データ制御装置及びプログラム
【課題】意図せぬ他人に秘密にされるべきデータの利用を、ユーザやクライアント端末の状態に応じた態様で制限する。
【解決手段】秘密データを記憶するクライアント端末200は、サーバ装置100と通信し、真正なユーザが操作していることの確認(ユーザ確認)を定期的に行う。サーバ装置100は、ユーザ確認が正常に行われなかった場合に、クライアント端末200に記憶された秘密データをサーバ装置100に転送させるとともに、クライアント端末200に記憶された秘密データを消去する。サーバ装置100に記憶された秘密データは、所定の操作を行えば、クライアント端末200に復元可能である。また、サーバ装置100は、窓口端末400から所定の通知があった場合には、秘密データを消去する。
【解決手段】秘密データを記憶するクライアント端末200は、サーバ装置100と通信し、真正なユーザが操作していることの確認(ユーザ確認)を定期的に行う。サーバ装置100は、ユーザ確認が正常に行われなかった場合に、クライアント端末200に記憶された秘密データをサーバ装置100に転送させるとともに、クライアント端末200に記憶された秘密データを消去する。サーバ装置100に記憶された秘密データは、所定の操作を行えば、クライアント端末200に復元可能である。また、サーバ装置100は、窓口端末400から所定の通知があった場合には、秘密データを消去する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、クライアント端末に記憶されたデータが意図せぬ他人に利用されないようにするための技術に関する。
【背景技術】
【0002】
あるユーザが使用する端末には、他人に見られたりしたくないデータが記憶されていることがある。しかし、不測の事態が生じた場合には、このようなデータが他人に利用可能な状態になってしまうおそれがある。ここにおいて、不測の事態とは、例えば、ユーザが端末を紛失した場合や、ユーザが死亡した場合などである。特許文献1には、携帯通信端末を紛失した場合に、正当な所有者から通信事業者への連絡に基づき、遠隔制御によって通話の禁止や個人情報データの消去を行うことが記載されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2003−319453号公報(段落0038等)
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかし、例えばユーザが死亡した場合、ユーザが実際に死亡したタイミングと、当該ユーザの死亡が通信事業者に通知されるタイミングとには、時間差が生じる。このような時間内には、故人であるユーザが秘密にしておきたかったデータが他人に暴露され、故人の尊厳やプライバシーが侵されるおそれがある。これは、ユーザの死亡を端末の紛失に置き換えたとしても、同様のことがいえる。
そこで、本発明は、意図せぬ他人に秘密にされるべきデータの利用を、ユーザやクライアント端末の状態に応じた態様で制限することを目的とする。
【課題を解決するための手段】
【0005】
本発明の一態様に係るデータ制御装置は、クライアント端末又はそのユーザが特定の状態であることを複数の判定条件を用いて判定する判定部と、前記判定部が前記特定の状態であると判定すると、前記複数の判定条件のそれぞれに応じてあらかじめ決められた態様のうち、当該判定に用いられた判定条件に応じた態様に従って前記クライアント端末に記憶されたデータの利用が制限されるように、当該データの取り扱いを制御するデータ制御部とを備える構成を有する。
【0006】
本発明の好ましい態様において、前記データ制御部は、前記判定部が第1の判定条件により前記特定の状態を判定した場合に、前記データを前記クライアント端末から消去するとともに、当該データを他の記憶装置に記憶し、前記判定部が前記第1の判定条件による判定の後に第2の判定条件により前記特定の状態を判定した場合に、前記記憶装置に記憶された前記データを利用不可能にする。
本発明の別の好ましい態様において、前記データ制御部は、前記判定部が第1の判定条件により前記特定の状態を判定した場合に、前記データを特定のユーザのみに利用可能にする処理を実行し、前記判定部が第2の判定条件により前記特定の状態を判定した場合に、前記データを利用不可能にする。
本発明のさらに別の好ましい態様において、前記クライアント端末は、複数の前記データを記憶し、前記データ制御部は、前記判定に用いられた判定条件に応じた前記データの取り扱いを制御する。
【0007】
本発明の別の態様に係るプログラムは、コンピュータに、クライアント端末又はそのユーザが特定の状態であることを複数の判定条件を用いて判定するステップと、前記特定の状態であると判定されると、前記複数の判定条件のそれぞれに応じてあらかじめ決められた態様のうち、当該判定に用いられた判定条件に応じた態様に従って前記クライアント端末に記憶されたデータの利用が制限されるように、当該データの取り扱いを制御するステップとを実行させるためのものである。
【発明の効果】
【0008】
本発明によれば、意図せぬ他人に秘密にされるべきデータの利用を、ユーザやクライアント端末の状態に応じた態様で制限することが可能である。
【図面の簡単な説明】
【0009】
【図1】データ制御システムの構成を示すブロック図
【図2】クライアント端末の構成を示すブロック図
【図3】サーバ装置の構成を示すブロック図
【図4】サーバ装置の制御部の機能的構成を示す機能ブロック図
【図5】判定条件と秘密データの制限の態様との対応付けを例示する図
【図6】秘密データの転送に係る第1の動作例を示すシーケンスチャート
【図7】クライアント端末の表示部に表示される画面を例示する図
【図8】秘密データの転送に係る第2の動作例を示すシーケンスチャート
【図9】秘密データの消去に係る動作例を示すシーケンスチャート
【発明を実施するための形態】
【0010】
[実施形態]
以下に記述される実施形態は、あるクライアント端末のユーザが死亡した場合に、当該ユーザが生前に行った設定に基づき、秘密にされるべきデータの利用を制限する例である。すなわち、本発明でいうところの「特定の状態」は、以下の実施形態においては、ユーザが死亡した状態のことである。
【0011】
図1は、本発明の一実施形態であるデータ制御システムの構成を示すブロック図である。図1に示すように、本実施形態のデータ制御システム10は、サーバ装置100と、クライアント端末200と、位置登録データベース300とを備え、これらをネットワークNW1によって通信可能に接続した構成である。また、データ制御システム10は、サーバ装置100に接続された窓口端末400を含む。本実施形態において、クライアント端末200は、所定の無線通信事業者により提供される無線通信サービスを用いて通信を行う無線通信端末であり、例えば、携帯電話機やスマートフォンである。また、サーバ装置100は、この無線通信事業者が管理するものである。ネットワークNW1は、無線通信網を少なくとも含み、別の通信網(インターネット、公衆交換電話網など)をさらに含んでもよいものである。ネットワークNW1は、クライアント端末200と無線通信を行う基地局を複数含む。
【0012】
なお、本システムは、図1の記載とは異なり、管理の対象となるクライアント端末200を複数有してもよいものである。この場合、本システムは、複数のクライアント端末200を複数のサーバ装置100によって分散的に管理するものであってもよい。ただし、このような構成であっても、それぞれのサーバ装置100又はクライアント端末200の構成は実質的に同一であるため、これらが複数ある構成の図示は省略する。
【0013】
図2は、クライアント端末200の構成を示すブロック図である。クライアント端末200は、図2に示すように、制御部210と、記憶部220と、通信部230と、情報入力部240と、表示部250と、音声入出力部260とを備える。制御部210は、CPU(Central Processing Unit)等の演算処理装置や主記憶装置に相当するメモリを備え、プログラムを実行することによってクライアント端末200の各部の動作を制御する。記憶部220は、制御部210が備えるメモリと異なる記憶手段であり、例えば、補助記憶装置に相当するものである。記憶部220は、いわゆるメモリカードのような着脱可能な記憶手段(リムーバブルメディア)を含んでもよいし、UIM(User Identity Module)カードを含んでもよい。記憶部220は、制御部210が処理を実行するために用いられるデータを記憶している。
【0014】
通信部230は、ネットワークNW1と通信を行うためのインターフェースである。なお、クライアント端末200の通信の相手は、サーバ装置100や位置登録データベース300だけでなく、図示しない他の端末を含み得る。情報入力部240は、ユーザによる入力を受け付ける手段であり、例えば、キーパッドやタッチスクリーンである。なお、ここでいう「入力」は、後述するユーザ確認のための入力を含む。よって、例えば、ユーザ確認を指紋認証によって行う場合であれば、情報入力部240は、指紋をスキャンする手段を含んで構成される。表示部250は、液晶ディスプレイ等の表示装置であり、文字や画像を表示する。音声入出力部260は、スピーカ及びマイクロホンを備え、収音及び放音を行う。なお、音声入出力部260は、スピーカ及びマイクロホンを接続するための端子を備えるだけの構成とし、スピーカ及びマイクロホンを外部装置として設けるものであってもよい。
【0015】
クライアント端末200は、以上の構成のもと、記憶部220に記憶されたデータを用いて種々の処理を実行する。クライアント端末200は、例えば、電子メールの送受信(及び表示)や、画像(静止画又は動画)の再生などを行う。つまり、クライアント端末200は、このような処理を実行するためのデータ(電子メールデータ、画像データなど)を記憶部220に記憶している。
【0016】
記憶部220が記憶するデータには、所定の条件が満たされたときにサーバ装置100によって利用が制限されるデータが含まれる。かかるデータのことを、以下においては「秘密データ」という。秘密データは、換言すれば、クライアント端末200のユーザが意図せぬ他人による利用を望まないデータである。なお、秘密データの「利用」の態様は、通信部230を介した送信、表示部250による文字や画像としての表示、音声入出力部260による音声としての再生などを含み得る。秘密データは、例えば、秘密にすべき文書のデータや、特定の相手あての電子メールデータがこれに該当する。ユーザは、記憶部220に記憶されたデータから秘密データとすべきデータを選択し、あらかじめその旨の設定を行っておく。秘密データの設定の方法には、データを個別に選択する方法のほか、特定のフォルダ(ディレクトリ)にデータを移動させる方法や、所望の拡張子を選択することで、当該拡張子を有するデータ全部を秘密データに設定する方法などがある。
【0017】
図3は、サーバ装置100の構成を示すブロック図である。サーバ装置100は、図3に示すように、制御部110と、記憶部120と、通信部130とを備える。制御部110は、CPU等の演算処理装置や主記憶装置に相当するメモリを備え、プログラムを実行することによってサーバ装置100の各部の動作を制御する。記憶部120は、補助記憶装置に相当する記憶手段を備え、制御部110が処理を実行するために用いられるデータを記憶している。また、記憶部120は、秘密データを一時的に記憶する記憶手段としても機能する。通信部130は、ネットワークNW1又は窓口端末400と通信を行うためのインターフェースである。
【0018】
図4は、サーバ装置100の制御部110の機能的構成を示す機能ブロック図である。制御部110は、プログラムを実行することにより、図4に示す判定部111及びデータ制御部112に相当する機能を実現する。判定部111は、クライアント端末200のユーザが死亡した状態であることを、複数の判定条件を用いて判定する。本実施形態において用いられる判定条件は、クライアント端末200を用いて繰り返し行われるユーザ確認の結果と、窓口端末400から送信されるユーザの死亡通知の2種類である。データ制御部112は、ユーザが死亡した状態であると判定部111が判定した場合に、秘密データの利用が制限されるように当該データの取り扱いを制御する。データ制御部112は、ユーザの死亡の判定に用いられた判定条件に応じて、秘密データの利用を制限する態様を異ならせる。
【0019】
位置登録データベース300は、クライアント端末200を識別する識別情報と当該端末の位置情報とを対応付けて記憶するデータベースである。また、位置登録データベース300は、秘密データの制限の態様を決めるフラグを識別情報と対応付けて記憶している。本実施形態において、このフラグの値は、「0(制限なし)」、「1(一部利用不可能)」、「2(完全に利用不可能)」の3通りであり、サーバ装置100によって書き換えられる。
なお、クライアント端末200の識別情報は、クライアント端末200(又はそのユーザ)を一意的に特定可能であれば、どのようなデータであってもよいが、例えば、電話番号などが用いられる。
【0020】
窓口端末400は、通信事業者の管理下にあり、クライアント端末200の契約の変更を受け付け、これをサーバ装置100に通知するための端末である。ここにおいて、契約の変更とは、契約者であるユーザの死亡を理由として、契約者の遺族などがクライアント端末200を解約することである。この場合、クライアント端末200は、無線通信サービスを利用することはできないが、既存のデータ(秘密データを除く。)の利用は妨げないものとする。なお、契約の変更は、クライアント端末200を使用する権利を、契約者(故人)であるユーザから他のユーザに承継するものであってもよい。このような場合においても、故人である承継前のユーザが秘密にしておきたかったデータが暴露されるおそれがあるからである。
なお、窓口端末400は、図1においては、ネットワークNW1とは別の通信回線(例えば、専用線)によってサーバ装置100に接続されていることを想定しているが、ネットワークNW1によってサーバ装置100に接続されていてもよいものである。
【0021】
データ制御システム10の構成は、以上のとおりである。この構成のもと、クライアント端末200のユーザは、通信事業者によって提供される無線通信サービスを利用し、通話やデータ通信を行う。クライアント端末200の利用に際し、ユーザは、定期的にユーザ確認を行う。ここにおいて、ユーザ確認とは、真正なユーザがクライアント端末200を操作していることを確認するための処理をいう。ユーザ確認は、例えば、あらかじめ設定されたパスワードを入力することで行われ、より望ましくは、声紋認証、指紋認証等のバイオメトリクス認証によって行われる。また、ユーザ確認の実行間隔は任意であるが、秘密データの暴露を防ぐためには、より短いほど望ましい。ただし、実際の実行間隔は、ユーザの使い勝手も考慮し、適当に(例えば、1日に1回程度)設定される。なお、クライアント端末200は、電源が長時間オフであった場合には、電源の投入直後にユーザ確認をユーザに要求してもよい。
【0022】
本実施形態においては、このユーザ確認が繰り返し行われていることをもって、ユーザが生存しているとみなすことにしている。換言すれば、本実施形態においては、ユーザ確認が正常に行われない場合には、ユーザが死亡した可能性があると推定しているということである。本実施形態における第1の判定条件は、この推定に基づくものである。
また、これとは別に、本実施形態においては、窓口端末400を介してクライアント端末200の契約が変更された場合にも、ユーザが死亡した旨の判定が行われる。本実施形態における第2の判定条件は、この契約の変更に基づくものである。
【0023】
クライアント端末200は、電源が投入(オン)されると、ネットワークNW1に含まれる近傍の基地局との通信を試みる。基地局は、それぞれの基地局に固有の信号を発信している。クライアント端末200は、基地局からこの信号を受信すると、この信号に基づいて自機の位置(ロケーションエリア)を特定し、位置登録データベース300に対して、特定した位置を表す位置情報を自機の識別情報とともに送信する。すると、位置登録データベース300は、この位置情報を識別情報と対応付けて記憶する。また、クライアント端末200は、移動によって自機の位置が変化したことを検知すると、変化後の位置情報を位置登録データベース300に送信する。このような動作が電源の投入や自機の移動の度に繰り返されることにより、クライアント端末200の位置がネットワークNW1側(通信事業者側)で把握できるようになっている。以下においては、位置情報の記録に係るこれらの一連の動作のことを「位置登録」という。
また、クライアント端末200は、位置登録データベース300にデータを送信すると、フラグの値を受信するように構成されている。サーバ装置100は、このフラグの値を、上述した判定条件を用いた判定に応じて書き換えるように構成されている。クライアント端末200は、フラグの値を参照し、必要に応じて、秘密データの利用を制限する。
【0024】
図5は、判定条件と秘密データの制限の態様との対応付けを例示する図である。本実施形態において、サーバ装置100は、図5に例示した態様に従って秘密データの利用を制限するものとする。サーバ装置100は、まず、クライアント端末200のユーザが死亡していないと判定される場合(すなわち、ユーザ確認が正常に行われ、かつ、契約の変更も通知されていない場合)には、秘密データを制限なく利用可能にする。
【0025】
一方、サーバ装置100は、ユーザ確認が正常に行われなかった場合には、秘密データをクライアント端末200からは消去し、他の記憶装置(本実施形態においては、サーバ装置100の記憶部120)に記憶させるとともに、この秘密データをロックする。ここにおいて、データのロックとは、当該データを特定のユーザのみに利用可能にする処理をいうものである。例えば、特定の鍵を用いてデータを暗号化する方法は、データのロック方法の一例である。また、当該データにアクセスするためのURL(Uniform Resource Locator)を推測が困難な文字列とし、正しいパスワードを入力した特定のユーザのみに当該URLを通知する方法も、データのロック方法の一例であるといえる。データのロックを解除するためには、このような鍵やパスワードが必要であるが、これに代えて、上述したユーザ確認が行われればロックが解除されるようにしてもよい。なお、以下においては、秘密データをクライアント端末200から他の記憶装置に移動させることを「転送」ともいう。
【0026】
また、サーバ装置100は、契約の変更が通知された場合には、秘密データを完全に利用不可能にする。このとき、サーバ装置100は、典型的には、秘密データを消去する。ただし、サーバ装置100は、秘密データを意図せぬ他人が利用できないようにすれば足りるので、秘密データを消去するのではなく、通信事業者のみが参照できるようなアクセス制限を秘密データに施してもよい。
【0027】
なお、図5に示す対応付けは、サーバ装置100の記憶部120に記憶され、必要に応じて制御部110が読み出すものであってもよいが、制御部110が実行するプログラム中に記述(いわゆるハードコーディング)されていてもよい。記憶部120に対応付けを記憶する場合には、これをプログラム中にハードコーディングする場合に比べ、対応付けの変更をより容易に行うことが可能である。
【0028】
図6は、秘密データの転送に係る第1の動作例を示すシーケンスチャートである。クライアント端末200は、図6に示すように、サーバ装置100との間でユーザ確認を行い(ステップS101)、位置登録データベース300との間で位置登録を行う(ステップS102)。クライアント端末200は、位置登録に際して、位置登録データベース300に記憶されたフラグの値を受信して参照する。なお、ステップS101及びS102の処理は、図6に図示されているものよりも前のタイミングにおいても、繰り返し実行されている。
【0029】
サーバ装置100は、ユーザ確認が行われると、あらかじめ決められた判定条件に従ってユーザの死亡を判定し(ステップS103)、判定結果をフラグとして記憶する(ステップS104)。また、サーバ装置100は、このフラグを位置登録データベース300に送信する(ステップS105)。なお、ステップS104及びS105の処理は、判定結果が前回と同じであれば、省略可能である。この説明においては、ステップS104において記憶されるフラグの値は「0」であるとする。
【0030】
ここで、クライアント端末200のユーザが、何らかの理由によって、期待されるタイミングでユーザ確認を行わなかったと仮定する(ステップS106)。つまり、ステップS106の処理は、ここでは実際には行われなかったものとする。そうすると、サーバ装置100は、ユーザの死亡の判定(ステップS107)において、上述した第1の判定条件を満たすと判定する。その結果、サーバ装置100は、フラグの値を「0」から「1」に書き換え(ステップS108)、これを位置登録データベース300に送信する(ステップS109)。また、サーバ装置100は、クライアント端末200に対して、秘密データの転送を要求する(ステップS110)。
【0031】
クライアント端末200は、ステップS110の要求に応じて、記憶部220に記憶された秘密データをサーバ装置100に送信し(ステップS111)、記憶部220からは消去する(ステップS112)。サーバ装置100は、秘密データを受信すると、秘密データをロックして、記憶部120に記憶させる(ステップS113)。
【0032】
図7は、クライアント端末200の表示部250に表示される画面を例示する図である。クライアント端末200は、このようにして、秘密データが利用不可能であることと、その復元方法とをユーザに報知する。このとき、クライアント端末200は、表示部250による表示に代えて、音声入出力部260による音声の再生によって報知を行ってもよい。ユーザは、秘密データのロックを解除することができれば、これをクライアント端末200にダウンロードすることで、秘密データを復元することが可能である。
【0033】
なお、ステップS111及びS112の処理は、クライアント端末200の電源がオンであれば実行可能であるが、クライアント端末200の電源がオフであれば実行不可能である。そこで、クライアント端末200の電源がオフであった場合には、クライアント端末200の電源がオンになったタイミングで行われる位置登録を利用して、秘密データの利用が制限される。
【0034】
図8は、秘密データの転送に係る第2の動作例を示すシーケンスチャートである。この第2の動作例は、クライアント端末200の電源がオフの状態が続き、その間にユーザ確認を行うべきタイミングが到来していた場合のものである。第2の動作例は、ステップS101〜S110の処理については、第1の動作例と共通である。
【0035】
この動作例において、クライアント端末200は、ステップS106の処理が実行されるべきタイミング以前に、電源がオフになっている(ステップS121)。よって、サーバ装置100は、ステップS110の要求に対する応答も得ることができない。
一方、クライアント端末200は、やがて何者かによって電源が投入され、データの利用等が可能な状態になる(ステップS122)。クライアント端末200の電源をオンにするのは、真正なユーザ(契約者本人)の場合もあれば、他人の場合もある。このとき、クライアント端末200は、位置登録を行い(ステップS123)、フラグの値をあわせて受信する。位置登録データベース300のフラグの値は、ステップS109の処理によって、「0」から「1」に書き換えられている。
【0036】
クライアント端末200は、受信したフラグの値に応じて、秘密データの利用を制限する。このとき、フラグの値は「1」であるから、クライアント端末200は、真正なユーザが死亡した可能性があると判断し、ユーザにユーザ確認を要求する(ステップS124)。このとき、ユーザ確認が正常に行われれば、サーバ装置100にその旨が通知され、フラグの値は「1」から「0」に書き換えられる。一方、ユーザ確認が行われなければ、クライアント端末200は、記憶部220に記憶された秘密データをサーバ装置100に送信し(ステップS125)、記憶部220からは消去する(ステップS126)。サーバ装置100は、秘密データを受信すると、秘密データをロックして、記憶部120に記憶させる(ステップS127)。
【0037】
図9は、秘密データの消去に係る動作例を示すシーケンスチャートである。クライアント端末200について契約の変更があった場合には、図9に示すように、窓口端末400からサーバ装置100にその旨が通知される(ステップS201)。このとき、サーバ装置100は、クライアント端末200が第2の判定条件を満たすと判定する(ステップS202)。また、サーバ装置100は、この判定結果に従い、フラグを更新するとともに、秘密データを消去する(ステップS203、S204)。サーバ装置100は、その後にフラグを参照する可能性がない場合であれば、ステップS203の処理を省略してもよい。また、サーバ装置100は、その後にフラグを参照する可能性がある場合には、位置登録データベース300にフラグの値を送信する。
【0038】
なお、第1の判定条件が満たされる前に第2の判定条件が満たされた場合、秘密データは、サーバ装置100ではなくクライアント端末200に記憶されている。よって、この場合には、サーバ装置100は、クライアント端末200に対して秘密データの消去を要求する。このときの動作は、第1の動作例のステップS110及びS112の処理と同様のものである。ただし、秘密データのサーバ装置100への転送は行われない。
【0039】
以上のとおり、本実施形態のデータ制御システム10は、秘密データの利用を制限する態様として、クライアント端末200とは別の記憶装置にこれを記憶させ、さらにロックを行う第1の態様と、秘密データを利用不可能にする第2の態様とを有する。よって、データ制御システム10によれば、第1の態様の次に第2の態様で秘密データの利用が制限されることで、秘密データの利用の制限の態様を段階的に変化させることが可能となる。このようにすることで、ユーザが死亡している“かもしれない”という不確定な状態における秘密データの暴露を生じにくくすることが可能である。なお、この状態において、秘密データは、クライアント端末200に復元可能な状態で他の記憶装置に記憶されている。よって、ユーザが死亡しておらず、単にユーザ確認を怠っただけの場合であっても、秘密データが復元不可能に失われ、ユーザに不利益を与えるおそれが少ない。
【0040】
[変形例]
上述した実施形態は、本発明の実施の一例にすぎない。本発明は、上述した実施形態に対して、以下の変形を適用することが可能である。なお、以下に示す変形例は、必要に応じて、各々を適当に組み合わせて実施されてもよいものである。
【0041】
(変形例1)
本発明は、ユーザの状態に限らず、クライアント端末の状態に応じてデータの利用を制限するものであってもよい。ここにおいて、クライアント端末の状態とは、例えば、クライアント端末を紛失した状態をいう。本発明は、このような場合においても、ユーザがクライアント端末を紛失してから紛失に気付くまでの間にデータが暴露されることの防止を期待することができる。
なお、クライアント端末の紛失に伴うデータ制御の場合、サーバ装置は、クライアント端末から転送したデータを消去することに代えて、ユーザが新たに使用する別のクライアント端末にデータを移動させてもよい。
【0042】
(変形例2)
本発明において、特定の状態において制御対象となるデータは、クライアント端末に記憶されたデータの一部ではなく、全部であってもよい。
また、本発明において、データの利用の制限は、複数の態様が考えられる。本発明に係るデータ制御装置は、例えば、第1の判定条件が満たされたときにデータを(転送せずに)ロックし、第2の判定条件が満たされたときにクライアント端末からデータを消去する制御を行うものであってもよい。あるいは、本発明に係るデータ制御装置は、第1の判定条件が満たされたときにデータを転送し、第2の判定条件が満たされたときに当該データをロックする制御を行うものであってもよい。要するに、本発明に係るデータ制御装置の一つの態様は、第2の判定条件が満たされたときに、第1の判定条件が満たされたときよりもデータの利用がより制限されるようにその取り扱いを制御するものであれば、データの具体的な制限の態様は特に限定されないものである。
【0043】
また、本発明に係るデータ制御装置は、3以上の判定条件を用いてデータの利用を制限するものであってもよい。例えば、上述した実施形態を例に説明すると、ユーザ確認が第1の期間(例えば、12時間)に行われなかったときに第1の判定条件が満たされ、ユーザ確認が第1の期間よりも長い第2の期間(例えば、24時間)に行われなかったときに第2の判定条件が満たされ、契約の変更が通知されたときに第3の判定条件が満たされる、といった判定条件を用いることも可能である。この3種類の判定条件を用いた場合には、データ制御装置は、第1の判定条件が満たされたときにデータを転送し、第2の判定条件が満たされたときに当該データをロックし、第3の判定条件が満たされたときに当該データを消去するように制御してもよい。あるいは、データ制御装置は、第1の判定条件が満たされたときにデータを所定の暗号強度で暗号化し、第2の判定条件が満たされたときに当該データをより高い暗号強度で暗号化し、第3の判定条件が満たされたときに当該データを消去するように制御してもよい。
【0044】
さらに、本発明に係るデータ制御装置は、複数の判定条件のそれぞれにデータを対応付け、判定部による判定に用いられた判定条件に応じたデータの取り扱いを制御するものであってもよい。例えば、本発明に係るクライアント端末には、第1の判定条件が満たされたときに消去される第1のデータと、第2の判定条件が満たされたときに消去される第2のデータとが記憶されていてもよい。この例において、第1のデータを上述した秘密データとし、第2のデータを秘密データ以外のデータとすると、本発明は、第1の判定条件が満たされたときにクライアント端末から秘密データが消去され、第2の判定条件が満たされたときにクライアント端末から全部のデータが消去される、といったものになる。
【0045】
(変形例3)
本発明において、データの利用を制限することは、当該データを特定のユーザのみに限定的に利用可能にするものであるともいえる。ここにおいて、特定のユーザは、クライアント端末を使用するユーザ自身に限定されるものではなく、当該ユーザの親族や友人といった他のユーザであってもよい。そうすると、本発明は、あるクライアント端末のユーザが死亡した場合に、当該クライアント端末に記憶されていたデータを特定の他人のみが利用可能なように転送等するものであるとすることも可能である。このような態様によれば、本発明は、ユーザが死亡したときに、クライアント端末に記憶されたデータを当該ユーザからの遺言や形見のようにすることができる。なお、ここでいう他人によるデータの利用の方法には、当該データを当該他人のみが参照可能なように他の記憶装置に転送する方法と、当該データをクライアント端末に残しておきながら、当該他人のみが参照可能なようにロックする方法とが考えられる。
【0046】
(変形例4)
本発明に係るデータ制御装置は、上述した実施形態においては、サーバ装置100の制御部110がこれに相当する。しかし、本発明に係るデータ制御装置は、クライアント端末によって実現することも可能である。この場合、クライアント端末は、第2の判定条件による判定を行うためのデータ(すなわち、契約の変更を通知するデータ)をサーバ装置(又は窓口端末)から受信するように構成されていればよい。
【0047】
また、クライアント端末が無線通信端末である場合、当該端末がネットワークの圏外にある場合には、ネットワーク側からの制御が不可能である。そうすると、ユーザが死亡し、又はクライアント端末を紛失した後に、他人によってクライアント端末が圏外に持ち出されると、当該他人がデータを自由に利用できるようになる可能性がある。このような事態に備え、クライアント端末は、電源のオフが連続している時間や自機が圏外である時間を計測する手段を備え、ネットワークとの通信を行っていない時間が所定の時間を超えるか否かを判定条件として用いるようにしてもよい。
【0048】
(変形例5)
クライアント端末に記憶されていたデータの転送先は、上述した実施形態においては、サーバ装置100の記憶部120である。しかし、本発明において、クライアント端末に記憶されていたデータの転送先は、本発明に係るサーバ装置とは別体に構成された記憶装置であってもよい。例えば、上述した変形例3の態様においては、親族や友人が使用する端末もデータの転送先となり得る。
【0049】
(変形例6)
本発明に係るクライアント端末は、携帯電話等の無線通信端末に限らず、例えば、有線接続されたパーソナルコンピュータであってもよい。なお、有線接続された通信端末を用いる場合には、位置登録に係る構成や処理が省略可能である。
また、本発明は、データ制御装置やこれを含むデータ制御システムのみならず、これらを実現するための方法や、コンピュータに図4に示した機能を実現させるためのプログラムとしても把握されるものである。かかるプログラムは、これを記憶させた光ディスク等の記録媒体の形態で提供されたり、インターネット等のネットワークを介して、コンピュータにダウンロードさせ、これをインストールして利用可能にするなどの形態でも提供されたりすることができるものである。
【符号の説明】
【0050】
10…データ制御システム、100…サーバ装置、110…制御部、111…判定部、112…データ制御部、120…記憶部、130…通信部、200…クライアント端末、210…制御部、220…記憶部、230…通信部、240…情報入力部、250…表示部、260…音声入出力部、300…位置登録データベース、400…窓口端末
【技術分野】
【0001】
本発明は、クライアント端末に記憶されたデータが意図せぬ他人に利用されないようにするための技術に関する。
【背景技術】
【0002】
あるユーザが使用する端末には、他人に見られたりしたくないデータが記憶されていることがある。しかし、不測の事態が生じた場合には、このようなデータが他人に利用可能な状態になってしまうおそれがある。ここにおいて、不測の事態とは、例えば、ユーザが端末を紛失した場合や、ユーザが死亡した場合などである。特許文献1には、携帯通信端末を紛失した場合に、正当な所有者から通信事業者への連絡に基づき、遠隔制御によって通話の禁止や個人情報データの消去を行うことが記載されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2003−319453号公報(段落0038等)
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかし、例えばユーザが死亡した場合、ユーザが実際に死亡したタイミングと、当該ユーザの死亡が通信事業者に通知されるタイミングとには、時間差が生じる。このような時間内には、故人であるユーザが秘密にしておきたかったデータが他人に暴露され、故人の尊厳やプライバシーが侵されるおそれがある。これは、ユーザの死亡を端末の紛失に置き換えたとしても、同様のことがいえる。
そこで、本発明は、意図せぬ他人に秘密にされるべきデータの利用を、ユーザやクライアント端末の状態に応じた態様で制限することを目的とする。
【課題を解決するための手段】
【0005】
本発明の一態様に係るデータ制御装置は、クライアント端末又はそのユーザが特定の状態であることを複数の判定条件を用いて判定する判定部と、前記判定部が前記特定の状態であると判定すると、前記複数の判定条件のそれぞれに応じてあらかじめ決められた態様のうち、当該判定に用いられた判定条件に応じた態様に従って前記クライアント端末に記憶されたデータの利用が制限されるように、当該データの取り扱いを制御するデータ制御部とを備える構成を有する。
【0006】
本発明の好ましい態様において、前記データ制御部は、前記判定部が第1の判定条件により前記特定の状態を判定した場合に、前記データを前記クライアント端末から消去するとともに、当該データを他の記憶装置に記憶し、前記判定部が前記第1の判定条件による判定の後に第2の判定条件により前記特定の状態を判定した場合に、前記記憶装置に記憶された前記データを利用不可能にする。
本発明の別の好ましい態様において、前記データ制御部は、前記判定部が第1の判定条件により前記特定の状態を判定した場合に、前記データを特定のユーザのみに利用可能にする処理を実行し、前記判定部が第2の判定条件により前記特定の状態を判定した場合に、前記データを利用不可能にする。
本発明のさらに別の好ましい態様において、前記クライアント端末は、複数の前記データを記憶し、前記データ制御部は、前記判定に用いられた判定条件に応じた前記データの取り扱いを制御する。
【0007】
本発明の別の態様に係るプログラムは、コンピュータに、クライアント端末又はそのユーザが特定の状態であることを複数の判定条件を用いて判定するステップと、前記特定の状態であると判定されると、前記複数の判定条件のそれぞれに応じてあらかじめ決められた態様のうち、当該判定に用いられた判定条件に応じた態様に従って前記クライアント端末に記憶されたデータの利用が制限されるように、当該データの取り扱いを制御するステップとを実行させるためのものである。
【発明の効果】
【0008】
本発明によれば、意図せぬ他人に秘密にされるべきデータの利用を、ユーザやクライアント端末の状態に応じた態様で制限することが可能である。
【図面の簡単な説明】
【0009】
【図1】データ制御システムの構成を示すブロック図
【図2】クライアント端末の構成を示すブロック図
【図3】サーバ装置の構成を示すブロック図
【図4】サーバ装置の制御部の機能的構成を示す機能ブロック図
【図5】判定条件と秘密データの制限の態様との対応付けを例示する図
【図6】秘密データの転送に係る第1の動作例を示すシーケンスチャート
【図7】クライアント端末の表示部に表示される画面を例示する図
【図8】秘密データの転送に係る第2の動作例を示すシーケンスチャート
【図9】秘密データの消去に係る動作例を示すシーケンスチャート
【発明を実施するための形態】
【0010】
[実施形態]
以下に記述される実施形態は、あるクライアント端末のユーザが死亡した場合に、当該ユーザが生前に行った設定に基づき、秘密にされるべきデータの利用を制限する例である。すなわち、本発明でいうところの「特定の状態」は、以下の実施形態においては、ユーザが死亡した状態のことである。
【0011】
図1は、本発明の一実施形態であるデータ制御システムの構成を示すブロック図である。図1に示すように、本実施形態のデータ制御システム10は、サーバ装置100と、クライアント端末200と、位置登録データベース300とを備え、これらをネットワークNW1によって通信可能に接続した構成である。また、データ制御システム10は、サーバ装置100に接続された窓口端末400を含む。本実施形態において、クライアント端末200は、所定の無線通信事業者により提供される無線通信サービスを用いて通信を行う無線通信端末であり、例えば、携帯電話機やスマートフォンである。また、サーバ装置100は、この無線通信事業者が管理するものである。ネットワークNW1は、無線通信網を少なくとも含み、別の通信網(インターネット、公衆交換電話網など)をさらに含んでもよいものである。ネットワークNW1は、クライアント端末200と無線通信を行う基地局を複数含む。
【0012】
なお、本システムは、図1の記載とは異なり、管理の対象となるクライアント端末200を複数有してもよいものである。この場合、本システムは、複数のクライアント端末200を複数のサーバ装置100によって分散的に管理するものであってもよい。ただし、このような構成であっても、それぞれのサーバ装置100又はクライアント端末200の構成は実質的に同一であるため、これらが複数ある構成の図示は省略する。
【0013】
図2は、クライアント端末200の構成を示すブロック図である。クライアント端末200は、図2に示すように、制御部210と、記憶部220と、通信部230と、情報入力部240と、表示部250と、音声入出力部260とを備える。制御部210は、CPU(Central Processing Unit)等の演算処理装置や主記憶装置に相当するメモリを備え、プログラムを実行することによってクライアント端末200の各部の動作を制御する。記憶部220は、制御部210が備えるメモリと異なる記憶手段であり、例えば、補助記憶装置に相当するものである。記憶部220は、いわゆるメモリカードのような着脱可能な記憶手段(リムーバブルメディア)を含んでもよいし、UIM(User Identity Module)カードを含んでもよい。記憶部220は、制御部210が処理を実行するために用いられるデータを記憶している。
【0014】
通信部230は、ネットワークNW1と通信を行うためのインターフェースである。なお、クライアント端末200の通信の相手は、サーバ装置100や位置登録データベース300だけでなく、図示しない他の端末を含み得る。情報入力部240は、ユーザによる入力を受け付ける手段であり、例えば、キーパッドやタッチスクリーンである。なお、ここでいう「入力」は、後述するユーザ確認のための入力を含む。よって、例えば、ユーザ確認を指紋認証によって行う場合であれば、情報入力部240は、指紋をスキャンする手段を含んで構成される。表示部250は、液晶ディスプレイ等の表示装置であり、文字や画像を表示する。音声入出力部260は、スピーカ及びマイクロホンを備え、収音及び放音を行う。なお、音声入出力部260は、スピーカ及びマイクロホンを接続するための端子を備えるだけの構成とし、スピーカ及びマイクロホンを外部装置として設けるものであってもよい。
【0015】
クライアント端末200は、以上の構成のもと、記憶部220に記憶されたデータを用いて種々の処理を実行する。クライアント端末200は、例えば、電子メールの送受信(及び表示)や、画像(静止画又は動画)の再生などを行う。つまり、クライアント端末200は、このような処理を実行するためのデータ(電子メールデータ、画像データなど)を記憶部220に記憶している。
【0016】
記憶部220が記憶するデータには、所定の条件が満たされたときにサーバ装置100によって利用が制限されるデータが含まれる。かかるデータのことを、以下においては「秘密データ」という。秘密データは、換言すれば、クライアント端末200のユーザが意図せぬ他人による利用を望まないデータである。なお、秘密データの「利用」の態様は、通信部230を介した送信、表示部250による文字や画像としての表示、音声入出力部260による音声としての再生などを含み得る。秘密データは、例えば、秘密にすべき文書のデータや、特定の相手あての電子メールデータがこれに該当する。ユーザは、記憶部220に記憶されたデータから秘密データとすべきデータを選択し、あらかじめその旨の設定を行っておく。秘密データの設定の方法には、データを個別に選択する方法のほか、特定のフォルダ(ディレクトリ)にデータを移動させる方法や、所望の拡張子を選択することで、当該拡張子を有するデータ全部を秘密データに設定する方法などがある。
【0017】
図3は、サーバ装置100の構成を示すブロック図である。サーバ装置100は、図3に示すように、制御部110と、記憶部120と、通信部130とを備える。制御部110は、CPU等の演算処理装置や主記憶装置に相当するメモリを備え、プログラムを実行することによってサーバ装置100の各部の動作を制御する。記憶部120は、補助記憶装置に相当する記憶手段を備え、制御部110が処理を実行するために用いられるデータを記憶している。また、記憶部120は、秘密データを一時的に記憶する記憶手段としても機能する。通信部130は、ネットワークNW1又は窓口端末400と通信を行うためのインターフェースである。
【0018】
図4は、サーバ装置100の制御部110の機能的構成を示す機能ブロック図である。制御部110は、プログラムを実行することにより、図4に示す判定部111及びデータ制御部112に相当する機能を実現する。判定部111は、クライアント端末200のユーザが死亡した状態であることを、複数の判定条件を用いて判定する。本実施形態において用いられる判定条件は、クライアント端末200を用いて繰り返し行われるユーザ確認の結果と、窓口端末400から送信されるユーザの死亡通知の2種類である。データ制御部112は、ユーザが死亡した状態であると判定部111が判定した場合に、秘密データの利用が制限されるように当該データの取り扱いを制御する。データ制御部112は、ユーザの死亡の判定に用いられた判定条件に応じて、秘密データの利用を制限する態様を異ならせる。
【0019】
位置登録データベース300は、クライアント端末200を識別する識別情報と当該端末の位置情報とを対応付けて記憶するデータベースである。また、位置登録データベース300は、秘密データの制限の態様を決めるフラグを識別情報と対応付けて記憶している。本実施形態において、このフラグの値は、「0(制限なし)」、「1(一部利用不可能)」、「2(完全に利用不可能)」の3通りであり、サーバ装置100によって書き換えられる。
なお、クライアント端末200の識別情報は、クライアント端末200(又はそのユーザ)を一意的に特定可能であれば、どのようなデータであってもよいが、例えば、電話番号などが用いられる。
【0020】
窓口端末400は、通信事業者の管理下にあり、クライアント端末200の契約の変更を受け付け、これをサーバ装置100に通知するための端末である。ここにおいて、契約の変更とは、契約者であるユーザの死亡を理由として、契約者の遺族などがクライアント端末200を解約することである。この場合、クライアント端末200は、無線通信サービスを利用することはできないが、既存のデータ(秘密データを除く。)の利用は妨げないものとする。なお、契約の変更は、クライアント端末200を使用する権利を、契約者(故人)であるユーザから他のユーザに承継するものであってもよい。このような場合においても、故人である承継前のユーザが秘密にしておきたかったデータが暴露されるおそれがあるからである。
なお、窓口端末400は、図1においては、ネットワークNW1とは別の通信回線(例えば、専用線)によってサーバ装置100に接続されていることを想定しているが、ネットワークNW1によってサーバ装置100に接続されていてもよいものである。
【0021】
データ制御システム10の構成は、以上のとおりである。この構成のもと、クライアント端末200のユーザは、通信事業者によって提供される無線通信サービスを利用し、通話やデータ通信を行う。クライアント端末200の利用に際し、ユーザは、定期的にユーザ確認を行う。ここにおいて、ユーザ確認とは、真正なユーザがクライアント端末200を操作していることを確認するための処理をいう。ユーザ確認は、例えば、あらかじめ設定されたパスワードを入力することで行われ、より望ましくは、声紋認証、指紋認証等のバイオメトリクス認証によって行われる。また、ユーザ確認の実行間隔は任意であるが、秘密データの暴露を防ぐためには、より短いほど望ましい。ただし、実際の実行間隔は、ユーザの使い勝手も考慮し、適当に(例えば、1日に1回程度)設定される。なお、クライアント端末200は、電源が長時間オフであった場合には、電源の投入直後にユーザ確認をユーザに要求してもよい。
【0022】
本実施形態においては、このユーザ確認が繰り返し行われていることをもって、ユーザが生存しているとみなすことにしている。換言すれば、本実施形態においては、ユーザ確認が正常に行われない場合には、ユーザが死亡した可能性があると推定しているということである。本実施形態における第1の判定条件は、この推定に基づくものである。
また、これとは別に、本実施形態においては、窓口端末400を介してクライアント端末200の契約が変更された場合にも、ユーザが死亡した旨の判定が行われる。本実施形態における第2の判定条件は、この契約の変更に基づくものである。
【0023】
クライアント端末200は、電源が投入(オン)されると、ネットワークNW1に含まれる近傍の基地局との通信を試みる。基地局は、それぞれの基地局に固有の信号を発信している。クライアント端末200は、基地局からこの信号を受信すると、この信号に基づいて自機の位置(ロケーションエリア)を特定し、位置登録データベース300に対して、特定した位置を表す位置情報を自機の識別情報とともに送信する。すると、位置登録データベース300は、この位置情報を識別情報と対応付けて記憶する。また、クライアント端末200は、移動によって自機の位置が変化したことを検知すると、変化後の位置情報を位置登録データベース300に送信する。このような動作が電源の投入や自機の移動の度に繰り返されることにより、クライアント端末200の位置がネットワークNW1側(通信事業者側)で把握できるようになっている。以下においては、位置情報の記録に係るこれらの一連の動作のことを「位置登録」という。
また、クライアント端末200は、位置登録データベース300にデータを送信すると、フラグの値を受信するように構成されている。サーバ装置100は、このフラグの値を、上述した判定条件を用いた判定に応じて書き換えるように構成されている。クライアント端末200は、フラグの値を参照し、必要に応じて、秘密データの利用を制限する。
【0024】
図5は、判定条件と秘密データの制限の態様との対応付けを例示する図である。本実施形態において、サーバ装置100は、図5に例示した態様に従って秘密データの利用を制限するものとする。サーバ装置100は、まず、クライアント端末200のユーザが死亡していないと判定される場合(すなわち、ユーザ確認が正常に行われ、かつ、契約の変更も通知されていない場合)には、秘密データを制限なく利用可能にする。
【0025】
一方、サーバ装置100は、ユーザ確認が正常に行われなかった場合には、秘密データをクライアント端末200からは消去し、他の記憶装置(本実施形態においては、サーバ装置100の記憶部120)に記憶させるとともに、この秘密データをロックする。ここにおいて、データのロックとは、当該データを特定のユーザのみに利用可能にする処理をいうものである。例えば、特定の鍵を用いてデータを暗号化する方法は、データのロック方法の一例である。また、当該データにアクセスするためのURL(Uniform Resource Locator)を推測が困難な文字列とし、正しいパスワードを入力した特定のユーザのみに当該URLを通知する方法も、データのロック方法の一例であるといえる。データのロックを解除するためには、このような鍵やパスワードが必要であるが、これに代えて、上述したユーザ確認が行われればロックが解除されるようにしてもよい。なお、以下においては、秘密データをクライアント端末200から他の記憶装置に移動させることを「転送」ともいう。
【0026】
また、サーバ装置100は、契約の変更が通知された場合には、秘密データを完全に利用不可能にする。このとき、サーバ装置100は、典型的には、秘密データを消去する。ただし、サーバ装置100は、秘密データを意図せぬ他人が利用できないようにすれば足りるので、秘密データを消去するのではなく、通信事業者のみが参照できるようなアクセス制限を秘密データに施してもよい。
【0027】
なお、図5に示す対応付けは、サーバ装置100の記憶部120に記憶され、必要に応じて制御部110が読み出すものであってもよいが、制御部110が実行するプログラム中に記述(いわゆるハードコーディング)されていてもよい。記憶部120に対応付けを記憶する場合には、これをプログラム中にハードコーディングする場合に比べ、対応付けの変更をより容易に行うことが可能である。
【0028】
図6は、秘密データの転送に係る第1の動作例を示すシーケンスチャートである。クライアント端末200は、図6に示すように、サーバ装置100との間でユーザ確認を行い(ステップS101)、位置登録データベース300との間で位置登録を行う(ステップS102)。クライアント端末200は、位置登録に際して、位置登録データベース300に記憶されたフラグの値を受信して参照する。なお、ステップS101及びS102の処理は、図6に図示されているものよりも前のタイミングにおいても、繰り返し実行されている。
【0029】
サーバ装置100は、ユーザ確認が行われると、あらかじめ決められた判定条件に従ってユーザの死亡を判定し(ステップS103)、判定結果をフラグとして記憶する(ステップS104)。また、サーバ装置100は、このフラグを位置登録データベース300に送信する(ステップS105)。なお、ステップS104及びS105の処理は、判定結果が前回と同じであれば、省略可能である。この説明においては、ステップS104において記憶されるフラグの値は「0」であるとする。
【0030】
ここで、クライアント端末200のユーザが、何らかの理由によって、期待されるタイミングでユーザ確認を行わなかったと仮定する(ステップS106)。つまり、ステップS106の処理は、ここでは実際には行われなかったものとする。そうすると、サーバ装置100は、ユーザの死亡の判定(ステップS107)において、上述した第1の判定条件を満たすと判定する。その結果、サーバ装置100は、フラグの値を「0」から「1」に書き換え(ステップS108)、これを位置登録データベース300に送信する(ステップS109)。また、サーバ装置100は、クライアント端末200に対して、秘密データの転送を要求する(ステップS110)。
【0031】
クライアント端末200は、ステップS110の要求に応じて、記憶部220に記憶された秘密データをサーバ装置100に送信し(ステップS111)、記憶部220からは消去する(ステップS112)。サーバ装置100は、秘密データを受信すると、秘密データをロックして、記憶部120に記憶させる(ステップS113)。
【0032】
図7は、クライアント端末200の表示部250に表示される画面を例示する図である。クライアント端末200は、このようにして、秘密データが利用不可能であることと、その復元方法とをユーザに報知する。このとき、クライアント端末200は、表示部250による表示に代えて、音声入出力部260による音声の再生によって報知を行ってもよい。ユーザは、秘密データのロックを解除することができれば、これをクライアント端末200にダウンロードすることで、秘密データを復元することが可能である。
【0033】
なお、ステップS111及びS112の処理は、クライアント端末200の電源がオンであれば実行可能であるが、クライアント端末200の電源がオフであれば実行不可能である。そこで、クライアント端末200の電源がオフであった場合には、クライアント端末200の電源がオンになったタイミングで行われる位置登録を利用して、秘密データの利用が制限される。
【0034】
図8は、秘密データの転送に係る第2の動作例を示すシーケンスチャートである。この第2の動作例は、クライアント端末200の電源がオフの状態が続き、その間にユーザ確認を行うべきタイミングが到来していた場合のものである。第2の動作例は、ステップS101〜S110の処理については、第1の動作例と共通である。
【0035】
この動作例において、クライアント端末200は、ステップS106の処理が実行されるべきタイミング以前に、電源がオフになっている(ステップS121)。よって、サーバ装置100は、ステップS110の要求に対する応答も得ることができない。
一方、クライアント端末200は、やがて何者かによって電源が投入され、データの利用等が可能な状態になる(ステップS122)。クライアント端末200の電源をオンにするのは、真正なユーザ(契約者本人)の場合もあれば、他人の場合もある。このとき、クライアント端末200は、位置登録を行い(ステップS123)、フラグの値をあわせて受信する。位置登録データベース300のフラグの値は、ステップS109の処理によって、「0」から「1」に書き換えられている。
【0036】
クライアント端末200は、受信したフラグの値に応じて、秘密データの利用を制限する。このとき、フラグの値は「1」であるから、クライアント端末200は、真正なユーザが死亡した可能性があると判断し、ユーザにユーザ確認を要求する(ステップS124)。このとき、ユーザ確認が正常に行われれば、サーバ装置100にその旨が通知され、フラグの値は「1」から「0」に書き換えられる。一方、ユーザ確認が行われなければ、クライアント端末200は、記憶部220に記憶された秘密データをサーバ装置100に送信し(ステップS125)、記憶部220からは消去する(ステップS126)。サーバ装置100は、秘密データを受信すると、秘密データをロックして、記憶部120に記憶させる(ステップS127)。
【0037】
図9は、秘密データの消去に係る動作例を示すシーケンスチャートである。クライアント端末200について契約の変更があった場合には、図9に示すように、窓口端末400からサーバ装置100にその旨が通知される(ステップS201)。このとき、サーバ装置100は、クライアント端末200が第2の判定条件を満たすと判定する(ステップS202)。また、サーバ装置100は、この判定結果に従い、フラグを更新するとともに、秘密データを消去する(ステップS203、S204)。サーバ装置100は、その後にフラグを参照する可能性がない場合であれば、ステップS203の処理を省略してもよい。また、サーバ装置100は、その後にフラグを参照する可能性がある場合には、位置登録データベース300にフラグの値を送信する。
【0038】
なお、第1の判定条件が満たされる前に第2の判定条件が満たされた場合、秘密データは、サーバ装置100ではなくクライアント端末200に記憶されている。よって、この場合には、サーバ装置100は、クライアント端末200に対して秘密データの消去を要求する。このときの動作は、第1の動作例のステップS110及びS112の処理と同様のものである。ただし、秘密データのサーバ装置100への転送は行われない。
【0039】
以上のとおり、本実施形態のデータ制御システム10は、秘密データの利用を制限する態様として、クライアント端末200とは別の記憶装置にこれを記憶させ、さらにロックを行う第1の態様と、秘密データを利用不可能にする第2の態様とを有する。よって、データ制御システム10によれば、第1の態様の次に第2の態様で秘密データの利用が制限されることで、秘密データの利用の制限の態様を段階的に変化させることが可能となる。このようにすることで、ユーザが死亡している“かもしれない”という不確定な状態における秘密データの暴露を生じにくくすることが可能である。なお、この状態において、秘密データは、クライアント端末200に復元可能な状態で他の記憶装置に記憶されている。よって、ユーザが死亡しておらず、単にユーザ確認を怠っただけの場合であっても、秘密データが復元不可能に失われ、ユーザに不利益を与えるおそれが少ない。
【0040】
[変形例]
上述した実施形態は、本発明の実施の一例にすぎない。本発明は、上述した実施形態に対して、以下の変形を適用することが可能である。なお、以下に示す変形例は、必要に応じて、各々を適当に組み合わせて実施されてもよいものである。
【0041】
(変形例1)
本発明は、ユーザの状態に限らず、クライアント端末の状態に応じてデータの利用を制限するものであってもよい。ここにおいて、クライアント端末の状態とは、例えば、クライアント端末を紛失した状態をいう。本発明は、このような場合においても、ユーザがクライアント端末を紛失してから紛失に気付くまでの間にデータが暴露されることの防止を期待することができる。
なお、クライアント端末の紛失に伴うデータ制御の場合、サーバ装置は、クライアント端末から転送したデータを消去することに代えて、ユーザが新たに使用する別のクライアント端末にデータを移動させてもよい。
【0042】
(変形例2)
本発明において、特定の状態において制御対象となるデータは、クライアント端末に記憶されたデータの一部ではなく、全部であってもよい。
また、本発明において、データの利用の制限は、複数の態様が考えられる。本発明に係るデータ制御装置は、例えば、第1の判定条件が満たされたときにデータを(転送せずに)ロックし、第2の判定条件が満たされたときにクライアント端末からデータを消去する制御を行うものであってもよい。あるいは、本発明に係るデータ制御装置は、第1の判定条件が満たされたときにデータを転送し、第2の判定条件が満たされたときに当該データをロックする制御を行うものであってもよい。要するに、本発明に係るデータ制御装置の一つの態様は、第2の判定条件が満たされたときに、第1の判定条件が満たされたときよりもデータの利用がより制限されるようにその取り扱いを制御するものであれば、データの具体的な制限の態様は特に限定されないものである。
【0043】
また、本発明に係るデータ制御装置は、3以上の判定条件を用いてデータの利用を制限するものであってもよい。例えば、上述した実施形態を例に説明すると、ユーザ確認が第1の期間(例えば、12時間)に行われなかったときに第1の判定条件が満たされ、ユーザ確認が第1の期間よりも長い第2の期間(例えば、24時間)に行われなかったときに第2の判定条件が満たされ、契約の変更が通知されたときに第3の判定条件が満たされる、といった判定条件を用いることも可能である。この3種類の判定条件を用いた場合には、データ制御装置は、第1の判定条件が満たされたときにデータを転送し、第2の判定条件が満たされたときに当該データをロックし、第3の判定条件が満たされたときに当該データを消去するように制御してもよい。あるいは、データ制御装置は、第1の判定条件が満たされたときにデータを所定の暗号強度で暗号化し、第2の判定条件が満たされたときに当該データをより高い暗号強度で暗号化し、第3の判定条件が満たされたときに当該データを消去するように制御してもよい。
【0044】
さらに、本発明に係るデータ制御装置は、複数の判定条件のそれぞれにデータを対応付け、判定部による判定に用いられた判定条件に応じたデータの取り扱いを制御するものであってもよい。例えば、本発明に係るクライアント端末には、第1の判定条件が満たされたときに消去される第1のデータと、第2の判定条件が満たされたときに消去される第2のデータとが記憶されていてもよい。この例において、第1のデータを上述した秘密データとし、第2のデータを秘密データ以外のデータとすると、本発明は、第1の判定条件が満たされたときにクライアント端末から秘密データが消去され、第2の判定条件が満たされたときにクライアント端末から全部のデータが消去される、といったものになる。
【0045】
(変形例3)
本発明において、データの利用を制限することは、当該データを特定のユーザのみに限定的に利用可能にするものであるともいえる。ここにおいて、特定のユーザは、クライアント端末を使用するユーザ自身に限定されるものではなく、当該ユーザの親族や友人といった他のユーザであってもよい。そうすると、本発明は、あるクライアント端末のユーザが死亡した場合に、当該クライアント端末に記憶されていたデータを特定の他人のみが利用可能なように転送等するものであるとすることも可能である。このような態様によれば、本発明は、ユーザが死亡したときに、クライアント端末に記憶されたデータを当該ユーザからの遺言や形見のようにすることができる。なお、ここでいう他人によるデータの利用の方法には、当該データを当該他人のみが参照可能なように他の記憶装置に転送する方法と、当該データをクライアント端末に残しておきながら、当該他人のみが参照可能なようにロックする方法とが考えられる。
【0046】
(変形例4)
本発明に係るデータ制御装置は、上述した実施形態においては、サーバ装置100の制御部110がこれに相当する。しかし、本発明に係るデータ制御装置は、クライアント端末によって実現することも可能である。この場合、クライアント端末は、第2の判定条件による判定を行うためのデータ(すなわち、契約の変更を通知するデータ)をサーバ装置(又は窓口端末)から受信するように構成されていればよい。
【0047】
また、クライアント端末が無線通信端末である場合、当該端末がネットワークの圏外にある場合には、ネットワーク側からの制御が不可能である。そうすると、ユーザが死亡し、又はクライアント端末を紛失した後に、他人によってクライアント端末が圏外に持ち出されると、当該他人がデータを自由に利用できるようになる可能性がある。このような事態に備え、クライアント端末は、電源のオフが連続している時間や自機が圏外である時間を計測する手段を備え、ネットワークとの通信を行っていない時間が所定の時間を超えるか否かを判定条件として用いるようにしてもよい。
【0048】
(変形例5)
クライアント端末に記憶されていたデータの転送先は、上述した実施形態においては、サーバ装置100の記憶部120である。しかし、本発明において、クライアント端末に記憶されていたデータの転送先は、本発明に係るサーバ装置とは別体に構成された記憶装置であってもよい。例えば、上述した変形例3の態様においては、親族や友人が使用する端末もデータの転送先となり得る。
【0049】
(変形例6)
本発明に係るクライアント端末は、携帯電話等の無線通信端末に限らず、例えば、有線接続されたパーソナルコンピュータであってもよい。なお、有線接続された通信端末を用いる場合には、位置登録に係る構成や処理が省略可能である。
また、本発明は、データ制御装置やこれを含むデータ制御システムのみならず、これらを実現するための方法や、コンピュータに図4に示した機能を実現させるためのプログラムとしても把握されるものである。かかるプログラムは、これを記憶させた光ディスク等の記録媒体の形態で提供されたり、インターネット等のネットワークを介して、コンピュータにダウンロードさせ、これをインストールして利用可能にするなどの形態でも提供されたりすることができるものである。
【符号の説明】
【0050】
10…データ制御システム、100…サーバ装置、110…制御部、111…判定部、112…データ制御部、120…記憶部、130…通信部、200…クライアント端末、210…制御部、220…記憶部、230…通信部、240…情報入力部、250…表示部、260…音声入出力部、300…位置登録データベース、400…窓口端末
【特許請求の範囲】
【請求項1】
クライアント端末又はそのユーザが特定の状態であることを複数の判定条件を用いて判定する判定部と、
前記判定部が前記特定の状態であると判定すると、前記複数の判定条件のそれぞれに応じてあらかじめ決められた態様のうち、当該判定に用いられた判定条件に応じた態様に従って前記クライアント端末に記憶されたデータの利用が制限されるように、当該データの取り扱いを制御するデータ制御部と
を備えることを特徴とするデータ制御装置。
【請求項2】
前記データ制御部は、
前記判定部が第1の判定条件により前記特定の状態を判定した場合に、前記データを前記クライアント端末から消去するとともに、当該データを他の記憶装置に記憶し、
前記判定部が前記第1の判定条件による判定の後に第2の判定条件により前記特定の状態を判定した場合に、前記記憶装置に記憶された前記データを利用不可能にする
ことを特徴とする請求項1に記載のデータ制御装置。
【請求項3】
前記データ制御部は、
前記判定部が第1の判定条件により前記特定の状態を判定した場合に、前記データを特定のユーザのみに利用可能にする処理を実行し、
前記判定部が第2の判定条件により前記特定の状態を判定した場合に、前記データを利用不可能にする
ことを特徴とする請求項1又は2に記載のデータ制御装置。
【請求項4】
前記クライアント端末は、複数の前記データを記憶し、
前記データ制御部は、前記判定に用いられた判定条件に応じた前記データの取り扱いを制御する
ことを特徴とする請求項1ないし3のいずれかに記載のデータ制御装置。
【請求項5】
コンピュータに、
クライアント端末又はそのユーザが特定の状態であることを複数の判定条件を用いて判定するステップと、
前記特定の状態であると判定されると、前記複数の判定条件のそれぞれに応じてあらかじめ決められた態様のうち、当該判定に用いられた判定条件に応じた態様に従って前記クライアント端末に記憶されたデータの利用が制限されるように、当該データの取り扱いを制御するステップと
を実行させるためのプログラム。
【請求項1】
クライアント端末又はそのユーザが特定の状態であることを複数の判定条件を用いて判定する判定部と、
前記判定部が前記特定の状態であると判定すると、前記複数の判定条件のそれぞれに応じてあらかじめ決められた態様のうち、当該判定に用いられた判定条件に応じた態様に従って前記クライアント端末に記憶されたデータの利用が制限されるように、当該データの取り扱いを制御するデータ制御部と
を備えることを特徴とするデータ制御装置。
【請求項2】
前記データ制御部は、
前記判定部が第1の判定条件により前記特定の状態を判定した場合に、前記データを前記クライアント端末から消去するとともに、当該データを他の記憶装置に記憶し、
前記判定部が前記第1の判定条件による判定の後に第2の判定条件により前記特定の状態を判定した場合に、前記記憶装置に記憶された前記データを利用不可能にする
ことを特徴とする請求項1に記載のデータ制御装置。
【請求項3】
前記データ制御部は、
前記判定部が第1の判定条件により前記特定の状態を判定した場合に、前記データを特定のユーザのみに利用可能にする処理を実行し、
前記判定部が第2の判定条件により前記特定の状態を判定した場合に、前記データを利用不可能にする
ことを特徴とする請求項1又は2に記載のデータ制御装置。
【請求項4】
前記クライアント端末は、複数の前記データを記憶し、
前記データ制御部は、前記判定に用いられた判定条件に応じた前記データの取り扱いを制御する
ことを特徴とする請求項1ないし3のいずれかに記載のデータ制御装置。
【請求項5】
コンピュータに、
クライアント端末又はそのユーザが特定の状態であることを複数の判定条件を用いて判定するステップと、
前記特定の状態であると判定されると、前記複数の判定条件のそれぞれに応じてあらかじめ決められた態様のうち、当該判定に用いられた判定条件に応じた態様に従って前記クライアント端末に記憶されたデータの利用が制限されるように、当該データの取り扱いを制御するステップと
を実行させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2011−176735(P2011−176735A)
【公開日】平成23年9月8日(2011.9.8)
【国際特許分類】
【出願番号】特願2010−40563(P2010−40563)
【出願日】平成22年2月25日(2010.2.25)
【出願人】(503220750)ドコモ・テクノロジ株式会社 (58)
【Fターム(参考)】
【公開日】平成23年9月8日(2011.9.8)
【国際特許分類】
【出願日】平成22年2月25日(2010.2.25)
【出願人】(503220750)ドコモ・テクノロジ株式会社 (58)
【Fターム(参考)】
[ Back to top ]