WO2020213678A1

WO2020213678A1 - 制御方法、サーバ、及び、データ構造

Info

Publication number: WO2020213678A1
Application number: PCT/JP2020/016705
Authority: WO
Inventors: 勇二海上; 淳児道山; 添田　純一郎; 雄揮廣瀬; 哲司渕上; 大森　基司
Original assignee: パナソニックインテレクチュアルプロパティコーポレーションオブアメリカ
Priority date: 2019-04-16
Filing date: 2020-04-16
Publication date: 2020-10-22
Also published as: US11809413B2; JPWO2020213678A1; US20240037093A1; CN113785316A; US20220027357A1

Abstract

本開示の制御方法は、第１契約の締結者の１人である第１ユーザにより操作された端末（４０）から、第１契約に対応する第１スマートコントラクトと、第１ユーザに紐づけられる第１電子署名とを含む第１トランザクションデータを受信し（Ｓ１０３）、他の複数のサーバとともに、コンセンサスアルゴリズムを実行して（Ｓ１０７）、第１トランザクションデータを含むブロックを分散台帳に記録する。第１スマートコントラクトには、第１契約の内容と、第１契約を主契約とした副契約である第２契約であって新たに締結される予定の第２契約に対応する第２スマートコントラクトを特定するために用いられる仮に決められた変数と、第２スマートコントラクトが作成される条件とが含まれている。

Description

制御方法、サーバ、及び、データ構造

　本開示は、制御方法、サーバ、及び、データ構造に関する。

　ブロックチェーン上で契約をプログラム化する仕組みとして、スマートコントラクト技術が知られている。スマートコントラクトは、ブロックチェーン等のブロックに含まれて当該ブロックが分散台帳に記録されることで実行可能になる。このため、スマートコントラクトを用いることで、所定の条件を満たせば契約の条件確認または履行までといった契約行動を、契約を改ざんされずに、自動的に実行させることができる。

　例えば特許文献１には、スマートコントラクトを用いることで、分散台帳システムにおいて管理者が複数存在する状況下でも、ノード間でポリシーまたはタイミングを揃えた運用管理を可能とする仕組みについて開示されている。

国際公開第２０１９／０２１７９２号

　しかしながら、ある契約に対応するスマートコントラクトが稼働された後、当該契約に規定する別途協議が発生して新たな条項が締結されても、当該スマートコントラクトは確定している。つまり、当該スマートコントラクトに新たな条項の契約行動に関する記述を追加することができない。このため、別途協議が将来発生する可能性のある契約に対応するスマートコントラクトの利用が抑制され、契約行動の自動化によるメリットすなわち不正防止、並びに、仲介者を介さないことによる時間コスト及びエネルギーコスト削減を図るのが難しくなる可能性がある。

　本開示は、上述の事情を鑑みてなされたもので、分散台帳を用いて、時間コストとエネルギーコストとをより低減することができる制御方法などを提供する。

　上記目的を達成するために、本開示の一形態に係る制御方法は、ユーザにより操作される端末と、それぞれ、分散台帳を管理し、かつ、前記分散台帳を利用してスマートコントラクトを管理する複数のサーバとを備えるシステムにおける、前記複数のサーバのうちの第１サーバによって実行される制御方法であって、第１契約の締結者の１人である第１ユーザにより操作された第１端末から、前記第１契約に対応する第１スマートコントラクトであって、前記分散台帳を利用して前記第１契約の契約行動が実行可能にプログラム化された第１スマートコントラクトと、前記第１ユーザに紐づけられる第１電子署名とを含む第１トランザクションデータを受信し、前記第１トランザクションデータを含むブロックを前記分散台帳に記録し、前記第１スマートコントラクトには、前記第１契約の内容と、前記第１契約を主契約とした副契約である第２契約であって新たに締結される予定の第２契約に対応する第２スマートコントラクトを特定するために用いられる仮に決められた変数と、前記第２スマートコントラクトが作成される条件とが含まれている。

　なお、これらの全般的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータで読み取り可能なＣＤ－ＲＯＭなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび記録媒体の任意な組み合わせで実現されてもよい。

　本開示の制御方法等によれば、分散台帳を用いて、時間コストとエネルギーコストとをより低減することができる。

図１は、実施の形態における制御システムの構成を模式的に示すブロック図である。図２は、実施の形態におけるサーバの構成を模式的に示すブロック図である。図３は、ブロックチェーンのデータ構造を示す説明図である。図４は、トランザクションデータのデータ構造を示す説明図である。図５は、実施の形態における第１スマートコントラクトが稼働するまでの処理を説明するためのシーケンス図である。図６は、実施の形態における第１スマートコントラクトの内容を概念的に示す図である。図７は、実施の形態における第２スマートコントラクトが稼働するまでの処理を説明するためのシーケンス図である。図８は、実施の形態における第２スマートコントラクトの内容を概念的に示す図である。図９は、実施の形態における第３スマートコントラクトが稼働するまでの処理を説明するためのシーケンス図である。図１０は、実施の形態における第３スマートコントラクトの内容を概念的に示す図である。図１１Ａは、実施の形態の変形例１における第２スマートコントラクトが稼働するまでの処理を説明するためのシーケンス図である。図１１Ｂは、実施の形態の変形例１における第２スマートコントラクトが稼働するまでの処理を説明するためのシーケンス図である。図１２Ａは、実施の形態の変形例２における第２スマートコントラクトが稼働するまでの処理を説明するためのシーケンス図である。図１２Ｂは、実施の形態の変形例２における第２スマートコントラクトが稼働するまでの処理を説明するためのシーケンス図である。図１３Ａは、実施の形態の変形例３における第２スマートコントラクトが稼働するまでの処理を説明するためのシーケンス図である。図１３Ｂは、実施の形態の変形例３における第２スマートコントラクトが稼働するまでの処理を説明するためのシーケンス図である。図１４は、実施の形態の変形例４における第３スマートコントラクトが稼働するまでの処理を説明するためのシーケンス図である。

　本開示の一形態に係る制御方法は、ユーザにより操作される端末と、それぞれ、分散台帳を管理し、かつ、前記分散台帳を利用してスマートコントラクトを管理する複数のサーバとを備えるシステムにおける、前記複数のサーバのうちの第１サーバによって実行される制御方法であって、第１契約の締結者の１人である第１ユーザにより操作された第１端末から、前記第１契約に対応する第１スマートコントラクトであって、前記分散台帳を利用して前記第１契約の契約行動が実行可能にプログラム化された第１スマートコントラクトと、前記第１ユーザに紐づけられる第１電子署名とを含む第１トランザクションデータを受信し、前記第１トランザクションデータを含むブロックを前記分散台帳に記録し、前記第１スマートコントラクトには、前記第１契約の内容と、前記第１契約を主契約とした副契約である第２契約であって新たに締結される予定の第２契約に対応する第２スマートコントラクトを特定するために用いられる仮に決められた変数と、前記第２スマートコントラクトが作成される条件とが含まれている。

　これによれば、分散台帳を用いて、時間コストとエネルギーコストとをより低減することができる制御方法などを実現することができる。

　より具体的には、別途協議が将来発生する可能性のある第１契約に対応する第１スマートコントラクトに、第１契約に規定される別途協議により締結され得る第２契約に対応する第２スマートコントラクトのコントラクトアドレスの代替としての変数を含める。このようにして、将来発生する可能性のある別途協議を第１スマートコントラクトで表現できる。よって、別途協議が将来発生する可能性のある契約に対応するスマートコントラクトの利用が促進され、契約行動の自動化によるメリットすなわち不正防止、並びに、仲介者を介さないことによる時間コスト及びエネルギーコストの削減を図ることができる。

　ここで、例えば、前記第１トランザクションデータを含むブロックを前記分散台帳に記録する際、前記複数のサーバのうちの前記第１サーバを除く複数の第２サーバとともに、前記第１トランザクションデータの正当性について合意するための第１コンセンサスアルゴリズムを実行し、前記第１コンセンサスアルゴリズムによって前記第１トランザクションデータの正当性について合意された場合、前記第１トランザクションデータを含むブロックを前記分散台帳に記録する。

　また、例えば、前記制御方法は、前記第１端末から、前記第２契約に対応する前記第２スマートコントラクトであって、前記分散台帳を利用して前記第２契約の契約行動が実行可能にプログラム化された前記第２スマートコントラクトと、前記第１ユーザに紐づけられる第２電子署名とを含む第２トランザクションデータを受信し、前記第２トランザクションデータを含むブロックを前記分散台帳に記録し、前記第２スマートコントラクトには、前記第２契約の内容と、前記第２スマートコントラクトの紐づき先を示す情報としての前記第１スマートコントラクトの第１コントラクトアドレスとが少なくとも含まれている。

　また、例えば、前記第２トランザクションデータを含むブロックを前記分散台帳に記録する際、前記複数のサーバのうちの前記第１サーバを除く複数の第２サーバとともに、前記第２トランザクションデータの正当性について合意するための第２コンセンサスアルゴリズムを実行し、前記第２コンセンサスアルゴリズムによって前記第２トランザクションデータの正当性について合意された場合、前記第２トランザクションデータを含むブロックを前記分散台帳に記録する。

　また、例えば、前記制御方法は、さらに、前記第２トランザクションデータを受信した場合、前記第１コントラクトアドレスを参照して前記第１スマートコントラクトに含まれる前記条件を特定し、第２トランザクションデータを受信した場合で、さらに、前記条件を満たすとき、前記第２コンセンサスアルゴリズムを実行する。

　また、例えば、前記第２スマートコントラクトには、前記第２契約の内容と、前記第１コントラクトアドレスとに加えて、前記変数が含まれている。

　また、前記制御方法は、さらに、前記第２トランザクションデータを含むブロックが前記分散台帳に記録された場合、前記第２トランザクションデータに含まれる前記第１コントラクトアドレスを参照して、前記第１スマートコントラクトを特定し、特定した前記第１スマートコントラクトから、前記第１契約の内容と、前記変数と、前記条件とを取得して、前記第１契約の内容と、前記条件と、前記変数に代えて前記第２トランザクションデータの第２コントラクトアドレスとを含む第３スマートコントラクトであって前記第１契約に対応する第３スマートコントラクトを作成し、作成した前記第３スマートコントラクトと、前記第１サーバに紐づけられる第３電子署名とを含む第３トランザクションデータを生成し、前記第３トランザクションデータを含むブロックを前記分散台帳に記録する。

　また、前記第３トランザクションデータを含むブロックを前記分散台帳に記録する際、前記複数のサーバのうちの前記第１サーバを除く複数の第２サーバとともに、前記第３トランザクションデータの正当性について合意するための第３コンセンサスアルゴリズムを実行し、前記第３コンセンサスアルゴリズムによって前記第３トランザクションデータの正当性について合意された場合、前記第３トランザクションデータを含むブロックを前記分散台帳に記録する。

　また、前記制御方法は、さらに、前記第１サーバのワーキングメモリに、前記第１契約に対する最新のスマートコントラクトが前記第３スマートコントラクトである旨を示す情報を保持させる。

　また、本開示の一形態に係るサーバは、ユーザにより操作される端末と、それぞれ、分散台帳を管理し、かつ、前記分散台帳を利用してスマートコントラクトを管理する複数のサーバとを備えるシステムにおける、前記複数のサーバのうちの一つのサーバであって、プロセッサと、前記プロセッサに処理を実行させるプログラムが記憶されたメモリと、スマートコントラクトが格納された前記分散台帳が記憶されている記憶装置と、を備え、前記プロセッサは、第１契約の締結者の１人である第１ユーザにより操作された第１端末から、前記第１契約に対応する第１スマートコントラクトであって、前記分散台帳を利用して前記第１契約の契約行動が実行可能にプログラム化された第１スマートコントラクトと、前記第１ユーザに紐づけられる第１電子署名とを含む第１トランザクションデータを受信し、前記プロセッサは、前記第１トランザクションデータを含むブロックを前記分散台帳に記録し、前記第１スマートコントラクトには、前記第１契約の内容と、前記第１契約を主契約とした副契約である第２契約であって新たに締結される予定の第２契約に対応する第２スマートコントラクトを特定するために用いられる仮に決められた変数と、前記第２スマートコントラクトが作成される条件とが含まれている。

　以下、図面を参照しながら、実施の形態について説明する。なお、以下で説明する実施の形態は、いずれも本開示の好ましい一具体例を示す。つまり、以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置及び接続形態、ステップ、ステップの順序などは、一例であり、本開示を限定する主旨ではない。本開示は、請求の範囲の記載に基づいて特定される。したがって、以下の実施の形態における構成要素のうち、本開示の最上位概念を示す独立請求項に記載されていない構成要素は、本開示の課題を達成するために必ずしも必要ではないが、より好ましい形態を構成する構成要素として説明される。

　（実施の形態）
　以下では、図面を参照しながら、実施の形態における制御システム１について説明する。

　［制御システム１の構成］
　本開示の制御システム１は、分散台帳に格納される第１契約に対応するスマートコントラクトに、当該第１契約に規定される別途協議が将来発生しても対応できる仕組みを含めることができる。これにより、別途協議が将来発生する可能性のある第１契約に対応するスマートコントラクトの利用を促進させることができる。

　図１は、本実施の形態における制御システム１の構成を模式的に示すブロック図である。

　制御システム１は、図１に示されるように、サーバ１０Ａ、１０Ｂ及び１０Ｃと、ユーザにより操作される端末４０及び４１とを備える。これらはネットワークＮを介して通信可能に接続されている。ネットワークＮは、どのような通信回線またはネットワークから構成されてもよく、例えば、インターネット、携帯電話のキャリアネットワークなどを含む。サーバ１０Ａ、１０Ｂ及び１０Ｃを「サーバ１０Ａ等」ともいい、端末４０及び４１を「端末４０等」ともいう。なお、図１では、制御システム１が、３つサーバと２つの端末とを備える場合の例が示されているが、これに限らない。すなわち、制御システム１は、４つ以上のサーバを備えてもよいし、３つ以上の端末を備えていてもよい。

　［端末４０等］
　端末４０及び４１はそれぞれ独立に動作し、それぞれのユーザにより操作される。

　端末４０は、第１ユーザにより操作される端末である。本実施の形態では、端末４０は、別途協議が将来発生する可能性のある契約である第１契約の締結者の１人である第１ユーザにより操作される第１端末である。端末４０は、例えばパーソナルコンピュータ、スマートフォン、タブレットなどである。図１に示す例では、端末４０は、サーバ１０Ａ等とネットワークＮを介して通信可能な端末であって、第１ユーザであるＡさんが使用して操作する端末である。

　また、端末４０は、ユーザの操作に従って、スマートコントラクトを作成する。端末４０は、スマートコントラクトを作成すると、作成したスマートコントラクトを含めたトランザクションデータを生成して、生成したトランザクションデータをサーバ１０Ａ等に送信する。

　例えば、端末４０は、第１ユーザであるＡさんの操作により、第１契約に対応する第１スマートコントラクトであって、分散台帳を利用することで第１契約の契約行動が実行可能にプログラム化された第１スマートコントラクトを作成する。ここで、作成される第１スマートコントラクトには、第１契約の内容と、第１契約を主契約とした副契約である第２契約であって新たに締結される予定の第２契約に対応する第２スマートコントラクトを特定するために用いられる仮に決められた変数と、第２スマートコントラクトが作成される条件とが含まれている。ここで、第２契約は、第１契約に定められる別途協議を行うことで締結された第１契約を主契約とした副契約である。

　さらに、端末４０は、第１ユーザであるＡさんの電子署名の入力と、トランザクションデータを生成する旨の指示を受け付けると、Ａさんの電子署名と作成した第１スマートコントラクトを含む第１トランザクションデータを生成する。換言すると、端末４０は、作成した第１スマートコントラクトと、第１ユーザに紐づけられる第１電子署名とを含む第１トランザクションデータを生成する。そして、端末４０は、生成した第１トランザクションデータをサーバ１０Ａ等に送信する。

　また、例えば、端末４０は、Ａさんの操作により、別途協議により締結された第２契約に対応する第２スマートコントラクトであって、分散台帳を利用して第２契約の契約行動が実行可能にプログラム化された第２スマートコントラクトを作成する。ここで、作成される第２スマートコントラクトには、第２契約の内容と、第２スマートコントラクトの紐づき先を示す情報としての第１スマートコントラクトの第１コントラクトアドレスとが少なくとも含まれている。なお、第２スマートコントラクトには、第２契約の内容と、第１コントラクトアドレスとに加えて、上記の変数が含まれていてもよい。

　さらに、端末４０は、第１ユーザであるＡさんの電子署名の入力と、トランザクションデータを生成する旨の指示を受け付けると、Ａさんの電子署名と作成した第２スマートコントラクトを含む第２トランザクションデータを生成する。換言すると、端末４０は、作成した第２スマートコントラクトと、第１ユーザに紐づけられる第２電子署名とを含む第１トランザクションデータを生成する。そして、端末４０は、生成した第２トランザクションデータをサーバ１０Ａ等に送信する。なお、第１電子署名と第２電子署名は、第１ユーザに紐づけられていれば、同一でも異なっていてもよい。

　端末４１は、第２ユーザにより操作される端末である。本実施の形態では、第１契約の締結者の１人であり、第１ユーザと別途協議を行う第２ユーザにより操作される第２端末である。端末４１は、例えばパーソナルコンピュータ、スマートフォン、タブレットなどである。図１に示す例では、端末４１は、サーバ１０Ａ等とネットワークＮを介して通信可能な端末であって、第２ユーザであるＢさんが使用して操作する端末である。

　［サーバ１０Ａ等］
　複数のサーバ１０Ａ、１０Ｂ及び１０Ｃはそれぞれ、分散台帳を管理し、かつ、分散台帳を利用してスマートコントラクトを管理する。

　サーバ１０Ａ、１０Ｂ、１０Ｃはそれぞれ、ネットワークＮを介して通信可能に接続され、独立に動作する。サーバ１０Ａ、１０Ｂ、１０Ｃは、同様の構成であるため、以下では、サーバ１０Ａを例に挙げて説明する。なお、他のサーバ（サーバ１０Ｂまたは１０Ｃ）が上記の処理を行ってもよい。

　図２は、本実施の形態におけるサーバ１０Ａの構成を模式的に示すブロック図である。

　サーバ１０Ａは、第１サーバの一例である。本実施の形態では、サーバ１０Ａは、図２に示すように、処理部１１と、台帳管理部１２と、制御部１３と、ワーキングメモリ１７とを備える。サーバ１０Ａが備えるこれらの機能部は、例えばＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）がメモリを用いてプログラムを実行することで実現され得る。

　＜処理部１１＞
　処理部１１は、分散台帳によって各種情報の管理を行う処理部である。処理部１１は、制御システム１内の装置からトランザクションデータを受信した場合、または、制御部１３が生成したトランザクションデータを取得した場合に、受信または取得したトランザクションデータを台帳管理部１２に提供することで分散台帳に格納する。このトランザクションデータには、後述する第１トランザクションデータ～第７トランザクションデータが含まれる。

　＜台帳管理部１２＞
　台帳管理部１２は、分散台帳を管理している処理部である。具体的には、台帳管理部１２は、トランザクションデータを受信した場合、受信したトランザクションデータを他の複数のサーバに転送し、かつ、受信したトランザクションデータを分散台帳に格納する。

　このように、台帳管理部１２は、処理部１１から提供されたトランザクションデータを分散台帳に格納する。分散台帳には、過去から現在までのトランザクションデータが格納される。分散台帳では、分散台帳に記録された情報の改ざんが困難であるという特性に基づいて、上記のトランザクションデータが改ざんされないように管理されている。

　台帳管理部１２は、図２に示すように、格納部１５と、台帳記憶部１６とを有する。

　格納部１５は、分散台帳に格納すべき新しいトランザクションデータを台帳記憶部１６に格納する処理部である。格納部１５は、新しいトランザクションデータを含むブロックを生成し、生成したブロックをサーバ１０Ａ等の間で同期をとった上で、上記ブロックを台帳記憶部１６に格納する。

　より具体的には、格納部１５は、処理部１１からトランザクションデータを受信すると、受信したトランザクションデータに含まれる電子署名の検証と、トランザクションデータの正当性の検証とを行う。なお、この検証はスキップされてもよい。格納部１５は、電子署名の検証及びトランザクションデータの正当性の検証が成功した場合、トランザクションデータを複数の他のサーバ１０Ｂ及び１０Ｃに転送する。次いで、格納部１５は、複数の他のサーバ１０Ｂ及び１０Ｃとともに、当該トランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行する。格納部１５は、コンセンサスアルゴリズムによって当該トランザクションデータの正当性について合意された場合、当該トランザクションデータを含むブロックを分散台帳に記録する。

　なお、格納部１５は、処理部１１から、別途協議による第２契約に対応する第２スマートコントラクトを含む第２トランザクションデータを受信した場合、別途協議による副契約である第２契約の主契約である第１契約に対応する第１スマートコントラクトに含まれる条件を特定する。この場合、格納部１５は、受信した第２トランザクションデータに含まれる電子署名の検証と、第２トランザクションデータの正当性の検証が成功した場合で、さらに、当該条件を満たすときに、コンセンサスアルゴリズムを実行するとしてもよい。なお、第２トランザクションデータの検証がスキップされる場合には、格納部１５は、第２トランザクションデータを受信して、当該条件を満たすときに、コンセンサスアルゴリズムを実行するとしてもよい。

　本実施の形態では、格納部１５は、第１契約に対応する第１スマートコントラクトを含むブロックと、第２契約に対応する第２スマートコントラクトを含むブロックとを、独立に処理して、分散台帳に記録する。また、格納部１５は、制御部１３が生成した第１契約に対応する新たなスマートコントラクトである第３スマートコントラクトを含むブロックを受信すると、第３スマートコントラクトを含むブロックを分散台帳に記録する。

　台帳記憶部１６は、分散台帳を記憶している記憶装置である。台帳記憶部１６は、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）またはＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）などにより実現される。

　台帳記憶部１６に格納されている分散台帳は、１以上のトランザクションデータがブロックに含まれて電子的に記録され、ハッシュ値などの特性を用いて改ざんが困難であるように管理されている。この詳細は、後述する。また、台帳記憶部１６に格納されている分散台帳には、１以上のスマートコントラクトが記憶されている。当該分散台帳には、例えばコントラクトコードと呼ばれるプログラムコードが記憶されており、このコントラクトコードが実行されることで、スマートコントラクトが実現されるとしてもよい。コントラクトコードは、スマートコントラクトに記述された契約行動を実行するために実行されるコードである。

　なお、本実施の形態では、台帳記憶部１６に格納されている分散台帳には、分散型の台帳管理を実現するブロックチェーン実装基盤として例えばブロックチェーン方式が採用されているとして説明するが、これに限らない。ＩＯＴＡまたはハッシュグラフなどの他の方式が採用されていてもよい。

　また、新しいトランザクションデータが分散台帳に、格納される際にコンセンサスアルゴリズムが実行されるとして以下も説明するが、実行されなくてもよい。

　新しいトランザクションデータが分散台帳に、格納される際に実行されるコンセンサスアルゴリズムには、ＰＢＦＴ（Ｐｒａｃｔｉｃａｌ　Ｂｙｚａｎｔｉｎｅ　Ｆａｕｌｔ　Ｔｏｌｅｒａｎｃｅ）が用いられてもよいし、その他の公知のコンセンサスアルゴリズムが用いられてもよい。公知のコンセンサスアルゴリズムとしては、例えばＰＯＷ（Ｐｒｏｏｆ　Ｏｆ　Ｗｏｒｋ）またはＰＯＳ（Ｐｒｏｏｆ　Ｏｆ　Ｓｔａｋｅ）などがある。コンセンサスアルゴリズムにＰＢＦＴが用いられる場合、まず、格納部１５は、複数の他のサーバ１０Ｂ及び１０Ｃのそれぞれからトランザクションの検証が成功したか否かを示す報告を受け取り、当該報告の数が所定の数を超えたか否かを判定する。そして、格納部１５は、当該報告の数が所定の数を超えたとき、コンセンサスアルゴリズムによってトランザクションデータの正当性が検証された場合であると判定すればよい。

　新しいトランザクションデータが分散台帳に、格納される際にコンセンサスアルゴリズムが実行されない場合には、Ｈｙｐｅｒｌｅｄｇｅｒ　ｆａｂｒｉｃなどの分散台帳技術を用いればよい。

　＜制御部１３＞
　制御部１３は、各種の処理を制御する処理部である。

　制御部１３の処理の一部または全部は、台帳記憶部１６に記憶されたスマートコントラクトに記述された契約行動を実行することでなされてもよい。なお、制御部１３は、台帳記憶部１６に記憶されたコントラクトコードを実行することでスマートコントラクトを実現すなわちスマートコントラクトに記述された契約行動を、上記の処理として実行してもよい。

　また、制御部１３は、主契約の別途協議により締結された副契約に対応するスマートコントラクトに関する情報が反映された、主契約に対応する新たなスマートコントラクトを作成する。制御部１３は、作成した新たなスマートコントラクトを含めたトランザクションデータを生成して、処理部１１に送信する。

　本実施の形態では、制御部１３は、第２トランザクションデータを含むブロックが分散台帳に記録された場合、まず、第２トランザクションデータに含まれる第１コントラクトアドレスを参照して、第１契約に対応する第１スマートコントラクトを特定する。次いで、制御部１３は、特定した第１スマートコントラクトから、第１契約の内容と、変数と、条件とを取得する。次いで、制御部１３は、第１契約の内容と、条件と、変数に代えて第２トランザクションデータの第２コントラクトアドレスとを含む新たなスマートコントラクトであって第１契約に対応する第３スマートコントラクトを作成する。そして、制御部１３は、作成した第３スマートコントラクトと、サーバ１０Ａに紐づけられる第３電子署名とを含む第３トランザクションデータを生成して、処理部１１に送信する。

　＜ワーキングメモリ１７＞
　ワーキングメモリ１７は、サーバ１０Ａのオンメモリとして機能するメモリである。ワーキングメモリ１７は、分散台帳に記録されたブロックを読み出して、第１契約に対する最新のスマートコントラクトを保持する。なお、ワーキングメモリ１７は、第１契約に対する最新のスマートコントラクトを指し示す情報を保持してもよい。例えば、第３スマートコントラクトが最新のスマートコントラクトである場合、ワーキングメモリ１７は、第１契約に対する最新のスマートコントラクトが第３スマートコントラクトである旨を示す情報を保持してもよい。

　［データ構造］
　ブロックチェーンのデータ構造と、トランザクションデータのデータ構造とについて説明する。

　図３は、ブロックチェーンのデータ構造を示す説明図である。

　ブロックチェーンは、その記録単位であるブロックがチェーン（鎖）状に接続されたものである。それぞれのブロックは、複数のトランザクションデータと、直前のブロックのハッシュ値とを有している。具体的には、ブロックＢ２には、その前のブロックＢ１のハッシュ値が含まれている。そして、ブロックＢ２に含まれる複数のトランザクションデータと、ブロックＢ１のハッシュ値とから演算されたハッシュ値が、ブロックＢ２のハッシュ値として、ブロックＢ３に含められる。このように、前のブロックの内容をハッシュ値として含めながら、ブロックをチェーン状に接続することで、記録されたトランザクションデータの改ざんを有効に防止する。

　仮に過去のトランザクションデータが変更されると、ブロックのハッシュ値が変更前と異なる値になり、改ざんしたブロックを正しいものとみせかけるには、それ以降のブロックすべてを作り直さなければならず、この作業は現実的には非常に困難である。この性質を使用して、ブロックチェーンに改ざん困難性が担保されている。

　図４は、トランザクションデータのデータ構造を示す説明図である。

　図４に示されるトランザクションデータは、トランザクション本体Ｐ１と、電子署名Ｐ２とを含む。トランザクション本体Ｐ１は、当該トランザクションデータに含まれるデータ本体である。電子署名Ｐ２は、トランザクション本体Ｐ１のハッシュ値に対して、当該トランザクションデータの作成者の署名鍵で署名する、より具体的には、作成者の秘密鍵で暗号化することで生成されたものである。

　トランザクションデータは、電子署名Ｐ２を有するので、改ざんが実質的に不可能である。これにより、トランザクション本体の改ざんが防止される。

　［動作］
　続いて、以上のように構成された制御システム１において、第１スマートコントラクト、第２スマートコントラクト及び第３スマートコントラクトが稼働するまでの処理についてシーケンス図を用いて説明する。以下では、第１スマートコントラクトを第１スマートコントラクトX_ver1と表記し、第２スマートコントラクトを第２スマートコントラクトY_nと表記し、第３スマートコントラクトを第３スマートコントラクトX_ver2と表記する。

　［第１スマートコントラクトX_ver1が稼働するまでの処理］
　図５は、本実施の形態における第１スマートコントラクトX_ver1が稼働するまでの処理を説明するためのシーケンス図である。図６は、本実施の形態における第１スマートコントラクトX_ver1の内容を概念的に示す図である。

　まず、端末４０は、別途協議が将来発生する可能性のある第１契約の締結者の１人である第１ユーザすなわちＡさんの操作により、第１契約に対応する第１スマートコントラクトX_ver1を作成する（Ｓ１０１）。ここで、第１スマートコントラクトX_ver1は、分散台帳を利用することで第１契約の契約行動が実行可能にプログラム化されたスマートコントラクトである。第１スマートコントラクトX_ver1は、例えば図６に示す内容が入力される。すなわち、第１スマートコントラクトX_ver1には、第１契約の内容と、別途協議の飛び先と、第２スマートコントラクトが作成される条件とが入力されている。図６に示す例では、別途協議の飛び先として、例えば「変数ｘｘ」など、第２契約に対応する第２スマートコントラクトを特定するために用いられる仮に決められた変数が示されている。なお、変数ｘｘは、仮に決められた変数でなくてもよく、仮に決められた特定アドレスでも仮に決められた値でもよい。すなわち、将来作成される第２スマートコントラクトを特定するために用いることができれば、その態様は問われない。なお、「飛び先X_ver1=」の「X_ver1=」は、第１スマートコントラクトからの飛び先を示すために付されている。

　次に、端末４０は、ステップＳ１０１で作成した第１スマートコントラクトX_ver1と、第１ユーザであるＡさんに紐づけられる第１電子署名とを含む第１トランザクションデータを生成する（Ｓ１０２）。

　次に、端末４０は、ステップＳ１０２で生成した第１トランザクションデータを、例えばサーバ１０Ａに送信する（Ｓ１０３）。なお、端末４０は、ステップＳ１０２で生成した第１トランザクションデータを、サーバ１０Ｂまたはサーバ１０Ｃに送信してもよい。この場合、以下で説明するサーバ１０Ａの動作がサーバ１０Ｂまたはサーバ１０Ｃの動作となる。

　次に、サーバ１０Ａは、端末４０から受信した第１トランザクションデータの検証を行う（Ｓ１０４）。より具体的には、サーバ１０Ａは、端末４０から受信した第１トランザクションデータに含まれる第１電子署名の検証と、第１トランザクションデータの正当性の検証とを行う。なお、ステップＳ１０４はスキップしてもよい。

　ステップＳ１０４において、サーバ１０Ａは、第１トランザクションデータの検証が成功しなかった場合（Ｓ１０４でＮ）、端末４０にエラー通知を行い（Ｓ１０５）、本処理を終了する。

　一方、ステップＳ１０４において、サーバ１０Ａは、第１トランザクションデータの検証が成功した場合（Ｓ１０４でＹ）、複数の他のサーバ１０Ｂ、１０Ｃに第１トランザクションデータを転送する（Ｓ１０６）。なお、ステップＳ１０４がスキップされた場合には、サーバ１０Ａは、端末４０から受信した第１トランザクションデータを複数の他のサーバ１０Ｂ、１０Ｃに転送すればよい。すると、サーバ１０Ｂ、１０Ｃではそれぞれ、転送されて受信した第１トランザクションデータの検証を行う。

　次に、サーバ１０Ａとサーバ１０Ｂとサーバ１０Ｃとは、コンセンサスアルゴリズムを実行する（Ｓ１０７）。ここで、ステップＳ１０７のコンセンサスアルゴリズムは、第１トランザクションデータの正当性について合意するための第１コンセンサスアルゴリズムに該当する。サーバ１０Ａとサーバ１０Ｂとサーバ１０Ｃとは、コンセンサスアルゴリズムを実行して、受信した第１トランザクションデータが正当なトランザクションデータであること（つまり正当性）を検証すると、それぞれ第１トランザクションデータを含むブロックを生成する。そして、サーバ１０Ａ、１０Ｂ、１０Ｃは、第１トランザクションデータを含むブロックを分散台帳に記録する。

　このようにして端末４０が作成した第１スマートコントラクトX_ver1が分散台帳に記録される。

　そして、第１スマートコントラクトX_ver1は、分散台帳に記録されることで、実行可能になるすなわち稼働する（Ｓ１０８）。なお、分散台帳に記録された第１スマートコントラクトX_ver1は、他の機器等から、当該第１スマートコントラクトX_ver1の第１コントラクトアドレスを含むトランザクションデータが受信され、分散台帳に記録された場合に実行されるとしてもよい。

　［第２スマートコントラクトY_nが稼働するまでの処理］
　次に、第１契約の締結後に、第１契約に規定される別途協議により第１契約を主契約とした副契約である第２契約が締結された場合に、締結された第２契約に対応する第２スマートコントラクトY_nが作成されて稼働するまでの処理について説明する。本実施の形態では、端末４０のユーザであるＡさんと、端末４１のユーザであるＢさんとで別途協議が行われて第２契約が締結されたとする。

　図７は、本実施の形態における第２スマートコントラクトY_nが稼働するまでの処理を説明するためのシーケンス図である。図８は、本実施の形態における第２スマートコントラクトY_nの内容を概念的に示す図である。

　まず、端末４０は、Ａさんの操作により、第１契約に規定される別途協議があったことが入力されると（Ｓ２０１でＹ）、別途協議により締結された第２契約に対する第２スマートコントラクトY_nを作成できるかを確認する（Ｓ２０２）。端末４０は、第１契約の副契約である第２契約の数すなわち第２スマートコントラクトY_nの数が所定値以下である場合に、第２スマートコントラクトY_nを作成してもよいと判定する。これは第１契約の副契約（別途契約）である第２契約の数に制限を設けるためである。

　ステップＳ２０２において、端末４０は、第２スマートコントラクトY_nを作成できることを確認した場合（Ｓ２０２でＹ）、別途協議により締結した第２契約の締結者の１人であるＡさんの操作により、第２契約に対応する第２スマートコントラクトY_nを作成する（Ｓ２０３）。ここで、第２スマートコントラクトY_nは、分散台帳を利用することで第２契約の契約行動が実行可能にプログラム化されたスマートコントラクトである。第２スマートコントラクトY_nは、例えば図８に示す内容が入力される。すなわち、第２スマートコントラクトY_nには、第２契約の内容と、紐づき先とが入力されている。図８に示す例では、例えば「＝X_ver1」で示されるように、紐づき先が第１スマートコントラクトX_ver1であることが示されている。本実施の形態では、紐づき先が第１スマートコントラクトX_ver1であることを示すために、紐づき先に、第１スマートコントラクトX_ver1の第１コントラクトアドレスが入力される。また、紐づき先には、第１スマートコントラクトX_ver1の第１コントラクトアドレスに加えて、第１スマートコントラクトX_ver1に含まれる変数ｘｘが入力されてもよい。なお、紐づき先として入力される内容は、第１スマートコントラクトX_ver1に含まれる変数ｘｘが特定できれば、その態様は問われない。

　次に、端末４０は、ステップＳ２０３で作成した第２スマートコントラクトY_nと、第１ユーザであるＡさんに紐づけられる第２電子署名とを含む第２トランザクションデータを生成する（Ｓ２０４）。

　次に、端末４０は、ステップＳ２０４で生成した第２トランザクションデータY_nを、例えばサーバ１０Ａに送信する（Ｓ２０５）。なお、端末４０は、ステップＳ２０４で生成した第２トランザクションデータを、サーバ１０Ｂまたはサーバ１０Ｃに送信してもよい。この場合、以下で説明するサーバ１０Ａの動作がサーバ１０Ｂまたはサーバ１０Ｃの動作となる。

　次に、サーバ１０Ａは、端末４０から受信した第２トランザクションデータの検証を行う（Ｓ２０６）。より具体的には、サーバ１０Ａは、端末４０から受信した第２トランザクションデータに含まれる第２電子署名の検証と、第２トランザクションデータの正当性の検証とを行う。なお、ステップＳ２０６はスキップしてもよい。

　ステップＳ２０６において、サーバ１０Ａは、第２トランザクションデータの検証が成功しなかった場合（Ｓ２０６でＮ）、端末４０にエラー通知を行い（Ｓ２０７）、本処理を終了する。

　一方、ステップＳ２０６において、サーバ１０Ａは、第２トランザクションデータの検証が成功した場合（Ｓ２０６でＹ）、複数の他のサーバ１０Ｂ、１０Ｃに第２トランザクションデータを転送する（Ｓ２０８）。なお、ステップＳ２０６がスキップされた場合には、サーバ１０Ａは、端末４０から受信した第２トランザクションデータを複数の他のサーバ１０Ｂ、１０Ｃに転送すればよい。すると、サーバ１０Ｂ、１０Ｃではそれぞれ、転送されて受信した第２トランザクションデータの検証を行う。

　次に、サーバ１０Ａとサーバ１０Ｂとサーバ１０Ｃとは、コンセンサスアルゴリズムを実行する（Ｓ２０９）。ここで、ステップＳ２０９のコンセンサスアルゴリズムは、第２トランザクションデータの正当性について合意するための第２コンセンサスアルゴリズムに該当する。サーバ１０Ａとサーバ１０Ｂとサーバ１０Ｃとは、コンセンサスアルゴリズムを実行して、受信した第２トランザクションデータが正当なトランザクションデータであること（つまり正当性）を検証すると、それぞれ第２トランザクションデータを含むブロックを生成する。そして、サーバ１０Ａ、１０Ｂ、１０Ｃは、第２トランザクションデータを含むブロックを分散台帳に記録する。

　このようにして端末４０が作成した第２スマートコントラクトY_nが分散台帳に記録される。

　そして、第２スマートコントラクトY_nは、分散台帳に記録されることで、実行可能になるすなわち稼働する（Ｓ２１０）。なお、分散台帳に記録された第２スマートコントラクトY_nは、他の機器等から、当該第２スマートコントラクトY_nの第２コントラクトアドレスを含むトランザクションデータが受信され、分散台帳に記録された場合に実行されるとしてもよい。

　［第３スマートコントラクトX_ver2が稼働するまでの処理］
　次に、第２スマートコントラクトY_nの稼働後に、第３スマートコントラクトX_ver2が作成されて稼働するまでの処理について説明する。本実施の形態では、サーバ１０Ａが第３スマートコントラクトX_ver2を作成する場合について説明するが、別のサーバ１０Ｂ及び１０Ｃが作成しても同様の説明となる。

　図９は、本実施の形態における第３スマートコントラクトX_ver2が稼働するまでの処理を説明するためのシーケンス図である。図１０は、本実施の形態における第３スマートコントラクトX_ver2の内容を概念的に示す図である。

　まず、サーバ１０Ａは、第２スマートコントラクトY_nが作成されたか否かを確認すると（Ｓ３０１でＹ）、第２スマートコントラクトY_nが他のスマートコントラクトと紐づいているかどうかを確認する（Ｓ３０２）。本実施の形態では、まず、サーバ１０Ａは、自身が管理する分散台帳を確認し、第２スマートコントラクトY_nが記録されているかどうかを確認する。次いで、サーバ１０Ａは、分散台帳に記録されている第２スマートコントラクトY_nを確認し、他のスマートコントラクトと紐づいていることを示す箇所が含まれているかを確認する。

　ステップＳ３０２において、サーバ１０Ａは、第２スマートコントラクトY_nが他のスマートコントラクトと紐づいていることを確認すると（Ｓ３０２でＹ）、第２スマートコントラクトY_nに紐づいているスマートコントラクトを特定する（Ｓ３０３）。本実施の形態では、まず、サーバ１０Ａは、図８に示すような第２スマートコントラクトY_nの内容を参照して、第２トランザクションデータY_nに含まれる第１コントラクトアドレスを特定する。次いで、サーバ１０Ａは、特定した第１コントラクトアドレスを参照して、第１スマートコントラクトX_ver1を特定する。なお、ステップＳ３０２において、サーバ１０Ａは、第２スマートコントラクトY_nが他のスマートコントラクトと紐づいていないことを確認すると（Ｓ３０２でＮ）、本処理を終了する。

　次に、サーバ１０Ａは、特定した第１スマートコントラクトX_ver1から、第１契約の内容等を取得する（Ｓ３０４）。本実施の形態では、サーバ１０Ａは、特定した第１スマートコントラクトX_ver1から、第１契約の内容と、第２スマートコントラクトY_nを特定するために用いられる仮に決められた変数と、第２スマートコントラクトY_nが作成される条件とを取得する。

　次に、サーバ１０Ａは、第１契約に対応する第３スマートコントラクトX_ver2を作成する（Ｓ３０５）。ここで、第３スマートコントラクトX_ver2は、分散台帳を利用することで別途協議において締結した第２契約と第１契約との契約行動が実行可能にプログラム化されたスマートコントラクトである。第３スマートコントラクトX_ver2では、第２契約に対応する第２スマートコントラクトY_nは飛び先として表現され、第２スマートコントラクトY_nに飛ぶことで第２契約の契約行動が実行可能になる。本実施の形態では、第３スマートコントラクトX_ver2は、例えば図１０に示す内容が入力される。すなわち、第３スマートコントラクトX_ver2には、第１契約の内容と、別途契約の飛び先と第２スマートコントラクトY_nが作成される条件とが入力されている。図１０に示す例では、別途協議の飛び先として、例えば「X_ver2＝Y_n」で示されるように、飛び先が第２契約に対応する第２スマートコントラクトY_nであることが示されている。飛び先が第２スマートコントラクトY_nであることを示すために、飛び先には、第２スマートコントラクトY_nの第２コントラクトアドレスが入力される。なお、別途協議の飛び先に入力されるものは、第２スマートコントラクトY_nを特定するために用いることができれば、その態様は問われない。

　次に、サーバ１０Ａは、ステップＳ３０５で作成した第３スマートコントラクトX_ver2と、サーバ１０Ａに紐づけられる第３電子署名とを含む第３トランザクションデータを生成する（Ｓ３０６）。

　次に、サーバ１０Ａは、ステップＳ３０６で生成した第３トランザクションデータを、複数の他のサーバ１０Ｂ、１０Ｃに転送する（Ｓ３０７）。すると、サーバ１０Ｂ、１０Ｃではそれぞれ、転送されて受信した第３トランザクションデータの検証を行う。

　次に、サーバ１０Ａとサーバ１０Ｂとサーバ１０Ｃとは、コンセンサスアルゴリズムを実行する（Ｓ３０８）。ここで、ステップＳ３０８のコンセンサスアルゴリズムは、第３トランザクションデータの正当性について合意するための第３コンセンサスアルゴリズムに該当する。サーバ１０Ａとサーバ１０Ｂとサーバ１０Ｃとは、コンセンサスアルゴリズムを実行して、受信した第３トランザクションデータが正当なトランザクションデータであること（つまり正当性）を検証すると、それぞれ第３トランザクションデータを含むブロックを生成する。そして、サーバ１０Ａ、１０Ｂ、１０Ｃは、第３トランザクションデータを含むブロックを分散台帳に記録する。

　このようにして、サーバ１０Ａは、第１スマートコントラクトX_ver1に対して別途協議により締結した第１契約を主契約とした副契約である第２契約に対応する第２スマートコントラクトへの飛び先を反映した第３スマートコントラクトX_ver2を作成して分散台帳に記録する。

　そして、第３スマートコントラクトX_ver2は、分散台帳に記録されることで、実行可能になるすなわち稼働する（Ｓ３０９）。これにより、第１契約と別途協議において締結した第２契約との契約行動が実行可能になる。

　［効果等］
　以上のように、本開示の制御方法等によれば、別途協議が将来発生する可能性のある第１契約に対応する第１スマートコントラクトに、第１契約に規定される別途協議により締結され得る第２契約に対応する第２スマートコントラクトのコントラクトアドレスの代替としての変数を含める。第１スマートコントラクトの作成時には、第２スマートコントラクトは作成されておらず、コントラクトアドレスも決まっていないことから、代替としての変数を含めている。これにより、将来発生する可能性のある別途協議を第１スマートコントラクトで表現できる。

　そして、第１契約に別途協議が実際に発生し、当該別途協議により締結された第１契約を主契約とした副契約である第２契約に対応する第２スマートコントラクトが作成され、稼働したとする。この場合、本開示の制御方法等は、第１スマートコントラクトに別途協議により締結した第２契約に対応する第２スマートコントラクトへの飛び先を反映した第１契約に対応する第３スマートコントラクトを新たに作成して分散台帳に記録する。

　このようにして、将来発生する可能性のある別途協議を第１スマートコントラクトで表現できるので、別途協議が将来発生する可能性のある契約に対応するスマートコントラクトの利用が促進される。この結果、契約行動の自動化によるメリットすなわち不正防止、並びに、仲介者を介さないことによる時間コスト及びエネルギーコスト削減を図ることができる。

　つまり、本開示の制御方法等によれば、分散台帳を用いて、時間コストとエネルギーコストとをより低減することができる。

　なお、上記の実施の形態では、第２スマートコントラクトが作成される条件は、別途協議により第１契約を主契約とした副契約として第２契約が締結された場合として説明していたが、これに限らない。当該条件に、さらに、第２スマートコントラクトを作成した端末４０以外の端末４１を操作するユーザの合意を取ることを含めてもよい。また、当該条件に、さらに、第２スマートコントラクトを作成した端末４０を操作するユーザの合意及び端末４１を操作するユーザの合意を取ることを含めてもよい。

　また、上記の実施の形態では、第１契約に規定される別途協議により締結される第１契約を主契約とした副契約としての第２契約の数が、１つである場合について説明していたが、これに限らない。第１契約に規定される別途協議により締結される第２契約の数は、複数であってもよく、別途協議により締結される第２契約の数に制限を設ければよい。この場合、サーバ１０Ａは、第１スマートコントラクトに別途協議により締結した複数の第２スマートコントラクトへの飛び先を反映した第３スマートコントラクトを作成して分散台帳に記録すればよい。

　（変形例１）
　変形例１では、第２スマートコントラクトが作成される条件として、別途協議により第２契約が締結された場合に加えて、第２スマートコントラクトを作成した端末４０以外の端末４１を操作するユーザの合意を取ることを含む場合について説明する。

　図１１Ａ及び図１１Ｂは、本実施の形態の変形例１における第２スマートコントラクトY_nが稼働するまでの処理を説明するためのシーケンス図である。以下でも、第１スマートコントラクトを第１スマートコントラクトX_ver1と表記し、第２スマートコントラクトを第２スマートコントラクトY_nと表記する。なお、本変形例における第２スマートコントラクトY_nの内容は、図８を用いて説明した通りである。

　図１１Ａに示すシーケンス図は、図７に示すシーケンス図と比較して、第２スマートコントラクトY_nを作成してもよいかどうかを確認する主体がサーバ１０Ａに変更されている点と、端末４１に対して合意確認依頼を取っている点とで異なる。図１１Ｂに示すシーケンス図は、図７に示すシーケンス図と比較して、さらに、Ｂさんの合意確認結果を示すトランザクションデータを分散台帳に記録する点で異なる。

　図１１Ａにおいて、まず、端末４０は、図７と同様、Ａさんの操作により、第１契約に規定される別途協議があったことが入力される（Ｓ３０１でＹ）とする。この場合、端末４０は、別途協議により締結した第２契約の締結者の１人であるＡさんの操作により、第２契約に対応する第２スマートコントラクトY_nを作成する（Ｓ３０４）。ここで、サーバ１０Ａは、ステップＳ３０２において、別途協議により締結され得る第２契約に対する第２スマートコントラクトY_nが作成されてもよいかを判定している。本変形例では、端末４０が、ステップＳ３０４で作成する第２スマートコントラクトY_nは、ｎ番目に作成される第２スマートコントラクトであり、ｎが所定値以下であるとしている。このため、サーバ１０Ａは、ステップＳ３０２において、第２スマートコントラクトY_nを作成してもよいと判定し（Ｓ３０２でＹ）、作成ＯＫの旨を示す通知を端末４０に送信している（Ｓ３０３）。なお、ステップＳ３０２及びＳ３０３は、ステップＳ３０４の前に行われていれば、ステップＳ３０１の前に行われていても、ステップＳ３０１とステップＳ３０４との間に行われていてもよい。

　次に、端末４０は、ステップＳ３０４で作成した第２スマートコントラクトY_nと、第１ユーザであるＡさんに紐づけられる第２電子署名とを含む第２トランザクションデータを生成する（Ｓ３０５）。

　次に、端末４０は、ステップＳ３０５で生成した第２トランザクションデータを、例えばサーバ１０Ａに送信する（Ｓ３０６）。なお、端末４０は、ステップＳ３０５で生成した第２トランザクションデータを、サーバ１０Ｂまたはサーバ１０Ｃに送信してもよい。この場合、以下で説明するサーバ１０Ａの動作がサーバ１０Ｂまたはサーバ１０Ｃの動作となる。

　次に、サーバ１０Ａは、端末４０から受信した第２トランザクションデータの検証を行う（Ｓ３０７）。ステップＳ３０７及びＳ３０８については図７のステップＳ２０６及びＳ２０７と同様の処理であるため具体的な説明は省略する。

　ステップＳ３０７において、サーバ１０Ａは、第２トランザクションデータの検証が成功した場合（Ｓ３０７でＹ）、自身の分散台帳を参照して、第２スマートコントラクトY_nが作成される条件を特定する（Ｓ３０９）。より具体的には、サーバ１０Ａは、自身の分散台帳に記録される第１スマートコントラクトX_ver1を参照して、第１スマートコントラクトX_ver1に含まれる、第２スマートコントラクトY_nが作成される条件を特定する。本変形例では、当該条件には、別途協議により第２契約が締結された場合に加えて、第２スマートコントラクトY_nを作成した端末４０以外の端末４１を操作するユーザの合意を取ることが含まれている。

　次に、サーバ１０Ａは、ステップＳ３０９において特定した条件に従って、端末４１に、作成された第２スマートコントラクトY_nについての合意確認依頼を送信する（Ｓ３１０）。

　次に、別途協議により締結された第２契約の当事者であるＢさんの操作により、端末４１に、作成された第２スマートコントラクトY_nについての合意確認結果が入力される。すると、端末４１は、当該合意確認結果と、Ｂさんに紐づけられる電子署名とを含む第４トランザクションデータを生成する（Ｓ３１１）。

　次に、端末４１は、ステップＳ３１１で生成した第４トランザクションデータを、例えばサーバ１０Ａに送信する（Ｓ３１２）。なお、端末４１は、ステップＳ３１１で生成した第４トランザクションデータを、サーバ１０Ｂまたはサーバ１０Ｃに送信してもよい。この場合、以下で説明するサーバ１０Ａの動作がサーバ１０Ｂまたはサーバ１０Ｃの動作となる。

　次に、サーバ１０Ａは、端末４１から受信した第４トランザクションデータに含まれるＢさんの合意確認結果を参照し、Ｂさんが合意したか否かを確認する（Ｓ３１３）。

　ステップＳ３１３において、サーバ１０Ａは、Ｂさんが合意しなかったことを確認すると（Ｓ３１３でＮ）、Ｓ３０２に戻る。つまり、この場合には、サーバ１０Ａは、第４トランザクションデータ及び第２トランザクションデータを分散台帳に記録しないので、本処理を終了または第２スマートコントラクトY_nを再度生成することになる。

　一方、ステップＳ３１３において、サーバ１０Ａは、Ｂさんが合意したことを確認すると（Ｓ３１３でＹ）、複数の他のサーバ１０Ｂ、１０Ｃに第２トランザクションデータを転送する（Ｓ３１４）。なお、ステップＳ３１４～Ｓ３１６は、図７で説明したステップＳ２０８～Ｓ２１０と同様のため、説明を省略する。

　ステップＳ３１７において、サーバ１０Ａは、端末４１から受信した第４トランザクションデータの検証を行う。より具体的には、サーバ１０Ａは、端末４１から受信した第４トランザクションデータに含まれる電子署名の検証と、第４トランザクションデータの正当性の検証とを行う。なお、ステップＳ３１７はスキップしてもよい。

　ステップＳ３１７において、サーバ１０Ａは、第４トランザクションデータの検証が成功しなかった場合（Ｓ３１７でＮ）、端末４１にエラー通知を行い（Ｓ３１８）、本処理を終了する。

　一方、ステップＳ３１７において、サーバ１０Ａは、第４トランザクションデータの検証が成功した場合（Ｓ３１７でＹ）、複数の他のサーバ１０Ｂ、１０Ｃに第４トランザクションデータを転送する（Ｓ３１９）。なお、ステップＳ３１７がスキップされた場合には、サーバ１０Ａは、端末４１から受信した第４トランザクションデータを複数の他のサーバ１０Ｂ、１０Ｃに転送すればよい。すると、サーバ１０Ｂ、１０Ｃではそれぞれ、転送されて受信した第４トランザクションデータの検証を行う。

　次に、サーバ１０Ａとサーバ１０Ｂとサーバ１０Ｃとは、第４トランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行する（Ｓ３２０）。サーバ１０Ａとサーバ１０Ｂとサーバ１０Ｃとは、コンセンサスアルゴリズムを実行して、受信した第４トランザクションデータが正当なトランザクションデータであること（つまり正当性）を検証すると、それぞれ第４トランザクションデータを含むブロックを生成する。そして、サーバ１０Ａ、１０Ｂ、１０Ｃは、第２トランザクションデータを含むブロックを分散台帳に記録する。

　このようにして端末４０が作成した第２スマートコントラクトY_nと端末４１により送信されたＢさんの合意確認結果とが分散台帳に記録される。

　（変形例２）
　変形例２では、第２スマートコントラクトが作成される条件として、別途協議により第２契約が締結された場合に加えて、第２スマートコントラクトを作成した端末４０を操作するユーザの合意及び端末４１を操作するユーザの合意を取ることも含まれる場合について説明する。

　図１２Ａ及び図１２Ｂは、本実施の形態の変形例２における第２スマートコントラクトY_nが稼働するまでの処理を説明するためのシーケンス図である。以下でも、第１スマートコントラクトを第１スマートコントラクトX_ver1と表記し、第２スマートコントラクトを第２スマートコントラクトY_nと表記する。なお、本変形例における第２スマートコントラクトY_nの内容は、図８を用いて説明した通りである。

　図１２Ａに示すシーケンス図は、図１１Ａに示すシーケンス図と比較して、第２スマートコントラクトY_nを作成してもよいかどうかを確認する主体がサーバ１０Ａから端末４０に変更されている点と、端末４１に加えて端末４０に対しても合意確認を取っている点とで異なる。また、図１２Ｂに示すシーケンス図は、図１１Ｂに示すシーケンス図と比較して、さらに、Ａさんの合意確認結果を示すトランザクションデータも分散台帳に記録する点で異なる。

　図１２Ａにおいて、まず、端末４０は、ステップＳ４００において、別途協議により締結され得る第２契約に対する第２スマートコントラクトを作成してもよいかどうかを判定している（Ｓ４００）。本変形例では、端末４０が、次に作成する第２スマートコントラクトY_nは、ｎ番目に作成される第２スマートコントラクトであり、ｎが所定値以下であるとしている。このため、端末４０は、ステップＳ４００において、第２スマートコントラクトY_nを作成してもよいと判定する（Ｓ４００で作成ＯＫ）。

　次に、端末４０は、Ａさんの操作により、第１契約に規定される別途協議があったことが入力されると（Ｓ４０１でＹ）、端末４０は、Ａさんの操作により、第２契約に対応する第２スマートコントラクトY_nを作成する（Ｓ４０２）。なお、ステップＳ４００は、ステップＳ４０２の前に行われていれば、ステップＳ４０１の後に行われていてもよい。

　次に、端末４０は、第２トランザクションデータを生成し（Ｓ４０３）、サーバ１０Ａに送信する（Ｓ４０４）。なお、ステップＳ４０２～Ｓ４０６は、図１１Ａで説明したステップＳ３０４～Ｓ３０８と同様のため、説明を省略する。

　ステップＳ４０５において、サーバ１０Ａは、第２トランザクションデータの検証が成功した場合（Ｓ４０５でＹ）、自身の分散台帳を参照して、第２スマートコントラクトY_nが作成される条件を特定する（Ｓ４０７）。より具体的には、サーバ１０Ａは、自身の分散台帳に記録される第１スマートコントラクトX_ver1を参照して、第１スマートコントラクトX_ver1に含まれる、第２スマートコントラクトY_nが作成される条件を特定する。本変形例では、当該条件には、別途協議により第２契約が締結された場合に加えて、第２スマートコントラクトY_nを作成した端末４０を操作するユーザの合意と、当該端末４０以外の端末４１を操作するユーザの合意を取ることが含まれている。

　次に、サーバ１０Ａは、ステップＳ４０７において特定した条件に従って、端末４０及び端末４１に、作成された第２スマートコントラクトY_nについての合意確認依頼を送信する（Ｓ４０８）。

　次に、端末４０は、別途協議により締結された第２契約の当事者であるＡさんの操作により、作成された第２スマートコントラクトY_nについての合意結果が入力される。端末４０は、Ａさんにより合意することを示す合意結果が入力された場合（Ｓ４０９でＹ）、当該合意結果と、Ａさんに紐づけられる電子署名とを含む第５トランザクションデータを生成する（Ｓ４１０）。なお、端末４０は、Ａさんにより合意しないことを示す合意結果が入力された場合（Ｓ４０９でＮ）、最初すなわちステップＳ４００に戻る。

　次に、端末４０は、ステップＳ４１０で生成した第５トランザクションデータを、例えばサーバ１０Ａに送信する（Ｓ４１１）。なお、端末４０は、ステップＳ４１０で生成した第５トランザクションデータを、サーバ１０Ｂまたはサーバ１０Ｃに送信してもよい。この場合、以下で説明するサーバ１０Ａの動作がサーバ１０Ｂまたはサーバ１０Ｃの動作となる。

　また、端末４１は、別途協議により締結された第２契約の当事者であるＢさんの操作により、作成された第２スマートコントラクトY_nについての合意結果が入力される。端末４１は、Ｂさんにより合意することを示す合意結果が入力された場合（Ｓ４１２でＹ）、当該合意結果と、Ｂさんに紐づけられる電子署名とを含む第６トランザクションデータを生成する（Ｓ４１３）。なお、端末４１は、Ｂさんにより合意しないことを示す合意結果が入力された場合（Ｓ４１３でＮ）、最初すなわちステップＳ４００に戻る。

　次に、端末４１は、ステップＳ４１３で生成した第６トランザクションデータを、例えばサーバ１０Ａに送信する（Ｓ４１４）。なお、端末４１は、ステップＳ４１３で生成した第６トランザクションデータを、サーバ１０Ｂまたはサーバ１０Ｃに送信してもよい。この場合、以下で説明するサーバ１０Ａの動作がサーバ１０Ｂまたはサーバ１０Ｃの動作となる。なお、ステップＳ４０９とＳ４１２とはどちらが先に処理されてもよい。

　次に、サーバ１０Ａは、端末４０及び端末４１から受信した第５及び第６トランザクションデータに含まれるＡさん及びＢさんの合意結果を参照し、条件を満たす、すなわちＡさん及びＢさんが合意したか否かを確認する（Ｓ４１５）。

　ステップＳ４１５において、サーバ１０Ａは、Ａさん及びＢさんが合意しており条件を満たしていることを確認した場合（Ｓ４１５でＹ）、端末４０、４１から受信した第５、第６トランザクションデータの検証を行う（Ｓ４１６）。より具体的には、サーバ１０Ａは、端末４０、４１から受信した第５、第６トランザクションデータに含まれる電子署名の検証と、第５、第６トランザクションデータの正当性の検証とを行う。なお、ステップＳ４１６はスキップしてもよい。

　一方、ステップＳ４１５において、サーバ１０Ａは、ＡさんまたはＢさんが合意しておらず条件を満たしていないことを確認した場合（Ｓ４１５でＮ）、最初すなわちステップＳ４００に戻る。この場合には、サーバ１０Ａは、第２トランザクションデータ、第５トランザクションデータ及び第６トランザクションデータを分散台帳に記録しないので、本処理を終了または第２スマートコントラクトY_nを再度生成することになる。

　ステップＳ４１６において、サーバ１０Ａは、第５または第６トランザクションデータの検証が成功しなかった場合（Ｓ４１６でＮ）、端末４０、端末４１にエラー通知を行い（Ｓ４１７）、本処理を終了する。

　一方、ステップＳ４１６において、サーバ１０Ａは、第５及び第６トランザクションデータの検証が成功した場合（Ｓ４１６でＹ）、複数の他のサーバ１０Ｂ、１０Ｃに第２、第５及び第６トランザクションデータを転送する（Ｓ４１８）。

　次に、サーバ１０Ａとサーバ１０Ｂとサーバ１０Ｃとは、コンセンサスアルゴリズムを実行する（Ｓ４１９）。ここで、ステップＳ４１９のコンセンサスアルゴリズムは、第２トランザクションデータの正当性について合意するためのコンセンサスアルゴリズムと、第５及び第６トランザクションデータの正当性について合意するためのコンセンサスアルゴリズムとが実行される。これらは独立したコンセンサスアルゴリズム実行されてもよいし、一つのコンセンサスアルゴリズムとして実行されてもよい。

　このようにして端末４０が作成した第２スマートコントラクトY_nと、端末４０及び端末４１により送信されたＡさん及びＢさんの合意結果とが分散台帳に記録される。

　そして、第２スマートコントラクトY_nは、分散台帳に記録されることで、実行可能になるすなわち稼働する（Ｓ４２０）。

　（変形例３）
　変形例３では、第２スマートコントラクトが作成される条件として、別途協議により第２契約が締結された場合に加えて、第２スマートコントラクトを作成した端末４０以外の端末４１を操作するユーザの合意のみを取ることが含まれる場合について説明する。

　図１３Ａ及び図１３Ｂは、本実施の形態の変形例３における第２スマートコントラクトY_nが稼働するまでの処理を説明するためのシーケンス図である。以下でも、第１スマートコントラクトを第１スマートコントラクトX_ver1と表記し、第２スマートコントラクトを第２スマートコントラクトY_nと表記する。なお、本変形例における第２スマートコントラクトY_nの内容は、図８を用いて説明した通りである。

　図１３Ａ及び図１３Ｂに示すシーケンス図は、図１１Ａ及び図１１Ｂに示すシーケンス図と比較して、端末４１に対して合意確認依頼をし、端末４１を操作するＢさんが合意した場合のみその後の処理を進めている点で異なる。

　図１３Ａに示すステップＳ５０１～Ｓ５０７は、図１１Ａに示すステップＳ３０１～Ｓ３０７と同様の処理となるため説明を省略する。

　ステップＳ５０７において、サーバ１０Ａは、第２トランザクションデータの検証が成功した場合（Ｓ５０７でＹ）、自身の分散台帳を参照して、第２スマートコントラクトY_nが作成される条件を特定する（Ｓ５０９）。より具体的には、サーバ１０Ａは、自身の分散台帳に記録される第１スマートコントラクトX_ver1を参照して、第１スマートコントラクトX_ver1に含まれる、第２スマートコントラクトY_nが作成される条件を特定する。本変形例では、当該条件には、別途協議により第２契約が締結された場合に加えて、第２スマートコントラクトを作成した端末４０以外の端末４１を操作するユーザの合意のみを取ることが含まれている。

　次に、サーバ１０Ａは、ステップＳ５０９において特定した条件に従って、端末４１に、作成された第２スマートコントラクトY_nについての合意確認依頼を送信する（Ｓ５１０）。

　次に、Ｂさんの操作により、作成された第２スマートコントラクトY_nについての合意結果が端末４１に入力されたとする。この場合、端末４１は、Ｂさんにより合意することを示す合意結果が入力されたことを確認し（Ｓ５１１でＹ）、当該合意結果と、Ｂさんに紐づけられる電子署名とを含む第７トランザクションデータを生成する（Ｓ５１２）。

　次に、端末４１は、ステップＳ５１２で生成した第７トランザクションデータを、例えばサーバ１０Ａに送信する（Ｓ５１３）。なお、端末４１は、ステップＳ５１２で生成した第７トランザクションデータを、サーバ１０Ｂまたはサーバ１０Ｃに送信してもよい。この場合、以下で説明するサーバ１０Ａの動作がサーバ１０Ｂまたはサーバ１０Ｃの動作となる。

　次に、サーバ１０Ａは、端末４１から第７トランザクションデータを受信すると（Ｓ５１４でＹ）、端末４１から受信した第７トランザクションデータの検証を行う（Ｓ５１５）。より具体的には、サーバ１０Ａは、端末４１から第７トランザクションデータを受信すると、受信した第７トランザクションデータに含まれる電子署名の検証と、第７トランザクションデータの正当性の検証とを行う。なお、ステップＳ５１５はスキップしてもよい。

　ステップＳ５１５において、サーバ１０Ａは、第７トランザクションデータの検証が成功しなかった場合（Ｓ５１５でＮ）、端末４１にエラー通知を行い（Ｓ５１６）、本処理を終了する。

　一方、ステップＳ５１５において、サーバ１０Ａは、第７トランザクションデータの検証が成功した場合（Ｓ５１５でＹ）、複数の他のサーバ１０Ｂ、１０Ｃに第２トランザクションデータを転送する（Ｓ５１７）。なお、ステップＳ５１５がスキップされた場合には、サーバ１０Ａは、端末４０から受信した第２トランザクションデータと端末４１から受信した第７トランザクションデータとを複数の他のサーバ１０Ｂ、１０Ｃに転送すればよい。すると、サーバ１０Ｂ、１０Ｃではそれぞれ、転送されて受信した第４トランザクションデータの検証と第７トランザクションデータの検証とを独立に行う。

　次に、サーバ１０Ａとサーバ１０Ｂとサーバ１０Ｃとは、第２トランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行し（Ｓ５１８）。分散台帳に記録されることで第２スマートコントラクトY_nを稼働させる（Ｓ５１９）。なお、ステップＳ５１８及び５１９の処理は、図１１Ａに示すステップＳ３１５及びＳ３１６と同様の処理となるため説明を省略する。

　また、サーバ１０Ａは、第７トランザクションデータの検証が成功した場合（Ｓ５１５でＹ）、複数の他のサーバ１０Ｂ、１０Ｃに第７トランザクションデータを転送する（Ｓ５２０）。

　次に、サーバ１０Ａとサーバ１０Ｂとサーバ１０Ｃとは、第７トランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行する（Ｓ５２１）。なお、ステップＳ５２１の処理は、図１１Ａに示すステップＳ３１８と同様であるため具体的な説明は省略する。

　このようにして端末４０が作成した第２スマートコントラクトY_nと、端末４１により送信されたＢさんの合意結果を含む第７トランザクションデータとが分散台帳に記録される。

　（変形例４）
　上記の実施の形態では、第３スマートコントラクトは、サーバ１０Ａにより作成されるとして説明したが、これに限らない。Ａさんにより操作された端末４０が作成してもよい。

　変形例４では、Ａさんの操作により端末４０が第３スマートコントラクトを作成する場合について説明する。以下では、第２スマートコントラクトを第２スマートコントラクトY_nと表記し、第３スマートコントラクトを第３スマートコントラクトX_ver2と表記する。

　図１４は、本実施の形態の変形例４における第３スマートコントラクトX_ver2が稼働するまでの処理を説明するためのシーケンス図である。

　図１４に示すシーケンス図は、図９に示すシーケンス図と比較して、第３スマートコントラクトX_ver2を作成する主体が端末４０に変更されている点が異なる。

　すなわち、まず、端末４０は、Ａさんの操作により、第１契約に対応する第３スマートコントラクトX_ver2を作成する（Ｓ６０１）。ここで、Ａさんは、第１契約の当事者であり、第１契約に規定される別途協議により締結された第２契約の当事者である。このため、Ａさんは、自ら作成した第２トランザクションデータY_nに含まれる第１コントラクトアドレスを容易に取得できる。また、Ａさんは、第１スマートコントラクトX_ver1から、第１契約の内容と、第２スマートコントラクトY_nを特定するために用いられる仮に決められた変数と、第２スマートコントラクトY_nが作成される条件とを容易に取得できる。つまり、Ａさんは、第２スマートコントラクトY_nを作成し、分散台帳に記録されたことを確認すると、Ａさんの操作により、端末４０に、第３スマートコントラクトX_ver2を容易に作成させることができる。なお、第３スマートコントラクトX_ver2には、図１０を用いて説明したように、第１契約の内容と、別途契約の飛び先である第２スマートコントラクトY_nと、第２スマートコントラクトY_nが作成される条件とが入力されている。

　次に、端末４０は、ステップＳ６０１で作成した第３スマートコントラクトX_ver2と、第１ユーザであるＡさんに紐づけられる第１電子署名とを含む第３トランザクションデータを生成する（Ｓ６０２）。

　次に、端末４０は、ステップＳ６０２で生成した第３トランザクションデータを、例えばサーバ１０Ａに送信する（Ｓ６０３）。なお、端末４０は、ステップＳ６０２で生成した第３トランザクションデータを、サーバ１０Ｂまたはサーバ１０Ｃに送信してもよい。この場合、以下で説明するサーバ１０Ａの動作がサーバ１０Ｂまたはサーバ１０Ｃの動作となる。

　次に、サーバ１０Ａは、端末４０から受信した第３トランザクションデータの検証を行う（Ｓ６０４）。より具体的には、サーバ１０Ａは、端末４０から受信した第３トランザクションデータに含まれる第１電子署名の検証と、第３トランザクションデータの正当性の検証とを行う。なお、ステップＳ６０４はスキップしてもよい。

　ステップＳ６０４において、サーバ１０Ａは、第３トランザクションデータの検証が成功しなかった場合（Ｓ６０４でＮ）、端末４０にエラー通知を行い（Ｓ６０５）、本処理を終了する。

　一方、ステップＳ６０４において、サーバ１０Ａは、第３トランザクションデータの検証が成功した場合（Ｓ６０４でＹ）、複数の他のサーバ１０Ｂ、１０Ｃに第１トランザクションデータを転送する（Ｓ６０６）。

　なお、ステップＳ６０６以降の処理すなわちステップＳ６０６～Ｓ６０８の処理は、図９に示すステップＳ３０７～Ｓ３０９の処理と同様のため、説明を省略する。

　このようにして端末４０により、第１契約に対応する第３スマートコントラクトX_ver2が作成されてもよい。

　［その他の実施の形態等］
　以上のように、本開示について上記の実施の形態に基づいて説明してきたが、本開示は、上記の実施の形態に限定されないのはもちろんである。以下のような場合も本開示に含まれる。

　（１）例えば本開示には、上記実施の形態の制御システム１においてブロックチェーンとして記録されるブロックに用いられるデータ構造も含まれる。より具体的には、本開示のデータ構造は、ユーザにより操作される端末と、それぞれ、分散台帳を管理し、かつ、前記分散台帳を利用してスマートコントラクトを管理する複数のサーバとを備えるシステムにおいて前記分散台帳に記録されるブロックに用いられるデータ構造であって、前記データ構造は、第１契約の締結者の１人である第１ユーザにより操作された第１端末から受信して得た第１契約に対応する第１スマートコントラクトであって、前記分散台帳を利用して前記第１契約の契約行動が実行可能にプログラム化された第１スマートコントラクトと、前記第１ユーザに紐づけられる第１電子署名とを含む第１のトランザクションデータを含み、前記第１スマートコントラクトには、前記第１契約の内容と、前記第１契約を主契約とした副契約である第２契約であって新たに締結される予定の第２契約に対応する第２スマートコントラクトを特定するために用いられる仮に決められた変数と、前記第２スマートコントラクトが作成される条件とが含まれている。

　（２）なお、上記実施の形態では、別途協議により締結された第２契約に対応する第２スマートコントラクトを分散台帳に記録する際に、第２スマートコントラクトについて合意が取れているのかを確認する場合の例を挙げているが、本開示は、この例に限らない。サーバ１０Ａまたは端末４０が第３スマートコントラクトを作成する際に第２スマートコントラクトについての合意が取れているのかを確認してもよいし、第３スマートコントラクトが稼働する際に第２スマートコントラクトについての合意が取れているのかを確認してもよい。

　（３）また、本開示では、第１～第３スマートコントラクトを含むトランザクションデータを分散台帳に記録するための合意形成に、マルチシグを使ってもよい。ここで、マルチシグとは、マルチシグネチャーの略称でトランザクションデータの署名に複数の秘密鍵を必要とする技術をいう。

　（４）また、上記実施の形態では、別途協議により締結された第２契約に対応する第２スマートコントラクトは、一つの主契約である第１契約に紐づいているとして説明したが、これに限らない。本開示では、第２スマートコントラクトは、複数の第１契約に紐づいていてもよい。

　（５）上記の実施の形態における各装置は、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記ＲＡＭまたはハードディスクユニットには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

　（６）上記の実施の形態における各装置は、構成する構成要素の一部または全部は、１個のシステムＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）から構成されているとしてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどを含んで構成されるコンピュータシステムである。前記ＲＡＭには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、システムＬＳＩは、その機能を達成する。

　また、上記の各装置を構成する構成要素の各部は、個別に１チップ化されていても良いし、一部またはすべてを含むように１チップ化されてもよい。

　また、ここでは、システムＬＳＩとしたが、集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ、ウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路または汎用プロセッサで実現してもよい。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）や、ＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。

　さらには、半導体技術の進歩または派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。

　（７）上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なＩＣカードまたは単体のモジュールから構成されているとしてもよい。前記ＩＣカードまたは前記モジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどから構成されるコンピュータシステムである。前記ＩＣカードまたは前記モジュールは、上記の超多機能ＬＳＩを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ＩＣカードまたは前記モジュールは、その機能を達成する。このＩＣカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。

　（８）本開示は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。

　また、本開示は、前記コンピュータプログラムまたは前記デジタル信号をコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕ－ｒａｙ（登録商標）　Ｄｉｓｃ）、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよい。

　また、本開示は、前記コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

　また、本開示は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記録しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。

　また、前記プログラムまたは前記デジタル信号を前記記録媒体に記録して移送することにより、または前記プログラムまたは前記デジタル信号を、前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　（９）上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。

　本開示は、制御方法、サーバ、及び、データ構造に利用でき、例えば別途協議が将来発生する可能性のある契約に対応するスマートコントラクトを分散台帳に記録して利用する制御方法、サーバ、及び、データ構造などに利用可能である。

　１　　制御システム
　１０Ａ、１０Ｂ、１０Ｃ　　サーバ
　１１　　処理部
　１２　　台帳管理部
　１３　　制御部
　１５　　格納部
　１６　　台帳記憶部
　１７　　ワーキングメモリ
　４０、４１　　端末
　Ｂ１、Ｂ２、Ｂ３　　ブロック
　Ｎ　　ネットワーク

Claims

　ユーザにより操作される端末と、それぞれ、分散台帳を管理し、かつ、前記分散台帳を利用してスマートコントラクトを管理する複数のサーバとを備えるシステムにおける、前記複数のサーバのうちの第１サーバによって実行される制御方法であって、
　第１契約の締結者の１人である第１ユーザにより操作された第１端末から、前記第１契約に対応する第１スマートコントラクトであって、前記分散台帳を利用して前記第１契約の契約行動が実行可能にプログラム化された第１スマートコントラクトと、前記第１ユーザに紐づけられる第１電子署名とを含む第１トランザクションデータを受信し、
　前記第１トランザクションデータを含むブロックを前記分散台帳に記録し、
　前記第１スマートコントラクトには、前記第１契約の内容と、前記第１契約を主契約とした副契約である第２契約であって新たに締結される予定の第２契約に対応する第２スマートコントラクトを特定するために用いられる仮に決められた変数と、前記第２スマートコントラクトが作成される条件とが含まれている、
　制御方法。
　前記第１トランザクションデータを含むブロックを前記分散台帳に記録する際、
　前記複数のサーバのうちの前記第１サーバを除く複数の第２サーバとともに、前記第１トランザクションデータの正当性について合意するための第１コンセンサスアルゴリズムを実行し、
　前記第１コンセンサスアルゴリズムによって前記第１トランザクションデータの正当性について合意された場合、前記第１トランザクションデータを含むブロックを前記分散台帳に記録する、
　請求項１に記載の制御方法。
　前記制御方法は、
　前記第１端末から、前記第２契約に対応する前記第２スマートコントラクトであって、前記分散台帳を利用して前記第２契約の契約行動が実行可能にプログラム化された前記第２スマートコントラクトと、前記第１ユーザに紐づけられる第２電子署名とを含む第２トランザクションデータを受信し、
　前記第２トランザクションデータを含むブロックを前記分散台帳に記録し、
　前記第２スマートコントラクトには、前記第２契約の内容と、前記第２スマートコントラクトの紐づき先を示す情報としての前記第１スマートコントラクトの第１コントラクトアドレスとが少なくとも含まれている、
　請求項１または２に記載の制御方法。
　前記第２トランザクションデータを含むブロックを前記分散台帳に記録する際、
　前記複数のサーバのうちの前記第１サーバを除く複数の第２サーバとともに、前記第２トランザクションデータの正当性について合意するための第２コンセンサスアルゴリズムを実行し、
　前記第２コンセンサスアルゴリズムによって前記第２トランザクションデータの正当性について合意された場合、前記第２トランザクションデータを含むブロックを前記分散台帳に記録する、
　請求項３に記載の制御方法。
　前記制御方法は、さらに、
　前記第２トランザクションデータを受信した場合、前記第１コントラクトアドレスを参照して前記第１スマートコントラクトに含まれる前記条件を特定し、
　第２トランザクションデータを受信した場合で、さらに、前記条件を満たすとき、前記第２コンセンサスアルゴリズムを実行する、
　請求項４に記載の制御方法。
　前記第２スマートコントラクトには、前記第２契約の内容と、前記第１コントラクトアドレスとに加えて、前記変数が含まれている、
　請求項３～５のいずれか１項に記載の制御方法。
　前記制御方法は、さらに、
　前記第２トランザクションデータを含むブロックが前記分散台帳に記録された場合、前記第２トランザクションデータに含まれる前記第１コントラクトアドレスを参照して、前記第１スマートコントラクトを特定し、
　特定した前記第１スマートコントラクトから、前記第１契約の内容と、前記変数と、前記条件とを取得して、前記第１契約の内容と、前記条件と、前記変数に代えて前記第２トランザクションデータの第２コントラクトアドレスとを含む第３スマートコントラクトであって前記第１契約に対応する第３スマートコントラクトを作成し、
　作成した前記第３スマートコントラクトと、前記第１サーバに紐づけられる第３電子署名とを含む第３トランザクションデータを生成し、
　前記第３トランザクションデータを含むブロックを前記分散台帳に記録する、
　請求項３～６のいずれか１項に記載の制御方法。
　前記第３トランザクションデータを含むブロックを前記分散台帳に記録する際、
　前記複数のサーバのうちの前記第１サーバを除く複数の第２サーバとともに、前記第３トランザクションデータの正当性について合意するための第３コンセンサスアルゴリズムを実行し、
　前記第３コンセンサスアルゴリズムによって前記第３トランザクションデータの正当性について合意された場合、前記第３トランザクションデータを含むブロックを前記分散台帳に記録する、
　請求項７に記載の制御方法。
　前記制御方法は、さらに、
　前記第１サーバのワーキングメモリに、前記第１契約に対する最新のスマートコントラクトが前記第３スマートコントラクトである旨を示す情報を保持させる、
　請求項７または８に記載の制御方法。
　ユーザにより操作される端末と、それぞれ、分散台帳を管理し、かつ、前記分散台帳を利用してスマートコントラクトを管理する複数のサーバとを備えるシステムにおける、前記複数のサーバのうちの一つのサーバであって、
　プロセッサと、
　前記プロセッサに処理を実行させるプログラムが記憶されたメモリと、
　スマートコントラクトが格納された前記分散台帳が記憶されている記憶装置と、を備え、
　前記プロセッサは、第１契約の締結者の１人である第１ユーザにより操作された第１端末から、前記第１契約に対応する第１スマートコントラクトであって、前記分散台帳を利用して前記第１契約の契約行動が実行可能にプログラム化された第１スマートコントラクトと、前記第１ユーザに紐づけられる第１電子署名とを含む第１トランザクションデータを受信し、
　前記プロセッサは、前記第１トランザクションデータを含むブロックを前記分散台帳に記録し、
　前記第１スマートコントラクトには、前記第１契約の内容と、前記第１契約を主契約とした副契約である第２契約であって新たに締結される予定の第２契約に対応する第２スマートコントラクトを特定するために用いられる仮に決められた変数と、前記第２スマートコントラクトが作成される条件とが含まれている、
　サーバ。
　ユーザにより操作される端末と、それぞれ、分散台帳を管理し、かつ、前記分散台帳を利用してスマートコントラクトを管理する複数のサーバとを備えるシステムにおいて前記分散台帳に記録されるブロックに用いられるデータ構造であって、
　前記データ構造は、
　第１契約の締結者の１人である第１ユーザにより操作された第１端末から受信して得た第１契約に対応する第１スマートコントラクトであって、前記分散台帳を利用して前記第１契約の契約行動が実行可能にプログラム化された第１スマートコントラクトと、前記第１ユーザに紐づけられる第１電子署名とを含む第１のトランザクションデータを含み、
　前記第１スマートコントラクトには、前記第１契約の内容と、前記第１契約を主契約とした副契約である第２契約であって新たに締結される予定の第２契約に対応する第２スマートコントラクトを特定するために用いられる仮に決められた変数と、前記第２スマートコントラクトが作成される条件とが含まれている、
　データ構造。