個人情報漏洩監視システム、個人情報漏洩監視方法、個人情報漏洩監視プログラムおよびそのプログラムを記録した記録媒体
【課題】 氏名、住所、電話番号のような個人情報の漏洩を監視する個人情報漏洩監視システム、個人情報漏洩監視方法、個人情報漏洩監視プログラムおよびプログラムを記録した記録媒体を提供すること。
【解決手段】 漏洩監視システム1は、複数の個人情報を記憶する個人情報データベースDBと、電話の通話記録をとるCTI11と、電子メールの送受信を行うメールサーバ12と、ネットワーク上の検索を行う検索エンジン13と、ホストコンピュータ10とを備えている。ホストコンピュータ10は、実在しない人物の個人情報であるダミー情報を、一定期間ごとに生成し、個人情報データベースDBに記憶する。CTI11、メールサーバ12および検索エンジン13は、インタ―ネットおよび電話網におけるダミー情報の漏洩を検知することにより、個人情報データベースDBからの個人情報の漏洩を検出する。
【解決手段】 漏洩監視システム1は、複数の個人情報を記憶する個人情報データベースDBと、電話の通話記録をとるCTI11と、電子メールの送受信を行うメールサーバ12と、ネットワーク上の検索を行う検索エンジン13と、ホストコンピュータ10とを備えている。ホストコンピュータ10は、実在しない人物の個人情報であるダミー情報を、一定期間ごとに生成し、個人情報データベースDBに記憶する。CTI11、メールサーバ12および検索エンジン13は、インタ―ネットおよび電話網におけるダミー情報の漏洩を検知することにより、個人情報データベースDBからの個人情報の漏洩を検出する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、氏名、住所、電話番号のような個人情報の漏洩を監視する個人情報漏洩監視システム、個人情報漏洩監視方法、個人情報漏洩監視プログラムおよびプログラムを記録した記録媒体に関する。
【背景技術】
【0002】
従来、個人情報を管理する管理システムからコピー等により個人情報が流出することによって個人情報の漏洩が発生する問題が生じている。この問題に関連して、個人情報とは異なるものの、特許文献1に記載されたように、ネットワーク上で配信するコンテンツに著作権情報(電子透かし)を付与しておき、ネットワーク上で使用されているコンテンツを収集して、電子透かしを調べることによって、コンテンツの不正使用を監視することが行われている。また、特許文献2に記載されたように、テスト用の個人情報をネットワーク上のメールサーバに送信し、テスト用の個人情報に基づく返信メールを受信することによって、個人情報を不正使用するメールサーバを検知することが行われている。
【0003】
【特許文献1】特開2001−312570号公報
【特許文献2】特開2004−104271号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、上記した従来の個人情報漏洩監視システムでは、個人情報が漏洩していても、漏洩の事実を発見することができないという問題があった。
【課題を解決するための手段】
【0005】
上記課題を解決するために、本発明の漏洩監視システムは、所定の形式で整理され、秘匿性を要する事実情報、および事実情報の形式と同一の形式で整理され、公開されていない通信の宛先を示す宛先情報を有する擬似情報を記憶する記憶手段と、記憶手段から事実情報および擬似情報が漏洩し、擬似情報が有している宛先情報により示される宛先に通信が行われた場合、ネットワークを介して通信を受信することによって、記憶手段から事実情報が漏洩したことを検知する検知手段と、を備えたことを要旨とする。
【0006】
この構成によれば、記憶手段から事実情報および擬似情報が漏洩した場合、漏洩した擬似情報は事実情報と同一の形式であるので、これを取得した者は事実情報であるか擬似情報であるかを判別することなく、事実情報および擬似情報を使用するので、擬似情報が有している宛先情報により示される通信の宛先に通信が行われることがある。擬似情報のもつ宛先情報は公開されていない通信の宛先を示しているので、この通信をネットワークを介して受信した場合、検知手段は、受信を検知することによって、記憶手段に記憶されている擬似情報が漏洩したと判断することができる。ここで、記憶手段には、擬似情報と共に事実情報が記憶されているので、擬似情報と共に事実情報も漏洩したと推定することができる。したがって、記憶手段に記憶されている事実情報が漏洩したことを知ることができる。なお、ネットワークを介して受信する通信としては、インターネットを介して受信する電子メールの他、電話網を介して受信する電話としてもよい。電子メールとした場合の宛先情報は電子メールアドレス、電話とした場合の宛先情報は電話番号となる。
【0007】
ここで、検知手段は、宛先に行われた通信の送信元を特定するための特定情報を取得することが好ましい。
【0008】
このようにすれば、通信の送信元を特定する特定情報を得ることができる。擬似情報が有している宛先情報は、公開されていない擬似情報が有しているはずの情報であるので、送信元を擬似情報の漏洩先とみなすことができる。上述したように、擬似情報と共に、事実情報が漏洩したものと推定できるので、事実情報の漏洩先を特定することができる。
【0009】
また、本発明のもうひとつの漏洩監視システムは、所定の形式で整理され、秘匿性を要する事実情報、および事実情報の形式と同一の形式で整理され、公開されていない擬似情報を記憶する記憶手段と、記憶手段から事実情報および擬似情報が漏洩し、漏洩した擬似情報がネットワーク上に公開された場合、擬似情報についてネットワーク上の情報を検索することによって、記憶手段から事実情報が漏洩したことを検知する検知手段と、を備えたことを要旨とする。
【0010】
この構成によれば、記憶手段から事実情報および擬似情報が漏洩した場合、漏洩した擬似情報は事実情報と同一の形式であるので、これを取得した者は事実情報であるか擬似情報であるかを判別することなく、事実情報および擬似情報を使用するので、擬似情報がネットワーク上に公開されることがある。検知手段は、擬似情報についてネットワーク上の情報から検索することによって、ネットワーク上に公開されている擬似情報を検知する。擬似情報は公開されていない情報であるので、ネットワーク上に公開された擬似情報は記憶手段に記憶されている擬似情報が漏洩したと判断することができる。ここで、記憶手段には、擬似情報と共に事実情報が記憶されているので、擬似情報が漏洩すると共に事実情報が漏洩したと推定できる。したがって、記憶手段に記憶されている事実情報が漏洩したことを知ることができる。
【0011】
ここで、検知手段は、擬似情報についてネットワーク上の情報を検索することによって、擬似情報が発見されたネットワーク上の所在を特定するための特定情報を取得することが好ましい。
【0012】
このようにすれば、漏洩した擬似情報が発見されたネットワーク上の所在を特定する特定情報を得ることができるので、事実情報の漏洩先を特定することができる。
【0013】
ここで、擬似情報を記憶した擬似情報記憶手段と、検知手段が検知した擬似情報、擬似情報記憶手段に記憶されている擬似情報および特定情報とを参照することによって、事実情報の漏洩状況を推定して、解析情報を取得する解析手段とを更に備えることが好ましい。
【0014】
このようにすれば、検知手段が検知した擬似情報、擬似情報記憶手段に記憶されている擬似情報および特定情報とを用いて、事実情報の漏洩状況を推定した解析情報を得ることができる。したがって、事実情報の漏洩状況を知ることができる。
【0015】
ここで、事実情報の漏洩があった旨、漏洩した事実情報または解析情報のうち少なくとも1つを所定の人物に通知する通知手段を、更に備えることが好ましい。
【0016】
このようにすれば、情報の漏洩があったときに、システム管理者などの所定の人物は、漏洩があった通知を受けることができる。したがって、情報が漏洩したことを容易に知ることができる。なお、通知を行う方法としては、電子メール、電話、電報、Faxなどのほか、漏洩監視システムの所定のファイルに記録したり、このシステムに備わる表示装置などに表示させるようにしてもよい。
【0017】
ここで、検知手段は、所定の時間が経過するごとに擬似情報の漏洩を検知することが好ましい。このようにすれば、事実情報を定期的に検知を行うことによって、監視を行うことができる。
【0018】
また、上記目的を達成する本発明の漏洩監視方法は、所定の形式で整理され、秘匿性を要する事実情報、および事実情報の形式と同一の形式で整理され、公開されていない通信の宛先を示す宛先情報を有する擬似情報を記憶する記憶ステップと、記憶手段から事実情報および擬似情報が漏洩し、擬似情報が有している宛先情報により示される通信の宛先に通信が行われた場合、ネットワークを介して通信を受信することによって、記憶手段から事実情報が漏洩したことを検知する検知ステップとを備えたことを特徴とする。
【0019】
さらに、上記目的を達成する本発明の漏洩監視方法は、所定の形式で整理され、秘匿性を要する事実情報、および事実情報の形式と同一の形式で整理され、公開されていない通信の宛先を示す宛先情報を有する擬似情報を記憶する記憶ステップと、記憶手段から事実情報および擬似情報が漏洩し、漏洩した擬似情報がネットワーク上に公開された場合、擬似情報についてネットワーク上の情報を検索することによって、記憶手段から事実情報が漏洩したことを検知する検知ステップとを備えたことを特徴とする。
【0020】
また、本発明はコンピュータプログラムまたはそのプログラムを記録した記録媒体としてもよい。すなわち、コンピュータを、所定の形式で整理され、秘匿性を要する事実情報、および事実情報の形式と同一の形式で整理され、公開されていない通信の宛先を示す宛先情報を有する擬似情報を記憶する記憶手段、記憶手段から事実情報および擬似情報が漏洩し、擬似情報が有している宛先情報により示される通信の宛先に通信が行われた場合、ネットワークを介して通信を受信することによって、記憶手段から事実情報が漏洩したことを検知する検知手段、として機能させることを特徴とする。
【0021】
また、本発明のもうひとつのコンピュータプログラムは、コンピュータを、所定の形式で整理され、秘匿性を要する事実情報、および事実情報の形式と同一の形式で整理され、公開されていない通信の宛先を示す宛先情報を有する擬似情報を記憶する記憶手段、記憶手段から事実情報および擬似情報が漏洩し、漏洩した擬似情報がネットワーク上に公開された場合、擬似情報についてネットワーク上の情報を検索することによって、記憶手段から事実情報が漏洩したことを検知する検知手段、として機能させることを特徴とする。
【0022】
これらのプログラムを記録した記録媒体としては、フレキシブルディスクやCD−ROM、ICカード、パンチカードなど、コンピュータが読み取り可能な種々の媒体を利用することができる。
【発明を実施するための最良の形態】
【0023】
本発明に係る実施形態の漏洩監視システムについて図面を参照して説明する。
【0024】
図1は、本実施形態にある漏洩監視システム1の構成を示す図である。図1に示すように、漏洩監視システム1は、監視装置2と、データベースシステムSA〜SCとを備えており、監視装置2は、インターネットおよび電話網からなるネットワークにアクセスすることができるようになっている。
【0025】
データベースシステムSAは、多数の個人情報(事実情報)を記憶する個人情報データベースDBAを有している。同様に、データベースシステムSBは個人情報データベースDBBを、データベースシステムSCは個人情報データベースDBCを有している。図1に示すように、監視装置2は、データベースシステムSA〜SCにLAN(Local Area Network)などのネットワークを介して相互接続されている。このようにして、監視装置2は、データベースシステムSA〜SCの個人情報データベースDBA〜DBCにアクセスできるようになっている。
図2は、個人情報データベースDBAに記憶された個人情報を示している。図2に示すように、個人情報データベースDBAは、個人情報として、「ユーザー名」、「メールアドレス」、「電話番号」、「住所」についての情報(以下、「属性情報」という。)を記憶しており、各個人情報に対して管理ナンバーが付与されている。例えば、図2に示した個人情報データベースDBAでは、ユーザー名「ユーザーA〜ユーザーG」に対応して、メールアドレス「メールアドレスA〜メールアドレスG」、電話番号「電話番号A〜電話番号G」、住所「住所A〜住所G」が記憶されている。また、各個人情報に対して、管理ナンバー「1〜7」が付与されている。また、個人データベースDBAと同様に、個人データベースDBBおよびDBCについても、属性情報として「ユーザー名」、「メールアドレス」、「電話番号」および「住所」をもつ個人情報を多数記憶しており、管理ナンバーを付与して管理されている(図示なし)。個人情報データベースDBA〜DBCは、データベースシステムSA〜SCからの命令にしたがって、個人情報の追加・更新などの書き込み、検索、読み出しなどの処理を行うことによって、データベースとしての機能を果たす。
【0026】
また、図1に示すように、監視装置2は、ホストコンピュータ10と、ダミー情報データベースDDBと、CTI(Computer Telephony Integration)11と、メールサーバ12と、検索エンジン13とを備えている。ホストコンピュータ10は、LANなどのネットワークを介して各構成に相互接続されている。ホストコンピュータ10は、これらの各構成にアクセスして、処理を行うことによって監視装置2としての機能を果たす。
【0027】
ダミー情報データベースDDBは、実在しない架空の人物の個人情報(以下、「ダミー情報(擬似情報)」という。)を記憶する。
図3は、ダミー情報データベースDDBに記憶されたダミー情報を示した図である。図3に示したように、ダミー情報データベースDDBが記憶するダミー情報は、その属性情報として、「ユーザー名」、「メールアドレス」、「電話番号」および「住所」からなる属性情報に加えて、ダミー情報の書き込み先のデータベースを示す「書き込み先データベース」およびダミー情報の「作成日時」などの属性情報を有している。例えば、図3に示したダミー情報データベースDDBでは、実在しない架空のユーザー名「ユーザーa〜ユーザーg」に対応して、メールアドレス「メールアドレスa〜メールアドレスg」、電話番号「電話番号a〜電話番号g」、住所「住所a〜住所g」が記録されている。
【0028】
また、詳細は後述するが、ダミー情報を生成して個人情報データベースDBに記録したとき、記録した個人情報データベースDBが「書き込み先データベース」に記録され、ダミー情報が作成された日時が「作成日時」に記録される(図3参照)。
【0029】
ここで、個人情報に加えてダミー情報が記憶された個人情報データベースDBを、通常のデータベースとしてダミー情報を無視して処理を行うため、ダミー情報データベースDDBはダミー情報参照テーブルDTを記憶している。
図4に個人情報データベースDBAについてのダミー情報参照テーブルDTを示す。図4に示すように、ダミー情報参照テーブルDTには、個人情報データベースDBAの管理ナンバーに対応した情報がダミー情報であるか否かを識別するためのダミー情報識別子が記憶されている。ここでは、ダミー情報識別子が“1”であったときに、個人情報データベースDBAの対応する管理ナンバーの個人情報がダミー情報であり、ダミー情報識別子が“0”であったときに、個人情報データベースDBAの対応するナンバーの個人情報が実在する個人情報であるとしている。したがって、個人情報データベースDBAを用いて個人情報の検索などの処理を行う際には、データベースシステムSAは、監視装置2にアクセスする。監視装置2のホストコンピュータ10は、ダミー情報データベースDDBのダミー情報参照テーブルDTを読み出して、データベースシステムSAに送信する。データベースシステムSAは、送信されたダミー情報参照テーブルDTを参照しながら、ダミー情報を除いた個人情報について検索などの処理を行うことになる。また、個人情報データベースDBB,DBCについても、同様のダミー情報参照テーブルDTがダミー情報データベースDDBに記憶されている。こうすることによって、個人情報に加えてダミー情報を記憶している個人情報データベースDBであっても、ダミー情報に影響されることなくデータベースとしての各種処理を行うことができる。
【0030】
メールサーバ12は、図1に示すようにインターネットに相互接続されており、電子メールの送受信を行う。そして、メールサーバ12が受信した電子メールについて、図5(a)に示すように、「受信したメールアドレス」、「送信元のメールアドレス」、電子メールを受信した日時である「検知日時」についての属性情報を取得して、漏洩情報として記憶する。
【0031】
検索エンジン13は、インターネット上に存在する全てのホームページ、掲示板などのサイトについて、特定の文字列をキーワードにして、キーワードに一致する情報の検索を行う。検索エンジン13は、ダミー情報データベースDDBよりダミー情報を取得し、特定の文字列として、ダミー情報の属性情報である「ユーザー名」、「メールアドレス」、「電話番号」、「住所」をキーワードに用いて探索を行う。特定の文字列が探索された場合、その文字列が含まれているウェブページのアドレスを取得する。図5(b)に示すように、探索のキーワードとした、「ユーザー名」、「メールアドレス」、「電話番号」および「住所」のうち特定の文字列として検索に用いたもの、並びに、「発見したページのアドレス」および発見した日時である「検知日時」などの属性情報を取得する。
【0032】
CTI11は、図1に示すように、電話網と接続されている。また、CTI11は、自身を通信先とする複数の電話番号を有している。CTI11の電話番号に通話があった場合、CTI11はこの通話の記録を行う。そして、CTI11は、図5(c)に示すように、電話が掛かってきた「通話を受けた電話番号」、電話を掛けてきた「通話先の電話番号」、およびその通話のあった日時である「検知日時」についての属性情報を取得して、漏洩情報として記憶する。
【0033】
次に、漏洩監視システム1の機能的構成について説明する。
図6は、漏洩監視システム1の構成を示した図である。図6に示すように、漏洩監視システム1は、ダミー情報生成手段20と、ダミー情報記憶手段(擬似情報記憶手段)21と、個人情報記憶手段(記憶手段)22と、検知手段23と、解析手段24と、通知手段25とを備えている。
【0034】
ダミー情報生成手段20は、図3に示したダミー情報として、実在しない人物についての「ユーザー名」、「メールアドレス」、「電話番号」、「住所」などの属性情報を生成する。実際には、「ユーザー名」および「住所」については、ダミー情報生成手段20が、サンプルを多数記憶している(図示なし)。そして、この中から、ダミー情報生成手段20がランダムに選択するようにして、「ユーザー名」および「住所」の生成が行われる。
「メールアドレス」については、ダミー情報生成手段20は、上述したメールサーバ12を宛先とする複数のメールアドレスを有しており、この複数のメールアドレスの中から、ランダムに選択するようにして、「メールアドレス」が生成される。
「電話番号」については、CTI11を宛先とする電話番号が複数記憶されており、この中からランダムに選択して「電話番号」が生成される。以上のようにして、実在しない人物の個人情報であるダミー情報が生成される。なお、ダミー情報のサンプルとなる「ユーザー名」、「メールアドレス」、「電話番号」および「住所」の属性情報はホストコンピュータ10内部のハードディスク(図示なし)に記憶されており、ホストコンピュータ10内部のCPU(図示なし)が、ハードディスクにアクセスしてサンプルとなる属性情報を取得することによってダミー情報の生成が行われる。
【0035】
ダミー情報記憶手段21は、ホストコンピュータ10からの命令に従ってダミー情報データベースDDBにダミー情報を記憶する。そして、ホストコンピュータ10からの読み出し・書き込みなどの命令に従って、ダミー情報の読み出し・書き込みなどの処理を行う。
【0036】
個人情報記憶手段22は、ホストコンピュータ10からの命令に従って個人情報データベースDBに個人情報を記憶する。そして、データベースシステムSA〜SCからの読み出し・書き込みなどの命令に従って、個人情報の読み出し・書き込みなどの処理を行う。
【0037】
検知手段23は、個人情報データデースDBの個人情報が漏洩した場合に、情報の漏洩を検知する。具体的には、ホストコンピュータ10が、CTI11およびメールサーバ12にアクセスし、それぞれが記憶している漏洩情報(例えば、図5(a)〜(c)参照)を読み出して、検知手段23は漏洩情報を取得する。また、ホストコンピュータ10が、検索エンジン13にアクセスしてインターネット上の情報からダミー情報に一致する情報を漏洩情報として取得する。検知手段23は、各手段から取得した漏洩情報を1つのファイルにまとめた漏洩情報リストLを作成する。
【0038】
解析手段24は、検知手段23が作成した漏洩情報リストLを取得してから、ホストコンピュータ10がダミー情報データベースDDBにアクセスして、ダミー情報を取得する。そして、解析手段24は、漏洩情報リストLおよびダミー情報を用いて解析を行い、漏洩した範囲、漏洩した個人情報の件数、漏洩した時期などの漏洩状況について解析した解析情報を取得する。解析の詳細な内容については後述する。
【0039】
通知手段25は、漏洩したダミー情報および解析情報を、通知情報として通知する。本実施形態では、ホストコンピュータ10の命令に従って、メールサーバ12がシステム管理者に電子メールを送信することによって、通知情報の通知を行っている。
【0040】
次に、監視装置2が行う動作について説明する。
図7および図10は、監視装置2が行う処理の流れを示したフローチャートである。図7は、情報の漏洩を監視する前段階として、主に、ダミー情報データベースDDBと個人情報データベースDBとの間で行われる処理(以下、「前処理」という。)の流れを示している。図10は、情報の漏洩を監視する処理(以下、「監視処理」という。)の流れを示している。以下、始めに図7のフローチャートに従って、前処理の流れについて説明する。なお、ステップS100〜ステップS120の処理は、ホストコンピュータ10がダミー情報生成手段20として行う処理であり、ステップS130〜ステップS150の処理は、ホストコンピュータ10、個人情報データベースDBおよびダミー情報データベースDDBが記憶手段21として行う処理である。
【0041】
前処理を開始すると、始めに、ステップS100において、ホストコンピュータ10は、ダミー情報を生成する時刻になったか否かを判断する。本実施形態では、1月につき1回、ダミー情報を生成することとした。ダミー情報を生成する時刻を過ぎていた場合(Yes)、ステップS120へ進む。ダミー情報を生成する時刻より前であった場合(No)、ステップS110へ進む。
【0042】
ステップS110では、所定の時間だけ処理待ちを行い、所定の時間が過ぎると、ステップS100へ進む。こうして、ダミー情報を生成する時刻になるまで、ステップS100およびステップS110を繰り返し行い、所定の時刻にステップS120以降の処理が行われる。
【0043】
ステップS120では、ホストコンピュータ10はダミー情報の生成を行う。記憶したダミー情報は、記憶手段21のダミー情報データベースDDBに記憶される。
【0044】
図8は、ステップS120〜ステップS140に示した処理を説明するための処理例である。図8上段に示したように、ステップS120では、ダミー情報として、「ユーザー名」、「メールアドレス」、「電話番号」および「住所」が生成される。また、ダミー情報を生成した時刻がダミー情報の「作成日時」に記録される。
【0045】
ステップS130では、ホストコンピュータ10は、ダミー情報データベースDDBからダミー情報を読み出し、個人情報データベースDBに記憶する。図8の例では、図の中段に示した「1〜2」の管理ナンバーの個人情報をもつ個人情報データベースDBAに対して、「3」の管理ナンバーの個人情報として新たに追加する。この結果、個人情報データベースDBに記憶されている個人情報は、図8下段に示した状態になる。なお、このとき、ダミー情報データベースDDBに記憶されたダミー情報の「書き込み先データベース」に、ダミー情報を個人情報として記憶した個人情報データベースDBを示す情報が記録される(図8上段参照)。
【0046】
ステップS140では、ホストコンピュータ10は、ダミー情報参照テーブルDTを生成する。図8の例では、ダミー情報は個人情報データベースDBの「3」の管理ナンバーの個人データとして記憶されたので、ダミー情報参照テーブルDTには、個人情報データベースDBAの「3」の管理ナンバーに対応する領域に“1”が記憶される(図4参照)。
【0047】
ステップS150では、全ての個人情報データベースDBA〜DBCに対して処理を行ったか否かを判断する。全ての個人情報データベースDBA〜DBCについて処理を行っていない場合は、ステップS120へ戻り、処理を行っていない個人情報データベースDBについて処理を行う。全ての個人情報データベースDBA〜DBCについて処理を行っていた場合は、前処理を終了する。
【0048】
以上に述べた前処理を行うことによって、個人情報データベースDBA〜DBCに記憶されている個人情報は、実在するユーザーについての本来の個人情報に加えて、実在しないユーザーの個人情報であるダミー情報を有した状態になっている。ここで、この個人情報データベースDBA〜DBCから、なんらかの方法により個人情報が漏洩したとする。こうした場合、漏洩した個人情報は、そのメールアドレス宛てに電子メールが送信されたり、その電話番号あてに電話が掛かってきたり、ネットワーク上の掲示板などに掲載されたりといった個人情報の不正利用が行われることがある。漏洩監視システム1では、このように、漏洩した個人情報あてに届いた漏洩先のデータを取得すること、およびネットワーク上の漏洩した個人情報を探索することにより、個人情報の漏洩を監視する。
【0049】
次に、前処理が行われた後の動作について説明する。
図9は、漏洩監視システム1が行う処理について示した図である。始めに、個人情報データベースDBに記憶されている個人情報に上述したように前処理を行うことによって(図9の(1))、個人情報データベースDBには個人情報およびダミー情報が記憶されている。このとき、図9に示すように管理ナンバー「3,6,9」の個人情報として、ダミー情報が記憶されているとする。
【0050】
次に、この個人情報データベースから管理ナンバー「4〜7」の個人情報が漏洩し(図9の(2))、第3者がなんらかの方法により個人情報を取得したとする(図9の(3))。このとき、第3者は漏洩した個人情報(管理ナンバー「4,5,7」の個人情報)と共に管理ナンバー「6」の個人情報としてのダミー情報を有している(図9参照)。なお、この個人情報の漏洩経路は、個人情報データベースDBからインターネット経由で漏洩したとしてもよいし、個人情報データベースDBの個人情報を記録媒体に記憶して持ち出すことによって漏洩したものとしてもよい。いずれの漏洩経路にしても、第3者が漏洩した個人情報を取得する。
【0051】
次に、第3者は、漏洩した個人情報に含まれるメールアドレス宛てに電子メールを送信したり、電話番号宛てに電話を掛けるようにして漏洩した個人情報を使用したとする。このとき、漏洩した個人情報の一部はダミー情報であるため、管理ナンバー「6」の個人情報がもつメールアドレス宛てに発信した電子メールは漏洩監視システム1のメールサーバ12に届くことになり(図9の(4))、メールサーバ12は、届いた電子メールの受信記録をとる(図9の(5))。同様に、第3者が、管理ナンバー「6」の個人情報の電話番号宛てに発信した電話は漏洩監視装置2のCTI11に届くことになり(図9の(6))、CTI11は掛けられた電話の通話記録をとる(図9の(7))。
【0052】
また、第3者は、インターネットのホームページに掲載、または掲示板などのサイトに投稿することによって、取得した個人情報が公開されたとする(図9の(8))。
【0053】
以上に述べたようにして、個人情報データベースDBから漏洩した個人情報が不正に使用される。こうした状況において、漏洩監視システム1は個人情報の漏洩を監視する監視処理を行う。
図10は、監視処理の処理の流れを示したフローチャートである。以下、図10のフローチャートにしたがって監視処理が行う動作について説明する。なお、ステップS200〜ステップS230の処理は、ホストコンピュータ10が、メールサーバ、CTI11および検索エンジンを用いて、検知手段23として行う処理である。ステップS240〜ステップS250の処理は、ホストコンピュータ10が中心となって、解析手段24として行う処理である。ステップS260の処理は、ホストコンピュータ10が、メールサーバ12を用いて通知手段25として行う処理である。
【0054】
監視処理を開始すると、始めに、ステップS200において、ホストコンピュータ10は、個人情報の漏洩を監視する時刻になったか否かを判断する。本実施形態の漏洩監視システム1では、1日につき2回(午前と午後)の監視処理を行うこととした。なお、システム管理者などのユーザーがホストコンピュータ10を直接操作して、任意な時に処理を行うとすることもできる。判断した結果、監視する時刻を過ぎていた場合は、ステップS220へ進む。ダミー情報を生成する時間より前であった場合、ステップS210へ進む。
【0055】
ステップS210では、所定の時間だけ処理待ちを行い、所定の時間が過ぎると、ステップS200へ進む。こうして、監視を行う時刻になるまで、ステップS200およびステップS210を繰り返し行い、所定の時刻にステップS220以降の処理が行われる。
【0056】
ステップS220では、ホストコンピュータ10は漏洩情報を取得する。実際には、検知手段23の検索エンジン13が、ダミー情報の属性情報である「ユーザー名」、「メールアドレス」、「電話番号」、「住所」について、それぞれの文字列をキーワードにしてネットワーク上のホームページおよびデータベースなど様々なサイトを検索する。該当する文字列が検索された場合には、検索された文字列を含むダミー情報が漏洩したものとみなして漏洩情報として取得する。
【0057】
ここで、検知手段23のメールサーバ12には、上述したように送信された電子メールの送信元のメールアドレス、送信先のメールアドレスおよび受信した時間が漏洩情報として記録されている(図9の(5)参照)。
【0058】
また、検知手段23のCTI11には、上述したように掛けられた電話番号、電話の通話先の電話番号および通話が行われた時間が漏洩情報として記録されている(図9の(7))。
【0059】
ホストコンピュータ10は、検知手段23の、検索エンジン13が検出した漏洩情報、メールサーバ12が検出した漏洩情報およびCTI11が検出した漏洩情報を取得する。そしてこれらの漏洩情報をまとめて、1つの漏洩情報リストLを生成する。
【0060】
図11は、取得した漏洩情報からこれらの情報を統合して生成する漏洩情報リストLを示した図である。図11にある漏洩情報リストLは、図5に示したメールサーバ12、検索エンジン13、CTI11によって取得された漏洩情報を1つのリストにまとめて生成されたものである。このように、3つの漏洩情報がもつ各属性情報を1つのリストにまとめることによって、各手段による漏洩情報の一元化が行われる。
【0061】
次に、ステップS230では、ホストコンピュータ10は、ステップS220で取得した漏洩情報リストLを用いて個人情報の漏洩があったか否かを判断する。
ここで、ダミー情報は、実在しない人物の個人情報であり、CTI11またはメールサーバ12を通信先とする情報はダミー情報のみに含まれる情報であるので、CTI11またはメールサーバ12宛てに通信があったときは、個人情報データベースDBからダミー情報が漏洩したとみなすことができる。
同様に、検索エンジン13がインターネット上を検索して、ダミー情報のみがもつ属性情報と一致する情報を発見したときも、個人情報データベースDBからダミー情報が漏洩したとみなすことができる。
したがって、漏洩情報リストLに1件でも、漏洩情報が含まれていた場合は、個人情報データベースDBからダミー情報と共に、個人情報が漏洩したものとみなすことができる。1件でも漏洩情報がある場合(Yes)、個人情報の漏洩があったのでステップS240へ進む。漏洩情報がない場合(No)、個人情報の漏洩がなかったので、ステップS200へ戻り、次に漏洩情報を監視する時刻になるまで処理待ちを行う。
【0062】
次に、ステップS240では、ホストコンピュータ10は、漏洩情報リストLから所定のフォーマットに従った通知情報を作成する。
【0063】
図12は、通知情報を示した図である。この通知リストは、図11に示した漏洩情報リストLおよび図3に示したダミー情報データベースDDBとを用いて作成されている。通知情報には、「検出手段」、「情報漏洩したデータベース」、「漏洩した情報の管理ナンバー」、「漏洩先のメールアドレス」、「漏洩先のアドレス」、「漏洩先の電話番号」、「検知日時」および「(ダミー情報の)作成日時」が記録されている。これらの情報は、図11に示した漏洩情報リストLと図4に示したダミー情報参照テーブルDTを用いて、作成される。
【0064】
次に、ステップS250では、ステップS240で作成した通知情報および個人情報データベースDBAに記憶された個人情報を用いて解析情報の作成を行う。ここでは、通知情報の複数の漏洩情報から、「情報漏洩したデータベース」、「漏洩した個人情報の範囲」、「漏洩した個人情報の件数」および「漏洩した時期」を推定し、解析情報として取得する。
【0065】
図13は、解析情報の作成を行う処理を説明する図である。図13上段には個人情報データベースDBAに記憶された個人情報が、図13下段には作成した解析情報が示されている。ここでは、図12に示した通知情報および図13上段に示した個人情報を用いて解析を行うものとして説明する。解析情報は、「情報漏洩したデータベース」、「漏洩した範囲」、「漏洩した件数」および「漏洩した時期」を示す情報を有している。まず、「情報漏洩したデータベース」には、通知情報を参照して、漏洩した個人情報データベースDBを選択してデータが書き込まれる。
【0066】
次に、「漏洩した範囲の管理ナンバー」について解析を行う。ここでは、漏洩したダミー情報と漏洩していない漏洩情報を用いて、個人情報データベースDBの個人情報のうち漏洩した可能性のある個人情報の管理ナンバーの範囲を取得する。図13上段には、個人情報データベースDBAの個人情報が示されている。図4のダミー情報テーブルTに示したように管理ナンバー「3,6,9」の個人情報がダミー情報となっている。ここで、図9および12に示したように漏洩した情報の管理ナンバーは「6」であり、管理ナンバー「3」および「9」のダミー情報については漏洩が検出されていない。したがって、この漏洩していないダミー情報の間にある、管理ナンバーが「4〜8」の範囲の個人情報は漏洩した可能性があると推定することができる。このように、漏洩したダミー情報と漏洩していないダミー情報とを用いて、漏洩した可能性のある個人情報を推定することによって解析が行われる。なお、図9で述べたように、実際には、管理ナンバー「4〜7」の個人情報が漏洩したので、管理ナンバー「4〜8」の個人情報が漏洩した可能性があるとする推定結果は、妥当である。
【0067】
次に、「漏洩した件数」について解析を行う。ここでは、推定された「漏洩した範囲の管理ナンバー」に基づいて、個人情報の件数が求められる。図13の例では、管理ナンバーが「4〜8」の範囲の個人情報が漏洩しているので、「漏洩した件数」は「5」となる。
【0068】
次に、「漏洩した時期」について解析を行う。ここでは、通知情報の「作成日時」に基づいて推定が行われる。例えば図13の例では、漏洩した個人情報は、通知情報の「作成日時」に「08.01」とあるように8月1日に作成されている。また、この前後の「07.01」に作成された管理ナンバー「3」の個人情報および「09.01」に作成された個人情報は漏洩していない。したがって、「07.01〜09.01」の間に個人情報が流出したと推定することができる。以上のようにして、通知情報から「情報漏洩したデータベース」、「漏洩した範囲の管理ナンバー」、「漏洩した件数」および「漏洩した時期」が推定され、解析情報が作成される。
【0069】
ステップS250の処理を終えると、次に、ステップS260では、ホストコンピュータ10は、メールサーバ12を介して、ステップS240で作成した通知情報およびステップS250で作成した解析情報をシステム管理者に通知する。すなわち、通知情報及び解析情報を記載した電子メールを、システム管理者宛てのメールアドレスに送信することによって漏洩の通知を行っている。ステップS260を終えると、処理を終了する。
【0070】
以上に説明したように、本実施形態によれば、システム管理者は、個人情報データベースDBから個人情報が漏洩したことを知ることができると共に、図13に示した通知情報および解析情報によって、漏洩した情報に関する種々の情報および漏洩先に関する情報を得ることができる。
【0071】
以上、本実施形態の処理について説明した。以下、本実施形態の効果を記載する。
【0072】
(1)本実施形態では、検索エンジン13、メールサーバ12、CTI11を活用することにより、個人情報データベースDBから個人情報が漏洩したことを、何ら操作を行うことなく迅速に知ることができる。
(2)本実施形態では、個人情報データベースDBから漏洩した個人情報、漏洩先および漏洩範囲を、何ら操作を行うことなく迅速に知ることができる。
(3)架空の人物の個人情報であるダミー情報を用いているので、実在する人物の個人情報を検知して、漏洩したと判断することがない。したがって、本漏洩監視システム1の個人情報データベースDBから個人情報が漏洩したことを的確に判断することができる。
(4)複数の漏洩情報から推定した、「漏洩した範囲の管理ナンバー」、「漏洩した個人情報の件数」および「漏洩した時期」を知ることができる。システム管理者は、これらの情報を活用して、情報漏洩が発生した要因・流出ルートなどを特定する手掛かりを得ることができる。
(5)検知手段23は、決められた時間ごとに漏洩情報の検知を行うようにした。したがって、システム管理者が操作することなく、個人情報の漏洩を定期的に監視することができる。
(6)ダミー情報生成手段は、決められた時間ごとにダミー情報の生成を行うようにした。したがって、一定の時間間隔で作成履歴の残ったダミー情報が生成されるので、個人情報の漏洩があった時期をより正確に推定することができる。
【0073】
以上、本発明の一実施形態を説明したが、本発明はこうした実施の形態に何ら限定されるものではなく、本発明の趣旨を逸脱しない範囲内において様々な形態で実施することもできる。以下、変形例を挙げて説明する。
【0074】
(変形例1)前記実施形態では、通知情報を記載した電子メールをシステム管理者に送信することで、通知を行った。第1の変形例として、通知情報および解析情報を、ホストコンピュータ10に備わるハードディスク(図示なし)に漏洩情報ファイルとして記録してもよい。システム管理者は、ディスプレイなどの表示装置を用いて漏洩情報ファイルの漏洩情報を確認することができる。また、通知の形態としては、例えば、通知情報を郵送する、電報またはFaxを送信する、警報を鳴らすなど、その目的を逸脱しない範囲でさまざまな方法を用いてもよい。
【0075】
(変形例2)前記実施形態では、所定の時間に、ホストコンピュータ10が、メールサーバ12の受信記録および、CTI11の通話記録を参照することによって、漏洩情報を監視する処理を行っていた。第2の実施形態として、メールサーバ12が電子メールを受信すると、速やかに、受信した電子メールの漏洩情報をホストコンピュータ10に通知するとしてもよい。また、CTI11では、電話が掛かってくると、この電話の通話記録を速やかにホストコンピュータ10に通知するとしてもよい。このようにすれば、漏洩した可能性がある電子メールまたは電話を受けるとすぐに監視処理が行われ、システム管理者に通知がされるので、個人情報の漏洩状況をリアルタイムに監視することができる。
【0076】
(変形例3)前記実施形態では、検索エンジン13が検知した「ネットワーク上の情報のアドレス」、「漏洩したユーザー名」、「メールアドレス」、「電話番号」、「住所」を通知情報として、システム管理者に通知した。通知する内容はこれに限られるものではなく、更に多様な情報を通知することもできる。また、ネットワーク上の掲示板において、検索エンジン13が漏洩情報を発見した場合は、そのページのアドレスに加えて、掲示板の情報を投稿した投稿者のメールアドレスおよび掲示板の記載内容をコピーして取得する。そして、掲示板の情報の発信者のメールアドレスを含めて作成した通知情報に加えて、掲示板の記載内容をテキストデータとして添付してシステム管理者に通知するとしてもよい。このようにすれば、掲示板に一度掲載された漏洩情報が、その後削除された場合であっても、漏洩先の情報および漏洩した内容についてさらに詳細な状況を知ることができる。
【0077】
(変形例4)前記実施形態では、個人情報として、「名前」、「メールアドレス」、「電話番号」、「住所」の漏洩を監視する場合について説明したが、個人情報に限られるものではないのは勿論である。例えば、個人の生年月日、職業、年齢、性別、クレジットカードの番号など様々な個人情報であってもよい。また、個人情報でなくとも、例えば、企業の販売情報、製品情報または会議録などの秘匿性を要する様々な情報についても情報の漏洩を監視することができる。
【0078】
(変形例5)本発明は、漏洩監視方法とすることもできる。また、ダミー情報生成手段、記憶手段、検知手段、解析手段および通知手段のうち少なくとも一つの機能を、コンピュータに実行させる漏洩監視プログラムとしてもよい。さらに、この漏洩監視プログラムを記録したコンピュータが読み取り可能な各種記録媒体としてもよい。このようにすれば、記録媒体から漏洩監視プログラムを提供して、汎用のコンピュータを漏洩監視システムとして機能させることができる。
【図面の簡単な説明】
【0079】
【図1】本発明の一実施形態の監視システム全体の構成を示した図。
【図2】個人情報データベースに記憶された個人情報を示した図。
【図3】ダミー情報データベースに記憶されたダミー情報を示した図。
【図4】ダミー情報参照テーブルを示した図。
【図5】漏洩情報を示した図。(a)は、メールサーバが受信した漏洩情報を示した図、(b)は、検索エンジンが発見した漏洩情報を示した図、(c)はCTIの通話記録に残った漏洩情報を示した図である。
【図6】監視システムの機能的構成を示した図。
【図7】個人情報データベースに対して行う処理の流れを示したフローチャート。
【図8】個人情報データベースに対して行う処理の説明図。
【図9】漏洩システムが行う処理の説明図。
【図10】個人情報の漏洩を監視する処理の流れを示したフローチャート。
【図11】漏洩情報リストを示した図。
【図12】通知情報を示した図。
【図13】解析情報の作成を行う処理を説明する図。
【符号の説明】
【0080】
1…漏洩監視システム、2…監視装置、10…ホストコンピュータ、11…CTI、12…メールサーバ、13…検索エンジン、20…ダミー情報生成手段、21…擬似情報記憶手段としてのダミー情報記憶手段、22…記憶手段としての個人情報記憶手段、23…検知手段、24…解析手段、25…通知手段、SA〜SC…データベースシステム、DB(DBA〜DBC)…個人情報データベース、DDB…ダミー情報データベース、DT…ダミー情報参照テーブル、L…漏洩情報リスト。
【技術分野】
【0001】
本発明は、氏名、住所、電話番号のような個人情報の漏洩を監視する個人情報漏洩監視システム、個人情報漏洩監視方法、個人情報漏洩監視プログラムおよびプログラムを記録した記録媒体に関する。
【背景技術】
【0002】
従来、個人情報を管理する管理システムからコピー等により個人情報が流出することによって個人情報の漏洩が発生する問題が生じている。この問題に関連して、個人情報とは異なるものの、特許文献1に記載されたように、ネットワーク上で配信するコンテンツに著作権情報(電子透かし)を付与しておき、ネットワーク上で使用されているコンテンツを収集して、電子透かしを調べることによって、コンテンツの不正使用を監視することが行われている。また、特許文献2に記載されたように、テスト用の個人情報をネットワーク上のメールサーバに送信し、テスト用の個人情報に基づく返信メールを受信することによって、個人情報を不正使用するメールサーバを検知することが行われている。
【0003】
【特許文献1】特開2001−312570号公報
【特許文献2】特開2004−104271号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、上記した従来の個人情報漏洩監視システムでは、個人情報が漏洩していても、漏洩の事実を発見することができないという問題があった。
【課題を解決するための手段】
【0005】
上記課題を解決するために、本発明の漏洩監視システムは、所定の形式で整理され、秘匿性を要する事実情報、および事実情報の形式と同一の形式で整理され、公開されていない通信の宛先を示す宛先情報を有する擬似情報を記憶する記憶手段と、記憶手段から事実情報および擬似情報が漏洩し、擬似情報が有している宛先情報により示される宛先に通信が行われた場合、ネットワークを介して通信を受信することによって、記憶手段から事実情報が漏洩したことを検知する検知手段と、を備えたことを要旨とする。
【0006】
この構成によれば、記憶手段から事実情報および擬似情報が漏洩した場合、漏洩した擬似情報は事実情報と同一の形式であるので、これを取得した者は事実情報であるか擬似情報であるかを判別することなく、事実情報および擬似情報を使用するので、擬似情報が有している宛先情報により示される通信の宛先に通信が行われることがある。擬似情報のもつ宛先情報は公開されていない通信の宛先を示しているので、この通信をネットワークを介して受信した場合、検知手段は、受信を検知することによって、記憶手段に記憶されている擬似情報が漏洩したと判断することができる。ここで、記憶手段には、擬似情報と共に事実情報が記憶されているので、擬似情報と共に事実情報も漏洩したと推定することができる。したがって、記憶手段に記憶されている事実情報が漏洩したことを知ることができる。なお、ネットワークを介して受信する通信としては、インターネットを介して受信する電子メールの他、電話網を介して受信する電話としてもよい。電子メールとした場合の宛先情報は電子メールアドレス、電話とした場合の宛先情報は電話番号となる。
【0007】
ここで、検知手段は、宛先に行われた通信の送信元を特定するための特定情報を取得することが好ましい。
【0008】
このようにすれば、通信の送信元を特定する特定情報を得ることができる。擬似情報が有している宛先情報は、公開されていない擬似情報が有しているはずの情報であるので、送信元を擬似情報の漏洩先とみなすことができる。上述したように、擬似情報と共に、事実情報が漏洩したものと推定できるので、事実情報の漏洩先を特定することができる。
【0009】
また、本発明のもうひとつの漏洩監視システムは、所定の形式で整理され、秘匿性を要する事実情報、および事実情報の形式と同一の形式で整理され、公開されていない擬似情報を記憶する記憶手段と、記憶手段から事実情報および擬似情報が漏洩し、漏洩した擬似情報がネットワーク上に公開された場合、擬似情報についてネットワーク上の情報を検索することによって、記憶手段から事実情報が漏洩したことを検知する検知手段と、を備えたことを要旨とする。
【0010】
この構成によれば、記憶手段から事実情報および擬似情報が漏洩した場合、漏洩した擬似情報は事実情報と同一の形式であるので、これを取得した者は事実情報であるか擬似情報であるかを判別することなく、事実情報および擬似情報を使用するので、擬似情報がネットワーク上に公開されることがある。検知手段は、擬似情報についてネットワーク上の情報から検索することによって、ネットワーク上に公開されている擬似情報を検知する。擬似情報は公開されていない情報であるので、ネットワーク上に公開された擬似情報は記憶手段に記憶されている擬似情報が漏洩したと判断することができる。ここで、記憶手段には、擬似情報と共に事実情報が記憶されているので、擬似情報が漏洩すると共に事実情報が漏洩したと推定できる。したがって、記憶手段に記憶されている事実情報が漏洩したことを知ることができる。
【0011】
ここで、検知手段は、擬似情報についてネットワーク上の情報を検索することによって、擬似情報が発見されたネットワーク上の所在を特定するための特定情報を取得することが好ましい。
【0012】
このようにすれば、漏洩した擬似情報が発見されたネットワーク上の所在を特定する特定情報を得ることができるので、事実情報の漏洩先を特定することができる。
【0013】
ここで、擬似情報を記憶した擬似情報記憶手段と、検知手段が検知した擬似情報、擬似情報記憶手段に記憶されている擬似情報および特定情報とを参照することによって、事実情報の漏洩状況を推定して、解析情報を取得する解析手段とを更に備えることが好ましい。
【0014】
このようにすれば、検知手段が検知した擬似情報、擬似情報記憶手段に記憶されている擬似情報および特定情報とを用いて、事実情報の漏洩状況を推定した解析情報を得ることができる。したがって、事実情報の漏洩状況を知ることができる。
【0015】
ここで、事実情報の漏洩があった旨、漏洩した事実情報または解析情報のうち少なくとも1つを所定の人物に通知する通知手段を、更に備えることが好ましい。
【0016】
このようにすれば、情報の漏洩があったときに、システム管理者などの所定の人物は、漏洩があった通知を受けることができる。したがって、情報が漏洩したことを容易に知ることができる。なお、通知を行う方法としては、電子メール、電話、電報、Faxなどのほか、漏洩監視システムの所定のファイルに記録したり、このシステムに備わる表示装置などに表示させるようにしてもよい。
【0017】
ここで、検知手段は、所定の時間が経過するごとに擬似情報の漏洩を検知することが好ましい。このようにすれば、事実情報を定期的に検知を行うことによって、監視を行うことができる。
【0018】
また、上記目的を達成する本発明の漏洩監視方法は、所定の形式で整理され、秘匿性を要する事実情報、および事実情報の形式と同一の形式で整理され、公開されていない通信の宛先を示す宛先情報を有する擬似情報を記憶する記憶ステップと、記憶手段から事実情報および擬似情報が漏洩し、擬似情報が有している宛先情報により示される通信の宛先に通信が行われた場合、ネットワークを介して通信を受信することによって、記憶手段から事実情報が漏洩したことを検知する検知ステップとを備えたことを特徴とする。
【0019】
さらに、上記目的を達成する本発明の漏洩監視方法は、所定の形式で整理され、秘匿性を要する事実情報、および事実情報の形式と同一の形式で整理され、公開されていない通信の宛先を示す宛先情報を有する擬似情報を記憶する記憶ステップと、記憶手段から事実情報および擬似情報が漏洩し、漏洩した擬似情報がネットワーク上に公開された場合、擬似情報についてネットワーク上の情報を検索することによって、記憶手段から事実情報が漏洩したことを検知する検知ステップとを備えたことを特徴とする。
【0020】
また、本発明はコンピュータプログラムまたはそのプログラムを記録した記録媒体としてもよい。すなわち、コンピュータを、所定の形式で整理され、秘匿性を要する事実情報、および事実情報の形式と同一の形式で整理され、公開されていない通信の宛先を示す宛先情報を有する擬似情報を記憶する記憶手段、記憶手段から事実情報および擬似情報が漏洩し、擬似情報が有している宛先情報により示される通信の宛先に通信が行われた場合、ネットワークを介して通信を受信することによって、記憶手段から事実情報が漏洩したことを検知する検知手段、として機能させることを特徴とする。
【0021】
また、本発明のもうひとつのコンピュータプログラムは、コンピュータを、所定の形式で整理され、秘匿性を要する事実情報、および事実情報の形式と同一の形式で整理され、公開されていない通信の宛先を示す宛先情報を有する擬似情報を記憶する記憶手段、記憶手段から事実情報および擬似情報が漏洩し、漏洩した擬似情報がネットワーク上に公開された場合、擬似情報についてネットワーク上の情報を検索することによって、記憶手段から事実情報が漏洩したことを検知する検知手段、として機能させることを特徴とする。
【0022】
これらのプログラムを記録した記録媒体としては、フレキシブルディスクやCD−ROM、ICカード、パンチカードなど、コンピュータが読み取り可能な種々の媒体を利用することができる。
【発明を実施するための最良の形態】
【0023】
本発明に係る実施形態の漏洩監視システムについて図面を参照して説明する。
【0024】
図1は、本実施形態にある漏洩監視システム1の構成を示す図である。図1に示すように、漏洩監視システム1は、監視装置2と、データベースシステムSA〜SCとを備えており、監視装置2は、インターネットおよび電話網からなるネットワークにアクセスすることができるようになっている。
【0025】
データベースシステムSAは、多数の個人情報(事実情報)を記憶する個人情報データベースDBAを有している。同様に、データベースシステムSBは個人情報データベースDBBを、データベースシステムSCは個人情報データベースDBCを有している。図1に示すように、監視装置2は、データベースシステムSA〜SCにLAN(Local Area Network)などのネットワークを介して相互接続されている。このようにして、監視装置2は、データベースシステムSA〜SCの個人情報データベースDBA〜DBCにアクセスできるようになっている。
図2は、個人情報データベースDBAに記憶された個人情報を示している。図2に示すように、個人情報データベースDBAは、個人情報として、「ユーザー名」、「メールアドレス」、「電話番号」、「住所」についての情報(以下、「属性情報」という。)を記憶しており、各個人情報に対して管理ナンバーが付与されている。例えば、図2に示した個人情報データベースDBAでは、ユーザー名「ユーザーA〜ユーザーG」に対応して、メールアドレス「メールアドレスA〜メールアドレスG」、電話番号「電話番号A〜電話番号G」、住所「住所A〜住所G」が記憶されている。また、各個人情報に対して、管理ナンバー「1〜7」が付与されている。また、個人データベースDBAと同様に、個人データベースDBBおよびDBCについても、属性情報として「ユーザー名」、「メールアドレス」、「電話番号」および「住所」をもつ個人情報を多数記憶しており、管理ナンバーを付与して管理されている(図示なし)。個人情報データベースDBA〜DBCは、データベースシステムSA〜SCからの命令にしたがって、個人情報の追加・更新などの書き込み、検索、読み出しなどの処理を行うことによって、データベースとしての機能を果たす。
【0026】
また、図1に示すように、監視装置2は、ホストコンピュータ10と、ダミー情報データベースDDBと、CTI(Computer Telephony Integration)11と、メールサーバ12と、検索エンジン13とを備えている。ホストコンピュータ10は、LANなどのネットワークを介して各構成に相互接続されている。ホストコンピュータ10は、これらの各構成にアクセスして、処理を行うことによって監視装置2としての機能を果たす。
【0027】
ダミー情報データベースDDBは、実在しない架空の人物の個人情報(以下、「ダミー情報(擬似情報)」という。)を記憶する。
図3は、ダミー情報データベースDDBに記憶されたダミー情報を示した図である。図3に示したように、ダミー情報データベースDDBが記憶するダミー情報は、その属性情報として、「ユーザー名」、「メールアドレス」、「電話番号」および「住所」からなる属性情報に加えて、ダミー情報の書き込み先のデータベースを示す「書き込み先データベース」およびダミー情報の「作成日時」などの属性情報を有している。例えば、図3に示したダミー情報データベースDDBでは、実在しない架空のユーザー名「ユーザーa〜ユーザーg」に対応して、メールアドレス「メールアドレスa〜メールアドレスg」、電話番号「電話番号a〜電話番号g」、住所「住所a〜住所g」が記録されている。
【0028】
また、詳細は後述するが、ダミー情報を生成して個人情報データベースDBに記録したとき、記録した個人情報データベースDBが「書き込み先データベース」に記録され、ダミー情報が作成された日時が「作成日時」に記録される(図3参照)。
【0029】
ここで、個人情報に加えてダミー情報が記憶された個人情報データベースDBを、通常のデータベースとしてダミー情報を無視して処理を行うため、ダミー情報データベースDDBはダミー情報参照テーブルDTを記憶している。
図4に個人情報データベースDBAについてのダミー情報参照テーブルDTを示す。図4に示すように、ダミー情報参照テーブルDTには、個人情報データベースDBAの管理ナンバーに対応した情報がダミー情報であるか否かを識別するためのダミー情報識別子が記憶されている。ここでは、ダミー情報識別子が“1”であったときに、個人情報データベースDBAの対応する管理ナンバーの個人情報がダミー情報であり、ダミー情報識別子が“0”であったときに、個人情報データベースDBAの対応するナンバーの個人情報が実在する個人情報であるとしている。したがって、個人情報データベースDBAを用いて個人情報の検索などの処理を行う際には、データベースシステムSAは、監視装置2にアクセスする。監視装置2のホストコンピュータ10は、ダミー情報データベースDDBのダミー情報参照テーブルDTを読み出して、データベースシステムSAに送信する。データベースシステムSAは、送信されたダミー情報参照テーブルDTを参照しながら、ダミー情報を除いた個人情報について検索などの処理を行うことになる。また、個人情報データベースDBB,DBCについても、同様のダミー情報参照テーブルDTがダミー情報データベースDDBに記憶されている。こうすることによって、個人情報に加えてダミー情報を記憶している個人情報データベースDBであっても、ダミー情報に影響されることなくデータベースとしての各種処理を行うことができる。
【0030】
メールサーバ12は、図1に示すようにインターネットに相互接続されており、電子メールの送受信を行う。そして、メールサーバ12が受信した電子メールについて、図5(a)に示すように、「受信したメールアドレス」、「送信元のメールアドレス」、電子メールを受信した日時である「検知日時」についての属性情報を取得して、漏洩情報として記憶する。
【0031】
検索エンジン13は、インターネット上に存在する全てのホームページ、掲示板などのサイトについて、特定の文字列をキーワードにして、キーワードに一致する情報の検索を行う。検索エンジン13は、ダミー情報データベースDDBよりダミー情報を取得し、特定の文字列として、ダミー情報の属性情報である「ユーザー名」、「メールアドレス」、「電話番号」、「住所」をキーワードに用いて探索を行う。特定の文字列が探索された場合、その文字列が含まれているウェブページのアドレスを取得する。図5(b)に示すように、探索のキーワードとした、「ユーザー名」、「メールアドレス」、「電話番号」および「住所」のうち特定の文字列として検索に用いたもの、並びに、「発見したページのアドレス」および発見した日時である「検知日時」などの属性情報を取得する。
【0032】
CTI11は、図1に示すように、電話網と接続されている。また、CTI11は、自身を通信先とする複数の電話番号を有している。CTI11の電話番号に通話があった場合、CTI11はこの通話の記録を行う。そして、CTI11は、図5(c)に示すように、電話が掛かってきた「通話を受けた電話番号」、電話を掛けてきた「通話先の電話番号」、およびその通話のあった日時である「検知日時」についての属性情報を取得して、漏洩情報として記憶する。
【0033】
次に、漏洩監視システム1の機能的構成について説明する。
図6は、漏洩監視システム1の構成を示した図である。図6に示すように、漏洩監視システム1は、ダミー情報生成手段20と、ダミー情報記憶手段(擬似情報記憶手段)21と、個人情報記憶手段(記憶手段)22と、検知手段23と、解析手段24と、通知手段25とを備えている。
【0034】
ダミー情報生成手段20は、図3に示したダミー情報として、実在しない人物についての「ユーザー名」、「メールアドレス」、「電話番号」、「住所」などの属性情報を生成する。実際には、「ユーザー名」および「住所」については、ダミー情報生成手段20が、サンプルを多数記憶している(図示なし)。そして、この中から、ダミー情報生成手段20がランダムに選択するようにして、「ユーザー名」および「住所」の生成が行われる。
「メールアドレス」については、ダミー情報生成手段20は、上述したメールサーバ12を宛先とする複数のメールアドレスを有しており、この複数のメールアドレスの中から、ランダムに選択するようにして、「メールアドレス」が生成される。
「電話番号」については、CTI11を宛先とする電話番号が複数記憶されており、この中からランダムに選択して「電話番号」が生成される。以上のようにして、実在しない人物の個人情報であるダミー情報が生成される。なお、ダミー情報のサンプルとなる「ユーザー名」、「メールアドレス」、「電話番号」および「住所」の属性情報はホストコンピュータ10内部のハードディスク(図示なし)に記憶されており、ホストコンピュータ10内部のCPU(図示なし)が、ハードディスクにアクセスしてサンプルとなる属性情報を取得することによってダミー情報の生成が行われる。
【0035】
ダミー情報記憶手段21は、ホストコンピュータ10からの命令に従ってダミー情報データベースDDBにダミー情報を記憶する。そして、ホストコンピュータ10からの読み出し・書き込みなどの命令に従って、ダミー情報の読み出し・書き込みなどの処理を行う。
【0036】
個人情報記憶手段22は、ホストコンピュータ10からの命令に従って個人情報データベースDBに個人情報を記憶する。そして、データベースシステムSA〜SCからの読み出し・書き込みなどの命令に従って、個人情報の読み出し・書き込みなどの処理を行う。
【0037】
検知手段23は、個人情報データデースDBの個人情報が漏洩した場合に、情報の漏洩を検知する。具体的には、ホストコンピュータ10が、CTI11およびメールサーバ12にアクセスし、それぞれが記憶している漏洩情報(例えば、図5(a)〜(c)参照)を読み出して、検知手段23は漏洩情報を取得する。また、ホストコンピュータ10が、検索エンジン13にアクセスしてインターネット上の情報からダミー情報に一致する情報を漏洩情報として取得する。検知手段23は、各手段から取得した漏洩情報を1つのファイルにまとめた漏洩情報リストLを作成する。
【0038】
解析手段24は、検知手段23が作成した漏洩情報リストLを取得してから、ホストコンピュータ10がダミー情報データベースDDBにアクセスして、ダミー情報を取得する。そして、解析手段24は、漏洩情報リストLおよびダミー情報を用いて解析を行い、漏洩した範囲、漏洩した個人情報の件数、漏洩した時期などの漏洩状況について解析した解析情報を取得する。解析の詳細な内容については後述する。
【0039】
通知手段25は、漏洩したダミー情報および解析情報を、通知情報として通知する。本実施形態では、ホストコンピュータ10の命令に従って、メールサーバ12がシステム管理者に電子メールを送信することによって、通知情報の通知を行っている。
【0040】
次に、監視装置2が行う動作について説明する。
図7および図10は、監視装置2が行う処理の流れを示したフローチャートである。図7は、情報の漏洩を監視する前段階として、主に、ダミー情報データベースDDBと個人情報データベースDBとの間で行われる処理(以下、「前処理」という。)の流れを示している。図10は、情報の漏洩を監視する処理(以下、「監視処理」という。)の流れを示している。以下、始めに図7のフローチャートに従って、前処理の流れについて説明する。なお、ステップS100〜ステップS120の処理は、ホストコンピュータ10がダミー情報生成手段20として行う処理であり、ステップS130〜ステップS150の処理は、ホストコンピュータ10、個人情報データベースDBおよびダミー情報データベースDDBが記憶手段21として行う処理である。
【0041】
前処理を開始すると、始めに、ステップS100において、ホストコンピュータ10は、ダミー情報を生成する時刻になったか否かを判断する。本実施形態では、1月につき1回、ダミー情報を生成することとした。ダミー情報を生成する時刻を過ぎていた場合(Yes)、ステップS120へ進む。ダミー情報を生成する時刻より前であった場合(No)、ステップS110へ進む。
【0042】
ステップS110では、所定の時間だけ処理待ちを行い、所定の時間が過ぎると、ステップS100へ進む。こうして、ダミー情報を生成する時刻になるまで、ステップS100およびステップS110を繰り返し行い、所定の時刻にステップS120以降の処理が行われる。
【0043】
ステップS120では、ホストコンピュータ10はダミー情報の生成を行う。記憶したダミー情報は、記憶手段21のダミー情報データベースDDBに記憶される。
【0044】
図8は、ステップS120〜ステップS140に示した処理を説明するための処理例である。図8上段に示したように、ステップS120では、ダミー情報として、「ユーザー名」、「メールアドレス」、「電話番号」および「住所」が生成される。また、ダミー情報を生成した時刻がダミー情報の「作成日時」に記録される。
【0045】
ステップS130では、ホストコンピュータ10は、ダミー情報データベースDDBからダミー情報を読み出し、個人情報データベースDBに記憶する。図8の例では、図の中段に示した「1〜2」の管理ナンバーの個人情報をもつ個人情報データベースDBAに対して、「3」の管理ナンバーの個人情報として新たに追加する。この結果、個人情報データベースDBに記憶されている個人情報は、図8下段に示した状態になる。なお、このとき、ダミー情報データベースDDBに記憶されたダミー情報の「書き込み先データベース」に、ダミー情報を個人情報として記憶した個人情報データベースDBを示す情報が記録される(図8上段参照)。
【0046】
ステップS140では、ホストコンピュータ10は、ダミー情報参照テーブルDTを生成する。図8の例では、ダミー情報は個人情報データベースDBの「3」の管理ナンバーの個人データとして記憶されたので、ダミー情報参照テーブルDTには、個人情報データベースDBAの「3」の管理ナンバーに対応する領域に“1”が記憶される(図4参照)。
【0047】
ステップS150では、全ての個人情報データベースDBA〜DBCに対して処理を行ったか否かを判断する。全ての個人情報データベースDBA〜DBCについて処理を行っていない場合は、ステップS120へ戻り、処理を行っていない個人情報データベースDBについて処理を行う。全ての個人情報データベースDBA〜DBCについて処理を行っていた場合は、前処理を終了する。
【0048】
以上に述べた前処理を行うことによって、個人情報データベースDBA〜DBCに記憶されている個人情報は、実在するユーザーについての本来の個人情報に加えて、実在しないユーザーの個人情報であるダミー情報を有した状態になっている。ここで、この個人情報データベースDBA〜DBCから、なんらかの方法により個人情報が漏洩したとする。こうした場合、漏洩した個人情報は、そのメールアドレス宛てに電子メールが送信されたり、その電話番号あてに電話が掛かってきたり、ネットワーク上の掲示板などに掲載されたりといった個人情報の不正利用が行われることがある。漏洩監視システム1では、このように、漏洩した個人情報あてに届いた漏洩先のデータを取得すること、およびネットワーク上の漏洩した個人情報を探索することにより、個人情報の漏洩を監視する。
【0049】
次に、前処理が行われた後の動作について説明する。
図9は、漏洩監視システム1が行う処理について示した図である。始めに、個人情報データベースDBに記憶されている個人情報に上述したように前処理を行うことによって(図9の(1))、個人情報データベースDBには個人情報およびダミー情報が記憶されている。このとき、図9に示すように管理ナンバー「3,6,9」の個人情報として、ダミー情報が記憶されているとする。
【0050】
次に、この個人情報データベースから管理ナンバー「4〜7」の個人情報が漏洩し(図9の(2))、第3者がなんらかの方法により個人情報を取得したとする(図9の(3))。このとき、第3者は漏洩した個人情報(管理ナンバー「4,5,7」の個人情報)と共に管理ナンバー「6」の個人情報としてのダミー情報を有している(図9参照)。なお、この個人情報の漏洩経路は、個人情報データベースDBからインターネット経由で漏洩したとしてもよいし、個人情報データベースDBの個人情報を記録媒体に記憶して持ち出すことによって漏洩したものとしてもよい。いずれの漏洩経路にしても、第3者が漏洩した個人情報を取得する。
【0051】
次に、第3者は、漏洩した個人情報に含まれるメールアドレス宛てに電子メールを送信したり、電話番号宛てに電話を掛けるようにして漏洩した個人情報を使用したとする。このとき、漏洩した個人情報の一部はダミー情報であるため、管理ナンバー「6」の個人情報がもつメールアドレス宛てに発信した電子メールは漏洩監視システム1のメールサーバ12に届くことになり(図9の(4))、メールサーバ12は、届いた電子メールの受信記録をとる(図9の(5))。同様に、第3者が、管理ナンバー「6」の個人情報の電話番号宛てに発信した電話は漏洩監視装置2のCTI11に届くことになり(図9の(6))、CTI11は掛けられた電話の通話記録をとる(図9の(7))。
【0052】
また、第3者は、インターネットのホームページに掲載、または掲示板などのサイトに投稿することによって、取得した個人情報が公開されたとする(図9の(8))。
【0053】
以上に述べたようにして、個人情報データベースDBから漏洩した個人情報が不正に使用される。こうした状況において、漏洩監視システム1は個人情報の漏洩を監視する監視処理を行う。
図10は、監視処理の処理の流れを示したフローチャートである。以下、図10のフローチャートにしたがって監視処理が行う動作について説明する。なお、ステップS200〜ステップS230の処理は、ホストコンピュータ10が、メールサーバ、CTI11および検索エンジンを用いて、検知手段23として行う処理である。ステップS240〜ステップS250の処理は、ホストコンピュータ10が中心となって、解析手段24として行う処理である。ステップS260の処理は、ホストコンピュータ10が、メールサーバ12を用いて通知手段25として行う処理である。
【0054】
監視処理を開始すると、始めに、ステップS200において、ホストコンピュータ10は、個人情報の漏洩を監視する時刻になったか否かを判断する。本実施形態の漏洩監視システム1では、1日につき2回(午前と午後)の監視処理を行うこととした。なお、システム管理者などのユーザーがホストコンピュータ10を直接操作して、任意な時に処理を行うとすることもできる。判断した結果、監視する時刻を過ぎていた場合は、ステップS220へ進む。ダミー情報を生成する時間より前であった場合、ステップS210へ進む。
【0055】
ステップS210では、所定の時間だけ処理待ちを行い、所定の時間が過ぎると、ステップS200へ進む。こうして、監視を行う時刻になるまで、ステップS200およびステップS210を繰り返し行い、所定の時刻にステップS220以降の処理が行われる。
【0056】
ステップS220では、ホストコンピュータ10は漏洩情報を取得する。実際には、検知手段23の検索エンジン13が、ダミー情報の属性情報である「ユーザー名」、「メールアドレス」、「電話番号」、「住所」について、それぞれの文字列をキーワードにしてネットワーク上のホームページおよびデータベースなど様々なサイトを検索する。該当する文字列が検索された場合には、検索された文字列を含むダミー情報が漏洩したものとみなして漏洩情報として取得する。
【0057】
ここで、検知手段23のメールサーバ12には、上述したように送信された電子メールの送信元のメールアドレス、送信先のメールアドレスおよび受信した時間が漏洩情報として記録されている(図9の(5)参照)。
【0058】
また、検知手段23のCTI11には、上述したように掛けられた電話番号、電話の通話先の電話番号および通話が行われた時間が漏洩情報として記録されている(図9の(7))。
【0059】
ホストコンピュータ10は、検知手段23の、検索エンジン13が検出した漏洩情報、メールサーバ12が検出した漏洩情報およびCTI11が検出した漏洩情報を取得する。そしてこれらの漏洩情報をまとめて、1つの漏洩情報リストLを生成する。
【0060】
図11は、取得した漏洩情報からこれらの情報を統合して生成する漏洩情報リストLを示した図である。図11にある漏洩情報リストLは、図5に示したメールサーバ12、検索エンジン13、CTI11によって取得された漏洩情報を1つのリストにまとめて生成されたものである。このように、3つの漏洩情報がもつ各属性情報を1つのリストにまとめることによって、各手段による漏洩情報の一元化が行われる。
【0061】
次に、ステップS230では、ホストコンピュータ10は、ステップS220で取得した漏洩情報リストLを用いて個人情報の漏洩があったか否かを判断する。
ここで、ダミー情報は、実在しない人物の個人情報であり、CTI11またはメールサーバ12を通信先とする情報はダミー情報のみに含まれる情報であるので、CTI11またはメールサーバ12宛てに通信があったときは、個人情報データベースDBからダミー情報が漏洩したとみなすことができる。
同様に、検索エンジン13がインターネット上を検索して、ダミー情報のみがもつ属性情報と一致する情報を発見したときも、個人情報データベースDBからダミー情報が漏洩したとみなすことができる。
したがって、漏洩情報リストLに1件でも、漏洩情報が含まれていた場合は、個人情報データベースDBからダミー情報と共に、個人情報が漏洩したものとみなすことができる。1件でも漏洩情報がある場合(Yes)、個人情報の漏洩があったのでステップS240へ進む。漏洩情報がない場合(No)、個人情報の漏洩がなかったので、ステップS200へ戻り、次に漏洩情報を監視する時刻になるまで処理待ちを行う。
【0062】
次に、ステップS240では、ホストコンピュータ10は、漏洩情報リストLから所定のフォーマットに従った通知情報を作成する。
【0063】
図12は、通知情報を示した図である。この通知リストは、図11に示した漏洩情報リストLおよび図3に示したダミー情報データベースDDBとを用いて作成されている。通知情報には、「検出手段」、「情報漏洩したデータベース」、「漏洩した情報の管理ナンバー」、「漏洩先のメールアドレス」、「漏洩先のアドレス」、「漏洩先の電話番号」、「検知日時」および「(ダミー情報の)作成日時」が記録されている。これらの情報は、図11に示した漏洩情報リストLと図4に示したダミー情報参照テーブルDTを用いて、作成される。
【0064】
次に、ステップS250では、ステップS240で作成した通知情報および個人情報データベースDBAに記憶された個人情報を用いて解析情報の作成を行う。ここでは、通知情報の複数の漏洩情報から、「情報漏洩したデータベース」、「漏洩した個人情報の範囲」、「漏洩した個人情報の件数」および「漏洩した時期」を推定し、解析情報として取得する。
【0065】
図13は、解析情報の作成を行う処理を説明する図である。図13上段には個人情報データベースDBAに記憶された個人情報が、図13下段には作成した解析情報が示されている。ここでは、図12に示した通知情報および図13上段に示した個人情報を用いて解析を行うものとして説明する。解析情報は、「情報漏洩したデータベース」、「漏洩した範囲」、「漏洩した件数」および「漏洩した時期」を示す情報を有している。まず、「情報漏洩したデータベース」には、通知情報を参照して、漏洩した個人情報データベースDBを選択してデータが書き込まれる。
【0066】
次に、「漏洩した範囲の管理ナンバー」について解析を行う。ここでは、漏洩したダミー情報と漏洩していない漏洩情報を用いて、個人情報データベースDBの個人情報のうち漏洩した可能性のある個人情報の管理ナンバーの範囲を取得する。図13上段には、個人情報データベースDBAの個人情報が示されている。図4のダミー情報テーブルTに示したように管理ナンバー「3,6,9」の個人情報がダミー情報となっている。ここで、図9および12に示したように漏洩した情報の管理ナンバーは「6」であり、管理ナンバー「3」および「9」のダミー情報については漏洩が検出されていない。したがって、この漏洩していないダミー情報の間にある、管理ナンバーが「4〜8」の範囲の個人情報は漏洩した可能性があると推定することができる。このように、漏洩したダミー情報と漏洩していないダミー情報とを用いて、漏洩した可能性のある個人情報を推定することによって解析が行われる。なお、図9で述べたように、実際には、管理ナンバー「4〜7」の個人情報が漏洩したので、管理ナンバー「4〜8」の個人情報が漏洩した可能性があるとする推定結果は、妥当である。
【0067】
次に、「漏洩した件数」について解析を行う。ここでは、推定された「漏洩した範囲の管理ナンバー」に基づいて、個人情報の件数が求められる。図13の例では、管理ナンバーが「4〜8」の範囲の個人情報が漏洩しているので、「漏洩した件数」は「5」となる。
【0068】
次に、「漏洩した時期」について解析を行う。ここでは、通知情報の「作成日時」に基づいて推定が行われる。例えば図13の例では、漏洩した個人情報は、通知情報の「作成日時」に「08.01」とあるように8月1日に作成されている。また、この前後の「07.01」に作成された管理ナンバー「3」の個人情報および「09.01」に作成された個人情報は漏洩していない。したがって、「07.01〜09.01」の間に個人情報が流出したと推定することができる。以上のようにして、通知情報から「情報漏洩したデータベース」、「漏洩した範囲の管理ナンバー」、「漏洩した件数」および「漏洩した時期」が推定され、解析情報が作成される。
【0069】
ステップS250の処理を終えると、次に、ステップS260では、ホストコンピュータ10は、メールサーバ12を介して、ステップS240で作成した通知情報およびステップS250で作成した解析情報をシステム管理者に通知する。すなわち、通知情報及び解析情報を記載した電子メールを、システム管理者宛てのメールアドレスに送信することによって漏洩の通知を行っている。ステップS260を終えると、処理を終了する。
【0070】
以上に説明したように、本実施形態によれば、システム管理者は、個人情報データベースDBから個人情報が漏洩したことを知ることができると共に、図13に示した通知情報および解析情報によって、漏洩した情報に関する種々の情報および漏洩先に関する情報を得ることができる。
【0071】
以上、本実施形態の処理について説明した。以下、本実施形態の効果を記載する。
【0072】
(1)本実施形態では、検索エンジン13、メールサーバ12、CTI11を活用することにより、個人情報データベースDBから個人情報が漏洩したことを、何ら操作を行うことなく迅速に知ることができる。
(2)本実施形態では、個人情報データベースDBから漏洩した個人情報、漏洩先および漏洩範囲を、何ら操作を行うことなく迅速に知ることができる。
(3)架空の人物の個人情報であるダミー情報を用いているので、実在する人物の個人情報を検知して、漏洩したと判断することがない。したがって、本漏洩監視システム1の個人情報データベースDBから個人情報が漏洩したことを的確に判断することができる。
(4)複数の漏洩情報から推定した、「漏洩した範囲の管理ナンバー」、「漏洩した個人情報の件数」および「漏洩した時期」を知ることができる。システム管理者は、これらの情報を活用して、情報漏洩が発生した要因・流出ルートなどを特定する手掛かりを得ることができる。
(5)検知手段23は、決められた時間ごとに漏洩情報の検知を行うようにした。したがって、システム管理者が操作することなく、個人情報の漏洩を定期的に監視することができる。
(6)ダミー情報生成手段は、決められた時間ごとにダミー情報の生成を行うようにした。したがって、一定の時間間隔で作成履歴の残ったダミー情報が生成されるので、個人情報の漏洩があった時期をより正確に推定することができる。
【0073】
以上、本発明の一実施形態を説明したが、本発明はこうした実施の形態に何ら限定されるものではなく、本発明の趣旨を逸脱しない範囲内において様々な形態で実施することもできる。以下、変形例を挙げて説明する。
【0074】
(変形例1)前記実施形態では、通知情報を記載した電子メールをシステム管理者に送信することで、通知を行った。第1の変形例として、通知情報および解析情報を、ホストコンピュータ10に備わるハードディスク(図示なし)に漏洩情報ファイルとして記録してもよい。システム管理者は、ディスプレイなどの表示装置を用いて漏洩情報ファイルの漏洩情報を確認することができる。また、通知の形態としては、例えば、通知情報を郵送する、電報またはFaxを送信する、警報を鳴らすなど、その目的を逸脱しない範囲でさまざまな方法を用いてもよい。
【0075】
(変形例2)前記実施形態では、所定の時間に、ホストコンピュータ10が、メールサーバ12の受信記録および、CTI11の通話記録を参照することによって、漏洩情報を監視する処理を行っていた。第2の実施形態として、メールサーバ12が電子メールを受信すると、速やかに、受信した電子メールの漏洩情報をホストコンピュータ10に通知するとしてもよい。また、CTI11では、電話が掛かってくると、この電話の通話記録を速やかにホストコンピュータ10に通知するとしてもよい。このようにすれば、漏洩した可能性がある電子メールまたは電話を受けるとすぐに監視処理が行われ、システム管理者に通知がされるので、個人情報の漏洩状況をリアルタイムに監視することができる。
【0076】
(変形例3)前記実施形態では、検索エンジン13が検知した「ネットワーク上の情報のアドレス」、「漏洩したユーザー名」、「メールアドレス」、「電話番号」、「住所」を通知情報として、システム管理者に通知した。通知する内容はこれに限られるものではなく、更に多様な情報を通知することもできる。また、ネットワーク上の掲示板において、検索エンジン13が漏洩情報を発見した場合は、そのページのアドレスに加えて、掲示板の情報を投稿した投稿者のメールアドレスおよび掲示板の記載内容をコピーして取得する。そして、掲示板の情報の発信者のメールアドレスを含めて作成した通知情報に加えて、掲示板の記載内容をテキストデータとして添付してシステム管理者に通知するとしてもよい。このようにすれば、掲示板に一度掲載された漏洩情報が、その後削除された場合であっても、漏洩先の情報および漏洩した内容についてさらに詳細な状況を知ることができる。
【0077】
(変形例4)前記実施形態では、個人情報として、「名前」、「メールアドレス」、「電話番号」、「住所」の漏洩を監視する場合について説明したが、個人情報に限られるものではないのは勿論である。例えば、個人の生年月日、職業、年齢、性別、クレジットカードの番号など様々な個人情報であってもよい。また、個人情報でなくとも、例えば、企業の販売情報、製品情報または会議録などの秘匿性を要する様々な情報についても情報の漏洩を監視することができる。
【0078】
(変形例5)本発明は、漏洩監視方法とすることもできる。また、ダミー情報生成手段、記憶手段、検知手段、解析手段および通知手段のうち少なくとも一つの機能を、コンピュータに実行させる漏洩監視プログラムとしてもよい。さらに、この漏洩監視プログラムを記録したコンピュータが読み取り可能な各種記録媒体としてもよい。このようにすれば、記録媒体から漏洩監視プログラムを提供して、汎用のコンピュータを漏洩監視システムとして機能させることができる。
【図面の簡単な説明】
【0079】
【図1】本発明の一実施形態の監視システム全体の構成を示した図。
【図2】個人情報データベースに記憶された個人情報を示した図。
【図3】ダミー情報データベースに記憶されたダミー情報を示した図。
【図4】ダミー情報参照テーブルを示した図。
【図5】漏洩情報を示した図。(a)は、メールサーバが受信した漏洩情報を示した図、(b)は、検索エンジンが発見した漏洩情報を示した図、(c)はCTIの通話記録に残った漏洩情報を示した図である。
【図6】監視システムの機能的構成を示した図。
【図7】個人情報データベースに対して行う処理の流れを示したフローチャート。
【図8】個人情報データベースに対して行う処理の説明図。
【図9】漏洩システムが行う処理の説明図。
【図10】個人情報の漏洩を監視する処理の流れを示したフローチャート。
【図11】漏洩情報リストを示した図。
【図12】通知情報を示した図。
【図13】解析情報の作成を行う処理を説明する図。
【符号の説明】
【0080】
1…漏洩監視システム、2…監視装置、10…ホストコンピュータ、11…CTI、12…メールサーバ、13…検索エンジン、20…ダミー情報生成手段、21…擬似情報記憶手段としてのダミー情報記憶手段、22…記憶手段としての個人情報記憶手段、23…検知手段、24…解析手段、25…通知手段、SA〜SC…データベースシステム、DB(DBA〜DBC)…個人情報データベース、DDB…ダミー情報データベース、DT…ダミー情報参照テーブル、L…漏洩情報リスト。
【特許請求の範囲】
【請求項1】
所定の形式で整理され、秘匿性を要する事実情報、および前記事実情報の形式と同一の形式で整理され、公開されていない通信の宛先を示す宛先情報を有する擬似情報を記憶する記憶手段と、
前記記憶手段から前記事実情報および前記擬似情報が漏洩し、前記擬似情報が有している前記宛先情報により示される宛先に通信が行われた場合、ネットワークを介して前記通信を受信することによって、前記記憶手段から事実情報が漏洩したことを検知する検知手段と、を備えたことを特徴とする漏洩監視システム。
【請求項2】
請求項1に記載の漏洩監視システムにおいて、
前記検知手段は、前記宛先に行われた前記通信の送信元を特定するための特定情報を取得することを特徴とする漏洩監視システム。
【請求項3】
所定の形式で整理され、秘匿性を要する事実情報、および前記事実情報の形式と同一の形式で整理され、公開されていない擬似情報を記憶する記憶手段と、
前記記憶手段から前記事実情報および前記擬似情報が漏洩し、漏洩した前記擬似情報がネットワーク上に公開された場合、前記擬似情報について前記ネットワーク上の情報を検索することによって、前記記憶手段から事実情報が漏洩したことを検知する検知手段と、を備えたことを特徴とする漏洩監視システム。
【請求項4】
請求項3に記載の漏洩監視システムにおいて、
前記検知手段は、前記擬似情報について前記ネットワーク上の情報を検索することによって、前記擬似情報が発見されたネットワーク上の所在を特定するための特定情報を取得することを特徴とする漏洩監視システム。
【請求項5】
請求項1ないし4のいずれかの一項に記載の漏洩監視システムにおいて、
前記擬似情報を記憶した擬似情報記憶手段と、
前記検知手段が検知した前記擬似情報、前記擬似情報記憶手段に記憶されている前記擬似情報および前記特定情報とを参照することによって、前記事実情報の漏洩状況を推定して、解析情報を取得する解析手段とを更に備えたことを特徴とする漏洩監視システム。
【請求項6】
請求項1ないし5のいずれか一項に記載の漏洩監視システムにおいて、
前記事実情報の漏洩があった旨、漏洩した前記事実情報または前記解析情報のうち少なくとも1つを所定の人物に通知する通知手段を、更に備えたことを特徴とする漏洩監視システム。
【請求項7】
請求項1ないし6のいずれか一項に記載の漏洩監視システムにおいて、
前記検知手段は、所定の時間が経過するごとに前記擬似情報の漏洩を検知することを特徴とする漏洩監視システム。
【請求項8】
所定の形式で整理され、秘匿性を要する事実情報、および前記事実情報の形式と同一の形式で整理され、公開されていない通信の宛先を示す宛先情報を有する擬似情報を記憶する記憶ステップと、
前記記憶手段から前記事実情報および前記擬似情報が漏洩し、前記擬似情報が有している前記宛先情報により示される前記通信の宛先に通信が行われた場合、ネットワークを介して前記通信を受信することによって、前記記憶手段から事実情報が漏洩したことを検知する検知ステップとを備えたことを特徴とする漏洩監視方法。
【請求項9】
所定の形式で整理され、秘匿性を要する事実情報、および前記事実情報の形式と同一の形式で整理され、公開されていない通信の宛先を示す宛先情報を有する擬似情報を記憶する記憶ステップと、
前記記憶手段から前記事実情報および前記擬似情報が漏洩し、漏洩した前記擬似情報がネットワーク上に公開された場合、前記擬似情報について前記ネットワーク上の情報を検索することによって、前記記憶手段から事実情報が漏洩したことを検知する検知ステップとを備えたことを特徴とする漏洩監視方法。
【請求項10】
コンピュータを、
所定の形式で整理され、秘匿性を要する事実情報、および前記事実情報の形式と同一の形式で整理され、公開されていない通信の宛先を示す宛先情報を有する擬似情報を記憶する記憶手段、
前記記憶手段から前記事実情報および前記擬似情報が漏洩し、前記擬似情報が有している前記宛先情報により示される前記通信の宛先に通信が行われた場合、ネットワークを介して前記通信を受信することによって、前記記憶手段から事実情報が漏洩したことを検知する検知手段、として機能させることを特徴とする漏洩監視プログラム。
【請求項11】
コンピュータを、
所定の形式で整理され、秘匿性を要する事実情報、および前記事実情報の形式と同一の形式で整理され、公開されていない通信の宛先を示す宛先情報を有する擬似情報を記憶する記憶手段、
前記記憶手段から前記事実情報および前記擬似情報が漏洩し、漏洩した前記擬似情報がネットワーク上に公開された場合、前記擬似情報について前記ネットワーク上の情報を検索することによって、前記記憶手段から事実情報が漏洩したことを検知する検知手段、として機能させることを特徴とする漏洩監視プログラム。
【請求項12】
請求項10または11のいずれか一項に記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。
【請求項1】
所定の形式で整理され、秘匿性を要する事実情報、および前記事実情報の形式と同一の形式で整理され、公開されていない通信の宛先を示す宛先情報を有する擬似情報を記憶する記憶手段と、
前記記憶手段から前記事実情報および前記擬似情報が漏洩し、前記擬似情報が有している前記宛先情報により示される宛先に通信が行われた場合、ネットワークを介して前記通信を受信することによって、前記記憶手段から事実情報が漏洩したことを検知する検知手段と、を備えたことを特徴とする漏洩監視システム。
【請求項2】
請求項1に記載の漏洩監視システムにおいて、
前記検知手段は、前記宛先に行われた前記通信の送信元を特定するための特定情報を取得することを特徴とする漏洩監視システム。
【請求項3】
所定の形式で整理され、秘匿性を要する事実情報、および前記事実情報の形式と同一の形式で整理され、公開されていない擬似情報を記憶する記憶手段と、
前記記憶手段から前記事実情報および前記擬似情報が漏洩し、漏洩した前記擬似情報がネットワーク上に公開された場合、前記擬似情報について前記ネットワーク上の情報を検索することによって、前記記憶手段から事実情報が漏洩したことを検知する検知手段と、を備えたことを特徴とする漏洩監視システム。
【請求項4】
請求項3に記載の漏洩監視システムにおいて、
前記検知手段は、前記擬似情報について前記ネットワーク上の情報を検索することによって、前記擬似情報が発見されたネットワーク上の所在を特定するための特定情報を取得することを特徴とする漏洩監視システム。
【請求項5】
請求項1ないし4のいずれかの一項に記載の漏洩監視システムにおいて、
前記擬似情報を記憶した擬似情報記憶手段と、
前記検知手段が検知した前記擬似情報、前記擬似情報記憶手段に記憶されている前記擬似情報および前記特定情報とを参照することによって、前記事実情報の漏洩状況を推定して、解析情報を取得する解析手段とを更に備えたことを特徴とする漏洩監視システム。
【請求項6】
請求項1ないし5のいずれか一項に記載の漏洩監視システムにおいて、
前記事実情報の漏洩があった旨、漏洩した前記事実情報または前記解析情報のうち少なくとも1つを所定の人物に通知する通知手段を、更に備えたことを特徴とする漏洩監視システム。
【請求項7】
請求項1ないし6のいずれか一項に記載の漏洩監視システムにおいて、
前記検知手段は、所定の時間が経過するごとに前記擬似情報の漏洩を検知することを特徴とする漏洩監視システム。
【請求項8】
所定の形式で整理され、秘匿性を要する事実情報、および前記事実情報の形式と同一の形式で整理され、公開されていない通信の宛先を示す宛先情報を有する擬似情報を記憶する記憶ステップと、
前記記憶手段から前記事実情報および前記擬似情報が漏洩し、前記擬似情報が有している前記宛先情報により示される前記通信の宛先に通信が行われた場合、ネットワークを介して前記通信を受信することによって、前記記憶手段から事実情報が漏洩したことを検知する検知ステップとを備えたことを特徴とする漏洩監視方法。
【請求項9】
所定の形式で整理され、秘匿性を要する事実情報、および前記事実情報の形式と同一の形式で整理され、公開されていない通信の宛先を示す宛先情報を有する擬似情報を記憶する記憶ステップと、
前記記憶手段から前記事実情報および前記擬似情報が漏洩し、漏洩した前記擬似情報がネットワーク上に公開された場合、前記擬似情報について前記ネットワーク上の情報を検索することによって、前記記憶手段から事実情報が漏洩したことを検知する検知ステップとを備えたことを特徴とする漏洩監視方法。
【請求項10】
コンピュータを、
所定の形式で整理され、秘匿性を要する事実情報、および前記事実情報の形式と同一の形式で整理され、公開されていない通信の宛先を示す宛先情報を有する擬似情報を記憶する記憶手段、
前記記憶手段から前記事実情報および前記擬似情報が漏洩し、前記擬似情報が有している前記宛先情報により示される前記通信の宛先に通信が行われた場合、ネットワークを介して前記通信を受信することによって、前記記憶手段から事実情報が漏洩したことを検知する検知手段、として機能させることを特徴とする漏洩監視プログラム。
【請求項11】
コンピュータを、
所定の形式で整理され、秘匿性を要する事実情報、および前記事実情報の形式と同一の形式で整理され、公開されていない通信の宛先を示す宛先情報を有する擬似情報を記憶する記憶手段、
前記記憶手段から前記事実情報および前記擬似情報が漏洩し、漏洩した前記擬似情報がネットワーク上に公開された場合、前記擬似情報について前記ネットワーク上の情報を検索することによって、前記記憶手段から事実情報が漏洩したことを検知する検知手段、として機能させることを特徴とする漏洩監視プログラム。
【請求項12】
請求項10または11のいずれか一項に記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2006−79233(P2006−79233A)
【公開日】平成18年3月23日(2006.3.23)
【国際特許分類】
【出願番号】特願2004−260557(P2004−260557)
【出願日】平成16年9月8日(2004.9.8)
【出願人】(000002369)セイコーエプソン株式会社 (51,324)
【Fターム(参考)】
【公開日】平成18年3月23日(2006.3.23)
【国際特許分類】
【出願日】平成16年9月8日(2004.9.8)
【出願人】(000002369)セイコーエプソン株式会社 (51,324)
【Fターム(参考)】
[ Back to top ]