JP7029328B2 - 電子投票システム、及び、制御方法 - Google Patents

電子投票システム、及び、制御方法 Download PDF

Info

Publication number
JP7029328B2
JP7029328B2 JP2018057525A JP2018057525A JP7029328B2 JP 7029328 B2 JP7029328 B2 JP 7029328B2 JP 2018057525 A JP2018057525 A JP 2018057525A JP 2018057525 A JP2018057525 A JP 2018057525A JP 7029328 B2 JP7029328 B2 JP 7029328B2
Authority
JP
Japan
Prior art keywords
voting
authentication
data
servers
transaction data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018057525A
Other languages
English (en)
Other versions
JP2019021296A (ja
Inventor
勇二 海上
純一郎 添田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Priority to US16/026,125 priority Critical patent/US10783733B2/en
Priority to CN201810713364.2A priority patent/CN109246175B/zh
Priority to EP18182012.7A priority patent/EP3429122B1/en
Publication of JP2019021296A publication Critical patent/JP2019021296A/ja
Priority to US16/996,184 priority patent/US11749047B2/en
Priority to JP2022023374A priority patent/JP7253085B2/ja
Application granted granted Critical
Publication of JP7029328B2 publication Critical patent/JP7029328B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、電子投票システム、及び、制御方法に関する。
近年、一部の地方自治体において電子投票が行われている。電子投票システムでは、投票者の投票内容を秘匿にするために、投票者の認証情報と投票内容との紐付けをさせないようにする必要がある。
特許文献1に開示される電子投票システムでは、投票者の認証に用いられる通信端末に投票参加チケットを送信し、通信端末が投票参加チケットを匿名化して送信することで、投票者の匿名性を確保している。
また、電子投票システムは、システムの信頼性が高いこと、及び、記録されている投票内容の改変がされないことという要件の具備も必要である。非特許文献1では、システムの高信頼性、及び、投票内容の改変の防止を実現するためにブロックチェーンを用いることが開示されている。
特表2011-517825号公報
「ブロックチェーンの分散台帳を利用した電子投票による集合知の構成」 情報処理 第57巻 第12号 pp.1204-1209 「プライバシー保護入門 6.1 k-匿名化(pp.135-138)、6.5 l-多様性(pp.157-159)
電子投票システムにおいて投票をブロックチェーンで管理する場合、投票結果を含むブロックチェーンを公開すると、投票者と投票内容との紐付けができてしまい、秘密投票が実現し得ないという問題がある。
そこで、本発明は、秘密投票を可能とする電子投票システム等を提供する。
本発明の一態様に係る電子投票システムは、端末と、複数の認証サーバと、複数の投票サーバとを備える電子投票システムであって、前記複数の認証サーバのそれぞれは、投票者に紐付けられる第一IDと、前記投票者の認証情報とを含む認証データを前記端末から受信し、受信した前記認証データを用いて前記投票者を認証する認証処理部と、前記認証処理部により前記投票者が認証されたことを示す第一取引データを含む第一ブロックチェーンを記憶している第一記憶部と、前記第一記憶部が記憶している前記第一ブロックチェーンを、前記複数の認証サーバのうち当該認証サーバを除く1以上の認証サーバと同期する第一同期部とを備え、前記複数の投票サーバのそれぞれは、前記投票者が投票する票に紐付けられる第二IDであって、前記第一IDとは独立である第二IDと、前記票の投票内容を示す投票情報とを含む投票データを前記端末から受信する投票処理部と、前記投票処理部が受信した前記投票データに含まれる前記投票情報を第二取引データとして含む第二ブロックチェーンを記憶している第二記憶部と、前記第二記憶部が記憶している前記第二ブロックチェーンを、前記複数の投票サーバのうち当該投票サーバを除く1以上の投票サーバと同期する第二同期部とを備え、前記端末は、前記認証データを生成し、生成した前記認証データを前記複数の認証サーバのうちの一の認証サーバに送信するデータ生成部を備え、前記データ生成部は、さらに、前記認証サーバに前記認証データを送信することで、前記一の認証サーバによる認証が成功した後に前記投票データを生成し、生成した前記投票データを前記複数の投票サーバのうちの一の投票サーバに送信する。
なお、これらの包括的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なCD-ROMなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび記録媒体の任意な組み合わせで実現されてもよい。
本発明によれば、秘密投票が可能となる。
図1は、実施の形態における電子投票システムの構成を示す模式図である。 図2は、ブロックチェーンのデータ構造を示す説明図である。 図3は、取引データのデータ構造を示すの説明図である。 図4は、実施の形態における投票端末の構成を示すブロック図である。 図5は、実施の形態における認証サーバの構成を示すブロック図である。 図6は、実施の形態における投票サーバの構成を示すブロック図である。 図7は、実施の形態における電子投票システムの初期化処理を示すシーケンス図である。 図8は、実施の形態における初期化処理中の認証コインの所有者を示す説明図である。 図9は、実施の形態における初期化処理中の投票コインの所有者を示す説明図である。 図10は、実施の形態における電子投票システムの投票処理を示す第一のシーケンス図である。 図11は、実施の形態における電子投票システムの投票処理を示す第二のシーケンス図である。 図12は、実施の形態における投票処理中の認証コインの所有者を示す説明図である。 図13は、実施の形態における投票処理中の投票コインの所有者を示す説明図である。 図14は、実施の形態における投票サーバによる匿名化の基準の第一の説明図である。 図15は、実施の形態における投票サーバによる匿名化の基準の第二の説明図である。 図16は、実施の形態におけるコンセンサスアルゴリズムの実行可否に関する処理を示すフロー図である。 図17は、実施の形態における電子投票システムの投票終了処理を示すフロー図である。 図18は、実施の形態における投票サーバによる投票結果の公開処理を示すシーケンス図である。 図19は、実施の形態における電子投票システムでの投票に用いる投票端末を示す模式図である。 図20は、実施の形態における電子投票システムでの投票結果の公開に用いる端末を示す模式図である。
本発明の一態様に係る電子投票システムは、端末と、複数の認証サーバと、複数の投票サーバとを備える電子投票システムであって、前記複数の認証サーバのそれぞれは、投票者に紐付けられる第一IDと、前記投票者の認証情報とを含む認証データを前記端末から受信し、受信した前記認証データを用いて前記投票者を認証する認証処理部と、前記認証処理部により前記投票者が認証されたことを示す第一取引データを含む第一ブロックチェーンを記憶している第一記憶部と、前記第一記憶部が記憶している前記第一ブロックチェーンを、前記複数の認証サーバのうち当該認証サーバを除く1以上の認証サーバと同期する第一同期部とを備え、前記複数の投票サーバのそれぞれは、前記投票者が投票する票に紐付けられる第二IDであって、前記第一IDとは独立である第二IDと、前記票の投票内容を示す投票情報とを含む投票データを前記端末から受信する投票処理部と、前記投票処理部が受信した前記投票データに含まれる前記投票情報を第二取引データとして含む第二ブロックチェーンを記憶している第二記憶部と、前記第二記憶部が記憶している前記第二ブロックチェーンを、前記複数の投票サーバのうち当該投票サーバを除く1以上の投票サーバと同期する第二同期部とを備え、前記端末は、前記認証データを生成し、生成した前記認証データを前記複数の認証サーバのうちの一の認証サーバに送信するデータ生成部を備え、前記データ生成部は、さらに、前記認証サーバに前記認証データを送信することで、前記一の認証サーバによる認証が成功した後に前記投票データを生成し、生成した前記投票データを前記複数の投票サーバのうちの一の投票サーバに送信する。
上記態様によれば、電子投票システムは、正当な投票者であることの認証と、認証後に行われる投票とで、互いに独立のIDを含むデータを用いる。これにより、例えば選挙後に認証の結果と投票内容とが公開された場合でも、その投票内容の投票を行った投票者が特定されないようにすることができる。また、認証されたことを示すデータと投票内容を示すデータとをそれぞれ個別のブロックチェーンで管理することで、各データの改ざんを抑制することができる。よって、電子投票システムは、秘密投票を可能とする。
例えば、複数の投票サーバのそれぞれは、さらに、前記端末から前記投票データを受信した場合には、受信した前記投票データに含まれる前記投票内容を示す第二取引データを生成する第二取引データ生成部と、前記第二取引データ生成部が生成した1以上の前記第二取引データを含む第二ブロックを生成し、生成した前記第二ブロックを前記第二ブロックチェーンに接続する第二ブロック生成部とを備えてもよい。
上記態様によれば、電子投票システムは、投票者による投票内容を含むデータをブロックチェーンに格納する。よって、電子投票システムは、投票車によって投票された投票の内容の改ざんを抑制しながら、秘密投票を可能とする。
例えば、前記第二取引データ生成部は、前記認証処理部が複数の有権者それぞれに対する認証をすることができる状態になったことを示す第三取引データを含む第三ブロックを生成し、生成した前記第三ブロックを前記第二ブロックチェーンに接続し、前記複数の認証サーバのうちの一の認証サーバにより前記投票者が認証されたことによって、前記端末が前記投票者による投票内容の入力を受けることができる状態になったことを示す第四取引データを含む第四ブロックを生成し、生成した前記第四ブロックを前記第二ブロックチェーンに接続してもよい。
上記態様によれば、電子投票システムは、投票者が認証サーバによって認証されたことに基づいて、投票者に投票内容の入力をさせる。よって、電子投票システムは、認証されていない投票者による投票内容の入力を制限しながら、秘密投票を可能とする。
例えば、複数の投票サーバのそれぞれは、さらに、前記第二取引データ生成部が生成した1以上の前記第二取引データが、予め定められた匿名性の基準を満たしているか否かを判定し、前記基準を満たしているときに前記第二ブロック生成部に前記第二ブロックを生成させて前記第二ブロックチェーンに接続させる匿名化部を備えてもよい。
上記態様によれば、電子投票システムは、投票者による投票の内容が複数集まって秘匿化の基準が満たされるまでブロックの生成を抑制する。仮に匿名化の基準を満たさない複数の投票内容を一のブロックに格納すると、当該ブロックに含まれる投票内容によっては、認証のデータとの照合が可能となり秘密投票が実現されない場合がある。よって、電子投票システムは、ブロック単位で投票内容が秘匿化されるようにすることで、より一層秘密性が高い秘密投票を可能とする。
例えば、前記第二ブロック生成部は、1以上の前記第二取引データが前記基準を満たしていないと前記匿名化部が判定した場合であっても、所定の投票期間が超過している場合には、前記第二ブロックを生成して前記第二ブロックチェーンに接続してもよい。
上記態様によれば、電子投票システムは、秘匿化の基準が満たされない状態で投票期間が終了した場合に、投票内容がブロックに格納されない状態で残存することを回避できる。よって、電子投票システムは、ブロック単位で投票内容が秘匿化されるようにしながら、投票内容が保存されずに残存することを回避し、より一層秘密性が高い秘密投票を可能とする。
例えば、前記認証処理部は、受信した前記認証データに含まれる前記第一IDが、既に前記第一ブロックチェーンに含まれているときには、認証を失敗し、前記端末による前記投票データの送信を禁止させてもよい。
上記態様によれば、電子投票システムは、投票者の認証に用いるIDが既に利用されたものであるか否か、つまり二重利用の有無を、ブロックチェーン技術を用いることで容易に判定することができる。よって、電子投票システムは、認証に用いるIDの二重利用を容易に抑制しながら、秘密投票を可能とする。
例えば、複数の認証サーバのそれぞれは、さらに、前記端末の認証が成功した場合に、前記端末の認証が成功したことを示す第一取引データを生成する第一データ生成部と、前記第一データ生成部が生成した前記第一取引データを含む第一ブロックを生成し、生成した前記第一ブロックを前記第一ブロックチェーンに接続する第一ブロック生成部とを備えてもよい。
上記態様によれば、電子投票システムは、投票者が認証されたことを示すデータをブロックチェーンに格納する。よって、電子投票システムは、投票者が認証されたということの改ざんを抑制しながら、秘密投票を可能とする。
例えば、前記投票処理部は、受信した前記投票データに含まれる前記第二IDが、既に前記第二ブロックチェーンに含まれているときには、受信した前記投票データを破棄してもよい。
上記態様によれば、電子投票システムは、投票に用いるIDが既に利用されたものであるか否か、つまり二重利用の有無を、ブロックチェーン技術を用いることで容易に判定することができる。よって、電子投票システムは、投票に用いるIDの二重利用を容易に抑制しながら、秘密投票を可能とする。
また、本発明の一態様に係る電子投票システムは、複数の認証サーバと、複数の投票サーバとを備える電子投票システムであって、前記複数の認証サーバのそれぞれは、投票者に紐付けられる第一IDと、前記投票者の認証情報とを含む認証データを端末から受信し、受信した前記認証データを用いて前記投票者を認証する認証処理部と、前記認証処理部により前記投票者が認証されたことを示す第一取引データを含む第一ブロックチェーンを記憶している第一記憶部と、前記第一記憶部が記憶している前記第一ブロックチェーンを、前記複数の認証サーバのうち当該認証サーバを除く1以上の認証サーバと同期する第一同期部とを備え、前記複数の投票サーバのそれぞれは、前記投票者が投票する票に紐付けられる第二IDであって、前記第一IDとは独立である第二IDと、前記票の投票内容を示す投票情報とを含む投票データを前記端末から受信する投票処理部と、前記投票処理部が受信した前記投票データに含まれる前記投票情報を第二取引データとして含む第二ブロックチェーンを記憶している第二記憶部と、前記第二記憶部が記憶している前記第二ブロックチェーンを、前記複数の投票サーバのうち当該投票サーバを除く1以上の投票サーバと同期する第二同期部とを備える。
上記態様によれば、電子投票システムは、電子投票システムに含まれない端末を用いて、上記と同様に秘密投票を可能とする。
また、本発明の一態様に係る投票サーバの制御方法は、電子投票システムにおける複数の投票サーバのうちの一の投票サーバの制御方法であって、投票者が投票する票に紐付けられる第二IDであって、前記投票者に紐付けられる第一IDとは独立である第二IDと、前記票の投票内容を示す投票情報とを含む投票データを端末から受信し、受信した前記投票データに含まれる前記投票情報を第二取引データとして含む第二ブロックチェーンを記憶し、記憶している前記第二ブロックチェーンを、前記複数の投票サーバのうち前記一の当該投票サーバを除く1以上の投票サーバと同期し、前記端末から前記投票データを受信した場合には、受信した前記投票データに含まれる前記投票内容を示す第二取引データを生成し、生成した1以上の前記第二取引データを含む第二ブロックを生成し、生成した前記第二ブロックを前記第二ブロックチェーンに接続し、生成した1以上の前記第二取引データが、予め定められた匿名性の基準を満たしているか否かを判定し、前記基準を満たしているときに前記第二ブロックを生成して前記第二ブロックチェーンに接続する。
上記態様によれば、投票サーバは、投票者による投票の内容が複数集まって秘匿化の基準が満たされるまでブロックの生成を抑制する。仮に匿名化の基準を満たさない複数の投票内容を一のブロックに格納すると、当該ブロックに含まれる投票内容によっては、当該ブロックの生成時刻などを用いることで認証のデータとの照合が可能となり秘密投票が実現されない場合がある。よって、投票サーバは、ブロック単位で投票内容が秘匿化されるようにすることで、より一層秘密性が高い秘密投票を可能とする。
また、本発明の一態様に係る電子投票システムの制御方法は、端末と、複数の認証サーバと、複数の投票サーバとを備える電子投票システムの制御方法であって、前記複数の認証サーバのそれぞれにより、投票者に紐付けられる第一IDと、前記投票者の認証情報とを含む認証データを前記端末から受信し、受信した前記認証データを用いて前記投票者を認証し、前記投票者が認証されたことを示す第一取引データを含む第一ブロックチェーンを記憶し、記憶している前記第一ブロックチェーンを、前記複数の認証サーバのうち当該認証サーバを除く1以上の認証サーバと同期し、前記複数の投票サーバのそれぞれにより、前記投票者が投票する票に紐付けられる第二IDであって、前記第一IDとは独立である第二IDと、前記票の投票内容を示す投票情報とを含む投票データを前記端末から受信し、受信した前記投票データに含まれる前記投票情報を第二取引データとして含む第二ブロックチェーンを記憶し、記憶している前記第二ブロックチェーンを、前記複数の投票サーバのうち当該投票サーバを除く1以上の投票サーバと同期し、前記端末により、前記認証データを生成し、生成した前記認証データを前記複数の認証サーバのうちの一の認証サーバに送信し、前記認証サーバに前記認証データを送信することで、前記一の認証サーバによる認証が成功した後に前記投票データを生成し、生成した前記投票データを前記複数の投票サーバのうちの一の投票サーバに送信する。
これにより、上記電子投票システムと同様の効果を奏する。
なお、これらの包括的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なCD-ROMなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムまたは記録媒体の任意な組み合わせで実現されてもよい。
以下、実施の形態について、図面を参照しながら具体的に説明する。
なお、以下で説明する実施の形態は、いずれも包括的または具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序などは、一例であり、本発明を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。
(実施の形態)
本実施の形態において、秘密投票を可能とする電子投票システムについて説明する。
1. システム構成
電子投票システムは、投票者に対して投票端末を用いて電子的な投票をさせるシステムである。電子投票システムは、投票端末と認証サーバとの間で投票に関する認証処理を行い、その後、投票端末と投票サーバとの間で投票処理を行う。電子投票システムが投票者による投票を受け付ける期間を投票期間ともいう。なお、電子投票システムによって投票する人を「投票者」ともいい、これに対して、投票できる権利を有する者を有権者という。
以降において、電子投票システムについて図面を参照しながら説明する。
1.1 電子投票システム10の全体構成
図1は、本実施の形態に係る電子投票システム10の構成を示した図である。電子投票システム10は、投票端末100a、101a、102a、100b、101b、102b、100c、101c及び102c(投票端末100a等ともいう)と、認証サーバ200a、200b及び200c(認証サーバ200a等ともいう)と、投票サーバ300a、300b及び300c(投票サーバ300a等ともいう)とを備え、これらがネットワークNで接続されている。
認証サーバ200a等は、投票者が正当であるか否かの認証を行い、認証された投票者を示す情報を管理している。認証サーバ200aは、上記の認証、及び、情報の管理に公知のブロックチェーンの技術を利用している。すなわち、認証サーバ200aは、仮想的な取引(トランザクション)の対象の取引履歴をブロックチェーンによって管理している。ここでは、仮想的な取引対象としてコイン(認証コインともいう)を用いて説明するが、仮想的な取引対象はコインに限定されない。また、複数の認証サーバ200aなどは、認証コインの取引履歴を収めたブロックチェーンを共有し、相互に承認することで取引履歴の改ざんを防止している。認証コインは、認証サーバ200a等により生成され、投票端末100a等に提供される。投票者の認証が成功すると、認証コインは、投票端末100aから認証サーバ200aに提供される。認証コインの授受を認証取引ともいう。認証コインは実体を有しない仮想的なコインであり、その取引履歴が認証サーバ200a等によって管理されている。認証コインは、当該認証コインを一意に識別し得るID(識別子)を有している。認証コインのIDは、有権者に割り振られるIDに1対1に紐付けられている。認証コインのIDを認証IDともいう。
投票サーバ300a等は、投票者による投票内容を管理している。投票サーバ300aは、投票内容の管理に公知のブロックチェーンの技術を利用している。すなわち、投票サーバ300aは、仮想的な取引対象の取引履歴をブロックチェーンによって管理している。ここでは、仮想的な取引対象としてコイン(投票コインともいう)を用いて説明するが、仮想的な取引対象はコインに限定されない。また、複数の投票サーバ300aなどは、投票コインの取引履歴を収めたブロックチェーンを共有し、相互に承認することで取引履歴の改ざんを防止している。投票コインは、投票サーバ300aにより生成され、認証サーバ200aを経て投票端末100a等に提供される。投票コインの授受を投票取引ともいい、投票端末100aから候補者への投票コインの提供が、選挙における投票に相当する。投票コインは実体を有しない仮想的なコインであり、その取引履歴が投票サーバ300a等によって管理されている。そして、投票者による投票の際に、投票端末100aから候補者に提供される。最終的に候補者が獲得した投票コインの個数が、電子投票における候補者の得票数になる。投票コインは、従来の選挙における投票用紙に相当する。投票コインは、当該投票コインを一意に識別し得るID(識別子)を有している。投票コインのIDは、投票者が投票する票に1対1に紐付けられている。投票コインのIDを投票IDともいう。
認証コインのIDと投票コインのIDとは、互いに独立である。
電子投票システム10は、例えば、3つのサブシステムA、B及びCに区分されている。なお、サブシステムの数は3に限られず、2以上の任意の数であってよい。
電子投票システム10は、市町村、県又は全国規模の選挙に用いられ得るように、複数の認証サーバ200a等と、複数の投票サーバ300a等とにより処理を分散させるとともに、情報共有をしている。また、複数の認証サーバ200a同士、及び、複数の投票サーバ300a同士でブロックチェーン技術における相互の承認を行うことによって取引履歴の改ざんを防止している。
例えば、投票者が投票所に設置された投票端末100aを用いて投票をするケースでは、認証サーバ200aと投票サーバ300aとは、投票所ごとに設けられる。この場合、サブシステムA、B及びCのそれぞれが投票所に対応して設けられる。例えば、日本における全国規模の選挙では、サブシステムの数は、数万程度になり得る。
また、投票者が自宅などでネットワーク経由で投票をするケースでは、認証サーバ200aと投票サーバ300aとは、有権者の属性(性別、居住地、職業など)ごとに設けられてもよい。この場合、サブシステムA、B及びCのそれぞれが有権者の属性それぞれに対応して設けられる。
図2は、ブロックチェーンのデータ構造を示す説明図である。
ブロックチェーンは、その記録単位であるブロックがチェーン(鎖)上に接続されたものである。それぞれのブロックは、複数の取引データと、直前のブロックのハッシュ値とを有している。具体的には、ブロックB2には、その前のブロックB1のハッシュ値が含まれている。そして、ブロックB2に含まれる複数の取引データと、ブロックB1のハッシュ値とから演算されたハッシュ値が、ブロックB2のハッシュ値として、ブロックB3に含められる。このように、前のブロックの内容をハッシュ値として含めながら、ブロックをチェーン状に接続することで、規則された取引データの改ざんを有効に防止する。
仮に過去の取引データが変更されると、ブロックのハッシュ値が変更前と異なる値になり、改ざんしたブロックを正しいものとみせかけるには、それ以降のブロックすべてを作り直さなければならず、この作業は現実的には非常に困難である。
各取引データは、コインの新規生成及び授受を示している。このコインは、認証コイン及び投票コインに相当する。
図3は、取引データのデータ構造を示す第一の説明図である。
図3に示される取引データは、コインが保持者から提供先に提供されることを示す取引データD1の一例である。取引データD1は、保持者を示すアドレスP1と、提供先を示すアドレスP2と、アドレスP1及びP2のハッシュ値に対して、保持者の署名鍵で署名することで生成される電子署名P3とを含んでいる。なお、新たなコインが生成されるときにも取引データが生成される。新たなコインが生成されるときの取引データは、アドレスP1が空欄となる。
以降において、投票端末100a、認証サーバ200a及び投票サーバ300aについて順に説明する。なお、他の投票端末、他の認証サーバ、及び、他の投票サーバについても同様の説明が成立する。
1.2 投票端末100aの構成
投票端末100aは、投票者の認証情報、及び、投票内容の入力を投票者から受け、また、各種情報を表示する端末である。投票端末100aは、投票者が保有する携帯端末(具体的には、携帯電話端末、スマートフォン、パーソナルコンピュータ)であってもよいし、投票所に備え付けの端末であってもよい。
図4は、本実施の形態に係る投票端末100aの構成を示すブロック図である。投票端末100b及び100cも同様の構成である。投票端末100aは、表示部111と、入力部112と、取引データ生成部113と、通信部114とを備える。投票端末100aは、プロセッサがメモリを用いて所定のプログラムを実行することで実現され得る。
表示部111は、投票時の画面を表示する表示装置である。単に「画面」という場合、液晶ディスプレイ又は有機EL(Electro-Luminescence)ディスプレイなどの表示装置に表示される、画像で映し出される画面を意味する。以降でも同様である。
入力部112は、投票時の認証情報の入力、及び、投票内容の入力を投票者から受け付ける。
取引データ生成部113は、投票者の認証のための認証データと、投票者による投票のための投票データとを生成する。また、取引データ生成部113は、認証に伴う認証コインの授受のための認証取引データと、投票者による投票に伴う投票コインの授受のための投票取引データとを生成する。認証データは、投票者本人に固有の認証IDを含む認証情報と、投票端末100aの電子署名(単に署名ともいう)とを含む。電子署名は、認証情報のハッシュ値を署名鍵で署名生成したものである。認証取引データは、認証コインを投票端末100aから認証サーバ200aに提供する取引を示す取引データである。認証取引データを第一取引データともいう。
また、投票データは、電子投票における投票内容と、投票端末100aの署名とを含む。投票内容は、具体的には、投票先の候補者を示す情報、又は、信任もしくは不信任などを示す情報である。投票取引データは、認証サーバ200aから提供された投票コインを、候補者に提供する取引を示す取引データである。投票取引データを第二取引データともいう。
取引データ生成部113は、認証データを生成し、生成した認証データを認証サーバ200aに送信する。また、取引データ生成部113は、認証サーバ200aに認証データを送信することで、認証サーバ200aによる認証が成功した後に投票データを生成し、生成した投票データを投票サーバ300aに送信する。
なお、投票端末100aによる署名の生成に必要な署名鍵は、あらかじめ投票端末100aが保持していてもよいし、投票者による認証情報の入力を受ける際に、認証サーバ200aから取得するとしてもよい。
通信部114は、認証サーバ200a及び投票サーバ300aそれぞれとの通信を行う通信インタフェースである。この通信は、TLS(Transport Layer Security)によりなされてもよい。その場合、TLS通信用の暗号鍵は、通信部114が保持してもよい。
1.3 認証サーバ200aの構成
図5は、本実施の形態における認証サーバ200aの構成を示すブロック図である。認証サーバ200b及び200cも同様の構成である。認証サーバ200aは、画面データ生成部211と、取引データ検証部212と、取引データ生成部213と、ブロック生成部214と、同期部215と、記憶部216と、通信部217とを備える。認証サーバ200a等は、プロセッサがメモリを用いて所定のプログラムを実行することで実現され得る。
画面データ生成部211は、投票端末100aから認証のためのアクセスがあると、認証用の画面を描画するための画面データを生成する。具体的には、画面データ生成部211は、投票端末100aで、投票者から認証情報の入力を受けるための画面を描画するための画面データを生成する。
取引データ検証部212は、投票端末100aから認証取引データを受信すると、受信した認証取引データを検証する。取引データ検証部212は、投票端末100aから認証取引データを受信すると、受信した認証取引データに含まれている署名が正当であるかを検証し、また、認証情報が正当であるかを検証する。認証情報の正当性の検証では、電子投票システム10によって事前に発行された認証情報であるか、また、投票期間中に一の認証情報が2回以上使用されていないかなどを検証する。一の認証情報が2回以上使用されていないものであるか否かは、記憶部216を参照することで、当該一の認証情報による認証の取引が記憶部216に記憶されていないものであるかどうかで確認する。取引データ検証部212は、検証処理の結果、認証情報が正当であると判定した場合には、認証取引データを記憶部216に記憶する。また、正当な認証取引データは、同期部215により、他の認証サーバ200b及び200cへ送信し、同期される。
また、取引データ検証部212は、投票サーバ300aから投票取引データを受信すると、投票取引データに含まれている署名が正当であるかを検証する。
取引データ生成部213は、認証取引に係る認証取引データを生成する。取引データ生成部213は、初期化処理において、有権者の人数と同じ個数の認証コインを新たに生成する認証取引データを生成する。この時点での認証コインの所有者は、有権者それぞれである。
また、取引データ生成部213は、投票サーバ300aから提供される投票コインを投票端末100aに提供する投票取引データを生成する。取引データ生成部213は、第一取引データ生成部に相当する。
ブロック生成部214は、複数の認証サーバ200aの間でコンセンサスアルゴリズムを実行する。コンセンサスアルゴリズムは、PBFT(Practical Byzantine Fault Tolerance)とよばれるコンセンサスアルゴリズムを用いてもよいし、その他の公知のコンセンサスアルゴリズムを用いてもよい。ブロック生成部214は、一以上の認証取引に関してコンセンサスアルゴリズムで合意形成ができた場合には、認証取引データを含むブロックを生成し、記憶部216に記憶する。さらに、ブロック生成部214は、生成したブロックを、記憶部216に記憶されているブロックチェーンに接続する。ブロック生成部214は、第一ブロック生成部に相当する。
同期部215は、複数の認証サーバ200aの間で、ブロックチェーンのブロックの同期、及び、認証取引データの同期を行う。複数の認証サーバ200aの間では、peer to peerでブロックチェーンのブロックの同期が行われる。例えば、投票端末100aから認証取引データを受信し、取引データ検証部212により認証取引データの正当性が検証されると、同期部215は、他の認証サーバ200b及び200cに認証取引データの複製を送信することによって、検証済みの認証取引データを他の認証サーバ200b及び200cの記憶部216に記憶させる。また、同期部215は、他の認証サーバ200b及び200cから認証取引データを受信したら、受信した認証取引データを記憶部216に記憶する。
記憶部216は、認証取引データと、ブロックチェーンのブロックとを記憶する記憶装置である。記憶部216が記憶しているブロックチェーンを第一ブロックチェーンともいう。
通信部217は、投票端末100a及び投票サーバ300aそれぞれとの通信を行う通信インタフェースである。この通信は、TLSによりなされてもよい。その場合、TLS通信用の暗号鍵は、通信部217が保持してもよい。
なお、取引データ検証部212と取引データ生成部213とは、投票者に紐付けられる認証ID(つまり第一ID)と、投票者の認証情報とを含む認証データを投票端末100aから受信し、受信した認証データを用いて投票者を認証する認証処理部212Aに相当する。
1.4 投票サーバ300aの構成
図6は、本実施の形態における投票サーバ300aの構成を示すブロック図である。投票サーバ300b及び300cも同様の構成である。投票サーバ300aは、画面データ生成部311と、候補者DB(データベース)312と、取引データ検証部313と、取引データ生成部314と、匿名化部315と、ブロック生成部316と、同期部317と、記憶部318と、通信部319とを備える。投票サーバ300aは、プロセッサがメモリを用いて所定のプログラムを実行することで実現され得る。
画面データ生成部311は、投票端末100aから投票のためのアクセスがあると、投票用の画面を描画するための描画データである画面データを生成する。具体的には、画面データ生成部311は、候補者DB312から候補者に関する情報を取得し、投票端末100aに表示される画面であって、投票者による投票情報の入力を受けるための画面を描画するための描画データである画面データを生成する。
候補者DB312は、候補者に関する情報が記憶されているデータベースである。候補者DB312には、少なくとも、候補者を特定する情報が記憶されている。具体的には、候補者DB312には、候補者を特定する情報として候補者の氏名を示す文字列が記憶されており、さらに当該候補者の顔写真を示す画像などが記憶されていてもよい。
取引データ検証部313は、投票端末100aから投票取引データを受信すると、受信した投票取引データを検証する。取引データ検証部313は、投票取引データに含まれている署名が正当であるかを検証し、また、投票情報が正当であるかを検証する。投票情報の正当性の検証では、電子投票システム10によって事前に発行された投票情報であるか、また、投票期間中に一の投票情報が2回以上使用されていないかなどを検証する。一の投票情報が2回以上使用されているか否かは、記憶部318を参照することで、当該一の投票情報が記憶部318に記憶されていないものであるかどうかで確認する。取引データ検証部313は、検証処理の結果、投票情報が正当であると判定した場合には、投票取引データを記憶部318に記録する。また、正当な投票取引データは、同期部317により、他の投票サーバ300b及び300cへ送信し、同期される。
取引データ生成部314は、投票取引に係る投票取引データを生成する。取引データ生成部314は、初期化処理において、有権者の人数と同じ個数の投票コインを新たに生成する投票取引データを生成する。この時点での投票コインの所有者は、投票サーバ300aである。次に、取引データ生成部314は、認証サーバ200aに投票コインを提供する投票取引データ(第三取引データに相当)を生成する。生成する投票取引データには、提供先の投票コインの所有者を示す情報(つまり、認証サーバ200aを示す情報)と、投票サーバ300aの署名とが含まれる。認証サーバ200aに投票コインを提供する投票取引データを生成した時点で、投票コインの所有者は認証サーバ200aになる。取引データ生成部314は、第二取引データ生成部に相当する。
匿名化部315は、記憶部318に記録されている投票取引データの匿名性を判定する。匿名化部315は、記憶部318に記録されている投票取引データであって、未だブロックチェーンに含まれていない投票取引データが、匿名化に関する所定の基準を満たしているか否かを判定する。投票取引データが匿名化の基準を満たしていると判定した場合、匿名化部315は、ブロック生成部316にブロックを生成させる。匿名化の基準は、有権者数と候補者の人数とに基づいてあらかじめ定められている。匿名化の基準は、例えば、k-匿名性のk=3およびl-多様性のl=2以上などである。k-匿名性及びl-多様性については、非特許文献2に記載されている。匿名化部315は、匿名化の基準を満たしていない場合であっても、投票期間の終了時刻を過ぎた場合、つまり投票期間が超過した場合には、ブロック生成部316にブロック生成の依頼を送信する。なお、「匿名化の基準」は、「匿名性の基準」であるともいえる。
ブロック生成部316は、複数の投票サーバ300a等の間でコンセンサスアルゴリズムを実行する。ブロック生成部316は、匿名化部315からのコンセンサスアルゴリズムの実行依頼を基に、複数の投票サーバ300a等の間でコンセンサスアルゴリズムを実行する。コンセンサスアルゴリズムは、PBFTを用いてもよいし、その他の公知のコンセンサスアルゴリズムを用いてもよい。匿名化の基準が満たされている投票取引データに関して、コンセンサスアルゴリズムで合意形成ができた場合には、投票取引データを含むブロックを生成し、記憶部318に記憶する。さらに、ブロック生成部316は、生成したブロックを、記憶部318に記憶されているブロックチェーンに接続する。ブロック生成部316は、第二ブロック生成部に相当する。
また、ブロック生成部316は、認証サーバ200aに投票コインを提供する投票取引データ(第三取引データ)を含むブロック(第三ブロックに相当)を生成し、生成したブロックをブロックチェーンに接続する。第三取引データは、認証処理部212A(取引データ検証部212)が複数の有権者それぞれに対する認証をすることができる状態になったことを示す取引データである。
また、ブロック生成部316は、認証サーバ200aから投票端末100aに投票コインを提供する投票取引データ(第四取引データ)を含むブロック(第四ブロックに相当)を生成し、生成した第四ブロックを第二ブロックチェーンに接続する。第四取引データは、認証サーバ200aにより投票者が認証されたことによって、投票端末100aが投票者による投票内容の入力を受けることができる状態になったことを示す取引データである。
同期部317は、複数の投票サーバ300a等の間で、ブロックチェーンのブロックの同期、及び、投票取引データの同期を行う。複数の投票サーバ300aの間では、peer to peerでブロックチェーンのブロックの同期が行われる。例えば、投票端末100aから投票取引データを受信し、取引データ検証部313により投票取引データの正当性が検証されると、同期部317は、他の投票サーバ300b及び300cに投票取引データの複製を送信し、検証済みの投票取引データを他の投票サーバ300b及び300cの記憶部318に記憶させる。また、同期部317は、他の投票サーバ300b及び300cから投票取引データを受信したら、受信した投票取引データを記憶部318に記憶する。
記憶部318は、投票取引データと、ブロックチェーンのブロックとを記憶する記憶装置である。記憶部318が記憶しているブロックチェーンを第二ブロックチェーンともいう。
通信部319は、投票端末100a及び認証サーバ200aそれぞれとの通信を行う通信インタフェースである。この通信は、TLSによりなされてもよい。その場合、TLS通信用の暗号鍵は、通信部319が保持してもよい。
なお、取引データ検証部313と取引データ生成部314とは、投票者が投票する票に紐付けられる投票ID(つまり第二ID)であって、認証IDとは独立である投票IDと、票の投票内容を示す投票情報とを含む投票データを投票端末100aから受信する投票処理部313Aに相当する。
1.5 投票端末とサーバ間の投票シーケンス
以降において、電子投票システム10による処理について説明する。ここでは、投票端末100a等と認証サーバ200a等との間で認証コインを用いて投票者の認証を行うとともに、投票端末100a等と投票サーバ300a等との間で投票コインを用いて投票を行う処理について説明する。その際、認証済みの投票者のみに投票を許可するために、投票コインは認証サーバ200aを経て投票端末100aに提供される。
以降において、初期化処理、投票処理、終了処理、及び、投票結果の公開処理について順に説明する。
<初期化処理>
図7は、本実施の形態における電子投票システム10の初期化処理を示すシーケンス図である。図8及び図9は、それぞれ、本実施の形態における初期化処理中の認証コイン及び投票コインの所有者を示す説明図である。認証コイン及び投票コインの所有者は、それぞれ、認証サーバ200a等及び投票サーバ300a等により管理されている。
図7に示される初期化処理は、電子投票システム10を用いる1回の選挙について、事前に1回実行される処理である。
ステップS101において、認証サーバ200aは、認証初期化処理を実行する。認証初期化処理は、有権者に事前に配布されているID(有権者IDともいう)を認証IDとして有する認証コインを生成する認証取引データを生成し、生成した認証取引データを含むブロックを生成する。この段階では、認証コインの所有者は、当該有権者IDにより識別される有権者である(図8参照)。
ステップS102において、投票サーバ300aは、投票初期化処理を実行する。投票初期化処理は、有権者の人数と同じ個数の投票コインを生成する投票取引データを生成し、生成した投票取引データを含むブロックを生成する。この段階では、すべての投票コインの所有者は、投票サーバ300aである(図9の(a)参照)。投票コインのIDは、投票コインそれぞれを一意に識別できる文字列又は値であり、すべて異なる。投票コインのIDは、ランダムに選択される文字列又は値であってもよい。投票コインのIDがすべて異なる文字列又は値であることで、ブロックチェーンを参照したときに、同じ投票コインが二重に利用されていないものであるか否かについての確認ができる。
ステップS103において、投票サーバ300aは、ステップS102で生成した投票コインを認証サーバ200cに提供する投票取引データを生成し、生成した投票取引データを含むブロックを生成する。また、生成した投票取引データを認証サーバ200cに送信する。なお、投票コインの提供先が認証サーバ200cである場合を例として説明するが、投票コインの提供先は、他の認証サーバ200a又は200bであってもよい。この段階では、認証サーバ200cに提供された投票コインの所有者を示す情報が、認証サーバ200cに変更されている(図9の(b)参照)。
ステップS104において、認証サーバ200cは、他の認証サーバ200a及び200bとの間で同期処理を行う。同期処理では、認証サーバ200cは、同期部215によって、受信した投票取引データを、他の認証サーバ200a及び200bに送信する。認証サーバ200a及び200bの同期部215は、認証サーバ200cの同期部215から受信した投票取引データを記憶する。
<投票処理>
図10及び図11は、本実施の形態における電子投票システム10の投票処理を示すシーケンス図である。図12及び図13は、それぞれ、本実施の形態における投票処理中の認証コイン及び投票コインの所有者を示す説明図である。
図10及び図11に示される投票処理は、1人の投票者が1回の投票を行うときに1回実行される処理であり、1回の選挙において投票者の人数と同じ回数だけ実行される。
ステップS201において、投票端末100aは、認証サーバ200aにアクセスする。このアクセスは、例えば、認証サーバ200aが提供しているWebサイトへのWebアクセスであり、HTTP(Hypertext Transfer Protocol)又はHTTPS(HTTP over SSL(Secure Sockets Layer)/TLS(Transport Layer Security))などが用いられ得る。
ステップS202において、認証サーバ200aは、ステップS201でのアクセスに応じて、投票者の有権者IDを取得するための認証画面の画面データを生成し、投票端末100aに送信する。
ステップS203において、投票端末100aは、ステップS202で送信された画面データに基づいて認証画面を表示し、投票者の有権者IDを含む認証情報の入力を受ける。投票者は、投票端末100aに表示された認証画面を視認し、事前に配布されている有権者IDを投票端末100aに入力する。投票者は、有権者IDを手入力してもよいし、投票端末100aによって有権者IDが記録されたバーコード又は二次元コードを読み取ることで入力してもよい。
ステップS204において、投票端末100aは、ステップS203で入力された有権者IDを認証IDとして用いて認証取引データを生成する。
ステップS205において、投票端末100aは、ステップS204で生成した認証取引データを認証サーバ200aへ送信する。ここでは、認証取引データを認証サーバ200aに送信する場合を例として説明するが、他の認証サーバ200b及び200cに送信してもよい。認証サーバ200aは、送信された認証取引データを受信する。
ステップS206において、認証サーバ200aは、ステップS205で投票端末100aから受信した認証取引データの検証を行う。認証取引データの検証では、記憶部216に記憶されている認証取引データのブロックチェーンを参照し、投票端末100aから受信した認証取引データに含まれる有権者IDが当該ブロックチェーンに既に格納されていないものであるか否かを判定する。有権者IDが当該ブロックチェーンに既に格納されていないものであると判定した場合には、認証取引データの検証に成功したとし、既に格納されていると判定した場合には、認証取引データの検証に失敗したとする。
上記ステップS206で認証取引データの検証に失敗した場合には、認証サーバ200aは、エラー処理を行う(不図示)。エラー処理では、例えば、投票端末100aにエラーメッセージを通知する。エラーメッセージは、「有権者ではない」または「既に認証済みのため、同じ有権者IDは利用できない」等のメッセージを含んでもよい。また、エラー処理では、これ以降に投票端末100aによる投票データの送信などの投票処理を行うことを禁止する。
上記ステップS206で認証取引データの検証に成功した場合には、ステップS207に進む。
ステップS207において、認証サーバ200aは、他の認証サーバ200b及び200cに認証取引データの複製を送信する。認証サーバ200b及び200cは、受信した認証取引データを検証する。
ステップS208において、認証サーバ200a、200b及び200cは、コンセンサスアルゴリズムを実行する。コンセンサスアルゴリズムを実行することで、受信した認証取引データが正当な取引であることが検証される。認証サーバ200a、200b及び200cは、検証済みの認証取引データを含むブロックの生成を行う。これにより、認証済みの有権者IDを含むブロックが生成されるので、この後に同じ有権者IDを含む認証取引データを受信しても、ブロックチェーンを参照することで同一有権者IDの二重利用であることを判断することができる。この段階では、認証がなされた有権者の有権者IDを有する認証コインの所有者が認証サーバ200aに変更されている(図12参照)。
ステップS209において、認証サーバ200aは、ステップS205で認証取引データを送信した投票端末100aに投票コインを提供する投票取引データを生成し、生成した投票取引データを投票端末100a及び投票サーバ300aに送信する。
ステップS210において、認証サーバ200aは、生成した投票取引データの複製を他の認証サーバ200b及び200cに送信し、投票取引データの同期をとる。認証サーバ200a、200b及び200cは、生成した投票取引データに係る投票コインを利用済みとして記録する。
ステップS211において、投票サーバ300aは、ステップS209で認証サーバ200aから受信した投票取引データの検証を行う。投票取引データの検証では、記憶部318に記憶されている投票取引データのブロックチェーンを参照し、認証サーバ200aから受信した投票取引データに含まれる投票IDが当該ブロックチェーンに既に格納されていないものであるか否かを判定する。投票IDが当該ブロックチェーンに既に格納されていないものであると判定した場合には、投票取引データの検証に成功したとし、既に格納されていると判定した場合には、投票取引データの検証に失敗したとする。
上記ステップS211で投票取引データの検証に失敗した場合には、投票サーバ300aはエラー処理を行う(不図示)。エラー処理では、例えば、投票端末100aにエラーメッセージを通知する。エラーメッセージは、「既に投票済みのため、同じIDは利用できない」等のメッセージを含んでもよい。また、エラー処理では、これ以降に投票端末100aによる投票データの送信などの投票処理を行うことを禁止する。
ステップS212において、投票サーバ300aは、他の投票サーバ300b及び300cに投票取引データの複製を送信する。投票サーバ300b及び300cは、受信した投票取引データを検証する。
ステップS213において、投票サーバ300a、300b及び300cは、コンセンサスアルゴリズムを実行する。コンセンサスアルゴリズムを実行することで、受信した投票取引データが正当な取引であることが検証される。投票サーバ300a、300b及び300cは、検証済みの投票取引データを含むブロックの生成を行う。この段階では、ステップS206で認証取引データの検証が成功した投票者に提供される投票コインの所有者が、投票端末100aに変更されている(図13の(a)参照)。
ステップS221において、投票端末100aは、投票サーバ300aにアクセスする。このアクセスは、例えば、投票サーバ300aが提供しているWebサイトへのWebアクセスであり、HTTP又はHTTPSなどが用いられ得る。
ステップS222において、投票サーバ300aは、ステップS221でのアクセスに応じて、投票者による投票のための投票画面の画面データを生成し、投票端末100aに送信する。このとき、投票サーバ300aは、候補者DB312を参照し、候補者の一覧を含む画面データを生成する。この投票画面は、投票者が投票先である候補者を選択するために閲覧する画面である。
ステップS223において、投票端末100aは、ステップS222で送信された画面データに基づいて投票画面を表示し、投票先の候補者を示す情報の入力を受ける。投票者は、投票端末100aに表示された投票画面を視認し、投票先の候補者を示す情報である投票情報を入力する。投票者は、表示デバイスに表示された画面を操作することで投票情報を入力してもよいし、投票先の候補者の名前などの情報を手入力することで投票情報を入力してもよい。投票端末100aは、投票者から投票先の候補者を示す投票情報の入力を受けると、投票情報を含む投票取引データを生成する。これは、投票先の候補者に投票コインを提供する投票取引データである。投票端末100aは、生成した投票取引データを、投票サーバ300aに送信する。
ステップS224において、投票サーバ300aは、ステップS223で投票端末100aから受信した投票取引データの検証を行う。投票取引データの検証では、記憶部318に記憶されている投票取引データのブロックチェーンを参照し、投票端末100aから受信した投票取引データに含まれる投票IDが当該ブロックチェーンに既に格納されていないものであるか否かを判定する。投票IDが当該ブロックチェーンに既に格納されていないものであると判定した場合には、投票取引データの検証に成功したとし、既に格納されていると判定した場合には、投票取引データの検証に失敗したとする。
上記ステップS224で投票取引データの検証に失敗した場合には、投票サーバ300aは、エラー処理を行う(不図示)。エラー処理では、例えば、投票端末100aにエラーメッセージを通知する。エラーメッセージは、「既に投票済みのため、同じ投票IDは利用できない」等のメッセージを含んでもよい。
上記ステップS224で投票取引データの検証に成功した場合には、ステップS225に進む。
ステップS225において、投票サーバ300aは、他の投票サーバ300b及び300cに投票取引データの複製を送信する。投票サーバ300b及び300cは、受信した投票取引データを検証し、記憶部318に記憶する。
ステップS226において、投票サーバ300a、300b及び300cは、コンセンサスアルゴリズムを実行する。コンセンサスアルゴリズムを実行することで、受信した投票取引データが正当な取引であることが検証される。受信した投票取引データが正当な取引であると検証された場合、検証された投票取引データを含むブロックの生成を行う。これにより、投票済みの投票IDを含むブロックが生成されるので、この後に同じ投票IDを含む投票取引データを受信しても、ブロックチェーンを参照することで同一投票IDの二重利用であることを判断することができる。この段階では、投票者による投票に用いられた投票コインの所有者が、投票先の候補者である候補者Xに変更されている(図13の(b)参照)。
なお、ステップS226のコンセンサスアルゴリズムの実行は、毎回行うのではなく、所定の条件が成立した場合のみ行うようにしてもよい。所定の条件は、例えば、ブロックに含める投票取引データが匿名化の基準を満たすという条件である。このことについて以降で説明する。
まず、匿名化の基準について説明する。
図14及び図15は、実施の形態における投票サーバ300aによる匿名化の基準の説明図である。
ここでは、匿名化の基準の一例として、k-匿名化のk=2およびl-多様性のl=3を説明する。
図14は、ある時点で記憶部318に記録されている投票取引データであって、未だブロックチェーンに含まれていない投票取引データを示している。この投票取引データは、投票IDが101である投票コインを候補者Xに提供する、つまり、投票者が候補者Xに投票することを示している。
複数の投票取引データが匿名化の基準を満たしていない時点で、当該複数の投票取引データを含むブロックをブロック生成部316により生成した場合、投票者の投票先が特定され得る。認証取引データを格納したブロックチェーンと、投票取引データを格納したブロックチェーンとの両方を参照できる悪意者が、認証取引データを格納したブロックチェーンから有権者を特定することができ、さらに、その同じ時刻における、投票取引データを格納したブロックチェーンから投票先を特定できるからである。
よって、図14に示される1件の投票取引データを含むブロックをブロックチェーンに含めると、投票者とその投票者の投票先が特定され得る。
図15は、記憶部318に記録されている投票取引データであって、未だブロックチェーンに含まれていない投票取引データが7件、記憶されている状態を示している。このとき、投票ID101から107の投票取引データは、候補者Xに3件、候補者Yに2件、候補者Zに2件の投票をすることが示されている。この7件の投票取引データは、匿名化の基準であるk-匿名化のk=2およびl-多様性のl=3を満たしている。
よって、認証取引データが格納されたブロックチェーンを参照して投票者を特定しても、同じ時刻における、投票取引データを格納したブロックチェーンには複数の投票コインが存在しており、投票コインから投票者を特定できない。よって、どの投票者がどの候補者に投票をしたかの絞り込みができず、つまり、投票者の投票先が特定され得ない。
図16は、本実施の形態におけるコンセンサスアルゴリズムの実行可否に関する処理を示すフロー図である。図16に示される一連の処理は、図11におけるステップSAに含まれる処理である。なお、図16に示される一連の処理は、投票サーバ300a、300b及び300cの少なくとも1つが実行すればよい。
図16に示されるように、ステップS231において、匿名化部315は、記憶部318に記録されている投票取引データであって、未だブロックチェーンに含まれていない投票取引データが、匿名化に関する所定の基準を満たしているか否かを判定する。
そして、ステップS231で上記投票取引データが匿名化の基準を満たしていると判定した場合(ステップS231でYes)には、ステップS226において、投票サーバ300a、300b及び300cによるコンセンサスアルゴリズムが実行される。
一方、上記投票取引データが匿名化の基準を満たしていないと判定した場合(ステップS231でNo)には、コンセンサスアルゴリズムが実行されることなく、投票処理を終える。この場合、当該投票処理における投票者とは異なる投票者について行われる投票処理において、匿名化の基準が満たされていると判定される場合(ステップS231でYes)に、コンセンサスアルゴリズムが実行され、ブロック生成部316によるブロック生成がなされる。
このようにすることで、匿名化の基準を満たす複数の投票取引データが一のブロックに含まれるようになる。よって、一のブロックの内容を公開した場合であっても、どの投票者がどの候補者に投票したのかが特定されない、つまり秘匿される利点がある。
<終了処理>
図17は、本実施の形態における電子投票システム10の投票終了処理を示すフロー図である。図17に示される一連の処理は、投票サーバ300a、300b及び300cの少なくとも1つが実行すればよい。
図17に示されるように、ステップS301において、ブロック生成部316は、投票期間が超過したか否かを判定する。投票期間が超過したと判定した場合(ステップS301でYes)にはステップS302に進み、投票期間が超過していないと判定した場合(ステップS301でNo)には再びステップS301を実行する。つまり、ブロック生成部316は、投票期間が超過するまでステップS301で待ち状態をとる。
ステップS302において、記憶部318に記録されている投票取引データであって、未だブロックチェーンに含まれていない投票取引データを含むブロックを生成し、生成したブロックをブロックチェーンに接続する。なお、このとき、記憶部318に記録されている投票取引データであって、未だブロックチェーンに含まれていない投票取引データが匿名化の基準を満たしていない場合であっても、ブロックを生成し、ブロックチェーンに接続してもよい。
ステップS303において、投票サーバ300a、300b及び300cは、コンセンサスアルゴリズムを実行する。この処理の内容は、ステップS226と同じである。
このようにすることで、投票サーバ300a等は、すべての投票取引データをブロックチェーンに接続することができる。
<投票結果の公開処理>
図18は、実施の形態における投票サーバ300aによる投票結果の公開処理を示すシーケンス図である。
図18に示される一連の処理は、端末110から投票サーバ300aに、投票結果の公開のためのアクセスがなされた場合に行われる処理である。このアクセスは、例えば、投票サーバ300aが提供しているWebサイトへのWebアクセスであり、HTTP又はHTTPSなどが用いられ得る。なお、投票サーバ300aにアクセスする端末110は、投票端末100aであってもよいし、他の端末であってもよい。
なお、ここでは、投票サーバ300aが上記アクセスを受けた場合を例として説明するが、他の投票サーバ300b又は300cが上記アクセスを受けた場合でも同様である。
ステップS401において、投票サーバ300aの画面データ生成部311は、現時点が、投票結果を公開することを許容する期間内であるか否かを判定する。投票結果を公開することを許容する期間を公開期間ともいう。公開期間は、例えば、投票期間の終了後の期間であり、つまり投票が締め切られた時点より後の期間である。ステップS401で公開期間内であると判定した場合(ステップS401でYes)には、ステップS402に進み、そうでない場合(ステップS401でNo)には、ステップS411に進む。
ステップS402において、画面データ生成部311は、記憶部318に記憶されている投票取引データが格納されたブロックチェーンを取得する。
ステップS403において、画面データ生成部311は、ステップS402で取得したブロックチェーンに含まれる情報に基づいて、投票結果を示す画面の画面データを生成する。そして、画面データ生成部311は、生成した画面データを端末に送信し、端末において投票結果を示す画面を表示させる。
ステップS411において、画面データ生成部311は、エラー処理を行う。エラー処理では、例えば、端末にエラーメッセージを通知する。エラーメッセージは、「まだ公開期間ではないので、投票結果を公開できません」等のメッセージを含んでもよい。
以降において、電子投票システム10での投票に用いる投票端末100aの画面、及び、投票結果の公開に用いる端末の画面の例を説明する。
図19は、本実施の形態における電子投票システム10での投票に用いる投票端末100aを示す模式図である。
図19に示される投票端末100aは、投票先の候補者を選択するための画面を表示し、投票者に提示している。
図19に示される画面は、投票者に対して投票を促すメッセージを示す画像401を含んでいる。また、候補者の氏名及び顔写真を示す画像402、及び、候補者に投票することを示すボタンの画像403を含んでいる。投票者が画像403つまり投票ボタンに対して操作をすると、入力部112は、当該投票ボタンに対応づけられた候補者へ投票するという投票内容を受けたことになる。
図20は、本実施の形態における電子投票システム10での投票結果の公開に用いる端末110を示す模式図である。
図20に示される端末110は、投票結果を公開するための画面を表示し、投票者に提示している。
図20に示される画面は、当該画面に表示している内容が投票結果であることを示すメッセージを示す画像411を含んでいる。また、候補者の氏名及び顔写真を示す画像412、及び、候補者の得票数を示す画像413を含んでいる。また、最も得票数が多い候補者の画像412は、当選したことを示す枠の画像414によって囲まれている。
端末110は、このような画面によって投票結果を提示することができる。
1.6 実施の形態の効果
本実施の形態の電子投票システムは、正当な投票者であることの認証と、認証後に行われる投票とで、独立のIDを含むデータを用いる。これにより、例えば選挙後に認証の結果と投票内容とが公開された場合でも、その投票内容の投票を行った投票者が特定されないようにすることができる。また、認証されたことを示すデータと投票内容を示すデータとをそれぞれ個別のブロックチェーンに格納することで、各データの改ざんを抑制することができる。よって、電子投票システムは、秘密投票を可能とする。
また、電子投票システムは、投票者による投票内容を含むデータをブロックチェーンに格納する。よって、電子投票システムは、投票車によって投票された投票の内容の改ざんを抑制しながら、秘密投票を可能とする。
また、電子投票システムは、投票者が認証サーバによって認証されたことに基づいて、投票者に投票内容の入力をさせることができる。よって、電子投票システムは、認証されていない投票者に投票内容の入力をさせることを制限しながら、秘密投票を可能とする。
また、電子投票システムは、投票者による投票の内容が複数集まって秘匿化の基準が満たされるまでブロックの生成を抑制する。仮に匿名化の基準を満たさない複数の投票内容を一のブロックに格納すると、当該ブロックに含まれる投票内容によっては、当該ブロックの生成時刻の一致性などの情報を用いることで認証のデータとの照合が可能となり秘密投票が実現されない場合がある。よって、電子投票システムは、ブロック単位で投票内容が秘匿化されるようにすることで、より一層秘密性が高い秘密投票を可能とする。
また、電子投票システムは、秘匿化の基準が満たされない状態で投票期間が終了した場合に、投票内容がブロックに格納されない状態になって残存することを回避できる。よって、電子投票システムは、ブロック単位で投票内容が秘匿化されるようにしながら、投票内容が保存されずに残存することを回避し、より一層秘密性が高い秘密投票を可能とする。
また、電子投票システムは、投票者の認証に用いるIDが既に利用されたものであるか否か、つまり二重利用の有無を、ブロックチェーン技術を用いることで容易に判定することができる。よって、電子投票システムは、認証に用いるIDの二重利用を容易に抑制しながら、秘密投票を可能とする。
また、電子投票システムは、投票者が認証されたことを示すデータをブロックチェーンに格納する。よって、電子投票システムは、投票者が認証されたということの改ざんを抑制しながら、秘密投票を可能とする。
また、電子投票システムは、投票に用いるIDが既に利用されたものであるか否か、つまり二重利用の有無を、ブロックチェーン技術を用いることで容易に判定することができる。よって、電子投票システムは、投票に用いるIDの二重利用を容易に抑制しながら、秘密投票を可能とする。
2. その他変形例
なお、本発明を上記実施の形態に基づいて説明してきたが、本発明は、上記実施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる。
(1)上記の実施の形態では、認証サーバと投票サーバとは別の装置として説明したが、認証サーバと投票サーバを同一の装置としてもよい。
(2)上記の実施の形態では、認証コイン及び投票コインの提供によって認証及び投票を実現したが、仮想的な取引対象の一例としてコインを用いたものであり、仮想的な取引対象はコインに限定されない。
(3)上記の実施の形態では、匿名化の基準を満たしていると判断した場合にブロックを生成しているが、投票数が有権者の一定割合を超えても匿名化の基準を満たさない場合は、ブロックを生成するとしてもよい。これにより、投票結果に著しい偏りが発生している場合であっても、ブロックを生成することで投票結果の改ざんを防止できる。
(4)上記の実施の形態では、認証サーバから投票端末に投票コインの提供を行っているが、投票端末への投票コインの投票の投票取引を投票サーバに送信するとしてもよい。また、投票サーバでは認証サーバから投票取引を受信し、投票取引の検証を行うとしてもよい。これにより、投票端末への投票コインの提供についてもブロックチェーンで管理できる。
(5)上記の実施の形態では、投票結果の公開は、投票端末からのアクセスに基づいて行っているが、これに限定するわけではなく、投票サーバにアクセスできる端末であれば何でもよい。また、投票サーバが投票取引を含むブロックチェーンを公開するとしてもよい。
(6)上記の実施の形態では、選挙の電子投票を一例に説明したが、これに限定するわけではなく、投票やアンケートに適用するとしてもよい。例えば、株主総会の決議やアンケートに利用することで、決議やアンケート結果の改ざんを防止することができる。
(7)上記の実施の形態における各装置は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記RAMまたはハードディスクユニットには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。
(8)上記の実施の形態における各装置は、構成する構成要素の一部または全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAMなどを含んで構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、システムLSIは、その機能を達成する。
また、上記の各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部又はすべてを含むように1チップ化されてもよい。
また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサーを利用しても良い。
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。
(9)上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なICカードまたは単体のモジュールから構成されているとしてもよい。前記ICカードまたは前記モジュールは、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。前記ICカードまたは前記モジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ICカードまたは前記モジュールは、その機能を達成する。このICカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。
(10)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。
また、本発明は、前記コンピュータプログラムまたは前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよい。
また、本発明は、前記コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。
また、本発明は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記録しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。
また、前記プログラムまたは前記デジタル信号を前記記録媒体に記録して移送することにより、または前記プログラムまたは前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
(11)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。
なお、本実施の形態の電子投票システムは、以下のようにも記載され得るが、この記載に限定されない。
(a)投票端末と、複数の認証サーバ、複数の投票サーバからなる電子投票システムであって、前記投票端末は、ブロックチェーンの取引を生成する第一の取引生成部を含み、前記第一の取引生成部は、有権者のIDから認証取引を生成すると認証サーバに送信し、前記認証サーバから投票権を譲渡された第一の投票取引から第二の投票取引を生成すると投票サーバに送信し、前記複数の認証サーバは、前記投票端末から前記認証取引を受信すると認証取引の検証を行う第一の取引検証部と、ブロックチェーンの取引を生成する第二の取引生成部と、ブロック生成を行う第一のブロック生成部を含み、前記取引検証部は、前記認証取引を受信すると、前記認証取引に含まれるIDがブロックチェーンに2つ以上存在するか否かを検証し、2つ以上ある場合は二重使用と判断し、前記第二の取引生成部は、前記取引検証部で前記認証取引の検証が成功すると前記投票サーバから受信した第三の投票取引から前記第一の投票取引を生成して投票端末へ送信し、前記複数の投票サーバでは、前記投票端末から前記第二の投票取引を受信すると取引の検証を行う第二の取引検証部と、ブロックチェーンの取引を生成する第三の取引生成部と、ブロック生成を行う第二のブロック生成部を含み、前記第二の取引検証部は、前記投票端末から前記第二の投票取引を受信すると、前記第二の投票取引に含まれる投票権がブロックチェーンに2つ以上存在するか否かを検証し、2つ以上ある場合は二重使用と判断し、前記第三の取引生成部は、投票権の第三の投票取引を生成し、前記認証サーバに送信することを特徴とする電子投票システム。
(b)前記複数の投票サーバは、さらに、ブロックチェーンのブロックを生成するときに、あらかじめ定められた匿名化の基準を満たしているかを判断する匿名化部を含み、前記匿名化部は、複数の前記第二の投票取引があらかじめ定められた匿名化の基準を満たしていると判断した場合、第二のブロック生成部にブロック生成を依頼することを特徴とする(a)に記載の電子投票システム。
(c)前記複数の投票サーバの前記匿名化部は、さらに、匿名化の基準を満たしていない場合でも、投票期間が過ぎていると判断した場合、第二のブロック生成部にブロック生成を依頼することを特徴とする(b)に記載の電子投票システム。
これにより、投票端末と認証サーバ間で有権者であるかの認証を行い、有権者の場合、認証サーバが投票サーバから譲渡されている投票権を投票端末に譲渡する。投票端末では譲渡された投票権を用いて投票を行うことができる。投票サーバでは投票権が二重に利用されているかの検証を行うことで、有権者の情報がなくとも、不正な投票を防止できる。また、投票サーバは、投票取引にブロックチェーンを用いることで、投票結果の改ざんをも防止できる。さらに、ブロックの生成に匿名化を用いることで、認証取引のブロックチェーンを参照できる不正者がいたとしても、認証取引と同じ時刻の投票取引が匿名化されてブロック生成されていることで、投票内容の絞り込みを防止することができ、安全な電子投票システムを構築できる。
以上、一つまたは複数の態様に係る電子投票システムなどについて、実施の形態に基づいて説明したが、本発明は、この実施の形態に限定されるものではない。本発明の趣旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、一つまたは複数の態様の範囲内に含まれてもよい。
本発明に係る電子投票システムは、秘密投票を可能とする。
10 電子投票システム
100a、101a、102a、100b、101b、102b、100c、101c、102c 投票端末
110 端末
111 表示部
112 入力部
113、213、314 取引データ生成部
114、217、319 通信部
200a、200b、200c 認証サーバ
211、311 画面データ生成部
212、313 取引データ検証部
212A 認証処理部
214、316 ブロック生成部
215、317 同期部
216、318 記憶部
300a、300b、300c 投票サーバ
312 候補者DB
315 匿名化部
401、402、403、411、412、413、414 画像
B1、B2、B3 ブロック
D1 取引データ
N ネットワーク
P1、P2 アドレス
P3 電子署名

Claims (11)

  1. 端末と、複数の認証サーバと、複数の投票サーバとを備える電子投票システムであって、
    前記複数の認証サーバのそれぞれは、
    投票者に紐付けられる第一IDと、前記投票者の認証情報とを含む認証データを前記端末から受信し、受信した前記認証データを用いて前記投票者を認証する認証処理部と、
    前記認証処理部により前記投票者が認証されたことを示す第一取引データを含む第一ブロックチェーンを記憶している第一記憶部と、
    前記第一記憶部が記憶している前記第一ブロックチェーンを、前記複数の認証サーバのうち当該認証サーバを除く1以上の認証サーバと同期する第一同期部とを備え、
    前記複数の投票サーバのそれぞれは、
    前記投票者が投票する票に紐付けられる第二IDであって、前記第一IDとは独立である第二IDと、前記票の投票内容を示す投票情報とを含む投票データを前記端末から受信する投票処理部と、
    前記投票処理部が受信した前記投票データに含まれる前記投票情報を第二取引データとして含む第二ブロックチェーンを記憶している第二記憶部と、
    前記第二記憶部が記憶している前記第二ブロックチェーンを、前記複数の投票サーバのうち当該投票サーバを除く1以上の投票サーバと同期する第二同期部とを備え、
    前記端末は、
    前記認証データを生成し、生成した前記認証データを前記複数の認証サーバのうちの一の認証サーバに送信するデータ生成部を備え、
    前記データ生成部は、さらに、
    前記認証サーバに前記認証データを送信することで、前記一の認証サーバによる認証が成功した後に前記投票データを生成し、生成した前記投票データを前記複数の投票サーバのうちの一の投票サーバに送信する
    電子投票システム。
  2. 複数の投票サーバのそれぞれは、さらに、
    前記端末から前記投票データを受信した場合には、受信した前記投票データに含まれる前記投票内容を示す第二取引データを生成する第二取引データ生成部と、
    前記第二取引データ生成部が生成した1以上の前記第二取引データを含む第二ブロックを生成し、生成した前記第二ブロックを前記第二ブロックチェーンに接続する第二ブロック生成部とを備える
    請求項1に記載の電子投票システム。
  3. 前記第二取引データ生成部は、
    前記認証処理部が複数の有権者それぞれに対する認証をすることができる状態になったことを示す第三取引データを含む第三ブロックを生成し、生成した前記第三ブロックを前記第二ブロックチェーンに接続し、
    前記複数の認証サーバのうちの一の認証サーバにより前記投票者が認証されたことによって、前記端末が前記投票者による投票内容の入力を受けることができる状態になったことを示す第四取引データを含む第四ブロックを生成し、生成した前記第四ブロックを前記第二ブロックチェーンに接続する
    請求項2に記載の電子投票システム。
  4. 複数の投票サーバのそれぞれは、さらに、
    前記第二取引データ生成部が生成した1以上の前記第二取引データが、予め定められた匿名性の基準を満たしているか否かを判定し、前記基準を満たしているときに前記第二ブロック生成部に前記第二ブロックを生成させて前記第二ブロックチェーンに接続させる匿名化部を備える
    請求項2又は3に記載の電子投票システム。
  5. 前記第二ブロック生成部は、1以上の前記第二取引データが前記基準を満たしていないと前記匿名化部が判定した場合であっても、所定の投票期間が超過している場合には、前記第二ブロックを生成して前記第二ブロックチェーンに接続する
    請求項4に記載の電子投票システム。
  6. 前記認証処理部は、受信した前記認証データに含まれる前記第一IDが、既に前記第一ブロックチェーンに含まれているときには、認証を失敗し、前記端末による前記投票データの送信を禁止させる
    請求項1~5のいずれか1項に記載の電子投票システム。
  7. 複数の認証サーバのそれぞれは、さらに、
    前記端末の認証が成功した場合に、前記端末の認証が成功したことを示す第一取引データを生成する第一データ生成部と、
    前記第一データ生成部が生成した前記第一取引データを含む第一ブロックを生成し、生成した前記第一ブロックを前記第一ブロックチェーンに接続する第一ブロック生成部とを備える
    請求項1~6のいずれか1項に記載の電子投票システム。
  8. 前記投票処理部は、
    受信した前記投票データに含まれる前記第二IDが、既に前記第二ブロックチェーンに含まれているときには、受信した前記投票データを破棄する
    請求項1~7のいずれか1項に記載の電子投票システム。
  9. 複数の認証サーバと、複数の投票サーバとを備える電子投票システムであって、
    前記複数の認証サーバのそれぞれは、
    投票者に紐付けられる第一IDと、前記投票者の認証情報とを含む認証データを端末から受信し、受信した前記認証データを用いて前記投票者を認証する認証処理部と、
    前記認証処理部により前記投票者が認証されたことを示す第一取引データを含む第一ブロックチェーンを記憶している第一記憶部と、
    前記第一記憶部が記憶している前記第一ブロックチェーンを、前記複数の認証サーバのうち当該認証サーバを除く1以上の認証サーバと同期する第一同期部とを備え、
    前記複数の投票サーバのそれぞれは、
    前記投票者が投票する票に紐付けられる第二IDであって、前記第一IDとは独立である第二IDと、前記票の投票内容を示す投票情報とを含む投票データを前記端末から受信する投票処理部と、
    前記投票処理部が受信した前記投票データに含まれる前記投票情報を第二取引データとして含む第二ブロックチェーンを記憶している第二記憶部と、
    前記第二記憶部が記憶している前記第二ブロックチェーンを、前記複数の投票サーバのうち当該投票サーバを除く1以上の投票サーバと同期する第二同期部とを備える
    電子投票システム。
  10. 電子投票システムにおける複数の投票サーバのうちの一の投票サーバの制御方法であって、
    投票者が投票する票に紐付けられる第二IDであって、前記投票者に紐付けられる第一IDとは独立である第二IDと、前記票の投票内容を示す投票情報とを含む投票データを端末から受信し、
    受信した前記投票データに含まれる前記投票情報を第二取引データとして含む第二ブロックチェーンを記憶し、
    記憶している前記第二ブロックチェーンを、前記複数の投票サーバのうち前記一の当該投票サーバを除く1以上の投票サーバと同期し、
    前記端末から前記投票データを受信した場合には、受信した前記投票データに含まれる前記投票内容を示す第二取引データを生成し、
    生成した1以上の前記第二取引データを含む第二ブロックを生成し、生成した前記第二ブロックを前記第二ブロックチェーンに接続し、
    生成した1以上の前記第二取引データが、予め定められた匿名性の基準を満たしているか否かを判定し、前記基準を満たしているときに前記第二ブロックを生成して前記第二ブロックチェーンに接続する
    制御方法。
  11. 端末と、複数の認証サーバと、複数の投票サーバとを備える電子投票システムの制御方法であって、
    前記複数の認証サーバのそれぞれにより、
    投票者に紐付けられる第一IDと、前記投票者の認証情報とを含む認証データを前記端末から受信し、受信した前記認証データを用いて前記投票者を認証し、
    前記投票者が認証されたことを示す第一取引データを含む第一ブロックチェーンを記憶し、
    記憶している前記第一ブロックチェーンを、前記複数の認証サーバのうち当該認証サーバを除く1以上の認証サーバと同期し、
    前記複数の投票サーバのそれぞれにより、
    前記投票者が投票する票に紐付けられる第二IDであって、前記第一IDとは独立である第二IDと、前記票の投票内容を示す投票情報とを含む投票データを前記端末から受信し、
    受信した前記投票データに含まれる前記投票情報を第二取引データとして含む第二ブロックチェーンを記憶し、
    記憶している前記第二ブロックチェーンを、前記複数の投票サーバのうち当該投票サーバを除く1以上の投票サーバと同期し、
    前記端末により、
    前記認証データを生成し、生成した前記認証データを前記複数の認証サーバのうちの一の認証サーバに送信し、
    前記認証サーバに前記認証データを送信することで、前記一の認証サーバによる認証が成功した後に前記投票データを生成し、生成した前記投票データを前記複数の投票サーバのうちの一の投票サーバに送信する
    制御方法。
JP2018057525A 2017-07-11 2018-03-26 電子投票システム、及び、制御方法 Active JP7029328B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
US16/026,125 US10783733B2 (en) 2017-07-11 2018-07-03 Electronic voting system and control method
CN201810713364.2A CN109246175B (zh) 2017-07-11 2018-07-03 电子投票系统和控制方法
EP18182012.7A EP3429122B1 (en) 2017-07-11 2018-07-05 Method and apparatus for controlling electronic voting
US16/996,184 US11749047B2 (en) 2017-07-11 2020-08-18 Electronic voting system and control method
JP2022023374A JP7253085B2 (ja) 2017-07-11 2022-02-18 電子投票システム、装置、制御方法、及び、プログラム

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201762531159P 2017-07-11 2017-07-11
US62/531,159 2017-07-11

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2022023374A Division JP7253085B2 (ja) 2017-07-11 2022-02-18 電子投票システム、装置、制御方法、及び、プログラム

Publications (2)

Publication Number Publication Date
JP2019021296A JP2019021296A (ja) 2019-02-07
JP7029328B2 true JP7029328B2 (ja) 2022-03-03

Family

ID=65354276

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018057525A Active JP7029328B2 (ja) 2017-07-11 2018-03-26 電子投票システム、及び、制御方法

Country Status (1)

Country Link
JP (1) JP7029328B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102143530B1 (ko) * 2019-05-23 2020-08-11 (주)엔티시스 블록체인 기반의 온라인 비밀 투표 시스템을 구축하는 전자투표 서버 및 이의 동작 방법
JP7190404B2 (ja) * 2019-08-02 2022-12-15 株式会社日立製作所 計算機システムおよびリクエスト処理方法
CN112819627A (zh) * 2021-02-01 2021-05-18 杭州复杂美科技有限公司 区块链投票方法、计算机设备和存储介质
KR102381028B1 (ko) * 2021-09-30 2022-03-30 신철우 블록체인 이용 전자 투표 관리 시스템 및 방법
CN114095246B (zh) * 2021-11-18 2024-01-23 国网河北省电力有限公司电力科学研究院 配电终端的入网身份认证方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002259621A (ja) 2001-02-27 2002-09-13 Ntt Advanced Technology Corp 電子投票システムおよび電子投票方法
WO2017011601A1 (en) 2015-07-14 2017-01-19 Fmr Llc Computationally efficient transfer processing, auditing, and search apparatuses, methods and systems
US20170109955A1 (en) 2015-10-20 2017-04-20 Follow My Vote, Inc. Blockchain electronic voting system and method

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002259621A (ja) 2001-02-27 2002-09-13 Ntt Advanced Technology Corp 電子投票システムおよび電子投票方法
WO2017011601A1 (en) 2015-07-14 2017-01-19 Fmr Llc Computationally efficient transfer processing, auditing, and search apparatuses, methods and systems
US20170109955A1 (en) 2015-10-20 2017-04-20 Follow My Vote, Inc. Blockchain electronic voting system and method

Also Published As

Publication number Publication date
JP2019021296A (ja) 2019-02-07

Similar Documents

Publication Publication Date Title
JP7253085B2 (ja) 電子投票システム、装置、制御方法、及び、プログラム
CN109246175B (zh) 电子投票系统和控制方法
JP7064947B2 (ja) 電子投票システム、及び、制御方法
US10887098B2 (en) System for digital identity authentication and methods of use
US11025419B2 (en) System for digital identity authentication and methods of use
US11875607B2 (en) Electronic voting system and control method
JP7029328B2 (ja) 電子投票システム、及び、制御方法
CN109509288B (zh) 电子投票系统和控制方法
CA2711243C (en) System and method for secure voting
JP7064950B2 (ja) 電子投票システム、及び、制御方法
US20220405765A1 (en) Know your customer (kyc) and anti-money laundering (aml) verification in a multi-decentralized private blockchains network
US11503026B2 (en) Email address with identity string and methods of use
EP3457622B1 (en) Electronic voting system
Nagesh et al. E-Voting System Using Blockchain Technology
Agbesi A Design of a Secured E-voting System Framework for Poll-Site Voting in Ghana
WO2023201032A1 (en) Secure retrieval of off-network data by trusted network entities

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201006

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210930

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211005

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211025

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220125

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220218

R150 Certificate of patent or registration of utility model

Ref document number: 7029328

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150