電子署名管理装置及び電子署名管理プログラム
【課題】 保管対象の電子文書の真正性及び保管対象の電子文書が削除されていないことの検証を、保管対象の全ての電子文書と全ての署名値を用いることなく行う技術を提案する。
【解決手段】 タイムスタンプ対象取得部4により、前回の保管対象ファイルの署名値のハッシュ値、当該保管対象ファイルの保管順序を示す番号、当該保管対象ファイルの客体を示す患者IDを取得するとともに、今回の保管対象ファイルの署名値のハッシュ値、当該保管対象ファイルの保管順序を示す番号、当該保管対象ファイルの客体を示す患者IDを取得し、タイムスタンプ付与部5により、前記取得した各情報を結合し、その結合データのハッシュ値を算出してTSA6に与えてタイムスタンプ情報を取得し、当該タイムスタンプ情報を今回の保管対象ファイルに対応付けて署名付き採番管理部2に記憶させる。
【解決手段】 タイムスタンプ対象取得部4により、前回の保管対象ファイルの署名値のハッシュ値、当該保管対象ファイルの保管順序を示す番号、当該保管対象ファイルの客体を示す患者IDを取得するとともに、今回の保管対象ファイルの署名値のハッシュ値、当該保管対象ファイルの保管順序を示す番号、当該保管対象ファイルの客体を示す患者IDを取得し、タイムスタンプ付与部5により、前記取得した各情報を結合し、その結合データのハッシュ値を算出してTSA6に与えてタイムスタンプ情報を取得し、当該タイムスタンプ情報を今回の保管対象ファイルに対応付けて署名付き採番管理部2に記憶させる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電子署名管理装置及び電子署名管理プログラムに関する。
【背景技術】
【0002】
紙の文書に対する署名や捺印と同様なものとして、文書を電子的に表した電子文書に対する電子署名が知られている。電子署名は、署名対象の電子文書のハッシュ値(所定のメッセージ要約関数による演算結果のメッセージダイジェスト値)を署名者の秘密鍵で暗号化したものであり、その署名者の公開鍵を用いなければ復号化できないことや、署名後に電子文書が編集されると、編集後の電子文書から得られるハッシュ値と電子署名から復号化されたハッシュ値(編集前の電子文書から得られるハッシュ値)とが一致しないことから、電子文書に対する署名者の本人確認や電子文書の内容の真正性の保証等のために利用されている。
【0003】
近年、電子署名に関する種々の技術が提案されている。
非特許文献1には、アーカイブ方式のタイムスタンプサービスであるSecureSealが提案されている。アーカイブ方式とは、サービス利用者から受け取ったタイムスタンプ付与対象データのハッシュ値に正確な時刻を付与してタイムスタンプを発行するとともに、発行したタイムスタンプと同じデータをセンタ側でも記録・保管する方式であり、SecureSealではタイムスタンプを生成する際にリンク情報を生成し、リンク情報を定期的に明証化(新聞等の定期刊行物に掲載して外部へ公開)することで、運用の透明性を図っている。なお、リンク情報とは、タイムスタンプが発行される度に、既存のリンク情報とタイムスタンプを結合した値から生成されたハッシュ値である。
【0004】
特許文献1には、電子文書の真正性保証方法および電子文書の公開システムに関する発明として、一文書を複数の構成要素に分解し、構成要素毎にハッシュ値を求めて署名を行い、その際に、開示すべきでない情報を削除して署名を行えるようにして、一文書中の情報の開示・非開示の選択をできるようにする発明が提案されている。
【0005】
特許文献2には、ヒステリス書名(SecureSealのリンク情報のようなもの)において、署名データの消失や破壊が発生しても、その署名データに連鎖する他の署名データの信頼性を確保する手段を提供し、また、署名データの生成と署名履歴の管理とを別の筐体で実現する場合、筐体間の通信を削減する手段を提供することを課題とした発明が提案されている。
【0006】
特許文献3には、ログを保存すると共にログのハッシュを計算して保存し、保存しているログをバックアップファイルにフルバックアップすると共に、バックアップファイルのハッシュを計算して保存すると同時に、フルバックアップ以後に保存したログのハッシュ以外のハッシュを削除することで、ログを検証できるようにする発明が提案されている。
【0007】
特許文献4には、改竄されにくく、又電子文書の変更の履歴によって電子文書の正当性、非改竄性が確実に担保できる電子文書の改竄防止方法が提供されている。診療記録(DBの1レコードを想定)ごとにハッシュ値を保存していくものであり、変更履歴もとれるように、イベントID(増加する整数値)を用意してリンクさせている。また、イベントIDと変更元イベントIDをハッシュ対象に含めることで、連続性を保証している。
【0008】
ここで、保管が義務付けられている電子文書を管理するシステム(例えば、各患者の診療情報を記録・管理する医療情報システム)において、電子署名やタイムスタンプの技術を用いることにより電子文書単体の偽造や差し替えを防止することが考えられている。しかしながら、例えば、データベースを直接操作できる管理者が電子文書とその電子署名とをまとめて削除することで、電子文書が元々無かったことにできるという問題がある。電子文書が抜かれていないことの検証をSecureSealにより行うことも考えられるが、その検証には全ての電子文書と全ての署名値(リンク情報)を計算する必要があり、また、検証を外部(第三者)機関に依頼する場合には全てのデータを当該機関に公開する必要がある。
【0009】
【非特許文献1】“タイムスタンプサービス セキュアシール”、[online]、株式会社NTTデータ、インターネット<URL:http://www.secureseal.jp/timestamp/about.html>
【特許文献1】特開2007−143184号公報
【特許文献2】特開2006−279761号公報
【特許文献3】特開2006−031142号公報
【特許文献4】特開2005−122483号公報
【発明の開示】
【発明が解決しようとする課題】
【0010】
本発明は、保管対象の電子文書の真正性及び保管対象の電子文書が削除されていないことの検証を、保管対象の全ての電子文書と全ての署名値を用いることなく行う技術を提案することを目的としている。
【課題を解決するための手段】
【0011】
第1の本発明は、前回の保管対象の電子文書に係るハッシュ値及び当該電子文書の客体を識別するための客体識別情報及び当該保管の順序を示す順序情報を取得する第1の取得手段と、今回の保管対象の電子文書に係るハッシュ値及び当該電子文書の客体を識別するための客体識別情報及び当該保管の順序を示す順序情報を取得する第2の取得手段と、前記第1の取得手段及び前記第2の取得手段により取得された各情報を結合する結合手段と、前記結合手段による結合結果の情報について署名情報を生成する生成手段と、前記第2の取得手段により取得された各情報及び前記生成手段により生成された署名情報を、今回の保管対象の電子文書と対応付けて記憶する記憶手段と、を備えたことを特徴とする電子署名管理装置である。
【0012】
第2の本発明は、第1の本発明において、前記生成手段により生成される署名情報は、前記結合手段による結合結果の情報のハッシュ値に基づいて所定の第三者機関により発行されるタイムスタンプ情報であり、当該発行の日時情報と、前記結合手段による結合結果の情報のハッシュ値と、これらの結合情報に対する当該第三者機関の電子署名とを含むことを特徴とする電子署名管理装置である。
【0013】
第3の本発明は、第2の本発明において、前記記憶手段には、更に、前記生成手段により生成されたタイムスタンプ情報に含まれる日時情報を複製した情報が今回の保管対象の電子文書と対応付けて記憶されることを特徴とする電子署名管理装置である。
【0014】
第4の本発明は、第1〜第3の本発明において、前記電子文書の客体は、診療対象の患者であり、前記電子文書は、診療対象の患者に関する診療情報であることを特徴とする電子署名管理装置である。
【0015】
第5の本発明は、コンピュータに、前回の保管対象の電子文書に係るハッシュ値及び当該電子文書の客体を識別するための客体識別情報及び当該保管の順序を示す順序情報を取得する第1の取得機能と、今回の保管対象の電子文書に係るハッシュ値及び当該電子文書の客体を識別するための客体識別情報及び当該保管の順序を示す順序情報を取得する第2の取得機能と、前記第1の取得機能及び前記第2の取得機能により取得された各情報を結合する結合機能と、前記結合機能による結合結果の情報について署名情報を生成する生成機能と、前記第2の取得機能により取得された各情報及び前記生成機能により生成された署名情報を、今回の保管対象の電子文書と対応付けて記憶する記憶機能と、を実現させるためのプログラムである。
【発明の効果】
【0016】
第1の本発明に係る電子署名管理装置によると、保管対象の電子文書の真正性及び保管対象の電子文書が削除されていないことの検証を、保管対象の全ての電子文書と全ての署名値を用いることなく行えるようにすることができる。
【0017】
第2の本発明に係る電子署名管理装置によると、署名情報の信頼性を高めることができる。
【0018】
第3の本発明に係る電子署名管理装置によると、検証に用いる署名情報の絞り込みに日時情報を利用できる。
【0019】
第4の本発明に係る電子署名管理装置によると、保管対象の診療情報の真正性及び保管対象の診療情報が削除されていないことの検証を、保管対象の全ての診療情報と全ての署名値を用いることなく行えるようにすることができる。
【0020】
第5の本発明に係るプログラムによると、保管対象の電子文書の真正性及び保管対象の電子文書が削除されていないことの検証を、保管対象の全ての電子文書と全ての署名値を用いることなく行えるようにすることができる。
【発明を実施するための最良の形態】
【0021】
本発明を、以下に例示する一実施形態に基づいて具体的に説明する。
図1は、電子文書を保管する文書管理システムの機能ブロック図の一例である。本例の文書管理システムは、ファイル管理部1、署名付き採番管理部2、電子署名機能部3、タイムスタンプ対象取得部4、タイムスタンプ付与部5、TSA(タイムスタンプ局)6などの各機能部により構成されている。
なお、本例の文書管理システムによる保管対象の電子文書は、診療対象の患者を客体として当該患者に関する診療情報を記録したものであるが、これに限定するものではなく、例えば、取引対象の顧客を客体として当該顧客との取引情報を記録したものでもよく、種々の情報を内容とした電子文書に適用することができる。
【0022】
文書管理システムの各機能部の一例について、図2を参照して説明する。
ファイル管理部1は、保管対象の電子文書(保管対象ファイル)をその署名値と対応付けて記憶・管理する。保管対象ファイルの署名値は、保管対象ファイルに対するファイル作成者(本例の場合は医師)の電子署名であり、保管対象ファイルのハッシュ値(所定のメッセージ要約関数による演算結果のメッセージダイジェスト値)に基づいて電子署名部機能3により生成される。本例では公知のXAdES形式の電子署名を想定している。
【0023】
署名付き採番管理部2は、各保管対象ファイル毎に「インクリメンタルな番号」、「患者ID」、「ファイルID」、「連続データ署名(タイムスタンプ値)」、「日時」を対応付けた連続データ署名レコードを記憶・管理している。
「インクリメンタルな番号」は、該当する保管対象ファイルの保管の順序を示す順序情報であるとともに、連続データ署名レコードを一意に識別するプライマリキーであり、本例では、保管対象ファイル毎に1ずつ加算して算出される重複のない自然数を用いている。
「患者ID」は、該当する保管対象ファイルの客体である患者を識別するための客体識別情報であり、本例では、保管対象ファイルの属性値に含まれる患者IDを複写して用いている。なお、患者IDに代えて他の情報を用いてもよく、例えば患者名を用いることができる。
「ファイルID」は、該当する保管対象ファイルを特定するための識別情報である。なお、「ファイルID」に代えて他の情報を用いてもよく、例えばファイルパスやファイル名を用いることができる。
「連続データ署名」は、該当する保管対象ファイルについてTSA局6により生成されたタイムスタンプ情報である。
「日時」は、該当する保管対象ファイルについてTSA局6により生成されたタイムスタンプ情報に含まれる日時情報を複製した情報である。なお、当該情報は、後述の検証処理に用いる連続データ署名レコードを時間的な観点から絞り込む際に用いられ、タイムスタンプ情報に含まれる日時情報を参照して絞り込む場合に比べて処理時間が短縮される。
【0024】
タイムスタンプ対象取得部4は、タイムスタンプ付与部5によるタイムスタンプ対象の情報を、ファイル管理部1および署名付き採番管理部2から取得する。具体的には、ファイル管理部1に今回新たに登録された保管対象ファイルの署名値のハッシュ値と、当該保管対象ファイルについて新たに算出されたインクリメンタルな番号と、当該保管対象ファイルの客体を示す患者IDを取得するとともに、その直前(前回)に登録された保管対象ファイルの署名値のハッシュ値と、当該保管対象ファイルのインクリメンタルな番号と、当該保管対象ファイルの客体を示す患者IDを取得する。
【0025】
タイムスタンプ付与部5は、タイムスタンプ対象取得部4により取得された各情報(今回の保管対象ファイルに関する情報と前回の保管対象ファイルに関する情報)を結合し、その結合データのハッシュ値を算出してTSA6に与える。そして、TSA6により生成されたタイムスタンプ情報を、署名付き採番管理部2に格納されている対象の連続データ署名レコードにおける「連続データ署名」欄に格納し、また、タイムスタンプ情報に含まれる日時情報の複製を、当該連続データ署名レコードにおける「日時」欄に格納する。
【0026】
TSA(タイムスタンプ局)6は、時刻に関する認証を行う第三者機関である。本例のTSA6は、タイムスタンプ付与部5からハッシュ値(今回の保管対象ファイルに関する情報と前回の保管対象ファイルに関する情報との結合データのハッシュ値)を受け付けると、当該ハッシュ値と、現在の日時情報(タイムスタンプの発行日時)と、これらの結合情報に対する当該TSA5の電子署名とを含むタイムスタンプ情報(本例では、XML(Extensible Markup Language)形式のファイル)を生成し、当該生成したタイムスタンプ情報をタイムスタンプ付与部5に応答として返す。
【0027】
本例の文書管理システムによる保管対象ファイルの登録処理の一例を、図3を参照して説明する。
[1]外部端末(例えば医師の操作端末など)からn番目の保管対象ファイルを受け付けると、ファイル管理部1に当該保管対象ファイルを登録するとともに、そのハッシュ値を算出して電子署名機能部3に与える。
[2]電子署名機能部3は、与えられたハッシュ値をファイル作成者の秘密鍵により暗号化して電子署名を生成し、当該生成した署名値をファイル管理部1にn番目の保管対象ファイルと対応付けて記憶させる。
[3]署名付き採番管理部2は、新たにインクリメンタルな番号(n)を発行してn番目の保管対象ファイル用の連続データ署名レコードを用意する。また、今回の保管対象ファイルに係る患者IDおよびファイルIDをファイル管理部1から取得し、これらもn番目の連続データ署名レコードに格納する。
[4]タイムスタンプ対象取得部4は、n番目(今回)の保管対象ファイルの署名値のハッシュ値を算出するとともに、n番目の患者IDとn番目のファイルIDを取得する。また、タイムスタンプ対象取得部4は、n−1番目(前回)の保管対象ファイル用の連続データ署名レコードから、n−1番目の保管対象ファイルの署名値のハッシュ値(連続データ署名(n−1番目のタイムスタンプ情報)に格納)とn−1番目の患者IDとn−1番目のファイルIDとを取得する。タイムスタンプ付与部5は、これら取得情報の結合データのハッシュ値を算出し、当該ハッシュ値をTSA6に与えてn番目のタイムスタンプ情報を取得する。
[5]タイムスタンプ付与部5は、取得したn番目のタイムスタンプ情報を、n番目の連続データ署名レコードの「連続データ署名」欄に格納し、また、当該タイムスタンプ情報に含まれる日時情報を複製してn番目の連続データ署名レコードの「日時」欄に格納する。
【0028】
図4は、本例の文書管理システムにより生成される連続データ署名を例示している。
例えば、保管対象ファイル1の連続データ署名(1番目のタイムスタンプ値)は、保管対象ファイル1の署名値のハッシュ値、インクリメンタルな番号“1”、対象の患者ID“0001”の結合データについて生成されている。
また、例えば、保管対象ファイル3の連続データ署名(3番目のタイムスタンプ値)は、前回の対象であった保管対象ファイル2の署名値のハッシュ値、インクリメンタルな番号“2”、対象の患者ID“0001”と、今回の対象である保管対象ファイル3の署名値のハッシュ値、インクリメンタルな番号“3”、対象の患者ID“0002”の結合データについて生成されている。
このように、本発明の一実施形態における連続データ署名は、今回の保管対象ファイルに関する情報と前回(直前)の保管対象ファイルに関する情報との結合データについて生成される。
なお、本例では、保管対象ファイルやその署名値はファイル管理部1により管理されており、インクリメンタルな番号、患者ID、連続データ署名などの情報は署名付き採番管理部2により管理されている。
【0029】
本例の文書管理システムによる保管対象ファイルの削除の有無に関する検証処理の一例を、図5、図6を参照して説明する。
[1.復号]署名付き採番管理部2から、検証対象の期間(N〜N+M)の連続データ署名レコードと、当該期間の直前(N−1)および直後(N+M+1)の連続データ署名レコードを検証処理に用いるデータとして検索する。
そして、n番目(N≦n≦N+M)の連続データ署名レコードの連続データ署名(タイムスタンプ情報)に含まれているTSA6の電子署名を復号し、タイムスタンプ対象のハッシュ値(n番目の保管対象ファイルに関する情報とn−1番目の保管対象ファイルに関する情報の結合データのハッシュ値)と日時情報(タイムスタンプの発行日時)の結合データを得る。
【0030】
[2〜4.確認]n番目(N≦n≦N+M)の連続データ署名レコードのファイルIDに対応する保管対象ファイルの署名値からハッシュ値を算出し、当該連続データ署名レコードのインクリメンタルな番号(n)、患者IDを取得するとともに、n−1番目の連続データ署名レコードのファイルIDに対応する保管対象ファイルの署名値からハッシュ値を算出し、当該連続データ署名レコードのインクリメンタルな番号(n−1)、患者IDを取得し、これら取得した各情報の結合データのハッシュ値を算出する。
【0031】
そして、n番目の連続データ署名レコードについて、復号処理により得られたタイムスタンプ対象のハッシュ値と今回の算出処理により得られたハッシュ値とを比較するとともに、復号処理により得られた日時情報と当該連続データ署名レコードの日時欄の情報とを比較する。これらの情報が一致すれば、n番目やn−1番目の保管対象ファイルの真正性が保証される。一方、不一致であれば、[5.検証]の結果に応じて、n番目又はn−1番目の保管対象ファイルが改竄されたか、或いは、本来n−1番目としてあるべき保管対象ファイルが削除されたかを検出できる。
【0032】
[5.検証]n番目の連続データ署名レコードのファイルIDに対応する保管対象ファイルのハッシュ値を算出し、当該ハッシュ値をファイル作成者の秘密鍵で暗号化して署名値を生成し、当該新たに生成した署名値を当該保管対象ファイルに対応付けられている署名値と比較する。互いの署名値が一致すれば、n番目の保管対象ファイルの真正性が保証され、一致しなければ、n番目の保管対象ファイルが改竄されたことを検出できる。また、n番目およびn−1番目の保管対象ファイルの署名値が問題ないにもかかわらず、n番目の連続データ署名レコードに問題がある場合には、本来n−1番目としてあるべき保管対象ファイルが削除されていると判断できる。
【0033】
[6.確認]検証対象期間の各連続データ署名レコードのインクリメンタルな番号が全て順番通りで欠番が無いことを確認する。欠番があれば、本来その番号としてあるべき保管対象ファイルが削除されていると判断できるので、保管対象ファイルの削除の有無の検出精度を高めることができ、また、削除された保管対象ファイルの数も特定できる。
【0034】
以上のように、直前の保管対象ファイルの連続データ署名の情報を用いて今回の保管対象ファイルの連続データ署名を生成するので、各保管対象ファイル間の連続性を証明できる。また、インクリメンタルな番号を用いているため、各保管対象ファイル間の連続性の保証を強化できる。
なお、特定の患者に限定して診療情報(保管対象ファイル)を検証する場合には、検証対象期間に応じた連続データ署名レコードと、各連続データ署名レコードのファイルIDに対応する保管対象ファイルの署名値と、これらの保管対象ファイルのうちの対象の患者の患者IDに対応する保管対象ファイルがあればよい。したがって、外部の機関に検証を依頼する場合において、対象外の患者に関する保管対象ファイルについては当該外部機関に提供する必要がなく、情報の機密性が保たれる。
【0035】
本例の文書管理システムは、ファイル管理部1、署名付き採番管理部2、電子署名機能部3、タイムスタンプ対象取得部4、タイムスタンプ付与部5を備えた1台のサーバ装置と、外部のTSA局6とがネットワーク通信可能に構成されているが、このような構成に限定されるものではなく、例えば、上記サーバ装置の各機能部を複数のコンピュータに分散して設けるようにしてもよい。
【0036】
図7は、上記のサーバ装置の主要なハードウェア構成の一例を示している。
本例のサーバ装置は、各種演算処理を行うCPU11、CPU11の作業領域となるRAM12、基本的な制御プログラムを記憶するROM13、本発明の一実施形態に係る機能を実現するためのプログラムや各種データを記憶するHDD14、利用者に対する情報を表示出力するディスプレイ画面や利用者からの情報の入力を受け付けるマウス・キーボード等の機器とのインターフェースである入出力I/F15、他の装置との間で通信を行うインターフェースである通信I/F16、等のハードウェア資源を有するコンピュータにより構成されている。
そして、本発明の一実施形態に係るプログラムをHDD14から読み出してRAM12に展開し、これをCPU11により実行させることで、本発明の一実施例に係る各機能手段をコンピュータにより実現している。
【0037】
なお、本発明に係るプログラムは、例えば当該プログラムを記憶したCD−ROM等の外部記憶媒体を配布する形式やネットワークを介して配信する形式により、本発明に係るプログラムの利用者に提供されてもよい。
また、本発明に係る各機能手段は、本例のようなソフトウェア構成により実現する態様に限られず、それぞれ専用のハードウエアモジュールで構成してもよい。
【図面の簡単な説明】
【0038】
【図1】本発明の一実施形態に係る文書管理システムの機能ブロック図である。
【図2】本発明の一実施形態に係る文書管理システムを説明する図である。
【図3】本発明の一実施形態に係るファイル登録処理を説明する図である。
【図4】本発明の一実施形態に係る連続データ署名を説明する図である。
【図5】本発明の一実施形態に係る保管ファイルの削除有無の検出処理を説明する図である。
【図6】本発明の一実施形態に係る保管ファイルの削除有無の検出処理を説明する図である。
【図7】本発明の一実施形態に係るコンピュータのハードウェア構成図である。
【符号の説明】
【0039】
1:ファイル管理部1、 2:署名付き採番管理部、 3:電子署名部、 4:タイムスタンプ対象取得部、 5:タイムスタンプ取得部、 6:TSA(タイムスタンプ局)
【技術分野】
【0001】
本発明は、電子署名管理装置及び電子署名管理プログラムに関する。
【背景技術】
【0002】
紙の文書に対する署名や捺印と同様なものとして、文書を電子的に表した電子文書に対する電子署名が知られている。電子署名は、署名対象の電子文書のハッシュ値(所定のメッセージ要約関数による演算結果のメッセージダイジェスト値)を署名者の秘密鍵で暗号化したものであり、その署名者の公開鍵を用いなければ復号化できないことや、署名後に電子文書が編集されると、編集後の電子文書から得られるハッシュ値と電子署名から復号化されたハッシュ値(編集前の電子文書から得られるハッシュ値)とが一致しないことから、電子文書に対する署名者の本人確認や電子文書の内容の真正性の保証等のために利用されている。
【0003】
近年、電子署名に関する種々の技術が提案されている。
非特許文献1には、アーカイブ方式のタイムスタンプサービスであるSecureSealが提案されている。アーカイブ方式とは、サービス利用者から受け取ったタイムスタンプ付与対象データのハッシュ値に正確な時刻を付与してタイムスタンプを発行するとともに、発行したタイムスタンプと同じデータをセンタ側でも記録・保管する方式であり、SecureSealではタイムスタンプを生成する際にリンク情報を生成し、リンク情報を定期的に明証化(新聞等の定期刊行物に掲載して外部へ公開)することで、運用の透明性を図っている。なお、リンク情報とは、タイムスタンプが発行される度に、既存のリンク情報とタイムスタンプを結合した値から生成されたハッシュ値である。
【0004】
特許文献1には、電子文書の真正性保証方法および電子文書の公開システムに関する発明として、一文書を複数の構成要素に分解し、構成要素毎にハッシュ値を求めて署名を行い、その際に、開示すべきでない情報を削除して署名を行えるようにして、一文書中の情報の開示・非開示の選択をできるようにする発明が提案されている。
【0005】
特許文献2には、ヒステリス書名(SecureSealのリンク情報のようなもの)において、署名データの消失や破壊が発生しても、その署名データに連鎖する他の署名データの信頼性を確保する手段を提供し、また、署名データの生成と署名履歴の管理とを別の筐体で実現する場合、筐体間の通信を削減する手段を提供することを課題とした発明が提案されている。
【0006】
特許文献3には、ログを保存すると共にログのハッシュを計算して保存し、保存しているログをバックアップファイルにフルバックアップすると共に、バックアップファイルのハッシュを計算して保存すると同時に、フルバックアップ以後に保存したログのハッシュ以外のハッシュを削除することで、ログを検証できるようにする発明が提案されている。
【0007】
特許文献4には、改竄されにくく、又電子文書の変更の履歴によって電子文書の正当性、非改竄性が確実に担保できる電子文書の改竄防止方法が提供されている。診療記録(DBの1レコードを想定)ごとにハッシュ値を保存していくものであり、変更履歴もとれるように、イベントID(増加する整数値)を用意してリンクさせている。また、イベントIDと変更元イベントIDをハッシュ対象に含めることで、連続性を保証している。
【0008】
ここで、保管が義務付けられている電子文書を管理するシステム(例えば、各患者の診療情報を記録・管理する医療情報システム)において、電子署名やタイムスタンプの技術を用いることにより電子文書単体の偽造や差し替えを防止することが考えられている。しかしながら、例えば、データベースを直接操作できる管理者が電子文書とその電子署名とをまとめて削除することで、電子文書が元々無かったことにできるという問題がある。電子文書が抜かれていないことの検証をSecureSealにより行うことも考えられるが、その検証には全ての電子文書と全ての署名値(リンク情報)を計算する必要があり、また、検証を外部(第三者)機関に依頼する場合には全てのデータを当該機関に公開する必要がある。
【0009】
【非特許文献1】“タイムスタンプサービス セキュアシール”、[online]、株式会社NTTデータ、インターネット<URL:http://www.secureseal.jp/timestamp/about.html>
【特許文献1】特開2007−143184号公報
【特許文献2】特開2006−279761号公報
【特許文献3】特開2006−031142号公報
【特許文献4】特開2005−122483号公報
【発明の開示】
【発明が解決しようとする課題】
【0010】
本発明は、保管対象の電子文書の真正性及び保管対象の電子文書が削除されていないことの検証を、保管対象の全ての電子文書と全ての署名値を用いることなく行う技術を提案することを目的としている。
【課題を解決するための手段】
【0011】
第1の本発明は、前回の保管対象の電子文書に係るハッシュ値及び当該電子文書の客体を識別するための客体識別情報及び当該保管の順序を示す順序情報を取得する第1の取得手段と、今回の保管対象の電子文書に係るハッシュ値及び当該電子文書の客体を識別するための客体識別情報及び当該保管の順序を示す順序情報を取得する第2の取得手段と、前記第1の取得手段及び前記第2の取得手段により取得された各情報を結合する結合手段と、前記結合手段による結合結果の情報について署名情報を生成する生成手段と、前記第2の取得手段により取得された各情報及び前記生成手段により生成された署名情報を、今回の保管対象の電子文書と対応付けて記憶する記憶手段と、を備えたことを特徴とする電子署名管理装置である。
【0012】
第2の本発明は、第1の本発明において、前記生成手段により生成される署名情報は、前記結合手段による結合結果の情報のハッシュ値に基づいて所定の第三者機関により発行されるタイムスタンプ情報であり、当該発行の日時情報と、前記結合手段による結合結果の情報のハッシュ値と、これらの結合情報に対する当該第三者機関の電子署名とを含むことを特徴とする電子署名管理装置である。
【0013】
第3の本発明は、第2の本発明において、前記記憶手段には、更に、前記生成手段により生成されたタイムスタンプ情報に含まれる日時情報を複製した情報が今回の保管対象の電子文書と対応付けて記憶されることを特徴とする電子署名管理装置である。
【0014】
第4の本発明は、第1〜第3の本発明において、前記電子文書の客体は、診療対象の患者であり、前記電子文書は、診療対象の患者に関する診療情報であることを特徴とする電子署名管理装置である。
【0015】
第5の本発明は、コンピュータに、前回の保管対象の電子文書に係るハッシュ値及び当該電子文書の客体を識別するための客体識別情報及び当該保管の順序を示す順序情報を取得する第1の取得機能と、今回の保管対象の電子文書に係るハッシュ値及び当該電子文書の客体を識別するための客体識別情報及び当該保管の順序を示す順序情報を取得する第2の取得機能と、前記第1の取得機能及び前記第2の取得機能により取得された各情報を結合する結合機能と、前記結合機能による結合結果の情報について署名情報を生成する生成機能と、前記第2の取得機能により取得された各情報及び前記生成機能により生成された署名情報を、今回の保管対象の電子文書と対応付けて記憶する記憶機能と、を実現させるためのプログラムである。
【発明の効果】
【0016】
第1の本発明に係る電子署名管理装置によると、保管対象の電子文書の真正性及び保管対象の電子文書が削除されていないことの検証を、保管対象の全ての電子文書と全ての署名値を用いることなく行えるようにすることができる。
【0017】
第2の本発明に係る電子署名管理装置によると、署名情報の信頼性を高めることができる。
【0018】
第3の本発明に係る電子署名管理装置によると、検証に用いる署名情報の絞り込みに日時情報を利用できる。
【0019】
第4の本発明に係る電子署名管理装置によると、保管対象の診療情報の真正性及び保管対象の診療情報が削除されていないことの検証を、保管対象の全ての診療情報と全ての署名値を用いることなく行えるようにすることができる。
【0020】
第5の本発明に係るプログラムによると、保管対象の電子文書の真正性及び保管対象の電子文書が削除されていないことの検証を、保管対象の全ての電子文書と全ての署名値を用いることなく行えるようにすることができる。
【発明を実施するための最良の形態】
【0021】
本発明を、以下に例示する一実施形態に基づいて具体的に説明する。
図1は、電子文書を保管する文書管理システムの機能ブロック図の一例である。本例の文書管理システムは、ファイル管理部1、署名付き採番管理部2、電子署名機能部3、タイムスタンプ対象取得部4、タイムスタンプ付与部5、TSA(タイムスタンプ局)6などの各機能部により構成されている。
なお、本例の文書管理システムによる保管対象の電子文書は、診療対象の患者を客体として当該患者に関する診療情報を記録したものであるが、これに限定するものではなく、例えば、取引対象の顧客を客体として当該顧客との取引情報を記録したものでもよく、種々の情報を内容とした電子文書に適用することができる。
【0022】
文書管理システムの各機能部の一例について、図2を参照して説明する。
ファイル管理部1は、保管対象の電子文書(保管対象ファイル)をその署名値と対応付けて記憶・管理する。保管対象ファイルの署名値は、保管対象ファイルに対するファイル作成者(本例の場合は医師)の電子署名であり、保管対象ファイルのハッシュ値(所定のメッセージ要約関数による演算結果のメッセージダイジェスト値)に基づいて電子署名部機能3により生成される。本例では公知のXAdES形式の電子署名を想定している。
【0023】
署名付き採番管理部2は、各保管対象ファイル毎に「インクリメンタルな番号」、「患者ID」、「ファイルID」、「連続データ署名(タイムスタンプ値)」、「日時」を対応付けた連続データ署名レコードを記憶・管理している。
「インクリメンタルな番号」は、該当する保管対象ファイルの保管の順序を示す順序情報であるとともに、連続データ署名レコードを一意に識別するプライマリキーであり、本例では、保管対象ファイル毎に1ずつ加算して算出される重複のない自然数を用いている。
「患者ID」は、該当する保管対象ファイルの客体である患者を識別するための客体識別情報であり、本例では、保管対象ファイルの属性値に含まれる患者IDを複写して用いている。なお、患者IDに代えて他の情報を用いてもよく、例えば患者名を用いることができる。
「ファイルID」は、該当する保管対象ファイルを特定するための識別情報である。なお、「ファイルID」に代えて他の情報を用いてもよく、例えばファイルパスやファイル名を用いることができる。
「連続データ署名」は、該当する保管対象ファイルについてTSA局6により生成されたタイムスタンプ情報である。
「日時」は、該当する保管対象ファイルについてTSA局6により生成されたタイムスタンプ情報に含まれる日時情報を複製した情報である。なお、当該情報は、後述の検証処理に用いる連続データ署名レコードを時間的な観点から絞り込む際に用いられ、タイムスタンプ情報に含まれる日時情報を参照して絞り込む場合に比べて処理時間が短縮される。
【0024】
タイムスタンプ対象取得部4は、タイムスタンプ付与部5によるタイムスタンプ対象の情報を、ファイル管理部1および署名付き採番管理部2から取得する。具体的には、ファイル管理部1に今回新たに登録された保管対象ファイルの署名値のハッシュ値と、当該保管対象ファイルについて新たに算出されたインクリメンタルな番号と、当該保管対象ファイルの客体を示す患者IDを取得するとともに、その直前(前回)に登録された保管対象ファイルの署名値のハッシュ値と、当該保管対象ファイルのインクリメンタルな番号と、当該保管対象ファイルの客体を示す患者IDを取得する。
【0025】
タイムスタンプ付与部5は、タイムスタンプ対象取得部4により取得された各情報(今回の保管対象ファイルに関する情報と前回の保管対象ファイルに関する情報)を結合し、その結合データのハッシュ値を算出してTSA6に与える。そして、TSA6により生成されたタイムスタンプ情報を、署名付き採番管理部2に格納されている対象の連続データ署名レコードにおける「連続データ署名」欄に格納し、また、タイムスタンプ情報に含まれる日時情報の複製を、当該連続データ署名レコードにおける「日時」欄に格納する。
【0026】
TSA(タイムスタンプ局)6は、時刻に関する認証を行う第三者機関である。本例のTSA6は、タイムスタンプ付与部5からハッシュ値(今回の保管対象ファイルに関する情報と前回の保管対象ファイルに関する情報との結合データのハッシュ値)を受け付けると、当該ハッシュ値と、現在の日時情報(タイムスタンプの発行日時)と、これらの結合情報に対する当該TSA5の電子署名とを含むタイムスタンプ情報(本例では、XML(Extensible Markup Language)形式のファイル)を生成し、当該生成したタイムスタンプ情報をタイムスタンプ付与部5に応答として返す。
【0027】
本例の文書管理システムによる保管対象ファイルの登録処理の一例を、図3を参照して説明する。
[1]外部端末(例えば医師の操作端末など)からn番目の保管対象ファイルを受け付けると、ファイル管理部1に当該保管対象ファイルを登録するとともに、そのハッシュ値を算出して電子署名機能部3に与える。
[2]電子署名機能部3は、与えられたハッシュ値をファイル作成者の秘密鍵により暗号化して電子署名を生成し、当該生成した署名値をファイル管理部1にn番目の保管対象ファイルと対応付けて記憶させる。
[3]署名付き採番管理部2は、新たにインクリメンタルな番号(n)を発行してn番目の保管対象ファイル用の連続データ署名レコードを用意する。また、今回の保管対象ファイルに係る患者IDおよびファイルIDをファイル管理部1から取得し、これらもn番目の連続データ署名レコードに格納する。
[4]タイムスタンプ対象取得部4は、n番目(今回)の保管対象ファイルの署名値のハッシュ値を算出するとともに、n番目の患者IDとn番目のファイルIDを取得する。また、タイムスタンプ対象取得部4は、n−1番目(前回)の保管対象ファイル用の連続データ署名レコードから、n−1番目の保管対象ファイルの署名値のハッシュ値(連続データ署名(n−1番目のタイムスタンプ情報)に格納)とn−1番目の患者IDとn−1番目のファイルIDとを取得する。タイムスタンプ付与部5は、これら取得情報の結合データのハッシュ値を算出し、当該ハッシュ値をTSA6に与えてn番目のタイムスタンプ情報を取得する。
[5]タイムスタンプ付与部5は、取得したn番目のタイムスタンプ情報を、n番目の連続データ署名レコードの「連続データ署名」欄に格納し、また、当該タイムスタンプ情報に含まれる日時情報を複製してn番目の連続データ署名レコードの「日時」欄に格納する。
【0028】
図4は、本例の文書管理システムにより生成される連続データ署名を例示している。
例えば、保管対象ファイル1の連続データ署名(1番目のタイムスタンプ値)は、保管対象ファイル1の署名値のハッシュ値、インクリメンタルな番号“1”、対象の患者ID“0001”の結合データについて生成されている。
また、例えば、保管対象ファイル3の連続データ署名(3番目のタイムスタンプ値)は、前回の対象であった保管対象ファイル2の署名値のハッシュ値、インクリメンタルな番号“2”、対象の患者ID“0001”と、今回の対象である保管対象ファイル3の署名値のハッシュ値、インクリメンタルな番号“3”、対象の患者ID“0002”の結合データについて生成されている。
このように、本発明の一実施形態における連続データ署名は、今回の保管対象ファイルに関する情報と前回(直前)の保管対象ファイルに関する情報との結合データについて生成される。
なお、本例では、保管対象ファイルやその署名値はファイル管理部1により管理されており、インクリメンタルな番号、患者ID、連続データ署名などの情報は署名付き採番管理部2により管理されている。
【0029】
本例の文書管理システムによる保管対象ファイルの削除の有無に関する検証処理の一例を、図5、図6を参照して説明する。
[1.復号]署名付き採番管理部2から、検証対象の期間(N〜N+M)の連続データ署名レコードと、当該期間の直前(N−1)および直後(N+M+1)の連続データ署名レコードを検証処理に用いるデータとして検索する。
そして、n番目(N≦n≦N+M)の連続データ署名レコードの連続データ署名(タイムスタンプ情報)に含まれているTSA6の電子署名を復号し、タイムスタンプ対象のハッシュ値(n番目の保管対象ファイルに関する情報とn−1番目の保管対象ファイルに関する情報の結合データのハッシュ値)と日時情報(タイムスタンプの発行日時)の結合データを得る。
【0030】
[2〜4.確認]n番目(N≦n≦N+M)の連続データ署名レコードのファイルIDに対応する保管対象ファイルの署名値からハッシュ値を算出し、当該連続データ署名レコードのインクリメンタルな番号(n)、患者IDを取得するとともに、n−1番目の連続データ署名レコードのファイルIDに対応する保管対象ファイルの署名値からハッシュ値を算出し、当該連続データ署名レコードのインクリメンタルな番号(n−1)、患者IDを取得し、これら取得した各情報の結合データのハッシュ値を算出する。
【0031】
そして、n番目の連続データ署名レコードについて、復号処理により得られたタイムスタンプ対象のハッシュ値と今回の算出処理により得られたハッシュ値とを比較するとともに、復号処理により得られた日時情報と当該連続データ署名レコードの日時欄の情報とを比較する。これらの情報が一致すれば、n番目やn−1番目の保管対象ファイルの真正性が保証される。一方、不一致であれば、[5.検証]の結果に応じて、n番目又はn−1番目の保管対象ファイルが改竄されたか、或いは、本来n−1番目としてあるべき保管対象ファイルが削除されたかを検出できる。
【0032】
[5.検証]n番目の連続データ署名レコードのファイルIDに対応する保管対象ファイルのハッシュ値を算出し、当該ハッシュ値をファイル作成者の秘密鍵で暗号化して署名値を生成し、当該新たに生成した署名値を当該保管対象ファイルに対応付けられている署名値と比較する。互いの署名値が一致すれば、n番目の保管対象ファイルの真正性が保証され、一致しなければ、n番目の保管対象ファイルが改竄されたことを検出できる。また、n番目およびn−1番目の保管対象ファイルの署名値が問題ないにもかかわらず、n番目の連続データ署名レコードに問題がある場合には、本来n−1番目としてあるべき保管対象ファイルが削除されていると判断できる。
【0033】
[6.確認]検証対象期間の各連続データ署名レコードのインクリメンタルな番号が全て順番通りで欠番が無いことを確認する。欠番があれば、本来その番号としてあるべき保管対象ファイルが削除されていると判断できるので、保管対象ファイルの削除の有無の検出精度を高めることができ、また、削除された保管対象ファイルの数も特定できる。
【0034】
以上のように、直前の保管対象ファイルの連続データ署名の情報を用いて今回の保管対象ファイルの連続データ署名を生成するので、各保管対象ファイル間の連続性を証明できる。また、インクリメンタルな番号を用いているため、各保管対象ファイル間の連続性の保証を強化できる。
なお、特定の患者に限定して診療情報(保管対象ファイル)を検証する場合には、検証対象期間に応じた連続データ署名レコードと、各連続データ署名レコードのファイルIDに対応する保管対象ファイルの署名値と、これらの保管対象ファイルのうちの対象の患者の患者IDに対応する保管対象ファイルがあればよい。したがって、外部の機関に検証を依頼する場合において、対象外の患者に関する保管対象ファイルについては当該外部機関に提供する必要がなく、情報の機密性が保たれる。
【0035】
本例の文書管理システムは、ファイル管理部1、署名付き採番管理部2、電子署名機能部3、タイムスタンプ対象取得部4、タイムスタンプ付与部5を備えた1台のサーバ装置と、外部のTSA局6とがネットワーク通信可能に構成されているが、このような構成に限定されるものではなく、例えば、上記サーバ装置の各機能部を複数のコンピュータに分散して設けるようにしてもよい。
【0036】
図7は、上記のサーバ装置の主要なハードウェア構成の一例を示している。
本例のサーバ装置は、各種演算処理を行うCPU11、CPU11の作業領域となるRAM12、基本的な制御プログラムを記憶するROM13、本発明の一実施形態に係る機能を実現するためのプログラムや各種データを記憶するHDD14、利用者に対する情報を表示出力するディスプレイ画面や利用者からの情報の入力を受け付けるマウス・キーボード等の機器とのインターフェースである入出力I/F15、他の装置との間で通信を行うインターフェースである通信I/F16、等のハードウェア資源を有するコンピュータにより構成されている。
そして、本発明の一実施形態に係るプログラムをHDD14から読み出してRAM12に展開し、これをCPU11により実行させることで、本発明の一実施例に係る各機能手段をコンピュータにより実現している。
【0037】
なお、本発明に係るプログラムは、例えば当該プログラムを記憶したCD−ROM等の外部記憶媒体を配布する形式やネットワークを介して配信する形式により、本発明に係るプログラムの利用者に提供されてもよい。
また、本発明に係る各機能手段は、本例のようなソフトウェア構成により実現する態様に限られず、それぞれ専用のハードウエアモジュールで構成してもよい。
【図面の簡単な説明】
【0038】
【図1】本発明の一実施形態に係る文書管理システムの機能ブロック図である。
【図2】本発明の一実施形態に係る文書管理システムを説明する図である。
【図3】本発明の一実施形態に係るファイル登録処理を説明する図である。
【図4】本発明の一実施形態に係る連続データ署名を説明する図である。
【図5】本発明の一実施形態に係る保管ファイルの削除有無の検出処理を説明する図である。
【図6】本発明の一実施形態に係る保管ファイルの削除有無の検出処理を説明する図である。
【図7】本発明の一実施形態に係るコンピュータのハードウェア構成図である。
【符号の説明】
【0039】
1:ファイル管理部1、 2:署名付き採番管理部、 3:電子署名部、 4:タイムスタンプ対象取得部、 5:タイムスタンプ取得部、 6:TSA(タイムスタンプ局)
【特許請求の範囲】
【請求項1】
前回の保管対象の電子文書に係るハッシュ値及び当該電子文書の客体を識別するための客体識別情報及び当該保管の順序を示す順序情報を取得する第1の取得手段と、
今回の保管対象の電子文書に係るハッシュ値及び当該電子文書の客体を識別するための客体識別情報及び当該保管の順序を示す順序情報を取得する第2の取得手段と、
前記第1の取得手段及び前記第2の取得手段により取得された各情報を結合する結合手段と、
前記結合手段による結合結果の情報について署名情報を生成する生成手段と、
前記第2の取得手段により取得された各情報及び前記生成手段により生成された署名情報を、今回の保管対象の電子文書と対応付けて記憶する記憶手段と、
を備えたことを特徴とする電子署名管理装置。
【請求項2】
前記生成手段により生成される署名情報は、前記結合手段による結合結果の情報のハッシュ値に基づいて所定の第三者機関により発行されるタイムスタンプ情報であり、当該発行の日時情報と、前記結合手段による結合結果の情報のハッシュ値と、これらの結合情報に対する当該第三者機関の電子署名とを含むことを特徴とする請求項1に記載の電子署名管理装置。
【請求項3】
前記記憶手段には、更に、前記生成手段により生成されたタイムスタンプ情報に含まれる日時情報を複製した情報が今回の保管対象の電子文書と対応付けて記憶されることを特徴とする請求項2に記載の電子署名管理装置。
【請求項4】
前記電子文書の客体は、診療対象の患者であり、
前記電子文書は、診療対象の患者に関する診療情報であることを特徴とする請求項1から請求項3のいずれか1項に記載の電子署名管理装置。
【請求項5】
コンピュータに、
前回の保管対象の電子文書に係るハッシュ値及び当該電子文書の客体を識別するための客体識別情報及び当該保管の順序を示す順序情報を取得する第1の取得機能と、
今回の保管対象の電子文書に係るハッシュ値及び当該電子文書の客体を識別するための客体識別情報及び当該保管の順序を示す順序情報を取得する第2の取得機能と、
前記第1の取得機能及び前記第2の取得機能により取得された各情報を結合する結合機能と、
前記結合機能による結合結果の情報について署名情報を生成する生成機能と、
前記第2の取得機能により取得された各情報及び前記生成機能により生成された署名情報を、今回の保管対象の電子文書と対応付けて記憶手段に記憶させる記憶機能と、
を実現させるための電子署名管理プログラム。
【請求項1】
前回の保管対象の電子文書に係るハッシュ値及び当該電子文書の客体を識別するための客体識別情報及び当該保管の順序を示す順序情報を取得する第1の取得手段と、
今回の保管対象の電子文書に係るハッシュ値及び当該電子文書の客体を識別するための客体識別情報及び当該保管の順序を示す順序情報を取得する第2の取得手段と、
前記第1の取得手段及び前記第2の取得手段により取得された各情報を結合する結合手段と、
前記結合手段による結合結果の情報について署名情報を生成する生成手段と、
前記第2の取得手段により取得された各情報及び前記生成手段により生成された署名情報を、今回の保管対象の電子文書と対応付けて記憶する記憶手段と、
を備えたことを特徴とする電子署名管理装置。
【請求項2】
前記生成手段により生成される署名情報は、前記結合手段による結合結果の情報のハッシュ値に基づいて所定の第三者機関により発行されるタイムスタンプ情報であり、当該発行の日時情報と、前記結合手段による結合結果の情報のハッシュ値と、これらの結合情報に対する当該第三者機関の電子署名とを含むことを特徴とする請求項1に記載の電子署名管理装置。
【請求項3】
前記記憶手段には、更に、前記生成手段により生成されたタイムスタンプ情報に含まれる日時情報を複製した情報が今回の保管対象の電子文書と対応付けて記憶されることを特徴とする請求項2に記載の電子署名管理装置。
【請求項4】
前記電子文書の客体は、診療対象の患者であり、
前記電子文書は、診療対象の患者に関する診療情報であることを特徴とする請求項1から請求項3のいずれか1項に記載の電子署名管理装置。
【請求項5】
コンピュータに、
前回の保管対象の電子文書に係るハッシュ値及び当該電子文書の客体を識別するための客体識別情報及び当該保管の順序を示す順序情報を取得する第1の取得機能と、
今回の保管対象の電子文書に係るハッシュ値及び当該電子文書の客体を識別するための客体識別情報及び当該保管の順序を示す順序情報を取得する第2の取得機能と、
前記第1の取得機能及び前記第2の取得機能により取得された各情報を結合する結合機能と、
前記結合機能による結合結果の情報について署名情報を生成する生成機能と、
前記第2の取得機能により取得された各情報及び前記生成機能により生成された署名情報を、今回の保管対象の電子文書と対応付けて記憶手段に記憶させる記憶機能と、
を実現させるための電子署名管理プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2009−301370(P2009−301370A)
【公開日】平成21年12月24日(2009.12.24)
【国際特許分類】
【出願番号】特願2008−156086(P2008−156086)
【出願日】平成20年6月16日(2008.6.16)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
【公開日】平成21年12月24日(2009.12.24)
【国際特許分類】
【出願日】平成20年6月16日(2008.6.16)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
[ Back to top ]