フレームワーク

（１）対象スコープ

本研究が前提にする各対象の範囲を対象スコープとして，既に述べたものもあるが 図３.６に示す．サービスの類型は総務省が示す三つのタイプのうちユーザ の趣 味・嗜好にマッチした情報を提供する行動支援型サービスであり，情報の機密性 についてはライフログのように比較的機密レベルの低い情報を，サービスの永続 性については情報推薦のように非永続的なサービスを主たる対象にする．またユ ーザ集合については全体が把握されており，比較的人の出入りが少ない静態的コ ミュニティを主たる対象とするが，全体が把握されていれば移動的な集団であっ ても対象範疇とする．

図３.６ 本研究の対象スコープ

（２）サーバの役割と責任

本研究で議論するポイントであるユーザ背景情報を，コミュニティ状況を考慮しつ つ述べるにあたり前提とするフレームワークについて述べる．サービスを要求するユ ーザとサービスを提供するプロバイダの間に，ブローカ的役割を果たす形でサーバを 考える．このユーザ，サーバ，プロバイダという枠組みは，Ｗｅｂサービスの基本三 者であるサービスリクエスタ，サービスファインダ，サービスプロバイダの枠組みに 相当し，２.２節で述べたように，多くの関連研究もこのフォーメーションをベースに しており，本研究においてもこの枠組みを基本にする．

第 ３ 章 課 題 分 析

36

今後ＳＮＳなどに見られるように一般個人がコンテンツを提供する個人的プロバイ ダが増えてくることを考えると，パーソナル情報を利用したサービスは，複合的なサ ービス，つまりさまざまなプロバイダのサービスを統合したようなサービスになるこ とが予想される．そのとき，サーバは，ユーザの代理として，プロバイダへ個人を秘 匿した情報を開示する役目や，プロバイダから送られてくるサービスコンテンツをユ ーザに中継するなどブローカ的な機能を持つフレームワークとなる．

サーバをプラットフォーム化し，ユーザから提示されるパーソナル情報を預かり，

一度登録したもの，一度手続きしたものを共有できれば，ユーザもプロバイダも，い ちいちサービス開始の都度発生する認証手続きも不要となり，手間が省けコスト低減 の効果も大きい．実運用時には課金処理なども可能である．

プラットフォーム化されたサーバは，今後標準的フレームワークになっていくと考 えられる．このプラットフォームの，ユーザに対する一般的な役割と責任は，プロバ イダが自主的に取得する情報，およびプラットフォームが取得し何らかの処理を施し たのちプロバイダに提供する情報，のそれぞれに対して発生する．いずれも，個人情 報保護法や前述した配慮原則の精神に沿った，サービスの透明性や情報の安全性確保 などである．特に前者の場合，サービスは，原則，プロバイダとユーザの契約が基本 で，これらが適切に行われるように監視する義務がある．つまり，

１．サービスの説明 ２．利用者の承諾

３．問い合わせへの対応 ４．照会，変更，取り消しへの対応 といった原則をプラットフォーム自ら守ること，あるいはプロバイダが守っているか をチェックすることである．悪意あるプロバイダの排除もサーバの役割と責任である が，そのような基本的な透明性や安全管理面のチェックが基本である．この様子を図 ３.７に示すが，これはあくまで一般的な議論であり，本研究においては，関連研究の

図 ３.７ サーバの役割と責任[68]

第 ３ 章 課 題 分 析

37

大半がそうであるように，ユーザからパーソナル情報を一旦セキュアなサーバで預か りデータベース(ＤＢ)化し，統計処理など，一括処理を行ったうえでプロバイダに提 供する形態とし，ユーザとプロバイダが直にやりとりする場合は扱わないとする．一 般的な機構のほかにきめ細かいトレードオフ制御に基づくプライバシ保護を実現する ためのパーソナル情報預かり機構や匿名度調整機構など，本研究独自の機構を具備し，

プライバシ保護サーバ¹ （ＰＰＳ）として機能する．

（３）プロバイダに情報を一切渡さない処理の可能性

究極の理想である，プロバイダに情報を一切渡さずにＰＰＳで処理する，という考 え方は，技術的には可能である．参考文献[54,57]がそのような考え方で，パーソナル 情報そのものをプロバイダに渡さずにサービスを受ける研究である．[54]は[45]のア ーキテクチャを基本的な考え方として，ユーザ側（含ＰＰＳ）にプロバイダよりアプ リケーションルール（if then のルール）をダウンロードし，ユーザ側で個人属性情 報を参照してアプリケーションルールに基づいて制御コマンド² を生成し，プロバイ ダに送り返し，プロバイダはその制御コマンドに基づいた動作（サービス提供）を行 う．[57]は[49]の基本アーキテクチャをベースにし，プロバイダからユーザ側にアプ リケーション機能を有するモバイルエージェントを送り込み，ユーザ側でそのエージ ェントがパーソナル情報を使ってサービスを提供し，プロバイダはその結果のみを取 得してマーケッティングなどに活用する．

このような場合，[54,57]のどちらも，情報推薦のような各プロバイダがお抱えの得 意分野のＤＢを使うコンテンツ提供サービスなどは，ＤＢそのものをその都度ＰＰＳ に移すのは現実的には困難で，無理がある．すなわち，プロバイダにパーソナル情報 を一切渡さずにそのプロバイダが提供するサービスを受けるには，ＰＰＳ側に何らか の形でプロバイダが持つ機能を移動させて，ＰＰＳの中でパーソナル情報にアクセス してサービスを提供するという形になる．しかしすべてのサービスがこの形にできず，

推薦サービスなどは対象外になる可能性がある．また，いろいろなサービスが偏在す る環境では，ＰＰＳに機能が集中し負荷が大きくなりすぎて運用上，現実的ではない．

本研究においては，ＰＰＳがユーザより情報を預かりＤＢ化や匿名化など行いユーザ に代わって開示処理など行うとする．

（４）ＰＰＳのセキュリティ対策

本研究におけるすべての議論の前提は，ＰＰＳがセキュアであることである．その

1 Privacy Preserving Server，以降ＰＰＳと呼ぶ．図３.９参照．

2 サービス実行のアクション，ビヘイビア等．

第 ３ 章 課 題 分 析

38

セキュリティ確保のための対策について以下に述べる．

ＰＰＳには，その時々のユーザ全員のパーソナル情報が記憶されている．機密が中 程度で，自身がパーソナルサービスを受けるために開示してもよいという前提とはい え，できることなら知られたくない情報である．このデータベースがシステム内部よ り悪意のある攻撃を受けたり，外部より盗聴など不正アクセスされるような攻撃を受 けたりすることは，個人情報保護法や前述した配慮原則の観点より，パーソナル情報 を扱うシステムとしてあってはならない．

サーバ（ＰＰＳ）は，接続されているあらゆる端末¹ から，パーソナル情報のほか，

リクエストされるサービスに関するデータ要求などを受け取って処理する[11]．アプ リケーションサーバ，データベースサーバ，ファイルサーバ，Web サーバなど，いく つかの種類があるが，本研究におけるＰＰＳは，貴重なパーソナル情報を保護し，同 時にユーザとプロバイダとの仲介役としてブローカの機能も含む包括的機能構成によ り複数の側面を有し，あらゆるウイルス，ワーム，トロイの木馬，DoS ( サービス拒 否 ) などの攻撃に対して最強の手を打っておく必要がある．ダウンしたり機能が無効 になったりしないようハッカーに対しても同様である．そのような観点より以下の対 策は必須である．これらを実システムに組み込む実践過程においてもたらされるトー タルシステムのセキュリティレベルの向上により，サイバーテロによるプライバシ侵 害に対して極めて強固な防御がなされる．厳重なプライバシ保護が実現され，いわゆ るサイバーテロの脅威のなかで，本人の意図しない間に本人情報が攻撃されて，第三 者によって悪用されることは避けられる．トータルシステムにおよぶ安心，安全の実 現は，一切無用なパーソナル情報の開示を避けるために，本研究の狙いどころの一つ である．

 オペレーティング システムのセキュリティ強化：オペレーティングシステム は，デフォルトではセキュリティ機能が最大限の設定にはなっていないため，

最強のセキュリティにセットする． 不要なツールやユーティリティは削除し，

新たに発見されたオペレーティングシステムの脆弱性に対する修正プログラム を手当し，パッチを更新する[34,38]．

 暗号化および認証：種類の異なる処理が含まれているため用途に合わせて複数 サーバの割り当てが必要になる．外部からのアクセス対応にかかわらず，ファ イルサーバやデータベースサーバには機密データが格納されるためプライベー トサーバとしての役割が必須になる．すべてのログインセッションを暗号化す ることはもちろん，アクセス制御の導入も必要となる[21,25,52]．ハッカーな どの傍受に対応するため部分的なサーバレベルの暗号化も場合によっては必要 となる．

1 センサ端末なども含む．

第 ３ 章 課 題 分 析

39

 アクセス制限：ＰＰＳへのアクセスは，ユーザ名とパスワードでログインでき る認証は最低限のセキュリティとして必須であり，その上でＰＰＳへのアクセ スログへの格別な監視体制，脆弱性検査ソフトウェアによる異常アクティビテ ィ検知など，場合によってはファイルへのアクセス権の制限措置をも考慮する [23,33]．

 データの保護とＰＰＳのバックアップ：大量の機密情報を保護するため，デー タとともにＰＰＳ自体を保護することが重要である． 安全な場所に設置して，

原則指定された担当者のみアクセスを許可する．また，ＰＰＳのバックアップ 計画を作成して，データのバックアップを離れた場所に作成するなど，物理的 な損傷にも対応しておく．継続的なデータ保護は，どのようなデータの損失か らもより迅速な復旧を可能にする．

 ウイルス対策ソフトウェアおよびファイアウォールのインストール：ＰＰＳは，

その位置づけ上，各方面からのアクセスが可能であるため，とりわけ他のマシ ンと同様のウイルスや脅威に対して脆弱になる故，ウイルス対策ソフトウェア によりあらゆる攻撃からの保護が必須である．また対策ソフトウェアの定期的 な更新も，ＰＰＳの保護態の維持に必須である．ファイアウォールもネットワ ークアクセスを制限するために，搭載しておくべき重要なセキュリティメカニ ズムである．ソフトウェアファイアウォールとハードウェアファイアウォール を組み合わせてＰＰＳおよびネットワークにインストールすることで，機密デ ータを侵入者から保護する．

 耐タンパモジュールによる信頼性確保：上述のような，ファイアウォール，Ｉ ＤＳ(Intrude Defense System)など，一般的なセキュリティ対策を施した上で モラル的な信頼度を期待する以外に，耐タンパモジュールを使ったＴＣＧ (Trusted Computing Group) が提唱する機構により，ファイルシステムとして の信頼度を上げる方法がある．

機密レベルが最高で厳重に保 護したいコンポーネントなど にはこれを採用する．このイ メージを図３.８に示す．

ここでＴＰＥ(Trusted Processing Environment) [40]

は安全なプログラムの実行 環境提供機能，ＴＰＭ (Trusted Platform Module)

は安全なプラットフォーム 図３.８ 耐ﾀﾝﾊﾟﾓｼﾞｭｰﾙによる信頼性確保[69]

提供機能モジュールを言う．