個人情報管理システム,個人情報管理サーバおよび個人情報管理プログラム
【課題】利用者にとって不必要と思われる内容が不用意に送信されるのを防止し、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止し、個人情報の保護を実現する。
【解決手段】個人情報カプセルにクライアント端末20からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定し、利用者から個人情報カプセルに対するアクセス要求があると、その利用者に対し設定されたフィルタを用いて個人情報カプセル内の個人情報要素のフィルタリング処理を行なって当該利用者の利用可能な個人情報要素を個人情報カプセルから抽出し、抽出された個人情報要素を個人情報ファイルとしてクライアント端末20に送信する。
【解決手段】個人情報カプセルにクライアント端末20からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定し、利用者から個人情報カプセルに対するアクセス要求があると、その利用者に対し設定されたフィルタを用いて個人情報カプセル内の個人情報要素のフィルタリング処理を行なって当該利用者の利用可能な個人情報要素を個人情報カプセルから抽出し、抽出された個人情報要素を個人情報ファイルとしてクライアント端末20に送信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、特定の個人を識別可能な個人情報を、その特定の個人に関する複数の個人情報要素からなるデータセット(個人情報カプセル)として管理し、その個人情報カプセルから各利用者に応じた内容を取り出して各利用者に利用させる、個人情報の提供サービスを実現するための技術に関する。
【背景技術】
【0002】
例えば、下記特許文献1には、携帯電話などのモバイル端末やパーソナルコンピュータへの電話や電子メール送信者の個人情報を、ネットワークを介して管理する技術が開示されている。この特許文献1に開示された技術において、利用者は、発信端末からネットワークを使用し、氏名,住所,電話番号,メールアドレス,写真等の個人情報を個人情報管理サーバに登録しておき、発信端末から着信端末に電話や電子メールを送信する際に個人情報通知許可が設定してある場合、電話や電子メールを受信した着信端末から個人情報取得操作を行なうことにより、サーバで電話番号,メールアドレスを索引として発信者の個人情報が検索され、検索された個人情報がサーバから着信端末に送信されるようになっている。
【特許文献1】特開2005−51475号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
ところで、上記特許文献1に開示された技術のごとく個人情報を利用者に提供するシステムでは、個人情報取得操作を行なった利用者に対し、個人情報管理サーバに登録されている個人情報がそのまま送信・提供されることになる。
個人情報の保護の意識が高まり個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することが望まれている昨今、上述のように個人情報取得操作を行なった全ての利用者に対し一律同じ内容の個人情報を送信・提供するのではなく、利用者に応じた内容の個人情報のみを送信・提供できるようにして、利用者にとって不必要と思われる内容(個人情報要素)までもが不用意に送信されるのを防止することが望まれている。
【0004】
例えば、企業等において、特定の個人を識別可能な各種個人情報要素を含む個人情報を一元的に管理しながら利用者が特定の個人の個人情報を閲覧・利用する際に、利用者がその特定の個人の上司や管理者である場合には詳細な内容(個人情報要素)を閲覧・利用可能にする一方で、利用者が同僚や部下である場合には個人情報の一部のみを閲覧・利用可能にするといったように、利用者に応じた内容の個人情報要素のみを利用者に提供できるようにしたシステムの構築が望まれている。
【0005】
本発明は、このような状況に鑑み創案されたもので、特定の個人についての個人情報を利用する利用者に対し、その利用者に応じた内容の個人情報要素のみを提供できるようにして、利用者にとって不必要と思われる内容が不用意に送信されるのを防止し、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止し、個人情報の保護を実現することを目的としている。
【課題を解決するための手段】
【0006】
上記目的を達成するために、本発明の個人情報管理システム(請求項1)は、特定の個人を識別可能な個人情報を、該特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する管理サーバと、該管理サーバと相互に通信可能に接続され、該個人情報カプセルにアクセスして該個人情報カプセル内の個人情報要素を利用しうるクライアント端末とをそなえ、該管理サーバが、該個人情報カプセルを生成する生成手段と、該生成手段によって生成された個人情報カプセルを保存する保存手段と、該保存手段に保存された該個人情報カプセルに該クライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、利用者から該クライアント端末を通じて該個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、該アクセス要求受信手段によって該アクセス要求を受信した場合、該アクセス要求を送信した利用者に対し該フィルタ設定手段によって設定された該フィルタを用いて該個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を該個人情報カプセルから抽出するフィルタリング手段と、該フィルタリング手段によって該個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして該クライアント端末に送信する個人情報ファイル送信手段とをそなえて構成され、該クライアント端末が、該個人情報カプセルに対するアクセス要求を該管理サーバに送信するアクセス要求送信手段と、該管理サーバから該アクセス要求に応じた該個人情報ファイルを受信する個人情報ファイル受信手段とをそなえて構成されていることを特徴としている。
【0007】
このとき、該管理サーバが、該保存手段に保存された該個人情報カプセルの内容を変更する変更手段と、該変更手段によって該個人情報カプセルの内容が変更された場合、変更を施された該個人情報カプセルから変更前に抽出されて該クライアント端末に送信された該個人情報ファイルを無効化する無効化手段とをさらにそなえて構成されていてもよいし(請求項2)、さらに、該生成手段によって生成された該個人情報カプセル、もしくは、該変更手段によって変更された該個人情報カプセルに対し、デジタル署名を付与するデジタル署名付与手段をそなえて構成されていてもよい(請求項3)。
【0008】
また、該クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、該個人情報探査手段によって探査された個人情報に該デジタル署名付与手段によるデジタル署名が付与されていない場合、該個人情報を該クライアント端末から削除する削除手段とをさらにそなえてもよく(請求項4)、その際、該管理サーバが、該個人情報探査手段および該削除手段としての機能を有してもよいし(請求項5)、該クライアント端末が、該個人情報探査手段および該削除手段としての機能を有してもよい(請求項6)。
【0009】
さらに、該管理サーバが、該個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の該クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、該暗号化ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させる暗号化手段と、該クライアント端末から該暗号化ファイルについての認証情報を受信する認証情報受信手段と、該認証情報受信手段によって受信された該認証情報に基づいて、該クライアント端末が該暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段と、該判定手段によって該クライアント端末が正当な送信先であると判定された場合、該暗号化ファイルを復号化するための復号鍵を該クライアント端末に送信する復号鍵送信手段とをさらにそなえて構成されるとともに、該クライアント端末が、該個人情報ファイル受信手段によって受信された該個人情報ファイルである暗号化ファイルを開く場合に、該暗号化ファイルについての認証情報を該管理サーバに送信する認証情報送信手段と、該暗号化ファイルに応じた復号鍵を該管理サーバから受信する復号鍵受信手段と、該復号鍵受信手段によって受信された該復号鍵を用いて該暗号化ファイルを復号化し元の個人情報ファイルを復元する復号化手段とをさらにそなえて構成されていてもよい(請求項7)。
【0010】
そして、該管理サーバが、該個人情報ファイル送信手段によって送信される個人情報ファイルを、コンテナ機能を有する完成文書ファイルに変換する変換手段をさらにそなえて構成され、該管理サーバの該暗号化手段が、該変換手段によって得られた完成文書ファイルに、該コンテナ機能を用いて該個人情報ファイルのオリジナルファイルを添付した状態で、該完成文書ファイルを暗号化し、暗号化された該完成文書ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させてもよい(請求項8)。
【0011】
その際、該管理サーバが、該暗号化ファイルに対する所定のアクセス権限を、該個人情報ファイルの送信先の利用者に応じて設定するアクセス権限設定手段をさらにそなえて構成され、該クライアント端末において、該利用者は、該復号化手段によって復元された該個人情報ファイルに対するアクセスとして、該アクセス権限設定手段によって設定されたアクセス権限に応じたアクセスを許可されるように構成してもよい(請求項9)。
【0012】
さらに、該クライアント端末が、該復号化手段によって復元された該個人情報ファイルである該完成文書ファイルから取り出された該オリジナルファイルを編集する編集手段をそなえて構成され、該利用者は、該アクセス権限設定手段によって、該完成文書ファイルから該オリジナルファイルを取り出す取出し権限と、取り出された該オリジナルファイルの編集権限とを該所定のアクセス権限として設定されている場合には、該クライアント端末において該編集手段によって該オリジナルファイルを編集することを許可されるように構成してもよく(請求項10)、このとき、該クライアント端末において、該編集手段によって編集された該オリジナルファイルが該完成文書ファイル以外に保存されることが禁止されるように構成してもよい(請求項11)。
【0013】
また、該管理サーバが、該クライアント端末からの該個人情報カプセルに対するアクセス要求に応じて実行された該個人情報ファイルの送信の履歴をログとして記録するログ記録手段をさらにそなえて構成されていてもよい(請求項12)。
【0014】
このような個人情報管理システムにおいて、該管理サーバの該無効化手段は、該復号鍵送信手段によって該クライアント端末に送信されるべき該復号鍵を変更することにより、該個人情報ファイルを無効化してもよいし(請求項13)、該復号鍵送信手段による該復号鍵の送信を禁止することにより、該個人情報ファイルを無効化してもよいし(請求項14)、該ログ記録手段によって記録されたログに基づき該個人情報ファイルの送信先のクライアント端末に該個人情報ファイルの削除指令を送信し、該クライアント端末において該個人情報ファイルを削除させることにより、該個人情報ファイルを無効化してもよい(請求項15)。
【0015】
さらに、該管理サーバが、該無効化手段によって該個人情報ファイルを無効化した場合には、その旨を該クライアント端末に通知することにより、該個人情報カプセルに対するアクセス要求の再実行を該利用者に促す通知手段をそなえて構成されていてもよい(請求項16)。
【0016】
そして、本発明の個人情報管理サーバ(請求項17〜28)は、上述した本発明の個人情報管理システム(請求項1〜4,7〜9,12〜16)における管理サーバに対応するものであり、本発明の個人情報管理プログラム(請求項29〜40)は、本発明の個人情報管理サーバ(請求項17〜28)としてコンピュータを機能させるものである。
【発明の効果】
【0017】
上述した本発明によれば、個人情報管理サーバ(管理サーバ)において、特定の個人を識別可能な個人情報が、標準化されたデータセットである個人情報カプセルとして一元的に管理される。そして、個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタが設定されており、利用者から個人情報カプセルに対するアクセス要求があると、その利用者に対し設定されたフィルタを用いて個人情報カプセル内の個人情報要素のフィルタリング処理が行なわれ当該利用者の利用可能な個人情報要素が個人情報カプセルから抽出され、抽出された個人情報要素が個人情報ファイルとしてクライアント端末に送信される。これにより、特定の個人についての個人情報を利用する利用者に対し、その利用者に応じた内容の個人情報要素のみを提供することができるので、利用者にとって不必要と思われる内容が不用意に送信されることがなくなり、個人情報の不用意な流出・漏洩や個人情報の不正利用などが確実に防止され、個人情報の保護を実現することができる。
【0018】
このとき、個人情報管理サーバにおいて、変更を施された個人情報カプセルから変更前に抽出されてクライアント端末に送信された個人情報ファイルを無効化するように構成することにより、個人情報カプセルの内容が変更されると、変更前の個人情報ファイルが無効化され誰も利用できなくなるため、変更前の個人情報ファイルであっても不用意な流出・漏洩や不正利用が確実に防止され、個人情報を確実に保護することができる。また、利用者は、個人情報ファイルが無効化されたことで個人情報ファイルを利用できなくなったことを認識すると、再度アクセス要求を行なって、変更後の最新の個人情報ファイルを得ることが可能になる。なお、個人情報ファイルを無効化した場合にその旨を管理サーバからクライアント端末に自動的に通知することで、個人情報カプセルに対するアクセス要求の再実行を利用者に促すことができ、その通知を受けた利用者は自分の判断で再度アクセス要求を行なうことにより、変更後の最新の個人情報ファイルを得ることが可能になり、利用者の利便性を向上させることができる。
【0019】
また、管理サーバにおいて新たに生成された個人情報カプセルや変更を施された個人情報カプセルや個人情報ファイルに対しデジタル署名を付与することにより、個人情報カプセルや個人情報ファイルが改竄されていないことを保証することができ、第三者による偽造を防止することができる。その際、クライアント端末におけるデータの中から個人情報を探査し、探査された個人情報にデジタル署名が付与されていない場合には、その個人情報をクライアント端末から削除するように構成することにより、管理サーバでのデジタル署名を付与されていない個人情報は、管理サーバの管理下になく、クライアント端末等のローカルで作成された、正規ではない個人情報と判断され、クライアント端末から自動的に削除される。これにより、本発明のシステム内では、管理サーバによって一元的に管理される個人情報のみが存在して利用されることになり、個人情報を確実に管理して確実に保護することができる。
【0020】
さらに、個人情報ファイルを管理サーバからクライアント端末に送信する際、個人情報ファイルが、送信先のクライアント端末に応じた暗号鍵を用いて暗号化され、暗号化ファイルとして送信され、管理サーバによって認証される正当な利用者(正当な送信先であるクライアント端末の利用者)のみが暗号化ファイルを復号化してアクセスできるように構成することにより、管理サーバからクライアント端末に送信された個人情報ファイルの内容が不用意に流出・漏洩したり不正利用されたりするのを確実に防止でき、個人情報を確実に保護することができる。
【0021】
そして、管理サーバにおいて、個人情報ファイルを、コンテナ機能を有する完成文書ファイルに変換し、そのコンテナ機能を用いて個人情報ファイルのオリジナルファイルを添付した状態で完成文書ファイルを暗号化してから個人情報ファイルとしてクライアント端末に送信することにより、個人情報ファイルが改竄困難な完成文書ファイルとして送信され、個人情報ファイルを改竄されて不正利用されるのを防止しながら、コンテナ機能により添付されたオリジナルファイルを用いて編集等の操作を行なうことも可能になる。ただし、その際、編集等の操作は、オリジナルファイルの取出し権限や編集権限をアクセス権限として付与された利用者のみが行なえるようにするとともに、クライアント端末において編集後のオリジナルファイルは完成文書ファイル以外に保存されるのを禁止することにより、そのオリジナルファイルの不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
【0022】
また、管理サーバにおいて、クライアント端末からの個人情報カプセルに対するアクセス要求に応じて実行された個人情報ファイルの送信の履歴をログとして記録することにより、個人情報カプセルに対するアクセス状況が管理され、必要に応じて個人情報ファイルに対するアクセスを追跡管理可能になるので、個人情報の不正利用をより確実に防止することができる。
【0023】
なお、変更前の個人情報ファイルを無効化する手段は、例えば、クライアント端末に送信されるべき復号鍵(暗号化ファイルを復号化するための鍵)を変更したり、その復号鍵の送信を禁止したり、送信履歴ログに基づき個人情報ファイルの送信先のクライアント端末に個人情報ファイルの削除指令を送信して個人情報ファイルを削除させたりすることにより、極めて容易に実現することができる。
【発明を実施するための最良の形態】
【0024】
以下、図面を参照して本発明の実施の形態を説明する。
〔1〕本実施形態の個人情報管理システムの構成
〔1−1〕個人情報管理システムの全体構成
図1は本発明の一実施形態としての個人情報管理システムの構成を示すブロック図で、この図1に示す個人情報管理システム1は、個人情報管理サーバ10,クライアント端末20およびネットワーク30をそなえて構成されている。
【0025】
個人情報管理サーバ(管理サーバ)10は、後述する個人情報カプセルデータベース11および認証情報/復号鍵保存手段12を付設されて構成され、特定の個人を識別可能な個人情報を、その特定の個人に関する複数の個人情報要素からなるデータセットとして管理するものである。本実施形態のシステム1では、複数の個人情報要素からなるデータセットが標準化され個人情報カプセルとして管理され、例えば企業等の社内における一社員に対して一つの個人情報カプセルが生成・保存される。
【0026】
個人情報カプセルに含まれる個人情報要素としては、例えば、氏名,性別,年齢,生年月日,血液型,自宅情報(自宅の住所,電話番号,FAX番号,メールアドレス等),勤務先情報(勤務先名,所属部署,役職のほか勤務先の住所/電話番号/FAX番号/メールアドレス等),家族構成,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号,通院履歴,病歴,投薬情報,診療履歴のほか、本人に係る画像情報や音声情報などが挙げられる。
【0027】
クライアント端末20は、企業等の社内において各社員(利用者)によって操作されるパーソナルコンピュータ等であり、インターネット,イントラネット,社内LAN(Local Area Network)等のネットワーク30を介して個人情報管理サーバ10と相互に通信可能に接続され、利用者の操作に応じ、個人情報管理サーバ10によって管理される個人情報カプセルにアクセスして個人情報カプセル内の個人情報要素を利用しうるものである。利用者は、クライアント端末20およびネットワーク30を通じ、個人情報管理サーバ10によって提供される個人情報管理サービスの提供を利用することになり、例えば、自分の個人情報カプセルの生成/変更を行なったり、個人情報管理サーバ10における各社員の個人情報カプセルにアクセスして個人情報要素を取得し個人情報要素を編集して名簿や住所録を作成したりすることができる。
【0028】
〔1−2〕個人情報管理サーバの構成
図2は本実施形態における個人情報管理サーバ10の構成を示すブロック図であり、この図2に示すように、本実施形態の個人情報管理サーバ10は、上述したように個人情報カプセルデータベース11および認証情報/復号鍵保存手段12を付設されるとともに、後述する各種手段101〜119をそなえて構成されている。これらの手段101〜119としての機能は、所定のアプリケーションプログラム(個人情報管理プログラム)を、サーバとして機能すべきコンピュータのCPU(Central Processing Unit)に実行させることによって実現される。
【0029】
個人情報カプセルデータベース(保存手段)11は、後述する生成手段101によって生成された個人情報カプセルを保存するとともに、各個人情報カプセルの利用者に対して後述するフィルタ設定手段103によって設定されたフィルタを、当該個人情報カプセルおよびその利用者に対応付けて保存する機能も果たしている。
認証情報/復号鍵保存手段12は、本実施形態の個人情報管理サーバ10によるサービスを利用すべく予め登録された利用者の認証情報(識別番号およびパスワード)を保存するとともに、後述する暗号化手段107によって得られた暗号化ファイルを復号化するための復号鍵を保存する機能も果たしている。
【0030】
個人情報カプセル生成/変更要求受信手段101は、ネットワーク30を介して、クライアント端末20から個人情報カプセル生成要求や個人情報カプセル変更要求を認証情報(識別番号およびパスワード)とともに受信したり、個人情報管理サーバ10の入力装置(キーボードやマウス等)を通じて個人情報カプセル生成要求や個人情報カプセル変更要求を認証情報(識別番号およびパスワード)とともに受信したりするものである。その際、個人情報カプセルの内容として保存されるべき複数種類の個人情報要素、あるいは、既に登録されている個人情報カプセルに対する変更の内容も入力され個人情報カプセル生成/変更要求受信手段101によって受信されるものとする。つまり、個人情報要素や変更内容は、各社員(各個人)がクライアント端末20から入力してもよいし、社員の個人情報を管理する企業等における管理者が個人情報管理サーバ10に対して直接入力してもよい。個人情報要素や変更内容の入力は、利用者がキーボードやマウス等の入力装置を操作して行なってもよいし、用紙に印刷もしくは書き込まれた文字情報(名刺や名簿など)や画像情報をスキャナによって読み取ることによって行なってもよい。
【0031】
また、本実施形態の個人情報カプセル生成/変更要求受信手段101は、利用者によって入力された認証情報(識別番号およびパスワード)に基づいて、その利用者が本個人情報管理サービスの正当な利用者であるか否かの認証判定を行なう認証判定機能も併せもっているものとする。具体的には、利用者によって入力された識別番号およびパスワードが、認証情報/復号鍵保存手段12に予め登録・保存されている識別番号およびパスワードと一致するか否かを判定することにより、その利用者が正当な利用者であるか否かを判定・認証するものである。
【0032】
生成手段102は、受信手段101の認証判定機能により正当な利用者であると判定された場合に、上述のごとく個人毎に入力・受信された複数種類の個人情報要素を含む所定フォーマットのデータセットを個人情報カプセルとして生成するものである。
フィルタ設定手段103は、個人情報カプセルデータベース11に保存された個人情報カプセルにクライアント端末20からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するものである。ここで、個人情報カプセル毎や個人毎に対して異なるフィルタを設定してもよいし、同一のグループに属する利用者には同一のフィルタを設定してもよい。例えば、画像情報等を含む全ての個人情報を公開するレベルや、画像情報以外の個人情報を公開するレベルや、氏名および連絡先のみを公開するレベルといった、利用者のランク分けを行なうようにフィルタを設定することができる。また、例えば、企業等において、利用者が特定の社員の上司や管理者である場合には詳細な内容(個人情報要素)を閲覧・利用可能にする一方で、利用者が同僚や部下である場合には個人情報の一部のみを閲覧・利用可能にするといったように、フィルタを設定することもできる。
【0033】
なお、本実施形態において、フィルタ設定手段103によって設定されたフィルタは、個人情報カプセルデータベース11に保存されるものとする。その際、個人情報カプセル毎や利用者毎に対応付けて、あるいは、利用者のランクや役職に対応付けてフィルタを保存する。また、利用者毎に設定されるフィルタの内容については、個人情報カプセルの生成を要求した利用者本人がクライアント端末20から指示してもよいし、管理者が管理サーバ10で指示してもよいし、予め設定されたフィルタパターンを選択することで指示してもよいし、フィルタ設定対象の利用者のランクや役職等を認識しそのランク/役職等に応じて自動的に設定してもよい。
【0034】
アクセス要求受信手段104は、利用者からクライアント端末20およびネットワーク30を通じて個人情報カプセルに対するアクセス要求を認証情報(識別番号およびパスワード)とともに受信するものである。このアクセス要求受信手段104も、受信手段101と同様、利用者によって入力された認証情報(識別番号およびパスワード)に基づいて、その利用者が本個人情報管理サービスの正当な利用者であるか否かの認証判定を行なう認証判定機能も併せもっているものとする。
【0035】
フィルタリング手段105は、受信手段104の認証判定機能により正当な利用者であると判定された場合に、アクセス要求対象の個人情報カプセルとその利用者について設定されたフィルタとを個人情報カプセルデータベース11から読み出し、読み出されたフィルタを用いて、読み出された個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を個人情報ファイルとして個人情報カプセルから抽出するものである。
【0036】
変換手段106は、フィルタリング手段105によって抽出された個人情報ファイルを、コンテナ機能を有する完成文書ファイル〔ここでは、改竄操作の困難なPDF(Portable Document Format)ファイル〕に変換するものである。
暗号化手段107は、前記コンテナ機能を用いて当該PDFファイルに当該個人情報ファイルのオリジナルファイルを添付・格納してから、当該PDFファイルを、送信先のクライアント端末20に応じた暗号鍵で暗号化して暗号化ファイルを作成するものである。なお、PDFファイルへの変換は例えばPDFドライバによって行なわれ、このPDFドライバを起動することにより、管理対象ファイルがPDF化され、PDFファイルファイルが生成されるようになっている。また、ここで暗号化のために用いられた暗号鍵に対応する復号鍵〔暗号化ファイルを復号化(平文化)するための鍵〕は、認証情報/復号鍵保存手段12において、利用者もしくは暗号化ファイル(個人情報ファイル)に対応付けられて保存されているものとする。
【0037】
アクセス権限設定手段108は、暗号化ファイルに対する所定のアクセス権限を、個人情報ファイルの送信先の利用者に応じて設定するものである。このアクセス権限設定手段108により、暗号化ファイルにアクセスする利用者について、暗号化ファイルへのアクセス権限(例えば、閲覧,注釈,印刷,コピーのほか、コンテナ機能により添付されたオリジナルファイルの取出しや、取り出されたファイルの編集などのアクセスの中から選択されたものを実行する権限)の設定が自動的にもしくは利用者(管理者)の指示によって行なわれるものとする。これにより、クライアント端末20において、利用者は、後述するごとく復号化手段26によって復元された個人情報ファイルに対するアクセスとして、アクセス権限設定手段108によって設定されたアクセス権限に応じたアクセスを許可されるようになっている。
【0038】
個人情報ファイル送信手段109は、暗号化手段107によって得られた暗号化ファイル(原ファイルはフィルタリング手段105によって個人情報カプセルから抽出された個人情報要素を含む個人情報ファイル)をネットワーク30経由でクライアント端末20に送信するものである。
ログ記録手段110は、クライアント端末20からの個人情報カプセルに対するアクセス要求に応じて実行された個人情報ファイルの送信の履歴(送信日時,送信先情報,送信されたファイルを特定するための情報など)をログとして記録するものである。
【0039】
認証情報受信手段111は、クライアント端末20において管理サーバ10から送信された暗号化ファイルを利用する際にクライアント端末20から送信されてくる暗号化ファイルについての認証情報(識別番号およびパスワード)を受信するものである。このとき、認証情報受信手段111は、認証情報とともに、暗号化ファイルを復号化するための復号鍵の送信要求もクライアント端末20から受信することになる。暗号化ファイルについての認証情報(識別番号およびパスワード)は、暗号化ファイル毎に設定されるものであるため、上述した受信手段101,104の認証判定機能による利用者認証で必要になる認証情報とは異なるものであり、暗号化ファイルについての認証情報も、認証情報/復号鍵保存手段12に保存されているものとする。
【0040】
判定手段112は、上述した受信手段101や104の認証判定機能と同様の機能を果たすもので、認証情報受信手段111によって受信された認証情報に基づいて、クライアント端末20が暗号化ファイルの正当な送信先であるか否かの判定(クライアント端末20を通じて暗号化ファイルにアクセスする利用者が本個人情報管理サービスの正当な利用者であるか否かの認証判定)を行なうものである。
【0041】
復号鍵送信手段113は、判定手段112によってクライアント端末20が正当な送信先であると判定された場合、アクセス要求対象の暗号化ファイルを復号化するための復号鍵を、認証情報/復号鍵保存手段12から読み出し、ネットワーク30経由でクライアント端末20に送信するものである。
変更手段114は、受信手段101の認証判定機能により正当な利用者であると判定された場合に、上述のごとく入力・受信された個人情報カプセルに対する変更の内容に従って、個人情報カプセルデータベース11に保存された、変更対象の個人情報カプセルの内容を変更するものである。
【0042】
無効化手段115は、変更手段114によって個人情報カプセルの内容が変更された場合、変更を施された個人情報カプセルから変更前に抽出されてクライアント端末20に送信された個人情報ファイルを無効化するものである。この無効化手段115による無効化手法としては、その個人情報ファイルに対応する暗号化ファイルを復号化する復号鍵(認証情報/復号鍵保存手段12に保存されているもの)を変更する手法や、その個人情報ファイルに対応する暗号化ファイルに対するアクセス要求(認証情報)を受信し利用者認証がなされても復号鍵送信手段113による復号鍵の送信を禁止する手法や、ログ記録手段110によって記録されたログに基づきその個人情報ファイルに対応する暗号化ファイルの送信先のクライアント端末20にそのファイルの削除指令を送信し、クライアント端末20において個人情報ファイルを削除させる手法などが用いられる。
【0043】
通知手段116は、無効化手段115によって個人情報ファイル(暗号化ファイル)を無効化した場合に、その旨を、ネットワーク30経由で電子メール等によりクライアント端末20に通知することにより、無効化された個人情報ファイル(暗号化ファイル)に対応する個人情報カプセルに対するアクセス要求の再実行を利用者に促すものである。
【0044】
デジタル署名付与手段117は、生成手段102によって生成された個人情報カプセルや、変更手段114によって変更された個人情報カプセルや、フィルタリング手段105によって得られた個人情報ファイルに対しデジタル署名を付与するものである。ここで、デジタル署名は、デジタル文書の正当性を保証するために付けられる暗号化された署名情報で、公開鍵暗号方式の応用によって、デジタル文書(ここでは個人情報カプセルや個人情報ファイル)の作成者を証明し、且つその文書が改竄されていないことを保証するものである。署名者(管理サーバ10側の管理者)は、自身の秘密鍵を用いて暗号化した署名をデジタル文書に付加して送る。受取人(クライアント端末20側の利用者)は、署名者の公開鍵を用いて署名を復号し、正しい内容かどうか確認する。これにより、第三者による偽造防止のほか、署名者がそのデジタル文書を作成したことの証明にも用いることができる。
【0045】
個人情報探査手段118は、クライアント端末20におけるデータの中から個人情報や個人情報ファイルを探査するもので、その探査はクライアント端末20のデータを管理サーバ10側に吸い上げて行なってもよいし、個人情報探査手段118により、各クライアント端末20に個人情報探査ツールを実現するための個人情報探査プログラムをインストールし、各クライアント端末20でその個人情報探査プログラムを実行させることで個人情報や個人情報ファイルの自己探査を実行させ、その自己探査の結果を各クライアント端末20から受信するようにしてもよい。
【0046】
ここで、個人情報ファイルの探査手法としては、後述する2つの探査手法のうちのいずれか一方を用いることができる。本実施形態において、個人情報ファイルの条件は、個人情報要素を含むレコードを所定数以上保有しているファイルであり、個人情報要素は、単体もしくは組合せによって特定の個人を識別することのできる文字列、例えば氏名,生年月日,連絡先(住所,居所,電話番号,メールアドレス)などである。また、個人情報要素としては、これら以外に、役職名,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号なども挙げられる。
【0047】
削除手段119は、個人情報探査手段118によって探査された個人情報や個人情報ファイルにデジタル署名付与手段117によるデジタル署名が付与されていない場合、個人情報や個人情報ファイルをクライアント端末20から削除するものであり、この削除手段119も、管理サーバ10側にそなえ管理サーバ10からネットワーク30経由で削除指示をクライアント端末20へ送信するようにしてもよいし、この削除手段119としての機能を実現するためのプログラムを上記個人情報探査プログラムとともに各クライアント端末20にインストールしクライアント端末20側で削除手段119としての機能を実現させてもよい。
【0048】
この削除手段119による個人情報や個人情報ファイルの削除を実行する前に、探査によって見つかった個人情報や個人情報ファイルを、管理サーバ10の管理対象である個人情報カプセルとして登録するか否かを問い合わせる機能をそなえてもよい。登録する場合には、生成手段102により、探査された個人情報や個人情報ファイルに基づき個人情報カプセルを生成し個人情報カプセルデータベース11に登録・保存する。一方、登録しない場合には、探査された個人情報や個人情報ファイルを削除手段119により削除してもよいし、一定期限を設定し、その一定期限内に登録しない場合に、削除手段119により、探査された個人情報や個人情報ファイルを自動的に削除してもよい。なお、上述のような問い合せ機能を用いることなく、探査された個人情報や個人情報ファイルを削除手段119により直ちに強制削除することもできる。
【0049】
さらに、デジタル署名が付与されているが暗号化されていない個人情報や個人情報ファイルが探査された場合には、その個人情報や個人情報ファイルを暗号化ファイルに変換するか否かを問い合わせる機能をそなえてもよい。暗号化ファイルに変換する場合、上述した変換手段106や暗号化手段107により、探査された個人情報や個人情報ファイルを暗号化ファイルに変換してもよい。一方、暗号化ファイルに変換しない場合、探査された個人情報や個人情報ファイルを削除手段119により削除してもよいし、一定期限を設定し、その一定期限内に暗号化ファイルに変換しない場合に、削除手段119により、探査された個人情報や個人情報ファイルを自動的に削除してもよい。なお、上述のような問い合せ機能を用いることなく、探査された個人情報や個人情報ファイルを変換手段106や暗号化手段107により直ちに暗号化ファイルに強制変換することもできる。
【0050】
なお、個人情報カプセル生成/変更要求受信手段101,アクセス要求受信手段104,個人情報ファイル送信手段109,認証情報受信手段111,復号鍵送信手段113,通知手段116などとしての機能としては、管理サーバ10が本来有している送受信機能を用いて実現される。
【0051】
また、認証情報/復号鍵保存手段12,変換手段106,暗号化手段107,アクセス権限設定手段108,個人情報ファイル送信手段109,ログ記録手段110,認証情報受信手段111,判定手段112,復号鍵送信手段113としての機能は、本実施形態では個人情報管理サーバ10にもたせているが、個人情報管理サーバ10とは別体で、ネットワーク30を介してもしくは直接的に個人情報管理サーバ10と通信可能に接続されたファイルアクセス管理サーバによって実現してもよい。
【0052】
同様に、個人情報探査手段118および削除手段119としての機能も、本実施形態では個人情報管理サーバ10にもたせているが、個人情報管理サーバ10とは別体で、ネットワーク30を介してもしくは直接的に個人情報管理サーバ10と通信可能に接続された他のサーバによって実現してもよく、その際、さらに、後述するPマークによる個人情報ファイルの管理を該他のサーバによって実行するようにしてもよい。
【0053】
〔1−3〕クライアント端末の構成
図3は本実施形態におけるクライアント端末20の構成を示すブロック図であり、この図3に示すように、本実施形態のクライアント端末20は、後述する各種手段21〜27をそなえて構成されている。これらの手段21〜27としての機能は、所定のアプリケーションプログラムを、クライアント端末として機能すべきコンピュータのCPUに実行させることによって実現される。
【0054】
アクセス要求送信手段21は、利用者がクライアント端末20において管理サーバ10で管理されている個人情報カプセルの内容(個人情報要素)を利用して例えば名簿や住所録を作成する際に、個人情報カプセルに対するアクセス要求を認証情報(識別番号およびパスワード)とともにネットワーク30経由で管理サーバ10に送信するものである。
個人情報ファイル受信手段22は、管理サーバ10から、アクセス要求送信手段21によって送信されたアクセス要求に応じた個人情報ファイルをネットワーク30経由で受信するものである。
【0055】
個人情報ファイル保存手段23は、個人情報ファイル受信手段22により管理サーバ10から受信された個人情報ファイルを保存するものである。
認証情報送信手段24は、個人情報ファイル保存手段23に保存されている個人情報ファイルである暗号化ファイルを開く場合に、暗号化ファイルについての認証情報(識別番号およびパスワード)をネットワーク30経由で管理サーバ10に送信するものである。
【0056】
復号鍵受信手段25は、その暗号化ファイルに応じた復号鍵を管理サーバ10からネットワーク30経由で受信するものである。
復号化手段26は、復号鍵受信手段25によって受信された復号鍵を用いて暗号化ファイルを復号化し元の個人情報ファイルを復元するものである。
【0057】
編集手段27は、復号化手段26によって復元された個人情報ファイルであるPDFファイルから取り出されたオリジナルファイルを編集するものであり、クライアント端末20を利用する利用者は、管理サーバ10のアクセス権限設定手段108によって、PDFファイルからオリジナルファイルを取り出す取出し権限と、取り出されたオリジナルファイルの編集権限とを所定のアクセス権限として設定されている場合、編集手段27によってオリジナルファイルを編集することを許可される。そして、クライアント端末20において、編集手段27によって編集されたオリジナルファイルは、そのオリジナルファイルを取り出したPDFファイル以外に保存されることが禁止されるように構成されている。つまり、編集されたオリジナルファイルは、そのオリジナルファイルを取り出したPDFファイルにしか保存することができないようになっている。
【0058】
〔1−4〕個人情報ファイルの探査手法
ここで、本実施形態の個人情報探査手段118により個人情報ファイルを探査する際に用いられる、2つの探査手法について説明する。
(A)第1の探査手法
第1の探査手法では、以下のように、住所,電話番号,メールアドレス,氏名の出現頻度を数値化し、個人情報ファイルの特定を行なっている。
【0059】
まず、クライアント端末20における、ある一つのファイルに含まれる文字もしくは文字列と個人情報において特徴的に出現する文字/文字列として予め設定された特徴文字/特徴文字列とを照合し、特徴文字/特徴文字列が当該ファイルにおいて出現する回数を計数する。ただし、文字列による照合・認識を行なうとCPUにかかる負荷が極めて大きくなるので、1文字ずつの照合・認識を行なうものとする。従って、前記条件としては、特徴文字が1文字ずつ設定されている。なお、CPUの演算処理能力が十分に高い場合には文字列による照合・認識を行なってもよい。
【0060】
そして、当該ファイル(テキストファイル)から抽出された文字を、1文字ずつ、前記条件として設定された特徴文字と照合し、これらが一致する場合には、その特徴文字が出現したものと判断して、その特徴文字のカウント値を“1”カウントアップする。このようにして当該ファイルに含まれる全ての文字における、特徴文字の出現回数を計数してから、その計数結果に基づいて個人情報ファイルの特定(当該ファイルが個人情報ファイルであるか否かの判定)を行なっている。
【0061】
ここで、前記条件として予め設定される特徴文字について具体的に説明する。一般的な個人情報では、通常、住所が必須となる。そこで、日本国内の住所において特徴的に出現する文字を特徴文字として前記条件に設定登録しておく。例えば、住所情報には“都”,“道”,“府”,“県”,“市”,“区”,“町”,“村”,“郡”などが含まれている可能性が高く、“東京都”の場合、“東”,“京”の文字は通常文書中にも出現するが住所情報の場合、“都”と組合わせて出現することになるので、“都”の出現回数を住所数として見なすことが可能になる。同様に“府”や“県”や“道”も住所の見なし情報となるほか、“@”についてはメールアドレスの見なし情報として用いることが可能になる。
【0062】
具体的には、前記条件として以下のような特徴文字およびポイントが設定されている。
(1)住所の見なし情報(特徴文字)として“東”,“京”,“都”,“大”,“阪”,“府”,“北”,“海”,“道”が設定され、これらの特徴文字の計数値の合計が住所ポイント1として計数・算出される。
(2)住所の見なし情報(特徴文字)として、住所ポイント1以外の府県名、つまり“山”,“形”,“神”,“奈”,“川”,“埼”,“玉”,…,“福”,“岡”,“県”などが設定され、これらの特徴文字の計数値の合計が住所ポイント2として計数・算出される。
【0063】
(3)住所の見なし情報(特徴文字)として“市”,“区”,“町”,“村”,“郡”が設定され、これらの特徴文字の計数値の合計が住所ポイント3として算出される。
(4)メールアドレスの見なし情報(特徴文字)として“@”が設定され、この“@”の計数値がメールアドレスポイントとして用いられる。
【0064】
(5)電話番号の見なし情報(特徴文字列)として、“N”(数字,ハイフンからなる所定桁数の数字列)が設定され、その計数値が電話番号ポイントとして用いられる。より具体的には、電話番号は“090-XXXX-XXXX”,“03-XXXX-XXXX”,“048-XXX-XXXX”というように、携帯電話局番や市外局番に対応する特定の数字列“090”,“03”,“048”の後に8桁もしくは7桁の数字列が連続する構成となっており、このような数字列が出現した場合に電話番号ポイントを“1”カウントアップする。このとき、数字列中におけるハイフンの有無に関係なくカウントアップを行なう。
【0065】
(6)氏名の見なし情報(特徴文字)として、例えば日本国内における苗字のベスト50に含まれる文字“佐”,“藤”,“田”,“中”,“高”,“橋”,…,“山”,“田”が設定され、これらの特徴文字の計数値の合計が氏名ポイントとして算出される。
(7)合計ポイントとして、上述した項目(1)〜(6)の各ポイントの合計値が計数・算出される。
【0066】
なお、上述のようにして得られた計数結果(出現回数)に基づいて各都道府県名の出現率を算出する際に、重複文字が存在する場合の取扱について説明する。例えば“東京都”と“京都府”とがテキストファイルに混在する場合、“都”が重複するため、“都”の計数値には“東京都”の計数値に“京都府”のカウントが混ざることになる。“京都府”の“府”は“大阪府”の“府”と重複するので、まず“大阪”の出現率を算定し、その出現率を“府”の出現率から減算すれば、“京都府”の出現率を予測することが可能になる。このようにして予測された“京都府”の出現率を“都”の出現率から減算することにより、“東京都”の出現率とすることができる。また、県名と市名とが重複するような場合(例えば大阪府大阪市)、“大阪”の出現率が2倍になるが、郵政省管理で公開されている日本の住所録に基づいて都道府県名別の重複率を算定し、算定された重複率に基づいて出現率の調整を行なうことにより、実際の出現率を推定することが可能である。
【0067】
さらに、都道府県表示が無い場合の取扱について説明する。ファイルにおいて、都道府県名についてタイトルヘッダを用いる場合や、政令指定都市の住所表示や郵便番号を使用した住所表示では、“都”,“道”,“府”,“県”の出現率が極端に低下することになる。その代わり県名等の名称出現率が高くなるので、名称出現率から、ファイルが住所情報を含む個人情報ファイルであることの特定を行なうことが可能になる。
【0068】
なお、前記条件では、住所,メールアドレス,電話番号,氏名において特徴的に出現する文字/文字列を特徴文字/特徴文字列として設定しているが、本発明は、これらに限定されるものでなく、生年月日,役職名,個人識別情報(例えば、住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号など)において特徴的に出現する文字/文字列を特徴文字/特徴文字列として設定してもよい。
【0069】
そして、上述のようにして得られた計数結果に基づいて、当該ファイルが個人情報ファイルであるか否かを判定するための判定値が算出される。その判定値としては、(a)検疫合計ポイント(上記項目(7)参照)の値をそのまま用いてもよいし、(b)特徴文字/特徴文字列の出現率が高いほど大きくなる判定ポイントを前記判定値として算出してもよいし、(c)特徴文字/特徴文字列毎に得られた計数結果に基づいて対象ファイルにおける特徴文字/特徴文字列の出現パターンを求め、求められた出現パターンと特徴文字/特徴文字列の出現パターンとして予め設定された特徴出現パターンとの一致の度合いを示す一致度を前記判定値として算出してもよいし、(d)これら3種類の判定値のうちの2以上を組み合わせ、2以上の判定値を所定関数に代入して算出された値を前記判定値として用いてもよい。
【0070】
このとき、当該ファイルに複数種類の情報(例えば住所,メールアドレス,電話番号,氏名の4種類)に係る特徴文字/特徴文字列が存在している場合、対象ファイル中に1種類の情報に係る特徴文字/特徴文字列が存在している場合よりも、前記判定値が大きくなるように、計数結果に対する重み付けを行なう。つまり、データファイル中に、個人を特定しうる複数種類の情報が含まれている場合には、そのデータファイルが個人情報ファイルである可能性は、個人を特定しうる情報が1種類だけ含まれている場合よりも高いと考えられるので、そのデータファイルについての判定値(重要度)が大きくなるように重み付けを行なう。また、その情報の種類数が多いほど、判定値が大きくなるように重み付けを行なうようにしてもよい。これにより、より確実に個人情報ファイルを特定することが可能になる。
【0071】
上述のような判定値が算出されると、その判定値に基づいて、当該ファイルが個人情報ファイルであるか否かを判定する。例えば、前記判定値が所定閾値を超えた場合に対象ファイルが個人情報ファイルであると判定する。
このような判定を行なう際に、本実施形態では、さらに、判定値の大きさに応じたPマーク(プライベートレベルマーク)を当該ファイルに付与してPマークテーブル(図示省略)に設定・登録し、ランク付けを行なってもよい。このPマークは、前述した通り、対象ファイルが個人情報ファイルである可能性の高さを示すレベルであり、判定値が大きいほどPマークを高いランクに設定する。
【0072】
例えば、前記判定値が10以上となった場合、当該ファイルが個人情報ファイルであると判定、つまり当該ファイルが管理対象ファイルであると判定する。また、前記判定値が10以上100未満である場合、Pマークとして“P1”を付与し、前記判定値が100以上1000未満である場合、Pマークとして“P2”を付与し、前記判定値が1000以上10000未満である場合、Pマークとして“P3”を付与し、前記判定値が10000以上である場合、Pマークとして“P4”を付与する。
【0073】
上述のようにファイルに付与されたPマークのレベル(ランク)に応じて、管理サーバ10は、以下のようにファイルを管理対象ファイルとして管理してもよい。
例えば、Pマークのランクが“P1”である場合、警告情報によるリコメンドは行なわないが“P1”の管理対象ファイルが存在することをログとして記録する。Pマークのランクが“P2”である場合、その管理対象ファイルの利用者に対して注意を促すべくポップアップ表示による注意情報を通知する。Pマークのランクが“P3”である場合、その管理対象ファイルの返却を指示する。Pマークのランクが“P4”である場合、その管理対象ファイルを利用者端末10Aから強制的に捕獲・回収する。なお、Pマークのランクが“P4”でなくても、“P3”のデータファイルが所定日数放置された場合には、そのデータファイルをクライアント端末20から強制的に捕獲・回収してもよい。
【0074】
(B)第2の探査手法
第2の探査手法では、以下のようにして、個人情報ファイルの特定を行なっている。
まず、クライアント端末20におけるファイルのテキストデータ〔例えばCSV(Comma Separated Value)形式のデータ〕を抽出し、抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出して、判定対象/照合対象としてバッファ(図示略)に順次書き出す。ここで、区切り文字は、例えば半角スペース,半角カンマ(半角カンマ+半角スペースも半角カンマと見なす),タブ文字(半角),CR(Carrige Return),LF(Line Feed)である。切り出される文字区間からは、英数文字,カタカナ,ひらがな,漢字以外の記号、例えばハイフン,アンダバー,括弧記号などの記号文字が除去される。
【0075】
上述のように切り出され記号文字を除去された文字区間における文字列(以下、単に文字列という)が、氏名以外の個人情報要素(具体的に本実施形態では電話番号,電子メールアドレス,住所のうちのいずれか一つ)に該当するか否かを判定する。ここでは、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で、上記文字列の判定処理を行なう。
【0076】
最初に、上記文字列が電話番号に該当するか否かを判定する。具体的には、上記文字列が前記条件として設定されている電話番号判定条件を満たす場合、上記文字列が電話番号に該当するものと判定する。本実施形態において、電話番号判定条件は、上記文字列中に9〜15桁の数字が含まれていることとする。
【0077】
ついで、上記文字列が電話番号に該当しないと判定された場合に、上記文字列が電子メールアドレスに該当するか否かを判定する。具体的には、上記文字列が前記条件として設定されている電子メールアドレス判定条件を満たす場合、上記文字列が電子メールアドレスに該当するものと判定する。本実施形態において、電子メールアドレス判定条件は、上記文字列中に「一文字以上のASCII(American Standard Code for Information Interchange)」+「@(アットマーク)」+「一文字以上のASCII」+「.(ドット)」+「一文字以上のASCII」となる文字列が含まれていることとする。この場合、最短の電子メールアドレスは例えば「a@a.a」となる。
【0078】
さらに、上記文字列が電子メールアドレスに該当しないと判定された場合に、上記文字列が住所(居所)に該当するか否かを判定するもので、上記文字列が前記条件として設定されている住所判定条件を満たす場合、上記文字列が住所に該当するものと判定する。本実施形態において、住所判定条件は、上記文字列中に「一文字以上の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字」となる文字列が含まれていることとする。このとき、CPUの演算処理能力が十分に高い場合には、上記文字列に加え、郵便番号に対応する7桁の数字が含まれていることを住所判定条件に加えてもよい。また、住所判定条件は、上述した条件に代え、上記文字列中に、郵便番号に対応する7桁ちょうどの数字列が含まれていること、あるいは、「3桁の数字列」+「−(ハイフン)」+「4桁の数字列」となる数字列が含まれていることとしてもよい。
【0079】
そして、上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合に、その文字列が、前記条件として設定されている文字判定条件を満たすか否か、具体的には、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であるか否かを判定するものである。本実施形態において、文字判定条件は、上述したように、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であることであるが、ここで、上記所定範囲は、氏名(苗字だけの場合や名前だけの場合を含む)の文字数として一般的(適切)な数の範囲、例えば1以上6以下に設定される。
【0080】
この後、電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された文字区間であって、さらに上記所定範囲内であり且つ全ての文字が漢字であると判定された文字区間について、当該文字区間に含まれる文字/文字列と氏名において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列とを照合することにより、当該文字区間が不適切文字/不適切文字列を含むか否かを判定する。
【0081】
ここで、不適切文字/不適切文字列は、前記条件として予め設定されており、例えば、東京,大阪,名古屋,横浜,九州,北海道,京都,首都,個人,学園,店,株,県,大学,学院,東証,研究,管理,総務,経理,営業,統括,製薬,販売,学校,教育,専門,建築,機械,法人,工場,製,技術,商,図書,不明,次長,公開,出版,広告,放送,対象,卸売,小売,企画,人事,情報,部門,社長,取締,部長,課長,係長,役員,本社,支社,事業,業務,教務,精密,石油,運輸,経営,戦略,資材,技師,電気,生産,税務,広報,運送,主任,電算,財務,事務,開発,政策,制作,経済,産業,金融,銀行,調査,英語,品質,保証,設備,担当,主席,主事,監査,支援,設計,保険,金庫,事業,代表,交通,第一,第二,第三,第四,第五,第六,第七,第八,第九,特販,施設,氏名,郵便,名前,名称,市役,所属,特色,幼稚,基督,協会,教会,組合,教団,商工,全国,支部,連絡,議会,生活,消費,推進,市役所,区役所,総合,修正,機能,概要,構成,企業,組織,関連,削除,文書,期限,有効といった、一般的な氏名において出現し得ない文字/文字列、つまり、氏名としては不適切な文字/文字列である。
【0082】
そして、上述した電話番号判定結果,電子メールアドレス判定結果および住所判定結果と不適切文字/不適切文字列の照合判定結果とに基づいて、対象ファイルが個人情報ファイルであるか否かを判定する。より具体的に説明すると、電話番号,電子メールアドレス,住所のそれぞれに該当すると見なされた文字区間の数を計数するとともに、不適切文字/不適切文字列の照合判定結果を受け、不適切文字/不適切文字列を含まないと判定された文字区間を氏名に該当するものと見なし、その数を計数する。
【0083】
電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数結果(4つの計数値;電話番号数,電子メールアドレス数,住所数,氏名数)に基づいて、これらの計数値が大きくなるほど大きくなる判定値を算出する。例えば、4つの計数値の総和を上記判定値として算出してもよいし、電話番号,電子メールアドレス,住所,氏名のそれぞれについて重み係数を予め設定しておき、各個人情報要素についての重み係数と計数値との乗算結果の総和を上記判定値として算出してもよく、上記判定値の算出手法は種々考えられる。
【0084】
上述のような判定値が算出されると、その判定値に基づいて、対象ファイルが個人情報ファイルであるか否かを判定する。具体的には、前記判定値が所定閾値を超えた場合に対象ファイルが個人情報ファイルであると判定する。このとき、第1の探査手段においても説明したようにPマークを付与し、管理サーバ10により、そのPマークに応じた管理を行なうようにしてもよい。
【0085】
なお、上述した第2の探査手法では、氏名以外の個人情報要素が、電話番号,電子メールアドレス,住所の3要素である場合について説明したが、本発明は、これに限定されるものでなく、氏名以外の個人情報要素としては、例えば、生年月日,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号などを用いてもよい。
上述のような第1の探査手法もしくは第2の探査手法を用いて、個人情報探査手段118によって個人情報ファイルが探査され、その探査結果に応じて、上述したように、削除手段119による削除や各種問い合せが実行されることになる。
【0086】
〔2〕本実施形態の個人情報管理システムの動作
次に、図4〜図6を参照しながら、上述のごとく構成された本実施形態の個人情報管理システム1の動作について説明する。なお、図4および図5は本実施形態における個人情報管理サーバ10の動作を説明するためのフローチャート、図6は本実施形態におけるクライアント端末20の動作を説明するためのフローチャートである。
【0087】
〔2−1〕個人情報管理サーバの動作
まず、図4に示すフローチャート(ステップS10〜S14,S20〜S26,S30〜S43,S50)に従って、本実施形態の個人情報管理サーバ10の動作について説明する。
【0088】
個人情報カプセル生成/変更要求受信手段101により、個人情報カプセル生成要求が、認証情報(識別番号およびパスワード)や個人情報カプセルの内容として保存されるべき複数種類の個人情報要素とともに受信されると(ステップS10のYESルート)、受信手段101の認証判定機能により、認証情報(識別番号およびパスワード)に基づいて、個人情報カプセル生成要求を行なった利用者が本個人情報管理サービスの正当な利用者であるか否かの認証判定が実行される(ステップS11)。つまり、受信手段101は、識別番号によって認証情報/復号鍵保存手段12を検索し、その識別番号に対応する登録パスワードを認証情報/復号鍵保存手段12から読み出し、認証情報に含まれるパスワードと、認証情報/復号鍵保存手段12から読み出された登録パスワードとを比較し、これらのパスワードが一致するか否かの判定を行なう。
【0089】
これらのパスワードが一致し、個人情報カプセル生成要求を行なった利用者が正当な利用者であることが認証されると(ステップS11のYESルート)、受信手段101によって受信された複数週類の個人情報要素に基づいて、生成手段102により、個人情報カプセル(所定フォーマットのデータセット)が生成される(ステップS12)。その際、生成された個人情報カプセルに対し、デジタル署名付与手段117によりデジタル署名が付与される。
【0090】
また、個人情報カプセルが生成手段102によって生成されると、フィルタ設定手段103により、その個人情報カプセルをアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタが設定される(ステップS13)。上述のごとく生成・設定された個人情報カプセルおよびフィルタは、例えば個人情報カプセルや利用者に対応付けられて個人情報カプセルデータベース11に保存され(ステップS14)、ステップS10の処理に戻る。
【0091】
個人情報カプセル生成/変更要求受信手段101により、個人情報カプセル変更要求が、認証情報(識別番号およびパスワード)や既に登録されている個人情報カプセルに対する変更の内容とともに受信されると(ステップS10のNOルートからステップS20のYESルート)、受信手段101の認証判定機能により、上記ステップS11と同様の認証判定が行なわれる(ステップS21)。
【0092】
パスワードが一致し、個人情報カプセル変更要求を行なった利用者が正当な利用者であることが認証されると(ステップS21のYESルート)、変更手段114により、変更対象の個人情報カプセルが個人情報カプセルデータベース11から取り出され(ステップS22)、受信手段101によって受信された変更内容(住所や電話番号などの変更等)に従って変更対象の個人情報カプセルの内容が変更される(ステップS23)。内容を変更された個人情報カプセルは、デジタル署名付与手段117によりデジタル署名を新たに付与された上で、個人情報カプセルデータベース11に保存される(ステップS24)。
【0093】
上述のごとく個人情報カプセルの内容が変更されると、無効化手段115により、変更を施された個人情報カプセルから変更前に抽出されてクライアント端末20に送信された個人情報ファイルが無効化される(ステップS25)。その無効化は、上述したように、その個人情報ファイルに対応する暗号化ファイルを復号化する復号鍵(認証情報/復号鍵保存手段12に保存されているもの)を変更したり、その個人情報ファイルに対応する暗号化ファイルに対するアクセス要求(認証情報)を受信し利用者認証がなされても復号鍵送信手段113による復号鍵の送信を禁止したり、ログ記録手段110によって記録されたログに基づきその個人情報ファイルに対応する暗号化ファイルの送信先のクライアント端末20にそのファイルの削除指令を送信し、クライアント端末20において個人情報ファイルを削除させたりすることで行なわれるが、いずれの場合もクライアント端末20側で暗号化ファイルの内容を参照不可能な状態にしている。
【0094】
そして、通知手段116により、その個人情報ファイル(暗号化ファイル)が無効化されたことが、ネットワーク30経由で電子メール等によりクライアント端末20に通知され(ステップS26)、無効化された個人情報ファイル(暗号化ファイル)に対応する個人情報カプセルに対するアクセス要求の再実行を利用者に促してから、ステップS10の処理に戻る。
【0095】
アクセス要求受信手段104により、個人情報カプセルに対するアクセス要求が認証情報(識別番号およびパスワード)とともに受信されると(ステップS10のNOルート,ステップS20のNOルートからステップS30のYESルート)、アクセス要求受信手段104の認証判定機能により、上記ステップS11と同様の認証判定が行なわれる(ステップS31)。
【0096】
パスワードが一致し、アクセス要求を行なった利用者が正当な利用者であることが認証されると(ステップS31のYESルート)、フィルタリング手段105により、アクセス要求対象の個人情報カプセルとその利用者について設定されたフィルタとが個人情報カプセルデータベース11から取り出され(ステップS32)、そのフィルタを用いて、アクセス要求対象の個人情報カプセル内の個人情報要素のフィルタリング処理が実行され、当該利用者の利用可能な個人情報要素が個人情報ファイルとして個人情報カプセルから抽出される(ステップS33)。なお、個人情報カプセルから抽出された個人情報ファイルには、デジタル署名付与手段117により、デジタル署名が付与される。
【0097】
デジタル署名を付与された個人情報ファイルは、変換手段106により、コンテナ機能を有するPDFファイルに変換され(ステップS34)、そのコンテナ機能を用いて当該PDFファイルに当該個人情報ファイルのオリジナルファイルが添付されてから(ステップS35)、そのPDFファイルは、送信先のクライアント端末20に応じた暗号鍵で暗号化され、暗号化ファイルが作成される(ステップS36)。このとき、当該暗号化ファイルにアクセスする利用者について、例えば、当該暗号化ファイルに対するアクセス権限(例えば閲覧権限や、オリジナルファイルの取出し権限/編集権限)が、アクセス権限設定手段108により設定される(ステップS37)。
【0098】
上述のごとく作成された暗号化ファイルは、個人情報ファイル送信手段109によりネットワーク30経由でクライアント端末20に送信される(ステップS38)。その際、ログ記録手段110により、その暗号化ファイルの送信の履歴(送信日時,送信先情報,送信されたファイルを特定するための情報など)がログとして記録されてから(ステップS39)、ステップS10の処理に戻る。
【0099】
認証情報受信手段111により、復号鍵の送信要求が暗号化ファイルについての認証情報(識別番号およびパスワード)とともに受信すると(ステップS10のNOルート,ステップS20のNOルート,ステップS30のNOルートからステップS40のYESルート)、判定手段112により、暗号化ファイルについての認証情報(識別番号およびパスワード)に基づいて、復号鍵の送信要求を行なった利用者(暗号化ファイルに対するアクセスを行なう利用者)が正当な登録者(正当な送信先)であるか否かの認証判定が実行される(ステップS41)。
【0100】
この場合も、ステップS11と同様、判定手段112は、識別番号によって認証情報/復号鍵保存手段12を検索し、その識別番号に対応する登録パスワードを認証情報/復号鍵保存手段12から読み出し、認証情報に含まれるパスワードと、認証情報/復号鍵保存手段12から読み出された登録パスワードとを比較し、これらのパスワードが一致するか否かの判定を行なう。
【0101】
これらのパスワードが一致し、利用者が正当な送信先であることが認証されると(ステップS41のYESルート)、復号鍵送信手段113により、アクセス要求対象の暗号化ファイルを復号化するための復号鍵が認証情報/復号鍵保存手段12から取り出され(ステップS42)、ネットワーク30経由でクライアント端末20に送信される(ステップS43)。この後、ステップS10の処理に戻る。
【0102】
なお、受信手段101,104の認証判定機能や判定手段112によりパスワードが不一致であると判定された場合、もしくは、識別番号に対応する登録パスワードが認証情報/復号鍵保存手段12に登録されていなかった場合には、利用者が正当な利用者もしくは正当な送信先ではないと判定され(ステップS11,S21,S31,S41のNOルート)、管理サーバ10からクライアント端末20にネットワーク30経由でエラー通知を行なってから(ステップS50)、ステップS10の処理に戻る。個人情報カプセル生成要求が管理サーバ10で入力されている場合には、そのエラー通知は管理サーバ10で個人情報カプセル生成要求を行なった利用者もしくは管理者に対して行なわれる。また、ステップS40でNO判定の場合にはステップS10の処理に戻る。
【0103】
〔2−2〕個人情報管理システムの個人情報探査動作
図5に示すフローチャート(ステップS51〜S58)に従って、本実施形態の個人情報管理システム1における個人情報探査動作について説明する。
個人情報管理システム1では、予め設定された周期もしくは所定の起動タイミング(システムの起動時等)で、個人情報探査手段118による個人情報探査動作が実行されるようになっている。
【0104】
個人情報探査手段118が起動されると(ステップS51のYESルート)、本実施形態では、前述した通り、個人情報探査手段118により、各クライアント端末20に個人情報探査ツールを実現するための個人情報探査プログラムをインストールし、各クライアント端末20でその個人情報探査プログラムを実行させることで個人情報や個人情報ファイルの自己探査を実行させ(ステップS52)、その自己探査の結果を各クライアント端末20から受信する(ステップS53)。
【0105】
そして、管理サーバ10において、自己探査の結果に基づき個人情報/個人情報ファイルを保有しているクライアント端末20の存在を確認した場合(ステップS54のYESルート)、保有されている個人情報/個人情報ファイルに、管理サーバ10によるデジタル署名が付与されている否かを判定する(ステップS55)。個人情報/個人情報ファイルを保有しているクライアント端末20が存在しない場合(ステップS54のNOルート)やデジタル署名が付与されている場合(ステップS55のYESルート)、ステップS51に戻る。
【0106】
デジタル署名が付与されていない場合(ステップS55のNOルート)、その個人情報/個人情報ファイルを個人情報カプセルとして管理サーバ10に登録するか否かを、その個人情報/個人情報ファイルを保有しているクライアント端末20の利用者に問い合わせる(ステップS56)。利用者が登録することを望む場合(ステップS56のYESルート)、管理サーバ10において、生成手段102により、探査された個人情報/個人情報ファイルに基づき個人情報カプセルを生成し個人情報カプセルデータベース11に登録・保存する(ステップS57)。この後、ステップS51の処理に戻る。
【0107】
利用者が登録することを望まない場合(ステップS56のNOルート)、削除手段119により、デジタル署名の施されていない個人情報/個人情報ファイルはクライアント端末20上から削除され(ステップS58)、ステップS51の処理に戻る。このとき、前述したように、一定期限を設定し、その一定期限内に利用者がその個人情報/個人情報ファイルを登録しない場合に、削除手段119により、探査された個人情報や個人情報ファイルを自動的に削除するようにしてもよい。
【0108】
ここで、デジタル署名の有無を判定できる個人情報/個人情報ファイルは、当然、暗号化手段107による暗号化を施されていないもので、何らかの理由により、デジタル署名付与手段117によってデジタル署名を付与されたが暗号化されることなくクライアント端末20に流出したものと考えられる。そこで、デジタル署名が付与されているが暗号化されていない個人情報/個人情報ファイルが探査された場合(ステップS55のYES)には、前述したように、その個人情報/個人情報ファイルを暗号化ファイルに変換するか否かを問い合わせ、利用者が暗号化ファイルに変換することを望む場合、上述した変換手段106や暗号化手段107により、探査された個人情報や個人情報ファイルを暗号化ファイルに変換する一方、暗号化ファイルに変換することを望まない場合、その個人情報/個人情報ファイルを削除手段119により削除するようにしてもよい。
【0109】
〔2−3〕クライアント端末の動作
図6に示すフローチャート(ステップS60〜S63,S70〜S81)に従って、本実施形態のクライアント端末20の動作について説明する。
クライアント端末20では、利用者が管理サーバ10で管理されている個人情報カプセルの内容(個人情報要素)を利用して例えば名簿や住所録を作成すべくアクセス要求を発行する場合(ステップS60のYESルート)、アクセス要求送信手段21により、個人情報カプセルに対するアクセス要求が認証情報(識別番号およびパスワード)とともにネットワーク30経由で管理サーバ10に送信される(ステップS61)。
【0110】
このアクセス要求に応じて、個人情報ファイル受信手段22により、管理サーバ10から、アクセス要求送信手段21によって送信されたアクセス要求に応じた個人情報ファイル(暗号化ファイル)がネットワーク30経由で受信された場合(ステップS62のファイルルート)、受信された個人情報ファイルを個人情報ファイル保存手段23に保存してから(ステップS63)、ステップS60の処理に戻る。一方、上記アクセス要求に応じて個人情報ファイルではなくエラー通知が受信された場合(ステップS62のエラールート)、クライアント端末20のディスプレイ等でエラー表示を行なってから(ステップS80)、ステップS60の処理に戻る。
【0111】
また、利用者が個人情報ファイル保存手段23に保存されている個人情報ファイルである暗号化ファイルを開くべくファイルアクセス(復号鍵の送信要求)を行なう場合(ステップS60のNOルートからステップS70のYESルート)、認証情報送信手段24により、復号鍵の送信要求が暗号化ファイルについての認証情報(識別番号およびパスワード)とともにネットワーク30経由で管理サーバ10に送信される(ステップS71)。
【0112】
この復号鍵の送信要求に応じて、復号鍵受信手段25により、アクセス対象の暗号化ファイルに応じた復号鍵が管理サーバ10からネットワーク30経由で受信された場合(ステップS72のYESルート)、復号化手段26により、復号鍵受信手段25で受信された復号鍵を用いて暗号化ファイルが復号化され元の個人情報ファイル(PDFファイル)が復元され(ステップS73)、クライアント端末20のディスプレイに表示される(ステップS74)。一方、復号鍵の送信要求に応じて復号鍵ではなくエラー通知が受信された場合(ステップS72のエラールート)、クライアント端末20のディスプレイ等でエラー表示を行なってから(ステップS80)、ステップS60の処理に戻る。
【0113】
個人情報ファイルの表示後、利用者が、復元されたPDFファイルに添付されたオリジナルファイルの編集を望む場合(ステップS75のYESルート)、この利用者にオリジナルファイルの取出し権限および編集権限が設定されているか否かを判断し(ステップS76)、設定されていない場合(ステップS76のNOルート)、その旨のエラー表示を行なってから(ステップS81)、ステップS60の処理に戻る一方、設定されている場合(ステップS76のYESルート)、編集手段27によってオリジナルファイルに対する編集処理を実行する(ステップS77)。なお、利用者がオリジナルファイルの編集を望まない場合(ステップS75のNOルート)、ステップS60の処理に戻る。
【0114】
編集処理を終了する場合(ステップS78のYESルート)、編集手段27によって編集されたオリジナルファイルは、そのオリジナルファイルを取り出したPDFファイル以外に保存されることが禁止されているので、そのオリジナルファイルを取り出したPDFファイルに保存される(ステップS79)。この後、ステップS60の処理に戻る。
【0115】
〔3〕本実施形態の個人情報管理システムの効果
このように、本発明の一実施形態としての個人情報管理システム1によれば、個人情報管理サーバ10において、特定の個人を識別可能な個人情報が、標準化されたデータセットである個人情報カプセルとして一元的に管理され、個人情報カプセルにクライアント端末20からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタがフィルタ設定手段103によって設定されており、利用者から個人情報カプセルに対するアクセス要求があると、その利用者に対し設定されたフィルタを用いてフィルタリング手段105により個人情報カプセル内の個人情報要素のフィルタリング処理が行なわれ当該利用者の利用可能な個人情報要素が個人情報カプセルから抽出され、抽出された個人情報要素が個人情報ファイルとしてクライアント端末20に送信される。
【0116】
これにより、特定の個人についての個人情報を利用する利用者に対し、その利用者に応じた内容の個人情報要素のみを提供することができるので、利用者にとって不必要と思われる内容が不用意に送信されることがなくなり、個人情報の不用意な流出・漏洩や個人情報の不正利用などが確実に防止され、個人情報の保護を実現することができる。
【0117】
このとき、例えば、画像情報等を含む全ての個人情報を公開するレベルや、画像情報以外の個人情報を公開するレベルや、氏名および連絡先のみを公開するレベルといった、利用者のランク分けを行なってフィルタ設定を行なうことにより、そのランクに応じた個人情報を提供することが可能になる。また、例えば、企業等において、特定の個人を識別可能な各種個人情報要素を含む個人情報を一元的に管理しながら利用者が特定の個人の個人情報を閲覧・利用する際に、上述のようなフィルタ設定を行なうことにより、利用者がその特定の個人の上司や管理者である場合には詳細な内容(個人情報要素)を閲覧・利用可能にする一方で、利用者が同僚や部下である場合には個人情報の一部のみを閲覧・利用可能にするといったように、利用者に応じた内容の個人情報要素のみを利用者に提供することができる。
【0118】
また、個人情報管理サーバ10において、変更を施された個人情報カプセルから変更前に抽出されてクライアント端末20に送信された個人情報ファイル(暗号化ファイル)を無効化手段115により無効化するように構成することにより、個人情報カプセルの内容が変更されると、変更前の個人情報ファイルが無効化され誰も利用できなくなるため、変更前の個人情報ファイルであっても不用意な流出・漏洩や不正利用が確実に防止され、個人情報を確実に保護することができる。
【0119】
その際、利用者は、個人情報ファイルが無効化されたことで個人情報ファイルを利用できなくなったことを認識することができ、再度アクセス要求を行なって、変更後の最新の個人情報ファイルを得ることが可能になる。
【0120】
さらに、個人情報ファイルを無効化した場合にその旨を通知手段116により管理サーバ10からクライアント端末20に自動的に通知することで、個人情報カプセルに対するアクセス要求の再実行を利用者に促すことができ、その通知を受けた利用者は自分の判断で再度アクセス要求を行なうことにより、変更後の最新の個人情報ファイルを得ることが可能になり、利用者の利便性を向上させることができる。これにより、例えば、利用者は、管理サーバ10から受信した個人情報ファイルの内容の変更、具体的には相手の人事異動や転職等を直ちに且つ確実に認識でき、人事異動や転職等を知らなかったことによる不都合や非礼の発生を確実に抑止することができる。
【0121】
また、管理サーバ10において新たに生成された個人情報カプセルや変更を施された個人情報カプセルや個人情報ファイルに対し、デジタル署名付与手段117によってデジタル署名を付与することで、個人情報カプセルや個人情報ファイルが改竄されていないことを保証することができ、第三者による偽造を防止することができる。
【0122】
その際、クライアント端末20におけるデータの中から個人情報/個人情報ファイルを個人情報探査手段118により探査し、探査された個人情報/個人情報ファイルにデジタル署名が付与されていない場合には、削除手段119によりその個人情報をクライアント端末20から削除するように構成することにより、管理サーバ10でのデジタル署名を付与されていない個人情報は、管理サーバ10の管理下になく、クライアント端末20等のローカルで作成された、正規ではない個人情報と判断され、クライアント端末20から自動的に削除される。これにより、本実施形態のシステム1内では、管理サーバ10によって一元的に管理される個人情報のみが存在して利用されることになり、個人情報を確実に管理して確実に保護することができる。
【0123】
さらに、個人情報ファイルを管理サーバ10からクライアント端末20に送信する際、個人情報ファイルが、送信先のクライアント端末10に応じた暗号鍵を用いて暗号化手段107により暗号化され、暗号化ファイルとして送信され、管理サーバ10(判定手段119)によって認証される正当な利用者(正当な送信先であるクライアント端末20の利用者)のみが暗号化ファイルを復号化してアクセスできるように構成することにより、管理サーバ10からクライアント端末20に送信された個人情報ファイルの内容が不用意に流出・漏洩したり不正利用されたりするのを確実に防止でき、個人情報を確実に保護することができる。
【0124】
そして、管理サーバ10において、個人情報ファイルを、コンテナ機能を有するPDFファイルに変換し、そのコンテナ機能を用いて個人情報ファイルのオリジナルファイルを添付した状態でPDFファイルを暗号化してから個人情報ファイルとしてクライアント端末20に送信することにより、個人情報ファイルが改竄困難なPDFファイルとして送信され、個人情報ファイルを改竄されて不正利用されるのを防止しながら、コンテナ機能により添付されたオリジナルファイルを用いて編集等の操作を行なうことも可能になる。
【0125】
ただし、その際、編集等の操作は、オリジナルファイルの取出し権限や編集権限をアクセス権限としてアクセス権限設定手段108によって付与された利用者のみが行なえるようにするとともに、クライアント端末20において編集後のオリジナルファイルは、そのオリジナルファイルを取り出したPDFファイル以外に保存されるのを禁止することにより、そのオリジナルファイルの不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
【0126】
また、管理サーバ10において、クライアント端末20からの個人情報カプセルに対するアクセス要求に応じて実行された個人情報ファイルの送信の履歴をログ記録手段110によりログとして記録することにより、個人情報カプセルに対するアクセス状況が管理され、必要に応じて個人情報ファイルに対するアクセスを追跡管理可能になるので、個人情報の不正利用をより確実に防止することができる。
【0127】
なお、変更前の個人情報ファイルを無効化する手段115は、例えば、クライアント端末20に送信されるべき復号鍵(暗号化ファイルを復号化するための鍵)を変更したり、その復号鍵の送信を禁止したり、送信履歴ログに基づき個人情報ファイルの送信先のクライアント端末20に個人情報ファイルの削除指令を送信して個人情報ファイルを削除させたりすることにより、極めて容易に実現することができる。
【0128】
一方、上述した第1の探査手法では、各クライアント端末20におけるファイル毎に、特徴文字や特徴文字列の出現回数に基づく判定値によって、そのファイルが個人情報ファイル(もしくは機密情報ファイル)であるか否かが判定され、個人情報ファイルを自動的に特定して探査することができるので、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する個人情報ファイル(個人情報ファイルである可能性の高いデータファイル)を確実に探査して洗い出し、管理サーバ10等による管理可能な状態に置くことができる。従って、個人情報の開示要求や訂正要求に確実に対応することができるとともに、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
【0129】
また、上述した第2の探査手法では、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含む文字区間は、個人情報に関するものではないと見なされる一方、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含まない文字区間は、氏名に関するものであると見なされる。従って、電話番号,電子メールアドレス,住所のいずれか一つに該当すると判定された文字区間については、その判定がなされた時点で判定処理を終了し、電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間についてのみ不適切文字/不適切文字列との照合処理が行なわれ、さらに、不適切文字/不適切文字列が一つでも文字区間に含まれると判定された時点で、その照合処理を終了させることができるので、氏名リストに含まれる全ての氏名文字列との照合を行なう従来手法に比べ、氏名の照合処理を高速に行なえ、つまりは個人情報ファイルの探索処理を高速に行なうことが可能になる。
【0130】
このとき、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で文字区間における文字列の判定処理を行なうことで、判定処理をより高速に効率良く実行することが可能になる。
また、不適切文字/不適切文字列を含まない文字区間を全て氏名に該当するものと見なすので、氏名についての不適切文字/不適切文字列を含まない電子ファイル、即ち、氏名情報を含む可能性が高く個人情報ファイルである可能性の高い電子ファイルを確実に探索することが可能になる。つまり、本実施形態によって個人情報ファイルであると判定される電子ファイルの数は、従来手法に比べよりも多くなり、個人情報ファイルである可能性の高い電子ファイル(疑わしい電子ファイル)を確実に洗い出すことができる。
【0131】
さらに、文字区間の文字数が1以上6以下であって且つその文字区間の文字が全て漢字であるか否かを判定し、この文字判定条件を満たす文字区間のみを照合対象としているので、照合対象の文字区間が、より氏名の可能性の高い文字区間に絞り込まれることになり、氏名の照合精度を向上させることができるとともに、氏名の照合処理を高速に行なうことができる。また、文字数が6を超える長い文字区間が、照合対象から除外されるので、氏名の照合処理のさらなる高速化、つまりは個人情報ファイルの探索処理のさらなる高速化に寄与することになる。
【0132】
このように第2の探査手法によっても、個人情報ファイルを自動的に特定して探索することができるので、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する個人情報ファイル(個人情報ファイルである可能性の高い電子ファイル)を確実に探索して洗い出し管理サーバ10等による管理可能な状態に置くことができ、個人情報の開示要求や訂正要求に確実に対応することができるとともに、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
【0133】
また、個人情報ファイルは、各個人情報ファイルに付与されたPマーク(ランク/レベル)に応じ、管理サーバ10等によって管理され、個人情報ファイルの利用者(保有者)に注意情報/警告情報を通知したり、個人情報ファイルをクライアント端末20から強制的に捕獲・回収したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したりすることが可能で、個人情報の不用意な流出・漏洩や個人情報の不正利用などをより確実に防止することができる。
【0134】
〔4〕その他
なお、本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
また、上述した手段101〜119,21〜27としての機能(各手段の全部または一部の機能)は、コンピュータ(CPU,情報処理装置,各種端末を含む)が所定のアプリケーションプログラム(個人情報管理プログラム)を実行することによって実現される。
【0135】
そのプログラムは、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど)等のコンピュータ読取可能な記録媒体に記録された形態で提供される。この場合、コンピュータはその記録媒体から分散型ストレージシステム用制御プログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。また、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信回線を介してコンピュータに提供するようにしてもよい。
【0136】
ここで、コンピュータとは、ハードウエアとOS(オペレーティングシステム)とを含む概念であり、OSの制御の下で動作するハードウエアを意味している。また、OSが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンピュータに相当する。ハードウエアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたプログラムを読み取るための手段とをそなえている。上記個人情報管理プログラムとしてのアプリケーションプログラムは、上述のようなコンピュータに、手段101〜119,21〜27としての機能を実現させるプログラムコードを含んでいる。また、その機能の一部は、アプリケーションプログラムではなくOSによって実現されてもよい。
【0137】
さらに、本実施形態における記録媒体としては、上述したフレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスクのほか、ICカード,ROMカートリッジ,磁気テープ,パンチカード,コンピュータの内部記憶装置(RAMやROMなどのメモリ),外部記憶装置等や、バーコードなどの符号が印刷された印刷物等の、コンピュータ読取可能な種々の媒体を利用することもできる。
【図面の簡単な説明】
【0138】
【図1】本発明の一実施形態としての個人情報管理システムの構成を示すブロック図である。
【図2】本実施形態における個人情報管理サーバ(管理サーバ)の構成を示すブロック図である。
【図3】本実施形態におけるクライアント端末の構成を示すブロック図である。
【図4】本実施形態における個人情報管理サーバの動作を説明するためのフローチャートである。
【図5】本実施形態における個人情報管理サーバの動作を説明するためのフローチャートである。
【図6】本実施形態におけるクライアント端末の動作を説明するためのフローチャートである。
【符号の説明】
【0139】
1 個人情報管理システム
10 個人情報管理サーバ(管理サーバ)
11 個人情報カプセルデータベース(保存手段)
12 認証情報/復号鍵保存手段
101 個人情報カプセル生成/変更要求受信手段
102 生成手段
103 フィルタ設定手段
104 アクセス要求受信手段
105 フィルタリング手段
106 変換手段
107 暗号化手段
108 アクセス権限設定手段
109 個人情報ファイル送信手段
110 ログ記録手段
111 認証情報受信手段
112 判定手段
113 復号鍵送信手段
114 変更手段
115 無効化手段
116 通知手段
117 デジタル署名付与手段
118 個人情報探査手段
119 削除手段
20 クライアント端末
21 アクセス要求送信手段
22 個人情報ファイル受信手段
23 個人情報ファイル保存手段
24 認証情報送信手段
25 復号鍵受信手段
26 復号化手段
27 編集手段
30 ネットワーク(社内LAN)
【技術分野】
【0001】
本発明は、特定の個人を識別可能な個人情報を、その特定の個人に関する複数の個人情報要素からなるデータセット(個人情報カプセル)として管理し、その個人情報カプセルから各利用者に応じた内容を取り出して各利用者に利用させる、個人情報の提供サービスを実現するための技術に関する。
【背景技術】
【0002】
例えば、下記特許文献1には、携帯電話などのモバイル端末やパーソナルコンピュータへの電話や電子メール送信者の個人情報を、ネットワークを介して管理する技術が開示されている。この特許文献1に開示された技術において、利用者は、発信端末からネットワークを使用し、氏名,住所,電話番号,メールアドレス,写真等の個人情報を個人情報管理サーバに登録しておき、発信端末から着信端末に電話や電子メールを送信する際に個人情報通知許可が設定してある場合、電話や電子メールを受信した着信端末から個人情報取得操作を行なうことにより、サーバで電話番号,メールアドレスを索引として発信者の個人情報が検索され、検索された個人情報がサーバから着信端末に送信されるようになっている。
【特許文献1】特開2005−51475号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
ところで、上記特許文献1に開示された技術のごとく個人情報を利用者に提供するシステムでは、個人情報取得操作を行なった利用者に対し、個人情報管理サーバに登録されている個人情報がそのまま送信・提供されることになる。
個人情報の保護の意識が高まり個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することが望まれている昨今、上述のように個人情報取得操作を行なった全ての利用者に対し一律同じ内容の個人情報を送信・提供するのではなく、利用者に応じた内容の個人情報のみを送信・提供できるようにして、利用者にとって不必要と思われる内容(個人情報要素)までもが不用意に送信されるのを防止することが望まれている。
【0004】
例えば、企業等において、特定の個人を識別可能な各種個人情報要素を含む個人情報を一元的に管理しながら利用者が特定の個人の個人情報を閲覧・利用する際に、利用者がその特定の個人の上司や管理者である場合には詳細な内容(個人情報要素)を閲覧・利用可能にする一方で、利用者が同僚や部下である場合には個人情報の一部のみを閲覧・利用可能にするといったように、利用者に応じた内容の個人情報要素のみを利用者に提供できるようにしたシステムの構築が望まれている。
【0005】
本発明は、このような状況に鑑み創案されたもので、特定の個人についての個人情報を利用する利用者に対し、その利用者に応じた内容の個人情報要素のみを提供できるようにして、利用者にとって不必要と思われる内容が不用意に送信されるのを防止し、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止し、個人情報の保護を実現することを目的としている。
【課題を解決するための手段】
【0006】
上記目的を達成するために、本発明の個人情報管理システム(請求項1)は、特定の個人を識別可能な個人情報を、該特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する管理サーバと、該管理サーバと相互に通信可能に接続され、該個人情報カプセルにアクセスして該個人情報カプセル内の個人情報要素を利用しうるクライアント端末とをそなえ、該管理サーバが、該個人情報カプセルを生成する生成手段と、該生成手段によって生成された個人情報カプセルを保存する保存手段と、該保存手段に保存された該個人情報カプセルに該クライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、利用者から該クライアント端末を通じて該個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、該アクセス要求受信手段によって該アクセス要求を受信した場合、該アクセス要求を送信した利用者に対し該フィルタ設定手段によって設定された該フィルタを用いて該個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を該個人情報カプセルから抽出するフィルタリング手段と、該フィルタリング手段によって該個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして該クライアント端末に送信する個人情報ファイル送信手段とをそなえて構成され、該クライアント端末が、該個人情報カプセルに対するアクセス要求を該管理サーバに送信するアクセス要求送信手段と、該管理サーバから該アクセス要求に応じた該個人情報ファイルを受信する個人情報ファイル受信手段とをそなえて構成されていることを特徴としている。
【0007】
このとき、該管理サーバが、該保存手段に保存された該個人情報カプセルの内容を変更する変更手段と、該変更手段によって該個人情報カプセルの内容が変更された場合、変更を施された該個人情報カプセルから変更前に抽出されて該クライアント端末に送信された該個人情報ファイルを無効化する無効化手段とをさらにそなえて構成されていてもよいし(請求項2)、さらに、該生成手段によって生成された該個人情報カプセル、もしくは、該変更手段によって変更された該個人情報カプセルに対し、デジタル署名を付与するデジタル署名付与手段をそなえて構成されていてもよい(請求項3)。
【0008】
また、該クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、該個人情報探査手段によって探査された個人情報に該デジタル署名付与手段によるデジタル署名が付与されていない場合、該個人情報を該クライアント端末から削除する削除手段とをさらにそなえてもよく(請求項4)、その際、該管理サーバが、該個人情報探査手段および該削除手段としての機能を有してもよいし(請求項5)、該クライアント端末が、該個人情報探査手段および該削除手段としての機能を有してもよい(請求項6)。
【0009】
さらに、該管理サーバが、該個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の該クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、該暗号化ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させる暗号化手段と、該クライアント端末から該暗号化ファイルについての認証情報を受信する認証情報受信手段と、該認証情報受信手段によって受信された該認証情報に基づいて、該クライアント端末が該暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段と、該判定手段によって該クライアント端末が正当な送信先であると判定された場合、該暗号化ファイルを復号化するための復号鍵を該クライアント端末に送信する復号鍵送信手段とをさらにそなえて構成されるとともに、該クライアント端末が、該個人情報ファイル受信手段によって受信された該個人情報ファイルである暗号化ファイルを開く場合に、該暗号化ファイルについての認証情報を該管理サーバに送信する認証情報送信手段と、該暗号化ファイルに応じた復号鍵を該管理サーバから受信する復号鍵受信手段と、該復号鍵受信手段によって受信された該復号鍵を用いて該暗号化ファイルを復号化し元の個人情報ファイルを復元する復号化手段とをさらにそなえて構成されていてもよい(請求項7)。
【0010】
そして、該管理サーバが、該個人情報ファイル送信手段によって送信される個人情報ファイルを、コンテナ機能を有する完成文書ファイルに変換する変換手段をさらにそなえて構成され、該管理サーバの該暗号化手段が、該変換手段によって得られた完成文書ファイルに、該コンテナ機能を用いて該個人情報ファイルのオリジナルファイルを添付した状態で、該完成文書ファイルを暗号化し、暗号化された該完成文書ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させてもよい(請求項8)。
【0011】
その際、該管理サーバが、該暗号化ファイルに対する所定のアクセス権限を、該個人情報ファイルの送信先の利用者に応じて設定するアクセス権限設定手段をさらにそなえて構成され、該クライアント端末において、該利用者は、該復号化手段によって復元された該個人情報ファイルに対するアクセスとして、該アクセス権限設定手段によって設定されたアクセス権限に応じたアクセスを許可されるように構成してもよい(請求項9)。
【0012】
さらに、該クライアント端末が、該復号化手段によって復元された該個人情報ファイルである該完成文書ファイルから取り出された該オリジナルファイルを編集する編集手段をそなえて構成され、該利用者は、該アクセス権限設定手段によって、該完成文書ファイルから該オリジナルファイルを取り出す取出し権限と、取り出された該オリジナルファイルの編集権限とを該所定のアクセス権限として設定されている場合には、該クライアント端末において該編集手段によって該オリジナルファイルを編集することを許可されるように構成してもよく(請求項10)、このとき、該クライアント端末において、該編集手段によって編集された該オリジナルファイルが該完成文書ファイル以外に保存されることが禁止されるように構成してもよい(請求項11)。
【0013】
また、該管理サーバが、該クライアント端末からの該個人情報カプセルに対するアクセス要求に応じて実行された該個人情報ファイルの送信の履歴をログとして記録するログ記録手段をさらにそなえて構成されていてもよい(請求項12)。
【0014】
このような個人情報管理システムにおいて、該管理サーバの該無効化手段は、該復号鍵送信手段によって該クライアント端末に送信されるべき該復号鍵を変更することにより、該個人情報ファイルを無効化してもよいし(請求項13)、該復号鍵送信手段による該復号鍵の送信を禁止することにより、該個人情報ファイルを無効化してもよいし(請求項14)、該ログ記録手段によって記録されたログに基づき該個人情報ファイルの送信先のクライアント端末に該個人情報ファイルの削除指令を送信し、該クライアント端末において該個人情報ファイルを削除させることにより、該個人情報ファイルを無効化してもよい(請求項15)。
【0015】
さらに、該管理サーバが、該無効化手段によって該個人情報ファイルを無効化した場合には、その旨を該クライアント端末に通知することにより、該個人情報カプセルに対するアクセス要求の再実行を該利用者に促す通知手段をそなえて構成されていてもよい(請求項16)。
【0016】
そして、本発明の個人情報管理サーバ(請求項17〜28)は、上述した本発明の個人情報管理システム(請求項1〜4,7〜9,12〜16)における管理サーバに対応するものであり、本発明の個人情報管理プログラム(請求項29〜40)は、本発明の個人情報管理サーバ(請求項17〜28)としてコンピュータを機能させるものである。
【発明の効果】
【0017】
上述した本発明によれば、個人情報管理サーバ(管理サーバ)において、特定の個人を識別可能な個人情報が、標準化されたデータセットである個人情報カプセルとして一元的に管理される。そして、個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタが設定されており、利用者から個人情報カプセルに対するアクセス要求があると、その利用者に対し設定されたフィルタを用いて個人情報カプセル内の個人情報要素のフィルタリング処理が行なわれ当該利用者の利用可能な個人情報要素が個人情報カプセルから抽出され、抽出された個人情報要素が個人情報ファイルとしてクライアント端末に送信される。これにより、特定の個人についての個人情報を利用する利用者に対し、その利用者に応じた内容の個人情報要素のみを提供することができるので、利用者にとって不必要と思われる内容が不用意に送信されることがなくなり、個人情報の不用意な流出・漏洩や個人情報の不正利用などが確実に防止され、個人情報の保護を実現することができる。
【0018】
このとき、個人情報管理サーバにおいて、変更を施された個人情報カプセルから変更前に抽出されてクライアント端末に送信された個人情報ファイルを無効化するように構成することにより、個人情報カプセルの内容が変更されると、変更前の個人情報ファイルが無効化され誰も利用できなくなるため、変更前の個人情報ファイルであっても不用意な流出・漏洩や不正利用が確実に防止され、個人情報を確実に保護することができる。また、利用者は、個人情報ファイルが無効化されたことで個人情報ファイルを利用できなくなったことを認識すると、再度アクセス要求を行なって、変更後の最新の個人情報ファイルを得ることが可能になる。なお、個人情報ファイルを無効化した場合にその旨を管理サーバからクライアント端末に自動的に通知することで、個人情報カプセルに対するアクセス要求の再実行を利用者に促すことができ、その通知を受けた利用者は自分の判断で再度アクセス要求を行なうことにより、変更後の最新の個人情報ファイルを得ることが可能になり、利用者の利便性を向上させることができる。
【0019】
また、管理サーバにおいて新たに生成された個人情報カプセルや変更を施された個人情報カプセルや個人情報ファイルに対しデジタル署名を付与することにより、個人情報カプセルや個人情報ファイルが改竄されていないことを保証することができ、第三者による偽造を防止することができる。その際、クライアント端末におけるデータの中から個人情報を探査し、探査された個人情報にデジタル署名が付与されていない場合には、その個人情報をクライアント端末から削除するように構成することにより、管理サーバでのデジタル署名を付与されていない個人情報は、管理サーバの管理下になく、クライアント端末等のローカルで作成された、正規ではない個人情報と判断され、クライアント端末から自動的に削除される。これにより、本発明のシステム内では、管理サーバによって一元的に管理される個人情報のみが存在して利用されることになり、個人情報を確実に管理して確実に保護することができる。
【0020】
さらに、個人情報ファイルを管理サーバからクライアント端末に送信する際、個人情報ファイルが、送信先のクライアント端末に応じた暗号鍵を用いて暗号化され、暗号化ファイルとして送信され、管理サーバによって認証される正当な利用者(正当な送信先であるクライアント端末の利用者)のみが暗号化ファイルを復号化してアクセスできるように構成することにより、管理サーバからクライアント端末に送信された個人情報ファイルの内容が不用意に流出・漏洩したり不正利用されたりするのを確実に防止でき、個人情報を確実に保護することができる。
【0021】
そして、管理サーバにおいて、個人情報ファイルを、コンテナ機能を有する完成文書ファイルに変換し、そのコンテナ機能を用いて個人情報ファイルのオリジナルファイルを添付した状態で完成文書ファイルを暗号化してから個人情報ファイルとしてクライアント端末に送信することにより、個人情報ファイルが改竄困難な完成文書ファイルとして送信され、個人情報ファイルを改竄されて不正利用されるのを防止しながら、コンテナ機能により添付されたオリジナルファイルを用いて編集等の操作を行なうことも可能になる。ただし、その際、編集等の操作は、オリジナルファイルの取出し権限や編集権限をアクセス権限として付与された利用者のみが行なえるようにするとともに、クライアント端末において編集後のオリジナルファイルは完成文書ファイル以外に保存されるのを禁止することにより、そのオリジナルファイルの不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
【0022】
また、管理サーバにおいて、クライアント端末からの個人情報カプセルに対するアクセス要求に応じて実行された個人情報ファイルの送信の履歴をログとして記録することにより、個人情報カプセルに対するアクセス状況が管理され、必要に応じて個人情報ファイルに対するアクセスを追跡管理可能になるので、個人情報の不正利用をより確実に防止することができる。
【0023】
なお、変更前の個人情報ファイルを無効化する手段は、例えば、クライアント端末に送信されるべき復号鍵(暗号化ファイルを復号化するための鍵)を変更したり、その復号鍵の送信を禁止したり、送信履歴ログに基づき個人情報ファイルの送信先のクライアント端末に個人情報ファイルの削除指令を送信して個人情報ファイルを削除させたりすることにより、極めて容易に実現することができる。
【発明を実施するための最良の形態】
【0024】
以下、図面を参照して本発明の実施の形態を説明する。
〔1〕本実施形態の個人情報管理システムの構成
〔1−1〕個人情報管理システムの全体構成
図1は本発明の一実施形態としての個人情報管理システムの構成を示すブロック図で、この図1に示す個人情報管理システム1は、個人情報管理サーバ10,クライアント端末20およびネットワーク30をそなえて構成されている。
【0025】
個人情報管理サーバ(管理サーバ)10は、後述する個人情報カプセルデータベース11および認証情報/復号鍵保存手段12を付設されて構成され、特定の個人を識別可能な個人情報を、その特定の個人に関する複数の個人情報要素からなるデータセットとして管理するものである。本実施形態のシステム1では、複数の個人情報要素からなるデータセットが標準化され個人情報カプセルとして管理され、例えば企業等の社内における一社員に対して一つの個人情報カプセルが生成・保存される。
【0026】
個人情報カプセルに含まれる個人情報要素としては、例えば、氏名,性別,年齢,生年月日,血液型,自宅情報(自宅の住所,電話番号,FAX番号,メールアドレス等),勤務先情報(勤務先名,所属部署,役職のほか勤務先の住所/電話番号/FAX番号/メールアドレス等),家族構成,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号,通院履歴,病歴,投薬情報,診療履歴のほか、本人に係る画像情報や音声情報などが挙げられる。
【0027】
クライアント端末20は、企業等の社内において各社員(利用者)によって操作されるパーソナルコンピュータ等であり、インターネット,イントラネット,社内LAN(Local Area Network)等のネットワーク30を介して個人情報管理サーバ10と相互に通信可能に接続され、利用者の操作に応じ、個人情報管理サーバ10によって管理される個人情報カプセルにアクセスして個人情報カプセル内の個人情報要素を利用しうるものである。利用者は、クライアント端末20およびネットワーク30を通じ、個人情報管理サーバ10によって提供される個人情報管理サービスの提供を利用することになり、例えば、自分の個人情報カプセルの生成/変更を行なったり、個人情報管理サーバ10における各社員の個人情報カプセルにアクセスして個人情報要素を取得し個人情報要素を編集して名簿や住所録を作成したりすることができる。
【0028】
〔1−2〕個人情報管理サーバの構成
図2は本実施形態における個人情報管理サーバ10の構成を示すブロック図であり、この図2に示すように、本実施形態の個人情報管理サーバ10は、上述したように個人情報カプセルデータベース11および認証情報/復号鍵保存手段12を付設されるとともに、後述する各種手段101〜119をそなえて構成されている。これらの手段101〜119としての機能は、所定のアプリケーションプログラム(個人情報管理プログラム)を、サーバとして機能すべきコンピュータのCPU(Central Processing Unit)に実行させることによって実現される。
【0029】
個人情報カプセルデータベース(保存手段)11は、後述する生成手段101によって生成された個人情報カプセルを保存するとともに、各個人情報カプセルの利用者に対して後述するフィルタ設定手段103によって設定されたフィルタを、当該個人情報カプセルおよびその利用者に対応付けて保存する機能も果たしている。
認証情報/復号鍵保存手段12は、本実施形態の個人情報管理サーバ10によるサービスを利用すべく予め登録された利用者の認証情報(識別番号およびパスワード)を保存するとともに、後述する暗号化手段107によって得られた暗号化ファイルを復号化するための復号鍵を保存する機能も果たしている。
【0030】
個人情報カプセル生成/変更要求受信手段101は、ネットワーク30を介して、クライアント端末20から個人情報カプセル生成要求や個人情報カプセル変更要求を認証情報(識別番号およびパスワード)とともに受信したり、個人情報管理サーバ10の入力装置(キーボードやマウス等)を通じて個人情報カプセル生成要求や個人情報カプセル変更要求を認証情報(識別番号およびパスワード)とともに受信したりするものである。その際、個人情報カプセルの内容として保存されるべき複数種類の個人情報要素、あるいは、既に登録されている個人情報カプセルに対する変更の内容も入力され個人情報カプセル生成/変更要求受信手段101によって受信されるものとする。つまり、個人情報要素や変更内容は、各社員(各個人)がクライアント端末20から入力してもよいし、社員の個人情報を管理する企業等における管理者が個人情報管理サーバ10に対して直接入力してもよい。個人情報要素や変更内容の入力は、利用者がキーボードやマウス等の入力装置を操作して行なってもよいし、用紙に印刷もしくは書き込まれた文字情報(名刺や名簿など)や画像情報をスキャナによって読み取ることによって行なってもよい。
【0031】
また、本実施形態の個人情報カプセル生成/変更要求受信手段101は、利用者によって入力された認証情報(識別番号およびパスワード)に基づいて、その利用者が本個人情報管理サービスの正当な利用者であるか否かの認証判定を行なう認証判定機能も併せもっているものとする。具体的には、利用者によって入力された識別番号およびパスワードが、認証情報/復号鍵保存手段12に予め登録・保存されている識別番号およびパスワードと一致するか否かを判定することにより、その利用者が正当な利用者であるか否かを判定・認証するものである。
【0032】
生成手段102は、受信手段101の認証判定機能により正当な利用者であると判定された場合に、上述のごとく個人毎に入力・受信された複数種類の個人情報要素を含む所定フォーマットのデータセットを個人情報カプセルとして生成するものである。
フィルタ設定手段103は、個人情報カプセルデータベース11に保存された個人情報カプセルにクライアント端末20からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するものである。ここで、個人情報カプセル毎や個人毎に対して異なるフィルタを設定してもよいし、同一のグループに属する利用者には同一のフィルタを設定してもよい。例えば、画像情報等を含む全ての個人情報を公開するレベルや、画像情報以外の個人情報を公開するレベルや、氏名および連絡先のみを公開するレベルといった、利用者のランク分けを行なうようにフィルタを設定することができる。また、例えば、企業等において、利用者が特定の社員の上司や管理者である場合には詳細な内容(個人情報要素)を閲覧・利用可能にする一方で、利用者が同僚や部下である場合には個人情報の一部のみを閲覧・利用可能にするといったように、フィルタを設定することもできる。
【0033】
なお、本実施形態において、フィルタ設定手段103によって設定されたフィルタは、個人情報カプセルデータベース11に保存されるものとする。その際、個人情報カプセル毎や利用者毎に対応付けて、あるいは、利用者のランクや役職に対応付けてフィルタを保存する。また、利用者毎に設定されるフィルタの内容については、個人情報カプセルの生成を要求した利用者本人がクライアント端末20から指示してもよいし、管理者が管理サーバ10で指示してもよいし、予め設定されたフィルタパターンを選択することで指示してもよいし、フィルタ設定対象の利用者のランクや役職等を認識しそのランク/役職等に応じて自動的に設定してもよい。
【0034】
アクセス要求受信手段104は、利用者からクライアント端末20およびネットワーク30を通じて個人情報カプセルに対するアクセス要求を認証情報(識別番号およびパスワード)とともに受信するものである。このアクセス要求受信手段104も、受信手段101と同様、利用者によって入力された認証情報(識別番号およびパスワード)に基づいて、その利用者が本個人情報管理サービスの正当な利用者であるか否かの認証判定を行なう認証判定機能も併せもっているものとする。
【0035】
フィルタリング手段105は、受信手段104の認証判定機能により正当な利用者であると判定された場合に、アクセス要求対象の個人情報カプセルとその利用者について設定されたフィルタとを個人情報カプセルデータベース11から読み出し、読み出されたフィルタを用いて、読み出された個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を個人情報ファイルとして個人情報カプセルから抽出するものである。
【0036】
変換手段106は、フィルタリング手段105によって抽出された個人情報ファイルを、コンテナ機能を有する完成文書ファイル〔ここでは、改竄操作の困難なPDF(Portable Document Format)ファイル〕に変換するものである。
暗号化手段107は、前記コンテナ機能を用いて当該PDFファイルに当該個人情報ファイルのオリジナルファイルを添付・格納してから、当該PDFファイルを、送信先のクライアント端末20に応じた暗号鍵で暗号化して暗号化ファイルを作成するものである。なお、PDFファイルへの変換は例えばPDFドライバによって行なわれ、このPDFドライバを起動することにより、管理対象ファイルがPDF化され、PDFファイルファイルが生成されるようになっている。また、ここで暗号化のために用いられた暗号鍵に対応する復号鍵〔暗号化ファイルを復号化(平文化)するための鍵〕は、認証情報/復号鍵保存手段12において、利用者もしくは暗号化ファイル(個人情報ファイル)に対応付けられて保存されているものとする。
【0037】
アクセス権限設定手段108は、暗号化ファイルに対する所定のアクセス権限を、個人情報ファイルの送信先の利用者に応じて設定するものである。このアクセス権限設定手段108により、暗号化ファイルにアクセスする利用者について、暗号化ファイルへのアクセス権限(例えば、閲覧,注釈,印刷,コピーのほか、コンテナ機能により添付されたオリジナルファイルの取出しや、取り出されたファイルの編集などのアクセスの中から選択されたものを実行する権限)の設定が自動的にもしくは利用者(管理者)の指示によって行なわれるものとする。これにより、クライアント端末20において、利用者は、後述するごとく復号化手段26によって復元された個人情報ファイルに対するアクセスとして、アクセス権限設定手段108によって設定されたアクセス権限に応じたアクセスを許可されるようになっている。
【0038】
個人情報ファイル送信手段109は、暗号化手段107によって得られた暗号化ファイル(原ファイルはフィルタリング手段105によって個人情報カプセルから抽出された個人情報要素を含む個人情報ファイル)をネットワーク30経由でクライアント端末20に送信するものである。
ログ記録手段110は、クライアント端末20からの個人情報カプセルに対するアクセス要求に応じて実行された個人情報ファイルの送信の履歴(送信日時,送信先情報,送信されたファイルを特定するための情報など)をログとして記録するものである。
【0039】
認証情報受信手段111は、クライアント端末20において管理サーバ10から送信された暗号化ファイルを利用する際にクライアント端末20から送信されてくる暗号化ファイルについての認証情報(識別番号およびパスワード)を受信するものである。このとき、認証情報受信手段111は、認証情報とともに、暗号化ファイルを復号化するための復号鍵の送信要求もクライアント端末20から受信することになる。暗号化ファイルについての認証情報(識別番号およびパスワード)は、暗号化ファイル毎に設定されるものであるため、上述した受信手段101,104の認証判定機能による利用者認証で必要になる認証情報とは異なるものであり、暗号化ファイルについての認証情報も、認証情報/復号鍵保存手段12に保存されているものとする。
【0040】
判定手段112は、上述した受信手段101や104の認証判定機能と同様の機能を果たすもので、認証情報受信手段111によって受信された認証情報に基づいて、クライアント端末20が暗号化ファイルの正当な送信先であるか否かの判定(クライアント端末20を通じて暗号化ファイルにアクセスする利用者が本個人情報管理サービスの正当な利用者であるか否かの認証判定)を行なうものである。
【0041】
復号鍵送信手段113は、判定手段112によってクライアント端末20が正当な送信先であると判定された場合、アクセス要求対象の暗号化ファイルを復号化するための復号鍵を、認証情報/復号鍵保存手段12から読み出し、ネットワーク30経由でクライアント端末20に送信するものである。
変更手段114は、受信手段101の認証判定機能により正当な利用者であると判定された場合に、上述のごとく入力・受信された個人情報カプセルに対する変更の内容に従って、個人情報カプセルデータベース11に保存された、変更対象の個人情報カプセルの内容を変更するものである。
【0042】
無効化手段115は、変更手段114によって個人情報カプセルの内容が変更された場合、変更を施された個人情報カプセルから変更前に抽出されてクライアント端末20に送信された個人情報ファイルを無効化するものである。この無効化手段115による無効化手法としては、その個人情報ファイルに対応する暗号化ファイルを復号化する復号鍵(認証情報/復号鍵保存手段12に保存されているもの)を変更する手法や、その個人情報ファイルに対応する暗号化ファイルに対するアクセス要求(認証情報)を受信し利用者認証がなされても復号鍵送信手段113による復号鍵の送信を禁止する手法や、ログ記録手段110によって記録されたログに基づきその個人情報ファイルに対応する暗号化ファイルの送信先のクライアント端末20にそのファイルの削除指令を送信し、クライアント端末20において個人情報ファイルを削除させる手法などが用いられる。
【0043】
通知手段116は、無効化手段115によって個人情報ファイル(暗号化ファイル)を無効化した場合に、その旨を、ネットワーク30経由で電子メール等によりクライアント端末20に通知することにより、無効化された個人情報ファイル(暗号化ファイル)に対応する個人情報カプセルに対するアクセス要求の再実行を利用者に促すものである。
【0044】
デジタル署名付与手段117は、生成手段102によって生成された個人情報カプセルや、変更手段114によって変更された個人情報カプセルや、フィルタリング手段105によって得られた個人情報ファイルに対しデジタル署名を付与するものである。ここで、デジタル署名は、デジタル文書の正当性を保証するために付けられる暗号化された署名情報で、公開鍵暗号方式の応用によって、デジタル文書(ここでは個人情報カプセルや個人情報ファイル)の作成者を証明し、且つその文書が改竄されていないことを保証するものである。署名者(管理サーバ10側の管理者)は、自身の秘密鍵を用いて暗号化した署名をデジタル文書に付加して送る。受取人(クライアント端末20側の利用者)は、署名者の公開鍵を用いて署名を復号し、正しい内容かどうか確認する。これにより、第三者による偽造防止のほか、署名者がそのデジタル文書を作成したことの証明にも用いることができる。
【0045】
個人情報探査手段118は、クライアント端末20におけるデータの中から個人情報や個人情報ファイルを探査するもので、その探査はクライアント端末20のデータを管理サーバ10側に吸い上げて行なってもよいし、個人情報探査手段118により、各クライアント端末20に個人情報探査ツールを実現するための個人情報探査プログラムをインストールし、各クライアント端末20でその個人情報探査プログラムを実行させることで個人情報や個人情報ファイルの自己探査を実行させ、その自己探査の結果を各クライアント端末20から受信するようにしてもよい。
【0046】
ここで、個人情報ファイルの探査手法としては、後述する2つの探査手法のうちのいずれか一方を用いることができる。本実施形態において、個人情報ファイルの条件は、個人情報要素を含むレコードを所定数以上保有しているファイルであり、個人情報要素は、単体もしくは組合せによって特定の個人を識別することのできる文字列、例えば氏名,生年月日,連絡先(住所,居所,電話番号,メールアドレス)などである。また、個人情報要素としては、これら以外に、役職名,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号なども挙げられる。
【0047】
削除手段119は、個人情報探査手段118によって探査された個人情報や個人情報ファイルにデジタル署名付与手段117によるデジタル署名が付与されていない場合、個人情報や個人情報ファイルをクライアント端末20から削除するものであり、この削除手段119も、管理サーバ10側にそなえ管理サーバ10からネットワーク30経由で削除指示をクライアント端末20へ送信するようにしてもよいし、この削除手段119としての機能を実現するためのプログラムを上記個人情報探査プログラムとともに各クライアント端末20にインストールしクライアント端末20側で削除手段119としての機能を実現させてもよい。
【0048】
この削除手段119による個人情報や個人情報ファイルの削除を実行する前に、探査によって見つかった個人情報や個人情報ファイルを、管理サーバ10の管理対象である個人情報カプセルとして登録するか否かを問い合わせる機能をそなえてもよい。登録する場合には、生成手段102により、探査された個人情報や個人情報ファイルに基づき個人情報カプセルを生成し個人情報カプセルデータベース11に登録・保存する。一方、登録しない場合には、探査された個人情報や個人情報ファイルを削除手段119により削除してもよいし、一定期限を設定し、その一定期限内に登録しない場合に、削除手段119により、探査された個人情報や個人情報ファイルを自動的に削除してもよい。なお、上述のような問い合せ機能を用いることなく、探査された個人情報や個人情報ファイルを削除手段119により直ちに強制削除することもできる。
【0049】
さらに、デジタル署名が付与されているが暗号化されていない個人情報や個人情報ファイルが探査された場合には、その個人情報や個人情報ファイルを暗号化ファイルに変換するか否かを問い合わせる機能をそなえてもよい。暗号化ファイルに変換する場合、上述した変換手段106や暗号化手段107により、探査された個人情報や個人情報ファイルを暗号化ファイルに変換してもよい。一方、暗号化ファイルに変換しない場合、探査された個人情報や個人情報ファイルを削除手段119により削除してもよいし、一定期限を設定し、その一定期限内に暗号化ファイルに変換しない場合に、削除手段119により、探査された個人情報や個人情報ファイルを自動的に削除してもよい。なお、上述のような問い合せ機能を用いることなく、探査された個人情報や個人情報ファイルを変換手段106や暗号化手段107により直ちに暗号化ファイルに強制変換することもできる。
【0050】
なお、個人情報カプセル生成/変更要求受信手段101,アクセス要求受信手段104,個人情報ファイル送信手段109,認証情報受信手段111,復号鍵送信手段113,通知手段116などとしての機能としては、管理サーバ10が本来有している送受信機能を用いて実現される。
【0051】
また、認証情報/復号鍵保存手段12,変換手段106,暗号化手段107,アクセス権限設定手段108,個人情報ファイル送信手段109,ログ記録手段110,認証情報受信手段111,判定手段112,復号鍵送信手段113としての機能は、本実施形態では個人情報管理サーバ10にもたせているが、個人情報管理サーバ10とは別体で、ネットワーク30を介してもしくは直接的に個人情報管理サーバ10と通信可能に接続されたファイルアクセス管理サーバによって実現してもよい。
【0052】
同様に、個人情報探査手段118および削除手段119としての機能も、本実施形態では個人情報管理サーバ10にもたせているが、個人情報管理サーバ10とは別体で、ネットワーク30を介してもしくは直接的に個人情報管理サーバ10と通信可能に接続された他のサーバによって実現してもよく、その際、さらに、後述するPマークによる個人情報ファイルの管理を該他のサーバによって実行するようにしてもよい。
【0053】
〔1−3〕クライアント端末の構成
図3は本実施形態におけるクライアント端末20の構成を示すブロック図であり、この図3に示すように、本実施形態のクライアント端末20は、後述する各種手段21〜27をそなえて構成されている。これらの手段21〜27としての機能は、所定のアプリケーションプログラムを、クライアント端末として機能すべきコンピュータのCPUに実行させることによって実現される。
【0054】
アクセス要求送信手段21は、利用者がクライアント端末20において管理サーバ10で管理されている個人情報カプセルの内容(個人情報要素)を利用して例えば名簿や住所録を作成する際に、個人情報カプセルに対するアクセス要求を認証情報(識別番号およびパスワード)とともにネットワーク30経由で管理サーバ10に送信するものである。
個人情報ファイル受信手段22は、管理サーバ10から、アクセス要求送信手段21によって送信されたアクセス要求に応じた個人情報ファイルをネットワーク30経由で受信するものである。
【0055】
個人情報ファイル保存手段23は、個人情報ファイル受信手段22により管理サーバ10から受信された個人情報ファイルを保存するものである。
認証情報送信手段24は、個人情報ファイル保存手段23に保存されている個人情報ファイルである暗号化ファイルを開く場合に、暗号化ファイルについての認証情報(識別番号およびパスワード)をネットワーク30経由で管理サーバ10に送信するものである。
【0056】
復号鍵受信手段25は、その暗号化ファイルに応じた復号鍵を管理サーバ10からネットワーク30経由で受信するものである。
復号化手段26は、復号鍵受信手段25によって受信された復号鍵を用いて暗号化ファイルを復号化し元の個人情報ファイルを復元するものである。
【0057】
編集手段27は、復号化手段26によって復元された個人情報ファイルであるPDFファイルから取り出されたオリジナルファイルを編集するものであり、クライアント端末20を利用する利用者は、管理サーバ10のアクセス権限設定手段108によって、PDFファイルからオリジナルファイルを取り出す取出し権限と、取り出されたオリジナルファイルの編集権限とを所定のアクセス権限として設定されている場合、編集手段27によってオリジナルファイルを編集することを許可される。そして、クライアント端末20において、編集手段27によって編集されたオリジナルファイルは、そのオリジナルファイルを取り出したPDFファイル以外に保存されることが禁止されるように構成されている。つまり、編集されたオリジナルファイルは、そのオリジナルファイルを取り出したPDFファイルにしか保存することができないようになっている。
【0058】
〔1−4〕個人情報ファイルの探査手法
ここで、本実施形態の個人情報探査手段118により個人情報ファイルを探査する際に用いられる、2つの探査手法について説明する。
(A)第1の探査手法
第1の探査手法では、以下のように、住所,電話番号,メールアドレス,氏名の出現頻度を数値化し、個人情報ファイルの特定を行なっている。
【0059】
まず、クライアント端末20における、ある一つのファイルに含まれる文字もしくは文字列と個人情報において特徴的に出現する文字/文字列として予め設定された特徴文字/特徴文字列とを照合し、特徴文字/特徴文字列が当該ファイルにおいて出現する回数を計数する。ただし、文字列による照合・認識を行なうとCPUにかかる負荷が極めて大きくなるので、1文字ずつの照合・認識を行なうものとする。従って、前記条件としては、特徴文字が1文字ずつ設定されている。なお、CPUの演算処理能力が十分に高い場合には文字列による照合・認識を行なってもよい。
【0060】
そして、当該ファイル(テキストファイル)から抽出された文字を、1文字ずつ、前記条件として設定された特徴文字と照合し、これらが一致する場合には、その特徴文字が出現したものと判断して、その特徴文字のカウント値を“1”カウントアップする。このようにして当該ファイルに含まれる全ての文字における、特徴文字の出現回数を計数してから、その計数結果に基づいて個人情報ファイルの特定(当該ファイルが個人情報ファイルであるか否かの判定)を行なっている。
【0061】
ここで、前記条件として予め設定される特徴文字について具体的に説明する。一般的な個人情報では、通常、住所が必須となる。そこで、日本国内の住所において特徴的に出現する文字を特徴文字として前記条件に設定登録しておく。例えば、住所情報には“都”,“道”,“府”,“県”,“市”,“区”,“町”,“村”,“郡”などが含まれている可能性が高く、“東京都”の場合、“東”,“京”の文字は通常文書中にも出現するが住所情報の場合、“都”と組合わせて出現することになるので、“都”の出現回数を住所数として見なすことが可能になる。同様に“府”や“県”や“道”も住所の見なし情報となるほか、“@”についてはメールアドレスの見なし情報として用いることが可能になる。
【0062】
具体的には、前記条件として以下のような特徴文字およびポイントが設定されている。
(1)住所の見なし情報(特徴文字)として“東”,“京”,“都”,“大”,“阪”,“府”,“北”,“海”,“道”が設定され、これらの特徴文字の計数値の合計が住所ポイント1として計数・算出される。
(2)住所の見なし情報(特徴文字)として、住所ポイント1以外の府県名、つまり“山”,“形”,“神”,“奈”,“川”,“埼”,“玉”,…,“福”,“岡”,“県”などが設定され、これらの特徴文字の計数値の合計が住所ポイント2として計数・算出される。
【0063】
(3)住所の見なし情報(特徴文字)として“市”,“区”,“町”,“村”,“郡”が設定され、これらの特徴文字の計数値の合計が住所ポイント3として算出される。
(4)メールアドレスの見なし情報(特徴文字)として“@”が設定され、この“@”の計数値がメールアドレスポイントとして用いられる。
【0064】
(5)電話番号の見なし情報(特徴文字列)として、“N”(数字,ハイフンからなる所定桁数の数字列)が設定され、その計数値が電話番号ポイントとして用いられる。より具体的には、電話番号は“090-XXXX-XXXX”,“03-XXXX-XXXX”,“048-XXX-XXXX”というように、携帯電話局番や市外局番に対応する特定の数字列“090”,“03”,“048”の後に8桁もしくは7桁の数字列が連続する構成となっており、このような数字列が出現した場合に電話番号ポイントを“1”カウントアップする。このとき、数字列中におけるハイフンの有無に関係なくカウントアップを行なう。
【0065】
(6)氏名の見なし情報(特徴文字)として、例えば日本国内における苗字のベスト50に含まれる文字“佐”,“藤”,“田”,“中”,“高”,“橋”,…,“山”,“田”が設定され、これらの特徴文字の計数値の合計が氏名ポイントとして算出される。
(7)合計ポイントとして、上述した項目(1)〜(6)の各ポイントの合計値が計数・算出される。
【0066】
なお、上述のようにして得られた計数結果(出現回数)に基づいて各都道府県名の出現率を算出する際に、重複文字が存在する場合の取扱について説明する。例えば“東京都”と“京都府”とがテキストファイルに混在する場合、“都”が重複するため、“都”の計数値には“東京都”の計数値に“京都府”のカウントが混ざることになる。“京都府”の“府”は“大阪府”の“府”と重複するので、まず“大阪”の出現率を算定し、その出現率を“府”の出現率から減算すれば、“京都府”の出現率を予測することが可能になる。このようにして予測された“京都府”の出現率を“都”の出現率から減算することにより、“東京都”の出現率とすることができる。また、県名と市名とが重複するような場合(例えば大阪府大阪市)、“大阪”の出現率が2倍になるが、郵政省管理で公開されている日本の住所録に基づいて都道府県名別の重複率を算定し、算定された重複率に基づいて出現率の調整を行なうことにより、実際の出現率を推定することが可能である。
【0067】
さらに、都道府県表示が無い場合の取扱について説明する。ファイルにおいて、都道府県名についてタイトルヘッダを用いる場合や、政令指定都市の住所表示や郵便番号を使用した住所表示では、“都”,“道”,“府”,“県”の出現率が極端に低下することになる。その代わり県名等の名称出現率が高くなるので、名称出現率から、ファイルが住所情報を含む個人情報ファイルであることの特定を行なうことが可能になる。
【0068】
なお、前記条件では、住所,メールアドレス,電話番号,氏名において特徴的に出現する文字/文字列を特徴文字/特徴文字列として設定しているが、本発明は、これらに限定されるものでなく、生年月日,役職名,個人識別情報(例えば、住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号など)において特徴的に出現する文字/文字列を特徴文字/特徴文字列として設定してもよい。
【0069】
そして、上述のようにして得られた計数結果に基づいて、当該ファイルが個人情報ファイルであるか否かを判定するための判定値が算出される。その判定値としては、(a)検疫合計ポイント(上記項目(7)参照)の値をそのまま用いてもよいし、(b)特徴文字/特徴文字列の出現率が高いほど大きくなる判定ポイントを前記判定値として算出してもよいし、(c)特徴文字/特徴文字列毎に得られた計数結果に基づいて対象ファイルにおける特徴文字/特徴文字列の出現パターンを求め、求められた出現パターンと特徴文字/特徴文字列の出現パターンとして予め設定された特徴出現パターンとの一致の度合いを示す一致度を前記判定値として算出してもよいし、(d)これら3種類の判定値のうちの2以上を組み合わせ、2以上の判定値を所定関数に代入して算出された値を前記判定値として用いてもよい。
【0070】
このとき、当該ファイルに複数種類の情報(例えば住所,メールアドレス,電話番号,氏名の4種類)に係る特徴文字/特徴文字列が存在している場合、対象ファイル中に1種類の情報に係る特徴文字/特徴文字列が存在している場合よりも、前記判定値が大きくなるように、計数結果に対する重み付けを行なう。つまり、データファイル中に、個人を特定しうる複数種類の情報が含まれている場合には、そのデータファイルが個人情報ファイルである可能性は、個人を特定しうる情報が1種類だけ含まれている場合よりも高いと考えられるので、そのデータファイルについての判定値(重要度)が大きくなるように重み付けを行なう。また、その情報の種類数が多いほど、判定値が大きくなるように重み付けを行なうようにしてもよい。これにより、より確実に個人情報ファイルを特定することが可能になる。
【0071】
上述のような判定値が算出されると、その判定値に基づいて、当該ファイルが個人情報ファイルであるか否かを判定する。例えば、前記判定値が所定閾値を超えた場合に対象ファイルが個人情報ファイルであると判定する。
このような判定を行なう際に、本実施形態では、さらに、判定値の大きさに応じたPマーク(プライベートレベルマーク)を当該ファイルに付与してPマークテーブル(図示省略)に設定・登録し、ランク付けを行なってもよい。このPマークは、前述した通り、対象ファイルが個人情報ファイルである可能性の高さを示すレベルであり、判定値が大きいほどPマークを高いランクに設定する。
【0072】
例えば、前記判定値が10以上となった場合、当該ファイルが個人情報ファイルであると判定、つまり当該ファイルが管理対象ファイルであると判定する。また、前記判定値が10以上100未満である場合、Pマークとして“P1”を付与し、前記判定値が100以上1000未満である場合、Pマークとして“P2”を付与し、前記判定値が1000以上10000未満である場合、Pマークとして“P3”を付与し、前記判定値が10000以上である場合、Pマークとして“P4”を付与する。
【0073】
上述のようにファイルに付与されたPマークのレベル(ランク)に応じて、管理サーバ10は、以下のようにファイルを管理対象ファイルとして管理してもよい。
例えば、Pマークのランクが“P1”である場合、警告情報によるリコメンドは行なわないが“P1”の管理対象ファイルが存在することをログとして記録する。Pマークのランクが“P2”である場合、その管理対象ファイルの利用者に対して注意を促すべくポップアップ表示による注意情報を通知する。Pマークのランクが“P3”である場合、その管理対象ファイルの返却を指示する。Pマークのランクが“P4”である場合、その管理対象ファイルを利用者端末10Aから強制的に捕獲・回収する。なお、Pマークのランクが“P4”でなくても、“P3”のデータファイルが所定日数放置された場合には、そのデータファイルをクライアント端末20から強制的に捕獲・回収してもよい。
【0074】
(B)第2の探査手法
第2の探査手法では、以下のようにして、個人情報ファイルの特定を行なっている。
まず、クライアント端末20におけるファイルのテキストデータ〔例えばCSV(Comma Separated Value)形式のデータ〕を抽出し、抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出して、判定対象/照合対象としてバッファ(図示略)に順次書き出す。ここで、区切り文字は、例えば半角スペース,半角カンマ(半角カンマ+半角スペースも半角カンマと見なす),タブ文字(半角),CR(Carrige Return),LF(Line Feed)である。切り出される文字区間からは、英数文字,カタカナ,ひらがな,漢字以外の記号、例えばハイフン,アンダバー,括弧記号などの記号文字が除去される。
【0075】
上述のように切り出され記号文字を除去された文字区間における文字列(以下、単に文字列という)が、氏名以外の個人情報要素(具体的に本実施形態では電話番号,電子メールアドレス,住所のうちのいずれか一つ)に該当するか否かを判定する。ここでは、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で、上記文字列の判定処理を行なう。
【0076】
最初に、上記文字列が電話番号に該当するか否かを判定する。具体的には、上記文字列が前記条件として設定されている電話番号判定条件を満たす場合、上記文字列が電話番号に該当するものと判定する。本実施形態において、電話番号判定条件は、上記文字列中に9〜15桁の数字が含まれていることとする。
【0077】
ついで、上記文字列が電話番号に該当しないと判定された場合に、上記文字列が電子メールアドレスに該当するか否かを判定する。具体的には、上記文字列が前記条件として設定されている電子メールアドレス判定条件を満たす場合、上記文字列が電子メールアドレスに該当するものと判定する。本実施形態において、電子メールアドレス判定条件は、上記文字列中に「一文字以上のASCII(American Standard Code for Information Interchange)」+「@(アットマーク)」+「一文字以上のASCII」+「.(ドット)」+「一文字以上のASCII」となる文字列が含まれていることとする。この場合、最短の電子メールアドレスは例えば「a@a.a」となる。
【0078】
さらに、上記文字列が電子メールアドレスに該当しないと判定された場合に、上記文字列が住所(居所)に該当するか否かを判定するもので、上記文字列が前記条件として設定されている住所判定条件を満たす場合、上記文字列が住所に該当するものと判定する。本実施形態において、住所判定条件は、上記文字列中に「一文字以上の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字」となる文字列が含まれていることとする。このとき、CPUの演算処理能力が十分に高い場合には、上記文字列に加え、郵便番号に対応する7桁の数字が含まれていることを住所判定条件に加えてもよい。また、住所判定条件は、上述した条件に代え、上記文字列中に、郵便番号に対応する7桁ちょうどの数字列が含まれていること、あるいは、「3桁の数字列」+「−(ハイフン)」+「4桁の数字列」となる数字列が含まれていることとしてもよい。
【0079】
そして、上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合に、その文字列が、前記条件として設定されている文字判定条件を満たすか否か、具体的には、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であるか否かを判定するものである。本実施形態において、文字判定条件は、上述したように、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であることであるが、ここで、上記所定範囲は、氏名(苗字だけの場合や名前だけの場合を含む)の文字数として一般的(適切)な数の範囲、例えば1以上6以下に設定される。
【0080】
この後、電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された文字区間であって、さらに上記所定範囲内であり且つ全ての文字が漢字であると判定された文字区間について、当該文字区間に含まれる文字/文字列と氏名において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列とを照合することにより、当該文字区間が不適切文字/不適切文字列を含むか否かを判定する。
【0081】
ここで、不適切文字/不適切文字列は、前記条件として予め設定されており、例えば、東京,大阪,名古屋,横浜,九州,北海道,京都,首都,個人,学園,店,株,県,大学,学院,東証,研究,管理,総務,経理,営業,統括,製薬,販売,学校,教育,専門,建築,機械,法人,工場,製,技術,商,図書,不明,次長,公開,出版,広告,放送,対象,卸売,小売,企画,人事,情報,部門,社長,取締,部長,課長,係長,役員,本社,支社,事業,業務,教務,精密,石油,運輸,経営,戦略,資材,技師,電気,生産,税務,広報,運送,主任,電算,財務,事務,開発,政策,制作,経済,産業,金融,銀行,調査,英語,品質,保証,設備,担当,主席,主事,監査,支援,設計,保険,金庫,事業,代表,交通,第一,第二,第三,第四,第五,第六,第七,第八,第九,特販,施設,氏名,郵便,名前,名称,市役,所属,特色,幼稚,基督,協会,教会,組合,教団,商工,全国,支部,連絡,議会,生活,消費,推進,市役所,区役所,総合,修正,機能,概要,構成,企業,組織,関連,削除,文書,期限,有効といった、一般的な氏名において出現し得ない文字/文字列、つまり、氏名としては不適切な文字/文字列である。
【0082】
そして、上述した電話番号判定結果,電子メールアドレス判定結果および住所判定結果と不適切文字/不適切文字列の照合判定結果とに基づいて、対象ファイルが個人情報ファイルであるか否かを判定する。より具体的に説明すると、電話番号,電子メールアドレス,住所のそれぞれに該当すると見なされた文字区間の数を計数するとともに、不適切文字/不適切文字列の照合判定結果を受け、不適切文字/不適切文字列を含まないと判定された文字区間を氏名に該当するものと見なし、その数を計数する。
【0083】
電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数結果(4つの計数値;電話番号数,電子メールアドレス数,住所数,氏名数)に基づいて、これらの計数値が大きくなるほど大きくなる判定値を算出する。例えば、4つの計数値の総和を上記判定値として算出してもよいし、電話番号,電子メールアドレス,住所,氏名のそれぞれについて重み係数を予め設定しておき、各個人情報要素についての重み係数と計数値との乗算結果の総和を上記判定値として算出してもよく、上記判定値の算出手法は種々考えられる。
【0084】
上述のような判定値が算出されると、その判定値に基づいて、対象ファイルが個人情報ファイルであるか否かを判定する。具体的には、前記判定値が所定閾値を超えた場合に対象ファイルが個人情報ファイルであると判定する。このとき、第1の探査手段においても説明したようにPマークを付与し、管理サーバ10により、そのPマークに応じた管理を行なうようにしてもよい。
【0085】
なお、上述した第2の探査手法では、氏名以外の個人情報要素が、電話番号,電子メールアドレス,住所の3要素である場合について説明したが、本発明は、これに限定されるものでなく、氏名以外の個人情報要素としては、例えば、生年月日,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号などを用いてもよい。
上述のような第1の探査手法もしくは第2の探査手法を用いて、個人情報探査手段118によって個人情報ファイルが探査され、その探査結果に応じて、上述したように、削除手段119による削除や各種問い合せが実行されることになる。
【0086】
〔2〕本実施形態の個人情報管理システムの動作
次に、図4〜図6を参照しながら、上述のごとく構成された本実施形態の個人情報管理システム1の動作について説明する。なお、図4および図5は本実施形態における個人情報管理サーバ10の動作を説明するためのフローチャート、図6は本実施形態におけるクライアント端末20の動作を説明するためのフローチャートである。
【0087】
〔2−1〕個人情報管理サーバの動作
まず、図4に示すフローチャート(ステップS10〜S14,S20〜S26,S30〜S43,S50)に従って、本実施形態の個人情報管理サーバ10の動作について説明する。
【0088】
個人情報カプセル生成/変更要求受信手段101により、個人情報カプセル生成要求が、認証情報(識別番号およびパスワード)や個人情報カプセルの内容として保存されるべき複数種類の個人情報要素とともに受信されると(ステップS10のYESルート)、受信手段101の認証判定機能により、認証情報(識別番号およびパスワード)に基づいて、個人情報カプセル生成要求を行なった利用者が本個人情報管理サービスの正当な利用者であるか否かの認証判定が実行される(ステップS11)。つまり、受信手段101は、識別番号によって認証情報/復号鍵保存手段12を検索し、その識別番号に対応する登録パスワードを認証情報/復号鍵保存手段12から読み出し、認証情報に含まれるパスワードと、認証情報/復号鍵保存手段12から読み出された登録パスワードとを比較し、これらのパスワードが一致するか否かの判定を行なう。
【0089】
これらのパスワードが一致し、個人情報カプセル生成要求を行なった利用者が正当な利用者であることが認証されると(ステップS11のYESルート)、受信手段101によって受信された複数週類の個人情報要素に基づいて、生成手段102により、個人情報カプセル(所定フォーマットのデータセット)が生成される(ステップS12)。その際、生成された個人情報カプセルに対し、デジタル署名付与手段117によりデジタル署名が付与される。
【0090】
また、個人情報カプセルが生成手段102によって生成されると、フィルタ設定手段103により、その個人情報カプセルをアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタが設定される(ステップS13)。上述のごとく生成・設定された個人情報カプセルおよびフィルタは、例えば個人情報カプセルや利用者に対応付けられて個人情報カプセルデータベース11に保存され(ステップS14)、ステップS10の処理に戻る。
【0091】
個人情報カプセル生成/変更要求受信手段101により、個人情報カプセル変更要求が、認証情報(識別番号およびパスワード)や既に登録されている個人情報カプセルに対する変更の内容とともに受信されると(ステップS10のNOルートからステップS20のYESルート)、受信手段101の認証判定機能により、上記ステップS11と同様の認証判定が行なわれる(ステップS21)。
【0092】
パスワードが一致し、個人情報カプセル変更要求を行なった利用者が正当な利用者であることが認証されると(ステップS21のYESルート)、変更手段114により、変更対象の個人情報カプセルが個人情報カプセルデータベース11から取り出され(ステップS22)、受信手段101によって受信された変更内容(住所や電話番号などの変更等)に従って変更対象の個人情報カプセルの内容が変更される(ステップS23)。内容を変更された個人情報カプセルは、デジタル署名付与手段117によりデジタル署名を新たに付与された上で、個人情報カプセルデータベース11に保存される(ステップS24)。
【0093】
上述のごとく個人情報カプセルの内容が変更されると、無効化手段115により、変更を施された個人情報カプセルから変更前に抽出されてクライアント端末20に送信された個人情報ファイルが無効化される(ステップS25)。その無効化は、上述したように、その個人情報ファイルに対応する暗号化ファイルを復号化する復号鍵(認証情報/復号鍵保存手段12に保存されているもの)を変更したり、その個人情報ファイルに対応する暗号化ファイルに対するアクセス要求(認証情報)を受信し利用者認証がなされても復号鍵送信手段113による復号鍵の送信を禁止したり、ログ記録手段110によって記録されたログに基づきその個人情報ファイルに対応する暗号化ファイルの送信先のクライアント端末20にそのファイルの削除指令を送信し、クライアント端末20において個人情報ファイルを削除させたりすることで行なわれるが、いずれの場合もクライアント端末20側で暗号化ファイルの内容を参照不可能な状態にしている。
【0094】
そして、通知手段116により、その個人情報ファイル(暗号化ファイル)が無効化されたことが、ネットワーク30経由で電子メール等によりクライアント端末20に通知され(ステップS26)、無効化された個人情報ファイル(暗号化ファイル)に対応する個人情報カプセルに対するアクセス要求の再実行を利用者に促してから、ステップS10の処理に戻る。
【0095】
アクセス要求受信手段104により、個人情報カプセルに対するアクセス要求が認証情報(識別番号およびパスワード)とともに受信されると(ステップS10のNOルート,ステップS20のNOルートからステップS30のYESルート)、アクセス要求受信手段104の認証判定機能により、上記ステップS11と同様の認証判定が行なわれる(ステップS31)。
【0096】
パスワードが一致し、アクセス要求を行なった利用者が正当な利用者であることが認証されると(ステップS31のYESルート)、フィルタリング手段105により、アクセス要求対象の個人情報カプセルとその利用者について設定されたフィルタとが個人情報カプセルデータベース11から取り出され(ステップS32)、そのフィルタを用いて、アクセス要求対象の個人情報カプセル内の個人情報要素のフィルタリング処理が実行され、当該利用者の利用可能な個人情報要素が個人情報ファイルとして個人情報カプセルから抽出される(ステップS33)。なお、個人情報カプセルから抽出された個人情報ファイルには、デジタル署名付与手段117により、デジタル署名が付与される。
【0097】
デジタル署名を付与された個人情報ファイルは、変換手段106により、コンテナ機能を有するPDFファイルに変換され(ステップS34)、そのコンテナ機能を用いて当該PDFファイルに当該個人情報ファイルのオリジナルファイルが添付されてから(ステップS35)、そのPDFファイルは、送信先のクライアント端末20に応じた暗号鍵で暗号化され、暗号化ファイルが作成される(ステップS36)。このとき、当該暗号化ファイルにアクセスする利用者について、例えば、当該暗号化ファイルに対するアクセス権限(例えば閲覧権限や、オリジナルファイルの取出し権限/編集権限)が、アクセス権限設定手段108により設定される(ステップS37)。
【0098】
上述のごとく作成された暗号化ファイルは、個人情報ファイル送信手段109によりネットワーク30経由でクライアント端末20に送信される(ステップS38)。その際、ログ記録手段110により、その暗号化ファイルの送信の履歴(送信日時,送信先情報,送信されたファイルを特定するための情報など)がログとして記録されてから(ステップS39)、ステップS10の処理に戻る。
【0099】
認証情報受信手段111により、復号鍵の送信要求が暗号化ファイルについての認証情報(識別番号およびパスワード)とともに受信すると(ステップS10のNOルート,ステップS20のNOルート,ステップS30のNOルートからステップS40のYESルート)、判定手段112により、暗号化ファイルについての認証情報(識別番号およびパスワード)に基づいて、復号鍵の送信要求を行なった利用者(暗号化ファイルに対するアクセスを行なう利用者)が正当な登録者(正当な送信先)であるか否かの認証判定が実行される(ステップS41)。
【0100】
この場合も、ステップS11と同様、判定手段112は、識別番号によって認証情報/復号鍵保存手段12を検索し、その識別番号に対応する登録パスワードを認証情報/復号鍵保存手段12から読み出し、認証情報に含まれるパスワードと、認証情報/復号鍵保存手段12から読み出された登録パスワードとを比較し、これらのパスワードが一致するか否かの判定を行なう。
【0101】
これらのパスワードが一致し、利用者が正当な送信先であることが認証されると(ステップS41のYESルート)、復号鍵送信手段113により、アクセス要求対象の暗号化ファイルを復号化するための復号鍵が認証情報/復号鍵保存手段12から取り出され(ステップS42)、ネットワーク30経由でクライアント端末20に送信される(ステップS43)。この後、ステップS10の処理に戻る。
【0102】
なお、受信手段101,104の認証判定機能や判定手段112によりパスワードが不一致であると判定された場合、もしくは、識別番号に対応する登録パスワードが認証情報/復号鍵保存手段12に登録されていなかった場合には、利用者が正当な利用者もしくは正当な送信先ではないと判定され(ステップS11,S21,S31,S41のNOルート)、管理サーバ10からクライアント端末20にネットワーク30経由でエラー通知を行なってから(ステップS50)、ステップS10の処理に戻る。個人情報カプセル生成要求が管理サーバ10で入力されている場合には、そのエラー通知は管理サーバ10で個人情報カプセル生成要求を行なった利用者もしくは管理者に対して行なわれる。また、ステップS40でNO判定の場合にはステップS10の処理に戻る。
【0103】
〔2−2〕個人情報管理システムの個人情報探査動作
図5に示すフローチャート(ステップS51〜S58)に従って、本実施形態の個人情報管理システム1における個人情報探査動作について説明する。
個人情報管理システム1では、予め設定された周期もしくは所定の起動タイミング(システムの起動時等)で、個人情報探査手段118による個人情報探査動作が実行されるようになっている。
【0104】
個人情報探査手段118が起動されると(ステップS51のYESルート)、本実施形態では、前述した通り、個人情報探査手段118により、各クライアント端末20に個人情報探査ツールを実現するための個人情報探査プログラムをインストールし、各クライアント端末20でその個人情報探査プログラムを実行させることで個人情報や個人情報ファイルの自己探査を実行させ(ステップS52)、その自己探査の結果を各クライアント端末20から受信する(ステップS53)。
【0105】
そして、管理サーバ10において、自己探査の結果に基づき個人情報/個人情報ファイルを保有しているクライアント端末20の存在を確認した場合(ステップS54のYESルート)、保有されている個人情報/個人情報ファイルに、管理サーバ10によるデジタル署名が付与されている否かを判定する(ステップS55)。個人情報/個人情報ファイルを保有しているクライアント端末20が存在しない場合(ステップS54のNOルート)やデジタル署名が付与されている場合(ステップS55のYESルート)、ステップS51に戻る。
【0106】
デジタル署名が付与されていない場合(ステップS55のNOルート)、その個人情報/個人情報ファイルを個人情報カプセルとして管理サーバ10に登録するか否かを、その個人情報/個人情報ファイルを保有しているクライアント端末20の利用者に問い合わせる(ステップS56)。利用者が登録することを望む場合(ステップS56のYESルート)、管理サーバ10において、生成手段102により、探査された個人情報/個人情報ファイルに基づき個人情報カプセルを生成し個人情報カプセルデータベース11に登録・保存する(ステップS57)。この後、ステップS51の処理に戻る。
【0107】
利用者が登録することを望まない場合(ステップS56のNOルート)、削除手段119により、デジタル署名の施されていない個人情報/個人情報ファイルはクライアント端末20上から削除され(ステップS58)、ステップS51の処理に戻る。このとき、前述したように、一定期限を設定し、その一定期限内に利用者がその個人情報/個人情報ファイルを登録しない場合に、削除手段119により、探査された個人情報や個人情報ファイルを自動的に削除するようにしてもよい。
【0108】
ここで、デジタル署名の有無を判定できる個人情報/個人情報ファイルは、当然、暗号化手段107による暗号化を施されていないもので、何らかの理由により、デジタル署名付与手段117によってデジタル署名を付与されたが暗号化されることなくクライアント端末20に流出したものと考えられる。そこで、デジタル署名が付与されているが暗号化されていない個人情報/個人情報ファイルが探査された場合(ステップS55のYES)には、前述したように、その個人情報/個人情報ファイルを暗号化ファイルに変換するか否かを問い合わせ、利用者が暗号化ファイルに変換することを望む場合、上述した変換手段106や暗号化手段107により、探査された個人情報や個人情報ファイルを暗号化ファイルに変換する一方、暗号化ファイルに変換することを望まない場合、その個人情報/個人情報ファイルを削除手段119により削除するようにしてもよい。
【0109】
〔2−3〕クライアント端末の動作
図6に示すフローチャート(ステップS60〜S63,S70〜S81)に従って、本実施形態のクライアント端末20の動作について説明する。
クライアント端末20では、利用者が管理サーバ10で管理されている個人情報カプセルの内容(個人情報要素)を利用して例えば名簿や住所録を作成すべくアクセス要求を発行する場合(ステップS60のYESルート)、アクセス要求送信手段21により、個人情報カプセルに対するアクセス要求が認証情報(識別番号およびパスワード)とともにネットワーク30経由で管理サーバ10に送信される(ステップS61)。
【0110】
このアクセス要求に応じて、個人情報ファイル受信手段22により、管理サーバ10から、アクセス要求送信手段21によって送信されたアクセス要求に応じた個人情報ファイル(暗号化ファイル)がネットワーク30経由で受信された場合(ステップS62のファイルルート)、受信された個人情報ファイルを個人情報ファイル保存手段23に保存してから(ステップS63)、ステップS60の処理に戻る。一方、上記アクセス要求に応じて個人情報ファイルではなくエラー通知が受信された場合(ステップS62のエラールート)、クライアント端末20のディスプレイ等でエラー表示を行なってから(ステップS80)、ステップS60の処理に戻る。
【0111】
また、利用者が個人情報ファイル保存手段23に保存されている個人情報ファイルである暗号化ファイルを開くべくファイルアクセス(復号鍵の送信要求)を行なう場合(ステップS60のNOルートからステップS70のYESルート)、認証情報送信手段24により、復号鍵の送信要求が暗号化ファイルについての認証情報(識別番号およびパスワード)とともにネットワーク30経由で管理サーバ10に送信される(ステップS71)。
【0112】
この復号鍵の送信要求に応じて、復号鍵受信手段25により、アクセス対象の暗号化ファイルに応じた復号鍵が管理サーバ10からネットワーク30経由で受信された場合(ステップS72のYESルート)、復号化手段26により、復号鍵受信手段25で受信された復号鍵を用いて暗号化ファイルが復号化され元の個人情報ファイル(PDFファイル)が復元され(ステップS73)、クライアント端末20のディスプレイに表示される(ステップS74)。一方、復号鍵の送信要求に応じて復号鍵ではなくエラー通知が受信された場合(ステップS72のエラールート)、クライアント端末20のディスプレイ等でエラー表示を行なってから(ステップS80)、ステップS60の処理に戻る。
【0113】
個人情報ファイルの表示後、利用者が、復元されたPDFファイルに添付されたオリジナルファイルの編集を望む場合(ステップS75のYESルート)、この利用者にオリジナルファイルの取出し権限および編集権限が設定されているか否かを判断し(ステップS76)、設定されていない場合(ステップS76のNOルート)、その旨のエラー表示を行なってから(ステップS81)、ステップS60の処理に戻る一方、設定されている場合(ステップS76のYESルート)、編集手段27によってオリジナルファイルに対する編集処理を実行する(ステップS77)。なお、利用者がオリジナルファイルの編集を望まない場合(ステップS75のNOルート)、ステップS60の処理に戻る。
【0114】
編集処理を終了する場合(ステップS78のYESルート)、編集手段27によって編集されたオリジナルファイルは、そのオリジナルファイルを取り出したPDFファイル以外に保存されることが禁止されているので、そのオリジナルファイルを取り出したPDFファイルに保存される(ステップS79)。この後、ステップS60の処理に戻る。
【0115】
〔3〕本実施形態の個人情報管理システムの効果
このように、本発明の一実施形態としての個人情報管理システム1によれば、個人情報管理サーバ10において、特定の個人を識別可能な個人情報が、標準化されたデータセットである個人情報カプセルとして一元的に管理され、個人情報カプセルにクライアント端末20からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタがフィルタ設定手段103によって設定されており、利用者から個人情報カプセルに対するアクセス要求があると、その利用者に対し設定されたフィルタを用いてフィルタリング手段105により個人情報カプセル内の個人情報要素のフィルタリング処理が行なわれ当該利用者の利用可能な個人情報要素が個人情報カプセルから抽出され、抽出された個人情報要素が個人情報ファイルとしてクライアント端末20に送信される。
【0116】
これにより、特定の個人についての個人情報を利用する利用者に対し、その利用者に応じた内容の個人情報要素のみを提供することができるので、利用者にとって不必要と思われる内容が不用意に送信されることがなくなり、個人情報の不用意な流出・漏洩や個人情報の不正利用などが確実に防止され、個人情報の保護を実現することができる。
【0117】
このとき、例えば、画像情報等を含む全ての個人情報を公開するレベルや、画像情報以外の個人情報を公開するレベルや、氏名および連絡先のみを公開するレベルといった、利用者のランク分けを行なってフィルタ設定を行なうことにより、そのランクに応じた個人情報を提供することが可能になる。また、例えば、企業等において、特定の個人を識別可能な各種個人情報要素を含む個人情報を一元的に管理しながら利用者が特定の個人の個人情報を閲覧・利用する際に、上述のようなフィルタ設定を行なうことにより、利用者がその特定の個人の上司や管理者である場合には詳細な内容(個人情報要素)を閲覧・利用可能にする一方で、利用者が同僚や部下である場合には個人情報の一部のみを閲覧・利用可能にするといったように、利用者に応じた内容の個人情報要素のみを利用者に提供することができる。
【0118】
また、個人情報管理サーバ10において、変更を施された個人情報カプセルから変更前に抽出されてクライアント端末20に送信された個人情報ファイル(暗号化ファイル)を無効化手段115により無効化するように構成することにより、個人情報カプセルの内容が変更されると、変更前の個人情報ファイルが無効化され誰も利用できなくなるため、変更前の個人情報ファイルであっても不用意な流出・漏洩や不正利用が確実に防止され、個人情報を確実に保護することができる。
【0119】
その際、利用者は、個人情報ファイルが無効化されたことで個人情報ファイルを利用できなくなったことを認識することができ、再度アクセス要求を行なって、変更後の最新の個人情報ファイルを得ることが可能になる。
【0120】
さらに、個人情報ファイルを無効化した場合にその旨を通知手段116により管理サーバ10からクライアント端末20に自動的に通知することで、個人情報カプセルに対するアクセス要求の再実行を利用者に促すことができ、その通知を受けた利用者は自分の判断で再度アクセス要求を行なうことにより、変更後の最新の個人情報ファイルを得ることが可能になり、利用者の利便性を向上させることができる。これにより、例えば、利用者は、管理サーバ10から受信した個人情報ファイルの内容の変更、具体的には相手の人事異動や転職等を直ちに且つ確実に認識でき、人事異動や転職等を知らなかったことによる不都合や非礼の発生を確実に抑止することができる。
【0121】
また、管理サーバ10において新たに生成された個人情報カプセルや変更を施された個人情報カプセルや個人情報ファイルに対し、デジタル署名付与手段117によってデジタル署名を付与することで、個人情報カプセルや個人情報ファイルが改竄されていないことを保証することができ、第三者による偽造を防止することができる。
【0122】
その際、クライアント端末20におけるデータの中から個人情報/個人情報ファイルを個人情報探査手段118により探査し、探査された個人情報/個人情報ファイルにデジタル署名が付与されていない場合には、削除手段119によりその個人情報をクライアント端末20から削除するように構成することにより、管理サーバ10でのデジタル署名を付与されていない個人情報は、管理サーバ10の管理下になく、クライアント端末20等のローカルで作成された、正規ではない個人情報と判断され、クライアント端末20から自動的に削除される。これにより、本実施形態のシステム1内では、管理サーバ10によって一元的に管理される個人情報のみが存在して利用されることになり、個人情報を確実に管理して確実に保護することができる。
【0123】
さらに、個人情報ファイルを管理サーバ10からクライアント端末20に送信する際、個人情報ファイルが、送信先のクライアント端末10に応じた暗号鍵を用いて暗号化手段107により暗号化され、暗号化ファイルとして送信され、管理サーバ10(判定手段119)によって認証される正当な利用者(正当な送信先であるクライアント端末20の利用者)のみが暗号化ファイルを復号化してアクセスできるように構成することにより、管理サーバ10からクライアント端末20に送信された個人情報ファイルの内容が不用意に流出・漏洩したり不正利用されたりするのを確実に防止でき、個人情報を確実に保護することができる。
【0124】
そして、管理サーバ10において、個人情報ファイルを、コンテナ機能を有するPDFファイルに変換し、そのコンテナ機能を用いて個人情報ファイルのオリジナルファイルを添付した状態でPDFファイルを暗号化してから個人情報ファイルとしてクライアント端末20に送信することにより、個人情報ファイルが改竄困難なPDFファイルとして送信され、個人情報ファイルを改竄されて不正利用されるのを防止しながら、コンテナ機能により添付されたオリジナルファイルを用いて編集等の操作を行なうことも可能になる。
【0125】
ただし、その際、編集等の操作は、オリジナルファイルの取出し権限や編集権限をアクセス権限としてアクセス権限設定手段108によって付与された利用者のみが行なえるようにするとともに、クライアント端末20において編集後のオリジナルファイルは、そのオリジナルファイルを取り出したPDFファイル以外に保存されるのを禁止することにより、そのオリジナルファイルの不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
【0126】
また、管理サーバ10において、クライアント端末20からの個人情報カプセルに対するアクセス要求に応じて実行された個人情報ファイルの送信の履歴をログ記録手段110によりログとして記録することにより、個人情報カプセルに対するアクセス状況が管理され、必要に応じて個人情報ファイルに対するアクセスを追跡管理可能になるので、個人情報の不正利用をより確実に防止することができる。
【0127】
なお、変更前の個人情報ファイルを無効化する手段115は、例えば、クライアント端末20に送信されるべき復号鍵(暗号化ファイルを復号化するための鍵)を変更したり、その復号鍵の送信を禁止したり、送信履歴ログに基づき個人情報ファイルの送信先のクライアント端末20に個人情報ファイルの削除指令を送信して個人情報ファイルを削除させたりすることにより、極めて容易に実現することができる。
【0128】
一方、上述した第1の探査手法では、各クライアント端末20におけるファイル毎に、特徴文字や特徴文字列の出現回数に基づく判定値によって、そのファイルが個人情報ファイル(もしくは機密情報ファイル)であるか否かが判定され、個人情報ファイルを自動的に特定して探査することができるので、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する個人情報ファイル(個人情報ファイルである可能性の高いデータファイル)を確実に探査して洗い出し、管理サーバ10等による管理可能な状態に置くことができる。従って、個人情報の開示要求や訂正要求に確実に対応することができるとともに、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
【0129】
また、上述した第2の探査手法では、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含む文字区間は、個人情報に関するものではないと見なされる一方、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含まない文字区間は、氏名に関するものであると見なされる。従って、電話番号,電子メールアドレス,住所のいずれか一つに該当すると判定された文字区間については、その判定がなされた時点で判定処理を終了し、電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間についてのみ不適切文字/不適切文字列との照合処理が行なわれ、さらに、不適切文字/不適切文字列が一つでも文字区間に含まれると判定された時点で、その照合処理を終了させることができるので、氏名リストに含まれる全ての氏名文字列との照合を行なう従来手法に比べ、氏名の照合処理を高速に行なえ、つまりは個人情報ファイルの探索処理を高速に行なうことが可能になる。
【0130】
このとき、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で文字区間における文字列の判定処理を行なうことで、判定処理をより高速に効率良く実行することが可能になる。
また、不適切文字/不適切文字列を含まない文字区間を全て氏名に該当するものと見なすので、氏名についての不適切文字/不適切文字列を含まない電子ファイル、即ち、氏名情報を含む可能性が高く個人情報ファイルである可能性の高い電子ファイルを確実に探索することが可能になる。つまり、本実施形態によって個人情報ファイルであると判定される電子ファイルの数は、従来手法に比べよりも多くなり、個人情報ファイルである可能性の高い電子ファイル(疑わしい電子ファイル)を確実に洗い出すことができる。
【0131】
さらに、文字区間の文字数が1以上6以下であって且つその文字区間の文字が全て漢字であるか否かを判定し、この文字判定条件を満たす文字区間のみを照合対象としているので、照合対象の文字区間が、より氏名の可能性の高い文字区間に絞り込まれることになり、氏名の照合精度を向上させることができるとともに、氏名の照合処理を高速に行なうことができる。また、文字数が6を超える長い文字区間が、照合対象から除外されるので、氏名の照合処理のさらなる高速化、つまりは個人情報ファイルの探索処理のさらなる高速化に寄与することになる。
【0132】
このように第2の探査手法によっても、個人情報ファイルを自動的に特定して探索することができるので、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する個人情報ファイル(個人情報ファイルである可能性の高い電子ファイル)を確実に探索して洗い出し管理サーバ10等による管理可能な状態に置くことができ、個人情報の開示要求や訂正要求に確実に対応することができるとともに、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
【0133】
また、個人情報ファイルは、各個人情報ファイルに付与されたPマーク(ランク/レベル)に応じ、管理サーバ10等によって管理され、個人情報ファイルの利用者(保有者)に注意情報/警告情報を通知したり、個人情報ファイルをクライアント端末20から強制的に捕獲・回収したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したりすることが可能で、個人情報の不用意な流出・漏洩や個人情報の不正利用などをより確実に防止することができる。
【0134】
〔4〕その他
なお、本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
また、上述した手段101〜119,21〜27としての機能(各手段の全部または一部の機能)は、コンピュータ(CPU,情報処理装置,各種端末を含む)が所定のアプリケーションプログラム(個人情報管理プログラム)を実行することによって実現される。
【0135】
そのプログラムは、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど)等のコンピュータ読取可能な記録媒体に記録された形態で提供される。この場合、コンピュータはその記録媒体から分散型ストレージシステム用制御プログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。また、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信回線を介してコンピュータに提供するようにしてもよい。
【0136】
ここで、コンピュータとは、ハードウエアとOS(オペレーティングシステム)とを含む概念であり、OSの制御の下で動作するハードウエアを意味している。また、OSが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンピュータに相当する。ハードウエアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたプログラムを読み取るための手段とをそなえている。上記個人情報管理プログラムとしてのアプリケーションプログラムは、上述のようなコンピュータに、手段101〜119,21〜27としての機能を実現させるプログラムコードを含んでいる。また、その機能の一部は、アプリケーションプログラムではなくOSによって実現されてもよい。
【0137】
さらに、本実施形態における記録媒体としては、上述したフレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスクのほか、ICカード,ROMカートリッジ,磁気テープ,パンチカード,コンピュータの内部記憶装置(RAMやROMなどのメモリ),外部記憶装置等や、バーコードなどの符号が印刷された印刷物等の、コンピュータ読取可能な種々の媒体を利用することもできる。
【図面の簡単な説明】
【0138】
【図1】本発明の一実施形態としての個人情報管理システムの構成を示すブロック図である。
【図2】本実施形態における個人情報管理サーバ(管理サーバ)の構成を示すブロック図である。
【図3】本実施形態におけるクライアント端末の構成を示すブロック図である。
【図4】本実施形態における個人情報管理サーバの動作を説明するためのフローチャートである。
【図5】本実施形態における個人情報管理サーバの動作を説明するためのフローチャートである。
【図6】本実施形態におけるクライアント端末の動作を説明するためのフローチャートである。
【符号の説明】
【0139】
1 個人情報管理システム
10 個人情報管理サーバ(管理サーバ)
11 個人情報カプセルデータベース(保存手段)
12 認証情報/復号鍵保存手段
101 個人情報カプセル生成/変更要求受信手段
102 生成手段
103 フィルタ設定手段
104 アクセス要求受信手段
105 フィルタリング手段
106 変換手段
107 暗号化手段
108 アクセス権限設定手段
109 個人情報ファイル送信手段
110 ログ記録手段
111 認証情報受信手段
112 判定手段
113 復号鍵送信手段
114 変更手段
115 無効化手段
116 通知手段
117 デジタル署名付与手段
118 個人情報探査手段
119 削除手段
20 クライアント端末
21 アクセス要求送信手段
22 個人情報ファイル受信手段
23 個人情報ファイル保存手段
24 認証情報送信手段
25 復号鍵受信手段
26 復号化手段
27 編集手段
30 ネットワーク(社内LAN)
【特許請求の範囲】
【請求項1】
特定の個人を識別可能な個人情報を、該特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する管理サーバと、
該管理サーバと相互に通信可能に接続され、該個人情報カプセルにアクセスして該個人情報カプセル内の個人情報要素を利用しうるクライアント端末とをそなえ、
該管理サーバが、
該個人情報カプセルを生成する生成手段と、
該生成手段によって生成された個人情報カプセルを保存する保存手段と、
該保存手段に保存された該個人情報カプセルに該クライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、
利用者から該クライアント端末を通じて該個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、
該アクセス要求受信手段によって該アクセス要求を受信した場合、該アクセス要求を送信した利用者に対し該フィルタ設定手段によって設定された該フィルタを用いて該個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を該個人情報カプセルから抽出するフィルタリング手段と、
該フィルタリング手段によって該個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして該クライアント端末に送信する個人情報ファイル送信手段とをそなえて構成され、
該クライアント端末が、
該個人情報カプセルに対するアクセス要求を該管理サーバに送信するアクセス要求送信手段と、
該管理サーバから該アクセス要求に応じた該個人情報ファイルを受信する個人情報ファイル受信手段とをそなえて構成されていることを特徴とする、個人情報管理システム。
【請求項2】
該管理サーバが、
該保存手段に保存された該個人情報カプセルの内容を変更する変更手段と、
該変更手段によって該個人情報カプセルの内容が変更された場合、変更を施された該個人情報カプセルから変更前に抽出されて該クライアント端末に送信された該個人情報ファイルを無効化する無効化手段とをさらにそなえて構成されていることを特徴とする、請求項1記載の個人情報管理システム。
【請求項3】
該管理サーバが、
該生成手段によって生成された該個人情報カプセル、もしくは、該変更手段によって変更された該個人情報カプセル、もしくは、該フィルタリング手段によって得られた該個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段をさらにそなえて構成されていることを特徴とする、請求項2記載の個人情報管理システム。
【請求項4】
該クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、
該個人情報探査手段によって探査された個人情報に該デジタル署名付与手段によるデジタル署名が付与されていない場合、該個人情報を該クライアント端末から削除する削除手段とをさらにそなえたことを特徴とする、請求項3記載の個人情報管理システム。
【請求項5】
該管理サーバが、該個人情報探査手段および該削除手段としての機能を有していることを特徴とする、請求項4記載の個人情報管理システム。
【請求項6】
該クライアント端末が、該個人情報探査手段および該削除手段としての機能を有していることを特徴とする、請求項4記載の個人情報管理システム。
【請求項7】
該管理サーバが、
該個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の該クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、該暗号化ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させる暗号化手段と、
該クライアント端末から該暗号化ファイルについての認証情報を受信する認証情報受信手段と、
該認証情報受信手段によって受信された該認証情報に基づいて、該クライアント端末が該暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段と、
該判定手段によって該クライアント端末が正当な送信先であると判定された場合、該暗号化ファイルを復号化するための復号鍵を該クライアント端末に送信する復号鍵送信手段とをさらにそなえて構成されるとともに、
該クライアント端末が、
該個人情報ファイル受信手段によって受信された該個人情報ファイルである暗号化ファイルを開く場合に、該暗号化ファイルについての認証情報を該管理サーバに送信する認証情報送信手段と、
該暗号化ファイルに応じた復号鍵を該管理サーバから受信する復号鍵受信手段と、
該復号鍵受信手段によって受信された該復号鍵を用いて該暗号化ファイルを復号化し元の個人情報ファイルを復元する復号化手段とをさらにそなえて構成されていることを特徴とする、請求項2〜請求項6のいずれか一項に記載の個人情報管理システム。
【請求項8】
該管理サーバが、
該個人情報ファイル送信手段によって送信される個人情報ファイルを、コンテナ機能を有する完成文書ファイルに変換する変換手段をさらにそなえて構成され、
該管理サーバの該暗号化手段が、該変換手段によって得られた完成文書ファイルに、該コンテナ機能を用いて該個人情報ファイルのオリジナルファイルを添付した状態で、該完成文書ファイルを暗号化し、暗号化された該完成文書ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させることを特徴とする、請求項7記載の個人情報管理システム。
【請求項9】
該管理サーバが、
該暗号化ファイルに対する所定のアクセス権限を、該個人情報ファイルの送信先の利用者に応じて設定するアクセス権限設定手段をさらにそなえて構成され、
該クライアント端末において、該利用者は、該復号化手段によって復元された該個人情報ファイルに対するアクセスとして、該アクセス権限設定手段によって設定されたアクセス権限に応じたアクセスを許可されることを特徴とする、請求項8記載の個人情報管理システム。
【請求項10】
該クライアント端末が、
該復号化手段によって復元された該個人情報ファイルである該完成文書ファイルから取り出された該オリジナルファイルを編集する編集手段をさらにそなえて構成され、
該利用者は、該アクセス権限設定手段によって、該完成文書ファイルから該オリジナルファイルを取り出す取出し権限と、取り出された該オリジナルファイルの編集権限とを該所定のアクセス権限として設定されている場合には、該クライアント端末において該編集手段によって該オリジナルファイルを編集することを許可されることを特徴とする、請求項9記載の個人情報管理システム。
【請求項11】
該クライアント端末において、該編集手段によって編集された該オリジナルファイルが該完成文書ファイル以外に保存されることが禁止されていることを特徴とする、請求項10記載の個人情報管理システム。
【請求項12】
該管理サーバが、
該クライアント端末からの該個人情報カプセルに対するアクセス要求に応じて実行された該個人情報ファイルの送信の履歴をログとして記録するログ記録手段をさらにそなえて構成されていることを特徴とする、請求項2〜請求項11のいずれか一項に記載の個人情報管理システム。
【請求項13】
該管理サーバの該無効化手段が、該復号鍵送信手段によって該クライアント端末に送信されるべき該復号鍵を変更することにより、該個人情報ファイルを無効化することを特徴とする、請求項7〜請求項12のいずれか一項に記載の個人情報管理システム。
【請求項14】
該管理サーバの該無効化手段が、該復号鍵送信手段による該復号鍵の送信を禁止することにより、該個人情報ファイルを無効化することを特徴とする、請求項7〜請求項12のいずれか一項に記載の個人情報管理システム。
【請求項15】
該管理サーバの該無効化手段が、該ログ記録手段によって記録されたログに基づき該個人情報ファイルの送信先のクライアント端末に該個人情報ファイルの削除指令を送信し、該クライアント端末において該個人情報ファイルを削除させることにより、該個人情報ファイルを無効化することを特徴とする、請求項12記載の個人情報管理システム。
【請求項16】
該管理サーバが、
該無効化手段によって該個人情報ファイルを無効化した場合には、その旨を該クライアント端末に通知することにより、該個人情報カプセルに対するアクセス要求の再実行を該利用者に促す通知手段をさらにそなえて構成されていることを特徴とする、請求項1〜請求項15のいずれか一項に記載の個人情報管理システム。
【請求項17】
特定の個人を識別可能な個人情報を、該特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバであって、
該個人情報カプセルを生成する生成手段と、
該生成手段によって生成された個人情報カプセルを保存する保存手段と、
該保存手段に保存された該個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、
利用者から該クライアント端末を通じて該個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、
該アクセス要求受信手段によって該アクセス要求を受信した場合、該アクセス要求を送信した利用者に対し該フィルタ設定手段によって設定された該フィルタを用いて該個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を該個人情報カプセルから抽出するフィルタリング手段と、
該フィルタリング手段によって該個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして該クライアント端末に送信する個人情報ファイル送信手段とをそなえて構成されていることを特徴とする、個人情報管理サーバ。
【請求項18】
該保存手段に保存された該個人情報カプセルの内容を変更する変更手段と、
該変更手段によって該個人情報カプセルの内容が変更された場合、変更を施された該個人情報カプセルから変更前に抽出されて該クライアント端末に送信された該個人情報ファイルを無効化する無効化手段とをさらにそなえて構成されていることを特徴とする、請求項17記載の個人情報管理サーバ。
【請求項19】
該生成手段によって生成された該個人情報カプセル、もしくは、該変更手段によって変更された該個人情報カプセル、もしくは、該フィルタリング手段によって得られた該個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段をさらにそなえて構成されていることを特徴とする、請求項18記載の個人情報管理サーバ。
【請求項20】
該クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、
該個人情報探査手段によって探査された個人情報に該デジタル署名付与手段によるデジタル署名が付与されていない場合、該個人情報を該クライアント端末から削除する削除手段とをさらにそなえて構成されていることを特徴とする、請求項19記載の個人情報管理サーバ。
【請求項21】
該個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の該クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、該暗号化ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させる暗号化手段と、
該クライアント端末から該暗号化ファイルについての認証情報を受信する認証情報受信手段と、
該認証情報受信手段によって受信された該認証情報に基づいて、該クライアント端末が該暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段と、
該判定手段によって該クライアント端末が正当な送信先であると判定された場合、該暗号化ファイルを復号化するための復号鍵を該クライアント端末に送信する復号鍵送信手段とをさらにそなえて構成されていることを特徴とする、請求項18〜請求項20のいずれか一項に記載の個人情報管理サーバ。
【請求項22】
該個人情報ファイル送信手段によって送信される個人情報ファイルを、コンテナ機能を有する完成文書ファイルに変換する変換手段をさらにそなえて構成され、
該暗号化手段が、該変換手段によって得られた完成文書ファイルに、該コンテナ機能を用いて該個人情報ファイルのオリジナルファイルを添付した状態で、該完成文書ファイルを暗号化し、暗号化された該完成文書ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させることを特徴とする、請求項21記載の個人情報管理サーバ。
【請求項23】
該暗号化ファイルに対する所定のアクセス権限を、該個人情報ファイルの送信先の利用者に応じて設定するアクセス権限設定手段をさらにそなえて構成されていることを特徴とする、請求項22記載の個人情報管理サーバ。
【請求項24】
該クライアント端末からの該個人情報カプセルに対するアクセス要求に応じて実行された該個人情報ファイルの送信の履歴をログとして記録するログ記録手段をさらにそなえて構成されていることを特徴とする、請求項18〜請求項23のいずれか一項に記載の個人情報管理サーバ。
【請求項25】
該無効化手段が、該復号鍵送信手段によって該クライアント端末に送信されるべき該復号鍵を変更することにより、該個人情報ファイルを無効化することを特徴とする、請求項21〜請求項24のいずれか一項に記載の個人情報管理サーバ。
【請求項26】
該無効化手段が、該復号鍵送信手段による該復号鍵の送信を禁止することにより、該個人情報ファイルを無効化することを特徴とする、請求項21〜請求項24のいずれか一項に記載の個人情報管理サーバ。
【請求項27】
該無効化手段が、該ログ記録手段によって記録されたログに基づき該個人情報ファイルの送信先のクライアント端末に該個人情報ファイルの削除指令を送信し、該クライアント端末において該個人情報ファイルを削除させることにより、該個人情報ファイルを無効化することを特徴とする、請求項24記載の個人情報管理サーバ。
【請求項28】
該無効化手段によって該個人情報ファイルを無効化した場合には、その旨を該クライアント端末に通知することにより、該個人情報カプセルに対するアクセス要求の再実行を該利用者に促す通知手段をさらにそなえて構成されていることを特徴とする、請求項17〜請求項27のいずれか一項に記載の個人情報管理サーバ。
【請求項29】
特定の個人を識別可能な個人情報を、該特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバとしてコンピュータを機能させる個人情報管理プログラムであって、
該個人情報カプセルを生成する生成手段、
該生成手段によって生成された個人情報カプセルを保存する保存手段、
該保存手段に保存された該個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段、
利用者から該クライアント端末を通じて該個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段、
該アクセス要求受信手段によって該アクセス要求を受信した場合、該アクセス要求を送信した利用者に対し該フィルタ設定手段によって設定された該フィルタを用いて該個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を該個人情報カプセルから抽出するフィルタリング手段、および、
該フィルタリング手段によって該個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして該クライアント端末に送信する個人情報ファイル送信手段として、該コンピュータを機能させることを特徴とする、個人情報管理プログラム。
【請求項30】
該保存手段に保存された該個人情報カプセルの内容を変更する変更手段、および、
該変更手段によって該個人情報カプセルの内容が変更された場合、変更を施された該個人情報カプセルから変更前に抽出されて該クライアント端末に送信された該個人情報ファイルを無効化する無効化手段として、該コンピュータをさらに機能させることを特徴とする、請求項29記載の個人情報管理プログラム。
【請求項31】
該生成手段によって生成された該個人情報カプセル、もしくは、該変更手段によって変更された該個人情報カプセル、もしくは、該フィルタリング手段によって得られた該個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段として、該コンピュータをさらに機能させることを特徴とする、請求項30記載の個人情報管理プログラム。
【請求項32】
該クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段、および、
該個人情報探査手段によって探査された個人情報に該デジタル署名付与手段によるデジタル署名が付与されていない場合、該個人情報を該クライアント端末から削除する削除手段として、該コンピュータをさらに機能させることを特徴とする、請求項31記載の個人情報管理プログラム。
【請求項33】
該個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の該クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、該暗号化ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させる暗号化手段、
該クライアント端末から該暗号化ファイルについての認証情報を受信する認証情報受信手段、
該認証情報受信手段によって受信された該認証情報に基づいて、該クライアント端末が該暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段、および、
該判定手段によって該クライアント端末が正当な送信先であると判定された場合、該暗号化ファイルを復号化するための復号鍵を該クライアント端末に送信する復号鍵送信手段として、該コンピュータをさらに機能させることを特徴とする、請求項30〜請求項32のいずれか一項に記載の個人情報管理プログラム。
【請求項34】
該個人情報ファイル送信手段によって送信される個人情報ファイルを、コンテナ機能を有する完成文書ファイルに変換する変換手段として、該コンピュータをさらに機能させ、
該暗号化手段が、該変換手段によって得られた完成文書ファイルに、該コンテナ機能を用いて該個人情報ファイルのオリジナルファイルを添付した状態で、該完成文書ファイルを暗号化し、暗号化された該完成文書ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させるように、該コンピュータを機能させることを特徴とする、請求項33記載の個人情報管理プログラム。
【請求項35】
該暗号化ファイルに対する所定のアクセス権限を、該個人情報ファイルの送信先の利用者に応じて設定するアクセス権限設定手段として、該コンピュータをさらに機能させることを特徴とする、請求項34記載の個人情報管理プログラム。
【請求項36】
該クライアント端末からの該個人情報カプセルに対するアクセス要求に応じて実行された該個人情報ファイルの送信の履歴をログとして記録するログ記録手段として、該コンピュータをさらに機能させることを特徴とする、請求項30〜請求項35のいずれか一項に記載の個人情報管理プログラム。
【請求項37】
該無効化手段が、該復号鍵送信手段によって該クライアント端末に送信されるべき該復号鍵を変更することにより、該個人情報ファイルを無効化するように、該コンピュータを機能させることを特徴とする、請求項33〜請求項36のいずれか一項に記載の個人情報管理プログラム。
【請求項38】
該無効化手段が、該復号鍵送信手段による該復号鍵の送信を禁止することにより、該個人情報ファイルを無効化するように、該コンピュータを機能させることを特徴とする、請求項33〜請求項36のいずれか一項に記載の個人情報管理プログラム。
【請求項39】
該無効化手段が、該ログ記録手段によって記録されたログに基づき該個人情報ファイルの送信先のクライアント端末に該個人情報ファイルの削除指令を送信し、該クライアント端末において該個人情報ファイルを削除させることにより、該個人情報ファイルを無効化するように、該コンピュータを機能させることを特徴とする、請求項36記載の個人情報管理プログラム。
【請求項40】
該無効化手段によって該個人情報ファイルを無効化した場合には、その旨を該クライアント端末に通知することにより、該個人情報カプセルに対するアクセス要求の再実行を該利用者に促す通知手段として、該コンピュータをさらに機能させることを特徴とする、請求項29〜請求項39のいずれか一項に記載の個人情報管理プログラム。
【特許請求の範囲】
【請求項1】
特定の個人を識別可能な個人情報を、該特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する管理サーバと、
該管理サーバと相互に通信可能に接続され、該個人情報カプセルにアクセスして該個人情報カプセル内の個人情報要素を利用しうるクライアント端末とをそなえ、
該管理サーバが、
該個人情報カプセルを生成する生成手段と、
該生成手段によって生成された個人情報カプセルを保存する保存手段と、
該保存手段に保存された該個人情報カプセルに該クライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、
利用者から該クライアント端末を通じて該個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、
該アクセス要求受信手段によって該アクセス要求を受信した場合、該アクセス要求を送信した利用者に対し該フィルタ設定手段によって設定された該フィルタを用いて該個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を該個人情報カプセルから抽出するフィルタリング手段と、
該フィルタリング手段によって該個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして該クライアント端末に送信する個人情報ファイル送信手段と、
該保存手段に保存された該個人情報カプセルの内容を変更する変更手段と、
該変更手段によって該個人情報カプセルの内容が変更された場合、変更を施された該個人情報カプセルから変更前に抽出されて該クライアント端末に送信された該個人情報ファイルを無効化する無効化手段と、
該生成手段によって生成された該個人情報カプセル、もしくは、該変更手段によって変更された該個人情報カプセル、もしくは、該フィルタリング手段によって得られた該個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、
該クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、
該個人情報探査手段によって探査された個人情報に該デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を該管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして該保存手段に登録・保存する手段と、
該個人情報探査手段によって探査された個人情報に該デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を該管理サーバの管理対象として登録することを望まない場合、当該個人情報を該クライアント端末から削除する削除手段とをそなえて構成され、
該クライアント端末が、
該個人情報カプセルに対するアクセス要求を該管理サーバに送信するアクセス要求送信手段と、
該管理サーバから該アクセス要求に応じた該個人情報ファイルを受信する個人情報ファイル受信手段とをそなえて構成されていることを特徴とする、個人情報管理システム。
【請求項2】
該探査手段が、
該クライアント端末におけるデータに含まれるデータ集合体のテキストデータを抽出する抽出手段と、
該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段と、
該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段と、
該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段と、
該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段と、
該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該データ集合体が個人情報であるか否かを判定する第2判定手段とをそなえて構成されていることを特徴とする、請求項1記載の個人情報管理システム。
【請求項3】
該管理サーバが、
該個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の該クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、該暗号化ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させる暗号化手段と、
該クライアント端末から該暗号化ファイルについての認証情報を受信する認証情報受信手段と、
該認証情報受信手段によって受信された該認証情報に基づいて、該クライアント端末が該暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段と、
該判定手段によって該クライアント端末が正当な送信先であると判定された場合、該暗号化ファイルを復号化するための復号鍵を該クライアント端末に送信する復号鍵送信手段とをさらにそなえて構成されるとともに、
該クライアント端末が、
該個人情報ファイル受信手段によって受信された該個人情報ファイルである暗号化ファイルを開く場合に、該暗号化ファイルについての認証情報を該管理サーバに送信する認証情報送信手段と、
該暗号化ファイルに応じた復号鍵を該管理サーバから受信する復号鍵受信手段と、
該復号鍵受信手段によって受信された該復号鍵を用いて該暗号化ファイルを復号化し元の個人情報ファイルを復元する復号化手段とをさらにそなえて構成されていることを特徴とする、請求項2または請求項3に記載の個人情報管理システム。
【請求項4】
該管理サーバが、
該個人情報ファイル送信手段によって送信される個人情報ファイルを、コンテナ機能を有する完成文書ファイルに変換する変換手段をさらにそなえて構成され、
該管理サーバの該暗号化手段が、該変換手段によって得られた完成文書ファイルに、該コンテナ機能を用いて該個人情報ファイルのオリジナルファイルを添付した状態で、該完成文書ファイルを暗号化し、暗号化された該完成文書ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させることを特徴とする、請求項3記載の個人情報管理システム。
【請求項5】
該管理サーバが、
該暗号化ファイルに対する所定のアクセス権限を、該個人情報ファイルの送信先の利用者に応じて設定するアクセス権限設定手段をさらにそなえて構成され、
該クライアント端末において、該利用者は、該復号化手段によって復元された該個人情報ファイルに対するアクセスとして、該アクセス権限設定手段によって設定されたアクセス権限に応じたアクセスを許可されることを特徴とする、請求項4記載の個人情報管理システム。
【請求項6】
該クライアント端末が、
該復号化手段によって復元された該個人情報ファイルである該完成文書ファイルから取り出された該オリジナルファイルを編集する編集手段をさらにそなえて構成され、
該利用者は、該アクセス権限設定手段によって、該完成文書ファイルから該オリジナルファイルを取り出す取出し権限と、取り出された該オリジナルファイルの編集権限とを該所定のアクセス権限として設定されている場合には、該クライアント端末において該編集手段によって該オリジナルファイルを編集することを許可されることを特徴とする、請求項5記載の個人情報管理システム。
【請求項7】
該クライアント端末において、該編集手段によって編集された該オリジナルファイルが該完成文書ファイル以外に保存されることが禁止されていることを特徴とする、請求項6記載の個人情報管理システム。
【請求項8】
該管理サーバが、
該クライアント端末からの該個人情報カプセルに対するアクセス要求に応じて実行された該個人情報ファイルの送信の履歴をログとして記録するログ記録手段をさらにそなえて構成されていることを特徴とする、請求項2〜請求項7のいずれか一項に記載の個人情報管理システム。
【請求項9】
該管理サーバの該無効化手段が、該復号鍵送信手段によって該クライアント端末に送信されるべき該復号鍵を変更することにより、該個人情報ファイルを無効化することを特徴とする、請求項3〜請求項8のいずれか一項に記載の個人情報管理システム。
【請求項10】
該管理サーバの該無効化手段が、該復号鍵送信手段による該復号鍵の送信を禁止することにより、該個人情報ファイルを無効化することを特徴とする、請求項3〜請求項8のいずれか一項に記載の個人情報管理システム。
【請求項11】
該管理サーバの該無効化手段が、該ログ記録手段によって記録されたログに基づき該個人情報ファイルの送信先のクライアント端末に該個人情報ファイルの削除指令を送信し、該クライアント端末において該個人情報ファイルを削除させることにより、該個人情報ファイルを無効化することを特徴とする、請求項8記載の個人情報管理システム。
【請求項12】
該管理サーバが、
該無効化手段によって該個人情報ファイルを無効化した場合には、その旨を該クライアント端末に通知することにより、該個人情報カプセルに対するアクセス要求の再実行を該利用者に促す通知手段をさらにそなえて構成されていることを特徴とする、請求項1〜請求項11のいずれか一項に記載の個人情報管理システム。
【請求項13】
特定の個人を識別可能な個人情報を、該特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバであって、
該個人情報カプセルを生成する生成手段と、
該生成手段によって生成された個人情報カプセルを保存する保存手段と、
該保存手段に保存された該個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、
利用者から該クライアント端末を通じて該個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、
該アクセス要求受信手段によって該アクセス要求を受信した場合、該アクセス要求を送信した利用者に対し該フィルタ設定手段によって設定された該フィルタを用いて該個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を該個人情報カプセルから抽出するフィルタリング手段と、
該フィルタリング手段によって該個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして該クライアント端末に送信する個人情報ファイル送信手段と、
該保存手段に保存された該個人情報カプセルの内容を変更する変更手段と、
該変更手段によって該個人情報カプセルの内容が変更された場合、変更を施された該個人情報カプセルから変更前に抽出されて該クライアント端末に送信された該個人情報ファイルを無効化する無効化手段と、
該生成手段によって生成された該個人情報カプセル、もしくは、該変更手段によって変更された該個人情報カプセル、もしくは、該フィルタリング手段によって得られた該個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、
該クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、
該個人情報探査手段によって探査された個人情報に該デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を該管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして該保存手段に登録・保存する手段と、
該個人情報探査手段によって探査された個人情報に該デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を該管理サーバの管理対象として登録することを望まない場合、当該個人情報を該クライアント端末から削除する削除手段とをそなえて構成されていることを特徴とする、個人情報管理サーバ。
【請求項14】
該探査手段が、
該クライアント端末におけるデータに含まれるデータ集合体のテキストデータを抽出する抽出手段と、
該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段と、
該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段と、
該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段と、
該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段と、
該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該データ集合体が個人情報であるか否かを判定する第2判定手段とをそなえて構成されていることを特徴とする、請求項13記載の個人情報管理サーバ。
【請求項15】
該個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の該クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、該暗号化ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させる暗号化手段と、
該クライアント端末から該暗号化ファイルについての認証情報を受信する認証情報受信手段と、
該認証情報受信手段によって受信された該認証情報に基づいて、該クライアント端末が該暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段と、
該判定手段によって該クライアント端末が正当な送信先であると判定された場合、該暗号化ファイルを復号化するための復号鍵を該クライアント端末に送信する復号鍵送信手段とをさらにそなえて構成されていることを特徴とする、請求項13または請求項14に記載の個人情報管理サーバ。
【請求項16】
該個人情報ファイル送信手段によって送信される個人情報ファイルを、コンテナ機能を有する完成文書ファイルに変換する変換手段をさらにそなえて構成され、
該暗号化手段が、該変換手段によって得られた完成文書ファイルに、該コンテナ機能を用いて該個人情報ファイルのオリジナルファイルを添付した状態で、該完成文書ファイルを暗号化し、暗号化された該完成文書ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させることを特徴とする、請求項15記載の個人情報管理サーバ。
【請求項17】
該暗号化ファイルに対する所定のアクセス権限を、該個人情報ファイルの送信先の利用者に応じて設定するアクセス権限設定手段をさらにそなえて構成されていることを特徴とする、請求項16記載の個人情報管理サーバ。
【請求項18】
該クライアント端末からの該個人情報カプセルに対するアクセス要求に応じて実行された該個人情報ファイルの送信の履歴をログとして記録するログ記録手段をさらにそなえて構成されていることを特徴とする、請求項13〜請求項17のいずれか一項に記載の個人情報管理サーバ。
【請求項19】
該無効化手段が、該復号鍵送信手段によって該クライアント端末に送信されるべき該復号鍵を変更することにより、該個人情報ファイルを無効化することを特徴とする、請求項15〜請求項18のいずれか一項に記載の個人情報管理サーバ。
【請求項20】
該無効化手段が、該復号鍵送信手段による該復号鍵の送信を禁止することにより、該個人情報ファイルを無効化することを特徴とする、請求項15〜請求項18のいずれか一項に記載の個人情報管理サーバ。
【請求項21】
該無効化手段が、該ログ記録手段によって記録されたログに基づき該個人情報ファイルの送信先のクライアント端末に該個人情報ファイルの削除指令を送信し、該クライアント端末において該個人情報ファイルを削除させることにより、該個人情報ファイルを無効化することを特徴とする、請求項18記載の個人情報管理サーバ。
【請求項22】
該無効化手段によって該個人情報ファイルを無効化した場合には、その旨を該クライアント端末に通知することにより、該個人情報カプセルに対するアクセス要求の再実行を該利用者に促す通知手段をさらにそなえて構成されていることを特徴とする、請求項13〜請求項21のいずれか一項に記載の個人情報管理サーバ。
【請求項23】
特定の個人を識別可能な個人情報を、該特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバとしてコンピュータを機能させる個人情報管理プログラムであって、
該個人情報カプセルを生成する生成手段、
該生成手段によって生成された個人情報カプセルを保存する保存手段、
該保存手段に保存された該個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段、
利用者から該クライアント端末を通じて該個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段、
該アクセス要求受信手段によって該アクセス要求を受信した場合、該アクセス要求を送信した利用者に対し該フィルタ設定手段によって設定された該フィルタを用いて該個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を該個人情報カプセルから抽出するフィルタリング手段、
該フィルタリング手段によって該個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして該クライアント端末に送信する個人情報ファイル送信手段、
該保存手段に保存された該個人情報カプセルの内容を変更する変更手段、
該変更手段によって該個人情報カプセルの内容が変更された場合、変更を施された該個人情報カプセルから変更前に抽出されて該クライアント端末に送信された該個人情報ファイルを無効化する無効化手段、
該生成手段によって生成された該個人情報カプセル、もしくは、該変更手段によって変更された該個人情報カプセル、もしくは、該フィルタリング手段によって得られた該個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段、
該クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段、
該個人情報探査手段によって探査された個人情報に該デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を該管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして該保存手段に登録・保存する手段、および、
該個人情報探査手段によって探査された個人情報に該デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を該管理サーバの管理対象として登録することを望まない場合、当該個人情報を該クライアント端末から削除する削除手段として、該コンピュータを機能させることを特徴とする、個人情報管理プログラム。
【請求項24】
該探査手段として該コンピュータを機能させる際に、
該クライアント端末におけるデータに含まれるデータ集合体のテキストデータを抽出する抽出手段、
該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段、
該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段、
該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段、
該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段、および、
該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該データ集合体が個人情報であるか否かを判定する第2判定手段として、該コンピュータを機能させることを特徴とする、請求項23記載の個人情報管理プログラム。
【請求項25】
該個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の該クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、該暗号化ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させる暗号化手段、
該クライアント端末から該暗号化ファイルについての認証情報を受信する認証情報受信手段、
該認証情報受信手段によって受信された該認証情報に基づいて、該クライアント端末が該暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段、および、
該判定手段によって該クライアント端末が正当な送信先であると判定された場合、該暗号化ファイルを復号化するための復号鍵を該クライアント端末に送信する復号鍵送信手段として、該コンピュータをさらに機能させることを特徴とする、請求項23または請求項24に記載の個人情報管理プログラム。
【請求項26】
該個人情報ファイル送信手段によって送信される個人情報ファイルを、コンテナ機能を有する完成文書ファイルに変換する変換手段として、該コンピュータをさらに機能させ、
該暗号化手段が、該変換手段によって得られた完成文書ファイルに、該コンテナ機能を用いて該個人情報ファイルのオリジナルファイルを添付した状態で、該完成文書ファイルを暗号化し、暗号化された該完成文書ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させるように、該コンピュータを機能させることを特徴とする、請求項25記載の個人情報管理プログラム。
【請求項27】
該暗号化ファイルに対する所定のアクセス権限を、該個人情報ファイルの送信先の利用者に応じて設定するアクセス権限設定手段として、該コンピュータをさらに機能させることを特徴とする、請求項26記載の個人情報管理プログラム。
【請求項28】
該クライアント端末からの該個人情報カプセルに対するアクセス要求に応じて実行された該個人情報ファイルの送信の履歴をログとして記録するログ記録手段として、該コンピュータをさらに機能させることを特徴とする、請求項23〜請求項27のいずれか一項に記載の個人情報管理プログラム。
【請求項29】
該無効化手段が、該復号鍵送信手段によって該クライアント端末に送信されるべき該復号鍵を変更することにより、該個人情報ファイルを無効化するように、該コンピュータを機能させることを特徴とする、請求項25〜請求項28のいずれか一項に記載の個人情報管理プログラム。
【請求項30】
該無効化手段が、該復号鍵送信手段による該復号鍵の送信を禁止することにより、該個人情報ファイルを無効化するように、該コンピュータを機能させることを特徴とする、請求項25〜請求項28のいずれか一項に記載の個人情報管理プログラム。
【請求項31】
該無効化手段が、該ログ記録手段によって記録されたログに基づき該個人情報ファイルの送信先のクライアント端末に該個人情報ファイルの削除指令を送信し、該クライアント端末において該個人情報ファイルを削除させることにより、該個人情報ファイルを無効化するように、該コンピュータを機能させることを特徴とする、請求項28記載の個人情報管理プログラム。
【請求項32】
該無効化手段によって該個人情報ファイルを無効化した場合には、その旨を該クライアント端末に通知することにより、該個人情報カプセルに対するアクセス要求の再実行を該利用者に促す通知手段として、該コンピュータをさらに機能させることを特徴とする、請求項23〜請求項31のいずれか一項に記載の個人情報管理プログラム。
【請求項1】
特定の個人を識別可能な個人情報を、該特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する管理サーバと、
該管理サーバと相互に通信可能に接続され、該個人情報カプセルにアクセスして該個人情報カプセル内の個人情報要素を利用しうるクライアント端末とをそなえ、
該管理サーバが、
該個人情報カプセルを生成する生成手段と、
該生成手段によって生成された個人情報カプセルを保存する保存手段と、
該保存手段に保存された該個人情報カプセルに該クライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、
利用者から該クライアント端末を通じて該個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、
該アクセス要求受信手段によって該アクセス要求を受信した場合、該アクセス要求を送信した利用者に対し該フィルタ設定手段によって設定された該フィルタを用いて該個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を該個人情報カプセルから抽出するフィルタリング手段と、
該フィルタリング手段によって該個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして該クライアント端末に送信する個人情報ファイル送信手段とをそなえて構成され、
該クライアント端末が、
該個人情報カプセルに対するアクセス要求を該管理サーバに送信するアクセス要求送信手段と、
該管理サーバから該アクセス要求に応じた該個人情報ファイルを受信する個人情報ファイル受信手段とをそなえて構成されていることを特徴とする、個人情報管理システム。
【請求項2】
該管理サーバが、
該保存手段に保存された該個人情報カプセルの内容を変更する変更手段と、
該変更手段によって該個人情報カプセルの内容が変更された場合、変更を施された該個人情報カプセルから変更前に抽出されて該クライアント端末に送信された該個人情報ファイルを無効化する無効化手段とをさらにそなえて構成されていることを特徴とする、請求項1記載の個人情報管理システム。
【請求項3】
該管理サーバが、
該生成手段によって生成された該個人情報カプセル、もしくは、該変更手段によって変更された該個人情報カプセル、もしくは、該フィルタリング手段によって得られた該個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段をさらにそなえて構成されていることを特徴とする、請求項2記載の個人情報管理システム。
【請求項4】
該クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、
該個人情報探査手段によって探査された個人情報に該デジタル署名付与手段によるデジタル署名が付与されていない場合、該個人情報を該クライアント端末から削除する削除手段とをさらにそなえたことを特徴とする、請求項3記載の個人情報管理システム。
【請求項5】
該管理サーバが、該個人情報探査手段および該削除手段としての機能を有していることを特徴とする、請求項4記載の個人情報管理システム。
【請求項6】
該クライアント端末が、該個人情報探査手段および該削除手段としての機能を有していることを特徴とする、請求項4記載の個人情報管理システム。
【請求項7】
該管理サーバが、
該個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の該クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、該暗号化ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させる暗号化手段と、
該クライアント端末から該暗号化ファイルについての認証情報を受信する認証情報受信手段と、
該認証情報受信手段によって受信された該認証情報に基づいて、該クライアント端末が該暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段と、
該判定手段によって該クライアント端末が正当な送信先であると判定された場合、該暗号化ファイルを復号化するための復号鍵を該クライアント端末に送信する復号鍵送信手段とをさらにそなえて構成されるとともに、
該クライアント端末が、
該個人情報ファイル受信手段によって受信された該個人情報ファイルである暗号化ファイルを開く場合に、該暗号化ファイルについての認証情報を該管理サーバに送信する認証情報送信手段と、
該暗号化ファイルに応じた復号鍵を該管理サーバから受信する復号鍵受信手段と、
該復号鍵受信手段によって受信された該復号鍵を用いて該暗号化ファイルを復号化し元の個人情報ファイルを復元する復号化手段とをさらにそなえて構成されていることを特徴とする、請求項2〜請求項6のいずれか一項に記載の個人情報管理システム。
【請求項8】
該管理サーバが、
該個人情報ファイル送信手段によって送信される個人情報ファイルを、コンテナ機能を有する完成文書ファイルに変換する変換手段をさらにそなえて構成され、
該管理サーバの該暗号化手段が、該変換手段によって得られた完成文書ファイルに、該コンテナ機能を用いて該個人情報ファイルのオリジナルファイルを添付した状態で、該完成文書ファイルを暗号化し、暗号化された該完成文書ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させることを特徴とする、請求項7記載の個人情報管理システム。
【請求項9】
該管理サーバが、
該暗号化ファイルに対する所定のアクセス権限を、該個人情報ファイルの送信先の利用者に応じて設定するアクセス権限設定手段をさらにそなえて構成され、
該クライアント端末において、該利用者は、該復号化手段によって復元された該個人情報ファイルに対するアクセスとして、該アクセス権限設定手段によって設定されたアクセス権限に応じたアクセスを許可されることを特徴とする、請求項8記載の個人情報管理システム。
【請求項10】
該クライアント端末が、
該復号化手段によって復元された該個人情報ファイルである該完成文書ファイルから取り出された該オリジナルファイルを編集する編集手段をさらにそなえて構成され、
該利用者は、該アクセス権限設定手段によって、該完成文書ファイルから該オリジナルファイルを取り出す取出し権限と、取り出された該オリジナルファイルの編集権限とを該所定のアクセス権限として設定されている場合には、該クライアント端末において該編集手段によって該オリジナルファイルを編集することを許可されることを特徴とする、請求項9記載の個人情報管理システム。
【請求項11】
該クライアント端末において、該編集手段によって編集された該オリジナルファイルが該完成文書ファイル以外に保存されることが禁止されていることを特徴とする、請求項10記載の個人情報管理システム。
【請求項12】
該管理サーバが、
該クライアント端末からの該個人情報カプセルに対するアクセス要求に応じて実行された該個人情報ファイルの送信の履歴をログとして記録するログ記録手段をさらにそなえて構成されていることを特徴とする、請求項2〜請求項11のいずれか一項に記載の個人情報管理システム。
【請求項13】
該管理サーバの該無効化手段が、該復号鍵送信手段によって該クライアント端末に送信されるべき該復号鍵を変更することにより、該個人情報ファイルを無効化することを特徴とする、請求項7〜請求項12のいずれか一項に記載の個人情報管理システム。
【請求項14】
該管理サーバの該無効化手段が、該復号鍵送信手段による該復号鍵の送信を禁止することにより、該個人情報ファイルを無効化することを特徴とする、請求項7〜請求項12のいずれか一項に記載の個人情報管理システム。
【請求項15】
該管理サーバの該無効化手段が、該ログ記録手段によって記録されたログに基づき該個人情報ファイルの送信先のクライアント端末に該個人情報ファイルの削除指令を送信し、該クライアント端末において該個人情報ファイルを削除させることにより、該個人情報ファイルを無効化することを特徴とする、請求項12記載の個人情報管理システム。
【請求項16】
該管理サーバが、
該無効化手段によって該個人情報ファイルを無効化した場合には、その旨を該クライアント端末に通知することにより、該個人情報カプセルに対するアクセス要求の再実行を該利用者に促す通知手段をさらにそなえて構成されていることを特徴とする、請求項1〜請求項15のいずれか一項に記載の個人情報管理システム。
【請求項17】
特定の個人を識別可能な個人情報を、該特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバであって、
該個人情報カプセルを生成する生成手段と、
該生成手段によって生成された個人情報カプセルを保存する保存手段と、
該保存手段に保存された該個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、
利用者から該クライアント端末を通じて該個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、
該アクセス要求受信手段によって該アクセス要求を受信した場合、該アクセス要求を送信した利用者に対し該フィルタ設定手段によって設定された該フィルタを用いて該個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を該個人情報カプセルから抽出するフィルタリング手段と、
該フィルタリング手段によって該個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして該クライアント端末に送信する個人情報ファイル送信手段とをそなえて構成されていることを特徴とする、個人情報管理サーバ。
【請求項18】
該保存手段に保存された該個人情報カプセルの内容を変更する変更手段と、
該変更手段によって該個人情報カプセルの内容が変更された場合、変更を施された該個人情報カプセルから変更前に抽出されて該クライアント端末に送信された該個人情報ファイルを無効化する無効化手段とをさらにそなえて構成されていることを特徴とする、請求項17記載の個人情報管理サーバ。
【請求項19】
該生成手段によって生成された該個人情報カプセル、もしくは、該変更手段によって変更された該個人情報カプセル、もしくは、該フィルタリング手段によって得られた該個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段をさらにそなえて構成されていることを特徴とする、請求項18記載の個人情報管理サーバ。
【請求項20】
該クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、
該個人情報探査手段によって探査された個人情報に該デジタル署名付与手段によるデジタル署名が付与されていない場合、該個人情報を該クライアント端末から削除する削除手段とをさらにそなえて構成されていることを特徴とする、請求項19記載の個人情報管理サーバ。
【請求項21】
該個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の該クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、該暗号化ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させる暗号化手段と、
該クライアント端末から該暗号化ファイルについての認証情報を受信する認証情報受信手段と、
該認証情報受信手段によって受信された該認証情報に基づいて、該クライアント端末が該暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段と、
該判定手段によって該クライアント端末が正当な送信先であると判定された場合、該暗号化ファイルを復号化するための復号鍵を該クライアント端末に送信する復号鍵送信手段とをさらにそなえて構成されていることを特徴とする、請求項18〜請求項20のいずれか一項に記載の個人情報管理サーバ。
【請求項22】
該個人情報ファイル送信手段によって送信される個人情報ファイルを、コンテナ機能を有する完成文書ファイルに変換する変換手段をさらにそなえて構成され、
該暗号化手段が、該変換手段によって得られた完成文書ファイルに、該コンテナ機能を用いて該個人情報ファイルのオリジナルファイルを添付した状態で、該完成文書ファイルを暗号化し、暗号化された該完成文書ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させることを特徴とする、請求項21記載の個人情報管理サーバ。
【請求項23】
該暗号化ファイルに対する所定のアクセス権限を、該個人情報ファイルの送信先の利用者に応じて設定するアクセス権限設定手段をさらにそなえて構成されていることを特徴とする、請求項22記載の個人情報管理サーバ。
【請求項24】
該クライアント端末からの該個人情報カプセルに対するアクセス要求に応じて実行された該個人情報ファイルの送信の履歴をログとして記録するログ記録手段をさらにそなえて構成されていることを特徴とする、請求項18〜請求項23のいずれか一項に記載の個人情報管理サーバ。
【請求項25】
該無効化手段が、該復号鍵送信手段によって該クライアント端末に送信されるべき該復号鍵を変更することにより、該個人情報ファイルを無効化することを特徴とする、請求項21〜請求項24のいずれか一項に記載の個人情報管理サーバ。
【請求項26】
該無効化手段が、該復号鍵送信手段による該復号鍵の送信を禁止することにより、該個人情報ファイルを無効化することを特徴とする、請求項21〜請求項24のいずれか一項に記載の個人情報管理サーバ。
【請求項27】
該無効化手段が、該ログ記録手段によって記録されたログに基づき該個人情報ファイルの送信先のクライアント端末に該個人情報ファイルの削除指令を送信し、該クライアント端末において該個人情報ファイルを削除させることにより、該個人情報ファイルを無効化することを特徴とする、請求項24記載の個人情報管理サーバ。
【請求項28】
該無効化手段によって該個人情報ファイルを無効化した場合には、その旨を該クライアント端末に通知することにより、該個人情報カプセルに対するアクセス要求の再実行を該利用者に促す通知手段をさらにそなえて構成されていることを特徴とする、請求項17〜請求項27のいずれか一項に記載の個人情報管理サーバ。
【請求項29】
特定の個人を識別可能な個人情報を、該特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバとしてコンピュータを機能させる個人情報管理プログラムであって、
該個人情報カプセルを生成する生成手段、
該生成手段によって生成された個人情報カプセルを保存する保存手段、
該保存手段に保存された該個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段、
利用者から該クライアント端末を通じて該個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段、
該アクセス要求受信手段によって該アクセス要求を受信した場合、該アクセス要求を送信した利用者に対し該フィルタ設定手段によって設定された該フィルタを用いて該個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を該個人情報カプセルから抽出するフィルタリング手段、および、
該フィルタリング手段によって該個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして該クライアント端末に送信する個人情報ファイル送信手段として、該コンピュータを機能させることを特徴とする、個人情報管理プログラム。
【請求項30】
該保存手段に保存された該個人情報カプセルの内容を変更する変更手段、および、
該変更手段によって該個人情報カプセルの内容が変更された場合、変更を施された該個人情報カプセルから変更前に抽出されて該クライアント端末に送信された該個人情報ファイルを無効化する無効化手段として、該コンピュータをさらに機能させることを特徴とする、請求項29記載の個人情報管理プログラム。
【請求項31】
該生成手段によって生成された該個人情報カプセル、もしくは、該変更手段によって変更された該個人情報カプセル、もしくは、該フィルタリング手段によって得られた該個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段として、該コンピュータをさらに機能させることを特徴とする、請求項30記載の個人情報管理プログラム。
【請求項32】
該クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段、および、
該個人情報探査手段によって探査された個人情報に該デジタル署名付与手段によるデジタル署名が付与されていない場合、該個人情報を該クライアント端末から削除する削除手段として、該コンピュータをさらに機能させることを特徴とする、請求項31記載の個人情報管理プログラム。
【請求項33】
該個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の該クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、該暗号化ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させる暗号化手段、
該クライアント端末から該暗号化ファイルについての認証情報を受信する認証情報受信手段、
該認証情報受信手段によって受信された該認証情報に基づいて、該クライアント端末が該暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段、および、
該判定手段によって該クライアント端末が正当な送信先であると判定された場合、該暗号化ファイルを復号化するための復号鍵を該クライアント端末に送信する復号鍵送信手段として、該コンピュータをさらに機能させることを特徴とする、請求項30〜請求項32のいずれか一項に記載の個人情報管理プログラム。
【請求項34】
該個人情報ファイル送信手段によって送信される個人情報ファイルを、コンテナ機能を有する完成文書ファイルに変換する変換手段として、該コンピュータをさらに機能させ、
該暗号化手段が、該変換手段によって得られた完成文書ファイルに、該コンテナ機能を用いて該個人情報ファイルのオリジナルファイルを添付した状態で、該完成文書ファイルを暗号化し、暗号化された該完成文書ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させるように、該コンピュータを機能させることを特徴とする、請求項33記載の個人情報管理プログラム。
【請求項35】
該暗号化ファイルに対する所定のアクセス権限を、該個人情報ファイルの送信先の利用者に応じて設定するアクセス権限設定手段として、該コンピュータをさらに機能させることを特徴とする、請求項34記載の個人情報管理プログラム。
【請求項36】
該クライアント端末からの該個人情報カプセルに対するアクセス要求に応じて実行された該個人情報ファイルの送信の履歴をログとして記録するログ記録手段として、該コンピュータをさらに機能させることを特徴とする、請求項30〜請求項35のいずれか一項に記載の個人情報管理プログラム。
【請求項37】
該無効化手段が、該復号鍵送信手段によって該クライアント端末に送信されるべき該復号鍵を変更することにより、該個人情報ファイルを無効化するように、該コンピュータを機能させることを特徴とする、請求項33〜請求項36のいずれか一項に記載の個人情報管理プログラム。
【請求項38】
該無効化手段が、該復号鍵送信手段による該復号鍵の送信を禁止することにより、該個人情報ファイルを無効化するように、該コンピュータを機能させることを特徴とする、請求項33〜請求項36のいずれか一項に記載の個人情報管理プログラム。
【請求項39】
該無効化手段が、該ログ記録手段によって記録されたログに基づき該個人情報ファイルの送信先のクライアント端末に該個人情報ファイルの削除指令を送信し、該クライアント端末において該個人情報ファイルを削除させることにより、該個人情報ファイルを無効化するように、該コンピュータを機能させることを特徴とする、請求項36記載の個人情報管理プログラム。
【請求項40】
該無効化手段によって該個人情報ファイルを無効化した場合には、その旨を該クライアント端末に通知することにより、該個人情報カプセルに対するアクセス要求の再実行を該利用者に促す通知手段として、該コンピュータをさらに機能させることを特徴とする、請求項29〜請求項39のいずれか一項に記載の個人情報管理プログラム。
【特許請求の範囲】
【請求項1】
特定の個人を識別可能な個人情報を、該特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する管理サーバと、
該管理サーバと相互に通信可能に接続され、該個人情報カプセルにアクセスして該個人情報カプセル内の個人情報要素を利用しうるクライアント端末とをそなえ、
該管理サーバが、
該個人情報カプセルを生成する生成手段と、
該生成手段によって生成された個人情報カプセルを保存する保存手段と、
該保存手段に保存された該個人情報カプセルに該クライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、
利用者から該クライアント端末を通じて該個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、
該アクセス要求受信手段によって該アクセス要求を受信した場合、該アクセス要求を送信した利用者に対し該フィルタ設定手段によって設定された該フィルタを用いて該個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を該個人情報カプセルから抽出するフィルタリング手段と、
該フィルタリング手段によって該個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして該クライアント端末に送信する個人情報ファイル送信手段と、
該保存手段に保存された該個人情報カプセルの内容を変更する変更手段と、
該変更手段によって該個人情報カプセルの内容が変更された場合、変更を施された該個人情報カプセルから変更前に抽出されて該クライアント端末に送信された該個人情報ファイルを無効化する無効化手段と、
該生成手段によって生成された該個人情報カプセル、もしくは、該変更手段によって変更された該個人情報カプセル、もしくは、該フィルタリング手段によって得られた該個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、
該クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、
該個人情報探査手段によって探査された個人情報に該デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を該管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして該保存手段に登録・保存する手段と、
該個人情報探査手段によって探査された個人情報に該デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を該管理サーバの管理対象として登録することを望まない場合、当該個人情報を該クライアント端末から削除する削除手段とをそなえて構成され、
該クライアント端末が、
該個人情報カプセルに対するアクセス要求を該管理サーバに送信するアクセス要求送信手段と、
該管理サーバから該アクセス要求に応じた該個人情報ファイルを受信する個人情報ファイル受信手段とをそなえて構成されていることを特徴とする、個人情報管理システム。
【請求項2】
該探査手段が、
該クライアント端末におけるデータに含まれるデータ集合体のテキストデータを抽出する抽出手段と、
該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段と、
該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段と、
該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段と、
該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段と、
該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該データ集合体が個人情報であるか否かを判定する第2判定手段とをそなえて構成されていることを特徴とする、請求項1記載の個人情報管理システム。
【請求項3】
該管理サーバが、
該個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の該クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、該暗号化ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させる暗号化手段と、
該クライアント端末から該暗号化ファイルについての認証情報を受信する認証情報受信手段と、
該認証情報受信手段によって受信された該認証情報に基づいて、該クライアント端末が該暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段と、
該判定手段によって該クライアント端末が正当な送信先であると判定された場合、該暗号化ファイルを復号化するための復号鍵を該クライアント端末に送信する復号鍵送信手段とをさらにそなえて構成されるとともに、
該クライアント端末が、
該個人情報ファイル受信手段によって受信された該個人情報ファイルである暗号化ファイルを開く場合に、該暗号化ファイルについての認証情報を該管理サーバに送信する認証情報送信手段と、
該暗号化ファイルに応じた復号鍵を該管理サーバから受信する復号鍵受信手段と、
該復号鍵受信手段によって受信された該復号鍵を用いて該暗号化ファイルを復号化し元の個人情報ファイルを復元する復号化手段とをさらにそなえて構成されていることを特徴とする、請求項2または請求項3に記載の個人情報管理システム。
【請求項4】
該管理サーバが、
該個人情報ファイル送信手段によって送信される個人情報ファイルを、コンテナ機能を有する完成文書ファイルに変換する変換手段をさらにそなえて構成され、
該管理サーバの該暗号化手段が、該変換手段によって得られた完成文書ファイルに、該コンテナ機能を用いて該個人情報ファイルのオリジナルファイルを添付した状態で、該完成文書ファイルを暗号化し、暗号化された該完成文書ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させることを特徴とする、請求項3記載の個人情報管理システム。
【請求項5】
該管理サーバが、
該暗号化ファイルに対する所定のアクセス権限を、該個人情報ファイルの送信先の利用者に応じて設定するアクセス権限設定手段をさらにそなえて構成され、
該クライアント端末において、該利用者は、該復号化手段によって復元された該個人情報ファイルに対するアクセスとして、該アクセス権限設定手段によって設定されたアクセス権限に応じたアクセスを許可されることを特徴とする、請求項4記載の個人情報管理システム。
【請求項6】
該クライアント端末が、
該復号化手段によって復元された該個人情報ファイルである該完成文書ファイルから取り出された該オリジナルファイルを編集する編集手段をさらにそなえて構成され、
該利用者は、該アクセス権限設定手段によって、該完成文書ファイルから該オリジナルファイルを取り出す取出し権限と、取り出された該オリジナルファイルの編集権限とを該所定のアクセス権限として設定されている場合には、該クライアント端末において該編集手段によって該オリジナルファイルを編集することを許可されることを特徴とする、請求項5記載の個人情報管理システム。
【請求項7】
該クライアント端末において、該編集手段によって編集された該オリジナルファイルが該完成文書ファイル以外に保存されることが禁止されていることを特徴とする、請求項6記載の個人情報管理システム。
【請求項8】
該管理サーバが、
該クライアント端末からの該個人情報カプセルに対するアクセス要求に応じて実行された該個人情報ファイルの送信の履歴をログとして記録するログ記録手段をさらにそなえて構成されていることを特徴とする、請求項2〜請求項7のいずれか一項に記載の個人情報管理システム。
【請求項9】
該管理サーバの該無効化手段が、該復号鍵送信手段によって該クライアント端末に送信されるべき該復号鍵を変更することにより、該個人情報ファイルを無効化することを特徴とする、請求項3〜請求項8のいずれか一項に記載の個人情報管理システム。
【請求項10】
該管理サーバの該無効化手段が、該復号鍵送信手段による該復号鍵の送信を禁止することにより、該個人情報ファイルを無効化することを特徴とする、請求項3〜請求項8のいずれか一項に記載の個人情報管理システム。
【請求項11】
該管理サーバの該無効化手段が、該ログ記録手段によって記録されたログに基づき該個人情報ファイルの送信先のクライアント端末に該個人情報ファイルの削除指令を送信し、該クライアント端末において該個人情報ファイルを削除させることにより、該個人情報ファイルを無効化することを特徴とする、請求項8記載の個人情報管理システム。
【請求項12】
該管理サーバが、
該無効化手段によって該個人情報ファイルを無効化した場合には、その旨を該クライアント端末に通知することにより、該個人情報カプセルに対するアクセス要求の再実行を該利用者に促す通知手段をさらにそなえて構成されていることを特徴とする、請求項1〜請求項11のいずれか一項に記載の個人情報管理システム。
【請求項13】
特定の個人を識別可能な個人情報を、該特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバであって、
該個人情報カプセルを生成する生成手段と、
該生成手段によって生成された個人情報カプセルを保存する保存手段と、
該保存手段に保存された該個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、
利用者から該クライアント端末を通じて該個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、
該アクセス要求受信手段によって該アクセス要求を受信した場合、該アクセス要求を送信した利用者に対し該フィルタ設定手段によって設定された該フィルタを用いて該個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を該個人情報カプセルから抽出するフィルタリング手段と、
該フィルタリング手段によって該個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして該クライアント端末に送信する個人情報ファイル送信手段と、
該保存手段に保存された該個人情報カプセルの内容を変更する変更手段と、
該変更手段によって該個人情報カプセルの内容が変更された場合、変更を施された該個人情報カプセルから変更前に抽出されて該クライアント端末に送信された該個人情報ファイルを無効化する無効化手段と、
該生成手段によって生成された該個人情報カプセル、もしくは、該変更手段によって変更された該個人情報カプセル、もしくは、該フィルタリング手段によって得られた該個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、
該クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、
該個人情報探査手段によって探査された個人情報に該デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を該管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして該保存手段に登録・保存する手段と、
該個人情報探査手段によって探査された個人情報に該デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を該管理サーバの管理対象として登録することを望まない場合、当該個人情報を該クライアント端末から削除する削除手段とをそなえて構成されていることを特徴とする、個人情報管理サーバ。
【請求項14】
該探査手段が、
該クライアント端末におけるデータに含まれるデータ集合体のテキストデータを抽出する抽出手段と、
該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段と、
該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段と、
該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段と、
該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段と、
該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該データ集合体が個人情報であるか否かを判定する第2判定手段とをそなえて構成されていることを特徴とする、請求項13記載の個人情報管理サーバ。
【請求項15】
該個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の該クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、該暗号化ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させる暗号化手段と、
該クライアント端末から該暗号化ファイルについての認証情報を受信する認証情報受信手段と、
該認証情報受信手段によって受信された該認証情報に基づいて、該クライアント端末が該暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段と、
該判定手段によって該クライアント端末が正当な送信先であると判定された場合、該暗号化ファイルを復号化するための復号鍵を該クライアント端末に送信する復号鍵送信手段とをさらにそなえて構成されていることを特徴とする、請求項13または請求項14に記載の個人情報管理サーバ。
【請求項16】
該個人情報ファイル送信手段によって送信される個人情報ファイルを、コンテナ機能を有する完成文書ファイルに変換する変換手段をさらにそなえて構成され、
該暗号化手段が、該変換手段によって得られた完成文書ファイルに、該コンテナ機能を用いて該個人情報ファイルのオリジナルファイルを添付した状態で、該完成文書ファイルを暗号化し、暗号化された該完成文書ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させることを特徴とする、請求項15記載の個人情報管理サーバ。
【請求項17】
該暗号化ファイルに対する所定のアクセス権限を、該個人情報ファイルの送信先の利用者に応じて設定するアクセス権限設定手段をさらにそなえて構成されていることを特徴とする、請求項16記載の個人情報管理サーバ。
【請求項18】
該クライアント端末からの該個人情報カプセルに対するアクセス要求に応じて実行された該個人情報ファイルの送信の履歴をログとして記録するログ記録手段をさらにそなえて構成されていることを特徴とする、請求項13〜請求項17のいずれか一項に記載の個人情報管理サーバ。
【請求項19】
該無効化手段が、該復号鍵送信手段によって該クライアント端末に送信されるべき該復号鍵を変更することにより、該個人情報ファイルを無効化することを特徴とする、請求項15〜請求項18のいずれか一項に記載の個人情報管理サーバ。
【請求項20】
該無効化手段が、該復号鍵送信手段による該復号鍵の送信を禁止することにより、該個人情報ファイルを無効化することを特徴とする、請求項15〜請求項18のいずれか一項に記載の個人情報管理サーバ。
【請求項21】
該無効化手段が、該ログ記録手段によって記録されたログに基づき該個人情報ファイルの送信先のクライアント端末に該個人情報ファイルの削除指令を送信し、該クライアント端末において該個人情報ファイルを削除させることにより、該個人情報ファイルを無効化することを特徴とする、請求項18記載の個人情報管理サーバ。
【請求項22】
該無効化手段によって該個人情報ファイルを無効化した場合には、その旨を該クライアント端末に通知することにより、該個人情報カプセルに対するアクセス要求の再実行を該利用者に促す通知手段をさらにそなえて構成されていることを特徴とする、請求項13〜請求項21のいずれか一項に記載の個人情報管理サーバ。
【請求項23】
特定の個人を識別可能な個人情報を、該特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバとしてコンピュータを機能させる個人情報管理プログラムであって、
該個人情報カプセルを生成する生成手段、
該生成手段によって生成された個人情報カプセルを保存する保存手段、
該保存手段に保存された該個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段、
利用者から該クライアント端末を通じて該個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段、
該アクセス要求受信手段によって該アクセス要求を受信した場合、該アクセス要求を送信した利用者に対し該フィルタ設定手段によって設定された該フィルタを用いて該個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を該個人情報カプセルから抽出するフィルタリング手段、
該フィルタリング手段によって該個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして該クライアント端末に送信する個人情報ファイル送信手段、
該保存手段に保存された該個人情報カプセルの内容を変更する変更手段、
該変更手段によって該個人情報カプセルの内容が変更された場合、変更を施された該個人情報カプセルから変更前に抽出されて該クライアント端末に送信された該個人情報ファイルを無効化する無効化手段、
該生成手段によって生成された該個人情報カプセル、もしくは、該変更手段によって変更された該個人情報カプセル、もしくは、該フィルタリング手段によって得られた該個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段、
該クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段、
該個人情報探査手段によって探査された個人情報に該デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を該管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして該保存手段に登録・保存する手段、および、
該個人情報探査手段によって探査された個人情報に該デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を該管理サーバの管理対象として登録することを望まない場合、当該個人情報を該クライアント端末から削除する削除手段として、該コンピュータを機能させることを特徴とする、個人情報管理プログラム。
【請求項24】
該探査手段として該コンピュータを機能させる際に、
該クライアント端末におけるデータに含まれるデータ集合体のテキストデータを抽出する抽出手段、
該抽出手段によって抽出されたテキストデータから、区切り文字によって区切られた文字区間を切り出す切出手段、
該切出手段によって切り出された文字区間における文字列が、予め設定された電話番号判定条件,電子メールアドレス判定条件および住所判定条件のいずれか一つを満たすか否かの判定を行なうことにより、氏名以外の個人情報要素である電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当するか否かを判定する第1判定手段、
該第1判定手段によって電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間における文字の数が所定範囲内であり且つ同文字区間における文字が漢字であるか否かを判定する文字判定手段、
該文字判定手段によって前記所定範囲内であり且つ漢字であると判定された文字区間について、当該文字区間に含まれる文字もしくは文字列と氏名において出現し得ない漢字もしくは漢字列として予め設定された不適切文字もしくは不適切文字列とを照合することにより、当該文字区間が前記の不適切文字もしくは不適切文字列を含むか否かを判定する照合手段、および、
該第1判定手段によって電話番号,電子メールアドレスおよび住所のうちのいずれか一つに該当すると判定された文字区間の数と該照合手段によって前記の不適切文字もしくは不適切文字列を含まないと判定された文字区間の数とをそれぞれ計数し、その計数結果に基づいて、当該データ集合体が個人情報であるか否かを判定する第2判定手段として、該コンピュータを機能させることを特徴とする、請求項23記載の個人情報管理プログラム。
【請求項25】
該個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の該クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、該暗号化ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させる暗号化手段、
該クライアント端末から該暗号化ファイルについての認証情報を受信する認証情報受信手段、
該認証情報受信手段によって受信された該認証情報に基づいて、該クライアント端末が該暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段、および、
該判定手段によって該クライアント端末が正当な送信先であると判定された場合、該暗号化ファイルを復号化するための復号鍵を該クライアント端末に送信する復号鍵送信手段として、該コンピュータをさらに機能させることを特徴とする、請求項23または請求項24に記載の個人情報管理プログラム。
【請求項26】
該個人情報ファイル送信手段によって送信される個人情報ファイルを、コンテナ機能を有する完成文書ファイルに変換する変換手段として、該コンピュータをさらに機能させ、
該暗号化手段が、該変換手段によって得られた完成文書ファイルに、該コンテナ機能を用いて該個人情報ファイルのオリジナルファイルを添付した状態で、該完成文書ファイルを暗号化し、暗号化された該完成文書ファイルを該個人情報ファイルとして該個人情報ファイル送信手段に送信させるように、該コンピュータを機能させることを特徴とする、請求項25記載の個人情報管理プログラム。
【請求項27】
該暗号化ファイルに対する所定のアクセス権限を、該個人情報ファイルの送信先の利用者に応じて設定するアクセス権限設定手段として、該コンピュータをさらに機能させることを特徴とする、請求項26記載の個人情報管理プログラム。
【請求項28】
該クライアント端末からの該個人情報カプセルに対するアクセス要求に応じて実行された該個人情報ファイルの送信の履歴をログとして記録するログ記録手段として、該コンピュータをさらに機能させることを特徴とする、請求項23〜請求項27のいずれか一項に記載の個人情報管理プログラム。
【請求項29】
該無効化手段が、該復号鍵送信手段によって該クライアント端末に送信されるべき該復号鍵を変更することにより、該個人情報ファイルを無効化するように、該コンピュータを機能させることを特徴とする、請求項25〜請求項28のいずれか一項に記載の個人情報管理プログラム。
【請求項30】
該無効化手段が、該復号鍵送信手段による該復号鍵の送信を禁止することにより、該個人情報ファイルを無効化するように、該コンピュータを機能させることを特徴とする、請求項25〜請求項28のいずれか一項に記載の個人情報管理プログラム。
【請求項31】
該無効化手段が、該ログ記録手段によって記録されたログに基づき該個人情報ファイルの送信先のクライアント端末に該個人情報ファイルの削除指令を送信し、該クライアント端末において該個人情報ファイルを削除させることにより、該個人情報ファイルを無効化するように、該コンピュータを機能させることを特徴とする、請求項28記載の個人情報管理プログラム。
【請求項32】
該無効化手段によって該個人情報ファイルを無効化した場合には、その旨を該クライアント端末に通知することにより、該個人情報カプセルに対するアクセス要求の再実行を該利用者に促す通知手段として、該コンピュータをさらに機能させることを特徴とする、請求項23〜請求項31のいずれか一項に記載の個人情報管理プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2006−317992(P2006−317992A)
【公開日】平成18年11月24日(2006.11.24)
【国際特許分類】
【出願番号】特願2005−136809(P2005−136809)
【出願日】平成17年5月10日(2005.5.10)
【特許番号】特許第3799479号(P3799479)
【特許公報発行日】平成18年7月19日(2006.7.19)
【出願人】(592112938)クオリティ株式会社 (121)
【Fターム(参考)】
【公開日】平成18年11月24日(2006.11.24)
【国際特許分類】
【出願日】平成17年5月10日(2005.5.10)
【特許番号】特許第3799479号(P3799479)
【特許公報発行日】平成18年7月19日(2006.7.19)
【出願人】(592112938)クオリティ株式会社 (121)
【Fターム(参考)】
[ Back to top ]