[go: up one dir, main page]

JP7590925B2 - Sensitive data management system and sensitive data management method - Google Patents

Sensitive data management system and sensitive data management method Download PDF

Info

Publication number
JP7590925B2
JP7590925B2 JP2021091003A JP2021091003A JP7590925B2 JP 7590925 B2 JP7590925 B2 JP 7590925B2 JP 2021091003 A JP2021091003 A JP 2021091003A JP 2021091003 A JP2021091003 A JP 2021091003A JP 7590925 B2 JP7590925 B2 JP 7590925B2
Authority
JP
Japan
Prior art keywords
sensitive data
distributed ledger
data
processing
audit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021091003A
Other languages
Japanese (ja)
Other versions
JP2022183596A (en
Inventor
航史 池川
直 西島
洋司 小澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2021091003A priority Critical patent/JP7590925B2/en
Priority to PCT/JP2022/007390 priority patent/WO2022254823A1/en
Publication of JP2022183596A publication Critical patent/JP2022183596A/en
Application granted granted Critical
Publication of JP7590925B2 publication Critical patent/JP7590925B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、機微データ管理システムおよび機微データ管理方法に関するものである。 The present invention relates to a sensitive data management system and a sensitive data management method.

2019年に提唱されたDFFT(Data Free Flow with Trust)は、国や企業など組織間におけるデータ共有および利活用が焦点となっている。そこで、これを実現する一つの手段として、複数組織が同じ権限でシステム運用可能である、分散台帳技術の採用が想定される。
分散台帳技術は、従来において金融機関や政府といった信頼できる中央集権機関を経由して実施されてきた取引を、利用者間のP2P(Peer to Peer)による直接的な取引で代替する技術といえる。 Data Free Flow with Trust (DFFT), proposed in 2019, focuses on data sharing and utilization between organizations such as countries and companies. As a means to achieve this, the adoption of distributed ledger technology, which allows multiple organizations to operate the system with the same authority, is expected.
Distributed ledger technology can be said to be a technology that replaces transactions that have traditionally been conducted via trusted centralized institutions such as financial institutions and governments with direct peer-to-peer (P2P) transactions between users.

こうした分散台帳技術に関しては、様々な派生技術が提案され、進化を続けている。現状の主な特徴としては、(1)分散台帳への参加者間の取引において、中央集権機関ではなく(任意ないしは特定の)参加者による合意形成や承認によって取引を確定させること、(2)複数のトランザクションをブロックとしてまとめ、数珠つなぎにブロックチェーンと呼ばれる分散台帳に記録し、連続するブロックにハッシュ計算を施すことにより、改ざんを実質不可能にすること、(3)参加者全員が同一の台帳データを共有することにより、参加者全員での取引の確認を可能とすることが挙げられる。 Various derivatives of distributed ledger technology have been proposed and continue to evolve. The main features of distributed ledger technology today are: (1) transactions between participants in the distributed ledger are finalized through consensus building and approval by (any or specific) participants, rather than by a centralized authority; (2) multiple transactions are organized into blocks, which are recorded in a chain in a distributed ledger called a blockchain, and successive blocks are subjected to hash calculations, making tampering virtually impossible; and (3) all participants share the same ledger data, making it possible for all participants to confirm transactions.

このような特徴を有する分散台帳技術は、信頼できるデータの管理/共有や、契約に基づく取引の執行/管理を行う仕組みとして、金融や製造業等、幅広い分野での応用が検討されている。 DDL technology, which has these characteristics, is being considered for application in a wide range of fields, including finance and manufacturing, as a mechanism for managing and sharing reliable data and executing and managing transactions based on contracts.

一方で、分散台帳技術においては、参加組織全ての間で分散台帳を通じてデータ共有することになる。そのため、EU一般データ保護規則プライバシー保護(GDPR)などの法律に対応するためには、プライバシー保護が必要となる機微データを取り扱うことが困難である。 On the other hand, with distributed ledger technology, data is shared among all participating organizations through a distributed ledger. This makes it difficult to handle sensitive data that requires privacy protection in order to comply with laws such as the EU General Data Protection Regulation (GDPR).

なお、データの利活用に関する従来技術としては、データ処理ツールに手を加えることなくデータリネージュを生成する情報処理装置(特許文献1参照)などが提案されている。 Note that, as a conventional technology for utilizing data, an information processing device that generates data lineage without modifying data processing tools (see Patent Document 1) has been proposed.

この情報処理装置は、自装置で実行中のプロセスの識別子を取得する取得部と、前記取得部によって取得された前記プロセスの識別子に基づいて、前記プロセスに対応するデータ処理ツールを特定する特定部と、前記特定部によって特定された前記データ処理ツールの動作中のスクリプトの記述内容を解析し、解析した結果に基づいて、入カデータ名と出カデータ名とを特定する解析部と、前記解析部によって特定された前記入カデータ名と前記出カデータ名とに基づいて、前記スクリプトに関するデータリネージュを生成する生成部と、を有するものである。 This information processing device has an acquisition unit that acquires an identifier of a process being executed on the device itself, an identification unit that identifies a data processing tool corresponding to the process based on the identifier of the process acquired by the acquisition unit, an analysis unit that analyzes the description contents of a script being executed by the data processing tool identified by the identification unit and identifies input data names and output data names based on the analysis results, and a generation unit that generates data lineage related to the script based on the input data names and output data names identified by the analysis unit.

WO2020/188779WO2020/188779

ところで、上述のような機微データの提供者としては、その預託先となる組織に対し、データ利活用に関する同意の剥奪や、データ自体の削除といった各種操作を依頼するケースもある。ところが、そうした操作が正しく行われたことを保証し、その監査を行う手立てが存在していない。この状況は、機微データたる個人情報や提供者の保護の観点からも、問題とすべき課題となっている。
そこで本発明の目的は、利活用される機微データをその提供者の意図に沿って、検証可能かつ正しく管理可能とする技術を提供することにある。 Meanwhile, providers of such sensitive data may request that the organization to which they are entrusted take various actions, such as revoking consent for data utilization or deleting the data itself. However, there is no way to guarantee that such actions have been carried out correctly or to audit them. This situation is problematic from the perspective of protecting personal information, which is sensitive data, and the providers of such data.
Therefore, an object of the present invention is to provide a technology that enables sensitive data to be utilized in a verifiable and correct manner in accordance with the intentions of its provider.

上記課題を解決する本発明の機微データ管理システムは、複数の組織により機微データの利活用を行う分散台帳システムであって、前記組織それぞれのノードは、自身の分散台帳において、各組織が所有する機微データのメタデータを保持し、プライベートストレージにおいて、自組織が所有者となっている機微データの実データを保持して、前記機微データに対する利用権限の申請および承認のワークフローをスマートコントラクトにより実行し、当該利用権限に関するワークフローの結果を前記分散台帳に格納する処理と、前記プライベートストレージに保管する機微データに関して処理要求を受けた場合、当該機微データに対する前記利用権限を確認し、当該利用権限に応じて処理を実行して、当該処理の経緯に関するログを分散台帳に格納し、前記機微データに関して受けた前記処理要求に応じた前記処理の結果のみを前記処理要求の発信元に応答する処理を実行するものである、 ことを特徴とする。
また、本発明の機微データ管理方法は、複数の組織により機微データの利活用を行う分散台帳システムにおいて、前記組織それぞれのノードが、自身の分散台帳において、各組織が所有する機微データのメタデータを保持し、プライベートストレージにおいて、自組織が所有者となっている機微データの実データを保持して、前記機微データに対する利用権限の申請および承認のワークフローをスマートコントラクトにより実行し、当該利用権限に関するワークフローの結果を前記分散台帳に格納する処理と、前記プライベートストレージに保管する機微データに関して処理要求を受けた場合、当該機微データに対する前記利用権限を確認し、当該利用権限に応じて処理を実行して、当該処理の経緯に関するログを分散台帳に格納し、前記機微データに関して受けた前記処理要求に応じた前記処理の結果のみを前記処理要求の発信元に応答する処理、を実行することを特徴とする。
 The sensitive data management system of the present invention that solves the above-mentioned problems is a distributed ledger system in which sensitive data is utilized by multiple organizations, wherein each node of the organizations stores metadata of sensitive data owned by each organization in its own distributed ledger, stores actual data of sensitive data owned by that organization in private storage, executes a workflow of application and approval for usage rights for the sensitive data using a smart contract, and stores the results of the workflow related to the usage rights in the distributed ledger, and when a processing request is received for sensitive data stored in the private storage, confirms the usage rights for the sensitive data, executes processing in accordance with the usage rights, stores a log regarding the process of the processing in the distributed ledger, and executes a process of responding to the sender of the processing request with only the result of the processing in accordance with the processing request received for the sensitive data.
In addition, the sensitive data management method of the present invention is characterized in that, in a distributed ledger system in which sensitive data is utilized by a plurality of organizations, a node of each of the organizations stores metadata of the sensitive data owned by each organization in its own distributed ledger, stores actual data of the sensitive data for which the organization is the owner in a private storage, executes a workflow of application and approval for usage rights for the sensitive data using a smart contract, and stores the results of the workflow related to the usage rights in the distributed ledger; and, when a processing request is received for sensitive data stored in the private storage, confirms the usage rights for the sensitive data, executes processing in accordance with the usage rights, stores a log regarding the process of the processing in the distributed ledger, and responds to the sender of the processing request with only the result of the processing in accordance with the processing request received for the sensitive data .

本発明によれば、利活用される機微データをその提供者の意図に沿って、検証可能かつ正しく管理可能となる。 According to the present invention, sensitive data that is utilized can be verifiably and correctly managed in accordance with the intent of the data provider.

本実施形態における分散台帳ネットワークの構成例を示す図である。FIG. 1 is a diagram illustrating an example of the configuration of a distributed ledger network in this embodiment. 本実施形態の分散台帳ノードのハードウェア構成を示す図である。FIG. 1 is a diagram illustrating the hardware configuration of a distributed ledger node of this embodiment. 本実施形態のタスク処理装置のハードウェア構成を示す図である。FIG. 2 is a diagram illustrating a hardware configuration of a task processing device according to the present embodiment. 本実施形態の監査装置のハードウェア構成を示す図である。FIG. 2 is a diagram illustrating a hardware configuration of an auditing device according to the present embodiment. 本実施形態のクライアントのハードウェア構成を示す図である。FIG. 2 is a diagram illustrating a hardware configuration of a client according to the present embodiment. 本実施形態の分散台帳で管理されるデータカタログの構成を示す図である。FIG. 1 is a diagram showing the configuration of a data catalog managed by a distributed ledger in this embodiment. 本実施形態の分散台帳で管理されるタスク一覧の構成を示す図である。A diagram showing the configuration of a task list managed in the distributed ledger of this embodiment. 本実施形態の分散台帳で管理されるデータの関係性の構成を示す図である。FIG. 1 is a diagram showing the configuration of relationships between data managed in a distributed ledger of this embodiment. 本実施形態の処理の流れを示す図である。FIG. 2 is a diagram showing a process flow of the present embodiment. 本実施形態の処理の中のデータ提供を示す図である。FIG. 11 is a diagram showing data provision in the processing of this embodiment. 本実施形態の処理の中のアクセス権依頼を示す図である。FIG. 13 is a diagram showing an access right request in the processing of this embodiment. 本実施形態の処理の中のアクセス権承認を示す図である。FIG. 11 is a diagram showing access right approval in the processing of this embodiment. 本実施形態の処理の中の解析依頼を示す図である。FIG. 13 is a diagram showing an analysis request in the processing of this embodiment. 本実施形態の処理の中の解析実行を示す図である。FIG. 13 is a diagram showing analysis execution in the processing of this embodiment. 本実施形態の処理の中の監査を示す図である。FIG. 13 is a diagram showing an audit in the process of this embodiment. 本実施形態の監査処理の中のデータ整合性監査を示す図である。FIG. 13 is a diagram showing a data consistency audit in the audit process of the present embodiment. 本実施形態の監査処理の中のデータ削除監査を示す図である。FIG. 13 is a diagram illustrating a data deletion audit in the audit process of the present embodiment. 本実施形態の監査処理の中のデータ同意情報監査を示す図である。FIG. 13 is a diagram illustrating a data consent information audit in the audit process of the present embodiment. 本実施形態の監査処理の中のデータアクセス権監査を示す図である。FIG. 13 is a diagram illustrating a data access right audit in the audit process of the present embodiment. 本実施形態の監査UIを示す図である。FIG. 13 is a diagram illustrating an audit UI according to the present embodiment.

<ネットワーク構成>
以下に本発明の実施形態について図面を用いて詳細に説明する。図1は、本実施形態における機微データ管理システム1のネットワーク構成例を示す図である。本実施形態の機微データ管理システム1は、利活用される機微データをその提供者の意図に沿って、検証可能かつ正しく管理可能とする分散台帳システムである(以下、分散台帳システム1として説明する)。 <Network Configuration>
An embodiment of the present invention will be described in detail below with reference to the drawings. Fig. 1 is a diagram showing an example of a network configuration of a sensitive data management system 1 in this embodiment. The sensitive data management system 1 in this embodiment is a distributed ledger system that enables verifiable and correct management of sensitive data to be utilized in accordance with the intention of the provider of the data (hereinafter, described as the distributed ledger system 1).

本実施形態における分散台帳システム1は、図1で示すように、分散台帳ネットワーク2を介して通信可能に接続された、1つまたは複数の処理依頼組織3のシステム、1つまたは複数のデータ保有組織4のシステム、および1つまたは複数の監査組織5のシステムから構成される。よって、これらを総称して機微データ管理システム1としてもよい。 As shown in FIG. 1, the distributed ledger system 1 in this embodiment is composed of one or more systems of processing requesting organizations 3, one or more systems of data holding organizations 4, and one or more systems of auditing organizations 5, all of which are communicatively connected via a distributed ledger network 2. Therefore, these may be collectively referred to as the sensitive data management system 1.

このうち処理依頼組織3のシステムは、分散台帳ノード10及びクライアント50を有している。処理依頼組織3のユーザは、クライアント50を操作し、機微データに対する処理要求を生成・発信することとなる。 The system of the processing requesting organization 3 includes a distributed ledger node 10 and a client 50. A user of the processing requesting organization 3 operates the client 50 to generate and transmit a processing request for sensitive data.

また、データ保有組織4のシステムは、分散台帳ノード12、タスク処理装置20、プライベートストレージ30、及びクライアント52を有している。 The system of the data holding organization 4 also includes a distributed ledger node 12, a task processing device 20, a private storage 30, and a client 52.

タスク処理装置20は、処理依頼組織3の分散台帳ノード10ないしクライアント50から発信された処理要求に応じ、分散台帳で保持する機微データに対する処理を実行し、応答する。 The task processing device 20 responds to a processing request sent from a distributed ledger node 10 or client 50 of the processing request organization 3 by executing processing on the sensitive data held in the distributed ledger.

また、プライベートストレージ30は、分散台帳のごときノード間での同期は図られない記憶装置であって、他組織からは切り離された記憶装置である。 In addition, private storage 30 is a storage device that is not synchronized between nodes like a distributed ledger, and is a storage device that is isolated from other organizations.

また、クライアント52は、データ保有組織4のユーザが操作する端末である。 Furthermore, the client 52 is a terminal operated by a user of the data holding organization 4.

また、監査組織5のシステムは、分散台帳ノード15、監査サーバ40、及びクライアント55を有している。監査サーバ40は、分散台帳ノード15と協働し、データ保有組織4の分散台帳ノード12やプライベートストレージ30で管理されている情報の正しさ、処理経緯の正しさ等に関する監査業務を主導するサーバ装置である。 The system of the audit organization 5 also includes a distributed ledger node 15, an audit server 40, and a client 55. The audit server 40 is a server device that works in cooperation with the distributed ledger node 15 to lead audit work related to the accuracy of information managed in the distributed ledger node 12 and private storage 30 of the data holding organization 4, the accuracy of processing history, etc.

また、クライアント55は、監査組織5のユーザが操作する端末である。
<<ハードウェア構成>>
本実施形態の分散台帳管理システム1を構成する各装置のハードウェア構成を、以下に示す。図2は分散台帳ノード10のハードウェア構成を示した図である。 Moreover, the client 55 is a terminal operated by a user of the audit organization 5 .
<<Hardware configuration>>
The hardware configuration of each device constituting the distributed ledger management system 1 of this embodiment is shown below. FIG. 2 is a diagram showing the hardware configuration of the distributed ledger node 10.

本実施形態における分散台帳ノード10は、記憶部210、演算部240、メモリ250、及び通信部260から構成され、それぞれはBUSを介して接続されている。 In this embodiment, the distributed ledger node 10 is composed of a storage unit 210, a calculation unit 240, a memory 250, and a communication unit 260, each of which is connected via a BUS.

このうち記憶部210は、SSD(Solid State Drive)やハードディスクドライブなど適宜な不揮発性記憶素子で構成される。 The memory unit 210 is composed of an appropriate non-volatile memory element such as a solid state drive (SSD) or a hard disk drive.

また、メモリ250は、RAM(Random Access Memory)など揮発性記憶素子で構成される。 The memory 250 is also composed of a volatile memory element such as a RAM (Random Access Memory).

また、演算部240は、記憶部210に保持されるプログラム211をメモリ250に読み出すなどして実行し装置自体の統括制御を行なうとともに各種判定、演算及び制御処理を行なうCPU(Central Processing Unit)である。 The calculation unit 240 is a CPU (Central Processing Unit) that executes the program 211 stored in the storage unit 210 by reading it into the memory 250, etc., to perform overall control of the device itself, as well as various judgments, calculations, and control processes.

また、記憶部210にはプログラム211、分散台帳220、及びステートデータベース230が保存されている。 The memory unit 210 also stores a program 211, a distributed ledger 220, and a state database 230.

このうち分散台帳220は、ブロックと呼ばれるトランザクションをまとめたデータを数珠つなぎのようにつなぎ合わせたデータであり、いわゆるブロックチェーンである。 Of these, the distributed ledger 220 is a set of data that is a collection of transactions called blocks, strung together like a string of beads, and is known as a blockchain.

また、ステートデータベース230は、分散台帳220にて管理されているトランザクションの実行時における最新のテーブルデータを保存するデータベースである。 In addition, the state database 230 is a database that stores the latest table data at the time of execution of transactions managed by the distributed ledger 220.

なお、プログラム211は、メモリ250にロードされてから演算部240で計算処理が実行され、必要な機能を実現する。 After the program 211 is loaded into the memory 250, the calculation unit 240 executes calculations to realize the required functions.

こうしたプログラム211は、データ管理スマコン(スマートコントラクト)212、およびタスク管理スマコン213を有している。 These programs 211 include a data management smart contract (smart contract) 212 and a task management smart contract 213.

このうちデータ管理スマコン212は、データ(機微データを含む各種データ)の管理を行うスマートコントラクトである。また、タスク管理スマコン213は、タスクの管理を行うスマートコントラクトである。このタスクは、処理依頼組織3から要求される処理内容に応じたものとなる。 Of these, the data management smart contract 212 is a smart contract that manages data (various types of data including sensitive data). The task management smart contract 213 is a smart contract that manages tasks. These tasks correspond to the processing content requested by the processing request organization 3.

続いて図3は、タスク処理装置30のハードウェア構成を示した図である。このタスク処理装置30は、記憶部310、演算部330、メモリ340、及び通信部350から構成され、それぞれはBUSを介して接続されている。 Next, FIG. 3 shows the hardware configuration of the task processing device 30. This task processing device 30 is composed of a storage unit 310, a calculation unit 330, a memory 340, and a communication unit 350, each of which is connected via a BUS.

このうち記憶部310は、SSD(Solid State Drive)やハードディスクドライブなど適宜な不揮発性記憶素子で構成される。 The memory unit 310 is composed of an appropriate non-volatile memory element such as a solid state drive (SSD) or a hard disk drive.

また、メモリ340は、RAM(Random Access Memory)など揮発性記憶素子で構成される。 In addition, memory 340 is composed of a volatile memory element such as RAM (Random Access Memory).

また、演算部330は、記憶部310に保持されるプログラム311をメモリ340に読み出すなどして実行し装置自体の統括制御を行なうとともに各種判定、演算及び制御処理を行なうCPU(Central Processing Unit)である。 The calculation unit 330 is a CPU (Central Processing Unit) that executes the program 311 stored in the storage unit 310 by reading it into the memory 340, thereby controlling the device itself and performing various judgments, calculations, and control processes.

また、演算部330は、メモリ340の領域の一部を暗号化するTEE(Trusted Execution Environment)と呼ばれる暗号化領域作成部331を持つ。この暗号化領域作成部331により、メモリ340において暗号化領域341を生成することができる。 The calculation unit 330 also has an encrypted area creation unit 331 called a Trusted Execution Environment (TEE) that encrypts a portion of the area of the memory 340. This encrypted area creation unit 331 can generate an encrypted area 341 in the memory 340.

こうした暗号化領域341にプログラム311を読み込んで実行することで、このプログラム311は外部の攻撃者による攻撃および改ざんから守られることになる。これにより、分散台帳システム1は、プログラム311が正しく動作したことを保証することがで
きる。 By loading and executing the program 311 in such an encrypted area 341, the program 311 is protected from attacks and tampering by external attackers. This allows the distributed ledger system 1 to guarantee that the program 311 has operated correctly.

続いて図4は、監査サーバ40のハードウェア構成例を示した図である。監査サーバ40は、記憶部410、演算部430、メモリ431、及び通信部432から構成され、それぞれはBUSを介して接続されている。 Next, FIG. 4 shows an example of the hardware configuration of the audit server 40. The audit server 40 is composed of a storage unit 410, a calculation unit 430, a memory 431, and a communication unit 432, each of which is connected via a BUS.

このうち記憶部410は、SSD(Solid State Drive)やハードディスクドライブなど適宜な不揮発性記憶素子で構成される。 The memory unit 410 is composed of an appropriate non-volatile memory element such as a solid state drive (SSD) or a hard disk drive.

また、メモリ431は、RAM(Random Access Memory)など揮発性記憶素子で構成される。 In addition, memory 431 is composed of a volatile memory element such as RAM (Random Access Memory).

また、演算部430は、記憶部410に保持されるプログラム411をメモリ431に読み出すなどして実行し装置自体の統括制御を行なうとともに各種判定、演算及び制御処理を行なうCPU(Central Processing Unit)である。 The calculation unit 430 is a central processing unit (CPU) that executes the program 411 stored in the storage unit 410 by reading it into the memory 431, thereby controlling the device itself and performing various judgments, calculations, and control processes.

なお、プログラム411は、ユーザインターフェイス提供プログラム412および監査実行プログラム413を含む。ユーザインターフェイス提供プログラム412は、監査業務のユーザが操作するクライアント55に所定のユーザインターフェイスを配信し、監査業務の指示等の入力や監査結果の出力を行う。また、監査実行プログラム413は、監査業務に応じた各種処理を実行するためのプログラムである。 The program 411 includes a user interface providing program 412 and an audit execution program 413. The user interface providing program 412 delivers a specified user interface to a client 55 operated by a user of the audit work, and inputs instructions for the audit work and outputs the audit results. The audit execution program 413 is a program for executing various processes according to the audit work.

図5はクライアント50のハードウェア構成を示した図である。クライアント50は記憶部510、演算部530、メモリ531、および通信部532から構成され、それぞれはBUSを介して接続されている。 Figure 5 shows the hardware configuration of client 50. Client 50 is composed of a storage unit 510, a calculation unit 530, a memory 531, and a communication unit 532, each of which is connected via a BUS.

このうち記憶部510は、SSD(Solid State Drive)やハードディスクドライブなど適宜な不揮発性記憶素子で構成される。 The memory unit 510 is composed of an appropriate non-volatile memory element such as a solid state drive (SSD) or a hard disk drive.

また、メモリ531は、RAM(Random Access Memory)など揮発性記憶素子で構成される。 The memory 531 is also composed of a volatile memory element such as a RAM (Random Access Memory).

また、演算部530は、記憶部510に保持されるプログラム511をメモリ531に読み出すなどして実行し装置自体の統括制御を行なうとともに各種判定、演算及び制御処理を行なうCPU(Central Processing Unit)である。 The calculation unit 530 is a CPU (Central Processing Unit) that executes the program 511 stored in the storage unit 510 by reading it into the memory 531, thereby controlling the device itself and performing various judgments, calculations, and control processes.

なお、記憶部510のプログラム511は、クライアントインターフェイス512およびユーザ命令送受信部513を持つ。クライアントインターフェイス512は、上述の監査サーバ40から配信される入出力画面である。 The program 511 in the memory unit 510 has a client interface 512 and a user command transmission/reception unit 513. The client interface 512 is an input/output screen distributed from the audit server 40 described above.

また、ユーザ命令送受信部513は、上述のクライアントインターフェイス512を介してユーザから受け付けた指示を監査サーバ40に送信し、またその指示に応じた処理結果すなわち監査結果を監査サーバ40から受信するものとなる。
<データ構造例>
続いて、本実施形態の機微データ管理システム1において用いる各種情報について説明する。図6に、本実施形態におけるデータカタログ221の一例を示す。このデータカタログ221は、分散台帳220で管理されるテーブルである。 In addition, the user command transmission/reception unit 513 transmits instructions received from the user via the above-mentioned client interface 512 to the audit server 40, and also receives the processing results in response to those instructions, i.e., the audit results, from the audit server 40.
<Data structure example>
Next, a description will be given of various types of information used in the sensitive data management system 1 of this embodiment. An example of a data catalog 221 in this embodiment is shown in FIG. 6. This data catalog 221 is a table managed in the distributed ledger 220.

データカタログ221は、機微データを一意に特定するデータID600をキーとして、当該機微データのデータ名601、オーナー602、同意情報603、アクセス権60
4、およびハッシュ値605が管理されている。 The data catalog 221 uses a data ID 600 that uniquely identifies sensitive data as a key, and stores the data name 601, owner 602, consent information 603, and access right 604 of the sensitive data.
4, and a hash value 605 are managed.

このうち、オーナー602は、当該機微データの保有者である。 Of these, the owner 602 is the holder of the sensitive data.

また、同意情報603は、当該機微データの提供者が、上述のオーナー602による当該機微データの利活用に同意したかを示す値である。 In addition, the consent information 603 is a value indicating whether the provider of the sensitive data has consented to the utilization of the sensitive data by the owner 602 described above.

また、アクセス権604は、当該機微データに対してアクセスが許可された組織を規定する値である。 In addition, the access right 604 is a value that specifies the organization that is permitted to access the sensitive data.

また、ハッシュ値605は、当該機微データをハッシュ関数に入力して得たハッシュ値である。 The hash value 605 is a hash value obtained by inputting the sensitive data into a hash function.

また図7は、分散台帳220で管理されるタスク一覧222のデータ構成例を示した図である。このタスク一覧222は、タスクを一意に特定するタスクID700をキーとして、当該タスクを依頼した依頼者701、そのタスクに使用する元データ(たる機微データ)のID702、タスクの内容703、およびそのタスクの実行結果704が管理されている。 Figure 7 is a diagram showing an example of the data structure of the task list 222 managed by the distributed ledger 220. This task list 222 uses a task ID 700 that uniquely identifies a task as a key to manage the requester 701 who requested the task, the ID 702 of the original data (sensitive data) used for the task, the task content 703, and the execution result 704 of the task.

また図8は、分散台帳220で管理されるデータ関係性223の構成例を示した図である。このデータ関係性223は、機微データの各間の関係性について管理するテーブルであり、レコードID800をキーとして、処理対象となった機微データを示す元データ801、当該機微データの処理結果を示す結果データ802、当該処理の起因となったタスクを示すタスクID803、および正しさの保証804が管理されている。 Figure 8 is a diagram showing an example of the configuration of data relationships 223 managed by the distributed ledger 220. This data relationship 223 is a table that manages the relationships between each piece of sensitive data, and manages, using a record ID 800 as a key, original data 801 indicating the sensitive data to be processed, result data 802 indicating the processing result of the sensitive data, task ID 803 indicating the task that caused the processing, and correctness guarantee 804.

このうち正しさの保証804は、監査サーバ40による監査結果により真正性が認められた場合に設定される値である。図8の例では、チェックマークが設定されている。
<フロー例:メインフロー>
以下、本実施形態における機微データ管理方法の実際手順について図に基づき説明する。以下で説明する機微データ管理方法に対応する各種動作は、機微データ管理システム1を構成する各装置らがそれぞれのメモリ等に読み出して実行するプログラムによって実現される。そして、このプログラムは、以下に説明される各種の動作を行うためのコードから構成されている。 Among these, the guarantee of authenticity 804 is a value that is set when authenticity is recognized as a result of the audit by the audit server 40. In the example of Fig. 8, a check mark is set.
<Flow example: Main flow>
The actual procedure of the sensitive data management method in this embodiment will be described below with reference to the drawings. The various operations corresponding to the sensitive data management method described below are realized by a program that each device constituting the sensitive data management system 1 reads into its respective memory and executes. This program is composed of codes for performing the various operations described below.

図9Aは、本実施形態における機微データ管理方法のフロー例であり、全体フローの例を示す図である。なお、本実施形態では、処理依頼組織3、データ保有組織4、および監査組織5の各装置が分散台帳ネットワークにより接続されている。 Figure 9A is a diagram showing an example of the flow of the sensitive data management method in this embodiment, and an example of the overall flow. Note that in this embodiment, the processing requesting organization 3, the data holding organization 4, and the auditing organization 5 are connected by a distributed ledger network.

まず、データ保有組織4のタスク処理装置20が、データ提供(S10)をする。ただしここでのデータ提供は、機微データのメタデータであって、例えば、データカタログ221やデータ関係性223の一部または全部を想定する。 First, the task processing device 20 of the data holding organization 4 provides data (S10). However, the data provided here is metadata of sensitive data, and for example, some or all of the data catalog 221 and data relationships 223 are assumed.

次に、処理依頼組織3のクライアント50にて、上述のデータ保有組織4の分散台帳220にて所有されている機微データに対する、アクセス権の付与依頼を実行する(S11)。 Next, the client 50 of the processing requesting organization 3 executes a request to grant access rights to the sensitive data held in the distributed ledger 220 of the data holding organization 4 described above (S11).

次に、データ保有組織4のタスク処理装置20にて、上述の処理依頼組織3のクライアント50から受け付けたアクセス権付与依頼に応じて、アクセス権付与承認(S12)の処理を実行する。 Next, the task processing device 20 of the data holding organization 4 executes the process of approving the grant of the access right (S12) in response to the access right grant request received from the client 50 of the processing request organization 3 described above.

次に、処理依頼組織3のクライアント50にて、上述の処理(S12)の結果、アクセス権が得られた機微データに対する解析の処理依頼(S13)を実行する。 Next, the client 50 of the processing requesting organization 3 executes a processing request (S13) for analysis of the sensitive data for which access rights have been granted as a result of the above processing (S12).

次に、データ保有組織4のタスク処理装置20にて、上述の処理依頼組織3のクライアント50から依頼を受け付けた解析を実行(S14)し、処理を終了する。 Next, the task processing device 20 of the data holding organization 4 executes the analysis requested by the client 50 of the processing request organization 3 (S14), and ends the processing.

一方、監査組織5の監査サーバ40は、こうしたデータ保有組織4のタスク処理装置20における処理結果等について、所定の監査処理(S15)を実行することとなる。
<フロー例:データ提供>
図9Bは本実施形態における機微データ管理方法の一部である、データ提供(S10)の詳細例を示したフロー図である。この場合の処理の実行主体は、データ保有組織4のクライアント52および分散台帳ノード12となる。 On the other hand, the audit server 40 of the audit organization 5 executes a predetermined audit process (S 15 ) on the processing results etc. in the task processing device 20 of the data holding organization 4 .
<Flow example: Data provision>
9B is a flow diagram showing a detailed example of data provision (S10), which is part of the sensitive data management method in this embodiment. In this case, the execution subjects of the process are the client 52 of the data holding organization 4 and the distributed ledger node 12.

なお、データ保有組織4の業務担当者等であるユーザ900は、クライアント52を操作し、上述のデータ提供の指示を行うものとする。クライアント52は、この指示を受けて、自組織が適宜な記憶装置にて保有する機微データを読み出し、これを分散台帳ノード12にデータ提供(901)する。この場合のデータ提供は、機微データの実データとなる。 The user 900, who is a person in charge of operations at the data-holding organization 4, operates the client 52 to give the above-mentioned data provision instruction. Upon receiving this instruction, the client 52 reads out the sensitive data held by its own organization in an appropriate storage device, and provides this data to the distributed ledger node 12 (901). The data provided in this case is the actual sensitive data.

次に、データ保有組織4の分散台帳ノード12は、クライアント52から機微データを受け取り(902)、この機微データをプライベートストレージ30に書き込む(903)。 Next, the distributed ledger node 12 of the data holding organization 4 receives the sensitive data from the client 52 (902) and writes the sensitive data to the private storage 30 (903).

次に、データ保有組織4の分散台帳ノード12は、クライアント52から受け取った機微データからメタデータを作成し(904)、これを分散台帳220のデータカタログ221に書き込み(905)、処理を終了する。 Next, the distributed ledger node 12 of the data holding organization 4 creates metadata from the sensitive data received from the client 52 (904), writes this to the data catalog 221 of the distributed ledger 220 (905), and terminates the process.

なお、ここでの書き込み対象となるメタデータとは、データ名601、オーナー602、同意情報603、アクセス権604、およびハッシュ値605を含むデータである。
<フロー例:アクセス権限の処理>
図9Cは本実施形態における機微データ管理方法の一部であるアクセス権依頼に対応する処理フローを示した図である。ここでは、処理依頼組織3のクライアント50および分散台帳ノード10が協働するものとする。また、処理依頼組織3のユーザ910が、クライアント50を操作し、当該フローのトリガーとなる依頼を実行することとする。 The metadata to be written here is data including a data name 601 , an owner 602 , consent information 603 , access rights 604 , and a hash value 605 .
<Flow example: Access authority processing>
9C is a diagram showing a processing flow corresponding to an access right request, which is part of the sensitive data management method in this embodiment. Here, it is assumed that a client 50 of the processing requesting organization 3 and a distributed ledger node 10 cooperate with each other. Also, it is assumed that a user 910 of the processing requesting organization 3 operates the client 50 to execute a request that triggers the processing flow.

まず、処理依頼組織3のクライアント50は、データ一覧取得依頼(911)を実行し、分散台帳ノード10に対して、分散台帳220で管理されているデータカタログ221を要求する。 First, the client 50 of the processing requesting organization 3 executes a data list acquisition request (911) and requests the data catalog 221 managed in the distributed ledger 220 from the distributed ledger node 10.

続いて、処理依頼組織3の分散台帳ノード10は、データ一覧取得(912)を実行し、分散台帳220からデータカタログ221を取得して、これをクライアント50に送信(913)する。これにより、機微データのデータカタログ221が、クライアント50に渡されることになる。 Then, the distributed ledger node 10 of the processing requesting organization 3 executes data list acquisition (912), acquires the data catalog 221 from the distributed ledger 220, and sends it to the client 50 (913). As a result, the data catalog 221 of the sensitive data is passed to the client 50.

一方、クライアント50は、分散台帳ノード10から送られてきたデータカタログ221を受信する(914)。クライアント50は、このデータカタログ221を表示して、ユーザ910の閲覧向けに提示する。ユーザ910はデータカタログ221を参照し、利用希望の機微データを検討する。そして、当該機微データに関して、アクセス権を望むことになる。 Meanwhile, the client 50 receives the data catalog 221 sent from the distributed ledger node 10 (914). The client 50 displays this data catalog 221 and presents it for viewing by the user 910. The user 910 refers to the data catalog 221 and considers the sensitive data he or she wishes to use. Then, the user 910 requests access rights to that sensitive data.

そこでクライアント50は、ユーザ910からの指示を受けて、上述の機微データのアクセス権を要求するため、アクセス権要求依頼(915)を実行する。 Then, in response to an instruction from the user 910, the client 50 executes an access right request (915) to request access rights to the above-mentioned sensitive data.

一方、分散台帳ノード10は、クライアント50からのアクセス権要求を受信し、上述の機微データに対するアクセス権の付与申請情報を分散台帳220に書き込み(916)、処理を終了する。
<フロー例:アクセス権承認>
図9Dは本実施形態における機微データ管理方法の一部である、アクセス権承認のフロー例を示した図である。この場合、データ保有組織4のクライアント52および分散台帳ノード12が協働するものとする。また、データ保有組織4のユーザ920は、クライアント52を操作し、本フローのトリガーを与えることとなる。 On the other hand, the distributed ledger node 10 receives an access right request from the client 50, writes the application information for granting access right to the above-mentioned sensitive data to the distributed ledger 220 (916), and terminates the processing.
<Flow example: Access right approval>
9D is a diagram showing an example of a flow of access right approval, which is part of the sensitive data management method in this embodiment. In this case, the client 52 of the data holding organization 4 and the distributed ledger node 12 cooperate with each other. In addition, a user 920 of the data holding organization 4 operates the client 52 to trigger this flow.

データ保有組織4のクライアント52は、アクセス権要求一覧取得依頼(921)を実行し、自組織が保有する機微データに対するアクセス権付与の要求が来ていることを確認する。このアクセス権付与の要求は、上述の図9Cのフローにおけるステップ916で分散台帳220に格納されたものである。 The client 52 of the data-holding organization 4 executes a request to obtain a list of access rights requests (921) and confirms that a request for granting access rights to sensitive data held by the organization has been received. This request for granting access rights was stored in the distributed ledger 220 in step 916 in the flow of Figure 9C described above.

分散台帳ノード12は、分散台帳220に書き込まれているアクセス権付与の申請情報を取得する(922)。 The distributed ledger node 12 obtains the application information for granting access rights written in the distributed ledger 220 (922).

次に、分散台帳ノード12は、上述のステップ922で取得したアクセス権付与申請情報を、クライアント52に送信する(923)。 Next, the distributed ledger node 12 sends the access right grant application information obtained in step 922 described above to the client 52 (923).

一方、クライアント52は、アクセス権付与申請の情報を受け取り(924)、これに対する承認作業のワークフローを実行する(925)。このワークフローは、例えば、クライアント52が、機微データの提供者の端末に対してアクセス権の付与可否についての問合せを実行して、その結果を取得するといったものを想定できる。 Meanwhile, the client 52 receives the information on the access right grant application (924) and executes a workflow for approval of the request (925). This workflow can be envisioned, for example, as a case in which the client 52 queries the terminal of the provider of the sensitive data about whether or not to grant the access right and obtains the result of the query.

次に、分散台帳ノード12は、分散台帳220にてアクセス権承認情報の書き込み(926)を実行し、また、当該機微データに関するアクセス権の承認情報を、分散台帳220のデータカタログ221のアクセス権604の項目に書き込み、処理を終了する。
<フロー例:解析依頼>
図9Eは本実施形態における機微データ管理方法の一部である、解析依頼フローの例を示した図である。この場合、データ保有組織4のクライアント50および分散台帳ノード10が協働するものとする。また、ユーザ930が、クライアント50を操作し、本フローのトリガーとなる。 Next, the distributed ledger node 12 writes (926) the access right approval information in the distributed ledger 220, and also writes the access right approval information for the sensitive data in the access right 604 item of the data catalog 221 of the distributed ledger 220, and terminates the processing.
<Flow example: Analysis request>
9E is a diagram showing an example of an analysis request flow, which is part of the sensitive data management method in this embodiment. In this case, the client 50 of the data holding organization 4 and the distributed ledger node 10 cooperate with each other. In addition, a user 930 operates the client 50 to trigger this flow.

ユーザ930の操作を受けたクライアント50は、アクセス権を取得した機微データに対して、例えば、所定の解析処理であるタスクの実行をするため、分散台帳ノード10に対するタスク実行依頼(931)を実行する。 The client 50, which receives the operation of the user 930, executes a task execution request (931) to the distributed ledger node 10 to execute a task, for example, a specified analysis process, on the sensitive data to which the client has acquired access rights.

一方、分散台帳ノード10は、タスク実行可否確認(932)を実行し、処理依頼組織3が正しくアクセス権を取得しているか、また、対象となる機微データがデータ提供者から正しく同意情報を得られているか等の確認を実行する。この確認は、データカタログ221における同意情報603が「Agree」であるか、また、アクセス権604の値に、当該処理依頼組織3の識別情報が含まれているか、をチェックする処理となる。 Meanwhile, the distributed ledger node 10 executes a task execution confirmation (932) to check whether the processing requesting organization 3 has correctly obtained access rights, and whether the consent information for the sensitive data in question has been correctly obtained from the data provider. This confirmation is a process of checking whether the consent information 603 in the data catalog 221 is "Agree" and whether the value of the access rights 604 includes the identification information of the processing requesting organization 3.

次に、分散台帳ノード10は、分散台帳220のタスク一覧222にタスクの内容を書き込み(933)、処理を終了する。なお、ここで書き込む内容は、依頼者701、元データ702、及びタスク内容703である。このうち元データ702は、解析対象とされ
た機微データのIDである。
<フロー例:タスク処理>
図9Fは本実施形態における機微データ管理方法の一部である、解析実行フローの例を示した図である。この場合、データ保有組織4のタスク処理装置20および分散台帳ノード15が協働するものとする。 Next, the distributed ledger node 10 writes the contents of the task in the task list 222 of the distributed ledger 220 (933), and ends the process. The contents written here are the requester 701, the original data 702, and the task contents 703. Of these, the original data 702 is the ID of the sensitive data that was the subject of analysis.
<Flow example: Task processing>
9F is a diagram showing an example of an analysis execution flow, which is a part of the sensitive data management method in this embodiment. In this case, the task processing device 20 and the distributed ledger node 15 of the data holding organization 4 cooperate with each other.

まず、タスク処理装置20が、分散台帳ノード12の分散台帳220で管理されているタスク一覧222をポーリングする(941)。 First, the task processing device 20 polls the task list 222 managed in the distributed ledger 220 of the distributed ledger node 12 (941).

一方、分散台帳ノード12は、上述のポーリングを受けて、分散台帳220で管理されているタスクがある場合、これをタスク処理装置20に渡す(942)。 On the other hand, if the distributed ledger node 12 receives the above-mentioned polling and finds a task managed in the distributed ledger 220, it passes it to the task processing device 20 (942).

次に、タスク処理装置20は、分散台帳ノード12からタスクを取得し(943)、当該タスクの対象となる機微データに関して、その実データを取得(944)する。ここで取得される実データは、プライベートストレージ30にて管理されている実データである。 Next, the task processing device 20 acquires (943) the task from the distributed ledger node 12, and acquires (944) the actual data for the sensitive data that is the subject of the task. The actual data acquired here is the actual data managed in the private storage 30.

続いて、タスク処理装置20は、タスク実行判定(945)を実行し、ステップ944で得ている実データが正しいものであるか確認する。 Next, the task processing device 20 executes a task execution determination (945) to check whether the actual data obtained in step 944 is correct.

このタスク実行判定(945)における、実データが正しいものであるか確認する手法としては、例えば、取得した実データをハッシュ関数(分散台帳ノード12が保持・利用するものと同じもの)に入力してハッシュ値を計算し、これを、分散台帳220のデータカタログ221にて保存されているハッシュ値605の値と比較するものを想定できる。この比較の結果、両者が一致する場合、正しいデータがロードされたことを確認できる。 As a method for confirming whether the actual data is correct in this task execution determination (945), for example, one possible method is to input the acquired actual data into a hash function (the same one that is held and used by the distributed ledger node 12) to calculate a hash value, and then compare this with the hash value 605 stored in the data catalog 221 of the distributed ledger 220. If the comparison shows that the two match, it can be confirmed that the correct data has been loaded.

次に、タスク処理装置20は、タスク実行(946)を実行し、プライベートストレージ30から読み込んだ実データに対して解析等の処理を実行する。 Next, the task processing device 20 executes the task (946) and performs processing such as analysis on the actual data read from the private storage 30.

次に、タスク処理装置20は、タスク実行結果返却(947)を実行し、分散台帳ノード12に対して解析結果を応答する。 Next, the task processing device 20 executes a task execution result return (947) and responds with the analysis result to the distributed ledger node 12.

また、分散台帳ノード12は、タスク実行結果書き込み(948)を実行し、分散台帳220で管理されているタスク一覧222の結果704に、解析に成功したか失敗したかを書き込む。 The distributed ledger node 12 also executes task execution result writing (948) and writes whether the analysis was successful or unsuccessful in the result 704 of the task list 222 managed by the distributed ledger 220.

なお、タスク実行結果返却(947)で得られた結果データは、データ提供(S10)と同様の処理により、プライベートストレージ30および分散台帳220におけるデータカタログ221に新たなデータとして追加される。また、分散台帳220で管理されているデータ関係性223に、新たな項目として、元データ801、結果データ802、タスクID803が書き込まれることとなる。
<フロー例:>
図9Gは本実施形態における機微データ管理方法の一部である、監査フローの例を示した図である。この場合、監査組織5のクライアント54、監査サーバ40、および分散台帳ノード14が協働するものとする。また、監査組織5のユーザ950が、クライアント54を操作し、本フローのトリガーを与える。 The result data obtained by returning the task execution result (947) is added as new data to the data catalog 221 in the private storage 30 and the distributed ledger 220 by the same process as in providing data (S10). Also, the original data 801, result data 802, and task ID 803 are written as new items to the data relationship 223 managed in the distributed ledger 220.
<Flow example:>
9G is a diagram showing an example of an audit flow, which is part of the sensitive data management method in this embodiment. In this case, the client 54 of the audit organization 5, the audit server 40, and the distributed ledger node 14 cooperate with each other. In addition, a user 950 of the audit organization 5 operates the client 54 to trigger this flow.

まず、クライアント54は、監査UI接続(951)を実行し、監査業務用のUIを監査サーバ40に要求する。 First, the client 54 executes an audit UI connection (951) and requests a UI for audit operations from the audit server 40.

一方、監査サーバ40は、上述のクライアント54に対し、監査UI提供(952)を行う。ここでクライアント54に対して提供されるUIは、例えば、図14に示す監査UI500の出力画面を想定できる。 Meanwhile, the audit server 40 provides an audit UI (952) to the above-mentioned client 54. The UI provided to the client 54 here can be, for example, the output screen of the audit UI 500 shown in FIG. 14.

図14は本実施形態における監査UI500の例を示す図である。この監査UI500において、ユーザはクライアント54により監査種類選択インターフェイス510を操作し、監査種類を選択する。この監査種類には、後に図10から図12で示す、データ整合性監査、データ削除監査、同意情報監査、およびアクセス権監査がある。 Figure 14 is a diagram showing an example of an audit UI 500 in this embodiment. In this audit UI 500, the user operates an audit type selection interface 510 via the client 54 to select an audit type. The audit types include a data integrity audit, a data deletion audit, a consent information audit, and an access rights audit, which will be shown later in Figures 10 to 12.

また、上述のユーザは、監査対象設定520において、対象となる機微データを選択するか、または、全ての機微データを監査対象として選択できる。 In addition, in the audit target setting 520, the user can select the sensitive data to be audited or select all sensitive data to be audited.

また、上述のユーザは、クライアント54により監査周期設定インターフェイス530を操作し、監査周期を設定可能である。監査を定期的に実行する設定か、一回のみ実行する設定を行うことが可能である。 The user can also set the audit period by operating the audit period setting interface 530 on the client 54. It is possible to set the audit to be performed periodically or only once.

また、監査結果表示領域540には、監査サーバ40による監査結果が表示される。 In addition, the audit results displayed in the audit result display area 540 are displayed by the audit server 40.

次に、クライアント54は、上述の監査UI500を介して受けた監査内容について、監査サーバ40に指示を送る、監査操作指示(953)を実行する。 Next, the client 54 executes an audit operation instruction (953) that sends instructions to the audit server 40 regarding the audit content received via the above-mentioned audit UI 500.

一方、監査操作指示を受けた監査サーバ40および分散台帳ノード14は、互いにやり取りを行って、監査を実行(954)する。本監査の内容については図10から図13に基づき後述する。 Meanwhile, the audit server 40 and distributed ledger node 14 that received the audit operation instruction communicate with each other to perform the audit (954). The contents of this audit will be described later with reference to Figures 10 to 13.

続いて、監査サーバ40が監査結果をクライアント54に応答する一方、クライアント54は、上述の監査UI500(図14)の監査結果表示領域540に監査結果を表示し(955)、処理を終了する。
<フロー例:整合性監査>
図10はデータの監査実行(954)における監査内容の一部であり、データ整合性監査のフロー例を示す図である。 Next, the audit server 40 responds with the audit results to the client 54, while the client 54 displays the audit results in the audit result display area 540 of the above-mentioned audit UI 500 (FIG. 14) (955), and ends the process.
<Flow example: Integrity audit>
FIG. 10 shows a part of the audit content in the data audit execution (954), and is a diagram showing an example of the flow of a data consistency audit.

まず、監査サーバ40は、データカタログ221から、監査対象の機微データに関するメタデータを取得(1001)する。 First, the audit server 40 obtains (1001) metadata related to the sensitive data to be audited from the data catalog 221.

次に、監査サーバ40は、タスク一覧222を参照し、監査対象となる機微データを用いたタスクを取得(1002)する。 Next, the audit server 40 refers to the task list 222 and obtains (1002) the tasks that use the sensitive data to be audited.

次に、監査サーバ40は、タスク実行結果から得られた結果データが正しいかを確認(1003)する。この確認の手法としては、例えば、分散台帳220で当該機微データに対するタスク処理に関して保持するトランザクション(の内容)と、データ関係性223が示す当該タスクの結果データ802とを照合し、一致するか確認するものを想定できる。 Next, the audit server 40 checks (1003) whether the result data obtained from the task execution result is correct. As a method of this check, for example, a transaction (contents) held in the distributed ledger 220 regarding the task processing for the sensitive data is compared with the result data 802 of the task indicated by the data relationship 223, and whether they match can be assumed.

次に、監査サーバ40は、1003の結果が正しい旨を示すものであれば、データ関係性223の正しさの保証804に正しい旨の値(図8でのチェック)を書き込む。 Next, if the result of 1003 indicates that the data is correct, the audit server 40 writes a value indicating that the data is correct (check in FIG. 8) to the correctness guarantee 804 of the data relationship 223.

また、監査サーバ40は、結果データ用いて更に解析が行われているか、タスク一覧222やデータ関係性223にて確認し、それがある場合は(1004:YES)、そのデータを監査対象として1001に戻る。一方、ない場合(1004:NO)、監査サーバ
40は、監査結果を監査UI500の監査結果表示領域540に表示し(1005)、処理を終了する。
<フロー例:削減監査>
図11はデータの監査実行(954)における監査内容の一部であり、データ削除監査のフロー例を示す図である。 The audit server 40 also checks in the task list 222 and data relationship 223 whether further analysis has been performed using the result data, and if so (1004: YES), returns to 1001 with that data as the audit target. On the other hand, if not (1004: NO), the audit server 40 displays the audit results in the audit result display area 540 of the audit UI 500 (1005), and ends the process.
<Flow example: Reduction audit>
FIG. 11 shows a part of the audit content in the data audit execution (954), and is a diagram showing an example of the flow of a data deletion audit.

はじめに、監査サーバ40は、データカタログ221から、監査対象となる機微データ管理システムのメタデータを取得(1101)する。 First, the audit server 40 obtains (1101) metadata of the sensitive data management system to be audited from the data catalog 221.

次に、監査サーバ40は、監査対象の機微データが正しく削除されているかを確認(1102)する。この確認は、例えば、分散台帳220で当該機微データに対する削除処理に関して保持するトランザクション(の内容)の存在と、データカタログ221における該当機微データの不存在を確認するものを想定できる。 Next, the audit server 40 checks (1102) whether the sensitive data to be audited has been correctly deleted. This check can be assumed to, for example, check the existence of a transaction (contents) stored in the distributed ledger 220 regarding the deletion process for the sensitive data, and the absence of the sensitive data in question in the data catalog 221.

次に、監査サーバ40は、タスク一覧222から、監査対象の機微データを用いたタスクを探索し、当該タスクある場合(1103:YES)、新たな監査対象として1101に戻る。 Next, the audit server 40 searches the task list 222 for a task that uses the sensitive data to be audited, and if such a task is found (1103: YES), it returns to 1101 as a new audit target.

一方、ない場合(1103:NO)、監査サーバ40は、監査UI500の監査結果表示領域540に監査結果を表示し(1104)、処理を終了する。
<フロー例:同意情報監査>
図12はデータの監査実行(954)における監査内容の一部であり、データ同意情報の監査フローの例を示す図である。 On the other hand, if there is no such result (1103: NO), the audit server 40 displays the audit result in the audit result display area 540 of the audit UI 500 (1104), and ends the process.
<Flow example: Consent information audit>
FIG. 12 shows a part of the audit content in the data audit execution (954), and is a diagram showing an example of the audit flow of data consent information.

まず、監査サーバ40は、データカタログ221から、監査対象の機微データに関するメタデータを取得(1201)する。 First, the audit server 40 obtains (1201) metadata related to the sensitive data to be audited from the data catalog 221.

次に、監査サーバ40は、分散台帳220におけるトランザクションから、当該機微データに関するアクセス権の同意情報の書き換え履歴を取得(1202)する。 Next, the audit server 40 obtains (1202) the history of changes to the consent information for access rights related to the sensitive data from transactions in the distributed ledger 220.

次に、監査サーバ40は、同意情報の変更履歴を監査(1203)する。この監査は、例えば、分散台帳220で当該機微データに対する同意情報に関してステップ1202で得ている書き換え履歴(の内容)と、データカタログ221における該当機微データの同意情報603の内容とが一致するか判定するものを想定できる。 Next, the audit server 40 audits (1203) the change history of the consent information. This audit can be assumed to determine, for example, whether the (contents of) the rewrite history obtained in step 1202 regarding the consent information for the sensitive data in the distributed ledger 220 matches the contents of the consent information 603 for the sensitive data in question in the data catalog 221.

次に、監査サーバ40は、更に前の変更履歴があるかを確認(1204)し、ある場合(1204:YES)、処理を1202にもどる。 Next, the audit server 40 checks (1204) whether there is any earlier change history, and if there is (1204: YES), the process returns to 1202.

一方、ない場合(1204:NO)、監査サーバ40は、監査UI500の監査結果表示領域540に監査結果を表示し(1205)、処理を終了する。
<フロー例:データアクセス権監査>
図13はデータの監査実行(954)における監査内容の一部であり、データアクセス権の監査フローの例を示す図である。 On the other hand, if there is no such result (1204: NO), the audit server 40 displays the audit result in the audit result display area 540 of the audit UI 500 (1205), and ends the process.
<Flow example: Data access right audit>
FIG. 13 shows a part of the audit contents in the data audit execution (954), and is a diagram showing an example of the audit flow of data access rights.

まず、監査サーバ40は、データカタログ221から、監査対象の機微データに関するメタデータを取得(1301)する。 First, the audit server 40 obtains (1301) metadata related to the sensitive data to be audited from the data catalog 221.

次に、監査サーバ40は、分散台帳220におけるトランザクションから、上述の機微データに関するアクセス権の項目の書き換え履歴を取得(1302)する。 Next, the audit server 40 obtains (1302) the history of changes to the access rights items related to the above-mentioned sensitive data from transactions in the distributed ledger 220.

次に、監査サーバ40は、アクセス権の申請および承認情報の監査(1303)をする。この場合の監査としては、例えば、分散台帳220で当該機微データに対するアクセス権付与に関してステップ1302で得ている書き換え履歴(の内容)と、データカタログ221における該当機微データのアクセス権604の内容とが一致するか判定するものを想定できる。 Next, the audit server 40 audits (1303) the application for access rights and the approval information. In this case, the audit can be assumed to determine whether the rewrite history (contents) obtained in step 1302 regarding the granting of access rights to the sensitive data in the distributed ledger 220 matches the contents of the access rights 604 for the sensitive data in the data catalog 221, for example.

次に、監査サーバ40は、更に前の書き換え履歴があるかを確認(1304)し、ある場合(1304:YES)、処理を1302に戻す。 Next, the audit server 40 checks (1304) whether there is any earlier rewrite history, and if there is (1304: YES), returns the process to 1302.

一方、ない場合(1304:NO)、監査サーバ40は、監査UI500の監査結果表示領域540に監査結果を表示し(1305)、処理を終了する。 On the other hand, if not (1304: NO), the audit server 40 displays the audit results in the audit result display area 540 of the audit UI 500 (1305) and ends the process.

以上、本発明を実施するための最良の形態などについて具体的に説明したが、本発明はこれに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。 The above describes in detail the best mode for carrying out the present invention, but the present invention is not limited to this, and various modifications are possible without departing from the spirit of the present invention.

こうした本実施形態によれば、機微データの提供者は、提供先に関する利活用の同意情報の剥奪やデータ削除等が正しく行われたことを確認可能であり、正しく安全に保管、利活用されていることを知ることができる。すなわち、利活用される機微データをその提供者の意図に沿って、検証可能かつ正しく管理可能となる。 According to this embodiment, the provider of sensitive data can confirm that the revocation of consent information for utilization related to the recipient and the deletion of data have been performed correctly, and can know that the data is being stored and utilized correctly and securely. In other words, sensitive data to be utilized can be verifiable and managed correctly in accordance with the provider's intentions.

本明細書の記載により、少なくとも次のことが明らかにされる。すなわち、本実施形態の機微データ管理システムにおいて、前記組織のノードは、前記機微データに対する各種処理を、Trusted Execution Environmentを用いて実行するものである、としてもよい。 The description in this specification makes clear at least the following. That is, in the sensitive data management system of this embodiment, the nodes of the organization may execute various processes on the sensitive data using a Trusted Execution Environment.

これによれば、セキュアかつ真正性を保った処理が保証されることとなる。ひいては、利活用される機微データをその提供者の意図に沿って、より検証可能かつ正しく管理可能となる。 This will ensure secure and authentic processing. Ultimately, sensitive data that is utilized can be managed more verifiably and correctly in line with the intent of the data provider.

また、本実施形態の機微データ管理システムにおいて、前記組織のノードは、前記処理要求として、前記機微データの提供先たる前記組織に対する、当該機微データの提供者の意向であって、当該機微データの削除または利用権限の剥奪の要求を受けた場合、前記Trusted Execution Environment上で、当該処理要求に対応する処理を実行し、当該処理の経緯に関するログを前記分散台帳に格納するものである、としてもよい。 In addition, in the sensitive data management system of this embodiment, when the node of the organization receives, as the processing request, a request to delete or revoke the right to use the sensitive data, which is the intention of the provider of the sensitive data to the organization to which the sensitive data is provided, the node of the organization executes processing corresponding to the processing request on the Trusted Execution Environment and stores a log of the process of the processing in the distributed ledger.

これによれば、機微データの削除や利用権限剥奪といった各処理をセキュアかつ真正性を保って実行可能となる。ひいては、利活用される機微データをその提供者の意図に沿って、より検証可能かつ正しく管理可能となる。 This makes it possible to perform processes such as deleting sensitive data and revoking usage permissions securely and with authenticity. Ultimately, sensitive data that is utilized can be managed more verifiably and correctly in accordance with the intent of its provider.

また、本実施形態の機微データ管理システムにおいて、前記組織のノードは、前記機微データを起点に前記処理により順次生成されていく、一連のN次データの関係性を前記処理の経緯に関するログとして分散台帳にて管理するものである、としてもよい。 In addition, in the sensitive data management system of this embodiment, the organizational node may manage the relationships of a series of Nth-order data that are generated sequentially by the processing starting from the sensitive data in a distributed ledger as a log of the process history.

これによれば、機微データに関する処理で順次生じたデータの関係性を改竄不可能に管理可能となる。ひいては、利活用される機微データをその提供者の意図に沿って、より検証可能かつ正しく管理可能となる。 This makes it possible to manage the data relationships that arise sequentially during processing of sensitive data in a way that makes it impossible to tamper with them. Ultimately, sensitive data that is utilized can be managed more verifiably and correctly in line with the intentions of its provider.

また、本実施形態の機微データ管理システムにおいて、前記機微データの利活用に関する監査用のノードは、分散台帳で保持する前記メタデータに基づいて監査対象の機微デー
タを特定して、前記分散台帳上で保持する当該機微データの処理のトランザクションを特定し、当該トランザクションと、前記機微データの前記ログが示す経緯とを照合することで、機微データを起点にした前記関係性の正しさ、または、機微データの正しさに関する監査処理を実行するものである、としてもよい。 In addition, in the sensitive data management system of this embodiment, the node for auditing the utilization of the sensitive data may identify the sensitive data to be audited based on the metadata held in the distributed ledger, identify a transaction for processing the sensitive data held on the distributed ledger, and compare the transaction with the process indicated in the log of the sensitive data, thereby performing audit processing regarding the correctness of the relationship starting from the sensitive data or the correctness of the sensitive data.

これによれば、改竄不可能な上述の関係性の情報に基づいた各種監査が可能となる。ひいては、利活用される機微データをその提供者の意図に沿って、より検証可能かつ正しく管理可能となる。 This will enable various audits to be performed based on the unalterable relationship information described above. Ultimately, sensitive data that is utilized can be managed more verifiably and correctly in line with the intent of the data provider.

また、本実施形態の機微データ管理方法において、前記組織のノードが、前記機微データに対する各種処理を、Trusted Execution Environmentを用いて実行する、としてもよい。 In addition, in the sensitive data management method of this embodiment, the nodes of the organization may execute various processes on the sensitive data using a Trusted Execution Environment.

また、本実施形態の機微データ管理方法において、前記組織のノードが、前記処理要求として、前記機微データの提供先たる前記組織に対する、当該機微データの提供者の意向であって、当該機微データの削除または利用権限の剥奪の要求を受けた場合、前記Trusted Execution Environment上で、当該処理要求に対応する処理を実行し、当該処理の経緯に関するログを前記分散台帳に格納する、としてもよい。 In addition, in the sensitive data management method of this embodiment, when a node of the organization receives, as the processing request, a request to delete or revoke the use authority of the sensitive data, which is the intention of the provider of the sensitive data to the organization to which the sensitive data is provided, the node may execute processing corresponding to the processing request on the Trusted Execution Environment and store a log of the process of the processing in the distributed ledger.

また、本実施形態の機微データ管理方法において、前記組織のノードが、前記機微データを起点に前記処理により順次生成されていく、一連のN次データの関係性を前記処理の経緯に関するログとして分散台帳にて管理する、としてもよい。 In addition, in the sensitive data management method of this embodiment, the node of the organization may manage the relationships of a series of Nth-order data that are generated sequentially by the processing starting from the sensitive data in a distributed ledger as a log of the process history.

また、本実施形態の機微データ管理方法において、前記機微データの利活用に関する監査用のノードが、分散台帳で保持する前記メタデータに基づいて監査対象の機微データを特定して、前記分散台帳上で保持する当該機微データの処理のトランザクションを特定し、当該トランザクションと、前記機微データの前記ログが示す経緯とを照合することで、機微データを起点にした前記関係性の正しさ、または、機微データの正しさに関する監査処理を実行する、としてもよい。 In addition, in the sensitive data management method of this embodiment, a node for auditing the utilization of the sensitive data may identify the sensitive data to be audited based on the metadata held in the distributed ledger, identify a transaction for processing the sensitive data held in the distributed ledger, and compare the transaction with the history indicated in the log of the sensitive data, thereby performing an audit process regarding the correctness of the relationship starting from the sensitive data or the correctness of the sensitive data.

1 機微データ管理システム
2 分散台帳ネットワーク
3 処理依頼組織
4 データ保有組織
5 監査組織
10 分散台帳ノード(処理依頼組織)
12 分散台帳ノード(データ保有組織)
15 分散台帳ノード(監査組織)
20 タスク処理装置
30 プライベートストレージ
40 監査サーバ
50 クライアント(処理依頼組織)
52 クライアント(データ保有組織)
55 クライアント(監査組織)
210 記憶部
211 プログラム
212 データ管理スマコン
213 タスク管理スマコン
220 分散台帳
221 データカタログ
222 タスク一覧
223 データ関係性
230 ステートDB
240 演算部
250 メモリ
310 記憶部
311 プログラム
330 演算部
331 暗号化領域作成部
340 メモリ
341 暗号化領域
350 通信部
410 記憶部
411 プログラム
412 ユーザインターフェイス提供プログラム
413 監査実行プログラム
430 演算部
431 メモリ
432 通信部
510 記憶部
511 プログラム
512 クライアントユーザインターフェイス
513 ユーザ命令送受信部
530 演算部
531 メモリ
532 通信部 1 Sensitive data management system 2 Distributed ledger network 3 Processing requesting organization 4 Data holding organization 5 Auditing organization 10 Distributed ledger node (processing requesting organization)
12. Distributed ledger nodes (data holding organizations)
15. Distributed ledger node (auditory organization)
20 Task processing device 30 Private storage 40 Audit server 50 Client (processing request organization)
52 Client (data-holding organization)
55 Client (audit organization)
210 Storage unit 211 Program 212 Data management smart computer 213 Task management smart computer 220 Distributed ledger 221 Data catalog 222 Task list 223 Data relationship 230 State DB
240 Calculation unit 250 Memory 310 Storage unit 311 Program 330 Calculation unit 331 Encryption area creation unit 340 Memory 341 Encryption area 350 Communication unit 410 Storage unit 411 Program 412 User interface providing program 413 Audit execution program 430 Calculation unit 431 Memory 432 Communication unit 510 Storage unit 511 Program 512 Client user interface 513 User command transmission/reception unit 530 Calculation unit 531 Memory 532 Communication unit

Claims (10)

複数の組織により機微データの利活用を行う分散台帳システムであって、
前記組織それぞれのノードは、自身の分散台帳において、各組織が所有する機微データのメタデータを保持し、プライベートストレージにおいて、自組織が所有者となっている機微データの実データを保持して、
前記機微データに対する利用権限の申請および承認のワークフローをスマートコントラクトにより実行し、当該利用権限に関するワークフローの結果を前記分散台帳に格納する処理と、前記プライベートストレージに保管する機微データに関して処理要求を受けた場合、当該機微データに対する前記利用権限を確認し、当該利用権限に応じて処理を実行して、当該処理の経緯に関するログを分散台帳に格納し、前記機微データに関して受けた前記処理要求に応じた前記処理の結果のみを前記処理要求の発信元に応答する処理を実行するものである、
ことを特徴とする機微データ管理システム。 A distributed ledger system that allows multiple organizations to utilize sensitive data,
Each node of the organizations stores metadata of the sensitive data owned by the organization in its own distributed ledger, stores actual data of the sensitive data owned by the organization in its private storage,
a process of executing a workflow for application and approval of usage rights for the sensitive data by a smart contract, and storing the results of the workflow related to the usage rights in the distributed ledger; and, when a processing request is received for sensitive data stored in the private storage, a process of confirming the usage rights for the sensitive data, executing processing in accordance with the usage rights, storing a log regarding the process history in the distributed ledger, and responding to the sender of the processing request with only the results of the processing in accordance with the processing request received for the sensitive data .
A sensitive data management system comprising: 前記組織のノードは、
前記機微データに対する各種処理を、Trusted Execution Environmentを用いて実行するものである、
ことを特徴とする請求項1に記載の機微データ管理システム。 The organizational node may include:
The various processes for the sensitive data are executed using a Trusted Execution Environment.
The sensitive data management system according to claim 1 . 前記組織のノードは、
前記処理要求として、前記機微データの提供先たる前記組織に対する、当該機微データの提供者の意向であって、当該機微データの削除または利用権限の剥奪の要求を受けた場合、前記Trusted Execution Environment上で、当該処理要求に対応する処理を実行し、当該処理の経緯に関するログを前記分散台帳に格納するものである、
ことを特徴とする請求項2に記載の機微データ管理システム。 The organizational node may include:
When the processing request is an intention of a provider of the sensitive data to the organization to which the sensitive data is provided, and a request for deletion of the sensitive data or revocation of the usage authority of the sensitive data is received, a process corresponding to the processing request is executed on the Trusted Execution Environment, and a log regarding the process is stored in the distributed ledger.
The sensitive data management system according to claim 2 . 前記組織のノードは、
前記機微データを起点に、前記機微データに関して受けた前記処理要求に応じた前記処理により順次生成されていく、一連のN次データの関係性を前記処理の経緯に関するログとして分散台帳にて管理するものである、
ことを特徴とする請求項2に記載の機微データ管理システム。 The organizational node may include:
The sensitive data is used as a starting point , and a series of N-th order data is sequentially generated by the processing in response to the processing request received regarding the sensitive data . The relationship between the series of N-th order data is managed in a distributed ledger as a log regarding the history of the processing.
The sensitive data management system according to claim 2 . 前記機微データの利活用に関する監査用のノードは、
分散台帳で保持する前記メタデータに基づいて監査対象の機微データを特定して、前記分散台帳上で保持する当該機微データの処理のトランザクションを特定し、当該トランザクションと、前記機微データの前記ログが示す経緯とを照合することで、機微データを起点にした前記関係性の正しさ、または、機微データの正しさに関する監査処理を実行するものである、
ことを特徴とする請求項4に記載の機微データ管理システム。 The node for auditing the utilization of the sensitive data is:
The system identifies sensitive data to be audited based on the metadata held in a distributed ledger, identifies transactions of the processing of the sensitive data held in the distributed ledger, and compares the transactions with the history indicated in the log of the sensitive data, thereby executing an audit process regarding the correctness of the relationship starting from the sensitive data or the correctness of the sensitive data.
The sensitive data management system according to claim 4 . 複数の組織により機微データの利活用を行う分散台帳システムにおいて、
前記組織それぞれのノードが、
自身の分散台帳において、各組織が所有する機微データのメタデータを保持し、プライベートストレージにおいて、自組織が所有者となっている機微データの実データを保持して、
前記機微データに対する利用権限の申請および承認のワークフローをスマートコントラクトにより実行し、当該利用権限に関するワークフローの結果を前記分散台帳に格納する処理と、前記プライベートストレージに保管する機微データに関して処理要求を受けた場合、当該機微データに対する前記利用権限を確認し、当該利用権限に応じて処理を実行して、当該処理の経緯に関するログを分散台帳に格納し、前記機微データに関して受けた前記処理要求に応じた前記処理の結果のみを前記処理要求の発信元に応答する処理、
を実行することを特徴とする機微データ管理方法。 In a distributed ledger system where multiple organizations utilize sensitive data,
a node of each of the organizations,
Each organization will store metadata of sensitive data owned by that organization in its own distributed ledger, and store the actual data of sensitive data owned by that organization in private storage.
a process of executing a workflow for application and approval of usage rights for the sensitive data by a smart contract and storing the result of the workflow related to the usage rights in the distributed ledger; and a process of, when receiving a processing request for sensitive data stored in the private storage, confirming the usage rights for the sensitive data, executing processing in accordance with the usage rights, storing a log regarding the history of the processing in the distributed ledger, and responding to the sender of the processing request with only the result of the processing in accordance with the processing request received for the sensitive data ;
A sensitive data management method comprising the steps of: 前記組織のノードが、
前記機微データに対する各種処理を、Trusted Execution Environmentを用いて実行する、
ことを特徴とする請求項6に記載の機微データ管理方法。 The organizational node comprises:
Various processes on the sensitive data are executed using a Trusted Execution Environment;
The sensitive data management method according to claim 6 . 前記組織のノードが、
前記処理要求として、前記機微データの提供先たる前記組織に対する、当該機微データの提供者の意向であって、当該機微データの削除または利用権限の剥奪の要求を受けた場合、前記Trusted Execution Environment上で、当該処理要求に対応する処理を実行し、当該処理の経緯に関するログを前記分散台帳に格納する、
ことを特徴とする請求項7に記載の機微データ管理方法。 The organizational node comprises:
When the processing request is an intention of a provider of the sensitive data to the organization to which the sensitive data is provided, and a request to delete the sensitive data or revoke the use authority of the sensitive data is received, the Trusted Execution Environment executes a process corresponding to the processing request, and stores a log of the process in the distributed ledger;
The sensitive data management method according to claim 7 . 前記組織のノードが、
前記機微データを起点に、前記機微データに関して受けた前記処理要求に応じた前記処理により順次生成されていく、一連のN次データの関係性を前記処理の経緯に関するログとして分散台帳にて管理する、
ことを特徴とする請求項7に記載の機微データ管理方法。 The organizational node comprises:
Starting from the sensitive data , a series of N-th order data is sequentially generated by the processing in response to the processing request received regarding the sensitive data . The relationship between the series of N-th order data is managed in a distributed ledger as a log regarding the history of the processing.
The sensitive data management method according to claim 7 . 前記機微データの利活用に関する監査用のノードが、
分散台帳で保持する前記メタデータに基づいて監査対象の機微データを特定して、前記分散台帳上で保持する当該機微データの処理のトランザクションを特定し、当該トランザクションと、前記機微データの前記ログが示す経緯とを照合することで、機微データを起点にした前記関係性の正しさ、または、機微データの正しさに関する監査処理を実行する、
ことを特徴とする請求項9に記載の機微データ管理方法。 The node for auditing the utilization of the sensitive data is:
Identifying sensitive data to be audited based on the metadata held in the distributed ledger, identifying transactions of the processing of the sensitive data held in the distributed ledger, and comparing the transactions with the history indicated in the log of the sensitive data, thereby executing an audit process regarding the correctness of the relationship starting from the sensitive data or the correctness of the sensitive data;
The sensitive data management method according to claim 9 .
JP2021091003A 2021-05-31 2021-05-31 Sensitive data management system and sensitive data management method Active JP7590925B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2021091003A JP7590925B2 (en) 2021-05-31 2021-05-31 Sensitive data management system and sensitive data management method
PCT/JP2022/007390 WO2022254823A1 (en) 2021-05-31 2022-02-22 Sensitive data management system and sensitive data management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021091003A JP7590925B2 (en) 2021-05-31 2021-05-31 Sensitive data management system and sensitive data management method

Publications (2)

Publication Number Publication Date
JP2022183596A JP2022183596A (en) 2022-12-13
JP7590925B2 true JP7590925B2 (en) 2024-11-27

Family

ID=84324158

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021091003A Active JP7590925B2 (en) 2021-05-31 2021-05-31 Sensitive data management system and sensitive data management method

Country Status (2)

Country Link
JP (1) JP7590925B2 (en)
WO (1) WO2022254823A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118227708B (en) * 2024-04-10 2024-08-23 山东顺国电子科技有限公司 Method and system for synchronously managing data among distributed big databases

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018132931A (en) 2017-02-15 2018-08-23 富士通株式会社 Approval system, approval method, and approval program
WO2021009789A1 (en) 2019-07-12 2021-01-21 日本電信電話株式会社 Control device, data registration system, and control program

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018132931A (en) 2017-02-15 2018-08-23 富士通株式会社 Approval system, approval method, and approval program
WO2021009789A1 (en) 2019-07-12 2021-01-21 日本電信電話株式会社 Control device, data registration system, and control program

Also Published As

Publication number Publication date
WO2022254823A1 (en) 2022-12-08
JP2022183596A (en) 2022-12-13

Similar Documents

Publication Publication Date Title
US12493862B2 (en) Systems, methods, and apparatuses for implementing smart flow contracts using distributed ledger technologies in a cloud based computing environment
US11451530B2 (en) Systems, methods, and apparatuses for implementing super community and community sidechains with consent management for distributed ledger technologies in a cloud based computing environment
US20250158827A1 (en) Decentralized data verification
US11611560B2 (en) Systems, methods, and apparatuses for implementing consensus on read via a consensus on write smart contract trigger for a distributed ledger technology (DLT) platform
US11257073B2 (en) Systems, methods, and apparatuses for implementing machine learning models for smart contracts using distributed ledger technologies in a cloud based computing environment
CN110620810B (en) Non-linked ownership of continuous asset transfer over blockchain
US20190236562A1 (en) Systems, methods, and apparatuses for implementing document interface and collaboration using quipchain in a cloud based computing environment
EP3864552B1 (en) Blockchain smart contracts for digital asset access
US20190238316A1 (en) Systems, methods, and apparatuses for implementing intelligent consensus, smart consensus, and weighted consensus models for distributed ledger technologies in a cloud based computing environment
US11296863B2 (en) Blockchain enterprise data management
US20190207751A1 (en) Blockchain enterprise data management
US11755563B2 (en) Ledger data generation and storage for trusted recall of professional profiles
JP2022533770A (en) A system or method for enforcing the right to be forgotten on a metadata-driven blockchain using shared secrets and read agreements
US11327950B2 (en) Ledger data verification and sharing system
KR20220050606A (en) System and Method for Intelligent mediating based enhanced smart contract for privacy protection
TWI636415B (en) Decentralization know your customer (kyc) system based on blockchain smart contract and method thereof
JP7590925B2 (en) Sensitive data management system and sensitive data management method
Tan et al. Blockchain for Decentralized Know Your Customer (KYC) and Customer Due Diligence (CDD) Pipelines in the Metaverse
JP2020123111A (en) Information linking system and information linking method
JP2023085088A (en) Information processing device, information processing method, and computer program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240820

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20241010

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20241112

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20241115

R150 Certificate of patent or registration of utility model

Ref document number: 7590925

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150