情報処理システム、方法及びプログラム
【課題】個人情報の受渡しに関するポリシの合意とその確認を手順化する。
【解決手段】個人情報の授受する装置間でのプロトコルなどとして手順化された処理として、情報取扱のポリシに関し予め合意し、以降、合意の識別情報の確認を条件として情報授受などのアクセス制御を適用し、確認できない限り情報授受の前段階となる認証処理画面への遷移もブロックするフィルタリングや、確認できない限り情報授受処理が行われないようにフィルタリングするなどにより、個人情報の受渡しに関するポリシの合意とその確認を手順化でき、ポリシ適用の実効性や効率性が改善できる。
【解決手段】個人情報の授受する装置間でのプロトコルなどとして手順化された処理として、情報取扱のポリシに関し予め合意し、以降、合意の識別情報の確認を条件として情報授受などのアクセス制御を適用し、確認できない限り情報授受の前段階となる認証処理画面への遷移もブロックするフィルタリングや、確認できない限り情報授受処理が行われないようにフィルタリングするなどにより、個人情報の受渡しに関するポリシの合意とその確認を手順化でき、ポリシ適用の実効性や効率性が改善できる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、個人情報の管理に関する。
【背景技術】
【0002】
近年、個人情報やプライバシーを保護するため、各種事業者が取得する個人情報の活用や保護といった取扱に関する定め(「ポリシ」と総称することとする)が作成、適用されている。一方、情報処理の分野における事業者間連携や分散処理の発達に伴い、インターネット利用者など顧客の個人情報が、一定の条件下で、異なる事業者の情報システム間で受け渡される場合がある。このような個人情報の授受とポリシに関する従来の技術として、個人情報とそのポリシを組み合わせて装置間で受渡す提案が知られている(例えば、特許文献1参照)が提案されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2006−344156号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかし、上記のような従来の技術では、個人情報受渡しについて、ポリシに関する合意の形成やその確認が手順化されていなかったため、ポリシ適用の実効性や効率性が課題となっていた。
【0005】
上記のような課題に対し、本発明の目的は、個人情報の受渡しに関するポリシの合意とその確認を手順化することである。
【課題を解決するための手段】
【0006】
上記の目的をふまえ、本発明の一態様(1)は、個人情報の提供側装置と、受領側装置と、を有する情報処理システムにおいて、前記提供側装置は、提供の対象となる前記個人情報を記憶している個人情報記憶手段と、前記個人情報の取扱いに関するポリシについて前記受領側装置との間で所定の合意を確認する合意確認手段と、確認された前記合意を識別する所定の合意識別情報を生成する合意情報生成手段と、生成された前記合意識別情報を前記確認に係る前記ポリシと対応付けて記憶するポリシ合意記憶手段と、前記合意識別情報を前記受領側装置へ送信する確認合意送信手段と、前記個人情報の要求に関連して前記受領側装置から送信された前記合意識別情報を受信する合意情報受信手段と、前記受領側装置から受信された前記合意識別情報を検証する合意情報検証手段と、前記検証の結果が肯定的であった場合に、前記合意識別情報に対応するポリシに係る前記個人情報を前記受領側装置へ送信するために必要な一連の処理を実行するアクセス制御手段と、を有し、前記受領側装置は、前記提供側装置の前記確認合意送信手段から送信された前記合意識別情報を受信する確認合意受信手段と、前記提供側装置から受信された前記合意識別情報を記憶する合意情報記憶手段と、前記合意情報記憶手段に記憶されている前記合意識別情報を前記個人情報の要求に関連して前記提供側装置へ送信する合意情報送信手段と、送信した前記合意識別情報に対応して前記提供側装置から送信された前記個人情報を受信する個人情報受信手段と、を有することを特徴とする。
【0007】
本発明の他の態様(3)は、上記態様を方法のカテゴリで捉えたもので、個人情報の提供側装置と、受領側装置と、を有する情報処理システムにおける情報処理方法において、前記提供側装置において、コンピュータが、提供の対象となる前記個人情報を記憶している個人情報記憶手段を実現し、コンピュータが、前記個人情報の取扱いに関するポリシについて前記受領側装置との間で所定の合意を確認する合意確認処理と、コンピュータが、確認された前記合意を識別する所定の合意識別情報を生成する合意情報生成処理と、コンピュータが、生成された前記合意識別情報を前記確認に係る前記ポリシと対応付けて所定のポリシ合意記憶手段に記憶させる処理と、コンピュータが、前記合意識別情報を前記受領側装置へ送信する確認合意送信処理と、コンピュータが、前記個人情報の要求に関連して前記受領側装置から送信された前記合意識別情報を受信する合意情報受信処理と、コンピュータが、前記受領側装置から受信された前記合意識別情報を検証する合意情報検証処理と、コンピュータが、前記検証の結果が肯定的であった場合に、前記合意識別情報に対応するポリシに係る前記個人情報を前記受領側装置へ送信するために必要な一連の処理を実行するアクセス制御処理と、を実行し、前記受領側装置において、コンピュータが、前記提供側装置の前記確認合意送信処理により送信された前記合意識別情報を受信する確認合意受信処理と、コンピュータが、前記提供側装置から受信された前記合意識別情報を所定の合意情報記憶手段に記憶させる処理と、コンピュータが、前記合意情報記憶手段に記憶されている前記合意識別情報を前記個人情報の要求に関連して前記提供側装置へ送信する合意情報送信処理と、コンピュータが、送信した前記合意識別情報に対応して前記提供側装置から送信された前記個人情報を受信する個人情報受信処理と、を実行することを特徴とする。
【0008】
このように、個人情報の授受する装置間でのプロトコルなどとして手順化された処理として、情報取扱のポリシに関し予め合意し、以降、合意の識別情報の確認を条件として情報授受などのアクセス制御を適用し、確認できない限り情報授受の前段階となる認証処理画面への遷移もブロックするフィルタリングや、確認できない限り情報授受処理が行われないようにフィルタリングするなどにより、個人情報の受渡しに関するポリシの合意とその確認を手順化でき、ポリシ適用の実効性や効率性が改善できる。
【0009】
本発明の他の態様(2)は、上記いずれかの態様において、前記合意情報生成手段は、前記受領側装置を認証するための所定の認証情報を前記合意識別情報に組み込むことを特徴とする。
【0010】
このように、ハッシュ関数や暗号などの処理アルゴリズムを用いて、受領側装置を認証するための情報を合意識別情報に組み込むことにより、提供側装置で予め受領側装置を認証する処理が不要となるので、合意識別情報を用いた個人情報提供の処理が迅速化・効率化される。
【0011】
なお、以下の各態様は、上記各態様との組み合わせに適する追加の構成であり、そのような組み合わせに基づく相乗効果により、情報の受渡しに関するポリシの処理をさらに改善するものである。
【0012】
追加の一態様(1)は、情報に関する複数のポリシ間の関係を判定するポリシ判定装置であって、ポリシと、そのポリシに対応する対象と、を対応付けて記憶しているポリシ記憶手段と、前記各対象間の階層関係を記憶している階層記憶手段と、判定すべきポリシと、そのポリシに対応する対象と、を取得する判定対象取得手段と、取得された前記対象に対し、前記階層記憶手段に記憶されている前記階層関係において上位階層となっている対象を上位対象として特定する階層特定手段と、特定された前記上位対象に、前記ポリシ記憶手段において対応付けられているポリシを、判定の相手方とする相手ポリシとして特定するポリシ特定手段と、前記判定すべきポリシと、特定された前記相手ポリシと、の関係を判定する関係判定手段と、前記判定の結果を出力する結果出力手段と、を有することを特徴とする。
【0013】
追加の他の態様(4)は、上記態様を方法のカテゴリで捉えたもので、コンピュータが、情報に関する複数のポリシ間の関係を判定するポリシ判定方法であって、コンピュータが、ポリシと、そのポリシに対応する対象と、を対応付けて記憶しているポリシ記憶手段を実現し、コンピュータが、前記各対象間の階層関係を記憶している階層記憶手段を実現し、コンピュータが、判定すべきポリシと、そのポリシに対応する対象と、を取得する判定対象取得処理と、コンピュータが、取得された前記対象に対し、前記階層記憶手段に記憶されている前記階層関係において上位階層となっている対象を上位対象として特定する階層特定処理と、コンピュータが、特定された前記上位対象に、前記ポリシ記憶手段において対応付けられているポリシを、判定の相手方とする相手ポリシとして特定するポリシ特定処理と、コンピュータが、前記判定すべきポリシと、特定された前記相手ポリシと、の関係を判定する関係判定処理と、コンピュータが、前記判定の結果を出力する結果出力処理と、を含むことを特徴とする。
【0014】
追加の他の態様(5)は、上記態様をコンピュータ・プログラムのカテゴリで捉えたもので、コンピュータを制御することにより、情報に関する複数のポリシ間の関係を判定するポリシ判定プログラムであって、コンピュータに、ポリシと、そのポリシに対応する対象と、を対応付けて記憶しているポリシ記憶手段を実現させ、コンピュータに、前記各対象間の階層関係を記憶している階層記憶手段を実現させ、コンピュータに、判定すべきポリシと、そのポリシに対応する対象と、を取得させ、コンピュータに、取得された前記対象に対し、前記階層記憶手段に記憶されている前記階層関係において上位階層となっている対象を上位対象として特定させ、コンピュータに、特定された前記上位対象に、前記ポリシ記憶手段において対応付けられているポリシを、判定の相手方とする相手ポリシとして特定させ、コンピュータに、前記判定すべきポリシと、特定された前記相手ポリシと、の関係を判定させ、コンピュータが、前記判定の結果を出力させることを特徴とする。
【0015】
このように、全社と特定部門、全関係先と個別関係先など、階層関係にある対象にそれぞれ対応するポリシが存在する場合に、対象同士の階層関係を予め関係付けておく。そして、特定部門や個別関係先など任意の対象に対応するポリシについて、そのポリシに対応する対象を基に階層関係での上位対象を特定しそれに対応する相手ポリシとの矛盾の有無などを判定し出力する。
【0016】
これにより、新たなポリシの作成、修正や合意の検討などにあたり、情報の受渡しに関する複数のポリシが階層構造をなす場合でも、それらを手作業で辿って新たなポリシとの関係を判定するなどの負荷が解消され、階層関係に応じた関連するポリシを適切に処理することが可能となる。特に、その処理の精度、迅速性、効率も大幅に改善できるので情報を授受する自動処理も容易になる。
【0017】
追加の他の態様(2)は、上記いずれかの態様において、前記階層特定手段は、取得された前記対象に対し、前記階層記憶手段に記憶されている前記階層関係において下位階層となっている対象を下位対象として特定し、前記ポリシ特定手段は、特定された前記下位対象に、前記ポリシ記憶手段において対応付けられているポリシを前記相手ポリシとして特定し、前記関係判定手段は、前記判定すべきポリシと、特定された前記相手ポリシと、の関係を判定することを特徴とする。
【0018】
このように、与えられた対象の下位対象に対応する下位ポリシについても判定の対象とすることにより、会社として授受する個人情報のポリシについて下部組織ごとのポリシとの矛盾の有無を確認するなど、ポリシについてより多面的に適切な処理を行うことが可能となる。
【0019】
追加の他の態様(3)は、上記いずれかの態様において、前記判定ポリシ及び前記相手ポリシはそれぞれ、一又は二以上の条件を記述した条件記述と、前記条件記述に対応するアクションを記述したアクション記述と、を含み、前記関係判定手段は、前記判定ポリシと前記相手ポリシのうち、共通の前記アクション記述に対応する前記条件記述同士について関係の種類を判定し、判定された前記関係に応じて、前記判定ポリシの前記条件記述と前記相手ポリシの前記条件記述とを組み合わせることにより新たなポリシを作成し、又は前記判定ポリシもしくは前記相手ポリシの少なくとも一方を編集するポリシ作成手段を有することを特徴とする。
【0020】
このように、同じアクションに係る判定ポリシと相手ポリシについて、条件記述同士について関係の種類を判定し、判定した関係に応じて判定ポリシと相手ポリシそれぞれの条件記述を組み合わせて新たなポリシを作成したり、ポリシを編集することにより、任意の階層について上位階層や下位階層と矛盾しないポリシを生成できるので、ポリシの作成や合意についても、その精度、迅速性、効率が大幅に改善でき、情報授受に関する処理の自動化もさらに容易になる。
【0021】
なお、上記の各態様とは異なるカテゴリ(装置に対し方法、方法に対しプログラムなど)や、以下に説明するさらに具体的な各態様も本発明に含まれる。異なるカテゴリについては、「手段」を「処理」又は「ステップ」のように適宜読み替えるものとする。また、処理やステップの実行順序は以上記述したものに限定されず、その作用原理に反しない範囲で、適宜入れ替えたりまとめて処理するなど、変更可能である。
【発明の効果】
【0022】
本発明によれば、個人情報の受渡しに関するポリシの合意とその確認を手順化することができる。
【図面の簡単な説明】
【0023】
【図1】本発明の実施形態の構成を示す機能ブロック図。
【図2】本発明の実施形態で用いる情報(データ)を例示する図。
【図3】本発明の実施形態で用いる情報(データ)を例示する図。
【図4】本発明の実施形態で用いる情報(データ)を例示する図。
【図5】本発明の実施形態における処理手順を示すフローチャート(ポリシの合意と合意識別情報に基づく個人情報提供)。
【図6】本発明の実施形態における処理手順を示すフローチャート(ポリシ間の関係の判定)。
【図7】本発明の実施形態におけるポリシ間の関係の種類を示す概念図。
【図8】本発明の実施形態において関係を判定するポリシを示す概念図。
【図9】本発明の実施形態において関係を判定しながらポリシを編集する処理手順を示す概念図。
【図10】本発明の実施形態における処理手順を示すフローチャート(ドメインポリシの作成と編集)。
【図11】本発明の実施形態における処理手順を示すフローチャート(ポリシ間の関係を判定してポリシを編集)。
【発明を実施するための形態】
【0024】
次に、本発明を実施するための形態(「実施形態」と呼ぶ)について、図に沿って説明する。なお、背景技術や課題などで既に述べた内容と共通の前提事項については適宜省略する。
【0025】
〔1.構成〕
本実施形態は、図1に示す個人情報の提供側装置1と、提供される個人情報を利用してサービスなどを実施する受領側装置2と、を通信ネットワークN(インターネット、携帯電話網、LANなど)で接続した情報処理システム(以下「本システム」とも呼ぶ)に関するものである。各装置1,2は、一般的なコンピュータ(電子計算機)の構成として少なくとも、CPUなどの演算制御部6と、記憶装置7(主メモリ、フラッシュメモリ、HDD等)と、通信ネットワークNとの通信手段8(LANアダプタや通信ゲートウェイ装置など)と、を有する。提供側装置1と受領側装置2との間における個人情報などの通信は必要に応じてVPNなどで保護する。
【0026】
また、各装置1,2では、記憶装置7に予め記憶(インストール)した図示しない所定のコンピュータ・プログラムが演算制御部6を制御することで、図1に示す各手段などの要素(10,11,20,21など)を実現する。これら各要素のうち情報の記憶手段は、記憶装置7において各種のデータベース(「DB」とも表す)やファイル、配列等の変数、各種スタックやレジスタ、システム設定値など任意の形式で実現できる。
【0027】
このような記憶手段のうち、提供側装置1の個人情報記憶手段55は、提供の対象となる個人情報を記憶している手段であり、個人情報の内容は、氏名、性別、生年月日、電子メールアドレスなど一般的なものでよいので省略する。また、提供側装置1の管理ポリシ記憶手段18、受領側装置2の活用ポリシ記憶手段21は、個人情報の取扱いに係るポリシをそれぞれポリシの位置付けに応じて記憶する記憶手段である。ここでいう「ポリシ」は、その内容や表現形式は自由であるが、典型的には、対応する個人情報の内容に応じ、利用者や利用範囲、利用目的のほか、送受信や記憶、活用、削除などにおけるアクセス制御や暗号化といった取扱いについて、所定の表現形式で記述したものである。
【0028】
ポリシの一例を示す。
ポリシID: XXX
利用者: ○○社
データ種別: 姓名、性別、年齢・・・
利用目的: 広告配信、データ分析・・・
・・・・・・・
【0029】
また、提供側装置1は、情報に関する複数のポリシ間の関係を判定する部分としてポリシ判定部1aを持ち、そのような判定を行うポリシ判定装置を兼ねる。このポリシ判定部1aが実現するポリシ判定装置の機能は、基本的には、あるポリシと上位のポリシとの関係を判定することである。この機能に関連して、管理ポリシ記憶手段18は、ポリシと、そのポリシに対応する対象(例えば、ポリシの適用対象として、会社やその部署、個人情報の特定の範囲など。「ドメイン」とも呼ぶこととする)と、を対応付けて記憶しているポリシ記憶手段であり、対象であるドメインを示すドメインIDと対応付けて記憶されているポリシの例を図2に示す。
【0030】
また、階層記憶手段17は、各対象間の階層関係を記憶している手段であり、図3の例では、対象であるドメインのドメインID(図中の符号を兼ねる)の階層関係を記憶している。例えば、当ドメインD11を中心に考えた場合、その上位階層となるドメイン(「メタドメイン」と呼ぶこととする)はメタドメインD01であり、逆に、当ドメインD11の下位階層となるドメイン(「サブドメイン」と呼ぶこととする)は、サブドメインD21,D22,D23…となる。
【0031】
また、記憶手段以外の各手段は、以下のような情報処理の機能・作用を実現・実行する処理手段であるが、説明のために整理した機能単位であり、実際のハードウェア要素やソフトウェアモジュールとの一致は問わない。
【0032】
〔2.作用〕
上記のように構成した本実施形態における個人情報の受渡しに関する処理手順を図5のフローチャートに示す。処理手順は大まかに、事前に行う合意確認と(ステップS11〜S13及びステップS21〜S26)、それに基づく個人情報受渡し(ステップS14〜S15及びステップS27〜S31)に分けることができる。
【0033】
〔2−1.合意確認時の処理〕
この例では、受領側装置2の合意要求送信手段22が、今後提供を受けて活用しようとする個人情報に関するポリシの合意要求を提供側装置1へ送信し(ステップS11)、提供側装置1の合意要求受信手段9がその合意要求を受信する(ステップS21)ことを契機として、ポリシに関する合意が以下のように確認されるものとする。
【0034】
すなわち、提供側装置1では、合意確認手段10が、個人情報の取扱いに関するポリシについて受領側装置2との間で所定の合意を確認する(ステップS22)。このようなポリシに関する合意の形態や手順は自由で、例えば、提供側装置1から提示するものに単純に受領側装置2が合意するのでもよいし、逆に、受領側装置2が例えば活用ポリシ記憶手段21から読み出して提示するものに提供側装置1が合意するのでもよいし、双方が提示するポリシ間の一致を確認したり一部修正やその交渉などのプロセスを経て双方が合意するなどでもよい。
【0035】
合意が確認されると(ステップS23:「YES」)、提供側装置1の合意情報生成手段20が、図4に例示するように、確認された合意を識別する所定の合意識別情報(図4の例では「a123」)を生成し(ステップS24)、生成された合意識別情報を確認に係るポリシと対応付けてポリシ合意記憶手段24に記憶させる(ステップS25)。本実施形態では、合意情報生成手段20は、ハッシュ関数で合意識別情報に個別の受領側装置2に特有の要素を組み合わせたり、非対称暗号その他の暗号方式で提供側装置1だけが合意識別情報から受領側装置2を識別可能にするなどの処理アルゴリズムを用いて、受領側装置2を認証するための所定の認証情報(識別IDなど)を合意識別情報に組み込むが、この処理は省略する実施形態も可能である。
【0036】
続いて、提供側装置1の確認合意送信手段30が、上記のように確認された合意を識別する合意識別情報を受領側装置2へ送信すると、受領側装置2では、確認合意受信手段32が、提供側装置1の確認合意送信手段30から送信された合意識別情報を受信し(ステップS12)、このように提供側装置1から受信された合意識別情報を合意情報記憶手段33に記憶させる(ステップS13)。なお、合意したポリシを合意識別情報と一緒に送信してもよく、こうすれば合意の過程で交渉や一部修正などがあっても最終的合意内容を事後的に容易に確認できる。
【0037】
〔2−2.個人情報提供時の処理〕
その後、提供側装置1から受領側装置2が個人情報の提供を受けようとするときは、受領側装置2の合意情報送信手段42が、合意情報記憶手段33に記憶されている合意識別情報を、個人情報の要求に関連して提供側装置1へ送信する(ステップS14)。ここで、「個人情報の要求に関連して」とは、例えば、受領側装置2の側から、対応する合意情報を最初から添付して個人情報の要求を送信するのでもよいが、次のプロセスも想定できる。
【0038】
すなわち、受領側装置2の情報要求手段36からの個人情報の要求を、要求受信手段37が受信したことを契機に提供側装置1の合意情報要求手段40が、要求に係る個人情報に対応する合意情報を受領側装置2に要求し、それを受けて受領側装置2の合意情報送信手段42が、該当する合意情報を合意情報記憶手段33から読み出して提供側装置1へ送信する(ステップS14)。
【0039】
提供側装置1では、合意情報受信手段45が、前記のように個人情報の要求に関連して受領側装置2から送信された合意識別情報を受信し(ステップS27)、合意情報検証手段50が、受領側装置2から受信された合意識別情報を検証する(ステップS28)。この検証は、受信された合意識別情報について、ポリシ合意記憶手段24に記憶されている該当の合意識別情報と照合したり、また、受領側装置2の秘密鍵で電子署名が附されている場合はそれを対応する公開鍵で検証して相手の真正性を担保するなど、任意の処理でよい。
【0040】
そして、アクセス制御手段60は、受信された合意識別情報がポリシ合意記憶手段24内の合意識別情報と一致するなど、検証の結果が肯定的であった場合に(ステップS29:「YES」)、合意識別情報に対応するポリシに係る個人情報を個人情報記憶手段55から読み出して受領側装置2へ送信(ステップS31)するために必要な一連の処理を実行する(ステップS30)。これら一連の処理の内容は自由であり、一連の処理が送信処理そのものであってもよいし、他の例として、情報を受領するため受領側装置2から提供側装置1にログインするためのログイン画面など認証処理画面の表示などをこの処理に含めることにより、提供側装置1の保有する個人情報に対する受領側装置2からのアクセス制御に、ポリシの合意と合意識別情報の検証を条件付けることができる。もちろん、個人情報に係る合意識別情報の送信に先立ち、前もってログインしておくことを排除するものではない。
【0041】
そして、それら一連の処理に基づいて受領側装置2では、個人情報受信手段62が、送信した合意識別情報に対応して提供側装置1から送信(ステップS31)された個人情報を受信し(ステップS15)、活用手段16などにより活用に供し、合意した情報取扱のポリシに応じて、個人情報記憶手段65に記憶する。個人情報の活用としては、広告配信やデータ分析などが挙げられる。なお、合意の確認(ステップS23)や合意識別情報の検証(ステップS29)が失敗の場合(それぞれ「NO」)、提供側装置1や受領側装置2は、それぞれに応じたエラー処理を行う。
【0042】
〔2−3.合意におけるポリシ判定〕
上記のように提供側装置1と受領側装置2との間でポリシについて合意しようとする場合、例えば、双方の有するポリシ同士を比較して両者の関係を判定し、所定の共通性があれば同意を成立させるような場合が考えられる。このような判定は、提供側装置1でも受領側装置2でも実行できるが、以下では、提供側装置1のポリシ判定部1aで、二つのポリシ間の関係を判定する例を示す。
【0043】
ここで、ポリシ判定部1aが実現するポリシ判定装置の機能は、基本的には、あるポリシと上位のポリシとの関係を判定することであるが、この機能は例えば、図3のメタドメインD01が提供側装置1で、当ドメインD11が受領側装置2の場合、受け渡す個人情報について提供側装置1(メタドメインD01)に対応するポリシP01と、受領側装置2(当ドメインD11)に対応するポリシP11と、の関係を判定することに適用できる。
【0044】
また、社内共通や全個人情報共通というドメインすなわち適用範囲のあるポリシと、個別の事業部門や特定の個人情報内容に特化したポリシと、の関係も判定して両者の一体化などの作業に利用でき、このように社内共通と事業部門のポリシを組み合わせたポリシを当ドメインと考えれば、さらに、取引先をメタドメインやサブドメインと捉えて取引先のポリシとの関係を判定するなど、応用の組合せは各種考えられる。
【0045】
〔2−4.ポリシ判定の基本処理〕
ポリシ判定部1aが上記のようにポリシ間の関係を判定する場合の単位となる処理手順を図6のフローチャートに示す(図6の括弧書き内は後述)。すなわち、まず、判定対象取得手段11が、判定すべきポリシ(「判定ポリシ」と呼ぶこととする)と、その判定ポリシに対応する対象と、を取得する(ステップS41)。例えば、図2及び図3の例では、判定すべきポリシのポリシIDがP11なら、ポリシP11に対応する当ドメインD11を取得する。続いて、階層特定手段12が、取得された対象(例えば当ドメインD11)に対し、階層記憶手段17に記憶されている階層関係において(図3)上位階層となっている対象(ここではメタドメインD01)を上位対象として特定する(ステップS42)。
【0046】
続いて、ポリシ特定手段13が、特定された上位対象(ここではメタドメインD01)に、管理ポリシ記憶手段18において対応付けられているポリシである上位ポリシ(図2の例ではポリシP01)を、判定の相手方とする相手ポリシとして特定すると(ステップS43)、関係判定手段14が、判定すべきポリシ(ここではポリシP11)と、特定された相手ポリシ(この場合は上位ポリシであるポリシP01)と、の関係を判定し(ステップS44)、この判定の結果を結果出力手段15が、例えば合意確認手段10などに出力する(ステップS45)。
【0047】
なお、上位対象に限らず、下位階層側の対象に対応するポリシを相手ポリシとして判定を行うこともできる(図6の括弧書き内)。この場合、階層特定手段12は、取得された対象(例えば当ドメインD11)に対し、階層記憶手段17に記憶されている階層関係において(図3)下位階層となっている対象(例えばサブドメインD21,D22,D23…)を下位対象として特定し(ステップS42)、ポリシ特定手段13は、特定された下位対象に、管理ポリシ記憶手段18において対応付けられているポリシである下位ポリシを、判定の相手方とする相手ポリシとして特定し(ステップS43)、関係判定手段14は、判定すべきポリシと、特定された相手ポリシ(この場合は下位ポリシ)と、の関係を判定する(ステップS44)。
【0048】
また、以上のようなポリシの判定は、図3に例示したような同一ドメイン内に限られるものではなく、他のドメインとの間でポリシの判定を行うことができる。例えば、図3に例示したドメインがあるA社の組織で、他のB社から当ドメインD11の部署を指定して提供される個人情報のポリシが判定ポリシの場合、このB社由来の判定ポリシを、図3の階層関係を辿ることで、A社の当ドメインD11のみならず、メタドメインD01に対応する例えば全社共通ポリシや、A社のサブドメインD21,D22…に対応する例えば部課や係の個別ポリシなどを相手ポリシとして、関係の判定を行うことができる。なお、上位階層や下位階層としては、基本的には一つ上(又は下)をみるが、念のためさらに上(又は下)をみるようにしてもよい。
【0049】
〔2−5.ポリシの例〕
続いて、ポリシの例を示す。例えば、判定ポリシの上位ポリシであるメタポリシ(仮にpm1とする)が、次のようであったとする。
<メタポリシpm1>
Rule (
Conditions(
condition(u1.isa(S)) &&
condition(u2.isa(S)) &&
condition(u1.owns(data)) &&
condition(u1.consents(a)) &&
condition(a.isa(Actions)) &&
condition(a != “send(u1,u2,data)”)
)
Action(
¬ do(a)
)
)
【0050】
ここで、判定ポリシ及び相手ポリシはそれぞれ、一又は二以上の条件を記述した条件記述と、前記条件記述に対応するアクションを記述したアクション記述と、を含むものとする。例えば、上のメタポリシpm1では、「Conditions()」で囲まれた個々の「condition()」内が条件記述で、対応するアクション記述は「Action()」内である。すなわち、「Conditions()」で囲まれた全ての「condition()」内に記述された論理式が true であれば、「Action」内のアクションを実行できる。
【0051】
この例では、個々の条件記述は、変数と、記述子と、引数と、で構成される。例えば、最初の「condition()」内の「u1」が変数名、「.isa()」は記述子で、例えば「a.isa(b)」にように表記すれば「aはbに属する」を意味するものとする。ここでは「S」はSubject(人)の集合を表わすので、「u1.isa(S)」は、「変数u1は集合Sに属する」ことを意味する。また、「&&」はANDを表わすので、上記の例では6つの条件記述は同時に充足されたときに、「Action()」が適用される。また、「a.owns(b)」は「aはbを所有する」を意味するので、「u1.owns(data)」は、「変数u1はdataを所有する(含む)」ことを意味する。
【0052】
「Actions()」内はアクション記述で、アクションの文字列の集合を表わす。また、「!=」は not equal と同じである。さらに、「¬」は、否定の論理演算を表わし、上記では条件記述成立の場合、アクションaの実行は禁止となる。
【0053】
別のメタポリシの例を示す。
<メタポリシpm2>
Rule (
Conditions(
condition(u.isa(S)) &&
condition(u.owns(att)) &&
condition(a.isa(Actions)) &&
condition(a == “manage(att)”) &&
condition(name.isa(att)) &&
condition(address.isa(att))
)
Action(
do(a)
)
)
【0054】
このメタポリシpm2では、上記メタポリシpm1と同様に、「Conditions()」で囲まれた全ての条件記述「condition()」で表現された論理式が true であれば、「Action()」内のアクションを実行できる。すなわち、「u.isa(S)」(ユーザuが「Subject」の集合Sに含まれ)、「u.owns(att)」(ユーザuが属性情報の集合「att」を所有し)、「a == “manage(att)”」(アクション集合「Actions」に含まれるアクションaが「属性attを管理する」こと)と規定され、「name.isa(att)」「address.isa(att)」(その「att」に「name」と「address」が含まれる場合)、が全て成立する場合、アクション記述「Action(do(a))」により、そのアクションaを実行してよい。
【0055】
〔2−6.関係の判定〕
ポリシ間の関係を判定する基準や手法は自由であり、言語処理や文字列処理などの従来技術を適宜用いてセマンティックスに着目して比較し判定すればよい。一例としては、個々の条件記述同士の共通性の判定が単位となる。例えば、メタポリシpm1内の最初の条件記述「u1.isa(S)」と、メタポリシpm2内の最初の条件記述「u.isa(S)」との共通性を例にとれば、変数名「u1」と「u」の共通性を予め定義しておくなどにより変数名を正規化すれば、残りの部分は全く同一であり、両者間の共通性を認めることができる。記述子や引数の共通性も同様に判定できる。
【0056】
そして、二つのポリシそれぞれの条件記述同士を順列組合せや一部分の共通性(変数、記述子又は引数が同じであるなど)などに基づいて判定し、全てが共通なら等価(収束)、全てが異なれば異別(発散)、一方が他方に条件を付け加えていれば包含(制限や拡張)、一部の条件同士が共通なら一部重複など、集合理論その他の基準で判定し、判定結果に応じた合意その他の処理に適宜利用すればよい。なお、このようなポリシ間の関係の種類を図7に例示するが、関係の種類は他にも自由に定義してよい。
【0057】
〔2−7.判定結果の応用〕
上記のような判定に基づいて、二つのポリシを組み合わせて新たなポリシを作成したり編集することもできる。この場合、関係判定手段14は、判定ポリシと相手ポリシのうち、共通のアクション記述に対応する条件記述同士について関係の種類(等価、異別、包含、一部重複など)を判定し、ポリシ作成手段16が、判定された関係に応じて、判定ポリシの条件記述と相手ポリシの条件記述とを組み合わせることにより新たなポリシを作成し、又は判定ポリシもしくは相手ポリシの少なくとも一方を編集する。
【0058】
例えば、上記のメタポリシpm1と同じアクションに係るポリシとして、下線部の条件記述を有するドメイン特有ポリシspが存在する場合を考える。
<ドメイン特有ポリシsp>
Rule (
Conditions(
condition(medical_records.isa(data))
)
Action(
¬ do(a)
)
)
このドメイン特有ポリシspが、メタポリシpm1の内容を継承することにより下記のドメインポリシdpとなる場合を考える。このドメインポリシdpでは、下線部以外の条件記述は、メタポリシpm1から継承したものである。
【0059】
<ドメインポリシdp>
Rule (
Conditions(
condition(u1.isa(S)) &&
condition(u2.isa(S)) &&
condition(u1.owns(data)) &&
condition(u1.consents(a)) &&
condition(a.isa(Actions)) &&
condition(a != “send(u1,u2,data)”) &&
condition(medical_records.isa(data))
)
Action(
¬ do(a)
)
)
【0060】
実際には、受渡しなどの単位となる個人情報群に対応するポリシは、上記のドメインポリシdpのような単位となるポリシ(「単位ポリシ」と呼ぶこととする)が必要な数だけ集合したポリシ群である。例として、図8の概念図に示すように、配列pols(m)に格納されたメタドメインポリシを構成する単位ポリシPmをインスタンス化(ドメインに合わせて変数名や引数などを具体化すること)して、配列pols(d)に格納された当ドメインなどのドメインポリシに組み込む場合を考える。
【0061】
そして、組み込んだ結果として得られた配列pols(d)内の各単位ポリシを判定ポリシPkとして、相手ポリシPjと関係を判定し、判定された関係に応じて判定ポリシPkを編集するものとする。ここで、相手ポリシPjは、例えば、受領側装置2のように個人情報の受渡し相手方のポリシや、サブドメインのポリシなど(ここでは「ドメイン特有ポリシ」とする)を構成する単位ポリシで、配列polsに格納されているとする。
【0062】
これら一連の処理の手順を図9(行1から行26)に示し、その内容を図10のフローチャートに示す。すなわち、まず、ドメインポリシを格納するためのドメインポリシ格納配列pols(d)を生成し(ステップS51。図9の行1)、上位の親ドメインに対応するメタポリシを取得し格納配列pols(m)に格納する(ステップS52。図9の行2)。そして、未処理のメタポリシを一つ取得し(ステップS53。図9の行3)、そのメタポリシをインスタンス化し(ステップS54。図9の行5)、インスタンス化したメタポリシをドメインポリシ格納配列pols(d)に追加する(ステップS55。図9の行6)という一連の処理を、全てのメタポリシについて処理済となるまで(ステップS56。図9の行3)繰り返す。
【0063】
全てのメタポリシについて処理済になると(ステップS56:「YES」。図9の行8)、ポリシ間の関係を判定してポリシを編集する処理に進むが(ステップS57)、ステップS57における処理の手順を、さらに具体的に図11のフローチャートに示す。この処理は、ドメイン特有ポリシを予め配列polsに格納することを前提とし(図8。図9の行9)、全ての判定ポリシについてステップS71とステップS81の間の示す以下の処理を繰り返すもので(図9の行10〜25)、具体的には、判定ポリシPkを一つ取得するたびに(ステップS72)、全ての相手ポリシPjについてステップS73〜S80の処理を行う。
【0064】
すなわち、判定ポリシPkと相手ポリシPjの関係の判定において、まず、判定ポリシPkと相手ポリシPjが異別であれば(ステップS74:「YES」。図9の行13)、ドメインポリシ格納配列pols(d)から判定ポリシPkを削除する(ステップS75。図9の行14)。また、判定ポリシPkが相手ポリシPjを拡張するものであれば(ステップS76:「YES」。図9の行15)、ドメインポリシ格納配列pols(d)から判定ポリシPkを削除し(図9の行16)Pjを追加する(ステップS77。図9の行17)。また、判定ポリシPkと相手ポリシPjが一部重複であれば(ステップS78:「YES」。図9の行18)、ドメインポリシ格納配列pols(d)から判定ポリシPkを削除する(図9の行20)一方、PkとPjの共通部分を生成し(図9の行19)追加する(ステップS79。図9の行21)。
【0065】
以上の図9から図11に示した処理によって、図8に例示するようなメタドメインポリシを継承したドメインポリシと、他のドメインのドメイン特有ポリシのように、相互に変数名や値など表現上の相違がある可能性がある複数のポリシ群の間においても、セマンティックスに基づく意味的な関係の判定とそれに基づく編集により、ずれや矛盾が除去された合意可能な状態という関係が実現できる。
【0066】
〔3.効果〕
以上のように、本実施形態では、個人情報の授受する装置間でのプロトコルなどとして手順化された処理として(例えば図5)、情報取扱のポリシに関し予め合意し、以降、合意の識別情報の確認を条件として情報授受などのアクセス制御を適用し、確認できない限り情報授受の前段階となる認証処理画面への遷移もブロックするフィルタリングや、確認できない限り情報授受処理が行われないようにフィルタリングするなどにより(例えばステップS29)、個人情報の受渡しに関するポリシの合意とその確認を手順化でき、ポリシ適用の実効性や効率性が改善できる。
【0067】
特に、本実施形態では、ハッシュ関数や暗号などの処理アルゴリズムを用いて、受領側装置を認証するための情報を合意識別情報に組み込むことにより(例えばステップS24)、提供側装置で予め受領側装置を認証する処理が不要となるので、合意識別情報を用いた個人情報提供の処理が迅速化・効率化される。
【0068】
また、本実施形態では、以上のように、全社と特定部門、全関係先と個別関係先など、階層関係にある対象にそれぞれ対応するポリシが存在する場合に(例えば図2)、対象同士の階層関係を予め関係付けておく(例えば図3)。そして、特定部門や個別関係先など任意の対象に対応するポリシについて、そのポリシに対応する対象を基に階層関係での上位対象を特定しそれに対応する上位ポリシとの矛盾の有無などを判定し出力する(例えば図6)。
【0069】
これにより、新たなポリシの作成、修正や合意の検討などにあたり、情報の受渡しに関する複数のポリシが階層構造をなす場合でも、それらを手作業で辿って新たなポリシとの関係を判定するなどの負荷が解消され、階層関係に応じた関連するポリシを適切に処理することが可能となる。特に、その処理の精度、迅速性、効率も大幅に改善できるので情報を授受する自動処理も容易になる。
【0070】
さらに、本実施形態では、与えられた対象の下位対象に対応する下位ポリシについても判定の対象とすることにより(例えば図6の括弧書き)、会社として授受する個人情報のポリシについて下部組織ごとのポリシとの矛盾の有無を確認するなど、ポリシについてより多面的に適切な処理を行うことが可能となる。
【0071】
加えて、本実施形態では、同じアクションに係る判定ポリシと相手ポリシについて、条件記述同士について関係の種類(例えば図7)を判定し、判定した関係に応じて判定ポリシと相手ポリシそれぞれの条件記述を組み合わせて新たなポリシを作成したり、ポリシを編集することにより(例えば図9から図11)、任意の階層について上位階層や下位階層と矛盾しないポリシを生成できるので(例えば図8)、ポリシの作成や合意についても、その精度、迅速性、効率が大幅に改善でき、情報授受に関する処理の自動化もさらに容易になる。
【0072】
〔4.他の実施形態〕
なお、上記実施形態は例示に過ぎず、本発明は、以下に例示するものやそれ以外の他の実施態様も含むものである。例えば、本発明によるポリシ間の関係の判定については、個人情報に限らず、営業秘密そのほか情報全般を対象として、情報に関する複数のポリシ間の関係を判定するのでもよい。また、上記実施形態では、判定された関係に応じて判定ポリシであるドメインポリシを編集する例を示したが、判定された関係に応じて、判定ポリシの条件記述と相手ポリシの条件記述とを組み合わせることにより新たなポリシを作成するようにすれば、よりダイナミックなポリシの処理が可能となる。
【0073】
また、本発明に関する手段などの各要素は、コンピュータの演算制御部に限らず、ワイヤードロジック等に基づく電子回路など他の情報処理機構で実現してもよい。また、各構成図、データの図、フローチャートの図などは例示に過ぎず、各要素の有無、その配置順序や各処理の実行順序、具体的内容などは適宜変更可能である。例えば、ポリシ判定部1aは、提供側装置1に限らず、受領側装置2に設けてもよい。
【0074】
また、提供側装置や受領側装置は、構成要素となるサーバなどの装置を複数用いて実現することができ、個々の記憶手段を別個独立のサーバ装置やシステムで実現したり、個々の処理手段を複数のサーバの組合せで実現する構成も一般的である。また、機能によっては、外部のプラットフォーム等をAPI(アプリケーション・プログラム・インタフェース)やネットワークコンピューティング(いわゆるクラウドなど)で呼び出して実現するなど、構成は柔軟に変更できる。
【符号の説明】
【0075】
1 提供側装置
1a ポリシ判定部
2 受領側装置
6 演算制御部
7 記憶装置
8 通信手段
9 合意要求受信手段
10 合意確認手段
11 判定対象取得手段
12 階層特定手段
13 ポリシ特定手段
14 関係判定手段
15 結果出力手段
16 ポリシ作成手段
17 階層記憶手段
18 管理ポリシ記憶手段
20 合意情報生成手段
21 活用ポリシ記憶手段
22 合意要求送信手段
24 ポリシ合意記憶手段
30 確認合意送信手段
32 確認合意受信手段
33 合意情報記憶手段
36 情報要求手段
37 要求受信手段
40 合意情報要求手段
42 合意情報送信手段
45 合意情報受信手段
50 合意情報検証手段
55 個人情報記憶手段
60 アクセス制御手段
62 個人情報受信手段
65 個人情報記憶手段
D01 メタドメイン
D11 当ドメイン
D21,D22,D23 サブドメイン
N 通信ネットワーク
【技術分野】
【0001】
本発明は、個人情報の管理に関する。
【背景技術】
【0002】
近年、個人情報やプライバシーを保護するため、各種事業者が取得する個人情報の活用や保護といった取扱に関する定め(「ポリシ」と総称することとする)が作成、適用されている。一方、情報処理の分野における事業者間連携や分散処理の発達に伴い、インターネット利用者など顧客の個人情報が、一定の条件下で、異なる事業者の情報システム間で受け渡される場合がある。このような個人情報の授受とポリシに関する従来の技術として、個人情報とそのポリシを組み合わせて装置間で受渡す提案が知られている(例えば、特許文献1参照)が提案されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2006−344156号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかし、上記のような従来の技術では、個人情報受渡しについて、ポリシに関する合意の形成やその確認が手順化されていなかったため、ポリシ適用の実効性や効率性が課題となっていた。
【0005】
上記のような課題に対し、本発明の目的は、個人情報の受渡しに関するポリシの合意とその確認を手順化することである。
【課題を解決するための手段】
【0006】
上記の目的をふまえ、本発明の一態様(1)は、個人情報の提供側装置と、受領側装置と、を有する情報処理システムにおいて、前記提供側装置は、提供の対象となる前記個人情報を記憶している個人情報記憶手段と、前記個人情報の取扱いに関するポリシについて前記受領側装置との間で所定の合意を確認する合意確認手段と、確認された前記合意を識別する所定の合意識別情報を生成する合意情報生成手段と、生成された前記合意識別情報を前記確認に係る前記ポリシと対応付けて記憶するポリシ合意記憶手段と、前記合意識別情報を前記受領側装置へ送信する確認合意送信手段と、前記個人情報の要求に関連して前記受領側装置から送信された前記合意識別情報を受信する合意情報受信手段と、前記受領側装置から受信された前記合意識別情報を検証する合意情報検証手段と、前記検証の結果が肯定的であった場合に、前記合意識別情報に対応するポリシに係る前記個人情報を前記受領側装置へ送信するために必要な一連の処理を実行するアクセス制御手段と、を有し、前記受領側装置は、前記提供側装置の前記確認合意送信手段から送信された前記合意識別情報を受信する確認合意受信手段と、前記提供側装置から受信された前記合意識別情報を記憶する合意情報記憶手段と、前記合意情報記憶手段に記憶されている前記合意識別情報を前記個人情報の要求に関連して前記提供側装置へ送信する合意情報送信手段と、送信した前記合意識別情報に対応して前記提供側装置から送信された前記個人情報を受信する個人情報受信手段と、を有することを特徴とする。
【0007】
本発明の他の態様(3)は、上記態様を方法のカテゴリで捉えたもので、個人情報の提供側装置と、受領側装置と、を有する情報処理システムにおける情報処理方法において、前記提供側装置において、コンピュータが、提供の対象となる前記個人情報を記憶している個人情報記憶手段を実現し、コンピュータが、前記個人情報の取扱いに関するポリシについて前記受領側装置との間で所定の合意を確認する合意確認処理と、コンピュータが、確認された前記合意を識別する所定の合意識別情報を生成する合意情報生成処理と、コンピュータが、生成された前記合意識別情報を前記確認に係る前記ポリシと対応付けて所定のポリシ合意記憶手段に記憶させる処理と、コンピュータが、前記合意識別情報を前記受領側装置へ送信する確認合意送信処理と、コンピュータが、前記個人情報の要求に関連して前記受領側装置から送信された前記合意識別情報を受信する合意情報受信処理と、コンピュータが、前記受領側装置から受信された前記合意識別情報を検証する合意情報検証処理と、コンピュータが、前記検証の結果が肯定的であった場合に、前記合意識別情報に対応するポリシに係る前記個人情報を前記受領側装置へ送信するために必要な一連の処理を実行するアクセス制御処理と、を実行し、前記受領側装置において、コンピュータが、前記提供側装置の前記確認合意送信処理により送信された前記合意識別情報を受信する確認合意受信処理と、コンピュータが、前記提供側装置から受信された前記合意識別情報を所定の合意情報記憶手段に記憶させる処理と、コンピュータが、前記合意情報記憶手段に記憶されている前記合意識別情報を前記個人情報の要求に関連して前記提供側装置へ送信する合意情報送信処理と、コンピュータが、送信した前記合意識別情報に対応して前記提供側装置から送信された前記個人情報を受信する個人情報受信処理と、を実行することを特徴とする。
【0008】
このように、個人情報の授受する装置間でのプロトコルなどとして手順化された処理として、情報取扱のポリシに関し予め合意し、以降、合意の識別情報の確認を条件として情報授受などのアクセス制御を適用し、確認できない限り情報授受の前段階となる認証処理画面への遷移もブロックするフィルタリングや、確認できない限り情報授受処理が行われないようにフィルタリングするなどにより、個人情報の受渡しに関するポリシの合意とその確認を手順化でき、ポリシ適用の実効性や効率性が改善できる。
【0009】
本発明の他の態様(2)は、上記いずれかの態様において、前記合意情報生成手段は、前記受領側装置を認証するための所定の認証情報を前記合意識別情報に組み込むことを特徴とする。
【0010】
このように、ハッシュ関数や暗号などの処理アルゴリズムを用いて、受領側装置を認証するための情報を合意識別情報に組み込むことにより、提供側装置で予め受領側装置を認証する処理が不要となるので、合意識別情報を用いた個人情報提供の処理が迅速化・効率化される。
【0011】
なお、以下の各態様は、上記各態様との組み合わせに適する追加の構成であり、そのような組み合わせに基づく相乗効果により、情報の受渡しに関するポリシの処理をさらに改善するものである。
【0012】
追加の一態様(1)は、情報に関する複数のポリシ間の関係を判定するポリシ判定装置であって、ポリシと、そのポリシに対応する対象と、を対応付けて記憶しているポリシ記憶手段と、前記各対象間の階層関係を記憶している階層記憶手段と、判定すべきポリシと、そのポリシに対応する対象と、を取得する判定対象取得手段と、取得された前記対象に対し、前記階層記憶手段に記憶されている前記階層関係において上位階層となっている対象を上位対象として特定する階層特定手段と、特定された前記上位対象に、前記ポリシ記憶手段において対応付けられているポリシを、判定の相手方とする相手ポリシとして特定するポリシ特定手段と、前記判定すべきポリシと、特定された前記相手ポリシと、の関係を判定する関係判定手段と、前記判定の結果を出力する結果出力手段と、を有することを特徴とする。
【0013】
追加の他の態様(4)は、上記態様を方法のカテゴリで捉えたもので、コンピュータが、情報に関する複数のポリシ間の関係を判定するポリシ判定方法であって、コンピュータが、ポリシと、そのポリシに対応する対象と、を対応付けて記憶しているポリシ記憶手段を実現し、コンピュータが、前記各対象間の階層関係を記憶している階層記憶手段を実現し、コンピュータが、判定すべきポリシと、そのポリシに対応する対象と、を取得する判定対象取得処理と、コンピュータが、取得された前記対象に対し、前記階層記憶手段に記憶されている前記階層関係において上位階層となっている対象を上位対象として特定する階層特定処理と、コンピュータが、特定された前記上位対象に、前記ポリシ記憶手段において対応付けられているポリシを、判定の相手方とする相手ポリシとして特定するポリシ特定処理と、コンピュータが、前記判定すべきポリシと、特定された前記相手ポリシと、の関係を判定する関係判定処理と、コンピュータが、前記判定の結果を出力する結果出力処理と、を含むことを特徴とする。
【0014】
追加の他の態様(5)は、上記態様をコンピュータ・プログラムのカテゴリで捉えたもので、コンピュータを制御することにより、情報に関する複数のポリシ間の関係を判定するポリシ判定プログラムであって、コンピュータに、ポリシと、そのポリシに対応する対象と、を対応付けて記憶しているポリシ記憶手段を実現させ、コンピュータに、前記各対象間の階層関係を記憶している階層記憶手段を実現させ、コンピュータに、判定すべきポリシと、そのポリシに対応する対象と、を取得させ、コンピュータに、取得された前記対象に対し、前記階層記憶手段に記憶されている前記階層関係において上位階層となっている対象を上位対象として特定させ、コンピュータに、特定された前記上位対象に、前記ポリシ記憶手段において対応付けられているポリシを、判定の相手方とする相手ポリシとして特定させ、コンピュータに、前記判定すべきポリシと、特定された前記相手ポリシと、の関係を判定させ、コンピュータが、前記判定の結果を出力させることを特徴とする。
【0015】
このように、全社と特定部門、全関係先と個別関係先など、階層関係にある対象にそれぞれ対応するポリシが存在する場合に、対象同士の階層関係を予め関係付けておく。そして、特定部門や個別関係先など任意の対象に対応するポリシについて、そのポリシに対応する対象を基に階層関係での上位対象を特定しそれに対応する相手ポリシとの矛盾の有無などを判定し出力する。
【0016】
これにより、新たなポリシの作成、修正や合意の検討などにあたり、情報の受渡しに関する複数のポリシが階層構造をなす場合でも、それらを手作業で辿って新たなポリシとの関係を判定するなどの負荷が解消され、階層関係に応じた関連するポリシを適切に処理することが可能となる。特に、その処理の精度、迅速性、効率も大幅に改善できるので情報を授受する自動処理も容易になる。
【0017】
追加の他の態様(2)は、上記いずれかの態様において、前記階層特定手段は、取得された前記対象に対し、前記階層記憶手段に記憶されている前記階層関係において下位階層となっている対象を下位対象として特定し、前記ポリシ特定手段は、特定された前記下位対象に、前記ポリシ記憶手段において対応付けられているポリシを前記相手ポリシとして特定し、前記関係判定手段は、前記判定すべきポリシと、特定された前記相手ポリシと、の関係を判定することを特徴とする。
【0018】
このように、与えられた対象の下位対象に対応する下位ポリシについても判定の対象とすることにより、会社として授受する個人情報のポリシについて下部組織ごとのポリシとの矛盾の有無を確認するなど、ポリシについてより多面的に適切な処理を行うことが可能となる。
【0019】
追加の他の態様(3)は、上記いずれかの態様において、前記判定ポリシ及び前記相手ポリシはそれぞれ、一又は二以上の条件を記述した条件記述と、前記条件記述に対応するアクションを記述したアクション記述と、を含み、前記関係判定手段は、前記判定ポリシと前記相手ポリシのうち、共通の前記アクション記述に対応する前記条件記述同士について関係の種類を判定し、判定された前記関係に応じて、前記判定ポリシの前記条件記述と前記相手ポリシの前記条件記述とを組み合わせることにより新たなポリシを作成し、又は前記判定ポリシもしくは前記相手ポリシの少なくとも一方を編集するポリシ作成手段を有することを特徴とする。
【0020】
このように、同じアクションに係る判定ポリシと相手ポリシについて、条件記述同士について関係の種類を判定し、判定した関係に応じて判定ポリシと相手ポリシそれぞれの条件記述を組み合わせて新たなポリシを作成したり、ポリシを編集することにより、任意の階層について上位階層や下位階層と矛盾しないポリシを生成できるので、ポリシの作成や合意についても、その精度、迅速性、効率が大幅に改善でき、情報授受に関する処理の自動化もさらに容易になる。
【0021】
なお、上記の各態様とは異なるカテゴリ(装置に対し方法、方法に対しプログラムなど)や、以下に説明するさらに具体的な各態様も本発明に含まれる。異なるカテゴリについては、「手段」を「処理」又は「ステップ」のように適宜読み替えるものとする。また、処理やステップの実行順序は以上記述したものに限定されず、その作用原理に反しない範囲で、適宜入れ替えたりまとめて処理するなど、変更可能である。
【発明の効果】
【0022】
本発明によれば、個人情報の受渡しに関するポリシの合意とその確認を手順化することができる。
【図面の簡単な説明】
【0023】
【図1】本発明の実施形態の構成を示す機能ブロック図。
【図2】本発明の実施形態で用いる情報(データ)を例示する図。
【図3】本発明の実施形態で用いる情報(データ)を例示する図。
【図4】本発明の実施形態で用いる情報(データ)を例示する図。
【図5】本発明の実施形態における処理手順を示すフローチャート(ポリシの合意と合意識別情報に基づく個人情報提供)。
【図6】本発明の実施形態における処理手順を示すフローチャート(ポリシ間の関係の判定)。
【図7】本発明の実施形態におけるポリシ間の関係の種類を示す概念図。
【図8】本発明の実施形態において関係を判定するポリシを示す概念図。
【図9】本発明の実施形態において関係を判定しながらポリシを編集する処理手順を示す概念図。
【図10】本発明の実施形態における処理手順を示すフローチャート(ドメインポリシの作成と編集)。
【図11】本発明の実施形態における処理手順を示すフローチャート(ポリシ間の関係を判定してポリシを編集)。
【発明を実施するための形態】
【0024】
次に、本発明を実施するための形態(「実施形態」と呼ぶ)について、図に沿って説明する。なお、背景技術や課題などで既に述べた内容と共通の前提事項については適宜省略する。
【0025】
〔1.構成〕
本実施形態は、図1に示す個人情報の提供側装置1と、提供される個人情報を利用してサービスなどを実施する受領側装置2と、を通信ネットワークN(インターネット、携帯電話網、LANなど)で接続した情報処理システム(以下「本システム」とも呼ぶ)に関するものである。各装置1,2は、一般的なコンピュータ(電子計算機)の構成として少なくとも、CPUなどの演算制御部6と、記憶装置7(主メモリ、フラッシュメモリ、HDD等)と、通信ネットワークNとの通信手段8(LANアダプタや通信ゲートウェイ装置など)と、を有する。提供側装置1と受領側装置2との間における個人情報などの通信は必要に応じてVPNなどで保護する。
【0026】
また、各装置1,2では、記憶装置7に予め記憶(インストール)した図示しない所定のコンピュータ・プログラムが演算制御部6を制御することで、図1に示す各手段などの要素(10,11,20,21など)を実現する。これら各要素のうち情報の記憶手段は、記憶装置7において各種のデータベース(「DB」とも表す)やファイル、配列等の変数、各種スタックやレジスタ、システム設定値など任意の形式で実現できる。
【0027】
このような記憶手段のうち、提供側装置1の個人情報記憶手段55は、提供の対象となる個人情報を記憶している手段であり、個人情報の内容は、氏名、性別、生年月日、電子メールアドレスなど一般的なものでよいので省略する。また、提供側装置1の管理ポリシ記憶手段18、受領側装置2の活用ポリシ記憶手段21は、個人情報の取扱いに係るポリシをそれぞれポリシの位置付けに応じて記憶する記憶手段である。ここでいう「ポリシ」は、その内容や表現形式は自由であるが、典型的には、対応する個人情報の内容に応じ、利用者や利用範囲、利用目的のほか、送受信や記憶、活用、削除などにおけるアクセス制御や暗号化といった取扱いについて、所定の表現形式で記述したものである。
【0028】
ポリシの一例を示す。
ポリシID: XXX
利用者: ○○社
データ種別: 姓名、性別、年齢・・・
利用目的: 広告配信、データ分析・・・
・・・・・・・
【0029】
また、提供側装置1は、情報に関する複数のポリシ間の関係を判定する部分としてポリシ判定部1aを持ち、そのような判定を行うポリシ判定装置を兼ねる。このポリシ判定部1aが実現するポリシ判定装置の機能は、基本的には、あるポリシと上位のポリシとの関係を判定することである。この機能に関連して、管理ポリシ記憶手段18は、ポリシと、そのポリシに対応する対象(例えば、ポリシの適用対象として、会社やその部署、個人情報の特定の範囲など。「ドメイン」とも呼ぶこととする)と、を対応付けて記憶しているポリシ記憶手段であり、対象であるドメインを示すドメインIDと対応付けて記憶されているポリシの例を図2に示す。
【0030】
また、階層記憶手段17は、各対象間の階層関係を記憶している手段であり、図3の例では、対象であるドメインのドメインID(図中の符号を兼ねる)の階層関係を記憶している。例えば、当ドメインD11を中心に考えた場合、その上位階層となるドメイン(「メタドメイン」と呼ぶこととする)はメタドメインD01であり、逆に、当ドメインD11の下位階層となるドメイン(「サブドメイン」と呼ぶこととする)は、サブドメインD21,D22,D23…となる。
【0031】
また、記憶手段以外の各手段は、以下のような情報処理の機能・作用を実現・実行する処理手段であるが、説明のために整理した機能単位であり、実際のハードウェア要素やソフトウェアモジュールとの一致は問わない。
【0032】
〔2.作用〕
上記のように構成した本実施形態における個人情報の受渡しに関する処理手順を図5のフローチャートに示す。処理手順は大まかに、事前に行う合意確認と(ステップS11〜S13及びステップS21〜S26)、それに基づく個人情報受渡し(ステップS14〜S15及びステップS27〜S31)に分けることができる。
【0033】
〔2−1.合意確認時の処理〕
この例では、受領側装置2の合意要求送信手段22が、今後提供を受けて活用しようとする個人情報に関するポリシの合意要求を提供側装置1へ送信し(ステップS11)、提供側装置1の合意要求受信手段9がその合意要求を受信する(ステップS21)ことを契機として、ポリシに関する合意が以下のように確認されるものとする。
【0034】
すなわち、提供側装置1では、合意確認手段10が、個人情報の取扱いに関するポリシについて受領側装置2との間で所定の合意を確認する(ステップS22)。このようなポリシに関する合意の形態や手順は自由で、例えば、提供側装置1から提示するものに単純に受領側装置2が合意するのでもよいし、逆に、受領側装置2が例えば活用ポリシ記憶手段21から読み出して提示するものに提供側装置1が合意するのでもよいし、双方が提示するポリシ間の一致を確認したり一部修正やその交渉などのプロセスを経て双方が合意するなどでもよい。
【0035】
合意が確認されると(ステップS23:「YES」)、提供側装置1の合意情報生成手段20が、図4に例示するように、確認された合意を識別する所定の合意識別情報(図4の例では「a123」)を生成し(ステップS24)、生成された合意識別情報を確認に係るポリシと対応付けてポリシ合意記憶手段24に記憶させる(ステップS25)。本実施形態では、合意情報生成手段20は、ハッシュ関数で合意識別情報に個別の受領側装置2に特有の要素を組み合わせたり、非対称暗号その他の暗号方式で提供側装置1だけが合意識別情報から受領側装置2を識別可能にするなどの処理アルゴリズムを用いて、受領側装置2を認証するための所定の認証情報(識別IDなど)を合意識別情報に組み込むが、この処理は省略する実施形態も可能である。
【0036】
続いて、提供側装置1の確認合意送信手段30が、上記のように確認された合意を識別する合意識別情報を受領側装置2へ送信すると、受領側装置2では、確認合意受信手段32が、提供側装置1の確認合意送信手段30から送信された合意識別情報を受信し(ステップS12)、このように提供側装置1から受信された合意識別情報を合意情報記憶手段33に記憶させる(ステップS13)。なお、合意したポリシを合意識別情報と一緒に送信してもよく、こうすれば合意の過程で交渉や一部修正などがあっても最終的合意内容を事後的に容易に確認できる。
【0037】
〔2−2.個人情報提供時の処理〕
その後、提供側装置1から受領側装置2が個人情報の提供を受けようとするときは、受領側装置2の合意情報送信手段42が、合意情報記憶手段33に記憶されている合意識別情報を、個人情報の要求に関連して提供側装置1へ送信する(ステップS14)。ここで、「個人情報の要求に関連して」とは、例えば、受領側装置2の側から、対応する合意情報を最初から添付して個人情報の要求を送信するのでもよいが、次のプロセスも想定できる。
【0038】
すなわち、受領側装置2の情報要求手段36からの個人情報の要求を、要求受信手段37が受信したことを契機に提供側装置1の合意情報要求手段40が、要求に係る個人情報に対応する合意情報を受領側装置2に要求し、それを受けて受領側装置2の合意情報送信手段42が、該当する合意情報を合意情報記憶手段33から読み出して提供側装置1へ送信する(ステップS14)。
【0039】
提供側装置1では、合意情報受信手段45が、前記のように個人情報の要求に関連して受領側装置2から送信された合意識別情報を受信し(ステップS27)、合意情報検証手段50が、受領側装置2から受信された合意識別情報を検証する(ステップS28)。この検証は、受信された合意識別情報について、ポリシ合意記憶手段24に記憶されている該当の合意識別情報と照合したり、また、受領側装置2の秘密鍵で電子署名が附されている場合はそれを対応する公開鍵で検証して相手の真正性を担保するなど、任意の処理でよい。
【0040】
そして、アクセス制御手段60は、受信された合意識別情報がポリシ合意記憶手段24内の合意識別情報と一致するなど、検証の結果が肯定的であった場合に(ステップS29:「YES」)、合意識別情報に対応するポリシに係る個人情報を個人情報記憶手段55から読み出して受領側装置2へ送信(ステップS31)するために必要な一連の処理を実行する(ステップS30)。これら一連の処理の内容は自由であり、一連の処理が送信処理そのものであってもよいし、他の例として、情報を受領するため受領側装置2から提供側装置1にログインするためのログイン画面など認証処理画面の表示などをこの処理に含めることにより、提供側装置1の保有する個人情報に対する受領側装置2からのアクセス制御に、ポリシの合意と合意識別情報の検証を条件付けることができる。もちろん、個人情報に係る合意識別情報の送信に先立ち、前もってログインしておくことを排除するものではない。
【0041】
そして、それら一連の処理に基づいて受領側装置2では、個人情報受信手段62が、送信した合意識別情報に対応して提供側装置1から送信(ステップS31)された個人情報を受信し(ステップS15)、活用手段16などにより活用に供し、合意した情報取扱のポリシに応じて、個人情報記憶手段65に記憶する。個人情報の活用としては、広告配信やデータ分析などが挙げられる。なお、合意の確認(ステップS23)や合意識別情報の検証(ステップS29)が失敗の場合(それぞれ「NO」)、提供側装置1や受領側装置2は、それぞれに応じたエラー処理を行う。
【0042】
〔2−3.合意におけるポリシ判定〕
上記のように提供側装置1と受領側装置2との間でポリシについて合意しようとする場合、例えば、双方の有するポリシ同士を比較して両者の関係を判定し、所定の共通性があれば同意を成立させるような場合が考えられる。このような判定は、提供側装置1でも受領側装置2でも実行できるが、以下では、提供側装置1のポリシ判定部1aで、二つのポリシ間の関係を判定する例を示す。
【0043】
ここで、ポリシ判定部1aが実現するポリシ判定装置の機能は、基本的には、あるポリシと上位のポリシとの関係を判定することであるが、この機能は例えば、図3のメタドメインD01が提供側装置1で、当ドメインD11が受領側装置2の場合、受け渡す個人情報について提供側装置1(メタドメインD01)に対応するポリシP01と、受領側装置2(当ドメインD11)に対応するポリシP11と、の関係を判定することに適用できる。
【0044】
また、社内共通や全個人情報共通というドメインすなわち適用範囲のあるポリシと、個別の事業部門や特定の個人情報内容に特化したポリシと、の関係も判定して両者の一体化などの作業に利用でき、このように社内共通と事業部門のポリシを組み合わせたポリシを当ドメインと考えれば、さらに、取引先をメタドメインやサブドメインと捉えて取引先のポリシとの関係を判定するなど、応用の組合せは各種考えられる。
【0045】
〔2−4.ポリシ判定の基本処理〕
ポリシ判定部1aが上記のようにポリシ間の関係を判定する場合の単位となる処理手順を図6のフローチャートに示す(図6の括弧書き内は後述)。すなわち、まず、判定対象取得手段11が、判定すべきポリシ(「判定ポリシ」と呼ぶこととする)と、その判定ポリシに対応する対象と、を取得する(ステップS41)。例えば、図2及び図3の例では、判定すべきポリシのポリシIDがP11なら、ポリシP11に対応する当ドメインD11を取得する。続いて、階層特定手段12が、取得された対象(例えば当ドメインD11)に対し、階層記憶手段17に記憶されている階層関係において(図3)上位階層となっている対象(ここではメタドメインD01)を上位対象として特定する(ステップS42)。
【0046】
続いて、ポリシ特定手段13が、特定された上位対象(ここではメタドメインD01)に、管理ポリシ記憶手段18において対応付けられているポリシである上位ポリシ(図2の例ではポリシP01)を、判定の相手方とする相手ポリシとして特定すると(ステップS43)、関係判定手段14が、判定すべきポリシ(ここではポリシP11)と、特定された相手ポリシ(この場合は上位ポリシであるポリシP01)と、の関係を判定し(ステップS44)、この判定の結果を結果出力手段15が、例えば合意確認手段10などに出力する(ステップS45)。
【0047】
なお、上位対象に限らず、下位階層側の対象に対応するポリシを相手ポリシとして判定を行うこともできる(図6の括弧書き内)。この場合、階層特定手段12は、取得された対象(例えば当ドメインD11)に対し、階層記憶手段17に記憶されている階層関係において(図3)下位階層となっている対象(例えばサブドメインD21,D22,D23…)を下位対象として特定し(ステップS42)、ポリシ特定手段13は、特定された下位対象に、管理ポリシ記憶手段18において対応付けられているポリシである下位ポリシを、判定の相手方とする相手ポリシとして特定し(ステップS43)、関係判定手段14は、判定すべきポリシと、特定された相手ポリシ(この場合は下位ポリシ)と、の関係を判定する(ステップS44)。
【0048】
また、以上のようなポリシの判定は、図3に例示したような同一ドメイン内に限られるものではなく、他のドメインとの間でポリシの判定を行うことができる。例えば、図3に例示したドメインがあるA社の組織で、他のB社から当ドメインD11の部署を指定して提供される個人情報のポリシが判定ポリシの場合、このB社由来の判定ポリシを、図3の階層関係を辿ることで、A社の当ドメインD11のみならず、メタドメインD01に対応する例えば全社共通ポリシや、A社のサブドメインD21,D22…に対応する例えば部課や係の個別ポリシなどを相手ポリシとして、関係の判定を行うことができる。なお、上位階層や下位階層としては、基本的には一つ上(又は下)をみるが、念のためさらに上(又は下)をみるようにしてもよい。
【0049】
〔2−5.ポリシの例〕
続いて、ポリシの例を示す。例えば、判定ポリシの上位ポリシであるメタポリシ(仮にpm1とする)が、次のようであったとする。
<メタポリシpm1>
Rule (
Conditions(
condition(u1.isa(S)) &&
condition(u2.isa(S)) &&
condition(u1.owns(data)) &&
condition(u1.consents(a)) &&
condition(a.isa(Actions)) &&
condition(a != “send(u1,u2,data)”)
)
Action(
¬ do(a)
)
)
【0050】
ここで、判定ポリシ及び相手ポリシはそれぞれ、一又は二以上の条件を記述した条件記述と、前記条件記述に対応するアクションを記述したアクション記述と、を含むものとする。例えば、上のメタポリシpm1では、「Conditions()」で囲まれた個々の「condition()」内が条件記述で、対応するアクション記述は「Action()」内である。すなわち、「Conditions()」で囲まれた全ての「condition()」内に記述された論理式が true であれば、「Action」内のアクションを実行できる。
【0051】
この例では、個々の条件記述は、変数と、記述子と、引数と、で構成される。例えば、最初の「condition()」内の「u1」が変数名、「.isa()」は記述子で、例えば「a.isa(b)」にように表記すれば「aはbに属する」を意味するものとする。ここでは「S」はSubject(人)の集合を表わすので、「u1.isa(S)」は、「変数u1は集合Sに属する」ことを意味する。また、「&&」はANDを表わすので、上記の例では6つの条件記述は同時に充足されたときに、「Action()」が適用される。また、「a.owns(b)」は「aはbを所有する」を意味するので、「u1.owns(data)」は、「変数u1はdataを所有する(含む)」ことを意味する。
【0052】
「Actions()」内はアクション記述で、アクションの文字列の集合を表わす。また、「!=」は not equal と同じである。さらに、「¬」は、否定の論理演算を表わし、上記では条件記述成立の場合、アクションaの実行は禁止となる。
【0053】
別のメタポリシの例を示す。
<メタポリシpm2>
Rule (
Conditions(
condition(u.isa(S)) &&
condition(u.owns(att)) &&
condition(a.isa(Actions)) &&
condition(a == “manage(att)”) &&
condition(name.isa(att)) &&
condition(address.isa(att))
)
Action(
do(a)
)
)
【0054】
このメタポリシpm2では、上記メタポリシpm1と同様に、「Conditions()」で囲まれた全ての条件記述「condition()」で表現された論理式が true であれば、「Action()」内のアクションを実行できる。すなわち、「u.isa(S)」(ユーザuが「Subject」の集合Sに含まれ)、「u.owns(att)」(ユーザuが属性情報の集合「att」を所有し)、「a == “manage(att)”」(アクション集合「Actions」に含まれるアクションaが「属性attを管理する」こと)と規定され、「name.isa(att)」「address.isa(att)」(その「att」に「name」と「address」が含まれる場合)、が全て成立する場合、アクション記述「Action(do(a))」により、そのアクションaを実行してよい。
【0055】
〔2−6.関係の判定〕
ポリシ間の関係を判定する基準や手法は自由であり、言語処理や文字列処理などの従来技術を適宜用いてセマンティックスに着目して比較し判定すればよい。一例としては、個々の条件記述同士の共通性の判定が単位となる。例えば、メタポリシpm1内の最初の条件記述「u1.isa(S)」と、メタポリシpm2内の最初の条件記述「u.isa(S)」との共通性を例にとれば、変数名「u1」と「u」の共通性を予め定義しておくなどにより変数名を正規化すれば、残りの部分は全く同一であり、両者間の共通性を認めることができる。記述子や引数の共通性も同様に判定できる。
【0056】
そして、二つのポリシそれぞれの条件記述同士を順列組合せや一部分の共通性(変数、記述子又は引数が同じであるなど)などに基づいて判定し、全てが共通なら等価(収束)、全てが異なれば異別(発散)、一方が他方に条件を付け加えていれば包含(制限や拡張)、一部の条件同士が共通なら一部重複など、集合理論その他の基準で判定し、判定結果に応じた合意その他の処理に適宜利用すればよい。なお、このようなポリシ間の関係の種類を図7に例示するが、関係の種類は他にも自由に定義してよい。
【0057】
〔2−7.判定結果の応用〕
上記のような判定に基づいて、二つのポリシを組み合わせて新たなポリシを作成したり編集することもできる。この場合、関係判定手段14は、判定ポリシと相手ポリシのうち、共通のアクション記述に対応する条件記述同士について関係の種類(等価、異別、包含、一部重複など)を判定し、ポリシ作成手段16が、判定された関係に応じて、判定ポリシの条件記述と相手ポリシの条件記述とを組み合わせることにより新たなポリシを作成し、又は判定ポリシもしくは相手ポリシの少なくとも一方を編集する。
【0058】
例えば、上記のメタポリシpm1と同じアクションに係るポリシとして、下線部の条件記述を有するドメイン特有ポリシspが存在する場合を考える。
<ドメイン特有ポリシsp>
Rule (
Conditions(
condition(medical_records.isa(data))
)
Action(
¬ do(a)
)
)
このドメイン特有ポリシspが、メタポリシpm1の内容を継承することにより下記のドメインポリシdpとなる場合を考える。このドメインポリシdpでは、下線部以外の条件記述は、メタポリシpm1から継承したものである。
【0059】
<ドメインポリシdp>
Rule (
Conditions(
condition(u1.isa(S)) &&
condition(u2.isa(S)) &&
condition(u1.owns(data)) &&
condition(u1.consents(a)) &&
condition(a.isa(Actions)) &&
condition(a != “send(u1,u2,data)”) &&
condition(medical_records.isa(data))
)
Action(
¬ do(a)
)
)
【0060】
実際には、受渡しなどの単位となる個人情報群に対応するポリシは、上記のドメインポリシdpのような単位となるポリシ(「単位ポリシ」と呼ぶこととする)が必要な数だけ集合したポリシ群である。例として、図8の概念図に示すように、配列pols(m)に格納されたメタドメインポリシを構成する単位ポリシPmをインスタンス化(ドメインに合わせて変数名や引数などを具体化すること)して、配列pols(d)に格納された当ドメインなどのドメインポリシに組み込む場合を考える。
【0061】
そして、組み込んだ結果として得られた配列pols(d)内の各単位ポリシを判定ポリシPkとして、相手ポリシPjと関係を判定し、判定された関係に応じて判定ポリシPkを編集するものとする。ここで、相手ポリシPjは、例えば、受領側装置2のように個人情報の受渡し相手方のポリシや、サブドメインのポリシなど(ここでは「ドメイン特有ポリシ」とする)を構成する単位ポリシで、配列polsに格納されているとする。
【0062】
これら一連の処理の手順を図9(行1から行26)に示し、その内容を図10のフローチャートに示す。すなわち、まず、ドメインポリシを格納するためのドメインポリシ格納配列pols(d)を生成し(ステップS51。図9の行1)、上位の親ドメインに対応するメタポリシを取得し格納配列pols(m)に格納する(ステップS52。図9の行2)。そして、未処理のメタポリシを一つ取得し(ステップS53。図9の行3)、そのメタポリシをインスタンス化し(ステップS54。図9の行5)、インスタンス化したメタポリシをドメインポリシ格納配列pols(d)に追加する(ステップS55。図9の行6)という一連の処理を、全てのメタポリシについて処理済となるまで(ステップS56。図9の行3)繰り返す。
【0063】
全てのメタポリシについて処理済になると(ステップS56:「YES」。図9の行8)、ポリシ間の関係を判定してポリシを編集する処理に進むが(ステップS57)、ステップS57における処理の手順を、さらに具体的に図11のフローチャートに示す。この処理は、ドメイン特有ポリシを予め配列polsに格納することを前提とし(図8。図9の行9)、全ての判定ポリシについてステップS71とステップS81の間の示す以下の処理を繰り返すもので(図9の行10〜25)、具体的には、判定ポリシPkを一つ取得するたびに(ステップS72)、全ての相手ポリシPjについてステップS73〜S80の処理を行う。
【0064】
すなわち、判定ポリシPkと相手ポリシPjの関係の判定において、まず、判定ポリシPkと相手ポリシPjが異別であれば(ステップS74:「YES」。図9の行13)、ドメインポリシ格納配列pols(d)から判定ポリシPkを削除する(ステップS75。図9の行14)。また、判定ポリシPkが相手ポリシPjを拡張するものであれば(ステップS76:「YES」。図9の行15)、ドメインポリシ格納配列pols(d)から判定ポリシPkを削除し(図9の行16)Pjを追加する(ステップS77。図9の行17)。また、判定ポリシPkと相手ポリシPjが一部重複であれば(ステップS78:「YES」。図9の行18)、ドメインポリシ格納配列pols(d)から判定ポリシPkを削除する(図9の行20)一方、PkとPjの共通部分を生成し(図9の行19)追加する(ステップS79。図9の行21)。
【0065】
以上の図9から図11に示した処理によって、図8に例示するようなメタドメインポリシを継承したドメインポリシと、他のドメインのドメイン特有ポリシのように、相互に変数名や値など表現上の相違がある可能性がある複数のポリシ群の間においても、セマンティックスに基づく意味的な関係の判定とそれに基づく編集により、ずれや矛盾が除去された合意可能な状態という関係が実現できる。
【0066】
〔3.効果〕
以上のように、本実施形態では、個人情報の授受する装置間でのプロトコルなどとして手順化された処理として(例えば図5)、情報取扱のポリシに関し予め合意し、以降、合意の識別情報の確認を条件として情報授受などのアクセス制御を適用し、確認できない限り情報授受の前段階となる認証処理画面への遷移もブロックするフィルタリングや、確認できない限り情報授受処理が行われないようにフィルタリングするなどにより(例えばステップS29)、個人情報の受渡しに関するポリシの合意とその確認を手順化でき、ポリシ適用の実効性や効率性が改善できる。
【0067】
特に、本実施形態では、ハッシュ関数や暗号などの処理アルゴリズムを用いて、受領側装置を認証するための情報を合意識別情報に組み込むことにより(例えばステップS24)、提供側装置で予め受領側装置を認証する処理が不要となるので、合意識別情報を用いた個人情報提供の処理が迅速化・効率化される。
【0068】
また、本実施形態では、以上のように、全社と特定部門、全関係先と個別関係先など、階層関係にある対象にそれぞれ対応するポリシが存在する場合に(例えば図2)、対象同士の階層関係を予め関係付けておく(例えば図3)。そして、特定部門や個別関係先など任意の対象に対応するポリシについて、そのポリシに対応する対象を基に階層関係での上位対象を特定しそれに対応する上位ポリシとの矛盾の有無などを判定し出力する(例えば図6)。
【0069】
これにより、新たなポリシの作成、修正や合意の検討などにあたり、情報の受渡しに関する複数のポリシが階層構造をなす場合でも、それらを手作業で辿って新たなポリシとの関係を判定するなどの負荷が解消され、階層関係に応じた関連するポリシを適切に処理することが可能となる。特に、その処理の精度、迅速性、効率も大幅に改善できるので情報を授受する自動処理も容易になる。
【0070】
さらに、本実施形態では、与えられた対象の下位対象に対応する下位ポリシについても判定の対象とすることにより(例えば図6の括弧書き)、会社として授受する個人情報のポリシについて下部組織ごとのポリシとの矛盾の有無を確認するなど、ポリシについてより多面的に適切な処理を行うことが可能となる。
【0071】
加えて、本実施形態では、同じアクションに係る判定ポリシと相手ポリシについて、条件記述同士について関係の種類(例えば図7)を判定し、判定した関係に応じて判定ポリシと相手ポリシそれぞれの条件記述を組み合わせて新たなポリシを作成したり、ポリシを編集することにより(例えば図9から図11)、任意の階層について上位階層や下位階層と矛盾しないポリシを生成できるので(例えば図8)、ポリシの作成や合意についても、その精度、迅速性、効率が大幅に改善でき、情報授受に関する処理の自動化もさらに容易になる。
【0072】
〔4.他の実施形態〕
なお、上記実施形態は例示に過ぎず、本発明は、以下に例示するものやそれ以外の他の実施態様も含むものである。例えば、本発明によるポリシ間の関係の判定については、個人情報に限らず、営業秘密そのほか情報全般を対象として、情報に関する複数のポリシ間の関係を判定するのでもよい。また、上記実施形態では、判定された関係に応じて判定ポリシであるドメインポリシを編集する例を示したが、判定された関係に応じて、判定ポリシの条件記述と相手ポリシの条件記述とを組み合わせることにより新たなポリシを作成するようにすれば、よりダイナミックなポリシの処理が可能となる。
【0073】
また、本発明に関する手段などの各要素は、コンピュータの演算制御部に限らず、ワイヤードロジック等に基づく電子回路など他の情報処理機構で実現してもよい。また、各構成図、データの図、フローチャートの図などは例示に過ぎず、各要素の有無、その配置順序や各処理の実行順序、具体的内容などは適宜変更可能である。例えば、ポリシ判定部1aは、提供側装置1に限らず、受領側装置2に設けてもよい。
【0074】
また、提供側装置や受領側装置は、構成要素となるサーバなどの装置を複数用いて実現することができ、個々の記憶手段を別個独立のサーバ装置やシステムで実現したり、個々の処理手段を複数のサーバの組合せで実現する構成も一般的である。また、機能によっては、外部のプラットフォーム等をAPI(アプリケーション・プログラム・インタフェース)やネットワークコンピューティング(いわゆるクラウドなど)で呼び出して実現するなど、構成は柔軟に変更できる。
【符号の説明】
【0075】
1 提供側装置
1a ポリシ判定部
2 受領側装置
6 演算制御部
7 記憶装置
8 通信手段
9 合意要求受信手段
10 合意確認手段
11 判定対象取得手段
12 階層特定手段
13 ポリシ特定手段
14 関係判定手段
15 結果出力手段
16 ポリシ作成手段
17 階層記憶手段
18 管理ポリシ記憶手段
20 合意情報生成手段
21 活用ポリシ記憶手段
22 合意要求送信手段
24 ポリシ合意記憶手段
30 確認合意送信手段
32 確認合意受信手段
33 合意情報記憶手段
36 情報要求手段
37 要求受信手段
40 合意情報要求手段
42 合意情報送信手段
45 合意情報受信手段
50 合意情報検証手段
55 個人情報記憶手段
60 アクセス制御手段
62 個人情報受信手段
65 個人情報記憶手段
D01 メタドメイン
D11 当ドメイン
D21,D22,D23 サブドメイン
N 通信ネットワーク
【特許請求の範囲】
【請求項1】
個人情報の提供側装置と、受領側装置と、を有する情報処理システムにおいて、
前記提供側装置は、
提供の対象となる前記個人情報を記憶している個人情報記憶手段と、
前記個人情報の取扱いに関するポリシについて前記受領側装置との間で所定の合意を確認する合意確認手段と、
確認された前記合意を識別する所定の合意識別情報を生成する合意情報生成手段と、
生成された前記合意識別情報を前記確認に係る前記ポリシと対応付けて記憶するポリシ合意記憶手段と、
前記合意識別情報を前記受領側装置へ送信する確認合意送信手段と、
前記個人情報の要求に関連して前記受領側装置から送信された前記合意識別情報を受信する合意情報受信手段と、
前記受領側装置から受信された前記合意識別情報を検証する合意情報検証手段と、
前記検証の結果が肯定的であった場合に、前記合意識別情報に対応するポリシに係る前記個人情報を前記受領側装置へ送信するために必要な一連の処理を実行するアクセス制御手段と、
を有し、
前記受領側装置は、
前記提供側装置の前記確認合意送信手段から送信された前記合意識別情報を受信する確認合意受信手段と、
前記提供側装置から受信された前記合意識別情報を記憶する合意情報記憶手段と、
前記合意情報記憶手段に記憶されている前記合意識別情報を前記個人情報の要求に関連して前記提供側装置へ送信する合意情報送信手段と、
送信した前記合意識別情報に対応して前記提供側装置から送信された前記個人情報を受信する個人情報受信手段と、
を有することを特徴とする情報処理システム。
【請求項2】
前記合意情報生成手段は、前記受領側装置を認証するための所定の認証情報を前記合意識別情報に組み込むことを特徴とする請求項1記載の情報処理システム。
【請求項3】
個人情報の提供側装置と、受領側装置と、を有する情報処理システムにおける情報処理方法において、
前記提供側装置において、
コンピュータが、提供の対象となる前記個人情報を記憶している個人情報記憶手段を実現し、
コンピュータが、前記個人情報の取扱いに関するポリシについて前記受領側装置との間で所定の合意を確認する合意確認処理と、
コンピュータが、前記合意を識別する所定の合意識別情報を生成する合意情報生成処理と、
コンピュータが、生成された前記合意識別情報を前記確認に係る前記ポリシと対応付けて所定のポリシ合意記憶手段に記憶させる処理と、
コンピュータが、確認された前記合意を識別する合意識別情報を前記受領側装置へ送信する確認合意送信処理と、
コンピュータが、前記個人情報の要求に関連して前記受領側装置から送信された前記合意識別情報を受信する合意情報受信処理と、
コンピュータが、前記受領側装置から受信された前記合意識別情報を検証する合意情報検証処理と、
コンピュータが、前記検証の結果が肯定的であった場合に、前記合意識別情報に対応するポリシに係る前記個人情報を前記受領側装置へ送信するために必要な一連の処理を実行するアクセス制御処理と、
を実行し、
前記受領側装置において、
コンピュータが、前記提供側装置の前記確認合意送信処理により送信された前記合意識別情報を受信する確認合意受信処理と、
コンピュータが、前記提供側装置から受信された前記合意識別情報を所定の合意情報記憶手段に記憶させる処理と、
コンピュータが、前記合意情報記憶手段に記憶されている前記合意識別情報を前記個人情報の要求に関連して前記提供側装置へ送信する合意情報送信処理と、
コンピュータが、送信した前記合意識別情報に対応して前記提供側装置から送信された前記個人情報を受信する個人情報受信処理と、
を実行することを特徴とする情報処理方法。
【請求項1】
個人情報の提供側装置と、受領側装置と、を有する情報処理システムにおいて、
前記提供側装置は、
提供の対象となる前記個人情報を記憶している個人情報記憶手段と、
前記個人情報の取扱いに関するポリシについて前記受領側装置との間で所定の合意を確認する合意確認手段と、
確認された前記合意を識別する所定の合意識別情報を生成する合意情報生成手段と、
生成された前記合意識別情報を前記確認に係る前記ポリシと対応付けて記憶するポリシ合意記憶手段と、
前記合意識別情報を前記受領側装置へ送信する確認合意送信手段と、
前記個人情報の要求に関連して前記受領側装置から送信された前記合意識別情報を受信する合意情報受信手段と、
前記受領側装置から受信された前記合意識別情報を検証する合意情報検証手段と、
前記検証の結果が肯定的であった場合に、前記合意識別情報に対応するポリシに係る前記個人情報を前記受領側装置へ送信するために必要な一連の処理を実行するアクセス制御手段と、
を有し、
前記受領側装置は、
前記提供側装置の前記確認合意送信手段から送信された前記合意識別情報を受信する確認合意受信手段と、
前記提供側装置から受信された前記合意識別情報を記憶する合意情報記憶手段と、
前記合意情報記憶手段に記憶されている前記合意識別情報を前記個人情報の要求に関連して前記提供側装置へ送信する合意情報送信手段と、
送信した前記合意識別情報に対応して前記提供側装置から送信された前記個人情報を受信する個人情報受信手段と、
を有することを特徴とする情報処理システム。
【請求項2】
前記合意情報生成手段は、前記受領側装置を認証するための所定の認証情報を前記合意識別情報に組み込むことを特徴とする請求項1記載の情報処理システム。
【請求項3】
個人情報の提供側装置と、受領側装置と、を有する情報処理システムにおける情報処理方法において、
前記提供側装置において、
コンピュータが、提供の対象となる前記個人情報を記憶している個人情報記憶手段を実現し、
コンピュータが、前記個人情報の取扱いに関するポリシについて前記受領側装置との間で所定の合意を確認する合意確認処理と、
コンピュータが、前記合意を識別する所定の合意識別情報を生成する合意情報生成処理と、
コンピュータが、生成された前記合意識別情報を前記確認に係る前記ポリシと対応付けて所定のポリシ合意記憶手段に記憶させる処理と、
コンピュータが、確認された前記合意を識別する合意識別情報を前記受領側装置へ送信する確認合意送信処理と、
コンピュータが、前記個人情報の要求に関連して前記受領側装置から送信された前記合意識別情報を受信する合意情報受信処理と、
コンピュータが、前記受領側装置から受信された前記合意識別情報を検証する合意情報検証処理と、
コンピュータが、前記検証の結果が肯定的であった場合に、前記合意識別情報に対応するポリシに係る前記個人情報を前記受領側装置へ送信するために必要な一連の処理を実行するアクセス制御処理と、
を実行し、
前記受領側装置において、
コンピュータが、前記提供側装置の前記確認合意送信処理により送信された前記合意識別情報を受信する確認合意受信処理と、
コンピュータが、前記提供側装置から受信された前記合意識別情報を所定の合意情報記憶手段に記憶させる処理と、
コンピュータが、前記合意情報記憶手段に記憶されている前記合意識別情報を前記個人情報の要求に関連して前記提供側装置へ送信する合意情報送信処理と、
コンピュータが、送信した前記合意識別情報に対応して前記提供側装置から送信された前記個人情報を受信する個人情報受信処理と、
を実行することを特徴とする情報処理方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2012−108628(P2012−108628A)
【公開日】平成24年6月7日(2012.6.7)
【国際特許分類】
【出願番号】特願2010−255439(P2010−255439)
【出願日】平成22年11月16日(2010.11.16)
【出願人】(500257300)ヤフー株式会社 (1,128)
【Fターム(参考)】
【公開日】平成24年6月7日(2012.6.7)
【国際特許分類】
【出願日】平成22年11月16日(2010.11.16)
【出願人】(500257300)ヤフー株式会社 (1,128)
【Fターム(参考)】
[ Back to top ]