WO2025187037A1

WO2025187037A1 - データ共有装置およびデータ共有方法

Info

Publication number: WO2025187037A1
Application number: PCT/JP2024/009008
Authority: WO
Inventors: 弘樹神谷; 啓一郎柏木; 健治馬越; 知洋井上; 大子郎横関
Original assignee: Nippon Telegraph and Telephone Corp; NTT Inc USA
Current assignee: NTT Inc; NTT Inc USA
Priority date: 2024-03-08
Filing date: 2024-03-08
Publication date: 2025-09-12
Anticipated expiration: 2026-09-08
Also published as: WO2025187037A8

Abstract

接続部２００Ａ，２００Ｂは、データ流通基盤に接続してユーザー間で共有するアセットとポリシーを含むコントラクトの合意を形成する。実行部２３０Ａ，２３０Ｂは、コントラクトに従って動作するポリシー実行プログラムを含む実行環境のイメージを用いて隔離された安全な隔離実行環境を起動し、隔離実行環境内でコントラクトに従ってデータを受信して処理する。隔離実行環境、実行環境のイメージ、隔離実行環境に入力されたコントラクト、隔離実行環境で受信したデータ、および隔離実行環境での処理結果の少なくともいずれかをリモートアテステーションする。

Description

データ共有装置およびデータ共有方法

　本開示は、データ共有装置およびデータ共有方法に関する。

　近年、ネットワークサービスやInternet of Things (IoT)の普及により様々なデータが収集されている。各企業で収集されたデータを相互に持ち寄って分析することで、データの有効活用を図ることができる。企業間でのデータの共有を促進する技術として、データ主権を担保しつつ安全にデータを共有するデータ流通基盤が提供されている。データ主権とは、データ所有者が自分のデータを制御および管理する権利、並びにデータが収集された国における法律やガバナンスの対象とする権利を意味する。

　非特許文献１のデータ流通基盤では、ユーザー間で合意が形成されると、その合意に沿ってユーザー間でデータが共有される。

"IDS Reference Architecture Model Version 4", International Data Spaces Association, https://docs.internationaldataspaces.org/knowledge-base/ids-ram-4.0

　しかしながら、従来のデータ流通基盤では、データ利用制御を行う技術的な仕組みが確立されておらず、一度他者に渡ったデータはそれ以降制御することができないという問題があった。

　また、ユーザーやシステム運用事業者に悪意があれば、ユーザーやシステム運用事業者が管理する部分のプログラムやデータを変更したり、合意後にデータ利用条件を書き換えたり、データを外部に漏洩させたりできるという課題があった。

　本開示は、上記に鑑みてなされたものであり、ユーザーのデータ主権を十分に保護することを目的とする。

　本開示の一態様のデータ共有装置は、ユーザー間でのデータ共有を提供するデータ共有装置であって、データ流通基盤に接続してユーザー間で共有するデータと利用条件を含む共有条件の合意を形成する接続部と、前記共有条件に従って動作するプログラムを含む実行環境のイメージを用いて隔離された安全な隔離実行環境を起動し、前記隔離実行環境内で前記共有条件に従ってデータを受信して処理する実行部とを有する。

　本開示の一態様のデータ共有方法は、ユーザー間でのデータ共有を提供するデータ共有方法であって、コンピュータが、データ流通基盤に接続してユーザー間で共有するデータと利用条件を含む共有条件の合意を形成し、前記共有条件に従って動作するプログラムを含む実行環境のイメージを用いて隔離された安全な隔離実行環境を起動し、前記隔離実行環境内で前記共有条件に従ってデータを受信して処理する。

　本開示によれば、ユーザーのデータ主権を十分に保護できる。

図１は、データ流通基盤の構成の一例を示す図である。図２は、接続部の構成の一例を示す図である。図３は、データ共有処理の流れの一例を示すシーケンス図である。図４は、データ共有処理の流れの一例を示すシーケンス図である。図５は、データ流通基盤の構成の一例を示す図である。図６は、データ共有処理の流れの一例を示すシーケンス図である。図７は、データ提供側のデータ共有処理の流れの一例を示すシーケンス図である。図８は、ユーザー間のデータ送信処理の流れの一例を示すシーケンス図である。図９は、データ利用側のデータ共有処理の流れの一例を示すシーケンス図である。図１０は、データ流通基盤の各装置および各部のハードウェア構成の一例を示す図である。

　［データ流通基盤］
　図１を参照し、データ流通基盤１００の構成の一例について説明する。図１のデータ流通基盤１００は中央集権型であるが、データ流通基盤は分散型であってもよい。

　ユーザーＡはＡ社に所属する人である。ユーザーＡはデータ流通基盤１００の接続部２００Ａを用いてデータ流通基盤１００に接続している他のユーザーと通信を行う。

　ユーザーＢはＢ社に所属する人である。ユーザーＢはデータ流通基盤１００の接続部２００Ｂを用いてデータ流通基盤１００に接続している他のユーザーと通信を行う。

　各ユーザーＡ，Ｂはあらかじめデータ流通基盤１００のユーザーとして登録する。接続部２００Ａと接続部２００Ｂは、データ流通基盤１００で相互認証が可能となる識別ＩＤとそれを証明するクレデンシャルを保持している。例えばデータ流通基盤１００が中央集権型の認証サーバーを用いる場合は、接続部２００Ａ，２００Ｂは、識別ＩＤとしてURIのような識別子を用い、クレデンシャルとして、データ流通基盤が信用する組織が運用するCertificate Authority（CA）が発行する証明書を保持する。データ流通基盤で分散型の認証を行う場合は、接続部２００Ａ，２００Ｂは、Decentralized Identifier（DID）、およびデータ流通基盤が信用する組織によって署名されたVerifiable Credentials（VC）などを保持する。

　ユーザーＡ，Ｂは、接続部２００Ａ，２００Ｂを用いてデータ流通基盤１００を利用し、データの共有について合意を形成する。ユーザーＡ，Ｂ間で合意が形成されると、接続部２００Ａ，２００Ｂで管理されるポリシーに従って、送受信部２２０Ａ，２２０Ｂは、ユーザーＡ，Ｂ間でデータを共有する。送受信部２２０Ａは、ユーザーＡの共有データをデータ記憶部３００Ａから取得して送受信部２２０Ｂへ送信し、送受信部２２０Ｂは、共有データをデータ記憶部３００Ｂに格納する。

　図２は、接続部２００Ａ，２００Ｂの構成の一例を示す図である。接続部２００Ａ，２００Ｂは、アセット定義管理部２０１、ポリシー定義管理部２０２、コントラクト定義管理部２０３、コントラクト交渉機能部２０４、コントラクト合意管理部２０５、ポリシー適用部２０６、および認証機能部２１０を備える。接続部２００Ａ，２００Ｂとして、オープンソースのコネクタ実装であるEclipse Dataspace Componentを利用できる。接続部２００Ａ，２００Ｂは、送受信部２２０Ａ，２２０Ｂを備えてもよいし、後述の実行部２３０Ａ，２３０Ｂを備えてもよい。

　以下、図３と図４のシーケンス図を参照し、接続部２００Ａ，２００Ｂを用いたデータ共有処理の流れの一例について説明する。

　ステップＳ１０１にて、ユーザーＡは、自社が他社に共有する可能性のあるデータ（もしくはデータセット）の識別子、アドレス、データアクセス時に必要となるクレデンシャル、データに関する説明情報や属性情報などをアセットとして定義し、接続部２００Ａのアセット定義管理部２０１に登録する。

　ステップＳ１０２にて、ユーザーＡは、自社のアセットを他社に共有する際のデータ利用条件をポリシーとして定義し、接続部２００Ａのポリシー定義管理部２０２に登録する。データ利用条件としては、アセットの開示可能範囲（企業名、必要な資格、国・地域など）、アセットはデータ共有先の他社のシステムから外に取り出してよいか、他社がどのような条件を満たすプログラムで分析してよいか、他社がアセットに対する分析処理を行うことができる回数、期間、および実行環境の種別、および他社がデータを削除するまでの期間などを定めることができる。

　ステップＳ１０３にて、ユーザーＡは、自社のアセットと自社のポリシーを組み合わせたコントラクトを定義し、接続部２００Ａのコントラクト定義管理部２０３に登録する。コントラクトは、アセット定義とポリシー定義を含み、どのアセット（データ）に対してどのようなポリシー（データ利用条件）のもとで他社が利用可能かどうかという情報を他社に共有するための情報である。なお、コントラクトを他社に公開する場合は、アセットについては、アセットに含まれるデータ（もしくはデータセット）の識別子、アドレス、データアクセス時に必要となるクレデンシャルなどは公開せず、データに関する説明情報や属性情報などのみを公開することができる。

　ステップＳ１０４にて、ユーザーＡは、コントラクトを他社が見ることができるように、コントラクト提案として公開する。コントラクト提案の公開範囲はユーザーＡが決めることができる。データ流通基盤が中央集権型の場合は、ユーザーＡは接続部２００Ａのコントラクト交渉機能部２０４の機能を用いて、コントラクト提案をデータ流通基盤１００が備えるカタログサーバー１２０に登録することで、コントラクトを他社の接続部２００Ｂが見ることができる状態にする。データ流通基盤が分散型の場合は、各ユーザーの接続部２００Ａ，２００Ｂ同士でコントラクト提案を共有することができる分散型の情報連携の仕組みにコントラクト提案を登録することで、コントラクトを他社の接続部２００Ｂが見ることができる状態にする。

　ステップＳ１０５にて、ユーザーＢは、接続部２００Ｂを利用して、ユーザーＡが公開したコントラクト提案を閲覧する。データ流通基盤が中央集権型の場合は、接続部２００Ｂはカタログサーバー１２０上に蓄積されているユーザーＡのコントラクト提案を閲覧する。データ流通基盤が分散型の場合は、接続部２００Ｂは、各ユーザーの接続部２００Ａ，２００Ｂ間で相互にカタログを交換し伝搬しあう仕組みを用いて、ユーザーＡのコントラクト提案を閲覧する。

　ステップＳ１０６にて、ユーザーＢは、ユーザーＡのコントラクト提案に対してコントラクト交渉を行うため、接続部２００Ｂを用いて、ユーザーＡの接続部２００Ａに対して暗号通信を開始する。具体的には、データ流通基盤１００が中央集権型の場合は、接続部２００Ｂの認証機能部２１０はデータ流通基盤１００が備える認証サーバー１１０に対してトークンを要求し、認証サーバー１１０は接続部２００Ｂが正当な証明書を保持していることを確認したうえでトークンを発行する。そして、接続部２００Ｂは接続部２００Ａの認証機能部２１０へ当該トークンを送信する。接続部２００Ａは当該トークンの署名を確認し、接続部２００Ｂを認証する。同様に、接続部２００Ａの認証機能部２１０は認証サーバー１１０に対してトークンを要求し、認証サーバー１１０は接続部２００Ａが正当な証明書を保持していることを確認したうえでトークンを発行する。そして、接続部２００Ａは接続部２００Ｂの認証機能部２１０へ当該トークンを送信する。接続部２００Ｂは当該トークンの署名を確認し、接続部２００Ａを認証する。データ流通基盤１００が分散型の場合は、接続部２００Ｂは接続部２００Ａに対して自身のDIDとVCを送信する。接続部２００Ａは当該DIDとVCを用いて、接続部２００Ｂを認証する。同様に、接続部２００Ａは接続部２００Ｂに対して自身のDIDとVCを送信する。接続部２００Ｂは当該DIDとVCを用いて、接続部２００Ａを認証する。なお、VCのみ、あるいは、Verifiable Presentation (VP)のみを用いて認証してもよい。

　ステップＳ１０７にて、ユーザーＢは、接続部２００Ｂのコントラクト交渉機能部２０４を用いて、ユーザーＡの接続部２００Ａに対して、ユーザーＡが公開したコントラクト提案に関するコントラクト交渉を要求する。

　ステップＳ１０８にて、接続部２００Ａのコントラクト交渉機能部２０４は、受け付けたコントラクト交渉要求の内容がポリシーで定めるアセットの開示可能範囲（企業名、必要な資格、国・地域など）に関する条件を満たしていることを確認する。条件を満たしている場合、接続部２００Ａのコントラクト交渉機能部２０４は、接続部２００Ｂのコントラクト交渉機能部２０４に対して交渉成立と合意の成立を通知する。

　ステップＳ１０９，Ｓ１１０にて、接続部２００Ａ，２００Ｂそれぞれのコントラクト交渉機能部２０４は、接続部２００Ａ，２００Ｂそれぞれのコントラクト合意管理部２０５に対して、合意したコントラクトの内容を記録する。

　合意が形成されると、図４の処理でデータが共有される。

　ステップＳ１１１にて、接続部２００Ａのポリシー適用部２０６は、接続部２００Ａのコントラクト合意管理部２０５に記録されたコントラクトに含まれるアセット定義とポリシー定義に基づき、ユーザーＡの送受信部２２０Ａにデータの送受信の指示を行う。

　ステップＳ１１２にて、接続部２００Ｂのポリシー適用部２０６は、接続部２００Ｂのコントラクト合意管理部２０５に記録されたコントラクトに含まれるアセット定義とポリシー定義に基づき、ユーザーＢの送受信部２２０Ｂにデータの送受信の指示を行う。なお、ステップＳ１１１の処理が実行されずに、ユーザーＢまたはユーザーＢが有するサーバーなどから接続部２００Ｂに対する指示を契機に、ステップＳ１１２以降の処理が開始されてもよい。

　ステップＳ１１３にて、ユーザーＢの送受信部２２０Ｂは、ユーザーＡの送受信部２２０Ａに対してデータを要求する。

　ステップＳ１１４にて、ユーザーＡの送受信部２２０ＡはユーザーＡのデータ記憶部３００Ａからデータを取得し、ユーザーＢの送受信部２２０Ｂへ当該データを送信する。

　ステップＳ１１５にて、ユーザーＢの送受信部２２０Ｂは、ユーザーＡの送受信部２２０Ａから受信したデータをユーザーＢのデータ記憶部３００Ｂへ格納する。

　送受信部２２０Ａ，２２０ＢはＡＰＩサーバーやＡＰＩクライアントで構成することができる。データ記憶部３００Ａ，３００Ｂは、データベース、もしくは、オブジェクトストレージ、他システムのＡＰＩサーバー、などのいずれかで構成することができる。

　［第１の実施形態］
　データ流通基盤１００では、データを提供するユーザーＡはデータ利用条件をポリシーとして定義し、データ提供先のユーザーＢと合意した上でデータを提供することができる。データを受信したユーザーＢの接続部２００Ｂのポリシー適用部２０６は、当該ポリシー（データ利用条件）を遵守するように、送受信部２２０Ｂに指示する。しかし、ユーザーＢのポリシー適用部２０６、送受信部２２０Ｂは、ユーザーＢが管理するシステムであるため、ユーザーＢに悪意があれば、ポリシーを遵守しないようにポリシー適用部２０６や送受信部２２０Ｂのプログラムを変更することができる。このままでは、ユーザーＡがユーザーＢにデータを送信した後は、ユーザーＡはそのデータの利用を制御することはできず、ユーザーＡのデータ主権を十分に保護することができない。

　そこで、図５に示すように、接続部２００Ａ，２００Ｂに接続された送受信部２２０Ａ，２２０Ｂを、隔離実行環境を提供する実行部２３０Ａ，２３０Ｂとして構成する。送受信部２２０Ａ，２２０Ｂのいずれか一方のみを実行部２３０Ａ，２３０Ｂとして構成してもよい。

　隔離実行環境は、Trusted Execution Environment （TEE）という技術を用いて構築される環境であり、CPU,GPU等のハードウェアが具備するメモリ暗号化機能により同一システム内で動作する他のプログラムとは隔離された安全な状態でプログラムを実行できる環境である。隔離実行環境を用いることで、当該隔離実行環境を管理するユーザーや、当該隔離実行環境を運用するシステム運用事業者からも、隔離実行環境内で処理されるデータやプログラムを保護し、ユーザー自身やシステム運用事業者から秘匿した状態でデータを分析することが可能となる。

　実行部２３０Ａ，２３０Ｂは、隔離実行環境を管理するユーザー自身やシステム運用事業者すら隔離実行環境内のデータを見たり改ざんしたりすることができないように、あらかじめ決められた情報の入出力以外には外部からの通信、ログイン、命令実行ができないように制限を施したエンクレイブのイメージ、ソフトウェアコンテナのイメージ、または、仮想マシンのイメージ（以下、これらを総称して「実行環境のイメージ」と称する）をそのまま実行して隔離実行環境を起動する。隔離実行環境の起動時には、合意されたコントラクトの内容（アセットとポリシーの情報、およびポリシーに記述されたデータ利用条件など）が入力される。

　隔離実行環境の内部には、実行環境のイメージに含まれる形で、あらかじめ動作が決められたポリシー実行プログラムが存在している。ポリシー実行プログラムは、コントラクトに含まれるアセット定義およびポリシー定義をデータ解釈して必要な情報を取得でき、アセット定義に従ってデータを要求し、ポリシー定義に従ってデータを処理する。ポリシー実行プログラムは、隔離実行環境内で実行される他のプログラムの動作を監視し、アセット定義およびポリシー定義を外れる動作を制限してもよい。ポリシー実行プログラムが隔離実行環境の内部で動作することにより、コントラクト交渉で合意したデータ利用条件が遵守される。ポリシー実行プログラムは、隔離実行環境で守られるため、ポリシー実行プログラムを変更することはできない。

　また、隔離実行環境を管理するユーザー自身やシステム運用事業者、および同一システム内で動作する他のプログラムがメモリを直接閲覧してもデータを見たり改ざんしたりすることができないように、実行部２３０Ａ，２３０Ｂとして動作するCPU,GPU等のハードウェアのTEE機能を有効にする。これにより、隔離実行環境は、隔離実行環境が使用するメモリ内の情報が、常に、隔離実行環境内のプログラムでしか閲覧できないような暗号鍵で暗号化された状態となるように起動される。

　さらに、データ流通基盤におけるコントラクト交渉・コントラクト合意に用いられるアセット定義およびポリシー定義の中に、隔離実行環境内で処理に必要な情報の内容を追加する。隔離実行環境内で処理に必要な情報の例としては、隔離実行環境で取得したアセット（データ、プログラム、およびパラメータ等）を検証するために必要となるハッシュ値、取得したアセットを復号するための復号鍵のハッシュ値、および取得したアセットの署名を検証するための公開鍵を、あらかじめデータ流通基盤におけるアセット定義またはポリシー定義に含めておくことなどが挙げられる。アセット定義およびポリシー定義の中に隔離実行環境の仕様、隔離実行環境内で実行するプログラムやアプリケーションの情報を含めてもよい。

　ユーザーＡ，Ｂは、あらかじめ隔離実行環境の仕様を定めておくことで、データ流通基盤におけるコントラクト交渉によってお互いに合意した内容が、実際に隔離実行環境内におけるどのようなデータに対するどのような処理に対する合意であるか、を具体的に指定して合意することができるようになる。また、隔離実行環境が出力するログにも同じ形式のアセットおよびポリシーを含めると、事後に隔離実行環境内で処理された内容が、確かにユーザーＡ，Ｂが事前に合意したコントラクトに基づくものであることを容易に確認することが可能となる。

　これまで、データ流通基盤におけるコントラクト交渉・コントラクト合意に用いられるアセットおよびポリシーの内容およびその処理方法と、TEEを用いて構築される隔離実行環境を提供するサービスまたはソフトウェアがデータの処理に用いるアセットおよびポリシーの内容およびその処理方法は、それぞれの利用目的のために独立して定められていた。そのため、データ流通基盤で用いられるアセットおよびポリシーの情報は、隔離実行環境を実行するときに、隔離実行環境で用いられるアセットおよびポリシーの書式に合わせる必要があった。データ流通基盤におけるコントラクト交渉・コントラクト合意の時点では、アセットおよびポリシーに記載された内容が、隔離実行環境において、実際にどのようなデータに対するどのような処理として実行されるかを、ユーザーが具体的に指定することは難しかった。データ流通基盤のアセットおよびポリシーに隔離実行環境の処理に必要な情報を追加することで、コントラクト交渉・コントラクト合意の時点で、隔離実行環境での処理を具体的に指定することができる。

　図６のシーケンス図を参照し、コントラクト合意後のデータ共有処理の流れの一例を説明する。なお、以降の記載で、隔離実行環境が実行するというのは、隔離実行環境内で動作するプログラムが実行するということであり、実行部２３０Ａ，２３０Ｂを構成するハードウェアが実行するということである。

　ステップＳ２０１にて、ユーザーＡの接続部２００Ａのポリシー適用部２０６は、新たなコントラクト合意が結ばれた時点で、ユーザーＡの実行部２３０Ａに対して、新たな隔離実行環境の起動と、当該隔離実行環境に対してコントラクトおよび当該コントラクトに含まれるアセットとポリシーの情報の入力を指示する。

　ステップＳ２０２にて、実行部２３０Ａは、隔離実行環境を起動する。隔離実行環境の内部には、実行環境のイメージに含まれる形で、あらかじめ動作が決められたポリシー実行プログラムが存在している。

　ステップＳ２０３にて、ユーザーＢの接続部２００Ｂのポリシー適用部２０６は、新たなコントラクト合意が結ばれた時点で、ユーザーＢの実行部２３０Ｂに対して、新たな隔離実行環境の起動と、当該隔離実行環境に対してコントラクトおよび当該コントラクトに含まれるアセットとポリシーの情報の入力を指示する。

　ステップＳ２０４にて、実行部２３０Ｂは、隔離実行環境を起動する。隔離実行環境の内部には、実行環境のイメージに含まれる形で、あらかじめ動作が決められたポリシー実行プログラムが存在している。

　ステップＳ２０５にて、ユーザーＢの隔離実行環境（例えばポリシー実行プログラム）は、アセットの情報に基づいて、ユーザーＡの隔離実行環境に対してデータ要求を送信する。コントラクト合意が結ばれた時点でユーザーＢの接続部２００Ｂがデータ要求を送信してもよい。アセットの情報としては、データだけでなく、当該データを処理するために必要なユーザーＢが有する秘匿性の高いデータ処理プログラムや、当該データ処理プログラムを動作させるために必要な追加データやパラメータを指定することもできる。

　なお、ステップＳ２０１、Ｓ２０２の処理が実行される前に、ステップＳ２０３、Ｓ２０４、Ｓ２０５の処理が実行されて、ステップＳ２０５のデータ要求を契機に、ステップＳ２０２の処理が実行されてもよい。

　ステップＳ２０６にて、ユーザーＡの隔離実行環境（例えばポリシー実行プログラム）は、アセットの情報に基づいて、データ記憶部３００Ａから秘匿性の高いデータを取得する。アセットの情報としては、データだけでなく、当該データを処理するために必要なユーザーＡが有する秘匿性の高いデータ処理プログラムや、当該データ処理プログラムを動作させるために必要な追加データやパラメータを指定することもできる。

　ステップＳ２０７にて、ユーザーＡの隔離実行環境は、ポリシー（データ利用条件）に従ってデータを処理する。データ利用条件には、ユーザーＡの隔離実行環境内でデータを匿名化したり、フィルタしたり、合成データに変換するなど、必要な制約条件を記載することができる。それらを実行するために必要な制約条件適用プログラムを隔離実行環境内で実行することができる。

　ステップＳ２０８にて、ユーザーＡの隔離実行環境は、データ利用条件を満たすことを確認した後、ユーザーＢの隔離実行環境に対してデータを送信する。なお、ユーザーＢからの要求なしに、つまりステップＳ２０５でデータ要求を受信しなくても、コントラクト合意後、ユーザーＡの隔離実行環境がステップＳ２０６，Ｓ２０７の処理を実行し、ユーザーＡの隔離実行環境がデータを送信する場合もありうる。

　ステップＳ２０９にて、ユーザーＢの隔離実行環境は、データ利用条件に従って受信したデータを処理する。データ利用条件には、ユーザーＢの隔離実行環境内でデータを匿名化したり、フィルタしたり、合成データに変換したり、データの処理方法や処理回数を制限したり、分析前の生データの保持期限が来たら消去するなど、必要な制約条件を記載することができる。それらを実行するために必要な制約条件適用プログラムを隔離実行環境内で実行することができる。

　ステップＳ２１０にて、ユーザーＢの隔離実行環境は、データ利用条件を満たすことを確認した後、ユーザーＢのデータ記憶部３００Ｂに対して処理後のデータを送信する。

　データ処理後、実行部２３０Ａ，２３０Ｂは、受信したデータを含めて隔離実行環境を破棄してもよい。

　ユーザーＡ，Ｂの隔離実行環境のそれぞれでデータ処理を分担して行ってもよいし、ユーザーＡの隔離実行環境で全てのデータ処理を行ってもよいし、ユーザーＢの隔離実行環境で全てのデータ処理を行ってもよい。いずれかで全てのデータ処理を行う場合、データ処理を行わない側は、実行部２３０Ａ，２３０Ｂではなく、送受信部２２０Ａ，２２０Ｂを備えてもよい。

　なお、本実施形態は、複数のユーザーが、ユーザーＢに対してそれぞれ異なるデータを共有しつつ、それらを単一のポリシー、単一の隔離実行環境で処理するといったユースケースにも応用できる。

　以上説明したように、本実施形態によれば、合意したコントラクトに含まれるアセット定義およびポリシー定義を遵守してデータを処理するポリシー実行プログラムを隔離実行環境内で実行することにより、ユーザーＢに悪意がある場合や、システム運用事業者に悪意がある場合でも、ポリシーを遵守しないようにポリシー実行プログラムを変更することはできない。これにより、ユーザーＡがユーザーＢにデータを送信した後でも、ユーザーＡはそのデータの利用をポリシーによって制御することが可能となり、ユーザーＡのデータ主権を保護できる。

　また、コントラクトに含まれるアセット定義およびポリシー定義に隔離実行環境の処理に必要な情報を含めることで、ユーザーは、隔離実行環境におけるデータ処理の内容を具体的に指定することができる。また、隔離実行環境が、データ流通基盤と同じ形式のアセットおよびポリシーを含むログを出力することで、隔離実行環境内で処理された内容が合意したコントラクトに基づくものであることを容易に確認することが可能となる。

　［第２の実施形態］
　第１の実施形態では、ユーザーは、相手の隔離実行環境が、データの秘匿が担保された実行環境のイメージから作られるか否か、実行環境のイメージにポリシー実行プログラムが存在しているか否か、および、TEE機能が有効であるかどうか、を確認することができない。

　第２の実施形態では、隔離実行環境のリモートアテステーションを実施する。ユーザーＡの隔離実行環境からユーザーＢの隔離実行環境へデータを送信する前に、ユーザーＡ，Ｂは相手の隔離実行環境のリモートアテステーションを実施する。リモートアテステーションは、ユーザーＡ，Ｂのどちらか片方だけが実施してもよいし、両方で相互に実施してもよい。また、システム運用事業者に悪意がある場合に、システム運用事業者によって情報が改ざんされていないかを確認するため、ユーザーＡ自身がユーザーＡの隔離実行環境に対してリモートアテステーションを実行してもよいし、ユーザーＢ自身がユーザーＢの隔離実行環境に対してリモートアテステーションを実行してもよい。

　隔離実行環境のリモートアテステーションには、隔離実行単位に関するリモートアテステーションと、ポリシー実行プログラムを含む実行環境のイメージに関するリモートアテステーション、の２種類が存在する。

　隔離実行単位に関するリモートアテステーションとは、エンクレイブ、ソフトウェアコンテナ、仮想マシンなどの、TEE機能が保護する隔離実行単位に関するリモートアテステーションである。例えば、仮想マシンの場合は、TEE機能が起動するハードウェア（CPU,GPUなど）、仮想マシンのファームウェア、初期ファイルシステム、オペレーティングシステム（Linuxカーネルなど）、オペレーティングシステム上で最初に起動されるプログラム実行コマンドなどが、あらかじめユーザーの間で合意済みのものを使用しているかどうかを、そのハッシュ値の照合等により確認する。TEE機能がこれらを確認するための情報を収集してアテステーションレポートを作成し、TEE機能が保持する秘密情報（秘密鍵など）によって署名する。実行部２３０Ａ，２３０Ｂ（隔離実行環境）が、アテステーションレポートを隔離実行環境を管理するユーザーに提供する。

　実行環境のイメージに関するリモートアテステーションとは、ファームウェア、初期ファイルシステム、オペレーティングシステム（Linuxカーネルなど）、オペレーティングシステム上で最初に起動されるプログラム実行コマンドなどが実行された直後に起動されるイメージに関するリモートアテステーションである。TEE機能が、イメージが起動される直前に当該イメージのハッシュ値を取得して、そのハッシュ値を含むアテステーションレポートを作成し、TEE機能が保持する秘密情報によって署名する。実行部２３０Ａ，２３０Ｂ（隔離実行環境）が、隔離実行環境を管理するユーザーにアテステーションレポートを提供する。

　ユーザーは、相手のユーザーに対してアテステーションレポートの提示を要求し、アテステーションレポートに含まれる署名とハッシュ値などを検証することで、あらかじめユーザーの間で合意済みの隔離実行環境と実行環境のイメージを使用していることを確認できる。アテステーションレポートに対する署名の検証は、CPU,GPU等のハードウェアを製造するメーカーが公開する情報（公開鍵や証明書など）を用いて検証することができる。接続部２００Ａ，２００Ｂや実行部２３０Ａ，２３０Ｂが相手のアテステーションレポートの確認を行ってもよい。

　これまで、TEEを用いて構築される隔離実行環境に対するリモートアテステーションは、当該隔離実行環境を利用するユーザーが実施する利用形態が一般的であった。このような利用形態では、ユーザーは、自身の利用する隔離実行環境が適切に隔離された環境であることを検証することができるが、当該ユーザーが他のユーザーに対してそれを証明することや、他のユーザーがそれを検証することができなかった。

　以上説明したように、本実施形態によれば、隔離実行環境のアテステーションを実施し、相手にアテステーションレポート提供することにより、ユーザーは、隔離実行環境を構築するための実行環境のイメージが信頼できるか、実行環境のイメージにポリシー実行プログラムが存在しているか、ポリシー実行プログラムが改変されていないか、およびTEE機能が有効であるかを確認することができる。

　［第３の実施形態］
　第１、第２の実施形態では、ユーザーは、相手の隔離実行環境内に入力されたコントラクトに含まれるアセットとポリシーの情報、およびポリシーに記述されたデータ利用条件が、ユーザー間で合意されたコントラクトに含まれていたものと同一であるか否かを確認することができない。

　第３の実施形態では、隔離実行環境に入力されたコントラクトのリモートアテステーションを実施する。ユーザーＡの隔離実行環境からユーザーＢの隔離実行環境へデータが送信される前に、ユーザーＡ，Ｂは、相手の隔離実行環境内に入力されたコントラクトの内容（アセットとポリシーの情報、およびポリシーに記述されたデータ利用条件など）に対するリモートアテステーションを実施する。リモートアテステーションは、ユーザーＡ，Ｂのどちらか片方だけが実施してもよいし、両方で相互に実施してもよい。また、システム運用事業者に悪意がある場合に、システム運用事業者によって情報が改ざんされていないかを確認するため、ユーザーＡ自身がユーザーＡの隔離実行環境に対してリモートアテステーションを実行してもよいし、ユーザーＢ自身がユーザーＢの隔離実行環境に対してリモートアテステーションを実行してもよい。

　ユーザー間でお互いの公開鍵または証明書を事前に共有しておき、合意したコントラクトの内容について、相互に署名を作成し、合意済みのコントラクトとセットで相互に共有する。そして、当該コントラクトおよび署名を受信したユーザーは、その署名を合意相手の他ユーザーの公開鍵で検証する。これにより、そのコントラクトおよびコントラクトに含まれるアセットとポリシーの情報、および、ポリシーに書かれたデータ利用条件等が、確かに合意相手の他ユーザーが合意したものであることを確認することができる。

　隔離実行環境に入力されたコントラクトの内容に対するリモートアテステーションでは、隔離実行環境内において、処理直前のコントラクトの内容のハッシュ値を照合することにより確認する。隔離実行環境内ですでにリモートアテステーション済みのプログラム（ポリシー実行プログラムなど）が、アセットやポリシーを収集してハッシュ値を計算する。TEE機能が、ハッシュ値を含むアテステーションレポートを作成し、TEE機能が保持する秘密情報によって署名する。隔離実行環境は、アテステーションレポートを隔離実行環境を管理するユーザーに提供する。

　ユーザーは、相手のユーザーに対してアテステーションレポートの提示を要求し、アテステーションレポートに含まれる署名とハッシュ値などを検証することで、隔離実行環境内に入力されたコントラクトの内容が、あらかじめユーザーの間で合意済みのものを使用していることを確認できる。アテステーションレポートに対する署名の検証は、CPU,GPU等のハードウェアを製造するメーカーが公開する情報（公開鍵や証明書など）を用いて検証することができる。

　以上説明したように、本実施形態によれば、隔離実行環境に入力されたコントラクトに対するリモートアテステーションを実施し、相手にアテステーションレポートを提供することにより、ユーザーは、相手の隔離実行環境に入力されたコントラクトがコントラクト合意に含まれていたものと同一であるかを確認することができる。

　［第４の実施形態］
　第１ないし第３の実施形態では、ユーザーは、相手の隔離実行環境で実行された処理が、ユーザー間で合意されたコントラクトに含まれるアセットに対して、合意されたコントラクトに含まれるポリシーの内容に従って処理が行われたことを事後に確認できない。

　第４の実施形態では、実行履歴のリモートアテステーションを実施する。ユーザーＡ，Ｂは、相手の隔離実行環境内で処理された秘匿性の高いデータと、その処理結果として出力されたデータについて、リモートアテステーションを実施する。リモートアテステーションは、ユーザーＡ，Ｂのどちらか片方だけが実施してもよいし、両方で相互に実施してもよい。

　隔離実行環境内で処理された秘匿性の高いデータと、その処理結果として出力されたデータに対するリモートアテステーションでは、隔離実行環境内において、秘匿性の高いデータと処理結果のハッシュ値を照合することにより確認する。隔離実行環境内ですでにリモートアテステーション済みのプログラム（ポリシー実行プログラムなど）が、秘匿性の高いデータと処理結果のハッシュ値を計算する。TEE機能が、ハッシュ値を含むアテステーションレポートを作成し、TEE機能が保持する秘密情報によって署名する。隔離実行環境は、アテステーションレポートを隔離実行環境を管理するユーザーに提供する。

　ユーザーは、相手のユーザーに対してアテステーションレポートの提示を要求し、アテステーションレポートに含まれる署名とハッシュ値などを検証することで、隔離実行環境で処理されたデータが合意済みの秘匿性の高いデータであり、処理内容も合意済みの処理であることを確認できる。アテステーションレポートに対する署名の検証は、CPU,GPU等のハードウェアを製造するメーカーが公開する情報（公開鍵や証明書など）を用いて検証することができる。

　なお、ハッシュ値の計算においては、秘匿性の高いデータと、その処理結果として出力されたデータの全体に対する１個のハッシュ値を計算するという方法、入力や出力などの種類に分けて複数のハッシュ値を計算して組み合わせたり連結したりする方法、あるいは、データやファイルなどの単位でそれぞれのハッシュ値を計算して、そのリストに対してさらにハッシュ値を計算し、当該リストをアテステーションレポートと合わせてユーザーに提供する方法がある。ハッシュ値を複数に分けることで、リモートアテステーションを実施するユーザーがその中の一部しか知りえていない場合でも、その部分に関するハッシュ値の照合を行うことが可能となる。また、ハッシュ値の生成において、データ利用条件に含まれる制約条件を実行するために必要な、制約条件適用プログラムのハッシュ値を含むこともできる。これにより、制約条件適用プログラムがあらかじめユーザーＡ，Ｂ間で合意済みのものとなっていることを確認できる。

　以上説明したように、本実施形態によれば、隔離実行環境において、秘匿性の高いデータと処理結果に対するリモートアテステーションを実施し、相手にアテステーションレポートを提供することにより、ユーザーは、相手の隔離実行環境で処理されたデータが合意済みのデータであり、処理内容が合意済みの処理であることを確認できる。

　［第５の実施形態］
　ユーザーＡの隔離実行環境の内部には、アセットの情報に基づいて、データ記憶部３００Ａから秘匿性の高いデータが入力される。しかし、通常のデータ入力方法では、たとえ鍵交換による暗号化通信を行ったとしても、システム運用事業者に悪意がある場合は、データ記憶部３００Ａから隔離実行環境の内部への通信経路において、秘匿性の高いデータが漏洩してしまう可能性がある。なぜなら、ユーザーＡの隔離実行環境はユーザーＡ，Ｂの間で新たなコントラクト合意が結ばれた時点で起動されるものであり、当該隔離実行環境がユーザーＡ，Ｂによって合意された正しいデータ送信相手の隔離実行環境であることを、データ送信元となるデータ記憶部３００Ａが、データ送信のタイミングでは確認することができないためである。

　第５の実施形態では、隔離実行環境に入力されるデータを暗号化する。ユーザーＡの隔離実行環境内で公開鍵と秘密鍵の組を生成し、ユーザーＡはその公開鍵で暗号化したデータをデータ記憶部３００Ａに格納する。これにより、データ記憶部３００Ａに格納された暗号化データは、隔離実行環境内に存在する秘密鍵でしか復号できないため、データ記憶部３００Ａから隔離実行環境への通信経路において、当該データを漏洩から保護できる。

　図７のシーケンス図を参照し、コントラクト合意後の、ユーザーＡの隔離実行環境がデータを取得する処理の流れの一例について説明する。

　ステップＳ３０１にて、接続部２００Ａのポリシー適用部２０６の指示に基づき、実行部２３０Ａは隔離実行環境を起動する。

　ステップＳ３０２にて、隔離実行環境はアテステーションを実施する。

　ステップＳ３０３にて、アテステーション済みのプログラム（ポリシー実行プログラムなど）は、隔離実行環境内で公開鍵と秘密鍵の組を生成する。

　ステップＳ３０４にて、隔離実行環境は公開鍵を含むアテステーションレポートをユーザーＡに送信する。具体的には、TEE機能がその公開鍵を含むアテステーションレポートを作成し、TEE機能が保持する秘密情報（秘密鍵など）によって署名する。隔離実行環境は、ユーザーＡに対して、公開鍵を含むアテステーションレポートを送信する。ユーザーＡは、アテステーションレポートの署名を検証することで、公開鍵が隔離実行環境内で生成された公開鍵であることを確認できる。アテステーションレポートに対する署名検証は、CPU,GPU等のハードウェアを製造するメーカーが公開する情報（公開鍵や証明書など）を用いて検証することができる。ユーザーＡは、アテステーションレポートとは別に隔離実行環境から公開鍵を取得してもよい。この場合、アテステーションレポートに公開鍵のハッシュ値を含めることで、公開鍵が隔離実行環境内で生成された公開鍵であることを確認できる。

　ステップＳ３０５にて、ユーザーＡは、データ記憶部３００Ａに対して、公開鍵を用いて暗号化したデータを格納する。

　ステップＳ３０６にて、隔離実行環境は暗号化データをデータ記憶部３００Ａから取得する。

　ステップＳ３０７にて、隔離実行環境は、保持する秘密鍵で暗号化データを復号する。暗号化データを復号後、隔離実行環境はデータを処理し、ユーザーＢにデータを送信する。

　なお、公開鍵で暗号化できるデータの量は限られている場合があるが、データの暗号化および復号を以下の手順とすればよい。ユーザーＡは、新たに共通鍵を生成して、データを共通鍵を用いて暗号化するとともに、共通鍵のみを公開鍵で暗号化する。ユーザーＡは、共通鍵で暗号化済みのデータと、公開鍵で暗号化済みの共通鍵の両方をデータ記憶部３００Ａに格納する。隔離実行環境は、共通鍵で暗号化済みのデータと公開鍵で暗号化済みの共通鍵の両方を取得し、秘密鍵で共通鍵を復号し、復号した共通鍵でデータを復号する。これにより、隔離実行環境内に存在する秘密鍵を用いることなくデータを復号することはできない。

　以上説明したように、本実施形態によれば、隔離実行環境内で公開鍵と秘密鍵の組を生成し、公開鍵で暗号化したデータをデータ記憶部３００Ａに格納することで、データ記憶部３００ＡからユーザーＡの隔離実行環境への通信経路において、秘匿性の高いデータを漏洩することなく保護できる。また、ユーザーＡの隔離実行環境のアテステーションレポートが公開鍵の情報を含むことで、ユーザーＡは公開鍵の正当性を検証できる。

　［第６の実施形態］
　ユーザーＢの隔離実行環境の内部には、アセットの情報に基づいて、ユーザーＡの隔離実行環境から秘匿性の高いデータが入力される。しかし、通常のデータ入力方法では、たとえ鍵交換による暗号化通信を行ったとしても、システム運用事業者に悪意がある場合は、ユーザーＡの隔離実行環境からユーザーＢの隔離実行環境への通信経路において、秘匿性の高いデータが漏洩してしまう可能性がある。なぜなら、ユーザーＢの隔離実行環境はユーザーＡ，Ｂの間で新たなコントラクト合意が結ばれた時点で起動されるものであり、当該隔離実行環境がユーザーＡ，Ｂによって合意された正しいデータ送信相手の隔離実行環境であることを、データ送信元となるユーザーＡの隔離実行環境が、データ送信のタイミングでは確認することができないためである。

　第６の実施形態では、ユーザー間で送受信されるデータを暗号化する。ユーザーＢの隔離実行環境内で公開鍵と秘密鍵の組を生成し、ユーザーＡの隔離実行環境はその公開鍵で暗号化したデータを送信する。これにより、ユーザーＡの隔離実行環境から送信される暗号化データは、ユーザーＢの隔離実行環境内に存在する秘密鍵でしか復号できないため、ユーザーＡの隔離実行環境からユーザーＢの隔離実行環境への通信経路において、当該データを漏洩から保護できる。

　図８のシーケンス図を参照し、コントラクト合意後の、ユーザーＡの隔離実行環境からユーザーＢの隔離実行環境へデータを送信する処理の一例について説明する。

　ステップＳ４０１にて、接続部２００Ａのポリシー適用部２０６の指示に基づき、実行部２３０Ａは隔離実行環境を起動する。

　ステップＳ４０２にて、隔離実行環境はアテステーションを実施する。

　ユーザーＢ側も同様に、ステップＳ４０３にて、接続部２００Ｂのポリシー適用部２０６の指示に基づき、実行部２３０Ｂは隔離実行環境を起動する。

　ステップＳ４０４にて、隔離実行環境はアテステーションを実施する。

　ステップＳ４０５にて、アテステーション済みのプログラム（ポリシー実行プログラムなど）は、ユーザーＢの隔離実行環境内で公開鍵と秘密鍵の組を生成する。

　ステップＳ４０６にて、ユーザーＢの隔離実行環境は公開鍵を含むアテステーションレポートをユーザーＡの隔離実行環境に送信する。具体的には、TEE機能がその公開鍵を含むアテステーションレポートを作成し、TEE機能が保持する秘密情報（秘密鍵など）によって署名する。ユーザーＢの隔離実行環境は、ユーザーＡの隔離実行環境に対して、公開鍵を含むアテステーションレポートを送信する。ユーザーＡの隔離実行環境内のプログラムは、アテステーションレポートの署名を検証することで、公開鍵が隔離実行環境内で生成された公開鍵であることを確認できる。アテステーションレポートに対する署名検証は、CPU,GPU等のハードウェアを製造するメーカーが公開する情報（公開鍵や証明書など）を用いて検証することができる。ユーザーＡは、アテステーションレポートとは別にユーザーＢの隔離実行環境から公開鍵を取得してもよい。この場合、アテステーションレポートに公開鍵のハッシュ値を含めることで、公開鍵が隔離実行環境内で生成された公開鍵であることを確認できる。

　ステップＳ４０７にて、ユーザーＡの隔離実行環境は、データ記憶部３００Ａからデータを取得する。ユーザーＡの隔離実行環境は、データ利用条件に従いデータを処理してもよい。

　ステップＳ４０８，Ｓ４０９にて、ユーザーＡの隔離実行環境は、ユーザーＢの隔離実行環境にデータを送信する際、公開鍵を用いてデータを暗号化し、暗号化データをユーザーＢの隔離実行環境に送信する。

　ステップＳ４１０にて、ユーザーＢの隔離実行環境は、保持する秘密鍵で暗号化データを復号する。暗号化データを復号後、隔離実行環境はデータを処理し、処理後のデータをデータ記憶部３００Ｂに格納する。

　なお、公開鍵で暗号化できるデータの量は限られている場合があるが、データの暗号化および復号を以下の手順とすればよい。ユーザーＡの隔離実行環境は、新たに共通鍵を生成して、データを共通鍵を用いて暗号化するとともに、共通鍵のみを公開鍵で暗号化する。ユーザーＡの隔離実行環境は、共通鍵で暗号化済みのデータと、公開鍵で暗号化済みの共通鍵の両方をユーザーＢの隔離実行環境に送信する。ユーザーＢの隔離実行環境は、共通鍵で暗号化済みのデータと公開鍵で暗号化済みの共通鍵の両方を受信し、秘密鍵で共通鍵を復号し、復号した共通鍵でデータを復号する。これにより、ユーザーＢの隔離実行環境内に存在する秘密鍵を用いることなくデータを復号することはできない。

　ユーザーＡの隔離実行環境からユーザーＢの隔離実行環境へ送信されるデータを改ざんされないようにするためには、ユーザーＡの隔離実行環境内で公開鍵と秘密鍵の組を生成し、公開鍵をユーザーＢの隔離実行環境へ送信しておき、ユーザーＡの隔離実行環境は、ユーザーＢの隔離実行環境へ送信するデータに対して秘密鍵で署名する。ユーザーＢの隔離実行環境は、公開鍵を用いて署名を検証することで、受信したデータが改ざんされていないことを確認できる。アテステーションレポートにこの公開鍵の情報を含めることで、公開鍵の正当性を検証できる。

　実施方法のバリエーションとして、ユーザーＢが隔離実行環境外で公開鍵と秘密鍵の組を生成しておき、秘密鍵または公開鍵と秘密鍵の両方をユーザーＢの隔離実行環境の中へ送信し、公開鍵をユーザーＡの隔離実行環境へ送信する、という方法も可能である。ユーザーＢが隔離実行環境を有しない場合でも、公開鍵をユーザーＡの隔離実行環境へ送信することで、ユーザーＡの隔離実行環境から受信した暗号化データをユーザーＢの保持する秘密鍵で復号し、データ記憶部３００Ｂに格納できる。なお、公開鍵と秘密鍵の組を生成する環境が隔離実行環境内ではないため、必要とするセキュリティ要件によっては、公開鍵と秘密鍵の組を悪意のあるシステム運用事業者によって改ざんされないように保護する仕組みが必要となる場合がある。

　以上説明したように、本実施形態によれば、ユーザーＢの隔離実行環境内で公開鍵と秘密鍵の組を生成し、ユーザーＡの隔離実行環境がその公開鍵で暗号化したデータをユーザーＢの隔離実行環境に送信することで、ユーザーＡの隔離実行環境からユーザーＢの隔離実行環境への通信経路において、秘匿性の高いデータを漏洩することなく保護できる。また、ユーザーＢの隔離実行環境のアテステーションレポートが公開鍵の情報を含むことで、ユーザーＡは公開鍵の正当性を検証できる。

　［第７の実施形態］
　ユーザーＢの隔離実行環境の内部からは、アセットの情報に基づいて、ユーザーＡの隔離実行環境から送信された秘匿性の高いデータが出力される。しかし、通常のデータ入力方法では、たとえ鍵交換による暗号化通信を行ったとしても、システム運用事業者に悪意がある場合は、ユーザーＢの隔離実行環境からユーザーＢのデータ記憶部３００Ｂへの通信経路において、秘匿性の高いデータが漏洩してしまう可能性がある。なぜなら、ユーザーＢの隔離実行環境はユーザーＡ，Ｂの間で新たなコントラクト合意が結ばれた時点で起動されるものであり、データ送信元となるユーザーＢの隔離実行環境が、データ送信相手が正しいユーザーＢのデータ記憶部３００Ｂであることを、データ送信のタイミングでは確認することができないためである。

　第７の実施形態では、隔離実行環境から出力されるデータを暗号化する。ユーザーＢのデータ記憶部３００Ｂで公開鍵と秘密鍵の組を生成し、ユーザーＢの隔離実行環境はその公開鍵で暗号化したデータを送信する。これにより、隔離実行環境から送信される暗号化データは、データ記憶部３００Ｂの保持する秘密鍵でしか復号できないため、隔離実行環境からデータ記憶部３００Ｂへの通信経路において、当該データを漏洩から保護できる。

　図９のシーケンス図を参照し、コントラクト合意後の、ユーザーＢの隔離実行環境からデータ記憶部３００Ｂへデータを送信する処理の一例について説明する。

　ステップＳ５０１にて、接続部２００Ｂのポリシー適用部２０６の指示に基づき、実行部２３０Ｂは隔離実行環境を起動する。

　ステップＳ５０２にて、隔離実行環境はアテステーションを実施する。

　ステップＳ５０３にて、データ記憶部３００Ｂは公開鍵と秘密鍵の組を生成する。データ記憶部３００Ｂ以外の装置で公開鍵と秘密鍵の組を生成し、秘密鍵をデータ記憶部３００Ｂに保持させてもよい。

　ステップＳ５０４にて、データ記憶部３００Ｂは公開鍵を隔離実行環境へ送信する。

　ステップＳ５０５，Ｓ５０６にて、隔離実行環境のプログラムは、データ記憶部３００Ｂにデータを送信する際、公開鍵を用いてデータを暗号化し、暗号化データをデータ記憶部３００Ｂに送信する。

　ステップＳ５０７にて、データ記憶部３００Ｂは保持する秘密鍵で暗号化データを復号し、格納する。

　なお、データ記憶部３００Ｂで公開鍵と秘密鍵の組を生成しており、公開鍵と秘密鍵の組を生成する環境が隔離実行環境内ではないため、必要とするセキュリティ要件によっては、公開鍵と秘密鍵の組を悪意のあるシステム運用事業者によって改ざんされないように保護する仕組みが必要となる場合がある。

　隔離実行環境からデータ記憶部３００Ｂへ送信されるデータを改ざんされないようにするためには、隔離実行環境内で公開鍵と秘密鍵の組を生成し、公開鍵をデータ記憶部３００Ｂへ送信しておき、データ記憶部３００Ｂへ送信するデータに対して秘密鍵で署名する。データ記憶部３００Ｂは、公開鍵を用いて署名を検証することで、受信したデータが改ざんされていないことを確認できる。アテステーションレポートにこの公開鍵の情報を含めることで、公開鍵の正当性を検証できる。

　以上説明したように、本実施形態によれば、データ記憶部３００Ｂで公開鍵と秘密鍵の組を生成し、ユーザーＢの隔離実行環境がその公開鍵で暗号化したデータをデータ記憶部３００Ｂに送信することで、ユーザーＢの隔離実行環境からデータ記憶部３００Ｂへの通信経路において、秘匿性の高いデータを漏洩することなく保護できる。

　なお、第１の実施形態に対して、第２の実施形態から第７の実施形態を自由に組み合わせてもよい。

　［実施例］
　データ流通基盤１００で使用する接続部２００Ａ，２００Ｂ、送受信部２２０Ａ，２２０Ｂ、実行部２３０Ａ，２３０Ｂ、およびデータ記憶部３００Ａ，３００Ｂは、各会社が有する装置であってもよいし、クラウド上の仮想マシンであってもよいし、クラウドアプリケーションサービス (SaaS)として提供されるものであってもよい。各会社もしくは各部について、装置、クラウド上の仮想マシン、およびクラウドアプリケーションサービスなどを組み合わせて用いてもよい。以下、いくつかの実施例について説明する。

　第１の実施例は、Ａ社の工場とＢ社の工場の間で、合意コントラクトに基づいてデータを送受信する実施例である。

　Ａ社の工場にユーザーＡの接続部２００Ａ、実行部２３０Ａ、データ記憶部３００Ａがあり、Ｂ社の工場にユーザーＢの接続部２００Ｂ、実行部２３０Ｂ、データ記憶部３００Ｂがある。データ記憶部３００ＡはＡ社の工場から収集したデータを蓄積するデータベースであってもよい。データ記憶部３００ＢはＢ社の工場からデータを閲覧可能なデータベースであってもよい。

　Ａ社の工場からＢ社の工場に対してデータが送信される。その際、コントラクト交渉で合意したデータ利用条件に基づいてデータの送受信を行う。

　第２の実施例は、Ａ社のクラウドとＢ社のクラウドの間で、合意コントラクトに基づいてデータを送受信する実施例である。

　Ａ社の契約するクラウド上にユーザーＡの接続部２００Ａ、実行部２３０Ａ、データ記憶部３００Ａがあり、Ｂ社の契約するクラウド上にユーザーＢの接続部２００Ｂ、実行部２３０Ｂ、データ記憶部３００Ｂがある。データ記憶部３００ＡはＡ社の工場から収集したデータを蓄積するデータベースであってもよい。データ記憶部３００ＢはＢ社の工場からデータを閲覧可能なデータベースであってもよい。

　Ａ社のクラウドからＢ社のクラウドに対してデータが送信される。その際、コントラクト交渉で合意したデータ利用条件に基づいてデータの送受信を行う。

　第３の実施例は、Ａ社の工場とＢ社のクラウドアプリケーションサービスの間で、合意コントラクトに基づいてデータを送受信する実施例である。

　Ａ社の工場にユーザーＡの接続部２００Ａ、実行部２３０Ａ、データ記憶部３００Ａがあり、Ｂ社のクラウドアプリケーションサービス上にユーザーＢの接続部２００Ｂ、実行部２３０Ｂ、データ記憶部３００Ｂがある。データ記憶部３００ＡはＡ社の工場から収集したデータを蓄積するデータベースであってもよい。データ記憶部３００ＢはＢ社の工場からデータを閲覧可能なデータベースであってもよい。

　Ａ社の工場からＢ社のクラウドアプリケーションサービスに対してデータが送信される。その際、コントラクト交渉で合意したデータ利用条件に基づいてデータの送受信を行う。

　第４の実施例は、Ａ社のクラウドアプリケーションサービスとＢ社のクラウドアプリケーションサービスの間で、合意コントラクトに基づいてデータを送受信する実施例である。

　Ａ社のクラウドアプリケーションサービス上にユーザーＡの接続部２００Ａ、実行部２３０Ａ、データ記憶部３００Ａがあり、Ｂ社のクラウドアプリケーションサービス上にユーザーＢの接続部２００Ｂ、実行部２３０Ｂ、データ記憶部３００Ｂがある。データ記憶部３００ＡはＡ社の工場から収集したデータを蓄積するデータベースであってもよい。データ記憶部３００ＢはＢ社の工場からデータを閲覧可能なデータベースであってもよい。

　Ａ社のクラウドアプリケーションサービスからＢ社のクラウドアプリケーションサービスに対してデータが送信される。その際、コントラクト交渉で合意したデータ利用条件に基づいてデータの送受信を行う。

　いずれの実施例においても、本開示の技術を適用し、ユーザーＡの実行部２３０ＡからユーザーＢ場の実行部２３０Ｂに対してデータを送信することで、実行部２３０ＢにおいてユーザーＡが提供したデータを処理する時点では、当該データをシステム運用事業者やユーザーＢから暗号化により秘匿した状態で処理することが可能となる。ユーザーＡは、実行部２３０Ｂにおいて行われるデータ処理について、事前に合意している処理内容のみが行われるようにデータの利用制御を行うことができる。また、ユーザーＡは、実行部２３０Ｂの隔離実行環境、データ利用条件、および実行履歴についてリモートアテステーションを実施することにより、不正に改ざんされていないことを検証できる。

　実施例のバリエーションとして、データを分析するプログラムが、データ提供者であるユーザーＡからユーザーＢの実行部２３０Ｂに秘匿されて送られて使われる場合と、データ利用者であるユーザーＢ自身が実行部２３０Ｂに送信して使われる場合がある。

　また、ユーザーＡ，Ｂ間で合意の下、ユーザーＢは、実行部２３０ＢによるユーザーＡのデータの分析結果だけを取得することができるが、ユーザーＡが実行部２３０Ｂに送信したデータをそのままでは閲覧できない、というような利用方法も可能である。

　さらに、Ｂ社の利用する装置、クラウド、またはクラウドアプリケーションサービスが、Ａ社だけでなく、複数社の利用する装置、クラウド、またはクラウドアプリケーションサービスと接続されており、Ａ社を含むすべての複数社の合意の下、複数社のデータを横断的に分析し、ユーザーＢは分析結果を取得できてもよい。

　上記説明したデータ流通基盤１００の各装置および各部には、例えば、図１０に示すような、中央演算処理装置（ＣＰＵ）９０１と、メモリ９０２と、ストレージ９０３と、通信装置９０４と、入力装置９０５と、出力装置９０６とを備える汎用的なコンピュータシステムを用いることができる。このコンピュータシステムにおいて、ＣＰＵ９０１がメモリ９０２上にロードされた所定のプログラムを実行することにより、データ流通基盤１００の各装置および各部が実現される。このプログラムは磁気ディスク、光ディスク、半導体メモリなどの、コンピュータが読み取り可能な非一時的な記録媒体に記録することも、ネットワークを介して配信することもできる。

　１００　データ流通基盤
　１１０　認証サーバー
　１２０　カタログサーバー
　２００Ａ，２００Ｂ　接続部
　２０１　アセット定義管理部
　２０２　ポリシー定義管理部
　２０３　コントラクト定義管理部
　２０４　コントラクト交渉機能部
　２０５　コントラクト合意管理部
　２０６　ポリシー適用部
　２１０　認証機能部
　２２０Ａ，２２０Ｂ　送受信部
　２３０Ａ，２３０Ｂ　実行部
　３００Ａ，３００Ｂ　データ記憶部

Claims

　ユーザー間でのデータ共有を提供するデータ共有装置であって、
　データ流通基盤に接続してユーザー間で共有するデータと利用条件を含む共有条件の合意を形成する接続部と、
　前記共有条件に従って動作するプログラムを含む実行環境のイメージを用いて隔離された安全な隔離実行環境を起動し、前記隔離実行環境内で前記共有条件に従ってデータを受信して処理する実行部とを有する、
　データ共有装置。
　請求項１に記載のデータ共有装置であって、
　前記実行部は、前記隔離実行環境、前記実行環境のイメージ、前記共有条件、前記隔離実行環境内で受信したデータ、および前記隔離実行環境での処理結果の少なくともいずれかの信頼性を検証する、
　データ共有装置。
　請求項１に記載のデータ共有装置であって、
　前記隔離実行環境内で公開鍵と秘密鍵の組を生成し、前記公開鍵で暗号化されたデータを受信して前記秘密鍵で復号する、
　データ共有装置。
　請求項１に記載のデータ共有装置であって、
　前記隔離実行環境内で公開鍵を受信し、前記公開鍵で暗号化したデータを送信する、
　データ共有装置。
　ユーザー間でのデータ共有を提供するデータ共有方法であって、
　コンピュータが、
　データ流通基盤に接続してユーザー間で共有するデータと利用条件を含む共有条件の合意を形成し、
　前記共有条件に従って動作するプログラムを含む実行環境のイメージを用いて隔離された安全な隔離実行環境を起動し、
　前記隔離実行環境内で前記共有条件に従ってデータを受信して処理する、
　データ共有方法。
　請求項５に記載のデータ共有方法であって、
　前記隔離実行環境、前記実行環境のイメージ、前記共有条件、前記隔離実行環境内で受信したデータ、および前記隔離実行環境での処理結果の少なくともいずれかの信頼性を検証する、
　データ共有方法。
　請求項５に記載のデータ共有方法であって、
　前記隔離実行環境内で公開鍵と秘密鍵の組を生成し、前記公開鍵で暗号化されたデータを受信して前記秘密鍵で復号する、
　データ共有方法。
　請求項５に記載のデータ共有方法であって、
　前記隔離実行環境内で公開鍵を受信し、前記公開鍵で暗号化したデータを送信する、
　データ共有方法。