| 【発明の名称】 |
サービス提供方法、サービス提供システム、サービス提供プログラムを記録した記録媒体。 |
| 【発明者】 |
【氏名】大塚 卓哉
【氏名】小野澤 晃
|
| 【要約】 |
【課題】個人のプライバシーを保護しつつ、個人情報を利用したサービスの提供を行う。
【解決手段】個人クライアント11は、個人特定情報(アドレス)B1と情報の中身(コンテンツ)B2からなるプロファイルを保持している。ブローカサーバ12は、コンテンツB2のみ知ることが可能で、それをもとにサービス提供者から依頼されたサービスを最適な個人クライアントへ送信する。監査人サーバ13はアドレスB1のみ知ることが可能で、個人クライアント11とブローカサーバ12の交渉を仲介する。実行者サーバ14は、アドレスB1のみ知ることが可能で、サービスの提供と決済を行う。 |
【特許請求の範囲】
【請求項1】 個人情報を利用して、ネットワークを介してサービス提供を行うサービス提供方法において、個人情報を、個人を特定する特定情報と、個人の情報の中身であるコンテンツ情報に分離し、前記特定情報を第1のサーバで仮特定情報に変換して第2のサーバに渡し、第2のサーバで、サービス提供者から依頼されたサービスと前記コンテンツ情報を結びつけてサービス情報を生成し、仮特定情報とともに第3のサーバに渡し、第3のサーバは送られてきた仮特定情報を元の特定情報に変換し、前記サービス情報を前記特定情報が示す個人クライアントへ送信することを特徴とするサービス提供方法。
【請求項2】 個人情報を利用して、ネットワークを介してサービス提供を行うサービス提供システムであって、個人を特定する特定情報と、個人の情報の中身であるコンテンツ情報からなるプロファイルを保持する1つ以上の個人クライアントと、個人クライアントの特定情報のみを知ることが可能で、前記個人クライアントから送信された特定情報を仮特定情報に変換する監査人サーバと、個人クライアントのコンテンツ情報のみを知ることが可能で、前記仮特定情報を受信し、サービス提供者から依頼されたサービスとそれに適合するコンテンツ情報を結びつけサービス情報を生成するブローカサーバと、個人クライアントの特定情報のみを知ることが可能で、前記ブローカサーバから前記仮特定情報と前記サービス情報を受信し、前記仮特定情報を元の特定情報に変換して前記サービス情報を前記特定情報が示す個人クライアントへ送信する実行者サーバを有するサービス提供システム。
【請求項3】 認証局サーバによって、個人クライアント、監査人サーバ、実行者サーバ、ブローカサーバ全ての認証を行い、公開鍵暗号方式における公開鍵と秘密鍵を生成するステップと、前記監査人サーバが前記個人クライアントを巡回して、各々のカテゴリーの情報について公開方針が示されているポリシを集め、個人クライアントのIDとポリシを自己のデータベースに保存するステップと、ブローカサーバが、必要としているカテゴリーを公開する意志のあるポリシを持っている個人クライアントを前記監査人サーバに要求するステップと、前記監査人サーバが自データベースから適合するポリシを持つ個人クライアントを検索し、IDを仮IDに変換し、仮IDをポリシと契約番号とともに前記ブローカサーバに返送するとともに、自データベースに記録するステップと、前記ブローカサーバが、交渉したい個人クライアントの、仮IDと契約番号と交渉するエージェントを前記監査人サーバへ送信するステップと、前記監査人サーバが要求のあった個人クライアントを交渉へ呼び出すステップと、前記個人クライアントが、交渉エージェントを前記監査人サーバへ送信するステップと、前記監査人サーバが、前記交渉エージェントに中立な交渉の機会を与え、その交渉の結果と契約番号を前記個人クライアントと前記ブローカサーバと前記実行者サーバへ送信するステップと、前記ブローカサーバから前記実行者サーバへ仮IDと契約番号を送信し、前記個人クライアントが前記実行者サーバへ契約名と前記ブローカサーバの番号を送信するステップと、前記実行者サーバが前記監査人サーバ、前記ブローカサーバ、前記個人クライアントから送られた内容を照合し、結果を自データベースに記録するステップと、前記個人クライアントが、前記ブローカサーバへ送信すべきコンテンツからビット委託法によってビット委託を生成し、またブローカサーバからの返送に使う、共通鍵暗号方式の秘密鍵を生成し、両者を契約番号とともに前記ブローカサーバの公開鍵で暗号化し、契約番号とともに前記監査人サーバへ送信するステップと、前記監査人サーバが、IDを変換し、変換後のIDを前記ブローカサーバに送信するステップと、前記ブローカサーバが、希望するカテゴリのコンテンツと契約番号を前記秘密鍵で暗号化し、前記監査人サーバに送信するステップと、前記監査人サーバがIDを変換した後、受信した契約番号と秘密鍵で暗号化された希望コンテンツを前記個人クライアントへ送信するステップと、前記個人クライアントが、前記希望コンテンツを前記秘密鍵で復号し、自分のコンテンツと一致していればビット委託の鍵を、一致していなければ、その旨を契約番号とともに前記ブローカサーバの公開鍵で暗号化した後、契約番号とともに前記監査人サーバへ送信するステップと、前記ブローカサーバが前記ビット委託を開けて確認するステップと、前記ブローカサーバがサービス情報を送信したい仮IDと契約番号とサービス情報を前記実行者サーバへ送信するステップと、前記実行者サーバが仮IDを元のIDに変換後サービス情報を前記個人クライアントに送信するステップを有するサービス情報提供方法。
【請求項4】 個人クライアントのポリシよりポリシデータベースを作成する手段と、個人クライアントを特定する情報である個人IDと、一時的な特定情報である仮IDの対応を記録する手段と、個人クライアント自身からの仮IDの提供要求により、あるいは、ポリシデータベースよりポリシ適合者の仮IDの抽出により、その仮IDをブローカサーバへ提供する手段と、ブローカ交渉エージェントと、個人交渉エージェントに中立な交渉の機会を提供し、交渉の結果を記録、関係者に通知する手段と、個人クライアントとブローカサーバの間の通信を仲介する手段を有する監査人サーバ。
【請求項5】 ポリシデータベースを作成する手段が、個人クライアントからポリシを受信する手段と、該当個人クライアントの認証を行った上で、新規にポリシデータベースを作成、あるいはポリシデータベースを更新する手段を含む、請求項4記載の監査人サーバ。
【請求項6】 個人クライアントを特定する情報である個人IDと、一時的な特定情報である仮IDの対応を記録する手段と、個人クライアント自身からの仮IDの提供要求により、あるいは、ポリシデータベースよりポリシ適合者の仮IDの抽出により、その仮IDをブローカサーバへ提供する手段が、前記ブローカサーバからポリシ適合者のリクエストを受信する手段と、該ブローカサーバの認証を行った上で前記ポリシデータベースよりポリシ適合者を抽出し、該当個人IDと、該当仮IDと、契約番号を生成しその契約番号を交渉データベースに記録する手段と、前記仮IDと契約番号を前記ブローカサーバへ送信する手段を含む、請求項4または5記載の監査人サーバ。
【請求項7】 個人クライアントを特定する情報である個人IDと、一時的な特定情報である仮IDの対応を記録する手段と、個人クライアント自身からの仮IDの提供要求により、あるいは、ポリシデータベースよりポリシ適合者の仮IDの抽出により、その仮IDをブローカサーバへ提供する手段が、個人クライアント自身から該ブローカサーバへの仮IDの提供要求を受信する手段と、該個人クライアントの認証を行った上で、前記仮IDと契約番号を生成しその契約番号を交渉データベースに記録する手段と、前記仮IDと契約番号を該ブローカサーバへ送信する手段を含む、請求項4または5記載の監査人サーバ。
【請求項8】 ブローカ交渉エージェントと、個人交渉エージェントに中立な交渉の機会を提供し、交渉の結果を記録、関係者に通知する手段が、前記ブローカサーバから交渉相手の要求と、交渉エージェントを受取る手段と、該当する個人クライアントへ交渉の要求を出す手段と、個人クライアントから交渉エージェントを受信する手段と、前記個人クライアントと前記ブローカサーバの交渉を監査する手段と、交渉結果を前記個人クライアント、前記ブローカサーバ、実行者サーバへ送信する手段を含む、請求項4から7のいずれか1項記載の監査人サーバ。
【請求項9】 個人クライアントとブローカサーバの間の通信を仲介する手段が、前記個人クライアントから前記ブローカサーバへの通信、前記ブローカサーバから前記個人クライアントへの通信を、それぞれ転送する手段を含む、請求項4から8のいずれか1項記載の監査人サーバ。
【請求項10】 監査人サーバ、個人クライアント、ブローカサーバからの交渉の通知の整合性を確かめ、交渉データベースを作成する手段と、前記ブローカサーバから個人クライアントへのサービスの提供を仲介する手段を有する実行者サーバ。
【請求項11】 監査人サーバ、個人クライアント、ブローカサーバからの交渉の通知の整合性を確かめ、交渉データベースを作成する手段が、前記監査人サーバ、前記ブローカサーバ、前記個人サーバからそれぞれ交渉結果の通知を受け、3つがそろったその整合性を確かめ、整合性がとれていれば交渉結果を交渉データベースに記録する手段を含み、前記ブローカサーバから個人クライアントへのサービスの提供を仲介する手段が、前記ブローカサーバから、個人クライアントへのサービス提供の要求を受信し、前記交渉データベースの記録をもとに仮IDをIDに付け替え、前記ブローカサーバから前記個人クライアントへのサービスを転送する手段を含む、請求項10記載の実行者サーバ。
【請求項12】 監査人サーバへポリシを登録する手段と、監査人サーバから交渉の要求を受け、または、個人クライアント自身が提供の意思を示すことにより、交渉エージェントを送信する手段と、交渉結果を前記監査人サーバと実行者サーバと共有する手段と、ブローカサーバから要求されたコンテンツを該ブローカサーバに提供、あるいは、ゼロ知識証明を利用して、個人クライアントは要求されたコンテンツを持っているか否かということのみ示す手段と、前記実行者サーバからサービスを受信する手段を有する個人クライアント。
【請求項13】 前記監査人サーバへポリシを登録する手段が、前記監査人サーバからポリシ登録の要求を受信する手段と、前記監査人サーバへポリシを送信する手段を含む、請求項12記載の個人クライアント。
【請求項14】 前記監査人サーバから交渉の要求を受け、または個人クライアント自身が提供の意思を示すことにより、交渉エージェントを送信する手段が、前記監査人サーバから交渉の要求を受信する手段と、交渉に応じる場合は、交渉エージェントを送信する手段を含む、請求項12または13記載の個人クライアント。
【請求項15】 前記監査人サーバから交渉の要求を受け、または個人クライアント自身が提供の意思を示すことにより、交渉エージェントを送信する手段が、個人クライアントが、交渉を希望する前記ブローカサーバ名を前記監査人サーバへ送信する手段と、前記監査人サーバへ交渉エージェントを送信する手段を含む、請求項12または13記載の個人クライアント。
【請求項16】 交渉結果を前記監査人サーバと前記実行者サーバと共有する手段が、前記監査人サーバから交渉結果を受信する手段と、交渉結果を交渉データベースへ記録する手段と、交渉結果を前記実行者サーバへ送信する手段を含む、請求項12から15のいずれか1項記載の個人クライアント。
【請求項17】 前記ブローカサーバから要求されたコンテンツを該ブローカサーバに提供、あるいは、ゼロ知識証明を利用して、個人クライアントは要求されたコンテンツを持っているか否かということのみ示す手段が、要求されたコンテンツを当該ブローカサーバの公開鍵で暗号化し、監査人サーバへ送信する手段を含む、請求項12から16のいずれか1項記載の個人クライアント。
【請求項18】 前記ブローカサーバから要求されたコンテンツを該ブローカサーバに提供、あるいは、ゼロ知識証明を利用して、個人クライアントは要求されたコンテンツを持っているか否かということのみ示す手段が、ビット委託法によりビット委託鍵を生成し、要求されたコンテンツよりビット委託を生成する手段と、共通鍵暗号方式の秘密鍵を生成する手段と、前記ビット委託と前記秘密鍵を当該ブローカサーバの公開鍵で暗号化し、前記監査人サーバへ送信する手段と、前記監査人サーバから暗号化されたブローカサーバの希望するコンテンツを受信し、前記共通秘密鍵で復号する手段と、当該ブローカサーバへ送信してある前記ビット委託を開けるならば、前記ビット委託鍵を、開けないのならばその旨を、前記ブローカサーバの公開鍵で暗号化し、監査人サーバへ送信する手段を含む、請求項12から16のいずれか1項記載の個人クライアント。
【請求項19】 実行者サーバからサービスを受信する手段が、実行者サーバから契約番号とサービスを受信し、交渉データベースに該当する記録があれば、そのサービスを受信する手段を含む、請求項12から18のいずれか1項記載の個人クライアント。
【請求項20】 交渉する候補である個人の仮IDを受信し、交渉データベースに記録する手段と、交渉を希望する相手を決定し、希望する交渉相手の仮IDと、ブローカサーバの交渉エージェントを監査人サーバに送信する手段と、前記監査人サーバから交渉結果を受信し、前記交渉データベースに記録すると共に、実行者サーバへ結果を送信する手段と、個人クライアントから希望するコンテンツを受信する手段、あるいは、ゼロ知識証明を利用して、前記個人クライアントが要求したコンテンツを持っているか否かということのみ知る手段と、前記実行者サーバに仮IDと共にサービスを送信する手段を有するブローカサーバ。
【請求項21】 交渉する候補である個人の仮IDを受信し、交渉データベースに記録する手段が、ブローカサーバが希望するポリシを持つ者であるポリシ適合者のリストを監査人サーバへ要求し、そのポリシ適合者の仮IDのリストを監査人サーバから受信し、交渉データベースに記録する手段を含む、請求項20記載のブローカサーバ。
【請求項22】 交渉する候補である個人の仮IDを受信し、交渉データベースに記録する手段が、監査人サーバから、直接当該ブローカサーバにアクセスの要求があり、アクセス要求者の仮IDを受信し、交渉データベースに記録する手段を含む、請求項20記載のブローカサーバ。
【請求項23】 前記個人クライアントから希望するコンテンツを受信する手段、あるいは、ゼロ知識証明を利用して、前記個人クライアントが要求したコンテンツを持っているか否かということのみ知る手段が、前記監査人サーバから当該ブローカサーバの公開鍵で暗号化された、前記仮IDに対応する個人が作成したビット委託と共通秘密鍵を受信し、復号し、当該ブローカサーバの希望するコンテンツを前記共通秘密鍵で暗号化し、前記監査人サーバへ送信し、前記監査人サーバから、前記仮IDに対応する個人クライアントによって、前記ブローカサーバの公開鍵で暗号化された、ビット委託鍵を含む、または含まないメッセージを受信し、復号する手段を含む、請求項20または21記載のブローカサーバ。
【請求項24】 前記個人クライアントから希望するコンテンツを受信する手段、あるいは、ゼロ知識証明を利用して、前記個人クライアントが要求したコンテンツを持っているか否かいうことのみ知る手段が、前記監査人サーバから当該ブローカサーバの公開鍵で暗号化されたコンテンツを受信し、対応する秘密鍵で復号する手段を含む、請求項20または22記載のブローカサーバ。
【請求項25】 前記実行者サーバに仮IDと共にサービスを送信する手段が、前記共通秘密鍵でサービスを暗号化し、仮IDと共に前記実行者サーバへ送信する手段を含む、請求項23記載のブローカサーバ。
【請求項26】 個人クライアントのポリシよりポリシデータベースを作成する処理と、個人クライアントを特定する情報である個人IDと、一時的な特定情報である仮IDの対応を記録する処理と、個人クライアント自身からの仮IDの提供要求により、あるいは、ポリシデータベースよりポリシ適合者の仮IDの抽出により、その仮IDをブローカサーバへ提供する処理と、ブローカ交渉エージェントと、個人交渉エージェントに中立な交渉の機会を提供し、交渉の結果を記録、関係者に通知する処理と、個人クライアントとブローカサーバの間の通信を仲介する処理をコンピュータに実行させるための監査人サーバプログラムを記録した記録媒体。
【請求項27】 監査人サーバ、個人クライアント、ブローカサーバからの交渉の通知の整合性を確かめ、交渉データベースを作成する処理と、前記ブローカサーバから個人クライアントへのサービスの提供を仲介する処理をコンピュータに実行させるための実行者サーバプログラムを記録した記録媒体。
【請求項28】 監査人サーバへポリシを登録する処理と、監査人サーバからの交渉の要求を受け、または、個人クライアント自身が提供の意思を示すことにより、交渉エージェントを送信する処理と、交渉結果を前記監査人サーバと実行者サーバと共有する処理と、ブローカサーバから要求されたコンテンツを該ブローカサーバに提供、あるいは、ゼロ知識証明を利用して、個人クライアントは要求されたコンテンツを持っているか否かということのみ示す処理と、前記実行者サーバからサービスを受信する処理をコンピュータに実行させるための個人クライアントプログラムを記録した記録媒体。
【請求項29】 認証局より認証を受ける処理と、監査人サーバへポリシを登録する処理と、前記監査人サーバから交渉の要求を受け、または個人クライアント自身が交渉の意志を示すことにより、監査人サーバへ交渉エージェントを送信する処理と、前記監査人サーバから交渉結果を受信し、交渉データベースに記録するとともに、実行者サーバに送信する処理と、要求されたコンテンツをブローカサーバの公開鍵で暗号化し、監査人サーバへ送信し、あるいは拡張ビット委託法によりビット委託鍵を生成し、要求されたコンテンツよりビット委託を生成し、共通秘密鍵を生成し、前記ビット委託と前記共通秘密鍵と契約番号を前記ブローカサーバの公開鍵で暗号化し、前記監査人サーバへ送信する処理と、前記監査人サーバから暗号化された、ブローカサーバの希望するコンテンツを受信し、前記共通秘密鍵で復号し、前記ビット委託を開けるならばビット委託鍵を、ビット委託を開けないならばその旨を前記ブローカサーバの公開鍵で暗号化し、前記監査人サーバへ送信する処理と、実行者サーバから契約番号とサービスを受信し、交渉データベースに該当するものがあれば受信する処理をコンピュータに実行させるための個人クライアントプログラムを記録した記録媒体。
【請求項30】 交渉する候補である個人の仮IDを受信し、交渉データベースに記録する処理と、交渉を希望する相手を決定し、希望する交渉相手の仮IDと、ブローカサーバの交渉エージェントを監査人サーバに送信する処理と、前記監査人サーバから交渉結果を受信し、前記交渉データベースに記録すると共に、実行者サーバへ結果を送信する処理と、前記個人クライアントから希望するコンテンツを受信する処理、あるいは、ゼロ知識証明を利用して、前記個人クライアントが要求したコンテンツを持っているか否かということのみ知る処理と、前記実行者サーバに仮IDと共にサービスを送信する処理をコンピュータに実行させるためのブローカサーバプログラムを記録した記録媒体。
【請求項31】 ブローカサーバが希望するポリシを持つ者であるポリシ適合者のリストを前記監査人サーバへ要求し、そのポリシ適合者の仮IDのリストを監査人サーバから受信し、交渉データベースに記録する処理、あるいは、監査人サーバから、直接当該ブローカサーバにアクセスの要求があり、アクセス要求者の仮IDを受信し、交渉データベースに記録する処理と、交渉を希望する相手を決定し、希望する交渉相手の仮IDと、ブローカサーバの交渉エージェントを前記監査人サーバに送信する処理と、前記監査人サーバから交渉結果を受信し、前記交渉データベースに記録すると共に、実行者サーバへ結果を送信する処理と、前記監査人サーバから当該ブローカサーバの公開鍵で暗号化された、前記仮IDに対応する個人クライアントが作成したビット委託と共通秘密鍵を受信し、復号し、当該ブローカサーバの希望するコンテンツを前記共通秘密鍵で暗号化し、前記監査人サーバへ送信し、前記監査人サーバから、前記仮IDに対応する個人によって、前記ブローカサーバの公開鍵で暗号化された、ビット委託鍵を含む、または含まないメッセージを受信し、復号する処理、あるいは、前記監査人サーバから当該ブローカサーバの公開鍵で暗号化されたコンテンツを受信し、対応する秘密鍵で復号する処理と、前記実行者サーバに仮IDと共にサービスを送信する処理、あるいは、前記共通秘密鍵でサービスを暗号化し、仮IDと共に前記実行者サーバへ送信する処理をコンピュータに実行させるためのブローカサーバプログラムを記録した記録媒体。
|
【発明の詳細な説明】【0001】
【発明の属する技術分野】本発明は、個人の個人情報を利用したサービス提供方法およびシステムに関する。
【0002】
【従来の技術】従来のサービス提供システムは、例えばホームページに個人情報利用方針が提示され、それを受け入れる旨を表明すると、個人情報が個人のPCから相手のサーバへ送信される。その際、送信される個人情報は、個人を特定できる情報である名称、住所等と、個人に関する情報、例えば嗜好性、行動履歴等である。
【0003】図21に個人情報のモデルを示す。個人情報を「プロファイル」として、■個人の特定情報(アドレス)と■個人の情報の中身(コンテンツ)に分けられる。
【0004】従来の個人情報を利用したサービスの概念図を図22に示す。
【0005】個人クライアント61は、個人特定情報(アドレス)A1と情報の中身(コンテンツ)A2からなるプロファイルを保持している。サービスを希望する個人は、仲介サーバ62へプロファイル64を送信する。一方、サービス提供者クライアント63から仲介サーバ62へ、サービスを提供したい相手の条件と、場合によってはサービスそのもの65を送信する。仲介サーバ62において、両者のマッチングを行い、サービス66を個人クライアント61に提供する。
【0006】図22に示す従来のサービスにおいては、仲介サーバ62が個人のプロファイルを構成する、個人特定情報A1と情報の中身A2の両方を持つ。
【0007】また、現在検討されている個人情報利用方式技術のP3P規格は、ウェブサイトに対する個人の信用度に応じて、個人が個人情報提供の可否を決めることができるような方式である。この方式に従ったウェブサイトは、あらかじめ所定の書式でプライバシー保護のポリシーを記述、保持しており、ユーザがサイトを訪れた際にそのプライバシーポリシーを提示、ユーザがその条件を受け入れれば、ユーザの個人情報がサイトに提供される、というものである。
【0008】
【発明が解決しようとする課題】このような従来の方式は以下のような問題がある。
【0009】1. サービス提供者が、個人の特定情報(名前、住所、メールアドレス等)と個人の情報の中身(嗜好性、行動歴、購買歴等)双方取得することができるため、取得した個人情報を個人本人の意思に反した用途に使うことを技術的に防止できない。
【0010】2. サービス提供者は、保有する個人情報の取り扱いについて、多大な労力を払わなければならない。例えば、保有する個人情報の内容の保護、最新化、個人本人からの求めによる適正化、等である。つまり、一度提供した個人情報の取り扱いに関しては、相手側が利用方針を遵守することを期待する他なく、現実問題として個人が意図していない利用のされ方がなされる恐れがある。事実、そのような懸念から個人が自らの個人情報の提供を拒み、本来、個人情報利用によってもたらされる効率性や利便性が実現していない。
【0011】本発明の目的は、個人のプライバシーを保護しつつ、個人情報を利用したサービスの提供を行うサービス提供方法、システム、およびサービス提供プログラムを記録した記録媒体を提供することにある。
【0012】
【課題を解決するための手段】本発明では、まず、個人の情報を、個人の特定する特定情報と、情報の中身であるコンテンツ情報に分離する。そしてシステム上、個人クライアントとサービス提供者の間に監査人サーバとブローカサーバと実行者サーバが介在する。監査人サーバは、個人の特定情報のみを知ることが可能なサーバで、個人クライアントとブローカサーバとの交渉を仲介する。その際に、個人の特定情報を仮特定情報に変換してブローカサーバに渡すことで、ブローカサーバ側での個人特定を不可能にする。ブローカサーバは個人クライアントのコンテンツ情報のみを知ることが可能なサーバで、マーケティングを行ってサービス提供者から依頼されたサービスとそれに適合するコンテンツ情報(仮特定情報)とを結びつける。実行者サーバは個人の特定情報のみを知ることが可能なサーバで、ブローカサーバから送られてきた仮特定情報を個人の特定情報に変換して、該当する個人へのサービス提供を実行する。
【0013】したがって、サービス提供者は、個人の特定情報と個人の情報の中身の双方を取得することができないため、個人情報を個人本人の意志に反した用途に使うことができない。また、サービス提供者は、サービス提供の際に個人本人から個人情報を提供されねばならず、個人情報を保有しないので、個人情報に関して払わねばならない前記した労力が軽減される。
【0014】
【発明の実施の形態】次に、本発明の実施の形態について図面を参照して説明する。
【0015】図1は本発明の一実施形態のサービス提供システムの構成図である。本システムは、個人特定情報(アドレス)B1と情報の中身(コンテンツ)B2からなるプロファイルを保持する個人クライアント11と、コンテンツB2のみを知ることが可能で、それをもとにサービス提供者16から依頼されたサービスを最適な個人クライアントへ送信するブローカサーバ12と、アドレスB1のみ知ることが可能で、個人クライアント11とブローカサーバ12の交渉を仲介する監査人サーバ13と、アドレスB1のみ知ることが可能で、サービスの提供と決済を行う実行者サーバ14と、認定局サーバ15で構成されている。
【0016】監査人サーバ13と実行者サーバ14はアドレスB1のみ知ることが可能で、アドレスB1を一時的なアドレスへ変換する。ブローカサーバ12は監査人サーバ13から一時的なアドレスを受け取り、コンテンツB2をもとにマーケティングを行い、サービスとサービス条件によって情報使用料を、そして一時的なアドレスを実行者サーバ14に渡す。実行者サーバ14は一時的なアドレスを元のアドレスに変換し、サービスと条件によっては情報利用料を個人クライアント11へ渡す。このように、本システムでは、個人クライアント11のみが個人特定情報(アドレス)B1と情報の中身(コンテンツ)B2を同時に知ることが可能であり、監査人サーバ13と実行者サーバ14は利用した暗号のコンテンツB2を知ることができず、ブローカサーバ12も同様にアドレスB1を知ることができない。ここに、個人情報の一回限りの利用方式が実現され、個人クライアント11はあらゆる場合において、自分の情報の利用のされ方を制御することが可能になる。
【0017】図2に示すように、監査人サーバ13はデータ受信部21と、データ送信部22と、個人のアドレスを変換するID変換部23と、アドレスDB24と、希望のポリシを検索するポリシ選択部25と、集めた個人ポリシを保存しておくポリシDB26と、交渉の場を提供する交渉部27と、交渉の結果が記録される交渉DB28と、データの暗号化、署名、認証を行う暗号化・署名・認証部29を有する。
【0018】図3に示すように、実行者サーバ14はデータ受信部31と、データ送信部32と、交渉の結果が記録される交渉DB33と、データの暗号化、署名、認証を行う暗号化・署名・認証部34を有する。
【0019】図4に示すように、個人クライアント11はデータ受信部41と、データ送信部42と、交渉の結果が記録される交渉DB43と、個人情報が記録される個人情報DB44と、データの暗号化、署名、認証を行う暗号化・署名・認証部45を有する。
【0020】図5に示すように、ブローカサーバ15はデータ受信部51と、データ送信部52と、交渉の結果が記録される交渉DB53と、データの暗号化、署名、認証を行う暗号化・署名・認証部54を有する。
【0021】第1の実施状態次に、本システムのシーケンス図を図6〜図10に示す。
【0022】本システムにおいての暗号化、署名は断りのない限り公開鍵暗号方式を用いて行う。図6から図10において、En#A( )はカッコ内をAの秘密鍵で暗号化することを、Sig#A( )はカッコ内をAの秘密鍵で電子署名することを示す。また、n番目の個人の略号をP#n、認証局サーバ15をCA、監査人サーバ13をSu、実行者サーバ14をEx、n番目のブローカサーバ12をBr#n、広告主16をCo、とそれぞれする。また、構成員の間の矢印はメッセージの向きとする。
【0023】図6において、認証局サーバ15によって構成員全ての認証を行い、公開鍵暗号方式における公開鍵と秘密鍵を生成する。
【0024】A:監査人サーバ13が個人クライアント11を巡回して、各々のカテゴリーの情報について公開方針が示されているポリシを集める(ステップ101)。それをもとに、n番目の個人クライアントに対応する番号Pn#IDと、その個人のポリシを監査人サーバ13のポリシデータベース26に記憶する(ステップ102)。一方、広告主からマーケティング調査の依頼(ステップ103)を受けたブローカサーバ12は、マーケティング計画をたて、必要な情報があるカテゴリーを決める(ステップ104)。
【0025】B:ブローカサーバ12は、必要としているカテゴリーを公開する意志のあるポリシを持っている個人クライアント11を監査人サーバ13へ要求する(ステップ105)。ブローカサーバ12から要求を受けた監査人サーバ13は、自データベース26から適合するポリシを持つ個人を検索する(ステップ106)。IDを変換(仮IDを生成)した後、仮IDをポリシのリストと契約番号とともにブローカサーバ12に返送する(ステップ107)とともに、自データベース26に記録する(ステップ108)。
【0026】図7において、C:ブローカサーバ12は交渉したい個人クライアント11の、変換後のID(仮ID)と、契約番号と、交渉するエージェントを監査人サーバ13へ送る(ステップ111)。
【0027】監査人サーバ13は要求のあった個人クライアント11を交渉へ呼び出す(ステップ112)。個人クライアント11は監査人サーバ13へIDと交渉エージェントを送る(ステップ113)。個人クライアント11から送信された前記交渉エージェントとブローカサーバ12から送信された前記交渉エージェントが交渉を行い、価格を決定する(ステップ114)。この交渉で価格を二つ決める。「ブローカサーバ12の求めるコンテンツを持っている人に払う金額」と「そうでない人に払う金額」の2種類。
【0028】D:まとまった交渉について、監査人サーバ13は、契約番号、価格を個人クライアント11とブローカサーバ12へ送信する(ステップ115、116)。交渉の結果(交渉成立者のID、仮ID、価格、契約番号)を監査人サーバ13は実行者サーバ14へ送信する(ステップ117)。ブローカサーバ12から実行者サーバ14へ、交渉成立者の仮IDと価格と契約番号を送信する(ステップ118)。個人クライアント11は実行者サーバ14へ、契約番号と価格とブローカ名を送信する(ステップ119)。実行者サーバ14は監査人サーバ13、ブローカサーバ12、個人クライアント11から送られた内容を照合し、内容が一致していたならば自データベース33に記録する(ステップ120)。
【0029】図8において、E:個人クライアント11は、ブローカサーバ12へ送信すべきコンテンツからビット委託法によってビット委託を生成し、また、ブローカサーバ12からの返送に使う、共有鍵暗号方式の秘密鍵である「Temp#Key」を生成し、両者を契約番号とともにブローカサーバ12の公開鍵で暗号化し、契約番号とともに監査人サーバ13へ送信する(ステップ121)。監査人サーバ13はIDを変換した後(ステップ122)、ブローカサーバ12へ送信する(ステップ123)。
【0030】F:ブローカサーバ12は、希望するカテゴリのコンテンツと、契約番号を共有鍵暗号方式の秘密鍵「Temp#Key」で暗号化し、監査人サーバ13へ送信する(ステップ124)。監査人サーバ13はIDを変換した後、希望コンテンツを個人クライアント11へ送信する(ステップ125)。
【0031】図9において、G:個人クライアント11は秘密鍵「Temp#Key」でコンテンツと契約番号を復号しブローカサーバ12の希望するコンテンツを読み、自分のコンテンツと一致していればビット委託法の鍵を、一致していなければ、その旨を契約番号とともにブローカサーバ12の公開鍵で暗号化した後、契約番号とともに監査人サーバ13へ送信する(ステップ131)。監査人サーバ13はIDを変換した後、IDをブローカサーバ12へ送信する(ステップ132)。ブローカサーバ12は、送られたビット委託を開けて、希望していたものと内容があっているか確認する(ステップ133)。
【0032】これにより、個人を特定できない方法でコンテンツがブローカサーバ12に渡り、監査人サーバ13はコンテンツを知ることは暗号強度と同程度に困難となる。
【0033】図10において、H:ブローカサーバ12は広告を送信したい個人クライアント11と、契約番号と、広告を実行者サーバ14へ送信する(ステップ141)。実行者サーバ14はIDの変換後広告を個人クライアント11へ送信する(ステップ142)。場合によっては、「Temp#Key」で広告を暗号化することもある。また、ブローカサーバ12からの情報料を個人の口座等へ振り込む。実行者サーバ14は存在した契約が全て履行されることを確認することにより、監査人サーバ13が偽者の個人を作ることによる、実在の個人のコンテンツの推定を防止する。
【0034】図11、図12は図6〜図10のシーケンス図における監査人サーバ13の処理を示すフローチャートである。
【0035】まず、認証局サーバ14より認証を受け、公開鍵を登録する(ステップ201)。個人クライアント11からポリシを受信する(ステップ202)。
【0036】暗号化・署名・認証部24で個人クライアントが既知の個人クライアントかどうか判定し(ステップ203)、既知の個人クライアントでなければ認証局サーバ15から個人の公開鍵を取得し(ステップ204)、個人を認証する(ステップ205)。次に、ポリシ選択部25でポリシDB26を検索し、受信したポリシは最新かどうか判定する(ステップ206)。最新でなければ、ポリシDB26を更新した後(ステップ207)、待機する(ステップ208)。
【0037】ブローカサーバ12からポリシ適合者のリクエストをデータ受信部21が受信する(ステップ211)。暗号化・署名・認証部29で該ブローカサーバ12が既知のブローカサーバかどうか判定し(ステップ212)、既知のブローカサーバ12でなければ、認証局サーバ15からブローカの公開鍵を取得した後(ステップ213)、ブローカを認証する(ステップ214)。次に、ポリシ選択部25がポリシDB26からポリシ適合者を抽出する(ステップ215)。次に、ID変換部23が、個人のIDを乱数等を使ってIDを仮IDに変換し、その対応をアドレスDB24に記録する(ステップ216)。次に、交渉部27が、交渉DB28に契約番号x、利用方法、個人番号(ID)、仮の個人番号(仮ID)を記録する(ステップ217)。次に、暗号化・署名・認証部24が仮ID、契約番号x、ポリシを監査人サーバ13の電子署名、ブローカサーバ12の公開鍵で暗号化し、ブローカサーバ12へ送信する(ステップ218)。
【0038】データ受信部21はブローカサーバ12から交渉相手のリクエストを受信する(ステップ220)。まず、ブローカサーバ12を認証し、交渉エージェントを受信する(ステップ221)。次に、交渉部27が契約番号x、仮IDを交渉DB28から検索する(ステップ222)。次に、データ送信部22を経て、当該個人IDの個人クライアント11への交渉を要求する(ステップ223)。個人クライアント11からの返信がくるまで一時待機する(ステップ224、225)。個人クライアント11を認証し、交渉エージェントを受信し(ステップ226)、次に、交渉部27は個人クライアント11とブローカサーバ12の価格の交渉を監査する(ステップ227)。ここで、価格は2種類定める。交渉は合意したかどうか判定し(ステップ229)、合意しないければ「交渉失敗」を個人クライアント11、ブローカサーバ12、実行者サーバ14へ送信する(ステップ228)。交渉が合意したならば、交渉部27は契約番号y、利用方法(コンテンツ情報をもとに直接、個人にアクセスすること、統計データとして使用)、ID、仮ID、価格、ブローカ名を交渉DB28に記録する(ステップ230)。
【0039】データ送信部22は、契約番号y、仮ID、価格をブローカサーバ12へ、契約番号、価格、ブローカ名、要求されたカテゴリを個人クライアント11、契約番号y、利用方法、ID、仮ID、価格、ブローカ名を実行者サーバ14へそれぞれ送信する(ステップ231)。
【0040】個人クライアント11から返信がくれば、暗号化・署名・認証部29で個人を認証し、交渉部27でIDから個人のクライアントの契約番号とブローカ名で交渉があったかどうか交渉DB28を検索し、ID変換部23でIDを仮IDに付け替えデータ送信部22よりブローカサーバ12へ送信する(ステップ241〜243)。
【0041】ブローカサーバ12からの返信が来た場合、ブローカサーバ12を暗号化・署名・認証部29で認証し、契約番号y、仮IDから交渉部27が交渉DB28を検索し、ID変換部23で仮IDをIDに付け替えデータ送信部22より個人クライアント11へ送信する(ステップ244〜246)。個人クライアント11から返信がくると、個人クライアント11を暗号化・署名・認証部29で認証し、契約番号y、仮IDから交渉部27によって交渉DB28を検索し、ID変換部23で仮IDを付け替え、ブローカサーバ12へ送信する(ステップ247〜249)。
【0042】図13は実行者サーバ14の処理を示すフローチャートである。
【0043】認証局サーバ14より認証を受け、公開鍵を登録する(ステップ251)。監査人サーバ13、個人クライアント11、ブローカサーバ12からの交渉記録を待ち、3つそろったら暗号化・署名部34はその整合性を確かめる(ステップ252〜254)。整合性があれば交渉DB33にそれらを記録し、ブローカサーバ12からの送信を待機する(ステップ255)。整合性がなければ、監査人サーバ13、個人クライアント11、ブローカサーバ12へ交渉の無効を通知する(ステップ256)。
【0044】ブローカサーバ12からの着信があると、暗号化・署名部34でブローカサーバ12を認証(ステップ262)、契約番号y、仮IDより交渉DB33を検索する(ステップ263)。交渉記録があれば、仮IDをIDに付け替え、契約番号、広告を個人クライアント11へ送信する(ステップ264)。
【0045】図14は個人クライアント11の処理を示すフローチャートである。
【0046】認証局サーバ15より認証を受け、公開鍵を登録する(ステップ271)。
【0047】監査人サーバ13へポリシを登録する(ステップ272)。
【0048】監査人サーバ13から個人のIDと交渉代理人のリクエストを受けるかどうか判断する(ステップ273)。受けなければ、監査人サーバ13へ無効を通知する(ステップ274)。リクエストを受けるならば、監査人サーバ13へ個人のIDと交渉代理人を送信する(ステップ275)。
【0049】次に、監査人サーバ13から交渉の結果(契約番号と価格と要求カテゴリ、ブローカ名)を受信するかどうか判定する(ステップ276)。受信しなければ、監査人サーバ13へ無効を通知する(ステップ277)。受信を受け入れるならば、交渉DB43に契約番号、価格、カテゴリ、ブローカ名を記録する(ステップ278)。実行者サーバ14に契約番号y、価格、ブローカ名を送信する(ステップ279)。
【0050】ビット委託に使用する鍵を生成、要求されたカテゴリのコンテンツからビット委託法によってビット委託を生成、ブローカサーバ12に渡す一時的な共有秘密鍵「Temp#Key」を生成、ビット委託、「Temp#Key」、契約番号yをブローカサーバ12の公開鍵で暗号化、契約番号とともに監査人サーバ13へ送信する(ステップ280)。これらを交渉DB43に記録し、実行者サーバ14からの送信を待つ(ステップ281)。実行者サーバ14から契約番号yとブローカサーバ12からの返信を受信、交渉DB43に契約番号yに該当する契約があるかどうか判定する(ステップ282)。なければ、破棄する(ステップ283)。あれば、ブローカサーバ12からの返信(契約番号y、共有秘密鍵で暗号化された希望コンテンツ)を復号する(ステップ284)。ブローカサーバ12の希望するコンテンツが自分のコンテンツと同じであれば、ビット委託の鍵と契約番号yをブローカサーバ12の公開鍵で暗号化、契約番号yとともに監査人サーバ13へ送信するとともに交渉DB43に記録する(ステップ285、286)。ブローカサーバ12の希望するコンテンツが自分のコンテンツと同じでなければ、「希望コンテンツと異なる」ということと契約番号yをブローカサーバ12の公開鍵で暗号化し、契約番号yとともに監査人サーバ13に送信するとともに交渉DB43に記録する(ステップ287)。
【0051】実行者サーバ14から契約番号yとサービスを受信、交渉DB43に契約番号yに該当する契約があるかどうか判定し(ステップ288)、あれば受信し、交渉DB43に記録し(ステップ290)、なければ破棄する(ステップ289)。
【0052】図15はブローカサーバ12の処理を示すフローチャートである。
【0053】認証局サーバ15より認証を受け、公開鍵を登録する(ステップ291)。
【0054】ブローカサーバ12は必要とする情報カテゴリを利用させてもらえるポリシを持っている個人クライアントのリストを監査人サーバ13に要求する(ステップ292)。監査人サーバ13からポリシの適合者のリストとポリシと契約番号xを受信し(ステップ293)、交渉DB53に記録する(ステップ294)。
【0055】交渉を希望しないのであれば、監査人サーバ13に無効を通知する(ステップ295、296)。交渉を希望するのであれば、監査人サーバ13へ、交渉したり相手のリスト、契約番号x、交渉エージェントを送信する。
【0056】監査人サーバ13から交渉の結果を受信するかどうか判定する(ステップ298)。受信するのであれば交渉DB53に契約番号y、価格、カテゴリ、仮IDを記録する(ステップ300)。実行者サーバ14に契約番号y、価格、仮IDを送信する(ステップ301)。
【0057】監査人サーバ13から契約番号yと仮IDの返信を受信し、交渉DB53に契約番号yに該当する契約があるかどうか判定する(ステップ302)、なければ破棄する(ステップ303)。あれば、監査人サーバ13から暗号化されたビット委託と一時的な共有秘密鍵「Temp#Key」、契約番号yを取得し、交渉DB53に記録する(ステップ304)。ブローカサーバ12の希望するコンテンツを共有秘密鍵「Temp#Key」で暗号化し、仮IDと契約番号yとともに監査人サーバ13へ送信し、交渉DB53に記録する(ステップ305)。監査人サーバ13から契約番号yと仮IDの返信を受信し、交渉DB53に契約番号yに該当する契約があるかどうか判定する(ステップ306)。なければ破棄する(ステップ307)、あればビット委託の鍵であるビット委託キーと契約番号yを取得し、交渉DB53に記録する(ステップ308)。ビット委託を開ける(復号する)(ステップ309)。
【0058】個人クライアント11へのアクセスを希望するのであれば、実行者サーバ14へアクセスしたい仮ID、契約番号y、サービス(広告)を送信する(ステップ310、311)。
【0059】第2の実施状態図16、図17は本システムを電子商店システムとして実現した場合のシーケンス図である。
【0060】本実施形態ではブローカサーバ12を電子商店12におきかえる。ここで、図16、図17中、A、C、D、Hは図6〜図10中の同符号のものと全く同じ内容であるので説明は省略する。
【0061】認証局サーバ15によって構成員全ての認証を行い、公開鍵暗号方式における公開鍵と秘密鍵を生成する。
【0062】個人クライアント11は個人のID、ポリシ、アクセスしたい電子商店名を監査人サーバ13へ送信する(ステップ151)。監査人サーバ13はIDを変換した後、変換後のIDと契約番号とポリシを電子商店12へ送信する(ステップ152)。
【0063】個人クライアント11は送信すべきコンテンツと契約番号を電子商店12の公開鍵で暗号化し、監査人サーバ13へ送信する(ステップ161)。監査人サーバ13はIDを変換後、電子商店12へ送信する(ステップ162)。
【0064】図18は監査人サーバ13の処理を示すフローチャートである。A、C、Dは図11、図12中に示したものと同じであるので説明は省略する。
【0065】認証局サーバ15より認証を受け、公開鍵を登録する(ステップ320)。
【0066】個人クライアント11からブローカサーバ12へのアクセスのリクエストを受信する(ステップ321)。乱数等により仮の個人番号(ID)を生成し、アドレスDB24を更新する(IDと仮IDの対応を記録する)(ステップ322)。交渉DB28に契約番号x、利用手法(電子商店12へのアクセス)、個人番号(ID)、仮の個人番号(仮ID)を交渉DB28に記録する(ステップ323)。仮ID、契約番号x、ポリシを監査人サーバ13の電子署名、電子商店12の公開鍵で暗号化し、電子商店12へ送信する(ステップ324)。
【0067】個人クライアント11からの返信がくるまで一定時間待機する(ステップ331、332)。返信がくると、個人クライアント11を認証し、契約番号y、IDから交渉DB28を検索し、IDを仮IDに付け替え、電子商店12に送信する(ステップ333)。
【0068】実行者サーバ14の処理は図13に示したものと同じである。
【0069】図19は個人クライアント11の処理を示すフローチャートである。A、C、DHの内容は図14中のA、C、D、Hの内容と同じであるので、説明を省略する。
【0070】認証局サーバ15より認証を受け、公開鍵を登録する(ステップ340)。監査人サーバ13へID、アクセス先、ポリシを送信する(ステップ341)。要求されたカテゴリのコンテンツを契約番号yとともに電子商店12の公開鍵で暗号化し(ステップ351)、監査人サーバ13に契約番号y、ID、暗号化コンテンツを送信する(ステップ352)。
【0071】図20は電子商店12の処理を示すフローチャートである。図中A、C、D、Hの処理は図15中のA、C、D、Hの処理と同じであるので、説明は省略する。
【0072】認証局サーバ15より認証を受け、公開鍵を登録する(ステップ60)。監査人サーバ13から、仮ID、ポリシと、契約番号xを受信する(ステップ361)。監査人サーバ13から契約番号yと仮IDと暗号化コンテンツを受信し、交渉DB53に契約番号yに該当する契約があるかどうか判定する(ステップ371)。あればコンテンツを復号し、交渉DB53に記録する(ステップ373)。なければ、受信したコンテンツ等を破棄する。
【0073】なお、図11と図12、図13、図14、図15、図18、図19、図20の各処理はフロッピィ・ディスク、CD−ROM、光磁気ディスク等の記録媒体にプログラムとして格納し、パソコン等のコンピュータ上で実施することができる。
【0074】
【発明の効果】以上説明したように、本発明は、個人情報を完全な形で持てるのは個人本人のみという状況を作り出すことにより、個人のプライバシーを保護しつつ個人情報を利用したサービスの提供を行うことができる。
|
| 【出願人】 |
【識別番号】000004226
【氏名又は名称】日本電信電話株式会社
|
| 【出願日】 |
平成12年10月27日(2000.10.27) |
| 【代理人】 |
【識別番号】100088328
【弁理士】
【氏名又は名称】金田 暢之 (外1名)
|
| 【公開番号】 |
特開2002−132721(P2002−132721A) |
| 【公開日】 |
平成14年5月10日(2002.5.10) |
| 【出願番号】 |
特願2000−328710(P2000−328710) |
|