情報管理方法及び情報管理システム
【課題】個人情報等、機密情報をよりよく管理し漏洩を防ぐ情報管理方法及び情報管理システムを提供する。
【解決手段】ユーザ端末1と携帯端末2とをトークンTKによって関連付けた後、携帯端末2が、サービス提供サーバ3の公開鍵情報を使用して個人情報を暗号化し、個人情報管理サーバ4が暗号化された個人情報を暗号化されたまま記録・管理し、サービス提供サーバ3が、個人情報が必要になった時点で暗号化されたままの個人情報を個人情報管理サーバ4から取得し、サービス提供サーバ3の秘密鍵を使用して復号し個人情報を利用する。
【解決手段】ユーザ端末1と携帯端末2とをトークンTKによって関連付けた後、携帯端末2が、サービス提供サーバ3の公開鍵情報を使用して個人情報を暗号化し、個人情報管理サーバ4が暗号化された個人情報を暗号化されたまま記録・管理し、サービス提供サーバ3が、個人情報が必要になった時点で暗号化されたままの個人情報を個人情報管理サーバ4から取得し、サービス提供サーバ3の秘密鍵を使用して復号し個人情報を利用する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、個人情報等、機密情報の漏洩を防ぐ情報管理方法及び情報管理システムに関する。
【背景技術】
【0002】
個人情報保護法が2005年4月に施行され、また、企業における個人情報の漏洩問題が次々と明らかになる等、近年では個人情報の保護が大きな問題となっている。一方、オンラインショッピング等により、個人情報をインターネット等ネットワーク上でやり取りする機会は増大している。一度個人情報がインターネット上等に流出すると、完全に削除することは困難であるため、個人情報を安全に扱うことが可能な手法が求められている。
【0003】
セキュリティ対策が施されることが多い企業等とは異なり、家庭等における一般利用者の環境は、P2Pファイル交換ソフトやスパイウェア等による個人情報の流出の危険にさらされており、アンチウィルスソフト等を使用しても必ずしも個人情報の流出を防ぐことができるわけではない。従って、現在の一般利用者の端末環境に手を加えることなく個人情報を安全にやり取りできる手法が求められている。
【0004】
従来、オンラインショッピングでは、NSP(Network Service Provider:ネットワークサービスプロバイダ)のWEBサーバ上にオンラインショップが店を構え、ユーザはWEBブラウザ上で商品を選択し、個人情報やクレジットカード情報を入力する。WEBブラウザ上で入力された個人情報やクレジットカード情報は暗号化され、NSPのWEBサーバに転送される。次に、NSPのWEBサーバ上で個人情報やクレジットカード情報は複合化されて記憶され、クレジットカード会社に転送される。クレジットカード会社はNSPのWEBサーバから転送されたクレジットカード情報を用いて決済を行い、オンラインショップに決済可能であるかが伝えられ、取引が成立する。つまり、従来は、利用者の端末において入力された個人情報及びクレジットカード情報がNSPのWEBサーバに暗号化されて送信され、記録・管理されている。しかし本来、NSPにとって必要な情報は、クレジットカード会社が下した、そのクレジットカード情報で決済が可能であるか否かの情報のみであり、クレジットカード情報は必要ない筈である。すなわち、従来では、本来不必要である筈のクレジットカード情報がNSPによって扱われている、という不利益があった。
【0005】
また、従来では、利用者がショッピングを行う際に、オンラインショップが契約しているNSP毎に個人情報やクレジットカード情報を入力し送信しなければならず、個人情報やクレジットカード情報の入力が面倒である、という不利益があった。さらに、個人情報等を入力・送信するNSPの数だけ、個人情報が拡散し、漏洩するリスクが高くなる、という不利益があった。
【0006】
上述した不利益を解消する先行技術として、非特許文献1に開示されたSET(Secure Electronic Transaction)と呼ばれる通信プロトコルがある。SETでは、NSP上で利用者のクレジットカード情報が開示されることがなく、クレジットカード情報を安全にクレジットカード会社に転送することが可能になっている。
【非特許文献1】MasterCard and Visa, "SET Secure Electronic Transaction Specification, Book 1: Business Description," ver1.0, 1997.
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかし、上述したSETでは、利用者の端末上に専用のアプリケーションソフトウェアをインストールする必要があり、さらにOSやブラウザが限定されてしまう、という不利益があった。
【0008】
また、一般に、利用者が端末等から入力した個人情報は、暗号化された上でNSPのWEBサーバに送信される。すなわち、NSPが安全を保証できるのは、利用者の端末のWEBブラウザからNSPのWEBサーバまでの通信であり、利用者の入力デバイスから利用者端末上のWEBブラウザまでの安全性は保証されていない、という不利益がある。つまり、スパイウェア等により利用者の入力そのものが監視され、これによって個人情報が漏洩してしまう、といった不利益があり、これは上述したSETでも解消できない。
【0009】
本発明は、上述した不利益を解消するために、個人情報等、機密情報をよりよく管理し漏洩を防ぐ情報管理方法及び情報管理システムを提供することを目的とする。
【課題を解決するための手段】
【0010】
上述した目的を達成するために、第1の発明の情報管理方法は、第1のユーザエージェントと、第2のユーザエージェントと、前記第1のユーザエージェントにネットワークを介したサービスを提供するサービス提供サーバと、前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を記録する情報管理サーバと、を有する情報管理システムの情報管理方法であって、前記情報管理サーバが、前記第1のユーザエージェントの識別子と、前記サービス提供サーバの識別子とを基に認証データを生成し記録する第1の工程と、前記情報管理サーバが、前記第1の工程において生成された前記認証データを用いて前記第1のユーザエージェントと前記第2のユーザエージェントとを関連付ける第2の工程と、前記サービス提供サーバが、前記情報管理サーバを介して、当該サービス提供サーバに関連付けられた公開鍵を、前記第2のユーザエージェントに対して送信する第3の工程と、前記第2のユーザエージェントは、前記第3の工程において送信された公開鍵を使用して、前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を暗号化する第4の工程と、前記情報管理サーバが、前記第4の工程において暗号化された前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を記録する第5の工程と、前記サービス提供サーバが、暗号化された前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を前記情報管理サーバから取得する第6の工程と、前記サービス提供サーバが、当該サービス提供サーバに関連付けられた秘密鍵を使用して前記第6の工程において取得された、暗号化された前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を復号する第7の工程と、を有する。
【0011】
第2の発明の情報管理方法は、第1のユーザエージェントと、第2のユーザエージェントと、前記第1のユーザエージェントにネットワークを介したサービスを提供し、また前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を記録するネットワークサーバと、を有する情報管理システムの情報管理方法であって、前記ネットワークサーバが、前記第1のユーザエージェントの識別子を基に認証データを生成し記録する第1の工程と、前記ネットワークサーバが、前記第1の工程において生成された前記認証データを用いて前記第1のユーザエージェントと前記第2のユーザエージェントとを関連付ける第2の工程と、前記ネットワークサーバが、当該ネットワークサーバに関連付けられた公開鍵を、前記第2のユーザエージェントに対して送信する第3の工程と、前記第2のユーザエージェントは、前記第3の工程において送信された公開鍵を使用して、前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を暗号化する第4の工程と、前記ネットワークサーバが、前記第4の工程において暗号化された前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を記録する第5の工程と、前記サービス提供サーバが、当該サービス提供サーバに関連付けられた秘密鍵を使用して前記第5の工程において記録された、暗号化された前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を復号する第6の工程と、を有する。
【0012】
第3の発明の情報管理システムは、第1のユーザエージェントと、第2のユーザエージェントと前記第1のユーザエージェントにネットワークを介したサービスを提供するサービス提供サーバと、前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を記録する情報管理サーバと、を有し、前記第2のユーザエージェントは、前記サービス提供サーバに関連付けられた公開鍵を使用して前記情報を暗号化し、前記情報管理サーバは、前記第2のユーザエージェントにより暗号化された前記情報を暗号化されたまま記録し、前記サービス提供サーバは、前記情報管理サーバに記録された、暗号化された前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を取得し、当該サービス提供サーバに関連付けられた秘密鍵を使用して前記情報を復号する。
【発明の効果】
【0013】
本発明によれば、個人情報等、機密情報をよりよく管理し漏洩を防ぐ情報管理方法及び情報管理システムを提供することができる。
【発明を実施するための最良の形態】
【0014】
以下、本実施形態の個人情報管理システム100について説明する。
図1は、個人情報管理システム(情報管理システム)100の構成を示すブロック図である。
図1に示すように、個人情報管理システム100は、ユーザ端末1(第1ユーザエージェント)、携帯端末2(第2ユーザエージェント)、サービス提供サーバ3、個人情報管理サーバ(情報管理サーバ)4とからなる。
【0015】
ユーザ端末1は、例えばパーソナルコンピュータ等の端末装置であり、サービス提供サーバ3とPKI(Public Key Infrastructure:公開鍵暗号基盤)をベースにしたSSL(Secure Sockets Layer)/TLS(Transport Layer Security)等による暗号化通信を行う。ユーザ端末1は、WEBブラウザ等のブラウジング用アプリケーションを有し、ユーザはこれを利用することによって、サービス提供サーバ3上に展開された様々なサービスにアクセスする。ここで、様々なサービスとは、例えばオンラインショッピング等である。
【0016】
携帯端末2は、2次元コードを読み取り可能なカメラ機能を有する携帯電話機である。2次元コードは、例えばQRコード、PDF417、DataMatrix、MaxiCode等のいずれを用いても良い。
また、携帯端末2は、個人情報管理サーバ4とSSL/TLS等による暗号化通信を行う。
【0017】
また、携帯端末2は、ユーザIDデータベース(DB)を有し、ユーザIDDBには、ユーザ毎に固有のユーザID、携帯端末に固有のUTN(User Terminal Number)、パスワード(暗証番号)としてのPIN(Personal Identify Number)コードが記憶されている。
UTNは、携帯電話機本体固有の個体識別ID、または、SIM(Subscriber Identity Module)カードやUIM(User Identity Module)カードなどの個体識別ID(携帯電話加入者固有の識別ID)である。なお、携帯端末に固有のIDとして、UTNに限られず様々な形式のIDを採用することができるが、ユーザが携帯電話機を切り替えたとしてもユーザが持ち運び可能な個体識別ID(上述したカードに記述された個体識別ID)が望ましい。
また、パスワードとしては、PINコードに限られず、ユーザが携帯端末2に設定し、かつ、個人情報管理サーバ4に登録可能であれば、ユーザが設定したコード、暗証番号等でもよい。
【0018】
さらに、携帯端末2は個人情報DBをさらに有し、ユーザは予め(本実施形態における個人情報管理システムを利用する前に)個人情報、すなわち名前、住所、電話番号、クレジットカード番号、クレジットカードの種類、有効期限等の情報を個人情報DBに記録しておく。なお、個人情報DBに記録できる個人情報は複数あってもよい。すなわち、同じ名前で異なる住所の個人情報を2つ以上個人情報DBに記録しておくことが可能である。なお、この場合には、個人情報が必要になった際にはユーザが携帯端末2上でどの個人情報を利用するかを選択できるようにすればよい。
【0019】
サービス提供サーバ3は、ユーザ端末1のインターネット等ネットワークへの接続を仲介するNSP(ネットワークサービスプロバイダ)が管理するサーバ装置であり、ユーザ端末1及びPIMSP3とそれぞれSSL/TLS方式等によって暗号化された通信を行っている。具体的には、電話回線やISDN回線、データ通信専用回線等を通じて、ユーザ端末1をインターネット等のネットワークに接続させる。
また、サービス提供サーバ3は、利用者DBを有し、サービス提供サーバ3が提供する各サービスの利用者の情報(ユーザID、暗号化された個人情報等)を記録する。
なお、図1においてはサービス提供サーバ3は個人情報管理システム100において1つだけである構成となっているが、本発明はこれには限定されない。すなわち、個人情報管理システム100は複数のサービス提供サーバ3を有していてもよい。この場合、複数のサービス提供サーバ3は、それぞれ独立してユーザ端末1や個人情報管理サーバ4と接続される。
【0020】
個人情報管理サーバ4は、個人情報管理サービスプロバイダ(Personal Information Management Service Provider、以下PIMSPと称する)が管理するサーバ装置である。
個人情報管理サーバ4は、ユーザ端末1及び携帯端末2を利用するユーザの個人情報(クレジットカード情報等を含む)やアクセスログ等を記録・管理する。
個人情報管理サーバ4は、ユーザ情報DB、トークンDB及び暗号化個人情報DBを有する。
ユーザ情報DBは、ユーザに固有のユーザID、携帯端末2に固有のUTN及びPINコードが関連付けられて予め記録している。
トークンDBは、個人情報管理サーバ4が生成したトークンTKを記録する。トークンTKに関しては後述する。
暗号化個人情報DBは、暗号化された個人情報がユーザ情報やトークンTKに関連付けられて記録する。
なお、個人情報管理サーバ4は、個人情報管理システム100において1つのみであることが望ましい。その理由は、個人情報管理サーバ4に個人情報を一括管理させ、個人情報漏洩のリスクを軽減させるためである。
【0021】
次に、個人情報管理システム100の動作例について説明する。
図2に示したシーケンス図は、ユーザ端末1がサービス提供サーバ3へアクセスし、トークンを取得するまでを示している。
【0022】
ステップST1−1:
ユーザ端末1は、ユーザの操作に応じて、サービス提供サーバ3にアクセスするとともに、WEBブラウザを起動する。これによって、サービス提供サーバ3からページ情報を受信して復号し、WEBブラウザ上に表示する。この際、サービス提供サーバ3はユーザ端末1の識別ID(以下UA1ID)をクッキー情報として取得する。
【0023】
ステップST1−2:
サービス提供サーバ3は、個人情報管理サーバ4に対してサービス提供サーバの識別ID(以下NSPID)とユーザ端末1の識別子(上述したUA1IDとは異なってもよいが、同じでも良い。ここでは同じとして説明する)UA1IDとを送信し、トークンTKの発行を要求する。トークンとは、期限付きの認証用データである。
【0024】
ステップST1−3:
個人情報管理サーバ4は、ステップST1−2においてサービス提供サーバ3から送信されたNSPID及びUA1IDをパラメータとして、トークンTKを生成する。
トークンTKの一例を図3に示す。
図3に示すように、トークンTKは文字列であり、通信プロトコル名、NSPID、コマンド名、トークン実体部等の文字列からなる。トークン実体部にはトークンの発行日時、トークンの有効期限等の情報をハッシュ関数等により暗号化した文字列である。
【0025】
ステップST1−4:
個人情報管理サーバ4は、ステップST1−3において発行したトークンTKをサービス提供サーバ3に送信するとともにUA1ID及びNSPIDをトークンTKと関連付けて保持する。
ステップST1−5:
サービス提供サーバ3は、ステップST1−4において受信したトークンTKをWEBブラウザ表示させるためのページ情報をユーザ端末1へ送信する。
【0026】
ステップST1−6:
ユーザ端末1は、ステップST1−5においてサービス提供サーバ3から送信されたページ情報を基に、トークンTKを含むWEBページをWEBブラウザ上に表示する。
なお、ユーザ端末1は、上述したように1次元の文字列であったトークンTKを2次元コードとして表示する。ユーザ端末1がトークンTKを2次元コードの形で表示する方法としては、例えば、予めサービス提供サーバ3から送信されたページ情報内に2次元コード出力サーバのURL(Uniform Resource Locator)が記述されており、ユーザ端末1がページ情報を解釈してWEBページを作成する際に、当該URLにアクセスしてトークンTKを2次元コードに変換させ、これをWEBページ上に表示する、といった方法がある。
【0027】
図4は、携帯端末2によるトークンの読み取りから、個人情報管理サーバ4によるユーザ端末1と携帯端末2の関連付けまでの動作例を示すシーケンス図である。
ステップST2−1:
ステップST1−6においてユーザ端末1に表示された2次元コードの形式で表示されたトークンTKを、携帯端末2が読み取り、解読(1次元文字列に変換)する。
【0028】
ステップST2−2:
携帯端末2は、個人情報管理サーバ4に対して、ステップST2−1において読み取理解読したトークンTKを、ユーザIDDBに記録されたユーザID、UTN、PINコードとともに送信する。
【0029】
ステップST2−3:
個人情報管理サーバ4は、ステップST2−2において送信されたユーザID、UTN、PINコード及びトークンTKに基づいて認証付与の可否判断を行い、可であればステップST2−4に進み、否であればステップST2−5に進む。
すなわち、個人情報管理サーバ4は、ステップST2−2において携帯端末2から送信されたユーザID、UTNおよびPINコードが、ユーザ情報DBに予め記録されたものであるか否かを確認し、予め記録されていたものであれば、そのユーザID、UTNおよびPINコードとともに送信されたトークンTKと同一のものがトークンDB内から検索する。ここで、個人情報管理サーバ4は、そのユーザID、UTNおよびPINコードとともに送信されたトークンTKの有効期限がまだ過ぎていなければ、当該トークンTKと同一のトークンTKをトークンDB内から探し出し、探し出せた場合は、認証可としてステップST2−4に進む。
一方、個人情報管理サーバ4は、送信されたユーザID、UTNおよびPINコードがユーザ情報DBに記録されていないか、受信したトークンTKの有効期限が過ぎているか、または受信したトークンTKがトークンDBに記録されていない場合には、認証不可としてステップST2−5に進む。
【0030】
ステップST2−4:
個人情報管理サーバ4は、ステップST2−3において一致したトークンTKを送信した携帯端末2と、当該トークンに関連付けられたUA1IDに対応したユーザ端末1とを関連付け、関連付けたことを当該トークンTKとともにトークンDBに記録する。
ステップST2−5:
個人情報管理サーバ4は、ステップST2−3において認証可であった場合には、ステップST2−4においてユーザ端末1と携帯端末2とが関連付けられたことをサービス提供サーバ3に送信し、認証不可であった場合には、ユーザ端末1と携帯端末2とが関連付けられていないことをサービス提供サーバ3に送信する。
ステップST2−5’:
個人情報管理サーバ4は、ステップST2−3において認証可であった場合には、ステップST2−4においてユーザ端末1と携帯端末2とが関連付けられたことを携帯端末2に送信し、認証付加であった場合には、ユーザ端末1と携帯端末2とが関連付けられていないことを携帯端末2に送信する。
なお、ステップST2−5とステップST2−5’とはほぼ同時に実行される。
【0031】
図5は、携帯端末2へ個人情報リクエスト、プライバシポリシ、サービス提供サーバ3の公開鍵証明書が送信され、携帯端末2上でユーザによって確認されるまでの動作例を示すシーケンス図である。
ステップST3−1:
サービス提供サーバ3は、ステップST2−5において送信された、ユーザ端末1と携帯端末2とが関連付けられたことを受信して、そのユーザ端末1及び携帯端末2を使用しているユーザの個人情報を要求する個人情報リクエストを個人情報管理サーバ4に送信する。
【0032】
ステップST3−2:
個人情報管理サーバ4は、ステップST3−1で送信された個人情報リクエスト、個人情報リクエストを送信したサービス提供サーバ3の公開鍵証明書、サービス提供サーバ3のプライバシポリシを携帯端末2に送信する。
ここで、サービス提供サーバ3の公開鍵証明書は、公開鍵暗号基盤PKI(Public Key Infrastructure)に基づいた認証機関或いはPIMSP内部のプライベート認証機関による証明書であり、サービス提供サーバ3ごとに決定されているものであり、個人情報管理サーバ4は、サービス提供サーバ3の公開鍵証明書を予め保持している。
また、プライバシポリシ情報は、個人情報リクエストによって要求された個人情報を、サービス提供サーバ3がどのように利用するかをユーザに通知するものであり、例えば、サービス提供サーバ3がユーザに対し、個人情報を閲覧するのは個人情報管理サーバ4だけであり、サービス提供サーバ3自体は閲覧しない、といった内容のものである。
【0033】
ステップST3−3:
携帯端末2は、ステップST3−2において個人情報管理サーバ4から送信されてきた個人情報リクエスト、プライバシポリシ情報及びサービス提供サーバ3の公開鍵証明書を表示する。
ステップST3−4:
ユーザは、ステップST3−3において表示された、個人情報リクエスト、プライバシポリシ情報及び公開鍵証明書を閲覧して、確認し、同意できるか否かを携帯端末2上で選択する。
【0034】
図6は、携帯端末2においてユーザが送信する個人情報を選択してからサービス提供サーバ3がユーザ端末1に個人情報が取得できたことを通知するまでの動作例を示すシーケンス図である。
ステップST4−1:
ユーザは、携帯端末2上で個人情報リクエストによって要求された個人情報を送信するために、個人情報DB内のどの個人情報を送信するかを選択する。個人情報DB内に1つしか個人情報が記録されていない場合には選択する本ステップはなくても良い。また、個人情報DB内にあらかじめ個人情報が記録されていない場合には、この時点で改めてユーザが個人情報DBに個人情報を記録させてもよい。
【0035】
ステップST4−2:
携帯端末2は、ステップST4−1で選択された個人情報を、ステップST3−2で受信した公開鍵を使用して暗号化する。
ステップST4−3:
携帯端末2は、ステップST4−2で暗号化された個人情報を個人情報管理サーバ4に送信する。
【0036】
ステップST4−4:
個人情報管理サーバ4は、ステップST4−3において送信された、暗号化された個人情報を暗号化個人情報DBに記録する。
ステップST4−5:
個人情報管理サーバ4は、個人情報リクエストによって要求された個人情報を取得できたことをサービス提供サーバ3に通知する。
【0037】
ステップST4−6:
サービス提供サーバ3は、個人情報管理サーバ4が個人情報を取得できたことをユーザ端末1に通知する。
【0038】
図7は、サービス提供サーバ3が個人情報を所得するまでの動作例を示すシーケンス図である。
ステップST5−1:
サービス提供サーバ3は、要求する個人情報の利用目的を記述した利用目的情報、及び当該個人情報の識別情報(ユーザID)を個人情報管理サーバ4に送信する。
ステップST5−2:
個人情報管理サーバ4は、ステップST5−1で送信された利用目的情報をプライバシポリシ情報と照らし合わせて、サービス提供サーバが個人情報にアクセス可能かを検証し、可能であればステップST5−3に進む。不可能であれば、処理を終了する。
【0039】
ステップST5−3:
個人情報管理サーバ4は、サービス提供サーバ3に要求された個人情報を暗号化されたまま送信する。
ステップST5−4:
サービス提供サーバ3は、ステップST5−3において送信された、暗号化されたままの個人情報を、サービス提供サーバ3に対応する秘密鍵を用いて復号する。なお、復号し個人情報を利用した後は、サービス提供サーバ3は復号した個人情報を削除する。
【0040】
以上説明したように、本実施形態の個人情報管理システム100では、携帯端末2が、サービス提供サーバ3の公開鍵情報を使用して個人情報を暗号化し、個人情報管理サーバ4が暗号化された個人情報を暗号化されたまま記録・管理し、サービス提供サーバ3が、個人情報が必要になった時点で暗号化されたままの個人情報を個人情報管理サーバ4から取得し、サービス提供サーバ3の秘密鍵を使用して復号し個人情報を利用する。すなわち、個人情報管理サーバ4が個人情報を暗号化されたまま一括管理しているため、個人情報漏洩の危険性を低く抑えることが可能である。
【0041】
また、本実施形態の個人情報管理システム100では、個人情報管理サーバ4は、サービス提供サーバに対応付けられた公開鍵によって暗号化されたままの個人情報を記録・管理しており、それぞれの暗号化された個人情報は対応するサービス提供サーバの秘密鍵を使用しなければ復号することができない(非常に難しい)ため、個人情報管理サーバ4自体も自らが記録・管理する個人情報を復号してその内容を利用することができなくなっており、セキュリティ性が高い。また、万が一、第3者が暗号化された個人情報を取得できたとしても、これが復号し解読することは殆ど不可能に近いため、この意味でもセキュリティ性が高いと言える。
【0042】
さらに、本実施形態の個人情報管理システム100では、個人情報管理サーバ4が、ユーザ端末1とサービス提供サーバ3の識別IDをパラメータとして発行したトークンTKを、サービス提供サーバ3、ユーザ端末1、携帯端末2を経由して再び個人情報管理サーバ4まで転送させ、転送前のトークンと転送されたトークンとが一致するか否かを検証し、一致する場合にユーザ端末1と携帯端末2との関連付けを行っている。ユーザ端末1にはスパイウェア等が仕込まれている可能性があり、必ずしも個人情報を扱うのに安全な環境とはいえないが、携帯電話機の場合、これまで国内でスパイウェアが発見されたことは殆どなく、また元々電話番号等を管理しているためアクセス制限がしっかりしておりセキュリティ性が高いため、携帯端末2は個人情報を扱う場合に比較的安全な環境であるといえる。このため、個人情報の入力等、ユーザから個人情報管理システム100へのセキュリティ上重要なアクセスを携帯端末2上において行い、ユーザ端末1と携帯端末2とを上述した方法で関連付けることによって、個人情報を扱う際のセキュリティ性を高めることができる。
【0043】
さらに、本実施形態の個人情報管理システム100では、ユーザ端末1から携帯端末2にトークンTKを転送する際には、2次元コード等2次元コードを利用しているため、ユーザ端末1に表示されたトークンTKを携帯端末2に入力する際の間違い(文字列の打ち間違い等)がなく、ユーザビリティが向上する。
【0044】
さらに、本実施形態の個人情報管理システム100では、個人情報管理サーバ4が、サービス提供サーバ3に暗号化された個人情報を送信する際にも、サービス提供サーバ3が出力したプライバシポリシ情報(個人情報を如何に扱うかを記述した情報)を基に、当該サービス提供サーバ3が個人情報にアクセス可能であるか否かを判定するため、セキュリティ性が高い。
【0045】
また、本実施形態の個人情報管理システム100では、暗号化された個人情報がユーザID等ユーザを特定できる情報とともに個人情報管理サーバ4に記録・管理されるため、この暗号化された個人情報は、再利用が可能になっている。すなわち、ユーザが以前利用したサービス提供サーバ3と同じサービス提供サーバ3のサービスを利用する際に、再び個人情報が必要になった場合には、以前個人情報管理サーバ4に記録・管理された暗号化された個人情報をサービス提供サーバ3は復号し使用することができる。これにより、個人情報再入力の手間が省けてユーザビリティが向上するとともに、個人情報入力時の個人情報漏洩の機会を減らすことができ、セキュリティ性も向上する。
【0046】
上述した本実施形態の個人情報管理システム100を利用することによって、例えば、匿名でオンラインショッピングを可能にするシステムを実現することができる。
例えば、オンラインショッピングサイトを管理するA社、クレジットカードによる決済を行うB社、宅配サービスを行うC社、A社から商品と購入者識別子(ユーザID)を受け取って宛先ラベルを印刷したものを商品に貼り付け、C社に引き渡す中間業者D社があったとする。ここで、上記各社は上述した本実施形態中のサービス提供サーバ3に対応している。
ユーザは、商品の購入時に、自身の氏名と住所に関する個人情報を携帯端末2を使用して入力するが、ユーザの個人情報はB社及びD社の公開鍵を用いて暗号化され、個人情報管理サーバ4に記録・管理される。B社は、B社の公開鍵で暗号化された暗号化個人情報を取得してB社の秘密鍵で復号し、個人情報中のクレジットカード情報を読み取って決済が可能か否かの判定を行い、決済が可能であれば、決済可能である旨をA社に伝える。A社はユーザが購入した商品をユーザIDとともにD社に渡す。D社は、D社の公開鍵で暗号化された、ユーザIDに対応する暗号化個人情報を個人情報管理サーバ4から取得してD社の秘密鍵で復号し、ユーザの名前や住所を宛先ラベルに記入し、商品に貼り付けてC社に渡す。最終的に、C社がユーザの基に商品を届ける。
【0047】
すなわち、A社はユーザをユーザIDによって識別するため、ユーザはA社から見て匿名のまま、クレジットカード情報を知られることもなく、商品を購入することが可能になっている。B社及びD社に対しても、それぞれ必要な個人情報しか知られていない。また、個人情報管理サーバ4は、暗号化された個人情報がどこに転送されたかを知ることはできるが、暗号化された個人情報を復号して内容を見ることはできない。
さらに、D社で印字するプリンタを限定して、仮にそのプリンタがD社の公開鍵暗号に対応して宛名の差込印刷を内部で実現できる機能を持っているとすれば、D社のPC上で個人情報を直接扱わずに、宛先ラベルを印刷することすら可能になり、個人情報漏洩のリスクを低くすることが可能になっている。
【0048】
さらに上述した実施形態の個人情報管理システム100の変形例として、個人情報管理システム100aを示す。
図8は、個人情報管理システム100aの構成を示すブロック図である。
図8に示すように、個人情報管理システム100aは、ユーザ端末1、携帯端末2、ネットワークサーバ5を有する。
【0049】
ユーザ端末1及び携帯端末2については、上述した実施形態で説明したユーザ端末1及び携帯端末2と同様であるため、説明を省略する。
ネットワークサーバ5は、上述した実施形態におけるサービス提供サーバ3と個人情報管理サーバ4とが1つになったものである。
従って、ネットワークサーバ5は、ユーザ端末1のインターネット等ネットワークへの接続を仲介するNSPが管理するサーバ装置と、PIMSPが管理するサーバ装置とを有し、ユーザ端末1及び携帯端末2とそれぞれSSL/TLS方式等によって暗号化された通信を行っている。また、ネットワークサーバ5は、利用者DB、ユーザ情報DB、トークンDB及び暗号化個人情報DBを有する。各データベースについては上述した実施形態と同様であるため、説明を省略する。
【0050】
本変形例では、NSPが管理するサーバ(サービス提供サーバ)と、PIMSPが管理するサーバ(個人情報管理サーバ)とが1つになっているので、これらの間の通信が必要になった点が上述した実施形態と異なる。また、上述した実施形態においては、サービス提供サーバが複数ある構成についても想定されていたが、本変形例では、NSPが管理するサーバが複数存在することを想定していない(NSP間の連携を想定していない)。
【0051】
以下、本変形例の個人情報管理システム100aにおける動作例を簡単に説明する。
まず、ユーザ端末1は、ユーザの操作に応じて、ネットワークサーバ5にアクセスし、ページ情報を受信し復号してWEBブラウザ上にWEBページを表示する。この際、ネットワークサーバ5は、ユーザ端末1のUA1IDをクッキー情報として取得する。ネットワークサーバ5は、以下NSPIDとUA1IDを基にトークンTKを生成し、UA1ID及びNSPIDをトークンTKと関連付けて保持する。ネットワークサーバ5は、生成したトークンTKをWEBブラウザ表示させるためのページ情報をユーザ端末1へ送信し、これを受信したユーザ端末1は、トークンTKを変換した2次元コードを含むWEBページをWEBブラウザ上に表示する。
【0052】
次に、ユーザ端末1に表示された2次元コードの形式で表示されたトークンTKを、携帯端末2が読み取り、1次元文字列に変換した後、読み取ったトークンTKとともにユーザIDDBに記録されたユーザID、UTN、PINコードを、ネットワークサーバ5に対して送信する。ネットワークサーバ5は、受信したユーザID、UTN、PINコード及びトークンTKに基づいて認証付与の可否判断を行う。受信したトークンTKと一致するトークンTKがトークンDB内に存在すれば、認証可であるとして、一致したトークンTKを送信した携帯端末2と、当該トークンに関連付けられたUA1IDに対応したユーザ端末1とを関連付け、関連付けたことを当該トークンTKとともにトークンDBに記録し、認証不可であった場合には、ユーザ端末1と携帯端末2とが関連付けられていないことを記録する。同時に、認証可であった場合には、ユーザ端末1と携帯端末2とが関連付けられたことを携帯端末2に送信し、認証付加であった場合には、ユーザ端末1と携帯端末2とが関連付けられていないことを携帯端末2に送信する。
【0053】
次に、ネットワークサーバ5は、ユーザ端末1と携帯端末2とが関連付けられている場合に、そのユーザ端末1及び携帯端末2を使用しているユーザの個人情報を要求する個人情報リクエスト、個人情報リクエストを送信したNSPの公開鍵証明書、NSPのプライバシポリシを携帯端末2に送信する。携帯端末2は、受信した個人情報リクエスト、プライバシポリシ情報及びNSPの公開鍵証明書を表示し、ユーザがこれを基に、個人情報リクエスト、プライバシポリシ情報及び公開鍵証明書を閲覧して、確認し、同意するか否かを携帯端末2上で選択する。ユーザが同意した場合は、携帯端末2は、個人情報を、受信した公開鍵を使用して暗号化し、暗号化された個人情報をネットワークサーバ5に送信する。ネットワークサーバ5は、受信した暗号化された個人情報を暗号化個人情報DBに記録し、個人情報を取得できたことをユーザ端末1に通知する。
【0054】
以降、ネットワークサーバ5は暗号化された個人情報を必要なときに復号して使用する。
【0055】
すなわち、本変形例の個人情報管理システム100aによれば、NSPが管理するサーバとPIMSPが管理するサーバが1つのサーバ内にあるために、上述した実施形態で必要であった、個人情報利用の際にPIMSPが管理するサーバが、利用目的情報をプライバシポリシ情報と照らし合わせて、NSPが管理するサーバが個人情報にアクセス可能であるか否かを判定する工程無しに個人情報を利用できるため、上述した実施形態に比べて個人情報の利用時に係る時間や手間が軽減される。
【0056】
本発明は上述した実施形態には限定されない。
すなわち、本発明の実施に際しては、本発明の技術的範囲またはその均等の範囲内において、上述した実施形態の構成要素に関し様々な変更、コンビネーション、サブコンビネーション、並びに代替を行ってもよい。
【0057】
上述した実施形態では、扱う情報は個人情報としたが、漏洩が望ましくない機密情報であれば、どんな情報でも良い。
また、上述した実施形態では、ユーザ端末1が表示した2次元コードを携帯端末2が読み取る形態としたが、本発明はこれには限定されない。すなわち、本発明では、ユーザ端末1(第1のユーザエージェント)が出力した認証データを携帯端末2(第2のユーザエージェント)に入力させる形態であれば良い。例えば、音響OFDM等の技術を使用し、ユーザ端末1が出力した認証用の音を携帯端末2が聞き取ってもよい。
【図面の簡単な説明】
【0058】
【図1】図1は、個人情報管理システム100の構成を示すブロック図である。
【図2】図2は、ユーザ端末1がサービス提供サーバ3へアクセスし、トークンを取得するまでを示したシーケンス図である。
【図3】図3は、トークンTKの一例を示す図である。
【図4】図4は、携帯端末2によるトークンの読み取りから、個人情報管理サーバ4によるユーザ端末1と携帯端末2の関連付けまでの動作例を示すシーケンス図である。
【図5】図5は、携帯端末2へ個人情報リクエスト、プライバシポリシ、サービス提供サーバ3の公開鍵証明書が送信され、携帯端末2上でユーザによって確認されるまでの動作例を示すシーケンス図である。
【図6】図6は、携帯端末2においてユーザが送信する個人情報を選択してからサービス提供サーバ3がユーザ端末1に個人情報が取得できたことを通知するまでの動作例を示すシーケンス図である。
【図7】図7は、サービス提供サーバ3が個人情報を所得するまでの動作例を示すシーケンス図である。
【図8】図8は、変形例の個人情報管理システム100aの構成を示すブロック図である。
【符号の説明】
【0059】
100…個人情報管理システム、100a…個人情報管理システム、1…ユーザ端末、2…携帯端末、3…サービス提供サーバ、4…個人情報管理サーバ、5…ネットワークサーバ
【技術分野】
【0001】
本発明は、個人情報等、機密情報の漏洩を防ぐ情報管理方法及び情報管理システムに関する。
【背景技術】
【0002】
個人情報保護法が2005年4月に施行され、また、企業における個人情報の漏洩問題が次々と明らかになる等、近年では個人情報の保護が大きな問題となっている。一方、オンラインショッピング等により、個人情報をインターネット等ネットワーク上でやり取りする機会は増大している。一度個人情報がインターネット上等に流出すると、完全に削除することは困難であるため、個人情報を安全に扱うことが可能な手法が求められている。
【0003】
セキュリティ対策が施されることが多い企業等とは異なり、家庭等における一般利用者の環境は、P2Pファイル交換ソフトやスパイウェア等による個人情報の流出の危険にさらされており、アンチウィルスソフト等を使用しても必ずしも個人情報の流出を防ぐことができるわけではない。従って、現在の一般利用者の端末環境に手を加えることなく個人情報を安全にやり取りできる手法が求められている。
【0004】
従来、オンラインショッピングでは、NSP(Network Service Provider:ネットワークサービスプロバイダ)のWEBサーバ上にオンラインショップが店を構え、ユーザはWEBブラウザ上で商品を選択し、個人情報やクレジットカード情報を入力する。WEBブラウザ上で入力された個人情報やクレジットカード情報は暗号化され、NSPのWEBサーバに転送される。次に、NSPのWEBサーバ上で個人情報やクレジットカード情報は複合化されて記憶され、クレジットカード会社に転送される。クレジットカード会社はNSPのWEBサーバから転送されたクレジットカード情報を用いて決済を行い、オンラインショップに決済可能であるかが伝えられ、取引が成立する。つまり、従来は、利用者の端末において入力された個人情報及びクレジットカード情報がNSPのWEBサーバに暗号化されて送信され、記録・管理されている。しかし本来、NSPにとって必要な情報は、クレジットカード会社が下した、そのクレジットカード情報で決済が可能であるか否かの情報のみであり、クレジットカード情報は必要ない筈である。すなわち、従来では、本来不必要である筈のクレジットカード情報がNSPによって扱われている、という不利益があった。
【0005】
また、従来では、利用者がショッピングを行う際に、オンラインショップが契約しているNSP毎に個人情報やクレジットカード情報を入力し送信しなければならず、個人情報やクレジットカード情報の入力が面倒である、という不利益があった。さらに、個人情報等を入力・送信するNSPの数だけ、個人情報が拡散し、漏洩するリスクが高くなる、という不利益があった。
【0006】
上述した不利益を解消する先行技術として、非特許文献1に開示されたSET(Secure Electronic Transaction)と呼ばれる通信プロトコルがある。SETでは、NSP上で利用者のクレジットカード情報が開示されることがなく、クレジットカード情報を安全にクレジットカード会社に転送することが可能になっている。
【非特許文献1】MasterCard and Visa, "SET Secure Electronic Transaction Specification, Book 1: Business Description," ver1.0, 1997.
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかし、上述したSETでは、利用者の端末上に専用のアプリケーションソフトウェアをインストールする必要があり、さらにOSやブラウザが限定されてしまう、という不利益があった。
【0008】
また、一般に、利用者が端末等から入力した個人情報は、暗号化された上でNSPのWEBサーバに送信される。すなわち、NSPが安全を保証できるのは、利用者の端末のWEBブラウザからNSPのWEBサーバまでの通信であり、利用者の入力デバイスから利用者端末上のWEBブラウザまでの安全性は保証されていない、という不利益がある。つまり、スパイウェア等により利用者の入力そのものが監視され、これによって個人情報が漏洩してしまう、といった不利益があり、これは上述したSETでも解消できない。
【0009】
本発明は、上述した不利益を解消するために、個人情報等、機密情報をよりよく管理し漏洩を防ぐ情報管理方法及び情報管理システムを提供することを目的とする。
【課題を解決するための手段】
【0010】
上述した目的を達成するために、第1の発明の情報管理方法は、第1のユーザエージェントと、第2のユーザエージェントと、前記第1のユーザエージェントにネットワークを介したサービスを提供するサービス提供サーバと、前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を記録する情報管理サーバと、を有する情報管理システムの情報管理方法であって、前記情報管理サーバが、前記第1のユーザエージェントの識別子と、前記サービス提供サーバの識別子とを基に認証データを生成し記録する第1の工程と、前記情報管理サーバが、前記第1の工程において生成された前記認証データを用いて前記第1のユーザエージェントと前記第2のユーザエージェントとを関連付ける第2の工程と、前記サービス提供サーバが、前記情報管理サーバを介して、当該サービス提供サーバに関連付けられた公開鍵を、前記第2のユーザエージェントに対して送信する第3の工程と、前記第2のユーザエージェントは、前記第3の工程において送信された公開鍵を使用して、前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を暗号化する第4の工程と、前記情報管理サーバが、前記第4の工程において暗号化された前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を記録する第5の工程と、前記サービス提供サーバが、暗号化された前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を前記情報管理サーバから取得する第6の工程と、前記サービス提供サーバが、当該サービス提供サーバに関連付けられた秘密鍵を使用して前記第6の工程において取得された、暗号化された前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を復号する第7の工程と、を有する。
【0011】
第2の発明の情報管理方法は、第1のユーザエージェントと、第2のユーザエージェントと、前記第1のユーザエージェントにネットワークを介したサービスを提供し、また前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を記録するネットワークサーバと、を有する情報管理システムの情報管理方法であって、前記ネットワークサーバが、前記第1のユーザエージェントの識別子を基に認証データを生成し記録する第1の工程と、前記ネットワークサーバが、前記第1の工程において生成された前記認証データを用いて前記第1のユーザエージェントと前記第2のユーザエージェントとを関連付ける第2の工程と、前記ネットワークサーバが、当該ネットワークサーバに関連付けられた公開鍵を、前記第2のユーザエージェントに対して送信する第3の工程と、前記第2のユーザエージェントは、前記第3の工程において送信された公開鍵を使用して、前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を暗号化する第4の工程と、前記ネットワークサーバが、前記第4の工程において暗号化された前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を記録する第5の工程と、前記サービス提供サーバが、当該サービス提供サーバに関連付けられた秘密鍵を使用して前記第5の工程において記録された、暗号化された前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を復号する第6の工程と、を有する。
【0012】
第3の発明の情報管理システムは、第1のユーザエージェントと、第2のユーザエージェントと前記第1のユーザエージェントにネットワークを介したサービスを提供するサービス提供サーバと、前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を記録する情報管理サーバと、を有し、前記第2のユーザエージェントは、前記サービス提供サーバに関連付けられた公開鍵を使用して前記情報を暗号化し、前記情報管理サーバは、前記第2のユーザエージェントにより暗号化された前記情報を暗号化されたまま記録し、前記サービス提供サーバは、前記情報管理サーバに記録された、暗号化された前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を取得し、当該サービス提供サーバに関連付けられた秘密鍵を使用して前記情報を復号する。
【発明の効果】
【0013】
本発明によれば、個人情報等、機密情報をよりよく管理し漏洩を防ぐ情報管理方法及び情報管理システムを提供することができる。
【発明を実施するための最良の形態】
【0014】
以下、本実施形態の個人情報管理システム100について説明する。
図1は、個人情報管理システム(情報管理システム)100の構成を示すブロック図である。
図1に示すように、個人情報管理システム100は、ユーザ端末1(第1ユーザエージェント)、携帯端末2(第2ユーザエージェント)、サービス提供サーバ3、個人情報管理サーバ(情報管理サーバ)4とからなる。
【0015】
ユーザ端末1は、例えばパーソナルコンピュータ等の端末装置であり、サービス提供サーバ3とPKI(Public Key Infrastructure:公開鍵暗号基盤)をベースにしたSSL(Secure Sockets Layer)/TLS(Transport Layer Security)等による暗号化通信を行う。ユーザ端末1は、WEBブラウザ等のブラウジング用アプリケーションを有し、ユーザはこれを利用することによって、サービス提供サーバ3上に展開された様々なサービスにアクセスする。ここで、様々なサービスとは、例えばオンラインショッピング等である。
【0016】
携帯端末2は、2次元コードを読み取り可能なカメラ機能を有する携帯電話機である。2次元コードは、例えばQRコード、PDF417、DataMatrix、MaxiCode等のいずれを用いても良い。
また、携帯端末2は、個人情報管理サーバ4とSSL/TLS等による暗号化通信を行う。
【0017】
また、携帯端末2は、ユーザIDデータベース(DB)を有し、ユーザIDDBには、ユーザ毎に固有のユーザID、携帯端末に固有のUTN(User Terminal Number)、パスワード(暗証番号)としてのPIN(Personal Identify Number)コードが記憶されている。
UTNは、携帯電話機本体固有の個体識別ID、または、SIM(Subscriber Identity Module)カードやUIM(User Identity Module)カードなどの個体識別ID(携帯電話加入者固有の識別ID)である。なお、携帯端末に固有のIDとして、UTNに限られず様々な形式のIDを採用することができるが、ユーザが携帯電話機を切り替えたとしてもユーザが持ち運び可能な個体識別ID(上述したカードに記述された個体識別ID)が望ましい。
また、パスワードとしては、PINコードに限られず、ユーザが携帯端末2に設定し、かつ、個人情報管理サーバ4に登録可能であれば、ユーザが設定したコード、暗証番号等でもよい。
【0018】
さらに、携帯端末2は個人情報DBをさらに有し、ユーザは予め(本実施形態における個人情報管理システムを利用する前に)個人情報、すなわち名前、住所、電話番号、クレジットカード番号、クレジットカードの種類、有効期限等の情報を個人情報DBに記録しておく。なお、個人情報DBに記録できる個人情報は複数あってもよい。すなわち、同じ名前で異なる住所の個人情報を2つ以上個人情報DBに記録しておくことが可能である。なお、この場合には、個人情報が必要になった際にはユーザが携帯端末2上でどの個人情報を利用するかを選択できるようにすればよい。
【0019】
サービス提供サーバ3は、ユーザ端末1のインターネット等ネットワークへの接続を仲介するNSP(ネットワークサービスプロバイダ)が管理するサーバ装置であり、ユーザ端末1及びPIMSP3とそれぞれSSL/TLS方式等によって暗号化された通信を行っている。具体的には、電話回線やISDN回線、データ通信専用回線等を通じて、ユーザ端末1をインターネット等のネットワークに接続させる。
また、サービス提供サーバ3は、利用者DBを有し、サービス提供サーバ3が提供する各サービスの利用者の情報(ユーザID、暗号化された個人情報等)を記録する。
なお、図1においてはサービス提供サーバ3は個人情報管理システム100において1つだけである構成となっているが、本発明はこれには限定されない。すなわち、個人情報管理システム100は複数のサービス提供サーバ3を有していてもよい。この場合、複数のサービス提供サーバ3は、それぞれ独立してユーザ端末1や個人情報管理サーバ4と接続される。
【0020】
個人情報管理サーバ4は、個人情報管理サービスプロバイダ(Personal Information Management Service Provider、以下PIMSPと称する)が管理するサーバ装置である。
個人情報管理サーバ4は、ユーザ端末1及び携帯端末2を利用するユーザの個人情報(クレジットカード情報等を含む)やアクセスログ等を記録・管理する。
個人情報管理サーバ4は、ユーザ情報DB、トークンDB及び暗号化個人情報DBを有する。
ユーザ情報DBは、ユーザに固有のユーザID、携帯端末2に固有のUTN及びPINコードが関連付けられて予め記録している。
トークンDBは、個人情報管理サーバ4が生成したトークンTKを記録する。トークンTKに関しては後述する。
暗号化個人情報DBは、暗号化された個人情報がユーザ情報やトークンTKに関連付けられて記録する。
なお、個人情報管理サーバ4は、個人情報管理システム100において1つのみであることが望ましい。その理由は、個人情報管理サーバ4に個人情報を一括管理させ、個人情報漏洩のリスクを軽減させるためである。
【0021】
次に、個人情報管理システム100の動作例について説明する。
図2に示したシーケンス図は、ユーザ端末1がサービス提供サーバ3へアクセスし、トークンを取得するまでを示している。
【0022】
ステップST1−1:
ユーザ端末1は、ユーザの操作に応じて、サービス提供サーバ3にアクセスするとともに、WEBブラウザを起動する。これによって、サービス提供サーバ3からページ情報を受信して復号し、WEBブラウザ上に表示する。この際、サービス提供サーバ3はユーザ端末1の識別ID(以下UA1ID)をクッキー情報として取得する。
【0023】
ステップST1−2:
サービス提供サーバ3は、個人情報管理サーバ4に対してサービス提供サーバの識別ID(以下NSPID)とユーザ端末1の識別子(上述したUA1IDとは異なってもよいが、同じでも良い。ここでは同じとして説明する)UA1IDとを送信し、トークンTKの発行を要求する。トークンとは、期限付きの認証用データである。
【0024】
ステップST1−3:
個人情報管理サーバ4は、ステップST1−2においてサービス提供サーバ3から送信されたNSPID及びUA1IDをパラメータとして、トークンTKを生成する。
トークンTKの一例を図3に示す。
図3に示すように、トークンTKは文字列であり、通信プロトコル名、NSPID、コマンド名、トークン実体部等の文字列からなる。トークン実体部にはトークンの発行日時、トークンの有効期限等の情報をハッシュ関数等により暗号化した文字列である。
【0025】
ステップST1−4:
個人情報管理サーバ4は、ステップST1−3において発行したトークンTKをサービス提供サーバ3に送信するとともにUA1ID及びNSPIDをトークンTKと関連付けて保持する。
ステップST1−5:
サービス提供サーバ3は、ステップST1−4において受信したトークンTKをWEBブラウザ表示させるためのページ情報をユーザ端末1へ送信する。
【0026】
ステップST1−6:
ユーザ端末1は、ステップST1−5においてサービス提供サーバ3から送信されたページ情報を基に、トークンTKを含むWEBページをWEBブラウザ上に表示する。
なお、ユーザ端末1は、上述したように1次元の文字列であったトークンTKを2次元コードとして表示する。ユーザ端末1がトークンTKを2次元コードの形で表示する方法としては、例えば、予めサービス提供サーバ3から送信されたページ情報内に2次元コード出力サーバのURL(Uniform Resource Locator)が記述されており、ユーザ端末1がページ情報を解釈してWEBページを作成する際に、当該URLにアクセスしてトークンTKを2次元コードに変換させ、これをWEBページ上に表示する、といった方法がある。
【0027】
図4は、携帯端末2によるトークンの読み取りから、個人情報管理サーバ4によるユーザ端末1と携帯端末2の関連付けまでの動作例を示すシーケンス図である。
ステップST2−1:
ステップST1−6においてユーザ端末1に表示された2次元コードの形式で表示されたトークンTKを、携帯端末2が読み取り、解読(1次元文字列に変換)する。
【0028】
ステップST2−2:
携帯端末2は、個人情報管理サーバ4に対して、ステップST2−1において読み取理解読したトークンTKを、ユーザIDDBに記録されたユーザID、UTN、PINコードとともに送信する。
【0029】
ステップST2−3:
個人情報管理サーバ4は、ステップST2−2において送信されたユーザID、UTN、PINコード及びトークンTKに基づいて認証付与の可否判断を行い、可であればステップST2−4に進み、否であればステップST2−5に進む。
すなわち、個人情報管理サーバ4は、ステップST2−2において携帯端末2から送信されたユーザID、UTNおよびPINコードが、ユーザ情報DBに予め記録されたものであるか否かを確認し、予め記録されていたものであれば、そのユーザID、UTNおよびPINコードとともに送信されたトークンTKと同一のものがトークンDB内から検索する。ここで、個人情報管理サーバ4は、そのユーザID、UTNおよびPINコードとともに送信されたトークンTKの有効期限がまだ過ぎていなければ、当該トークンTKと同一のトークンTKをトークンDB内から探し出し、探し出せた場合は、認証可としてステップST2−4に進む。
一方、個人情報管理サーバ4は、送信されたユーザID、UTNおよびPINコードがユーザ情報DBに記録されていないか、受信したトークンTKの有効期限が過ぎているか、または受信したトークンTKがトークンDBに記録されていない場合には、認証不可としてステップST2−5に進む。
【0030】
ステップST2−4:
個人情報管理サーバ4は、ステップST2−3において一致したトークンTKを送信した携帯端末2と、当該トークンに関連付けられたUA1IDに対応したユーザ端末1とを関連付け、関連付けたことを当該トークンTKとともにトークンDBに記録する。
ステップST2−5:
個人情報管理サーバ4は、ステップST2−3において認証可であった場合には、ステップST2−4においてユーザ端末1と携帯端末2とが関連付けられたことをサービス提供サーバ3に送信し、認証不可であった場合には、ユーザ端末1と携帯端末2とが関連付けられていないことをサービス提供サーバ3に送信する。
ステップST2−5’:
個人情報管理サーバ4は、ステップST2−3において認証可であった場合には、ステップST2−4においてユーザ端末1と携帯端末2とが関連付けられたことを携帯端末2に送信し、認証付加であった場合には、ユーザ端末1と携帯端末2とが関連付けられていないことを携帯端末2に送信する。
なお、ステップST2−5とステップST2−5’とはほぼ同時に実行される。
【0031】
図5は、携帯端末2へ個人情報リクエスト、プライバシポリシ、サービス提供サーバ3の公開鍵証明書が送信され、携帯端末2上でユーザによって確認されるまでの動作例を示すシーケンス図である。
ステップST3−1:
サービス提供サーバ3は、ステップST2−5において送信された、ユーザ端末1と携帯端末2とが関連付けられたことを受信して、そのユーザ端末1及び携帯端末2を使用しているユーザの個人情報を要求する個人情報リクエストを個人情報管理サーバ4に送信する。
【0032】
ステップST3−2:
個人情報管理サーバ4は、ステップST3−1で送信された個人情報リクエスト、個人情報リクエストを送信したサービス提供サーバ3の公開鍵証明書、サービス提供サーバ3のプライバシポリシを携帯端末2に送信する。
ここで、サービス提供サーバ3の公開鍵証明書は、公開鍵暗号基盤PKI(Public Key Infrastructure)に基づいた認証機関或いはPIMSP内部のプライベート認証機関による証明書であり、サービス提供サーバ3ごとに決定されているものであり、個人情報管理サーバ4は、サービス提供サーバ3の公開鍵証明書を予め保持している。
また、プライバシポリシ情報は、個人情報リクエストによって要求された個人情報を、サービス提供サーバ3がどのように利用するかをユーザに通知するものであり、例えば、サービス提供サーバ3がユーザに対し、個人情報を閲覧するのは個人情報管理サーバ4だけであり、サービス提供サーバ3自体は閲覧しない、といった内容のものである。
【0033】
ステップST3−3:
携帯端末2は、ステップST3−2において個人情報管理サーバ4から送信されてきた個人情報リクエスト、プライバシポリシ情報及びサービス提供サーバ3の公開鍵証明書を表示する。
ステップST3−4:
ユーザは、ステップST3−3において表示された、個人情報リクエスト、プライバシポリシ情報及び公開鍵証明書を閲覧して、確認し、同意できるか否かを携帯端末2上で選択する。
【0034】
図6は、携帯端末2においてユーザが送信する個人情報を選択してからサービス提供サーバ3がユーザ端末1に個人情報が取得できたことを通知するまでの動作例を示すシーケンス図である。
ステップST4−1:
ユーザは、携帯端末2上で個人情報リクエストによって要求された個人情報を送信するために、個人情報DB内のどの個人情報を送信するかを選択する。個人情報DB内に1つしか個人情報が記録されていない場合には選択する本ステップはなくても良い。また、個人情報DB内にあらかじめ個人情報が記録されていない場合には、この時点で改めてユーザが個人情報DBに個人情報を記録させてもよい。
【0035】
ステップST4−2:
携帯端末2は、ステップST4−1で選択された個人情報を、ステップST3−2で受信した公開鍵を使用して暗号化する。
ステップST4−3:
携帯端末2は、ステップST4−2で暗号化された個人情報を個人情報管理サーバ4に送信する。
【0036】
ステップST4−4:
個人情報管理サーバ4は、ステップST4−3において送信された、暗号化された個人情報を暗号化個人情報DBに記録する。
ステップST4−5:
個人情報管理サーバ4は、個人情報リクエストによって要求された個人情報を取得できたことをサービス提供サーバ3に通知する。
【0037】
ステップST4−6:
サービス提供サーバ3は、個人情報管理サーバ4が個人情報を取得できたことをユーザ端末1に通知する。
【0038】
図7は、サービス提供サーバ3が個人情報を所得するまでの動作例を示すシーケンス図である。
ステップST5−1:
サービス提供サーバ3は、要求する個人情報の利用目的を記述した利用目的情報、及び当該個人情報の識別情報(ユーザID)を個人情報管理サーバ4に送信する。
ステップST5−2:
個人情報管理サーバ4は、ステップST5−1で送信された利用目的情報をプライバシポリシ情報と照らし合わせて、サービス提供サーバが個人情報にアクセス可能かを検証し、可能であればステップST5−3に進む。不可能であれば、処理を終了する。
【0039】
ステップST5−3:
個人情報管理サーバ4は、サービス提供サーバ3に要求された個人情報を暗号化されたまま送信する。
ステップST5−4:
サービス提供サーバ3は、ステップST5−3において送信された、暗号化されたままの個人情報を、サービス提供サーバ3に対応する秘密鍵を用いて復号する。なお、復号し個人情報を利用した後は、サービス提供サーバ3は復号した個人情報を削除する。
【0040】
以上説明したように、本実施形態の個人情報管理システム100では、携帯端末2が、サービス提供サーバ3の公開鍵情報を使用して個人情報を暗号化し、個人情報管理サーバ4が暗号化された個人情報を暗号化されたまま記録・管理し、サービス提供サーバ3が、個人情報が必要になった時点で暗号化されたままの個人情報を個人情報管理サーバ4から取得し、サービス提供サーバ3の秘密鍵を使用して復号し個人情報を利用する。すなわち、個人情報管理サーバ4が個人情報を暗号化されたまま一括管理しているため、個人情報漏洩の危険性を低く抑えることが可能である。
【0041】
また、本実施形態の個人情報管理システム100では、個人情報管理サーバ4は、サービス提供サーバに対応付けられた公開鍵によって暗号化されたままの個人情報を記録・管理しており、それぞれの暗号化された個人情報は対応するサービス提供サーバの秘密鍵を使用しなければ復号することができない(非常に難しい)ため、個人情報管理サーバ4自体も自らが記録・管理する個人情報を復号してその内容を利用することができなくなっており、セキュリティ性が高い。また、万が一、第3者が暗号化された個人情報を取得できたとしても、これが復号し解読することは殆ど不可能に近いため、この意味でもセキュリティ性が高いと言える。
【0042】
さらに、本実施形態の個人情報管理システム100では、個人情報管理サーバ4が、ユーザ端末1とサービス提供サーバ3の識別IDをパラメータとして発行したトークンTKを、サービス提供サーバ3、ユーザ端末1、携帯端末2を経由して再び個人情報管理サーバ4まで転送させ、転送前のトークンと転送されたトークンとが一致するか否かを検証し、一致する場合にユーザ端末1と携帯端末2との関連付けを行っている。ユーザ端末1にはスパイウェア等が仕込まれている可能性があり、必ずしも個人情報を扱うのに安全な環境とはいえないが、携帯電話機の場合、これまで国内でスパイウェアが発見されたことは殆どなく、また元々電話番号等を管理しているためアクセス制限がしっかりしておりセキュリティ性が高いため、携帯端末2は個人情報を扱う場合に比較的安全な環境であるといえる。このため、個人情報の入力等、ユーザから個人情報管理システム100へのセキュリティ上重要なアクセスを携帯端末2上において行い、ユーザ端末1と携帯端末2とを上述した方法で関連付けることによって、個人情報を扱う際のセキュリティ性を高めることができる。
【0043】
さらに、本実施形態の個人情報管理システム100では、ユーザ端末1から携帯端末2にトークンTKを転送する際には、2次元コード等2次元コードを利用しているため、ユーザ端末1に表示されたトークンTKを携帯端末2に入力する際の間違い(文字列の打ち間違い等)がなく、ユーザビリティが向上する。
【0044】
さらに、本実施形態の個人情報管理システム100では、個人情報管理サーバ4が、サービス提供サーバ3に暗号化された個人情報を送信する際にも、サービス提供サーバ3が出力したプライバシポリシ情報(個人情報を如何に扱うかを記述した情報)を基に、当該サービス提供サーバ3が個人情報にアクセス可能であるか否かを判定するため、セキュリティ性が高い。
【0045】
また、本実施形態の個人情報管理システム100では、暗号化された個人情報がユーザID等ユーザを特定できる情報とともに個人情報管理サーバ4に記録・管理されるため、この暗号化された個人情報は、再利用が可能になっている。すなわち、ユーザが以前利用したサービス提供サーバ3と同じサービス提供サーバ3のサービスを利用する際に、再び個人情報が必要になった場合には、以前個人情報管理サーバ4に記録・管理された暗号化された個人情報をサービス提供サーバ3は復号し使用することができる。これにより、個人情報再入力の手間が省けてユーザビリティが向上するとともに、個人情報入力時の個人情報漏洩の機会を減らすことができ、セキュリティ性も向上する。
【0046】
上述した本実施形態の個人情報管理システム100を利用することによって、例えば、匿名でオンラインショッピングを可能にするシステムを実現することができる。
例えば、オンラインショッピングサイトを管理するA社、クレジットカードによる決済を行うB社、宅配サービスを行うC社、A社から商品と購入者識別子(ユーザID)を受け取って宛先ラベルを印刷したものを商品に貼り付け、C社に引き渡す中間業者D社があったとする。ここで、上記各社は上述した本実施形態中のサービス提供サーバ3に対応している。
ユーザは、商品の購入時に、自身の氏名と住所に関する個人情報を携帯端末2を使用して入力するが、ユーザの個人情報はB社及びD社の公開鍵を用いて暗号化され、個人情報管理サーバ4に記録・管理される。B社は、B社の公開鍵で暗号化された暗号化個人情報を取得してB社の秘密鍵で復号し、個人情報中のクレジットカード情報を読み取って決済が可能か否かの判定を行い、決済が可能であれば、決済可能である旨をA社に伝える。A社はユーザが購入した商品をユーザIDとともにD社に渡す。D社は、D社の公開鍵で暗号化された、ユーザIDに対応する暗号化個人情報を個人情報管理サーバ4から取得してD社の秘密鍵で復号し、ユーザの名前や住所を宛先ラベルに記入し、商品に貼り付けてC社に渡す。最終的に、C社がユーザの基に商品を届ける。
【0047】
すなわち、A社はユーザをユーザIDによって識別するため、ユーザはA社から見て匿名のまま、クレジットカード情報を知られることもなく、商品を購入することが可能になっている。B社及びD社に対しても、それぞれ必要な個人情報しか知られていない。また、個人情報管理サーバ4は、暗号化された個人情報がどこに転送されたかを知ることはできるが、暗号化された個人情報を復号して内容を見ることはできない。
さらに、D社で印字するプリンタを限定して、仮にそのプリンタがD社の公開鍵暗号に対応して宛名の差込印刷を内部で実現できる機能を持っているとすれば、D社のPC上で個人情報を直接扱わずに、宛先ラベルを印刷することすら可能になり、個人情報漏洩のリスクを低くすることが可能になっている。
【0048】
さらに上述した実施形態の個人情報管理システム100の変形例として、個人情報管理システム100aを示す。
図8は、個人情報管理システム100aの構成を示すブロック図である。
図8に示すように、個人情報管理システム100aは、ユーザ端末1、携帯端末2、ネットワークサーバ5を有する。
【0049】
ユーザ端末1及び携帯端末2については、上述した実施形態で説明したユーザ端末1及び携帯端末2と同様であるため、説明を省略する。
ネットワークサーバ5は、上述した実施形態におけるサービス提供サーバ3と個人情報管理サーバ4とが1つになったものである。
従って、ネットワークサーバ5は、ユーザ端末1のインターネット等ネットワークへの接続を仲介するNSPが管理するサーバ装置と、PIMSPが管理するサーバ装置とを有し、ユーザ端末1及び携帯端末2とそれぞれSSL/TLS方式等によって暗号化された通信を行っている。また、ネットワークサーバ5は、利用者DB、ユーザ情報DB、トークンDB及び暗号化個人情報DBを有する。各データベースについては上述した実施形態と同様であるため、説明を省略する。
【0050】
本変形例では、NSPが管理するサーバ(サービス提供サーバ)と、PIMSPが管理するサーバ(個人情報管理サーバ)とが1つになっているので、これらの間の通信が必要になった点が上述した実施形態と異なる。また、上述した実施形態においては、サービス提供サーバが複数ある構成についても想定されていたが、本変形例では、NSPが管理するサーバが複数存在することを想定していない(NSP間の連携を想定していない)。
【0051】
以下、本変形例の個人情報管理システム100aにおける動作例を簡単に説明する。
まず、ユーザ端末1は、ユーザの操作に応じて、ネットワークサーバ5にアクセスし、ページ情報を受信し復号してWEBブラウザ上にWEBページを表示する。この際、ネットワークサーバ5は、ユーザ端末1のUA1IDをクッキー情報として取得する。ネットワークサーバ5は、以下NSPIDとUA1IDを基にトークンTKを生成し、UA1ID及びNSPIDをトークンTKと関連付けて保持する。ネットワークサーバ5は、生成したトークンTKをWEBブラウザ表示させるためのページ情報をユーザ端末1へ送信し、これを受信したユーザ端末1は、トークンTKを変換した2次元コードを含むWEBページをWEBブラウザ上に表示する。
【0052】
次に、ユーザ端末1に表示された2次元コードの形式で表示されたトークンTKを、携帯端末2が読み取り、1次元文字列に変換した後、読み取ったトークンTKとともにユーザIDDBに記録されたユーザID、UTN、PINコードを、ネットワークサーバ5に対して送信する。ネットワークサーバ5は、受信したユーザID、UTN、PINコード及びトークンTKに基づいて認証付与の可否判断を行う。受信したトークンTKと一致するトークンTKがトークンDB内に存在すれば、認証可であるとして、一致したトークンTKを送信した携帯端末2と、当該トークンに関連付けられたUA1IDに対応したユーザ端末1とを関連付け、関連付けたことを当該トークンTKとともにトークンDBに記録し、認証不可であった場合には、ユーザ端末1と携帯端末2とが関連付けられていないことを記録する。同時に、認証可であった場合には、ユーザ端末1と携帯端末2とが関連付けられたことを携帯端末2に送信し、認証付加であった場合には、ユーザ端末1と携帯端末2とが関連付けられていないことを携帯端末2に送信する。
【0053】
次に、ネットワークサーバ5は、ユーザ端末1と携帯端末2とが関連付けられている場合に、そのユーザ端末1及び携帯端末2を使用しているユーザの個人情報を要求する個人情報リクエスト、個人情報リクエストを送信したNSPの公開鍵証明書、NSPのプライバシポリシを携帯端末2に送信する。携帯端末2は、受信した個人情報リクエスト、プライバシポリシ情報及びNSPの公開鍵証明書を表示し、ユーザがこれを基に、個人情報リクエスト、プライバシポリシ情報及び公開鍵証明書を閲覧して、確認し、同意するか否かを携帯端末2上で選択する。ユーザが同意した場合は、携帯端末2は、個人情報を、受信した公開鍵を使用して暗号化し、暗号化された個人情報をネットワークサーバ5に送信する。ネットワークサーバ5は、受信した暗号化された個人情報を暗号化個人情報DBに記録し、個人情報を取得できたことをユーザ端末1に通知する。
【0054】
以降、ネットワークサーバ5は暗号化された個人情報を必要なときに復号して使用する。
【0055】
すなわち、本変形例の個人情報管理システム100aによれば、NSPが管理するサーバとPIMSPが管理するサーバが1つのサーバ内にあるために、上述した実施形態で必要であった、個人情報利用の際にPIMSPが管理するサーバが、利用目的情報をプライバシポリシ情報と照らし合わせて、NSPが管理するサーバが個人情報にアクセス可能であるか否かを判定する工程無しに個人情報を利用できるため、上述した実施形態に比べて個人情報の利用時に係る時間や手間が軽減される。
【0056】
本発明は上述した実施形態には限定されない。
すなわち、本発明の実施に際しては、本発明の技術的範囲またはその均等の範囲内において、上述した実施形態の構成要素に関し様々な変更、コンビネーション、サブコンビネーション、並びに代替を行ってもよい。
【0057】
上述した実施形態では、扱う情報は個人情報としたが、漏洩が望ましくない機密情報であれば、どんな情報でも良い。
また、上述した実施形態では、ユーザ端末1が表示した2次元コードを携帯端末2が読み取る形態としたが、本発明はこれには限定されない。すなわち、本発明では、ユーザ端末1(第1のユーザエージェント)が出力した認証データを携帯端末2(第2のユーザエージェント)に入力させる形態であれば良い。例えば、音響OFDM等の技術を使用し、ユーザ端末1が出力した認証用の音を携帯端末2が聞き取ってもよい。
【図面の簡単な説明】
【0058】
【図1】図1は、個人情報管理システム100の構成を示すブロック図である。
【図2】図2は、ユーザ端末1がサービス提供サーバ3へアクセスし、トークンを取得するまでを示したシーケンス図である。
【図3】図3は、トークンTKの一例を示す図である。
【図4】図4は、携帯端末2によるトークンの読み取りから、個人情報管理サーバ4によるユーザ端末1と携帯端末2の関連付けまでの動作例を示すシーケンス図である。
【図5】図5は、携帯端末2へ個人情報リクエスト、プライバシポリシ、サービス提供サーバ3の公開鍵証明書が送信され、携帯端末2上でユーザによって確認されるまでの動作例を示すシーケンス図である。
【図6】図6は、携帯端末2においてユーザが送信する個人情報を選択してからサービス提供サーバ3がユーザ端末1に個人情報が取得できたことを通知するまでの動作例を示すシーケンス図である。
【図7】図7は、サービス提供サーバ3が個人情報を所得するまでの動作例を示すシーケンス図である。
【図8】図8は、変形例の個人情報管理システム100aの構成を示すブロック図である。
【符号の説明】
【0059】
100…個人情報管理システム、100a…個人情報管理システム、1…ユーザ端末、2…携帯端末、3…サービス提供サーバ、4…個人情報管理サーバ、5…ネットワークサーバ
【特許請求の範囲】
【請求項1】
第1のユーザエージェントと、第2のユーザエージェントと、前記第1のユーザエージェントにネットワークを介したサービスを提供するサービス提供サーバと、前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を記録する情報管理サーバと、を有する情報管理システムの情報管理方法であって、
前記情報管理サーバが、前記第1のユーザエージェントの識別子と、前記サービス提供サーバの識別子とを基に認証データを生成し記録する第1の工程と、
前記情報管理サーバが、前記第1の工程において生成された前記認証データを用いて前記第1のユーザエージェントと前記第2のユーザエージェントとを関連付ける第2の工程と、
前記サービス提供サーバが、前記情報管理サーバを介して、当該サービス提供サーバに関連付けられた公開鍵を、前記第2のユーザエージェントに対して送信する第3の工程と、
前記第2のユーザエージェントは、前記第3の工程において送信された公開鍵を使用して、前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を暗号化する第4の工程と、
前記情報管理サーバが、前記第4の工程において暗号化された前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を記録する第5の工程と、
前記サービス提供サーバが、暗号化された前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を前記情報管理サーバから取得する第6の工程と、
前記サービス提供サーバが、当該サービス提供サーバに関連付けられた秘密鍵を使用して前記第6の工程において取得された、暗号化された前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を復号する第7の工程と、
を有する情報管理方法。
【請求項2】
前記第2の工程は、
前記第1のユーザエージェントが前記認証データを出力する第8の工程と、
前記第8の工程において前記第1のユーザエージェントから出力された前記認証データを前記第2のユーザエージェントに入力する第9の工程と、
前記情報管理サーバが、前記第9の工程において前記第2のユーザエージェントに入力された認証データと一致するものが前記第1の工程において記録された前記認証データの中にあるか否かを検索し、一致するものがあった場合に前記第1のユーザエージェントと前記第2のユーザエージェントとを関連付ける第10の工程と、
を有する請求項1に記載の情報管理方法。
【請求項3】
前記第8の工程において、前記第1のユーザエージェントは前記認証データに基づいた2次元コードを表示する
請求項2に記載の情報管理方法。
【請求項4】
前記第6の工程は、
前記サービス提供サーバが、取得した情報をどのように利用するかを示すプライバシポリシ情報を生成し前記情報管理サーバを介して前記第2のユーザエージェントに送信する第11の工程と、
前記第2のユーザエージェントが、前記第11の工程で送信されたプライバシポリシ情報を基に、前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を前記サービス提供サーバに取得させてもよいか否かを判定する第12の工程と、
前記第12の工程において、前記第2のユーザエージェントによって前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を前記サービス提供サーバに取得させてもよいと判定された場合に、情報管理サーバが前記サービス提供サーバに対して前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を送信する第13の工程と、
をさらに有する請求項1から3のいずれか一項に記載の情報管理方法。
【請求項5】
第1のユーザエージェントと、第2のユーザエージェントと、前記第1のユーザエージェントにネットワークを介したサービスを提供し、また前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を記録するネットワークサーバと、を有する情報管理システムの情報管理方法であって、
前記ネットワークサーバが、前記第1のユーザエージェントの識別子を基に認証データを生成し記録する第1の工程と、
前記ネットワークサーバが、前記第1の工程において生成された前記認証データを用いて前記第1のユーザエージェントと前記第2のユーザエージェントとを関連付ける第2の工程と、
前記ネットワークサーバが、当該ネットワークサーバに関連付けられた公開鍵を、前記第2のユーザエージェントに対して送信する第3の工程と、
前記第2のユーザエージェントは、前記第3の工程において送信された公開鍵を使用して、前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を暗号化する第4の工程と、
前記ネットワークサーバが、前記第4の工程において暗号化された前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を記録する第5の工程と、
前記サービス提供サーバが、当該サービス提供サーバに関連付けられた秘密鍵を使用して前記第5の工程において記録された、暗号化された前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を復号する第6の工程と、
を有する情報管理方法。
【請求項6】
第1のユーザエージェントと、
第2のユーザエージェントと、
前記第1のユーザエージェントにネットワークを介したサービスを提供するサービス提供サーバと、
前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を記録する情報管理サーバと、
を有し、
前記第2のユーザエージェントは、前記サービス提供サーバに関連付けられた公開鍵を使用して前記情報を暗号化し、
前記情報管理サーバは、前記第2のユーザエージェントにより暗号化された前記情報を暗号化されたまま記録し、
前記サービス提供サーバは、前記情報管理サーバに記録された、暗号化された前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を取得し、当該サービス提供サーバに関連付けられた秘密鍵を使用して前記情報を復号する
情報管理システム。
【請求項7】
前記情報管理サーバは、前記第1のユーザエージェントの識別子と、前記サービス提供サーバの識別子とを基に認証データを生成し、生成された前記認証データを用いて前記第1のユーザエージェントと前記第2のユーザエージェントとを関連付ける
請求項6に記載の情報管理システム。
【請求項1】
第1のユーザエージェントと、第2のユーザエージェントと、前記第1のユーザエージェントにネットワークを介したサービスを提供するサービス提供サーバと、前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を記録する情報管理サーバと、を有する情報管理システムの情報管理方法であって、
前記情報管理サーバが、前記第1のユーザエージェントの識別子と、前記サービス提供サーバの識別子とを基に認証データを生成し記録する第1の工程と、
前記情報管理サーバが、前記第1の工程において生成された前記認証データを用いて前記第1のユーザエージェントと前記第2のユーザエージェントとを関連付ける第2の工程と、
前記サービス提供サーバが、前記情報管理サーバを介して、当該サービス提供サーバに関連付けられた公開鍵を、前記第2のユーザエージェントに対して送信する第3の工程と、
前記第2のユーザエージェントは、前記第3の工程において送信された公開鍵を使用して、前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を暗号化する第4の工程と、
前記情報管理サーバが、前記第4の工程において暗号化された前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を記録する第5の工程と、
前記サービス提供サーバが、暗号化された前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を前記情報管理サーバから取得する第6の工程と、
前記サービス提供サーバが、当該サービス提供サーバに関連付けられた秘密鍵を使用して前記第6の工程において取得された、暗号化された前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を復号する第7の工程と、
を有する情報管理方法。
【請求項2】
前記第2の工程は、
前記第1のユーザエージェントが前記認証データを出力する第8の工程と、
前記第8の工程において前記第1のユーザエージェントから出力された前記認証データを前記第2のユーザエージェントに入力する第9の工程と、
前記情報管理サーバが、前記第9の工程において前記第2のユーザエージェントに入力された認証データと一致するものが前記第1の工程において記録された前記認証データの中にあるか否かを検索し、一致するものがあった場合に前記第1のユーザエージェントと前記第2のユーザエージェントとを関連付ける第10の工程と、
を有する請求項1に記載の情報管理方法。
【請求項3】
前記第8の工程において、前記第1のユーザエージェントは前記認証データに基づいた2次元コードを表示する
請求項2に記載の情報管理方法。
【請求項4】
前記第6の工程は、
前記サービス提供サーバが、取得した情報をどのように利用するかを示すプライバシポリシ情報を生成し前記情報管理サーバを介して前記第2のユーザエージェントに送信する第11の工程と、
前記第2のユーザエージェントが、前記第11の工程で送信されたプライバシポリシ情報を基に、前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を前記サービス提供サーバに取得させてもよいか否かを判定する第12の工程と、
前記第12の工程において、前記第2のユーザエージェントによって前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を前記サービス提供サーバに取得させてもよいと判定された場合に、情報管理サーバが前記サービス提供サーバに対して前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を送信する第13の工程と、
をさらに有する請求項1から3のいずれか一項に記載の情報管理方法。
【請求項5】
第1のユーザエージェントと、第2のユーザエージェントと、前記第1のユーザエージェントにネットワークを介したサービスを提供し、また前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を記録するネットワークサーバと、を有する情報管理システムの情報管理方法であって、
前記ネットワークサーバが、前記第1のユーザエージェントの識別子を基に認証データを生成し記録する第1の工程と、
前記ネットワークサーバが、前記第1の工程において生成された前記認証データを用いて前記第1のユーザエージェントと前記第2のユーザエージェントとを関連付ける第2の工程と、
前記ネットワークサーバが、当該ネットワークサーバに関連付けられた公開鍵を、前記第2のユーザエージェントに対して送信する第3の工程と、
前記第2のユーザエージェントは、前記第3の工程において送信された公開鍵を使用して、前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を暗号化する第4の工程と、
前記ネットワークサーバが、前記第4の工程において暗号化された前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を記録する第5の工程と、
前記サービス提供サーバが、当該サービス提供サーバに関連付けられた秘密鍵を使用して前記第5の工程において記録された、暗号化された前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を復号する第6の工程と、
を有する情報管理方法。
【請求項6】
第1のユーザエージェントと、
第2のユーザエージェントと、
前記第1のユーザエージェントにネットワークを介したサービスを提供するサービス提供サーバと、
前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を記録する情報管理サーバと、
を有し、
前記第2のユーザエージェントは、前記サービス提供サーバに関連付けられた公開鍵を使用して前記情報を暗号化し、
前記情報管理サーバは、前記第2のユーザエージェントにより暗号化された前記情報を暗号化されたまま記録し、
前記サービス提供サーバは、前記情報管理サーバに記録された、暗号化された前記第1のユーザエージェント及び第2のユーザエージェントに対応した情報を取得し、当該サービス提供サーバに関連付けられた秘密鍵を使用して前記情報を復号する
情報管理システム。
【請求項7】
前記情報管理サーバは、前記第1のユーザエージェントの識別子と、前記サービス提供サーバの識別子とを基に認証データを生成し、生成された前記認証データを用いて前記第1のユーザエージェントと前記第2のユーザエージェントとを関連付ける
請求項6に記載の情報管理システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2007−73040(P2007−73040A)
【公開日】平成19年3月22日(2007.3.22)
【国際特許分類】
【出願番号】特願2006−216797(P2006−216797)
【出願日】平成18年8月9日(2006.8.9)
【出願人】(800000080)タマティーエルオー株式会社 (255)
【出願人】(598123138)学校法人 創価大学 (49)
【Fターム(参考)】
【公開日】平成19年3月22日(2007.3.22)
【国際特許分類】
【出願日】平成18年8月9日(2006.8.9)
【出願人】(800000080)タマティーエルオー株式会社 (255)
【出願人】(598123138)学校法人 創価大学 (49)
【Fターム(参考)】
[ Back to top ]