まず、本発明の概要について説明する。
本発明のテレワーク管理システムは、顔認識技術を用いてテレワーカのイベント(”着席”や”離席”の労務イベントや、第三者による”なりすまし”や”覗き込み”のセキュリティインシデント)を検出・記録し、管理者が閲覧できるようにするシステムである。
テレワーカが勤務を開始する際、テレワーカの顔写真を撮影し、当該顔写真と、最初にテレワーカ本人であることが保証されている顔画像の特徴量とを用いて個人認証を行い、テレワーカ本人である可能性の度合い(認証レベル)を算出する(以降、顔画像とその特徴量をまとめて特徴量データ、個人認証に使用する特徴量データを認証特徴量データとする)。
たとえば、テレワーカ本人である可能性が極めて高い場合”高”、テレワーカ本人である可能性が高いが、第三者である可能性もある場合”中”、第三者である可能性が極めて高い場合”低”とする。なお、認証レベルについては、顔写真から算出される特徴量と、認証特徴量データとの類似度を算出し、予め定められた閾値と類似度とを用いることで、認証レベルを算出する。
認証レベルが”高”の場合、認証特徴量データと映像に写る人物の特徴量データとの差異が少ないので、認証特徴量データを使用してイベントの検出を行う。
認証レベルが”中”の場合、認証特徴量データと映像に写る人物の特徴量データに多少の差異がみられるため、現在の映像に写る顔から新たに特徴量データ(以降、一時特徴量データとする)を取得し、それを使ってイベントの検出を行う。これにより、管理者が保証した特徴量データ(認証特徴量データ)から多少の差異が見受けられたとしても正常にイベントを検出できるようになる。
ただし、一時特徴量データが第三者のものである可能性もあるので、その特徴量データを記録し、管理者に確認させる。管理者がその一時特徴量データを第三者のものであると判断した場合、速やかに一時特徴量データでのイベント検出を取りやめ、認証特徴量データを使用してイベントの検出を行うようにする。また、一時特徴量データが今後のテレワーカの認証にふさわしいと判断した場合、管理者はその一時特徴量データを認証特徴量データとして登録する。
認証レベルが”低”の場合、第三者である可能性が高いので、認証特徴量データを使用してイベントの検出を行う。この場合は”なりすまし”が頻発すると考えられる。ただし、例えば普段は化粧をしている人が化粧をしていなかったり、普段メガネをかけていない人がメガネをかけていたりする可能性もあるため、現在の映像から新たに一時特徴量データを取得して記録し、管理者に確認させる。管理者がその一時特徴量データをテレワーカのものと判断した場合、一時特徴量データを使用してイベントの検出を行うようにする。
以上が本発明におけるテレワーク管理システムの概要である。
以下、図面を参照して、本発明の実施形態を詳細に説明する。
図1は、本発明のテレワーク管理システムの構成の一例を示すシステム構成図である。
図1は、1又は複数の証跡送信端末100、1又は複数の証跡監査端末110、1又は複数の証跡管理サーバ120が、ローカルエリアネットワーク(LAN)130とルータ140、およびインターネット150を介して接続される構成となっている。
証跡送信端末100は、使用するテレワーカの労務イベントおよびセキュリティインシデントを検出し、その証跡を証跡管理サーバ120に送信する。また、イベント検出に使用するテレワーカの特徴量データ(顔画像とそこから取得した特徴量)を証跡管理サーバ120に送信する。
証跡監査端末110は、証跡管理サーバ120に記録された特徴量データの承認操作と、証跡管理サーバ120に記録された証跡の監査操作を行う。
証跡管理サーバ120は、証跡送信端末100から受信した証跡を記録し、その証跡に対する証跡監査端末110の監査操作を処理する。また、証跡送信端末100から受信した特徴量データを記録し、その特徴量データに対する証跡監査端末110の承認操作を処理する。
以下、図2を用いて、図1に示した証跡送信端末100、証跡監査端末110、証跡管理サーバ120に適用可能な情報処理装置のハードウェア構成について説明する。
図2は、図1に示した証跡送信端末100、証跡監査端末110、証跡管理サーバ120に適用可能な情報処理装置のハードウェア構成を示すブロック図である。
図2において、201はCPUで、システムバス204に接続される各デバイスやコントローラを統括的に制御する。また、ROM203あるいは外部メモリ212には、CPU201の制御プログラムであるBIOS(Basic Input / Output System)やオペレーティングシステムプログラム(以下、OS)や、各サーバ或いは各PCの実行する機能を実現するために必要な後述する各種プログラム等が記憶されている。
203はRAMで、CPU201の主メモリ、ワークエリア等として機能する。CPU201は、処理の実行に際して必要なプログラム等をROM203あるいは外部メモリ212からRAM202にロードして、該ロードしたプログラムを実行することで各種動作を実現するものである。
また、205は入力コントローラで、キーボード(KB)209やカメラデバイス210(撮像装置)、不図示のマウス等のポインティングデバイス等からの入力を制御する。206はビデオコントローラで、CRTディスプレイ(CRT)211等の表示器への表示を制御する。なお、図2では、CRT211と記載しているが、表示器はCRTだけでなく、液晶ディスプレイ等の他の表示器であってもよい。これらは必要に応じて管理者が使用するものである。
207はメモリコントローラで、ブートプログラム,各種のアプリケーション,フォントデータ,ユーザファイル,編集ファイル,各種データ等を記憶する外部記憶装置(ハードディスク(HD))や、フレキシブルディスク(FD)、或いはPCMCIAカードスロットにアダプタを介して接続されるコンパクトフラッシュ(登録商標)メモリ等の外部メモリ212へのアクセスを制御する。
208は通信I/Fコントローラで、ネットワーク(例えば、図1に示したLAN130)を介して外部機器と接続・通信するものであり、ネットワークでの通信制御処理を実行する。例えば、TCP/IPを用いた通信等が可能である。
なお、CPU201は、例えばRAM202内の表示情報用領域へアウトラインフォントの展開(ラスタライズ)処理を実行することにより、CRT211上での表示を可能としている。また、CPU201は、CRT211上の不図示のマウスカーソル等でのユーザ指示を可能とする。
本発明を実現するための後述する各種プログラムは、外部メモリ212に記録されており、必要に応じてRAM202にロードされることによりCPU201によって実行されるものである。さらに、上記プログラムの実行時に用いられる定義ファイル及び各種情報テーブル等も、外部メモリ212に格納されており、これらについての詳細な説明も後述する。
次に、図3を用いて、本発明の証跡送信端末100、証跡監査端末110および証跡管理サーバ120の機能ブロック図について説明する。
尚、各機能ブロックが処理する詳細な制御については、後述するフローチャートにて説明する。
まず、証跡送信端末100の機能構成について説明する。
映像入力部101は、カメラデバイス210より映像を取得し、個人認証部102にその映像を送信する。個人認証部102の処理が完了したら、イベント検出部106にその映像を送信する。
個人認証部102は、映像入力部101から送られてきた映像のフレーム(静止画)と特徴量データ記憶部104から取得した特徴量データの特徴量を顔認識部103に与え、顔認識部103から得られた顔識別結果から映像に写っているのがテレワーカ本人である可能性(認証レベル)を”高”、”中”、”低”として算出する。認証レベルが”高”の場合、イベントの検出に使用する特徴量として認証に使用した特徴量を指定する。”中”、”低”の場合、フレームから顔画像とその一時特徴量を取得し、特徴量データ記憶部104に記憶する。
顔認識部103は、個人認証部102またはイベント検出部106から送られてきたフレームに対して顔検出を行う。さらに検出された顔に対して、指定された特徴量との類似度を算出する。
特徴量データ記憶部104は、顔画像とその特徴量からなる特徴量データを記憶する。
特徴量データ送信部105は、個人認証部102から送られてきた特徴量データを、通信I/Fコントローラ208を介して証跡管理サーバ120の特徴量データ受信部121に送信する。
イベント検出部106は、映像入力部101から取得した映像のフレームと個人認証部で指定された特徴量データを顔認識部103に与え、顔認識部103から得られた顔識別結果をもとに、着席、離席、なりすまし、覗き込み等のイベントを検出する。検出したイベントの証跡は、証跡制御部107に送信する。
証跡制御部107は、イベント検出部106から得られた証跡を証跡記憶部108に記憶する。特定の送信条件が満たされた場合(たとえば、離席イベントが発生してから3分経過等)、証跡記憶部108に記録された証跡を証跡送信部109に送信する。さらに、送信の済んだ、または送信の必要がなくなった(たとえば、離席イベントが発生してから3分以内に着席イベントが発生した等)証跡を証跡記憶部108から消去する。
証跡記憶部108は、イベントの証跡を記憶する。
証跡送信部109は、証跡制御部107から得られた証跡を、通信I/Fコントローラ208を介して証跡管理サーバ120の証跡受信部125に送信する。
特徴量データ更新部10Aは、証跡管理サーバ120の特徴量データ管理操作処理部124の結果を受けて、特徴量データ記憶部104の特徴量データを更新する。
次に、証跡監査端末110の機能構成について説明する。
特徴量データ管理操作部111は、証跡管理サーバ120の特徴量データ管理操作処理部124を介して、特徴量データの閲覧と、その承認状況(承認待ち、承認、否認、差戻し)および識別子との関連(識別ID)の更新を行う。
証跡監査操作部112は、証跡管理サーバ120の証跡監査操作処理部127を介して、イベントの証跡と、イベントから導かれる労務状況の統計情報を閲覧する。
更新通知受信部113は、証跡管理サーバ120の更新通知送信部からの更新通知を受信する。
最後に、証跡管理サーバ120の機能構成について説明する。
特徴量データ受信部121は、証跡送信端末100の特徴量データ送信部105から送られてくる特徴量データを受信し、特徴量データ記憶部122に記憶する。また、更新通知送信部123に、新しい特徴量データの登録があったことを通知するよう要求する。
特徴量データ記憶部122は、特徴量データ受信部121で受信した特徴量データを記憶する。また、特徴量データの識別IDに紐づいた識別子の情報を記憶する。
更新通知送信部123は、特徴量データおよび証跡を受信した際に、証跡監査端末110の更新通知受信部113に更新通知を送信する。
特徴量データ管理操作受信部124は、証跡監査端末110の特徴量データ管理操作部111の命令を受けて、特徴量データ記憶部122の特徴量データを画面に表示したり、特徴量データへの操作を処理したりする。
証跡受信部125は、証跡送信端末100の証跡送信部109から送信された証跡を受信し、証跡記憶部126に記憶する。また、証跡のイベントが”なりすまし”や”覗き込み”であった場合、更新通知送信部123に、セキュリティインシデントの証跡の登録があったことを通知するよう要求する。
証跡記憶部126は、”着席”、”離席”等の労務イベントや”なりすまし”、”覗き込み”等のセキュリティインシデントの証跡を記憶する。
証跡監査操作処理部127は、証跡監査端末110の証跡監査操作部112の命令を受けて、証跡記憶部126の証跡や、証跡から算出した労務の統計情報を画面に表示したり、証跡に対する操作を処理したりする。
アカウント記憶部128は、テレワーカおよび管理者のアカウント情報を記憶する。
なお、テレワーカおよび管理者がシステムを利用する際に必要なアカウント認証を行う機能および、それらのアカウント情報を登録する機能についても備えているが、本発明の趣旨から外れるため詳細な説明は省略する。
以下、本実施形態におけるテレワーク管理システムの全体の流れを、個人認証による認証レベルごとに説明する。
まず、認証レベルが”高”の場合について説明する。
証跡送信端末100は、カメラデバイス210から取得した映像に対して認証特徴量データを使って個人認証を行い、認証レベルを算出する。認証レベルが”高”の場合、認証特徴量データを使ってイベントの検出を開始する。イベントが検出されたら、その証跡を証跡管理サーバ120に送信する。
証跡管理サーバ120は、証跡送信端末100から受け取った証跡を記憶し、セキュリティインシデントの証跡である場合は、証跡監査端末110にセキュリティインシデントの証跡の登録に関する更新通知を送信する。
証跡監査端末110は、証跡管理サーバ120からの更新通知を受けて証跡を表示し、必要に応じてその証跡に対する操作を受け付ける。また、労務イベントの統計情報を表示する。
次に、認証レベルが”中”の場合について説明する。
証跡送信端末100は、カメラ映像に対して認証特徴量データを使って個人認証を行い、認証レベルを算出する。認証レベルが”中”の場合、現在の映像から一時特徴量データを算出し、証跡管理サーバ120に送信し、その一時特徴量データでイベントの検出を開始する。
証跡管理サーバ120は、証跡送信端末100から受け取った一時特徴量データを記憶し、証跡監査端末110に特徴量データ登録に関する更新通知を送信する。
証跡監査端末110は、証跡管理サーバ120からの更新通知を受けて、一時特徴量データの承認操作を行う。特に問題がない場合は承認状況を”承認”にし、さらに今後認証に使用する特徴量データとする場合、関連する識別子を設定する。特徴量データが第三者のものである場合は承認状況を”否認”にする。特徴量データがテレワーカ本人のものであるが、認証にふさわしいものとみなせない場合、承認状況を”差戻し”にする。
証跡管理サーバ120は、証跡監査端末110から受け取った特徴量データ操作を処理する。
証跡操作端末100は、証跡管理サーバ120の特徴量データの変更を受けて、端末に記憶された特徴量データを更新する。
証跡送信端末100は、イベント検出に使用している一時特徴量データの承認状況が”否認”になっている場合、イベント検出に使用する特徴量データを認証特徴量データに置き換える。必要であれば、情報処理端末にロックをかける。また、イベント検出に使用している一時特徴量データの承認状況が”差戻し”になっている場合、再度個人認証を行い、イベント検出に使用する特徴量データを更新する。
次に、認証レベルが”低”の場合について説明する。
証跡送信端末100は、カメラ映像に対して登録済の認証特徴量データを使って個人認証を行い、認証レベルを算出する。認証レベルが”低”の場合、認証特徴量データを使ってイベントの検出を開始する。また、現在の映像から一時特徴量データを算出し、証跡管理サーバ120に送信する。
証跡管理サーバ120は、証跡送信端末100から受け取った一時特徴量データを記憶し、証跡監査端末110に特徴量データ登録に関する更新通知を送信する。
証跡監査端末110は、証跡管理サーバ120からの更新通知を受けて、一時特徴量データの承認操作を行う。特に問題がない場合は承認状況を”承認”にし、さらに今後認証に使用する特徴量データとする場合、関連する識別子を設定する。特徴量データが第三者のものである場合は承認状況を”否認”にする。特徴量データがテレワーカ本人のものであるが、認証にふさわしいものとみなせない場合は承認状況を”差戻し”にする。
証跡管理サーバ120は、証跡監査端末110から受け取った特徴量データ操作を処理する。
証跡操作端末100は、証跡管理サーバ120の特徴量データの変更を受けて、端末に記憶された特徴量データを更新する。
証跡送信端末100は、送信した一時特徴量データの承認状況が”承認”になっている場合、イベント検出に使用する特徴量データを一時特徴量データに置き換える。また、送信した一時特徴量データの承認状況が”否認”になっている場合、必要であれば情報処理端末にロックをかける。また、イベント検出に使用している一時特徴量データの承認状況が”差戻し”になっている場合、再度個人認証を行い、イベント検出に使用する特徴量データを更新する。
以下、図4を参照して、本実施形態のテレワーク管理システムにおける、テレワーカが利用する証跡送信端末100上で動作する常駐アプリケーションでの処理について説明する。
図4のフローチャートで示す処理は、証跡送信端末100のCPU201が所定の制御プログラムを読み出して実行する処理である。
ステップS401では、ユーザが証跡送信端末100にログインすることにより、証跡送信端末100が常駐アプリケーションを起動し、バックグラウンドで証跡管理サーバ120にテレワーカのアカウントIDとパスワードによってログインする。証跡管理サーバ120は、アカウント記憶部128に記憶されたテレワーカの情報(図9)と比較し、一致すればログインを許可する。アカウントIDとパスワードは、常駐アプリケーションの初回起動時にユーザが設定し、以降は設定された値を使用するものとする。
ステップS402では、証跡送信端末100を使用しているユーザが証跡管理サーバ120に登録されたテレワーカである可能性を算出し、その結果次第でステップS403のイベント検出で使用する特徴量データを決定する。詳細については図5で説明する。
ステップS403では、イベント(”着席”、”離席”といった労務イベントや、”なりすまし”、”覗き込み”といったセキュリティインシデント)を検出し、その証跡を証跡管理サーバ120に送信する。詳細については図6で説明する。
ステップS404では、ユーザが証跡送信端末100からログアウトすることにより、証跡送信端末100がバックグラウンドで証跡管理サーバ120からログアウトする。
以下、図5を参照して、図4の402の個人認証処理の詳細について説明する。図5のフローチャートで示す処理は、証跡送信端末100のCPU201により、ROM203から取得したプログラムをRAM202に記憶することで実行される。
ステップS501では、ステップS502−S515で発生する処理以外のユーザ操作をロックする。また、顔の認証を行うことをユーザに通知し、通常業務を行う姿勢でCRT211の中央を見てもらえるよう促す。すなわち、業務を行う際の通常の姿勢を取ってもらうように促す。
ステップS502−S507では、RAM202にN件のフレームに対する顔識別結果(図14)が記憶されるまで、カメラデバイスに写るフレームに対して顔識別を繰り返す。このように複数のフレームに対して顔識別処理を行うのは、1つのフレームに対する1度の顔識別結果だけでは、たまたま良いまたは悪い結果が得られてしまう可能性があることから、適切な判断をするために行うものである。ただし、必ずしも複数にする必要はなく、1つのフレームに対して1度の顔識別処理を行うようにしても良い。
なおN件の具体的な数値については、予め定められているものとし、例えば5件や10件といった値である。
ステップS503では、カメラデバイス210からフレームの入力を受け付け、その情報(図12)をRAM202に記憶する。
ステップS504では、ステップS503で取得したフレームに対して顔検出を行う。得られた顔検出結果(図13)を、RAM202に記憶する。
ステップS505では、ステップS504で検出された顔が1つであるかを判断する。
検出された顔が1つである場合(ステップS505:YES)は、処理をステップS506に移行し、それ以外の場合はステップS502に遷移する。
ステップS506では、ステップS504で得られた顔検出結果をもとにフレームから顔画像を取得する。そして、その顔画像について、認証特徴量データ(の特徴量)を学習させた識別器を使って顔識別を行う。
得られた顔識別結果(図14)はRAM202に記憶する。同じ識別子に関連付けられる認証特徴量データが複数ある場合は、それらを同じ識別対象として識別器に学習させる。
複数の識別子が存在する場合、それらを別の識別対象として学習させる。ここでいう識別対象とは、対象がテレワーカ本人であることは同じなのだが、メガネや化粧の有無、業務を実行する環境の違い(による照明環境やカメラと顔の位置関係など)など、テレワーカの業務環境をカテゴライズしたものとなる。初回はここで使用する認証特徴量データが存在しないと考えられるが、その場合はステップS508において認証レベル“中”と算出されることになる類似度を設定した顔識別結果を生成し、RAM202に記憶する。
そして、撮影回数がN件に達したかを判断し、N件に達している場合は、ステップS508へ処理を進める。N件に達していない場合は、再度ステップS503からS506の処理を繰り返す(ステップS507)。
ステップS508では、RAM202に記憶された顔識別結果から、その代表となる顔識別結果を選出し、そこから一時特徴量データ(図11)を生成し、RAM202に記憶する。
代表となる顔識別結果の選出の一例としては、N件の顔識別結果の類似度の平均値に最も近い類似度をもつ顔識別結果を選出する方法がある。
生成した一時特徴量データと、認証用特徴量データとの類似度が閾値A(第1の閾値)を超えていたら、テレワーカ本人であると認証されたものとし、生成した一時特徴量データの認証レベルを”高”にする。類似度が閾値A未満で閾値B(第2の閾値)を超えていたら、認証レベルを“中”に、閾値Bを下回っていたら認証レベルを“低”にする。
ここで、閾値Aは認証特徴量データによる認証において、類似度がその値以上であればほぼ同一人物であることが保証される類似度の値であり、閾値Bは、類似度がその値以上であれば本人である可能性が高いと考えられる類似度の値である。この閾値は、使用する顔認識技術等によって異なる。
識別器に複数の識別子が登録されていた場合、別々に類似度の平均値を算出し、最もその値が大きい識別子の顔識別結果から選出するものとする。一時特徴量データの生成後、RAM202に記憶されたフレーム、顔検出結果、顔識別結果をすべて消去する。
ステップS509では、ステップS508で算出した一時特徴量データの認証レベルを判定する。
判定の結果、一時特徴量データの認証レベルが“高”であれば処理をステップS510に移行する。
それ以外(認証レベルが中、低)であれば処理をステップS511に遷移する。
ステップS510では、イベントの検出を行う際に使用する特徴量データとして、ステップS506で使用した認証特徴量データをRAM202に記憶する。
複数の識別子が存在する場合、ステップS508で算出した、類似度の平均値が最も大きい識別子の認証特徴量データをイベントの検出を行う際に使用する特徴量データとして設定する。なお、イベント検出において複数の識別子の登録を許可するのであれば、すべての認証特徴量データをイベント検出に使用するよう設定してもかまわない。
複数の識別子が存在する場合とは、認証用特徴量データが複数登録されている場合をいう。たとえばメガネをかけている顔の認証用特徴量データと、メガネをかけていない顔の認証特徴量データの2通りが登録されている場合である。
そして、処理をステップS516に移行する。ステップS516の処理は後述する。
ステップS509において認証レベル中または低と判断された場合の処理について説明する。
ステップS511では、認証結果と一時特徴量データの顔画像をユーザに確認させるべく、表示する。認証レベルが“中”の場合、一時特徴量データを使ってイベントの検出を行うこと、また、その特徴量データを管理サーバに記録することを確認させる。認証レベルが“低”の場合、認証がうまくいかなかったこと、一時特徴量データを使ってイベントの検出を行えるよう管理者に承認してもらえるよう通知することを確認させる。
具体的には、図16に示す画面を表示することで、ユーザに確認させる。そして、ユーザからの確認結果を受け付ける。
ステップS512では、ステップS511においてユーザから受け付けた確認結果が“OK”の場合、ステップS513に遷移する。
確認結果がOKの場合とは、認証レベルが中の場合は、一時特徴量データを使ってイベントの検出を行うこと、また、その特徴量データを管理サーバに記録することに対して承認する旨の結果を受け付けた場合である。認証レベルが低の場合は、認証がうまくいかなかったこと、一時特徴量データを使ってイベントの検出を行えるよう管理者に承認してもらえるよう通知することについて承認する旨の結果を受け付けた場合である。
確認結果として再認証をする旨を受け付けた場合は、処理をS502に遷移して再度顔認証を行う。
確認結果としてキャンセルする旨を受け付けた場合、処理をステップS510に遷移する。
ステップS513では、ステップS508で算出した一時特徴量データを証跡管理サーバ120に登録する。この処理の詳細は図6のフローチャートを用いて説明する。
ステップS514では、一時特徴量データの認証レベルが“中”の場合ステップS515に遷移し、“低”の場合ステップS510に遷移する。
ステップS515では、イベントの検出を行う際に使用する特徴量データとして、ステップS508で算出した一時特徴量データをRAM202に記憶する。なお、イベント検出において複数の識別子の登録を許可するのであれば、一時特徴量データに加えてすべての認証特徴量データを使用するように設定してもかまわない。
このように、一時特徴量データをイベント検出に用いることで、過去に取得した認証特徴量データをイベント検出に使うよりも認証精度がよくなり、“着席”および“なりすまし”などのイベントを精度よく検出できるようになる。
ステップS516では、ステップS501で行ったユーザ操作のロックを解除する。そして本フローチャートの処理を終了する。
個人認証処理においてユーザが操作する画面の一例を図16に示す。
図16(A)は、ステップS501において証跡送信端末100の表示部に表示される画面の一例である。
図16(B)は、ステップS509において認証レベルが高であると判断された場合に、証跡送信端末100の表示部に表示される画面の一例である。
図16(C)は、ステップS509において認証レベルが低であると判断された場合に、証跡送信端末100の表示部に表示される画面の一例である。図16(C)にあるように、OKボタン、キャンセルボタン、再認証ボタンが含まれ、ユーザにより押下されたボタンに応じて、ステップS512の処理(判定)が行われる。
図16(D)は、ステップS509において認証レベルが中であると判断された場合に、証跡送信端末100の表示部に表示される画面の一例である。図16(D)も図16(C)と同様にOKボタン、キャンセルボタン、再認証ボタンが含まれ、ユーザにより押下されたボタンに応じて、ステップS512の処理(判定)が行われる。
次に図6を参照して、図5のステップS512の一時特徴量データの登録およびその承認処理の詳細について説明する。
図6のフローチャートで示す処理のうち証跡送信端末100の処理は、証跡送信端末100のCPU201により、ROM203から取得したプログラムをRAM202に記憶することで実行される。また証跡監査端末110の処理は、証跡監査端末110のCPU201により、ROM203から取得したプログラムをRAM202に記憶することで実行される。また証跡管理サーバ120の処理は、証跡管理サーバ120のCPU201により、ROM203から取得したプログラムをRAM202に記憶することで実行される。
ステップS601では、証跡送信端末100が、ステップS508で算出した一時特徴量データを証跡管理サーバ120に送信する。同時に、特徴量データ記憶部104にその一時特徴量データを記憶する。
ステップS602では、証跡管理サーバ120が、証跡送信端末100が送信した一時特徴量データを受信し、特徴量データ記憶部122に記憶する。そして、証跡送信端末100と証跡管理サーバ120は非同期に動作し、証跡送信端末100は、個人認証処理(図5)のステップS514の処理に遷移し、証跡管理サーバ120はステップS603の処理に遷移する。証跡送信端末100の処理(S514以降)については、上述の通りである。
ステップS603では、証跡管理サーバ120が、一時特徴量データ100のテレワーカIDに対応するテレワーカの管理者の情報(図8)をアカウント記憶部128から取得する。そして、その管理者の証跡監査端末110に、新しく登録された一時特徴量データの承認依頼通知を送信する。代表的な送信手段としては、電子メールがあげられるが、いずれの方法であってもよい。送信後、証跡管理サーバ120は新たな命令があるまで待機する。
ステップS604では、証跡監査端末110が、証跡管理サーバ120から送信された承認依頼通知を受信する。
ステップS605では、証跡監査端末110は、表示部に図17に示す画面を表示し、証跡管理サーバ120上の一時特徴量データ(図11)の顔画像を管理者に確認させ、管理者による承認操作を受け付ける。
管理者が、表示部に表示された顔画像の持ち主がテレワーカ本人であると判断し、一時特徴量データによるイベント検出を認める場合(すなわち、管理者から承認する旨の指示を受け付けた場合)、承認状況を“承認”に変更する。
管理者が、顔画像の持ち主がテレワーカ本人であるが、イベント検出に使用することは認められないと判断した場合(すなわち、承認をキャンセルする旨の指示を受け付けた場合)、承認状況を“差戻し”に変更する。
管理者が、顔画像の持ち主がテレワーカ以外の第三者であると判断した場合(すなわち、管理者から否認する旨の指示を受け付けた場合)、承認状況を“否認”に変更する。
管理者が、顔画像の持ち主がテレワーカ本人であると判断し、今後個人認証で使用する認証特徴量データとして当該顔画像を登録する場合、承認状況を“承認”に変更し、識別子(図10)の指定を受け付ける。識別子を指定する際、既存の識別子だけでなく、新しい識別子を指定することもできる。既存の識別子を指定する際、その識別子が設定された他の特徴量データの識別子をクリアして、編集中の特徴量データのみをその識別子の認証特徴量データとすることもできる。特徴量データの更新においてユーザが操作する画面の一例を図17に示す。
ここで図17に示す画面について説明する。
図17(A)は、ステップS604において証跡監査端末110の表示部に表示される画面である。管理者により承認状況が「登録」となっているデータが選択されると、図17(B)に示す画面が表示される。
図17(B)の画面では、管理者から(A)の画面で選択された特徴量データを承認するか(イベント検出に用いる特徴量データとして承認するか)の指示を受け付ける。
承認する旨の指示を受け付けると、図17(C)に示す画面を表示する。図17(C)に示す画面においては、認証用の特徴量データとして使うことを承認するかの指示を受け付ける。
認証用の特徴量データとして使うことを承認する旨の指示がなされると、図17(D)に示す画面を表示し、識別子の選択を受け付ける。
識別子の選択を受け付け、OKボタンが押下されると、図17(E)に示す画面を表示する。
図17(E)に示す画面は、識別子に対応付ける特徴量データの設定をする画面である。
以上が図17に示す画面の説明である。
ステップS606では、証跡管理サーバ120が、ステップS605において受け付けた管理者による承認操作に従い、特徴量データを更新する。
ステップS607では、証跡送信端末100が、証跡管理サーバ120によるステップS606での一時特徴量データの更新に応じて、特徴量データ記憶部104に記憶された、対応する一時特徴量データを更新する。すなわち、証跡管理サーバ120に記憶されたデータと証跡送信端末100に記憶されたデータとを同期する処理である。
なお、ステップS606で更新された一時特徴量データが特徴量データ記憶部104になかった場合、その情報を証跡管理サーバ120から取得する。また、ステップS606で更新されたものが認証特徴量データであった場合も、その特徴量データの更新を行う。
ステップS608では、一時特徴量データの承認状況を判断する。
承認状況が「差し戻し」である場合は、処理をステップS609に移行する。
承認状況が「否認」である場合は、処理をステップS610に移行する。
承認状況が「承認」である場合は、処理をステップS611に移行する。
ステップS609では、証跡送信端末100が、一時特徴量データが差戻されたことを受け、再度ステップS402と同様の個人認証処理を行いイベント検出に使用する特徴量データの決定を行う。
ステップS610では、証跡送信端末100が、一時特徴量データが否認されたことを受け、情報端末の画面ロック等の処理を行う。すなわち、管理者により一時特徴量データにおける顔画像がテレワーカ本人の顔画像ではないと判断されたことになるため、画面ロックなどを行うことで、テレワーカ本人以外による証跡送信端末の操作などを防ぎセキュリティ対策を行う。
なお、ここで実行される画面ロック等の処理は、画面ロックでなくとも、エラー音を鳴らすなどの警告を通知したり、カメラ映像を動画として保存したりするなどのセキュリティ対策を行うことを想定している。画面ロックの解除の詳細な内容説明については本発明の趣旨から外れるため省略する。
ステップS611では、変更された一時特徴量データの認証レベルが“低”の場合(ステップS611:TRUE)はステップS612に遷移してイベント検出に使用する特徴量データを、当該一時特徴量データで更新を行う。すなわち、ステップS510の処理で設定された内容を更新する。
認証レベルが“中”の場合(ステップS611:FALSE)は、既に承認された一時特徴量データでイベントの検出を行っている(ステップS515)ので処理を終了する。
ステップS612では、証跡送信端末100が、イベント検出に使用する特徴量データを、ステップS510で設定した認証特徴量データから当日に取得した一時特徴量データに更新する。なお、イベント検出において複数の識別子の登録を許可するのであれば、使用中の認証特徴量データに加えて一時特徴量データを使用するように設定してもかまわない。
これにより、認証特徴量データを使用していた状態に比べてなりすましが起こりにくい状態になる。
以下、図7を参照して、図4のステップS403のイベント検出の詳細について説明する。この処理は、証跡送信端末100のCPU201により、ROM203から取得したプログラムをRAM202に記憶することで実行される。ステップS701−ステップS709のイベント検出処理と、ステップS710−ステップS713の証跡送信処理は非同期で動作する。この処理は、すべてバックエンドで実行され、ユーザ操作を介さない。
まず、ステップS701−ステップS709のイベント検出処理について説明する。
ステップS701では、アプリケーションの終了命令があるか確認し、なければ(ステップS701:NO)ステップS702に遷移する。アプリケーションの終了命令がある場合(ステップS701:YES)は、本フローチャートの処理を終了し、処理をステップS404に移行する。
ステップS702では、カメラデバイス210からフレーム(画像)の入力を受け付け、その情報(図12)をRAM202に記憶する。
ステップS707でイベントを検出する際には所定の件数(M件)のフレームの顔検出および顔識別結果を利用するため、RAM202にフレームがM件記憶されていたら、最も古いフレームと、それに関連づいた顔検出結果および顔識別結果をRAM202から消去する。
ステップS703では、ステップS702で取得したフレームに対して顔検出を行う。得られた顔検出結果(図13)は、RAM202に記憶する。
ステップS704−ステップS706では、ステップS703で検出された顔に対して顔識別を行う。完了したらステップS707に遷移する。
ステップS705では、ステップS703で得られた顔検出結果をもとにフレームから一つの顔画像を取得し、その顔画像に対して個人認証処理(図4)で算出したイベント検出に使う特徴量データ(の特徴量)を学習させた識別器を使って顔識別を行う。得られた顔識別結果(図14)はRAM202に記憶する。同じ識別子に関連付けられる特徴量データが複数ある場合は、それらを同じ識別対象として識別器に学習させる。複数の識別子が存在する場合、それらを別の識別対象として学習させる。ここでいう識別対象とは、対象がテレワーカ本人であることは同じなのだが、メガネや化粧の有無、業務を実行する環境の違い(による照明環境やカメラと顔の位置関係など)など、テレワーカの業務環境をカテゴライズしたものとなる。
ステップS707では、RAM202に記憶された複数のフレームの顔検出結果および顔識別結果から、現在のイベント(着席、離席、なりすまし、覗き込み)を算出し、証跡をRAM202に記憶する。
単純な例としては、複数のフレームについて、各フレームの顔検出結果の数を調べ、検出された顔の数が0件のフレームが最も多い場合は“離席”(顔が映っていない時間が長いといえるため、離席していると判断)、顔の数が2件のフレームが最も多い場合“覗き込み”(顔を2つ以上検知しているため、覗き込みされていると判断)とする。
また、顔検出数が1件のフレームが最も多い場合、顔識別結果の類似度が一定値以上のフレーム数と一定値未満のフレーム数を調べ、前者が多い場合“着席”(テレワーカ本人だけが映っている)、後者が多い場合“なりすまし”(テレワーカ以外の人物だけが映っている)とする。
この算出方法は顔検出および顔識別の結果の精度および傾向によりどのように設定してもよい。また、イベントの発生傾向を学習させた識別器によって判定させてもよい。
ステップS708では、ステップS707で算出した証跡のイベントと、直前に検出された証跡のイベントが同じ値(すなわち、状況に変化がない場合)であればステップS701に遷移し、異なる場合(すなわち、状況に変化があった、何らかのイベントが発生した場合)は、ステップS709に遷移する。
ステップS709では、証跡を証跡記憶部108に記憶し、ステップS701に遷移する。
続いて、ステップS710−ステップS713の証跡送信処理について説明する。
ステップS710では、アプリケーションの終了命令があるか確認し、なければ(ステップS710:NO)ステップS711に遷移する。アプリケーションの終了命令がある場合(ステップS710:YES)は、本フローチャートの処理を終了し、処理をステップS404に移行する。
ステップS711では、証跡記憶部108に記憶された最新の証跡を確認し、証跡の送信条件が満たされているか判定する。
送信条件の一例としては、最新の証跡が最後に送信した証跡のイベントと異なり、証跡の検出日時から一定時間経過していたらその証跡の送信が必要であるとし、RAM202に記憶する。一定時間経過していなければ、送信不要と判定する。
この経過時間は、顔認識の精度によって、イベント毎に設定する。たとえば、なりすましを誤検出しやすく、覗き込みを高精度に検出できるのであれば、なりすましを30秒間検出した場合になりすましイベントの証跡を送信し、覗き込みを5秒間検出した場合に覗き込みイベントの証跡を送信する、といったように、イベントによってその証跡を送信するまでの時間を異ならせて設定する。
なお、最後に送信した証跡はRAM202に記憶されており、初期値は“離席”となっている。これにより、本人が着席しているが“なりすまし”や“離席”が頻繁に誤検出されてしまう場合にも、そのあとすぐに“着席”を検出できればそれまでに起きたイベントはノイズとして管理サーバに送信、記憶されることがなくなる。
ステップS712では、最後に証跡を送信したあとに検出された証跡の履歴から、送るべき証跡があるかどうか判定する。
たとえば、“なりすまし”と“離席”が短期間(たとえば1秒ごと)に交互に複数回以上発生している場合、“なりすまし”が発生していると推定できる(1秒間の間に離席と着席とを繰り返すのは不自然であるため、離席の検知は誤検知であると考えられ、なりすましが続いていると判断できる)ので、その初回の“なりすまし”のイベントを送信が必要と判断し、RAM202に記憶する。
また、離席イベントと離席イベントの間に“なりすまし”が発生した場合、第三者がテレワーカの離席中にちょっと覗き込んですぐ去っていったものと推定できるので、証跡を送信が必要であるとし、RAM202に記憶する。
ステップS712のように証跡の履歴から送信の要否を判断することで、ステップS711で見逃された送信が必要な証跡を掘り起すことができる。
ステップS713では、ステップS711およびステップS712で送信が必要と判断した証跡を管理サーバ120に送信する。この際、検出日時の新しい証跡を最後に送信した証跡としてRAM202に記憶する。
以上のように、図7のフローチャートで示す処理は、アプリケーションが終了するまで継続して実行される処理である。
図8−15は、本実施形態のテレワーク管理システムにおけるデータテーブルの一例を示すデータ構成図である。
図8は、管理者情報が登録されたデータテーブルの一例を示す図であり、管理者の情報(ID、名前、メールアドレス等)が格納されている。
図9は、テレワーカ情報が登録されたデータテーブルの一例を示す図であり、テレワーカID、テレワーカの名前、テレワーカのメールアドレス、当該テレワーカに対応する管理者のIDなどの情報が格納されている。ここに登録された管理者に対して、一時特徴量データの承認依頼などが通知される(S513)。
図10は、識別子情報が登録されたデータテーブルの一例を示す図であり、テレワーカIDと識別IDと名前などの情報が格納されている。図10の例では、テレワーカIDが「1」のテレワーカには、2種類の認証用特徴量データが登録されていることを示している。
図11は、特徴量データが登録されたデータテーブルの一例を示す図である。図11の例では、テレワーカID「1」のテレワーカの特徴量データが4つ登録されている。特徴量データID「1」とID「2」とID「3」の特徴量データについては、管理者による承認がなされている。また、ID「1」とID「2」の特徴量データについては、識別IDが登録されているため、認証用特徴量データとして個人認証に用いられているものである。
図12は、フレーム情報が登録されたデータテーブルの一例を示す図である。本テーブルは、ステップS503やS702の処理において登録されるデータである。フレームID、画像、大きさ、取得日時などのデータから構成される。
図13は、顔検出結果が登録されたデータテーブルの一例を示す図である。図12に登録された各フレームから検出された顔の情報が登録される。
図14は、顔識別結果が登録されたデータテーブルの一例を示す図である。
図15は、証跡情報が登録されたデータテーブルの一例を示す図である。ステップS709において登録されるデータである。検出日時、証跡画像、イベント内容などにより構成されている。
図18は、認証レベルを求めるための第1の閾値、第2の閾値が登録されたデータテーブルの一例を示す図である。
図16、図17は、本実施形態のテレワーク管理システムにおけるユーザが操作する画面の一例を示す画面イメージである。
以上のように、本発明においては、テレワークを開始する際に撮影された顔画像とあらかじめ管理者により承認された認証用の顔画像との類似度が高い場合(類似度が第1の閾値よりも高い場合)、すなわち本実施形態における認証レベルが高の場合は、当該認証用の顔画像を用いてイベントを検出する。これにより、管理者はテレワーカがテレワークを開始する度に、本人であるかの判断をする必要がなくなり、管理者の負担を低減させることが可能となる。また、テレワーカにとっても、管理者に対して承認依頼を出す必要がなく、負担が低減される。
テレワークを開始する際に撮影された顔画像とあらかじめ管理者により承認された認証用の顔画像との類似度が中程度(類似度が第1の閾値よりも低く、第2の閾値よりも高い場合)、すなわち本実施形態における認証レベルが中の場合は、当該テレワーク開始時に撮影された顔画像を用いてイベント検出を行う。また、テレワーク開始時に撮影された顔画像を管理者に確認させ、当該顔画像を引き続きイベント検出に用いるかの指示を受け付ける。また、今後の認証用の顔画像として、当該テレワーク開始時に撮影した顔画像を用いるかの選択を受け付け、今後の認証用に当該顔画像を用いる旨の指示があった場合は、当該顔画像を認証用の顔画像として登録する。
このように、類似度が中程度の場合にはテレワーカ本人である可能性は一定程度あるため、テレワーク開始時に撮影された顔画像によりイベント検出を行うことで、なりすましの誤検出を低減させることが可能となる。また、当該テレワーク開始時に撮影された顔画像を管理者に確認させ、引き続きイベント検出に用いても良いかの選択を受け付けることで、仮にテレワーカ本人でなかった場合におけるセキュリティインシデントの影響を小さく抑えることが可能となる。
また、管理者がテレワーカ本人であり認証用に用いてよいと判断した場合は、当該テレワーク開始時に撮影された顔画像を認証用の顔画像にすることで、年月の経過による顔の変化に対応した認証用顔画像を登録することが可能となる。
テレワークを開始する際に撮影された顔画像とあらかじめ管理者により承認された認証用の顔画像との類似度が低い(類似度が第2の閾値よりも低い場合)、すなわち本実施形態における認証レベルが低の場合は、認証用の顔画像を用いてイベント検出を行う。またテレワーク開始時に撮影された顔画像を管理者に確認させ、イベント検出に用いる顔画像として承認を得られた場合は、当該テレワーク開始時に撮影された顔画像をイベント検出に用いる。また、今後の認証用に当該顔画像を用いる旨の指示があった場合は、当該顔画像を認証用の顔画像として登録する。
このように、類似度が低い場合にはテレワーカ本人である可能性は低いため、まずは認証用の顔画像でイベントを検知することで、セキュリティインシデント等の影響を小さく抑えることが可能となる。また、管理者による承認があった場合には当該テレワーク開始時に撮影された顔画像によりイベント検出を行うことで、誤検出による利便性低下を抑えることが可能となる。
また、管理者がテレワーカ本人であり認証用に用いて良いと判断した場合は、当該テレワーク開始時に撮影された顔画像を認証用の顔画像にすることで、年月の経過による顔の変化に対応した認証用顔画像を登録することが可能となる。
なお、上述した各種データの構成及びその内容はこれに限定されるものではなく、用途や目的に応じて、様々な構成や内容で構成されることは言うまでもない。
また、本発明におけるプログラムは、図4〜図7の処理をコンピュータに実行させるプログラムである。なお、本発明におけるプログラムは、図4〜図7の各処理ごとのプログラムであってもよい。
以上のように、前述した実施形態の機能を実現するプログラムを記録した記録媒体を、システムあるいは装置に供給し、そのシステムあるいは装置のコンピュータ(またはCPUやMPU)が記録媒体に格納されたプログラムを読み出し、実行することによっても本発明の目的が達成されることは言うまでもない。
この場合、記録媒体から読み出されたプログラム自体が本発明の新規な機能を実現することになり、そのプログラムを記録した記録媒体は本発明を構成することになる。
プログラムを供給するための記録媒体としては、例えば、フレキシブルディスク、ハードディスク、光ディスク、光磁気ディスク、CD−ROM、CD−R、DVD−ROM、磁気テープ、不揮発性のメモリカード、ROM、EEPROM、シリコンディスク等を用いることが出来る。
また、コンピュータが読み出したプログラムを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
さらに、記録媒体から読み出されたプログラムが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPU等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
また、本発明は、複数の機器から構成されるシステムに適用しても、ひとつの機器から成る装置に適用しても良い。また、本発明は、システムあるいは装置にプログラムを供給することによって達成される場合にも適応できることは言うまでもない。この場合、本発明を達成するためのプログラムを格納した記録媒体を該システムあるいは装置に読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
さらに、本発明を達成するためのプログラムをネットワーク上のサーバ、データベース等から通信プログラムによりダウンロードして読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。なお、上述した各実施形態およびその変形例を組み合わせた構成も全て本発明に含まれるものである。