[go: up one dir, main page]

JP4253167B2 - 個人情報アクセス制御方法、端末、システム、並びに、プログラム - Google Patents

個人情報アクセス制御方法、端末、システム、並びに、プログラム Download PDF

Info

Publication number
JP4253167B2
JP4253167B2 JP2002190688A JP2002190688A JP4253167B2 JP 4253167 B2 JP4253167 B2 JP 4253167B2 JP 2002190688 A JP2002190688 A JP 2002190688A JP 2002190688 A JP2002190688 A JP 2002190688A JP 4253167 B2 JP4253167 B2 JP 4253167B2
Authority
JP
Japan
Prior art keywords
information
user
access
terminal
public
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2002190688A
Other languages
English (en)
Other versions
JP2004038270A (ja
Inventor
智則 田中
知之 杉山
健一 森田
智子 畑
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2002190688A priority Critical patent/JP4253167B2/ja
Publication of JP2004038270A publication Critical patent/JP2004038270A/ja
Application granted granted Critical
Publication of JP4253167B2 publication Critical patent/JP4253167B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、情報アクセス制御技術に係り、特に、公開鍵基盤(PKI)を利用して個人情報へのアクセスを制御する方法、端末、システム、及び、プログラムに関する。
【0002】
【従来の技術】
コンピュータ技術、通信技術、並びに、ネットワーク技術の進展に伴って、多様な情報が多数の利用者からアクセスできるようになっている。たとえば、ある個人が開設したホームページは、インターネットのようなネットワークを介して、何時でも、どこからでもアクセスできるようになる。
【0003】
しかし、ある種の情報、特に、利用者の個人情報は、アクセス制御できることが望ましいと考えられる。このような個人情報の一例は、個人の医療情報である。
【0004】
医療現場では、従来の書類形式のカルテに付加的、或いは、代替的に電子カルテが導入され、普及し始めている。このような電子カルテの普及によって、電子的な医療情報を活用することが期待されている。医療行為における診療情報は、特に、勝手に他人に知られたくない個人情報であるので、医者と患者の同意の下、高いセキュリティを保ってデータの保存・アクセス・共有がなされるべきである。
【0005】
電子的な情報のセキュリティを保つためには、ユーザの本人認証が不可欠であり、従来技術においては、本人証明情報が記憶され、ユーザが携行するICカード或いはFDのような記憶媒体の挿抜や、ユーザによる識別情報(ID)/パスワード(PW)の入力が、個人情報へのアクセスを必要とする場面毎に、本人認証のために行われている。具体的には、たとえば、ICカードと、認証サーバとの間で、チャレンジ・レスポンス方式の認証が行われる。このように毎回認証を行うことによって、高いセキュリティが保証されるが、認証の都度、ユーザは、ICカードの挿抜等の煩雑な作業を負担し、ユーザの操作上の利便性が犠牲にされている。患者が受診時にICカードの挿抜を何度も繰り返すことは、煩雑であり現実的でない。
【0006】
また、近年では、2枚の非接触型ICカードをカードボックスに差し込み、2枚の非接触型ICカードの間で電子的な情報を共有するような方式も開発されている。このような方式では、診療現場で、患者の非接触型ICカードと医者の非接触型ICカードを用いることにより、医者と患者の同意の下、高いセキュリティを保ってデータの保存・アクセス・共有がなされ得る。
【0007】
【発明が解決しようとする課題】
しかし、従来技術において、高いセキュリティを保ったまま、本人以外の他者による本人の個人情報へのアクセスを実現するためには、まず、他者が本人の個人情報へアクセスしようとするときに、本人を認証し、本人性が確認された本人が他者による個人情報へのアクセスを承認しなければならない。他者が個人情報へアクセスするとき、毎回、このような本人認証及び本人による承認の手続を繰り返すことは、本人と他者の双方にとって煩雑な作業であり、少ない認証操作回数で、高セキュリティを保証して安全な認証・データ保存・アクセス・情報共有を実現することが困難である。
【0008】
したがって、本発明は、たとえば、患者がICカード等の本人証明情報の担体を用いて、病院窓口で各種手続を行い、或いは、診察室で受診した際に、最小限の認証操作で、高セキュリティ性を保証したまま、個人情報の保存・アクセス・共有を実現する、個人情報アクセス制御方法、端末、システム、並びに、プログラムの提供を目的とする。
【0009】
【課題を解決するための手段】
上記目的を達成するため、本発明は、ユーザ本人の本人性を保証する本人認証情報とユーザ本人の個人情報への他者のアクセスを承諾する本人承諾情報を表わす承認情報を生成し、承認情報を高セキュリティの下で一定期間保持する。そして、他者からユーザ本人の個人情報へのアクセスが要求された場合に、承認情報の有効期間内に、承認情報によって指定された端末からのユーザ本人の個人情報へのアクセスを許可する。
【0010】
図1は本発明の原理説明図である。
【0011】
本発明の第1の局面によれば、承認情報を生成・保持することにより個人情報へのアクセスを制御する個人情報アクセス制御方法が提供される。
【0012】
請求項1に係る個人情報アクセス制御方法は、
端末でユーザの本人証明情報を取り込み、本人証明情報と予め認証データベースに蓄積されている本人認証用情報とを用いてユーザの本人性を確認する本人認証手順(ステップ1)と、
ユーザの本人性が確認された場合に、上記端末で、ユーザを特定するユーザ識別情報、データベース内のユーザの個人情報へのアクセスが許可される端末を特定する端末識別情報、及び、ユーザの個人情報へのアクセス有効期限情報を含む公開承認情報を生成し、生成された公開承認情報をデータベースに格納するアクセス制限情報設定手順(ステップ2)と、
上記端末で、生成された公開承認情報をユーザに固有の秘密鍵で暗号化することによって暗号化承認情報を生成し、生成された暗号化承認情報、ユーザに固有の上記秘密鍵に対応した公開鍵、及び、ユーザ識別情報の組をデータベースに格納する本人確認情報設定手順(ステップ3)と、
を有し、
公開承認情報がユーザによって設定されたことが確認された場合に、公開情報のアクセス有効期限情報で指定された有効期限内で、公開承認情報の端末識別情報で指定された端末からユーザの個人情報へのアクセスが許可される。
【0013】
本発明の第2の局面によれば、生成・保持された承認情報に基づいて個人情報へのアクセスを制御する個人情報アクセス制御方法が提供される。
【0014】
請求項2に係る発明は、上記個人情報アクセス制御方法において、
ユーザの個人情報へのアクセスを要求する端末でユーザ識別情報を取り込むアクセス要求手順(ステップ4)と、
上記ユーザの個人情報へのアクセスを要求する端末で、上記取り込まれたユーザ識別情報に対応した公開承認情報、暗号化承認情報、及び、公開鍵を上記データベースから取得する手順(ステップ5)と、
上記ユーザの個人情報へのアクセスを要求する端末で、取得された暗号化承認情報を、取得された公開鍵を用いて復号化することにより復号化承認情報を生成する手順(ステップ6)と、
上記ユーザの個人情報へのアクセスを要求する端末で、取得された公開承認情報と生成された復号化承認情報が一致し、上記ユーザの個人情報へのアクセスを要求する端末が公開承認情報に含まれる端末識別情報で指定された端末に一致し、かつ、現在時間が公開承認情報に含まれるアクセス有効期限情報で指定された有効期限内である、アクセス許可条件が満たされているかどうかを判定するアクセス許可条件判定手順(ステップ7)と、
上記ユーザの個人情報へのアクセスを要求する端末で、上記アクセス許可条件が満たされていない場合に、上記データベース内のユーザの個人情報へのアクセスを禁止するアクセス制御手順(ステップ8)と、
を更に有する。
【0015】
上記目的を達成するため、本発明の第3の局面によれば、承認情報を生成・保持することにより個人情報へのアクセスを制御する個人情報アクセス制御端末が提供される。図2は、本発明の個人情報アクセス制御端末の構成図である。
【0016】
請求項5に係る発明によれば、個人情報アクセス制御端末1は、
ユーザの個人情報を格納するデータベース10と、
本人性が確認されたユーザを特定するユーザ識別情報を取得し、取得されたユーザ識別情報、上記データベース10内のユーザの個人情報へのアクセスが許可される端末を特定する端末識別情報、及び、ユーザの個人情報へのアクセス有効期限情報を含む公開承認情報を生成し、生成された公開承認情報を上記データベースに格納するアクセス制限情報設定手段20と、
上記アクセス制限情報設定手段20に接続され、生成された公開承認情報をユーザに固有の秘密鍵で暗号化することによって暗号化承認情報を生成し、生成された暗号化承認情報、ユーザに固有の上記秘密鍵に対応した公開鍵、及び、ユーザ識別情報の組を上記データベース10に格納する本人確認情報設定手段30と、
アクセス対象となるユーザの個人情報を指定するユーザ識別情報を取り込み、上記取り込まれたユーザ識別情報に対応した公開承認情報、暗号化承認情報、及び、公開鍵を上記データベース10から取得するアクセス要求手段40と、
取得された暗号化承認情報を、取得された公開鍵を用いて復号化することにより復号化承認情報を生成する復号化手段50と、
上記アクセス要求手段40及び上記復号化手段50に接続され、取得された公開承認情報と生成された復号化承認情報が一致する条件、当該個人情報アクセス制御端末が公開承認情報に含まれる端末識別情報で指定された端末に一致する条件、並びに、現在時間が公開承認情報に含まれるアクセス有効期限情報で指定された有効期限内である条件を含むアクセス許可条件が満たされているかどうかを判定するアクセス許可条件判定手段60と、
上記アクセス許可条件が満たされている場合に、上記データベース内のアクセス対象となるユーザの個人情報へのアクセスを許可し、上記アクセス許可条件が満たされていない場合に、上記データベース10内のユーザの個人情報へのアクセスを禁止するアクセス制御手段70と、
を有する。
【0017】
上記目的を達成するため、本発明の第4の局面によれば、承認情報を生成・保持することにより個人情報へのアクセスを制御する個人情報アクセス制御システムが提供される。図3は、本発明の個人情報アクセス制御システムの構成図である。
【0018】
請求項6に係る発明によれば、個人情報アクセス制御システムは、
少なくとも1台の端末2、3と、
上記少なくとも1台の端末の中で、ユーザの本人証明情報が取り込まれ、ユーザの本人認証のために利用される少なくとも1台の端末2にネットワーク4を介して接続され、本人証明情報と予め蓄積されている本人認証用情報とを用いて、上記本人認証のため利用される端末との間でユーザの本人性を確認する本人認証サーバ5と、
ユーザの個人情報を保持するデータベース10と、
を有し、
上記本人認証のため利用される少なくとも1台の端末2は、
本人性が確認されたユーザを特定するユーザ識別情報を取得し、取得されたユーザ識別情報、上記データベース10内のユーザの個人情報へのアクセスが許可される個人情報アクセス端末を特定する端末識別情報、及び、ユーザの個人情報へのアクセス有効期限情報を含む公開承認情報を生成し、生成された公開承認情報を上記データベース10に格納するアクセス制限情報設定手段20と、
上記アクセス制限情報設定手段20に接続され、生成された公開承認情報をユーザに固有の秘密鍵で暗号化することによって暗号化承認情報を生成し、生成された暗号化承認情報、ユーザに固有の上記秘密鍵に対応した公開鍵、及び、ユーザ識別情報の組を上記データベース10に格納する本人確認情報設定手段30と、
を具備し、
上記少なくとも1台の端末の中でユーザの個人情報へアクセスするための少なくとも1台の端末3は、
アクセス対象となるユーザの個人情報を指定するユーザ識別情報を取り込み、上記取り込まれたユーザ識別情報に対応した公開承認情報、暗号化承認情報、及び、公開鍵を上記データベース10から取得するアクセス要求手段40と、
取得された暗号化承認情報を、取得された公開鍵を用いて復号化することにより復号化承認情報を生成する復号化手段50と、
上記アクセス要求手段40及び上記復号化手段50に接続され、取得された公開承認情報と生成された復号化承認情報が一致する条件、当該端末が公開承認情報に含まれる端末識別情報で指定された個人情報アクセス端末に一致する条件、並びに、現在時間が公開承認情報に含まれるアクセス有効期限情報で指定された有効期限内である条件を含むアクセス許可条件が満たされているかどうかを判定するアクセス許可条件判定手段60と、
上記アクセス許可条件が満たされている場合に、上記データベース10内のアクセス対象となるユーザの個人情報へのアクセスを許可し、上記アクセス許可条件が満たされていない場合に、上記データベース10内のユーザの個人情報へのアクセスを禁止するアクセス制御手段70と、
を具備する。
【0019】
本発明の第4の局面によれば、本発明による個人情報アクセス制御方法及び/又は装置の機能をコンピュータに実現させるためのプログラムが提供される。
【0020】
請求項7に係る発明は、
ユーザの本人証明情報を取り込み、本人証明情報と予め認証データベースに蓄積されている本人認証用情報とを用いてユーザの本人性を確認する本人認証機能と、
ユーザの本人性が確認された場合に、ユーザを特定するユーザ識別情報、データベース内のユーザの個人情報へのアクセスが許可される端末を特定する端末識別情報、及び、ユーザの個人情報へのアクセス有効期限情報を含む公開承認情報を生成し、生成された公開承認情報をデータベースに格納するアクセス制限情報設定機能と、
生成された公開承認情報をユーザに固有の秘密鍵で暗号化することによって暗号化承認情報を生成し、生成された暗号化承認情報、ユーザに固有の上記秘密鍵に対応した公開鍵、及び、ユーザ識別情報の組をデータベースに格納する本人確認情報設定機能と、
公開承認情報がユーザによって設定されたことが確認された場合に、公開情報のアクセス有効期限情報で指定された有効期限内で、公開承認情報の端末識別情報で指定された端末からのユーザの個人情報へのアクセスを許可する機能と、
をコンピュータに実現させるための個人情報アクセス制御プログラムである。
【0021】
さらに、請求項8に係る発明は、
アクセス対象となるユーザの個人情報に対応するユーザ識別情報を取り込み、上記取り込まれたユーザ識別情報に対応した公開承認情報、暗号化承認情報、及び、公開鍵を上記データベースから取得するアクセス要求機能と、
取得された暗号化承認情報を、取得された公開鍵を用いて復号化することにより復号化承認情報を生成する機能と、
取得された公開承認情報と生成された復号化承認情報が一致し、上記端末が公開承認情報に含まれる端末識別情報で指定された端末に一致し、かつ、現在時間が公開承認情報に含まれるアクセス有効期限情報で指定された有効期限内である、アクセス許可条件が満たされているかどうかを判定するアクセス許可条件判定機能と、
上記アクセス許可条件が満たされていない場合に、上記データベース内のユーザの個人情報へのアクセスを制限する機能と、
をコンピュータに実現させる。
【0022】
さらに、請求項9に係る発明によれば、
上記暗号化承認情報を生成するため、公開承認情報をハッシュ化し、ハッシュ化された公開承認情報を暗号化する機能と、
取得された公開承認情報と生成された復号化承認情報が一致するかどうかを判定するため、取得された公開承認情報をハッシュ化し、ハッシュ化された取得された公開承認情報と、生成された復号化承認情報とが一致するかどうかを判定する機能と、
をコンピュータに実現させる。
【0023】
【発明の実施の形態】
図4は、本発明の第1実施例による公開鍵基盤技術に基づく個人情報アクセス制御システムの構成図である。本実施例のシステムは、第1の端末100及び第2の端末200は、それぞれ、ネットワークインタフェースカード(NIC)101及び201と、ルータ301とを介して、たとえば、LAN/WANのようなネットワーク300に接続される。ネットワーク300には、ルータ302を介して、認証サーバ400が接続される。第1の端末100及び第2の端末200には、たとえば、ICカード・リーダライタ(IC R/W)102及び202のような装置が接続され、ICカード500のような情報担体との間で情報の授受を行うことができる。
【0024】
ICカード500には、カードの保有者であるユーザのユーザ識別情報(ユーザID)と、公開鍵証明書(PKC)と、ユーザに固有の秘密鍵と、が格納されている。第1の端末100は、ICカード・リーダライタ102を用いて、認証サーバ400との間でユーザの本人認証を行う。ユーザの本人性が確認され、ユーザ本人と、ユーザ本人以外の他者との間で、他者が所定の条件でユーザ本人の個人情報へアクセスする旨の同意がなされると、その同意を表わす承認イベントが第1の端末100で生成され、一定期間保持される。承認イベントの有効期間中に、たとえば、第2の端末200から、ユーザの個人情報へのアクセスが要求された場合には、そのユーザ本人に関連した、保持されている承認イベントが検証され、承認イベントが有効であると判定された場合には、第2の端末200からユーザの個人情報へのアクセスが許可される。承認イベントが無効である場合には、第2の端末200からユーザの個人情報へのアクセスは禁止される。
【0025】
このように、本発明の第1実施例によれば、一定期間有効な承認イベントを生成、保持することにより、ユーザの個人情報へのアクセスを要求する際に、毎回、ユーザ本人のICカードをICカード・リーダライタに挿抜して、本人認証と、本人による承認とを行うことなく、高セキュリティを保証して、ユーザの個人情報へのアクセス制御が実現される。したがって、ユーザ本人、並びに、ユーザの個人情報へアクセスする必要がある他者の操作上の利便性が向上する。
【0026】
より具体的には、医療分野においては、ユーザ本人として患者、ユーザの個人情報として電子カルテ、ユーザ本人以外の他者として医者、看護師、検査技師、薬剤師などの医療従事者を想定することが可能である。
【0027】
次に、本発明の第1実施例のシステムにおける端末100、200を実現する本発明の第2実施例による個人情報アクセス制御端末について説明する。図5は、本実施例の個人情報アクセス制御端末100の機能的構成図である。
【0028】
個人情報アクセス制御端末100は、ICカード・リーダライタ102に挿入されたICカード500又はキーボード等の入力装置から、ユーザ本人のユーザIDを取得するユーザID取得部110と、端末100自体の装置識別番号、たとえば、MACアドレスを取得するMACアドレス取得部111と、承認イベントを生成した時刻を取得するための承認時刻取得部112と、承認イベントの任意の有効期間を入力するためのイベント有効期間入力部113と、予め設定された期間の中から承認イベントの有効期間を選択する有効期間選択部114と、を含む。また、承認時刻を取得したり、有効期間を判定したりする際に現在時刻を取得するために端末内クロック115が利用される。
【0029】
端末100は、ネットワークインタフェースカード(NIC)101を介してネットワーク(図示せず)に接続される。
【0030】
端末100は、さらに、承認イベントをハッシュ化するためのハッシュ化部120、ハッシュ化された承認イベントを秘密鍵で暗号化するための暗号化部(署名部)121、ハッシュ化され暗号化された承認イベントを復号化するために利用する公開鍵を公開鍵証明書から取得する公開鍵取得部122、ハッシュ化され暗号化された承認イベントを公開鍵で復号化する復号化部123、及び、復号化によって得られたハッシュ化された承認イベントと、元の承認イベントをハッシュ化部120によってハッシュ化した承認イベントとを比較するハッシュ値比較部124を具備する。
【0031】
図6及び7は、本発明の第3実施例による個人情報アクセス制御システムの動作フローチャートである。本実施例では、ユーザ本人の承認イベントが特定の端末で生成、保持され、同じ端末からユーザ本人の個人情報へのアクセスが要求された場合を例にして、個人情報アクセス制御システムの動作を説明する。
【0032】
図6では、ユーザの本人認証と、ユーザ本人の承認イベントの生成・保持の処理が示されている。
【0033】
ステップ11:認証サーバ(たとえば、図4の認証サーバ400)からユーザが利用するクライアント端末(たとえば、図4の第1の端末100)に対し、ICカードを挿入するように依頼が発行される。
【0034】
ステップ12:ユーザは、ICカード(たとえば、図4のICカード500)を端末に付属したICカード・リーダライタ(たとえば、図4のIC R/W 102)に挿入する。
【0035】
ステップ13:本人認証処理のため、ICカードから端末へ、ユーザの識別情報であるユーザID、公開鍵証明書などが渡される。
【0036】
ステップ14:端末と認証サーバとの間で、たとえば、チャレンジ・レスポンス方式の認証が行われる。
【0037】
ステップ15:認証に成功した場合、認証サーバから端末へ認証OKが通知される。
【0038】
端末側で、ユーザ本人と、ユーザの個人情報へのアクセスの承諾を求めるアクセス要求者が、所定の条件でアクセス要求者がユーザの個人情報へアクセスすることについて同意が得られた場合、所定の条件、すなわち、使用端末、有効期限等を指定する承認イベントの作成が開始される。
【0039】
ステップ16:ユーザ承認を実施するユーザのユーザ識別情報をユーザ本人のICカードから取得する。
【0040】
ステップ17:ユーザ承認が実施される端末の内蔵クロックから承認時刻を取得する。
【0041】
ステップ18:ユーザ承認が実施される端末のMACアドレスを個人情報へアクセス可能な端末の識別情報として取得する。このとき、当該端末に加えて、その他にアクセスを許可する端末の識別情報を付加的に入力してもよい。
【0042】
ステップ19:承認イベントの有効期間を設定する。有効期間は、任意の期間を入力することが可能であるが、予め指定されている有効期間をそのまま設定してもよい。
【0043】
これにより、ユーザIDと、承認時刻と、承認有効期間と、MACアドレスとを含む承認イベントが生成される。
【0044】
ステップ20:次に、セキュリティ性を高めるために、承認イベントをハッシュ化する。
【0045】
ステップ21:ハッシュ化された承認イベントを、ICカードから読み出したユーザ本人に固有の秘密鍵を用いて暗号化する。
【0046】
ステップ22:暗号化された承認イベントをユーザ本人の承認イベントとしてデータベースに保持する。
【0047】
ステップ23:ユーザのICカードから読み出された公開鍵証明書と、ユーザID、承認時刻、承認有効期間、及び、MACアドレスを含む(未加工の)承認イベントとを、ユーザ本人の承認イベントに対応した公開情報としてデータベースに保持する。
【0048】
このようにして、これ以降は、ICカードの挿入動作、本人認証動作、及び、本人による承認動作を行わなくても、端末上に、有効期限の範囲内で、ユーザ本人の承認イベントが保持される。
【0049】
保持された承認イベントは、端末側でユーザ本人の個人情報へのアクセスが必要になった場合に、公開鍵証明書を用いて署名検証される。
【0050】
図7には、本発明の第3実施例による承認イベントの署名検証処理のフローチャートが示されている。
【0051】
端末側で、アクセス要求者がユーザ本人の個人情報へアクセスするために、本人の承諾が必要になった場合、承認イベントの証明検証を開始する。
【0052】
ステップ31:アクセスしたい個人情報に対応したユーザIDをキーとして、保持されているユーザ本人の承認イベントを取得する。
【0053】
ステップ32:保持されているユーザ本人の公開鍵証明書から公開鍵を抽出し、この公開鍵を使用してユーザ本人の承認イベントを復号化する。
【0054】
この復号化によって得られたデータは、承認イベントをハッシュ化したものに相当している。
【0055】
ステップ33:次に、公開情報としてデータベースに保持されている未加工の承認イベントを取得し、これを、ハッシュ化する。
【0056】
ステップ34:ユーザ本人の承認イベントを復号化して得られた第1のハッシュ値と、公開情報の承認イベントをハッシュ化して得られた第2のハッシュ値を比較する。
【0057】
ステップ35:第1のハッシュ値と第2のハッシュ値が一致しているかどうかを判定する。
【0058】
ステップ36:第1のハッシュ値と第2のハッシュ値が一致しない場合、本人による承認は無効であると判定され、ユーザ本人の個人情報へのアクセスが禁止される。
【0059】
ステップ37:第1のハッシュ値と第2のハッシュ値が一致する場合、本人による承認は有効であるので、承認イベントの有効期限内であり、かつ、アクセス要求を発行している端末のMACアドレスが、アクセス許可された端末のMACアドレスに一致するかどうか、というアクセス許可条件を判定する。
【0060】
ステップ38:アクセス許可条件を満たしていない場合、ユーザ本人の個人情報へのアクセスが禁止される。
【0061】
ステップ39:アクセス許可条件を満たしている場合、ユーザ本人の個人情報へのアクセスが許可される。
【0062】
このようにして、公開鍵を用いてユーザ本人の承認イベントを署名検証することにより、承認時刻と承認イベント有効期間、ユーザID、及び、承認イベントを発行した端末のMACアドレス(並びに、ユーザ個人情報へのアクセスが許可された端末のMACアドレス)などの情報を取得することが可能である。
【0063】
承認イベントを生成した端末のMACアドレスを用いて、端末(ネットワークインタフェースカード)を特定することができるので、仮に、承認イベントが抜き出されて、他の端末で虚偽の承認・検証が行われることを防止することが可能である。
【0064】
さらに、承認イベントの有効期間は、ユーザ本人が任意に設定したり、所定値から選択したりすることができるので、承認を行うサービスに応じて、有効期間を固定的に設定し、承認イベントの生成時に毎回有効期間を設定する手間を省くことが可能である。
【0065】
また、上述のように、承認イベントを生成した端末のMACアドレスだけではなく、ユーザの個人情報へアクセスしたい端末、すなわち、承認イベントを署名検証する予定の端末のMACアドレスも設定することが可能であり、これにより、ある端末で承認された承認イベントを、別の端末に安全に移行することも可能である。
【0066】
さらに、アクセス許可条件として、アクセス要求者を指定するように拡張することも可能である。
【0067】
たとえば、患者が病院で受診する場合、
・来院時の本人確認
・診察時の本人確認
・検査実施時の本人確認
・紹介状作成の際に、相手方への紹介状送信許可時の本人確認
・診断結果に対する本人確認
などのように、一回の医療ジョブの間に、複数回にわたって本人確認をする必要が生じる。このような場面で、上述の本発明の第1、第2及び第3の実施例で説明した個人情報アクセス制御技術を利用することにより、一度、本人認証と、本人による承諾を行い、これにより生成されたユーザ本人の承認イベントを一定期間保持すると、本人確認の都度、ICカードを挿抜する作業を省略することができる。
【0068】
また、承認イベントはタイマー性があるので、仮に、本人が承認イベントを消し忘れても、一定の時間の経過により承認イベントが無効になるので、長時間経過した後に不特定の(或いは、不正な)アクセスが行われても、個人情報へのアクセスは許可されない。
【0069】
さらに、端末のMACアドレスも署名されているので、仮に、承認イベントを盗み出して、他の端末で署名検証を実行しようとしてもMACアドレスの不一致によって許可されない。
【0070】
このように、本発明の実施例によれば、安全に、かつ、簡単に承認イベントを保持し、ユーザの使い勝手を向上させることが可能である。
【0071】
上記の本発明の実施例による個人情報アクセス制御方法は、ソフトウェア(プログラム)で構築することが可能であり、コンピュータのCPUによってこのプログラムを実行することにより本発明の実施例による個人情報アクセス制御装置を実現することができる。構築されたプログラムは、ディスク装置等に記録しておき必要に応じてコンピュータにインストールされ、フレキシブルディスク、メモリカード、CD−ROM等の可搬記録媒体に格納して必要に応じてコンピュータにインストールされ、或いは、通信回線等を介してコンピュータにインストールされ、コンピュータのCPUによって実行される。
【0072】
以上、本発明の代表的な実施例を説明したが、本発明は、上記の実施例に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【0073】
【発明の効果】
本発明によれば、少ない認証操作回数で、高セキュリティを保証して安全な認証・データ保存・アクセス・情報共有を実現することが可能になる。たとえば、診療現場において患者が承認した内容を、患者が帰宅した後に、すなわち、患者本人の認証のためのICカードが手元になくても検証でき、これにより、医者は、所定の条件下で、電子カルテのような共有すべきデータを作成・格納できるようになる。
【図面の簡単な説明】
【図1】本発明の原理説明図である。
【図2】本発明の個人情報アクセス制御端末の構成図である。
【図3】本発明の個人情報アクセス制御システムの構成図である。
【図4】本発明の第1実施例による個人情報アクセス制御システムの構成図である。
【図5】本発明の第2実施例による個人情報アクセス制御端末の構成図である。
【図6】本発明の第3実施例による承認イベントの生成・保持処理のフローチャートである。
【図7】本発明の第3実施例による承認イベントの署名検証処理のフローチャートである。
【符号の説明】
1 個人情報アクセス制御端末
10 データベース
20 アクセス制御情報設定手段
30 本人確認情報設定手段
40 アクセス要求手段
50 復号化手段
60 アクセス許可条件判定手段
70 アクセス制御手段

Claims (10)

  1. 端末でユーザの本人証明情報を取り込み、本人証明情報と予め認証データベースに蓄積されている本人認証用情報とを用いてユーザの本人性を確認する本人認証手順と、
    ユーザの本人性が確認された場合に、上記端末で、ユーザを特定するユーザ識別情報、データベース内のユーザの個人情報へのアクセスが許可される端末を特定する端末識別情報、及び、ユーザの個人情報へのアクセス有効期限情報を含む公開承認情報を生成し、生成された公開承認情報をデータベースに格納するアクセス制限情報設定手順と、
    上記端末で、生成された公開承認情報をユーザに固有の秘密鍵で暗号化することによって暗号化承認情報を生成し、生成された暗号化承認情報、ユーザに固有の上記秘密鍵に対応した公開鍵、及び、ユーザ識別情報の組をデータベースに格納する本人確認情報設定手順と、
    を有し、
    公開承認情報がユーザによって設定されたことが確認された場合に、公開情報のアクセス有効期限情報で指定された有効期限内で、公開承認情報の端末識別情報で指定された端末からユーザの個人情報へのアクセスが許可される、
    個人情報アクセス制御方法。
  2. ユーザの個人情報へのアクセスを要求する端末でユーザ識別情報を取り込むアクセス要求手順と、
    上記ユーザの個人情報へのアクセスを要求する端末で、上記取り込まれたユーザ識別情報に対応した公開承認情報、暗号化承認情報、及び、公開鍵を上記データベースから取得する手順と、
    上記ユーザの個人情報へのアクセスを要求する端末で、取得された暗号化承認情報を、取得された公開鍵を用いて復号化することにより復号化承認情報を生成する手順と、
    上記ユーザの個人情報へのアクセスを要求する端末で、取得された公開承認情報と生成された復号化承認情報が一致し、上記ユーザの個人情報へのアクセスを要求する端末が公開承認情報に含まれる端末識別情報で指定された端末に一致し、かつ、現在時間が公開承認情報に含まれるアクセス有効期限情報で指定された有効期限内である、アクセス許可条件が満たされているかどうかを判定するアクセス許可条件判定手順と、
    上記ユーザの個人情報へのアクセスを要求する端末で、上記アクセス許可条件が満たされていない場合に、上記データベース内のユーザの個人情報へのアクセスを禁止するアクセス制御手順と、
    を更に有する請求項1記載の個人情報アクセス制御方法。
  3. 上記本人確認情報生成手順において、上記暗号化承認情報は、公開承認情報をハッシュ化し、ハッシュ化された公開承認情報を暗号化することによって生成し、
    上記アクセス許可条件判定手順において、取得された公開承認情報と生成された復号化承認情報が一致するかどうかは、取得された公開承認情報をハッシュ化し、ハッシュ化された取得された公開承認情報と、生成された復号化承認情報とが一致するかどうかによって判定する、
    請求項2記載の個人情報アクセス制御方法。
  4. 上記アクセス制限情報設定手順において、公開承認情報として、ユーザの個人情報へのアクセスが許可される他者を特定する他者識別情報を更に設定し、
    上記アクセス要求手順において、ユーザの個人情報へアクセスしようとするアクセス要求者の他者識別情報を更に取り込み、
    上記アクセス許可条件判定手順において、アクセス許可条件として、公開承認情報に含まれる他者識別情報と上記アクセス要求者の他者識別情報が一致するかどうかを更に判定する、
    請求項2又は3記載の個人情報アクセス制御方法。
  5. ユーザの個人情報を格納するデータベースと、
    本人性が確認されたユーザを特定するユーザ識別情報を取得し、取得されたユーザ識別情報、上記データベース内のユーザの個人情報へのアクセスが許可される端末を特定する端末識別情報、及び、ユーザの個人情報へのアクセス有効期限情報を含む公開承認情報を生成し、生成された公開承認情報を上記データベースに格納するアクセス制限情報設定手段と、
    上記アクセス制限情報設定手段に接続され、生成された公開承認情報をユーザに固有の秘密鍵で暗号化することによって暗号化承認情報を生成し、生成された暗号化承認情報、ユーザに固有の上記秘密鍵に対応した公開鍵、及び、ユーザ識別情報の組を上記データベースに格納する本人確認情報設定手段と、
    アクセス対象となるユーザの個人情報を指定するユーザ識別情報を取り込み、上記取り込まれたユーザ識別情報に対応した公開承認情報、暗号化承認情報、及び、公開鍵を上記データベースから取得するアクセス要求手段と、
    取得された暗号化承認情報を、取得された公開鍵を用いて復号化することにより復号化承認情報を生成する復号化手段と、
    上記アクセス要求手段及び上記復号化手段に接続され、取得された公開承認情報と生成された復号化承認情報が一致する条件、当該個人情報アクセス制御端末が公開承認情報に含まれる端末識別情報で指定された端末に一致する条件、並びに、現在時間が公開承認情報に含まれるアクセス有効期限情報で指定された有効期限内である条件を含むアクセス許可条件が満たされているかどうかを判定するアクセス許可条件判定手段と、
    上記アクセス許可条件が満たされている場合に、上記データベース内のアクセス対象となるユーザの個人情報へのアクセスを許可し、上記アクセス許可条件が満たされていない場合に、上記データベース内のユーザの個人情報へのアクセスを禁止するアクセス制御手段と、
    を有する個人情報アクセス制御端末。
  6. 少なくとも1台の端末と、
    上記少なくとも1台の端末の中で、ユーザの本人証明情報が取り込まれ、ユーザの本人認証のために利用される少なくとも1台の端末にネットワークを介して接続され、本人証明情報と予め蓄積されている本人認証用情報とを用いて、上記本人認証のため利用される端末との間でユーザの本人性を確認する本人認証サーバと、
    ユーザの個人情報を保持するデータベースと、
    を有し、
    上記本人認証のため利用される少なくとも1台の端末は、
    本人性が確認されたユーザを特定するユーザ識別情報を取得し、取得されたユーザ識別情報、上記データベース内のユーザの個人情報へのアクセスが許可される個人情報アクセス端末を特定する端末識別情報、及び、ユーザの個人情報へのアクセス有効期限情報を含む公開承認情報を生成し、生成された公開承認情報を上記データベースに格納するアクセス制限情報設定手段と、
    上記アクセス制限情報設定手段に接続され、生成された公開承認情報をユーザに固有の秘密鍵で暗号化することによって暗号化承認情報を生成し、生成された暗号化承認情報、ユーザに固有の上記秘密鍵に対応した公開鍵、及び、ユーザ識別情報の組を上記データベースに格納する本人確認情報設定手段と、
    を具備し、
    上記少なくとも1台の端末の中でユーザの個人情報へアクセスするための少なくとも1台の端末は、
    アクセス対象となるユーザの個人情報を指定するユーザ識別情報を取り込み、上記取り込まれたユーザ識別情報に対応した公開承認情報、暗号化承認情報、及び、公開鍵を上記データベースから取得するアクセス要求手段と、
    取得された暗号化承認情報を、取得された公開鍵を用いて復号化することにより復号化承認情報を生成する復号化手段と、
    上記アクセス要求手段及び上記復号化手段に接続され、取得された公開承認情報と生成された復号化承認情報が一致する条件、当該端末が公開承認情報に含まれる端末識別情報で指定された個人情報アクセス端末に一致する条件、並びに、現在時間が公開承認情報に含まれるアクセス有効期限情報で指定された有効期限内である条件を含むアクセス許可条件が満たされているかどうかを判定するアクセス許可条件判定手段と、
    上記アクセス許可条件が満たされている場合に、上記データベース内のアクセス対象となるユーザの個人情報へのアクセスを許可し、上記アクセス許可条件が満たされていない場合に、上記データベース内のユーザの個人情報へのアクセスを禁止するアクセス制御手段と、
    を具備する、
    個人情報アクセス制御システム。
  7. ユーザの本人証明情報を取り込み、本人証明情報と予め認証データベースに蓄積されている本人認証用情報とを用いてユーザの本人性を確認する本人認証機能と、
    ユーザの本人性が確認された場合に、ユーザを特定するユーザ識別情報、データベース内のユーザの個人情報へのアクセスが許可される端末を特定する端末識別情報、及び、ユーザの個人情報へのアクセス有効期限情報を含む公開承認情報を生成し、生成された公開承認情報をデータベースに格納するアクセス制限情報設定機能と、
    生成された公開承認情報をユーザに固有の秘密鍵で暗号化することによって暗号化承認情報を生成し、生成された暗号化承認情報、ユーザに固有の上記秘密鍵に対応した公開鍵、及び、ユーザ識別情報の組をデータベースに格納する本人確認情報設定機能と、
    公開承認情報がユーザによって設定されたことが確認された場合に、公開情報のアクセス有効期限情報で指定された有効期限内で、公開承認情報の端末識別情報で指定された端末からのユーザの個人情報へのアクセスを許可する機能と、
    をコンピュータに実現させるための個人情報アクセス制御プログラム。
  8. アクセス対象となるユーザの個人情報に対応するユーザ識別情報を取り込み、上記取り込まれたユーザ識別情報に対応した公開承認情報、暗号化承認情報、及び、公開鍵を上記データベースから取得するアクセス要求機能と、
    取得された暗号化承認情報を、取得された公開鍵を用いて復号化することにより復号化承認情報を生成する機能と、
    取得された公開承認情報と生成された復号化承認情報が一致し、上記端末が公開承認情報に含まれる端末識別情報で指定された端末に一致し、かつ、現在時間が公開承認情報に含まれるアクセス有効期限情報で指定された有効期限内である、アクセス許可条件が満たされているかどうかを判定するアクセス許可条件判定機能と、
    上記アクセス許可条件が満たされていない場合に、上記データベース内のユーザの個人情報へのアクセスを制限する機能と、
    を更にコンピュータに実現させるための請求項7記載の個人情報アクセス制御プログラム。
  9. 上記暗号化承認情報を生成するため、公開承認情報をハッシュ化し、ハッシュ化された公開承認情報を暗号化する機能と、
    取得された公開承認情報と生成された復号化承認情報が一致するかどうかを判定するため、取得された公開承認情報をハッシュ化し、ハッシュ化された取得された公開承認情報と、生成された復号化承認情報とが一致するかどうかを判定する機能と、
    を更にコンピュータに実現させるための請求項7又は8記載の個人情報アクセス制御プログラム。
  10. 請求項7乃至9のうち何れか一項記載のプログラムを記録したコンピュータ読取可能な記録媒体。
JP2002190688A 2002-06-28 2002-06-28 個人情報アクセス制御方法、端末、システム、並びに、プログラム Expired - Lifetime JP4253167B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002190688A JP4253167B2 (ja) 2002-06-28 2002-06-28 個人情報アクセス制御方法、端末、システム、並びに、プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002190688A JP4253167B2 (ja) 2002-06-28 2002-06-28 個人情報アクセス制御方法、端末、システム、並びに、プログラム

Publications (2)

Publication Number Publication Date
JP2004038270A JP2004038270A (ja) 2004-02-05
JP4253167B2 true JP4253167B2 (ja) 2009-04-08

Family

ID=31700545

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002190688A Expired - Lifetime JP4253167B2 (ja) 2002-06-28 2002-06-28 個人情報アクセス制御方法、端末、システム、並びに、プログラム

Country Status (1)

Country Link
JP (1) JP4253167B2 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4420201B2 (ja) 2004-02-27 2010-02-24 インターナショナル・ビジネス・マシーンズ・コーポレーション ハードウェアトークンを用いた認証方法、ハードウェアトークン、コンピュータ装置、およびプログラム
JP4546162B2 (ja) * 2004-06-10 2010-09-15 株式会社日立ハイテクノロジーズ 情報提供システムおよびその構成装置
US8074266B2 (en) 2004-08-20 2011-12-06 Mitsubishi Electric Corporation Memory card, data exchange system, and data exchange method
JP4724450B2 (ja) * 2005-04-06 2011-07-13 キヤノン株式会社 情報処理装置及び当該装置における情報処理方法
JP4676274B2 (ja) * 2005-08-03 2011-04-27 富士通株式会社 携帯端末の個人情報の管理方式
JP2007213139A (ja) * 2006-02-07 2007-08-23 Toshiba Corp 患者情報管理システム
CN101911090B (zh) * 2007-12-28 2014-01-15 皇家飞利浦电子股份有限公司 信息交换系统及设备
EP2291977B1 (en) * 2008-06-18 2016-08-17 Philips Intellectual Property & Standards GmbH Personal security manager for ubiquitous patient monitoring
JP2013239045A (ja) * 2012-05-15 2013-11-28 Hitachi Ltd シンクライアントシステム及びリモートアクセス方法
WO2021214969A1 (ja) * 2020-04-24 2021-10-28 日本電気株式会社 認証システム、端末、端末の制御方法及び記憶媒体

Also Published As

Publication number Publication date
JP2004038270A (ja) 2004-02-05

Similar Documents

Publication Publication Date Title
US7698565B1 (en) Crypto-proxy server and method of using the same
JP4460763B2 (ja) 生物測定データを用いた暗号キー発生法
JP4900392B2 (ja) 情報処理装置および情報管理方法
US7409543B1 (en) Method and apparatus for using a third party authentication server
JP5816750B2 (ja) 生体イメージ情報を含む使い捨てパスワードを用いた認証方法及び装置
KR101043306B1 (ko) 정보 처리 장치, 정보 관리 방법, 및 정보 관리 프로그램을 기억한 컴퓨터 판독 가능한 기억 매체
JP4619119B2 (ja) 電子装置への個人身分証明書のセキュアな登録およびバックアップのための方法
JP4470373B2 (ja) 認証処理装置及びセキュリティ処理方法
JP2003337923A (ja) データ更新方法及びデータ更新システム
JP4107420B2 (ja) 安全なバイオメトリック認証/識別方法、バイオメトリックデータ入力モジュールおよび検証モジュール
JP2005033778A (ja) 携帯式安全情報アクセスシステム及びその方法
JP4253167B2 (ja) 個人情報アクセス制御方法、端末、システム、並びに、プログラム
EP1832036A2 (en) Method and device for key generation and proving authenticity
EP1036372A1 (en) A remotely accessible private space using a fingerprint
JPH10111897A (ja) 診療情報共有化方法
JPH10336172A (ja) 電子認証用公開鍵の管理方法
JP2006099548A (ja) データ共有システム、データ共有方法、データ保有者デバイスおよびデータサーバ
CN117521099A (zh) 一种基于区块链的慢病患者服药数据共享方法
CN112926065B (zh) 可自定义的加解密装置、加解密方法和存储设备
JPH10134157A (ja) 計算機カードを利用した暗号認証処理方法および装置
JP4279607B2 (ja) 使用権限の認証方法,使用許可証発行装置,使用権限の認証システム,使用許可証発行プログラムおよびその記録媒体
JP2002041467A (ja) 証明書アクセスシステム
Albahdal et al. Trusted BWI: Privacy and trust enhanced biometric web identities
JP2009282945A (ja) 生体認証方法及びシステム
JP3557112B2 (ja) 鍵回復方法及びプログラム記録媒体

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050628

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080716

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081021

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081222

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090120

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090123

R150 Certificate of patent or registration of utility model

Ref document number: 4253167

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120130

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130130

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140130

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term