JP2004192577A - Icカードまたは個人認識用デバイスを利用したダブル認証情報管理システムおよびicカードまたは個人認識用デバイスを利用したダブル認証情報管理方法 - Google Patents
Icカードまたは個人認識用デバイスを利用したダブル認証情報管理システムおよびicカードまたは個人認識用デバイスを利用したダブル認証情報管理方法 Download PDFInfo
- Publication number
- JP2004192577A JP2004192577A JP2002363052A JP2002363052A JP2004192577A JP 2004192577 A JP2004192577 A JP 2004192577A JP 2002363052 A JP2002363052 A JP 2002363052A JP 2002363052 A JP2002363052 A JP 2002363052A JP 2004192577 A JP2004192577 A JP 2004192577A
- Authority
- JP
- Japan
- Prior art keywords
- card
- information
- personal
- personal information
- chip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】国民全てが安心して個人情報を提供し、快適で便利な生活を営むための、最終的に国民が共用する財産として守り育てていくシステムおよび方法を提供すること。
【解決手段】少なくともICカードまたは個人認識用デバイスICチップ発行部、ICカードまたは個人認識用デバイスICチップ管理部およびICカードまたは個人認識用デバイスICチップ運営部を有し、前記ICカードまたは個人認識用デバイスICチップ運営部と利用者双方のICカードまたは個人認識用デバイスICチップを用いることで、特定の情報にアクセスするための認証を行うことを特徴とするICカードまたは個人認識用デバイスICチップを利用したダブル認証情報管理システム。
【選択図】 図20
【解決手段】少なくともICカードまたは個人認識用デバイスICチップ発行部、ICカードまたは個人認識用デバイスICチップ管理部およびICカードまたは個人認識用デバイスICチップ運営部を有し、前記ICカードまたは個人認識用デバイスICチップ運営部と利用者双方のICカードまたは個人認識用デバイスICチップを用いることで、特定の情報にアクセスするための認証を行うことを特徴とするICカードまたは個人認識用デバイスICチップを利用したダブル認証情報管理システム。
【選択図】 図20
Description
【発明の属する技術分野】本発明は、ICカードまたは個人認識用デバイスICチップを利用したダブル認証情報管理システムおよびICカードまたは個人認識用デバイスICチップを利用したダブル認証情報管理方法に関する。
【従来の技術】現在、ICカードが普及しつつある。たとえば、JR東日本のプリペイド乗車券「スイカ」や、ビットワレットのプリペイド式電子マネー「Edy」もICカードである。両者とも読み取り機に軽く触れるだけで即座に精算できる利点があり、「スイカ」の場合、切符をいちいち購入したり、乗り越しの精算をしたりする手間が省け、また「Edy」の場合レジの精算が寸時で済み、小銭で財布を膨らませる面倒も減る。
こうした金銭の代わりとしてのICカードの利用に加えて、社員証や学生証をICカード化して、食堂での精算機能以外、社内や学内への出入管理まで行うところや、愛知県豊田市のように健康保険証をICカード化し、各病院にて受診者の資格確認が即行えるようにしたところもある。
このような普及の背景には、従来から広く用いられてきた磁気カードに比べICカードが大容量、たとえば、1枚のICカードに数百枚分の磁気カードの情報が収容でき、従って1枚で多機能化が容易にできる、という優れた利便性を有することに加え、磁気カードに比べ格段の安全性を有することにある。磁気カードの場合、カード自身にはリーダーの真偽を判断する機能はなく、さらに単純な暗号方式なので、リーダーに盗聴器を貼って信号を読み取れば偽造は容易となってしまう。一方、ICカードは、コピーするために不正にアクセスすると内臓されているCPUが拒絶をするので、信号を読み取ることができない。更に、万が一信号を盗聴されたとしても複雑な暗号方式を採用することが可能なので、結果として偽造は困難である。
このようなICカードの利便性・安全性を踏まえ、ICカードを行政が利用しようという動きも出始めている。すなわち、各国民ひとりひとりにICカードを渡し、そのICカードの中に、住民データ、被保険者証データ、公的施設の利用者証、プリペイド機能、決済機能を搭載しようというものである。更に、民間ともタイアップし、公的サービス以外でも1枚のICカードで利用が可能となる構想もされている。
ところで、近年個人情報が不正に利用されることが社会問題になっており、自治体によっては個人情報保護条例を施行するところも増えつつある。個人情報保護条例においては、たとえば行政が業務上収集した個人情報を目的外に利用することを明確に禁じている場合が多い。しかしながら従来、収集された個人情報の目的外利用がなされていないかどうかについて、実際明確に管理する仕組みはなかった。前述のICカード構想においては、各種個人情報がカード自体に記載される方式のため、ICカードを利用して各端末や設備を操作する際、情報提供を受ける側はICカードを受け入れた時点で、一旦その個人のあらゆる情報を受け取ることになる。一般的に、個人情報を提供した利用者は、暗黙の内に個人情報の利用範囲が特定されているものと信じる一方で、一旦個人情報の提供を受けた側はそれを自由に使えると考えている、として間違いない。受け入れた側が個人情報の利用を行う際に、本人の同意があれば問題はないが、今のところ常にその同意を得る仕組みと、本人の意志を確認したことを客観的に認証する具体的な体制が全く整備されていない。すでに全国各地の自治体の過半で個人情報保護条例が定められており、国でも個人情報保護法が国会に上程された。個人情報保護の立場からは、個人情報の利用に関する管理者側の裁量はほとんどなく、どのような場合でも本人確認が事前に必要であるが、現実的に対応できていないという理由で野放しになっているのが現状といえる。
そこで本発明者は、以前大阪の西成地区においてICカードを用いたダブル(W)認証情報管理システムを展開した。このシステムの特徴は、2つある。ひとつは、サービス/設備の利用者(カード所有者、主に個人情報所有者)と、サービス/設備を提供する運営者(カード使用者)でかつ利用者の個人情報を管理・利用する者の双方がそれぞれICカードを所持し、両者のICカードが揃わない限り、運営者は利用者の個人情報にアクセスできず、利用者はサービス・設備使用の提供を受け取ることができない、というものである。すなわち、利用者のICカードを、本人認証の意味と特定の個人情報を利用することに同意する、アクセス認証の意味とで用い、運営者のICカードを、その個人情報にその運営者がアクセスする資格があることを認証し、ついでその個人情報へのアクセスを認証する意味で用いる。2つめは、個人情報アクセス時に、カード利用履歴を独立して記録することである。第3者の立場にある者が利用履歴をとることにより、個人情報に不正にアクセスされていないか個々人が確認することが可能になる。
このシステムによれば、ICカードに個人情報を直接大量に書き込む必要はなくなり、極端な話、ID用の番号だけを付せばいいことになる。個人情報は、運営者のサーバーに蓄積・管理され、個人情報の所有者と運営者双方による情報へのアクセス認証が行われれば、必要な特定の個人情報のみが取り出され、利用に付される。従って、あらゆる個人情報が書き込まれている単体のICカードを取り扱う場合に比べ、運営者側が必要とされる以上に登録されている多くの個人情報にアクセスする心配はなくなる。
図1は、西成地区にて、平成12年(2002年)本発明者が実施したICカードを用いたダブル認証情報管理システムの全体構想図である。市役所といった公的施設と各家庭の間のみならず、病院や商店、福祉施設、情報プラザといった民間の施設ともネットワークを結び、各施設のサーバーに蓄積・管理された個人情報を、逐次その個人情報の所有者の承認のもと、取り出し利用できるシステムである。各個人は「J−CARD」(商標登録出願済、図面及び以下説明においては「Jカード」とも表記)と名づけられたICカードを有する。このICカードには、カードの所有者である個人が特定できるようにID番号が付されている。ICカードの発行・管理は図1にある基本センターが行う。尚、このシステムにおいては、ICカードのみならず、従来の磁気カードのようなカードも併用できるようにしてある。
基本センターの機能の、詳細は、図2のとおりである。ネットワークシステム全体概要は図3のとおりである。図4は、ICカードおよびICカード以外の従来のカード、たとえば磁気カードを含む、カード全体の用途の広がりと、便利さ・セキュリティの度合いを示したものである。図5は、図1のシステムのアプリケーション構成図である。図6は、図1のシステムを運用するに際してのカード一般のID管理を説明する図である。従来は、カードに付したID番号とカードの連番(および必要に応じてパスワードも含める)との組でユーザーIDとしていたが、西成のシステムにおいては、カードIDとカード連番を排し、統一利用者番号(統一ID)とカード種別(および必要に応じてパスワードも含める)との組で、ユーザーIDとしている。カード種別は、たとえばICカードや従来の磁気カードといった種別で、ICカード以外の他の種類のカードも含めた多種類の管理ができるようになっている。図7は、カードの所有者であり、何らかのサービスを利用しようとする個人(クライアント)のサポートを概略説明する図である。
このシステムのコンセプトは、「世の中情報化した方が便利だ」としてICカード利用を野放図に進める現状に警鐘を発し、ICカード化のマイナス面をクリアしてより安心なカードの利用、ひいては情報社会を実現することにある。基本は、個人情報の管理は、自己責任で行わせること、すなわち、本人に情報開示のリスクを負担させ、情報の開示・非開示は自分で決めさせる、ということである。個人情報を見たい者は見ろ、しかし、誰が見たかという記録を残せ、ということで、不正なアクセスも確認できる。不正なアクセスには、たとえば以降いかなるデータベースにも一定期間アクセスしてはならない免許停止のような処分など罰則を課せば良い。今のままでは相手方に情報がどんどんたまる一方で、プライバシーの侵害、情報漏洩の問題が深刻である。
たとえば、クレジットカードやキャッシュカードの成りすましによる被害は経済的なものであり、個人にとって重要なのは成りすましによる被害ではなく、買い物記録や財産内容が第3者に知られることである。カードを紛失して、他人がたまたま不正にカードを使用して損害が生じたとしても、普段から本人が自己責任で保険料を支払っているのだから、かかる保険からの支払金で損害はカバーできる。医療情報を情報システムで扱う場合は、ネット化することで病院の受診記録がどこの病院の端末からも自在に引き出せることはメリットあるのだが、今のままのシステムでは、1枚のカードで本人の了解なしにその本人の記録がすべてばれてしまうという怖さがある。すなわち、今までのシステムでは、情報を蓄積・管理しているところのオペレータやその上司が個人情報の使用有無を決めていたものであり、個人情報所有者である本人の確認はとっていなかった。
また、今までのシステムでは個人情報が本人の意志に反して開示されてしまった、漏洩してしまった場合には、本人責任ではなく、その個人情報を蓄積・管理しているところの責任が問われることになる。たとえば、これが住民台帳の場合、ICカードを発行した行政の責任が問われることになろう。自動車免許の場合は、事故を起こした際、責任が問われるのは、その事故を起こした本人であり、免許を発行した行政側の責任が問われることはない。ICカードを利用した住民台帳管理においても、そのICカードを有する人間の自己責任で情報管理ができるようなシステムにしなければ、行政の責任は非常に大きなものになってしまうことだろう。
自己責任で、という範疇には、必ずしも自分が常にその個人の情報に第3者がアクセスする際に承認を行う必要はなく、信用のある、或いはアクセス資格のある第3者がアクセス承認を行い、そのアクセスを事後本人が確認して、承認を行う場合も含まれる。そのためにも、誰が個人情報にアクセスしたかという情報の記録をとり、それを確認できるということは大切である。
たとえば、大阪の人間が、出張先の東京で倒れたとする。本人はICカードを携帯しているが気を失っている状況であるとする。この人間が担ぎ込まれた病院の担当医は、この人間の既往歴、どんな薬を服用しているか、ペースメーカーを使用しているかなどなどの過去のデータを知りたい。そこで、その病院の院長に相談し、院長のオールマィティーなカード(とその担当医のカード)でその個人の病歴に関する情報にアクセスし、その個人の治療に使用する。そしてその個人の命が助かる。本人が目を覚ましてから、そのアクセス事実を知り、承認する、というケースもありうる。ある意味で、院長と担当医がグルになっている。しかし、2人とすると犯罪の確率は減る。捜査令状が、署長と担当の印があって、裁判所が承認し、発行されるのと同様である。
また、たとえば、大阪の人間が福岡に引越しをしたとする。大阪の得意のデパートからいつも贈り物をしていたとする。引越し先のデパートからも知人にいつも大阪のデパートで贈っていたような品を送りたいとき、引越し先のデパートが大阪のデパートのデータベースにアクセスして過去の情報を見られたら、それで贈答品を送るのが楽になる。本人がOKといえば、情報にアクセスしていいといわれたデパートがアクセスできる。まるで、個人のサーバーを大阪のデパートに置いているようなもので、その情報の閲覧権限は、本人とその情報を管理しているデパートにある。但し、デパートで情報を閲覧する際も、あくまでダブル管理、たとえば、本人とデパート側の両者の承認があって、初めてアクセスできるようにしておかなければならない。単独のアクセスはできないようにしておかなければならない。
本人が引越し先のデパートに大阪のデパートのその個人情報にアクセスすることを承認しているのに、大阪のデパートが情報アクセスを拒否したら、その大阪のデパートとの取引はやめ、本人に関する情報を削除を依頼することになるだろう。これはつまり、どのデパートとの取引を行うかを本人が決定すれば良いことを示す。これまでの情報システムに対するセキュリティ技術の開発は、個人の被害を防ぐための事故や犯罪防止ではなく、情報を個人からあづかる立場の人や組織の被害を防ぐためのものであることは明らかである。特に成りすましによって生じる被害の担保責任を情報をあづかる人間が負うという前提でない限り情報システムの導入は根拠を失ってしまうからである。情報システム導入に伴う設備投資を行うのは企業や行政機関であり、投資したメリットが投資した側にあるのは当然である。業務管理や営業体制を情報化することは企業や組織の利益に結びつけるためであり、情報化で発生する情報漏洩や改竄、個人情報の流用や悪用は基本的に企業の利益や従業員の個人的利益を追求することで発生する。
例えば、小売店舗で起こる万引きの被害は、商品を展示販売していれば当然発生する事故であってその被害は商品価格に上乗せしているだけである。万引きを防ぐ方法は考えていくのは当然だが、商品展示をしている以上、万引きをなくすことは不可能である。なぜなら、万引きの被害の相当な部分が従業員もかかわっていることが事実だからである。
情報化社会で最も重要なことは誰が情報化で利益を得ているかを考えることである。これまで企業は自己都合で情報化を推進し自己の利益の確保と責任回避が目的でセキュリティ技術を考えてきたことが大きな誤りである。情報化社会でもたらされる社会的利益と組織的利益を混同してはならない。
現在は、情報ネットワーク上で発生する事故や犯罪を防ごうとしてファイアウォールを築き、情報をいかに見せないか、ということに力が注がれている。そのため、情報の価値・値段があがっている。そして情報を盗みたくなる人も多い。極端な話、電話会社の人間まで、電話番号を他人に気楽に教えるな、と警告する時代になっている。一方、本発明者のコンセプトによれば、情報は見たければ個人の承認のもと誰もが見られるようになるのだから、価値がなくなる。情報を盗みたくなる人もいなくなる。
情報にアクセスされるのが嫌ならば、うちはデータベースは公開していない、と看板出せばよく、それに同意する人間はそういうところを選べばいい。情報にアクセスしていいかどうかの承認権限は個人、そしてそのデータを管理している機関にある。
たとえば、受験の成績、警察の調書など、どうしても公開したくない情報はオフラインにすればよい。その一方で、先の病歴データなど見せる(必要のある)ものはオンラインとして、はっきり区別がつけられる。何を公開するかは、その情報に係わる本人と、その情報管理者である機関とが決め得る。現状では、人のデータは通信を介して行き来する。どこかにチェックポイントがある。そのため、ハッカーに狙われてしまう。本願にあっては、人に見られたくない情報は、オンラインと切り離し、オフライン管理した方が安心であるとの前提があるので、オフラインの情報を盗むためには、空き巣に入る他なくなるだろう。
上述したコンセプトは、既に本発明者が西成のシステムにて実現させた。西成のシステムは、まさに世の中の縮図である。
但し、西成のシステムにおいては、Jカードの発行者、認証者(カード管理者)、更に場合によってはサービスの提供者(運営者、カード使用者)が同一機関であり、明確にその機能分けができていたとはいえず、ましてその責任範囲などもはっきりしていなかった。
上述のコンセプトならびにそれを実現した西成のシステムにおいて、重要なことのひとつは、もしICカードを紛失したら、そのICカードの不正利用を防ぐために直ちにそのカードによる利用をストップできるようにすることである。もし、発行者(発行機関)と管理者(管理機関)が同一として、発行機関が休みだったら、紛失したカードの即利用停止を行うことができない。またICカードは多目的多用途カードでもあるため、複数の機関が発行する場合も出てくるだろう。そうした場合、それぞれの発行機関が複数の組織や施設にアクセスして、利用停止ができるようデータベースを書き換える必要が出てくる。
キャッシュカードやクレジットカードのようなカードの発行者・管理者が責任を共有する同じ組織であり、利用者端末の管理者と発行者は契約によって瑕疵担保責任を法的に負うことによって一元的なカード管理を可能にしているカードシステムとは異なり、多目的多用途のICカードにおいて、発行者と管理者が同一という権限集中は、ときにはカードの実際の運用に支障をきたし、ひいては社会機能の停止につながることにもなりかねない。
また、上述のコンセプト実現のためには、ハンコでいえば印影のような、ICカード(または個人認識用デバイスICチップ)を特定できるためのID番号を読み取ることが技術的ポイントになってくる。しかしながら、現在のところ、たとえばSONY社のフェリカカードでは、カードとR/Wの間の通信技術が完全にクローズされているため、SONYとそのグループ企業以外の第3者によって、カードに書きこまれたデータを電子的に読み込む方法でカードを特定するのは難しい。ID番号の第3者読み取りができなければ、発行者と管理者が同一という状況を打破することはできない。
【特許文献1】
特開2001−202494号公報
【特許文献2】
特開2002−007996号公報
【非特許文献1】
大阪府羽曳野市役所 戸谷 寿夫 著、「窓口行政の現状と今後」、2000年,p.1―25
【非特許文献2】
大阪府羽曳野市 著、「各種情報システムのご案内 平成10年1月現在羽曳野市」、1998年
【発明が解決しようとする課題】上述の現状を踏まえ、本発明は、国民全てが安心して個人情報を提供し、快適で便利な生活を営むための、最終的に国民が共用する財産として守り育てていくシステムおよび方法を提供することを目的とする。すなわち本発明の目的は、本人の承認の元、個人情報に誰もが自由にアクセスできる、実社会で運用可能な個人情報の認証システムおよび方法を提供することにある。
そのためには、複数の会社の開発による多用途カードのID番号を読み取れる読み取り装置が各メーカーによって広く市場に供給されることが必要である。カードを特定できるカードID番号を自由に読み取れるように設計されたICカードなら、どこのカードメーカーが製造したものであっても本発明者のシステムで用いるのに支障がない。
これからの情報化社会で個人情報の認証システムを実現するためには、個人が自ら本人認証を代行させる情報デバイス(ICカードやPC,PDA,携帯電話等)の普及が不可欠である。アジアの印判、西欧のサイン、中近東アフリカのバイオロジーに代わるものである。個人情報の認証システムを社会に提供するのに、情報技術企業一社がデバイス、読み取り装置、通信プロトコル、ICアルゴリズムなどを一括して権利として独占することは許されるべきではない。
企業の不正や技術的瑕疵が確認された場合に、必ず国民によってその企業が淘汰される保証を担保するには、あらゆる企業の参入が保証されてなければならないからである。
発行者兼管理者とシステム供給会社とが一対の契約関係で律せられるなら構わないが、多目的多用途である認証デバイスのシステムは公的インフラとして保証される必要がある。
個人情報の保護と管理システムが明らかに公的なインフラである以上は、知的所有権の側が主導権を握ったシステム管理や開発管理が認められるはずはない。
国民の個人情報の提供を受けて活動する行政、民間企業、または組織や団体は受取った個人情報を多用途多目的に利用してはならないことが求められているが、国民がその個人情報が適切に管理運用されているかをチェックするには、必ず個人を認識するデバイスを国民各自が持たなければならない。
国民全てが安心して個人情報を提供し、快適で便利な生活を営むには、最終的に国民が共用する財産として守り育てていくシステムの開発は必要不可欠である。
しかし、個人情報保護に関する情報システムの必要性が叫ばれるなか、そのシステムの開発を今のまま情報技術企業や国家の事業活動に委ねておけばいずれは知的権利の独占が避けられない。
国民全員が、個人情報を扱う全ての事業所(官民を問わず)のデータベースにアクセスすることを可能にするシステムは極めて公共的なインフラである。
全ての企業や個人が自由に工夫してより良きシステムにしていく社会的な保証が必要でありそれはオープンソースという思想を背景にした国民的財産にすべきことである。
【課題を解決するための手段】上記の目的を達成するため本発明に係るICカードまたは個人認識用デバイスICチップを利用したダブル認証情報管理システムは、少なくともICカードまたは個人認識用デバイスICチップ発行部、ICカードまたは個人認識用デバイスICチップ管理部およびICカードまたは個人認識用デバイスICチップ運営部を有し、前記ICカードまたは個人認識用デバイスICチップ運営部と利用者双方のICカードまたは個人認識用デバイスICチップを用いることで、特定の情報にアクセスするための認証を行うことを特徴とする。 請求項9に記載のICカードまたは個人認識用デバイスICチップを利用したダブル認証情報管理方法は、少なくともICカードまたは個人認識用デバイスICチップ発行工程、ICカードまたは個人認識用デバイスICチップ管理工程およびICカードまたは個人認識用デバイスICチップ運営工程を有し、前記運営工程において運営部と利用者双方のICカードまたは個人認識用デバイスICチップを用いることで、特定の情報にアクセスするための認証を行う工程を有することを特徴とする。
また本発明は、上述のダブル認証情報管理システムを構成するエレベータ、自動扉、電子ロック等の各単体としても、さらにこれらを要素として含み得る電子制御建築(以下、「(西成区)福祉人材開発研修センターに係る電子制御建築」ともいう。)としても、またはICカード及びICカード認証システムを用いたビジネス展開を行うための業務方法(ビジネス・メソッド)としても、これぞれ実現できることは当然である。
【発明の実施の形態】
以下、本発明の実施の形態につき説明する。
まず、多用途ICカードが成立する根拠について説明する。
カード発行者/発行部(以下、「発行者」ともいう。)、カード製造者/製造部(以下、「製造者」ともいう。)、カード管理者/管理部(以下、「管理者」ともいう。)、カード使用者/運営部(以下、「使用者」ともいう。)、カード所有者/利用者(以下、「所有者」ともいう。)、の各ポジションの役割と責任から見た多目的、多用途ICカードの管理運営の構造に、以下のICカードによる個人情報とカード管理システムの記述は、個人が本人確認もしくは第三者に対して認証請求する場合のシステム自体の機構についてICカードを例に説明していると解釈すべき内容である。
註記1;本欄で説明しているカード発行者、カード製造者、カード管理者、カード使用者、カード所有者の役割は、個人に発行された本人認識をするための情報デバイスがICカードでなくても同じ構造をもっている。ICカードのICチップと同じ機能を持つチップが携帯電話、PDA、モバイル型のパソコン、その他の情報端末デバイスの電子媒体に取り付けられていれば、何等かの通信手段を用いて、デバイス認証を個人認証とすることが可能だからである。
註記2;上記の読み替えと同じように、カード発行者、カード製造者、カード管理者、カード使用者、カード所有者は、同じ認証機能をもつ機構のなかで電子媒体となる認証用のチップを持っているデバイスの発行者、デバイスの製造者、デバイスの管理者、デバイスの使用者、デバイスの所有者と読み替えることができる。
1.カード製造者(もしくは個人認識用デバイスを供給する者)について説明する。カード製造者は、たとえば出願人であるR&D(以下、単に「R&D」とも略記する。)が定めた一定の仕様を満たす製造ライセンスを受ける者として定義される。
カード製造者の位置と体制については次のとおりである。
基本的には、カード製造者はライセンスを取得すると同時に、カード管理者にカード製造者を登録して販売したカードの管理委託が可能な状況にする必要がある。
カード製造者に提供される一定の仕様を満たすライセンスは、本特許出願によって開示されるあらゆる技術的内容を前提とする。
あるカード発行者によって個人宛に発行されたカードは、必ずカード発行者以外の第三者が特定することができるようになっている。
読み取り機器と非接触ICカードとの間の通信方法について
今回はICカードをデバイスとして考えているが、通信技術に関する技術/非接触、接触、磁気、携帯電話、PDAなど様々な個人認証ツールが読み取ったデバイス認識番号の送受信を可能にする技術的解決方法を包含する。
技術開発の目的;
複数(多数)のカードメーカーが供給するICカードやその他のデバイスからカード(デバイス)ID番号を読み取ることのできる読み取り装置が、様々な読み取り装置メーカーから供給されることを可能にすること。
技術上の問題点と解釈;
これまでの一般的な技術開発スタイルは、カードシステムと読み取りシステムは一体的に設計され、排他的な権利が設定されていると考えていい。
今回西成の福祉人材開発・研修センターの電子制御建築システムにて採用した、SONY社の非接触ICカード/フェリカでも排他的な条件が設定されている。そのため、今回構成する多用途カードの普及には、ICチップから、カード製造者以外の第三者がそのカードを特定できるID番号の読み取りが可能な読み取り装置や通信プロトコルを含めて技術的な解決が必要である。
現状では、カードを購入するカード発行者(顧客)はSONYの指定するメーカー(代理店)に対してカード発行者が独自に指定するプログラムを提示するが、専用の端末を発注せざるをえない。
今回の特許出願に係る発明の実施に際しては、カード発行者以外の第三者であるカード使用者やカード管理者がカードに記録されたデータを読み取ることができなければならない。
カード発行者以外の第三者がカードデータにアクセスすることを可能にするには必ず共通化された一定のプログラムを用意しておく必要がある。
SONY社のフェリカカードの場合は、カードとR/Wの間の通信技術が完全にクローズされているため、SONYとそのグループ企業以外の第三者によってカードに書込まれたデータを電子的に読み込む方法で、カードを特定するのは難しいと予想できる。
カードの種別や発行者を問わずに、カードID番号によるデータアクセスを外部から管理し制御できなければならない。
今回の電子制御建築システムに係る特許出願は、多用途ICカードの普及に絶対必要な一体的なICカードとICチップの読み取り装置の通信手段がオープンな構造にならなければならないと判断している。カード製造者(デバイスを問わないために)と読み取り装置(デバイスからカードID番号を読み取るために)のメーカーが自由に開発できる環境を作る必要がある。
カード自体の機能は、端末を通じてカード発行者やカード使用者である施設管理者や運営者にカードのID番号(ハンコでいえば印影)を伝える役目しか与えられていないことが最も重要なポイントである。なぜなら、カードを無くした場合は電話やファックス、メイルなどで名前や生年月日をカード管理者である管理センター(仮)に伝えただけでカードを利用できないようにしなければならないからである。
これまでキャッシュカードやクレジットカードを無くしても同じように電話で利用不可にすることができたが、今回のように多目的多用途カードでは不可能である。なぜなら、カード発行者やカード管理者が異なる複数の組織や施設のデータベースを書き換える必要があるからである。
キャッシュカードやクレジットカードではカードの発行者管理者が責任を共有する同じ組織であり、利用者端末の管理者と発行者は契約によって瑕疵担保責任を法的に負うとしていることによって一元的なカード管理を可能にしたからである。JRカード、百貨店カード、また自治体カードも同様である。
大阪市に導入されたシステムでは、カードデータを読み込む情報端末に直接通信回線を接続していないため、カードの利用キャンセルは直接データベースから端末に送られるようになっているが、これは暫定的な処理にすぎない。外部からのアクセスによるコントロール方式に擬した形で、カードデータを読み込む情報端末には専用のパソコンを接続して管理するようにしてある。
複数のカード発行者や管理者が異なる施設や組織で多目的にICカードが使われる場合は、第三者であるカード管理者によるカードIDの認証(カードが有効であるか否かを判定)が必ず必要である。
しかし第三者による管理では、カードを使用している組織や施設が業務で作成しているデータベースにアクセスすることは一般的にできないため、カードを使われる情報の入り口(読み取り機)でもってアクセスしたカードのID番号を確認した瞬間に許諾を行わなければならない。
カード管理者(カード販売者)について説明する。
カード管理者の定義について
カード管理者は、多目的多用途のカードを自ら発行するカード発行者と、流通しているカードを受け入れて自らの組織や施設の運営に活用しようとするカード使用者から付託を受けて、カードの有効性を常時管理する者と定義する。
カード販売者については、今回はカード製造者に対して直接発注しているのはR&D/チップスコネクションであり、カード製造者(SONYグループ)から受けとったカードを、市民に対するカード発行者である大阪市に対して納品する形をとっている。そのため、大阪市から再度カード管理の業務を受託する構造になる。
今しばらくは、カードを使って利用者や消費者を管理したいと考えるカード発行者から、製造と販売、さらにカード管理業務を一体的に請負う形が続くという認識である。
ただし近い将来最終的には、カード発行者は自らサービスのよいカード製造者を選んでカードを購入することになり、サービスの良さにはしっかりしたカード管理システムを依頼できる体制も含まれるようになるだろう。その段階でカード管理者は縁の下の力持ち的なかつ空気のような存在になるはずである。
カード管理者の役割と組織的意味合いについて
カード管理者は、カードの管理を行うための任意団体であり、たとえば出願人であるR&Dが定めた一定の基準を満たすものとして認定されていなければならない。
カード管理者は、一定の規模の範囲や人口数を勘案して認定される地域中心に認定される団体であり、各地域のカード管理者間はネットワークで結ばれている。
ネットワークで結ばれている各カード管理者に登録されているカードID番号とカードを登録した者を特定する個人情報(氏名、生年月日、性別等)を使い、各カード管理者相互に参照を行って使用されたカードを特定し認証する。
各地域に設置されるカード管理者は全国的なネットワークを構成するが、あくまでも上下関係のないフラットな環境を維持するものとする。ただし、人格の異なる複数のカード管理者が登記された場合には、ネットワークと全国のカード管理者の資格と業務上の履歴について監督する権限が必要になる。
この監督組織は、カード製造ライセンス、通信プロトコル、メーカーIDとカードID番号、読み取り装置ID番号を管理する民間団体の外郭組織(財団法人またはNGO)を考えている。
カード管理者はカード製造者からその会社が製造して出荷したカードのID番号の提供を受けておかなければならない。そのため、カード製造者は事前に製造者として認定を受ける必要があり、認定を受けるには自社の製造したカードの品質とID番号の管理体制についてカード管理者が定める業務体制に関する一定の基準を確保し、維持することを約束しなければならない。
カード管理者は、出願人R&Dがライセンスを所有する多用途、多目的のICカードを個人に発行する目的で、R&Dが一定の要件を満たす設備を備えたカード発行者には、カード発行者の指定をしなければならない。
カード管理者は、カード発行者が個人から具体的な申込みによって特定の個人にカードを発行した段階で送ってくる個人の特定情報を自らの管理下にあるデータファイルに保管しなければならない。
カード管理上の技術的解決と将来展望について
カード管理者は、カード発行者とカード製造者から送られてきているカードとカードの所有者を特定するために発行者が登録した個人情報を突き合わせてカード管理業務を行う。
カードの発行時の動き/カード発行の認証について
カード管理者はカード発行者が発行したカードID番号と、カード製造者によるID番号を照合し偽造もしくは盗難されたものではないことを発行と同時に確認する。
製造者から事前に登録されていないカードや盗難の届けがあったカードの場合には、発行者に対してカードキャンセルの返信データを送信する。
発行されたカードが真正のものであればカード管理者はそのままカードに関する登録情報をファイリングする。個人情報の内容についての虚実は全く問わない。同じ個人に対する発行枚数にも制限はない。
カードの使用時の動き/カード有効の認証
カードが使用される端末の管理者の要求が無い限りカードの真贋についての認証は行わない。/一旦発行されたカードによって付与されたカード利用資格のデータは、その施設や組織のネットワーク内で指定されたカード利用端末側に直接送られた状態のまま、基本的にアクセスを承認されたカードID番号とその端末のアプリケーションデータ間の照合でシステムが動くだけである。
カード発行者ではない第三者/他の組織や施設が発行済みのカードを受け入れて自らの「会員カード」として使わせる場合には、改めてその新しい組織の責任でカード管理者にカードの有効性を確認することができる。
ただしアクセスされたカードによる問い合わせに対してカード管理者やそのカードが (1)発行済みである(2)紛失盗難等の届けがない(3)不正使用の履歴がない、という3つの事実だけを返すのみである。そのカードがだれにいつだれによって発行されたか、という個人データの照会は行われない。
カードの発行データはプライバシーの範疇に属す個人情報であり、このカードはカードの発行を申込んだ時点で行った本人の記述申告を唯一絶対の真正データとして登録することに特徴がある。いうなれば偽名や年令詐称も許されているカードであるといってよい。
カードの使用時の動き/カード無効の認証
カード管理者は、カード所有者から紛失や盗難した場合や、その恐れがある場合には電話やファックス、E-mailなどの通信手段を使うほか、口頭でもってカード無効の連絡を受付ける。
カード管理者は、カード所有者から紛失したカードを特定するために必要な情報をヒアリングすることになる。氏名、生年月日でほとんど特定可能だが、それでも特定できない場合は、券面に記載されていた番号の写しやカードに書込んである本人を確認するための情報(電話番号や郵便番号、出身地など)を聞いて特定する。
カード管理者は、紛失が特定されたカードが登録されている施設や組織の情報端末に対して同カードを受け付けさせない信号を送って、紛失の連絡があったカードを無効にする手続きを実行する。
本願の西成区の福祉人材開発・研修センターに係る電子制御建築のシステムは、各EVや電子ロック、自動扉、情報端末などには直接情報を送れる接点を設定し、そこにパソコンで代用しているカード有効無効をチェックする機能を用意するものである。
カード管理者は、必要に応じてカード発行者やカード使用者 (共通のカードを受け入れている事業体)との契約によって定められている施設内のデータコントロールサーバーにアクセスして登録カードの抹消手続きも行うことが可能である。
カード管理者は、自ら契約しているカード発行者やカード使用者以外に、当該カードを使って運営されている施設や組織の情報端末に対してもキャンセル信号を送る必要があるときは、先般のネットワークを通じて各地のカード管理者を経由して情報端末にアクセスする。
カード所有者は紛失・盗難等を連絡して自分のカードは使用できない状態にした場合は、カードを使って登録した諸権利を再利用するにはカードの再発行を受けなければならない。
再発行の手続きはなくしたカードを発行したカード発行者で行う。それ以外のカード発行者でも再発行の手続きは可能であるが、その場合は新規発行と同じ手続きになる。
新たなカードによって、カードによる諸権利と資格を可能な限り復活させるには、カード利用履歴や登録されている個人情報の閲覧が必要になるため元のカード発行者での個人情報の閲覧手続きが容易である。
旅行中や転居先で紛失した場合のカードの再発行は非常に時間がかかると考えなければならない。今回提案しているICカードやシステム全体は、複数の施設や組織で使える共通カード(デバイス)を前提にしているため、ひとつ一つの施設管理者に対して改めて本人確認が必要になるからである。
緊急を要する場合は、過去の登録の履歴を一旦保留し、改めて近場でホワイトカードを求めて日々必要な施設や組織に対して改めて登録を始めるしかない。行く先々で「すみません。カードを無くしたのでこのカードで再登録をお願いします。」と繰り返す他は無いのである。
その場合、相手の判断によってはカードを紛失した人の過去のデータや履歴をそのまま使える扱いをしてくれるかもしれない。一旦カードをキャンセルした場合、みな基本的には「一元さん」になってしまうから仕方がないとも言える。
しかし、カードを使わなくても生活できるレベルの手続きに使うカードであれば、うっかりミスの罰則としては軽いと思うべきであろう。財布を落として現金が盗まれることや免許証を失って仕事がしばらく出来なくなる場合よりはましと考える。
カード所有者が一旦、紛失届を出してカードを無効にした後でカードを発見した場合は、改めてカードが見付かったとカード管理者に連絡をしてもネットワークでは復活は不可能である。本人確認が必要になるからである。
カードを紛失した。カード管理者に届ける。カード無効の信号を送る。カードを見つける。カード管理者に届ける。この場合、カードを盗んだ人や拾った人が連絡する可能性があるからである。
その場合の本人確認の方法は次の通りである。
カード管理者の委託を受けた人間が、直接カード所有者(であったという人間)と面接し、登録写真や本人しか知り得ない情報を確認して、復活させる。
カード管理者がカードの利用履歴を参照しながら、カードを無くす前のカード利用状況を確認しながら本人であることを確認して、復活させる。
上記のヒアリングによって確認されても最終的には顔写真での認証が必要になるが、写真機能付きの携帯電話を使ってカード管理者に登録されている写真と照合して最終確認することも可能である。
ロとハを併用する場合が最も合理的であるが、どこまでも成り済ましの可能性は排除できないため、一定の範囲での機能復元に止めるべきであり、最終的には発行者の確認をもって完全復旧にするべきである。
ハの手続きで現場に出掛けて所有者と面接することは、カード所有者がカードを失って生活や業務に支障を生じた場合に行われるカード管理者の仕事であり避けられない業務である。
カード発行者が発行したカードを電子ロックやその他の設備の起動制御用の鍵として利用していた場合は、紛失した場合は夜中に家から締め出されるとか、医者が病院に入れなくなることもありうるからである。
カードを紛失した場合は、鍵を失った場合とほとんど同じ不都合がカード所有者に降り掛かるが、その解決方法も整備しておかない限り多用途、多目的のカードシステムは機能しない。
出願人が提案している電子制御建築を核とするシステムの全体は、カード管理者はカード紛失の連絡によってカードを無効にすることでセキュリティが確保されているが、そのことによって生じる所有者の被害を最小限度にとどめるように考えて設計されている。
カード管理者が行う業務の範囲
カード管理者は、カード製造者からカード出荷時にカード製造ID番号を受取る。
カード管理者は、カード発行者から発行登録時に登録した人間の氏名、生年月日、性別、写真データもしくは本人確認可能なデータ(註3)を受取る。
註3;本人確認可能なデータとは、電話番号、メイルアドレス、現住所、本籍地、母親の名前、子供の名前、卒業学校名、ペットの名前など
カード管理者は、すでに発行されたカードが新たなカード使用者に登録される場合には、そのカードの(1)発行済みである(2)紛失盗難等の届けがない(3)不正使用の履歴がない、という事実を通知する。
カード管理者は、カード所有者からカードの紛失盗難の連絡によってカードを無効とする手続きを実行する。
カード管理者は、カード所有者からカード無効の手続きをキャンセルする旨の連絡によって、復活させる手続きを実行する。
カード管理者は、カード所有者からカード無効によって緊急的な対応を求められた場合は、現場に急行して必要な対策を講じる。
西成の大阪市社会福祉研修・情報センターで実施予定のシステム管理における、データ登録と管理の流れを参考にまで掲示する。
●大阪市社会福祉研修・情報センターは、大阪市が設置し大阪市社会福祉協議会が運営を受託する施設である。そのためその中で使われるICカードを使った管理システムは、一体的に運用されているように見える。
●実際には、ICカードの製造、発行、管理、使用、所有は分割して設計されている。
●この施設で発行されたICカードが他の施設や地域で同じように使用できるようにするには、発行者と使用者を明確に分け発行者と使用者はカードを使って記録される個人データのみを厳密に管理するとともに、カードの管理を外部委託する仕組みになっていなければならないからである。以下は具体的な内容である。カード管理者 (A/施設設置者・大阪市)は、カード製造者からカード出荷時に設定されているカード製造ID番号を受取る。
カード発行者(受付・大阪市社会福祉協議会)は、施設の利用希望者から必要な要件を書込んだ申込書を受取り、上記のカードを特定して本人に対してカードを発行する。
カード発行者(受付・大阪市社会福祉協議会)は、施設の施設職員に対して規定の個人情報を確認した上で、業務上の資格を明らかにしたうえで上記のカードを特定して本人に対してカードを発行する。
カード管理者(B/施設管理者・大阪市社会福祉協議会)は、カード発行者 (受付・大阪市社会福祉協議会)から発行登録時に発行する本人から受取った個人情報の中で、氏名、生年月日、性別、写真データもしくは本人確認可能なデータ(註3)を自立したサーバーに登録する。
カード発行者(受付・大阪市社会福祉協議会)は、すでに発行されているカードを持っているカード所有者(施設利用者と施設職員)が新たなサービスや業務上の資格を受けることを希望した場合、カード管理者が管理しているサーバーにアクセスして、そのカードの(1)発行済みである(2)紛失盗難等の届けがない(3)不正使用の履歴がない、という事実を確認して表示する。
カード管理者(B/施設管理者・大阪市社会福祉協議会からカード管理を受託している管理センター)は、カード所有者からカードの紛失盗難の連絡によってカードを無効とする手続きをカード管理者(A)に代わって実行する。
カード所有者からカード無効の手続きをキャンセルする旨の連絡によってカードを有効な状態に復旧する手続きをカード管理者(A)に代わって実行する。
カード管理者(B/施設管理者)は、カード所有者からカード無効によって緊急的な対応を求められた場合は、カード管理者(A)に代わって現場に急行して必要な対策を講じる。
カード管理者のデータ管理方法について
カード製造者から送られる番号
カード管理者には、製造者のデバイスであるカードID番号が保存される。製造者から送られたID番号には鍵(a)が付けられている。
一方、カードのICチップに記録されたID番号は製造者から送られたものと同じであるが、ID番号には鍵(b)が添付されているため、カード管理者のデータファイル側で送られたID番号は鍵(a) 鍵(b)が揃って認識される構造である。カードのICチップのID番号が認識されてから、カード券面に記載されたID番号の確認が必要になった場合には、データベースと分離して管理されているアルゴリズムプログラムを使ってID番号との紐付けが可能である。
データ照合の流れ; カード側のID番号+鍵(a) →鍵(a)+鍵(b)を照合 →カード管理者側のID番号を確認 →アルゴリズムプログラム →券面記載のID番号のリスト照合。
カード発行者から送られる登録者データ;
カード発行者はカードを申込む人から登録に必要な個人情報の提供を受けることを前提としている。
個人情報のなかで、氏名/生年月日/性別が最も基本的な情報である。この3点は広く公開される意味で個人情報ではなく出願人のシステム上は個人特定情報と考えている。→個人情報A
カード発行者は特定のICカードを特定の個人に発行する際には必ず、カード発行機にカードを差し込んだ上で、氏名、生年月日、性別、を記録した登録者ファイルを作成した上で、カード管理者に送信しなければならない。
カード発行機には写真印刷機能を有したものを使用することが望ましいが絶対条件ではない。
カード発行者が管理保有する個人データ;
カード発行者は、必ず何等かの目的をもってカードを個人に発行するものであるため、氏名、生年月日、性別の個人特定情報以外に、現住所、電話番号、会社名または学校名、学歴、役職、国籍、本籍、家族情報などその他の個人情報を、カードを申請した個人から一定の個人情報を収集する。これらは発行者が第一位の管理責任を有する個人情報である。→個人情報B
カード発行者は、個人情報保護条例の関係から本人確認がない限り個人情報Bについて他用途利用は禁止される。外部から容易にアクセスできない状態で管理しなければならない。ただし発行したカードを使った本人からの申し出がある場合にはその限りではない。
カード発行者は、カード所有者がカードを使って自己の管理下にある様々な設備やサービスにアクセスした場合にそのアクセスによって作成される新たなデータとアクセス履歴が発行者のデータベースとして個人情報が蓄積されることは避けられない。→個人情報C
3.カード発行者(準カード発行者)
以下のICカードによる個人情報とカード管理システムの記述は、個人が本人確認もしくは第三者に対して認証請求する場合のシステム自体の機構についてICカードを例に説明していると解釈すべき内容である。
註記1;本欄で説明している上記のカード発行者の役割は、個人に発行された本人認識をするための情報デバイスがICカードでなくても同じ構造をもっている。ICカードのICチップと同じ機能を持つチップが携帯電話、PDA、モバイル型のパソコン、その他の情報端末デバイスの電子媒体に取り付けられていれば、何等かの通信手段を用いて、デバイス認証を個人認証とすることが可能だからである。
註記2;上記の読み替えと同じように、本稿でもカード発行者、カード製造者、カード管理者、カード使用者、カード所有者は、同じ認証機能をもつ機構のなかで電子媒体となる認証用のチップを持っているデバイスの発行者、デバイスの製造者、デバイスの管理者、デバイスの使用者、デバイスの所有者と読み替えることができる。
3.1 カード発行者の定義について
カード発行者は、R&Dが指定する条件の下で製造されたICカードを特定の個人に対して発行することを為し、かつ一定の条件の元でカード管理者との間にカード確認のための契約を締結しカード管理者からカード発行者として認められている者と定義する。
カード発行者は、R&Dが指定した条件である一定の情報をICカードに書込むことのできるカード発行機並びにカード発行に伴って発生する個人情報等のデータをファイリングするサーバーシステムの導入を義務付けた上で、カード管理者からカード発行者として正式に認可されていることが条件になる。
カード発行者は、R&Dがライセンスを所有する多用途、多目的のICカードを個人に発行するには、R&Dが一定の要件を満たすという前提で認定したカード管理者の内から任意の団体を選択してカード発行者の指定を受けなければならない。カード発行者の役割と組織体制について
カード発行者は自ら発行者となって発行するICカードには発行者独自のカードデザインや機能をカードに付加することが可能である。
ただし、カード発行者としてカード管理者から認定されるために、(1)カード読み取り装置、(2)カード保有者データ登録装置、(3)カード利用履歴情報記録装置などの機器を揃える他、厳密な個人情報取扱い規則を定め定期的な監査を受ける必要がある。
カード発行者は、自ら個人を特定して発行したICカードのカード所有者の個人情報A(氏名、生年月日、性別)および本人を確認する情報(現住所、電話番号、会社名または学校名、学歴、母親の名前等々)を、発行と同時にカード管理者に届ける。
ただし、カード発行者は、カードを発行した全ての個人の個人情報をカード管理者に登録する義務を負っていない。カード所有者から求められる場合には登録を行わなくても構わない。
カード発行者はカードを申請した本人の意志を確認してカード管理者に個人情報A を登録しなければならない。カード所有者本人が個人情報Aの登録を拒否した場合は登録を行ってはならない。
このICカードを自らの事業に利用する者はだれでも、カード製造者から本システムの基準にあったICカードを購入して利用することは認められている。カード管理者と契約を結ばなくてもカード製造者から購入すること、カード発行システムの導入は可能である。ただしカード発行者とは呼ばない。
カード発行者はカード発行に必要なR&Dがライセンスを保有しているICカード読み取り装置、もしくはデバイス認識ができる装置を導入する必要がある。ただし、購入者資格には特定の条件は設定されていない。
註4;今回完成する大阪市のシステムでは、カード発行者は大阪市社会福祉協議会(市社協)である。カード管理者はR&Dが指定する団体が大阪市からの委嘱を受けて管理することになる。カード受付は市社協だが個人情報Aの登録には本人の意志確認が必要である。個人情報Aは業務用のサーバーではなく、管理者用のサーバーに登録されることになる。(参考)
カード発行者に準じる発行者
カード発行者が自らカード製造者からカードを購入しないで、自ら発行者となることができる。カード製造者から出荷されたカード管理者に登録されたカードを販売することは認められる。
出願人が提案している認証方式に必要なICカードは、正規にカード管理者に登録されたカードはテレフォンカードや図書カードのように一般店頭や自動販売機で販売できる。その場合、その販売店が個人情報Aを登録できるシステムを導入し、かつ、カード管理者の認定を受けていればカード発行者になる。ただし、自らカードを使ったアプリケーションサービスを提供していない場合は、準カード発行者となる。
準カード発行者の内、個人情報Aを登録しないままのICカード(ホワイトカード)を不特定の個人に対して販売する者はカード販売店となる。そのカードの所有者は他のカード発行者で登録をしない限りホワイトカードは他の施設で利用できないためである。
自動販売機で販売されるICカードの内、氏名、生年月日、性別、本人確認情報、及び写真撮影機能をもった自動販売機(プリクラ販売機と同じインターフェイスを有するもの)は準カード発行者とする。
自動的にICカードの販売とカード管理者への登録が可能な自動販売機を管理する者は準カード発行者としてカード管理者の認可を必要とする。カード販売店はカード管理者から認可を必要としない。
今しばらくは、カードを施設や組織事業の運営に利用したい事業主や団体は、カード製造者からカードを購入し、カードシステムのライセンスに対応した管理システム一式を導入することになる。
ただ最終的には、ICカードもしくは他の個人認識用のデバイスを利用する施設を含む業務管理システムは、カード製造者(もしくはデバイス製造者)、カード読み取り装置(デバイスID読み取り装置)、カード(デバイス)保有者データ登録装置(データサーバー)、カード(デバイス)利用履歴情報記録装置など、メーカーは細分化される。
カード発行者の業務
カード発行者は、カードを申込んだ個人(カード所有者)から個人情報Aの提示を受けてカードを発行する。個人情報Aのデータ入力には申込んだ個人用のカードのID番号データを同時に読み込まなければ登録はできない。
カード発行者は、カード製造者の出荷したカードを個人に特定したカードとするには、カードを申込んだカード所有者が申告した個人情報A以外の本人を特定できる情報(本人特定情報)を、ICカードと個人情報Aファイルに書込むことが必要である。
カード発行者は、個人情報Aと本人特定情報を本人に確認し、カード管理者に登録する旨を本人に確認した上でカード管理者に同データを送信して発行を完了する。
カード発行者は、上記の個人情報Aと個人特定情報以外の個人情報Bと個人情報Cについて本人の承諾がない限り外部送信してはならない。
カード発行者は、個人情報Bについて発行者以外のカード使用者と本人から要請が明確な場合は原則として公開されるため、カード発行者はカード所有者に非公開の意志を確認しておかなければならない。
個人情報Bは、本人確認を行う身分証明書としてIDカードとなる、現住所、電話番号、所属会社もしくは学校など、一定の社会的契約で必要となる情報として本人の意志で公開される個人情報である。
個人情報Bについては、カード所有者のICカードとカード所有者の個人情報Aと個人情報Bにアクセスする権限を有する他のカード発行者もしくはカード使用者の登録済みのICカードの2枚のカードのID番号によって(ダブルカード方式)外部からアクセスした場合は、原則として公開される。
カードの発行時の動き/カード発行の認証
カード発行者は、自ら購入したICカードもしくは登録申請者が持参したICカードを使って登録しようとする場合は、必ずカード発行者が登録しているカード管理者に対して、カード製造者によるID番号を照合し偽造もしくは盗難されたものではないことを確認する。
カード発行者は、カード発行時の登録データとカード利用に関する利用履歴並びにカードID番号を鍵にして収集した個人情報データを分離して保管するように努めなければならない。
カード発行者は、カード所有者のカードの失効(カードの偽造、データ改竄、カードの紛失、盗難などによる)について認証方法を選択できる。
カード使用時にICカード(デバイス)を受け入れる情報端末からカード管理者に直接ID番号をアクセスしてカードの認証を行う。
カード発行者の管理下にある情報端末を集中して管理する管理システムが一定時間ごとにカード管理者にアクセス(バッチシステム)して、カードの無効情報を情報端末に送信する。
カード管理者は、カードの無効情報を同カードの利用資格が設定されている情報端末に送信してカードアクセスの許諾をコントロールする。
カード無効の認証と再発行について
カード発行者は、カード所有者から紛失や盗難した旨の連絡を受けた場合は、そのカードを特定するために必要な情報をカード所有者からヒアリングし、本人であることを確認した上で速やかにカード管理者に連絡してカード無効の手続きを行わなければならない。
カード発行者は、カードをなくしたカード所有者に対してカードの再発行を行うことができる。カード発行者は、新たなカードを発行したカード所有者に対して自らの施設や組織が行っていたカードを使用したサービスについて引き継ぐことができる。
ただし、新たに発行されたカードでは、原則として本人がなくしたカードによってカード発行者以外の他のカード使用者がカード所有者に付与していた各種の資格や権利の証明書の効力は失われる。
再発行を受けたカード所有者は、それまでカードを証明書もしくは鍵として受けていたサービスを受ける権利や資格については各組織や団体、施設で改めて権利や資格の再確認を受けなければならない。
カード使用者(カード受入者)
カード使用者の定義について
カード使用者は、R&Dが指定する条件の下で製造されたICカードを所有しているカード所有者に対して、自己の業務や施設利用のためのIDカードとして使用する者と定義する。
カード使用者は当該ICカードからカードID番号を読み込める読み込み装置を使って、当該カードのID番号と関連付けしたデータベースを作成することができる。
カード使用者は自己の提供するサービスの用に供することを目的として当該ICカードを会員証カードとして利用できる。
カード使用者の役割について
カード使用者は、自ら発行者となってR&DがライセンスをもつICカードを使って独自のカードを発行することはできない。
カード使用者は、カード管理者が定めている一定の要件に従ってカード管理者にICカード受入れ申請をすれば、カード管理者のICカードの認証を受けることができる。
カード使用者は、カード管理者からカード所有者のICカードの認証を受ける場合は、カード所有者の提供する個人情報Aをカード管理者に通知しなければならない。
カード使用者がカード管理者に届けるカード所有者の個人情報は、個人情報A(氏名、生年月日、性別)および本人を確認する情報(現住所、電話番号、会社名または学校名、学歴、母親の名前等々)である。
ただし、カード使用者は、カードを提示した個人の個人情報を全てカード管理者に登録する義務を負っていない。カード所有者はカード使用者のカード管理者に対するカード認証請求を拒否する権利が保証される。
カード使用者は、自らの責任において自らの事業の顧客や利用者にカード販売店やカード自販機などで販売されているICカードの提示を求めることができる。カード使用者は、カード所有者から未登録のカードを提示された場合は、カード所有者が申告する個人情報Aをカード管理者に通知することができる。
カード使用者はカード認証に必要なICカード読み取り装置、もしくはデバイス認識ができる装置を導入する必要がある。ただし、購入者の資格は特定の条件はない。
カード所有者は、カード所有者が認めた場合は、カード発行者で登録してある個人情報B(現住所、電話番号等)の情報をカード使用者のデータベースにダウンロードできる。
カード使用者の情報管理について
カード使用者が、カード所有者の確認をえてカード発行者の個人情報Bのデータベースにアクセスする場合は、カード管理者がカードアクセス履歴を記録する。カード使用者が、カード発行者のデータベースにアクセスする場合は、カード所有者の確認を記録するためにカード所有者とカード使用者の登録済みICカードの2枚のICカード(ダブルカード方式)を使用する。
カード使用者は、カードを提示したカード所有者から個人情報Aの提示を受けてカード管理者に登録した場合は、個人情報Aに変更がない限り自動的にカード管理者にアクセスしてカード認証を受けることができる。
カード使用者は、上記の個人情報Aと個人特定情報以外の個人情報Bと個人情報Cなど本人から収集した個人情報を本人の承諾なしに外部に提供してはならない。カード使用者がカード所有者から登録済みのICカードを使って収集しデータファイルに蓄積された個人情報Aと個人情報Bに関して、本人宛に発行されたカードとアクセス権限を有するカードの2枚のカードのID番号によって(ダブルカード方式)外部から照会されたアクセスに対して公開することができる。
カード使用者は、カード所有者が申告した個人情報Aと個人特定情報をカード管理者に登録しなければならない。
カードの使用時の動き/カードの認証
カード使用者は、カード所有者のICカードを使う場合、カード管理者に対して、カード製造者によるID番号を照合し偽造もしくは盗難されたものではないことを確認することができる。
カード使用者は、カード発行時の登録データとカード利用に関する利用履歴並びにカードID番号を鍵にして収集した個人情報データを分離して保管するように努めなければならない。
カード使用者は、カード所有者のカードの失効(カードの偽造、データ改竄、カードの紛失、盗難などによる)について認証方法を選択できる。
カード使用時にICカード(デバイス)を受け入れる情報端末からカード管理者に直接ID番号をアクセスしてカードの認証を行う。
カード使用者の管理下にある情報端末を集中して管理する管理システムが一定時間ごとにカード管理者にアクセス(バッチシステム)して、カードの無効情報を情報端末に送信する。
カード管理者は、カードの無効情報を同カードの利用資格が設定されている情報端末に送信してカードアクセスの許諾をコントロールする。
カード無効の認証と再発行について
カード使用者は、カードの登録を行ったカードを除きカード所有者に代わってカード無効の手続きを行うことはできない。
カード使用者は、カードをなくしたカード所有者に対して従前のカード発行者に代わってカードの再発行を行うことはできない。ただし、紛失前の利用履歴やカードによって登録した資格や権利の復旧を伴わない場合に限り、新たなカードの発行を行うことができる。
その場合、新たに発行を受けたカード所有者は、それまでカードを証明書もしくは鍵として受けていたサービスを受ける権利や資格については各組織や団体、施設で改めて権利や資格の再確認を受けなければならない。
次に、本発明の実施例である、大阪西成地区であらたに実施予定の、福祉人材開発研修センターの情報管理システムについて説明する。
まず、電子制御建築(システム)とは何か、そのコンセプトにつき説明する。読み取り機器と非接触ICカードの間の通信方法について
今回実現した施設の認証システムでは、SONY社の非接触ICカードをデバイスとして採用している。カードと読取り装置間の通信方式はSONY社指定の方式であるが、電子制御建築が提案する本来のシステムでは、メーカーが異なる複数のカードが利用できる環境が実現されなければならないと考えている。
一つの建築には様々な機能を持った設備機器が導入され、また経営者が異なる企業組織が入居して業務を行うケースも少なくない。世の中の各建築には建物の所有者以外に、入居者、利用者という権利者が設定される他、建物の管理を日常的に行う管理者も関係してくる。
その四者の建物に対する関わり方は極めて複雑である。所有者は複数の建物を所有する場合には、各々入居者、利用者、管理者が異なり、また所有者自身は他人が所有する建物に対しては利用者の立場であり、入居者、管理者になることもあるからである。入居者、利用者、管理者についても同じことになる。
建物ごとに建設会社も異なるし、ほとんどの建築工事では導入される建築設備や管理設備、防災設備、事務機器などのメーカーは特定しない。工事の発注時には一定の仕様の元に特定のシステムを指定できるが、実際に建物を使用し管理する入居者、利用者、管理者の意向は反映することは不可能である。
このことから、建築は社会を構成している人々全てがアクセスできる環境を前提に計画し建設しなければならないことが理解されるであろう。建築は、人間関係と社会の関係のモデルとなるような機能を充足するように設計されると考えるべきである。
電子制御建築をシステム的に実現するには、建物との関わり方を前掲の四者で共通化するための共通デバイスが不可欠である。建物には例外なく利用を特定して制御するために各所に錠が取付けられている。建物に利用するには各々の資格を認定した鍵が必要である。建築を電子的に制御しようとすれば、四者に共通な鍵の機能に相当するデジタル認証デバイスを供給しなければならない。
建物の利用を制限する機能として、錠と鍵は基本的な機能として歴史をもっている。全ての錠を開錠できるマスター鍵と個々の錠に対応する個別の鍵に至るまで仕組みとしてはかなり高度なシステムまで持っている。最近は電気錠や電子錠によって電子的に管理できるシステムも普及しており、入退室管理だけではなく業務管理までできるICカードによる総合的な建物管理も実現している。
電子制御建築システムの第一の開発条件は、利用者の立場で建物に対するアクセスを便利にするために設計されたものである。私たちは、住宅、交通施設、事務所や工場、店鋪や宿泊施設、また病院や福利厚生施設、役所や学校等、様々な施設を日常的に利用して生活し活動している。私たちが建物と関わる関わり方は、社会的に建物を管理する立場であることよりも利用者であることがほとんどである。
電子制御建築システムの第二の開発条件は、施設の設置者や管理者に必要な設備投資の負担を大幅に削減することである。情報技術の進歩は、建物の所有者が情報システムを使って入居者や利用者の利便性を高めると同時に効率的な建物管理を可能にした。しかし、一体的に開発されたシステムでは、建物ごとにシステムを独立させざるをえない構造ではコスト削減は難しい状況が続いていた。
地域社会には多様な機能をもった官民様々な建物が使われている。地域の住民は日常的にそれらを必要に応じて利用しながら生活し、仕事をしている。電子制御建築が目指しているのは、情報システムで管理されている建物を利用する場合には一枚のICカードで、どの建物でも利用できる世界である。汎用的なICカードもしくはそれにかわるデバイスは利用者を特定することを目的としたものである。
これまで企業の研究所や大学などで実現しているICカードを使った施設や業務用の管理システムは、建物の所有者(工事発注者)によって導入されたシステムである。ICカードはあくまで利用者に貸与されるものであり、基本的に発行した組織の管理する範囲内で通用するものであった。その場合は、カードに関して発生する全てのデータは管理者が一元的に管理することになり、セキュリティが最も重要な開発条件にならざるをえなかったといえる。
組織が提供する情報システムの利用者が多くなってシステム自体が肥大化していくにつれて、要求されるセキュリティレベルは飛躍的に高くなっていく。それと平行して外部との相互アクセスの条件が非常に窮屈になって、異なる組織とのシステムの共有化はほとんど不可能に近くなってしまう。一旦セキュリティが破られた場合の被害が甚大なために管理者が問われる社会的な責任が大きく、また事故が発生した時の影響が経営的に無視できないからである。
電子制御建築の基本的なシステムは、建物の利用者が常にマスター鍵をもって生活しているという前提で概念設計されている。建物の利用者イコール住民であり国民である。この鍵はICカードでありカード自体のID番号は公的に登録されるが、カード所有者に対しては匿名性を保持する仕組みである。つまり電子制御建築用として市販されているカードを購入して登録すれば自己を特定するカードになってしまう。
もし、あなたが賃貸アパートで暮らしていたとすると、部屋の鍵は恐らくアパートを管理している不動産屋さんからもらったはずである。もちろんその鍵はアパートの家主さんから不動産屋さんが預かっていたものである。ほとんどの人は鍵をなくしたときのことを考えて合鍵屋さんで予備の鍵をつくるだろう。仮に夫婦で暮らしていれば、なくせばすぐに嫁さんが使っている鍵で合鍵をつくるはずである。
不動産屋さんが良心的ならば、入居者が退居した後には必ず錠を取り替えるはずである。しかし不動産屋さんはマスター鍵をもっているのでマスター鍵が使える錠を取付けなければならない。建築の側からみると、極めて原始的な方法に見える安全管理の方法である。しかし実は複数の人間を介在させるというセキュリティの抑止力にとっては極めて合理的かつ先進的なシステムであることがわかる。カードが合鍵として複数の施設の様々な設備や業務インターフェイスに対応できるためには、カードを特定してカード認証を行う第三者機関が不可欠である。第三者というのは、カードの所有者(建築の使用者)と建築の設置者もしくは管理者以外の立場にある組織という意味である。前項の言い方にならえば、合鍵とマスター鍵をもって建物の安全を管理している不動産屋さんの立場であるといっていい。
カードを使ってカードの所有者を特定するには、カードID番号を全ての読取り装置が認識できればいいことになる。そのID番号にどのような資格を与えるかは建物の設置者と管理者がその利用者にどのような鍵を与えるかという仕事の話になる。ID番号を使って得られる資格とは、住居の入居者資格、事務所の出入室資格、データベースへのアクセス資格といったものから、定期券、回数券、商品券のような金銭との兌換機能、医師、弁護士、建築士、警官などの職務資格まで多様である。
カードのID番号が個人を特定するデバイスであるとすれば、ID番号を規定するデバイス機器はカードに限らない。一定の通信技術に関する技術/非接触、接触、磁気、携帯電話、PDAなど様々なものが個人認証ツールになるだろう。問題はデバイスと読取り装置との汎用的な通信システムの技術的な解決方法を具体化することである。電子制御建築の先進性は、ICカードのID番号を本人確認のデバイスにしたことで、第三者の認証機関の介在を可能にして、多種多様なメーカーや組織が提供するシステムやデータベースへのアクセスを実現させたことである。
次いで、福祉人材開発研修センターの情報システム設計の考え方は以下のとおりである。
1.情報システムの設計条件について
● 今回採用した総合的に施設運営を管理する情報システムは、施設利用者と職員がICカードを利用して館内の様々な建築設備と情報端末を操作することが出来るようになっている。
● 大阪市の個人情報保護条例第9条1項では、組織内であっても業務上収集した個人情報を目的外に利用することを明確に禁止している。
● 従来のカードシステムの仕組みでは、カード自体に個人情報を記載しその情報を使って各端末や設備を操作することになるために、そのままでは個人情報の他目的利用禁止規定に抵触してしまう。
● 一般的に、個人情報を提供した利用者は、暗黙の内に個人情報の利用範囲が特定されているものと信じる一方で、一旦個人情報の提供を受けた管理者はそれを自由に使えると考えている、として間違いない。
● 個人情報保護条例の規定では、情報システムを利用する際に本人の同意があれば問題はないが、今のところ常にその同意を得る仕組みと、本人意志を確認したことを客観的に認証する具体的な体制が全く整備されていない。
● 今回のような施設設置者と管理者が同一人格の場合には、これまで施設内や組織内で個人情報を他目的、多用途に使用することが議論されることはほとんどなかったが、厳密にいえば明らかに個人情報保護条例違反である。
● 個人情報保護条例の基本的な考え方に照らせば、個人情報の利用に関する管理者側の裁量はほとんどなく、どのような場合でも本人確認が事前に必要であるが現実的に対応できないという理由で野放しになっていると解釈すべきである
● そのため、同一施設内であっても共通のICカードを多用途に利用する 場合は、用途ごとに新たな個人情報が蓄積され個人情報の漏洩や不正使用の可能性が残るため、適切な防御処置を採る必要がある。
2.今回のカードシステムにおける具体的な対策
● 端末側では個人情報を使用しない。
● 利用者や職員に発行されるICカードには、使われたカードを特定するカードID番号以外、氏名や生年月日など所有者を特定できる個人情報を記録しない。
● 個人情報を記録するカード発行データはカードの発行業務を行うセクションが一括して管理し、用途別のクライアント端末やサーバーから個人情報の照会が出来ない仕組みである。
● カード自体にはカード番号以外の個人情報を記載していないため、盗難や紛失に際して個人情報の漏洩が発生することはない。
● カード発行時に本人の意志確認を徹底する。
● ICカードの利用を希望する者は、受付発行窓口で氏名、住所、生年月日など必要な個人情報の登録といっしょに利用目的を申し出たうえでカードの発行を受ける。
● 施設職員は、ICカードの申込者の個人情報と支給するカードID番号をカード発行サーバー(PC)に登録、それとは別に利用目的ごとに区別されたクライアント端末またはサーバーにカードID番号と利用内容を登録する。
● この対策によって、カード所有者は、スイミングプールのロッカー鍵のように、施設内では個人情報を使わずにカードID番号だけで各設備を利用できることになる。
● なぜなら、カードを発行する業務では必ず個人情報の登録が必要だが、実際にカードを利用するクライアント側のシステムでは登録済みのデー夕との正当性が照合されるだけだからである。
3.情報システム稼動後の今後の課題について
1)ネットワークの外部接続の可能性について
● 今回の情報システムは、施設内で完結するネットワークで構成されていることと、同一組織下でカード発行データとカード利用データを管理することで個人情報保護条例には抵触しないと判断している。
● しかし、西成地区ではすでに公共施設と市営住宅や民間事業所を結ぶ情報ネットワーク事業が進められており、近い将来、外部から本施設内のネットワークに直接アクセスするようになる可能性は少なくないといわざるをえない。
● そのために、ネットワークを接続した場合は、外部からの不正なアクセスは現在の技術では防ぎようがないのが現実であり、実際問題として、カード発行時に登録された個人情報の管理システムはネットワークから分離された環境で管理されなければならない。
1)-2今回のシステム設計における外部接続対策
● 外部接続された館内ネットワーク上で、常時稼動するカード照合機能をもつサーバーシステムは、カード発行時に登録される個人情報のデータベースと分離して稼動させることをできるようにする。
● 個人情報データベースとカード照合サーバーとの情報照会は、重層的なバッチシステムを採用してバックアップ機能を保全することができるようにする。
2)カードの利用履歴情報の保護について
● 個人情報のデータを介在させないカード照合システムでも、カード自体の利用履歴は必ずシステム管理者のもとに蓄積され、潜在的に新たな個人情報を発生させ続けている。
● 悪意の有無に関わらず何等かの理由によって、一旦カードの利用履歴と利用者を特定する個人情報が照合された場合には、本人にとって極めて高度なプライバシー情報になることは避けられない。
● ただし、カードの利用履歴と個人情報を照合して作成される新たな個人情報は、管理者による日常的な業務で使用されるものであり、利用を禁止できる対象ではない。問題は、組織内の他目的利用であり、漏洩や改竄など内部関係者による意図的な犯罪行為にある。
2)‐2今回のシステム設計における情報保護対策。
● カード利用時に照合を要求した履歴※を管理するシステムを、カード発行者の個人情報を管理するシステムと完全に分離するようにする。
※利用履歴:照合力一ドID番号、照合要求者、発信時刻、発信場所、発信機材。
● カードの利用時に行われる照合は、カード照合であってカード利用者とカード登録者の照合責任は、カードを受け入れる管理者にあることを明確にする。
今回はカード利用者と登録者の照合、いわゆる本人認証は行わない。本人認証が必要となった場合は、情報端末から第三者の認証センターに対して直接アクセスする機能を付加して対応する。
図8は、地域福祉総合情報センターの基本コンセプトである。図9は、地域福祉総合情報センターの施設構成要素案である。図10は、地域福祉総合情報センターの5つのテーマ説明図である。図11は、地域福祉総合情報システムの3つのポイント説明図である。図12は、地域福祉情報化のポイント説明図(情報サポートシステム)である。図13は、地域福祉情報化のポイント説明図(情報ライブラリースタジオ(1))である。図14は、地域福祉情報化のポイント説明図(情報ライブラリースタジオ(2))である。図15は、地域福祉情報化のポイント説明図(情報ネットワークシステム)である。図16は、総合インフォメーションサービスの仕組み説明図である。図17は、福祉・ヘルプデスクと情報システムの役割の説明図である。図18は、福祉・ヘルプデスクの役割と事業イメージ案の説明図である。図19は、福祉・ヘルプデスクと情報管理業務の説明図である。図20は、福祉インフォーメーションシステムと建築設備制御システム説明図である。図21は、情報サポートシステムの構成説明図である。図22は、地域総合情報システムと施設情報管理体制案説明図である。図23は、大阪市福祉人材開発・研修センター情報計画一覧である。図24は、大阪市福祉人材開発・研修センター情報計画備品概要図である。
大阪市福祉人材開発・研修センター情報化計画デジタルスタジオシステム機器について説明する。図25は館内V・I・Sネットワーク構想概要図である。図26は、システム機器構成前提条件説明図である。図27は、想定される利用形態説明図である。図28は、ソースデータの取り込み説明図である。図29は、動画・静止画の出力先の説明図である。図30は、動画情報についての説明図である。
この大阪市福祉人材開発・研修センターにて使用されるICカードの種類は、図31のとおりである。利用できる館内リソースは、図32のとおりである。カードが納入されたときの状態は、図33のとおりである。図34は、納入カード情報を取り込む際のフォーマット説明図である。操作・承認権限は、図35のとおりである。各カードには、それぞれ情報所有者・オペレータおよび管理者という概念が存在する。この操作権限において実現する必要のある動作は、以下のとおりである。
所有者のカードとオペレータ(運営部側)のカードがあれば、データを操作できる。
オペレータのカードと責任者のカードがあれば、データを操作できる。
よって、以下のことが保障される。
オペレータのカードだけでは個人の情報が見られない。
所有者がカードを提示した場合は、情報の閲覧が可能である。
カードの発行手順は図36のとおりである。図37は、職員カードおよび一般市民カードの発行手順チャート図である。本カードは、カードの所持者と所有者を確認するために、「本人確認項目」を利用する。本人確認項目とは、本人が選択可能な項目から任意に選んだ内容を対面確認時に口頭で確認するために用いる。たとえば、本人が第3者に操作を依頼するような場合、その依頼を受けたものが正当な依頼を受けたものかどうかを確認するような場合で利用する。図38は、本人確認項目の設定一例である。本人確認項目は、カード内に保管され、データベースには保管されないものとする。カードがR/Wに挿入されているかどうかの判定は、動作開始時に行うことを原則とする。なぜなら、途中で抜き差しに関して市販アプリケーションで保障できないことおよび各アプリケーション内でのデータ保障はオペレータに依存することを考えると、オペレータへの負荷が大きくなると考えられるからである。よって、動作開始時にチェックをすることが望ましい。図39は、具体的なカードの抜き差し、権限のチェックタイミングについての一例を示した図である。
次に、職員カードおよび一般カードの発券システムの概要を説明する。カードを発券するのに必要なオペレーションと主な管理項目(縦)を図40に示す。操作権限のチェックは、図41にあるようなメニュー画面で行うのを基本とする。各メニューの解説は、図42のとおりである。所有・操作欄はカードのチェックを行うかどうかを指定する。Mはマスター、Sはシステムカードを意味し、/で併記する場合は代用が可能であることを示す。画面推移は、図43がユーザー管理、図44がカード管理、図45が職員カードについてのもの、入力画面と各項目の説明は、図46に示したとおりである。修正画面と各項目の説明は、図47に示したとおりである。図48は、利用権設定画面、図49が施設利用権変更画面についての一例である。図50は、カードの利用停止についての画面と各項目説明である。
次に、施設利用者登録システム(以下、「管理システム」ともいう。)と、それにより制御される電子錠・自動ドア・エレベータの制御システム(以下、「制御システム」ともいう。)との関連を記述する。
本システムは、管理システムと制御システム上のデータの同期を取るためのものである。管理システムは、カードへの書込みと利用権の登録をデータベース上に行うが、各資源の制御システムとの直接の連動はできない。よって、バッチ処理で定期的に各種のデータを受け渡しすることを基本とする。施設管理の概要は、図51に示すとおりである。
本システムにおいて制御できる範囲と方法について簡単に説明する。まず標準機能について説明する。あらかじめ設定されたグループにより電子錠・エレベータ・自動ドアを開閉・利用できる。どのゲートを何時から何時までに開閉するかは制御システムの管理画面によりあらかじめ登録するものとする。管理システムは登録されたカードに対して5分おきに転送する。起動は、cronシステムを利用し、後述の時間単位で動作させる。登録フォーマットは個人ファイルである。
日時指定機能
一般来館者および身障者が対象に、特定の日時のみ利用可能にする機能をさす。管理システム側で、指定された日時の5分前に制御システムに登録し、解除の5分後に削除登録をする。起動は、cronシステムを利用し、後述の時間単位で動作させる。登録フォーマットは個人ファイルである。
ゲート限定機能
限定するゲートはあらかじめ登録した所属グループを利用する。つまり、限定したパターンをあらかじめ制御システムにグループとして登録し、管理システム側ではこの所属コードのみをデータベースに設定する。限定されたグループの設定については別途(入退室管理システムのマニュアル)参照。図52は、管理システムおよび制御システムの概略フローである。図53は、作成・転送するファイルの一覧である。図54は、所属グループの一例としての規定値である。個人ファイルは、各発券されたカードに対して利用を可能にするまたは使用を停止するデータを送信するために用いる。個人ファイルの項目一覧、詳細、データ例は、図55のとおりである。図56および図57は、関連データベースについての説明である。図56は、card_perm_export(カードの権限(標準形式)データ転送用)についてのテーブル説明である。本テーブルを参照し、isxferフラグがfalseの場合のみ書き出し、ixferフラグをtrueにする。図57は、card_perm_expire(カードの期間限定のデータ転送用)についてのテーブル説明である。本テーブルを参照し、isxferフラグがfalseの場合のみ書き出す。ただし、書き出すレコードは現状の時刻がstart(end)dateまでの時間が5分以内のものとする。転送が完了すればixferフラグをtrueにする。本来は、startdate/enddateを分けずに設計すべきであるが、取り消しの作業上このようなテーブル形式となっている。
次に所属ファイルについての説明を行う。入退出システム側管理PCにて所属コードの登録時に所属ファイルを作成し、共有フォルダにコピーする。所属ファイルの項目および詳細は、図58に示す。次に履歴ファイルについての説明を行う。入退出システム側で発生した履歴データを毎日午前2時に前日分の履歴ファイルを作成し、共有フォルダにコピーする。履歴ファイルの項目および詳細は、図59に示す。プログラムファイルと設定ファイルは図60にあるとおりである。
次に、ICカードシステムについて説明する。ICカード、カードリーダーライター、外部認証システムおよび外部装置群との関係イメージブロック図は、図61に示されるとおりである。このシステムの動作を示すフローチャートは図62に示されるとおりである。このシステムの課題は、個人情報を外部に漏洩することなく、電子錠・エレベータ等のICカードによる制御を実現することにある。ICカードに書き込む情報をカード番号のみとし、このカードの信憑性と資格権限の認証とを分離する。カードの信憑性は、盗難や紛失などで無効でないかの確認をさし、資格権限とはこのカードで操作可能であるかどうかをさす。
ICカード上のデータエリア(D001)には、本システム内で一意なカード番号を記述しておく。
カードリーダライター(RW01)は、既存の各種の規定されたプロトコル・暗号化の手法をもちいて、データエリア(D001)のデータを取得する。
従来の手法どおり、本カードリーダライターに搭載されたカード認証モジュール(M001)により、データエリアのデータを入出力装置(IO01)に送出する。
送出されたデータは、通信(CO01)により入出力装置(IO02)を通じて外部通信モジュールに伝達される。このときの通信は、内部回路・外部回路・外部への通信など手段は限定しない。
外部通信モジュール(M002)は、取得したデータをもとに通信装置(CN01)を経由して外部認証システムに接続する。この場合、外部通信モジュール(M002)から通信装置(CN01)への通信方法(CO02)および通信装置から外部認証機関(O001)への通信方法(CO03)は、特に規制されるものではない。
外部通信モジュールは、外部認証システム(O001)からカードの有効無効の情報を取得し、詳細データをカード認証モジュール(M003)に渡す。
カード認証モジュールは(M003)は、有効な場合は、入出力装置(IO03)にデータ(D001)を送信し、無効ならば送信しないで読みとりエラーと同等の処理を行う。この場合の通信方法も、内部回路・外部回路・外部への通信など通信手段は問わない。
有効なデータの場合、入出力装置(IO03およびIO04)により受け渡しされたデータ(D001)は資格認証モジュールにより内部にもつ資格データベース(DB01)を参照する。
資格認証モジュール(MO04)は、受信した行為要求にたいして資格があれば、入出力装置(IO05)を通じて、外部の装置群に行為を行うようにデータを送信する(CO06)。
lCカードを利用した入退館システム等外部仕様について説明する。
外部要件
1)カード発行枚教:5000牧
2)利用人数:職員45名 障害者10名/日 一般来館者300名/日
3)機器の総数 電子鍵外部扉 2箇所×1台 電子錠内部扉 4箇所×1台 エレベータ 1台× 5階 × 1個 計11台
4)カードの種類:ソニー製フェリカカード
カードの利用日的(各アプリケーション別のカード発行手続を前提とする)
1)入退館管理
2)エレベータの呼び出し
3)パソコンの制御
システム要件
1)既存の入退館システムをベースにカスタマイズすること
2)資格管理のマスターは、別途の館内管理システムにおけるデータベースを参照する。参照方法はEthernet(登録商標)を利用し、TCP/IP上の標準アプリケーションプロトコルでおこなう。(例ftp)。
3)電子錠の制御は
A)外部扉は、夜間休館日のみ稼動
B)内部扉は、24時間稼動、夜間休館日のみ稼動の2種類がある
C)カードには、使用できるものと使用できないものがある。(職員は開けられるが、一般は開けられない)
4)エレベータの制御に関しては、別途システム条件を提示すること。
5)下記の2ステップカード確認システム(仮称)を組み込むこと
6)カードのフォーマットについては、未定だが基本的にユーザーID(場合によってはフラグも)で処理をする
7) カードは、館内管理システムで発行する。
2ステップカード確認システム(仮称)について
1)言葉の定義
コントローラ:制御部分を表す。この中には現状の制御部分の付加装置を含むことができる。
システム外接続点:接点、シリアル、Ethernet(登録商標)など、物理媒体、プロトコルなどは特定しない、本システム外への接続点を示す。
制御部:既存の標準制御装置部分を示す。
PC:入退室管理のアプリケーション、外部サーバーとの接続点など、機能の専用度の高い、本システム依存のパソコンを示す。
システム外PC:館内システム等のサーバーやクライアントなど。例えばethernet上に接続された館内システムなどのパソコンなどを示す。
R/W:非接触型ICカードのリーダ・ライターをさす。
接続点管理ボックス:システム外から信号を受ける接続点を管理する仮想的なユニット。制御部内部に実装する/しないは問わない。また、物理的に存在しなくても問題はない。
2)適用対象
電子錠およびエレベータ
3)概要
A)特定のカードID(又はカード内のフラグ)を取得した場合、コントローラは上流のシステム外PCに、システム外接続点を通じて確認要求を流し、その結果によって鍵の開け閉めなどの制御を行う。つまり、通常のカード確認に加えて追加の確認を行える仕組みである。
B)コントローラには、シリアル又はEthernet(登録商標)の汎用インターフェースを装着し、システム外接続点とする。なお、実装場所は問わない。
C)コントローラは、既定のタイムアウト秒数の間は、操作を保留させ、確認結果をまつ。
D)確認結果は、単純なON/OFFの信号又はデータがくるものとする。
E)タイムアウト時には、動作させずに、次処理の待ちになる。
図63は、2ステップカード確認システム(仮称)システムイメージ図である。ICカードの利用条件は、たとえば、図64に示したとおりである。
より具体的に、入退館システムに利用される装置の仕様について説明を行う。本システムは、カード認証用サーバーと連動し、来館者の入退出管理を行うシステムである。カード認証用サーバーと入退出管理システムの管理用PCはネットワークにて接続されリアルタイムにカードの登録情報・操作履歴データのやりとりを行えるようにする。入退館システム構成イメージは、図65のとおりである。
データのやりとりについては次のとおり。
(1)カード認証システムから、以下の情報を取り込みリアルタイムに出入管理装置へ登録し、カードが使用可能な状態とする。
1)認証されたカードのID(カード種類)
2)来館者の使用するフェリカカードのID
3)氏名及びかな氏名
4)通過可能なゲート情報
5)カードの使用期限(無期限カードの設定も可能)
(2)カード認証システムへは、リテルタイムで以下の情報を提供する。
1)入室したデータ日時
2)カードID
3)入室した部屋(ゲート名称)
各機能については次のとおり。
管理機能
(1)カード登録は、最大5000件まで登録できる。
(2)管理用PCと接続する場合は、1台の管理用PCに対して、出入管理装置が30台まで 接続でき、計60ゲートの管理が行える。また、各ゲートは入室側と退室側に一台ずつ、カードリーダを設置することが可能。
(3)履歴データの報告・集計が行え、印刷が行える。
(4)履歴データの保存可能件数は、入退室/異常データ併せて10万件。 、
(5)登録データ・履歴データのバックアップが行える。
(6)オプションのバッテリを内蔵することにより、30分間の停電補償が可能。
監視機能
(1)各ゲート毎に、電気錠の状態(扉開閉/施解錠/異常)をリアルタイムに表示することができる。
(2)各ゲート毎に、遠隔解錠/遠隔施錠することができる。
図66は、システム系統図である。図67は、出入管理装置外形図である。図68は、電気錠制御盤外形および詳細図である。図69は、非接触式カードリーダー外形図である。
次に、電子制御エレベータシステムについて説明する。
歩行障害者が火災時の避難にEVが利用できるシステム環境整備を眼目とする。障害者に限らず施設の状況に応じて特定の利用者が制御可能なEVは、防災・防犯対策に大きな効果が期待できる。また、特定の資格保有者だけが駆動、呼出が可能なエレベータ設備は入館入室制限のある施設で防犯にも有効である。
行政発行のICカードで障害者や施設管理者、その他有資格者のEVの操作資格を一般利用者と区別、エレベータ呼出ボタンで即時に認証できるEV制御システムである。自治体設置の公的な施設でありながら自治体の個人情報保護条例に準拠して障害者を始めとする個人情報を活用できる条件をクリアしている。使用するICカードは第三者発行のものも受け入れることが可能であり、住民基本台帳カードなどICカードの多用途化も視野に入れたシステムである。
汎用型デバイスによるエレベータ制御システムの開発について説明する。
個人情報を登録済みの多用途ICカードや携帯電話のような汎用型の端末で操作できるエレベータ制御システムである。デバイスのデータを受け入れてエレベータを起動し制御するシステムをエレベーターメーカーに提供する。障害者手帳に記載されている障害者種別を入力し障害者データを管理する組織に登録することで、同システムを採用しているエレベータであれば、公共施設や民間建物のどのエレベータにも対応できる汎用型のシステムの実現が可能である。
多用途ICカードによる個人認証システムの開発について説明する。
本システムの開発は、建物が火災や地震時に停止してしまうエレベータを障害者に限って駆動を許容するように実現することが目的である。一般的に災害時に使用が禁止されているエレベータを障害者の避難手段にするEV制御システムは、非常時に障害者個人の意志を認証するシステムが必要である。そのためには、障害者が予め施設設置者に登録した内容と、障害者の使用を認めた施設管理者の組織認証と障害者であることを、災害時に公的に認証しなければならない。
外部アクセスが可能なエレベータ制御システムの開発について説明する。
特定の資格を与えられたカードに対して紛失盗難など不測の事態には、カード発行者やカード管理者が施設外部から端末機器に資格停止等の信号を送ってエレベータを制御できるようにする。施設管理者が不在であってもカード使用の目的であるエレベータ制御システムへのアクセスコントロールを可能にする端末から直接外部通信端末を含んだカードリーダライターを用いる。
技術開発要素について説明する。
外部からの信号で既存のメーカーのエレベータコントローラを制御するプログラムと専用の制御ボックスと施設運営に対応するアプリケーションプログラムを用いる。
図70は、エレベータ制御のシステム構造を説明するものである。このシステムのポイントは次のとおりである。
カード管理センター(施設管理者とは別の外部組織)は、非常用または利用者限定エレベータの制御用としてICカード等の利用を受け入れた施設から、登録時にカード利用者データを送付してもらい、非常時に備える。
火災や地震時に施設側に管理者が不在の場合を想定して、障害者が使用している事実を消防署や地域の防災組織等に自動送信する。
登録されたカードの紛失や盗難の被害にあった場合に、電話もしくはe-mail等による連絡で端末機器にカードキャンセル信号を送って対象となるエレベータの制御を不可能にする。
アクセス資格認証アプリケーションについては、カード発行管理機関DBまたはEV利用資格設定DBにアクセス可能なセキュリティ機能をもつサーバープログラムソフトを用いれば良い。
遠隔監視通信システムソフトについては、利用資格認証データをアクセスと同時に防災管理機能をもつセンター(消防署、管理事務室等)に自動通知するアプリケーションソフト(EV専用ITV監視システムを含む)を用いれば良い。
技術開発の目的について、記述する。
目的1;建築基準法の改正と避難時のエレベータ使用の判断については、次のとおりである。障害者や身体の弱い高齢者や歩行困難な怪我人や産婦など、EV以外に避難手段のない利用者に限って使用を可能にする技術である。大阪市消防局は、施設管理者の判断本人意志に委ねるという見解を表明している。ただし、いざと言う場合には本人の意志の確認に大きな問題があった。今回の施設計画では、本制御システムの導入によって、本人申請に従って利用者を特定できれば災害時にその意志を登録されたICカードや携帯電話の端末を使った場合に限り、本人意思を擬制し、EV利用を認めることが可能と判断された。
これまでは消防庁や国土交通省の指導によって、施設管理者にはEV内の二次災害防止義務が課されており、一般的なEVメーカーの制御システムには災害時の自動停止装置が組み込まれ、事実上避難時はEVの使用が禁止されてきた。
目的2;個人情報保護と個人情報活用の両立の問題。
大阪市は個人情報保護条例を施行しており、原則は登録された個人情報の他目的利用は禁止されているが、本人が認めた場合はその限りではないと明記されている。今回開発した本システムの構造的な安全性と機動性、また個人情報活用に関する諸規則との整合性は具体的に証明できている。行政施設として非常時に障害者の意志に反してEV利用を妨げることは人権侵害にあたると判断している。
予想される成果は以下のとおりである。
(1)情報システムを使って障害者の社会への進出を間接的に支援する公共システムのセキュリティレベルを向上させる。
交通バリアフリー法の施行など、障害者の社会的活動を支援する環境整備が進みつつあるが、建築防災では縦方向の移動に障壁が存在した。障害者の安全を守る機能として災害時にエレベータを利用した避難経路を確保する技術は、障害者のための社会的インフラを整備する大きな目的を実現できる。
(2)防災・防犯の観点から、管理者が既存のエレベータを利用する者の操作資格を制限するシステムを普及させることで、日常的な企業や行政の施設の防犯管理にも適用できるものである。
ここで、大阪市福祉人材開発・研修センターにおける、電子制御エレベータ(利用者制限エレベータ)の制御方式について記述する。
カード呼出方式を採用する。基本原則は次のとおりである。
指定されたカードを壁面のR/WにかざしてEVを呼出すことができる。
ただし、壁面の呼出ボタンの操作ボタン機能は通常は停止させておく。
ハコ内のボタン操作盤の機能は通常のEVと同じである。
壁面のボタン操作機能の停止、解除は管理者が制御用の鍵で行う。
平常時の利用は次のとおりである。
まず、職員及び講師用カードについては、以下に記載のとおりである。
各階の壁面のR/Wで呼出す。
ハコが呼出されて停止。開扉する。
ハコ内の操作盤で行き先階をボタンで指定する。
ただし、ボタン操作がない場合は各階停止で運行する。
停止許可階は管理者が制御用の鍵で予め指定する。
行き先階に行きハコが停止。開扉する。
障害者の利用については、まず平常時は次のとおりである。
一般のカードによる操作と同じ。
ハコ内のボタン操作がない場合は、各階停止で運行する。
停止許可階は管理者が制御用の鍵で予め指定する。
非常時については、次のとおりである。
火災報知設備によって停止した場合は、各階の壁面のR/Wにカードをかざして呼出す。ただし障害者カードのみ有効。
→再起動され呼び出階に移動する。
呼出し階に停止し開扉、予め指定された時間で閉扉、避難階に直行し開扉、そのまま停止する。
複数の会社の開発による多用途カードのID番号を読み取れる読み取り装置が各メーカーによって広く市場に供給されれば、カードを特定できるカードID番号を自由に読み取れるように設計されたICカードなら、どこのカードメーカーが製造したものであっても構わない。
これからの情報化社会で個人情報の認証システムを実現するためには、個人が自ら本人認証を代行させる情報デバイス(ICカードやPC,PDA,携帯電話等)の普及が不可欠である。アジアの印判、西欧のサイン、中近東アフリカのバイオロジーに代わるものである。
個人情報の認証システムを社会に提供するのに、情報技術企業一社がデバイス、読み取り装置、通信プロトコル、ICアルゴリズムなどを一括して権利として独占することは許されるべきではない。
企業の不正や技術的瑕疵が確認された場合に、必ず国民によってその企業が淘汰される保証を確保するにはあらゆる企業の参入が保証されてなければならないからである。
発行者&管理者とシステム供給会社が一対の契約関係であるなら構わないが、多目的多用途である認証デバイスのシステムは公的インフラとして保証される必要がある。
個人情報の保護と管理システムが明らかに公的なインフラである以上は、知的所有権の側が主導権を握ったシステム管理や開発管理が認められるはずはない。
国民の個人情報の提供を受けて活動する行政、民間企業、または組織や団体は受取った個人情報を多用途多目的に利用してはならないことが求められているが、国民がその個人情報が適切に管理運用されているかをチェックするには、個人を認識するデバイスを国民各自が必ず持たなければならない。
国民全てが安心して個人情報を提供し、快適で便利な生活を営むには、最終的に国民が共用する財産として守り育てていくシステムの開発は必要不可欠である。
しかし、個人情報保護に関する情報システムの必要性が叫ばれるなか、そのシステムの開発を今のまま情報技術企業や国家の事業活動に委ねておけばいずれは知的権利の独占が避けられない。
国民全員が、個人情報を扱う全ての事業所(官民を問わず)のデータベースにアクセスすることを可能にするシステムは極めて公共的なインフラである。
全ての企業や個人が自由に工夫してより良きシステムにしていく社会的な保証が必要でありそれはオープンソースという思想を背景にした国民的財産にすべきことである。
以上、本発明者は、自身が手がける大阪市福祉人材開発・研修センターを中心に、個人情報の認証システムを応用した電子制御建築システムにつき説明してきたが、最後に本発明の背景を振り返りながら、これを地域に敷衍させた、地域情報化システムの可能性について触れたい。
電子制御建築から地域情報化システムへの可能性について。
認証責任の分散化・明確化による本人認証の普遍化
私たちは、日常的な生活で建築を利用する。住宅、事務所、駅舎、店鋪、学校、工場、病院、厚生施設、役場、保健所等、様々な目的で建物の利用者になる。建物は自己の所有物でない限り必ず設置者/所有者と管理者が存在する。我が国では、地域には様々な建物があって地域の住民の生活を支えており、一方で、その地域に暮らす住民は、ほとんどの場合建物を自由に出入りする権利が保証されていると考えていい。
我々は建物の中では一般的に入室できるテリトリーが指定される。住宅なら自己の権利を有する住居であり、百貨店では管理部門への自由な出入りは基本的に禁じられている。事務所ビルや病院、学校や工場でも、社員や従業員でも入室や通行が禁止されるゾーンが存在する。しかし利用や入室を禁止していても、常時守衛に監視されている場合から単に入室禁止の貼り紙があるだけ、もしくは社内規則で指導しているだけの場合までその制限レベルは極めて多彩である。
建物とは、社会的な利用目的が定められて設置され、かつ利用者を選定してその設置目的を充足するように機能するような前提で建設されている。その目的や機能によって利用者は様々な制限を受けるが、基本的に建物は入り口までのアプローチは全ての人に許されている。これまで共産主義国家ではよく見られたがやや軍事的な施設の周辺への一般人の立ち入りは厳密に禁止されていることがあり、自由主義国家でも一部そのような制限が残っている。
企業の研究所、原子力発電所、自衛隊やアメリカ合衆国軍基地などは必ず入館手続きが必要になる。それは特殊なケースであるが、建物の種別や機能によって利用者だけではなく施設内で従事する施設職員にも大小様々な利用制限が加えられるのが一般的である。また、刑務所の入居者は法律による措置によって「資格」が設定されるものであり、この意味で我々の社会においては非常に特殊な建物であるといえる。我々はほとんどの場合、全ての建物に入る権利をもっているという前提で暮らしているのは、建物の利用者として建物の所有者との間で利用契約関係が必ず存在しているという前提があるからで、かかる前提があって初めて建物を利用し得ているのである。
本発明者は電子制御建築の鍵となる技術は、ICチップに記録されるID番号の記録の方法と通信仕様だと考えている。このICチップは、ICカードはもちろんのこと携帯電話やPDAなどの移動用情報端末や時計、ネックレスや鞄、手帳などにも取り込むことは可能である。いわば商品を特定するために使われるICタグと同じように個人を特定するタグと考えればわかりやすい。
ICカードは、クレジットカードをはじめJR東日本の乗車券、国土交通省のITSなどで実用化が進んでいる。しかしICチップに記録する情報の形式や情報通信の手順やセキュリティが異なっており、データを読取る装置の規格は各々のチップに個々に対応するため多用途化が困難である。ICカードを多用途化する目的は、カードを所有する人が少ないカードでできるだけ多くのサービスをあらゆる企業や公共団体から受けられるようにすることである。
これまで、私たちが日々利用するカードでもっともよく使われていたものは金融決済カードとクレジットカードである。それに交通決済用のカードが加わったが、テレフォンカードの需要は携帯電話の普及に反比例する形で減少している。金融決済用のカードのように複数の企業や団体が特定のサービスを提供する場合には、業界団体の意見が集約できればカードを統合することはそう難しくない。百貨店の商品券もその類いであろう。しかし経営が別々の企業が異なるサービスを一枚のカードで提供することはそう簡単ではない。
異業種による異なるサービスを一枚のカードにするには、コンビと呼ばれる方式で目的ごとに分かれた機能を別々に一枚のカードに搭載することによって対応していた。表面と裏面、磁気ストライプとICチップ、視認デザインと記憶媒体、記録媒体のスペース区分など、カード上で明確に使い分ける必要があった。来年から国民向けに配付される住基台帳カードもICチップの中をブロックに分けて異種異業種の管理者が複数用途で利用できるような設計になっている。
一旦、デバイスが特定の個人向けに発行され登録されてしまうと、カード上の媒体に記録された内容の書換えや機能を追加するには、オリジナルデータを常時同機させる必要が生じる。なんとなれば、多用途カードのデータをクライアント側で書き換えたことによって、オリジナルデータの管理責任と、書き換えた者の資格と責任の整合性が常時問われることになるからである。そのためには、保存されているデータの真正性を認証する第三者の存在が必要になる。
本発明者は、ICカードなど個人が自らを特定するデバイスに使われるICチップに記録されるデバイスを特定する情報を個人認証に使うため、ICチップに記録されたID番号を統一する標準化を提案している。一方、本出願人では、そのID番号を照合してデバイスの有効性を認証する第三者機関の運営を開始した。カード発行者や携帯電話で個人の認証を請求する場合は、本出願人で標準化したナンバリングシステムを採用すると同時にデバイスから第三者機関に情報を送信する機能を確保する必要がある。
本発明者が提案する第三者機関は、1999年から2000年にかけて通産省の協同で大阪市の情報化事業で実証された地域総合情報化支援システムにおける認証の構造をベースに発展、具体化したものである。大阪市の事業は、それまでカード発行者側にあったカード管理責任を所有者とカードの受入先に置くことによって多用途カードが地域的に成立することを実証したものである。ICカードを単なるIDデバイスにすることで、カードを個人用の鍵として使うことを可能にした。
本発明者の実現した多用途ICカードは、金融決済やクレジット、或いは交通パスのように、カード発行者が閉鎖的に管理責任を負う単一用途のカードから、複数用途の使用目的別にカードデータを利用する多用途カードへの展開を果たしている。地域住民が日常的に地域の施設やサービスを利用する手続きの際に、ハンコのようにカードを使うことができれば、機能的にはセキュリティに配慮することがほとんど不要になる。なぜならそのカードを受け入れるかどうかはサービス提供者が判断すべきことだからである。
本発明者の認証方式では、カードを使えば便利かどうか、どの程度安心できるか、カードに代わる手続きを選ぶか、などの判断は当事者間で決めることであって、カード発行者が責任を判断する必要はないことになっている。ハンコの製造者や小売店が契約の正当性を保証することがないことと同じである。本発明者のシステムでは、カードのID番号もつ機能とハンコの印影の機能は極めて酷似したものである。ハンコは当事者間の確認であり、相互の約束事に対して極めて簡易である一方抑止力のある認証方式であるが、カードの認証方式はその上に第三者による印影保証という機能をさらにもっていると考えるべきである。
本発明者のシステムは、地域社会で地域の住民が日々利用する可能性のある施設や官民のサービスに対応する同じカードを使った本人認証システムを整備しようとするのが目標である。本人認証の確実性の向上、住民による本人情報管理の実現、情報化設備投資費用と情報管理コストの削減などが可能になる。そのことの実現を可能にしたもっとも重要なポイントは、個人情報の管理責任の分散と責任範囲の明確化である。
上記で詳細に説明したように、本発明によれば、国民全てが安心して個人情報を提供し、快適で便利な生活を営むための、最終的に国民が共用する財産として守り育てていくシステムおよび方法の実現が可能になる。
本発明の多くの特徴および利点は明細書の詳細な説明から明白である。更に、当該技術分野における通常の知識を有する者にとって修正および改変が容易に数多くなし得るので、図示および記述されたものと寸分違わぬ構成および動作に本発明を限定することは望ましくないことであり、従って、あらゆる適切な改変体および等価体は本発明の範囲に含まれるものと見なされうる。前述の本発明に係る実施形態の説明および例示によって詳細に記述されたが、特許請求の範囲のみならず本発明に係る開示事項全体に定義された本発明の範囲から逸脱することなしに、修正、置換、および、変更が数多く可能である。
また、本願に係る発明は、その適用において、上記の記述において説明されるか、或いは、図面に示された要素の詳細な解釈及び組み合わせに限定されるものではない。本発明は、他の実施形態が可能であり、種々の方法で実用および実施可能である。また、ここで用いられた語法および用語は記述を目的とするものであり、限定的に働くものとみなされてはならない。
従って、当該技術分野における通常の知識を有する者は、本開示の基調となる概念は、本発明の幾つかの目的を実施するための他の構造、方法、及び、システムを設計するための基礎として容易に利用され得ることを理解するはずである。従って、本発明の趣旨および範囲から逸脱しない限り、本願の特許請求の範囲にはそのような等価な解釈が含まれるものと見なされるものである。
また、上記ではICカードを用いた認証システムについて主として説明したが、本発明に係る技術思想は、例えばコンピュータソフトウェア、かかるソフトウェアが登載された装置、プログラムを記録した記録媒体、伝送媒体、紙媒体としても、クライアント・サーバ形式等といったカテゴリーにおいても実現、利用可能であるし、さらに、このようなシステムを構成するエレベータ、自動扉、電子ロックとしても実現し得ることはいうまでもない。
さらに本発明は、単一プロセッサ、単一ハードディスクドライブ、及び、単一ローカルメモリを備えたコンピュータシステムに限らず、当該システムのオプションとして、任意の複数または組み合わせプロセッサ又は記憶デバイスを装備するにも適している。コンピュータシステムは、精巧な計算器、掌タイプコンピュータ、ラップトップ/ノートブックコンピュータ、ミニコンピュータ、メインフレームコンピュータ、及び、スーパーコンピュータ、ならびに、これらの処理システムネットワーク組合わせを含む。本発明の原理に従って作動する任意の適切な処理システムによって代替されうるし、また、これらと組合せて用いることも可能である。
また本願発明は、その技術思想の同一及び等価に及ぶ範囲において様々な変形、追加、置換、拡大、縮小等を許容するものである。また、本願発明を用いて生産されるソフトウェアが、その2次的生産品に登載されて商品化された場合であっても、本願発明の価値は何ら減ずるものではない。
【発明の効果】本発明によれば、国民全てが安心して個人情報を提供し、快適で便利な生活を営むための、最終的に国民が共用する財産として守り育てていくシステムおよび方法の実現が可能になる。すなわち、本人の承認の元、個人情報に誰もが自由にアクセスでき、実社会で運用可能な個人情報の認証システムおよび方法の提供が可能になる。これにより、ひいては、真の意味での民主的社会が実現されることになる。
【図面の簡単な説明】
【図1】西成地区にて平成12年本発明者が実施した、ICカードを用いたダブル認証情報管理システムの全体構想図である。
【図2】西成地区にて平成12年本発明者が実施した、ICカードを用いたダブル認証情報管理システムの基本センター機能詳細図である。
【図3】西成地区にて平成12年本発明者が実施した、ICカードを用いたダブル認証情報管理システムのネットワーク全体概要を示す図である。
【図4】カード全体の用途の広がりと、便利さ・セキュリティの度合いを示した図である。
【図5】西成地区にて平成12年本発明者が実施した、ICカードを用いたダブル認証情報管理システムのアプリケーション構成図である。
【図6】西成地区にて平成12年本発明者が実施した、ICカードを用いたダブル認証情報管理システムの運用に際してのカード一般のID管理を説明する図である。
【図7】西成地区にて平成12年本発明者が実施した、ICカードを用いたダブル認証情報管理システムの個人(クライアント)のサポートを概略説明する図である。
【図8】地域福祉総合情報センターの基本コンセプト説明図である。
【図9】地域福祉総合情報センターの施設構成要素案説明図である。
【図10】地域福祉総合情報センターの5つのテーマ説明図である。
【図11】地域福祉総合情報システムの3つのポイント説明図である。
【図12】地域福祉情報化のポイント説明図(情報サポートシステム)である。
【図13】地域福祉情報化のポイント説明図(情報ライブラリースタジオ(1))である。
【図14】地域福祉情報化のポイント説明図(情報ライブラリースタジオ(2))である。
【図15】地域福祉情報化のポイント説明図(情報ネットワークシステム)である。
【図16】総合インフォメーションサービスの仕組み説明図である。
【図17】福祉・ヘルプデスクと情報システムの役割の説明図である。
【図18】福祉・ヘルプデスクの役割と事業イメージ案の説明図である。
【図19】福祉・ヘルプデスクと情報管理業務の説明図である。
【図20】福祉インフォーメーションシステムと建築設備制御システム説明図である。
【図21】情報サポートシステムの構成説明図である。
【図22】地域総合情報システムと施設情報管理体制案説明図である。
【図23】大阪市福祉人材開発・研修センター情報計画一覧である。
【図24】大阪市福祉人材開発・研修センター情報計画備品概要図である。
【図25】館内V・I・Sネットワーク構想概要図である。
【図26】システム機器構成前提条件説明図である。
【図27】システムの想定される利用形態説明図である。
【図28】ソースデータの取り込み説明図である。
【図29】動画・静止画の出力先の説明図である。
【図30】動画情報についての説明図である。
【図31】ICカードの種類についての説明図である。
【図32】利用できる館内リソースについての説明図である。
【図33】カードが納入されたときの状態についての説明図である。
【図34】納入カード情報を取り込む際のフォーマット説明図である。
【図35】操作・承認権限についての説明図である。
【図36】カードの発行手順についての説明図である。
【図37】職員カードおよび一般市民カードの発行手順チャート図である。
【図38】本人確認項目の設定一例についての説明図である。
【図39】具体的なカードの抜き差し、権限のチェックタイミングについての一例についての説明図である。
【図40】カードを発券するのに必要なオペレーションと主な管理項目(縦)についての説明図である。
【図41】メニュー構成についての説明図である。
【図42】各メニュー項目についての説明図である。
【図43】画面推移ユーザー管理についての説明図である。
【図44】画面推移カード管理についての説明図である。
【図45】画面推移職員カードについての説明図である。
【図46】入力画面と各項目の説明図である。
【図47】修正画面と各項目の説明図である。
【図48】利用権設定画面についての説明図である。
【図49】施設利用権変更画面についての説明図である。
【図50】カードの利用停止についての画面と各項目説明図である。
【図51】施設管理の概要についての説明図である。
【図52】管理システムおよび制御システムの概略フローである。
【図53】作成・転送するファイルの一覧である。
【図54】所属グループの規定値一覧である。
【図55】個人ファイルの項目一覧、詳細、データ例である。
【図56】card_perm_export(カードの権限(標準形式)データ転送用)についてのテーブル説明である。
【図57】card_perm_expire(カードの期間限定のデータ転送用)についてのテーブル説明である。
【図58】所属ファイルの項目および詳細についての説明である。
【図59】履歴ファイルの項目および詳細についての説明である。
【図60】プログラムファイルと設定ファイルについての説明である。
【図61】ICカード、カードリーダーライター、外部認証システムおよび外部装置群との関係イメージブロック図である。
【図62】ICカード、カードリーダーライター、外部認証システムおよび外部装置群との関係フローチャートである。
【図63】2ステップカード確認システム(仮称)システムイメージ図である。
【図64】ICカードの利用条件の説明である。
【図65】入退館システム構成イメージ図である。
【図66】システム系統図である。
【図67】出入管理装置外形図である。
【図68】電気錠制御盤外形および詳細図である。
【図69】非接触式カードリーダー外形図である。
【図70】エレベータ制御のシステム構造の説明図である。
【従来の技術】現在、ICカードが普及しつつある。たとえば、JR東日本のプリペイド乗車券「スイカ」や、ビットワレットのプリペイド式電子マネー「Edy」もICカードである。両者とも読み取り機に軽く触れるだけで即座に精算できる利点があり、「スイカ」の場合、切符をいちいち購入したり、乗り越しの精算をしたりする手間が省け、また「Edy」の場合レジの精算が寸時で済み、小銭で財布を膨らませる面倒も減る。
こうした金銭の代わりとしてのICカードの利用に加えて、社員証や学生証をICカード化して、食堂での精算機能以外、社内や学内への出入管理まで行うところや、愛知県豊田市のように健康保険証をICカード化し、各病院にて受診者の資格確認が即行えるようにしたところもある。
このような普及の背景には、従来から広く用いられてきた磁気カードに比べICカードが大容量、たとえば、1枚のICカードに数百枚分の磁気カードの情報が収容でき、従って1枚で多機能化が容易にできる、という優れた利便性を有することに加え、磁気カードに比べ格段の安全性を有することにある。磁気カードの場合、カード自身にはリーダーの真偽を判断する機能はなく、さらに単純な暗号方式なので、リーダーに盗聴器を貼って信号を読み取れば偽造は容易となってしまう。一方、ICカードは、コピーするために不正にアクセスすると内臓されているCPUが拒絶をするので、信号を読み取ることができない。更に、万が一信号を盗聴されたとしても複雑な暗号方式を採用することが可能なので、結果として偽造は困難である。
このようなICカードの利便性・安全性を踏まえ、ICカードを行政が利用しようという動きも出始めている。すなわち、各国民ひとりひとりにICカードを渡し、そのICカードの中に、住民データ、被保険者証データ、公的施設の利用者証、プリペイド機能、決済機能を搭載しようというものである。更に、民間ともタイアップし、公的サービス以外でも1枚のICカードで利用が可能となる構想もされている。
ところで、近年個人情報が不正に利用されることが社会問題になっており、自治体によっては個人情報保護条例を施行するところも増えつつある。個人情報保護条例においては、たとえば行政が業務上収集した個人情報を目的外に利用することを明確に禁じている場合が多い。しかしながら従来、収集された個人情報の目的外利用がなされていないかどうかについて、実際明確に管理する仕組みはなかった。前述のICカード構想においては、各種個人情報がカード自体に記載される方式のため、ICカードを利用して各端末や設備を操作する際、情報提供を受ける側はICカードを受け入れた時点で、一旦その個人のあらゆる情報を受け取ることになる。一般的に、個人情報を提供した利用者は、暗黙の内に個人情報の利用範囲が特定されているものと信じる一方で、一旦個人情報の提供を受けた側はそれを自由に使えると考えている、として間違いない。受け入れた側が個人情報の利用を行う際に、本人の同意があれば問題はないが、今のところ常にその同意を得る仕組みと、本人の意志を確認したことを客観的に認証する具体的な体制が全く整備されていない。すでに全国各地の自治体の過半で個人情報保護条例が定められており、国でも個人情報保護法が国会に上程された。個人情報保護の立場からは、個人情報の利用に関する管理者側の裁量はほとんどなく、どのような場合でも本人確認が事前に必要であるが、現実的に対応できていないという理由で野放しになっているのが現状といえる。
そこで本発明者は、以前大阪の西成地区においてICカードを用いたダブル(W)認証情報管理システムを展開した。このシステムの特徴は、2つある。ひとつは、サービス/設備の利用者(カード所有者、主に個人情報所有者)と、サービス/設備を提供する運営者(カード使用者)でかつ利用者の個人情報を管理・利用する者の双方がそれぞれICカードを所持し、両者のICカードが揃わない限り、運営者は利用者の個人情報にアクセスできず、利用者はサービス・設備使用の提供を受け取ることができない、というものである。すなわち、利用者のICカードを、本人認証の意味と特定の個人情報を利用することに同意する、アクセス認証の意味とで用い、運営者のICカードを、その個人情報にその運営者がアクセスする資格があることを認証し、ついでその個人情報へのアクセスを認証する意味で用いる。2つめは、個人情報アクセス時に、カード利用履歴を独立して記録することである。第3者の立場にある者が利用履歴をとることにより、個人情報に不正にアクセスされていないか個々人が確認することが可能になる。
このシステムによれば、ICカードに個人情報を直接大量に書き込む必要はなくなり、極端な話、ID用の番号だけを付せばいいことになる。個人情報は、運営者のサーバーに蓄積・管理され、個人情報の所有者と運営者双方による情報へのアクセス認証が行われれば、必要な特定の個人情報のみが取り出され、利用に付される。従って、あらゆる個人情報が書き込まれている単体のICカードを取り扱う場合に比べ、運営者側が必要とされる以上に登録されている多くの個人情報にアクセスする心配はなくなる。
図1は、西成地区にて、平成12年(2002年)本発明者が実施したICカードを用いたダブル認証情報管理システムの全体構想図である。市役所といった公的施設と各家庭の間のみならず、病院や商店、福祉施設、情報プラザといった民間の施設ともネットワークを結び、各施設のサーバーに蓄積・管理された個人情報を、逐次その個人情報の所有者の承認のもと、取り出し利用できるシステムである。各個人は「J−CARD」(商標登録出願済、図面及び以下説明においては「Jカード」とも表記)と名づけられたICカードを有する。このICカードには、カードの所有者である個人が特定できるようにID番号が付されている。ICカードの発行・管理は図1にある基本センターが行う。尚、このシステムにおいては、ICカードのみならず、従来の磁気カードのようなカードも併用できるようにしてある。
基本センターの機能の、詳細は、図2のとおりである。ネットワークシステム全体概要は図3のとおりである。図4は、ICカードおよびICカード以外の従来のカード、たとえば磁気カードを含む、カード全体の用途の広がりと、便利さ・セキュリティの度合いを示したものである。図5は、図1のシステムのアプリケーション構成図である。図6は、図1のシステムを運用するに際してのカード一般のID管理を説明する図である。従来は、カードに付したID番号とカードの連番(および必要に応じてパスワードも含める)との組でユーザーIDとしていたが、西成のシステムにおいては、カードIDとカード連番を排し、統一利用者番号(統一ID)とカード種別(および必要に応じてパスワードも含める)との組で、ユーザーIDとしている。カード種別は、たとえばICカードや従来の磁気カードといった種別で、ICカード以外の他の種類のカードも含めた多種類の管理ができるようになっている。図7は、カードの所有者であり、何らかのサービスを利用しようとする個人(クライアント)のサポートを概略説明する図である。
このシステムのコンセプトは、「世の中情報化した方が便利だ」としてICカード利用を野放図に進める現状に警鐘を発し、ICカード化のマイナス面をクリアしてより安心なカードの利用、ひいては情報社会を実現することにある。基本は、個人情報の管理は、自己責任で行わせること、すなわち、本人に情報開示のリスクを負担させ、情報の開示・非開示は自分で決めさせる、ということである。個人情報を見たい者は見ろ、しかし、誰が見たかという記録を残せ、ということで、不正なアクセスも確認できる。不正なアクセスには、たとえば以降いかなるデータベースにも一定期間アクセスしてはならない免許停止のような処分など罰則を課せば良い。今のままでは相手方に情報がどんどんたまる一方で、プライバシーの侵害、情報漏洩の問題が深刻である。
たとえば、クレジットカードやキャッシュカードの成りすましによる被害は経済的なものであり、個人にとって重要なのは成りすましによる被害ではなく、買い物記録や財産内容が第3者に知られることである。カードを紛失して、他人がたまたま不正にカードを使用して損害が生じたとしても、普段から本人が自己責任で保険料を支払っているのだから、かかる保険からの支払金で損害はカバーできる。医療情報を情報システムで扱う場合は、ネット化することで病院の受診記録がどこの病院の端末からも自在に引き出せることはメリットあるのだが、今のままのシステムでは、1枚のカードで本人の了解なしにその本人の記録がすべてばれてしまうという怖さがある。すなわち、今までのシステムでは、情報を蓄積・管理しているところのオペレータやその上司が個人情報の使用有無を決めていたものであり、個人情報所有者である本人の確認はとっていなかった。
また、今までのシステムでは個人情報が本人の意志に反して開示されてしまった、漏洩してしまった場合には、本人責任ではなく、その個人情報を蓄積・管理しているところの責任が問われることになる。たとえば、これが住民台帳の場合、ICカードを発行した行政の責任が問われることになろう。自動車免許の場合は、事故を起こした際、責任が問われるのは、その事故を起こした本人であり、免許を発行した行政側の責任が問われることはない。ICカードを利用した住民台帳管理においても、そのICカードを有する人間の自己責任で情報管理ができるようなシステムにしなければ、行政の責任は非常に大きなものになってしまうことだろう。
自己責任で、という範疇には、必ずしも自分が常にその個人の情報に第3者がアクセスする際に承認を行う必要はなく、信用のある、或いはアクセス資格のある第3者がアクセス承認を行い、そのアクセスを事後本人が確認して、承認を行う場合も含まれる。そのためにも、誰が個人情報にアクセスしたかという情報の記録をとり、それを確認できるということは大切である。
たとえば、大阪の人間が、出張先の東京で倒れたとする。本人はICカードを携帯しているが気を失っている状況であるとする。この人間が担ぎ込まれた病院の担当医は、この人間の既往歴、どんな薬を服用しているか、ペースメーカーを使用しているかなどなどの過去のデータを知りたい。そこで、その病院の院長に相談し、院長のオールマィティーなカード(とその担当医のカード)でその個人の病歴に関する情報にアクセスし、その個人の治療に使用する。そしてその個人の命が助かる。本人が目を覚ましてから、そのアクセス事実を知り、承認する、というケースもありうる。ある意味で、院長と担当医がグルになっている。しかし、2人とすると犯罪の確率は減る。捜査令状が、署長と担当の印があって、裁判所が承認し、発行されるのと同様である。
また、たとえば、大阪の人間が福岡に引越しをしたとする。大阪の得意のデパートからいつも贈り物をしていたとする。引越し先のデパートからも知人にいつも大阪のデパートで贈っていたような品を送りたいとき、引越し先のデパートが大阪のデパートのデータベースにアクセスして過去の情報を見られたら、それで贈答品を送るのが楽になる。本人がOKといえば、情報にアクセスしていいといわれたデパートがアクセスできる。まるで、個人のサーバーを大阪のデパートに置いているようなもので、その情報の閲覧権限は、本人とその情報を管理しているデパートにある。但し、デパートで情報を閲覧する際も、あくまでダブル管理、たとえば、本人とデパート側の両者の承認があって、初めてアクセスできるようにしておかなければならない。単独のアクセスはできないようにしておかなければならない。
本人が引越し先のデパートに大阪のデパートのその個人情報にアクセスすることを承認しているのに、大阪のデパートが情報アクセスを拒否したら、その大阪のデパートとの取引はやめ、本人に関する情報を削除を依頼することになるだろう。これはつまり、どのデパートとの取引を行うかを本人が決定すれば良いことを示す。これまでの情報システムに対するセキュリティ技術の開発は、個人の被害を防ぐための事故や犯罪防止ではなく、情報を個人からあづかる立場の人や組織の被害を防ぐためのものであることは明らかである。特に成りすましによって生じる被害の担保責任を情報をあづかる人間が負うという前提でない限り情報システムの導入は根拠を失ってしまうからである。情報システム導入に伴う設備投資を行うのは企業や行政機関であり、投資したメリットが投資した側にあるのは当然である。業務管理や営業体制を情報化することは企業や組織の利益に結びつけるためであり、情報化で発生する情報漏洩や改竄、個人情報の流用や悪用は基本的に企業の利益や従業員の個人的利益を追求することで発生する。
例えば、小売店舗で起こる万引きの被害は、商品を展示販売していれば当然発生する事故であってその被害は商品価格に上乗せしているだけである。万引きを防ぐ方法は考えていくのは当然だが、商品展示をしている以上、万引きをなくすことは不可能である。なぜなら、万引きの被害の相当な部分が従業員もかかわっていることが事実だからである。
情報化社会で最も重要なことは誰が情報化で利益を得ているかを考えることである。これまで企業は自己都合で情報化を推進し自己の利益の確保と責任回避が目的でセキュリティ技術を考えてきたことが大きな誤りである。情報化社会でもたらされる社会的利益と組織的利益を混同してはならない。
現在は、情報ネットワーク上で発生する事故や犯罪を防ごうとしてファイアウォールを築き、情報をいかに見せないか、ということに力が注がれている。そのため、情報の価値・値段があがっている。そして情報を盗みたくなる人も多い。極端な話、電話会社の人間まで、電話番号を他人に気楽に教えるな、と警告する時代になっている。一方、本発明者のコンセプトによれば、情報は見たければ個人の承認のもと誰もが見られるようになるのだから、価値がなくなる。情報を盗みたくなる人もいなくなる。
情報にアクセスされるのが嫌ならば、うちはデータベースは公開していない、と看板出せばよく、それに同意する人間はそういうところを選べばいい。情報にアクセスしていいかどうかの承認権限は個人、そしてそのデータを管理している機関にある。
たとえば、受験の成績、警察の調書など、どうしても公開したくない情報はオフラインにすればよい。その一方で、先の病歴データなど見せる(必要のある)ものはオンラインとして、はっきり区別がつけられる。何を公開するかは、その情報に係わる本人と、その情報管理者である機関とが決め得る。現状では、人のデータは通信を介して行き来する。どこかにチェックポイントがある。そのため、ハッカーに狙われてしまう。本願にあっては、人に見られたくない情報は、オンラインと切り離し、オフライン管理した方が安心であるとの前提があるので、オフラインの情報を盗むためには、空き巣に入る他なくなるだろう。
上述したコンセプトは、既に本発明者が西成のシステムにて実現させた。西成のシステムは、まさに世の中の縮図である。
但し、西成のシステムにおいては、Jカードの発行者、認証者(カード管理者)、更に場合によってはサービスの提供者(運営者、カード使用者)が同一機関であり、明確にその機能分けができていたとはいえず、ましてその責任範囲などもはっきりしていなかった。
上述のコンセプトならびにそれを実現した西成のシステムにおいて、重要なことのひとつは、もしICカードを紛失したら、そのICカードの不正利用を防ぐために直ちにそのカードによる利用をストップできるようにすることである。もし、発行者(発行機関)と管理者(管理機関)が同一として、発行機関が休みだったら、紛失したカードの即利用停止を行うことができない。またICカードは多目的多用途カードでもあるため、複数の機関が発行する場合も出てくるだろう。そうした場合、それぞれの発行機関が複数の組織や施設にアクセスして、利用停止ができるようデータベースを書き換える必要が出てくる。
キャッシュカードやクレジットカードのようなカードの発行者・管理者が責任を共有する同じ組織であり、利用者端末の管理者と発行者は契約によって瑕疵担保責任を法的に負うことによって一元的なカード管理を可能にしているカードシステムとは異なり、多目的多用途のICカードにおいて、発行者と管理者が同一という権限集中は、ときにはカードの実際の運用に支障をきたし、ひいては社会機能の停止につながることにもなりかねない。
また、上述のコンセプト実現のためには、ハンコでいえば印影のような、ICカード(または個人認識用デバイスICチップ)を特定できるためのID番号を読み取ることが技術的ポイントになってくる。しかしながら、現在のところ、たとえばSONY社のフェリカカードでは、カードとR/Wの間の通信技術が完全にクローズされているため、SONYとそのグループ企業以外の第3者によって、カードに書きこまれたデータを電子的に読み込む方法でカードを特定するのは難しい。ID番号の第3者読み取りができなければ、発行者と管理者が同一という状況を打破することはできない。
【特許文献1】
特開2001−202494号公報
【特許文献2】
特開2002−007996号公報
【非特許文献1】
大阪府羽曳野市役所 戸谷 寿夫 著、「窓口行政の現状と今後」、2000年,p.1―25
【非特許文献2】
大阪府羽曳野市 著、「各種情報システムのご案内 平成10年1月現在羽曳野市」、1998年
【発明が解決しようとする課題】上述の現状を踏まえ、本発明は、国民全てが安心して個人情報を提供し、快適で便利な生活を営むための、最終的に国民が共用する財産として守り育てていくシステムおよび方法を提供することを目的とする。すなわち本発明の目的は、本人の承認の元、個人情報に誰もが自由にアクセスできる、実社会で運用可能な個人情報の認証システムおよび方法を提供することにある。
そのためには、複数の会社の開発による多用途カードのID番号を読み取れる読み取り装置が各メーカーによって広く市場に供給されることが必要である。カードを特定できるカードID番号を自由に読み取れるように設計されたICカードなら、どこのカードメーカーが製造したものであっても本発明者のシステムで用いるのに支障がない。
これからの情報化社会で個人情報の認証システムを実現するためには、個人が自ら本人認証を代行させる情報デバイス(ICカードやPC,PDA,携帯電話等)の普及が不可欠である。アジアの印判、西欧のサイン、中近東アフリカのバイオロジーに代わるものである。個人情報の認証システムを社会に提供するのに、情報技術企業一社がデバイス、読み取り装置、通信プロトコル、ICアルゴリズムなどを一括して権利として独占することは許されるべきではない。
企業の不正や技術的瑕疵が確認された場合に、必ず国民によってその企業が淘汰される保証を担保するには、あらゆる企業の参入が保証されてなければならないからである。
発行者兼管理者とシステム供給会社とが一対の契約関係で律せられるなら構わないが、多目的多用途である認証デバイスのシステムは公的インフラとして保証される必要がある。
個人情報の保護と管理システムが明らかに公的なインフラである以上は、知的所有権の側が主導権を握ったシステム管理や開発管理が認められるはずはない。
国民の個人情報の提供を受けて活動する行政、民間企業、または組織や団体は受取った個人情報を多用途多目的に利用してはならないことが求められているが、国民がその個人情報が適切に管理運用されているかをチェックするには、必ず個人を認識するデバイスを国民各自が持たなければならない。
国民全てが安心して個人情報を提供し、快適で便利な生活を営むには、最終的に国民が共用する財産として守り育てていくシステムの開発は必要不可欠である。
しかし、個人情報保護に関する情報システムの必要性が叫ばれるなか、そのシステムの開発を今のまま情報技術企業や国家の事業活動に委ねておけばいずれは知的権利の独占が避けられない。
国民全員が、個人情報を扱う全ての事業所(官民を問わず)のデータベースにアクセスすることを可能にするシステムは極めて公共的なインフラである。
全ての企業や個人が自由に工夫してより良きシステムにしていく社会的な保証が必要でありそれはオープンソースという思想を背景にした国民的財産にすべきことである。
【課題を解決するための手段】上記の目的を達成するため本発明に係るICカードまたは個人認識用デバイスICチップを利用したダブル認証情報管理システムは、少なくともICカードまたは個人認識用デバイスICチップ発行部、ICカードまたは個人認識用デバイスICチップ管理部およびICカードまたは個人認識用デバイスICチップ運営部を有し、前記ICカードまたは個人認識用デバイスICチップ運営部と利用者双方のICカードまたは個人認識用デバイスICチップを用いることで、特定の情報にアクセスするための認証を行うことを特徴とする。 請求項9に記載のICカードまたは個人認識用デバイスICチップを利用したダブル認証情報管理方法は、少なくともICカードまたは個人認識用デバイスICチップ発行工程、ICカードまたは個人認識用デバイスICチップ管理工程およびICカードまたは個人認識用デバイスICチップ運営工程を有し、前記運営工程において運営部と利用者双方のICカードまたは個人認識用デバイスICチップを用いることで、特定の情報にアクセスするための認証を行う工程を有することを特徴とする。
また本発明は、上述のダブル認証情報管理システムを構成するエレベータ、自動扉、電子ロック等の各単体としても、さらにこれらを要素として含み得る電子制御建築(以下、「(西成区)福祉人材開発研修センターに係る電子制御建築」ともいう。)としても、またはICカード及びICカード認証システムを用いたビジネス展開を行うための業務方法(ビジネス・メソッド)としても、これぞれ実現できることは当然である。
【発明の実施の形態】
以下、本発明の実施の形態につき説明する。
まず、多用途ICカードが成立する根拠について説明する。
カード発行者/発行部(以下、「発行者」ともいう。)、カード製造者/製造部(以下、「製造者」ともいう。)、カード管理者/管理部(以下、「管理者」ともいう。)、カード使用者/運営部(以下、「使用者」ともいう。)、カード所有者/利用者(以下、「所有者」ともいう。)、の各ポジションの役割と責任から見た多目的、多用途ICカードの管理運営の構造に、以下のICカードによる個人情報とカード管理システムの記述は、個人が本人確認もしくは第三者に対して認証請求する場合のシステム自体の機構についてICカードを例に説明していると解釈すべき内容である。
註記1;本欄で説明しているカード発行者、カード製造者、カード管理者、カード使用者、カード所有者の役割は、個人に発行された本人認識をするための情報デバイスがICカードでなくても同じ構造をもっている。ICカードのICチップと同じ機能を持つチップが携帯電話、PDA、モバイル型のパソコン、その他の情報端末デバイスの電子媒体に取り付けられていれば、何等かの通信手段を用いて、デバイス認証を個人認証とすることが可能だからである。
註記2;上記の読み替えと同じように、カード発行者、カード製造者、カード管理者、カード使用者、カード所有者は、同じ認証機能をもつ機構のなかで電子媒体となる認証用のチップを持っているデバイスの発行者、デバイスの製造者、デバイスの管理者、デバイスの使用者、デバイスの所有者と読み替えることができる。
1.カード製造者(もしくは個人認識用デバイスを供給する者)について説明する。カード製造者は、たとえば出願人であるR&D(以下、単に「R&D」とも略記する。)が定めた一定の仕様を満たす製造ライセンスを受ける者として定義される。
カード製造者の位置と体制については次のとおりである。
基本的には、カード製造者はライセンスを取得すると同時に、カード管理者にカード製造者を登録して販売したカードの管理委託が可能な状況にする必要がある。
カード製造者に提供される一定の仕様を満たすライセンスは、本特許出願によって開示されるあらゆる技術的内容を前提とする。
あるカード発行者によって個人宛に発行されたカードは、必ずカード発行者以外の第三者が特定することができるようになっている。
読み取り機器と非接触ICカードとの間の通信方法について
今回はICカードをデバイスとして考えているが、通信技術に関する技術/非接触、接触、磁気、携帯電話、PDAなど様々な個人認証ツールが読み取ったデバイス認識番号の送受信を可能にする技術的解決方法を包含する。
技術開発の目的;
複数(多数)のカードメーカーが供給するICカードやその他のデバイスからカード(デバイス)ID番号を読み取ることのできる読み取り装置が、様々な読み取り装置メーカーから供給されることを可能にすること。
技術上の問題点と解釈;
これまでの一般的な技術開発スタイルは、カードシステムと読み取りシステムは一体的に設計され、排他的な権利が設定されていると考えていい。
今回西成の福祉人材開発・研修センターの電子制御建築システムにて採用した、SONY社の非接触ICカード/フェリカでも排他的な条件が設定されている。そのため、今回構成する多用途カードの普及には、ICチップから、カード製造者以外の第三者がそのカードを特定できるID番号の読み取りが可能な読み取り装置や通信プロトコルを含めて技術的な解決が必要である。
現状では、カードを購入するカード発行者(顧客)はSONYの指定するメーカー(代理店)に対してカード発行者が独自に指定するプログラムを提示するが、専用の端末を発注せざるをえない。
今回の特許出願に係る発明の実施に際しては、カード発行者以外の第三者であるカード使用者やカード管理者がカードに記録されたデータを読み取ることができなければならない。
カード発行者以外の第三者がカードデータにアクセスすることを可能にするには必ず共通化された一定のプログラムを用意しておく必要がある。
SONY社のフェリカカードの場合は、カードとR/Wの間の通信技術が完全にクローズされているため、SONYとそのグループ企業以外の第三者によってカードに書込まれたデータを電子的に読み込む方法で、カードを特定するのは難しいと予想できる。
カードの種別や発行者を問わずに、カードID番号によるデータアクセスを外部から管理し制御できなければならない。
今回の電子制御建築システムに係る特許出願は、多用途ICカードの普及に絶対必要な一体的なICカードとICチップの読み取り装置の通信手段がオープンな構造にならなければならないと判断している。カード製造者(デバイスを問わないために)と読み取り装置(デバイスからカードID番号を読み取るために)のメーカーが自由に開発できる環境を作る必要がある。
カード自体の機能は、端末を通じてカード発行者やカード使用者である施設管理者や運営者にカードのID番号(ハンコでいえば印影)を伝える役目しか与えられていないことが最も重要なポイントである。なぜなら、カードを無くした場合は電話やファックス、メイルなどで名前や生年月日をカード管理者である管理センター(仮)に伝えただけでカードを利用できないようにしなければならないからである。
これまでキャッシュカードやクレジットカードを無くしても同じように電話で利用不可にすることができたが、今回のように多目的多用途カードでは不可能である。なぜなら、カード発行者やカード管理者が異なる複数の組織や施設のデータベースを書き換える必要があるからである。
キャッシュカードやクレジットカードではカードの発行者管理者が責任を共有する同じ組織であり、利用者端末の管理者と発行者は契約によって瑕疵担保責任を法的に負うとしていることによって一元的なカード管理を可能にしたからである。JRカード、百貨店カード、また自治体カードも同様である。
大阪市に導入されたシステムでは、カードデータを読み込む情報端末に直接通信回線を接続していないため、カードの利用キャンセルは直接データベースから端末に送られるようになっているが、これは暫定的な処理にすぎない。外部からのアクセスによるコントロール方式に擬した形で、カードデータを読み込む情報端末には専用のパソコンを接続して管理するようにしてある。
複数のカード発行者や管理者が異なる施設や組織で多目的にICカードが使われる場合は、第三者であるカード管理者によるカードIDの認証(カードが有効であるか否かを判定)が必ず必要である。
しかし第三者による管理では、カードを使用している組織や施設が業務で作成しているデータベースにアクセスすることは一般的にできないため、カードを使われる情報の入り口(読み取り機)でもってアクセスしたカードのID番号を確認した瞬間に許諾を行わなければならない。
カード管理者(カード販売者)について説明する。
カード管理者の定義について
カード管理者は、多目的多用途のカードを自ら発行するカード発行者と、流通しているカードを受け入れて自らの組織や施設の運営に活用しようとするカード使用者から付託を受けて、カードの有効性を常時管理する者と定義する。
カード販売者については、今回はカード製造者に対して直接発注しているのはR&D/チップスコネクションであり、カード製造者(SONYグループ)から受けとったカードを、市民に対するカード発行者である大阪市に対して納品する形をとっている。そのため、大阪市から再度カード管理の業務を受託する構造になる。
今しばらくは、カードを使って利用者や消費者を管理したいと考えるカード発行者から、製造と販売、さらにカード管理業務を一体的に請負う形が続くという認識である。
ただし近い将来最終的には、カード発行者は自らサービスのよいカード製造者を選んでカードを購入することになり、サービスの良さにはしっかりしたカード管理システムを依頼できる体制も含まれるようになるだろう。その段階でカード管理者は縁の下の力持ち的なかつ空気のような存在になるはずである。
カード管理者の役割と組織的意味合いについて
カード管理者は、カードの管理を行うための任意団体であり、たとえば出願人であるR&Dが定めた一定の基準を満たすものとして認定されていなければならない。
カード管理者は、一定の規模の範囲や人口数を勘案して認定される地域中心に認定される団体であり、各地域のカード管理者間はネットワークで結ばれている。
ネットワークで結ばれている各カード管理者に登録されているカードID番号とカードを登録した者を特定する個人情報(氏名、生年月日、性別等)を使い、各カード管理者相互に参照を行って使用されたカードを特定し認証する。
各地域に設置されるカード管理者は全国的なネットワークを構成するが、あくまでも上下関係のないフラットな環境を維持するものとする。ただし、人格の異なる複数のカード管理者が登記された場合には、ネットワークと全国のカード管理者の資格と業務上の履歴について監督する権限が必要になる。
この監督組織は、カード製造ライセンス、通信プロトコル、メーカーIDとカードID番号、読み取り装置ID番号を管理する民間団体の外郭組織(財団法人またはNGO)を考えている。
カード管理者はカード製造者からその会社が製造して出荷したカードのID番号の提供を受けておかなければならない。そのため、カード製造者は事前に製造者として認定を受ける必要があり、認定を受けるには自社の製造したカードの品質とID番号の管理体制についてカード管理者が定める業務体制に関する一定の基準を確保し、維持することを約束しなければならない。
カード管理者は、出願人R&Dがライセンスを所有する多用途、多目的のICカードを個人に発行する目的で、R&Dが一定の要件を満たす設備を備えたカード発行者には、カード発行者の指定をしなければならない。
カード管理者は、カード発行者が個人から具体的な申込みによって特定の個人にカードを発行した段階で送ってくる個人の特定情報を自らの管理下にあるデータファイルに保管しなければならない。
カード管理上の技術的解決と将来展望について
カード管理者は、カード発行者とカード製造者から送られてきているカードとカードの所有者を特定するために発行者が登録した個人情報を突き合わせてカード管理業務を行う。
カードの発行時の動き/カード発行の認証について
カード管理者はカード発行者が発行したカードID番号と、カード製造者によるID番号を照合し偽造もしくは盗難されたものではないことを発行と同時に確認する。
製造者から事前に登録されていないカードや盗難の届けがあったカードの場合には、発行者に対してカードキャンセルの返信データを送信する。
発行されたカードが真正のものであればカード管理者はそのままカードに関する登録情報をファイリングする。個人情報の内容についての虚実は全く問わない。同じ個人に対する発行枚数にも制限はない。
カードの使用時の動き/カード有効の認証
カードが使用される端末の管理者の要求が無い限りカードの真贋についての認証は行わない。/一旦発行されたカードによって付与されたカード利用資格のデータは、その施設や組織のネットワーク内で指定されたカード利用端末側に直接送られた状態のまま、基本的にアクセスを承認されたカードID番号とその端末のアプリケーションデータ間の照合でシステムが動くだけである。
カード発行者ではない第三者/他の組織や施設が発行済みのカードを受け入れて自らの「会員カード」として使わせる場合には、改めてその新しい組織の責任でカード管理者にカードの有効性を確認することができる。
ただしアクセスされたカードによる問い合わせに対してカード管理者やそのカードが (1)発行済みである(2)紛失盗難等の届けがない(3)不正使用の履歴がない、という3つの事実だけを返すのみである。そのカードがだれにいつだれによって発行されたか、という個人データの照会は行われない。
カードの発行データはプライバシーの範疇に属す個人情報であり、このカードはカードの発行を申込んだ時点で行った本人の記述申告を唯一絶対の真正データとして登録することに特徴がある。いうなれば偽名や年令詐称も許されているカードであるといってよい。
カードの使用時の動き/カード無効の認証
カード管理者は、カード所有者から紛失や盗難した場合や、その恐れがある場合には電話やファックス、E-mailなどの通信手段を使うほか、口頭でもってカード無効の連絡を受付ける。
カード管理者は、カード所有者から紛失したカードを特定するために必要な情報をヒアリングすることになる。氏名、生年月日でほとんど特定可能だが、それでも特定できない場合は、券面に記載されていた番号の写しやカードに書込んである本人を確認するための情報(電話番号や郵便番号、出身地など)を聞いて特定する。
カード管理者は、紛失が特定されたカードが登録されている施設や組織の情報端末に対して同カードを受け付けさせない信号を送って、紛失の連絡があったカードを無効にする手続きを実行する。
本願の西成区の福祉人材開発・研修センターに係る電子制御建築のシステムは、各EVや電子ロック、自動扉、情報端末などには直接情報を送れる接点を設定し、そこにパソコンで代用しているカード有効無効をチェックする機能を用意するものである。
カード管理者は、必要に応じてカード発行者やカード使用者 (共通のカードを受け入れている事業体)との契約によって定められている施設内のデータコントロールサーバーにアクセスして登録カードの抹消手続きも行うことが可能である。
カード管理者は、自ら契約しているカード発行者やカード使用者以外に、当該カードを使って運営されている施設や組織の情報端末に対してもキャンセル信号を送る必要があるときは、先般のネットワークを通じて各地のカード管理者を経由して情報端末にアクセスする。
カード所有者は紛失・盗難等を連絡して自分のカードは使用できない状態にした場合は、カードを使って登録した諸権利を再利用するにはカードの再発行を受けなければならない。
再発行の手続きはなくしたカードを発行したカード発行者で行う。それ以外のカード発行者でも再発行の手続きは可能であるが、その場合は新規発行と同じ手続きになる。
新たなカードによって、カードによる諸権利と資格を可能な限り復活させるには、カード利用履歴や登録されている個人情報の閲覧が必要になるため元のカード発行者での個人情報の閲覧手続きが容易である。
旅行中や転居先で紛失した場合のカードの再発行は非常に時間がかかると考えなければならない。今回提案しているICカードやシステム全体は、複数の施設や組織で使える共通カード(デバイス)を前提にしているため、ひとつ一つの施設管理者に対して改めて本人確認が必要になるからである。
緊急を要する場合は、過去の登録の履歴を一旦保留し、改めて近場でホワイトカードを求めて日々必要な施設や組織に対して改めて登録を始めるしかない。行く先々で「すみません。カードを無くしたのでこのカードで再登録をお願いします。」と繰り返す他は無いのである。
その場合、相手の判断によってはカードを紛失した人の過去のデータや履歴をそのまま使える扱いをしてくれるかもしれない。一旦カードをキャンセルした場合、みな基本的には「一元さん」になってしまうから仕方がないとも言える。
しかし、カードを使わなくても生活できるレベルの手続きに使うカードであれば、うっかりミスの罰則としては軽いと思うべきであろう。財布を落として現金が盗まれることや免許証を失って仕事がしばらく出来なくなる場合よりはましと考える。
カード所有者が一旦、紛失届を出してカードを無効にした後でカードを発見した場合は、改めてカードが見付かったとカード管理者に連絡をしてもネットワークでは復活は不可能である。本人確認が必要になるからである。
カードを紛失した。カード管理者に届ける。カード無効の信号を送る。カードを見つける。カード管理者に届ける。この場合、カードを盗んだ人や拾った人が連絡する可能性があるからである。
その場合の本人確認の方法は次の通りである。
カード管理者の委託を受けた人間が、直接カード所有者(であったという人間)と面接し、登録写真や本人しか知り得ない情報を確認して、復活させる。
カード管理者がカードの利用履歴を参照しながら、カードを無くす前のカード利用状況を確認しながら本人であることを確認して、復活させる。
上記のヒアリングによって確認されても最終的には顔写真での認証が必要になるが、写真機能付きの携帯電話を使ってカード管理者に登録されている写真と照合して最終確認することも可能である。
ロとハを併用する場合が最も合理的であるが、どこまでも成り済ましの可能性は排除できないため、一定の範囲での機能復元に止めるべきであり、最終的には発行者の確認をもって完全復旧にするべきである。
ハの手続きで現場に出掛けて所有者と面接することは、カード所有者がカードを失って生活や業務に支障を生じた場合に行われるカード管理者の仕事であり避けられない業務である。
カード発行者が発行したカードを電子ロックやその他の設備の起動制御用の鍵として利用していた場合は、紛失した場合は夜中に家から締め出されるとか、医者が病院に入れなくなることもありうるからである。
カードを紛失した場合は、鍵を失った場合とほとんど同じ不都合がカード所有者に降り掛かるが、その解決方法も整備しておかない限り多用途、多目的のカードシステムは機能しない。
出願人が提案している電子制御建築を核とするシステムの全体は、カード管理者はカード紛失の連絡によってカードを無効にすることでセキュリティが確保されているが、そのことによって生じる所有者の被害を最小限度にとどめるように考えて設計されている。
カード管理者が行う業務の範囲
カード管理者は、カード製造者からカード出荷時にカード製造ID番号を受取る。
カード管理者は、カード発行者から発行登録時に登録した人間の氏名、生年月日、性別、写真データもしくは本人確認可能なデータ(註3)を受取る。
註3;本人確認可能なデータとは、電話番号、メイルアドレス、現住所、本籍地、母親の名前、子供の名前、卒業学校名、ペットの名前など
カード管理者は、すでに発行されたカードが新たなカード使用者に登録される場合には、そのカードの(1)発行済みである(2)紛失盗難等の届けがない(3)不正使用の履歴がない、という事実を通知する。
カード管理者は、カード所有者からカードの紛失盗難の連絡によってカードを無効とする手続きを実行する。
カード管理者は、カード所有者からカード無効の手続きをキャンセルする旨の連絡によって、復活させる手続きを実行する。
カード管理者は、カード所有者からカード無効によって緊急的な対応を求められた場合は、現場に急行して必要な対策を講じる。
西成の大阪市社会福祉研修・情報センターで実施予定のシステム管理における、データ登録と管理の流れを参考にまで掲示する。
●大阪市社会福祉研修・情報センターは、大阪市が設置し大阪市社会福祉協議会が運営を受託する施設である。そのためその中で使われるICカードを使った管理システムは、一体的に運用されているように見える。
●実際には、ICカードの製造、発行、管理、使用、所有は分割して設計されている。
●この施設で発行されたICカードが他の施設や地域で同じように使用できるようにするには、発行者と使用者を明確に分け発行者と使用者はカードを使って記録される個人データのみを厳密に管理するとともに、カードの管理を外部委託する仕組みになっていなければならないからである。以下は具体的な内容である。カード管理者 (A/施設設置者・大阪市)は、カード製造者からカード出荷時に設定されているカード製造ID番号を受取る。
カード発行者(受付・大阪市社会福祉協議会)は、施設の利用希望者から必要な要件を書込んだ申込書を受取り、上記のカードを特定して本人に対してカードを発行する。
カード発行者(受付・大阪市社会福祉協議会)は、施設の施設職員に対して規定の個人情報を確認した上で、業務上の資格を明らかにしたうえで上記のカードを特定して本人に対してカードを発行する。
カード管理者(B/施設管理者・大阪市社会福祉協議会)は、カード発行者 (受付・大阪市社会福祉協議会)から発行登録時に発行する本人から受取った個人情報の中で、氏名、生年月日、性別、写真データもしくは本人確認可能なデータ(註3)を自立したサーバーに登録する。
カード発行者(受付・大阪市社会福祉協議会)は、すでに発行されているカードを持っているカード所有者(施設利用者と施設職員)が新たなサービスや業務上の資格を受けることを希望した場合、カード管理者が管理しているサーバーにアクセスして、そのカードの(1)発行済みである(2)紛失盗難等の届けがない(3)不正使用の履歴がない、という事実を確認して表示する。
カード管理者(B/施設管理者・大阪市社会福祉協議会からカード管理を受託している管理センター)は、カード所有者からカードの紛失盗難の連絡によってカードを無効とする手続きをカード管理者(A)に代わって実行する。
カード所有者からカード無効の手続きをキャンセルする旨の連絡によってカードを有効な状態に復旧する手続きをカード管理者(A)に代わって実行する。
カード管理者(B/施設管理者)は、カード所有者からカード無効によって緊急的な対応を求められた場合は、カード管理者(A)に代わって現場に急行して必要な対策を講じる。
カード管理者のデータ管理方法について
カード製造者から送られる番号
カード管理者には、製造者のデバイスであるカードID番号が保存される。製造者から送られたID番号には鍵(a)が付けられている。
一方、カードのICチップに記録されたID番号は製造者から送られたものと同じであるが、ID番号には鍵(b)が添付されているため、カード管理者のデータファイル側で送られたID番号は鍵(a) 鍵(b)が揃って認識される構造である。カードのICチップのID番号が認識されてから、カード券面に記載されたID番号の確認が必要になった場合には、データベースと分離して管理されているアルゴリズムプログラムを使ってID番号との紐付けが可能である。
データ照合の流れ; カード側のID番号+鍵(a) →鍵(a)+鍵(b)を照合 →カード管理者側のID番号を確認 →アルゴリズムプログラム →券面記載のID番号のリスト照合。
カード発行者から送られる登録者データ;
カード発行者はカードを申込む人から登録に必要な個人情報の提供を受けることを前提としている。
個人情報のなかで、氏名/生年月日/性別が最も基本的な情報である。この3点は広く公開される意味で個人情報ではなく出願人のシステム上は個人特定情報と考えている。→個人情報A
カード発行者は特定のICカードを特定の個人に発行する際には必ず、カード発行機にカードを差し込んだ上で、氏名、生年月日、性別、を記録した登録者ファイルを作成した上で、カード管理者に送信しなければならない。
カード発行機には写真印刷機能を有したものを使用することが望ましいが絶対条件ではない。
カード発行者が管理保有する個人データ;
カード発行者は、必ず何等かの目的をもってカードを個人に発行するものであるため、氏名、生年月日、性別の個人特定情報以外に、現住所、電話番号、会社名または学校名、学歴、役職、国籍、本籍、家族情報などその他の個人情報を、カードを申請した個人から一定の個人情報を収集する。これらは発行者が第一位の管理責任を有する個人情報である。→個人情報B
カード発行者は、個人情報保護条例の関係から本人確認がない限り個人情報Bについて他用途利用は禁止される。外部から容易にアクセスできない状態で管理しなければならない。ただし発行したカードを使った本人からの申し出がある場合にはその限りではない。
カード発行者は、カード所有者がカードを使って自己の管理下にある様々な設備やサービスにアクセスした場合にそのアクセスによって作成される新たなデータとアクセス履歴が発行者のデータベースとして個人情報が蓄積されることは避けられない。→個人情報C
3.カード発行者(準カード発行者)
以下のICカードによる個人情報とカード管理システムの記述は、個人が本人確認もしくは第三者に対して認証請求する場合のシステム自体の機構についてICカードを例に説明していると解釈すべき内容である。
註記1;本欄で説明している上記のカード発行者の役割は、個人に発行された本人認識をするための情報デバイスがICカードでなくても同じ構造をもっている。ICカードのICチップと同じ機能を持つチップが携帯電話、PDA、モバイル型のパソコン、その他の情報端末デバイスの電子媒体に取り付けられていれば、何等かの通信手段を用いて、デバイス認証を個人認証とすることが可能だからである。
註記2;上記の読み替えと同じように、本稿でもカード発行者、カード製造者、カード管理者、カード使用者、カード所有者は、同じ認証機能をもつ機構のなかで電子媒体となる認証用のチップを持っているデバイスの発行者、デバイスの製造者、デバイスの管理者、デバイスの使用者、デバイスの所有者と読み替えることができる。
3.1 カード発行者の定義について
カード発行者は、R&Dが指定する条件の下で製造されたICカードを特定の個人に対して発行することを為し、かつ一定の条件の元でカード管理者との間にカード確認のための契約を締結しカード管理者からカード発行者として認められている者と定義する。
カード発行者は、R&Dが指定した条件である一定の情報をICカードに書込むことのできるカード発行機並びにカード発行に伴って発生する個人情報等のデータをファイリングするサーバーシステムの導入を義務付けた上で、カード管理者からカード発行者として正式に認可されていることが条件になる。
カード発行者は、R&Dがライセンスを所有する多用途、多目的のICカードを個人に発行するには、R&Dが一定の要件を満たすという前提で認定したカード管理者の内から任意の団体を選択してカード発行者の指定を受けなければならない。カード発行者の役割と組織体制について
カード発行者は自ら発行者となって発行するICカードには発行者独自のカードデザインや機能をカードに付加することが可能である。
ただし、カード発行者としてカード管理者から認定されるために、(1)カード読み取り装置、(2)カード保有者データ登録装置、(3)カード利用履歴情報記録装置などの機器を揃える他、厳密な個人情報取扱い規則を定め定期的な監査を受ける必要がある。
カード発行者は、自ら個人を特定して発行したICカードのカード所有者の個人情報A(氏名、生年月日、性別)および本人を確認する情報(現住所、電話番号、会社名または学校名、学歴、母親の名前等々)を、発行と同時にカード管理者に届ける。
ただし、カード発行者は、カードを発行した全ての個人の個人情報をカード管理者に登録する義務を負っていない。カード所有者から求められる場合には登録を行わなくても構わない。
カード発行者はカードを申請した本人の意志を確認してカード管理者に個人情報A を登録しなければならない。カード所有者本人が個人情報Aの登録を拒否した場合は登録を行ってはならない。
このICカードを自らの事業に利用する者はだれでも、カード製造者から本システムの基準にあったICカードを購入して利用することは認められている。カード管理者と契約を結ばなくてもカード製造者から購入すること、カード発行システムの導入は可能である。ただしカード発行者とは呼ばない。
カード発行者はカード発行に必要なR&Dがライセンスを保有しているICカード読み取り装置、もしくはデバイス認識ができる装置を導入する必要がある。ただし、購入者資格には特定の条件は設定されていない。
註4;今回完成する大阪市のシステムでは、カード発行者は大阪市社会福祉協議会(市社協)である。カード管理者はR&Dが指定する団体が大阪市からの委嘱を受けて管理することになる。カード受付は市社協だが個人情報Aの登録には本人の意志確認が必要である。個人情報Aは業務用のサーバーではなく、管理者用のサーバーに登録されることになる。(参考)
カード発行者に準じる発行者
カード発行者が自らカード製造者からカードを購入しないで、自ら発行者となることができる。カード製造者から出荷されたカード管理者に登録されたカードを販売することは認められる。
出願人が提案している認証方式に必要なICカードは、正規にカード管理者に登録されたカードはテレフォンカードや図書カードのように一般店頭や自動販売機で販売できる。その場合、その販売店が個人情報Aを登録できるシステムを導入し、かつ、カード管理者の認定を受けていればカード発行者になる。ただし、自らカードを使ったアプリケーションサービスを提供していない場合は、準カード発行者となる。
準カード発行者の内、個人情報Aを登録しないままのICカード(ホワイトカード)を不特定の個人に対して販売する者はカード販売店となる。そのカードの所有者は他のカード発行者で登録をしない限りホワイトカードは他の施設で利用できないためである。
自動販売機で販売されるICカードの内、氏名、生年月日、性別、本人確認情報、及び写真撮影機能をもった自動販売機(プリクラ販売機と同じインターフェイスを有するもの)は準カード発行者とする。
自動的にICカードの販売とカード管理者への登録が可能な自動販売機を管理する者は準カード発行者としてカード管理者の認可を必要とする。カード販売店はカード管理者から認可を必要としない。
今しばらくは、カードを施設や組織事業の運営に利用したい事業主や団体は、カード製造者からカードを購入し、カードシステムのライセンスに対応した管理システム一式を導入することになる。
ただ最終的には、ICカードもしくは他の個人認識用のデバイスを利用する施設を含む業務管理システムは、カード製造者(もしくはデバイス製造者)、カード読み取り装置(デバイスID読み取り装置)、カード(デバイス)保有者データ登録装置(データサーバー)、カード(デバイス)利用履歴情報記録装置など、メーカーは細分化される。
カード発行者の業務
カード発行者は、カードを申込んだ個人(カード所有者)から個人情報Aの提示を受けてカードを発行する。個人情報Aのデータ入力には申込んだ個人用のカードのID番号データを同時に読み込まなければ登録はできない。
カード発行者は、カード製造者の出荷したカードを個人に特定したカードとするには、カードを申込んだカード所有者が申告した個人情報A以外の本人を特定できる情報(本人特定情報)を、ICカードと個人情報Aファイルに書込むことが必要である。
カード発行者は、個人情報Aと本人特定情報を本人に確認し、カード管理者に登録する旨を本人に確認した上でカード管理者に同データを送信して発行を完了する。
カード発行者は、上記の個人情報Aと個人特定情報以外の個人情報Bと個人情報Cについて本人の承諾がない限り外部送信してはならない。
カード発行者は、個人情報Bについて発行者以外のカード使用者と本人から要請が明確な場合は原則として公開されるため、カード発行者はカード所有者に非公開の意志を確認しておかなければならない。
個人情報Bは、本人確認を行う身分証明書としてIDカードとなる、現住所、電話番号、所属会社もしくは学校など、一定の社会的契約で必要となる情報として本人の意志で公開される個人情報である。
個人情報Bについては、カード所有者のICカードとカード所有者の個人情報Aと個人情報Bにアクセスする権限を有する他のカード発行者もしくはカード使用者の登録済みのICカードの2枚のカードのID番号によって(ダブルカード方式)外部からアクセスした場合は、原則として公開される。
カードの発行時の動き/カード発行の認証
カード発行者は、自ら購入したICカードもしくは登録申請者が持参したICカードを使って登録しようとする場合は、必ずカード発行者が登録しているカード管理者に対して、カード製造者によるID番号を照合し偽造もしくは盗難されたものではないことを確認する。
カード発行者は、カード発行時の登録データとカード利用に関する利用履歴並びにカードID番号を鍵にして収集した個人情報データを分離して保管するように努めなければならない。
カード発行者は、カード所有者のカードの失効(カードの偽造、データ改竄、カードの紛失、盗難などによる)について認証方法を選択できる。
カード使用時にICカード(デバイス)を受け入れる情報端末からカード管理者に直接ID番号をアクセスしてカードの認証を行う。
カード発行者の管理下にある情報端末を集中して管理する管理システムが一定時間ごとにカード管理者にアクセス(バッチシステム)して、カードの無効情報を情報端末に送信する。
カード管理者は、カードの無効情報を同カードの利用資格が設定されている情報端末に送信してカードアクセスの許諾をコントロールする。
カード無効の認証と再発行について
カード発行者は、カード所有者から紛失や盗難した旨の連絡を受けた場合は、そのカードを特定するために必要な情報をカード所有者からヒアリングし、本人であることを確認した上で速やかにカード管理者に連絡してカード無効の手続きを行わなければならない。
カード発行者は、カードをなくしたカード所有者に対してカードの再発行を行うことができる。カード発行者は、新たなカードを発行したカード所有者に対して自らの施設や組織が行っていたカードを使用したサービスについて引き継ぐことができる。
ただし、新たに発行されたカードでは、原則として本人がなくしたカードによってカード発行者以外の他のカード使用者がカード所有者に付与していた各種の資格や権利の証明書の効力は失われる。
再発行を受けたカード所有者は、それまでカードを証明書もしくは鍵として受けていたサービスを受ける権利や資格については各組織や団体、施設で改めて権利や資格の再確認を受けなければならない。
カード使用者(カード受入者)
カード使用者の定義について
カード使用者は、R&Dが指定する条件の下で製造されたICカードを所有しているカード所有者に対して、自己の業務や施設利用のためのIDカードとして使用する者と定義する。
カード使用者は当該ICカードからカードID番号を読み込める読み込み装置を使って、当該カードのID番号と関連付けしたデータベースを作成することができる。
カード使用者は自己の提供するサービスの用に供することを目的として当該ICカードを会員証カードとして利用できる。
カード使用者の役割について
カード使用者は、自ら発行者となってR&DがライセンスをもつICカードを使って独自のカードを発行することはできない。
カード使用者は、カード管理者が定めている一定の要件に従ってカード管理者にICカード受入れ申請をすれば、カード管理者のICカードの認証を受けることができる。
カード使用者は、カード管理者からカード所有者のICカードの認証を受ける場合は、カード所有者の提供する個人情報Aをカード管理者に通知しなければならない。
カード使用者がカード管理者に届けるカード所有者の個人情報は、個人情報A(氏名、生年月日、性別)および本人を確認する情報(現住所、電話番号、会社名または学校名、学歴、母親の名前等々)である。
ただし、カード使用者は、カードを提示した個人の個人情報を全てカード管理者に登録する義務を負っていない。カード所有者はカード使用者のカード管理者に対するカード認証請求を拒否する権利が保証される。
カード使用者は、自らの責任において自らの事業の顧客や利用者にカード販売店やカード自販機などで販売されているICカードの提示を求めることができる。カード使用者は、カード所有者から未登録のカードを提示された場合は、カード所有者が申告する個人情報Aをカード管理者に通知することができる。
カード使用者はカード認証に必要なICカード読み取り装置、もしくはデバイス認識ができる装置を導入する必要がある。ただし、購入者の資格は特定の条件はない。
カード所有者は、カード所有者が認めた場合は、カード発行者で登録してある個人情報B(現住所、電話番号等)の情報をカード使用者のデータベースにダウンロードできる。
カード使用者の情報管理について
カード使用者が、カード所有者の確認をえてカード発行者の個人情報Bのデータベースにアクセスする場合は、カード管理者がカードアクセス履歴を記録する。カード使用者が、カード発行者のデータベースにアクセスする場合は、カード所有者の確認を記録するためにカード所有者とカード使用者の登録済みICカードの2枚のICカード(ダブルカード方式)を使用する。
カード使用者は、カードを提示したカード所有者から個人情報Aの提示を受けてカード管理者に登録した場合は、個人情報Aに変更がない限り自動的にカード管理者にアクセスしてカード認証を受けることができる。
カード使用者は、上記の個人情報Aと個人特定情報以外の個人情報Bと個人情報Cなど本人から収集した個人情報を本人の承諾なしに外部に提供してはならない。カード使用者がカード所有者から登録済みのICカードを使って収集しデータファイルに蓄積された個人情報Aと個人情報Bに関して、本人宛に発行されたカードとアクセス権限を有するカードの2枚のカードのID番号によって(ダブルカード方式)外部から照会されたアクセスに対して公開することができる。
カード使用者は、カード所有者が申告した個人情報Aと個人特定情報をカード管理者に登録しなければならない。
カードの使用時の動き/カードの認証
カード使用者は、カード所有者のICカードを使う場合、カード管理者に対して、カード製造者によるID番号を照合し偽造もしくは盗難されたものではないことを確認することができる。
カード使用者は、カード発行時の登録データとカード利用に関する利用履歴並びにカードID番号を鍵にして収集した個人情報データを分離して保管するように努めなければならない。
カード使用者は、カード所有者のカードの失効(カードの偽造、データ改竄、カードの紛失、盗難などによる)について認証方法を選択できる。
カード使用時にICカード(デバイス)を受け入れる情報端末からカード管理者に直接ID番号をアクセスしてカードの認証を行う。
カード使用者の管理下にある情報端末を集中して管理する管理システムが一定時間ごとにカード管理者にアクセス(バッチシステム)して、カードの無効情報を情報端末に送信する。
カード管理者は、カードの無効情報を同カードの利用資格が設定されている情報端末に送信してカードアクセスの許諾をコントロールする。
カード無効の認証と再発行について
カード使用者は、カードの登録を行ったカードを除きカード所有者に代わってカード無効の手続きを行うことはできない。
カード使用者は、カードをなくしたカード所有者に対して従前のカード発行者に代わってカードの再発行を行うことはできない。ただし、紛失前の利用履歴やカードによって登録した資格や権利の復旧を伴わない場合に限り、新たなカードの発行を行うことができる。
その場合、新たに発行を受けたカード所有者は、それまでカードを証明書もしくは鍵として受けていたサービスを受ける権利や資格については各組織や団体、施設で改めて権利や資格の再確認を受けなければならない。
次に、本発明の実施例である、大阪西成地区であらたに実施予定の、福祉人材開発研修センターの情報管理システムについて説明する。
まず、電子制御建築(システム)とは何か、そのコンセプトにつき説明する。読み取り機器と非接触ICカードの間の通信方法について
今回実現した施設の認証システムでは、SONY社の非接触ICカードをデバイスとして採用している。カードと読取り装置間の通信方式はSONY社指定の方式であるが、電子制御建築が提案する本来のシステムでは、メーカーが異なる複数のカードが利用できる環境が実現されなければならないと考えている。
一つの建築には様々な機能を持った設備機器が導入され、また経営者が異なる企業組織が入居して業務を行うケースも少なくない。世の中の各建築には建物の所有者以外に、入居者、利用者という権利者が設定される他、建物の管理を日常的に行う管理者も関係してくる。
その四者の建物に対する関わり方は極めて複雑である。所有者は複数の建物を所有する場合には、各々入居者、利用者、管理者が異なり、また所有者自身は他人が所有する建物に対しては利用者の立場であり、入居者、管理者になることもあるからである。入居者、利用者、管理者についても同じことになる。
建物ごとに建設会社も異なるし、ほとんどの建築工事では導入される建築設備や管理設備、防災設備、事務機器などのメーカーは特定しない。工事の発注時には一定の仕様の元に特定のシステムを指定できるが、実際に建物を使用し管理する入居者、利用者、管理者の意向は反映することは不可能である。
このことから、建築は社会を構成している人々全てがアクセスできる環境を前提に計画し建設しなければならないことが理解されるであろう。建築は、人間関係と社会の関係のモデルとなるような機能を充足するように設計されると考えるべきである。
電子制御建築をシステム的に実現するには、建物との関わり方を前掲の四者で共通化するための共通デバイスが不可欠である。建物には例外なく利用を特定して制御するために各所に錠が取付けられている。建物に利用するには各々の資格を認定した鍵が必要である。建築を電子的に制御しようとすれば、四者に共通な鍵の機能に相当するデジタル認証デバイスを供給しなければならない。
建物の利用を制限する機能として、錠と鍵は基本的な機能として歴史をもっている。全ての錠を開錠できるマスター鍵と個々の錠に対応する個別の鍵に至るまで仕組みとしてはかなり高度なシステムまで持っている。最近は電気錠や電子錠によって電子的に管理できるシステムも普及しており、入退室管理だけではなく業務管理までできるICカードによる総合的な建物管理も実現している。
電子制御建築システムの第一の開発条件は、利用者の立場で建物に対するアクセスを便利にするために設計されたものである。私たちは、住宅、交通施設、事務所や工場、店鋪や宿泊施設、また病院や福利厚生施設、役所や学校等、様々な施設を日常的に利用して生活し活動している。私たちが建物と関わる関わり方は、社会的に建物を管理する立場であることよりも利用者であることがほとんどである。
電子制御建築システムの第二の開発条件は、施設の設置者や管理者に必要な設備投資の負担を大幅に削減することである。情報技術の進歩は、建物の所有者が情報システムを使って入居者や利用者の利便性を高めると同時に効率的な建物管理を可能にした。しかし、一体的に開発されたシステムでは、建物ごとにシステムを独立させざるをえない構造ではコスト削減は難しい状況が続いていた。
地域社会には多様な機能をもった官民様々な建物が使われている。地域の住民は日常的にそれらを必要に応じて利用しながら生活し、仕事をしている。電子制御建築が目指しているのは、情報システムで管理されている建物を利用する場合には一枚のICカードで、どの建物でも利用できる世界である。汎用的なICカードもしくはそれにかわるデバイスは利用者を特定することを目的としたものである。
これまで企業の研究所や大学などで実現しているICカードを使った施設や業務用の管理システムは、建物の所有者(工事発注者)によって導入されたシステムである。ICカードはあくまで利用者に貸与されるものであり、基本的に発行した組織の管理する範囲内で通用するものであった。その場合は、カードに関して発生する全てのデータは管理者が一元的に管理することになり、セキュリティが最も重要な開発条件にならざるをえなかったといえる。
組織が提供する情報システムの利用者が多くなってシステム自体が肥大化していくにつれて、要求されるセキュリティレベルは飛躍的に高くなっていく。それと平行して外部との相互アクセスの条件が非常に窮屈になって、異なる組織とのシステムの共有化はほとんど不可能に近くなってしまう。一旦セキュリティが破られた場合の被害が甚大なために管理者が問われる社会的な責任が大きく、また事故が発生した時の影響が経営的に無視できないからである。
電子制御建築の基本的なシステムは、建物の利用者が常にマスター鍵をもって生活しているという前提で概念設計されている。建物の利用者イコール住民であり国民である。この鍵はICカードでありカード自体のID番号は公的に登録されるが、カード所有者に対しては匿名性を保持する仕組みである。つまり電子制御建築用として市販されているカードを購入して登録すれば自己を特定するカードになってしまう。
もし、あなたが賃貸アパートで暮らしていたとすると、部屋の鍵は恐らくアパートを管理している不動産屋さんからもらったはずである。もちろんその鍵はアパートの家主さんから不動産屋さんが預かっていたものである。ほとんどの人は鍵をなくしたときのことを考えて合鍵屋さんで予備の鍵をつくるだろう。仮に夫婦で暮らしていれば、なくせばすぐに嫁さんが使っている鍵で合鍵をつくるはずである。
不動産屋さんが良心的ならば、入居者が退居した後には必ず錠を取り替えるはずである。しかし不動産屋さんはマスター鍵をもっているのでマスター鍵が使える錠を取付けなければならない。建築の側からみると、極めて原始的な方法に見える安全管理の方法である。しかし実は複数の人間を介在させるというセキュリティの抑止力にとっては極めて合理的かつ先進的なシステムであることがわかる。カードが合鍵として複数の施設の様々な設備や業務インターフェイスに対応できるためには、カードを特定してカード認証を行う第三者機関が不可欠である。第三者というのは、カードの所有者(建築の使用者)と建築の設置者もしくは管理者以外の立場にある組織という意味である。前項の言い方にならえば、合鍵とマスター鍵をもって建物の安全を管理している不動産屋さんの立場であるといっていい。
カードを使ってカードの所有者を特定するには、カードID番号を全ての読取り装置が認識できればいいことになる。そのID番号にどのような資格を与えるかは建物の設置者と管理者がその利用者にどのような鍵を与えるかという仕事の話になる。ID番号を使って得られる資格とは、住居の入居者資格、事務所の出入室資格、データベースへのアクセス資格といったものから、定期券、回数券、商品券のような金銭との兌換機能、医師、弁護士、建築士、警官などの職務資格まで多様である。
カードのID番号が個人を特定するデバイスであるとすれば、ID番号を規定するデバイス機器はカードに限らない。一定の通信技術に関する技術/非接触、接触、磁気、携帯電話、PDAなど様々なものが個人認証ツールになるだろう。問題はデバイスと読取り装置との汎用的な通信システムの技術的な解決方法を具体化することである。電子制御建築の先進性は、ICカードのID番号を本人確認のデバイスにしたことで、第三者の認証機関の介在を可能にして、多種多様なメーカーや組織が提供するシステムやデータベースへのアクセスを実現させたことである。
次いで、福祉人材開発研修センターの情報システム設計の考え方は以下のとおりである。
1.情報システムの設計条件について
● 今回採用した総合的に施設運営を管理する情報システムは、施設利用者と職員がICカードを利用して館内の様々な建築設備と情報端末を操作することが出来るようになっている。
● 大阪市の個人情報保護条例第9条1項では、組織内であっても業務上収集した個人情報を目的外に利用することを明確に禁止している。
● 従来のカードシステムの仕組みでは、カード自体に個人情報を記載しその情報を使って各端末や設備を操作することになるために、そのままでは個人情報の他目的利用禁止規定に抵触してしまう。
● 一般的に、個人情報を提供した利用者は、暗黙の内に個人情報の利用範囲が特定されているものと信じる一方で、一旦個人情報の提供を受けた管理者はそれを自由に使えると考えている、として間違いない。
● 個人情報保護条例の規定では、情報システムを利用する際に本人の同意があれば問題はないが、今のところ常にその同意を得る仕組みと、本人意志を確認したことを客観的に認証する具体的な体制が全く整備されていない。
● 今回のような施設設置者と管理者が同一人格の場合には、これまで施設内や組織内で個人情報を他目的、多用途に使用することが議論されることはほとんどなかったが、厳密にいえば明らかに個人情報保護条例違反である。
● 個人情報保護条例の基本的な考え方に照らせば、個人情報の利用に関する管理者側の裁量はほとんどなく、どのような場合でも本人確認が事前に必要であるが現実的に対応できないという理由で野放しになっていると解釈すべきである
● そのため、同一施設内であっても共通のICカードを多用途に利用する 場合は、用途ごとに新たな個人情報が蓄積され個人情報の漏洩や不正使用の可能性が残るため、適切な防御処置を採る必要がある。
2.今回のカードシステムにおける具体的な対策
● 端末側では個人情報を使用しない。
● 利用者や職員に発行されるICカードには、使われたカードを特定するカードID番号以外、氏名や生年月日など所有者を特定できる個人情報を記録しない。
● 個人情報を記録するカード発行データはカードの発行業務を行うセクションが一括して管理し、用途別のクライアント端末やサーバーから個人情報の照会が出来ない仕組みである。
● カード自体にはカード番号以外の個人情報を記載していないため、盗難や紛失に際して個人情報の漏洩が発生することはない。
● カード発行時に本人の意志確認を徹底する。
● ICカードの利用を希望する者は、受付発行窓口で氏名、住所、生年月日など必要な個人情報の登録といっしょに利用目的を申し出たうえでカードの発行を受ける。
● 施設職員は、ICカードの申込者の個人情報と支給するカードID番号をカード発行サーバー(PC)に登録、それとは別に利用目的ごとに区別されたクライアント端末またはサーバーにカードID番号と利用内容を登録する。
● この対策によって、カード所有者は、スイミングプールのロッカー鍵のように、施設内では個人情報を使わずにカードID番号だけで各設備を利用できることになる。
● なぜなら、カードを発行する業務では必ず個人情報の登録が必要だが、実際にカードを利用するクライアント側のシステムでは登録済みのデー夕との正当性が照合されるだけだからである。
3.情報システム稼動後の今後の課題について
1)ネットワークの外部接続の可能性について
● 今回の情報システムは、施設内で完結するネットワークで構成されていることと、同一組織下でカード発行データとカード利用データを管理することで個人情報保護条例には抵触しないと判断している。
● しかし、西成地区ではすでに公共施設と市営住宅や民間事業所を結ぶ情報ネットワーク事業が進められており、近い将来、外部から本施設内のネットワークに直接アクセスするようになる可能性は少なくないといわざるをえない。
● そのために、ネットワークを接続した場合は、外部からの不正なアクセスは現在の技術では防ぎようがないのが現実であり、実際問題として、カード発行時に登録された個人情報の管理システムはネットワークから分離された環境で管理されなければならない。
1)-2今回のシステム設計における外部接続対策
● 外部接続された館内ネットワーク上で、常時稼動するカード照合機能をもつサーバーシステムは、カード発行時に登録される個人情報のデータベースと分離して稼動させることをできるようにする。
● 個人情報データベースとカード照合サーバーとの情報照会は、重層的なバッチシステムを採用してバックアップ機能を保全することができるようにする。
2)カードの利用履歴情報の保護について
● 個人情報のデータを介在させないカード照合システムでも、カード自体の利用履歴は必ずシステム管理者のもとに蓄積され、潜在的に新たな個人情報を発生させ続けている。
● 悪意の有無に関わらず何等かの理由によって、一旦カードの利用履歴と利用者を特定する個人情報が照合された場合には、本人にとって極めて高度なプライバシー情報になることは避けられない。
● ただし、カードの利用履歴と個人情報を照合して作成される新たな個人情報は、管理者による日常的な業務で使用されるものであり、利用を禁止できる対象ではない。問題は、組織内の他目的利用であり、漏洩や改竄など内部関係者による意図的な犯罪行為にある。
2)‐2今回のシステム設計における情報保護対策。
● カード利用時に照合を要求した履歴※を管理するシステムを、カード発行者の個人情報を管理するシステムと完全に分離するようにする。
※利用履歴:照合力一ドID番号、照合要求者、発信時刻、発信場所、発信機材。
● カードの利用時に行われる照合は、カード照合であってカード利用者とカード登録者の照合責任は、カードを受け入れる管理者にあることを明確にする。
今回はカード利用者と登録者の照合、いわゆる本人認証は行わない。本人認証が必要となった場合は、情報端末から第三者の認証センターに対して直接アクセスする機能を付加して対応する。
図8は、地域福祉総合情報センターの基本コンセプトである。図9は、地域福祉総合情報センターの施設構成要素案である。図10は、地域福祉総合情報センターの5つのテーマ説明図である。図11は、地域福祉総合情報システムの3つのポイント説明図である。図12は、地域福祉情報化のポイント説明図(情報サポートシステム)である。図13は、地域福祉情報化のポイント説明図(情報ライブラリースタジオ(1))である。図14は、地域福祉情報化のポイント説明図(情報ライブラリースタジオ(2))である。図15は、地域福祉情報化のポイント説明図(情報ネットワークシステム)である。図16は、総合インフォメーションサービスの仕組み説明図である。図17は、福祉・ヘルプデスクと情報システムの役割の説明図である。図18は、福祉・ヘルプデスクの役割と事業イメージ案の説明図である。図19は、福祉・ヘルプデスクと情報管理業務の説明図である。図20は、福祉インフォーメーションシステムと建築設備制御システム説明図である。図21は、情報サポートシステムの構成説明図である。図22は、地域総合情報システムと施設情報管理体制案説明図である。図23は、大阪市福祉人材開発・研修センター情報計画一覧である。図24は、大阪市福祉人材開発・研修センター情報計画備品概要図である。
大阪市福祉人材開発・研修センター情報化計画デジタルスタジオシステム機器について説明する。図25は館内V・I・Sネットワーク構想概要図である。図26は、システム機器構成前提条件説明図である。図27は、想定される利用形態説明図である。図28は、ソースデータの取り込み説明図である。図29は、動画・静止画の出力先の説明図である。図30は、動画情報についての説明図である。
この大阪市福祉人材開発・研修センターにて使用されるICカードの種類は、図31のとおりである。利用できる館内リソースは、図32のとおりである。カードが納入されたときの状態は、図33のとおりである。図34は、納入カード情報を取り込む際のフォーマット説明図である。操作・承認権限は、図35のとおりである。各カードには、それぞれ情報所有者・オペレータおよび管理者という概念が存在する。この操作権限において実現する必要のある動作は、以下のとおりである。
所有者のカードとオペレータ(運営部側)のカードがあれば、データを操作できる。
オペレータのカードと責任者のカードがあれば、データを操作できる。
よって、以下のことが保障される。
オペレータのカードだけでは個人の情報が見られない。
所有者がカードを提示した場合は、情報の閲覧が可能である。
カードの発行手順は図36のとおりである。図37は、職員カードおよび一般市民カードの発行手順チャート図である。本カードは、カードの所持者と所有者を確認するために、「本人確認項目」を利用する。本人確認項目とは、本人が選択可能な項目から任意に選んだ内容を対面確認時に口頭で確認するために用いる。たとえば、本人が第3者に操作を依頼するような場合、その依頼を受けたものが正当な依頼を受けたものかどうかを確認するような場合で利用する。図38は、本人確認項目の設定一例である。本人確認項目は、カード内に保管され、データベースには保管されないものとする。カードがR/Wに挿入されているかどうかの判定は、動作開始時に行うことを原則とする。なぜなら、途中で抜き差しに関して市販アプリケーションで保障できないことおよび各アプリケーション内でのデータ保障はオペレータに依存することを考えると、オペレータへの負荷が大きくなると考えられるからである。よって、動作開始時にチェックをすることが望ましい。図39は、具体的なカードの抜き差し、権限のチェックタイミングについての一例を示した図である。
次に、職員カードおよび一般カードの発券システムの概要を説明する。カードを発券するのに必要なオペレーションと主な管理項目(縦)を図40に示す。操作権限のチェックは、図41にあるようなメニュー画面で行うのを基本とする。各メニューの解説は、図42のとおりである。所有・操作欄はカードのチェックを行うかどうかを指定する。Mはマスター、Sはシステムカードを意味し、/で併記する場合は代用が可能であることを示す。画面推移は、図43がユーザー管理、図44がカード管理、図45が職員カードについてのもの、入力画面と各項目の説明は、図46に示したとおりである。修正画面と各項目の説明は、図47に示したとおりである。図48は、利用権設定画面、図49が施設利用権変更画面についての一例である。図50は、カードの利用停止についての画面と各項目説明である。
次に、施設利用者登録システム(以下、「管理システム」ともいう。)と、それにより制御される電子錠・自動ドア・エレベータの制御システム(以下、「制御システム」ともいう。)との関連を記述する。
本システムは、管理システムと制御システム上のデータの同期を取るためのものである。管理システムは、カードへの書込みと利用権の登録をデータベース上に行うが、各資源の制御システムとの直接の連動はできない。よって、バッチ処理で定期的に各種のデータを受け渡しすることを基本とする。施設管理の概要は、図51に示すとおりである。
本システムにおいて制御できる範囲と方法について簡単に説明する。まず標準機能について説明する。あらかじめ設定されたグループにより電子錠・エレベータ・自動ドアを開閉・利用できる。どのゲートを何時から何時までに開閉するかは制御システムの管理画面によりあらかじめ登録するものとする。管理システムは登録されたカードに対して5分おきに転送する。起動は、cronシステムを利用し、後述の時間単位で動作させる。登録フォーマットは個人ファイルである。
日時指定機能
一般来館者および身障者が対象に、特定の日時のみ利用可能にする機能をさす。管理システム側で、指定された日時の5分前に制御システムに登録し、解除の5分後に削除登録をする。起動は、cronシステムを利用し、後述の時間単位で動作させる。登録フォーマットは個人ファイルである。
ゲート限定機能
限定するゲートはあらかじめ登録した所属グループを利用する。つまり、限定したパターンをあらかじめ制御システムにグループとして登録し、管理システム側ではこの所属コードのみをデータベースに設定する。限定されたグループの設定については別途(入退室管理システムのマニュアル)参照。図52は、管理システムおよび制御システムの概略フローである。図53は、作成・転送するファイルの一覧である。図54は、所属グループの一例としての規定値である。個人ファイルは、各発券されたカードに対して利用を可能にするまたは使用を停止するデータを送信するために用いる。個人ファイルの項目一覧、詳細、データ例は、図55のとおりである。図56および図57は、関連データベースについての説明である。図56は、card_perm_export(カードの権限(標準形式)データ転送用)についてのテーブル説明である。本テーブルを参照し、isxferフラグがfalseの場合のみ書き出し、ixferフラグをtrueにする。図57は、card_perm_expire(カードの期間限定のデータ転送用)についてのテーブル説明である。本テーブルを参照し、isxferフラグがfalseの場合のみ書き出す。ただし、書き出すレコードは現状の時刻がstart(end)dateまでの時間が5分以内のものとする。転送が完了すればixferフラグをtrueにする。本来は、startdate/enddateを分けずに設計すべきであるが、取り消しの作業上このようなテーブル形式となっている。
次に所属ファイルについての説明を行う。入退出システム側管理PCにて所属コードの登録時に所属ファイルを作成し、共有フォルダにコピーする。所属ファイルの項目および詳細は、図58に示す。次に履歴ファイルについての説明を行う。入退出システム側で発生した履歴データを毎日午前2時に前日分の履歴ファイルを作成し、共有フォルダにコピーする。履歴ファイルの項目および詳細は、図59に示す。プログラムファイルと設定ファイルは図60にあるとおりである。
次に、ICカードシステムについて説明する。ICカード、カードリーダーライター、外部認証システムおよび外部装置群との関係イメージブロック図は、図61に示されるとおりである。このシステムの動作を示すフローチャートは図62に示されるとおりである。このシステムの課題は、個人情報を外部に漏洩することなく、電子錠・エレベータ等のICカードによる制御を実現することにある。ICカードに書き込む情報をカード番号のみとし、このカードの信憑性と資格権限の認証とを分離する。カードの信憑性は、盗難や紛失などで無効でないかの確認をさし、資格権限とはこのカードで操作可能であるかどうかをさす。
ICカード上のデータエリア(D001)には、本システム内で一意なカード番号を記述しておく。
カードリーダライター(RW01)は、既存の各種の規定されたプロトコル・暗号化の手法をもちいて、データエリア(D001)のデータを取得する。
従来の手法どおり、本カードリーダライターに搭載されたカード認証モジュール(M001)により、データエリアのデータを入出力装置(IO01)に送出する。
送出されたデータは、通信(CO01)により入出力装置(IO02)を通じて外部通信モジュールに伝達される。このときの通信は、内部回路・外部回路・外部への通信など手段は限定しない。
外部通信モジュール(M002)は、取得したデータをもとに通信装置(CN01)を経由して外部認証システムに接続する。この場合、外部通信モジュール(M002)から通信装置(CN01)への通信方法(CO02)および通信装置から外部認証機関(O001)への通信方法(CO03)は、特に規制されるものではない。
外部通信モジュールは、外部認証システム(O001)からカードの有効無効の情報を取得し、詳細データをカード認証モジュール(M003)に渡す。
カード認証モジュールは(M003)は、有効な場合は、入出力装置(IO03)にデータ(D001)を送信し、無効ならば送信しないで読みとりエラーと同等の処理を行う。この場合の通信方法も、内部回路・外部回路・外部への通信など通信手段は問わない。
有効なデータの場合、入出力装置(IO03およびIO04)により受け渡しされたデータ(D001)は資格認証モジュールにより内部にもつ資格データベース(DB01)を参照する。
資格認証モジュール(MO04)は、受信した行為要求にたいして資格があれば、入出力装置(IO05)を通じて、外部の装置群に行為を行うようにデータを送信する(CO06)。
lCカードを利用した入退館システム等外部仕様について説明する。
外部要件
1)カード発行枚教:5000牧
2)利用人数:職員45名 障害者10名/日 一般来館者300名/日
3)機器の総数 電子鍵外部扉 2箇所×1台 電子錠内部扉 4箇所×1台 エレベータ 1台× 5階 × 1個 計11台
4)カードの種類:ソニー製フェリカカード
カードの利用日的(各アプリケーション別のカード発行手続を前提とする)
1)入退館管理
2)エレベータの呼び出し
3)パソコンの制御
システム要件
1)既存の入退館システムをベースにカスタマイズすること
2)資格管理のマスターは、別途の館内管理システムにおけるデータベースを参照する。参照方法はEthernet(登録商標)を利用し、TCP/IP上の標準アプリケーションプロトコルでおこなう。(例ftp)。
3)電子錠の制御は
A)外部扉は、夜間休館日のみ稼動
B)内部扉は、24時間稼動、夜間休館日のみ稼動の2種類がある
C)カードには、使用できるものと使用できないものがある。(職員は開けられるが、一般は開けられない)
4)エレベータの制御に関しては、別途システム条件を提示すること。
5)下記の2ステップカード確認システム(仮称)を組み込むこと
6)カードのフォーマットについては、未定だが基本的にユーザーID(場合によってはフラグも)で処理をする
7) カードは、館内管理システムで発行する。
2ステップカード確認システム(仮称)について
1)言葉の定義
コントローラ:制御部分を表す。この中には現状の制御部分の付加装置を含むことができる。
システム外接続点:接点、シリアル、Ethernet(登録商標)など、物理媒体、プロトコルなどは特定しない、本システム外への接続点を示す。
制御部:既存の標準制御装置部分を示す。
PC:入退室管理のアプリケーション、外部サーバーとの接続点など、機能の専用度の高い、本システム依存のパソコンを示す。
システム外PC:館内システム等のサーバーやクライアントなど。例えばethernet上に接続された館内システムなどのパソコンなどを示す。
R/W:非接触型ICカードのリーダ・ライターをさす。
接続点管理ボックス:システム外から信号を受ける接続点を管理する仮想的なユニット。制御部内部に実装する/しないは問わない。また、物理的に存在しなくても問題はない。
2)適用対象
電子錠およびエレベータ
3)概要
A)特定のカードID(又はカード内のフラグ)を取得した場合、コントローラは上流のシステム外PCに、システム外接続点を通じて確認要求を流し、その結果によって鍵の開け閉めなどの制御を行う。つまり、通常のカード確認に加えて追加の確認を行える仕組みである。
B)コントローラには、シリアル又はEthernet(登録商標)の汎用インターフェースを装着し、システム外接続点とする。なお、実装場所は問わない。
C)コントローラは、既定のタイムアウト秒数の間は、操作を保留させ、確認結果をまつ。
D)確認結果は、単純なON/OFFの信号又はデータがくるものとする。
E)タイムアウト時には、動作させずに、次処理の待ちになる。
図63は、2ステップカード確認システム(仮称)システムイメージ図である。ICカードの利用条件は、たとえば、図64に示したとおりである。
より具体的に、入退館システムに利用される装置の仕様について説明を行う。本システムは、カード認証用サーバーと連動し、来館者の入退出管理を行うシステムである。カード認証用サーバーと入退出管理システムの管理用PCはネットワークにて接続されリアルタイムにカードの登録情報・操作履歴データのやりとりを行えるようにする。入退館システム構成イメージは、図65のとおりである。
データのやりとりについては次のとおり。
(1)カード認証システムから、以下の情報を取り込みリアルタイムに出入管理装置へ登録し、カードが使用可能な状態とする。
1)認証されたカードのID(カード種類)
2)来館者の使用するフェリカカードのID
3)氏名及びかな氏名
4)通過可能なゲート情報
5)カードの使用期限(無期限カードの設定も可能)
(2)カード認証システムへは、リテルタイムで以下の情報を提供する。
1)入室したデータ日時
2)カードID
3)入室した部屋(ゲート名称)
各機能については次のとおり。
管理機能
(1)カード登録は、最大5000件まで登録できる。
(2)管理用PCと接続する場合は、1台の管理用PCに対して、出入管理装置が30台まで 接続でき、計60ゲートの管理が行える。また、各ゲートは入室側と退室側に一台ずつ、カードリーダを設置することが可能。
(3)履歴データの報告・集計が行え、印刷が行える。
(4)履歴データの保存可能件数は、入退室/異常データ併せて10万件。 、
(5)登録データ・履歴データのバックアップが行える。
(6)オプションのバッテリを内蔵することにより、30分間の停電補償が可能。
監視機能
(1)各ゲート毎に、電気錠の状態(扉開閉/施解錠/異常)をリアルタイムに表示することができる。
(2)各ゲート毎に、遠隔解錠/遠隔施錠することができる。
図66は、システム系統図である。図67は、出入管理装置外形図である。図68は、電気錠制御盤外形および詳細図である。図69は、非接触式カードリーダー外形図である。
次に、電子制御エレベータシステムについて説明する。
歩行障害者が火災時の避難にEVが利用できるシステム環境整備を眼目とする。障害者に限らず施設の状況に応じて特定の利用者が制御可能なEVは、防災・防犯対策に大きな効果が期待できる。また、特定の資格保有者だけが駆動、呼出が可能なエレベータ設備は入館入室制限のある施設で防犯にも有効である。
行政発行のICカードで障害者や施設管理者、その他有資格者のEVの操作資格を一般利用者と区別、エレベータ呼出ボタンで即時に認証できるEV制御システムである。自治体設置の公的な施設でありながら自治体の個人情報保護条例に準拠して障害者を始めとする個人情報を活用できる条件をクリアしている。使用するICカードは第三者発行のものも受け入れることが可能であり、住民基本台帳カードなどICカードの多用途化も視野に入れたシステムである。
汎用型デバイスによるエレベータ制御システムの開発について説明する。
個人情報を登録済みの多用途ICカードや携帯電話のような汎用型の端末で操作できるエレベータ制御システムである。デバイスのデータを受け入れてエレベータを起動し制御するシステムをエレベーターメーカーに提供する。障害者手帳に記載されている障害者種別を入力し障害者データを管理する組織に登録することで、同システムを採用しているエレベータであれば、公共施設や民間建物のどのエレベータにも対応できる汎用型のシステムの実現が可能である。
多用途ICカードによる個人認証システムの開発について説明する。
本システムの開発は、建物が火災や地震時に停止してしまうエレベータを障害者に限って駆動を許容するように実現することが目的である。一般的に災害時に使用が禁止されているエレベータを障害者の避難手段にするEV制御システムは、非常時に障害者個人の意志を認証するシステムが必要である。そのためには、障害者が予め施設設置者に登録した内容と、障害者の使用を認めた施設管理者の組織認証と障害者であることを、災害時に公的に認証しなければならない。
外部アクセスが可能なエレベータ制御システムの開発について説明する。
特定の資格を与えられたカードに対して紛失盗難など不測の事態には、カード発行者やカード管理者が施設外部から端末機器に資格停止等の信号を送ってエレベータを制御できるようにする。施設管理者が不在であってもカード使用の目的であるエレベータ制御システムへのアクセスコントロールを可能にする端末から直接外部通信端末を含んだカードリーダライターを用いる。
技術開発要素について説明する。
外部からの信号で既存のメーカーのエレベータコントローラを制御するプログラムと専用の制御ボックスと施設運営に対応するアプリケーションプログラムを用いる。
図70は、エレベータ制御のシステム構造を説明するものである。このシステムのポイントは次のとおりである。
カード管理センター(施設管理者とは別の外部組織)は、非常用または利用者限定エレベータの制御用としてICカード等の利用を受け入れた施設から、登録時にカード利用者データを送付してもらい、非常時に備える。
火災や地震時に施設側に管理者が不在の場合を想定して、障害者が使用している事実を消防署や地域の防災組織等に自動送信する。
登録されたカードの紛失や盗難の被害にあった場合に、電話もしくはe-mail等による連絡で端末機器にカードキャンセル信号を送って対象となるエレベータの制御を不可能にする。
アクセス資格認証アプリケーションについては、カード発行管理機関DBまたはEV利用資格設定DBにアクセス可能なセキュリティ機能をもつサーバープログラムソフトを用いれば良い。
遠隔監視通信システムソフトについては、利用資格認証データをアクセスと同時に防災管理機能をもつセンター(消防署、管理事務室等)に自動通知するアプリケーションソフト(EV専用ITV監視システムを含む)を用いれば良い。
技術開発の目的について、記述する。
目的1;建築基準法の改正と避難時のエレベータ使用の判断については、次のとおりである。障害者や身体の弱い高齢者や歩行困難な怪我人や産婦など、EV以外に避難手段のない利用者に限って使用を可能にする技術である。大阪市消防局は、施設管理者の判断本人意志に委ねるという見解を表明している。ただし、いざと言う場合には本人の意志の確認に大きな問題があった。今回の施設計画では、本制御システムの導入によって、本人申請に従って利用者を特定できれば災害時にその意志を登録されたICカードや携帯電話の端末を使った場合に限り、本人意思を擬制し、EV利用を認めることが可能と判断された。
これまでは消防庁や国土交通省の指導によって、施設管理者にはEV内の二次災害防止義務が課されており、一般的なEVメーカーの制御システムには災害時の自動停止装置が組み込まれ、事実上避難時はEVの使用が禁止されてきた。
目的2;個人情報保護と個人情報活用の両立の問題。
大阪市は個人情報保護条例を施行しており、原則は登録された個人情報の他目的利用は禁止されているが、本人が認めた場合はその限りではないと明記されている。今回開発した本システムの構造的な安全性と機動性、また個人情報活用に関する諸規則との整合性は具体的に証明できている。行政施設として非常時に障害者の意志に反してEV利用を妨げることは人権侵害にあたると判断している。
予想される成果は以下のとおりである。
(1)情報システムを使って障害者の社会への進出を間接的に支援する公共システムのセキュリティレベルを向上させる。
交通バリアフリー法の施行など、障害者の社会的活動を支援する環境整備が進みつつあるが、建築防災では縦方向の移動に障壁が存在した。障害者の安全を守る機能として災害時にエレベータを利用した避難経路を確保する技術は、障害者のための社会的インフラを整備する大きな目的を実現できる。
(2)防災・防犯の観点から、管理者が既存のエレベータを利用する者の操作資格を制限するシステムを普及させることで、日常的な企業や行政の施設の防犯管理にも適用できるものである。
ここで、大阪市福祉人材開発・研修センターにおける、電子制御エレベータ(利用者制限エレベータ)の制御方式について記述する。
カード呼出方式を採用する。基本原則は次のとおりである。
指定されたカードを壁面のR/WにかざしてEVを呼出すことができる。
ただし、壁面の呼出ボタンの操作ボタン機能は通常は停止させておく。
ハコ内のボタン操作盤の機能は通常のEVと同じである。
壁面のボタン操作機能の停止、解除は管理者が制御用の鍵で行う。
平常時の利用は次のとおりである。
まず、職員及び講師用カードについては、以下に記載のとおりである。
各階の壁面のR/Wで呼出す。
ハコが呼出されて停止。開扉する。
ハコ内の操作盤で行き先階をボタンで指定する。
ただし、ボタン操作がない場合は各階停止で運行する。
停止許可階は管理者が制御用の鍵で予め指定する。
行き先階に行きハコが停止。開扉する。
障害者の利用については、まず平常時は次のとおりである。
一般のカードによる操作と同じ。
ハコ内のボタン操作がない場合は、各階停止で運行する。
停止許可階は管理者が制御用の鍵で予め指定する。
非常時については、次のとおりである。
火災報知設備によって停止した場合は、各階の壁面のR/Wにカードをかざして呼出す。ただし障害者カードのみ有効。
→再起動され呼び出階に移動する。
呼出し階に停止し開扉、予め指定された時間で閉扉、避難階に直行し開扉、そのまま停止する。
複数の会社の開発による多用途カードのID番号を読み取れる読み取り装置が各メーカーによって広く市場に供給されれば、カードを特定できるカードID番号を自由に読み取れるように設計されたICカードなら、どこのカードメーカーが製造したものであっても構わない。
これからの情報化社会で個人情報の認証システムを実現するためには、個人が自ら本人認証を代行させる情報デバイス(ICカードやPC,PDA,携帯電話等)の普及が不可欠である。アジアの印判、西欧のサイン、中近東アフリカのバイオロジーに代わるものである。
個人情報の認証システムを社会に提供するのに、情報技術企業一社がデバイス、読み取り装置、通信プロトコル、ICアルゴリズムなどを一括して権利として独占することは許されるべきではない。
企業の不正や技術的瑕疵が確認された場合に、必ず国民によってその企業が淘汰される保証を確保するにはあらゆる企業の参入が保証されてなければならないからである。
発行者&管理者とシステム供給会社が一対の契約関係であるなら構わないが、多目的多用途である認証デバイスのシステムは公的インフラとして保証される必要がある。
個人情報の保護と管理システムが明らかに公的なインフラである以上は、知的所有権の側が主導権を握ったシステム管理や開発管理が認められるはずはない。
国民の個人情報の提供を受けて活動する行政、民間企業、または組織や団体は受取った個人情報を多用途多目的に利用してはならないことが求められているが、国民がその個人情報が適切に管理運用されているかをチェックするには、個人を認識するデバイスを国民各自が必ず持たなければならない。
国民全てが安心して個人情報を提供し、快適で便利な生活を営むには、最終的に国民が共用する財産として守り育てていくシステムの開発は必要不可欠である。
しかし、個人情報保護に関する情報システムの必要性が叫ばれるなか、そのシステムの開発を今のまま情報技術企業や国家の事業活動に委ねておけばいずれは知的権利の独占が避けられない。
国民全員が、個人情報を扱う全ての事業所(官民を問わず)のデータベースにアクセスすることを可能にするシステムは極めて公共的なインフラである。
全ての企業や個人が自由に工夫してより良きシステムにしていく社会的な保証が必要でありそれはオープンソースという思想を背景にした国民的財産にすべきことである。
以上、本発明者は、自身が手がける大阪市福祉人材開発・研修センターを中心に、個人情報の認証システムを応用した電子制御建築システムにつき説明してきたが、最後に本発明の背景を振り返りながら、これを地域に敷衍させた、地域情報化システムの可能性について触れたい。
電子制御建築から地域情報化システムへの可能性について。
認証責任の分散化・明確化による本人認証の普遍化
私たちは、日常的な生活で建築を利用する。住宅、事務所、駅舎、店鋪、学校、工場、病院、厚生施設、役場、保健所等、様々な目的で建物の利用者になる。建物は自己の所有物でない限り必ず設置者/所有者と管理者が存在する。我が国では、地域には様々な建物があって地域の住民の生活を支えており、一方で、その地域に暮らす住民は、ほとんどの場合建物を自由に出入りする権利が保証されていると考えていい。
我々は建物の中では一般的に入室できるテリトリーが指定される。住宅なら自己の権利を有する住居であり、百貨店では管理部門への自由な出入りは基本的に禁じられている。事務所ビルや病院、学校や工場でも、社員や従業員でも入室や通行が禁止されるゾーンが存在する。しかし利用や入室を禁止していても、常時守衛に監視されている場合から単に入室禁止の貼り紙があるだけ、もしくは社内規則で指導しているだけの場合までその制限レベルは極めて多彩である。
建物とは、社会的な利用目的が定められて設置され、かつ利用者を選定してその設置目的を充足するように機能するような前提で建設されている。その目的や機能によって利用者は様々な制限を受けるが、基本的に建物は入り口までのアプローチは全ての人に許されている。これまで共産主義国家ではよく見られたがやや軍事的な施設の周辺への一般人の立ち入りは厳密に禁止されていることがあり、自由主義国家でも一部そのような制限が残っている。
企業の研究所、原子力発電所、自衛隊やアメリカ合衆国軍基地などは必ず入館手続きが必要になる。それは特殊なケースであるが、建物の種別や機能によって利用者だけではなく施設内で従事する施設職員にも大小様々な利用制限が加えられるのが一般的である。また、刑務所の入居者は法律による措置によって「資格」が設定されるものであり、この意味で我々の社会においては非常に特殊な建物であるといえる。我々はほとんどの場合、全ての建物に入る権利をもっているという前提で暮らしているのは、建物の利用者として建物の所有者との間で利用契約関係が必ず存在しているという前提があるからで、かかる前提があって初めて建物を利用し得ているのである。
本発明者は電子制御建築の鍵となる技術は、ICチップに記録されるID番号の記録の方法と通信仕様だと考えている。このICチップは、ICカードはもちろんのこと携帯電話やPDAなどの移動用情報端末や時計、ネックレスや鞄、手帳などにも取り込むことは可能である。いわば商品を特定するために使われるICタグと同じように個人を特定するタグと考えればわかりやすい。
ICカードは、クレジットカードをはじめJR東日本の乗車券、国土交通省のITSなどで実用化が進んでいる。しかしICチップに記録する情報の形式や情報通信の手順やセキュリティが異なっており、データを読取る装置の規格は各々のチップに個々に対応するため多用途化が困難である。ICカードを多用途化する目的は、カードを所有する人が少ないカードでできるだけ多くのサービスをあらゆる企業や公共団体から受けられるようにすることである。
これまで、私たちが日々利用するカードでもっともよく使われていたものは金融決済カードとクレジットカードである。それに交通決済用のカードが加わったが、テレフォンカードの需要は携帯電話の普及に反比例する形で減少している。金融決済用のカードのように複数の企業や団体が特定のサービスを提供する場合には、業界団体の意見が集約できればカードを統合することはそう難しくない。百貨店の商品券もその類いであろう。しかし経営が別々の企業が異なるサービスを一枚のカードで提供することはそう簡単ではない。
異業種による異なるサービスを一枚のカードにするには、コンビと呼ばれる方式で目的ごとに分かれた機能を別々に一枚のカードに搭載することによって対応していた。表面と裏面、磁気ストライプとICチップ、視認デザインと記憶媒体、記録媒体のスペース区分など、カード上で明確に使い分ける必要があった。来年から国民向けに配付される住基台帳カードもICチップの中をブロックに分けて異種異業種の管理者が複数用途で利用できるような設計になっている。
一旦、デバイスが特定の個人向けに発行され登録されてしまうと、カード上の媒体に記録された内容の書換えや機能を追加するには、オリジナルデータを常時同機させる必要が生じる。なんとなれば、多用途カードのデータをクライアント側で書き換えたことによって、オリジナルデータの管理責任と、書き換えた者の資格と責任の整合性が常時問われることになるからである。そのためには、保存されているデータの真正性を認証する第三者の存在が必要になる。
本発明者は、ICカードなど個人が自らを特定するデバイスに使われるICチップに記録されるデバイスを特定する情報を個人認証に使うため、ICチップに記録されたID番号を統一する標準化を提案している。一方、本出願人では、そのID番号を照合してデバイスの有効性を認証する第三者機関の運営を開始した。カード発行者や携帯電話で個人の認証を請求する場合は、本出願人で標準化したナンバリングシステムを採用すると同時にデバイスから第三者機関に情報を送信する機能を確保する必要がある。
本発明者が提案する第三者機関は、1999年から2000年にかけて通産省の協同で大阪市の情報化事業で実証された地域総合情報化支援システムにおける認証の構造をベースに発展、具体化したものである。大阪市の事業は、それまでカード発行者側にあったカード管理責任を所有者とカードの受入先に置くことによって多用途カードが地域的に成立することを実証したものである。ICカードを単なるIDデバイスにすることで、カードを個人用の鍵として使うことを可能にした。
本発明者の実現した多用途ICカードは、金融決済やクレジット、或いは交通パスのように、カード発行者が閉鎖的に管理責任を負う単一用途のカードから、複数用途の使用目的別にカードデータを利用する多用途カードへの展開を果たしている。地域住民が日常的に地域の施設やサービスを利用する手続きの際に、ハンコのようにカードを使うことができれば、機能的にはセキュリティに配慮することがほとんど不要になる。なぜならそのカードを受け入れるかどうかはサービス提供者が判断すべきことだからである。
本発明者の認証方式では、カードを使えば便利かどうか、どの程度安心できるか、カードに代わる手続きを選ぶか、などの判断は当事者間で決めることであって、カード発行者が責任を判断する必要はないことになっている。ハンコの製造者や小売店が契約の正当性を保証することがないことと同じである。本発明者のシステムでは、カードのID番号もつ機能とハンコの印影の機能は極めて酷似したものである。ハンコは当事者間の確認であり、相互の約束事に対して極めて簡易である一方抑止力のある認証方式であるが、カードの認証方式はその上に第三者による印影保証という機能をさらにもっていると考えるべきである。
本発明者のシステムは、地域社会で地域の住民が日々利用する可能性のある施設や官民のサービスに対応する同じカードを使った本人認証システムを整備しようとするのが目標である。本人認証の確実性の向上、住民による本人情報管理の実現、情報化設備投資費用と情報管理コストの削減などが可能になる。そのことの実現を可能にしたもっとも重要なポイントは、個人情報の管理責任の分散と責任範囲の明確化である。
上記で詳細に説明したように、本発明によれば、国民全てが安心して個人情報を提供し、快適で便利な生活を営むための、最終的に国民が共用する財産として守り育てていくシステムおよび方法の実現が可能になる。
本発明の多くの特徴および利点は明細書の詳細な説明から明白である。更に、当該技術分野における通常の知識を有する者にとって修正および改変が容易に数多くなし得るので、図示および記述されたものと寸分違わぬ構成および動作に本発明を限定することは望ましくないことであり、従って、あらゆる適切な改変体および等価体は本発明の範囲に含まれるものと見なされうる。前述の本発明に係る実施形態の説明および例示によって詳細に記述されたが、特許請求の範囲のみならず本発明に係る開示事項全体に定義された本発明の範囲から逸脱することなしに、修正、置換、および、変更が数多く可能である。
また、本願に係る発明は、その適用において、上記の記述において説明されるか、或いは、図面に示された要素の詳細な解釈及び組み合わせに限定されるものではない。本発明は、他の実施形態が可能であり、種々の方法で実用および実施可能である。また、ここで用いられた語法および用語は記述を目的とするものであり、限定的に働くものとみなされてはならない。
従って、当該技術分野における通常の知識を有する者は、本開示の基調となる概念は、本発明の幾つかの目的を実施するための他の構造、方法、及び、システムを設計するための基礎として容易に利用され得ることを理解するはずである。従って、本発明の趣旨および範囲から逸脱しない限り、本願の特許請求の範囲にはそのような等価な解釈が含まれるものと見なされるものである。
また、上記ではICカードを用いた認証システムについて主として説明したが、本発明に係る技術思想は、例えばコンピュータソフトウェア、かかるソフトウェアが登載された装置、プログラムを記録した記録媒体、伝送媒体、紙媒体としても、クライアント・サーバ形式等といったカテゴリーにおいても実現、利用可能であるし、さらに、このようなシステムを構成するエレベータ、自動扉、電子ロックとしても実現し得ることはいうまでもない。
さらに本発明は、単一プロセッサ、単一ハードディスクドライブ、及び、単一ローカルメモリを備えたコンピュータシステムに限らず、当該システムのオプションとして、任意の複数または組み合わせプロセッサ又は記憶デバイスを装備するにも適している。コンピュータシステムは、精巧な計算器、掌タイプコンピュータ、ラップトップ/ノートブックコンピュータ、ミニコンピュータ、メインフレームコンピュータ、及び、スーパーコンピュータ、ならびに、これらの処理システムネットワーク組合わせを含む。本発明の原理に従って作動する任意の適切な処理システムによって代替されうるし、また、これらと組合せて用いることも可能である。
また本願発明は、その技術思想の同一及び等価に及ぶ範囲において様々な変形、追加、置換、拡大、縮小等を許容するものである。また、本願発明を用いて生産されるソフトウェアが、その2次的生産品に登載されて商品化された場合であっても、本願発明の価値は何ら減ずるものではない。
【発明の効果】本発明によれば、国民全てが安心して個人情報を提供し、快適で便利な生活を営むための、最終的に国民が共用する財産として守り育てていくシステムおよび方法の実現が可能になる。すなわち、本人の承認の元、個人情報に誰もが自由にアクセスでき、実社会で運用可能な個人情報の認証システムおよび方法の提供が可能になる。これにより、ひいては、真の意味での民主的社会が実現されることになる。
【図面の簡単な説明】
【図1】西成地区にて平成12年本発明者が実施した、ICカードを用いたダブル認証情報管理システムの全体構想図である。
【図2】西成地区にて平成12年本発明者が実施した、ICカードを用いたダブル認証情報管理システムの基本センター機能詳細図である。
【図3】西成地区にて平成12年本発明者が実施した、ICカードを用いたダブル認証情報管理システムのネットワーク全体概要を示す図である。
【図4】カード全体の用途の広がりと、便利さ・セキュリティの度合いを示した図である。
【図5】西成地区にて平成12年本発明者が実施した、ICカードを用いたダブル認証情報管理システムのアプリケーション構成図である。
【図6】西成地区にて平成12年本発明者が実施した、ICカードを用いたダブル認証情報管理システムの運用に際してのカード一般のID管理を説明する図である。
【図7】西成地区にて平成12年本発明者が実施した、ICカードを用いたダブル認証情報管理システムの個人(クライアント)のサポートを概略説明する図である。
【図8】地域福祉総合情報センターの基本コンセプト説明図である。
【図9】地域福祉総合情報センターの施設構成要素案説明図である。
【図10】地域福祉総合情報センターの5つのテーマ説明図である。
【図11】地域福祉総合情報システムの3つのポイント説明図である。
【図12】地域福祉情報化のポイント説明図(情報サポートシステム)である。
【図13】地域福祉情報化のポイント説明図(情報ライブラリースタジオ(1))である。
【図14】地域福祉情報化のポイント説明図(情報ライブラリースタジオ(2))である。
【図15】地域福祉情報化のポイント説明図(情報ネットワークシステム)である。
【図16】総合インフォメーションサービスの仕組み説明図である。
【図17】福祉・ヘルプデスクと情報システムの役割の説明図である。
【図18】福祉・ヘルプデスクの役割と事業イメージ案の説明図である。
【図19】福祉・ヘルプデスクと情報管理業務の説明図である。
【図20】福祉インフォーメーションシステムと建築設備制御システム説明図である。
【図21】情報サポートシステムの構成説明図である。
【図22】地域総合情報システムと施設情報管理体制案説明図である。
【図23】大阪市福祉人材開発・研修センター情報計画一覧である。
【図24】大阪市福祉人材開発・研修センター情報計画備品概要図である。
【図25】館内V・I・Sネットワーク構想概要図である。
【図26】システム機器構成前提条件説明図である。
【図27】システムの想定される利用形態説明図である。
【図28】ソースデータの取り込み説明図である。
【図29】動画・静止画の出力先の説明図である。
【図30】動画情報についての説明図である。
【図31】ICカードの種類についての説明図である。
【図32】利用できる館内リソースについての説明図である。
【図33】カードが納入されたときの状態についての説明図である。
【図34】納入カード情報を取り込む際のフォーマット説明図である。
【図35】操作・承認権限についての説明図である。
【図36】カードの発行手順についての説明図である。
【図37】職員カードおよび一般市民カードの発行手順チャート図である。
【図38】本人確認項目の設定一例についての説明図である。
【図39】具体的なカードの抜き差し、権限のチェックタイミングについての一例についての説明図である。
【図40】カードを発券するのに必要なオペレーションと主な管理項目(縦)についての説明図である。
【図41】メニュー構成についての説明図である。
【図42】各メニュー項目についての説明図である。
【図43】画面推移ユーザー管理についての説明図である。
【図44】画面推移カード管理についての説明図である。
【図45】画面推移職員カードについての説明図である。
【図46】入力画面と各項目の説明図である。
【図47】修正画面と各項目の説明図である。
【図48】利用権設定画面についての説明図である。
【図49】施設利用権変更画面についての説明図である。
【図50】カードの利用停止についての画面と各項目説明図である。
【図51】施設管理の概要についての説明図である。
【図52】管理システムおよび制御システムの概略フローである。
【図53】作成・転送するファイルの一覧である。
【図54】所属グループの規定値一覧である。
【図55】個人ファイルの項目一覧、詳細、データ例である。
【図56】card_perm_export(カードの権限(標準形式)データ転送用)についてのテーブル説明である。
【図57】card_perm_expire(カードの期間限定のデータ転送用)についてのテーブル説明である。
【図58】所属ファイルの項目および詳細についての説明である。
【図59】履歴ファイルの項目および詳細についての説明である。
【図60】プログラムファイルと設定ファイルについての説明である。
【図61】ICカード、カードリーダーライター、外部認証システムおよび外部装置群との関係イメージブロック図である。
【図62】ICカード、カードリーダーライター、外部認証システムおよび外部装置群との関係フローチャートである。
【図63】2ステップカード確認システム(仮称)システムイメージ図である。
【図64】ICカードの利用条件の説明である。
【図65】入退館システム構成イメージ図である。
【図66】システム系統図である。
【図67】出入管理装置外形図である。
【図68】電気錠制御盤外形および詳細図である。
【図69】非接触式カードリーダー外形図である。
【図70】エレベータ制御のシステム構造の説明図である。
Claims (9)
- 少なくともICカードまたは個人認識用デバイスICチップ発行部、ICカードまたは個人認識用デバイスICチップ管理部およびICカードまたは個人認識用デバイスICチップ運営部を有し、前記ICカードまたは個人認識用デバイスICチップ運営部と利用者双方のICカードまたは個人認識用デバイスICチップを用いることで、特定の情報にアクセスするための認証を行うことを特徴とするICカードまたは個人認識用デバイスICチップを利用したダブル認証情報管理システム。
- 前記アクセス時、利用履歴を記録することを特徴とする請求項1記載のICカードまたは個人認識用デバイスICチップを利用したダブル認証情報管理システム。
- 前記特定の情報がエレベータ制御に関するものであることを特徴とする請求項1記載のICカードまたは個人認識用デバイスICチップを利用したダブル認証情報管理システム。
- 前記特定の情報が自動扉の開閉に関するものであることを特徴とする請求項1記載のICカードまたは個人認識用デバイスICチップを利用したダブル認証情報管理システム。
- 前記特定の情報が電子ロックに関するものであることを特徴とする請求項1記載のICカードまたは個人認識用デバイスICチップを利用したダブル認証情報管理システム。
- 前記特定の情報が前記個人認識用デバイスICチップ運営部の管理する情報であることを特徴とする請求項1記載のICカードまたは個人認識用デバイスICチップを利用したダブル認証情報管理システム。
- 前記個人認識用デバイスICチップ運営部の管理する情報が利用履歴である請求項6記載のICカードまたは個人認識用デバイスICチップを利用したダブル認証情報管理システム。
- 前記個人認識用デバイスICチップ運営部の管理する情報が地域福祉に関するものである請求項6記載のICカードまたは個人認識用デバイスICチップを利用したダブル認証情報管理システム。
- 少なくともICカードまたは個人認識用デバイスICチップ発行工程、ICカードまたは個人認識用デバイスICチップ管理工程およびICカードまたは個人認識用デバイスICチップ運営工程を有し、前記運営工程において運営部と利用者双方のICカードまたは個人認識用デバイスICチップを用いることで、特定の情報にアクセスするための認証を行う工程を有することを特徴とするICカードまたは個人認識用デバイスICチップを利用したダブル認証情報管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002363052A JP2004192577A (ja) | 2002-12-13 | 2002-12-13 | Icカードまたは個人認識用デバイスを利用したダブル認証情報管理システムおよびicカードまたは個人認識用デバイスを利用したダブル認証情報管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002363052A JP2004192577A (ja) | 2002-12-13 | 2002-12-13 | Icカードまたは個人認識用デバイスを利用したダブル認証情報管理システムおよびicカードまたは個人認識用デバイスを利用したダブル認証情報管理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004192577A true JP2004192577A (ja) | 2004-07-08 |
Family
ID=32761324
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002363052A Pending JP2004192577A (ja) | 2002-12-13 | 2002-12-13 | Icカードまたは個人認識用デバイスを利用したダブル認証情報管理システムおよびicカードまたは個人認識用デバイスを利用したダブル認証情報管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004192577A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010143517A1 (ja) * | 2009-06-09 | 2010-12-16 | 株式会社アール・アンド・デー・アソシエイツ | 非接触型icチップ搭載媒体対応電子錠システム及び第三者認証解錠方法 |
| JP2014211030A (ja) * | 2013-04-18 | 2014-11-13 | 株式会社サガワ | 金庫管理方法、金庫及び金庫管理装置 |
| JPWO2013190691A1 (ja) * | 2012-06-22 | 2016-02-08 | 株式会社日立製作所 | エレベーターシステム |
| CN108217349A (zh) * | 2017-12-06 | 2018-06-29 | 上海新时达电气股份有限公司 | 一种电梯预先授权控制系统及调试方法 |
-
2002
- 2002-12-13 JP JP2002363052A patent/JP2004192577A/ja active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010143517A1 (ja) * | 2009-06-09 | 2010-12-16 | 株式会社アール・アンド・デー・アソシエイツ | 非接触型icチップ搭載媒体対応電子錠システム及び第三者認証解錠方法 |
| JPWO2013190691A1 (ja) * | 2012-06-22 | 2016-02-08 | 株式会社日立製作所 | エレベーターシステム |
| JP2014211030A (ja) * | 2013-04-18 | 2014-11-13 | 株式会社サガワ | 金庫管理方法、金庫及び金庫管理装置 |
| CN108217349A (zh) * | 2017-12-06 | 2018-06-29 | 上海新时达电气股份有限公司 | 一种电梯预先授权控制系统及调试方法 |
| CN108217349B (zh) * | 2017-12-06 | 2020-10-13 | 上海新时达电气股份有限公司 | 一种电梯预先授权控制系统及调试方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210326420A1 (en) | Identity use server | |
| Hsiao et al. | Computer security | |
| US20040158723A1 (en) | Methods for providing high-integrity enrollments into biometric authentication databases | |
| KR101309594B1 (ko) | 전자상거래에서 사용자의 신원을 확인하기 위한 방법 및 시스템 | |
| US20120109829A1 (en) | Method and system for processing transactions using a token | |
| US20030024988A1 (en) | System for providing evidence of payment | |
| EP3257222A1 (en) | Authentication of web content | |
| BRPI1010327A2 (pt) | sistema de transaÇço financeira sem cartço | |
| JP2003099693A (ja) | 電子決済方法 | |
| WO2005109365A1 (ja) | 行動管理システム | |
| US20100313273A1 (en) | Securing or Protecting from Theft, Social Security or Other Sensitive Numbers in a Computerized Environment | |
| KR102392036B1 (ko) | 부동산 사기 거래 방지 시스템 | |
| WO2009081570A1 (ja) | 認証システム及び電子錠 | |
| JPH1063884A (ja) | 電子チケットシステムおよび該システムを用いた電子チケットの利用方法 | |
| TW200828939A (en) | Security mechanism for one-time secured data access | |
| TWM562462U (zh) | 銀行保險箱管理系統及能夠使用銀行保險箱管理系統之用戶端裝置 | |
| JP2004192577A (ja) | Icカードまたは個人認識用デバイスを利用したダブル認証情報管理システムおよびicカードまたは個人認識用デバイスを利用したダブル認証情報管理方法 | |
| KR101875342B1 (ko) | 부동산 통합정보시스템을 이용한 공인중개사의 등록 및 관리방법과 공인중개사의 신분식별방법 | |
| Jaquith | Americans Need a Digital Identity System, Stat! | |
| Alliance | Using smart cards for secure physical access | |
| WO1999060485A1 (fr) | Systeme de carte d'authentification | |
| Scharfman et al. | Investor Due Diligence on Cryptocurrency and Digital Asset Investments | |
| BR102021019962A2 (pt) | Método de identificação de indivíduos para validação, autenticação e autorização de um negócio e/ou contrato e/ou pagamento e/ou transação eletrônica e/ou cobrança e/ou compra com cartão de crédito e/ou transação bancária e/ou pix e/ou transações com moedas digitais e/ou criptomoedas utilizando biometria | |
| Poe | An Evaluation of a Biometric Enabled Credit Card for Providing High Authenticity Identity Proofing during the Transaction Authentication Process | |
| JP2005258554A (ja) | 顧客管理システム及びそれに用いるカード並びに顧客認証方法 |