個人情報管理システム、方法、個人情報データ変換装置、漏洩検出装置、漏洩検出方法、プログラム
【課題】個人情報を漏洩したユーザ情報を特定し、漏洩内容、漏洩規模を把握できる個人情報管理システム、個人情報管理方法、個人情報データ変換装置、漏洩検出装置、漏洩検出方法、プログラムを提供する。
【解決手段】個人情報データ変換装置30と、アクセスしたユーザ情報を特定する漏洩検出装置50とを設け、個人情報データ変換装置30は、同一内容で記述形式が異なるルール形式を蓄積するルール蓄積部31と、ルール形式を選択するルール選択部32と、個人情報をルール形式に変換する個人情報データ変換部33と、変換した個人情報を蓄積するログデータ蓄積部34とを設ける。
【解決手段】個人情報データ変換装置30と、アクセスしたユーザ情報を特定する漏洩検出装置50とを設け、個人情報データ変換装置30は、同一内容で記述形式が異なるルール形式を蓄積するルール蓄積部31と、ルール形式を選択するルール選択部32と、個人情報をルール形式に変換する個人情報データ変換部33と、変換した個人情報を蓄積するログデータ蓄積部34とを設ける。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、個人情報管理システム、個人情報管理方法、個人情報データ変換装置、漏洩検出装置、漏洩検出方法、プログラムに関し、特に、ユーザ端末から個人情報にアクセスしたとき、個人情報と同一内容(意味が同一)で記述形式が異なるルール形式で個人情報を変換することにより、個人情報が漏洩した場合、漏洩した個人情報をサンプリングし、個人情報を漏洩したユーザ情報の特定、漏洩内容、漏洩規模などを検出する個人情報管理システム、個人情報管理方法、個人情報データ変換装置、漏洩検出装置、漏洩検出方法、プログラムに関する。
【背景技術】
【0002】
従来、多くの個人情報漏洩事件において、個人情報事業者は、漏洩を特定できない事象が多く発生している。その理由は、第一にはアクセス先の個人情報データが同一のものであり、どの利用者がアクセスしても同一のデータとなるため、漏洩元が分かりにくいためである。第二にはデータがコピーされ、やりとりされるような場合、アクセスログには残らず、追跡することが困難であるためである。
【0003】
個人情報を管理している個人情報事業者は、管理している個人情報が漏洩しても、自ら管理している個人情報であるか否かを客観的に検証することができない。また、個人情報事業者は、漏洩情報が、どんな内容で、いつ、どこで、だれによって、どれだけ流出したのかを特定することが困難な状況にある。
【0004】
通常、個人情報の漏洩が発覚する状況としては、流出した個人情報がその個人情報主体者によって当該事業者にしか開示していない情報である場合、または、個人情報を漏洩した犯人が漏えい事実を肯定した場合である。
【0005】
事業者としては、個人情報の漏洩が、自ら管理している個人情報であることを確認し、その漏洩の原因、規模などを推定する手段が必要な状況にある。また、このような、推定する手段により、責任の所在、内容と影響、漏洩の規模を検証することができるようになれば、個人情報の漏洩に関する保険の適用を適切な範囲で受けることが可能になる。
【0006】
そこで、個人情報の漏洩を防止する技術としては、以下のようなものがある(例えば、特許文献1、特許文献2参照。)。
【0007】
特許文献1記載の技術は、ユーザの趣味、嗜好、病状、悩みなどの個人属性情報を蓄積する個人属性情報データベースを備える第1の管理センタと、ユーザの氏名、住所、電話番号などの個人特定情報を蓄積する個人特定情報データベースを備える第2の管理センタとを設け、ユーザの個人属性情報と個人特定情報とをリンクさせるための指標を付与することにより、ユーザのプライバシーに関する情報が漏洩する危険性を低くするものである。
【0008】
特許文献2記載の技術は、メールサーバは送信元である第1のユーザから電子メールを受信したとき、アドレス変換装置で送信元のアドレスを別の一時的なアドレスへ変換後、一時的なアドレスによって電子メールの送信元アドレスを置き換え、修正電子メールを生成する。修正電子メールを送信先である第2のユーザへ送信することにより、匿名性を保った電子メールを送信するものである。
【0009】
【特許文献1】特開2001ー290769号公報
【特許文献2】特開2002ー073475号公報
【発明の開示】
【発明が解決しようとする課題】
【0010】
上述の特許文献1記載の技術は、ユーザの個人属性情報と個人特定情報とが一括して漏洩する危険性を下げることはできるが、個人情報を管理する事業者(第1管理センタ、第2管理センタの管理者)は、個人情報を漏洩した端末の特定、漏洩内容、漏洩規模を検出することができない。
【0011】
特許文献2記載の技術は、送信元の匿名性を保った電子メールを送信先へ送信するため、送信先は、個人情報を再利用するためアクセスしようとしたとき、内容を判別できず、個人情報を利用することができない。また、個人情報を管理する事業者(メールサーバ管理者)は、個人情報を漏洩した端末の特定、漏洩内容、漏洩規模を検出することができない。
【0012】
従って、特許文献1、2記載の技術は、共に、個人情報の漏洩の事象を把握、分析できないため、漏洩した個人情報が事業者の管理下にある個人情報であるか否かを判断できず、かつ、漏洩した個人情報の漏洩原因の把握、漏洩内容、漏洩規模の推定をできないという課題がある。
【0013】
本発明の目的は、上記課題を解決すべく、ユーザ端末から個人情報にアクセスしたとき、個人情報と同一内容(意味が同一)で記述形式が異なるルール形式で個人情報を変換することにより、個人情報が漏洩した場合、漏洩した個人情報をサンプリングし、個人情報を漏洩したユーザ情報の特定、漏洩内容、漏洩規模を検出する個人情報管理システム、個人情報管理方法、個人情報データ変換装置、漏洩検出装置、漏洩検出方法、プログラムを提供することにある。
【課題を解決するための手段】
【0014】
本発明の個人情報管理システムは、個人情報を格納する記憶装置と、個人情報を変換する個人情報データ変換装置と、ネットワークを介して個人情報へアクセスしたユーザ情報を特定する漏洩検出装置とを有する個人情報管理システムであって、個人情報データ変換装置は、同一内容で記述形式が異なるルール形式を蓄積するルール蓄積部と、ルール形式を選択するルール選択部と、個人情報をルール形式に変換する個人情報データ変換部と、変換した個人情報を蓄積するログデータ蓄積部とを有することを特徴とする。
【0015】
個人情報データ変換部は、ユーザ端末から個人情報へのアクセス要求を受信する受信手段と、個人情報へのアクセス要求を発行し個人情報を取得するファイル取得手段と、取得した個人情報を一時的に保持するファイル保持手段と、ルール蓄積部とルール選択部とを参照して個人情報を選択したルール形式に変換する形式変換手段と、ログデータ蓄積部を参照して過去に変換した個人情報と重複しないように変換生成する変換データ生成手段と、変換生成した個人情報をユーザ端末へ送信する送信手段とを有することを特徴とする。
【0016】
形式変換手段は、ファイル保持手段で保持している個人情報データを1件ずつ取り出し、選択したルール形式を適用する手段を有することを特徴とする。
【0017】
ログデータ蓄積部は、変換後の個人情報とユーザ情報とを関連付けて蓄積する変換ファイル/利用者情報格納手段を有することを特徴とする。
【0018】
ユーザ情報は、ユーザ端末識別手段と、ユーザ識別手段と、アクセス要求内容と、アクセス日時とを有することを特徴とする。
【0019】
ルール選択部は、乱数を発生する乱数発生手段と、ルール蓄積部から適用するルール形式を選択するルール形式選択手段と、適用するルール形式が存在しないとき選択する無変換ルール選択手段とを有することを特徴とする。
【0020】
記憶装置は、磁気ディスク装置を有し、磁気ディスク装置は、個人情報データベースを有することを特徴とする。
【0021】
漏洩検出装置は、個人情報とルール形式とを入力する入力手段と、入力情報とログデータ蓄積部の変換ファイルとを参照するログデータ蓄積部参照手段と、入力情報と合致する変換ファイルを特定するファイル特定手段と、変換ファイルと関連付けているユーザ情報を抽出する利用者特定手段とを有することを特徴とする。
【0022】
本発明の個人情報管理方法は、個人情報を記憶装置に格納し、個人情報を個人情報データ変換装置により変換し、ネットワークを介して個人情報へアクセスしたユーザ情報を漏洩検出装置により特定する個人情報管理方法であって、個人情報データ変換装置は、同一内容で記述形式が異なるルール形式をルール蓄積部に蓄積するステップと、ルール蓄積部から適用するルール形式をルール選択部により選択するステップと、個人情報データ変換部により個人情報をルール形式に変換するステップと、変換した個人情報をログデータ蓄積部に蓄積するステップとを有することを特徴とする。
【0023】
個人情報データ変換部は、ユーザ端末から個人情報へのアクセス要求を受信手段により受信するステップと、ファイル取得手段により個人情報へのアクセス要求を発行し個人情報を取得するステップと、取得した個人情報をファイル保持手段により一時的に保持するステップと、ルール蓄積部とルール選択部とを参照して形式変換手段により個人情報を選択したルール形式に変換するステップと、変換データ生成手段によりログデータ蓄積部を参照して過去に変換した個人情報と重複しないように変換生成するステップと、変換生成した個人情報を送信手段によりユーザ端末へ送信するステップとを有することを特徴とする。
【0024】
形式変換手段は、ファイル保持手段で保持している個人情報データを1件ずつ取り出し、選択したルール形式を適用するステップを有することを特徴とする。
【0025】
ログデータ蓄積部は、変換ファイル/利用者情報格納手段により変換後の個人情報とユーザ情報とを関連付けて蓄積するステップを有することを特徴とする。
【0026】
本発明の個人情報データ変換装置は、個人情報を格納する記憶装置とネットワークを介して個人情報へアクセスしたユーザ情報を特定する漏洩検出装置とに接続し個人情報を変換する個人情報データ変換装置であって、同一内容で記述形式が異なるルール形式を蓄積するルール蓄積部と、ルール蓄積部から適用するルール形式を選択するルール選択部と、個人情報をルール形式に変換する個人情報データ変換部と、変換した個人情報を蓄積するログデータ蓄積部とを有することを特徴とする。
【0027】
個人情報データ変換部は、ユーザ端末から個人情報へのアクセス要求を受信する受信手段と、個人情報へのアクセス要求を発行し個人情報を取得するファイル取得手段と、取得した個人情報を一時的に保持するファイル保持手段と、ルール蓄積部とルール選択部とを参照して個人情報を選択したルール形式に変換する形式変換手段と、ログデータ蓄積部を参照して過去に変換した個人情報と重複しないように変換生成する変換データ生成手段と、変換生成した個人情報をユーザ端末へ送信する送信手段とを有することを特徴とする。
【0028】
形式変換手段は、ファイル保持手段で保持している個人情報データを1件ずつ取り出し、選択したルール形式を適用する手段を有することを特徴とする。
【0029】
ログデータ蓄積部は、変換後の個人情報とユーザ情報とを関連付けて蓄積する変換ファイル/利用者情報格納手段を有することを特徴とする。
【0030】
本発明の漏洩検出装置は、記憶装置に格納する個人情報を変換する個人情報データ変換装置と接続し、ネットワークを介して個人情報へアクセスしたユーザ情報を特定する漏洩検出装置であって、個人情報と同一内容で記述形式が異なるルール形式とを入力する入力手段と、入力情報と変換した個人情報を蓄積するログデータ蓄積部の変換ファイルとを参照するログデータ蓄積部参照手段と、入力情報と合致する変換ファイルを特定するファイル特定手段と、変換ファイルと関連付けているユーザ情報をログデータ蓄積部の変換ファイル/利用者情報格納手段から抽出する利用者特定手段とを有することを特徴とする。
【0031】
本発明の漏洩検出方法は、記憶装置に格納する個人情報を変換する個人情報データ変換装置と接続し、ネットワークを介して個人情報へアクセスしたユーザ情報を特定する漏洩検出方法であって、個人情報と同一内容で記述形式が異なるルール形式とを入力手段により入力するステップと、入力情報と変換した個人情報を蓄積するログデータ蓄積部の変換ファイルとをログデータ蓄積部参照手段により参照するステップと、入力情報と合致する変換ファイルをファイル特定手段により特定するステップと、変換ファイルと関連付けているユーザ情報をログデータ蓄積部の変換ファイル/利用者情報格納手段から利用者特定手段により抽出するステップとを有することを特徴とする。
【0032】
本発明の個人情報管理システム用プログラムは、個人情報を格納する記憶装置と、個人情報を変換する個人情報データ変換装置と、ネットワークを介して個人情報へアクセスしたユーザ情報を特定する漏洩検出装置とを有する個人情報管理システム用プログラムであって、コンピュータを、同一内容で記述形式が異なるルール形式を蓄積するルール蓄積手段、ルール蓄積手段から適用するルール形式を選択するルール選択手段、個人情報をルール形式に変換する個人情報データ変換手段、変換した個人情報を蓄積するログデータ蓄積手段として機能させることを特徴とする。
【0033】
個人情報データ変換手段は、ユーザ端末から個人情報へのアクセス要求を受信する受信手段と、個人情報へのアクセス要求を発行し個人情報を取得するファイル取得手段と、取得した個人情報を一時的に保持するファイル保持手段と、ルール蓄積部とルール選択部とを参照して個人情報を選択したルール形式に変換する形式変換手段と、ログデータ蓄積部を参照して過去に変換した個人情報と重複しないように変換生成する変換データ生成手段と、変換生成した個人情報をユーザ端末へ送信する送信手段として機能させることを特徴とする。
【0034】
本発明の漏洩検出装置用プログラムは、記憶装置に格納する個人情報を変換する個人情報データ変換装置と接続し、ネットワークを介して個人情報へアクセスしたユーザ情報を特定する漏洩検出装置用プログラムであって、コンピュータを、個人情報と同一内容で記述形式が異なるルール形式とを入力する入力手段と、入力情報と変換した個人情報を蓄積するログデータ蓄積部の変換ファイルとを参照するログデータ蓄積部参照手段と、入力情報と合致する変換ファイルを特定するファイル特定手段と、変換ファイルと関連付けているユーザ情報をログデータ蓄積部の変換ファイル/利用者情報格納手段から抽出する利用者特定手段として機能させることを特徴とする。
【発明の効果】
【0035】
本発明の個人情報管理システム、個人情報管理方法、個人情報データ変換装置、漏洩検出装置、漏洩検出方法、プログラムによれば、ユーザ端末から個人情報にアクセスしたとき、個人情報と同一内容で記述形式が異なるルール形式で個人情報を変換することにより、個人情報が漏洩した場合、個人情報を漏洩したユーザ情報の特定、漏洩内容、漏洩規模を把握することができるという効果がある。
【発明を実施するための最良の形態】
【0036】
次に、本発明を実施するための最良の形態について図面を参照して詳細に説明する。
【0037】
図1は、本発明の個人情報管理システム10の使用形態を示す概略構成ブロック図、図2は、図1中の個人情報データ変換部33の構成ブロック図、図3は、図1中のルール選択部32の構成ブロック図、図4は、図1中ログデータ蓄積部34の構成ブロック図、図5は、図1中の漏洩検出装置50の構成ブロック図である。
【0038】
図1〜図5を参照すると、個人情報管理システム10は、個人情報データベース(個人情報DB)201に個人情報を格納する磁気ディスク装置20と、個人情報を変換する個人情報データ変換装置30と、ユーザ端末40からネットワーク100を介して個人情報へアクセスしたユーザ情報を特定する漏洩検出装置50とで構成する。個人情報管理システム10とユーザ端末40とは、イントラネットなどのネットワーク100を介して相互に接続し、ユーザ端末40は、個人情報データ変換システム30を介して個人情報DB201へアクセスするよう構成する。
【0039】
個人情報データ変換装置30は、同一内容(意味同一)で記述形式が異なるルール形式を蓄積するルール蓄積部31と、ルール形式を選択するルール選択部32と、個人情報をルール形式に変換する個人情報データ変換部33と、変換した個人情報を蓄積するログデータ蓄積部34とで構成する。
【0040】
個人情報データ変換部33は、ユーザ端末40から個人情報へのアクセス要求を受信する受信手段331と、個人情報へのアクセス要求を発行しアクセス要求に対応する個人情報の集合(以下、ファイルと称す)を取得するファイル取得手段332と、取得したファイルの各個人情報を一時的に保持するファイル保持手段333と、ルール蓄積部31とルール選択部32とを参照して各個人情報を選択したルール形式に変換する形式変換手段334と、ログデータ蓄積部34を参照して過去に変換した個人情報のファイルと重複しないように変換生成する変換データ生成手段335と、変換生成した個人情報のファイルをユーザ端末40へ送信する送信手段336とで構成する。
【0041】
ログデータ蓄積部34は、変換後の個人情報のファイルとユーザ情報とを関連付けて蓄積する変換ファイル/利用者情報格納手段を設けて構成する。
【0042】
ルール選択部32は、乱数を発生する乱数発生手段321と、ルール蓄積部31から適用するルール形式を選択するルール形式選択手段323と、適用するルール形式が存在しないとき選択する無変換ルール選択手段322とで構成する。
【0043】
漏洩検出装置50は、個人情報とルール形式とを入力する入力手段51と、入力情報とログデータ蓄積部34の変換ファイルとを参照するログデータ蓄積部参照手段52と、入力情報と合致する変換ファイルを特定するファイル特定手段53と、変換ファイルと関連付けているユーザ情報を抽出する利用者特定手段54とで構成する。
【0044】
なお、ユーザ情報は、ユーザ端末識別手段(ユーザ端末40を一意に識別する番号)、ユーザ識別手段(ユーザを一意に識別するユーザ識別子:ユーザID)、アクセス要求内容、アクセス日時とを含む。
【0045】
次に、個人情報データ変換装置30で、個人情報を同一内容(意味が同一)で記述形式が異なるように変換するルール形式について説明する。
【0046】
ここに、個人情報データとは、コンピュータ上に置かれたコードデータである。個人情報は、一般的に、個人を特定する情報であり、住民基本台帳などの住民情報がこれに該当する。
【0047】
住民情報の基本4情報は、住所、氏名、性別、生年月日である。例えば、住所に関して、5丁目7番地3号について、五丁目七番地三号、五丁目七ー三、五丁目7ー3、五の七の三、五ー七ー三、5の7の3、5ー7ー3などと記述形式を変更しても、慣習的に同一内容(意味は同一)として扱う。また、アラビア数字やハイフォンに関して、全角文字、半角文字を適用しても意味は同一として扱う。さらに、2桁以上の漢数字について、たとえば、16を十六、一六、123を百二十三、一二三などと記述形式を変更しても、慣習的に同一内容として扱う。郵便番号がある場合は、都道府県を省略してもしなくても住所を認識できる。
【0048】
電話番号も個人情報を成す一情報である。電話番号に関しても、03ー1234ー5678について、03(1234)5678、03 1234 5678、0312345678などとしても、意味は同一として扱う。また、アラビア数字、括弧、ハイフォン、空白に関して、全角文字、半角文字の利用を適用しても意味は同一として扱う。
【0049】
個人情報DB201に格納する個人情報(たとえば、ここでは5000件以上の個人情報)に対して、上記のルール形式による変換をランダムに適用し、アクセス要求に対応するファイル毎に過去の変換結果と同一にならないように操作する。
【0050】
この操作により、ユーザ端末40からのアクセス要求毎に異なる個人情報データのファイルを生成し、生成したファイルに対してアクセスしたユーザ情報を関連付けることにより、個人情報が漏洩したときに、利用者情報(ユーザ情報)を追跡できるようにする。
【0051】
なお、個人情報データの5000件は、個人情報保護法にて管理の対象として定義されている数量である。容易に検索できるような形式で5000件以上の個人情報データを管理する場合には、その個人情報データに関し、管理する義務が発生するので、これを一つの目安とする。もちろん、個人情報DB201の個人情報データの大きさを5000件以下にしてもよいことは云うまでもない。
【0052】
次に、上述のように構成した個人情報管理システム10の動作について、図面を参照して説明する。
【0053】
図6は、個人情報管理システム10の動作を説明するためのフローチャートである。
【0054】
図6を参照すると、まず、利用者は、ユーザ端末40からネットワーク100を介して必要な個人情報データのアクセス要求を個人情報データ管理システム10に送信する。個人情報データ管理システム10は、アクセス要求を個人情報データ変換部33の受信手段331で受信する(ステップS1)。ユーザ端末40からのアクセス要求は、例えば、住所が東京都である個人情報データを要求することになる。
【0055】
個人情報データ変換部33は、アクセス要求を受信すると、ファイル取得手段332により、個人情報DB201に対して個人情報データのアクセス要求を発行し、個人情報データのファイルを取得する。取得した個人情報データのファイルは、一時的にファイル保持手段333で保持する(ステップS2)。
【0056】
ルール選択部32は、乱数発生手段321により乱数を発生し、ルール蓄積部31から適用するルール形式を選択する。形式変換手段334は、保持している個人情報データを1件ずつ取出し、個人情報データに選択したルール形式を適用する(ステップS3)。
【0057】
なお、ルール蓄積部31に格納しているルール形式の何れもが当てはまらない場合、無変換ルール選択手段322により、無変換の処理を行うルール形式を適用する。
【0058】
形式変換手段334は、ファイル保持手段333で保持しているファイルの個人情報データ全ての変換処理の適用が完了したか否かを判断する(ステップS4)。
【0059】
変換処理の適用が完了のとき、変換データ生成手段335は、過去のファイルを保存しているログデータ蓄積部34を参照して、変換が終了した個人情報データのファイルと同一のファイルが存在するか否かを調べる(ステップS5)。変換処理の適用が完了していないときは、上記(ステップS3)に戻る。
【0060】
同一のファイルが存在するとき、変換データ生成手段335は、個人情報データのファイルを初期状態にリセットし(個人情報DB201から取得した個人情報データのファイルに戻す)、上記(ステップS3)に戻り(ステップS6)、再度ルール形式の適用を図る。
【0061】
同一のファイルが存在しないとき、変換ファイル/利用者情報格納手段341は、変換が終了した個人情報データのファイルをユーザ情報と関連付けてログデータ蓄積部34に蓄積する(ステップS7)。
【0062】
なお、変換データ生成手段335による同一のファイルか存在するか否かの判定は、変換した個人情報データの全てが一致する過去のファイルがログデータ蓄積部34に存在するか否かで判定する。
【0063】
送信手段336は、変換した個人情報データをアクセス要求したユーザ端末40に送信する(ステップS8)。
【0064】
次に、漏洩検出装置50の動作について、図面を参照して説明する。
【0065】
図7は、漏洩検出装置50の動作を説明するためのフローチャートである。
【0066】
図7を参照すると、漏洩検出装置50は、入力手段51により、漏洩したと疑われる個人情報データとルール形式を調査し、入力する(ステップT1)。ここでは先ず、変換後の個人情報データが判明している場合について述べる。
【0067】
漏洩したと疑われる個人情報データの入力情報とログデータ蓄積部34に蓄積した変換ファイル群の個人情報データとをログデータ蓄積部参照手段52により参照し、入力情報を含むファイルを検索し絞り込む(ステップT2)。
【0068】
ファイル特定手段53によりファイルを特定できたか否かを判定し(ステップT3)、ファイルを特定できたとき、利用者特定手段54によりファイルに関連付けられている利用者情報を抽出する(ステップT4)。
【0069】
上記(ステップT3)において、入力情報からファイルを特定できない場合は、上記(ステップT1)に戻り、漏洩したと疑われる別人の個人情報データのサンプルを追加して入力する。
【0070】
利用者情報を抽出することにより、個人情報管理システム10の管理者は、漏洩した個人情報のファイルと漏洩したファイルにアクセスしたユーザ情報とを特定できる。
【0071】
なお、漏洩したと疑われる個人情報データとルール形式を調査し、変換後の個人情報データが不明の場合、例えば、個人情報の漏洩の疑義を唱える者の変換後の住所データが不明のとき、上記(ステップT1)で疑義者の住所を任意のルール形式で変換して入力する。
【0072】
上記(ステップT3)において、入力情報からファイルを特定できない場合は、上記(ステップT1)に戻り、個人情報データ(住所データ)を異なるルール形式に変換して入力する。
【0073】
上述のように、個人情報管理システム10は、漏洩検出装置50により漏洩した個人情報のファイルと漏洩したファイルにアクセスしたユーザ情報とを特定でき、漏洩した個人情報の内容、規模、原因(漏洩発生元ユーザ端末40)を把握できる。
【0074】
また、個人情報漏洩に対する保険に加入している場合、漏洩の事実、内容、規模を証明できることで、適切な範囲で保険の適用を受けることができる。
【図面の簡単な説明】
【0075】
【図1】本発明の個人情報管理システムの使用形態を示す概略構成ブロック図である。
【図2】図1中の個人情報データ変換部の構成ブロック図である。
【図3】図1中のルール選択部の構成ブロック図である。
【図4】図1中ログデータ蓄積部の構成ブロック図である。
【図5】図1中の漏洩検出装置の構成ブロック図である。
【図6】個人情報管理システムの動作を説明するためのフローチャートである。
【図7】漏洩検出装置の動作を説明するためのフローチャートである。
【符号の説明】
【0076】
10 個人情報管理システム
20 磁気ディスク装置
201 個人情報DB
30 個人情報データ変換装置
31 ルール蓄積部
32 ルール選択部
321 乱数発生手段
322 無変換ルール選択手段
323 ルール形式選択手段
33 個人情報データ変換部
331 受信手段
332 ファイル取得手段
333 ファイル保持手段
334 形式変換手段
335 変換データ生成手段
336 送信手段
34 ログデータ蓄積部
341 変換ファイル/利用者情報格納手段
40 ユーザ端末
50 漏洩検出装置
51 入力手段
52 ログデータ蓄積部参照手段
53 ファイル特定手段
54 利用者特定手段
100 ネットワーク
【技術分野】
【0001】
本発明は、個人情報管理システム、個人情報管理方法、個人情報データ変換装置、漏洩検出装置、漏洩検出方法、プログラムに関し、特に、ユーザ端末から個人情報にアクセスしたとき、個人情報と同一内容(意味が同一)で記述形式が異なるルール形式で個人情報を変換することにより、個人情報が漏洩した場合、漏洩した個人情報をサンプリングし、個人情報を漏洩したユーザ情報の特定、漏洩内容、漏洩規模などを検出する個人情報管理システム、個人情報管理方法、個人情報データ変換装置、漏洩検出装置、漏洩検出方法、プログラムに関する。
【背景技術】
【0002】
従来、多くの個人情報漏洩事件において、個人情報事業者は、漏洩を特定できない事象が多く発生している。その理由は、第一にはアクセス先の個人情報データが同一のものであり、どの利用者がアクセスしても同一のデータとなるため、漏洩元が分かりにくいためである。第二にはデータがコピーされ、やりとりされるような場合、アクセスログには残らず、追跡することが困難であるためである。
【0003】
個人情報を管理している個人情報事業者は、管理している個人情報が漏洩しても、自ら管理している個人情報であるか否かを客観的に検証することができない。また、個人情報事業者は、漏洩情報が、どんな内容で、いつ、どこで、だれによって、どれだけ流出したのかを特定することが困難な状況にある。
【0004】
通常、個人情報の漏洩が発覚する状況としては、流出した個人情報がその個人情報主体者によって当該事業者にしか開示していない情報である場合、または、個人情報を漏洩した犯人が漏えい事実を肯定した場合である。
【0005】
事業者としては、個人情報の漏洩が、自ら管理している個人情報であることを確認し、その漏洩の原因、規模などを推定する手段が必要な状況にある。また、このような、推定する手段により、責任の所在、内容と影響、漏洩の規模を検証することができるようになれば、個人情報の漏洩に関する保険の適用を適切な範囲で受けることが可能になる。
【0006】
そこで、個人情報の漏洩を防止する技術としては、以下のようなものがある(例えば、特許文献1、特許文献2参照。)。
【0007】
特許文献1記載の技術は、ユーザの趣味、嗜好、病状、悩みなどの個人属性情報を蓄積する個人属性情報データベースを備える第1の管理センタと、ユーザの氏名、住所、電話番号などの個人特定情報を蓄積する個人特定情報データベースを備える第2の管理センタとを設け、ユーザの個人属性情報と個人特定情報とをリンクさせるための指標を付与することにより、ユーザのプライバシーに関する情報が漏洩する危険性を低くするものである。
【0008】
特許文献2記載の技術は、メールサーバは送信元である第1のユーザから電子メールを受信したとき、アドレス変換装置で送信元のアドレスを別の一時的なアドレスへ変換後、一時的なアドレスによって電子メールの送信元アドレスを置き換え、修正電子メールを生成する。修正電子メールを送信先である第2のユーザへ送信することにより、匿名性を保った電子メールを送信するものである。
【0009】
【特許文献1】特開2001ー290769号公報
【特許文献2】特開2002ー073475号公報
【発明の開示】
【発明が解決しようとする課題】
【0010】
上述の特許文献1記載の技術は、ユーザの個人属性情報と個人特定情報とが一括して漏洩する危険性を下げることはできるが、個人情報を管理する事業者(第1管理センタ、第2管理センタの管理者)は、個人情報を漏洩した端末の特定、漏洩内容、漏洩規模を検出することができない。
【0011】
特許文献2記載の技術は、送信元の匿名性を保った電子メールを送信先へ送信するため、送信先は、個人情報を再利用するためアクセスしようとしたとき、内容を判別できず、個人情報を利用することができない。また、個人情報を管理する事業者(メールサーバ管理者)は、個人情報を漏洩した端末の特定、漏洩内容、漏洩規模を検出することができない。
【0012】
従って、特許文献1、2記載の技術は、共に、個人情報の漏洩の事象を把握、分析できないため、漏洩した個人情報が事業者の管理下にある個人情報であるか否かを判断できず、かつ、漏洩した個人情報の漏洩原因の把握、漏洩内容、漏洩規模の推定をできないという課題がある。
【0013】
本発明の目的は、上記課題を解決すべく、ユーザ端末から個人情報にアクセスしたとき、個人情報と同一内容(意味が同一)で記述形式が異なるルール形式で個人情報を変換することにより、個人情報が漏洩した場合、漏洩した個人情報をサンプリングし、個人情報を漏洩したユーザ情報の特定、漏洩内容、漏洩規模を検出する個人情報管理システム、個人情報管理方法、個人情報データ変換装置、漏洩検出装置、漏洩検出方法、プログラムを提供することにある。
【課題を解決するための手段】
【0014】
本発明の個人情報管理システムは、個人情報を格納する記憶装置と、個人情報を変換する個人情報データ変換装置と、ネットワークを介して個人情報へアクセスしたユーザ情報を特定する漏洩検出装置とを有する個人情報管理システムであって、個人情報データ変換装置は、同一内容で記述形式が異なるルール形式を蓄積するルール蓄積部と、ルール形式を選択するルール選択部と、個人情報をルール形式に変換する個人情報データ変換部と、変換した個人情報を蓄積するログデータ蓄積部とを有することを特徴とする。
【0015】
個人情報データ変換部は、ユーザ端末から個人情報へのアクセス要求を受信する受信手段と、個人情報へのアクセス要求を発行し個人情報を取得するファイル取得手段と、取得した個人情報を一時的に保持するファイル保持手段と、ルール蓄積部とルール選択部とを参照して個人情報を選択したルール形式に変換する形式変換手段と、ログデータ蓄積部を参照して過去に変換した個人情報と重複しないように変換生成する変換データ生成手段と、変換生成した個人情報をユーザ端末へ送信する送信手段とを有することを特徴とする。
【0016】
形式変換手段は、ファイル保持手段で保持している個人情報データを1件ずつ取り出し、選択したルール形式を適用する手段を有することを特徴とする。
【0017】
ログデータ蓄積部は、変換後の個人情報とユーザ情報とを関連付けて蓄積する変換ファイル/利用者情報格納手段を有することを特徴とする。
【0018】
ユーザ情報は、ユーザ端末識別手段と、ユーザ識別手段と、アクセス要求内容と、アクセス日時とを有することを特徴とする。
【0019】
ルール選択部は、乱数を発生する乱数発生手段と、ルール蓄積部から適用するルール形式を選択するルール形式選択手段と、適用するルール形式が存在しないとき選択する無変換ルール選択手段とを有することを特徴とする。
【0020】
記憶装置は、磁気ディスク装置を有し、磁気ディスク装置は、個人情報データベースを有することを特徴とする。
【0021】
漏洩検出装置は、個人情報とルール形式とを入力する入力手段と、入力情報とログデータ蓄積部の変換ファイルとを参照するログデータ蓄積部参照手段と、入力情報と合致する変換ファイルを特定するファイル特定手段と、変換ファイルと関連付けているユーザ情報を抽出する利用者特定手段とを有することを特徴とする。
【0022】
本発明の個人情報管理方法は、個人情報を記憶装置に格納し、個人情報を個人情報データ変換装置により変換し、ネットワークを介して個人情報へアクセスしたユーザ情報を漏洩検出装置により特定する個人情報管理方法であって、個人情報データ変換装置は、同一内容で記述形式が異なるルール形式をルール蓄積部に蓄積するステップと、ルール蓄積部から適用するルール形式をルール選択部により選択するステップと、個人情報データ変換部により個人情報をルール形式に変換するステップと、変換した個人情報をログデータ蓄積部に蓄積するステップとを有することを特徴とする。
【0023】
個人情報データ変換部は、ユーザ端末から個人情報へのアクセス要求を受信手段により受信するステップと、ファイル取得手段により個人情報へのアクセス要求を発行し個人情報を取得するステップと、取得した個人情報をファイル保持手段により一時的に保持するステップと、ルール蓄積部とルール選択部とを参照して形式変換手段により個人情報を選択したルール形式に変換するステップと、変換データ生成手段によりログデータ蓄積部を参照して過去に変換した個人情報と重複しないように変換生成するステップと、変換生成した個人情報を送信手段によりユーザ端末へ送信するステップとを有することを特徴とする。
【0024】
形式変換手段は、ファイル保持手段で保持している個人情報データを1件ずつ取り出し、選択したルール形式を適用するステップを有することを特徴とする。
【0025】
ログデータ蓄積部は、変換ファイル/利用者情報格納手段により変換後の個人情報とユーザ情報とを関連付けて蓄積するステップを有することを特徴とする。
【0026】
本発明の個人情報データ変換装置は、個人情報を格納する記憶装置とネットワークを介して個人情報へアクセスしたユーザ情報を特定する漏洩検出装置とに接続し個人情報を変換する個人情報データ変換装置であって、同一内容で記述形式が異なるルール形式を蓄積するルール蓄積部と、ルール蓄積部から適用するルール形式を選択するルール選択部と、個人情報をルール形式に変換する個人情報データ変換部と、変換した個人情報を蓄積するログデータ蓄積部とを有することを特徴とする。
【0027】
個人情報データ変換部は、ユーザ端末から個人情報へのアクセス要求を受信する受信手段と、個人情報へのアクセス要求を発行し個人情報を取得するファイル取得手段と、取得した個人情報を一時的に保持するファイル保持手段と、ルール蓄積部とルール選択部とを参照して個人情報を選択したルール形式に変換する形式変換手段と、ログデータ蓄積部を参照して過去に変換した個人情報と重複しないように変換生成する変換データ生成手段と、変換生成した個人情報をユーザ端末へ送信する送信手段とを有することを特徴とする。
【0028】
形式変換手段は、ファイル保持手段で保持している個人情報データを1件ずつ取り出し、選択したルール形式を適用する手段を有することを特徴とする。
【0029】
ログデータ蓄積部は、変換後の個人情報とユーザ情報とを関連付けて蓄積する変換ファイル/利用者情報格納手段を有することを特徴とする。
【0030】
本発明の漏洩検出装置は、記憶装置に格納する個人情報を変換する個人情報データ変換装置と接続し、ネットワークを介して個人情報へアクセスしたユーザ情報を特定する漏洩検出装置であって、個人情報と同一内容で記述形式が異なるルール形式とを入力する入力手段と、入力情報と変換した個人情報を蓄積するログデータ蓄積部の変換ファイルとを参照するログデータ蓄積部参照手段と、入力情報と合致する変換ファイルを特定するファイル特定手段と、変換ファイルと関連付けているユーザ情報をログデータ蓄積部の変換ファイル/利用者情報格納手段から抽出する利用者特定手段とを有することを特徴とする。
【0031】
本発明の漏洩検出方法は、記憶装置に格納する個人情報を変換する個人情報データ変換装置と接続し、ネットワークを介して個人情報へアクセスしたユーザ情報を特定する漏洩検出方法であって、個人情報と同一内容で記述形式が異なるルール形式とを入力手段により入力するステップと、入力情報と変換した個人情報を蓄積するログデータ蓄積部の変換ファイルとをログデータ蓄積部参照手段により参照するステップと、入力情報と合致する変換ファイルをファイル特定手段により特定するステップと、変換ファイルと関連付けているユーザ情報をログデータ蓄積部の変換ファイル/利用者情報格納手段から利用者特定手段により抽出するステップとを有することを特徴とする。
【0032】
本発明の個人情報管理システム用プログラムは、個人情報を格納する記憶装置と、個人情報を変換する個人情報データ変換装置と、ネットワークを介して個人情報へアクセスしたユーザ情報を特定する漏洩検出装置とを有する個人情報管理システム用プログラムであって、コンピュータを、同一内容で記述形式が異なるルール形式を蓄積するルール蓄積手段、ルール蓄積手段から適用するルール形式を選択するルール選択手段、個人情報をルール形式に変換する個人情報データ変換手段、変換した個人情報を蓄積するログデータ蓄積手段として機能させることを特徴とする。
【0033】
個人情報データ変換手段は、ユーザ端末から個人情報へのアクセス要求を受信する受信手段と、個人情報へのアクセス要求を発行し個人情報を取得するファイル取得手段と、取得した個人情報を一時的に保持するファイル保持手段と、ルール蓄積部とルール選択部とを参照して個人情報を選択したルール形式に変換する形式変換手段と、ログデータ蓄積部を参照して過去に変換した個人情報と重複しないように変換生成する変換データ生成手段と、変換生成した個人情報をユーザ端末へ送信する送信手段として機能させることを特徴とする。
【0034】
本発明の漏洩検出装置用プログラムは、記憶装置に格納する個人情報を変換する個人情報データ変換装置と接続し、ネットワークを介して個人情報へアクセスしたユーザ情報を特定する漏洩検出装置用プログラムであって、コンピュータを、個人情報と同一内容で記述形式が異なるルール形式とを入力する入力手段と、入力情報と変換した個人情報を蓄積するログデータ蓄積部の変換ファイルとを参照するログデータ蓄積部参照手段と、入力情報と合致する変換ファイルを特定するファイル特定手段と、変換ファイルと関連付けているユーザ情報をログデータ蓄積部の変換ファイル/利用者情報格納手段から抽出する利用者特定手段として機能させることを特徴とする。
【発明の効果】
【0035】
本発明の個人情報管理システム、個人情報管理方法、個人情報データ変換装置、漏洩検出装置、漏洩検出方法、プログラムによれば、ユーザ端末から個人情報にアクセスしたとき、個人情報と同一内容で記述形式が異なるルール形式で個人情報を変換することにより、個人情報が漏洩した場合、個人情報を漏洩したユーザ情報の特定、漏洩内容、漏洩規模を把握することができるという効果がある。
【発明を実施するための最良の形態】
【0036】
次に、本発明を実施するための最良の形態について図面を参照して詳細に説明する。
【0037】
図1は、本発明の個人情報管理システム10の使用形態を示す概略構成ブロック図、図2は、図1中の個人情報データ変換部33の構成ブロック図、図3は、図1中のルール選択部32の構成ブロック図、図4は、図1中ログデータ蓄積部34の構成ブロック図、図5は、図1中の漏洩検出装置50の構成ブロック図である。
【0038】
図1〜図5を参照すると、個人情報管理システム10は、個人情報データベース(個人情報DB)201に個人情報を格納する磁気ディスク装置20と、個人情報を変換する個人情報データ変換装置30と、ユーザ端末40からネットワーク100を介して個人情報へアクセスしたユーザ情報を特定する漏洩検出装置50とで構成する。個人情報管理システム10とユーザ端末40とは、イントラネットなどのネットワーク100を介して相互に接続し、ユーザ端末40は、個人情報データ変換システム30を介して個人情報DB201へアクセスするよう構成する。
【0039】
個人情報データ変換装置30は、同一内容(意味同一)で記述形式が異なるルール形式を蓄積するルール蓄積部31と、ルール形式を選択するルール選択部32と、個人情報をルール形式に変換する個人情報データ変換部33と、変換した個人情報を蓄積するログデータ蓄積部34とで構成する。
【0040】
個人情報データ変換部33は、ユーザ端末40から個人情報へのアクセス要求を受信する受信手段331と、個人情報へのアクセス要求を発行しアクセス要求に対応する個人情報の集合(以下、ファイルと称す)を取得するファイル取得手段332と、取得したファイルの各個人情報を一時的に保持するファイル保持手段333と、ルール蓄積部31とルール選択部32とを参照して各個人情報を選択したルール形式に変換する形式変換手段334と、ログデータ蓄積部34を参照して過去に変換した個人情報のファイルと重複しないように変換生成する変換データ生成手段335と、変換生成した個人情報のファイルをユーザ端末40へ送信する送信手段336とで構成する。
【0041】
ログデータ蓄積部34は、変換後の個人情報のファイルとユーザ情報とを関連付けて蓄積する変換ファイル/利用者情報格納手段を設けて構成する。
【0042】
ルール選択部32は、乱数を発生する乱数発生手段321と、ルール蓄積部31から適用するルール形式を選択するルール形式選択手段323と、適用するルール形式が存在しないとき選択する無変換ルール選択手段322とで構成する。
【0043】
漏洩検出装置50は、個人情報とルール形式とを入力する入力手段51と、入力情報とログデータ蓄積部34の変換ファイルとを参照するログデータ蓄積部参照手段52と、入力情報と合致する変換ファイルを特定するファイル特定手段53と、変換ファイルと関連付けているユーザ情報を抽出する利用者特定手段54とで構成する。
【0044】
なお、ユーザ情報は、ユーザ端末識別手段(ユーザ端末40を一意に識別する番号)、ユーザ識別手段(ユーザを一意に識別するユーザ識別子:ユーザID)、アクセス要求内容、アクセス日時とを含む。
【0045】
次に、個人情報データ変換装置30で、個人情報を同一内容(意味が同一)で記述形式が異なるように変換するルール形式について説明する。
【0046】
ここに、個人情報データとは、コンピュータ上に置かれたコードデータである。個人情報は、一般的に、個人を特定する情報であり、住民基本台帳などの住民情報がこれに該当する。
【0047】
住民情報の基本4情報は、住所、氏名、性別、生年月日である。例えば、住所に関して、5丁目7番地3号について、五丁目七番地三号、五丁目七ー三、五丁目7ー3、五の七の三、五ー七ー三、5の7の3、5ー7ー3などと記述形式を変更しても、慣習的に同一内容(意味は同一)として扱う。また、アラビア数字やハイフォンに関して、全角文字、半角文字を適用しても意味は同一として扱う。さらに、2桁以上の漢数字について、たとえば、16を十六、一六、123を百二十三、一二三などと記述形式を変更しても、慣習的に同一内容として扱う。郵便番号がある場合は、都道府県を省略してもしなくても住所を認識できる。
【0048】
電話番号も個人情報を成す一情報である。電話番号に関しても、03ー1234ー5678について、03(1234)5678、03 1234 5678、0312345678などとしても、意味は同一として扱う。また、アラビア数字、括弧、ハイフォン、空白に関して、全角文字、半角文字の利用を適用しても意味は同一として扱う。
【0049】
個人情報DB201に格納する個人情報(たとえば、ここでは5000件以上の個人情報)に対して、上記のルール形式による変換をランダムに適用し、アクセス要求に対応するファイル毎に過去の変換結果と同一にならないように操作する。
【0050】
この操作により、ユーザ端末40からのアクセス要求毎に異なる個人情報データのファイルを生成し、生成したファイルに対してアクセスしたユーザ情報を関連付けることにより、個人情報が漏洩したときに、利用者情報(ユーザ情報)を追跡できるようにする。
【0051】
なお、個人情報データの5000件は、個人情報保護法にて管理の対象として定義されている数量である。容易に検索できるような形式で5000件以上の個人情報データを管理する場合には、その個人情報データに関し、管理する義務が発生するので、これを一つの目安とする。もちろん、個人情報DB201の個人情報データの大きさを5000件以下にしてもよいことは云うまでもない。
【0052】
次に、上述のように構成した個人情報管理システム10の動作について、図面を参照して説明する。
【0053】
図6は、個人情報管理システム10の動作を説明するためのフローチャートである。
【0054】
図6を参照すると、まず、利用者は、ユーザ端末40からネットワーク100を介して必要な個人情報データのアクセス要求を個人情報データ管理システム10に送信する。個人情報データ管理システム10は、アクセス要求を個人情報データ変換部33の受信手段331で受信する(ステップS1)。ユーザ端末40からのアクセス要求は、例えば、住所が東京都である個人情報データを要求することになる。
【0055】
個人情報データ変換部33は、アクセス要求を受信すると、ファイル取得手段332により、個人情報DB201に対して個人情報データのアクセス要求を発行し、個人情報データのファイルを取得する。取得した個人情報データのファイルは、一時的にファイル保持手段333で保持する(ステップS2)。
【0056】
ルール選択部32は、乱数発生手段321により乱数を発生し、ルール蓄積部31から適用するルール形式を選択する。形式変換手段334は、保持している個人情報データを1件ずつ取出し、個人情報データに選択したルール形式を適用する(ステップS3)。
【0057】
なお、ルール蓄積部31に格納しているルール形式の何れもが当てはまらない場合、無変換ルール選択手段322により、無変換の処理を行うルール形式を適用する。
【0058】
形式変換手段334は、ファイル保持手段333で保持しているファイルの個人情報データ全ての変換処理の適用が完了したか否かを判断する(ステップS4)。
【0059】
変換処理の適用が完了のとき、変換データ生成手段335は、過去のファイルを保存しているログデータ蓄積部34を参照して、変換が終了した個人情報データのファイルと同一のファイルが存在するか否かを調べる(ステップS5)。変換処理の適用が完了していないときは、上記(ステップS3)に戻る。
【0060】
同一のファイルが存在するとき、変換データ生成手段335は、個人情報データのファイルを初期状態にリセットし(個人情報DB201から取得した個人情報データのファイルに戻す)、上記(ステップS3)に戻り(ステップS6)、再度ルール形式の適用を図る。
【0061】
同一のファイルが存在しないとき、変換ファイル/利用者情報格納手段341は、変換が終了した個人情報データのファイルをユーザ情報と関連付けてログデータ蓄積部34に蓄積する(ステップS7)。
【0062】
なお、変換データ生成手段335による同一のファイルか存在するか否かの判定は、変換した個人情報データの全てが一致する過去のファイルがログデータ蓄積部34に存在するか否かで判定する。
【0063】
送信手段336は、変換した個人情報データをアクセス要求したユーザ端末40に送信する(ステップS8)。
【0064】
次に、漏洩検出装置50の動作について、図面を参照して説明する。
【0065】
図7は、漏洩検出装置50の動作を説明するためのフローチャートである。
【0066】
図7を参照すると、漏洩検出装置50は、入力手段51により、漏洩したと疑われる個人情報データとルール形式を調査し、入力する(ステップT1)。ここでは先ず、変換後の個人情報データが判明している場合について述べる。
【0067】
漏洩したと疑われる個人情報データの入力情報とログデータ蓄積部34に蓄積した変換ファイル群の個人情報データとをログデータ蓄積部参照手段52により参照し、入力情報を含むファイルを検索し絞り込む(ステップT2)。
【0068】
ファイル特定手段53によりファイルを特定できたか否かを判定し(ステップT3)、ファイルを特定できたとき、利用者特定手段54によりファイルに関連付けられている利用者情報を抽出する(ステップT4)。
【0069】
上記(ステップT3)において、入力情報からファイルを特定できない場合は、上記(ステップT1)に戻り、漏洩したと疑われる別人の個人情報データのサンプルを追加して入力する。
【0070】
利用者情報を抽出することにより、個人情報管理システム10の管理者は、漏洩した個人情報のファイルと漏洩したファイルにアクセスしたユーザ情報とを特定できる。
【0071】
なお、漏洩したと疑われる個人情報データとルール形式を調査し、変換後の個人情報データが不明の場合、例えば、個人情報の漏洩の疑義を唱える者の変換後の住所データが不明のとき、上記(ステップT1)で疑義者の住所を任意のルール形式で変換して入力する。
【0072】
上記(ステップT3)において、入力情報からファイルを特定できない場合は、上記(ステップT1)に戻り、個人情報データ(住所データ)を異なるルール形式に変換して入力する。
【0073】
上述のように、個人情報管理システム10は、漏洩検出装置50により漏洩した個人情報のファイルと漏洩したファイルにアクセスしたユーザ情報とを特定でき、漏洩した個人情報の内容、規模、原因(漏洩発生元ユーザ端末40)を把握できる。
【0074】
また、個人情報漏洩に対する保険に加入している場合、漏洩の事実、内容、規模を証明できることで、適切な範囲で保険の適用を受けることができる。
【図面の簡単な説明】
【0075】
【図1】本発明の個人情報管理システムの使用形態を示す概略構成ブロック図である。
【図2】図1中の個人情報データ変換部の構成ブロック図である。
【図3】図1中のルール選択部の構成ブロック図である。
【図4】図1中ログデータ蓄積部の構成ブロック図である。
【図5】図1中の漏洩検出装置の構成ブロック図である。
【図6】個人情報管理システムの動作を説明するためのフローチャートである。
【図7】漏洩検出装置の動作を説明するためのフローチャートである。
【符号の説明】
【0076】
10 個人情報管理システム
20 磁気ディスク装置
201 個人情報DB
30 個人情報データ変換装置
31 ルール蓄積部
32 ルール選択部
321 乱数発生手段
322 無変換ルール選択手段
323 ルール形式選択手段
33 個人情報データ変換部
331 受信手段
332 ファイル取得手段
333 ファイル保持手段
334 形式変換手段
335 変換データ生成手段
336 送信手段
34 ログデータ蓄積部
341 変換ファイル/利用者情報格納手段
40 ユーザ端末
50 漏洩検出装置
51 入力手段
52 ログデータ蓄積部参照手段
53 ファイル特定手段
54 利用者特定手段
100 ネットワーク
【特許請求の範囲】
【請求項1】
個人情報を格納する記憶装置と、前記個人情報を変換する個人情報データ変換装置と、ネットワークを介して前記個人情報へアクセスしたユーザ情報を特定する漏洩検出装置とを有する個人情報管理システムであって、前記個人情報データ変換装置は、同一内容で記述形式が異なるルール形式を蓄積するルール蓄積部と、前記ルール形式を選択するルール選択部と、前記個人情報を前記ルール形式に変換する個人情報データ変換部と、変換した前記個人情報を蓄積するログデータ蓄積部とを有することを特徴とする個人情報管理システム。
【請求項2】
前記個人情報データ変換部は、ユーザ端末から前記個人情報へのアクセス要求を受信する受信手段と、前記個人情報へのアクセス要求を発行し前記個人情報を取得するファイル取得手段と、取得した前記個人情報を一時的に保持するファイル保持手段と、前記ルール蓄積部と前記ルール選択部とを参照して前記個人情報を選択した前記ルール形式に変換する形式変換手段と、前記ログデータ蓄積部を参照して過去に変換した前記個人情報と重複しないように変換生成する変換データ生成手段と、変換生成した前記個人情報を前記ユーザ端末へ送信する送信手段とを有することを特徴とする請求項1記載の個人情報管理システム。
【請求項3】
前記形式変換手段は、前記ファイル保持手段で保持している前記個人情報データを1件ずつ取り出し、選択した前記ルール形式を適用する手段を有することを特徴とする請求項2記載の個人情報管理システム。
【請求項4】
前記ログデータ蓄積部は、変換後の前記個人情報と前記ユーザ情報とを関連付けて蓄積する変換ファイル/利用者情報格納手段を有することを特徴とする請求項1または2記載の個人情報管理システム。
【請求項5】
前記ユーザ情報は、ユーザ端末識別手段と、ユーザ識別手段と、アクセス要求内容と、アクセス日時とを有することを特徴とする請求項1または4記載の個人情報管理システム。
【請求項6】
前記ルール選択部は、乱数を発生する乱数発生手段と、前記ルール蓄積部から適用する前記ルール形式を選択するルール形式選択手段と、適用する前記ルール形式が存在しないとき選択する無変換ルール選択手段とを有することを特徴とする請求項1または2記載の個人情報管理システム。
【請求項7】
前記記憶装置は、磁気ディスク装置を有し、前記磁気ディスク装置は、個人情報データベースを有することを特徴とする請求項1記載の個人情報管理システム。
【請求項8】
前記漏洩検出装置は、前記個人情報と前記ルール形式とを入力する入力手段と、入力情報と前記ログデータ蓄積部の変換ファイルとを参照するログデータ蓄積部参照手段と、前記入力情報と合致する前記変換ファイルを特定するファイル特定手段と、前記変換ファイルと関連付けている前記ユーザ情報を抽出する利用者特定手段とを有することを特徴とする請求項1または4記載の個人情報管理システム。
【請求項9】
個人情報を記憶装置に格納し、前記個人情報を個人情報データ変換装置により変換し、ネットワークを介して前記個人情報へアクセスしたユーザ情報を漏洩検出装置により特定する個人情報管理方法であって、前記個人情報データ変換装置は、同一内容で記述形式が異なるルール形式をルール蓄積部に蓄積するステップと、前記ルール蓄積部から適用する前記ルール形式をルール選択部により選択するステップと、個人情報データ変換部により前記個人情報を前記ルール形式に変換するステップと、変換した前記個人情報をログデータ蓄積部に蓄積するステップとを有することを特徴とする個人情報管理方法。
【請求項10】
前記個人情報データ変換部は、ユーザ端末から前記個人情報へのアクセス要求を受信手段により受信するステップと、ファイル取得手段により前記個人情報へのアクセス要求を発行し前記個人情報を取得するステップと、取得した前記個人情報をファイル保持手段により一時的に保持するステップと、前記ルール蓄積部と前記ルール選択部とを参照して形式変換手段により前記個人情報を選択した前記ルール形式に変換するステップと、変換データ生成手段により前記ログデータ蓄積部を参照して過去に変換した前記個人情報と重複しないように変換生成するステップと、変換生成した前記個人情報を送信手段により前記ユーザ端末へ送信するステップとを有することを特徴とする請求項9記載の個人情報管理方法。
【請求項11】
前記形式変換手段は、前記ファイル保持手段で保持している前記個人情報データを1件ずつ取り出し、選択した前記ルール形式を適用するステップを有することを特徴とする請求項10記載の個人情報管理方法。
【請求項12】
前記ログデータ蓄積部は、変換ファイル/利用者情報格納手段により変換後の前記個人情報と前記ユーザ情報とを関連付けて蓄積するステップを有することを特徴とする請求項9または10記載の個人情報管理方法。
【請求項13】
個人情報を格納する記憶装置とネットワークを介して前記個人情報へアクセスしたユーザ情報を特定する漏洩検出装置とに接続し前記個人情報を変換する個人情報データ変換装置であって、同一内容で記述形式が異なるルール形式を蓄積するルール蓄積部と、前記ルール蓄積部から適用する前記ルール形式を選択するルール選択部と、前記個人情報を前記ルール形式に変換する個人情報データ変換部と、変換した前記個人情報を蓄積するログデータ蓄積部とを有することを特徴とする個人情報データ変換装置。
【請求項14】
前記個人情報データ変換部は、ユーザ端末から前記個人情報へのアクセス要求を受信する受信手段と、前記個人情報へのアクセス要求を発行し前記個人情報を取得するファイル取得手段と、取得した前記個人情報を一時的に保持するファイル保持手段と、前記ルール蓄積部と前記ルール選択部とを参照して前記個人情報を選択した前記ルール形式に変換する形式変換手段と、前記ログデータ蓄積部を参照して過去に変換した前記個人情報と重複しないように変換生成する変換データ生成手段と、変換生成した前記個人情報を前記ユーザ端末へ送信する送信手段とを有することを特徴とする請求項13記載の個人情報データ変換装置。
【請求項15】
前記形式変換手段は、前記ファイル保持手段で保持している前記個人情報データを1件ずつ取り出し、選択した前記ルール形式を適用する手段を有することを特徴とする請求項14記載の個人情報データ変換装置。
【請求項16】
前記ログデータ蓄積部は、変換後の前記個人情報と前記ユーザ情報とを関連付けて蓄積する変換ファイル/利用者情報格納手段を有することを特徴とする請求項13または14記載の個人情報データ変換装置。
【請求項17】
記憶装置に格納する個人情報を変換する個人情報データ変換装置と接続し、ネットワークを介して前記個人情報へアクセスしたユーザ情報を特定する漏洩検出装置であって、前記個人情報と同一内容で記述形式が異なるルール形式とを入力する入力手段と、入力情報と変換した前記個人情報を蓄積するログデータ蓄積部の変換ファイルとを参照するログデータ蓄積部参照手段と、前記入力情報と合致する前記変換ファイルを特定するファイル特定手段と、前記変換ファイルと関連付けている前記ユーザ情報を前記ログデータ蓄積部の変換ファイル/利用者情報格納手段から抽出する利用者特定手段とを有することを特徴とする漏洩検出装置。
【請求項18】
記憶装置に格納する個人情報を変換する個人情報データ変換装置と接続し、ネットワークを介して前記個人情報へアクセスしたユーザ情報を特定する漏洩検出方法であって、前記個人情報と同一内容で記述形式が異なるルール形式とを入力手段により入力するステップと、入力情報と変換した前記個人情報を蓄積するログデータ蓄積部の変換ファイルとをログデータ蓄積部参照手段により参照するステップと、前記入力情報と合致する前記変換ファイルをファイル特定手段により特定するステップと、前記変換ファイルと関連付けている前記ユーザ情報を前記ログデータ蓄積部の変換ファイル/利用者情報格納手段から利用者特定手段により抽出するステップとを有することを特徴とする漏洩検出方法。
【請求項19】
個人情報を格納する記憶装置と、前記個人情報を変換する個人情報データ変換装置と、ネットワークを介して前記個人情報へアクセスしたユーザ情報を特定する漏洩検出装置とを有する個人情報管理システム用プログラムであって、コンピュータを、同一内容で記述形式が異なるルール形式を蓄積するルール蓄積手段、前記ルール蓄積手段から適用する前記ルール形式を選択するルール選択手段、前記個人情報を前記ルール形式に変換する個人情報データ変換手段、変換した前記個人情報を蓄積するログデータ蓄積手段として機能させるための個人情報管理システム用プログラム。
【請求項20】
前記個人情報データ変換手段は、ユーザ端末から前記個人情報へのアクセス要求を受信する受信手段と、前記個人情報へのアクセス要求を発行し前記個人情報を取得するファイル取得手段と、取得した前記個人情報を一時的に保持するファイル保持手段と、前記ルール蓄積部と前記ルール選択部とを参照して前記個人情報を選択した前記ルール形式に変換する形式変換手段と、前記ログデータ蓄積部を参照して過去に変換した前記個人情報と重複しないように変換生成する変換データ生成手段と、変換生成した前記個人情報を前記ユーザ端末へ送信する送信手段として機能させることを特徴とする請求項19記載の個人情報管理システム用プログラム。
【請求項21】
記憶装置に格納する個人情報を変換する個人情報データ変換装置と接続し、ネットワークを介して前記個人情報へアクセスしたユーザ情報を特定する漏洩検出装置用プログラムであって、コンピュータを、前記個人情報と同一内容で記述形式が異なるルール形式とを入力する入力手段と、入力情報と変換した前記個人情報を蓄積するログデータ蓄積部の変換ファイルとを参照するログデータ蓄積部参照手段と、前記入力情報と合致する前記変換ファイルを特定するファイル特定手段と、前記変換ファイルと関連付けている前記ユーザ情報を前記ログデータ蓄積部の変換ファイル/利用者情報格納手段から抽出する利用者特定手段として機能させるための漏洩検出装置用プログラム。
【請求項1】
個人情報を格納する記憶装置と、前記個人情報を変換する個人情報データ変換装置と、ネットワークを介して前記個人情報へアクセスしたユーザ情報を特定する漏洩検出装置とを有する個人情報管理システムであって、前記個人情報データ変換装置は、同一内容で記述形式が異なるルール形式を蓄積するルール蓄積部と、前記ルール形式を選択するルール選択部と、前記個人情報を前記ルール形式に変換する個人情報データ変換部と、変換した前記個人情報を蓄積するログデータ蓄積部とを有することを特徴とする個人情報管理システム。
【請求項2】
前記個人情報データ変換部は、ユーザ端末から前記個人情報へのアクセス要求を受信する受信手段と、前記個人情報へのアクセス要求を発行し前記個人情報を取得するファイル取得手段と、取得した前記個人情報を一時的に保持するファイル保持手段と、前記ルール蓄積部と前記ルール選択部とを参照して前記個人情報を選択した前記ルール形式に変換する形式変換手段と、前記ログデータ蓄積部を参照して過去に変換した前記個人情報と重複しないように変換生成する変換データ生成手段と、変換生成した前記個人情報を前記ユーザ端末へ送信する送信手段とを有することを特徴とする請求項1記載の個人情報管理システム。
【請求項3】
前記形式変換手段は、前記ファイル保持手段で保持している前記個人情報データを1件ずつ取り出し、選択した前記ルール形式を適用する手段を有することを特徴とする請求項2記載の個人情報管理システム。
【請求項4】
前記ログデータ蓄積部は、変換後の前記個人情報と前記ユーザ情報とを関連付けて蓄積する変換ファイル/利用者情報格納手段を有することを特徴とする請求項1または2記載の個人情報管理システム。
【請求項5】
前記ユーザ情報は、ユーザ端末識別手段と、ユーザ識別手段と、アクセス要求内容と、アクセス日時とを有することを特徴とする請求項1または4記載の個人情報管理システム。
【請求項6】
前記ルール選択部は、乱数を発生する乱数発生手段と、前記ルール蓄積部から適用する前記ルール形式を選択するルール形式選択手段と、適用する前記ルール形式が存在しないとき選択する無変換ルール選択手段とを有することを特徴とする請求項1または2記載の個人情報管理システム。
【請求項7】
前記記憶装置は、磁気ディスク装置を有し、前記磁気ディスク装置は、個人情報データベースを有することを特徴とする請求項1記載の個人情報管理システム。
【請求項8】
前記漏洩検出装置は、前記個人情報と前記ルール形式とを入力する入力手段と、入力情報と前記ログデータ蓄積部の変換ファイルとを参照するログデータ蓄積部参照手段と、前記入力情報と合致する前記変換ファイルを特定するファイル特定手段と、前記変換ファイルと関連付けている前記ユーザ情報を抽出する利用者特定手段とを有することを特徴とする請求項1または4記載の個人情報管理システム。
【請求項9】
個人情報を記憶装置に格納し、前記個人情報を個人情報データ変換装置により変換し、ネットワークを介して前記個人情報へアクセスしたユーザ情報を漏洩検出装置により特定する個人情報管理方法であって、前記個人情報データ変換装置は、同一内容で記述形式が異なるルール形式をルール蓄積部に蓄積するステップと、前記ルール蓄積部から適用する前記ルール形式をルール選択部により選択するステップと、個人情報データ変換部により前記個人情報を前記ルール形式に変換するステップと、変換した前記個人情報をログデータ蓄積部に蓄積するステップとを有することを特徴とする個人情報管理方法。
【請求項10】
前記個人情報データ変換部は、ユーザ端末から前記個人情報へのアクセス要求を受信手段により受信するステップと、ファイル取得手段により前記個人情報へのアクセス要求を発行し前記個人情報を取得するステップと、取得した前記個人情報をファイル保持手段により一時的に保持するステップと、前記ルール蓄積部と前記ルール選択部とを参照して形式変換手段により前記個人情報を選択した前記ルール形式に変換するステップと、変換データ生成手段により前記ログデータ蓄積部を参照して過去に変換した前記個人情報と重複しないように変換生成するステップと、変換生成した前記個人情報を送信手段により前記ユーザ端末へ送信するステップとを有することを特徴とする請求項9記載の個人情報管理方法。
【請求項11】
前記形式変換手段は、前記ファイル保持手段で保持している前記個人情報データを1件ずつ取り出し、選択した前記ルール形式を適用するステップを有することを特徴とする請求項10記載の個人情報管理方法。
【請求項12】
前記ログデータ蓄積部は、変換ファイル/利用者情報格納手段により変換後の前記個人情報と前記ユーザ情報とを関連付けて蓄積するステップを有することを特徴とする請求項9または10記載の個人情報管理方法。
【請求項13】
個人情報を格納する記憶装置とネットワークを介して前記個人情報へアクセスしたユーザ情報を特定する漏洩検出装置とに接続し前記個人情報を変換する個人情報データ変換装置であって、同一内容で記述形式が異なるルール形式を蓄積するルール蓄積部と、前記ルール蓄積部から適用する前記ルール形式を選択するルール選択部と、前記個人情報を前記ルール形式に変換する個人情報データ変換部と、変換した前記個人情報を蓄積するログデータ蓄積部とを有することを特徴とする個人情報データ変換装置。
【請求項14】
前記個人情報データ変換部は、ユーザ端末から前記個人情報へのアクセス要求を受信する受信手段と、前記個人情報へのアクセス要求を発行し前記個人情報を取得するファイル取得手段と、取得した前記個人情報を一時的に保持するファイル保持手段と、前記ルール蓄積部と前記ルール選択部とを参照して前記個人情報を選択した前記ルール形式に変換する形式変換手段と、前記ログデータ蓄積部を参照して過去に変換した前記個人情報と重複しないように変換生成する変換データ生成手段と、変換生成した前記個人情報を前記ユーザ端末へ送信する送信手段とを有することを特徴とする請求項13記載の個人情報データ変換装置。
【請求項15】
前記形式変換手段は、前記ファイル保持手段で保持している前記個人情報データを1件ずつ取り出し、選択した前記ルール形式を適用する手段を有することを特徴とする請求項14記載の個人情報データ変換装置。
【請求項16】
前記ログデータ蓄積部は、変換後の前記個人情報と前記ユーザ情報とを関連付けて蓄積する変換ファイル/利用者情報格納手段を有することを特徴とする請求項13または14記載の個人情報データ変換装置。
【請求項17】
記憶装置に格納する個人情報を変換する個人情報データ変換装置と接続し、ネットワークを介して前記個人情報へアクセスしたユーザ情報を特定する漏洩検出装置であって、前記個人情報と同一内容で記述形式が異なるルール形式とを入力する入力手段と、入力情報と変換した前記個人情報を蓄積するログデータ蓄積部の変換ファイルとを参照するログデータ蓄積部参照手段と、前記入力情報と合致する前記変換ファイルを特定するファイル特定手段と、前記変換ファイルと関連付けている前記ユーザ情報を前記ログデータ蓄積部の変換ファイル/利用者情報格納手段から抽出する利用者特定手段とを有することを特徴とする漏洩検出装置。
【請求項18】
記憶装置に格納する個人情報を変換する個人情報データ変換装置と接続し、ネットワークを介して前記個人情報へアクセスしたユーザ情報を特定する漏洩検出方法であって、前記個人情報と同一内容で記述形式が異なるルール形式とを入力手段により入力するステップと、入力情報と変換した前記個人情報を蓄積するログデータ蓄積部の変換ファイルとをログデータ蓄積部参照手段により参照するステップと、前記入力情報と合致する前記変換ファイルをファイル特定手段により特定するステップと、前記変換ファイルと関連付けている前記ユーザ情報を前記ログデータ蓄積部の変換ファイル/利用者情報格納手段から利用者特定手段により抽出するステップとを有することを特徴とする漏洩検出方法。
【請求項19】
個人情報を格納する記憶装置と、前記個人情報を変換する個人情報データ変換装置と、ネットワークを介して前記個人情報へアクセスしたユーザ情報を特定する漏洩検出装置とを有する個人情報管理システム用プログラムであって、コンピュータを、同一内容で記述形式が異なるルール形式を蓄積するルール蓄積手段、前記ルール蓄積手段から適用する前記ルール形式を選択するルール選択手段、前記個人情報を前記ルール形式に変換する個人情報データ変換手段、変換した前記個人情報を蓄積するログデータ蓄積手段として機能させるための個人情報管理システム用プログラム。
【請求項20】
前記個人情報データ変換手段は、ユーザ端末から前記個人情報へのアクセス要求を受信する受信手段と、前記個人情報へのアクセス要求を発行し前記個人情報を取得するファイル取得手段と、取得した前記個人情報を一時的に保持するファイル保持手段と、前記ルール蓄積部と前記ルール選択部とを参照して前記個人情報を選択した前記ルール形式に変換する形式変換手段と、前記ログデータ蓄積部を参照して過去に変換した前記個人情報と重複しないように変換生成する変換データ生成手段と、変換生成した前記個人情報を前記ユーザ端末へ送信する送信手段として機能させることを特徴とする請求項19記載の個人情報管理システム用プログラム。
【請求項21】
記憶装置に格納する個人情報を変換する個人情報データ変換装置と接続し、ネットワークを介して前記個人情報へアクセスしたユーザ情報を特定する漏洩検出装置用プログラムであって、コンピュータを、前記個人情報と同一内容で記述形式が異なるルール形式とを入力する入力手段と、入力情報と変換した前記個人情報を蓄積するログデータ蓄積部の変換ファイルとを参照するログデータ蓄積部参照手段と、前記入力情報と合致する前記変換ファイルを特定するファイル特定手段と、前記変換ファイルと関連付けている前記ユーザ情報を前記ログデータ蓄積部の変換ファイル/利用者情報格納手段から抽出する利用者特定手段として機能させるための漏洩検出装置用プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2006−11738(P2006−11738A)
【公開日】平成18年1月12日(2006.1.12)
【国際特許分類】
【出願番号】特願2004−186753(P2004−186753)
【出願日】平成16年6月24日(2004.6.24)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成18年1月12日(2006.1.12)
【国際特許分類】
【出願日】平成16年6月24日(2004.6.24)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]