WO2006132371A1 - 情報セキュリティ装置 - Google Patents

Abstract

　情報がチェインをたどって流通する場合に、流通後に、この情報の利用条件の変更や回収（削除）を可能とする情報セキュリティ装置を提供する。 　情報セキュリティ装置（２００）は、コンテンツおよび回収コマンドを受信する受信部（２０１）、コンテンツおよびその利用条件を格納するコンテンツ格納部（２０２）、受信した回収コマンドの正当性を確認する回収コマンド確認部（２０３）、コンテンツを削除するコンテンツ削除部（２０４）、コンテンツの送受信情報を含むチェイン情報を格納するチェイン情報格納部（２０５）、送信先リスト格納部（２０６）、コンテンツおよび回収コマンドを送信する送信部（２０７）、及び回収コマンドの処理制御を行う制御部（２０８）を備え、コンテンツ配布後に回収コマンドを送信することで、流通先でのコンテンツの回収（削除）を行なうことができる。

Description

明 細 書

情報セキュリティ装置

技術分野

[0001] 本発明は、コンテンツ情報等がチェインで流通した後、このコンテンツ情報の利用 条件を同様のチェインをたどって変更できる情報セキュリティ装置に関する。

背景技術

[0002] 近年、デジタルカメラやカメラ付き携帯電話等の普及により、個人ユーザが静止画 や動画等のデジタルコンテンツを容易に生成出来るようになった。以後、個人ユーザ が生成したデジタルコンテンツのことを個人コンテンツと呼ぶことにする。また、それら 個人コンテンツを、デジタルテレビやハイブリッドレコーダ、携帯機器等に転送して、 視聴出来る環境が整いつつある。それに伴って、家族や友達と個人コンテンツを交 換し合う機会が増えてきており、今後個人コンテンツの流通が活発に行われるように なると予想される。

[0003] 現在、個人コンテンツの流通システムの一例としては、ピアツーピア型のファイル交 換システム (例えば、非特許文献 1参照）が挙げられる。ファイル交換システムでは、 ネットワーク上のユーザが相互に個人コンテンツを交換し合う。ファイル交換システム において、個人コンテンツを要求するユーザは、 自己が所有する端末を利用して、個 人コンテンツを所有するユーザの端末に対し、欲しい個人コンテンツを指定し、ネット ワークを介して個人コンテンツをダウンロードする。ピアツーピア型のファイル交換シ ステムでは、個人コンテンツを受け取ったユーザは、また別のユーザに自由に再配 布（二次配布）出来る。そのため、コンテンツは活発に流通される。

[0004] 一方、この二次配布により、どこに個人コンテンツが流通しているのかを把握困難に なる恐れがある。従来の個人コンテンツの配布情報の管理方法として、個人コンテン ッをチェインで順に配布する際、誰が誰に送信したのかを履歴管理サイトが集中して 管理する方法が開示されている (例えば、特許文献 1参照)。

非特許文献 1：伊藤直榭著「P2Pコンピューティング—技術解説とアプリケーション」、 ソフトリサーチセンター出版、 2001年 12月 特許文献 1：特開 2001— 256413号公報

発明の開示

発明が解決しょうとする課題

[0005] 一般に、個人コンテンツは不特定の人には知られたくないプライベートな写真デー タ等も含まれる。そのため、個人コンテンツを生成したユーザ (生成ユーザ）には、生 成した個人コンテンツの配布範囲を限定した 、と 、う要望がある。

[0006] し力しながら、非特許文献 1に記載の従来技術では、生成ユーザの意図に関係なく 、個人コンテンツを受け取ったユーザは自由に再配布（二次配布）出来ていた。つま り、ー且生成ユーザの手を離れてしまった個人コンテンツの二次配布を生成ユーザ が制御することが出来な 、と 、う課題がある。

[0007] 一方、特許文献 1に記載の従来技術では、各ユーザがどこに流通させたのかといつ た情報が集中管理されている。この情報はそのユーザの友人関係の情報、つまりプ ライパシーに関連しており、それが他者に管理されているということはそのユーザにと つて不快である。また、個人情報保護法の観点からも、運営側が管理サイトを安全に 運営するための大きなリスクを負い、課題である。

[0008] 本発明は、前記従来の課題を解決するもので、各ユーザがどこに流通させたかの 情報を集中管理することなしに、流通させてしまった個人コンテンツの利用条件を、 後から個人コンテンツ流通と同じチェインをたどって、変更、削除（回収)等できる情 報セキュリティ装置を提供することを目的とする。

課題を解決するための手段

[0009] 前記従来の課題を解決するために、本発明の情報セキュリティ装置は、送信元装 置からコンテンツ情報を受信して利用すると共に、前記コンテンツ情報を送信先装置 に送信する情報セキュリティ装置であって、前記送信元装置から前記コンテンツ情報 、前記コンテンツ情報の利用条件、及び前記利用条件を変更指示するための条件 変更コマンドの少なくとも 1つを受信する受信手段と、前記コンテンツ情報及び前記 利用条件を格納するコンテンツ情報格納手段と、前記条件変更コマンドに基づ 、て 前記利用条件を変更する制御手段と、前記コンテンツ情報、前記利用条件、及び前 記条件変更コマンドの少なくとも 1つを前記送信先装置に送信する送信手段とを備え ることを特徴とする。

[0010] 本構成によって、前記制御手段において条件変更コマンドに基づいて利用条件を 変更することにより、コンテンツの配布後に、利用条件の変更や、コンテンツの回収（ 削除)を行うことが可能となる。

[0011] また、本発明に係る情報セキュリティ装置は、さらに、前記コンテンツ情報の識別子

、前記コンテンツ情報の送付元装置の識別子、前記コンテンツ情報の作成装置の識 別子、前記コンテンツ情報の送付先装置の識別子の少なくとも 1つ含む情報を、前記 コンテンツ情報のチェイン情報として生成するチェイン情報生成手段と、前記チェィ ン情報を格納するチェイン情報格納手段とを備え、前記制御手段は、さらに、前記条 件変更コマンドの対象となる前記コンテンツ情報のチェイン情報を参照して、前記条 件変更コマンドの対象となるコンテンツ情報の利用条件を変更することを特徴とする

[0012] この構成により、前記制御手段において、チェイン情報を参照して利用条件を変更 でき、コンテンツ情報の管理を行うことが可能となる。

[0013] なお、前記目的を達成するために、本発明は、情報セキュリティ装置の特徴的な手 段をステップとする情報セキュリティ方法として実現したり、コンピュータに各ステップ を実行させるためのプログラムとして実現することもできる。そのようなプログラムは、 C D— ROM等の記録媒体やインターネット等の伝送媒体を通じて配信することができ るのは言うまでもない。

発明の効果

[0014] 本発明の情報セキュリティ装置によれば、ユーザは確実にネットワークを介した個人 コンテンツ等のコンテンツの配布後に、条件の変更や、コンテンツの回収（削除）を行 なうことができるため、自ら作成した個人コンテンツ等を、より気軽にネットワーク上に 配布、公開できる。

図面の簡単な説明

[0015] [図 1]図 1は、本発明の実施の形態 1に係る情報セキュリティシステムの全体構成例を 示す図である。

[図 2]図 2は、本発明の実施の形態 1に係る情報セキュリティ装置の構成を示すブロッ ク図である。

[図 3]図 3は、本発明の実施の形態 1におけるコンテンツ流通時の情報セキュリティ装 置の動作の一例を示すフローチャートである。

[図 4]図 4は、本発明の実施の形態 1におけるチヱイン情報の例を示す図である。

[図 5]図 5は、本発明の実施の形態 1におけるコンテンツ回収時の情報セキュリティ装 置の動作の一例を示すフローチャートである。

[図 6]図 6は、本発明の実施の形態 1における情報セキュリティ装置の意志で、コンテ ンッと対応するチェイン情報を削除する場合の処理を示すフローチャートである。

[図 7]図 7は、本発明の実施の形態 2に係る情報セキュリティ装置の機能ブロック図で ある。

[図 8]図 8は、本発明の実施の形態 2に係る情報セキュリティ装置においてコンテンツ の「途中抜け」を行う際の動作手順を示すフローチャートである。

[図 9]図 9は、チェイン情報通知部を保持する情報セキュリティ装置から送信先の情報 セキュリティ装置及び送信元の情報セキュリティ装置に送信される情報の一例を示す 図である。

符号の説明

100, 200, 300 情報セキュリティ装置

201 受信部

202 コンテンツ格納部

203 回収コマンド確認部

204 コンテンツ削除部

205 チェイン情報格納部

206 送信先リスト格納部

207 送信部

208 制御部

209 コンテンツ再生部

701 判定部

702 時間管理部 703 機器デフォルト値格納部

704 外部入力部

705 回収コマンド生成部

706 チェイン情報通知部

発明を実施するための最良の形態

[0017] 以下、本発明の実施の形態について、図面を参照しながら説明する。なお、ここで はコンテンツを流通させて、その後そのコンテンツを回収（削除)する場合を例として 説明する。また、回収せずに、利用条件を変更することも可能である。なお、各情報 セキュリティ装置は回収指示があればそれに従う正しい装置であると仮定する。

[0018] (実施の形態 1)

図 1は、本発明の実施の形態 1に係る情報セキュリティシステムの全体構成例を示 す図である。

[0019] 図 1において、情報セキュリティシステムは、通信路 1、通信路 2を介して順に接続さ れる 3つの情報セキュリティ装置を備える。それぞれ、情報セキュリティ装置 1 (100)、 情報セキュリティ装置 2 (200)、情報セキュリティ装置 3 (300)である。なお、図 1では 、情報セキュリティ装置は 3つ示している力 3つ未満であっても良いし、 4つ以上であ つてもよい。なお、ここでは説明のため、情報セキュリティ装置 1、 2、 3のユーザはそ れぞれ、 ALICE、 HANAKO、 BOBとする。

[0020] 情報セキュリティ装置は、パーソナルコンピュータ等のコンピュータ装置や、家電製 品（デジタルテレビ、ビデオデッキ、 DVDレコーダ、ハードディスクレコーダなど）、セ ットトップボックス、携帯電話、 PHS、デジタルスチルカメラ、デジタルビデオカメラ、マ ルチメディア再生端末、 PDA (Personal Digital Assistant:携帯型情報端末装 置)、車載情報端末、専用携帯端末等の、情報の入出力や記憶等の処理が可能な いわゆる情報処理端末装置である。通信路は、インターネットや電話線、無線通信等 によって実現される、情報処理端末間の相互通信を可能とする情報伝達メディアで ある。

[0021] なお、本図の説明においては、情報セキュリティ装置が 1対 1の関係でコンテンツの 送受信を行う場合を示しているが、情報セキュリティ装置の関係は 1対多、又は多対 1 の関係でコンテンツの送受信を行う構成であっても構わない。

[0022] 図 2は、図 1における情報セキュリティ装置 2の内部構成例を示す図である。情報セ キユリティ装置 1および 3も同様の構成であっても良い。情報セキュリティ装置 2は、情 報セキュリティ装置 1よりコンテンツを受信し、これを蓄積して利用すると共に、情報セ キユリティ装置 3に送信する。

[0023] 図 2において、情報セキュリティ装置 200は、通信路 1を介して情報セキュリティ装 置 1よりコンテンツおよび回収コマンドを受信する受信部 201、コンテンツおよびその 利用条件を格納するコンテンツ格納部 202、受信した回収コマンドの正当性を確認 する回収コマンド確認部 203、コンテンツを削除するコンテンツ削除部 204、コンテン ッの送受信情報を含むチェイン情報を格納するチェイン情報格納部 205、送信先リ スト格納部 206、通信路 2を介してコンテンツおよび回収コマンドを情報セキュリティ 装置 3に送信する送信部 207、回収コマンドの処理制御を行う制御部 208、及びコン テンッと利用条件を参照してコンテンツを再生するコンテンツ再生部 209を備える。

[0024] 図 3では、コンテンツを受信した場合の動作例を示している。図 2を参照して説明す る。

[0025] 受信部 201は、通信路 1を介してコンテンツを受信する (ステップ S401)。ここでの コンテンツの IDは 1234とする。ここでは詳細に述べないが、コンテンツ受信と同時に 、コンテンツの利用条件を受信してもよい。なお、利用条件とは、例えば、決められた 回数だけ再生可能などとする。

[0026] 受信部 201は、受信したコンテンツをコンテンツ格納部 202に格納する（ステップ S 402)。また、コンテンツの利用条件を受信した場合は、利用条件もコンテンツ格納部 202に格納する。

[0027] 次に、受信部 201は、コンテンツ†青報（コンテンツ ID、コンテンツ作成者、コンテンツ 保存場所、コンテンツ重要度など)と、送信者の情報 (送信元情報)をチェイン情報と して、チェイン情報格納部 205に格納する (ステップ S403)。

[0028] 制御部 208は、受信部 201がチェイン情報格納処理を完了した後、送信先リスト格 納部 206に格納されている送信先リストを参照し、送信先を決定する (ステップ S404 )。例えば、送信リスト格納部 206に、ユーザ情報 (ユーザ IDやユーザ名など）と送信 先アドレス (電話番号や IPアドレスやメールアドレスなど、通信先情報）と各ユーザに 対する信頼度を組みにして送信リストとして保持している場合について、具体的に説 明する。処理対象のコンテンツに付加されている重要度と、送信リストの信頼度とを比 較して、送信先を決定する。信頼度は例えば 0から 100 (数字が大きいほど信頼して いることを示す)で示し、重要度が一定以上のコンテンツは、信頼度 80以上のユーザ を送信先として選ぶものとする。ここで情報セキュリティ装置 2の持ち主 HANAKOは 、 BOBを信頼しており、 BOBの持つ情報セキュリティ装置 3を、コンテンツ 1234の送 信先として選ぶものとする。

[0029] 制御部 208は、決定した送信先を送信先情報としてチェイン情報に格納することで 、チェイン情報格納部 205に格納されているチェイン情報を更新する (ステップ S405

) o

[0030] 送信部 207は、制御部 208が決定した送信先 (情報セキュリティ装置 3)に、コンテ ンッを送信する（ステップ S406)。

[0031] なお、情報セキュリティ装置 2の利用者 HANAKOは、情報セキュリティ装置 3に送 信する前や後に、コンテンツ格納部 202内のコンテンツを、コンテンツ再生部 209を 用いて利用（再生)することができ、コンテンツ流通前後に対象コンテンツの内容を確 認することが可能である。

[0032] 図 4では、図 3のステップ S403または S405において処理するチェイン情報 400の 一例を示す。

[0033] コンテンツ ID (1234)およびコンテンツ作成者は、コンテンツに付加されている情報 を参照して記録する。また、ここでは情報セキュリティ装置 1のユーザが ALICEで、情 報セキュリティ装置 3のユーザが BOBであるため、コンテンツ送信元は ALICE、送信 先は BOBとなる。また、コンテンツ保存場所とは、コンテンツ格納部 202内の保存位 置を示す情報である。なお、ここでの有効期限は、このチェイン情報を保持しておか なければならない期日であり、この間であれば、同じルートで回収コマンドが来たとき に、コンテンツの流通チェインと同じルートで、回収コマンドを流通させることができる 。この図 4の例では、 2005. 5. 5まではこのチェイン情報を削除してはならず、これま での間は回収コマンドをこのチェイン情報を参照して次にまわすことができる。一方、 2005. 5. 6以降は、このチェイン情報を削除しても良いとし、回収コマンドが行き渡 る保証はなくなる。

[0034] 図 5は、図 3で述べたコンテンツの流通後に、コンテンツ作成者 TAROの意志で、コ ンテンッ 1234を回収、つまり流通先で削除する場合の処理を示す。

[0035] 受信部 201は、通信路 1を介して回収コマンドを受信する (ステップ S501)。

[0036] 回収コマンド確認部 203は、受信した回収コマンドの正当性を確認する（ステップ S 502)。この場合、コンテンツ作成者 TAROのデジタル署名を確認することで、不正 な回収コマンドではな 、ことを確認する。回収コマンドが不正である場合 (ステップ S5 02が NG)、処理を終了する。一方、回収コマンドが正当である場合 (ステップ S502 が OK)、ステップ S503に遷移する。

[0037] 制御部 208は、回収コマンドが対応するコンテンツのチェイン情報を、チェイン情報 格納部 205から取得し、内容を確認する (ステップ S503)。例えば、対応するチエイ ン情報力 図 4に示した内容の場合、このコンテンツを BOB (情報セキュリティ装置 3) に送信したことが分かる。また、チェイン情報保持の有効期限内であることも分力る。 この有効期限は、チェイン情報を保持しておかないといけない期日であるため、この 期限を過ぎている場合は、回収コマンドを流通させないと判断し、期限内の場合のみ 流通させてもよい。また、有効期限に関係なぐ受け取った回収コマンドを流通させて もよい。ここでは、有効期限に関係なぐ処理するものとする。

[0038] 制御部 208は、回収コマンドに従って、コンテンツ削除部 204に対象のコンテンツ の削除を指示し、コンテンツ削除部 204は、コンテンツ格納部 202に格納された、コ ンテンッを削除する（ステップ S 504)。

[0039] 制御部 208は、チェイン情報力も取得した送信先 (情報セキュリティ装置 3)に、回 収コマンドを送信する（ステップ S505)。

[0040] 以上により、情報セキュリティ装置は、コンテンツ配布後に回収コマンドを送信する ことで、流通先でのコンテンツの回収（削除)を行なうことが可能となり、気軽にコンテ ンッを流通することができる。また、チェイン情報は、各情報セキュリティ装置内にとど まるため、プライバシーの課題は生じない。

[0041] なお、本実施の形態 1では、コンテンツ流通後に回収コマンド（すでに流通したコン テンッを無効化、あるいは削除するコマンド)を流通させるとしている力 コンテンツの 利用条件の変更としてもょ 、。これは例えばコンテンッ流通と同時または別にコンテ ンッの利用条件 (例えば 10回の視聴)を流通させると仮定し、その後、これを変更 (例 えば 20回にする）する場合に適用できる。また、 10ヶ月の利用期限であったものを、 3ヶ月に短縮する場合にも同じチェインをたどってこのコマンドを流通する。従って、コ ンテンッ作成者が自己の都合により後から配布先の情報セキュリティ装置におけるコ ンテンッの利用形態を容易に変更でき、より気軽にコンテンツをネットワーク上に配信 、公開することがでさる。

[0042] また、本実施の形態 1では、コンテンツの回収コマンドに対する処理として、コンテン ッ本体の削除としている力 コンテンツ利用不許可フラグであってもよい。コンテンツ 利用時にはこのフラグが許可状態になっているのを確認後に初めて利用できるものと する。また、コンテンツを暗号ィ匕して保管している場合は、この鍵の削除であってもよ い。また、削除時には、コンテンツとともにチェイン情報も削除してよい。また、コンテ ンッ削除方法として、これらのいずれとするかを、コンテンツに付加して指定しても良 い。

[0043] また、回収コマンド確認部 203では、コンテンツ作成者のデジタル署名を確認して いるが、送信者 (つまり情報セキュリティ装置 1)のデジタル署名としてもよい。また、コ マンドの正当性確認方法として、これらのいずれとするかを、予めコンテンツに付加し て指定すれば、対応したデジタル署名が確認されたときのみに、回収コマンドを受け 入れて処理する。

[0044] また、回収コマンド確認部 203では、送信先の信頼度によりこのコマンドを受け入れ るかを決めても良い。例えば、あまり信頼のない送信先から、その送信先のデジタル 署名をつけて回収コマンドが来た場合、設定によっては、コンテンツを削除しなくても よい。

[0045] また、有効期限を日付で表している力 これはコンテンツが送信されてからの相対 時間（例えば 30日など)であっても良 、。また、精度としては日、時、分等、 、ずれで あってもよい。

[0046] また、対象コンテンツとして、個人が撮影したビデオや写真等の個人コンテンツに限 らない。商用コンテンツであっても良いし、口コミ情報のようなテキスト等の情報であつ てもよい。

[0047] また、回収コマンドは、他の情報セキュリティ装置（おそらぐコンテンツの作成者)か ら発行されるものとしているが、例えば送信先の信頼度が大幅に下がったこと等を契 機にして、コンテンツの作成者の許可の元に途中の装置力 発行しても良い。

[0048] また、送信先は、送信リストの信頼度とコンテンツの重要度力も決定するとして 、る 力 この方法だけでなくてもよい。友達、あるいは知り合いのリストを作成しておいて、 その全員を送信先としても良い。あるいはその場にいて通信路が確立された情報セ キユリティ装置を送信先としても良い。

[0049] また、情報セキュリティ装置は、条件変更のコマンドや回収コマンドが届いたときに はその指示に従う正しい装置であると仮定している。このために、情報セキュリティ装 置間で、最初に正しい装置であるかを相互認証すると良い。認証の方法は、例えば 公開鍵暗号の手法を用いて、正し 、装置だけに配布されて 、る証明書および秘密 鍵を有して 、るかをチャレンジレスポンスの手法で確認するとよ 、。

[0050] また、通信路はコマンドやコンテンツが必ず相手の情報セキュリティ装置に伝送され ると仮定している力 これは何もリアルタイムである必要はない。もし、伝送路が確立 できない場合は、何度か接続を試みたり、接続ができるまで待つ等、対処すればよい 。例えば通信路カ SPAN (Personal Area Network)など近距離の伝送路の場合 には、情報セキュリティ装置同士が、近くに位置するまで待てばよい。

[0051] また、チェイン情報や送信先リストは、情報セキュリティ装置内に必ずしもとどまらな い。例えば可搬できるセキュアメモリデバイスに保存しておいて、適宜情報セキユリテ ィ装置に接続して利用しても良 、。

[0052] 次に、例えばメモリ領域の節約のために、チヱインの途中に位置する情報セキユリ ティ装置において、不要と判断したコンテンツおよびチェイン情報を削除する場合に ついて述べる。

[0053] 図 6は、情報セキュリティ装置 2の意志で、コンテンツ 1234と対応するチェイン情報 を削除する場合の処理を示す。まず、コンテンツ 1234の削除が決定し、処理を開始 する。 [0054] 制御部 208は、コンテンツ削除部 204に、削除対象のコンテンツであるコンテンツ 1 234の削除を指示し、コンテンツ削除部 204は、コンテンツ格納部 202に格納された コンテンツ 1234を削除する（ステップ S601)。

[0055] 制御部 208は、コンテンツ 1234に対応するチェイン情報を、チェイン情報格納部 2 05から取得し、有効期限を確認する (ステップ S602)。

[0056] そして、有効期限が切れていれば (ステップ 603が NO)、制御部 208は、対応する チェイン情報をチェイン情報格納部 205から削除する (ステップ S604)。

[0057] 一方、有効期限内であれば (ステップ S603が YES)、制御部 208は、対応するチェ イン情報を削除せずに、チェイン情報格納部 205に残しておく。ただし、コンテンツ保 存場所の項目を更新し、対応するコンテンツが存在しな ヽことを示す (ステップ S605

) o

[0058] 以上により、情報セキュリティ装置は、不要と判断したコンテンツを削除し、チェイン 情報を残すことができる。これにより、有効期限内に回収コマンドを受け取った場合に 、次のコンテンツ流通先である送信先に回収コマンドを送信することが可能となる。

[0059] (実施の形態 2)

次に、本発明に係る情報セキュリティ装置の第二の実施の形態についての説明を 行う。

[0060] 図 7は、本実施の形態 2に係る情報セキュリティ装置 200の機能ブロック図を示す。

なお、上述した図 1の構成と同様の部分については同じ符号を付し、その詳細な説 明は省略する。

[0061] 外部入力部 704は、キーボードやリモコン等のユーザインターフェースであり、ユー ザは既に保持しているコンテンツを回収する「途中抜け」を行うと判断した場合には、 この外部入力部 704を用いて意思表示を行うことができる。なお、本実施の形態 2に おいて、ユーザが選択するコンテンツ回収方法には、下記において説明する（a)又 は (b)の「途中抜け」の方法を選択することができる。

[0062] 判定部 701は、コンテンツの「途中抜け」を行う場合において、コンテンツ格納部 20 2に格納されている途中抜け対象となるコンテンツの利用条件、チェイン情報格納部 205に格納されているチェイン情報、機器に埋め込まれているデフォルト値、期間な どに基づいて、指定されたコンテンツの「途中抜け」が可能か否かを判定する。なお、 コンテンツの利用条件には、コンテンツ回収である「途中抜け」に関するコンテンツ提 供者の設定が含まれている。

[0063] そして、本実施の形態 2の説明におけるコンテンツ回収を伴う「途中抜け」には以下 の 2種類ある。即ち、 1つ目の「途中抜け」の方法は（以下 (a)の方法と略す）、 HAN AKO力も先のチェイン情報を全部切り離してしまう方法である。詳しく説明すると、 H ANAKOは BOBに対してコンテンツ 1234の回収コマンドを発行し、 BOBから先の 全部の情報セキュリティ装置力 対応するコンテンツおよび関連するチェイン情報を 削除する。この（a)に基づく「途中抜け」の方法においては、自分から後ろのチェイン で、当該コンテンツを全て回収（削除)することができる。また、自分の友達リストは他 の装置に通知する必要がな 、。

[0064] また、 2つ目の「途中抜け」の方法は（以下 (b)の方法と略す）、情報セキュリティ装 置 2が保持するチェイン情報を、送信元の情報セキュリティ装置 1および送信先の情 報セキュリティ装置 3に通知して、送信元と送信先の装置を直接チェインで接続する 方法である。詳しく説明すると、情報セキュリティ装置 2は情報セキュリティ装置 1に、 送信先の BOBの情報を通知する。これに従って、情報セキュリティ装置 1では、チェ イン情報の送信先を HANAKOカゝら BOBに書き換える。また、情報セキュリティ装置 2は情報セキュリティ装置 3に、送信元の ALICEの情報を通知する。これに従って、 情報セキュリティ装置 3では、チェイン情報の送信元を、 HANAKOから ALICEに書 き換える。従って回収コマンドが ALICEに届いたときには、このコマンドは直接 BOB に送られることになる。この方法は、 ALICEおよび BOBに、 HANAKOのチェイン情 報を渡すことになる。この（b)による「途中抜け」の方法においては、チェインで繋い で 、るコンテンツの流通にぉ 、て自装置だけ抜けて、前後の装置でチェインを繋ぐこ とができ、送信元装置に送信先装置の機器名を通知、送信先装置に送信元装置の 機器名を通知するため、自らの友達リスト等の一部を明らかにする必要性がある。

[0065] なお、上記（a)又は（b)の!、ずれの方法で対応するのかは、上述のように、予めコ ンテンッの付加情報としてコンテンツ作成者力も送信されており、チェイン情報として 保持しておいても良い。 [0066] 回収コマンド生成部 705は、外部入力部 704を介してユーザにより上記（a)の途中 抜け方法が選択された場合において、チェイン情報を参照して送信先装置に対して 対象となったコンテンツの回収を指示するための回収コマンドを生成する。

[0067] チェイン情報通知部 706は、外部入力部 704を介してユーザにより上記 (b)の途中 抜け方法が選択された場合において、送信部 207を介して、チェイン情報に記述さ れている送信元装置に対しては少なくとも前記コンテンツ情報の識別子及び送信先 装置の識別子を送信し、また、チェイン情報に記述されている送信先装置に対して は少なくとも前記コンテンツ情報の識別子及び送信元装置の識別子を通知する。

[0068] 図 9は、ユーザにより（b)による途中抜けが選択された場合において、このチェイン 情報通知部 706を保持する情報セキュリティ装置 200から送信先の情報セキュリティ 装置 300及び送信元の情報セキュリティ装置 100に送信される情報の一例を示す。

[0069] 情報セキュリティ装置 200は、情報セキュリティ装置 100に対しては少なくともコンテ ンッ情報の識別子であるコンテンツ ID及び送信先装置である情報セキュリティ装置 3 00のアドレスが含まれた情報 901、情報セキュリティ装置 300に対しては少なくともコ ンテンッ情報の識別子であるコンテンツ ID及び送信先装置である情報セキュリティ装 置 100のアドレスが含まれた情報 902を送信する。

[0070] また、情報セキュリティ装置 200の時間管理部 702は、期限管理を行うための時間 情報を保持する。機器デフォルト値格納部 703は、メーカ側の都合により機器毎のデ フォルト値等を管理して 、る。

[0071] 図 8は、本実施の形態 2に係る情報セキュリティ装置においてコンテンツの「途中抜 け」を行う際の動作手順を示すフローチャートである。

[0072] 最初に、判定部 701は、外部入力部 704を介してユーザ力も情報セキュリティ装置 のユーザから「途中抜け」の指示があつたか否かの確認を行う（ステップ S801)。

[0073] そして、ユーザから「途中抜け」の指示があった場合には (ステップ S801で Yes)、 判定部 701は、外部入力部 704を介してユーザにより指示された「途中抜け」の方法 が上述した (a)の方法に該当するかの判断を行う（ステップ S802)。

[0074] そして、判定部 701において (a)の方法に該当すると判断された場合には (ステツ プ S802で Yes)、コンテンツ格納部 202から途中抜けを行うコンテンツの利用条件を 取得してコンテンツ提供者によって設定されている途中抜け方法として (a)の方法が 認められているかを確認し (ステップ S803)、その他、時間管理部 702からの時間情 報や、機器デフォルト値格納部 703からの機器デフォルト値の確認を行い、（a)の方 法が可能であると判定される場合には (ステップ S803で Yes)、コンテンツ格納部 20 2に格納されているコンテンツの回収を行うと共に (ステップ S804)、回収コマンド生 成部 705に対して、チェイン情報を参照することにより送信先装置に対する途中抜け の対象となるコンテンツの回収コマンドを生成する指示を行い、送信部 207は既に該 コンテンツを送信した送信先の情報セキュリティ装置に対して回収コマンド生成部 70 5において生成された回収コマンドの送信を行う（ステップ S805)。なお、この回収コ マンドには、少なくとも、コンテンツ ID、コンテンツ回収の指示、送信元となる自装置 の情報が記述されている。

[0075] 一方、判定部 701において、ユーザに指示された「途中抜け」の方法が（a)の方法 に該当しないと判定される場合、即ち、（b)の方法であると判定される場合には (ステ ップ S802で No)、コンテンツ格納部 202から途中抜けを行うコンテンツの利用条件 を取得してコンテンツ提供者によって設定されている途中抜け方法として (b)の方法 が認められているかを確認し (ステップ S806)、その他、時間管理部 702からの時間 情報や、機器デフォルト値格納部 703からの機器デフォルト値の確認を行い、（b)の 方法が可能であると判定される場合には (ステップ S806で Yes)、コンテンツ格納部 2 02に格納されているコンテンツの回収を行うと共に（ステップ S807)、チェイン情報通 知部 706は、チェイン情報を参照して、上記図 9の説明のように、情報セキュリティ装 置 100に対しては少なくともコンテンツ情報の識別子であるコンテンツ ID及び送信先 装置である情報セキュリティ装置 300のアドレスが含まれた情報を、情報セキュリティ 装置 300に対しては少なくともコンテンツ情報の識別子であるコンテンツ ID及び送信 先装置である情報セキュリティ装置 100のアドレスが含まれた情報を送信して (ステツ プ S808)、一連の処理を終了する。

[0076] なお、チェイン情報通知部 706から通知を受けた情報セキュリティ装置においては 、チェイン情報に記述されて 1、る送信先装置又は送信元装置のアドレス情報を更新 する処理を行うことにより、以降の装置間のコンテンツ回収等の処理を適切にチエイ ンで繋ぐことが可能となる。

[0077] また、情報セキュリティ装置 200のユーザがコンテンツ回収方法である「途中抜け」 を行う際の具体例としては、例えば、コンテンツ提供者が、上記 (b)によるコンテンツ の途中抜けの方法を利用条件として設定していた。しかし、当該コンテンツを受信し た機器オーナは送信先及び送信元となる前後の機器に自分の友人関係を教えたく なかった。そのため、コンテンツの「途中抜け」を断念するような場合がある。また、コ ンテンッ提供者は、上記 (a)によるコンテンツの途中抜けの方法を指定していたが、 機器オーナは後続の装置におけるコンテンツ削除は忍びな力つたので、途中抜けを 断念するような場合がある。さらに、コンテンツ提供者は、上記 (a)及び (b)の途中抜 けの方法どちらとも可能であるとして利用条件を設定していた。そして、機器オーナ は前後の送信元装置及び送信先装置が互いに友達であることを知っていたので、そ れぞれの装置のユーザに伝えて、途中抜けの方法として (b)を選択する場合がある。 またさらに、チェイン情報の有効期限が過ぎているために、上記 (a)及び上記 (b)に 示す途中抜けをせずに、コンテンツとチヱイン情報を削除するような場合がある。

[0078] 以上の説明のように、本実施の形態 2に係る情報セキュリティ装置においては、ュ 一ザがコンテンツ回収のための「途中抜け」を行う場合には、判定部 701においてコ ンテンッ提供者により設定許可されているコンテンツの回収方法を利用条件より参照 し、チェイン情報を用いた送信先装置及び送信元装置のアドレス情報、チェイン情報 の有効期限等を参照してユーザにより指定されたコンテンツの「途中抜け」の可否を 判定することができる。従って、コンテンツ回収方法として、コンテンツオーナの意思 が尊重され、その範囲で、機器オーナのコンテンツの削除等の意思を反映させたコ ンテンッ回収を実現できる。

[0079] また、本実施の形態 2に係る情報セキュリティ装置においては、上記実施の形態 1と 同様に、各情報セキュリティ装置においてチェイン情報を保存することにより、一旦流 通させてしまった個人コンテンツの利用条件を、後からコンテンツ流通と同じチェイン をたどって変更することができる。また、削除（回収)することもできる。プライバシーに 関連するチェイン情報は各情報セキュリティ装置内のみに保存されているため、問題 ない。また、チェイン情報を保持する有効期限を設けることにより、この有効期限内で は、必ず回収できることを保証する。また、情報セキュリティ装置の都合でチェイン情 報を有効期限内に削除する場合は、その装置の前と後ろに位置する情報セキユリテ ィ装置に対してチェイン情報を通知することにより、有効期限内では、必ず回収できる 。回収が保証されることにより、各ユーザは安心して気軽に個人コンテンツを流通さ せることができる。

[0080] (その他変形例）

なお、本発明を上記実施の形態に基づいて説明してきた力 本発明は、上記の実 施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる

[0081] (1)上記の各装置は、具体的には、マイクロプロセッサ、 ROM, RAM,ハードディ スクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュー タシステムである。前記 RAMまたはハードディスクユニットには、コンピュータプロダラ ムが記憶されている。前記マイクロプロセッサ力 前記コンピュータプログラムにしたが つて動作することにより、各装置は、その機能を達成する。ここでコンピュータプロダラ ムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが 複数個組み合わされて構成されたものである。

[0082] (2)上記の各装置を構成する構成要素の一部または全部は、 1個のシステム LSI ( Large Scale Integration:大規模集積回路）から構成されているとしてもよい。シ ステム LSIは、複数の構成部を 1個のチップ上に集積して製造された超多機能 LSIで あり、具体的には、マイクロプロセッサ、 ROM、 RAMなどを含んで構成されるコンビ ユータシステムである。前記 RAMには、コンピュータプログラムが記憶されている。前 記マイクロプロセッサ力 S、前記コンピュータプログラムにしたがって動作することにより

、システム LSIは、その機能を達成する。

[0083] (3)上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能 な ICカードまたは単体のモジュール力も構成されて 、るとしてもよ 、。前記 ICカード または前記モジュールは、マイクロプロセッサ、 ROM, RAMなどから構成されるコン ピュータシステムである。前記 ICカードまたは前記モジュールは、上記の超多機能 L SIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動 作することにより、前記 ICカードまたは前記モジュールは、その機能を達成する。この ICカードまたはこのモジュールは、耐タンパ性を有するとしてもよ!/、。

[0084] (4)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンビュ ータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプ ログラム力もなるデジタル信号であるとしてもよい。

[0085] また、本発明は、前記コンピュータプログラムまたは前記デジタル信号をコンビユー タ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、 CD— R OM、 MO、 DVD, DVD-ROM, DVD -RAM, BD (Blu— ray Disc)、半導体 メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前 記デジタル信号であるとしてもよ 、。

[0086] また、本発明は、前記コンピュータプログラムまたは前記デジタル信号を、電気通信 回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放 送等を経由して伝送するものとしてもよい。

[0087] また、本発明は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、 前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは 、前記コンピュータプログラムにしたがって動作するとしてもよい。

[0088] また、前記プログラムまたは前記デジタル信号を前記記録媒体に記録して移送する ことにより、または前記プログラムまたは前記デジタル信号を、前記ネットワーク等を 経由して移送すること〖こより、独立した他のコンピュータシステムにより実施するとして ちょい。

[0089] (5)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよ!/、。

産業上の利用可能性

[0090] 本発明に係る情報セキュリティ装置は、コンテンツの送受信機能を備えるコンビユー タ装置や家電機器、携帯電話や AV機器などの情報処理端末装置等に有用である。 また、通信機能を備えたデジタルカメラ等にも応用できる。また、個人コンテンツだけ でなく商用コンテンッ流通などの用途にも応答できる。

Claims

請求の範囲

[1] 送信元装置からコンテンツ情報を受信して利用すると共に、前記コンテンツ情報を 送信先装置に送信する情報セキュリティ装置であって、

前記送信元装置から前記コンテンツ情報、前記コンテンツ情報の利用条件、及び 前記利用条件を変更指示するための条件変更コマンドの少なくとも 1つを受信する 受信手段と、

前記コンテンツ情報及び前記利用条件を格納するコンテンツ情報格納手段と、 前記条件変更コマンドに基づいて前記利用条件を変更する制御手段と、 前記コンテンツ情報、前記利用条件、及び前記条件変更コマンドの少なくとも 1つ を前記送信先装置に送信する送信手段とを備える

ことを特徴とする情報セキュリティ装置。

[2] 前記受信手段で受信した前記条件変更コマンドは、前記コンテンツ格納手段に格 納されている所定のコンテンツ情報の無効化を指示する無効化コマンドであって、 前記制御手段は、前記無効化コマンドに従って前記コンテンツ情報の利用を無効 化し、

前記送信手段は、前記無効化コマンドを、無効化される前記コンテンツ情報の送信 先装置に送信する

ことを特徴とする請求項 1記載の情報セキュリティ装置。

[3] 前記制御手段は、前記コンテンツ情報格納手段から無効化されるコンテンツ情報を 削除することで、前記コンテンツ情報の利用を無効化する

ことを特徴とする請求項 2記載の情報セキュリティ装置。

[4] 前記制御手段は、前記無効化されるコンテンツ情報の使用条件に含まれる利用許 可情報を利用不許可とすることで、前記コンテンツ情報の利用を無効化する

ことを特徴とする請求項 2記載の情報セキュリティ装置。

[5] 前記コンテンツ情報格納手段は、さらに、前記コンテンツ情報を暗号化する際に使 用した鍵を共に格納し、

前記制御手段は、前記コンテンツ情報格納手段に格納された無効化されるコンテ ンッ情報の鍵を削除することで、前記コンテンツ情報の利用を無効化する ことを特徴とする請求項 2記載の情報セキュリティ装置。

[6] 前記情報セキュリティ装置は、さらに、

前記条件変更コマンドの正当性を確認するコマンド確認手段を備え、

前記制御手段は、前記コマンド確認手段で前記条件変更コマンドの正当性が確認 された場合に前記利用条件の変更を行う

ことを特徴とする請求項 1記載の情報セキュリティ装置。

[7] 前記コマンド確認手段は、前記条件変更コマンドの送信者のデジタル署名、又は 前記コンテンツ情報の作成者のデジタル署名を用いて前記条件変更コマンドの正当 性を確認する

ことを特徴とする請求項 6記載の情報セキュリティ装置。

[8] 前記制御手段は、前記条件変更コマンドの送付元装置の信頼度に基づ!、て、対象 となる前記コンテンツ情報の利用条件を変更する

ことを特徴とする請求項 1記載の情報セキュリティ装置。

[9] 前記情報セキュリティ装置は、さらに、

前記コンテンツ情報の識別子、前記コンテンツ情報の送付元装置の識別子、前記 コンテンツ情報の作成装置の識別子、前記コンテンツ情報の送付先装置の識別子の 少なくとも 1つ含む情報を、前記コンテンツ情報のチェイン情報として生成するチエイ ン情報生成手段と、

前記チェイン情報を格納するチェイン情報格納手段とを備え、

前記制御手段は、さらに、前記条件変更コマンドの対象となる前記コンテンツ情報 のチェイン情報を参照して、前記条件変更コマンドの対象となるコンテンツ情報の利 用条件を変更する

ことを特徴とする請求項 1記載の情報セキュリティ装置。

[10] 前記チェイン情報は、さらに、前記条件変更コマンドの正当性確認の方法、又は条 件変更の方法の少なくとも一方を指定する情報を含み、

前記コマンド確認手段は、前記チェイン情報により指定される方法でコマンドの正 当性を確認し、

前記制御手段は、前記コマンド確認手段にお!、て前記コマンドの正当性が確認され た場合に、前記利用条件を変更する

ことを特徴とする請求項 9記載の情報セキュリティ装置。

[11] 前記チェイン情報には、さらに、前記条件変更コマンドの有効期限を含み、

前記制御手段は、前記条件変更コマンドの対象のコンテンツ情報に対応するチェ イン情報を参照し、前記条件変更コマンドが有効期限内である場合には、前記利用 条件を変更する

ことを特徴とする請求項 9記載の情報セキュリティ装置。

[12] 前記チェイン情報には、さらに、当該チェイン情報の有効期限を含み、

前記制御手段は、前記チェイン情報の有効期限内である場合には、前記条件変更 コマンドの対象となるコンテンツ情報の利用条件を変更し、前記チェイン情報の有効 期限が過ぎている場合は、前記チェイン情報の削除を許可する

ことを特徴とする請求項 11記載の情報セキュリティ装置。

[13] 前記情報セキュリティ装置は、さらに、

外部カゝら前記コンテンツ格納手段に格納されて ヽるコンテンツ情報、及び前記送信 手段で既に前記送信先装置に送信したコンテンツ情報の条件変更の指示を受け付 ける外部入力手段と、

前記情報セキュリティ装置に関して予め与えられたデフォルト値を格納する機器デ フォルト値格納手段と、

時間情報を管理する時間管理手段と、

前記外部入力手段、前記機器デフォルト値格納手段、前記時間管理手段、及び前 記チェイン情報格納手段に格納されている情報の少なくとも 1つを用いて、前記コン テンッ情報の条件変更が可能か否かを判定する判定手段と、

前記判定手段において前記コンテンツ情報の条件変更が可能と判定された場合に は、前記チェイン情報に記述されている送信先装置に対して、前記コンテンツ情報の 条件変更を指示する条件変更コマンドを生成する条件変更コマンド生成手段とを備 え、

前記制御手段は、前記判定手段にお!、て前記コンテンツ情報の条件変更が可能 と判定された場合には、前記コンテンツ格納手段に格納されて ヽるコンテンツ情報を 消去し、

前記送信手段は、前記条件変更コマンド生成手段において生成された前記条件 変更コマンドを前記チェイン情報に記述されている送信先装置に送信する

ことを特徴とする請求項 9記載の情報セキュリティ装置。

[14] 前記条件変更コマンドには、少なくとも、前記コンテンツ情報の識別子、前記コンテ ンッ情報の条件変更の指示、送信元となる自装置の情報が含まれる

ことを特徴とする請求項 13記載の情報セキュリティ装置。

[15] 前記外部入力手段は、さらに、外部から前記コンテンツ情報格納手段に格納され ている前記コンテンツ情報のみを削除する指示を受け付け、

前記情報セキュリティ装置は、さらに、

前記外部入力手段を介して当該指示を受け付けた場合に、前記送信手段を介して 、前記送信元装置に対しては少なくとも前記コンテンツ情報の識別子及び送信先装 置の識別子を、前記送信先装置に対しては少なくとも前記コンテンツ情報の識別子 及び送信元装置の識別子を通知するためのチェイン情報通知手段を備える ことを特徴とする請求項 13記載の情報セキュリティ装置。

[16] 前記制御手段は、前記送信先の信頼度に応じて、前記受信手段で受信する前記 条件変更コマンドを変更して、前記送信先装置に送付するように制御する

ことを特徴とする請求項 1記載の情報セキュリティ装置。

[17] 第 1の情報セキュリティ装置から第 2の情報セキュリティ装置、さらに第 3の情報セキ ユリティ装置へと順にコンテンツ情報と前記コンテンツ情報の利用条件が送付され、 その後同じ経路をたどって前記利用条件の条件変更コマンドが送付される情報セキ ユリティシステムであって、

第 2の情報セキュリティ装置は、

前記第 1の情報セキュリティ装置から前記コンテンツ情報、前記コンテンツ情報の利 用条件、及び前記利用条件を変更指示するための条件変更コマンドの少なくとも 1 つを受信する受信手段と、

前記コンテンツ情報及び前記利用条件を格納するコンテンツ情報格納手段と、 前記条件変更コマンドに基づいて前記利用条件を変更する制御手段と、 前記コンテンツ情報、前記利用条件、及び前記条件変更コマンドの少なくとも 1つ を前記第 3の情報セキュリティ装置に送信する送信手段とを備える

ことを特徴とする情報セキュリティシステム。

[18] 前記第 2の情報セキュリティ装置は、さらに、

前記コンテンツ情報の識別子、前記第 1の情報セキュリティ装置の識別子、前記コ ンテンッ情報の作成装置の識別子、前記第 3の情報セキュリティ装置の識別子の少 なくとも 1つ含む情報を、前記コンテンツ情報のチェイン情報として生成するチェイン 情報生成手段と、

前記チェイン情報を格納するチェイン情報格納手段とを備え、

前記制御手段は、さらに、前記条件変更コマンドの対象となる前記コンテンツ情報 のチェイン情報を参照して、前記条件変更コマンドの対象となるコンテンツ情報の利 用条件を変更する

ことを特徴とする請求項 17記載の情報セキュリティシステム。

[19] 送信元装置からコンテンツ情報を受信して利用すると共に、前記コンテンツ情報を 送信先装置に送信する情報セキュリティ装置に用いる情報セキュリティ方法であって 前記送信元装置から前記コンテンツ情報、前記コンテンツ情報の利用条件、及び 前記利用条件を変更指示するための条件変更コマンドの少なくとも 1つを受信する 受信ステップと、

前記コンテンツ情報及び前記利用条件を格納するコンテンツ情報格納ステップと、 前記条件変更コマンドに基づいて前記利用条件を変更する制御ステップと、 前記コンテンツ情報、前記利用条件、及び前記条件変更コマンドの少なくとも 1つ を前記送信先装置に送信する送信ステップとを含む

ことを特徴とする情報セキュリティ方法。

[20] 送信元装置からコンテンツ情報を受信して利用すると共に、前記コンテンツ情報を 送信先装置に送信する情報セキュリティ装置に用いる制御プログラムであって、 前記送信元装置から前記コンテンツ情報、前記コンテンツ情報の利用条件、及び 前記利用条件を変更指示するための条件変更コマンドの少なくとも 1つを受信する 受信ステップと、

前記コンテンツ情報及び前記利用条件を格納するコンテンツ情報格納ステップと、 前記条件変更コマンドに基づいて前記利用条件を変更する制御ステップと、 前記コンテンツ情報、前記利用条件、及び前記条件変更コマンドの少なくとも 1つ を前記送信先装置に送信する送信ステップとをコンピュータに実行させる

ことを特徴とする制御プログラム。

送信元装置力 コンテンツ情報を受信して利用すると共に、前記コンテンツ情報を 送信先装置に送信する情報セキュリティ装置に用いる集積回路であって、

前記送信元装置から前記コンテンツ情報、前記コンテンツ情報の利用条件、及び 前記利用条件を変更指示するための条件変更コマンドの少なくとも 1つを受信する 受信手段と、

前記コンテンツ情報及び前記利用条件を格納するコンテンツ情報格納手段と、 前記条件変更コマンドに基づいて前記利用条件を変更する制御手段と、 前記コンテンツ情報、前記利用条件、及び前記条件変更コマンドの少なくとも 1つ を前記送信先装置に送信する送信手段とを備える

ことを特徴とする集積回路。