本人確認方法、個人情報管理装置及び名寄せ装置
【課題】異なるID同士をペアリングでき、また、データ送信途中で一部のデータが漏洩しても元のデータを復元不可とし、さらにデータ送信元とデータ送信先の双方から互いを隠蔽可能とする。
【解決手段】名寄せ装置12により共通IDが分割されそれぞれが秘匿化された複数のIDを、それぞれ異なる中継装置13、14を介して受信し、その複数のIDから前記共通IDを生成し、その共通IDと、第一の中継装置14から前記IDとともに受信したハッシュ化済み本人確認情報と、本人確認情報記憶部203及び本人確認情報更新履歴記憶部204の本人確認情報に基づいて、本人確認情報を照合し、照合結果を生成し、これを秘匿化して名寄せ装置12に送信する。
【解決手段】名寄せ装置12により共通IDが分割されそれぞれが秘匿化された複数のIDを、それぞれ異なる中継装置13、14を介して受信し、その複数のIDから前記共通IDを生成し、その共通IDと、第一の中継装置14から前記IDとともに受信したハッシュ化済み本人確認情報と、本人確認情報記憶部203及び本人確認情報更新履歴記憶部204の本人確認情報に基づいて、本人確認情報を照合し、照合結果を生成し、これを秘匿化して名寄せ装置12に送信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、本人確認方法、個人情報管理装置及び名寄せ装置に関する。
【背景技術】
【0002】
近年、様々なサービスにおいて横断的に利用可能なID(以下、共通ID)が登場した。例として、国民一人一人に割り当てられた住民票コードがあり、住民票コードに紐付けられた住所、氏名や生年月日等の情報(以下、本人確認情報)を利用することにより、パスポートの申請や転入転出の手続きが簡略化されることとなった。今後、この共通IDの利用範囲が拡大し、銀行等の民間企業での利用も想定される。
【0003】
上記共通IDの利用例として、例えば、従来から民間企業で利用者一人一人に割り当てられているID(以下、ローカルID)と共通IDのペアリングを行い、共通ID発行機関が管理する本人確認情報の変更情報を、共通IDとペアとなったローカルIDを持つ利用者の住所、氏名や生年月日等の情報(以下、属性情報)に反映させるということが想定される。また、共通ID発行機関と企業間では、共通IDや本人確認情報に関するデータがやり取りされる。その際、二者間のデータを安全にやり取りするための方法が必要となる。これに関連する技術として、データを暗号化する際に使用した共通鍵を、データ送信元が複数に分割し、電子的、物理的に異なる経路でデータ送信先に提供することで、二者間のデータを安全にやり取りする技術が知られている(例えば、特許文献1参照)。これにより分割した共通鍵の一部が漏洩したとしても、共通鍵を復元することはできない。
【0004】
また、共通IDとローカルIDのペアリングが成立すれば、データ送信先である共通ID発行機関側とデータ送信元である企業側に同一人物の情報が記憶されているということが自明になってしまう。これに関連する技術として、データ送信元とデータ送信先の間にある通信制御装置が、データ送信元のIPアドレスを変更することで、データの送信元を送信先から隠蔽する技術が知られている(例えば、特許文献2参照)。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2007−274388号公報
【特許文献2】特許第3875051号号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、上記の想定や従来技術では、次のような課題がある。先ず、共通IDとローカルIDとのペアリングを、共通ID発行機関が保有する本人確認情報と、企業が保有する本人確認情報との照合によって行う場合、例えば引越しなどにより企業側が保有する本人確認情報が最新でなくなってしまった際には、共通IDとローカルIDのペアリングを行うことができない。
【0007】
また、共通鍵を分割し、一方を物理的な方法で、もう一方で電子的な方法で送る場合、物理的な輸送に関しては時間的なオーバヘッドや輸送コストが発生する可能性がある。さらに、データ自体は分割せずに電子的に送信するため、暗号が解かれる可能性がある。
【0008】
また、送信元と送信先の隠蔽においては、送信元が送信先を指定している以上、送信元からは送信先に問い合わせた内容に合致する人物がいるか否かが自明となってしまう。
【0009】
本発明は、このような事情に鑑みてなされたものであり、企業が保有する最新ではない本人確認情報と、ID発行機関が保有する最新の本人確認情報とが異なる場合においても、IDのペアリングを行うことができ、また、データ送信途中で一部のデータが漏洩しても元のデータが復元できないようにし、さらにデータ送信元とデータ送信先の双方から互いを隠蔽することができる技術を提供することを課題とする。
【課題を解決するための手段】
【0010】
上記課題を解決するための一手段を説明する。即ち、本発明は、名寄せ装置、複数の中継装置とネットワークを介して接続された個人情報管理装置における本人確認方法である。前記個人情報管理装置には、共通IDと本人確認情報とをそれぞれ対応付けて記憶する本人確認情報記憶部と、前記共通IDと前記本人確認情報の履歴とをそれぞれ対応付けて記憶する本人確認情報更新履歴記憶部と、が具備されている。そして、前記名寄せ装置により前記共通IDが分割されそれぞれが秘匿化された複数のIDを、それぞれ異なる前記中継装置を介して受信し、前記受信した複数のIDから前記共通IDを生成し、前記生成した共通IDと、第一の中継装置から前記IDとともに受信したハッシュ化済み本人確認情報と、前記本人確認情報記憶部と、前記本人確認情報更新履歴記憶部に基づいて、本人確認情報を照合し、照合結果を生成し、前記照合結果を秘匿化して前記名寄せ装置に送信する、ことを特徴とする。
【発明の効果】
【0011】
本発明によれば、企業保有する最新ではない本人確認情報と、ID発行機関が保有する最新の本人確認情報とが異なる場合においても、IDのペアリングを行うことができ、また、データ送信途中で一部のデータが漏洩しても元のデータが復元できないようにし、さらにデータ送信元とデータ送信先の双方から互いを隠蔽することができる。
【図面の簡単な説明】
【0012】
【図1】本発明の実施例におけるネットワークシステムを示す図。
【図2】本発明の実施例における個人情報管理装置11のハードウェア構成例を示す図。
【図3】本発明の実施例における名寄せ装置12のハードウェア構成例を示す図。
【図4】本発明の実施例における中継装置13、14のハードウェア構成例を示す図。
【図5】本発明の実施例における本人確認に関する処理の一例を示す図。
【図6】本発明の実施例における本人確認情報記憶部203内の本人確認情報テーブル601の内容例を示す図。
【図7】本発明の実施例における本人確認情報更新履歴記憶部204内の住所更新履歴テーブル701の内容例を示す図。
【図8】本発明の実施例における本人確認情報更新履歴記憶部204内の氏名更新履歴テーブル801の内容例を示す図。
【図9】本発明の実施例における本人確認情報更新履歴記憶部204内の性別更新履歴テーブル901の内容例を示す図。
【図10】本発明の実施例における本人確認情報更新履歴記憶部204の生年月日更新履歴テーブル1001の内容例を示す図。
【図11】本発明の実施例における属性情報記憶部310内の属性情報テーブル1101の内容例を示す図。
【図12】本発明の実施例における共通ID・ローカルIDペア記憶部311内の共通ID・ローカルIDペアテーブル1201の内容例を示す図。
【図13】本発明の実施例における本人確認の処理に関するシーケンス図
【発明を実施するための形態】
【0013】
以下、図面を参照して、本発明の実施の形態について説明する。
【0014】
図1は、本発明を適用するネットワークシステム1の全体構成例を示す図である。ネットワークシステム1は、インターネット等のネットワーク15に接続された複数の個人情報管理装置11、複数の中継装置、複数の名寄せ装置12から構成されるシステムである。なお、複数の中継装置は、図1に示すように二つを例にとり、それぞれ中継装置13、14と区別して、本実施形態を説明する。個人情報管理装置11は、共通ID発行機関が所有し、共通ID発行機能を有する装置としてもよいし、共通ID発行機関とは別の、共通IDと本人確認情報を管理する機関が所有し、共通ID発行機能を有さない装置としてもよい。本実施例では、共通ID発行機能を有さない個人情報管理装置11としている。名寄せ装置12は銀行等の民間企業に属してもよいし、警察署や税務署など、公的な機関に属してもよい。
【0015】
図2は、個人情報管理装置11のハードウェア構成例を示す図である。個人情報管理装置11は、一般的なコンピュータにより実現でき、制御部201、ネットワークインタフェース部202、本人確認情報記憶部203、本人確認情報更新履歴記憶部204、共通ID復元部205、本人確認情報照合部206、本人確認情報照合結果秘匿化部207、を具備する。各部はBUS(バス)208等により接続されている。
【0016】
ネットワークインタフェース部202は、制御部201により転送されたIPパケットを、ネットワーク15を介して中継装置13、14に送信するとともに、ネットワーク15を介して中継装置13、14から受信したIPパケットを制御部201に転送するものであり、LAN(Local Area Network)カード等で構成される。本人確認情報記憶部203は、共通IDと本人確認情報を記憶するものである。本人確認情報更新履歴記憶部204は、本人確認情報の更新履歴を記憶するものである。
【0017】
共通ID復元部205は、秘匿化された共通IDを復元する機能を有するプログラムである。本人確認情報照合部206は、本人確認情報記憶部203に記憶されている本人確認情報及び本人確認情報更新履歴記憶部204に記憶されている本人確認情報変更履歴と、中継装置13、14から受信した本人確認情報とを照合し本人確認を行う機能を有するプログラムである。本人確認情報照合結果秘匿化部207は本人確認情報照合部206の結果を秘匿化する機能を有するプログラムである。ここでいう秘匿化とは、照合結果をハッシュ化してもよいし、複数に分割してもよい。制御部201は、CPU等で構成され、上記各プログラムを実行する。制御部201は共通ID及び本人確認情報を本人確認情報記憶部203に記憶する。制御部201は本人確認情報の更新履歴を本人確認情報更新履歴記憶部204に記憶する。制御部201は秘匿化された共通IDを復元する。制御部201は名寄せ装置12から任意の中継装置とネットワーク15を介して、ネットワークインタフェース部202において受信した本人確認情報と、本人確認情報記憶部203及び本人確認情報更新履歴記憶部204に記憶された本人確認情報及びその更新履歴とを利用し、本人確認情報の照合を行う。制御部201は本人確認情報の照合結果を秘匿化する。制御部201は秘匿化した本人確認情報照合結果をネットワークインタフェース部202を利用し、ネットワーク15を介して中継装置13、14に送信する。その際、秘匿化した照合結果を一つの中継装置に送信してもよいし、照合結果が分割されていた場合、複数の中継装置に送信してもよい。尚、上記各プログラムの機能は、LSI等のハードウェアにより実現してもよい。
【0018】
図3は、名寄せ装置12のハードウェア構成例を示す図である。名寄せ装置12は、一般的なコンピュータにより実現でき、制御部301、ネットワークインタフェース部302、入力部303、出力部304、共通ID秘匿化部305、本人確認情報ハッシュ化部306、ルーティング情報記憶部307、本人確認情報照合結果復元部308、本人確認情報照合結果処理部309、属性情報記憶部310、共通ID・ローカルIDペア記憶部311、を具備する。各部はBUS312等により接続されている。
【0019】
ネットワークインタフェース部302は、制御部301により転送されたIPパケットを、ネットワーク15を介して中継装置13、14に転送するものであり、LANカード等で構成される。入力部303は、外部からの入力を制御部301に伝えるものであり、キーボードやマウス等で構成される。出力部304は、制御部301からの情報を外部に出力するものであり、ディスプレイやプリンタ等で構成される。共通ID秘匿化部305は、共通IDを複数の共通IDに分割しそれぞれを秘匿化する機能を有するプログラムである。本人確認情報ハッシュ化部306は、本人確認情報をハッシュ化する機能を有するプログラムである。ルーティング情報記憶部307は、中継装置13、14のIPアドレスを記憶するものである。本人確認情報照合結果復元部308は、本人確認情報の照合結果を復元する機能を有するプログラムである。本人確認情報照合結果処理部309は、本人確認情報照合結果復元部308で復元された本人確認情報の照合結果により、本人確認が正しく行われていた場合には、共通ID・ローカルIDペア記憶部311に、ローカルIDと属性情報のペアを記憶する機能を有するプログラムである。属性情報記憶部310は、ローカルIDと属性情報を記憶するものである。共通ID・ローカルIDペア記憶部311は、共通IDとローカルIDペアを記憶するものである。制御部301は、CPU等で構成され、上記各プログラムを実行する。制御部301は入力部303からの入力情報を受け付ける。尚、上記各プログラムの機能は、LSI等のハードウェアにより実現してもよい。
【0020】
制御部301は出力部304への出力を行う。制御部301は共通IDを複数の共通IDに分割しそれぞれの秘匿化を行う。制御部301は本人確認情報のハッシュ化を行う。制御部301は中継装置13、14のIPアドレスをルーティング情報記憶部307に記憶する。制御部301はネットワークインタフェース部202において受信した本人確認情報の照合結果を復元する。制御部301は本人確認情報の照合結果により、本人確認が正しく行われていた場合には、共通ID・ローカルIDペア記憶部311に、ローカルIDと属性情報のペアを記憶する。制御部301は属性情報を属性情報記憶部310に記憶する。制御部301は秘匿化した複数の共通ID及びハッシュ化した本人確認情報をネットワークインタフェース部302を利用し、ネットワーク15を介して中継装置13、14に送信する。 図4は、中継装置13、14のハードウェア構成例を示す図である。中継装置13、14は、一般的なコンピュータにより実現でき、制御部401、ネットワークインタフェース部402、ルーティング情報記憶部403、個人情報管理装置情報記憶部405、を具備する。各部はBUS404等により接続されている。中継装置13、14はそれぞれルーティング情報記憶部403を具備してもよいし、どちらか片方だけを具備してもよい。
【0021】
中継装置13、14は、名寄せ装置12及び個人情報管理装置11を管理する組織や機関に設置されてもよいし、名寄せ装置12及び個人情報管理装置11を管理する組織や機関とは独立した第三者組織や機関に設置されてもよい。
【0022】
ネットワークインタフェース部402は、制御部401により転送されたIPパケットを、ネットワーク15を介して個人情報管理装置11及び名寄せ装置12に転送するものであり、LANカード等で構成される。ルーティング情報記憶部403は、個人情報管理装置11のIPアドレスを記憶するものである。個人情報管理装置情報記憶部405は、個人情報管理装置11からの応答の速さや、個人情報管理装置11が所有する本人確認情報の件数などの情報を記憶するものである。制御部401は、ネットワークインタフェース部402とルーティング情報記憶部402とに接続されており、これらの構成要素を制御するものであり、CPU等で構成される。制御部401は個人情報管理装置11のIPアドレスをルーティング情報記憶部403に記憶する。制御部401は秘匿化した共通ID及びハッシュ化した本人確認情報、をネットワークインタフェース部402を利用し、ネットワーク15を介して個人情報管理装置11に送信する。制御部401は秘匿化した本人確認情報照合結果をネットワークインタフェース部402を利用し、ネットワーク15を介して名寄せ装置12に送信する。
【0023】
図5は、ネットワークシステム1を利用した本人確認に関する処理の一例を示す図である。本人確認に関する処理はすでにローカルID512を持つ人物から共通ID501及び本人確認情報502を得るところから始まる。共通ID501及び本人確認情報502は、名寄せ装置12がネットワーク15上のコンピュータからネットワーク15を介して取得するようにしてもよいし、名寄せ装置12を管理する機関に本人が訪れて申告し、申告内容に基づき管理機関の管理者が名寄せ装置12の入力部303等を介して入力するようにしてもよい。
【0024】
先ず、共通ID秘匿化部305において共通ID501を複数の共通IDに分割しそれぞれを秘匿化し、共通ID a503及び共通ID b506を生成する。そして本人確認情報ハッシュ化部306により本人確認情報502をハッシュ化し、本人確認情報[h]507を生成する。これらの処理は共通ID501及び本人確認情報502の入力の度に行われてもよいし、バッチ的に一度に大量に処理されてもよい。また、共通ID501は三つ以上に分割されてもよい。次に制御部301は、ルーティング情報記憶部307に記憶されている中継装置13、14のIPアドレスに基づき、秘匿化したID a及びID bとハッシュ化した本人確認情報[h]507の送信先中継装置13、14を決定し、中継装置13に共通ID a503と中継装置14のIPアドレスと個々の送信情報を区別するためのメッセージID513、中継装置14に共通ID bと本人確認情報[h]とメッセージID513を送信する。中継装置14にID aを送信し、中継装置13にID bを送信してもよく、また中継装置13に本人確認情報[h]507を送信してもよい。ルーティング情報記憶部403に記憶されている個人情報管理装置11のIPアドレスに基づき、共通ID a503、共通ID b506、本人確認情報[h]507の送信先を決定し、中継装置13は、中継装置14に個人情報管理装置11のIPアドレスとメッセージID513を送信する。中間装置13が個人情報管理装置11のIPアドレスを決定する際は、ルーティング情報記憶部403に記憶された個人情報管理装置11のIPアドレスの中から1つをランダムに選んでもよいし、応答の速い本人確認情報装置11や本人確認情報の保有件数の高い本人確認情報管理装置11を優先的に選択してもよい。中継装置13は個人情報管理装置11に共通ID a503とメッセージID513を送信し、中継装置14は同じく個人情報管理装置11に共通ID b506と本人確認情報[h]507とメッセージID513を送信する。共通ID復元部205は共通ID aと共通ID bから共通ID501を復元する。例えば、元の共通ID501が「01234567」、分割後の共通ID a503と共通ID b506がそれぞれ「01132013」。「00102554」とすると、共通ID復元部205は、共通ID a503「01132013」と共通ID b「00102554」を足し合わせすることで元の共通ID「01234567」を復元する。このように、共通ID501を分割しそれぞれ別の電子的な経路を利用することで、送信途中で共通ID501の一部が漏洩しても第三者による元の共通ID501の復元が困難となる。共通ID本人確認情報照合部206は共通ID復元部205で復元された共通ID501をkeyとして、本人確認情報記憶部203と本人確認情報更新履歴記憶部204から該当する人物に関する本人確認情報508と本人確認情報更新履歴509を得る。そして、本人確認情報照合部206は本人確認情報[h]507を復元して元の本人確認情報502を生成し、生成した本人確認情報502と本人確認情報508及び本人確認情報更新履歴509を照合し、照合結果510を生成する。具体的には、本人確認情報照合部206は共通ID501をkeyとして、本人確認情報記憶部203を検索し、該当レコードから氏名603、住所604、生年月日605、性別606を取得する。また、本人確認情報照合部206は共通ID501をkeyとして、本人確認情報更新履歴記憶部204を検索し、該当レコードから住所更新履歴703、氏名更新履歴803、性別更新履歴903を取得し、それぞれ氏名603、住所604、生年月日605と照合する。照合の結果、すべて一致した場合、本人確認情報照合部206は共通ID501と本人確認情報502とが正しく対応付けられていることを示す情報、共通ID501、氏名603、住所604及び生年月日605、を含む照合結果510を生成する。一方、何れかの情報が一致しなかった場合、本人確認情報照合部206は共通ID501と本人確認情報502とが正しく対応付けられていないことを示す照合結果510を生成する。照合結果510には照合に利用した本人確認情報の件数を付加してもよい。本人確認情報照合結果秘匿化部204は本人確認情報照合部206から照合結果510を受け取り、受け取った照合結果510を秘匿化して秘匿化済み照合結果511を生成し、生成した秘匿化済み照合結果511とメッセージID513を中継装置13もしくは14に送信する。照合結果510の秘匿化の例として、照合が正しく行われた場合は共通ID501をハッシュ化し、照合が正しく行われなかった場合は共通ID501のIDを逆にしたものをハッシュ化するという方法が考えられる。また、照合結果510を分割し、中継装置13、14に分けて送信し、送信先において排他的論理和の演算により照合結果510を再構成するということにしてもよい。中継装置13もしくは14は照合結果510を受け、個人情報管理装置11からの応答時間や、本人確認情報部206において照合作業に利用した本人確認情報の件数が記憶される。
【0025】
中継装置14は秘匿化済み照合結果511とメッセージID513を名寄せ装置12へ送信する。本人確認情報照合結果復元部308は秘匿化済み照合結果511を復元し、元の照合結果510を生成する。本人確認情報照合結果処理部309は照合結果510を受け取り、共通ID501と本人確認情報502とが正しく対応付けられていることを確認した場合には、照合結果510に含まれる氏名603、住所604及び生年月日605をkeyとして、該当する人物のローカルID512を属性情報記憶部310から取得し、取得したローカルIDを照合結果510に含まれる共通IDと対応付けて共通ID・ローカルIDペア記憶部311に登録する。照合結果510が、共通ID501と本人確認情報502とが正しく対応付けられていないことを示す場合には、共通ID・ローカルIDペア記憶部311への共通ID501とローカルID512のペアは登録されない。
【0026】
図6は、本人確認情報記憶部203内の本人確認情報テーブル601の内容例を示す図である。本人確認情報テーブル601には、共通ID602と氏名603と住所604と生年月日605と性別606を示す情報がそれぞれ対応付けられて記憶される。以下、各テーブルの項目において、同一の項目を示す場合には同一の符号を用いる。
【0027】
図7は、本人確認情報更新履歴記憶部204内の住所更新履歴情報テーブル701の内容例を示す図である。住所更新履歴情報テーブル701には、共通ID702と住所更新履歴703と、住所の適用開始年月日704と、住所の適用終了年月日705を示す情報がそれぞれ対応付けられて記憶される。
【0028】
図8は、本人確認情報更新履歴記憶部204内の氏名更新履歴情報テーブル801の内容例を示す図である。氏名更新履歴情報テーブル801には、共通ID802と、氏名更新履歴803と、氏名の適用開始年月日804と、氏名の適用終了年月日805を示す情報がそれぞれ対応付けられて記憶される。
【0029】
図9は、本人確認情報更新履歴記憶部204内の性別更新履歴情報テーブル901の内容例を示す図である。性別更新履歴情報テーブル901には、共通ID902と、性別更新履歴903と、性別の適用開始年月日904と、適用終了年月日905を示す情報がそれぞれ対応付けられて記憶される。
【0030】
図10は、本人確認情報更新履歴記憶部204内の生年月日更新履歴情報テーブル1001の内容例を示す図である。生年月日更新履歴情報テーブル1001には、共通ID1002と、生年月日更新履歴1003と、生年月日の適用開始年月日1004と、適用終了年月日1005を示す情報がそれぞれ対応付けられて記憶される。
【0031】
図11は、属性情報記憶部310内の属性情報テーブル1101の内容例を示す図である。属性情報テーブル1101には、ローカルID1102と、氏名1103と、住所1104と、生年月日1105と、性別1106を示す情報がそれぞれ対応付けられて記憶される。
【0032】
図12は、共通ID・ローカルIDペア記憶部311内の共通ID・ローカルIDペアテーブル1201の内容例を示す図である。共通ID・ローカルIDペアテーブル1201には、共通ID1202と、ローカルID1203を示す情報がそれぞれ対応付けられて記憶される。
【0033】
図13は、ネットワークシステム1を利用した本人確認に関する処理の一例を示すシーケンス図である。名寄せ装置12は共通ID秘匿化部305により共通IDから共通ID aと共通ID bを生成する(1301)。名寄せ装置12は本人確認情報のハッシュ化を行う(1302)。名寄せ装置12は中継装置13、14のIPアドレスを決定する(1303)。名寄せ装置12は1301で生成した共通ID aと中継装置14のIPアドレスを中継装置13へと送信し(1304)、1301で生成した共通ID bと1302でハッシュ化した本人確認情報とメッセージIDを中継装置14へと送信する(1305)。中継装置13は個人情報管理装置11のIPアドレスを決定し(1306)、中継装置14へと1306で決定した個人情報管理装置11のIPアドレスとメッセージIDを送信する(1307)。中継装置13は個人情報管理装置11へと共通ID aとメッセージIDを送信する(1308)。中継装置14は個人情報管理装置11へと共通ID bとハッシュ化済み本人確認情報とメッセージIDを送信する(1309)。個人情報管理装置11は共通ID aと共通ID bから共通IDを復元する(1310)。個人情報管理装置11は中継装置14からのハッシュ化済み本人確認情報と個人情報管理装置11内の本人確認情報及び本人確認情報の更新履歴から本人確認情報の照合を行う(1311)。個人情報管理装置11は本人確認情報照合結果を秘匿化し(1312)、1312において秘匿化した本人確認情報照合結果とメッセージIDを中継装置14へ送信する(1313)。中継装置14は名寄せ装置12へと1312において秘匿化された本人確認情報照合結果とメッセージIDを送信する(1314)。名寄せ装置12は1312において秘匿化された本人各情報照合結果を復元し(1315)、復元結果に従い処理を行う(1316)。処理内容として、共通IDと本人確認情報とが正しく対応付けられていた場合、名寄せ装置12は、共通IDとローカルIDのペアを共通ID・ローカルIDペアテーブル1201に登録する(1317)。これにより、共通IDとローカルIDとが対応付けられて共通ID・ローカルIDペアテーブル1201に登録されていた場合には、その共通IDとローカルIDを持つ人物は同一人物となる。
【0034】
以上、本発明の一実施例について説明した。上記実施例によれば、共通IDとローカルIDのペアリングに過去の履歴情報も利用するようにしたので、企業が保有する最新ではない本人確認情報と、ID発行機関が保有する最新の本人確認情報とが異なる場合においても、IDのペアリングを行うことができる。また、共通ID501を分割しそれぞれ別の電子的な経路を利用するようにしたので、送信途中で共通ID501の一部が漏洩しても第三者による元の共通ID501の復元が困難となる。さらに、データ送信元とデータ送信先の間に中継装置を設置し、この中継装置を介してデータ送信元とデータ送信先の間でデータ送受信するようにしたので、データ送信元とデータ送信先の双方から互いを隠蔽できる。
【0035】
なお、上記実施例では、共通ID秘匿化部305は、共通IDを複数の共通IDに分割しそれぞれを秘匿化するようにしたが、共通IDを秘匿かした後に分割するようにしてもよい。その他本発明は上記実施例に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。
【符号の説明】
【0036】
11・・・個人情報管理装置、12・・・名寄せ装置、13、14・・・中継装置、15・・・ネットワーク、201、301、401・・・制御部、202、302、402・・・ネットワークインタフェース部、203・・・本人確認情報記憶部、204・・・本人確認情報更新履歴記憶部、205・・・共通ID復元部、206・・・本人確認情報照合部、207・・・本人確認情報照合結果秘匿化部、303・・・入力部、304・・・出力部、305・・・共通ID秘匿化部、306・・・本人確認情報ハッシュ化部、307、403・・・ルーティング情報記憶部、308・・・本人確認情報照合結果復元部、309・・・本人確認情報照合結果処理部、310・・・属性情報記憶部、311・・・共通ID・ローカルIDペア記憶部。
【技術分野】
【0001】
本発明は、本人確認方法、個人情報管理装置及び名寄せ装置に関する。
【背景技術】
【0002】
近年、様々なサービスにおいて横断的に利用可能なID(以下、共通ID)が登場した。例として、国民一人一人に割り当てられた住民票コードがあり、住民票コードに紐付けられた住所、氏名や生年月日等の情報(以下、本人確認情報)を利用することにより、パスポートの申請や転入転出の手続きが簡略化されることとなった。今後、この共通IDの利用範囲が拡大し、銀行等の民間企業での利用も想定される。
【0003】
上記共通IDの利用例として、例えば、従来から民間企業で利用者一人一人に割り当てられているID(以下、ローカルID)と共通IDのペアリングを行い、共通ID発行機関が管理する本人確認情報の変更情報を、共通IDとペアとなったローカルIDを持つ利用者の住所、氏名や生年月日等の情報(以下、属性情報)に反映させるということが想定される。また、共通ID発行機関と企業間では、共通IDや本人確認情報に関するデータがやり取りされる。その際、二者間のデータを安全にやり取りするための方法が必要となる。これに関連する技術として、データを暗号化する際に使用した共通鍵を、データ送信元が複数に分割し、電子的、物理的に異なる経路でデータ送信先に提供することで、二者間のデータを安全にやり取りする技術が知られている(例えば、特許文献1参照)。これにより分割した共通鍵の一部が漏洩したとしても、共通鍵を復元することはできない。
【0004】
また、共通IDとローカルIDのペアリングが成立すれば、データ送信先である共通ID発行機関側とデータ送信元である企業側に同一人物の情報が記憶されているということが自明になってしまう。これに関連する技術として、データ送信元とデータ送信先の間にある通信制御装置が、データ送信元のIPアドレスを変更することで、データの送信元を送信先から隠蔽する技術が知られている(例えば、特許文献2参照)。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2007−274388号公報
【特許文献2】特許第3875051号号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、上記の想定や従来技術では、次のような課題がある。先ず、共通IDとローカルIDとのペアリングを、共通ID発行機関が保有する本人確認情報と、企業が保有する本人確認情報との照合によって行う場合、例えば引越しなどにより企業側が保有する本人確認情報が最新でなくなってしまった際には、共通IDとローカルIDのペアリングを行うことができない。
【0007】
また、共通鍵を分割し、一方を物理的な方法で、もう一方で電子的な方法で送る場合、物理的な輸送に関しては時間的なオーバヘッドや輸送コストが発生する可能性がある。さらに、データ自体は分割せずに電子的に送信するため、暗号が解かれる可能性がある。
【0008】
また、送信元と送信先の隠蔽においては、送信元が送信先を指定している以上、送信元からは送信先に問い合わせた内容に合致する人物がいるか否かが自明となってしまう。
【0009】
本発明は、このような事情に鑑みてなされたものであり、企業が保有する最新ではない本人確認情報と、ID発行機関が保有する最新の本人確認情報とが異なる場合においても、IDのペアリングを行うことができ、また、データ送信途中で一部のデータが漏洩しても元のデータが復元できないようにし、さらにデータ送信元とデータ送信先の双方から互いを隠蔽することができる技術を提供することを課題とする。
【課題を解決するための手段】
【0010】
上記課題を解決するための一手段を説明する。即ち、本発明は、名寄せ装置、複数の中継装置とネットワークを介して接続された個人情報管理装置における本人確認方法である。前記個人情報管理装置には、共通IDと本人確認情報とをそれぞれ対応付けて記憶する本人確認情報記憶部と、前記共通IDと前記本人確認情報の履歴とをそれぞれ対応付けて記憶する本人確認情報更新履歴記憶部と、が具備されている。そして、前記名寄せ装置により前記共通IDが分割されそれぞれが秘匿化された複数のIDを、それぞれ異なる前記中継装置を介して受信し、前記受信した複数のIDから前記共通IDを生成し、前記生成した共通IDと、第一の中継装置から前記IDとともに受信したハッシュ化済み本人確認情報と、前記本人確認情報記憶部と、前記本人確認情報更新履歴記憶部に基づいて、本人確認情報を照合し、照合結果を生成し、前記照合結果を秘匿化して前記名寄せ装置に送信する、ことを特徴とする。
【発明の効果】
【0011】
本発明によれば、企業保有する最新ではない本人確認情報と、ID発行機関が保有する最新の本人確認情報とが異なる場合においても、IDのペアリングを行うことができ、また、データ送信途中で一部のデータが漏洩しても元のデータが復元できないようにし、さらにデータ送信元とデータ送信先の双方から互いを隠蔽することができる。
【図面の簡単な説明】
【0012】
【図1】本発明の実施例におけるネットワークシステムを示す図。
【図2】本発明の実施例における個人情報管理装置11のハードウェア構成例を示す図。
【図3】本発明の実施例における名寄せ装置12のハードウェア構成例を示す図。
【図4】本発明の実施例における中継装置13、14のハードウェア構成例を示す図。
【図5】本発明の実施例における本人確認に関する処理の一例を示す図。
【図6】本発明の実施例における本人確認情報記憶部203内の本人確認情報テーブル601の内容例を示す図。
【図7】本発明の実施例における本人確認情報更新履歴記憶部204内の住所更新履歴テーブル701の内容例を示す図。
【図8】本発明の実施例における本人確認情報更新履歴記憶部204内の氏名更新履歴テーブル801の内容例を示す図。
【図9】本発明の実施例における本人確認情報更新履歴記憶部204内の性別更新履歴テーブル901の内容例を示す図。
【図10】本発明の実施例における本人確認情報更新履歴記憶部204の生年月日更新履歴テーブル1001の内容例を示す図。
【図11】本発明の実施例における属性情報記憶部310内の属性情報テーブル1101の内容例を示す図。
【図12】本発明の実施例における共通ID・ローカルIDペア記憶部311内の共通ID・ローカルIDペアテーブル1201の内容例を示す図。
【図13】本発明の実施例における本人確認の処理に関するシーケンス図
【発明を実施するための形態】
【0013】
以下、図面を参照して、本発明の実施の形態について説明する。
【0014】
図1は、本発明を適用するネットワークシステム1の全体構成例を示す図である。ネットワークシステム1は、インターネット等のネットワーク15に接続された複数の個人情報管理装置11、複数の中継装置、複数の名寄せ装置12から構成されるシステムである。なお、複数の中継装置は、図1に示すように二つを例にとり、それぞれ中継装置13、14と区別して、本実施形態を説明する。個人情報管理装置11は、共通ID発行機関が所有し、共通ID発行機能を有する装置としてもよいし、共通ID発行機関とは別の、共通IDと本人確認情報を管理する機関が所有し、共通ID発行機能を有さない装置としてもよい。本実施例では、共通ID発行機能を有さない個人情報管理装置11としている。名寄せ装置12は銀行等の民間企業に属してもよいし、警察署や税務署など、公的な機関に属してもよい。
【0015】
図2は、個人情報管理装置11のハードウェア構成例を示す図である。個人情報管理装置11は、一般的なコンピュータにより実現でき、制御部201、ネットワークインタフェース部202、本人確認情報記憶部203、本人確認情報更新履歴記憶部204、共通ID復元部205、本人確認情報照合部206、本人確認情報照合結果秘匿化部207、を具備する。各部はBUS(バス)208等により接続されている。
【0016】
ネットワークインタフェース部202は、制御部201により転送されたIPパケットを、ネットワーク15を介して中継装置13、14に送信するとともに、ネットワーク15を介して中継装置13、14から受信したIPパケットを制御部201に転送するものであり、LAN(Local Area Network)カード等で構成される。本人確認情報記憶部203は、共通IDと本人確認情報を記憶するものである。本人確認情報更新履歴記憶部204は、本人確認情報の更新履歴を記憶するものである。
【0017】
共通ID復元部205は、秘匿化された共通IDを復元する機能を有するプログラムである。本人確認情報照合部206は、本人確認情報記憶部203に記憶されている本人確認情報及び本人確認情報更新履歴記憶部204に記憶されている本人確認情報変更履歴と、中継装置13、14から受信した本人確認情報とを照合し本人確認を行う機能を有するプログラムである。本人確認情報照合結果秘匿化部207は本人確認情報照合部206の結果を秘匿化する機能を有するプログラムである。ここでいう秘匿化とは、照合結果をハッシュ化してもよいし、複数に分割してもよい。制御部201は、CPU等で構成され、上記各プログラムを実行する。制御部201は共通ID及び本人確認情報を本人確認情報記憶部203に記憶する。制御部201は本人確認情報の更新履歴を本人確認情報更新履歴記憶部204に記憶する。制御部201は秘匿化された共通IDを復元する。制御部201は名寄せ装置12から任意の中継装置とネットワーク15を介して、ネットワークインタフェース部202において受信した本人確認情報と、本人確認情報記憶部203及び本人確認情報更新履歴記憶部204に記憶された本人確認情報及びその更新履歴とを利用し、本人確認情報の照合を行う。制御部201は本人確認情報の照合結果を秘匿化する。制御部201は秘匿化した本人確認情報照合結果をネットワークインタフェース部202を利用し、ネットワーク15を介して中継装置13、14に送信する。その際、秘匿化した照合結果を一つの中継装置に送信してもよいし、照合結果が分割されていた場合、複数の中継装置に送信してもよい。尚、上記各プログラムの機能は、LSI等のハードウェアにより実現してもよい。
【0018】
図3は、名寄せ装置12のハードウェア構成例を示す図である。名寄せ装置12は、一般的なコンピュータにより実現でき、制御部301、ネットワークインタフェース部302、入力部303、出力部304、共通ID秘匿化部305、本人確認情報ハッシュ化部306、ルーティング情報記憶部307、本人確認情報照合結果復元部308、本人確認情報照合結果処理部309、属性情報記憶部310、共通ID・ローカルIDペア記憶部311、を具備する。各部はBUS312等により接続されている。
【0019】
ネットワークインタフェース部302は、制御部301により転送されたIPパケットを、ネットワーク15を介して中継装置13、14に転送するものであり、LANカード等で構成される。入力部303は、外部からの入力を制御部301に伝えるものであり、キーボードやマウス等で構成される。出力部304は、制御部301からの情報を外部に出力するものであり、ディスプレイやプリンタ等で構成される。共通ID秘匿化部305は、共通IDを複数の共通IDに分割しそれぞれを秘匿化する機能を有するプログラムである。本人確認情報ハッシュ化部306は、本人確認情報をハッシュ化する機能を有するプログラムである。ルーティング情報記憶部307は、中継装置13、14のIPアドレスを記憶するものである。本人確認情報照合結果復元部308は、本人確認情報の照合結果を復元する機能を有するプログラムである。本人確認情報照合結果処理部309は、本人確認情報照合結果復元部308で復元された本人確認情報の照合結果により、本人確認が正しく行われていた場合には、共通ID・ローカルIDペア記憶部311に、ローカルIDと属性情報のペアを記憶する機能を有するプログラムである。属性情報記憶部310は、ローカルIDと属性情報を記憶するものである。共通ID・ローカルIDペア記憶部311は、共通IDとローカルIDペアを記憶するものである。制御部301は、CPU等で構成され、上記各プログラムを実行する。制御部301は入力部303からの入力情報を受け付ける。尚、上記各プログラムの機能は、LSI等のハードウェアにより実現してもよい。
【0020】
制御部301は出力部304への出力を行う。制御部301は共通IDを複数の共通IDに分割しそれぞれの秘匿化を行う。制御部301は本人確認情報のハッシュ化を行う。制御部301は中継装置13、14のIPアドレスをルーティング情報記憶部307に記憶する。制御部301はネットワークインタフェース部202において受信した本人確認情報の照合結果を復元する。制御部301は本人確認情報の照合結果により、本人確認が正しく行われていた場合には、共通ID・ローカルIDペア記憶部311に、ローカルIDと属性情報のペアを記憶する。制御部301は属性情報を属性情報記憶部310に記憶する。制御部301は秘匿化した複数の共通ID及びハッシュ化した本人確認情報をネットワークインタフェース部302を利用し、ネットワーク15を介して中継装置13、14に送信する。 図4は、中継装置13、14のハードウェア構成例を示す図である。中継装置13、14は、一般的なコンピュータにより実現でき、制御部401、ネットワークインタフェース部402、ルーティング情報記憶部403、個人情報管理装置情報記憶部405、を具備する。各部はBUS404等により接続されている。中継装置13、14はそれぞれルーティング情報記憶部403を具備してもよいし、どちらか片方だけを具備してもよい。
【0021】
中継装置13、14は、名寄せ装置12及び個人情報管理装置11を管理する組織や機関に設置されてもよいし、名寄せ装置12及び個人情報管理装置11を管理する組織や機関とは独立した第三者組織や機関に設置されてもよい。
【0022】
ネットワークインタフェース部402は、制御部401により転送されたIPパケットを、ネットワーク15を介して個人情報管理装置11及び名寄せ装置12に転送するものであり、LANカード等で構成される。ルーティング情報記憶部403は、個人情報管理装置11のIPアドレスを記憶するものである。個人情報管理装置情報記憶部405は、個人情報管理装置11からの応答の速さや、個人情報管理装置11が所有する本人確認情報の件数などの情報を記憶するものである。制御部401は、ネットワークインタフェース部402とルーティング情報記憶部402とに接続されており、これらの構成要素を制御するものであり、CPU等で構成される。制御部401は個人情報管理装置11のIPアドレスをルーティング情報記憶部403に記憶する。制御部401は秘匿化した共通ID及びハッシュ化した本人確認情報、をネットワークインタフェース部402を利用し、ネットワーク15を介して個人情報管理装置11に送信する。制御部401は秘匿化した本人確認情報照合結果をネットワークインタフェース部402を利用し、ネットワーク15を介して名寄せ装置12に送信する。
【0023】
図5は、ネットワークシステム1を利用した本人確認に関する処理の一例を示す図である。本人確認に関する処理はすでにローカルID512を持つ人物から共通ID501及び本人確認情報502を得るところから始まる。共通ID501及び本人確認情報502は、名寄せ装置12がネットワーク15上のコンピュータからネットワーク15を介して取得するようにしてもよいし、名寄せ装置12を管理する機関に本人が訪れて申告し、申告内容に基づき管理機関の管理者が名寄せ装置12の入力部303等を介して入力するようにしてもよい。
【0024】
先ず、共通ID秘匿化部305において共通ID501を複数の共通IDに分割しそれぞれを秘匿化し、共通ID a503及び共通ID b506を生成する。そして本人確認情報ハッシュ化部306により本人確認情報502をハッシュ化し、本人確認情報[h]507を生成する。これらの処理は共通ID501及び本人確認情報502の入力の度に行われてもよいし、バッチ的に一度に大量に処理されてもよい。また、共通ID501は三つ以上に分割されてもよい。次に制御部301は、ルーティング情報記憶部307に記憶されている中継装置13、14のIPアドレスに基づき、秘匿化したID a及びID bとハッシュ化した本人確認情報[h]507の送信先中継装置13、14を決定し、中継装置13に共通ID a503と中継装置14のIPアドレスと個々の送信情報を区別するためのメッセージID513、中継装置14に共通ID bと本人確認情報[h]とメッセージID513を送信する。中継装置14にID aを送信し、中継装置13にID bを送信してもよく、また中継装置13に本人確認情報[h]507を送信してもよい。ルーティング情報記憶部403に記憶されている個人情報管理装置11のIPアドレスに基づき、共通ID a503、共通ID b506、本人確認情報[h]507の送信先を決定し、中継装置13は、中継装置14に個人情報管理装置11のIPアドレスとメッセージID513を送信する。中間装置13が個人情報管理装置11のIPアドレスを決定する際は、ルーティング情報記憶部403に記憶された個人情報管理装置11のIPアドレスの中から1つをランダムに選んでもよいし、応答の速い本人確認情報装置11や本人確認情報の保有件数の高い本人確認情報管理装置11を優先的に選択してもよい。中継装置13は個人情報管理装置11に共通ID a503とメッセージID513を送信し、中継装置14は同じく個人情報管理装置11に共通ID b506と本人確認情報[h]507とメッセージID513を送信する。共通ID復元部205は共通ID aと共通ID bから共通ID501を復元する。例えば、元の共通ID501が「01234567」、分割後の共通ID a503と共通ID b506がそれぞれ「01132013」。「00102554」とすると、共通ID復元部205は、共通ID a503「01132013」と共通ID b「00102554」を足し合わせすることで元の共通ID「01234567」を復元する。このように、共通ID501を分割しそれぞれ別の電子的な経路を利用することで、送信途中で共通ID501の一部が漏洩しても第三者による元の共通ID501の復元が困難となる。共通ID本人確認情報照合部206は共通ID復元部205で復元された共通ID501をkeyとして、本人確認情報記憶部203と本人確認情報更新履歴記憶部204から該当する人物に関する本人確認情報508と本人確認情報更新履歴509を得る。そして、本人確認情報照合部206は本人確認情報[h]507を復元して元の本人確認情報502を生成し、生成した本人確認情報502と本人確認情報508及び本人確認情報更新履歴509を照合し、照合結果510を生成する。具体的には、本人確認情報照合部206は共通ID501をkeyとして、本人確認情報記憶部203を検索し、該当レコードから氏名603、住所604、生年月日605、性別606を取得する。また、本人確認情報照合部206は共通ID501をkeyとして、本人確認情報更新履歴記憶部204を検索し、該当レコードから住所更新履歴703、氏名更新履歴803、性別更新履歴903を取得し、それぞれ氏名603、住所604、生年月日605と照合する。照合の結果、すべて一致した場合、本人確認情報照合部206は共通ID501と本人確認情報502とが正しく対応付けられていることを示す情報、共通ID501、氏名603、住所604及び生年月日605、を含む照合結果510を生成する。一方、何れかの情報が一致しなかった場合、本人確認情報照合部206は共通ID501と本人確認情報502とが正しく対応付けられていないことを示す照合結果510を生成する。照合結果510には照合に利用した本人確認情報の件数を付加してもよい。本人確認情報照合結果秘匿化部204は本人確認情報照合部206から照合結果510を受け取り、受け取った照合結果510を秘匿化して秘匿化済み照合結果511を生成し、生成した秘匿化済み照合結果511とメッセージID513を中継装置13もしくは14に送信する。照合結果510の秘匿化の例として、照合が正しく行われた場合は共通ID501をハッシュ化し、照合が正しく行われなかった場合は共通ID501のIDを逆にしたものをハッシュ化するという方法が考えられる。また、照合結果510を分割し、中継装置13、14に分けて送信し、送信先において排他的論理和の演算により照合結果510を再構成するということにしてもよい。中継装置13もしくは14は照合結果510を受け、個人情報管理装置11からの応答時間や、本人確認情報部206において照合作業に利用した本人確認情報の件数が記憶される。
【0025】
中継装置14は秘匿化済み照合結果511とメッセージID513を名寄せ装置12へ送信する。本人確認情報照合結果復元部308は秘匿化済み照合結果511を復元し、元の照合結果510を生成する。本人確認情報照合結果処理部309は照合結果510を受け取り、共通ID501と本人確認情報502とが正しく対応付けられていることを確認した場合には、照合結果510に含まれる氏名603、住所604及び生年月日605をkeyとして、該当する人物のローカルID512を属性情報記憶部310から取得し、取得したローカルIDを照合結果510に含まれる共通IDと対応付けて共通ID・ローカルIDペア記憶部311に登録する。照合結果510が、共通ID501と本人確認情報502とが正しく対応付けられていないことを示す場合には、共通ID・ローカルIDペア記憶部311への共通ID501とローカルID512のペアは登録されない。
【0026】
図6は、本人確認情報記憶部203内の本人確認情報テーブル601の内容例を示す図である。本人確認情報テーブル601には、共通ID602と氏名603と住所604と生年月日605と性別606を示す情報がそれぞれ対応付けられて記憶される。以下、各テーブルの項目において、同一の項目を示す場合には同一の符号を用いる。
【0027】
図7は、本人確認情報更新履歴記憶部204内の住所更新履歴情報テーブル701の内容例を示す図である。住所更新履歴情報テーブル701には、共通ID702と住所更新履歴703と、住所の適用開始年月日704と、住所の適用終了年月日705を示す情報がそれぞれ対応付けられて記憶される。
【0028】
図8は、本人確認情報更新履歴記憶部204内の氏名更新履歴情報テーブル801の内容例を示す図である。氏名更新履歴情報テーブル801には、共通ID802と、氏名更新履歴803と、氏名の適用開始年月日804と、氏名の適用終了年月日805を示す情報がそれぞれ対応付けられて記憶される。
【0029】
図9は、本人確認情報更新履歴記憶部204内の性別更新履歴情報テーブル901の内容例を示す図である。性別更新履歴情報テーブル901には、共通ID902と、性別更新履歴903と、性別の適用開始年月日904と、適用終了年月日905を示す情報がそれぞれ対応付けられて記憶される。
【0030】
図10は、本人確認情報更新履歴記憶部204内の生年月日更新履歴情報テーブル1001の内容例を示す図である。生年月日更新履歴情報テーブル1001には、共通ID1002と、生年月日更新履歴1003と、生年月日の適用開始年月日1004と、適用終了年月日1005を示す情報がそれぞれ対応付けられて記憶される。
【0031】
図11は、属性情報記憶部310内の属性情報テーブル1101の内容例を示す図である。属性情報テーブル1101には、ローカルID1102と、氏名1103と、住所1104と、生年月日1105と、性別1106を示す情報がそれぞれ対応付けられて記憶される。
【0032】
図12は、共通ID・ローカルIDペア記憶部311内の共通ID・ローカルIDペアテーブル1201の内容例を示す図である。共通ID・ローカルIDペアテーブル1201には、共通ID1202と、ローカルID1203を示す情報がそれぞれ対応付けられて記憶される。
【0033】
図13は、ネットワークシステム1を利用した本人確認に関する処理の一例を示すシーケンス図である。名寄せ装置12は共通ID秘匿化部305により共通IDから共通ID aと共通ID bを生成する(1301)。名寄せ装置12は本人確認情報のハッシュ化を行う(1302)。名寄せ装置12は中継装置13、14のIPアドレスを決定する(1303)。名寄せ装置12は1301で生成した共通ID aと中継装置14のIPアドレスを中継装置13へと送信し(1304)、1301で生成した共通ID bと1302でハッシュ化した本人確認情報とメッセージIDを中継装置14へと送信する(1305)。中継装置13は個人情報管理装置11のIPアドレスを決定し(1306)、中継装置14へと1306で決定した個人情報管理装置11のIPアドレスとメッセージIDを送信する(1307)。中継装置13は個人情報管理装置11へと共通ID aとメッセージIDを送信する(1308)。中継装置14は個人情報管理装置11へと共通ID bとハッシュ化済み本人確認情報とメッセージIDを送信する(1309)。個人情報管理装置11は共通ID aと共通ID bから共通IDを復元する(1310)。個人情報管理装置11は中継装置14からのハッシュ化済み本人確認情報と個人情報管理装置11内の本人確認情報及び本人確認情報の更新履歴から本人確認情報の照合を行う(1311)。個人情報管理装置11は本人確認情報照合結果を秘匿化し(1312)、1312において秘匿化した本人確認情報照合結果とメッセージIDを中継装置14へ送信する(1313)。中継装置14は名寄せ装置12へと1312において秘匿化された本人確認情報照合結果とメッセージIDを送信する(1314)。名寄せ装置12は1312において秘匿化された本人各情報照合結果を復元し(1315)、復元結果に従い処理を行う(1316)。処理内容として、共通IDと本人確認情報とが正しく対応付けられていた場合、名寄せ装置12は、共通IDとローカルIDのペアを共通ID・ローカルIDペアテーブル1201に登録する(1317)。これにより、共通IDとローカルIDとが対応付けられて共通ID・ローカルIDペアテーブル1201に登録されていた場合には、その共通IDとローカルIDを持つ人物は同一人物となる。
【0034】
以上、本発明の一実施例について説明した。上記実施例によれば、共通IDとローカルIDのペアリングに過去の履歴情報も利用するようにしたので、企業が保有する最新ではない本人確認情報と、ID発行機関が保有する最新の本人確認情報とが異なる場合においても、IDのペアリングを行うことができる。また、共通ID501を分割しそれぞれ別の電子的な経路を利用するようにしたので、送信途中で共通ID501の一部が漏洩しても第三者による元の共通ID501の復元が困難となる。さらに、データ送信元とデータ送信先の間に中継装置を設置し、この中継装置を介してデータ送信元とデータ送信先の間でデータ送受信するようにしたので、データ送信元とデータ送信先の双方から互いを隠蔽できる。
【0035】
なお、上記実施例では、共通ID秘匿化部305は、共通IDを複数の共通IDに分割しそれぞれを秘匿化するようにしたが、共通IDを秘匿かした後に分割するようにしてもよい。その他本発明は上記実施例に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。
【符号の説明】
【0036】
11・・・個人情報管理装置、12・・・名寄せ装置、13、14・・・中継装置、15・・・ネットワーク、201、301、401・・・制御部、202、302、402・・・ネットワークインタフェース部、203・・・本人確認情報記憶部、204・・・本人確認情報更新履歴記憶部、205・・・共通ID復元部、206・・・本人確認情報照合部、207・・・本人確認情報照合結果秘匿化部、303・・・入力部、304・・・出力部、305・・・共通ID秘匿化部、306・・・本人確認情報ハッシュ化部、307、403・・・ルーティング情報記憶部、308・・・本人確認情報照合結果復元部、309・・・本人確認情報照合結果処理部、310・・・属性情報記憶部、311・・・共通ID・ローカルIDペア記憶部。
【特許請求の範囲】
【請求項1】
名寄せ装置、複数の中継装置とネットワークを介して接続された個人情報管理装置における本人確認方法であって、
前記個人情報管理装置には、共通IDと本人確認情報とをそれぞれ対応付けて記憶する本人確認情報記憶部と、前記共通IDと前記本人確認情報の履歴とをそれぞれ対応付けて記憶する本人確認情報更新履歴記憶部と、が具備されており、
前記名寄せ装置により前記共通IDが分割されそれぞれが秘匿化された複数のIDを、それぞれ異なる前記中継装置を介して受信し、
前記受信した複数のIDから前記共通IDを生成し、
前記生成した共通IDと、第一の中継装置から前記IDとともに受信したハッシュ化済み本人確認情報と、前記本人確認情報記憶部と、前記本人確認情報更新履歴記憶部とに基づいて、本人確認情報を照合し、
照合結果を生成し、
前記照合結果を秘匿化して前記名寄せ装置に送信する、
ことを特徴とする本人確認方法。
【請求項2】
前記個人情報管理装置により、前記共通IDに基づき前記本人確認情報記憶部と前記本人確認情報更新履歴記憶部を検索し、それぞれの該当レコードから本人確認情報を取得し、取得した本人確認情報同士を照合し、一致した場合、前記共通IDと前記本人確認情報とが正しく対応付けられていることを示す情報、前記共通ID及び前記本人確認情報を含む照合結果を生成する、
ことを特徴とする請求項1に記載の本人確認方法。
【請求項3】
個人情報管理装置、複数の中継装置とネットワークを介して接続された名寄せ装置における本人確認方法であって、
前記名寄せ装置には、前記中継装置のIPアドレスを記憶するルーティング情報記憶部と、ローカルIDと本人確認情報とを対応付けて記憶する属性情報記憶部と、が具備されており、
共通IDを分割し秘匿化して第一のIDと第二のIDを生成し、
本人確認情報をハッシュ化し、
前記記憶部から第一の中継装置と第二の中継装置のIPアドレスを取得し、
前記取得した第二の中継装置のIPアドレスに基づき、前記生成した第一のIDと第一の中継装置のIPアドレスを第二の中継装置に送信し、
前記第一の中継装置のIPアドレスに基づき、前記第二のIDと前記ハッシュ化済み本人確認情報を前記第一の中継装置に送信し、
前記個人情報管理装置から、前記共通IDと前記本人確認情報とが正しく対応付けられていることを示す情報、前記共通ID及び前記本人確認情報を含む秘匿化された照合結果を受信し、
前記照合結果を復元し、
復元した照合結果から取得した前記本人確認情報と前記属性情報記憶部に基づき前記ローカルIDを取得し、
前記復元した照合結果から取得した共通IDと前記取得したローカルIDとを対応付けて共通ID・ローカルIDペア記憶部に登録する、
ことを特徴とする本人確認方法。
【請求項4】
名寄せ装置、複数の中継装置とネットワークを介して接続された個人情報管理装置であって、
共通IDと本人確認情報とをそれぞれ対応付けて記憶する本人確認情報記憶部と、
前記共通IDと前記本人確認情報の履歴とをそれぞれ対応付けて記憶する本人確認情報更新履歴記憶部と、
前記名寄せ装置により前記共通IDが分割されそれぞれが秘匿化された複数のIDを、それぞれ異なる前記中継装置を介して受信し、
前記受信した複数のIDから前記共通IDを生成し、
前記生成した共通IDと、第一の中継装置から前記IDとともに受信したハッシュ化済み本人確認情報と、前記本人確認情報記憶部と、前記本人確認情報更新履歴記憶部に基づいて、本人確認情報を照合し、照合結果を生成し、
前記照合結果を秘匿化して前記名寄せ装置に送信する制御部とを有する、
ことを特徴とする個人情報管理装置。
【請求項5】
前記制御部は、前記共通IDに基づき前記本人確認情報記憶部と前記本人確認情報更新履歴記憶部を検索し、それぞれの該当レコードから本人確認情報を取得し、取得した本人確認情報同士を照合し、一致した場合、前記共通IDと前記本人確認情報とが正しく対応付けられていることを示す情報、前記共通ID及び前記本人確認情報を含む照合結果を生成する、
ことを特徴とする請求項4に記載の個人情報管理装置。
【請求項6】
個人情報管理装置、複数の中継装置とネットワークを介して接続された名寄せ装置であって、
前記中継装置のIPアドレスを記憶するルーティング情報記憶部と、
ローカルIDと本人確認情報とを対応付けて記憶する属性情報記憶部と、
共通IDを分割し秘匿化して第一のIDと第二のIDを生成し、
本人確認情報をハッシュ化し、
前記記憶部から第一の中継装置と第二の中継装置のIPアドレスを取得し、
前記取得した第二の中継装置のIPアドレスに基づき、前記生成した第一のIDと第一の中継装置のIPアドレスを第二の中継装置に送信し、
前記第一の中継装置のIPアドレスに基づき、前記第二のIDと前記ハッシュ化済み本人確認情報を前記第一の中継装置に送信し、
前記個人情報管理装置から、前記共通IDと前記本人確認情報とが正しく対応付けられていることを示す情報、前記共通ID及び前記本人確認情報を含む秘匿化された照合結果を受信し、
前記照合結果を復元し、
復元した照合結果から取得した前記本人確認情報と前記属性情報記憶部に基づき前記ローカルIDを取得し、
前記復元した照合結果から取得した共通IDと前記取得したローカルIDとを対応付けて共通ID・ローカルIDペア記憶部に登録する制御部とを有する、
ことを特徴とする名寄せ装置。
【請求項7】
前記第一のIDと前記第二のIDに代えて二以上の複数のIDを用いる、
ことを特徴とする請求項3に記載の本人確認方法。
【請求項8】
前記第一のIDと前記第二のIDに代えて二以上の複数のIDを用いる、
ことを特徴とする請求項6に記載の名寄せ装置。
【請求項1】
名寄せ装置、複数の中継装置とネットワークを介して接続された個人情報管理装置における本人確認方法であって、
前記個人情報管理装置には、共通IDと本人確認情報とをそれぞれ対応付けて記憶する本人確認情報記憶部と、前記共通IDと前記本人確認情報の履歴とをそれぞれ対応付けて記憶する本人確認情報更新履歴記憶部と、が具備されており、
前記名寄せ装置により前記共通IDが分割されそれぞれが秘匿化された複数のIDを、それぞれ異なる前記中継装置を介して受信し、
前記受信した複数のIDから前記共通IDを生成し、
前記生成した共通IDと、第一の中継装置から前記IDとともに受信したハッシュ化済み本人確認情報と、前記本人確認情報記憶部と、前記本人確認情報更新履歴記憶部とに基づいて、本人確認情報を照合し、
照合結果を生成し、
前記照合結果を秘匿化して前記名寄せ装置に送信する、
ことを特徴とする本人確認方法。
【請求項2】
前記個人情報管理装置により、前記共通IDに基づき前記本人確認情報記憶部と前記本人確認情報更新履歴記憶部を検索し、それぞれの該当レコードから本人確認情報を取得し、取得した本人確認情報同士を照合し、一致した場合、前記共通IDと前記本人確認情報とが正しく対応付けられていることを示す情報、前記共通ID及び前記本人確認情報を含む照合結果を生成する、
ことを特徴とする請求項1に記載の本人確認方法。
【請求項3】
個人情報管理装置、複数の中継装置とネットワークを介して接続された名寄せ装置における本人確認方法であって、
前記名寄せ装置には、前記中継装置のIPアドレスを記憶するルーティング情報記憶部と、ローカルIDと本人確認情報とを対応付けて記憶する属性情報記憶部と、が具備されており、
共通IDを分割し秘匿化して第一のIDと第二のIDを生成し、
本人確認情報をハッシュ化し、
前記記憶部から第一の中継装置と第二の中継装置のIPアドレスを取得し、
前記取得した第二の中継装置のIPアドレスに基づき、前記生成した第一のIDと第一の中継装置のIPアドレスを第二の中継装置に送信し、
前記第一の中継装置のIPアドレスに基づき、前記第二のIDと前記ハッシュ化済み本人確認情報を前記第一の中継装置に送信し、
前記個人情報管理装置から、前記共通IDと前記本人確認情報とが正しく対応付けられていることを示す情報、前記共通ID及び前記本人確認情報を含む秘匿化された照合結果を受信し、
前記照合結果を復元し、
復元した照合結果から取得した前記本人確認情報と前記属性情報記憶部に基づき前記ローカルIDを取得し、
前記復元した照合結果から取得した共通IDと前記取得したローカルIDとを対応付けて共通ID・ローカルIDペア記憶部に登録する、
ことを特徴とする本人確認方法。
【請求項4】
名寄せ装置、複数の中継装置とネットワークを介して接続された個人情報管理装置であって、
共通IDと本人確認情報とをそれぞれ対応付けて記憶する本人確認情報記憶部と、
前記共通IDと前記本人確認情報の履歴とをそれぞれ対応付けて記憶する本人確認情報更新履歴記憶部と、
前記名寄せ装置により前記共通IDが分割されそれぞれが秘匿化された複数のIDを、それぞれ異なる前記中継装置を介して受信し、
前記受信した複数のIDから前記共通IDを生成し、
前記生成した共通IDと、第一の中継装置から前記IDとともに受信したハッシュ化済み本人確認情報と、前記本人確認情報記憶部と、前記本人確認情報更新履歴記憶部に基づいて、本人確認情報を照合し、照合結果を生成し、
前記照合結果を秘匿化して前記名寄せ装置に送信する制御部とを有する、
ことを特徴とする個人情報管理装置。
【請求項5】
前記制御部は、前記共通IDに基づき前記本人確認情報記憶部と前記本人確認情報更新履歴記憶部を検索し、それぞれの該当レコードから本人確認情報を取得し、取得した本人確認情報同士を照合し、一致した場合、前記共通IDと前記本人確認情報とが正しく対応付けられていることを示す情報、前記共通ID及び前記本人確認情報を含む照合結果を生成する、
ことを特徴とする請求項4に記載の個人情報管理装置。
【請求項6】
個人情報管理装置、複数の中継装置とネットワークを介して接続された名寄せ装置であって、
前記中継装置のIPアドレスを記憶するルーティング情報記憶部と、
ローカルIDと本人確認情報とを対応付けて記憶する属性情報記憶部と、
共通IDを分割し秘匿化して第一のIDと第二のIDを生成し、
本人確認情報をハッシュ化し、
前記記憶部から第一の中継装置と第二の中継装置のIPアドレスを取得し、
前記取得した第二の中継装置のIPアドレスに基づき、前記生成した第一のIDと第一の中継装置のIPアドレスを第二の中継装置に送信し、
前記第一の中継装置のIPアドレスに基づき、前記第二のIDと前記ハッシュ化済み本人確認情報を前記第一の中継装置に送信し、
前記個人情報管理装置から、前記共通IDと前記本人確認情報とが正しく対応付けられていることを示す情報、前記共通ID及び前記本人確認情報を含む秘匿化された照合結果を受信し、
前記照合結果を復元し、
復元した照合結果から取得した前記本人確認情報と前記属性情報記憶部に基づき前記ローカルIDを取得し、
前記復元した照合結果から取得した共通IDと前記取得したローカルIDとを対応付けて共通ID・ローカルIDペア記憶部に登録する制御部とを有する、
ことを特徴とする名寄せ装置。
【請求項7】
前記第一のIDと前記第二のIDに代えて二以上の複数のIDを用いる、
ことを特徴とする請求項3に記載の本人確認方法。
【請求項8】
前記第一のIDと前記第二のIDに代えて二以上の複数のIDを用いる、
ことを特徴とする請求項6に記載の名寄せ装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2012−256264(P2012−256264A)
【公開日】平成24年12月27日(2012.12.27)
【国際特許分類】
【出願番号】特願2011−129774(P2011−129774)
【出願日】平成23年6月10日(2011.6.10)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成24年12月27日(2012.12.27)
【国際特許分類】
【出願日】平成23年6月10日(2011.6.10)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]