名册控制方法

摘要

本发明涉及处理电子化的个人信息、医疗信息、公文等具有高隐秘性的数据的数据库系统。在以访问控制为主体的现有技术中，信息主体(个人)不能把握个人信息的使用状况。另外，在加密存储数据的现有技术中，在要使用个人数据的任何场合下都需要解密密钥，而如果一次被解密，就不能保护个人数据。本发明构成这样的系统：通过匿名ID收集购买历史，并且在将匿名ID与个人ID附加关联的操作中，必需会员卡或者代理服务器的应答。另外，个人数据本身无需加密，而是将个人ID和匿名ID作为关键字以普通语句进行存储，匿名ID在服务器侧每当与个人ID附加关联时被更新。此时，也一并更新变为已经蓄积的购买历史的收集关键字的匿名ID。

说明书

技术领域

本发明涉及处理电子化的个人信息、医疗信息、公文等隐秘性高的数据的数据库系统。

背景技术

在OECD(Organization for Economic Co-operation and Development)于1980年采用的劝告“OECD RECOMMENDATION CONCERNING ANDGUIDELINES GOVERNING THE PROTECTION OF PRIVACY ANDTRANSBORDER FLOWS OF PERSONAL DATA”中，公开了涉及隐私保护的8原则。OECD的8原则，对于目的明确化、使用限制、收集限制、数据内容、安全保护、公开、个人参加、责任等各个事项，制定了企业等个人信息管理工作者应该遵守的原则。OECD的各个加盟国，朝着隐私保护和个人信息保护，在沿袭8原则的形式下，推进了国内法、指南等的制度完整，结果，迫使管理个人信息的企业要适应这样的制度。在企业内部产生了各种新业务，所以需要为此新业务投入人力和财力的成本。

另外，由于计算机网络的出现，使得在电子形式下交换大量个人信息变得容易，因此一旦发生个人信息泄漏事故，其危害有可能波及到很大范围。并且，伴随网络的发展，也使得对信息泄漏事故的损害赔偿形式下的诉讼风险进一步加大。另外，在关于隐私的意识不断提高的今天，企业不仅对于个人信息的管理负有法律责任，也负有道德方面的责任，意料不到的个人信息泄漏的危险性，也会以信誉度降低的风险的原因这样的形式来被认识。即，为了回避这些风险，很多企业不得不加大适当管理个人信息的成本。已知的一种个人信息管理系统(以下，称为现有技术1)是，作为支撑与个人信息管理相关的业务的系统，特别具备了用于电子形式的个人信息的、基于使用承诺的访问控制功能。关于现有技术1，例如在http：//www-6.ibm.com/jp/software/tivoli/products/privacy.html中有说明。

现有技术1，公开了一种具有使用目的和收集数据项目等的个人信息管理方针，具备记录消费者、用户等个人信息的提供者对个人信息管理方针的使用承诺的功能。另外，还具备限定适当的用户使用企业内的个人信息访问控制的功能。基于使用承诺的访问控制，是基于计算机执行的程序的权限来实现的。在现有技术1中，还具备了记录哪个用户在什么使用目的下访问个人信息的功能。

另外，作为对个人信息中的所谓的“敏感信息”“sensitive data”进行匿名管理的周知的方法，有用于管理医疗信息的系统(以下，称为现有技术2)。例如，在特开2001-357130号公报中有关于现有技术2的说明。现有技术2，将加密的姓名、住址、出生年月日等个人识别信息和个人识别信息以外的遗传基因信息等疾患信息进行分离，并且利用不同的关键字对其进行加密，并将这些解密关键字存储在IC卡等记录媒体上。这样，IC卡的持有者可以控制对个人识别信息和疾患信息的使用。另外，系统分配将个人识别信息和疾患信息附加关联的管理符号。通过使用该管理符号，无需使用个人识别信息就可以使用匿名的疾患信息。

基于OECD的8原则的各国保护法、指南，在个人信息管理方针中明确记录了使用目的，并且将从信息提供者中获取使用承诺的事件作为必要条件。现有技术1虽然实现了对基于使用承诺的蓄积个人信息的访问控制，但是还具有不能从信息提供者中确定个人信息的使用状况的问题。在将使用个人信息的业务委托给外部的情况下也同样，现有技术1没有提供委托企业管理受委托企业的信息使用状况的方法。

现有技术2，具有也限制无需疾患信息的个人识别信息的使用的问题。在现有技术2中，虽然疾患信息也可以不加密，但是为了确保匿名性而必须将个人识别信息加密保存。因此，个人识别信息的解密则必需存储在IC卡等中的解密关键字。另外，在现有技术2中，将个人识别信息和疾患信息附加关联的管理符号，是没有加密的普通语句，一次被付与的管理符号不会被变更。因此，如果系统使用者一次得到了被解密过的个人识别信息，则以后就可以自由地将疾患信息和已经得到的个人识别信息关联起来，而无需对匿名性的顾虑。

现有技术2的这些问题，是由于不符合适用领域的结构原理本身造成的。例如，在小卖店的顾客信息的管理中使用现有技术2的情况下，虽然考虑到将购买历史作为疾患信息来对待，但是，在呼叫中心等顾客窗口，为了对照身份而仅参照个人识别信息的用途中则不能使用。

发明内容

本发明，具有一种方法，其执行从客户端接收一个以上由根据用于识别特定个人的个人ID作为关键字的HASH函数生成的匿名ID、一个以上的个人数据使用许可条件组成的匿名管理用数据的处理，接下来，判断上述接收到的匿名ID是否与服务器存储的匿名ID冲突，并执行将判断结果发送到客户端中的处理，接下来，在没有冲突的情况下执行将管理用匿名数据存储到数据库中的处理，接下来，进行用上述接收到的匿名ID替换由与上述接收到的匿名ID相同的个人ID生成的数据库中的匿名ID的处理。

另外，具有一种方法，其从客户端接收匿名ID，接下来，将匿名ID作为关键字，蓄积可以通过对照个人数据来识别特定个人的电子数据。

进而，上述个人数据使用许可条件，在个人数据管理服务器对发送了上述存储的匿名ID的客户端进行请求的时候，可以控制是否可以接收上述存储的个人ID。

这样，就可以构成一种系统，其可以在匿名形式下管理个人数据，在将个人数据附加关联后利用之际，个人数据管理服务器向客户端请求许可。因此，可以克服现有技术1的问题。

另外，因为在本发明中形成通过匿名ID切断个人数据间的关联性的机制，所以，为了保护个人信息，而不必将存储的个人数据加密。由此，可以克服

现有技术2的问题。

在本发明中，因为购买历史是通过匿名ID来收集，并且在将匿名ID与个人ID附加关联的操作中必须要有会员卡或者代理服务器的应答，所以，可以在系统外部记录名册控制种类的个人数据使用的实绩。这样，用户可以按照个人信息管理工作者授予的使用承诺，确认是否正确使用了个人数据。

进而，在本发明中，个人数据本体没有被加密而以普通语句被存储，并且，匿名ID在服务器侧每次与个人ID被附加关联时被更新，变为蓄积的购买历史的收集关键字的匿名ID也一并被更新。为此，并不限于名册控制，也可以提供在允许访问控制的范围内自由使用将个人ID和匿名ID各自作为关键字的数据的通融性，同时可以收到防止擅自的在目的外使用个人数据的效果。

附图说明

图1是本发明的基本结构；

图2是本发明的第一实施方式；

图3是第一实施方式的输入数据、内部数据；

图4是第一实施方式的输出数据；

图5是会员卡将匿名ID登录在系统中的处理；

图6是使用匿名ID的积分计算处理；

图7是购买倾向分析方法使用的连接数据的生成处理；

图8是本发明的第二实施方式；

图9是第二实施方式使用的内部数据；

图10是本发明的基本结构的代替方案；

图11是本发明的第三实施方式；

图12是本发明的第三实施方式的内部数据；

图13是表示使用管理卡、更新匿名ID对应数据和从分割存储的个人数据库中抽取数据的顺序；

图14是会员卡从服务器中获取匿名ID的复制之际的顺序。

具体实施方式

以下是对以下述中的用语的定义。所谓个人信息是与个人相关的信息，根据包含在该信息中的姓名、出生年月日等其他描述可以识别特定的个人。在个人信息中，包含例如像住址那样，可以容易地与其他信息进行对照，并且可以由此识别特定的个人的信息。另外，所谓个人数据是构成计算机可以容易检索的数据库的、主要是电子方式下的个人信息的部分。

图1的系统100，表示了本发明的基本结构。101是匿名ID发送单元，102是匿名ID，103是匿名ID数据库，104是个人ID数据库，105是匿名ID发行单元，106是匿名ID登录单元，107是管理用匿名ID数据库，108是ID应答单元，109是数据连接单元，110是分割存储个人数据库，111是使用历史数据库，112是连接完毕的数据。

在个人ID数据库104中，存储了用于特定个人的ID(标识符)。匿名ID发行单元105，根据存储在个人ID数据库104中的数据，发行用于在匿名形式下管理的ID。该匿名ID，具有难以从该值中推测出个人ID的性质。匿名ID通过匿名登录单元106被存储在管理用匿名ID数据库107和匿名ID数据库103中。此时，匿名ID登录单元106，使用存储的匿名ID改写分割存储个人数据库110的存储完毕的数据。匿名ID发送单元101，根据从系统的外部发出的请求，将存储在匿名ID数据库103中的匿名ID102发送到系统100的外部。

分割存储个人数据库110，是通过个人ID和匿名ID管理个人数据的数据库。分割存储个人数据库110，存储以发送来的匿名ID102为关键字的个人数据，例如购买历史这样的数据，另外，还存储以ID数据库104中存储的个人ID为关键字的姓名、住址等的个人数据。数据连接单元109，连接以匿名ID为关键字的数据和以个人ID为关键字的数据，并作为连接完毕的数据113发送到系统100的外部。所谓连接数据的操作例如是指RDB中的连接运算，在处理个人数据的业务处理程序中作为被称为名册控制的处理而频繁发生。但是，数据连接单元109，只要没有ID应答单元108的确切应答，不会连接数据。ID应答单元108将数据连接单元109发出的请求以及与此对应的应答记录在使用历史数据库111中。

本发明，在将存储在分割存储个人数据库中的个人数据的集合附加关联之际，采用了以ID应答单元108的确切应答为必要条件的结构。即，通过ID应答单元108的动作，可以管理和记录个人数据的使用。

另外，图10的系统1000中，是适于仅使用匿名ID的使用者与许可数据的连接操作或者名册控制的个人数据管理者不同的情况下的结构。在系统1000中，使用ID对应数据应答单元1005代替系统100中的匿名ID应答单元108，使用匿名ID更新历史数据库1004代替管理用匿名ID数据库107。在匿名ID更新历史数据库1004中，存储了匿名ID的更新历史。匿名ID通信单元1002，从匿名ID同步单元1001中获取最新的匿名ID并存储在复制匿名ID数据库1003中。但是，匿名ID通信单元1002并不限于总是为在线状态，即使在离线状态期间，也存在匿名ID发行单元105更新匿名ID的情况。在系统1000中，在将存储在分割存储个人数据库中的个人数据的集合附加关联之际，采用以ID对应数据应答单元1005的确切应答为必要条件的结构。即，通过ID应答单元1005的动作，可以管理和记录个人数据的使用。进而，通过使用匿名ID同步单元1001可以使其具有运用的灵活性，例如，可以使个人数据管理者具有个人数据库104、匿名ID数据库103，使其他系统使用者具有复制匿名ID数据库。

【实施例1】

以下，利用实施方式对本发明进行详细说明。关于每个实施方式，首先表示系统的结构、内部数据、输入数据和输出数据，接下来表示处理顺序。

图2是表示本发明的小卖店的适用例子的第一实施方式。系统200是使用小卖店的会员卡的会员管理系统，由会员卡201、业务数据生成服务器202、个人数据使用程序204、访问控制服务器208构成。系统200，使用会员卡收集购买历史，并输出积分211、DM(邮寄广告)地址列表212。作为客户端装置的会员卡是在IC芯片中搭载了存储器、寄存器的IC卡，原理上也可以由PDA、移动电话等代替。

会员卡201，由匿名ID发送单元101、匿名ID数据库103、个人ID数据库104、匿名ID发行单元105、ID应答单元108、使用历史数据库111构成。

数据300是个人ID数据库104的存储数据，由表示个人ID的字段305、表示使用承诺条件的字段组成。字段305的存储数据321是会员之间不会重复的整数值，在发行会员卡之际，记录数据319被存储在个人ID数据库104中。表示数据301的使用承诺条件的字段为0个以上，在本实施方式中，字段与307、308、309等3个对应。这些字段分别保持是否可以作为DM地址使用个人数据、是否可以在特定个人的分析中使用个人数据、是否可以在不特定个人的统计分析中使用个人数据。在字段307、308、309中，根据会员提供的使用承诺，存储在允许使用个人数据的场合值为OK，在不允许的场合值为NG的内容。

数据301是匿名ID数据库103的存储数据，由表示匿名ID的字段306和表示使用承诺条件的字段307、308、309组成。在字段306的存储数据320中，为了便于说明，为了便于理解数据320是数据321生成的值，而设定为“A1001”，但是实际的数据320，是作为以数据321为关键字的HASH值被生成的。用于生成数据320的典型HASH函数中的之一是MD5。在使用这种HASH函数的情况下，数据320取模拟的随机数的值，很难从数据320中推测数据321。

业务数据生成服务器202，由匿名ID登录单元106、管理用匿名ID数据库107、数据连接单元109、分割存储个人数据库110组成。但是，匿名ID登录单元106被构筑在防篡改的装置203内，所以不能随意改写匿名ID登录单元，或从外部自由观测匿名ID登录单元106的内部处理。通常，匿名ID登录单元106在制造的时候就被构筑在防篡改的装置203中。

个人数据使用程序204，由购买记录执行单元205、积分管理单元206、购买倾向分析单元207组成。购买商品ID210，是被附加在商品上的JAN代码等的ID，店员使用条形码和FID标签将其从记录器中输入。系统200对输入的购买商品ID210附加匿名ID并进行记录。匿名ID由与记录器连接的会员卡进行发送。购买倾向分析单元207对包含购买历史的个人数据进行分析，并且根据DM的发送输出可以期待购买诱导的会员列表。

访问控制服务器208，具有访问控制单元209，并且控制对附加了关连(形成了名册集)的个人数据的个人数据使用程序204的访问。

数据302，是管理用ID数据库107的存储数据，并且一个记录数据对应一个会员。每个字段都由与表格301相同的字段组成。个人ID为1001、2001、3001的会员的匿名ID分别是A1001、A2001、A3001。

数据303、数据304是分割存储个人数据库110的存储数据。数据303的每个记录是将个人ID305作为关键字的个人数据，并且在新发行会员卡的时候被登录进去。每个记录都由表示个人ID、姓名、住址、年龄的字段305、310、311、312组成。

数据304的每个记录，是以匿名ID306为关键字的个人数据，并且由购买实绩记录单元205进行登录。每个记录由表示匿名ID的字段306、作为购买历史来表示购买日、购买商品、金额的字段313、314、315组成。在字段313中存储购买实绩记录单元205生成记录的日期。在字段314中存储了根据条形码提供的JAN码或者RFID标签提供的个别购买品代码而确定的购买品的分类。在本发明的原理上，字段314也可以是JAN码或者是个别的购买品代码。在字段315中存储购买品的金额。另外，在构成数据304的记录中存在数据322这种管理积分用的数据。数据322，表示了匿名会员A1001在2004年4月15日为了折扣使用过1500元的积分。

数据316，是使用历史数据库111的存储数据。数据316的每个记录由表示匿名ID、使用日期、使用目的的字段306、317、318组成。数据316的记录由ID应答单元108生成并进行登录。字段317，是ID应答单元108响应来自数据连接单元109的个人数据使用请求的年月日。字段318，是ID应答单元108记录了由数据连接单元109通知的使用目的的内容。

数据401，是积分管理单元206的输出数据，在典型的使用例子中是被打印成收据。每个记录都由表示匿名ID、累计积分、使用积分、加法积分的字段306、404、405、406组成。字段404表示商品购买后的保留积分。字段405表示商品购买折扣中使用的积分。字段406表示由于购买商品而新加入的积分。

数据402是购买倾向分析单元207的输出数据，在典型的使用例子中，是DM的收件人姓名信封的印刷数据。每个记录由表示DM发送处理所必需的个人数据的字段、表示分析结果的字段组成。字段306、313、314分别表示个人ID、姓名、住址，字段407表示对肉类的商品导购的应答率的预测值。表示字段407这种分析结果的字段也可以在两个以上。作为数据402的使用例子，有在将肉类的商品导购DM发送到某些人数的会员的情况下，优先选择可以期待诱发购买行动的会员等情况。

以上是第一实施方式的结构、内部数据、输入数据和输出数据。接下来，根据顺序图对处理过程进行说明。在各顺序图中，终点，涂黑的三角形表示过程调出，例如，处理701即是。表示在相应的过程调出中，在处理结束之前调出方(起始侧)不执行下面的处理。终点，棒状的箭头线表示非同步型的通信，例如处理714即是。表示在非同步型的通信中并行执行处理，发送侧(起始侧)不等待通信处理结束就执行下面的处理。

跨越会员卡201和业务数据生成服务器202生成的处理，在相互认证会员卡201和业务数据服务器202之后启动，另外，在处理期间，会员卡201和业务数据生成服务器202的通信路径，由物理的、加密的确切的安全机构进行保护。在相互认证、通信路径保护的单元中使用周知的技术。

顺序500，表示在系统200中登录匿名ID的处理的流程。匿名ID的登录处理，在新发送会员卡的时候和ID应答单元108应答与匿名ID被附加关连的个人ID的时候，被执行。在会员卡与读卡器连接，且相互认证和通信路径确立结束时，则在处理501中，匿名ID登录单元106生成随机的正整数值r，向匿名ID发行单元105请求与r一起发行匿名ID。

接下来，在处理502中，匿名ID发行单元105，生成由字段306、307、308、309组成的m个记录数据。在字段307、308中，存储记录数据319的值，并且所有的记录的值都相同。字段306的匿名ID值，是根据MD5等的HASH函数h(i+r+m)得到的、相互不同的M个HASH值。这里，i是数据321的个人ID，m是1以上M以下的连续整数(m＝1，2，…，M-1)。M是取在发行卡的时候赋予的1以上整数的任意参数，其由发行会员卡之际会员承诺的条件和购买实绩数据的使用方式预先决定好的。虽然在本实施方式中为了进行积分管理而使M＝1，例如仅在收费的目的下使用购买实绩数据的情况下，也可以使M≥2。

这样，由于HASH函数的关键字具有随机数值r、且匿名ID发行单元105被存储在防篡改的装置中，所以，即使在使用系统200的小卖店决定了个人ID的情况下，也可以防止从个人ID中推测匿名ID。

一旦结束处理502，则匿名ID发行单元105，作为处理501的过程调出的返回值，将处理502中新生成的记录数据和过去发行的匿名ID的数据320发送到匿名ID登录单元106中。在没有过去发行的匿名ID而数据320为空的情况下，发送表示缺损的代码来取代数据320。

然后，匿名ID登录单元106，判断进行了登录请求的匿名ID是否与在107中登录完毕的匿名ID冲突，并且在检测出了冲突的情况下从处理501重新进行。在到达了预先决定的次数以上的情况下，系统处理例外后结束顺序500。但是，在计算方法中包含初始值敏感性的不可逆的单向函数MD5这样的HASH函数中，HASH函数冲突的可能性极其罕见，所以，实际上可以期待在本实施方式的过程中充分发挥作用。如果没有被检测出冲突则进入处理503，通知匿名ID登录单元106接收到匿名ID发行单元105中生成的ID的事实。

在处理504中，匿名ID发行单元105，在匿名ID数据库103中追加生成的记录数据。也可以根据需要来削除在匿名ID数据库103中存储完毕的记录数据。

接下来，进入处理505，匿名ID登录单元106，作为处理501的返回值在管理用匿名ID数据库107中追加接收到的记录数据。

在处理506中，匿名ID登录单元106，暂时进入等待状态。对于连接了下一个会员卡的场合，执行处理501。在进入等待状态后经过了T秒以上，或者从会员卡中的接收完毕而未登录的新匿名ID不足K·M个的情况下，执行处理507。这里，K为取1以上的整数的任意参数，在希望在处理507一次处理多个会员卡的匿名ID的情况下，将希望的会员卡的个数指定为K。T是超时的参数，用秒单位指定大于0的实数值。

在处理507中，匿名ID登录单元106，从分割存储个人数据库中检索在处理503中接收到的以往发行完毕的匿名ID，并用新生成的匿名ID进行替换。在M≥2的情况下，对每个替换对象的记录随机选择新的匿名ID。

以上是顺序500的处理。

顺序600，表示了使用了匿名ID的购买实绩记录的处理以及其后续的积分更新的处理流程。购买实绩记录单元205和积分管理单元206，是从记录器中调出的程序，在典型例中，顺序600用在记录器的合计计算出了总计额之后启动。以下，假定会员卡通过处于系统200外部的记录器606与系统200连接，另外，在记录器606中还暂时保存了结算中的商品ID。

在处理601中，首先，购买实绩记录单元205向会员卡201请求匿名ID。接下来，处于会员卡201中的匿名ID发送单元101，参照匿名ID数据库103，来从m个匿名ID中随机取出1个，并发送到记录器606中。

在处理602中，将记录器606暂时保持的商品ID和处理601下接收到的匿名ID发送到购买实绩记录单元205中。

在处理603中，购买实绩记录单元205形成数据304的形式的新记录数据，并存储到分割存储个人数据库107。

如果购买实绩的记录结束，则记录器606通过处理604将处理601中接收到的匿名ID发送到积分管理单元206，并启动积分计算处理。

在处理605中，积分管理单元206，检索将接收到的匿名ID作为关键字存储到分割存储个人数据库110中的数据304，并算出累计积分。积分计算方法虽然有很多种，但是，例如根据过去使用积分的合计和最近一年间的购买品的金额合计，计算可使用的累计积分。一旦结束处理605，则作为处理604的过程调出的结果记录器606获取累计积分。

在处理607中，记录器606根据累计积分、预算中的商品数据、有无积分使用的数据生成数据401，并且输出到收据和记录器的画面中。

以上是顺序600的处理。

顺序700表示了将个人ID管理的数据303和用匿名ID管理的数据304结合起来使用情况下的处理流程，使用购买倾向分析单元207来生成DM地址列表之际被启动。在顺序7700中，如果购买倾向分析单元207，请求分析用的个人数据，则接下来通过匿名ID判定获得使用承诺的会员，数据连接单元进入会员卡连接等待状态。如果在该状态下连接带有该匿名ID的会员卡，则特定个人ID的处理启动，并且，购买倾向分析单元207得到分析用数据。顺序700的详情如下所述。

首先，购买倾向分析单元207，在处理701中请求分析数据。具体地说，购买倾向分析单元207对业务数据生成服务器内的访问控制单元209，附加将DM发送列表生成所需的数据名(表名、字段名)作为参量提供，调出处理701。在DM发送列表生成中请求数据303、304的数据名和字段名。

然后进入处理702，访问控制单元209，从请求了分析数据的程序种类中判定个人数据的使用目的。请求程序就是购买倾向分析单元207，决定为使用目的＝DM发送。另外，利用这里决定的使用目的，访问控制单元209判定是否也可以使用请求的数据名，在拒绝使用的情况下，作为处理701的返回值将伪的值发送到购买倾向分析单元207中。在允许的情况下，由处理703发送数据连接请求，作为返回值将真值返回到购买倾向分析单元207中。

在处理703中，数据连接单元109进入与会员卡通信的等待状态中。处理704、705、706，对在从数据连接单元109进入等待状态后的X秒以内连接的所有会员卡逐次被执行。以下，为了便于说明，对一个会员卡的处理流程进行说明。

如果会员卡与系统200连接并确立通信路径，则启动处理704，数据连接单元109首先从ID应答单元108中接收匿名ID，并参照存储在管理用匿名ID数据库107中的数据302来进行使用承诺的判定。在DM发送为OK的情况下进入处理705，在NG的情况下，数据连接单元109再次进入等待状态。

在处理705中，数据连接单元109将使用目的发送到ID应答单元108，并且请求个人ID。

在处理706中，ID应答单元108使用存储在匿名ID数据库106中的使用承诺，判定接收到的使用目的是否是允许的，接下来，ID应答单元108传达向匿名ID发行单元105请求个人ID的事实。接下来，在存储在使用历史数据库111中的数据316中追加新的记录。接下来，匿名ID发行单元105向匿名ID登录单元106请求更新匿名ID。

从处理707到711，执行顺序500中的从处理501到505相同的处理，并将新的匿名ID登录在分割存储个人数据库110中。

在处理712中，数据连接单元109发送在处理705中请求的个人ID和在处理705的时刻使用的M个匿名ID，接下来，数据连接单元109进入用于变更分割个人数据库716的等待状态。

在处理713中，数据连接单元109使用处理712中接收到的个人ID、匿名ID并生成分析用数据。抽出具有存储在分割存储个人数据库的数据303中的该个人ID的记录。另外，抽出具有存储在数据304中的该匿名ID的记录，并且将各记录的匿名ID替换对应的个人ID。

在处理714中，数据连接单元109，非同步地将处理713中生成的分析用数据发送到购买倾向分析单元207中。

在处理715、716中，执行与顺序500的处理506、507相同的处理，并且更新存储在分割存储个人数据库109中的匿名ID。

另一方面，购买倾向分析单元207，在通过处理714接收了分析用数据的预先指定的数据量被接收到的时候，启动分析处理，并在处理718中作为分析结果输出数据402。

这样，本发明的特征在于，在使用历史数据库111中残留个人数据的使用记录，在本实施方式中，可以通过让店铺内的终端和与PC连接的读卡器读取会员卡，可以进行参照。

另外，图2中的个人数据使用程序204，典型地是存储在业务数据服务器202和通过网络连接的计算机中。

这里，图2，使用功能块进行了说明，但是使用了这些功能块的处理，是通过硬件、软件或者它们的结合来实现的。

亦即，图中的计算机、服务器、卡等作为硬件，至少具有任意CPU和存储器、其他LSI中的任意一个，例如，被装载在存储器中的购买实绩记录单元205、积分管理单元206、购买倾向分析单元207等的程序由CPU来执行，由此，实现处理。另外，个人数据使用程序204，也可以存储在与业务数据生成服务器202和相同的计算机中。

【实施例2】

接下来，对图8中的本发明的第二实施方式进行说明。图8的系统800是用会员卡外部的系统来代理匿名ID处理、使用历史记录处理的情况下的结构。会员卡201仅由个人ID数据库104组成，ID管理代理服务器801，由匿名ID发送单元101、匿名ID数据库103、匿名ID发行单元105、ID应答单元108组成，并在ID应答单元108中安装了有效ID判定单元802。使用历史管理服务器由使用历史数据库111、使用历史输出单元803组成，并与使用历史显示终端804连接。业务数据生成服务器202、个人数据使用程序与系统200的相同。

数据900是存储在匿名数据库105中的数据，除了表示有效期的字段904以外，与数据301相同。在有效期的字段值中，在匿名ID发行单元105生成数据900之际，提供会员的指定值或者发行会员卡时的默认值。数据901是存储在匿名管理ID数据库107中的数据，由与900相同的字段组成。除此以外的数据与系统200的相同。

因为系统800将匿名ID发行处理、使用历史记录处理委托给了代理服务器，所以即使在会员卡没有与系统连接的情况下，也可以进行积分的计算和DM地址列表的生成。并且，有效ID判定单元802具备判定匿名ID的有效期限和有效使用次数的功能，可以防止没有到店的会员的个人数据任意继续使用。

以上实施方式中的系统200、800，是以适用于小卖店中的会员卡使用系统为前提的，但是，也可以在会员卡的IC芯片上装载存储器、处理器，原理上也可以由PDA、移动电话等进行代替。因此，本发明并不局限于面向小卖店的会员卡使用系统。另外，业务数据生成服务器202、个人数据使用程序204，也可以通过网络连接，因此，本发明也适用于通过网络的个人数据使用业务的委托。例如，在委托企业中配置系统200或者800中的业务数据生成服务器200，在接受委托企业中配置个人数据使用程序204，由此，委托企业可以监视接受委托企业的个人数据使用，并且进行控制。

另外，图8中的个人数据使用程序204，典型地被存储在通过网络和业务数据服务器202连接的计算机中。

这里，图8，使用功能块进行了说明，但是，使用了这些功能块的处理，也可以通过硬件、软件、或其组合来实现。

就是说，图中的计算机、服务器、卡等，作为硬件，至少具有任意的CPU和存储器、其他LSI中的任意一个，例如，被装载到存储器中的购买实绩记录单元205、积分管理单元206、购买倾向分析单元207等程序由CPU执行，由此，实现处理。另外，个人数据使用程序204，也可以被存储在与业务数据生成服务器202相同的计算机中。

【实施例3】

接下来，对图11中的本发明的第三实施方式进行说明。系统1100，具备会员卡1101、管理卡1102、业务数据生成服务器1106、访问控制服务器208、个人数据使用程序204。是在小卖店中，消费者持有会员卡1101，个人数据管理者持有管理卡1102的情况下的构成的例子。消费者在购买商品的时候，使用会员卡1101蓄积积分或者使用积分。在消费者蓄积·使用积分的时候，处于个人数据使用程序204中的购买实绩记录单元、积分管理单元仅对匿名ID管理的数据进行处理。

另外，图11中的个人数据使用程序204，典型地被存储在通过网络和业务数据服务器1106连接的计算机中。

这里，图11，使用功能块进行了说明，但是，使用了这些功能块的处理也可以通过硬件、软件、或其组合来实现。

就是说，图中的计算机、服务器、卡等，作为硬件，至少具有任意的CPU和存储器、其他LSI中的任意一个，例如，被装载到存储器中的购买实绩记录单元205、积分管理单元206、购买倾向分析单元207等程序由CPU执行，从而实现处理。另外，个人数据使用程序204，也可以被存储在与业务数据生成服务器1106相同的计算机中。

购买倾向分析单元207，虽然使用了由匿名ID管理的数据、由个人ID管理的姓名、住址等数据，但是，仅在有管理卡1102的适当的应答的时候，才可以将这些数据附加关联后来使用。

会员卡1101，由复制匿名ID数据库1003、匿名ID通信单元1002组成。管理卡103由ID数据应答单元1005组成，个人ID数据库104、匿名ID数据库103与系统200的相同。业务数据生成服务器1106，由存储在防篡改装置中的匿名ID同步单元1001、匿名ID更新历史数据库1004、匿名ID登录单元106、管理用匿名ID数据库107、数据连接单元109、分割存储个人数据库110组成。

匿名ID更新历史数据库1004，在仅管理卡的持有者可以访问的形态下即可，故也可以通过保存在管理卡中的加密密钥进行加密，然后设置在防篡改装置的外部。

匿名ID登录单元106、管理用匿名ID数据库107、数据连接单元109、分割存储个人数据库110、访问控制服务器208、个人数据使用程序204的结构与系统200的相同。

图12表示了系统1100中使用的数据结构。表格1200被存储在匿名ID更新历史数据库1004中。各行的记录数据就表示一次更新的历史，字段1201是更新前的匿名ID，字段1202是更新后的匿名ID。在图示的例子中，表示：A1001是对个人ID“1001”最初发行的匿名ID，A1002是接下来发行的匿名ID。记录的排列顺序是更新发生的顺序。

在本实施方式中，如果存在表格1200，则可以进行整体的处理，但如果表格1200的记录数量非常大，则匿名ID同步单元1001的处理效率在实际应用上就成了问题。用来回避这点的实现方法之一，是预先从数据库中将表格1200读入到同步ID同步单元1001中，并且以1203所示的数据结构在存储器上展开。包含在表格中的数据，被分割保持在高速访问区域1204、连续访问区域1205。在典型的例子中，在高速访问区域1204中提供2分树和HASH表格等检索时间消耗优良的数据结构，而在连续访问区域1205中提供线性列表、阵列等存储器消耗优良的数据结构。

图13所示的顺序1300，表示了：连接由分割存储个人数据库110中的个人ID管理的数据303、和由匿名ID管理的数据304，通过购买倾向分析单元207使用该连接数据的情况下的处理的流程。

首先，购买倾向分析单元207，在处理701请求分析数据，并开始顺序1300。处理701、702、703、704与顺序700的处理相同。

继处理704之后，数据连接单元109在处理1301中对管理卡1102请求ID对应数据。收到请求的管理卡1102在处理1302中还对匿名ID登录单元106请求更新匿名ID。匿名ID登录单元106在处理1303中生成随机数，在处理1304中将随机数发送给管理卡。管理卡1102在处理1305中执行与处理708相同的处理，以随机数和个人ID作为关键字发行匿名ID。接下来，管理卡1102，在处理1306将发行的匿名ID发送到匿名ID登录单元106，匿名ID管理单元106，若与现存的匿名ID没有重复则将接收到的匿名ID登录到匿名ID更新历史数据库1004中。管理卡1102，如果一旦从匿名ID登录单元106中接收在处理1308中更新结束的通知，则在处理1309中将发行的匿名ID存储到匿名ID数据库103中。

以上匿名ID的更新处理结束，管理卡1102在处理1310将更新前的匿名ID和个人ID的ID对应数据返回到数据结合单元109中。ID对应数据是以被分割为阵列，或者一块的比特串的一个数据的等的、管理卡可处理的数据形式，存储了匿名ID和更新前的匿名ID的数据。接下来，数据连接单元109，执行与顺序700相同的处理713，并抽取分析用的数据。

接下来，数据连接单元109，在处理1311中向匿名ID登录单元请求更新分割存储个人数据库，匿名ID登录单元106，执行与顺序700相同的处理716，然后系统移到处理1312。

但是，根据管理卡1102的处理能力和分割存储个人数据库110的处理能力的平衡，对更新请求无论怎样都先发送716处理，而汇集几个更新请求延迟执行有时可以有效节约时间。本发明在原理上，可以容易地应对这种处理。在这种情况下，在处理713中，参照匿名ID匿名更新数据库1004中的更新历史，关于与某人ID对应的过去匿名ID各自来生成ID对应数据，并进行连接处理。另外，在处理716中，在接收到系统使用者预先确定了的个数的接收请求之前，无论怎样都移到下一个处理1312。在到达该次数的情况下，参照匿名ID更新历史数据库，并且检查在分割存储个人数据库110还有必要更新的匿名ID，在执行ID更新处理之后进入处理1312。

在处理1312中，数据连接单元109，将在处理713抽出的数据发送到访问控制服务器208侧。接下来，访问控制服务器208，作为在处理701请求的分析数据、发送杂购买倾向分析单元207接收到的连接数据。接下来，购买倾向分析单元207，执行与顺序700相同的处理717、718，并输出分析结果。

接下来，图14表示使用会员卡情况下的顺序。顺序1400，表示了在进行使用了与顺序600相同的匿名ID的购买实绩的登录的情况下，用于会员卡1101获得应答记录器606的匿名ID的处理。在处理1401中，记录器向匿名ID同步单元1001请求匿名ID，接下来，匿名ID同步单元1001，在处理1402、1403中获得存储在会员卡1101中的匿名ID。在处理1404中，匿名ID同步单元1001确认将匿名ID更新历史数据库1004中的表格1200展开到了存储器上的数据1203。在直接确认表格1200的情况下，首先将在处理1403所获得的匿名ID作为关键字记录检索来进行检查。在利用数据1203的场合，首先利用高速访问区域来确认是否与老的匿名ID符合，接下来，确认顺序访问区域，由此，来实现处理。

如果在更新历史ID数据库1004中存在新的匿名ID，则在处理1405、1406中将会员卡1101中新的匿名ID，覆盖存储在复制匿名ID数据库1003中。接下来，匿名ID同步单元1001，在处理1408中，从匿名ID更新历史数据中去除不需要的历史数据，并且在处理1049中将最新的匿名ID返回到记录器中。

以上，是本发明的第三实施方式。这样，通过使用匿名ID同步单元1001，并用具有数据的连接权限的管理卡和具有匿名ID的复制权的会员卡，从而使得实施方式1、2所述的数据连接控制变得容易。

另外，在本发明的第三实施方式中，通过采用在系统1100中将所有的ID对应数据加密后而使业务数据服务器1106持有的结构，也可以容易地得到相同的效果。在这种情况下，管理卡1102具有公用密钥，而无需个人ID数据库104、匿名ID数据库103。管理卡内的ID对应数据应答单元1005，代替ID对应数据来应答公用密钥，从而使业务数据生成服务器1106具有匿名ID发行单元105。在采用这样的结构的情况下，在处理1302中转交加密密钥，在处理1303中在匿名ID登录单元106对ID对应数据进行解密之后，进行一系列的处理。在处理1307中，匿名ID登录单元106将更新完毕的匿名ID作为新的ID对应数据构成，并且在由公用密钥加密之后进行保存。在处理1310中，应答更新前的ID对应数据。

可以适用于处理被电子化的个人信息、医疗信息、公文等隐秘性高的数据的数据库系统。