情報交換装置
【課題】情報やその情報の開示先に変更があった場合でも、容易に情報の一貫性を保って情報管理ができる。また、情報の開示制御が容易となり、意図せざる情報流出の防止を図ることができる。
【解決手段】個々の情報または情報の任意の集合ごとに、開示関係を決める秘密鍵で暗号化して、情報配布サーバに記憶し、これとは独立して秘密鍵を開示者端末と被開示者端末の間で授受することによって、開示対象情報と開示関係を独立して制御する。
【解決手段】個々の情報または情報の任意の集合ごとに、開示関係を決める秘密鍵で暗号化して、情報配布サーバに記憶し、これとは独立して秘密鍵を開示者端末と被開示者端末の間で授受することによって、開示対象情報と開示関係を独立して制御する。
【発明の詳細な説明】
【技術分野】
【0001】
本願発明は、情報端末間での情報交換装置に関する。
【背景技術】
【0002】
近年、情報通信技術の発展により、パーソナルコンピュータ(PC)、携帯型個人情報端末(以下、PDAと称する)、及び携帯電話など、ネットワークに接続して利用される情報通信機器が普及してきている。また、デジタルカメラ、ビデオカメラ、携帯型音楽プレーヤー、ゲーム機、携帯型ゲーム機、ビデオレコーダなどの様々な民生機器も、ネットワークへの接続が進んでいる。これらの様々な情報機器がインターネットで接続されることで、多様なサービスが生まれ、利便性が向上している。
【0003】
この種のサービスのなかで最も顕著なものは、情報通信におけるウェブ(web)をベースとした情報開示である。ウェブ(web)の普及によって、万人に等しく世界に向けた情報発信の機会が与えられるようになったのみならず、映画や音楽などの有料コンテンツを配信し、さらに決済手段を提供するなど、その用途は急速に拡大している。
【0004】
しかし一方で、これら各種情報機器のネットワーク化によって、保護されるべき情報が情報所有者の意志に反して流出したり、ネットワーク上で公開されたりする危険性が高まっている。この問題は、個人情報保護に対する関心の高まりや法制化とも相まって、社会的に大きな問題になりつつある。
【0005】
これは、ウェブ(web)をベースにとした情報開示技術が、全世界に対する公開を基礎としていることに一因がある。現実に、世界中のウェブサイトの情報のほとんどは、誰でも閲覧が可能である。情報によって閲覧可能な人を限定する必要がある場合には、ユーザ名やパスワードなどの認証手段によってウェブサイトにある情報に対するアクセスを限定する方法が用いられるが、「誰にどの情報を開示するのか」を制御するという観点で情報開示の柔軟性に欠け、管理運営に手間やコストがかかる。そのため、一般のインターネット利用者には運用が困難である。また、ほとんどの場合、その安全性は高くない。現実には、保護すべき情報の実体がウェブサーバにファイルとして存在しているので、様々な技術的、人的手段によってこれが流出する事態が起こっている。
【0006】
様々な情報機器のネットワーク化によるもう一つの問題は、ネットワークを通じてやりとりされる情報量が急速に増大した結果、利用者による情報の保守、管理が困難になりつつあるという点である。インターネット上で他者が管理し公開している情報の量、および各種情報端末で自らが管理している個人的な情報の量、の両方が爆発的に増大した結果、必要な情報を必要な時に利用することが難しくなっている。
【0007】
インターネット上で他者が管理し公開している情報に関しては、これら各種情報端末からインターネット上の必要な情報を効率よく検索する技術が提案されており、利用者は、利便性を損なわずにより多くの情報を利用できるようになってきた。現在、検索技術は、情報通信技術の中でも主要な地位を占めるに至っている。(特許文献1)
【0008】
一方、これら各種の端末で利用者自らが管理している個人的な情報(各種個人情報、私信、写真、ビデオなど)の、インターネットを通じたやりとりのためには、電子メールのやり取りによる個人情報の入手、開示及びそれを基にした各種端末の情報同期方法が一般的である(例えば、特許文献1参照)。しかしながら、この手段には、情報の入手において、他人から更新情報を必ず受け取れるという保障がなく、情報入手の確実性に欠けるという問題があった。また、たとえば電子メールで受領した情報を自らデータベースに入力する必要があるなど、入手した情報の管理に手間がかかるという問題もあった。
【0009】
これらの問題を解決する手段として、ウェブサーバ上での個人的情報の同期および開示が提案されている(特許文献2)。さらにその延長で、ソーシャル・ネットワーク・サービス(SNS)と呼ばれる、個人的な情報をサーバ上で、開示先を限定してやりとりすることのできるサービスが近年普及している(特許文献3)。この手段では、事業者がサーバを立ち上げて会員を募り、ユーザ名及びパスワードの登録、フォルダの共有などの認証手段を確保した上で、前記サーバ上に会員各人が個人情報をアップロードする。この手段によれば、他人の情報が更新されたときに、自分のデータベースが自動的に更新されるため、他人の情報を含めて、常に最新で一貫性のある情報を閲覧することが可能となる。また、自らの知人といった特定人にのみ情報を開示することも可能となる。そして、日記や写真など限られた情報のみを開示することも可能となる。しかしながら、ウェブサーバにあるリモートデータへのアクセスとなるため、動作が遅く不安定であるという問題もあった。そして、すべての個人情報がサーバに集中しているため、それを管理する事業者のリスクが大きいという問題もあった。さらに、ユーザ名とパスワードなど、弱い認証手段が用いられているため、機密性の高い情報には使えないという問題もあった。
【0010】
更にこのSNSのような、ウェブサーバ上での個人的情報の開示および同期のサービスにおいては、サーバの維持管理のための資金を事業者が得ることが不可欠であり、通常ウェブサイト上に掲載される広告などでその資金をまかなっている。そのために会員数の増大は欠かせない。ところが、一般の(公開されている)ウェブサイトはすべて無料であることから、この種の個人的情報のやりとりのサービスであっても、利用者に課金することは困難である。ここに、この種のサーバを使った個人的情報の開示や同期をおこなうサービスの品質や守秘性が向上しない理由があった。
【特許文献1】米国特許第6,665,837号明細書
【特許文献2】米国特許第7,080,104号明細書
【特許文献3】米国特許第7,069,308号明細書
【発明の開示】
【発明が解決しようとする課題】
【0011】
様々な情報端末での開示対象情報の入手および開示に関して、現在提案されている電子メールもしくはウェブを前提とした方法の具体的な課題は、以下の6点である。開示対象情報の例としては、個人の電話番号、住所、電子メールアドレスなどの属性情報や、写真、ビデオ、日記、スケジュール、診療履歴、職務経歴、現在いる位置、公開鍵、秘密鍵などの個人が所有する情報、団体や法人の電話番号、電子メールアドレス、人事情報などの団体や法人の構成員に関わる情報、あるいは団体や法人の運営に関わる組織情報、財務情報、営業情報、顧客情報などの団体や法人が所有する情報など、何であっても良い。
【0012】
第一に端末間の情報一貫性の欠如、第二に他者から開示された情報管理の困難さ、第三に自分の情報開示管理の困難さ、第四に情報開示の柔軟性欠如、第五に開示後の情報制御の困難さ、そして第六にウェブを用いた開示対象情報の開示管理サービスの維持が経済的な面から困難であることである。これらの問題は、既に提案されている、電子メールによる情報交換、あるいはウェブサーバでの情報開示および同期などの方法では経済的合理性のある解決は難しく、またインターネット上で公開された情報から必要な情報を検索することを目的とする、既存の検索技術の精度を向上することでは解決できない問題である。
【0013】
第一の、端末間の情報一貫性の欠如は、特定の端末にある情報の複製が、ネットワークで接続された他の端末に記憶されている時、前記特定の端末に記憶されている情報が更新されても、他の端末に記憶された情報が、明示的操作をおこなわないと更新されないという問題である。たとえば、利用者Aがその端末にあった電話番号の複製を利用者Bの端末に送信した後、利用者Aの電話番号が変更された場合、利用者Aの端末から利用者Bの端末に、明示的に電子メールを送信するなどの操作が行われない限り、利用者Bの端末に記憶されている利用者Aの電話番号は変更されない。これは、たとえば利用者Aが複数の端末を使っている場合にも起こる問題である。たとえば据置型PC、携帯型PC、および携帯電話の三台の端末を使っている利用者Aが、携帯型PCの電話帳を更新しても、据置型PCや携帯電話に対して利用者が入力をおこなうか、明示的に情報同期の操作を行うまでは、これらの端末の電話帳は更新されない。管理する情報や、その複製を送信する相手や端末が増えると、利用者は端末の更新状態を管理し切れなくなり、端末間の情報一貫性が保てない。
【0014】
第二の、他者の情報管理の困難さは、主として電子メール等で送られてくる他者の開示対象情報を管理しきれないという問題である。たとえば、他者の電話番号の変更があった場合、電子メールで送られてきた情報を自ら住所録などに入力して管理するのが一般的であるが、情報量が多いとその住所録を常に最新の状態に保つには多くの労力を必要し、多くの利用者は、住所録を適切に管理できていない。
【0015】
第三の、自分の開示管理の困難さは、自分の開示対象情報を更新した場合、明示的に電子メールなどで知人に対して通知を出す必要があるという問題である。たとえば、自分の電話番号や勤務先が変わった場合、新たな情報を電子メール等で知人に知らせるが、通知すべき人や情報が多いと、必要な人に必要な情報をすべて通知しているとは限らず、また誰に通知して誰に通知しなかったかを開示対象情報の所有者自身が把握できなくなる。
【0016】
第四の、情報開示の柔軟性欠如は、情報所有者の望みどおりに、特定の開示対象情報を特定の相手に開示することが難しいという問題である。ウェブで開示対象情報の開示を行えば、上記の電子メールなどによる情報開示管理の困難は回避できるが、ウェブは基本的にすべての情報を全世界に公開するものであるし、前記SNSなどのような方法でも、たとえば「日記を友人に開示」といった大まかな区分での開示制御しかできない。電子メールによる情報開示では、開示管理の柔軟性は維持できるが、上に述べたように、開示管理が煩雑となる。つまり、上記の第三の問題と、この第四の問題は相反関係にあり、最適な方法がない。
【0017】
第五の、開示後の情報制御の困難は、現在の通信方法では、一度開示してしまった開示対象情報は、開示先に所有権が移るため、原則的に情報所有者による制御は不可能である、という問題である。たとえば、電子メールで送ったり、ウェブサイトに入力したりした開示対象情報は、それ以降は開示先の所有する情報として扱われるため、開示先が好きなように利用や再開示することができ、本来の開示対象情報の所有者による制御ができない。これが、個人情報の流出などの様々な社会問題を生む原因となっている。
【0018】
第六の、ウェブを用いた開示対象情報の開示管理サービスの維持が経済的な面から困難である問題は、現在のインターネット環境において、ほぼすべてのウェブサイトや検索技術が無料で利用できることから、利用者が既に使っている電子メール以外のソフトウェアやサービスに、そこから得られる利便性向上の対価を支払う意志が生まれにくいという事情からくる。SNSなどのサービスが、ウェブや電子メールほど大きく広がらず、品質も向上しない理由がここにある。これまで述べた具体的問題を解決するためには、個人的情報の開示管理サービスに対して、サービス事業者が充分にその対価を得られるような事業モデルの開発が不可欠であるが、これまでは成功していない。
【課題を解決するための手段】
【0019】
本発明の第一態様によれば、開示者に関する複数の開示用情報を記憶する記憶装置と、 前記複数の開示用情報のそれぞれに対応して用意された複数の秘密鍵を用いて前記複数の開示用情報それぞれを暗号化した暗号情報を複数生成する暗号化装置と、 前記複数の暗号情報および前記複数の秘密鍵を送信する送信装置と、 前記複数の暗号情報から任意に選択された暗号情報と、前記複数の秘密鍵のうち当該選択された暗号情報についての秘密鍵を受信し、当該選択された暗号情報を当該秘密鍵により複合化する復号化装置と、を設けたことを特徴とする情報交換装置が提供される。
【0020】
本発明の第二態様によれば、前記第一態様において、前記記憶装置は、前記複数の開示用情報それぞれのフラグ情報を、前記開示用情報と前記フラグ情報とをそれぞれ関連付けた状態でさらに記憶し、 前記暗号化装置は、生成された前記複数の暗号情報それぞれを、対応する開示用情報のフラグ情報と関連付けて前記記憶装置に記憶させ、 前記送信装置は、前記複数の暗号情報を、それぞれの前記フラグ情報と関連付けた状態で送信し、 前記復号化装置は、前記複数の暗号情報から任意に選択された暗号情報についてのフラグ情報を検索キーとした検索によって当該暗号情報を得て復号化を行う情報交換装置が提供される。
【0021】
本発明の第三態様によれば、開示者に関する複数の開示用情報と、これら複数の開示用情報それぞれのフラグ情報と、を、前記開示用情報と前記フラグ情報とをそれぞれ関連付けた状態で記憶する記憶装置と、 前記複数の開示用情報のそれぞれに対応して用意された複数の秘密鍵を用いて前記複数の開示用情報それぞれを暗号化した暗号情報を複数生成し、生成された前記複数の暗号情報を、対応する開示用情報のフラグ情報と関連付けて前記記憶装置に記憶させる暗号化装置と、 前記複数の暗号情報を、それぞれの前記フラグ情報と関連付けた状態で送信する送信装置と、を設けたことを特徴とする情報交換装置が提供される。
【0022】
本発明の第四態様によれば、前記第三態様において、前記複数の暗号情報から任意に選択された暗号情報についてのフラグ情報を検索キーとした検索によって当該暗号情報を得るとともに、当該選択された暗号情報についての秘密鍵を受信して暗号情報を当該秘密鍵により当該選択された復号化する復号化装置をさらに設けたことを特徴とする情報交換装置が提供される。
【0023】
本発明の第五態様によれば、前記第二または第三態様において、前記送信装置は、前記複数の開示用情報それぞれのフラグ情報と当該複数の開示用情報からそれぞれ生成された前記複数の暗号情報とを関連付けた状態で第1のサーバに送信して当該第1のサーバに記憶させ、前記複数の開示用情報それぞれのフラグ情報と当該複数の開示用情報のそれぞれに対応して用意された前記複数の秘密鍵とを関連付けた状態で第2のサーバに送信して当該第2のサーバに記憶させ、 前記復号化装置は、前記複数の暗号情報から任意に選択された暗号情報を前記第1のサーバから受信し、前記複数の秘密鍵のうち当該選択された暗号情報についての秘密鍵を前記第2のサーバから受信する情報交換装置が提供される。
【0024】
本発明の第六態様によれば、前記第一から第五のいずれかにおいて、前記開示用情報と当該開示用情報についての前記秘密鍵とは、互いに独立して設定、変更、および消去されるように構成されている情報交換装置が提供される。
【0025】
本発明の第七態様によれば、前記第一から第六のいずれかにおいて、前記複数の開示用情報の少なくとも1以上は、複数のサブ開示情報を含む情報交換装置が提供される。
【0026】
本発明の第八態様によれば、前記第一から第七のいずれかにおいて、前記複数の開示用情報が表示され、前記複数の開示用情報のうち前記開示者により被開示者に開示される情報として選択された開示情報が指定される入力装置をさらに設け、 前記送信装置は、前記入力装置に前記開示情報を指定する入力が行われると当該開示情報について生成された暗号情報を、当該開示情報についてのフラグ情報と関連付けて送信する情報交換装置が提供される。
【0027】
本発明の第九態様によれば、前記第八において、前記入力装置は、前記開示情報を非開示状態に変更する非開示入力機能を備え、 前記送信装置は、前記入力装置に前記開示情報を非開示状態にする入力が行われると当該開示情報、当該開示情報について生成された暗号情報、当該開示情報を暗号化する秘密鍵のいずれか1以上を削除する削除コマンドを生成して生成された削除コマンドと当該開示情報のフラグ情報とを関連付けた状態で送信する情報交換装置が提供される。
【発明の効果】
【0028】
本発明によれば、情報やその情報の開示先に変更があった場合でも、容易に情報の一貫性を保って情報管理ができる。また、情報の開示制御が容易となり、意図せざる情報流出の防止を図ることができる。
【発明を実施するための最良の形態】
【0029】
以下に本願発明を実施するための現在考えられる最善の形態について説明する。本願発明の範囲は、添付特許請求の範囲によって明確に定義されているため、この説明は限定的な意味に解釈すべきではなく、単に発明の一般原理を例示する目的で行う。
【0030】
図1は、本願発明の実施形態に係る情報交換システムの一例の全体図である。この情報交換システムは、情報配布サーバ200、開示者である利用者Aの端末300、被開示者である利用者Bの端末320および利用者Cの端末340、開示制御サーバ120、およびこれらの端末とサーバの間を接続するネットワーク10より構成されている。
【0031】
図2は、情報配布サーバ200の構成要素の一例を表す図である。情報配布サーバ200は、送受信手段201、テーブル作成手段202、検索手段203、および記憶装置204を有する。ただし、本願発明における情報配布サーバ200の構成は図2に示すものに限定されず、本願発明の方法を実行できる構成であればどのようなものであってもよい。また、図2に示す各構成要素は、サーバのハードウェア上で動くオペレーティングシステム、ミドルウェアまたはアプリケーションソフトウェアによって実現されていてもよい。
【0032】
図3(a)は、利用者Aの端末300の構成要素を表した図である。利用者Aの端末300は、外部記憶装置301、演算装置303、主記憶装置304、通信装置306、キーボードによる入力装置307、マウスによる入力装置308、表示制御装置309、表示装置310などを具える。また、主記憶装置304上には、利用者Aの端末のオペレーティングシステム313、本願発明によるアプリケーションプログラム305を有する。ただし、本願発明における利用者Aの端末の構成は図3(a)に示すものに限定されず、本願発明の方法を実行できる構成であればどのようなものであってもよい。
【0033】
図3(b)は、利用者Bの端末320の構成要素を表した図である。利用者Aの端末320は、外部記憶装置321、演算装置323、主記憶装置324、通信装置326、キーボードによる入力装置327、マウスによる入力装置328、表示制御装置329、表示装置330などを具える。また、主記憶装置324上には、利用者Aの端末のオペレーティングシステム333、本願発明によるアプリケーションプログラム325を有する。ただし、本願発明における利用者Bの端末の構成は図3(b)に示すものに限定されず、本願発明の方法を実行できる構成であればどのようなものであってもよい。
【0034】
また、図4に本願発明による方法を実現するためのステップの一例を示し、これを用いて、以下に説明する。
【0035】
はじめに、利用者Aの端末300の主記憶装置304または外部記憶装置301は、開示対象となる4つの情報X1a、X2a、X3a、およびX4a、ならびにこれらの情報に対応する4つのフラグ情報Flg1a、Flg2a、Flg3a、およびFlg4aを各々関連づけられた状態で記憶315している(ステップS401)。ここで関連づけられるフラグ情報どのような情報であってもよく、いくつでもよい。たとえば、第1のフラグ情報として、各々の開示対象情報を特定するための番号または各々の開示対象情報のハッシュ値、第2のフラグ情報として開示者を特定するための認識票、の2つを各々の開示対象情報に関連づけて送信するなどしてもよい。フラグ情報の他の一例としては、開示対象情報を特定することはできないが、開示対象情報の絞り込みに使うことのできるキーワードでもよい。またフラグ情報の他の一例としては、後のステップで被開示者の端末に送られる開示対象情報を、記憶容量の限られた被開示者端末の記憶装置に記憶するか消去するかの優先順位を表す情報であってもよい。
【0036】
また、同様に利用者Aの端末300の主記憶装置上には、開示先データベース316として、開示先となる利用者の名前利用者B、利用者C、利用者D、および利用者Eと、各々の端末をネットワーク上で一意に特定するために必要な認識票IDb、IDc、IDd、およびIDeが関連づけられた状態で記憶されている。まず、利用者Aの端末の演算装置303が前記4つの情報を各々暗号化するための、k1a、k2a、k3a、およびk4aの4つの秘密鍵302を主記憶装置上304に生成する。これらは外部記憶装置301に記憶されてもよい。また、前記4つの開示対象情報X1a、X2a、X3a、およびX4aを各々に対応するフラグ情報Flg1a、Flg2a、Flg3a、およびFlg4aを各々、さらに前記前記秘密鍵k1a、k2a、k3a、およびk4aを各々、関連づけた状態315で主記憶装置にロードする。(ステップS402)。
【0037】
次に、利用者Aの端末の演算装置303が、主記憶装置304上にある本願発明によるアプリケーションプログラム305に定められた手続きに従って、前記4つの情報を前記4つの秘密鍵で各々暗号化し、Ek1a(X1a)、Ek2a(X2a)、Ek3a(X3a)、およびEk4a(X4a)を生成した上、これらを主記憶上に一旦記憶する(ステップS403)。ここで、たとえばEk1a(X1a)は情報X1aを、暗号化装置としての演算装置303によって秘密鍵k1aで暗号化した演算結果である暗号情報を表す。ここで用いる暗号化のアルゴリズムは、たとえばDES(Data Encryption Standard)、三重DES、AES(Advanced Encryption Standard)など、いかなる暗号アルゴリズムでもよい。次に、利用者Aの端末の通信装置306が、前記4つの演算結果Ek1a(X1a)、Ek2a(X2a)、Ek3a(X3a)、およびEk4a(X4a)の各々に、前記各々のフラグ情報を関連づけた状態で、ネットワーク10を通じて情報配布サーバ200に送信する。たとえば、演算結果Ek1a(X1a)は、前記ステップS401においてX1aと関連づけられたフラグ情報Flg1aと関連づけられた上で、サーバ200に送信される(ステップS404)。
【0038】
次に、サーバ200の送受信手段201が前記第2のステップでサーバに送信された、前記4つの演算結果と、各々に関連づけられた前記フラグ情報を受信する。次にサーバ200のテーブル作成手段202が、前記利用者Aの端末より受信した情報をデータベースとしてサーバの記憶装置204に記憶する(ステップS405)。
【0039】
次に、利用者Aの端末では、キーボード307やマウス308のような入力手段が受け付けた指示に従って、本願発明によるアプリケーションプログラム305は、表示制御装置309を通じて表示装置310に、グラフィカル・ユーザ・インタフェイス(以下GUIと称する)311を表示する。このGUI311上には、本願発明によるアプリケーションプログラム305から表示装置309を通じて表示装置310に送られる信号によって開示制御ウィンドウ312が表示される(ステップS406)。
【0040】
図5(a)には、利用者Aの端末300の表示装置310に表示された開示制御ウィンドウ312の一例を表す。開示制御ウィンドウ312は、開示先を表示する欄500、開示対象情報を表示する欄501、および開示状態表示と開示制御を行うチェックボックスの欄502よりなる。図3(a)乃至図5に示す一例では、開示先500として、利用者B、利用者C、利用者Dおよび利用者Eの4つの名前が表示されている。また同様に図3(a)乃至図5に示す一例では、開示対象情報としてX1a、X2a、X3a、およびX4aの4つの情報が表示されている。また、開示欄502には、前記4つの開示対象情報の各々に対応するチェックボックス503、504、505および506が表示されている。たとえば、最上部のチェックボックス503は、開示対象情報X1aの開示状態表示と開示制御をおこなうためのチェックボックスである。
【0041】
次に、利用者Aの端末300において、キーボート307またはマウス308が受け付けた入力によって、オペレーティングシステムがGUI311上のカーソル510を移動させ、たとえば利用者Bが選択されると、利用者Bの端末320に対する、利用者Aの端末300からの開示対象情報の開示制御が可能となる。さらにたとえば、図5(a)の状態から、X1aおよびX2aの二つの開示対象情報の左側にあるチェックボックス503および504に、マウス308などの入力によってカーソル510を移動させ、ボタンを下押しするなどすることで、図5(b)に示すようにチェックマークを表示させるとする。本願発明の一実施形態によれば、この操作は、本願発明によるアプリケーションソフトウェア305に対する、利用者Aの端末300から利用者Bの端末320への、情報X1aおよびX2aの情報開示の指示である(ステップS407)。以下では、図4(b)を参照して、利用者Aの端末300から利用者Bの端末320に対する、情報X1aおよびX2aの開示を例にとり、本願発明による方法を説明する。
【0042】
ここで、前記ステップS407においてGUI311を通じて利用者Aの端末から利用者Bの端末への開示が指示された情報X1aおよびX2aについて、利用者Aの端末においては、本発明によるアプリケーションプログラム305の指示に従い、演算装置303が、前記第1のステップで情報X1aを暗号化するために生成した秘密鍵k1aと、前記情報X1aの検索のために付けられたフラグ情報Flg1aを関連づけ、また前記第1のステップで情報X2aを暗号化するために生成した秘密鍵k2aと、前記情報X2aの検索のために付けられたフラグ情報Flg2aを関連づけた状態で主記憶装置304に一時的に記憶する。次に通信装置306は前記一時的に記憶したk1aとFlg1aの組およびk2aとFlg2aの組の、2組を、前記開示先データベース316から利用者Bの認識票IDbを検索した上これを利用して開示制御サーバ120を通じて、利用者Bの端末320に送信(12)する(ステップS408)。この時、前記各秘密鍵に関連づけるフラグ情報は前記ステップS404において、利用者Aの端末が、情報配布サーバ200に送信した暗号化された情報に関連づけられたフラグ情報のうち開示対象情報を一意に特定することのできるフラグ情報を含む、任意のフラグ情報であってよい。たとえば、前記ステップS404において、暗号化された情報の各々に、第1のフラグ情報として、各々の開示対象情報を一意に特定するための番号、第2のフラグ情報として開示者を一意に特定するための認識票、の2つを関連づけて情報配布サーバ200に送信している場合、ここで秘密鍵の各々にこれら第1および第2の2つのフラグを各々関連づけて、開示制御サーバ120に送ってもよい。
【0043】
次に、利用者Bの端末320において、前記ステップS408で、利用者Aの端末300が開示制御サーバ120を通じて利用者Bの端末320に送信した、k1aとFlg1aの組およびk2aとFlg2aの組、の2組の情報を、端末320の通信装置326が受信し、これを主記憶装置324に記憶した上で、さらに必要に応じて外部記憶装置321に記憶する(ステップS409)。
【0044】
次に、利用者Bの端末320の主記憶装置324上にある本願発明によるアプリケーションプログラム325が、通信装置326を通じて、サーバ200に対して、ステップS408で利用者Aの端末より送られたフラグ情報Flg1aおよびFlg1bを送信することで、サーバの記憶装置204に記憶されているデータベースに、Flg1aおよびFlg1bに各々関連づけられた暗号化された情報の検索を依頼する(ステップS410)。この検索依頼は、いつおこなってもよい。たとえば、前記ステップS408でFlg1aおよびFlg1bを利用者Aの端末300から受信した後直ちにおこなってもよいし、利用者Bの端末において、キーボード327やマウス328からの信号によって、サーバからの開示された情報取得の明示的操作が本願発明によるアプリケーションプログラムに対して行われた時に、前記情報配布サーバ200に対する検索依頼を行ってもよい、さらに、前記ステップS408より以前に、利用者Bの端末320が任意の情報を情報配布サーバ200より取得しておいてもよい。ただしこの場合、Aの端末より秘密鍵を受領するまでは、情報配布サーバ200より取得した情報は復号化ができないので、利用者Bの端末で利用することはできない。
【0045】
次に、サーバ200の検索手段203が、記憶装置204上のデータベースを検索し、その検索結果として前記ステップS410で利用者Bの端末320より検索依頼を受けた、Flg1aおよびFlg1bに関連づけられた情報である、Ek1a(X1a)およびEk2a(X2a)を、検索結果として、送受信手段201を通じて利用者Bの端末320に送信する(ステップS411)。
【0046】
次に、利用者Bの端末320の通信装置が、前記ステップS411でサーバ200より送信されたEk1a(X1a)およびEk2a(X2a)を受信し、これを主記憶装置に記憶する。次に受信した暗号化された情報のうち、Ek1a(X1a)を前記利用者Aの端末より開示制御サーバ120を通じて入手した秘密鍵k1aで、かつEk2a(X2a)を同じく前記利用者Aの端末より入手した秘密鍵k2aで、各々復号化し(ステップS412)、X1aおよびX2aを主記憶上に記憶した上で、本願発明によるアプリケーションプログラム325が、GUI323上表示された、開示された情報の表示ウィンドウ332上に利用者Aから開示された情報としてX1aおよびX2aを表示する(ステップS413)。図3(b)に示す一例では、利用者Bの端末320の表示装置330上に表示されたGUI331に表示された、開示情報表示ウィンドウ332には、利用者Aの端末300から開示された情報X1aおよびX2aが表示されている。
【0047】
なお、上述した実施態様では、利用者Aの端末300の通信装置306が暗号情報および秘密鍵を送信する送信装置として機能している。具体的には、通信装置306は生成された複数の暗号情報(Ek1a(X1a)、Ek2a(X2a)など)を、それぞれのフラグ情報(Flg1a、Flg2aなど)と関連付けた状態で情報配布サーバ200に送信して情報配布サーバ200の記憶装置204に記憶させる。一方、秘密鍵(k1a、k2aなど)は利用者Aの端末300の演算装置303で開示用情報(X1a、X2aなど)ごとに生成され、それぞれのフラグ情報と関連付けられた状態で、通信装置306によって開示制御サーバ120に送信される。
【0048】
そして、利用者Bの端末320は複合化装置として機能し、利用者Aの端末300の通信装置306および情報配布サーバ200の送信手段201を介して暗号情報を受信する。また、秘密鍵は、利用者Aの端末300の通信装置306および開示制御サーバ120の送信手段(図示せず)を介して受信する。このように、本実施態様では秘密鍵および暗号情報にはそれぞれのフラグ情報が関連付けられているため、秘密鍵と暗号情報とを別々のサーバに送信して管理して、それぞれのサーバを介して利用者Bに送信できるので、安全性が高い。ただし、本発明はこれに限定されず、暗号情報および秘密鍵がサーバを介さずに利用者Aから利用者Bに送信されることも排除されない。
【0049】
また、本発明による方法によれば、利用者Aから利用者Bの端末への任意の情報開示を取り消すこともできる。たとえば、図5(b)に示す状態、すなわち利用者Aの端末300が、これまで説明した本願発明による方法で利用者Bの端末に対して情報X1aおよびX2aを開示している状態で、利用者Aの端末のキーボード307またはマウス308の操作にしたがって、表示装置319上に表示されたGUI311上で、カーソル510を移動させ、開示対象情報X2に対応するチェックボックス504を、ボタンを下押しするなどして選択する。すると、本発明によるアプリケーションプログラム305に定めた手続きに従い、前記チェックボックス504からチェックマークを消去する(ステップS427)。これは、利用者Aの端末300から利用者Bの端末320への、開示対象情報X2aの開示取り消しの操作である。以下では図4(c)を参照して開示を取り消す場合のステップについて説明する。
【0050】
ここで、前記ステップS427でGUI311を通じて利用者Aの端末から利用者Bの端末への開示が取り消された情報X2aについて、利用者Aの端末の本発明によるアプリケーションプログラム305の指示に従い、通信装置306が、X2aに対応するフラグ情報Flg2aを、削除要求を表すコマンドやフラグ情報などとともに、開示制御サーバ120を通じて利用者Bの端末320に送る(ステップS428)。利用者Bの端末320の通信装置326が受信した(ステップS429)、前記削除要求を表すコマンドやフラグ情報とともに利用者Aの端末より送られたフラグ情報Flg2aを、主記憶装置324に一時的に記憶し、次に演算装置323が主記憶装置324または外部記憶装置321にあるFlg2aを検索したうえ、これに対応する秘密鍵k2aを削除する(ステップS430)。また、同様にこのフラグ情報Flg2aに対応する、復号化された状態で、利用者Bの端末320の主記憶装置324または外部記憶装置321に記憶されている、利用者Aの情報X2aを検索した上、これを削除する(ステップS431)。前記ステップS430とステップS431は逆の順番でもよい。このようにすることで、利用者Bの端末では利用者Aの情報を利用できなくなり、開示の取り消しが完了する。
【0051】
前記ステップS430およびS431において、利用者Bの端末から、利用者Aの秘密鍵k2aおよび開示対象情報X2aを削除する際に、前記ステップS409で開示制御サーバ120から受信して記憶したフラグ情報Flg2aと、前記ステップS411で情報配布サーバ200から受信して記憶した暗号情報Ek2a(X2a)は、利用者Bの端末の記憶装置から削除しても削除しなくともよい。もし、これらフラグ情報および暗号情報を削除せずに、再び利用者Aの端末より開示対象情報X2aを開示される、すなわち再び前記ステップS409のように、秘密鍵k2aとそのフラグ情報Flg2aを開示制御サーバから受信した場合には、再度情報配布サーバ200より暗号化情報を取り寄せる前記ステップS410およびS411の各ステップを省略しても、利用者Bの端末に復号化した開示対象情報X2aを表示することができる。
【0052】
本願発明で開示される情報は、氏名、住所、電子メールアドレス、各種通信サービスのアカウント情報、パスワードなどを含む個人情報、文書、写真、動画、秘密鍵、公開鍵などに限定されず、ウェブサイト上に掲載されるなどあらゆる情報であってもよい。
【0053】
また、これまで本実施形態では、情報1つに対して1個の秘密鍵で暗号化する方法を用いたが、複数の情報に対して共通の秘密鍵を利用して、各々の情報を暗号化してもよい。この場合には、開示者端末では、前記共通の秘密鍵とその秘密鍵に関連づけられたフラグ情報を、開示制御サーバ120を通じて被開示者端末に送ることで、前記複数の情報を一括して開示することもできる。
【0054】
また、他の一例として、再び図1を参照すると、利用者Aの端末300が前記各ステップを実行することで、利用者Bに対して情報X1aおよびX2aを開示しながら、さらに利用者Cの端末340に対して情報X2aおよびX3aを開示している一例が示されている。このように、本願発明による方法を用いて、一つの利用者の端末が、複数の利用者の端末へ任意の情報を開示していてもよい。
【0055】
また、本実施形態では、利用者Aの端末300から利用者B320への一方向の開示であったが、これと同時に前記各ステップの方法によって、利用者Bの端末320から、利用者Aの端末300への情報開示が、情報配布サーバ200および開示制御サーバ120を通じて、おこなわれてもよい。またこのような相互開示が複数の利用者の端末の間で相互に行われていてもよい。
【0056】
図6に示す一例では、相互開示が行われている場合に使われる表示および制御画面の一例として、利用者Aの端末300の表示装置310上に表示された、情報開示のためのウィンドウと開示された情報の表示のためのウィンドウとの機能を併せ持つ、情報交換ウィンドウ600の一例を示す。前記情報交換ウィンドウ600は、情報交換相手の欄601、開示対象情報の欄602、開示制御の欄603、および開示された情報の欄604よりなる。この一例では、前記ステップS404において、利用者Aの端末300が、暗号化した開示対象と関連づけて情報配布サーバ200に送信する、フラグ情報のひとつとして利用者Aの端末を特定するための認識票を含むとする。また利用者Aの端末300から他の利用者の端末への、本願発明による情報開示だけでなく、他の利用者の端末から利用者Aの端末への本願発明による情報開示についても、同様に前記フラグ情報に開示者の端末を特定できる認識票を含むとする。
【0057】
ここで図6(a)を参照すると、利用者Aの端末300のキーボード307やマウス308などの操作に従って、主記憶装置304上にある本願発明によるアプリケーションプログラム305の指示により、カーソル610を移動させ、表示装置310に表示された情報交換ウィンドウ600の上に表示された情報交換相手である利用者B609を選択が選択されると、開示対象情報欄602に、開示対象X1a、X2a、X3a、およびX4aが表示され、さらにこれらの開示対象情報の利用者Bの端末に対する開示状態が開示制御欄603に、チェックマークによって表示される。図6(a)に示す一例では、開示対象情報X1aおよびX2aに各々対応するチェックボックス605および606にチェックマークが付されており、このことによって利用者Aの端末300が、利用者Bの端末に対して、情報X1aおよびX2aを開示していることを示している。またこれと同じウィンドウ600上では、利用者Bが利用者Aに対して逆方向に開示している情報としてY1bおよびY2bが、開示された情報欄604に表示されている。ここで表示されている利用者Bの端末320が利用者Aに対して開示している情報も、本発明による前記方法によって開示が行われ、同じGUI600上に同時に表示されているものである。
【0058】
この状態でいつでも、開示制御については、カーソル610を表示装置上で移動させ、開示制御欄に表示された任意のチェックボックスを選択することで、任意の開示対象情報の、利用者Bの端末320への開示状態を変更することができる。たとえば、利用者Aの端末300の表示装置310において、図6(a)に示す状態で、カーソル610を開示対象情報X3aに対応するチェックボックス607まで移動させ、マウスのボタンを下押しするなどして、チェックボックス607を選択(ステップS407に相当)すると、このチェックボックス607にチェックマークが表示されると同時に、利用者Aの端末300が開示情報X3aに対応する秘密鍵k3aを、開示制御サーバ120を通じて、利用者Bの端末320に送る(ステップS408に相当)。利用者Bの端末320は、情報配布サーバ200から暗号化されたEk3a(X3a)を取得し、これを前記秘密鍵k3aで復号化した上で(ステップS412に相当)その表示装置上に利用者Aの端末300から利用者Bの端末320に開示された情報X3aを表示する。(ステップS413に相当)。
【0059】
たとえば、利用者Aの端末300の表示装置310において、図6(a)に示す状態で、カーソル610を開示対象情報X1aに対応するチェックボックス605まで移動させ、マウスのボタンを下押しするなどして、チェックボックス605を選択すると、このチェックボックス605にチェックマークが消去されると同時に(ステップS427に相当)、利用者Aの端末300が開示情報X1aに対応する秘密鍵k1aおよび開示対象情報X1aの消去を、利用者Bの端末320に依頼する(ステップS428に相当)。利用者Bの端末の本願発明によるアプリケーションソフトウェア325は、その主記憶装置および外部記憶装置から前記秘密鍵k1aおよび開示対象X1aの消去をおこなう(ステップS430およびステップS431に対応)。こうすることで、利用者Bはもはや暗号化された情報Ek1a(X1a)の復号化をできなくなり、利用者Bの端末の表示装置上に利用者Aの開示対象情報X1aを表示できなくなる。
【0060】
この状態で、本願発明によれば、たとえば利用者Bの端末320に記憶された情報X1b、X2b、X3b、およびX4bを、前記各ステップによって利用者Aの端末に開示することができる。この場合、これら各々の情報に対応する秘密鍵k1b、k2b、k3b、およびk4bと、これら各々の情報に対応するフラグ情報Flg1b、Flg2b、Flg3b、およびFlg4bが使われる。
【0061】
図6(b)に示す一例は、利用者Bの端末の表示装置330に表示されたGUI332中に、前記相互開示ウィンドウを表示した状態である。図6(b)に示す一例では、情報交換相手として利用者A629が選択されている結果、開示対象情報欄622には、利用者Bの端末が利用者Aの端末に開示している情報が開示制御欄623に表示されたチェックマークで表示されており、開示された情報欄624には、利用者Bの端末が利用者Aの端末より開示されている情報が表示されている。図6に示す一例では、利用者Aが利用者Bに対して情報X1aおよびX2aを、また利用者Bが利用者Aに対して情報X1bおよびX2bをそれぞれ開示している。図6(a)はこの状態を利用者Aの端末から見たものであり、図6(b)は同じ状態を利用者Bの端末から見たものである。この状態でいつでも、利用者Aは開示制御欄603の、また利用者Bは開示制御欄623のチェックボックスを選択することで、前記の方法によって新たな情報を相手に開示したり、開示済の情報の開示を取り消したりすることができる。
【0062】
これまでの説明は、利用者Aの端末と利用者Bの端末との、2つの端末間の情報の相互開示であったが、これは任意の数の端末間の相互開示であってよい。図7に示す一例は、利用者Aの端末の表示装置310のGUI311上に表示された相互開示ウィンドウ600において、情報交換相手として利用者C611が選択された状態である。この状態では利用者Aの端末300は利用者Cの端末340に対して情報X2aおよびX3aを、また利用者Cの端末340は利用者Aの端末300に対して情報X1c、X2c、およびX3cを開示している。この状態でいつでも、利用者Aは、情報交換相手欄601で任意の情報交換相手を選択することで、異なる情報交換相手との情報の開示、被開示を表示および制御することができる。
【0063】
このように複数の端末間の相互開示においては、情報配布サーバ200には、図8に示すように各々の端末から登録された、暗号化された情報およびその各々に関連づけられたフラグ情報が記憶され、被開示者からの特定のフラグ情報についての検索要求に応じて任意の暗号化された情報を被開示者の端末に送信する。
【0064】
複数の端末が互いに情報を開示している状態では、各々の端末の記憶装置には、フラグ情報の関連づけられたその端末自身の開示対象情報と、同じようにフラグ情報の関連づけられた他の端末から開示された情報とが記憶されている。この状態で、各々の検索手段は、その端末自身の開示対象情報と開示された情報のなかから、特定のフラグ情報に関連づけられた情報を検索し、それを表示することができる。たとえば、図6(a)および図7に示す利用者Aの端末においては、利用者Aの端末の記憶装置には、利用者Aの開示対象情報X1a、X2a、X3a、X4a、利用者Bから開示された情報X1b、X2b、さらに利用者Cから開示された情報X1c、X2c、X3cが、各々のフラグ情報と関連づけられて記憶されている。フラグ情報の一つが検索用のキーワードである場合、利用者Aの端末の、主記憶装置304上にある、本願発明によるアプリケーションプログラム305の指示によって演算装置303が、キーボード307などで入力されたキーワードの関連づけられた情報を、上記情報の中から検索するなどして、利用者Aの望む情報を表示装置310上の相互開示ウィンドウ600上に表示することができる。
【0065】
本願発明では、開示対象情報と、開示関係を決める秘密鍵は、各々独立して被開示者端末に送られ、各々独立して制御できる。この性質を利用すると、端末における情報のバックアップが可能となる。たとえば、図1を参照すると、利用者Aの端末300の主記憶装置304および外部記憶装置301にある情報が何らかの理由ですべて消失したとする。本願発明による方法では、この時に、情報配布サーバ200に記憶されている暗号化情報のフラグ情報に、利用者Aの端末をネットワーク上で特定するための情報が含まれていれば、これらフラグ情報を利用して、情報配布サーバ200は、暗号化情報Ek1a(X1a)、Ek2a(X2a)、Ek3a(X3a)、およびEk4a(X4a)を、利用者Aの端末300に送信することができる。さらに秘密鍵k1aおよびk2aは利用者Bの端末320に、また秘密鍵k2aおよびk3aは利用者Cの端末340に、各々のフラグ情報と関連づけて記憶されているので、利用者BおよびCの端末は、これらフラグ情報を利用して、開示制御サーバ120を通じて、利用者Aの端末300に秘密鍵k1a、k2aおよびk3aを送信することができる。このようにして、利用者Aの端末は暗号化情報を情報配布サーバ200から、また秘密鍵を開示制御サーバ120からそれぞれ受領することで、開示対象情報X1a、X2a、およびX3aを復元することができる。
【0066】
ただし、この時、図1を参照すると、Aの端末300で消失した開示対象情報X4a秘密鍵k4aは、他の端末に一切開示されていない。したがって、利用者Aの端末300に記憶された秘密鍵k4aが消失すると、これを復元する手段がなく、たとえ図1のように情報配布サーバ200に暗号化情報Ek4a(X4a)が記憶されており、これを利用者Aの端末に戻せたとしても、利用者Aの端末300で、開示対象情報X4aを復元することができない。この問題を解決するために、利用者Aの端末300が、誰にも開示していない開示対象情報X4aに対応する秘密k4a鍵は、開示制御サーバ120に記憶するか、あるいは他の信頼できる利用者の端末に記憶しておく。利用者Aの端末300で情報が消失した場合には、この秘密鍵を受け取ることで、開示対象情報X4aを受け取ることができる。このように本願発明によれば、従来の方法で必要だった明示的なバックアップ操作をあらかじめ行わなくとも、利用者Aの端末の開示対象情報が消失した時に、これらを復元することができる。
【0067】
また、本願発明によれば、開示対象情報と、開示関係を決める秘密鍵を各々独立して制御できることを利用して、開示関係を保ったまま、開示制御をおこなう権限を他の端末に移動、または他の端末と共有することができる。たとえば、図1に示す状態で、利用者Aの端末300から、情報の開示関係を決める秘密鍵k2aおよびk3aを利用者Cの端末340に、開示制御サーバ120を通じて移動する。すなわちk2aおよびk3aを利用者Cの端末へ送った後に、これらを利用者Aの端末から削除する。このようにすることで、情報X2aおよびX3aの開示権を利用者Cの端末に移動させることができる。ただし、この開示権の移動の前後で、たとえば、X2aが利用者Bの端末320に開示されているという、開示状態には変化がない。このようにして、開示関係を保ったまま開示制御をおこなう権限を利用者Aの端末300から利用者Cの端末340に同様に、開示対象ごとに移動させることができる。同様に、秘密鍵とそれを制御する権限を異なる端末との間で共有することで、開示権を共有することもできる。
【0068】
開示者端末から、他の端末への前記秘密鍵の移動や共有によって、開示対象情報ごとに開示を制御する権限を移動または共有を行えるのと同様に、前記秘密鍵を受け取った被開示者端末から、さらに他の端末への前記秘密鍵の移動や共有をおこなうことによって、被開示者端末での被開示情報の再開示を制御することもできる。
【0069】
前記バックアップや、開示権の移動や共有は、すべてこれらは、開示対象情報ごとの秘密鍵を用いて、開示対象情報とその開示状態が独立して制御できるという、本願発明の性質を利用したものである。この性質によって、本願発明には以下のような効果がある。
【0070】
第一の効果は、開示対象情報と開示状態を独立して変更できる点である。従来の方法によれば、たとえば利用者Aの端末から利用者Bおよび利用者Cの端末に対して情報X2aを開示する場合、利用者Aの端末はX2aの複製を利用者Bおよび利用者Cの端末に送信し、利用者Bおよび利用者Cの端末では、X2aの複製を受信した後、各々の記憶装置に記憶し、利用者Bまたは利用者Cの端末に対する入力装置の指示に従って、各々の端末の記憶装置に保存されているX2aの複製を表示装置に表示していた。この従来の方法によれば、利用者Aの端末において情報X2aがX2a’に更新された場合、利用者Aは明示的に利用者Bの端末および利用者Cの端末にX2a’の複製を送信する操作をおこなう必要があった。すなわち、従来の方法によれば、情報の開示にあたって、開示者は、開示対象の情報と開示先の両方を明示的に指定した上で被開示者の端末に送信する必要があった。
【0071】
一方で、本願発明による方法では、開示者である利用者Aは、対象の情報と、その開示状態(開示先)を独立して変更できる。たとえば、利用者Aの端末300において、開示対象となる情報X2aがX2a’に更新された場合でもこれに対応する秘密鍵k2aおよびフラグ情報Flg2aは変わらない。したがって、利用者Aの端末300がそれを秘密鍵k2aで暗号化したEk2a(X2a’)を情報配布サーバ200に送信し、情報配布サーバ200は、情報配布サーバの記憶装置204のデータベース上でこのEk2a(X2a’)とフラグ情報Flg2aと関連づけて保持しておくことで、利用者Aは明示的に利用者Bおよび利用者Cへ更新されたX2a’を送信しなくとも、利用者Bの端末320および利用者Cの端末340への開示状態を変更することなく、利用者Bの端末320および利用者Cの端末340から、更新された情報が利用可能となる。逆に、利用者Aの端末において、開示対象となる情報X2aを変えずに、これまで利用者Bの端末と利用者Cの端末の両方に開示していたところ、さらに利用者Dの端末にも開示をするという、開示状態の変更をおこなう場合でも、開示対象となる情報X2a、秘密鍵k2a、およびフラグ情報Flg2aには何ら変更を加えることなく、開示制御サーバを通じて秘密鍵k2aとフラグ情報Flg2aを利用者Dの端末に送るだけで、情報X2aの開示状態を変更することができる。このように、本願発明による方法は、開示者である利用者Aは、開示対象となる情報と、その情報の他者端末への開示関係を独立して変更できるという特徴をそなえる。
【0072】
第二の効果としては、従来の方法と比較して情報開示制御が容易になる点である。従来の方法によれば、サーバを通じて特定の情報を特定の開示先に限定して開示する場合、情報配布サーバがユーザ名、パスワードなどの方法で利用者を認証した後、開示者があらかじめ設定した開示先に対してのみ限定的に開示対象となる情報を送っていた。この方法では、サービス事業者があらかじめすべての利用者のユーザ名やパスワードをデータベースとして持ち、情報の被開示を求める利用者を認証する必要があった。また、端末においても、個々の情報ごとに開示先を設定するための制御手段や、それを開示者が制御するためのGUIが複雑になるという問題があった。これに対して本願発明による方法は、開示者が被開示者に対して秘密鍵やフラグ情報を被開示者に送信する手段さえあれば、従来の方法で必要であったユーザ名やパスワードの管理が不要となり、さらに端末における開示制御やそのためのGUIが単純になるという特徴を具える。このため、従来の方法に比べて、より柔軟な情報開示が可能となる。
【0073】
第三の効果としては、秘密保持が容易となる点である。従来の方法によれば、開示対象情報は、平文で情報配布サーバに保管され、被開示者からの要求にしたがって、被開示者の端末に送信される。従来の方法でも、秘密保持を目的として、たとえばSSL(SecureSocket Layer)などの方法によって、ネットワークの通信経路においての暗号化は行われるが、情報配布サーバでは、平文で保管される。このため、情報開示サーバ自体が何らかの事情で公開されてしまうと、この情報配布サーバ上のすべての情報が公開されてしまうという問題があった。また、一般に被開示者の認証手段は必ずしも充分ではなく、開示者が指定した者以外の被開示者に対して情報が開示される危険もあった。ところが本願発明の方法によれば、すべての開示対象情報は、各々対応する秘密鍵で暗号化された状態で情報配布サーバに記憶されているため、万一情報配布サーバの内容が公開されたとしても、これらを復号化するために必要な秘密鍵を入手しない限り、情報配布サーバの秘密は保持される。本願発明による方法では、これらの秘密鍵は数多くの端末に散在しているため、これらをすべて入手することは事実上困難であり、情報配布サーバ上にある情報の秘密保持は容易である。
【0074】
第四の効果としては、記憶装置の記憶容量が小さな端末でも、その小さな記憶装置を有効に利用して、情報のやりとりが可能となる点である。従来の方法では、被開示者の端末では、開示者より開示された情報を受け取ると、その記憶装置に受け取った開示された情報を記憶しておく必要があった。このため、端末の記憶装置の容量が小さい場合には、多くの開示された情報を保持できない。他の従来の方法では、被開示者が開示対象情報を要求する毎に情報配布サーバより取得することで、被開示者の端末の記憶装置に開示された情報を記憶する必要がなく、前記被開示者の端末の記憶装置の容量が小さくてもよい。しかし、この場合にはネットワークに接続していない場合に、開示された情報が利用できないという問題があった。本願発明による方法では、被開示者の端末の記憶装置には、開示された情報の秘密鍵を記憶している。前記第一の効果で述べたように、本願発明による方法では、これら開示状態を規定する秘密鍵は、開示される情報とは独立している。したがって、開示される情報は、被開示者の端末の記憶装置にあっても、情報配布サーバにあっても、さらには開示者の端末や、第三者の端末にあってもよい。このため、被開示者がネットワークに接続していない場合にも利用したい情報のみを被開示者の端末の記憶装置に記憶しておき、その他の情報は必要に応じて情報配布サーバから取得するなどの方法で、柔軟に開示された情報を利用することができる。すなわち、本願発明による方法では、被開示者の端末では、その記憶装置の容量や、開示される情報の性質にあわせて、開示される情報を柔軟に管理できるという特徴を具える。
【0075】
第五の効果としては、開示される情報のバックアップが容易な点である。従来の方法によれば、開示された情報は、被開示者の端末の記憶装置に、情報配布サーバや開示者の端末に存在する情報とは独立して保存されていた。このため、何らかの事情で被開示者の端末の記憶装置の情報が失われた場合、被開示者は情報を失う。これを防ぐために、被開示者はその端末の記憶装置の内容を他の記憶装置にバックアップをとることが多い。しかし本願発明による方法では、たとえば、被開示者の端末の記憶装置の内容がなんらかの事情で失われたとしても、開示者の端末から、開示される情報に対応する秘密鍵とフラグ情報を受領することで、開示された情報を再び利用可能となる。すなわち、被開示者はその端末の記憶装置のバックアップを明示的にとらなくとも、失われた情報を復元できるという特徴を具える。
【0076】
第六の効果としては、ネットワーク全体の、複写された情報の量を減らすことができる点である。従来の方法による情報開示では、複数の被開示者に情報を開示する場合、開示者の端末で被開示者の数だけの情報の複製を作り、これをすべての被開示者の端末に送り、すべての被開示者の端末ではこの複製を記憶装置に記憶していた。このため、ネットワーク全体では、同じ情報の複製が数多く作られ、これを複数の端末で重複して記憶していた。しかし、本願発明による方法では、被開示者の端末で必ず保存しておかなければならないのは、開示された情報に対応する秘密鍵である。したがって、ネットワークに接続しない時に必要な情報を除き、被開示者端末で、開示された情報の複写を記憶しておく必要はない。この結果、従来の方法と比べて、ネットワーク全体の複写された情報の量を減らすことができるという特徴を具える。
【図面の簡単な説明】
【0077】
【図1】情報配布サーバと開示制御サーバによる情報開示システムの説明図。
【図2】情報配布サーバの構成要素の一例を説明する図。
【図3a】端末の構成要素の一例を説明する図。
【図3b】端末の構成要素の一例を説明する図。
【図4a】本願発明による各ステップを説明するフロー図。
【図4b】本願発明による各ステップを説明するフロー図。
【図4c】本願発明による各ステップを説明するフロー図。
【図5a】情報開示の制御をおこなうためのグラフィカル・ユーザ・インタフェイスの一例を説明する図。
【図5b】情報開示の制御をおこなうためのグラフィカル・ユーザ・インタフェイスの一例を説明する図。
【図6a】複数の端末間で相互に情報開示の制御をおこなうためのグラフィカル・ユーザ・インタフェイスの一例を説明する図。
【図6b】複数の端末間で相互に情報開示の制御をおこなうためのグラフィカル・ユーザ・インタフェイスの一例を説明する図。
【図7】複数の端末間で相互に情報開示の制御をおこなうためのグラフィカル・ユーザ・インタフェイスの一例を説明する図。
【図8】複数の端末間で相互に情報開示をおこなっている時の、情報配布サーバの記憶装置の状態を説明する図。
【符号の説明】
【0078】
10 ネットワーク
120 開示制御サーバ
200 情報配布サーバ
300、320、340 利用者端末
【技術分野】
【0001】
本願発明は、情報端末間での情報交換装置に関する。
【背景技術】
【0002】
近年、情報通信技術の発展により、パーソナルコンピュータ(PC)、携帯型個人情報端末(以下、PDAと称する)、及び携帯電話など、ネットワークに接続して利用される情報通信機器が普及してきている。また、デジタルカメラ、ビデオカメラ、携帯型音楽プレーヤー、ゲーム機、携帯型ゲーム機、ビデオレコーダなどの様々な民生機器も、ネットワークへの接続が進んでいる。これらの様々な情報機器がインターネットで接続されることで、多様なサービスが生まれ、利便性が向上している。
【0003】
この種のサービスのなかで最も顕著なものは、情報通信におけるウェブ(web)をベースとした情報開示である。ウェブ(web)の普及によって、万人に等しく世界に向けた情報発信の機会が与えられるようになったのみならず、映画や音楽などの有料コンテンツを配信し、さらに決済手段を提供するなど、その用途は急速に拡大している。
【0004】
しかし一方で、これら各種情報機器のネットワーク化によって、保護されるべき情報が情報所有者の意志に反して流出したり、ネットワーク上で公開されたりする危険性が高まっている。この問題は、個人情報保護に対する関心の高まりや法制化とも相まって、社会的に大きな問題になりつつある。
【0005】
これは、ウェブ(web)をベースにとした情報開示技術が、全世界に対する公開を基礎としていることに一因がある。現実に、世界中のウェブサイトの情報のほとんどは、誰でも閲覧が可能である。情報によって閲覧可能な人を限定する必要がある場合には、ユーザ名やパスワードなどの認証手段によってウェブサイトにある情報に対するアクセスを限定する方法が用いられるが、「誰にどの情報を開示するのか」を制御するという観点で情報開示の柔軟性に欠け、管理運営に手間やコストがかかる。そのため、一般のインターネット利用者には運用が困難である。また、ほとんどの場合、その安全性は高くない。現実には、保護すべき情報の実体がウェブサーバにファイルとして存在しているので、様々な技術的、人的手段によってこれが流出する事態が起こっている。
【0006】
様々な情報機器のネットワーク化によるもう一つの問題は、ネットワークを通じてやりとりされる情報量が急速に増大した結果、利用者による情報の保守、管理が困難になりつつあるという点である。インターネット上で他者が管理し公開している情報の量、および各種情報端末で自らが管理している個人的な情報の量、の両方が爆発的に増大した結果、必要な情報を必要な時に利用することが難しくなっている。
【0007】
インターネット上で他者が管理し公開している情報に関しては、これら各種情報端末からインターネット上の必要な情報を効率よく検索する技術が提案されており、利用者は、利便性を損なわずにより多くの情報を利用できるようになってきた。現在、検索技術は、情報通信技術の中でも主要な地位を占めるに至っている。(特許文献1)
【0008】
一方、これら各種の端末で利用者自らが管理している個人的な情報(各種個人情報、私信、写真、ビデオなど)の、インターネットを通じたやりとりのためには、電子メールのやり取りによる個人情報の入手、開示及びそれを基にした各種端末の情報同期方法が一般的である(例えば、特許文献1参照)。しかしながら、この手段には、情報の入手において、他人から更新情報を必ず受け取れるという保障がなく、情報入手の確実性に欠けるという問題があった。また、たとえば電子メールで受領した情報を自らデータベースに入力する必要があるなど、入手した情報の管理に手間がかかるという問題もあった。
【0009】
これらの問題を解決する手段として、ウェブサーバ上での個人的情報の同期および開示が提案されている(特許文献2)。さらにその延長で、ソーシャル・ネットワーク・サービス(SNS)と呼ばれる、個人的な情報をサーバ上で、開示先を限定してやりとりすることのできるサービスが近年普及している(特許文献3)。この手段では、事業者がサーバを立ち上げて会員を募り、ユーザ名及びパスワードの登録、フォルダの共有などの認証手段を確保した上で、前記サーバ上に会員各人が個人情報をアップロードする。この手段によれば、他人の情報が更新されたときに、自分のデータベースが自動的に更新されるため、他人の情報を含めて、常に最新で一貫性のある情報を閲覧することが可能となる。また、自らの知人といった特定人にのみ情報を開示することも可能となる。そして、日記や写真など限られた情報のみを開示することも可能となる。しかしながら、ウェブサーバにあるリモートデータへのアクセスとなるため、動作が遅く不安定であるという問題もあった。そして、すべての個人情報がサーバに集中しているため、それを管理する事業者のリスクが大きいという問題もあった。さらに、ユーザ名とパスワードなど、弱い認証手段が用いられているため、機密性の高い情報には使えないという問題もあった。
【0010】
更にこのSNSのような、ウェブサーバ上での個人的情報の開示および同期のサービスにおいては、サーバの維持管理のための資金を事業者が得ることが不可欠であり、通常ウェブサイト上に掲載される広告などでその資金をまかなっている。そのために会員数の増大は欠かせない。ところが、一般の(公開されている)ウェブサイトはすべて無料であることから、この種の個人的情報のやりとりのサービスであっても、利用者に課金することは困難である。ここに、この種のサーバを使った個人的情報の開示や同期をおこなうサービスの品質や守秘性が向上しない理由があった。
【特許文献1】米国特許第6,665,837号明細書
【特許文献2】米国特許第7,080,104号明細書
【特許文献3】米国特許第7,069,308号明細書
【発明の開示】
【発明が解決しようとする課題】
【0011】
様々な情報端末での開示対象情報の入手および開示に関して、現在提案されている電子メールもしくはウェブを前提とした方法の具体的な課題は、以下の6点である。開示対象情報の例としては、個人の電話番号、住所、電子メールアドレスなどの属性情報や、写真、ビデオ、日記、スケジュール、診療履歴、職務経歴、現在いる位置、公開鍵、秘密鍵などの個人が所有する情報、団体や法人の電話番号、電子メールアドレス、人事情報などの団体や法人の構成員に関わる情報、あるいは団体や法人の運営に関わる組織情報、財務情報、営業情報、顧客情報などの団体や法人が所有する情報など、何であっても良い。
【0012】
第一に端末間の情報一貫性の欠如、第二に他者から開示された情報管理の困難さ、第三に自分の情報開示管理の困難さ、第四に情報開示の柔軟性欠如、第五に開示後の情報制御の困難さ、そして第六にウェブを用いた開示対象情報の開示管理サービスの維持が経済的な面から困難であることである。これらの問題は、既に提案されている、電子メールによる情報交換、あるいはウェブサーバでの情報開示および同期などの方法では経済的合理性のある解決は難しく、またインターネット上で公開された情報から必要な情報を検索することを目的とする、既存の検索技術の精度を向上することでは解決できない問題である。
【0013】
第一の、端末間の情報一貫性の欠如は、特定の端末にある情報の複製が、ネットワークで接続された他の端末に記憶されている時、前記特定の端末に記憶されている情報が更新されても、他の端末に記憶された情報が、明示的操作をおこなわないと更新されないという問題である。たとえば、利用者Aがその端末にあった電話番号の複製を利用者Bの端末に送信した後、利用者Aの電話番号が変更された場合、利用者Aの端末から利用者Bの端末に、明示的に電子メールを送信するなどの操作が行われない限り、利用者Bの端末に記憶されている利用者Aの電話番号は変更されない。これは、たとえば利用者Aが複数の端末を使っている場合にも起こる問題である。たとえば据置型PC、携帯型PC、および携帯電話の三台の端末を使っている利用者Aが、携帯型PCの電話帳を更新しても、据置型PCや携帯電話に対して利用者が入力をおこなうか、明示的に情報同期の操作を行うまでは、これらの端末の電話帳は更新されない。管理する情報や、その複製を送信する相手や端末が増えると、利用者は端末の更新状態を管理し切れなくなり、端末間の情報一貫性が保てない。
【0014】
第二の、他者の情報管理の困難さは、主として電子メール等で送られてくる他者の開示対象情報を管理しきれないという問題である。たとえば、他者の電話番号の変更があった場合、電子メールで送られてきた情報を自ら住所録などに入力して管理するのが一般的であるが、情報量が多いとその住所録を常に最新の状態に保つには多くの労力を必要し、多くの利用者は、住所録を適切に管理できていない。
【0015】
第三の、自分の開示管理の困難さは、自分の開示対象情報を更新した場合、明示的に電子メールなどで知人に対して通知を出す必要があるという問題である。たとえば、自分の電話番号や勤務先が変わった場合、新たな情報を電子メール等で知人に知らせるが、通知すべき人や情報が多いと、必要な人に必要な情報をすべて通知しているとは限らず、また誰に通知して誰に通知しなかったかを開示対象情報の所有者自身が把握できなくなる。
【0016】
第四の、情報開示の柔軟性欠如は、情報所有者の望みどおりに、特定の開示対象情報を特定の相手に開示することが難しいという問題である。ウェブで開示対象情報の開示を行えば、上記の電子メールなどによる情報開示管理の困難は回避できるが、ウェブは基本的にすべての情報を全世界に公開するものであるし、前記SNSなどのような方法でも、たとえば「日記を友人に開示」といった大まかな区分での開示制御しかできない。電子メールによる情報開示では、開示管理の柔軟性は維持できるが、上に述べたように、開示管理が煩雑となる。つまり、上記の第三の問題と、この第四の問題は相反関係にあり、最適な方法がない。
【0017】
第五の、開示後の情報制御の困難は、現在の通信方法では、一度開示してしまった開示対象情報は、開示先に所有権が移るため、原則的に情報所有者による制御は不可能である、という問題である。たとえば、電子メールで送ったり、ウェブサイトに入力したりした開示対象情報は、それ以降は開示先の所有する情報として扱われるため、開示先が好きなように利用や再開示することができ、本来の開示対象情報の所有者による制御ができない。これが、個人情報の流出などの様々な社会問題を生む原因となっている。
【0018】
第六の、ウェブを用いた開示対象情報の開示管理サービスの維持が経済的な面から困難である問題は、現在のインターネット環境において、ほぼすべてのウェブサイトや検索技術が無料で利用できることから、利用者が既に使っている電子メール以外のソフトウェアやサービスに、そこから得られる利便性向上の対価を支払う意志が生まれにくいという事情からくる。SNSなどのサービスが、ウェブや電子メールほど大きく広がらず、品質も向上しない理由がここにある。これまで述べた具体的問題を解決するためには、個人的情報の開示管理サービスに対して、サービス事業者が充分にその対価を得られるような事業モデルの開発が不可欠であるが、これまでは成功していない。
【課題を解決するための手段】
【0019】
本発明の第一態様によれば、開示者に関する複数の開示用情報を記憶する記憶装置と、 前記複数の開示用情報のそれぞれに対応して用意された複数の秘密鍵を用いて前記複数の開示用情報それぞれを暗号化した暗号情報を複数生成する暗号化装置と、 前記複数の暗号情報および前記複数の秘密鍵を送信する送信装置と、 前記複数の暗号情報から任意に選択された暗号情報と、前記複数の秘密鍵のうち当該選択された暗号情報についての秘密鍵を受信し、当該選択された暗号情報を当該秘密鍵により複合化する復号化装置と、を設けたことを特徴とする情報交換装置が提供される。
【0020】
本発明の第二態様によれば、前記第一態様において、前記記憶装置は、前記複数の開示用情報それぞれのフラグ情報を、前記開示用情報と前記フラグ情報とをそれぞれ関連付けた状態でさらに記憶し、 前記暗号化装置は、生成された前記複数の暗号情報それぞれを、対応する開示用情報のフラグ情報と関連付けて前記記憶装置に記憶させ、 前記送信装置は、前記複数の暗号情報を、それぞれの前記フラグ情報と関連付けた状態で送信し、 前記復号化装置は、前記複数の暗号情報から任意に選択された暗号情報についてのフラグ情報を検索キーとした検索によって当該暗号情報を得て復号化を行う情報交換装置が提供される。
【0021】
本発明の第三態様によれば、開示者に関する複数の開示用情報と、これら複数の開示用情報それぞれのフラグ情報と、を、前記開示用情報と前記フラグ情報とをそれぞれ関連付けた状態で記憶する記憶装置と、 前記複数の開示用情報のそれぞれに対応して用意された複数の秘密鍵を用いて前記複数の開示用情報それぞれを暗号化した暗号情報を複数生成し、生成された前記複数の暗号情報を、対応する開示用情報のフラグ情報と関連付けて前記記憶装置に記憶させる暗号化装置と、 前記複数の暗号情報を、それぞれの前記フラグ情報と関連付けた状態で送信する送信装置と、を設けたことを特徴とする情報交換装置が提供される。
【0022】
本発明の第四態様によれば、前記第三態様において、前記複数の暗号情報から任意に選択された暗号情報についてのフラグ情報を検索キーとした検索によって当該暗号情報を得るとともに、当該選択された暗号情報についての秘密鍵を受信して暗号情報を当該秘密鍵により当該選択された復号化する復号化装置をさらに設けたことを特徴とする情報交換装置が提供される。
【0023】
本発明の第五態様によれば、前記第二または第三態様において、前記送信装置は、前記複数の開示用情報それぞれのフラグ情報と当該複数の開示用情報からそれぞれ生成された前記複数の暗号情報とを関連付けた状態で第1のサーバに送信して当該第1のサーバに記憶させ、前記複数の開示用情報それぞれのフラグ情報と当該複数の開示用情報のそれぞれに対応して用意された前記複数の秘密鍵とを関連付けた状態で第2のサーバに送信して当該第2のサーバに記憶させ、 前記復号化装置は、前記複数の暗号情報から任意に選択された暗号情報を前記第1のサーバから受信し、前記複数の秘密鍵のうち当該選択された暗号情報についての秘密鍵を前記第2のサーバから受信する情報交換装置が提供される。
【0024】
本発明の第六態様によれば、前記第一から第五のいずれかにおいて、前記開示用情報と当該開示用情報についての前記秘密鍵とは、互いに独立して設定、変更、および消去されるように構成されている情報交換装置が提供される。
【0025】
本発明の第七態様によれば、前記第一から第六のいずれかにおいて、前記複数の開示用情報の少なくとも1以上は、複数のサブ開示情報を含む情報交換装置が提供される。
【0026】
本発明の第八態様によれば、前記第一から第七のいずれかにおいて、前記複数の開示用情報が表示され、前記複数の開示用情報のうち前記開示者により被開示者に開示される情報として選択された開示情報が指定される入力装置をさらに設け、 前記送信装置は、前記入力装置に前記開示情報を指定する入力が行われると当該開示情報について生成された暗号情報を、当該開示情報についてのフラグ情報と関連付けて送信する情報交換装置が提供される。
【0027】
本発明の第九態様によれば、前記第八において、前記入力装置は、前記開示情報を非開示状態に変更する非開示入力機能を備え、 前記送信装置は、前記入力装置に前記開示情報を非開示状態にする入力が行われると当該開示情報、当該開示情報について生成された暗号情報、当該開示情報を暗号化する秘密鍵のいずれか1以上を削除する削除コマンドを生成して生成された削除コマンドと当該開示情報のフラグ情報とを関連付けた状態で送信する情報交換装置が提供される。
【発明の効果】
【0028】
本発明によれば、情報やその情報の開示先に変更があった場合でも、容易に情報の一貫性を保って情報管理ができる。また、情報の開示制御が容易となり、意図せざる情報流出の防止を図ることができる。
【発明を実施するための最良の形態】
【0029】
以下に本願発明を実施するための現在考えられる最善の形態について説明する。本願発明の範囲は、添付特許請求の範囲によって明確に定義されているため、この説明は限定的な意味に解釈すべきではなく、単に発明の一般原理を例示する目的で行う。
【0030】
図1は、本願発明の実施形態に係る情報交換システムの一例の全体図である。この情報交換システムは、情報配布サーバ200、開示者である利用者Aの端末300、被開示者である利用者Bの端末320および利用者Cの端末340、開示制御サーバ120、およびこれらの端末とサーバの間を接続するネットワーク10より構成されている。
【0031】
図2は、情報配布サーバ200の構成要素の一例を表す図である。情報配布サーバ200は、送受信手段201、テーブル作成手段202、検索手段203、および記憶装置204を有する。ただし、本願発明における情報配布サーバ200の構成は図2に示すものに限定されず、本願発明の方法を実行できる構成であればどのようなものであってもよい。また、図2に示す各構成要素は、サーバのハードウェア上で動くオペレーティングシステム、ミドルウェアまたはアプリケーションソフトウェアによって実現されていてもよい。
【0032】
図3(a)は、利用者Aの端末300の構成要素を表した図である。利用者Aの端末300は、外部記憶装置301、演算装置303、主記憶装置304、通信装置306、キーボードによる入力装置307、マウスによる入力装置308、表示制御装置309、表示装置310などを具える。また、主記憶装置304上には、利用者Aの端末のオペレーティングシステム313、本願発明によるアプリケーションプログラム305を有する。ただし、本願発明における利用者Aの端末の構成は図3(a)に示すものに限定されず、本願発明の方法を実行できる構成であればどのようなものであってもよい。
【0033】
図3(b)は、利用者Bの端末320の構成要素を表した図である。利用者Aの端末320は、外部記憶装置321、演算装置323、主記憶装置324、通信装置326、キーボードによる入力装置327、マウスによる入力装置328、表示制御装置329、表示装置330などを具える。また、主記憶装置324上には、利用者Aの端末のオペレーティングシステム333、本願発明によるアプリケーションプログラム325を有する。ただし、本願発明における利用者Bの端末の構成は図3(b)に示すものに限定されず、本願発明の方法を実行できる構成であればどのようなものであってもよい。
【0034】
また、図4に本願発明による方法を実現するためのステップの一例を示し、これを用いて、以下に説明する。
【0035】
はじめに、利用者Aの端末300の主記憶装置304または外部記憶装置301は、開示対象となる4つの情報X1a、X2a、X3a、およびX4a、ならびにこれらの情報に対応する4つのフラグ情報Flg1a、Flg2a、Flg3a、およびFlg4aを各々関連づけられた状態で記憶315している(ステップS401)。ここで関連づけられるフラグ情報どのような情報であってもよく、いくつでもよい。たとえば、第1のフラグ情報として、各々の開示対象情報を特定するための番号または各々の開示対象情報のハッシュ値、第2のフラグ情報として開示者を特定するための認識票、の2つを各々の開示対象情報に関連づけて送信するなどしてもよい。フラグ情報の他の一例としては、開示対象情報を特定することはできないが、開示対象情報の絞り込みに使うことのできるキーワードでもよい。またフラグ情報の他の一例としては、後のステップで被開示者の端末に送られる開示対象情報を、記憶容量の限られた被開示者端末の記憶装置に記憶するか消去するかの優先順位を表す情報であってもよい。
【0036】
また、同様に利用者Aの端末300の主記憶装置上には、開示先データベース316として、開示先となる利用者の名前利用者B、利用者C、利用者D、および利用者Eと、各々の端末をネットワーク上で一意に特定するために必要な認識票IDb、IDc、IDd、およびIDeが関連づけられた状態で記憶されている。まず、利用者Aの端末の演算装置303が前記4つの情報を各々暗号化するための、k1a、k2a、k3a、およびk4aの4つの秘密鍵302を主記憶装置上304に生成する。これらは外部記憶装置301に記憶されてもよい。また、前記4つの開示対象情報X1a、X2a、X3a、およびX4aを各々に対応するフラグ情報Flg1a、Flg2a、Flg3a、およびFlg4aを各々、さらに前記前記秘密鍵k1a、k2a、k3a、およびk4aを各々、関連づけた状態315で主記憶装置にロードする。(ステップS402)。
【0037】
次に、利用者Aの端末の演算装置303が、主記憶装置304上にある本願発明によるアプリケーションプログラム305に定められた手続きに従って、前記4つの情報を前記4つの秘密鍵で各々暗号化し、Ek1a(X1a)、Ek2a(X2a)、Ek3a(X3a)、およびEk4a(X4a)を生成した上、これらを主記憶上に一旦記憶する(ステップS403)。ここで、たとえばEk1a(X1a)は情報X1aを、暗号化装置としての演算装置303によって秘密鍵k1aで暗号化した演算結果である暗号情報を表す。ここで用いる暗号化のアルゴリズムは、たとえばDES(Data Encryption Standard)、三重DES、AES(Advanced Encryption Standard)など、いかなる暗号アルゴリズムでもよい。次に、利用者Aの端末の通信装置306が、前記4つの演算結果Ek1a(X1a)、Ek2a(X2a)、Ek3a(X3a)、およびEk4a(X4a)の各々に、前記各々のフラグ情報を関連づけた状態で、ネットワーク10を通じて情報配布サーバ200に送信する。たとえば、演算結果Ek1a(X1a)は、前記ステップS401においてX1aと関連づけられたフラグ情報Flg1aと関連づけられた上で、サーバ200に送信される(ステップS404)。
【0038】
次に、サーバ200の送受信手段201が前記第2のステップでサーバに送信された、前記4つの演算結果と、各々に関連づけられた前記フラグ情報を受信する。次にサーバ200のテーブル作成手段202が、前記利用者Aの端末より受信した情報をデータベースとしてサーバの記憶装置204に記憶する(ステップS405)。
【0039】
次に、利用者Aの端末では、キーボード307やマウス308のような入力手段が受け付けた指示に従って、本願発明によるアプリケーションプログラム305は、表示制御装置309を通じて表示装置310に、グラフィカル・ユーザ・インタフェイス(以下GUIと称する)311を表示する。このGUI311上には、本願発明によるアプリケーションプログラム305から表示装置309を通じて表示装置310に送られる信号によって開示制御ウィンドウ312が表示される(ステップS406)。
【0040】
図5(a)には、利用者Aの端末300の表示装置310に表示された開示制御ウィンドウ312の一例を表す。開示制御ウィンドウ312は、開示先を表示する欄500、開示対象情報を表示する欄501、および開示状態表示と開示制御を行うチェックボックスの欄502よりなる。図3(a)乃至図5に示す一例では、開示先500として、利用者B、利用者C、利用者Dおよび利用者Eの4つの名前が表示されている。また同様に図3(a)乃至図5に示す一例では、開示対象情報としてX1a、X2a、X3a、およびX4aの4つの情報が表示されている。また、開示欄502には、前記4つの開示対象情報の各々に対応するチェックボックス503、504、505および506が表示されている。たとえば、最上部のチェックボックス503は、開示対象情報X1aの開示状態表示と開示制御をおこなうためのチェックボックスである。
【0041】
次に、利用者Aの端末300において、キーボート307またはマウス308が受け付けた入力によって、オペレーティングシステムがGUI311上のカーソル510を移動させ、たとえば利用者Bが選択されると、利用者Bの端末320に対する、利用者Aの端末300からの開示対象情報の開示制御が可能となる。さらにたとえば、図5(a)の状態から、X1aおよびX2aの二つの開示対象情報の左側にあるチェックボックス503および504に、マウス308などの入力によってカーソル510を移動させ、ボタンを下押しするなどすることで、図5(b)に示すようにチェックマークを表示させるとする。本願発明の一実施形態によれば、この操作は、本願発明によるアプリケーションソフトウェア305に対する、利用者Aの端末300から利用者Bの端末320への、情報X1aおよびX2aの情報開示の指示である(ステップS407)。以下では、図4(b)を参照して、利用者Aの端末300から利用者Bの端末320に対する、情報X1aおよびX2aの開示を例にとり、本願発明による方法を説明する。
【0042】
ここで、前記ステップS407においてGUI311を通じて利用者Aの端末から利用者Bの端末への開示が指示された情報X1aおよびX2aについて、利用者Aの端末においては、本発明によるアプリケーションプログラム305の指示に従い、演算装置303が、前記第1のステップで情報X1aを暗号化するために生成した秘密鍵k1aと、前記情報X1aの検索のために付けられたフラグ情報Flg1aを関連づけ、また前記第1のステップで情報X2aを暗号化するために生成した秘密鍵k2aと、前記情報X2aの検索のために付けられたフラグ情報Flg2aを関連づけた状態で主記憶装置304に一時的に記憶する。次に通信装置306は前記一時的に記憶したk1aとFlg1aの組およびk2aとFlg2aの組の、2組を、前記開示先データベース316から利用者Bの認識票IDbを検索した上これを利用して開示制御サーバ120を通じて、利用者Bの端末320に送信(12)する(ステップS408)。この時、前記各秘密鍵に関連づけるフラグ情報は前記ステップS404において、利用者Aの端末が、情報配布サーバ200に送信した暗号化された情報に関連づけられたフラグ情報のうち開示対象情報を一意に特定することのできるフラグ情報を含む、任意のフラグ情報であってよい。たとえば、前記ステップS404において、暗号化された情報の各々に、第1のフラグ情報として、各々の開示対象情報を一意に特定するための番号、第2のフラグ情報として開示者を一意に特定するための認識票、の2つを関連づけて情報配布サーバ200に送信している場合、ここで秘密鍵の各々にこれら第1および第2の2つのフラグを各々関連づけて、開示制御サーバ120に送ってもよい。
【0043】
次に、利用者Bの端末320において、前記ステップS408で、利用者Aの端末300が開示制御サーバ120を通じて利用者Bの端末320に送信した、k1aとFlg1aの組およびk2aとFlg2aの組、の2組の情報を、端末320の通信装置326が受信し、これを主記憶装置324に記憶した上で、さらに必要に応じて外部記憶装置321に記憶する(ステップS409)。
【0044】
次に、利用者Bの端末320の主記憶装置324上にある本願発明によるアプリケーションプログラム325が、通信装置326を通じて、サーバ200に対して、ステップS408で利用者Aの端末より送られたフラグ情報Flg1aおよびFlg1bを送信することで、サーバの記憶装置204に記憶されているデータベースに、Flg1aおよびFlg1bに各々関連づけられた暗号化された情報の検索を依頼する(ステップS410)。この検索依頼は、いつおこなってもよい。たとえば、前記ステップS408でFlg1aおよびFlg1bを利用者Aの端末300から受信した後直ちにおこなってもよいし、利用者Bの端末において、キーボード327やマウス328からの信号によって、サーバからの開示された情報取得の明示的操作が本願発明によるアプリケーションプログラムに対して行われた時に、前記情報配布サーバ200に対する検索依頼を行ってもよい、さらに、前記ステップS408より以前に、利用者Bの端末320が任意の情報を情報配布サーバ200より取得しておいてもよい。ただしこの場合、Aの端末より秘密鍵を受領するまでは、情報配布サーバ200より取得した情報は復号化ができないので、利用者Bの端末で利用することはできない。
【0045】
次に、サーバ200の検索手段203が、記憶装置204上のデータベースを検索し、その検索結果として前記ステップS410で利用者Bの端末320より検索依頼を受けた、Flg1aおよびFlg1bに関連づけられた情報である、Ek1a(X1a)およびEk2a(X2a)を、検索結果として、送受信手段201を通じて利用者Bの端末320に送信する(ステップS411)。
【0046】
次に、利用者Bの端末320の通信装置が、前記ステップS411でサーバ200より送信されたEk1a(X1a)およびEk2a(X2a)を受信し、これを主記憶装置に記憶する。次に受信した暗号化された情報のうち、Ek1a(X1a)を前記利用者Aの端末より開示制御サーバ120を通じて入手した秘密鍵k1aで、かつEk2a(X2a)を同じく前記利用者Aの端末より入手した秘密鍵k2aで、各々復号化し(ステップS412)、X1aおよびX2aを主記憶上に記憶した上で、本願発明によるアプリケーションプログラム325が、GUI323上表示された、開示された情報の表示ウィンドウ332上に利用者Aから開示された情報としてX1aおよびX2aを表示する(ステップS413)。図3(b)に示す一例では、利用者Bの端末320の表示装置330上に表示されたGUI331に表示された、開示情報表示ウィンドウ332には、利用者Aの端末300から開示された情報X1aおよびX2aが表示されている。
【0047】
なお、上述した実施態様では、利用者Aの端末300の通信装置306が暗号情報および秘密鍵を送信する送信装置として機能している。具体的には、通信装置306は生成された複数の暗号情報(Ek1a(X1a)、Ek2a(X2a)など)を、それぞれのフラグ情報(Flg1a、Flg2aなど)と関連付けた状態で情報配布サーバ200に送信して情報配布サーバ200の記憶装置204に記憶させる。一方、秘密鍵(k1a、k2aなど)は利用者Aの端末300の演算装置303で開示用情報(X1a、X2aなど)ごとに生成され、それぞれのフラグ情報と関連付けられた状態で、通信装置306によって開示制御サーバ120に送信される。
【0048】
そして、利用者Bの端末320は複合化装置として機能し、利用者Aの端末300の通信装置306および情報配布サーバ200の送信手段201を介して暗号情報を受信する。また、秘密鍵は、利用者Aの端末300の通信装置306および開示制御サーバ120の送信手段(図示せず)を介して受信する。このように、本実施態様では秘密鍵および暗号情報にはそれぞれのフラグ情報が関連付けられているため、秘密鍵と暗号情報とを別々のサーバに送信して管理して、それぞれのサーバを介して利用者Bに送信できるので、安全性が高い。ただし、本発明はこれに限定されず、暗号情報および秘密鍵がサーバを介さずに利用者Aから利用者Bに送信されることも排除されない。
【0049】
また、本発明による方法によれば、利用者Aから利用者Bの端末への任意の情報開示を取り消すこともできる。たとえば、図5(b)に示す状態、すなわち利用者Aの端末300が、これまで説明した本願発明による方法で利用者Bの端末に対して情報X1aおよびX2aを開示している状態で、利用者Aの端末のキーボード307またはマウス308の操作にしたがって、表示装置319上に表示されたGUI311上で、カーソル510を移動させ、開示対象情報X2に対応するチェックボックス504を、ボタンを下押しするなどして選択する。すると、本発明によるアプリケーションプログラム305に定めた手続きに従い、前記チェックボックス504からチェックマークを消去する(ステップS427)。これは、利用者Aの端末300から利用者Bの端末320への、開示対象情報X2aの開示取り消しの操作である。以下では図4(c)を参照して開示を取り消す場合のステップについて説明する。
【0050】
ここで、前記ステップS427でGUI311を通じて利用者Aの端末から利用者Bの端末への開示が取り消された情報X2aについて、利用者Aの端末の本発明によるアプリケーションプログラム305の指示に従い、通信装置306が、X2aに対応するフラグ情報Flg2aを、削除要求を表すコマンドやフラグ情報などとともに、開示制御サーバ120を通じて利用者Bの端末320に送る(ステップS428)。利用者Bの端末320の通信装置326が受信した(ステップS429)、前記削除要求を表すコマンドやフラグ情報とともに利用者Aの端末より送られたフラグ情報Flg2aを、主記憶装置324に一時的に記憶し、次に演算装置323が主記憶装置324または外部記憶装置321にあるFlg2aを検索したうえ、これに対応する秘密鍵k2aを削除する(ステップS430)。また、同様にこのフラグ情報Flg2aに対応する、復号化された状態で、利用者Bの端末320の主記憶装置324または外部記憶装置321に記憶されている、利用者Aの情報X2aを検索した上、これを削除する(ステップS431)。前記ステップS430とステップS431は逆の順番でもよい。このようにすることで、利用者Bの端末では利用者Aの情報を利用できなくなり、開示の取り消しが完了する。
【0051】
前記ステップS430およびS431において、利用者Bの端末から、利用者Aの秘密鍵k2aおよび開示対象情報X2aを削除する際に、前記ステップS409で開示制御サーバ120から受信して記憶したフラグ情報Flg2aと、前記ステップS411で情報配布サーバ200から受信して記憶した暗号情報Ek2a(X2a)は、利用者Bの端末の記憶装置から削除しても削除しなくともよい。もし、これらフラグ情報および暗号情報を削除せずに、再び利用者Aの端末より開示対象情報X2aを開示される、すなわち再び前記ステップS409のように、秘密鍵k2aとそのフラグ情報Flg2aを開示制御サーバから受信した場合には、再度情報配布サーバ200より暗号化情報を取り寄せる前記ステップS410およびS411の各ステップを省略しても、利用者Bの端末に復号化した開示対象情報X2aを表示することができる。
【0052】
本願発明で開示される情報は、氏名、住所、電子メールアドレス、各種通信サービスのアカウント情報、パスワードなどを含む個人情報、文書、写真、動画、秘密鍵、公開鍵などに限定されず、ウェブサイト上に掲載されるなどあらゆる情報であってもよい。
【0053】
また、これまで本実施形態では、情報1つに対して1個の秘密鍵で暗号化する方法を用いたが、複数の情報に対して共通の秘密鍵を利用して、各々の情報を暗号化してもよい。この場合には、開示者端末では、前記共通の秘密鍵とその秘密鍵に関連づけられたフラグ情報を、開示制御サーバ120を通じて被開示者端末に送ることで、前記複数の情報を一括して開示することもできる。
【0054】
また、他の一例として、再び図1を参照すると、利用者Aの端末300が前記各ステップを実行することで、利用者Bに対して情報X1aおよびX2aを開示しながら、さらに利用者Cの端末340に対して情報X2aおよびX3aを開示している一例が示されている。このように、本願発明による方法を用いて、一つの利用者の端末が、複数の利用者の端末へ任意の情報を開示していてもよい。
【0055】
また、本実施形態では、利用者Aの端末300から利用者B320への一方向の開示であったが、これと同時に前記各ステップの方法によって、利用者Bの端末320から、利用者Aの端末300への情報開示が、情報配布サーバ200および開示制御サーバ120を通じて、おこなわれてもよい。またこのような相互開示が複数の利用者の端末の間で相互に行われていてもよい。
【0056】
図6に示す一例では、相互開示が行われている場合に使われる表示および制御画面の一例として、利用者Aの端末300の表示装置310上に表示された、情報開示のためのウィンドウと開示された情報の表示のためのウィンドウとの機能を併せ持つ、情報交換ウィンドウ600の一例を示す。前記情報交換ウィンドウ600は、情報交換相手の欄601、開示対象情報の欄602、開示制御の欄603、および開示された情報の欄604よりなる。この一例では、前記ステップS404において、利用者Aの端末300が、暗号化した開示対象と関連づけて情報配布サーバ200に送信する、フラグ情報のひとつとして利用者Aの端末を特定するための認識票を含むとする。また利用者Aの端末300から他の利用者の端末への、本願発明による情報開示だけでなく、他の利用者の端末から利用者Aの端末への本願発明による情報開示についても、同様に前記フラグ情報に開示者の端末を特定できる認識票を含むとする。
【0057】
ここで図6(a)を参照すると、利用者Aの端末300のキーボード307やマウス308などの操作に従って、主記憶装置304上にある本願発明によるアプリケーションプログラム305の指示により、カーソル610を移動させ、表示装置310に表示された情報交換ウィンドウ600の上に表示された情報交換相手である利用者B609を選択が選択されると、開示対象情報欄602に、開示対象X1a、X2a、X3a、およびX4aが表示され、さらにこれらの開示対象情報の利用者Bの端末に対する開示状態が開示制御欄603に、チェックマークによって表示される。図6(a)に示す一例では、開示対象情報X1aおよびX2aに各々対応するチェックボックス605および606にチェックマークが付されており、このことによって利用者Aの端末300が、利用者Bの端末に対して、情報X1aおよびX2aを開示していることを示している。またこれと同じウィンドウ600上では、利用者Bが利用者Aに対して逆方向に開示している情報としてY1bおよびY2bが、開示された情報欄604に表示されている。ここで表示されている利用者Bの端末320が利用者Aに対して開示している情報も、本発明による前記方法によって開示が行われ、同じGUI600上に同時に表示されているものである。
【0058】
この状態でいつでも、開示制御については、カーソル610を表示装置上で移動させ、開示制御欄に表示された任意のチェックボックスを選択することで、任意の開示対象情報の、利用者Bの端末320への開示状態を変更することができる。たとえば、利用者Aの端末300の表示装置310において、図6(a)に示す状態で、カーソル610を開示対象情報X3aに対応するチェックボックス607まで移動させ、マウスのボタンを下押しするなどして、チェックボックス607を選択(ステップS407に相当)すると、このチェックボックス607にチェックマークが表示されると同時に、利用者Aの端末300が開示情報X3aに対応する秘密鍵k3aを、開示制御サーバ120を通じて、利用者Bの端末320に送る(ステップS408に相当)。利用者Bの端末320は、情報配布サーバ200から暗号化されたEk3a(X3a)を取得し、これを前記秘密鍵k3aで復号化した上で(ステップS412に相当)その表示装置上に利用者Aの端末300から利用者Bの端末320に開示された情報X3aを表示する。(ステップS413に相当)。
【0059】
たとえば、利用者Aの端末300の表示装置310において、図6(a)に示す状態で、カーソル610を開示対象情報X1aに対応するチェックボックス605まで移動させ、マウスのボタンを下押しするなどして、チェックボックス605を選択すると、このチェックボックス605にチェックマークが消去されると同時に(ステップS427に相当)、利用者Aの端末300が開示情報X1aに対応する秘密鍵k1aおよび開示対象情報X1aの消去を、利用者Bの端末320に依頼する(ステップS428に相当)。利用者Bの端末の本願発明によるアプリケーションソフトウェア325は、その主記憶装置および外部記憶装置から前記秘密鍵k1aおよび開示対象X1aの消去をおこなう(ステップS430およびステップS431に対応)。こうすることで、利用者Bはもはや暗号化された情報Ek1a(X1a)の復号化をできなくなり、利用者Bの端末の表示装置上に利用者Aの開示対象情報X1aを表示できなくなる。
【0060】
この状態で、本願発明によれば、たとえば利用者Bの端末320に記憶された情報X1b、X2b、X3b、およびX4bを、前記各ステップによって利用者Aの端末に開示することができる。この場合、これら各々の情報に対応する秘密鍵k1b、k2b、k3b、およびk4bと、これら各々の情報に対応するフラグ情報Flg1b、Flg2b、Flg3b、およびFlg4bが使われる。
【0061】
図6(b)に示す一例は、利用者Bの端末の表示装置330に表示されたGUI332中に、前記相互開示ウィンドウを表示した状態である。図6(b)に示す一例では、情報交換相手として利用者A629が選択されている結果、開示対象情報欄622には、利用者Bの端末が利用者Aの端末に開示している情報が開示制御欄623に表示されたチェックマークで表示されており、開示された情報欄624には、利用者Bの端末が利用者Aの端末より開示されている情報が表示されている。図6に示す一例では、利用者Aが利用者Bに対して情報X1aおよびX2aを、また利用者Bが利用者Aに対して情報X1bおよびX2bをそれぞれ開示している。図6(a)はこの状態を利用者Aの端末から見たものであり、図6(b)は同じ状態を利用者Bの端末から見たものである。この状態でいつでも、利用者Aは開示制御欄603の、また利用者Bは開示制御欄623のチェックボックスを選択することで、前記の方法によって新たな情報を相手に開示したり、開示済の情報の開示を取り消したりすることができる。
【0062】
これまでの説明は、利用者Aの端末と利用者Bの端末との、2つの端末間の情報の相互開示であったが、これは任意の数の端末間の相互開示であってよい。図7に示す一例は、利用者Aの端末の表示装置310のGUI311上に表示された相互開示ウィンドウ600において、情報交換相手として利用者C611が選択された状態である。この状態では利用者Aの端末300は利用者Cの端末340に対して情報X2aおよびX3aを、また利用者Cの端末340は利用者Aの端末300に対して情報X1c、X2c、およびX3cを開示している。この状態でいつでも、利用者Aは、情報交換相手欄601で任意の情報交換相手を選択することで、異なる情報交換相手との情報の開示、被開示を表示および制御することができる。
【0063】
このように複数の端末間の相互開示においては、情報配布サーバ200には、図8に示すように各々の端末から登録された、暗号化された情報およびその各々に関連づけられたフラグ情報が記憶され、被開示者からの特定のフラグ情報についての検索要求に応じて任意の暗号化された情報を被開示者の端末に送信する。
【0064】
複数の端末が互いに情報を開示している状態では、各々の端末の記憶装置には、フラグ情報の関連づけられたその端末自身の開示対象情報と、同じようにフラグ情報の関連づけられた他の端末から開示された情報とが記憶されている。この状態で、各々の検索手段は、その端末自身の開示対象情報と開示された情報のなかから、特定のフラグ情報に関連づけられた情報を検索し、それを表示することができる。たとえば、図6(a)および図7に示す利用者Aの端末においては、利用者Aの端末の記憶装置には、利用者Aの開示対象情報X1a、X2a、X3a、X4a、利用者Bから開示された情報X1b、X2b、さらに利用者Cから開示された情報X1c、X2c、X3cが、各々のフラグ情報と関連づけられて記憶されている。フラグ情報の一つが検索用のキーワードである場合、利用者Aの端末の、主記憶装置304上にある、本願発明によるアプリケーションプログラム305の指示によって演算装置303が、キーボード307などで入力されたキーワードの関連づけられた情報を、上記情報の中から検索するなどして、利用者Aの望む情報を表示装置310上の相互開示ウィンドウ600上に表示することができる。
【0065】
本願発明では、開示対象情報と、開示関係を決める秘密鍵は、各々独立して被開示者端末に送られ、各々独立して制御できる。この性質を利用すると、端末における情報のバックアップが可能となる。たとえば、図1を参照すると、利用者Aの端末300の主記憶装置304および外部記憶装置301にある情報が何らかの理由ですべて消失したとする。本願発明による方法では、この時に、情報配布サーバ200に記憶されている暗号化情報のフラグ情報に、利用者Aの端末をネットワーク上で特定するための情報が含まれていれば、これらフラグ情報を利用して、情報配布サーバ200は、暗号化情報Ek1a(X1a)、Ek2a(X2a)、Ek3a(X3a)、およびEk4a(X4a)を、利用者Aの端末300に送信することができる。さらに秘密鍵k1aおよびk2aは利用者Bの端末320に、また秘密鍵k2aおよびk3aは利用者Cの端末340に、各々のフラグ情報と関連づけて記憶されているので、利用者BおよびCの端末は、これらフラグ情報を利用して、開示制御サーバ120を通じて、利用者Aの端末300に秘密鍵k1a、k2aおよびk3aを送信することができる。このようにして、利用者Aの端末は暗号化情報を情報配布サーバ200から、また秘密鍵を開示制御サーバ120からそれぞれ受領することで、開示対象情報X1a、X2a、およびX3aを復元することができる。
【0066】
ただし、この時、図1を参照すると、Aの端末300で消失した開示対象情報X4a秘密鍵k4aは、他の端末に一切開示されていない。したがって、利用者Aの端末300に記憶された秘密鍵k4aが消失すると、これを復元する手段がなく、たとえ図1のように情報配布サーバ200に暗号化情報Ek4a(X4a)が記憶されており、これを利用者Aの端末に戻せたとしても、利用者Aの端末300で、開示対象情報X4aを復元することができない。この問題を解決するために、利用者Aの端末300が、誰にも開示していない開示対象情報X4aに対応する秘密k4a鍵は、開示制御サーバ120に記憶するか、あるいは他の信頼できる利用者の端末に記憶しておく。利用者Aの端末300で情報が消失した場合には、この秘密鍵を受け取ることで、開示対象情報X4aを受け取ることができる。このように本願発明によれば、従来の方法で必要だった明示的なバックアップ操作をあらかじめ行わなくとも、利用者Aの端末の開示対象情報が消失した時に、これらを復元することができる。
【0067】
また、本願発明によれば、開示対象情報と、開示関係を決める秘密鍵を各々独立して制御できることを利用して、開示関係を保ったまま、開示制御をおこなう権限を他の端末に移動、または他の端末と共有することができる。たとえば、図1に示す状態で、利用者Aの端末300から、情報の開示関係を決める秘密鍵k2aおよびk3aを利用者Cの端末340に、開示制御サーバ120を通じて移動する。すなわちk2aおよびk3aを利用者Cの端末へ送った後に、これらを利用者Aの端末から削除する。このようにすることで、情報X2aおよびX3aの開示権を利用者Cの端末に移動させることができる。ただし、この開示権の移動の前後で、たとえば、X2aが利用者Bの端末320に開示されているという、開示状態には変化がない。このようにして、開示関係を保ったまま開示制御をおこなう権限を利用者Aの端末300から利用者Cの端末340に同様に、開示対象ごとに移動させることができる。同様に、秘密鍵とそれを制御する権限を異なる端末との間で共有することで、開示権を共有することもできる。
【0068】
開示者端末から、他の端末への前記秘密鍵の移動や共有によって、開示対象情報ごとに開示を制御する権限を移動または共有を行えるのと同様に、前記秘密鍵を受け取った被開示者端末から、さらに他の端末への前記秘密鍵の移動や共有をおこなうことによって、被開示者端末での被開示情報の再開示を制御することもできる。
【0069】
前記バックアップや、開示権の移動や共有は、すべてこれらは、開示対象情報ごとの秘密鍵を用いて、開示対象情報とその開示状態が独立して制御できるという、本願発明の性質を利用したものである。この性質によって、本願発明には以下のような効果がある。
【0070】
第一の効果は、開示対象情報と開示状態を独立して変更できる点である。従来の方法によれば、たとえば利用者Aの端末から利用者Bおよび利用者Cの端末に対して情報X2aを開示する場合、利用者Aの端末はX2aの複製を利用者Bおよび利用者Cの端末に送信し、利用者Bおよび利用者Cの端末では、X2aの複製を受信した後、各々の記憶装置に記憶し、利用者Bまたは利用者Cの端末に対する入力装置の指示に従って、各々の端末の記憶装置に保存されているX2aの複製を表示装置に表示していた。この従来の方法によれば、利用者Aの端末において情報X2aがX2a’に更新された場合、利用者Aは明示的に利用者Bの端末および利用者Cの端末にX2a’の複製を送信する操作をおこなう必要があった。すなわち、従来の方法によれば、情報の開示にあたって、開示者は、開示対象の情報と開示先の両方を明示的に指定した上で被開示者の端末に送信する必要があった。
【0071】
一方で、本願発明による方法では、開示者である利用者Aは、対象の情報と、その開示状態(開示先)を独立して変更できる。たとえば、利用者Aの端末300において、開示対象となる情報X2aがX2a’に更新された場合でもこれに対応する秘密鍵k2aおよびフラグ情報Flg2aは変わらない。したがって、利用者Aの端末300がそれを秘密鍵k2aで暗号化したEk2a(X2a’)を情報配布サーバ200に送信し、情報配布サーバ200は、情報配布サーバの記憶装置204のデータベース上でこのEk2a(X2a’)とフラグ情報Flg2aと関連づけて保持しておくことで、利用者Aは明示的に利用者Bおよび利用者Cへ更新されたX2a’を送信しなくとも、利用者Bの端末320および利用者Cの端末340への開示状態を変更することなく、利用者Bの端末320および利用者Cの端末340から、更新された情報が利用可能となる。逆に、利用者Aの端末において、開示対象となる情報X2aを変えずに、これまで利用者Bの端末と利用者Cの端末の両方に開示していたところ、さらに利用者Dの端末にも開示をするという、開示状態の変更をおこなう場合でも、開示対象となる情報X2a、秘密鍵k2a、およびフラグ情報Flg2aには何ら変更を加えることなく、開示制御サーバを通じて秘密鍵k2aとフラグ情報Flg2aを利用者Dの端末に送るだけで、情報X2aの開示状態を変更することができる。このように、本願発明による方法は、開示者である利用者Aは、開示対象となる情報と、その情報の他者端末への開示関係を独立して変更できるという特徴をそなえる。
【0072】
第二の効果としては、従来の方法と比較して情報開示制御が容易になる点である。従来の方法によれば、サーバを通じて特定の情報を特定の開示先に限定して開示する場合、情報配布サーバがユーザ名、パスワードなどの方法で利用者を認証した後、開示者があらかじめ設定した開示先に対してのみ限定的に開示対象となる情報を送っていた。この方法では、サービス事業者があらかじめすべての利用者のユーザ名やパスワードをデータベースとして持ち、情報の被開示を求める利用者を認証する必要があった。また、端末においても、個々の情報ごとに開示先を設定するための制御手段や、それを開示者が制御するためのGUIが複雑になるという問題があった。これに対して本願発明による方法は、開示者が被開示者に対して秘密鍵やフラグ情報を被開示者に送信する手段さえあれば、従来の方法で必要であったユーザ名やパスワードの管理が不要となり、さらに端末における開示制御やそのためのGUIが単純になるという特徴を具える。このため、従来の方法に比べて、より柔軟な情報開示が可能となる。
【0073】
第三の効果としては、秘密保持が容易となる点である。従来の方法によれば、開示対象情報は、平文で情報配布サーバに保管され、被開示者からの要求にしたがって、被開示者の端末に送信される。従来の方法でも、秘密保持を目的として、たとえばSSL(SecureSocket Layer)などの方法によって、ネットワークの通信経路においての暗号化は行われるが、情報配布サーバでは、平文で保管される。このため、情報開示サーバ自体が何らかの事情で公開されてしまうと、この情報配布サーバ上のすべての情報が公開されてしまうという問題があった。また、一般に被開示者の認証手段は必ずしも充分ではなく、開示者が指定した者以外の被開示者に対して情報が開示される危険もあった。ところが本願発明の方法によれば、すべての開示対象情報は、各々対応する秘密鍵で暗号化された状態で情報配布サーバに記憶されているため、万一情報配布サーバの内容が公開されたとしても、これらを復号化するために必要な秘密鍵を入手しない限り、情報配布サーバの秘密は保持される。本願発明による方法では、これらの秘密鍵は数多くの端末に散在しているため、これらをすべて入手することは事実上困難であり、情報配布サーバ上にある情報の秘密保持は容易である。
【0074】
第四の効果としては、記憶装置の記憶容量が小さな端末でも、その小さな記憶装置を有効に利用して、情報のやりとりが可能となる点である。従来の方法では、被開示者の端末では、開示者より開示された情報を受け取ると、その記憶装置に受け取った開示された情報を記憶しておく必要があった。このため、端末の記憶装置の容量が小さい場合には、多くの開示された情報を保持できない。他の従来の方法では、被開示者が開示対象情報を要求する毎に情報配布サーバより取得することで、被開示者の端末の記憶装置に開示された情報を記憶する必要がなく、前記被開示者の端末の記憶装置の容量が小さくてもよい。しかし、この場合にはネットワークに接続していない場合に、開示された情報が利用できないという問題があった。本願発明による方法では、被開示者の端末の記憶装置には、開示された情報の秘密鍵を記憶している。前記第一の効果で述べたように、本願発明による方法では、これら開示状態を規定する秘密鍵は、開示される情報とは独立している。したがって、開示される情報は、被開示者の端末の記憶装置にあっても、情報配布サーバにあっても、さらには開示者の端末や、第三者の端末にあってもよい。このため、被開示者がネットワークに接続していない場合にも利用したい情報のみを被開示者の端末の記憶装置に記憶しておき、その他の情報は必要に応じて情報配布サーバから取得するなどの方法で、柔軟に開示された情報を利用することができる。すなわち、本願発明による方法では、被開示者の端末では、その記憶装置の容量や、開示される情報の性質にあわせて、開示される情報を柔軟に管理できるという特徴を具える。
【0075】
第五の効果としては、開示される情報のバックアップが容易な点である。従来の方法によれば、開示された情報は、被開示者の端末の記憶装置に、情報配布サーバや開示者の端末に存在する情報とは独立して保存されていた。このため、何らかの事情で被開示者の端末の記憶装置の情報が失われた場合、被開示者は情報を失う。これを防ぐために、被開示者はその端末の記憶装置の内容を他の記憶装置にバックアップをとることが多い。しかし本願発明による方法では、たとえば、被開示者の端末の記憶装置の内容がなんらかの事情で失われたとしても、開示者の端末から、開示される情報に対応する秘密鍵とフラグ情報を受領することで、開示された情報を再び利用可能となる。すなわち、被開示者はその端末の記憶装置のバックアップを明示的にとらなくとも、失われた情報を復元できるという特徴を具える。
【0076】
第六の効果としては、ネットワーク全体の、複写された情報の量を減らすことができる点である。従来の方法による情報開示では、複数の被開示者に情報を開示する場合、開示者の端末で被開示者の数だけの情報の複製を作り、これをすべての被開示者の端末に送り、すべての被開示者の端末ではこの複製を記憶装置に記憶していた。このため、ネットワーク全体では、同じ情報の複製が数多く作られ、これを複数の端末で重複して記憶していた。しかし、本願発明による方法では、被開示者の端末で必ず保存しておかなければならないのは、開示された情報に対応する秘密鍵である。したがって、ネットワークに接続しない時に必要な情報を除き、被開示者端末で、開示された情報の複写を記憶しておく必要はない。この結果、従来の方法と比べて、ネットワーク全体の複写された情報の量を減らすことができるという特徴を具える。
【図面の簡単な説明】
【0077】
【図1】情報配布サーバと開示制御サーバによる情報開示システムの説明図。
【図2】情報配布サーバの構成要素の一例を説明する図。
【図3a】端末の構成要素の一例を説明する図。
【図3b】端末の構成要素の一例を説明する図。
【図4a】本願発明による各ステップを説明するフロー図。
【図4b】本願発明による各ステップを説明するフロー図。
【図4c】本願発明による各ステップを説明するフロー図。
【図5a】情報開示の制御をおこなうためのグラフィカル・ユーザ・インタフェイスの一例を説明する図。
【図5b】情報開示の制御をおこなうためのグラフィカル・ユーザ・インタフェイスの一例を説明する図。
【図6a】複数の端末間で相互に情報開示の制御をおこなうためのグラフィカル・ユーザ・インタフェイスの一例を説明する図。
【図6b】複数の端末間で相互に情報開示の制御をおこなうためのグラフィカル・ユーザ・インタフェイスの一例を説明する図。
【図7】複数の端末間で相互に情報開示の制御をおこなうためのグラフィカル・ユーザ・インタフェイスの一例を説明する図。
【図8】複数の端末間で相互に情報開示をおこなっている時の、情報配布サーバの記憶装置の状態を説明する図。
【符号の説明】
【0078】
10 ネットワーク
120 開示制御サーバ
200 情報配布サーバ
300、320、340 利用者端末
【特許請求の範囲】
【請求項1】
開示者に関する複数の開示用情報を記憶する記憶装置と、
前記複数の開示用情報のそれぞれに対応して用意された複数の秘密鍵を用いて前記複数の開示用情報それぞれを暗号化した暗号情報を複数生成する暗号化装置と、
前記複数の暗号情報および前記複数の秘密鍵を送信する送信装置と、
前記複数の暗号情報から任意に選択された暗号情報と、前記複数の秘密鍵のうち当該選択された暗号情報についての秘密鍵を受信し、当該選択された暗号情報を当該秘密鍵により複合化する復号化装置と、を設けたことを特徴とする情報交換装置。
【請求項2】
前記記憶装置は、前記複数の開示用情報それぞれのフラグ情報を、前記開示用情報と前記フラグ情報とをそれぞれ関連付けた状態でさらに記憶し、
前記暗号化装置は、生成された前記複数の暗号情報それぞれを、対応する開示用情報のフラグ情報と関連付けて前記記憶装置に記憶させ、
前記送信装置は、前記複数の暗号情報を、それぞれの前記フラグ情報と関連付けた状態で送信し、
前記復号化装置は、前記複数の暗号情報から任意に選択された暗号情報についてのフラグ情報を検索キーとした検索によって当該暗号情報を得て復号化を行う請求項1に記載の情報交換装置。
【請求項3】
開示者に関する複数の開示用情報と、これら複数の開示用情報それぞれのフラグ情報と、を、前記開示用情報と前記フラグ情報とをそれぞれ関連付けた状態で記憶する記憶装置と、
前記複数の開示用情報のそれぞれに対応して用意された複数の秘密鍵を用いて前記複数の開示用情報それぞれを暗号化した暗号情報を複数生成し、生成された前記複数の暗号情報を、対応する開示用情報のフラグ情報と関連付けて前記記憶装置に記憶させる暗号化装置と、
前記複数の暗号情報を、それぞれの前記フラグ情報と関連付けた状態で送信する送信装置と、を設けたことを特徴とする情報交換装置。
【請求項4】
前記複数の暗号情報から任意に選択された暗号情報についてのフラグ情報を検索キーとした検索によって当該暗号情報を得るとともに、当該選択された暗号情報についての秘密鍵を受信して暗号情報を当該秘密鍵により当該選択された復号化する復号化装置をさらに設けたことを特徴とする請求項3に記載の情報交換装置。
【請求項5】
前記送信装置は、前記複数の開示用情報それぞれのフラグ情報と当該複数の開示用情報からそれぞれ生成された前記複数の暗号情報とを関連付けた状態で第1のサーバに送信して当該第1のサーバに記憶させ、前記複数の開示用情報それぞれのフラグ情報と当該複数の開示用情報のそれぞれに対応して用意された前記複数の秘密鍵とを関連付けた状態で第2のサーバに送信して当該第2のサーバに記憶させ、
前記復号化装置は、前記複数の暗号情報から任意に選択された暗号情報を前記第1のサーバから受信し、前記複数の秘密鍵のうち当該選択された暗号情報についての秘密鍵を前記第2のサーバから受信する請求項2または4に記載の情報交換装置。
【請求項6】
前記開示用情報と当該開示用情報についての前記秘密鍵とは、互いに独立して設定、変更、および消去されるように構成されている請求項1から5のいずれかに記載の情報交換装置。
【請求項7】
前記複数の開示用情報の少なくとも1以上は、複数のサブ開示情報を含む請求項1から6のいずれかに記載の情報交換装置。
【請求項8】
前記複数の開示用情報が表示され、前記複数の開示用情報のうち前記開示者により被開示者に開示される情報として選択された開示情報が指定される入力装置をさらに設け、
前記送信装置は、前記入力装置に前記開示情報を指定する入力が行われると当該開示情報について生成された暗号情報を、当該開示情報についてのフラグ情報と関連付けて送信する請求項2から7のいずれかに記載の情報交換装置。
【請求項9】
前記入力装置は、前記開示情報を非開示状態に変更する非開示入力機能を備え、
前記送信装置は、前記入力装置に前記開示情報を非開示状態にする入力が行われると当該開示情報、当該開示情報について生成された暗号情報、当該開示情報を暗号化する秘密鍵のいずれか1以上を削除する削除コマンドを生成して生成された削除コマンドと当該開示情報のフラグ情報とを関連付けた状態で送信する請求項8に記載の情報交換装置。
【請求項1】
開示者に関する複数の開示用情報を記憶する記憶装置と、
前記複数の開示用情報のそれぞれに対応して用意された複数の秘密鍵を用いて前記複数の開示用情報それぞれを暗号化した暗号情報を複数生成する暗号化装置と、
前記複数の暗号情報および前記複数の秘密鍵を送信する送信装置と、
前記複数の暗号情報から任意に選択された暗号情報と、前記複数の秘密鍵のうち当該選択された暗号情報についての秘密鍵を受信し、当該選択された暗号情報を当該秘密鍵により複合化する復号化装置と、を設けたことを特徴とする情報交換装置。
【請求項2】
前記記憶装置は、前記複数の開示用情報それぞれのフラグ情報を、前記開示用情報と前記フラグ情報とをそれぞれ関連付けた状態でさらに記憶し、
前記暗号化装置は、生成された前記複数の暗号情報それぞれを、対応する開示用情報のフラグ情報と関連付けて前記記憶装置に記憶させ、
前記送信装置は、前記複数の暗号情報を、それぞれの前記フラグ情報と関連付けた状態で送信し、
前記復号化装置は、前記複数の暗号情報から任意に選択された暗号情報についてのフラグ情報を検索キーとした検索によって当該暗号情報を得て復号化を行う請求項1に記載の情報交換装置。
【請求項3】
開示者に関する複数の開示用情報と、これら複数の開示用情報それぞれのフラグ情報と、を、前記開示用情報と前記フラグ情報とをそれぞれ関連付けた状態で記憶する記憶装置と、
前記複数の開示用情報のそれぞれに対応して用意された複数の秘密鍵を用いて前記複数の開示用情報それぞれを暗号化した暗号情報を複数生成し、生成された前記複数の暗号情報を、対応する開示用情報のフラグ情報と関連付けて前記記憶装置に記憶させる暗号化装置と、
前記複数の暗号情報を、それぞれの前記フラグ情報と関連付けた状態で送信する送信装置と、を設けたことを特徴とする情報交換装置。
【請求項4】
前記複数の暗号情報から任意に選択された暗号情報についてのフラグ情報を検索キーとした検索によって当該暗号情報を得るとともに、当該選択された暗号情報についての秘密鍵を受信して暗号情報を当該秘密鍵により当該選択された復号化する復号化装置をさらに設けたことを特徴とする請求項3に記載の情報交換装置。
【請求項5】
前記送信装置は、前記複数の開示用情報それぞれのフラグ情報と当該複数の開示用情報からそれぞれ生成された前記複数の暗号情報とを関連付けた状態で第1のサーバに送信して当該第1のサーバに記憶させ、前記複数の開示用情報それぞれのフラグ情報と当該複数の開示用情報のそれぞれに対応して用意された前記複数の秘密鍵とを関連付けた状態で第2のサーバに送信して当該第2のサーバに記憶させ、
前記復号化装置は、前記複数の暗号情報から任意に選択された暗号情報を前記第1のサーバから受信し、前記複数の秘密鍵のうち当該選択された暗号情報についての秘密鍵を前記第2のサーバから受信する請求項2または4に記載の情報交換装置。
【請求項6】
前記開示用情報と当該開示用情報についての前記秘密鍵とは、互いに独立して設定、変更、および消去されるように構成されている請求項1から5のいずれかに記載の情報交換装置。
【請求項7】
前記複数の開示用情報の少なくとも1以上は、複数のサブ開示情報を含む請求項1から6のいずれかに記載の情報交換装置。
【請求項8】
前記複数の開示用情報が表示され、前記複数の開示用情報のうち前記開示者により被開示者に開示される情報として選択された開示情報が指定される入力装置をさらに設け、
前記送信装置は、前記入力装置に前記開示情報を指定する入力が行われると当該開示情報について生成された暗号情報を、当該開示情報についてのフラグ情報と関連付けて送信する請求項2から7のいずれかに記載の情報交換装置。
【請求項9】
前記入力装置は、前記開示情報を非開示状態に変更する非開示入力機能を備え、
前記送信装置は、前記入力装置に前記開示情報を非開示状態にする入力が行われると当該開示情報、当該開示情報について生成された暗号情報、当該開示情報を暗号化する秘密鍵のいずれか1以上を削除する削除コマンドを生成して生成された削除コマンドと当該開示情報のフラグ情報とを関連付けた状態で送信する請求項8に記載の情報交換装置。
【図2】
【図3a】
【図3b】
【図4a】
【図4b】
【図4c】
【図5a】
【図5b】
【図6a】
【図6b】
【図7】
【図8】
【図1】
【図3a】
【図3b】
【図4a】
【図4b】
【図4c】
【図5a】
【図5b】
【図6a】
【図6b】
【図7】
【図8】
【図1】
【公開番号】特開2009−5202(P2009−5202A)
【公開日】平成21年1月8日(2009.1.8)
【国際特許分類】
【出願番号】特願2007−165789(P2007−165789)
【出願日】平成19年6月25日(2007.6.25)
【出願人】(506183731)リプレックス株式会社 (20)
【Fターム(参考)】
【公開日】平成21年1月8日(2009.1.8)
【国際特許分類】
【出願日】平成19年6月25日(2007.6.25)
【出願人】(506183731)リプレックス株式会社 (20)
【Fターム(参考)】
[ Back to top ]