情報管理システム
【課題】利用者の個人情報を第三者への漏洩から保護しつつ利用者の個人データを管理し得る情報管理システム及び方法を提供する。
【解決手段】情報管理システムは、ネットワーク1に接続したクライアント2とデータサーバ3と認証サーバ4とを備え、利用者の個人情報を保持しない認証サーバ4が、クライアントにより読み取られた利用者のICカード8のカードIDに基づいて利用者のユーザ認証を行い、利用者の個人データを保持するが利用者の個人情報を保持しないデータサーバが、ユーザ認証された利用者の個人データを特定してクライアントに送信し、クライアントが、送信された利用者の個人データとICカードから読み取った個人情報とを1つにして出力する。
【解決手段】情報管理システムは、ネットワーク1に接続したクライアント2とデータサーバ3と認証サーバ4とを備え、利用者の個人情報を保持しない認証サーバ4が、クライアントにより読み取られた利用者のICカード8のカードIDに基づいて利用者のユーザ認証を行い、利用者の個人データを保持するが利用者の個人情報を保持しないデータサーバが、ユーザ認証された利用者の個人データを特定してクライアントに送信し、クライアントが、送信された利用者の個人データとICカードから読み取った個人情報とを1つにして出力する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークにより接続されたサーバに格納されているデータ等の様々な情報をクライアントの要求に応じて利用できるようにする情報管理システムに関する。
【背景技術】
【0002】
従来、インターネット等のネットワークを介して様々なデータ等の情報やサービスをユーザに提供するための様々なシステムが実用化されている。例えば、複数の機関から医療等のサービスを受けている場合にそれらの履歴情報を統一的に管理して各機関で共有する医療・福祉関係サービス支援システムが知られている(例えば、特許文献1を参照)。各機関を利用した利用者の履歴情報は、利用者管理サーバがそれぞれ利用者の識別情報と関連付けてデータベースに記憶し、端末装置が利用者の識別情報を利用者のIDカードから読み込んで又は直接入力して送信すると、これに合致する履歴情報を利用者管理サーバがデータベースから検索して端末装置に送信する。
【0003】
また、端末装置にサービス管理サーバからアプリケーションプログラムをダウンロードするためのシステムが知られている(例えば、特許文献2を参照)。このシステムは、端末装置がICカードからユーザの個人情報を読み取ってユーザ管理サーバに送信し、これを元にユーザ管理サーバが内部のデータベースを検索してユーザの認証を行い、その認証結果を受けた端末装置がユーザの個人情報を含むアプリケーション要求コマンドをサービス管理サーバに送信し、要求されたアプリケーションをサービス管理サーバが端末装置に出力する。これにより、ユーザはICカードを端末装置に挿入するだけで、必要なアプリケーションを的確にサーバから簡単にダウンロードすることができる。
【0004】
ネットワークを介してやりとりされるデータの機密性、正当性、安全性を確保するために、様々なユーザ認証方式が提案されている。例えば、クライアントとアプリケーション(AP)サーバと認証サーバとをネットワークで接続し、ユーザIDやパスワード等のアカウント情報をAPサーバから認証サーバに、直接ではなくクライアント経由で送信して認証を要求する認証システムが知られている(例えば、特許文献3を参照)。
【0005】
この認証システムによれば、クライアントから接続要求を受けたAPサーバは、セッションID、クライアント固有情報及びAP固有情報等を暗号化した認証要求メッセージをクライアントに送信し、クライアントがHTTPプロトコルに実装されたリダイレクト機能を用いて、該認証要求メッセージにユーザのデジタル証明書を加えた通信データを認証サーバに送信し、これを認証サーバが検証してユーザ認証を行い、その結果を同様にリダイレクト機能を用いて、クライアント経由でAPサーバに送信する。従って、ユーザのアカウント情報はAPサーバを経由しないので、ユーザのアカウント情報をクライアントからAPサーバを経由して認証サーバに送信する一般的な認証システムに比べて、APサーバ側から第三者に漏洩することが無い。
【0006】
更に、インターネット等を通じて携帯情報端末でサービスの提供を受けるための認証処理において、ユーザの負担を軽減しつつセキュリティを向上させるために、カードIDを記憶させたICタグを内蔵したIDカードを用いる認証システムが提案されている(例えば、特許文献4を参照)。この認証システムでは、携帯情報端末が自機の端末IDとIDカードから読み取ったカードIDとを認証サーバに送信し、それらを認証サーバがユーザーデータベースと照合してユーザIDの認証を行い、サービス提供サーバへのアクセスを許可し、サービスの提供を開始させると共に、ICカードのカードIDを更新させる。
【0007】
【特許文献1】特開2003−323492
【特許文献2】特開2002−169621
【特許文献3】特開2001−186122
【特許文献4】特開2006−107316
【発明の開示】
【発明が解決しようとする課題】
【0008】
しかしながら、従来のシステムでは、利用者のユーザ認証が利用者の識別情報とパスワードとを用いて行われる場合でも、利用者の個人情報自体が、ユーザ認証を行うサーバ及び/又は利用者の個人データ等をデータベース化したサーバに蓄積されているので、それらサーバから第三者により盗用されたり、ネットワークを介してユーザ認証の要求及び/又は個人データの提供要求を送信する際に盗聴される虞があり、第三者への漏洩から十分に保護することが困難である。
【0009】
そこで本発明は、上述した従来の問題点に鑑みてなされたものであり、その目的は、利用者の個人データを管理する情報管理システムにおいて、特に利用者の個人情報を第三者への漏洩から十分にかつ有効に保護することができるシステム及び方法を提供することにある。
【課題を解決するための手段】
【0010】
本発明によれば、上記目的を達成するために、利用者の識別情報及び個人情報を保持するユーザ端末と、利用者の識別情報を蓄積するが利用者の個人情報を蓄積しない認証サーバと、利用者の識別情報及び個人データを蓄積するが利用者の個人情報を蓄積しないデータサーバとをネットワークにより接続した情報管理システムであって、認証サーバが、ユーザ端末から送信される利用者の識別情報に基づいて利用者のユーザ認証を行い、データサーバが、認証サーバによるユーザ認証を受けた利用者の個人データを、ユーザ端末から送信される利用者の識別情報に基づいてユーザ端末側に送信する情報管理システムが提供される。
【0011】
このように利用者の個人情報は、ユーザ端末にのみ保持され、認証サーバ及びデータサーバには保持されないので、たとえ認証サーバ又はデータサーバに蓄積されたデータが第三者に漏洩しても、それを特定の利用者と関連付けることはできない。従って、利用者の個人情報を第三者への漏洩や盗用から有効に保護することができる。
【0012】
或る実施例では、前記システムが、利用者の識別情報を記憶した、ユーザ端末とは別個の補助記憶装置を更に備え、ユーザ端末が、補助記憶装置から利用者の識別情報を読み出して保持することにより、利用者の個人情報は、ユーザ端末に補助記憶装置を接続した場合にのみ提供されるから、より高度にかつ有効に保護することができる。
【0013】
或る実施例では、補助記憶装置が、例えばRFIDタグを用いた非接触型や接触型のICカードである。
【0014】
別の実施例では、ユーザ端末が、利用者の識別情報を記憶した内部記憶装置を有することにより、システム全体の構成を簡単にすることができる。
【0015】
更に別の実施例では、ユーザ端末が、パーソナルコンピュータ、携帯情報端末、又は携帯電話であり、利用者の利便性を向上させることができる。
【0016】
或る実施例では、ユーザ端末が、データサーバから送信される利用者の個人データを出力するための手段を有することにより、システム全体の構成を簡単にすることができる。
【0017】
別の実施例によれば、前記システムが、データサーバから送信される利用者の個人データを出力するための手段を更に有することにより、必要に応じてユーザ端末とは異なる設置位置で利用者の個人データを利用することができる。
【0018】
本発明の別の側面によれば、利用者の識別情報及び個人情報を保持するユーザ端末と、利用者の識別情報を蓄積するが利用者の個人情報を蓄積しない認証サーバと、利用者の識別情報及び個人データを蓄積するが利用者の個人情報を蓄積しないデータサーバとをネットワークにより接続した情報管理システムにおいて、ユーザ端末が、利用者の個人データの提供要求を利用者の識別情報と共に認証サーバに送信するステップと、認証サーバが、ユーザ端末から送信された利用者の識別情報に基づいて利用者のユーザ認証を行い、ユーザ認証の結果に応じてデータサーバに利用者の個人データの提供を許可するステップと、データサーバが、認証サーバにより許可された利用者の個人データをユーザ端末側に送信するステップとを有する情報管理方法が提供される。
【0019】
このように、利用者の個人情報はユーザ端末にのみ保持され、認証サーバによるユーザ認証及びデータサーバによる利用者の個人データの提供のいずれのステップも、利用者の識別情報を用いて行われるので、これら各ステップにおいて又は認証サーバ若しくはデータサーバから、たとえ各サーバに蓄積されたデータが第三者に盗聴、盗用されても、利用者の個人情報が第三者に漏洩する虞がない。従って、利用者の個人情報を有効に保護することができる。
【0020】
或る実施例では、前記情報管理システムが、利用者の識別情報を記憶した、ユーザ端末とは別個の補助記憶装置を更に備え、ユーザ端末が利用者の個人データの提供要求を送信する前記ステップの前に、ユーザ端末が補助記憶装置から利用者の識別情報を読み出すステップを更に有する。利用者の個人情報は、ユーザ端末に補助記憶装置を接続した場合にのみ提供されるから、より高度にかつ有効に保護することができる。
【0021】
別の実施例では、ユーザ端末が、利用者の個人データの提供要求を利用者の識別情報及びパスワードと共に認証サーバに送信することにより、システムのセキュリティを向上させることができる。
【発明を実施するための最良の形態】
【0022】
以下に、添付図面を参照しつつ、本発明の好適な実施例を詳細に説明する。
図1は、本発明による情報管理システムの実施例の構成を概略的に示している。本実施例の情報管理システムは、利用者の健康診断の結果である健診データを個人データとして統一的に管理するためのものであり、インターネットやイントラネット等のネットワーク1に接続されたユーザ端末である複数のクライアント2と、健診データを蓄積して管理するデータサーバ3と、利用者の認証を行う認証サーバ4とを備える。更に本実施例の情報管理システムは、前記ネットワークを介してクライアント2にアプリケーションプログラムを提供するアプリケーションサーバ5を備える。
【0023】
本実施例のクライアント2は、図2に示すように、ネットワーク1に接続されたパーソナル・コンピュータ(PC)6からなり、前記PCにはICカードリーダ・ライタ7が接続されている。本情報管理システムの各利用者は、自己の識別情報としてカードIDを記憶させた無線ICチップであるRFIDタグを組み込んだICカード8をそれぞれ所有する。ICカード8のRFIDタグには、カードIDに加えて、カード所有者個人の氏名、性別、年令、生年月日、住所、電話番号等の個人情報が記憶されている。更に前記RFIDタグには、ICカード8と認証サーバ4との間で最新に更新された同一キーが記憶されている。別の実施例では、非接触型のICカード8に代えて、接触型のICカードを用いることもできる。
【0024】
データサーバ3は、本情報管理システムの各利用者の健診データを当該利用者のカードIDに対応させて蓄積した健診データベースを備える。認証サーバ4は、各利用者のカードID、パスワード、及びICカード8との間で最新に更新された前記同一キーを対応させて蓄積したユーザデータベースを備える。データサーバ3及び認証サーバ4のいずれのデータベースも、各利用者の氏名等の個人情報は全く蓄積していない。従って、たとえデータサーバ3又は認証サーバ4に蓄積した情報が第三者に漏洩しても、その情報が直ちに特定の個人に係るものと判定することはできない。
【0025】
本実施例の情報管理システムの動作について図3のシーケンス図を用いて説明する。先ず、自己の検診データを入手したい利用者がクライアント2を操作し(ステップS1)、アプリケーションサーバ5にアクセスして、検診データの提供を受けるためのアプリケーションプログラムを要求する(ステップS2)。アプリケーションサーバ5は、このアプリケーションプログラム要求に含まれるクライアント2のIPアドレス等の識別情報を確認し、要求されたアプリケーションプログラムをクライアント2に送信する(ステップS3)。このアプリケーションプログラムは、クライアント2がダウンロードし、メモリに格納した後に読み出して又はそのまま開いて実行する。
【0026】
前記アプリケーションプログラムが起動すると、クライアント2は前記利用者のカードID及び同一キーとパスワードの入力とを要求する(ステップS4)。前記利用者は、ICカードリーダ・ライタ7によってICカード8からカードID及び同一キーを読み取らせ、かつクライアント1のキーボート等の入力手段からパスワードを直接入力して、自己の健診データの提供要求を行う(ステップS5)。クライアント2は、読み取った前記カードID及び同一キーと入力されたパスワードとを含む認証要求を暗号化して認証サーバ4に送信する(ステップS6)。
【0027】
認証サーバ4は、クライアント1から受け取った認証要求を復号化し、それに含まれるカードID、同一キー及びパスワードを前記ユーザデータベースに蓄積された情報と照合し、前記利用者のユーザ認証を行う(ステップS7)。その結果、前記認証要求が正規ユーザからのものであると判定されると、認証サーバ4は、認証要求のあった前記カードIDに係る同一キーを更新し、ユーザデータベースに登録すると共に、更新した前記同一キーと健診データの提供許可通知とをクライアント2に送信する(ステップS8)。これと同時に、認証サーバ4は、前記利用者から健診データの提供要求があったこと、前記利用者のカードID、同一キー及びユーザ認証の結果を含む健診データの提供許可通知を暗号化してデータサーバ3に送信する(ステップS9)。他方、前記認証要求が不正なものであると判定された場合には、ステップS8において、認証結果及び健診データの提供拒否通知が認証サーバ4からクライアント2に送信されて、処理が終了する。
【0028】
本実施例では、ICカード8にセキュリティが施され、前記利用者の氏名等の個人情報が通常はロックされて、容易に読み出せないようになっている。クライアント2は、認証サーバ4から送信される前記健診データ提供許可通知に含まれる解除キーを用いて、ICカード8から利用者個人情報のロックを解除し、読取可能にする(ステップS10)。ロック解除された前記利用者の個人情報は、ICカードリーダ・ライタ7によりICカード8からクライアント2に読み取られる(ステップS11)。
【0029】
データサーバ3は、認証サーバ4から送信された前記カードIDを復号化し、該カードIDに基づいて前記健診データベースを照合し、対応する前記利用者の健診データを特定してロックを解除する(ステップS12)。更にデータサーバ3は、認証サーバ4から送信された前記同一キーにより、前記カードIDに対応して前記健診データベースに登録されている同一キーを更新する。次にデータサーバ3は、ロック解除した前記利用者の健診データを、更新した前記同一キーにより暗号化してクライアント2に送信する(ステップS13)。
【0030】
クライアント2は、データサーバ3から送信された前記利用者の健診データを、認証サーバ4から送信された前記同一キーにより復号化する。復号化した前記利用者の健診データとICカード8から読み出した前記利用者の個人情報とは、クライアント2において1つに合成され、該クライアントのディスプレイ画面若しくは記憶装置に又は外部の記憶装置若しくはプリンタ等に出力して、前記利用者に提供される(ステップS14)。また、前記利用者の健診データと前記利用者の個人情報とは、必ずしも1つに合成する必要がなく、別個に出力することもできる。
【0031】
図4は、図1に示す情報管理システムの変形例の構成を概略的に示している。同図において、説明を簡単にするために、同一又は類似の構成には図1と同じ符号を付して表すこととする。本実施例の情報管理システムは、複数のクライアント2、データサーバ3、認証サーバ4及びアプリケーションサーバ5が接続されたネットワーク1に、前記クライアント及び各サーバから独立した外部の出力手段9が更に接続されている。出力手段9は、例えばトランザクションファイルと該ファイルに格納されたデータを印字出力するためのプリンタとから構成される。
【0032】
本実施例の情報管理システムの動作は、認証サーバ3におけるユーザ認証の結果を受けたクライアント2及びデータサーバ3におけるステップS11及びS12の処理が終了するまでは、図1の実施例と同一であるので、説明を省略する。データサーバ3は、ステップS12においてロック解除した前記利用者の健診データを、前記同一キーにより暗号化して出力手段9に送信する。クライアント2は、ステップS11においてICカード8から読み出した前記利用者の個人情報を、同様に前記同一キーにより暗号化して出力手段9に送信する。
【0033】
出力手段9に送信された前記利用者の健診データ及び個人情報は、一旦前記トランザクションファイルに格納される。前記トランザクションファイルに予め決定された一定期間保存した後、前記同一キーにより復号化して所望の様式に合成し、前記プリンタから出力される。
【0034】
本発明は、上記実施例に限定されるものでなく、その技術的範囲内で様々な変形又は変更を加えて実施することができる。例えば、上記実施例において前記ICカードに記憶させた利用者の識別情報及び個人情報等は、クライアントを構成するPCに予め記憶させておくことができ、又はパスワード等で保護したUSBメモリやメモリカード等の補助記憶装置に記憶させ、前記PCに直接接続して使用することができる。また、前記PCからなるクライアントに代えて、インターネット等のネットワークに接続可能な携帯電話や携帯情報端末を用いることができる。その場合にも、利用者の識別情報及び個人情報等を記憶させた前記ICカードを省略することができる。
【図面の簡単な説明】
【0035】
【図1】本発明による情報管理システムの構成を概略的に示すブロック図である。
【図2】クライアントの構成を概略的に示すブロック図である。
【図3】本発明による情報管理システムの動作を示すシーケンス図である。
【図4】本発明による情報管理システムの変形例の構成を概略的に示すブロック図である。
【符号の説明】
【0036】
1…ネットワーク、2…クライアント、3…データサーバ、4…認証サーバ、5…アプリケーションサーバ、6…PC、7…ICカードリーダ・ライタ、8…ICカード、9…出力手段。
【技術分野】
【0001】
本発明は、ネットワークにより接続されたサーバに格納されているデータ等の様々な情報をクライアントの要求に応じて利用できるようにする情報管理システムに関する。
【背景技術】
【0002】
従来、インターネット等のネットワークを介して様々なデータ等の情報やサービスをユーザに提供するための様々なシステムが実用化されている。例えば、複数の機関から医療等のサービスを受けている場合にそれらの履歴情報を統一的に管理して各機関で共有する医療・福祉関係サービス支援システムが知られている(例えば、特許文献1を参照)。各機関を利用した利用者の履歴情報は、利用者管理サーバがそれぞれ利用者の識別情報と関連付けてデータベースに記憶し、端末装置が利用者の識別情報を利用者のIDカードから読み込んで又は直接入力して送信すると、これに合致する履歴情報を利用者管理サーバがデータベースから検索して端末装置に送信する。
【0003】
また、端末装置にサービス管理サーバからアプリケーションプログラムをダウンロードするためのシステムが知られている(例えば、特許文献2を参照)。このシステムは、端末装置がICカードからユーザの個人情報を読み取ってユーザ管理サーバに送信し、これを元にユーザ管理サーバが内部のデータベースを検索してユーザの認証を行い、その認証結果を受けた端末装置がユーザの個人情報を含むアプリケーション要求コマンドをサービス管理サーバに送信し、要求されたアプリケーションをサービス管理サーバが端末装置に出力する。これにより、ユーザはICカードを端末装置に挿入するだけで、必要なアプリケーションを的確にサーバから簡単にダウンロードすることができる。
【0004】
ネットワークを介してやりとりされるデータの機密性、正当性、安全性を確保するために、様々なユーザ認証方式が提案されている。例えば、クライアントとアプリケーション(AP)サーバと認証サーバとをネットワークで接続し、ユーザIDやパスワード等のアカウント情報をAPサーバから認証サーバに、直接ではなくクライアント経由で送信して認証を要求する認証システムが知られている(例えば、特許文献3を参照)。
【0005】
この認証システムによれば、クライアントから接続要求を受けたAPサーバは、セッションID、クライアント固有情報及びAP固有情報等を暗号化した認証要求メッセージをクライアントに送信し、クライアントがHTTPプロトコルに実装されたリダイレクト機能を用いて、該認証要求メッセージにユーザのデジタル証明書を加えた通信データを認証サーバに送信し、これを認証サーバが検証してユーザ認証を行い、その結果を同様にリダイレクト機能を用いて、クライアント経由でAPサーバに送信する。従って、ユーザのアカウント情報はAPサーバを経由しないので、ユーザのアカウント情報をクライアントからAPサーバを経由して認証サーバに送信する一般的な認証システムに比べて、APサーバ側から第三者に漏洩することが無い。
【0006】
更に、インターネット等を通じて携帯情報端末でサービスの提供を受けるための認証処理において、ユーザの負担を軽減しつつセキュリティを向上させるために、カードIDを記憶させたICタグを内蔵したIDカードを用いる認証システムが提案されている(例えば、特許文献4を参照)。この認証システムでは、携帯情報端末が自機の端末IDとIDカードから読み取ったカードIDとを認証サーバに送信し、それらを認証サーバがユーザーデータベースと照合してユーザIDの認証を行い、サービス提供サーバへのアクセスを許可し、サービスの提供を開始させると共に、ICカードのカードIDを更新させる。
【0007】
【特許文献1】特開2003−323492
【特許文献2】特開2002−169621
【特許文献3】特開2001−186122
【特許文献4】特開2006−107316
【発明の開示】
【発明が解決しようとする課題】
【0008】
しかしながら、従来のシステムでは、利用者のユーザ認証が利用者の識別情報とパスワードとを用いて行われる場合でも、利用者の個人情報自体が、ユーザ認証を行うサーバ及び/又は利用者の個人データ等をデータベース化したサーバに蓄積されているので、それらサーバから第三者により盗用されたり、ネットワークを介してユーザ認証の要求及び/又は個人データの提供要求を送信する際に盗聴される虞があり、第三者への漏洩から十分に保護することが困難である。
【0009】
そこで本発明は、上述した従来の問題点に鑑みてなされたものであり、その目的は、利用者の個人データを管理する情報管理システムにおいて、特に利用者の個人情報を第三者への漏洩から十分にかつ有効に保護することができるシステム及び方法を提供することにある。
【課題を解決するための手段】
【0010】
本発明によれば、上記目的を達成するために、利用者の識別情報及び個人情報を保持するユーザ端末と、利用者の識別情報を蓄積するが利用者の個人情報を蓄積しない認証サーバと、利用者の識別情報及び個人データを蓄積するが利用者の個人情報を蓄積しないデータサーバとをネットワークにより接続した情報管理システムであって、認証サーバが、ユーザ端末から送信される利用者の識別情報に基づいて利用者のユーザ認証を行い、データサーバが、認証サーバによるユーザ認証を受けた利用者の個人データを、ユーザ端末から送信される利用者の識別情報に基づいてユーザ端末側に送信する情報管理システムが提供される。
【0011】
このように利用者の個人情報は、ユーザ端末にのみ保持され、認証サーバ及びデータサーバには保持されないので、たとえ認証サーバ又はデータサーバに蓄積されたデータが第三者に漏洩しても、それを特定の利用者と関連付けることはできない。従って、利用者の個人情報を第三者への漏洩や盗用から有効に保護することができる。
【0012】
或る実施例では、前記システムが、利用者の識別情報を記憶した、ユーザ端末とは別個の補助記憶装置を更に備え、ユーザ端末が、補助記憶装置から利用者の識別情報を読み出して保持することにより、利用者の個人情報は、ユーザ端末に補助記憶装置を接続した場合にのみ提供されるから、より高度にかつ有効に保護することができる。
【0013】
或る実施例では、補助記憶装置が、例えばRFIDタグを用いた非接触型や接触型のICカードである。
【0014】
別の実施例では、ユーザ端末が、利用者の識別情報を記憶した内部記憶装置を有することにより、システム全体の構成を簡単にすることができる。
【0015】
更に別の実施例では、ユーザ端末が、パーソナルコンピュータ、携帯情報端末、又は携帯電話であり、利用者の利便性を向上させることができる。
【0016】
或る実施例では、ユーザ端末が、データサーバから送信される利用者の個人データを出力するための手段を有することにより、システム全体の構成を簡単にすることができる。
【0017】
別の実施例によれば、前記システムが、データサーバから送信される利用者の個人データを出力するための手段を更に有することにより、必要に応じてユーザ端末とは異なる設置位置で利用者の個人データを利用することができる。
【0018】
本発明の別の側面によれば、利用者の識別情報及び個人情報を保持するユーザ端末と、利用者の識別情報を蓄積するが利用者の個人情報を蓄積しない認証サーバと、利用者の識別情報及び個人データを蓄積するが利用者の個人情報を蓄積しないデータサーバとをネットワークにより接続した情報管理システムにおいて、ユーザ端末が、利用者の個人データの提供要求を利用者の識別情報と共に認証サーバに送信するステップと、認証サーバが、ユーザ端末から送信された利用者の識別情報に基づいて利用者のユーザ認証を行い、ユーザ認証の結果に応じてデータサーバに利用者の個人データの提供を許可するステップと、データサーバが、認証サーバにより許可された利用者の個人データをユーザ端末側に送信するステップとを有する情報管理方法が提供される。
【0019】
このように、利用者の個人情報はユーザ端末にのみ保持され、認証サーバによるユーザ認証及びデータサーバによる利用者の個人データの提供のいずれのステップも、利用者の識別情報を用いて行われるので、これら各ステップにおいて又は認証サーバ若しくはデータサーバから、たとえ各サーバに蓄積されたデータが第三者に盗聴、盗用されても、利用者の個人情報が第三者に漏洩する虞がない。従って、利用者の個人情報を有効に保護することができる。
【0020】
或る実施例では、前記情報管理システムが、利用者の識別情報を記憶した、ユーザ端末とは別個の補助記憶装置を更に備え、ユーザ端末が利用者の個人データの提供要求を送信する前記ステップの前に、ユーザ端末が補助記憶装置から利用者の識別情報を読み出すステップを更に有する。利用者の個人情報は、ユーザ端末に補助記憶装置を接続した場合にのみ提供されるから、より高度にかつ有効に保護することができる。
【0021】
別の実施例では、ユーザ端末が、利用者の個人データの提供要求を利用者の識別情報及びパスワードと共に認証サーバに送信することにより、システムのセキュリティを向上させることができる。
【発明を実施するための最良の形態】
【0022】
以下に、添付図面を参照しつつ、本発明の好適な実施例を詳細に説明する。
図1は、本発明による情報管理システムの実施例の構成を概略的に示している。本実施例の情報管理システムは、利用者の健康診断の結果である健診データを個人データとして統一的に管理するためのものであり、インターネットやイントラネット等のネットワーク1に接続されたユーザ端末である複数のクライアント2と、健診データを蓄積して管理するデータサーバ3と、利用者の認証を行う認証サーバ4とを備える。更に本実施例の情報管理システムは、前記ネットワークを介してクライアント2にアプリケーションプログラムを提供するアプリケーションサーバ5を備える。
【0023】
本実施例のクライアント2は、図2に示すように、ネットワーク1に接続されたパーソナル・コンピュータ(PC)6からなり、前記PCにはICカードリーダ・ライタ7が接続されている。本情報管理システムの各利用者は、自己の識別情報としてカードIDを記憶させた無線ICチップであるRFIDタグを組み込んだICカード8をそれぞれ所有する。ICカード8のRFIDタグには、カードIDに加えて、カード所有者個人の氏名、性別、年令、生年月日、住所、電話番号等の個人情報が記憶されている。更に前記RFIDタグには、ICカード8と認証サーバ4との間で最新に更新された同一キーが記憶されている。別の実施例では、非接触型のICカード8に代えて、接触型のICカードを用いることもできる。
【0024】
データサーバ3は、本情報管理システムの各利用者の健診データを当該利用者のカードIDに対応させて蓄積した健診データベースを備える。認証サーバ4は、各利用者のカードID、パスワード、及びICカード8との間で最新に更新された前記同一キーを対応させて蓄積したユーザデータベースを備える。データサーバ3及び認証サーバ4のいずれのデータベースも、各利用者の氏名等の個人情報は全く蓄積していない。従って、たとえデータサーバ3又は認証サーバ4に蓄積した情報が第三者に漏洩しても、その情報が直ちに特定の個人に係るものと判定することはできない。
【0025】
本実施例の情報管理システムの動作について図3のシーケンス図を用いて説明する。先ず、自己の検診データを入手したい利用者がクライアント2を操作し(ステップS1)、アプリケーションサーバ5にアクセスして、検診データの提供を受けるためのアプリケーションプログラムを要求する(ステップS2)。アプリケーションサーバ5は、このアプリケーションプログラム要求に含まれるクライアント2のIPアドレス等の識別情報を確認し、要求されたアプリケーションプログラムをクライアント2に送信する(ステップS3)。このアプリケーションプログラムは、クライアント2がダウンロードし、メモリに格納した後に読み出して又はそのまま開いて実行する。
【0026】
前記アプリケーションプログラムが起動すると、クライアント2は前記利用者のカードID及び同一キーとパスワードの入力とを要求する(ステップS4)。前記利用者は、ICカードリーダ・ライタ7によってICカード8からカードID及び同一キーを読み取らせ、かつクライアント1のキーボート等の入力手段からパスワードを直接入力して、自己の健診データの提供要求を行う(ステップS5)。クライアント2は、読み取った前記カードID及び同一キーと入力されたパスワードとを含む認証要求を暗号化して認証サーバ4に送信する(ステップS6)。
【0027】
認証サーバ4は、クライアント1から受け取った認証要求を復号化し、それに含まれるカードID、同一キー及びパスワードを前記ユーザデータベースに蓄積された情報と照合し、前記利用者のユーザ認証を行う(ステップS7)。その結果、前記認証要求が正規ユーザからのものであると判定されると、認証サーバ4は、認証要求のあった前記カードIDに係る同一キーを更新し、ユーザデータベースに登録すると共に、更新した前記同一キーと健診データの提供許可通知とをクライアント2に送信する(ステップS8)。これと同時に、認証サーバ4は、前記利用者から健診データの提供要求があったこと、前記利用者のカードID、同一キー及びユーザ認証の結果を含む健診データの提供許可通知を暗号化してデータサーバ3に送信する(ステップS9)。他方、前記認証要求が不正なものであると判定された場合には、ステップS8において、認証結果及び健診データの提供拒否通知が認証サーバ4からクライアント2に送信されて、処理が終了する。
【0028】
本実施例では、ICカード8にセキュリティが施され、前記利用者の氏名等の個人情報が通常はロックされて、容易に読み出せないようになっている。クライアント2は、認証サーバ4から送信される前記健診データ提供許可通知に含まれる解除キーを用いて、ICカード8から利用者個人情報のロックを解除し、読取可能にする(ステップS10)。ロック解除された前記利用者の個人情報は、ICカードリーダ・ライタ7によりICカード8からクライアント2に読み取られる(ステップS11)。
【0029】
データサーバ3は、認証サーバ4から送信された前記カードIDを復号化し、該カードIDに基づいて前記健診データベースを照合し、対応する前記利用者の健診データを特定してロックを解除する(ステップS12)。更にデータサーバ3は、認証サーバ4から送信された前記同一キーにより、前記カードIDに対応して前記健診データベースに登録されている同一キーを更新する。次にデータサーバ3は、ロック解除した前記利用者の健診データを、更新した前記同一キーにより暗号化してクライアント2に送信する(ステップS13)。
【0030】
クライアント2は、データサーバ3から送信された前記利用者の健診データを、認証サーバ4から送信された前記同一キーにより復号化する。復号化した前記利用者の健診データとICカード8から読み出した前記利用者の個人情報とは、クライアント2において1つに合成され、該クライアントのディスプレイ画面若しくは記憶装置に又は外部の記憶装置若しくはプリンタ等に出力して、前記利用者に提供される(ステップS14)。また、前記利用者の健診データと前記利用者の個人情報とは、必ずしも1つに合成する必要がなく、別個に出力することもできる。
【0031】
図4は、図1に示す情報管理システムの変形例の構成を概略的に示している。同図において、説明を簡単にするために、同一又は類似の構成には図1と同じ符号を付して表すこととする。本実施例の情報管理システムは、複数のクライアント2、データサーバ3、認証サーバ4及びアプリケーションサーバ5が接続されたネットワーク1に、前記クライアント及び各サーバから独立した外部の出力手段9が更に接続されている。出力手段9は、例えばトランザクションファイルと該ファイルに格納されたデータを印字出力するためのプリンタとから構成される。
【0032】
本実施例の情報管理システムの動作は、認証サーバ3におけるユーザ認証の結果を受けたクライアント2及びデータサーバ3におけるステップS11及びS12の処理が終了するまでは、図1の実施例と同一であるので、説明を省略する。データサーバ3は、ステップS12においてロック解除した前記利用者の健診データを、前記同一キーにより暗号化して出力手段9に送信する。クライアント2は、ステップS11においてICカード8から読み出した前記利用者の個人情報を、同様に前記同一キーにより暗号化して出力手段9に送信する。
【0033】
出力手段9に送信された前記利用者の健診データ及び個人情報は、一旦前記トランザクションファイルに格納される。前記トランザクションファイルに予め決定された一定期間保存した後、前記同一キーにより復号化して所望の様式に合成し、前記プリンタから出力される。
【0034】
本発明は、上記実施例に限定されるものでなく、その技術的範囲内で様々な変形又は変更を加えて実施することができる。例えば、上記実施例において前記ICカードに記憶させた利用者の識別情報及び個人情報等は、クライアントを構成するPCに予め記憶させておくことができ、又はパスワード等で保護したUSBメモリやメモリカード等の補助記憶装置に記憶させ、前記PCに直接接続して使用することができる。また、前記PCからなるクライアントに代えて、インターネット等のネットワークに接続可能な携帯電話や携帯情報端末を用いることができる。その場合にも、利用者の識別情報及び個人情報等を記憶させた前記ICカードを省略することができる。
【図面の簡単な説明】
【0035】
【図1】本発明による情報管理システムの構成を概略的に示すブロック図である。
【図2】クライアントの構成を概略的に示すブロック図である。
【図3】本発明による情報管理システムの動作を示すシーケンス図である。
【図4】本発明による情報管理システムの変形例の構成を概略的に示すブロック図である。
【符号の説明】
【0036】
1…ネットワーク、2…クライアント、3…データサーバ、4…認証サーバ、5…アプリケーションサーバ、6…PC、7…ICカードリーダ・ライタ、8…ICカード、9…出力手段。
【特許請求の範囲】
【請求項1】
利用者の識別情報及び個人情報を保持するユーザ端末と、前記利用者の識別情報を蓄積するが前記利用者の個人情報を蓄積しない認証サーバと、前記利用者の識別情報及び個人データを蓄積するが前記利用者の個人情報を蓄積しないデータサーバとをネットワークにより接続した情報管理システムであって、
前記認証サーバが、前記ユーザ端末から送信される前記利用者の識別情報に基づいて前記利用者のユーザ認証を行い、
前記データサーバが、前記認証サーバによる前記ユーザ認証を受けた前記利用者の個人データを、前記ユーザ端末から送信される前記利用者の識別情報に基づいて前記ユーザ端末側に送信することを特徴とする情報管理システム。
【請求項2】
前記システムが、前記利用者の識別情報を記憶した、前記ユーザ端末とは別個の補助記憶装置を更に備え、前記ユーザ端末が、前記補助記憶装置から前記利用者の識別情報を読み出して保持することを特徴とする請求項1に記載の情報管理システム。
【請求項3】
前記補助記憶装置がICカードであることを特徴とする請求項2に記載の情報管理システム。
【請求項4】
前記ユーザ端末が、前記利用者の識別情報を記憶した内部記憶装置を有することを特徴とする請求項1に記載の情報管理システム。
【請求項5】
前記ユーザ端末が、パーソナルコンピュータ、携帯情報端末、又は携帯電話であることを特徴とする請求項1乃至4のいずれかに記載の情報管理システム。
【請求項6】
前記ユーザ端末が、前記データサーバから送信される前記利用者の個人データを出力するための手段を有することを特徴とする請求項1乃至5のいずれかに記載の情報管理システム。
【請求項7】
前記システムが、前記データサーバから送信される前記利用者の個人データを出力するための手段を更に有することを特徴とする請求項1乃至5のいずれかに記載の情報管理システム。
【請求項8】
利用者の識別情報及び個人情報を保持するユーザ端末と、前記利用者の識別情報を蓄積するが前記利用者の個人情報を蓄積しない認証サーバと、前記利用者の識別情報及び個人データを蓄積するが前記利用者の個人情報を蓄積しないデータサーバとをネットワークにより接続した情報管理システムにおいて、
前記ユーザ端末が、前記利用者の個人データの提供要求を前記利用者の識別情報と共に前記認証サーバに送信するステップと、
前記認証サーバが、前記ユーザ端末から送信された前記利用者の識別情報に基づいて前記利用者のユーザ認証を行い、前記ユーザ認証の結果に応じて前記データサーバに前記利用者の個人データの提供を許可するステップと、
前記データサーバが、前記認証サーバにより許可された前記利用者の個人データを前記ユーザ端末側に送信するステップとを有することを特徴とする情報管理方法。
【請求項9】
前記情報管理システムが、前記利用者の識別情報を記憶した、前記ユーザ端末とは別個の補助記憶装置を更に備え、前記ユーザ端末が前記利用者の個人データの提供要求を送信する前記ステップの前に、前記ユーザ端末が前記補助記憶装置から前記利用者の識別情報を読み出すステップを更に有することを特徴とする請求項8に記載の情報管理方法。
【請求項10】
前記ユーザ端末が、前記利用者の個人データの提供要求を前記利用者の識別情報及びパスワードと共に前記認証サーバに送信することを特徴とする請求項8に記載の情報管理方法。
【請求項1】
利用者の識別情報及び個人情報を保持するユーザ端末と、前記利用者の識別情報を蓄積するが前記利用者の個人情報を蓄積しない認証サーバと、前記利用者の識別情報及び個人データを蓄積するが前記利用者の個人情報を蓄積しないデータサーバとをネットワークにより接続した情報管理システムであって、
前記認証サーバが、前記ユーザ端末から送信される前記利用者の識別情報に基づいて前記利用者のユーザ認証を行い、
前記データサーバが、前記認証サーバによる前記ユーザ認証を受けた前記利用者の個人データを、前記ユーザ端末から送信される前記利用者の識別情報に基づいて前記ユーザ端末側に送信することを特徴とする情報管理システム。
【請求項2】
前記システムが、前記利用者の識別情報を記憶した、前記ユーザ端末とは別個の補助記憶装置を更に備え、前記ユーザ端末が、前記補助記憶装置から前記利用者の識別情報を読み出して保持することを特徴とする請求項1に記載の情報管理システム。
【請求項3】
前記補助記憶装置がICカードであることを特徴とする請求項2に記載の情報管理システム。
【請求項4】
前記ユーザ端末が、前記利用者の識別情報を記憶した内部記憶装置を有することを特徴とする請求項1に記載の情報管理システム。
【請求項5】
前記ユーザ端末が、パーソナルコンピュータ、携帯情報端末、又は携帯電話であることを特徴とする請求項1乃至4のいずれかに記載の情報管理システム。
【請求項6】
前記ユーザ端末が、前記データサーバから送信される前記利用者の個人データを出力するための手段を有することを特徴とする請求項1乃至5のいずれかに記載の情報管理システム。
【請求項7】
前記システムが、前記データサーバから送信される前記利用者の個人データを出力するための手段を更に有することを特徴とする請求項1乃至5のいずれかに記載の情報管理システム。
【請求項8】
利用者の識別情報及び個人情報を保持するユーザ端末と、前記利用者の識別情報を蓄積するが前記利用者の個人情報を蓄積しない認証サーバと、前記利用者の識別情報及び個人データを蓄積するが前記利用者の個人情報を蓄積しないデータサーバとをネットワークにより接続した情報管理システムにおいて、
前記ユーザ端末が、前記利用者の個人データの提供要求を前記利用者の識別情報と共に前記認証サーバに送信するステップと、
前記認証サーバが、前記ユーザ端末から送信された前記利用者の識別情報に基づいて前記利用者のユーザ認証を行い、前記ユーザ認証の結果に応じて前記データサーバに前記利用者の個人データの提供を許可するステップと、
前記データサーバが、前記認証サーバにより許可された前記利用者の個人データを前記ユーザ端末側に送信するステップとを有することを特徴とする情報管理方法。
【請求項9】
前記情報管理システムが、前記利用者の識別情報を記憶した、前記ユーザ端末とは別個の補助記憶装置を更に備え、前記ユーザ端末が前記利用者の個人データの提供要求を送信する前記ステップの前に、前記ユーザ端末が前記補助記憶装置から前記利用者の識別情報を読み出すステップを更に有することを特徴とする請求項8に記載の情報管理方法。
【請求項10】
前記ユーザ端末が、前記利用者の個人データの提供要求を前記利用者の識別情報及びパスワードと共に前記認証サーバに送信することを特徴とする請求項8に記載の情報管理方法。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2009−181551(P2009−181551A)
【公開日】平成21年8月13日(2009.8.13)
【国際特許分類】
【出願番号】特願2008−22786(P2008−22786)
【出願日】平成20年2月1日(2008.2.1)
【出願人】(508034945)エンジニアス株式会社 (2)
【Fターム(参考)】
【公開日】平成21年8月13日(2009.8.13)
【国際特許分類】
【出願日】平成20年2月1日(2008.2.1)
【出願人】(508034945)エンジニアス株式会社 (2)
【Fターム(参考)】
[ Back to top ]