以下、図面を参照して本発明の実施の形態を説明する。
〔1〕本実施形態の携帯情報端末装置管理システムの構成:
図1は本発明の一実施形態としての携帯情報端末装置管理システムの構成を示すブロッ
ク図で、図1に示す本実施形態の携帯情報端末装置管理システム1は、利用者によって利用される、携帯電話装置,PDA,コンピュータ機器などの携帯情報端末装置を備えたシステムである。以下、本実施形態では、上記携帯情報端末装置が携帯電話装置10である場合について説明する。また、以下の実施形態では、生体データ検出端末装置が、利用者が身につけた状態にする体調管理用携帯端末装置20である場合について説明する。
そして、本実施形態の端末装置管理システム1は、携帯電話装置10,体調管理用携帯端末装置20,管理者端末30,連絡先端末40,主治医端末50,管理サーバ60,体調管理サーバ80およびネットワーク90をそなえて構成されている。
携帯電話装置10は、利用者によって所持・携帯されるもので、ネットワーク90を介して少なくとも管理サーバ60と通信可能に構成されている。また、後述するように、非接触ICを内蔵していて、各種サービスの提供を受ける機能を有して構成されている。
ここで、携帯電話装置10を用いて受けられるサービスとは、たとえば、この携帯電話装置10をサービス提供端末装置に近づけることによって実現される、金融機関取引機能(電子マネー機能,クレジットカード機能,デビットカード機能,などによる銀行口座の照会,入金,出金等)、電子定期券機能、電子チケット機能、電子商取引機能、電子パスポート機能、などを意味している。
そして、この携帯電話装置10は、一般的な携帯電話装置機能(通話機能,電子メール機能など)を有するほか、少なくとも、GPS位置検出部11,送受信手段12,アクセス手段13,入力手段14,表示手段15および記憶手段19としての機能を有している。
ここで、制御手段10aは、携帯電話装置10として動作するための各種制御を行うほか、第一位置と第二位置との間の距離が所定範囲を超えた場合、あるいは、第二位置を確認できない場合、または、管理サーバからの命令があった場合に、該携帯電話装置10内で記憶しているデータを保護状態にする制御を行う。また、制御手段10aは、第一位置と第二位置との間の距離が所定範囲内に戻った場合、あるいは、第二位置が確認できて所定範囲内であると確認できた場合、または、管理サーバからの命令があった場合に、該携帯電話装置10内で記憶していて保護状態にしたデータの保護状態を解除する制御を行う。
ここで、データの保護状態とは、データの消去、データの他の装置への移動、データのパスワードの設定もしくは変更、データの隠し属性への変更、の少なくとも一つを意味している。また、記憶しているデータの他の装置への移動とは、管理サーバあるいは予め登録された他の端末などへのデータのコピーと消去とを意味している。また、データの移動、データへのパスワードの設定もしくは変更、データの隠し属性への変更の場合には、保護状態を所定の手続により解除することも可能である。
GPS位置検出部(第一位置検出手段)11は、後述するごとく管理サーバ60(管理手段62)からの第一位置要求に応じ、携帯電話装置10の現在位置(所在位置;緯度・経度情報)を全地球方位計測システム(GPS)によって第一位置として検出するものである。その際、携帯電話装置10の現在の所在位置として、高度や深度を検出してもよい。その場合、気圧に基づいて高度を計測する高度計や水圧に基づいて深度を計測する深度計を第一位置検出手段としてそなえる。
送受信手段(第一通知手段)12は、GPS位置検出部11によって検出された前記第一位置を管理サーバ60(管理手段62)に通知するもので、管理サーバ60(管理手段
62)に通知する際にはネットワーク90を介して送受信を行なう。この送受信手段12は、管理サーバ60(管理手段62)からの各種要求や通知(第一位置要求,エラー通知,警告など)を受信する機能も果たす。また、送受信手段12は、携帯電話装置10としての送信や受信に関する一般的な動作も含めて行う。
アクセス手段13は、後述する制御手段61に対するアクセスを行なうためのもので、管理サーバ60に対してアクセスを行なう場合には、例えば携帯電話装置10におけるキーボード(図示略)を操作して各種情報を入力しネットワーク90を介してサービス提供用サイト(管理サーバ60によって運営されるサイト)にアクセスする機能を果たすほか携帯電話装置10に例えば非接触型ICが内蔵されている場合には、その非接触型ICがアクセス手段13として機能することになる。
入力手段14は、利用者により各種の入力がなされるためのもので、本実施形態では、特に、データ保護状態の解除の認証の際にワンタイムパスワードの入力がなされる。また、表示手段15には、各種メッセージの表示がなされる。
記憶手段19は各種データの記憶を行うものであり、携帯電話装置10の各種設定データや各パラメータ、電話帳などのデータ、電子メールなどのデータなど、各種のデータが記憶される。
体調管理用携帯端末装置20は、携帯電話装置10とは別体のものであって、上記携帯電話装置10の利用者の身体の一部(例えば腕)に腕時計のごとく装着されることにより常時所持・携帯されるもので、ネットワーク90を介して管理者端末30,連絡先端末40,主治医端末50,管理サーバ60および体調管理サーバ80と通信可能に構成されている。
また、この体調管理用携帯端末装置20は、請求項における「生体データ検出端末装置」を構成している。そして、この体調管理用携帯端末装置20は、少なくとも、GPS位置検出部20GS,送受信手段255,生体センサ20BS,ワンタイムパスワード処理手段258,および表示手段24としての機能を有している。これらの機能以外の機能を含む体調管理用携帯端末装置20の詳細構成については、図2を参照しながら後述する。
ここで、第二位置検出手段としてのGPS位置検出部20GSは、前述した携帯電話装置10のGPS位置検出部11と同様、後述するごとく管理サーバ60(管理手段62)からの第二位置要求に応じ、体調管理用携帯端末装置20の現在位置(所在位置;緯度・経度情報)を全地球方位計測システム(GPS)によって第二位置として検出するものである。その際、体調管理用携帯端末装置20の現在の所在位置として、高度や深度を検出してもよい。その場合、気圧に基づいて高度を計測する高度計(後述する気象センサ20WSの気圧測定機能で代用可)や、水圧に基づいて深度を計測する深度計(後述する気象センサ20WSの水圧測定機能で代用可)を第二位置検出手段としてそなえる。体調管理用携帯端末装置20におけるGPS位置検出部20GSは、上記第二位置要求に応じて位置検出を行なうだけでなく、所定周期で体調管理用携帯端末装置20の現在の所在位置を検出し、後述するCPU25に通知するようにも構成されている。
送受信手段255による第二通知手段としての機能は、後述するごとくCPU25によって実現される、サービス提供管理に係る機能で、GPS位置検出部20GSによって検出された前記第二位置を、生体データ値に基づいて本人確認ができた場合に、前述した携帯電話装置10の送受信手段12と同様、管理サーバ60(管理手段62)に通知するもので、管理サーバ60(管理手段62)に通知する際にはネットワーク90を介して送受信を行なう。また、送受信手段255は、管理サーバ60(管理手段62)からの各種要
求や通知(第二位置要求,動作状態要求,エラー通知,警告など)を受信する機能も果たす。
生体センサ20BSは、利用者の身体の一部(例えば腕)に接触・装着され、利用者の体調管理を行なうべくその利用者の生体データ値を検出するもので、生体データ値として、体温,血圧,心拍数,呼吸数,脈波,心電,血中酸素飽和濃度,血中酸素濃度,筋組織酸素濃度のうちの少なくとも一つを所定周期で検出するものであるが、本実施形態では体温,血圧,心拍数,呼吸数を検出するものとする。この生体センサ20BSによって検出された所定周期毎の生体データ値は、後述するごとく、メモリ20M(図2参照)に蓄積され、管理サーバ60からの要求に応じて、中断前後の生体データ値としてメモリ20Mから読み出され、上述した送受信手段255としての機能を用いネットワーク90を介して管理サーバ60に通知・送信されるようになっている。なお、この生体センサ20BSで検出された生体データ値は、所定のしきい値と比較されて本人であることの確認に用いられる。
なお、所定周期は、生体データ値が通常の値の範囲であれば、通常の所定の周期、例えば、5分毎、あるいは、10分毎などに取得と比較とを行い、通常の値の範囲でなくなった場合には、通常の所定の周期より細かい周期、たとえば、1分毎などに取得と比較とを行う。なお、この場合、通常の値の範囲から外れる程度に応じて、取得と比較とを細かく行うことが望ましい。また、これと並行して、体調管理用携帯端末装置20の装着/取り外し/再装着の履歴も保存しておくようにする。そして、この生体データ値の変化具合や、体調管理用携帯端末装置20の装着/取り外し/再装着の履歴とにより、後述するように、体調が正常である本人、体調が異常である本人、他人、の区別が可能になる。
なお、指や掌などに連続装着可能な生体センサ20BSを用いることで、指紋や掌紋や血管などの生体情報を連続的に取得できる。また、生体センサ20BSとして咽頭マイクを喉に装着することで、声紋の生体データ値が一定時間取得され続ける。
さらに、心拍数や呼吸数に関しては、陸上競技選手が用いるような胸部センサパッドを生体センサ20BSとして胸部に貼り付けて用いることで、生体情報を連続的に取得することが可能になる。この場合の胸部センサパッドは、粘着性の部材による貼付、弾性ベルトによる装着など、各種の装着が可能である。
また、体調管理用携帯端末装置20において、後述するCPU25によって実現される制御手段256(図2参照)としての機能が、動作状態検出手段としての機能も果たしている。この動作状態検出手段は、生体センサ20BSが利用者から生体データ値の検出する動作を行なっているか否か、つまり、体調管理用携帯端末装置20が利用者の身体に実際に装着されその利用者から生体データ値を検出している状態にあるか否かを、動作状態として検出するもので、後述するごとく管理サーバ60(管理手段62)からの動作状態要求に応じ、その動作状態の検出を行ない、その検出結果が、上述した送受信手段255としての機能を用いて、ネットワーク90を介し管理サーバ60に通知・送信されるように構成されている。
また、ワンタイムパスワード処理手段258は、管理サーバ60で発生されたワンタイムパスワードを受信したり、あるいは、管理サーバ60で発生されたワンタイムパスワードと同期してワンタイムパスワードを生成するものである。このようにして受信あるいは生成されたワンタイムパスワードは、後述するように表示手段24に表示される。なお、ワンタイムパスワード処理手段258は、上述した生体データ値によって本人であることの確認がなされた場合に、このワンタイムパスワードを表示する。
管理者端末30は、管理センタ等にそなえられ、後述するような各種通知を行なうべき連絡先の一つとして体調管理用携帯端末装置20に予め登録されるもので、体調管理用携帯端末装置20を用いて利用者の体調を管理する管理者用の端末〔PC(パーソナルコンピュータ)等〕である。
連絡先端末40は、後述するような各種通知を行なうべき連絡先の一つとして体調管理用携帯端末装置20に予め登録されるもので、例えば、利用者の、友人や、親族,配偶者などの近親者によって用いられる端末(PC等)である。
また、携帯電話装置10内のデータの保護状態にする際に、携帯電話装置10内のデータを該連絡先端末40に転送してから、携帯電話装置10内のデータを消去する際にも利用される端末である。
主治医端末50は、後述するような各種通知を行なうべき連絡先の一つとして体調管理用携帯端末装置20に予め登録されるもので、利用者の主治医によって用いられる端末(PC等)である。
管理サーバ60は、携帯電話装置10の利用者に対し提供される各種サービスを提供・管理するもので、制御手段61,管理手段62,認証手段63,警告手段64,統計値算出手段65,統計値判断手段66,ワンタイムパスワード生成手段67,ワンタイムパスワード送信手段68および記憶手段69としての機能をそなえて構成されている。
制御手段61は、前述のごとく、携帯電話装置10によってアクセス可能なサービス提供用サイトを運営し、そのサイトに携帯電話装置10からネットワーク90を通じてアクセスしてきた利用者に対し各種サービスを提供するものである。管理サーバ60の制御手段61によって携帯電話装置10の利用者に提供されるサービスとしては、電子マネーのチャージサービス,電子定期の購入・更新サービス,電子チケットの購入・予約サービス,金融機関への振込・振替サービス,株取引サービスなど様々なものが挙げられる。
管理手段62は、携帯情報端末装置としての携帯電話装置10の動作状態を管理するもので、後述する認証手段63,警告手段64,統計値算出手段65,統計値判断手段66,ワンタイムパスワード生成手段67およびワンタイムパスワード送信手段68の機能を用いて、下記項目(31)〜(39)に示す管理機能を果たす。
(31)利用者が携帯電話装置10のアクセス手段13によって管理サーバ60に対するアクセスを行なった際に、携帯電話装置10および体調管理用携帯端末装置20に対しそれぞれ第一位置および第二位置を要求し、携帯電話装置10の送受信手段12によって通知された第一位置と体調管理用携帯端末装置20の送受信手段255によって通知された第二位置との間の距離を算出し、算出された距離が所定範囲内(例えば1m以内)であるか否かを判断し、所定範囲外である場合に管理手段62は携帯電話装置10に対してデータを保護状態にする制御を命令する。また、所定範囲外になった後に所定範囲内に戻った場合には、管理手段62は携帯電話装置10に対してデータの保護状態の解除を命令する。
ただし、後述する認証手段63によりサービスの利用者が本人であることが認証された旨の本人認証結果が認証手段63から通知され、且つ、動作状態要求に応じて体調管理用携帯端末装置20から通知された動作状態が検出動作中(体調管理用携帯端末装置20が利用者の身体に装着された状態)である場合をはずれると、管理手段62は、携帯情報端末装置のデータを保護状態にする制御を命令する。
(32)管理手段62(後述する認証手段63)からの認証情報要求に応じた利用者による
認証情報の入力・送信が行なわれなかった場合、管理手段62は、携帯電話装置10(利用者)に対し、その旨を通知するためのエラー通知を行ない、携帯電話装置10のデータを保護状態にする制御を命令する。
(33)上記項目(31)で認証手段63による本人認証の結果、利用者が本人ではないと判断された場合、管理手段62は、携帯電話装置10(利用者)やシステム管理者に対し、その旨を通知するためのエラー通知を行ない、携帯電話装置10のデータを保護状態にする制御を命令する。
(34)上記項目(31)で第一位置,第二位置および動作状態の要求に対し、いずれか一つでも応答がない場合、管理手段62は、携帯電話装置10および体調管理用携帯端末装置20の少なくとも一方に異状が生じている状態であると判断し、後述する警告手段64による警告動作を実行するとともに、携帯電話装置10/体調管理用携帯端末装置20やシステム管理者に対しその旨を通知するためのエラー通知を行ない、携帯電話装置10のデータを保護状態にする制御を命令する。
(35)上記項目(31)で動作状態要求に応じて体調管理用携帯端末装置20から通知された動作状態が検出動作中でない場合、つまり上記動作状態検出手段によって生体センサ20BSが検出動作を行なっていないことが検出された場合(もしくは体調管理用携帯端末装置20が利用者の身体に装着されていない場合)、管理手段62は、携帯電話装置10/体調管理用携帯端末装置20やシステム管理者に対し、その旨を通知するためのエラー通知を行ない、携帯電話装置10のデータを保護状態にする制御を命令する。また、管理手段62は、管理サーバ60において、当該利用者の体調管理用携帯端末装置20における生体データ値の検出動作が中断状態になっていることを、当該利用者(識別情報等)に対応付けて登録・保存する。
(36)上記項目(31)で算出された距離が上記所定範囲外である場合、管理手段62は、携帯電話装置10と体調管理用携帯端末装置20とが異なる場所に存在し携帯電話装置10が体調管理用携帯端末装置20を装着した人とは異なる人によって利用されている可能性が高いと判断し、後述する警告手段64による警告動作を実行するとともに、携帯電話装置10/体調管理用携帯端末装置20やシステム管理者に対しその旨を通知するためのエラー通知を行ない、携帯電話装置10のデータを保護状態にする制御を命令する。
(37)携帯電話装置10と体調管理用携帯端末装置20との距離が所定範囲内にあるか否かの位置チェックを定期的に行なう機能(図7参照しながら後述する機能)。所定周期毎に、携帯電話装置10および体調管理用携帯端末装置20に対しそれぞれ第一位置および第二位置を要求し、携帯電話装置10の送受信手段12によって通知された第一位置と体調管理用携帯端末装置20の送受信手段255によって通知された第二位置との間の距離を算出し、算出された距離が所定範囲内(例えば1m以内)であるか否かを判断し、所定時間以上(例えば30分以上)に亘って所定範囲外である場合、管理手段62は、携帯電話装置10の置き忘れ,盗難等により携帯電話装置10と体調管理用携帯端末装置20とが異なる場所に存在していると判断し、後述する警告手段64による警告動作を実行し、携帯電話装置10のデータを保護状態にする制御を命令する。
(38)体調管理用携帯端末装置20において生体センサ20BSによる生体データ検出動作が行なわれているか否かの検出動作チェックを定期的に行なう機能(図8参照しながら後述する機能)。所定周期毎に、体調管理用携帯端末装置(検出動作チェックの対象装置)20に対し動作状態を要求し、対象装置20から通知された動作状態が検出動作中(対象装置20が利用者の身体に装着された状態)であるか否かを判断する。
(38-1)検出動作中でない場合、管理手段62は、上記項目(35)と同様、携帯電話装置10/対象装置20やシステム管理者に対し、その旨を通知するためのエラー通知を行ない、携帯電話装置10のデータを保護状態にする制御を命令する。
(38-2)検出動作中である場合、管理手段62は、対象装置20について中断状態の登録を検索し、中断状態から検出動作中になった対象装置20については検出動作を再開したものと判断し、後述するごとく対象装置20に対し中断前後に蓄積された所定期間(例えば1時間)に亘る生体データ値(例えば体温,血圧,心拍数,呼吸数)を要求する。そして、後述する統計値算出手段65により、対象装置20から得られた中断前後の生体データ値について中断前統計値および再開後統計値(例えば平均値)を算出し、後述する統計値判断手段66により、算出された中断前統計値と再開後統計値とを比較し、これらの統計値の差が所定範囲内であるか否かでこれらの統計値が同一利用者の生体データ値の統計値であるか否かを判断する。なお、再開後(中断後)の生体データ値が前記所定期間に亘る分だけ検出されていない場合は、その所定期間に亘る生体データ値が検出・蓄積された時点で再開後統計値の算出を行なうことになる。
(38-3)同一利用者であると判断された場合(上記差が所定範囲内である場合)、管理手段62は、上記項目(31)や(37)と同様の位置チェックを行ない携帯電話装置10と対象装置20との距離が所定範囲内であれば、携帯電話装置10のデータ保護状態を解除する。一方、同一利用者ではないと判断された場合(上記差が所定範囲外である場合;つまり、対象装置20を身体に装着した利用者が、生体データ値の検出動作中断前後で異なる人物である可能性が高いと判断された場合)、管理手段62は、後述する警告手段64による警告動作を実行するとともに、携帯電話装置10/体調管理用携帯端末装置20やシステム管理者に対しその旨を通知するためのエラー通知を行ない、携帯情報端末装置内のデータを保護状態にする状態を維持する。
(39)管理手段62や認証手段63からの認証情報要求に応じて、ワンタイムパスワード生成手段67が生成したワンタイムパスワードと、携帯電話装置10から入力されたワンタイムパスワードとを比較して、ワンタイムパスワードが一致しなかった場合、あるいは、一定時間内にワンタイムパスワードの返信が無かった場合、管理手段62は、携帯電話装置10(利用者)に対し、その旨を通知するためのエラー通知を行ない、携帯電話装置10のデータを保護状態にする制御を命令する。
認証手段63は、携帯電話装置10の利用者が各種の利用を行う際にその利用者によって入力される当該利用者についての認証情報に基づいて当該利用者の本人認証を行ない、その本人認証結果を管理手段62に通知するものである。ここでは、認証情報としては、例えば、パスワード(パスフレーズ)、もしくは、指紋,虹彩,掌静脈パターン,顔などの生体情報などが挙げられる。携帯電話装置10から管理サーバ60にアクセスした場合、管理サーバ60側では、その携帯電話装置10の電話番号を認識することができるので、各利用者について、電話番号とその利用者の登録認証情報とを対応付けてデータベースとして保存しておく。そして、認証手段63は、上記データベースから電話番号に対応付けられた登録認証情報を読み出し、その登録認証情報と、アクセス時に利用者によって入力された認証情報とを比較することにより当該利用者の本人認証を行なうように構成されている。
また、認証手段63は、携帯電話装置10の利用者が各種サービスの提供を受ける際、データ保護状態を解除する際に、上述した認証のほかに、ワンタイムパスワードによる認証を行うものである。
警告手段64は、上記項目(34),(36)〜(39)に記載したように、管理手段62からの要
求に対し携帯電話装置10や体調管理用携帯端末装置20から応答がない場合や、携帯電話装置10と体調管理用携帯端末装置20との距離が所定範囲外である場合や、生体データ値の検出動作中断前後で利用者が異なる場合や、ワンタイムパスワードの一致が所定時間内に得られない場合、システム管理者もしくは利用者に対し警告通知を行なうものである。その警告通知は、管理サーバ60においては、この管理サーバ60のディスプレイ上での表示によって行なわれ、携帯電話装置10や体調管理用携帯端末装置20においてはブザー等を鳴動させたりLEDランプ等を点滅させたりすることによって行なわれる。なお、上記警告通知に際して、体調管理用携帯端末装置20では、後述する警告手段254が用いられる。また、上記警告通知は、上述したエラー通知と兼ねてもよい。
統計値算出手段65は、生体データ値の検出動作の中断前に生体センサ20BSによって検出された生体データ値(後述するメモリ20Mに蓄積されたデータ)の平均値を中断前統計値として算出するとともに、生体データ値の検出動作の再開後に生体センサ20BSによって検出された生体データ値(後述するメモリ20Mに蓄積されたデータ)の平均値を再開後統計値として算出するものである。
統計値判断手段66は、統計値算出手段65によって算出された中断前統計値と再開後統計値とを比較し、これらの統計値の差が所定範囲内であるか否かでこれらの統計値が同一利用者の生体データ値の統計値であるか否かを判断するものである。
ワンタイムパスワード生成手段67は、上述したように所定のワンタイムパスワードを生成する。そして、生成されたワンタイムパスワードは、ワンタイムパスワード送信手段68によって体調管理用携帯端末装置20に送信される。
記憶手段69は管理サーバ60として各種データを記憶するメモリあるいはハードディスク装置であり、この実施形態では、携帯電話装置10内のデータを保護状態にする際に、必要に応じてデータを吸い上げて記憶するものである。
なお、上述のごとく、本実施形態の端末装置管理システム1では、生体データ値の検出動作の中断によってデータが保護状態にされた場合には、上記項目(38)で説明した機能により、生体データ値の検出動作の再開時における同一利用者判断によってその携帯電話装置10のデータ保護状態が解除されるようになっているが、それ以外の事由によってデータが保護状態にされた場合には、その禁止状態を解除するためには、携帯電話装置10の利用者が管理サーバ60に対して所定の手続きを行なうことが必要になる。
体調管理サーバ80は、契約者(体調管理サーバ80のサービスを受けるべく予め契約・登録を行なっている者)に対し、図14および図15を参照しながら後述するようなサービスを提供するためのもので、この体調管理サーバ80は、各体調管理用携帯端末装置20から定期的に受信した生体データ,気象データおよび位置データを蓄積し、生体データ,気象データおよび位置データを検出時刻に対応付けながらグラフ加工や地図生成を行なって得られたグラフや地図を保存する機能を有するほか、契約者に対し、蓄積されたデータやグラフ/地図の閲覧サービス(公開サービス)を提供する機能も有しており、サービス提供を望む契約者の認証を行なって、本人認証がなされた契約者に対し上記閲覧サービスの提供を行なうように構成されている。
なお、契約者は、上記利用者と同一人物である場合もあるし、上記利用者と異なる人物(例えば、管理者や、上記利用者の友人/近親者/主治医等)である場合もある。
また、端末30,40,50は、いずれも、電話回線による通話・通信機能や電子メールの送受信機能を有しており、体調管理用携帯端末装置20からの通知(後述する送受信手段255による通知)を受けることが可能に構成されている。
ネットワーク90は、上述した携帯電話装置10,体調管理用携帯端末装置20,端末30,40,50,管理サーバ60および体調管理サーバ80の相互を通信可能に接続するもので、ここではイントラネット,インターネット,公衆電話回線,無線LAN(Local Area Network)など各種通信方式のネットワークを含んでいるものとし、少なくとも携帯電話装置10,体調管理用携帯端末装置20,端末30,40,50の相互間では、電話回線による通話・通信を行なうことも可能であり、電子メールの送受信を行なうことも可能になっている。
ついで、上述した携帯情報端末装置管理システム1で用いられる体調管理用携帯端末装置20の構成について、図2を参照しながら説明する。図2は本実施形態の携帯情報端末装置管理システム1における体調管理用携帯端末装置20の構成を示すブロック図で、この図2に示すように、本実施形態の体調管理用携帯端末装置20は、上述した通り、利用者によって携帯電話装置10とともに常時所持・携帯されるものであって、上述した生体センサ20BSおよびGPS位置検出部20GSのほかに、気象センサ20WS,閾値テーブル20T,CPU25,停止操作部26,回答入力部27およびメモリ20Mをそなえて構成されている。
気象センサ20WSは、利用者の所在雰囲気中(利用者が所在している場所)の気象データとして、気温,水温,湿度,気圧,水圧,日照状況,紫外線量,のうちの少なくとも一つを所定周期で検出する超小型のものであるが、本実施形態では、気温(または水温),湿度,気圧(または水圧)を検出するものとする。
なお、生体センサ20BS,気象センサ20WSおよびGPS位置検出部20GSは、体調管理用携帯端末装置20の本体に内蔵もしくは外付けされ、ケーブル等を介して有線接続、もしくは無線接続され、図10〜図12を参照しながら後述するごとく、所定周期で検出された結果を体調管理用携帯端末装置20の本体に送信するようになっている。
閾値テーブル20Tは、利用者の体調を管理するための生体データ閾値を、気象条件毎に予め設定されて保持するもので、後述するCPU25の閾値設定手段251としての機能によって作成・設定されるもので、体調管理用携帯端末装置20を構成する例えばRAM(Random Access Memory),ROM(Read Only Memory),ハードディスク等の記憶部に保存・格納されている。
このとき、生体データ閾値は、利用者毎に異なるほか、生活環境によっても異なるもので、利用者毎に、環境に応じた気象条件に従って設定される。利用者の平常時の体温T0,血圧P0,心拍数N0を基準にして、例えば、利用者が高温多湿環境下に居る場合には、気象条件が気温25〜30℃かつ湿度80%以上である時(気象条件1)の生体データ閾値として体温T1,血圧P1,心拍数N1を設定し、気象条件が気温30〜35℃かつ湿度60%以上である時(気象条件2)の生体データ閾値として体温T2,血圧P2,心拍数N2を設定し、気象条件が気温35℃以上かつ湿度50%以上である時の生体データ閾値として体温T3,血圧P3,心拍数N3を設定しておく。そして、気象条件1である時(気象条件3)には利用者の実際の体温T,血圧P,心拍数Nのいずれか一つもしくは全てが閾値T1,P1,N1を超えた場合、また、気象条件2である時には利用者の実際の体温T,血圧P,心拍数Nのいずれか一つもしくは全てが閾値T2,P2,N2を超えた場合、さらに、気象条件3である時には利用者の実際の体温T,血圧P,心拍数Nのいずれか一つもしくは全てが閾値T3,P3,N3を超えた場合、利用者の体調が異状(熱中症等)であると判断する。
また、利用者が低温環境下に居る場合には、気象条件が気温0〜10℃である時(気象
条件4)の生体データ閾値として体温T4を設定し、気象条件が気温−10〜0℃である時(気象条件5)の生体データ閾値として体温T5を設定し、気象条件が気温−10℃以下である時(気象条件6)の生体データ閾値として体温T6を設定しておく。そして、気象条件4である時には利用者の実際の体温Tが閾値T4を下回った場合、また、気象条件5である時には利用者の実際の体温Tが閾値T5を下回った場合、さらに、気象条件6である時には利用者の実際の体温Tが閾値T6を下回った場合、利用者の体調が異状(低体温症等)であると判断する。
さらに、利用者が高高度(低気圧)環境下に居る場合には、気象条件が気圧A2〜A1である時(気象条件7)の生体データ閾値として心拍数N7,呼吸数K7を設定し、気象条件が気圧A3〜A2である時(気象条件8)の生体データ閾値として心拍数N8,呼吸数K8を設定し、気象条件が気温35℃以上かつ湿度50%以上である時(気象条件9)の生体データ閾値として心拍数N9,呼吸数N9を設定しておく。そして、気象条件7である時には利用者の実際の心拍数N,呼吸数Kのいずれか一方もしくは両方が閾値N7,K7を超えた場合、また、気象条件8である時には利用者の実際の心拍数N,呼吸数Kのいずれか一方もしくは両方が閾値N8,K8を超えた場合、さらに、気象条件9である時には利用者の実際の心拍数N,呼吸数Kのいずれか一方もしくは両方が閾値N9,K9を超えた場合、利用者の体調が異状(高山病等)であると判断する。
また、利用者が海水浴,入浴等で水につかっている場合には、気象条件が水圧W1〜W2かつ水温がL2〜L1である時(気象条件10)の生体データ閾値として体温T10,心拍数N10を設定し、気象条件が水圧W2〜W3かつ水温がL3〜L2である時(気象条件11)の生体データ閾値として体温T11,心拍数N11を設定し、気象条件が水圧W3以上かつ水温がL3以下である時(気象条件12)の生体データ閾値として体温T12,心拍数N12を設定しておく。そして、気象条件10である時には利用者の実際の体温T,心拍数Nのいずれか一方もしくは両方が閾値T10,N10を下回った場合、また、気象条件11である時には利用者の実際の体温T,心拍数Nのいずれか一方もしくは両方が閾値T11,N11を下回った場合、さらに、気象条件12である時には利用者の実際の体温T,心拍数Nのいずれか一方もしくは両方が閾値T12,N12を下回った場合、利用者の体調が異状であると判断する。
また、体調管理用携帯端末装置20の装着や取り外しの有無、上述した生体データしきい値との比較によって、以下の(a)〜(i)ように、利用者本人であるか否かの識別が可能になる。
(a)装置装着のまま、生体データ値に変化なし(同じしきい値範囲内):本人,
(b)装置装着のまま、生体データ値ゆっくり変化:本人,
(c)装置装着のまま、生体データ値ゆっくり変化し元に戻る:本人,
(d)装置装着のまま、生体データ値急変:本人(体調異状),
(e)装置装着のまま、生体データ値急変し戻る:本人(体調異状後回復),
(f)装置取り外し後に再装着し、生体データ値に変化なし:本人,
(g)装置取り外し後に再装着し、生体データ値変化した後、ゆっくり戻る:本人,
(h)装置取り外し後に再装着し、生体データ値変化した後、違う値に戻る:第三者,
(i)装置取り外し後に再装着し、生体データ値変化したまま:第三者,
なお、以上の場合で、生体データ値が変化していて、本人か第三者かの区別が付きにくい状態では、本人とは認められない保留状態としておいて、生体データ値の取得と比較とを続行し、生体データ値が戻れば本人、戻らなければ他人というように、時間をかけて比較と識別とを行うようにしてもよい。
なお、ここに示した(a)〜(i)は利用者本人か否かの識別にかかる基本的な識別処理の一例であって、各種の変形を加えることが可能である。
また、比較に用いる生体データ値の数や条件について、アンド条件(複数の全ての生体データ値が合致して本人と識別する)に用いる生体データ値を多くすれば、厳しい条件で本人の識別が可能になる。すなわち、他人を本人としてご認識する率は低下するものの、場合によっては、本人であっても本人と認識されない可能性が生じる。一方、アンド条件に用いる生体データ値を減らしたり、複数の生体データ値でオア条件(いずれかが合致すれば本人とする)とすれば、緩い条件での識別になり、本人の識別が容易になる反面、他人をも本人と識別してしまう可能性も生じる。
また、以上の本人の体調の場合に、本人であると識別するか、あるいは、本人とは認められないと識別するか、いずれにするかは、設定により定めることが可能である。
これにより、利用者本人と第三者との区別が可能になる。また、利用者本人の場合でも、体調変化、運動や入浴時などに取り外した場合の変化や戻り具合などを、第三者が装着した場合と区別することが可能になる。
また、指紋や掌紋や血管あるいは虹彩などを用いた生体認証では、認証のために生体情報を読み込ませる作業が面倒であったり、スキャンする装置が大がかりになったりして、面倒であるという問題が存在していたが、この実施形態では利用者が身につけている状態で生体データ値が一定時間取得され続けるので、従来のような問題も解消される。
但し、指や掌などに連続装着可能なセンサを用いることで、指紋や掌紋や血管などの生体情報を連続的に取得でき、生体データ値が一定時間取得され続けるので、従来のような問題も解消される。
CPU(Central Processing Unit)25は、所定のアプリケーションプログラムを実
行することにより、後述する閾値設定手段251,閾値読出手段252,比較手段253,警告手段254,送受信手段255,制御手段256および問合せ手段257として機能するものである。
停止操作部26は、後述する警告手段254によって実行される警告動作(鳴動動作や点滅動作等)を、利用者の意識的な操作によって停止させるためのもので、実際には、体調管理用携帯端末装置20における操作スイッチ、表示画面(ディスプレイ)上のタッチパネルなどによって構成される。
回答入力部27は、後述する問合せ手段257による問い合せに応じて、利用者が、後述する送受信手段255による通知を実行するか否かを回答するためのもので、実際には、体調管理用携帯端末装置20における操作スイッチや、表示画面(ディスプレイ)上のタッチパネルなどによって構成される。
メモリ20Mは、不揮発性のRAM等の記憶部で、生体センサ20BSによって所定周期で検出された生体データ値を蓄積・保存するものであり、後述する送受信手段255が、上記項目(38-2)にて上述した管理サーバ60の管理手段62からの要求を受けると、生体センサ20BSの検出動作中断前後における、所定期間(例えば1時間)に亘る生体データ値をメモリ20Mから読み出して管理サーバ60の管理手段62に送信・通知するように構成されている。
そして、閾値設定手段251は、上述した閾値テーブル20Tを利用者毎に且つ生活環境に応じた気象条件毎に作成・設定するもので、利用者の平常時の体温T0,血圧P0,心拍数N0を基準として、上述のごとき気象条件と所定の生体データ閾値との対を入力設定するためのもので、利用者,管理者,監視者等が手動操作で入力するように構成されていてもよいし、利用者の平常時の体温T0,血圧P0,心拍数N0と競技環境/作業環境
とを指定入力することにより、自動的に入力するように構成されていてもよい。
閾値読出手段252は、気象センサ20WSによって検出された気象データ(気温/水温,湿度,気圧/水圧)に対応する気象条件について設定された生体データ閾値を閾値テーブル20Tから検索して読み出すものである。
比較手段253は、閾値読出手段252によって読出された生体データ閾値と生体センサ20BSによって検出された生体データ値(体温,血圧,心拍数,呼吸数)とを比較し、上述したような基準に従って利用者の体調異状を判断・検知するものである。また、利用者の体調異状に加え、上述した(a)〜(i)のようにして、利用者本人か否かの判断をするものである。
警告手段(体調異状警告手段)254は、後述の制御手段256によって動作を制御され、比較手段253による比較の結果、利用者の体調異状を検知した場合や、上述した警告手段64,74から警告通知を送受信手段255で受けた場合に、利用者に対して警告を発するものであり、本実施形態では、例えば、体調管理用携帯端末装置20におけるブザー等を鳴動させたりLEDランプ等を点滅させたりする。このような警告動作(鳴動動作や点滅動作)は、上述した通り、利用者が停止操作部26を操作することにより、後述の制御手段256を介して停止される。なお、体調管理用携帯端末装置20の本体として、後述するごとく携帯電話装置を用いる場合には、警告手段254により、鳴動動作として、携帯電話装置に呼び出し動作を実行させてもよい。
送受信手段255は、上述した通り、第二通知手段としての機能(第二位置を管理サーバ60に通知する機能)や、動作状態を管理サーバ60に通知する機能や、メモリ20Mの生体データ値を管理サーバ60に通知する機能を果たすほか、後述の制御手段256によって動作を制御され、比較手段253による比較の結果、利用者の体調異状を検知した場合、その旨を所定の連絡先に通知する体調異状通知手段としての機能を果たすもので、利用者の体調異状を通知する際には、生体センサ20BSによって検出されている生体データ値,気象センサ20WSによって検出されている気象データ,およびGPS位置検出部20GSによって検出された利用者の所在位置も併せて通知する。その際、送受信手段255は、予め登録されている電話番号に自動発呼することにより利用者の体調異状の通知を行なってもよいし、予め登録されているメールアドレスに対し電子メールを自動送信することにより利用者の体調異状の通知を行なってもよい。
なお、所定の連絡先については、制御手段256によって切り換えられるもので、詳細については後述する。また、送受信手段255は、生体センサ20BSによって検出されている生体データ値,気象センサ20WSによって検出されている気象データ,およびGPS位置検出部20GSによって検出された利用者の所在位置を、上述した体調管理サーバ80に対し、所定周期で送信する機能を果たすものとする。また、送受信手段255は、外部(ネットワーク90)との間でデータの送受信を行なうものであって、後述するような通知機能(送信機能)だけでなく外部からの通知等の情報(例えば管理サーバ60からの要求,エラー通知,警告通知など)を受信する機能も有している。
制御手段256は、上述した動作状態検出手段としての機能を果たすほか、下記項目(51)〜(54)のごとく、送受信手段255の通知動作および警告手段254の警告動作を制御するものである。ここで、問合せ手段257は、やはり制御手段256によって動作を制御され、警告手段254の警告動作を停止させる操作が所定時間内に実行された場合、送受信手段255による体調異状の通知動作を実行するか否かについて利用者に問い合せるもので、実際には、体調管理用携帯端末装置20におけるディスプレイ上に表示を行ない、利用者がタッチパネルや操作スイッチ(回答入力部27)を操作して入力する回答を、
制御手段256によって受信するように構成されている。
(51)比較手段253による比較の結果、利用者の体調異状を検知した場合、警告手段254を介して利用者に対する警告動作を実行させる。
(52)警告手段254の警告動作を停止させる操作(停止操作部26の操作)が警告動作を開始してから所定時間以上経過しても実行されない場合、送受信手段255による体調異状の通知を実行させる。この場合、例えば消防等に通知を行なうことで、救急車等の緊急車両の手配を直ちに行なう。
(53)問合せ手段257による問合せに対し送受信手段255による体調異状の通知動作を実行する旨の回答を利用者が行なった場合、送受信手段255による体調異状の通知動作を実行させる。この場合、例えば、予め登録されている主治医の電話(例えば主治医端末50)に対する自動発呼を行なうことにより、利用者が、主治医に適切な処置の指示を仰ぐことができるようにする。
(54)利用者が問合せ手段257による問合せに対し所定回数連続して送受信手段255による体調異状の通知動作の実行を拒否した場合、送受信手段255による体調異状の通知動作を強制的に実行させる。この場合、例えば友人や近親者(例えば連絡先端末40)に対する通知を行なう。
ワンタイムパスワード処理手段258は、管理サーバ60で発生されたワンタイムパスワードを受信したり、あるいは、管理サーバ60で発生されたワンタイムパスワードと同期してワンタイムパスワードを生成するものである。このようにして受信あるいは生成されたワンタイムパスワードは、上述したように生体データ値によって利用者本人であると確認された場合に、後述するように表示手段24に表示される。
〔2〕本実施形態の携帯情報端末装置管理システムの動作:
次に、図3〜図16に示すフローチャートを参照しながら、本実施形態の動作について説明する。
〔2−1〕管理サーバの管理動作:
本実施形態の携帯情報端末装置管理システム1における携帯電話装置10と体調管理用携帯端末装置20との関係は、図3(a)のような状態になっている。すなわち、利用者が体調管理用携帯端末装置20を身につけた状態で携帯電話装置10を利用している状態では通常の使用が可能であるが、携帯電話装置10と体調管理用携帯端末装置20とが離れると携帯電話装置10内のデータが保護状態にされる。
なお、携帯情報端末装置が携帯電話装置10でなく、コンピュータである場合には、図3(b)のような状態である。この場合も、利用者が体調管理用携帯端末装置20を身につけた状態で携帯情報端末装置としてのコンピュータを利用している状態では通常の使用が可能であるが、コンピュータと体調管理用携帯端末装置20とが離れるとコンピュータ内のデータが保護状態にされる。
本実施形態の携帯情報端末装置管理システム1における管理サーバ60の動作について、図4、図5、図6に示すフローチャートに従って説明する。
管理サーバ60により、同一の利用者によって所持・携帯されているべきである2つの装置、即ち、携帯電話装置10および体調管理用携帯端末装置20に対し、それぞれ第一位置および第二位置が要求されるとともに、体調管理用携帯端末装置20に対し生体センサ20BSの動作状態が要求される(ステップS51)。
このとき、同一の利用者によって所持・携帯されているべきである携帯電話装置10および体調管理用携帯端末装置20の組み合わせに関する情報は、携帯電話装置10の電話番号に対応付けられて、予めデータベース等に保持されているものとし、管理手段62は、そのデータベース等を、携帯電話装置10の電話番号をキーにして検索を行なうことにより、そのID情報に対応した2つの装置(携帯電話装置10および体調管理用携帯端末装置20)に関する情報(要求先情報)を獲得することができるようになっている。
なお、体調管理用携帯端末装置20は、生体センサ210BSにより検出された利用者の生体データ値により、該利用者本人であることを確認したうえで、該第二位置検出手段(GPS位置検出部20GS)によって検出された第二位置を管理サーバ60に通知する。
ここで、第一位置,第二位置および動作状態の要求に対しいずれか一つでも応答がない場合(ステップS52のNOルート)、管理手段62の上記項目(34)の機能により、携帯電話装置10および体調管理用携帯端末装置20の少なくとも一方に何らかの異状が生じている状態であると判断され、警告手段64によって、システム管理者や利用者(携帯電話装置10および体調管理用携帯端末装置20)に対する警告通知が行なわれ(ステップS53)、さらに、システム管理者に対し応答なしのエラー通知が行なわれるとともに、携帯電話装置10/体調管理用携帯端末装置20に対し応答なしのエラー通知が行なわれ(ステップS54)、管理サーバ60の命令により携帯電話装置10のデータが保護状態にされ(ステップS55)、ステップS51の処理に戻る。
ステップS51の要求に対し、第一位置,第二位置および動作状態の回答・通知があった場合(ステップS52のYESルート)、まず、体調管理用携帯端末装置20から通知された動作状態が検出動作中であるか否かを判断する。
その動作状態が動作中でない場合つまり生体センサ20BSが検出動作を行なっていないことが検出された場合(もしくは体調管理用携帯端末装置20が利用者の身体に装着されていない場合;ステップS56のNOルート)、管理手段62の上記項目(35)の機能により、システム管理者に対し、生体センサ20BSが動作していない旨のエラー通知が行なわれるとともに、携帯電話装置10/体調管理用携帯端末装置20に対し、生体センサ20BSが動作していない旨の通知が行なわれ(ステップS57)、管理サーバ60の命令により携帯電話装置10のデータが保護状態にされ(ステップS58)、さらに、当該利用者の体調管理用携帯端末装置20における生体データ値の検出動作が中断状態になっていることが、当該利用者(電話番号,識別情報等)に対応付けて登録・保存されてから(ステップS59)、ステップS51の処理に戻る。
体調管理用携帯端末装置20から通知された動作状態が検出動作中である場合(ステップS56のYESルート)、管理手段62の上記項目(31)の機能により、携帯電話装置10の送受信手段12によって通知された第一位置と体調管理用携帯端末装置20の送受信手段255によって通知された第二位置との間の距離が算出され(ステップS60)、算出された距離が所定範囲内であるか否かが判断される(ステップS61)。
その距離が所定範囲外である場合(ステップS61のNOルート)、管理手段62の上記項目(36)の機能により、携帯電話装置10と体調管理用携帯端末装置20とが異なる場所に存在し携帯電話装置10が体調管理用携帯端末装置20を装着した人とは異なる人によって利用されている可能性が高いと判断され、警告手段64によって、システム管理者や利用者(携帯電話装置10および体調管理用携帯端末装置20)に対する警告通知が行なわれ(ステップS62)、さらに、システム管理者に対しエラー通知が行なわれるとともに、携帯電話装置10/体調管理用携帯端末装置20に対しエラー通知が行なわれ(ス
テップS63)、管理サーバ60の命令により携帯電話装置10のデータが保護状態にされ(ステップS64)、ステップS51の処理に戻る。
ステップS60で算出された距離が所定範囲内である場合(ステップS61のYESルート)、管理手段62の上記項目(31)の機能により、携帯電話装置10のデータは保護状態にされず(ステップS65)、利用者が望む所定の利用が利用者(携帯電話装置10)により行なわれた後、ステップS51の処理に戻る。
また、ここでのデータ保護状態の解除の際の認証として、IDやパスワードなどによる通常の本人認証のほかに、ワンタイムパスワードによる認証を行う。このワンタイムパスワードによる認証を、図5(a)を参照して説明する。なお、データの保護状態の解除については、携帯電話装置10内のデータの消去や移動ではなく、パスワードの設定や変更、あるいは属性の変更などによって、携帯電話装置10内にデータが残っており、通常の動作が可能な場合である。
まず、データ保護状態の携帯電話装置10に対して利用者のアクセスなどをトリガとして、管理サーバ60の管理手段62が認証要求を発生すると(図5(a)中のステップS461)、ワンタイムパスワード生成手段67がワンタイムパスワードを発生する(図5(a)中のステップS462)。そして、ワンタイムパスワード送信手段68が、このワンタイムパスワードを体調管理用携帯端末装置20に対して送信する(図5(a)中のステップS463)。
そして、体調管理用携帯端末装置20では生体データ値により本人確認を実行しており(図5(a)中のステップS421)、この管理サーバ60からのワンタイムパスワードを受信(図5(a)中のステップS422)した体調管理用携帯端末装置20では、生体データ値により本人確認ができていればワンタイムパスワードを表示手段24に表示する(図5(a)中のステップS423)。
なお、(a)〜(i)で説明したように、利用者本人と第三者との区別が可能になっており、利用者本人に対してだけワンタイムパスワードを発行することが可能になる。また、生体認証によって本人確認された場合にワンタイムパスワードを表示するようにしているため、ワンタイムパスワード発生装置を紛失したとしても、ワンタイムパスワードが第三者に使われてしまうことはなくなる。
一方、管理サーバ60の認証要求の通知を受けた携帯電話装置10では、表示手段15に認証情報の要求を表示する(図5(a)中のステップS411)。この表示を見た利用者は、体調管理用携帯端末装置20の表示手段24に表示されているワンタイムパスワードを、携帯電話装置10の入力手段14に入力する(図5(a)中のステップS412)。このようにして携帯電話装置10に入力されたワンタイムパスワードは、送受信手段12を経由して、管理サーバ60に対して送信される(図5(a)中のステップS413)。
管理サーバ60側では、携帯電話装置10から返信(図5(a)中のステップS464)されたワンタイムパスワードと、ワンタイムパスワード生成手段67で生成したワンタイムパスワードとを認証手段63で比較して認証を行う(図5(a)中のステップS465)。
ここで、所定時間経過してもワンタイムパスワードが携帯電話装置10から返信されない場合や、生成したワンタイムパスワードと返信されたワンタイムパスワードとが一致しない場合、エラーとして処理し、携帯電話装置10に対してエラー通知を行い、携帯情報
端末装置内のデータの保護状態を継続する(図5(a)中のステップS466、S414)。
また、ワンタイムパスワードによる認証について、図5(b)のような手法を用いることも可能である。
まず、管理サーバ60の管理手段62が認証要求を発生すると(図5(b)中のステップS461)、ワンタイムパスワード生成手段67がワンタイムパスワードを発生する(図5(b)中のステップS462)。
管理サーバ60の認証要求の通知を受けた携帯電話装置10では、携帯電話装置10は、体調管理用携帯端末装置20に対してワンタイムパスワードを発生するように通知する。
ここで、ワンタイムパスワード処理手段258は、そのタイミングと機器に付与された所定の情報とを参照し、ワンタイムパスワード生成手段67が発生するワンタイムパスワードと同期(一致)したワンタイムパスワードを生成する(図5(b)中のステップS422’)。
そして、体調管理用携帯端末装置20では生体データ値により本人確認を実行しており(図5(b)中のステップS421)、このようにしてワンタイムパスワードを生成(図5(b)中のステップS422’)した体調管理用携帯端末装置20では、生体データ値により本人確認ができていればワンタイムパスワードを表示手段24に表示する(図5(b)中のステップS423)。
なお、このワンタイムパスワードの表示は、本人確認ができている間は表示し続けてもよいし、また、図示されないスイッチなどの操作をきっかけにして表示を行うようにしてもよい。
また、(a)〜(i)で説明したように、利用者本人と第三者との区別が可能になっており、利用者本人に対してだけワンタイムパスワードを発行することが可能になる。また、生体認証によって本人確認された場合にワンタイムパスワードを表示するようにしているため、ワンタイムパスワード発生装置を紛失したとしても、ワンタイムパスワードが第三者に使われてしまうことはなくなる。
また、管理サーバ60の認証要求の通知を受けた携帯電話装置10では、表示手段15に認証情報の要求を表示する(図5(b)中のステップS411)。この表示を見た利用者は、体調管理用携帯端末装置20の表示手段24に表示されているワンタイムパスワードを、携帯電話装置10の入力手段14に入力する(図5(b)中のステップS412)。このようにして携帯電話装置10に入力されたワンタイムパスワードは、送受信手段12を経由して、管理サーバ60に対して送信される(図5(b)中のステップS413)。
管理サーバ60側では、携帯電話装置10から返信(図5(b)中のステップS464)されたワンタイムパスワードと、ワンタイムパスワード生成手段67で生成したワンタイムパスワードとを認証手段63で比較して認証を行う(図5(b)中のステップS465)。
ここで、所定時間経過してもワンタイムパスワードが携帯電話装置10から返信されない場合や、生成したワンタイムパスワードと返信されたワンタイムパスワードとが一致しない場合、エラーとして処理し、携帯電話装置10に対してエラー通知を行い、携帯情報
端末装置内のデータの保護状態を継続する(図5(b)中のステップS466、S414)。
なお、以上の説明におけるデータの保護状態とは、データの消去、データの他の装置への移動、データのパスワードの設定もしくは変更、データの隠し属性への変更、の少なくとも一つであり、どの状態を用いてデータの保護を行うかについては、利用者の希望設定あるいは契約時の初期設定などにより選択することが可能であり、管理サーバ60に利用者毎に設定が保持されている。
そして、以上のようにデータを保護状態にする場合には、管理サーバ60と携帯電話装置10とは、図6のようにして動作する。
まず、以上のようにしてデータを保護状態にする場合には、管理サーバ60は、携帯電話装置10内のデータを保護状態にすることについての確認メッセージを体調管理用携帯端末装置20に対して送信し、表示手段24に表示する(図6中のステップS601)。
ここで、携帯電話装置10を単に自宅に置いてきた場合や、電池切れや意図的な電源オフなどによって位置確認ができない場合には、携帯電話装置10内のデータを保護状態にする必要はないため、上記確認メッセージに対して利用者が「いいえ」などの操作を行う。
なお、体調管理用携帯端末装置20が双方向通信が可能であれば、体調管理用携帯端末装置20から管理サーバ60に対して上記「いいえ」の回答を行えばよいし、体調管理用携帯端末装置20が双方向通信可能でない場合には、自宅あるいは職場の電話や公衆電話や別の携帯電話やパソコンなどから管理サーバ60に対して「いいえ」に対応する回答を送信する(図6中のステップS602でNOルート)。このような場合には、携帯電話装置10内のデータは保護状態にされず、処理を終了する(図6でエンド)。
なお、この場合に、第三者が「いいえ」と回答した場合を排除できるように、双方向通信が可能な体調管理用携帯端末装置20は、生体情報により利用者と確認できている場合に、「いいえ」の回答を管理サーバ60に対して送信する。また、別途電話などによって「いいえ」を回答する場合にも、声紋、所定の合い言葉、などによって回答者の本人確認を行うことが望ましい。また、この場合の利用者からの電話回答は、管理サーバ60が管理する自動応答電話に対する回答でもよいし、管理サーバ60を操作可能なオペレータに対する回答であってもよい。
また、病気などによる急激な体調異状、運動や入浴などによる急激な体調変化、体調変化後の体調管理用携帯端末装置20の装着、体調管理用携帯端末装置20の故障などによって、利用者本人であるにもかかわらず本人と認証されず、上述した第二位置が管理サーバ60に通知されなくなって、上述したデータ保護が実行されてしまうような場合もあり得る。この場合には、上述した管理サーバ60からの確認メッセージの表示(図6中のステップS601)に応じて、利用者本人が電話などによって「いいえ」を回答する際に、声紋、所定の合い言葉、などによって管理サーバ60側が本人確認を行い、回答者が利用者本人であると確認された場合に、上述したデータ保護を実行しないようにすることが望ましい。また、この場合の利用者からの電話回答は、管理サーバ60が管理する自動応答電話に対する回答でもよいし、管理サーバ60を操作可能なオペレータに対する回答であってもよい。
管理サーバ60からの上記確認メッセージに対して利用者が「はい」と操作した場合(図6中のステップS602でYESルート)、あるいは、「いいえ」などの操作を一定時間内に行わない場合(図6中のステップS603)、予め設定された保護状態に応じて(
図6中のステップS604)、管理サーバ60から携帯電話装置10に対してデータを保護状態にする命令を送信する。
予め設定された保護状態が「消去」である場合、管理サーバ60は携帯電話装置10に対してデータ消去命令を送信する(図6中のステップS611)。なお、携帯電話装置10の電源がオフにされていたり、電波が圏外となっている場合には、携帯電話装置10が次に基地局にアクセスした時点でこの命令が送信される。この消去命令をうけた携帯電話装置10は、制御手段10aが記憶手段19内の消去可能なデータを消去する(図6中のステップS612)。
なお、データの消去は、第三者による不正利用や情報流出を防止する目的であるため、速やかに短時間のうちに実行する必要が生じる場合もあり得る。近年の携帯電話装置10では、写真撮影機能や音楽再生機能も有しており、大量のデータが存在している。このため、全てのデータを消去するにはかなりの時間を有する。そのため、消去すべきデータに対して予めフラグ(消去フラグ)を付しておいて、そのフラグが付されたデータのみを消去することも望ましい。たとえば、電話帳のデータ(電話番号リスト)や、メールアドレス、メール本文、写真データ・音楽データ以外、など、利用者が所望のデータにフラグを付しておくことが望ましい。また、データにフラグを付す代わりに、管理サーバ60側に、消去すべきデータの項目を、利用者が予め登録しておくことも可能である。
予め設定された保護状態が「移動(複写と消去)」である場合、所定時間内の最新のデータが既に管理サーバ60あるいは予め登録された端末装置に記憶されているかを、管理サーバ60が確認する(図6中のステップS621)。所定時間内の最新のデータが既に記憶されている場合には(図6中のステップS621でYESルート)、管理サーバ60は携帯電話装置10に対してデータ消去命令を送信する(図6中のステップS611)。なお、携帯電話装置10の電源がオフにされていたり、電波が圏外となっている場合には、携帯電話装置10が次に基地局にアクセスした時点でこの命令が送信される。この消去命令をうけた携帯電話装置10は、制御手段10aが記憶手段19内の消去可能なデータを消去する(図6中のステップS612)。
所定時間内の最新のデータが既に記憶されていない場合には(図6中のステップS621でNOルート)、管理サーバ60は携帯電話装置10に対してデータ移動(複写)命令を送信する(図6中のステップS622)。なお、携帯電話装置10の電源がオフにされていたり、電波が圏外となっている場合には、携帯電話装置10が次に基地局にアクセスした時点でこの命令が送信される。この移動命令をうけた携帯電話装置10は、制御手段10aが記憶手段19内の消去可能なデータを管理サーバ60あるいは予め登録された端末装置などにデータを送信する(図6中のステップS623)。全データの送信が完了した場合(図6中のステップS623でYESルート)、携帯電話装置10は送信完了の旨を管理サーバ60に通知する。ここで、管理サーバ60は携帯電話装置10に対してデータ消去命令を送信する(図6中のステップS611)。この消去命令をうけた携帯電話装置10は、制御手段10aが記憶手段19内の消去可能なデータを消去する(図6中のステップS612)。
予め設定された保護状態が「不可視属性設定」である場合、管理サーバ60は携帯電話装置10に対してデータに不可視属性設定命令を送信する(図6中のステップS631)。なお、携帯電話装置10の電源がオフにされていたり、電波が圏外となっている場合には、携帯電話装置10が次に基地局にアクセスした時点でこの命令が送信される。この不可視属性設定命令をうけた携帯電話装置10は、制御手段10aが記憶手段19内の属性変更可能なデータについて、不可視属性設定を実行する(図6中のステップS632)。
予め設定された保護状態が「パスワード設定・変更」である場合、管理サーバ60は携帯電話装置10に対してパスワード設定・変更命令を送信する(図6中のステップS641)。なお、携帯電話装置10の電源がオフにされていたり、電波が圏外となっている場合には、携帯電話装置10が次に基地局にアクセスした時点でこの命令が送信される。このパスワード設定・変更命令をうけた携帯電話装置10は、管理サーバ60が指定したパスワードを用いて、制御手段10aがパスワードの設定を実行する(図6中のステップS642)。なお、既に携帯電話装置10にパスワードが設定されていたとしても、そのパスワードに関係なく、管理サーバ60が指定したパスワードによる設定を行う。なお、この場合には、携帯電話装置10の全ての動作(電源オン、通話、電話帳閲覧、電子メール閲覧など各種動作)を保護するためパスワードの設定であることが望ましい。
なお、管理サーバ60からの上記確認メッセージに対して利用者が「いいえ」などの操作を一定時間内に行わない場合(図6中のステップS603)、第一の一定時間経過の時点でパスワード設定や不可視属性設定を行い、その後の第二の一定時間経過でデータの移動あるいは消去を行う、といったように、二段階のデータ保護を行うようにしてもよい。
〔2−2〕管理サーバの位置チェック機能:
本実施形態の携帯情報端末装置管理システム1における管理サーバ60の位置チェック機能〔管理手段62の上記項目(37)の機能〕について、図7に示すフローチャート(ステップS71〜S80)従って説明する。なお、図7を参照しながら説明する位置チェック機能は、前述した通り、管理サーバ60ではなく、この管理サーバ60とは別にそなえられた管理サーバ(図示略)や位置チェック専用のサーバによって実現されてもよい。
所定周期の位置チェックタイミングになると(ステップS71のYESルート)、同一の利用者によって所持・携帯されているべきである2つの装置、即ち携帯電話装置10および体調管理用携帯端末装置20に対しそれぞれ第一位置および第二位置が要求される(ステップS72)。このとき、同一の利用者によって所持・携帯されているべきである携帯電話装置10および体調管理用携帯端末装置20の組み合わせに関する情報は、前述の通り、例えば携帯電話装置10の電話番号に対応付けられて、予めデータベース等に保持されており、管理手段62は、そのデータベース等を、携帯電話装置10の電話番号をキーにして検索を行なうことにより、そのID情報に対応した2つの装置(携帯電話装置10および体調管理用携帯端末装置20)に関する情報(要求先情報)を獲得する。
第一位置および第二位置の要求に対しいずれか一つでも応答がない場合(ステップS73のNOルート)、携帯電話装置10および体調管理用携帯端末装置20の少なくとも一方に何らかの異状が生じている状態であると判断され、警告手段64によって、システム管理者や利用者(携帯電話装置10および体調管理用携帯端末装置20)に対する警告通知が行なわれ(ステップS74)、管理サーバ60の命令により携帯電話装置10のデータが保護状態にされ(ステップS75)、ステップS71の処理に戻る。
ステップS72の要求に対し、第一位置および第二位置の回答・通知があった場合(ステップS73のYESルート)、携帯電話装置10の送受信手段12によって通知された第一位置と体調管理用携帯端末装置20の送受信手段255によって通知された第二位置との間の距離が算出され(ステップS76)、算出された距離が所定範囲内であるか否かが判断される(ステップS77)。その距離が所定範囲内である場合(ステップS77のYESルート)、携帯電話装置10と体調管理用携帯端末装置20とは同一の利用者によって所持・携帯されているものと判断され、ステップS71の処理に戻る。
ステップS76で算出された距離が所定範囲外である場合(ステップS77のNOルート)、所定範囲外となっている状態が所定時間(例えば30分)を超えていない場合(ス
テップS78のNOルート)、一時的に携帯電話装置10と体調管理用携帯端末装置20との距離が離れているものと判断され、ステップS71の処理に戻る。これに対し、所定時間以上(例えば30分以上)に亘って所定範囲外である場合(ステップS78のYESルート)、携帯電話装置10の置き忘れ,盗難等により携帯電話装置10と体調管理用携帯端末装置20とが異なる場所に存在していると判断し、警告手段64によって、システム管理者や利用者(携帯電話装置10および体調管理用携帯端末装置20)に対する警告通知が行なわれ(ステップS79)、管理サーバ60の命令により携帯電話装置10のデータが保護状態にされ(ステップS80)、ステップS71の処理に戻る。
〔2−3〕管理サーバの生体センサ検出動作チェック機能:
本実施形態の携帯情報端末装置管理システム1における管理サーバ60の生体センサ検出動作チェック機能〔管理手段62の上記項目(38)の機能〕について、図8に示すフローチャート(ステップS81〜S109)に従って説明する。なお、図8を参照しながら説明する生体センサ検出動作チェック機能は、前述した通り、管理サーバ60ではなく、この管理サーバ60とは別にそなえられた管理サーバ(図示略)や生体センサ検出動作チェック専用のサーバによって実現されてもよい。
所定周期の生体センサ検出動作チェックタイミングになると(ステップS81のYESルート)、体調管理用携帯端末装置20に対し動作状態が要求され(ステップS82)、動作状態の応答がない場合(ステップS83のNOルート)、体調管理用携帯端末装置20に何らかの異状が生じている状態であると判断され、警告手段64によって、システム管理者や利用者(携帯電話装置10および体調管理用携帯端末装置20)に対する警告通知が行なわれ(ステップS84)、さらに、システム管理者に対し応答なしのエラー通知が行なわれるとともに、携帯電話装置10/体調管理用携帯端末装置20に対し応答なしのエラー通知が行なわれ(ステップS85)、管理サーバ60の命令により携帯電話装置10のデータが保護状態にされ(ステップS86)、ステップS81の処理に戻る。
ステップS82の要求に対し動作状態の回答・通知があった場合(ステップS83のYESルート)、体調管理用携帯端末装置20から通知された動作状態が検出動作中であるか否かを判断する。
その動作状態が動作中でない場合つまり生体センサ20BSが検出動作を行なっていないことが検出された場合(もしくは体調管理用携帯端末装置20が利用者の身体に装着されていない場合;ステップS87のNOルート)、システム管理者に対し、生体センサ20BSが動作していない旨のエラー通知が行なわれるとともに、携帯電話装置10/体調管理用携帯端末装置20に対し、生体センサ20BSが動作していない旨の通知が行なわれ(ステップS88)、管理サーバ60の命令により携帯電話装置10のデータが保護状態にされ(ステップS89)、さらに、当該利用者の体調管理用携帯端末装置20における生体データ値の検出動作が中断状態になっていることが、当該利用者(電話番号,識別情報等)に対応付けて登録・保存されてから(ステップS90)、ステップS81の処理に戻る。ただし、この体調管理用携帯端末装置20について中断登録が既に行なわれている場合には、ステップS88〜S90の処理は省略される。
体調管理用携帯端末装置20から通知された動作状態が検出動作中である場合(ステップS87のYESルート)、その体調管理用携帯端末装置20が中断登録されているものであるか否かを判断し、中断登録されていない場合、その体調管理用携帯端末装置20は中断状態から生体センサ20BSの動作を再開したものではなく、継続的に生体センサ20BSが動作しているので(ステップS91のNOルート)、ステップS81の処理に戻る。
その体調管理用携帯端末装置20が、中断登録されている場合、中断状態から生体センサ20BSの動作を再開したものであると判断され(ステップS91のYESルート)、その体調管理用携帯端末装置20に対して、生体センサ20BSによる検出動作の中断前後に蓄積された所定期間(例えば1時間)に亘る生体データ値(例えば体温,血圧,心拍数,呼吸数)が要求される(ステップS92)。
この要求に応じ、体調管理用携帯端末装置20から生体データ値が通知されると、統計値算出手段65により、中断前後の生体データ値について中断前統計値および再開後統計値(例えば平均値)が算出され(ステップS93)、統計値判断手段66により、算出された中断前統計値と再開後統計値とが比較され(ステップS94)、これらの統計値の差が所定範囲内であるか否かでこれらの統計値が同一利用者の生体データ値の統計値であるか否かが判断される(ステップS95)。
これらの統計値の差が所定範囲外でこれらの統計値が同一利用者の生体データ値の統計値ではないと判断された場合(ステップS95のNOルート)、体調管理用携帯端末装置20を身体に装着した利用者が、生体データ値の検出動作中断前後で異なる人物である可能性が高いと判断され、警告手段64によって、システム管理者や利用者(携帯電話装置10および体調管理用携帯端末装置20)に対する警告通知が行なわれ(ステップS96)、さらに、システム管理者に対しエラー通知が行なわれるとともに、携帯電話装置10/体調管理用携帯端末装置20に対しエラー通知が行なわれ(ステップS97)、携帯電話装置10のデータ保護状態が維持され(ステップS98)、ステップS81の処理に戻る。
ステップS93で算出された統計値の差が所定範囲内でこれらの統計値が同一利用者の生体データ値の統計値であると判断された場合(ステップS95のYESルート)、動作状態チェック対象になっている体調管理用携帯端末装置20と、この体調管理用携帯端末装置20を利用している利用者が所持・携帯しているべきである携帯電話装置10とに対しそれぞれ第一位置および第二位置が要求される(ステップS99)。このとき、同一の利用者によって所持・携帯されているべきである携帯電話装置10および体調管理用携帯端末装置20の組み合わせに関する情報は、例えば体調管理用携帯端末装置20の識別情報に対応付けられて、予めデータベース等に保持されており、管理手段62は、そのデータベース等を、体調管理用携帯端末装置20の識別情報をキーにして検索を行なうことにより、現在動作状態チェック対象になっている体調管理用携帯端末装置20と対になる携帯電話装置10に関する情報(要求先情報)を獲得する。
第一位置および第二位置の要求に対しいずれか一つでも応答がない場合(ステップS100のNOルート)、携帯電話装置10および体調管理用携帯端末装置20の少なくとも一方に何らかの異状が生じている状態であると判断され、警告手段64によって、システム管理者や利用者(携帯電話装置10および体調管理用携帯端末装置20)に対する警告通知が行なわれ(ステップS101)、さらに、システム管理者に対し応答なしのエラー通知が行なわれるとともに、携帯電話装置10/体調管理用携帯端末装置20に対し応答なしのエラー通知が行なわれ(ステップS102)、携帯電話装置10のデータ保護状態が維持され(ステップS103)、ステップS81の処理に戻る。
ステップS99の要求に対し、第一位置および第二位置の回答・通知があった場合(ステップS100のYESルート)、携帯電話装置10の送受信手段12によって通知された第一位置と体調管理用携帯端末装置20の送受信手段255によって通知された第二位置との間の距離が算出され(ステップS104)、算出された距離が所定範囲内であるか否かが判断される(ステップS105)。
その距離が所定範囲外である場合(ステップS105のNOルート)、携帯電話装置10と体調管理用携帯端末装置20とが異なる場所に存在し携帯電話装置10が体調管理用携帯端末装置20を装着した人とは異なる人によって利用されている可能性が高いと判断され、警告手段64によって、システム管理者や利用者(携帯電話装置10および体調管理用携帯端末装置20)に対する警告通知が行なわれ(ステップS106)、さらに、システム管理者に対しエラー通知が行なわれるとともに、携帯電話装置10/体調管理用携帯端末装置20に対しエラー通知が行なわれ(ステップS107)、携帯電話装置10のデータ保護状態が維持され(ステップS108)、ステップS81の処理に戻る。
ステップS104で算出された距離が所定範囲内である場合(ステップS105のYESルート)、携帯電話装置10と体調管理用携帯端末装置20とは同一の利用者によって所持・携帯されているものと判断され、携帯電話装置10のデータ保護状態が解除される(ステップS109)。
この場合、以上の保護状態として、携帯情報端末装置のデータに対する不可視属性の設定、あるいは、パスワードの設定であれば、所定の手続により、属性やパスワードを解除して、携帯電話装置10内にデータを復旧させる。また、以上の保護状態として、携帯情報端末装置のデータの他の装置への移動であれば、所定の手続により、管理サーバ60から携帯電話装置10内にデータをコピーし、復旧させる。また、たとえば、それまでの携帯電話装置10を紛失したり水没させて新たな携帯電話装置10’を契約した場合に、利用者や新たな携帯電話装置10’の認証や証明の手続を経た後であれば、その新たな携帯電話装置10’に対して、他の装置へ移動させておいたデータを戻す。
〔2−4〕携帯電話装置の動作:
本実施形態の携帯情報端末装置管理システム1における携帯電話装置10の動作について、図9に示すフローチャート(ステップS111〜S117)に従って説明する。携帯電話装置10においては、利用者によって通常の通話機能や電子メール機能が利用されるが、これらの機能とは別に、この携帯電話装置10を用いて管理サーバ60によるサービス提供を受ける際には、携帯電話装置10は、管理サーバ60からの位置要求,エラー通知,警告通知に応じて、図9に示すような機能を果たす。
携帯電話装置10の送受信手段12により、管理サーバ60から第一位置の要求を受けると(ステップS111のYESルート)、GPS位置検出部11に対し現在位置(携帯電話装置10の所在位置)の検出要求を行ない(ステップS112)、GPS位置検出部11によって検出された現在位置が、送受信手段12により第一位置として管理サーバ60に対し通知され(ステップS113)、ステップS111の処理に戻る。
また、携帯電話装置10の送受信手段12により、管理サーバ60からエラー通知を受けると(ステップS111のNOルートからステップS114のYESルート)、そのエラー通知の内容に応じた情報を、携帯電話装置10のディスプレイ(図示略)でイメージ情報として表示して利用者に通知したり、音声情報として利用者に通知してから(ステップS115)、ステップS111の処理に戻る。
さらに、携帯電話装置10の送受信手段12により、管理サーバ60から警告通知を受けると(ステップS114のYESルート)、その警告通知の内容に応じた情報を、携帯電話装置10のディスプレイ(図示略)でイメージ情報として表示して利用者に通知したり、音声情報として利用者に通知して、警告動作を行なってから(ステップS115)、ステップS111の処理に戻る。なお、警告動作は、エラー表示よりも強調的な動作として行なわれるものとする。例えば、警告動作としては、ディスプレイによって警告内容の通知を行なうだけでなく、携帯電話装置10のバイブレーション機能や呼び出し機能を用
いることで、利用者に対しより強く通知を行なう。
さらに、携帯電話装置10の送受信手段12により、管理サーバ60からデータの保護状態化の命令を受けると(ステップS114のNOルートからステップS116のYESルート)、制御手段10aは、上述した図6の説明のようにして、記憶手段19で記憶しているデータを保護状態にする制御を行う(ステップS117)。この保護状態化とは、データの消去、データの他の装置への移動、データのパスワードの設定もしくは変更、データの隠し属性への変更、の少なくとも一つである。いずれを行うかは、管理サーバ60からの命令でもよいし、携帯電話装置10として予め定められた動作であってもよい。
なお、以上の図9では、携帯電話装置10が電源オン状態であって、かつ、電波状態が圏内であって管理サーバ60と通信可能な状態の原理動作を示した。しかし、実際には、携帯電話装置10の電源がオフ状態になっていたり、電源オン状態であっても電波が圏外状態であることもあり得る。そのような状態での携帯電話装置10の動作を、図16として示す。
なお、ここでは、携帯電話装置10が、体調管理用携帯端末装置20の第二位置を確認して、記憶手段19に記憶しているデータを自ら保護状態にする機能を有している場合を想定している。また、ここでは、携帯電話装置10内の制御手段10aは、電源オフ状態であっても、以下の制御プログラムに従って、各種動作を実行可能であるとする。
まず、制御手段10aが携帯電話装置10の状態、すなわち、電源がオン状態であるか、電波状態が圏内であるか、などを確認する(図16中のステップS1601)。
携帯電話装置10の電源がオフ状態であれば(図16中のステップS1602でオフ)、制御手段10aは、体調管理用携帯端末装置20の第二位置を確認する(図16中のステップS1611)。
なお、この場合、GPSで検出された絶対位置であってもよいし、微弱電波を発振して近距離の体調管理用携帯端末装置20からの共振反射波などを検出するようにしてもよい。
携帯電話装置10からみて体調管理用携帯端末装置20が所定の範囲内であれば(図16中のステップS1612でNOルート)、電源はオフであるものの、利用者の手元で正常な状態にあるため、処理を終了する(図16エンド)。
携帯電話装置10からみて体調管理用携帯端末装置20が所定の範囲外であれば(図16中のステップS1612でYESルート)、携帯電話装置10が利用者の手元に無い状態であるため、第一段階の保護状態として、記憶手段19内のデータに対して、不可視属性あるいはパスワード設定を実行する(図16中のステップS1613)。なお、この段階では、利用者が自宅などに置き忘れたまま外出した事態も想定されるため、第一の保護状態としては、データを消去せず、不可視属性の設定あるいはパスワードの設定として、後で容易に復旧できるようにデータそのものは残した状態にしておく。
そして、制御部10aは、携帯電話装置10のいずれかのキーやスイッチなどの操作、すなわちキー操作が有るか否かを検知する(図16中のステップS1614)。キー操作が無ければ(図16中のステップS1614でNOルート)、第二位置確認(図16中のステップS1611)に戻る。
いずれかのキー操作が検出された場合(図16中のステップS1614でYESルート)、制御手段10aは、体調管理用携帯端末装置20の第二位置を確認する(図16中の
ステップS1621)。すなわち、携帯電話装置10のキー操作を利用者本人が行ったのか第三者が行ったのかを調べる。
携帯電話装置10からみて体調管理用携帯端末装置20が所定の範囲外であれば(図16中のステップS1622でYESルート)、携帯電話装置10が利用者の手元に無い状態であって、利用者以外の第三者が携帯電話装置10をキー操作していることになるため、第二段階の保護状態として、記憶手段19内のデータを、消去する(図16中のステップS1623)。
なお、ここでは、キー操作として説明したが、携帯電話装置10に設けられたコネクタや送受信手段12などを介して記憶手段19に直接アクセスすることも可能であるため、制御手段10aは、記憶手段19に対する各種アクセスについてもキー操作と同様にして監視してデータの消去などを実行する。
一方、携帯電話装置10からみて体調管理用携帯端末装置20が所定の範囲内であれば(図16中のステップS1622でNOルート)、利用者の手元で正常な状態にあるため、不可視設定やパスワード設定といった第一の保護を解除し(図16中のステップS1623)、携帯電話装置10を通常状態に戻してから処理を終了する(図16エンド)。
携帯電話装置10の電源がオン状態であれば(図16中のステップS1602でオン)、制御手段10aは、携帯電話装置10の電波状態が圏内であるか否かを確認する(図16中のステップS1630)。
携帯電話装置10が電源オンであって電波状態が圏外であれば(図16中のステップS1630でNOルート)、制御手段10aは、体調管理用携帯端末装置20の第二位置を確認する(図16中のステップS1641)。
なお、この場合、GPSで検出された絶対位置であってもよいし、微弱電波を発振して近距離の体調管理用携帯端末装置20からの共振反射波などを検出するようにしてもよい。
携帯電話装置10からみて体調管理用携帯端末装置20が所定の範囲内であれば(図16中のステップS1642でNOルート)、電波状態は圏外であるものの、利用者の手元で正常な状態にあるため、処理を終了する(図16エンド)。
携帯電話装置10からみて体調管理用携帯端末装置20が所定の範囲外であれば(図16中のステップS1642でYESルート)、携帯電話装置10が利用者の手元に無い状態であるため、第一段階の保護状態として、記憶手段19内のデータに対して、不可視属性あるいはパスワード設定を実行する(図16中のステップS1643)。なお、この段階では、利用者が自宅などに置き忘れたまま外出した事態も想定されるため、第一の保護状態としては、データを消去せず、不可視属性の設定あるいはパスワードの設定として、後で容易に復旧できるようにデータそのものは残した状態にしておく。
そして、制御部10aは、携帯電話装置10のいずれかのキーやスイッチなどの操作、すなわちキー操作が有るか否かを検知する(図16中のステップS1644)。キー操作が無ければ(図16中のステップS1644でNOルート)、第二位置確認(図16中のステップS1641)に戻る。
いずれかのキー操作が検出された場合(図16中のステップS1644でYESルート)、制御手段10aは、体調管理用携帯端末装置20の第二位置を確認する(図16中の
ステップS1621)。すなわち、携帯電話装置10のキー操作を利用者本人が行ったのか第三者が行ったのかを調べる。
携帯電話装置10からみて体調管理用携帯端末装置20が所定の範囲外であれば(図16中のステップS1622でYESルート)、携帯電話装置10が利用者の手元に無い状態であって、利用者以外の第三者が携帯電話装置10をキー操作していることになるため、第二段階の保護状態として、記憶手段19内のデータを、消去する(図16中のステップS1623)。
なお、ここでは、キー操作として説明したが、携帯電話装置10に設けられたコネクタや送受信手段12などを介して記憶手段19に直接アクセスすることも可能であるため、制御手段10aは、記憶手段19に対する各種アクセスについてもキー操作と同様にして監視してデータの消去などを実行する。
一方、携帯電話装置10からみて体調管理用携帯端末装置20が所定の範囲内であれば(図16中のステップS1622でNOルート)、利用者の手元で正常な状態にあるため、不可視設定やパスワード設定といった第一の保護を解除し(図16中のステップS1623)、携帯電話装置10を通常状態に戻してから処理を終了する(図16エンド)。
携帯電話装置10が電源オンであって電波状態が圏内であれば(図16中のステップS1630でYESルート)、制御手段10aは、既に図6などで説明したように、管理サーバ60からの命令に基づいてデータ保護の処理を実行する(図16中のステップS1651)。
以上のように、携帯電話装置10の電源がオフであったり、電波状態が圏外であったとしても、制御手段10aが体調管理用携帯端末装置20の第二位置に基づいて記憶手段19内のデータの保護を実行することで、携帯電話装置10をを紛失したり盗難されたりだけでなく、席を離れたような場合など、利その携帯情報端末装置を紛失したり盗難されたりだけでなく、席を離れたような場合など、利用者のもとから離れた場合に速やかに、第三者による不正利用や閲覧をより確実に防止できるようにして、十分なセキュリティを確保し、利用者の被る損害を最小限に抑えることが可能になる。また、データの保護を、第一段階と第二段階とに分けているため、単純な置き忘れの場合には後のデータ復旧が容易になる。また、単純な置き忘れ状態であるにもかかわらず第三者に操作された場合には、速やかに第二段階のデータ保護としてデータ消去を実行するため、不正利用や情報流出が速やかに確実に防止される。
〔2−5〕体調管理用携帯端末装置の動作:
図10,図11および図12は、それぞれ、本実施形態の体調管理用携帯端末装置20における生体センサ20BS,気象センサ20WSおよびGPS位置検出部20GSの動作を説明するためのフローチャートであり、図10に示すように、生体センサ20BSは、利用者の生体データ値(体温,血圧,心拍数,呼吸数)を所定周期で検出し(ステップS121)、検出された生体データ値をCPU25に送信する(ステップS122)。
同様に、図11に示すように、気象センサ20WSは、利用者が所在している雰囲気中の気象データ(気温/水温,湿度,気圧/水圧)を所定周期で検出し(ステップS131)、検出された気象データをCPU25に送信する(ステップS132)。
さらに、図12に示すように、GPS位置検出部20GSは、利用者の現在の所在位置(経度・緯度情報)を全地球方位計測システムによって所定周期で検出し(ステップS141)、検出された所在位置をCPU25に送信する(ステップS142)。
ここで、これら生体センサ20BS,気象センサ20WSおよびGPS位置検出部20GSによるCPU25への送信動作は、上記所定周期で同期して同時に実行されるように制御されているものとする。
図13は本実施形態の体調管理用携帯端末装置20におけるCPU25の動作を説明するためのフローチャート(ステップS201〜S229)であり、この図13に示すように、生体センサ20BS,気象センサ20WSおよびGPS位置検出部20GSから生体データ値,気象データおよび所在位置をそれぞれ受信すると(ステップS201のYESルート)、受信した生体データ値,気象データおよび所在位置が、送受信手段255により、ネットワーク90を介して体調管理サーバ80に送信され、生体データ値はメモリ20Mに蓄積されるとともに(ステップS202)、気象センサ20WSによって検出された気象データ(気温/水温,湿度,気圧/水圧)に対応する気象条件について前述のごとく設定された生体データ閾値が、閾値読出手段252により、閾値テーブル20Tから検索されて読み出される(ステップS203)。
そして、比較手段253において、閾値読出手段252によって読出された生体データ閾値と生体センサ20BSによって検出された生体データ値(体温,血圧,心拍数,呼吸数)とが比較され(ステップS204)、上述したような基準に従って利用者の体調異状が判断・検知される(ステップS205)。生体データ値が生体データ閾値を超えていない場合もしくは下回っていない場合には、異状なしと判断され(ステップS205のNOルート)、ステップS201の処理に戻る。
一方、生体データ値が生体データ閾値を超えている場合、もしくは、下回っている場合には、異状ありと判断され(ステップS205のYESルート)、警告手段254によって、利用者に対する警告動作が実行される(ステップS206)。具体的には、本体調管理用携帯端末装置20におけるブザー等が鳴動されたり、LEDランプ等が点滅されたりする。
警告動作を開始した後、利用者によって停止操作部26が操作されたか否かを制御手段256によって検知し(ステップS207)、警告動作開始後、所定時間だけ経過しても警告手段254の警告動作を停止させる操作(停止操作部26の操作)が実行されない場合(ステップS207のNOルートからステップS208のYESルート)、送受信手段255により、ネットワーク90を介して第一連絡先への通知が実行される(ステップS209)。
このとき、上述のごとく停止操作部26の操作が所定時間以上経過しても実行されない状況は、利用者が意識を無くしている等のかなり危険な状態であると考えられ、第一連絡先としての消防等のほか、管理者端末30,連絡先端末40,主治医端末50に、利用者の体調異状が、異状発生時の生体データ値,気象データおよび所在位置とともに通知される。また、上述のような状態では、利用者自身が電話や電子メールで対応できる状態ではないと考えられるので、予め登録されている、体調異状通知のための音声情報や電子メール文面に、生体データ値,気象データおよび所在位置を添付して、音声による自動発呼もしくは電子メールの自動送信を行なうことにより、体調異状の通知が行なわれる。
停止操作部26の操作が所定時間内に利用者によって実行され、警告手段254の警告動作が停止された場合(ステップS207のYESルート)、問合せ手段257によって、送受信手段255による通知を実行するか否かを利用者に対し問い合せる(ステップS210)。この問合せに対し送受信手段255による通知を実行する旨の回答を利用者が行なった場合(ステップS211のYESルート)、送受信手段255により、ネットワ
ーク90を介して第二連絡先への通知が実行される(ステップS212)。
このとき、第二連絡先としての主治医の電話(例えば主治医端末50)に対する発呼が自動的に行なわれ、主治医の応答があれば(ステップS213のYESルート)、利用者(体調管理用携帯端末装置20)と主治医(主治医端末50)との間が通話状態となり(ステップS214)、利用者自身が、主治医に適切な処置の指示を仰ぐことができるようにする。その際、異状発生時の生体データ値,気象データおよび所在位置も、例えば電子メールによって同時に主治医端末50に通知される(ステップS212)。
主治医の応答がなければ(ステップS213のNOルート)、主治医以外の連絡先が登録されているか否かを判断し(ステップS215)、主治医以外の連絡先がない場合(ステップS215のNOルート)、ステップS212に戻り、第二連絡先(主治医)への発呼を再度実行する。一方、主治医以外の連絡先(例えば管理者や主催者/運営者など)が登録されている場合(ステップS215のYESルート)、その連絡先に対し自動発呼もしくは電子メールの自動送信を行なう(ステップS216)。
問合せ手段257による問合せに対し送受信手段255による通知を実行しない旨の回答を利用者が行なった場合(ステップS211のNOルート)、利用者が、所定回数、連続して通知拒否を行なったか否かを判定する(ステップS217)。そして、所定回数連続して通知拒否を行なっていない場合(ステップS217のNOルート)には、ステップS201の処理に戻る一方、所定回数連続して送受信手段255による通知の実行を拒否した場合(ステップS217のYESルート)、送受信手段255により、ネットワーク90を介して第3連絡先への通知が強制的に実行される(ステップS218)。つまり、利用者が自己判断で警告を停止・解除しても異状が繰り返し検知される場合には、利用者はかなり危険な状態にあるものと判断され、第3連絡先としての友人や近親者(連絡先端末40)に対して体調異状の通知が強制的に行なわれる。その際、管理者端末30や主治医端末50にも体調異状の通知を行なう。
一方、送受信手段255により管理サーバ60から第二位置の要求を受けると(ステップS201のNOルートからステップS219のYESルート)、GPS位置検出部20GSに対し現在位置(体調管理用携帯端末装置20の所在位置)の検出要求を行ない(ステップS220)、GPS位置検出部20GSによって検出された現在位置が、送受信手段255により第二位置として管理サーバ60に対し通知され(ステップS221)、ステップS201の処理に戻る。
送受信手段255より管理サーバ60から生体センサ20BSの検出動作状態の要求を受けると(ステップS219のNOルートからステップS222のYESルート)、制御手段256の動作状態検出手段としての機能により、生体センサ20BSが利用者から生体データ値の検出する動作を現在行なっているか否か(つまり、体調管理用携帯端末装置20が利用者の身体に実際に装着されその利用者から生体データ値を検出している状態にあるか否か)が、動作状態として検出され(ステップS223)、その検出結果が、送受信手段255により管理サーバ60に対し通知され(ステップS224)、ステップS201の処理に戻る。
また、送受信手段255より管理サーバ60から、生体センサ20BSの検出動作の中断前後における生体データ値の要求を受けると(ステップS222のNOルートからステップS225のYESルート)、生体センサ20BSによる検出動作の中断前後にメモリ20Mに蓄積された所定期間(例えば1時間)に亘る生体データ値が読み出され(ステップS226)、読み出された生体データ値が、送受信手段255によりネットワーク90を介して管理サーバ60に通知され(ステップS227)、ステップS201の処理に戻
る。
さらに、送受信手段255より、エラー通知や警告通知を含む警告動作要求を受けると(ステップS225のNOルートからステップS228のYESルート)、その通知の内容に応じて制御手段256により警告手段254が制御され、この警告手段254によって、利用者に対する警告動作が実行され(ステップS229)、ステップS201の処理に戻る。具体的には、本体調管理用携帯端末装置20におけるブザー等が鳴動されたり、LEDランプ等が点滅されたりする。なお、本体調管理用携帯端末装置20にディスプレイ等の表示機能があれば、携帯電話装置10の場合と同様に、エラー通知や警告通知の内容をそのディスプレイ上に表示する。また、ステップS228において警告動作要求を受けていないと判定された場合(NOルート)、ステップS201の処理に戻る。
〔2−6〕体調管理サーバの動作:
図14および図15は、いずれも本実施形態の体調管理サーバ80の動作(閲覧サービス)を説明するためのフローチャート(ステップS151〜S153,S161〜S165)であり、まず、図14に示すように、体調管理サーバ80では、体調管理用携帯端末装置20からの生体データ値,気象データおよび所在位置を定期的に受信すると(ステップS151のYESルート)、これらの生体データ,気象データおよび位置データが蓄積されるとともに(ステップS152)、生体データ,気象データおよび位置データが、検出時刻に対応付けながらグラフに加工されたり地図上に反映され、オリジナルデータとともに保存される(ステップS153)。
そして、図15に示すように、体調管理サーバ80では、契約者(体調管理サーバ80のサービスを受けるべく予め契約・登録を行なっている者)の端末から、データの閲覧要求があった場合(ステップS161のYESルート)、その契約者の端末に対し、契約・登録時に設定・発行された認証情報(ID番号およびパスワード)を要求し、認証情報を受けると、その認証情報と、体調管理サーバ80側で予め保存されている契約・登録時の認証情報とを比較・照合することにより本人認証を行ない(ステップS162)、本人認証がなされた場合(ステップS163のYESルート)、サービス提供を望む契約者に対して、蓄積されたデータや加工されたグラフや地図の閲覧サービス(公開サービス)を提供する(ステップS164)。一方、本人認証がなされなかった場合(ステップS163のNOルート)、契約者の端末に対しエラー通知が行なわれる(ステップS165)。
このような体調管理サーバ80をそなえ、この体調管理サーバ80によって提供されるサービスを利用することで、利用者の体調異状を通知する際に異状発生時の生体データ値,気象データおよび所在位置を同時に通知しなくても、体調異状の通知を受けた管理者,主治医,連絡先は、予め体調管理サーバ80と契約していれば、体調異状を生じた利用者についての生体データ値,気象データおよび所在位置を、体調管理サーバ80にアクセスして把握することが可能になる。
なお、体調管理サーバ80には、体調管理用携帯端末装置20から、生体データ値,気象データおよび所在位置が所定周期で送信されてくるので(図13のステップS202参照)、その生体データ値を利用することにより、上記動作状態検出手段としての機能(上述した実施形態では体調管理用携帯端末装置20の制御手段256にそなえられた機能)を体調管理サーバ80で実現することも可能である。そこで、体調管理サーバ80において、体調管理用携帯端末装置20からの生体データ値に基づいて、体調管理用携帯端末装置20の生体センサ20BSが利用者から生体データ値の検出する動作を行なっているか否か、つまり、体調管理用携帯端末装置20が利用者の身体に実際に装着されその利用者から生体データ値を検出している状態にあるか否かを、動作状態として検出し、その検出結果を用い図8に示すフローチャートに従って体調管理サーバ80が上記生体センサ検出
動作チェック機能を果たすように構成してもよい。
〔3〕本実施形態の携帯情報端末装置管理システムの効果:
このように、本発明の一実施形態としての携帯情報端末装置管理システム1によれば、携帯情報端末装置(携帯電話装置10)の第一通知手段によって通知された第一位置と、生体データ検出端末装置(体調管理用携帯端末装置20)の第二通知手段によって通知された第二位置との間の距離が所定範囲を超えた場合、あるいは、前記第一位置もしくは前記第二位置のいずれか一方が確認できない場合、管理サーバは、携帯情報端末装置内のデータを保護状態にする命令を携帯情報端末装置に与える。
つまり、利用者によって携帯されるべき生体データ検出端末装置と、利用者によって利用されるべき携帯情報端末装置との現在位置間の距離が所定範囲内にある場合、言い換えれば2種類の装置を正当な利用者本人が所持し利用しているものと判断可能な状況である場合にのみ、携帯情報端末装置を使用し続けることができる。
従って、正当な利用者が携帯情報端末装置から離れれば、携帯情報端末装置は管理サーバからの命令によってデータが保護状態にされて記憶されているデータが見えない状態になる。すなわち、急な電話、トイレ休憩、急な呼び出し、などの場合にも、特別な操作をすることなく、携帯情報端末装置に記憶されているデータが見えない状態になる。
一方、携帯情報端末装置を紛失したり盗難されたりしても、生体データ検出端末装置を所持していなければ、携帯情報端末装置のデータは保護状態にされた状態であり、記憶されているデータが見えない状態になる。
同様に、生体データ検出端末装置を紛失したり盗難されたりしても、生体データ検出端末装置は正当な利用者の生体データ値によって正当な利用者本人か否かの確認を行うため、正当な利用者本人以外に対しては、携帯情報端末装置のデータは保護状態にされた状態であり、記憶されているデータが見えない状態になる。
すなわち、生体データ検出端末装置か携帯情報端末装置の一方、あるいは、両方を紛失したり盗難されたりしても、正当な利用者本人が身につけた状態の生体データ検出端末装置が存在しなければ、携帯情報端末装置のデータが保護状態にされた状態になるため、悪意のある第三者による不正利用や閲覧や情報流出をより確実に防止することができ、十分なセキュリティが確保され、利用者の被る損害を最小限に抑えることができるのである。
そして、腕時計や体調管理用携帯端末装置などのように利用者の身体に常時装着される装置に生体データ検出端末装置としての機能をそなえることで、本発明のシステムはより有効に機能し、十分なセキュリティの確保に寄与することになる。
また、体調管理などのために常時あるいは連続的に一定時間取得されている生体データ値を用いるため、生体認証のための専用のスキャン操作などが不要になる利点がある。また、さらに、体調管理のために常時あるいは連続的に一定時間取得されている生体データ値を用いるため、生体データ値を盗まれたりしにくく、なりすましに対しても強いという利点がある。
したがって、コンピュータ機器や携帯電話装置などの携帯情報端末装置を使用する際に、その携帯情報端末装置を紛失したり盗難されたりだけでなく、席を離れたような場合など、利用者のもとから離れた場合に速やかに、第三者による不正利用や閲覧をより確実に防止できるようにして、十分なセキュリティを確保し、利用者の被る損害を最小限に抑えることが可能になる。
つまり、本実施形態のシステム1では、利用者によって常時所持・携帯されるべき2種類の装置10,20の現在位置間の距離が所定範囲内にある場合、言い換えれば2種類の装置10,20を同一人物が所持・携帯されているものと判断可能な状況である場合であって、且つ、認証情報により利用者が予め登録された本人であることが認証された場合であって、且つ、利用者が体調管理用携帯端末装置20を身体に装着している状態でなければ、所定携帯電話装置10のデータは保護状態にされない。
従って、万一、携帯電話装置10を紛失したり盗難されたりしても、体調管理用携帯端末装置20を所持していなければ、悪意のある第三者による不正利用や閲覧や情報流出をより確実に防止することができ、十分なセキュリティが確保され、利用者の被る損害を最小限に抑えることができるのである。体調管理用携帯端末装置20のように利用者の身体に常時装着される装置にとしての機能をそなえることで、本実施形態のシステム1はより有効に機能し、十分なセキュリティの確保に寄与することになる。
このとき、前記距離が所定時間以上に亘って前記所定範囲外である場合、システム管理者や利用者に対し警告通知を行なうことにより、携帯電話装置10の置き忘れや盗難を確実に防止したり、携帯電話装置10の置き忘れや盗難に対する対処(各種サービスの提供停止など)を直ちに実行したりすることが可能になる。
その際、利用者が体調管理用携帯端末装置20を身体から取り外したりして生体センサ20BSによる検出動作の中断および再開が生じたような場合、統計値算出手段65により生体データ値の中断前統計値および再開後統計値を算出し、これらの統計値が同一利用者の生体データ値の統計値であれば携帯電話装置10のデータを保護状態にせず、同一利用者の生体データ値の統計値でなければ携帯情報端末装置内のデータを保護状態にすることで、生体センサ20BSによる検出動作の中断前後の利用者が同一人物であるか否かを生体データ値に基づいて統計的に判断することができるので、明らかに異なる人物である場合には携帯情報端末装置内のデータを保護状態にすることができ、不正利用や閲覧や情報流出をより確実に防止することができ、十分なセキュリティが確保されることになる。
この場合、生体データ値の検出動作が中断してから再開後統計値に基づく判断が確定するまで携帯情報端末装置内のデータを保護状態にすることで、検出動作の中断後から判断確定までの間隙をついての不正利用や情報流出が確実に防止され、十分なセキュリティが確保される。
さらに、管理サーバ60からの第一位置,第二位置および動作状態の要求に対し応答が無かった場合や、生体センサ20BSの中断前後の利用者が同一人物ではないと判断された場合や、携帯電話装置10と体調管理用携帯端末装置20との距離が所定範囲外である場合には、利用者やシステム管理者に対し警告手段64,74による警告がなされるので、携帯電話装置10や体調管理用携帯端末装置20において何らかの異状や不正利用の可能性が生じている状況に確実に対処することができ、不正利用や情報流出が確実に防止され、十分なセキュリティが確保される。
なお、以上の保護状態として、携帯情報端末装置のデータの消去、あるいは、携帯情報端末装置のデータの他の装置への移動であれば、携帯電話装置10内にデータが残らないため、確実に保護することができる。
また、以上の保護状態として、携帯情報端末装置のデータの他の装置への移動、データに対する不可視属性の設定、あるいは、パスワードの設定であれば、所定の手続により、携帯電話装置10内にデータを復旧させることが可能であり、不正利用や情報流出を防止
しつつ、利用者の作業効率の低下も生じない。
また、以上の保護状態として、携帯情報端末装置のデータの他の装置への移動であれば、たとえば、それまでの携帯電話装置10を紛失したり水没させて新たな携帯電話装置10’を契約した場合に、利用者や新たな携帯電話装置10’の認証や証明の手続を経た後であれば、その新たな携帯電話装置10’に対して、他の装置へ移動させておいたデータを戻すことが可能であり、不正利用や情報流出を防止しつつ、利用者の作業効率の低下も生じない。
なお、携帯電話装置10内のデータを、自分のコンピュータに移動させるように設定しておいた場合には、利用者本人が自分のコンピュータを操作して携帯電話装置10にデータを戻すようにしてもよい。
一方、体調管理用携帯端末装置20において、利用者の体調を管理するための生体データ閾値を、閾値テーブル20Tにおいて気象条件毎に予め設定しておき、気象センサ20WSによって検出された気象データ(例えば気温,水温,湿度,気圧,水圧)に対応する気象条件について設定された生体データ閾値を閾値テーブル20Tから検索して読み出し、読み出された生体データ閾値と生体センサ20BSによって検出された生体データ値(例えば体温,血圧,心拍数,呼吸数)とを比較した結果、利用者の体調異状を検知した場合に、利用者に対して体調異状の警告(例えば、ブザー等の鳴動動作,LEDランプ等の点滅動作,携帯電話装置の呼び出し動作による警告)が発せられたり、利用者の体調異状が所定の連絡先へ通知(例えば電話や電子メールによって自動通知)されたりする。
これにより、利用者の所在雰囲気中の気象データに応じた生体データ閾値を基準にして利用者の体調を管理・判断することができるので、利用者の所在雰囲気中の気象データを考慮した適切な管理・判断が可能になり、さらに、その判断結果に応じて利用者本人に対する警告や、管理者などへの体調異状の通知を適切に行なえ、利用者の自己判断に頼ることなく、利用者の体調に応じた適切な対処・対応を直ちに実行することができる。
このとき、利用者に対する体調異状の警告を行なった場合に、その警告動作を停止させる操作が利用者によって所定時間以上実行されなければ、利用者が意識を無くしている等のかなり危険な状態であると判断され、利用者の体調異状の通知が直ちに実行されるので、迅速な対応をとることができる。その際、第一連絡先としての消防等に通知を行なうことで、救急車等の緊急車両の手配を直ちに行なうことができるほか、生体センサ20BSによって検出されている生体データ値を同時に通知することで、生体データ値に応じた適切な処置をより迅速に行なえるようになる。さらに、GPS位置検出部20GSによって利用者の所在位置を同時に通知することで、利用者の所在位置を直ちに確認することができ、利用者が所在する場所に、緊急車両等を直ちに向かわせることができ、迅速な初動対応を実現することができる。
また、警告動作を停止させる操作が利用者によって所定時間内に実行された場合、体調異状の通知を実行するか否かについて利用者に問い合せ、利用者の回答に応じて体調異状の通知を実行することにより、利用者に注意を喚起した上で、利用者自身の判断を仰いでから体調異状の通知が行なわれるので、むやみやたらに自動通知が行なわれないようにすることができる。そして、利用者が望めば通知が行なわれ、その際、通知として主治医への電話発呼を行なうことにより、利用者は、主治医に適切な処置の指示を仰ぐことができるほか、生体センサ20BSによって検出されている生体データ値を同時に通知することで、主治医は、適切な判断や、適切な処置の指示を行なうことができる。
上記問合せに対し利用者が所定回数連続して体調異状通知の実行を拒否した場合、つま
り利用者が自己判断で警告を停止・解除しても異状が繰り返し検知される場合には、利用者はかなり危険な状態にあるものと判断し、体調異状の通知が強制的に行なわれ、迅速な対応をとることができるようになる。その際には、例えば、友人や、親族,配偶者などの近親者に対する通知を行なうほか、GPS位置検出部20GSによって利用者の所在位置を同時に通知することで、利用者の所在位置を直ちに確認することができ、利用者が所在する場所に友人や近親者が直ちに向かうことができる。
〔4〕その他:
なお、本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
たとえば、利用者本人が了承したうえで携帯電話装置10を家族や知人に貸し出す場合などは、所定の操作による動作モード設定により、携帯電話装置10側あるいは管理サーバ60側で、上述したデータ保護を実行しないようにすることが可能である。同様に、携帯電話装置10を買い換える場合などに、古い装置から新しい装置にデータを移行する操作を、利用者本人が了承したうえで店員が実行する場合にも、知人に貸し出す場合と同様にして、所定の操作による動作モード設定により、上述したデータ保護を行わないようにすることが可能である。但し、この動作モード設定を悪用されないように、利用者本人による確認や照合の手続を必要とすることが望ましい。
また、例えば、上述した実施形態では、管理サーバ60側で携帯電話装置10内のデータの保護状態化を決定するようにしていたが、携帯電話装置10側で第一位置と第二位置とのチェックを行ってデータの保護状態化を決定するようにしてもよい。また、保護状態の解除についても同様に、携帯電話装置10側で決定することが可能である。
例えば、上述した実施形態では、携帯情報端末装置が携帯電話装置10である場合について説明したが、本発明は、これに限定されるものではなく、携帯端末装置は、例えばPDA,コンピュータなどであってもよいし、第二位置検出手段としてのGPS位置検出部20GSおよび送受信手段(第二通知手段)255としての機能を有する装置は、利用者の身体の一部に常時装着され所持・携帯されうる装置、例えば腕時計などにそなえられていてもよい。いずれの場合も、上述した実施形態と同様の作用効果を得ることができる。
ところで、上述した体調管理用携帯端末装置20における閾値設定手段251,閾値読出手段252,比較手段253,警告手段254,送受信手段255,制御手段256および問合せ手段257としての機能(各手段の全部もしくは一部の機能)は、コンピュータ(CPU,情報処理装置,各種端末を含む)が所定のアプリケーションプログラムを実行することによって実現される。また、上述した管理サーバ60における制御手段61,管理手段62,認証手段63,警告手段64,統計値算出手段65および統計値判断手段66としての機能(各手段の全部もしくは一部の機能)も、コンピュータ(CPU,情報処理装置,各種端末を含む)が所定のアプリケーションプログラムを実行することによって実現される。
これらのアプリケーションプログラムは、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど)等のコンピュータ読取可能な記録媒体に記録された形態で提供される。この場合、コンピュータはその記録媒体から上記アプリケーションプログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。また、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信回線を介してコンピュータに提供するようにしてもよい。
ここで、コンピュータとは、ハードウエアとOS(オペレーティングシステム)とを含む概念であり、OSの制御の下で動作するハードウエアを意味している。また、OSが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンピュータに相当する。ハードウエアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたコンピュータプログラムを読み取るための手段とをそなえている。上記アプリケーションプログラムは、上述のようなコンピュータに、上記の各種手段251〜257,61〜66,71〜74としての機能を実現させるプログラムコードを含んでいる。また、その機能の一部は、アプリケーションプログラムではなくOSによって実現されてもよい。
さらに、本実施形態における記録媒体としては、上述したフレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスクのほか、ICカード,ROMカートリッジ,磁気テープ,パンチカード,コンピュータの内部記憶装置(RAMやROMなどのメモリ),外部記憶装置等や、バーコードなどの符号が印刷された印刷物等の、コンピュータ読取可能な種々の媒体を利用することもできる。
以下に記載する付記も、本発明の実施形態の一態様である。
〔付記1〕
利用者により利用される携帯情報端末装置の動作状態を管理する管理サーバと、前記利用者によって利用され、第一位置を検出する第一位置検出手段、該第一位置検出手段によって検出された前記第一位置を前記管理サーバに通知する第一通知手段、前記管理サーバにアクセスするアクセス手段、データを記憶する記憶手段、および制御を行う制御手段とを有する携帯情報端末装置と、第二位置を検出する第二位置検出手段、前記利用者の生体データ値を検出する生体センサ、前記生体センサにより検出された利用者の生体データ値により該利用者本人であることを確認し、該第二位置検出手段によって検出された前記第二位置を前記管理サーバに通知する第二通知手段、を有する生体データ検出端末装置とをそなえ、
前記管理サーバは、前記携帯情報端末装置の前記第一通知手段によって通知された前記第一位置と前記生体データ検出端末装置の前記第二通知手段によって通知された前記第二位置との間の距離が所定範囲を超えた場合、あるいは、前記第一位置もしくは前記第二位置のいずれか一方が確認できない場合、前記携帯情報端末装置内のデータを保護状態にする命令を前記携帯情報端末装置に与える、ことを特徴とする携帯情報端末装置管理。
〔付記2〕
前記携帯情報端末装置と前記生体データ検出端末装置とは、現在位置を前記管理手段に通知する手段を備え、
前記管理手段は、
前記検出動作の中断前に前記生体センサによって検出された前記生体データ値の統計値を中断前統計値として算出するとともに前記検出動作の再開後に前記生体センサによって検出された前記生体データ値の統計値を再開後統計値として算出する統計値算出手段と、
該統計値算出手段によって算出された前記の中断前統計値と再開後統計値とを比較し、これらの統計値が同一利用者の生体データ値の統計値であるか否かを判断する統計値判断手段とをさらにそなえ、
前記携帯情報端末装置と前記生体データ検出端末装置との間の距離が前記所定範囲内である場合であって、且つ、前記統計値判断手段によって前記の中断前統計値および再開後統計値が同一利用者の生体データ値の統計値であると判断された場合、携帯情報端末装置のデータの保護状態を解除する、
ことを特徴とする付記1に記載の携帯情報端末装置管理システム。
〔付記3〕
前記管理手段が、
前記検出動作の再開後に該統計値算出手段によって前記再開後統計値が算出され前記統計値判断手段による判断結果が得られるまで、携帯情報端末装置内のデータを保護状態にする、
ことを特徴とする付記2記載の携帯情報端末装置管理システム。
〔付記4〕
前記管理手段が、
前記統計値判断手段によって前記の中断前統計値および再開後統計値が同一利用者の生体データ値の統計値ではないと判断された場合、前記サービス提供手段による前記携帯情報端末装置のデータの保護状態を継続する、
ことを特徴とする付記3記載の携帯情報端末装置管理システム。