数据管理服务器、数据利用服务器、数据流通系统、数据管理方法及程序

摘要

数据管理服务器(10)具备数据取得部(113)和个体元数据制作部(114a)。数据取得部(113)取得包括多个设备数据的数据主体。个体元数据制作部(114a)制作个体元数据，该个体元数据包括将包含于数据主体的多个设备数据的一部分指示为对象数据的对象数据信息以及与针对对象数据信息指示的对象数据进行的处理关联的进程信息。

说明书

技术领域

本发明涉及数据管理服务器、数据利用服务器、数据流通系统、数据管理方法及程序。

背景技术

将从设备取得的设备数据作为交易对象的数据流通市场的形成正在得到发展。例如，在专利文献1中启示了通过包括大量的无线通信节点、从无线通信节点收集感测数据(sensing data)的中介服务器以及从中介服务器接受感测数据的提供的应用服务器的感测网络来形成数据流通市场。

现有技术文献

专利文献1：日本特开2015-38484号公报

发明内容

为了使设备数据作为有价值的数据而公正地流通，需要管理设备数据的质量信息、权利信息、真实性(authenticity)等设备数据所附带的信息。

另一方面，预想到由于IoT(Internet of Things，物联网)关联技术的发展，庞大的设备数据会流通到数据流通市场。因此，预想到设备数据所附带的信息也变得庞大，管理该信息的负荷也变得庞大。

但是，尽管预想到管理设备数据所附带的信息的负荷变得庞大，但在专利文献1中却未给出任何用于恰当地管理该信息的技术。因此，要求用于恰当地管理设备数据所附带的信息的技术。

本发明的目的在于，鉴于上述情形而提供一种对设备数据所附带的信息恰当地进行管理的数据管理服务器等。

为了达到上述目的，本发明所涉及的数据管理服务器具备：

数据主体取得单元，取得包括多个设备数据的数据主体；以及

个体元数据制作单元，制作个体元数据，该个体元数据包括将包含于所述数据主体的所述多个设备数据的一部分指示为对象数据的对象数据信息以及与针对所述对象数据信息指示的对象数据进行的处理关联的进程信息。

根据本发明，制作包括将包含于数据主体的多个设备数据的一部分指示为对象数据的对象数据信息以及与针对对象数据进行的处理关联的进程信息的个体元数据，所以能够使一部分数据单独地附带信息。因此，根据本发明，能够恰当地管理设备数据所附带的的信息。

附图说明

图1是示出本发明的实施方式1所涉及的数据流通系统的结构的图。

图2是示出本发明的实施方式1所涉及的设备所发送的设备数据的一个例子的图。

图3是示出本发明的实施方式1所涉及的数据管理服务器的功能性结构的框图。

图4是示出本发明的实施方式1所涉及的数据利用服务器的功能性结构的框图。

图5是示出本发明的实施方式1所涉及的数据管理服务器的硬件结构的一个例子的图。

图6是示出本发明的实施方式1所涉及的数据管理服务器所制作的流通数据的数据构造的图。

图7是示出本发明的实施方式1所涉及的数据管理服务器所制作的对象数据信息的一个例子的图。

图8是示出由本发明的实施方式1所涉及的数据管理服务器利用的、每个机种的测定精度的信息的一个例子的图。

图9是示出本发明的实施方式1所涉及的数据管理服务器所制作的质量信息以及对象数据信息的一个例子的图。

图10是示出本发明的实施方式1所涉及的数据管理服务器所制作的权利信息的一个例子的图。

图11是示出由本发明的实施方式1所涉及的数据管理服务器实施的个体元数据(individual metadata)制作的动作的一个例子的流程图。

图12是示出由本发明的实施方式1所涉及的数据管理服务器实施的流通数据发送的动作的一个例子的流程图。

图13是示出由本发明的实施方式1所涉及的数据利用服务器实施的流通数据的验证的动作的一个例子的流程图。

图14是示出本发明的实施方式2所涉及的数据管理服务器所制作的流通数据的数据构造的图。

图15是示出本发明的实施方式3所涉及的数据流通系统的结构的图。

(符号说明)

1：数据流通系统；10：数据管理服务器；11：存储服务器；20：数据利用服务器；21：存储服务器；30：设备；40：用户终端；100：通信部；110：控制部；111：数据保存部；112：进程决定部；113：数据取得部；114：进程执行部；114a：个体元数据制作部；115：流通数据制作部；120：存储部；200：通信部；210：控制部；211：数据请求部；212：数据保存部；213：数据验证部；220：存储部；1000：总线；1001：处理器；1002：存储器；1003：接口；1004：二次存储装置。

具体实施方式

以下，参照附图，说明本发明的实施方式所涉及的数据流通系统。在各附图中，对相同或者同等的部分附加同一符号。

(实施方式1)

参照图1，说明实施方式1所涉及的数据流通系统1。数据流通系统1例如是为了设备数据的交易而构筑的系统。数据流通系统1具备数据管理服务器10、存储服务器11、数据利用服务器20、存储服务器21以及多个设备30。数据流通系统1是本发明所涉及的数据流通系统的一个例子。

数据管理服务器10例如是设备30的制造者运营的制造商服务器。数据管理服务器10从设备30接收设备数据，并保存到存储服务器11。数据管理服务器10将包含设备数据以及后述的个体元数据的流通数据发送给数据利用服务器20。此外，数据管理服务器10也可以能够接收数据管理服务器10的运营者以外的运营者所制造的设备30的设备数据。数据管理服务器10是本发明所涉及的数据管理服务器的一个例子。

另外，数据管理服务器10的运营者向数据利用服务器20分发由数据管理服务器10制作的、用于使数据利用服务器20验证包含于个体元数据的后述的证明信息的公开密钥(以下简称为“数据管理服务器10的公开密钥”)。作为公开密钥的分发方式，例如考虑数据管理服务器10的运营者在因特网上公开数据管理服务器10的公开密钥。

数据利用服务器20例如是向契约方提供基于设备数据的服务的服务商所运营的服务商服务器。服务商通过数据利用服务器20向契约方提供各种服务。作为基于设备数据的服务的例子，可以列举根据设备数据来掌握契约方的家庭内的设备30的动作状况的监护服务、根据1个月期间的设备数据向契约方建议节电计划的节电建议服务等。

数据利用服务器20对数据管理服务器10请求流通数据。数据利用服务器20接收数据管理服务器10根据请求而发送的流通数据，并保存到存储服务器21。数据利用服务器20根据所保存的流通数据中包含的设备数据，向契约方提供服务。数据利用服务器20是本发明所涉及的数据利用服务器的一个例子。

存储服务器11以及存储服务器21例如是云提供商运营的云存储服务器。例如，数据管理服务器10的运营者向存储服务器11的运营者支付与数据保存量、数据读出量等对应的利用费用。

设备30例如是具有与数据管理服务器10之间的通信功能的IoT设备。作为设备30的例子，可以列举空调器、热水器、烹调器等电气设备、功率计、温度计、风量计等传感器设备。设备30将与自身的动作、状态等有关的信息作为设备数据而发送给数据管理服务器10。设备30是本发明所涉及的设备的一个例子。

图2示出设备数据的一个例子。设备数据包括：单独地识别该设备30的设备ID(Identifier，标识符)；设备30的动作、状态等内容的信息；以及作为检测到该动作、状态等的日期时间的检测日期时间的信息。作为单独地识别设备30的设备ID，例如能够采用将设备30的型号和设备30的序列号进行连结而成的字符串。例如在通过用户的操作进行该动作时，进行动作的检测。例如按照每隔1小时等一定时间间隔进行状态的检测。设备30既可以在检测到设备30的动作、状态等的定时(timing)立刻将设备数据发送给数据管理服务器10，也可以将设备数据并非立刻发送而是临时地保存，并将保存的设备数据每隔一定时间汇总起来发送。例如利用JSON(JavaScript Object Notation，JavaScript对象表示法)、XML(Extensible Markup Language，可扩展标记语言)等形式来表示设备数据。

例如通过预先决定的Web API(Web Application Programming Interface，Web应用编程接口)进行数据管理服务器10和数据利用服务器20的通信。例如，数据管理服务器10是具有遵循该Web API的接口的Web API服务器，数据利用服务器20是与作为Web API服务器的数据管理服务器10进行通信的Web API客户端。数据利用服务器20即使在和与数据管理服务器10的运营者不同的运营者所运营的数据管理服务器进行通信的情况下，只要该数据管理服务器遵循该Web API，就能够和与数据管理服务器10进行通信的情况同样地进行通信。另外，从安全性的方面考虑，由Web API进行的通信优选为在HTTPS(Hyper TextTransfer Protocol Secure，超文本传输协议安全)上进行。

接下来，参照图3，说明数据管理服务器10的功能性结构。数据管理服务器10具备通信部100、控制部110以及存储部120。

通信部100例如是网络接口。通信部100与设备30、存储服务器11以及数据利用服务器20进行通信。特别是，通信部100从设备30接收设备数据，向数据利用服务器20发送后述的流通数据。通信部100是本发明所涉及的流通数据发送单元的一个例子。

控制部110总体地控制数据管理服务器10。控制部110具备数据保存部111、进程决定部112、数据取得部113、进程执行部114以及流通数据制作部115。另外，进程执行部114具备个体元数据制作部114a。

数据保存部111将通信部100从设备30接收到的设备数据，经由通信部100保存到存储服务器11。数据保存部111在保存设备数据时生成用于由数据管理服务器10单独地识别设备数据的设备数据ID，并与该设备数据ID关联起来保存设备数据。以下，“设备数据”的单词是指在从存储服务器11取出的情况下包括与该设备数据关联起来的设备数据ID的数据。

另外，数据保存部111将后述的个体元数据制作部114a制作的个体元数据，经由通信部100保存到存储服务器11。

进程决定部112以保存于存储服务器11的设备数据为对象，决定进行什么样的处理。以下，将把设备数据作为对象的处理称为“进程”。

作为进程的例子，可以列举与测定精度有关的信息的附加、与日期时间、地域等特定的条件对应的设备数据的分类、表示设备数据的匿名性的程度的信息的附加、与数据的买卖有关的信息的附加等。根据需要而会追加说明这些例子的详情。

关于进程，既有根据预先设定的计划表而自动地进行的情况，也有根据由数据管理服务器10的管理者发出的指示而进行的情况。另外，还有根据后述的数据利用服务器20的请求而进行的情况。进程决定部112根据上述计划表、指示、请求等的内容，决定进程的详情。

数据取得部113经由通信部100，从存储服务器11取得包括多个设备数据的数据主体。数据取得部113取得的数据主体是包括应成为由进程决定部112决定的进程的对象的设备数据的数据。数据取得部113根据需要还取得保存于存储服务器11的个体元数据。数据取得部113是本发明所涉及的数据主体取得单元的一个例子。

进程执行部114针对数据取得部113取得的数据主体中包含的各设备数据，执行由进程决定部112决定的进程。另外，进程执行部114通过个体元数据制作部114a制作个体元数据。特别是，个体元数据包括作为与进程有关的信息的进程信息、和证明对象数据及进程信息的真实性的证明信息。此处所称的真实性是指，该数据由数据管理服务器10制作并且未被篡改。关于个体元数据的详情，在后面叙述。个体元数据制作部114a是本发明所涉及的个体元数据制作单元的一个例子。

流通数据制作部115根据数据取得部113取得的数据主体及个体元数据、和个体元数据制作部114a制作的个体元数据，制作综合元数据(comprehensive metadata)。关于综合元数据的详情，在后面叙述。流通数据制作部115制作流通数据，该流通数据包括数据取得部113取得的数据主体及个体元数据、个体元数据制作部114a制作的个体元数据、以及所制作的综合元数据。将制作的流通数据通过通信部100发送给数据利用服务器20。流通数据制作部115是本发明所涉及的流通数据制作单元的一个例子。

存储部120存储设备30的详细信息、权利信息等在执行特定的进程时可能需要的信息。另外，存储部120存储与数据管理服务器10的公开密钥对应的秘密密钥(以下称为“数据管理服务器10的秘密密钥”或者简称为“秘密密钥”)。秘密密钥是在制作上述证明信息时使用的秘钥，既可以在数据管理服务器10中利用一个秘密密钥，也可以针对管理各个进程执行的每个组织或岗位而分别使用多个秘密密钥。

接下来，参照图4，说明数据利用服务器20的功能性结构。数据利用服务器20具备通信部200、控制部210以及存储部220。

通信部200例如是网络接口。通信部200与数据管理服务器10以及存储服务器21进行通信。特别是，通信部200从数据管理服务器10接收流通数据。通信部200是本发明所涉及的流通数据接收单元的一个例子。

控制部210总体地控制数据利用服务器20。控制部210具备数据请求部211、数据保存部212以及数据验证部213。

数据请求部211经由通信部200，对数据管理服务器10请求流通数据的发送。请求内容例如是“想要2018年9月的空调器的设定温度数据”、“想要关东地区的冷冻室温度的数据”等满足特定条件的数据的请求。

数据保存部212将通信部200接收到的流通数据，经由通信部200保存到存储服务器21。

数据验证部213根据进程信息，验证对象数据信息表示的对象数据。数据验证部213根据证明信息，验证对象数据以及进程信息的真实性。关于验证的详情，在后面叙述。数据验证部213是本发明所涉及的数据验证单元的一个例子。

存储部220存储设备30的详细信息、权利信息等在数据的验证时可能需要的信息。另外，存储部220存储数据管理服务器10的公开密钥。如上所述，在验证证明信息时使用数据管理服务器10的公开密钥。

接下来，参照图5，说明数据管理服务器10的硬件结构的一个例子。图5所示的数据管理服务器10例如通过服务器设备、个人计算机、微型控制器等计算机来实现。

数据管理服务器10具备经由总线1000相互连接的处理器1001、存储器1002、接口1003以及二次存储装置1004。

处理器1001例如是CPU(Central Processing Unit(中央处理单元)，中央运算装置)。处理器1001将存储于二次存储装置1004的动作程序读入到存储器1002并执行，从而实现数据管理服务器10的各功能。

存储器1002例如是由RAM(Random Access Memory，随机存取存储器)构成的主存储装置。存储器1002存储处理器1001从二次存储装置1004读入的动作程序。另外，存储器1002作为处理器1001执行动作程序时的工作存储器而发挥功能。

接口1003例如是串行端口、网络接口等I/O(Input/Output，输入/输出)端口。通过接口1003来实现通信部100的功能。

二次存储装置1004例如是闪存存储器、HDD(Hard Disk Drive，硬盘驱动器)、SSD(Solid State Drive，固态驱动器)。二次存储装置1004存储处理器1001执行的动作程序。另外，通过二次存储装置1004来实现存储部120的功能。

另外，数据利用服务器20也同样地能够采用例如图5所示的硬件结构。

接下来，说明上述各数据的数据构造。首先，参照图6，说明由数据管理服务器10的控制部110的流通数据制作部115制作的流通数据的数据构造。

流通数据包括1个数据主体、多个个体元数据以及1个综合元数据。例如利用JSON、XML等形式来表示流通数据。

数据主体是包括多个设备数据的数据群。此处所称的设备数据如上所述包括设备数据ID。

个体元数据包括：将包含于数据主体的设备数据指示为对象数据的对象数据信息、作为与针对对象数据执行的进程有关的信息的进程信息、以及证明对象数据和进程信息的真实性的证明信息。换言之，利用个体元数据，将对象数据信息、进程信息以及证明信息关联起来。

对象数据信息是将包含于数据主体的1个以上的设备数据指示为对象数据的信息。对象数据信息例如如图7所示，通过设备数据ID和散列值(hash value)的1个以上的组来表示。设备数据ID是与作为对象数据的设备数据关联起来的设备数据ID。散列值是根据由设备数据ID表示的设备数据而计算的散列值。在后述的数据验证时使用该散列值。多个对象数据信息也可以将相同的设备数据指示为对象数据。

再次参照图6。进程信息包括质量信息和权利信息。质量信息是指通过执行进程而得到的与设备数据的质量有关的信息。此处所称的“质量”还包括只与进程有关的信息，是广义的单词。作为质量信息，例如可以列举以下的信息。

■与发送了设备数据的设备30的测定精度有关的信息。

■表示设备数据被如何分类的信息。

■表示设备数据的匿名性是何种程度的信息。

■与设备数据的买卖有关的信息。

例如，考虑执行针对对象数据附加与设备30的测定精度有关的信息的进程的情况。首先，设为如图8所示的设备30的每个机种的测定精度的信息被保存到存储部120。在该情况下，进程执行部114首先根据由对象数据信息指示的对象数据中包含的设备ID来确定机种，取得该机种的测定精度的信息。接下来，进程执行部114利用个体元数据制作部114a来制作包括取得的测定精度的信息的信息作为质量信息。例如，在成为对象数据的设备数据是关于设备B的设备数据的情况下，在质量信息中会包括“正确度：中，误差：±0.5m，粒度：0.1m，有无校正：无”这样的信息。

另外，作为其它例子，考虑执行根据日期时间对设备数据进行分类的进程的情况。例如，考虑执行将图2所示的设备数据针对每月进行分类的进程的情况。在该情况下，设备ID为XXX或者YYY的设备数据全部被分类到“9月”，设备ID为ZZZ的设备数据全部被分类到“10月”。此时，进程执行部114利用个体元数据制作部114a将设备ID为XXX或者YYY的设备数据作为对象数据而制作表示分类为“9月”的意思的质量信息以及关联的对象数据信息，将设备ID为ZZZ的设备数据作为对象数据而制作表示分类为“10月”的意思的质量信息以及关联的对象数据信息。

根据以上，质量信息和与质量信息关联起来的对象数据信息成为例如图9所示的信息。

接下来，说明权利信息。权利信息是与进程的执行关联的数据的所有权、利用权、利用停止权等权利关系的信息。例如根据作为数据管理服务器10的运营者并且设备30的制造者的制造商、作为数据利用服务器20的运营者的服务商、设备30的持有者、设置设备30的承包商等之间的契约来决定这些权利。

数据的所有权例如被定义为数据的利用、管理、公开、转让、废弃、复制、销售、向他人赋予利用权、利用权的剥夺等与该数据有关的一切权利。在数据有著作权的情况下，著作权也可以包含于所有权的范围。关于所有权，根据契约，既考虑制造了设备30的制造商具有所有权的情况，也考虑设备30的持有者具有所有权的情况。

数据的利用权例如被定义为根据与持有者的契约而提供的利用数据的权利。例如，与具有数据的所有权的制造商缔结了契约的服务商具有数据的利用权。

数据的利用停止权例如被定义为无论有无数据的所有权都使由他人实施的数据的利用停止的权利。例如，提供了设备30的设备数据的数据提供商即设备30的持有者具有数据的利用停止权。

进程执行部114的个体元数据制作部114a制作的权利信息例如为如图10所示的信息。例如，考虑根据数据利用服务器20的数据请求来执行进程的情况。在该情况下，数据利用服务器20的数据请求是指例如“想要关于空调器的9月的设备数据”这样的内容。在该情况下，进程执行部114执行用于对与空调器有关的设备数据之中的检测日期时间为9月的数据进行分类的进程。然后，进程执行部114利用个体元数据制作部114a，将所有权者设为作为数据管理服务器10的运营者的制造商A，将利用权者设为作为数据利用服务器20的运营者的服务商B，将利用停止权者设为作为设备30的持有者且作为数据提供商的持有者C，而制作权利信息。

接下来，说明证明信息。证明信息是用于证明对象数据以及进程信息的真实性的信息。即，利用证明信息能够证明对象数据以及进程信息未被篡改。

例如通过计算将进程信息和对象数据信息结合得到的数据的散列值，并对该散列值进行利用数据管理服务器10的秘密密钥实施的变换，从而制作证明信息。换言之，通过针对将进程信息和对象数据信息结合得到的数据利用秘密密钥进行数字签名，从而制作证明信息。在此，对象数据自身虽然不作为数字签名的对象，但由于如上所述在对象数据信息中包含有各对象数据的散列值，所以通过将包含对象数据信息的数据作为数字签名的对象，也能够证明进程信息、对象数据中的任一个的真实性。

数据利用者通过利用数据管理服务器10的公开密钥对证明信息进行变换而复原散列值，并与将进程信息和对象数据信息结合得到的数据的散列值进行比较，从而能够验证进程信息、对象数据信息都未被篡改。并且，数据利用者通过比较包含于对象数据信息的各对象数据的散列值和实际上根据各对象数据计算出的散列值，能够验证各对象数据未被篡改。

以上说明了包含于个体元数据的对象数据信息、进程信息以及证明信息。接下来，再次参照图6，说明综合元数据。综合元数据是指包括与在流通数据中应包含的数据主体以及个体元数据有关的信息的元数据。综合元数据例如包括指示在流通数据中应包含的所有个体元数据的信息。另外，综合元数据例如也可以包括证明所有个体元数据的真实性的信息。另外，综合元数据例如也可以包括与关于流通数据整体的权利有关的信息。

以上说明了数据构造。接下来，参照图11，说明数据管理服务器10的个体元数据制作的动作的一个例子。

数据管理服务器10的控制部110的进程决定部112决定应执行的进程的详情(步骤S101)。接下来，控制部110的数据取得部113取得应成为进程的对象的设备数据即对象数据(步骤S102)。取得的对象数据通常是多个。

控制部110的进程执行部114的个体元数据制作部114a计算各对象数据的散列值，制作与设备数据ID关联起来的对象数据信息(步骤S103)。对象数据信息如上所述例如成为如图7所示的信息。

进程执行部114将对象数据作为对象而执行进程决定部112决定的进程，通过个体元数据制作部114a制作进程信息(步骤S104)。更具体而言，制作包含质量信息和权利信息的进程信息。

个体元数据制作部114a将进程信息和对象数据信息结合，计算结合得到的数据的散列值(步骤S105)。此外，通过该结合而得到的数据是临时性的数据，并非是被持久地保存的数据。

个体元数据制作部114a利用保存于存储部120的秘密密钥对在步骤S105中计算出的散列值进行变换，从而制作证明信息(步骤S106)。

个体元数据制作部114a制作包括在步骤S103中制作的对象数据信息、在步骤S104中制作的进程信息以及在步骤S106中制作的证明信息的个体元数据(步骤S107)。然后，控制部110结束个体元数据制作的动作。在个体元数据制作结束后，控制部110例如将制作的所有个体元数据通过数据保存部111而保存到存储服务器11。或者，如后所述，控制部110利用流通数据制作部115制作包含对象数据和个体元数据的流通数据。

接下来，参照图12，说明数据管理服务器10的流通数据发送的动作的一个例子。

数据管理服务器10的通信部100从数据利用服务器20接收流通数据的请求(步骤S201)。数据管理服务器10的控制部110判定与请求对应的个体元数据是否存在于存储服务器11(步骤S202)。此时也可以包括如下的判定处理：与预先决定的条件进行对照，而不响应针对数据整体或者一部分数据的数据请求。例如，在请求内容是“想要关于空调器的9月的设备数据”这样的内容的情况下，在包含于个体元数据的进程信息的质量信息是表示9月的空调器的设备数据被分类的信息的情况下，该个体元数据成为与请求对应的个体元数据。

在与请求对应的个体元数据存在于存储服务器11时(步骤S202：“是”)，控制部110执行从步骤S204起的动作。在与请求对应的个体元数据未存在于存储服务器11时(步骤S202：“否”)，控制部110利用进程决定部112决定与请求对应的进程的详情，利用进程执行部114执行进程，利用进程执行部114的个体元数据制作部114a制作个体元数据，利用数据保存部111将个体元数据保存到存储服务器11(步骤S203)。

控制部110的数据取得部113从存储服务器11取得与请求对应的所有个体元数据(步骤S204)。数据取得部113从存储服务器11取得所有的与在步骤S204中取得的各个体元数据对应的对象数据、即包含于各个体元数据的对象数据信息表示的对象数据(步骤S205)。

控制部110的流通数据制作部115根据在步骤S204中取得的个体元数据来制作综合元数据，制作包括所有对象数据、所有个体元数据以及综合元数据的流通数据(步骤S206)。

控制部110经由通信部100，将在步骤S206中制作的流通数据发送给数据利用服务器20(步骤S207)。然后，控制部110结束流通数据发送的动作。

接下来，参照图13，说明由数据利用服务器20实施的流通数据的验证的动作的一个例子。将保存于存储服务器21的流通数据作为对象，以个体元数据为单位进行图13所示的动作。另外，例如紧接在将接收到的流通数据保存到存储服务器21之后进行图13所示的动作。

数据利用服务器20的控制部210的数据验证部213利用保存于存储部220的数据管理服务器10的公开密钥对流通数据的个体元数据中包含的证明信息进行变换，复原散列值(步骤S301)。

数据验证部213制作将包含于个体元数据的进程信息和对象数据信息结合得到的数据，并计算结合得到的数据的散列值(步骤S302)。数据验证部213判定在步骤S301中从证明信息复原的散列值和在步骤S302中计算出的散列值是否一致(步骤S303)。

在散列值不一致的情况下(步骤S303：“否”)，认为进程信息、对象数据信息中的至少一方遭到破坏或者被篡改，所以控制部210视为在流通数据中有异常而结束验证的动作。

在散列值一致的情况下(步骤S303：“是”)，数据验证部213计算对象数据信息指示的各对象数据的散列值(步骤S304)。数据验证部213取得包含于对象数据信息的各对象数据的散列值(步骤S305)。数据验证部213关于所有对象数据，判定在步骤S304中计算出的散列值和在步骤S305中取得的散列值是否一致(步骤S306)。

在散列值不一致的情况下(步骤S306：“否”)，认为对象数据遭到破坏或者被篡改，所以控制部210视为在流通数据中有异常而结束验证的动作。

在散列值一致的情况下(步骤S306：“是”)，关于对象数据、进程信息都验证出真实性，所以视为在流通数据中无异常而结束验证的动作。

以上说明了实施方式1所涉及的数据流通系统1。根据实施方式1，将包含于数据主体的多个设备数据的一部分作为对象数据，制作包括对象数据信息以及与针对对象数据进行的处理关联的进程信息的个体元数据，所以能够使一部分数据单独地附带信息。因此，能够恰当地管理设备数据所附带的信息。例如，相比于使数据主体整体附带与所有的进程有关的信息的情况，对设备数据所附带的信息进行管理的负荷被减轻。

另外，根据实施方式1，通过使个体元数据包括证明信息，能够验证对象数据以及进程信息的真实性。

(实施方式2)

说明实施方式2所涉及的数据流通系统1。根据实施方式2所涉及的数据流通系统1，在实施方式1的情况的基础上，还能够表示多个进程信息之间的顺序关系。

实施方式2之中的与实施方式1不同的点是图3所示的个体元数据制作部114a的功能、图4所示的数据验证部213的功能以及个体元数据的数据构造。

首先，如图14所示，参照示出实施方式2所涉及的流通数据的数据构造的图，说明个体元数据的数据构造之中的与实施方式1不同的点。

个体元数据的进程信息在实施方式1的情况的基础上，还包括顺序信息。顺序信息是表示与其它进程信息的顺序关系的信息。与其它进程的顺序关系是指，针对数据主体执行的多个进程信息之间的顺序关系。例如，在已经针对附带多个进程信息的数据主体进一步执行了进程的情况下，与最新的进程有关的进程信息是比其它进程信息靠“后”这样的顺序关系。

图14所示的从顺序信息向其它进程信息延伸的箭头表示包含该顺序信息的进程信息是用箭头表示的进程信息的“接下来”的顺序。即，顺序信息还是表示在“前”的进程信息的信息。通过追溯这些“箭头”，能够验证从最旧的进程信息至最新的进程信息的顺序关系。

顺序信息例如包括对在“前”的进程信息赋予的个体的进程信息ID以及在“前”的进程信息的散列值。通过包括散列值，在顺序关系被篡改时能够将其检测出。

接下来，说明个体元数据制作部114a的功能之中的在实施方式1中没有的功能。个体元数据制作部114a在实施方式1的情况的基础上，还制作顺序信息。例如，取得在执行进程前已经存在的个体元数据中的最新的个体元数据，并将包含于该最新的个体元数据的进程信息作为在“前”的进程信息而制作顺序信息。在执行进程前不存在个体元数据的情况下，例如将表示“开头”的信息设为顺序信息即可。

接下来，说明数据验证部213的功能之中的在实施方式1中没有的功能。数据验证部213在实施方式1的情况的基础上，还验证顺序信息。通过针对所有的个体元数据反复实施计算顺序信息表示的在“前”的进程信息的散列值并与包含于顺序信息的散列值进行比较这样的处理，能够验证顺序信息表示的顺序关系。

以上说明了实施方式2所涉及的数据流通系统1。根据实施方式2所涉及的数据流通系统1，在实施方式1的情况的基础上，还能够表示进程信息之间的顺序关系以及验证顺序关系。

(实施方式3)

参照图15，说明实施方式3所涉及的数据流通系统1。根据实施方式3所涉及的数据流通系统1，能够根据数据的利用停止权者的请求而停止数据的流通。实施方式3所涉及的数据流通系统1在实施方式1的情况的基础上，还具备与数据管理服务器10进行通信的用户终端40。

用户终端40例如是提供了设备数据的设备30的持有者持有的个人计算机、智能手机等终端装置。用户终端40的持有者具有提供的设备数据的利用停止权。用户终端40的持有者能够通过用户终端40，针对数据管理服务器10请求停止设备数据的流通。具体而言，利用用户终端40将流通停止请求发送给数据管理服务器10，从而能够请求停止设备数据的流通。

流通停止请求包括表示作为利用停止权者的用户终端40的持有者的信息、表示希望停止流通的设备数据的停止对象信息等。

在实施方式3所涉及的数据管理服务器10中，图3所示的各功能部之中的通信部100以及流通数据制作部115的功能不同。以下，说明这些功能。

通信部100在实施方式1的情况的基础上，还从用户终端40接收流通停止请求。实施方式3所涉及的通信部100是本发明所涉及的停止请求受理单元的一个例子。

流通数据制作部115在实施方式1的情况的基础上，还具有根据流通停止请求而从数据主体中去除应停止流通的设备数据来制作流通数据的功能。具体而言，例如如以下那样制作流通数据。首先，流通数据制作部115抽出包含于个体元数据的权利信息表示的利用停止权者与流通停止请求表示的利用停止权者相同的全部个体元数据。接下来，流通数据制作部115从数据主体去除抽出的个体元数据的对象数据信息表示的对象数据之中的、流通停止请求的停止对象信息表示的设备数据。然后，流通数据制作部115制作包括成为停止对象的设备数据被去除的数据主体、个体元数据以及综合元数据的流通数据。

以上说明了实施方式3所涉及的数据流通系统1。根据实施方式3，在个体元数据中包含有权利信息，所以能够恰当地从流通数据去除根据流通停止请求而请求停止流通的设备数据。因此，具有设备数据的利用停止权的人员通过经由用户终端40对数据管理服务器10进行流通停止请求，能够停止设备数据的流通。

(变形例)

在上述各实施方式中，在执行进程时未进行设备数据自身的加工。但是，也可以执行对设备数据进行加工的进程。例如，也可以执行进行如下等的加工的进程：使数据的粒度(granularity)粗化(coarsening)；求出每一定期间的数据的合计值而进行汇总；将数据匿名化；将加工前的对象数据留下并将加工后的数据保存为其它新的对象数据。在该情况下，数据被加工，所以在验证从加工前起就存在的个体元数据时会发生异常。在该情况下，能够采取重新制作个体元数据、允许发生异常并保持原样等与状况对应的选择。

在上述各实施方式中，数据管理服务器10仅从设备30取得设备数据。但是，数据管理服务器10例如也可以通过从其它数据管理服务器接收流通数据，取得并保存设备数据。在该情况下，在流通数据中还包括个体元数据，所以个体元数据也一并地保存。即，保存包括并非由数据管理服务器10制作的个体元数据的数据。并且，数据管理服务器10还能够制作与设备数据对应的个体元数据。这样，还能够针对设备数据，由多个数据管理服务器单独地制作个体元数据。

在图5所示的硬件结构中，数据管理服务器10具备二次存储装置1004。但是，不限于此，也可以设为如下方式：将二次存储装置1004设置于数据管理服务器10的外部，经由接口1003连接数据管理服务器10和二次存储装置1004。在该方式中，USB闪存驱动器、存储卡等可移动介质也能够用作二次存储装置1004。

另外，也可以代替图5所示的硬件结构，通过使用ASIC(Application SpecificIntegrated Circuit，专用集成电路)、FPGA(Field Programmable Gate Array，现场可编程门阵列)等的专用电路来构成数据管理服务器10。另外，在图5所示的硬件结构中，例如也可以通过与接口1003连接的专用电路来实现数据管理服务器10的功能的一部分。

能够将在数据管理服务器10中使用的程序储存到CD-ROM(Compact Disc ReadOnly Memory，致密盘只读存储器)、DVD(Digital Versatile Disc，数字多功能盘)、USB闪存驱动器、存储卡、HDD等计算机可读取的记录介质来分发。并且，通过将上述程序安装到特定或者通用的计算机，能够使该计算机作为数据管理服务器10发挥功能。

另外，也可以将上述程序储存到因特网上的其它服务器具有的存储装置，并从该服务器下载上述程序。

本发明不脱离本发明的广义的精神和范围而能够实现各种实施方式以及变形。另外，上述实施方式只是用于说明本发明，而并非限定本发明的范围。即，本发明的范围并非由实施方式示出，而是由权利要求书示出。并且，在权利要求书内以及与其同等的发明的意义的范围内实施的各种变形被视为在本发明的范围内。

本申请以在2018年9月28日申请的日本专利申请特愿2018-183697号为基础。在本说明书中作为参照引入日本专利申请特愿2018-183697号的说明书、权利要求书、附图整体。