[go: up one dir, main page]

WO2024142165A1 - クラウドサーバ、情報処理システム、管理方法、及び、プログラム - Google Patents

クラウドサーバ、情報処理システム、管理方法、及び、プログラム Download PDF

Info

Publication number
WO2024142165A1
WO2024142165A1 PCT/JP2022/047984 JP2022047984W WO2024142165A1 WO 2024142165 A1 WO2024142165 A1 WO 2024142165A1 JP 2022047984 W JP2022047984 W JP 2022047984W WO 2024142165 A1 WO2024142165 A1 WO 2024142165A1
Authority
WO
WIPO (PCT)
Prior art keywords
consent
cloud server
iot device
privacy data
security level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/JP2022/047984
Other languages
English (en)
French (fr)
Inventor
香 佐藤
弘明 遠藤
弘晃 小竹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2024566954A priority Critical patent/JP7763972B2/ja
Priority to PCT/JP2022/047984 priority patent/WO2024142165A1/ja
Publication of WO2024142165A1 publication Critical patent/WO2024142165A1/ja
Anticipated expiration legal-status Critical
Ceased legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules

Definitions

  • This disclosure relates to a cloud server, an information processing system, a management method, and a program.
  • the cloud server includes: A cloud server that manages an IoT device that collects and accumulates privacy data related to a user's privacy, consent details acquisition means for acquiring consent details regarding the use of the privacy data from a terminal operated by a user; A setting means for setting a security level corresponding to the consent content acquired by the consent content acquisition means in the IoT device; Equipped with.
  • FIG. 1 is a diagram illustrating an example of an overall configuration of an information processing system 1 according to embodiment 1 of the present disclosure. As illustrated in Fig. 1, in the information processing system 1, an IoT device 10, a device connection cloud server 20, a service operation cloud server 30, and a terminal 40 are communicatively connected via the Internet N.
  • the device connection cloud server 20 is, for example, a server computer, and works in conjunction with the service operation cloud server 30 to manage the IoT devices 10.
  • FIG. 2 is a schematic diagram showing an example of the configuration of an IoT device 10.
  • the IoT device 10 includes a sensor camera 11, a privacy data storage unit 12, a software service 13, a network service 14, a device authentication unit 15, and a network I/F (interface) 16.
  • the network service 14 provides a network function that is an additional function of the IoT device 10.
  • the network service 14 causes the IoT device 10 to perform air conditioning control in accordance with instructions from the device connection cloud server 20.
  • the device authentication unit 15 performs device authentication when providing the network service 14 or when displaying a consent screen, which will be described later.
  • the device authentication unit 15 stores account information such as a user name and password, and performs device authentication together with the user who uses the terminal 40 via the service operation cloud server 30.
  • the network I/F 16 is, for example, a communication unit for communicating with the device connection cloud server 20 via the Internet N.
  • the user may be able to configure the security functions by operating a switch installed on the IoT device 10 or by operating an operation screen on the terminal 40.
  • FIG. 3 is a schematic diagram showing an example of the configuration of the device connection cloud server 20.
  • the device connection cloud server 20 includes a storage unit 21, a network I/F 22, and a control unit 23.
  • the storage unit 21 is, for example, a solid state drive (SSD) or a hard disk, and stores various information.
  • the storage unit 21 stores a service management table 211 and a level management table 212.
  • the service management table 211 stores items 211a for which user consent is required and a required security level 211b in association with each other. Note that the larger the value of the security level 211b, the higher the security level.
  • the level management table 212 stores a security level 212a and a required setting 212b in association with each other, as shown in FIG. 5, for example.
  • the memory unit 21 can store privacy data collected from the IoT device 10.
  • the network I/F 22 is, for example, a communication unit for communicating with the IoT device 10 via the Internet N. Note that the network I/F 22 also communicates with the service operation cloud server 30 via the Internet N.
  • the confirmation means 233 confirms the security level set in the IoT device 10.
  • the confirmation means 233 reads out the security options set in the IoT device 10.
  • the confirmation means 233 then compares the security level required for the consent content with the security level set in the IoT device 10.
  • the device connection cloud server 20 starts providing the service (SQ7). That is, the service processing means 234 uses the IoT device 10 for which the security level has been set to provide a service according to the security level. For example, the service processing means 234 uses the IoT device 10 for which the security level has been set to "3" to provide an automatic control service using privacy data. Specifically, the service processing means 234 collects privacy data such as heart rate, body temperature, and temperature from the IoT device 10, and performs air conditioning control appropriate for the user.
  • privacy data such as heart rate, body temperature, and temperature
  • the security of the IoT device 10 is ensured before a service that uses privacy data is provided.
  • the privacy data stored in the IoT device 10 can be appropriately protected.
  • FIG. 8 is a sequence diagram explaining the flow of the process of checking the security level. Note that, even in FIG. 8, communication regarding user authentication, device authentication, etc. is omitted, but in reality, the process of checking the security level is executed after user authentication, device authentication, etc. are performed, as described below. Furthermore, the same process content as that already explained will be explained in a simplified manner.
  • the consent details may be sent each time a check is entered in any of the items requiring consent on the consent screen CG1 as shown in FIG. 6 described above.
  • items with insufficient security levels may be sent in SQ16 and SQ17, and the items with insufficient security levels may be highlighted in red, for example, on the consent screen CG1.
  • the device connection cloud server 20 requests the security level from the IoT device 10 (SQ23). In response to the request, the IoT device 10 replies with the set security level (SQ24).
  • the device connection cloud server 20 identifies configurable items from the security level that has already been set (SQ25). That is, the confirmation means 233 identifies configurable items by referring to the service management table 211 in FIG. 4 described above based on the security level set in the IoT device 10. For example, if the security level set in the IoT device 10 is "2", the device connection cloud server 20 identifies "upload of private data” and "remote viewing of private data" as configurable items.
  • the configurable items can be appropriately displayed on the consent screen according to the security level set in the IoT device 10.
  • the device connection cloud server 20 stores a management table as shown in FIG. 11 in the storage unit 21 instead of the service management table 211 of FIG. 4 described above.
  • the management table shown in FIG. 11 associates items requiring user consent with firmware versions.
  • the device connection cloud server 20 determines the F/W version according to the consent content, instead of determining the security level in SQ3. Then, when making a setting request in SQ4, the device connection cloud server 20 requests the IoT device 10 to set the determined F/W version. In response to this request, the IoT device 10 appropriately updates the F/W version, instead of setting the security level in SQ5. In other words, if the F/W version requested to be set is newer than the current F/W version, the IoT device 10 updates to the requested F/W version. Note that if the F/W version requested to be set is older than the current F/W version, the IoT device 10 does not perform anything in particular.
  • the device connection cloud server 20 requests the F/W version instead of requesting the security level from the IoT device 10 in SQ13 and SQ23.
  • the IoT device 10 replies with the current F/W version instead of replying with the set security level in SQ14 and SQ24.
  • the device connection cloud server 20 checks the F/W version required for consent.
  • the device connection cloud server 20 identifies configurable items from the current F/W version.
  • the firmware of the IoT device 10 can be used as is with an older version as necessary. For example, this can accommodate users who are reluctant to update the firmware due to limitations in the specifications of the IoT device 10 or because the user is accustomed to the UI (user interface) of the older version.
  • FIG. 12 is a sequence diagram explaining the flow of the process of deleting privacy data. Note that, even in FIG. 12, communication regarding user authentication, device authentication, etc. is omitted, but in reality, after user authentication, device authentication, etc. are performed, the process of checking the security level is executed as described below. Also, it is assumed that a service using privacy data is already being provided, and that privacy data as shown in FIG. 13 has been accumulated in the device connection cloud server 20 and the IoT device 10.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

ユーザのプライバシーに関するプライバシーデータを収集して蓄積するIoT機器を管理する機器接続クラウドサーバ(20)は、制御部(23)に、同意内容取得手段(231)、及び、設定手段(232)を備える。同意内容取得手段(231)は、プライバシーデータの利用についての同意内容を、ユーザが操作する端末から取得する。そして、設定手段(232)は、同意内容取得手段(231)が取得した同意内容に応じたセキュリティレベルを、IoT機器に設定する。

Description

クラウドサーバ、情報処理システム、管理方法、及び、プログラム
 本開示は、クラウドサーバ、情報処理システム、管理方法、及び、プログラムに関する。
 近年、宅内に設置されたIoT(Internet of Things)機器をインターネットを介して外部から遠隔操作する技術が種々提案されている。このようなIoT機器には、ユーザのプライバシーに関するプライバシーデータが蓄積される場合が多い。そのため、IoT機器からプライバシーデータが漏洩したり、IoT機器のプライバシーデータが改ざんされたりするリスクがあった。
 そのため、プライバシー保護方法をユーザが選択できる技術も開示されている。例えば、特許文献1に開示された技術では、プライバシーに関するオプションを選択または拒絶することにより、個人の作業空間に関連付けられたデータが収集されないようにしたり、収集されるがデータは個人の作業空間にリンクされないようにしたり、データの使用の目的を制限したりすることができる。つまり、特許文献1には、データ収集方法、又は、利用方法をユーザが変更できるようにする技術が開示されている。
特開2018-056128号公報
 上述した特許文献1に開示された技術では、ユーザの選択によりデータの収集方法、又は、利用方法が変更できるものの、データの収集を行う機器に対するセキュリティについては充分に考慮されていない。そのため、特許文献1に開示された技術を適用しても、IoT機器からプライバシーデータが漏洩したり、IoT機器に蓄積されたプライバシーデータが改ざんされるといったリスクは残ったままとなる。
 本開示は、上記課題を解決するためになされたものであり、IoT機器に蓄積されたプライバシーデータを適切に保護することのできるクラウドサーバ、情報処理システム、管理方法、及び、プログラムを提供することを目的とする。
 上記目的を達成するため、本開示に係るクラウドサーバは、
 ユーザのプライバシーに関するプライバシーデータを収集して蓄積するIoT機器を管理するクラウドサーバであって、
 前記プライバシーデータの利用についての同意内容を、ユーザが操作する端末から取得する同意内容取得手段と、
 前記同意内容取得手段が取得した前記同意内容に応じたセキュリティレベルを、前記IoT機器に設定する設定手段と、
 を備える。
 本開示に係るクラウドサーバでは、同意内容取得手段が、プライバシーデータの利用についての同意内容を、ユーザが操作する端末から取得する。そして、設定手段が、同意内容取得手段が取得した同意内容に応じたセキュリティレベルを、IoT機器に設定する。そのため、プライバシーデータを利用したサービスを、IoT機器のセキュリティを確保してから提供することになる。この結果、IoT機器に蓄積されるプライバシーデータを適切に保護することができる。
本開示の実施形態1に係る情報処理システムの全体構成の一例を示す図 IoT機器の構成の一例を示す図 機器接続クラウドサーバの構成の一例を示す図 サービス管理テーブルの一例を示す図 レベル管理テーブルの一例を示す図 端末に表示される同意画面の一例を示す図 セキュリティレベルを設定する処理の流れを説明するためのシーケンス図 セキュリティレベルを確認する処理の流れを説明するためのシーケンス図 同意画面に設定可能な項目を表示する処理の流れを説明するためのシーケンス図 端末に表示される他の同意画面の一例を示す図 他の管理テーブルの一例を示す図 プライバシーデータを削除する処理の流れを説明するためのシーケンス図 プライバシーデータの一例を示す図
 以下、本開示の実施形態について、図面を参照しながら詳細に説明する。以下では、IoT機器が、一例として、空調機器である場合について説明するが、後述するように、照明機器といった他の種類の機器を管理する場合でも同様に本開示を適用することができる。すなわち、以下に説明する実施形態は説明のためのものであり、本開示の範囲を制限するものではない。従って、当業者であればこれらの各要素または全要素をこれと均等なものに置換した実施形態を採用することが可能であるが、これらの実施形態も本開示の範囲に含まれる。また、以下の実施形態で説明する各図においては、共通する要素に同一の符号を付けるものとする。
(実施形態1)
 図1は、本開示の実施形態1に係る情報処理システム1の全体構成の一例を示す図である。図1に示すように、情報処理システム1は、IoT機器10と、機器接続クラウドサーバ20と、サービス運用クラウドサーバ30と、端末40とが、インターネットNを介して通信可能に接続されている。
 IoT機器10は、例えば、ユーザの住宅内に設置されている空調機器であり、後述するセンサ・カメラによって、ユーザのプライバシーに関するプライバシーデータを収集して蓄積可能となっている。
 機器接続クラウドサーバ20は、例えば、サーバ用のコンピュータであり、サービス運用クラウドサーバ30と連携し、IoT機器10を管理する。
 サービス運用クラウドサーバ30は、例えば、サーバ用のコンピュータであり、端末40を認証し、認証した端末40からのアクセスを受け付ける。なお、情報処理システム1において、機器接続クラウドサーバ20とサービス運用クラウドサーバ30とを備える場合について説明するが、これら機器接続クラウドサーバ20とサービス運用クラウドサーバ30との機能を、1台のクラウドサーバに集約させてもよい。
 端末40は、例えば、ユーザに操作されるスマートフォン、タブレット等であり、後述する同意画面を表示し、ユーザの操作に応じた同意内容をサービス運用クラウドサーバ30を通じて機器接続クラウドサーバ20へ送信する。
 以下、情報処理システム1において最も特徴的なIoT機器10と機器接続クラウドサーバ20との構成について、より詳細に説明する。
 図2は、IoT機器10の構成の一例を示す模式図である。IoT機器10は、センサ・カメラ11と、プライバシーデータ記憶部12と、ソフトウェアサービス13と、ネットワークサービス14と、機器認証部15と、ネットワークI/F(インタフェース)16とを備えている。
 センサ・カメラ11は、温度センサ、湿度センサ、熱画像カメラ等であり、IoT機器10を使用するユーザのプライバシーに関するプライバシーデータを取得する。なお、センサ・カメラ11は、IoT機器10内に配置されている場合に限られず、IoT機器10外に配置されていてもよい。その場合、センサ・カメラ11は、IoT機器10と、有線または無線で接続された構成となる。例えば、センサ・カメラ11は、ユーザが身に着けたウェアラブルセンサであってもよい。この場合、センサ・カメラ11は、ユーザの心拍、体温等のプライバシーデータを取得する。
 プライバシーデータ記憶部12は、センサ・カメラ11が取得したプライバシーデータを蓄積して記憶する。なお、プライバシーデータ記憶部12へのプライバシーデータの蓄積は、後述するように、端末40における同意画面の操作に伴って、機器接続クラウドサーバ20からセキュリティレベルの設定が要求された後に開始される。また、同意画面の操作を経ることなく、IoT機器10単体で、プライバシーデータの収集と蓄積を行えるようにしてもよい。
 ソフトウェアサービス13は、IoT機器10の標準機能であるローカル機能を提供する。例えば、ソフトウェアサービス13は、機器接続クラウドサーバ20との通信を必要としない標準的な空調制御をIoT機器10に行わせる。
 ネットワークサービス14は、IoT機器10の追加機能であるネットワーク機能を提供する。例えば、ネットワークサービス14は、機器接続クラウドサーバ20からの指令に従った空調制御をIoT機器10に行わせる。
 機器認証部15は、ネットワークサービス14を提供する際、若しくは、後述する同意画面を表示する際に、機器認証を行う。例えば、機器認証部15は、ユーザ名、パスワード等のアカウント情報を記憶しており、サービス運用クラウドサーバ30を通じて端末40を使用するユーザと共に機器認証する。
 ネットワークI/F16は、例えば、インターネットNを通じて機器接続クラウドサーバ20と通信を行うための通信ユニットである。
 このような構成のIoT機器10は、インターネットNに接続することから、通信データの漏洩、不正操作等のサイバー攻撃の対象となる可能性がある。そのため、IoT機器10は、例えば、通信データの暗号化、ストレージの暗号化、F/W(ファームウェア)の自動更新等のセキュリティ機能を備えている。
 これらのセキュリティ機能は、デフォルト状態で、ベストプラクティスとなるように設定されている。それでも、暗号化により通信速度が遅くなること、F/Wの自動更新により待機時間が発生することなどのデメリットがあるため、これらのセキュリティ機能のON/OFFについて、ユーザが手動で切り替えられるように設計されている。つまり、ユーザが、リスクを許容する場合、代替のセキュリティ機能を設ける場合等に、セキュリティ機能をOFFにすることができる。なお、代替のセキュリティ機能とは、ローカルネットワーク内でしかIoT機器10を使用しない場合、アクセス制御機能を持ったルータを別途設ける場合等である。
 ユーザはセキュリティ機能の設定を、IoT機器10に設置されたスイッチを操作して行ったり、端末40から操作画面を操作して行えるようにしてもよい。
 次に、図3を参照して、機器接続クラウドサーバ20の構成について説明する。図3は、機器接続クラウドサーバ20の構成の一例を示す模式図である。機器接続クラウドサーバ20は、記憶部21と、ネットワークI/F22と、制御部23とを備えている。
 記憶部21は、例えば、SSD(Solid State Drive)、ハードディスク等であり、種々の情報を記憶する。例えば、記憶部21は、サービス管理テーブル211とレベル管理テーブル212とを記憶する。
 サービス管理テーブル211は、例えば、図4に示すように、ユーザの同意が必要となる項目211aと、要求されるセキュリティレベル211bとを対応付けて記憶する。なお、セキュリティレベル211bの値は、大きな値ほど、セキュリティレベルが高いことを示している。
 一方、レベル管理テーブル212は、例えば、図5に示すように、セキュリティレベル212aと、必要となる設定212bとを対応付けて記憶する。
 この他にも、記憶部21には、IoT機器10から収集したプライバシーデータを蓄積可能となっている。
 図3に戻って、ネットワークI/F22は、例えば、インターネットNを通じてIoT機器10と通信を行うための通信ユニットである。なお、ネットワークI/F22は、インターネットNを通じてサービス運用クラウドサーバ30との通信も行うものとする。
 制御部23は、例えば、CPU(Central Processing Unit)、RAM(Random Access Memory)、ROM(Read Only Memory)等を備えた演算ユニットであり、機器接続クラウドサーバ20全体を制御する。例えば、CPUが、RAMをワークメモリとして用い、ROMに記憶されている制御プログラムを適宜実行することにより、同意内容取得手段231、設定手段232、確認手段233、サービス処理手段234、撤回指示取得手段235、及び、削除手段236が実現される。
 同意内容取得手段231は、サービス運用クラウドサーバ30を通じて、端末40から送られる同意内容を取得する。例えば、端末40には、図6に示すようなプライバシーデータについての同意画面CG1が表示され、同意が必要となる各項目について、ユーザが任意にチェックを入力できるようになっている。そして、同意画面CG1にて同意ボタンBT1が押下されると、同意内容がサービス運用クラウドサーバ30を通じて、機器接続クラウドサーバ20へ送られるようになっている。そのため、同意内容取得手段231は、この同意内容を取得する。なお、同意画面CG1にて同意撤回ボタンBT2が押下されると、後述するように、撤回指示がサービス運用クラウドサーバ30を通じて、機器接続クラウドサーバ20へ送られるようになっている。
 図3に戻って、設定手段232は、上記の同意内容取得手段231が取得した同意内容に応じたセキュリティレベルを、IoT機器10に設定する。具体的に設定手段232は、上述した図4に示すサービス管理テーブル211を参照し、同意内容に含まれる同意項目に要求されるセキュリティレベルをそれぞれ特定する。そして、設定手段232は、特定したセキュリティレベルのうち、最も高いセキュリティレベルを、IoT機器10に設定する。より詳細に設定手段232は、セキュリティレベルに対応するセキュリティオプションをIoT機器10に設定する。
 確認手段233は、IoT機器10に設定されているセキュリティレベルを確認する。より詳細に確認手段233は、IoT機器10に設定されているセキュリティオプションを読み出す。そして、確認手段233は、同意内容に必要なセキュリティレベルと、IoT機器10に設定されているセキュリティレベルとを比較する。
 サービス処理手段234は、上記の設定手段232によってセキュリティレベルを設定したIoT機器10を用いて、セキュリティレベルに応じたサービスを提供する。例えば、サービス処理手段234は、セキュリティレベルを「3」に設定したIoT機器10を用いて、プライバシーデータを使用した自動制御のサービスを提供する。具体的にサービス処理手段234は、IoT機器10から心拍、体温、温度等のプライバシーデータを収集し、そのユーザに適した空調制御を行う。
 撤回指示取得手段235は、サービス運用クラウドサーバ30を通じて、端末40から送られる撤回指示を取得する。例えば、上述した図6に示すような同意画面CG1にて同意撤回ボタンBT2が押下されると、撤回指示がサービス運用クラウドサーバ30を通じて、機器接続クラウドサーバ20へ送られるようになっている。そのため、撤回指示取得手段235は、この撤回指示を取得する。
 削除手段236は、上記の撤回指示取得手段235が撤回指示を取得すると、IoT機器10に対して、蓄積したプライバシーデータの削除を指令する。また、削除手段236は、記憶部21にプライバシーデータを記憶している場合に、記憶部21からもプライバシーデータを削除する。
 以下、このような構成の情報処理システム1の動作について、図面を参照して詳細に説明する。
 最初に、図7を参照して、セキュリティレベルを設定する処理について説明する。図7は、セキュリティレベルを設定する処理の流れを説明するシーケンス図である。なお、図7では、ユーザ認証、機器認証等についての通信は省略しているが、実際には、ユーザ認証、機器認証等が行われた上で、以下に説明するように、セキュリティレベルを設定する処理が実行されるものとする。
 まず、端末40は、同意内容をサービス運用クラウドサーバ30へ送信する(SQ1)。例えば、端末40は、上述した図6に示すような同意画面CG1にて、同意が必要となる各項目について、ユーザが任意にチェックを入力した上で、同意ボタンBT1が押下されると、各項目のチェックの有無を含む同意内容を、サービス運用クラウドサーバ30へ送信する。
 サービス運用クラウドサーバ30は、端末40から送られた同意内容を機器接続クラウドサーバ20へ送信する(SQ2)。つまり、サービス運用クラウドサーバ30は、同意内容を受信すると、その同意内容を機器接続クラウドサーバ20へ転送する。
 機器接続クラウドサーバ20は、同意内容に応じたセキュリティレベルを決定する(SQ3)。すなわち、同意内容取得手段231が、端末40から送られる同意内容を取得すると、設定手段232は、同意内容に応じたセキュリティレベルを決定する。なお、このSQ3が、同意内容取得ステップの一例となる。
 機器接続クラウドサーバ20は、セキュリティレベルの設定要求を、IoT機器10へ送信する(SQ4)。すなわち、設定手段232は、上記のSQ3にて特定したセキュリティレベルを、IoT機器10に設定する。より詳細に設定手段232は、セキュリティレベルに対応するセキュリティオプションをIoT機器10に設定する。なお、このSQ4が、設定ステップの一例となる。
 IoT機器10は、設定要求に応答して、セキュリティレベルを設定する(SQ5)。より詳細にIoT機器10は、セキュリティレベルに対応するセキュリティオプションを設定する。
 IoT機器10は、設定結果を機器接続クラウドサーバ20へ返信する(SQ6)。つまり、IoT機器10は、セキュリティレベルの設定を正常に終えると、設定結果が「OK」である旨の返信を、機器接続クラウドサーバ20へ送信する。
 機器接続クラウドサーバ20は、サービスの提供を開始する(SQ7)。つまり、サービス処理手段234は、セキュリティレベルを設定したIoT機器10を用いて、セキュリティレベルに応じたサービスを提供する。例えば、サービス処理手段234は、セキュリティレベルを「3」に設定したIoT機器10を用いて、プライバシーデータを使用した自動制御のサービスを提供する。具体的にサービス処理手段234は、IoT機器10から心拍、体温、温度等のプライバシーデータを収集し、そのユーザに適した空調制御を行う。
 このような、図7に示す処理によって、プライバシーデータを利用したサービスを、IoT機器10のセキュリティを確保してから提供することになる。この結果、IoT機器10に蓄積されるプライバシーデータを適切に保護することができる。
 なお、上述した同意画面CG1にてユーザが同意しなかった場合に、IoT機器10には、セキュリティレベルが設定されないため、プライバシーデータを利用したサービスが提供されないものの、下記のような利点がある。
 ストレージのセキュアでない領域も利用できるため、リソースを有効に使える。アクセス権の制御が必要ない場合には、ローカル上でプライバシーデータを含むセンサ情報を確認することができる。
 次に、図8を参照して、セキュリティレベルを確認する処理について説明する。図8は、セキュリティレベルを確認する処理の流れを説明するシーケンス図である。なお、図8でも、ユーザ認証、機器認証等についての通信は省略しているが、実際には、ユーザ認証、機器認証等が行われた上で、以下に説明するように、セキュリティレベルを確認する処理が実行されるものとする。また、既に説明した内容と同じ処理内容については、簡略化して説明する。
 まず、端末40は、同意内容をサービス運用クラウドサーバ30へ送信する(SQ11)。また、サービス運用クラウドサーバ30は、端末40から送られた同意内容を機器接続クラウドサーバ20へ送信する(SQ12)。
 機器接続クラウドサーバ20は、IoT機器10に対してセキュリティレベルを要求する(SQ13)。すなわち、確認手段233は、IoT機器10に設定されているセキュリティレベルを確認する。より詳細に確認手段233は、IoT機器10に設定されているセキュリティオプションを読み出す。
 IoT機器10は、要求に応答して、設定済のセキュリティレベルを返信する(SQ14)。より詳細にIoT機器10は、セキュリティレベルに対応するセキュリティオプションを、機器接続クラウドサーバ20へ返信する。
 機器接続クラウドサーバ20は、同意内容に必要なセキュリティレベルを確認する(SQ15)。すなわち、確認手段233は、IoT機器10に設定されているセキュリティレベルが、同意内容に必要なセキュリティレベルを満たしているかどうかを確認する。より詳細に確認手段233は、同意内容に必要なセキュリティレベルに対応するセキュリティオプションと、IoT機器10に設定されているセキュリティオプションとを比較する。
 IoT機器10に設定されているセキュリティレベルが、同意内容に必要なセキュリティレベル、つまり、要求基準を満たしていない場合に、機器接続クラウドサーバ20は、セキュリティレベルの不足を、サービス運用クラウドサーバ30へ通知する(SQ16)。なお、IoT機器10に設定されているセキュリティレベルが、同意内容に必要なセキュリティレベルを満たしている場合には、機器接続クラウドサーバ20は、上述した図7のSQ7と同様に、サービスの提供を開始するものとする。
 サービス運用クラウドサーバ30は、ユーザへ警告を発する(SQ17)。例えば、サービス運用クラウドサーバ30は、セキュリティレベルが不足している旨の警告メッセージを、端末40に表示させる。
 このような、図8に示す処理によって、セキュリティが確保されていない状態で、プライバシーデータを利用したサービスの提供が行われないようにすることができる。
 なお、図8のSQ11,SQ12において、上述した図6に示すような同意画面CG1にて、同意が必要となる各項目の何れかにチェックが入力される毎に、同意内容が送られるようにしてもよい。この場合では、SQ16,SQ17にて、セキュリティレベルが不足している項目を送るようにして、同意画面CG1にて、セキュリティレベルが不足している項目を、例えば、赤色にて強調表示するようにしてもよい。
 次に、図9を参照して、同意画面に設定可能な項目を表示する処理について説明する。図9は、同意画面に設定可能な項目を表示する処理の流れを説明するシーケンス図である。なお、図9でも、ユーザ認証、機器認証等についての通信は省略しているが、実際には、ユーザ認証、機器認証等が行われた上で、以下に説明するように、同意画面に設定可能な項目を表示する処理が実行されるものとする。また、既に説明した内容と同じ処理内容については、簡略化して説明する。
 まず、端末40は、同意画面が選択された旨をサービス運用クラウドサーバ30へ送信する(SQ21)。つまり、端末40は、同意画面についての表示が指示されたことをサービス運用クラウドサーバ30へ送信する。
 サービス運用クラウドサーバ30は、選択可能な項目を機器接続クラウドサーバ20へ要求する(SQ22)。
 機器接続クラウドサーバ20は、IoT機器10に対してセキュリティレベルを要求する(SQ23)。また、IoT機器10は、要求に応答して、設定済のセキュリティレベルを返信する(SQ24)。
 機器接続クラウドサーバ20は、設定済のセキュリティレベルから設定可能な項目を特定する(SQ25)。すなわち、確認手段233は、IoT機器10に設定されているセキュリティレベルを基に、上述した図4のサービス管理テーブル211を参照して、設定可能な項目を特定する。例えば、IoT機器10に設定されているセキュリティレベルが「2」の場合であれば、機器接続クラウドサーバ20は、設定可能な項目として、「プライバシーデータのアップロード」と「プライバシーデータのリモート閲覧」とを特定する。
 機器接続クラウドサーバ20は、特定した設定可能な項目を、サービス運用クラウドサーバ30へ送信する(SQ26)。
 サービス運用クラウドサーバ30は、設定可能な項目に応じた同意画面を、端末40に表示させる(SQ27)。例えば、設定可能な項目が、「プライバシーデータのアップロード」と「プライバシーデータのリモート閲覧」とであれば、端末40は、図10に示す同意画面CG2のように、「データの収集」と「遠隔からのデータ閲覧」とをチェック可能に表示し、「自動制御」についてはグレーアウトさせてチェック不可の状態で表示する。
 このような、図9に示す処理によって、IoT機器10に設定されているセキュリティレベルに応じて、設定可能な項目を同意画面に適切に表示することができる。
 上記の実施形態1では、セキュリティレベルを数値で管理する場合について説明したが、セキュリティレベルをIoT機器10のF/W(ファームウェア)バージョンにて管理するようにしてもよい。
 この場合、機器接続クラウドサーバ20は、上述した図4のサービス管理テーブル211の代わりに、図11に示すような管理テーブルを記憶部21に記憶するようにする。図11に示す管理テーブルは、ユーザの同意が必要な項目とF/Wバージョンとが対応付けられている。
 そして、機器接続クラウドサーバ20は、上述した図7に示す処理において、SQ3にてセキュリティレベルを決定する代わりに、同意内容に応じたF/Wバージョンを決定する。そして、機器接続クラウドサーバ20は、SQ4にて設定要求する際に、決定したF/Wバージョンの設定をIoT機器10に要求する。この要求に応答して、IoT機器10は、SQ5にてセキュリティレベルを設定する代わりに、F/Wバージョンの更新を適宜行う。つまり、設定が要求されたF/Wバージョンが、現在のF/Wバージョンよりも新しい場合に、IoT機器10は、要求されたF/Wバージョンへアップデートを行う。なお、設定が要求されたF/Wバージョンが、現在のF/Wバージョンよりも古い場合には、IoT機器10は、特に何も行わないものとする。
 また、機器接続クラウドサーバ20は、上述した図8,図9に示す処理において、SQ13,SQ23にてセキュリティレベルをIoT機器10に要求する代わりに、F/Wバージョンを要求する。この要求に応答して、IoT機器10は、SQ14,SQ24にて設定済のセキュリティレベルを返信する代わりに、現在のF/Wバージョンを返信する。そして、機器接続クラウドサーバ20は、SQ15にてセキュリティレベルを確認する代わりに、同意に必要なF/Wバージョンを確認する。また、機器接続クラウドサーバ20は、SQ25にてセキュリティレベルから設定可能な項目を特定する代わりに、現在のF/Wバージョンから設定可能な項目を特定する。
 このように、IoT機器10のF/Wバージョンを用いる場合でも、プライバシーデータを利用したサービスを、セキュリティを確保してから提供することができる。また、IoT機器10のF/Wを必要に応じて、古いバージョンのまま利用できる。例えば、IoT機器10のスペック上の制限、若しくは、古いバージョンのUI(ユーザインタフェース)にユーザが慣れ親しんでいるなどの理由で、F/Wをアップデートしたがらないユーザにも対応できる。
 次に、図12を参照して、プライバシーデータを削除する処理について説明する。図12は、プライバシーデータを削除する処理の流れを説明するシーケンス図である。なお、図12でも、ユーザ認証、機器認証等についての通信は省略しているが、実際には、ユーザ認証、機器認証等が行われた上で、以下に説明するように、セキュリティレベルを確認する処理が実行されるものとする。また、既に、プライバシーデータを利用したサービスが提供されている状態であり、機器接続クラウドサーバ20とIoT機器10には、図13に示すようなプライバシーデータが蓄積されているものとする。
 まず、端末40は、同意内容の撤回をサービス運用クラウドサーバ30へ送信する(SQ31)。例えば、端末40は、上述した図6に示すような同意画面CG1にて、同意撤回ボタンBT2が押下されると、同意内容の撤回を、サービス運用クラウドサーバ30へ送信する。
 サービス運用クラウドサーバ30は、端末40から送られた同意内容の撤回を機器接続クラウドサーバ20へ送信する(SQ32)。
 機器接続クラウドサーバ20は、撤回した同意内容に応じたプライバシーデータを特定する(SQ33)。例えば、削除手段236は、図13を参照し、撤回された同意内容に応じて、機器接続クラウドサーバ20とIoT機器10とに蓄積されているプライバシーデータを特定する。
 機器接続クラウドサーバ20は、特定したプライバシーデータの削除要求を、IoT機器10へ送信する(SQ34)。例えば、削除手段236は、上記のSQ33にて特定したIoT機器10に蓄積されているプライバシーデータの削除を、IoT機器10に指令する。
 IoT機器10は、削除要求に応答して、プライバシーデータを削除する(SQ35)。より詳細にIoT機器10は、プライバシーデータ記憶部12からプライバシーデータを削除する。
 IoT機器10は、削除結果を機器接続クラウドサーバ20へ返信する(SQ36)。つまり、IoT機器10は、プライバシーデータの削除を正常に終えると、削除結果が「OK」である旨の返信を、機器接続クラウドサーバ20へ送信する。
 機器接続クラウドサーバ20は、記憶部21内のプライバシーデータを削除する(SQ37)。例えば、削除手段236は、上述したSQ33にて特定した機器接続クラウドサーバ20に蓄積されているプライバシーデータを削除する。
 機器接続クラウドサーバ20は、削除通知をサービス運用クラウドサーバ30へ送信する(SQ38)。また、サービス運用クラウドサーバ30は、削除通知を端末40へ送信する(SQ39)。
 このような、図12に示す処理によって、機器接続クラウドサーバ20に蓄積されているプライバシーデータだけでなく、IoT機器10に蓄積されているプライバシーデータも適切に削除することができる。そして、削除通知が端末40まで送られることから、ユーザは、同意内容の撤回を契機に、蓄積されたプライバシーデータが機器接続クラウドサーバ20及びIoT機器10の双方から削除されたことを確認することができる。特に、IoT機器10が売却された場合、ホテル、賃貸施設等でIoT機器10を一時的に利用する場合等、ユーザがIoT機器10の所有者でなくとも、端末40からIoT機器10内のプライバシーデータを削除することが可能となる。
(他の実施形態)
 上記の実施形態1では、IoT機器10が空調機器である場合について説明したが、IoT機器10が他の機器である場合でも同様に本開示を適用することができる。例えば、IoT機器10が照明機器である場合でも、本開示を適宜適用可能である。
 また、上記の実施形態1では、機器接続クラウドサーバ20において、CPUが、RAMをワークメモリとして用い、ROMに記憶されている制御プログラムを適宜実行することにより、同意内容取得手段231、設定手段232、確認手段233、サービス処理手段234、撤回指示取得手段235、及び、削除手段236が実現される場合について説明した。しかし、制御部23の全部又は一部が、専用のハードウェアで実現されるようにしてもよい。専用のハードウェアとは、例えば、単一回路、複合回路、プログラム化されたプロセッサ、ASIC(Application Specific Integrated Circuit)、FPGA(Field-Programmable Gate Array)、又は、これらの組み合わせ等である。
 また、上記の制御プログラムは、CD-ROM(Compact Disc Read Only Memory)、DVD(Digital Versatile Disc)、光磁気ディスク(Magneto-Optical Disc)、USB(Universal Serial Bus)メモリ、メモリカード、HDD(Hard Disk Drive)等のコンピュータ読み取り可能な記録媒体に格納して配布することも可能である。
 そして、機器接続クラウドサーバ20とは別体の装置によってこのような制御プログラムを実行する構成を採用する場合では、上記のように配布したプログラムを特定の又は汎用のコンピュータにインストールすることによって、当該コンピュータを機器接続クラウドサーバ20として機能させることも可能である。また、制御プログラムをインターネット上の他のサーバが有するディスク装置に格納しておき、当該サーバから制御装置に制御プログラムがダウンロードされるようにしてもよい。
 本開示は、広義の精神と範囲を逸脱することなく、様々な実施形態及び変形が可能である。また、上述した実施形態は、本開示を説明するためのものであり、本開示の範囲を限定するものではない。つまり、本開示の範囲は、実施形態ではなく、特許請求の範囲によって示される。そして、特許請求の範囲内及びそれと同等の意義の範囲内で施される様々な変形が、本開示の範囲内とみなされる。
 本開示は、IoT機器に蓄積されるプライバシーデータを適切に保護することのできるクラウドサーバ、情報処理システム、管理方法、及び、プログラムに好適に採用され得る。
 1 情報処理システム、10 IoT機器、11 センサ・カメラ、12 プライバシーデータ記憶部、13 ソフトウェアサービス、14 ネットワークサービス、15 機器認証部、16 ネットワークI/F、20 機器接続クラウドサーバ、21 記憶部、211 サービス管理テーブル、212 レベル管理テーブル、22 ネットワークI/F、23 制御部、231 同意内容取得手段、232 設定手段、233 確認手段、234 サービス処理手段、235 撤回指示取得手段、236 削除手段、30 サービス運用クラウドサーバ、40 端末

Claims (7)

  1.  ユーザのプライバシーに関するプライバシーデータを収集して蓄積するIoT(Internet of Things)機器を管理するクラウドサーバであって、
     前記プライバシーデータの利用についての同意内容を、ユーザが操作する端末から取得する同意内容取得手段と、
     前記同意内容取得手段が取得した前記同意内容に応じたセキュリティレベルを、前記IoT機器に設定する設定手段と、
     を備えるクラウドサーバ。
  2.  前記プライバシーデータを利用したサービスを処理するサービス処理手段と、
     前記サービス処理手段が前記サービスを開始する際に、前記IoT機器に設定されているセキュリティレベルを確認する確認手段と、を更に備え、
     前記サービス処理手段は、前記確認手段が確認した前記セキュリティレベルが要求基準よりも低い場合に、前記IoT機器から前記プライバシーデータを収集しない、
     請求項1に記載のクラウドサーバ。
  3.  前記IoT機器には、インストールされているファームウェアバージョンに応じたセキュリティレベルが規定されており、
     前記確認手段は、前記サービス処理手段が前記サービスを開始する際に、前記IoT機器にインストールされている前記ファームウェアバージョンを確認し、
     前記サービス処理手段は、前記確認手段が確認した前記ファームウェアバージョンが要求基準よりも低い場合に、前記IoT機器から前記プライバシーデータを収集しない、
     請求項2に記載のクラウドサーバ。
  4.  前記同意内容取得手段が取得した前記同意内容を撤回する撤回指示を取得する撤回指示取得手段と、
     前記撤回指示取得手段が前記撤回指示を取得すると、前記IoT機器に対して、蓄積した前記プライバシーデータの削除を指令する削除手段と、を更に備える、
     請求項1から3の何れか1項に記載のクラウドサーバ。
  5.  ユーザのプライバシーに関するプライバシーデータを収集して蓄積するIoT機器と、ユーザが操作する端末と、クラウドサーバとが通信可能に接続された情報処理システムであって、
     前記クラウドサーバは、
     前記プライバシーデータの利用についての同意内容を、前記端末から取得する同意内容取得手段と、
     前記同意内容取得手段が取得した前記同意内容に応じたセキュリティレベルを、前記IoT機器に設定する設定手段と、を備える、
     情報処理システム。
  6.  ユーザのプライバシーに関するプライバシーデータを収集して蓄積するIoT機器を管理するクラウドサーバが実行する管理方法であって、
     前記プライバシーデータの利用についての同意内容を、ユーザが操作する端末から取得する同意内容取得ステップと、
     前記同意内容取得ステップにて取得した前記同意内容に応じたセキュリティレベルを、前記IoT機器に設定する設定ステップと、
     を備える管理方法。
  7.  ユーザのプライバシーに関するプライバシーデータを収集して蓄積するIoT機器を管理するコンピュータに、
     前記プライバシーデータの利用についての同意内容を、ユーザが操作する端末から取得する同意内容取得ステップ、
     前記同意内容取得ステップにて取得した前記同意内容に応じたセキュリティレベルを、前記IoT機器に設定する設定ステップ、
     を実行させるためのプログラム。
PCT/JP2022/047984 2022-12-26 2022-12-26 クラウドサーバ、情報処理システム、管理方法、及び、プログラム Ceased WO2024142165A1 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2024566954A JP7763972B2 (ja) 2022-12-26 2022-12-26 クラウドサーバ、情報処理システム、管理方法、及び、プログラム
PCT/JP2022/047984 WO2024142165A1 (ja) 2022-12-26 2022-12-26 クラウドサーバ、情報処理システム、管理方法、及び、プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2022/047984 WO2024142165A1 (ja) 2022-12-26 2022-12-26 クラウドサーバ、情報処理システム、管理方法、及び、プログラム

Publications (1)

Publication Number Publication Date
WO2024142165A1 true WO2024142165A1 (ja) 2024-07-04

Family

ID=91716969

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2022/047984 Ceased WO2024142165A1 (ja) 2022-12-26 2022-12-26 クラウドサーバ、情報処理システム、管理方法、及び、プログラム

Country Status (2)

Country Link
JP (1) JP7763972B2 (ja)
WO (1) WO2024142165A1 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014119255A1 (ja) * 2013-01-29 2014-08-07 パナソニック株式会社 情報管理方法、制御システム及び表示機器の制御方法
JP2015531122A (ja) * 2013-03-14 2015-10-29 ザ ニールセン カンパニー (ユーエス) エルエルシー メディア提示を監視するための方法及び装置
JP2018151881A (ja) * 2017-03-13 2018-09-27 Kddi株式会社 監視装置、監視方法、及びプログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014119255A1 (ja) * 2013-01-29 2014-08-07 パナソニック株式会社 情報管理方法、制御システム及び表示機器の制御方法
JP2015531122A (ja) * 2013-03-14 2015-10-29 ザ ニールセン カンパニー (ユーエス) エルエルシー メディア提示を監視するための方法及び装置
JP2018151881A (ja) * 2017-03-13 2018-09-27 Kddi株式会社 監視装置、監視方法、及びプログラム

Also Published As

Publication number Publication date
JP7763972B2 (ja) 2025-11-04
JPWO2024142165A1 (ja) 2024-07-04

Similar Documents

Publication Publication Date Title
EP2779010B1 (en) Information processing system and information processing method
JP5294951B2 (ja) プルプリントシステムにおける画像処理装置、書誌情報サーバ及びその制御方法
CN108628917B (zh) 文档管理系统和管理设备
AU2019222893B2 (en) Document management system and processing apparatus
WO2001082086A1 (en) Access right setting device and manager terminal
JP4339234B2 (ja) Vpn接続構築システム
JP6708239B2 (ja) ドキュメント管理システム
JP2007026412A (ja) 保守仲介装置、保守対象機器の保守方法、保守プログラム、保守プログラムが記録された記録媒体及び保守システム
JP2016095631A (ja) 情報診断システム、情報診断装置、情報診断方法およびプログラム
JP2011004132A (ja) メールサーバ、電子メールの処理方法及びそのプログラム
CN1863195B (zh) 具有安全注册功能的家庭网络系统及方法
AU2020217317B2 (en) Tunneled monitoring service and methods
US20210383029A1 (en) Information processing program, information processing device, and information processing method
CN110741371B (zh) 信息处理设备、保护处理设备和使用终端
TWI621064B (zh) 輸出方法與輸出裝置
JP7763972B2 (ja) クラウドサーバ、情報処理システム、管理方法、及び、プログラム
CN104079549A (zh) 信息处理设备、信息处理系统和信息处理方法
JP6819734B2 (ja) 情報処理装置及び利用端末
JP6079367B2 (ja) サーバ装置、出力管理方法、プログラム、およびシステム
JP2004199609A (ja) ワークフローサーバおよびワークフローサーバの制御方法およびプログラムおよび記録媒体
CN115190163B (zh) 基于社交应用的分享方法、装置
JP2004178565A (ja) 通信管理用サーバ、通信方法、及び、プログラム
JP6777213B2 (ja) 情報処理装置及びプログラム
JP2016062257A (ja) 情報処理装置、情報処理方法及び情報処理プログラム
TWI552560B (zh) 區域網路系統及其存取方法

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22969959

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2024566954

Country of ref document: JP

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 22969959

Country of ref document: EP

Kind code of ref document: A1