A (en) | 2006-06-12 | 2007-12-27 | Nippon Telegr & Teleph Corp <Ntt> | Distributed information sharing method and terminal device |
| JP2008181213A (en) | 2007-01-23 | 2008-08-07 | Fuji Xerox Co Ltd | Information management system, information management device, and program |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021010317A1 (en) | 2021-01-21 |
| JPWO2021010317A1 (en) | 2021-01-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11983298B2 (en) | Computer system and method of operating same for handling anonymous data | |
| EP4154153B1 (en) | Split keys for wallet recovery | |
| JP7836440B2 (en) | Data utilization methods, systems, and programs using BCN (Blockchain Network) | |
| US7905417B2 (en) | Blinded electronic medical records | |
| CN104704493B (en) | Searchable encrypted data | |
| US8495384B1 (en) | Data comparison system | |
| US20240146523A1 (en) | Access control using a blockchain identity and policy based authorization | |
| US20190182216A1 (en) | System and methods for validating and performing operations on homomorphically encrypted data | |
| CN110309259B (en) | Audit result data storage and query methods, and audit item storage method and device | |
| US12602512B2 (en) | Data resolution using user domain names | |
| JPWO2018124297A1 (en) | Data utilization method, system and program using BCN (block chain network) | |
| KR20020015932A (en) | A method for managing card information in a data center | |
| CN1961605A (en) | Privacy-preserving information distributing system | |
| WO2002006948A1 (en) | Method for protecting the privacy, security, and integrity of sensitive data | |
| JP6545888B1 (en) | Information processing system, method of changing public key, and program | |
| US7438233B2 (en) | Blinded electronic medical records | |
| CN117786756B (en) | Method and system for realizing safe sharing of user patient data based on skin database | |
| Kimura et al. | Amazon biobank: Assessing the implementation of a blockchain-based genomic database | |
| JP7559756B2 (en) | Information system, information terminal, information processing method, and information providing method | |
| WO2019191579A1 (en) | System and methods for recording codes in a distributed environment | |
| WO2020004137A1 (en) | Service support system and service support method | |
| JP2016181171A (en) | Information processing apparatus, system, method, and program | |
| CN112740249B (en) | Digital ticket system and method | |
| JP7460847B1 (en) | Information processing system, information processing method, and information processing device. | |
| Thompson et al. | A secure decentralized privacy-preserving healthcare system using blockchain |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230607 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240604 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240805 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240820 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240902 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7559756 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |