はじめに、一実施形態の概要について説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、この概要の記載はなんらの限定を意図するものではない。また、特段の釈明がない場合には、各図面に記載されたブロックはハードウェア単位の構成ではなく、機能単位の構成を表す。各図におけるブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号(データ)の流れを模式的に示すものであり、双方向性を排除するものではない。なお、本明細書及び図面において、同様に説明されることが可能な要素については、同一の符号を付することにより重複説明が省略され得る。
一実施形態に係るサーバ装置100は、取得部101と、認証部102と、を備える(図1参照)。取得部101は、端末から被認証者の生体情報を取得する。認証部102は、被認証者の生体情報と予め登録された複数の利用者それぞれの生体情報を用いた生体認証を行う。認証部102は、所定の条件が満たされた場合に、端末から取得した生体情報と生体認証に成功した認証成功者の登録された生体情報を含む認証結果情報を、職員が使用する職員端末に送信する。
サーバ装置20は、被認証者の認証に成功すると、所定の条件が満たされた場合に、認証に使用された生体情報(例えば、端末により取得された取得顔画像、予め登録された登録顔画像)を職員が使用する端末に送信する。職員端末は、これらの情報を空港等の職員に提示する。職員は、提示された2枚の顔画像を見比べて誤認証(他人受入)の発生を検出する。その際、職員端末は、サーバ装置20により予め絞り込まれた認証結果(2枚の顔画像)を表示する。その結果、職員は、絞り込まれた認証結果を注意深く確認すればよいので、他人受入の発生を見落とす確率が減少する。即ち、サーバ装置100を含むシステムは、生体認証における誤認証(とりわけ、他人受入)の発生を検出できる。
以下に具体的な実施形態について、図面を参照してさらに詳しく説明する。
[第1の実施形態]
第1の実施形態について、図面を用いてより詳細に説明する。
[システムの構成]
図2は、第1の実施形態に係る搭乗手続きシステムの概略構成の一例を示す図である。第1の実施形態に係る搭乗手続きシステムは、空港における一連の手続き(荷物預け入れ、セキュリティチェック等)を生体認証にて実現するシステムである。図2に示す搭乗手続きシステムは、例えば、入出国の管理局等の公的機関や当該公的機関から業務の委託を受けた受託者により運営される。
なお、本願開示において、「搭乗手続き」は、チェックインから航空機に搭乗するまでに行われる一連の手続きを示す。
図2を参照すると、搭乗手続きシステムには、チェックイン端末10、手荷物預け機11、旅客通過システム12、ゲート装置13、搭乗ゲート装置14と、サーバ装置20、が含まれる。
チェックイン端末10、手荷物預け機11、旅客通過システム12、ゲート装置13及び搭乗ゲート装置14は空港に設置された端末(タッチポイント)である。これらの端末は、ネットワークを介してサーバ装置20と接続されている。図2に示すネットワークは、空港の構内通信網を含むLAN(Local Area Network)、WAN(Wide Area Network)、移動体通信網等により構成されている。接続方式は、有線方式に限らず、無線方式でもよい。
サーバ装置20は、空港会社等の施設内に設置されている。あるいは、サーバ装置20はネットワーク上のクラウドに設置されたサーバであってもよい。
なお、図2に示す構成は例示であって、搭乗手続きシステムの構成を限定する趣旨ではない。搭乗手続きシステムには、図示していない装置等が含まれていてもよい。
利用者の搭乗手続きは、図2に示す各端末により行われる。具体的には、利用者が出国する際の一連の手続きは、5か所に設置された端末にて順次実施される。図2に示す搭乗手続きシステムでは、利用者の搭乗手続きは生体情報を用いた認証(生体認証)により実現される。
本願開示における生体情報は、顔画像、指紋画像、虹彩画像、指の静脈画像、掌紋画像、手のひらの静脈画像等である。あるいは、生体情報は、人の声を記憶した音声データ(声紋)であってもよい。生体情報は、1つであっても複数であってもよい。なお、本願開示における「生体情報」の文言は、生体の全部又は一部を含む画像データ、音声データ及び当該画像から抽出される特徴量を意味するものとする。
生体認証による搭乗手続きを希望する利用者(システム利用者)は、空港に到着すると、チェックイン端末10を操作して「チェックイン手続き」を行う。システム利用者は、紙の航空券、搭乗情報が記載された二次元バーコード、eチケットの控えを表示する携帯端末等をチェックイン端末10に提示する。チェックイン端末10は、チェックイン手続きが終了すると、搭乗券を出力する。なお、搭乗券には、紙媒体の搭乗券と電子媒体の搭乗券が含まれる。
チェックイン手続きが終了した利用者であって、生体認証による搭乗手続きを希望するシステム利用者は、チェックイン端末10を用いてシステム登録を行う。具体的には、システム利用者は、取得した搭乗券とパスポートをチェックイン端末10に読み込ませる。また、チェックイン端末10は、システム利用者の生体情報(例えば、顔画像)を取得する。
チェックイン端末10は、これら(搭乗券、パスポート、生体情報)に関する情報をサーバ装置20に送信する。
サーバ装置20は、チェックイン端末10から取得した情報の正当性を確認する。具体的には、サーバ装置20は、提示されたパスポートの正当性を確認する。当該確認を終了すると、サーバ装置20はシステム利用者の登録を行う。具体的には、サーバ装置20は、当該システム登録された利用者の搭乗手続きに用いられるトークンを発行する。
発行されたトークンは、トークンID(Identifier)により識別される。搭乗手続きに必要な情報(例えば、生体情報、搭乗手続きに必要な業務情報等)はトークンIDを介して対応付けられる。即ち、「トークン」は、システム利用者の登録と共に発行され、当該登録されたシステム利用者が生体情報を利用した搭乗手続きを受けるための識別情報である。トークン(トークンID)が発行されると、システム利用者は、生体認証を用いた搭乗手続きを利用することができる。
トークンの生成に応じて、サーバ装置20は、トークンID情報データベースと業務情報データベースのそれぞれにエントリを追加する。
トークンID情報データベースは、生成されたトークンの詳細情報を記憶するデータベースである。当該データベースは、少なくともトークンIDと生体情報(顔画像、特徴量)を対応付けて記憶する。サーバ装置20は、トークンID情報データベースを参照し生体認証を実行する。
業務情報データベースは、業務情報を記憶するデータベースである。業務情報データベースは、トークンIDと業務情報を対応付けて記憶する。
トークンが発行されたシステム利用者が、端末に到着すると、当該端末にて生体情報(例えば、顔画像)が取得される。端末は、顔画像を含む認証要求をサーバ装置20に送信する。
なお、本願開示において、「端末」と表記した場合には、サーバ装置20に生体情報を含む認証要求を送信する装置、デバイス等を意味する。図2の例では、手荷物預け機11、旅客通過システム12、ゲート装置13、搭乗ゲート装置14が「端末」に相当する。あるいは、チェックイン手続きも生体認証により行われる場合には、チェックイン端末10も「端末」に相当する。
サーバ装置20は、端末から取得した生体情報とシステム登録された生体情報を用いた生体認証を行う。生体認証に成功すると、サーバ装置20は、生体認証に使用された登録側の生体情報(登録顔画像)及び業務情報を含む肯定応答を端末に送信する。生体認証に失敗すると、サーバ装置20は、その旨を示す否定応答を端末に送信する。
認証成功を受信した端末は、取得した業務情報に基づき利用者の搭乗手続きを行う。また、端末は、必要に応じてゲート等を開き、利用者の通過を許可する。
認証結果(認証成功、認証失敗)を受信した端末は、当該結果に応じた表示を行う。具体的には、端末は、液晶ディスプレイ等を用いて旅客(被認証者)に対して情報提供を行う。なお、液晶ディスプレイ等の表示デバイスは、被認証者が容易に視認可能な場所に設置される。当該液晶ディスプレイ等は端末に設置されていてもよいし、端末から離れて設置されていてもよい。あるいは、旅客が通過する床に画像等が投影され、被認証者に情報提供が行われてもよい。
認証成功を受信した端末は、サーバ装置20から取得した生体情報(登録側の顔画像)を含む表示を行う。例えば、端末は、図3に示すような表示を行う。認証失敗を受信した端末は、例えば、図4に示すような表示を行う。被認証者は、端末の表示を確認する。
なお、図3に示す表示は一例であってその内容を限定する趣旨ではない。また、端末の種類に応じて表示される内容等が異なっていてもよい。例えば、氏名、目的地、航空会社、便番号などの項目は各端末にて共通して表示され、搭乗便の出発時刻に関しては搭乗ゲート装置14に限り表示されるといった対応でもよい。
ここで、サーバ装置20による認証結果(認証成功、認証失敗)と認証結果の当否(認証結果は正しい、誤り)の組み合わせは、以下の4通りである。
第1の組み合わせは、認証成功、且つ、認証結果が正しい場合である。具体的には、利用者Aが被認証者であって、サーバ装置20も被認証者を利用者Aとして認識した場合が第1の組み合わせに相当する。
第2の組み合わせは、認証成功、且つ、認証結果が誤り(他人受入の発生)の場合である。例えば、利用者Aが被認証者であって、サーバ装置20は利用者Bを被認証者として認識した場合が第2の組み合わせに相当する。
第3の組み合わせは、認証失敗、且つ、認証結果が正しい場合である。具体的には、被認証者の生体情報がサーバ装置20に登録されていない場合に第3の組み合わせが生じ得る。
第4の組み合わせは、認証失敗、且つ、認証結果が誤り(本人拒否の発生)の場合である。例えば、利用者Aの生体情報がサーバ装置20に登録されているにも関わらず、サーバ装置20は利用者Aの認証に失敗した場合が第4の組み合わせに相当する。
第1の組み合わせの場合には、被認証者は、図3に示すような表示に接しても何らの疑問を抱くことなく、ゲート等を通過する。自身の顔画像が端末に表示されているため、被認証者は、生体認証による手続きが正常に終了したと考える。
第2の組み合わせの場合には、被認証者は、図3に示すような表示に接すると、ゲート等を通過してもよいのか疑問を抱く。ゲート等が開き通過可能となっているが、他人の顔画像が表示されているためである。また、被認証者が考えているフライトに関する情報(目的地、航空会社等)とは異なる情報が表示されている場合にも、被認証者はゲートを通過してよいのか疑問を抱く。このような場合、被認証者(認証成功者)は、端末の近傍に待機している職員等に上記事実(他人の顔画像が表示されていること)を伝える。職員等は、利用者が所持しているパスポート等を確認し、当該利用者の手続きをサポートすると共に、必要に応じてサーバ装置20の認証結果を訂正する。
第3の組み合わせ及び第4の組み合わせの場合、被認証者は、図4に示すような表示に接すると端末の近傍に待機している職員に対処を問い合わせる。
職員は、被認証者(認証失敗者)の状況(例えば、生体認証を受けるためのトークン発行手続きを行ったか否か等)に関する聞き取りを行う。被認証者が上記手続きを行っていない場合には、職員は、トークン発行手続きの実施を被認証者に依頼する。あるいは、被認証者がトークン発行手続きを行っている場合には、職員は、被認証者が所持するパスポートや搭乗券を確認し、手続きを進めてもよい。
続いて、各装置の概略構成、機能等を説明する。
チェックイン端末10は、空港内のチェックインロビーに設置されている。上述のように、利用者は、チェックイン端末10を用いて生体認証を用いた搭乗手続きを実現するためのシステム登録を行う。また、システム利用者は、チェックイン端末10を操作してチェックイン手続きを行う。即ち、チェックイン端末10は、利用者が操作することによって、チェックイン手続を行うためのセルフ端末でもある。チェックイン端末10は、CUSS(Common Use Self Service)端末とも称される。利用者は、チェックイン手続を完了すると、手荷物の預け場所あるいは保安検査場へ移動する。
手荷物預け機11は、空港内の手荷物カウンタ(有人カウンタ)の隣接領域あるいはチェックイン端末10の近傍領域に設置されている。手荷物預け機11は、利用者が操作することにより、航空機内に持ち込まない手荷物を預ける手続(手荷物預け手続)を行うためのセルフ端末である。手荷物預け機11は、CUBD(Common Use Bag Drop)端末とも称される。利用者は、手荷物預け手続を完了すると、保安検査場へ移動する。なお、利用者が、手荷物を預けない場合には、手荷物預け手続は省略される。
旅客通過システム12は、空港内の保安検査場の入口に設置されているゲート装置である。旅客通過システム12は、PRS(Passenger Reconciliation System)とも称され、保安検査場の入口において利用者の通過可否を判定するシステムである。利用者は、旅客通過システム12を通過した後に保安検査手続を完了すると、出国審査場へ移動する。
ゲート装置13は、空港内の出国審査場に設置されている。ゲート装置13は、利用者の出国審査手続を自動的に行う装置である。利用者は、出国審査手続を完了すると、免税店や搭乗ゲートが設けられている出国エリアに移動する。
搭乗ゲート装置14は、出国エリアの搭乗ゲートごとに設置された通行制御装置である。搭乗ゲート装置14は、出国審査(生体情報を用いた審査)の一連の手続きにおける最終段のゲート装置である。搭乗ゲート装置14は、ABG(Automated Boarding Gates)端末とも称される。搭乗ゲート装置14は、利用者が搭乗ゲートから搭乗可能な航空機の搭乗者であることを確認する。利用者は、搭乗ゲート装置14を通過すると、航空機に搭乗し、第2国へ向けて出国する。
なお、図2に示す各装置(チェックイン端末10、手荷物預け機11、旅客通過システム12、ゲート装置13、搭乗ゲート装置14)による生体認証を用いた搭乗手続きは一例であって、手続きに使用される装置を限定する趣旨ではない。例えば、上記装置とは異なる装置が搭乗手続きに使用されてもよいし、上記各装置のうち一部の装置が手続きに使用されてなくともよい。例えば、ゲート装置13が搭乗手続きシステムに含まれていなくともよい。
サーバ装置20は、上記搭乗手続きを支援、管理するためのサーバ装置である。サーバ装置20は、トークンIDを管理する。具体的には、サーバ装置20は、トークンIDの発行や無効化を行う。また、サーバ装置20は、空港内の各種端末からの認証要求を処理する。
続いて、第1の実施形態に係る搭乗手続きシステムに含まれる各装置の詳細について説明する。以降の説明では、生体情報として利用者の「顔画像」や「顔画像から生成された特徴量」を例にとり説明を行う。
[チェックイン端末]
上述のように、チェックイン端末10は、システム利用者に対して、チェックイン手続とシステム登録に関する操作を提供する装置である。
図5は、第1の実施形態に係るチェックイン端末10の処理構成(処理モジュール)の一例を示す図である。図5を参照すると、チェックイン端末10は、通信制御部201と、システム登録部202と、トークン発行要求部203と、メッセージ出力部204と、チェックイン実行部205と、記憶部206と、を含む。
通信制御部201は、他の装置との間の通信を制御する手段である。例えば、通信制御部201は、サーバ装置20からデータ(パケット)を受信する。また、通信制御部201は、サーバ装置20に向けてデータを送信する。通信制御部201は、他の装置から受信したデータを他の処理モジュールに引き渡す。通信制御部201は、他の処理モジュールから取得したデータを他の装置に向けて送信する。このように、他の処理モジュールは、通信制御部201を介して他の装置とデータの送受信を行う。
システム登録部202は、生体認証による搭乗手続きを希望する利用者のシステム登録を行う手段である。例えば、システム登録部202は、チェックイン手続きの終了後に、利用者が「顔画像を用いた搭乗手続き」を希望するか否かを確認するためのGUI(Graphical User Interface)を当該利用者に提供する(図6参照)。
利用者が顔画像を用いた搭乗手続きを希望すると、システム登録部202は、GUIを用いて3つの情報(搭乗券に記載された情報、パスポートに記載された情報、生体情報)を取得する。
システム登録部202は、3つのサブモジュールを備える。図7は、第1の実施形態に係るシステム登録部202の処理構成(処理モジュール)の一例を示す図である。図7に示すように、システム登録部202は、搭乗券情報取得部211と、パスポート情報取得部212と、生体情報取得部213と、を備える。
搭乗券情報取得部211は、システム利用者が所持する搭乗券に記載された情報(以下、搭乗券情報と表記する)を取得する手段である。搭乗券情報取得部211は、スキャナー等の読取機(図示せず)を制御し、搭乗券情報を取得する。
搭乗券情報には、氏名(姓、名)、エアラインコード、便名、搭乗日、出発地(搭乗空港)、目的地(到着空港)、シート番号、搭乗時間、到着時間等が含まれる。
パスポート情報取得部212は、システム利用者が所持するパスポートに記載された情報(以下、パスポート情報と表記する)を取得する手段である。パスポート情報取得部212は、スキャナー等の読取機を制御し、パスポート情報を取得する。
パスポート情報には、顔画像(以下、パスポート顔画像と表記する)、氏名、性別、国籍、パスポート番号、パスポート発行国等が含まれる。
生体情報取得部213は、システム利用者の生体情報を取得する手段である。生体情報取得部213は、カメラを制御し、システム利用者の顔画像を取得する。例えば、生体情報取得部213は、常時又は定期的に撮影する画像中に顔を検出すると、利用者の顔を撮影してその顔画像を取得する。
生体情報取得部213は、顔画像を撮影する前に、メッセージ出力部204を介して顔画像の撮影に関する案内メッセージを表示するのが望ましい。例えば、生体情報取得部213は、「お客様の顔画像を撮影し、システムに登録いたします。登録された顔画像は、搭乗完了後にシステムから削除されます」といったメッセージを表示する。
システム登録部202は、取得した3つの情報(搭乗券情報、パスポート情報、生体情報)をトークン発行要求部203に引き渡す。
図5に示すトークン発行要求部203は、サーバ装置20に対してトークンの発行を要求する手段である。トークン発行要求部203は、搭乗券情報、パスポート情報及び生体情報(顔画像)を含むトークン発行要求を生成する。トークン発行要求部203は、生成したトークン発行要求をサーバ装置20に送信する。
トークン発行要求部203は、サーバ装置20から取得した応答(トークン発行要求に対する応答)をメッセージ出力部204に引き渡す。
メッセージ出力部204は、種々のメッセージを出力する手段である。例えば、メッセージ出力部204は、サーバ装置20から取得した応答に応じたメッセージを出力する。
トークンの発行に成功した旨の応答(肯定応答)を受信した場合には、メッセージ出力部204は、その旨を出力する。例えば、メッセージ出力部204は、「今後の手続きは顔認証により行うことができます」といったメッセージを出力する。
トークンの発行に失敗した旨の応答(否定応答)を受信した場合には、メッセージ出力部204は、その旨を出力する。例えば、メッセージ出力部204は、「申し訳ありません。顔認証による手続きは行えません。有人のブースに向かってください」といったメッセージを出力する。
チェックイン実行部205は、利用者のチェックイン手続きを行う手段である。チェックイン実行部205は、利用者が提示した航空券に基づいて座席の選択等のチェックイン手続きを実行する。例えば、チェックイン実行部205は、航空券に記載された情報をDCS(Departure Control System)に送信し、当該DCSから搭乗券に記載する情報を取得する。なお、チェックイン実行部205の動作は既存のチェックイン端末の動作と同一とすることができるのでより詳細な説明を省略する。
記憶部206は、チェックイン端末10の動作に必要な情報を記憶する手段である。
[搭乗ゲート装置]
図8は、第1の実施形態に係る搭乗ゲート装置14の処理構成(処理モジュール)の一例を示す図である。図8を参照すると、搭乗ゲート装置14は、通信制御部301と、生体情報取得部302と、認証要求部303と、メッセージ出力部304と、機能実現部305と、記憶部306と、を含む。
通信制御部301は、他の装置との間の通信を制御する手段である。例えば、通信制御部301は、サーバ装置20からデータ(パケット)を受信する。また、通信制御部301は、サーバ装置20に向けてデータを送信する。通信制御部301は、他の装置から受信したデータを他の処理モジュールに引き渡す。通信制御部301は、他の処理モジュールから取得したデータを他の装置に向けて送信する。このように、他の処理モジュールは、通信制御部301を介して他の装置とデータの送受信を行う。
生体情報取得部302は、カメラ(図示せず)を制御し、利用者の生体情報を取得する手段である。生体情報取得部302は、定期的又は所定のタイミングにおいて自装置の前方を撮像する。生体情報取得部302は、取得した画像に人の顔画像が含まれるか否かを判定し、顔画像が含まれる場合には取得した画像データから顔画像を抽出する。
なお、生体情報取得部302による顔画像の検出処理や顔画像の抽出処理には既存の技術を用いることができるので詳細な説明を省略する。例えば、生体情報取得部302は、CNN(Convolutional Neural Network)により学習された学習モデルを用いて、画像データの中から顔画像(顔領域)を抽出してもよい。あるいは、生体情報取得部302は、テンプレートマッチング等の手法を用いて顔画像を抽出してもよい。
生体情報取得部302は、抽出した顔画像を認証要求部303に引き渡す。
認証要求部303は、サーバ装置20に対して面前の利用者に関する認証を要求する手段である。認証要求部303は、自装置の識別子(以下、端末識別子と表記する)、上記取得した顔画像等を含む認証要求を生成する(図9参照)。端末識別子にはMAC(Media Access Control address)アドレス、IP(Internet Protocol)アドレス等を用いることができる。認証要求部303は、生成した認証要求をサーバ装置20に送信する。
サーバ装置20は、認証要求に含まれる端末識別子を確認することで、認証要求の送信元である端末を一意に特定できる。また、サーバ装置20は、端末識別子に基づいて端末の種類(手荷物預け機11、旅客通過システム12、ゲート装置13、搭乗ゲート装置14)を特定することもできる。なお、端末識別子は、システムに含まれる各端末とサーバ装置20の間で共有される。例えば、システム管理者等が端末識別子を決定し、当該決定された端末識別子を各端末に入力してもよい。また、システム管理者は、端末識別子と端末の種類を対応付けたテーブル情報等をサーバ装置20に入力してもよい。
認証要求部303は、認証要求に対するサーバ装置20からの応答を受信する。認証要求部303は、サーバ装置20から取得した応答をメッセージ出力部304と機能実現部305に引き渡す。
メッセージ出力部304は、種々のメッセージを出力する手段である。例えば、メッセージ出力部304は、サーバ装置20から取得した認証結果(認証成功、認証失敗)に応じて図3、図4に示すような表示を行う。
認証成功を取得した場合には、メッセージ出力部304は、サーバ装置20から取得した顔画像(登録顔画像)を含む表示を行う。あるいは、メッセージ出力部304は、図3に示すように、認証成功者(認証成功と判定された被認証者)の個人情報(氏名等)や認証成功者のフライトに関する情報(航空会社に関する情報、到着空港に関する情報、搭乗機の便番号、出発時刻等)を含む表示をしてもよい。
航空会社に関する情報には、航空会社の名称やエアラインコード等が例示される。到着空港に関する情報には、到着空港の名称や到着空港の属する国名等が例示される。メッセージ出力部304は、サーバ装置20から取得した業務情報から認証成功者の個人情報やフライト情報を抽出、生成すればよい。
認証失敗を取得した場合には、メッセージ出力部304は、図4に示すような表示を行う。即ち、メッセージ出力部304は、認証失敗者(認証失敗と判定された被認証者)に対して認証失敗の事実を通知する。
機能実現部305は、搭乗ゲート装置14の機能を実現する手段である。機能実現部305は、認証成功者に関する手続きを実現する。機能実現部305は、取得した業務情報から利用者(認証成功者)が搭乗可能な航空機の便番号を特定する。機能実現部305は、当該特定された便番号と自装置に割り当てられた便番号が一致する場合に、上記認証成功者のゲート通過を許可する。なお、機能実現部305の動作は既存の搭乗ゲート装置の動作と同一とすることができるので詳細な説明を省略する。また、当該搭乗ゲート装置14から搭乗する航空機の航空会社に勤務する職員が、搭乗ゲート装置14に必要な便番号を割り当て(入力)すればよい。
機能実現部305は、認証成功者のゲート通過を許可した場合には、その旨をサーバ装置20に通知する。
記憶部306は、搭乗ゲート装置14の動作に必要な情報を記憶する手段である。
[他の端末]
搭乗手続きシステムに含まれる他の端末(手荷物預け機11、旅客通過システム12、ゲート装置13)の基本的な処理構成は、図8に示す搭乗ゲート装置14の処理構成と同一とすることができるので詳細な説明を省略する。いずれの端末も、システム利用者の生体情報(顔画像)を取得し、当該取得した生体情報を用いた認証をサーバ装置20に要求する。認証に成功すると、各端末に割り当てられた機能が実行される。また、各端末は、認証結果(認証成功、認証失敗)に応じた表示(メッセージ)を出力する。
[サーバ装置]
図10は、第1の実施形態に係るサーバ装置20の処理構成(処理モジュール)の一例を示す図である。図10を参照すると、サーバ装置20は、通信制御部401と、トークン生成部402と、データベース管理部403と、認証部404と、記憶部405と、を含む。
通信制御部401は、他の装置との間の通信を制御する手段である。例えば、通信制御部401は、チェックイン端末10からデータ(パケット)を受信する。また、通信制御部401は、チェックイン端末10に向けてデータを送信する。通信制御部401は、他の装置から受信したデータを他の処理モジュールに引き渡す。通信制御部401は、他の処理モジュールから取得したデータを他の装置に向けて送信する。このように、他の処理モジュールは、通信制御部401を介して他の装置とデータの送受信を行う。通信制御部401は、端末から被認証者の生体情報を取得する、「取得部」としての機能を備える。あるいは、通信制御部401は、被認証者の生体情報を含む認証要求を受信する「受信部」、当該認証要求に対する応答を送信する「送信部」としての機能を有する。
トークン生成部402は、チェックイン端末10からのトークン生成要求に応じてトークンを生成する手段である。その際、トークン生成部402は、利用者が提示したパスポートの正当性に関する判定を行う。
具体的には、トークン生成部402は、チェックイン端末10にパスポートを提示した人物と、当該パスポートの発行を受けた人物と、が同一人物か否かを判定する。当該判定を実行するため、トークン生成部402は、トークン生成要求に含まれる顔画像(システム利用者の顔画像)とパスポート情報に含まれるパスポート顔画像を抽出する。トークン生成部402は、これら2つの顔画像が実質的に一致するか否かを判定する。
トークン生成部402は、上記2枚の顔画像の照合(1対1照合)を実行する。トークン生成部402は、2つの画像それぞれから特徴ベクトルを算出する。トークン生成部402は、当該2つの画像の類似度(例えば、ユークリッド距離)を算出し、当該算出した類似度に対する閾値処理の結果に基づき、2つの画像が同一人物の顔画像か否かを判定する。例えば、類似度が所定の値よりも大きければ(距離が所定の値よりも短ければ)、トークン生成部402は、2つの顔画像は同一人物によるものと判定する。
トークン生成部402は、生体情報を用いたパスポートの正当性判定に成功すると、トークンを発行する。例えば、トークン生成部402は、処理時の日時やシーケンス番号等に基づいて固有な値をトークンIDとして生成する。
トークン生成部402は、トークン(トークンID)を生成すると、チェックイン端末10に対して肯定応答(トークン発行)を送信する。トークン生成部402は、トークンIDの生成に失敗すると、チェックイン端末10に対して否定応答(トークン非発行)を送信する。
トークン生成部402は、トークンIDの生成(発行)に成功すると、生成したトークンID、搭乗券情報、パスポート情報、顔画像(システム利用者の顔画像)をデータベース管理部403に引き渡す。
データベース管理部403は、サーバ装置20に構築された各種データベースを管理する手段(管理部)である。
サーバ装置20は、トークンID情報データベースと業務情報データベースと、を備える。
トークンID情報データベースは、少なくともトークンIDと利用者の生体情報を対応付けて記憶する。図11は、トークンID情報データベースの一例を示す図である。図11を参照すると、トークンID情報データベースは、トークンID、登録顔画像、特徴量、トークン発行時刻及びトークン発行デバイス名等を記憶するフィールドを有する。
上述のように、トークンIDは一時的に発行される識別子である。利用者が搭乗ゲート装置14での手続きを終えると、当該トークンIDは無効にされる。即ち、トークンIDは、永続的に使用される識別子ではなく、有効期間(ライフサイクル)を有するワンタイムIDである。
登録顔画像は、システム利用者の顔画像である。例えば、登録顔画像は、チェックイン端末10が撮像した利用者の顔画像であってもよいし、パスポート顔画像であってもよい。特徴量は、顔画像から生成される特徴ベクトルである。トークン発行時刻は、サーバ装置20がトークンIDを発行した時刻である。デバイス名は、トークンIDの発行の契機となった登録顔画像の取得元のデバイス名(チェックイン端末10)である。
業務情報データベースは、利用者の搭乗手続きを行う際に必要な情報(業務情報)を管理するデータベースである。図12は、業務情報データベースの一例を示す図である。図12を参照すると、業務情報データベースは、トークンID、搭乗者名、出発地、目的地、エアラインコード、便番号、運行年月日等を記憶するフィールドを有する。業務情報データベースは、上記フィールドに加え、シート番号、国籍、旅券番号、姓、名、生年月日及び性別等を記憶するフィールドを有していてもよい。業務情報データベースは、所定の業務(各タッチポイントで行われる手続き業務)に必要な業務情報をトークンIDごとに記憶している。
業務情報データベースに格納される上記情報は、搭乗券情報及びパスポート情報から取得される。
データベース管理部403は、トークン生成部402からトークンIDを取得すると(トークンIDが発行されると)、上記2つのデータベースに新規エントリを追加する。データベース管理部403は、各データベースのフィールドに設定値を設定する。例えば、データベース管理部403は、登録顔画像から特徴量を生成し、当該生成した特徴量をトークンID情報データベースに登録する。なお、設定値を設定できないフィールドに関しては、データベース管理部403は、初期値(デフォルト値)を設定してもよい。
認証部404は、生体認証を行う手段である。認証部404は、端末から取得された認証要求を処理する。認証部404は、被認証者の生体情報と予めトークンID情報データベースに登録された複数の利用者それぞれの生体情報を用いた生体認証を行う。
具体的には、認証部404は、搭乗ゲート装置14を含む複数の端末それぞれからの認証要求を、トークンID情報データベースを参照して処理する。認証要求には、被認証者の生体情報が含まれる。認証部404は、認証要求に含まれる生体情報とトークンID情報データベースに登録された生体情報を用いた照合処理(1対N照合)を実行する。
認証部404は、端末(手荷物預け機11、旅客通過システム12、ゲート装置13、搭乗ゲート装置14)から取得した顔画像から特徴量を生成する。なお、特徴量の生成処理に関しては既存の技術を用いることができるのでその詳細な説明を省略する。例えば、認証部404は、顔画像から目、鼻、口等を特徴点として抽出する。その後、認証部404は、特徴点それぞれの位置や各特徴点間の距離を特徴量として計算し、複数の特徴量からなる特徴ベクトルを生成する。
認証部404は、当該生成した特徴量(特徴ベクトル)を照合側の特徴量、トークンID情報データベースに記憶された特徴量を登録側の特徴量にそれぞれ設定する。
認証部404は、照合側の特徴量と登録側の複数の特徴量それぞれとの間の類似度(スコア)を計算する。当該類似度には、カイ二乗距離やユークリッド距離等を用いることができる。なお、距離が離れているほど類似度は低く、距離が近いほど類似度が高い。
認証部404は、トークンID情報データベースに登録された複数の特徴量(有効な特徴量)のうち、照合対象の特徴量との間の類似度が所定の値以上の特徴量が存在すれば認証に成功したと判断する。
認証に成功すると、認証部404は、類似度の最も高い特徴量に対応するトークンIDを特定する。認証部404は、特定されたトークンIDをキーとして業務情報データベースを検索し、対応するエントリを特定する。
認証部404は、認証結果を端末に送信する(認証要求に応答する)。
認証に成功した場合には、認証部404は、記業務情報データベースから特定されたエントリ(トークンID、業務情報)と認証成功者の顔画像(登録側の顔画像)を含む肯定応答を端末に送信する。このように、認証部404は、生体認証に成功した認証成功者の登録された生体情報(登録顔画像)と当該認証成功者のフライトに関する情報を端末に送信する。
認証に失敗した場合には、認証部404は、認証失敗を示す否定応答を端末に送信する。
記憶部405は、サーバ装置20の動作に必要な各種情報を記憶する。記憶部405には、トークンID情報データベース、業務情報データベースが構築される。トークンID情報データベースは、少なくとも、複数の利用者それぞれの生体情報と複数の利用者それぞれに発行されたトークンIDを対応付けて記憶する、第1のデータベースである。業務情報データベースは、少なくとも、複数の利用者それぞれに発行されたトークンIDと複数の利用者それぞれの業務情報を対応付けて記憶する、第2のデータベースである。業務情報データベースは、少なくともフライトに関する情報を業務情報として記憶する。
[システム動作]
続いて、第1の実施形態に係る搭乗手続きシステムの動作を説明する。図13は、第1の実施形態に係る搭乗手続きシステムの動作の一例を示すシーケンス図である。図13を用いて利用者の認証処理を実行する際の動作を説明する。システム登録に関する動作の説明は省略する。
端末(手荷物預け機11、旅客通過システム12、ゲート装置13、搭乗ゲート装置14のいずれか)は、利用者(被認証者)の顔画像を取得し、認証要求をサーバ装置20に送信する(ステップS01)。
サーバ装置20は、認証要求に含まれる顔画像から特徴量を生成し、トークンID情報データベースを用いた認証処理を実行する(ステップS02)。
認証に成功すると(ステップS03、Yes分岐)、サーバ装置20は、照合処理により得られたトークンIDをキーとして業務情報データベースを検索(ステップS04)する。
認証に失敗すると(ステップS03、No分岐)、サーバ装置20は、ステップS05以降の処理を実行する。
サーバ装置20は、認証結果(認証成功、認証失敗)を端末(タッチポイント)に送信する(ステップS05)。認証に成功した場合には、サーバ装置20は、ステップS04の検索にて特定されたエントリの内容(トークンID、業務情報)と認証成功者の登録顔画像を含む応答を端末に送信する。
端末は、サーバ装置20から取得した認証結果に応じた表示を行う(ステップS06)。認証成功に関する応答を受信した場合には、端末は、例えば、図3に示すような表示を行う。即ち、端末は、認証成功者の生体情報とフライトに関する情報を含む表示を行う。認証失敗に関する応答を受信した場合には、端末は、例えば、図4に示すような表示を行う。
また、端末は、認証結果に応じて利用者の搭乗手続きを実行する。当該動作についての説明は省略する。各端末は、割り当てられた機能を実行すればよい。
以上のように、第1の実施形態に係る搭乗手続きシステムは、被認証者の認証に成功すると、事前に登録された顔画像(チェックイン端末10によりシステム登録された顔画像)とフライト情報(目的地や航空会社等の情報)が利用者に提示される。利用者(認証成功者)は、これらの情報を確認し、他人の情報(他人の顔画像、他人のフライト情報)が表示されていれば、システムの処理が正常ではないことを認識できる。即ち、サーバ装置20及び端末は、利用者が他人受入発生による誤認証を検出可能とする情報を生成し、利用者に提示する。その結果、万が一、誤認証が発生しても、利用者が職員等にその旨を伝えることで、誤認証により生じる問題、矛盾等は解消される。
[第2の実施形態]
続いて、第2の実施形態について図面を参照して詳細に説明する。
第1の実施形態では、端末は、被認証成功者の登録顔画像と当該認証成功者の個人情報、フライト情報を同時に表示する。上記の情報を表示することで、万一、他人受入が発生しても、自身の顔やフライト情報が表示されているので、被認証者は他人受入の発生を検出することができる。即ち、第1の実施形態では、他人受入の発生検出を利用者に委ねている。
第2の実施形態では、空港や航空会社の職員等が他人受入の発生を検出可能とする場合について説明する。
第2の実施形態に係るサーバ装置20、端末の処理構成は、第1の実施形態と同一とすることができるのでその説明を省略する。
以下、第1及び第2の実施形態の相違点について説明する。
図14は、第2の実施形態に係る搭乗手続きシステムの概略構成の一例を示す図である。図14を参照すると、第2の実施形態に係る搭乗手続きシステムは、職員端末30を含む。
職員端末30は、空港や航空会社の職員等により使用される端末である。搭乗手続きシステムには1台の職員端末30が含まれていてもよいし、複数の職員端末30が含まれていてもよい。複数の職員端末30がシステムに含まれる場合には、各手続き場所(例えば、出国審査場)に少なくとも1台の職員端末30が設置されていてもよい。即ち、搭乗手続きに用いられる各端末に対応して職員端末30が設置されていてもよい。
職員端末30は、図14に示すような据え置き型のコンピュータであってもよいし、携帯電話、スマートフォン、タブレット、ノートパソコンのような携帯型端末であってもよい。職員端末30は、職員が使用する端末であればどのような形式、形態であってもよい。
職員端末30は、液晶パネル等の表示デバイス、タッチパネル等の操作デバイスを備え、情報提供機能及び情報入力機能を備えていればよい。職員端末30は、市販されているコンピュータ等により実現可能であり、内部の処理構成等は当業者にとって明らかでありその説明を省略する。
サーバ装置20は、被認証者の認証に成功すると、認証結果情報を職員端末30に送信する。認証結果情報は、端末が取得した被認証者の顔画像(取得顔画像)と生体認証により被認証者と同一人物と判定された人物の顔画像(トークンID情報データベースに登録された顔画像;登録顔画像)を含む。
認証結果情報を受信したことに応じて、職員端末30は、図15に示すような表示を行う。職員は、職員端末30の表示を確認する。職員は、2枚の顔画像を比較することで、他人受入が発生しているか否かを判定する。具体的には、2枚の顔画像が同一人物の顔画像と判断された場合には、他人受入は発生していないと判定される。2枚の顔画像が同一人物の顔画像ではないと判断された場合には、他人受入が発生したと判定される。
他人受入が発生していなければ、職員は特段の対応を行わない。他人受入が発生していれば、職員は、認証ID等を頼りにサーバ装置20による認証結果の訂正、修正を行う。具体的には、職員は、サーバ装置20に認証IDを入力し、他人受入に関係する2人の当事者を特定する。職員は、当事者の氏名や便番号に基づいて、トークンID情報データベースを修正したり、当事者の元に赴き誤認証発生を伝え必要な対応を行ったりする。なお、他人受入発生時の対応は、他人受入発生時の端末や旅客の状況(搭乗機に搭乗前又は搭乗後)によって異なり、システムによる一律な処理は難しい。即ち、他人受入発生時には職員等の臨機応変な対応を前提とするため、より詳細な説明を省略する。他人受入発生時には、職員は、当該誤認証により生じる不都合、矛盾を適切に修正すればよい。
生体認証に成功すると、認証部404は、生体認証の結果を一意に特定する認証IDを生成する。認証部404は、生体認証に成功するたびに一意な値を採番し認証IDを生成する。
認証部404は、生成した認証IDと上記認証部404から取得した情報を対応付けて記憶する(図16参照)。
認証IDの生成後、認証部404は、認証結果情報を生成する。具体的には、認証部404は、認証ID、端末識別子、取得顔画像、登録顔画像を含む認証結果情報を生成する。認証部404は、当該生成された認証結果情報を職員端末30に送信する。
あるいは、認証部404は、認証成功者の個人情報(氏名等)やフライト情報(便番号等)を含む認証結果情報を生成してもよい。なお、認証部404は、トークンIDを用いて、認証成功者の個人情報等を業務情報データベースから取得(読み出し)することができる。
なお、所定の条件が満たされたときに、認証部404は、認証結果情報を職員端末30に送信してもよい。例えば、認証成功時の2枚の画像(取得顔画像、登録顔画像)間の類似度が所定の閾値よりも小さい場合に、サーバ装置20は、認証結果情報を職員端末30に送信してもよい。即ち、上記2枚の画像間の類似度が認証成功と判定される第1の閾値よりも大きく、予め定められた第2の閾値よりも小さい場合に、サーバ装置20は、認証結果情報を職員端末30に送信してもよい。
このように、認証部404は、計算された類似度に対して閾値処理を実行し、その結果に応じて認証結果情報を職員端末30に送信するか否かを決定してもよい。その結果、認証結果の確度(精度)が十分高い場合(画像間の類似度が第2の閾値以上の場合)には、サーバ装置20から職員端末30に対して認証結果情報が送信されることはない。換言すれば、生体認証には成功したが、確度が十分ではない場合に、認証結果情報が職員端末30に送信される。
職員は、サーバ装置20により選別(フィルタリング)された認証結果情報を確認することで、より高い集中力を持って他人受入の発生検出を行うことができる。
あるいは、サーバ装置20は、認証処理時に計算された複数の類似度のうち最も値の大きい類似度(第1類似度)とその次に値の大きい類似度(第2類似度;第1類似度>第2類似度)を使って認証結果情報の送信要否を決定してもよい。具体的には、サーバ装置20は、第1類似度と第2の類似度の差分が所定の閾値よりも小さい場合に、認証結果情報を職員端末30に送信してもよい。
第1類似度と第2類似度の差が大きいという事実は、被認証者と2番目に似ていると判定された人物の顔は被認証者(本人)の顔に似ていないことを示す。対して、第1類似度と第2の類似度の差が小さいという事実は、被認証者と2番目に似ていると判定された人物の顔は被認証者の顔に似ていることを示す。例えば、被認証者が双子の場合であって、双方の顔画像が登録されている場合には、本人の顔画像による類似度(第1類似度)と双子の他の顔画像による類似度(第2類似度)の差は小さくなる。
サーバ装置20は、上記類似度の差分に基づき認証結果情報の送信要否を判定してもよい。この場合にも、認証部404は、第1類似度と第2類似度の差分に対して閾値処理を実行し、その結果に応じて認証結果情報の送信可否を判定してもよい。
以上のように、第2の実施形態に係る搭乗手続きシステムにおいて、サーバ装置20は、被認証者の認証に成功すると、取得顔画像と登録顔画像を含む認証結果情報を職員端末30に送信する。職員端末30は、他人受入による誤認証が発生していないか否かを検証可能な情報を職員等に提供する。職員は、2枚の顔画像を比較することで、誤認証の発生を検出する。第2の実施形態では、業務に習熟した職員が誤認証の発生を監視するので、より確実に他人受入の発生が検出される。第2の実施形態においても、誤認証により生じる問題、矛盾等は解消される。
続いて、搭乗手続きシステムを構成する各装置のハードウェアについて説明する。図17は、サーバ装置20のハードウェア構成の一例を示す図である。
サーバ装置20は、情報処理装置(所謂、コンピュータ)により構成可能であり、図17に例示する構成を備える。例えば、サーバ装置20は、プロセッサ311、メモリ312、入出力インターフェイス313及び通信インターフェイス314等を備える。上記プロセッサ311等の構成要素は内部バス等により接続され、相互に通信可能に構成されている。
但し、図17に示す構成は、サーバ装置20のハードウェア構成を限定する趣旨ではない。サーバ装置20は、図示しないハードウェアを含んでもよいし、必要に応じて入出力インターフェイス313を備えていなくともよい。また、サーバ装置20に含まれるプロセッサ311等の数も図17の例示に限定する趣旨ではなく、例えば、複数のプロセッサ311がサーバ装置20に含まれていてもよい。
プロセッサ311は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、DSP(Digital Signal Processor)等のプログラマブルなデバイスである。あるいは、プロセッサ311は、FPGA(Field Programmable Gate Array)、ASIC(Application Specific Integrated Circuit)等のデバイスであってもよい。プロセッサ311は、オペレーティングシステム(OS;Operating System)を含む各種プログラムを実行する。
メモリ312は、RAM(Random Access Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)、SSD(Solid State Drive)等である。メモリ312は、OSプログラム、アプリケーションプログラム、各種データを格納する。
入出力インターフェイス313は、図示しない表示装置や入力装置のインターフェイスである。表示装置は、例えば、液晶ディスプレイ等である。入力装置は、例えば、キーボードやマウス等のユーザ操作を受け付ける装置である。
通信インターフェイス314は、他の装置と通信を行う回路、モジュール等である。例えば、通信インターフェイス314は、NIC(Network Interface Card)等を備える。
サーバ装置20の機能は、各種処理モジュールにより実現される。当該処理モジュールは、例えば、メモリ312に格納されたプログラムをプロセッサ311が実行することで実現される。また、当該プログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント(non-transitory)なものとすることができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。また、上記プログラムは、ネットワークを介してダウンロードするか、あるいは、プログラムを記憶した記憶媒体を用いて、更新することができる。さらに、上記処理モジュールは、半導体チップにより実現されてもよい。
なお、チェックイン端末10、搭乗ゲート装置14、職員端末30等もサーバ装置20と同様に情報処理装置により構成可能であり、その基本的なハードウェア構成はサーバ装置20と相違する点はないので説明を省略する。チェックイン端末10等は、カメラ等を備えていればよい。
サーバ装置20は、コンピュータを搭載し、当該コンピュータにプログラムを実行させることでサーバ装置20の機能が実現できる。また、サーバ装置20は、当該プログラムによりサーバ装置の制御方法を実行する。
[変形例]
なお、上記実施形態にて説明した搭乗手続きシステムの構成、動作等は例示であって、システムの構成等を限定する趣旨ではない。
上記実施形態では、利用者のチェックイン手続きの後にシステム登録がされることを説明したが、チェックイン手続きの前にシステム登録がなされてもよい。この場合、チェックイン手続きの前に搭乗券は発行されていないので、サーバ装置20は、搭乗券に替えて航空券の情報を用いてシステム登録すればよい。
上記実施形態では、チェックイン端末10にてシステム登録(生体認証を用いた搭乗手続きを実現するための登録)を行う場合について説明した。しかし、システム登録は、チェックイン端末10以外の装置、端末にて行われてもよい。例えば、システム登録専用の装置が空港に設置されてもよいし、手荷物預け機11、旅客通過システム12等の端末(タッチポイント)でシステム登録が行われてもよい。
上記実施形態では、一連の搭乗手続きが生体認証により行われる場合について説明したが、一部の手続きが生体認証により行われてもよい。例えば、図2において、手荷物預け機11にてシステム登録がされ、手荷物預け入れ以降の手続き(保安検査等)が生体認証により行われてもよい。換言するならば、一連の搭乗手続きのうち一部の手続きに関しては有人のブース等にて実施されてもよい。
上記実施形態では、サーバ装置20が2つのデータベースを備える場合について説明した。しかし、サーバ装置20に構築される、トークンID情報データベースや業務情報データベースは、サーバ装置20とは異なるデータベースサーバに構築されていてもよい。即ち、搭乗手続きシステムには、上記実施形態にて説明した各種手段(例えば、トークン生成手段)等が含まれていればよい。
上記実施形態では、認証要求には顔画像が含まれる場合について説明したが、認証要求には顔画像から生成された特徴量が含まれていてもよい。この場合、サーバ装置20は、認証要求から取り出した特徴量とトークンID情報データベースに登録された特徴量を用いて認証要求を処理すればよい。
第1の実施形態では、サーバ装置20は、認証要求の応答に登録顔画像を含める場合について説明した。しかし、サーバ装置20は、認証要求の応答とは別の方法により登録顔画像を端末に送信してもよい。例えば、サーバ装置20は、第2の実施形態において説明したような認証結果情報を端末に送信してもよい。
第1の実施形態に係るサーバ装置20は、所定の条件が満たされる場合に、認証要求に対する肯定応答に登録顔画像等を含めてもよい。例えば、第2の実施形態において説明したように、サーバ装置20は、認証処理時に計算された類似度に対する閾値処理の結果に応じて登録顔画像等を肯定応答に含めてもよい。この場合、端末は、登録顔画像が含まれる肯定応答を受信した場合に、図3に示すような表示を出力すればよい。
認証結果を認証成功者に提供する表示において、認証成功者の座席に関する情報も表示されてもよい。例えば、認証成功者のシート番号や座席のクラス(ファーストクラス、ビジネスクラス、エコノミークラス)等が登録顔画像と共に表示されてもよい。被認証者は、これらの情報に基づいて他人受入の発生を検出できる。
端末は、図3に示すような表示を行う際、認証成功者が表示を視認したことを取得するためのボタン等を含むGUIを生成してもよい(図18参照)。即ち、端末は、表示された生体情報とフライトに関する情報に基づいて他人受入が発生していないことを認証成功者が確認したか否かを、GUIを用いて取得してもよい。端末は、認証成功者がOKボタンを押下したことに応じて、当該認証成功者の手続きを進めてもよい。あるいは、端末は、OKボタンの押下に応じて、認証成功者が通行可能となるようにゲート等を制御してもよい。あるいは、端末は、認証成功者が表示内容を視認(確認)したことを、音声やジェスチャーなどの非接触入力によって取得してもよい。
第2の実施形態において、職員端末30と端末が連携して動作してもよい。例えば、職員端末30は、端末が備えるゲートを制御してもよい。例えば、職員端末30は、図19に示すようなGUIを表示する。職員は、2枚の顔画像を比較することで、他人受入が発生していると判断した場合には、手続き中断ボタンを押下する。当該ボタンの押下に応じて、職員端末30は、生体認証が行われた端末(図19の例では搭乗ゲート装置14)に対して、手続き中断指示を行う。当該指示を受けた端末(端末の機能実現部305)は、認証成功者の手続きを中断する。例えば、端末は、認証成功者がゲートを通過できないように制御する。職員は、手続きを中断した端末の元に向かい、必要な対処を行う。
このように、職員端末30は、職員が、端末から取得した生体情報と認証成功者の登録された生体情報に基づいて、他人受入が発生したと判断したか否かをGUIにより取得する。さらに、職員端末30は、職員により他人受入が発生したと判断された場合に、端末に対して手続き中断を指示してもよい。即ち、職員の操作(職員等による他人受入の判定結果)に応じて、職員端末30は端末を制御してもよい。
サーバ装置20(認証部404)は、所定の条件が満たされる場合、登録顔画像を含む肯定応答や認証結果情報に「警報フラグ」を含めてもよい。警報フラグは、上記所定の条件が満たされたことを端末や職員端末30に通知する情報である。警報フラグは、認証成功者や職員に対して認証結果を注意深く検討することを要求する際に設定される。例えば、サーバ装置20は、第2の実施形態にて説明した類似度に対する閾値処理の結果に応じて、警報フラグをセットする。より具体的には、認証は成功したが、その確度が低いと想定される場合、サーバ装置20は警報フラグをセットする。
端末又は職員端末30は、警報フラグがセットされているか否かで認証成功者や職員に提供する表示の態様を変更してもよい。例えば、端末は、所定の条件が満たされているか否かに応じて、認証成功者の生体情報とフライトに関する情報を含む表示(例えば、図3に示す表示)の態様を変更してもよい。
例えば、警報フラグがセットされていれば、端末や職員端末30は、フラグがセットされていないときよりも注意を引くような色彩を多用した表示(強調表示)を行ってもよいし、画面の全部又は一部点滅等させてもよい。あるいは、端末等は、音声を用いて、登録顔画像を慎重に確認するように促してもよい。
上記説明において、所定の条件が満たされる場合に、認証結果情報が職員端末30に送信される場合について説明した。上記説明した所定の条件は例示であって、他の条件により認証結果情報の送信要否が判定されてもよい。例えば、認証成功者の座席等級(座席クラス;最上級客席、上級客室、普通客席)や渡航履歴に基づいて、認証結果情報の送信要否が判定されてもよい。例えば、認証成功者の座席クラスがファーストクラスの場合には、認証結果情報が職員端末30に送信されてもよい。この場合、職員は、ファーストクラスの乗客(航空会社等がトラブルを避けたい乗客)に関する誤認証の発生を注意深く監視することができる。
あるいは、サーバ装置20は、顔画像から生成された特徴量に基づく顔画像間の類似度とは異なる指標等に基づいて認証結果情報や登録顔画像を含む肯定応答を送信してもよい。生体認証において誤認証(他人受入)の発生は、照合側及び登録側の「顔」が似ていることに起因する。より正確には、目や鼻の位置、これら特徴点間の距離が同程度であると、他人同士の顔であっても誤認証(他人受入)が発生し得る。ここで、空港における搭乗手続きシステムでは、チェックイン時に登録顔画像がサーバ装置20に入力され、その後、比較的短い時間で端末(搭乗ゲート装置14等)が生体認証をサーバ装置20に依頼することになる。このような短い期間に、被認証者の髪型、眼鏡着用の有無、服装等が変化することは想定し難い。サーバ装置20は、このような空港における生体認証の特徴、特質を利用して、認証結果情報の送信可否を判定してもよい。
より具体的には、サーバ装置20(認証部404)は、特徴量を用いた手法とは異なる手法により2枚の画像の類似度を計算する。例えば、サーバ装置20は、2枚の顔画像に写る人物の髪型が異なれば類似度に低い値を設定する。あるいは、サーバ装置20は、一方の顔画像には眼鏡が写っており、他方の顔画像に眼鏡が写っていなければ類似度に低い値を設定する。あるいは、サーバ装置20は、2枚の顔画像に写る人物の服装が異なれば類似度に低い値を設定する。サーバ装置20は、上記のような方法により計算された類似度が所定の閾値よりも低い場合に、認証結果情報を職員端末30に送信してもよい。即ち、サーバ装置20は、特徴量に基づく類似度とは異なる手法により算出された画像間の類似度に基づいて、認証結果情報の送信要否を判定してもよい。同様に、サーバ装置20は、特徴量に基づく類似度とは異なる手法により算出された画像間の類似度に基づいて、登録顔画像を含む肯定応答を端末に送信してもよい。
なお、髪型の類似度判定に関し、サーバ装置20は、顔上部の領域の面積を比較してもよいし、当該領域の形状を利用してもよい。また、眼鏡着用の有無に関し、サーバ装置20は、テンプレートマッチング等の手法を用いて判定してもよい。服装の同一性判定に関し、サーバ装置20は、顔領域以外の領域の周波数解析結果を用いてもよい。サーバ装置は、顔領域以外の領域の模様、テクスチャーが異なるか否かに応じて衣服の同一性を判定してもよい。
第2の実施形態では、職員端末30に認証結果情報を送信する場合について説明したが、当該情報は端末に送信されてもよい。端末は、認証要求に対する応答に含まれる登録顔画像を用いた表示と認証結果情報に含まれる登録顔画像を用いた表示を、それぞれの異なる表示デバイスにて行ってもよい。例えば、前者の表示は被認証者が視認できるメインディスプレイにて行われ、後者の表示は職員(端末の近傍に待機する係員)が視認できるサブディスプレイにて行われてもよい。
上記実施形態では、職員端末30を用いて職員が他人受入の発生を検出する場合について説明した。しかし、当該他人受入の発生検出は、機械学習により生成された学習モデルを用いて行われてもよい。具体的には、システム管理者等は、多数の他人受入発生時のデータ(取得顔画像、登録顔画像)を収集する。システム管理者等は、当該収集したデータに認証失敗に関するラベルを付与して教師データを生成する。システム管理者等は、当該教師データを学習器に入力し、学習モデル(分類モデル)を生成する。コンピュータに、上記学習モデルを実装する。コンピュータは、サーバ装置20から取得した2枚の顔画像を学習モデルに入力し、判定結果(他人受入発生、非発生)を出力する。職員等は、コンピュータにより判定された結果に応じて必要な行動を起こしてもよい。なお、学習モデルの生成には、サポートベクタマシン、ブースティングやニューラルネットワーク等の任意のアルゴリズムを用いることができる。なお、上記サポートベクタマシン等のアルゴリズムは公知の技術を使用することができるので、その説明を省略する。
上記実施形態では、顔画像及び顔画像から生成された特徴量を「生体情報」として扱い、システムの動作等を説明した。しかし、顔画像等に替えて他の情報が「生体情報」として用いられてもよい。例えば、声紋認証が用いられる場合には、事前に登録された声紋情報(音声データ)が再生されると共に、フライト情報等が表示されてもよい。
また、顔画像以外の生体情報が用いられて場合、登録側の生体情報は表示されなくともよい。例えば、被認証者の個人情報(氏名)やフライト情報(目的地等)等が端末に表示されてもよい。利用者は、これらの情報が自分の情報と異なれば、誤認証の検出が可能である。
サーバ装置20は、端末や職員端末30に対して、認証処理に用いられた類似度(認証成功者の類似度)を通知してもよい。職員端末30等は、当該類似度を職員等に提供してもよい。職員は、提示された類似度に従い、2枚の顔画像をより慎重に確認する等の対応をすることができる。
チェックイン端末10等とサーバ装置20の間のデータ送受信の形態は特に限定されないが、これら装置間で送受信されるデータは暗号化されていてもよい。搭乗券情報やパスポート情報には個人情報が含まれ、当該個人情報を適切に保護するためには、暗号化されたデータが送受信されることが望ましい。
上記説明で用いた流れ図(フローチャート、シーケンス図)では、複数の工程(処理)が順番に記載されているが、実施形態で実行される工程の実行順序は、その記載の順番に制限されない。実施形態では、例えば各処理を並行して実行する等、図示される工程の順番を内容的に支障のない範囲で変更することができる。
上記の実施形態は本願開示の理解を容易にするために詳細に説明したものであり、上記説明したすべての構成が必要であることを意図したものではない。また、複数の実施形態について説明した場合には、各実施形態は単独で用いてもよいし、組み合わせて用いてもよい。例えば、実施形態の構成の一部を他の実施形態の構成に置き換えることや、実施形態の構成に他の実施形態の構成を加えることも可能である。さらに、実施形態の構成の一部について他の構成の追加、削除、置換が可能である。
上記の説明により、本発明の産業上の利用可能性は明らかであるが、本発明は、空港等における搭乗手続きシステムなどに好適に適用可能である。但し、本願開示の適用先は空港の手続きに限定されず、本願開示は複数の手続きを要するシステムに適用可能である。例えば、イベント会場等の入退場制御において本願開示を適用することもできる。例えば、サーバ装置20が、イベント会場における認証履歴を解析し、誤認証が強く疑われる結果についてはその旨をイベント主催者等に通知してもよい。
上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
[付記1]
端末から被認証者の生体情報を取得する、取得部と、
前記被認証者の生体情報と予め登録された複数の利用者それぞれの生体情報を用いた生体認証を行う、認証部と、
を備え、
前記認証部は、所定の条件が満たされた場合に、前記端末から取得した生体情報と前記生体認証に成功した認証成功者の登録された生体情報を含む認証結果情報を、職員が使用する職員端末に送信する、サーバ装置。
[付記2]
前記認証部は、前記被認証者の生体情報と前記予め登録された複数の利用者それぞれの生体情報の間の類似度を計算し、
前記計算された複数の類似度のうち値の最も大きい類似度が、第1の閾値よりも大きく第2の閾値よりも小さい場合に、前記認証結果情報を前記職員端末に送信する、付記1に記載のサーバ装置。
[付記3]
前記認証部は、前記被認証者の生体情報と前記予め登録された複数の利用者それぞれの生体情報の間の類似度を計算し、
前記計算された複数の類似度のうち値の最も大きい第1類似度と2番目に値の大きい第2類似度の差分を計算し、
前記計算された差分が、所定の閾値よりも小さい場合に、前記認証結果情報を前記職員端末に送信する、付記1に記載のサーバ装置。
[付記4]
前記認証部は、前記認証成功者の座席等級に基づき、前記認証結果情報を前記職員端末に送信するか否かを判定する、付記1に記載のサーバ装置。
[付記5]
前記認証部は、前記認証成功者の座席等級が最上級客席である場合に、前記認証結果情報を前記職員端末に送信する、付記4に記載のサーバ装置。
[付記6]
前記複数の利用者それぞれの生体情報を記憶する、データベースをさらに備える、付記1乃至5のいずれか一に記載のサーバ装置。
[付記7]
前記生体情報は、顔画像又は前記顔画像から抽出された特徴量である、付記1乃至6のいずれか一に記載のサーバ装置。
[付記8]
前記認証部は、前記職員端末に替えて前記端末に前記認証結果情報を送信する、付記1乃至7のいずれか一に記載のサーバ装置。
[付記9]
端末と、
職員が使用する職員端末と、
前記端末及び前記職員端末に接続されたサーバ装置と、
を含み、
前記サーバ装置は、
端末から被認証者の生体情報を取得する、取得部と、
前記被認証者の生体情報と予め登録された複数の利用者それぞれの生体情報を用いた生体認証を行う、認証部と、
を備え、
前記認証部は、所定の条件が満たされた場合に、前記端末から取得した生体情報と前記生体認証に成功した認証成功者の登録された生体情報を含む認証結果情報を前記職員端末に送信する、システム。
[付記10]
前記職員端末は、前記端末から取得した生体情報と前記認証成功者の登録された生体情報を含む表示を行う、付記9に記載のシステム。
[付記11]
前記職員端末は、
前記職員が、前記端末から取得した生体情報と前記認証成功者の登録された生体情報に基づいて、他人受入が発生したと判断したか否かを取得する、付記10に記載のシステム。
[付記12]
前記職員端末は、
他人受入が発生したと判断された場合に、前記端末に対して手続き中断を指示する、付記11に記載のシステム。
[付記13]
サーバ装置において、
端末から被認証者の生体情報を取得し、
前記被認証者の生体情報と予め登録された複数の利用者それぞれの生体情報を用いた生体認証を行い、
所定の条件が満たされた場合に、前記端末から取得した生体情報と前記生体認証に成功した認証成功者の登録された生体情報を含む認証結果情報を、職員が使用する職員端末に送信する、サーバ装置の制御方法。
[付記14]
サーバ装置に搭載されたコンピュータに、
端末から被認証者の生体情報を取得する処理と、
前記被認証者の生体情報と予め登録された複数の利用者それぞれの生体情報を用いた生体認証を行う処理と、
所定の条件が満たされた場合に、前記端末から取得した生体情報と前記生体認証に成功した認証成功者の登録された生体情報を含む認証結果情報を、職員が使用する職員端末に送信する処理と、
を実行させるためのプログラムを記憶する、コンピュータ読取可能な記憶媒体。
なお、引用した上記の先行技術文献の各開示は、本書に引用をもって繰り込むものとする。以上、本発明の実施形態を説明したが、本発明はこれらの実施形態に限定されるものではない。これらの実施形態は例示にすぎないということ、及び、本発明のスコープ及び精神から逸脱することなく様々な変形が可能であるということは、当業者に理解されるであろう。即ち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得る各種変形、修正を含むことは勿論である。