上記課題を解決するためになされた第1の発明は、証用情報の少なくとも一部を用いて記憶媒体に記憶された秘匿情報を取得する認証装置であって、前記認証用情報を分散した分散情報の一部である第1の分散データを格納する分散データ格納部と、前記分散情報において前記第1の分散データとは異なる第2の分散データを外部から取得し、前記第1および第2の分散データから前記認証用情報を復元する分散情報復元部とを備えたことを特徴とする。
この第1の発明に係る認証装置は、認証装置内に格納された第1の分散データと、外部から取得された第2の分散データとから認証に用いられる認証用情報を復元するため、それら認証用情報が通信ネットワークを介して流出することを防止できると共に、認証における成り済ましを防止することができる。
上記課題を解決するためになされた第2の発明は、上記第1の発明において、前記認証用情報には、前記記憶媒体に記憶された秘匿情報を取得するために用いられる鍵情報が含まれることを特徴とすることを特徴とする。
この第2の発明に係る認証装置は、復元された鍵情報を認証に用いるため、暗証番号等の識別情報を記憶しておく必要はなく、認証操作の利便性が向上する。
上記課題を解決するためになされた第3の発明は、上記第1の発明において、前記認証用情報には、認証対象者の生体情報を照合するための照合用生体情報が含まれることを特徴とすることを特徴とする。
この第3の発明に係る認証装置は、復元された生体情報(例えば、その場で取得できる顔画像、指紋、虹彩等の情報)を認証に用いるため、暗証番号等の識別情報を記憶しておく必要はなく、認証操作の利便性が向上する。
上記課題を解決するためになされた第4の発明は、上記第3の発明において、前記認証対象者の生体情報を取得する生体情報取得部と、復元された前記認証用情報に含まれる前記照合用生体情報と、取得した前記生体情報と、を照合する生体情報照合部とを更に備え、前記生体情報照合部によって前記照合用生体情報と前記生体情報とが一致すると判定された場合にのみ、前記認証用情報の少なくとも一部を用いて前記秘匿情報を読み出し可能となることを特徴とする。
この第4の発明に係る認証装置は、記憶媒体や認証装置を他人が不正に取得した場合でも、秘匿情報の取得を防止できると共に、本人への成り済ましをより確実に防止することができる。
上記課題を解決するためになされた第5の発明は、上記第1から第4の発明のいずれかにおいて、前記分散情報復元部によって前記秘匿情報が読み出された後に、前記第2の分散データが消去されることを特徴とする。
この第5の発明に係る認証装置は、使用後の第2の分散データの流出を防止し、認証装置の安全性および信頼性が向上する。
上記課題を解決するためになされた第6の発明は、上記第1から第5の発明のいずれかに係る認証装置と、前記第2の分散データを前記認証装置に提供する認証管理装置とを備えたことを特徴とする認証システムである。
上記課題を解決するためになされた第7の発明は、前記記憶媒体には、前記認証用情報を必要とすることなく取得可能な公開情報が記憶され、前記認証装置は、前記記憶媒体から取得した前記公開情報を前記認証管理装置に送信し、前記認証管理装置は、前記認証装置から取得した前記公開情報に対応する前記第2の分散データを前記認証装置に送信することを特徴とする。
この第7の発明に係る認証装置は、公開情報に対応する第2の分散データを確実に取得することが可能となる。
上記課題を解決するためになされた第8の発明は、上記第6の発明において、認証対象者の身体の状態を測定する身体状態測定装置と、前記身体状態の測定結果を記録する記録装置とを更に備え、前記記録装置は、前記秘匿情報と前記身体状態の測定結果とを対応させて記録することを特徴とする。
上記課題を解決するためになされた第9の発明は、上記第1から第5の発明のいずれかに係る認証装置と、認証対象者の身体の状態を測定する身体状態測定装置と、前記身体状態の測定結果を記録する記録装置とを更に備え、前記記録装置は、前記秘匿情報と前記身体状態の測定結果とを対応させて記録することを特徴とする認証システムである。
上記課題を解決するためになされた第10の発明は、上記第8または第9の発明において、前記認証装置は、前記秘匿情報と、これに対応する前記身体状態の測定結果と、を前記記録装置に送信することを特徴とする。
この第10の発明に係る認証装置は、秘匿情報と身体状態の測定結果とを容易に対応させて記録することができる。
上記課題を解決するためになされた第11の発明は、認証用情報を分散した分散情報の一部であり、あらかじめ内部に格納された第1の分散データと、前記分散情報において前記第1の分散データとは異なる、外部から取得した第2の分散データと、から前記認証用情報を復元し、復元された前記認証用情報の少なくとも一部を用いて、記憶媒体に記憶された秘匿情報を取得することを特徴とする認証方法である。
上記課題を解決するためになされた第12の発明は、秘匿情報が記憶された記憶媒体と通信可能に設けられ、所定の鍵情報を用いて前記秘匿情報を読み出す認証装置であって、認証対象者の生体情報を照合するための照合用生体情報と前記鍵情報とを含む認証用情報を分散した分散情報の一部である第1の分散データを格納する分散データ格納部と、前記分散情報において前記第1の分散データとは異なる第2の分散データを外部から取得し、前記第1および第2の分散データから前記照合用生体情報および前記鍵情報を復元する分散情報復元部とを備えたことを特徴とする。
この第12の発明に係る認証装置は、認証装置内に格納された第1の分散データと、外部から取得された第2の分散データとから認証に用いられる照合用生体情報および鍵情報を復元するため、それら認証用情報が通信ネットワークを介して流出することを防止できると共に、認証における成り済ましを防止することができる。また、認証対象者は、生体情報(例えば、その場で取得できる顔画像、指紋、虹彩等の情報)と、復元された鍵情報とを認証に用いることができるため、暗証番号等の識別情報を記憶しておく必要はなく、認証操作の利便性が向上するという利点もある。
また、第13の発明は、上記第12の発明において、前記認証対象者の生体情報を取得する生体情報取得部と、復元された前記照合用生体情報と前記生体情報とを照合する生体情報照合部とを更に備え、前記生体情報照合部によって前記照合用生体情報と前記生体情報とが一致すると判定された場合にのみ、前記鍵情報を用いて前記秘匿情報を読み出し可能となる構成とする。
この第13の発明に係る認証装置は、記憶媒体や認証装置を他人が不正に取得した場合でも、秘匿情報の取得を防止できると共に、本人への成り済ましをより確実に防止することができる。
また、第14の発明は、上記第12または第13の発明において、前記分散情報復元部によって前記秘匿情報が読み出された後に、前記第2の分散データが消去される構成とする。
この第14の発明に係る認証装置は、使用後の第2の分散データの流出を防止し、認証装置の安全性および信頼性が向上する。
また、第15の発明は、上記第12から第14の発明のいずれかに係る認証装置と、前記第2の分散データを前記認証装置に提供する認証管理装置とを備えたことを特徴とする認証システムである。
また、第16の発明は、上記第15の発明において、前記記憶媒体には、前記鍵情報を必要とすることなく取得可能な公開情報が記憶され、前記認証装置は、前記記憶媒体から読み出した前記公開情報を前記認証管理装置に送信し、前記認証管理装置は、前記認証装置から取得した前記公開情報に対応する前記第2の分散データを前記認証装置に送信する構成とする。
この第16の発明に係る認証システムは、公開情報に対応する第2の分散データを確実に取得することが可能となる。
また、第17の発明は、上記第15または第16の発明において、前記認証対象者の身体の状態を測定する身体状態測定装置と、前記身体状態の測定結果を記録する記録装置とを更に備え、前記記録装置は、前記秘匿情報と前記身体状態の測定結果とを対応させて記録する構成とする。
この第17の発明に係る認証システムは、秘匿情報に基づき身体状態の測定結果の正当性を確認することができる。
また、第18の発明は、上記第17の発明において、前記秘匿情報とこれに対応する前記身体状態の測定結果とを前記記録装置に送信する構成とする。
この第18の発明に係る認証システムは、秘匿情報と身体状態の測定結果とを容易に対応させて記録することができる。
以下、本発明の実施の形態について図面を参照しながら説明する。
<第1実施形態>
図1は本発明の第1実施形態に係る認証システムとしてのアルコール検査システムを示す全体構成図である。このアルコール検査システム1は、運送会社における運送トラックの運転者(認証対象)に対する遠隔地でのアルコール検査の正当性を確認するためのものであり、運転者に携帯され、アルコール検査における検査対象の認証処理に用いられるタブレット(認証装置)2と、運送トラック内に設置され、アルコール検査およびその検査結果の記録にそれぞれ用いられる携帯型のアルコール検査器(身体状態測定装置)3およびデジタルタコグラフ(記録装置)4と、運送会社内に設置され、タブレット2と協働して認証処理を行う運行管理サーバ(認証管理装置)5とを備える。
タブレット2は、タッチパネルを備えた携帯型のパーソナルコンピュータからなる。タブレット2は、運行会社内に構築されたLAN(Local Area Network)12またはそれを介して接続されるインターネット(広域ネットワーク)13経由の通信により、或いは近距離無線通信等により、他の外部機器(デジタルタコグラフ4や運行管理サーバ5等)との間でデータ等の送受信を行うことが可能である。また、タブレット2は、運転者が所有する記憶媒体である非接触式のICカード運転免許証(以下、免許証という。)Lに記録された情報(以下、免許証情報という。)を読み取り可能な読み取り装置としても機能する。なお、タブレット2は、図示しない3G回線やLTE等のモバイルネットワークを介してインターネット13に接続することも可能である。
アルコール検査器3は、検査対象の呼気中のアルコール濃度を測定するための周知の構成を有している。また、アルコール検査器3を接続するデジタルタコグラフ(以下、タコグラフという。)4は、運送トラックの運行情報(運行時間や走行速度等)を電気的に記録するためのものであり、ここでは、アルコール検査器3からアルコール検査結果(測定されたアルコール濃度の情報)を取得して運行情報の一部として記録する。タコグラフ4は、タブレット2と同様に、インターネット13や近距離無線通信等により他の外部機器と通信を行うことが可能である。
運行管理サーバ5は、汎用コンピュータからなり、運送トラックの運行情報の管理を行う。また、運行管理サーバ5は、LAN12またはインターネット13を介してタブレット2と通信を行うことにより、タブレット2の要求に応じて認証処理用の各種データやプログラム等を提供することが可能である。
図2は図1に示したアルコール検査システムの機能ブロック図である。タブレット2は、所定の通信規格(IEEE 802.11b/g/a等)に準拠して無線LAN通信を行うための無線通信モジュールを有するネットワーク通信部21と、タッチパネルにより構成され、運転者に対して認証処理等に必要な種々の情報を表示する一方、運転者が認証処理等のための操作入力を行う表示・入力部22と、運転者の顔画像(ここでは、静止画)等を撮影するためのカメラを有する撮影部(生体情報取得部)23と、所定の通信規格(Bluetooth(登録商標)等)に準拠して近距離無線通信を行うための無線通信モジュールを有する近距離通信部24と、免許証Lに対して非接触で電力伝送を行うことにより、免許証L内のICチップに記録された情報を読み取るICカードリーダ25とを備えている。
また、タブレット2には、認証処理を含む種々の処理を実行するためのアプリケーションプログラムを格納するプログラムメモリ31と、アプリケーションプログラムを実行するための作業領域として用いられるワークメモリ32と、後に詳述する分散情報を格納するメモリである分散データ格納部33と、各種プログラムの実行により、タブレット2の動作を統括的に制御するCPU(制御部)34とを備えている。
タブレット2では、プログラムメモリ31に格納されたアプリケーションプログラムによって、秘密分散法に基づく分散情報を用いて認証用情報を復元する分散情報復元部41と、撮影部23によって撮影された運転者の顔画像を照合する顔画像照合部(生体情報照合部)42と、運転者が運行管理サーバ5に対してユーザ登録を行うためのユーザ登録部43と、運転者のアルコール検査に関する処理を実行するアルコール検査部(身体状態情報処理部)44とが実現される。
なお、秘密分散法としては、少なくとも認証用情報を分散化(複数に分割)し、その分散化された情報の一部によっては元の認証用情報を推測できないようにすることが可能な限りにおいて、種々の方法を用いることができる。例えば、多項式補間を利用する手法としてA.Shamir:"How to Share a Secret"、Communicaions of the ACM、November 1979、Volume 22、Number 11が知られている。
さらに、分散情報復元部41によって認証用情報が復元されるための分散情報は、上述の秘密分散法に基づくものでなくてもよい。本発明における分散情報は、元の認証用情報より複数生成され、それぞれ単独によっては元の認証用情報を復元または推測できないものである。そして、分散情報は、生成された複数の分散データの全て、またはその一部の組が揃った時に、初めて元の認証用情報を復元できるものである。そのような分散情報を生成できる手法であれば、秘密分散法に限らず、いかなる手法を用いてもよい。
免許証Lは、タブレット2のICカードリーダ25との間で電力やデータの送受を行うアンテナを有する通信部51と、図示しないICチップ内に設けられたIC制御部52およびメモリ53とを有している。IC制御部52は、ICチップにおけるデータの送受信や記憶等の動作を統括的に制御する制御回路の他、整流回路、変調回路、復調回路等を有している。また、メモリ53は、EEPROM等の不揮発性メモリからなり、免許証情報として、免許証Lの交付年月日および有効期限の情報を含む公開情報55と、第1の暗唱番号であるPIN1によって保護された運転者の氏名、生年月日、免許の種類、免許証番号等の情報を含むPIN1秘匿情報56と、第2の暗唱番号であるPIN2によって保護された運転者の免許証顔画像の情報を含むPIN2秘匿情報57とを格納している。PIN1およびPIN2は、免許証Lから秘匿情報を取得するための鍵情報であり、ここでは、運転者が予め設定した複数桁の数等により構成される。
なお、公開情報については、暗唱番号を必要とすることなくICカードリーダによって読み出すことが可能である。また、ここで用いる「秘匿情報」は、公になっていない秘密の情報を必ずしも意味するものではなく、暗唱番号等の鍵情報で保護されることにより、第三者が免許証Lから読み出し不能な情報であることを意味する。
タコグラフ4は、上述のタブレット2におけるネットワーク通信部21、表示・入力部22、及び近距離通信部24とそれぞれ同様の機能を有するネットワーク通信部61、表示部62・入力部63、及び近距離通信部64を備えている。また、タコグラフ4は、アルコール検査結果の登録(保存)等を実行するためのアプリケーションプログラムを格納するプログラムメモリ71と、アプリケーションプログラムを実行するための作業領域として用いられるワークメモリ72と、アルコール検査結果等の情報を記憶するストレージ73と、各種プログラムの実行により、タコグラフ4の動作を統括的に制御するCPU74と、アルコール検査器3が接続されるインタフェースである検査器I/F75とを備える。
運行管理サーバ5は、上述のタブレット2におけるネットワーク通信部21、表示・入力部22、プログラムメモリ31、ワークメモリ32、及びCPU34とそれぞれ同様の機能を有するネットワーク通信部81、表示部82・入力部83、プログラムメモリ84、ワークメモリ85、及びCPU86を備えている。
後に詳述するように、運行管理サーバ5では、プログラムメモリ84に格納されたアプリケーションプログラムによって、タブレット2から受信した公開情報等を照合する管理情報照合部91と、タブレット2での認証処理に用いられる認証用情報を秘密分散法に基づき分散することにより、分散情報を生成する分散データ生成部92と、運転者がタブレット2のユーザ登録を行うためのユーザ登録部93とが実現される。運行管理サーバ5のストレージ95には、タブレット2との間で送受される認証処理に必要な情報が適宜格納される。
ここでは、認証用情報として、各運転者に固有の顔の画像(生体情報)を照合するための照合用顔画像情報(照合用生体情報)と、PIN1およびPIN2とが用いられる。また、分散データ生成部92によって生成される分散情報は、以下に述べる2種類の分散データからなる。その一つは、後に図3のST102および図6を用いて詳述する出発地でのタブレット2の持ち出し登録において、タブレット2に保存される内部分散データ(第1の分散データ)である。もう一つは、出発地においてタブレット2には保存されず、後に図3のST103および図7を用いて詳述する遠隔地でのタブレット2へのログインにおいて、タブレット2に送信される外部分散データ(第2の分散データ)である。
図3は図1に示したアルコール検査システムによる処理手順の流れを示すフロー図である。まず、運送トラックの運転者は、運送会社内において、システム管理者から受け取ったタブレット2の使用を開始するためのユーザ登録(以下、事前登録という。)を行う(ST101)。この事前登録では、運転者がタブレット2を用いて運行管理サーバ5と通信することにより、タブレット2から運行管理サーバ5に対して認証用情報および公開情報が提供されると共に、運行管理サーバ5において認証用情報から分散情報(内部分散データおよび外部分散データ)が生成される。
次に、運転者は、出発地(ここでは、運送会社内)において、タブレット2へのログインを実行することにより、ST101において生成された分散情報の一部である内部分散データを取得する(ST102)。タブレット2を使用する運転者は、日によって異なる場合が多い。したがって、このST102により、タブレット2は、ログインした運転者による持ち出し登録が行われたことになる。なお、ここでは、運行管理サーバ5には、外部分散データおよび内部分散データの両方とも保持されている。
次に、運転者は、遠隔地(例えば、運送トラックの荷物の運搬先)において運送トラックの運転を開始する際に、タブレット2へのログイン(認証処理)を実行することにより、アルコール検査の認証を行う(ST103)。このタブレット2へのログインは、タブレット2に保存された内部分散データと、運行管理サーバ5に保存された外部分散データとから復元された認証用情報を用いて実施される。
ST103におけるログインが正常に完了すると、運転者は、アルコール検査を実施する(より詳細には、アルコール検査結果をタコグラフ4に登録する)ためのアルコール検査部(プログラム)44を起動することが可能となる。一方、タブレット2へのログインに失敗すると、運転者はアルコール検査を実施することができない(より詳細には、アルコール検査結果をタコグラフ4に登録できない。)。
続いて、運転者は、タブレット2において、アルコール検査とその結果の登録を実施するためのアプリケーションプログラムを起動し、アルコール検査器3を使用してアルコール検査を実施する(ST104)。このアルコール検査では、周知の方法により、運転者の呼気中のアルコール濃度の測定が行われる。なお、アルコール検査の実施は、ST103におけるタブレット2のログイン(遠隔地)の実行と前後してもよい。また、本実施形態では、アルコール検査を実施する例を示すが、アルコール検査の代わりに運転者の身体の状態または健康状態(例えば血圧、脈拍、体温、心電図、顔色など)を確認するための他の検査を実施してもよい。
その後、運転者は、タブレット2において、ST104のアルコール検査の結果をタコグラフ4に登録する(ST105)。
なお、本実施形態では、タブレット2へのログインをアルコール検査のための認証処理として用いているが、これに限らず、タブレット2において実行可能な他の機能(例えば、Webアクセス機能)のための認証処理として用いることも可能である。
図4および図5は、それぞれ図3中のST101におけるタブレットおよび運行管理サーバの事前登録動作を示すフロー図である。これらの事前登録動作が行われるのは、例えば、雇用したばかりの運転者に業務を行わせる場合と、免許証の更新や髪型の大幅な変更など、ログインに支障をきたす事態が生じたときに、改めて登録しなおす場合である。
図4に示すように、タブレット2は、運転者の事前登録が完了していない場合には、ユーザ登録部(プログラム)43を起動し、運転者に対してPIN1の入力を要求するための画面を表示・入力部22に表示する(ST201)。そこで、タブレット2は、運転者によりPIN1(ここでは、4桁の数字)が入力されると(ST202:Yes)、続いて、運転者に対してPIN2の入力を要求するための画面を表示・入力部22に表示する(ST203)。そこで、タブレット2は、運転者によりPIN2(ここでは、4桁の数字)が入力されると(ST204:Yes)、運転者に対して免許証Lの読み取りを要求するための画面を表示・入力部22に表示する(ST205)。ST201およびST203の要求画面に応じて運転者が入力したPIN1およびPIN2は、タブレット2のワークメモリ32に保存される。
次に、運転者が免許証LをICカードリーダ25と交信可能な位置までタブレット2に近づけると、タブレット2は、免許証Lから公開情報を取得すると共に、ST202およびST204で取得したPIN1、PIN2を用いて免許証LからPIN1秘匿情報56およびPIN2秘匿情報57を取得する。そこで、運転者の免許証顔画像(PIN2秘匿情報57)の取得が成功すると(ST206:Yes)、続いて、タブレット2は、運転者に対して現在の顔の撮影を要求するための画面を表示・入力部22に表示する(ST207)。
その後、タブレット2は、撮影部23のカメラによる運転者の顔の撮影が終了すると(ST208:Yes)、撮影により取得した顔画像(以下、撮影顔画像という。)をワークメモリ32に保存する。続いて、タブレット2は、顔画像照合部(プログラム)42を起動し、ST208の撮影顔画像と、ST206で取得した免許証顔画像とを照合する(ST209)。このST209における顔画像の照合では、タブレット2は、周知の方法により、両顔画像における特徴部分(例えば、顔を構成する各パーツ)に着目してマッチングを実施することにより、両顔画像が一致するか否かを判定する。
ST209において両顔画像が一致したと判定されると(Yes)、タブレット2は、上述のステップで取得したPIN1、PIN2、公開情報、及び撮影顔画像(以下、事前登録情報という。)を運行管理サーバ5に対して送信する(ST210)。そして、タブレット2は、ST210で送信した事前登録情報の登録が完了した旨の通知を運行管理サーバ5から受信すると(ST211:Yes)、事前処理が正常に終了したと判断し、上述のステップで取得したワークメモリ32内の事前登録情報及び免許証顔画像を消去する(ST212)。これにより、それら事前登録情報及び免許証顔画像が、後にタブレット2から流出する等のトラブルを回避し、認証の安全性および信頼性が向上する。その後、タブレット2は、運転者に対して事前登録が完了したことを知らせる画面を表示・入力部22に表示する(ST213)。
一方、上述のST206において運転者の免許証顔画像の取得に失敗した場合(No)、ST209において撮影顔画像と免許証顔画像とが一致しないと判定された場合(No)、或いは、ST211において運行管理サーバ5から事前登録情報の登録が失敗した旨の通知を受信した(または、登録完了の通知を規定時間内に受信できなかった)場合(No)、タブレット2は、事前処理に失敗したと判断し、上述のST212と同様に、ワークメモリ32内の事前登録情報及び免許証顔画像を消去する(ST214)。その後、タブレット2は、運転者に対して事前登録が失敗したことを知らせる画面を表示・入力部22に表示する(ST215)。
次に、図5を参照して、運行管理サーバ5の事前登録動作について説明する。事前登録の際には、運行管理サーバ5はタブレット2からの事前登録情報の受信待ちの状態となる(ST301)。そして、運行管理サーバ5は、タブレット2からの事前登録情報(図4中のST210参照)を受信すると(ST302:Yes)、ユーザ登録部(プログラム)93を起動し、その受信した事前登録情報に含まれる公開情報に基づき、運転者のアカウントを作成する(ST303)。
続いて、運行管理サーバ5は、分散データ生成部(プログラム)92を起動し、事前登録情報に含まれる認証用情報としてのPIN1、PIN2、及び撮影顔画像から秘密分散法に基づき分散情報(内部分散データ、外部分散データ)を生成する(ST304)。ここで、生成された内部分散データおよび外部分散データは、ST303で作成されたアカウントに対応づけられ、ストレージ95に格納される。
なお、後に詳述するが、ここでの認証用情報に含まれる撮影顔画像は、図3中のST103におけるタブレット2へのログイン等の処理において、各運転者によって撮影される顔画像を照合するための照合用顔画像情報として用いられる。また、ST304では、分散情報の生成後に、PIN1、PIN2、及び撮影顔画像が運行管理サーバ5から消去される。これにより、それらPIN1、PIN2、及び撮影顔画像が、後に運行管理サーバ5から流出する等のトラブルを回避し、認証の安全性および信頼性が向上する。
その後、運行管理サーバ5は、ST304において生成された内部分散データおよび外部分散データをST303で作成したアカウントに対して登録し(ST305)、さらに、事前登録情報の登録が完了した旨の通知をタブレット2に対して送信する(ST306)。
一方、上述のST302において、タブレット2からの事前登録情報を受信できずに(No)、規定時間が経過した場合(ST307:Yes)、運行管理サーバ5は、事前登録情報の登録が失敗した旨の通知をタブレット2に対して送信する(ST308)。
図6は、図3中のST102におけるタブレットのログイン動作(出発地)を示すフロー図である。これは、図3中のST101の事前登録が完了した状態で、例えば運転者が運送会社(出発地)を出発する際に、毎回行われる。タブレット2は、出発地におけるログイン手続きを開始し、図4中のST205と同様に、運転者に対して免許証Lの読み取りを要求するための画面を表示する(ST401)。そこで、タブレット2は、免許証Lから免許証情報を読み取って公開情報を取得すると(ST402:Yes)、その公開情報を運行管理サーバ5にLAN12経由で送信する(ST403)。
このとき、運行管理サーバ5は、社内に存在するタブレット2からアクセスを受けたことを認識し、続いて、管理情報照合部(プログラム)91を起動して、タブレット2から受信した公開情報を照合し、その公開情報に対応づけられた内部分散データおよび外部分散データをタブレット2に対して送信する。
次に、タブレット2は、運行管理サーバ5から内部分散データおよび外部分散データを受信すると(ST404:Yes)、それら内部分散データおよび外部分散データを分散データ格納部33に格納する。そして、タブレット2は、それら分散データを用いて認証用情報を復元(すなわち、PIN1、PIN2、照合用顔画像を取得)する(ST405)。続いて、タブレット2は、図4中のST207と同様に、運転者に対して顔の撮影を要求するための画面を表示し(ST406)、運転者の顔の撮影が終了すると(ST407:Yes)、顔画像照合部(プログラム)42を起動し、図4中のST209と同様に、ST407の撮影顔画像と、ST405で取得した照合用顔画像とを照合する(ST408)。
ST408において両顔画像が一致したと判定されると(Yes)、タブレット2は、上記ST401と同様に、再び運転者に対して免許証Lの読み取りを要求し(ST409)、そこで、PIN1、PIN2を用いてPIN1秘匿情報56およびPIN2秘匿情報57にアクセスする(ST410)。このように、タブレット2では、運転者の撮影顔画像と照合用顔画像とが一致すると判定された場合にのみ、PIN1、PIN2を用いて免許証L中の秘匿情報を読み出し可能となるため、免許証Lやタブレット2を他人が不正に取得した場合でも、免許証Lの秘匿情報の取得を防止できると共に、本人への成り済ましをより確実に防止することができる。
その後、タブレット2は、PIN1秘匿情報56およびPIN2秘匿情報57を免許証Lから取得することに成功すると(ST411:Yes)、運転者によるログインが成功したと判断し、ワークメモリ32内の外部分散データ、撮影顔画像、及び照合用顔画像を消去する(ST412)。これにより、分散データ格納部33には、内部分散データのみが保持され、認証用情報を分散した分散情報が運行管理サーバ5とタブレット2に分散されて保持された状態となる。その後、タブレット2は、運転者に対してログインが完了したことを知らせる画面を表示・入力部22に表示する(ST413)。
一方、上述のST404において内部分散データおよび外部分散データを規定時間内に受信できなかった場合(No)、ST408において撮影顔画像と照合用顔画像とが一致しないと判定された場合(No)、或いは、ST411において免許証LからPIN1秘匿情報56およびPIN2秘匿情報57を取得することに失敗した場合(No)、タブレット2は、運転者によるログインが失敗したと判断し、上述のST412と同様に、ワークメモリ32内の外部分散データおよび内部分散データを消去(既に取得されている場合には撮影顔画像及び照合用顔画像も消去)する(ST414)。その後、タブレット2は、運転者に対してログインが失敗したことを知らせる画面を表示・入力部22に表示する(ST415)。
なお、タブレット2では、ログイン前(すなわち、秘匿情報の読み出し前)には、認証に関する処理(運転者のログイン操作)以外の処理は制限され、ログイン後(すなわち、秘匿情報の読み出し後)に、認証に関する処理以外の情報処理(例えば、Webアクセス)が可能となる。
図7は、図3中のST103におけるタブレットのログイン動作(遠隔地)を示すフロー図である。運転者が遠隔地においてタブレット2を起動すると、タブレット2は遠隔地におけるログイン手続きを開始する。
まず、タブレット2は、図6中のST401〜ST403とそれぞれ同様のST501〜ST503を実施する。ST503では、運行管理サーバ5は、社外に存在するタブレット2からアクセスを受けたことを認識し、続いて、管理情報照合部(プログラム)91を起動して、タブレット2から受信した公開情報を照合し、その公開情報に対応づけられた外部分散データをタブレット2に対して送信する。
次に、タブレット2は、運行管理サーバ5から外部分散データを受信すると(ST504:Yes)、その外部分散データを分散データ格納部33に格納する。そして、タブレット2は、運行管理サーバ5から取得した外部分散データと、上述のST102において分散データ格納部33に格納された内部分散データとを用いて認証用情報を復元(すなわち、PIN1、PIN2、照合用顔画像を取得)する(ST505)。その後、タブレット2は、図6中のST406〜ST415とそれぞれ同様のST506〜ST515を実施する。なお、ST514では、分散データ格納部33から外部分散データのみが消去され(既に取得されている場合には撮影顔画像及び照合用顔画像も消去)、内部分散データは次回のログインのために保持される。
図8および図9は、それぞれ図3中のST105におけるタブレットおよびタコグラフのアルコール検査結果の登録動作を示すフロー図である。
図8に示すように、タブレット2では、ログインが完了してアルコール検査部(プログラム)44が起動されると、アルコール検査結果待ちの状態となる(ST601)。そこで、タブレット2は、タコグラフ4からアルコール検査結果を取得すると(ST602:Yes)、そのアルコール検査結果を表示・入力部22に表示する(ST603)。また、このとき、表示・入力部22には、運転者に対してアルコール検査結果を登録中であることを知らせる画面が表示される。
次に、タブレット2は、アルコール検査結果(アルコール濃度の測定データ)と、ログイン時(図7中のST502およびST511参照)に取得した免許証情報の少なくとも一部(ここでは、免許証番号)とを所定のデータ形式で組み合わせ、その免許証情報が付加されたアルコール検査結果(以下、認証済みアルコール検査結果という。)をタコグラフ4に送信する(ST604)。このように、アルコール検査結果を免許証情報と組み合わせることにより、アルコール検査結果の正当性を確認することが可能となる。この場合、アルコール検査結果と組み合わせる情報として秘匿情報(PIN1秘匿情報56およびPIN2秘匿情報57)のいずれかを含むことがより好ましい。アルコール検査結果と組み合わせる免許証情報のうち、秘匿情報としては、免許証番号のほか、運転が許可されている車種、免許証保持者の氏名、住所などがある。また、公開情報としては公布年月日と有効期限がある。
その後、タブレット2は、ST604で送信したアルコール検査結果の登録が完了した旨の通知をタコグラフ4から受信すると(ST605:Yes)、運転者に対してアルコール検査結果の登録が完了したことを知らせる画面を表示・入力部22に表示し(ST606)、さらに、認証済みアルコール検査結果を消去する(ST607)。これにより、それらアルコール検査結果や免許証情報が、後にタブレット2から流出する等のトラブルを回避し、認証済みアルコール検査結果の安全性および信頼性が向上する。
一方、上述のST605においてタコグラフ4からアルコール検査結果の登録が完了した旨の通知を受信できずに(No)、規定時間が経過した場合(ST608:Yes)、タブレット2は、アルコール検査結果の登録が失敗したことを知らせる画面を表示・入力部22に表示する(ST609)。
次に、図9を参照して、タコグラフのアルコール検査結果の登録動作について説明する。アルコール検査の際に運転者がタコグラフ4の検査開始ボタンを押下すると、タコグラフ4は、アルコール検査器3の検査待ちの状態となり(ST701)、運転者に対する検査待ちである旨のメッセージが表示部62に表示される。その後、アルコール検査器3によるアルコール検査が終了すると、タコグラフ4はアルコール検査器3からアルコール検査結果を受信する(ST702:Yes)。続いて、タコグラフ4は、そのアルコール検査結果をタブレット2に送信する。
次に、タコグラフ4は、タブレット2から送信された認証済みアルコール検査結果(図8中のST604参照)を受信すると(ST704:Yes)、その認証済みアルコール検査結果をストレージ73に保存し(ST705)、アルコール検査結果の登録が完了した旨のメッセージを表示部62に表示すると共に、その旨をタブレット2に対して通知する(ST706)。なお、ここでは、タコグラフ4がタブレット2から認証済みアルコール検査結果を取得する構成としたが、タコグラフ4が、タブレット2から免許証情報を取得し、上述のタブレット2と同様の認証済みアルコール検査結果を生成する構成としてもよい。
一方、上述のST704においてタブレット2から認証済みアルコール検査結果を受信できずに(No)、規定時間が経過した場合(ST707:Yes)、タコグラフ4、アルコール検査結果の登録が失敗した旨のメッセージを表示部62に表示する(ST708)。
<第2実施形態>
次に、本発明の第2実施形態に係るアルコール検査システムについて図10〜図13を参照して説明する。第2実施形態に関して以下で特に言及しない事項については、上述の第1実施形態の場合と同様とする。
図10は、第2実施形態に係るタブレットのログイン動作(出発地)を示すフロー図であり、第1実施形態における図6に対応するものである。
タブレット2は、事前登録(図3中のST101参照)が完了した状態で、出発地におけるログイン手続きを開始し、図6中のST406およびST407と同様のST801およびST802を実行する。その後、タブレット2は、図6中のST401〜ST405とそれぞれ同様のST803〜ST807を実施し、さらに、図6中のST408〜ST415とそれぞれ同様のST808〜ST815を実施する。なお、図6中のST412およびST414の場合とは異なり、ST812およびST814では、免許証情報についても消去される。これにより、免許証情報が、後にタブレット2から流出する等のトラブルを回避し、認証の安全性および信頼性が向上する。
図11は、第2実施形態に係るタブレットのログイン動作(遠隔地)を示すフロー図であり、第1実施形態における図7に対応するものである。
運転者が遠隔地においてタブレット2を起動すると、タブレット2は遠隔地におけるログイン手続きを開始し、図7中のS506およびST507と同様のST901およびST902を実行する。その後、タブレット2は、図7中のST501〜ST505とそれぞれ同様のST903〜ST907を実施し、さらに、図6中のST508〜ST515とそれぞれ同様のST908〜ST915を実施する。なお、図6中のST512およびST514の場合とは異なり、ST912およびST914では、免許証情報についても消去される。これにより、免許証情報が、後にタブレット2から流出する等のトラブルを回避し、認証の安全性および信頼性が向上する。
ちなみに、この第2実施形態において、運転者の顔の撮影は、図10におけるST801〜ST802および図11におけるST901〜ST902である。そして、免許証Lの2回にわたる読み取り動作は、図10におけるST803およびST809、図11におけるST903およびST909である。すなわち、運転者の顔の撮影と、免許証Lの2回にわたる読み取り動作とが分かれている。運転者は、最初にタブレット2のみを用いて自分の顔を撮影し、その後で免許証Lをポケットかカバンから取り出してタブレット2に2回かざせばよい。先に示す第1の実施形態のように、免許証Lの読み取り動作の間に顔の撮影動作が入ることはない。これにより、顔の撮影動作の前に、それまで持っていた免許証Lを車内のどこかへ置き、顔の撮影動作の後で免許証Lを再び持つことがない。それに加えて、タブレット2を持ち替える回数が減少する。したがって、よりスムーズなログイン手順を行うことができる。また、ログイン手順の途中で免許証Lを車内の床に落として、拾い上げるのに時間を要したり、免許証Lの券面を汚損したり、免許証Lをどこかに置き忘れて、探し出すのに時間を要したりすることも少なくできる。これらにより、利便性は向上する。
なお、免許証Lの最初の読取要求(図10におけるST803、図11におけるST903)から顔画像の照合(図10におけるST808、図11におけるST908)までの処理には、現状では時間を要する。顔画像の照合がOKになって、初めてタブレット2はPIN1、PIN2を使うことができる。しかしながら、それらPIN1、PIN2が使えるようになる頃には、タブレット2へのログインを試みる運転者が、免許証Lをタブレット2から離してしまう可能性がある。したがって、免許証Lより秘匿情報56または秘匿情報57を確実に取得するために、免許証Lの読取要求がもう一度表示されるようになっている(図10におけるST809、図11におけるST909)。このとき、運転者が最初の読取要求から十分に長い時間、免許証Lをタブレット2にかざしていたとする。そうすれば、タブレット2は即座に、免許証Lからの秘匿情報を取得する(図10におけるST810〜ST811、図11におけるST910〜ST911)手順へと移るはずである。したがって、このような場合には、運転者にとって、免許証Lが有する免許証情報の読取が、あたかも1回で終了したように見える。この点においても、利便性はさらに向上する。
また、将来的に、免許証Lの最初の読取要求(図10におけるST803、図11におけるST903)から秘匿情報の取得までの処理が高速になれば、2回目の免許証Lの読取要求を行わないようにしてもよい。ここで「秘匿情報の取得」とは、図10におけるST811、図11におけるST911であり、「2回目の免許証Lの読取要求」とは図10におけるST809、図11におけるST909である。
図12は、第2実施形態に係るタブレットのアルコール検査結果の登録動作を示すフロー図であり、第1実施形態における図8に対応するものである。
タブレット2では、ログインが完了してアルコール検査部(プログラム)44が起動されると、運転者に対して免許証Lの読み取りを要求するための画面を表示し(ST1001)、PIN1、PIN2を用いて免許証Lにアクセスする(ST1002)。これは、先の図11におけるログイン後に、タブレット2から免許証情報が削除されており、アルコール検査の終了後にその結果と組み合わせる免許証情報を再び取得するために必要なものである。そして、タブレット2は、公開情報とPIN1秘匿情報56およびPIN2秘匿情報57とを免許証Lから取得することに成功すると(ST1003:Yes)、タブレット2は、図8中のS601〜ST603と同様のST1004〜ST1006を実行する。
次に、タブレット2は、運行管理サーバ5の分散データ生成部(プログラム)92と同様の処理により、アルコール検査結果および免許証情報(少なくとも一部)からなる情報を分散した複数の分散データを生成する(ST1007)。そして、タブレット2は、ST1007で生成した検査結果に関する分散データの一部をタコグラフ4に対して送信する(ST1008)。タコグラフ4に送信しなかった残りの分散データは、タブレット2の分散データ格納部33に保持される。あるいは、その一部または全てを、運行管理サーバ5に送信してもよい。つまり、図8に示した第1実施形態では、ST604において、アルコール検査結果と、免許証Lの秘匿情報とを単に組み合わせたものをタコグラフ4に送信したが、分散データを用いることにより、認証済みアルコール検査結果の安全性が高まる。すなわち、タブレット2、タコグラフ4、運行管理サーバ5のうちいずれか複数にそれぞれ分散されて保持される分散データのいずれかが第三者に流出したとしても、アルコール検査結果と免許証情報は復元できない。
その後、タブレット2は、ST1008で送信したアルコール検査結果(分散データ)の登録が完了した旨の通知をタコグラフ4から受信すると(ST1009:Yes)、アルコール検査結果の登録が完了したことを知らせる画面を表示・入力部22に表示し(ST1010)、さらに、アルコール検査結果、免許証情報およびタコグラフ4に送信した分散データを消去する(ST1011)。これにより、それらアルコール検査結果および免許情報が、後にタブレット2から流出する等のトラブルを回避し、認証済みアルコール検査結果の安全性および信頼性が向上する。
一方、上述のST1009においてタコグラフ4からアルコール検査結果の登録が完了した旨の通知を受信できずに(No)、タコグラフ4からアルコール検査結果の登録が失敗した旨の通知を受けた場合(ST1012:Yes)、或いは、タコグラフ4からアルコール検査結果の登録が失敗した旨の通知を受けることなく(ST1012:No)、規定時間が経過した場合(ST1013:Yes)、タブレット2は、運転者に対してアルコール検査結果(分散データ)の登録が失敗したことを知らせる画面を表示・入力部22に表示する(ST1014)。それと同時に、アルコール検査および免許証情報より作成された分散データのうち、タコグラフ4に送信した分散データは消去される(ST1011)。もしくは、分散データ全てが消去されるようにしてもよい。これにより、それらアルコール検査結果および免許情報が、後にタブレット2から流出する等のトラブルを回避し、認証済みアルコール検査結果の安全性および信頼性が向上する。
図13は、第2実施形態に係るタコグラフのアルコール検査結果の登録動作を示すフロー図であり、第1実施形態における図9に対応するものである。
アルコール検査の際に運転者がタコグラフ4の検査開始ボタンを押下すると、タコグラフ4は、図9のST701〜ST703と同様のST1101〜ST1103を実行する。
その後、タコグラフ4は、タブレット2から送信された認証済みアルコール検査結果に相当する分散データ(図12中のST1008参照)を受信すると(ST1104:Yes)、その分散データをストレージ73に保存し(ST1105)、アルコール検査結果の登録が完了した旨のメッセージを表示部62に表示すると共に、その旨をタブレット2に対して通知する(ST1106)。
一方、上述のST1104においてタブレット2から分散データを受信できずに(No)、規定時間が経過した場合(ST1107:Yes)、タコグラフ4は、アルコール検査結果の登録が失敗した旨のメッセージを表示部62に表示すると共に、その旨をタブレット2に対して通知する(ST1108)。
このようにして、遠隔地におけるアルコール検査結果および免許証情報は、単体では元の情報が復元できない複数の異なる分散データとなる。そしてそれら複数の異なる分散データは、タコグラフ4、タブレット2、運行管理サーバ5のうちいずれか複数にそれぞれ登録される。そして、運転者が運送会社に帰着したときに、これらの分散データは、運行管理サーバ5へと回収され、運行記録の一部として保管される。
このような分散データがタコグラフ4とタブレット2に登録されている場合、例えば運転者は、まずタコグラフ4の分散データをタブレット2に引き上げ、そのタブレット2を運送会社の社内に持ち込む。そして、運転者は、タブレット2の内部に保持されているそれらの分散データを運行管理サーバ5へと転送する。そうすれば、データのハンドリングが容易になり利便性が向上する。
または、運行管理サーバ5が、タコグラフ4とタブレット2にそれぞれ登録されている分散データを、それぞれ少なくとも一部が異なる通信経路を介して回収するようにしてもよい。例えば、図1において、運行管理サーバ5は、タブレット2が保持する分散データを、LAN12を介して回収し、タコグラフ4が保持する分散データを、LAN12およびインターネット13を介して回収するようにしてもよい(さらには図示しない3GやLTEなどの携帯電話回線を介してもよい)。そうすれば、運送会社を出発してから戻るまでの間、タブレット2やタコグラフ4には、複数の分散データのうちの一つだけが常に保持されるため、認証済みアルコール検査結果の安全性および信頼性がさらに向上する。そしてこのことは、分散データが、タコグラフ4、タブレット2、運行管理サーバ5の3つにそれぞれ登録されている場合においても同様である。
また、分散データがタコグラフ4と運行管理サーバ5に登録される場合、タコグラフ4が保持する分散データは、運行管理サーバ5が直接回収してもよい。この場合、運行管理サーバ5は、先程と同様に、タコグラフ4が保持する分散データを、LAN12およびインターネット13を介して回収するようにしてもよい(さらには図示しない3GやLTEなどの携帯電話回線を介してもよい)。または、次のようにしてもよい。すなわち、運転者が、例えばタブレット2の近距離通信部24とタコグラフ4の近距離通信部64とを用いて、タコグラフ4に保持されている分散データをタブレット2に回収し、運送会社の社内に持ち込む。そして運転者は、タブレット2の内部に保持されているそれらの分散データを運行管理サーバ5へと転送する。そうすれば、運送会社を出発してから戻るまでの間、タコグラフ4には、複数の分散データのうちの一つだけが常に保持されるため、認証済みアルコール検査結果の安全性および信頼性がさらに向上する。また、タブレット2には、タコグラフ4に保持される分散データを運行管理サーバ5に回収する際に、その分散データが一時的に保持されるだけなので、認証済みアルコール検査結果の安全性および信頼性がさらに向上する。
なお、上述の第2実施形態における上述の第1実施形態との相違部分については、その相違部分の一部のみを本発明の範囲を逸脱しない範囲で第1実施形態に適用することも可能である。
このように、アルコール検査システム1におけるタブレット2によれば、分散データ格納部33に格納された内部分散データと、外部の運行管理サーバ5から取得された外部分散データとから認証に用いられる照合用顔画像およびPIN1、PIN2(鍵情報)を復元するため、それら認証用情報がインターネット13等の通信ネットワークを介して流出することを防止できると共に、認証における成り済ましを防止することができる。また、運転者は、その場で撮影した顔画像と、復元された鍵情報と、自身が携帯する免許証とを認証に用いるため、免許証のPIN1、PIN2のような暗証番号や、ドライバーズコード、社員コード等の識別情報を記憶しておく必要はなく、認証操作の利便性が向上するという利点もある。タブレット2へのログイン時において運転者に求められるのは、免許証Lをタブレット2に内蔵されるICカードリーダ25にかざすことと、自身の顔画像をタブレット2により撮影することのみである。
本発明を特定の実施形態に基づいて説明したが、これらの実施形態はあくまでも例示であって、本発明はこれらの実施形態によって限定されるものではない。例えば、本発明に係る認証システムを構成する認証装置や認証管理装置等の各装置間で通信を行うための手段や方法は、少なくとも必要なデータ等を送受信可能な限りにおいて、実施形態に示したものに限らず他の周知の手段や方法に変更することが可能である。また、本発明に用いる生体情報としては、顔画像に限らず、指紋、虹彩、声紋、静脈、耳の形状など周知の生体認証に用いられる他の情報でもよい。生態情報を変更した場合、それを取得する手段としてカメラ以外のもの(例えば、指紋読み取り装置)を用いることができる。また、本発明に用いる記憶媒体としては、ICカード運転免許証に限らず、周知のRFタグを備えたカード等の他の記憶媒体でもよい。また、外部分散データ(内部分散データを除いた残りの分散データ)については、上述の運行管理サーバ5に限らず、認証装置と通信可能な複数の情報処理装置に保持させる(すなわち、認証装置が複数の情報処理装置から外部分散データを取得する)構成も可能である。
図3のST101および図4、図5に示す運行管理サーバ5への事前登録は、運行管理サーバ5とタブレット2の両方を用いるのではなく、運行管理サーバ5のみで行うようにしてもよい。この場合、運行管理サーバ5は、タブレット2が備える撮影部23、ICカードリーダ25、顔画像照合部42およびユーザ登録部43のそれぞれに相当するものを備えればよい。また、図4のST201〜ST204におけるPIN1およびPIN2の入力は、入力部83を用いて行えばよい。
しかしながら、図3のST101および図4、図5に示すように、運行管理サーバ5とタブレット2の両方を用いて事前登録を行ったほうが、より好ましい。この場合は、事前登録時における顔画像の撮影と、出発地または遠隔地におけるタブレット2へのログイン時での顔画像の撮影が、同じタブレット2の撮影部23によってなされる。使用するタブレット2が、事前登録時とログイン時とで異なったとしても、撮影部23の仕様は同じである。したがって、事前登録時とログイン時との間で、画素数や色味などに大きな相違の無い顔画像が得られるため、認証の成功率も高くなる。
図3のST102および図6に示す出発地でのタブレット2の持ち出し登録後において、図1および図2に示す運行管理サーバ5には、外部分散データおよび内部分散データの両方とも保持されている。このとき、運行管理サーバ5のストレージ73を複数用意し、外部分散データと内部分散データとを異なるストレージに分けて保持するようにしてもよい。
これとは別に、運行管理サーバ5には外部分散データのみが保持されるようにしてもよい。その場合は、タブレット2が出発地に戻ってきたときに、内部分散データを運行管理サーバ5に戻せばよい。いずれにしても、運行管理サーバ5には、認証用情報そのものを保持させるよりも、その認証用情報に基いて生成された分散データの形で保持させるほうが、ハッキングなどに対して、より高度なセキュリティを実現することができる。
そして、運行管理サーバ5は、外部分散データおよび内部分散データから認証用情報を復元し、復元する前とは異なる外部分散データおよび内部分散データを生成する処理を、適宜行うようにしてもよい。すなわち、分散データの更新を行うようにしてもよい。その場合、内部分散データがタブレット2に保持されていない状態で行うことが望ましい。そうすれば、運行管理サーバ5は、タブレット2との情報のやり取りに支障をきたすことなく、ハッキングなどに対して、より高度なセキュリティを実現することができる。
さらに、この出発地でのタブレット2の持ち出し登録時において、運行管理サーバ5またはそれと通信可能な図示しない情報端末と、タブレット2とにより、アルコール検査などの健康状態の検査が行われてもよい。その場合、運行管理サーバ5またはそれと通信可能な情報端末には、別のアルコール検査器などの身体状態を測定し検査する装置が接続され、その装置と通信し制御可能なプログラムが備えられていればよい。ここでいう「身体状態または健康状態を測定し検査する」とは、先にも述べたように、例えば血圧、脈拍、体温、心電図、顔色などを測定し検査することを指す。そして、運行管理サーバ5は、この出発時における検査の結果がOKの時にのみ、分散情報をタブレット2に渡し、NGの時には分散情報をタブレット2に渡さないようにしてもよい。このようにすれば、その日の運転資格の無い者がタブレット2を不正に持ち出して出発するのを防ぐことができる。
これまで記載してきた実施形態は、いずれも、タブレット2が複数の運転者によって日替わりで使われる場合を想定している。しかしながら、タブレット2が一人の運転者の専用端末として使用される場合、内部分散データは、事前登録完了直後にタブレット2へ転送し、それ以降はタブレット2上で保持するようにしてもよい。この場合、顔画像の特徴不一致時または免許証の秘匿情報取得失敗時に、その内部分散データは消去されない。
内部分散データは、分散データ格納部のほか、ワークメモリや、プログラムメモリに保持されてもよい。また、第2の実施形態における分散データの残りは、分散データ格納部のほか、ワークメモリや、プログラムメモリに保持されてもよい。
そのほか、上記実施形態に示した本発明に係る認証装置及びこれを備えた認証システムの各構成要素は、必ずしも全てが必須ではなく、少なくとも本発明の範囲を逸脱しない限りにおいて適宜取捨選択することが可能である。