信息处理装置.pdf

用户信息提供装置（101），把用户信息存储到用户信息累积管理部（203）中，在从服务器装置（102）接收用户信息利用程序时，分析该用户信息利用程序，抽出被利用的用户属性信息，参照用户信息累积管理部（203）中存储的过滤器信息，判断是否许可利用该用户属性信息。用户信息提供装置（101），在判断为用户属性信息的利用不被许可时，不执行用户信息利用程序中的全部或一部分，以拒绝用户信息利用程序对该用户属性信息的访问，在判断为用户属性信息的利用被许可时，执行用户信息利用程序，以许可对该用户属性信息的访问。

权利要求书一种信息处理装置，包括：
存储用户信息的第一存储部，该用户信息包含多个表示与用户有关的属性的用户属性信息；
从服务器装置接收用户信息利用程序的接收部，该用户信息利用程序用来以统一了的方法访问上述用户信息；
分析接收到的上述用户信息利用程序，抽出被利用的上述用户属性信息的分析部；
针对每个上述用户属性信息存储可否利用信息的第二存储部，该可否利用信息表示是否许可利用上述用户属性信息；
用被抽出的上述用户属性信息的上述可否利用信息判断是否许可利用上述用户属性信息的判断部；
根据上述判断部的判断结果执行上述用户信息利用程序的执行部；以及
控制部，在判断为上述用户属性信息的利用不被许可时，在上述执行部中不执行上述用户信息利用程序中的全部或一部分，以拒绝上述用户信息利用程序对该用户属性信息的访问，在判断为上述用户属性信息的利用被许可时，在上述执行部中执行上述用户信息利用程序，以许可对该用户属性信息的访问。
如权利要求1所述的信息处理装置，其特征在于：
上述用户信息利用程序关于上述用户属性信息的利用，用在上述服务器装置和上述信息处理装置之间共用的记述形式即共用记述形式来记述；
上述分析部分析上述用户信息利用程序的记述，抽出被利用的上述用户属性信息。
如权利要求2所述的信息处理装置，其特征在于：
上述用户信息利用程序关于上述用户属性信息的利用，有时包含请求发送上述用户属性信息的记述；
上述分析部分析上述用户信息利用程序的记述，抽出被利用的上述用户属性信息，并且判断是否请求向上述服务器装置发送所抽出的上述用户属性信息。
如权利要求3所述的信息处理装置，其特征在于：
上述可否利用信息表示针对上述用户属性信息，许可发送和查询、不许可发送但许可查询、以及不许可发送和查询中的任一种情形；
上述判断部用上述可否利用信息，针对所抽出的上述用户属性信息中的被请求查询的上述用户属性信息，判断是否许可其查询，针对被请求发送的上述用户属性信息，判断是否许可其发送。
如权利要求4所述的信息处理装置，其特征在于：
上述信息处理装置还包括把被判断为许可发送的上述用户属性信息发送到上述服务器装置的发送部。
如权利要求6所述的信息处理装置，其特征在于：
上述接收部在进行用来确认上述服务器装置的可靠性的通信之后，从服务器装置接收上述用户信息利用程序；
上述第二存储部还存储证明上述服务器装置的可靠性的服务器装置信息；
上述信息处理装置还包括：通过判断在上述第二存储部中是否存储了发送了接收到的上述用户信息利用程序的上述服务器装置的上述服务器装置信息，进行上述用户信息利用程序的认证的认证部；
上述执行部在上述认证成功了时，根据上述用户属性信息的判断结果执行上述用户信息利用程序。
如权利要求6所述的信息处理装置，其特征在于：
多个上述服务器装置能够与上述信息处理装置连接；
上述第二存储部针对每个上述服务器装置存储上述可否利用信息；
上述判断部针对从接收到的上述用户信息利用程序抽出的上述用户属性信息，用与发送了该用户信息利用程序的上述服务器装置对应的上述可否利用信息，判断是否许可利用上述用户属性信息。
如权利要求7所述的信息处理装置，其特征在于：
存在多个上述用户信息利用程序；
上述第二存储部针对每个上述用户信息利用程序存储上述可否利用信息；
上述判断部针对从接收到的上述用户信息利用程序抽出的上述用户属性信息，用与该用户信息利用程序对应的上述可否利用信息，判断是否许可利用上述用户属性信息。
如权利要求8所述的信息处理装置，其特征在于还包括：
操作输入接收部，接收第一操作输入和接收第二操作输入，该第一操作输入针对上述第一存储部进行上述用户属性信息的存储、变更和删除中的至少一种，该第二操作输入针对上述第二存储部进行上述可否利用信息的存储、变更和删除中的至少一种；
第一信息控制部，根据上述第一操作输入，针对上述第一存储部进行上述用户属性信息的存储、变更和删除中的至少一种；以及
第二信息控制部，根据上述第二操作输入，针对上述第二存储部进行上述可否利用信息的存储、变更和删除中的至少一种。
如权利要求9所述的信息处理装置，其特征在于：
上述共用记述形式是在上述信息处理装置和上述服务器装置之间共用同一模式的XML形式；
上述抽出部分析上述用户信息利用程序中包含的XPath记述或XQuery记述，抽出被利用的上述用户属性信息。

说明书信息处理装置
技术领域
本发明涉及信息处理装置。
背景技术
迄今，已有把在PC（个人电脑）、便携式电话、具有通信功能的AV设备等的信息处理装置中累积的用户信息提供给利用了通信设施的服务商的技术。作为用户信息，有例如用户使用的信息处理装置的属性信息、用户的个人信息、表示用户对信息处理装置的操作输入历史的操作历史信息等。在这样的技术中，有规定了通过网页浏览器向服务商的服务器装置发送用经纬度表示信息处理装置的当前位置的当前位置信息的接口（Geolocation API，地理位置应用编程接口）的技术（参照非专利文献1）。在非专利文献1的技术中，如果信息处理装置接收埋入了地理位置API的HTML（Hypertext Markup Language,超文本链接标示语言）文档，则利用该API把当前位置信息的公开请求通知给用户，通过由用户选择是否公开来控制对当前位置信息的访问。在该地理位置API中，作为接口规格默许规定当前位置信息的公开范围就是服务商。例如在信息处理装置内变更该公开范围时，考虑重新规定与地理位置API同列的接口，利用该接口以接口为单位控制对当前位置信息的访问。另外，在作为当前位置信息不是经纬度而是利用都道府县、市区町村等精度更粗的信息时也可以考虑重新规定与地理位置API同列的接口，利用该接口以接口为单位控制对当前位置信息的访问。
在先技术文献
非专利文献1：W3C Geolocation API Specification Editor’s Draft,24August2009,http://dev.w3.org/geo/api/spec‑source.html
发明内容
（发明要解决的问题）
这样，在非专利文献1的技术中，控制包含着公开范围和利用方法以规定的接口为单位对信息的访问，难以应对与公开范围相应的控制和利用方法的灵活变化。例如，在把在上述信息处理装置中累积的用户信息提供给服务商的技术中使用非专利文献1的技术时，难以针对来自服务商的用户信息的利用请求，控制与公开范围相应的以信息为单位的访问。另外，可能也不能灵活地改变服务商对用户信息的利用方法。
本发明正是鉴于上述情况而提出的，其目的在于提供可以针对来自服务器装置的用户信息的利用请求，控制与公开范围相应的以用户属性信息为单位的访问，并灵活地改变公开范围内的利用方法的信息处理装置。
（用来解决问题的手段）
为了解决上述问题，实现上述目的，根据本发明的信息处理装置，包括：存储用户信息的第一存储部，该用户信息包含多个表示与用户有关的属性的用户属性信息；从服务器装置接收用户信息利用程序的接收部，该用户信息利用程序用来以统一了的方法访问上述用户信息；分析接收到的上述用户信息利用程序，抽出被利用的上述用户属性信息的分析部；针对每个上述用户属性信息存储可否利用信息的第二存储部，该可否利用信息表示是否许可利用上述用户属性信息；用被抽出的上述用户属性信息的上述可否利用信息判断是否许可利用上述用户属性信息的判断部；根据上述判断部的判断结果执行上述用户信息利用程序的执行部；以及控制部，在判断为上述用户属性信息的利用不被许可时，在上述执行部中不执行上述用户信息利用程序中的全部或一部分，以拒绝上述用户信息利用程序对该用户属性信息的访问，在判断为上述用户属性信息的利用被许可时，在上述执行部中执行上述用户信息利用程序，以许可对该用户属性信息的访问。
（发明的效果）
根据本发明，可以针对来自服务器装置的用户信息的利用请求，控制与公开范围相应的以用户属性信息为单位的访问，并可以灵活地改变公开范围内的利用方法。
附图说明
图1是举例示出实施方式1的信息处理系统的构成的图。
图2是举例示出用户信息的构成的图。
图3是举例示出用户信息利用程序记述的一部分的图。
图4是举例示出过滤器信息的构成的图。
图5是示出用户信息提供处理的顺序的流程图。
图6是举例示出实施方式2的信息处理系统的构成的图。
图7是举例示出用户信息利用程序记述的一部分的图。
图8是举例示出过滤器信息的数据构成的图。
图9是示出用户信息提供处理的顺序的流程图。
图10是举例示出实施方式3的信息处理系统的构成的图。
图11是举例示出过滤器信息的数据构成的图。
图12是举例示出服务器装置信息的图。
图13是示出用户信息利用程序的接收处理的顺序的流程图。
图14是示出用户信息提供处理的顺序的流程图。
图15是举例示出根据实施方式4的过滤器信息的数据构成的图。
图16是举例示出程序关联信息的图。
图17是示出用户信息利用程序的接收处理的顺序的流程图。
图18是举例示出实施方式5的信息处理系统的构成的图。
图19是示出用户信息提供处理的顺序的流程图。
图20是举例示出根据一变形例的用户信息的构成的图。
图21是举例示出根据一变形例的用户信息的构成的图。
图22是举例示出根据一变形例的用户信息利用程序记述的一部分的图。
图23是示出根据一变形例的接收处理的顺序的流程图。
图24是举例示出根据一变形例的信息处理系统的构成的图。
图25是举例示出根据一变形例的用户信息利用程序记述的一部分的图。
（附图标记说明）
101、用户信息提供装置；102、102A、102B、102C、102D、服务器装置；103、103A、103B、网络；201、程序接收部；202、程序执行部；203、用户信息累积管理部；204、用户信息抽出部；205、过滤器信息累积管理部；206、访问控制部；207、用户信息发送部；208、程序认证部；209、信息控制接口部；210、过滤器信息控制部；211、用户信息控制部
具体实施方式
下面，参照附图详细说明根据本发明的信息处理装置的实施方式。
（实施方式1）
图1是举例示出根据本实施方式的作为信息处理装置的包含用户信息提供装置101的信息处理系统的构成和用户信息提供装置101的功能的构成的图。信息处理系统包括：用户信息提供装置101和服务商运营的服务器装置102。用户信息提供装置101和服务器装置102通过网络103连接起来。作为网络，是例如LAN（local area network，局域网）、内部网、以太网（注册商标）、互联网、WAN（wide area network，广域网）、保证了品质的闭域网NGN（下一代网络）或地面波数字广播网等。
下面说明根据本实施方式的用户信息提供装置101的硬件构成。用户信息提供装置101包括：控制整个装置的CPU（中央处理单元）等的控制部、存储各种数据和各种程序的ROM（只读存储器）和RAM（随机存取存储器）等的主存储部、存储内容等的各种数据和各种程序的HDD（硬盘驱动器）等的辅助存储部、以及连接它们的总线，是利用了通常的计算机的硬件构成。另外，在用户信息提供装置101中，利用有线或无线分别把显示信息的显示部、接收用户的指示输入的键盘或鼠标或遥控器等的操作输入部、控制与外部装置（例如服务器装置102）的通信的通信I/F（接口）连接起来。通过网络103进行与服务器装置102的通信。这样的用户信息提供装置101，作为例如个人计算机、数字电视、硬盘录音机、STB（机顶盒）、便携电话之类的移动设备来实现。
服务器装置102的硬件构成也与用户信息提供装置101大致相同，是利用了通常的计算机的硬件构成。服务器装置102是例如雅虎（Yahoo!注册商标）等的综合门户网站、亚马逊（Amazon，注册商标）等的购物网站、YouTube等的视频分享服务网站、Gurunavi等的信息网站、mixi（注册商标）等的SNS（社交网络服务）网站、光TV（注册商标）等的IPTV服务网站运营的服务器装置、地面波数字广播的发送装置。
下面，用图1说明在上述的硬件构成中，通过由用户信息提供装置101的CPU执行在主存储部或辅助存储部中存储的各种程序来实现的各种功能。用户信息提供装置101具有程序接收部201、程序执行部202、用户信息累积管理部203、用户信息抽出部204、过滤器信息累积管理部205和访问控制部206。在CPU执行程序时在RAM等的主存储部上生成程序接收部201、程序执行部202、用户信息抽出部204和访问控制部206。用户信息累积管理部203和过滤器信息累积管理部205是例如在主存储部、辅助存储部上构建的数据库管理系统，是例如XML（Extensible Markup Language,可延伸标示语言）数据库。下面说明各部分的细节。
用户信息累积管理部203存储用户信息，控制该用户信息的注册和删除、和对该用户信息的访问。用户信息包含多个与用户的属性有关的用户属性信息，例如，不仅是用户的个人信息（表示姓名、年龄、住所、性别、职业、兴趣等的信息、与信用卡有关的信息等），还可以包含用户信息提供装置101的该用户的操作历史信息、用户信息提供装置101的装置属性信息（表示制造序号、产品名称等的信息）。另外，在用户信息提供装置101上搭载各种传感器时，用户信息中也可以包含从各种传感器得到的各种信息（表示当前位置的信息、表示加速度的信息、指纹等的各种生理信息）。但是，用户信息不一定非要包含在此例示的各用户属性信息，而且也可以包含在此没有例示的各种用户信息。在本实施方式中，这样的用户信息以XML呈现，用户信息累积管理部203是把该用户信息作为XML文档存储的XML数据库。另外，用户信息的记述形式以在用户信息提供装置101和服务器装置102之间共用为前提。在此，用户信息的共用记述形式是例如，在用户信息提供装置101和服务器装置102之间共用同一架构（schema）的XML形式。
图2是举例示出用户信息的构成的图。在该图中，位于标签<userProfile>与<userProfile>之间的各标签<firstName>、<lastName>、<sex>、<age>……都表示对用户属性信息赋予的名称即用户属性名（“名”、“姓”、“性别”、“年龄”等），在该标签之间示出的值是表示用户属性信息的值即用户属性值。例如，关于“名”，表示用户属性值是“Tarou”。这样，针对每个用户把包含多个用户属性信息的用户信息存储到用户信息累积管理部203中。
程序接收部201通过网络103从服务器装置102接收用户信息利用程序，把它送到用户信息抽出部204。用户信息利用程序用来以统一的方法访问用户信息提供装置101存储的用户信息，例如，是在HTML文档中埋入的Java（注册商标）Script程序。接收这样的用户信息利用程序的程序接收部201是利用以例如IE（互联网浏览器）、Firefox（注册商标）、或Opera（注册商标）等为代表的互联网浏览器和应用软件的HTTP客户。在该用户信息利用程序中，用来访问用户信息的记述是用共用的API（应用编程接口）记述的。用来访问用户信息的共用API利用例如XPath。图3是举例示出用户信息利用程序记述的一部分的图。在该图中示出，在用户信息利用程序中记述了利用年龄信息和性别信息。
用户信息抽出部204对从程序接收部201送来的用户信息利用程序进行分析，抽出执行该用户信息利用程序时被利用的用户属性信息。具体地，在此，由于用户信息利用程序是Java（注册商标）Script程序，所以用户信息抽出部204是被安装（hook）在要分析和执行Java（注册商标）Script的后述的程序执行部202中的软件模块。
具体地，用户信息抽出部204收到例如图3所例示的用户信息利用程序时，分析该用户信息利用程序，辨认出是否调出由’@example.com/personalInformation/xml;1’（第1行）确定的用户信息利用接口（共用API），即，要求通过共用API利用哪一个用户信息。而且，用户信息抽出部204从用XQuery处理的用户属性的访问码（第5行～第8行）抽出年龄信息（personal information/userProfile/age）和性别信息（personal information/userProfile/sex），作为该程序要利用的用户属性信息。最后，用户信息抽出部204把因执行该用户信息利用程序而被利用的用户属性信息（在此是年龄信息和性别信息）作为抽出结果送到访问控制部206。
过滤器信息累积管理部205存储过滤器信息，控制该过滤器信息的注册和删除、和对该过滤器信息的访问，该过滤器信息表示针对每个用户属性信息是否许可因执行该用户信息利用程序而被利用。图4是举例示出过滤器信息的构成的图。像该图所示的那样，针对每个用户属性信息关联可否利用信息而构成过滤器信息，该可否利用信息取许可利用该用户属性信息的公开（public）和不许可其利用的非公开（private）这两个值。
访问控制部206基于过滤器信息累积管理部205中存储的过滤器信息和从用户信息抽出部204送来的抽出结果，决定是否可以执行从程序接收部201接收到的用户信息利用程序。即，关于因执行该用户信息接收程序而被利用的用户属性信息，在过滤器信息显示其利用不被许可时，访问控制部206不把该用户信息利用程序送到程序执行部202，以拒绝用户信息利用程序对该用户属性信息的访问；在过滤器信息显示其利用被许可时，访问控制部206把该用户信息利用程序送到程序执行部202，以许可用户信息利用程序对该用户属性信息的访问。这样的访问控制部206与用户信息抽出部204同样地，是被安装在以下的程序执行部202中的软件模块。
具体地，访问控制部206针对例如图3所例示的用户信息利用程序的用户信息抽出部204的抽出结果是辨认出年龄信息（personal information/userProfile/age）和性别信息（personal information/userProfile/sex）时，用图4所例示的过滤器信息，参照该年龄信息和性别信息的各可否利用信息，决定是否可以执行用户信息利用程序。关于年龄信息，由于被设定为非公开（private），所以访问控制部206不把该用户信息利用程序送到程序执行部202，以拒绝用户信息利用程序对该年龄信息的访问。假如，在因执行该用户信息利用程序而只利用性别信息时，或者取代年龄信息而利用被设定为公开（public）的国籍信息（personal information/userProfile/country）时，访问控制部206把用户信息利用程序送到程序执行部202。
程序执行部202执行从访问控制部206送来的用户信息利用程序。具体地，程序执行部202具有分析和执行HTML渲染器（render）和Java（注册商标）Script的功能，即，互联网浏览器和应用软件的中核功能。但是，与用户信息利用程序的记述语言同样地，不限于这些处理系统。
下面，用图5说明根据本实施方式的用户信息提供装置101进行的用户信息提供处理的顺序。另外，在以下的说明中使用图2所示的用户信息、图3所示的用户信息利用程序和图4所例示的过滤器信息。用户信息提供装置101利用程序接收部201的功能，通过网络103访问服务器装置102，接收埋入用户信息利用程序的HTML文档，取得用户信息利用程序（步骤S1）。然后，用户信息提供装置101利用用户信息抽出部204的功能，分析在步骤S1中取得的用户信息利用程序，判断是否要利用用户信息利用API（步骤S2）。此时，在图3的例子中，用户信息提供装置101基于是否调出用来访问用户信息的共用API的接口（第1行，第2行），判断要不要利用用户信息利用API。同时，用户信息提供装置101根据分析在步骤S1中取得的用户信息利用程序得到的结果，抽出因执行该用户信息利用程序而被利用的用户属性信息（步骤S3）。此时，在图3的例子中，用户信息提供装置101基于有没有调出用来访问程序码中的用XQuery处理的用户属性信息的接口（第5行～第8行），抽出被利用的用户属性信息。在该例子中，抽出年龄信息和性别信息。
接着，用户信息提供装置101判断是否要利用用户信息利用API（步骤S4）。它可以是判断为，例如，基于上述的抽出的结果，调出用户信息利用API（初始化），且仅在包含通过用户信息利用API利用（询问）用户属性信息时利用；也可以是判断为即使在不包含用户属性信息的询问时，也仅通过调出用户信息利用API（初始化）而利用。不管哪种情况下，在用户信息提供装置101判断为不利用用户信息利用API时（步骤S4：否），把在步骤S1中取得的用户信息利用程序作为埋入HTML文档的通常的Java（注册商标）Script程序来执行，结束处理。即，用户信息提供装置101不判断是否可以执行用户信息利用，结束处理。
另一方面，在用户信息提供装置101判断为要利用用户信息利用API时（步骤S4：是），用在步骤S3中抽出的用户属性信息，参照过滤器信息累积管理部205的过滤器信息，利用访问控制部206的功能，判断可否利用该用户属性信息（步骤S5）。然后，用户信息提供装置101在判断为在步骤S3中抽出的用户属性信息中的至少一个不被许可利用时，不执行用户信息利用程序，以拒绝用户信息利用程序对这些用户属性信息的访问（步骤S5：否），结束处理。另一方面，用户信息提供装置101在判断为在步骤S3中抽出的用户属性信息全都被许可利用时，执行用户信息利用程序，以许可用户信息利用程序对这些用户属性信息的访问（步骤S5：是），从用户信息累积管理部203读出该用户属性信息（步骤S6），结束处理。
在图4的例子中，由于在步骤S3中抽出的性别信息的可否利用信息表示为公开（public）、年龄信息的可否利用信息表示为非公开（private），所以用户信息提供装置101不执行用户信息利用程序，以拒绝用户信息利用程序对年龄信息和性别信息的访问（步骤S5：是），结束处理。另外，假如，在年龄信息的可否利用信息表示为公开（public）时，执行用户信息利用程序，以许可用户信息利用程序对性别信息和年龄信息的访问（步骤S5：是），从用户信息累积管理部203读出年龄信息和性别信息（步骤S6），结束处理。
此时，用户信息利用程序利用读出的年龄信息和性别信息变更HTML文档的显示内容。考虑作为简单的用户案例，年龄不到10岁时，对HTML文档内含有的汉字加上假名或者用平假名显示的例子。此时，虽然要利用用户信息提供装置101中累积的用户信息，但要利用的用户属性信息（年龄信息、性别信息）不向服务器装置102发送，因此，该用户属性信息不被公开。这样，用户信息提供装置101即使不向服务商的服务器装置102发送用户信息，也可以享受适应用户属性信息的服务。
另外，在步骤S5中，用户信息提供装置101在拒绝用户信息利用程序对用户属性信息的访问时（步骤S5：否），利用程序执行部202的功能，忽视用户信息利用程序中记述为要利用用户属性信息（在图11的例子中是年龄信息和性别信息）的部分，可以在显示部上显示埋入该用户信息利用程序的HTML文档，也可以在显示部上显示拒绝该HTML文档自身的显示。另外，用户信息提供装置101作为仅仅许可访问被许可利用的用户属性信息（在此是性别信息）的情况（步骤S5：是），在步骤S6中，执行仅仅与访问被许可利用的用户属性信息有关的处理，从用户信息累积管理部203只读出性别信息。即，用户信息提供装置101在用户信息利用程序中，不执行与只访问不被许可利用的用户属性信息有关的处理，执行与仅访问被许可利用的用户属性信息有关的处理。
像以上那样，根据本实施方式，针对服务商的服务器装置的用户信息的利用请求，用户信息提供装置可以实现与公开范围相应的以用户属性信息为单位的访问控制。而且，在用户属性信息的公开范围内，服务商可以灵活地改变用户信息的利用方法，实现利用了被许可利用的公开的用户属性信息的对象（target，目标人群）广告、内容和商品的推荐服务。具体地，根据本实施方式的用户信息提供装置可以解决现有技术中提出的地理位置API的下面的两个问题。
第一个问题是，虽然在地理位置API中服务商可以利用用经纬度表示用户的当前位置的当前位置信息，但可以作为用户信息利用的仅限于经纬度。对于服务商发布的对象广告等有用的用户信息，即使局限于隐去了可以确定个人的信息的匿名信息，也有多种多样。作为用户信息中的各种用户属性信息，不限于上述的年龄和性别，可以举出例如，表示精度局限于都道府县、市町村等的住所、职业、兴趣、电视收看历史、网络购物历史等的信息。地理位置API不提供这样的用来利用表示经纬度以外的内容的用户信息的接口。另外，在重新定义用来利用其它用户信息的与地理位置API精度相同的接口时，必须对每个用户属性信息分别规定接口，包含多种多样的用户属性信息在现实中是困难的。根据本实施方式的用户信息提供装置101，以利用与服务器装置102间共用的用户信息的共用表现形式和可以实现对用户信息的通用访问的共用API为前提，通过用该共用表现形式和共用API分析被利用的信息，从服务器装置102抽出被请求利用的用户属性信息，可以提供能够灵活利用用户信息提供装置101内存储的用户信息的结构（framework）。
第二，地理位置API有难以控制以信息为单位的访问的问题。虽然非专利文献1在隐私政策中谈及应该询问用户可否以地理位置API为单位进行利用，但它是以API为单位，不是以信息为单位。即，在地理位置API中，恐怕不能针对经度和纬度分别单独地控制访问该信息。即，在地理位置API中，难以实现例如公开经度信息但不公开纬度信息之类的访问控制。针对这样的问题，根据本实施方式的用户信息提供装置101，通过以利用与服务器装置102间共用的用户信息的共用表现形式和可以实现对用户信息的通用访问API为前提，针对用户信息抽出部通过分析该共用表现形式和共用API的利用信息而抽出的用户属性信息，通过参照过滤器信息的可否利用信息，可以实现以信息为单位的灵活的访问的控制。
（实施方式2）
下面说明信息处理装置的实施方式2。另外，对与上述实施方式1相同的部分，使用相同的附图标记进行说明或者省略说明。
图6是举例示出根据本实施方式的包含用户信息提供装置101的信息处理系统的构成和用户信息提供装置101的功能的构成的图。用户信息提供装置101除了具有程序接收部201、程序执行部202、用户信息累积管理部203、用户信息抽出部204、过滤器信息累积管理部205和访问控制部206之外，还具有用户信息发送部207。在CPU执行程序时在RAM等的主存储部上生成用户信息发送部207。关于程序接收部201、程序执行部202和用户信息累积管理部203的各功能，由于与上述实施方式1相同，所以其说明省略。
用户信息抽出部204对从程序接收部201送来的用户信息利用程序进行分析，抽出执行该用户信息利用程序时被利用的用户属性信息，并且，判断是否请求向服务器装置102发送抽出的用户属性信息。通过判断在用户信息利用程序中是否记述了用共用API向服务器装置102发送以共用表现形式表现的用户属性信息，进行该判断。即，用户信息抽出部204根据要不要利用用来发送用户属性信息的共用API，判断要不要发送。图7是举例示出记述通过共用API进行用户属性信息的发送的用户信息利用程序的图。用户信息抽出部204基于这样的用户信息利用程序的记述，抽出请求在服务器装置102中利用的用户属性信息和要不要发送它，将其作为抽出结果送到访问控制部206。
过滤器信息累积管理部205与上述实施方式1同样地，针对每个用户属性信息存储过滤器信息，但在过滤器信息中与每个用户属性信息关联的可否利用信息与上述实施方式1不同。根据本实施方式的可否利用信息取许可利用用户属性信息和向服务器装置102发送用户属性信息的公开（public），许可用户属性信息的查询但不许可向服务器装置102发送的、用户信息提供装置101内的利用受限制的公开（以下称限制公开）（protected）、以及不许可利用用户属性信息（查询和发送）的非公开（private）这三个值。图8是举例示出根据本实施方式的过滤器信息的数据构成的图。像该图所示的那样，在本实施方式中，针对每个用户属性信息设定这三个值中的任一个作为可否利用信息。
在此，说明限制公开（protected）。限制公开与例如图3所例示的用户信息利用程序中的年龄信息和性别信息的利用方法相当。在图7所例示的用户信息利用程序中，通过共用API取得年龄信息和性别信息，但取得的年龄信息和性别信息仅仅在把在该用户信息利用程序内埋入的HTML文档等的内容作为显示对象的选择内容和显示方法的用途中使用。即，取得的用户属性信息即年龄信息和性别信息不对外部公开。换言之，用户属性信息不泄露到外部，保护隐私。通过这样的用户属性信息的限制公开，可以例如，对年龄不到10岁的儿童用户只用平假名显示HTML文档中的文字，或者对年龄70岁以上的高龄用户增大HTML文档中的文字的字体大小来显示。
访问控制部206用从用户信息抽出部204送来的抽出结果即用户属性信息和每个该用户属性信息要不要向服务器装置102发送、以及过滤器信息累积管理部205中存储的过滤器信息，决定是否可以执行程序接收部201接收到的用户信息利用程序。在请求向服务器装置102发送时且过滤器信息显示其利用或发送不被许可时，访问控制部206不把该用户信息利用程序送到程序执行部202，以拒绝用户信息利用程序对该用户属性信息的访问；在过滤器信息显示其询问和利用被许可时，访问控制部206把该用户信息利用程序送到程序执行部202，以许可用户信息利用程序对该用户属性信息的访问。在未请求向服务器装置102发送时且过滤器信息显示其询问和发送不被许可时，访问控制部206不把该用户信息利用程序送到程序执行部202，以拒绝用户信息利用程序对该用户属性信息的访问；在过滤器信息显示其询问被许可时，访问控制部206把该用户信息利用程序送到程序执行部202，以许可用户信息利用程序对该用户属性信息的访问。
与程序执行部202执行用户信息利用程序相应地，用户信息发送部207向服务器装置102发送用户属性信息。即，在用户信息利用程序中记述了通过共用API向服务器装置102发送用户属性信息时，用户信息发送部207向服务器装置102发送该用户属性信息。
下面，用图9说明根据本实施方式的用户信息提供装置101进行的用户信息提供处理的顺序。另外，在以下的说明中使用图2所示的用户信息、图7所示的用户信息利用程序和图8所例示的过滤器信息。步骤S1～S2与上述实施方式1相同。在步骤S3中，用户信息提供装置101利用用户信息抽出部204的功能，与上述实施方式1同样地，抽出用户属性信息，并且在本实施方式中判断是否请求向服务器装置102发送被抽出的用户属性信息。即，用户信息提供装置101判断在用户信息利用程序中是否记述了通过共用API向服务器装置102发送被抽出的用户属性信息。在图7的例子中，用户信息提供装置101基于是否调出程序码中的用来向服务器装置102发送的共用API的接口（第10行，第11行），判断要不要向服务器装置102发送用户属性信息。进而，用户信息提供装置101基于调出实际的发送接口（第13行～第15行），抽出请求在服务器装置102中被利用的用户属性信息和要不要发送它。其结果，用户信息提供装置101抽出：关于年龄信息请求发送，关于性别信息不请求发送。
接着，在步骤S4中，用户信息提供装置101判断是否要利用用户信息利用API。例如，可以是判断为，用户信息提供装置101基于上述的抽出结果，调出用户信息利用API，且仅在包含通过用户信息利用API进行用户属性信息的询问和发送的记述时利用；也可以是判断为即使在不包含进行用户属性信息的询问或发送的记述时，也仅调出用户信息利用API并利用。不管哪种情况下，在用户信息提供装置101判断为不利用用户信息利用API时（步骤S4：否），结束用户信息提供处理。
另一方面，在用户信息提供装置101判断为要利用用户信息利用API时（步骤S4：是），在步骤S5中，用在步骤S3中抽出的用户属性信息和要不要发送它，利用访问控制部206的功能，参照过滤器信息累积管理部205中存储的过滤器信息中与该用户属性信息关联的可否利用信息，判断可否利用该用户属性信息。虽然在图7的例子中，关于性别信息不请求发送，关于年龄信息请求发送它（第14行），但在图8例示的过滤器信息中，年龄信息和性别信息的各可否利用信息都被设定为限制公开（protected），即不许可发送。这样，对于在步骤S3中抽出的用户属性信息中的至少一个，在用户信息利用程序中要不要发送它与过滤器信息的可否利用信息有冲突时，用户信息提供装置101，不执行用户信息利用程序，以拒绝用户信息利用程序对这些用户属性信息的访问（步骤S5：否），结束处理。
另一方面，假如在图8中，针对年龄信息的可否利用信息被设定为公开（public）时，对于在步骤S3中抽出的全部用户属性信息，要不要发送它会与可否利用信息进行匹配。此时（步骤S5：是），用户信息提供装置101执行用户信息利用程序，以许可用户信息利用程序对该用户属性信息的访问，从用户信息累积管理部203读出该用户属性信息（在此是性别信息和年龄信息）（步骤S6）。然后，用户信息提供装置101针对请求发送的用户属性信息（在此是年龄信息）进行其发送（步骤S7），结束用户信息提供处理。
像以上那样，根据本实施方式，针对服务商的服务器装置的用户信息的利用请求，用户信息提供装置可以实现与公开范围相应的以用户属性信息为单位的访问控制。而且，在用户属性信息的公开范围内，服务商可以灵活地改变用户信息的利用方法，实现利用了被许可利用的公开的用户属性信息的对象广告、内容和商品的推荐服务。
例如，现有技术中提出的地理位置API，关于取得的当前位置信息，在涉及公开的利用方法中都没有规定，只是默许地认为向服务商的服务器装置发送当前位置信息。因此，可能会许可利用地理位置API，并且会许可包含向服务器装置发送当前位置信息的利用。例如，即使不把用户属性信息发送到服务器装置，也可以基于年龄信息、性别信息改变显示内容等，实现对用户有用的服务。但是，地理位置API规定了不向外部公开当前位置信息、只在限于保护隐私时许可利用之类的涉及公开的利用方法，基于该利用方法难以许可利用。另一方面，根据本实施方式的用户信息提供装置101，通过根据过滤器信息的可否利用信息许可或拒绝包含要不要向服务器装置102发送的利用，可以实现隐私的保护。
（实施方式3）
下面说明信息处理装置的实施方式3。另外，对与上述实施方式1或实施方式2相同的部分，使用相同的附图标记进行说明或者省略说明。
图10是举例示出根据本实施方式的包含用户信息提供装置101的信息处理系统的构成和用户信息提供装置101的功能性构成的图。根据本实施方式的用户信息提供装置101通过网络103与多个服务器装置102A～102B连接。另外，在不需要分别区分服务器装置102A～102B时，有时简称为服务器装置102。用户信息提供装置101除了具有程序接收部201、程序执行部202、用户信息累积管理部203、用户信息抽出部204、过滤器信息累积管理部205和访问控制部206之外，还具有程序认证部208。在CPU执行程序时在RAM等的主存储部上生成程序认证部208。关于程序执行部202和用户信息累积管理部203的各功能，由于与上述实施方式1相同，所以其说明省略。
程序接收部201，与上述实施方式1同样地，具有从服务器装置102接收用户信息利用程序的功能，但在该接收的前阶段具有与服务器装置102确立加密通信对话，进行加密通信的功能。加密通信是通过在发送数据时加密发送，在接收加密了的数据时把它解密来进行数据收发的通信方式。具体地，例如，程序接收部201具有HTTPS（在安装套接层之上的超文本传送协议，Hypertext Transfer Protocol over Secure Socket Layer）通信功能。而且，程序接收部201具有在与可以信赖的服务器装置进行加密通信时，通过网络103取得该服务器装置102的公开密钥证书等的服务器证书，存储到用户信息提供装置101内的功能。存储目的地是例如过滤器信息累积管理部205。另外，在服务器装置被安全认证，尽可能实现加密通信时，并不限于基于公开密钥证书进行的HTTPS通信。
过滤器信息累积管理部205对于每个服务器装置102存储实施方式2中说明过的过滤器信息。图11是举例示出根据本实施方式的过滤器信息的数据构成的图。像该图所示的那样，作为过滤器信息，把用户属性信息、其可否利用信息和用来识别服务器装置102的服务器识别信息相关联地存储。服务器识别信息是例如，在用户信息提供装置101内可唯一地识别服务器装置102地生成的本地唯一（local unique）的ID（例如，用数值、文字、记号表示）。在图11的例子中，图10所示的服务器装置102A～102B的符号与服务器识别信息对应。另外，过滤器信息累积管理部205以服务器识别信息为索引而存储与服务器装置102有关的服务器装置信息。服务器装置信息是证明服务器装置102的可靠性的信息，是与服务器装置102进行加密通信的认证时利用的服务器证书有关的认证信息、还有加密通信时利用的加密通信信息、与服务器装置102中的显示有关的显示信息、表示服务器装置102的名称的服务器装置名信息等。图12是举例示出服务器装置信息的图。像该图所示的那样，服务器装置信息包含服务器识别信息、表示服务器证书的口令的证书信息、服务器装置名（服务名称）信息。这样，通过存储证书信息等的服务器装置信息，用这些信息把用户属性信息的利用仅仅局限于信赖的服务器装置，或者可以在发送用户属性信息时进行加密。
程序认证部208判断发送了从程序接收部201接收到的用户信息利用程序的服务器装置102的服务器装置信息是否存储在过滤器信息累积管理部205中，根据其判断结果进行该用户信息利用程序的认证。具体地，在判断为存储该服务器装置信息时，把程序接收部201接收到的用户信息利用程序作为用户信息的利用被确认了的服务商的服务器装置发送的用户信息利用程序，认为该用户信息利用程序的认证成功，把该用户信息利用程序送到用户信息抽出部204。另一方面，在判断为未存储该服务器装置信息时，程序认证部208认为该用户信息利用程序的认证失败，不把该用户信息利用程序送到用户信息抽出部204，结束处理。
在用户信息利用程序的认证成功时，用户信息抽出部204对从程序认证部208送来的用户信息利用程序进行分析，抽出执行该用户信息利用程序时被利用的用户属性信息，并且判断是否请求向服务器装置102发送抽出的用户属性信息。由此，用户信息抽出部204抽出请求在服务器装置102中被利用的用户属性信息和要不要发送它。另外，在程序认证部208的认证结果是用户信息利用程序的认证失败时，用户信息抽出部204不进行处理。
访问控制部206在程序认证部208的认证结果是用户信息利用程序的认证成功时，用用户信息抽出部204抽出的用户属性信息、每个抽出的用户属性信息要不要向服务器装置102发送以及与该服务器装置102对应地在过滤器信息累积管理部205中存储的过滤器信息，决定是否可以执行程序接收部201接收到的用户信息利用程序。另外，在程序认证部208的认证结果是用户信息利用程序的认证失败时，访问控制部206不进行处理。
下面，用图13～图14说明根据本实施方式的用户信息提供装置101进行的用户信息提供处理的顺序。图13是示出接收用户信息利用程序的接收处理的顺序的流程图。图14是示出使用了接收的用户信息利用程序的用户信息提供处理的顺序的流程图。另外，在以下的说明中使用图2所示的用户信息、图7所示的用户信息利用程序、图11所例示的过滤器信息和图12所例示的服务器装置信息。首先，在图13的步骤S31中，用户信息提供装置101利用程序接收部201的功能，在伴随着执行用户信息利用程序接收HTML文档时，开始确立HTTPS通信。此时，用户信息提供装置101从服务器装置102接收服务器证书（步骤S32），把接收到的表示服务器证书的口令的证书信息、表示该服务器装置102的名称的服务器装置名称信息、和该服务器装置102的服务器识别信息相关联地存储到过滤器信息累积管理部205中（步骤S33）。然后，用户信息提供装置101，作为确立的HTTPS通信的响应，从服务器装置102接收用户信息利用程序（步骤S34）。这样，用户信息提供装置101通过在接收用户信息利用程序之前，取得服务器装置102的服务器证书，与服务器装置102之间构建利用HTTPS的安全的通信对话，可以与服务器装置102之间进行安全的通信。
图13的步骤S34与图14的步骤S1相当。在步骤S35中，用户信息提供装置101利用程序认证部208的功能，判断发送了在步骤S1中接收到的用户信息利用程序的服务器装置102的服务器装置信息是否存储在过滤器信息累积管理部205中。在该服务器装置信息存储在过滤器信息累积管理部205中时（步骤S35：是），该用户信息利用程序的认证成功，进入步骤S2；在该服务器装置信息未存储在过滤器信息累积管理部205中时（步骤S35：否），该用户信息利用程序的认证失败，结束用户提供处理。步骤S2～S4与上述实施方式2相同。
在步骤S5中，用户信息提供装置101用在步骤S3中抽出的用户属性信息和要不要发送它、以及与该服务器装置102对应地在过滤器信息累积管理部205中存储的过滤器信息，决定是否可以执行程序接收部201接收到的用户信息利用程序。例如，在图11的例子中，针对服务器识别信息为“102A”的服务器装置102A，把年龄信息和性别信息的各可否利用信息都设定为限制公开（protected），针对服务器识别信息为“102B”的服务器装置102B，把性别信息的的可否利用信息设定为限制公开（protected），把年龄信息的可否利用信息设定为公开（public）。此时，在步骤S1中发送用户信息利用程序的服务器装置是服务器装置102A时，在步骤S5中拒绝执行用户信息利用程序。另一方面，在步骤S1中发送用户信息利用程序的服务器装置是服务器装置102B时，在步骤S5中许可执行用户信息利用程序。此后的步骤S6～S7与上述实施方式2相同。
像以上那样，根据本实施方式，对于来自不同的多个服务器装置的用户信息的利用请求，用户信息提供装置可以针对每个服务器装置进行与公开范围相应的以用户属性信息为单位的访问控制。例如，可以实现针对某服务器装置关于用户属性信息中的某信息确认包含发送的利用，而针对其它服务器装置关于该信息确认查询但不确认发送之类的访问控制。这样，在本实施方式中，可以针对服务商提供的站点的每个区域（HTML文件树的每个分支）实现以用户属性信息为单位的访问控制。
（实施方式4）
下面说明信息处理装置的实施方式4。另外，对与上述实施方式1～实施方式3相同的部分，使用相同的附图标记进行说明或者省略说明。
根据本实施方式的包含用户信息提供装置101的信息处理系统的构成和用户信息提供装置101的功能性构成与上述实施方式3的说明中用图10示出的相同。本实施方式中，程序接收部201、过滤器信息累积管理部205和程序认证部208的各功能与实施方式3不同。
程序接收部201，在确立与服务器装置102加密通信对话，进行加密通信之后，与用户信息利用程序一起接收用来认证用户信息利用程序自身的签名信息。此时，在用户信息利用程序与签名信息一起以把多个文件归档了的形式进行发送时，程序接收部201在收到被归档的文件（称为归档文件）时，从该归档文件中分别抽出用户信息利用程序的文件和签名信息的文件。归档文件是例如对Java（注册商标）Script程序赋予了签名信息的JAR（Java（注册商标）Archive）文件。程序接收部201，例如，访问在浏览器显示的HTML文档中埋入的链接地址（例如http://102A.com/path/to/program.jar!/service1.js），接收归档文件（program.jar），从该文件抽出用户信息利用程序的文件（service1.js）和签名信息的文件。签名信息是例如表示与上述实施方式3中说明的服务器证书对应的电子签名的信息。另外，与上述实施方式3同样地，程序接收部201具有在与可以信赖的服务器装置进行加密通信时，通过网络103取得该服务器装置102的公开密钥证书等的服务器证书，存储到用户信息提供装置101内的功能。
过滤器信息累积管理部205对于服务器装置102提供的每个用户信息利用程序存储实施方式2中说明过的过滤器信息。图15是举例示出根据本实施方式的过滤器信息的数据构成的图。像该图所示的那样，作为过滤器信息，把用户属性信息、其可否利用信息和用来识别用户信息利用程序的程序识别信息相关联地存储。程序识别信息是例如，在用户信息提供装置101内可唯一地识别用户信息利用程序地生成的本地唯一的ID。另外，过滤器信息累积管理部205以程序识别信息为索引而存储与用户信息利用程序有关的程序关联信息。程序关联信息是上述实施方式3中说明的服务器识别信息、表示用户信息利用程序的保存场所的URL信息，用户信息利用程序的签名信息等。图16是举例示出本实施方式中的程序关联信息的图。像该图所示的那样，程序关联信息包含程序识别信息、服务器识别信息、URL信息和签名信息。服务器识别信息与上述实施方式3相同。另外，过滤器信息累积管理部205，与上述实施方式3同样地，存储图12例示的服务器装置信息。
程序认证部208在发送了从程序接收部201接收到的用户信息利用程序的服务器装置102的服务器证书存储在过滤器信息累积管理部205中时，用该服务器证书、和与该用户信息利用程序一起由程序接收部201接收的签名信息进行签名验证，根据签名验证的结果进行该用户信息利用程序的认证。具体地，程序认证部208在签名验证的结果为判断为是由信赖的服务器装置发送的用户信息利用程序时，认为该用户信息利用程序的认证成功；在判断为不是由信赖的服务器装置发送的用户信息利用程序时，认为该用户信息利用程序的认证失败。另外，在用户信息利用程序的认证成功时，程序认证部208把包含用户信息利用程序的程序识别信息、发送了该用户信息利用程序的服务器装置102的服务器识别信息、该用户信息利用程序的URL信息和签名信息的程序关联信息存储到过滤器信息累积管理部205中，把该用户信息利用程序送到用户信息抽出部204。在用户信息利用程序的认证失败时，程序认证部208结束处理。
下面，用图17、图14说明根据本实施方式的用户信息提供装置101进行的用户信息提供处理的顺序。图17是示出接收用户信息利用程序的接收处理的顺序的流程图。另外，在以下的说明中使用图2所示的用户信息、图7所示的用户信息利用程序、图15所例示的过滤器信息、图12所例示的服务器装置信息和图16所例示的程序关联信息。首先，图17的步骤S31～S33与上述实施方式3相同。在步骤S40中，用户信息提供装置101利用程序接收部201的功能，在接收到确立的HTTPS通信的响应时，发送请求用户信息利用程序的HTTPS请求（步骤S41）。然后，用户信息提供装置101作为HTTPS通信的响应，从服务器装置102接收对用户信息利用程序赋予了签名信息的归档文件（步骤S42）。然后，用户信息提供装置101从归档文件分别抽出用户信息利用程序的文件和签名信息的文件。
然后，用户信息提供装置101利用程序认证部208的功能，进行从归档文件抽出的用户信息利用程序的认证（步骤S43）。该认证成功时，用户信息提供装置101把包含该用户信息利用程序的程序识别信息、发送了该用户信息利用程序的服务器装置102的服务器识别信息、该用户信息利用程序的URL信息和签名信息的程序关联信息存储到过滤器信息累积管理部205中（步骤S44）。然后，用户信息提供装置101进行该用户信息利用程序的分析（步骤S45）。
图17的步骤S42与图14的步骤S1相当。图17的步骤S34～S44包含在图14的步骤S35中。在步骤S35中，用户提供装置101在发送了用户信息利用程序的服务器装置102的服务器证书存储在过滤器信息累积管理部205中时，用该服务器证书、和与该用户信息利用程序一起由程序接收部201接收的签名信息进行签名验证，根据签名验证的结果进行该用户信息利用程序的认证。在签名验证的结果为判断为是由信赖的服务器装置发送的用户信息利用程序时（步骤S35：是），该用户信息利用程序的认证成功。把包含用户信息利用程序的程序识别信息、发送了该用户信息利用程序的服务器装置102的服务器识别信息、该用户信息利用程序的URL信息和签名信息的程序关联信息存储到过滤器信息累积管理部205中。另一方面，在签名验证的结果为判断为不是由信赖的服务器装置发送的用户信息利用程序时（步骤S35：否），该用户信息利用程序的认证失败，结束用户信息提供处理。步骤S2～S4与上述实施方式2相同。
在步骤S5中，用户信息提供装置101用在步骤S3中抽出的用户属性信息和要不要发送它、以及与该服务器装置102对应地在过滤器信息累积管理部205中存储的过滤器信息，决定是否可以执行程序接收部201接收到的用户信息利用程序。例如，在图15的例子中，针对程序识别信息为“102A01”的用户信息利用程序，把年龄信息和性别信息的各可否利用信息都设定为限制公开（protected），针对程序识别信息为“102A02”的用户信息利用程序，把性别信息的的可否利用信息设定为限制公开（protected），把年龄信息的可否利用信息设定为公开（public）。此时，在步骤S1中接收到的用户信息利用程序的程序识别信息为“102A01”时，在步骤S5中拒绝执行用户信息利用程序。另一方面，在步骤S1中接收到的用户信息利用程序的程序识别信息为“102A02”时，在步骤S5中许可执行用户信息利用程序。此后的步骤S6～S7与上述实施方式2相同。
像以上那样，根据本实施方式，对于来自服务器装置的用户信息的利用请求，用户信息提供装置可以不仅针对每个服务器装置而且针对每个用户信息利用程序进行与公开范围相应的以用户属性信息为单位的访问控制。例如，即使是同一个服务器装置，也可以实现针对某用户信息利用程序关于用户属性信息中的某信息确认包含发送的利用，而针对其它用户信息利用程序关于该信息确认查询但不确认发送之类的访问控制。这样，在本实施方式中，可以针对每个用户信息利用程序（HTML文件树的每个分支）实现以用户属性信息为单位的访问控制。
（实施方式5）
下面说明信息处理装置的实施方式5。另外，对与上述实施方式1～实施方式4相同的部分，使用相同的附图标记进行说明或者省略说明。
图18是举例示出根据本实施方式的包含用户信息提供装置101的信息处理系统的构成和用户信息提供装置101的功能性构成的图。根据本实施方式的用户信息提供装置101除了具有程序接收部201、程序执行部202、用户信息累积管理部203、用户信息抽出部204、过滤器信息累积管理部205、访问控制部206、用户信息发送部207和程序认证部208之外，还具有信息控制接口部209、过滤器信息控制部210和用户信息控制部211。在CPU执行程序时在RAM等的主存储部上生成信息控制接口部209、过滤器信息控制部210和用户信息控制部211。程序接收部201、程序执行部202、用户信息累积管理部203、用户信息抽出部204、过滤器信息累积管理部205、访问控制部206、用户信息发送部207和程序认证部208，由于与上述实施方式4相同，所以其说明省略。
信息控制接口部209提供这样的接口，用户利用该接口对用户信息累积管理部203中存储的用户属性信息、过滤器信息累积管理部205中存储的过滤器信息进行阅览、编辑或删除，或者进行向用户信息累积管理部203注册用户属性信息、向过滤器信息累积管理部205注册过滤器信息。信息控制接口部209，例如，在显示部上显示图2例示的用户属性信息，提供用户进行操作输入用的接口，该操作输入改变兴趣信息、住所信息等的用户属性信息或者删除用户属性信息。然后，信息控制接口部209，根据用户通过操作输入部进行的操作输入，指示用户信息控制部211进行用户信息累积管理部203中的用户属性信息的注册、删除和变更。另外，信息控制接口部209，例如，在显示部上显示图11例示的过滤器信息，提供再次设定各用户属性信息的可否利用信息用的接口。然后，信息控制接口部209根据用户通过操作输入部进行的操作输入，指示过滤器信息控制部210进行过滤器信息累积管理部205中的过滤器信息的注册、删除和变更。
这样的信息控制接口部209，也可以是例如，作为设定菜单接口在显示部上显示，通过用户经由操作输入部进行操作输入而被起动，根据设定菜单接口的显示和操作输入的接收来实现。另外，信息控制接口部209也可以是，以程序接收部201接收用户信息利用程序的处理、抽出被利用的用户属性信息的处理为契机，以非同步方式起动。
另外，信息控制接口部209，例如，在程序接收部201接收的用户信息利用程序的认证失败了时，提供用户选择是否认证该用户信息利用程序的接口。与此相对应，用户在进行认证该用户信息利用程序的操作输入时，信息控制接口部209接收该操作输入，指示过滤器信息控制部210把该程序关联信息存储到过滤器信息累积管理部205中。进而，在访问控制部206不许可利用由用户信息抽出部204分析该用户信息利用程序而抽出的用户属性信息时，信息控制接口部209把抽出的用户属性信息的名单与被服务器装置102请求的用户属性信息的利用方法一起显示在显示部上，提供用户判断是否许可利用用户属性信息的接口。与此相对，用户在进行许可其利用的操作输入时，针对过滤器信息累积管理部205中存储的该过滤器信息，指示过滤器信息控制部210进行该用户属性信息的可否利用信息的变更。
过滤器信息控制部210基于来自信息控制接口部209的指示，进行过滤器信息累积管理部205中的过滤器信息的注册、删除和变更，或者把服务器装置信息存储到过滤器信息累积管理部205中。用户信息控制部211基于来自信息控制接口部209的指示，进行用户信息累积管理部203中存储的用户属性信息的注册、删除和变更。
下面，用图19说明根据本实施方式的用户信息提供装置101进行的用户信息提供处理的顺序。另外，在以下的说明中使用图2所示的用户信息、图7所示的用户信息利用程序、图15所例示的过滤器信息。步骤S1与上述实施方式3相同，与图17的步骤S31～S33、S40～S42相当。步骤S35与上述实施方式4相同。在步骤S35中认证失败时（步骤S35：否），用户信息提供装置101利用信息控制接口部209的功能，提供用户选择是否认证该用户信息利用程序的接口（步骤S51）。它用例如浏览器上的弹出窗口那样的形式实现。例如，用户信息提供装置101在显示部上显示“***服务的用户信息利用程序‘102A01’请求用户信息的利用许可。要认证该用户信息利用程序吗？”等之类的消息（message）。对于这样的消息，在用户经由操作输入部进行不认证该用户信息利用程序的操作输入时（步骤S51：否），结束处理。在用户通过操作输入部进行了认证该用户信息利用程序的操作输入时（步骤S51：是），用户信息提供装置101接收该操作输入，把包含该用户信息利用程序的程序识别信息、发送了该用户信息利用程序的服务器装置102的服务器识别信息、该用户信息利用程序的URL信息和签名信息的程序关联信息存储到过滤器信息累积管理部205中（步骤S52）。
步骤S2～S7与上述实施方式4相同。另外，在步骤S5中，用户信息提供装置101在过滤器信息累积管理部205中未存储针对在步骤S1中接收的用户信息利用程序的过滤器信息时，即，针对用户信息利用程序未设定每个用户属性信息的可否利用信息时（步骤S5：否），利用信息控制接口部209的功能，把在步骤S3中抽出的用户属性信息的名单与被服务器装置102请求的用户属性信息的利用方法一起显示在显示部上。即，由于用户属性信息的利用方法与在上述可否利用信息中设定的公开（public）、限制公开（protected）对应，所以用户信息提供装置101在显示部上显示与它们一致的消息。具体地，例如，是“程序请求不对服务器装置公开的（保护隐私）范围内的‘性别信息’的利用和对服务器装置公开的（由于服务器上的信息选择的原因只是暂时利用，所以不被保存或盗用）范围内的‘年龄信息’的利用。要许可吗？”等的消息。用户信息提供装置101，与这样的消息一起，在显示部上显示判断是否许可利用用户属性信息的接口（步骤S53）。它也用例如浏览器上的弹出窗口那样的形式实现。作为接口，可以是针对每个被抽出的用户属性信息判断是否许可利用的接口，也可以是针对全部的用户属性信息一并判断利用许可的接口。在这样的接口中，用户进行了许可利用用户属性信息的操作输入时（步骤S53：是），用户信息提供装置101接收该操作输入，利用过滤器信息控制部210的功能，把被许可利用的用户属性信息的过滤器信息存储到过滤器信息累积管理部205中（步骤S54）。此时，用户信息提供装置101把该用户属性信息的可否利用设定信息设定成与服务器装置102请求的利用方法对应的值。例如，在上述的例子中，用户信息提供装置101把性别信息的可否利用信息设定成限制公开、把年龄信息的可否利用信息设定成公开。另一方面，用户进行了拒绝利用用户属性信息的操作输入时（步骤S53：否），用户信息提供装置101结束用户信息提供处理。
像以上那样，根据本实施方式，可以通过用户接口，灵活地变更针对服务商的服务器装置的用户信息的利用要求的、与公开范围相应的以用户属性信息为单位的访问控制的方法。另外，用户可以确认用户信息利用程序接收的程度、用户属性信息可否利用，或者详细设定可否利用。由此，用户可以确认来自可信任的服务器装置的用户属性信息的利用情况的程度，可以安全地享受利用了用户属性信息的服务的提供。
（变形例）
另外，本发明不限于上述实施方式，在实施阶段可以在不脱离其主要发明构思的范围内使构成要素变形来实施。另外，可以利用上述实施方式中示出的多个构成要素的适当组合来形成各种发明。例如，也可以从实施方式中示出的全部构成要素删除几个构成要素。而且，也可以把分布在不同实施方式中的构成要素适当组合。另外，可以做出像以下例示的那样的各种变形。
在上述的各实施方式中，也可以构成为，将由用户信息提供装置101执行的各种程序保存到与互联网等的网络连接的计算机上，通过经由网络下载而提供。另外，也可以把该各种程序以可安装的形式或可执行的形式的文件记录到CD‑ROM、软盘（FD）、CD‑R、DVD等的能够用计算机读取的记录媒体上，作为计算机程序产品而提供。
在上述的各实施方式中，用户信息利用程序，只要可以通过分析程序码在逻辑上抽出要利用的用户信息，就不限于上述例子，任何记述语言都可以，例如，也可以是埋入BML文档的ECMAScript程序。
在上述的各实施方式中，在网络103是互联网或NGN时，希望用户信息提供装置101的程序接收部201由在TCP（Transfer ControlProtocol,传输控制协议）上安装的HTTP（Hypertext Transfer Protocol）客户、在UDP（User Datagram Protocol,用户数据报协议）上安装的RTP（Real‑time Transport Protocol,实时交通协议）客户或者FLUTE（File Delivery over unidirectional Transport）客户构成，但只要能从服务器装置102接收用户信息利用程序，则任何通信协议都可以。在网络103是地面波数字广播网时，程序接收部201具有例如接收数据广播的功能，接收利用数据广播传送的用户信息利用程序。
另外，程序执行部202也可以不具有分析并执行HTML渲染器和Java（注册商标）Script的功能，而具有分析并执行例如BML渲染器和ECMAScript的功能。
在上述的各实施方式中，用户信息累积管理部203和过滤器信息累积管理部205不限于上述例子，也可以是关系数据库。另外，它不是必须要用单一的数据库管理系统构建，也可以并用例如SQLite3、Oracle、MySQL等多个数字库管理系统。另外，可以在一个物理的存储部上构建，也可以是由NAS（Network Attached Storage，网络附属存储器）、SAN（Storage Area Network，存储区域网络）等的多个物理的辅助存储部构成的数据库管理系统。图20是举例示出由表示用户属性名和用户属性值的组的Key/Value存储器存储的用户信息的构成的图。图21是举例示出由关系数据库管理系统管理的阶层性的用户信息的构成的图。另外，用户信息累积管理部203和过滤器信息累积管理部205也可以不是数据库管理系统，只要具有可以取得在各累积管理部中分别存储的数据即单位信息（entry）的单元，也可以由简单的CSV形式等的文件群、Key/Value存储器构成。另外，用户信息累积管理部203，不是必须要在辅助存储部的非易失区域上存储用户信息，也可以构成为存储到主存储部的存储器上。关于过滤器信息累积管理部205中存储的过滤器信息也是一样。
在上述的各实施方式中，作为用户信息的共用记述形式和用来访问用户信息的共用API，不限于上述例子。例如，也可以是共用记述形式作为Java（注册商标）Script的阶层性的目标来表现。另外，用来访问用户信息的共用API也可以利用XQuery、SQL（Structured Query Language，结构化查询语言）。
在上述的实施方式2中，用户信息利用程序中有关向服务器装置102发送用户属性信息的记述，不是必须要通过共用API。例如，也可以使用作为用来在互联网浏览器与服务器装置102之间非同步地收发数据的标准技术的AJAX（异步Java（注册商标）Script和XML）的XMLHTTPRequest。在记述了把用户信息抽出部204分析用户信息利用程序并作为被利用的用户属性信息抽出的用户属性信息通过XMLHTTPRequest等一般的API向服务器装置102发送时，判断通过共用API取得的用户属性信息是否被设定为XMLHTTPRequest的发送数据。图22是举例示出记述了通过通用API（XMLHTTP Request）进行用户属性信息的发送的用户信息利用程序的图。
在上述的实施方式3中，服务器识别信息只要是能够确定作为判断用户属性信息可否利用的对象的服务器装置102的信息，就不限于上述例子。例如，服务器识别信息也可以是服务器装置102的URL（Uniform Resource Locator）、IP地址、服务器证书数据等。
在上述的实施方式3和实施方式4中，进行用户信息利用程序的认证的步骤S35的处理紧接在步骤S31之后进行，但不限于此，也可以在步骤S34的判断结果为肯定时进行。即，也可以是用户信息提供装置101分析用户信息利用程序，在判断为要利用用户信息利用API即要利用用户信息时，进行该用户信息利用程序的认证。另外，进行用户信息利用程序的认证的方法不限于上述例子。
在上述的实施方式4中，程序识别信息只要是能够以用户信息利用程序为单位确定判断用户属性信息可否利用的对象的信息，就不限于上述例子。例如，程序识别信息也可以构成为，由在实施方式3中说明过的服务器识别信息和来自服务器装置102的URL的相对口令信息唯一地确定用户信息利用程序；或者由唯一地确定用户信息利用程序的绝对口令来确定。
在上述的实施方式4中，如果用户属性信息的利用方法是相对于限制公开（protected）而言的，即，如果向服务器装置102发送用户属性信息，则服务器装置102也可以不利用HTTPS通信，可以利用用户属性信息。即，图23是示出根据本变形例的接收处理的顺序的流程图。在步骤S40a中，用户信息提供装置101利用程序接收部201的功能，开始确立HTTPS通信，从服务器装置102接收服务器证书。然后，用户信息提供装置101把接收到的表示服务器证书的口令的证书信息、表示该服务器装置102的名称的服务器装置名称信息、与该服务器装置102的服务器识别信息相关联，存储到过滤器信息累积管理部205中（步骤S33）。然后，用户信息提供装置101，作为确立的HTTPS通信的响应，以纯文本（plain text）从服务器装置102接收对用户信息利用程序赋予了签名信息的归档文件（步骤S41a）。步骤S43～S45与上述实施方式4相同。
如果采用这样的构成，即使不进行加密通信，也可以在保证用户隐私的前提下利用服务器装置102中的用户属性信息，可以减轻进行加密通信造成的处理负担。
在上述的实施方式3中，可否利用信息构成为取公开（public）、限制公开和非公开（private）这三个值，但不限于此，也可以取各种各样的设定值。在这样的构成中，在上述的实施方式5中，利用访问控制部206的功能，在不许可利用用户属性信息时提供由用户判断是否许可利用用户属性信息的接口。但是，在这样的情况下也可以是，不提供由用户判断的接口，在可否利用信息中可以设定是拒绝其利用的完全不公开的设定值。例如，关于用户属性信息中的可以确定个人的信息（姓名、详细住址（图2中的“address4”、“address5”等）），在可否利用信息中设定为完全不公开。另外，也可以通过信息控制接口部209利用用户的操作输入进行这样的设定。而且，也可以是，用户信息提供装置101利用信息控制接口部209的功能，针对特定的服务器装置或特定的用户信息利用程序，每次执行用户信息利用程序时，在显示部上显示许可其利用的用户属性信息的名单（称为许可用户属性信息名单）。另外，也可以是，用户信息提供装置101利用信息控制接口部209的功能，提供用于设定是否只要是暂时设定的可否利用信息的范畴就不在显示部上显示许可用户属性信息名单的接口。
在上述的实施方式5中，信息控制接口部209提供的接口不限于上述例子。例如，也可以是，在程序接收部201接收到用户信息利用程序时，在发送了该用户信息利用程序的服务器装置102的服务器装置信息尚未存储到过滤器信息累积管理部205上时，信息控制接口部209在显示部上显示“***服务请求用户信息的利用许可。要下载证书并许可访问吗？”等之类的消息。然后，与该消息对应地，在用户进行了许可该服务器装置102的访问的操作输入时，信息控制接口部209接收该操作输入，把图12例示的服务器装置信息通过过滤器信息控制部210存储到过滤器信息累积管理部205中。
在上述的各实施方式中，也可以是用户信息提供装置101通过多个网络与服务器装置102连接的构成。图24是举例示出根据本变形例的包含用户信息提供装置101的信息处理系统的构成和用户信息提供装置101的功能的构成的图。用户信息提供装置101的功能的构成与上述实施方式4大致相同。在该图所示的信息处理系统中，用户信息提供装置101通过网络103A与服务器装置102A～102B连接起来，用户信息提供装置101B通过网络103B与服务器装置102C～102D连接起来。网络103A、103B与上述网络103相同，可以是相同的网络形态，也可以是各不相同的网络形态。例如，也可以是，网络103A是互联网，网络103B是NGN地面波电视广播网。网络103B是地面波电视广播网时，用户信息利用程序成为具体地说，埋入数据广播的BML内容的ECMAScript。服务器装置102C～102D与上述服务器装置102相同。在这样的构成中，用户信息提供装置101的程序接收部201和用户信息发送部207通过网络103A～103B进行通信。
在这样地用户信息提供装置101与多个网络103A～103B连接时，也可以把用来区别多个网络的网络识别信息、与每个服务器装置的服务有关的服务信息、程序关联信息相关联并存储起来。存储地址是例如过滤器信息累积管理部205。这是因为考虑到对于每个网络，服务器识别信息、程序识别信息的体系不同。例如，作为网络103A与互联网连接的服务器装置102A～102B，用表示是互联网的网络种类信息与URL的对分别识别。另外，作为地面波电视广播网而与网络103B连接的服务器装置102C～102D，用表示是地面波广播的网络种类信息和可以从MPEG‑2数据流中包含的SI（Service Information，服务信息）信息取得的网络ID和广播信息等识别各广播站。
如果采用以上那样的构成，在与多个网络连接的环境下也能够实现与公开范围相应的以用户属性信息为单位的访问控制。
在上述的实施方式1中，步骤S2、S3、S4、S5的顺序并不限于图5中例示的顺序，例如，也可以是像图25例示的那样，S2、S4、S3、S5的顺序。即，在图5中例示了一并进行分析用户信息利用程序的处理的情况，但也可以像图25的例子那样，分别统一进行要不要使用API的抽出和判断、要访问的用户属性信息的可否抽出和利用的判断。在实施方式2～实施方式5、各变形例中也是一样。