When using web services, users are often requested to provide their identity attributes, such as name, age, mail address, phone number, social security number, as well as private attributes such as education, ethnicity, medical history, and marriage status. Users also have to manage their accounts on various web services.
Identity management is aimed at supporting users in deciding whether or not to disclose an attribute to a web service. Whether the web service is trustworthy is an issue, and deciding an appropriate level of disclosure, namely whether to release the real-world identity or only net identity, is another issue, occurring in privacy negotiation. We focus on evaluating the risk of disclosing a group of private attributes so that users can be alerted of high risk behaviors. Our approach is to incorporate the real-world knowledge on privacy risk, through building a privacy attribute ontology that has risk values attached to each concept, and evaluate the risk though similarity matching between the ontology and disclosing attributes. Our framework can be incorporated into distributed identity providers as well as personal card-style identity management.
Webサービスを利用する際に,名前,年齢,メイルアドレスといったアイデンティティ属性に加え,学歴,民族,病歴,家族構成といったプライバシー属性を要求されることがある.またユーザは多数のWebサービスのアカウントを管理することも求められる.アイデンティティ管理は個人属性をWebサービスに開示するときの可否判断のユーザ支援を目的としている.あるWebサービスが信用できるかという情報や,あるいはプライバシー交渉では開示する属性が適切なレベルかの判断が必要である.例えば実世界のアイデンティティを開示するか,あるいはネット上のアイデンティティのみにするかの開示レベルがある.本研究では,属性のグループを開示する際のリスクを評価することに重点をおき,ユーザがリスクの高い開示を行う際に警告を行えるフレームワークを開発している.プライバシーのリスクに関する実世界の知識を取り込んだプライバシー属性オントロジーを構築し,オントロジーの概念ごとにリスク値を保持する.ユーザの開示する属性グループのリスク値を,オントロジーとの類似度によるマッチングにより評価して提示する.本フレームワークは分散型アイデンティティプロバイダや,個人向けカード型アイデンティティ管理システムへの組み込みを想定している.
本研究は下記の支援を受けている.
•科学技術振興機構(JST) 戦略的国際科学技術協力推進事業 日本-米国研究交流課題「重要情報基盤保護」分野,「アイデンティティ連携におけるリスクを考慮した個人情報共有方式」