JP2021190748A - 証拠保全システム及び証拠保全方法 - Google Patents

証拠保全システム及び証拠保全方法 Download PDF

Info

Publication number
JP2021190748A
JP2021190748A JP2020091847A JP2020091847A JP2021190748A JP 2021190748 A JP2021190748 A JP 2021190748A JP 2020091847 A JP2020091847 A JP 2020091847A JP 2020091847 A JP2020091847 A JP 2020091847A JP 2021190748 A JP2021190748 A JP 2021190748A
Authority
JP
Japan
Prior art keywords
data
user
public key
terminal
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020091847A
Other languages
English (en)
Other versions
JP7408486B2 (ja
Inventor
穂奈美 山本
Honami Yamamoto
康介 安細
Kosuke Yasuhoso
茜 鈴木
Akane Suzuki
陽介 加賀
Yosuke Kaga
憲人 池田
Norito Ikeda
武行 真弓
Takeyuki Mayumi
晴 兪
Qing Yu
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2020091847A priority Critical patent/JP7408486B2/ja
Publication of JP2021190748A publication Critical patent/JP2021190748A/ja
Application granted granted Critical
Publication of JP7408486B2 publication Critical patent/JP7408486B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Abstract

【課題】個人情報を保護しつつ、重要事項説明の証拠として成立するデータを生成する。【解決手段】本発明の好ましい一側面は、ネットワークを介して通信を行う第1の端末と第2の端末との間のテレビ会議の記録データを処理する証拠保全システムである。このシステムは、本人確認部を利用可能な処理部を備える。前記処理部は、前記本人確認部に、前記第1の端末で取得される、第1のユーザ自身の画像データと該第1のユーザの画像付き証明書とを照合させる。前記処理部は、前記第1のユーザの画像の照合が成功した場合に、前記第1のユーザの第1の秘密鍵、第1の公開鍵、第1の自己署名証明書、および、前記第1のユーザ自身の画像データから前記第1の秘密鍵を復元するための第1の情報を生成する。【選択図】 図6A

Description

本発明は、電子署名を生成・検証することによって成り立つ、証拠保全システムに関するものである。
保険商品等の金融商品取引時や、不動産の売買・賃貸契約時には、業務資格を保持する者が契約者本人に対して、重要事項の説明を実施することが義務づけられている。その際、誰が(資格を持っている人か)、誰に(契約者本人であるか)、重要事項の説明を行い、同意を得たかという証拠を残すことが必要となる。
この重要事項の説明をインターネットワーク等の通信ネットワークを介して非対面で実施する際には、本人であることを確認するために身分証明書や、資格証明書等の提示が求められている。また、証拠として、実施中の映像を保存することが推奨されている。
しかし、保存された動画等のデータには、本人の顔や声や、本人確認時の情報等が含まれ、悪用を防ぐために、個人情報として厳重に管理しなくてはならない。
そこで、個人情報を含んだデータ管理手法として、個人情報保護の対象となるデータを抽出・加工したうえで保存することが考えられる。例えば、特許文献1では、個人情報が含まれているデータと、個人情報保護の加工がされたデータとの組データを用いた電子署名を生成し、加工後データに署名することで、元データとの紐づけを保証して管理できるとする方法が開示されている。
WO2018/207424
ネットワークを介した重要事項説明において、証拠として実施中の動画の保存が求められるが、実施中の個人情報まで保存されることとなる。個人情報を含んだデータの管理手法としては、特許文献1に記載のように、個人情報保護のために対象データを加工して管理するものがあるが、加工後データだけでは、誰の個人情報を保護したのかを明らかにできず、証拠として用いることはできない。
そこで、本発明は、個人情報を保護しつつ、重要事項説明の証拠として成立するデータを生成することを目的とする。
本発明の好ましい一側面は、ネットワークを介して通信を行う第1の端末と第2の端末との間のテレビ会議の記録データを処理する証拠保全システムである。このシステムは、本人確認部を利用可能な処理部を備える。前記処理部は、前記本人確認部に、前記第1の端末で取得される、第1のユーザ自身の画像データと該第1のユーザの画像付き証明書とを照合させる。前記処理部は、前記第1のユーザの画像の照合が成功した場合に、前記第1のユーザの第1の秘密鍵、第1の公開鍵、第1の自己署名証明書、および、前記第1のユーザ自身の画像データから前記第1の秘密鍵を復元するための第1の情報を生成する。
本発明の好ましい一側面は、ネットワークを介して通信を行う第1の端末と第2の端末との間のテレビ会議の記録データを処理する証拠保全システムで実行される、証拠保全方法である。この方法では、前記証拠保全システムが本人確認部に、前記テレビ会議中に、前記第1の端末で取得される、第1のユーザ自身の画像データと該第1のユーザの画像付き証明書とを照合させる第1の工程、前記証拠保全システムの処理部が、前記第1のユーザの画像の照合が成功した場合に、前記第1のユーザの第1の秘密鍵と第1の公開鍵を生成する第2の工程、前記処理部が、前記第2の端末からの要求に応じて、第2のユーザの公開鍵証明書を発行する第3の工程、前記証拠保全システムが加工部に、前記テレビ会議の記録データから、前記第1のユーザを特定する情報を削除または隠蔽して第1の加工データを生成させる第4の工程、前記処理部が、前記第1の加工データに対して、前記第1の秘密鍵を用いて電子署名を実行する第5の工程、を実行する。
本発明によれば、個人情報を保護しつつ、重要事項説明の証拠として成立するデータを生成することができる。上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
本発明の第1実施形態に係るハードウェアの全体システム構成を示す図である。 本発明の第1実施形態に係るユーザ端末の機能ブロック図である。 本発明の第1実施形態に係るユーザ端末のディスプレイでの表示例を示す図である。 本発明の第1実施形態に係る業者端末の機能ブロック図である。 本発明の第1実施形態に係る業者端末のディスプレイでの表示例を示す図である。 本発明の第1実施形態に係る社内サーバの機能ブロック図である。 本発明の第1実施形態に係る署名付与システムでのデータ加工例を示す図である。 本発明の第1実施形態に係る署名付与システムでのデータ加工例を示す図である。 本発明の第1実施形態に係る社内監査サーバの機能ブロック図である。 本発明の第1実施形態に係る社内監査サーバの記憶部のデータ構造図である。 本発明の第1実施形態に係る証拠保全システムのメイン処理を示すシーケンス図である。 本発明の第1実施形態に係る業者端末のディスプレイでの表示遷移例を示す図である。 本発明の第1実施形態に係る相互本人確認処理を示すシーケンス図である。 本発明の第1実施形態に係る相互本人確認処理での本人確認の検証処理を示すフローチャートである。 本発明の第1実施形態に係る相互公開鍵証明書の発行処理を示すシーケンス図である。 電子署名方法を示す図である。 本発明の第1実施形態に係る監査システムのメイン処理を示すシーケンス図である。
実施の形態について、図面を用いて詳細に説明する。ただし、本発明は以下に示す実施の形態の記載内容に限定して解釈されるものではない。本発明の思想ないし趣旨から逸脱しない範囲で、その具体的構成を変更し得ることは当業者であれば容易に理解される。
以下に説明する発明の構成において、同一部分又は同様な機能を有する部分には同一の符号を異なる図面間で共通して用い、重複する説明は省略することがある。
同一あるいは同様な機能を有する要素が複数ある場合には、同一の符号に異なる添字を付して説明する場合がある。ただし、複数の要素を区別する必要がない場合には、添字を省略して説明する場合がある。
本明細書等における「第1」、「第2」、「第3」などの表記は、構成要素を識別するために付するものであり、必ずしも、数、順序、もしくはその内容を限定するものではない。また、構成要素の識別のための番号は文脈毎に用いられ、一つの文脈で用いた番号が、他の文脈で必ずしも同一の構成を示すとは限らない。また、ある番号で識別された構成要素が、他の番号で識別された構成要素の機能を兼ねることを妨げるものではない。
図面等において示す各構成の位置、大きさ、形状、範囲などは、発明の理解を容易にするため、実際の位置、大きさ、形状、範囲などを表していない場合がある。このため、本発明は、必ずしも、図面等に開示された位置、大きさ、形状、範囲などに限定されない。
本明細書で引用した刊行物、特許および特許出願は、そのまま本明細書の説明の一部を構成する。
本明細書において単数形で表される構成要素は、特段文脈で明らかに示されない限り、複数形を含むものとする。
本実施例は、重要事項説明実施中に自身の秘密鍵を生成し、重要事項説明実施の相手方と、個人情報が隠されたデータとに署名することによって、個人情報を保護しつつ、重要事項説明の証拠として成立する証拠保全システムを提供する。そのため、署名を重要事項説明の実施中と、説明実施終了後の二回にわたって行い、これを順番に検証していくものである。
一回目の署名は、重要事項の説明の前に行われる本人確認終了後に、相手の公開鍵証明書を発行する際に行う。説明をする側は、説明をされる側の公開鍵証明書を、また説明される側は、説明する側の公開鍵証明書を、自身の秘密鍵を用いて発行・署名をする。署名するための鍵は、公知の技術である公開型生体認証基盤(Public Biometric Infrastructure、以下、PBIと呼ぶ)を用いて、重要事項説明の実施中に自身の生体情報(顔等)をもとに作成する。二回目の署名は、重要事項説明の実施終了後に、実施中の動画において自身の個人情報が隠された加工データに対して行う。
一方で、検証は、二回目の署名から行う。二回目に署名された電子署名を検証することで、誰が加工データに署名したか検証できる。次に、署名者の公開鍵証明書を検証する。その公開鍵証明書には、一回目の署名として付与された電子署名が存在するため、つまりは、一回目の電子署名の検証となる。一回目に署名された電子署名を検証することで、公開鍵証明書の人物と、それを発行した人物(一回目の署名の署名者)とを結び付けることができる。言い換えると、公開鍵証明書の人物は、一回目の署名者と重要事項説明を実施した関係であるということができる。
次に、前記の一回目の署名者が、加工データで隠されていない人物であるかの確認を加工データの目視で行い、前記検証結果と照合し、加工データにおいて隠されている人物が二回目の署名として加工データに署名をした人物であることを証明する。以上より、加工データは、加工データに署名した人の個人情報を保護するために加工されたことが明らかになり、重要事項説明を実施した証拠となりえる。
[ハードウェア全体システムの説明]
図1は、本発明の第1実施形態に係るハードウェアの全体システム構成を示す図である。本システムは、サービス契約前に行われる重要事項説明をネットワーク上のテレビ会議によって実施し、実施内容と、生成された動画に対して署名および検証を行うためのシステムである。ここで、重要事項説明は、契約締結前に契約者(以下、ユーザ)の意思を確認するために実施され、ユーザの本人確認と、業務資格保持者(以下、業者)の本人確認と、業者が行う重要事項の説明の三つの要素を含む。また、テレビ会議とは、狭義にはネットワークを介して、音声を含んだ映像を送受信することを指し、遠隔地の人との対話を実現するシステムであって、2人以上で利用できるものをいう。ただし、本明細書では、単にテレビ会議といった場合には、狭義のテレビ会議のために行う通信の開始から終了に至る一連の処理を指し、音声を含んだ映像の送受信の必要がない認証や署名のための通信を含むものとする。以下、テレビ会議での重要事項説明の実施手順と、録画された動画に署名をし、検証する手順を説明する。
図1に示すように、本システムは、ユーザが利用するユーザ端末1と、ユーザの本人確認に用いる身分証明書6と、業者が利用する業者端末2と、業者の本人確認に用いる資格証明書7と、業者が所属する会社の社内サーバ3と、社内監査サーバ4と、ネットワーク5とから構成される。ユーザ端末1は、ネットワーク5を介して業者端末2に接続される。また、業者端末2と、社内サーバ3と、社内監査サーバ4とがネットワーク5を介して通信可能に接続される。
また、図1には、重要事項説明を実施するうえで必要となる、ユーザの身元を確認するための身分証明書6および業者の業務資格を確認するための資格証明書7を記載している。ここで、身分証明書6とは、券面にユーザの氏名と、住所と、生年月日と、顔画像が記載されているカード(例えば、運転免許証)と定義する。また、資格証明書7は、カード型の券面に業者の氏名と、住所と、生年月日と、顔画像と、資格登録番号が記載されているカード型の紙面(例えば、宅地建物取引士証や賃貸不動産経営管理士証)と定義する。ユーザないしは業者は、図1に示されるシステムにおいて、各端末の外部インターフェースを用いて、テレビ会議中に自身の身分証明書6ないしは資格証明書7(以下、身分証明書と資格証明書を総称して本人確認証明書と呼ぶ。)を提示する。
また、図1では、重要事項説明を実施するうえで必要となる、契約書8と、重要事項説明書9を記載している。契約書8は、契約番号と契約内容が明記されているものを指す。重要事項説明書9は、法律および契約内容に従属して作成され、契約番号と紐づいた重要事項説明書番号が用意される。契約書8と重要事項説明書9は、紙媒体でもよいし電子的なファイルであってもよい。また、ユーザは、契約書8をテレビ会議実施前に、業者より受領していなくてもよい。
[ユーザ端末の機能ブロック図の説明]
図2Aに示すユーザ端末1は、ユーザが利用する端末装置であって、ネットワーク5を介して業者端末2とテレビ会議を行うことができる。ユーザ端末1は、通信部10と、表示部20と、外部インターフェース部30と、処理部40とを備える。
通信部10は、ネットワーク5を介して業者端末2と接続し、上述した機能部と協働し、各種機能を実行する。
通信部10は、データ受信部11と、データ送信部12とを備える。データ受信部11は、ネットワーク5を介して業者端末2より送信されたデータを受信する。具体的には、テレビ会議中の映像と、テレビ会議中に提示された身分証明書6および資格証明書7から社内サーバ3が処理することによって生成された身分証明書6および資格証明書7の画像と、券面に記載されている内容のテキストデータである。データ送信部12は、テレビ会議中の映像と、ユーザの入力データと、署名付きデータとを業者端末2に送信する。
表示部20は、通信部10からのデータをユーザのディスプレイ34を通じて表示する機能を有し、映像表示部21と、受信データ表示部22と、意思表明の表示部23とを備える。映像表示部21では、テレビ会議中の映像を表示する。
図2Bは、ユーザ端末1のディスプレイ34での表示例を示す図である。映像表示部21によってディスプレイ34に表示される表示画面は、自分映像表示部分2001と、相手映像表示部分2002に相当する。受信データ表示部22は、通信部10が受信した身分証明書6ないしは資格証明書7の画像データと、券面記載のテキストデータとを表示する。受信データ表示部22によって表示される表示画面は、受信データの表示部分2003に相当する。また、編集指示要求を受け付けた場合には、テキストデータを編集可能にして、ディスプレイ34に表示させる。ユーザの入力が生じた場合は、入力データを通信部10より業者端末2へと送信する。意思表明の表示部23は、ユーザ端末1のディスプレイ34上に意思表明の表示部分2004にあるような、意思を表明するための文章と、YESボタンで構成される画面を表示する。ユーザによるボタン押下の入力データは通信部10を通じて業者端末2に送信される。
図2Aに戻り、外部インターフェース部30は、カメラ31と、マイク32と、スピーカ33と、ディスプレイ34とを備える。
カメラ31は、ユーザを撮影する機能を有する。また、マイク32とスピーカ33は、テレビ会議中の音声の入出力機能を担う。また、ディスプレイ34は、データの画面表示を行う。
処理部40は、重要事項説明を実行するための各機能を有し、PBI実行部42と、重要事項説明実行部41とを備える。
PBI実行部42は、鍵生成部43と、公開鍵証明書発行部44と、署名付与部45とを備える。鍵生成部43は、図10のフローに基づき、顔画像の撮影中にPBIテンプレートと、秘密鍵と、公開鍵を生成する。公開鍵証明書発行部44は、業者端末2からの依頼に基づき業者の公開鍵証明書を発行する。公開鍵証明書とは、公開鍵と、その所有者(ここでは業者)の同定情報の結びつきを証明する証明書である。通常公開鍵そのもののデータも含まれている。署名付与部45は、図10のフローに基づき、対象物に電子署名を実施する。ここで、対象物とは、業者の公開鍵およびその同定情報と、テレビ会議の録画データを加工することによって生成される、ユーザの個人情報を削除した加工データである。
重要事項説明実行部41は、業者端末2が各種の処理を実行するために、重要事項説明実施プログラムを実行する。
[業者端末の機能ブロック図の説明]
図3Aに示す、業者端末25は、業者が利用する端末装置であって、ネットワーク5を介してユーザ端末1とテレビ会議を行うことができる。また、ネットワーク5を介して社内サーバ3および社内監査サーバ4と接続することができる。業者端末2は、通信部50と、表示部60と、外部インターフェース部70と、処理部80を備える。
通信部50は、ネットワーク5を介してユーザ端末1と、社内サーバ3と、社内監査サーバ4と接続し、上述した機能部と協働し、各種機能を実行する。
通信部50は、データ受信部51と、データ送信部52とを備える。データ受信部51は、ネットワーク5を介してユーザ端末1および社内サーバ3より送信されたデータを受信する。具体的には、ユーザ端末1からは、テレビ会議中の映像と、ユーザ端末から送信された入力データおよび署名付きデータを受信する。また、社内サーバ3からは、社内サーバ3が処理した身分証明書6および資格証明書7の画像と、券面に記載されている内容のテキストデータと、トラブル発生時に行われた契約監査結果とを受信する。データ送信部52は、テレビ会議中の映像と、ユーザの入力データと、署名付きデータと、トラブル発生時の契約監査のための契約番号とを社内サーバ3に送信する。
表示部60は、通信部50からのデータを業者のディスプレイ74を通じて表示する機能を有し、映像表示部61と、受信データ表示部62と、重要事項説明マニュアル表示部63とを備える。映像表示部61では、テレビ会議中の映像を表示する。
図3Bは、業者端末25のディスプレイ74での表示例を示す図である。映像表示部61によって表示される表示画面は、図3Bにおける相手映像表示部分3001と、自分映像表示部分3002に相当する。受信データ表示部62は、通信部50が受信した身分証明書6ないしは資格証明書7の画像データと、券面記載のテキストデータとを表示する。受信データ表示部62によって表示される表示画面は、受信データの表示部分3003に相当する。また、編集指示要求を受け付けた場合には、テキストデータを編集可能にして、ディスプレイに表示させる。業者の入力が生じた場合は、入力データを通信部50より社内サーバ3へと送信する。重要事項説明マニュアル表示部63は、重要事項説明実施プログラムの実行状況に応じた案内を業者端末2のディスプレイ74上に表示する。表示画面は、重要事項説明マニュアル表示部分3004にあるような、重要事項説明の操作手順を示す文章と、業者の意思を表明するための文章と、YESボタンで構成される。業者によるボタン押下の入力データは通信部50を通じて社内サーバ3に送信される。
外部インターフェース部70は、カメラ71と、マイク72と、スピーカ73と、ディスプレイ74とを備える。
カメラ71は、ユーザを撮影する機能を有する。また、マイク72とスピーカ73は、テレビ会議中の音声の入出力機能を担う。また、ディスプレイ74は、データの画面表示を行う。
処理部80は、重要事項説明を実行するための各機能を有し、PBI実行部82と、重要事項説明実行部81とを備える。
PBI実行部82は、鍵生成部83と、公開鍵証明書発行部84と、署名付与部85とを備える。鍵生成部83は、図10のフローに基づき、顔画像の撮影中にPBIテンプレートと、秘密鍵と、公開鍵を生成する。公開鍵証明書発行部84は、ユーザ端末1からの依頼に基づきユーザの公開鍵証明書を発行する。署名付与部85は、図10のフローに基づき、対象物に電子署名を実施する。ここで、対象物とは、ユーザの公開鍵およびその同定情報と、テレビ会議の録画データを加工することによって生成される、業者の個人情報を削除した加工データである。
重要事項説明実行部81は、業者端末2が各種の処理を実行するために、重要事項説明実施プログラムを実行する。
[社内サーバの機能ブロック図の説明]
図4Aに示す社内サーバ3は、ネットワーク5を介して業者端末2と接続し、ユーザ端末1と業者端末2とが実行するテレビ会議において、映像の録画や動画の加工処理と、本人確認を行う装置である。ここで、本人確認とは、提示されたユーザの身分証明書6ないしは、業者の資格証明書7に記載されている基本情報(氏名・住所・生年月日)および顔画像から、ユーザないしは、業者が本人確認証明書の示す人物かどうかを検証することである。社内サーバ3は、制御部90と、本人確認部100とを備える。なお、社内サーバ3の機能は、ユーザ端末1および業者端末2の少なくとも一つが有してもよい。
制御部90は、通信部91と、録画部92と、加工部93とを備える。通信部91は、ネットワーク5を介し、業者端末2と接続する。録画部92は、テレビ会議中の業者端末2のディスプレイ74の表示画面の映像を録画する。加工部93は、録画が終了した動画の特定の部分に加工を施す装置である。ここで、加工を施すとは、個人情報の保護のために、テレビ会議を行っている相手の顔と、声と、提示された本人確認証明書とを隠すような処理をすることを指す。
図4Bは、署名付与システムで、ユーザの映像表示部分4001、ユーザのデータの表示部分4002等のユーザの個人情報を隠すデータ加工後の動画像の、加工データAの表示例を示す図である。グレーで示す領域が隠蔽(または削除)され、業者の映像表示部分4003および重要事項説明マニュアル表示部分4004が示されている。
図4Cは、署名付与システムで、業者の映像表示部分4003、業者のデータの表示部分4005等の業者の個人情報を隠すデータ加工後の動画像の、加工データBの表示例を示す図である。グレーで示す領域が隠蔽(または削除)され、ユーザの映像表示部分4001および重要事項説明マニュアル表示部分4004が示されている。
本人確認部100は、証明書検知部101と、OCR(Optical Character Recognition)部103と、顔画像照合部102とを備える。証明書検知部101は、制御部90(通信部91)が受信した映像から提示された本人確認証明書を検知する。OCR部103は、検知された本人確認証明書の画像から氏名・住所・生年月日・資格登録番号等を読み取り、テキストデータを作成する。顔画像照合部102は、受信した映像と、検知された本人確認証明書の顔画像とで顔認証を行い、二つを照合する。OCR部103と顔画像照合部104が処理することで判断される本人確認の結果は、制御部90(通信部91)を通じて業者端末2に送信される。
[監査サーバの機能ブロック図の説明]
図5Aに示す、社内監査サーバ4は、署名付きの動画および公開鍵証明書を保存し、契約締結後にトラブルが発生した場合には、契約監査の一環として、保存データを検証する役割を担う。社内監査サーバ4は、ネットワーク5を介して業者端末2と接続される。
社内監査サーバ4は、データ受信部110と、記憶部113と、署名検証部111と、監査結果送信部112とを備える。データ受信部110は、ネットワーク5を介して、業者端末2と接続し、署名付きデータと、契約番号と重要事項説明番号を受信する。ここで、署名付きデータとは、ユーザの署名がされた加工動画および業者の公開鍵証明書と、業者の署名がされた加工データおよびユーザの公開鍵証明書である。記憶部113は、受信した署名付きデータと契約番号とを紐づけて保存するための記憶領域である。署名検証部111は、受信した契約番号と紐づく署名付きデータを取得する。また、付与された電子署名が、誰によるものなのか検証する。監査結果送信部112は、電子署名および加工動画を検証して判断された結果を業者端末2へ送信する。なお、社内監査サーバ4の機能は、業者端末2が有してもよい。
図5Bは、記憶部113が記憶する一つの契約番号に対応するデータのデータ構造を示す図である。契約番号1131に対して、重要事項説明番号1132、ユーザの個人情報が隠蔽されたユーザの署名付き加工動画1133、業者の個人情報が隠蔽された業者の署名付き加工動画1134、業者の署名付きユーザの公開鍵証明書1135、ユーザの署名付き業者の公開鍵証明書1136、ユーザの署名付きユーザの公開鍵証明書(ユーザの自己署名証明書)1137、業者の署名付き業者の公開鍵証明書(業者の自己署名証明書)1138、ユーザが作成したユーザのPBIテンプレート1139、業者が作成した業者のPBIテンプレート1140が、対応付けられて格納されている。具体例としては、1つの重要事項説明を行った1つのテレビ会議に対して、図5Bに示すデータが対応付けられて記録される。図5Bに示すように、秘密鍵自体は社内監査サーバ4に格納されない。本人が自己の生体情報とPBIテンプレートを使用することで、はじめて秘密鍵の使用が可能になるため、秘密鍵の漏洩のリスクが小さい。
図2A、図3A、図4A、図5に機能ブロックを示した端末やサーバは、一般的なコンピュータで構成することができる。周知のように、コンピュータは、入力装置、出力装置、処理装置、記憶装置を備える。本実施例では、カメラ、マイク、スピーカ、ディスプレイ等のハードウェア以外の機能の計算や制御等は、記憶装置に格納されたプログラムが処理装置によって実行されることで、定められた処理を他のハードウェアと協働して実現される。計算機などが実行するプログラム、その機能、あるいはその機能を実現する手段を、「機能」、「手段」、「部」、「ユニット」、「モジュール」等と呼ぶ場合がある。各プログラムは、ネットワークからダウンロードするなど周知の方法で、事前に各端末やサーバの記憶装置に格納されているものとする。
以上の構成は、単体のコンピュータで構成してもよいし、あるいは、入力装置、出力装置、処理装置、記憶装置等の任意の部分が、ネットワークで接続された他のコンピュータで構成されてもよい。
本実施例中、ソフトウェアで構成した機能と同等の機能は、FPGA(Field Programmable Gate Array)、ASIC(Application Specific Integrated Circuit)などのハードウェアでも実現できる。
[メイン処理シーケンス図の説明]
図6Aを参照して、本実施形態におけるテレビ会議を用いた証拠保全システムのメイン処理のシーケンスについて説明する。図6Aは、本発明の第1実施形態に係るユーザ端末、業者端末、社内サーバ、社内監査サーバにおける、テレビ会議中の処理を示すシーケンス図である。
図6Bは、業者端末2のディスプレイ74での表示遷移例を示す図である。
まず、テレビ会議を利用した重要事項説明を行うユーザおよび業者は、図6AのステップS100(以下、ステップを省略する。例:S100)において、ユーザ端末1および業者端末2のテレビ会議システムを起動し、テレビ会議を開始する。これにより、ユーザ端末1と業者端末2が接続され、音声含めた映像のやりとりが可能になる。その後、業者端末2の表示部60(重要事項説明マニュアル表示部63)は、重要事項説明を行うための操作に関する案内を重要事項説明実行部81の重要事項説明実施プログラムの実行状況に応じて順次出力する。
まず、重要事項説明マニュアル表示部63は、テレビ会議の録画の開始ボタン(YES)を出力する(図6B画面1参照)。業者が、表示されたボタンを押下することで、S101において、社内サーバ3で録画が開始される。
次に、重要事項説明マニュアル表示部63は、テレビ会議でつながっているユーザと業者の本人確認を実施するために、相互本人確認の開始依頼のボタン(YES)を出力する(図6B画面2参照)。業者が、依頼の承諾ボタン(YES)を押下することで、S102における相互本人確認が開始される。
[相互本人確認シーケンス図の説明]
図7に、相互本人確認S102における業者端末2と社内サーバ3間の処理を示すシーケンスを示す。
図7のS200において、業者端末2の通信部50が、重要事項説明マニュアル表示部63が受け付けたボタン入力従い、社内サーバ3へユーザの本人確認の開始の通知を送信する。
次に、S201において、通知を受けた社内サーバ3は、テレビ会議の映像からユーザの画像を取得する。ユーザの画像は、ユーザ端末1から業者端末2の通信部50により受信されている。ユーザの画像を取得する際に、業者はユーザに本人確認証明書を提示するように求めたり、ディスプレイに指示を表示したりしてもよい。
S202において、本人確認部100が、ユーザの本人確認を行う。
[本人確認フロー図の説明]
ここで、本人確認の検証S202(およびS207)について、図8に基づき説明する。
図8のS300において、本人確認部100(証明書検知部101)は、取得した画像から本人確認証明書を検知可能か否か判断する。検知可能である場合(S301:YES)には、本人確認部100では、処理をS301に移す。他方、検知不可の場合(S301:NO)、本人確認部100は、処理をS306Aに移す。
次に、S301において、顔画像照合部102が、画像処理を行う。ここで、画像処理とは、取得したテレビ会議中の映像画像内の顔画像と、検知された本人確認証明書に記載されている顔画像とで顔認証を行い、二つを照合する処理である。
次に、S302において、照合結果が、一致した場合(S302:YES)は、本人確認部100では、処理をS303に移す。他方、照合結果が一致しない場合(S302:NO)は、本人確認部100は、処理をS306Aに移す。
次に、S303において、OCR部103が、文字認識処理を行い、本人確認証明書に記載されている文字列をテキスト化しテキストデータを作成する。テキストデータは、身分証明書6の場合は、個人を特定するための基本情報等であり、あるいは資格証明書7の場合は、資格登録番号等があり、どちらも各項目名等を含む。
次に、S304において、OCR部103が作成したテキストデータ(OCR結果)の編集指示があったかを判断する。テキストデータが編集された場合(S304:YES)は、本人確認部100は、S305に移る。他方、編集されなかった場合(S304:NO)は、本人確認部100は、S306に移る。ここで、編集する場合としては、文字認識の誤りや、記載事項に変更がある場合を指す。
次に、S305において、OCR部103が、編集された内容に従って、テキストデータを修正する。その際、不正検知のために、OCR部103が、編集前のデータと比較をし、修正量の違いによって修正するか判定してもよい。編集内容は、テレビ会議を通じてユーザと業者双方で確認が可能である。
次に、S306において、本人確認部100が、本人確認の結果を成功とする。その後、本処理を終了し、処理を図7のS203に移す。
他方、S306Aにおいて、本人確認部100が、本人確認の結果を失敗とする。その後、本処理を終了し、処理を図7のS203に移す。
[相互本人確認シーケンス図の説明]
図7に戻り、S203において、制御部90(通信部91)は、ユーザの本人確認の結果を業者端末2に送信する。
次に、S204において、重要事項説明マニュアル表示部63が、ユーザの本人確認の結果が成功の場合(S204:YES)、ユーザの本人確認が終了したことを業者端末2のディスプレイ74に出力する。他方、結果が失敗の場合(S204:NO)、処理をS211に移す。
次に、S205において、重要事項説明マニュアル表示部63が、社内サーバ3へ業者の本人確認の開始を表示し、データ送信部52が、通知を社内サーバ3へと送信する。次に、S206において、通知を受けた社内サーバ3は、テレビ会議の映像から業者の画像を取得する。
S207において、本人確認部100が、ユーザのときと同様に業者の本人確認を行う(図8参照)。業者の画像は、業者端末2の外部インターフェース部から取得される。
次に、S208において、通信部91は、業者の本人確認の結果を業者端末2に送信する。
次に、S209において、重要事項説明マニュアル表示部63が、業者の本人確認の結果が成功の場合(S209:YES)、業者の本人確認が終了したことを業者端末2のディスプレイ74に出力する。他方、結果が失敗の場合(S209:NO)、処理をS211に移す。
次に、S210において、重要事項説明マニュアル表示部63が、ユーザと業者の相互の本人確認が終了したことを業者端末2のディスプレイ74に出力する。その後、業者端末2および社内サーバ3は、本処理を終了し、処理を図6Aに移す。
[メイン処理シーケンス図の説明(つづき)]
図6Aに戻り、重要事項説明マニュアル表示部63が、相互公開鍵証明書の発行のための画面を出力する。業者が、画面上のボタンを押下することでS103における相互公開鍵証明書の発行が開始される。
[相互公開鍵証明書の発行シーケンス図の説明]
ここで、相互公開鍵証明書の発行S103について、図9を用いて説明する。図9は、ユーザ端末1と、業者端末2と、社内監査サーバ4における相互公開鍵証明書の発行を示すシーケンス図である。
図9のS400において、重要事項説明マニュアル表示部63が、秘密鍵生成依頼のボタン(YES)を出力する(図6B画面3参照)。業者が、依頼の承諾ボタン(YES)を押下することでS103における相互公開鍵証明書の発行が開始される。
業者端末2の通信部50(データ送信部52)が、鍵生成実行依頼をユーザ端末1に送信する。その後、S401およびS402において、ユーザ端末1のPBI実行部42が、秘密鍵・公開鍵・自己署名証明書(公開鍵をそれに対応する秘密鍵で署名した公開鍵証明書)・PBIテンプレートを図10の鍵生成のフローに基づいて生成する。その後、S403において、ユーザ端末1の通信部10(データ送信部12)が、鍵生成の完了の応答を業者端末2に送信する。
また、S404およびS405において、業者端末2のPBI実行部82が、秘密鍵・公開鍵・自己署名証明書・PBIテンプレートを図10の鍵生成のフローに基づいて生成する。
次に、S406において、業者端末2の通信部50(データ送信部52)が、ユーザ端末1に公開鍵を送信して、業者の公開鍵証明書の発行要求を行う。その際、公開鍵証明書の記載項目として、業者の氏名と、発行者としてのユーザの氏名と、契約番号や重要事項説明番号といった、実行中のテレビ会議と結びつけるための項目を記載するように指示をする。
次に、ユーザ端末1の表示部20(意思表明の表示部23)が、公開鍵証明書の発行の承諾ボタン(YES)を出力する(図6B画面4−2参照)。ユーザが、発行の承諾ボタン(YES)を押下することで、S407において、ユーザ端末1のPBI実行部42(公開鍵証明書発行部44)が業者の公開鍵証明書を発行する。
S407により、ユーザがテレビ会議を通じて会話をしている相手、つまりは、資格を確認した業者の公開鍵証明書をユーザ自身の秘密鍵を用いて発行することとなる。その後、S408において、発行した業者の公開鍵証明書を業者端末2に送信する。業者端末2は、送信された業者の公開鍵証明書と、自身が生成した自己署名証明書とPBIテンプレートを、社内監査サーバ4へ送信する。社内監査サーバ4は、S409において、ユーザの署名付き業者の公開鍵証明書1136と、業者の署名付き業者の公開鍵証明書(自己署名証明書)1138と、業者のPBIテンプレート1140を記憶部113に保存する。なお、PBIテンプレート1140は、業者端末2に保存してもよい。
図10で説明するように、ユーザのPBIテンプレート1139は、鍵生成部43が、カメラ31で取得されたユーザの画像から特徴を抽出して特徴データとし、特徴データを一方向変換して生成する。業者のPBIテンプレート1140は、鍵生成部83が、カメラ71で取得された業者の画像から特徴を抽出して特徴データとし、特徴データを一方向変換して生成する。PBIテンプレートは、ユーザまたは業者の画像の特徴データから、秘密鍵を復元するのに用いる。
次に、S410において、ユーザ端末1の通信部10(データ送信部12)が、業者端末2に公開鍵を送信して、ユーザの公開鍵証明書の発行要求を行う。その際、公開鍵証明書の記載項目として、ユーザの氏名と、発行者としての業者の氏名と、契約番号や重要事項説明番号といった、実行中のテレビ会議と結びつけるための項目を記載するように指示をする。
次に、業者端末2の表示部60(重要事項説明マニュアル表示部63)は、公開鍵証明書の発行の承諾ボタン(YES)を出力する(図6B画面4参照)。業者が、発行の承諾ボタン(YES)を押下することで、次に、S411において、業者端末2のPBI実行部82(公開鍵証明書発行部84)が、ユーザの公開鍵証明を発行する。これにより、業者がテレビ会議を通じて会話をしている相手、つまりは、身元を確認したユーザの公開鍵証明書を業者自身の秘密鍵を用いて発行することになる。
このように、業者(ユーザ)が発行したユーザ(業者)の公開鍵証明書とは、ユーザ(業者)からの発行要求(この公開鍵に対して、ユーザ(業者)の氏名や契約番号の項目などの情報を記載した公開鍵証明書を発行してほしいという要求)を受けて、業者(ユーザ)が、要求事項を満たすようにして、自分の秘密鍵で署名して発行したものである。これは、一般的に認証局が公開鍵証明書を発行する仕組みと同様である。本実施例では、テレビ会議の当事者双方が、互いに認証局の役割を担っていることとなる。
その後、S412において、発行したユーザの公開鍵証明書をユーザ端末1に送信する。ユーザ端末1は、送信されたユーザの公開鍵証明書と、自身が生成した自己署名証明書と、PBIテンプレートを、業者端末2を仲介して社内監査サーバ4へ送信する。社内監査サーバ4は、S413において、業者の署名付きユーザの公開鍵証明書1135と、ユーザの署名付きユーザの公開鍵証明書(自己署名証明書)1137と、ユーザのPBIテンプレート1139を記憶部113に保存する。なお、PBIテンプレート1139は、ユーザ端末1に保存してもよい。
その後、ユーザ端末と、業者端末と、社内監査サーバは、本処理を終了し、処理を図6Aに移す。各公開鍵や各証明書等のデータは、安全な経路で送信されるものとする。
以上のように、本実施例では、テレビ会議中にユーザ及び業者の本人確認を行った後に、それぞれの秘密鍵、公開鍵、自己署名証明書、および、PBIテンプレートを生成するので、テレビ会議の出席者とこれらのデータを紐づけることができる。よってこれを用いて、個人情報を保護しつつ、重要事項説明の証拠を生成するための署名を行うことができる。
[メイン処理シーケンス図の説明(つづき)]
図6Aに戻り、S104において、重要事項の説明を実施する。ここで、説明の仕方に関しては、例えば、業者が重要事項の読み上げを行い、ユーザの理解度を対話によって確認してもよい。また、ユーザのディスプレイ34および業者のディスプレイ74の受信データ表示部22および62に重要事項の項目を順次表示させ、ボタンの押下による理解度の確認を行ってもよい。
次に、重要事項説明マニュアル表示部63は、業者端末2のディスプレイ74に重要事項説明の完了ボタン(YES)を出力する(図6B画面5参照)。業者は、テレビ会議を通じて、ユーザに対して、契約にまつわる重要事項を説明し、S104における説明が終了した後で、完了ボタンを押下する。完了ボタン(YES)の押下によって、S105の重要事項説明の完了通知が取得される。
次に、重要事項説明マニュアル表示部63が、契約番号および重要事項説明番号の入力欄を出力する(図6B画面6参照)。これに、業者が、今回の重要事項説明に該当する契約番号および重要事項説明番号を入力することで、S106において、契約番号および重要事項説明番号が取得され、データ送信部52が社内監査サーバ4へと送信する。
S107において、社内監査サーバ4は、受信した契約番号1131および重要事項説明番号1132を記憶部113へ保存する。保存完了は業者端末に通知される。
次に、重要事項説明マニュアル表示部63が、録画の終了を承諾するボタン(YES)を出力する(図6B画面7参照)。業者がボタンを押下することで、S108において、制御部90(録画部92)が録画を終了する。
続いて、S109において、重要事項説明マニュアル表示部63が、録画動画の加工を依頼するボタン(YES)を出力する(図6B画面8参照)。業者がボタンを押下し、S119において、加工部93が動画の加工を行う。ここで、加工作業には、ユーザの個人情報を保護するために、ユーザの映像(音声を含む)、ユーザの身分証明書6を隠す作業と、業者の個人情報を保護するために、業者の映像(音声を含む)、業者の資格証明書7を隠す作業の二種類がある。よって、ユーザの個人情報を保護するために加工した動画データを加工データAと名付ける。他方、業者の個人情報を保護するために加工した動画データを加工データBと名付ける。
次に、S110において、通信部91が、加工データAと、加工データBとを業者端末2に送信する。
次に、業者端末2(通信部50)が、加工データAと加工データBを受信した後、重要事項説明マニュアル表示部63が、加工データAと加工データBに対する署名を依頼するボタン(YES)を出力する(図14画面9参照)。業者が、依頼の承諾ボタン(YES)を押下することで、加工データAと加工データBに対する署名付与の処理が開始される。
まず、業者端末2の通信部50(データ送信部52)が、加工データAを、ユーザ端末1のデータ受信部11に送信する。
加工データAを受信した後、ユーザ端末1の意思表明の表示部23は、署名の承諾ボタン(YES)を出力する(図6B画面4−2参照)。ユーザが、署名の承諾ボタン(YES)を押下することで、PBI実行部42(署名付与部45)は、S111において、加工データAにユーザの秘密鍵を用いて電子署名を行う。その後、データ送信部が、業者端末2に署名付き加工データAを送信する。
なお、ユーザの秘密鍵を用いて電子署名を行うためには、後に図10で説明するように、外部インターフェース部30のカメラ31が取得したユーザの画像と、ユーザのPBIテンプレート1139から秘密鍵を復元し署名を実行する。
続いて、業者端末2のデータ送信部52が、受信した署名付き加工データAを社内監査サーバ4へ送信する。S112において、記憶部113は受信したユーザの署名付き加工動画(加工データA)1133を保存する。その際、図6AのS107において保存された契約番号1131および重要事項説明番号1132と紐づける。
次に、業者端末2のPBI実行部82は、社内サーバ3に加工データBを要求し、加工データBを取得する(S113)。その後、S114において、加工データBに業者の秘密鍵で電子署名する操作が行われる。
なお、業者の秘密鍵を用いて電子署名を行うためには、後に図10で説明するように、外部インターフェース部70のカメラ71が取得した業者の画像と、業者のPBIテンプレート1140から秘密鍵を復元し署名を実行する。
データ送信部52により、署名付き加工データBは、社内監査サーバ4へと送信される。S115において、記憶部113は、受信した業者の署名付き加工動画(加工データB)1134を保存する。その際、図6AのS107において保存された契約番号1131および重要事項説明番号1132と紐づける。
次に、S112およびS114において署名付き加工データが正常に保存された場合、S116において、データが正常に保存されたことが業者端末2に通知され、テレビ会議が終了となる。加工前のオリジナルの録画データは廃棄される。その後、ユーザ端末1および業者端末2は、本処理を終了し通信を終了する。
[PBI処理フロー図の説明]
図10を参照して、電子署名方法について説明する。図10は、PBIの鍵生成および署名検証の処理フローを示す。
まず、鍵生成は、図10に示されている通り、ユーザ(または業者)から取得した生体情報(顔画像等)から、特徴量が一般的に知られている方法で抽出される。次に、既存の鍵生成アルゴリズム(RSA等)を用いて、公知の公開鍵認証基盤(PKI)に基づく秘密鍵と秘密鍵に対応する公開鍵とが生成される。この秘密鍵及び生体情報から抽出した特徴量を、一方向変換させることでPBIテンプレートが生成され、このPBIテンプレートは認証局である認証サーバ(本実施例の場合、社内監査サーバ4)に保管される。それと同時に、生成された秘密鍵及び公開鍵に基づいて、この公開鍵の有効化を要求する公開鍵証明書発行要求が生成され、公開鍵証明書が認証サーバに保存される。
図10の例では、証明書は認証局(認証サーバ)が発行しているが、本実施例では、公開鍵証明書として、自己の署名による公開鍵証明書(自己署名証明書)と、テレビ会議の相手が発行する公開鍵証明書を使用している。
電子署名時には、ユーザの生体情報と認証サーバに保管されているPBIテンプレートを合わせることで復元した秘密鍵によって電子署名を生成し、署名対象データに対して署名を実行する。
次に、電子署名の検証は、署名付きデータをもとに、有効性が確認された公開鍵証明書に記載されている公開鍵を用いて署名対象データとの一致性を確認することで実行する。[監査シーケンス図の説明]で述べるように、本実施例では、テレビ会議の相手の署名付き公開鍵証明書のデータをもとに、有効性が確認された公開鍵証明書に記載されている公開鍵を用いて、署名対象データとの一致性を確認する。
ここで、PBIテンプレートを用いて、生体署名技術と公開鍵認証基盤を併せた仕組みは公開型生体認証基盤(PBI:Public Biometric Infrastructure)と呼ばれ公知である(例えば特開2013−122680号参照)。
PBIでは、ユーザの生体情報及び秘密鍵を一方向変換させた状態(元に戻らない形)で格納し、登録局(サーバ等)に保管することで、ユーザは国民ID基盤、「手ぶら」の決済サービス、パスワードレスのクラウド認証、フィジカルセキュリティ等における生体認証を個々のサービスへの登録なしで使うことができる。PBIテンプレートは「秘密鍵復元用情報」または「公開テンプレート」と呼ぶこともある。
[監査シーケンス図の説明]
図11を参照して、本実施形態において、業者端末2、社内監査サーバ4における、付与された電子署名を検証する処理を示すシーケンスについて説明する。ここでは、図6Aの手順によって重要事項説明を含むテレビ会議が実施され、契約締結に至ったが、何らかのトラブルが発生し、重要事項説明の実施内容に対して、監査が必要となった場合を想定する。また、監査対象としては、署名付き加工データA(ユーザの個人情報を保護するために加工した動画データ)と設定し、シーケンス図を通じた説明を行うが、加工データBであってもよい。なお、社内監査サーバ4における処理は、業者端末2が実行してもよい。
まず、S500において、業者端末2のデータ送信部52が、トラブルが発生した契約の契約番号を社内監査サーバ4に送信する。
次に、社内監査サーバ4はS501において、受信した契約番号を記憶部113の中で照会する。その後、S502において、契約番号1131と紐づいて保存されていた重要事項説明番号1132と署名付きデータを取得する。ここで、署名付きデータとは、ユーザの署名付き加工動画(加工データA)1133と、業者の署名付きユーザの公開鍵証明書1135と、業者の署名付き業者の公開鍵証明書(自己署名証明書)1138が相当する(図5B参照)。これらのデータを署名検証部111で検証する。
次に、S503において、署名検証部111が、業者の署名付きユーザの公開鍵証明書1135からユーザの公開鍵を取り出し、これを用いてユーザの署名付き加工動画(加工データA)1133の電子署名を検証する。これにより、加工データAが署名されてから、送信や保存、取得されるまでの間に改ざんされていないことが保証される。また、業者の署名付きユーザの公開鍵証明書1135に記載されている項目から、加工データAに署名をした人物を特定することができる(ユーザを隠蔽した加工データAを取り扱う場合は、署名をした人物はユーザとなる)。
続いて、S503において検証した署名の署名者(加工データAを取り扱う場合はユーザ)の公開鍵証明書を検証対象とする。S504において、署名検証部111は、対象となった公開鍵証明書(加工データAを取り扱う場合は、業者の署名付きユーザの公開鍵証明書1135となる)を検証する。公開鍵証明書に記載されている項目から、誰が公開鍵証明書を発行したか確認することができる(加工データAを取り扱う場合は、発行者は業者となる)。
さらに、公開鍵証明書を発行した人物の自己署名証明書から公開鍵を取得する(加工データAを取り扱う場合は、業者の署名付き業者の公開鍵証明書(自己署名証明書)1138から業者の公開鍵を取得する)。続いて、取得した公開鍵を用いて、対象となる公開鍵証明書を検証する(加工データAを取り扱う場合は、業者の署名付きユーザの公開鍵証明書1135の検証となる)。検証結果が可である場合は、対象となる公開鍵証明書が、正常に発行されており、記載されている公開鍵の信頼性を保証できる。
ここで、対象となる公開鍵証明書の発行は、図6AのS109ないしは、S112で行われており、発行時に契約番号や重要事項説明番号といった、実行中のテレビ会議と結びつけるための項目を記載しているため、対象となる公開鍵証明書の対象者は、公開鍵証明書を発行した発行者とテレビ会議中につながっている人物であるということを証明することができる(加工データAを取り扱う場合は、公開鍵証明書に記載されている人物はユーザであり、公開鍵証明書を発行した発行者は業者である)。
その後、加工データAの動画の目視確認を行えば、検証した公開鍵証明書を発行した人物は、加工データAの中で、隠されていないほうの人物(加工データAを取り扱う場合は、業者)であることが確認できる。
以上より、加工データAに署名を行った人物は、加工データAの中で隠されていないほうの人物(加工データAを取り扱う場合は、業者)とテレビ会議中につながっている人物(加工データAを取り扱う場合は、ユーザ)であるということである。言い換えると、加工データAに署名を行った人物は、加工データA内で隠されている人物であると証明することができる。
本実施例では、検証するときには、自分が発行したもの及び連鎖するものしか信用していないことになる。よって、加工データAを検証する際に用いるものは、業者が発行したユーザの証明書と、業者の自己署名証明書(トラストアンカ)となる。
このようにして、個人情報が隠されたデータにおいても、誰の個人情報が隠されているのかを保証することができるため、サービス契約前に重要事項の説明を実施したもしくはされたことの証拠となる。
次に、社内監査サーバ4の監査結果送信部112が、検証結果を、S505において、業者端末2に送信する。
次に、S506において、業者端末2が監査結果を受信し、契約番号に付随する重要事項説明の監査が終了となる。その後、業者端末2と社内監査サーバ4は、本処理を終了する。
[まとめ]
上記のとおり、本発明に係る第1実施形態において、利用者の端末(例えば、ユーザ端末)で、重要事項の説明を実施するためのテレビ会議中にリアルタイムに鍵を作成し、テレビ会議の相手方への署名と、自分の個人情報が加工されている動画への署名との二種類の署名をすることによって、自身の個人情報が隠されつつ、重要事項の説明が実施されたことの証拠となるデータを作ることができる。
また、付与された電子署名の検証を行っていくことで、個人情報が隠されたデータにおいて、元データを確認することなしに、誰の個人情報が隠されているのか確認することができる。
また、従来のPBIでは、公開鍵証明書を発行するにあたっては、第三者機関による事前の本人確認が必要となるが、本発明に係る第1実施形態において、重要事項説明前に行う本人確認の結果を用いて行うことができるため、利用者の事前登録なしにPBIによる署名を実施することができる。
また、個人情報が含まれているデータに対して、個人情報を隠す加工を行うがデータの証拠性が失われない処理を実行するため、証拠性のある個人情報がふくまれていないデータとして管理することができる。
なお、上記各実施形態は、以下の態様に変更してもよい。上記各実施形態では、PBIを活用することで、テレビ会議中に公開鍵証明書を即時発行することを想定したが、PBIに限定されるものではない。ユーザあるいは業者が、任意の認証局から発行済みの公開鍵証明書を保持している場合には、それらの対となる秘密鍵で加工データに電子署名を行う。
1 ユーザ端末
2 業者端末
4 社内監査サーバ
6 身分証明書
7 資格証明書
63 重要事項説明マニュアル表示部
81 重要事項説明実行部
82 PBI実行部
100 本人確認部
111 署名検証部

Claims (15)

  1. ネットワークを介して通信を行う第1の端末と第2の端末との間のテレビ会議の記録データを処理する証拠保全システムであって、
    本人確認部を利用可能な処理部を備え、
    前記処理部は、前記本人確認部に、
    前記第1の端末で取得される、第1のユーザ自身の画像データと該第1のユーザの画像付き証明書とを照合させ、
    前記処理部は、
    前記第1のユーザの画像の照合が成功した場合に、
    前記第1のユーザの第1の秘密鍵、第1の公開鍵、第1の自己署名証明書、および、前記第1のユーザ自身の画像データから前記第1の秘密鍵を復元するための第1の情報を生成する、
    証拠保全システム。
  2. 前記処理部は、前記本人確認部に、
    前記第2の端末で取得される、第2のユーザ自身の画像データと該第2のユーザの画像付き証明書とを照合させ、
    前記処理部は、
    前記第2のユーザの画像の照合が成功した場合に、
    前記第2の端末に、前記第2のユーザの第2の秘密鍵、第2の公開鍵、第2の自己署名証明書、および、前記第2のユーザ自身の画像データから前記第2の秘密鍵を復元するための第2の情報の生成を要求する、
    請求項1記載の証拠保全システム。
  3. 前記処理部は、さらに録画部を利用可能であり、
    前記録画部は、前記テレビ会議中に、
    前記テレビ会議の画像を前記記録データとして録画し、
    前記処理部は、前記テレビ会議中に、
    前記第1の秘密鍵で署名した前記第2の公開鍵の公開鍵証明書の発行を実行する、
    請求項2記載の証拠保全システム。
  4. 前記処理部は、前記テレビ会議中に、
    前記第2の端末に、前記第2の秘密鍵で署名した前記第1の公開鍵の公開鍵証明書の発行を要求する、
    請求項3記載の証拠保全システム。
  5. 前記処理部は、前記テレビ会議中に、
    前記第2の端末から発行の要求を受けた、前記第1の秘密鍵で署名した前記第2の公開鍵の公開鍵証明書を、前記第1の情報で復元した前記第1の秘密鍵で発行する、
    請求項4記載の証拠保全システム。
  6. 前記処理部は、さらに加工部を利用可能であり、
    前記加工部は、
    前記記録データから、前記第1のユーザを特定する情報を削除または隠蔽する加工を行う第1のデータ加工、および、前記記録データから、前記第2のユーザを特定する情報を削除または隠蔽する加工を行う第2のデータ加工、の少なくとも一つを行い、
    前記処理部は、
    前記第1のユーザを特定する情報を削除または隠蔽した第1の加工データに対して、前記第1の情報から復元した前記第1の秘密鍵で電子署名を行い、
    前記第2の端末に、前記第2のユーザを特定する情報を削除または隠蔽した第2の加工データに対して、前記第2の情報から復元した前記第2の秘密鍵で電子署名を行うことを要求する、
    請求項5記載の証拠保全システム。
  7. 前記処理部は、さらに署名検証部を利用可能であり、
    前記署名検証部は、
    前記第1の加工データを検証する第1の検証処理、および、前記第2の加工データを検証する第2の検証処理、の少なくとも一つを行い、
    前記第1の検証処理では、
    前記第1の加工データ、前記第1の加工データに対応付けられている公開鍵証明書および自己署名証明書を読み込み、
    前記第1の加工データの署名を、前記第1の加工データに対応付けられている公開鍵証明書から得た公開鍵で検証し、
    前記第1の加工データに対応付けられている公開鍵証明書の署名を、前記第1の加工データに対応付けられている自己署名証明書から得た公開鍵で検証し、
    前記第2の検証処理では、
    前記第2の加工データ、前記第2の加工データに対応付けられている公開鍵証明書および自己署名証明書を読み込み、
    前記第2の加工データの署名を、前記第2の加工データに対応付けられている公開鍵証明書から得た公開鍵で検証し、
    前記第2の加工データに対応付けられている公開鍵証明書の署名を、前記第2の加工データに対応付けられている自己署名証明書から得た公開鍵で検証する、
    請求項6記載の証拠保全システム。
  8. ネットワークを介して通信を行う第1の端末と第2の端末との間のテレビ会議の記録データを処理する証拠保全システムで実行される、証拠保全方法であって、
    前記証拠保全システムが本人確認部に、前記テレビ会議中に、前記第1の端末で取得される、第1のユーザ自身の画像データと該第1のユーザの画像付き証明書とを照合させる第1の工程、
    前記証拠保全システムの処理部が、前記第1のユーザの画像の照合が成功した場合に、前記第1のユーザの第1の秘密鍵と第1の公開鍵を生成する第2の工程、
    前記処理部が、前記第2の端末からの要求に応じて、第2のユーザの公開鍵証明書を発行する第3の工程、
    前記証拠保全システムが加工部に、前記テレビ会議の記録データから、前記第1のユーザを特定する情報を削除または隠蔽して第1の加工データを生成させる第4の工程、
    前記処理部が、前記第1の加工データに対して、前記第1の秘密鍵を用いて電子署名を実行する第5の工程、
    を実行する証拠保全方法。
  9. 前記本人確認部に、前記第2の端末で取得される、第2のユーザ自身の画像データと該第2のユーザの画像付き証明書とを照合させる第6の工程、
    前記処理部が、前記第2のユーザの画像の照合が成功した場合に、前記第2の端末に、前記第2のユーザの第2の秘密鍵、第2の公開鍵、第2の自己署名証明書、および、前記第2のユーザ自身の画像データから前記第2の秘密鍵を復元するための第2の情報の生成を要求する第7の工程、
    を実行する請求項8記載の証拠保全方法。
  10. 前記第2の工程は、さらに第1の自己署名証明書、および、前記第1のユーザ自身の画像データから前記第1の秘密鍵を復元するための第1の情報を生成する、
    を実行する請求項9記載の証拠保全方法。
  11. 前記処理部が、前記テレビ会議中に、前記第2の端末に対して、前記第2の秘密鍵を用いて前記第1のユーザの公開鍵証明書を発行するように要求する第8の工程、
    を実行する請求項10記載の証拠保全方法。
  12. 前記第3の工程では、前記処理部が、前記テレビ会議中に、前記第2の端末からの要求に応じて、前記第1の秘密鍵を用いて第2のユーザの公開鍵証明書を発行する、
    請求項11記載の証拠保全方法。
  13. 前記加工部に、前記テレビ会議の記録データから、前記第2のユーザを特定する情報を削除または隠蔽して第2の加工データを生成させる第9の工程、
    前記処理部が、前記第2の加工データに対して、前記第2の秘密鍵を用いて電子署名を実行する第10の工程、
    を実行する請求項12記載の証拠保全方法。
  14. 前記証拠保全システムが署名検証部に、
    前記第1の加工データを検証する第1の検証処理、および、前記第2の加工データを検証する第2の検証処理、の少なくとも一つを行わせ、
    前記第1の検証処理では、
    前記第1の加工データ、前記第1の加工データに対応付けられている公開鍵証明書および自己署名証明書を読み込み、
    前記第1の加工データの署名を、前記第1の加工データに対応付けられている前記公開鍵証明書から得た公開鍵で検証し、
    前記第1の加工データに対応付けられている公開鍵証明書の署名を、前記第1の加工データに対応付けられている自己署名証明書から得た公開鍵で検証し、
    前記第2の検証処理では、
    前記第2の加工データ、前記第2の加工データに対応付けられている公開鍵証明書および自己署名証明書を読み込み、
    前記第2の加工データの署名を、前記第2の加工データに対応付けられている前記公開鍵証明書から得た公開鍵で検証し、
    前記第2の加工データに対応付けられている公開鍵証明書の署名を、前記第2の加工データに対応付けられている自己署名証明書から得た公開鍵で検証する、
    請求項13記載の証拠保全方法。
  15. 前記処理部の少なくとも一部は、前記第1の端末に実装され、前記第1の端末において、前記第2の工程および前記第7の工程の少なくとも一部を実行し、
    前記本人確認部、前記加工部、および前記署名検証部の少なくとも一つは、前記第1の端末から利用可能な外部サーバに実装されている、
    請求項14記載の証拠保全方法。
JP2020091847A 2020-05-27 2020-05-27 証拠保全方法 Active JP7408486B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020091847A JP7408486B2 (ja) 2020-05-27 2020-05-27 証拠保全方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020091847A JP7408486B2 (ja) 2020-05-27 2020-05-27 証拠保全方法

Publications (2)

Publication Number Publication Date
JP2021190748A true JP2021190748A (ja) 2021-12-13
JP7408486B2 JP7408486B2 (ja) 2024-01-05

Family

ID=78848552

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020091847A Active JP7408486B2 (ja) 2020-05-27 2020-05-27 証拠保全方法

Country Status (1)

Country Link
JP (1) JP7408486B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7328728B1 (ja) * 2022-12-26 2023-08-17 有限会社ホリケン 重要事項説明個人情報保護システム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NO319858B1 (no) 2003-09-26 2005-09-26 Tandberg Telecom As Fremgangsmate for identifisering
JP2012170024A (ja) 2011-02-16 2012-09-06 Nikon Corp 情報処理装置
JP6259808B2 (ja) 2012-03-14 2018-01-10 グーグル エルエルシー ビデオ会議中の参加者の風貌修正
WO2015145727A1 (ja) 2014-03-28 2015-10-01 株式会社 日立製作所 本人情報取得システムおよび本人情報取得方法
JP6122399B2 (ja) 2014-05-27 2017-04-26 日本電信電話株式会社 クライアント証明書による端末認証方法、端末認証システム及びプログラム
JP6841781B2 (ja) 2018-03-12 2021-03-10 株式会社日立製作所 認証サーバ装置、認証システム及び認証方法
WO2019181586A2 (ja) 2018-03-20 2019-09-26 ビーエルデーオリエンタル株式会社 会員間契約装置
JP2020064541A (ja) 2018-10-19 2020-04-23 富士通株式会社 本人確認プログラム、本人確認方法および情報処理装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7328728B1 (ja) * 2022-12-26 2023-08-17 有限会社ホリケン 重要事項説明個人情報保護システム

Also Published As

Publication number Publication date
JP7408486B2 (ja) 2024-01-05

Similar Documents

Publication Publication Date Title
US11777726B2 (en) Methods and systems for recovering data using dynamic passwords
JP7187532B2 (ja) 電子文書を締結して配送するためのシステム及び方法
CN108881290B (zh) 基于区块链的数字证书使用方法、系统及存储介质
US8190904B2 (en) System for executing remote electronic notarization and signatory verification and authentication
US20190319948A1 (en) Remote authentication and identification proofing systems and methods
US20180026790A1 (en) Evidence system and method to determine whether digital file is forged or falsified by using smart phone and smart phone having certification function of smart phone screen capture image and method thereof
WO2023017580A1 (ja) アバター認証システム、アバター認証方法
KR102166690B1 (ko) 전자문서를 위한 전자서명 관리서버 및 관리방법
CN108833431B (zh) 一种密码重置的方法、装置、设备及存储介质
KR102164413B1 (ko) Qr 코드를 이용한 전자 근로 계약 및 노무 관리를 위한 시스템 및 방법
JP2017027318A (ja) 付加型署名装置およびそれを用いた契約管理システム
KR20180024857A (ko) 전자 계약 서비스 제공 서버 및 방법
CN114519206B (zh) 一种匿名签署电子合同的方法及签名系统
KR101282824B1 (ko) 만남 인증 시스템 및 그 제공방법
US8601270B2 (en) Method for the preparation of a chip card for electronic signature services
JP2021190748A (ja) 証拠保全システム及び証拠保全方法
CN110727735B (zh) 基于区块链技术协作完成任务事件的方法、装置及设备
WO2020226531A2 (ru) Способ удаленной верификации документов
US11971929B2 (en) Secure signing method, device and system
WO2022091221A1 (ja) 情報処理装置、情報処理方法、およびプログラム
TWM631654U (zh) 供多人同時審閱要保書暨書寫電子簽章之線上遠距投保整合系統
JP7203435B2 (ja) 本人確認サーバ、本人確認方法、本人確認プログラム
KR101591909B1 (ko) 음성 동의 파일이 결합된 전자 위임장 서비스 제공 방법
ES2681873T3 (es) Procedimiento y dispositivo para la signatura electrónica personalizada de un documento y producto de programa informático
CN113362184A (zh) 基于签署用印的面签验证方法、装置、计算机设备及介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230202

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230809

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231003

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231115

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231205

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231220

R150 Certificate of patent or registration of utility model

Ref document number: 7408486

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150