個人情報保護送信プログラム及び個人情報保護受信装置
【課題】 クライアントPCとサーバ間の通信情報を必要最小限にし、且つ、通信情報が盗聴されることを低減する個人情報通信プログラムを提供することを目的とする。
【解決手段】 コンピュータを、画面遷移前の第1の遷移画面を表示させる第1の遷移画面情報と分岐条件及び前記第1の遷移画面上で前記分岐条件が満たされたときに遷移すべき第2の遷移画面を指定する画面指定情報を含む画面遷移情報とを受信する受信手段、前記分岐条件及び第1の遷移画面への入力情報に基づき第2の遷移画面を指定する画面指定情報を決定する決定手段として機能させる個人情報保護送信プログラム。
【解決手段】 コンピュータを、画面遷移前の第1の遷移画面を表示させる第1の遷移画面情報と分岐条件及び前記第1の遷移画面上で前記分岐条件が満たされたときに遷移すべき第2の遷移画面を指定する画面指定情報を含む画面遷移情報とを受信する受信手段、前記分岐条件及び第1の遷移画面への入力情報に基づき第2の遷移画面を指定する画面指定情報を決定する決定手段として機能させる個人情報保護送信プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、個人情報保護送信プログラム及び個人情報保護受信装置に関するものである。
【背景技術】
【0002】
昨今のインターネットの普及により、Web(World Wide Web)上から個人が私的な各種申請手続き等を行う環境が整備されつつある。しかし、元来インターネットとは情報をオープンで扱う世界であるため、個人情報の漏洩に対するセキュリティ対策が未だに不充分である。
【0003】
現在、SSL暗号化などにより通信経路上の他者による盗聴を防げる。しかし、申請に使用した装置を用いれば、依然として、通信盗聴による成りすまし(spoofing)が可能である。このように、個人情報が漏洩するという危険な状態が存在する。
【0004】
基本的に、Social Hack(他者がパスワードを入力しているのを脇から見ているという
ような技術的でない盗聴などの行為をいう)を除いて、多くの情報の漏洩は、申請側のクライアントPC(パーソナルコンピュータ)と受理側のサーバ間の通信内容が盗聴されることにより発生する。
【0005】
図8は、「住所変更」を申請するために、Webページに個人情報を入力する一例を示す。複数のページを遷移させながら必要な情報を入力するため、次のページに遷移する毎に複数回個人情報が送信されるとセキュリティが低下する。
【0006】
これに対して、Webサイトの1ページ上で全ての個人情報を入力させ、1回だけ送信するものであればセキュリティが向上する。これは、盗聴するタイミングがクライアントPCからサーバへの通信が1回だけに限定されるからである。
【0007】
盗聴する場合、クライアントPCからサーバへ一方向に送信するため、クライアントPCが送信した情報を経路の途中で捕獲して、捕獲した情報を解析する必要がある。そのため、必ず送信経路上に盗聴装置を仕掛けなければならなく、SSL暗号化などが行われているとこれを盗聴することは非常に困難である。
【0008】
しかし、入力すべき情報量が大きくなると、ユーザに1ページで全ての情報を正確に入力させることが困難となる。また、ユーザは一度に全てのデータを正しく入力する必要が生じるため、通常、ウィザード形式を用いて複数の入力ページを切り替えることにより、ページを遷移して入力内容を支援している(入力支援)。このように、ユーザの負担を軽減するために、ユーザを誘導するウィザードが利用されている。
【0009】
一般的に、Webブラウザにおけるページ遷移は、過去の入力データを破棄する。そのため、ウィザード形式において、ページに入力されたデータを保持しながらページ遷移を実現するために、図9から図11に示される方式の何れかを用いている。
【0010】
(1)図9は、クライアントPCに情報を保持する「Cookieへの情報保存」方式を示す説明図である。(2)図10は、サーバ側に情報を保持する「セッション管理」方式を示す説明図である。(3)図11は、クライアントアプリケーション(プログラム)をダウンロードして実行する「アプリケーション」方式を示す説明図である。
【0011】
(1)始めに、 図9について説明する。「Cookieへの情報保存」方式は、非常に手軽
であるため一般的に使用されている。しかし、一度サーバに送信した個人情報をクライアントPCに保存する目的で、個人情報等が返送されてくるため、この情報が盗聴されやすい。即ち、個人情報が通信回線を介して少なくとも2回送信される。
【0012】
SSL暗号化を用いることで経路上の他者からは盗聴困難となるが、送信に用いたクライアントPC上に隠して設置された“パケットキャプチャ”ソフトなどを用いれば、受信情報を記録することが可能である。
【0013】
また、Cookieの保存期間が設定されている場合、この個人情報等をファイルとしてクライアントPCに保存してしまう。そのため、Cookieを保存したクライアントPCを利用する不特定のユーザが、保存されたファイルの内容を知ることができる。
【0014】
例えば、インターネット喫茶店(Internet cafe)などにおいて、不特定多数のユーザ
が同一のクライアントPCを使用できるため、個人情報が漏洩し易い状況にある。当然、ウイザード形式で遷移するページが多ければ多いほど、盗聴できる機会が増えることになる。
【0015】
(2)図10に示すような「セッション管理」方式(session management method)は
、ある程度の規模のサービスで採用される。クライアントPCに個人情報を保存する代わりにサーバ上に個人情報を保存するものであるため、 図9と比較して個人情報が漏洩し
にくいものである。
【0016】
サーバ上に格納されたデータがどのクライアントPCのものであるかを識別するために、「セッション管理」方式はクライアントPCに対してサーバは“セッションID”と呼ばれる識別コードを提供する。
【0017】
クライアントPCは、このIDを送信することで遷移後のページで過去に送信した情報にアクセスすることができる。しかし、このIDは、図9に示す「Cookieへの情報保存」方式と同様に盗聴され易い。
【0018】
また、第三者が他人のIDを入手した場合、他のクライアントPCから他人のIDを宣言してサーバにアクセスできる。つまり、他人に成りすまして情報を表示させることができる。
【0019】
特に、この「セッション管理」方式では、図9に示す「Cookieへの情報保存」方式と違い、個人情報はサーバに格納されているため、クライアントPCから個人情報が直接漏洩することはない。
【0020】
しかし、セッションIDが漏洩することで第三者が使用する全く別のクライアントPCから成りすましてサーバの個人情報を取得できるという致命的な問題が生じる。これは、
"クロスサイトスクリプティングの脆弱性"などと呼ばれる問題で、セッションIDを漏
洩してしまうという脆弱性(vulnerability)を含んでいる。
【0021】
この問題は、SSL暗号化などを実施し、そのクライアントPCとサーバ間だけにおいて解読可能にすることで、経路上の第三者からは盗聴できないようにできる。しかし、実際に通信しているクライアントPCを直接操作すれば、解読が可能であるため、インターネット喫茶店などのような公共のクライアントPCから個人情報が漏洩するという問題を防ぐことはできない。
【0022】
(3)最後に、図11に示すような「アプリケーション」方式において、“サーバとのデータ通信時に盗聴されてしまう”という問題を解決するために、クライアントPCにアプリケーションとしての申請プログラムをダウンロード後に実行させ、申請プログラムを用いた入力結果のみをサーバに返送するものがある。
【0023】
「アプリケーション」方式は、サーバとの通信が最後の1度のみしか発生せず、一方向の送信のみであるため、個人情報が漏洩する危険性は極めて低い。しかし、申請に用いるWebページのフォームが変更になるとアプリケーション自体を作成し直す必要がある。
【0024】
つまり、インターネットを利用した最新情報の入手といった利便性の低下や、開発工数の増大を招くなどの、セキュリティ以外の問題を引き起こすこととなる。
結論として、上述の方式では、個人情報が漏洩するというリスク、又は開発・保守工数増大のリスクを伴うという問題を抱えている。
また、既知の類似した発明には、以下ようなものがあるが、上記問題は解決されていない。
【0025】
特許文献1は、インターネットショッピングにおける商品購入システム等に関する発明である。氏名,住所,電話番号,金融機関の口座番号等の個人情報の入力は1回のみであることを開示する。しかし、特許文献1は、ID番号及びパスワードを有していないユーザが、初回の購入のときに1回のみ個人情報を入力することを単に開示している。
【特許文献1】特開2001−344478号公報
【発明の開示】
【発明が解決しようとする課題】
【0026】
情報が漏洩するという上述した問題の本質は、クライアントPCとサーバとの間で相互通信が発生することにある。
この相互通信を必要最小限に発生する方式である図11に示すアプリケーションの提供による申込においては、情報が漏洩する危険性を回避できる。しかし、アプリケーション自体に表示するページ情報を含んでいるため、Webでサービスを提供することにより得られる即時性などのメリットを失うこととなる。そのため、即時性などが要求されるサービスで利用する場合に、不向きであるという問題があった。
【0027】
本発明は、このような問題を解決するためになされたもので、その目的は、クライアントPCとサーバ間の通信情報を必要最小限にし、且つ、通信情報が盗聴されることを低減する個人情報保護送信プログラム、個人情報保護受信プログラム、装置及び方法を提供する。
【課題を解決するための手段】
【0028】
本発明は上記目的を達成するため、コンピュータを、画面遷移前の第1の遷移画面を表示させる第1の遷移画面情報と分岐条件及び第1の遷移画面上で分岐条件が満たされたときに遷移すべき第2の遷移画面を指定する画面指定情報を含む画面遷移情報とを受信する受信手段、分岐条件及び第1の遷移画面への入力情報に基づき第2の遷移画面を指定する画面指定情報を決定する決定手段として機能させることを特徴とする。
【0029】
また、本発明は、コンピュータを、画面遷移前の第1の遷移画面を表示させる第1の遷移画面情報と分岐条件及び第1の遷移画面上で分岐条件が満たされたときに遷移すべき第2の遷移画面を指定する画面指定情報を含む画面遷移情報とを送信する送信手段、分岐条件及び第1の遷移画面への入力情報に基づき第2の遷移画面を指定する画面指定情報を受信する受信手段として機能させることを特徴とする。
【0030】
本発明によれば、(i)第1の遷移画面と(ii)分岐条件及び第1の遷移画面上で分岐条件が満たされたときに遷移すべき第2の遷移画面を指定する画面指定情報を含む画面遷移情報とをそれぞれ別に受信することができる。
【0031】
分岐条件及び第1の遷移画面上で分岐条件が満たされたときに遷移すべき第2の遷移画面情報を第1の遷移画面へ埋め込んだときは、第1の遷移画面自体を変更しなければならない。これに対して、本発明では画面遷移情報の変更のみをすることが可能になるため、分岐条件及び第2の遷移画面情報の変更が容易になる。
【0032】
更に、前記決定手段により決定された前記画面指定情報のみを送信するため、画面指定情報を送信する毎に申込情報が送信されない。このため、複数の遷移画面に個人情報を入力した場合でも個人情報を送信する回数を必要最小限にできる。
【発明の効果】
【0033】
本発明の個人情報保護送信プログラムは、クライアントPCとサーバ間の通信情報を必要最小限にし、且つ、通信情報が盗聴されることを低減できる。
【発明を実施するための最良の形態】
【0034】
次に本発明を実施するための最良の形態について図面を参照して説明する。
図1は本発明による個人情報保護送信プログラム及び個人情報保護受信プログラムで実行される手順を説明する説明図である。
【0035】
本実施の形態の個人情報保護送信プログラム及び個人情報保護受信プログラムは、図1に示したユーザ端末であるクライアント2及びサーバ4(個人情報保護受信装置)にそれぞれインストールされるプログラムである。また、クライアント2及びサーバ4はインターネット等の通信回線を通じて接続されている。
【0036】
クライアント2はPDA、携帯電話、ノートPCなどの携帯端末又はデスクトップPCなどのプログラムをインストールして実行可能なコンピュータである。サーバ4は複数のクライアント2から通信回線を通じてアクセス可能なコンピュータである。
【0037】
(1)クライアント2は、「申込の開始」をするために、個人情報保護送信プログラムを実行してサーバ4へ申込必要内容一覧情報とページ遷移情報の送信を要求する。サーバ4は個人情報保護受信プログラムを実行して申込必要内容一覧情報とページ遷移情報をクライアント2へ送信する。
【0038】
ここで、ページ遷移情報(画面遷移情報)は、図4の(b)に示される情報である。ページ遷移情報は、分岐条件及びこの分岐条件が満たされたときに遷移すべき遷移画面を指定する画面指定情報(例:画面B1.html)を含む。つまり、画面指定情報は遷移画面のアドレス情報(URL)などである。
【0039】
図4の(b)に示される一例として、分岐条件は会員IDの有無であり、画面指定情報は“画面B1.html”や“画面B2.html”である。そして、“画面B1.html”や“画面B2.html”で表示される画面が遷移画面である。遷移画面は、図2に示すような、クライアント2のディスプレイに表示される“画面B1”や“画面B2”である。
【0040】
「申込の開始」において、クライアント2からサーバ4へ要求されるページ遷移情報は、遷移画面それ自体ではなく、遷移画面を指定する「画面指定情報」を含む。申込必要内容一覧情報とページ遷移情報はJava(登録商標)サーブレット等のプログラムを実行
してサーバ4から送信される。これに対して、遷移画面はHTTPリクエストでWebサーバから送信される。即ち、ページ遷移情報と遷移画面は異なる手順でサーバ4から送信される。
【0041】
申込必要内容一覧情報は図4の(a)に示される情報である。申込必要内容一覧情報はクライアント2で入力すべき事項を示す一覧である。クライアント2のマウスやキーボード等で選択的に又は記述的に入力された情報は、申込必要内容一覧情報に記録される。
【0042】
(2)クライアント2は、サーバ4から受信したページ遷移情報に含まれる情報が初期画面であるとき、次のページ(遷移画面)をサーバ4に要求する。即ち、申込開始直後のページ遷移情報は、初期画面を要求するための分岐条件と初期画面(遷移画面)を示す画面指定情報を含む。
【0043】
クライアント2は、サーバ4から遷移画面を受信するために分岐条件に従って画面指定情報をサーバ4に送信する。サーバ4は、クライアント2から受信した画面指定情報で指定された遷移画面をクライアント2に送信する。
【0044】
ページ遷移情報について、申込の開始後に、図4から図6の(b)に示すページ遷移情報を一括してサーバ4からクライアント2に送信する。又は、クライアント2からサーバ4へ画面指定情報を送信する際に、遷移画面に関するページ遷移情報をサーバ4へ要求してもよい。クライアント2からサーバ4へ画面指定情報を送信する毎にページ遷移情報をサーバ4へ要求する手順の場合、変更した遷移画面に関するページ遷移情報だけを変更すれはよい。
【0045】
(3)受信した複数の遷移画面に対して入力された個人情報等の入力情報は申込必要内容一覧情報に記録される。そして、申込必要内容一覧情報の入力が完了したとき、申込必要内容一覧情報をクライアント2からサーバ4へ送信する。最後に、個人情報保護送信プログラムが終了する際に、申込必要内容一覧情報がクライアント2から消去される。
【0046】
図2及び図3はクライアント2で表示される遷移画面の遷移を示す画面遷移図である。図4から図6はサーバ4よりクライアント2に送信される情報例を示す説明図である。図4は初期画面である画面Aを表示する際にサーバ4からクライアント2へ送信する情報例を示す説明図である。図5は遷移画面である画面Bを表示する際にサーバ4からクライアント2へ送信する情報例を示す説明図である。図6は遷移画面である画面Cを表示する際にサーバ4からクライアント2へ送信する情報例を示す説明図である。
【0047】
<画面遷移例1:図2>
クライアント2は、個人情報保護送信プログラムを実行してサーバ4から申込必要内容一覧情報とページ遷移情報を受信する。申込必要内容一覧情報は、クライアント2により入力された個人情報等の申込情報(入力情報)を記録するための情報であり、個人情報保護送信プログラムにより保持される情報である。
【0048】
図2に示す画面Aはユーザが会員IDを持っているかを確認する画面である。ユーザが会員IDを持っているときは「はい」を選択し、持っていない場合は「いいえ」を選択する。この選択は、ユーザがマウス又はキーボード操作で行う。デスクトップPCでは、通常マウスのクリック操作で項目が選択される。図2ではユーザが会員IDを持っている場合の画面遷移例を説明する。
【0049】
画面Aで「はい」が選択されていて画面Aの「次へ」ボタンをクリックすると、図4の(b)ウィザードのページ遷移情報の分岐条件に従って、画面B1.htmlの画面指定
情報がクライアント2からサーバ4へ送信される。つまり、画面Aに対して条件1が設定されている。同様に、画面B1に対して条件2が設定され、画面C1に対して条件3が設定されている。
【0050】
そして、サーバ4から画面B1.htmlを受信したクライアント2が画面B1を表示する。会員IDを持っている場合は会員特価又は割引価格を表示する遷移画面を指定する画面指定情報がサーバ4へ送信される。
【0051】
画面B1上でユーザがパソコン本体を選択したとき、図5に示す条件2が使用され、画面C1.htmlの画面指定情報がクライアント2からサーバ4へ送信される。そして、画面C1.htmlを受信したクライアント2が画面C1を表示する。そして、パソコン本体が選択されたことが申込必要内容一覧情報に記録される。図4の申込必要内容一覧情報には「パソコン本体」と記録した例を示してあるが、価格情報を合わせて記録してもよい。
【0052】
画面C1上で周辺機器A1が選択されたとき、図6に示す条件3が使用され、画面D2.htmlの画面指定情報がクライアント2からサーバ4へ送信される。そして、画面D2.htmlを受信したクライアント2が画面D2を表示する。
【0053】
画面Aで選択された会員IDの有無に関する情報をプログラムが一時的に保持して、その保持された情報に基づき遷移すべき画面を決定する。又は、申込必要内容一覧情報に会員IDの有無に関する情報を記録し、条件3の判断をするとき申込必要内容一覧情報を参照するようにしてもよい。
【0054】
会員IDがある場合、ユーザは画面D2上に会員IDを入力し、確定ボタンをクリックする。確定ボタンがクリックされると申込必要内容一覧情報に氏名及び住所が記録される。
【0055】
会員IDがない場合、ユーザは画面D1上に氏名及び住所をキーボード等を使用して入力し、確定ボタンをクリックする。確定ボタンがクリックされると申込必要内容一覧情報に氏名及び住所が記録される。そして、クライアント2は申込必要内容一覧情報へ記録すべき情報がすべて入力されたかを判断してサーバ4へ申込必要内容一覧情報を送信する。
【0056】
<画面遷移例2:図3>
図2では会員IDの有無のみを選択する画面Aを表示する例を示した。これに対して、図3は、会員IDを入力した後に、画面が遷移する一例を示す。
【0057】
会員IDが入力された状態で画面Aの「次へ」ボタンをクリックすると、図4の(b)ウィザードのページ遷移情報の分岐条件に従って、画面B1.htmlの画面指定情報がクライアント2からサーバ4へ送信される。「次へ」ボタンをクリックされたときは、会員IDを申込必要内容一覧情報に記録する。
【0058】
会員IDが有るとき、図4の条件1により、サーバ4へ画面B1.htmlの画面指定情報が送信される。そして、画面B1.htmlを受信したクライアント2が画面B1を表示する。入力された会員IDは、申込必要内容一覧情報に記録される。
【0059】
画面C1上で申込終了が選択されているとき、申込必要内容一覧情報に記録した情報を使用して、個人情報保護送信プログラムが画面E.htmlを生成する。確定ボタンがクリックされるとクライアント2は申込必要内容一覧情報へ記録すべき情報がすべて入力されたかを判断してサーバ4へ申込必要内容一覧情報を送信する。
【0060】
上述のように、個人情報を含む申込必要内容一覧情報が送信されるまで、常にクライアント2上のみで管理されることとなるため、他者からこの個人情報を盗聴することができない。
【0061】
<基本処理手順>
図7は本発明の基本的な処理手順を示すフローチャートである。物販サイトで物品を購入する例で説明をする。
(1)物販サイトの購入申込ページに 「申込開始」 ボタンを設置する。このボタンをクリックすると、例えば、個人情報保護送信プログラム(以下、申込アプリケーション)であるJavaApplet(Javaは登録商標)がサーバー4からクライアント2に読み込まれ、クライアント2上で申込アプリケーションが起動する。個人情報保護送信プログラムは、JavaApplet(Javaは登録商標)に特に限定する必要はなく、通常のアプリケーションや、JavaScript(登録商標)のようなものでも良い。
【0062】
(2)申込アプリケーションは、購入サーバから「申込必要内容一覧情報」をダウンロードする(S1)。次に、「ページ遷移情報」をダウンロードし(S3)、申し込みのための入口ページ(初期画面)等のURLを取得してサーバ4から、必要なページのhtmlを表示する(S3)。この場合、入口ページは「申込開始」 ボタンの押下げによりサ
ーバ4から受信する。
【0063】
(3)ユーザは、取得したページの各入力欄(例えば、ID番号、氏名、住所、電話番号などの個人情報)を入力する。ページの下端にある 「次へ」 ボタンをクリックすると、入力欄に入力された情報が申込必要内容一覧情報に記録される(S4)。
【0064】
(4)申込必要内容一覧情報へ記録すべき情報がすべて記録(入力)されたかを申込アプリケーションが判断する。例えば、申込アプリケーションは確定ボタンをクリックした際に、(i)申込商品及び(ii)会員ID(又は氏名、住所)が申込必要内容一覧情報へ記録されたかをチェックして、記録すべき情報がすべて記録されたかを判断する(S5)。商品が一つも選択されていない場合や会員IDが入力されていない場合は、確定ボタンがクリックされても記録すべき情報がすべて記録されたと申込アプリケーションは判断しない。
【0065】
(5)記録すべき情報がすべて記録されていないと申込みアプリケーションが判断した際は、ステップS4で入力された内容をチェックし、ステップ2で入手したページ遷移情報に基づき、次に表示すべきページを決定する(S6)。ステップS2からS6は、記録すべき情報がすべて記録されたと申込みアプリケーションが判断するまで、繰り返し実行される。
【0066】
(6)申込アプリケーションは、ページ遷移情報に従ってページをサーバーに要求して表示する。このように、入力を促すことで、ユーザは商品の選択や個人情報の入力ができる。また、ユーザが入力した個人情報等は、全て申込アプリケーション上にのみ存在する。記録すべき情報がすべて記録されたと申込みアプリケーションが判断するまで、ネットワークへ個人情報等は送信されない。
【0067】
(7)最終的に全ての個人情報の入力が終わり、申込アプリケーションが、記録すべき情報が全て埋められたと判断したとき、例えば、「サーバ4に申込情報を送信しますか?」とディスプレイ上に表示する。そして、ユーザの最終指示(例えば、送信ボタンの押下げ)に従って、入力した個人情報等がネットワークを通してサーバ4に送信される。
【0068】
(8)サーバ4は最終的な申込内容をクライアント2から受信し、申込アプリケーションは申込処理を完了する。送信後に、申込アプリケーションを終了しなくても、申込必要内容一覧情報を申込アプリケーション上から削除してもよい。
【0069】
本発明の特徴として、クライアント2及びサーバ4との間で情報の送受信が複数回発生するが、クライアント2が要求する 遷移画面(htmlページ)をサーバ4が一方的に
送信するだけである。即ち、個人情報は最後の送信までクライアント2上で保持されるので、申込必要内容一覧情報がクライアント2からサーバ4へ送信される前の盗聴を無意味とすることができる。
【0070】
サーバ4から送信されるページ遷移情報を受け取った後は、クライアント2がページ遷移情報の分岐条件に従い、自発的に最新のhtml、または必要に応じて新しいページ遷移情報を サーバ4に一方的に要求する。クライアント2はページ遷移情報に基づき自律
的に遷移画面を決定する。
【0071】
これにより、従来の「アプリケーション提供方式」と違い、Webとしての利点である「常に最新の情報(Webページ)」がクライアント2上で表示される。本発明の方式は、WEBMARTのような物販サイトにおける申し込みで、「常に最新の約款や販売システムを利用させる必要がある」ような場合、特に有効である。
【0072】
なぜなら物販サイトにおける売買契約で、改版されて約款などが変更された場合、「アプリケーション提供方式」では、誤って旧版システムから申込みした場合、ユーザとトラブルが生じる可能性がある。
【0073】
例えば、販売価格が変更された場合、旧版のシステムから申し込んだユーザは新システム上の価格と違う価格で購入したと信じるため、販売価格が上昇していたときユーザと非常に大きなトラブルが生じていた。
【0074】
また、ある時期から、ポイントシステムのような新サービスが導入されるような場合では、旧版システムから申し込んだ場合、ポイントサービスが適用されていない、というトラブルが生じる可能性がある。
【0075】
これらの問題を回避するために「アプリケーション提供方式」では、ユーザは常に新版のアプリケーションを利用する必要がある。このようなサービス変更の際には、ユーザにご提供するクライアントアプリケーションを必ず改版する必要がある。更に、過去にユーザがダウンロード済みの旧版システムからの申し込みを受付けないシステムを構築する必要が生じる。
【0076】
「アプリケーション提供方式」では、ユーザが利用の都度、最新のクライアントアプリケーションをダウンロードする必要があり、ダウンロード等に手間がかかるため、ユーザに負担が生じ、物販サイトを利用しなくなる傾向があった。
【0077】
個人情報の漏洩防止などのセキュリティを改善した上で、「アプリケーション提供方式」で生じていた問題を解決することができる。
本発明では、重要なユーザの信用情報などはクライアント2上でのみ管理されている。そして、クライアント2から一方向にサーバ4へ個人情報を送信するというインタフェースしか存在しない。
【0078】
これにより、外部から個人情報の送信をサーバ4へ指示することが不可能となる。従来の「セッションID方式」のように、成りすましによる個人情報を請求する行為も不可能
となり、結果としてセキュリティが向上する。
【0079】
また、クライアント2上にのみ個人情報が管理されているため、従来の「cookieへの情報保存方式」のように、サーバ4との間で個人情報の送受信が複数回生じることがない。また、クライアント2上で個人情報が保存されない。即ち、盗聴される可能性がなくなる。
【0080】
即ち、(a)「個人情報はクライアント2上でのみ管理されること」、(b)「表示するWebページは通常のWebと同じく常にサーバ4から受信すること」、(c)「個人情報に関するインタフェースは、クライアント2からサーバ4への一方向であること」という条件を本発明は提供できる。従って、従来よりも強固にセキュリティが確保された個人情報の送信を行うことができるのである。
【0081】
また、従来のアプリケーション提供方式では、ほぼ全ての"申し込みに必要なコンテン
ツ情報"などをアプリケーションに含める必要があり、ファイルサイズが大きくなってし
まう。このため、ユーザが気軽にアプリケーションをダウンロードできなかった。
【0082】
本発明による提供されるクライアント2は、コンテンツ情報などは一切不要であるため、従来のアプリケーション提供方式と比較してファイルサイズを小さくできる。これにより、ユーザが気軽にアプリケーションをダウンロードできる。
【0083】
また、セキュリティについても最新のセキュリティ対策を施したクライアント2をユーザは利用できる。上述のように、物販サイトを構成する際、例えば、SSLの暗号化はもとより、様々な盗聴/成りすましに対する対策を行う必要があった。これに対して、本発明は、申込必要内容一覧情報を送信する際にSSL暗号化度だけに配慮すれば良い。
【0084】
また、送信時に、申込必要内容一覧情報を暗号化すれば、暗号化された申込必要内容一覧情報を入手して解析することは非常に困難となる。また、申込に使用される入力支援のための様々な処理はクライアント2で動作するため、サーバ4は一方的に遷移画面を送信するだけでよい。即ち、サーバ4の負荷を軽減できる。
【0085】
専用アプリケーションでは、セキュリティ上の問題が発見された場合などは特に、ユーザが再び大きなサイズの最新のアプリケーションをダウンロードする必要があった。これに対して、本発明ではデータを解析するだけの小規模サイズの個人情報保護送信プログラムをユーザがダウンロードするだけでよい。セキュリティ的にも、サーバ負荷的にも効果的である。
【0086】
このように、本発明により、従来、物販サイトなどで非常に多くのセキュリティ対策費の削減が可能となる。
【0087】
<その他>
(付記1)
コンピュータを、
画面遷移前の第1の遷移画面を表示させる第1の遷移画面情報と分岐条件及び前記第1の遷移画面上で前記分岐条件が満たされたときに遷移すべき第2の遷移画面を指定する画面指定情報を含む画面遷移情報とを受信する受信手段、
前記分岐条件及び第1の遷移画面への入力情報に基づき第2の遷移画面を指定する画面指定情報を決定する決定手段
として機能させることを特徴とする個人情報保護送信プログラム。
(付記2)
入力情報として前記第1の遷移画面へ申込情報を入力する入力手段を更に含むことを特徴とする付記1記載の個人情報保護送信プログラム。
(付記3)
前記決定手段により決定された前記画面指定情報を送信する送信手段を更に含むことを特徴とする付記1記載の個人情報保護送信プログラム。
(付記4)
前記受信手段は前記画面指定情報で指定された第2の遷移画面情報を受信することを特徴とする付記1記載の個人情報保護送信プログラム。
(付記5)
第1の遷移画面に入力された申込情報を保持する保持手段を更に含むことを特徴とする付記2記載の個人情報保護送信プログラム。
(付記6)
前記受信手段はユーザを特定するための個人情報欄を含む申込必要内容一覧情報を受信することを特徴とする付記1記載の個人情報保護送信プログラム。
(付記7)
前記保持手段は前記第1の遷移画面へ入力された申込情報を申込必要内容一覧情報へ記録することにより申込情報を保持することを特徴とする付記5記載の個人情報保護送信プログラム。
(付記8)
前記第2の遷移画面情報に対応した画面遷移情報の送信を要求する要求手段を更に含むことを特徴とする付記4記載の個人情報保護送信プログラム。
(付記9)
前記入力手段は第1の遷移画面上で申込情報を選択的又は記述的に入力することを特徴とする付記2記載の個人情報保護送信プログラム。
(付記10)
前記個人情報保護送信プログラムは申込必要内容一覧情報の入力が完了したかを判断する判断手段を更に含み、判断手段が申込必要内容一覧情報の入力が完了したと判断したとき、前記送信手段が申込必要内容一覧情報を送信することを特徴とする付記3記載の個人情報保護送信プログラム。
(付記11)
前記個人情報保護送信プログラムが終了する際に、前記保持手段に保持された申込必要内容一覧情報が消去されることを特徴とする付記5記載の個人情報保護送信プログラム。(付記12)
画面遷移前の第1の遷移画面を表示させる第1の遷移画面情報と分岐条件及び前記第1の遷移画面上で前記分岐条件が満たされたときに遷移すべき第2の遷移画面を指定する画面指定情報を含む画面遷移情報とを受信する受信手段、
前記分岐条件及び第1の遷移画面への入力情報に基づき第2の遷移画面を指定する画面指定情報を決定する決定手段
を含むことを特徴とする個人情報保護送信装置。
(付記13)
コンピュータを、
画面遷移前の第1の遷移画面を表示させる第1の遷移画面情報と分岐条件及び前記第1の遷移画面上で前記分岐条件が満たされたときに遷移すべき第2の遷移画面を指定する画面指定情報を含む画面遷移情報とを送信する送信手段、
前記分岐条件及び第1の遷移画面への入力情報に基づき決定された第2の遷移画面を指定する画面指定情報を受信する受信手段
として機能させることを特徴とする個人情報保護受信プログラム。
(付記14)
前記送信手段は前記画面指定情報で指定された第2の遷移画面情報を送信することを特徴とする付記13記載の個人情報保護受信プログラム。
(付記15)
前記送信手段はユーザを特定するための個人情報欄を含む申込必要内容一覧情報を送信することを特徴とする付記13記載の個人情報保護受信プログラム。
(付記16)
前記送信手段は前記第2の遷移画面情報に対応した画面遷移情報を送信することを特徴とする付記13記載の個人情報保護受信プログラム。
(付記17)
前記受信手段は前記送信手段により送信した申込必要内容一覧情報を一度だけ受信することを特徴とする付記13記載の個人情報保護受信プログラム。
(付記18)
画面遷移前の第1の遷移画面を表示させる第1の遷移画面情報と分岐条件及び前記第1の遷移画面上で前記分岐条件が満たされたときに遷移すべき第2の遷移画面を指定する画面指定情報を含む画面遷移情報とを送信する送信手段、
前記分岐条件及び第1の遷移画面への入力情報に基づき決定された第2の遷移画面を指定する画面指定情報を受信する受信手段
を含むことを特徴とする個人情報保護受信装置。
(付記19)
前記送信手段は前記画面指定情報で指定された第2の遷移画面情報を送信することを特徴とする付記18記載の個人情報保護受信装置。
(付記20)
前記送信手段はユーザを特定するための個人情報欄を含む申込必要内容一覧情報を送信することを特徴とする付記18記載の個人情報保護受信装置。
(付記21)
前記送信手段は前記第2の遷移画面情報に対応した画面遷移情報を送信することを特徴とする付記19記載の個人情報保護受信装置。
(付記22)
前記受信手段は前記送信手段により送信した申込必要内容一覧情報を一度だけ受信することを特徴とする付記18記載の個人情報保護受信装置。
(付記23)
画面遷移前の第1の遷移画面を表示させる第1の遷移画面情報と分岐条件及び前記第1の遷移画面上で前記分岐条件が満たされたときに遷移すべき第2の遷移画面を指定する画面指定情報を含む画面遷移情報とを送信する送信ステップ、
前記分岐条件及び第1の遷移画面への入力情報に基づき決定された第2の遷移画面を指定する画面指定情報を受信する受信ステップ
を含むことを特徴とする個人情報保護受信方法。
【図面の簡単な説明】
【0088】
【図1】本発明による個人情報保護送信プログラム及び個人情報保護受信プログラムで実行される手順を説明する説明図である。
【図2】クライアントで表示される遷移画面の遷移を示す画面遷移図である。
【図3】クライアントで表示される遷移画面の遷移を示す画面遷移図である。
【図4】初期画面である画面Aを表示する際にサーバからクライアントへ送信する情報例を示す説明図である。
【図5】遷移画面である画面Bを表示する際にサーバからクライアントへ送信する情報例を示す説明図である。
【図6】遷移画面である画面Cを表示する際にサーバからクライアントへ送信する情報例を示す説明図である。
【図7】本発明の基本的な処理手順を示すフローチャートである。
【図8】「住所変更」を申請するためにWebページに個人情報を入力する一例を示す図である。
【図9】クライアントPCに情報を保持する「Cookieへの情報保存」方式を示す説明図である。
【図10】サーバ側に情報を保持する「セッション管理」方式を示す説明図である。
【図11】クライアントアプリケーション(プログラム)をダウンロードして実行する「アプリケーション」方式を示す説明図である。
【符号の説明】
【0089】
2 クライアント
4 サーバ
【技術分野】
【0001】
本発明は、個人情報保護送信プログラム及び個人情報保護受信装置に関するものである。
【背景技術】
【0002】
昨今のインターネットの普及により、Web(World Wide Web)上から個人が私的な各種申請手続き等を行う環境が整備されつつある。しかし、元来インターネットとは情報をオープンで扱う世界であるため、個人情報の漏洩に対するセキュリティ対策が未だに不充分である。
【0003】
現在、SSL暗号化などにより通信経路上の他者による盗聴を防げる。しかし、申請に使用した装置を用いれば、依然として、通信盗聴による成りすまし(spoofing)が可能である。このように、個人情報が漏洩するという危険な状態が存在する。
【0004】
基本的に、Social Hack(他者がパスワードを入力しているのを脇から見ているという
ような技術的でない盗聴などの行為をいう)を除いて、多くの情報の漏洩は、申請側のクライアントPC(パーソナルコンピュータ)と受理側のサーバ間の通信内容が盗聴されることにより発生する。
【0005】
図8は、「住所変更」を申請するために、Webページに個人情報を入力する一例を示す。複数のページを遷移させながら必要な情報を入力するため、次のページに遷移する毎に複数回個人情報が送信されるとセキュリティが低下する。
【0006】
これに対して、Webサイトの1ページ上で全ての個人情報を入力させ、1回だけ送信するものであればセキュリティが向上する。これは、盗聴するタイミングがクライアントPCからサーバへの通信が1回だけに限定されるからである。
【0007】
盗聴する場合、クライアントPCからサーバへ一方向に送信するため、クライアントPCが送信した情報を経路の途中で捕獲して、捕獲した情報を解析する必要がある。そのため、必ず送信経路上に盗聴装置を仕掛けなければならなく、SSL暗号化などが行われているとこれを盗聴することは非常に困難である。
【0008】
しかし、入力すべき情報量が大きくなると、ユーザに1ページで全ての情報を正確に入力させることが困難となる。また、ユーザは一度に全てのデータを正しく入力する必要が生じるため、通常、ウィザード形式を用いて複数の入力ページを切り替えることにより、ページを遷移して入力内容を支援している(入力支援)。このように、ユーザの負担を軽減するために、ユーザを誘導するウィザードが利用されている。
【0009】
一般的に、Webブラウザにおけるページ遷移は、過去の入力データを破棄する。そのため、ウィザード形式において、ページに入力されたデータを保持しながらページ遷移を実現するために、図9から図11に示される方式の何れかを用いている。
【0010】
(1)図9は、クライアントPCに情報を保持する「Cookieへの情報保存」方式を示す説明図である。(2)図10は、サーバ側に情報を保持する「セッション管理」方式を示す説明図である。(3)図11は、クライアントアプリケーション(プログラム)をダウンロードして実行する「アプリケーション」方式を示す説明図である。
【0011】
(1)始めに、 図9について説明する。「Cookieへの情報保存」方式は、非常に手軽
であるため一般的に使用されている。しかし、一度サーバに送信した個人情報をクライアントPCに保存する目的で、個人情報等が返送されてくるため、この情報が盗聴されやすい。即ち、個人情報が通信回線を介して少なくとも2回送信される。
【0012】
SSL暗号化を用いることで経路上の他者からは盗聴困難となるが、送信に用いたクライアントPC上に隠して設置された“パケットキャプチャ”ソフトなどを用いれば、受信情報を記録することが可能である。
【0013】
また、Cookieの保存期間が設定されている場合、この個人情報等をファイルとしてクライアントPCに保存してしまう。そのため、Cookieを保存したクライアントPCを利用する不特定のユーザが、保存されたファイルの内容を知ることができる。
【0014】
例えば、インターネット喫茶店(Internet cafe)などにおいて、不特定多数のユーザ
が同一のクライアントPCを使用できるため、個人情報が漏洩し易い状況にある。当然、ウイザード形式で遷移するページが多ければ多いほど、盗聴できる機会が増えることになる。
【0015】
(2)図10に示すような「セッション管理」方式(session management method)は
、ある程度の規模のサービスで採用される。クライアントPCに個人情報を保存する代わりにサーバ上に個人情報を保存するものであるため、 図9と比較して個人情報が漏洩し
にくいものである。
【0016】
サーバ上に格納されたデータがどのクライアントPCのものであるかを識別するために、「セッション管理」方式はクライアントPCに対してサーバは“セッションID”と呼ばれる識別コードを提供する。
【0017】
クライアントPCは、このIDを送信することで遷移後のページで過去に送信した情報にアクセスすることができる。しかし、このIDは、図9に示す「Cookieへの情報保存」方式と同様に盗聴され易い。
【0018】
また、第三者が他人のIDを入手した場合、他のクライアントPCから他人のIDを宣言してサーバにアクセスできる。つまり、他人に成りすまして情報を表示させることができる。
【0019】
特に、この「セッション管理」方式では、図9に示す「Cookieへの情報保存」方式と違い、個人情報はサーバに格納されているため、クライアントPCから個人情報が直接漏洩することはない。
【0020】
しかし、セッションIDが漏洩することで第三者が使用する全く別のクライアントPCから成りすましてサーバの個人情報を取得できるという致命的な問題が生じる。これは、
"クロスサイトスクリプティングの脆弱性"などと呼ばれる問題で、セッションIDを漏
洩してしまうという脆弱性(vulnerability)を含んでいる。
【0021】
この問題は、SSL暗号化などを実施し、そのクライアントPCとサーバ間だけにおいて解読可能にすることで、経路上の第三者からは盗聴できないようにできる。しかし、実際に通信しているクライアントPCを直接操作すれば、解読が可能であるため、インターネット喫茶店などのような公共のクライアントPCから個人情報が漏洩するという問題を防ぐことはできない。
【0022】
(3)最後に、図11に示すような「アプリケーション」方式において、“サーバとのデータ通信時に盗聴されてしまう”という問題を解決するために、クライアントPCにアプリケーションとしての申請プログラムをダウンロード後に実行させ、申請プログラムを用いた入力結果のみをサーバに返送するものがある。
【0023】
「アプリケーション」方式は、サーバとの通信が最後の1度のみしか発生せず、一方向の送信のみであるため、個人情報が漏洩する危険性は極めて低い。しかし、申請に用いるWebページのフォームが変更になるとアプリケーション自体を作成し直す必要がある。
【0024】
つまり、インターネットを利用した最新情報の入手といった利便性の低下や、開発工数の増大を招くなどの、セキュリティ以外の問題を引き起こすこととなる。
結論として、上述の方式では、個人情報が漏洩するというリスク、又は開発・保守工数増大のリスクを伴うという問題を抱えている。
また、既知の類似した発明には、以下ようなものがあるが、上記問題は解決されていない。
【0025】
特許文献1は、インターネットショッピングにおける商品購入システム等に関する発明である。氏名,住所,電話番号,金融機関の口座番号等の個人情報の入力は1回のみであることを開示する。しかし、特許文献1は、ID番号及びパスワードを有していないユーザが、初回の購入のときに1回のみ個人情報を入力することを単に開示している。
【特許文献1】特開2001−344478号公報
【発明の開示】
【発明が解決しようとする課題】
【0026】
情報が漏洩するという上述した問題の本質は、クライアントPCとサーバとの間で相互通信が発生することにある。
この相互通信を必要最小限に発生する方式である図11に示すアプリケーションの提供による申込においては、情報が漏洩する危険性を回避できる。しかし、アプリケーション自体に表示するページ情報を含んでいるため、Webでサービスを提供することにより得られる即時性などのメリットを失うこととなる。そのため、即時性などが要求されるサービスで利用する場合に、不向きであるという問題があった。
【0027】
本発明は、このような問題を解決するためになされたもので、その目的は、クライアントPCとサーバ間の通信情報を必要最小限にし、且つ、通信情報が盗聴されることを低減する個人情報保護送信プログラム、個人情報保護受信プログラム、装置及び方法を提供する。
【課題を解決するための手段】
【0028】
本発明は上記目的を達成するため、コンピュータを、画面遷移前の第1の遷移画面を表示させる第1の遷移画面情報と分岐条件及び第1の遷移画面上で分岐条件が満たされたときに遷移すべき第2の遷移画面を指定する画面指定情報を含む画面遷移情報とを受信する受信手段、分岐条件及び第1の遷移画面への入力情報に基づき第2の遷移画面を指定する画面指定情報を決定する決定手段として機能させることを特徴とする。
【0029】
また、本発明は、コンピュータを、画面遷移前の第1の遷移画面を表示させる第1の遷移画面情報と分岐条件及び第1の遷移画面上で分岐条件が満たされたときに遷移すべき第2の遷移画面を指定する画面指定情報を含む画面遷移情報とを送信する送信手段、分岐条件及び第1の遷移画面への入力情報に基づき第2の遷移画面を指定する画面指定情報を受信する受信手段として機能させることを特徴とする。
【0030】
本発明によれば、(i)第1の遷移画面と(ii)分岐条件及び第1の遷移画面上で分岐条件が満たされたときに遷移すべき第2の遷移画面を指定する画面指定情報を含む画面遷移情報とをそれぞれ別に受信することができる。
【0031】
分岐条件及び第1の遷移画面上で分岐条件が満たされたときに遷移すべき第2の遷移画面情報を第1の遷移画面へ埋め込んだときは、第1の遷移画面自体を変更しなければならない。これに対して、本発明では画面遷移情報の変更のみをすることが可能になるため、分岐条件及び第2の遷移画面情報の変更が容易になる。
【0032】
更に、前記決定手段により決定された前記画面指定情報のみを送信するため、画面指定情報を送信する毎に申込情報が送信されない。このため、複数の遷移画面に個人情報を入力した場合でも個人情報を送信する回数を必要最小限にできる。
【発明の効果】
【0033】
本発明の個人情報保護送信プログラムは、クライアントPCとサーバ間の通信情報を必要最小限にし、且つ、通信情報が盗聴されることを低減できる。
【発明を実施するための最良の形態】
【0034】
次に本発明を実施するための最良の形態について図面を参照して説明する。
図1は本発明による個人情報保護送信プログラム及び個人情報保護受信プログラムで実行される手順を説明する説明図である。
【0035】
本実施の形態の個人情報保護送信プログラム及び個人情報保護受信プログラムは、図1に示したユーザ端末であるクライアント2及びサーバ4(個人情報保護受信装置)にそれぞれインストールされるプログラムである。また、クライアント2及びサーバ4はインターネット等の通信回線を通じて接続されている。
【0036】
クライアント2はPDA、携帯電話、ノートPCなどの携帯端末又はデスクトップPCなどのプログラムをインストールして実行可能なコンピュータである。サーバ4は複数のクライアント2から通信回線を通じてアクセス可能なコンピュータである。
【0037】
(1)クライアント2は、「申込の開始」をするために、個人情報保護送信プログラムを実行してサーバ4へ申込必要内容一覧情報とページ遷移情報の送信を要求する。サーバ4は個人情報保護受信プログラムを実行して申込必要内容一覧情報とページ遷移情報をクライアント2へ送信する。
【0038】
ここで、ページ遷移情報(画面遷移情報)は、図4の(b)に示される情報である。ページ遷移情報は、分岐条件及びこの分岐条件が満たされたときに遷移すべき遷移画面を指定する画面指定情報(例:画面B1.html)を含む。つまり、画面指定情報は遷移画面のアドレス情報(URL)などである。
【0039】
図4の(b)に示される一例として、分岐条件は会員IDの有無であり、画面指定情報は“画面B1.html”や“画面B2.html”である。そして、“画面B1.html”や“画面B2.html”で表示される画面が遷移画面である。遷移画面は、図2に示すような、クライアント2のディスプレイに表示される“画面B1”や“画面B2”である。
【0040】
「申込の開始」において、クライアント2からサーバ4へ要求されるページ遷移情報は、遷移画面それ自体ではなく、遷移画面を指定する「画面指定情報」を含む。申込必要内容一覧情報とページ遷移情報はJava(登録商標)サーブレット等のプログラムを実行
してサーバ4から送信される。これに対して、遷移画面はHTTPリクエストでWebサーバから送信される。即ち、ページ遷移情報と遷移画面は異なる手順でサーバ4から送信される。
【0041】
申込必要内容一覧情報は図4の(a)に示される情報である。申込必要内容一覧情報はクライアント2で入力すべき事項を示す一覧である。クライアント2のマウスやキーボード等で選択的に又は記述的に入力された情報は、申込必要内容一覧情報に記録される。
【0042】
(2)クライアント2は、サーバ4から受信したページ遷移情報に含まれる情報が初期画面であるとき、次のページ(遷移画面)をサーバ4に要求する。即ち、申込開始直後のページ遷移情報は、初期画面を要求するための分岐条件と初期画面(遷移画面)を示す画面指定情報を含む。
【0043】
クライアント2は、サーバ4から遷移画面を受信するために分岐条件に従って画面指定情報をサーバ4に送信する。サーバ4は、クライアント2から受信した画面指定情報で指定された遷移画面をクライアント2に送信する。
【0044】
ページ遷移情報について、申込の開始後に、図4から図6の(b)に示すページ遷移情報を一括してサーバ4からクライアント2に送信する。又は、クライアント2からサーバ4へ画面指定情報を送信する際に、遷移画面に関するページ遷移情報をサーバ4へ要求してもよい。クライアント2からサーバ4へ画面指定情報を送信する毎にページ遷移情報をサーバ4へ要求する手順の場合、変更した遷移画面に関するページ遷移情報だけを変更すれはよい。
【0045】
(3)受信した複数の遷移画面に対して入力された個人情報等の入力情報は申込必要内容一覧情報に記録される。そして、申込必要内容一覧情報の入力が完了したとき、申込必要内容一覧情報をクライアント2からサーバ4へ送信する。最後に、個人情報保護送信プログラムが終了する際に、申込必要内容一覧情報がクライアント2から消去される。
【0046】
図2及び図3はクライアント2で表示される遷移画面の遷移を示す画面遷移図である。図4から図6はサーバ4よりクライアント2に送信される情報例を示す説明図である。図4は初期画面である画面Aを表示する際にサーバ4からクライアント2へ送信する情報例を示す説明図である。図5は遷移画面である画面Bを表示する際にサーバ4からクライアント2へ送信する情報例を示す説明図である。図6は遷移画面である画面Cを表示する際にサーバ4からクライアント2へ送信する情報例を示す説明図である。
【0047】
<画面遷移例1:図2>
クライアント2は、個人情報保護送信プログラムを実行してサーバ4から申込必要内容一覧情報とページ遷移情報を受信する。申込必要内容一覧情報は、クライアント2により入力された個人情報等の申込情報(入力情報)を記録するための情報であり、個人情報保護送信プログラムにより保持される情報である。
【0048】
図2に示す画面Aはユーザが会員IDを持っているかを確認する画面である。ユーザが会員IDを持っているときは「はい」を選択し、持っていない場合は「いいえ」を選択する。この選択は、ユーザがマウス又はキーボード操作で行う。デスクトップPCでは、通常マウスのクリック操作で項目が選択される。図2ではユーザが会員IDを持っている場合の画面遷移例を説明する。
【0049】
画面Aで「はい」が選択されていて画面Aの「次へ」ボタンをクリックすると、図4の(b)ウィザードのページ遷移情報の分岐条件に従って、画面B1.htmlの画面指定
情報がクライアント2からサーバ4へ送信される。つまり、画面Aに対して条件1が設定されている。同様に、画面B1に対して条件2が設定され、画面C1に対して条件3が設定されている。
【0050】
そして、サーバ4から画面B1.htmlを受信したクライアント2が画面B1を表示する。会員IDを持っている場合は会員特価又は割引価格を表示する遷移画面を指定する画面指定情報がサーバ4へ送信される。
【0051】
画面B1上でユーザがパソコン本体を選択したとき、図5に示す条件2が使用され、画面C1.htmlの画面指定情報がクライアント2からサーバ4へ送信される。そして、画面C1.htmlを受信したクライアント2が画面C1を表示する。そして、パソコン本体が選択されたことが申込必要内容一覧情報に記録される。図4の申込必要内容一覧情報には「パソコン本体」と記録した例を示してあるが、価格情報を合わせて記録してもよい。
【0052】
画面C1上で周辺機器A1が選択されたとき、図6に示す条件3が使用され、画面D2.htmlの画面指定情報がクライアント2からサーバ4へ送信される。そして、画面D2.htmlを受信したクライアント2が画面D2を表示する。
【0053】
画面Aで選択された会員IDの有無に関する情報をプログラムが一時的に保持して、その保持された情報に基づき遷移すべき画面を決定する。又は、申込必要内容一覧情報に会員IDの有無に関する情報を記録し、条件3の判断をするとき申込必要内容一覧情報を参照するようにしてもよい。
【0054】
会員IDがある場合、ユーザは画面D2上に会員IDを入力し、確定ボタンをクリックする。確定ボタンがクリックされると申込必要内容一覧情報に氏名及び住所が記録される。
【0055】
会員IDがない場合、ユーザは画面D1上に氏名及び住所をキーボード等を使用して入力し、確定ボタンをクリックする。確定ボタンがクリックされると申込必要内容一覧情報に氏名及び住所が記録される。そして、クライアント2は申込必要内容一覧情報へ記録すべき情報がすべて入力されたかを判断してサーバ4へ申込必要内容一覧情報を送信する。
【0056】
<画面遷移例2:図3>
図2では会員IDの有無のみを選択する画面Aを表示する例を示した。これに対して、図3は、会員IDを入力した後に、画面が遷移する一例を示す。
【0057】
会員IDが入力された状態で画面Aの「次へ」ボタンをクリックすると、図4の(b)ウィザードのページ遷移情報の分岐条件に従って、画面B1.htmlの画面指定情報がクライアント2からサーバ4へ送信される。「次へ」ボタンをクリックされたときは、会員IDを申込必要内容一覧情報に記録する。
【0058】
会員IDが有るとき、図4の条件1により、サーバ4へ画面B1.htmlの画面指定情報が送信される。そして、画面B1.htmlを受信したクライアント2が画面B1を表示する。入力された会員IDは、申込必要内容一覧情報に記録される。
【0059】
画面C1上で申込終了が選択されているとき、申込必要内容一覧情報に記録した情報を使用して、個人情報保護送信プログラムが画面E.htmlを生成する。確定ボタンがクリックされるとクライアント2は申込必要内容一覧情報へ記録すべき情報がすべて入力されたかを判断してサーバ4へ申込必要内容一覧情報を送信する。
【0060】
上述のように、個人情報を含む申込必要内容一覧情報が送信されるまで、常にクライアント2上のみで管理されることとなるため、他者からこの個人情報を盗聴することができない。
【0061】
<基本処理手順>
図7は本発明の基本的な処理手順を示すフローチャートである。物販サイトで物品を購入する例で説明をする。
(1)物販サイトの購入申込ページに 「申込開始」 ボタンを設置する。このボタンをクリックすると、例えば、個人情報保護送信プログラム(以下、申込アプリケーション)であるJavaApplet(Javaは登録商標)がサーバー4からクライアント2に読み込まれ、クライアント2上で申込アプリケーションが起動する。個人情報保護送信プログラムは、JavaApplet(Javaは登録商標)に特に限定する必要はなく、通常のアプリケーションや、JavaScript(登録商標)のようなものでも良い。
【0062】
(2)申込アプリケーションは、購入サーバから「申込必要内容一覧情報」をダウンロードする(S1)。次に、「ページ遷移情報」をダウンロードし(S3)、申し込みのための入口ページ(初期画面)等のURLを取得してサーバ4から、必要なページのhtmlを表示する(S3)。この場合、入口ページは「申込開始」 ボタンの押下げによりサ
ーバ4から受信する。
【0063】
(3)ユーザは、取得したページの各入力欄(例えば、ID番号、氏名、住所、電話番号などの個人情報)を入力する。ページの下端にある 「次へ」 ボタンをクリックすると、入力欄に入力された情報が申込必要内容一覧情報に記録される(S4)。
【0064】
(4)申込必要内容一覧情報へ記録すべき情報がすべて記録(入力)されたかを申込アプリケーションが判断する。例えば、申込アプリケーションは確定ボタンをクリックした際に、(i)申込商品及び(ii)会員ID(又は氏名、住所)が申込必要内容一覧情報へ記録されたかをチェックして、記録すべき情報がすべて記録されたかを判断する(S5)。商品が一つも選択されていない場合や会員IDが入力されていない場合は、確定ボタンがクリックされても記録すべき情報がすべて記録されたと申込アプリケーションは判断しない。
【0065】
(5)記録すべき情報がすべて記録されていないと申込みアプリケーションが判断した際は、ステップS4で入力された内容をチェックし、ステップ2で入手したページ遷移情報に基づき、次に表示すべきページを決定する(S6)。ステップS2からS6は、記録すべき情報がすべて記録されたと申込みアプリケーションが判断するまで、繰り返し実行される。
【0066】
(6)申込アプリケーションは、ページ遷移情報に従ってページをサーバーに要求して表示する。このように、入力を促すことで、ユーザは商品の選択や個人情報の入力ができる。また、ユーザが入力した個人情報等は、全て申込アプリケーション上にのみ存在する。記録すべき情報がすべて記録されたと申込みアプリケーションが判断するまで、ネットワークへ個人情報等は送信されない。
【0067】
(7)最終的に全ての個人情報の入力が終わり、申込アプリケーションが、記録すべき情報が全て埋められたと判断したとき、例えば、「サーバ4に申込情報を送信しますか?」とディスプレイ上に表示する。そして、ユーザの最終指示(例えば、送信ボタンの押下げ)に従って、入力した個人情報等がネットワークを通してサーバ4に送信される。
【0068】
(8)サーバ4は最終的な申込内容をクライアント2から受信し、申込アプリケーションは申込処理を完了する。送信後に、申込アプリケーションを終了しなくても、申込必要内容一覧情報を申込アプリケーション上から削除してもよい。
【0069】
本発明の特徴として、クライアント2及びサーバ4との間で情報の送受信が複数回発生するが、クライアント2が要求する 遷移画面(htmlページ)をサーバ4が一方的に
送信するだけである。即ち、個人情報は最後の送信までクライアント2上で保持されるので、申込必要内容一覧情報がクライアント2からサーバ4へ送信される前の盗聴を無意味とすることができる。
【0070】
サーバ4から送信されるページ遷移情報を受け取った後は、クライアント2がページ遷移情報の分岐条件に従い、自発的に最新のhtml、または必要に応じて新しいページ遷移情報を サーバ4に一方的に要求する。クライアント2はページ遷移情報に基づき自律
的に遷移画面を決定する。
【0071】
これにより、従来の「アプリケーション提供方式」と違い、Webとしての利点である「常に最新の情報(Webページ)」がクライアント2上で表示される。本発明の方式は、WEBMARTのような物販サイトにおける申し込みで、「常に最新の約款や販売システムを利用させる必要がある」ような場合、特に有効である。
【0072】
なぜなら物販サイトにおける売買契約で、改版されて約款などが変更された場合、「アプリケーション提供方式」では、誤って旧版システムから申込みした場合、ユーザとトラブルが生じる可能性がある。
【0073】
例えば、販売価格が変更された場合、旧版のシステムから申し込んだユーザは新システム上の価格と違う価格で購入したと信じるため、販売価格が上昇していたときユーザと非常に大きなトラブルが生じていた。
【0074】
また、ある時期から、ポイントシステムのような新サービスが導入されるような場合では、旧版システムから申し込んだ場合、ポイントサービスが適用されていない、というトラブルが生じる可能性がある。
【0075】
これらの問題を回避するために「アプリケーション提供方式」では、ユーザは常に新版のアプリケーションを利用する必要がある。このようなサービス変更の際には、ユーザにご提供するクライアントアプリケーションを必ず改版する必要がある。更に、過去にユーザがダウンロード済みの旧版システムからの申し込みを受付けないシステムを構築する必要が生じる。
【0076】
「アプリケーション提供方式」では、ユーザが利用の都度、最新のクライアントアプリケーションをダウンロードする必要があり、ダウンロード等に手間がかかるため、ユーザに負担が生じ、物販サイトを利用しなくなる傾向があった。
【0077】
個人情報の漏洩防止などのセキュリティを改善した上で、「アプリケーション提供方式」で生じていた問題を解決することができる。
本発明では、重要なユーザの信用情報などはクライアント2上でのみ管理されている。そして、クライアント2から一方向にサーバ4へ個人情報を送信するというインタフェースしか存在しない。
【0078】
これにより、外部から個人情報の送信をサーバ4へ指示することが不可能となる。従来の「セッションID方式」のように、成りすましによる個人情報を請求する行為も不可能
となり、結果としてセキュリティが向上する。
【0079】
また、クライアント2上にのみ個人情報が管理されているため、従来の「cookieへの情報保存方式」のように、サーバ4との間で個人情報の送受信が複数回生じることがない。また、クライアント2上で個人情報が保存されない。即ち、盗聴される可能性がなくなる。
【0080】
即ち、(a)「個人情報はクライアント2上でのみ管理されること」、(b)「表示するWebページは通常のWebと同じく常にサーバ4から受信すること」、(c)「個人情報に関するインタフェースは、クライアント2からサーバ4への一方向であること」という条件を本発明は提供できる。従って、従来よりも強固にセキュリティが確保された個人情報の送信を行うことができるのである。
【0081】
また、従来のアプリケーション提供方式では、ほぼ全ての"申し込みに必要なコンテン
ツ情報"などをアプリケーションに含める必要があり、ファイルサイズが大きくなってし
まう。このため、ユーザが気軽にアプリケーションをダウンロードできなかった。
【0082】
本発明による提供されるクライアント2は、コンテンツ情報などは一切不要であるため、従来のアプリケーション提供方式と比較してファイルサイズを小さくできる。これにより、ユーザが気軽にアプリケーションをダウンロードできる。
【0083】
また、セキュリティについても最新のセキュリティ対策を施したクライアント2をユーザは利用できる。上述のように、物販サイトを構成する際、例えば、SSLの暗号化はもとより、様々な盗聴/成りすましに対する対策を行う必要があった。これに対して、本発明は、申込必要内容一覧情報を送信する際にSSL暗号化度だけに配慮すれば良い。
【0084】
また、送信時に、申込必要内容一覧情報を暗号化すれば、暗号化された申込必要内容一覧情報を入手して解析することは非常に困難となる。また、申込に使用される入力支援のための様々な処理はクライアント2で動作するため、サーバ4は一方的に遷移画面を送信するだけでよい。即ち、サーバ4の負荷を軽減できる。
【0085】
専用アプリケーションでは、セキュリティ上の問題が発見された場合などは特に、ユーザが再び大きなサイズの最新のアプリケーションをダウンロードする必要があった。これに対して、本発明ではデータを解析するだけの小規模サイズの個人情報保護送信プログラムをユーザがダウンロードするだけでよい。セキュリティ的にも、サーバ負荷的にも効果的である。
【0086】
このように、本発明により、従来、物販サイトなどで非常に多くのセキュリティ対策費の削減が可能となる。
【0087】
<その他>
(付記1)
コンピュータを、
画面遷移前の第1の遷移画面を表示させる第1の遷移画面情報と分岐条件及び前記第1の遷移画面上で前記分岐条件が満たされたときに遷移すべき第2の遷移画面を指定する画面指定情報を含む画面遷移情報とを受信する受信手段、
前記分岐条件及び第1の遷移画面への入力情報に基づき第2の遷移画面を指定する画面指定情報を決定する決定手段
として機能させることを特徴とする個人情報保護送信プログラム。
(付記2)
入力情報として前記第1の遷移画面へ申込情報を入力する入力手段を更に含むことを特徴とする付記1記載の個人情報保護送信プログラム。
(付記3)
前記決定手段により決定された前記画面指定情報を送信する送信手段を更に含むことを特徴とする付記1記載の個人情報保護送信プログラム。
(付記4)
前記受信手段は前記画面指定情報で指定された第2の遷移画面情報を受信することを特徴とする付記1記載の個人情報保護送信プログラム。
(付記5)
第1の遷移画面に入力された申込情報を保持する保持手段を更に含むことを特徴とする付記2記載の個人情報保護送信プログラム。
(付記6)
前記受信手段はユーザを特定するための個人情報欄を含む申込必要内容一覧情報を受信することを特徴とする付記1記載の個人情報保護送信プログラム。
(付記7)
前記保持手段は前記第1の遷移画面へ入力された申込情報を申込必要内容一覧情報へ記録することにより申込情報を保持することを特徴とする付記5記載の個人情報保護送信プログラム。
(付記8)
前記第2の遷移画面情報に対応した画面遷移情報の送信を要求する要求手段を更に含むことを特徴とする付記4記載の個人情報保護送信プログラム。
(付記9)
前記入力手段は第1の遷移画面上で申込情報を選択的又は記述的に入力することを特徴とする付記2記載の個人情報保護送信プログラム。
(付記10)
前記個人情報保護送信プログラムは申込必要内容一覧情報の入力が完了したかを判断する判断手段を更に含み、判断手段が申込必要内容一覧情報の入力が完了したと判断したとき、前記送信手段が申込必要内容一覧情報を送信することを特徴とする付記3記載の個人情報保護送信プログラム。
(付記11)
前記個人情報保護送信プログラムが終了する際に、前記保持手段に保持された申込必要内容一覧情報が消去されることを特徴とする付記5記載の個人情報保護送信プログラム。(付記12)
画面遷移前の第1の遷移画面を表示させる第1の遷移画面情報と分岐条件及び前記第1の遷移画面上で前記分岐条件が満たされたときに遷移すべき第2の遷移画面を指定する画面指定情報を含む画面遷移情報とを受信する受信手段、
前記分岐条件及び第1の遷移画面への入力情報に基づき第2の遷移画面を指定する画面指定情報を決定する決定手段
を含むことを特徴とする個人情報保護送信装置。
(付記13)
コンピュータを、
画面遷移前の第1の遷移画面を表示させる第1の遷移画面情報と分岐条件及び前記第1の遷移画面上で前記分岐条件が満たされたときに遷移すべき第2の遷移画面を指定する画面指定情報を含む画面遷移情報とを送信する送信手段、
前記分岐条件及び第1の遷移画面への入力情報に基づき決定された第2の遷移画面を指定する画面指定情報を受信する受信手段
として機能させることを特徴とする個人情報保護受信プログラム。
(付記14)
前記送信手段は前記画面指定情報で指定された第2の遷移画面情報を送信することを特徴とする付記13記載の個人情報保護受信プログラム。
(付記15)
前記送信手段はユーザを特定するための個人情報欄を含む申込必要内容一覧情報を送信することを特徴とする付記13記載の個人情報保護受信プログラム。
(付記16)
前記送信手段は前記第2の遷移画面情報に対応した画面遷移情報を送信することを特徴とする付記13記載の個人情報保護受信プログラム。
(付記17)
前記受信手段は前記送信手段により送信した申込必要内容一覧情報を一度だけ受信することを特徴とする付記13記載の個人情報保護受信プログラム。
(付記18)
画面遷移前の第1の遷移画面を表示させる第1の遷移画面情報と分岐条件及び前記第1の遷移画面上で前記分岐条件が満たされたときに遷移すべき第2の遷移画面を指定する画面指定情報を含む画面遷移情報とを送信する送信手段、
前記分岐条件及び第1の遷移画面への入力情報に基づき決定された第2の遷移画面を指定する画面指定情報を受信する受信手段
を含むことを特徴とする個人情報保護受信装置。
(付記19)
前記送信手段は前記画面指定情報で指定された第2の遷移画面情報を送信することを特徴とする付記18記載の個人情報保護受信装置。
(付記20)
前記送信手段はユーザを特定するための個人情報欄を含む申込必要内容一覧情報を送信することを特徴とする付記18記載の個人情報保護受信装置。
(付記21)
前記送信手段は前記第2の遷移画面情報に対応した画面遷移情報を送信することを特徴とする付記19記載の個人情報保護受信装置。
(付記22)
前記受信手段は前記送信手段により送信した申込必要内容一覧情報を一度だけ受信することを特徴とする付記18記載の個人情報保護受信装置。
(付記23)
画面遷移前の第1の遷移画面を表示させる第1の遷移画面情報と分岐条件及び前記第1の遷移画面上で前記分岐条件が満たされたときに遷移すべき第2の遷移画面を指定する画面指定情報を含む画面遷移情報とを送信する送信ステップ、
前記分岐条件及び第1の遷移画面への入力情報に基づき決定された第2の遷移画面を指定する画面指定情報を受信する受信ステップ
を含むことを特徴とする個人情報保護受信方法。
【図面の簡単な説明】
【0088】
【図1】本発明による個人情報保護送信プログラム及び個人情報保護受信プログラムで実行される手順を説明する説明図である。
【図2】クライアントで表示される遷移画面の遷移を示す画面遷移図である。
【図3】クライアントで表示される遷移画面の遷移を示す画面遷移図である。
【図4】初期画面である画面Aを表示する際にサーバからクライアントへ送信する情報例を示す説明図である。
【図5】遷移画面である画面Bを表示する際にサーバからクライアントへ送信する情報例を示す説明図である。
【図6】遷移画面である画面Cを表示する際にサーバからクライアントへ送信する情報例を示す説明図である。
【図7】本発明の基本的な処理手順を示すフローチャートである。
【図8】「住所変更」を申請するためにWebページに個人情報を入力する一例を示す図である。
【図9】クライアントPCに情報を保持する「Cookieへの情報保存」方式を示す説明図である。
【図10】サーバ側に情報を保持する「セッション管理」方式を示す説明図である。
【図11】クライアントアプリケーション(プログラム)をダウンロードして実行する「アプリケーション」方式を示す説明図である。
【符号の説明】
【0089】
2 クライアント
4 サーバ
【特許請求の範囲】
【請求項1】
コンピュータを、
画面遷移前の第1の遷移画面を表示させる第1の遷移画面情報と分岐条件及び前記第1の遷移画面上で前記分岐条件が満たされたときに遷移すべき第2の遷移画面を指定する画面指定情報を含む画面遷移情報とを受信する受信手段、
前記分岐条件及び第1の遷移画面への入力情報に基づき第2の遷移画面を指定する画面指定情報を決定する決定手段
として機能させることを特徴とする個人情報保護送信プログラム。
【請求項2】
入力情報として前記第1の遷移画面へ申込情報を入力する入力手段を更に含むことを特徴とする請求項1記載の個人情報保護送信プログラム。
【請求項3】
前記決定手段により決定された前記画面指定情報を送信する送信手段を更に含むことを特徴とする請求項1記載の個人情報保護送信プログラム。
【請求項4】
前記受信手段は前記画面指定情報で指定された第2の遷移画面情報を受信することを特徴とする請求項1記載の個人情報保護送信プログラム。
【請求項5】
第1の遷移画面に入力された申込情報を保持する保持手段を更に含むことを特徴とする請求項2記載の個人情報保護送信プログラム。
【請求項6】
前記受信手段はユーザを特定するための個人情報欄を含む申込必要内容一覧情報を受信することを特徴とする請求項1記載の個人情報保護送信プログラム。
【請求項7】
前記保持手段は前記第1の遷移画面へ入力された申込情報を申込必要内容一覧情報へ記録することにより申込情報を保持することを特徴とする請求項5記載の個人情報保護送信プログラム。
【請求項8】
前記第2の遷移画面情報に対応した画面遷移情報の送信を要求する要求手段を更に含むことを特徴とする請求項4記載の個人情報保護送信プログラム。
【請求項9】
前記個人情報保護送信プログラムが終了する際に、前記保持手段に保持された申込必要内容一覧情報が消去されることを特徴とする請求項5記載の個人情報保護送信プログラム。
【請求項10】
画面遷移前の第1の遷移画面を表示させる第1の遷移画面情報と分岐条件及び前記第1の遷移画面上で前記分岐条件が満たされたときに遷移すべき第2の遷移画面を指定する画面指定情報を含む画面遷移情報とを送信する送信手段、
前記分岐条件及び第1の遷移画面への入力情報に基づき決定された第2の遷移画面を指定する画面指定情報を受信する受信手段
を含むことを特徴とする個人情報保護受信装置。
【請求項1】
コンピュータを、
画面遷移前の第1の遷移画面を表示させる第1の遷移画面情報と分岐条件及び前記第1の遷移画面上で前記分岐条件が満たされたときに遷移すべき第2の遷移画面を指定する画面指定情報を含む画面遷移情報とを受信する受信手段、
前記分岐条件及び第1の遷移画面への入力情報に基づき第2の遷移画面を指定する画面指定情報を決定する決定手段
として機能させることを特徴とする個人情報保護送信プログラム。
【請求項2】
入力情報として前記第1の遷移画面へ申込情報を入力する入力手段を更に含むことを特徴とする請求項1記載の個人情報保護送信プログラム。
【請求項3】
前記決定手段により決定された前記画面指定情報を送信する送信手段を更に含むことを特徴とする請求項1記載の個人情報保護送信プログラム。
【請求項4】
前記受信手段は前記画面指定情報で指定された第2の遷移画面情報を受信することを特徴とする請求項1記載の個人情報保護送信プログラム。
【請求項5】
第1の遷移画面に入力された申込情報を保持する保持手段を更に含むことを特徴とする請求項2記載の個人情報保護送信プログラム。
【請求項6】
前記受信手段はユーザを特定するための個人情報欄を含む申込必要内容一覧情報を受信することを特徴とする請求項1記載の個人情報保護送信プログラム。
【請求項7】
前記保持手段は前記第1の遷移画面へ入力された申込情報を申込必要内容一覧情報へ記録することにより申込情報を保持することを特徴とする請求項5記載の個人情報保護送信プログラム。
【請求項8】
前記第2の遷移画面情報に対応した画面遷移情報の送信を要求する要求手段を更に含むことを特徴とする請求項4記載の個人情報保護送信プログラム。
【請求項9】
前記個人情報保護送信プログラムが終了する際に、前記保持手段に保持された申込必要内容一覧情報が消去されることを特徴とする請求項5記載の個人情報保護送信プログラム。
【請求項10】
画面遷移前の第1の遷移画面を表示させる第1の遷移画面情報と分岐条件及び前記第1の遷移画面上で前記分岐条件が満たされたときに遷移すべき第2の遷移画面を指定する画面指定情報を含む画面遷移情報とを送信する送信手段、
前記分岐条件及び第1の遷移画面への入力情報に基づき決定された第2の遷移画面を指定する画面指定情報を受信する受信手段
を含むことを特徴とする個人情報保護受信装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2006−65577(P2006−65577A)
【公開日】平成18年3月9日(2006.3.9)
【国際特許分類】
【出願番号】特願2004−247244(P2004−247244)
【出願日】平成16年8月26日(2004.8.26)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成18年3月9日(2006.3.9)
【国際特許分類】
【出願日】平成16年8月26日(2004.8.26)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]