アンケート実施システム及びアンケート実施サーバ
【課題】 アンケートに対する回答が格納されたデータベースから情報の流出を防止できるアンケート実施システム及びアンケート実施サーバを提供すること。
【解決手段】 アンケートを実施するアンケート実施サーバ5と、該アンケート実施サーバ5とネットワーク7を介して接続されたアンケートに対する回答情報を格納する回答データベース6と、を有するアンケート実施システムにおいて、アンケート実施サーバ5は、回答情報を受信する回答情報受信手段と、暗号キーが格納された暗号キーデータベース24と、回答情報受信手段により受信した回答情報を、暗号データベース24に格納された暗号キーで暗号化する暗号化・復号化手段19と、を有し、回答データベース6は、アンケート実施サーバ5から受信した暗号化・復号化手段19により暗号化された回答情報を格納する、ことを特徴とする。
【解決手段】 アンケートを実施するアンケート実施サーバ5と、該アンケート実施サーバ5とネットワーク7を介して接続されたアンケートに対する回答情報を格納する回答データベース6と、を有するアンケート実施システムにおいて、アンケート実施サーバ5は、回答情報を受信する回答情報受信手段と、暗号キーが格納された暗号キーデータベース24と、回答情報受信手段により受信した回答情報を、暗号データベース24に格納された暗号キーで暗号化する暗号化・復号化手段19と、を有し、回答データベース6は、アンケート実施サーバ5から受信した暗号化・復号化手段19により暗号化された回答情報を格納する、ことを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アンケートを実施するアンケート実施システム及びアンケート実施サーバに関し、特に、ネットワークを介してアンケートやお客様登録、問い合わせなど個人情報を含む設問への回答を暗号化して格納するアンケート実施システム及びアンケート実施サーバに関する。
【背景技術】
【0002】
企業や団体にとって、製品やサービスを利用するユーザや取引先(以下、単にユーザという)に対してアンケートや意見収集を実施し、製品やサービスに対する意見、不満などを収集することは、活動を継続する上で非常に有益である。また、ユーザの個人情報を登録してもらい、これを利用して新商品の案内を送付したり、営業活動に利用することも一般的に行われている。
【0003】
ユーザの情報を得るために、葉書、電話やファックスによるアンケート実施、お客様登録、問い合わせ受付などが一般的に実施されており、最近ではインターネットの普及により、Webのホームページによりアンケートやお客様登録を実施して情報を収集することが増えている。
【0004】
インターネットでこのような情報収集を行うことは、情報を提供するユーザ側の負担(電話であれば一定時間の確保、郵便であれば送付する手間など)を軽減し、また収集する企業や団体にとっても、サーバで収集した電子データをそのまま保管し、集計作業などを行うことができ、非常に有用である。
【0005】
ところが、Web上でこのような個人情報等を送受信することによって、情報の漏えいや改ざん、不正な情報の流通などが問題となってきている。ユーザから情報を送信する段階で問題となるのは、ユーザの端末から企業や団体のサーバまでのネットワーク上で情報伝達がうまくいかなかったり盗聴されることであるが、この問題についてはSSL(Secure Socket Layer)などの利用により暗号化することが可能であり、盗聴の危険性を大幅に減らすことができる。
【0006】
しかし、企業や団体のサーバに情報が格納されてから後の情報管理については安全性が確保されているとはいえない状態であり、悪意ある内部の者が情報を持ち出したり、管理が不十分の場合、外部に情報が漏えいすると言った問題は解決しきれていない。
【0007】
そこで、企業の中に個人情報が格納されている状態で情報を安全に保管するためには様々な方法が取られている。例えば、個人情報を格納するデータベースに暗号化機能を持たせ、データを暗号化する手法がある。実際に商用データベースではデータの暗号化を行うことが可能である。しかし、この場合データベースサーバーの管理者であれば、このデータベースの暗号化方法を知っており、管理者が悪意を持つ場合は情報を不正に入手することが可能となってしまう。
【0008】
これに対し、個人情報を暗号化して記憶しておき、個人認証された場合に予め別のサーバに記憶されている復号鍵を抽出し、復号鍵により復号化された情報を提供する方法が考案されている(例えば、特許文献1参照。)。
【0009】
また、個人情報を格納したデータベースと個人の名前などの識別情報を格納したデータベースとを分離しておき、指紋情報等により認証された場合、双方のデータを利用可能とする情報の利用方法が提案されている(例えば、特許文献2参照。)。
【特許文献1】特開2003−264540号公報
【特許文献2】特開2004−362123号公報
【発明の開示】
【発明が解決しようとする課題】
【0010】
しかしながら、特許文献1記載の方法は、個人情報がその個人情報をもつ本人のみに提供される場合は有用であるが、個人情報を収集した企業内の担当者が情報を活用したい場合等は、復号鍵を保有していないので情報を活用できないという問題がある。
【0011】
また、特許文献2記載の方法は、個人の指紋情報等から算出されたハッシュ値を認証情報とするため当該個人の認証がなければ収集された情報を活用できないという特許文献1と同様の問題を生じる。また、企業内のアンケートの管理者の指紋情報等からハッシュ値を算出して個人情報や識別情報を暗号化した場合、担当者が頻繁に替わりうる企業内における認証としては利用しにくいという問題がある。したがって、従来、企業や団体のサーバに情報が格納されてから後の情報管理については安全性が確保されていないという問題があった。
【0012】
かかる問題に鑑み、本発明は、アンケートに対する回答が格納されたデータベースから情報の流出を防止できるアンケート実施システム及びアンケート実施サーバを提供することを目的とする。
【課題を解決するための手段】
【0013】
上記問題を解決するため、本発明は、アンケートを実施するアンケート実施サーバと、該アンケート実施サーバとネットワークを介して接続されたアンケートに対する回答情報を格納する回答データベースと、を有するアンケート実施システムにおいて、アンケート実施サーバは、回答情報を受信する回答情報受信手段(受信手段12に相当する)と、暗号キーが格納された暗号キーデータベースと、回答情報受信手段により受信した回答情報を、暗号データベースに格納された前記暗号キーで暗号化する暗号化・復号化手段と、を有し、回答データベースは、アンケート実施サーバから受信した暗号化・復号化手段により暗号化された回答情報を格納する、ことを特徴とする。
【0014】
本発明によれば、アンケートに対する回答が格納されたデータベースから情報の流出を防止できるアンケート実施システム及びアンケート実施サーバを提供することを目的とする。暗号化・復号化手段と回答データベースとを分離することにより、回答データベースに不正なアクセスがあっても、個人情報等の重要な情報の漏洩を防止しうる。
【0015】
また、本発明の一形態において、アンケート実施サーバは、回答情報受信手段により受信した回答情報を暗号化するか否か設問毎に判定する設問判定手段を有し、暗号化・復号化手段は、設問判定手段により暗号化すると判定された設問に対する回答情報を暗号化する、ことを特徴とする。
【0016】
本発明によれば、暗号化するべき回答情報を判定することにより暗号化及び復号化による処理の増加を抑制して重要な情報の安全性を向上できる。また、回答情報を暗号化するか否かを自動的に判定できるので、暗号化を忘れることを防止できる。
【0017】
また、本発明の一形態において、アンケート実施サーバは、暗号キーデータベースに格納された暗号キーを各アンケートと対応づけて管理する暗号・復号キー管理手段を有し、暗号化・復号化手段は、暗号・復号キー管理手段により管理された暗号キーにより、アンケート毎に異なる暗号キーを用いて回答情報の暗号化を行う、ことを特徴とする。
【0018】
本発明によれば、アンケート毎に異なる暗号キーで暗号化することにより、所定の暗号キー又は復号キーが漏洩しても、復号化して漏洩される個人情報等を最小限に抑制できる。
【0019】
また、本発明は、アンケートを提供するアンケート実施サーバと、該アンケート実施サーバとネットワークを介して接続されたアンケートに対する回答情報を格納する回答データベースと、を有するアンケート実施システムにおいて、アンケート実施サーバは、暗号キーが格納された暗号キーデータベースと、回答情報及び前記暗号キーデータベースに格納された暗号キーを回答データベースに送信する回答情報送信手段と、を有し、回答データベースは、アンケート実施サーバから回答情報及び暗号キーを受信する回答情報受信手段と、回答情報受信手段により受信した回答情報を暗号キーで暗号化する暗号化・復号化手段と、を有する、ことを特徴とする。
【0020】
本発明によれば、暗号化又は復号化を回答データベースで行うので、個人情報等の安全性を確保すると共に、アンケート実施サーバの負荷を低減できる。
【0021】
また、本発明の一形態において、アンケート実施サーバは、回答情報を暗号化するか否か設問毎に判定する設問判定手段を有し、暗号化・復号化手段は、設問判定手段により暗号化すると判定された設問に対する回答情報を暗号化する、ことを特徴とする。
【0022】
また、本発明の一形態において、アンケート実施サーバは、暗号キーデータベースに格納された暗号キーを各アンケートと対応づけて管理する暗号・復号キー管理手段を有し、回答情報送信手段は、暗号・復号キー管理手段により抽出されたアンケート毎に異なる暗号キーを回答情報と共に回答データベースに送信し、暗号化・復号化手段は、アンケート毎に異なる暗号キーにより回答情報を暗号化する、ことを特徴とする。
【0023】
また、本発明は、アンケートに対する回答情報を記憶する回答データベースとネットワークを介して接続された、アンケートを実施するアンケート実施サーバにおいて、回答情報を受信する回答情報受信手段と、暗号キーが格納された暗号キーデータベースと、回答情報受信手段により受信した回答情報を、暗号キーデータベースに格納された暗号キーで暗号化する暗号化・復号化手段と、を有し、暗号化・復号化手段により暗号化された回答情報を回答データベースに送信する、ことを特徴とする。
【0024】
また、本発明は、アンケートの設問に対する回答情報を暗号化するか否か設問毎に判定する設問判定手段を有し、暗号化・復号化手段は、設問判定手段により暗号化すると判定された設問に対する回答情報を暗号化する、ことを特徴とする。
【0025】
また、本発明は、暗号キーデータベースに格納された暗号キーを各アンケートと対応づけて管理する暗号・復号キー管理手段を有し、暗号化・復号化手段は、暗号・復号キー管理手段により管理された暗号キーにより、アンケート毎に異なる暗号キーを用いて回答情報の暗号化を行う、ことを特徴とする。
【発明の効果】
【0026】
本発明によれば、アンケートに対する回答が格納されたデータベースから情報の流出を防止できるアンケート実施システム及びアンケート実施サーバを提供することができる。
【発明を実施するための最良の形態】
【0027】
以下、本発明を実施するための最良の形態について、図面を参照しながら説明する。図1は、本実施の形態のアンケート実施システムのシステム構成図を示す。本実施の形態のアンケート実施システムは、ネットワーク1を介して接続されたアンケート実施サーバ5、作成クライアント2、回答クライアント3、閲覧クライアント4、及び、アンケート実施サーバ5とネットワーク7を介して接続された回答データベース6、とを有するように構成される。
【0028】
作成クライアント2、回答クライアント3及び閲覧クライアント4は、それぞれキーボードやマウスなどの入力装置とディスプレイなどの出力装置をもつ一般的なパーソナルコンピュータ(以下、PCという)であり、アンケート実施サーバ5との種々のデータの送受信はWebブラウザソフトウェアを介して行う。Webブラウザソフトウェアは汎用のものが利用できるため、各クライアントを同一のPCで兼用してもよいし、各クライアントが複数存在してもよい。
【0029】
ネットワーク1、7は、インターネットやイントラネット、LANなどであり、ネットワーク1とネットワーク7とは同じネットワークであってもよい。
【0030】
作成クライアント2は、アンケートの設問作成者により作成された設問内容のデータ(以下、設問情報という)をアンケート実施サーバ5に送信する。回答クライアント3はアンケート実施サーバ5からアンケートページのHTMLやXML等のデータを受信して表示すると共に、アンケートに対し回答者が回答した回答内容のデータ(以下、回答情報という)をアンケート実施サーバ5に送信する。閲覧クライアント4は、アンケート実施サーバ5に、回答データベース6に格納されているアンケートの回答情報の送信を依頼し、送信されたアンケートの回答情報を閲覧者に表示する。
【0031】
アンケート実施サーバ5について説明する。送信手段11、受信手段12は、各クライアントとの間で、又は、回答データベース6との間で、設問情報や回答情報等の送受信を行う。
【0032】
送信手段11は、設問や回答の内容を各クライアントで表示できる形式にデータを変換して送信し、受信手段12は、各クライアントからのデータを受信して他の処理手段へ受け渡す。一般的なWebサーバであれば送信手段11と受信手段12の機能を有する。
【0033】
認証手段13は、認証データベース17に保管されている認証情報と、作成クライアント2または閲覧クライアント4から送信された認証情報とを比較し、アンケート実施システムの利用権限があるかどうかを判定する。したがって、認証データベース17には、作成クライアント2又は閲覧クライアント4を介してアンケート実施システムを利用する作成者又は閲覧者の認証情報が格納されている。認証情報は、作成者又は閲覧者のIDとパスワードの組のような文字列であってもよいし、作成クライアント2又は閲覧クライアント4が発行する電子証明書であってもよい。認証データベース17には、アンケートの回答を閲覧する閲覧者のアクセス権限が規定されており、認証情報に基づき認証されてもアクセス権限のないアンケートの回答を閲覧することはできない。これにより、一の閲覧者により大量の個人情報が漏洩することが防止される。
【0034】
設問作成手段14は、作成クライアント2から送信されたアンケートの設問情報に基づき設問を作成する。作成された設問は、設問管理手段22により、例えば作成日時、作成者の識別情報等と対応づけて管理され、設問情報として設問データベース25に格納される。
【0035】
設問判定手段21は、アンケートの設問に対する回答情報を暗号化するか否か設問毎に判定する。暗号化するか否かの判定は、各設問の回答が漏洩することにより回答者等に不都合が生じるほど重要か否かであり、設問判定手段21は、特に、個人情報に関する設問は暗号化すると判定する。設問判定手段21は、例えば、設問情報のタイトル、内容に基づいて暗号化するか否かを判定してもよいし、作成者が設問を作成した際に設定した重要度に基づいて判定してもよい。設問判定手段21は、暗号化すると判定した設問に暗号化が必要であることを示す暗号化指示情報を付与する。
【0036】
設問データベース25に格納された設問情報は、アンケートの実施の際に設問表示手段15により、設問欄と回答欄とを一対にするなど回答できる形式に変換され、送信手段11を介して回答クライアント3に送信される。
【0037】
回答クライアント3は、回答者の操作により入力された回答情報をアンケート実施サーバ5に送信する。回答クライアント3から送信されたアンケートの回答情報は、回答受付手段16により受付けられる。回答受付手段16が受けつけたアンケートの回答情報は、暗号化・復号化手段19により暗号化される。暗号化・復号化手段19は、暗号化指示情報の付与された設問のみを、暗号キー管理手段20の管理する暗号キーを用いて暗号化する。したがって、各アンケートの回答情報には、平文のままの回答と暗号化された回答とが混在する。
【0038】
暗号キー管理手段20は、暗号キーをアンケートと対応づけて暗号キーデータベース24に格納して管理している。一の暗号キーは一のアンケートの暗号化にのみ用いられる。
【0039】
回答管理手段23は、平文のまま又は暗号化された回答情報を回答データベース6へ送信し、回答データベース6にアンケートと対応づけて格納する。
【0040】
閲覧クライアント4から所定のアンケートの閲覧要求があった場合、回答管理手段23は管理している回答情報をアンケートごとに回答データベース6から取得する。そして、暗号化・復号化手段19に、暗号キー管理手段20が管理する復号キーによる当該回答情報の復号化を依頼する。本実施の形態では、暗号キーと復号キーが同じものであってもよいし異なっていてもよい。
【0041】
回答表示手段18は、暗号化・復号化手段19が復号化した回答情報を閲覧クライアント4に送信できる形式(例えば、設問欄と回答欄とを一対にするなど)の回答情報に生成し、送信手段11を介して閲覧クライアント4に送信する。
【0042】
なお、認証データベース25、設問データベース17、又は、暗号キーデータベース24は、それぞれアンケート実施サーバ5内に存在してもよいし、ネットワークで接続された別の計算機に存在してもよい。
【0043】
図1のように、暗号キーデータベース24と回答データベース6とを別体に構成することで、回答データベースが不正にアクセスされても暗号キーを入手しなければ復号化できないので、情報の漏洩を防止しうる。
【0044】
ところで、図1ではアンケート実施サーバ5が暗号化・復号化手段19及び回答管理手段23を有することとしたが、暗号化・復号化手段19及び回答管理手段23は、回答データベース6が有していてもよい。図2は、暗号化・復号化手段19及び回答管理手段23を回答データベース6が有するアンケート実施システムのシステム構成図を示す。図2において、図1と同一部分には同一の符号を付しその説明は省略する。
【0045】
図2では、回答データベース6が暗号化・復号化手段19を有する点で図1と異なる。図2のアンケート実施システムでは、回答情報と共に、暗号キー管理手段20がアンケートに対応づけて管理する暗号キーが回答データベース6に送信される。回答データベース6が有する暗号化・復号化手段19は、送信された暗号キーで、暗号化すると判定された回答情報を暗号化し、回答管理手段23が平文のまま又は暗号化された回答情報を格納する。
【0046】
また、閲覧クライアント4から所定のアンケートとの閲覧要求があった場合、暗号化・復号化手段19は、暗号キー管理手段20が送信する復号キーを受信して、当該アンケートの回答情報を復号化をする。復号化された回答情報は、アンケート実施サーバ5に送信されるので、回答表示手段18により閲覧クライアント4に送信できる形式に回答情報が生成され、閲覧クライアント4に送信される。
【0047】
図2のようにアンケート実施システムを構成すれば、回答データベースが暗号化・復号化を行うので、図1のアンケート実施システムと同様に回答情報の漏洩を防止すると共に、アンケート実施サーバ5の負荷を低減できる。
【0048】
図3は、アンケート実施サーバ5のハードウェア構成図の一例を示す。アンケート実施サーバ5は、それぞれバス39で相互に接続されているCPU31、入出力制御部32、ドライブ装置33、通信部34、主記憶部35、記憶装置36、表示制御部37を有するように構成される。
【0049】
CPU31は、アンケート実施サーバ5が行う処理を統括的に制御し、例えば、後述のアンケート実施プログラム40を主記憶部35にロードして実行する。入出力制御部32は、キーボード及びマウスなどにより入力される様々な操作指示を処理するために用いられる。通信部34は、インターネットやLANなどのネットワークに接続するためのインターフェイスであり、例えばモデム、ルータ等で構成される。主記憶部35は、オペレーティングシステムやプログラム、データを一時保管する記憶領域である。
【0050】
ドライブ装置33は、DVD−ROMやCD−ROMが挿入可能であり、記録媒体38からプログラムやデータを読み込み、また記録媒体38にプログラムやデータを書き込むことも可能である。表示制御部37は、GUI(Graphycal User Interface)画面を形成し、操作に必要な各種ウィンドウやデータ等を表示する。
【0051】
記憶装置36には、アンケート実施プログラム40が記録媒体38やインターネットを介してインストールされている。アンケート実施プログラム40は、図3のコンピュータを、アンケートに対する回答情報を暗号キーで暗号化する暗号化・復号化手段と、アンケートの設問に対する回答情報を暗号化するか否か設問毎に判定する設問判定手段と、暗号キーデータベースに記憶された暗号キーを各アンケートと対応づけて管理する暗号化・復号キー管理手段と、として機能させる。
【0052】
続いて上述した図1のアンケート実施システムに基づき、設問を作成する設問作成手順について説明する。図4は、設問作成者の操作により作成された設問情報をアンケート実施サーバ5が設問データベースに格納するフローチャート図を示す。
【0053】
まず、作成クライアント2は、設問作成者の操作によりアンケート実施サーバ5にログインする(S1)。設問作成者は、ウェブブラウザを用いてアンケート実施サーバ5のURLにアクセスし、ログイン用の画面からIDやパスワード等の認証情報を入力する。
【0054】
アンケート実施サーバ5の認証手段13は、作成クライアント2から送信された認証情報と、認証データベース17に格納されている当該設問作成者の認証情報とを比較し、認証情報の整合性が得られた場合、作成クライアント2によるアンケート実施システムの利用を許可する(S2)。
【0055】
認証された作成クライアント2は、設問作成者の操作により作成又は編集するアンケートの設問作成画面の送信をアンケート実施サーバ5に要求する(S3)。
【0056】
設問作成画面の要求を受けた設問作成手段14は、設問管理手段22に要求された設問作成の画面情報を要求し、設問管理手段22は要求されたアンケートの設問作成の画面情報を設問データベース25より取得し、設問作成手段14に送出する。設問作成手段14は、設問作成の画面情報に基づき、設問作成の画面を生成して作成クライアント2に送信する(S4)。
【0057】
作成クライアント2は、アンケート実施サーバ5から送信された設問作成の画面を表示する。そして、設問作成の画面から設問作成者の操作により入力された設問を用いて、アンケートの設問を作成する(S5)。
【0058】
図5は、作成クライアント2に表示された設問作成のための画面の一例を示す。設問作成の画面は、アンケート実施時に表示されるタイトル、設問の説明、回答欄の入力形式、添付画面など、アンケートを実施するための画面作成や回答の取得に必要な様々な情報を有する。図5の画面の他に、入力制限情報を含める欄を設けてもよいし、その設問が個人情報に当たるかどうか入力する欄を含めることとしてもよい。作成クライアント2は、設問作成者の送信操作があった場合、入力された設問情報を設問作成手段14に送信する。
【0059】
設問作成手段14は、受信した設問情報を設問判定手段21に送出する。設問判定手段21は、各設問が個人情報か否か、各設問毎に設問のタイトル、入力制限等から判定する(S6)。
【0060】
設問判定手段21による判定方法は、例えば次のように行う。
(i)設問のタイトルに"氏名""住所""メールアドレス"などを表す特定の文字列が入っている場合は個人情報に当たると判定する。
(ii)入力形式が"メールアドレス""電話番号"であった場合、個人情報に当たると判定する。
【0061】
設問判定手段21は、暗号化が必要な設問に対し、暗号化が必要であることを示す暗号化指示情報41(図5では〔code〕で示した)を付する。
【0062】
設問作成手段14は、設問毎に個人情報か否かの判定が終了した設問情報の登録を設問管理手段22に依頼し、設問管理手段22は設問データベース25へ、設問IDや登録日、設問作成者のID等と対応づけて設問情報を登録する(S7)。以上で、設問作成者の操作により作成された設問をアンケート実施サーバ5が格納した。
【0063】
図4の設問作成手順によれば、アンケートが設問として要求する個人情報などを自動的に判別できるので、設問を作成する担当者が意識しなくても重要な情報の安全性を高めることができる。
【0064】
次に、回答クライアント3が回答した回答情報を回答データベース6に格納する手順について説明する。図6は、回答者の操作により回答された回答をアンケート実施サーバ5が回答データベース6に格納するフローチャート図を示す。
【0065】
回答者は設問作成者などから電子メールなどでアンケート公開の通知を受けたり、WWWページ上でアンケートのリンクをたどることにより、アンケートのURLを知る。
【0066】
まず、回答クライアント3は、回答者の操作によりウェブブラウザを起動し指定されたアンケートのURLに接続し、アンケート実施サーバ5にアンケート回答ページの表示を要求する(S11)。
【0067】
設問表示手段15は、アンケート表示の要求を回答クライアント3から受け、設問管理手段22に当該アンケートの設問情報を要求する。設問管理手段22は要求された設問情報を設問データベース25から取得し、設問表示手段15に送出する。設問表示手段15は、取得した当該アンケートの設問情報に基づき、設問欄と回答欄とを一対にするなど回答できる形式に変換し、送信手段11を介して回答クライアント3に送信する(S12)。
【0068】
回答クライアント3は、アンケートに対して回答者が入力した回答情報をアンケート実施サーバ5へ送信する(S13)。回答受付手段16は、送信された回答情報を暗号化・復号化手段19へ送出する(S14)。
【0069】
暗号化・復号化手段19は、暗号キー管理手段20に暗号キーを要求する。暗号キー管理手段20はアンケート毎に暗号キーを生成して暗号化・復号化手段19に送出してもよいし、暗号キーデータベース24よりアンケートに対応して管理されるアンケートのキーを抽出し、抽出した暗号キーを暗号化・復号化手段19に送出してもよい。
【0070】
暗号化・復号化手段19は、各設問の暗号化必要/不要の情報である暗号化指示情報を参照し、暗号化が必要な設問に対する回答情報のみ、当該暗号キーにより暗号化する(S15)。暗号化・復号化手段19は、アンケート毎に異なる暗号キー及び復号キーを用いるので、仮に一の複合キーが漏洩しても復号化される回答情報を最小限に止めることができる。
【0071】
暗号化が終了すると暗号化・復号化手段19は回答管理手段23に回答情報を送出する。回答管理手段23は、回答情報をアンケート毎に対応づけて回答データベース6送信し格納する(S16)。
【0072】
図7は、回答データベース6に格納される回答情報の一例を示す。回答Noは、例えば回答クライアント3による回答順に当該回答情報に付与される連番である。回答情報には、設問毎に回答が記録されている。図7では、*マークで示された回答は暗号化されていること、すなわち個人情報であることを示す。したがって、回答情報は、暗号化された回答と平文のままの回答が混在している。
【0073】
図1又は2のアンケート実施システムに示すように、暗号化・復号化手段19及び暗号キーデータベース24と、回答データベース6とを分離することにより、回答データベース6に不正にアクセスされても、個人情報などの重要なデータは暗号化されており、復号キーは回答データベース6から取得できないので、個人情報の漏えいを防ぐことが可能である。
【0074】
また、暗号化するべき情報と暗号化の必要ない情報を判別することにより、暗号化・復号化処理によるシステムの負荷増加を最小限に抑えながら重要な情報の安全性を高めることができる。
【0075】
また、図2に示すアンケート実施サーバ5の構成であれば、暗号化・復号化を回答データベース6によって行うので、個人情報の安全性を確保したままアンケート実施サーバ5の負荷を減らすことができる。
【0076】
また、同じアンケート実施システム内で、アンケート毎に暗号キー及び復号キーを管理することにより、所定のアンケートに関連するデータは取得可能であっても、それ以外は取得できないなど、セキュリティを向上できる。アンケート毎に暗号化の方法を変えてもよく、アンケートの重要度に応じて適切な情報アクセス制限を細かく設定することができる。
【0077】
次に、閲覧クライアント4が回答を閲覧する手順について説明する。図8は、閲覧クライアント4が回答データベース6に格納されたアンケートの回答を閲覧するフローチャート図を示す。
【0078】
まず、閲覧クライアント4は、閲覧者の操作によりウェブブラウザを起動し指定されたアンケートのURLに接続し、アンケート実施サーバ5にログインする(S21)。閲覧者は、ログイン用の画面から認証情報を入力する。
【0079】
アンケート実施サーバ5の認証手段13は、閲覧クライアント4から送られた認証情報と、認証データベース17に格納されている当該閲覧者の認証情報とを比較し、認証情報の整合性が得られた場合、閲覧クライアント4のアンケート実施システムの利用を許可する(S22)。
【0080】
認証された閲覧クライアント4は、閲覧者の操作により閲覧するアンケートの回答情報の送信をアンケート実施サーバ5に要求する(S23)。
【0081】
回答表示手段18は、認証情報を参照して当該閲覧者がアンケート回答のアクセス権限を有するか否かチェックし、アクセス権限を有していれば回答管理手段23に回答を要求する。回答管理手段23は該当するアンケートの回答情報を回答データベース6より抽出し、暗号化・復号化手段へ送出する(S24)。
【0082】
暗号化・復号化手段19は、暗号キー管理手段20より復号キーを取得し、該復号キーを用いて暗号化されている回答情報の復号化を行う(S25)。暗号化・復号化手段19は、復号化した回答情報を回答表示手段18に送出する。
【0083】
回答表示手段18は復号化された回答情報を取得し、送信手段11を介して閲覧クライアント4へ送信する(S26)。閲覧クライアント4が受け取る回答情報は閲覧クライアント4にそのまま表示できるHTML形式等であってもよいし、ファイル形式としてダウンロードするものでもよい。以上で、閲覧クライアント4にアンケートの回答が表示された。
【0084】
以上のように、本実施の形態のアンケート実施システムによれば、暗号化された回答と暗号キーとを別体に備えるので、回答情報が漏洩しても複合キーが漏洩しなければ個人情報の流出を防止できる。また、アンケート毎に暗号キーが異なるので、個人情報の漏洩を最小限に止めることが可能となる。また、暗号化するか否かを自動的に判定するので、暗号化を忘れるといったことを防止できる。また、閲覧者の回答へのアクセス権限をチェックするので、一の閲覧者により大量の回答が入手されることが防止できる。
【図面の簡単な説明】
【0085】
【図1】アンケート実施システムのシステム構成図である。
【図2】アンケート実施システムのシステム構成図の一例である。
【図3】アンケート実施サーバのハードウェア構成図の一例である。
【図4】作成された設問をアンケート実施サーバが蓄積するフローチャート図である。
【図5】設問作成のための入力画面の一例である。
【図6】回答された回答をアンケート実施サーバが回答データベースに格納するフローチャート図である。
【図7】回答データベースに格納される回答情報の一例である。
【図8】閲覧クライアントがアンケートの回答を閲覧するフローチャート図である。
【符号の説明】
【0086】
1、7 ネットワーク
2 作成クライアント
3 回答クライアント
4 閲覧クライアント
5 アンケート実施サーバ
6 回答データベース
11 送信手段
12 受信手段
13 認証手段
14 設問作成手段
15 設問表示手段
16 回答受付手段
17 認証データベース
18 回答表示手段
19 暗号化・復号化手段
20 暗号キー管理手段
21 設問判定手段
22 設問管理手段
23 回答管理手段
24 暗号キーデータベース
25 設問データベース
【技術分野】
【0001】
本発明は、アンケートを実施するアンケート実施システム及びアンケート実施サーバに関し、特に、ネットワークを介してアンケートやお客様登録、問い合わせなど個人情報を含む設問への回答を暗号化して格納するアンケート実施システム及びアンケート実施サーバに関する。
【背景技術】
【0002】
企業や団体にとって、製品やサービスを利用するユーザや取引先(以下、単にユーザという)に対してアンケートや意見収集を実施し、製品やサービスに対する意見、不満などを収集することは、活動を継続する上で非常に有益である。また、ユーザの個人情報を登録してもらい、これを利用して新商品の案内を送付したり、営業活動に利用することも一般的に行われている。
【0003】
ユーザの情報を得るために、葉書、電話やファックスによるアンケート実施、お客様登録、問い合わせ受付などが一般的に実施されており、最近ではインターネットの普及により、Webのホームページによりアンケートやお客様登録を実施して情報を収集することが増えている。
【0004】
インターネットでこのような情報収集を行うことは、情報を提供するユーザ側の負担(電話であれば一定時間の確保、郵便であれば送付する手間など)を軽減し、また収集する企業や団体にとっても、サーバで収集した電子データをそのまま保管し、集計作業などを行うことができ、非常に有用である。
【0005】
ところが、Web上でこのような個人情報等を送受信することによって、情報の漏えいや改ざん、不正な情報の流通などが問題となってきている。ユーザから情報を送信する段階で問題となるのは、ユーザの端末から企業や団体のサーバまでのネットワーク上で情報伝達がうまくいかなかったり盗聴されることであるが、この問題についてはSSL(Secure Socket Layer)などの利用により暗号化することが可能であり、盗聴の危険性を大幅に減らすことができる。
【0006】
しかし、企業や団体のサーバに情報が格納されてから後の情報管理については安全性が確保されているとはいえない状態であり、悪意ある内部の者が情報を持ち出したり、管理が不十分の場合、外部に情報が漏えいすると言った問題は解決しきれていない。
【0007】
そこで、企業の中に個人情報が格納されている状態で情報を安全に保管するためには様々な方法が取られている。例えば、個人情報を格納するデータベースに暗号化機能を持たせ、データを暗号化する手法がある。実際に商用データベースではデータの暗号化を行うことが可能である。しかし、この場合データベースサーバーの管理者であれば、このデータベースの暗号化方法を知っており、管理者が悪意を持つ場合は情報を不正に入手することが可能となってしまう。
【0008】
これに対し、個人情報を暗号化して記憶しておき、個人認証された場合に予め別のサーバに記憶されている復号鍵を抽出し、復号鍵により復号化された情報を提供する方法が考案されている(例えば、特許文献1参照。)。
【0009】
また、個人情報を格納したデータベースと個人の名前などの識別情報を格納したデータベースとを分離しておき、指紋情報等により認証された場合、双方のデータを利用可能とする情報の利用方法が提案されている(例えば、特許文献2参照。)。
【特許文献1】特開2003−264540号公報
【特許文献2】特開2004−362123号公報
【発明の開示】
【発明が解決しようとする課題】
【0010】
しかしながら、特許文献1記載の方法は、個人情報がその個人情報をもつ本人のみに提供される場合は有用であるが、個人情報を収集した企業内の担当者が情報を活用したい場合等は、復号鍵を保有していないので情報を活用できないという問題がある。
【0011】
また、特許文献2記載の方法は、個人の指紋情報等から算出されたハッシュ値を認証情報とするため当該個人の認証がなければ収集された情報を活用できないという特許文献1と同様の問題を生じる。また、企業内のアンケートの管理者の指紋情報等からハッシュ値を算出して個人情報や識別情報を暗号化した場合、担当者が頻繁に替わりうる企業内における認証としては利用しにくいという問題がある。したがって、従来、企業や団体のサーバに情報が格納されてから後の情報管理については安全性が確保されていないという問題があった。
【0012】
かかる問題に鑑み、本発明は、アンケートに対する回答が格納されたデータベースから情報の流出を防止できるアンケート実施システム及びアンケート実施サーバを提供することを目的とする。
【課題を解決するための手段】
【0013】
上記問題を解決するため、本発明は、アンケートを実施するアンケート実施サーバと、該アンケート実施サーバとネットワークを介して接続されたアンケートに対する回答情報を格納する回答データベースと、を有するアンケート実施システムにおいて、アンケート実施サーバは、回答情報を受信する回答情報受信手段(受信手段12に相当する)と、暗号キーが格納された暗号キーデータベースと、回答情報受信手段により受信した回答情報を、暗号データベースに格納された前記暗号キーで暗号化する暗号化・復号化手段と、を有し、回答データベースは、アンケート実施サーバから受信した暗号化・復号化手段により暗号化された回答情報を格納する、ことを特徴とする。
【0014】
本発明によれば、アンケートに対する回答が格納されたデータベースから情報の流出を防止できるアンケート実施システム及びアンケート実施サーバを提供することを目的とする。暗号化・復号化手段と回答データベースとを分離することにより、回答データベースに不正なアクセスがあっても、個人情報等の重要な情報の漏洩を防止しうる。
【0015】
また、本発明の一形態において、アンケート実施サーバは、回答情報受信手段により受信した回答情報を暗号化するか否か設問毎に判定する設問判定手段を有し、暗号化・復号化手段は、設問判定手段により暗号化すると判定された設問に対する回答情報を暗号化する、ことを特徴とする。
【0016】
本発明によれば、暗号化するべき回答情報を判定することにより暗号化及び復号化による処理の増加を抑制して重要な情報の安全性を向上できる。また、回答情報を暗号化するか否かを自動的に判定できるので、暗号化を忘れることを防止できる。
【0017】
また、本発明の一形態において、アンケート実施サーバは、暗号キーデータベースに格納された暗号キーを各アンケートと対応づけて管理する暗号・復号キー管理手段を有し、暗号化・復号化手段は、暗号・復号キー管理手段により管理された暗号キーにより、アンケート毎に異なる暗号キーを用いて回答情報の暗号化を行う、ことを特徴とする。
【0018】
本発明によれば、アンケート毎に異なる暗号キーで暗号化することにより、所定の暗号キー又は復号キーが漏洩しても、復号化して漏洩される個人情報等を最小限に抑制できる。
【0019】
また、本発明は、アンケートを提供するアンケート実施サーバと、該アンケート実施サーバとネットワークを介して接続されたアンケートに対する回答情報を格納する回答データベースと、を有するアンケート実施システムにおいて、アンケート実施サーバは、暗号キーが格納された暗号キーデータベースと、回答情報及び前記暗号キーデータベースに格納された暗号キーを回答データベースに送信する回答情報送信手段と、を有し、回答データベースは、アンケート実施サーバから回答情報及び暗号キーを受信する回答情報受信手段と、回答情報受信手段により受信した回答情報を暗号キーで暗号化する暗号化・復号化手段と、を有する、ことを特徴とする。
【0020】
本発明によれば、暗号化又は復号化を回答データベースで行うので、個人情報等の安全性を確保すると共に、アンケート実施サーバの負荷を低減できる。
【0021】
また、本発明の一形態において、アンケート実施サーバは、回答情報を暗号化するか否か設問毎に判定する設問判定手段を有し、暗号化・復号化手段は、設問判定手段により暗号化すると判定された設問に対する回答情報を暗号化する、ことを特徴とする。
【0022】
また、本発明の一形態において、アンケート実施サーバは、暗号キーデータベースに格納された暗号キーを各アンケートと対応づけて管理する暗号・復号キー管理手段を有し、回答情報送信手段は、暗号・復号キー管理手段により抽出されたアンケート毎に異なる暗号キーを回答情報と共に回答データベースに送信し、暗号化・復号化手段は、アンケート毎に異なる暗号キーにより回答情報を暗号化する、ことを特徴とする。
【0023】
また、本発明は、アンケートに対する回答情報を記憶する回答データベースとネットワークを介して接続された、アンケートを実施するアンケート実施サーバにおいて、回答情報を受信する回答情報受信手段と、暗号キーが格納された暗号キーデータベースと、回答情報受信手段により受信した回答情報を、暗号キーデータベースに格納された暗号キーで暗号化する暗号化・復号化手段と、を有し、暗号化・復号化手段により暗号化された回答情報を回答データベースに送信する、ことを特徴とする。
【0024】
また、本発明は、アンケートの設問に対する回答情報を暗号化するか否か設問毎に判定する設問判定手段を有し、暗号化・復号化手段は、設問判定手段により暗号化すると判定された設問に対する回答情報を暗号化する、ことを特徴とする。
【0025】
また、本発明は、暗号キーデータベースに格納された暗号キーを各アンケートと対応づけて管理する暗号・復号キー管理手段を有し、暗号化・復号化手段は、暗号・復号キー管理手段により管理された暗号キーにより、アンケート毎に異なる暗号キーを用いて回答情報の暗号化を行う、ことを特徴とする。
【発明の効果】
【0026】
本発明によれば、アンケートに対する回答が格納されたデータベースから情報の流出を防止できるアンケート実施システム及びアンケート実施サーバを提供することができる。
【発明を実施するための最良の形態】
【0027】
以下、本発明を実施するための最良の形態について、図面を参照しながら説明する。図1は、本実施の形態のアンケート実施システムのシステム構成図を示す。本実施の形態のアンケート実施システムは、ネットワーク1を介して接続されたアンケート実施サーバ5、作成クライアント2、回答クライアント3、閲覧クライアント4、及び、アンケート実施サーバ5とネットワーク7を介して接続された回答データベース6、とを有するように構成される。
【0028】
作成クライアント2、回答クライアント3及び閲覧クライアント4は、それぞれキーボードやマウスなどの入力装置とディスプレイなどの出力装置をもつ一般的なパーソナルコンピュータ(以下、PCという)であり、アンケート実施サーバ5との種々のデータの送受信はWebブラウザソフトウェアを介して行う。Webブラウザソフトウェアは汎用のものが利用できるため、各クライアントを同一のPCで兼用してもよいし、各クライアントが複数存在してもよい。
【0029】
ネットワーク1、7は、インターネットやイントラネット、LANなどであり、ネットワーク1とネットワーク7とは同じネットワークであってもよい。
【0030】
作成クライアント2は、アンケートの設問作成者により作成された設問内容のデータ(以下、設問情報という)をアンケート実施サーバ5に送信する。回答クライアント3はアンケート実施サーバ5からアンケートページのHTMLやXML等のデータを受信して表示すると共に、アンケートに対し回答者が回答した回答内容のデータ(以下、回答情報という)をアンケート実施サーバ5に送信する。閲覧クライアント4は、アンケート実施サーバ5に、回答データベース6に格納されているアンケートの回答情報の送信を依頼し、送信されたアンケートの回答情報を閲覧者に表示する。
【0031】
アンケート実施サーバ5について説明する。送信手段11、受信手段12は、各クライアントとの間で、又は、回答データベース6との間で、設問情報や回答情報等の送受信を行う。
【0032】
送信手段11は、設問や回答の内容を各クライアントで表示できる形式にデータを変換して送信し、受信手段12は、各クライアントからのデータを受信して他の処理手段へ受け渡す。一般的なWebサーバであれば送信手段11と受信手段12の機能を有する。
【0033】
認証手段13は、認証データベース17に保管されている認証情報と、作成クライアント2または閲覧クライアント4から送信された認証情報とを比較し、アンケート実施システムの利用権限があるかどうかを判定する。したがって、認証データベース17には、作成クライアント2又は閲覧クライアント4を介してアンケート実施システムを利用する作成者又は閲覧者の認証情報が格納されている。認証情報は、作成者又は閲覧者のIDとパスワードの組のような文字列であってもよいし、作成クライアント2又は閲覧クライアント4が発行する電子証明書であってもよい。認証データベース17には、アンケートの回答を閲覧する閲覧者のアクセス権限が規定されており、認証情報に基づき認証されてもアクセス権限のないアンケートの回答を閲覧することはできない。これにより、一の閲覧者により大量の個人情報が漏洩することが防止される。
【0034】
設問作成手段14は、作成クライアント2から送信されたアンケートの設問情報に基づき設問を作成する。作成された設問は、設問管理手段22により、例えば作成日時、作成者の識別情報等と対応づけて管理され、設問情報として設問データベース25に格納される。
【0035】
設問判定手段21は、アンケートの設問に対する回答情報を暗号化するか否か設問毎に判定する。暗号化するか否かの判定は、各設問の回答が漏洩することにより回答者等に不都合が生じるほど重要か否かであり、設問判定手段21は、特に、個人情報に関する設問は暗号化すると判定する。設問判定手段21は、例えば、設問情報のタイトル、内容に基づいて暗号化するか否かを判定してもよいし、作成者が設問を作成した際に設定した重要度に基づいて判定してもよい。設問判定手段21は、暗号化すると判定した設問に暗号化が必要であることを示す暗号化指示情報を付与する。
【0036】
設問データベース25に格納された設問情報は、アンケートの実施の際に設問表示手段15により、設問欄と回答欄とを一対にするなど回答できる形式に変換され、送信手段11を介して回答クライアント3に送信される。
【0037】
回答クライアント3は、回答者の操作により入力された回答情報をアンケート実施サーバ5に送信する。回答クライアント3から送信されたアンケートの回答情報は、回答受付手段16により受付けられる。回答受付手段16が受けつけたアンケートの回答情報は、暗号化・復号化手段19により暗号化される。暗号化・復号化手段19は、暗号化指示情報の付与された設問のみを、暗号キー管理手段20の管理する暗号キーを用いて暗号化する。したがって、各アンケートの回答情報には、平文のままの回答と暗号化された回答とが混在する。
【0038】
暗号キー管理手段20は、暗号キーをアンケートと対応づけて暗号キーデータベース24に格納して管理している。一の暗号キーは一のアンケートの暗号化にのみ用いられる。
【0039】
回答管理手段23は、平文のまま又は暗号化された回答情報を回答データベース6へ送信し、回答データベース6にアンケートと対応づけて格納する。
【0040】
閲覧クライアント4から所定のアンケートの閲覧要求があった場合、回答管理手段23は管理している回答情報をアンケートごとに回答データベース6から取得する。そして、暗号化・復号化手段19に、暗号キー管理手段20が管理する復号キーによる当該回答情報の復号化を依頼する。本実施の形態では、暗号キーと復号キーが同じものであってもよいし異なっていてもよい。
【0041】
回答表示手段18は、暗号化・復号化手段19が復号化した回答情報を閲覧クライアント4に送信できる形式(例えば、設問欄と回答欄とを一対にするなど)の回答情報に生成し、送信手段11を介して閲覧クライアント4に送信する。
【0042】
なお、認証データベース25、設問データベース17、又は、暗号キーデータベース24は、それぞれアンケート実施サーバ5内に存在してもよいし、ネットワークで接続された別の計算機に存在してもよい。
【0043】
図1のように、暗号キーデータベース24と回答データベース6とを別体に構成することで、回答データベースが不正にアクセスされても暗号キーを入手しなければ復号化できないので、情報の漏洩を防止しうる。
【0044】
ところで、図1ではアンケート実施サーバ5が暗号化・復号化手段19及び回答管理手段23を有することとしたが、暗号化・復号化手段19及び回答管理手段23は、回答データベース6が有していてもよい。図2は、暗号化・復号化手段19及び回答管理手段23を回答データベース6が有するアンケート実施システムのシステム構成図を示す。図2において、図1と同一部分には同一の符号を付しその説明は省略する。
【0045】
図2では、回答データベース6が暗号化・復号化手段19を有する点で図1と異なる。図2のアンケート実施システムでは、回答情報と共に、暗号キー管理手段20がアンケートに対応づけて管理する暗号キーが回答データベース6に送信される。回答データベース6が有する暗号化・復号化手段19は、送信された暗号キーで、暗号化すると判定された回答情報を暗号化し、回答管理手段23が平文のまま又は暗号化された回答情報を格納する。
【0046】
また、閲覧クライアント4から所定のアンケートとの閲覧要求があった場合、暗号化・復号化手段19は、暗号キー管理手段20が送信する復号キーを受信して、当該アンケートの回答情報を復号化をする。復号化された回答情報は、アンケート実施サーバ5に送信されるので、回答表示手段18により閲覧クライアント4に送信できる形式に回答情報が生成され、閲覧クライアント4に送信される。
【0047】
図2のようにアンケート実施システムを構成すれば、回答データベースが暗号化・復号化を行うので、図1のアンケート実施システムと同様に回答情報の漏洩を防止すると共に、アンケート実施サーバ5の負荷を低減できる。
【0048】
図3は、アンケート実施サーバ5のハードウェア構成図の一例を示す。アンケート実施サーバ5は、それぞれバス39で相互に接続されているCPU31、入出力制御部32、ドライブ装置33、通信部34、主記憶部35、記憶装置36、表示制御部37を有するように構成される。
【0049】
CPU31は、アンケート実施サーバ5が行う処理を統括的に制御し、例えば、後述のアンケート実施プログラム40を主記憶部35にロードして実行する。入出力制御部32は、キーボード及びマウスなどにより入力される様々な操作指示を処理するために用いられる。通信部34は、インターネットやLANなどのネットワークに接続するためのインターフェイスであり、例えばモデム、ルータ等で構成される。主記憶部35は、オペレーティングシステムやプログラム、データを一時保管する記憶領域である。
【0050】
ドライブ装置33は、DVD−ROMやCD−ROMが挿入可能であり、記録媒体38からプログラムやデータを読み込み、また記録媒体38にプログラムやデータを書き込むことも可能である。表示制御部37は、GUI(Graphycal User Interface)画面を形成し、操作に必要な各種ウィンドウやデータ等を表示する。
【0051】
記憶装置36には、アンケート実施プログラム40が記録媒体38やインターネットを介してインストールされている。アンケート実施プログラム40は、図3のコンピュータを、アンケートに対する回答情報を暗号キーで暗号化する暗号化・復号化手段と、アンケートの設問に対する回答情報を暗号化するか否か設問毎に判定する設問判定手段と、暗号キーデータベースに記憶された暗号キーを各アンケートと対応づけて管理する暗号化・復号キー管理手段と、として機能させる。
【0052】
続いて上述した図1のアンケート実施システムに基づき、設問を作成する設問作成手順について説明する。図4は、設問作成者の操作により作成された設問情報をアンケート実施サーバ5が設問データベースに格納するフローチャート図を示す。
【0053】
まず、作成クライアント2は、設問作成者の操作によりアンケート実施サーバ5にログインする(S1)。設問作成者は、ウェブブラウザを用いてアンケート実施サーバ5のURLにアクセスし、ログイン用の画面からIDやパスワード等の認証情報を入力する。
【0054】
アンケート実施サーバ5の認証手段13は、作成クライアント2から送信された認証情報と、認証データベース17に格納されている当該設問作成者の認証情報とを比較し、認証情報の整合性が得られた場合、作成クライアント2によるアンケート実施システムの利用を許可する(S2)。
【0055】
認証された作成クライアント2は、設問作成者の操作により作成又は編集するアンケートの設問作成画面の送信をアンケート実施サーバ5に要求する(S3)。
【0056】
設問作成画面の要求を受けた設問作成手段14は、設問管理手段22に要求された設問作成の画面情報を要求し、設問管理手段22は要求されたアンケートの設問作成の画面情報を設問データベース25より取得し、設問作成手段14に送出する。設問作成手段14は、設問作成の画面情報に基づき、設問作成の画面を生成して作成クライアント2に送信する(S4)。
【0057】
作成クライアント2は、アンケート実施サーバ5から送信された設問作成の画面を表示する。そして、設問作成の画面から設問作成者の操作により入力された設問を用いて、アンケートの設問を作成する(S5)。
【0058】
図5は、作成クライアント2に表示された設問作成のための画面の一例を示す。設問作成の画面は、アンケート実施時に表示されるタイトル、設問の説明、回答欄の入力形式、添付画面など、アンケートを実施するための画面作成や回答の取得に必要な様々な情報を有する。図5の画面の他に、入力制限情報を含める欄を設けてもよいし、その設問が個人情報に当たるかどうか入力する欄を含めることとしてもよい。作成クライアント2は、設問作成者の送信操作があった場合、入力された設問情報を設問作成手段14に送信する。
【0059】
設問作成手段14は、受信した設問情報を設問判定手段21に送出する。設問判定手段21は、各設問が個人情報か否か、各設問毎に設問のタイトル、入力制限等から判定する(S6)。
【0060】
設問判定手段21による判定方法は、例えば次のように行う。
(i)設問のタイトルに"氏名""住所""メールアドレス"などを表す特定の文字列が入っている場合は個人情報に当たると判定する。
(ii)入力形式が"メールアドレス""電話番号"であった場合、個人情報に当たると判定する。
【0061】
設問判定手段21は、暗号化が必要な設問に対し、暗号化が必要であることを示す暗号化指示情報41(図5では〔code〕で示した)を付する。
【0062】
設問作成手段14は、設問毎に個人情報か否かの判定が終了した設問情報の登録を設問管理手段22に依頼し、設問管理手段22は設問データベース25へ、設問IDや登録日、設問作成者のID等と対応づけて設問情報を登録する(S7)。以上で、設問作成者の操作により作成された設問をアンケート実施サーバ5が格納した。
【0063】
図4の設問作成手順によれば、アンケートが設問として要求する個人情報などを自動的に判別できるので、設問を作成する担当者が意識しなくても重要な情報の安全性を高めることができる。
【0064】
次に、回答クライアント3が回答した回答情報を回答データベース6に格納する手順について説明する。図6は、回答者の操作により回答された回答をアンケート実施サーバ5が回答データベース6に格納するフローチャート図を示す。
【0065】
回答者は設問作成者などから電子メールなどでアンケート公開の通知を受けたり、WWWページ上でアンケートのリンクをたどることにより、アンケートのURLを知る。
【0066】
まず、回答クライアント3は、回答者の操作によりウェブブラウザを起動し指定されたアンケートのURLに接続し、アンケート実施サーバ5にアンケート回答ページの表示を要求する(S11)。
【0067】
設問表示手段15は、アンケート表示の要求を回答クライアント3から受け、設問管理手段22に当該アンケートの設問情報を要求する。設問管理手段22は要求された設問情報を設問データベース25から取得し、設問表示手段15に送出する。設問表示手段15は、取得した当該アンケートの設問情報に基づき、設問欄と回答欄とを一対にするなど回答できる形式に変換し、送信手段11を介して回答クライアント3に送信する(S12)。
【0068】
回答クライアント3は、アンケートに対して回答者が入力した回答情報をアンケート実施サーバ5へ送信する(S13)。回答受付手段16は、送信された回答情報を暗号化・復号化手段19へ送出する(S14)。
【0069】
暗号化・復号化手段19は、暗号キー管理手段20に暗号キーを要求する。暗号キー管理手段20はアンケート毎に暗号キーを生成して暗号化・復号化手段19に送出してもよいし、暗号キーデータベース24よりアンケートに対応して管理されるアンケートのキーを抽出し、抽出した暗号キーを暗号化・復号化手段19に送出してもよい。
【0070】
暗号化・復号化手段19は、各設問の暗号化必要/不要の情報である暗号化指示情報を参照し、暗号化が必要な設問に対する回答情報のみ、当該暗号キーにより暗号化する(S15)。暗号化・復号化手段19は、アンケート毎に異なる暗号キー及び復号キーを用いるので、仮に一の複合キーが漏洩しても復号化される回答情報を最小限に止めることができる。
【0071】
暗号化が終了すると暗号化・復号化手段19は回答管理手段23に回答情報を送出する。回答管理手段23は、回答情報をアンケート毎に対応づけて回答データベース6送信し格納する(S16)。
【0072】
図7は、回答データベース6に格納される回答情報の一例を示す。回答Noは、例えば回答クライアント3による回答順に当該回答情報に付与される連番である。回答情報には、設問毎に回答が記録されている。図7では、*マークで示された回答は暗号化されていること、すなわち個人情報であることを示す。したがって、回答情報は、暗号化された回答と平文のままの回答が混在している。
【0073】
図1又は2のアンケート実施システムに示すように、暗号化・復号化手段19及び暗号キーデータベース24と、回答データベース6とを分離することにより、回答データベース6に不正にアクセスされても、個人情報などの重要なデータは暗号化されており、復号キーは回答データベース6から取得できないので、個人情報の漏えいを防ぐことが可能である。
【0074】
また、暗号化するべき情報と暗号化の必要ない情報を判別することにより、暗号化・復号化処理によるシステムの負荷増加を最小限に抑えながら重要な情報の安全性を高めることができる。
【0075】
また、図2に示すアンケート実施サーバ5の構成であれば、暗号化・復号化を回答データベース6によって行うので、個人情報の安全性を確保したままアンケート実施サーバ5の負荷を減らすことができる。
【0076】
また、同じアンケート実施システム内で、アンケート毎に暗号キー及び復号キーを管理することにより、所定のアンケートに関連するデータは取得可能であっても、それ以外は取得できないなど、セキュリティを向上できる。アンケート毎に暗号化の方法を変えてもよく、アンケートの重要度に応じて適切な情報アクセス制限を細かく設定することができる。
【0077】
次に、閲覧クライアント4が回答を閲覧する手順について説明する。図8は、閲覧クライアント4が回答データベース6に格納されたアンケートの回答を閲覧するフローチャート図を示す。
【0078】
まず、閲覧クライアント4は、閲覧者の操作によりウェブブラウザを起動し指定されたアンケートのURLに接続し、アンケート実施サーバ5にログインする(S21)。閲覧者は、ログイン用の画面から認証情報を入力する。
【0079】
アンケート実施サーバ5の認証手段13は、閲覧クライアント4から送られた認証情報と、認証データベース17に格納されている当該閲覧者の認証情報とを比較し、認証情報の整合性が得られた場合、閲覧クライアント4のアンケート実施システムの利用を許可する(S22)。
【0080】
認証された閲覧クライアント4は、閲覧者の操作により閲覧するアンケートの回答情報の送信をアンケート実施サーバ5に要求する(S23)。
【0081】
回答表示手段18は、認証情報を参照して当該閲覧者がアンケート回答のアクセス権限を有するか否かチェックし、アクセス権限を有していれば回答管理手段23に回答を要求する。回答管理手段23は該当するアンケートの回答情報を回答データベース6より抽出し、暗号化・復号化手段へ送出する(S24)。
【0082】
暗号化・復号化手段19は、暗号キー管理手段20より復号キーを取得し、該復号キーを用いて暗号化されている回答情報の復号化を行う(S25)。暗号化・復号化手段19は、復号化した回答情報を回答表示手段18に送出する。
【0083】
回答表示手段18は復号化された回答情報を取得し、送信手段11を介して閲覧クライアント4へ送信する(S26)。閲覧クライアント4が受け取る回答情報は閲覧クライアント4にそのまま表示できるHTML形式等であってもよいし、ファイル形式としてダウンロードするものでもよい。以上で、閲覧クライアント4にアンケートの回答が表示された。
【0084】
以上のように、本実施の形態のアンケート実施システムによれば、暗号化された回答と暗号キーとを別体に備えるので、回答情報が漏洩しても複合キーが漏洩しなければ個人情報の流出を防止できる。また、アンケート毎に暗号キーが異なるので、個人情報の漏洩を最小限に止めることが可能となる。また、暗号化するか否かを自動的に判定するので、暗号化を忘れるといったことを防止できる。また、閲覧者の回答へのアクセス権限をチェックするので、一の閲覧者により大量の回答が入手されることが防止できる。
【図面の簡単な説明】
【0085】
【図1】アンケート実施システムのシステム構成図である。
【図2】アンケート実施システムのシステム構成図の一例である。
【図3】アンケート実施サーバのハードウェア構成図の一例である。
【図4】作成された設問をアンケート実施サーバが蓄積するフローチャート図である。
【図5】設問作成のための入力画面の一例である。
【図6】回答された回答をアンケート実施サーバが回答データベースに格納するフローチャート図である。
【図7】回答データベースに格納される回答情報の一例である。
【図8】閲覧クライアントがアンケートの回答を閲覧するフローチャート図である。
【符号の説明】
【0086】
1、7 ネットワーク
2 作成クライアント
3 回答クライアント
4 閲覧クライアント
5 アンケート実施サーバ
6 回答データベース
11 送信手段
12 受信手段
13 認証手段
14 設問作成手段
15 設問表示手段
16 回答受付手段
17 認証データベース
18 回答表示手段
19 暗号化・復号化手段
20 暗号キー管理手段
21 設問判定手段
22 設問管理手段
23 回答管理手段
24 暗号キーデータベース
25 設問データベース
【特許請求の範囲】
【請求項1】
アンケートを実施するアンケート実施サーバと、該アンケート実施サーバとネットワークを介して接続された前記アンケートに対する回答情報を格納する回答データベースと、を有するアンケート実施システムにおいて、
前記アンケート実施サーバは、前記回答情報を受信する回答情報受信手段と、
暗号キーが格納された暗号キーデータベースと、
前記回答情報受信手段により受信した前記回答情報を、前記暗号データベースに格納された前記暗号キーで暗号化する暗号化・復号化手段と、を有し、
前記回答データベースは、前記アンケート実施サーバから受信した前記暗号化・復号化手段により暗号化された回答情報を格納する、
ことを特徴とするアンケート実施システム。
【請求項2】
前記アンケート実施サーバは、前記回答情報受信手段により受信した前記回答情報を暗号化するか否か設問毎に判定する設問判定手段を有し、
前記暗号化・復号化手段は、前記設問判定手段により暗号化すると判定された前記設問に対する前記回答情報を暗号化する、
ことを特徴とする請求項1記載のアンケート実施システム。
【請求項3】
前記アンケート実施サーバは、
前記暗号キーデータベースに格納された前記暗号キーを各アンケートと対応づけて管理する暗号・復号キー管理手段を有し、
前記暗号化・復号化手段は、前記暗号・復号キー管理手段により管理された前記暗号キーにより、アンケート毎に異なる前記暗号キーを用いて前記回答情報の暗号化を行う、
ことを特徴とする請求項1又は2記載のアンケート実施システム。
【請求項4】
アンケートを提供するアンケート実施サーバと、該アンケート実施サーバとネットワークを介して接続された前記アンケートに対する回答情報を格納する回答データベースと、を有するアンケート実施システムにおいて、
前記アンケート実施サーバは、前記回答情報を受信する回答情報受信手段と、
暗号キーが格納された暗号キーデータベースと、
前記回答情報及び前記暗号キーデータベースに格納された前記暗号キーを前記回答データベースに送信する回答情報送信手段と、を有し、
前記回答データベースは、
前記アンケート実施サーバから前記回答情報及び前記暗号キーを受信する回答情報受信手段と、
前記回答情報受信手段により受信した前記回答情報を前記暗号キーで暗号化する暗号化・復号化手段と、を有する、
ことを特徴とするアンケート実施システム。
【請求項5】
前記アンケート実施サーバは、前記回答情報を暗号化するか否か設問毎に判定する設問判定手段を有し、
前記暗号化・復号化手段は、前記設問判定手段により暗号化すると判定された前記設問に対する前記回答情報を暗号化する、
ことを特徴とする請求項4記載のアンケート実施システム。
【請求項6】
前記アンケート実施サーバは、前記暗号キーデータベースに格納された前記暗号キーを各アンケートと対応づけて管理する暗号・復号キー管理手段を有し、
前記回答情報送信手段は、前記暗号・復号キー管理手段により抽出されたアンケート毎に異なる前記暗号キーを前記回答情報と共に前記回答データベースに送信し、
前記暗号化・復号化手段は、アンケート毎に異なる前記暗号キーにより前記回答情報を暗号化する、
ことを特徴とする請求項4又は5記載のアンケート実施システム。
【請求項7】
アンケートに対する回答情報を記憶する回答データベースとネットワークを介して接続された、アンケートを実施するアンケート実施サーバにおいて、
前記回答情報を受信する回答情報受信手段と、
暗号キーが格納された暗号キーデータベースと、
前記回答情報受信手段により受信した前記回答情報を、前記暗号キーデータベースに格納された前記暗号キーで暗号化する暗号化・復号化手段と、を有し、
前記暗号化・復号化手段により暗号化された前記回答情報を前記回答データベースに送信する、
ことを特徴とするアンケート実施サーバ。
【請求項8】
前記アンケートの設問に対する回答情報を暗号化するか否か設問毎に判定する設問判定手段を有し、
前記暗号化・復号化手段は、前記設問判定手段により暗号化すると判定された前記設問に対する前記回答情報を暗号化する、
ことを特徴とする請求項7記載のアンケート実施サーバ。
【請求項9】
前記暗号キーデータベースに格納された前記暗号キーを各アンケートと対応づけて管理する暗号・復号キー管理手段を有し、
前記暗号化・復号化手段は、前記暗号・復号キー管理手段により管理された前記暗号キーにより、アンケート毎に異なる前記暗号キーを用いて前記回答情報の暗号化を行う、
ことを特徴とする請求項7又は8記載のアンケート実施サーバ。
【請求項1】
アンケートを実施するアンケート実施サーバと、該アンケート実施サーバとネットワークを介して接続された前記アンケートに対する回答情報を格納する回答データベースと、を有するアンケート実施システムにおいて、
前記アンケート実施サーバは、前記回答情報を受信する回答情報受信手段と、
暗号キーが格納された暗号キーデータベースと、
前記回答情報受信手段により受信した前記回答情報を、前記暗号データベースに格納された前記暗号キーで暗号化する暗号化・復号化手段と、を有し、
前記回答データベースは、前記アンケート実施サーバから受信した前記暗号化・復号化手段により暗号化された回答情報を格納する、
ことを特徴とするアンケート実施システム。
【請求項2】
前記アンケート実施サーバは、前記回答情報受信手段により受信した前記回答情報を暗号化するか否か設問毎に判定する設問判定手段を有し、
前記暗号化・復号化手段は、前記設問判定手段により暗号化すると判定された前記設問に対する前記回答情報を暗号化する、
ことを特徴とする請求項1記載のアンケート実施システム。
【請求項3】
前記アンケート実施サーバは、
前記暗号キーデータベースに格納された前記暗号キーを各アンケートと対応づけて管理する暗号・復号キー管理手段を有し、
前記暗号化・復号化手段は、前記暗号・復号キー管理手段により管理された前記暗号キーにより、アンケート毎に異なる前記暗号キーを用いて前記回答情報の暗号化を行う、
ことを特徴とする請求項1又は2記載のアンケート実施システム。
【請求項4】
アンケートを提供するアンケート実施サーバと、該アンケート実施サーバとネットワークを介して接続された前記アンケートに対する回答情報を格納する回答データベースと、を有するアンケート実施システムにおいて、
前記アンケート実施サーバは、前記回答情報を受信する回答情報受信手段と、
暗号キーが格納された暗号キーデータベースと、
前記回答情報及び前記暗号キーデータベースに格納された前記暗号キーを前記回答データベースに送信する回答情報送信手段と、を有し、
前記回答データベースは、
前記アンケート実施サーバから前記回答情報及び前記暗号キーを受信する回答情報受信手段と、
前記回答情報受信手段により受信した前記回答情報を前記暗号キーで暗号化する暗号化・復号化手段と、を有する、
ことを特徴とするアンケート実施システム。
【請求項5】
前記アンケート実施サーバは、前記回答情報を暗号化するか否か設問毎に判定する設問判定手段を有し、
前記暗号化・復号化手段は、前記設問判定手段により暗号化すると判定された前記設問に対する前記回答情報を暗号化する、
ことを特徴とする請求項4記載のアンケート実施システム。
【請求項6】
前記アンケート実施サーバは、前記暗号キーデータベースに格納された前記暗号キーを各アンケートと対応づけて管理する暗号・復号キー管理手段を有し、
前記回答情報送信手段は、前記暗号・復号キー管理手段により抽出されたアンケート毎に異なる前記暗号キーを前記回答情報と共に前記回答データベースに送信し、
前記暗号化・復号化手段は、アンケート毎に異なる前記暗号キーにより前記回答情報を暗号化する、
ことを特徴とする請求項4又は5記載のアンケート実施システム。
【請求項7】
アンケートに対する回答情報を記憶する回答データベースとネットワークを介して接続された、アンケートを実施するアンケート実施サーバにおいて、
前記回答情報を受信する回答情報受信手段と、
暗号キーが格納された暗号キーデータベースと、
前記回答情報受信手段により受信した前記回答情報を、前記暗号キーデータベースに格納された前記暗号キーで暗号化する暗号化・復号化手段と、を有し、
前記暗号化・復号化手段により暗号化された前記回答情報を前記回答データベースに送信する、
ことを特徴とするアンケート実施サーバ。
【請求項8】
前記アンケートの設問に対する回答情報を暗号化するか否か設問毎に判定する設問判定手段を有し、
前記暗号化・復号化手段は、前記設問判定手段により暗号化すると判定された前記設問に対する前記回答情報を暗号化する、
ことを特徴とする請求項7記載のアンケート実施サーバ。
【請求項9】
前記暗号キーデータベースに格納された前記暗号キーを各アンケートと対応づけて管理する暗号・復号キー管理手段を有し、
前記暗号化・復号化手段は、前記暗号・復号キー管理手段により管理された前記暗号キーにより、アンケート毎に異なる前記暗号キーを用いて前記回答情報の暗号化を行う、
ことを特徴とする請求項7又は8記載のアンケート実施サーバ。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2006−235734(P2006−235734A)
【公開日】平成18年9月7日(2006.9.7)
【国際特許分類】
【出願番号】特願2005−45922(P2005−45922)
【出願日】平成17年2月22日(2005.2.22)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
【公開日】平成18年9月7日(2006.9.7)
【国際特許分類】
【出願日】平成17年2月22日(2005.2.22)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
[ Back to top ]