JP6671627B2 - プライバシ保護を可能とするカメラシステム - Google Patents
プライバシ保護を可能とするカメラシステム Download PDFInfo
- Publication number
- JP6671627B2 JP6671627B2 JP2015167298A JP2015167298A JP6671627B2 JP 6671627 B2 JP6671627 B2 JP 6671627B2 JP 2015167298 A JP2015167298 A JP 2015167298A JP 2015167298 A JP2015167298 A JP 2015167298A JP 6671627 B2 JP6671627 B2 JP 6671627B2
- Authority
- JP
- Japan
- Prior art keywords
- camera
- browsing
- file
- code
- image
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims description 355
- 230000008569 process Effects 0.000 claims description 282
- 238000013475 authorization Methods 0.000 claims description 44
- 230000006854 communication Effects 0.000 description 249
- 238000004891 communication Methods 0.000 description 248
- 238000012545 processing Methods 0.000 description 137
- 238000006243 chemical reaction Methods 0.000 description 71
- 238000012423 maintenance Methods 0.000 description 32
- 230000004044 response Effects 0.000 description 32
- 230000006870 function Effects 0.000 description 28
- 230000008520 organization Effects 0.000 description 22
- 230000033001 locomotion Effects 0.000 description 17
- 238000010586 diagram Methods 0.000 description 14
- 238000009434 installation Methods 0.000 description 14
- 238000012544 monitoring process Methods 0.000 description 14
- 238000003672 processing method Methods 0.000 description 14
- 238000004458 analytical method Methods 0.000 description 13
- 238000007726 management method Methods 0.000 description 13
- 230000005856 abnormality Effects 0.000 description 12
- 208000001836 Firesetting Behavior Diseases 0.000 description 10
- 206010039203 Road traffic accident Diseases 0.000 description 10
- 230000002159 abnormal effect Effects 0.000 description 10
- 239000000284 extract Substances 0.000 description 10
- 238000007689 inspection Methods 0.000 description 9
- 230000000737 periodic effect Effects 0.000 description 9
- 230000010365 information processing Effects 0.000 description 8
- FFBHFFJDDLITSX-UHFFFAOYSA-N benzyl N-[2-hydroxy-4-(3-oxomorpholin-4-yl)phenyl]carbamate Chemical compound OC1=C(NC(=O)OCC2=CC=CC=C2)C=CC(=C1)N1CCOCC1=O FFBHFFJDDLITSX-UHFFFAOYSA-N 0.000 description 6
- 238000011840 criminal investigation Methods 0.000 description 6
- 238000012546 transfer Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- CURLTUGMZLYLDI-UHFFFAOYSA-N Carbon dioxide Chemical compound O=C=O CURLTUGMZLYLDI-UHFFFAOYSA-N 0.000 description 4
- 238000010276 construction Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000003466 anti-cipated effect Effects 0.000 description 2
- 229910002092 carbon dioxide Inorganic materials 0.000 description 2
- 239000001569 carbon dioxide Substances 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000002747 voluntary effect Effects 0.000 description 2
- 206010038743 Restlessness Diseases 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002401 inhibitory effect Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 230000005855 radiation Effects 0.000 description 1
- 238000001454 recorded image Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000033772 system development Effects 0.000 description 1
Landscapes
- Closed-Circuit Television Systems (AREA)
- Studio Devices (AREA)
- Television Signal Processing For Recording (AREA)
Description
本発明は、カメラが撮影した画像データについて、その閲覧等の利用の履歴を確実に保存することによって、プライバシを保護した運用が可能であるカメラシステム、および、カメラシステムの構成方法に関するものである。画像データとしては、静止画像データ、動画像データがある。画像データには、Exif情報、所有者の所属・氏名、運用者の所属・氏名、運用形態に関する情報、など、その他の情報が組み込まれることがある。例えば、カメラにマイクやGPS受信機などが付属している場合などにおいては、画像データに、音声データ、位置データ、及び/または、その他の情報、などが組み込まれることがある。カメラとしては、防犯、監視を目的として、防犯カメラ、監視カメラとして、屋外、屋内に設置されるカメラを想定する。画像データの利用としては、単純な視聴の他、画像データに付加された位置データなどを利用した解析、画像処理による特徴抽出などがある。
IT技術の進歩により監視カメラが広く設置されつつある。また、記憶容量やカメラの高精度化により、繊細な画像や音声を撮影及び録音可能な監視カメラの設置も進んできた。また、監視カメラの映像が犯罪捜査に非常に役立つなど、現在の社会には必要な社会インフラになりつつある。また、特に、車載型カメラを監視カメラとして社会の安全・安心に役立てようという場合には、撮影された時間に関する情報に加え、位置に関する情報が重要となる。位置情報は、GPS受信機等の付加により取得できる。
家だけではなく公園や道路など様々な場所に監視カメラが設置される状況では、犯罪などとは全く無関係な人々の映像や音声を撮影または録音することになる。定常的に公の場の状況を撮影している。このような定常的な撮影や録音は、多くの人たちの映像や音声を撮影及び録音し、プライバシの侵害になる。また、監視カメラが、Wifiやブルートゥースなどの無線通信機能により、被写体の持つ携帯電話等と通信をする場合には、当該監視カメラは、被写体に対するより多くの情報を得ることに繋がり、プライバシの侵害に繋がる可能性が増大する。
プライバシの侵害が懸念されるが、街を安全にするために監視カメラはますます様々な場所に設置される動きがあり、今後も監視カメラの設置は増え続けると予想される。実際、ごく最近(2014年)になり、児童の安全を守るために、東京都、群馬県太田市、群馬県高崎市などの自治体が、小学校の通学路に監視カメラを設置する計画を進めている。ただし、東京都の計画(都内の公立小学校全1300校の通学路に監視カメラをつける計画。1300校に対して合計6500台。)でも、一校あたり僅か5台という超低密度な設置に留まる。近い将来、行政の責任において、通学路を監視カメラネットワークで密に見守るということが現実化すると予想される。その際には、利便性向上、低コスト化と共に、プライバシ保護が特に大きな検討課題となる。
一方、近未来の日本全国の市街地においては監視カメラの設定や高機能化がさらに進み、街路灯程度の単価のネットワークカメラ、あるいは、街路灯内蔵型のネットワークカメラが、街路灯並みの数量・密度で設置され、それらが、インターネットに接続され、各カメラで撮影され保存されている画像ファイルへの迅速なアクセスが可能になると予想される。日本全国において、不審者、容疑者、容疑者車両に対する、人海戦術による追尾、あるいは、ソフトウェアによる自動追尾が、技術的にも、経済的にも、容易に実現可能になると予想される。人海戦術による追尾については、多くのオペレータがネットワークに接続された画像閲覧用の端末を使い、端末モニタに映し出される画像を目視することにより、ターゲットの車両・人を、芋づる式に追尾していくことが考えられる。監視カメラ相互の視野が重なっておらず、いずれの監視カメラの視野にも入らない死角が存在した場合においても、ターゲットの車両・人が移動していった可能性のある近隣の道路を全て調査することで、追尾を継続することができる。例えば、ターゲットの車両が監視カメラの死角となっている交差点に入った場合、ターゲットの車両が移動していった可能性のある近隣の道路を全て調査することで、追尾を継続することができる。ターゲットがどこにも、写っていなければ、まだ、そのエリア内に居る可能性が高いということが分かる。ソフトウェアにおける自動追尾については、人間が目視で行うことを、画像処理により自動的に高速に行えるとメリットがある。ソフトウェアにおける自動追尾については、大型ショッピングモール内などで、既に、実験的に導入されている方法等がある。
このような社会において、監視カメラにより撮影された画像データを、入手し利用する権限のある人間、例えば、市街地に設置された監視カメラを管理・運営する市役所の担当職員が、私的な動機で、前記画像データを悪用する可能性がある。この悪用例としては、例えば、特定の女性・男性を自動追跡するストーカー行為、特定の個人の行動を自動監視する行為、などが挙げられる。このような悪用が出来ないようにする仕組みが必要不可欠である。より厳密に言えば、悪用した事実を隠すことが非常に難しい運用の仕組みを作ることにより、悪用が公になることを恐れる人に対しては悪用を躊躇せざるを得なくし悪用を未然に防ぐこと、また、悪用が公になることを恐れない人に対しては悪用した時点でそれが公になり罰せられることで再犯を防ぐことが、重要である。
つまり、現在の監視カメラの利用や将来考えられる監視カメラの利用形態を考えた場合、監視カメラにより取得された画像データを、目的もなく利用することを防ぐことが必要となる。この防ぐ方法として、取得された画像データを利用するための権限を用意し、その権限を有する人だけが画像データを利用できるようにする方法がある。
撮影または録音された画像や動画音声を閲覧または視聴するための権限を有する人だけが画像を閲覧または視聴できるようにする方法があるとしては、インターネット上の動画配信におけるDigital Right Management技術がある。この技術は、動画を閲覧する場合に、アカウントとパスワードをサーバに送信し、アカウントとパスワードが正しいものであるかをサーバが検証し、アカウントとパスワードが正しい場合、動画の閲覧が可能となる。アカウントとパスワードがサーバに送信されることによりサーバは閲覧者または視聴者や閲覧時間または視聴時間の特定が可能となる。しかし、Digital Right Managementは、動画閲覧に対する制限を可能にするが、多数の監視カメラが撮影または録音した画像や動画や音声の閲覧や視聴に対して制限を行うことは難しい。
特許文献1は監視カメラで撮像した画像を暗号化して保存し、それを閲覧する場合には、サーバから復号鍵を取得する必要があり、撮像された画像の閲覧を制限することが可能となる。しかし、予め登録されている人だけが画像を閲覧することができる。本明細書の発明は、画像の利用の履歴を確実に記録することにより、画像の悪用を防止することを通して、プライバシの保護を高いレベルで実現した運用を可能とするカメラシステムが提供されている。
監視カメラで撮影された画像に映る人物のプライバシを保護するために、人物に対して不鮮明化を施す方法が、非特許文献1や非特許文献2に示されている。これらの方法では、閲覧の権限がない人は不鮮明化が施された画像のみを閲覧することができるが、閲覧の権限がある人は不鮮明化されていない画像を閲覧できる。
しかし、この方法では、監視カメラで撮影された画像を閲覧権限を有する人の行動を制限することは難しい。閲覧権限を有する人は、正当な理由がなくても、画像を閲覧することができてしまう。近い将来、現在の街路灯なみの密度で監視カメラが設置され、それらが、ネットワークに接続され、市役所等の担当者が自由に操作できるようになったとき、「閲覧権限を有する人は、正当な理由がなくても、画像を閲覧することができてしまう」ということは、大きな問題になると考えられる。
薮田顕一、北澤仁志、田中聡久、プライバシ保護と被写体の識別を両立させる固定モニタカメラ映像処理手法、電子情報通信学会技術研究報告、Vol.105、No.30、pp.13-18
薮田顕一、北澤仁志、真正性証明とプライバシ保護を両立するカメラシステム、画像電子学会、Vol.38、No.5、pp.694-702
監視カメラで取得された画像データに記録された人物のプライバシを保護することを目的とする。より具体的には、当該画像データを利用する権限を有する人が、画像データを利用することに対する正当な理由がないときに、画像データを利用することを防ぐことを目的とする。
上記目的を達成するために、請求項1に係る発明は、カメラで撮影された画像データを暗号化して保存し、暗号化された当該画像データを前記カメラから入手する、または、復号化する、または、利用するには、許可コードが必要であるカメラシステムであり、当該許可コードは許可コード発行条件に基づき記録サーバから発行されるカメラシステムであり、当該記録サーバは、当該許可コードの発行の要請の受付から、許可コード発行までの過程における、カメラ、画像データ、閲覧者、許可コードなどの項目のうちいずれか1つ以上の項目に関する情報を記録することを特徴とする、または、
カメラで撮影された画像データを保存し、当該画像データを前記カメラから入手する、または、利用するには、許可コードが必要であるカメラシステムであり、当該許可コードは許可コード発行条件に基づき記録サーバから発行されるカメラシステムであり、当該記録サーバは、当該許可コードの発行の要請の受付から、許可コード発行までの過程における、カメラ、画像データ、閲覧者、許可コードなどの項目のうちいずれか1つ以上の項目に関する情報を記録することを特徴とするカメラシステムである。
カメラで撮影された画像データを保存し、当該画像データを前記カメラから入手する、または、利用するには、許可コードが必要であるカメラシステムであり、当該許可コードは許可コード発行条件に基づき記録サーバから発行されるカメラシステムであり、当該記録サーバは、当該許可コードの発行の要請の受付から、許可コード発行までの過程における、カメラ、画像データ、閲覧者、許可コードなどの項目のうちいずれか1つ以上の項目に関する情報を記録することを特徴とするカメラシステムである。
請求項2に係る発明は、請求項1に係る発明において、カメラ内に画像処理装置を有し、当該カメラで撮影された画像データを当該画像処理装置により分析するカメラであり、その分析結果に基づき当該分析結果を当該カメラ内部に保存する処理、及び/または、その分析結果に基づき当該分析結果を当該カメラ外部に対して知らしめる処理を行うことを特徴とするとしている。
請求項3に係る発明は、請求項1または2に係る発明において、カメラが画像を暗号化する際に利用する暗号キーを、カメラ及び閲覧装置・閲覧ソフトウェアに設定する設定装置・設定ソフトウェアを含み、この設定装置・設定ソフトウェア内部に保持する暗号キーを、カメラ及び閲覧装置・閲覧ソフトウェアのみが知ることを特徴としている。
請求項4に係る発明は、請求項1から3のいずれか1項に係る発明において、カメラが保存する画像データを入手するために、及び/または、暗号化された画像データを復号化するために、当該入手、及び/または、当該復号化の理由を示すための理由コードを必要とするカメラシステムであり、当該理由コードの全部または一部が、電子署名されていることを特徴としている。
請求項5に係る発明は、請求項1から4のいずれか1項に係る発明において、カメラが温度センサ、湿度センサ、照度センサ、放射線センサ、ガスセンサ、加速度センサ、方位センサ、ジャイロセンサ、GPS受信器などのセンサを有し、カメラが撮影した画像データに加え、当該センサが取得したデータを合わせて保存、暗号化することを特徴としている。
請求項6に係る発明は、請求項1から5のいずれか1項に係る発明において、カメラがマイクを有し、カメラが撮影した画像データに加え、マイクが録音した音声データを合わせて保存、暗号化することを特徴としている。
請求項7に係る発明は、請求項1から6のいずれか1項に係る発明において、カメラと閲覧装置・閲覧ソフトウェアと記録サーバの間の通信が有線通信または無線通信によるイントラネットまたはインターネットにより行うことを特徴としている。
請求項1に係る発明に基づくカメラシステムの一つのとして、次のような形態がある。監視カメラが取得した画像データは、監視カメラが暗号化して保存する。その暗号化された画像データを入手する、または、復号化する、または、利用する場合には、記録サーバに許可コードの発行要請をする。この際に、発行を要請する人は記録サーバに、発行を要請する人、その人の権限、データを入手または復号化または利用する重要性や緊急度、発行を要請した時刻、入手または復号化または利用を行いたい画像データが取得された時刻、当該画像データを取得した監視カメラの場所、IDなどを通知する。記録サーバはこれらの情報に基づき、許可コードの発行要請の真正性を検証し、発行要請が正しい場合には、予め設定された許可コード発行条件に基づき、許可コードを発行する。許可コードを受け取った人は、監視カメラへ許可コードを送信し、監視カメラは許可コードの真正性を検証し、その許可コードが正しいと監視カメラが判断したならば、許可コードに明記されている条件に応じて、当該監視カメラが記録している画像データを暗号化された形で、許可コードの送信者へ送る。こうして、画像データの入手、復号化、利用が許可されるたびに、当該許可に関する情報が、記録サーバに記録される。
なお、本明細書において利用する暗号化方式としては、共有鍵暗号方式と公開鍵暗号方式のいずれを用いても良い。共有鍵暗号方式の場合には、暗号キーと復号キーが同一となってもよい。
例えば、監視カメラが公園や道路などに設置されて状況下で、その監視カメラが撮影または録音した画像または動画を閲覧した人とその閲覧した時刻を、監視カメラとは異なる記録サーバに記録することで、その記録の真正性を保証する。
また、例えば、市役所の安全安心課が市街地に設置・運営する多くのカメラから、インターネット経由で画像を取得・閲覧する際に、市役所の安全安心課ではない第3者により管理・運営される記録サーバからの許可が必要になる。記録サーバにより、「どの閲覧者に、どの画像を、どの不鮮明度での閲覧を許可するか」を、確実に制御し、その結果を記録することが可能である。一方、記録サーバの管理・運営者は、画像ファイル、暗号キーに、一切、接することはない。これにより、画像ファイルへの不当なアクセスを抑制することが可能となり、一般市民のプライバシを保護することが可能となる。なお、本明細書においては、画像ファイルは、画像データの電子ファイルである。画像データとしては、静止画、動画であり、静止画や動画に音声やその他の情報が付加されたものでもよい。
本発明は、カメラ内部に撮影した画像を暗号化して保存するカメラを用いたカメラシステムであり、暗号化された画像ファイルの、暗号を解除/復号化し、不鮮明化の度合いを調節した画像を出力する閲覧装置を有するカメラシステムであり、記録サーバが、暗号化ファイルを直接取り扱うことなく、許可コードを発行することにより、誰が、どの画像(カメラID、時刻、不鮮明度)を見るかを、制御し、記録することにより、画像ファイルの悪用を防止する。なお、本明細書においては、暗号化ファイルは、画像ファイルが暗号化されたものである。
本カメラシステムでは、閲覧装置は暗号化ファイルを復号化する復号キーを保持していることを想定している。すなわち、カメラと暗号キー及び/または復号キーを保持し、閲覧者は復号キーを保持するが、記録サーバは暗号キーを保持せず、さらに、復号キーも保持しないことを想定している。すなわち、暗号化ファイルを閲覧するには、その暗号ファイルを復号化するための復号キーを持つ閲覧装置と、記録サーバが発行する許可コードの両方が必要になる。なお、本明細書において、「カメラ」は、「防犯カメラ」、「監視カメラ」などを含む一般的な名称として使用される。
一方、監視カメラが、暗号化ファイルと一緒に、許可コードと復号キーの両方を含む閲覧用コードを出力し、閲覧者は、許可コードではなく、閲覧用コードを閲覧装置に入力するようにしても良い。この場合、閲覧者は復号キーをもつ必要がなくなり、復号キーから暗号キーを推測する可能性もない。閲覧権のコントロールは、記録サーバが行うことになる。その場合でも、記録サーバは、暗号化ファイルに直接取り扱うことはない。
暗号化ファイルは、全国に街路灯と同程度の密度・数量で高密度・大量設置されたカメラ内のメモリあるいはメモリカードに一時的に保存されたのち、上書き消去される。犯罪捜査等で、必要になったときにのみ、読み出される。全てのカメラが、全ての画像ファイルを、クラウドなどに転送するというのは、通信量を無用に増やす欠点があるが、将来、通信が低コストになった場合には実用化されることも有りうると考える。
記録サーバは、予めら定められた許可コード発行条件に基づき、前記の許可コードを発行すること、および、その過程を記録することを行い、暗号化ファイルそのもの、暗号キーや復号キーそのものを扱わないことで、カメラの被写体のプライバシ保護を高いレベルで保障することが可能になる。この記録サーバは、一般社会から高い信頼性を寄せられた第3者機関、例えば、NPO等の非営利団体が管理・運営することを想定する。
カメラは、10−20年後には、全て高速ネット接続されると考えるが、近い将来においては、近距離低速ネットで相互に繋がり、アクセスポイントから、高速回線でインターネットまたはイントラネットに接続されると考えられる。犯罪が起こった時にのみ、バケツリレー的に暗号化ファイルが、閲覧者に届けられる。
カメラは、インターネットに接続されていなくても良く、例えば、カメラと、カメラの下まで運ばれてきた閲覧装置・閲覧ソフトウェアは、ブルートゥースなどの無線通信を行い、当該閲覧装置、または、当該閲覧ソフトウェアがインストールされたパーソナルコンピュータ(PC)は、インターネットに接続されているシステムとすることは、現在の高価な無線インターネット接続を個々のカメラに適用する事が困難な場合において、有効である。
閲覧者は、カメラ、及び/または、記録サーバに、画像データの利用が必要な緊急度・重要度・理由などを記述した理由コードを送ることも有効である。理由コードは、裁判所等の第三者機関が事件の緊急度・重要度を判定して電子署名したコードを含んでも良い。
次のような手順が想定される。
1 閲覧者が、カメラに、閲覧者IDと共に、例えば、「前日の20時から21時の間に撮影された画像ファイルをください。」というリクエストをカメラに出す。
2 カメラは、リクエストされた暗号化ファイルに対応する暗号化ファイルのファイルIDを、閲覧者に渡す。
3 閲覧者は、ファイルIDと、閲覧が必要な理由等を記述した理由コードを、閲覧者IDと共に、記録サーバに送信する。
4 記録サーバは、許可コードを、閲覧者に送信する。
5 閲覧者は、許可コードを、カメラに送信する。
6 カメラは、許可コードに従い、暗号化ファイルを閲覧者に送信する。
7 閲覧者は、暗号化ファイルと許可コードと復号キーを、閲覧装置に入力し、閲覧許可された画像を利用する。
1 閲覧者が、カメラに、閲覧者IDと共に、例えば、「前日の20時から21時の間に撮影された画像ファイルをください。」というリクエストをカメラに出す。
2 カメラは、リクエストされた暗号化ファイルに対応する暗号化ファイルのファイルIDを、閲覧者に渡す。
3 閲覧者は、ファイルIDと、閲覧が必要な理由等を記述した理由コードを、閲覧者IDと共に、記録サーバに送信する。
4 記録サーバは、許可コードを、閲覧者に送信する。
5 閲覧者は、許可コードを、カメラに送信する。
6 カメラは、許可コードに従い、暗号化ファイルを閲覧者に送信する。
7 閲覧者は、暗号化ファイルと許可コードと復号キーを、閲覧装置に入力し、閲覧許可された画像を利用する。
本発明の作用として、「近い将来、必ず、現実のものとなると思われる、ネットワーク化された膨大な数の監視カメラ群による監視カメラネットワーク」において、「不正使用を抑止し、プライバシ侵害の危険性を抑制し、一般市民がもつ不快感を低減すること」を目的としている。
本カメラシステムは、誰が、どの画像(カメラ、撮影時刻、不鮮明度)を見るかを、制御し、記録する方法を提供することにより、「不正使用を抑止し、プライバシ侵害の危険性を抑制し、一般市民がもつ不快感を低減すること」を実現する。
本発明により、カメラの撮影した画像の利用実績について、確実性と信頼性のある情報公開を可能とする。これにより、 必要な画像データの迅速な入手を可能とすることによる犯罪捜査時における利便性の飛躍的向上に加え、プライバシの確実な保護の実現、が同時に達成できる。本発明により、監視カメラを街路灯並みに高密度・大量導入する上での大きな障害である、一般市民が懸念するプライバシ侵害の問題を解決し、監視カメラの普及を促進し、日本全国、全世界の地域社会の安全・安心を向上させることに寄与する。
図1に示す実施例1は請求項1の実施例である。実施例1においては、カメラ、閲覧装置・閲覧ソフトウェア、記録サーバは、インターネットに接続され、相互に通信を行うことができる。カメラ、閲覧装置・閲覧ソフトウェア、記録サーバで用いられる処理方法、暗号化、及び、復号化の方式は、カメラ、閲覧装置・閲覧ソフトウェア、記録サーバ以外には知られていない。つまり、秘密になっている。秘密になっていることが重要である。
カメラをインターネットに接続することが難しい場合は、カメラと閲覧装置・閲覧ソフトウェア間の通信は短距離無線通信を用いるか、または、短距離無線通信によるアドホックネットワークを用いて、閲覧装置・閲覧ソフトウェアと記録サーバとの間の通信のみインターネットとすることが、有効である。なお、インターネット接続が一般的には便利であると思われるが、インターネット接続の代わりに、どのようなネットワーク接続を用いてもよい。また、上記短距離無線通信としては、ブルートゥース、ジグビーなどを用いてもよい。また、カメラと閲覧装置・閲覧ソフトウェアと記録サーバの間の通信は暗号化通信を用いてもよい。
特に、本カメラシステムの特徴である、通常の通信量は非常に小さく、小さな通信速度で十分であるのに対して、犯罪捜査、徘徊老人捜索などの目的で画像ファイルの送受信が行われる際には非常に大きな通信量となり、大きな通信速度が必要になるという特徴に適した、新たなネットワークの規格を作ることは好ましいことである。近い将来、インターネットの修正版、あるいは、インターネットとは異なるネットワークが実用化された場合には、そのネットワークを用いてもよい。
本発明においては、日本全国の1000程度の市役所・町役場・村役場などの監視カメラの各運営主体が、それぞれ数十万台〜数百万台程度のカメラを管理運営するシステムを想定している。各運営主体の職員の中で、適当に定められた役職の職員が、個々のカメラに保存された画像データの入手または利用を行うために必要となる許可コードを記録サーバが発行する際に、記録サーバの挙動を規定する許可コード発行条件を設定する閲覧条件設定者となることを想定する。また、同様に、各運営主体の職員の中で、適当に定められた役職の職員が、画像の暗号化や復号化に利用する暗号キーや復号キーを設定する暗号キー設定者となることを想定する。言うまでもないが、市町村以外の法人・任意団体・個人が運営主体となっても良い。
記録サーバは、第3者機関に管理・運営されたものが一つあれば十分である。記録サーバの挙動は、カメラごとに異なっていてもよく、単一の記録サーバがカメラ毎に許可コード発行条件を保有し、カメラ毎に設定された許可コード発行条件に基づき許可コードの発行を行う。
図1に示したカメラシステムは、カメラで撮影され暗号化された画像ファイルを入手または閲覧または利用する場合、記録サーバから発行される許可コードが必要であるカメラシステムであり、記録サーバは、許可コードの発行の要請に対して、許可コード発行条件に基づき、許可コードを発行するカメラシステムである。図1においては、通信3で閲覧装置・閲覧ソフトウェアから記録サーバへ送信される問合せコードが許可コードの発行を要請するコードになる。
許可コード発行条件は、閲覧条件設定者が設定・変更可能である。記録サーバは、許可コードの発行の要請の受付から、許可コード発行までの過程における、カメラ、画像ファイル、閲覧者などに関する情報を記録する。カメラ、画像ファイル、閲覧者、などに関する情報の例としては、カメラID、画像ファイルのファイルID、閲覧者ID、許可コード発行時刻、発行した許可コード、などがある。
閲覧条件設定者は、許可コード発行条件を、記録サーバに秘匿的に設定できる。つまり、許可コード発行条件を、閲覧条件設定者と記録サーバのみしか知ることがないように設定できる。例えば、許可コード発行条件を暗号化して、記録サーバに設定し、記録サーバには、その暗号化された許可コード発行条件を復号化するための復号キーを予め設定しておくことで、許可コード発行条件を閲覧条件設定者と記録サーバのみしか知ることがない。運用形態によっては、カメラシステムが適正に運用されることを証明・保障する目的で、閲覧条件設定者が、許可コード発行条件の全部、または、一部を公開することも考えられる。暗号キー設定者は、暗号キーや復号キーを、カメラに秘匿的に設定できる。つまり、画像の暗号化や復号化に利用される暗号キーと復号キーを、暗号キー設定者とカメラのみしか知ることがないように設定できる。例えば、画像の暗号化と復号化に利用される暗号キーや復号キーを別の暗号キーで暗号化して、カメラに設定し、カメラには、当該暗号化された暗号キーや復号キーを復号化するための復号キーを予め設定しておくことで、画像の暗号化や復号化に利用される暗号キーや復号キーを暗号キー設定者やカメラのみしか知ることがない。また、暗号キー設定者は、復号キーを、閲覧者に付与する。復号キーは、それ自身、暗号化されていることが好ましい。閲覧条件設定者と暗号キー設定者は、同一でもよく、例えば、市役所の総務課、安全安心課などが想定される。
閲覧者には、固有の閲覧者IDが付与される。また、閲覧者には、暗号キー設定者から、復号キーを付与される。閲覧者は、閲覧者ID、カメラID、当該カメラで撮影された画像の中で閲覧を希望する画像が撮影された時刻範囲、暗号キーを、閲覧装置・閲覧ソフトウェアに入力することにより、閲覧装置・閲覧ソフトウェアから、許可コード発行条件に基づき不鮮明化処理された不鮮明化ファイルを受け取り、利用・閲覧することができる。
図1には暗号キーが一つだけの場合が記述してあるが、暗号キーはカメラに対して複数設定することができる。カメラは、撮影した画像に対して、複数種類の不鮮明化処理を行った上で、それら複数の画像それぞれに対して、異なる暗号キーにより暗号化を行った上で保存することも可能である。また、カメラにより撮影された画像、及び、画像と共に保存されるその他の情報を合わせた画像データにおいて、複数の画像データそれぞれに対して、異なる暗号キーにより暗号化を行った上で保存することも可能である。これら複数の暗号化された画像や画像データ、つまり、暗号化ファイルを、一つのファイルとして保存してもよいし、別々のファイルとして保存してもうよい。なお、本明細書においては、「ファイル」は、一般的な意味での「電子ファイル」を意味する。
また、閲覧者は複数いることを想定している。閲覧者としては、市役所、警察署、カメラを設置する工事業者、カメラシステムを保守管理するメンテナンス業者、自治会、町内会、一般市民、などが考えられる。例えばメンテナンス業者はモザイク処理された不鮮明な画像しか見ることができず、警察や市役所等では不鮮明化されていない画像を見ることができる、という運用方法が想定される。
カメラには、固有のカメラIDが設定される。カメラで撮影された画像は、暗号キーにより、暗号化される。暗号化ファイルには、固有のファイルIDが付与される。当該ファイルIDは、カメラID、撮影時刻の情報を含む。撮影された画像は、適当に設定された時間間隔で撮影された静止画でもよいし、適当に設定された時間の間に録画された動画でもよい。
カメラの時計の狂い等により、2つ以上のファイルが、同一時刻に生成される可能性がある。このような場合においても、固有のファイルIDが生成されることを保障する目的で、ファイルIDの中に、撮影された画像ファイル内部の情報の一部、乱数などを付加することが考えられる。固有のファイルIDを付与された暗号化ファイルは、カメラ内部に保存される。また、ファイルIDに番号を含ませて、暗号化ファイルの生成の度に当該番号を1つ増加させることで、異なるファイルIDを与えることも可能である。
閲覧者は画像の閲覧を行う場合、閲覧装置・閲覧ソフトウェアから記録サーバに許可コードの発行要請を行うが、この要請は閲覧装置・閲覧ソフトウェアから問合せコードを記録サーバに送信することにより行う。記録サーバは閲覧装置・閲覧ソフトウェアから送られた問合せコードに対して、予め設定された許可コード発行条件に基づき処理を行い、許可コード発行要請が許可コード発行条件を満たしている場合には、許可コードを閲覧装置・閲覧ソフトウェアに出力する。許可コードは、問合せコードに内蔵された閲覧者ID、ファイルIDに加え、画像閲覧の権限の強さを示す閲覧条件コードが追加されたものとして作成される。閲覧条件コードでは、閲覧時の画像の鮮明度、閲覧可能なファイル数、閲覧可能回数、保存の可否などが規定される。
記録サーバは、閲覧装置・閲覧ソフトウェアとの通信内容を記録する。特に、閲覧者ID、ファイルID、閲覧条件コードを記録することにより、どの閲覧者が、どの画像ファイルを、どの不鮮明度で、閲覧することを許されたかを記録する。記録サーバに、カメラが撮影した暗号化された画像ファイル、暗号キー設定者が設定したカメラの暗号キーが、入力されることはない。暗号化された画像に記録サーバが取り扱うことはないため、記録サーバの管理者が画像を閲覧することは不可能である。
記録サーバは、閲覧条件設定者、暗号キー設定者、閲覧者とは異なる第3者により、独立して管理運用されることが好ましい。記録サーバの管理運用者としては、民間のサーバ提供会社、市役所の情報メディア部門、社団法人、特定非営利活動法人などが想定される。
閲覧装置・閲覧ソフトウェアは、閲覧用ソフトウェアがインストールされた専用に開発された閲覧装置でも良いし、市販のノートパソコン、スマートフォン、タブレットPCにインストールされた閲覧ソフトウェアでも良い。特に、閲覧用ソフトウェアがインストールされた専用に開発された閲覧装置とすることで、より高い安全性が確保できる。
閲覧装置・閲覧ソフトウェアは、閲覧者からの画像の閲覧要求に応じて、カメラ、記録サーバと通信を行い、暗号化された電子ファイルである暗号化ファイルを取得する。閲覧者からの画像の閲覧要求は、カメラIDと時刻範囲から構成される。当該暗号化ファイルにファイル変換処理が施され、不鮮明化ファイルが生成される。ファイル変換処理の詳細は、以下のように行われる。
図1のファイル変換処理においては、入力された暗号化ファイルに対して、まず、復号キーを用いて復号化処理が行われ、暗号化が解除され、暗号解除ファイルが生成される。次に、その暗号解除ファイルに対して、さらに、閲覧条件コードで規定されたモザイク処理等の不鮮明化処理を施し、不鮮明化ファイルを作る。なお、暗号解除ファイルは、画像データの電子ファイルであり、静止画、動画像等のデータが、閲覧装置・閲覧ソフトウェアにより解釈が可能である形で埋め込まれたファイルである。
ファイル変換処理により生成された不鮮明化ファイルは、閲覧者に出力される。不鮮明化処理の強度は、閲覧条件コードにより規定された強度で行われる。不鮮明化強度がゼロに設定されている場合は、不鮮明化処理が行われない不鮮明化ファイルを出力する。なお、不鮮明化ファイルは、一般的な画像、または、動画のファイル形式の画像ファイルと、画像ファイルと一体とできない他の種類の情報を記述したファイルの組み合わせでも良い。閲覧条件コードは、記録サーバから入力された許可コードから分離して使用される。 なお、図1に示した閲覧装置・閲覧ソフトウェアの「ファイル変換処理」の過程において生成される一時ファイルである「暗号解除ファイル」を、外部から伺い知ることを困難にするためには、メモリにスクランブルをかけるなどの難読化が有効である。
図1のカメラシステムにおいて、閲覧者がファイルを閲覧する要求である閲覧要求を出してから、不鮮明化ファイルを閲覧者が受け取るまでの処理は、以下のように行われる。
まず、閲覧者は、閲覧したい画像をカメラIDと時刻範囲により指定する。閲覧者は、カメラID と時刻範囲を閲覧装置・閲覧ソフトウェアに閲覧要求として入力する。閲覧者は、閲覧者IDと復号化キーを閲覧装置・閲覧ソフトウェアに予め入力しておくか、カメラIDと時刻範囲の入力と同時に閲覧装置・閲覧ソフトウェアに入力する。復号化キーの入力は、閲覧装置・閲覧ソフトウェアが復号キーを必要する段階で行ってもよい。閲覧装置・閲覧ソフトウェアはカメラIDと時刻範囲とから成るファイル指定コードを生成し、さらに、閲覧者IDとファイル指定コードからなる閲覧要求コードを閲覧要求コード作製処理が生成する。
次に、図1の通信1により、閲覧装置・閲覧ソフトウェアは、閲覧要求コードを、カメラに送る。カメラは、通信1により、閲覧要求コードを受け取ると、処理1を実施する。処理1は、ファイル指定コードで規定された時刻範囲に撮影された画像が暗号化された、暗号化ファイルのファイルIDを検索する。この結果に基づき、閲覧者IDとファイルIDからなる問合せコードを作成する。問合せコードを、通信2により、閲覧装置・閲覧ソフトウェアに送信する。なお、図1では、問合せコードにはファイルIDが一つだけである例を記してあるが、これは、複数個あってもよい。
なお、閲覧要求コードには、閲覧者が閲覧を希望する理由を記述した理由コードを含んでもよい。理由コードとしては、「刑事事件の捜査に必要」、「徘徊老人の探索に必要」、「カメラの保守管理のための定期検査用に必要」等の理由が考えられる。この場合、問合せコードにも、理由コードを転記することが好ましい。
問合せコードを受けた閲覧装置・閲覧ソフトウェアは、処理2を実施する。処理2は、通信3により、問合せコードを記録サーバに送信する。通信3により問合せコードを受けた記録サーバは、処理3を行う。処理3は、問合せコードが許可コード発行条件を満たすかを確認し、満たしていれば、許可コードを生成し、通信4により閲覧装置・閲覧ソフトウェアに送り出す。許可コードは、閲覧者IDとファイルIDと閲覧条件コードからなる。許可コードに含まれる閲覧者IDとファイルIDは通信3により送られてきた問合せコードに含まれる閲覧者IDとファイルIDとする。許可コードに含まれる閲覧条件コードは、予め設定された許可コード発行条件に基づいて決定される。記録サーバは処理3を行うのと同時に、閲覧者ID、ファイル指定コード、当該処理3が行われた時刻、閲覧条件コードをログに記録する。許可コード発行条件としては、登録された閲覧者ごとに、また、閲覧理由ごとに、1日あたりに閲覧することが可能であるファイル数、閲覧可能な不鮮明度、などの閲覧条件が規定されたテーブルであってもよい。
記録サーバは処理3により生成された許可コードを通信4により閲覧装置・閲覧ソフトウェアに送信する。通信4により許可コードを受けた閲覧装置・閲覧ソフトウェアは、処理4を実施する。処理4は、許可コードから閲覧条件コードを取り出し、保存する。さらに、処理4は、通信5により、許可コードをカメラに送信する。
通信5により、許可コードを受けたカメラは、処理5を実施する。処理5は、閲覧条件コードの真正性を確認し、許可コードにあるファイルIDに対応する暗号化ファイルを選び出す。選び出された暗号化ファイルは、通信6により、カメラから閲覧装置・閲覧ソフトウェアに送信される。
通信6により、暗号化ファイルを受けた閲覧装置・閲覧ソフトウェアは、ファイル変換処理により、暗号化ファイルを、不鮮明化ファイルに変換した上で、閲覧者に出力する。画像の不鮮明化処理としては、モザイク化処理などが好適である。
図1には記載されていないが、許可コードで許された閲覧範囲に対して、実際に閲覧した範囲(時間帯、不鮮明化の強度、閲覧回数、コピーの有無、など)を閲覧装置・閲覧ソフトウェアが記録サーバに報告し、記録サーバはそれを記録することを行うことにより、閲覧者が実際に閲覧した範囲を明確に証明することが可能となる。本発明により、閲覧行為が記録されるようになることで、許可コードで許可された範囲の中で、実際に閲覧していない範囲を、きちんと記録してほしいという要求が出て来ることが予想される。見てもいないものを、見たことにされるのを嫌がる閲覧者となりうる人が現れることが予想される。カメラ1台ごとに、静止画一枚ごと、動画1フレームごとに対して、不鮮明度を規定の上、閲覧を許可・記録する方式なら、こうした問題は回避できると考えられる。しかし、特に、後述のように、徘徊老人を芋づる式に追尾していく場合においては、広範囲な領域のカメラに対するアクセスを予め得ておくことは効率的である場合も、考えられる。また、1時間単位で一つのファイルとなることもある動画像のファイルに対しては、フレーム毎に閲覧条件を設定することは、非効率的であることも考えられる。
なお、閲覧条件コードには、閲覧を許可するカメラ、閲覧時の画像の鮮明度、閲覧可能なファイル数、閲覧可能回数、保存の可否などが規定されるが、これらの許可条件を固定値とはせずに、状況に応じて変化する変数としてもよい。例えば、閲覧を許可するカメラについては、あるカメラを起点として、当該カメラの周辺のカメラ、及び、当該カメラから遠いカメラであっても、当該カメラの位置から一筆書きでトレースできる道路上に存在するカメラは許可していくという方法が考えられる。これは、特に、徘徊老人を自宅から出たところから追尾する場合や、一つのカメラに写った容疑車両を追尾する場合において、理にかなった方法である。例えば容疑者を追跡するような場合、あるカメラで特定の時刻に撮影されていることが分かった場合、逃走方向に隣接するカメラでは、その時刻から一定時間後までに撮影された画像の閲覧が許可されることが理にかなっている。また、画像処理により人・車の認証を行い、ターゲットが写っている可能性の高い画像のみを、ターゲット以外を不鮮明化処理した画像として出力することも考えられる。たとえば、この様な条件で許可コードを出力する、許可コード発行条件とすることもできる。
実施例1に限らず、本明細書の全ての実施例では、カメラと閲覧装置・閲覧ソフトウェアと記録データが有線通信または無線通信により接続しており、インターネットまたはイントラネットに接続させることも可能であり、よって、本明細書の全ての実施例は、請求項7の実施例である。
図2に示す実施例2は請求項1の実施例である。実施例2においては、カメラ、閲覧装置・閲覧ソフトウェア、記録サーバは、インターネットに接続され、相互に通信を行うことができる。カメラ、閲覧装置・閲覧ソフトウェア、記録サーバで用いられる処理方法、暗号化、及び、復号化の方式は、カメラ、閲覧装置・閲覧ソフトウェア以外には知られていない。つまり、秘密になっている。秘密になっていることが重要である。
カメラをインターネットに接続することが難しい場合は、カメラと閲覧装置・閲覧ソフトウェア間の通信は短距離無線通信を用いるか、または、短距離無線通信によるアドホックネットワークを用いて、閲覧装置・閲覧ソフトウェアと記録サーバとの間の通信のみインターネットとすることが、有効である。なお、インターネット接続が一般的には便利であると思われるが、インターネット接続の代わりに、どのようなネットワーク接続を用いてもよい。また、上記短距離無線通信としては、ブルートゥース、ジグビーなどを用いてもよい。また、カメラと閲覧装置・閲覧ソフトウェアと記録サーバの間の通信は暗号化通信を用いてもよい。
図2に示したカメラシステムは、カメラで撮影され暗号化された画像ファイルを入手または閲覧する場合、記録サーバから発行される許可コードが必要であるカメラシステムであり、記録サーバは、許可コードの発行の要請に対して、許可コード発行条件に基づき、許可コードを発行するカメラシステムである。図2においては、通信3で閲覧装置・閲覧ソフトウェアから記録サーバへ送信される閲覧要求コードが許可コードの発行要請になる。
許可コード発行条件は、閲覧条件設定者が設定・変更可能である。記録サーバは、許可コードの発行の要請の受付から、許可コード発行までの過程における、閲覧者、カメラ、及び、そのカメラにより撮影・暗号化保存された画像ファイル、閲覧条件、処理を行った時刻、などに関する情報を記録する。カメラ、暗号化された画像ファイル、閲覧者、などに関する情報の例としては、カメラとそのカメラにより撮影・保存された画像ファイルを指定するファイル指定コード、閲覧者ID、閲覧条件コード、許可コード発行時刻、発行した許可コード、などがある。
閲覧条件設定者は、許可コード発行条件を、記録サーバに秘匿的に設定できる。つまり、許可コード発行条件を、閲覧条件設定者と記録サーバのみしか知ることがないように設定できる。例えば、許可コード発行条件を暗号化して、記録サーバに設定し、記録サーバには、その暗号化された許可コード発行条件を復号化するための復号キーを予め設定しておくことで、許可コード発行条件を閲覧条件設定者と記録サーバのみしか知ることがない。運用形態によっては、カメラシステムが適正に運用されることを証明・保障する目的で、閲覧条件設定者が、許可コード発行条件の全部、または、一部を公開することも考えられる。暗号キー設定者は、暗号キーや復号キーを、カメラに秘匿的に設定できる。つまり、画像の暗号化や復号化に利用される暗号キーと復号キーを、暗号キー設定者とカメラのみしか知ることがないように設定できる。例えば、画像の暗号化と復号化に利用される暗号キーや復号キーを別の暗号キーで暗号化して、カメラに設定し、カメラには、当該暗号化された暗号キーや復号キーを復号化するための復号キーを予め設定しておくことで、画像の暗号化や復号化に利用される暗号キーや復号キーを暗号キー設定者やカメラのみしか知ることがない。また、暗号キー設定者は、復号キーを、閲覧者に付与する。復号キーは、それ自身、暗号化されていることが好ましい。閲覧条件設定者と暗号キー設定者は、同一でもよく、例えば、市役所の総務課、安全安心課などが想定される。
例えば、ある市役所が、市内に数百万台のカメラを設置し、市役所のある部署が、閲覧条件設定者と暗号キー設定者となることが想定される。そして、市役所の他の部署、カメラの設置工事・メンテナンスを行う会社、市内の自治会などを閲覧者として指定し、それぞれに対する許可コード発行条件や許可コード発行条件を設定することが想定される。
閲覧者には固有の閲覧者IDが付与される。また、閲覧者には、暗号キー設定者から、暗号キーを付与される。閲覧者は、閲覧者ID、カメラID、当該カメラで撮影された画像の中で閲覧した画像が撮影された時刻範囲、暗号キーを、閲覧装置・閲覧ソフトウェアに入力することにより、閲覧装置・閲覧ソフトウェアから、許可コード発行条件に基づき不鮮明化処理された不鮮明化ファイルを受け取り、利用・閲覧することができる。
図2には暗号キーが一つだけの場合が記述してあるが、暗号キーはカメラに対して複数設定することができる。カメラは、撮影した画像に対して、複数種類の不鮮明化処理を行った上で、それら複数の画像それぞれに対して、異なる暗号キーにより暗号化を行った上で保存することも可能である。また、カメラにより撮影された画像、及び、画像と共に保存されるその他の情報を合わせた画像データにおいて、複数の画像データそれぞれに対して、異なる暗号キーにより暗号化を行った上で保存することも可能である。これら複数の暗号化された画像や画像データ、つまり、暗号化ファイルを、一つのファイルとして保存してもよいし、別々のファイルとして保存してもうよい。
また、閲覧者は複数いてもよい。閲覧者としては、市役所、警察署、設置工事業者、メンテナンス業者、自治会、一般市民、などが考えられる。例えばメンテナンス業者はモザイク処理された不鮮明な画像しか見ることができず、警察や市役所等では不鮮明化されていない画像を見ることができる、という運用方法が想定される。
カメラには、固有のカメラIDが設定される。カメラで撮影された画像は、暗号キーにより、暗号化される。暗号化ファイルには、固有のファイルIDが付与される。当該ファイルIDは、カメラID、撮影時刻の情報を含む。撮影された画像は、適当に設定された時間間隔で撮影された静止画でもよいし、適当に設定された時間の間に録画された動画でもよい。
カメラの時計の狂い等により、2つ以上のファイルが、同一時刻に生成される可能性がある。このような場合においても、固有のファイルIDが生成されることを保障する目的で、ファイルIDの中に、撮影された画像ファイル内部の情報の一部、乱数などを付加することが考えられる。固有のファイルIDを付与された暗号化ファイルは、カメラ内部に保存される。また、ファイルIDに番号を含ませて、暗号化ファイルの生成の度に当該番号を1つ増加させることで、異なるファイルIDを与えることも可能である。
閲覧者は画像の閲覧を行う場合、閲覧装置・閲覧ソフトウェアから記録サーバに許可コードの発行の要請を行うが、この要請は閲覧装置・閲覧ソフトウェアから閲覧要求コードを記録サーバに送信することにより行う。記録サーバは、閲覧装置・閲覧ソフトウェアからの閲覧要求コードの入力に対して、予め設定された許可コード発行条件に従い処理を行い、許可コード発行条件を満たしている場合には、許可コードを閲覧装置・閲覧ソフトウェアに出力する。許可コードは、閲覧要求コードに内蔵された閲覧者ID、ファイル指定コードに加え、画像閲覧の権限の強さを示す閲覧条件コードが追加されたものとして作成される。閲覧条件コードでは、閲覧時の画像の鮮明度、閲覧可能なファイル数、閲覧可能回数、保存の可否などが規定される。
記録サーバは、閲覧装置・閲覧ソフトウェアとの通信内容を記録する。特に、閲覧者ID、ファイル指定コード、閲覧条件コードを記録することにより、どの閲覧者が、どの画像ファイルを、どの不鮮明度で、閲覧することを許されたかを記録する。記録サーバに、カメラが撮影した暗号化された画像ファイル、暗号キー設定者が設定したカメラの暗号キーが、入力されることはない。暗号化された画像が記録サーバが取得することはないため、記録サーバが暗号化された画像ファイルを取得し、その取得された画像ファイルによる画像に映る人のプライバシの侵害はありえない。
記録サーバは、閲覧条件設定者、暗号キー設定者、閲覧者とは異なる第3者により、独立して管理運用することができる。記録サーバの管理運用者としては、民間のサーバ提供会社、市役所の情報メディア部門、社団法人、特定非営利活動法人などが想定される。
閲覧装置・閲覧ソフトウェアは、閲覧用ソフトウェアがインストールされた専用に開発された閲覧装置でも良いし、市販のノートパソコンにインストールされた閲覧ソフトウェアでも良い。特に、閲覧用ソフトウェアがインストールされた専用に開発された閲覧装置とすることで、より高い安全性が確保できる。
閲覧装置・閲覧ソフトウェアは、閲覧者からの閲覧要求に応じて、カメラ、記録サーバと通信を行い、暗号化ファイルを取得する。その暗号化ファイルにファイル変換処理が施され、不鮮明化ファイルが生成される。ファイル変換処理の詳細は、以下のように行われる。
図2のファイル変換処理においては、入力された暗号化ファイルに対して、暗号キーで復号化操作を行い、暗号化が解除され、一般的な画像、または、動画のファイル形式である暗号解除ファイルを作る。次に、その暗号解除ファイルに対して、さらに、閲覧条件コードで規定されたモザイク処理等の不鮮明化処理を施し、不鮮明化ファイルを作る。
ファイル変換処理により生成された不鮮明化ファイルは、閲覧者に出力される。不鮮明化処理の強度は、閲覧条件コードにより規定された強度で行われる。不鮮明化強度がゼロに設定されている場合は、不鮮明化処理が行われない不鮮明化ファイルを出力する。なお、不鮮明化ファイルは、一般的な画像、または、動画のファイル形式である。閲覧条件コードは、記録サーバから入力された許可コードから分離して使用される。なお、図2に示した閲覧装置・閲覧ソフトウェアの「ファイル変換処理」の過程において生成される一時ファイルである「暗号解除ファイル」を、外部から伺い知ることを困難にするためには、メモリにスクランブルをかけるなどの難読化が有効である。
図2のカメラシステムにおける、閲覧者が画像の閲覧要求を出してから、不鮮明化ファイルを閲覧者が受け取るまでの処理は、以下のように行われる。
まず、閲覧者は、閲覧したい画像をカメラIDと時刻範囲により指定する。閲覧者は、カメラID と時刻範囲を閲覧装置・閲覧ソフトウェアに閲覧要求として入力する。閲覧者は、閲覧者IDと復号化キーを閲覧装置・閲覧ソフトウェアに予め入力しておくか、カメラIDと時刻範囲の入力と同時に閲覧装置・閲覧ソフトウェアに入力する。復号化キーの入力は、閲覧装置・閲覧ソフトウェアが復号キーを必要とする段階で行ってもよい。閲覧装置・閲覧ソフトウェアはカメラIDと時刻範囲とから成るファイル指定コードを生成し、さらに、閲覧者IDとファイル指定コードからなる閲覧要求コードを閲覧要求コード作製処理が生成する。図2では、カメラID、時刻範囲はそれぞれ一つのみが図示されているが、複数のカメラIDに対して、それぞれ、個別に時刻範囲が指定された組み合わせでもよい。
次に、通信3により、閲覧装置・閲覧ソフトウェアは、閲覧要求コードを、記録サーバに送る。記録サーバは、通信3により、閲覧要求コードを受け取ると、処理3を行う。処理3は、許可コードを生成し、通信4により閲覧装置・閲覧ソフトウェアに送り出す。許可コードは、閲覧者IDとファイル指定コードと閲覧条件コードからなる。許可コードに含まれる閲覧者IDとファイル指定コードは通信3により送られてきた閲覧要求コードに含まれる閲覧者IDとファイル指定コードとする。許可コードに含まれる閲覧条件コードは、予め設定された許可コード発行条件に基づいて決定される。記録サーバは処理3を行うのと同時に、閲覧者ID、ファイル指定コード、閲覧条件コードをログに記録する。なお、閲覧要求コードには、閲覧者が閲覧を希望する理由を記受した理由コードを含んでもよい。理由コードとしては、「刑事事件の捜査に必要」、「徘徊老人の探索に必要」、「カメラの保守管理のための定期検査用に必要」等の理由が考えられる。この場合、記録サーバには、理由コードも記録されることが望ましい。
通信4により許可コードを受けた閲覧装置・閲覧ソフトウェアは、処理4を実施する。処理4は、許可コードから閲覧条件コードを取り出し、保存する。閲覧装置・閲覧ソフトウェアは、通信5により、許可コードをカメラに送り出す。
通信5により、許可コードを受けたカメラは、処理5を実施する。処理5は、許可コードに記載されたファイル指定コードで規定された時刻範囲に撮影された暗号化ファイルのファイルIDを検索し、選び出す。選び出された暗号化ファイルは、通信6により、閲覧装置・閲覧ソフトウェアに送り出される。
通信6により、暗号化ファイルを受けた閲覧装置・閲覧ソフトウェアは、ファイル変換処理により、暗号化ファイルを、不鮮明化ファイルに変換した上で、閲覧者に出力する。画像の不鮮明化処理としては、モザイク化処理などが好適である。
図3に示す実施例3は請求項1の実施例である。実施例3においては、カメラ、閲覧装置・閲覧ソフトウェア、記録サーバは、インターネットに接続され、相互に通信を行うことができる。カメラ、閲覧装置・閲覧ソフトウェア、記録サーバで用いられる処理方法、暗号化、及び、復号化の方式は、カメラ、閲覧装置・閲覧ソフトウェア以外には知られていない。つまり、秘密になっている。秘密になっていることが重要である。
カメラをインターネットに接続することが難しい場合は、カメラと閲覧装置・閲覧ソフトウェア間の通信は短距離無線通信を用いるか、または、短距離無線通信によるアドホックネットワークを用いて、閲覧装置・閲覧ソフトウェアと記録サーバとの間の通信のみインターネットとすることが、有効である。なお、インターネット接続が一般的には便利であると思われるが、インターネット接続の代わりに、どのようなネットワーク接続を用いてもよい。また、上記短距離無線通信としては、ブルートゥース、ジグビーなどを用いてもよい。また、カメラと閲覧装置・閲覧ソフトウェアと記録サーバの間の通信は暗号化通信を用いてもよい。
あるいは、閲覧装置・閲覧ソフトウェアとカメラとの間の通信は、SDカードなどのメモリカードの受け渡しにより行ってもよい。例えば、カメラで撮影され、暗号化された画像ファイルの保存媒体が、カメラに差し込まれたSDカードである場合、当該SDカードをカメラから抜出、閲覧装置、あるいは、閲覧ソフトウェアがインストールされたパーソナルコンピュータに挿入することにより、情報、及び、または、暗号化ファイルのやり取りを行っても良い。各カメラを、インターネットに常時接続するのでなく、スタンドアローンとすることで、導入コストを低く押さえることができるが、メンテナンス作業、及び、画像取得作業は、各カメラの設置場所まで作業員が出向く必要があるため、手間がかかることになる。
実施例3において、そしていずれの実施例においても、全国に散在する市役所などのカメラシステムの運営主体が、それぞれ、数百台から数千台程度のカメラを運営するシステムを想定している。各運営主体が、許可コード発行条件を設定する閲覧条件設定者、及び、暗号キーを設定する暗号キー設定者となる。記録サーバは、1つのカメラシステムに対して、1つある必要はなく、複数のカメラシステムに対して、第3者機関に管理・運営された記録サーバが一つあれば十分である。
図3に示したシステムは、カメラで撮影され暗号化された画像ファイルを、入手または閲覧する際に、記録サーバから発行される許可コードが必要であるカメラシステムであり、記録サーバは、許可コードの発行要請に対して、許可コード発行条件に基づき、許可コードを発行するカメラシステムである。図3において、通信3で閲覧装置・閲覧ソフトウェアから記録サーバへ送信される問合せコードが許可コードの発行要請になる。
許可コード発行条件は、閲覧条件設定者が設定・変更可能である。記録サーバは、許可コードの発行の要請の受付から、許可コード発行までの過程における、閲覧者、カメラ、及び、そのカメラにより撮影・暗号化保存された画像ファイル、閲覧条件、処理を行った時刻、などに関する情報を記録する。カメラ、暗号化された画像ファイル、閲覧者、などに関する情報の例としては、カメラとそのカメラにより撮影・保存された画像ファイルを指定するファイル指定コード、閲覧者ID、閲覧条件コード、許可コード発行時刻、発行した許可コード、などがある。
閲覧条件設定者は、許可コード発行条件を、記録サーバに秘匿的に設定できる。つまり、許可コード発行条件を、閲覧条件設定者と記録サーバのみしか知ることがないように設定できる。例えば、許可コード発行条件を暗号化して、記録サーバに設定し、記録サーバには、その暗号化された許可コード発行条件を復号化するための復号キーを予め設定しておくことで、許可コード発行条件を閲覧条件設定者と記録サーバのみしか知ることがない。運用形態によっては、カメラシステムが適正に運用されることを証明・保障する目的で、閲覧条件設定者が、許可コード発行条件の全部、または、一部を公開することも考えられる。暗号キー設定者は、暗号キーや復号キーを、カメラに秘匿的に設定できる。つまり、画像の暗号化や復号化に利用される暗号キーと復号キーを、暗号キー設定者とカメラのみしか知ることがないように設定できる。例えば、画像の暗号化と復号化に利用される暗号キーや復号キーを別の暗号キーで暗号化して、カメラに設定し、カメラには、当該暗号化された暗号キーや復号キーを復号化するための復号キーを予め設定しておくことで、画像の暗号化や復号化に利用される暗号キーや復号キーを暗号キー設定者やカメラのみしか知ることがない。また、暗号キー設定者は、復号キーを、閲覧者に付与する。復号キーは、それ自身、暗号化されていることが好ましい。閲覧条件設定者と暗号キー設定者は、同一でもよく、例えば、市役所の総務課、安全安心課などが想定される。
閲覧者には固有の閲覧者IDが付与される。また、閲覧者には、暗号キー設定者から、暗号キーを付与される。閲覧者は、閲覧者ID、カメラID、当該カメラで撮影された画像の中で閲覧した画像が撮影された時刻範囲、暗号キーを、閲覧装置・閲覧ソフトウェアに入力することにより、閲覧装置・閲覧ソフトウェアから、許可コード発行条件に基づき不鮮明化処理された不鮮明化ファイルを受け取り、閲覧することができる。
また、閲覧者は複数いてもよい。閲覧者としては、市役所、警察署、設置工事業者、メンテナンス業者、自治会、一般市民、などが考えられる。例えばメンテナンス業者はモザイク処理された不鮮明な画像しか見ることができず、警察や市役所等では不鮮明化されていない画像を見ることができる、という運用方法が想定される。
カメラには、固有のカメラIDが設定される。カメラで撮影された画像は、暗号キーにより、暗号化される。暗号化ファイルには、カメラID、撮影時刻を含む、固有のファイルIDが付与される。このファイルIDは、ファイル名と同一であってもよい。撮影された画像は、適当に設定された時間間隔で撮影された静止画でもよいし、適当に設定された時間の間に録画された動画でもよい。
カメラの時計の狂い等により、2つ以上のファイルが、同一時刻に生成される可能性がある。このような場合においても、固有のファイルIDが生成されることを保障する目的で、ファイルIDの中に、撮影された画像ファイル内部の情報の一部、乱数などを付加することが考えられる。固有のファイルIDを付与された暗号化ファイルは、カメラ内部に保存される。また、ファイルIDに番号を含ませて、暗号化ファイルの生成の度に当該番号を1つ増加させることで、異なるファイルIDを与えることも可能である。
閲覧者は画像の閲覧を行う場合、閲覧装置・閲覧ソフトウェアから記録サーバに許可コードの発行要請を行うが、この要請は閲覧装置・閲覧ソフトウェアから問合せコードを記録サーバに送信することにより行う。記録サーバは、閲覧装置・閲覧ソフトウェアからの問合せコードに対して、予め設定された許可コード発行条件に従い処理を行い、許可コード発行条件を満たしている場合には、許可コードを閲覧装置・閲覧ソフトウェアに出力する。許可コードは、問合せコードに内蔵された閲覧者ID、ファイルIDに加え、画像閲覧の権限の強さを示す閲覧条件コードが追加されたものとして作成される。閲覧条件コードでは、閲覧時の画像の鮮明度、閲覧可能なファイル数、閲覧可能回数、保存の可否などが規定される。
記録サーバは、閲覧装置・閲覧ソフトウェアとの通信内容を記録する。特に、閲覧者ID、ファイル指定コード、閲覧条件コードを記録することにより、どの閲覧者が、どの画像ファイルを、どの不鮮明度で、閲覧することを許されたかを記録する。記録サーバに、カメラが撮影した暗号化された画像ファイル、暗号キー設定者が設定したカメラの暗号キーが、入力されることはない。暗号化された画像を記録サーバが取得することはないため、記録サーバが暗号化された画像ファイルを取得し、その取得された画像ファイルによる画像に映る人のプライバシの侵害はありえない。
記録サーバは、閲覧条件設定者、暗号キー設定者、閲覧者とは異なる第3者により、独立して運用することができる。記録サーバの管理者としては、民間のサーバ提供会社、市役所の情報メディア部門、社団法人、特定非営利活動法人などが想定される。
閲覧装置・閲覧ソフトウェアは、閲覧用ソフトウェアがインストールされた専用に開発された閲覧装置でも良いし、市販のノートパソコンにインストールされた閲覧ソフトウェアでも良い。特に、閲覧用ソフトウェアがインストールされた専用に開発された閲覧装置とすることで、より高い安全性が確保できる。
閲覧装置・閲覧ソフトウェアは、閲覧者からのファイル閲覧要求に応じて、カメラ、記録サーバと通信を行い、暗号化ファイルを取得する。その暗号化ファイルに対して、ファイル変換処理が施され、不鮮明化ファイルが生成される。ファイル変換処理の詳細は、以下のように行われる。
まず、入力された暗号化ファイルに対して、暗号キーで復号化操作を行い、暗号化が解除され、一般的な静止画、または、動画のファイル形式である暗号解除ファイルを作る。次に、その暗号解除ファイルに対して、さらに、閲覧条件コードで規定されたモザイク処理等の不鮮明化処理・閲覧制限処理を施し、不鮮明化画像を作る。
ファイル変換処理により生成された不鮮明化画像は、閲覧者に対して出力される。不鮮明化処理の強度は、閲覧条件コードにより規定された強度で行われる。不鮮明化強度がゼロに設定されている場合は、実質的には不鮮明化処理が行われない不鮮明化ファイルを出力する。なお、不鮮明化ファイルは、一般的な静止画または動画の、ファイル形式である。閲覧条件コードは、記録サーバから入力された許可コードから分離して使用される。
なお、図3に示した閲覧装置・閲覧ソフトウェアの「ファイル変換処理」の過程において生成される一時ファイルである「暗号解除ファイル」を、外部から伺い知ることを困難にするためには、メモリにスクランブルをかけるなどの難読化が有効である。
本カメラシステムにおける、閲覧者が画像の閲覧要求を出してから、不鮮明化処理された画像を閲覧者が受け取るまでの処理は、以下のように行われる。
まず、閲覧者は、閲覧者IDと復号キーを閲覧装置・閲覧ソフトウェアに入力する。復号キーの入力は、閲覧装置・閲覧ソフトウェアが復号キーを必要する段階で行ってもよい。次に、図3のファイルの選択を行う。ファイルの選択では、閲覧者が、閲覧装置・閲覧ソフトウェアを用いて、カメラから閲覧したい暗号化ファイルを入手する。入手する方法としては、閲覧装置・閲覧ソフトウェアがカメラと通信をして、カメラ内に保存された暗号化ファイルのリストを示し、その中から、閲覧者に入手したいファイルを選択させ、当該ファイルをカメラに送出させる方法が考えられる。あるいは、別の例では、暗号化ファイルが保存されたSDカードなどのメモリカードをカメラから抜出し、それを、閲覧装置・閲覧ソフトウェアが稼働しているPCなどに挿入する。そして、当該SDカード内に保存された暗号化ファイルのリストを示し、その中から、閲覧者に入手したいファイルを選択させ、当該ファイルを閲覧装置・閲覧ソフトウェアが稼働しているPCにコピーする方法が考えられる。
次に、閲覧装置・閲覧ソフトウェアは、閲覧者IDとファイルIDからなる問合せコードを作成する。図3では、問合せコードにはファイルIDが一つだけの例を記してあるが、これは、複数個あってもよい。
なお、問合せコードには、閲覧者が閲覧を希望する理由を記受した理由コードを含んでもよい。理由コードとしては、「刑事事件の捜査に必要」、「徘徊老人の探索に必要」、「カメラの保守管理のための定期検査用に必要」等の理由が考えられる。
閲覧装置・閲覧ソフトウェアは、通信3により、問合せコードを記録サーバに送信する。通信3により問合せコードを受けた記録サーバは、処理3を実施する。処理3は、予め設定された許可コード発行条件に基づいて許可コードを生成し、通信4により閲覧装置・閲覧ソフトウェアに送り出す。同時に、閲覧者ID、ファイルID、閲覧条件コードなどをログに記録する。
通信4により許可コードを受けた閲覧装置・閲覧ソフトウェアは、許可コードに示された閲覧者ID、ファイルIDが一致することを確認の上、閲覧条件コードで規定された条件に従い、ファイル変換処理を行う。ファイル変換処理においては、まず、閲覧者から入力された暗号キーにより、暗号を解除し、中間ファイルとして暗号解除ファイルを生成する。この暗号解除ファイルに対して、閲覧条件コードで規定された条件に従い、不鮮明化ファイルに変換した上で、閲覧者に出力する。画像の不鮮明化処理としては、モザイク化処理などが好適である。
図4に示す実施例4は請求項1の実施例である。実施例4においては、カメラ、閲覧装置・閲覧ソフトウェア、記録サーバは、インターネットに接続され、相互に通信を行うことができる。カメラ、閲覧装置・閲覧ソフトウェア、記録サーバで用いられる処理方法、暗号化、及び、復号化の方式は、カメラ、閲覧装置・閲覧ソフトウェア以外には知られていない。つまり、秘密になっている。秘密になっていることが重要である。
カメラをインターネットに接続することが難しい場合は、カメラと閲覧装置・閲覧ソフトウェア間の通信は短距離無線通信を用いるか、または、短距離無線通信によるアドホックネットワークを用いて、閲覧装置・閲覧ソフトウェアと記録サーバとの間の通信のみインターネットとすることが、有効である。なお、インターネット接続が一般的には便利で あると思われるが、インターネット接続の代わりに、どのようなネットワーク接続を用いてもよい。また、上記短距離無線通信としては、ブルートゥース、ジグビーなどを用いてもよい。また、カメラと閲覧装置・閲覧ソフトウェアと記録サーバの間の通信は暗号化通信を用いてもよい。
あるいは、閲覧装置・閲覧ソフトウェアとカメラとの間の通信は、SDカードなどのメモリカードの受け渡しにより行ってもよい。例えば、カメラで撮影され、暗号化された画像ファイルの保存媒体が、カメラに差し込まれたSDカードである場合、当該SDカードをカメラから抜出、閲覧装置、あるいは、閲覧ソフトウェアがインストールされたパーソナルコンピュータに挿入することにより、情報、及び、または、暗号化ファイルのやり取りを行っても良い。各カメラを、インターネットに常時接続するのでなく、スタンドアローンとすることで、導入コストを低く押さえることができるが、メンテナンス作業、及び、画像取得作業は、各カメラの設置場所まで作業員が出向く必要があるため、手間がかかることになる。
図4に示したシステムは、カメラで撮影され暗号化された画像ファイルを、入手、または、閲覧、または、利用する場合、記録サーバから発行される許可コードが必要であるカメラシステムであり、記録サーバは、許可コードの発行要請に対して、予め定められた許可コード発行条件に基づいて、許可コードを発行するカメラシステムである。図4においては、通信3で閲覧装置・閲覧ソフトウェアから記録サーバへ送信される問合せコードが許可コードの発行要請にあたる。
許可コード発行条件は、閲覧条件設定者が設定・変更可能である。記録サーバは、許可コードの発行要請の受付から、許可コード発行までの過程における、カメラ、画像ファイル、閲覧者、などに関する情報を記録することを特徴とする、カメラシステムである。カメラ、画像ファイル、閲覧者、などに関する情報の例としては、カメラID、画像ファイルID、閲覧者ID、許可コード発行時刻、発行した許可コード、などがある。
実施例1と同様に、閲覧条件設定者は、許可コード発行条件を、記録サーバに、秘匿的に設定できる。許可コード発行条件は、それ自身、暗号化されていることが好ましい。暗号キー設定者は、暗号キーや復号キーを、カメラに秘匿的に設定できる。また、暗号キー設定者は、復号キーを、閲覧者に付与する。復号キーは、それ自身、暗号化されていることが好ましい。暗号キーや復号キーは、2つ以上のキーから構成されてもよい。実施例4では、暗号キーは、3つのキー、すなわち、キーA、キーB、キーCから構成され、画像ファイルの暗号化、復号化、及び、不鮮明化処理は、それらのキーに基づいて行われる。暗号キーは、合成して一つのファイルとしたものとして作製されてもよいし、個別のファイルとして製作されてもよい。キーA、キーB、キーCは、暗号キー設定者が、数字・記号・文字を組合せた文字列として設定する。実施例4では、キーAが、ファイルの暗号化及び復号化を行うキーとして使わる。キーB、キーCは、不鮮明度を制御するコードとして画像ファイルと結合された上で、暗号化される。
実施例4では、カメラが撮影した画像、各種センサからの出力等のデータは、キーBとキーCが加えられた上で、キーAに基づき暗号化され、暗号化ファイルとして保存される。暗号化ファイルは、閲覧装置・閲覧ソフトウェアにおいて、入力されたキーAにより復号化され、そこに含まれるキーB、キーCは分離され取り出される。復号化された画像データを、入力されたキーの組み合わせで規定される不鮮明化処理を施した上で出力する。
閲覧装置・閲覧ソフトウェアは、入力された暗号キーの中のキーAによりデータを復号化し、復号化されたデータに含まれているキーB、及び、キーCと一致するものが、暗号キーとして入力されているか否かを判断し、一致するものがあれば、その一致したキーに決められている不鮮明化処理を施した画像を表示し、一致するものがなければ何も表示しないか、あるいは、予め設定された強度で不鮮明化した画像の全て、または、一部を出力する。例えば、閲覧装置に入力された暗号キーに含まれるキーの組み合わせと、不鮮明度の強度の関係として、以下が考えられる。
キーA無し:暗号化されたファイルの復号化ができない。画像の出力は無い。
キーAのみ:不鮮明化の強度3
キーAとキーB:不鮮明化の強度2
キーAとキーC:不鮮明化の強度1
キーAとキーBとキーC:不鮮明化の強度0。不鮮明化処理を行わない鮮明な画像。
キーA無し:暗号化されたファイルの復号化ができない。画像の出力は無い。
キーAのみ:不鮮明化の強度3
キーAとキーB:不鮮明化の強度2
キーAとキーC:不鮮明化の強度1
キーAとキーBとキーC:不鮮明化の強度0。不鮮明化処理を行わない鮮明な画像。
なお、上記で、不鮮明化の強度は、強度0、強度1、強度2、強度3の順に強くなり、より、不鮮明な画像になっていく。なお、カメラで作製される暗号化ファイルに、画像データに加え、音声データ、温度データ、GPS位置データ、時刻データなどが含まれる場合、それぞれのデータに対して、画像の不鮮明化・不明瞭化に合わせ、上記のキーの組み合わせで規定される不鮮明化の強度に応じて不明瞭化処理を行ってもよい。
閲覧者に付与するキーの組み合わせで不鮮明化の強度を制御することで、感覚的に分かり易く、本発明のカメラシステムの管理運用者以外の人に対して説明のし易い、プライバシ保護の仕組みとすることが可能になる。記録サーバの役割を、閲覧状況の記録をする役割を主として、閲覧権限の制御をする役割を最小限に抑えることは、記録サーバの管理者・運営者の権限を抑えることに繋がり、プライバシ保護の観点から好ましい。その意味から、閲覧者に付与するキーの組み合わせで不鮮明化の強度を制御することは好ましい。閲覧条件設定者と暗号キー設定者は、同一でもよく、例えば、市役所の総務課、安全安心課などが想定される。
閲覧者は、固有の閲覧者IDが付与される。また、暗号キー設定者から、復号キーを付与される。閲覧者は、カメラシステムの管理運用者や閲覧条件設定者や暗号キー設定者などが定めた条件で不鮮明化処理された不鮮明化処理ファイルを受け取り、閲覧することができる。また、閲覧者は複数いてもよい。閲覧者としては、市役所、警察署、設置工事業者、メンテナンス業者、自治会、一般市民、などが考えられる。例えばメンテナンス業者はモザイク処理された不鮮明な画像しか見ることができず、警察や市役所等では不鮮明化されていない画像を見ることができる、という運用方法が想定される。
図4に示した閲覧者は、キーAとキーCを付与されている。上記のように、閲覧者に応じて、付与されるキーの組み合わせを変えることにより、各閲覧者が閲覧することができる画像の不鮮明度を制御することができる。この技術については、 特許文献2に開示されている。
カメラには、固有のカメラIDが設定される。カメラが撮影した画像、各種センサからの出力等のデータは、カメラにおいて、キーBとキーCが加えられた上で、キーAに基づき暗号化され、暗号化ファイルとして保存される。カメラで撮影された画像は、暗号化キーの中のキーBとキーCと結合された上で、暗号キーの中のキーAにより、暗号化される。暗号化ファイルには、固有のファイルIDが付与される。当該ファイルIDは、カメラID、撮影時刻の情報を含む。撮影された画像は、適当に設定された時間間隔で撮影された静止画でもよいし、適当に設定された時間の間に録画された動画でもよい。
カメラの時計の狂い等により、2つ以上のファイルが、同一時刻に生成される可能性がある。このような場合においても、固有のファイルIDが生成されることを保障する目的で、ファイルIDの中に、撮影された画像ファイル内部の情報の一部、乱数などを付加することが考えられる。固有のファイルIDを付与された暗号化ファイルは、カメラ内部に保存される。また、ファイルIDに番号を含ませて、暗号化ファイルの生成の度に当該番号を1つ増加させることで、異なるファイルIDを与えることも可能である。
記録サーバは、閲覧装置・閲覧ソフトウェアからの問合せコードの入力に対して、予め設定された許可コード発行条件に従い処理を行い、許可コードを閲覧装置・閲覧ソフトウェアに出力する。許可コードは、問合せコードに内蔵された閲覧者ID、ファイルIDに加え、画像閲覧の権限の強さを示す閲覧条件コードが追加されたものとして作成される。実施例4では、閲覧者に付与される暗号キーを構成するキーA、キーB、キーCの組み合わせで、不鮮明化の強度を制御する方式を採用している。閲覧条件コードには、閲覧可能なファイル数、閲覧可能回数、保存の可否などが記述される。なお、閲覧条件コードに、不鮮明化処理の強度の下限、及び/または、上限を規定するパラメータを追加してもよい。閲覧条件設定者は、インターネットを介して、記録サーバへの許可コード発行条件の変更を瞬時に行うことができるので、閲覧者の閲覧条件の中で閲覧する画像の不鮮明度を急に変更する必要が生じた場合には、この機能は、特に、有効である。
記録サーバは、閲覧装置・閲覧ソフトウェアとのやり取りの過程を記録する。特に、閲覧者ID、ファイルID、閲覧条件コードを記録することにより、どの閲覧者が、どの画像ファイルを閲覧することを許されたかを記録する。記録サーバに、被写体のプライバシ情報を含む恐れのある暗号化ファイル、暗号キー設定者が設定した暗号キーが、入力されることはない。記録サーバは、閲覧条件設定者、暗号キー設定者、閲覧者とは異なる第3者により、独立して運用することができる。記録サーバの管理者としては、民間のサーバ提供会社、市役所の情報メディア部門、社団法人、特定非営利活動法人などが想定される。
閲覧装置・閲覧ソフトウェアは、閲覧用ソフトウェアがインストールされた専用に開発された閲覧装置でも良いし、市販のノートパソコンにインストールされた閲覧ソフトウェアでも良い。特に、閲覧用ソフトウェアがインストールされた専用に開発された閲覧装置とすることで、より高い安全性が確保できる。
閲覧装置・閲覧ソフトウェアは、閲覧者からの閲覧要求に応じて、カメラ、記録サーバと通信を行い、暗号化ファイルを取得する。その暗号化ファイルに対して、ファイル変換処理が施され、不鮮明化ファイルが生成される。ファイル変換処理の詳細は、以下のように行われる。
実施例4では、閲覧者が閲覧装置・閲覧ソフトウェアに入力した復号キーから、キーA、キーCが分離する。図4に示された閲覧者に付与された復号キーには、キーAとキーCのみが含まれる。まず、入力された暗号化ファイルに対して、キーAで復号化操作を行い、暗号化が解除され、一般的な静止画または動画の、ファイル形式である暗号解除ファイルを作る。次に、その暗号解除ファイルに対して、さらに、暗号キーに含まれるキーの組み合わせで規定される不鮮明化の強度に応じたモザイク処理等の不鮮明化処理さらに、
許可コードに含まれる閲覧条件コードに基づき閲覧制限処理を施し、不鮮明化ファイルを作る。ファイル変換処理により生成された不鮮明化ファイルは、閲覧者に対して出力される。 なお、許可コードに含まれる閲覧条件コードに記述される閲覧可能なファイル数、閲覧可能回数、保存の可否に応じて、上記の処理は制限を受ける。
許可コードに含まれる閲覧条件コードに基づき閲覧制限処理を施し、不鮮明化ファイルを作る。ファイル変換処理により生成された不鮮明化ファイルは、閲覧者に対して出力される。 なお、許可コードに含まれる閲覧条件コードに記述される閲覧可能なファイル数、閲覧可能回数、保存の可否に応じて、上記の処理は制限を受ける。
図4のカメラシステムにおける、閲覧者が閲覧要求を出してから、不鮮明化ファイルを受け取るまでの処理は、以下のようになる。
まず、閲覧者は、閲覧者IDと復号キーを閲覧装置・閲覧ソフトウェアに入力する。復号キーの入力は、閲覧装置・閲覧ソフトウェアが復号キーを必要する段階で行ってもよい。次に、図4のファイルの選択を行う。ファイルの選択では、閲覧者が、閲覧装置・閲覧ソフトウェアを用いて、カメラから閲覧したい暗号化ファイルを入手する。入手する方法としては、閲覧装置・閲覧ソフトウェアがカメラと通信をして、カメラ内に保存された暗号化ファイルのリストを示し、その中から、閲覧者に入手したいファイルを選択させ、当該ファイルをカメラに送出させる方法が考えられる。あるいは、別の例では、暗号化ファイルが保存されたSDカードなどのメモリカードをカメラから抜出し、それを、閲覧装置・閲覧ソフトウェアが稼働しているPCなどに挿入する。そして、当該SDカード内に保存された暗号化ファイルのリストを示し、その中から、閲覧者に入手したいファイルを選択させ、当該ファイルを閲覧装置・閲覧ソフトウェアが稼働しているPCにコピーする方法が考えられる。
次に、閲覧装置・閲覧ソフトウェアは、閲覧者IDとファイルIDからなる問合せコードを作成する。図4では、問合せコードにはファイルIDが一つだけの例を記してあるが、これは、複数個あってもよい。 なお、問合せコードには、閲覧者が閲覧を希望する理由を記受した理由コードを含んでもよい。理由コードとしては、「刑事事件の捜査に必要」、「徘徊老人の探索に必要」、「カメラの保守管理のための定期検査用に必要」等の理由が考えられる。
閲覧装置・閲覧ソフトウェアは、通信3により、問合せコードを記録サーバに送信する。通信3により問合せコードを受けた記録サーバは、処理3により、許可コードを生成し、通信4により閲覧装置・閲覧ソフトウェアに送り出す。処理3は、予め設定された許可コード発行条件に基づいて行われる。同時に、閲覧者ID、ファイルID、閲覧条件コードなどをログに記録する。
通信4により許可コードを受けた閲覧装置・閲覧ソフトウェアは、許可コードに示された閲覧ID、ファイルIDが一致することを確認の上、閲覧条件コードで規定された条件に従い、ファイル変換処理を行う。ファイル変換処理においては、まず、閲覧者から入力されたキーAにより、暗号を解除し、中間ファイルとして暗号解除ファイルを生成する。この暗号解除ファイルに対して、暗号キーに含まれるキーA、キーB、キーCなどのキーの組み合わせで規定される条件で、不鮮明化処理を施した不鮮明化ファイルを生成する。その不鮮明化ファイルを、閲覧者に出力する。画像の不鮮明化処理としては、モザイク化処理などが好適である。
図5に示す実施例5は請求項2の実施例である。実施例5と実施例1は、同一のハードウェアで同時に実現することができる。実施例5と実施例1は、同一カメラシステムで実現できる2つの機能を表している。実施例1では、閲覧者から閲覧の要求を出す場合を説明している。一方、実施例5では、カメラ側で異常を検知した際などに、カメラから閲覧者に対して閲覧の要請をする場合を説明している。
図5に示すカメラシステムにおいては、カメラ、閲覧装置・閲覧ソフトウェア、記録サーバは、インターネットに接続され、相互に通信を行うことができる。カメラ、閲覧装置・閲覧ソフトウェア、記録サーバで用いられる処理方法、暗号化、及び、復号化の方式は、カメラ、閲覧装置・閲覧ソフトウェア、記録サーバ以外には知られていない。つまり、秘密になっている。秘密になっていることが重要である。
図5に示したカメラシステムは、カメラで撮影され暗号化された画像ファイルを、閲覧者が入手または閲覧または利用する場合に、記録サーバから発行される許可コードが必要であるカメラシステムであり、記録サーバは、許可コードの発行要請に対して、許可コード発行条件に基づき、許可コードを発行するカメラシステムである。図5においては、問合せコードが許可コードの発行要請になる。
許可コード発行条件は、閲覧条件設定者が設定・変更可能である。記録サーバは、許可コードの発行の要請の受付から、許可コード発行までの過程における、カメラID、画像ファイルID、閲覧者ID、許可コード発行時刻、発行した許可コード、などの情報を記録する。
実施例5では、カメラ内での画像処理により、カメラが取得した画像が画像処理により分析され、その分析結果が画像と関連付けて保存され、その分析結果を閲覧装置・閲覧ソフトウェアに対して知らしめる。なお、音声情報、温度情報、二酸化炭素などのガス濃度情報、など、カメラが取得する画像以外の情報がある場合は、それらを含めて信号処理を行い、火事、喧嘩、不審な動き、交通事故などの異常検知に役立てることは有効である。例えば、音声情報は、喧嘩、交通事故の際に発する異常な音を検知するのに役立つ。また、温度情報、ガス濃度情報は、火災の検出に役立つ。
図5において、閲覧要請コードは、閲覧装置・閲覧ソフトウェアのみに通知されるが、通知先として、閲覧者の携帯電話に電子メール等で通知することも可能である。あるいは、閲覧要請コードを受信した閲覧装置・閲覧ソフトウェアが、閲覧要請コードを受けた旨を、閲覧者の携帯電話などに電子メール等で通知することも有効である。
実施例1と同様に閲覧条件設定者は、許可コード発行条件を、記録サーバに秘匿的に設定できる。許可コード発行条件は、暗号化されていることが好ましい。暗号キー設定者は、暗号キーを、カメラに秘匿的に設定できる。また、暗号キー設定者は、復号キーを、閲覧者に付与する。復号キーは、それ自身、暗号化されていることが好ましい。閲覧条件設定者と暗号キー設定者は、同一でもよく、例えば、市役所の総務課、安全安心課などが想定される。
閲覧者には、固有の閲覧者IDが付与される。また、閲覧者には、暗号キー設定者から、復号キーを付与される。閲覧者は、閲覧者ID、カメラID、当該カメラで撮影された画像の中で閲覧した画像が撮影された時刻範囲、復号キーを、閲覧装置・閲覧ソフトウェアに入力することにより、カメラからの閲覧要請コードに対して、閲覧するか否かの可否判断を行う。閲覧要請コードに対して応諾する判断を下した場合には、閲覧装置・閲覧ソフトウェアから、許可コード発行条件に基づき不鮮明化処理された不鮮明化処理ファイルを受け取り、閲覧することができる。
暗号キーはカメラに対して複数設定することができる。カメラは撮影した画像から複数種類の不鮮明化処理を行い画像を保存することができ、その複数の画像それぞれに対して、異なる暗号キーにより暗号化を行うことも可能である。
また、閲覧者は複数いてもよい。閲覧者としては、市役所、警察署、設置工事業者、メンテナンス業者、自治会、一般市民、などが考えられる。例えばメンテナンス業者はモザイク処理された不鮮明な画像しか見ることができず、警察や市役所等では不鮮明化されていない画像を見ることができる、という運用方法が想定される。
カメラには、固有のカメラIDが設定される。カメラで撮影された画像は、暗号キーにより、暗号化される。暗号化ファイルには、カメラID、撮影時刻を含む、固有のファイルIDが付与される。このファイルIDは、ファイル名と同一であってもよい。撮影された画像は、適当に設定された時間間隔で撮影された静止画でもよいし、適当に設定された時間の間に録画された動画でもよい。
カメラの時計の狂い等により、2つ以上のファイルが、同一時刻に生成される可能性がある。このような場合においても、固有のファイルIDが生成されることを保障する目的で、ファイルIDの中に、撮影された画像ファイル内部の情報の一部、乱数などを付加することが考えられる。固有のファイルIDを付与された暗号化ファイルは、カメラ内部に保存される。また、ファイルIDに番号を含ませて、暗号化ファイルの生成の度に当該番号を1つ増加させることで、異なるファイルIDを与えることも可能である。
カメラは、撮影された画像に対して、ケンカ、放火、徘徊、落書き、交通事故、路上寝込み、不法投棄、街路灯の点灯異常、などの不審な動きなどを検知する画像処理を行い、不審な動きなどが検知された場合には、予め定められた閲覧者に対して画像の閲覧要請コードを送信する。また、画像が真っ暗であることやノイズが過剰であること等によりカメラの故障の可能性を検知し、画像の閲覧要請を行う機能を付加してもよい。
画像の閲覧要請をインターネットを使った通信で出す機能に加え、カメラ近傍に設置されたサイレン・回転灯などで外部に対して警報を出す機能、及び/または、携帯電話回線で警察署や消防署などに緊急連絡を行う機能を、及び/または、電子メールやその他のWEBサービスへメッセージを送信する機能を、付加してもよい。画像処理の条件、閲覧要請を出す条件、などは、前述の、閲覧条件設定者、暗号キー設定者などにより、事前に、設定される。
記録サーバは、閲覧装置・閲覧ソフトウェアからの問合せコードの入力に対して、予め設定された許可コード発行条件に従い情報処理を行い、許可コードを閲覧装置・閲覧ソフトウェアに出力する。許可コードは、問合せコードに内蔵された閲覧者ID、ファイルIDに加え、画像閲覧の権限の強さを示す閲覧条件コードが追加されたものとして作成される。許可コードにより規定される閲覧権限の強さに応じて、閲覧可能な画像の不鮮明度が規定される。
記録サーバは、閲覧装置・閲覧ソフトウェアとのやり取りの過程を記録する。特に、閲覧者ID、ファイルID、閲覧条件コードを記録することにより、どの閲覧者が、どの画像ファイルを、どの不鮮明度で、閲覧することを許されたかを記録する。 記録サーバに、被写体のプライバシ情報を含む暗号化ファイル、暗号キー設定者が設定した暗号キーや復号キーが、入力されることはない。
記録サーバは、閲覧条件設定者、暗号キー設定者、閲覧者とは異なる第3者により、独立して運用することができる。記録サーバの管理者としては、民間のサーバ提供会社、市役所の情報メディア部門、社団法人、特定非営利活動法人などが想定される。
閲覧装置・閲覧ソフトウェアは、閲覧用ソフトウェアがインストールされた専用に開発された閲覧装置でも良いし、市販のノートパソコンにインストールされた閲覧ソフトウェアでも良い。特に、閲覧用ソフトウェアがインストールされた専用に開発された閲覧装置とすることで、より高い安全性が確保できる。
閲覧装置・閲覧ソフトウェアは、カメラからのファイル閲覧要請に応じて、カメラ、記録サーバと通信を行い、暗号化ファイルを取得する。その暗号化ファイルに対して、ファイル変換処理が施され、不鮮明化ファイルが生成される。ファイル変換処理の詳細は、以下のように行われる。
まず、入力された暗号化ファイルに対して、暗号キーで復号化操作を行い、暗号化が解除され、一般的な静止画または動画の、ファイル形式である暗号解除ファイルを作る。次に、その暗号解除ファイルに対して、さらに、閲覧条件コードで規定されたモザイク処理等の不鮮明化処理を施し、不鮮明化ファイルを作る。
ファイル変換処理により生成された不鮮明化ファイルは、閲覧者に対して出力される。不鮮明化処理の強度は、閲覧条件コードにより規定された強度で行われる。不鮮明化強度がゼロに設定されている場合は、実質的には不鮮明化処理が行われない不鮮明化ファイルを出力する。なお、不鮮明化ファイルは、一般的な静止画、または、動画のファイル形式である。閲覧条件コードは、記録サーバから入力された許可コードから分離して使用される。
なお、図5に示した閲覧装置・閲覧ソフトウェアの「ファイル変換処理」の過程において生成される一時ファイルである「暗号解除ファイル」を、外部から伺い知ることを困難にするためには、メモリにスクランブルをかけるなど難読化が有効である。
本カメラシステムにおける、カメラが画像の閲覧要請コードを出してから、閲覧者が不鮮明化ファイルを受け取るまでの処理は、以下のように行われる。
まず、カメラは、カメラが撮影した画像、及び/または、画像以外の温度、振動、音波、電磁波などに関するセンシング情報を、カメラシステム管理運用者などにより設定されたアルゴリズムに従い処理を行う。その結果、ケンカ、交通事故、放火、徘徊、痴漢、空き巣、強盗、カメラへの接触、などの異常が検知された場合には、所定の閲覧者に対して、画像等の閲覧要請を行う。
図5の「撮影画像」は、「撮影画像等のセンシング情報」と解釈する。同じく、図5の「画像処理」は、「画像処理等のセンシング情報処理」と解釈する。カメラは、閲覧者IDとファイルIDからなる閲覧要請コードを作成する。閲覧要請コードを、通信2により、閲覧装置・閲覧ソフトウェアに送信する。なお、図5では、閲覧要請コードにはファイルIDが一つだけの例を記してあるが、これは、複数個あってもよい。なお、図5には示されていないが、閲覧要請コードには、閲覧者が閲覧するべき理由を記受した理由コードを含む。 理由コードとしては、「ケンカと思われる異常な動きが検知された」、「カメラ内部の動作がおかしく故障していることが予想される」、などが考えられる。閲覧要請コードは閲覧装置・閲覧ソフトウェアが受け取るのではなく、閲覧者のスマートフォンやタブレットPCなどが受け取ることも可能であり、閲覧者は受け取った閲覧要請コードを閲覧装置・閲覧ソフトウェアに入力することも実施例として考えられる。
閲覧要請コードを受けた閲覧装置・閲覧ソフトウェアは、処理2を実施する。処理2は、閲覧要請コードに含まれる理由コードを分離し、それを、閲覧者に示し、カメラからの閲覧の要請を受諾するか否かの判断を求める。あるいは、閲覧装置・閲覧ソフトウェアは、予め定められた条件に従い、閲覧の要請を受諾するか否かの判断を自動的に行う。閲覧の要請を受諾する判断が下された場合は、閲覧装置・閲覧ソフトウェアは問合せコードを作製し、通信3により、問合せコードを記録サーバに送信する。
通信3により問合せコードを受けた記録サーバは、処理3を実施する。処理3は、予め設定された許可コード発行条件に基づいて許可コードを生成し、通信4により閲覧装置・閲覧ソフトウェアに送り出す。
通信4により許可コードを受けた閲覧装置・閲覧ソフトウェアは、処理4を実施する。処理4は、許可コードから閲覧条件コードを取り出し、保存する。閲覧装置・閲覧ソフトウェアは、通信5により、許可コードをカメラに送り出す。通信5により、許可コードを受けたカメラは、処理5を実施する。処理5は、閲覧条件コードの真正性を確認し、許可コードにあるファイルIDに対応する暗号化ファイルを選び出す。選び出された暗号化ファイルは、通信6により、閲覧装置・閲覧ソフトウェアに送り出される。
通信6により、暗号化ファイルを受けた閲覧装置・閲覧ソフトウェアは、ファイル変換処理により、暗号化ファイルを、不鮮明化ファイルに変換した上で、閲覧者に出力する。画像の不鮮明化処理としては、モザイク化処理などが好適である。
図6に示す実施例6は請求項2の実施例である。実施例6と実施例1は、同一のハードウェアで同時に実現することができる。実施例6と実施例1は、同一カメラシステムで実現できる2つの機能を表している。実施例1では、閲覧者から閲覧の要求を出す場合を説明している。実施例6では、カメラ側で異常を検知した際などに、カメラから記録サーバに対して閲覧者による閲覧の要請をする場合を説明している。
図6に示すカメラシステムにおいては、カメラ、閲覧装置・閲覧ソフトウェア、記録サーバは、インターネットに接続され、相互に通信を行うことができる。カメラ、閲覧装置・閲覧ソフトウェア、記録サーバで用いられる処理方法、暗号化、及び、復号化の方式は、カメラ、閲覧装置・閲覧ソフトウェア、記録サーバ以外には知られていない。つまり、秘密になっている。秘密になっていることが重要である。
図6に示したカメラシステムは、カメラで撮影され暗号化された画像ファイルを、入手、または、閲覧、または、利用する場合に、記録サーバから発行される許可コードが必要である。記録サーバは、許可コードの発行要請に対して、許可コード発行条件に基づき、許可コードを発行する。図6においては、通信2で記録サーバに送信される閲覧要請コードが許可コード発行要請になる。
許可コード発行条件は、閲覧条件設定者が設定・変更可能である。記録サーバは、許可コードの発行の要請の受付から、許可コード発行までの過程における、カメラID、画像ファイルID、閲覧者ID、許可コード発行時刻、発行した許可コード、などの情報を記録する。カメラ内での画像処理により、カメラで撮影された画像に含まれる情報が画像処理により分析され、その分析結果が画像と関連付けて保存される処理、及び/または、その分析結果を記録サーバに対して知らしめる処理を行う。
実施例1と同様に、閲覧条件設定者は、許可コード発行条件を、記録サーバに、秘匿的に設定できる。許可コード発行条件は、それ自身、暗号化されていることが好ましい。暗号キー設定者は、暗号キーや復号キーを、カメラに秘匿的に設定できる。また、暗号キー設定者は、復号キーを、閲覧者に付与する。復号キーは、それ自身、暗号化されていることが好ましい。閲覧条件設定者と暗号キー設定者は、同一でもよく、例えば、市役所の総務課、安全安心課などが想定される。
閲覧者は、固有の閲覧者IDが付与される。また、暗号キー設定者から、暗号キーを付与される。閲覧者は、記録サーバからの閲覧の要請に対して、閲覧するか否かの可否判断を行う。閲覧の要請に対して応諾する判断を下した場合には、閲覧装置・閲覧ソフトウェアは、カメラから暗号化ファイルを受け取り、不鮮明化処理を施された画像等を出力する。
カメラには、固有のカメラIDが設定される。カメラで撮影された画像は、暗号キーにより、暗号化される。暗号化ファイルには、カメラID、撮影時刻を含む、固有のファイルIDが付与される。このファイルIDは、ファイル名と同一であってもよい。
撮影された画像は、適当に設定された時間間隔で撮影された静止画でもよいし、適当に設定された時間の間に録画された動画でもよい。カメラは、撮影された画像に対して、ケンカ・放火・徘徊などの不審な動きなどを検知する画像処理を行い、不審な動きなどが検知された場合には、記録サーバを介して、予め定められた閲覧者に対して画像の閲覧の要請を行う。
カメラの時計の狂い等により、2つ以上のファイルが、同一時刻に生成される可能性がある。このような場合においても、固有のファイルIDが生成されることを保障する目的で、ファイルIDの中に、撮影された画像ファイル内部の情報の一部、乱数などを付加することが考えられる。固有のファイルIDを付与された暗号化ファイルは、カメラ内部に保存される。また、ファイルIDに番号を含ませて、暗号化ファイルの生成の度に当該番号を1つ増加させることで、異なるファイルIDを与えることも可能である。
画像の閲覧の要請をインターネットを使った通信で出す機能に加え、カメラ近傍に設置されたサイレン・回転灯などで外部に対して警報を出す機能、及び/または、携帯電話回線で警察署や消防署などに緊急連絡を行う機能を、付加してもよい。画像処理の条件、閲覧の要請を出す条件、などは、前述の、閲覧条件設定者、暗号キー設定者などにより、事前に、設定される。
記録サーバは、カメラからの閲覧要請コードの入力に対して、予め設定された許可コード発行条件に従い処理を行い、許可コードを閲覧装置・閲覧ソフトウェアに出力する。許可コードは、閲覧要請コードに内蔵された閲覧者ID、ファイルID、理由コードに加え、画像閲覧の権限の強さを示す閲覧条件コードが追加されたものとして作成される。許可コードにより規定される閲覧権限の強さに応じて、閲覧可能な画像の不鮮明度が規定される。
記録サーバは、カメラ、閲覧装置・閲覧ソフトウェアとのやり取りの過程を記録する。特に、閲覧者ID、ファイルID、閲覧条件コード、理由コードを記録することにより、どの閲覧者が、どの画像ファイルを、どの不鮮明度で、どのような理由で、閲覧することを許可されたかを記録する。記録サーバに、被写体のプライバシ情報を含む暗号化ファイル、暗号キー設定者が設定した暗号キーが、入力されることはないことが、情報セキュリティの観点から望ましい。 記録サーバは、閲覧条件設定者、暗号キー設定者、閲覧者とは異なる第3者により、独立して運用することができる。記録サーバの管理者としては、民間のサーバ提供会社、市役所の情報メディア部門、社団法人、特定非営利活動法人などが想定される。
閲覧装置・閲覧ソフトウェアは、閲覧用ソフトウェアがインストールされた専用に開発された閲覧装置でも良いし、市販のノートパソコンにインストールされた閲覧ソフトウェアでも良い。特に、閲覧用ソフトウェアがインストールされた専用に開発された閲覧装置とすることで、より高い安全性が確保できる。閲覧装置・閲覧ソフトウェアは、記録サーバからのファイル閲覧の要請に応じて、カメラ、記録サーバと通信を行い、暗号化ファイルを取得する。その暗号化ファイルに対して、ファイル変換処理が施され、不鮮明化ファイルが生成される。ファイル変換処理の詳細は、以下のように行われる。
まず、入力された暗号化ファイルに対して、復号キーで復号化操作を行い、暗号化が解除され、一般的な静止画または動画の、ファイル形式である暗号解除ファイルを作る。次に、その暗号解除ファイルに対して、さらに、閲覧条件コードで規定されたモザイク処理等の不鮮明化処理を施し、不鮮明化画像を作る。ファイル変換処理により生成された不鮮明化画像は、閲覧者に対して出力される。不鮮明化処理の強度は、閲覧条件コードにより規定された強度で行われる。不鮮明化強度がゼロに設定されている場合は、実質的には鮮明化処理が行われない不鮮明化ファイルを出力する。なお、不鮮明化ファイルは、一般的な静止画、または、動画のファイル形式である。閲覧条件コードは、記録サーバから入力された許可コードから分離して使用される。 なお、図6に示した閲覧装置・閲覧ソフトウェアの「ファイル変換処理」の過程において生成される一時ファイルである「暗号解除ファイル」を、外部から伺い知ることを困難にするためには、メモリにスクランブルをかけるなど難読化が有効である。
本システムにおける、カメラが画像の閲覧の要請を出してから、閲覧者が不鮮明化処理された画像を受け取るまでの処理は、以下のようになる。
まず、カメラは、カメラ自身が撮影した画像、及び/または、画像以外の温度、振動、音波、電磁波などに関するセンシング情報を、所定のアルゴリズムに従い処理を行う。その結果、ケンカ、放火、徘徊、痴漢、空き巣、強盗、などの異常が検知された場合には、所定の閲覧者に対して、画像等の閲覧の要請を行う。
図6の撮影画像は、撮影画像等のセンシング情報とみなすことができる。また、図6の画像処理は、画像処理等のセンシング情報処理とみなすこともできる。
カメラは、閲覧者IDとファイルIDからなる閲覧要請コードを作成する。閲覧要請コードを、通信2により、記録サーバに送信する。なお、図6では、閲覧要請コードにはファイルIDが一つだけの例を記してあるが、これは、複数個あってもよい。なお、図6には示されていないが、閲覧要請コードには、閲覧者が閲覧するべき理由を記受した理由コードを含む。 理由コードとしては、「ケンカと思われる異常な動きが検知された」、「カメラ内部の動作がおかしく故障していることが予想される」、などが考えられる。
閲覧要請コードを受けた記録サーバは、予め定められた許可コード発行条件に基づいた処理3により、許可コードを生成し、通信4により閲覧装置・閲覧ソフトウェアに送り出す。許可コードは、問合せコードに内蔵された閲覧者ID、ファイルID、画像閲覧の権限の強さを示す閲覧条件コードに加え、閲覧要請コードに含まれる理由コードが追加されたものとして作成される。
通信4により許可コードを受けた閲覧装置・閲覧ソフトウェアは、処理4を実施する。処理4は、閲覧要請コードに含まれる理由コードを分離し、それを、閲覧者に示し、カメラからの閲覧の要請を受諾するか否かの判断を求める。あるいは、閲覧装置・閲覧ソフトウェアは、予め定められた条件に従い、閲覧の要請を受諾するか否かの判断を自動的に行う。閲覧の要請を受諾する判断が下された場合は、閲覧装置・閲覧ソフトウェアは許可コードを、通信5により、送信する。
通信5により、許可コードを受けたカメラは、処理5を実施する。処理5は、閲覧条件コードの真正性を確認し、許可コードにあるファイルIDに対応する暗号化ファイルを選び出す。選び出された暗号化ファイルは、通信6により、閲覧装置・閲覧ソフトウェアに送り出される。通信6により、暗号化ファイルを受けた閲覧装置・閲覧ソフトウェアは、ファイル変換処理により、暗号化ファイルを、不鮮明化ファイルに変換した上で、閲覧者に出力する。画像の不鮮明化処理としては、モザイク化処理などが好適である。
図7に示す実施例7は請求項3の実施例である。図7においては、カメラ、閲覧装置・閲覧ソフトウェア、記録サーバは、インターネットに接続され、相互に通信を行うことができる。カメラ、閲覧装置・閲覧ソフトウェア、記録サーバで用いられる処理方法、暗号化、及び、復号化の方式は、カメラ、閲覧装置・閲覧ソフトウェア以外には知られていない。つまり、秘密になっている。秘密になっていることが重要である。
カメラをインターネットに接続することが難しい場合は、カメラと閲覧装置・閲覧ソフトウェア間の通信は短距離無線通信を用いるか、または、短距離無線通信によるアドホックネットワークを用いて、閲覧装置・閲覧ソフトウェアと記録サーバとの間の通信のみインターネットとすることが、有効である。なお、インターネット接続が一般的には便利であると思われるが、インターネット接続の代わりに、どのようなネットワーク接続を用いてもよい。また、上記短距離無線通信としては、ブルートゥース、ジグビーなどを用いてもよい。また、カメラと閲覧装置・閲覧ソフトウェアと記録サーバの間の通信は暗号化通信を用いてもよい。
図7においては、復号キーは閲覧装置・閲覧ソフトウェアに埋め込まれる形となっている。また、実施例1を説明するための図1に対して、暗号キー設定者が決めた暗号キーや復号キーを、カメラ、及び、閲覧装置・閲覧ソフトウェアに、設定する設定装置・設置ソフトウェアが追加されている。その他の点では、実施例7と実施例1は、同様である。
図7に示したカメラシステムは、カメラで撮影され暗号化された画像ファイルを、入手、閲覧、利用する場合には、記録サーバから発行される許可コードが必要である。記録サーバは、許可コードの発行要請に対して、許可コード発行条件に基づき、許可コードを発行する。図7においては、通信3で閲覧装置・閲覧ソフトウェアから記録サーバへ送信される問合せコードが許可コードの発行を要請するコードになる。
許可コード発行条件は、閲覧条件設定者が設定・変更可能である。記録サーバは、許可コードの発行要請の受付から、許可コード発行までの過程における、カメラID、画像ファイルID、閲覧者ID、許可コード発行時刻、発行した許可コード、などの情報を記録する。さらに、暗号キー設定者が決めた暗号キーや復号キーを、カメラや閲覧装置・閲覧ソフトウェアに、設定する設定装置・設定ソフトウェアに関する情報も記録する。
実施例7では、以下のような運用形態を想定している。すなわち、閲覧条件設定者、暗号キー設定者は、ともに、市役所の安全安心課であり、当該市役所が、数十万台のネットワークに接続されたカメラを市街地に設置・運用している。閲覧者としては、安全安心課に加え、町内会、カメラ設置工事会社、カメラメンテナンス会社、等がある。記憶サーバは、カメラシステムの開発・販売会社、あるいは、NPOなどが管理・運営する。
暗号キー設定者である市役所の安全安心課の職員が、暗号キーや復号キーを決定し、それを、暗号キーや復号キーを設定するための設定装置・設定ソフトに入力することで、各カメラ、各閲覧装置・閲覧ソフトウェアに一括設定をすることが可能となる。
安全安心課の職員により、設定装置・設定ソフトに入力された暗号キーや復号キーは秘匿化されている。つまり、暗号キーや復号キーを設定装置・設定ソフトウェアから取得することは、カメラや閲覧装置・閲覧ソフトウェア以外には知ることができない。例えば、設定装置・設定ソフトウェアへのアクセスには、特別なプロトコルが必要であり、これがカメラや閲覧装置・閲覧ソフトウェア以外には秘密になっている、カメラや閲覧装置・閲覧ソフトウェアの内部は暗号化されており、その復号キーはカメラや閲覧装置・閲覧ソフトウェア以外には秘密になっている。
暗号キーや復号キーは秘匿化されているため、設定装置・設定ソフトウェアを管理する、カメラシステムの設置会社、メンテナンス会社は、暗号キーや復号キーを知る事なく、全てのカメラ、全ての閲覧装置・閲覧ソフトに、暗号キーの設定を行うことことが可能となる。担当の安全安心課の職員は、一度、暗号キーを設定装置・設定ソフトウェアに入力するだけで、あとは、カメラシステムの設置会社、メンテナンス会社に任せることができる。
なお、一括設定の方法としては、インターネットを介して自動設定してもよいし、また、SDカードなどを抜き差しする方式でもよいし、また、ジグビーやブルートゥースなどの近距離無線通信を介して設定されても良い。暗号キーや復号キーと同様に、許可コード発行条件も、同じ設定装置・設定ソフトウェアで設定できるようにしてもよい。 閲覧条件設定者と暗号キー設定者は、同一でもよく、例えば、市役所の総務課、安全安心課などが想定される。
閲覧者は、固有の閲覧者IDが付与される。また、暗号キー設定者から、暗号キーや復号キーが設定された閲覧装置・閲覧ソフトウェアの提供を受ける。閲覧者は、閲覧者ID、カメラID、当該カメラで撮影された画像の中で閲覧した画像が撮影された時刻範囲を、閲覧装置・閲覧ソフトウェアに入力することにより、閲覧装置・閲覧ソフトウェアから、所定の条件で不鮮明化処理された不鮮明化処理ファイルを受け取り、閲覧することができる。
カメラには、固有のカメラIDが設定される。カメラで撮影された画像は、暗号キーにより、暗号化される。暗号化ファイルには、カメラID、撮影時刻を含む、固有のファイルIDが付与される。このファイルIDは、ファイル名と同一であってもよい。
撮影された画像は、適当に設定された時間間隔で撮影された静止画でもよいし、適当に設定された時間の間に録画された動画でもよい。カメラの時計の狂い等により、2つ以上のファイルが、同一時刻に生成される可能性がある。このような場合においても、固有のファイルIDが生成されることを保障する目的で、ファイルIDの中に、撮影された画像ファイル内部の情報の一部、乱数などを付加することが考えられる。固有のファイルIDを付与された暗号化ファイルは、カメラ内部に保存される。また、ファイルIDに番号を含ませて、暗号化ファイルの生成の度に当該番号を1つ増加させることで、異なるファイルIDを与えることも可能である。
記録サーバは、閲覧装置・閲覧ソフトウェアからの問合せコードの入力に対して、予め設定された許可コード発行条件に従い処理を行い、許可コードを閲覧装置・閲覧ソフトウェアに出力する。許可コードは、問合せコードに内蔵された閲覧者ID、ファイルIDに加え、画像閲覧の権限の強さを示す閲覧条件コードが追加されたものとして作成される。許可コードにより規定される閲覧権限の強さに応じて、閲覧可能な画像の不鮮明度が規定される。
記録サーバは、閲覧装置・閲覧ソフトウェアとのやり取りの過程を記録する。特に、閲覧者ID、ファイルID、閲覧条件コードを記録することにより、どの閲覧者が、どの画像ファイルを、どの不鮮明度で、閲覧することを許されたかを記録する。記録サーバに、被写体のプライバシ情報を含む暗号化ファイル、暗号キー設定者が設定した暗号キーや復号キーが、入力されることはない。記録サーバは、閲覧条件設定者、暗号キー設定者、閲覧者とは異なる第3者により、独立して運用することができる。記録サーバの管理者としては、民間のサーバ提供会社、市役所の情報メディア部門、社団法人、特定非営利活動法人などが想定される。
閲覧装置・閲覧ソフトウェアは、閲覧用ソフトウェアがインストールされた専用に開発された閲覧装置でも良いし、市販のノートパソコンにインストールされた閲覧ソフトウェアも良い。特に、閲覧用ソフトウェアがインストールされた専用に開発された閲覧装置とすることで、より高い安全性が確保できる。
閲覧装置・閲覧ソフトウェアは、閲覧者からのファイル閲覧要求に応じて、カメラ、記録サーバと通信を行い、暗号化ファイルを取得する。その暗号化ファイルに対して、ファイル変換処理が施され、不鮮明化ファイルが生成される。ファイル変換処理の詳細は、以下のようになる。
まず、入力された暗号化ファイルに対して、暗号キーで復号化操作を行い、暗号化が解除され、一般的な静止画、または、動画のファイル形式である暗号解除ファイルを作る。次に、その暗号解除ファイルに対して、さらに、閲覧条件コードで規定されたモザイク処理等の不鮮明化処理を施し、不鮮明化ファイルを作る。
ファイル変換処理により生成された不鮮明化ファイルは、閲覧者に対して出力される。不鮮明化処理の強度は、閲覧条件コードにより規定された強度で行われる。不鮮明化強度がゼロに設定されている場合は、実質的には不鮮明化処理が行われない不鮮明化ファイルを出力する。なお、不鮮明化画像は、一般的な静止画または動画の、ファイル形式である。閲覧条件コードは、記録サーバから入力された許可コードから分離して使用される。
なお、図7に示した閲覧装置・閲覧ソフトウェアの「ファイル変換処理」の過程において生成される一時ファイルである「暗号解除ファイル」を、外部から伺い知ることを困難にするためには、メモリにスクランブルをかけるなど難読化が有効である。
本カメラシステムにおける、閲覧者が画像の閲覧要求を出してから、不鮮明化処理された画像を受け取るまでの処理は、以下のように行われる。
まず、閲覧者は、閲覧要求として、閲覧したい画像をカメラIDと時刻範囲により指定し、閲覧者IDと共に、閲覧装置・閲覧ソフトウェアに入力する。閲覧装置・閲覧ソフトウェアは、カメラIDと時刻範囲とから成るファイル指定コードを生成する。さらに、閲覧者IDとファイル指定コードからなる閲覧要求コードを生成する。次に、通信1により、閲覧装置・閲覧ソフトウェアは、閲覧要求コードを、カメラに送る。
カメラは、通信1により、閲覧要求コードを受け取ると、処理1を実施する。処理1は、ファイル指定コードで規定された時刻範囲に撮影された暗号化ファイルのファイルIDを検索する。この結果に基づき、閲覧者IDとファイルIDからなる問合せコードを作成する。問合せコードを、通信2により、閲覧装置・閲覧ソフトウェアに送信する。なお、図では、問合せコードにはファイルIDが一つだけの例を記してあるが、これは、複数個あってもよい。なお、閲覧要求コードには、閲覧者が閲覧を希望する理由を記受した理由コードを含んでもよい。理由コードとしては、「刑事事件の捜査に必要」、「徘徊老人の探索に必要」、「カメラの保守管理のための定期検査用に必要」等の理由が考えられる。この場合、問合せコードにも、理由コードを転記することが好ましい。
問合せコードを受けた閲覧装置・閲覧ソフトウェアは、通信3により、問合せコードを記録サーバに送信する。通信3により問合せコードを受けた記録サーバは、処理3を実施する。処理3は、予め設定された許可コード発行条件に基づいて許可コードを生成し、通信4により閲覧装置・閲覧ソフトウェアに送り出す。
通信4により許可コードを受けた閲覧装置・閲覧ソフトウェアは、処理4を実施する。処理4は、許可コードから閲覧条件コードを取り出し、保存する。閲覧装置・閲覧ソフトウェアは、通信5により、許可コードをカメラに送り出す。
通信5により、許可コードを受けたカメラは、処理5により、許可コードに記載されたファイルIDに対応する暗号化ファイルを選び出す。選び出された暗号化ファイルは、通信6により、閲覧装置・閲覧ソフトウェアに送り出される。
通信6により、暗号化ファイルを受けた閲覧装置・閲覧ソフトウェアは、ファイル変換処理により、暗号化ファイルを、不鮮明化ファイルに変換した上で、閲覧者に出力する。画像の不鮮明化処理としては、モザイク化処理などが好適である。
図8に示す実施例8は請求項4の実施例である。実施例4においては、カメラ、閲覧装置・閲覧ソフトウェア、記録サーバは、インターネットに接続され、相互に通信を行うことができる。カメラ、閲覧装置・閲覧ソフトウェア、記録サーバで用いられる処理方法、暗号化、及び、復号化の方式は、カメラ、閲覧装置・閲覧ソフトウェア、記録サーバ以外には知られていない。つまり、秘密になっている。秘密になっていることが重要である。
カメラをインターネットに接続することが難しい場合は、カメラと閲覧装置・閲覧ソフトウェア間の通信は短距離無線通信を用いるか、または、短距離無線通信によるアドホックネットワークを用いて、閲覧装置・閲覧ソフトウェアと記録サーバとの間の通信のみインターネットとすることが、有効である。なお、インターネット接続が一般的には便利であると思われるが、インターネット接続の代わりに、どのようなネットワーク接続を用いてもよい。また、上記短距離無線通信としては、ブルートゥース、ジグビーなどを用いてもよい。また、カメラと閲覧装置・閲覧ソフトウェアと記録サーバの間の通信は暗号化通信を用いてもよい。実施例8においては、理由コードの全部、または、一部として、事件の緊急度、及び/または、重要度などに関して記述された第3者機関が発行した電子認証されたコードを用いる。
図8に示したカメラシステムは、カメラで撮影され暗号化された画像ファイルを、入手、閲覧、利用する場合、記録サーバから発行される許可コードが必要である。記録サーバは、許可コードの発行要請に対して、許可コード発行条件に基づき、許可コードを発行する。図8において、通信3で記録サーバに送信される問合せコードが許可コード発行要請になる。
許可コード発行条件は、閲覧条件設定者が、設定・変更可能である。記録サーバは、許可コードの発行要請の受付から、許可コード発行までの過程における、カメラID、画像ファイルID、閲覧者ID、許可コード発行時刻、発行した許可コード、などの情報を記録する。このカメラシステムでは、理由コードの全部、または、一部として、事件の緊急度、及び/または、重要度などに関して記述された第3者機関が発行した電子署名されたコードを用いる。許可コードの発行には問合せコードが必要であり、問合せコードの発行には第3者機関によって電子署名された理由コードが必要であり、理由コードには事件の緊急度、及び/または、重要度などに関して記述された第3者機関に発行され電子署名された電子証明書を用いる。
実施例1と同様に、閲覧条件設定者は、許可コード発行条件を、記録サーバに秘匿的に設定できる。許可コード発行条件は、それ自身、暗号化されていることが好ましい。暗号キー設定者は、暗号キーや復号キーを、カメラに秘匿的に設定できる。また、暗号キー設定者は、復号キーを、閲覧者に付与する。暗号キーや復号キーは、それ自身、暗号化されていることが好ましい。閲覧条件設定者と暗号キー設定者は、同一でもよく、例えば、市役所の総務課、安全安心課などが想定される。
理由コードの電子署名は、例えば、本カメラシステムを管理運用する市役所の部署とは別の部署、裁判所などにより行われる。つまり、前記電子署名を行うのは、閲覧条件設定者、暗号キー設定者、閲覧者、記録サーバの管理・運営者等とは異なる、第3者機関であることをを想定する。理由コードの電子署名を行う者は、閲覧者が示す閲覧理由、閲覧要求範囲に対して、その正当性、緊急性などに関する評価を行い、電子証明書である理由コードを発行する。閲覧要求範囲とは、複数のカメラID、それぞれのカメラIDに対する時刻範囲である。図8では、理由コードの発行者は理由コード認証者であり、理由コード認証者は、通信0aにある閲覧理由を含む認証要求コードの入力を受け、処理0を行い、理由コードを含む閲覧要求コードを出力し、通信0bにより閲覧装置・閲覧ソフトウェアに送信する。
閲覧者は、固有の閲覧者IDが付与される。また、暗号キー設定者から、復号キーを付与される。閲覧者は、閲覧理由、閲覧者ID、カメラID、当該カメラで撮影された画像の中で閲覧した画像が撮影された時刻範囲、復号キーを、閲覧装置・閲覧ソフトウェアに入力することにより、閲覧装置・閲覧ソフトウェアから、所定の条件で不鮮明化処理された不鮮明化処理ファイルを受け取り、閲覧することができる。
カメラには、固有のカメラIDが設定される。カメラで撮影された画像は、暗号キーにより、暗号化される。暗号化ファイルには、カメラID、撮影時刻を含む、固有のファイルIDが付与される。このファイルIDは、ファイル名と同一であってもよい。
撮影された画像は、適当に設定された時間間隔で撮影された静止画でもよいし、適当に設定された時間の間に録画された動画でもよい。カメラの時計の狂い等により、2つ以上のファイルが、同一時刻に生成される可能性がある。このような場合においても、固有のファイルIDが生成されることを保障する目的で、ファイルIDの中に、撮影された画像ファイル内部の情報の一部、乱数などを付加することが考えられる。固有のファイルIDを付与された暗号化ファイルは、カメラ内部に保存される。また、ファイルIDに番号を含ませて、暗号化ファイルの生成の度に当該番号を1つ増加させることで、異なるファイルIDを与えることも可能である。
記録サーバは、閲覧装置・閲覧ソフトウェアからの問合せコードの入力に対して、予め設定された許可コード発行条件に従い処理を行い、許可コードを閲覧装置・閲覧ソフトウェアに出力する。許可コードは、問合せコードに内蔵された閲覧者ID、ファイルIDに加え、画像閲覧の権限の強さを示す閲覧条件コードが追加されたものとして作成される。許可コードに含められる閲覧条件コードにより規定される閲覧権限の強さに応じて、閲覧可能な画像の不鮮明度が規定される。
記録サーバは、閲覧装置・閲覧ソフトウェアとのやり取りの過程を記録する。特に、閲覧者ID、ファイルID、閲覧条件コード、理由コードを記録することにより、どの閲覧者が、どの画像ファイルを、どの不鮮明度で、どのような理由で、閲覧することを許されたかを記録する。
記録サーバに、カメラの被写体のプライバシ情報を含む暗号化ファイル、暗号キー設定者が設定した暗号キーや復号キーが、入力されることはない。記録サーバは、閲覧条件設定者、暗号キー設定者、閲覧者、理由コード認証者とは異なる第3者により、独立して運用することができる。記録サーバの管理者としては、民間のサーバ提供会社、市役所の情報メディア部門、社団法人、特定非営利活動法人などが想定される。
閲覧装置・閲覧ソフトウェアは、閲覧用ソフトウェアがインストールされた専用に開発された閲覧装置でも良いし、市販のノートパソコンにインストールされた閲覧ソフトウェアでも良い。特に、閲覧用ソフトウェアがインストールされた専用に開発された閲覧装置とすることで、より高い安全性が確保できる。
閲覧装置・閲覧ソフトウェアは、閲覧者からのファイル閲覧要求に応じて、理由コード認証者、カメラ、記録サーバと通信を行い、暗号化ファイルを取得する。その暗号化ファイルに対して、ファイル変換処理が施され、不鮮明化ファイルが生成される。ファイル変換処理の詳細は、以下のようになる。
まず、入力された暗号化ファイルに対して、暗号キーで復号化操作を行い、暗号化が解除され、一般的な静止画、または、動画のファイル形式である暗号解除ファイルを作る。次に、その暗号解除ファイルに対して、さらに、閲覧条件コードで規定されたモザイク処理等の不鮮明化処理を施し、不鮮明化ファイルを作る。
ファイル変換処理により生成された不鮮明化ファイルは、閲覧者に対して出力される。不鮮明化処理の強度は、閲覧条件コードにより規定された強度で行われる。不鮮明化強度がゼロに設定されている場合は、実質的には不鮮明化処理が行われない不鮮明化画像を出力する。なお、不鮮明化画像は、一般的な静止画または動画の、ファイル形式である。閲覧条件コードは、記録サーバから閲覧装置・閲覧ソフトウェアに入力された許可コードから分離して使用される。なお、図8に示した閲覧装置・閲覧ソフトウェアの「ファイル変換処理」の過程において生成される一時ファイルである「暗号解除ファイル」を、外部から伺い知ることを困難にするためには、メモリにスクランブルをかけるなど難読化が有効である。
実施例8における、閲覧者が画像の閲覧要求を出してから、不鮮明化処理された画像を受け取るまでの情報通信処理は、以下のようになる。
まず、閲覧者は、閲覧要求として、閲覧理由、カメラID、時刻範囲を、閲覧装置・閲覧ソフトウェアに入力する。閲覧者IDと復号化キーも閲覧装置・閲覧ソフトウェアに入力するが、この入力が行われるのは、、閲覧要求の入力の前であってもよいし、閲覧要求の入力と同時でもよいし、閲覧者IDや復号キーを閲覧装置・閲覧ソフトウェアが必要とする段階でもよい。閲覧理由は、画像を閲覧が必要である理由である。閲覧理由の入力の方法は、例えば、予め用意された選択肢の中から選択する方式が考えられる。選択肢の例として、
(1)犯罪捜査(空き巣、不審者、痴漢、誘拐、強盗、殺人)
(2)徘徊老人の捜索、
(3)システムの動作確認・メンテナンス
などが考えられる。さらに、詳細に理由を入力する欄を設けることも考えられる。
(1)犯罪捜査(空き巣、不審者、痴漢、誘拐、強盗、殺人)
(2)徘徊老人の捜索、
(3)システムの動作確認・メンテナンス
などが考えられる。さらに、詳細に理由を入力する欄を設けることも考えられる。
閲覧装置・閲覧ソフトウェアは、閲覧者から入力された閲覧理由、閲覧者ID、カメラID、時刻範囲に基づき、認証要求コードを生成する。そして、認証要求コードを、通信0aにより、理由コード認証者に送信する。
理由コード認証者は、閲覧理由を含む認証要求コードの入力を受け、処理0により、認証要求コードの評価を行い、前記認証要求コードの正当性・緊急性に基づきし、電子証明書である理由コードを生成する。そして、理由コードを含む閲覧要求コードを、通信0b
により、閲覧装置・閲覧ソフトウェアに送信する。
により、閲覧装置・閲覧ソフトウェアに送信する。
認証要求コードに対する評価の方法としては、例えば、限定的な閲覧要求範囲の場合は自動的に認証を出す、一方、広範囲な閲覧要求範囲の場合は、閲覧者から書面での証拠を求めた上で、評価することが考えられる。限定的な閲覧要求範囲の場合とは、閲覧者が希望するカメラの数や画像の撮影された時刻範囲などが、予め設定された範囲内である場合である。広範囲な閲覧要求範囲の場合とは、閲覧者が希望するカメラの数や画像の撮影された時刻範囲が予め設定された範囲外である場合である。
理由コードは、理由コード認証者により電子的に署名された電子証明書である。理由コードには、理由コード認証者が、事件の緊急度、及び/または、重要度などについて判定した結果を含んでも良い。
閲覧装置・閲覧ソフトウェアは、閲覧者から入力されたカメラIDと時刻範囲から、ファイル指定コードを生成する。さらに、閲覧者ID、ファイル指定コード、閲覧理由からなる認証要求コードを生成する。
なお、図8では、閲覧者と、理由コード認証者との間の議論が示されている。議論の中身としては、閲覧者が、理由コード認証者に対して、電話、書面等で、例えば、事件の緊急度、重要度に関する説明を行う。説明の具体的な内容として、例えば、「子供の命に係わる誘拐事件の捜査に必要」、「徘徊老人の保護が必要」、「カメラの保守管理のための定期検査用に必要」などが考えられる。理由コード認証者は、閲覧者からの説明を参考に、事件の緊急度、重要度の判定を下し、その結果に基づき、電子証明書である理由コードを作製し、理由コードを含む閲覧要求コードを、閲覧装置・閲覧ソフトウェアに対して送信する。
次に、通信1により、閲覧装置・閲覧ソフトウェアは、閲覧要求コードを、カメラに送る。カメラは、通信1により、閲覧要求コードを受け取ると、処理1を実施する。処理1は、ファイル指定コードで規定された時刻範囲に撮影された暗号化ファイルのファイルIDを検索する。この結果に基づき、閲覧者ID、ファイルID、理由コードからなる問合せコードを作成する。問合せコードを、通信2により、閲覧装置・閲覧ソフトウェアに送信する。なお、図8では、問合せコードにはファイルIDが一つだけの例を記してあるが、これは、複数個あってもよい。
また、図8には、カメラは1台のみが示されているが、ファイル指定コードに複数のカメラIDが指定されている場合には、複数のカメラに対して同時に処理が行われる。なお、閲覧要求コードに含まれる情報の全部、または、一部は、その後の通信においても、引き継がれていくことが望ましい。例えば、図8の通信1、2、3、4、5、6においては、最初の通信1に任意に生成された識別データを付与し、これが、引き継がれることで、通信の一貫性を保障することができる。
問合せコードを受けた閲覧装置・閲覧ソフトウェアは、通信3により、問合せコードを記録サーバに送信する。通信3により問合せコードを受けた記録サーバは、処理3を実施する。処理3は、予め設定された許可コード発行条件に基づいて許可コードを生成し、通信4により閲覧装置・閲覧ソフトウェアに送り出す。
通信4により許可コードを受けた閲覧装置・閲覧ソフトウェアは、処理4を実施する。処理4は、許可コードから閲覧条件コードを取り出し、保存する。閲覧装置・閲覧ソフトウェアは、通信5により、許可コードをカメラに送り出す。通信5により、許可コードを受けたカメラは、処理5を実施する。処理5は、閲覧条件コードの真正性を確認し、許可コードにあるファイルIDに対応する暗号化ファイルを選び出す。選び出された暗号化ファイルは、通信6により、閲覧装置・閲覧ソフトウェアに送り出される。
通信6により、暗号化ファイルを受けた閲覧装置・閲覧ソフトウェアは、ファイル変換処理により、暗号化ファイルを、不鮮明化ファイルに変換した上で、閲覧者に出力する。画像の不鮮明化処理としては、モザイク化処理などが好適である。
図9に示す実施例9は、請求項1の実施例である。図9においては、カメラ、閲覧装置・閲覧ソフトウェア、記録サーバは、インターネットに接続され、相互に通信を行うことができる。カメラ、閲覧装置・閲覧ソフトウェア、記録サーバで用いられる処理方法、暗号化、及び、復号化の方式は、カメラ、閲覧装置・閲覧ソフトウェア、記録サーバ以外には知られていない。つまり、秘密になっている。秘密になっていることが重要である。
カメラをインターネットに接続することが難しい場合は、カメラと閲覧装置・閲覧ソフトウェア間の通信は短距離無線通信を用いるか、または、短距離無線通信によるアドホックネットワークを用いて、閲覧装置・閲覧ソフトウェアと記録サーバとの間の通信のみインターネットとすることが、有効である。なお、インターネット接続が一般的には便利であると思われるが、インターネット接続の代わりに、どのようなネットワーク接続を用いてもよい。また、上記短距離無線通信としては、ブルートゥース、ジグビーなどを用いてもよい。また、カメラと閲覧装置・閲覧ソフトウェアと記録サーバの間の通信は暗号化通信を用いてもよい。
図9に示したカメラシステムは、カメラで撮影され暗号化された画像ファイルを、入手または閲覧または利用する場合、記録サーバから発行される許可コードが必要であるカメラシステムであり、記録サーバは、許可コードの発行要請に対して、許可コード発行条件に基づき、許可コードを発行するカメラシステムである。図9において、通信3で記録サーバに送信される問合せコードが許可コード発行要請になる。
許可コード発行条件は、閲覧条件設定者が設定・変更可能である。記録サーバは、許可コードの発行の要請の受付から、許可コード発行までの過程における、閲覧者、カメラ、及び、そのカメラにより撮影・暗号化保存された画像ファイル、閲覧条件、処理を行った時刻、などに関する情報を記録する。カメラ、暗号化された画像ファイル、閲覧者、などに関する情報の例としては、カメラとそのカメラにより撮影・保存された画像ファイルを指定するファイル指定コード、閲覧者ID、閲覧条件コード、許可コード発行時刻、発行した許可コード、などがある。
実施例1と同様に、閲覧条件設定者は、許可コード発行条件を、記録サーバに、秘匿的に設定できる。許可コード発行条件は、暗号化されていることが好ましい。暗号キー設定者は、暗号キーや復号キーを、カメラに秘匿的に設定できる。また、暗号キー設定者は、復号キーを、閲覧者に付与する。暗号キーは、暗号化されていることが好ましい。閲覧条件設定者と暗号キー設定者は、同一でもよく、例えば、市役所の総務課、安全安心課などが想定される。
閲覧者には、固有の閲覧者IDが付与される。また、閲覧者には、暗号キー設定者から、復号キーを付与される。閲覧者は、閲覧者ID、カメラID、当該カメラで撮影された画像の中で閲覧を希望する画像が撮影された時刻範囲、暗号キーを、閲覧装置・閲覧ソフトウェアに入力することにより、閲覧装置・閲覧ソフトウェアから、許可コード発行条件に基づき不鮮明化処理された不鮮明化ファイルを受け取り、利用・閲覧することができる。
また、閲覧者は複数いることを想定している。閲覧者としては、市役所、警察署、カメラを設置する工事業者、カメラシステムを保守管理するメンテナンス業者、自治会、町内会、一般市民、などが考えられる。例えばメンテナンス業者はモザイク処理された不鮮明な画像しか見ることができず、警察や市役所等では不鮮明化されていない画像を見ることができる、という運用方法が想定される。
カメラには、固有のカメラIDが設定される。カメラで撮影された画像は、暗号キーにより、暗号化される。暗号化ファイルには、カメラID、撮影時刻を含む、固有のファイルIDが付与される。このファイルIDは、ファイル名と同一であってもよい。撮影された画像は、適当に設定された時間間隔で撮影された静止画でもよいし、適当に設定された時間の間に録画された動画でもよい。
カメラの時計の狂い等により、2つ以上のファイルが、同一時刻に生成される可能性がある。このような場合においても、固有のファイルIDが生成されることを保障する目的で、ファイルIDの中に、撮影された画像ファイル内部の情報の一部、乱数などを付加することが考えられる。固有のファイルIDを付与された暗号化ファイルは、カメラ内部に保存される。また、ファイルIDに番号を含ませて、暗号化ファイルの生成の度に当該番号を1つ増加させることで、異なるファイルIDを与えることも可能である。
図9では、通信5によりカメラに送信された許可コードに基づき、暗号化ファイルが閲覧装置・閲覧ソフトウェアに転送される。この際に、カメラ内部でファイル変換処理によって前記暗号化ファイルは暗号化不鮮明化ファイルに変換され、通信6により閲覧装置・閲覧ソフトウェアに送信される。ファイル変換処理の詳細は、以下のように行われる。
まず、許可コードにより指定された暗号化ファイルに対して、復号キーで復号化操作が行われ、暗号化が解除され、一般的な静止画または動画の、ファイル形式である暗号解除ファイルが作成される。次に、その暗号解除ファイルに対して、閲覧条件コードで規定されたモザイク処理等の不鮮明化処理・閲覧制限処理を施し、不鮮明化ファイルを作る。不鮮明化処理の強度は、閲覧条件コードにより規定された強度で行われる。不鮮明化強度がゼロに設定されている場合は、不鮮明化処理が行われない不鮮明化画像である。なお、不鮮明化ファイルは、一般的な画像または動画の、ファイル形式の画像ファイルと、画像ファイルと一体とできない他の種類の情報を記述したファイルの組み合わせでも良い。閲覧条件コードは、閲覧装置・閲覧ソフトウェアから入力された許可コードから分離して使用される。不鮮明化ファイルが再び暗号キーを用いて再び暗号化されることにより、暗号化不鮮明化ファイルが作成される。
閲覧者は画像の閲覧を行う場合、閲覧装置・閲覧ソフトウェアから記録サーバに許可コードの発行要請を行うが、この要請は閲覧装置・閲覧ソフトウェアから問合せコードを記録サーバに送信することにより行う。記録サーバは閲覧装置・閲覧ソフトウェアから送られた問い合わせコードに対して、予め設定された許可コード発行条件に基づき処理を行い、許可コード発行条件を満たしている場合には、許可コードを閲覧装置・閲覧ソフトウェアに出力する。許可コードは、問合せコードに内蔵された閲覧者ID、ファイルIDに加え、画像閲覧の権限の強さを示す閲覧条件コードが追加されたものとして作成される。閲覧条件コードでは、閲覧時の画像の鮮明度、閲覧可能なファイル数、閲覧可能回数、保存の可否などが規定される。
記録サーバは、閲覧装置・閲覧ソフトウェアとの通信内容を記録する。特に、閲覧者ID、ファイルID、閲覧条件コードを記録することにより、どの閲覧者が、どの画像ファイルを、どの不鮮明度で、閲覧することを許されたかを記録する。記録サーバに、カメラが撮影した暗号化された画像ファイル、暗号キー設定者が設定したカメラの暗号キーが、入力されることはない。暗号化された画像を記録サーバが取り扱うことはないため、記録サーバの管理者が画像を閲覧することは不可能である。
記録サーバは、閲覧条件設定者、暗号キー設定者、閲覧者とは異なる第3者により、独立して管理運用されることが好ましい。記録サーバの管理運用者としては、民間のサーバ提供会社、市役所の情報メディア部門、社団法人、特定非営利活動法人などが想定される。
閲覧装置・閲覧ソフトウェアは、閲覧者からのファイル閲覧要求に応じて、監視カメラ、記録サーバと通信を行い、暗号化された不鮮明化ファイルを取得する。その暗号化ファイルに対して、復号キーによる復号化処理が行われ、不鮮明化ファイルが生成される。
図9のカメラシステムにおいて、閲覧者が画像の閲覧要求を出してから、不鮮明化処理された画像を受け取るまでの処理は、以下のように行われる。
まず、閲覧者は、閲覧要求として、カメラID、時刻範囲を、閲覧装置・閲覧ソフトウェアに入力する。閲覧者IDと復号化キーも閲覧装置・閲覧ソフトウェアに入力するが、この入力が行われるのは、、閲覧要求の入力の前であってもよいし、閲覧要求の入力と同時でもよいし、閲覧者IDや復号キーを閲覧装置・閲覧ソフトウェアが必要とする段階でもよい。閲覧装置・閲覧ソフトウェアはカメラIDと時刻範囲とから成るファイル指定コードを生成し、さらに、閲覧者IDとファイル指定コードからなる閲覧要求コードを生成する。
次に、図9の通信1により、閲覧装置・閲覧ソフトウェアは、閲覧要求コードを、カメラに送る。カメラは、通信1により、閲覧要求コードを受け取ると、処理1を実施する。処理1は、ファイル指定コードで規定された時刻範囲に撮影された画像が暗号化された暗号化ファイルのファイルIDを検索する。この結果に基づき、閲覧者IDとファイルIDからなる問合せコードを作成する。問合せコードを、通信2により、閲覧装置・閲覧ソフトウェアに送信する。なお、図9では、問合せコードにはファイルIDが一つだけである例を記してあるが、これは、複数個あってもよい。
なお、閲覧要求コードには、閲覧者が閲覧を希望する理由を記受した理由コードを含んでもよい。理由コードとしては、「刑事事件の捜査に必要」、「徘徊老人の探索に必要」、「カメラの保守管理のための定期検査用に必要」等の理由が考えられる。この場合、問合せコードにも、理由コードを転記することが好ましい。
問合せコードを受けた閲覧装置・閲覧ソフトウェアは、処理2を実施する。処理2は、通信3により、問合せコードを記録サーバに送信する。通信3により問合せコードを受けた記録サーバは、処理3を行う。処理3は、許可コードを生成し、通信4により閲覧装置・閲覧ソフトウェアに送り出す。許可コードは、閲覧者IDとファイルIDと閲覧条件コードからなる。許可コードに含まれる閲覧者IDとファイルIDは通信3により送られてきた問合せコードに含まれる閲覧者IDとファイルIDとする。許可コードに含まれる閲覧条件コードは、予め設定された許可コード発行条件に基づいて決定される。記録サーバは処理3を行うのと同時に、閲覧者ID、ファイル指定コード、当該処理3が行われた時刻、閲覧条件コードをログに記録する。許可コード発行条件としては、登録された閲覧者ごとに、また、閲覧理由ごとに、1日あたりに閲覧することが可能であるファイル数、閲覧可能な不鮮明度、などの閲覧条件が規定されたテーブルであってもよい。
通信4により許可コードを受けた閲覧装置・閲覧ソフトウェアは、処理4を実施する。処理4は、許可コードから閲覧条件コードを取り出し、保存する。さらに、処理4は、通信5により、許可コードをカメラに送信する。
通信5により、許可コードを受けたカメラは、閲覧条件コードの真正性を確認し、許可コードにあるファイルIDに対応する暗号化ファイルを選び出す。さらに、その暗号化ファイルを、ファイル変換処理により、閲覧条件コードに指定された不鮮明化処理を施した暗号化不鮮明化ファイルへと変換する。画像の不鮮明化処理としては、モザイク化処理などが好適である。変換された暗号化不鮮明化ファイルは、通信6により、閲覧装置・閲覧ソフトウェアに送り出される。
通信6により、暗号化不鮮明化ファイルを受けた閲覧装置・閲覧ソフトウェアは、復号化処理により、暗号化不鮮明化ファイルを、不鮮明化ファイルに変換し、閲覧者に出力する。
図10に実施例10を示す。実施例10では、実施例5ににおいて、カメラ側で異常を検知した際などに、カメラから閲覧者に対して閲覧の要請を行った際に、同時に、警察・消防などへ通報する場合を説明している。
図10に示すカメラシステムにおいては、カメラ、閲覧装置・閲覧ソフトウェア、記録サーバは、インターネットに接続され、相互に通信を行うことができる。カメラ、閲覧装置・閲覧ソフトウェア、記録サーバで用いられる処理方法、暗号化、及び、復号化の方式は、カメラ、閲覧装置・閲覧ソフトウェア、記録サーバ以外には知られていない。つまり、秘密になっている。秘密になっていることが重要である。
図10に示したカメラシステムは、カメラで撮影され暗号化された画像ファイルを、閲覧者が入手または閲覧する場合に、記録サーバから発行される許可コードが必要であるカメラシステムであり、記録サーバは、許可コードの発行の要請に対して、許可コード発行条件に基づき、許可コードを発行するカメラシステムである。図10においては、問合せコードが許可コードの発行要請になる。
許可コード発行条件は、閲覧条件設定者が設定・変更可能である。記録サーバは、許可コードの発行の要請の受付から、許可コード発行までの過程における、カメラID、画像ファイルID、閲覧者ID、許可コード発行時刻、発行した許可コード、などの情報を記録する。
実施例10では、カメラ内での画像処理により、カメラが取得した画像に含まれる情報が画像処理により分析され、その分析結果が画像と関連付けて保存され、その分析結果をカメラの周囲および警察・消防などの公共機関、閲覧装置・閲覧ソフトウェアに対して知らしめる。なお、音声情報、温度情報、二酸化炭素などのガス濃度情報、など、カメラが取得する画像以外の情報がある場合は、それらを含めて信号処理を行い、火事、喧嘩、不審な動き、交通事故などの異常検知に役立てることは有効である。例えば、音声情報は、喧嘩、交通事故の際に発する異常な音を検知するのに役立つ。また、温度情報、ガス濃度情報は、火災の検出に役立つ。
図10において、閲覧要請コードは、閲覧装置・閲覧ソフトウェアのみに通知されるが、通知先として、閲覧者の携帯電話に電子メール等で通知することも可能である。あるいは、閲覧要請コードを受信した閲覧装置・閲覧ソフトウェアが、閲覧要請コードを受けた旨を、閲覧者の携帯電話などに電子メール等で通知することも有効である。
実施例1と同様に、閲覧条件設定者は、許可コード発行条件を、記録サーバに秘匿的に設定できる。許可コード発行条件は、暗号化されていることが好ましい。暗号キー設定者は、暗号キーや復号キーを、カメラに秘匿的に設定できる。また、暗号キー設定者は、復号キーを、閲覧者に付与する。暗号キーや復号キーは、それ自身、暗号化されていることが好ましい。閲覧条件設定者と暗号キー設定者は、同一でもよく、例えば、市役所の総務課、安全安心課などが想定される。
閲覧者は、固有の閲覧者IDが付与される。また、閲覧者には、暗号キー設定者から、暗号キーを付与される。閲覧者は、閲覧者ID、カメラID、当該カメラで撮影された画像の中で閲覧した画像が撮影された時刻範囲、暗号キーを、閲覧装置・閲覧ソフトウェアに入力することにより、閲覧装置・閲覧ソフトウェアから、許可コード発行条件に基づき不鮮明化処理された不鮮明化処理ファイルを受け取り、閲覧することができる。
カメラには、固有のカメラIDが設定される。カメラで撮影された画像は、暗号キーにより、暗号化される。暗号化ファイルには、カメラID、撮影時刻を含む、固有のファイルIDが付与される。このファイルIDは、ファイル名と同一であってもよい。撮影された画像は、適当に設定された時間間隔で撮影された静止画でもよいし、適当に設定された時間の間に録画された動画でもよい。
カメラは、撮影された画像に対して、ケンカ、放火、徘徊、落書き、交通 事故、路上寝込み、不法投棄、街路灯の点灯異常、などの不審な動きなどを検知する画像処理を行い、不審な動きなどが検知された場合には、予め定められた閲覧者に対して画像の閲覧要請を行う。また、画像が真っ暗であることやノイズが過剰であること等によりカメラの故障の可能性を検知し、画像の閲覧要請を行う機能を付加してもよい。
さらに、画像の閲覧の要請をインターネットを使った通信で出す機能に加え、カメラ近傍に設置されたサイレン・回転灯などの警報装置で外部に対して警報を出す機能、及び/または、警察署や消防署などに緊急連絡を行う機能を持つ。
画像の閲覧要請をインターネットを使った通信で出す機能に加え、カメラ近傍に設置されたサイレン・回転灯などで外部に対して警報を出す機能、及び/または、携帯電話回線で警察署や消防署などに緊急連絡を行う機能を、及び/または、電子メールやその他のWEBサービスへメッセージを送信する機能を、付加してもよい。画像処理の条件、閲覧要請を出す条件、などは、前述の、閲覧条件設定者、暗号キー設定者などにより、事前に、設定される。
カメラの時計の狂い等により、2つ以上のファイルが、同一時刻に生成される可能性がある。このような場合においても、固有のファイルIDが生成されることを保障する目的で、ファイルIDの中に、撮影された画像ファイル内部の情報の一部、乱数などを付加することが考えられる。固有のファイルIDを付与された暗号化ファイルは、カメラ内部に保存される。また、ファイルIDに番号を含ませて、暗号化ファイルの生成の度に当該番号を1つ増加させることで、異なるファイルIDを与えることも可能である。
記録サーバは、閲覧装置・閲覧ソフトウェアからの問合せコードの入力に対して、予め設定された許可コード発行条件に従い処理を行い、許可コードを閲覧装置・閲覧ソフトウェアに出力する。許可コードは、問合せコードに内蔵された閲覧者ID、ファイルIDに加え、画像閲覧の権限の強さを示す閲覧条件コードが追加されたものとして作成される。許可コードにより規定される閲覧権限の強さに応じて、閲覧可能な画像の不鮮明度が規定される。
記録サーバは、閲覧装置・閲覧ソフトウェアとのやり取りの過程を記録する。特に、閲覧者ID、ファイルID、閲覧条件コードを記録することにより、どの閲覧者が、どの画像ファイルを、どの不鮮明度で、閲覧することを許されたかを記録する。 記録サーバに、被写体のプライバシ情報を含む暗号化ファイル、暗号キー設定者が設定した暗号キーが、入力されることはない。
記録サーバは、閲覧条件設定者、暗号キー設定者、閲覧者とは異なる第3者により、独立して運用することができる。記録サーバの管理者としては、民間のサーバ提供会社、市役所の情報メディア部門、社団法人、特定非営利活動法人などが想定される。
閲覧装置・閲覧ソフトウェアは、閲覧用ソフトウェアがインストールされた専用に開発された閲覧装置でも良いし、市販のノートパソコンにインストールされた閲覧ソフトウェアでも良い。特に、閲覧用ソフトウェアがインストールされた専用に開発された閲覧装置とすることで、より高い安全性が確保できる。
閲覧装置・閲覧ソフトウェアは、カメラからのファイル閲覧要請に応じて、カメラ、記録サーバと通信を行い、暗号化ファイルを取得する。その暗号化ファイルに対して、ファイル変換処理が施され、不鮮明化ファイルが生成される。ファイル変換処理の詳細は、以下のように行われる。
まず、入力された暗号化ファイルに対して、復号キーで復号化操作を行い、暗号化が解除され、一般的な静止画または動画の、ファイル形式である暗号解除ファイルを作る。次に、その暗号解除ファイルに対して、さらに、閲覧条件コードで規定されたモザイク処理等の不鮮明化処理を施し、不鮮明化ファイルを作る。
ファイル変換処理により生成された不鮮明化画像は、閲覧者に対して出力される。不鮮明化処理の強度は、閲覧条件コードにより規定された強度で行われる。不鮮明化強度がゼロに設定されている場合は、実質的には不鮮明化処理が行われない不鮮明化ファイルを出力する。なお、不鮮明化ファイルは、一般的な静止画または動画の、ファイル形式である。閲覧条件コードは、記録サーバから入力された許可コードから分離して使用される。
なお、図10に示した閲覧装置・閲覧ソフトウェアの「ファイル変換処理」の過程において生成される一時ファイルである「暗号解除ファイル」を、外部から伺い知ることを困難にするためには、メモリにスクランブルをかけるなどの難読化が有効である。
本システムにおける、カメラが画像の閲覧要請を出してから、閲覧者が不鮮明化処理された画像を受け取るまでの処理は、以下のように行われる。
まず、カメラは、自身が撮影した画像、及び/または、画像以外の温度、振動、音波、電磁波などに関するセンシング情報を、所定のアルゴリズムに従い処理を行う。その結果、ケンカ、交通事故、放火、徘徊、痴漢、空き巣、強盗、カメラへの接触、などの異常が検知された場合には、所定の閲覧者に対して、画像等の閲覧の要請を行う。
図10の「撮影画像」は、「撮影画像等のセンシング情報」と解釈する。同じく、図10の「画像処理」は、「画像処理等のセンシング情報処理」と解釈する。カメラは、閲覧者IDとファイルIDからなる閲覧要請コードを作成する。閲覧要請コードを、通信2により、閲覧装置・閲覧ソフトウェアに送信する。なお、図10では、閲覧要請コードにはファイルIDが一つだけの例を記してあるが、これは、複数個あってもよい。なお、図10には示されていないが、閲覧要請コードには、閲覧者が閲覧するべき理由を記受した理由コードを含む。 理由コードとしては、「ケンカと思われる異常な動きが検知された」、「カメラ内部の動作がおかしく故障していることが予想される」、などが考えられる。
閲覧要請コードを受けた閲覧装置・閲覧ソフトウェアは、処理2を実施する。処理2は、閲覧要請コードに含まれる理由コードを分離し、それを、閲覧者に示し、カメラからの閲覧の要請を受諾するか否かの判断を求める。あるいは、閲覧装置・閲覧ソフトウェアは、予め定められた条件に従い、閲覧の要請を受諾するか否かの判断を自動的に行う。閲覧の要請を受諾する判断が下された場合は、閲覧装置・閲覧ソフトウェアは問合せコードを作製し、通信3により、問合せコードを記録サーバに送信する。
通信3により問合せコードを受けた記録サーバは、処理3を実施する。処理3は、予め設定された許可コード発行条件に基づいて許可コードを生成し、通信4により閲覧装置・閲覧ソフトウェアに送り出す。
通信4により許可コードを受けた閲覧装置・閲覧ソフトウェアは、処理4を実施する。処理4は、許可コードから閲覧条件コードを取り出し、保存する。閲覧装置・閲覧ソフトウェアは、通信5により、許可コードをカメラに送り出す。通信5により、許可コードを受けたカメラは、処理5により、許可コードに記載されたファイルIDに対応する暗号化ファイルを選び出す。選び出された暗号化ファイルは、通信6により、閲覧装置・閲覧ソフトウェアに送り出される。
通信6により、暗号化ファイルを受けた閲覧装置・閲覧ソフトウェアは、ファイル変換処理により、暗号化ファイルを、不鮮明化ファイルに変換した上で、閲覧者に出力する。画像の不鮮明化処理としては、モザイク化処理などが好適である。
図11に、実施例11を示す。実施例11では、実施例6において、カメラ側で異常を検知した際などに、カメラから記録サーバに対して閲覧の要請を行った際に、同時に、警察・消防などへ通報する場合を説明している。
図11に示すシステムにおいては、カメラ、閲覧装置・閲覧ソフトウェア、記録サーバは、インターネットに接続され、相互に通信を行うことができる。カメラ、閲覧装置・閲覧ソフトウェア、記録サーバの内部での情報処理は、共通のコード、ファイルを処理できるように、共通の規格となっている。そして、その規格は、秘密になっていることが重要である。特に、カメラ、閲覧装置・閲覧ソフトウェアで用いられる暗号化、及び、復号化の方式は、秘密になっていることが重要である。
図11に示したカメラシステムは、カメラで撮影され暗号化された画像ファイルを、入手、閲覧、利用する場合に、記録サーバから発行される許可コードが必要である。記録サーバは、許可コードの発行要請に対して、予め定められた許可コード発行条件で、許可コードを発行する。
図11に示したカメラシステムは、カメラで撮影され暗号化された画像ファイルを、入手、または、閲覧、または、利用する場合に、記録サーバから発行される許可コードが必要である。記録サーバは、許可コードの発行要請に対して、許可コード発行条件に基づき、許可コードを発行する。図11においては、通信2で記録サーバに送信される閲覧要請コードが許可コード発行要請になる。
許可コード発行条件は、閲覧条件設定者が設定・変更可能である。記録サーバは、許可コードの発行の要請の受付から、許可コード発行までの過程における、カメラID、画像ファイルID、閲覧者ID、許可コード発行時刻、発行した許可コード、などの情報を記録する。カメラ内での画像処理により、カメラで撮影された画像に含まれる情報が画像処理により分析され、その分析結果が画像と関連付けて保存される処理、及び/または、その分析結果を周囲および警察・消防などの公共機関、閲覧装置・閲覧ソフトウェアに対して知らしめる処理、を行う。
実施例1と同様に、閲覧条件設定者は、許可コード発行条件を、記録サーバに、秘匿的に設定できる。許可コード発行条件は、それ自身、暗号化されていることが好ましい。暗号キー設定者は、暗号キーや復号キーを、カメラに秘匿的に設定できる。また、暗号キー設定者は、復号キーを、閲覧者に付与する。暗号キーや復号キーは、それ自身、暗号化されていることが好ましい。閲覧条件設定者と暗号キー設定者は、同一でもよく、例えば、市役所の総務課、安全安心課などが想定される。
閲覧者は、固有の閲覧者IDが付与される。また、暗号キー設定者から、復号キーを付与される。閲覧者は、記録サーバからの閲覧の要請に対して、閲覧するか否かの可否判断を行う。閲覧の要請に対して応諾する判断を下した場合には、閲覧装置・閲覧ソフトウェアは、カメラから暗号化ファイルを受け取り、不鮮明化処理を施された画像等を出力する。
カメラには、固有のカメラIDが設定される。カメラで撮影された画像は、暗号キーにより、暗号化される。暗号化ファイルには、カメラID、撮影時刻を含む、固有のファイルIDが付与される。このファイルIDは、ファイル名と同一であってもよい。
撮影された画像は、適当に設定された時間間隔で撮影された静止画でもよいし、適当に設定された時間の間に録画された動画でもよい。カメラは、撮影された画像に対して、ケンカ・放火・徘徊などの不審な動きなどを検知する画像処理を行い、不審な動きなどが検知された場合には、記録サーバを介して、予め定められた閲覧者に対して画像の閲覧の要請を行う。
画像の閲覧の要請をインターネットを使った通信で出す機能に加え、カメラ近傍に設置されたサイレン・回転灯などの警報装置で外部に対して警報を出す機能、及び/または、携帯電話回線で警察署や消防署などに緊急連絡を行う機能を持つ。 画像処理の条件、閲覧の要請を出す条件、警報の発報や緊急連絡を行う条件、などは、前述の、閲覧条件設定者、暗号キー設定者などにより、事前に、設定される。
カメラの時計の狂い等により、2つ以上のファイルが、同一時刻に生成される可能性がある。このような場合においても、固有のファイルIDが生成されることを保障する目的で、ファイルIDの中に、撮影された画像ファイル内部の情報の一部、乱数などを付加することが考えられる。固有のファイルIDを付与された暗号化ファイルは、カメラ内部に保存される。また、ファイルIDに番号を含ませて、暗号化ファイルの生成の度に当該番号を1つ増加させることで、異なるファイルIDを与えることも可能である。
記録サーバは、カメラからの閲覧要請コードの入力に対して、予め設定された許可コード発行条件に従い処理を行い、許可コードを閲覧装置・閲覧ソフトウェアに出力する。許可コードは、閲覧要請コードに内蔵された閲覧者ID、ファイルID、理由コードに加え、画像閲覧の権限の強さを示す閲覧条件コードが追加されたものとして作成される。許可コードにより規定される閲覧権限の強さに応じて、閲覧可能な画像の不鮮明度が規定される。
記録サーバは、カメラ、閲覧装置・閲覧ソフトウェアとのやり取りの過程を記録する。特に、閲覧者ID、ファイルID、閲覧条件コード、理由コードを記録することにより、どの閲覧者が、どの画像ファイルを、どの不鮮明度で、どのような理由で、閲覧することを許可されたかを記録する。記録サーバに、カメラの被写体のプライバシ情報を含む暗号化ファイル、暗号キー設定者が設定した暗号キーや復号キーが、入力されることはないことが、情報セキュリティの観点から望ましい。 記録サーバは、閲覧条件設定者、暗号キー設定者、閲覧者とは異なる第3者により、独立して運用することができる。記録サーバの管理者としては、民間のサーバ提供会社、市役所の情報メディア部門、社団法人、特定非営利活動法人などが想定される。
閲覧装置・閲覧ソフトウェアは、閲覧用ソフトウェアがインストールされた専用に開発された閲覧装置でも良いし、市販のノートパソコンにインストールされた閲覧ソフトウェアでも良い。特に、閲覧用ソフトウェアがインストールされた専用に開発された閲覧装置とすることで、より高い安全性が確保できる。閲覧装置・閲覧ソフトウェアは、記録サーバからのファイル閲覧の要請に応じて、カメラ、記録サーバと通信を行い、暗号化ファイルを取得する。その暗号化ファイルに対して、ファイル変換処理が施され、不鮮明化ファイルが生成される。ファイル変換処理の詳細は、以下のように行われる。
まず、入力された暗号化ファイルに対して、暗号キーで復号化操作を行い、暗号化が解除され、一般的な静止画または動画の、ファイル形式である暗号解除ファイルを作る。次に、その暗号解除ファイルに対して、さらに、閲覧条件コードで規定されたモザイク処理等の不鮮明化処理を施し、不鮮明化ファイルを作る。ファイル変換処理により生成された不鮮明化ファイルは、閲覧者に対して出力される。不鮮明化処理の強度は、閲覧条件コードにより規定された強度で行われる。不鮮明化強度がゼロに設定されている場合は、実質的には不鮮明化処理が行われない不鮮明化画像を出力する。なお、不鮮明化画像は、一般的な静止画、または、動画のファイル形式である。閲覧条件コードは、記録サーバから入力された許可コードから分離して使用される。なお、図11に示した閲覧装置・閲覧ソフトウェアの「ファイル変換処理」の過程において生成される一時ファイルである「暗号解除ファイル」を、外部から伺い知ることを困難にするためには、メモリにスクランブルをかけるなど難読化が有効である。
本システムにおける、カメラが画像の閲覧の要請を出してから、閲覧者が不鮮明化処理された画像を受け取るまでの処理は、以下のようになる。
まず、カメラは、自身が撮影した画像、及び/または、画像以外の温度、振動、音波、電磁波などに関するセンシング情報を、所定のアルゴリズムに従い処理を行う。その結果、ケンカ、放火、徘徊、痴漢、空き巣、強盗、などの異常が検知された場合には、所定の閲覧者に対して、画像等の閲覧の要請を行う。
図11の撮影画像は、撮影画像等のセンシング情報とみなすことができる。また、図11の画像処理は、画像処理等のセンシング情報処理とみなすことができる。
カメラは、閲覧者IDとファイルIDからなる閲覧要請コードを作成する。閲覧要請コードを、通信2により、記録サーバに送信する。なお、図11では、閲覧要請コードにはファイルIDが一つだけの例を記してあるが、これは、複数個あってもよい。なお、図11には示されていないが、閲覧要請コードには、閲覧者が閲覧するべき理由を記受した理由コードを含む。 理由コードとしては、「ケンカと思われる異常な動きが検知された」、「カメラ内部の動作がおかしく故障していることが予想される」、などが考えられる。
閲覧要請コードを受けた記録サーバは、処理3を実施する。処理3は、予め設定された許可コード発行条件に基づいて許可コードを生成し、通信4により閲覧装置・閲覧ソフトウェアに送り出す。許可コードは、問合せコードに内蔵された閲覧者ID、ファイルID、画像閲覧の権限の強さを示す閲覧条件コードに加え、閲覧要請コードに含まれる理由コードが追加されたものとして作成される。
通信4により許可コードを受けた閲覧装置・閲覧ソフトウェアは、処理4を実施する。処理4は、閲覧要請コードに含まれる理由コードを分離し、それを、閲覧者に示し、カメラからの閲覧の要請を受諾するか否かの判断を求める。あるいは、閲覧装置・閲覧ソフトウェアは、予め定められた条件に従い、閲覧の要請を受諾するか否かの判断を自動的に行う。閲覧の要請を受諾する判断が下された場合は、閲覧装置・閲覧ソフトウェアは許可コードを、通信5により、送信する。
通信5により、許可コードを受けたカメラは、処理5を実施する。処理5は、閲覧条件コードの真正性を確認し、許可コードにあるファイルIDに対応する暗号化ファイルを選び出す。選び出された暗号化ファイルは、通信6により、閲覧装置・閲覧ソフトウェアに送り出される。通信6により、暗号化ファイルを受けた閲覧装置・閲覧ソフトウェアは、ファイル変換処理により、暗号化ファイルを、不鮮明化ファイルに変換した上で、閲覧者に出力する。画像の不鮮明化処理としては、モザイク化処理などが好適である。
図12に、実施例12を示す。実施例12は請求項1や2の実施例であり、暗号化ファイルがカメラ内部ではなくカメラ外部にも保存される場合の実施例となっている。実施例12では、暗号化ファイルがカメラ外部に保存される場合の実施例である。カメラ側で異常を検知した際などに、カメラから閲覧者に対して閲覧要請コードを送出すると同時に、必要となる暗号化ファイルをクラウドストレージへ転送するカメラシステムを説明している。これにより、カメラが低速回線で接続されている際に、必要となるファイルをあらかじめクラウドストレージへ送り出すことによりタイムラグを解消したり、カメラが破壊された際にそれまでの画像が失われることを防ぐ。
図12に示すシステムにおいては、カメラ、閲覧装置・閲覧ソフトウェア、クラウドストレージ、記録サーバは、インターネットに接続され、相互に通信を行うことができる。カメラ、閲覧装置・閲覧ソフトウェア、記録サーバの内部での情報処理は、共通のコード、ファイルを処理できるように、共通の規格となっている。カメラ、閲覧装置・閲覧ソフトウェア、記録サーバで用いられる処理方法、暗号化、及び、復号化の方式は、カメラ、閲覧装置・閲覧ソフトウェア、記録サーバ以外には知られていない。つまり、秘密になっている。秘密になっていることが重要である。
図12にカメラシステムは、閲覧者が入手または閲覧する場合に、記録サーバから発行される許可コードが必要であるカメラシステムであり、記録サーバは、許可コードの発行の要請に対して、許可コード発行条件に基づき、許可コードを発行するカメラシステムである。図12においては、問合せコードが許可コードの発行要請になる。
許可コード発行条件は、閲覧条件設定者が設定・変更可能である。記録サーバは、許可コードの発行の要請の受付から、許可コード発行までの過程における、カメラID、画像ファイルID、閲覧者ID、許可コード発行時刻、発行した許可コード、などの情報を記録する。
カメラ内での画像処理により、カメラが取得した画像に含まれる情報が画像処理により分析され、その分析結果が画像と関連付けて保存され、その分析結果を閲覧装置・閲覧ソフトウェアに対して知らしめると同時に、閲覧要請で必要とされるファイルをクラウドストレージへ転送する処理、を行う。
、閲覧要請コードは、閲覧装置・閲覧ソフトウェアのみに通知されるが、通知先として、閲覧者の携帯電話に電子メール等で通知することも可能である。あるいは、閲覧要請コードを受信した閲覧装置・閲覧ソフトウェアが、閲覧要請コードを受けた旨を、閲覧者の携帯電話などに電子メール等で通知することも有効である。
実施例1と同様に、閲覧条件設定者は、許可コード発行条件を、記録サーバに秘匿的に設定できる。許可コード発行条件は、暗号化されていることが好ましい。暗号キー設定者は、暗号キーと復号キーを、カメラに秘匿的に設定できる。また、暗号キー設定者は、復号キーを、閲覧者に付与する。暗号キーと復号キーは、それ自身、暗号化されていることが好ましい。閲覧条件設定者と暗号キー設定者は、同一でもよく、例えば、市役所の総務課、安全安心課などが想定される。
閲覧者は、固有の閲覧者IDが付与される。また、暗号キー設定者から、復号キーを付与される。閲覧者は、カメラ側からの閲覧要請に対して、閲覧するか否かの可否判断を行う。閲覧要請に対して応諾する判断を下した場合には、閲覧装置・閲覧ソフトウェアから、許可コード発行条件に基づき不鮮明化処理された不鮮明化処理ファイルを受け取り、閲覧することができる。
カメラには、固有のカメラIDが設定される。カメラで撮影された画像は、暗号キーにより、暗号化される。暗号化ファイルには、カメラID、撮影時刻を含む、固有のファイルIDが付与される。このファイルIDは、ファイル名と同一であってもよい。撮影された画像は、適当に設定された時間間隔で撮影された静止画でもよいし、適当に設定された時間の間に録画された動画でもよい。
カメラは、撮影された画像に対して、ケンカ、放火、徘徊、落書き、交通事故、路上寝込み、不法投棄、街路灯の点灯異常、などの不審な動きなどを検知する画像処理を行い、不審な動きなどが検知された場合には、予め定められた閲覧者に対して画像の閲覧要請を行う。また、画像が真っ暗であることやノイズが過剰であること等によりカメラの故障の可能性を検知し、画像の閲覧要請を行う機能を付加してもよい。
画像の閲覧要請をインターネットを使った通信で出す機能に加え、カメラ近傍に設置されたサイレン・回転灯などで外部に対して警報を出す機能、及び/または、携帯電話回線で警察署や消防署などに緊急連絡を行う機能を、及び/または、電子メールやその他のWEBサービスへメッセージを送信する機能を、付加してもよい。画像処理の条件、閲覧要請を出す条件、などは、前述の、閲覧条件設定者、暗号キー設定者などにより、事前に、設定される。
カメラの時計の狂い等により、2つ以上のファイルが、同一時刻に生成される可能性がある。このような場合においても、固有のファイルIDが生成されることを保障する目的で、ファイルIDの中に、撮影された画像ファイル内部の情報の一部、乱数などを付加することが考えられる。固有のファイルIDを付与された暗号化ファイルは、カメラ内部に保存される。また、ファイルIDに番号を含ませて、暗号化ファイルの生成の度に当該番号を1つ増加させることで、異なるファイルIDを与えることも可能である。
閲覧要請を行う際に、やがて必要となる暗号化ファイルを前もってクラウドストレージへ転送することにより、カメラとインターネット間の回線速度の低さの影響を小さくすること、カメラが破壊された際に画像ファイルが失われることを防ぐこと、が期待される。
クラウドストレージは、閲覧者、閲覧条件設定者が設置したサーバを利用してもよいし、第3者の提供するストレージサービスを利用してもよい。クラウドストレージは、カメラから送られてくる暗号化ファイルを保存する。ストレージ容量がいっぱいになった際に古いファイルから、あるいは、ファイルごとに期限を設定し期限の過ぎたファイルから、削除されるように設定されてもよい。
クラウドストレージは、通信5により閲覧装置・閲覧ソフトウェアから、許可コードを受けると、処理6を行う。処理6は、許可コードからファイルIDを取り出し、ファイルIDに対応する暗号化ファイルを閲覧装置・閲覧ソフトウェアへ通信6により送信する処理である。
記録サーバは、閲覧装置・閲覧ソフトウェアからの問合せコードの入力に対して、予め設定された許可コード発行条件に従い処理を行い、許可コードを閲覧装置・閲覧ソフトウェアに許可コードを送信する。許可コードは、問合せコードに内蔵された閲覧者ID、ファイルIDに加え、画像閲覧の権限の強さを示す閲覧条件コードが追加されたものとして作成される。許可コードにより規定される閲覧権限の強さに応じて、閲覧可能な画像の不鮮明度が規定される。
記録サーバは、閲覧装置・閲覧ソフトウェアとのやり取りの過程を記録する。特に、閲覧者ID、ファイルID、閲覧条件コードを記録することにより、どの閲覧者が、どの画像ファイルを、どの不鮮明度で、閲覧することを許されたかを記録する。記録サーバに、カメラの被写体のプライバシ情報を含む暗号化ファイル、暗号キー設定者が設定した暗号キーや復号キーが、入力されることはない。
記録サーバは、閲覧条件設定者、暗号キー設定者、閲覧者とは異なる第3者により、独立して運用することができる。記録サーバの管理者としては、民間のサーバ提供会社、市役所の情報メディア部門、社団法人、特定非営利活動法人などが想定される。
閲覧装置・閲覧ソフトウェアは、閲覧用ソフトウェアがインストールされた専用に開発された閲覧装置でも良いし、市販のノートパソコンにインストールされた閲覧ソフトウェアでも良い。特に、閲覧用ソフトウェアがインストールされた専用に開発された閲覧装置とすることで、より高い安全性が確保できる。
閲覧装置・閲覧ソフトウェアは、カメラからのファイル閲覧要請に応じて、カメラ、記録サーバ、クラウドストレージと通信を行い、暗号化ファイルを取得する。その暗号化ファイルに対して、ファイル変換処理が施され、不鮮明化ファイルが生成される。ファイル変換処理の詳細は、以下のようになる。
まず、入力された暗号化ファイルに対して、暗号キーで復号化操作を行い、暗号化が解除され、一般的な静止画または動画の、ファイル形式である暗号解除ファイルを作る。次に、その暗号解除ファイルに対して、さらに、閲覧条件コードで規定されたモザイク処理等の不鮮明化処理を施し、不鮮明化ファイルを作る。
ファイル変換処理により生成された不鮮明化ファイルは、閲覧者に対して出力される。不鮮明化処理の強度は、閲覧条件コードにより規定された強度で行われる。不鮮明化強度がゼロに設定されている場合は、実質的には不鮮明化処理が行われない不鮮明化画像を出力する。なお、不鮮明化画像は、一般的な静止画または動画の、ファイル形式である。閲覧条件コードは、記録サーバから入力された許可コードから分離して使用される。
なお、図12に示した閲覧装置・閲覧ソフトウェアの「ファイル変換処理」の過程において生成される一時ファイルである「暗号解除ファイル」を、外部から伺い知ることを困難にするためには、メモリにスクランブルをかけるなど難読化が有効である。
本システムにおける、カメラが画像の閲覧要請を出してから、閲覧者が不鮮明化処理された画像を受け取るまでの処理は、以下のようになる。
まず、カメラは、カメラ自身が撮影した画像、及び/または、画像以外の温度、振動、音波、電磁波などに関するセンシング情報を、所定のアルゴリズムに従い処理を行う。その結果、ケンカ、交通事故、放火、徘徊、痴漢、空き巣、強盗、カメラへの接触、カメラの不具合などの異常が検知された場合には、所定の閲覧者に対して、画像等の閲覧要請を行う。
図12の「撮影画像」は、「撮影画像等のセンシング情報」と解釈できる。同じく、図12の「画像処理」は、「画像処理等のセンシング情報処理」と解釈できる。閲覧要請として、カメラは、閲覧者IDとファイルIDからなる閲覧要請コードを作成し、カメラは、閲覧要請コードを、通信2により、閲覧装置・閲覧ソフトウェアに送信する。なお、図12では、閲覧要請コードにはファイルIDが一つだけの例を記してあるが、これは、複数個あってもよい。なお、図12には示されていないが、閲覧要請コードには、閲覧者が閲覧するべき理由を記受した理由コードを含む。 理由コードとしては、「ケンカと思われる異常な動きが検知された」、「カメラ内部の動作がおかしく故障していることが予想される」、などが考えられる。
カメラは閲覧要請コードを通信2に送信すると同時に、閲覧要請コードに含まれるファイルIDを持つ暗号化ファイルをクラウドストレージへ転送する。
閲覧要請コードを受けた閲覧装置・閲覧ソフトウェアは、処理2を実施する。処理2では、閲覧要請コードに含まれる理由コードを分離し、それを、閲覧者に示し、カメラからの閲覧要請を受諾するか否かの判断を求める。あるいは、閲覧装置・閲覧ソフトウェアは、予め定められた条件に従い、閲覧要請を受諾するか否かの判断を自動的に行う。閲覧要請を受諾する判断が下された場合は、閲覧装置・閲覧ソフトウェアは問合せコードを生成し、通信3により、問合せコードを記録サーバに送信する。
通信3により問合せコードを受けた記録サーバは、処理3を実施する。処理3は、予め設定された許可コード発行条件に基づいて許可コードを生成し、通信4により閲覧装置・閲覧ソフトウェアに送り出す。
通信4により許可コードを受けた閲覧装置・閲覧ソフトウェアは、処理4を実施する。処理4は、許可コードから閲覧条件コードを取り出し、保存する。さらに、処理4は、通信5により、許可コードをクラウドストレージに送り出す。
通信5により、許可コードを受けたクラウドストレージは、処理5を実施する。処理5は、閲覧条件コードの真正性を確認し、許可コードにあるファイルIDに対応する暗号化ファイルを選び出す。選び出された暗号化ファイルは、通信6により、クラウドストレージから閲覧装置・閲覧ソフトウェアに送信される。図13では、通信5で許可コードを送信しているが、一般的なクラウドストレージサービスを利用するために、ファイルIDのみを送信することにしてもよい。
通信6により、暗号化ファイルを受けた閲覧装置・閲覧ソフトウェアは、ファイル変換処理により、暗号化ファイルを、不鮮明化ファイルに変換した上で、閲覧者に出力する。画像の不鮮明化処理としては、モザイク化処理などが好適である。
図13に、実施例13を示す。実施例13は請求項5の実施例である。ただし、他の実施例において、画像以外のセンシング情報を利用している実施例も請求項5の実施例となる。実施例13では、カメラにGPS受信器が内蔵されており、カメラの正確な位置情報、撮影画像の正確な時刻情報を得ることのできるシステムである。車載カメラ、ウェアラブル端末としての利用を想定している。
図13に示すカメラシステムにおいては、カメラ、閲覧装置・閲覧ソフトウェア、記録サーバは、インターネットまたはイントラネットに接続され、相互に通信を行うことができる。カメラ、閲覧装置・閲覧ソフトウェア、記録サーバで用いられる処理方法、暗号化、及び、復号化の方式は、カメラ、閲覧装置・閲覧ソフトウェア、記録サーバ以外には知られていない。つまり、秘密になっている。秘密になっていることが重要である。
図13に示すカメラシステムは、カメラで撮影され暗号化された画像ファイルを入手または閲覧または利用する場合、記録サーバから発行される許可コードが必要であるカメラシステムであり、記録サーバは、許可コードの発行の要請に対して、許可コード発行条件に基づき、許可コードを発行するカメラシステムである。図13においては、通信3で閲覧装置・閲覧ソフトウェアから記録サーバへ送信される閲覧要求コードが許可コードの発行要請となる。
許可コード発行条件は、閲覧条件設定者が設定・変更可能である。記録サーバは、許可コードの発行の要請の受付から、許可コード発行までの過程における、カメラ、暗号化された画像ファイル、閲覧者、などに関する情報を記録する。カメラ、暗号化された画像ファイル、閲覧者、などに関する情報の例としては、カメラとそのカメラにより撮影・保存された画像ファイルを指定するファイル指定コード、画像の撮影された時刻および位置、閲覧者ID、閲覧条件コード、許可コード発行時刻、発行した許可コード、などがある。
実施例1と同様に、閲覧条件設定者は、許可コード発行条件を、記録サーバに秘匿的に設定できる。許可コード発行条件は、暗号化されていることが好ましい。運用形態によっては、カメラシステムが適正に運用されることを証明・保障する目的で、閲覧条件設定者が、許可コード発行条件の全部、または、一部を公開することも考えられる。暗号キー設定者は、暗号キーや復号キーを、カメラに秘匿的に設定できる。また、暗号キー設定者は、復号キーを、閲覧者に付与する。暗号キーや復号キーは、それ自身、暗号化されていることが好ましい。閲覧条件設定者と暗号キー設定者は、同一でもよく、例えば、市役所の総務課、安全安心課などが想定される。
閲覧者には、固有の閲覧者IDが付与される。また、閲覧者には、暗号キー設定者から、暗号キーを付与される。閲覧者は、閲覧者ID、カメラID、当該カメラで撮影された画像の中で閲覧を希望する画像が撮影された時刻範囲、暗号キーを、閲覧装置・閲覧ソフトウェアに入力することにより、閲覧装置・閲覧ソフトウェアから、許可コード発行条件に基づき不鮮明化処理された不鮮明化ファイルを受け取り、利用・閲覧することができる。
また、閲覧者は複数いてもよい。閲覧者としては、市役所、警察署、設置工事業者、メンテナンス業者、自治会、一般市民、などが考えられる。例えばメンテナンス業者はモザイク処理された不鮮明な画像しか見ることができず、警察や市役所等では不鮮明化されていない画像を見ることができる、という運用方法が想定される。
カメラには、固有のカメラIDが設定される。カメラにはGPS信号受信器が内蔵され、カメラの正確な位置、正確な時刻が得られる。カメラの起動時に、カメラIDおよびカメラの位置情報は記録サーバに送られ、カメラID・位置リストとして保存される。位置情報の更新は起動時だけではなく、定期的に行われてもよい。位置情報に加えて、その位置にカメラが存在していた時刻を記録サーバに送ってもよい。
カメラで撮影された画像は、暗号キーにより、暗号化される。暗号化ファイルには、カメラID、撮影時刻、撮影位置を含む、固有のファイルIDが付与される。このファイルIDは、ファイル名と同一であってもよい。カメラが固定される場合には、撮影位置は含まなくてもよい。撮影された画像は、適当に設定された時間間隔で撮影された静止画でもよいし、適当に設定された時間の間に録画された動画でもよい。固有のファイルIDを付与された暗号化ファイルは、カメラ内部に保存される。
カメラの時計の狂い等により、2つ以上のファイルが、同一時刻に生成される可能性がある。このような場合においても、固有のファイルIDが生成されることを保障する目的で、ファイルIDの中に、撮影された画像ファイル内部の情報の一部、乱数などを付加することが考えられる。固有のファイルIDを付与された暗号化ファイルは、カメラ内部に保存される。また、ファイルIDに番号を含ませて、暗号化ファイルの生成の度に当該番号を1つ増加させることで、異なるファイルIDを与えることも可能である。
記録サーバはカメラから送られるカメラID・位置情報を記録し、リスト化する。カメラが移動する場合は、記録サーバは、一定期間の過去のカメラID・位置情報を記録しておく。カメラから位置情報に合わせて時刻も送る場合には、位置情報と時刻も合わせてリスト化する。
記録サーバは、閲覧装置・閲覧ソフトウェアからの閲覧要求コードの入力に対して、予め設定された許可コード発行条件に従い処理を行い、許可コードを閲覧装置・閲覧ソフトウェアに出力する。許可コードは、閲覧要求コードに内蔵された閲覧者ID、カメラ・ファイル指定コードに加え、画像閲覧の権限の強さを示す閲覧条件コードが追加されたものとして作成される。閲覧条件コードでは、閲覧時の画像の鮮明度、閲覧可能なファイル数、閲覧可能回数、保存の可否などが規定される。
記録サーバは、閲覧装置・閲覧ソフトウェアとのやり取りの過程を記録する。特に、閲覧者ID、カメラID、時刻範囲、閲覧条件コードを記録することにより、どの閲覧者が、どのカメラのどの画像ファイルを、どの不鮮明度で、閲覧することを許されたかを記録する。
記録サーバに、カメラの被写体のプライバシ情報を含む恐れのある暗号化ファイル、暗号キー設定者が設定した暗号キーや復号キーが、入力されることはない。記録サーバは、閲覧条件設定者、暗号キー設定者、閲覧者とは異なる第3者により、独立して運用することができる。記録サーバの管理者としては、民間のサーバ提供会社、市役所の情報メディア部門、社団法人、特定非営利活動法人などが想定される。
閲覧装置・閲覧ソフトウェアは、閲覧用ソフトウェアがインストールされた専用に開発された閲覧装置でも良いし、市販のノートパソコンにインストールされた閲覧ソフトウェアでも良い。特に、閲覧用ソフトウェアがインストールされた専用に開発された閲覧装置とすることで、より高い安全性が確保できる。
閲覧装置・閲覧ソフトウェアは、閲覧者からの閲覧要求に応じて、カメラ、記録サーバと通信を行い、暗号化ファイルを取得する。その暗号化ファイルに対して、ファイル変換処理が施され、不鮮明化ファイルが生成される。ファイル変換処理の詳細は、以下のようになる。
まず、入力された暗号化ファイルに対して、暗号キーで復号化操作を行い、暗号化が解除され、一般的な静止画、または、動画のファイル形式である暗号解除ファイルを作る。次に、その暗号解除ファイルに対して、さらに、閲覧条件コードで規定されたモザイク処理等の不鮮明化処理・閲覧制限処理を施し、不鮮明化ファイルを作る。
ファイル変換処理により生成された不鮮明化画像は、閲覧者に対して出力される。不鮮明化処理の強度は、閲覧条件コードにより規定された強度で行われる。不鮮明化強度がゼロに設定されている場合は、実質的には鮮明化処理が行われない不鮮明化画像を出力する。なお、不鮮明化画像は、一般的な静止画、または、動画のファイル形式である。閲覧条件コードは、記録サーバから入力された許可コードから分離して使用される。
なお、図13に示した閲覧装置・閲覧ソフトウェアの「ファイル変換処理」の過程において生成される一時ファイルである「暗号解除ファイル」を、外部から伺い知ることを困難にするためには、メモリにスクランブルをかけるなど難読化が有効である。
本システムにおける、閲覧者が閲覧要求を行って、不鮮明化ファイルを閲覧者が受け取るまでの処理は、以下のように行われる。
まず、閲覧者は、閲覧要求を行うため、閲覧したい画像をカメラIDと時刻範囲と位置範囲により指定する。具体的には、閲覧装置・閲覧ソフトウェアに、カメラIDと時刻範囲と位置情報を入力する。閲覧者は、閲覧者IDと復号化キーも閲覧装置・閲覧ソフトウェアに入力するが、この入力が行われるのは、、閲覧要求の入力の前であってもよいし、閲覧要求の入力と同時でもよいし、閲覧者IDや復号キーを閲覧装置・閲覧ソフトウェアが必要とする段階でもよい。閲覧装置・閲覧ソフトウェアはカメラIDと時刻範囲と位置範囲とから成るファイル指定コードを生成し、さらに、閲覧者IDとファイル指定コードからなる閲覧要求コードを生成する。
次に、通信3により、閲覧装置・閲覧ソフトウェアは、閲覧要求コードを、記録サーバに送る。記録サーバは、閲覧要求コードを受け取ると、処理3を実施する。処理3は閲覧要求コードで指定されたカメラIDと位置範囲と時刻範囲、および、予め設定された許可コード発行条件、カメラID・位置リストまたはカメラID・位置・時刻リストに基づいて許可コードを生成し、通信4により閲覧装置・閲覧ソフトウェアに送り出す。同時に、閲覧者ID、カメラID、時刻範囲、位置範囲、閲覧条件コードをログに記録する。
なお、閲覧要求コードには、閲覧者が閲覧を希望する理由を記述した理由コードを含んでもよい。理由コードとしては、「刑事事件の捜査に必要」、「徘徊老人の探索に必要」、「カメラの保守管理のための定期検査用に必要」等の理由が考えられる。この場合、記録サーバには、理由コードも記録されることが望ましい。
通信4により許可コードを受けた閲覧装置・閲覧ソフトウェアは、処理4を実施する。処理4は、許可コードから閲覧条件コードを取り出し、保存する。さらに、処理4は、通信5により、許可コードをカメラに送り出す。
通信5により、許可コードを受けたカメラは、処理5を実施する。処理5は、閲覧条件コードの真正性を確認し、許可コードで指定された時刻範囲に合致する暗号化ファイルのファイルIDを検索し、選び出す。選び出された暗号化ファイルは、通信6により、閲覧装置・閲覧ソフトウェアに送信される。
通信6により、暗号化ファイルを受けた閲覧装置・閲覧ソフトウェアは、ファイル変換処理により、暗号化ファイルを、不鮮明化ファイルに変換した上で、閲覧者に出力する。画像の不鮮明化処理としては、モザイク化処理などが好適である。
図14に示す実施例14は請求項1の実施例である。実施例14と実施例1の相違点は、実施例14ではカメラが取得した画像データを暗号化しないで保存するのに対して、実施例1ではカメラが取得した画像データを暗号化して保存する点である。実施例14においても、実施例1と同様に、カメラ、閲覧装置・閲覧ソフトウェア、記録サーバは、インターネットに接続され、相互に通信を行うことができる。カメラ、閲覧装置・閲覧ソフトウェア、記録サーバで用いられるデータの形式、データ処理の方式は、カメラ、閲覧装置・閲覧ソフトウェア、記録サーバ以外には知られていない。つまり、秘密になっている。秘密になっていることが重要である。このことにより、特に、暗号化をしなくても、意図しない画像データの外部への漏えいを防止することができる。すなわち、カメラ、閲覧装置・閲覧ソフトウェア、記録サーバからなるカメラシステムで用いられるデータの形式、データ処理の方式が、秘密になっていることで、個々の画像データは、暗号化しなくても、意図せずに外部に漏えいすることを防止できる。これにより、暗号化に伴う信号処理の付加を小さくすることが出来る。
カメラをインターネットに接続することが難しい場合は、カメラと閲覧装置・閲覧ソフトウェア間の通信は短距離無線通信を用いるか、または、短距離無線通信によるアドホックネットワークを用いて、閲覧装置・閲覧ソフトウェアと記録サーバとの間の通信のみインターネットとすることが、有効である。なお、インターネット接続が一般的には便利であると思われるが、インターネット接続の代わりに、どのようなネットワーク接続を用いてもよい。また、上記短距離無線通信としては、ブルートゥース、ジグビーなどを用いてもよい。また、カメラと閲覧装置・閲覧ソフトウェアと記録サーバの間の通信は暗号化通信を用いることが望ましい。
特に、本カメラシステムの特徴である、通常の通信量は非常に小さく、小さな通信速度で十分であるのに対して、犯罪捜査、徘徊老人捜索などの目的で画像ファイルの送受信が行われる際には非常に大きな通信量となり、大きな通信速度が必要になるという特徴に適した、新たなネットワークの規格を作ることは好ましいことである。近い将来、インターネットの修正版、あるいは、インターネットとは異なるネットワークが実用化された場合には、そのネットワークを用いてもよい。
本発明においては、日本全国の1000程度の市役所・町役場・村役場などの監視カメラの各運営主体が、それぞれ数十万台〜数百万台程度のカメラを管理運営するシステムを想定している。各運営主体に勤務する職員の中で、適当に定められた役職の職員が、個々のカメラに保存された画像データの入手または利用を行うために必要となる許可コードを記録サーバが発行する際に、記録サーバの挙動を規定する許可コード発行条件を設定する閲覧条件設定者となることを想定する。言うまでもないが、市町村以外の法人・任意団体・個人が運営主体となっても良い。画像データは、カメラシステム内で、個々の運営主体が定めた暗号キーにより暗号化されない非暗号化データとして取り扱われるため、システム内部におけるデータ形式、データ処理の方式が外部に漏れることがないように、特に、注意を払う必要がある。
記録サーバは、第3者機関に管理・運営されたものが一つあれば十分である。記録サーバの挙動は、監視カメラごとに異なっていてもよく、単一の記録サーバがカメラ毎に許可コード発行条件を保有し、カメラ毎に設定された許可コード発行条件に基づき動作する。
図14に示したカメラシステムは、カメラで撮影され画像データの非暗号化ファイルを入手または利用する場合、記録サーバから発行される許可コードが必要であるカメラシステムであり、記録サーバは、許可コードの発行の要請に対して、許可コード発行条件に基づき、許可コードを発行するカメラシステムである。図14においては、通信3で閲覧装置・閲覧ソフトウェアから記録サーバへ送信される問合せコードが許可コードの発行を要請するコードになる。なお、本実施例14の説明においては、カメラで取得された画像データの暗号化されない電子ファイルを、非暗号化ファイルとしている。
許可コード発行条件は、閲覧条件設定者が設定・変更可能である。記録サーバは、許可コードの発行の要請の受付から、許可コード発行までの過程における、カメラ、画像ファイル、閲覧者などに関する情報を記録する。カメラ、画像ファイル、閲覧者、などに関する情報の例としては、カメラID、画像ファイルのファイルID、閲覧者ID、許可コード発行時刻、発行した許可コード、などがある。
閲覧条件設定者は、許可コード発行条件を、記録サーバに設定できる。許可コード発行条件は、暗号化されていることが好ましい。運用形態によっては、カメラシステムが適正に運用されることを証明・保障する目的で、閲覧条件設定者が、許可コード発行条件の全部、または、一部を公開することも考えられる。閲覧条件設定者は、例えば、市役所の総務課、安全安心課などが想定される。
閲覧者には、固有の閲覧者IDが付与される。閲覧者は、閲覧者ID、カメラID、当該カメラで撮影された画像の中で閲覧を希望する画像が撮影された時刻範囲を、閲覧装置・閲覧ソフトウェアに入力することにより、閲覧装置・閲覧ソフトウェアから、許可コード発行条件に基づき不鮮明化処理された不鮮明化ファイルを受け取り、利用・閲覧することができる。
また、閲覧者は複数いることを想定している。閲覧者としては、市役所、警察署、カメラを設置する工事業者、カメラシステムを保守管理するメンテナンス業者、自治会、町内会、一般市民、などが考えられる。例えばメンテナンス業者はモザイク処理された不鮮明な画像しか見ることができず、警察や市役所等では不鮮明化されていない画像を見ることができる、という運用方法が想定される。
カメラには、固有のカメラIDが設定される。カメラで撮影された画像は、カメラID、撮影時刻、その他の情報とともに、暗号化されないで、非暗号化ファイルとして保存される。非暗号化ファイルには、カメラID、撮影時刻を含む、固有のファイルIDが付与される。このファイルIDは、ファイル名と同一であってもよい。撮影された画像は、適当に設定された時間間隔で撮影された静止画でもよいし、適当に設定された時間の間に録画された動画でもよい。
カメラの時計の狂い等により、2つ以上のファイルが、同一時刻に生成される可能性がある。このような場合においても、固有のファイルIDが生成されることを保障する目的で、ファイルIDの中に、撮影された画像ファイル内部の情報の一部、乱数などを付加することが考えられる。固有のファイルIDを付与された暗号化ファイルは、カメラ内部に保存される。また、ファイルIDに番号を含ませて、暗号化ファイルの生成の度に当該番号を1つ増加させることで、異なるファイルIDを与えることも可能である。
閲覧者は画像の閲覧を行う場合、閲覧装置・閲覧ソフトウェアから記録サーバに許可コードの発行要請を行うが、この要請は閲覧装置・閲覧ソフトウェアから問合せコードを記録サーバに送信することにより行う。記録サーバは閲覧装置・閲覧ソフトウェアから送られた問い合わせコードに対して、予め設定された許可コード発行条件に基づき処理を行い、許可コード発行条件を満たしている場合には、許可コードを閲覧装置・閲覧ソフトウェアに出力する。許可コードは、問合せコードに内蔵された閲覧者ID、ファイルIDに加え、画像閲覧の権限の強さを示す閲覧条件コードが追加されたものとして作成される。閲覧条件コードでは、閲覧時の画像の鮮明度、閲覧可能なファイル数、閲覧可能回数、保存の可否などが規定される。
記録サーバは、閲覧装置・閲覧ソフトウェアとの通信内容を記録する。特に、閲覧者ID、ファイルID、閲覧条件コードを記録することにより、どの閲覧者が、どの非暗号化ファイルを、どの程度の強度の不鮮明度で、閲覧することを許されたかを記録する。記録サーバに、非暗号化ファイルそのものが、入力されることはない。非暗号化ファイルそのものには、記録サーバが扱うことはないため、記録サーバの管理者が画像を閲覧することは不可能である。
記録サーバは、閲覧条件設定者、閲覧者とは異なる第3者により、独立して管理運用されることが好ましい。記録サーバの管理運用者としては、民間のサーバ提供会社、市役所の情報メディア部門、社団法人、特定非営利活動法人などが想定される。
閲覧装置・閲覧ソフトウェアは、閲覧用ソフトウェアがインストールされた専用に開発された閲覧装置でも良いし、市販のノートパソコン(ノート型パーソナルコンピュータ、ノート型PC)にインストールされた閲覧ソフトウェアでも良い。特に、閲覧用ソフトウェアがインストールされた専用に開発された閲覧装置とすることで、より高い安全性が確保できる。
閲覧装置・閲覧ソフトウェアは、閲覧者からの画像の閲覧要求に応じて、カメラ、記録サーバと通信を行い、非暗号化ファイルを取得する。当該非暗号化ファイルにファイル変換処理が施され、不鮮明化ファイルが生成される。ファイル変換処理の詳細は、以下のように行われる。
図14のファイル変換処理においては、入力された非暗号化ファイルに対して、閲覧条件コードで規定されたモザイク処理等の不鮮明化処理を施し、不鮮明化ファイルを作る。
ファイル変換処理により生成された不鮮明化ファイルは、閲覧者に出力される。不鮮明化処理の強度は、閲覧条件コードにより規定された強度で行われる。不鮮明化強度がゼロに設定されている場合は、不鮮明化処理が行われない不鮮明化ファイルを出力する。なお、不鮮明化ファイルは、一般的な画像または動画の、ファイル形式の画像ファイルと、画像ファイルと一体とできない他の種類の情報を記述したファイルの組み合わせでも良い。閲覧条件コードは、記録サーバから入力された許可コードから分離して使用される。
図14のカメラシステムにおいて、閲覧者がファイルを閲覧する要求である閲覧要求コードを出してから、不鮮明化ファイルを閲覧者が受け取るまでの処理は、以下のように行われる。
まず、閲覧者は、閲覧したい画像をカメラIDと時刻範囲により指定する。カメラID と時刻範囲を閲覧者IDを、閲覧装置・閲覧ソフトウェアに入力する。閲覧装置・閲覧ソフトウェアはカメラIDと時刻範囲とから成るファイル指定コードを生成し、さらに、閲覧者IDとファイル指定コードからなる閲覧要求コードを生成する。
次に、図14の通信1により、閲覧装置・閲覧ソフトウェアは、閲覧要求コードを、カメラに送る。カメラは、通信1により、閲覧要求コードを受け取ると、処理1を実施する。処理1は、ファイル指定コードで規定された時刻範囲に撮影された画像に対応する非暗号化ファイルのファイルIDを検索する。この結果に基づき、閲覧者IDとファイルIDからなる問合せコードを作成する。問合せコードを、通信2により、閲覧装置・閲覧ソフトウェアに送信する。なお、図14では、問合せコードにはファイルIDが一つだけである例を記してあるが、これは、複数個あってもよい。
なお、閲覧要求コードには、閲覧者が閲覧を希望する理由を記述した理由コードを含んでもよい。理由コードとしては、「刑事事件の捜査に必要」、「徘徊老人の探索に必要」、「カメラの保守管理のための定期検査用に必要」等の理由が考えられる。この場合、問合せコードにも、理由コードを転記することが好ましい。
問合せコードを受けた閲覧装置・閲覧ソフトウェアは、処理2を実施する。処理2は、通信3により、問合せコードを記録サーバに送信する。通信3により問合せコードを受けた記録サーバは、処理3を行う。処理3は、許可コードを生成し、通信4により閲覧装置・閲覧ソフトウェアに送り出す。許可コードは、閲覧者IDとファイルIDと閲覧条件コードからなる。許可コードに含まれる閲覧者IDとファイルIDは通信3により送られてきた問合せコードに含まれる閲覧者IDとファイルIDとする。許可コードに含まれる閲覧条件コードは、予め設定された許可コード発行条件に基づいて決定される。記録サーバは処理3を行うのと同時に、閲覧者ID、ファイル指定コード、当該処理3が行われた時刻、閲覧条件コードをログに記録する。許可コード発行条件としては、登録された閲覧者ごとに、また、閲覧理由ごとに、1日あたりに閲覧することが可能であるファイル数、閲覧可能な不鮮明度、などの閲覧条件が規定されたテーブルであってもよい。
記録サーバは処理3により生成された許可コードを通信4により閲覧装置・閲覧ソフトウェアに送信する。許可コードを受けた閲覧装置・閲覧ソフトウェアは、処理4を実施する。処理4は、許可コードから閲覧条件コードを取り出し、保存する。さらに、処理4は、通信5により、許可コードをカメラに送信する。
通信5により、許可コードを受けたカメラは、処理5を実施する。処理5は、閲覧条件コードの真正性を確認し、許可コードにあるファイルIDに対応する非暗号化ファイルを選び出す。選び出された非暗号化ファイルは、通信6により、カメラから閲覧装置・閲覧ソフトウェアに送信される。
通信6により、非暗号化ファイルを受けた閲覧装置・閲覧ソフトウェアは、ファイル変換処理により、非暗号化ファイルを、不鮮明化ファイルに変換した上で、閲覧者に出力する。画像の不鮮明化処理としては、モザイク化処理などが好適である。
図14では、カメラ内部の処理1で生成された問合せコードが、通信2、処理2、通信3により、閲覧装置・閲覧ソフトウェアを介して記録サーバに送られている。しかし、通信2によりカメラから閲覧装置・閲覧ソフトウェアへ問合せコードを送るのではなく、通信2において、カメラから直接直接記録サーバへ問合せコードを送る構成とし、処理2と通信3を削除してもよい。この場合、処理2、通信3は不要となる。カメラから直接記録サーバに送信された問合せコードは、処理3に入力されることになる。
同様に、図14における通信4、処理4、通信5は削除し、許可コードが、記録サーバから閲覧装置・閲覧ソフトウェアに送信されるのではなく、記録サーバからカメラに送信されるようにしてもよい。この場合は、通信5、処理5、通信6の内容を修正し、非暗号化ファイルと共に閲覧条件コードが、閲覧装置・閲覧ソフトウェアに送信されるようにする必要がある。
前記のような通信相手の変更は、通信2、処理2、通信3、及び/または、通信4、処理4、通信5を含む他の実施例にも、適用可能である。
実施例15は、記録サーバの動作、特に、記録サーバが記録した情報の開示方法の実施例である。実施例15は、図1に示した実施例1の内容を全て包含する。実施例15のうち、、実施例1に含まれていない部分を説明する。
記録サーバが記録したデータの開示方法としては、予め定められたURLにアクセスするという方法が考えられる。市役所などのカメラ群の所有者、及び/または、管理者、及び/または、運用者が、カメラ群を含むカメラシステムの運用方法を説明したウェアサイトを提供し、当該ウェブサイトから、記録サーバが記録した情報を開示する、記録サーバのウェブサイトにリンクが張られるという方法が想定される。ここでいうカメラ群とは、図1に示したカメラシステムから、閲覧装置・閲覧ソフトウェアと記録サーバを除いたものである。
あるいは、記録サーバに「記録サーバが記録した情報の一部の開示」を要求する電子メールを送信すると、当該電子メールが送信されたアドレス宛に、要求された「記録サーバが記録した情報の一部」が、記録サーバにより送信される方法が、考えられる。「記録サーバが記録した情報の一部」の指定の仕方として、カメラの設置場所、時間帯、閲覧者などの条件で指定することが想定される。
あるいは、一般市民が、記録サーバに電子メールを送信すると、当該アドレスに、問泡絵に対する答えが、記録サーバが送信される方法が、考えられる。
記録サーバが記録した情報を開示する方法、条件は、閲覧条件設定者が決定することが想定される。
記録サーバの所有者、及び/または、管理者、及び/または、運用者は、閲覧条件設定者が決定した「記録サーバが記録した情報を開示する方法、条件」が、厳密に守られることを、保障する責任がある。また、記録サーバの所有者、及び/または、管理者、及び/または、運用者は、閲覧条件設定者が決定した「許可コード発行条件」が、厳密に守られることを、保障する責任がある。
記録サーバの所有者、及び/または、管理者、及び/または、運用者は、社会的に十分に高い信頼性を持つ必要がある。本発明に基づくカメラシステムの信頼性は、特に、記録サーバの所有者、及び/または、管理者、及び/または、運用者に制約される場合が多くあると想定される。
実施例1から実施例15において、カメラにマイクを設置し、画像に加えて音声を画像ファイルと合わせて保存するように、実施例1から実施例15を拡張することができる。この拡張による実施例は、請求項6の実施例である。
将来、カメラが街中の至る所に配置されることが考えられる。その際に、プライバシの侵害を防ぐ用途に利用できる。また、カメラに限らず、IT機器により記録されたデータの閲覧履歴を記録することにより、画像だけではなく様々なデータのプライバシの保護にも適用できる。
Claims (2)
- カメラで撮影された画像データを暗号化して保存し、暗号化された当該画像データを前記カメラから入手する、または、復号化する、または、利用するには、許可コードが必要であるカメラシステムであり、当該許可コードは許可コード発行条件に基づき記録サーバから発行されるカメラシステムであり、当該記録サーバは、当該許可コードの発行の要請の受付から、許可コード発行までの過程における、カメラ、画像データ、閲覧者、許可コードの項目のうちいずれか1つ以上の項目に関する情報を記録することを特徴とする、または、
カメラで撮影された画像データを保存し、当該画像データを前記カメラから入手する、または、利用するには、許可コードが必要であるカメラシステムであり、当該許可コードは許可コード発行条件に基づき記録サーバから発行されるカメラシステムであり、当該記録サーバは、当該許可コードの発行の要請の受付から、許可コード発行までの過程における、カメラ、画像データ、閲覧者、許可コードの項目のうちいずれか1つ以上の項目に関する情報を記録することを特徴とするカメラシステムであり、
カメラが画像を暗号化する際に利用する暗号キーや復号キーを、カメラ及び閲覧装置・閲覧ソフトウェアに設定する設定装置・設定ソフトウェアを含み、この設定装置・設定ソフトウェア内部に保持する暗号キーや復号キーを、カメラ及び閲覧装置・閲覧ソフトウェアのみに知らしめることを特徴とするカメラシステム。 - カメラで撮影された画像データを暗号化して保存し、暗号化された当該画像データを前記カメラから入手する、または、復号化する、または、利用するには、許可コードが必要であるカメラシステムであり、当該許可コードは許可コード発行条件に基づき記録サーバから発行されるカメラシステムであり、当該記録サーバは、当該許可コードの発行の要請の受付から、許可コード発行までの過程における、カメラ、画像データ、閲覧者、許可コードの項目のうちいずれか1つ以上の項目に関する情報を記録することを特徴とする、または、
カメラで撮影された画像データを保存し、当該画像データを前記カメラから入手する、または、利用するには、許可コードが必要であるカメラシステムであり、当該許可コードは許可コード発行条件に基づき記録サーバから発行されるカメラシステムであり、当該記録サーバは、当該許可コードの発行の要請の受付から、許可コード発行までの過程における、カメラ、画像データ、閲覧者、許可コードの項目のうちいずれか1つ以上の項目に関する情報を記録することを特徴とするカメラシステムであり、
カメラが保存する画像データを入手するために、及び/または、暗号化された画像データを復号化するために、当該入手、及び/または、当該復号化の理由を示すための理由コードを必要とするカメラシステムであり、当該理由コードの全部または一部が、電子署名されていることを特徴とするカメラシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015167298A JP6671627B2 (ja) | 2015-08-26 | 2015-08-26 | プライバシ保護を可能とするカメラシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015167298A JP6671627B2 (ja) | 2015-08-26 | 2015-08-26 | プライバシ保護を可能とするカメラシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017046193A JP2017046193A (ja) | 2017-03-02 |
| JP6671627B2 true JP6671627B2 (ja) | 2020-03-25 |
Family
ID=58210407
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015167298A Active JP6671627B2 (ja) | 2015-08-26 | 2015-08-26 | プライバシ保護を可能とするカメラシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6671627B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20240232431A1 (en) * | 2023-01-09 | 2024-07-11 | Xailient | Systems and methods for image encryption |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6805996B2 (ja) * | 2017-07-28 | 2020-12-23 | トヨタ自動車株式会社 | 情報処理装置、情報処理方法及び情報処理システム |
| JP7562164B2 (ja) | 2020-04-13 | 2024-10-07 | 薫 渡部 | 監視情報管理システム、監視情報管理プログラム及び監視情報管理方法 |
| JP7301024B2 (ja) * | 2020-06-18 | 2023-06-30 | Toa株式会社 | 情報提供システム及び情報提供方法 |
| JP7288945B2 (ja) * | 2021-11-03 | 2023-06-08 | 克貴 美木 | 保安管理システム、保安管理方法及び符号化撮像装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6658091B1 (en) * | 2002-02-01 | 2003-12-02 | @Security Broadband Corp. | LIfestyle multimedia security system |
| JP2007258957A (ja) * | 2006-03-22 | 2007-10-04 | Oki Electric Ind Co Ltd | 映像監視システム及びその映像表示方法 |
| JP2008178054A (ja) * | 2007-01-22 | 2008-07-31 | Koji Yoshinuma | プライバシーを守る監視システム |
| JP5840804B2 (ja) * | 2009-12-25 | 2016-01-06 | 特定非営利活動法人e自警ネットワーク研究会 | 暗号化された画像を閲覧権者に応じた強度の不鮮明化処理を施した画像を出力することを特徴とする画像暗号化システム |
| JP5127883B2 (ja) * | 2010-06-04 | 2013-01-23 | 株式会社日立システムズ | ネットワークカメラ異常検知及び通報方式 |
| US9681103B2 (en) * | 2012-11-13 | 2017-06-13 | International Business Machines Corporation | Distributed control of a heterogeneous video surveillance network |
| KR101538064B1 (ko) * | 2015-02-05 | 2015-07-22 | (주)씨앤에스아이 | 영상 통합관제 시스템과 이를 이용한 영상 전송 및 공유 방법 |
-
2015
- 2015-08-26 JP JP2015167298A patent/JP6671627B2/ja active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20240232431A1 (en) * | 2023-01-09 | 2024-07-11 | Xailient | Systems and methods for image encryption |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017046193A (ja) | 2017-03-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6671627B2 (ja) | プライバシ保護を可能とするカメラシステム | |
| KR101419972B1 (ko) | 카메라에 의해 생성되는 미디어 데이터로의 액세스를 제한하기 위한 방법 | |
| CN104751073B (zh) | 用于被跟踪设备的隐私管理 | |
| JP6319746B2 (ja) | モバイル通信デバイスのセキュリティモード | |
| WO2018003919A1 (ja) | 通信システム、それに用いる通信装置、管理装置及び情報端末 | |
| US20060137018A1 (en) | Method and apparatus to provide secured surveillance data to authorized entities | |
| KR101522311B1 (ko) | 미리보기 기능을 갖춘 감시카메라 영상 반출 시스템 | |
| KR20170098701A (ko) | 카메라 영상 불법 유출 방지 및 실시간 재난/범죄 대처를 위한 보안 시스템 및 방법 | |
| US8272063B2 (en) | DRM scheme extension | |
| US20220397686A1 (en) | Platforms, Systems, and Methods for Community Video Security Services that provide Elective and Resource Efficient Privacy Protection | |
| US9805216B2 (en) | Privacy compliance event analysis system | |
| US20210383029A1 (en) | Information processing program, information processing device, and information processing method | |
| JP2007286879A (ja) | 医用機器のセキュリティ管理システム、医用機器、及び医用機器のセキュリティ管理方法 | |
| JP5757048B2 (ja) | 所有者,画像閲覧可能な者を知らしめる情報開示手段を持つことを特徴とする防犯カメラシステム | |
| JP2018156633A (ja) | 情報管理端末装置 | |
| CN113962577A (zh) | 一种多体系智慧园区平台 | |
| CN111386711A (zh) | 用于管理电子文件的电子指纹的方法、设备和系统 | |
| KR101731012B1 (ko) | 개인영상정보 반출 관리시스템 | |
| JP5162732B2 (ja) | 画像閲覧システム | |
| JP2019086904A (ja) | 画像管理サーバ及び画像管理方法 | |
| JP2019004373A (ja) | 映像情報共有装置、映像情報共有システム及び映像情報共有方法 | |
| TWI308451B (en) | Method and apparatus to provide secured surveillance data to authorized entities | |
| JP2005242471A (ja) | 情報収集転送取得システム、情報収集制御装置、情報収集制御方法、およびそのプログラム並びにそれらを記録する記録媒体 | |
| JP2013125404A (ja) | 情報管理システム | |
| KR101902687B1 (ko) | 영상실명 보안시스템 및 보안방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180814 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190522 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190618 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190814 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200128 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200214 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6671627 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |