JPWO2006101169A1 - 認証システム - Google Patents
認証システム Download PDFInfo
- Publication number
- JPWO2006101169A1 JPWO2006101169A1 JP2006519659A JP2006519659A JPWO2006101169A1 JP WO2006101169 A1 JPWO2006101169 A1 JP WO2006101169A1 JP 2006519659 A JP2006519659 A JP 2006519659A JP 2006519659 A JP2006519659 A JP 2006519659A JP WO2006101169 A1 JPWO2006101169 A1 JP WO2006101169A1
- Authority
- JP
- Japan
- Prior art keywords
- information
- terminal
- authentication system
- registrant
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000006854 communication Effects 0.000 claims abstract description 48
- 238000004891 communication Methods 0.000 claims abstract description 47
- 230000033001 locomotion Effects 0.000 claims description 540
- 230000008520 organization Effects 0.000 claims description 126
- 238000009434 installation Methods 0.000 claims description 85
- 230000005540 biological transmission Effects 0.000 claims description 54
- 230000002123 temporal effect Effects 0.000 abstract description 8
- 238000000034 method Methods 0.000 description 244
- 230000002776 aggregation Effects 0.000 description 236
- 238000004220 aggregation Methods 0.000 description 236
- 238000012795 verification Methods 0.000 description 165
- 230000008569 process Effects 0.000 description 155
- 238000012545 processing Methods 0.000 description 130
- 230000006870 function Effects 0.000 description 93
- 238000003860 storage Methods 0.000 description 89
- 238000010586 diagram Methods 0.000 description 85
- 230000009471 action Effects 0.000 description 65
- 239000000284 extract Substances 0.000 description 50
- 238000005065 mining Methods 0.000 description 48
- 230000006399 behavior Effects 0.000 description 45
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 35
- 238000012790 confirmation Methods 0.000 description 31
- 230000000694 effects Effects 0.000 description 24
- 238000004364 calculation method Methods 0.000 description 22
- 238000011835 investigation Methods 0.000 description 22
- 230000004044 response Effects 0.000 description 22
- 238000000605 extraction Methods 0.000 description 21
- 238000012546 transfer Methods 0.000 description 21
- 241000282414 Homo sapiens Species 0.000 description 20
- 238000004422 calculation algorithm Methods 0.000 description 17
- 230000008859 change Effects 0.000 description 16
- 238000005516 engineering process Methods 0.000 description 16
- 230000010365 information processing Effects 0.000 description 15
- 238000002360 preparation method Methods 0.000 description 15
- 238000012986 modification Methods 0.000 description 14
- 230000004048 modification Effects 0.000 description 14
- 238000012217 deletion Methods 0.000 description 12
- 230000037430 deletion Effects 0.000 description 12
- 230000002159 abnormal effect Effects 0.000 description 11
- 239000000470 constituent Substances 0.000 description 11
- 230000002354 daily effect Effects 0.000 description 11
- 230000004931 aggregating effect Effects 0.000 description 10
- 238000011156 evaluation Methods 0.000 description 10
- 238000011161 development Methods 0.000 description 8
- 230000018109 developmental process Effects 0.000 description 8
- 210000003128 head Anatomy 0.000 description 8
- 230000006698 induction Effects 0.000 description 8
- 238000006243 chemical reaction Methods 0.000 description 7
- 230000001965 increasing effect Effects 0.000 description 7
- 210000003811 finger Anatomy 0.000 description 6
- 230000007704 transition Effects 0.000 description 6
- 230000005611 electricity Effects 0.000 description 5
- 230000003203 everyday effect Effects 0.000 description 5
- 238000012797 qualification Methods 0.000 description 5
- 230000014509 gene expression Effects 0.000 description 4
- 210000000554 iris Anatomy 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 4
- 239000000725 suspension Substances 0.000 description 4
- 210000003462 vein Anatomy 0.000 description 4
- 230000000007 visual effect Effects 0.000 description 4
- 206010047571 Visual impairment Diseases 0.000 description 3
- FFBHFFJDDLITSX-UHFFFAOYSA-N benzyl N-[2-hydroxy-4-(3-oxomorpholin-4-yl)phenyl]carbamate Chemical compound OC1=C(NC(=O)OCC2=CC=CC=C2)C=CC(=C1)N1CCOCC1=O FFBHFFJDDLITSX-UHFFFAOYSA-N 0.000 description 3
- 238000007418 data mining Methods 0.000 description 3
- 230000003111 delayed effect Effects 0.000 description 3
- 230000006872 improvement Effects 0.000 description 3
- 230000001939 inductive effect Effects 0.000 description 3
- 230000014759 maintenance of location Effects 0.000 description 3
- 238000013508 migration Methods 0.000 description 3
- 230000005012 migration Effects 0.000 description 3
- 238000010248 power generation Methods 0.000 description 3
- 238000011084 recovery Methods 0.000 description 3
- 208000029257 vision disease Diseases 0.000 description 3
- 230000004393 visual impairment Effects 0.000 description 3
- 241000282412 Homo Species 0.000 description 2
- 208000003443 Unconsciousness Diseases 0.000 description 2
- 241000700605 Viruses Species 0.000 description 2
- 230000004075 alteration Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000001815 facial effect Effects 0.000 description 2
- 238000005286 illumination Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000007257 malfunction Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- BASFCYQUMIYNBI-UHFFFAOYSA-N platinum Chemical compound [Pt] BASFCYQUMIYNBI-UHFFFAOYSA-N 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 206010010356 Congenital anomaly Diseases 0.000 description 1
- 208000010412 Glaucoma Diseases 0.000 description 1
- 244000068988 Glycine max Species 0.000 description 1
- 235000010469 Glycine max Nutrition 0.000 description 1
- 206010044565 Tremor Diseases 0.000 description 1
- 240000001417 Vigna umbellata Species 0.000 description 1
- 235000011453 Vigna umbellata Nutrition 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000032683 aging Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000000386 athletic effect Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000033228 biological regulation Effects 0.000 description 1
- 239000008280 blood Substances 0.000 description 1
- 210000004369 blood Anatomy 0.000 description 1
- 239000002775 capsule Substances 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000012508 change request Methods 0.000 description 1
- 238000010835 comparative analysis Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000034994 death Effects 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000001687 destabilization Effects 0.000 description 1
- 206010012601 diabetes mellitus Diseases 0.000 description 1
- 230000008034 disappearance Effects 0.000 description 1
- 201000010099 disease Diseases 0.000 description 1
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 239000003814 drug Substances 0.000 description 1
- 229940079593 drug Drugs 0.000 description 1
- 235000013305 food Nutrition 0.000 description 1
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 description 1
- 239000010931 gold Substances 0.000 description 1
- 229910052737 gold Inorganic materials 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000036039 immunity Effects 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 238000012905 input function Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000005923 long-lasting effect Effects 0.000 description 1
- 230000005389 magnetism Effects 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 235000019198 oils Nutrition 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 229910052697 platinum Inorganic materials 0.000 description 1
- 239000010970 precious metal Substances 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 108090000623 proteins and genes Proteins 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000003014 reinforcing effect Effects 0.000 description 1
- 210000001525 retina Anatomy 0.000 description 1
- 210000004935 right thumb Anatomy 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000015541 sensory perception of touch Effects 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000003892 spreading Methods 0.000 description 1
- 235000000346 sugar Nutrition 0.000 description 1
- 230000009469 supplementation Effects 0.000 description 1
- 238000001356 surgical procedure Methods 0.000 description 1
- 210000003813 thumb Anatomy 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 230000001755 vocal effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/22—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
- G07C9/25—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition
- G07C9/257—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition electronically
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2111—Location-sensitive, e.g. geographical location, GPS
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2137—Time limited access, e.g. to a computer or data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2151—Time stamp
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B15/00—Arrangements or apparatus for collecting fares, tolls or entrance fees at one or more control points
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C2209/00—Indexing scheme relating to groups G07C9/00 - G07C9/38
- G07C2209/08—With time considerations, e.g. temporary activation, valid time window or time limitations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
Abstract
Description
また、近年の電子技術の発達により、電子マネーを使用する場合などでは、入力されたパスワードの照合を行ったり、磁気カードやICカードから固有の個人情報を読み取って照合を行ったりといった個人の認証方法も主流となってきている。
また、電子情報を用いた認証方法においても、その電子情報の改竄、流出及び盗難が比較的容易であり、特に、インターネットを介した認証の場合には、相手側の姿を確認することが困難であるため、その認証の脆弱性は否定できなかった。
このバイオメトリクス情報とは、指紋や声紋等、その人に生体的に備わった固有の情報をいい、他人には持ち得ないその人固有の情報であるため、偽造は困難であると言われてきた。
この特許文献1では、利用者が選択し登録した人間に限られていた認証対象者に加え、利用者にとって「素性のわからない人間」にまで認証対象者を拡大し、それらの認証対象者のバイオメトリクス情報をデータベースに登録しておくことにより、その「素性のわからない人間」によって不正な行為が行われたときの適切な対応が可能となっている。
図1は、本発明の実施の形態における認証システムの基本構成原理を示す図である。
以下、この図を用いて、本実施の形態の認証システムの基本構成原理及び基本動作原理について説明する。
図に示すように、認証システムは、認証サーバ1と、管理サーバ2と、個人情報入力装置3とを有して構成される。
また、管理サーバ2にも、前述の個人情報のデータベースが設けられており、これらの接続されている個人情報入力装置3から受信した個人情報と、そのデータベース内の個人情報との照合を行って、登録者の実在性の認証を行う。
登録者は、個人情報入力装置3に触れて指紋等のバイオメトリクス情報を入力すると(読み取らせると)、個人情報入力装置3はこの入力されたバイオメトリクス情報を認証サーバ1及び管理サーバ2に送信し、認証サーバ1及び管理サーバ2は、この送信されたバイオメトリクス情報と、予めそれぞれが管理するデータベース内のバイオメトリクス情報との間で照合を行う。
照合の結果、両バイオメトリクス情報が一致したときには、登録者による認証システムへのアクセスを許可し、個人情報入力装置3は、所定の動作を行ったり、登録者に対して所定のサービスを提供したりする。
このように、本実施の形態における認証システムでは、登録者の個人認証を行い、認証が成功したときだけ、登録者に対して所定の動作を行う等するので、登録者周囲の環境のセキュリティを容易に向上させることが可能となる。
認証サーバ1及び管理サーバ2は、この登録者のバイオメトリクス情報を読み取った場所及び時期を示す情報を自身のデータベースにそれぞれ格納し、これ以降の登録者の実在性の認証に利用する。
例えば、17時00分に自宅でバイオメトリクス情報を読み取ったことを示す情報がデータベースに格納されている場合に、同日の17時05分に、その自宅から100km離れた地点の個人情報入力装置3で同一登録者のバイオメトリクス情報が読み取られ、管理サーバ2及び認証サーバ1に送信されると、認証サーバ1及び管理サーバ2は、このバイオメトリクス情報の読取が不正に行われた可能性があるとして、これ以降、その登録者のバイオメトリクス情報によるドア鍵の開錠等の動作を制限又は拒否するような制御情報を個人情報入力装置3に送信する。
なお、個人情報入力装置3にも、前述の個人情報のデータベースが設けられているとしてもよく、このとき、個人情報入力装置3は、そのデータベース内のバイオメトリクス情報と、入力されたバイオメトリクス情報との間で照合を行って、自ら登録者の個人認証を行うようにしてもよい。
このように、認証システムは、バイオメトリクス情報の一致/不一致の認証に加えて、時間的・空間的な認証を行うことにより、登録者の実在性の認証精度を向上させることが可能となる。
以下、各実施の形態の説明に入る前に、本実施の形態における認証システムの基本構成及び基本動作について、以下の項目に分けて説明する。
・認証システムの基本構成
・認証システムを構成する各端末の共通の特徴
・各端末が有する基本情報
・各端末が備えるデータベースの構成例
・端末による個人認証処理
図2は、本発明の実施形態における認証システムの概略構成を示すブロック図である。
図に示すように、認証システムは、前述の登録者の履歴情報を管理する認証システムサーバ10と、マンション等のある建築物内に設置される端末を統合管理する建物側端末110と、行政機関等のある組織内に設置される端末を統合管理する組織側端末120と、○○町1丁目といったある地域内に設置される端末を統合管理する地域管理側端末130と、これら各端末110,120,130により統合管理されない端末を補完的に統合管理する中継側端末140と、これら各端末110,120,130,140を統合管理する集約側端末150と、登録者の行動範囲に設置されその登録者の認証を行う末端側端末160と、認証システムサーバ10のバックアップサーバである外部機関サーバ300と、が通信回線網200を介して接続されて構成される。
これらの各端末は、用途や設置位置等に応じて細分化されているが、以下「各端末」と表すときには、特記しない限り、これら各端末110,120,130,140,150,160全てを示すものであるとする。
認証システムサーバ10は、利用者の個人情報の管理を行う管理機関により管理運営されるサーバ装置である。この認証システムサーバ10は、履歴情報に基づいて、その登録者の認証を行う機能を具備すると共に、各利用者個人の履歴情報を記録管理するためのデータベース(DB)11を具備している。この総合DB11内の管理構造の詳細については後述する。
外部機関サーバ300は、認証システムサーバ10を管理する管理機関とは別の機関により管理運営されるサーバ装置である。この外部機関サーバ300は、認証システムサーバ10の機能を代行し、履歴情報に基づいて、その登録者の認証を行う機能を具備すると共に、各個人の履歴情報を記録管理又はバックアップ保管するためのデータベース(DB)311を具備している。このDB311内の管理構造の詳細については後述する。
これらサーバ10,300には、インターネット、有線通信回線網、無線通信回線網、地上デジタル波、赤外線等のネットワークである通信回線網200を介して集約側端末150が接続されている。
この集約側端末150は、認証システムサーバ10,300と、建物側端末110、組織側端末120、地域管理側端末130及び中継側端末140と、を通信回線網200を介して接続するために設けられたサブサーバ装置である。
この集約側端末150は、認証システムサーバ10の機能を代行し、履歴情報に基づいて、その利用者の認証を行う機能を具備すると共に、各利用者個人の履歴情報を記録管理又はバックアップ保管するための総合データベース(DB)151を具備している。このDB151内の管理構造の詳細については後述する。
この集約側端末150に接続されている端末装置としては、その統合管理の単位に応じて、建物側端末110、組織側端末120、地域管理側端末130、中継側端末140がある。
建物側端末110は、建物毎にその建物内部又は周辺部に設置された末端側端末160を統合管理するために設けられたサブサーバ装置である。この建物側端末110は、認証システムサーバ10又は集約側端末150の機能を代行し、履歴情報に基づいて、その登録者の認証を行う機能を具備すると共に、各個人の履歴情報を記録管理するための総合データベース(DB)111を具備している。この総合DB111内の管理構造の詳細については後述する。
また、建物側端末110による末端側端末160の統合管理単位は、建物内でより細分化されていてもよく、学校の教室、マンションの独立した区分単位、ビル内の入居個人・団体単位、階別単位で構成されていてもよい。
組織側端末120は、データベースを利用する学校、会社、公共機関又は任意の団体等によって使用される末端側端末160をそれぞれ統合管理するために設けられたサブサーバ装置である。この組織側端末120は、認証システムサーバ10又は集約側端末150の機能を代行し、履歴情報に基づいて、その登録者の認証を行う機能を具備すると共に、各個人の履歴情報を記録管理するためのデータベース(DB)121を具備している。このDB121内の管理構造の詳細については後述する。
例えば、クレジットサービスに使用される末端側端末160を統合管理する組織側端末120は、ある銀行の口座所有者、クレジットカード発行会社でのカード種別、小売店での顧客カード種別などの各単位で、クレジットサービスに関する登録者の個人情報を格納する。
地域管理側端末130は、都道府県、区市町村又は町名等の行政単位毎に設置された末端側端末160を統合管理するために設けられたサブサーバ装置である。この地域管理側端末130は、認証システムサーバ10又は集約側端末150の機能を代行し、履歴情報に基づいて、その登録者の認証を行う機能を具備すると共に、各個人の履歴情報を記録管理するためのデータベース(DB)131を具備している。このDB131内の管理構造の詳細については後述する。
・2つのそれぞれ異なる経線と2つのそれぞれ異なる緯線によって囲まれた一定地域内
・地球上の一点を中心点として円状・方形状に特定された一定地域内
・宇宙の一点を頂点とした円錐状から地球上に特定された一定地域内
中継側端末140は、建物側端末110、組織側端末120又は地域管理側端末130とは直接接続されていない末端側端末160を管理運営するために設けられたサブサーバ装置である。この中継側端末140は、認証システムサーバ10又は集約側端末150の機能を代行し、履歴情報に基づいて、その登録者の認証を行う機能を具備すると共に、各個人の履歴情報を記録管理するためのデータベース(DB)141を具備している。このDB141内の管理構造の詳細については後述する。
但し、認証システムサーバ10と建物側端末110、組織側端末120、地域管理側端末130、中継側端末140とが、集約側端末150を介さず、直接的に接続されていることもある。
末端側端末160は、登録者等の日常行動範囲、及び人が離散集合する建物、組織及び地域に設置される情報処理装置であって、登録者個人のバイオメトリクス情報やパスポート・免許証等の証拠物の情報を読み取って、その登録者の正当性の認証を行う機能を有するものである。従って、末端側端末160は、情報入力装置としての機能も有する。
また、末端側端末160には、例えば、パスポートのような証拠物を読み取る際に、証拠物の真贋(偽造の有無)を判定できる機能も搭載していることが好ましい。
この末端側端末160は、登録者の個人情報の認証が成功した場合、電子マネーの使用許可、鍵の開錠、照明の点灯、書類の発行又は情報の提供等の各種サービスを提供する。以下、認証の結果、登録者がこの末端側端末160等からこれらの各種サービスを受けることを「端末で利活用する」という。
末端側端末160は、この認証が行われた旨の履歴情報を自端末に登録する。
また、登録者は、この末端側端末160を用いて、自分自身の個人情報を登録することができるとともに、その登録済みの個人情報や前述の履歴情報を閲覧することができる。さらに、末端側端末160は、これらの登録された個人情報及び履歴情報を他の端末やサーバと送受信を行う機能を有する。また、末端側端末160は、履歴情報に基づいて、その登録者の認証を行う機能を具備する。
また、認証システムサーバ10、建物側端末110、組織側端末120、地域管理側端末130、中継側端末140、集約側端末150は、必ずしもこの末端側端末160から受信した履歴情報を総合DB11、111、121、131、141又は151に格納しなくてもよく、キーボードまたはスキャナ等の入力装置から入力された履歴情報を直接総合DB11、111、121、131、141又は151に格納するようにしてもよい。
図3は、本実施の形態における認証システムの構成を簡略化して示したブロック図である。ここで、図を用いて、認証システムにおける上位端末及び下位端末の定義について説明する。
図に示すように、認証システムサーバ10に集約側端末150Bが接続され、この集約側端末150Bに集約側端末150Aが接続されている。また、この集約側端末150Aには建物側端末110及び組織側端末120が接続されている。また、建物側端末110及び組織側端末120には、それぞれ複数の末端側端末160が接続されている。
このような各端末から認証システムサーバ10に接続される経路上で、認証システムサーバ10を最上位端末とし、末端側端末160を最下位端末とする。この経路上に存在する各端末は、その端末を基準にして、認証システムサーバ10側に接続された回線網に繋がっている端末を上位端末とし、末端側端末160側に接続された回線網に繋がっている端末を下位端末とする。
この図の例では、認証システムサーバ10が最上位端末であり、末端側端末160が最下位端末である。また、集約側端末150Aを中心に考えた場合、集約側端末150Bが上位端末であり、建物側端末110と組織側端末120が下位端末である。
なお、外部機関サーバ300は、認証システムサーバ10と同様に、集約側端末150の上位の位置付けとする。
また、認証システムは、上記の構成部位の他に、登録者が自分自身の個人情報等を閲覧するためのユーザ端末20と、その登録者以外の他の人物が、その登録者の個人情報を閲覧するための閲覧希望側端末30と、その登録者以外の人物がその登録者の個人情報を登録するための登録希望側端末40と、登録者の実在性を自ら判断する人物が、その判断のために必要な根拠を管理機関側に求めるための実在判断希望側端末50と、登録者個人の実在性の認証を管理機関に求める人物により操作される実在認証希望側端末60と、登録者から提示された個人情報の正当性の判断を管理機関側に依頼する人物により操作される情報正当性認証希望側端末70と、登録者の身分証明書の発行機関等により操作される確認先側端末80と、を有するようにしてもよい。
また、建物側端末110と、組織側端末120と、地域管理側端末130と、中継側端末140と、を総称して以下では、サブサーバ群とする。
ここで、前述の各端末に共通した特徴について説明を進める。
各端末は、自端末の設置されている空間情報及び自端末の固有識別に関する情報を格納するデータベース(以下、自機空間情報DB401)と、自端末と密接に関連する他の端末の設置されている空間情報及びその他の端末の固有識別に関する情報を格納するデータベース(以下、関連空間情報DB402)とを有する。
図に示すように、建物側端末110は、総合DB111、自機空間情報DB401、関連空間情報DB402を管理する。
この中で、総合DB111は、当該端末で取扱う個人情報を格納する。これに対し、自機空間情報DB401は建物側端末110の設置場所を示す情報を、関連空間情報DB402は建物側端末110とネットワークで繋がった端末の設置場所を示す情報をそれぞれ格納している。
なお、情報量によっては、自機空間情報DB401及び関連空間情報DB402を統合して認証システム構築されていてもよい。
関連空間情報DB402には、ある空間(場所)に設置される各端末及びサーバ全ての識別情報が互いに対応付けられて一体で構成されている。
また、この関連空間情報DB402には、この建物側端末110の識別情報と、その建物側端末110と情報の送受信が行われる上位・下位端末の識別情報とが互いに対応付けられて管理されている。
但し、この関連空間情報DB402の情報格納量に余裕がある場合には、自機空間情報DB401に準じた構成で詳細な情報を格納しておいてもよい。
このとき、各端末は、それらの送信情報に、前述の自端末の設置位置情報及び端末識別IDを対応付けて送信する。
このことにより、認証システムにおいて移動する情報の送信元を容易に確定することができる。また、これらの設置位置情報及び端末識別IDを送信情報を、情報の受渡しを容易に行うためのインターネットアドレスとして用いるようにしてもよい。
また、各端末は、登録者の認証を行い、その認証結果や登録者の個人情報の送受信を行うといった機能に加え、複合的に他の機能を備え、複数の利用目的に適用可能であってもよい。
以下、このように各端末が、情報の送受信や認証等以外の固有の機能を備えている場合について、説明する。
図に示す例では、その建築物の所定位置に建物側端末110を設置するとともに、その建築物の各箇所に末端側端末160A、160B、160Cを設置している。
このうち、末端側端末160Cは、照明器具に設置されており、照明の電源のオン/オフを管理できる機能が具備されている。
また、末端側端末160Aは玄関外側のドアノブ、末端側端末160Bは玄関内側のドアノブの位置にそれぞれ設置されている。これら末端側端末160A、160Bには、設置されているドアの鍵の施錠・解錠の制御を行う機能と、バイオメトリクス情報読取機能と、末端側端末160Cに対して照明のオン/オフと指示する情報を発信する機能とが具備されている。
図に示すように、例えば、末端側端末160Aは、玄関外側のドアノブに設置されており、登録者が建築物内に入る際にこの玄関外側のドアノブを握ったとき、認証を行い、このドアの鍵を開錠して入室を許可するかどうかを判断する。
また、夜に帰宅した場合を想定して、「家の中に入る」という動作によって末端側端末160Cにオン指示情報を送信し、室内灯が自動的に点灯する動作が付随的に行われるように設定しておいてもよい。また、別の効果として読取時間に自宅又は自宅周辺にいることを示す、いわゆるアリバイ証明用に活用してもよい。
このように、1つの端末に複数の目的を重ねることで、端末の利便性を向上させることが可能である。
また、電子マネーを管理するためのデータベースと、ドアの開閉を管理するデータベースといったように、利用目的の異なるデータベースでは、その構成や収録データ等の方式や容量が異なってくる。前述したように、端末の利用目的を特定することにより、これら端末の内外に設けられるデータベースの方式や容量の検討を容易とし、さらには、各端末の設置場所、設置機器、安全管理及び用途等を容易に検討することが可能となる。
上述の各端末には、以下の各基本情報が格納されている。
(1)設置位置情報
(2)識別情報
(3)交通機関情報
(4)端末間距離情報
(5)設置管理情報
(6)端末信用力情報
ここで、これら各端末が格納する各基本情報(1)〜(6)について説明を進める。
各端末は、自端末が設置されている位置を示す設置位置情報をそれぞれ格納している。
この設置位置情報は、その情報端末が実際に設置されている位置の2次元または3次元情報であってもよいし、設置位置の名称を示すものであってもよい。
この2次元情報とは、緯度及び経度により表され、3次元情報とは、その緯度及び経度に加え地上からの高さ又は地下の深度により表される空間認識情報をいう。
また、設置位置の名称を示す例としては、「○○ビル6階」のように設置位置が固定されているもののほか、例えば、飛行機、ヘリコプター、電車、列車、自動車、エレベータ、エスカレータ等のように、刻々と設置位置及び高度が変化するものがある。例えば、この場合、設置位置情報は「○○航空所有××社製△△型機、機体番号123の飛行機の搭乗口右側ドア」というように示される。
この地上からの高さ又は地下の深度については、該当地点での地平面から計測されたものでよい。但し、該当地点が国土地理院の基準点にある又は近接しており、海抜との比較が容易に行える場合には、海抜での表記を用いてもよい。
また、各端末には、その端末自体を特定するための固有の識別情報がそれぞれ割り当てられ、これら各端末は、各自自身の端末識別IDを格納している。
この識別情報は、一般的な識別ID又は認識番号のように数桁の文字列であってもよい。また、この識別情報には、併せて設置場所の名称や具体的説明が付与されていることが好ましい。特に、同一の緯度と経度によって表される一点に設置された端末の場合、設置高度や設置目的別に識別情報を付与し、明確な端末特定を可能なようにしておくことが好ましい。
(a)の詳細に示す場合では、「東京都=13」、「板橋区=21」、・・・というように、端末の設置場所に応じて番号が付与されており、これらの番号の組み合わせと端末の固有番号とをさらに組み合わせることで、各端末の端末識別IDを設定している。
一方、(b)の簡略化して示す場合では、端末識別IDの共通する部分(例えば、先頭の数字数桁)を別の数値又は文字に置き換えて、端末識別IDを設定している。
このように、識別IDに含まれる文字数を削減することで、各端末にある情報の総量を削減させる効果と、データ処理の負荷を軽減させる効果とがある。
なお、他の端末に情報を送受信する際には、この置き換え部分を元に戻す又は置き換え情報を認識できる情報の付帯処理等を行うことで、端末の1台毎が確実に識別可能な認証システム状況を確保する。
この場合、当該端末の識別番号や設置位置情報等の管理場所を、ユビキタスIDセンターが運営するucode解決サーバ内に設けられたucode解決データベースであるとしてもよい。
また、各端末は、設置位置の周囲の交通機関の状況を示す交通機関情報を格納する。例えば、交通機関情報として登録されるものとしては以下のものが挙げられる。
1.この端末を利活用する人にとって、最適な交通機関の種類、利用方法
2.この端末を利活用する人にとって、容易に選択できる交通機関の種類、利用方法
3.上記、1又は2における、
最寄駅やバス停等の駅名
最寄駅やバス停等までの距離
最寄駅やバス停等までの移動方法、その方法による所要時間
末端側端末160のうち、駅、デパートまたは区役所等の来場者の多い場所、又は目印的な建物や場所に設置されるものは、「主要端末」と認定される。この各主要端末は、主要端末間の距離を示す情報を格納する。また、主要端末以外の末端側端末160は、これら主要端末までの距離を示す情報を格納する。
例えば、距離情報として登録されるものとしては以下のものが挙げられる。
1.空間情報での直線距離を測定した情報
2.3次元情報を平面に投影した2次元情報での直線距離を測定した情報
3.端末間を現実の道路設置状況、建物や構造物等の長さ又は高さ、等を基に計測した情報
また、各端末には、その端末が設置された日時又は稼動を開始した日時と、その設置者又は管理者を特定する情報とを含む設置管理情報が格納されている。
ここで言う設置者又は管理者とは、形式的に端末を所有する法人又は個人だけではなく、実際に設置工事を担当し当該端末を特定空間に敷設した処理員も含むものとする。なお、複数人数でその敷設処理を行った場合には、該当複数人数全員を特定する情報を、設置管理情報として記録する。
また、必要に応じて、当該端末を開発した人物、製造した人物又は輸送を行った人物等の関係した人間を把握できる情報を格納するようにしてもよい。
各端末には、その設置者と管理者の実在性の度合いと、所属又は関係する団体の社会的な信用力とを勘案した端末信用力情報が格納されている。
ここでいう所属又は関係する団体の社会的な信用力とは、資本金、売上高、業種、株式上場の有無、官公庁であるか否か、といった項目ごとに割り振られた点数によって算出される数値を一定の割合で格付化したものである。
例えば、国土交通省や外務省等の公益性の高い団体に属している場合には配点が高くなり、所属団体が確認できない場合には配点を低くする。
これにより、端末の安全性を容易に判断できるようにしたものである。
図9は、前述の各端末に格納されている各基本情報の例を示す図であり、(a)〜(c)には、それらの具体例が示されている。これらの情報は、各端末に格納され、登録者の認証時等には、他の端末やサーバに送信される。
この図に示す例1〜3では、その端末に関する各種情報として、各端末の端末識別ID、設置日時、設置者、設置位置(緯度、経度、高度、設置されている建築物や機器)等がそれぞれ示されている。
なお、例3のように、設置管理情報としてその端末に関係した法人や個人を登録するとき、その法人や個人の名称ではなく、その法人や個人を特定するための識別IDで登録するようにしてもよい。
すなわち、例えば、開発の段階で情報端末に違法プログラムが組み込まれていたり、敷設工事段階で不正な他の端末とすり替えられていたりしても、当該端末を認証システム内で利活用を開始するときに当該端末の設置管理情報を検査しておくことにより、これらの不正な処理の責任の所在を容易に明確にすることができる。
また、例えば、設置管理情報に示された関係人物名と、設置工事計画書上に記載されている人物名とが異なっている場合には、不正が行われていた可能性があるとして、その情報端末の利活用開始前にその不正箇所を修正することができる。
また、ある人物の不正が発覚したときには、その人物が関係した端末を瞬時に把握でき、その端末の不正箇所を修正して、被害を最小限度に留めるために必要な対応を迅速に行うことが可能となる。
一方、認証システムサーバ10の総合DB11に、実在性が証明された情報端末の設置者及び管理者に関する情報が格納されているときには、各端末は、その設置者及び管理者の個人識別IDと、総合DB11とリンクするための情報と、を併せて格納することが好ましい。
以下、各端末やサーバに備えられている各データベースの第1乃至第4の構成例について、順に説明を進める。
図10は、本発明の実施の形態における認証システムの第1のデータベースの構成例を示す図である。この図では、各端末に備えられている総合DB11,111,121,131,141,151,161の概略構成が示されている。
図に示すように、総合DB11は、履歴情報DB12と、検証情報DB13と、基礎情報DB14と、可否情報DB15とにより構成される。
なお、以下、これら認証システムサーバ10が管理し得るデータベース内の情報をまとめて、個人情報ということとする。
このうち、履歴情報DB12は、個人の履歴に関する情報を格納するデータベースである。また、検証情報DB13は、個人の実在性又はその個人情報の真正性の検証に関する処理工程、実行内容、証拠、証人などの情報を格納するデータベースである。また、基礎情報DB14は、個人情報の基礎情報を格納するデータベースである。また、可否情報DB15は、登録者の認証結果に基づいて認証後の動作進行の状況を決定する情報を格納するデータベースである。
以下同様に、総合DB111は、履歴情報DB112と、検証情報DB113と、基礎情報DB114と、可否情報DB115とにより構成される。
総合DB121は、履歴情報DB122と、検証情報DB123と、基礎情報DB124と、可否情報DB125とにより構成される。
総合DB131は、履歴情報DB132と、検証情報DB133と、基礎情報DB134と、可否情報DB135とにより構成される。
総合DB141は、履歴情報DB142と、検証情報DB143と、基礎情報DB144と、可否情報DB145とにより構成される。
総合DB151は、履歴情報DB152と、検証情報DB153と、基礎情報DB154と、可否情報DB155とにより構成される。
総合DB161は、履歴情報DB162と、検証情報DB163と、基礎情報DB164と、可否情報DB165とにより構成される。
履歴情報DB、検証情報DB、基礎情報DB及び可否情報DBは、それぞれ登録者の情報を、個人別の情報フォルダで管理することが望ましい。なお、これら各総合DBに格納する情報が存在しない場合、当該情報DBを当該端末に具備していないこともある。
図に示すように、基礎情報DB14は、履歴情報DB12,112,122,132,142,152,162及び検証情報DB13,113,123,133,143,153,163に格納されている情報のうち、最新の情報または登録者個人の個人情報の根幹を為すと判断された情報を、それぞれのデータベースより抽出して保管したものである。例えば、この抽出する情報としては、住所、氏名、生年月日などの登録者の一般的な標準情報、現在の勤務先情報又は最新保有資格一覧など主要項目を見出し的に抽出したものである。
以下同様に、基礎情報DB124は、履歴情報DB12,152,122,162と検証情報DB13,153,123,163より主要項目を見出し的に抽出したものである。
基礎情報DB134は、履歴情報DB12,152,132,162と検証情報DB13、153、133、163より主要項目を見出し的に抽出したものである。
基礎情報DB144は、履歴情報DB12,152,142,162と検証情報DB13,153,143,163より主要項目を見出し的に抽出したものである。
基礎情報DB154は、履歴情報DB12,152,112,122,132,142,162と検証情報DB13,153,113,123,133,143,163より主要項目を見出し的に抽出したものである。
基礎情報DB164は、履歴情報DB12,152,112,122、132、142162、と検証情報DB13,153,113,123,133、143、163,より主要項目を見出し的に抽出したものである。
同様に基礎情報DB114で管理される見出し情報は、履歴情報DB12,152,112,162及び検証情報DB13,153,113,163で管理される詳細事項にリンクされている。
以下同様に、基礎情報DB124の見出し情報は、履歴情報DB12,152,122,162及び検証情報DB13,153,123,163で管理される詳細事項にリンクされている。
基礎情報DB134の見出し情報は、履歴情報DB12,152,132,162及び検証情報DB13,153,133,163で管理される詳細事項にリンクされている。
基礎情報DB144の見出し情報は、履歴情報DB12,152、142、162及び検証情報DB13,153,143,163で管理される詳細事項にリンクされている。
基礎情報DB154の見出し情報は、履歴情報DB12,152,112,122,132,142,162及び検証情報DB13,153、113,123,133,143,163で管理される詳細事項にリンクされている。
基礎情報DB164の見出し情報は、履歴情報DB12,152,112,122,132,142,162及び検証情報DB13,153,113,123,133,143,163で管理される詳細事項にリンクされている。
図12は、本発明の実施の形態である可否情報DBに格納された情報の一例を示す図である。可否情報DBでは、認証結果は次の主要3項目に分類される。
(1)本人認証が出来た場合、その認証が成功した人物を登録者個人とみなして、その認証が成功した人物が、その認証に用いた末端側端末160(または当該末端側端末160が含まれるシステム構成単位)により提供される動作、サービス利用、認証システム稼動又は制御解除等の処理を進行するために必要な情報を発信する。
(2)本人認証が出来なかった場合、その認証に失敗した人物が、その認証に用いた末端側端末160(または当該末端側端末160が含まれるシステム構成単位)の操作を継続できないようにしたり、以後の処理を全く進行させないようにしたり、関係機関に対してアラーム情報を発信したりといった動作を行う。
(3)個人認証を行うのに十分な情報読み取りが出来なかった場合、末端側端末160に対して再度認証処理を実行するよう指示する又は読み取りエラーが発生していることを通知する等の情報発信を行う。
例えば、前述の履歴情報DBに登録される履歴情報としては、以下の(1)〜(20)が挙げられる。なお、原則として全ての情報には、その情報が発生した日時を示す時間情報が付与されている。
(1)パーソナルデータ
パーソナルデータは、自己の責任により登録されるものであり、その主要項目としては、氏名、住所、電話番号、携帯電話番号、メールアドレス、生年月日などの個人データである。また、そのサブ項目としては、最寄駅、趣味、信教、家族構成、親族関係、友人関係、血液型、プロフィールといった様々な任意項目が設けられている。また、このパーソナルデータは、パスポート、運転免許証又は住民基本台帳カード等の内容を示すものであってもよい。
(2)学歴データ
学歴データとしては、幼稚園、保育園、小学校、中学校、高校、大学、専門学校、大学院、などの卒業証明や成績証明などの登録が可能である。なお、これらの学歴データの証明書類としての卒業証明書や成績証明書は、スキャナ機能により登録することが可能である。
(3)資格データ
資格データとしては、国家資格から民間資格まで合格年度や合格番号、また登録番号といったデータの登録が可能である。
(4)職歴データ
職歴データとしては、勤務会社(所在地、所属部署、業種、資本金、従業員数等)、期間、雇用形態、雇用条件、仕事内容(成功談・失敗談、取得した技術・レベル・地位等)であり、サブ項目としては、社風、人脈(上司・部下・取引先等)、就職・退職・転職の理由、感想(会社・業界)、今後役立てたいこと、といった詳細な項目の登録が可能である。
(5)バイオメトリクス情報
バイオメトリクス情報としては、指紋、虹彩、声紋、網膜、静脈、遺伝子、顔輪郭などであり、人間のバイオメトリクス情報に関わる全ての登録が可能である。
(6)ビジュアルデータ
個人の活動を記録した映像、画像、音声又はこれらを複数組み合わせた情報をデータとして登録が可能である。この中には、特定個人を対象に記録されたものだけでなく、例えば、旅行の集合写真や祭典のドキュメンタリー映像など、登録者個人の実在を側面から補強できる情報を含むものとする。
(7)行動記録データ
申込書、入会証、参加証、表彰状、参加者名簿、参加データなどの行動の開始又は結果を示す詳細な項目の登録が可能である。
(8)マネーデータ
電子マネー残高、および利用履歴情報
(9)アカウントデータ
普通預金、定期預金、投資信託などの口座残高、およびその履歴情報
住宅ローン、カードローン、当座貸越などの借入残高、およびその履歴情報
保有する株式、債券(社債、国債等)等の残高、およびその履歴情報
貴金属(金、白金等)等の保有数、およびその履歴情報
商品取引所取り扱い品目(小豆、大豆、石油、砂糖等)等の保有数、およびその履歴情報
外国為替、オプション、デリバティブ等の保有数、およびその履歴情報
(10)クレジットデータ
クレジットカードの利用残高、利用可能残高、およびその履歴情報
(11)ポイントデータ
各種ポイントカード残高、各種マイレージカード残高、およびその履歴情報
(12)鍵データ
錠の開閉、スイッチのON/OFF、入退場(入退室)の承諾・否認、処理進行の承諾・否認、サービス開始の承諾・否認等の認証判断材料となる情報
(13)購買データ
購入商品名、利用サービス名、およびその履歴情報
(14)活動データ
登録者の日常行動の情報、組織側端末120、地域管理側端末130、中継側端末140、集約側端末150等により採取された情報、およびその履歴情報
(15)訪問データ
訪れた場所情報、建物側端末110により採取された情報、およびその履歴情報
(16)出入国データ
入出国管理窓口等による出入国情報、訪問渡航地情報、およびその履歴情報
(17)指定席データ
航空機又は列車又はバス等の指定席や乗車券の情報、演奏会又は映画館等のチケットの情報、日常生活で発生する日時と場所を特定して予約する行動に纏わる情報、およびその履歴情報
(18)医療データ
カルテ情報、投薬情報、検査情報、身体情報、およびその履歴情報
(19)保険データ
生命保険、損害保険、購入又は利用物の保証書、およびその履歴情報
(20)移動情報
以下の4点の情報を含むもの
1.空間情報(端末に付された端末識別ID、認識番号)
2.認証対象人物の個人識別ID
3.認証を行った時期を示す時間情報、または個人情報(バイオメトリクス情報)が読取/入力された時期を示す時間情報
4.実在認証の結果、「認証されている」ということを示す情報
(21)その他データ
その他、分類先が判定困難な情報
本認証システムは、人間生活全般を支援することを主眼としているため、データの範囲は列挙項目に限定されない。
図13は、本発明の実施の形態における総合DB内のデータ構成例を示す図である。
この図では、一例として、建物側端末110の総合DB111内のデータ構成について示されている。
図に示すように、建物側端末110の総合DB111内では、住所の最新情報に関連したものが保存されているに過ぎず、それ以前の住所情報は消去されていることを示している。このように、各端末の総合DBでは、必ずしもその各端末に到着した個人情報の全てを格納又は表示する訳ではない。
通常、履歴情報は随時更新されており、更新された古い情報を定期的又は任意の時期に上位サーバ又は端末のデータベースに移動させることによって、建物側端末110、組織側端末120、地域管理側端末130、中継側端末140、集約側端末150及び末端側端末160では最新情報のみ表示又は管理されているようにしてもよい。
図14は、本発明の実施の形態における異なる2つの端末にそれぞれ備えられたデータベースの各データ構成例を示す図である。
この図の例では、その役割(設置位置)が異なる建物側端末110A、110Bにそれぞれ備えられている履歴情報DB114A、114B内のデータ構成が示されている。
各端末の総合DBでは、同一機能を具備した端末であっても、格納されるデータは同一である必要はなく、その端末が担っている役割に対応した情報だけが格納されていてもよい。
各端末は、それぞれ利用目的に応じた機能を備え、その利用目的に応じた内容の情報を格納している。
図に示すように、履歴情報DB114Aは、登録者個人の自宅に設置された建物側端末110Aに備えられ、履歴情報DB114Bは、登録者個人の勤務先の建物に設置された建物側端末110Bに備えられている。
また、これら建物側端末114A、114Bに格納される固有情報データは、自宅又は勤務先の出入口の鍵を開閉させる認証システムを稼動させるために登録されたバイオメトリクス情報を示している。
履歴情報DB114A,114Bに格納される固有情報データは、同一のバイオメトリクス情報である必要はなく、また、基本情報は共通に存在している必要もない。
これから、本実施の形態における各端末は、その端末に要求された役割を利活用するのに必要最低限の情報が格納されてだけでもよい。
図15は、本発明の実施の形態における異なる3つの端末にそれぞれ備えられたデータベースの各データ構成例を示す図である。
この図の例では、建物側端末110、組織側端末120及び集約側端末150にそれぞれ備えられている履歴情報DB114、124、154内のデータ構成が示されている。
各端末にあるデータベースは、異なる種類の端末であれば、格納されるデータは同一である必要はなく、その端末が担っている役割に対応した情報だけが格納されていてもよい。
この図の例では、履歴情報DB114は、登録者個人が通学する学校の建物に設置されている建物側端末110に備えられたデータベースであり、この履歴情報DB114に格納される固有情報データは、校舎の出入口の鍵を開閉させるために登録されたバイオメトリクス情報を示している。
また、履歴情報DB124は、登録者個人が通学する学校内のいずれの場所に設置されている組織側端末120に備えられたデータベースであり、この履歴情報DB124に格納される固有情報データは、学籍簿として利活用させるために登録された情報を示している。
このように、この例においても、本認証システムでの各端末は、その端末に要求された役割を利活用するのに必要最低限の情報が格納されてだけでもよい。
図16は、本発明の実施の形態における認証システムの第2のデータベースの構成例を示す図である。この図では、認証システムサーバ10が管理するデータベースの構成例について示されている。
図10の例では、DB11は、履歴情報DB12と、検証情報DB13と、基礎情報DB14と、可否情報DB15とにより構成されていた。また、履歴情報DB12と、検証情報DB13と、基礎情報DB14と、可否情報DB15とは、それぞれ登録者の情報を、個人別の情報フォルダで管理することが望ましいとしていた。
しかし、この基本概略構成では認証システムサーバ10内で管理する登録者個人が増加するほど、個人別情報フォルダが比例的に増加する。また、各フォルダ内で管理する履歴情報は蓄積されていくため莫大になることが推量される。この結果、読取情報を認証システムサーバ内で照合するまでに長時間かかることが懸念される。
また、検索情報DB16は、認証システムサーバ10又はこの認証システムサーバ10から見て下位に位置する各端末に登録されている全個人情報から、登録者の検索を容易にするために抽出された全登録者の一覧情報を格納する。また、検索情報DB16では、この一覧情報を、総合DB11にある個人別フォルダにリンクさせて管理している。
認証システムサーバ10は、登録者の個人認証を行うときには、下位に位置する端末により読み取られた、又は入力された情報に該当するデータが、検索情報DB16の一覧情報に存在するか否かを検索する。
認証システムサーバ10は、検索情報DB16に該当するデータが存在した場合には、総合DB11内のリンク先の個人別フォルダ内の情報を参照し、認証処理を実行する。
一方、該当データ存在しない場合には、認証システムサーバ10は、その読み取られた又は入力された情報を集約側端末150に送信して、その登録者個人の認証又はその該当データの検索とともに、その認証/検索結果の返信を要求する。また、該当データが存在しない場合には、認証システムサーバ10は、その登録者の情報を読み取った、又は入力した端末に対して認証不可能な旨の回答を送信してもよい。
すなわち、建物側端末では、総合DB111と、可否情報DB115と、検索情報DB116とを並列的に具備する。
組織側端末110は、総合DB121と、可否情報DB125と、検索情報DB126とを並列的に具備する。
また、地域管理側端末130は、総合DB131と、可否情報DB135と、検索情報DB136とを並列的に具備する。
また、中継側端末140では、総合DB141と、可否情報DB145と、検索情報DB146とを並列的に具備する。
また、集約側端末150は、総合DB151と、可否情報DB155と、検索情報DB156とを並列的に具備する。
また、末端側端末160は、総合DB161と、可否情報DB165と、検索情報DB166とを並列的に具備する。
図17の(a)は、建物側端末110の下位に並列して末端側端末160A,160B,160Cが接続される構成例を示す図である。また、図17の(b)は、この構成例における建物側端末110が管理する検索情報DB116のデータ構成例を示す図である。
以下、これらの図を用いて、勤務先に建物側端末110が設置されるとともに、その勤務先の施設内に、その勤務先の従業員により操作される末端側端末160A〜160Cが設置されるときの、検索情報DB116のデータ構成について説明する。
ここでは、末端側端末160Aは正面玄関、末端側端末160Bは通用口玄関、末端側端末160Cは金庫室にそれぞれ設置されているものとする。
・個人識別ID:登録者(従業員)の個人別フォルダの名称、検索情報DB116とのリンク情報
・登録者氏名:従業員の氏名情報
・情報1:正面玄関出入りのため利用される、本人確認用バイオメトリクス情報
・情報2:通用口玄関出入りのため利用される、本人確認用バイオメトリクス情報
・情報3:金庫室出入りのため利用される、本人確認用バイオメトリクス情報
図18は、本発明の実施の形態における認証システムの第3のデータベースの構成例を示す図である。この図では、建物側端末110が管理するデータベースの構成例について示されている。
図に示すように、建物側端末110は、総合DB111と、この建物側端末110により読み取られた(入力された)個人情報又は他の端末から受信した個人情報を一時的に保管する一時保管DB117とを並列的に具備する。
以下同様に、認証システムサーバ10内には、総合DB11と、一時保管DB17とを並列的に具備する。
組織側端末120では、総合DB121と、一時保管DB127とを並列的に具備する。
地域管理側端末130では、総合DB131と、一時保管DB137とを並列的に具備する。
中継側端末140では、総合DB141と、一時保管DB147とを並列的に具備する。
集約側端末150では、総合DB151と、一時保管DB157とを並列的に具備する。
末端側端末160では、総合DB161と、一時保管DB167とを並列的に具備する。
また、図19は、本発明の実施の形態における認証システムの第4のデータベースの構成例を示す図である。この図では、建物側端末110が管理するデータベースの構成例について示されている。
建物側端末110内に、総合DB111と、可否情報DB115と、検索情報DB116とが存在する場合には、これらのデータベースと一時保管DB117とが並列的に具備されることになる。
なお、他の端末やサーバにおいて可否情報DB及び検索情報DBを備える場合も同様の構成となる。
一時保管DB17,117,127,137,147,157,167は、各端末にて読み取られた又は入力された個人情報や、他の端末より受信した個人情報を、処理を実行するまでに一時的に保管するためのデータベースである。
この保管動作としては、以下の(1)〜(5)が挙げられる。
(1)個人認証を行うために、認証システム内で検索されている待ち時間に保管
(2)当該端末又は当該端末に繋がった端末で利活用されるまで保管
(3)当該端末又は当該端末に繋がった端末で個人別フォルダ等に格納されるまで保管
(4)当該端末又は当該端末に繋がった端末でバックアップして格納するまで保管
(5)処理内容が(1)〜(4)のいずれか判定不能なため、未処理情報として保管
一時保管DBは、情報の恒久的な保管場所ではない。また、目的の不明な情報が長時間放置されることは、認証システムによる情報処理への負荷と情報流出リスクの観点から望ましくない。このため、当該端末又は当該端末に繋がった端末で何らかの処理される平均時間や処理工程等を勘案して時間計算し、一時保管DBより自動的に消去される時間設定や、一時保管DB自身が一定時間毎に全消去されることが望ましい。
認証システムは、以上のような基本構成を備え、具体的には以下のような登録者の個人認証動作を行う。
図20は、本発明の実施の形態における認証システムによる登録者の個人認証処理の流れを示すシーケンスチャートである。
このシーケンスチャートでは、末端側端末160がバイオメトリクス情報を読み取り、建物側端末110がその読み取られたバイオメトリクス情報に基づいて登録者の個人認証を行う。
なお、このシーケンスチャートには、建物側端末110が検索情報DB116を備えていない場合の認証動作の流れが示されている。
末端側端末160は、その読み取ったバイオメトリクス情報を建物側端末110に送信する(ステップS2)。
建物側端末110は、自身内に設けられた総合DB111の基礎情報DB114に情報を送り、末端側端末160より送られた情報に対応する情報が管理されているか検索を実行する(ステップS3)。
基礎情報DB114に該当情報が存在しない場合、建物側端末110は、更に履歴情報DB112を検索する(ステップS4)。
検索の結果、当該情報を確定できた場合、建物側端末110は、末端側端末160より受信した情報と照合し、認証の判定を行うこととなる(ステップS5)。
建物側端末110は、この照合の結果を末端側端末160に回答する(ステップS6)。
このシーケンスチャートにおいても、末端側端末160がバイオメトリクス情報を読み取り、建物側端末110がその読み取られたバイオメトリクス情報に基づいて登録者の個人認証を行う。
なお、このシーケンスチャートには、建物側端末110が検索情報DB116を備えている場合の認証動作の流れが示されている。
末端側端末160は、その読み取ったバイオメトリクス情報を建物側端末110に送信する(ステップS12)。
建物側端末110は、自身内に設けられた検索情報DB116に情報を送り、末端側端末160より送られた情報に対応する情報が、検索情報DB116内に管理されているか否か検索を実行する(ステップS13)。
検索の結果、当該情報を確定できた場合、建物側端末110は、検索情報DB116内の該当情報にリンクされている総合DB111内の情報を参照し(ステップS14)、認証の判定を行う(ステップS15)。
建物側端末110は、照合の結果を末端側端末160に回答する(ステップS16)。
これら、登録者の認証時などに各端末やサーバ間で送受信される情報を移動情報といい、例えば、この移動情報は、以下の情報を含む。
1.空間情報(端末に付された端末識別ID,認識番号)
2.認証対象人物の個人識別ID
3.認証を行った時期を示す時間情報、または個人情報(バイオメトリクス情報)が読取/入力された時期を示す時間情報
4.実在認証の結果、「認証されている」ということを示す情報
各端末やサーバは、上記の1〜4の各項目の情報を全て受信した時点で、可否情報DBを用いて認証処理を開始するようにすることが望ましい。これにより、不十分な情報だけで認証を行い、信頼性に欠ける認証結果が出ることを防ぐことができる。
また、本認証システムは、各端末やサーバでその都度行われた認証に用いた各種情報及びその結果を登録者ごとに連結させ、その登録者個人にとっての一筋の情報の流れ、すなわち行動履歴を作成及び管理する。
例えば、上記の1〜4の各種情報の例では、1〜3で、「その認証対象人物が今どこにいるのか」を特定し、4で「その認証対象人物が実在する登録者本人であるか」を特定している。
なお、以下、移動情報には、前述の1〜4の各種情報のうち、1.空間情報と3.時間情報は必ず含まれているものとする。
以下、本認証システムを初めて利用しようとする人物の利活用開始までの流れについて第1〜第3段階に分けて説明する。
図22は、本発明の第1の実施の形態において、登録者が自身の履歴情報を初めて末端側端末160やサブサーバ群に登録するときの認証システムの動作例を示すシーケンスチャートである。
以下、この図を用いて、この認証システムの利活用を希望する人物による個人情報の登録処理について説明する。
ここでは、末端側端末160とサブサーバ群(建物側端末110、組織側端末120、地域管理側端末130及び中継側端末140)を、1つのユニットとして説明する。
このバイオメトリクス情報は、当該末端側端末160又は当該末端側端末160に繋がったサブサーバ群を利用するのに必要なもの、又は利用するのに効率がよいものであることとする。例えば、建築物にドアから入場しようとする場合、通常、そのドアノブを掴むことが多いことから、そのバイオメトリクス情報を読み取る末端側端末160が、建築物等のドアノブに設置されているときには、そのバイオメトリクス情報を指紋とすることで、その読み取りが容易となる。
また、このとき、登録者個人の登録状況を認証システム内で検索することを容易にするために、登録者個人の住民基本台帳通知番号を入力するようにしてもよい。なお、住民基本台帳通知番号が不明な場合や、今回の登録時点で入力したくない場合には、パスポート番号、運転免許証番号又は住民基本台帳カード番号など代用の番号を入力してもよい。
なお、この際、末端側端末160に文字入力機能が付帯されていない場合や、読取機能が特定種別に限定されている場合には、当該末端側端末160に繋がった上位サブサーバ群や、そのサブサーバ群に繋がった別の末端側端末160にて処理を行うこともできる。
なお、この処理の詳細に関しては、上述の図20又は図21に示した動作と同様である。
この末端側端末160が一時保管DB167を有しない場合には、検索情報DB166や総合DB161に、この情報を、当該末端側端末160で初めて読み取った又は入力した情報である旨が判別できるようにして格納しておくものとする。
サブサーバ群は、検索結果として自機内に受信した登録者の個人情報がない、すなわち、当ユニット内では、登録者個人が未登録であることを確認した上で、登録者個人の個人情報を格納する個人別フォルダを作成する(ステップS27)。
末端側端末160は、読取/入力情報を個人別フォルダに「仮個人識別ID」と共に格納し、登録する(ステップS31)。この際、末端側端末160は、総合DB161が必要とする情報又は格納可能な情報のみを総合DB161の個人別フォルダに登録し、不要な情報を消去する(ステップS32)。
この第1段階の処理により、本認証システム利活用のための認証用比較情報が発生することとなる。
図23は、本発明の第1の実施の形態において、サブサーバ群が初回登録完了後に、本認証システム内で名寄せ処理を実行する時の動作例を示すシーケンスチャートである。
以下、この図に沿って、第1段階で個人情報を登録した後の名寄せ処理について説明する。
なお、名寄せ処理とは、認証システムの各端末やサーバにおける登録者個人の登録状況を確認し、1人の登録者に対して複数の異なる「個人識別ID」や「仮個人識別ID」が割り振られているとき、同一の登録者に対する個人識別IDを1つに統合して、管理する処理をいう。
前述の第1段階の登録処理では、登録者個人は当該ユニット内では未登録であることを確認できたが、本認証システム全体では既に登録がされている可能性もある。この名寄せ処理を行うことにより、登録者個人の重複登録を回避し、検索や認証処理の実行効率を向上させることができる。
抽出完了後、サブサーバ群は、抽出情報と、名寄せのために検索を依頼する旨の情報と、を上位端末である集約側端末150が認識できるようにした上で、集約側端末150に対して送信する(ステップS42)。
集約側端末150は、情報が存在していた場合には(ステップS44/Yes)、登録が既にされている旨を示す情報と、正式な個人識別IDと、をサブサーバ群に送信する(ステップS45)。
また、サブサーバ群は、当該情報に関わる末端側端末160に対して、正式な個人識別IDを送信し、同様に個人識別IDの変更を行わせる(ステップS47)。
集約側端末150は、受信した情報を個人別フォルダに「仮個人識別ID」と共に格納し、登録する(ステップS49)。また、集約側端末150は、検索情報DB156を有する場合には、検索情報DB156に対して必要な情報を個人別フォルダよりコピーして格納する。この際に、個人別フォルダと検索情報DB156との間にリンクが設定される(ステップS50)。
認証システムサーバ10は、情報が存在していた場合には(ステップS53/Yes)、登録が既にされている旨を示す情報と、正式な個人識別IDとを集約側端末150に送信する(ステップS54)。
また、当該情報に関わるサブサーバ群と末端側端末160に対して、正式な個人識別IDを送信し、同様に個人識別IDの変更を行わせる。
認証システムサーバ10は、受信した登録者の個人情報を元に正式な個人識別IDを登録者個人に付与する(ステップS56)。認証システムサーバ10は、受信した情報を個人別フォルダに「個人識別ID」と共に格納し、登録する(ステップS57)。また、検索情報DB16を有する場合には、検索情報DB16に対して必要な情報を個人別フォルダよりコピーして格納する。この際に、個人別フォルダと検索情報DB16との間にリンクが設定される。
また、この送信に併せて、登録者個人は本認証システム内で初回登録者であり、実在検証が必要な旨の情報を送信する。
そして、サブサーバ群は、その個人識別IDに置き換えられた登録者が保有する端末(PCや携帯端末など)に対して、その新たな個人識別IDと、以後本認証システム利活用時にこの個人識別IDが必要不可欠であるメッセージ情報とを送信して、通知する(ステップS60)。
特に、一人の個人情報が複数の個人フォルダに分断されると、利活用頻度の低い又は利活用されない履歴情報を格納した個人フォルダが放置され、不正利用の温床となる懸念性を生ずる。しかし、名寄せを実行することで、これらのリスクを最小限度にすることが可能となる。
名寄せ作業の結果、古い個人フォルダが発見された場合は、発見された個人フォルダの格納履歴情報等を全て新個人フォルダに移し変えるか、新旧フォルダを互いにリンクさせるように設定し一体管理して、格納情報の散逸を防止する。
図24は、本発明の第1の実施の形態において、登録者が自身の個人情報を初めて登録した後に、登録者個人が実在する人物であるか、また登録情報が真正なものであるかを、検証処理を実行する時の動作例を示すシーケンスチャートである。
本認証システムでの登録者個人は、初回登録から一定時間経過までに登録者個人の実在検証処理が実行される。
以下、この図に沿って、第1及び第2段階における個人情報の登録、名寄せ処理の後に実行される、登録者個人の実在検証処理について説明する。
また、個人情報の読み取り、又は入力時に、可能な限り登録者個人以外の人物が立会い、情報の改ざん、変更又は不正取引が行われていないことを確認する。次に、立会者の証言や、読み取り、又は入力処理を電子画像・電子映像・電子音声等により各サーバや端末に保存するようにしておく。このとき、例えば、パスポートであれば外務省、運転免許証であれば発行警察署、勤務先であれば会社名、といった問合せ先の所在地や電話番号等も電子化されて同様に各サーバや端末に保存されていることが望ましい。
なお、これらステップS62、S63の処理に自動的に連動して、「検証処理は集約側端末で実行中」の注意情報が、サブサーバ群又は末端側端末160にて表示されるようにしておくことが望ましい。このようにすることにより、各端末で二重処理が起こることを防止することができる。
ここで、具体的には、集約側端末150は、真正を確認した情報が確認先側端末80側で真正な情報であるのか、または真正な証拠物に基づいたものであるのかについて回答を求める。
なお、本実施の形態では、登録者個人が提出した証拠物(合格証、認定証、証明証などの画像・映像など)の発行団体または関係者に対し、電子画像・電子映像・電子音声などを公開し、その証拠物の真正および登録者個人の実在確認の回答を求めることの承諾を、認証システムの運営側が登録者個人から得ているものとする。
また、公的証明物に関しては、登録者の識別IDや暗証番号等の情報を各サーバや端末から入力することで、容易に状況確認できるようになっているものとする。
ここで、比較する情報としては、例えば、集約側端末150から送信されてきた登録者個人の合格証、認定証、証明証などの画像・映像などの電子情報と、確認先側端末80に既に格納されている登録者個人の履歴情報、証拠物又はその登録者に関係する人物の証言とがあげられる。
なお、確認先側端末80が証拠物が不当である又は存在しないと判断した場合には、「誤っている」又は「存在しない」旨の回答情報と、この判断に関わった回答者を示す情報とを集約側端末150に送信する(ステップS68)。
また、当該Webサイト上の画像・映像などでは判断が困難な場合、「判断ができない」旨の回答情報と回答者特定を確認先側端末80により集約側端末150に対して行う(ステップS68)。
その際、情報に検証度合いに応じ、例えば「検証確認、真正」や「検証未実行」という結果を示す情報を格納する。
ここで、検証結果により、実在性を確認できた場合には、集約側端末150は、関連するサブサーバ群又は末端側端末160に結果を通知すると共に、認証システムサーバ10に対して検証情報DB153の内容を送信するようにする。
一方、検証処理の結果、登録者本人であることの実在が確認出来なかった場合は、登録者本人以外の第三者による、なりすましや情報の捏造等の疑いがあるため、今回検証を受けた人物に対する認証システム利活用を停止させる。また、異常データ発生の旨を関係機関に通知し、公的捜査の実行又は認証システム利活用停止等の安全対策を行うこととする。
なお、集約側端末150は、登録者個人が検証を拒否した場合や検証に必要な情報を提供しなかった場合には、その旨を基礎情報DB154や検証情報DB153に登録する。また、情報に不備等があり検証処理が遅れている、又は再検証処理になった場合も、集約側端末150は、その旨のメッセージ情報を同様に表示するものとする。
また、登録者個人が第三者の立会いの下、情報の取得から検証処理実行までを実行するため、情報の改ざんや変更、不正取引を防止することが可能となる。
また、この例では、確認先側端末80が、その依頼を受けて実際に検証を行っていたが、検証処理を実行可能な機能を有していれば、その他の認証システムを構成する各端末やサーバが検証処理を実行するようにしてもよい。
このように、検証処理を実行する端末やサーバを複数設けることにより、1つの機器に全ての検証処理が集中することを防ぎ、その処理の負荷を軽減させることができる。
このことで、会社、学校、病院又は入国管理等の様々な組織や個人でその実在性の検証を行うことができ、検証処理が1箇所の機関に集中し、処理が滞ることを防止することが可能となる。
また、本実施の形態では、登録者個人に対して、その登録された個人情報に基づいて実在性を認証するか、又は本人の登録個人情報を数値化して実在点数、実在率又は実在格付けで評価し、認証度合いを客観化することで、認証システムを利活用する全ての登録者又は登録者が属する法人・学校・団体等に対して、セキュリティの高いサービスの提供することが可能となる。
このことで、インターネットのように、悪意ある人物が容易に「なりすまし」や「架空の人物」として利活用を行うことを、本認証システムでは、登録の初期段階で防止することが可能となる。
そして、その数値化した実在性の正当さに基づいて、この認証システムの利用範囲(端末やサーバ等の機器、場所、時間等)を制限することができ、認証システムのより安全な運営を実現することができる。
この実在点数とは、認証システムに自身の個人情報を登録した登録者の実在性に対する信頼度を示す指標である。なお、この「実在性」とは、その人物(登録者)が架空の人物ではなく実際に実在する人物であることを意味する。
この実在点数は、その登録者が認証システムに自身の個人情報を登録した際に用いた身分証明と実在証明に用いられるものに基づいて計算されるものであり、その身分証明に用いられたものが信頼に足る種類のものであればあるほど、又はその身分証明に用いられたものが多ければ多いほど、又はその身分証明に用いられたものの固有性が高いほど、その実在点数は高い値となり、信頼性も高いものと判断される。例えば、この身分証明に用いられるものとしては、運転免許証、パスポートといった身分証明書又はバイオメトリクス情報といった登録者固有の情報がある。
また、この実在点数は、登録者の個人情報の登録後に、その登録者が認証システムを利活用する際に、認証のためにシステム側に提示するものに基づいても計算される。この認証時に提示するものも同様に、そのものが信頼に足る種類のものであればあるほど、又はその身分証明に用いられたものが多ければ多いほど、又は、その身分証明に用いられたものの固有性が高いほど、その実在点数は高い値となり、信頼性も高いものと判断される。例えば、この認証時に提示するものとしては、バイオメトリクス情報又は後述する情報携帯可能物(ICカード、ユビキタス・コミュニケーター又は携帯電話等)がある。
なお、前述した身分証明に用いられるもの及び認証時に提示するものをまとめて、以下、登録情報ということとする。
まず、認証システムサーバ10は、登録者個人の登録情報の種類を点数に換算する。
次に、認証システムサーバ10は、この点数に対し、それぞれ登録時間情報、検証結果情報、有効期限情報及び検証作業実施時期からの経過時間を示す情報(以下、検証経過時間情報とする)に付された配点を掛け合わせ、登録情報ごとに獲得点数を計算する。
そして、認証システムサーバ10は、その登録者に係る登録情報の種類ごとに、個々に、この獲得点数を計算していく。
認証システムサーバ10は、これら各登録情報ごとに計算した獲得点数を、当該登録者個人ごとに合計して、実在点数を算出する。
例えば、この図の例では、
・登録項目(前記登録者に係るデータが示された証明物の種類)(公的証明物:9点、準公的証明物:5点、その他の証明物:1点)
・検証結果情報(検証できた:3点、検証ができない:1点)
・登録時間情報(データベース11に登録してから経過した時間)(1ヶ月以内又は不変:9点、1ヶ月〜3ヶ月:5点、3ヶ月〜6ヶ月:3点、6ヶ月〜1年:2点、1年を超える:1点)
・検証時間情報(検証してから経過した時間)(1ヶ月以内又は不変:9点、1ヶ月〜3ヶ月:5点、3ヶ月〜6ヶ月:3点、6ヶ月〜1年:2点、1年を超える:1点)
・有効期限情報(証明物の有効期限)(期限内:3点、期限がない:3点、期限経過:1点)
と示されており、これらの値を掛け合わせることにより実在点数が算出される。
図26は、本発明の第1の実施の形態における認証システムによるリスク率勘案点数の計算方法の一例を示す図である。
この図に示すように、リスク率勘案点数は、前述の実在点数に(1−リスク率)を掛けることにより計算される。
このリスク率は、以下に示す各種リスクを0〜1(リスクが最も高いときは1、最も低いときは0)で表したものである。
(1)登録される情報に起因するリスク
社員証、普通郵便物の封筒、源泉徴収票など容易に偽造・変造が可能なものを情報として活用する場合に発生するリスク
(2)検証方法に起因するリスク
確認先実在性未確認なままでの検証作業、証人だけでの検証作業など検証方法に内在するリスク
(3)その他のリスク
カントリーリスク(国の政治・経済・社会の不安定化から生じるリスク)や識別時点では識別分野が不明なため判別できるまで仮に付与するもの
この信用評価度数は、登録者の実在性を証明した人物又は団体、あるいは実在性証明に用いた身分証明書等の発行機関の信用度を0〜1(信用度が最も高いときは1、最も低いときは0)で表したものである。
この登録者の実在性を証明したのが人物である場合には、この信用評価度数は、例えば、その人物の知名度や社会的地位が高いほど、高く決められるようにしてもよい。また、その人物が、登録者を客観的に評価できる人物か否かによりその信用評価度数を決めてもよく、例えば、その人物が登録者の家族の場合は低く設定し関係の薄い第三者的な人物であれば高く設定するようにしてもよい。
また、この登録者の実在性を証明したのが団体である場合には、その団体が公的なものか私的なものか、又はその会社等の資本金、設立年、社会的影響力の高さ等に応じて決められるようにしてもよい。例えば、公的な団体の方が私的な団体よりも高く設定し、資本金の高い団体、設立年の古い団体、社会的影響力が高い団体ほど高く設定するようにしてもよい。
また、既往行動パターンの整合率とは、登録者の過去の行動パターンに対して、最近の同一登録者の行動パターンがどれぐらい一致しているかを示す指標である。具体的には、認証システムサーバ10は、自機のデータベース内に格納されている、ある登録者の履歴情報や移動情報(時間・場所)に基づいて、登録者がどの時間帯のどの順でどの場所に行くといった行動パターンを検出し、その一致した割合を行動パターンの整合率として算出する。
実在率=1−リスク確率
例えば、リスク確率30%の場合、
実在率=1−30%=0.7
実在率(%)=リスク率勘案点数/実在点数×100
このうち、リスク率勘案点数は以下のように計算される。実在点数を算出する際に用いた獲得点数に、前述のリスク確率を基に計算した存在率を掛け合わせて基礎点数を算出し、これら基礎点数を当該登録者分で合計してリスク率勘案点数を算出する。
また、実在点数については前述のものと同様である。
この式2においては、値の信頼性の観点から、実在点数は少なくとも2以上の獲得点数の総計として計算され、リスク率勘案点数は少なくとも2以上の基礎点数の総計として計算されることが好ましい。
図27は、この式2による基礎点数の計算例を示す図である。
図に示すように、式2における基礎点数は、獲得点数に情報起因リスク、検証起因リスク及びその他リスクを掛け合わせて算出される。
実在率(%)=信用評価勘案点数/実在点数×100
図28は、この信用評価勘案点数の計算方法を示す図である。
以下、図を用いて、この信用評価勘案点数の計算方法を説明する。実在点数を算出する際に用いた獲得点数に、前述のリスク確率を基に計算された存在率を掛け合わせ、基礎点数を算出する。この基礎点数に、決定された信用評価度数を掛け合わせ、信用評価勘案点数を算出する。
また、実在点数については前述のものと同様である。
この式3においては、値の信頼性の観点から、実在点数は少なくとも2以上の獲得点数の総計として計算され、信用評価勘案点数は少なくとも2以上の信用評価点数の総計として計算されることが好ましい。
図29は、式3における信用評価勘案点数の計算例を示す図である。
図に示すように、信用評価勘案点数は、基礎点数に対して、登録者の実在性を証明した人物や団体(弁護士、教師、大企業、友人等)に応じて決められている信用評価度数を掛け合わせて算出される。
この式4を適用するケースにおいては、日頃登録者が日常で繰り返している行動パターンを、その時間帯又は場所ごとに分類して認証システムサーバ10に予め登録しておくものとする。
そして、認証システムサーバ10は、登録者の実際の行動パターンを抽出すると、この抽出した行動パターンと前述の登録済みの行動パターンとを比較し、一致した率が高ければ、実在率(%)が高い値となり、その登録者の実在性が高いと評価される。
以下、式4の実在率の計算方法を具体的に説明する。
まず、認証システムサーバ10は、一定期間(例えば、過去一年間という条件設定)において、ある登録者の行動パターンを時間帯又は場所に基づき抽出して分類し、これら分類した各行動パターンが、その一定期間内でどれくらい行われたか、その回数を計数し自身に登録しておく。
次に、認証システムサーバ10は、直近の一定期間(例えば、直近一週間という条件設定)の行動パターンを同様に、時間帯又は場所に基づき抽出して分類し、各行動パターンの回数の計数を行う。
そして、認証システムサーバ10は、これら分類した各行動パターンごとに、マイニング率を計算する。このマイニング率は、以下の式で計算される。
検証基マイニング率=一定期間内回数/一定期間日数
対象先マイニング率=直近の一定期間内回数/直近の一定期間日数
マイニング率(%)=対象先マイニング率/検証基マイニング率
次に、認証システムサーバ10は、少なくとも2以上のマイニング率を合計してマイニング点数を計算する。
そして、認証システムサーバ10は、以下の式ように、このマイニング点数を分子とし、加算計算したマイニング率の個数を分母として実在率(%)を計算する。
実在率(%)=マイニング率の合計/加算に使用されたマイニング率の個数
図30は、この式4の計算例を示す図である。
以下、図を用いて、式4による計算方法の具体例について説明する。
この例において、行動パターン(1)は、「150A」→「150E」→「150H」→「150P」の順である登録者が各ユニット間を移動するというものである。この行動パターン(1)は、その登録者により6ヶ月間で120回で繰り返され、直近の45日間で32回繰り返されている。
これから、検証基マイニング率=120÷180=0.67
対象先マイニング率=32÷45=0.71
マイニング率=0.71÷0.67=1.06
と計算される。
同様に、行動パターン(2)のマイニング率は0.65、行動パターン(3)のマイニング率は1.17と計算される。
以上から、実在率=(1.06+0.65+1.17)÷3=0.96=96%と計算される。
式1〜3によって算出した各実在率に、式4によって算出した実在率を掛け合わせ、各実在率を算出とする。
実在率(%)=(式1から式3で計算した実在率)×(式4で計算した実在率)
この図に示す例では、実在率が高い登録者ほど、証拠物を所持せずに自動的に電子環境で各種サービスの提供を受けることが可能なことを表している。
認証システムを構成する各端末やサーバは、この図に示すような相関関係を示す情報を格納しており、この認証システムを利用しようとする人物の実在率に基づいて、この認証システムの利用を制限する。
実在率の高い登録者であれば、その登録者と認識される人物が認証システム内で行う各種手続は、制限を受けることが少なくされる。
一方、登録者の実在性が低いほど、他人による「なりすまし」の可能性が高くなるため、当該識別IDで示されている登録者個人に侵害が生じた場合、その損害が最小となる程度に認証システムの利用制限を行うことが望ましい。
以下では、登録者が実在する確かさを点数化した実在率、実在格付け、実在点数等と、利活用可能な機能との関係を「機能マトリクス」という。
認証システムにおける各端末やサーバは、これらの実在性の検証結果(検証成功の有無、回数、項目など)に基づいて、各登録者の実在性の信頼度を点数化して計算し、この実在性の信頼度の情報を、登録者ごとにデータベースに格納しておくようにしてもよい。
この実在性の信頼度の情報は、登録者の認証の際に、その認証の材料として用いられてもよい。例えば、その認証を受けている人物が、実在確認がとれた、実在性点数の多い、実在性率の高い人物であるかどうかを、各端末やサーバは、その実在性の信頼度に基づいて認証システム利活用時に確認して、認証を行うようにしてもよい。
例えば、特殊施設へ入場するとき、実在性の信頼度の高い人物は、容易にその施設への入場処理が実行される。一方、実在性の信頼度が低い人物に対しては、認証の回数を増やしたり、様々な種類の情報に基づいて認証を行ったりして、多角的な実在検証を行うことで、認証システム運営のリスクの軽減を図ることができる。
認証システムサーバ10は、実在率を計算すると、その計算した実在率に応じた一定の記号や文字情報を、その実在率を計算した人物の個人識別IDに自動的に付与するようになっていればよい。
登録者が認証システムを利用しようとするときに、各端末やサーバは、その図に示す受発信時に個人識別ID情報を参照することにより、その登録者の実在率が、どのレベルにあるのかを容易に判断できるようになる。
これにより、各端末やサーバは、各登録者の登録情報を全て検索することなく、個人識別IDに対応付けた、実在性の範囲を示すセグメント情報を参照することにより、可否情報の送信や一定動作の承諾等を容易に行うことが可能となる。
また、本実施の形態では、その認証システム内で送受信される個人情報に、端末識別IDが対応付けられているため、その情報の送信元を容易に特定できることは言うまでもない。
また、登録者が個人識別IDを取得するときには、証拠物・証人・バイオメトリクス情報等により、多面的にその登録者の実在性を検証し、その登録者が実在する人物か判断した上で登録しているため、情報の送信元の特定が困難なインターネットにおいても、その特定を容易かつ確実に行うことができる。
この認証システムは、個人識別IDを軸に情報の交換を行うため、認証システム内に不測な事態が発生した場合、原因者を容易に特定することが可能である。
(既存登録者の再度の登録処理1)
本実施の形態では、第1の実施の形態において、一度個人情報を登録した登録者が、その登録に用いた端末と別の端末に登録する場合の流れを説明する。
図33は、本発明の第2の実施の形態において、登録者が一度登録した端末以外の別の末端側端末に自身の履歴情報を初めて登録する時の認証システムの動作例を示すシーケンスチャートである。
次に、末端側端末160は、その個人情報をサブサーバ群に送信する(ステップS75)。その個人情報を受信したサブサーバ群は、自身の総合DBや検索情報DB内を検索し、その個人情報がそれらデータベースに登録済みであるか否かを判断する(ステップS76)。
また、そのサブサーバ群が検索情報DBを有する場合には、検索情報DBに、必要な情報を個人別フォルダよりコピーして格納する。この際に、個人別フォルダ内の個人情報と検索情報DB内の情報との間にリンクが設定される(ステップS78)。
末端側端末160は、情報を個人別フォルダに個人識別IDと共に格納し、登録する(ステップS80)。
その後、第1の実施の形態と同様に、不必要なデータを消去し(ステップS81)、検索情報DB167への登録を行う(ステップS82)。
(既存登録者の再度の登録処理2)
ここで、「ユニット」について説明する。ユニットとは、1つの上位端末とその端末に管理される1以上の下位端末からなる構成率位を指すものとする。
すなわち、「同一ユニットの端末」とは、同一の端末の管理下の端末同士をいい、「別ユニットの端末」とは、互いに異なる端末の管理下にある端末同士をいう。
なお、「ユニットで利活用する」とは、登録者が、そのユニットを構成するいずれかの端末から前述の錠の開閉等の各種サービスを受けることをいう。
第2の実施の形態では、登録者は、同一ユニットの端末に再度個人情報の登録を行っていた。これに対し、本実施の形態では、別ユニットの端末に個人情報の再度の登録を行う場合について説明する。
その後、集約側端末150は、今回の登録に関わるサブサーバ群と末端側端末160に対して個人識別IDを送信し(ステップS106)、同様に個人識別IDの変更を行わせる(ステップS107)。なお、これ以降については第1の実施の形態同様である。
(既存登録者の再度の登録処理3)
本実施の形態においても、第3の実施の形態と同様に、登録者が別ユニットの端末に個人情報を再登録するときの認証システムの処理について説明する。
ただし、第3の実施の形態では、この再登録のとき、登録者本人は自分の個人識別IDを認識していなかったのに対し、本実施の形態では、認識済みであるものとする。
図35は、本発明の第4の実施の形態において、登録者が登録したユニットと別ユニットを構成する末端側端末に自身の履歴情報を初めて登録する時に、登録者個人が個人識別IDを認識している場合の認証システムの動作例を示すシーケンスチャートである。
以下、この図を用いて、説明を進める。
ここで、登録者は、以前に個人情報を登録したことがある場合、今回の個人情報の登録の際に、通常の登録処理に加え、以前に割り当てられた個人識別IDを末端側端末160に入力する。
なお、登録者に個人識別IDがすでに割り振られているので、末端側端末160は、その個人情報をIDに対応付けて格納する。
集約側端末150でも、前述のステップS113〜S115と同様な処理を実行する(ステップS116〜S118)。
例えば、この検証処理において、認証システムサーバ10は、自機内のデータベースにある個人情報と、受信した個人情報とを比較検証するようにしてもよいし、確認先側端末80に対して照会し、確認先側端末80からその検証結果を受信するようにしてもよい。
認証システムサーバ10は、その検証の結果、登録者が、正当な登録者として登録済みの登録者と同一であり、実在すると判断した場合には(ステップS122)、検証結果と当該個人識別IDを利用するべき旨の情報を集約側端末50に通知する(ステップS123)。
以下同様に、サブサーバ群、末端側端末160に通知される(ステップS124、S125)。
(登録者の随時実在検証処理)
図36は、本発明の第5の実施の形態において、認証システム利活用を行っている任意の時間に登録者個人が実在する人物であるか、また登録情報が真正なものであるかを、検証処理を実行する時の動作例を示すシーケンスチャートである。
以下、この図に沿って、集約側端末150が、登録者の実在性を検証するものとして説明する。
サブサーバ群は、登録者個人の実在検証を追加して行うことを依頼する情報と、個人識別IDと、新たに登録された情報と、を集約側端末150へ送信する(ステップS132)。この際、今回の送信処理に自動的に連動して、「検証処理は集約側端末で実行中」の注意情報がサブサーバ群にて表示されるようにしておくことが望ましい。この対応により、各端末で二重処理が起こることを防止する。
真正が確認できた場合、履歴情報DB152及び検証情報DB153のそれぞれ所定欄に、日時や照合結果や照合者等の情報と共に格納する。これ以降のステップS134〜S139の処理については第1の実施の形態の処理(ステップS65〜S70)と同様である。
なお、集約側端末150に、今回受信した登録者個人の基本情報又は履歴情報と同一種類の既往情報が存在する場合には、受信した情報と存在する情報とを比較検討して照合する。
この検証処理の結果、登録者本人の実在率や実在点数が変動あった場合には、その新結果を個人識別IDに対応付けられている実在率を示す情報や、図26で示した利活用ランクに反映させることが必要である。
また、集約側端末150と同様に、認証システムサーバ10は、今回受信した登録者個人の基本情報又は履歴情報と、同一種類の既往情報が自機内のデータベースに存在する場合には、受信した情報と存在する情報とを比較検討して照合することも実行してもよい。これは、集約側端末150に存在しないが、認証システムサーバ10には他の集約側端末150を通じて登録されていることも考えられるためである。
そこで、認証システムサーバ10は、新たな実在検証結果を従来の実在データに点数化して必要な計算を実行する(ステップS141)。
この結果、個人識別IDに対応付けられている実在率を示す情報や、図26で示した利活用ランクに変更が生じた場合には、認証システムサーバ10内の当該データを変更する(ステップS142)。
次に、変更を行った旨と新データとを集約側端末150やサブサーバ群に通知する(ステップS143)。
このように、上位端末やサーバが、常時、個人実在の検証を繰り返したり、多面的に判断したりすることにより、その精度が高まると共に、第三者によるなりすましや架空の人物となることが難しくなってくる。また、各下位端末の検証処理も軽減できる効果もあるのは当然である。
登録者の実在性を検証するとき、認証システムは、具体的には次の2つの処理を行う。
まず、第1の検証処理では、各端末やサーバは、認証システムのデータベースに格納されている既存の個人情報と、読み取った又は入力された情報と、が同一性を有しているか、又はしきい値以内であるかを判断して、登録者の実在性を検証する。
また、第2の検証処理では、各端末やサーバは、新たに読取/入力した情報と、認証システムのデータベースに格納されている既存の個人情報又は認証システム内の他の端末に存在する情報とが、時間情報及び空間情報の2点で整合性を有しているか否かを判断して、登録者の実在性を検証する。
この第2の検証処理では、各端末やサーバは、個人を特定するための個人情報(バイオメトリクス情報等)の読取/入力時期及び位置に基づいて、登録者による認証システム内で不正利活用の有無を検証することに加えて、各端末やサーバの存在意味や使用目的等を集積して、その検証を行う。
例えば、東京都千代田区丸の内で13時00分にATMにて銀行口座より現金引出しを行った人が、13時10分に東京都新宿区西新宿でバイオメトリクス情報による認証により図書館を利用することは、現在のところ不可能である。これは、時間情報上での不整合を表す。
一方、東京都千代田区丸の内の病院で10時00分に集中治療室管理を伴う手術を受ける認識がされていた場合、17時00分に京都府京都市内のATMにて銀行口座より現金100万円の引出しを行うことはありえない。これは、病院の集中管理室という場所で認識され、入院をしているという状態を示す端末目的との空間情報上での不整合を表す。
認証システムの各端末やサーバは、その設置場所を示す情報と、その設置場所の周囲の交通機関情報(周囲の駅や停留所の位置、時刻表等の情報)とを格納しているので、各端末間の移動に要する時間を計算することができる。
例えば、東京・新宿間を鉄道やバスで移動する場合、端末の直前稼動地の東京都千代田区丸の内に近接した複数の駅から、端末の最新稼動地の東京都新宿区西新宿に近接した複数の駅まで移動するときに、各端末やサーバは、その時間に乗車できる交通手段を検索し、乗車所要時間を加算計算する。
また、各端末やサーバは、各端末の設置位置から近接駅までの距離に基づいて、その各端末から周囲の駅までの移動に要する時間を、それぞれ直前及び最新稼動地の各端末について計算する。この駅移動所要時間は、例えば、各端末の設置位置から近接駅までの距離に、一定の数値(例えば、100メートル走の世界記録を時速に換算したもの)を乗算することにより計算される。
最後に、前述の乗車所要時間に、その直前及び最新稼動地の各端末における両駅移動所要時間を加算して、移動予測時間を計算する。
(端末単体での認証処理)
以上説明した例では、末端側端末160が読み取った個人情報をその上位端末が認証していたが、本実施の形態では、末端側端末160自体が、その個人情報の認証処理を行う。
図37は、本発明の第6の実施の形態において、個人情報を入力された端末が、自機内に有する情報と、読み取り、又は入力された情報とを比較して登録者個人が実在する人物であるか、また登録情報が真正なものであるかを、認証処理実行する時の動作例を示すシーケンスチャートである。
本実施の形態では、一例として、末端側端末160が、登録者のバイオメトリクス情報を読み取って認証を行うときの動作について説明する。
照合の結果、本人として認証された場合には、末端側端末160は、可否情報DB165を用いて、他の端末やサーバに対して、前述の認証結果の発信処理を行う(ステップS156)。
次に、末端側端末160は、今回読み取った又は入力されたバイオメトリクス情報と、認証結果情報と、その認証を行った時期を示す時間情報と、を総合DB161のそれぞれの所定欄に格納し登録する(ステップS157)。
その後、更新の必要がある場合には、末端側端末160は、今回読み取った又は入力された情報等を検索情報DB166にある既存情報と置き換えることもある(ステップS158)。
このように、各端末やサーバが各自、認証機能を備えることにより、例えば災害時の停電や回線切断、関連上位端末の故障等の緊急事態により認証システムサーバ10を含む上位端末との通信が不可能である場合であっても、登録者は証明書や鍵といった証拠物による本人確認よりも、より厳密に実在確認を行うことが可能となる。
(時間・場所の連続性に基づく認証処理)
以上、説明した実施の形態では、読み取った個人情報と、データベース内の個人情報とを照合し、登録者の個人認証を行っていた。これに対し、本実施の形態では、移動情報に含まれる個人情報の読取場所及び読取時期の情報に基づいて、登録者の実在性が時間的・空間的に連続して認証可能か否かを判断する。
図38は、本発明の第7の実施の形態において、個人情報を入力された端末が、読み取り、又は入力された情報と、自機内の既存情報と、本認証システム内の別の端末が持つ情報とを比較して登録者個人が実在する人物であるか、また登録情報が真正なものであるか、個人情報と実在性の連続性があるかを認証する処理実行時の動作例を示すシーケンスチャートである。
本実施の形態では、一例として、末端側端末160が、登録者のバイオメトリクス情報を読み取って認証を行うときの動作について説明する。
このとき、末端側端末160は、読み取った又は入力されたバイオメトリクス情報そのものもサブサーバ群に送信してもよい。
検索の結果、当該個人識別IDに関わる情報が、検索情報DB又は総合DBに格納されている場合には(ステップS167/Yes)、サブサーバ群は、その情報から最新の実在情報(登録者の実在が確認されたことを示す情報)とそれに関わる検証情報又は検証結果情報とを抽出して、末端側端末160に送信する(ステップS168)。
また、サブサーバ群は、末端側端末160から受信した情報と、自機内の必要情報(最新の実在情報とそれに関わる検証情報又は検証結果情報)とを併せて上位端末である集約側端末150に送信する(ステップS169)。
検索の結果、当該個人識別IDに関わる情報が、検索情報DB16又は総合DB11に格納されている場合には(ステップS175/Yes)、認証システムサーバ10は、その情報から最新の実在情報とそれに関わる検証情報又は検証結果情報とを抽出して、末端側端末160、サブサーバ群及び集約側端末150に送信する(ステップS176)。
また、このとき、末端側端末160は、自機内、サブサーバ群、集約側端末150及び認証システムサーバ10等に格納されている最新の実在情報と、読取/入力された個人情報(バイオメトリクス情報)の時間情報や空間情報と、を比較照合して認証を行ってもよい。
照合の結果、本人として認証された場合には、末端側端末160は、その端末が有する可否情報DB165を用いて、当該末端側端末が提供する各種サービスを許可する又は動作進行させる(ステップS179)。
次に、末端側端末160は、今回読み取った又は入力されたバイオメトリクス情報と、認証結果情報と、その認証を行った時期を示す時間情報と、を総合DB161のそれぞれの所定欄に格納し登録する(ステップS180)。
その後、更新の必要がある場合には、末端側端末160は、今回読み取った又は入力されたバイオメトリクス情報等を検索情報DB166にある既存情報と置き換えることもある(ステップS181)。
特に、バイオメトリクス情報、時間情報及び空間情報を組み合わせて登録者個人を総合的かつ広範囲に検証することにより、登録者個人を時間的に連続して特定することができ、「なりすまし」や「架空」を排除できることが可能となる。
(情報記録媒体による認証処理)
以上説明した実施の形態では、認証システムが有するサーバや端末により登録者の個人認証を行っていた。これに対し、本実施の形態では、登録者が保有するICカード等のCPU内臓の情報記録媒体が、登録者の個人認証処理を行う。
図39は、本発明の第8の実施の形態において、バイオメトリクス情報の読取装置が、装置でバイオメトリクス情報を読み取るが、データベースを有しないため、装置外にあるデータベースと情報照合がされ、本人であるとの情報が送信される場合の動作例を示すシーケンスチャートである。
例えば、ICカード内に、個人を特定するためのバイオメトリクス情報と、当該情報と新たに読み取った又は入力されたバイオメトリクス情報と、を比較して整合率や「しきい値」等を計算して個人認証を行う認証ソフトウェアが実装されており、バイオメトリクス情報読取装置で読み取ったバイオメトリクス情報をICカード内で比較照合する。
次に、ICカードは、その変換した読取情報と、あらかじめ自身に格納されていたデータとを比較し、整合率や「しきい値」等を計算し(ステップS194)、その読取情報が登録者本人のものか否かを判定する(ステップS195)。
データが合致した場合(ステップS195/Yes)、ICカードは、その読取情報と、本人個人名とデータが合致している旨の情報とを末端側端末160に送信する(ステップS196)。
なお、ICカード内に、個人を特定するためのバイオメトリクス情報に併せて、個人識別IDが格納されていることが望ましく、個人識別IDが存在する場合には、当該情報を含めて末端側端末160に送信する。
なお、ICカードは、無線・非接触で前述の情報を末端側端末160に送信するようにしてもよいし、末端側端末160に接触させて送信するようにしてもよい。
その後、末端側端末160は、特定された個人識別IDの個人フォルダ内にある総合DB161に格納されている情報と、ICカードより送信された情報と、を比較照合した上で、本人かどうかの認証判断を行う(ステップS198)。
なお、これ以降の処理(ステップS199〜S291)については、第1の実施の形態の処理(ステップS156〜S158)と同様である。
また、必要に応じて、第7の実施の形態のように、認証システム全体で実在性の認証が行われる。
このように、登録者の個人情報の認証処理を汎用性の高いICカードで行うことにより、認証システム全体の処理の負荷を軽減させることが可能となる。
また、ICカードとは別に、他の端末やサーバにおいて、ICカードで認証されたことで許可される情報や認証システム全体での実在性連続を示す情報を格納しているため、実在認証情報と検証情報と許可情報等の必要情報を分断して保管しており、情報流出や盗難等の緊急時に起こるリスクを低減させる効果がある。
このようにすることにより、従来よりも利便性が向上するとともに、従来の証明書よりも登録者本人の実在性を精度よく検証できることが可能となる。
(読取順番や複数情報の合致性に基づく認証処理)
以上、説明した実施の形態では、読み取った登録者の個人情報と、データベース内の個人情報とを照合して、登録者の個人認証を行っていた。これに対し、本実施の形態では、その個人情報自体の照合に加え、それら複数の個人情報の照合を行うとき、登録者による個人情報の入力順が正しいか否かも考慮して個人認証を行う。
図40は、本発明の第9の実施の形態において、個人情報を入力された端末が、自機内に有する情報と、読み取り、又は入力された情報とを比較して登録者個人が実在する人物であるか、また登録情報が真正なものであるかを、認証処理実行する時に、個人情報の照合に加え、あらかじめ端末に登録した1つ又は複数の情報の読み取り、又は入力順番が正当であるかによって個人認証を行う動作例を示すシーケンスチャートである。
本実施の形態では、一例として、末端側端末160が、登録者のバイオメトリクス情報を読み取って認証を行うときの動作について説明する。
このとき、複数のバイオメトリクス情報を読取/入力する場合は、予め末端側端末160に登録されている順番(例えば、指紋→虹彩→声紋の順など)で、各バイオメトリクス情報が読取/入力される。
なお、変造又は模造情報の悪用を防止するために、このバイオメトリクス情報の読取/入力の際に、一定時間内に完了しなければ無効とするようにしてもよい。例えば、親指→薬指→人指し指の順で指紋情報を読み取る場合、スキャナにかざす指の入れ替えは瞬時に可能であり、この入れ替えに2秒以上の間隔が発生した場合には、認証不可とするようにしてもよい。
その後、末端側端末160は、総合DB161内の、特定された個人識別IDの個人フォルダから該当する情報を抽出し(ステップS213)、その抽出した情報と読み取った又は入力された情報とを比較照合した上で(ステップS214)、本人かどうかの認証判断を行う(ステップS215)。
比較照合の結果、バイオメトリクス情報を読み取った又は入力された順番が、検索情報DB166内の登録順番と合致した場合には(ステップS217/Yes)、登録者個人の実在性が認証されたものと判断する。
なお、これ以降の処理(ステップS218〜S220)は、第6の実施の形態におけるステップS156〜S158の処理と同様である。
すなわち、登録者の個人情報がその第三者に流出したとしても、第三者は、複数の個人情報の読取順番まで合致させて本人に「なりすます」ことは困難であり、実在認証用の個人情報を1個に限定した場合に比べて、安全性の確保を行うことができる。
このように、登録者の個人情報を複数用いて、その読取/入力順により認証を行うことにより、仮に情報流出してしまった場合であっても、バイオメトリクス情報等の個人情報を認証手段として安全に利用でき、認証システムを有効に活用することが可能となる。
1.読取又は入力情報の随時又は任意の変更を可能とする。
2.情報の読取又は入力順番の設定を随時又は任意の変更を可能とする。
認証用の個人情報を定期的又は随時に変更を行えれば、バイオメトリクス情報等が流出した場合でも、本認証システムで実在認証用の個人情報の内容と順番の変更を行うことと、認証行為が空間情報と時間情報の整合性という4点認証方法を用いることの両面を組み合わせることで安全に利用継続可能になる。
(各端末における登録情報量の一定化)
以下、本実施の形態では、各端末に格納すべき登録者の個人情報のデータ量が、自機内の記憶可能容量(件数)を超過する見込みの場合に、その超過分を上位端末へ移し替える処理について説明する。
図41は、本発明の第10の実施の形態における認証システムによる、前述のデータ移行処理の流れを示すシーケンスチャートである。
本実施の形態では、一例として、建物側端末110から集約側端末150へ登録者の個人情報を移し替える場合について説明する。
なお、各データベースには、当該データベースに登録可能な情報の件数又は容量を、あらかじめ設定してあるものとする。
今回、その入力/受信した個人情報のデータ量が、総合DB111の格納許容範囲内である場合には(ステップS224/Yes)、その受信した個人情報を登録する。
一方、総合DB111において、受信した個人情報を登録するのに必要な残件数又は残容量が存在しない場合(ステップS224/No)、建物側端末110は、既に総合DB111所定欄に格納されている個人情報のうち、一定量の個人情報を抽出し(ステップS225)、その抽出した個人情報を集約側端末150へ送信する(ステップS226)。
ここで、建物側端末110は、今回受信/入力した個人情報を新たに登録するために、その集約側端末150へ送信した個人情報を消去することとなるが、その消去対象の個人情報は、既往の総合DB111に格納された個人情報のうち、個人情報の登録時期の古い順番、又は当該サブサーバで利活用される優先順位が低い順番(予め設定されている)を基準に選ばれる。
建物側端末110は、この結果生じた総合DB111の空き格納領域に、新たに受信又は入力された個人情報を登録する(ステップS231)。
また、これ以降、各端末は、自機内に一定以上のデータ量の個人情報が登録されるごとに、以前に登録済みの個人情報の一部を、その登録に使用された端末の上位の端末やサーバに送信し、その送信した個人情報を消去することにより、認証システムにおいて、1つの端末への処理の集中を軽減させることが可能となる。
下位端末では、不要又は古い個人情報を次々に消去し、その消去した個人情報を、例えば信用性の高い機関により管理されるサーバや端末に送信して管理させることで、認証システム全体でのセキュリティ管理が容易となる。また、各端末から個人情報流出した場合、過去に登録した個人情報全てが流出する訳ではなくなるので、登録者個人の安全性が高まる。
(登録情報のバックアップ処理1)
以下、本実施の形態では、各端末における登録情報を、その上位端末においてバックアップする処理について説明する。
図42は、本発明の第11の実施の形態において、各端末が格納する個人情報をバックアップするために上位端末へ移し替え処理を実行する時の動作例を示すシーケンスチャートである。
本実施の形態では、一例として、建物側端末110が、個人情報のバックアップを目的に、個人情報を集約側端末150に移し替えるときの動作について説明する。
本認証システムでは、情報の種別が同一であっても、情報の発生日時が異なる場合には、別情報として位置付けて格納し、上書き保存は原則させないものとする。
処理後、集約側端末150は、情報の登録が完了したことを確認し(ステップS245)、建物側端末110から受信した個人情報のバックアップ登録が完了した旨の情報を建物側端末110へと送信する(ステップS246)。
また、バックアップ漏れを防止するために、一定の件数、一定の容量又は一定の日時毎に、自動的にバックアップ処理を実行するよう設定しておいてもよい。
一方、アクティブ情報の消失や、アクティブ情報を有する端末との通信が断絶した場合に備えて、アクティブ情報を有する端末と別の端末で情報を管理する情報をバックアップ情報とする。
以上説明したように、本実施の形態では、認証システムでは、個人情報を2箇所以上で保管しているので、その個人情報が認証システム内で完全に消失することを防止することができる。その結果、時系列的に登録された複数の個人情報を用いて、登録者の実在性を連続的に認証することができ、その認証の精度を向上させることが可能となる。
(登録情報のバックアップ処理2)
以上説明した第11の実施の形態では、建物側端末110は、バックアップのために、その上位端末である集約側端末150に登録情報を登録していた。本実施の形態では、さらに、集約側端末150が、バックアップのために、認証システムサーバ10にこの登録情報を登録する。
図43は、本発明の第12の実施の形態において、各端末が格納する個人情報を認証システムサーバ10へ移し替え処理を実行する時の動作例を示すシーケンスチャートである。
本実施の形態では、一例として、建物側端末110から集約側端末150に移し替えた個人情報を、さらに認証システムサーバ10に移し替えるときの動作について説明する。
そして、集約側端末150は、総合DB151に格納された個人情報のうち、認証システムサーバ10に登録されていないものを抽出し、その抽出した個人情報を認証システムサーバ10へ送信する(ステップS259)。
この際、認証システムサーバ10は、その受信した個人情報が既に総合DB11に格納されている情報と二重登録にならないか検証処理を実行した上で格納する。
また、本認証システムでは、情報の種別が同一であっても、情報の発生日時が異なる場合には、別情報として位置付けて格納し、上書き保存は原則させないものとする。
また、移行漏れを防止するために、一定の件数、データ量又は日時毎に、自動的にこのバックアップ処理を実行するよう設定しておいてもよい。
認証システムサーバ10は、バックアップ処理実行後、個人情報の登録が完了したことを確認し(ステップS261)、集約側端末150から受信した個人情報のバックアップ登録が完了した旨の情報を集約側端末150へ送信する(ステップS262)。
その後、集約側端末150は、ステップS259で送信した個人情報を消去する(ステップS264)。
なお、集約側端末150から送信される個人情報の移行が完了した旨の情報には、建物側端末110に前述の各種情報の変更処理の実行を要求する情報が含まれるようにし、建物側端末110がその要求情報を受信すると、その要求情報に応じて各種情報の変更処理を自動的に実行するように動作制御を行うようにすることが望ましい。
(登録情報のバックアップ処理3)
以下、本実施の形態では、登録情報のバックアップ処理のときの、認証システムサーバ10による他の機器との接続/接続解除動作について説明する。
図44は、本発明の第13の実施の形態において、各端末が格納する個人情報を認証システムサーバ10へ移し替えた後に、さらに外部機関サーバ300へ移し替えたときの動作例を示すシーケンスチャートである。
本実施の形態では、一例として、集約側端末150に登録された個人情報を認証システムサーバ10に移し替え、その移し替えた個人情報をさらに外部機関サーバ300に移し替えるときについて説明する。
以下、第12の実施の形態における処理に追加する部分を中心に説明する。
そして、認証システムサーバ10は、情報の登録が完了したことを確認し(ステップS276)、集約側端末150から受信した個人情報のバックアップ登録が完了した旨の情報を集約側端末150へ送信する(ステップS277)。
認証システムサーバ10は、バックアップ処理が必要と判断した場合には、そのバックアップ対象の個人情報を総合DB11等から抽出する(ステップS279)。
また、認証システムサーバ10は、自身と集約側端末150との接続を解除する旨の情報を、その集約側端末150に送信し(ステップS280)、その集約側端末150との接続を解除する。
外部機関サーバ300は、その認証システムサーバ10から受信した個人情報を、バックアップを目的として自機内に登録する(ステップS282)。
外部機関サーバ300は、その個人情報のバックアップ登録が完了したことを確認すると(ステップS283)、認証システムサーバ10から受信した個人情報のバックアップ登録が完了した旨の情報を認証システムサーバ10へと送信する(ステップS284)。
図45(a)では、認証システムサーバ10は、外部機関サーバ300と接続しており、下位端末群とは接続されていない。一方、図45(b)では、認証システムサーバ10は、下位端末群と接続しており、外部機関サーバ300とは接続が解除されている。
同様に各端末においても、当該端末がその端末の上位端末と接続している場合には、その端末の下位端末と、当該端末がその端末の下位端末と接続している場合には、その端末の上位端末とは、接続がされないように設定されるようにしてもよい。
(登録情報のバックアップ処理4)
以下、本実施の形態では、個人情報のうち、氏名、生年月日、戸籍情報といった登録者個人の基本的重要情報と、登録者個人の実在性を認証するために登録されたバイオメトリクス情報とを、それらの情報の消去や変造等を防止するために、2ヶ所以上でデータベースによるバックアップを行う。
図46は、本発明の第14の実施の形態において、認証システムサーバ10が格納する個人情報を、2つの外部機関サーバへ同時に移し替えるときの動作例を示すシーケンスチャートである。
本実施の形態では、これら2つの外部機関サーバを、それぞれ外部機関サーバ300A、300Bとする。
そして、認証システムサーバ10は、総合DB11の所定欄に格納された情報の中から、外部機関サーバ300A、300Bに未登録の個人情報を抽出して(ステップS291)、その抽出した個人情報を外部機関サーバ300A、300Bへそれぞれ同時に送信する(ステップS292)。
この際、外部機関サーバ300A、300Bは、ここで受信した個人情報が既に総合DB311A、311Bに格納されている情報と二重登録にならないか検証処理を実行した上で格納する。また、このとき、外部機関サーバ300A、300Bでは、情報の種別が同一であっても、情報の発生日時が異なる場合には、別情報として位置付けて格納し、上書き保存は原則させないものとする。
認証システムサーバ10は、総合DB311A内の情報と、総合DB311B内の情報とに対して、必要時、一定の件数、一定の容量又は一定の日時毎に、格納情報の比較照合処理を実行する(ステップS298)。
例えば、外部機関サーバ300Aは沖縄県内にあり、外部機関サーバ300Bは北海道内にあるといった地理的に隔絶されることもあれば、外部機関サーバ300Aは外務省の管轄下にあり、外部機関サーバ300Bは日本銀行の管轄下にあるといった組織的な隔絶されていることもある。
認証システムサーバ10は、総合DB311A、DB311Bにそれぞれ格納された個人情報を比較し、照合処理を実行することで、データの不一致が見つかった場合には、データ改ざんや認証システム障害等のトラブルが発生している可能性があると判断する。
本認証システムでは、登録者の個人情報の連続性及び不変性を認証基準としているので、データの不一致が発生したことは個人情報に瑕疵が生じた状態とみなされ、該当者に注意情報を通報すると同時に、利活用機能を制限するように設定しておく。
(登録情報のバックアップ処理5)
本実施の形態では、認証システムサーバ10が、自機に格納する個人情報を、2つの外部機関サーバへ交互又は別々にバックアップするときの動作について説明する。
図47は、本発明の第15の実施の形態において、認証システムサーバ10が格納する個人情報を、2つの外部機関サーバへ交互又は別々に移し替えるときの動作例を示すシーケンスチャートである。
本実施の形態では、これら2つの外部機関サーバを、それぞれ外部機関サーバ300A、300Bとする。
そして、認証システムサーバ10は、総合DB11の所定欄に格納された情報の中から、外部機関サーバ300A、300Bに未登録の個人情報を抽出する(ステップS301)。
次に、認証システムサーバ10は、現在の自機と外部機関サーバ300Bとの接続状況を確認し、外部機関サーバ300Bと接続されている場合、外部機関サーバ300Bに対して、接続を停止する旨の情報を送信し(ステップS302)、自機と外部機関サーバ300Bとの接続を解除する。
外部機関サーバ300Aは、認証システムサーバ10より個人情報を受信すると、自身内に設けられた総合DB311Aに登録処理を行う(ステップS304)。
この際、外部機関サーバ300Aは、ここで受信した個人情報が既に総合DB311Aに格納されている情報と二重登録にならないか検証処理を実行した上で格納する。また、このとき、外部機関サーバ300Aでは、情報の種別が同一であっても、情報の発生日時が異なる場合には、別情報として位置付けて格納し、上書き保存は原則させないものとする。
また、認証システムサーバ10は、外部機関サーバ300Bに対して接続を開始する旨の情報を送信し(ステップS308)、自機と外部機関サーバ300Bとの接続を再開する。
その後、認証システムサーバ10は、外部機関サーバ300Aとの間の処理(ステップS304〜S306)と同様に、外部機関サーバ300Bとの間でバックアップ処理(ステップS309〜S312)を行う。
例えば、総合DB311Aにバックアップされた2つの指紋情報(東京都千代田区大手町の勤務先で読み取られた午前11時と午前11時20分の実在情報)があり、総合DB311Bにバックアップされた虹彩情報(東京都豊島区西池袋の銀行で読み取られた午前11時10分の実在情報)があった場合には、時間と場所の面から整合性が得られていないとする。
本認証システムでは、情報の連続性と不変性を認証基準としているので、データの不一致が発生したことは履歴情報に瑕疵が生じた状態となるので、該当者に注意情報を通報すると同時に、利活用機能を制限するように設定しておく。
第14の実施の形態では、総合DB311A、311Bには、同一の個人情報が格納されていたが、本実施の形態では、総合DB311A、311Bに格納される個人情報は必ずしも一致しない。
例えば、外部機関サーバ300Aは建物側端末110に関連したデータを集積してバックアップし、外部機関サーバ300Bは組織側端末120に関連したデータを集積してバックアップする。
また、午前中は外部機関サーバ300Aに個人情報を集積してバックアップし、午後は外部機関サーバ300Bに個人情報を集積してバックアップするようにしてもよい。
例えば、読取方式の異なるバイオメトリクス情報の読取機により、登録者の指紋情報を読み取り、認証システムで保管する場合、その読取方式に応じて、データベースを個別に構築し、保管する方が効率的である。
この場合、本実施の形態のように、認証システムサーバ10は、読み取られた情報の形式に応じて移し替え処理を交互又は別々に実行し、バックアップ先のデータベースを振り分ければ良い。
(登録情報のバックアップ処理6)
第14及び第15の実施形態では、個人情報の2重バックアップは行われていなかったが、本実施形態では、一部2重登録となることを容認した方式をとる。
図48は、本発明の第16の実施の形態において、認証システムサーバ10が格納する個人情報を、3つの外部機関サーバへ移し替え処理を交互又は別々に実行する時の動作例を示すシーケンスチャートである。
本実施の形態では、これら2つの外部機関サーバを、それぞれ外部機関サーバ300A、300B、300Cとする。
例えば、外部機関サーバ300Aは付帯されている時間情報が0時00分より9時00分のものを格納する。外部機関サーバ300Bは付帯されている時間情報が8時00分より17時00分のものを格納する。外部機関サーバ300Cは付帯されている時間情報が16時00分より翌1時00分のものを格納する。
そして、認証システムサーバ10は、総合DB11の所定欄に格納された情報の中から、外部機関サーバ300A、300B、300Cに未登録の個人情報を抽出する(ステップS321)。
次に、認証システムサーバ10は、現在の自機と外部機関サーバ300B、300Cとの接続状況を確認し、外部機関サーバ300B、300Cと接続されている場合、接続中の外部機関サーバに対して、接続を停止する旨の情報を送信し(ステップS322)、自機と接続中の外部機関サーバとの接続を解除する。
この際、外部機関サーバ300Aは、ここで受信した個人情報が既に総合DB311Aに格納されている情報と二重登録にならないか検証処理を実行した上で格納する。また、このとき、外部機関サーバ300Aでは、情報の種別が同一であっても、情報の発生日時が異なる場合には、別情報として位置付けて格納し、上書き保存は原則させないものとする。
本認証システムでの、実在性の連続を担保するために、事故や消失が生じた場合にも、その時間的断絶を可能な限り短時間とするものである。
(端末接続順位)
前述したように、認証システムが個人情報の登録や登録者の認証等を行うとき、そのシステムを構成する各端末やサーバ間で情報の送受信が行われる。
本実施の形態では、各端末やサーバが、情報の送受信を行うために、予め設定されている優先順位に従って、他の端末やサーバと接続を行う。
本実施の形態では、認証システムは、集約側端末150Wが、下位の建物側端末110A、110C、組織側端末120Aを管理する構成をとるものとする。
認証システムの各端末は、登録者の認証処理時等に、図のような自身が接続を行う端末の優先順位を示す情報を格納している。
図に示す例では、建物側端末110Cは、まず優先的に建物側端末110Aと接続を試みて、その接続が正常に行われなかった場合には、以下、組織側端末120A、集約側端末150D、集約側端末150B・・・の順に優先的に接続を試みていく。
また、緊急の場合には、建物側端末110Cは、集約側端末150Wとの接続を試みる。
以下、図に沿って、本実施の形態における動作について説明する。
建物側端末110Cは、自身の総合DB111Cから所定の個人情報を抽出し(ステップS351)、その最優先に設定されている建物側端末110Aに、その抽出した個人情報を送信する(ステップS352)。
ここで、建物側端末110C・建物側端末110A間の接続が無事に行なわれ、必要な情報の交換が行なわれている場合には、建物側端末110Cは他の端末と接続がされない。
個人情報の送信先の端末との接続が確立できない場合、前述の優先順に従って、建物側端末110Cは接続を試みていく(ステップS356〜S359)。
最終的には、建物側端末110Cは、緊急時接続端末(集約側端末150W)まで接続を行っていく。
なお、建物側端末110Cは、個人情報の送信先の端末へのアクセスが1回又は規定回失敗した場合に、次の優先順位の端末へのアクセスに切り替えることが望ましい。
日常生活において、人間の行動範囲は、ある程度決められており、その行動範囲外に設置される大部分の端末に対する使用機会は著しく少ないのが通常である。
例えば、ある登録者が住宅地の道を歩いている場合、その道沿いの他人の建物に設置された建物側端末110や、他人の家族や会社組織を管理単位とする組織側端末120を使用する機会は、非常に少ない。
このため、ある端末が、他の端末に無制限に情報を送信することは、認証システムにおいて、データ処理の煩雑さ、回線の負荷の増大及び情報流出リスクの増大を招きかねない。
そこで、登録者の各個人情報は、各登録者の行動履歴を示す履歴情報と密接に関係させ、登録者本人と関係があると思われる端末にのみ送信を試みるようにしておくとよい。
インターネットやメッシュ無線情報システム等の従来の通信システムでは、通信回線網が一般に公開されているため、通信回線網自体に悪意ある人物が存在し、情報の不正閲覧や不正取得や不正改ざんを容易に行っている。これに対し、この認証システムでは、身近にある端末間は微弱無線通信や赤外線等の限られた範囲での通信回線技術を利活用することで、末端側端末160とサブサーバ群で稼動が終了する場合には、一般に公開された回線網を使用しないこともある。併せて、相互通信する端末が明確になっており、その端末の端末識別IDと接続端末一覧の情報とを比較照合する。この結果、2重のセキュリティから不正アクセスを防止することを可能とする。
従来の認証システムでは、無制限に情報が伝達され目的地に到着したが、本認証システムでは情報は制限下での伝達となる。
ある登録者が、日常利用している端末の設置地域において、地震や台風などの災害により、広範囲にわたって停電、通信不良及び器械故障等のアクシデントが発生したときには、このような災害によるアクシデントが発生していない地域に設置されている、すなわち、災害発生地域から大幅に地理的距離が離れた場所に設置されている端末にアクセスする。
このようにすることにより、緊急時において、登録者が使用する端末の上位端末が稼動しない場合に、その使用する端末が他の稼動する端末と接続され、個人実在認証のためのデータ比較や検証データの提供等を行うことが可能となる。
緊急時のアクセス先としては、認証システムサーバ10、外部機関サーバ300又は集約側端末150等がその役割を担い、登録者の使用端末の接続情報端末一覧で指定されている接続先の端末に格納されている個人情報の全て又は必要部分の情報をバックアップ又は原本として保管している。
緊急時のアクセス場所は、全国の行政機関が相互提携、又は日本と世界各国とが相互提携して対応できるようにしておくことが望ましい。また、情報の不必要な漏えいや改ざんを最小限度にするために、情報の経由地点の所在とその管理者を明確に判断できるようにしておき、その経由地点を、不正が起こりにくい公共性を有する場所、行政機関、金融機関、通信業者、病院等に設定しておくことが望ましい。
(複数端末への送信機能)
以上説明した実施の形態では、原則として各端末は、1つの上位端末に対して個人情報を送信していた。これに対し、本実施の形態では、各端末は、2以上の相手先端末を指定して情報を送信する。
図51は、第18の実施の形態において、建物側端末110Cの接続対象の端末を示す図である。
認証システムの各端末は、登録者の認証処理時等に、図のような自身が接続を行う端末の優先順位を示す情報を格納している。また、この優先順位が付された接続先の端末(以下、メインルート端末)には、その接続先に送信すると同時に送信する他の接続先の端末(以下、反射端末)がそれぞれ端末ごとに設定されている。
この場合、建物側端末110Aは、接続情報端末一覧で指定された最優先接続端末(メインルート端末)であり、建物側端末110Bは副次的に送信された端末(反射端末)である。
末端側端末160は、建物側端末110Aよりその受信した旨の情報を受信すると、建物側端末110Bの一時保管DBに格納した個人情報の消去を要求する旨の情報を、建物側端末110Bに送信する(ステップS407)。
建物側端末110Bは、末端側端末160から、その消去要求情報を受信すると、自身の一時保管DBに格納しておいた情報を削除する(ステップS408)。
この反射端末は、緊急時のアクセス場所とは異なるため、当該個人の個人情報を全て保管してある訳でなく、あくまでも一時的に情報を保留しているだけである。また、情報読取場所の末端側端末等の機能に合わせ、読取機器の同一製品や同一メーカーの異場所設置端末を反射端末としておくことが情報の互換性から望ましい。
また、本実施の形態では、建物側端末110B(反射端末)は、消去要求情報を受信すると、自身の一時保管DBに格納しておいた情報を削除するものであるが、その他、一定時間経過後に自動的に消去するようにしてもよい。
(認証システムサーバ間のネットワーク)
図53は、本発明の第19の実施の形態における認証システムにおいて、認証システムサーバ10同士のネットワークが構築されていることを示すイメージ図である。
認証システムサーバ10は、例えば、都道府県単位や区市町村単位といった行政単位ごとに設置されていてもよい。
このように、各地を一定の範囲で区切り、その一定範囲ごとに認証システムサーバ10を設置し、認証システムサーバ10が保有する個人フォルダの容量を分散しておくことにより、国単位など広範囲を1つの認証システムサーバ10で対応するよりも、認証システムの負荷を数箇所に分散することが可能となる。
(認証システムサーバ10と外部機関サーバ300の格納情報比較照合)
前述したように、認証システムサーバ10は、自機の登録情報を外部機関サーバ300に登録し、バックアップを行う。本実施の形態では、この認証システムサーバ10における登録情報と、外部機関サーバ300における登録情報との比較照合を行い、登録情報が改ざんされていないか調べる。
図54は、本発明の第20の実施の形態において、認証システムサーバ10と外部機関サーバ300が任意時間に格納情報の比較照合処理を実行する時の動作例を示すシーケンスチャートである。
この際、認証システムサーバ10及び外部機関サーバ300の双方が、この照合処理を開始することが可能である。本実施の形態では、外部機関サーバ300が、この照合処理を開始するものとする。
外部機関サーバ300は、抽出した情報と、認証システムサーバ10内に格納された情報との比較照合の実行要求をする旨の情報とを、認証システムサーバ10に送信する(ステップS412)
ここで、比較した両者が不一致の部分が見つかった場合には、認証システムサーバ10は、登録者個人宛に電子メール等で緊急注意連絡を行うと共に、当該登録者個人の本認証システム利用を直ちに制限する。
不一致な情報が見つかった場合には、上述同様な連絡、利用制限を行う。
その後、認証システムサーバ10は、外部機関サーバ300より受信した個人情報を消去する(ステップS419)。
その後、外部機関サーバ300は、抽出処理を終了させる(ステップS421)。
この検証処理は、認証システムサーバ10と集約側端末150との間や、サブサーバ群と末端側端末160との間等でも同様に実行されるものとする。
(登録者の移動開始・停止の認識)
人間の行動を分析してみると、人間は何らかの「モノ」に囲まれている状況と、「モノ」から開放されている状況との2つの空間状況の中で生活している。
「モノ」に囲まれている状況とは、人間が、自宅や勤務先や店舗や病院といった建物又は構築物等の建造物に囲まれている状況と、電車や航空機や車や船舶といった移動手段の中に存在していることをいう。
「モノ」から開放されている状況とは、人間が、道路を歩いている状況や、野外で運動をして過ごしている状況のように、建造物や移動手段の「モノ」の外に存在していることをいう。
そこで、本実施の形態では、その個人実在情報から派生される個人の生活に利活用される情報(例えば当該個人所有の電子マネー情報の利用、当該個人に許可されたドアの開閉情報等)は、その個人が、ある空間において現に実在していることに密接に結びついている。
このような構成において、建物側端末110又は末端側端末160A、160B、160Cが、登録者個人が、建築物等(建物、構築物等の建造物、部屋、航空機、車両、車輌、自動車、トランク、箱、テント、カプセル、ロッカー等)の「モノ」に囲まれている状況に「ある」と認識した場合、建物側端末110は、この「モノ」に囲まれている登録者の個人情報の利活用を、このユニット内の端末に限定するか、または個人情報の利活用可能ユニットの移動を停止させる情報を発生させる機能を有する。
また、建物側端末110は、その登録者が「モノ」に囲まれた状態であることを認識すると、そのユニット外の端末等に対してその個人情報の利活用を強制停止させるような制御信号や、その登録者の個人情報がユニット外で利活用されることが異常であることを示す情報等を通信回線網を通じて送信する。
さらに、建物側端末110は、このユニット外でその個人情報が利活用されていることを認識すると、認証システム内の端末やサーバに対して、通信回線網を通じて警告情報を発信する。
また、建物側端末110は、その登録者が「モノ」から解放されている状態であると認識すると、当該ユニット外での情報の利活用を許可する旨の情報、またはユニット外でその登録者の個人情報が利活用がされることを正常値とする情報等を通信回線網を通じて他の端末やサーバに発信する。
一方、ドアの内側のノブには末端側端末160Bが設けられている。一般的には、建築物等から出るとき、内側のドアノブをしっかりと掴むことから、この末端側端末160Bがバイオメトリクス情報を読み取るときは、人が建築物から出るときを示す。
例えば、登録者個人が帰宅のため「19時10分に会社玄関を出た」情報を認識すると、勤務先建物内で、当該登録者が19時11分にパソコンを操作していることはありえないことである。この場合、認証システムは、19時10分以降には、勤務先建物内で「登録者個人を自称」又は「なりすまし」した人物に対して何も操作できないようにする。
この結果、個人の実在と個人情報とをリンクさせ、身近な安全性を確保することが容易に達成できるようになる。
また、一部地域を除けば、日常、人間は、「モノ」に囲まれている状況と「モノ」に囲まれている状況とを行き来して生活しているものである。例えば、人間の共通的生活として「モノ」に囲まれている状況の下で睡眠を行う。その後、生活の用を果たすために、「モノ」に囲まれている状況の下にある他人を訪ね、何らかの行為を実行する。
人物を登録者個人が一定の「モノ」に囲まれている状況が判明すれば、その囲まれた空間内だけで個人情報が利活用されることが望ましく、当該空間外での個人情報の利活用は当該個人に付帯していない情報として取扱いを原則注意すればよい。
そのために、人間が、ある一定のユニット内にいるとき、その人間に関わる個人情報の利活用の限度は、当該ユニットを構成する物理的枠組みの範囲内(電車内、建物内など)に限定される。
図55は、建物を中心に示したイメージ図である。図は仮想の住宅地図を表しているが、イメージ図の様に、どの建物にも必ず建物側端末110は存在しており、それぞれの建物毎に独立して構成可能である。
図56は、図55を本認証システムの端末構成のイメージに変換して示した図である。駅や病院やスーパーマーケットは大型の施設として、そのもの自体に集約側端末150を設置している。一方、個人宅は町内会毎に集約側端末150を設置している。
患者は、建物側端末110Yユニット内の端末に、自分自身の個人情報を読み取らせるとともに、必要に応じて、自分の氏名、年齢、通院歴等の情報を入力することで、その病院に来院したことが認識される。
この建物側端末110Yは、これらの個人情報を収集すると、この上位端末である集約側端末150Cに、その収集した個人情報を送信する。
集約側端末150Cは、この建物側端末110Yから受信した個人情報と、集約側端末150C自機内の総合DB151に格納されているカルテ閲覧、保険証番号等の診察、投薬のために必要な情報とを組織側端末120Gに送信する。
組織側端末120Gは、これらの診察に必要な個人情報を受信すると、自身のユニットが設置されている病院において患者に対する診察準備やカルテ準備を実行できるようになる。
(メイン端末の設定)
現代社会においては、人間は、自宅のマンションや勤務先のビルといった建物が、その生活空間に含まれるのが一般的である。また、人間は、ある一定範囲の生活空間内において、通勤・通学や買い物等の日常行動を行うものである。
そこで、その登録者個人の生活空間内の建物を中心としたユニットを、当該登録者のメインユニットとして、情報の利活用許可情報が発生する基点とする。また、その登録者の個人情報の利活用許可情報は、その登録者の移動に伴って、そのメインユニットから別のユニットに対し移動経路に沿って順次伝播されていくように情報網を構築すれば、その登録者は常に自分自身の個人情報を用いて、様々なサービスを享受することができる。
このように、本実施の形態では、登録者の移動のタイミングに合わせて、その登録者の個人情報の利活用許可(または停止)情報もその移動位置の周囲の端末を経由して移動していく。
これに対し、本発明では、認証を行うための固有の情報を、その認証対象の人物のバイオメトリクス情報とし、その認証の結果、情報の利活用を許可し、且つ情報を利活用できる場所を当該バイオメトリクス情報の読み取り/入力した端末により構成される一定の空間内に限定することによって、人間=情報という一体型になり、情報利活用時のセキュリティを向上させることができる。
これに対し、副次的に学校や会社といった建物に設置された建物側端末110Bを指して「サブ端末」とし、その建物側端末110Bとその端末に管理される1以上の下位端末とからなる構成単位を「サブユニット」とし、その建物側端末110Bを下位端末として傘下に置く集約側端末150Bを、「サブサーバ」とする。
但し、建物側端末110Aや集約側端末150Aがない場合には、建物側端末110Bや集約側端末150Bを「メインユニット」とする。
(情報の移動1)
本実施の形態では、登録者個人が自宅から勤務先に移動するときに、その登録者により利活用されるユニットが変わっていく。以下、この登録者により利活用されるユニットの移行について、登録者が自宅を出発する時点までを説明する。
図58は、本実施の形態において、登録者の日常の行動範囲における認証システムの構成例を示す図である。
この図において、線で結ばれている端末・サーバ間は、直接ネットワークにより接続されており、このうち、登録者が自宅から出た時点のその登録者の個人認識情報の移動経路が、実線で示されている。
建物側端末110Aは、自機内に予め格納されている登録者の個人情報と、その末端側端末160Bからの受信情報とを比較照合し(ステップS433)、登録者実在確認を実行すると同時に(ステップS434)、今回受信した情報の内から必要な情報を新たに自機内に格納する(ステップS435)。
このことから、建物側端末110Aは、末端側端末160Bからバイオメトリクス情報と移動情報を受信すると、その登録者が外出したことを認識し、移動情報に、個人認証や個人情報利活用許可や認証システムによるサービスの提供等を求めるユニットが現在のユニットから移動することを示す情報を、加えた情報(以下、移動開始情報という)を作成する(ステップS436)。
建物側端末110Aは、この移動開始情報を自機内の一時保管DB117Aに保管する。
建物側端末110Aは、その登録者が外出したことから、建物側端末110Aとその管理下の末端側端末160A、160Bとにより構成されるユニット内に、登録者個人が存在しなくなったことを認識する(ステップS437)。
そして、建物側端末110Aは、そのユニット内において、その登録者の識別IDによる認証システムの利活用の停止命令を示す情報を作成し、管理下の末端側端末160A、160Bに送信する(ステップS438)。
このことにより、悪意のある第三者が、その登録者個人をなりすまして認証システムを利活用することを防止することができる。
例えば、その停止命令を送出後、このユニット内でその登録者の個人情報の利活用が要求された場合、建物側端末110Aは、その利活用の要求を異常と判定し、警告を発する又は異常値と認識し、その利活用を強制停止させる情報を、その利活用を要求した端末に対して送信する。
建物側端末110Aは、登録者が自宅から外出したことを認識するとともに、その自宅の施錠が行われたことを認識する。
このように、建物側端末110Aは、自宅鍵の施錠といった防犯面の管理を行うこともできる。
その後、集約側端末150Dは、前述の受信情報に、自機が移動開始情報と認識した旨を示す情報を対応付けて、自機を管理する認証システムサーバ10Aに送信する(ステップS442)。
(情報の移動2)
ここでは、登録者が自宅から勤務先に移動するときの、その登録者により利活用されるユニットの移行について、登録者が駅に到着した時点の認証動作を説明する。
図60(a)は、本実施の形態において、登録者の日常の行動範囲における認証システムの構成例を示す図である。
この図において、登録者が自宅を出て駅に到着するまでの個人情報の利活用されるユニットの移動経路が、実線で示されている。
また、図60(b)は、その駅構内における建物側端末110Wとその管理下の末端側端末160C、160D、160Cc、160Ddの設置例を示す図である。
この図では、駅の北口改札に末端側端末160Cc、160Ddが設置され、南口改札に末端側端末160C、160Dが設置されていることが示されている。
以下、このシーケンスチャートに沿って、説明を進めていく。
建物側端末110Wは、自機内に格納された情報と、その末端側端末160Dからの受信情報とを比較照合し(ステップS453)、登録者実在確認を実行すると同時に(ステップS454)、その今回受信した情報の内から必要な情報を新たに自機内に格納する(ステップS455)。
また、建物側端末110Wは、その登録者が自ユニット内に存在している旨の移動停止情報が自機内に格納されていないことを確認するとともに、移動予告情報(移動情報に、その登録者が自ユニットに、個人認証や個人情報利活用許可を求めるユニットが移動する可能性があることを通知する情報、を加えた情報)が自機内に格納されていないことを確認する(ステップS456)。
移動開始情報は登録者が実際に移動したときの履歴を示す情報であったのに対し、この移動予告情報は登録者の今後の移動予定を示す情報である。この移動予告情報は、具体的には、以下の1〜5のいずれかの情報を含むものとする。
1.認証対象人物(登録者)が今後使用する予定の端末に付された空間情報(端末識別ID,認識番号)
2.認証対象人物(登録者)がその端末を使用する予定時期を示す時間情報
3.移動予告情報の発信元の端末識別ID
4.行動の起点となる予定のユニット、又は登録者個人のメインユニットを管理する端末の端末識別ID,認識番号
5.自機(自ユニット)の次に関係する端末(ユニット)を示す情報
なお、ここで、登録者の移動予告情報、移動開始情報、移動停止情報(以下、移動関連情報とする)が格納されている場合については後述する。
そして、建物側端末110Wは、その作成した移動停止情報を自機内の一時保管DB117Wに保管する。
このように、登録者が実際に末端側端末を利活用して認証処理等を行う前に、前もってその末端側端末に利活用する可能性がある旨を通知しておくことにより、その利用予告情報を受信したユニット内の各端末は、自機内の検索DBや一時保管DB等を参照し、その登録者の検索を行って、以降の認証処理等に対して準備しておくことができるようになる。その後、当該端末で登録者の個人情報の読み取りが行われた場合には、即時に比較照合することができ、効率的な認証システム運用を実行することが可能となる。
例えば、その停止命令を送出後、このユニット外でその登録者の個人情報の利活が要求された場合、建物側端末110Wは、その利活用の要求を異常と判定し、警告を発する又は異常値と認識し、その利活用を強制停止させる情報を、その利活用を要求した端末に対して送信する。
また、集約側端末150Aは、その受信情報から、個人認証や個人情報の利活用許可情報を求めるユニットが建物側端末110Wのユニットへ移動が完了した旨を認識する(ステップS463)。
また、集約側端末150Aは、以下に示す1〜4の端末やサーバ等から、登録者の移動関連情報を受信していないかを検索する(ステップS464)。
1.集約側端末150Aが管理するユニット内の他の下位端末
2.集約側端末150Aを管理する認証システムサーバ10A
3.集約側端末150Aとは別の集約側端末のユニット
4.集約側端末150Aを管理する認証システムサーバ10Aとは別の認証システムサーバ
なお、検索の結果、登録者の移動関連情報が存在する場合については後述するものとする。
また、認証システムサーバ10Aは、その受信情報から、個人認証や個人情報の利活用許可情報を求めるユニットが、建物側端末110Wのユニットへの移動が完了した旨を認識する(ステップS467)。
また、認証システムサーバ10Aは、集約側端末150A及びその集約側端末150Aが管理するユニット内の他の下位端末以外から、登録者の移動予告情報等を受信していないかを検索する(ステップS468)。
なお、検索の結果、登録者の移動関連情報が存在する場合については後述するものとする。
この送信情報は、集約側端末150Aが管理するユニット内において、登録者個人が、利活用を求めているサービスや認証システム動作を許可する情報でもある。
次に、集約側端末150Aは、この許可情報を建物側端末110Wに対して送信する(ステップS475)。
次に、建物側端末110Wは、この許可情報を基に、登録者個人が求めた本認証システムの利活用サービス、本実施形態では、電車に乗るために駅構内に入ることを許可する情報を、末端側端末160Dに対して送信する(ステップS477)。
また、これは電車に乗ることを許可する行為でもある点は、端末設置目的にて定義しておけばよい。
この他ユニット移動完了情報は、集約側端末150Dが管理するユニット内に存在する、登録者の移動関連情報を消去させる情報でもある。
認証システムサーバ10、集約側端末150又はサブサーバ群は、自機内で移動開始情報を一時保管している場合、同一登録者に対する移動停止情報を受信すると、これらの移動開始情報と移動停止情報との間の情報の連続性の整合検証を実施する。この結果、整合していると判断されると、移動開始情報が他ユニット移動完了情報に変換され、移動開始情報の送信元に返信されるようにすることもできる。
集約側端末150Dは、抽出後、移動開始情報の発信元になった建物側端末110Aを特定する。そして、今回受信した他ユニット移動完了情報をその発信元の建物側端末110Aに対して送信する(ステップS480)。
次に、集約側端末150Dは、自機内の一時保管DB157Dにある、当該登録者の移動開始情報を消去する(ステップS481)。
この送信情報は、集約側端末150Aが管理するユニット内で、登録者個人が、利活用を求めているサービスや認証システム動作を許可しない(禁止する)情報でもある。
なお、この集約側端末150Aのユニット内の各端末において、この不許可情報が移動停止情報に付随して格納されると、そのユニット内では登録者の認証システム利活用を制限する又は停止する制御情報がそれぞれ作成される。
次に、集約側端末150Aは、この不許可情報と、作成した利活用制限/停止情報とを建物側端末110Wに対して送信する(ステップS485)。
同様に、建物側端末110Wでも、その利活用制限/停止情報を作成する。
次に、建物側端末110Wは、この不許可情報と、利活用制限/停止情報とを末端側端末160Dに対して送信する(ステップS487)。
(情報の移動3)
ここでは、登録者が、自宅の最寄駅から通勤先の最寄駅に到着する時点までの、その登録者により利活用されるユニットの移行について説明する。
図63は、本実施の形態において、登録者の自宅及び通勤先の周囲の認証システムの設置例を示す図である。
図の例では、自宅には建物側端末110A、自宅から最寄駅の途中に集約側端末150D、自宅の最寄駅には建物側端末110W、集約側端末150A、勤務先の最寄駅には建物側端末110WT、集約側端末150AT、勤務先には、建物側端末110HK、110CK、集約側端末150HK、110CK、組織側端末120HK、120CKが設置されている。
また、両駅に関連する交通機関が管理する組織側端末120Eが設けられている。
また、図64は、その認証システムを構成する各端末やサーバ間のネットワーク構成例を示す図である。
この図において、登録者が自宅の最寄駅から通勤先の最寄駅に到着するまでの間に移動する移動情報の移動経路が実線で示されている。
以下、このシーケンスチャートに沿って、説明を進めていく。
さらに、集約側端末150Aは、それら受信情報を認証システムサーバ10に送信する(ステップS503)。
この際、移動停止情報を作成した端末及びサブサーバが、移動手段に設置されたこと、又は移動手段を利用する目的のために設置されたことが明確な場合、移動停止情報は移動予告情報を自動作成して送信することになっている。
この組織側端末120Eは、鉄道会社で使用されているものであって、この会社の鉄道を利用する乗客の個人情報などがデータベース化されているものとする。
組織側端末120Eは、それら移動関連情報を受信すると、この情報に含まれる個人識別ID等を利用して、自機内にあるデータベースを検索し、登録者個人の定期券情報を抽出する(ステップS505)。
図の例では、自宅最寄駅をスタート端末とし、勤務先最寄駅をエンド端末としている。また、この定期券情報には、定期券有効期間や改札口で個人を特定するために使用するバイオメトリクス情報等が含まれている。
また、図67は、自宅及び勤務先の最寄駅に設置される末端側端末と、その設置位置(改札機)と、その上位端末とを管理する改札機データベースの一例を示す図である。組織側端末120Eは、この図に示されるようなデータベースを自機内で管理している。
次に、組織側端末120Eは、定期券情報を参照し、その特定した場所(建物側端末110Wの設置駅)が、スタート端末側であるか、又はエンド端末側であるかを確認する。
この認識した場所情報が、スタート端末側であることを確認した場合には、抽出した定期券情報を基にエンド端末側を特定する。一方、エンド端末側であることを確認した場合には、抽出した定期券情報を基にスタート端末側を特定する。
なお、認識した場所情報が、スタート端末側又はエンド端末側でない場合については、組織側端末120E内で一時保管し、その後の移動関連情報の推移により処理を行う。
次に、組織側端末120Eは、前述の建物側端末110Wからの受信情報を、エンド端末側の建物側端末110WTに送信する(ステップS508)。
次に、建物側端末110WTは、自機内に格納された登録者の個人情報をあらかじめ検索し、その後ユニット内で動作が実行されたときに容易に格納情報を利活用できる、又は登録者個人を特定できる状態に準備しておく(ステップS509)。
また、建物側端末110WTは、受信した移動予告情報を、自機内の一時保管DB117WTに保管する。
登録者の移動予告情報が格納されている場合には(ステップS513/Yes)、登録者が建物側端末110WTのユニット内に移動したことを認識する(ステップS514)。
この際、建物側端末110WTは、登録者の個人情報の移動予告情報と、末端側端末160DTから受信した情報との内容が、場所的又は時間的に整合するか検証処理を行い、検証結果が整合と判断しているものとする。
また、このように、建物側端末110WTは、登録者の個人情報の利活用場所の移動が開始した旨を示す移動予告情報を、あらかじめ格納していることによって、上位端末である集約側端末150ATや認証システムサーバ10Aが有する情報との照合を実行する前に、登録者個人の個人情報の利活用ユニットの移動を認識できるようになる。
この移動予告達成情報により、集約側端末150ATと認証システムサーバ10Aは、登録者個人が実在する最新のユニットが建物側端末110WTとなったことを認識する。また、集約側端末150AT及び認証システムサーバ10Aは、以前に格納した移動関連情報を消去する。
末端側端末160DTから受信した情報により作成された、新しい移動停止情報は、建物側端末110WT内の一時保管DB117WTに保管する。
末端側端末160Dは、建物側端末110WTより許可情報を受信すると、自機に付帯する改札扉を開けて、登録者個人の駅構外への退場を許可する。
記載以外の手順や考え方については、第23又は第24の実施形態を参照する。
(情報の移動4)
ここでは、登録者が、通勤先の最寄駅から勤務先に到着する時点までの、その登録者により利活用されるユニットの移行について説明する。
図68は、本実施の形態の認証システムにおける登録者の通勤先の周囲の各端末の設置例を示す図である。
図の例では、勤務先のビルの通用口に末端側端末160HL、160hL、正面玄関に末端側端末160HK、160hK、これらビルに設置される末端側端末を管理する建物側端末110HK、この建物側端末110を管理する集約側端末150HKが設置されている。
また、そのビル内にある勤務先の入口には末端側端末160E、160Ee、これら勤務先に設置される末端側端末を管理する建物側端末110CK、この建物側端末110を管理する集約側端末150CKが設置されている。
また、図69は、その認証システムを構成する各端末やサーバ間のネットワーク構成例を示す図である。
この図において、登録者が通勤先の最寄駅から通勤先の入口ドアに到着するまでに関係する経路が実線で示されている。
ユニット同士が包含の関係にある場合、構成分子ユニット内で個人の実在が確認された場合、その実在情報が母体ユニットを構成する端末にも送信されて当該個人が母体ユニット内で存在すると認識されるように、端末の情報伝達は設計されている。
本実施の形態では、さらに、登録者がその母体ユニット内のどの構成分子ユニットに存在するかを認識するようにする。
例えば、登録者個人が、大型ビルという母体ユニット内に入ったことは認識されても、廊下やエレベータ内に存在していることもある。そこで、構成分子ユニットまで到達しているか否かを明確にするために、勤務先単位とビル単位とで個別のユニットを構築する。
この図の例では、建物側端末110HKは、その上位端末である、1階入口を管理する集約側端末150HKと接続されている。
また、建物側端末110HKは、集約側端末150HKを介して母体ユニット(建物全体)を管理する集約側端末150HZに接続することによって、間接的に各構成分子ユニットを管理する各集約側端末150CK、150HH、150HE、150HM、150HTとも接続されている。
建物側端末110HKは、登録者の認証後に、その認証の履歴等を、前述の接続される母体ユニットの集約側端末に対して送信する。
以下、1つ目のパターンの認証動作について説明する。
なお、この認証動作については、前述した駅構内における認証動作とほぼ同様であるので、詳細については省略する。
登録者個人は、勤務先のビルに到着すると、ビル入口に設置された末端側端末160HLや末端側端末160HKにタッチしてバイオメトリクス情報を読み取らせ、末端側端末は、その読み取ったバイオメトリクス情報と移動情報を建物側端末110HKに送信に送信する。
建物側端末110HK等は、その送信されたバイオメトリクス情報等に基づいて、その登録者の認証を行う。ここで、認証が成功した場合、建物側端末110HKは、ビル内への入場を許可する旨の情報を、そのバイオメトリクス情報を読み取った末端側端末に送信する。
その許可情報を受信した末端側端末は、ドアを開く等して、その登録者に対してビル内への入場を許可する。
建物側端末110CK等は、その送信されたバイオメトリクス情報等に基づいて、その登録者の認証を行う。ここで、認証が成功した場合、建物側端末110CKは、勤務先事務所内への入室を許可する旨の情報を、そのバイオメトリクス情報を読み取った末端側端末に送信する。
その許可情報を受信した末端側端末は、ドアを開く等して、その登録者に対して勤務先事務所内への入室を許可する。
通常、登録者は、前述のパターン1のように、建築物の入口で認証を行い、次に勤務先の入口で認証を行う。しかし、例えば、朝の慌しい時間の中では、建築物の入口での認証行為を省くこともありうる。本パターンでは、このような、登録者がある地点での認証行為を省いたときの認証システムによる認証動作について説明する。
以下、このシーケンスチャートに沿って、勤務先における2パターン目の認証動作について説明を進めていく。
なお、本パターンにおいても、前述した駅構内における認証動作と同様である箇所については省略して説明する。
その後、建物側端末110CKは、集約側端末150CKに対して、登録者の移動停止情報と、自機ユニット外での利活用停止を示す情報とを送信する(ステップS524)。
次いで、集約側端末150CKは、認証システムサーバ10Aに対して、登録者の移動停止情報と、自機ユニット外での利活用停止を示す情報とを送信する(ステップS525)。
集約側端末150CKは、この受信した許可情報を格納する(ステップS528)。
集約側端末150ATのユニット内の各端末は、この消去のための情報を受信すると、該当する登録者の移動関連情報を消去する。この結果、構成分子ユニットである集約側端末150CKが管理するユニット内で、登録者の認証処理や移動関連情報の保有が行われることとなる。
集約側端末150HZは、受信した許可情報を自機内に格納した後に(ステップS531)、自機の下位端末である建物側端末150HKに、その許可情報を送信する(ステップS532)。その許可情報を受信した集約側端末150HKは、自機内にその受信情報を格納する(ステップS533)。
一方、その許可情報を受信した建物側端末110CKは、その許可情報を自機内に格納した後に(ステップS534)、自機の下位端末であり、バイオメトリクス情報の読み取りを行った末端側端末160Eにその許可情報を送信する(ステップS535)。
末端側端末160Eは、その受信した許可情報に含まれる認証の判定結果に基づいて、その登録者に対する勤務先への入場の許可又は許否の動作を行う(ステップS536)。例えば、判定結果が入場を許可するものであれば、末端側端末160は、勤務先事務所へのドアの鍵を開錠して、入室を許可する。一方、その入場を拒否するものであれば、再度のバイオメトリクス情報の読み取りを促す旨のメッセージや、入室を拒否する旨のメッセージを表示する。
「表移動停止情報」には、「裏移動停止情報」を有する端末を特定するための情報が付帯されているものとし、「裏移動停止情報」には、「表移動停止情報」を有する端末を特定するための情報が付帯されているものとする。
その後、登録者が、現在のユニットの管理エリア外へ移動することになった場合、前述の消去情報を受信した「表移動停止情報」を格納する端末は、自機内の移動停止情報を消去するとともに、「裏移動停止情報」を格納する端末に同様に消去情報を送信する。この消去情報を受信した「裏移動停止情報」を格納する端末は、同様に自機内の該当する移動停止情報を消去する。
また、「裏移動停止情報」の格納端末が消去情報を受信した場合も同様に、自機内の該当する移動停止情報を消去するとともに、この消去情報を「表移動停止情報」を格納する端末に送信し、その「表移動停止情報」を格納する端末は、該当する移動情報を消去する。
このようにして、「表移動停止情報」及び「裏移動停止情報」の双方が消去される。
(情報の移動5)
この実施形態では、前述した例と同様に、登録者個人を取り囲むユニット(百貨店のテナント)が、より大きなユニット(百貨店)に取り囲まれて構成されている。
図72は、本実施の形態において、百貨店に認証システムを構築したときの各端末の設置例を示す図である。
この図の例では、この百貨店には、テナントC、Dが入っている。
図に示すように、この百貨店の建物の出入口には、末端側端末160A、160a、160B、160bが設置されている。また、テナントCの出入り口には末端側端末160C、160cが、そのテナント内には建物側端末110C、集約側端末150Cが設置されている。同様に、テナントDの出入り口には末端側端末160D、160dが、そのテナント内には建物側端末110D、集約側端末150Dが設置されている。さらに、建物側端末110A及び集約側端末150Aは、百貨店全体を管理している。
この図の実線及び点線は、各端末間を接続するネットワークを示しており、そのうち、実線は、以下に説明する認証処理の際に情報が送受信される経路を示している。
登録者個人は、テナントDでの買い物を終え、移動しようとする際に、出口に設置された末端側端末160dにタッチしてバイオメトリクス情報を読み取らせ(ステップS541)、末端側端末160dは、その読み取ったバイオメトリクス情報と移動情報を建物側端末110Dに送信する(ステップS542)。
さらに、集約側端末150Cは、その受信情報を建物側端末110Cに送信する(ステップS553)。建物側端末110Cは、その受信情報を自機内に格納した後に(ステップS554)、末端側端末160Cに送信する(ステップS555)。
末端側端末160Cは、その「実在連続性の検証が完了した」旨を示す許可情報を受信すると、「認証が行われた」旨のメッセージを表示したり、ある種のサービスを提供したりする(ステップS556)。
集約側端末150Dは、その消去情報を受信すると、該当する登録者の移動開始情報を消去した後に、その消去情報を建物側端末110Dに送信する(ステップS558)。建物側端末110Dは、その消去情報を受信すると、該当する登録者の移動開始情報を消去する。
このとき、登録者個人は、母体ユニット内に留まっているのであって、その内部以外での情報の利活用は存在しない。このため、母体ユニットの集約側端末150で認証を行うことで登録者の実在性及び移動情報の連続性は十分に証明されることとなるので、認証システムサーバ10による認証は必要がなくなり、認証システムサーバ10の負荷軽減を図ることが可能となる。
また、このとき、母体ユニット外での情報の利活用が停止された状態であるので、個人情報を悪用できなくなり、個人情報保護の高度なセキュリティが実現される。
(情報の移動6)
以下、登録者が航空機等の移動手段を利用して移動するときの、認証システムによる認証処理について説明する。なお、以下に示す例では、登録者は、自宅から最寄の空港(羽田空港)へ移動して航空機に搭乗し、移動先の空港(福岡空港)に向かうものとする。
なお、以下、特記しない限り、本実施の形態における処理は、前述の登録者の通勤時の処理と同様であるものとする。
図に示すように、登録者の自宅には、集約側端末150A、建物側端末110B、組織側端末120A、末端側端末160A、160Bが設置されている。このうち、自宅の室内には汎用PC等の末端側端末160Aが設置され、自宅入口のドアノブには末端側端末160Bが設置されている。
また、自宅の最寄の羽田空港には、集約側端末150E、建物側端末110F、組織側端末120E、末端側端末160E、160Fが設置されている。このうち、空港構内には末端側端末160Eが設置され、搭乗改札機には末端側端末160Fが設置されている。
また、移動目的地の最寄の福岡空港には、集約側端末150G、建物側端末110H、組織側端末120G、末端側端末160G、160Hが設置されている。このうち、空港構内には末端側端末160Gが設置され、搭乗改札機には末端側端末160Hが設置されている。
また、これらの航空業務を行う航空会社(の事業所などの会社施設)には、集約側端末150C、建物側端末110D、組織側端末120C、末端側端末160C、160Dが設置されている。このうち、会社施設内には末端側端末160Cが設置され、会社施設入口には末端側端末160Dが設置されている。
この図において、登録者が自宅の末端側端末160Aを用いて航空券を予約購入する間に関係する移動関連情報の移動経路が実線で示されている。
この際に末端側端末160Bから受信したバイオメトリクス情報による個人実在認証の結果、建物側端末110Bより移動停止情報が作成の上、送信されている。集約側端末150Aは、建物側端末110Bより受信した移動停止情報と、他ユニットの集約側端末150より受信した移動開始情報とを整合させ、登録者個人が個人宅というユニット内に存在し、その登録者の移動情報が連続性を有していることを認識していることとなる。なお、この処理については、前述のものと同様であるので、詳細については省略する。
ここで、個人情報の照合が整合した場合、組織側端末120Aは、次にその登録者個人が移動履歴との整合性を有しているか判定して、総合的な個人の実在を検証することになる。(ステップS603)
この結果、情報が整合する場合には、集約側端末150Aは、登録者個人が実在すると判断し、登録者個人が組織側端末120Aや末端側端末160Aを利活用すること認める許可情報を、組織側端末120A及び末端側端末160Aに対して送信する(ステップS606)。
この組織側端末120Cは、当該航空会社が搭乗予約処理や、顧客別マイレージ管理や、搭乗状況管理等を行うために設けた顧客管理DBを管理する。
ここで、「行動の基点」とは、登録者が所定の行動を行う場合に、その行動を開始する地点を示す。本実施の形態では、登録者は、航空機搭乗日に、まず自宅から出発するので、「行動の基点」は自宅となる。また、「行動の基点となる予定のユニット」とは、この自宅において登録者の行動を管理する集約側端末150Aが管理するユニット(端末150A、110B、120A、160A、160Bからなるユニット)を示す。
組織側端末120Cは、予約処理完了後に、移動予告情報を作成し、登録者個人が当日の行動の基点となる予定のユニットを示す情報と共に、自機を管理する航空会社の集約側端末150Cに送信する(ステップS610)。
次に、集約側端末150Cは、その受信した移動予告情報等を自機を管理する認証システムサーバ10Bに送信する(ステップS612)。
移動予告情報等を受信した認証システムサーバ10Bは、その受信情報を自機内の一時保管DB17Bに格納する(ステップS613)。次に、認証システムサーバ10Bは、その受信した移動予告情報等を、登録者個人が当日の行動の基点となる予定のユニットを管理する認証システムサーバ10Aに送信する(ステップS614)。
移動予告情報等を受信した認証システムサーバ10Aは、その受信情報を自機内の一時保管DB17Aに格納する(ステップS615)。次に、認証システムサーバ10Aは、その受信した移動予告情報等を、登録者個人が当日の行動の基点となる予定のユニットを管理する集約側端末150Aに送信する(ステップS616)。
移動予告情報等を受信した集約側端末150Aは、その受信情報を自機内の一時保管DB157Aに格納する(ステップS617)。
(情報の移動7)
以下、登録者が、航空機搭乗日に、自宅を出て空港に向かうときの、認証システムによる各種動作について説明する。ここでは、個人が航空機を予約して移動するイメージを4段階に分けて説明する内の第2段階である。
この外出情報認識がされると、建物側端末110Bは、個人宅の集約側端末150Aに対して、移動開始情報を送信する(ステップS624)。
次に、集約側端末150Aは、前述の航空券予約に係る移動予告情報が自機内に格納されているか否かを判断し(ステップS626)、その移動予告情報が格納されている場合には(ステップS626/Yes)、その移動予告情報と、その受信した移動開始情報との内容を比較照合する(ステップS627)。
集約側端末150Aは、その移動開始情報の内容が当該移動予告情報に合致していると認識した場合には、当該移動予告情報の送信元である認証システムサーバ10A、10B、集約側端末150C、組織側端末120Cに対して、移動予告情報に基づく行動が開始されたことを通知する移動通知情報を送信する(ステップS628)。
移動通知情報を受信した端末は、自機が含まれる又は管理するユニットの各端末に対し、利用可能性情報を送信することもある。利用可能性情報は、各端末が属するユニット内に登録者個人が存在していると認識されていないが、今後そのユニット内で登録者個人の個人情報の利活用が行なわれる可能性があるため、認証処理等の準備を促す旨を示す情報である。
この通知により、登録者の行動経路上の端末等は、その登録者の個人情報の抽出を事前に行うことができるので、実際に登録者からのアクセスがあった場合に瞬時に情報処理を行うことが可能になる。
また、その行動予定とかけ離れたユニットや場所での個人情報の利活用は、異常値データとして認識することも可能となり、登録者の個人情報の悪用や流用を防止することが可能となる。
(情報の移動8)
図80は、登録者が航空機等の移動手段を利用して移動するときの、認証システムを構成する各端末やサーバ間のネットワーク構成例を示す図である。
この図において、登録者が空港に到着し、航空機に搭乗するまでの間の移動関連情報の移動経路が実線で示されている。
次に、組織側端末120Cは、その抽出した情報を、自機を管理する集約型端末150Cを介して、登録者の航空機搭乗に関係するユニットや端末に対して送信する(ステップS642)。
この送信された抽出情報は、経由端末の故障や、情報の消失に備えて複数箇所で、それぞれの一時保管DBに格納されることが望ましい。
本実施の形態では、この抽出情報は、認証システムサーバ10B、集約側端末150E、建物側端末110F、組織側端末120Eの各一時保管DBに保管される(ステップS643〜S646)。
このうち、建物側端末110Fは、今後登録者個人が自機の管理するユニット内に移動してくる状況を認識するために必要な個人識別を行うための比較情報としてその抽出情報を格納する。
また、組織側端末120Eは、今後、その登録者の当日の搭乗便名やフライト状況に変更が生じたときに、その作業に対応するための情報としてその抽出情報を格納する。
建物側端末110Fは、ステップS647にてバイオメトリクス情報を入力した人物が、登録者個人が予約を行った当事者であり、搭乗希望者であることを確認できた場合、その個人情報を入力した人物に対して該当する航空機への搭乗を許可する許可情報を、末端側端末160Fに送信する(ステップS652)。
末端側端末160Fは、この許可情報を受信すると、末端側端末160Fが設置された改札機の扉を開扉させる(ステップS653)。
また、建物側端末110Fは、登録者個人が航空機に搭乗するためのユニット内に移動したことを受けて、これまでの移動関連情報や抽出情報を消去するための移動予告達成情報を、認証システムサーバ10B及び集約側端末150Eに送信する(ステップS654)。
また、航空機搭乗のために登録者の個人情報を必要としなくなった端末やサーバは、その個人情報等を消去するので、第三者が登録者個人になりすまして、その個人情報を使用することが防止可能となる。
同様に、本認証システムを活用すれば、航空券や定期券や乗車券、紙幣や貨幣、各種カード、携帯電話や携帯端末といった媒体物は全て不要となり、「モノ」の紛失や盗難等のリスクは一切排除することが可能となる。
この場合、登録者は、自宅などに設置される末端側端末160を用いて、自身のバイオメトリクス情報を読み取らせるとともに、移動経路や移動手段の検索を行うと、末端側端末160は、その検索した複数の経路の内、利用すると思われる経路をマイニング技術によって1つ又は複数認識して、その経路上に設置される端末に対して、その読み取ったバイオメトリクス情報を含む移動予告情報を送信する。
複数選択を行う理由は、第一予定経路が天候による不通や、事故による遅延等が発生した際に、迂回手段として利用することも考えられるためである。
この結果、登録者の行動が一度開始されれば、その移動関連情報が、現在地の次の目標地点に対して順々に送信されることになる。これは、陸上競技のリレーの次走者が、現在の走者の状況に応じてコース上で待受けるように、移動関連情報を受け取る予定のユニット又は端末は状況を事前に伝えられて、利活用の準備が行うことが可能となる。また、登録者の行動経路上の各端末やサーバは、実在認証やサービス提供等のために必要な情報処理を事前に開始する場合、処理行為を円滑又は優先的に実現させることが可能となる。
一方で、その登録者の個人情報を利活用するユニット及び端末を特定できるため、その登録者の行動経路外ユニットや端末での利活用を制限することを可能とし、利便性とセキュリティ確保の両面を図ることができる。
(情報の移動9)
ここでは、個人が航空機を予約して移動するイメージを4段階に分けて説明する内の第4段階である。
以下、登録者が予約しておいた航空機に搭乗し目的地に到着するまでの、認証システムによる各種動作について説明する。
この図において、登録者が航空機に搭乗し目的地に到着するまでの間の移動関連情報の移動経路が実線で示されている。
互いに遠距離に位置するユニット間を短時間で移動するときには、人間は航空機、電車又は車といった移動手段を1つのユニットとして利活用する。
第1の機能は、前述したように、バイオメトリクス情報を利用することで、搭乗者は航空券を所持することなく、チケットレスサービスが利用可能となる点である。
第2の機能は、その移動手段への搭乗確認を容易にし、座席に着席していない搭乗者の現在位置を容易に検索し、座席に着くように促す旨の必要な案内等を、その登録者に対して行うことができる点である。
建物側端末110Mは、その予め自機内に格納されていたバイオメトリクス情報と、末端側端末160Mから受信したバイオメトリクス情報と、を比較照合し(ステップS663)、登録者と実際の搭乗者とが合致するか判断する(ステップS664)。
この際、合致した場合には、建物側端末110Mが構成するユニット外において、この登録者による本認証システム利活用を異常と判定するための移動停止情報を、関係端末に対して発信する。
一方、不一致だった場合には、航空機内にいる乗務員が操作する端末に対し、「不一致により確認作業必要」という内容を示す情報と、その不一致であった搭乗者の座席番号とを通知する。乗務員は、この不一致情報を確認して、再度の本人確認や、その搭乗者を正しい予約座席へ移動させる等の必要手続を行う。
建物側端末110Mは、この抽出した未着席搭乗者情報を、認証システムサーバ10B、離陸側の空港を管理する集約側端末150E及び建物側端末110Fに送信する(ステップS666)。
存在する場合には、認証システムサーバ10B、集約側端末150E又は建物側端末110Fは、各自機内に格納されている、登録者が最後に個人情報の入力/読取を行った時期を互いに送信して確認し、本認証システム内で登録者個人を最後に認識したユニットを確定する(ステップS670)。
ユニット確定後、当該ユニットを管理する端末(本実施形態では、建物側端末110F)は、その確定したユニット内のアナウンス用の末端側端末160に対し、未着席搭乗者に搭乗の最終案内を告げるアナウンスを実施する旨の許可情報を送信する。
そのアナウンス用の末端側端末160は、その許可情報を受信すると、未着席搭乗者に搭乗の最終案内を告げるアナウンスを実行する(ステップS671)。
前述の搭乗者確認が行われて着席した後でも、登録者が他のユニットに移動できる状態にある場合、センサーが搭乗者の一定時間以上の離席を感知すると、空席となったと認識して、認証システムの各端末に通知するようにしておくこともできる。
人間が他のユニットに移動できる状態とは、例えば、航空機であれば、離陸準備のため搭乗口が閉鎖される前と、着陸後に搭乗口が開けられた後とをいう。電車であれば、駅を出発するために乗車口ドアが閉められる前と、着駅で乗車口ドアが開いた後をいう。車であれば、発車のためにドアが閉められる前と、そのドアが開けられた後をいう。
その移動手段のユニット内の端末は、登録者を物理的に移動させる移動手段のユニットのドアが閉まった後で、そのユニット内で登録者本人の実在性が確認できると、登録者個人は、その移動手段と一緒に移動していると推測する。このとき、その移動手段内の端末は、その移動手段の目的地情報により移動関連情報をその後関係すると思われる他の端末やサーバに送信する。
なお、車両の場合では、車載GPS機能と時刻証明手段とを結合する運用構造にしておき、当該車両のドアがロック又は開錠した場合に、当該車両の位置と実施時間の双方をリンクさせて認識できるようにして、移動場所の把握を可能とする。
この離陸時間情報は、その計測された離陸時期を示す情報と、送信元の建物側端末110Mの端末識別IDと、その航空機への搭乗が確認済みの登録者の識別IDとを含むものである。
次に、建物側端末110Mは、これまでの個人情報の管理の最新集約先である認証システムサーバ10Bと、これから管理開始基点となる福岡空港の集約側端末150Gに対して、着陸時間情報を送信する(ステップS677)。
この着陸時間情報は、その計測された着陸時期を示す情報と、送信元の建物側端末110Mの端末識別IDと、その航空機への搭乗が確認済みの登録者の識別IDとを含むものである。
これ以降、集約側端末150Gが管理するユニットが、起点となって、登録者の認証処理等を行っていくことになる。
また、個人情報の認証により、登録者がこの移動手段内にいることが証明されたとき、その登録者個人の個人情報が、その移動手段のユニット外で入力されても、本認証システムの利活用を停止又は制限することで、第三者による登録者へのなりすましを抑止することが可能となる。
各端末に対して、登録者が予定外の行動をしている場合にこのことを警戒する旨のアラームを報知するように設定されているときでも、前述のようにその変更要求が送信されることにより、無駄にそのアラームを報知することを防止することができる。
例えば、航空機が羽田空港を離陸後、天候により、目的地が福岡空港から長崎空港に変更されたとする。このとき、その航空機に設置された建物側端末110Mは、その変更を航空機の搭乗員からのキー入力等に基づいて認識すると(ステップS680)、移動目的地が、福岡空港の集約側端末150Gで管理するユニットから、長崎空港を管理する長崎空港の集約側端末150Mに変更になった旨を示す情報を、関係する端末に送信する(ステップS681)。
このように、目的地が変更された場合には、移動手段内の端末は、移動中に、移動関連情報の変更を要求する旨の情報を変更前の目的地の端末に送信するとともに、新たな移動関連情報を変更後の目的地の端末に送信するので、登録者の行動予定が急に変更した場合であっても、登録者個人の労力を使うことなく、その個人認証を円滑に行うことが可能となる。
(情報の移動10:データマイニング1)
以下、本実施の形態では、登録者の過去の移動履歴から、登録者の移動経路を予測し、その予測した移動経路をマイニング情報として、関連する各端末に送信する。
図84は、本発明の第32の実施の形態において、登録者個人の履歴情報から利活用端末状況を抽出して予想経路を算定するための動作例を示すシーケンスチャートである。
また、帰省や出張のために交通機関を利用する場合でも、概ねの経路は一定である。
また、当然のことながら、同一人物が、同時に異なる場所に存在することはありえないことである。
そこで、本実施の形態では、認証システムは、蓄積された登録者の過去の履歴情報に基づいて、その登録者の行動をパターン化して、各登録者個々にカスタマイズされた予想移動経路をマイニング情報として作成するものとする。
認証システムは、登録者による個人情報入力の時期、入力した端末の識別ID、利用回数、登録者の交通機関の予約状況及び個人情報の入力目的(ドアの開扉等)等を分析し、予想移動経路の算出を行う。
また、認証システムの各端末やサーバは、この作成した予想移動経路情報を格納するようにしてもよいし、各自機の個人フォルダ内に既に存在する各種データベースの一部をマイニング情報として認識できるようにして準備するようにしてもよい。
本実施形態では、認証システムサーバ10Aは、登録者がある期間内(月曜日の午前中)に、利用したユニットの利用順(利用パターン)を抽出し、その利用パターンの頻度の多いものから順に並べ替えて基礎情報データベース14Aに格納する。
ここでは、一日を午前と午後に分割し、行動開始したユニット(第1ユニット)を管理する集約側端末150の端末識別IDと、経由したユニット(第2、第3ユニット)を管理する集約側端末150の端末識別IDと、目的地のユニット(最終ユニット)を管理する集約側端末150の端末識別IDとを表示している。
次に、認証システムサーバ10Aは、自機内に格納された履歴情報に付帯している端末の端末識別IDを基に、その識別IDの端末を管理する集約側端末150及び、付帯されている端末識別IDが集約側端末150であれば当該集約側端末に対して、前述の決定条件を送信し、履歴情報の抽出処理を指示する(ステップS802)。
この際、各集約側端末150は、全ての履歴情報を対象に抽出処理を行う必要はなく、各集約側端末150から認証システムサーバ10Aにバックアップ情報として未送信の履歴情報だけを抽出対象に限定することもできる。
各集約側端末150は、抽出処理完了後、認証システムサーバ10Aに対して、その抽出処理の結果情報を送信する(ステップS806)。
次に、認証システムサーバ10Aは、これらの抽出した履歴情報を基に、登録者が所定の行動をとるときの、行動開始時間や行動開始場所といった項目を分析する(ステップS809)。
なお、登録者個人ごとに行動パターンは異なっており、毎日特定の場所に通学や通勤する人と、毎日ばらばらに必要関係先に出掛けている人では、その分析対象とする行動の内容が異なるようにしてもよい。
この結果、以下に説明するパターン接続とポイント接続とを予想することが可能となる。
このパターン接続とは、ある端末を経由すると次に認識されると予想される端末が複数存在する場合である。図85の例では、第1ユニットの集約側端末150Aを経由すると、第2ユニットで次に予想される端末は集約側端末150Eと集約側端末150Gの2つがある場合である。
一方、ポイント接続とは、ある端末を経由すると次に認識されると予想される端末が、1つしか存在しない場合である。図83の例では、第3ユニットの集約側端末150Kを経由すると、第4ユニットで次に予想される端末は集約側端末150Pだけの場合である。
なお、第17の実施形態での接続先は、登録者の個人情報の登録や認証、データの一時保管等のために設けられた端末である。一方、本実施形態で定義する接続先とは移動関連情報の送信先の端末を指す。
その後、認証システムサーバ10Aは、作成したマイニング情報を各集約側端末150に送信する(ステップS812)。
各集約側端末150は、そのマイニング情報を受信すると、その受信したマイニング情報を自機内の所定場所に格納し(ステップS813〜S815)、その後の移動情報の作成や移動関連情報の送信等の各種処理時に、このマイニング情報を利活用する。
比較の結果、各端末やサーバは、その新たに入力された履歴情報が、従来の行動パターン情報と不整合であると判断した場合には、「その個人情報を入力した人物は登録者個人ではない」と推定し、本認証システムの利活用を停止又は制限することや、アラーム情報により関係者に通知することで、登録者個人生活全般のセキュリティを高めることになる。
(情報の移動11:データマイニング2)
本実施の形態では、マイニング情報から、将来的に登録者が向かう移動先を割り出し、その移動先に設置されている端末に対し、各処理の準備を予め行っておくように指示することで、処理の効率化を図る。
本実施形態では、登録者個人が休日午後に、自宅から買い物を目的として、スーパーマーケットに来店するときの、認証システムによる各種動作について説明する。
図86は、登録者の自宅及びスーパーマーケット周囲における認証システムを構成する各端末やサーバ間のネットワーク構成例を示す図である。
この図において、登録者が自宅からスーパーマーケットを訪れるときまでの間に関係する経路が実線で示されている。
建物側端末110Aは、これらの情報に含まれる個人情報等を照合する(ステップS823)。
この結果、登録者の実在性が認められた場合、建物側端末110Aは、登録者が自宅から外出したことを認識し(ステップS824)、その登録者による末端側端末160Bからの認証システムの利活用を停止させる旨の情報を、末端側端末160Bに送信する(ステップS825)。
集約側端末150Dは、その移動開始情報を受信すると、当該登録者が利活用するユニットの移行が開始されたことを認識し(ステップS827)、その受信した移動開始情報と、自機内に格納されているマイニング情報とを比較照合して、そのマイニング情報に含まれる当該登録者の行動パターン情報から、最も頻度の高いものを抽出する(ステップS828)。
ここでは、一例として、曜日と行動を開始した時間帯との関係から、登録者が買い物のために外出したときの行動パターンを抽出したものとする。
認証システムサーバ10Aは、その移動開始情報を受信すると、当該登録者が利活用するユニットの移行が開始されたことを認識する(ステップS830)。
集約側端末150Bは、その移動予告情報を受信すると、今後の登録者による個人情報の入力に備えて、その登録者の個人情報を自機のデータベースから抽出しておく(ステップS832)。
第一に、マイニングによる予想ユニット又は端末では、登録者個人が自機ユニット内に移動してくることを予測し、事前準備を行うことで、その後のシステム処理を効率化させることが可能となる。
第二に、登録者個人が、マイニングによる予想先以外に移動することに備え、移動開始情報を認証システムサーバ10Aという広域をカバーする最上位端末にあらかじめ移動させることができる。
やがて登録者個人の個人情報を読み取った端末は、直前の移動開始情報を求めて当該端末の上位端末に順々に検索されることとなり、必然的に、読み取った端末の最上位認証システムサーバに対して検索を行うことになる。この結果、移動関連情報交換のために相互の検索や照会が実施できるのは、最上位認証システムサーバ同士だけとなり、移動関連情報の処理に関わる端末を最低限度に限定させることも可能となる。このため、システム全体に掛かる負荷を軽減することとなる。
(情報の移動12:データマイニング3)
本実施形態では、登録者が、休日夜間に自宅から急に散歩に出掛けるといったように、予め認証システム内で特定されている行動パターン以外の行動をとり、次に個人情報が入力される端末が特定できない場合の、認証システムによる各種処理について説明する。
この図において、登録者が突然行動パターン外の行動をとったときの、移動関連情報の移動経路が実線で示されている。
建物側端末110Aは、その受信情報に含まれる個人情報等を照合する(ステップS843)。
この結果、登録者の実在性が認められた場合、建物側端末110Aは、登録者が自宅から外出したことを認識し(ステップS844)、建物側端末110Aは、認証結果により移動開始情報を作成し、集約側端末150Dに送信する(ステップS845)。
集約側端末150Dは、その移動開始情報を受信すると、当該登録者の個人情報の利活用場所が移動を開始したことを認識し(ステップS846)、その受信した移動開始情報と、自機内に格納されているマイニング情報とを比較照合して、そのマイニング情報に含まれる当該登録者の行動パターン情報から、最も頻度の高いものを抽出する(ステップS847)。
なお、ここでは、曜日と行動を開始した時間帯との関係から、該当するパターン情報がない旨の情報を抽出するものとする。
該当するパターン情報やポイント情報が存在しない場合には、第一に、自機が設置されている場所に隣接する集約側端末150、第二に、その他の時間帯に利用している近隣の集約側端末150を選択するようになっている。
認証システムサーバ10Aは、その移動開始情報を受信すると、当該登録者の個人情報の利活用場所の移動が開始されたことを認識する(ステップS849)。
この集約側端末150ABCEFのうち、登録者の個人情報が入力された集約側端末150は、移動停止情報を認証システムサーバ10Aに送信する(ステップS851〜S853)。
認証システムサーバ10Aは、その新たに個人情報が入力された集約側端末150に対して、鍵の開錠等の所定の動作を許可する許可情報を送信する(ステップS855)。
集約側端末150Dは、認証システムサーバ10Aよりその他ユニット移動完了情報を受信すると、自機内の移動開始情報を消去させ、ステップS850で移動予告情報を送信した集約側端末150(ステップS851〜S853の動作を行った集約側端末150以外)に対して、その他ユニット移動完了情報の送信を行う(ステップS857)。
これにより、集約側端末150Dからの情報は存在しなくなり、新たな個人実在を確認した集約側端末150を起点とする体制が構築できるのである。
例えば、現在のメッシュ無線情報システムでは、無線エリア内に存在し、無線を受信できる機能がある全ての端末に情報が伝送されてしまい、その結果、情報流出リスクが高く、システム全体では負荷も大きくなってしまう。
これに対し、本実施の形態における認証システムでは、端末が限定されるために情報流出リスクが低く、システム負荷も軽減が可能となっている。
(情報の移動13)
図90は、本発明の第35の実施の形態において、移動先に個人実在情報があった場合の動作例を示すシーケンスチャートである。ここでは、個人が勤務先建物に到着した時点をイメージして説明する。
建物側端末110Bは、自機内に格納されている情報と、その受信情報とを比較照合し(ステップS863)、登録者の実在性の確認処理を実行するとともに(ステップS864)、今回受信した情報の内から必要な情報(個人情報を読み取った登録者の個人識別ID、読取時期、読み取った端末の端末識別ID等の履歴情報)を新たに自機内に格納する。
また、建物側端末110Bは、勤務先の建築物のユニット内に、登録者の移動停止情報が格納されているか確認する。
このように、同一人物が異なる場所に存在すると認識された場合、本件では勤務先の建物の入口に到着した人物が登録者本人である場合には、勤務先内で他人がその登録者に成りすまし行動している可能性がある。
そのため、建物側端末110Bは、末端側端末160Bから受信した移動情報の正当性が認められないと判断すると直ちに、異常事態を示す情報として「システム利用停止情報」を作成し、その作成情報を建物側端末110Bが管理するユニット内の全端末に送信する(ステップS866)。
また、このとき、認証システム全体の安全性を確保するために、建物側端末110Bは、集約側端末150や認証システムサーバ10にも通知しておくことが望ましい。
建物側端末110Bは、その登録者の実在性の再検証の結果を参照して、ユニット内に存在していた情報と、今回末端側端末160Bで読み取られた情報とのいずれが真実の個人の実在を示す情報かを検証した上で、そのバイオメトリクス情報入力による本認証システムの利活用を復活させる。
同一人物が、2ヶ所以上で同時に存在することは、当然ありえないことである。
登録者本人と、その登録者の個人情報とが分離して存在し、流用や悪用等がなされている場合であっても、本認証システムは、このような異常事態を容易に把握し、アラームを報知する等するので、このような情報特有の脆弱性を補完することができる。
(情報の移動14)
以下の本実施の形態では、登録者は、百貨店における客、店員又は警備員であって、その百貨店のビル内を移動する場合について説明する。
この図の例では、この百貨店には、テナントC、Dが入っている。
図に示すように、この百貨店の建物の出入口には、末端側端末160Bが設置されている。また、テナントCの出入口には末端側端末160Cが、そのテナント内には建物側端末110C、集約側端末150Cが設置されている。同様に、テナントDの出入口には末端側端末160Dが、そのテナント内には建物側端末110D、集約側端末150Dが設置されている。また、エレベータの搭乗口(出入口)には、末端側端末160Eが設置され、閉鎖中のエリアの出入口には末端側端末160Fが設置されている。さらに、建物側端末110Bは、このフロア(百貨店ビルの1階)を管理し、建物側端末110A及び集約側端末150Aは、百貨店ビル全体を管理している。
この図の実線及び点線は、各端末間を接続するネットワークを示しており、そのうち、実線は、以下に説明する認証処理の際に情報が送受信される経路を示している。
建物側端末110Aは、それらの情報を受信すると、その登録者の実在性認証や移動関連情報の連続性の確認等を行う(ステップS873)。
この結果、建物側端末110Aは、登録者の実在性等が確認できた場合、その受信した情報の中から、それらの情報の読取時期及び読取端末の識別IDを抽出し、この抽出情報を用いて、登録者の現在位置を示す現在位置表示ファイルを作成し、画面表示を行う(ステップS874)。
この図の例では、登録者がどの時期にどの場所にいたかについて、その登録者の個人情報を確認した末端側端末160の識別ID及び設置場所(建物、エリアの名称)と読取時間をテキスト情報で表示している。
この図の例では、登録者がどの時期にどの場所にいたかについて、建物やエリアの地図情報上で視覚情報として表示している。
この図では、登録者の現在位置が星印で示されている。また、この登録者の現在位置を示す情報とともに、その登録者の個人識別ID及び氏名、並びに個人情報の入力時期を表示するようにしてもよい。
なお、例えばテナントDとテナントCとを移動する間の廊下や、テナントCとエレベータEとを移動する間の廊下等に末端側端末160をさらに設置する等すれば、登録者の現在位置をさらに詳細に把握することができる。
さらに、建物状況を表す2次元地図又は3次元地図、4次元情報に、登録者個人の存在場所を組み込んだ方法で表示することもできる。
例えば、デパートの売り場の場合、各売り場を1つ1つを構成分子ユニットとし、デパート全体を母体ユニットとすれば、従業員が移動する度に、移動先にある端末にて個人情報を読み取らせることで、その従業員の現在の位置が容易に相互に把握できる。
また、緊急時には当該緊急事態発生場所に存在した人物の特定もでき、その他社会全般のあらゆる局面での利活用が可能となる。
例えば、従来の技術では、デパートの従業員がトイレに行く場合であっても、本人の同意なしに、無意識な状態で行動履歴をとられてしまう危険性があった。
同様に顧客の場合も、立ち止まった場所や歩いた売り場内の通路の記録が本人の同意なしに、無意識な状態でとられてしまい、興味がある又は興味を引いた商品群やサービスが第三者に把握されることになる。
本認証システムでは、登録者が自発的に末端側端末160に個人情報を読み取らせるようにすることで、このようなプライバシーの侵害を避けることができる。
このため、従来の様々な技術を駆使し、例えば、携帯電話の電波を基地局で読み取ったり、街角のカメラによって顔認証システムを稼働させたりといった、個人の意思に関係なく、その存在を認識しようとしていた監視社会的な状況と一線を画することも運用上許容されるのである。
個人の意思が尊重され、又は自己責任や自己判断によって、到着したユニット内の一切の端末で個人情報を利活用しなければ、その場所で行う行動についてプライバシーが確保されることにもなる。
(情報の移動15:登録者誘導処理1)
以下、本実施の形態では、登録者が建物内において現在位置から目的地まで移動するときに、認証システムが登録者を目的地まで誘導する処理を行う。
この図の例では、この百貨店には、テナントC、Dが入っている。
図に示すように、この百貨店の建物の出入口には、末端側端末160Bが設置されている。また、テナントCの出入口には末端側端末160Cが、そのテナント内には建物側端末110C、集約側端末150Cが設置されている。同様に、テナントDの出入口には末端側端末160Dが、そのテナント内には建物側端末110D、集約側端末150Dが設置されている。また、エレベータの搭乗口(出入口)には、末端側端末160Eが設置され、閉鎖中のエリアの出入口には末端側端末160Fが設置されている。さらに、建物側端末110Bは、このフロア(百貨店ビルの1階)を管理し、建物側端末110A及び集約側端末150Aは、百貨店ビル全体を管理している。
また、このフロア内の通路上には、末端側端末(ナビ)160W1〜W13が設置されている。この末端側端末160W1〜W13には、画面表示、ライト点灯、音声出力等により登録者を目的地へ誘導する機能が備えられている。
この図の実線及び点線は、各端末間を接続するネットワークを示しており、そのうち、実線は、以下に説明する誘導(ナビ)動作の際に情報が送受信される経路を示している。
ただし、この図において、末端側端末160Bと直接接続された建物側端末110Bは、末端側端末160Bと同一とみなし、シーケンスチャートに表記はしない。
また、末端側端末160W1〜160W13と直接接続された建物側端末110Wは、末端側端末160W1〜160W13と同一とみなし、シーケンスチャートに表記はしない。
建物側端末110Aは、この結果、その個人情報の入力者を登録者個人として確認できた場合、その受信した情報の中から、その情報の読取時期及び読取端末の識別IDを抽出し、この抽出情報を用いて、登録者の現在位置を示す現在位置表示ファイルを作成し、画面表示を行う(ステップS904)。
その後、建物側端末110Aは、登録者個人の実在性又は存在を確認した旨を示す情報を、末端側端末160Bに対して送信する(ステップS905)。
登録者は、その表示内容を確認して、末端側端末160Bを用いて、これから自分が訪問しようとしている建物内部の場所を入力する(ステップS906)。ここでは、末端側端末160Bに液晶等のタッチパネル画面が設置されており、その画面上に表示された名称に触れることで、希望目的地を選択できるようになっている。なお、末端側端末160Bには、あらかじめ、その画面上に表示されるテナント名や名称と、その設置場所を明確に判定できる端末識別IDとが互いに対応付けられているテーブルが格納されている。
ここで、登録者は、画面上の「テナントC入口」を選択すると、テナントCの入口に設置された末端側端末160Cの情報を選択したことになるように、認証システム内部で設定されている。
この最良の移動経路は、今回移動しようとしている登録者の状況と、建物の状況とを加味しながら、算出するものとする。
例えば、通常、この移動経路は最短距離の経路が導き出されるが、移動予定者が高齢者の場合、多少回り道になったとしても、段差が少ない経路や、エレベータ等を利用する経路を選択するものとする。
このナビ方法は、今回移動しようとしている個人の状況と、建物の状況とを加味しながら、決定されるものとする。例えば、移動予定者が視覚障害者であれば音声誘導、聴覚障害者であれば視覚的誘導するようになっている。
末端側端末160W1〜160W6は、その受信したナビシステム稼動用の情報を基に、ナビ表示の実行準備を行う(ステップS912)。
末端側端末160Bは、この入力動作により、登録者が行動を開始したと認識し、前述の作成済みの移動予告情報を目的地付近の末端側端末160Cに送信する(ステップS914)。末端側端末160Cは、この移動予告情報を受信すると、該当する登録者の個人情報等を自機内のデータベースから抽出して、登録者の移動に備える(ステップS915)。
末端側端末160W1〜160W6が建物の床に設置されており、端末内に発光ダイオードや電球といった視覚情報発信装置を付属させている場合には、登録者個人は順番に点灯するナビ端末を辿ることによって目的地(テナントC)に誘導される(以下では、このナビ方法をナビライトとする)。
また、末端側端末160W1〜160W6は、発光ダイオードが点灯する速度を、今回移動しようとしている個人の状況により、健常者が歩く速度から、高齢者が歩く速度のように変化させることができる。
また、同時期に複数の人がナビライトを利用することもあるので、建物側端末110Aは、末端側端末160W1〜160W6に対して、点灯や表示をする際に、それぞれ特有の色となるよう通知しておくこともできる。
また、経路が複雑な場合や、登録者が発光ダイオードの点灯を見失った等の場合には、登録者は、その時点で近隣にある末端側端末160に個人情報を読み取りさせれば、その読み取った端末と目的地の間で再度経路が設定、表示されるようにすることも可能である。
まず、末端側端末160Bで認識されるまでは、ビル集約型端末150Aで管理されるユニットの外でしか、利活用されない。
次いで、末端側端末160Bでナビ情報が表示され、登録者個人が移動を開始すると、末端側端末160Bと末端側端末160Cとを繋ぐ、ビルの廊下又はホール内でしか、利活用されない。
最終目的地である末端側端末160Cで認識されると、テナントCを管理する店舗集約型端末150Cで管理されるユニットの中でしか、利活用されない。
そのため、利活用されるユニットは、登録者個人の行動に伴って移動するため、他人によるなりすましを防止することができる。
(情報の移動16:登録者誘導処理2)
以下、第37の実施形態の登録者に対する移動経路の誘導動作の一部分について補足的に説明する。
なお、登録者個人の移動経路は既に認証システム内で認識されており、登録者はその移動途中にあるとする。
図の例では、ビル全体を管理する集約側端末150が設置され、その管理下に、そのビル内の所定エリアの末端側端末160を管理する建物側端末110A、110Cが設置されている。また、建物側端末110Aに管理される末端側端末160A、160Bと、建物側端末110Cに管理される末端側端末160C、160Dとが設置されている。
このうち、末端側端末160A、160Dは、登録者の接近を感知し、その個人情報(顔認証が可能)を読み取るセンサーとしての機能を備えている。また、末端側端末160B、160Cは、音声により登録者に移動経路を誘導する機能を備えている。
この図の実線及び点線は、各端末間を接続するネットワークを示しており、そのうち、実線は、以下に説明する誘導(ナビ)動作の際に情報が送受信される経路を示している。
建物側端末110Aは、その移動予告情報から個人情報を抽出して、個人情報の照合の準備を行う(ステップS925)。
以下、登録者個人が移動することで、建物側端末110Cにおいても同様の処理(ステップS933〜S939)が実行される。
建物の出入口、エレベータ出入口、エレベータボタン、部屋のドア等に末端側端末が設置されている場合、登録者が視覚に障害を持っていることを本認証システム内で認識すれば、必要な移動支援情報を提供することもシステム運用の中から容易になる。
例えば、エレベータであれば、降車階数を入力するボタンに末端側端末を設置しておき、階数を押した際に、端末が押した人物の指紋等からその人物の状況を認識して、支援の必要があれば移動予告情報を降車予定階の各端末に送信しておくことも実現できるようになる。
本認証システムでは登録者の実在登録時に様々な個人情報を登録できるので、登録者個人に何らかの身体的な障害が存在した場合、その状況下にあっても登録者個人に容易に伝達できる方法にデジタル誘導情報が変換されるように設定しておくもできる。
現在考えられている移動支援技術は、特定の身体的な障害に対応するものであるが、本認証システムでは汎用的な対応も可能とする。また、従来の移動支援技術は、人間がその設置場所に到着して初めて必要な手順を実施するが、本認証システムでは、移動予告情報を活用することで、瞬時の対応を可能とし、円滑な移動補助を行うことができる。
(情報の移動17:エレベータ動作制御)
本実施形態では、第37の実施形態の一部分について補足的に説明する。センサーはバイオメトリクス情報の内、顔認証システムを識別できる機能を有している。移動者は視覚障害者であり、マンションの5階に自宅があるものとする。
また、認証システムの各端末には、前述の登録者の行動履歴を表すマイニング情報が格納されているものとする。
図に示す例では、そのマンションの自宅には、その自宅ドアノブの外側と内側にそれぞれ末端側端末160A、160Bが設置され、自宅にはこれらの端末を管理する建物側端末110Aが設置されている。
また、エレベータの階指定及び動作ボタンに連動するように末端側端末160Cとともに、このエレベータの動作を制御する末端側端末160Dが設置されている。また、これら末端側端末160C、160Dを管理する建物側端末110Cがエレベータに設置されている。
この図の実線及び点線は、各端末間を接続するネットワークを示しており、そのうち、実線は、以下に説明するエレベータ動作制御の際に情報が送受信される経路を示している。
建物側端末110Aは、自機内に格納された情報と受信情報とを比較照合し、登録者実在確認を実施するとともに(ステップS943)、登録者個人が移動を開始したことを認識する(ステップS944)。
その後、建物側端末110Aは、集約側端末150に対し、その移動開始情報を送信する(ステップS945)。
本実施形態では、登録者は自宅を出発すると、5階から1階にエレベータにより移動することが認識される。
また、集約側端末150は、登録者が移動を開始したこと(登録者が利活用するユニットの移行が開始されたこと)を認識する(ステップS947)。
次に、集約側端末150は、エレベータを管理する建物側端末110Cに対して、マイニング情報等による移動予告情報と、移動開始情報の送信元(末端側端末160B)を示す情報とを送信する(ステップS948)。
本実施形態では、建物側端末110Cは、5階から1階に登録者個人が移動することを認識する。
次に、建物側端末110Cは、その受信した移動予告情報及び移動開始情報送信元情報と、自機の設置された空間情報とに基づいて、登録者が今後とる経路とその目的地を算出して推定する(ステップS950)。なお、この際に、自宅とエレベータドアとの既存の平均移動時間情報や、移動距離と平均歩速により算出した移動時間によって、エレベータドア前に到着する時間を予測しておいてもよい。
登録者個人が5階のエレベータドアに到着すると予想される時刻に、建物側端末110Cは、5階にエレベータが到着するように、末端側端末160Dに対して指示する(ステップS951)。
末端側端末160Dは、その建物側端末110Cからの指示に応じて、その到着予想時刻に5階に到着するようにエレベータの動作を制御する(ステップS952)。
例えば、認証システムが、登録者が帰宅途上であることを認識すれば、自動的に自宅の冷暖房機が稼動を始めることや、室内外の照明を点けるといった動作が可能となる。また、通勤途上であることを認識すれば、勤務先のPCやコピー機等の機器の稼動を開始させることも可能である。
このように、本認証システムでは、登録者が利活用するユニットの移行を支援するシステムが運用されることにより、登録者の行動範囲全般で、機器に円滑に動作準備を実行させ、個人に合わせた機能を自動的に提供することできるようになる。
従来のユビキタス技術は、個々の独立した技術が、ばらばらに存在した構成となっているが、本認証システムでは、これらの技術は人の行動に従属した1つの連動した仕組みとなり、総合的なサービスを登録者に提供できるようになるのである。
(情報の移動18:初回訪問時の脆弱性補完)
本認証システムでは、個人情報を利活用するとき、個人情報の照合による実在認証が必須である。このため、あらかじめ登録者個人は、関係している端末やサーバ等に対し、実在認証の基礎となる個人情報、例えば、バイオメトリクス情報を登録しておき、システムの利活用時に読み取った情報と比較照合して、実在認証を行うこととしている。
しかし、初めて訪問した場所には、原則的には比較照合する基礎個人情報が存在していない。
このようなとき、以下に説明する本実施の形態のように、電子記録媒体を介在させて、基礎個人情報が存在する端末と、現時点で利活用しようとする端末とをネットワーク上で接続させ、登録者が利活用するユニットの移行や移動関連情報の取得を補助させるものとする。
認証システムサーバ10がこの登録者の個人情報等を受信すると受信した内容を表示し、このサーバの管理機関は、この個人情報等を検討して、その人物の実在性について検証する。この登録者の実在性が認められた場合、この認証システムサーバ10は、その登録者に対して正式な個人識別IDを決定する(ステップS961)。
認証システムサーバ10は、この決定された個人識別IDを集約側端末150Aに送信する(ステップS962)。
この誘導電子記録媒体は、ICチップやICタグ等の電子記録媒体を示し、例えば、この誘導電子記録媒体は、ICカードやユビキタス・コミュニケーターや携帯電話等の情報携帯可能物に備えられている。
集約側端末150Aは、認証システムサーバ10からの指示通り手続完了した場合には、その完了通知を認証システムサーバ10に送信する(ステップS965)。
図106は、この完了通知の内容の一例を示す図である。
図に示すように、この完了通知は、情報携帯可能物の名称や、電子記録媒体の種類、格納日時、手続担当者名、手続場所等といった情報を含んでいる。この情報は、認証システムサーバ10にある登録者個人の個人フォルダに格納される(ステップS966)。
個人情報の流出を防止するため、個人名や住所等の基本情報さえも誘導電子記録媒体には格納はしないこととする。
また、個人情報の悪用を防止するため、誘導電子記録媒体を読み取った端末は、記録媒体格納IDのみを表示又は通知するようにし、他の内容は表示及び通知しないようにすることも可能である。
その誘導電子記録媒体が盗難や紛失にあった場合でも、誘導電子記録媒体の単体には登録者個人の個人情報等が最小限度しか格納されていないため、第三者は認証システムを全く利活用できないと共に、情報の流出リスクは最小限度に食い止められることとなり、セキュリティ効果が高められる。
まず、登録者個人は、末端側端末160に誘導電子記録媒体の中にある記録媒体格納IDを読み取らせる(ステップS967)。
末端側端末160は、読み取った記録媒体格納IDから、集約側端末150Aが登録者個人の情報照会先であることを認識する(ステップS968)。
次いで、末端側端末160は、登録者個人のバイオメトリクス情報を読み取り(ステップS969)、その読み取ったバイオメトリクス情報と移動情報と、実在認証依頼する旨を示す情報と、を集約側端末150Aに送信する(ステップS970)。
この結果、集約側端末150Aは、登録者の実在性と移動情報の連続性を充足できたと判断した場合には、末端側端末160に対し、システム利活用の許可情報を送信する(ステップS973)。
末端側端末160は、この集約側端末150Aから送信された許可情報を受信する(ステップS974)。
建物側端末110は、この末端側端末160の端末識別IDを受信すると、登録者が末端側端末160に移動したこと(登録者が利活用する端末が末端側端末160に移行したこと)を認識し(ステップS976)、移動開始情報を末端側端末160に対して送信する(ステップS977)。
この照会機能により、面前の人物から提供された個人情報がシステム内で比較照合することが可能となり、容易に本人実在を検証する仕組みが提供される。
なお、登録者個人が誘導電子記録媒体に頼らず、口頭や文書で個人識別IDと集約側端末150の端末識別IDの情報を伝えても、同様な効果があるのは言うまでもない。しかし、口頭の場合、個人識別IDや端末識別IDを間違って記憶していることや、入力の際に第三者に情報が認識されてしまうリスクがある。文書の場合では、「紙」という「モノ」に情報が記載されているために、文書の取扱い次第では、容易に第三者に情報が認識されてしまうリスクや、情報が回覧されてしまうリスクもあるので、極力、誘導電子記録媒体を利用することが望ましい。
例えば、登録者が初めて買い物や飲食のために入ったお店で個人実在認証を実施して、そのまま支払いのために電子マネーを使用することや、病院初診時に個人実在認証を実施して、既往の電子カルテ情報をその初診の病院側に提示し、銀行口座から引き落として診療費を支払うことができる。
このシステムにより、個人の実在と、社会活動で個人情報を利活用する行為、電子マネー、電子銀行口座、電子クレジットカード、電子身分証明書等が一体化された環境の中で運用されることになり、円滑な情報管理と安全性を提供することが可能となる。
(情報の移動19:誘導電子記録媒体を用いた匿名による取引)
以下に示す実施の形態では、登録者は、自身の氏名等の個人情報を伏せたまま、個人識別IDを提示し、末端側端末160を介したサービスの利活用(鍵の解錠、情報の提示、電子マネーの使用、保険契約など)を希望しているものとする。
この誘導電子記録媒体をシステム内で活用すれば、匿名性を保持したまま、様々な必要サービスの提供を受けることも可能である。
末端側端末160は、自機に設定されている利用目的(鍵の解錠、情報の提示、電子マネーの使用、保険契約など)を検討し、匿名での利用を許可するか否かを決定する。
匿名での利用が許可された場合、登録者は、自身の個人識別ID、利用内容及び日時の情報等を末端側端末160に登録する(ステップS1002)。
その後、その登録者による利用に問題がない場合には(ステップS1003/無)、末端側端末160は、その登録者個人の実名や住所等といった個人情報を認識しないままとなる。このまま、アフターサービスやクレーム申立て等の期間が経過すれば、その利用が完了した状態になる。
なお、登録者個人側から末端側端末160側に何らかの申立てや要求を行う場合には、ステップS1001にて登録した個人識別IDを末端側端末160側に提示することによって、認証システムの利用を行った本人であることを証明すればよい。
組織側端末120は、この捜査依頼を受信すると、警察側の承認を意味する入力がされた上で、この依頼内容に沿った捜査令状の内容を示す捜査令状情報を作成する(ステップS1005)。
組織側端末120は、認証システムサーバ10に対し、この捜査令状情報とともに、このサーバの管理機関側に該当する登録者の個人情報の開示を要求する旨の情報を送信する(ステップS1006)。
その確認後、認証システムサーバ10は、登録者個人の登録情報からその捜査に必要部分(氏名、性別、生年月日、住所、勤務先等)を抽出して(ステップS1007)、警察内の組織側端末120に送信する(ステップS1008)。
このとき、警察側は、組織側端末120の画面上にその登録情報を表示し、その表示内容を確認して情報公開の可否を判断し、組織側端末120にその可否を項目ごとに入力していくようにしてもよい。
組織側端末120は、このようにして決定した情報の開示範囲の情報を末端側端末160に送信する(ステップS1010)。
末端側端末160は、その開示可能な登録者の個人情報を受信すると、その受信情報を表示する(ステップS1011)。
その後、警察や末端側端末160側は、違法な手続や取引を行った登録者の捜査や訴訟の手続を進行させる。
もし、問題が生じれば、個人識別IDの対象者の個人情報は、認証システム内にある登録情報から必要情報を抽出できるだけでなく、今時点で個人識別IDの対象者の居所さえ把握可能である。
単に、実名を仮名に変換する方式では、個人の実在性と連続性を確保していないので、なりすましが混在するリスクがある。しかし、本認証システムでは、登録者の本人確認も実施した上で取引を行い、行動記録も残しているので、第三者がなりすます余地もなく、匿名とはいえ、取引の安全性を確保しているのである。
また、問題発生時には、当事者同士が、直接、認証システムサーバ10の管理機関に対して、開示要求を行える旨を取り決めた場合には、その契約意思を尊重して管理機関が開示してもよい。
この認証システムは、例えば、航空機の搭乗者と航空会社、又は搭乗者同士という公共交通機関利用にも応用できる。また、入院患者と病院、又は入院患者同士の例、宿泊客とホテル、又は宿泊客同士の例、講演会聴講者と主催者、又は聴講者同士という一定時間を共通空間で生活する例、CD又はビデオレンタル希望者とレンタル会社、又は民間私書箱の申込者と提供者、又はネットオークションの関係者といった実名非公開希望が多い商取引の場合にも応用できる。
(情報の移動20:同一バイオメトリクスの異形態登録)
以下、登録者個人は、認証システムサーバ10の管理機関を訪問して、自身の登録手続を行うときの、認証システムによる各種動作について説明する。なお、各種処理については、特記しない限り、第1の実施の形態と同様であるものとする。
また、末端側端末160AはA社製、末端側端末160BはB社製、末端側端末160CはC社製のものであり、それぞれの製造メーカー独自の読取方式によって指紋画像をデジタル処理化して照合するものとする。
末端側端末160Aは、読み取った情報を通信回線網200を介して当該末端側端末160Aの上位端末となるサブサーバ群に送信する(ステップS1022)。
また、サブサーバ群は、「仮個人識別ID」を登録者個人に付与し(ステップS1026)、この仮個人識別IDとともに、登録完了を示す情報を末端側端末160Aに送信する(ステップS1027)。
末端側端末160Aは、その登録完了情報を受信すると、ステップS1021にて読み取った自機内にある情報を抹消する(ステップS1028)。
その後、情報登録での同様の処理を行い(ステップS1031〜S1033)、末端側端末160Cでも同様の処理を実行する(ステップS1034〜S1038)。
このようにして、互いに異なる方式により読み取られた同一内容のバイオメトリクス情報を、1つの(仮)個人識別IDに対応付けられる。
現在の運用状況では、読取方法やデータ変換の違い、データ分析方法の違い等(以下、読取方法とする)から、それぞれのバイオメトリクス読取情報は互換性ない。さらに、既にバイオメトリクス情報読取機器が読取方式の異なるままに複数のメーカーから世界市場に供給され、もはや1つの技術方式に統一が困難であるため、認証システムにおいて、同一のバイオメトリクス情報を異なるものと認識してしまう可能性がある。
このような場合であっても、本実施の形態における認証システムを用いることにより、以後の活用の際に、一度の作業でデータベース内の複数の情報と比較照合が可能となり、登録者個人の利便性が向上する。
なお、登録者個人が自己判断で読取方法を選択し、登録してもよく、全ての読取方法で登録する場合もあれば、一部分だけの登録方法もある。
この図の例では、右手親指指紋を「101」、右手人指し指指紋を「102」、・・・と、各バイオメトリクス情報の内容をコードで示すことが定められている。
また、読取方式(読み取った末端側端末160)に応じて、「Aaa」、「Bbb」、・・・とコードが割り振られている。
例えば、末端側端末160Aで右手人指し指指紋を読み取った場合、そのバイオメトリクス情報のコードは、「Aaa102」となる。
設置された端末の端末識別IDの中に、この対象コードを含ませておけば、読取データの送信端末の端末識別IDと、データベース内の登録情報に付与された対象コードを比較照合することで、容易かつ瞬時に検索や識別を実行することができる。
また、認証システム内にハッカーが侵入した場合にも、定期的に対象コードを一括変更することや、対象コードと乱数を組み合わせることで、基礎データの種別把握を困難にすることができる。
(情報の移動21:実在不一致のときのアラーム報知)
認証システムにおいて、登録者の個人情報の照合を行い、その結果不一致となる原因としては、「第三者によるなりすまし」の他に、個人情報の読み取りを行う端末の誤作動等、様々なものがある。
本実施の形態において、認証システムは、このような個人情報の照合の不一致が発生するごとに、その原因などが記された不一致情報登録票を作成し、集計する。
図110は、この不一致情報登録票の一例を示す図である。
図に示すように、この登録票には、不一致が発生した端末の識別ID、発生時間、発生原因、利活用者の個人識別ID、状況確認者の個人識別ID等といった情報が含まれている。この情報は、最終的には認証システムサーバ10に集約されて格納される。
サブサーバ群は、照合の結果、末端側端末160で読み取ったバイオメトリクス情報が、当該登録者個人の登録情報と一致しないと判断した場合、その内容を示した不一致情報登録票を作成する(ステップS1044)。
この不一致情報登録票は、末端側端末160からのバイオメトリクス情報が、照合の結果、認証システム内に既に登録されている登録者の登録情報と不一致であった場合に作成されるファイルであって、その末端側端末160の端末識別ID、読取時間、検証時間、利活用者の個人識別ID等の情報を含むものである。
なお、このとき、サブサーバ群は、今回作成した不一致情報登録票を併せて送信し、末端側端末160での原因入力や調査事項確認の資料として活用できるようにすることが望ましい。
ここで読み取られたバイオメトリクス情報は、上述のステップS1041〜S1045の処理を繰り返すことになる。
この結果、判明した不一致原因を示す情報を末端側端末160よりサブサーバ群に送信し(ステップS1047)、サブサーバ群は、その不一致原因を示す情報を、不一致情報登録票に書き込む(ステップS1048)。
このとき、不一致情報登録票には、発生原因や、状況確認者の個人識別ID等の情報が書き込まれる。
集約側端末150は、管理する下位端末から収集した不一致情報登録票を取りまとめて(ステップS1050)、認証システムサーバ10に送信する(ステップS1051)。
認証システムサーバ10は、各集約側端末150から集まった不一致情報登録票を集計し、情報の不一致が発生する原因や問題点を分析し(ステップS1052)、以後の技術開発やシステム運用に活用する。
その上で、個人情報の流出頻度が高い個人については、移動関連情報と認証処理の集中管理を行うことで、登録者本人になりすましてのシステム利活用を防止することも可能であり、セキュリティを高める効果もある。
また、個人情報を盗用する犯罪者は、その盗用情報を使用した行為時点で、即時に登録者本人でないことが判明することになるので、盗用をできにくくなる。このため、犯罪の抑止効果が生じることになる。
(情報の移動22:不正者の利活用制限1)
以下、なりすまし等により不正に認証システムを利活用した者に対する、認証システムの利活用制限処理について説明する。
図112は、本認証システムの利用を制限又は停止された人物の情報を管理するために使用する利用制限者登録票を示す図である。この登録票には、利用制限を認定された理由や、認定時間、制限内容や、制限解除予定時間等といった情報を含んでいる。この情報は、認証システムサーバ10に集約されて格納されている。
例えば、この基準表に規定される不正行為は、罪刑法定主義に基づき、あらかじめ設定されている。その内容は、主に国際的に犯罪と共通認識される事象を対象とし、運用上は刑事裁判で有罪とされた以降に適応するようにしてもよい。その適応期間は、執行猶予期間であれば釈放後から、服役した場合には出所後から開始する。但し、IT環境やユビキタス環境の運用に、著しく阻害又は被害をもたらすと判断された行為は、刑事裁判の判決有無を問わず、適用することもある。
また、認証システムサーバ10は、登録者が本認証システム内で不正な利活用を行った場合、行った行為によってシステムの利活用の制限又は停止を行うこともできる。
この結果、認証システムサーバ10は、何らかの利活用制限又は停止が必要であると認定した場合には(ステップS1061)、登録者個人にその旨を通知した上で(ステップS1062)、前述の利用制限者登録票を作成し、自機内の所定場所に格納する。
併せて、認証システムサーバ10は、自機内のデータベース内の該当する登録者個人の個人識別IDに、利用制限者であることを示す情報を付帯させる(ステップS1063)。
認証システムサーバ10は、その抽出した端末に対し、利用制限された登録者個人の個人識別IDと、利用制限されることになったことを示す情報とを送信する(ステップS1064)。
これらの情報を認証システムサーバ10から受信した集約側端末150やサブサーバ群等の端末は、受信した個人識別IDに基づいて、自機内にある当該登録者個人の個人フォルダを抽出し(ステップS1065、S1066)、利用制限されることになったことを示す情報を登録する(ステップS1067、S1068)。
この処理によって、認証システムサーバ10同様に、集約側端末150やサブサーバ群でも、不正を行った登録者個人の個人識別IDに、利用制限者であることを示す情報が付帯されることになる。
サブサーバ群は、その読取情報の照合の時に、個人識別IDに利用制限者であることを示す情報が付帯されていることを認識し、末端側端末160で読み取った情報の所有者が利用制限者であることを特定する(ステップS1072)。
サブサーバ群は、登録者個人が利用制限者であることを特定後、利用制限内容を確認するために、個人識別IDと、末端側端末160の端末識別IDと、求められている利活用内容等とを認証システムサーバ10に送信し、確認を依頼する(ステップS1073)。
この結果、末端側端末160は、システム利活用の限定内容や範囲を認識し、登録者個人に求められた利活用内容を限定範囲内で提供する。
インターネットの脆弱性は、利用者の真の実在性が検証されていないために、第三者になりすますことや、架空な人物になりすますことによって不正利用する人物がシステム内に存在することである。さらに、不正利用が発覚後も、不正利用者をインターネット内から排除することが不可能で、容易にインターネットを再利用できることである。このために、犯罪事件が多発し経済的被害を受けると共に、ウイルス対策やソフトウェアの脆弱性補完のために莫大な経費が、企業と個人とを問わず出費され、世界的には巨額な経済損失を招いている。
本認証システムでは、登録段階での個人実在検証を行うことで、なりすまし利用を入口で防止する。一方で、犯罪的な不正利活用を行った人物については、一定の注意情報が付帯され、利活用が制限又は停止されるという出口を設け、安全性を確保する。
(情報の移動23:不正者の利活用制限2)
以下、不正に認証システムを利活用した者に対して捜査を行うときの、認証システムによる処理について説明する。
図115は、本発明の第45の実施の形態において、登録者個人が本認証システム内で注意状況が設定されている場合、登録者個人が確認され次第、関係機関に連絡する際のシステムの動作例を示すシーケンスチャートである。
本実施形態では、犯罪容疑者を例にして説明する。
なお、このとき、認証システムサーバ10は、登録者個人に対して、利用制限者登録票に登録された旨は通知しない。
その後、認証システムサーバ10は、捜査協力の対象人物である旨を認識可能な利用制限者情報をサブサーバ群に送信する(ステップS1084)。
これらの情報を認証システムサーバ10から受信したサブサーバ群等の端末は、受信した個人識別IDに基づいて、自機内にある当該登録者個人の個人フォルダを抽出し、利用制限されることになったことを示す情報(ここでは、捜査協力)を登録する。
この処理によって、認証システムサーバ10同様に、サブサーバ群でも、登録者個人の個人識別IDに、捜査協力対象人物であることを示す注意情報が付帯されることになる。
サブサーバ群は、その読取情報の照合の時に、個人識別IDに捜査協力対象人物であることを示す情報が付帯されていることを認識し、末端側端末160で読み取った情報の所有者が捜査協力対象人物であることを特定する(ステップS1088)。
サブサーバ群は、登録者個人が捜査協力対象人物であることを特定後、捜査協力方法を確認するために、個人識別IDと、末端側端末160の端末識別IDと、求められている利活用内容等とを認証システムサーバ10に送信し、確認を依頼する(ステップS1089)。
そして、この認識によって認証システムサーバ10は、警察側の組織側端末120に対して、サブサーバ群から受信した情報に基づき、末端側端末160にて容疑者が存在することを示す情報と、読取時間情報と、端末設置場所情報等を送信する(ステップS1092)。
併せて、認証システムサーバ10は、このサーバの管理機関側が警察側からの回答を待受けている旨を示す情報を作成し、サブサーバ群及び末端側端末160に通知する(ステップS1093)。
この結果、末端側端末160は、警察側の組織側端末120からの指示内容やその登録者に対する認証システムの利用可能範囲を認識し、登録者個人に必要行為を実施する(ステップS1096)。
例えば実施形態で説明した犯罪者以外に、登下校中の子供や営業中の従業員といった現在地把握を行いたい場合、誘拐された子供や行方不明者の捜索といった場合、迷子や徘徊老人の特定を行いたい場合等、多岐にわたり応用可能であり、本実例はあくまでも一形態である。
(情報の移動24:情報の保存期限)
例えば、認証システム全体において、登録者が末端側端末160にバイオメトリクス情報等の個人情報や移動情報等の各種情報を最後に入力又は格納した時点から一定時間経過したときに、各端末やサーバは、それぞれ自機に格納されているその登録者に関する全情報を消去する。
また、各端末やサーバは、登録者に関する情報が、自機に入力又は格納された時点から一定時間がそれぞれ経過したときに、それら入力又は格納された情報を個別に消去するようにしてもよい。
1.情報が入力又は格納されたときに、情報が入力又は格納された地域(国、県、市等)、又は登録者が属する地域が定める刑事訴訟法で規定される最長の犯罪時効期限を加算した時間
2.情報が入力又は格納されたときに、情報が入力又は格納された地域(国、県、市等)、又は登録者が属する地域が定める、パスポート、運転免許証、住民基本台帳カード、納税者番号カード又は社会保障IDカード等の公的証明物の有効期限を加算した時間
3.登録者個人の死亡から一定時間
4.上記1から3の時間に抵触しない時間で、登録者が設定した消去時間
5.その他
また、移動関連情報は、行動と密接に関係しているため、上記の一定時間とは異なり、1日や6時間といったサイクルの短い時間で消去処理を行ってもよい。これは、移動関連情報が自動消去されることで、登録者本人は新たな行動起点で本人実在確認から行動開始することとなり、実在性の検証精度を高めることができると共に、情報が未処理のまま長時間が経過することにより発生するなりすましや不正入手等による移動関連情報の悪用を防止する機能とを有する。
当然、登録者本人の申し出により、これら登録者自身の個人情報、移動情報及び移動関連情報を随時消去することも可能である。
以下、この図に沿って、本実施の形態における認証システムによる登録者の個人情報の消去動作について説明するが、登録者個人は、登録情報の消去条件について設定していないものとする。
抽出後、認証システムサーバ10は、自サーバには無く他の端末にのみ登録されているといったような、登録者個人に関係した情報の登録漏れがないか、各端末に照会を実施し、必要があれば情報のバックアップ処理を行うよう旨を示す情報を送信する(ステップS1102)。
このステップS1103、S1104において、具体的には、以下のような処理が実行される。
集約側端末150は、認証システムサーバ10から、今回消去処理の対象の登録者に関する全情報を受信し格納する。次に、集約側端末150は、自機のデータベースを検索しその登録者に関する情報を抽出するとともに、自機の管理下の端末に対して、その登録者に関する情報の提供を要求する。集約側端末150は、管理下の端末からその登録者に関する情報を受信すると、この受信情報と自機のデータベースから抽出した情報を合わせたものと、前述の認証システムサーバ10から受信した情報と、を照合する。この照合の結果、集約側端末150は、自機及び管理下の端末に格納されている情報のなかに、認証システムサーバ10に格納されていないものがあれば、これを抽出し、前述の報告内容として認証システムサーバ10に送信する。
一度、情報を消去してしまうと復元が困難なため、このように抽出処理を2重に実行し、内容を十分に吟味することとする。
認証システムサーバ10は、最終判定により消去対象情報となった情報に対して消去処理を実行する(ステップS1107)。
この指示を受信した集約側端末150及び外部機関認証システムサーバ300は、当該対象の個人情報を抽出し(ステップS1109、S1110)、消去処理を実行する(ステップS1111、S1112)。消去処理完了後、集約側端末150及び外部機関認証システムサーバ300は、認証システムサーバ10に対し、完了報告を送信する(ステップS1113、S1114)。
(情報の移動25:誘導電子記録媒体、情報携帯可能物の考察)
以下、本実施の形態では、携帯電話機と基地局との関係を利用して、登録者の現在位置を推定し、その推定した位置の機器に対して、各種処理の準備を促す。
図117は、本発明の第47の実施の形態において、登録者個人が誘導電子記録媒体又は情報携帯可能物を用いて、登録者が利活用するユニットの移行を補助させる際のシステムの動作例を示すシーケンスチャートである。ここでは、一例として、前述の情報携帯可能物が携帯電話であり、その携帯電話内に前述の誘導電子記録媒体が搭載されているものとして説明する。
以下、本実施の形態では、末端側端末160を誘導電子記録媒体(携帯電話機)とし、地域管理側端末130を携帯電話基地局として説明を進める。
この携帯電話は、「待受け」状態では、電波を出して携帯電話の基地局と交信している。この際、基地局との交信は記録として保存されており、かつ基地局での電波の受信アンテナによってある程度の位置が判定可能である。
例えば、基地局がカバーする範囲は、基地局から半径3キロメートル程度に設定されている。
交信が行なわれた場合には、携帯電話基地局130Aは、サブ移動停止情報を作成し(ステップS1122)、メインユニットを管理する集約側端末150に対して、送信する(ステップS1123)。
このサブ移動停止情報は、各端末が構成するユニット内に登録者個人が存在することを推定した情報であって、当該ユニット外での登録者個人の個人情報の利活用要求があった場合には、本認証システムの各端末やサーバに対し、アラーム情報を発信するものである。
この格納処理により、集約側端末150は、登録者個人が携帯電話基地局130Aの設置場所周辺に存在していることを推定認識するようになる(ステップS1124)。
そこで、集約側端末150は、利用可能性情報を作成し(ステップS1125)、この作成した利用可能性情報を携帯電話基地局130Aの設置場所周辺の各端末(管理下の各端末)に送信し(ステップS1126)、登録者個人の認証処理等の準備作業を促すことが可能となる。
すると、携帯電話基地局130Bは、サブ移動停止情報を作成し(ステップS1128)、この作成したサブ移動停止情報をメインユニットを管理する集約側端末150に送信する(ステップS1129)。
但し、携帯電話の所持者が必ずしも登録者本人であるとは限らないため、あくまでも利活用が容易になるように準備された状態に留め、実際の個人情報利活用要求に対しては、個人実在認証処理を実施することとする。
(情報の移動26:顔認証システムの考察)
本実施の形態では、認証用情報は顔の形状(輪郭)のバイオメトリクス情報であり、末端側端末160は、その顔の形状の読取機能を備え、街中に設置されているものとする。
図118は、本発明の第48の実施の形態において、登録者個人が顔認証システムを用いて、自身が利活用するユニットの移行を補助させる際のシステムの動作例を示すシーケンスチャートである。
登録者個人が、自宅から外出し、自宅の近隣に設置された末端側端末160Aの前を通過すると、末端側端末160Aは登録者個人の顔情報を読み取り(ステップS1141)、自機内に格納された個人情報を基に個人を特定する処理を行う(ステップS1142)。
このサブ移動開始情報は、各端末が構成するユニット内から登録者個人が存在しなくなったこと(移動したこと)を推定した情報であって、当該ユニット内での登録者個人の個人情報の利活用要求があった場合には、本認証システムの各端末やサーバに対し、アラーム情報を発信するためものである。
この格納処理により、集約側端末150は、登録者個人が末端側端末160Aの設置場所周辺に存在しなくなっていることを推定認識するようになる(ステップS1145)。
そこで、集約側端末150は、利用可能性情報を作成し(ステップS1146)、この作成した利用可能情報を、末端側端末160Aの設置場所隣接又は近接の末端側端末160Bに送信する(ステップS1147)。
末端側端末160Bは、この利用可能情報を受信すると、登録者個人の認証処理等の準備を行う(ステップS1148)。
末端側端末160Bは、個人を特定すると、サブ移動開始情報を作成し(ステップS1151)、この作成したサブ移動開始情報を、自端末を管理する集約側端末150に送信する(ステップS1152)。
そこで、集約側端末150は、利用可能性情報を作成する(ステップS1154)。
集約側端末150は、続いてマイニングデータを活用して、末端側端末160Bの設置場所通過後に次に通過すると推定される末端側端末160を選定し、その選定した末端側端末160に、その作成した利用可能性情報を送信し、登録者個人の認証処理等の準備作業を促す(ステップS1155)。
また、集約側端末150は、その送信先の末端側端末160の隣接又は近接の末端側端末160に対しても、同様に利用可能性情報を送信し、登録者個人の認証処理等の準備作業を促す。
このように、認証システムは、街角に設置された読取装置により読み取った登録者の顔形状から、登録者個人が移動している行動を認識することができ、登録者個人の情報利活用に備えて、常に準備された状態とすることが可能である。
また、本実施形態では、登録者個人が無意識の内に、登録者本人のその時点での存在場所とその近傍においてのみ認証システムを利活用することができるので、本認証システムの利便性の向上と、情報無断悪用の防止とを両立して実現することができる。
本実施の形態では、現在街角や建物内に既に設置されている監視カメラ(映像/画像)やモニター等を利用することで、携帯電話機を用いたときのように、登録者による認証システムの活用場所の制限を容易に行うことができる。
(情報の移動27:認証情報/方法の変更)
認証情報や認証方法の変更するためには、その手続きを行うとする人物が、認証情報の正しい本人であるか、個人認証が必要となる。
詳細は、従来の個人認証手続きに準じるが、本人確認の上、従来の認証情報や方法の表示を行い、変更項目(入力順番、認証情報、情報携帯可能物名、メインユニット名等)の変更登録を実施する。
(第50の実施の形態の概要)
学校、職場等の組織に属したり、銀行等の各種サービスを利用したりするときには、その構成員や利用者等(以下、登録者という)の管理を容易にするために何らかのローカルな識別ID(学生番号、社員番号、会員番号等)を付与することが一般的となっている。
各組織等では、その付与した識別IDに個人情報を対応付けてデータベース化し、その登録者の情報を管理している。
そして、この登録者が、本実施形態における認証システムを利用する場合には、さらにシステムサーバ10が発行したこのシステム全体で利用される個人識別IDが付与されることになる。この登録者が、例えば学校内でこの認証システムを利用するとき、その学校内では、学校側で発行されたローカルな学生識別IDと、システム側で発行されたシステム全体で利用可能な個人識別IDとを利用することになる。
本実施の形態における認証システムは、このように複数の識別IDが付与された登録者であっても、それらIDを煩雑に使い分けをすることなく、容易に認証システムを利用することができるようにするものである。
以下、本実施の形態では、登録者は、通学先の学校に登校し、認証システムを利用するものとする。
図120は、本発明の第50の実施の形態における認証システムの構成を示す図である。
図に示すように、認証システムは、通学先で登録者の指紋を読み取り認証を行う末端側端末160Aと、その認証結果に基づいて登録者の特定を行う建物側端末110Aと、この建物側端末110Aからその登録者の移動情報を集約する集約側端末150と、この集約側端末150からその移動情報を集約する認証システムサーバ10とを有する。
なお、本実施の形態における認証システムは、他の実施の形態と同様に、他のサーバ及び他の端末を備えているが、本実施の形態ではその図示及び記載を省略する。
また、本実施の形態においては、登録者は、通学先では学生識別ID「1A025」で特定されているものとする。また、認証システム側は、この登録者に対し個人識別ID「1234567」を付与しているものとする。
建物側端末110Aは、この学生識別IDに対応付けて登録者の個人情報を管理するデータベースDB11と、この学生識別IDと個人識別IDとの対応を示すデータベースDB12とを備えている。
また、末端側端末160Aは、登録者の指紋情報を蓄積したデータベースDB61を備えている。
図121は、本発明の第50の実施の形態における認証システムによる動作の流れを示すシーケンスチャートである。以下、図に沿って、本実施の形態における認証システムの動作について説明する。
末端側端末160Aは、読み取った指紋情報と、予め自端末に登録済みの指紋情報とを照合し、登録者の認証を行う(ステップS5002)。
登録者個人であることを認証できた場合には(ステップS5002/Yes)、末端側端末160Aは、成功した旨の認証結果情報と、認証した時刻を示す時間情報と、登録者個人に対応した識別ID(ここでは学生識別ID「1A025」)と、自端末を特定するための情報(空間情報)とを建物側端末110Aに送信する(ステップS5003)。
そして、建物側端末110Aは、これらの受信情報に基づき、登録者個人が建物側端末110Aのユニット内(校舎内)に存在することになったことを認識する(ステップS5005)。
次に、建物側端末110Aは、前述の保存した識別ID(学生識別ID「1A025」)を基に自機内にあるデータベースを検索し、その識別IDに対応した個人識別ID「1234567」を特定する(ステップS5006)。
その後、建物側端末110Aは、上述の保存した受信情報の内、空間情報、時間情報及び認証結果情報を抽出し、これら抽出した受信情報に、その特定した個人識別IDを対応付けて、移動情報を作成する(ステップS5007)。ここで、建物側端末110Aは、登録者がユニット内に存在するようになったことを認識しているので、その作成した移動情報は、その登録者がその校舎内へ移動を完了した旨の移動停止情報となる。
そして、建物側端末110Aは、この作成した移動停止情報をネットワークを介して集約側端末150に送信する(ステップS5008)。
以上説明したように、本実施の形態における認証システムは、複数の識別IDが付与された登録者であっても、それらIDを煩雑に使い分けをすることなく、容易に認証システムを利用することが可能となる。
図122は、本実施の形態の変型例における認証システムの構成を示す図である。
図に示すように、この変型例では、データベースDB11,DB12を建物側端末110Aの外部に接続し、データベースDB61を末端側端末160Aの外部に接続する構成となっている。
本変型例において、これら各データベースDB11,DB12,DB61は、各端末に常時接続しておく必要はない。
例えば、学校では朝の登校時と夕方の下校時の際に接続され、移動情報を作成する機能の一部を構成すればよい。通常の場合、一度登校した生徒が日中に学校建物を中心とするユニットの外に移ることは稀である。そこで、常時接続し、ハッカー等による不正情報取得または流出のリスクに晒されるよりも、利用が見込まれる一定時間だけ接続する方が、セキュリティ面から望ましい。
また、建物側端末110Aは、末端側端末160Aから登録者の情報を受信した段階で、データベースDB11,DB12に接続するようにしてもよい。
また、建物側端末110Aは、登録者の個人識別IDが特定された段階で、データベースDB11,DB12との接続を切り離すようにしてもよい。
(第51の実施の形態の概要)
前述した第50の実施の形態においては、建物側端末110Aは、所定の識別ID(学生識別ID)とシステム内で利用される個人識別IDとの対応を示すデータベースDB12を備えるものである。この建物側端末110Aは、そのデータベースDB12を参照することにより、登録者の所定の識別IDを個人識別IDに変換し、登録者が認証システムを利用可能となるようにする。
これに対し、本実施の形態では、建物側端末110Bが、その所定の識別IDを個人識別IDに変換するための計算プログラム及びアルゴリズムを実装しており、末端側端末160Bから受信した所定の識別IDをその計算プログラム及びアルゴリズムにより、システム内で利用可能な個人識別IDに変換できるようになっている。
以下、特記しない限り、本実施の形態は、第50の実施の形態と同様であるとして説明を進める。
なお、本実施の形態では、登録者は、勤務先に出社し、認証システムを利用するものとする。
図123は、本発明の第51の実施の形態における認証システムの構成を示す図である。
図に示すように、認証システムは、勤務先で登録者の指紋を読み取り認証を行う末端側端末160Bと、その認証結果に基づいて登録者の特定を行う建物側端末110Bと、この建物側端末110Bからその登録者の情報を集約する集約側端末150と、この集約側端末150からその移動情報を集約する認証システムサーバ10とを有する。
なお、本実施の形態における認証システムは、他の実施の形態と同様に、他のサーバ及び他の端末を備えているが、本実施の形態ではその図示及び記載を省略する。
また、本実施の形態においては、登録者は、勤務先では従業員識別ID「101」で特定されているものとする。また、認証システム側は、この登録者に対し個人識別ID「1234567」を付与しているものとする。
建物側端末110Bは、この従業員識別IDに対応付けて登録者の個人情報を管理するデータベースDB13を備えている。
また、末端側端末160Bは、登録者の指紋情報を蓄積したデータベースDB61を備えている。
図124は、本発明の第51の実施の形態における認証システムによる動作の流れを示すシーケンスチャートである。以下、図に沿って、本実施の形態における認証システムの動作について説明する。
末端側端末160Bは、読み取った指紋情報と、予め自端末に登録済みの指紋情報とを照合し、登録者の認証を行う(ステップS5102)。
登録者個人であることを認証できた場合には(ステップS5102/Yes)、末端側端末160Bは、成功した旨の認証結果情報と、認証した時刻を示す時間情報と、登録者個人に対応した識別ID(ここでは従業員識別ID「101」)と、自端末を特定するための情報(空間情報)とを建物側端末110Bに送信する(ステップS5103)。
そして、建物側端末110Bは、これらの受信情報に基づき、登録者個人が建物側端末110Bのユニット内(勤務先内)に存在することになったことを認識する(ステップS5105)。
次に、建物側端末110Bは、前述の保存した従業員識別ID「101」を所定の計算式やアルゴリズムにより演算し、その従業員識別IDを個人識別ID「1234567」に変換する(ステップS5106)。
その後、建物側端末110Bは、上述の保存した受信情報の内、空間情報、時間情報及び認証結果情報を抽出し、これら抽出した受信情報に、その変換した個人識別IDを対応付けて、移動情報を作成する(ステップS5107)。ここで、建物側端末110Bは、登録者がユニット内に存在するようになったことを認識しているので、その作成した移動情報は、その登録者がその勤務先建物内へ移動を完了した旨の移動停止情報となる。
そして、建物側端末110Bは、この作成した移動停止情報をネットワークを介して集約側端末150に送信する(ステップS5108)。
なお、本実施の形態では、前述の演算機能を利用して個人識別IDを所定の識別ID(従業員識別ID等)に変換することも可能である。
以上説明したように、本実施の形態によれば、建物側端末110Bは、末端側端末160Bから受信した所定の識別IDを、自機に実装されている計算プログラム及びアルゴリズムにより、システム内で利用可能な個人識別IDに変換するので、登録者に複数の識別IDが付与されていても、それらIDを煩雑に使い分けをすることなく、容易に認証システムを利用することが可能となる。
図125は、本実施の形態の変型例における認証システムの構成を示す図である。
図に示すように、この変型例では、データベースDB13と、計算プログラム及びアルゴリズムの格納装置とを建物側端末110Aの外部に接続し、データベースDB61を末端側端末160Aの外部に接続する構成となっている。
本変型例においては、前述の第50の実施の形態と同様に、これら各データベースDB13,DB61と、計算プログラム及びアルゴリズムの格納装置は、各端末に必要な時間帯のみ接続することで、外部からハッキングされる可能性を著しく低減させることが可能となる。
また、建物側端末110Aは、末端側端末160Aから登録者の情報を受信した段階で、データベースDB13と、計算プログラム及びアルゴリズムの格納装置とに接続するようにしてもよい。
また、建物側端末110Aは、登録者の個人識別IDが特定された段階で、データベースDB13と、計算プログラム及びアルゴリズムの格納装置の接続を切り離すようにしてもよい。
(第52の実施の形態の概要)
前述したように、第50の実施の形態においては、建物側端末110Aには、所定の識別IDと個人識別IDとの対応を示すデータベースDB12を備えている。
また、第51の実施の形態においては、建物側端末110Bは、識別IDの変換を行うための計算プログラム及びアルゴリズムを実装している。
これに対し、本実施の形態では、建物側端末外のサーバ又は端末が、前述のデータベースDB12を備え、前述の識別ID変換用の計算プログラム及びアルゴリズムを実装することで、建物側端末における処理や蓄積領域を分散し、負荷を軽減させるものである。
なお、本実施の形態では、登録者は、通学先の学校に登校し、認証システムを利用するものとする。
図126は、本発明の第52の実施の形態における認証システムの構成を示す図である。図に示すように、認証システムは、通学先で登録者の指紋を読み取り認証を行う末端側端末160Aと、その認証結果に基づいて登録者の特定を行う建物側端末110Aと、この建物側端末110Aからその登録者の移動情報を集約する集約側端末150と、この集約側端末150からその移動情報を集約する認証システムサーバ10とを有する。
なお、本実施の形態における認証システムは、他の実施の形態と同様に、他のサーバ及び他の端末を備えているが、本実施の形態ではその図示及び記載を省略する。
末端側端末160Aは、登録者の指紋情報を蓄積したデータベースDB61を備えている。
集約側端末150は、前述の学生識別IDと個人識別IDとの対応を示すデータベースDB12を備えている。また、集約側端末150は、その学生識別IDを個人識別IDに変換するための計算プログラム及びアルゴリズムを実装している。
図127は、本発明の第52の実施の形態における認証システムによる動作の流れを示すシーケンスチャートである。以下、図に沿って、本実施の形態における認証システムの動作について説明する。
この指示情報は、前述の一時的に保存した認証結果情報と、時間情報と、登録者個人に対応した識別ID(ここでは学生識別ID「1A025」)と、建物側端末110Aを特定するための情報(空間情報)と、移動停止情報の作成指示情報とが含まれている。
建物側端末110Aは、この指示情報を集約側端末150に送信する(ステップS5207)。
次に、集約側端末150は、この指示情報に含まれる識別ID(学生識別ID「1A025」)を基にデータベースDB51を検索し、その識別IDに対応した個人識別ID「1234567」を特定する(ステップS5209)。
次に、集約側端末150は、その特定した個人識別IDと、前述の指示情報に含まれる情報(認証結果情報、時間情報、空間情報)とを用いて、移動停止情報を作成する(ステップS5210)。
そして、集約側端末150は、この作成した移動停止情報をネットワークを介して認証システムサーバ10に送信する(ステップS5211)。
以上説明したように、本実施の形態によれば、集約側端末150が建物側端末110Aに代わって、識別IDの変換用のデータベースを備え、変化用のプログラム及びアルゴリズムを実装しているので、建物側端末110Aの処理や蓄積領域の負担を軽減することが可能となる。
また、建物側端末110A又は末端側端末160Aのセキュリティシステムがハッキングされ個人情報または個人識別IDが流出したとしても、個人識別ID自体は、建物側端末110A又は末端側端末160Aで使用されていないので、個人識別IDを直接的に特定することが難しくなり、システム運用の安全性を高めることが可能となる。
図128の(a),(b)は、本実施の形態の変型例における認証システムの構成を示す図である。
図に示すように、この変型例では、データベースDB11,DB13を建物側端末110の外部に接続し、データベースDB12と、計算プログラム及びアルゴリズムの格納装置とを集約側端末150の外部に接続し、データベースDB61を末端側端末160の外部に接続する構成となっている。
本変型例においては、前述の第50又は第51の実施の形態と同様に、これら各データベースDB11,DB12,DB13,DB61と、計算プログラム及びアルゴリズムの格納装置は、各端末に必要な時間帯のみ接続することで、外部からハッキングされる可能性を著しく低減させることが可能となる。
また、建物側端末110は、末端側端末160から登録者の情報を受信した段階で、データベースDB11,DB13と、に接続するようにしてもよい。建物側端末110は、第13の実施形態のように、集約側端末150又は末端側端末160のいずれか一方に接続している場合には、他方には接続しないようにしておいてもよい。同様に集約側端末150は、建物側端末110から登録者の情報を受信した段階で、データベースDB12と計算プログラム及びアルコリズムの格納装置に接続するようにしてもよい。
また、建物側端末110と集約側端末150は、登録者の個人識別IDが特定された段階で、データベースDB11,DB12,DB13と、計算プログラム及びアルゴリズムの格納装置の接続を切り離すようにしてもよい。
(第53の実施の形態の概要)
本実施の形態では、登録者は、認証システムを利用して金融取引を行うことができる。この金融取引とは、銀行等の金融機関における預金の引き出し、預け入れ又は振込み等の各取引を意味する。
本実施の形態では、この金融取引の一例として、登録者が銀行口座から預金の引き出しを行うときの認証システムの動作について説明する。
なお、特記しない限り、本実施の形態は、前述した他の実施の形態と同様であるものとする。
図129は、本発明の第53の実施の形態における認証システムの構成を示す図である。
図に示すように、認証システムは、登録者のバイオメトリクス情報等を読み取る末端側端末160Aと、この読取情報を末端側端末160Aから取得する建物側端末110Aと、その読取情報を建物側端末110Aから取得する組織側端末120Aと、建物側端末110Aの管理地域を包括するさらに広範囲な地域において登録者の情報の管理を行う地域管理側端末130と、これら各端末において利用される登録者の情報の管理を行う認証システムサーバ10と、登録者に関する各種情報を格納する情報携帯物500とを有する。
また、末端側端末160Aは、登録者のバイオメトリクス情報を読み取る機能を備えており、例えば、登録者の静脈パターン、指紋又は虹彩等、あらゆるバイオメトリクス情報を読み取ることが可能である。
図130〜132は、本発明の第53の実施の形態における認証システムの動作の流れを示すシーケンスチャートである。
以下、図に沿って、登録者個人が、複数の登録バイオメトリクス情報と移動情報とを利活用して金融取引を行う際の認証システムの動作例について説明する。
なお、本実施の形態では、認証用の個人情報を、一例として、手のひら静脈のバイオメトリクス情報とする。
この末端側端末160Aには、モニター画面が取り付けられており、その画面上には希望する取引を選択してその取引の手続を進行させるための表示がされており、例えば、金融機関名の表示を切り替えるための複数のキーが表示されている。登録者は、このキーを選択することにより、「登録者個人が取引している全金融機関」、「A銀行のみ」、「その他の金融機関」といったように、モニター上に任意の金融機関名(本店、支店名)を表示できるようになっている。
末端側端末160Aは、読み取った記録媒体格納IDから、集約側端末150Aが登録者個人の情報照会先であることを認識する(ステップS5304)。
その後、登録者は、モニター画面に表示されている取引種別から「預金引き出し」を選択し、「引き出し希望額」を入力する(ステップS5306)。
末端側端末160Aは、その読み取ったバイオメトリクス情報と、金融取引を求める対象先がA銀行である旨を示す情報と、末端側端末160Aを特定するための空間情報と、バイオメトリクス情報の読取時刻を示す時間情報と、引き出し許可を求める旨の情報と、登録者個人の情報照会先が集約側端末150Aである旨の情報とを建物側端末110Aに送信する(ステップS5307)。
次に、A銀行の預金者データベースを管理する組織側端末120Aに対し、末端側端末160Aより受信した情報を送信する(ステップS5309)。
次に、組織側端末120Aは、受信したバイオメトリクス情報と、自機内に予め格納されているバイオメトリクス情報とを比較照合し、登録者個人の特定を行う(ステップS5311)。
組織側端末120Aは、登録者を特定すると、自端末内のデータベースを検索し、この特定した登録者個人の取引状況と個人識別IDとを抽出する(ステップS5312)。
以上で、預金引き出し処理の第一段階準備が完了する。
ここで、建物側端末110Aは、ユニット内においてその移動情報が存在する場合にはその移動情報を、ユニット内に移動情報が存在しない場合には「該当なし」を示す情報を、それぞれ組織側端末120Aに対し送信する(ステップS5315)。
一方、組織側端末120Aは、移動情報を建物側端末110Aから受信した場合には(ステップS5316/Yes)、その受信した移動情報と、ステップS5310にて保管していた情報とを比較照合して、登録者の実在性認証を行う(ステップS5317)。
以下、この登録者の実在性が確認された場合(ステップS5317/Yes)と、確認されなかった場合(ステップS5317/No)とに分けて、認証システムの動作について説明する。また、前述の組織側端末120Aが「該当なし」の情報を受信した場合(ステップS5316/No)についても個別に説明する。
前述の実在性の認証の結果、登録者本人の実在性が確認された場合には(ステップS5317/Yes)、組織側端末120Aは、移動停止情報と、金融取引許可情報とを作成する(ステップS5318)。
なお、この金融取引許可情報とは、登録者が認証システムを利活用して金融取引を行うことが許可されている旨の情報であり、その許可されている取引内容が定められている。
以上で、預金引き出し処理の第二段階準備が完了する。
建物側端末110Aは、組織側端末120Aからその許可情報及び移動停止情報を受信すると、その受信した移動停止情報を自端末内に格納する(ステップS5321)。また、建物側端末110Aは、その受信した許可情報を末端側端末160Aに送信する(ステップS5322)。
末端側端末160Aは、その許可情報を建物側端末110Aから受信すると、自端末の現金払出し口から登録者個人に現金の支払いを行う(ステップS5323)。
建物側端末110Aは、その不許可情報を組織側端末120Aから受信すると、その受信した移動停止情報を自端末内に格納する(ステップS5325)。また、建物側端末110Aは、その不許可情報を末端側端末160Aに送信する(ステップS5326)。
末端側端末160Aは、その不許可情報を建物側端末110Aから受信すると、自端末のモニター上に「残高不足による取引中止」といった文言を表示し、金額の再入力等を登録者に促す(ステップS5327)。
一方、前述の実在性の認証の結果、登録者の実在性の確認がとれなかった場合には(ステップS5317/No)、組織側端末120Aは、取引禁止情報を作成し(ステップS5330)、建物側端末110Aに送信する(ステップS5331)。
この取引禁止情報とは、その登録者に対して一切の金融取引を許可しない旨の情報である。
末端側端末160Aは、その取引禁止情報を受信すると、自端末のモニター上に「取引できません」といった文言を表示する(ステップS5333)。
組織側端末120Aは、移動情報の「該当なし」を示す情報を建物側端末110Aから受信した場合には(ステップS5316/No)、自端末に予め格納されている、登録者の情報照会先を特定するための情報を参照する(ステップS5334)。
組織側端末120Aは、その特定情報から情報照会先が集約側端末150Aであることを認識すると、その集約側端末150Aに対し、登録者個人の移動情報の格納場所を認識しているか否かを問い合わせる(ステップS5335)。
その後、その移動情報を格納している他の端末又はサーバから、建物側端末110Aを介し、最終的には組織側端末120Aに移動情報が送信される。
以上説明したように、本実施の形態によれば、認証システムは、登録者が現金の引き出しといった金融取引を行うときに、登録者本人の実在性を容易に証明できるので、その取引の安全性が確保される。
特に、銀行カードの暗証番号のような個人情報が流出した場合であっても、不正入手した個人情報だけでは、登録者本人の実在性の証明が不可能であるため、不正に現金の引き出し等が行われることがなく、社会インフラとして生活の安全・安心の構築に大いに貢献することができるようになる。
このとき、末端側端末160Aは、登録者自身からバイオメトリクス情報を読み取ったとき、この情報携帯物500からもバイオメトリクス情報を読み取り、これら両バイオメトリクス情報を照合して登録者の個人認証を行う。
例えば、末端側端末160Aを店舗や病院等に設置し情報読取機能を持たせてもよい。また、組織側端末120Aを電子マネーの管理サーバ、クレジットカード会社の管理サーバ又はポイントカードの管理サーバとして機能させてもよい。
このように、認証システムは、金融取引の分野だけでなく、その他の分野を汎用的にカバー可能であることはいうまでもない。
また、認証システムは、パスポート、運転免許証、住民基本台帳カード、図書カード、学生証又は社員証を始め、航空券、乗車券又は入場券といった何らかの人物特定の役割を備えた証拠物が正当なものであることを証明したり、これらの証拠物を直接的に代替したりするときに利用することができる。
なお、通信中の情報流出を防止するために、送信情報に暗号化処理や乱数処理等の安全対策を行うことが望ましいことは言うまでもない。
(電子マネー決済への利用)
第53の実施の形態における認証システムは、銀行等の金融取引の際、認証を行うことで、ATM等による金融取引の安全性を確保するものである。
本実施の形態では、この第53の実施の形態の変形例として、認証システムを電子マネーの使用時に利活用する。以下、特記しない限り、本実施の形態における構成及び動作は、第53の実施の形態におけるものと同様であるものとする。
末端側端末160Aは、店舗や病院等の店頭に設置される情報処理装置である。この末端側端末160Aは、店舗等に通常設置されているレジスターの機能を備えている。
建物側端末110Aは、基本的には、店舗や病院ごとに設置される情報処理装置であり、その設置される店舗や病院内の各末端側端末160Aから登録者の情報を収集する。
組織側端末120Aは、基本的には、電子マネーサービス提供機関ごとに設置されるサーバ装置であり、店舗や病院ごとにそれぞれ設置されている建物側端末110Aから登録者の情報を収集する。
情報携帯物500は、登録者が携帯する装置又は記録媒体であり、この登録者に関する情報の問合せ先のアドレス情報や電子マネー情報等を格納する。例えば、この情報携帯物500は、携帯電話機、PHS、PDA、USBメモリ、ICタグ又はICカード等である。
登録者個人は、電子マネー利用希望の旨を伝えた上で、店舗店頭の末端側端末160Aで情報携帯物500内の「誘導電子記録媒体」と個人情報を読み取らせる。
末端側端末160Aは、その読み取ったバイオメトリクス情報と、電子マネー処理を求める旨を示す情報と、末端側端末160Aを特定するための空間情報と、バイオメトリクス情報の読取時刻を示す時間情報と、レジスターに表示された購入金額(登録者個人の支払い金額)情報と、登録者個人の情報照会先が集約側端末150Aである旨の情報とを建物側端末110Aに送信する。
建物側端末110Aは、上述の各種情報を末端側端末160Aから受信すると、一時的に自機内に保管し、登録者個人の電子マネー情報を管理する組織側端末120Aに対し、末端側端末160Aより受信した情報を送信する。
組織側端末120Aは、上述の各種情報を受信すると、一時的に自機内に保管し、次に、組織側端末120Aは、受信したバイオメトリクス情報と、自機内に予め格納されているバイオメトリクス情報とを比較照合し、登録者個人の特定を行う。
組織側端末120Aは、登録者を特定すると、自端末内のデータベースを検索し、この特定した登録者個人の取引状況と個人識別IDとを抽出し、抽出した登録者個人の個人識別IDを基に、登録者個人の移動情報が建物側端末110Aを含むユニット内に存在しているか否か、確認を求める情報を建物側端末110Aに送信する。
前述の実在性の認証の結果、登録者本人の実在性が確認された場合には、組織側端末120Aは、移動停止情報と、電子マネー決済取引許可情報とを作成する。
なお、この電子マネー決済取引許可情報とは、登録者の電子マネー勘定から末端側端末160Aまたは末端側端末160Aを管理する人物(組織・団体を含む)の勘定にマネー情報を振り替える取引を行うことを許可する旨の情報である。
利用限度額内の場合には、組織側端末120Aは、資金の決済を行い、その結果情報とともに、移動停止情報を建物側端末110Aに送信する。
建物側端末110Aは、組織側端末120Aからその結果情報及び移動停止情報を受信すると、その受信した移動停止情報を自端末内に格納する。また、建物側端末110Aは、その受信した結果情報を末端側端末160Aに送信する。
末端側端末160Aは、その許可情報を建物側端末110Aから受信すると、自端末に取引完了の旨を示す情報を表示する。
(クレジットカードへの利用)
第53の実施の形態における認証システムは、銀行等の金融取引の際、認証を行うことで、ATM等による金融取引の安全性を確保するものである。
本実施の形態では、この第53の実施の形態の変形例として、認証システムをクレジットカード使用時に利活用する。以下、特記しない限り、本実施の形態における構成及び動作は、第53の実施の形態におけるものと同様であるものとする。
末端側端末160Aは、店舗や病院等の店頭に設置される情報処理装置である。この末端側端末160Aは、店舗等に通常設置されているレジスターの機能を備えている。
建物側端末110Aは、基本的には、店舗や病院ごとに設置される情報処理装置であり、その設置される店舗や病院内の各末端側端末160Aから登録者の情報を収集する。
組織側端末120Aは、基本的には、クレジットカード会社ごとに設置されるサーバ装置であり、店舗や病院ごとにそれぞれ設置されている建物側端末110Aから登録者の情報を収集する。
情報携帯物500は、登録者が携帯する装置又は記録媒体であり、この登録者に関する情報の問合せ先のアドレス情報や取引クレジットカード情報等を格納する。例えば、この情報携帯物500は、携帯電話機、PHS、PDA、USBメモリ、ICタグ又はICカード等である。
登録者個人は、クレジットカード利用希望の旨を伝えた上で、店舗店頭の末端側端末160Aで情報携帯物500内の「誘導電子記録媒体」と個人情報を読み取らせる。
末端側端末160Aは、その読み取ったバイオメトリクス情報と、クレジットカード処理を求める旨を示す情報と、末端側端末160Aを特定するための空間情報と、バイオメトリクス情報の読取時刻を示す時間情報と、レジスターに表示された購入金額(登録者個人の支払い金額)情報と、登録者個人の情報照会先が集約側端末150Aである旨の情報とを建物側端末110Aに送信する。
建物側端末110Aは、上述の各種情報を末端側端末160Aから受信すると、一時的に自機内に保管し、登録者個人のクレジットカード情報を管理する組織側端末120Aに対し、末端側端末160Aより受信した情報を送信する。
組織側端末120Aは、上述の各種情報を受信すると、一時的に自機内に保管し、次に、組織側端末120Aは、受信したバイオメトリクス情報と、自機内に予め格納されているバイオメトリクス情報とを比較照合し、登録者個人の特定を行う。
組織側端末120Aは、登録者を特定すると、自端末内のデータベースを検索し、この特定した登録者個人の取引状況と個人識別IDとを抽出し、抽出した登録者個人の個人識別IDを基に、登録者個人の移動情報が建物側端末110Aを含むユニット内に存在しているか否か、確認を求める情報を建物側端末110Aに送信する。
なお、このクレジットカード決済取引許可情報とは、登録者が末端側端末160Aまたは末端側端末160Aを管理する人物(組織・団体を含む)にクレジット扱いで資金決済処理を行うことの進行をクレジットカード会社として許可する旨の情報である。
利用限度額内の場合には、組織側端末120Aは、クレジット扱い認証の決済を行い、その認証結果情報とともに、移動停止情報を建物側端末110Aに送信する。
建物側端末110Aは、組織側端末120Aからその認証結果情報及び移動停止情報を受信すると、その受信した移動停止情報を自端末内に格納する。また、建物側端末110Aは、その受信した認証結果情報を末端側端末160Aに送信する。
末端側端末160Aは、その許可情報を建物側端末110Aから受信すると、自端末に取引完了の旨を示す情報を表示する。
(パスポートを始めとする身分証明書の代用)
第53の実施の形態における認証システムは、銀行等の金融取引の際、認証を行うことで、ATM等による金融取引の安全性を確保するものである。
本実施の形態では、この第53の実施の形態の変形例として、認証システムにより移動情報を用いて認証を行うことにより、パスポートや運転免許証といった身分証明書に代わって、登録者の身分証明を行う。以下、特記しない限り、本実施の形態における構成及び動作は、第53の実施の形態におけるものと同様であるものとする。
末端側端末160Aは、出入国管理窓口に設置される情報処理装置である。
建物側端末110Aは、基本的には、空港や港湾施設や出入国手続建物ごとに設置される情報処理装置であり、その設置される空港や港湾施設や出入国手続建物内の各末端側端末160Aから登録者の情報を収集する。
組織側端末120Aは、基本的には、各国外務省や出入国管理局ごとに設置されるサーバ装置であり、空港や港湾施設や出入国手続建物ごとにそれぞれ設置されている建物側端末110Aから登録者の情報を収集する。
情報携帯物500は、登録者が携帯する装置又は記録媒体であり、この登録者に関する情報の問合せ先のアドレス情報等を格納する。例えば、この情報携帯物500は、携帯電話機、PHS、PDA、USBメモリ、ICタグ又はICカード、電子パスポート等である。
登録者個人は、入国または出国希望の旨を伝えた上で、空港や港湾施設や出入国手続建物の末端側端末160Aで情報携帯物500内の「誘導電子記録媒体」と個人情報を読み取らせる。
末端側端末160Aは、その読み取ったバイオメトリクス情報と、入国または出国処理を求める旨を示す情報と、末端側端末160Aを特定するための空間情報と、バイオメトリクス情報の読取時刻を示す時間情報と、登録者個人の情報照会先が集約側端末150Aである旨の情報とを建物側端末110Aに送信する。
建物側端末110Aは、上述の各種情報を末端側端末160Aから受信すると、一時的に自機内に保管し、登録者個人のパスポート情報を管理する組織側端末120Aに対し、末端側端末160Aより受信した情報を送信する。
組織側端末120Aは、上述の各種情報を受信すると、一時的に自機内に保管し、次に、組織側端末120Aは、受信したバイオメトリクス情報と、自機内に予め格納されているバイオメトリクス情報とを比較照合し、登録者個人の特定を行う。
組織側端末120Aは、登録者を特定すると、自端末内のデータベースを検索し、この特定した登録者個人の取引状況と個人識別IDとを抽出し、抽出した登録者個人の個人識別IDを基に、登録者個人の移動情報が建物側端末110Aを含むユニット内に存在しているか否か、確認を求める情報を建物側端末110Aに送信する。
建物側端末110Aは、組織側端末120Aからその入出国許可情報及び移動停止情報を受信すると、その受信した移動停止情報を自端末内に格納する。また、建物側端末110Aは、その受信した入出国情報を末端側端末160Aに送信する。
末端側端末160Aは、その許可情報を建物側端末110Aから受信すると、自端末に入出国許可が下りた旨を示す情報を表示する。
(指定券・航空券・定期券等のチケットレス)
第53の実施の形態における認証システムは、銀行等の金融取引の際、認証を行うことで、ATM等による金融取引の安全性を確保するものである。
本実施の形態では、この第53の実施の形態の変形例として、認証システムを指定券・航空券・定期券等のチケットレスサービスの利用時に利活用する。以下、特記しない限り、本実施の形態における構成及び動作は、第53の実施の形態におけるものと同様であるものとする。
末端側端末160Aは、空港のカウンターや搭乗口に設置される情報処理装置である。
建物側端末110Aは、基本的には、空港ごとに設置される情報処理装置であり、その設置される空港内の各末端側端末160Aから登録者の情報を収集する。
組織側端末120Aは、基本的には、航空会社ごとに設置されるサーバ装置であり、空港ごとにそれぞれ設置されている建物側端末110Aから登録者の情報を収集する。
情報携帯物500は、登録者が携帯する装置又は記録媒体であり、この登録者に関する情報の問合せ先のアドレス情報や航空機予約情報等を格納する。例えば、この情報携帯物500は、携帯電話機、PHS、PDA、USBメモリ、ICタグ又はICカード等である。
登録者個人は、搭乗希望の旨を伝えた上で、空港カウンターの末端側端末160Aで情報携帯物500内の「誘導電子記録媒体」と個人情報を読み取らせる。
末端側端末160Aは、その読み取ったバイオメトリクス情報と、搭乗許可処理を求める旨を示す情報と、末端側端末160Aを特定するための空間情報と、バイオメトリクス情報の読取時刻を示す時間情報と、航空機予約情報と、登録者個人の情報照会先が集約側端末150Aである旨の情報とを建物側端末110Aに送信する。
建物側端末110Aは、上述の各種情報を末端側端末160Aから受信すると、一時的に自機内に保管し、登録者個人の航空機予約情報を管理する組織側端末120Aに対し、末端側端末160Aより受信した情報を送信する。
組織側端末120Aは、上述の各種情報を受信すると、一時的に自機内に保管し、次に、組織側端末120Aは、受信したバイオメトリクス情報と、自機内に予め格納されているバイオメトリクス情報とを比較照合し、登録者個人の特定を行う。
組織側端末120Aは、登録者を特定すると、自端末内のデータベースを検索し、この特定した登録者個人の取引状況と個人識別IDとを抽出し、抽出した登録者個人の個人識別IDを基に、登録者個人の移動情報が建物側端末110Aを含むユニット内に存在しているか否か、確認を求める情報を建物側端末110Aに送信する。
建物側端末110Aは、組織側端末120Aからその搭乗許可情報及び移動停止情報を受信すると、その受信した移動停止情報を自端末内に格納する。また、建物側端末110Aは、その受信した搭乗許可情報を末端側端末160Aに送信する。
末端側端末160Aは、その搭乗許可情報を建物側端末110Aから受信すると、自端末に搭乗を認める旨を示す情報を表示する。
(第58の実施の形態の構成)
図133は、本発明の第58の実施の形態における認証システムの構成を示す図である。
図に示すように、認証システムは、登録者の自宅にてその登録者の個人情報を読み取る末端側端末160Aと、この自宅全体で読み取られた個人情報を収集する建物側端末110Aと、この自宅を含む周辺で読み取られた個人情報を収集する集約側端末150Aと、末端側端末160Aが建物側端末110Aに接続不可能であった場合に緊急に接続される集約側端末150Wと、その末端側端末160Aで読み取られた個人情報をバックアップ用に格納する建物側端末110Mとを有する。
また、認証システムは、その自宅の最寄駅にてその登録者の個人情報を読み取る末端側端末160Bと、この駅全体で読み取られた個人情報を収集する建物側端末110Bと、この駅を含む周辺で読み取られた個人情報を収集する集約側端末150Bと、末端側端末160Bが建物側端末110Bに接続不可能であった場合に緊急に接続される集約側端末150Wと、その末端側端末160Bで読み取られた個人情報をバックアップ用に格納する建物側端末110Kとを有する。
また、認証システムは、病院にてその登録者の個人情報を読み取る末端側端末160Cと、この病院全体で読み取られた個人情報を収集する建物側端末110Cと、この病院を含む周辺で読み取られた個人情報を収集する集約側端末150Cとを有する。
また、認証システムは、その自宅及び駅を含む地域全体にて読み取られた個人情報を収集する地域管理側端末130Aと、その駅及び病院を含む地域全体にて読み取られた個人情報を収集する地域管理側端末130Bと、前述した認証システム全ての端末から個人情報を収集し管理する認証システムサーバ10とを有する。
例えば、ある登録者が正午12時00分に東京駅に存在し、その1分後に札幌駅でその存在が確認されたときは、その登録者の連続性が失われていると判断され、なりすまし等の第三者の行為が介在しているものとみなされる。
一方で、大規模な自然災害等が発生した場合には、この認証システムも何らかの損傷を受ける可能性がある。
例えば、地震が発生し発電所や送電設備等が壊滅的な損傷を受けた場合、又は台風による床上浸水によって屋内電気回線が故障した場合等には、広範囲な停電が発生し、認証システム内の各種端末又は読取機が正常に作動できなくなり、その機能が制約される虞がある。この結果、認証システム内の各ユニットが各地で寸断される可能性がある。
また、このような状況下では、断線等が発生していないとしても、電力の供給不足から電気使用量が規定を超過しブレーカーが落ちたり、その他、コンセントの故障や端末ソケットの断線したりといった屋内配電の異常により、ある限定された地域内において停電状態になることも考えられる。
本実施の形態では、このような災害時においても、認証システムが緊急的に最低限度のサービスを登録者等に対して提供できるようになっている。
また、その他の方法としては、各端末又はサーバは、電力供給が可能な他の機器から有線又は無線によって電力供給を受けるようにしてもよい。例えば、これらの方法としては、自家用車のエンジンを動作させることにより発電した電気を有線により取り込む方法、又は携帯端末から電波に乗せて電気を受け取る方法等がある。
この緊急対応モードに切り替わると、この認証システム内の各端末又はサーバは、登録者の認証動作を、自機のみ、又は自機に接続された少数の他の端末やサーバからなる最低限度のユニット内で実行するようになる。
また、この緊急対応モード時には、電力の節約のために、送受信する情報を限定しデータ量を削減する。
例えば、大型地震警戒警報が発令された場合、地震の初期微動を感知した場合、大型台風の上陸が予想される場合、集中豪雨が予想される場合には、このように緊急対応モードに切り替える。
なお、この緊急対応モード状況下で対応した事項については、あらかじめ免責又は責任負担が軽減することを法律又はシステム運用規約に明示するようにしてもよい。
(1)災害発生前の動作
図134,135は、本発明の第58の実施の形態における認証システムの動作の流れを示すシーケンスチャートである。
以下、図に沿って、本実施の形態における災害発生時の認証システムの認証動作について説明する。
そして、建物側端末110Aは、その登録者が自宅を出て移動を開始した旨の移動開始情報を作成し(ステップS6004)、ネットワーク内に送信を行う(ステップS6005)。このとき、建物側端末110Aは、第17の実施形態でいう優先接続先に情報を送信するだけではなく、緊急接続先(集約側端末150W)や、第18の実施形態でいう反射接続先(建物側端末110K)に対しても送信している(ステップS6006〜S6008)。この移動開始情報を受信した各端末は、それぞれ当該情報を一時的に保管する。
その後、登録者は、自宅から最寄駅に到着し、その最寄駅改札にある末端側端末160Bに個人情報を読み取らせる(ステップS6009)。
ここで、この個人情報を読み取った直後に地震が起こって断線し、全ての端末への電力供給が停止したとする。このとき、認証システムによる情報の送受信や認証処理等は一旦停止する。
このとき、認証システムを前述の緊急対応モードに切り替えてもよい。
その後、その最寄駅の予備電源の起動等により、その最寄駅改札にある末端側端末160Bにのみ電力の供給が回復した場合、末端側端末160Bは、優先接続順位(第17の実施の形態にて説明)に予め定められている端末に対して、現在通信が可能か否かを確認するための信号を送信する(ステップS6010)。このとき、例えば、末端側端末160Bは、建物側端末110B、集約側端末150Z及び建物側端末110Mに対して確認用の信号を送信し、現在通信が可能か否かを確認する。
このとき、通信が可能である端末からは、その確認用信号に対する応答信号が末端側端末160Bに返信される(ステップS6011)。末端側端末160Bに接続できる端末があった場合には(ステップS6012/Yes)、末端側端末160Bは、その接続が可能な端末のID(以下、接続可能端末IDという)を自機内に登録する(ステップS6013)。末端側端末160Bは、今後はこの接続可能な端末と協働して、ネットワークを介して情報の送受信を行っていく。
一方、末端側端末160Bは、自機に接続できる端末を発見できなかった場合には(ステップS6012/No)、所定時間を経過した後に、ステップS6010〜S6012の通信先の確認処理を再実行する。
本実施の形態では、一例として、末端側端末160Bは、前述の確認の結果、建物側端末110B,110Mとは通信が不可能であり、集約側端末150Zと通信可能であるものとする。
この結果、登録者本人であることを特定できた場合には、末端側端末160Bは、その登録者を駅構内に入場することを許可することになる。
このように、災害が発生し、末端側端末160Bと接続可能な端末やサーバが限られてしまうときであっても、自機で個人認証が可能である場合にはその個人認証処理を実行することで、登録者本人の確認をとることが可能となる。
なお、人間の生命の安全と安心を確保するために、駅関係者等の判断により個人認証をせずに入場許可を行うことが可能であるのは言うまでもない。
この際、送信される情報は、末端側端末160Bの電気確保量や消費量に考慮して、できるだけ長時間の稼動を可能にするために、登録者個人の個人識別ID、認証時刻、末端側端末160Bの位置情報という根幹情報に限定する。
次に、災害発生時に、認証システムのネットワークが一旦ダウンした後の復旧処理について説明する。
この一覧表データは、末端側端末160A内に格納されており、末端側端末160Aは、この一覧表データを参照して、この一覧表上の接続先と情報の送受信を行う。
図に示すように、末端側端末160Aは、登録者の個人情報を読み取ると、この読み取った個人情報を用いて移動情報を作成し、この作成した移動情報を優先的に「最優先」の集約側端末150Aに送信する。この集約側端末150Aと接続不可能である場合には、「次点」の組織側端末120Aに送信する。また、末端側端末160Aは、バックアップ用に移動情報を「反射」の建物側端末110Kに送信する。災害発生時等の緊急時には「緊急」の集約側端末150Wに送信する。
建物側端末110Kは、この情報を受信すると、末端側端末160Aが被災地域にあり、緊急対応モードになっていることを認識する(ステップS6022)。
建物側端末110Kは、この緊急対応モードになっていることを認識すると、自機内に保管している移動情報を末端側端末160A及びシステムサーバ10に向けて送信する。
末端側端末160Aは、登録者個人が生存しておりその登録者の個人情報を読み取りできた場合、建物側端末110Kより受信している移動情報を加味して個人実在認証を検証していくことになる。
さらに、その建物側端末110Aに障害が発生する等し移動情報の受信が不可能な場合には(ステップS6027/No)、建物側端末110Kは、代わりに集約側端末150A(ステップS6032)に、さらに集約側端末150Aも受信が不可能状態の場合には(ステップS6031/No)、その地域を統括する地域側端末130Aに(ステップS6036)といった順番で移動情報を送信する。
また、このような災害が発生した場合には、認証システムは、一定の地域内に存在すると思われる人物のデータベース(以下、被災者データベースという)を緊急的に作成し、安否確認等に利用するようにしてもよい。
この被災者データベースは、例えば、以下のようにして作成される。
認証システムサーバ10又は地域管理側端末130等は、被災した一定地域でその直前の一定時間に発信された移動情報に該当する登録者をその地域の被災者として推定し、自機やその他の各端末(前述した反射端末や被災地域の接続可能端末等)にある移動情報を抽出し、それらの登録者の個人識別IDを基に被災者データベースを作成する。
また、認証システムサーバ10又は地域管理側端末130等は、自機やバックアップサーバ300等に保管されている住民基本台帳、学生台帳、従業員名簿、搭乗客名簿又は電子カルテ情報等のあらゆる情報から、被災地域に存在が推定できる人物の個人名や個人識別ID等を抽出して作成してもよい。
なお、この被災者データベースの作成については、あらかじめの運用法則として緊急時と認識した場合には、一定地域に存在すると思われる人物のデータベースを作成することを許可するようにしておくことが望ましい。
この被災者データベースは2つの機能を持つ。
一つ目は、安否確認資料であり、認証システムサーバ10等は、被災地域から人物を特定する情報を受信する度に、被災者データベース上の、受信した情報に関係する人物のデータを消去する。このことから、安否確認がとれていない人物だけデータベースのリスト上に残っていくので、関係者による不明者捜索活動が容易となる。家族や知人の安否を確認希望する人にとっても、このデータベースを閲覧可能にしておけば容易に必要情報を入手することが可能となる。
また、二つ目は、現在位置表示機能であり、認証システムサーバ10等は、被災地域から人物を特定する情報を受信する度に、受信した情報に関係する位置情報や時間(時刻)情報を被災者データベースに登録し、このデータベースにアクセスしてきた端末等に送信し個人別に表示させる。例えば、自家発電装置を有する病院や大型ビルの場合、早期に一部端末の復旧が可能である。そこで、家族・知人に生存を知らせたい人物は、避難場所や自宅等に向かう途中にある病院等に立ち寄り、そこで、その病院等に設置されている末端側端末160に個人識別IDや個人情報を読み取らせ、ネットワークを介して認証システムサーバ10等に移動情報を送信して、被災者データベースに無事生存している旨を登録できるようになる。
さらに、この二つ目の機能を利用して、一定地域に生存している人数を推定または把握し、必要な物資の送付や救援方式の検討等の対策に役立てることも可能である。
同時に、副次的機能として資金決済機能を拡張して登録することを可能としておくことが望ましい。被災者が必要な食料や備品を購入する際に、現金を失い、金融機関も閉鎖していることが考えられる。このため、資金決済が必要になった場合には、登録者個人の個人識別ID、認証時間、末端側端末160の位置情報という根幹情報に加え、金額を加えることによって、一時的に買掛け状態で商品購入・サービス提供等を可能にする効果を持たせる。
購入者は、店舗等にある端末で個人情報を読み取り、資金決済を望む旨を示す情報と金額をデータベースに送信することで、データベースは当該金額を登録者個人識別IDに付帯させその決済情報を登録することもできる。
このように、本実施の形態では、災害等で一部のネットワークが断線したり、端末が故障したりした場合であっても、各端末は、接続可能な端末又はサーバを探して接続し、自動的にネットワークを形成するので、緊急時においても認証システムによる認証サービス等を最大限可能な限り提供することができ、人命救助等に効果を発揮することが可能となる。
なお、認証システムにおける各端末は、赤外線、温度、湿度、照度、人感、音、電波状況、電力状況、加速度、歪、振動、磁気等を把握できるセンサーを付帯又は搭載していてもよい。
各端末またはサーバは、登録者個人の履歴情報を他の端末やサーバに送信する際に、その情報に自動的に個人識別IDを付与して送信することが望ましい。
例えば、この登録者識別情報は、登録者個人のバイオメトリクス情報や、登録者固有の電子情報であり、登録者が保有する電子記録媒体等に保存される。この登録者識別情報は、認証システムにおいて、登録者個人に対し1つ以上登録されている。
海外の場合には、その国にある自国民を統一的に網羅できる納税者番号、パスポート番号、住民番号といった固有の番号をその個人識別IDに援用するようにしてもよい。
特に、パスポートは、全世界において共通の身分証明書となり得るので、全世界で共通の個人識別IDを容易に割り当てることができる。
例えば、日本に入国を希望する外国人等、日本国内の身分証明書の番号がまだ付与されていない場合には、このパスポート番号に基づいて、容易に個人識別IDを割り当てることができる。
図119は、本発明の実施の形態である総合DB11,111,121,131,141,151,161の情報量を示すイメージ図である。総合DB11では、登録者に関わる全てのデータが保管されている。一方、総合DB111,121,131,141,151,161では、そこで利活用を行うことが想定されるデータを中心に保管されており、それぞれの総合DBに存在する履歴情報は重複する部分が存在してもよい。
このため、総合DB11の格納する登録者個人の個人情報量を100とした場合、端末111,121,131,141,151,161に存在する個人情報の総合計は100を上回ることもありうる。例えば、氏名や住所や生年月日等の基本情報と考えられるものは、各端末において重複して保存され、利活用されるので、この認証システムのデータの中では重複して存在する。
同様に、各端末においても、その端末に接続される下位端末の登録者個人の個人情報量の総合計は、上位端末が保有する登録者個人の個人情報量に合致しなくてもよい。
現在、世界中の様々なメーカーや大学の研究室がバイオメトリクス読取機の開発や製造を行っており、それぞれが主張する端末の読み取り方式、データ変換方式、整合率や「しきい値」等の計算方式、等の技術方式は千差万別である。
それぞれの技術には固有の特徴を有するが、相互の融通性は検討されておらず、社会全体のインフラと考えられない。例えば、同一の指紋で2台のバイオメトリクス読取機を使用する場合、それぞれのスキャナの読取方式が異なれば、相互で読み取った指紋データを検証の連続性、補強証拠として活用することはできない。
これでは、世界中にどれだけのバイオメトリクス読取機が設置されたとしても、個々の処理が完結するだけで、社会全体、登録者個人の利便性に寄与するものでない。
本実施の形態においては、各端末やサーバは、認証された場合に、認証システムを正常稼動させる上述の移動情報だけを送信する。すなわち、本実施の形態では、読取データの照合は、その読み取った機器が行い、その後は、認証が成功した事実を含む移動情報が認証システム内で送受信される。そのため、本実施の形態の認証システムを構成する機器のデータ読み取り方式は、互いに異なっていてもよいこととなる。
このことから、末端側端末160等の読取機器のメーカーは、「認証すれば移動情報を発信する」という最小限度の仕様の制約だけを守れば、その読取機器における自由度の高い開発や製造を行うことができ、その開発・製造段階における負担を軽減させることができる。
なお、読み取られたバイオメトリクス情報等のデータは、当該読取機器内で格納される。
例えば、集約側端末150は、自機が管理する下位端末全ての機能を一覧化したデータベースを有する。このことにより、各端末やサーバが相互の読取情報を認証できる場合、その端末やサーバに登録されている登録情報の同一性を検証するときに容易に抽出することが可能となる。
また、このように、データベースにおいて自機が管理する端末の機能を管理することにより、認証システム全体で利活用されている機器の割合や頻度を検証して、その後の普及の方針に役立てることが可能である。
さらに、各端末やサーバの誤動作率や故障頻度等も集積できるので、改良や新技術開発にも役立てることが可能である。
また、上記の各端末やサーバをソフトウェアモジュール群として構成する場合、このプログラムは、光記録媒体、磁気記録媒体、光磁気記録媒体、または半導体等の記録媒体に記録され、上記の記録媒体からロードされるようにしてもよいし、所定のネットワークを介して接続されている外部機器からロードされるようにしてもよい。
2 管理サーバ
3 個人情報入力装置
10、10A、10B 認証システムサーバ
11、111、121、131、141、151、161、311 総合DB
12、112、122、132、142、152、162、312 履歴情報DB
13、113、123、133、143、153、163、313 検証情報DB
14、114、114A、114B、124、134、144、154、164、314 基礎情報DB
15、115、125、135、145、155、165、315 可否情報DB
16、116、126、136、146、156、166、316 検索情報DB
17、117、127、137、147、157、167 一時保管DB
20 ユーザ端末
30 閲覧希望側端末
40 登録希望側端末
50 実在判断希望側端末
60 実在認証希望側端末
70 情報正当性認証希望側端末
80 確認先側端末
110、110A〜110Y、110CK、110HK、110WT 建物側端末
120、120E〜120G、120N、120CK、120HK 組織側端末
130 地域管理側端末
140 中継側端末
150、150A〜150G、150M、150AT、150CK、150HK 集約側端末
160、160A〜160H、160M、160a〜160d、160Cc、160Dd、160Ee、160HK、160hK、160HL、160hL、160CT、160DT、160W1〜160W13 末端側端末
200 通信回線網
300、300A〜300C 外部機関サーバ
401 自機空間情報DB
402 関連空間情報DB
500 情報携帯物
DB11,DB12,DB13,DB61 データベース
Claims (21)
- 登録者の個人情報を管理するデータベースを備えるサーバ群と、前記登録者により操作される情報入力装置とが通信回線網を介して接続されてなる認証システムであって、
前記情報入力装置は、前記登録者により入力された情報を含む移動情報を前記サーバ群に送信し、
前記サーバ群は、前記情報入力装置から前記移動情報を受信すると、該受信した移動情報と、前記データベース内の個人情報とに基づいて、前記登録者の実在性を認証することを特徴とする認証システム。 - 前記サーバ群は、前記受信した移動情報と、前記データベース内の個人情報とを照合し、両者が一致した場合に、前記情報入力装置に所定の動作を許可するための許可情報を、前記情報入力装置に送信し、
前記情報入力装置は、前記許可情報を受信すると、前記所定の動作を実行することを特徴とする請求項1記載の認証システム。 - 前記移動情報には、該移動情報送信元の情報入力装置の設置位置を示す位置情報と、前記登録者により情報が入力された時期を示す時期情報と、前記登録者固有の個人識別IDとが含まれ、
前記サーバ群は、前記同一の個人識別IDを含む移動情報を複数受信すると、該受信した移動情報が示す登録者の情報入力場所及び時期に基づいて、前記登録者の実在性の連続性の認証を行うことを特徴とする請求項1または2記載の認証システム。 - 前記サーバ群及び前記情報入力装置は、前記登録者の移動経路に基づいて、前記移動情報を送信することを特徴とする請求項1から3のいずれか1項に記載の認証システム。
- 前記情報入力装置は、前記個人情報を管理するデータベースを備え、前記登録者により情報が入力されると、該入力された情報と、前記データベース内の個人情報とを照合し、両者が一致した場合に、所定の動作を実行することを特徴とする請求項1から4のいずれか1項に記載の認証システム。
- 前記サーバ群は、建築物、移動手段、施設、地域又は組織単位でまとめて前記情報入力装置を管理する前記管理サーバと、該管理サーバのデータベース内の情報を統括して管理するデータベースを備える認証サーバとからなることを特徴とする請求項1から5のいずれか1項に記載の認証システム。
- 前記認証システムは、それぞれ少なくとも1つの前記認証サーバ及び前記情報入力装置と該端末間を接続する通信回線網とからなるユニットを複数有し、
前記認証サーバは、前記ユニット単位で、前記情報入力装置による所定動作の拒否を制御することを特徴とする請求項6記載の認証システム。 - 前記認証サーバは、前記情報入力装置からの移動情報を受信すると、前記情報入力装置が属するユニット以外に設置されている情報入力装置に対して、該情報入力装置の所定動作の制限又は禁止するための制御情報を送信することを特徴とする請求項6または7記載の認証システム。
- 前記認証サーバは、前記情報入力装置からの移動情報を受信した後に、該情報入力装置が属するユニット外の他の情報入力装置から送信された、同一の個人識別IDを含む移動情報を受信すると、
前記個人識別IDにより特定される登録者に対する前記情報入力装置による所定動作の制限又は禁止するための制御情報を、前記情報入力装置に送信することを特徴とする請求項6または7記載の認証システム。 - 前記認証サーバは、前記情報入力装置から移動情報を受信すると、該情報入力装置が属するユニット外の情報入力装置及び管理サーバに対して、前記移動情報を消去させるための制御情報を、前記情報入力装置に送信することを特徴とする請求項6から9のいずれか1項に記載の認証システム。
- 前記認証サーバは、前記情報入力装置から移動情報を受信すると、前記情報入力装置が属するユニットに設置されている情報入力装置に対して、該情報入力装置の所定動作の制限又は禁止するための制御情報を送信することを特徴とする請求項6または7記載の認証システム。
- 前記認証サーバは、前記受信した移動情報を蓄積し、
前記情報入力装置から移動情報を受信すると、該送信元の当業者情報入力装置の設置位置と、前記蓄積した移動情報とに基づいて、前記登録者の移動経路を予測し、該予測した移動経路上に設置されている情報入力装置に対して、前記所定動作の実行準備を行わせるための制御情報を送信することを特徴とする請求項6から11のいずれか1項に記載の認証システム。 - 前記認証サーバは、前記登録者が利用する移動手段の目的地を示す情報が含まれている前記移動情報を受信し、
前記移動手段に関連する情報入力装置から移動情報を受信すると、前記目的地に関連する情報入力装置に対して、前記所定動作の実行準備を行わせるための制御情報を送信することを特徴とする請求項6から11のいずれか1項に記載の認証システム。 - 前記認証サーバは、前記予測した移動経路外に設置されている情報入力装置から送信された、前記移動情報を受信すると、前記情報入力装置に対して、該情報入力装置の所定動作の制限又は禁止するための制御情報を送信することを特徴とする請求項12または13記載の認証システム。
- 前記サーバ群及び前記情報入力装置は、受信又は入力した情報の送信先の順位を予め設定しており、該受信又は入力した情報の送信が失敗すると、該失敗した送信先の次の順位の送信先に前記受信又は入力した情報を送信することを特徴とする請求項1から14のいずれか1項に記載の認証システム。
- 前記認証動作は、前記移動情報に含まれる前記登録者のバイオメトリクス情報と、前記データベースに管理されるバイオメトリクス情報との照合により、前記登録者の実在性の認証を行うことを特徴とする請求項1から15のいずれか1項に記載の認証システム。
- 前記サーバ群は、限定された組織内で利用されるローカルな識別IDと、前記個人識別IDとを変換することを特徴とする請求項3記載の認証システム。
- 前記サーバ群は、前記情報入力装置から前記移動情報を受信すると、該受信した移動情報に基づいて認証を行い、該認証が成功すると、前記情報入力装置に対して金融取引又は決済取引の実行を許可する旨の許可情報を送信することを特徴とする請求項1または2記載の認証システム。
- 前記サーバ群は、前記情報入力装置から前記移動情報を受信すると、該受信した移動情報に基づいて認証を行い、該認証が成功すると、公的な身分証明書が提示されたとみなす旨の情報を、前記情報入力装置に送信することを特徴とする請求項1または2記載の認証システム。
- 前記認証システムにおいて一時的にネットワーク間の断線が発生した場合、
前記情報入力装置は、自装置に接続可能であった前記サーバ群及び他の情報入力装置に対して現在接続が可能であるか確認するための信号を送出し、接続が可能である前記サーバ群又は前記他の情報入力装置とネットワークを確立することを特徴とする請求項1から19のいずれか1項に記載の認証システム。 - 前記情報入力装置は、自装置と接続が可能な前記サーバ群又は前記他の情報入力装置が示された一覧情報を格納し、該一覧情報には接続の優先順位が示されており、
前記情報入力装置は、前記認証システムにおいて一時的にネットワーク間の断線が発生した場合、前記優先順位に従って前記確認するための信号を送出しネットワークを確立することを特徴とする請求項20記載の認証システム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005083936 | 2005-03-23 | ||
JP2005083936 | 2005-03-23 | ||
PCT/JP2006/305826 WO2006101169A1 (ja) | 2005-03-23 | 2006-03-23 | 認証システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP3946243B2 JP3946243B2 (ja) | 2007-07-18 |
JPWO2006101169A1 true JPWO2006101169A1 (ja) | 2008-09-04 |
Family
ID=37023826
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006519659A Active JP3946243B2 (ja) | 2005-03-23 | 2006-03-23 | 認証システム |
Country Status (5)
Country | Link |
---|---|
US (2) | US20090189736A1 (ja) |
EP (1) | EP1868132A4 (ja) |
JP (1) | JP3946243B2 (ja) |
CN (1) | CN101167080B (ja) |
WO (1) | WO2006101169A1 (ja) |
Families Citing this family (157)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006101169A1 (ja) | 2005-03-23 | 2006-09-28 | Ihc Corp. | 認証システム |
US7941370B2 (en) * | 2006-04-25 | 2011-05-10 | Uc Group Limited | Systems and methods for funding payback requests for financial transactions |
JP5007886B2 (ja) * | 2006-10-24 | 2012-08-22 | 株式会社Ihc | 個人認証システム |
JP4963225B2 (ja) * | 2006-12-12 | 2012-06-27 | 三菱電機株式会社 | 個人認証システム |
JP4728939B2 (ja) * | 2006-12-13 | 2011-07-20 | Necシステムテクノロジー株式会社 | 個人認証装置 |
JP5111879B2 (ja) * | 2007-01-31 | 2013-01-09 | 株式会社三共 | 利用状況管理装置および電子マネーシステム |
JP5090003B2 (ja) * | 2007-01-31 | 2012-12-05 | 株式会社三共 | 利用状況管理装置および電子マネーシステム |
US7979177B2 (en) * | 2007-04-30 | 2011-07-12 | Ford Motor Company | System and method for updating vehicle computing platform configuration information |
GB2449118A (en) * | 2007-05-11 | 2008-11-12 | Ericsson Telefon Ab L M | Host Identity Protocol Rendezvous Servers which store information about nodes connected to other servers and forward address requests |
JP5141102B2 (ja) * | 2007-06-15 | 2013-02-13 | 沖電気工業株式会社 | 自動取引装置及び自動取引システム |
US8063737B2 (en) * | 2007-06-25 | 2011-11-22 | WidePoint Corporation | Emergency responder credentialing system and method |
JP5034821B2 (ja) * | 2007-09-21 | 2012-09-26 | ソニー株式会社 | 生体情報記憶装置 |
JP2009116600A (ja) | 2007-11-06 | 2009-05-28 | Mitsubishi Electric Corp | 入退室管理システム |
US8693737B1 (en) * | 2008-02-05 | 2014-04-08 | Bank Of America Corporation | Authentication systems, operations, processing, and interactions |
EP2271968A1 (de) | 2008-04-28 | 2011-01-12 | Inventio AG | Verfahren zum schalten von elektrischen verbrauchern in einem gebäude |
US8417415B2 (en) * | 2008-07-02 | 2013-04-09 | Michael Phelan | Driver authentication system and method for monitoring and controlling vehicle usage |
US9045101B2 (en) * | 2008-07-02 | 2015-06-02 | Michael Phelan | Driver authentication system and method for monitoring and controlling vehicle usage |
US9493149B2 (en) * | 2008-07-02 | 2016-11-15 | Michael Phelan | Driver authentication system and method for monitoring and controlling vehicle usage |
US10043060B2 (en) * | 2008-07-21 | 2018-08-07 | Facefirst, Inc. | Biometric notification system |
JP5147593B2 (ja) * | 2008-08-08 | 2013-02-20 | アズビル株式会社 | 入退室管理システム、入退室管理方法、および受付装置 |
US20100180127A1 (en) * | 2009-01-14 | 2010-07-15 | Motorola, Inc. | Biometric authentication based upon usage history |
US20100301993A1 (en) * | 2009-05-28 | 2010-12-02 | International Business Machines Corporation | Pattern based security authorization |
US8621588B2 (en) * | 2009-06-15 | 2013-12-31 | National University Corporation Asahikawa Medical University | Information processing system, terminal device, and server |
US8384514B2 (en) | 2009-08-07 | 2013-02-26 | At&T Intellectual Property I, L.P. | Enhanced biometric authentication |
US20110153193A1 (en) * | 2009-12-22 | 2011-06-23 | General Electric Company | Navigation systems and methods for users having different physical classifications |
KR101055890B1 (ko) * | 2010-01-27 | 2011-08-09 | (주)디지털인터랙티브 | 사후 지문 등록을 이용한 근태 관리 방법 및 시스템 |
US20110316703A1 (en) * | 2010-04-29 | 2011-12-29 | Andy Butler | System and Method for Ensuring Sanitation Procedures in Restrooms |
US8548720B2 (en) * | 2010-06-16 | 2013-10-01 | Arbus Engineering Centre India | System and method for aircraft taxi gate selection based on passenger connecting flight information |
WO2012025977A1 (ja) * | 2010-08-23 | 2012-03-01 | 株式会社日立製作所 | スケジュール管理方法及びスケジュール管理サーバ |
JP5875221B2 (ja) * | 2010-10-12 | 2016-03-02 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 物体の管理方法及びその装置 |
JP5508223B2 (ja) * | 2010-10-20 | 2014-05-28 | 株式会社日立製作所 | 個人識別システム及び方法 |
JP5656583B2 (ja) * | 2010-11-25 | 2015-01-21 | 株式会社日本総合研究所 | 与信審査システム、与信審査方法、携帯型情報処理装置、及びコンピュータプログラム |
US10037421B2 (en) | 2010-11-29 | 2018-07-31 | Biocatch Ltd. | Device, system, and method of three-dimensional spatial user authentication |
US11223619B2 (en) | 2010-11-29 | 2022-01-11 | Biocatch Ltd. | Device, system, and method of user authentication based on user-specific characteristics of task performance |
US10069837B2 (en) | 2015-07-09 | 2018-09-04 | Biocatch Ltd. | Detection of proxy server |
US10476873B2 (en) | 2010-11-29 | 2019-11-12 | Biocatch Ltd. | Device, system, and method of password-less user authentication and password-less detection of user identity |
US10474815B2 (en) | 2010-11-29 | 2019-11-12 | Biocatch Ltd. | System, device, and method of detecting malicious automatic script and code injection |
US9483292B2 (en) | 2010-11-29 | 2016-11-01 | Biocatch Ltd. | Method, device, and system of differentiating between virtual machine and non-virtualized device |
US10298614B2 (en) * | 2010-11-29 | 2019-05-21 | Biocatch Ltd. | System, device, and method of generating and managing behavioral biometric cookies |
US10055560B2 (en) | 2010-11-29 | 2018-08-21 | Biocatch Ltd. | Device, method, and system of detecting multiple users accessing the same account |
US10728761B2 (en) | 2010-11-29 | 2020-07-28 | Biocatch Ltd. | Method, device, and system of detecting a lie of a user who inputs data |
US10069852B2 (en) | 2010-11-29 | 2018-09-04 | Biocatch Ltd. | Detection of computerized bots and automated cyber-attack modules |
US10621585B2 (en) | 2010-11-29 | 2020-04-14 | Biocatch Ltd. | Contextual mapping of web-pages, and generation of fraud-relatedness score-values |
US10262324B2 (en) | 2010-11-29 | 2019-04-16 | Biocatch Ltd. | System, device, and method of differentiating among users based on user-specific page navigation sequence |
US10747305B2 (en) | 2010-11-29 | 2020-08-18 | Biocatch Ltd. | Method, system, and device of authenticating identity of a user of an electronic device |
US10776476B2 (en) | 2010-11-29 | 2020-09-15 | Biocatch Ltd. | System, device, and method of visual login |
US11269977B2 (en) | 2010-11-29 | 2022-03-08 | Biocatch Ltd. | System, apparatus, and method of collecting and processing data in electronic devices |
US11210674B2 (en) * | 2010-11-29 | 2021-12-28 | Biocatch Ltd. | Method, device, and system of detecting mule accounts and accounts used for money laundering |
US10970394B2 (en) | 2017-11-21 | 2021-04-06 | Biocatch Ltd. | System, device, and method of detecting vishing attacks |
US20190158535A1 (en) * | 2017-11-21 | 2019-05-23 | Biocatch Ltd. | Device, System, and Method of Detecting Vishing Attacks |
US10949757B2 (en) | 2010-11-29 | 2021-03-16 | Biocatch Ltd. | System, device, and method of detecting user identity based on motor-control loop model |
US10404729B2 (en) | 2010-11-29 | 2019-09-03 | Biocatch Ltd. | Device, method, and system of generating fraud-alerts for cyber-attacks |
US10685355B2 (en) | 2016-12-04 | 2020-06-16 | Biocatch Ltd. | Method, device, and system of detecting mule accounts and accounts used for money laundering |
US9747436B2 (en) * | 2010-11-29 | 2017-08-29 | Biocatch Ltd. | Method, system, and device of differentiating among users based on responses to interferences |
US10917431B2 (en) | 2010-11-29 | 2021-02-09 | Biocatch Ltd. | System, method, and device of authenticating a user based on selfie image or selfie video |
US10164985B2 (en) | 2010-11-29 | 2018-12-25 | Biocatch Ltd. | Device, system, and method of recovery and resetting of user authentication factor |
US10834590B2 (en) | 2010-11-29 | 2020-11-10 | Biocatch Ltd. | Method, device, and system of differentiating between a cyber-attacker and a legitimate user |
US10032010B2 (en) | 2010-11-29 | 2018-07-24 | Biocatch Ltd. | System, device, and method of visual login and stochastic cryptography |
US10083439B2 (en) | 2010-11-29 | 2018-09-25 | Biocatch Ltd. | Device, system, and method of differentiating over multiple accounts between legitimate user and cyber-attacker |
US10586036B2 (en) | 2010-11-29 | 2020-03-10 | Biocatch Ltd. | System, device, and method of recovery and resetting of user authentication factor |
US10949514B2 (en) | 2010-11-29 | 2021-03-16 | Biocatch Ltd. | Device, system, and method of differentiating among users based on detection of hardware components |
US10897482B2 (en) | 2010-11-29 | 2021-01-19 | Biocatch Ltd. | Method, device, and system of back-coloring, forward-coloring, and fraud detection |
US9531701B2 (en) * | 2010-11-29 | 2016-12-27 | Biocatch Ltd. | Method, device, and system of differentiating among users based on responses to interferences |
US10395018B2 (en) | 2010-11-29 | 2019-08-27 | Biocatch Ltd. | System, method, and device of detecting identity of a user and authenticating a user |
US8907763B2 (en) * | 2010-12-02 | 2014-12-09 | Viscount Security Systems Inc. | System, station and method for mustering |
US20120158602A1 (en) * | 2010-12-16 | 2012-06-21 | Aginfolink Holdings, Inc., A Bvi Corporation | Intra-enterprise ingredient specification compliance |
US10043229B2 (en) * | 2011-01-26 | 2018-08-07 | Eyelock Llc | Method for confirming the identity of an individual while shielding that individual's personal data |
BR112013022433A2 (pt) * | 2011-03-18 | 2016-12-06 | Fujitsu Frontech Ltd | aparelho de verificação, programa de verificação, e método de verificação |
US20120278251A1 (en) * | 2011-04-26 | 2012-11-01 | Michael Pinsker | System and method for compliant integrated paperless workflow |
EP3439267A1 (en) * | 2011-06-03 | 2019-02-06 | UC Group Limited | Systems and methods for managing chargeback requests |
US9253197B2 (en) | 2011-08-15 | 2016-02-02 | Bank Of America Corporation | Method and apparatus for token-based real-time risk updating |
US8806602B2 (en) | 2011-08-15 | 2014-08-12 | Bank Of America Corporation | Apparatus and method for performing end-to-end encryption |
US8789143B2 (en) * | 2011-08-15 | 2014-07-22 | Bank Of America Corporation | Method and apparatus for token-based conditioning |
US8752124B2 (en) | 2011-08-15 | 2014-06-10 | Bank Of America Corporation | Apparatus and method for performing real-time authentication using subject token combinations |
US8950002B2 (en) | 2011-08-15 | 2015-02-03 | Bank Of America Corporation | Method and apparatus for token-based access of related resources |
US8539558B2 (en) | 2011-08-15 | 2013-09-17 | Bank Of America Corporation | Method and apparatus for token-based token termination |
US9055053B2 (en) | 2011-08-15 | 2015-06-09 | Bank Of America Corporation | Method and apparatus for token-based combining of risk ratings |
US8726361B2 (en) * | 2011-08-15 | 2014-05-13 | Bank Of America Corporation | Method and apparatus for token-based attribute abstraction |
US8910290B2 (en) * | 2011-08-15 | 2014-12-09 | Bank Of America Corporation | Method and apparatus for token-based transaction tagging |
US8572683B2 (en) | 2011-08-15 | 2013-10-29 | Bank Of America Corporation | Method and apparatus for token-based re-authentication |
US8660322B2 (en) | 2011-08-25 | 2014-02-25 | King Saud University | Passive continuous authentication method |
US8909551B2 (en) * | 2011-09-22 | 2014-12-09 | Paul Pawlusiak | System and method of expedited credit and loan processing |
CN103810596A (zh) * | 2012-02-29 | 2014-05-21 | 汪风珍 | 预留验证信息识别 |
WO2013145197A1 (ja) * | 2012-03-28 | 2013-10-03 | 富士通株式会社 | 分散処理におけるサービス検索方法、プログラム、およびサーバ装置 |
CN103389694B (zh) * | 2012-05-11 | 2016-04-27 | 北京北方微电子基地设备工艺研究中心有限责任公司 | 工厂自动化验证系统及方法 |
KR101378319B1 (ko) * | 2012-05-21 | 2014-04-04 | (주)싸이버원 | 보안처리시스템 및 방법 |
US10650378B2 (en) * | 2012-12-19 | 2020-05-12 | Ncr Corporation | Customer verification |
US8874454B2 (en) | 2013-03-15 | 2014-10-28 | State Farm Mutual Automobile Insurance Company | Systems and methods for assessing a roof |
US9721086B2 (en) | 2013-03-15 | 2017-08-01 | Advanced Elemental Technologies, Inc. | Methods and systems for secure and reliable identity-based computing |
US9231954B2 (en) * | 2013-03-15 | 2016-01-05 | Telmate, Llc | Communications system for residents of secure facility |
US9378065B2 (en) | 2013-03-15 | 2016-06-28 | Advanced Elemental Technologies, Inc. | Purposeful computing |
US20140303837A1 (en) * | 2013-04-09 | 2014-10-09 | Navteq | Method and apparatus for authorizing access and utilization of a vehicle |
US9509676B1 (en) | 2013-04-30 | 2016-11-29 | United Services Automobile Association (Usaa) | Efficient startup and logon |
US9430624B1 (en) | 2013-04-30 | 2016-08-30 | United Services Automobile Association (Usaa) | Efficient logon |
KR101343349B1 (ko) * | 2013-10-15 | 2013-12-20 | 권영대 | 지문 인증을 수행하는 보안카드와 그에 따른 보안카드 처리 시스템 및 그 처리 방법 |
JP5930218B2 (ja) | 2013-10-30 | 2016-06-08 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | ユーザの操作を制限する機能を有する情報処理装置、方法、及び、プログラム |
US20160300232A1 (en) * | 2013-11-13 | 2016-10-13 | Rakuten, Inc. | Monitoring assistance device |
WO2015103100A1 (en) * | 2014-01-02 | 2015-07-09 | Chen, Chung-Chin | Authentication method and system for screening network caller id spoofs and malicious phone calls |
US9652915B2 (en) * | 2014-02-28 | 2017-05-16 | Honeywell International Inc. | System and method having biometric identification intrusion and access control |
WO2015191844A2 (en) * | 2014-06-11 | 2015-12-17 | Defensory, Inc. | Improved alarm system |
US20160026941A1 (en) * | 2014-07-26 | 2016-01-28 | International Business Machines Corporation | Updating and synchronizing existing case instances in response to solution design changes |
JP6397728B2 (ja) * | 2014-11-07 | 2018-09-26 | 株式会社日立製作所 | 交通カード処理システムおよび交通カード処理システム |
CN104680131B (zh) * | 2015-01-29 | 2019-01-11 | 深圳云天励飞技术有限公司 | 基于身份证件信息和人脸多重特征识别的身份验证方法 |
CN107408352B (zh) | 2015-03-31 | 2021-07-09 | 深圳市大疆创新科技有限公司 | 用于地理围栏装置通信的系统和方法 |
CN112908038A (zh) * | 2015-03-31 | 2021-06-04 | 深圳市大疆创新科技有限公司 | 确定无人飞行器的位置的方法和空管系统 |
JP6423521B2 (ja) | 2015-03-31 | 2018-11-14 | エスゼット ディージェイアイ テクノロジー カンパニー リミテッドSz Dji Technology Co.,Ltd | 無人航空機を制御するシステム |
EP3295420A1 (en) * | 2015-05-14 | 2018-03-21 | Alclear, LLC | Physical token-less security screening using biometrics |
US10275587B2 (en) * | 2015-05-14 | 2019-04-30 | Alclear, Llc | Biometric ticketing |
GB2539705B (en) | 2015-06-25 | 2017-10-25 | Aimbrain Solutions Ltd | Conditional behavioural biometrics |
US11531737B1 (en) | 2015-07-30 | 2022-12-20 | The Government of the United States of America, as represented by the Secretary of Homeland Security | Biometric identity disambiguation |
CN105224849B (zh) * | 2015-10-20 | 2019-01-01 | 广州广电运通金融电子股份有限公司 | 一种多生物特征融合身份鉴别方法以及装置 |
WO2017203698A1 (ja) * | 2016-05-27 | 2017-11-30 | 三菱電機株式会社 | 登録先決定装置、登録装置、秘匿検索システム、登録先決定方法及び登録先決定プログラム |
US10454939B1 (en) * | 2016-06-30 | 2019-10-22 | EMC IP Holding Company LLC | Method, apparatus and computer program product for identifying excessive access rights granted to users |
GB2552032B (en) | 2016-07-08 | 2019-05-22 | Aimbrain Solutions Ltd | Step-up authentication |
US10198122B2 (en) | 2016-09-30 | 2019-02-05 | Biocatch Ltd. | System, device, and method of estimating force applied to a touch surface |
CN107978034B (zh) * | 2016-10-25 | 2020-05-22 | 杭州海康威视数字技术股份有限公司 | 一种门禁控制方法及系统、控制器及终端 |
US10579784B2 (en) | 2016-11-02 | 2020-03-03 | Biocatch Ltd. | System, device, and method of secure utilization of fingerprints for user authentication |
US11074325B1 (en) * | 2016-11-09 | 2021-07-27 | Wells Fargo Bank, N.A. | Systems and methods for dynamic bio-behavioral authentication |
US10339777B2 (en) * | 2016-12-13 | 2019-07-02 | Lenovo (Singapore) Pte. Ltd. | Identifying an individual based on an electronic signature |
CN107452166B (zh) * | 2017-06-27 | 2023-08-22 | 长江大学 | 一种基于声纹识别的图书馆借书方法及装置 |
US10397262B2 (en) | 2017-07-20 | 2019-08-27 | Biocatch Ltd. | Device, system, and method of detecting overlay malware |
CN107403114B (zh) * | 2017-07-25 | 2020-09-22 | 苏州浪潮智能科技有限公司 | 一种锁定输入的结构及方法 |
JP6838211B2 (ja) * | 2017-07-31 | 2021-03-03 | 日立Astemo株式会社 | 自律運転制御装置、自律移動車及び自律移動車制御システム |
TWI636355B (zh) * | 2017-08-01 | 2018-09-21 | 群光電能科技股份有限公司 | 電子印章 |
CN109325325B (zh) | 2017-08-01 | 2022-04-12 | 群光电能科技股份有限公司 | 数字认证系统 |
CN107426237A (zh) * | 2017-08-10 | 2017-12-01 | 汪清翼嘉电子商务有限公司 | 一种用户个人信息的大数据网络验证系统和方法 |
EP3669334B1 (en) * | 2017-08-18 | 2023-09-27 | Carrier Corporation | Method to create a building path for building occupants based on historic information |
TWI646474B (zh) * | 2017-08-28 | 2019-01-01 | 關楗股份有限公司 | 用於身分核實系統中的造假生物特徵過濾裝置 |
CN109426713B (zh) | 2017-08-28 | 2022-05-24 | 关楗股份有限公司 | 用于身份核实系统中的造假生物特征过滤装置 |
US10909266B2 (en) * | 2017-10-24 | 2021-02-02 | Merck Sharp & Dohme Corp. | Adaptive model for database security and processing |
KR101915602B1 (ko) * | 2017-12-28 | 2018-11-07 | 주식회사 신화시스템 | 출입통제시스템에 대한 출입권한 관리방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능한 기록매체 |
CN108182765A (zh) * | 2018-02-02 | 2018-06-19 | 深圳爱影科技有限公司 | 用于实现vr眼镜共享的智能柜系统 |
GB2573262B (en) * | 2018-03-08 | 2022-04-13 | Benefit Vantage Ltd | Mobile identification method based on SIM card and device-related parameters |
US11228601B2 (en) * | 2018-03-20 | 2022-01-18 | Intel Corporation | Surveillance-based relay attack prevention |
KR102445320B1 (ko) * | 2018-07-24 | 2022-09-21 | 미쓰비시 덴키 빌딩 솔루션즈 가부시키가이샤 | 방문 관리 기능을 구비한 콘텐츠 배포 장치 |
US11127013B1 (en) | 2018-10-05 | 2021-09-21 | The Government of the United States of America, as represented by the Secretary of Homeland Security | System and method for disambiguated biometric identification |
JP6998568B2 (ja) * | 2019-03-04 | 2022-01-18 | パナソニックIpマネジメント株式会社 | 顔認証システムおよび顔認証方法 |
US10756808B1 (en) * | 2019-05-14 | 2020-08-25 | The Boeing Company | Methods and systems for transmitting terrestrial aircraft data using biometrically authenticated broadband over power line communication channels |
US11743723B2 (en) | 2019-09-16 | 2023-08-29 | Microstrategy Incorporated | Predictively providing access to resources |
JP7432137B2 (ja) * | 2019-09-20 | 2024-02-16 | ブラザー工業株式会社 | 印刷装置及び通信処理システム |
CN110825924B (zh) * | 2019-11-01 | 2022-12-06 | 深圳市卡牛科技有限公司 | 一种数据检测方法、装置及存储介质 |
KR102614345B1 (ko) * | 2020-02-14 | 2023-12-18 | 에코스솔루션(주) | 대형건물 미세먼지 알림 시스템의 구동방법 |
WO2021176535A1 (ja) | 2020-03-02 | 2021-09-10 | 日本電気株式会社 | 提示制御装置、システム、方法及びプログラムが格納された非一時的なコンピュータ可読媒体 |
US11470082B2 (en) * | 2020-03-31 | 2022-10-11 | Konica Minolta Business Solutions U.S.A., Inc. | Authentication server and method that provide authentication information upon interruption of power supply |
CN111461018B (zh) * | 2020-04-01 | 2023-07-07 | 北京金和网络股份有限公司 | 特种设备监测方法及装置 |
CN112861170B (zh) * | 2020-08-03 | 2023-03-31 | 德能森智能科技(成都)有限公司 | 一种保护隐私的智慧园区管理系统 |
US11797946B2 (en) | 2020-11-10 | 2023-10-24 | International Business Machines Corporation | Transportation boarding time notification |
DE102020214914A1 (de) * | 2020-11-27 | 2022-06-02 | Sivantos Pte. Ltd. | Verfahren zur Unterstützung eines Nutzers eines Hörgerätes, Hörgerät und Computerprogrammprodukt |
CN112968775B (zh) * | 2021-02-01 | 2022-06-24 | 杭州齐令信息科技有限公司 | 人员生物特征识别系统 |
CN112883349B (zh) * | 2021-04-29 | 2021-07-20 | 深圳市科力锐科技有限公司 | 数据还原方法、装置、设备及存储介质 |
CN113593082B (zh) * | 2021-05-14 | 2023-05-23 | 国家电网有限公司技术学院分公司 | 一种基于区块链的五防锁具管理方法及系统 |
KR102533108B1 (ko) * | 2021-05-28 | 2023-05-16 | 주식회사 아이피나우 | 특허 관리서버 및 이를 포함하는 특허 관리시스템 |
JP2022187268A (ja) * | 2021-06-07 | 2022-12-19 | 東芝テック株式会社 | 情報処理システム、情報処理装置及びその制御プログラム |
US20230015789A1 (en) * | 2021-07-08 | 2023-01-19 | Vmware, Inc. | Aggregation of user authorizations from different providers in a hybrid cloud environment |
US11606353B2 (en) | 2021-07-22 | 2023-03-14 | Biocatch Ltd. | System, device, and method of generating and utilizing one-time passwords |
CN113850945B (zh) * | 2021-09-27 | 2023-02-17 | 杭州海康威视数字技术股份有限公司 | 一种门禁控制方法和多门禁主机反潜回系统 |
CN113677001B (zh) * | 2021-10-25 | 2022-02-08 | 山东开创电气有限公司 | 具有自动智能补偿uwb定位精度装置及方法 |
Family Cites Families (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5229764A (en) * | 1991-06-20 | 1993-07-20 | Matchett Noel D | Continuous biometric authentication matrix |
US5268670A (en) * | 1991-10-04 | 1993-12-07 | Senior Technologies, Inc. | Alert condition system usable for personnel monitoring |
US6040783A (en) * | 1995-05-08 | 2000-03-21 | Image Data, Llc | System and method for remote, wireless positive identity verification |
US5719918A (en) * | 1995-07-06 | 1998-02-17 | Newnet, Inc. | Short message transaction handling system |
US6218945B1 (en) * | 1997-09-10 | 2001-04-17 | John E Taylor, Jr. | Augmented monitoring system |
JP2000040064A (ja) * | 1998-07-24 | 2000-02-08 | Ntt Data Corp | ネットワークアクセスの認証方式 |
JP3797523B2 (ja) * | 1998-08-12 | 2006-07-19 | 富士通サポートアンドサービス株式会社 | 指紋による個人認証システム |
JP2000092567A (ja) | 1998-09-07 | 2000-03-31 | Toyota Motor Corp | 端末装置の認証装置 |
JP2000090567A (ja) * | 1998-09-09 | 2000-03-31 | Sony Corp | ディジタル信号の伝送装置、ディジタル信号の伝送方法及びディジタル信号の記録媒体 |
US6233588B1 (en) * | 1998-12-02 | 2001-05-15 | Lenel Systems International, Inc. | System for security access control in multiple regions |
AU4831500A (en) * | 1999-05-10 | 2000-11-21 | Andrew L. Di Rienzo | Authentication |
JP2002064861A (ja) * | 2000-08-14 | 2002-02-28 | Pioneer Electronic Corp | 本人認証システム |
US7551931B2 (en) * | 2001-01-24 | 2009-06-23 | Motorola, Inc. | Method and system for validating a mobile station location fix |
EP1388073B1 (en) * | 2001-03-01 | 2018-01-10 | Akamai Technologies, Inc. | Optimal route selection in a content delivery network |
US20030070100A1 (en) * | 2001-10-05 | 2003-04-10 | Winkler Marvin J. | Computer network activity access apparatus incorporating user authentication and positioning system |
JP2004086560A (ja) | 2002-08-27 | 2004-03-18 | Yamaha Corp | 情報配信システム及び方法、並びに、情報配信制御装置、方法及びプログラム |
JP2004204629A (ja) * | 2002-12-26 | 2004-07-22 | Yamatake Corp | 入退室管理システムおよび方法 |
JP4776170B2 (ja) * | 2003-01-29 | 2011-09-21 | 技研商事インターナショナル株式会社 | ロケーション証明システム |
JP4312523B2 (ja) * | 2003-07-04 | 2009-08-12 | ソフトバンクモバイル株式会社 | ドア施錠解錠システム |
JP4507520B2 (ja) * | 2003-07-18 | 2010-07-21 | 株式会社日立製作所 | ナビゲーションシステム |
WO2006101169A1 (ja) | 2005-03-23 | 2006-09-28 | Ihc Corp. | 認証システム |
-
2006
- 2006-03-23 WO PCT/JP2006/305826 patent/WO2006101169A1/ja active Application Filing
- 2006-03-23 EP EP06745380.3A patent/EP1868132A4/en not_active Withdrawn
- 2006-03-23 CN CN2006800142788A patent/CN101167080B/zh active Active
- 2006-03-23 JP JP2006519659A patent/JP3946243B2/ja active Active
- 2006-03-23 US US11/886,749 patent/US20090189736A1/en not_active Abandoned
-
2012
- 2012-06-08 US US13/492,122 patent/US8866586B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US20090189736A1 (en) | 2009-07-30 |
EP1868132A4 (en) | 2014-06-18 |
US20120256725A1 (en) | 2012-10-11 |
CN101167080A (zh) | 2008-04-23 |
US8866586B2 (en) | 2014-10-21 |
WO2006101169A1 (ja) | 2006-09-28 |
CN101167080B (zh) | 2012-01-04 |
EP1868132A1 (en) | 2007-12-19 |
JP3946243B2 (ja) | 2007-07-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3946243B2 (ja) | 認証システム | |
JP3828901B2 (ja) | 個人認証システム | |
JP5007886B2 (ja) | 個人認証システム | |
Hirose | Privacy in public spaces: The reasonable expectation of privacy against the dragnet use of facial recognition technology | |
JP2007241501A (ja) | 訪問者特定システムおよび訪問者特定方法 | |
JP2003223449A (ja) | 端末情報の登録およびその活用方法。 | |
JP5125362B2 (ja) | コンテンツ管理装置、そのプログラムおよびコンテンツ管理方法 | |
Muller et al. | Zurich main railway station: A typology of public CCTV systems | |
JP7089360B2 (ja) | 設備機器作動システム | |
JP6829508B2 (ja) | アプリケーションプログラム及び行動管理装置 | |
WO2021225523A1 (en) | Systems, devices, and methods for managing contact instances of persons of interest | |
WO2021029086A1 (ja) | デジタル・スマートガイド・セキュリティシステム、方法及びプログラム | |
WO2020213058A1 (ja) | デジタルスマート・ディフェンスセキュリティシステム、方法及びプログラム | |
JP2008025278A (ja) | 出入管理システム及び方法 | |
WO2022201746A1 (ja) | 入退管理システム、入退管理方法、及び記録媒体 | |
WO2022163870A1 (ja) | 所有者連続認証システム、遺失物救済システム、所有物のスペア作成システム及び印鑑 | |
Taavila | Wearable technology as part of access control | |
KR102451177B1 (ko) | 가상 스마트키를 이용한 비대면 체크인 시스템 | |
WO2023170915A1 (ja) | 防犯指標値算出システム、防犯指標値算出方法、及び、防犯指標値算出プログラムが格納された記録媒体 | |
Hans | Using a biometric system to control access and exit of vehicles at Tshwane University of Technology | |
US20230342440A1 (en) | System for system for creating and storing verified digital identities | |
WO2020116023A1 (ja) | 情報処理装置、情報処理システム、および情報処理方法、並びにプログラム | |
US20230012098A1 (en) | Building system for private user communication | |
Craighead | High-Rise Security | |
JP4273869B2 (ja) | 訪問者対応装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070320 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070410 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 3946243 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110420 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110420 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120420 Year of fee payment: 5 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130420 Year of fee payment: 6 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140420 Year of fee payment: 7 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |