個人情報管理システム,個人情報管理サーバおよび個人情報管理プログラム
【課題】利用者にとって不必要と思われる内容が不用意に送信されるのを防止し、個人情報の不用意な流出・漏洩や個人情報の不正利用などを防止し、個人情報を保護する。
【解決手段】個人情報カプセルにクライアント端末20からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定し、利用者から個人情報カプセルに対するアクセス要求があると、その利用者に対し設定されたフィルタを用いて個人情報カプセル内の個人情報要素のフィルタリング処理を行なって当該利用者の利用可能な個人情報要素を個人情報カプセルから抽出し、抽出された個人情報要素を個人情報ファイルとしてクライアント端末20に送信する。個人情報カプセルの内容が変更された場合に、復号鍵を変更することにより、クライアント端末側での個人情報ファイルの復号化を不能にする。
【解決手段】個人情報カプセルにクライアント端末20からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定し、利用者から個人情報カプセルに対するアクセス要求があると、その利用者に対し設定されたフィルタを用いて個人情報カプセル内の個人情報要素のフィルタリング処理を行なって当該利用者の利用可能な個人情報要素を個人情報カプセルから抽出し、抽出された個人情報要素を個人情報ファイルとしてクライアント端末20に送信する。個人情報カプセルの内容が変更された場合に、復号鍵を変更することにより、クライアント端末側での個人情報ファイルの復号化を不能にする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、特定の個人を識別可能な個人情報を、その特定の個人に関する複数の個人情報要素からなるデータセット(個人情報カプセル)として管理し、その個人情報カプセルから各利用者に応じた内容を取り出して各利用者に利用させる、個人情報の提供サービスを実現するための技術に関する。
【背景技術】
【0002】
例えば、下記特許文献1には、携帯電話などのモバイル端末やパーソナルコンピュータへの電話や電子メール送信者の個人情報を、ネットワークを介して管理する技術が開示されている。この特許文献1に開示された技術において、利用者は、発信端末からネットワークを使用し、氏名,住所,電話番号,メールアドレス,写真等の個人情報を個人情報管理サーバに登録しておき、発信端末から着信端末に電話や電子メールを送信する際に個人情報通知許可が設定してある場合、電話や電子メールを受信した着信端末から個人情報取得操作を行なうことにより、サーバで電話番号,メールアドレスを索引として発信者の個人情報が検索され、検索された個人情報がサーバから着信端末に送信されるようになっている。
【特許文献1】特開2005−51475号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
ところで、上記特許文献1に開示された技術のごとく個人情報を利用者に提供するシステムでは、個人情報取得操作を行なった利用者に対し、個人情報管理サーバに登録されている個人情報がそのまま送信・提供されることになる。
【0004】
個人情報の保護の意識が高まり個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することが望まれている昨今、上述のように個人情報取得操作を行なった全ての利用者に対し一律同じ内容の個人情報を送信・提供するのではなく、利用者に応じた内容の個人情報のみを送信・提供できるようにして、利用者にとって不必要と思われる内容(個人情報要素)までもが不用意に送信されるのを防止することが望まれている。
【0005】
例えば、企業等において、特定の個人を識別可能な各種個人情報要素を含む個人情報を一元的に管理しながら利用者が特定の個人の個人情報を閲覧・利用する際に、利用者がその特定の個人の上司や管理者である場合には詳細な内容(個人情報要素)を閲覧・利用可能にする一方で、利用者が同僚や部下である場合には個人情報の一部のみを閲覧・利用可能にするといったように、利用者に応じた内容の個人情報要素のみを利用者に提供できるようにしたシステムの構築が望まれている。
【0006】
また、ドキュメント等の電子ファイルを取り扱う利用者端末(PC)は、どこへでも持ち運ぶことが可能であり、もちろん、輸出規制対象国〔例えばキャッチオール規制の対象とならないホワイト国(2006年5月現在で26カ国)以外の国〕や、利用者の所属する企業が許可しない国/地域に持ち込むことも可能である。そのような国や地域で、輸出規制対象の技術等に関連する技術者の個人情報ファイルを開いて閲覧したりすることは、輸出規制対象の技術等が輸出規制対象国や地域で流出する機会を生じさせることになるため好ましくない。従って、予め規定された国や地域において、特定の個人情報ファイルの開封を禁止できるようにすることが望まれている。
【0007】
また、以上の個人情報を管理するシステムにおいては、唯一無二の電子ファイルが生成されて保存されている必要があり、スキャナで文字を取り込む際に生じた誤字、あるいは、キー入力の際の入力や仮名漢字変換の誤り、例えば、「山田一郎」と「山田一朗」のような間違いによって、別個の電子ファイルが生じてしまうことは絶対に避けなければならない。
【0008】
同様に、同じ読みであっても新字体と旧字体との違いのように、「広瀬和夫」と「廣瀬和夫」のような異なる文字が使用されることで、本来は同一の電子ファイルが別個に発生する事態も避けなければならない。
【0009】
本発明は、このような状況に鑑み創案されたもので、特定の個人についての個人情報を利用する利用者に対し、その利用者あるいは利用者所在地に適した内容の個人情報要素のみを提供できるようにして、利用者にとって不必要と思われる内容が不用意に送信されるのを防止し、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止し、個人情報の保護を実現することを目的としている。
【0010】
また、以上のような状況に鑑み創案されたもので、特定の個人についての個人情報を生成し、利用する利用者に対し、正確な個人情報要素のみを生成し提供できるようにして、個人情報の不用意な生成・流出・漏洩や個人情報の不正利用などを確実に防止し、個人情報の保護を実現することを目的としている。
【課題を解決するための手段】
【0011】
上記目的を達成するための本発明は、以下に列記するように構成されている。
(1)請求項1記載の発明は、特定の個人を識別可能な個人情報を、前記特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する管理サーバと、前記管理サーバと相互に通信可能に接続され、前記個人情報カプセルにアクセスして前記個人情報カプセル内の個人情報要素を利用しうるクライアント端末とを備えた個人情報管理システムであって、前記管理サーバが、前記個人情報カプセルを生成する生成手段と、前記生成手段によって生成された個人情報カプセルを保存する保存手段と、前記保存手段に保存された前記個人情報カプセルに前記クライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段と、前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段と、前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段と、前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段と、前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段と、前記個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の前記クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、前記暗号化ファイルを前記個人情報ファイルとして前記個人情報ファイル送信手段に送信させる暗号化手段と、前記クライアント端末から前記暗号化ファイルについての認証情報を受信する認証情報受信手段と、前記認証情報受信手段によって受信された前記認証情報に基づいて、前記クライアント端末が前記暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段と、前記暗号化ファイルを復号化するための復号鍵を保存する復号鍵保存手段と、前記判定手段によって前記クライアント端末が正当な送信先であると判定された場合に前記復号鍵を前記クライアント端末に送信する復号鍵送信手段とを備えて構成され、前記クライアント端末が、前記個人情報カプセルに対するアクセス要求を前記管理サーバに送信するアクセス要求送信手段と、前記管理サーバから前記アクセス要求に応じた前記個人情報ファイルを受信する個人情報ファイル受信手段と、前記個人情報ファイル受信手段によって受信された前記個人情報ファイルである暗号化ファイルを開く場合に、前記暗号化ファイルについての認証情報を前記管理サーバに送信する認証情報送信手段と、前記暗号化ファイルに応じた復号鍵を前記管理サーバから受信する復号鍵受信手段と、前記復号鍵受信手段によって受信された前記復号鍵を用いて前記暗号化ファイルを復号化し元の個人情報ファイルを復元する復号化手段とを備えて構成され、前記復号鍵保存手段は、前記個人情報カプセルの内容が変更された場合に、前記無効化手段からの無効化指令を受けて前記復号鍵を変更することにより、前記クライアント端末側での前記個人情報ファイルの復号化を不能にする、ことを特徴とする個人情報管理システムである。
【0012】
(2)請求項2記載の発明は、前記クライアント端末が、該クライアント端末において前記個人情報ファイルを開封する際に、当該個人情報ファイルの開封要求としての復号鍵送信要求を前記管理サーバに送信する開封要求送信手段を備えて構成されるとともに、前記管理サーバが、前記クライアント端末から前記開封要求としての復号鍵送信要求を受信する開封要求受信手段と、前記開封要求受信手段によって前記開封要求としての復号鍵送信要求を受信した時点における前記クライアント端末の所在位置を検出する位置検出手段と、前記位置検出手段によって検出された前記所在位置が予め定められた所定条件を満たしているか否かを判定する判定手段と、前記判定手段によって前記所在位置が前記所定条件を満たしていると判定された場合に前記クライアント端末での前記個人情報ファイルの開封を許可する一方、前記所在位置が前記所定条件を満たしていないと判定された場合に前記クライアント端末での前記個人情報ファイルの開封を禁止する開封許否手段とをそなえて構成されている、ことを特徴とする請求項1記載の個人情報ファイル管理システムである。
【0013】
(3)請求項3記載の発明は、特定の個人を識別可能な個人情報を、前記特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する管理サーバと、前記管理サーバと相互に通信可能に接続され、前記個人情報カプセルにアクセスして前記個人情報カプセル内の個人情報要素を利用しうるクライアント端末とを備えた個人情報管理システムであって、前記管理サーバが、前記個人情報カプセルを生成する生成手段と、前記生成手段によって生成された個人情報カプセルを保存する保存手段と、前記保存手段に保存された前記個人情報カプセルに前記クライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に
対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段と、前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段と、前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段と、前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段と、前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段と、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段と、を備えて構成され、前記生成手段は、前記クライアント端末からの個人情報カプセル生成要求に基づいて新たに生成しようとする個人情報カプセルについて、前記保存手段で保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、類似する個人情報カプセルが既に存在する場合には、クライアント端末に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成する、ことを特徴とする個人情報管理システムである。
【0014】
(4)請求項4記載の発明は、特定の個人を識別可能な個人情報を、前記特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバであって、前記個人情報カプセルを生成する生成手段と、前記生成手段によって生成された個人情報カプセルを保存する保存手段と、前記保存手段に保存された前記個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段と、前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段と、前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段と、前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段と、前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人
情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段と、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段と、前記個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の前記クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、前記暗号化ファイルを前記個人情報ファイルとして前記個人情報ファイル送信手段に送信させる暗号化手段と、前記クライアント端末から前記暗号化ファイルについての認証情報を受信する認証情報受信手段と、前記認証情報受信手段によって受信された前記認証情報に基づいて、前記クライアント端末が前記暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段と、前記暗号化ファイルを復号化するための復号鍵を保存する復号鍵保存手段と、前記判定手段によって前記クライアント端末が正当な送信先であると判定された場合に前記復号鍵を前記クライアント端末に送信する復号鍵送信手段とを備えて構成され、前記復号鍵保存手段は、前記個人情報カプセルの内容が変更された場合に、前記無効化手段からの無効化指令を受けて前記復号鍵を変更することにより、前記クライアント端末側での前記個人情報ファイルの復号化を不能にする、ことを特徴とする個人情報管理サーバである。
【0015】
(5)請求項5記載の発明は、クライアント端末において前記個人情報ファイルが開封される際に、前記クライアント端末から前記開封要求としての復号鍵送信要求を受信する開封要求受信手段と、前記開封要求受信手段によって前記開封要求としての復号鍵送信要求を受信した時点における前記クライアント端末の所在位置を検出する位置検出手段と、前記位置検出手段によって検出された前記所在位置が予め定められた所定条件を満たしているか否かを判定する判定手段と、前記判定手段によって前記所在位置が前記所定条件を満たしていると判定された場合に前記クライアント端末での前記個人情報ファイルの開封を許可する一方、前記所在位置が前記所定条件を満たしていないと判定された場合に前記クライアント端末での前記個人情報ファイルの開封を禁止する開封許否手段とをそなえて構成されている、ことを特徴とする請求項4記載の個人情報ファイル管理サーバである。
【0016】
(6)請求項6記載の発明は、特定の個人を識別可能な個人情報を、前記特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバであって、前記個人情報カプセルを生成する生成手段と、前記生成手段によって生成された個人情報カプセルを保存する保存手段と、前記保存手段に保存された前記個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段と、前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段と、前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段と、前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段と、前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、前記クライアント
端末におけるデータの中から個人情報を探査する個人情報探査手段と、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段と、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段と、前記生成手段は、前記クライアント端末からの個人情報カプセル生成要求に基づいて新たに生成しようとする個人情報カプセルについて、前記保存手段で保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、類似する個人情報カプセルが既に存在する場合には、クライアント端末に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成する、ことを特徴とする個人情報管理サーバである。
【0017】
(7)請求項7記載の発明は、特定の個人を識別可能な個人情報を、該特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバとしてコンピュータを機能させる個人情報管理プログラムであって、前記個人情報カプセルを生成する生成手段、前記生成手段によって生成された個人情報カプセルを保存する保存手段、前記保存手段に保存された前記個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段、利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段、前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段、前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段、前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段、前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段、前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段、前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段、前記個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の前記クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、前記暗号化ファイルを前記個人情報ファイルとして前記個人情報ファイル送信手段に送信させる暗号化手段、前記クライアント端末から前記暗号化ファイルについての認証情報を受信する認証情報受信手段、前記認証情報受信手段によって受信された前記認証情報に基づいて、前記クライアント端末が前記暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段、および、前記暗
号化ファイルを復号化するための復号鍵を保存するとともに、前記判定手段によって前記クライアント端末が正当な送信先であると判定された場合に前記復号鍵を前記クライアント端末に送信するとともに、前記個人情報カプセルの内容が変更された場合に、前記無効化手段からの無効化指令を受けて前記復号鍵を変更することにより、前記クライアント端末側での前記個人情報ファイルの復号化を不能にする復号鍵保存手段、として該コンピュータを機能させることを特徴とする個人情報管理プログラムである。
【0018】
(8)請求項8記載の発明は、クライアント端末において前記個人情報ファイルが開封される際に、前記クライアント端末から前記開封要求としての復号鍵送信要求を受信する開封要求受信手段、前記開封要求受信手段によって前記開封要求としての復号鍵送信要求を受信した時点における前記クライアント端末の所在位置を検出する位置検出手段、前記位置検出手段によって検出された前記所在位置が予め定められた所定条件を満たしているか否かを判定する判定手段、前記判定手段によって前記所在位置が前記所定条件を満たしていると判定された場合に前記クライアント端末での前記個人情報ファイルの開封を許可する一方、前記所在位置が前記所定条件を満たしていないと判定された場合に前記クライアント端末での前記個人情報ファイルの開封を禁止する開封許否手段、として該コンピュータを機能させることを特徴とする請求項7記載の個人情報管理プログラムである。
【0019】
(9)請求項9記載の発明は、特定の個人を識別可能な個人情報を、該特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバとしてコンピュータを機能させる個人情報管理プログラムであって、前記個人情報カプセルを生成する生成手段、前記生成手段によって生成された個人情報カプセルを保存する保存手段、前記保存手段に保存された前記個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段、利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段、前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段、前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段、前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段、前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段、前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段、前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段、前記クライアント端末からの個人情報カプセル生成要求に基づいて新たに生成しようとする個人情報カプセルについて、前記保存手段で保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、類似する個人情報カプセルが既に存在する場合
には、クライアント端末に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成する手段、として該コンピュータを機能させることを特徴とする個人情報管理プログラムである。
【発明の効果】
【0020】
上述した本発明によれば、以下に述べるような効果を得ることができる。
(1)請求項1記載の発明では、個人情報管理サーバ(管理サーバ)において、特定の個人を識別可能な個人情報が、標準化されたデータセットである個人情報カプセルとして一元的に管理される。そして、個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタが設定されており、利用者から個人情報カプセルに対するアクセス要求があると、その利用者に対し設定されたフィルタを用いて個人情報カプセル内の個人情報要素のフィルタリング処理が行なわれ当該利用者の利用可能な個人情報要素が個人情報カプセルから抽出され、抽出された個人情報要素が個人情報ファイルとしてクライアント端末に送信される。これにより、特定の個人についての個人情報を利用する利用者に対し、その利用者に応じた内容の個人情報要素のみを提供することができるので、利用者にとって不必要と思われる内容が不用意に送信されることがなくなり、個人情報の不用意な流出・漏洩や個人情報の不正利用などが確実に防止され、個人情報の保護を実現することができる。
【0021】
ここで、個人情報ファイルを管理サーバからクライアント端末に送信する際、個人情報ファイルが、送信先のクライアント端末に応じた暗号鍵を用いて暗号化され、暗号化ファイルとして送信され、管理サーバによって認証される正当な利用者(正当な送信先であるクライアント端末の利用者)のみが暗号化ファイルを復号化してアクセスできるように構成することにより、管理サーバからクライアント端末に送信された個人情報ファイルの内容が不用意に流出・漏洩したり不正利用されたりするのを確実に防止でき、個人情報を確実に保護することができる。
【0022】
そして、個人情報カプセルの内容が変更された場合に、無効化手段からの無効化指令を受けて復号鍵を変更することにより、クライアント端末側での個人情報ファイルの復号化を不能にすることで個人情報ファイルを無効化する。
【0023】
すなわち、個人情報管理サーバにおいて、変更を施された個人情報カプセルから変更前に抽出されてクライアント端末に送信された個人情報ファイルを無効化するように構成することにより、個人情報カプセルの内容が変更されると、変更前の個人情報ファイルが無効化され誰も利用できなくなるため、変更前の個人情報ファイルであっても不用意な流出・漏洩や不正利用が確実に防止され、個人情報を確実に保護することができる。
【0024】
(2)請求項2記載の発明では、クライアント端末において利用者が電子ファイルを開封する際に、その個人情報ファイルの開封要求が管理サーバに送信され、この開封要求としての復号鍵送信要求を受けた管理サーバにおいて、個人情報ファイルの開封時におけるクライアント端末の所在位置(所在国)が検出され、検出された所在位置が所定条件〔所定の国(例えばホワイト国)であること〕を満たしているか否かが判定され、クライアント端末での個人情報ファイル開封直前にクライアント端末の所在位置を確認することができる。そして、クライアント端末の所在位置が所定条件(例えば輸出規制対象国内ではない)を満たす場合にのみ個人情報ファイルの開封を許可することにより、個人情報ファイルの内容が、輸出規制対象国や地域などで利用者の知らないうちに流出・漏洩してしまうのを確実に防止することができる。
【0025】
ここで、以上のように復号鍵を変更した後、変更後の復号鍵についてのクライアント端末への送信を禁止することにより、個人情報ファイルを無効化している。このため、変更
前の個人情報ファイルの復号化が不能になり、確実に無効化され誰も利用できなくなるため、変更前の個人情報ファイルであっても不用意な流出・漏洩や不正利用が確実に防止され、個人情報を確実に保護することができる。
【0026】
なお、変更前の個人情報ファイルを無効化する手段は、例えば、クライアント端末に送信されるべき復号鍵(暗号化ファイルを復号化するための鍵)を変更したり、その復号鍵の送信を禁止したり、送信履歴ログに基づき個人情報ファイルの送信先のクライアント端末に個人情報ファイルの削除指令を送信して個人情報ファイルを削除させたりすることにより、極めて容易に実現することができる。
【0027】
また、管理サーバにおいて、クライアント端末からの個人情報カプセルに対するアクセス要求に応じて実行された個人情報ファイルの送信の履歴をログとして記録し、必要に応じてログの記録から削除指令を送信することにより、個人情報カプセルに対するアクセス状況が管理され、必要に応じて個人情報ファイルに対するアクセスを追跡管理可能になり、アクセスを追跡して無効化も可能になるので、個人情報の不正利用をより確実に防止することができる。
【0028】
また、以上のの発明では、管理サーバにおいて新たに生成された個人情報カプセルや変更を施された個人情報カプセルや個人情報ファイルに対しデジタル署名を付与することにより、個人情報カプセルや個人情報ファイルが改竄されていないことを保証することができ、第三者による偽造を防止することができる。その際、クライアント端末におけるデータの中から個人情報を探査し、探査された個人情報にデジタル署名が付与されていない場合には、その個人情報をクライアント端末から削除するように構成することにより、管理サーバでのデジタル署名を付与されていない個人情報は、管理サーバの管理下になく、クライアント端末等のローカルで作成された、正規ではない個人情報と判断され、クライアント端末から自動的に削除される。これにより、本発明のシステム内では、管理サーバによって一元的に管理される個人情報のみが存在して利用されることになり、個人情報を確実に管理して確実に保護することができる。
【0029】
また、以上の発明では、管理サーバにおいて、個人情報ファイルを、コンテナ機能を有する完成文書ファイルに変換し、そのコンテナ機能を用いて個人情報ファイルのオリジナルファイルを添付した状態で完成文書ファイルを暗号化してから個人情報ファイルとしてクライアント端末に送信することにより、個人情報ファイルが改竄困難な完成文書ファイルとして送信され、個人情報ファイルを改竄されて不正利用されるのを防止しながら、コンテナ機能により添付されたオリジナルファイルを用いて編集等の操作を行なうことも可能になる。
【0030】
また、以上の発明では、管理サーバが、暗号化ファイルに対する所定のアクセス権限を、個人情報ファイルの送信先の利用者に応じて設定するようにしており、クライアント端末は、復号化手段によって復元された個人情報ファイルに対するアクセスとして、アクセス権限設定手段によって設定されたアクセス権限に応じたアクセスを許可されるため、オリジナルファイルの取出し権限をアクセス権限として付与された利用者のみが行なえるようになり、そのオリジナルファイルの不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
【0031】
また、以上の発明では、利用者は、アクセス権限設定手段によって、該完成文書ファイルからオリジナルファイルを取り出す取出し権限と、取り出された前記オリジナルファイルの編集権限とを該所定のアクセス権限として設定されている場合には、クライアント端末において該編集手段によってオリジナルファイルを編集することを許可されるため、オリジナルファイルの取出し権限や編集権限をアクセス権限として付与された利用者のみが
行なえるようになるとともに、そのオリジナルファイルの不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
【0032】
また、以上の発明では、クライアント端末において、編集手段によって編集されたオリジナルファイルが該完成文書ファイル以外に保存されることが禁止されているため、編集等の操作は、オリジナルファイルの取出し権限や編集権限をアクセス権限として付与された利用者のみが行なえるようになるとともに、クライアント端末において編集後のオリジナルファイルは完成文書ファイル以外に保存されるのを禁止することにより、そのオリジナルファイルの不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
【0033】
また、以上の発明で、個人情報ファイルを無効化した場合にその旨を管理サーバからクライアント端末に自動的に通知することで、個人情報カプセルに対するアクセス要求の再実行を利用者に促すことができ、その通知を受けた利用者は自分の判断で再度アクセス要求を行なうことにより、変更後の最新の個人情報ファイルを得ることが可能になり、利用者の利便性を向上させることができる。ここで、利用者は、個人情報ファイルが無効化されたことで個人情報ファイルを利用できなくなったことを認識すると、再度アクセス要求を行なって、変更後の最新の個人情報ファイルを得ることが可能になる。
【0034】
(3)請求項3の発明では、クライアント端末からの個人情報カプセル生成要求に基づ
いて新たに生成しようとする個人情報カプセルについて、保存手段で保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、類似する個人情報カプセルが既に存在する場合には、クライアント端末に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成するようにしているため、スキャナでの読み取りで生じる誤字や、仮名漢字変換における誤り、キー入力時の誤入力などに起因する誤ったデータの電子ファイルが作成されることがなくなり、個人情報を管理するシステムにおいて唯一無二の電子ファイルが生成されて保存されるようになる。
【0035】
この際、管理サーバからクライアント端末へ、類似する個人情報カプセルが既に存在する場合には、クライアント端末に対する確認要求、クライアント端末に対する類似する個人情報カプセル存在通知と確認要求、類似する個人情報カプセルがクライアント端末に存在する場合におけるクライアント端末に対する類似個人情報カプセルの存在通知、のいずれの手法を用いても良い。そして、クライアント端末に対する確認要求に基づいて、クライアント端末から確認が得られた場合に新たな個人情報カプセルを生成することが望ましい。
【0036】
以上の(1)〜(3)に対応する個人情報管理サーバによっても、(1)〜(3)の場合と同様に、個人情報ファイルの不用意な流出・漏洩や不正利用が確実に防止され、個人情報を確実に保護することができ、唯一無二の個人情報カプセルの電子ファイルが生成される効果が得られる。
【0037】
また、以上の(1)〜(3)に対応する個人情報管理サーバとしてコンピュータを動作させる個人情報管理プログラムによっても、(1)〜(3)の場合と同様に、個人情報ファイルの不用意な流出・漏洩や不正利用が確実に防止され、個人情報を確実に保護することができ、唯一無二の個人情報カプセルの電子ファイルが生成される効果が得られる。
【発明を実施するための最良の形態】
【0038】
以下、図面を参照して本発明の実施の形態を説明する。
〔1〕本実施形態の個人情報管理システムの構成:
〔1−1〕個人情報管理システムの全体構成:
図2は本発明の一実施形態としての個人情報管理システムの全体概略構成を示すブロック図で、この図2に示す個人情報管理システム1は、個人情報管理サーバ10,クライアント端末20およびネットワーク30を備えて構成されている。また、図1は本発明の一実施形態としての個人情報管理システムの各部の構成を示すブロック図である。
【0039】
個人情報管理サーバ(管理サーバ)10は、後述する個人情報カプセルデータベース11および認証情報/復号鍵保存手段12を付設されて構成され、特定の個人を識別可能な個人情報を、その特定の個人に関する複数の個人情報要素からなるデータセットとして管理するものである。本実施形態のシステム1では、複数の個人情報要素からなるデータセットが標準化され個人情報カプセルとして管理され、例えば企業等の社内における一社員に対して一つの個人情報カプセルが生成・保存される。
【0040】
個人情報カプセルに含まれる個人情報要素としては、例えば、氏名,性別,年齢,生年月日,血液型,自宅情報(自宅の住所,電話番号,FAX番号,メールアドレス等),勤務先情報(勤務先名,所属部署,役職のほか勤務先の住所/電話番号/FAX番号/メールアドレス等),家族構成,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号,通院履歴,病歴,投薬情報,診療履歴のほか、本人に係る画像情報や音声情報などが挙げられる。
【0041】
クライアント端末20は、企業等の社内において各社員(利用者)によって操作されるパーソナルコンピュータ等であり、インターネット,イントラネット,社内LAN(Local Area Network)等のネットワーク30を介して個人情報管理サーバ10と相互に通信可能に接続され、利用者の操作に応じ、個人情報管理サーバ10によって管理される個人情報カプセルにアクセスして個人情報カプセル内の個人情報要素を利用しうるものである。利用者は、クライアント端末20およびネットワーク30を通じ、個人情報管理サーバ10によって提供される個人情報管理サービスの提供を利用することになり、例えば、自分の個人情報カプセルの生成/変更を行なったり、個人情報管理サーバ10における各社員の個人情報カプセルにアクセスして個人情報要素を取得し個人情報要素を編集して名簿や住所録を作成したりすることができる。
【0042】
〔1−2〕個人情報管理サーバの構成:
この図1に示すように、本実施形態の個人情報管理サーバ10は、上述したように個人情報カプセルデータベース11および認証情報/復号鍵保存手段12を付設されるとともに、後述する各種手段101〜119を備えて構成されている。これらの手段101〜119としての機能は、所定のアプリケーションプログラム(個人情報管理プログラム)を、サーバとして機能すべきコンピュータのCPU(Central Processing Unit)に実行さ
せることによって実現される。
【0043】
個人情報カプセルデータベース(保存手段)11は、後述する生成手段102によって生成された個人情報カプセルを保存するとともに、各個人情報カプセルの利用者に対して後述するフィルタ設定手段103によって設定されたフィルタを、当該個人情報カプセルおよびその利用者に対応付けて保存する機能も果たしている。
【0044】
認証情報/復号鍵保存手段12は、本実施形態の個人情報管理サーバ10によるサービスを利用すべく予め登録された利用者の認証情報(識別番号およびパスワード)を保存するとともに、後述する暗号化手段107によって得られた暗号化ファイルを復号化するための復号鍵を保存する機能も果たしている。
【0045】
個人情報カプセル生成/変更要求受信手段101は、ネットワーク30を介して、クライアント端末20から個人情報カプセル生成要求や個人情報カプセル変更要求を認証情報
(識別番号およびパスワード)とともに受信したり、個人情報管理サーバ10の入力装置(キーボードやマウス等)を通じて個人情報カプセル生成要求や個人情報カプセル変更要求を認証情報(識別番号およびパスワード)とともに受信したりするものである。その際、個人情報カプセルの内容として保存されるべき複数種類の個人情報要素、あるいは、既に登録されている個人情報カプセルに対する変更の内容も入力され個人情報カプセル生成/変更要求受信手段101によって受信されるものとする。つまり、個人情報要素や変更内容は、各社員(各個人)がクライアント端末20から入力してもよいし、社員の個人情報を管理する企業等における管理者が個人情報管理サーバ10に対して直接入力してもよい。個人情報要素や変更内容の入力は、利用者がキーボードやマウス等の入力装置を操作して行なってもよいし、用紙に印刷もしくは書き込まれた文字情報(名刺や名簿など)や画像情報をスキャナによって読み取ることによって行なってもよい。
【0046】
また、本実施形態の個人情報カプセル生成/変更要求受信手段101は、利用者によって入力された認証情報(識別番号およびパスワード)に基づいて、その利用者が本個人情報管理サービスの正当な利用者であるか否かの認証判定を行なう認証判定機能も併せもっているものとする。具体的には、利用者によって入力された識別番号およびパスワードが、認証情報/復号鍵保存手段12に予め登録・保存されている識別番号およびパスワードと一致するか否かを判定することにより、その利用者が正当な利用者であるか否かを判定・認証するものである。
【0047】
生成手段102は、個人情報カプセル生成/変更要求受信手段101の認証判定機能により正当な利用者であると判定された場合に、上述のごとく個人毎に入力・受信された複数種類の個人情報要素を含む所定フォーマットのデータセットを個人情報カプセルとして生成するものである。
【0048】
なお、この生成手段102は、クライアント端末20からの個人情報カプセル生成要求に基づいて新たに生成しようとする個人情報カプセルについて、個人情報カプセルデータベース11に保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、類似する個人情報カプセルが既に存在する場合には、クライアント端末20に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成する機能を有する。
【0049】
フィルタ設定手段103は、個人情報カプセルデータベース11に保存された個人情報カプセルにクライアント端末20からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するものである。ここで、個人情報カプセル毎や個人毎に対して異なるフィルタを設定してもよいし、同一のグループに属する利用者には同一のフィルタを設定してもよい。例えば、画像情報等を含む全ての個人情報を公開するレベルや、画像情報以外の個人情報を公開するレベルや、氏名および連絡先のみを公開するレベルといった、利用者のランク分けを行なうようにフィルタを設定することができる。また、例えば、企業等において、利用者が特定の社員の上司や管理者である場合には詳細な内容(個人情報要素)を閲覧・利用可能にする一方で、利用者が同僚や部下である場合には個人情報の一部のみを閲覧・利用可能にするといったように、フィルタを設定することもできる。
【0050】
なお、本実施形態において、フィルタ設定手段103によって設定されたフィルタは、個人情報カプセルデータベース11に保存されるものとする。その際、個人情報カプセル毎や利用者毎に対応付けて、あるいは、利用者のランクや役職に対応付けてフィルタを保存する。また、利用者毎に設定されるフィルタの内容については、個人情報カプセルの生成を要求した利用者本人がクライアント端末20から指示してもよいし、管理者が管理サーバ10で指示してもよいし、予め設定されたフィルタパターンを選択することで指示し
てもよいし、フィルタ設定対象の利用者のランクや役職等を認識しそのランク/役職等に応じて自動的に設定してもよい。
【0051】
アクセス要求受信手段104は、利用者からクライアント端末20およびネットワーク30を通じて個人情報カプセルに対するアクセス要求を認証情報(識別番号およびパスワード)とともに受信するものである。このアクセス要求受信手段104も、個人情報カプセル生成/変更要求受信手段101と同様、利用者によって入力された認証情報(識別番号およびパスワード)に基づいて、その利用者が本個人情報管理サービスの正当な利用者であるか否かの認証判定を行なう認証判定機能も併せもっているものとする。
【0052】
フィルタリング手段105は、アクセス要求受信手段104の認証判定機能により正当な利用者であると判定された場合に、アクセス要求対象の個人情報カプセルとその利用者について設定されたフィルタとを個人情報カプセルデータベース11から読み出し、読み出されたフィルタを用いて、読み出された個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を個人情報ファイルとして個人情報カプセルから抽出するものである。
【0053】
変換手段106は、フィルタリング手段105によって抽出された個人情報ファイルを、コンテナ機能を有する完成文書ファイル〔ここでは、改竄操作の困難なPDF(Portable Document Format)ファイル〕に変換するものである。
【0054】
暗号化手段107は、前記コンテナ機能を用いて当該PDFファイルに当該個人情報ファイルのオリジナルファイルを添付・格納してから、当該PDFファイルを、送信先のクライアント端末20に応じた暗号鍵で暗号化して暗号化ファイルを作成するものである。なお、PDFファイルへの変換は例えばPDFドライバによって行なわれ、このPDFドライバを起動することにより、管理対象ファイルがPDF化され、PDFファイルファイルが生成されるようになっている。
【0055】
また、ここで暗号化のために用いられた暗号鍵に対応する復号鍵〔暗号化ファイルを復号化(平文化)するための鍵〕は、認証情報/復号鍵保存手段12において、利用者もしくは暗号化ファイル(個人情報ファイル)に対応付けられて保存されているものとする。なお、この認証情報/復号鍵保存手段12は、請求項における復号鍵保存手段を構成しており、所定の場合に無効化指令を受けて復号鍵を変更することにより、クライアント端末20側での個人情報ファイルの復号化を不能にする。
【0056】
アクセス権限設定手段108は、暗号化ファイルに対する所定のアクセス権限を、個人情報ファイルの送信先の利用者に応じて設定するものである。このアクセス権限設定手段108により、暗号化ファイルにアクセスする利用者について、暗号化ファイルへのアクセス権限(例えば、閲覧,注釈,印刷,コピーのほか、コンテナ機能により添付されたオリジナルファイルの取出しや、取り出されたファイルの編集などのアクセスの中から選択されたものを実行する権限)の設定が自動的にもしくは利用者(管理者)の指示によって行なわれるものとする。これにより、クライアント端末20において、利用者は、後述するごとく復号化手段226によって復元された個人情報ファイルに対するアクセスとして、アクセス権限設定手段108によって設定されたアクセス権限に応じたアクセスを許可されるようになっている。
【0057】
個人情報ファイル送信手段109は、暗号化手段107によって得られた暗号化ファイル(原ファイルはフィルタリング手段105によって個人情報カプセルから抽出された個人情報要素を含む個人情報ファイル)をネットワーク30経由でクライアント端末20に送信するものである。
【0058】
ログ記録手段110は、クライアント端末20からの個人情報カプセルに対するアクセス要求に応じて実行された個人情報ファイルの送信の履歴(送信日時,送信先情報,送信されたファイルを特定するための情報など)をログとして記録するものである。
【0059】
認証情報受信手段111は、クライアント端末20において管理サーバ10から送信された暗号化ファイルを利用する際にクライアント端末20から送信されてくる暗号化ファイルについての認証情報(識別番号およびパスワード)を受信するものである。このとき、認証情報受信手段111は、認証情報とともに、暗号化ファイルを復号化するための開封要求としての復号鍵の送信要求もクライアント端末20から受信することになるため、開封要求受信手段を構成している。暗号化ファイルについての認証情報(識別番号およびパスワード)は、暗号化ファイル毎に設定されるものであるため、上述した個人情報カプセル生成/変更要求受信手段101,アクセス要求受信手段104の認証判定機能による利用者認証で必要になる認証情報とは異なるものであり、暗号化ファイルについての認証情報も、認証情報/復号鍵保存手段12に保存されているものとする。
【0060】
判定手段112は、上述した個人情報カプセル生成/変更要求受信手段101やアクセス要求受信手段104の認証判定機能と同様の機能を果たすもので、認証情報受信手段111によって受信された認証情報に基づいて、クライアント端末20が暗号化ファイルの正当な送信先であるか否かの判定(クライアント端末20を通じて暗号化ファイルにアクセスする利用者が本個人情報管理サービスの正当な利用者であるか否かの認証判定)を行なうものである。
【0061】
復号鍵送信手段113は、判定手段112によってクライアント端末20が正当な送信先であると判定された場合、アクセス要求対象の暗号化ファイルを復号化するための復号鍵を、認証情報/復号鍵保存手段12から読み出し、ネットワーク30経由でクライアント端末20に送信するものである。
【0062】
なお、この復号鍵送信手段113は、判定手段112によって利用者の所在位置が、後述するような所定条件を満たしていると判定された場合にクライアント端末20での個人情報ファイルの開封を許可する一方、所在位置が後述するように所定条件を満たしていないと判定された場合に復号鍵の送信を禁止してクライアント端末20での個人情報ファイルの開封を禁止する開封許否手段をも兼ねている。
【0063】
変更手段114は、個人情報カプセル生成/変更要求受信手段101の認証判定機能により正当な利用者であると判定された場合に、上述のごとく入力・受信された個人情報カプセルに対する変更の内容に従って、個人情報カプセルデータベース11に保存された、変更対象の個人情報カプセルの内容を変更するものである。
【0064】
無効化手段115は、変更手段114によって個人情報カプセルの内容が変更された場合、変更を施された個人情報カプセルから変更前に抽出されてクライアント端末20に送信された個人情報ファイルを無効化するものである。
【0065】
この無効化手段115による無効化手法としては、その個人情報ファイルに対応する暗号化ファイルを復号化する復号鍵(認証情報/復号鍵保存手段12に保存されているもの)を変更して新たな復号鍵を生成する手法や、その個人情報ファイルに対応する暗号化ファイルに対するアクセス要求(認証情報)を受信し利用者認証がなされても復号鍵送信手段113による復号鍵の送信を禁止する手法や、ログ記録手段110によって記録されたログに基づきその個人情報ファイルに対応する暗号化ファイルの送信先のクライアント端末20にそのファイルの削除指令を送信し、クライアント端末20において個人情報ファ
イルを削除させる手法などが用いられる。
【0066】
通知手段116は、無効化手段115によって個人情報ファイル(暗号化ファイル)を無効化した場合に、その旨を、ネットワーク30経由で電子メール等によりクライアント端末20に通知することにより、無効化された個人情報ファイル(暗号化ファイル)に対応する個人情報カプセルに対するアクセス要求の再実行を利用者に促すものである。
【0067】
デジタル署名付与手段117は、生成手段102によって生成された個人情報カプセルや、変更手段114によって変更された個人情報カプセルや、フィルタリング手段105によって得られた個人情報ファイルに対しデジタル署名を付与するものである。ここで、デジタル署名は、デジタル文書の正当性を保証するために付けられる暗号化された署名情報で、公開鍵暗号方式の応用によって、デジタル文書(ここでは個人情報カプセルや個人情報ファイル)の作成者を証明し、且つその文書が改竄されていないことを保証するものである。署名者(管理サーバ10側の管理者)は、自身の秘密鍵を用いて暗号化した署名をデジタル文書に付加して送る。受取人(クライアント端末20側の利用者)は、署名者の公開鍵を用いて署名を復号し、正しい内容かどうか確認する。これにより、第三者による偽造防止のほか、署名者がそのデジタル文書を作成したことの証明にも用いることができる。
【0068】
個人情報探査手段118は、クライアント端末20におけるデータの中から個人情報や個人情報ファイルを探査するもので、その探査はクライアント端末20のデータを管理サーバ10側に吸い上げて行なってもよいし、個人情報探査手段118により、各クライアント端末20に個人情報探査ツールを実現するための個人情報探査プログラムをインストールし、各クライアント端末20でその個人情報探査プログラムを実行させることで個人情報や個人情報ファイルの自己探査を実行させ、その自己探査の結果を各クライアント端末20から受信するようにしてもよい。
【0069】
ここで、個人情報ファイルの探査手法としては、後述する2つの探査手法のうちのいずれか一方を用いることができる。本実施形態において、個人情報ファイルの条件は、個人情報要素を含むレコードを所定数以上保有しているファイルであり、個人情報要素は、単体もしくは組合せによって特定の個人を識別することのできる文字列、例えば氏名,生年月日,連絡先(住所,居所,電話番号,メールアドレス)などである。また、個人情報要素としては、これら以外に、役職名,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号なども挙げられる。
【0070】
削除手段119は、個人情報探査手段118によって探査された個人情報や個人情報ファイルにデジタル署名付与手段117によるデジタル署名が付与されていない場合、個人情報や個人情報ファイルをクライアント端末20から削除するものであり、この削除手段119も、管理サーバ10側に備え管理サーバ10からネットワーク30経由で削除指示をクライアント端末20へ送信するようにしてもよいし、この削除手段119としての機能を実現するためのプログラムを上記個人情報探査プログラムとともに各クライアント端末20にインストールしクライアント端末20側で削除手段119としての機能を実現させてもよい。
【0071】
この削除手段119による個人情報や個人情報ファイルの削除を実行する前に、探査によって見つかった個人情報や個人情報ファイルを、管理サーバ10の管理対象である個人情報カプセルとして登録するか否かを問い合わせる機能を備えてもよい。登録する場合には、生成手段102により、探査された個人情報や個人情報ファイルに基づき個人情報カプセルを生成し個人情報カプセルデータベース11に登録・保存する。一方、登録しない場合には、探査された個人情報や個人情報ファイルを削除手段119により削除してもよ
いし、一定期限を設定し、その一定期限内に登録しない場合に、削除手段119により、探査された個人情報や個人情報ファイルを自動的に削除してもよい。なお、上述のような問い合せ機能を用いることなく、探査された個人情報や個人情報ファイルを削除手段119により直ちに強制削除することもできる。
【0072】
さらに、デジタル署名が付与されているが暗号化されていない個人情報や個人情報ファイルが探査された場合には、その個人情報や個人情報ファイルを暗号化ファイルに変換するか否かを問い合わせる機能を備えてもよい。暗号化ファイルに変換する場合、上述した変換手段106や暗号化手段107により、探査された個人情報や個人情報ファイルを暗号化ファイルに変換してもよい。一方、暗号化ファイルに変換しない場合、探査された個人情報や個人情報ファイルを削除手段119により削除してもよいし、一定期限を設定し、その一定期限内に暗号化ファイルに変換しない場合に、削除手段119により、探査された個人情報や個人情報ファイルを自動的に削除してもよい。なお、上述のような問い合せ機能を用いることなく、探査された個人情報や個人情報ファイルを変換手段106や暗号化手段107により直ちに暗号化ファイルに強制変換することもできる。
【0073】
位置検出手段121は、認証情報受信手段111によって開封要求としての復号鍵送信要求を受信した時点におけるクライアント端末20の所在位置を検出するものである。より具体的に、本実施形態において、位置検出手段121は、認証情報受信手段111によって開封要求としての復号鍵送信要求を受信した時点におけるクライアント端末20の接続環境からクライアント端末20の所在国を前記所在位置として検出するものである。この位置検出手段121は、クライアント端末20の接続環境として、例えば、クライアント端末20が最初に接続されたアクセスポイントやプロバイダ等のグローバルIPアドレスを参照することにより、クライアント端末20の所在国を検出することが可能である。この場合、プロバイダに割り当てられたグローバルIPアドレスを参照することにより、所在国や所在国内の大まかな地域を特定することが可能である。
【0074】
なお、クライアント端末20がGPS(Global Positioning System)機能を有してい
る場合には、そのGPS機能によって得られたクライアント端末20の所在地情報(緯度・経度情報)を、ネットワーク30を通じてクライアント端末20から受信することにより、位置検出手段121は、その緯度・経度情報からクライアント端末20の所在位置/所在国を検出するように構成してもよい。
【0075】
この場合、クライアント端末20側では定期的にGPS機能によって位置情報を取得することが望ましく、定期的に取得した所在地情報もしくは最終の所在地情報をネットワーク30を介して位置検出手段121に送信する。この場合、最新の所在地情報だけではなく、それ以前の経由地(経由国)なども、開封許否の判断対象とすることが望ましい。
【0076】
なお、位置検出手段121では、クライアント端末20の位置情報が取得できなくなって一定時間が経過した時点で、クライアント端末20の位置情報を無効化する。すなわち、クライアント端末20の最新の位置が不明であるとして扱う。
【0077】
また、以上のようにGPS機能によるクライアント端末20の所在地情報が無効化された場合であっても、大手プロバイダのIPアドレス情報やアクセスポイントの情報が取得できる場合には、位置検出手段121は、クライアント端末20の所在地情報は有効なものとして扱う。
【0078】
また、以上のようにGPS機能によるクライアント端末20の所在地情報が無効化された場合であって、中小のプロバイダのIPアドレス情報やアクセスポイントの情報が取得できる場合、あるいは、会社のサーバなどによるIPアドレス情報が取得できる場合は、
サーバから得られるクライアント端末20の所在地情報の信頼性が低いため、位置検出手段121は、クライアント端末20の所在地情報は無効なものとして扱うことが望ましい。
【0079】
なお、個人情報カプセル生成/変更要求受信手段101,アクセス要求受信手段104,個人情報ファイル送信手段109,認証情報受信手段111,復号鍵送信手段113,通知手段116などとしての機能としては、管理サーバ10が本来有している送受信機能を用いて実現される。
【0080】
また、認証情報/復号鍵保存手段12,変換手段106,暗号化手段107,アクセス権限設定手段108,個人情報ファイル送信手段109,ログ記録手段110,認証情報受信手段111,判定手段112,復号鍵送信手段113としての機能は、本実施形態では個人情報管理サーバ10にもたせているが、個人情報管理サーバ10とは別体で、ネットワーク30を介してもしくは直接的に個人情報管理サーバ10と通信可能に接続されたファイルアクセス管理サーバによって実現してもよい。
【0081】
同様に、個人情報探査手段118および削除手段119としての機能も、本実施形態では個人情報管理サーバ10にもたせているが、個人情報管理サーバ10とは別体で、ネットワーク30を介してもしくは直接的に個人情報管理サーバ10と通信可能に接続された他のサーバによって実現してもよく、その際、さらに、後述するPマークによる個人情報ファイルの管理を該他のサーバによって実行するようにしてもよい。
【0082】
〔1−3〕クライアント端末の構成:
図1に示すように、本実施形態のクライアント端末20は、後述する各種手段202,203,221〜227を備えて構成されている。これらの手段としての機能は、所定のアプリケーションプログラムを、クライアント端末として機能すべきコンピュータの制御手段220に実行させることによって実現される。なお、このクライアント端末20では、利用者からの各種操作や入力は操作手段202から入力される。また、クライアント端末20では、各種表示を表示手段203に行う。
【0083】
アクセス要求送信手段221は、利用者がクライアント端末20において管理サーバ10で管理されている個人情報カプセルの内容(個人情報要素)を利用して例えば名簿や住所録を作成する際に、個人情報カプセルに対するアクセス要求を認証情報(識別番号およびパスワード)とともにネットワーク30経由で管理サーバ10に送信するものである。
【0084】
個人情報ファイル受信手段222は、管理サーバ10から、アクセス要求送信手段221によって送信されたアクセス要求に応じた個人情報ファイルをネットワーク30経由で受信するものである。
【0085】
個人情報ファイル保存手段223は、個人情報ファイル受信手段222により管理サーバ10から受信された個人情報ファイルを保存するものである。
認証情報送信手段224は、個人情報ファイル保存手段223に保存されている個人情報ファイルである暗号化ファイルを開く場合に、暗号化ファイルについての認証情報(識別番号およびパスワード)をネットワーク30経由で管理サーバ10に送信するものである。
【0086】
なお、認証情報送信手段224は、このクライアント端末20において個人情報ファイルを開封する際に、当該個人情報ファイルの開封要求としての復号鍵送信要求を個人情報管理サーバ10に送信する開封要求送信手段をも兼ねている。
【0087】
復号鍵受信手段225は、その暗号化ファイルに応じた復号鍵を管理サーバ10からネットワーク30経由で受信するものである。
復号化手段226は、復号鍵受信手段225によって受信された復号鍵を用いて暗号化ファイルを復号化し元の個人情報ファイルを復元するものである。
【0088】
編集手段227は、復号化手段226によって復元された個人情報ファイルであるPDFファイルから取り出されたオリジナルファイルを編集するものであり、クライアント端末20を利用する利用者は、管理サーバ10のアクセス権限設定手段108によって、PDFファイルからオリジナルファイルを取り出す取出し権限と、取り出されたオリジナルファイルの編集権限とを所定のアクセス権限として設定されている場合、編集手段227によってオリジナルファイルを編集することを許可される。そして、クライアント端末20において、編集手段227によって編集されたオリジナルファイルは、そのオリジナルファイルを取り出したPDFファイル以外に保存されることが禁止されるように構成されている。つまり、編集されたオリジナルファイルは、そのオリジナルファイルを取り出したPDFファイルにしか保存することができないようになっている。
【0089】
〔1−4〕個人情報ファイルの探査手法:
ここで、本実施形態の個人情報探査手段118により個人情報ファイルを探査する際に用いられる、2つの探査手法について説明する。
【0090】
(1-4-1-A)第1の探査手法:
第1の探査手法では、以下のように、住所,電話番号,メールアドレス,氏名の出現頻度を数値化し、個人情報ファイルの特定を行なっている。
【0091】
まず、クライアント端末20における、ある一つのファイルに含まれる文字もしくは文字列と個人情報において特徴的に出現する文字/文字列として予め設定された特徴文字/特徴文字列とを照合し、特徴文字/特徴文字列が当該ファイルにおいて出現する回数を計数する。ただし、文字列による照合・認識を行なうとCPUにかかる負荷が極めて大きくなるので、1文字ずつの照合・認識を行なうものとする。従って、前記条件としては、特徴文字が1文字ずつ設定されている。なお、CPUの演算処理能力が十分に高い場合には文字列による照合・認識を行なってもよい。
【0092】
そして、当該ファイル(テキストファイル)から抽出された文字を、1文字ずつ、前記条件として設定された特徴文字と照合し、これらが一致する場合には、その特徴文字が出現したものと判断して、その特徴文字のカウント値を“1”カウントアップする。このようにして当該ファイルに含まれる全ての文字における、特徴文字の出現回数を計数してから、その計数結果に基づいて個人情報ファイルの特定(当該ファイルが個人情報ファイルであるか否かの判定)を行なっている。
【0093】
ここで、前記条件として予め設定される特徴文字について具体的に説明する。一般的な個人情報では、通常、住所が必須となる。そこで、日本国内の住所において特徴的に出現する文字を特徴文字として前記条件に設定登録しておく。例えば、住所情報には“都”,“道”,“府”,“県”,“市”,“区”,“町”,“村”,“郡”などが含まれている可能性が高く、“東京都”の場合、“東”,“京”の文字は通常文書中にも出現するが住所情報の場合、“都”と組合わせて出現することになるので、“都”の出現回数を住所数として見なすことが可能になる。同様に“府”や“県”や“道”も住所の見なし情報となるほか、“@”についてはメールアドレスの見なし情報として用いることが可能になる。
【0094】
具体的には、前記条件として以下のような特徴文字およびポイントが設定されている。
(1-4-1-A1)住所の見なし情報(特徴文字)として“東”,“京”,“都”,“大”,“
阪”,“府”,“北”,“海”,“道”が設定され、これらの特徴文字の計数値の合計が住所ポイント1として計数・算出される。
【0095】
(1-4-1-A2)住所の見なし情報(特徴文字)として、住所ポイント1以外の府県名、つまり“山”,“形”,“神”,“奈”,“川”,“埼”,“玉”,…,“福”,“岡”,“県”などが設定され、これらの特徴文字の計数値の合計が住所ポイント2として計数・算出される。
【0096】
(1-4-1-A3)住所の見なし情報(特徴文字)として“市”,“区”,“町”,“村”,“郡”が設定され、これらの特徴文字の計数値の合計が住所ポイント3として算出される。
(1-4-1-A4)メールアドレスの見なし情報(特徴文字)として“@”が設定され、この“@”の計数値がメールアドレスポイントとして用いられる。
【0097】
(1-4-1-A5)電話番号の見なし情報(特徴文字列)として、“N”(数字,ハイフンからなる所定桁数の数字列)が設定され、その計数値が電話番号ポイントとして用いられる。より具体的には、電話番号は“090-XXXX-XXXX”,“03-XXXX-XXXX”,“048-XXX-XXXX”
というように、携帯電話局番や市外局番に対応する特定の数字列“090”,“03”,“048”の後に8桁もしくは7桁の数字列が連続する構成となっており、このような数字列が出現した場合に電話番号ポイントを“1”カウントアップする。このとき、数字列中におけるハイフンの有無に関係なくカウントアップを行なう。
【0098】
(1-4-1-A6)氏名の見なし情報(特徴文字)として、例えば日本国内における苗字のベスト50に含まれる文字“佐”,“藤”,“田”,“中”,“高”,“橋”,…,“山”,“田”が設定され、これらの特徴文字の計数値の合計が氏名ポイントとして算出される。
【0099】
(1-4-1-A7)合計ポイントとして、上述した項目(1-4-1-A1)〜(1-4-1-A6)の各ポイントの合計値が計数・算出される。
なお、上述のようにして得られた計数結果(出現回数)に基づいて各都道府県名の出現率を算出する際に、重複文字が存在する場合の取扱について説明する。例えば“東京都”と“京都府”とがテキストファイルに混在する場合、“都”が重複するため、“都”の計数値には“東京都”の計数値に“京都府”のカウントが混ざることになる。“京都府”の“府”は“大阪府”の“府”と重複するので、まず“大阪”の出現率を算定し、その出現率を“府”の出現率から減算すれば、“京都府”の出現率を予測することが可能になる。このようにして予測された“京都府”の出現率を“都”の出現率から減算することにより、“東京都”の出現率とすることができる。また、県名と市名とが重複するような場合(例えば大阪府大阪市)、“大阪”の出現率が2倍になるが、郵政省管理で公開されている日本の住所録に基づいて都道府県名別の重複率を算定し、算定された重複率に基づいて出現率の調整を行なうことにより、実際の出現率を推定することが可能である。
【0100】
さらに、都道府県表示が無い場合の取扱について説明する。ファイルにおいて、都道府県名についてタイトルヘッダを用いる場合や、政令指定都市の住所表示や郵便番号を使用した住所表示では、“都”,“道”,“府”,“県”の出現率が極端に低下することになる。その代わり県名等の名称出現率が高くなるので、名称出現率から、ファイルが住所情報を含む個人情報ファイルであることの特定を行なうことが可能になる。
【0101】
なお、前記条件では、住所,メールアドレス,電話番号,氏名において特徴的に出現する文字/文字列を特徴文字/特徴文字列として設定しているが、本発明は、これらに限定されるものでなく、生年月日,役職名,個人識別情報(例えば、住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号など)において特徴的に出現する文字/文字列を特徴文字/特徴文字列として設定してもよい。
【0102】
そして、上述のようにして得られた計数結果に基づいて、当該ファイルが個人情報ファイルであるか否かを判定するための判定値が算出される。その判定値としては、(a)検疫
合計ポイント(上記項目(1-4-1-A7)参照)の値をそのまま用いてもよいし、(b)特徴文字
/特徴文字列の出現率が高いほど大きくなる判定ポイントを前記判定値として算出してもよいし、(c)特徴文字/特徴文字列毎に得られた計数結果に基づいて対象ファイルにおけ
る特徴文字/特徴文字列の出現パターンを求め、求められた出現パターンと特徴文字/特徴文字列の出現パターンとして予め設定された特徴出現パターンとの一致の度合いを示す一致度を前記判定値として算出してもよいし、(d)これら3種類の判定値のうちの2以上
を組み合わせ、2以上の判定値を所定関数に代入して算出された値を前記判定値として用いてもよい。
【0103】
このとき、当該ファイルに複数種類の情報(例えば住所,メールアドレス,電話番号,氏名の4種類)に係る特徴文字/特徴文字列が存在している場合、対象ファイル中に1種類の情報に係る特徴文字/特徴文字列が存在している場合よりも、前記判定値が大きくなるように、計数結果に対する重み付けを行なう。つまり、データファイル中に、個人を特定しうる複数種類の情報が含まれている場合には、そのデータファイルが個人情報ファイルである可能性は、個人を特定しうる情報が1種類だけ含まれている場合よりも高いと考えられるので、そのデータファイルについての判定値(重要度)が大きくなるように重み付けを行なう。また、その情報の種類数が多いほど、判定値が大きくなるように重み付けを行なうようにしてもよい。これにより、より確実に個人情報ファイルを特定することが可能になる。
【0104】
上述のような判定値が算出されると、その判定値に基づいて、当該ファイルが個人情報ファイルであるか否かを判定する。例えば、前記判定値が所定閾値を超えた場合に対象ファイルが個人情報ファイルであると判定する。
【0105】
このような判定を行なう際に、本実施形態では、さらに、判定値の大きさに応じたPマーク(プライベートレベルマーク)を当該ファイルに付与してPマークテーブル(図示省略)に設定・登録し、ランク付けを行なってもよい。このPマークは、前述した通り、対象ファイルが個人情報ファイルである可能性の高さを示すレベルであり、判定値が大きいほどPマークを高いランクに設定する。
【0106】
例えば、前記判定値が10以上となった場合、当該ファイルが個人情報ファイルであると判定、つまり当該ファイルが管理対象ファイルであると判定する。また、前記判定値が10以上100未満である場合、Pマークとして“P1”を付与し、前記判定値が100以上1000未満である場合、Pマークとして“P2”を付与し、前記判定値が1000以上10000未満である場合、Pマークとして“P3”を付与し、前記判定値が10000以上である場合、Pマークとして“P4”を付与する。
【0107】
上述のようにファイルに付与されたPマークのレベル(ランク)に応じて、管理サーバ10は、以下のようにファイルを管理対象ファイルとして管理してもよい。
例えば、Pマークのランクが“P1”である場合、警告情報によるリコメンドは行なわないが“P1”の管理対象ファイルが存在することをログとして記録する。Pマークのランクが“P2”である場合、その管理対象ファイルの利用者に対して注意を促すべくポップアップ表示による注意情報を通知する。Pマークのランクが“P3”である場合、その管理対象ファイルの返却を指示する。Pマークのランクが“P4”である場合、その管理対象ファイルをクライアント端末20から強制的に捕獲・回収する。なお、Pマークのランクが“P4”でなくても、“P3”のデータファイルが所定日数放置された場合には、そのデータファイルをクライアント端末20から強制的に捕獲・回収してもよい。
【0108】
(1-4-1-B)第2の探査手法:
第2の探査手法では、以下のようにして、個人情報ファイルの特定を行なっている。
まず、クライアント端末20におけるファイルのテキストデータ〔例えばCSV(Comma Separated Value)形式のデータ〕を抽出し、抽出されたテキストデータから、区切り
文字によって区切られた文字区間を切り出して、判定対象/照合対象としてバッファ(図示略)に順次書き出す。ここで、区切り文字は、例えば半角スペース,半角カンマ(半角カンマ+半角スペースも半角カンマと見なす),タブ文字(半角),CR(Carrige Return),LF(Line Feed)である。切り出される文字区間からは、英数文字,カタカナ,
ひらがな,漢字以外の記号、例えばハイフン,アンダバー,括弧記号などの記号文字が除去される。
【0109】
上述のように切り出され記号文字を除去された文字区間における文字列(以下、単に文字列という)が、氏名以外の個人情報要素(具体的に本実施形態では電話番号,電子メールアドレス,住所のうちのいずれか一つ)に該当するか否かを判定する。ここでは、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で、上記文字列の判定処理を行なう。
【0110】
最初に、上記文字列が電話番号に該当するか否かを判定する。具体的には、上記文字列が前記条件として設定されている電話番号判定条件を満たす場合、上記文字列が電話番号に該当するものと判定する。本実施形態において、電話番号判定条件は、上記文字列中に9〜15桁の数字が含まれていることとする。
【0111】
ついで、上記文字列が電話番号に該当しないと判定された場合に、上記文字列が電子メールアドレスに該当するか否かを判定する。具体的には、上記文字列が前記条件として設定されている電子メールアドレス判定条件を満たす場合、上記文字列が電子メールアドレスに該当するものと判定する。本実施形態において、電子メールアドレス判定条件は、上記文字列中に「一文字以上のASCII(American Standard Code for Information Interchange)」+「@(アットマーク)」+「一文字以上のASCII」+「.(ドット)」+「一文字以上のASCII」となる文字列が含まれていることとする。この場合、最短の電子メールアドレスは例えば「a@a.a」となる。
【0112】
さらに、上記文字列が電子メールアドレスに該当しないと判定された場合に、上記文字列が住所(居所)に該当するか否かを判定するもので、上記文字列が前記条件として設定されている住所判定条件を満たす場合、上記文字列が住所に該当するものと判定する。本実施形態において、住所判定条件は、上記文字列中に「一文字以上の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字」となる文字列が含まれていることとする。このとき、CPUの演算処理能力が十分に高い場合には、上記文字列に加え、郵便番号に対応する7桁の数字が含まれていることを住所判定条件に加えてもよい。また、住所判定条件は、上述した条件に代え、上記文字列中に、郵便番号に対応する7桁ちょうどの数字列が含まれていること、あるいは、「3桁の数字列」+「−(ハイフン)」+「4桁の数字列」となる数字列が含まれていることとしてもよい。
【0113】
そして、上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合に、その文字列が、前記条件として設定されている文字判定条件を満たすか否か、具体的には、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であるか否かを判定するものである。本実施形態において、文字判定条件は、上述したように、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であることであるが、ここで、上記所定範囲は、氏名(苗字だけの場合や名前だけの場合を含む)の文字数として一般的(適切)な数の範囲、
例えば1以上6以下に設定される。
【0114】
この後、電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された文字区間であって、さらに上記所定範囲内であり且つ全ての文字が漢字であると判定された文字区間について、当該文字区間に含まれる文字/文字列と氏名において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列とを照合することにより、当該文字区間が不適切文字/不適切文字列を含むか否かを判定する。
【0115】
ここで、不適切文字/不適切文字列は、前記条件として予め設定されており、例えば、東京,大阪,名古屋,横浜,九州,北海道,京都,首都,個人,学園,店,株,県,大学,学院,東証,研究,管理,総務,経理,営業,統括,製薬,販売,学校,教育,専門,建築,機械,法人,工場,製,技術,商,図書,不明,次長,公開,出版,広告,放送,対象,卸売,小売,企画,人事,情報,部門,社長,取締,部長,課長,係長,役員,本社,支社,事業,業務,教務,精密,石油,運輸,経営,戦略,資材,技師,電気,生産,税務,広報,運送,主任,電算,財務,事務,開発,政策,制作,経済,産業,金融,銀行,調査,英語,品質,保証,設備,担当,主席,主事,監査,支援,設計,保険,金庫,事業,代表,交通,第一,第二,第三,第四,第五,第六,第七,第八,第九,特販,施設,氏名,郵便,名前,名称,市役,所属,特色,幼稚,基督,協会,教会,組合,教団,商工,全国,支部,連絡,議会,生活,消費,推進,市役所,区役所,総合,修正,機能,概要,構成,企業,組織,関連,削除,文書,期限,有効といった、一般的な氏名において出現し得ない文字/文字列、つまり、氏名としては不適切な文字/文字列である。
【0116】
そして、上述した電話番号判定結果,電子メールアドレス判定結果および住所判定結果と不適切文字/不適切文字列の照合判定結果とに基づいて、対象ファイルが個人情報ファイルであるか否かを判定する。より具体的に説明すると、電話番号,電子メールアドレス,住所のそれぞれに該当すると見なされた文字区間の数を計数するとともに、不適切文字/不適切文字列の照合判定結果を受け、不適切文字/不適切文字列を含まないと判定された文字区間を氏名に該当するものと見なし、その数を計数する。
【0117】
電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数結果(4つの計数値;電話番号数,電子メールアドレス数,住所数,氏名数)に基づいて、これらの計数値が大きくなるほど大きくなる判定値を算出する。例えば、4つの計数値の総和を上記判定値として算出してもよいし、電話番号,電子メールアドレス,住所,氏名のそれぞれについて重み係数を予め設定しておき、各個人情報要素についての重み係数と計数値との乗算結果の総和を上記判定値として算出してもよく、上記判定値の算出手法は種々考えられる。
【0118】
上述のような判定値が算出されると、その判定値に基づいて、対象ファイルが個人情報ファイルであるか否かを判定する。具体的には、前記判定値が所定閾値を超えた場合に対象ファイルが個人情報ファイルであると判定する。このとき、第1の探査手段においても説明したようにPマークを付与し、管理サーバ10により、そのPマークに応じた管理を行なうようにしてもよい。
【0119】
なお、上述した第2の探査手法では、氏名以外の個人情報要素が、電話番号,電子メールアドレス,住所の3要素である場合について説明したが、本発明は、これに限定されるものでなく、氏名以外の個人情報要素としては、例えば、生年月日,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号などを用いてもよい。
【0120】
上述のような第1の探査手法もしくは第2の探査手法を用いて、個人情報探査手段11
8によって個人情報ファイルが探査され、その探査結果に応じて、上述したように、削除手段119による削除や各種問い合せが実行されることになる。
【0121】
〔2〕本実施形態の個人情報管理システムの動作
次に、図3以降を参照しながら、上述のごとく構成された本実施形態の個人情報管理システム1の動作について説明する。
【0122】
なお、図3および図4ならびに図5は本実施形態における個人情報管理サーバ10の動作を説明するためのフローチャート、図6は本実施形態におけるクライアント端末20の動作を説明するためのフローチャートである。
【0123】
〔2−1〕個人情報管理サーバの動作:
まず、図3に示すフローチャート(ステップS10〜S14,S20〜S26,S30〜S39,S40〜S46)に従って、本実施形態の個人情報管理サーバ10の動作について説明する。
【0124】
個人情報カプセル生成/変更要求受信手段101により、個人情報カプセル生成要求が、認証情報(識別番号およびパスワード)や個人情報カプセルの内容として保存されるべき複数種類の個人情報要素とともに受信されると(ステップS10のYESルート)、個人情報カプセル生成/変更要求受信手段101の認証判定機能により、認証情報(識別番号およびパスワード)に基づいて、個人情報カプセル生成要求を行なった利用者が本個人情報管理サービスの正当な利用者であるか否かの認証判定が実行される(ステップS11)。つまり、個人情報カプセル生成/変更要求受信手段101は、識別番号によって認証情報/復号鍵保存手段12を検索し、その識別番号に対応する登録パスワードを認証情報/復号鍵保存手段12から読み出し、認証情報に含まれるパスワードと、認証情報/復号鍵保存手段12から読み出された登録パスワードとを比較し、これらのパスワードが一致するか否かの判定を行なう。
【0125】
これらのパスワードが一致し、個人情報カプセル生成要求を行なった利用者が正当な利用者であることが認証されると(ステップS11のYESルート)、個人情報カプセル生成/変更要求受信手段101によって受信された複数種類の個人情報要素に基づいて、生成手段102により、個人情報カプセル(所定フォーマットのデータセット)が生成される(ステップS12)。その際、生成された個人情報カプセルに対し、デジタル署名付与手段117によりデジタル署名が付与される。
【0126】
ここで、本システムでは、唯一無二の個人情報カプセルの電子ファイルが生成されて保存されている必要があり、スキャナで文字を取り込む際に生じた誤字、あるいは、キー入力の際の入力や仮名漢字変換の誤り、旧字体と新字体との間違いなどによって、例えば、「一郎」と「一朗」、あるいは、「広瀬」と」「廣瀬」のような間違いによって、別個の電子ファイルが生じてしまうことは絶対に避けなければならない。
【0127】
そこで、生成手段102は、クライアント端末からの個人情報カプセル生成要求に基づいて新たに生成(図3中のステップS12)しようとする個人情報カプセルについて、図3に示すサブルーチンに従って、個人情報カプセルデータベース11に保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認する(図4中のステップS121)。この類似判定としては、上述した探査手法と同様の手法を用いることが可能である。
【0128】
以上の類似判定により、新たに生成しようとする個人情報カプセルと既存の個人情報カプセルとの間に類似性が存在すると認められなければ(図4中のステップS122でNO
ルート)、個人情報カプセル生成要求に基づいた新規な個人情報カプセルを生成する(図4中のステップS128)。そして、図3のメインルーチンに戻る。
【0129】
なお、この実施形態において「個人情報カプセルの類似性」とは、唯一無二の原則に反するような、上述した誤字脱字などに起因して、本来は同一であるべきの電子ファイルが別個の電子ファイルとして存在する状態を意味している。
【0130】
一方、以上の類似判定により、新たに生成しようとする個人情報カプセルと既存の個人情報カプセルとの間に類似性が存在すると認められれば(図4中のステップS122でYESルート)、生成手段102はクライアント端末20に対して、類似個人情報カプセルが個人情報カプセルデータベース11内に既に存在することを通知する(図4中のステップS123)。この通知を受けたクライアント端末20では、表示手段203に類似個人情報カプセルが個人情報カプセルデータベース11内に既に存在することが表示される。
【0131】
なお、ここで、生成手段102は、個人情報探査手段118と共に、クライアント端末20内に類似個人情報カプセルが存在するか否かを探査する(図4中のステップS124)。クライアント端末20内に類似個人情報カプセルが存在すれば(図4中のステップS124でYESルート)、類似個人情報カプセルに該当するクライアント端末20内の電子ファイルのファイル名をクライアント端末20に通知し、表示手段203に表示させる(図4中のステップS125)。
【0132】
また、必要に応じて、類似個人情報カプセルと新たに生成しようとする個人情報カプセルとの相違点を、生成手段102がクライアント端末20に通知し、クライアント端末20の表示手段203に表示させる(図4中のステップS127)。この場合、個人情報の漏洩に該当しないように、管理サーバ10からは最低限の相違のみを通知することが望ましい。
【0133】
そして、生成手段102は、クライアント端末20に対して、新たに生成しようとする個人情報カプセルについて、生成するか否かの確認を要求する(図4中のステップS127)。すなわち、所定の確認メッセージをクライアント端末20の表示手段203に表示させる。例えば、上述した誤字などであれば、新たに個人情報カプセルを生成することを、利用者側がキャンセルする操作を、操作手段202から入力する。
【0134】
また、「山田一郎」、「山田二郎」などのように、類似するものの、兄弟などの別人が同一住所に存在するような場合には、新たな個人情報カプセルを生成する意志があることを、利用者が操作部手段202から生成続行などと入力する。
【0135】
以上のクライアント端末20の操作手段からの生成続行の操作(図4中のステップS128でYESルート)を受けた生成手段102は、個人情報カプセル生成要求に基づいた新たな個人情報カプセルを生成(図4中のステップS129)して、このサブルーチンを終了し、図3のメインルーチンに戻る。一方、以上のクライアント端末20の操作手段からの生成キャンセル(図4中のステップS128のNOルート)の操作受けた生成手段102は、新たな個人情報カプセルを生成することなく、このサブルーチンを終了し、図3のメインルーチンに戻る。
【0136】
以上のような動作により、スキャナでの読み取りで生じる誤字や、仮名漢字変換における誤り、キー入力時の誤入力などに起因する誤ったデータの電子ファイルが作成されることがなくなり、個人情報を管理するシステムにおいて唯一無二の電子ファイルが生成されて保存されるようになる。
【0137】
また、個人情報カプセルが生成手段102によって生成されると、フィルタ設定手段103により、その個人情報カプセルをアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタが設定される(ステップS13)。上述のごとく生成・設定された個人情報カプセルおよびフィルタは、例えば個人情報カプセルや利用者に対応付けられて個人情報カプセルデータベース11に保存され(ステップS14)、ステップS10の処理に戻る。
【0138】
また、個人情報カプセルが生成手段102によって生成されると、フィルタ設定手段103により、その個人情報カプセルをアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタが設定される(ステップS13)。上述のごとく生成・設定された個人情報カプセルおよびフィルタは、例えば個人情報カプセルや利用者に対応付けられて個人情報カプセルデータベース11に保存され(ステップS14)、ステップS10の処理に戻る。
【0139】
個人情報カプセル生成/変更要求受信手段101により、個人情報カプセル変更要求が、認証情報(識別番号およびパスワード)や既に登録されている個人情報カプセルに対する変更の内容とともに受信されると(ステップS10のNOルートからステップS20のYESルート)、個人情報カプセル生成/変更要求受信手段101の認証判定機能により、上記ステップS11と同様の認証判定が行なわれる(ステップS21)。
【0140】
パスワードが一致し、個人情報カプセル変更要求を行なった利用者が正当な利用者であることが認証されると(ステップS21のYESルート)、変更手段114により、変更対象の個人情報カプセルが個人情報カプセルデータベース11から取り出され(ステップS22)、個人情報カプセル生成/変更要求受信手段101によって受信された変更内容(住所や電話番号などの変更等)に従って変更対象の個人情報カプセルの内容が変更される(ステップS23)。内容を変更された個人情報カプセルは、デジタル署名付与手段117によりデジタル署名を新たに付与された上で、個人情報カプセルデータベース11に保存される(ステップS24)。
【0141】
上述のごとく個人情報カプセルの内容が変更されると、無効化手段115により、変更を施された個人情報カプセルから変更前に抽出されてクライアント端末20に送信された個人情報ファイルが無効化される(ステップS25)。
【0142】
その無効化とは、上述したように、その個人情報ファイルの暗号化に対応する暗号化ファイルを復号化する復号鍵(認証情報/復号鍵保存手段12に保存されているもの)を変更すると共に変更後の復号鍵の送信を禁止して復号化を不能にしたり、その個人情報ファイルに対応する暗号化ファイルに対するアクセス要求(認証情報)を受信し利用者認証がなされても復号鍵送信手段113による復号鍵の送信を禁止したり、ログ記録手段110によって記録されたログに基づきその個人情報ファイルに対応する暗号化ファイルの送信先のクライアント端末20にそのファイルの削除指令を送信し、クライアント端末20において個人情報ファイルを削除させたりすることで行なわれるが、いずれの場合もクライアント端末20側で暗号化ファイルの内容を参照することが不能な状態にしている。
【0143】
そして、通知手段116により、その個人情報ファイル(暗号化ファイル)が無効化されたことが、ネットワーク30経由で電子メール等によりクライアント端末20に通知され(ステップS26)、無効化された個人情報ファイル(暗号化ファイル)に対応する個人情報カプセルに対するアクセス要求の再実行を利用者に促してから、ステップS10の処理に戻る。
【0144】
アクセス要求受信手段104により、個人情報カプセルに対するアクセス要求が認証情
報(識別番号およびパスワード)とともに受信されると(ステップS10のNOルート,ステップS20のNOルートからステップS30のYESルート)、アクセス要求受信手段104の認証判定機能により、上記ステップS11と同様の認証判定が行なわれる(ステップS31)。
【0145】
パスワードが一致し、アクセス要求を行なった利用者が正当な利用者であることが認証されると(ステップS31のYESルート)、フィルタリング手段105により、アクセス要求対象の個人情報カプセルとその利用者について設定されたフィルタとが個人情報カプセルデータベース11から取り出され(ステップS32)、そのフィルタを用いて、アクセス要求対象の個人情報カプセル内の個人情報要素のフィルタリング処理が実行され、当該利用者の利用可能な個人情報要素が個人情報ファイルとして個人情報カプセルから抽出される(ステップS33)。なお、個人情報カプセルから抽出された個人情報ファイルには、デジタル署名付与手段117により、デジタル署名が付与される。
【0146】
デジタル署名を付与された個人情報ファイルは、変換手段106により、コンテナ機能を有するPDFファイルに変換され(ステップS34)、そのコンテナ機能を用いて当該PDFファイルに当該個人情報ファイルのオリジナルファイルが添付されてから(ステップS35)、そのPDFファイルは、送信先のクライアント端末20に応じた暗号鍵で暗号化され、暗号化ファイルが作成される(ステップS36)。このとき、当該暗号化ファイルにアクセスする利用者について、例えば、当該暗号化ファイルに対するアクセス権限(例えば閲覧権限や、オリジナルファイルの取出し権限/編集権限)が、アクセス権限設定手段108により設定される(ステップS37)。
【0147】
上述のごとく作成された暗号化ファイルは、個人情報ファイル送信手段109によりネットワーク30経由でクライアント端末20に送信される(ステップS38)。その際、ログ記録手段110により、その暗号化ファイルの送信の履歴(送信日時,送信先情報,送信されたファイルを特定するための情報など)がログとして記録されてから(ステップS39)、ステップS10の処理に戻る。
【0148】
認証情報受信手段111により、開封要求としての復号鍵の送信要求が暗号化ファイルについての認証情報(識別番号およびパスワード)とともに受信すると(ステップS10のNOルート,ステップS20のNOルート,ステップS30のNOルートからステップS40のYESルート)、判定手段112により、暗号化ファイルについての認証情報(識別番号およびパスワード)に基づいて、復号鍵の送信要求を行なった利用者(暗号化ファイルに対するアクセスを行なう利用者)が正当な登録者(正当な送信先)であるか否かの認証判定が実行される(ステップS41)。
【0149】
この場合も、ステップS11と同様、判定手段112は、識別番号によって認証情報/復号鍵保存手段12を検索し、その識別番号に対応する登録パスワードを認証情報/復号鍵保存手段12から読み出し、認証情報に含まれるパスワードと、認証情報/復号鍵保存手段12から読み出された登録パスワードとを比較し、これらのパスワードが一致するか否かの判定を行なう。
【0150】
これらのパスワードが一致し、利用者が正当な送信先であることが認証されると(ステップS41のYESルート)、位置検出手段121により、認証情報受信手段111によって開封要求としての復号鍵送信要求を受信した時点におけるクライアント端末20の接続環境からクライアント端末20の所在国が所在位置として検出される(ステップS42)。
【0151】
ここで、判定手段112において、認証情報受信手段111によって受信されたファイ
ルIDや利用者認証情報に基づいて、クライアント端末20で管理対象の電子ファイルを開封しようとしている利用者が正当な利用者であるか否かの利用者認証判定が実行されるとともに、位置検出手段121によって検出された所在位置が所定条件を満たしているか否かの位置判定が実行される(ステップS43)。
【0152】
たとえば、本実施形態では、利用者の所在国が予め指定された所定の国であるか否かの位置判定、利用者の所在エリアが予め指定された所定のエリアであるか否かの位置判定などが実行される。
【0153】
このとき、判定手段112による上記利用者認証判定に際しては、上述した通り、認証情報受信手段111によって受信されたファイルIDに対応する登録利用者IDが上記記憶部(データベース)から読み出され、読み出された登録利用者IDの中に認証情報受信手段111によって受信された利用者IDが含まれている場合、その登録利用者IDに対応する登録パスワードが上記記憶部(データベース)から読み出され、読み出された登録パスワードと、認証情報受信手段111によって受信されたパスワードとが比較され、これらが一致した場合に利用者が正当な利用者であることを認証する。
【0154】
そして、判定手段112によって利用者が正当な利用者であることが認証され且つクライアント端末20の所在位置が前記所定条件を満たしていると判定された場合(ステップS44のYESルート)、クライアント端末20での電子ファイルの開封が許可され、管理対象の電子ファイルである暗号化ファイルを復号化する復号鍵が認証情報/復号鍵保存手段12から取り出され(ステップS45)、復号鍵送信手段113からネットワーク30を通じてクライアント端末20に送信される(ステップS46)。この後、ステップS10の処理に戻る。
【0155】
一方、判定手段112によって、利用者が正当な利用者でないと判定された場合、もしくは、クライアント端末20の所在位置が前記所定条件を満たしていないと判定された場合(ステップ44のNOルート)、復号鍵の送信を実行させないことにより、クライアント端末20での電子ファイルの開封が禁止され、代わって、通知手段116により、その旨が、クライアント端末20の利用者やシステム管理者に対しエラー(アラート)として通知される(ステップS50)。
【0156】
なお、個人情報カプセル生成/変更要求受信手段101,アクセス要求受信手段104の認証判定機能や判定手段112によりパスワードが不一致であると判定された場合、もしくは、識別番号に対応する登録パスワードが認証情報/復号鍵保存手段12に登録されていなかった場合、または、クライアント端末20の所在位置が前記所定条件を満たしていないと判定された場合には、利用者が正当な利用者もしくは正当な送信先ではないと判定され(ステップS11,S21,S31,S41,S44のNOルート)、管理サーバ10からクライアント端末20にネットワーク30経由でエラー通知を行なってから(ステップS50)、ステップS10の処理に戻る。個人情報カプセル生成要求が管理サーバ10で入力されている場合には、そのエラー通知は管理サーバ10で個人情報カプセル生成要求を行なった利用者もしくは管理者に対して行なわれる。また、ステップS40でNO判定の場合にはステップS10の処理に戻る。
【0157】
〔2−2〕個人情報管理システムの個人情報探査動作:
図5に示すフローチャート(ステップS51〜S58)に従って、本実施形態の個人情報管理システム1における個人情報探査動作について説明する。
【0158】
個人情報管理システム1では、予め設定された周期もしくは所定の起動タイミング(システムの起動時等)で、個人情報探査手段118による個人情報探査動作が実行されるよ
うになっている。
【0159】
個人情報探査手段118が起動されると(ステップS51のYESルート)、本実施形態では、前述した通り、個人情報探査手段118により、各クライアント端末20に個人情報探査ツールを実現するための個人情報探査プログラムをインストールし、各クライアント端末20でその個人情報探査プログラムを実行させることで個人情報や個人情報ファイルの自己探査を実行させ(ステップS52)、その自己探査の結果を各クライアント端末20から受信する(ステップS53)。
【0160】
そして、管理サーバ10において、自己探査の結果に基づき個人情報/個人情報ファイルを保有しているクライアント端末20の存在を確認した場合(ステップS54のYESルート)、保有されている個人情報/個人情報ファイルに、管理サーバ10によるデジタル署名が付与されている否かを判定する(ステップS55)。個人情報/個人情報ファイルを保有しているクライアント端末20が存在しない場合(ステップS54のNOルート)やデジタル署名が付与されている場合(ステップS55のYESルート)、ステップS51に戻る。
【0161】
デジタル署名が付与されていない場合(ステップS55のNOルート)、その個人情報/個人情報ファイルを個人情報カプセルとして管理サーバ10に登録するか否かを、その個人情報/個人情報ファイルを保有しているクライアント端末20の利用者に問い合わせる(ステップS56)。利用者が登録することを望む場合(ステップS56のYESルート)、管理サーバ10において、生成手段102により、探査された個人情報/個人情報ファイルに基づき個人情報カプセルを生成し個人情報カプセルデータベース11に登録・保存する(ステップS57)。この後、ステップS51の処理に戻る。
【0162】
利用者が登録することを望まない場合(ステップS56のNOルート)、削除手段119により、デジタル署名の施されていない個人情報/個人情報ファイルはクライアント端末20上から削除され(ステップS58)、ステップS51の処理に戻る。このとき、前述したように、一定期限を設定し、その一定期限内に利用者がその個人情報/個人情報ファイルを登録しない場合に、削除手段119により、探査された個人情報や個人情報ファイルを自動的に削除するようにしてもよい。
【0163】
ここで、デジタル署名の有無を判定できる個人情報/個人情報ファイルは、当然、暗号化手段107による暗号化を施されていないもので、何らかの理由により、デジタル署名付与手段117によってデジタル署名を付与されたが暗号化されることなくクライアント端末20に流出したものと考えられる。そこで、デジタル署名が付与されているが暗号化されていない個人情報/個人情報ファイルが探査された場合(ステップS55のYES)には、前述したように、その個人情報/個人情報ファイルを暗号化ファイルに変換するか否かを問い合わせ、利用者が暗号化ファイルに変換することを望む場合、上述した変換手段106や暗号化手段107により、探査された個人情報や個人情報ファイルを暗号化ファイルに変換する一方、暗号化ファイルに変換することを望まない場合、その個人情報/個人情報ファイルを削除手段119により削除するようにしてもよい。
【0164】
〔2−3〕クライアント端末の動作:
図6に示すフローチャート(ステップS60〜S63,S70〜S81)に従って、本実施形態のクライアント端末20の動作について説明する。
【0165】
クライアント端末20では、利用者が管理サーバ10で管理されている個人情報カプセルの内容(個人情報要素)を利用して例えば名簿や住所録を作成すべくアクセス要求を発行する場合(ステップS60のYESルート)、アクセス要求送信手段221により、個
人情報カプセルに対するアクセス要求が認証情報(識別番号およびパスワード)とともにネットワーク30経由で管理サーバ10に送信される(ステップS61)。
【0166】
このアクセス要求に応じて、個人情報ファイル受信手段222により、管理サーバ10から、アクセス要求送信手段221によって送信されたアクセス要求に応じた個人情報ファイル(暗号化ファイル)がネットワーク30経由で受信された場合(ステップS62のファイルルート)、受信された個人情報ファイルを個人情報ファイル保存手段223に保存してから(ステップS63)、ステップS60の処理に戻る。一方、上記アクセス要求に応じて個人情報ファイルではなくエラー通知が受信された場合(ステップS62のエラールート)、クライアント端末20のディスプレイ等でエラー表示を行なってから(ステップS80)、ステップS60の処理に戻る。
【0167】
また、利用者が個人情報ファイル保存手段223に保存されている個人情報ファイルである暗号化ファイルを開くべくファイルアクセス(復号鍵の送信要求)を行なう場合(ステップS60のNOルートからステップS70のYESルート)、認証情報送信手段224により、開封要求としての復号鍵の送信要求が暗号化ファイルについての認証情報(識別番号およびパスワード)とともにネットワーク30経由で管理サーバ10に送信される(ステップS71)。
【0168】
この開封要求(復号鍵の送信要求)に応じて、復号鍵受信手段225により、アクセス対象の暗号化ファイルに応じた復号鍵が管理サーバ10からネットワーク30経由で受信された場合(ステップS72のYESルート)、復号化手段226により、復号鍵受信手段225で受信された復号鍵を用いて暗号化ファイルが復号化され元の個人情報ファイル(PDFファイル)が復元され(ステップS73)、クライアント端末20のディスプレイに表示される(ステップS74)。一方、復号鍵の送信要求に応じて復号鍵ではなくエラー通知が受信された場合(ステップS72のエラールート)、クライアント端末20のディスプレイ等でエラー表示を行なってから(ステップS80)、ステップS60の処理に戻る。
【0169】
個人情報ファイルの表示後、利用者が、復元されたPDFファイルに添付されたオリジナルファイルの編集を望む場合(ステップS75のYESルート)、この利用者にオリジナルファイルの取出し権限および編集権限が設定されているか否かを判断し(ステップS76)、設定されていない場合(ステップS76のNOルート)、その旨のエラー表示を行なってから(ステップS81)、ステップS60の処理に戻る一方、設定されている場合(ステップS76のYESルート)、編集手段227によってオリジナルファイルに対する編集処理を実行する(ステップS77)。なお、利用者がオリジナルファイルの編集を望まない場合(ステップS75のNOルート)、ステップS60の処理に戻る。
【0170】
編集処理を終了する場合(ステップS78のYESルート)、編集手段227によって編集されたオリジナルファイルは、そのオリジナルファイルを取り出したPDFファイル以外に保存されることが禁止されているので、そのオリジナルファイルを取り出したPDFファイルに保存される(ステップS79)。この後、ステップS60の処理に戻る。
【0171】
〔3〕本実施形態の個人情報管理システムの効果:
(3−1)以上の実施形態の個人情報管理システム1によれば、個人情報管理サーバ10において、特定の個人を識別可能な個人情報が、標準化されたデータセットである個人情報カプセルとして一元的に管理される。そして、個人情報カプセルにクライアント端末20からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタが設定されており、利用者から個人情報カプセルに対するアクセス要求があると、その利用者に対し設定されたフィルタを用いて個人情報カプセル内の個人情報要素のフィ
ルタリング処理が行なわれ当該利用者の利用可能な個人情報要素が個人情報カプセルから抽出され、抽出された個人情報要素が個人情報ファイルとしてクライアント端末20に送信される。これにより、特定の個人についての個人情報を利用する利用者に対し、その利用者に応じた内容の個人情報要素のみを提供することができるので、利用者にとって不必要と思われる内容が不用意に送信されることがなくなり、個人情報の不用意な流出・漏洩や個人情報の不正利用などが確実に防止され、個人情報の保護を実現することができる。
【0172】
ここで、個人情報ファイルを個人情報管理サーバ10からクライアント端末20に送信する際、個人情報ファイルが、送信先のクライアント端末20に応じた暗号鍵を用いて暗号化され、暗号化ファイルとして送信され、個人情報管理サーバ10によって認証される正当な利用者(正当な送信先であるクライアント端末20の利用者)のみが暗号化ファイルを復号化してアクセスできるように構成することにより、個人情報管理サーバ10からクライアント端末20に送信された個人情報ファイルの内容が不用意に流出・漏洩したり不正利用されたりするのを確実に防止でき、個人情報を確実に保護することができる。
【0173】
そして、個人情報カプセルの内容が変更された場合に、無効化手段からの無効化指令を受けて復号鍵を変更することにより、クライアント端末20側での個人情報ファイルの復号化を不能にすることで個人情報ファイルを無効化する。
【0174】
すなわち、個人情報管理サーバ10において、変更を施された個人情報カプセルから変更前に抽出されてクライアント端末20に送信された個人情報ファイルを無効化するように構成することにより、個人情報カプセルの内容が変更されると、変更前の個人情報ファイルが無効化され誰も利用できなくなるため、変更前の個人情報ファイルであっても不用意な流出・漏洩や不正利用が確実に防止され、個人情報を確実に保護することができる。
【0175】
このとき、例えば、画像情報等を含む全ての個人情報を公開するレベルや、画像情報以外の個人情報を公開するレベルや、氏名および連絡先のみを公開するレベルといった、利用者のランク分けを行なってフィルタ設定を行なうことにより、そのランクに応じた個人情報を提供することが可能になる。また、例えば、企業等において、特定の個人を識別可能な各種個人情報要素を含む個人情報を一元的に管理しながら利用者が特定の個人の個人情報を閲覧・利用する際に、上述のようなフィルタ設定を行なうことにより、利用者がその特定の個人の上司や管理者である場合には詳細な内容(個人情報要素)を閲覧・利用可能にする一方で、利用者が同僚や部下である場合には個人情報の一部のみを閲覧・利用可能にするといったように、利用者に応じた内容の個人情報要素のみを利用者に提供することができる。
【0176】
(3−2)以上の実施形態の個人情報管理システム1によれば、クライアント端末20において利用者が電子ファイルを開封する際に、その個人情報ファイルの開封要求が個人情報管理サーバ10に送信され、この開封要求としての復号鍵送信要求を受けた個人情報管理サーバ10において、個人情報ファイルの開封時におけるクライアント端末20の所在位置(所在国)が検出され、検出された所在位置が所定条件〔所定の国(例えばホワイト国)であること〕を満たしているか否かが判定され、クライアント端末20での個人情報ファイル開封直前にクライアント端末20の所在位置を確認することができる。そして、クライアント端末20の所在位置が所定条件(例えば輸出規制対象国内ではない)を満たす場合にのみ個人情報ファイルの開封を許可することにより、個人情報ファイルの内容が、輸出規制対象国や地域などで利用者の知らないうちに流出・漏洩してしまうのを確実に防止することができる。
【0177】
また、以上の実施形態の個人情報管理システム1によれば、以上のように復号鍵を変更した後、変更後の復号鍵についてのクライアント端末20への送信を禁止することにより
、個人情報ファイルを無効化している。このため、変更前の個人情報ファイルの復号化が不能になり、確実に無効化され誰も利用できなくなるため、変更前の個人情報ファイルであっても不用意な流出・漏洩や不正利用が確実に防止され、個人情報を確実に保護することができる。
【0178】
また、以上の実施形態の個人情報管理システム1によれば、個人情報管理サーバ10において、クライアント端末20からの個人情報カプセルに対するアクセス要求に応じて実行された個人情報ファイルの送信の履歴をログとして記録し、必要に応じてログの記録から削除指令を送信することにより、個人情報カプセルに対するアクセス状況が管理され、必要に応じて個人情報ファイルに対するアクセスを追跡管理可能になり、アクセスを追跡して無効化も可能になるので、個人情報の不正利用をより確実に防止することができる。
【0179】
(3−3)また、以上の実施形態の個人情報管理システム1によれば、個人情報管理サーバ10において新たに生成された個人情報カプセルや変更を施された個人情報カプセルや個人情報ファイルに対しデジタル署名を付与することにより、個人情報カプセルや個人情報ファイルが改竄されていないことを保証することができ、第三者による偽造を防止することができる。その際、クライアント端末20におけるデータの中から個人情報を探査し、探査された個人情報にデジタル署名が付与されていない場合には、その個人情報をクライアント端末20から削除するように構成することにより、個人情報管理サーバ10でのデジタル署名を付与されていない個人情報は、個人情報管理サーバ10の管理下になく、クライアント端末20等のローカルで作成された、正規ではない個人情報と判断され、クライアント端末20から自動的に削除される。これにより、本発明のシステム内では、個人情報管理サーバ10によって一元的に管理される個人情報のみが存在して利用されることになり、個人情報を確実に管理して確実に保護することができる。
【0180】
(3−4)また、以上の実施形態の個人情報管理システム1によれば、個人情報管理サーバ10において、個人情報ファイルを、コンテナ機能を有する完成文書ファイルに変換し、そのコンテナ機能を用いて個人情報ファイルのオリジナルファイルを添付した状態で完成文書ファイルを暗号化してから個人情報ファイルとしてクライアント端末20に送信することにより、個人情報ファイルが改竄困難な完成文書ファイルとして送信され、個人情報ファイルを改竄されて不正利用されるのを防止しながら、コンテナ機能により添付されたオリジナルファイルを用いて編集等の操作を行なうことも可能になる。
【0181】
すなわち、管理サーバ10において、個人情報ファイルを、コンテナ機能を有するPDFファイルに変換し、そのコンテナ機能を用いて個人情報ファイルのオリジナルファイルを添付した状態でPDFファイルを暗号化してから個人情報ファイルとしてクライアント端末20に送信することにより、個人情報ファイルが改竄困難なPDFファイルとして送信され、個人情報ファイルを改竄されて不正利用されるのを防止しながら、コンテナ機能により添付されたオリジナルファイルを用いて編集等の操作を行なうことも可能になる。
【0182】
ただし、その際、編集等の操作は、オリジナルファイルの取出し権限や編集権限をアクセス権限としてアクセス権限設定手段108によって付与された利用者のみが行なえるようにするとともに、クライアント端末20において編集後のオリジナルファイルは、そのオリジナルファイルを取り出したPDFファイル以外に保存されるのを禁止することにより、そのオリジナルファイルの不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
【0183】
(3−5)また、以上の実施形態の個人情報管理システム1によれば、個人情報管理サーバ10が、暗号化ファイルに対する所定のアクセス権限を、個人情報ファイルの送信先の利用者に応じて設定するようにしており、クライアント端末20は、復号化手段によっ
て復元された個人情報ファイルに対するアクセスとして、アクセス権限設定手段108によって設定されたアクセス権限に応じたアクセスを許可されるため、オリジナルファイルの取出し権限をアクセス権限として付与された利用者のみが行なえるようになり、そのオリジナルファイルの不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
【0184】
(3−6)また、以上の実施形態の個人情報管理システム1によれば、利用者は、アクセス権限設定手段108によって、該完成文書ファイルからオリジナルファイルを取り出す取出し権限と、取り出された前記オリジナルファイルの編集権限とを該所定のアクセス権限として設定されている場合には、クライアント端末20において該編集手段227によってオリジナルファイルを編集することを許可されるため、オリジナルファイルの取出し権限や編集権限をアクセス権限として付与された利用者のみが行なえるようになるとともに、そのオリジナルファイルの不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
【0185】
(3−7)また、以上の実施形態の個人情報管理システム1によれば、クライアント端末20において、編集手段227によって編集されたオリジナルファイルが該完成文書ファイル以外に保存されることが禁止されているため、編集等の操作は、オリジナルファイルの取出し権限や編集権限をアクセス権限として付与された利用者のみが行なえるようになるとともに、クライアント端末20において編集後のオリジナルファイルは完成文書ファイル以外に保存されるのを禁止することにより、そのオリジナルファイルの不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
【0186】
(3−8)また、以上の実施形態の個人情報管理システム1によれば、個人情報ファイルを無効化した場合にその旨を個人情報管理サーバ10からクライアント端末20に自動的に通知することで、個人情報カプセルに対するアクセス要求の再実行を利用者に促すことができ、その通知を受けた利用者は自分の判断で再度アクセス要求を行なうことにより、変更後の最新の個人情報ファイルを得ることが可能になり、利用者の利便性を向上させることができる。ここで、利用者は、個人情報ファイルが無効化されたことで個人情報ファイルを利用できなくなったことを認識すると、再度アクセス要求を行なって、変更後の最新の個人情報ファイルを得ることが可能になる。
【0187】
(3−9)また、以上の実施形態の個人情報管理システム1によれば、上述した第1の探査手法では、各クライアント端末20におけるファイル毎に、特徴文字や特徴文字列の出現回数に基づく判定値によって、そのファイルが個人情報ファイル(もしくは機密情報ファイル)であるか否かが判定され、個人情報ファイルを自動的に特定して探査することができるので、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する個人情報ファイル(個人情報ファイルである可能性の高いデータファイル)を確実に探査して洗い出し、管理サーバ10等による管理可能な状態に置くことができる。従って、個人情報の開示要求や訂正要求に確実に対応することができるとともに、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
【0188】
(3−10)また、上述した第2の探査手法では、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含む文字区間は、個人情報に関するものではないと見なされる一方、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含まない文字区間は、氏名に関するものであると見なされる。従って、電話番号,電子メールアドレス,住所のいずれか一つに該当すると判定された文字区間については、その判定がなされた時点で判定処理を終了し、電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間についての
み不適切文字/不適切文字列との照合処理が行なわれ、さらに、不適切文字/不適切文字列が一つでも文字区間に含まれると判定された時点で、その照合処理を終了させることができるので、氏名リストに含まれる全ての氏名文字列との照合を行なう従来手法に比べ、氏名の照合処理を高速に行なえ、つまりは個人情報ファイルの探索処理を高速に行なうことが可能になる。
【0189】
このとき、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で文字区間における文字列の判定処理を行なうことで、判定処理をより高速に効率良く実行することが可能になる。
【0190】
(3−11)また、不適切文字/不適切文字列を含まない文字区間を全て氏名に該当するものと見なすので、氏名についての不適切文字/不適切文字列を含まない電子ファイル、即ち、氏名情報を含む可能性が高く個人情報ファイルである可能性の高い電子ファイルを確実に探索することが可能になる。つまり、本実施形態によって個人情報ファイルであると判定される電子ファイルの数は、従来手法に比べよりも多くなり、個人情報ファイルである可能性の高い電子ファイル(疑わしい電子ファイル)を確実に洗い出すことができる。
【0191】
さらに、文字区間の文字数が1以上6以下であって且つその文字区間の文字が全て漢字であるか否かを判定し、この文字判定条件を満たす文字区間のみを照合対象としているので、照合対象の文字区間が、より氏名の可能性の高い文字区間に絞り込まれることになり、氏名の照合精度を向上させることができるとともに、氏名の照合処理を高速に行なうことができる。また、文字数が6を超える長い文字区間が、照合対象から除外されるので、氏名の照合処理のさらなる高速化、つまりは個人情報ファイルの探索処理のさらなる高速化に寄与することになる。
【0192】
このように第2の探査手法によっても、個人情報ファイルを自動的に特定して探索することができるので、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する個人情報ファイル(個人情報ファイルである可能性の高い電子ファイル)を確実に探索して洗い出し管理サーバ10等による管理可能な状態に置くことができ、個人情報の開示要求や訂正要求に確実に対応することができるとともに、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
【0193】
(3−12)また、個人情報ファイルは、各個人情報ファイルに付与されたPマーク(ランク/レベル)に応じ、管理サーバ10等によって管理され、個人情報ファイルの利用者(保有者)に注意情報/警告情報を通知したり、個人情報ファイルをクライアント端末20から強制的に捕獲・回収したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したりすることが可能で、個人情報の不用意な流出・漏洩や個人情報の不正利用などをより確実に防止することができる。
【0194】
(3−13)また、本実施形態によれば、クライアント端末20からの個人情報カプセル生成要求に基づいて新たに生成しようとする個人情報カプセルについて、個人情報カプセルデータベース11で保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、類似する個人情報カプセルが既に存在する場合には、クライアント端末20に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成するようにしているため、スキャナでの読み取りで生じる誤字や、仮名漢字変換における誤り、キー入力時の誤入力などに起因する誤ったデータの電子ファイルが作成されることがなくなり、個人情報を管理するシステムにおいて唯一無二の電子ファイルが生成されて保存されるようになる。
【0195】
この際、管理サーバからクライアント端末へ、類似する個人情報カプセルが既に存在する場合には、クライアント端末に対する確認要求、クライアント端末に対する類似する個人情報カプセル存在通知と確認要求、類似する個人情報カプセルがクライアント端末に存在する場合におけるクライアント端末に対する類似個人情報カプセルの存在通知、のいずれの手法を用いても良い。そして、クライアント端末に対する確認要求に基づいて、クライアント端末から確認が得られた場合に新たな個人情報カプセルを生成することが望ましい。これにより、一層確実に唯一無二の個人情報カプセルの電子ファイルを生成して管理することが可能になる。
【0196】
〔4〕その他の実施形態(変形例):
なお、本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
【0197】
例えば、上述した実施形態では、1種類の個人情報管理サーバ10によって実現しているが、個人情報カプセルデータベース11にアクセスする管理サーバと、認証情報/復号鍵保存手段12にアクセスする管理サーバとに分けて実現してもよい。
【0198】
また、不正アクセス,情報漏洩,データ毀損などに対して保険金の支払いを行う保険が存在する場合において、以上の実施形態を用いることでリスクが大幅に減少することが予想されるため、本実施形態の個人情報管理サーバ10での認証された状態で個人情報を扱うクライアント端末20では、認証情報を個人情報管理サーバ10から保険会社のサーバに転送して保険会社側で確認することで、保険掛け金の割引きをすることも可能である。この場合、個人情報管理サーバ10側では認証を完了したデータやクライアント端末20の情報を保険会社に転送するだけであり、システムの大幅な改良を要しない。また、保険会社側でも、認証を完了したデータを受けることで、確実な状態を確保しつつ、料金(保険掛け金)の値下げを実行することが可能になる。
【0199】
また、上述した手段101〜119,21〜27としての機能(各手段の全部または一部の機能)は、コンピュータ(CPU,情報処理装置,各種端末を含む)が所定のアプリケーションプログラム(個人情報管理プログラム)を実行することによって実現される。
【0200】
そのプログラムは、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど)等のコンピュータ読取可能な記録媒体に記録された形態で提供される。この場合、コンピュータはその記録媒体から分散型ストレージシステム用制御プログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。また、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信回線を介してコンピュータに提供するようにしてもよい。
【0201】
ここで、コンピュータとは、ハードウエアとOS(オペレーティングシステム)とを含む概念であり、OSの制御の下で動作するハードウエアを意味している。また、OSが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンピュータに相当する。ハードウエアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたプログラムを読み取るための手段とを備えている。上記個人情報管理プログラムとしてのアプリケーションプログラムは、上述のようなコンピュータに、手段101〜119,21〜27としての機能を実現させるプログラムコードを含んでいる。また、その機能の一部は、アプリケーションプログラムではなくOSによって実現されてもよい。
【0202】
さらに、本実施形態における記録媒体としては、上述したフレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスクのほか、ICカード,ROMカートリッジ,磁気テープ,パンチカード,コンピュータの内部記憶装置(RAMやROMなどのメモリ),外部記憶装置等や、バーコードなどの符号が印刷された印刷物等の、コンピュータ読取可能な種々の媒体を利用することもできる。
【図面の簡単な説明】
【0203】
【図1】本発明の一実施形態としての個人情報管理システムの構成を示すブロック図である。
【図2】本発明の一実施形態としての個人情報管理システムの全体概略構成を示すブロック図である。
【図3】本実施形態における個人情報管理サーバの動作を説明するためのフローチャートである。
【図4】本実施形態における個人情報管理サーバの動作を説明するためのフローチャートである。
【図5】本実施形態における個人情報管理サーバの動作を説明するためのフローチャートである。
【図6】本実施形態におけるクライアント端末の動作を説明するためのフローチャートである。
【符号の説明】
【0204】
1 個人情報管理システム
10 個人情報管理サーバ(管理サーバ)
11 個人情報カプセルデータベース(保存手段)
12 認証情報/復号鍵保存手段
101 個人情報カプセル生成/変更要求受信手段
102 生成手段
103 フィルタ設定手段
104 アクセス要求受信手段
105 フィルタリング手段
106 変換手段
107 暗号化手段
108 アクセス権限設定手段
109 個人情報ファイル送信手段
110 ログ記録手段
111 認証情報受信手段
112 判定手段
113 復号鍵送信手段
114 変更手段
115 無効化手段
116 通知手段
117 デジタル署名付与手段
118 個人情報探査手段
119 削除手段
121 位置検出手段
20 クライアント端末
202 操作手段
203 表示手段
221 アクセス要求送信手段
222 個人情報ファイル受信手段
223 個人情報ファイル保存手段
224 認証情報送信手段
225 復号鍵受信手段
226 復号化手段
227 編集手段
30 ネットワーク(社内LAN)
【技術分野】
【0001】
本発明は、特定の個人を識別可能な個人情報を、その特定の個人に関する複数の個人情報要素からなるデータセット(個人情報カプセル)として管理し、その個人情報カプセルから各利用者に応じた内容を取り出して各利用者に利用させる、個人情報の提供サービスを実現するための技術に関する。
【背景技術】
【0002】
例えば、下記特許文献1には、携帯電話などのモバイル端末やパーソナルコンピュータへの電話や電子メール送信者の個人情報を、ネットワークを介して管理する技術が開示されている。この特許文献1に開示された技術において、利用者は、発信端末からネットワークを使用し、氏名,住所,電話番号,メールアドレス,写真等の個人情報を個人情報管理サーバに登録しておき、発信端末から着信端末に電話や電子メールを送信する際に個人情報通知許可が設定してある場合、電話や電子メールを受信した着信端末から個人情報取得操作を行なうことにより、サーバで電話番号,メールアドレスを索引として発信者の個人情報が検索され、検索された個人情報がサーバから着信端末に送信されるようになっている。
【特許文献1】特開2005−51475号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
ところで、上記特許文献1に開示された技術のごとく個人情報を利用者に提供するシステムでは、個人情報取得操作を行なった利用者に対し、個人情報管理サーバに登録されている個人情報がそのまま送信・提供されることになる。
【0004】
個人情報の保護の意識が高まり個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することが望まれている昨今、上述のように個人情報取得操作を行なった全ての利用者に対し一律同じ内容の個人情報を送信・提供するのではなく、利用者に応じた内容の個人情報のみを送信・提供できるようにして、利用者にとって不必要と思われる内容(個人情報要素)までもが不用意に送信されるのを防止することが望まれている。
【0005】
例えば、企業等において、特定の個人を識別可能な各種個人情報要素を含む個人情報を一元的に管理しながら利用者が特定の個人の個人情報を閲覧・利用する際に、利用者がその特定の個人の上司や管理者である場合には詳細な内容(個人情報要素)を閲覧・利用可能にする一方で、利用者が同僚や部下である場合には個人情報の一部のみを閲覧・利用可能にするといったように、利用者に応じた内容の個人情報要素のみを利用者に提供できるようにしたシステムの構築が望まれている。
【0006】
また、ドキュメント等の電子ファイルを取り扱う利用者端末(PC)は、どこへでも持ち運ぶことが可能であり、もちろん、輸出規制対象国〔例えばキャッチオール規制の対象とならないホワイト国(2006年5月現在で26カ国)以外の国〕や、利用者の所属する企業が許可しない国/地域に持ち込むことも可能である。そのような国や地域で、輸出規制対象の技術等に関連する技術者の個人情報ファイルを開いて閲覧したりすることは、輸出規制対象の技術等が輸出規制対象国や地域で流出する機会を生じさせることになるため好ましくない。従って、予め規定された国や地域において、特定の個人情報ファイルの開封を禁止できるようにすることが望まれている。
【0007】
また、以上の個人情報を管理するシステムにおいては、唯一無二の電子ファイルが生成されて保存されている必要があり、スキャナで文字を取り込む際に生じた誤字、あるいは、キー入力の際の入力や仮名漢字変換の誤り、例えば、「山田一郎」と「山田一朗」のような間違いによって、別個の電子ファイルが生じてしまうことは絶対に避けなければならない。
【0008】
同様に、同じ読みであっても新字体と旧字体との違いのように、「広瀬和夫」と「廣瀬和夫」のような異なる文字が使用されることで、本来は同一の電子ファイルが別個に発生する事態も避けなければならない。
【0009】
本発明は、このような状況に鑑み創案されたもので、特定の個人についての個人情報を利用する利用者に対し、その利用者あるいは利用者所在地に適した内容の個人情報要素のみを提供できるようにして、利用者にとって不必要と思われる内容が不用意に送信されるのを防止し、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止し、個人情報の保護を実現することを目的としている。
【0010】
また、以上のような状況に鑑み創案されたもので、特定の個人についての個人情報を生成し、利用する利用者に対し、正確な個人情報要素のみを生成し提供できるようにして、個人情報の不用意な生成・流出・漏洩や個人情報の不正利用などを確実に防止し、個人情報の保護を実現することを目的としている。
【課題を解決するための手段】
【0011】
上記目的を達成するための本発明は、以下に列記するように構成されている。
(1)請求項1記載の発明は、特定の個人を識別可能な個人情報を、前記特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する管理サーバと、前記管理サーバと相互に通信可能に接続され、前記個人情報カプセルにアクセスして前記個人情報カプセル内の個人情報要素を利用しうるクライアント端末とを備えた個人情報管理システムであって、前記管理サーバが、前記個人情報カプセルを生成する生成手段と、前記生成手段によって生成された個人情報カプセルを保存する保存手段と、前記保存手段に保存された前記個人情報カプセルに前記クライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段と、前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段と、前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段と、前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段と、前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段と、前記個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の前記クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、前記暗号化ファイルを前記個人情報ファイルとして前記個人情報ファイル送信手段に送信させる暗号化手段と、前記クライアント端末から前記暗号化ファイルについての認証情報を受信する認証情報受信手段と、前記認証情報受信手段によって受信された前記認証情報に基づいて、前記クライアント端末が前記暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段と、前記暗号化ファイルを復号化するための復号鍵を保存する復号鍵保存手段と、前記判定手段によって前記クライアント端末が正当な送信先であると判定された場合に前記復号鍵を前記クライアント端末に送信する復号鍵送信手段とを備えて構成され、前記クライアント端末が、前記個人情報カプセルに対するアクセス要求を前記管理サーバに送信するアクセス要求送信手段と、前記管理サーバから前記アクセス要求に応じた前記個人情報ファイルを受信する個人情報ファイル受信手段と、前記個人情報ファイル受信手段によって受信された前記個人情報ファイルである暗号化ファイルを開く場合に、前記暗号化ファイルについての認証情報を前記管理サーバに送信する認証情報送信手段と、前記暗号化ファイルに応じた復号鍵を前記管理サーバから受信する復号鍵受信手段と、前記復号鍵受信手段によって受信された前記復号鍵を用いて前記暗号化ファイルを復号化し元の個人情報ファイルを復元する復号化手段とを備えて構成され、前記復号鍵保存手段は、前記個人情報カプセルの内容が変更された場合に、前記無効化手段からの無効化指令を受けて前記復号鍵を変更することにより、前記クライアント端末側での前記個人情報ファイルの復号化を不能にする、ことを特徴とする個人情報管理システムである。
【0012】
(2)請求項2記載の発明は、前記クライアント端末が、該クライアント端末において前記個人情報ファイルを開封する際に、当該個人情報ファイルの開封要求としての復号鍵送信要求を前記管理サーバに送信する開封要求送信手段を備えて構成されるとともに、前記管理サーバが、前記クライアント端末から前記開封要求としての復号鍵送信要求を受信する開封要求受信手段と、前記開封要求受信手段によって前記開封要求としての復号鍵送信要求を受信した時点における前記クライアント端末の所在位置を検出する位置検出手段と、前記位置検出手段によって検出された前記所在位置が予め定められた所定条件を満たしているか否かを判定する判定手段と、前記判定手段によって前記所在位置が前記所定条件を満たしていると判定された場合に前記クライアント端末での前記個人情報ファイルの開封を許可する一方、前記所在位置が前記所定条件を満たしていないと判定された場合に前記クライアント端末での前記個人情報ファイルの開封を禁止する開封許否手段とをそなえて構成されている、ことを特徴とする請求項1記載の個人情報ファイル管理システムである。
【0013】
(3)請求項3記載の発明は、特定の個人を識別可能な個人情報を、前記特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する管理サーバと、前記管理サーバと相互に通信可能に接続され、前記個人情報カプセルにアクセスして前記個人情報カプセル内の個人情報要素を利用しうるクライアント端末とを備えた個人情報管理システムであって、前記管理サーバが、前記個人情報カプセルを生成する生成手段と、前記生成手段によって生成された個人情報カプセルを保存する保存手段と、前記保存手段に保存された前記個人情報カプセルに前記クライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に
対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段と、前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段と、前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段と、前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段と、前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段と、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段と、を備えて構成され、前記生成手段は、前記クライアント端末からの個人情報カプセル生成要求に基づいて新たに生成しようとする個人情報カプセルについて、前記保存手段で保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、類似する個人情報カプセルが既に存在する場合には、クライアント端末に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成する、ことを特徴とする個人情報管理システムである。
【0014】
(4)請求項4記載の発明は、特定の個人を識別可能な個人情報を、前記特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバであって、前記個人情報カプセルを生成する生成手段と、前記生成手段によって生成された個人情報カプセルを保存する保存手段と、前記保存手段に保存された前記個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段と、前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段と、前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段と、前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段と、前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人
情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段と、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段と、前記個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の前記クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、前記暗号化ファイルを前記個人情報ファイルとして前記個人情報ファイル送信手段に送信させる暗号化手段と、前記クライアント端末から前記暗号化ファイルについての認証情報を受信する認証情報受信手段と、前記認証情報受信手段によって受信された前記認証情報に基づいて、前記クライアント端末が前記暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段と、前記暗号化ファイルを復号化するための復号鍵を保存する復号鍵保存手段と、前記判定手段によって前記クライアント端末が正当な送信先であると判定された場合に前記復号鍵を前記クライアント端末に送信する復号鍵送信手段とを備えて構成され、前記復号鍵保存手段は、前記個人情報カプセルの内容が変更された場合に、前記無効化手段からの無効化指令を受けて前記復号鍵を変更することにより、前記クライアント端末側での前記個人情報ファイルの復号化を不能にする、ことを特徴とする個人情報管理サーバである。
【0015】
(5)請求項5記載の発明は、クライアント端末において前記個人情報ファイルが開封される際に、前記クライアント端末から前記開封要求としての復号鍵送信要求を受信する開封要求受信手段と、前記開封要求受信手段によって前記開封要求としての復号鍵送信要求を受信した時点における前記クライアント端末の所在位置を検出する位置検出手段と、前記位置検出手段によって検出された前記所在位置が予め定められた所定条件を満たしているか否かを判定する判定手段と、前記判定手段によって前記所在位置が前記所定条件を満たしていると判定された場合に前記クライアント端末での前記個人情報ファイルの開封を許可する一方、前記所在位置が前記所定条件を満たしていないと判定された場合に前記クライアント端末での前記個人情報ファイルの開封を禁止する開封許否手段とをそなえて構成されている、ことを特徴とする請求項4記載の個人情報ファイル管理サーバである。
【0016】
(6)請求項6記載の発明は、特定の個人を識別可能な個人情報を、前記特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバであって、前記個人情報カプセルを生成する生成手段と、前記生成手段によって生成された個人情報カプセルを保存する保存手段と、前記保存手段に保存された前記個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段と、前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段と、前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段と、前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段と、前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、前記クライアント
端末におけるデータの中から個人情報を探査する個人情報探査手段と、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段と、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段と、前記生成手段は、前記クライアント端末からの個人情報カプセル生成要求に基づいて新たに生成しようとする個人情報カプセルについて、前記保存手段で保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、類似する個人情報カプセルが既に存在する場合には、クライアント端末に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成する、ことを特徴とする個人情報管理サーバである。
【0017】
(7)請求項7記載の発明は、特定の個人を識別可能な個人情報を、該特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバとしてコンピュータを機能させる個人情報管理プログラムであって、前記個人情報カプセルを生成する生成手段、前記生成手段によって生成された個人情報カプセルを保存する保存手段、前記保存手段に保存された前記個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段、利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段、前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段、前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段、前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段、前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段、前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段、前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段、前記個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の前記クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、前記暗号化ファイルを前記個人情報ファイルとして前記個人情報ファイル送信手段に送信させる暗号化手段、前記クライアント端末から前記暗号化ファイルについての認証情報を受信する認証情報受信手段、前記認証情報受信手段によって受信された前記認証情報に基づいて、前記クライアント端末が前記暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段、および、前記暗
号化ファイルを復号化するための復号鍵を保存するとともに、前記判定手段によって前記クライアント端末が正当な送信先であると判定された場合に前記復号鍵を前記クライアント端末に送信するとともに、前記個人情報カプセルの内容が変更された場合に、前記無効化手段からの無効化指令を受けて前記復号鍵を変更することにより、前記クライアント端末側での前記個人情報ファイルの復号化を不能にする復号鍵保存手段、として該コンピュータを機能させることを特徴とする個人情報管理プログラムである。
【0018】
(8)請求項8記載の発明は、クライアント端末において前記個人情報ファイルが開封される際に、前記クライアント端末から前記開封要求としての復号鍵送信要求を受信する開封要求受信手段、前記開封要求受信手段によって前記開封要求としての復号鍵送信要求を受信した時点における前記クライアント端末の所在位置を検出する位置検出手段、前記位置検出手段によって検出された前記所在位置が予め定められた所定条件を満たしているか否かを判定する判定手段、前記判定手段によって前記所在位置が前記所定条件を満たしていると判定された場合に前記クライアント端末での前記個人情報ファイルの開封を許可する一方、前記所在位置が前記所定条件を満たしていないと判定された場合に前記クライアント端末での前記個人情報ファイルの開封を禁止する開封許否手段、として該コンピュータを機能させることを特徴とする請求項7記載の個人情報管理プログラムである。
【0019】
(9)請求項9記載の発明は、特定の個人を識別可能な個人情報を、該特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバとしてコンピュータを機能させる個人情報管理プログラムであって、前記個人情報カプセルを生成する生成手段、前記生成手段によって生成された個人情報カプセルを保存する保存手段、前記保存手段に保存された前記個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段、利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段、前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段、前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段、前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段、前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段、前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段、前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段、前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段、前記クライアント端末からの個人情報カプセル生成要求に基づいて新たに生成しようとする個人情報カプセルについて、前記保存手段で保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、類似する個人情報カプセルが既に存在する場合
には、クライアント端末に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成する手段、として該コンピュータを機能させることを特徴とする個人情報管理プログラムである。
【発明の効果】
【0020】
上述した本発明によれば、以下に述べるような効果を得ることができる。
(1)請求項1記載の発明では、個人情報管理サーバ(管理サーバ)において、特定の個人を識別可能な個人情報が、標準化されたデータセットである個人情報カプセルとして一元的に管理される。そして、個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタが設定されており、利用者から個人情報カプセルに対するアクセス要求があると、その利用者に対し設定されたフィルタを用いて個人情報カプセル内の個人情報要素のフィルタリング処理が行なわれ当該利用者の利用可能な個人情報要素が個人情報カプセルから抽出され、抽出された個人情報要素が個人情報ファイルとしてクライアント端末に送信される。これにより、特定の個人についての個人情報を利用する利用者に対し、その利用者に応じた内容の個人情報要素のみを提供することができるので、利用者にとって不必要と思われる内容が不用意に送信されることがなくなり、個人情報の不用意な流出・漏洩や個人情報の不正利用などが確実に防止され、個人情報の保護を実現することができる。
【0021】
ここで、個人情報ファイルを管理サーバからクライアント端末に送信する際、個人情報ファイルが、送信先のクライアント端末に応じた暗号鍵を用いて暗号化され、暗号化ファイルとして送信され、管理サーバによって認証される正当な利用者(正当な送信先であるクライアント端末の利用者)のみが暗号化ファイルを復号化してアクセスできるように構成することにより、管理サーバからクライアント端末に送信された個人情報ファイルの内容が不用意に流出・漏洩したり不正利用されたりするのを確実に防止でき、個人情報を確実に保護することができる。
【0022】
そして、個人情報カプセルの内容が変更された場合に、無効化手段からの無効化指令を受けて復号鍵を変更することにより、クライアント端末側での個人情報ファイルの復号化を不能にすることで個人情報ファイルを無効化する。
【0023】
すなわち、個人情報管理サーバにおいて、変更を施された個人情報カプセルから変更前に抽出されてクライアント端末に送信された個人情報ファイルを無効化するように構成することにより、個人情報カプセルの内容が変更されると、変更前の個人情報ファイルが無効化され誰も利用できなくなるため、変更前の個人情報ファイルであっても不用意な流出・漏洩や不正利用が確実に防止され、個人情報を確実に保護することができる。
【0024】
(2)請求項2記載の発明では、クライアント端末において利用者が電子ファイルを開封する際に、その個人情報ファイルの開封要求が管理サーバに送信され、この開封要求としての復号鍵送信要求を受けた管理サーバにおいて、個人情報ファイルの開封時におけるクライアント端末の所在位置(所在国)が検出され、検出された所在位置が所定条件〔所定の国(例えばホワイト国)であること〕を満たしているか否かが判定され、クライアント端末での個人情報ファイル開封直前にクライアント端末の所在位置を確認することができる。そして、クライアント端末の所在位置が所定条件(例えば輸出規制対象国内ではない)を満たす場合にのみ個人情報ファイルの開封を許可することにより、個人情報ファイルの内容が、輸出規制対象国や地域などで利用者の知らないうちに流出・漏洩してしまうのを確実に防止することができる。
【0025】
ここで、以上のように復号鍵を変更した後、変更後の復号鍵についてのクライアント端末への送信を禁止することにより、個人情報ファイルを無効化している。このため、変更
前の個人情報ファイルの復号化が不能になり、確実に無効化され誰も利用できなくなるため、変更前の個人情報ファイルであっても不用意な流出・漏洩や不正利用が確実に防止され、個人情報を確実に保護することができる。
【0026】
なお、変更前の個人情報ファイルを無効化する手段は、例えば、クライアント端末に送信されるべき復号鍵(暗号化ファイルを復号化するための鍵)を変更したり、その復号鍵の送信を禁止したり、送信履歴ログに基づき個人情報ファイルの送信先のクライアント端末に個人情報ファイルの削除指令を送信して個人情報ファイルを削除させたりすることにより、極めて容易に実現することができる。
【0027】
また、管理サーバにおいて、クライアント端末からの個人情報カプセルに対するアクセス要求に応じて実行された個人情報ファイルの送信の履歴をログとして記録し、必要に応じてログの記録から削除指令を送信することにより、個人情報カプセルに対するアクセス状況が管理され、必要に応じて個人情報ファイルに対するアクセスを追跡管理可能になり、アクセスを追跡して無効化も可能になるので、個人情報の不正利用をより確実に防止することができる。
【0028】
また、以上のの発明では、管理サーバにおいて新たに生成された個人情報カプセルや変更を施された個人情報カプセルや個人情報ファイルに対しデジタル署名を付与することにより、個人情報カプセルや個人情報ファイルが改竄されていないことを保証することができ、第三者による偽造を防止することができる。その際、クライアント端末におけるデータの中から個人情報を探査し、探査された個人情報にデジタル署名が付与されていない場合には、その個人情報をクライアント端末から削除するように構成することにより、管理サーバでのデジタル署名を付与されていない個人情報は、管理サーバの管理下になく、クライアント端末等のローカルで作成された、正規ではない個人情報と判断され、クライアント端末から自動的に削除される。これにより、本発明のシステム内では、管理サーバによって一元的に管理される個人情報のみが存在して利用されることになり、個人情報を確実に管理して確実に保護することができる。
【0029】
また、以上の発明では、管理サーバにおいて、個人情報ファイルを、コンテナ機能を有する完成文書ファイルに変換し、そのコンテナ機能を用いて個人情報ファイルのオリジナルファイルを添付した状態で完成文書ファイルを暗号化してから個人情報ファイルとしてクライアント端末に送信することにより、個人情報ファイルが改竄困難な完成文書ファイルとして送信され、個人情報ファイルを改竄されて不正利用されるのを防止しながら、コンテナ機能により添付されたオリジナルファイルを用いて編集等の操作を行なうことも可能になる。
【0030】
また、以上の発明では、管理サーバが、暗号化ファイルに対する所定のアクセス権限を、個人情報ファイルの送信先の利用者に応じて設定するようにしており、クライアント端末は、復号化手段によって復元された個人情報ファイルに対するアクセスとして、アクセス権限設定手段によって設定されたアクセス権限に応じたアクセスを許可されるため、オリジナルファイルの取出し権限をアクセス権限として付与された利用者のみが行なえるようになり、そのオリジナルファイルの不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
【0031】
また、以上の発明では、利用者は、アクセス権限設定手段によって、該完成文書ファイルからオリジナルファイルを取り出す取出し権限と、取り出された前記オリジナルファイルの編集権限とを該所定のアクセス権限として設定されている場合には、クライアント端末において該編集手段によってオリジナルファイルを編集することを許可されるため、オリジナルファイルの取出し権限や編集権限をアクセス権限として付与された利用者のみが
行なえるようになるとともに、そのオリジナルファイルの不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
【0032】
また、以上の発明では、クライアント端末において、編集手段によって編集されたオリジナルファイルが該完成文書ファイル以外に保存されることが禁止されているため、編集等の操作は、オリジナルファイルの取出し権限や編集権限をアクセス権限として付与された利用者のみが行なえるようになるとともに、クライアント端末において編集後のオリジナルファイルは完成文書ファイル以外に保存されるのを禁止することにより、そのオリジナルファイルの不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
【0033】
また、以上の発明で、個人情報ファイルを無効化した場合にその旨を管理サーバからクライアント端末に自動的に通知することで、個人情報カプセルに対するアクセス要求の再実行を利用者に促すことができ、その通知を受けた利用者は自分の判断で再度アクセス要求を行なうことにより、変更後の最新の個人情報ファイルを得ることが可能になり、利用者の利便性を向上させることができる。ここで、利用者は、個人情報ファイルが無効化されたことで個人情報ファイルを利用できなくなったことを認識すると、再度アクセス要求を行なって、変更後の最新の個人情報ファイルを得ることが可能になる。
【0034】
(3)請求項3の発明では、クライアント端末からの個人情報カプセル生成要求に基づ
いて新たに生成しようとする個人情報カプセルについて、保存手段で保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、類似する個人情報カプセルが既に存在する場合には、クライアント端末に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成するようにしているため、スキャナでの読み取りで生じる誤字や、仮名漢字変換における誤り、キー入力時の誤入力などに起因する誤ったデータの電子ファイルが作成されることがなくなり、個人情報を管理するシステムにおいて唯一無二の電子ファイルが生成されて保存されるようになる。
【0035】
この際、管理サーバからクライアント端末へ、類似する個人情報カプセルが既に存在する場合には、クライアント端末に対する確認要求、クライアント端末に対する類似する個人情報カプセル存在通知と確認要求、類似する個人情報カプセルがクライアント端末に存在する場合におけるクライアント端末に対する類似個人情報カプセルの存在通知、のいずれの手法を用いても良い。そして、クライアント端末に対する確認要求に基づいて、クライアント端末から確認が得られた場合に新たな個人情報カプセルを生成することが望ましい。
【0036】
以上の(1)〜(3)に対応する個人情報管理サーバによっても、(1)〜(3)の場合と同様に、個人情報ファイルの不用意な流出・漏洩や不正利用が確実に防止され、個人情報を確実に保護することができ、唯一無二の個人情報カプセルの電子ファイルが生成される効果が得られる。
【0037】
また、以上の(1)〜(3)に対応する個人情報管理サーバとしてコンピュータを動作させる個人情報管理プログラムによっても、(1)〜(3)の場合と同様に、個人情報ファイルの不用意な流出・漏洩や不正利用が確実に防止され、個人情報を確実に保護することができ、唯一無二の個人情報カプセルの電子ファイルが生成される効果が得られる。
【発明を実施するための最良の形態】
【0038】
以下、図面を参照して本発明の実施の形態を説明する。
〔1〕本実施形態の個人情報管理システムの構成:
〔1−1〕個人情報管理システムの全体構成:
図2は本発明の一実施形態としての個人情報管理システムの全体概略構成を示すブロック図で、この図2に示す個人情報管理システム1は、個人情報管理サーバ10,クライアント端末20およびネットワーク30を備えて構成されている。また、図1は本発明の一実施形態としての個人情報管理システムの各部の構成を示すブロック図である。
【0039】
個人情報管理サーバ(管理サーバ)10は、後述する個人情報カプセルデータベース11および認証情報/復号鍵保存手段12を付設されて構成され、特定の個人を識別可能な個人情報を、その特定の個人に関する複数の個人情報要素からなるデータセットとして管理するものである。本実施形態のシステム1では、複数の個人情報要素からなるデータセットが標準化され個人情報カプセルとして管理され、例えば企業等の社内における一社員に対して一つの個人情報カプセルが生成・保存される。
【0040】
個人情報カプセルに含まれる個人情報要素としては、例えば、氏名,性別,年齢,生年月日,血液型,自宅情報(自宅の住所,電話番号,FAX番号,メールアドレス等),勤務先情報(勤務先名,所属部署,役職のほか勤務先の住所/電話番号/FAX番号/メールアドレス等),家族構成,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号,通院履歴,病歴,投薬情報,診療履歴のほか、本人に係る画像情報や音声情報などが挙げられる。
【0041】
クライアント端末20は、企業等の社内において各社員(利用者)によって操作されるパーソナルコンピュータ等であり、インターネット,イントラネット,社内LAN(Local Area Network)等のネットワーク30を介して個人情報管理サーバ10と相互に通信可能に接続され、利用者の操作に応じ、個人情報管理サーバ10によって管理される個人情報カプセルにアクセスして個人情報カプセル内の個人情報要素を利用しうるものである。利用者は、クライアント端末20およびネットワーク30を通じ、個人情報管理サーバ10によって提供される個人情報管理サービスの提供を利用することになり、例えば、自分の個人情報カプセルの生成/変更を行なったり、個人情報管理サーバ10における各社員の個人情報カプセルにアクセスして個人情報要素を取得し個人情報要素を編集して名簿や住所録を作成したりすることができる。
【0042】
〔1−2〕個人情報管理サーバの構成:
この図1に示すように、本実施形態の個人情報管理サーバ10は、上述したように個人情報カプセルデータベース11および認証情報/復号鍵保存手段12を付設されるとともに、後述する各種手段101〜119を備えて構成されている。これらの手段101〜119としての機能は、所定のアプリケーションプログラム(個人情報管理プログラム)を、サーバとして機能すべきコンピュータのCPU(Central Processing Unit)に実行さ
せることによって実現される。
【0043】
個人情報カプセルデータベース(保存手段)11は、後述する生成手段102によって生成された個人情報カプセルを保存するとともに、各個人情報カプセルの利用者に対して後述するフィルタ設定手段103によって設定されたフィルタを、当該個人情報カプセルおよびその利用者に対応付けて保存する機能も果たしている。
【0044】
認証情報/復号鍵保存手段12は、本実施形態の個人情報管理サーバ10によるサービスを利用すべく予め登録された利用者の認証情報(識別番号およびパスワード)を保存するとともに、後述する暗号化手段107によって得られた暗号化ファイルを復号化するための復号鍵を保存する機能も果たしている。
【0045】
個人情報カプセル生成/変更要求受信手段101は、ネットワーク30を介して、クライアント端末20から個人情報カプセル生成要求や個人情報カプセル変更要求を認証情報
(識別番号およびパスワード)とともに受信したり、個人情報管理サーバ10の入力装置(キーボードやマウス等)を通じて個人情報カプセル生成要求や個人情報カプセル変更要求を認証情報(識別番号およびパスワード)とともに受信したりするものである。その際、個人情報カプセルの内容として保存されるべき複数種類の個人情報要素、あるいは、既に登録されている個人情報カプセルに対する変更の内容も入力され個人情報カプセル生成/変更要求受信手段101によって受信されるものとする。つまり、個人情報要素や変更内容は、各社員(各個人)がクライアント端末20から入力してもよいし、社員の個人情報を管理する企業等における管理者が個人情報管理サーバ10に対して直接入力してもよい。個人情報要素や変更内容の入力は、利用者がキーボードやマウス等の入力装置を操作して行なってもよいし、用紙に印刷もしくは書き込まれた文字情報(名刺や名簿など)や画像情報をスキャナによって読み取ることによって行なってもよい。
【0046】
また、本実施形態の個人情報カプセル生成/変更要求受信手段101は、利用者によって入力された認証情報(識別番号およびパスワード)に基づいて、その利用者が本個人情報管理サービスの正当な利用者であるか否かの認証判定を行なう認証判定機能も併せもっているものとする。具体的には、利用者によって入力された識別番号およびパスワードが、認証情報/復号鍵保存手段12に予め登録・保存されている識別番号およびパスワードと一致するか否かを判定することにより、その利用者が正当な利用者であるか否かを判定・認証するものである。
【0047】
生成手段102は、個人情報カプセル生成/変更要求受信手段101の認証判定機能により正当な利用者であると判定された場合に、上述のごとく個人毎に入力・受信された複数種類の個人情報要素を含む所定フォーマットのデータセットを個人情報カプセルとして生成するものである。
【0048】
なお、この生成手段102は、クライアント端末20からの個人情報カプセル生成要求に基づいて新たに生成しようとする個人情報カプセルについて、個人情報カプセルデータベース11に保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、類似する個人情報カプセルが既に存在する場合には、クライアント端末20に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成する機能を有する。
【0049】
フィルタ設定手段103は、個人情報カプセルデータベース11に保存された個人情報カプセルにクライアント端末20からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するものである。ここで、個人情報カプセル毎や個人毎に対して異なるフィルタを設定してもよいし、同一のグループに属する利用者には同一のフィルタを設定してもよい。例えば、画像情報等を含む全ての個人情報を公開するレベルや、画像情報以外の個人情報を公開するレベルや、氏名および連絡先のみを公開するレベルといった、利用者のランク分けを行なうようにフィルタを設定することができる。また、例えば、企業等において、利用者が特定の社員の上司や管理者である場合には詳細な内容(個人情報要素)を閲覧・利用可能にする一方で、利用者が同僚や部下である場合には個人情報の一部のみを閲覧・利用可能にするといったように、フィルタを設定することもできる。
【0050】
なお、本実施形態において、フィルタ設定手段103によって設定されたフィルタは、個人情報カプセルデータベース11に保存されるものとする。その際、個人情報カプセル毎や利用者毎に対応付けて、あるいは、利用者のランクや役職に対応付けてフィルタを保存する。また、利用者毎に設定されるフィルタの内容については、個人情報カプセルの生成を要求した利用者本人がクライアント端末20から指示してもよいし、管理者が管理サーバ10で指示してもよいし、予め設定されたフィルタパターンを選択することで指示し
てもよいし、フィルタ設定対象の利用者のランクや役職等を認識しそのランク/役職等に応じて自動的に設定してもよい。
【0051】
アクセス要求受信手段104は、利用者からクライアント端末20およびネットワーク30を通じて個人情報カプセルに対するアクセス要求を認証情報(識別番号およびパスワード)とともに受信するものである。このアクセス要求受信手段104も、個人情報カプセル生成/変更要求受信手段101と同様、利用者によって入力された認証情報(識別番号およびパスワード)に基づいて、その利用者が本個人情報管理サービスの正当な利用者であるか否かの認証判定を行なう認証判定機能も併せもっているものとする。
【0052】
フィルタリング手段105は、アクセス要求受信手段104の認証判定機能により正当な利用者であると判定された場合に、アクセス要求対象の個人情報カプセルとその利用者について設定されたフィルタとを個人情報カプセルデータベース11から読み出し、読み出されたフィルタを用いて、読み出された個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を個人情報ファイルとして個人情報カプセルから抽出するものである。
【0053】
変換手段106は、フィルタリング手段105によって抽出された個人情報ファイルを、コンテナ機能を有する完成文書ファイル〔ここでは、改竄操作の困難なPDF(Portable Document Format)ファイル〕に変換するものである。
【0054】
暗号化手段107は、前記コンテナ機能を用いて当該PDFファイルに当該個人情報ファイルのオリジナルファイルを添付・格納してから、当該PDFファイルを、送信先のクライアント端末20に応じた暗号鍵で暗号化して暗号化ファイルを作成するものである。なお、PDFファイルへの変換は例えばPDFドライバによって行なわれ、このPDFドライバを起動することにより、管理対象ファイルがPDF化され、PDFファイルファイルが生成されるようになっている。
【0055】
また、ここで暗号化のために用いられた暗号鍵に対応する復号鍵〔暗号化ファイルを復号化(平文化)するための鍵〕は、認証情報/復号鍵保存手段12において、利用者もしくは暗号化ファイル(個人情報ファイル)に対応付けられて保存されているものとする。なお、この認証情報/復号鍵保存手段12は、請求項における復号鍵保存手段を構成しており、所定の場合に無効化指令を受けて復号鍵を変更することにより、クライアント端末20側での個人情報ファイルの復号化を不能にする。
【0056】
アクセス権限設定手段108は、暗号化ファイルに対する所定のアクセス権限を、個人情報ファイルの送信先の利用者に応じて設定するものである。このアクセス権限設定手段108により、暗号化ファイルにアクセスする利用者について、暗号化ファイルへのアクセス権限(例えば、閲覧,注釈,印刷,コピーのほか、コンテナ機能により添付されたオリジナルファイルの取出しや、取り出されたファイルの編集などのアクセスの中から選択されたものを実行する権限)の設定が自動的にもしくは利用者(管理者)の指示によって行なわれるものとする。これにより、クライアント端末20において、利用者は、後述するごとく復号化手段226によって復元された個人情報ファイルに対するアクセスとして、アクセス権限設定手段108によって設定されたアクセス権限に応じたアクセスを許可されるようになっている。
【0057】
個人情報ファイル送信手段109は、暗号化手段107によって得られた暗号化ファイル(原ファイルはフィルタリング手段105によって個人情報カプセルから抽出された個人情報要素を含む個人情報ファイル)をネットワーク30経由でクライアント端末20に送信するものである。
【0058】
ログ記録手段110は、クライアント端末20からの個人情報カプセルに対するアクセス要求に応じて実行された個人情報ファイルの送信の履歴(送信日時,送信先情報,送信されたファイルを特定するための情報など)をログとして記録するものである。
【0059】
認証情報受信手段111は、クライアント端末20において管理サーバ10から送信された暗号化ファイルを利用する際にクライアント端末20から送信されてくる暗号化ファイルについての認証情報(識別番号およびパスワード)を受信するものである。このとき、認証情報受信手段111は、認証情報とともに、暗号化ファイルを復号化するための開封要求としての復号鍵の送信要求もクライアント端末20から受信することになるため、開封要求受信手段を構成している。暗号化ファイルについての認証情報(識別番号およびパスワード)は、暗号化ファイル毎に設定されるものであるため、上述した個人情報カプセル生成/変更要求受信手段101,アクセス要求受信手段104の認証判定機能による利用者認証で必要になる認証情報とは異なるものであり、暗号化ファイルについての認証情報も、認証情報/復号鍵保存手段12に保存されているものとする。
【0060】
判定手段112は、上述した個人情報カプセル生成/変更要求受信手段101やアクセス要求受信手段104の認証判定機能と同様の機能を果たすもので、認証情報受信手段111によって受信された認証情報に基づいて、クライアント端末20が暗号化ファイルの正当な送信先であるか否かの判定(クライアント端末20を通じて暗号化ファイルにアクセスする利用者が本個人情報管理サービスの正当な利用者であるか否かの認証判定)を行なうものである。
【0061】
復号鍵送信手段113は、判定手段112によってクライアント端末20が正当な送信先であると判定された場合、アクセス要求対象の暗号化ファイルを復号化するための復号鍵を、認証情報/復号鍵保存手段12から読み出し、ネットワーク30経由でクライアント端末20に送信するものである。
【0062】
なお、この復号鍵送信手段113は、判定手段112によって利用者の所在位置が、後述するような所定条件を満たしていると判定された場合にクライアント端末20での個人情報ファイルの開封を許可する一方、所在位置が後述するように所定条件を満たしていないと判定された場合に復号鍵の送信を禁止してクライアント端末20での個人情報ファイルの開封を禁止する開封許否手段をも兼ねている。
【0063】
変更手段114は、個人情報カプセル生成/変更要求受信手段101の認証判定機能により正当な利用者であると判定された場合に、上述のごとく入力・受信された個人情報カプセルに対する変更の内容に従って、個人情報カプセルデータベース11に保存された、変更対象の個人情報カプセルの内容を変更するものである。
【0064】
無効化手段115は、変更手段114によって個人情報カプセルの内容が変更された場合、変更を施された個人情報カプセルから変更前に抽出されてクライアント端末20に送信された個人情報ファイルを無効化するものである。
【0065】
この無効化手段115による無効化手法としては、その個人情報ファイルに対応する暗号化ファイルを復号化する復号鍵(認証情報/復号鍵保存手段12に保存されているもの)を変更して新たな復号鍵を生成する手法や、その個人情報ファイルに対応する暗号化ファイルに対するアクセス要求(認証情報)を受信し利用者認証がなされても復号鍵送信手段113による復号鍵の送信を禁止する手法や、ログ記録手段110によって記録されたログに基づきその個人情報ファイルに対応する暗号化ファイルの送信先のクライアント端末20にそのファイルの削除指令を送信し、クライアント端末20において個人情報ファ
イルを削除させる手法などが用いられる。
【0066】
通知手段116は、無効化手段115によって個人情報ファイル(暗号化ファイル)を無効化した場合に、その旨を、ネットワーク30経由で電子メール等によりクライアント端末20に通知することにより、無効化された個人情報ファイル(暗号化ファイル)に対応する個人情報カプセルに対するアクセス要求の再実行を利用者に促すものである。
【0067】
デジタル署名付与手段117は、生成手段102によって生成された個人情報カプセルや、変更手段114によって変更された個人情報カプセルや、フィルタリング手段105によって得られた個人情報ファイルに対しデジタル署名を付与するものである。ここで、デジタル署名は、デジタル文書の正当性を保証するために付けられる暗号化された署名情報で、公開鍵暗号方式の応用によって、デジタル文書(ここでは個人情報カプセルや個人情報ファイル)の作成者を証明し、且つその文書が改竄されていないことを保証するものである。署名者(管理サーバ10側の管理者)は、自身の秘密鍵を用いて暗号化した署名をデジタル文書に付加して送る。受取人(クライアント端末20側の利用者)は、署名者の公開鍵を用いて署名を復号し、正しい内容かどうか確認する。これにより、第三者による偽造防止のほか、署名者がそのデジタル文書を作成したことの証明にも用いることができる。
【0068】
個人情報探査手段118は、クライアント端末20におけるデータの中から個人情報や個人情報ファイルを探査するもので、その探査はクライアント端末20のデータを管理サーバ10側に吸い上げて行なってもよいし、個人情報探査手段118により、各クライアント端末20に個人情報探査ツールを実現するための個人情報探査プログラムをインストールし、各クライアント端末20でその個人情報探査プログラムを実行させることで個人情報や個人情報ファイルの自己探査を実行させ、その自己探査の結果を各クライアント端末20から受信するようにしてもよい。
【0069】
ここで、個人情報ファイルの探査手法としては、後述する2つの探査手法のうちのいずれか一方を用いることができる。本実施形態において、個人情報ファイルの条件は、個人情報要素を含むレコードを所定数以上保有しているファイルであり、個人情報要素は、単体もしくは組合せによって特定の個人を識別することのできる文字列、例えば氏名,生年月日,連絡先(住所,居所,電話番号,メールアドレス)などである。また、個人情報要素としては、これら以外に、役職名,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号なども挙げられる。
【0070】
削除手段119は、個人情報探査手段118によって探査された個人情報や個人情報ファイルにデジタル署名付与手段117によるデジタル署名が付与されていない場合、個人情報や個人情報ファイルをクライアント端末20から削除するものであり、この削除手段119も、管理サーバ10側に備え管理サーバ10からネットワーク30経由で削除指示をクライアント端末20へ送信するようにしてもよいし、この削除手段119としての機能を実現するためのプログラムを上記個人情報探査プログラムとともに各クライアント端末20にインストールしクライアント端末20側で削除手段119としての機能を実現させてもよい。
【0071】
この削除手段119による個人情報や個人情報ファイルの削除を実行する前に、探査によって見つかった個人情報や個人情報ファイルを、管理サーバ10の管理対象である個人情報カプセルとして登録するか否かを問い合わせる機能を備えてもよい。登録する場合には、生成手段102により、探査された個人情報や個人情報ファイルに基づき個人情報カプセルを生成し個人情報カプセルデータベース11に登録・保存する。一方、登録しない場合には、探査された個人情報や個人情報ファイルを削除手段119により削除してもよ
いし、一定期限を設定し、その一定期限内に登録しない場合に、削除手段119により、探査された個人情報や個人情報ファイルを自動的に削除してもよい。なお、上述のような問い合せ機能を用いることなく、探査された個人情報や個人情報ファイルを削除手段119により直ちに強制削除することもできる。
【0072】
さらに、デジタル署名が付与されているが暗号化されていない個人情報や個人情報ファイルが探査された場合には、その個人情報や個人情報ファイルを暗号化ファイルに変換するか否かを問い合わせる機能を備えてもよい。暗号化ファイルに変換する場合、上述した変換手段106や暗号化手段107により、探査された個人情報や個人情報ファイルを暗号化ファイルに変換してもよい。一方、暗号化ファイルに変換しない場合、探査された個人情報や個人情報ファイルを削除手段119により削除してもよいし、一定期限を設定し、その一定期限内に暗号化ファイルに変換しない場合に、削除手段119により、探査された個人情報や個人情報ファイルを自動的に削除してもよい。なお、上述のような問い合せ機能を用いることなく、探査された個人情報や個人情報ファイルを変換手段106や暗号化手段107により直ちに暗号化ファイルに強制変換することもできる。
【0073】
位置検出手段121は、認証情報受信手段111によって開封要求としての復号鍵送信要求を受信した時点におけるクライアント端末20の所在位置を検出するものである。より具体的に、本実施形態において、位置検出手段121は、認証情報受信手段111によって開封要求としての復号鍵送信要求を受信した時点におけるクライアント端末20の接続環境からクライアント端末20の所在国を前記所在位置として検出するものである。この位置検出手段121は、クライアント端末20の接続環境として、例えば、クライアント端末20が最初に接続されたアクセスポイントやプロバイダ等のグローバルIPアドレスを参照することにより、クライアント端末20の所在国を検出することが可能である。この場合、プロバイダに割り当てられたグローバルIPアドレスを参照することにより、所在国や所在国内の大まかな地域を特定することが可能である。
【0074】
なお、クライアント端末20がGPS(Global Positioning System)機能を有してい
る場合には、そのGPS機能によって得られたクライアント端末20の所在地情報(緯度・経度情報)を、ネットワーク30を通じてクライアント端末20から受信することにより、位置検出手段121は、その緯度・経度情報からクライアント端末20の所在位置/所在国を検出するように構成してもよい。
【0075】
この場合、クライアント端末20側では定期的にGPS機能によって位置情報を取得することが望ましく、定期的に取得した所在地情報もしくは最終の所在地情報をネットワーク30を介して位置検出手段121に送信する。この場合、最新の所在地情報だけではなく、それ以前の経由地(経由国)なども、開封許否の判断対象とすることが望ましい。
【0076】
なお、位置検出手段121では、クライアント端末20の位置情報が取得できなくなって一定時間が経過した時点で、クライアント端末20の位置情報を無効化する。すなわち、クライアント端末20の最新の位置が不明であるとして扱う。
【0077】
また、以上のようにGPS機能によるクライアント端末20の所在地情報が無効化された場合であっても、大手プロバイダのIPアドレス情報やアクセスポイントの情報が取得できる場合には、位置検出手段121は、クライアント端末20の所在地情報は有効なものとして扱う。
【0078】
また、以上のようにGPS機能によるクライアント端末20の所在地情報が無効化された場合であって、中小のプロバイダのIPアドレス情報やアクセスポイントの情報が取得できる場合、あるいは、会社のサーバなどによるIPアドレス情報が取得できる場合は、
サーバから得られるクライアント端末20の所在地情報の信頼性が低いため、位置検出手段121は、クライアント端末20の所在地情報は無効なものとして扱うことが望ましい。
【0079】
なお、個人情報カプセル生成/変更要求受信手段101,アクセス要求受信手段104,個人情報ファイル送信手段109,認証情報受信手段111,復号鍵送信手段113,通知手段116などとしての機能としては、管理サーバ10が本来有している送受信機能を用いて実現される。
【0080】
また、認証情報/復号鍵保存手段12,変換手段106,暗号化手段107,アクセス権限設定手段108,個人情報ファイル送信手段109,ログ記録手段110,認証情報受信手段111,判定手段112,復号鍵送信手段113としての機能は、本実施形態では個人情報管理サーバ10にもたせているが、個人情報管理サーバ10とは別体で、ネットワーク30を介してもしくは直接的に個人情報管理サーバ10と通信可能に接続されたファイルアクセス管理サーバによって実現してもよい。
【0081】
同様に、個人情報探査手段118および削除手段119としての機能も、本実施形態では個人情報管理サーバ10にもたせているが、個人情報管理サーバ10とは別体で、ネットワーク30を介してもしくは直接的に個人情報管理サーバ10と通信可能に接続された他のサーバによって実現してもよく、その際、さらに、後述するPマークによる個人情報ファイルの管理を該他のサーバによって実行するようにしてもよい。
【0082】
〔1−3〕クライアント端末の構成:
図1に示すように、本実施形態のクライアント端末20は、後述する各種手段202,203,221〜227を備えて構成されている。これらの手段としての機能は、所定のアプリケーションプログラムを、クライアント端末として機能すべきコンピュータの制御手段220に実行させることによって実現される。なお、このクライアント端末20では、利用者からの各種操作や入力は操作手段202から入力される。また、クライアント端末20では、各種表示を表示手段203に行う。
【0083】
アクセス要求送信手段221は、利用者がクライアント端末20において管理サーバ10で管理されている個人情報カプセルの内容(個人情報要素)を利用して例えば名簿や住所録を作成する際に、個人情報カプセルに対するアクセス要求を認証情報(識別番号およびパスワード)とともにネットワーク30経由で管理サーバ10に送信するものである。
【0084】
個人情報ファイル受信手段222は、管理サーバ10から、アクセス要求送信手段221によって送信されたアクセス要求に応じた個人情報ファイルをネットワーク30経由で受信するものである。
【0085】
個人情報ファイル保存手段223は、個人情報ファイル受信手段222により管理サーバ10から受信された個人情報ファイルを保存するものである。
認証情報送信手段224は、個人情報ファイル保存手段223に保存されている個人情報ファイルである暗号化ファイルを開く場合に、暗号化ファイルについての認証情報(識別番号およびパスワード)をネットワーク30経由で管理サーバ10に送信するものである。
【0086】
なお、認証情報送信手段224は、このクライアント端末20において個人情報ファイルを開封する際に、当該個人情報ファイルの開封要求としての復号鍵送信要求を個人情報管理サーバ10に送信する開封要求送信手段をも兼ねている。
【0087】
復号鍵受信手段225は、その暗号化ファイルに応じた復号鍵を管理サーバ10からネットワーク30経由で受信するものである。
復号化手段226は、復号鍵受信手段225によって受信された復号鍵を用いて暗号化ファイルを復号化し元の個人情報ファイルを復元するものである。
【0088】
編集手段227は、復号化手段226によって復元された個人情報ファイルであるPDFファイルから取り出されたオリジナルファイルを編集するものであり、クライアント端末20を利用する利用者は、管理サーバ10のアクセス権限設定手段108によって、PDFファイルからオリジナルファイルを取り出す取出し権限と、取り出されたオリジナルファイルの編集権限とを所定のアクセス権限として設定されている場合、編集手段227によってオリジナルファイルを編集することを許可される。そして、クライアント端末20において、編集手段227によって編集されたオリジナルファイルは、そのオリジナルファイルを取り出したPDFファイル以外に保存されることが禁止されるように構成されている。つまり、編集されたオリジナルファイルは、そのオリジナルファイルを取り出したPDFファイルにしか保存することができないようになっている。
【0089】
〔1−4〕個人情報ファイルの探査手法:
ここで、本実施形態の個人情報探査手段118により個人情報ファイルを探査する際に用いられる、2つの探査手法について説明する。
【0090】
(1-4-1-A)第1の探査手法:
第1の探査手法では、以下のように、住所,電話番号,メールアドレス,氏名の出現頻度を数値化し、個人情報ファイルの特定を行なっている。
【0091】
まず、クライアント端末20における、ある一つのファイルに含まれる文字もしくは文字列と個人情報において特徴的に出現する文字/文字列として予め設定された特徴文字/特徴文字列とを照合し、特徴文字/特徴文字列が当該ファイルにおいて出現する回数を計数する。ただし、文字列による照合・認識を行なうとCPUにかかる負荷が極めて大きくなるので、1文字ずつの照合・認識を行なうものとする。従って、前記条件としては、特徴文字が1文字ずつ設定されている。なお、CPUの演算処理能力が十分に高い場合には文字列による照合・認識を行なってもよい。
【0092】
そして、当該ファイル(テキストファイル)から抽出された文字を、1文字ずつ、前記条件として設定された特徴文字と照合し、これらが一致する場合には、その特徴文字が出現したものと判断して、その特徴文字のカウント値を“1”カウントアップする。このようにして当該ファイルに含まれる全ての文字における、特徴文字の出現回数を計数してから、その計数結果に基づいて個人情報ファイルの特定(当該ファイルが個人情報ファイルであるか否かの判定)を行なっている。
【0093】
ここで、前記条件として予め設定される特徴文字について具体的に説明する。一般的な個人情報では、通常、住所が必須となる。そこで、日本国内の住所において特徴的に出現する文字を特徴文字として前記条件に設定登録しておく。例えば、住所情報には“都”,“道”,“府”,“県”,“市”,“区”,“町”,“村”,“郡”などが含まれている可能性が高く、“東京都”の場合、“東”,“京”の文字は通常文書中にも出現するが住所情報の場合、“都”と組合わせて出現することになるので、“都”の出現回数を住所数として見なすことが可能になる。同様に“府”や“県”や“道”も住所の見なし情報となるほか、“@”についてはメールアドレスの見なし情報として用いることが可能になる。
【0094】
具体的には、前記条件として以下のような特徴文字およびポイントが設定されている。
(1-4-1-A1)住所の見なし情報(特徴文字)として“東”,“京”,“都”,“大”,“
阪”,“府”,“北”,“海”,“道”が設定され、これらの特徴文字の計数値の合計が住所ポイント1として計数・算出される。
【0095】
(1-4-1-A2)住所の見なし情報(特徴文字)として、住所ポイント1以外の府県名、つまり“山”,“形”,“神”,“奈”,“川”,“埼”,“玉”,…,“福”,“岡”,“県”などが設定され、これらの特徴文字の計数値の合計が住所ポイント2として計数・算出される。
【0096】
(1-4-1-A3)住所の見なし情報(特徴文字)として“市”,“区”,“町”,“村”,“郡”が設定され、これらの特徴文字の計数値の合計が住所ポイント3として算出される。
(1-4-1-A4)メールアドレスの見なし情報(特徴文字)として“@”が設定され、この“@”の計数値がメールアドレスポイントとして用いられる。
【0097】
(1-4-1-A5)電話番号の見なし情報(特徴文字列)として、“N”(数字,ハイフンからなる所定桁数の数字列)が設定され、その計数値が電話番号ポイントとして用いられる。より具体的には、電話番号は“090-XXXX-XXXX”,“03-XXXX-XXXX”,“048-XXX-XXXX”
というように、携帯電話局番や市外局番に対応する特定の数字列“090”,“03”,“048”の後に8桁もしくは7桁の数字列が連続する構成となっており、このような数字列が出現した場合に電話番号ポイントを“1”カウントアップする。このとき、数字列中におけるハイフンの有無に関係なくカウントアップを行なう。
【0098】
(1-4-1-A6)氏名の見なし情報(特徴文字)として、例えば日本国内における苗字のベスト50に含まれる文字“佐”,“藤”,“田”,“中”,“高”,“橋”,…,“山”,“田”が設定され、これらの特徴文字の計数値の合計が氏名ポイントとして算出される。
【0099】
(1-4-1-A7)合計ポイントとして、上述した項目(1-4-1-A1)〜(1-4-1-A6)の各ポイントの合計値が計数・算出される。
なお、上述のようにして得られた計数結果(出現回数)に基づいて各都道府県名の出現率を算出する際に、重複文字が存在する場合の取扱について説明する。例えば“東京都”と“京都府”とがテキストファイルに混在する場合、“都”が重複するため、“都”の計数値には“東京都”の計数値に“京都府”のカウントが混ざることになる。“京都府”の“府”は“大阪府”の“府”と重複するので、まず“大阪”の出現率を算定し、その出現率を“府”の出現率から減算すれば、“京都府”の出現率を予測することが可能になる。このようにして予測された“京都府”の出現率を“都”の出現率から減算することにより、“東京都”の出現率とすることができる。また、県名と市名とが重複するような場合(例えば大阪府大阪市)、“大阪”の出現率が2倍になるが、郵政省管理で公開されている日本の住所録に基づいて都道府県名別の重複率を算定し、算定された重複率に基づいて出現率の調整を行なうことにより、実際の出現率を推定することが可能である。
【0100】
さらに、都道府県表示が無い場合の取扱について説明する。ファイルにおいて、都道府県名についてタイトルヘッダを用いる場合や、政令指定都市の住所表示や郵便番号を使用した住所表示では、“都”,“道”,“府”,“県”の出現率が極端に低下することになる。その代わり県名等の名称出現率が高くなるので、名称出現率から、ファイルが住所情報を含む個人情報ファイルであることの特定を行なうことが可能になる。
【0101】
なお、前記条件では、住所,メールアドレス,電話番号,氏名において特徴的に出現する文字/文字列を特徴文字/特徴文字列として設定しているが、本発明は、これらに限定されるものでなく、生年月日,役職名,個人識別情報(例えば、住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号など)において特徴的に出現する文字/文字列を特徴文字/特徴文字列として設定してもよい。
【0102】
そして、上述のようにして得られた計数結果に基づいて、当該ファイルが個人情報ファイルであるか否かを判定するための判定値が算出される。その判定値としては、(a)検疫
合計ポイント(上記項目(1-4-1-A7)参照)の値をそのまま用いてもよいし、(b)特徴文字
/特徴文字列の出現率が高いほど大きくなる判定ポイントを前記判定値として算出してもよいし、(c)特徴文字/特徴文字列毎に得られた計数結果に基づいて対象ファイルにおけ
る特徴文字/特徴文字列の出現パターンを求め、求められた出現パターンと特徴文字/特徴文字列の出現パターンとして予め設定された特徴出現パターンとの一致の度合いを示す一致度を前記判定値として算出してもよいし、(d)これら3種類の判定値のうちの2以上
を組み合わせ、2以上の判定値を所定関数に代入して算出された値を前記判定値として用いてもよい。
【0103】
このとき、当該ファイルに複数種類の情報(例えば住所,メールアドレス,電話番号,氏名の4種類)に係る特徴文字/特徴文字列が存在している場合、対象ファイル中に1種類の情報に係る特徴文字/特徴文字列が存在している場合よりも、前記判定値が大きくなるように、計数結果に対する重み付けを行なう。つまり、データファイル中に、個人を特定しうる複数種類の情報が含まれている場合には、そのデータファイルが個人情報ファイルである可能性は、個人を特定しうる情報が1種類だけ含まれている場合よりも高いと考えられるので、そのデータファイルについての判定値(重要度)が大きくなるように重み付けを行なう。また、その情報の種類数が多いほど、判定値が大きくなるように重み付けを行なうようにしてもよい。これにより、より確実に個人情報ファイルを特定することが可能になる。
【0104】
上述のような判定値が算出されると、その判定値に基づいて、当該ファイルが個人情報ファイルであるか否かを判定する。例えば、前記判定値が所定閾値を超えた場合に対象ファイルが個人情報ファイルであると判定する。
【0105】
このような判定を行なう際に、本実施形態では、さらに、判定値の大きさに応じたPマーク(プライベートレベルマーク)を当該ファイルに付与してPマークテーブル(図示省略)に設定・登録し、ランク付けを行なってもよい。このPマークは、前述した通り、対象ファイルが個人情報ファイルである可能性の高さを示すレベルであり、判定値が大きいほどPマークを高いランクに設定する。
【0106】
例えば、前記判定値が10以上となった場合、当該ファイルが個人情報ファイルであると判定、つまり当該ファイルが管理対象ファイルであると判定する。また、前記判定値が10以上100未満である場合、Pマークとして“P1”を付与し、前記判定値が100以上1000未満である場合、Pマークとして“P2”を付与し、前記判定値が1000以上10000未満である場合、Pマークとして“P3”を付与し、前記判定値が10000以上である場合、Pマークとして“P4”を付与する。
【0107】
上述のようにファイルに付与されたPマークのレベル(ランク)に応じて、管理サーバ10は、以下のようにファイルを管理対象ファイルとして管理してもよい。
例えば、Pマークのランクが“P1”である場合、警告情報によるリコメンドは行なわないが“P1”の管理対象ファイルが存在することをログとして記録する。Pマークのランクが“P2”である場合、その管理対象ファイルの利用者に対して注意を促すべくポップアップ表示による注意情報を通知する。Pマークのランクが“P3”である場合、その管理対象ファイルの返却を指示する。Pマークのランクが“P4”である場合、その管理対象ファイルをクライアント端末20から強制的に捕獲・回収する。なお、Pマークのランクが“P4”でなくても、“P3”のデータファイルが所定日数放置された場合には、そのデータファイルをクライアント端末20から強制的に捕獲・回収してもよい。
【0108】
(1-4-1-B)第2の探査手法:
第2の探査手法では、以下のようにして、個人情報ファイルの特定を行なっている。
まず、クライアント端末20におけるファイルのテキストデータ〔例えばCSV(Comma Separated Value)形式のデータ〕を抽出し、抽出されたテキストデータから、区切り
文字によって区切られた文字区間を切り出して、判定対象/照合対象としてバッファ(図示略)に順次書き出す。ここで、区切り文字は、例えば半角スペース,半角カンマ(半角カンマ+半角スペースも半角カンマと見なす),タブ文字(半角),CR(Carrige Return),LF(Line Feed)である。切り出される文字区間からは、英数文字,カタカナ,
ひらがな,漢字以外の記号、例えばハイフン,アンダバー,括弧記号などの記号文字が除去される。
【0109】
上述のように切り出され記号文字を除去された文字区間における文字列(以下、単に文字列という)が、氏名以外の個人情報要素(具体的に本実施形態では電話番号,電子メールアドレス,住所のうちのいずれか一つ)に該当するか否かを判定する。ここでは、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で、上記文字列の判定処理を行なう。
【0110】
最初に、上記文字列が電話番号に該当するか否かを判定する。具体的には、上記文字列が前記条件として設定されている電話番号判定条件を満たす場合、上記文字列が電話番号に該当するものと判定する。本実施形態において、電話番号判定条件は、上記文字列中に9〜15桁の数字が含まれていることとする。
【0111】
ついで、上記文字列が電話番号に該当しないと判定された場合に、上記文字列が電子メールアドレスに該当するか否かを判定する。具体的には、上記文字列が前記条件として設定されている電子メールアドレス判定条件を満たす場合、上記文字列が電子メールアドレスに該当するものと判定する。本実施形態において、電子メールアドレス判定条件は、上記文字列中に「一文字以上のASCII(American Standard Code for Information Interchange)」+「@(アットマーク)」+「一文字以上のASCII」+「.(ドット)」+「一文字以上のASCII」となる文字列が含まれていることとする。この場合、最短の電子メールアドレスは例えば「a@a.a」となる。
【0112】
さらに、上記文字列が電子メールアドレスに該当しないと判定された場合に、上記文字列が住所(居所)に該当するか否かを判定するもので、上記文字列が前記条件として設定されている住所判定条件を満たす場合、上記文字列が住所に該当するものと判定する。本実施形態において、住所判定条件は、上記文字列中に「一文字以上の全角文字」+「市」または「区」または「郡」+「一文字以上の全角文字」となる文字列が含まれていることとする。このとき、CPUの演算処理能力が十分に高い場合には、上記文字列に加え、郵便番号に対応する7桁の数字が含まれていることを住所判定条件に加えてもよい。また、住所判定条件は、上述した条件に代え、上記文字列中に、郵便番号に対応する7桁ちょうどの数字列が含まれていること、あるいは、「3桁の数字列」+「−(ハイフン)」+「4桁の数字列」となる数字列が含まれていることとしてもよい。
【0113】
そして、上記文字列が電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された場合に、その文字列が、前記条件として設定されている文字判定条件を満たすか否か、具体的には、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であるか否かを判定するものである。本実施形態において、文字判定条件は、上述したように、上記文字列における文字の数が所定範囲内であり且つその文字列における文字が全て漢字であることであるが、ここで、上記所定範囲は、氏名(苗字だけの場合や名前だけの場合を含む)の文字数として一般的(適切)な数の範囲、
例えば1以上6以下に設定される。
【0114】
この後、電話番号,電子メールアドレス,住所のうちのいずれにも該当しないと判定された文字区間であって、さらに上記所定範囲内であり且つ全ての文字が漢字であると判定された文字区間について、当該文字区間に含まれる文字/文字列と氏名において出現し得ない文字/文字列として予め設定された不適切文字/不適切文字列とを照合することにより、当該文字区間が不適切文字/不適切文字列を含むか否かを判定する。
【0115】
ここで、不適切文字/不適切文字列は、前記条件として予め設定されており、例えば、東京,大阪,名古屋,横浜,九州,北海道,京都,首都,個人,学園,店,株,県,大学,学院,東証,研究,管理,総務,経理,営業,統括,製薬,販売,学校,教育,専門,建築,機械,法人,工場,製,技術,商,図書,不明,次長,公開,出版,広告,放送,対象,卸売,小売,企画,人事,情報,部門,社長,取締,部長,課長,係長,役員,本社,支社,事業,業務,教務,精密,石油,運輸,経営,戦略,資材,技師,電気,生産,税務,広報,運送,主任,電算,財務,事務,開発,政策,制作,経済,産業,金融,銀行,調査,英語,品質,保証,設備,担当,主席,主事,監査,支援,設計,保険,金庫,事業,代表,交通,第一,第二,第三,第四,第五,第六,第七,第八,第九,特販,施設,氏名,郵便,名前,名称,市役,所属,特色,幼稚,基督,協会,教会,組合,教団,商工,全国,支部,連絡,議会,生活,消費,推進,市役所,区役所,総合,修正,機能,概要,構成,企業,組織,関連,削除,文書,期限,有効といった、一般的な氏名において出現し得ない文字/文字列、つまり、氏名としては不適切な文字/文字列である。
【0116】
そして、上述した電話番号判定結果,電子メールアドレス判定結果および住所判定結果と不適切文字/不適切文字列の照合判定結果とに基づいて、対象ファイルが個人情報ファイルであるか否かを判定する。より具体的に説明すると、電話番号,電子メールアドレス,住所のそれぞれに該当すると見なされた文字区間の数を計数するとともに、不適切文字/不適切文字列の照合判定結果を受け、不適切文字/不適切文字列を含まないと判定された文字区間を氏名に該当するものと見なし、その数を計数する。
【0117】
電話番号,電子メールアドレス,住所,氏名のそれぞれについての計数結果(4つの計数値;電話番号数,電子メールアドレス数,住所数,氏名数)に基づいて、これらの計数値が大きくなるほど大きくなる判定値を算出する。例えば、4つの計数値の総和を上記判定値として算出してもよいし、電話番号,電子メールアドレス,住所,氏名のそれぞれについて重み係数を予め設定しておき、各個人情報要素についての重み係数と計数値との乗算結果の総和を上記判定値として算出してもよく、上記判定値の算出手法は種々考えられる。
【0118】
上述のような判定値が算出されると、その判定値に基づいて、対象ファイルが個人情報ファイルであるか否かを判定する。具体的には、前記判定値が所定閾値を超えた場合に対象ファイルが個人情報ファイルであると判定する。このとき、第1の探査手段においても説明したようにPマークを付与し、管理サーバ10により、そのPマークに応じた管理を行なうようにしてもよい。
【0119】
なお、上述した第2の探査手法では、氏名以外の個人情報要素が、電話番号,電子メールアドレス,住所の3要素である場合について説明したが、本発明は、これに限定されるものでなく、氏名以外の個人情報要素としては、例えば、生年月日,住民基本台帳番号,口座番号,クレジットカード番号,免許証番号,パスポート番号などを用いてもよい。
【0120】
上述のような第1の探査手法もしくは第2の探査手法を用いて、個人情報探査手段11
8によって個人情報ファイルが探査され、その探査結果に応じて、上述したように、削除手段119による削除や各種問い合せが実行されることになる。
【0121】
〔2〕本実施形態の個人情報管理システムの動作
次に、図3以降を参照しながら、上述のごとく構成された本実施形態の個人情報管理システム1の動作について説明する。
【0122】
なお、図3および図4ならびに図5は本実施形態における個人情報管理サーバ10の動作を説明するためのフローチャート、図6は本実施形態におけるクライアント端末20の動作を説明するためのフローチャートである。
【0123】
〔2−1〕個人情報管理サーバの動作:
まず、図3に示すフローチャート(ステップS10〜S14,S20〜S26,S30〜S39,S40〜S46)に従って、本実施形態の個人情報管理サーバ10の動作について説明する。
【0124】
個人情報カプセル生成/変更要求受信手段101により、個人情報カプセル生成要求が、認証情報(識別番号およびパスワード)や個人情報カプセルの内容として保存されるべき複数種類の個人情報要素とともに受信されると(ステップS10のYESルート)、個人情報カプセル生成/変更要求受信手段101の認証判定機能により、認証情報(識別番号およびパスワード)に基づいて、個人情報カプセル生成要求を行なった利用者が本個人情報管理サービスの正当な利用者であるか否かの認証判定が実行される(ステップS11)。つまり、個人情報カプセル生成/変更要求受信手段101は、識別番号によって認証情報/復号鍵保存手段12を検索し、その識別番号に対応する登録パスワードを認証情報/復号鍵保存手段12から読み出し、認証情報に含まれるパスワードと、認証情報/復号鍵保存手段12から読み出された登録パスワードとを比較し、これらのパスワードが一致するか否かの判定を行なう。
【0125】
これらのパスワードが一致し、個人情報カプセル生成要求を行なった利用者が正当な利用者であることが認証されると(ステップS11のYESルート)、個人情報カプセル生成/変更要求受信手段101によって受信された複数種類の個人情報要素に基づいて、生成手段102により、個人情報カプセル(所定フォーマットのデータセット)が生成される(ステップS12)。その際、生成された個人情報カプセルに対し、デジタル署名付与手段117によりデジタル署名が付与される。
【0126】
ここで、本システムでは、唯一無二の個人情報カプセルの電子ファイルが生成されて保存されている必要があり、スキャナで文字を取り込む際に生じた誤字、あるいは、キー入力の際の入力や仮名漢字変換の誤り、旧字体と新字体との間違いなどによって、例えば、「一郎」と「一朗」、あるいは、「広瀬」と」「廣瀬」のような間違いによって、別個の電子ファイルが生じてしまうことは絶対に避けなければならない。
【0127】
そこで、生成手段102は、クライアント端末からの個人情報カプセル生成要求に基づいて新たに生成(図3中のステップS12)しようとする個人情報カプセルについて、図3に示すサブルーチンに従って、個人情報カプセルデータベース11に保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認する(図4中のステップS121)。この類似判定としては、上述した探査手法と同様の手法を用いることが可能である。
【0128】
以上の類似判定により、新たに生成しようとする個人情報カプセルと既存の個人情報カプセルとの間に類似性が存在すると認められなければ(図4中のステップS122でNO
ルート)、個人情報カプセル生成要求に基づいた新規な個人情報カプセルを生成する(図4中のステップS128)。そして、図3のメインルーチンに戻る。
【0129】
なお、この実施形態において「個人情報カプセルの類似性」とは、唯一無二の原則に反するような、上述した誤字脱字などに起因して、本来は同一であるべきの電子ファイルが別個の電子ファイルとして存在する状態を意味している。
【0130】
一方、以上の類似判定により、新たに生成しようとする個人情報カプセルと既存の個人情報カプセルとの間に類似性が存在すると認められれば(図4中のステップS122でYESルート)、生成手段102はクライアント端末20に対して、類似個人情報カプセルが個人情報カプセルデータベース11内に既に存在することを通知する(図4中のステップS123)。この通知を受けたクライアント端末20では、表示手段203に類似個人情報カプセルが個人情報カプセルデータベース11内に既に存在することが表示される。
【0131】
なお、ここで、生成手段102は、個人情報探査手段118と共に、クライアント端末20内に類似個人情報カプセルが存在するか否かを探査する(図4中のステップS124)。クライアント端末20内に類似個人情報カプセルが存在すれば(図4中のステップS124でYESルート)、類似個人情報カプセルに該当するクライアント端末20内の電子ファイルのファイル名をクライアント端末20に通知し、表示手段203に表示させる(図4中のステップS125)。
【0132】
また、必要に応じて、類似個人情報カプセルと新たに生成しようとする個人情報カプセルとの相違点を、生成手段102がクライアント端末20に通知し、クライアント端末20の表示手段203に表示させる(図4中のステップS127)。この場合、個人情報の漏洩に該当しないように、管理サーバ10からは最低限の相違のみを通知することが望ましい。
【0133】
そして、生成手段102は、クライアント端末20に対して、新たに生成しようとする個人情報カプセルについて、生成するか否かの確認を要求する(図4中のステップS127)。すなわち、所定の確認メッセージをクライアント端末20の表示手段203に表示させる。例えば、上述した誤字などであれば、新たに個人情報カプセルを生成することを、利用者側がキャンセルする操作を、操作手段202から入力する。
【0134】
また、「山田一郎」、「山田二郎」などのように、類似するものの、兄弟などの別人が同一住所に存在するような場合には、新たな個人情報カプセルを生成する意志があることを、利用者が操作部手段202から生成続行などと入力する。
【0135】
以上のクライアント端末20の操作手段からの生成続行の操作(図4中のステップS128でYESルート)を受けた生成手段102は、個人情報カプセル生成要求に基づいた新たな個人情報カプセルを生成(図4中のステップS129)して、このサブルーチンを終了し、図3のメインルーチンに戻る。一方、以上のクライアント端末20の操作手段からの生成キャンセル(図4中のステップS128のNOルート)の操作受けた生成手段102は、新たな個人情報カプセルを生成することなく、このサブルーチンを終了し、図3のメインルーチンに戻る。
【0136】
以上のような動作により、スキャナでの読み取りで生じる誤字や、仮名漢字変換における誤り、キー入力時の誤入力などに起因する誤ったデータの電子ファイルが作成されることがなくなり、個人情報を管理するシステムにおいて唯一無二の電子ファイルが生成されて保存されるようになる。
【0137】
また、個人情報カプセルが生成手段102によって生成されると、フィルタ設定手段103により、その個人情報カプセルをアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタが設定される(ステップS13)。上述のごとく生成・設定された個人情報カプセルおよびフィルタは、例えば個人情報カプセルや利用者に対応付けられて個人情報カプセルデータベース11に保存され(ステップS14)、ステップS10の処理に戻る。
【0138】
また、個人情報カプセルが生成手段102によって生成されると、フィルタ設定手段103により、その個人情報カプセルをアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタが設定される(ステップS13)。上述のごとく生成・設定された個人情報カプセルおよびフィルタは、例えば個人情報カプセルや利用者に対応付けられて個人情報カプセルデータベース11に保存され(ステップS14)、ステップS10の処理に戻る。
【0139】
個人情報カプセル生成/変更要求受信手段101により、個人情報カプセル変更要求が、認証情報(識別番号およびパスワード)や既に登録されている個人情報カプセルに対する変更の内容とともに受信されると(ステップS10のNOルートからステップS20のYESルート)、個人情報カプセル生成/変更要求受信手段101の認証判定機能により、上記ステップS11と同様の認証判定が行なわれる(ステップS21)。
【0140】
パスワードが一致し、個人情報カプセル変更要求を行なった利用者が正当な利用者であることが認証されると(ステップS21のYESルート)、変更手段114により、変更対象の個人情報カプセルが個人情報カプセルデータベース11から取り出され(ステップS22)、個人情報カプセル生成/変更要求受信手段101によって受信された変更内容(住所や電話番号などの変更等)に従って変更対象の個人情報カプセルの内容が変更される(ステップS23)。内容を変更された個人情報カプセルは、デジタル署名付与手段117によりデジタル署名を新たに付与された上で、個人情報カプセルデータベース11に保存される(ステップS24)。
【0141】
上述のごとく個人情報カプセルの内容が変更されると、無効化手段115により、変更を施された個人情報カプセルから変更前に抽出されてクライアント端末20に送信された個人情報ファイルが無効化される(ステップS25)。
【0142】
その無効化とは、上述したように、その個人情報ファイルの暗号化に対応する暗号化ファイルを復号化する復号鍵(認証情報/復号鍵保存手段12に保存されているもの)を変更すると共に変更後の復号鍵の送信を禁止して復号化を不能にしたり、その個人情報ファイルに対応する暗号化ファイルに対するアクセス要求(認証情報)を受信し利用者認証がなされても復号鍵送信手段113による復号鍵の送信を禁止したり、ログ記録手段110によって記録されたログに基づきその個人情報ファイルに対応する暗号化ファイルの送信先のクライアント端末20にそのファイルの削除指令を送信し、クライアント端末20において個人情報ファイルを削除させたりすることで行なわれるが、いずれの場合もクライアント端末20側で暗号化ファイルの内容を参照することが不能な状態にしている。
【0143】
そして、通知手段116により、その個人情報ファイル(暗号化ファイル)が無効化されたことが、ネットワーク30経由で電子メール等によりクライアント端末20に通知され(ステップS26)、無効化された個人情報ファイル(暗号化ファイル)に対応する個人情報カプセルに対するアクセス要求の再実行を利用者に促してから、ステップS10の処理に戻る。
【0144】
アクセス要求受信手段104により、個人情報カプセルに対するアクセス要求が認証情
報(識別番号およびパスワード)とともに受信されると(ステップS10のNOルート,ステップS20のNOルートからステップS30のYESルート)、アクセス要求受信手段104の認証判定機能により、上記ステップS11と同様の認証判定が行なわれる(ステップS31)。
【0145】
パスワードが一致し、アクセス要求を行なった利用者が正当な利用者であることが認証されると(ステップS31のYESルート)、フィルタリング手段105により、アクセス要求対象の個人情報カプセルとその利用者について設定されたフィルタとが個人情報カプセルデータベース11から取り出され(ステップS32)、そのフィルタを用いて、アクセス要求対象の個人情報カプセル内の個人情報要素のフィルタリング処理が実行され、当該利用者の利用可能な個人情報要素が個人情報ファイルとして個人情報カプセルから抽出される(ステップS33)。なお、個人情報カプセルから抽出された個人情報ファイルには、デジタル署名付与手段117により、デジタル署名が付与される。
【0146】
デジタル署名を付与された個人情報ファイルは、変換手段106により、コンテナ機能を有するPDFファイルに変換され(ステップS34)、そのコンテナ機能を用いて当該PDFファイルに当該個人情報ファイルのオリジナルファイルが添付されてから(ステップS35)、そのPDFファイルは、送信先のクライアント端末20に応じた暗号鍵で暗号化され、暗号化ファイルが作成される(ステップS36)。このとき、当該暗号化ファイルにアクセスする利用者について、例えば、当該暗号化ファイルに対するアクセス権限(例えば閲覧権限や、オリジナルファイルの取出し権限/編集権限)が、アクセス権限設定手段108により設定される(ステップS37)。
【0147】
上述のごとく作成された暗号化ファイルは、個人情報ファイル送信手段109によりネットワーク30経由でクライアント端末20に送信される(ステップS38)。その際、ログ記録手段110により、その暗号化ファイルの送信の履歴(送信日時,送信先情報,送信されたファイルを特定するための情報など)がログとして記録されてから(ステップS39)、ステップS10の処理に戻る。
【0148】
認証情報受信手段111により、開封要求としての復号鍵の送信要求が暗号化ファイルについての認証情報(識別番号およびパスワード)とともに受信すると(ステップS10のNOルート,ステップS20のNOルート,ステップS30のNOルートからステップS40のYESルート)、判定手段112により、暗号化ファイルについての認証情報(識別番号およびパスワード)に基づいて、復号鍵の送信要求を行なった利用者(暗号化ファイルに対するアクセスを行なう利用者)が正当な登録者(正当な送信先)であるか否かの認証判定が実行される(ステップS41)。
【0149】
この場合も、ステップS11と同様、判定手段112は、識別番号によって認証情報/復号鍵保存手段12を検索し、その識別番号に対応する登録パスワードを認証情報/復号鍵保存手段12から読み出し、認証情報に含まれるパスワードと、認証情報/復号鍵保存手段12から読み出された登録パスワードとを比較し、これらのパスワードが一致するか否かの判定を行なう。
【0150】
これらのパスワードが一致し、利用者が正当な送信先であることが認証されると(ステップS41のYESルート)、位置検出手段121により、認証情報受信手段111によって開封要求としての復号鍵送信要求を受信した時点におけるクライアント端末20の接続環境からクライアント端末20の所在国が所在位置として検出される(ステップS42)。
【0151】
ここで、判定手段112において、認証情報受信手段111によって受信されたファイ
ルIDや利用者認証情報に基づいて、クライアント端末20で管理対象の電子ファイルを開封しようとしている利用者が正当な利用者であるか否かの利用者認証判定が実行されるとともに、位置検出手段121によって検出された所在位置が所定条件を満たしているか否かの位置判定が実行される(ステップS43)。
【0152】
たとえば、本実施形態では、利用者の所在国が予め指定された所定の国であるか否かの位置判定、利用者の所在エリアが予め指定された所定のエリアであるか否かの位置判定などが実行される。
【0153】
このとき、判定手段112による上記利用者認証判定に際しては、上述した通り、認証情報受信手段111によって受信されたファイルIDに対応する登録利用者IDが上記記憶部(データベース)から読み出され、読み出された登録利用者IDの中に認証情報受信手段111によって受信された利用者IDが含まれている場合、その登録利用者IDに対応する登録パスワードが上記記憶部(データベース)から読み出され、読み出された登録パスワードと、認証情報受信手段111によって受信されたパスワードとが比較され、これらが一致した場合に利用者が正当な利用者であることを認証する。
【0154】
そして、判定手段112によって利用者が正当な利用者であることが認証され且つクライアント端末20の所在位置が前記所定条件を満たしていると判定された場合(ステップS44のYESルート)、クライアント端末20での電子ファイルの開封が許可され、管理対象の電子ファイルである暗号化ファイルを復号化する復号鍵が認証情報/復号鍵保存手段12から取り出され(ステップS45)、復号鍵送信手段113からネットワーク30を通じてクライアント端末20に送信される(ステップS46)。この後、ステップS10の処理に戻る。
【0155】
一方、判定手段112によって、利用者が正当な利用者でないと判定された場合、もしくは、クライアント端末20の所在位置が前記所定条件を満たしていないと判定された場合(ステップ44のNOルート)、復号鍵の送信を実行させないことにより、クライアント端末20での電子ファイルの開封が禁止され、代わって、通知手段116により、その旨が、クライアント端末20の利用者やシステム管理者に対しエラー(アラート)として通知される(ステップS50)。
【0156】
なお、個人情報カプセル生成/変更要求受信手段101,アクセス要求受信手段104の認証判定機能や判定手段112によりパスワードが不一致であると判定された場合、もしくは、識別番号に対応する登録パスワードが認証情報/復号鍵保存手段12に登録されていなかった場合、または、クライアント端末20の所在位置が前記所定条件を満たしていないと判定された場合には、利用者が正当な利用者もしくは正当な送信先ではないと判定され(ステップS11,S21,S31,S41,S44のNOルート)、管理サーバ10からクライアント端末20にネットワーク30経由でエラー通知を行なってから(ステップS50)、ステップS10の処理に戻る。個人情報カプセル生成要求が管理サーバ10で入力されている場合には、そのエラー通知は管理サーバ10で個人情報カプセル生成要求を行なった利用者もしくは管理者に対して行なわれる。また、ステップS40でNO判定の場合にはステップS10の処理に戻る。
【0157】
〔2−2〕個人情報管理システムの個人情報探査動作:
図5に示すフローチャート(ステップS51〜S58)に従って、本実施形態の個人情報管理システム1における個人情報探査動作について説明する。
【0158】
個人情報管理システム1では、予め設定された周期もしくは所定の起動タイミング(システムの起動時等)で、個人情報探査手段118による個人情報探査動作が実行されるよ
うになっている。
【0159】
個人情報探査手段118が起動されると(ステップS51のYESルート)、本実施形態では、前述した通り、個人情報探査手段118により、各クライアント端末20に個人情報探査ツールを実現するための個人情報探査プログラムをインストールし、各クライアント端末20でその個人情報探査プログラムを実行させることで個人情報や個人情報ファイルの自己探査を実行させ(ステップS52)、その自己探査の結果を各クライアント端末20から受信する(ステップS53)。
【0160】
そして、管理サーバ10において、自己探査の結果に基づき個人情報/個人情報ファイルを保有しているクライアント端末20の存在を確認した場合(ステップS54のYESルート)、保有されている個人情報/個人情報ファイルに、管理サーバ10によるデジタル署名が付与されている否かを判定する(ステップS55)。個人情報/個人情報ファイルを保有しているクライアント端末20が存在しない場合(ステップS54のNOルート)やデジタル署名が付与されている場合(ステップS55のYESルート)、ステップS51に戻る。
【0161】
デジタル署名が付与されていない場合(ステップS55のNOルート)、その個人情報/個人情報ファイルを個人情報カプセルとして管理サーバ10に登録するか否かを、その個人情報/個人情報ファイルを保有しているクライアント端末20の利用者に問い合わせる(ステップS56)。利用者が登録することを望む場合(ステップS56のYESルート)、管理サーバ10において、生成手段102により、探査された個人情報/個人情報ファイルに基づき個人情報カプセルを生成し個人情報カプセルデータベース11に登録・保存する(ステップS57)。この後、ステップS51の処理に戻る。
【0162】
利用者が登録することを望まない場合(ステップS56のNOルート)、削除手段119により、デジタル署名の施されていない個人情報/個人情報ファイルはクライアント端末20上から削除され(ステップS58)、ステップS51の処理に戻る。このとき、前述したように、一定期限を設定し、その一定期限内に利用者がその個人情報/個人情報ファイルを登録しない場合に、削除手段119により、探査された個人情報や個人情報ファイルを自動的に削除するようにしてもよい。
【0163】
ここで、デジタル署名の有無を判定できる個人情報/個人情報ファイルは、当然、暗号化手段107による暗号化を施されていないもので、何らかの理由により、デジタル署名付与手段117によってデジタル署名を付与されたが暗号化されることなくクライアント端末20に流出したものと考えられる。そこで、デジタル署名が付与されているが暗号化されていない個人情報/個人情報ファイルが探査された場合(ステップS55のYES)には、前述したように、その個人情報/個人情報ファイルを暗号化ファイルに変換するか否かを問い合わせ、利用者が暗号化ファイルに変換することを望む場合、上述した変換手段106や暗号化手段107により、探査された個人情報や個人情報ファイルを暗号化ファイルに変換する一方、暗号化ファイルに変換することを望まない場合、その個人情報/個人情報ファイルを削除手段119により削除するようにしてもよい。
【0164】
〔2−3〕クライアント端末の動作:
図6に示すフローチャート(ステップS60〜S63,S70〜S81)に従って、本実施形態のクライアント端末20の動作について説明する。
【0165】
クライアント端末20では、利用者が管理サーバ10で管理されている個人情報カプセルの内容(個人情報要素)を利用して例えば名簿や住所録を作成すべくアクセス要求を発行する場合(ステップS60のYESルート)、アクセス要求送信手段221により、個
人情報カプセルに対するアクセス要求が認証情報(識別番号およびパスワード)とともにネットワーク30経由で管理サーバ10に送信される(ステップS61)。
【0166】
このアクセス要求に応じて、個人情報ファイル受信手段222により、管理サーバ10から、アクセス要求送信手段221によって送信されたアクセス要求に応じた個人情報ファイル(暗号化ファイル)がネットワーク30経由で受信された場合(ステップS62のファイルルート)、受信された個人情報ファイルを個人情報ファイル保存手段223に保存してから(ステップS63)、ステップS60の処理に戻る。一方、上記アクセス要求に応じて個人情報ファイルではなくエラー通知が受信された場合(ステップS62のエラールート)、クライアント端末20のディスプレイ等でエラー表示を行なってから(ステップS80)、ステップS60の処理に戻る。
【0167】
また、利用者が個人情報ファイル保存手段223に保存されている個人情報ファイルである暗号化ファイルを開くべくファイルアクセス(復号鍵の送信要求)を行なう場合(ステップS60のNOルートからステップS70のYESルート)、認証情報送信手段224により、開封要求としての復号鍵の送信要求が暗号化ファイルについての認証情報(識別番号およびパスワード)とともにネットワーク30経由で管理サーバ10に送信される(ステップS71)。
【0168】
この開封要求(復号鍵の送信要求)に応じて、復号鍵受信手段225により、アクセス対象の暗号化ファイルに応じた復号鍵が管理サーバ10からネットワーク30経由で受信された場合(ステップS72のYESルート)、復号化手段226により、復号鍵受信手段225で受信された復号鍵を用いて暗号化ファイルが復号化され元の個人情報ファイル(PDFファイル)が復元され(ステップS73)、クライアント端末20のディスプレイに表示される(ステップS74)。一方、復号鍵の送信要求に応じて復号鍵ではなくエラー通知が受信された場合(ステップS72のエラールート)、クライアント端末20のディスプレイ等でエラー表示を行なってから(ステップS80)、ステップS60の処理に戻る。
【0169】
個人情報ファイルの表示後、利用者が、復元されたPDFファイルに添付されたオリジナルファイルの編集を望む場合(ステップS75のYESルート)、この利用者にオリジナルファイルの取出し権限および編集権限が設定されているか否かを判断し(ステップS76)、設定されていない場合(ステップS76のNOルート)、その旨のエラー表示を行なってから(ステップS81)、ステップS60の処理に戻る一方、設定されている場合(ステップS76のYESルート)、編集手段227によってオリジナルファイルに対する編集処理を実行する(ステップS77)。なお、利用者がオリジナルファイルの編集を望まない場合(ステップS75のNOルート)、ステップS60の処理に戻る。
【0170】
編集処理を終了する場合(ステップS78のYESルート)、編集手段227によって編集されたオリジナルファイルは、そのオリジナルファイルを取り出したPDFファイル以外に保存されることが禁止されているので、そのオリジナルファイルを取り出したPDFファイルに保存される(ステップS79)。この後、ステップS60の処理に戻る。
【0171】
〔3〕本実施形態の個人情報管理システムの効果:
(3−1)以上の実施形態の個人情報管理システム1によれば、個人情報管理サーバ10において、特定の個人を識別可能な個人情報が、標準化されたデータセットである個人情報カプセルとして一元的に管理される。そして、個人情報カプセルにクライアント端末20からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタが設定されており、利用者から個人情報カプセルに対するアクセス要求があると、その利用者に対し設定されたフィルタを用いて個人情報カプセル内の個人情報要素のフィ
ルタリング処理が行なわれ当該利用者の利用可能な個人情報要素が個人情報カプセルから抽出され、抽出された個人情報要素が個人情報ファイルとしてクライアント端末20に送信される。これにより、特定の個人についての個人情報を利用する利用者に対し、その利用者に応じた内容の個人情報要素のみを提供することができるので、利用者にとって不必要と思われる内容が不用意に送信されることがなくなり、個人情報の不用意な流出・漏洩や個人情報の不正利用などが確実に防止され、個人情報の保護を実現することができる。
【0172】
ここで、個人情報ファイルを個人情報管理サーバ10からクライアント端末20に送信する際、個人情報ファイルが、送信先のクライアント端末20に応じた暗号鍵を用いて暗号化され、暗号化ファイルとして送信され、個人情報管理サーバ10によって認証される正当な利用者(正当な送信先であるクライアント端末20の利用者)のみが暗号化ファイルを復号化してアクセスできるように構成することにより、個人情報管理サーバ10からクライアント端末20に送信された個人情報ファイルの内容が不用意に流出・漏洩したり不正利用されたりするのを確実に防止でき、個人情報を確実に保護することができる。
【0173】
そして、個人情報カプセルの内容が変更された場合に、無効化手段からの無効化指令を受けて復号鍵を変更することにより、クライアント端末20側での個人情報ファイルの復号化を不能にすることで個人情報ファイルを無効化する。
【0174】
すなわち、個人情報管理サーバ10において、変更を施された個人情報カプセルから変更前に抽出されてクライアント端末20に送信された個人情報ファイルを無効化するように構成することにより、個人情報カプセルの内容が変更されると、変更前の個人情報ファイルが無効化され誰も利用できなくなるため、変更前の個人情報ファイルであっても不用意な流出・漏洩や不正利用が確実に防止され、個人情報を確実に保護することができる。
【0175】
このとき、例えば、画像情報等を含む全ての個人情報を公開するレベルや、画像情報以外の個人情報を公開するレベルや、氏名および連絡先のみを公開するレベルといった、利用者のランク分けを行なってフィルタ設定を行なうことにより、そのランクに応じた個人情報を提供することが可能になる。また、例えば、企業等において、特定の個人を識別可能な各種個人情報要素を含む個人情報を一元的に管理しながら利用者が特定の個人の個人情報を閲覧・利用する際に、上述のようなフィルタ設定を行なうことにより、利用者がその特定の個人の上司や管理者である場合には詳細な内容(個人情報要素)を閲覧・利用可能にする一方で、利用者が同僚や部下である場合には個人情報の一部のみを閲覧・利用可能にするといったように、利用者に応じた内容の個人情報要素のみを利用者に提供することができる。
【0176】
(3−2)以上の実施形態の個人情報管理システム1によれば、クライアント端末20において利用者が電子ファイルを開封する際に、その個人情報ファイルの開封要求が個人情報管理サーバ10に送信され、この開封要求としての復号鍵送信要求を受けた個人情報管理サーバ10において、個人情報ファイルの開封時におけるクライアント端末20の所在位置(所在国)が検出され、検出された所在位置が所定条件〔所定の国(例えばホワイト国)であること〕を満たしているか否かが判定され、クライアント端末20での個人情報ファイル開封直前にクライアント端末20の所在位置を確認することができる。そして、クライアント端末20の所在位置が所定条件(例えば輸出規制対象国内ではない)を満たす場合にのみ個人情報ファイルの開封を許可することにより、個人情報ファイルの内容が、輸出規制対象国や地域などで利用者の知らないうちに流出・漏洩してしまうのを確実に防止することができる。
【0177】
また、以上の実施形態の個人情報管理システム1によれば、以上のように復号鍵を変更した後、変更後の復号鍵についてのクライアント端末20への送信を禁止することにより
、個人情報ファイルを無効化している。このため、変更前の個人情報ファイルの復号化が不能になり、確実に無効化され誰も利用できなくなるため、変更前の個人情報ファイルであっても不用意な流出・漏洩や不正利用が確実に防止され、個人情報を確実に保護することができる。
【0178】
また、以上の実施形態の個人情報管理システム1によれば、個人情報管理サーバ10において、クライアント端末20からの個人情報カプセルに対するアクセス要求に応じて実行された個人情報ファイルの送信の履歴をログとして記録し、必要に応じてログの記録から削除指令を送信することにより、個人情報カプセルに対するアクセス状況が管理され、必要に応じて個人情報ファイルに対するアクセスを追跡管理可能になり、アクセスを追跡して無効化も可能になるので、個人情報の不正利用をより確実に防止することができる。
【0179】
(3−3)また、以上の実施形態の個人情報管理システム1によれば、個人情報管理サーバ10において新たに生成された個人情報カプセルや変更を施された個人情報カプセルや個人情報ファイルに対しデジタル署名を付与することにより、個人情報カプセルや個人情報ファイルが改竄されていないことを保証することができ、第三者による偽造を防止することができる。その際、クライアント端末20におけるデータの中から個人情報を探査し、探査された個人情報にデジタル署名が付与されていない場合には、その個人情報をクライアント端末20から削除するように構成することにより、個人情報管理サーバ10でのデジタル署名を付与されていない個人情報は、個人情報管理サーバ10の管理下になく、クライアント端末20等のローカルで作成された、正規ではない個人情報と判断され、クライアント端末20から自動的に削除される。これにより、本発明のシステム内では、個人情報管理サーバ10によって一元的に管理される個人情報のみが存在して利用されることになり、個人情報を確実に管理して確実に保護することができる。
【0180】
(3−4)また、以上の実施形態の個人情報管理システム1によれば、個人情報管理サーバ10において、個人情報ファイルを、コンテナ機能を有する完成文書ファイルに変換し、そのコンテナ機能を用いて個人情報ファイルのオリジナルファイルを添付した状態で完成文書ファイルを暗号化してから個人情報ファイルとしてクライアント端末20に送信することにより、個人情報ファイルが改竄困難な完成文書ファイルとして送信され、個人情報ファイルを改竄されて不正利用されるのを防止しながら、コンテナ機能により添付されたオリジナルファイルを用いて編集等の操作を行なうことも可能になる。
【0181】
すなわち、管理サーバ10において、個人情報ファイルを、コンテナ機能を有するPDFファイルに変換し、そのコンテナ機能を用いて個人情報ファイルのオリジナルファイルを添付した状態でPDFファイルを暗号化してから個人情報ファイルとしてクライアント端末20に送信することにより、個人情報ファイルが改竄困難なPDFファイルとして送信され、個人情報ファイルを改竄されて不正利用されるのを防止しながら、コンテナ機能により添付されたオリジナルファイルを用いて編集等の操作を行なうことも可能になる。
【0182】
ただし、その際、編集等の操作は、オリジナルファイルの取出し権限や編集権限をアクセス権限としてアクセス権限設定手段108によって付与された利用者のみが行なえるようにするとともに、クライアント端末20において編集後のオリジナルファイルは、そのオリジナルファイルを取り出したPDFファイル以外に保存されるのを禁止することにより、そのオリジナルファイルの不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
【0183】
(3−5)また、以上の実施形態の個人情報管理システム1によれば、個人情報管理サーバ10が、暗号化ファイルに対する所定のアクセス権限を、個人情報ファイルの送信先の利用者に応じて設定するようにしており、クライアント端末20は、復号化手段によっ
て復元された個人情報ファイルに対するアクセスとして、アクセス権限設定手段108によって設定されたアクセス権限に応じたアクセスを許可されるため、オリジナルファイルの取出し権限をアクセス権限として付与された利用者のみが行なえるようになり、そのオリジナルファイルの不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
【0184】
(3−6)また、以上の実施形態の個人情報管理システム1によれば、利用者は、アクセス権限設定手段108によって、該完成文書ファイルからオリジナルファイルを取り出す取出し権限と、取り出された前記オリジナルファイルの編集権限とを該所定のアクセス権限として設定されている場合には、クライアント端末20において該編集手段227によってオリジナルファイルを編集することを許可されるため、オリジナルファイルの取出し権限や編集権限をアクセス権限として付与された利用者のみが行なえるようになるとともに、そのオリジナルファイルの不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
【0185】
(3−7)また、以上の実施形態の個人情報管理システム1によれば、クライアント端末20において、編集手段227によって編集されたオリジナルファイルが該完成文書ファイル以外に保存されることが禁止されているため、編集等の操作は、オリジナルファイルの取出し権限や編集権限をアクセス権限として付与された利用者のみが行なえるようになるとともに、クライアント端末20において編集後のオリジナルファイルは完成文書ファイル以外に保存されるのを禁止することにより、そのオリジナルファイルの不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
【0186】
(3−8)また、以上の実施形態の個人情報管理システム1によれば、個人情報ファイルを無効化した場合にその旨を個人情報管理サーバ10からクライアント端末20に自動的に通知することで、個人情報カプセルに対するアクセス要求の再実行を利用者に促すことができ、その通知を受けた利用者は自分の判断で再度アクセス要求を行なうことにより、変更後の最新の個人情報ファイルを得ることが可能になり、利用者の利便性を向上させることができる。ここで、利用者は、個人情報ファイルが無効化されたことで個人情報ファイルを利用できなくなったことを認識すると、再度アクセス要求を行なって、変更後の最新の個人情報ファイルを得ることが可能になる。
【0187】
(3−9)また、以上の実施形態の個人情報管理システム1によれば、上述した第1の探査手法では、各クライアント端末20におけるファイル毎に、特徴文字や特徴文字列の出現回数に基づく判定値によって、そのファイルが個人情報ファイル(もしくは機密情報ファイル)であるか否かが判定され、個人情報ファイルを自動的に特定して探査することができるので、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する個人情報ファイル(個人情報ファイルである可能性の高いデータファイル)を確実に探査して洗い出し、管理サーバ10等による管理可能な状態に置くことができる。従って、個人情報の開示要求や訂正要求に確実に対応することができるとともに、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
【0188】
(3−10)また、上述した第2の探査手法では、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含む文字区間は、個人情報に関するものではないと見なされる一方、電話番号,電子メールアドレス,住所のいずれにも該当せず且つ不適切文字/不適切文字列を含まない文字区間は、氏名に関するものであると見なされる。従って、電話番号,電子メールアドレス,住所のいずれか一つに該当すると判定された文字区間については、その判定がなされた時点で判定処理を終了し、電話番号,電子メールアドレス,住所のいずれにも該当しないと判定された文字区間についての
み不適切文字/不適切文字列との照合処理が行なわれ、さらに、不適切文字/不適切文字列が一つでも文字区間に含まれると判定された時点で、その照合処理を終了させることができるので、氏名リストに含まれる全ての氏名文字列との照合を行なう従来手法に比べ、氏名の照合処理を高速に行なえ、つまりは個人情報ファイルの探索処理を高速に行なうことが可能になる。
【0189】
このとき、判定処理の負荷の軽いものから順に、つまり電話番号,電子メールアドレス,住所の順で文字区間における文字列の判定処理を行なうことで、判定処理をより高速に効率良く実行することが可能になる。
【0190】
(3−11)また、不適切文字/不適切文字列を含まない文字区間を全て氏名に該当するものと見なすので、氏名についての不適切文字/不適切文字列を含まない電子ファイル、即ち、氏名情報を含む可能性が高く個人情報ファイルである可能性の高い電子ファイルを確実に探索することが可能になる。つまり、本実施形態によって個人情報ファイルであると判定される電子ファイルの数は、従来手法に比べよりも多くなり、個人情報ファイルである可能性の高い電子ファイル(疑わしい電子ファイル)を確実に洗い出すことができる。
【0191】
さらに、文字区間の文字数が1以上6以下であって且つその文字区間の文字が全て漢字であるか否かを判定し、この文字判定条件を満たす文字区間のみを照合対象としているので、照合対象の文字区間が、より氏名の可能性の高い文字区間に絞り込まれることになり、氏名の照合精度を向上させることができるとともに、氏名の照合処理を高速に行なうことができる。また、文字数が6を超える長い文字区間が、照合対象から除外されるので、氏名の照合処理のさらなる高速化、つまりは個人情報ファイルの探索処理のさらなる高速化に寄与することになる。
【0192】
このように第2の探査手法によっても、個人情報ファイルを自動的に特定して探索することができるので、人的な協力を得ることなく且つ担当者に特別な負荷をかけることなく、例えば企業内等において分散して存在する個人情報ファイル(個人情報ファイルである可能性の高い電子ファイル)を確実に探索して洗い出し管理サーバ10等による管理可能な状態に置くことができ、個人情報の開示要求や訂正要求に確実に対応することができるとともに、個人情報の不用意な流出・漏洩や個人情報の不正利用などを確実に防止することができる。
【0193】
(3−12)また、個人情報ファイルは、各個人情報ファイルに付与されたPマーク(ランク/レベル)に応じ、管理サーバ10等によって管理され、個人情報ファイルの利用者(保有者)に注意情報/警告情報を通知したり、個人情報ファイルをクライアント端末20から強制的に捕獲・回収したり、個人情報ファイルを管理者のみがアクセス可能なフォルダに格納したりすることが可能で、個人情報の不用意な流出・漏洩や個人情報の不正利用などをより確実に防止することができる。
【0194】
(3−13)また、本実施形態によれば、クライアント端末20からの個人情報カプセル生成要求に基づいて新たに生成しようとする個人情報カプセルについて、個人情報カプセルデータベース11で保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、類似する個人情報カプセルが既に存在する場合には、クライアント端末20に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成するようにしているため、スキャナでの読み取りで生じる誤字や、仮名漢字変換における誤り、キー入力時の誤入力などに起因する誤ったデータの電子ファイルが作成されることがなくなり、個人情報を管理するシステムにおいて唯一無二の電子ファイルが生成されて保存されるようになる。
【0195】
この際、管理サーバからクライアント端末へ、類似する個人情報カプセルが既に存在する場合には、クライアント端末に対する確認要求、クライアント端末に対する類似する個人情報カプセル存在通知と確認要求、類似する個人情報カプセルがクライアント端末に存在する場合におけるクライアント端末に対する類似個人情報カプセルの存在通知、のいずれの手法を用いても良い。そして、クライアント端末に対する確認要求に基づいて、クライアント端末から確認が得られた場合に新たな個人情報カプセルを生成することが望ましい。これにより、一層確実に唯一無二の個人情報カプセルの電子ファイルを生成して管理することが可能になる。
【0196】
〔4〕その他の実施形態(変形例):
なお、本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
【0197】
例えば、上述した実施形態では、1種類の個人情報管理サーバ10によって実現しているが、個人情報カプセルデータベース11にアクセスする管理サーバと、認証情報/復号鍵保存手段12にアクセスする管理サーバとに分けて実現してもよい。
【0198】
また、不正アクセス,情報漏洩,データ毀損などに対して保険金の支払いを行う保険が存在する場合において、以上の実施形態を用いることでリスクが大幅に減少することが予想されるため、本実施形態の個人情報管理サーバ10での認証された状態で個人情報を扱うクライアント端末20では、認証情報を個人情報管理サーバ10から保険会社のサーバに転送して保険会社側で確認することで、保険掛け金の割引きをすることも可能である。この場合、個人情報管理サーバ10側では認証を完了したデータやクライアント端末20の情報を保険会社に転送するだけであり、システムの大幅な改良を要しない。また、保険会社側でも、認証を完了したデータを受けることで、確実な状態を確保しつつ、料金(保険掛け金)の値下げを実行することが可能になる。
【0199】
また、上述した手段101〜119,21〜27としての機能(各手段の全部または一部の機能)は、コンピュータ(CPU,情報処理装置,各種端末を含む)が所定のアプリケーションプログラム(個人情報管理プログラム)を実行することによって実現される。
【0200】
そのプログラムは、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど)等のコンピュータ読取可能な記録媒体に記録された形態で提供される。この場合、コンピュータはその記録媒体から分散型ストレージシステム用制御プログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。また、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信回線を介してコンピュータに提供するようにしてもよい。
【0201】
ここで、コンピュータとは、ハードウエアとOS(オペレーティングシステム)とを含む概念であり、OSの制御の下で動作するハードウエアを意味している。また、OSが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンピュータに相当する。ハードウエアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたプログラムを読み取るための手段とを備えている。上記個人情報管理プログラムとしてのアプリケーションプログラムは、上述のようなコンピュータに、手段101〜119,21〜27としての機能を実現させるプログラムコードを含んでいる。また、その機能の一部は、アプリケーションプログラムではなくOSによって実現されてもよい。
【0202】
さらに、本実施形態における記録媒体としては、上述したフレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスクのほか、ICカード,ROMカートリッジ,磁気テープ,パンチカード,コンピュータの内部記憶装置(RAMやROMなどのメモリ),外部記憶装置等や、バーコードなどの符号が印刷された印刷物等の、コンピュータ読取可能な種々の媒体を利用することもできる。
【図面の簡単な説明】
【0203】
【図1】本発明の一実施形態としての個人情報管理システムの構成を示すブロック図である。
【図2】本発明の一実施形態としての個人情報管理システムの全体概略構成を示すブロック図である。
【図3】本実施形態における個人情報管理サーバの動作を説明するためのフローチャートである。
【図4】本実施形態における個人情報管理サーバの動作を説明するためのフローチャートである。
【図5】本実施形態における個人情報管理サーバの動作を説明するためのフローチャートである。
【図6】本実施形態におけるクライアント端末の動作を説明するためのフローチャートである。
【符号の説明】
【0204】
1 個人情報管理システム
10 個人情報管理サーバ(管理サーバ)
11 個人情報カプセルデータベース(保存手段)
12 認証情報/復号鍵保存手段
101 個人情報カプセル生成/変更要求受信手段
102 生成手段
103 フィルタ設定手段
104 アクセス要求受信手段
105 フィルタリング手段
106 変換手段
107 暗号化手段
108 アクセス権限設定手段
109 個人情報ファイル送信手段
110 ログ記録手段
111 認証情報受信手段
112 判定手段
113 復号鍵送信手段
114 変更手段
115 無効化手段
116 通知手段
117 デジタル署名付与手段
118 個人情報探査手段
119 削除手段
121 位置検出手段
20 クライアント端末
202 操作手段
203 表示手段
221 アクセス要求送信手段
222 個人情報ファイル受信手段
223 個人情報ファイル保存手段
224 認証情報送信手段
225 復号鍵受信手段
226 復号化手段
227 編集手段
30 ネットワーク(社内LAN)
【特許請求の範囲】
【請求項1】
特定の個人を識別可能な個人情報を、前記特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する管理サーバと、前記管理サーバと相互に通信可能に接続され、前記個人情報カプセルにアクセスして前記個人情報カプセル内の個人情報要素を利用しうるクライアント端末とを備えた個人情報管理システムであって、
前記管理サーバが、
前記個人情報カプセルを生成する生成手段と、
前記生成手段によって生成された個人情報カプセルを保存する保存手段と、
前記保存手段に保存された前記個人情報カプセルに前記クライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、
利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、
前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段と、
前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段と、
前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段と、
前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段と、
前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、
前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段と、
前記個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の前記クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、前記暗号化ファイルを前記個人情報ファイルとして前記個人情報ファイル送信手段に送信させる暗号化手段と、
前記クライアント端末から前記暗号化ファイルについての認証情報を受信する認証情報受信手段と、
前記認証情報受信手段によって受信された前記認証情報に基づいて、前記クライアント端末が前記暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段と、
前記暗号化ファイルを復号化するための復号鍵を保存する復号鍵保存手段と、
前記判定手段によって前記クライアント端末が正当な送信先であると判定された場合に前記復号鍵を前記クライアント端末に送信する復号鍵送信手段とを備えて構成され、
前記クライアント端末が、
前記個人情報カプセルに対するアクセス要求を前記管理サーバに送信するアクセス要求送信手段と、
前記管理サーバから前記アクセス要求に応じた前記個人情報ファイルを受信する個人情報ファイル受信手段と、
前記個人情報ファイル受信手段によって受信された前記個人情報ファイルである暗号化ファイルを開く場合に、前記暗号化ファイルについての認証情報を前記管理サーバに送信する認証情報送信手段と、
前記暗号化ファイルに応じた復号鍵を前記管理サーバから受信する復号鍵受信手段と、
前記復号鍵受信手段によって受信された前記復号鍵を用いて前記暗号化ファイルを復号化し元の個人情報ファイルを復元する復号化手段とを備えて構成され、
前記復号鍵保存手段は、前記個人情報カプセルの内容が変更された場合に、前記無効化手段からの無効化指令を受けて前記復号鍵を変更することにより、前記クライアント端末側での前記個人情報ファイルの復号化を不能にする、
ことを特徴とする個人情報管理システム。
【請求項2】
前記クライアント端末が、
該クライアント端末において前記個人情報ファイルを開封する際に、当該個人情報ファイルの開封要求としての復号鍵送信要求を前記管理サーバに送信する開封要求送信手段を備えて構成されるとともに、
前記管理サーバが、
前記クライアント端末から前記開封要求としての復号鍵送信要求を受信する開封要求受信手段と、
前記開封要求受信手段によって前記開封要求としての復号鍵送信要求を受信した時点における前記クライアント端末の所在位置を検出する位置検出手段と、
前記位置検出手段によって検出された前記所在位置が予め定められた所定条件を満たしているか否かを判定する判定手段と、
前記判定手段によって前記所在位置が前記所定条件を満たしていると判定された場合に前記クライアント端末での前記個人情報ファイルの開封を許可する一方、前記所在位置が前記所定条件を満たしていないと判定された場合に前記クライアント端末での前記個人情報ファイルの開封を禁止する開封許否手段とをそなえて構成されている、
ことを特徴とする請求項1記載の個人情報ファイル管理システム。
【請求項3】
特定の個人を識別可能な個人情報を、前記特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する管理サーバと、前記管理サーバと相互に通信可能に接続され、前記個人情報カプセルにアクセスして前記個人情報カプセル内の個人情報要素を利用しうるクライアント端末とを備えた個人情報管理システムであって、
前記管理サーバが、
前記個人情報カプセルを生成する生成手段と、
前記生成手段によって生成された個人情報カプセルを保存する保存手段と、
前記保存手段に保存された前記個人情報カプセルに前記クライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、
利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、
前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング
手段と、
前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段と、
前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段と、
前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段と、
前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、
前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段と、を備えて構成され、
前記生成手段は、前記クライアント端末からの個人情報カプセル生成要求に基づいて新たに生成しようとする個人情報カプセルについて、前記保存手段で保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、
類似する個人情報カプセルが既に存在する場合には、クライアント端末に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成する、
ことを特徴とする個人情報管理システム。
【請求項4】
特定の個人を識別可能な個人情報を、前記特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバであって、
前記個人情報カプセルを生成する生成手段と、
前記生成手段によって生成された個人情報カプセルを保存する保存手段と、
前記保存手段に保存された前記個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、
利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、
前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段と、
前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段と、
前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段と、
前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段と、
前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得ら
れた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、
前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段と、
前記個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の前記クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、前記暗号化ファイルを前記個人情報ファイルとして前記個人情報ファイル送信手段に送信させる暗号化手段と、
前記クライアント端末から前記暗号化ファイルについての認証情報を受信する認証情報受信手段と、
前記認証情報受信手段によって受信された前記認証情報に基づいて、前記クライアント端末が前記暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段と、
前記暗号化ファイルを復号化するための復号鍵を保存する復号鍵保存手段と、
前記判定手段によって前記クライアント端末が正当な送信先であると判定された場合に前記復号鍵を前記クライアント端末に送信する復号鍵送信手段とを備えて構成され、
前記復号鍵保存手段は、前記個人情報カプセルの内容が変更された場合に、前記無効化手段からの無効化指令を受けて前記復号鍵を変更することにより、前記クライアント端末側での前記個人情報ファイルの復号化を不能にする、
ことを特徴とする個人情報管理サーバ。
【請求項5】
クライアント端末において前記個人情報ファイルが開封される際に、前記クライアント端末から前記開封要求としての復号鍵送信要求を受信する開封要求受信手段と、
前記開封要求受信手段によって前記開封要求としての復号鍵送信要求を受信した時点における前記クライアント端末の所在位置を検出する位置検出手段と、
前記位置検出手段によって検出された前記所在位置が予め定められた所定条件を満たしているか否かを判定する判定手段と、
前記判定手段によって前記所在位置が前記所定条件を満たしていると判定された場合に前記クライアント端末での前記個人情報ファイルの開封を許可する一方、前記所在位置が前記所定条件を満たしていないと判定された場合に前記クライアント端末での前記個人情報ファイルの開封を禁止する開封許否手段とをそなえて構成されている、
ことを特徴とする請求項4記載の個人情報ファイル管理サーバ。
【請求項6】
特定の個人を識別可能な個人情報を、前記特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバであって、
前記個人情報カプセルを生成する生成手段と、
前記生成手段によって生成された個人情報カプセルを保存する保存手段と、
前記保存手段に保存された前記個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、
利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、
前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要
求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段と、
前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段と、
前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段と、
前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段と、
前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、
前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段と、
前記生成手段は、前記クライアント端末からの個人情報カプセル生成要求に基づいて新たに生成しようとする個人情報カプセルについて、前記保存手段で保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、
類似する個人情報カプセルが既に存在する場合には、クライアント端末に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成する、
ことを特徴とする個人情報管理サーバ。
【請求項7】
特定の個人を識別可能な個人情報を、該特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバとしてコンピュータを機能させる個人情報管理プログラムであって、
前記個人情報カプセルを生成する生成手段、
前記生成手段によって生成された個人情報カプセルを保存する保存手段、
前記保存手段に保存された前記個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段、
利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段、
前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段、
前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段、
前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段、
前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個
人情報ファイルを無効化する無効化手段、
前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段、
前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段、
前記個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の前記クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、前記暗号化ファイルを前記個人情報ファイルとして前記個人情報ファイル送信手段に送信させる暗号化手段、
前記クライアント端末から前記暗号化ファイルについての認証情報を受信する認証情報受信手段、
前記認証情報受信手段によって受信された前記認証情報に基づいて、前記クライアント端末が前記暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段、および、
前記暗号化ファイルを復号化するための復号鍵を保存するとともに、前記判定手段によって前記クライアント端末が正当な送信先であると判定された場合に前記復号鍵を前記クライアント端末に送信するとともに、前記個人情報カプセルの内容が変更された場合に、前記無効化手段からの無効化指令を受けて前記復号鍵を変更することにより、前記クライアント端末側での前記個人情報ファイルの復号化を不能にする復号鍵保存手段、
として該コンピュータを機能させることを特徴とする個人情報管理プログラム。
【請求項8】
クライアント端末において前記個人情報ファイルが開封される際に、前記クライアント端末から前記開封要求としての復号鍵送信要求を受信する開封要求受信手段、
前記開封要求受信手段によって前記開封要求としての復号鍵送信要求を受信した時点における前記クライアント端末の所在位置を検出する位置検出手段、
前記位置検出手段によって検出された前記所在位置が予め定められた所定条件を満たしているか否かを判定する判定手段、
前記判定手段によって前記所在位置が前記所定条件を満たしていると判定された場合に前記クライアント端末での前記個人情報ファイルの開封を許可する一方、前記所在位置が前記所定条件を満たしていないと判定された場合に前記クライアント端末での前記個人情報ファイルの開封を禁止する開封許否手段、
として該コンピュータを機能させることを特徴とする請求項7記載の個人情報管理プログラム。
【請求項9】
特定の個人を識別可能な個人情報を、該特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバとしてコンピュータを機能させる個人情報管理プログラムであって、
前記個人情報カプセルを生成する生成手段、
前記生成手段によって生成された個人情報カプセルを保存する保存手段、
前記保存手段に保存された前記個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段、
利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段、
前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段、
前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段、
前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段、
前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段、
前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段、
前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段、
前記クライアント端末からの個人情報カプセル生成要求に基づいて新たに生成しようとする個人情報カプセルについて、前記保存手段で保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、類似する個人情報カプセルが既に存在する場合には、クライアント端末に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成する手段、
として該コンピュータを機能させることを特徴とする個人情報管理プログラム。
【請求項1】
特定の個人を識別可能な個人情報を、前記特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する管理サーバと、前記管理サーバと相互に通信可能に接続され、前記個人情報カプセルにアクセスして前記個人情報カプセル内の個人情報要素を利用しうるクライアント端末とを備えた個人情報管理システムであって、
前記管理サーバが、
前記個人情報カプセルを生成する生成手段と、
前記生成手段によって生成された個人情報カプセルを保存する保存手段と、
前記保存手段に保存された前記個人情報カプセルに前記クライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、
利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、
前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段と、
前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段と、
前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段と、
前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段と、
前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、
前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段と、
前記個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の前記クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、前記暗号化ファイルを前記個人情報ファイルとして前記個人情報ファイル送信手段に送信させる暗号化手段と、
前記クライアント端末から前記暗号化ファイルについての認証情報を受信する認証情報受信手段と、
前記認証情報受信手段によって受信された前記認証情報に基づいて、前記クライアント端末が前記暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段と、
前記暗号化ファイルを復号化するための復号鍵を保存する復号鍵保存手段と、
前記判定手段によって前記クライアント端末が正当な送信先であると判定された場合に前記復号鍵を前記クライアント端末に送信する復号鍵送信手段とを備えて構成され、
前記クライアント端末が、
前記個人情報カプセルに対するアクセス要求を前記管理サーバに送信するアクセス要求送信手段と、
前記管理サーバから前記アクセス要求に応じた前記個人情報ファイルを受信する個人情報ファイル受信手段と、
前記個人情報ファイル受信手段によって受信された前記個人情報ファイルである暗号化ファイルを開く場合に、前記暗号化ファイルについての認証情報を前記管理サーバに送信する認証情報送信手段と、
前記暗号化ファイルに応じた復号鍵を前記管理サーバから受信する復号鍵受信手段と、
前記復号鍵受信手段によって受信された前記復号鍵を用いて前記暗号化ファイルを復号化し元の個人情報ファイルを復元する復号化手段とを備えて構成され、
前記復号鍵保存手段は、前記個人情報カプセルの内容が変更された場合に、前記無効化手段からの無効化指令を受けて前記復号鍵を変更することにより、前記クライアント端末側での前記個人情報ファイルの復号化を不能にする、
ことを特徴とする個人情報管理システム。
【請求項2】
前記クライアント端末が、
該クライアント端末において前記個人情報ファイルを開封する際に、当該個人情報ファイルの開封要求としての復号鍵送信要求を前記管理サーバに送信する開封要求送信手段を備えて構成されるとともに、
前記管理サーバが、
前記クライアント端末から前記開封要求としての復号鍵送信要求を受信する開封要求受信手段と、
前記開封要求受信手段によって前記開封要求としての復号鍵送信要求を受信した時点における前記クライアント端末の所在位置を検出する位置検出手段と、
前記位置検出手段によって検出された前記所在位置が予め定められた所定条件を満たしているか否かを判定する判定手段と、
前記判定手段によって前記所在位置が前記所定条件を満たしていると判定された場合に前記クライアント端末での前記個人情報ファイルの開封を許可する一方、前記所在位置が前記所定条件を満たしていないと判定された場合に前記クライアント端末での前記個人情報ファイルの開封を禁止する開封許否手段とをそなえて構成されている、
ことを特徴とする請求項1記載の個人情報ファイル管理システム。
【請求項3】
特定の個人を識別可能な個人情報を、前記特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する管理サーバと、前記管理サーバと相互に通信可能に接続され、前記個人情報カプセルにアクセスして前記個人情報カプセル内の個人情報要素を利用しうるクライアント端末とを備えた個人情報管理システムであって、
前記管理サーバが、
前記個人情報カプセルを生成する生成手段と、
前記生成手段によって生成された個人情報カプセルを保存する保存手段と、
前記保存手段に保存された前記個人情報カプセルに前記クライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、
利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、
前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング
手段と、
前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段と、
前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段と、
前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段と、
前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、
前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段と、を備えて構成され、
前記生成手段は、前記クライアント端末からの個人情報カプセル生成要求に基づいて新たに生成しようとする個人情報カプセルについて、前記保存手段で保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、
類似する個人情報カプセルが既に存在する場合には、クライアント端末に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成する、
ことを特徴とする個人情報管理システム。
【請求項4】
特定の個人を識別可能な個人情報を、前記特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバであって、
前記個人情報カプセルを生成する生成手段と、
前記生成手段によって生成された個人情報カプセルを保存する保存手段と、
前記保存手段に保存された前記個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、
利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、
前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段と、
前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段と、
前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段と、
前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段と、
前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得ら
れた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、
前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段と、
前記個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の前記クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、前記暗号化ファイルを前記個人情報ファイルとして前記個人情報ファイル送信手段に送信させる暗号化手段と、
前記クライアント端末から前記暗号化ファイルについての認証情報を受信する認証情報受信手段と、
前記認証情報受信手段によって受信された前記認証情報に基づいて、前記クライアント端末が前記暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段と、
前記暗号化ファイルを復号化するための復号鍵を保存する復号鍵保存手段と、
前記判定手段によって前記クライアント端末が正当な送信先であると判定された場合に前記復号鍵を前記クライアント端末に送信する復号鍵送信手段とを備えて構成され、
前記復号鍵保存手段は、前記個人情報カプセルの内容が変更された場合に、前記無効化手段からの無効化指令を受けて前記復号鍵を変更することにより、前記クライアント端末側での前記個人情報ファイルの復号化を不能にする、
ことを特徴とする個人情報管理サーバ。
【請求項5】
クライアント端末において前記個人情報ファイルが開封される際に、前記クライアント端末から前記開封要求としての復号鍵送信要求を受信する開封要求受信手段と、
前記開封要求受信手段によって前記開封要求としての復号鍵送信要求を受信した時点における前記クライアント端末の所在位置を検出する位置検出手段と、
前記位置検出手段によって検出された前記所在位置が予め定められた所定条件を満たしているか否かを判定する判定手段と、
前記判定手段によって前記所在位置が前記所定条件を満たしていると判定された場合に前記クライアント端末での前記個人情報ファイルの開封を許可する一方、前記所在位置が前記所定条件を満たしていないと判定された場合に前記クライアント端末での前記個人情報ファイルの開封を禁止する開封許否手段とをそなえて構成されている、
ことを特徴とする請求項4記載の個人情報ファイル管理サーバ。
【請求項6】
特定の個人を識別可能な個人情報を、前記特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバであって、
前記個人情報カプセルを生成する生成手段と、
前記生成手段によって生成された個人情報カプセルを保存する保存手段と、
前記保存手段に保存された前記個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段と、
利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段と、
前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要
求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段と、
前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段と、
前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段と、
前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段と、
前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段と、
前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段と、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段と、
前記生成手段は、前記クライアント端末からの個人情報カプセル生成要求に基づいて新たに生成しようとする個人情報カプセルについて、前記保存手段で保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、
類似する個人情報カプセルが既に存在する場合には、クライアント端末に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成する、
ことを特徴とする個人情報管理サーバ。
【請求項7】
特定の個人を識別可能な個人情報を、該特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバとしてコンピュータを機能させる個人情報管理プログラムであって、
前記個人情報カプセルを生成する生成手段、
前記生成手段によって生成された個人情報カプセルを保存する保存手段、
前記保存手段に保存された前記個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段、
利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段、
前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段、
前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段、
前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段、
前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個
人情報ファイルを無効化する無効化手段、
前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段、
前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段、
前記個人情報ファイル送信手段によって送信される個人情報ファイルを、送信先の前記クライアント端末に応じた暗号鍵を用いて暗号化して、暗号化ファイルを作成し、前記暗号化ファイルを前記個人情報ファイルとして前記個人情報ファイル送信手段に送信させる暗号化手段、
前記クライアント端末から前記暗号化ファイルについての認証情報を受信する認証情報受信手段、
前記認証情報受信手段によって受信された前記認証情報に基づいて、前記クライアント端末が前記暗号化ファイルの正当な送信先であるか否かの判定を行なう判定手段、および、
前記暗号化ファイルを復号化するための復号鍵を保存するとともに、前記判定手段によって前記クライアント端末が正当な送信先であると判定された場合に前記復号鍵を前記クライアント端末に送信するとともに、前記個人情報カプセルの内容が変更された場合に、前記無効化手段からの無効化指令を受けて前記復号鍵を変更することにより、前記クライアント端末側での前記個人情報ファイルの復号化を不能にする復号鍵保存手段、
として該コンピュータを機能させることを特徴とする個人情報管理プログラム。
【請求項8】
クライアント端末において前記個人情報ファイルが開封される際に、前記クライアント端末から前記開封要求としての復号鍵送信要求を受信する開封要求受信手段、
前記開封要求受信手段によって前記開封要求としての復号鍵送信要求を受信した時点における前記クライアント端末の所在位置を検出する位置検出手段、
前記位置検出手段によって検出された前記所在位置が予め定められた所定条件を満たしているか否かを判定する判定手段、
前記判定手段によって前記所在位置が前記所定条件を満たしていると判定された場合に前記クライアント端末での前記個人情報ファイルの開封を許可する一方、前記所在位置が前記所定条件を満たしていないと判定された場合に前記クライアント端末での前記個人情報ファイルの開封を禁止する開封許否手段、
として該コンピュータを機能させることを特徴とする請求項7記載の個人情報管理プログラム。
【請求項9】
特定の個人を識別可能な個人情報を、該特定の個人に関する複数の個人情報要素からなるデータセット(以下、個人情報カプセルという)として管理する個人情報管理サーバとしてコンピュータを機能させる個人情報管理プログラムであって、
前記個人情報カプセルを生成する生成手段、
前記生成手段によって生成された個人情報カプセルを保存する保存手段、
前記保存手段に保存された前記個人情報カプセルにクライアント端末からアクセスしうる利用者毎に、当該利用者の利用可能な個人情報要素を規定するフィルタを設定するフィルタ設定手段、
利用者から前記クライアント端末を通じて前記個人情報カプセルに対するアクセス要求を受信するアクセス要求受信手段、
前記アクセス要求受信手段によって前記アクセス要求を受信した場合、前記アクセス要求を送信した利用者に対し前記フィルタ設定手段によって設定された前記フィルタを用いて前記個人情報カプセル内の個人情報要素のフィルタリング処理を行なうことにより、当該利用者の利用可能な個人情報要素を前記個人情報カプセルから抽出するフィルタリング手段、
前記フィルタリング手段によって前記個人情報カプセルから抽出された個人情報要素を個人情報ファイルとして前記クライアント端末に送信する個人情報ファイル送信手段、
前記保存手段に保存された前記個人情報カプセルの内容を変更する変更手段、
前記変更手段によって前記個人情報カプセルの内容が変更された場合、変更を施された前記個人情報カプセルから変更前に抽出されて前記クライアント端末に送信された前記個人情報ファイルを無効化する無効化手段、
前記生成手段によって生成された前記個人情報カプセル、もしくは、前記変更手段によって変更された前記個人情報カプセル、もしくは、前記フィルタリング手段によって得られた前記個人情報ファイルに対し、デジタル署名を付与するデジタル署名付与手段、
前記クライアント端末におけるデータの中から個人情報を探査する個人情報探査手段、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望む場合、当該個人情報を個人情報カプセルとして前記保存手段に登録・保存する手段、
前記個人情報探査手段によって探査された個人情報に前記デジタル署名付与手段によるデジタル署名が付与されておらず、且つ、当該個人情報を保有しているクライアント端末の利用者が当該個人情報を前記管理サーバの管理対象として登録することを望まない場合、当該個人情報を前記クライアント端末から削除する削除手段、
前記クライアント端末からの個人情報カプセル生成要求に基づいて新たに生成しようとする個人情報カプセルについて、前記保存手段で保存されている既存の個人情報カプセルと類似判定を行って類似する既存の個人情報カプセルの存在を確認し、類似する個人情報カプセルが既に存在する場合には、クライアント端末に対して確認を要求し、確認が得られた場合に新たな個人情報カプセルを生成する手段、
として該コンピュータを機能させることを特徴とする個人情報管理プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2008−11360(P2008−11360A)
【公開日】平成20年1月17日(2008.1.17)
【国際特許分類】
【出願番号】特願2006−181611(P2006−181611)
【出願日】平成18年6月30日(2006.6.30)
【特許番号】特許第3909362号(P3909362)
【特許公報発行日】平成19年4月25日(2007.4.25)
【出願人】(592112938)クオリティ株式会社 (121)
【Fターム(参考)】
【公開日】平成20年1月17日(2008.1.17)
【国際特許分類】
【出願日】平成18年6月30日(2006.6.30)
【特許番号】特許第3909362号(P3909362)
【特許公報発行日】平成19年4月25日(2007.4.25)
【出願人】(592112938)クオリティ株式会社 (121)
【Fターム(参考)】
[ Back to top ]