JPWO2006101169A1 - 認証システム - Google Patents

認証システム Download PDF

Info

Publication number
JPWO2006101169A1
JPWO2006101169A1 JP2006519659A JP2006519659A JPWO2006101169A1 JP WO2006101169 A1 JPWO2006101169 A1 JP WO2006101169A1 JP 2006519659 A JP2006519659 A JP 2006519659A JP 2006519659 A JP2006519659 A JP 2006519659A JP WO2006101169 A1 JPWO2006101169 A1 JP WO2006101169A1
Authority
JP
Japan
Prior art keywords
information
terminal
authentication system
registrant
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006519659A
Other languages
English (en)
Other versions
JP3946243B2 (ja
Inventor
林 均
均 林
Original Assignee
株式会社Ihc
株式会社Ihc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社Ihc, 株式会社Ihc filed Critical 株式会社Ihc
Application granted granted Critical
Publication of JP3946243B2 publication Critical patent/JP3946243B2/ja
Publication of JPWO2006101169A1 publication Critical patent/JPWO2006101169A1/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
    • G07C9/25Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition
    • G07C9/257Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition electronically
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B15/00Arrangements or apparatus for collecting fares, tolls or entrance fees at one or more control points
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C2209/00Indexing scheme relating to groups G07C9/00 - G07C9/38
    • G07C2209/08With time considerations, e.g. temporary activation, valid time window or time limitations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals

Abstract

【課題】 改竄、流出及び盗難が容易とされる電子情報を用いてネットワークを介して個人認証を行うときに、仮に改ざん等された場合であっても、バイオメトリクス情報の一致/不一致の認証に加えて、時間的・空間的な認証を行うことにより登録者の実在性の認証精度を向上させ、その不正行為を容易に発見でき、システム内におけるセキュリティ面の向上を実現させた認証システムを提供する。【解決手段】 認証サーバ1には、認証の対象となる登録者の個人情報を管理するデータベースが設けられている。また、この認証サーバ1は、通信回線網を介して複数の管理サーバ2と接続されており、この管理サーバ2を介して個人情報入力装置3から送信された個人情報と、そのデータベース内の個人情報との照合を行って、登録者の実在性の認証を行う。【選択図】 図1

Description

本発明は、認証システムに関し、特に、利用者の個人情報の照合を行って認証を行う認証システムに関する。
従来から、保険契約や銀行口座の開設等、重要な手続きや取引の際には、個人の実在性を証明するために、免許証や社員証といった身分証明書を提示してきた。
また、近年の電子技術の発達により、電子マネーを使用する場合などでは、入力されたパスワードの照合を行ったり、磁気カードやICカードから固有の個人情報を読み取って照合を行ったりといった個人の認証方法も主流となってきている。
しかしながら、免許証や社員証の場合、複写や偽造が容易であることが多く、その不正な身分証明書による違法行為が後をたたない。
また、電子情報を用いた認証方法においても、その電子情報の改竄、流出及び盗難が比較的容易であり、特に、インターネットを介した認証の場合には、相手側の姿を確認することが困難であるため、その認証の脆弱性は否定できなかった。
このような不正な認証行為を防止するため、近年、バイオメトリクス情報による認証が提案されている。
このバイオメトリクス情報とは、指紋や声紋等、その人に生体的に備わった固有の情報をいい、他人には持ち得ないその人固有の情報であるため、偽造は困難であると言われてきた。
このような電子情報による認証をセキュリティの面で強化したものの1つとして、特許文献1が開示するところのバイオメトリクス認証技術を用いた防犯システムが提案されている。
この特許文献1では、利用者が選択し登録した人間に限られていた認証対象者に加え、利用者にとって「素性のわからない人間」にまで認証対象者を拡大し、それらの認証対象者のバイオメトリクス情報をデータベースに登録しておくことにより、その「素性のわからない人間」によって不正な行為が行われたときの適切な対応が可能となっている。
特開2005−32051
しかしながら、このように、セキュリティ面を強化したバイオメトリクス情報による個人認証であっても、その認証システム上において、バイオメトリクス情報はこれまでと同様に電子情報に変換され、送受信されるため、その電子情報の改竄、流出及び盗難を完全に防止することは困難であった。
本発明は、上記問題点に鑑みてなされたものであり、このような改竄、流出及び盗難が容易とされる電子情報を用いてネットワークを介して個人認証を行うときに、仮に改ざん等された場合であっても、バイオメトリクス情報の一致/不一致の認証に加えて、時間的・空間的な認証を行うことにより登録者の実在性の認証精度を向上させ、その不正行為を容易に発見でき、システム内におけるセキュリティ面の向上を実現させた認証システムを提供することを目的とする。
かかる目的を達成するため、本発明は、登録者の個人情報を管理するデータベースを備えるサーバ群と、登録者により操作される情報入力装置とが通信回線網を介して接続されてなる認証システムであって、情報入力装置は、登録者により入力された情報を含む移動情報をサーバ群に送信し、サーバ群は、情報入力装置から移動情報を受信すると、受信した移動情報と、データベース内の個人情報とに基づいて、登録者の実在性を認証することを特徴とする。
また、本発明によれば、サーバ群は、受信した移動情報と、データベース内の個人情報とを照合し、両者が一致した場合に、情報入力装置に所定の動作を許可するための許可情報を、情報入力装置に送信し、情報入力装置は、許可情報を受信すると、所定の動作を実行することを特徴とする。
また、本発明によれば、移動情報には、移動情報送信元の情報入力装置の設置位置を示す位置情報と、登録者により情報が入力された時期を示す時期情報と、登録者固有の個人識別IDとが含まれ、サーバ群は、同一の個人識別IDを含む移動情報を複数受信すると、受信した移動情報が示す登録者の情報入力場所及び時期に基づいて、登録者の実在性の連続性の認証を行うことを特徴とする。
また、本発明によれば、サーバ群及び情報入力装置は、登録者の移動経路に基づいて、移動情報を送信することを特徴とする。
また、本発明によれば、情報入力装置は、個人情報を管理するデータベースを備え、登録者により情報が入力されると、入力された情報と、データベース内の個人情報とを照合し、両者が一致した場合に、所定の動作を実行することを特徴とする。
また、本発明によれば、サーバ群は、建築物、移動手段、施設、地域又は組織単位でまとめて情報入力装置を管理する管理サーバと、管理サーバのデータベース内の情報を統括して管理するデータベースを備える認証サーバとからなることを特徴とする。
また、本発明によれば、認証システムは、それぞれ少なくとも1つの認証サーバ及び情報入力装置と端末間を接続する通信回線網とからなるユニットを複数有し、認証サーバは、ユニット単位で、情報入力装置による所定動作の拒否を制御することを特徴とする。
また、本発明によれば、認証サーバは、情報入力装置からの移動情報を受信すると、情報入力装置が属するユニット以外に設置されている情報入力装置に対して、情報入力装置の所定動作の制限又は禁止するための制御情報を送信することを特徴とする。
また、本発明によれば、認証サーバは、情報入力装置からの移動情報を受信した後に、情報入力装置が属するユニット外の他の情報入力装置から送信された、同一の個人識別IDを含む移動情報を受信すると、個人識別IDにより特定される登録者に対する情報入力装置による所定動作の制限又は禁止するための制御情報を、情報入力装置に送信することを特徴とする。
また、本発明によれば、認証サーバは、情報入力装置から移動情報を受信すると、情報入力装置が属するユニット外の情報入力装置及び管理サーバに対して、移動情報を消去させるための制御情報を、情報入力装置に送信することを特徴とする。
また、本発明によれば、認証サーバは、情報入力装置から移動情報を受信すると、情報入力装置が属するユニットに設置されている情報入力装置に対して、情報入力装置の所定動作の制限又は禁止するための制御情報を送信することを特徴とする。
また、本発明によれば、認証サーバは、受信した移動情報を蓄積し、情報入力装置から移動情報を受信すると、送信元の当業者情報入力装置の設置位置と、蓄積した移動情報とに基づいて、登録者の移動経路を予測し、予測した移動経路上に設置されている情報入力装置に対して、所定動作の実行準備を行わせるための制御情報を送信することを特徴とする。
また、本発明によれば、認証サーバは、登録者が利用する移動手段の目的地を示す情報が含まれている移動情報を受信し、移動手段に関連する情報入力装置から移動情報を受信すると、目的地に関連する情報入力装置に対して、所定動作の実行準備を行わせるための制御情報を送信することを特徴とする。
また、本発明によれば、認証サーバは、予測した移動経路外に設置されている情報入力装置から送信された、移動情報を受信すると、情報入力装置に対して、情報入力装置の所定動作の制限又は禁止するための制御情報を送信することを特徴とする。
また、本発明によれば、サーバ群及び情報入力装置は、受信又は入力した情報の送信先の順位を予め設定しており、受信又は入力した情報の送信が失敗すると、失敗した送信先の次の順位の送信先に受信又は入力した情報を送信することを特徴とする。
また、本発明によれば、認証動作は、移動情報に含まれる登録者のバイオメトリクス情報と、データベースに管理されるバイオメトリクス情報との照合により、登録者の実在性の認証を行うことを特徴とする。
また、本発明によれば、サーバ群は、限定された組織内で利用されるローカルな識別IDと、個人識別IDとを変換することを特徴とする。
また、本発明によれば、認証システムは金融機関により管理されるものであって、サーバ群は、情報入力装置から移動情報を受信すると、受信した移動情報に基づいて認証を行い、認証が成功すると、情報入力装置に対して金融取引又は決済取引の実行を許可する旨の許可情報を送信することを特徴とする。
また、本発明によれば、サーバ群は、情報入力装置から移動情報を受信すると、受信した移動情報に基づいて認証を行い、認証が成功すると、公的な身分証明書が提示されたとみなす旨の情報を、情報入力装置に送信することを特徴とする。
また、本発明によれば、認証システムにおいて一時的にネットワーク間の断線が発生した場合、情報入力装置は、自装置に接続可能であったサーバ群及び他の情報入力装置に対して現在接続が可能であるか確認するための信号を送出し、接続が可能であるサーバ群又は他の情報入力装置とネットワークを確立することを特徴とする。
また、本発明によれば、情報入力装置は、自装置と接続が可能なサーバ群又は他の情報入力装置が示された一覧情報を格納し、一覧情報には接続の優先順位が示されており、情報入力装置は、認証システムにおいて一時的にネットワーク間の断線が発生した場合、優先順位に従って確認するための信号を送出しネットワークを確立することを特徴とする。
なお、以上の構成要素の任意の組合せや、本発明の構成要素や表現を方法、装置、認証システム、コンピュータプログラム、コンピュータプログラムを格納した記録媒体などの間で相互に置換したものもまた、本発明の態様として有効である。
本発明における認証システムは、複数の端末を有し、端末で入力される登録者の個人情報に基づいて、登録者の認証を行うシステムであって、登録者の物理的移動に応じて、認証システム内における登録者の個人情報の格納位置が移動し、登録者以外の第三者は、その登録者の個人情報の格納位置を特定することが困難であるため、そのような第三者による登録者の個人情報の、改竄、流出及び盗難を防止するとともに、その不正行為を容易に発見でき、システム内におけるセキュリティ面の向上を実現させることが可能となる。
<基本原理>
図1は、本発明の実施の形態における認証システムの基本構成原理を示す図である。
以下、この図を用いて、本実施の形態の認証システムの基本構成原理及び基本動作原理について説明する。
まず、この認証システムの基本構成原理について説明する。
図に示すように、認証システムは、認証サーバ1と、管理サーバ2と、個人情報入力装置3とを有して構成される。
認証サーバ1には、認証の対象となる登録者の個人情報を管理するデータベースが設けられている。また、この認証サーバ1は、通信回線網を介して複数の管理サーバ2と接続されており、この管理サーバ2を介して個人情報入力装置3から送信された個人情報と、そのデータベース内の個人情報との照合を行って、登録者の実在性の認証を行う。
管理サーバ2は、例えば登録者の自宅、学校、東京都といったように、所定の建築物、組織又は地域単位ごとに、個人情報入力装置3をまとめて管理する情報処理装置であり、その単位ごとでまとめられた複数の個人情報入力装置3と通信回線網を介して接続されている。
また、管理サーバ2にも、前述の個人情報のデータベースが設けられており、これらの接続されている個人情報入力装置3から受信した個人情報と、そのデータベース内の個人情報との照合を行って、登録者の実在性の認証を行う。
個人情報入力装置3は、ドア、道路又は駅改札等、登録者の生活空間のあらゆるところに設置される装置であって、バイオメトリクス情報等の登録者の個人情報を入力し(読み取って)、この個人情報を管理サーバ2に送信する。
次に、この認証システムの基本動作原理について説明する。
登録者は、個人情報入力装置3に触れて指紋等のバイオメトリクス情報を入力すると(読み取らせると)、個人情報入力装置3はこの入力されたバイオメトリクス情報を認証サーバ1及び管理サーバ2に送信し、認証サーバ1及び管理サーバ2は、この送信されたバイオメトリクス情報と、予めそれぞれが管理するデータベース内のバイオメトリクス情報との間で照合を行う。
照合の結果、両バイオメトリクス情報が一致したときには、登録者による認証システムへのアクセスを許可し、個人情報入力装置3は、所定の動作を行ったり、登録者に対して所定のサービスを提供したりする。
このように、本実施の形態における認証システムでは、登録者の個人認証を行い、認証が成功したときだけ、登録者に対して所定の動作を行う等するので、登録者周囲の環境のセキュリティを容易に向上させることが可能となる。
また、個人情報入力装置3は、登録者のバイオメトリクス情報を読み取ったとき、その読み取ったバイオメトリクス情報とともに、自装置の設置場所及び読取時刻の情報を管理サーバ2及び認証サーバ1に送信する。
認証サーバ1及び管理サーバ2は、この登録者のバイオメトリクス情報を読み取った場所及び時期を示す情報を自身のデータベースにそれぞれ格納し、これ以降の登録者の実在性の認証に利用する。
例えば、17時00分に自宅でバイオメトリクス情報を読み取ったことを示す情報がデータベースに格納されている場合に、同日の17時05分に、その自宅から100km離れた地点の個人情報入力装置3で同一登録者のバイオメトリクス情報が読み取られ、管理サーバ2及び認証サーバ1に送信されると、認証サーバ1及び管理サーバ2は、このバイオメトリクス情報の読取が不正に行われた可能性があるとして、これ以降、その登録者のバイオメトリクス情報によるドア鍵の開錠等の動作を制限又は拒否するような制御情報を個人情報入力装置3に送信する。
なお、個人情報入力装置3にも、前述の個人情報のデータベースが設けられているとしてもよく、このとき、個人情報入力装置3は、そのデータベース内のバイオメトリクス情報と、入力されたバイオメトリクス情報との間で照合を行って、自ら登録者の個人認証を行うようにしてもよい。
このように、認証システムは、バイオメトリクス情報の一致/不一致の認証に加えて、時間的・空間的な認証を行うことにより、登録者の実在性の認証精度を向上させることが可能となる。
<認証システムの基本構成及び基本動作の説明>
以下、各実施の形態の説明に入る前に、本実施の形態における認証システムの基本構成及び基本動作について、以下の項目に分けて説明する。
・認証システムの基本構成
・認証システムを構成する各端末の共通の特徴
・各端末が有する基本情報
・各端末が備えるデータベースの構成例
・端末による個人認証処理
(認証システムの基本構成:全体構成)
図2は、本発明の実施形態における認証システムの概略構成を示すブロック図である。
図に示すように、認証システムは、前述の登録者の履歴情報を管理する認証システムサーバ10と、マンション等のある建築物内に設置される端末を統合管理する建物側端末110と、行政機関等のある組織内に設置される端末を統合管理する組織側端末120と、○○町1丁目といったある地域内に設置される端末を統合管理する地域管理側端末130と、これら各端末110,120,130により統合管理されない端末を補完的に統合管理する中継側端末140と、これら各端末110,120,130,140を統合管理する集約側端末150と、登録者の行動範囲に設置されその登録者の認証を行う末端側端末160と、認証システムサーバ10のバックアップサーバである外部機関サーバ300と、が通信回線網200を介して接続されて構成される。
これらの各端末は、用途や設置位置等に応じて細分化されているが、以下「各端末」と表すときには、特記しない限り、これら各端末110,120,130,140,150,160全てを示すものであるとする。
(認証システムの基本構成:認証システムサーバ10)
認証システムサーバ10は、利用者の個人情報の管理を行う管理機関により管理運営されるサーバ装置である。この認証システムサーバ10は、履歴情報に基づいて、その登録者の認証を行う機能を具備すると共に、各利用者個人の履歴情報を記録管理するためのデータベース(DB)11を具備している。この総合DB11内の管理構造の詳細については後述する。
(認証システムの基本構成:外部機関サーバ300)
外部機関サーバ300は、認証システムサーバ10を管理する管理機関とは別の機関により管理運営されるサーバ装置である。この外部機関サーバ300は、認証システムサーバ10の機能を代行し、履歴情報に基づいて、その登録者の認証を行う機能を具備すると共に、各個人の履歴情報を記録管理又はバックアップ保管するためのデータベース(DB)311を具備している。このDB311内の管理構造の詳細については後述する。
(認証システムの基本構成:集約側端末150)
これらサーバ10,300には、インターネット、有線通信回線網、無線通信回線網、地上デジタル波、赤外線等のネットワークである通信回線網200を介して集約側端末150が接続されている。
この集約側端末150は、認証システムサーバ10,300と、建物側端末110、組織側端末120、地域管理側端末130及び中継側端末140と、を通信回線網200を介して接続するために設けられたサブサーバ装置である。
この集約側端末150は、認証システムサーバ10の機能を代行し、履歴情報に基づいて、その利用者の認証を行う機能を具備すると共に、各利用者個人の履歴情報を記録管理又はバックアップ保管するための総合データベース(DB)151を具備している。このDB151内の管理構造の詳細については後述する。
また、集約側端末150は、認証システムサーバ10と建物側端末110、組織側端末120、地域管理側端末130、中継側端末140との間に複数設置されていてもよい。この場合、接続の経由上、認証システムサーバ10に直接接続される端末を指して上位端末とする。
また、その集約側端末150には、末端側端末160を統合管理する端末装置が、通信回線網200を介して接続されている。
この集約側端末150に接続されている端末装置としては、その統合管理の単位に応じて、建物側端末110、組織側端末120、地域管理側端末130、中継側端末140がある。
(認証システムの基本構成:建物側端末110)
建物側端末110は、建物毎にその建物内部又は周辺部に設置された末端側端末160を統合管理するために設けられたサブサーバ装置である。この建物側端末110は、認証システムサーバ10又は集約側端末150の機能を代行し、履歴情報に基づいて、その登録者の認証を行う機能を具備すると共に、各個人の履歴情報を記録管理するための総合データベース(DB)111を具備している。この総合DB111内の管理構造の詳細については後述する。
また、建物側端末110による末端側端末160の統合管理単位は、建物内でより細分化されていてもよく、学校の教室、マンションの独立した区分単位、ビル内の入居個人・団体単位、階別単位で構成されていてもよい。
例えば、建物側端末110の利用者としては、学校、マンション、ビル、病院、空港、駅などの管理機関が考えられる。
(認証システムの基本構成:組織側端末120)
組織側端末120は、データベースを利用する学校、会社、公共機関又は任意の団体等によって使用される末端側端末160をそれぞれ統合管理するために設けられたサブサーバ装置である。この組織側端末120は、認証システムサーバ10又は集約側端末150の機能を代行し、履歴情報に基づいて、その登録者の認証を行う機能を具備すると共に、各個人の履歴情報を記録管理するためのデータベース(DB)121を具備している。このDB121内の管理構造の詳細については後述する。
例えば、組織側端末120の利用者としては、学校のクラス・学部、会社全体又は支店・部門、区市町村役場又は外務省等の省庁、趣味の会などが考えられる。
また、各種運営団体が実行する商行為、各種取引又は有償・無償を問わないサービス提供においてそれぞれ末端側端末160が使用されるとき、それら各行為、各取引又は各サービスごとに、そこで使用される末端側端末160をグループ化し、そのグループごとに、組織側端末120は、末端側端末160を統合管理するようにしてもよい。
例えば、クレジットサービスに使用される末端側端末160を統合管理する組織側端末120は、ある銀行の口座所有者、クレジットカード発行会社でのカード種別、小売店での顧客カード種別などの各単位で、クレジットサービスに関する登録者の個人情報を格納する。
(認証システムの基本構成:地域管理側端末130)
地域管理側端末130は、都道府県、区市町村又は町名等の行政単位毎に設置された末端側端末160を統合管理するために設けられたサブサーバ装置である。この地域管理側端末130は、認証システムサーバ10又は集約側端末150の機能を代行し、履歴情報に基づいて、その登録者の認証を行う機能を具備すると共に、各個人の履歴情報を記録管理するためのデータベース(DB)131を具備している。このDB131内の管理構造の詳細については後述する。
例えば、この地域管理側端末130は、次に示すような一定地域内に設置された末端側端末160を統合管理する。
・2つのそれぞれ異なる経線と2つのそれぞれ異なる緯線によって囲まれた一定地域内
・地球上の一点を中心点として円状・方形状に特定された一定地域内
・宇宙の一点を頂点とした円錐状から地球上に特定された一定地域内
(認証システムの基本構成:中継側端末140)
中継側端末140は、建物側端末110、組織側端末120又は地域管理側端末130とは直接接続されていない末端側端末160を管理運営するために設けられたサブサーバ装置である。この中継側端末140は、認証システムサーバ10又は集約側端末150の機能を代行し、履歴情報に基づいて、その登録者の認証を行う機能を具備すると共に、各個人の履歴情報を記録管理するためのデータベース(DB)141を具備している。このDB141内の管理構造の詳細については後述する。
但し、認証システムサーバ10と建物側端末110、組織側端末120、地域管理側端末130、中継側端末140とが、集約側端末150を介さず、直接的に接続されていることもある。
(認証システムの基本構成:末端側端末160)
末端側端末160は、登録者等の日常行動範囲、及び人が離散集合する建物、組織及び地域に設置される情報処理装置であって、登録者個人のバイオメトリクス情報やパスポート・免許証等の証拠物の情報を読み取って、その登録者の正当性の認証を行う機能を有するものである。従って、末端側端末160は、情報入力装置としての機能も有する。
また、末端側端末160には、例えば、パスポートのような証拠物を読み取る際に、証拠物の真贋(偽造の有無)を判定できる機能も搭載していることが好ましい。
この末端側端末160は、登録者の個人情報の認証が成功した場合、電子マネーの使用許可、鍵の開錠、照明の点灯、書類の発行又は情報の提供等の各種サービスを提供する。以下、認証の結果、登録者がこの末端側端末160等からこれらの各種サービスを受けることを「端末で利活用する」という。
末端側端末160は、この認証が行われた旨の履歴情報を自端末に登録する。
また、登録者は、この末端側端末160を用いて、自分自身の個人情報を登録することができるとともに、その登録済みの個人情報や前述の履歴情報を閲覧することができる。さらに、末端側端末160は、これらの登録された個人情報及び履歴情報を他の端末やサーバと送受信を行う機能を有する。また、末端側端末160は、履歴情報に基づいて、その登録者の認証を行う機能を具備する。
また、末端側端末160は、各個人の履歴情報を記録管理するためのデータベース(総合DB161)を具備している。この総合DB161内の管理構造の詳細については後述する。
また、認証システムサーバ10、建物側端末110、組織側端末120、地域管理側端末130、中継側端末140、集約側端末150は、必ずしもこの末端側端末160から受信した履歴情報を総合DB11、111、121、131、141又は151に格納しなくてもよく、キーボードまたはスキャナ等の入力装置から入力された履歴情報を直接総合DB11、111、121、131、141又は151に格納するようにしてもよい。
(認証システムの基本構成:上位・下位の定義)
図3は、本実施の形態における認証システムの構成を簡略化して示したブロック図である。ここで、図を用いて、認証システムにおける上位端末及び下位端末の定義について説明する。
図に示すように、認証システムサーバ10に集約側端末150Bが接続され、この集約側端末150Bに集約側端末150Aが接続されている。また、この集約側端末150Aには建物側端末110及び組織側端末120が接続されている。また、建物側端末110及び組織側端末120には、それぞれ複数の末端側端末160が接続されている。
このような各端末から認証システムサーバ10に接続される経路上で、認証システムサーバ10を最上位端末とし、末端側端末160を最下位端末とする。この経路上に存在する各端末は、その端末を基準にして、認証システムサーバ10側に接続された回線網に繋がっている端末を上位端末とし、末端側端末160側に接続された回線網に繋がっている端末を下位端末とする。
この図の例では、認証システムサーバ10が最上位端末であり、末端側端末160が最下位端末である。また、集約側端末150Aを中心に考えた場合、集約側端末150Bが上位端末であり、建物側端末110と組織側端末120が下位端末である。
なお、外部機関サーバ300は、認証システムサーバ10と同様に、集約側端末150の上位の位置付けとする。
(認証システムの基本構成:上記構成に追加される端末)
また、認証システムは、上記の構成部位の他に、登録者が自分自身の個人情報等を閲覧するためのユーザ端末20と、その登録者以外の他の人物が、その登録者の個人情報を閲覧するための閲覧希望側端末30と、その登録者以外の人物がその登録者の個人情報を登録するための登録希望側端末40と、登録者の実在性を自ら判断する人物が、その判断のために必要な根拠を管理機関側に求めるための実在判断希望側端末50と、登録者個人の実在性の認証を管理機関に求める人物により操作される実在認証希望側端末60と、登録者から提示された個人情報の正当性の判断を管理機関側に依頼する人物により操作される情報正当性認証希望側端末70と、登録者の身分証明書の発行機関等により操作される確認先側端末80と、を有するようにしてもよい。
本発明の実施の形態における認証システムは、前述した構成要素により構成されるが、後述する各実施の形態において、認証システムは、その構成要素により選択的に構成されるものとする。
また、建物側端末110と、組織側端末120と、地域管理側端末130と、中継側端末140と、を総称して以下では、サブサーバ群とする。
(各端末共通の特徴)
ここで、前述の各端末に共通した特徴について説明を進める。
(各端末の共通特徴:自機の設置場所情報の格納・送信)
各端末は、自端末の設置されている空間情報及び自端末の固有識別に関する情報を格納するデータベース(以下、自機空間情報DB401)と、自端末と密接に関連する他の端末の設置されている空間情報及びその他の端末の固有識別に関する情報を格納するデータベース(以下、関連空間情報DB402)とを有する。
図4は、建物側端末110内のデータベースの一例を示す概略構成のブロック図である。
図に示すように、建物側端末110は、総合DB111、自機空間情報DB401、関連空間情報DB402を管理する。
この中で、総合DB111は、当該端末で取扱う個人情報を格納する。これに対し、自機空間情報DB401は建物側端末110の設置場所を示す情報を、関連空間情報DB402は建物側端末110とネットワークで繋がった端末の設置場所を示す情報をそれぞれ格納している。
なお、情報量によっては、自機空間情報DB401及び関連空間情報DB402を統合して認証システム構築されていてもよい。
図5は、建物側端末110内の自機空間情報DB401と関連空間情報DB402に格納された情報の一例を示す図である。
関連空間情報DB402には、ある空間(場所)に設置される各端末及びサーバ全ての識別情報が互いに対応付けられて一体で構成されている。
また、この関連空間情報DB402には、この建物側端末110の識別情報と、その建物側端末110と情報の送受信が行われる上位・下位端末の識別情報とが互いに対応付けられて管理されている。
但し、この関連空間情報DB402の情報格納量に余裕がある場合には、自機空間情報DB401に準じた構成で詳細な情報を格納しておいてもよい。
各端末は、登録者の個人情報と、登録者の個人認証の認証結果情報と、登録者の検証情報とを、認証システムサーバ10や他の端末に対して送信する機能を有している。
このとき、各端末は、それらの送信情報に、前述の自端末の設置位置情報及び端末識別IDを対応付けて送信する。
このことにより、認証システムにおいて移動する情報の送信元を容易に確定することができる。また、これらの設置位置情報及び端末識別IDを送信情報を、情報の受渡しを容易に行うためのインターネットアドレスとして用いるようにしてもよい。
(各端末の共通特徴:自機の利用目的の設定)
また、各端末は、登録者の認証を行い、その認証結果や登録者の個人情報の送受信を行うといった機能に加え、複合的に他の機能を備え、複数の利用目的に適用可能であってもよい。
以下、このように各端末が、情報の送受信や認証等以外の固有の機能を備えている場合について、説明する。
図6は、本発明の実施の形態において、ある建築物に建築側端末110及び末端側端末160を設置したときのイメージを示す図である。
図に示す例では、その建築物の所定位置に建物側端末110を設置するとともに、その建築物の各箇所に末端側端末160A、160B、160Cを設置している。
このうち、末端側端末160Cは、照明器具に設置されており、照明の電源のオン/オフを管理できる機能が具備されている。
また、末端側端末160Aは玄関外側のドアノブ、末端側端末160Bは玄関内側のドアノブの位置にそれぞれ設置されている。これら末端側端末160A、160Bには、設置されているドアの鍵の施錠・解錠の制御を行う機能と、バイオメトリクス情報読取機能と、末端側端末160Cに対して照明のオン/オフと指示する情報を発信する機能とが具備されている。
図7は、本発明の実施の形態である各端末の設置目的及び具体的動作の一例を示す図である。
図に示すように、例えば、末端側端末160Aは、玄関外側のドアノブに設置されており、登録者が建築物内に入る際にこの玄関外側のドアノブを握ったとき、認証を行い、このドアの鍵を開錠して入室を許可するかどうかを判断する。
また、夜に帰宅した場合を想定して、「家の中に入る」という動作によって末端側端末160Cにオン指示情報を送信し、室内灯が自動的に点灯する動作が付随的に行われるように設定しておいてもよい。また、別の効果として読取時間に自宅又は自宅周辺にいることを示す、いわゆるアリバイ証明用に活用してもよい。
このように、1つの端末に複数の目的を重ねることで、端末の利便性を向上させることが可能である。
各端末には、当該端末が利活用される目的や、当該端末の存在意味が定義されている。このことから、当該端末を利活用すると思われる人物とその人数を具体的に確定することが容易になる。
また、電子マネーを管理するためのデータベースと、ドアの開閉を管理するデータベースといったように、利用目的の異なるデータベースでは、その構成や収録データ等の方式や容量が異なってくる。前述したように、端末の利用目的を特定することにより、これら端末の内外に設けられるデータベースの方式や容量の検討を容易とし、さらには、各端末の設置場所、設置機器、安全管理及び用途等を容易に検討することが可能となる。
(各端末が有する基本情報)
上述の各端末には、以下の各基本情報が格納されている。
(1)設置位置情報
(2)識別情報
(3)交通機関情報
(4)端末間距離情報
(5)設置管理情報
(6)端末信用力情報
ここで、これら各端末が格納する各基本情報(1)〜(6)について説明を進める。
(各端末が有する基本情報:1.設置位置情報)
各端末は、自端末が設置されている位置を示す設置位置情報をそれぞれ格納している。
この設置位置情報は、その情報端末が実際に設置されている位置の2次元または3次元情報であってもよいし、設置位置の名称を示すものであってもよい。
この2次元情報とは、緯度及び経度により表され、3次元情報とは、その緯度及び経度に加え地上からの高さ又は地下の深度により表される空間認識情報をいう。
また、設置位置の名称を示す例としては、「○○ビル6階」のように設置位置が固定されているもののほか、例えば、飛行機、ヘリコプター、電車、列車、自動車、エレベータ、エスカレータ等のように、刻々と設置位置及び高度が変化するものがある。例えば、この場合、設置位置情報は「○○航空所有××社製△△型機、機体番号123の飛行機の搭乗口右側ドア」というように示される。
なお、GPS認証システムやフライトレコーダーに代表される位置情報認識認証システムが利用可能である場合には、その設置位置情報は、それら位置情報認識認証システムの規定する情報形態で表示されてもよい。
また、地上からの高さ又は地下の深度は、必ずしもメートル法にて示されていなくてもよい。例えば、建造物に設置されている場合では、当該建物の2階、3階、地下1階といった高度を認識であってもよい。
この地上からの高さ又は地下の深度については、該当地点での地平面から計測されたものでよい。但し、該当地点が国土地理院の基準点にある又は近接しており、海抜との比較が容易に行える場合には、海抜での表記を用いてもよい。
以上説明した例では、各端末は、その自身の設置位置を示す情報を自身に格納していることとしたが、その情報端末にGPS等の現在位置を認識可能な機器が備えられており、その機器が現在位置(2次元/3次元情報又は設置位置の周囲の状況)を認識してもよい。
(各端末が有する基本情報:2.端末識別ID)
また、各端末には、その端末自体を特定するための固有の識別情報がそれぞれ割り当てられ、これら各端末は、各自自身の端末識別IDを格納している。
この識別情報は、一般的な識別ID又は認識番号のように数桁の文字列であってもよい。また、この識別情報には、併せて設置場所の名称や具体的説明が付与されていることが好ましい。特に、同一の緯度と経度によって表される一点に設置された端末の場合、設置高度や設置目的別に識別情報を付与し、明確な端末特定を可能なようにしておくことが好ましい。
また、図8は、本発明の実施の形態における端末識別IDの設定方法の例を示す図であり、(a)は端末識別IDを詳細に表すときの設定方法を示しており、(b)は簡略的に表すときの設定方法を示している。
(a)の詳細に示す場合では、「東京都=13」、「板橋区=21」、・・・というように、端末の設置場所に応じて番号が付与されており、これらの番号の組み合わせと端末の固有番号とをさらに組み合わせることで、各端末の端末識別IDを設定している。
一方、(b)の簡略化して示す場合では、端末識別IDの共通する部分(例えば、先頭の数字数桁)を別の数値又は文字に置き換えて、端末識別IDを設定している。
このように、識別IDに含まれる文字数を削減することで、各端末にある情報の総量を削減させる効果と、データ処理の負荷を軽減させる効果とがある。
なお、他の端末に情報を送受信する際には、この置き換え部分を元に戻す又は置き換え情報を認識できる情報の付帯処理等を行うことで、端末の1台毎が確実に識別可能な認証システム状況を確保する。
なお、各端末に、例えばユビキタスIDセンターにより発行されているucode(ユビキタスID)が付与されている場合には、そのucode(ユビキタスID)を固有の識別情報として利用するようにしてもよい。
この場合、当該端末の識別番号や設置位置情報等の管理場所を、ユビキタスIDセンターが運営するucode解決サーバ内に設けられたucode解決データベースであるとしてもよい。
(各端末が有する基本情報:3.交通機関情報)
また、各端末は、設置位置の周囲の交通機関の状況を示す交通機関情報を格納する。例えば、交通機関情報として登録されるものとしては以下のものが挙げられる。
1.この端末を利活用する人にとって、最適な交通機関の種類、利用方法
2.この端末を利活用する人にとって、容易に選択できる交通機関の種類、利用方法
3.上記、1又は2における、
最寄駅やバス停等の駅名
最寄駅やバス停等までの距離
最寄駅やバス停等までの移動方法、その方法による所要時間
(各端末が有する基本情報:4.端末間距離情報)
末端側端末160のうち、駅、デパートまたは区役所等の来場者の多い場所、又は目印的な建物や場所に設置されるものは、「主要端末」と認定される。この各主要端末は、主要端末間の距離を示す情報を格納する。また、主要端末以外の末端側端末160は、これら主要端末までの距離を示す情報を格納する。
例えば、距離情報として登録されるものとしては以下のものが挙げられる。
1.空間情報での直線距離を測定した情報
2.3次元情報を平面に投影した2次元情報での直線距離を測定した情報
3.端末間を現実の道路設置状況、建物や構造物等の長さ又は高さ、等を基に計測した情報
(各端末が有する基本情報:5.設置管理情報)
また、各端末には、その端末が設置された日時又は稼動を開始した日時と、その設置者又は管理者を特定する情報とを含む設置管理情報が格納されている。
ここで言う設置者又は管理者とは、形式的に端末を所有する法人又は個人だけではなく、実際に設置工事を担当し当該端末を特定空間に敷設した処理員も含むものとする。なお、複数人数でその敷設処理を行った場合には、該当複数人数全員を特定する情報を、設置管理情報として記録する。
また、必要に応じて、当該端末を開発した人物、製造した人物又は輸送を行った人物等の関係した人間を把握できる情報を格納するようにしてもよい。
(各端末が有する基本情報:6.端末信用力情報)
各端末には、その設置者と管理者の実在性の度合いと、所属又は関係する団体の社会的な信用力とを勘案した端末信用力情報が格納されている。
ここでいう所属又は関係する団体の社会的な信用力とは、資本金、売上高、業種、株式上場の有無、官公庁であるか否か、といった項目ごとに割り振られた点数によって算出される数値を一定の割合で格付化したものである。
例えば、国土交通省や外務省等の公益性の高い団体に属している場合には配点が高くなり、所属団体が確認できない場合には配点を低くする。
これにより、端末の安全性を容易に判断できるようにしたものである。
(各端末が有する基本情報:具体例)
図9は、前述の各端末に格納されている各基本情報の例を示す図であり、(a)〜(c)には、それらの具体例が示されている。これらの情報は、各端末に格納され、登録者の認証時等には、他の端末やサーバに送信される。
この図に示す例1〜3では、その端末に関する各種情報として、各端末の端末識別ID、設置日時、設置者、設置位置(緯度、経度、高度、設置されている建築物や機器)等がそれぞれ示されている。
なお、例3のように、設置管理情報としてその端末に関係した法人や個人を登録するとき、その法人や個人の名称ではなく、その法人や個人を特定するための識別IDで登録するようにしてもよい。
このように、端末の設置者及び管理者を示す情報をその情報端末に格納しておくことにより、設置された端末に対する関係者と責任所在とを容易に把握することができる。
すなわち、例えば、開発の段階で情報端末に違法プログラムが組み込まれていたり、敷設工事段階で不正な他の端末とすり替えられていたりしても、当該端末を認証システム内で利活用を開始するときに当該端末の設置管理情報を検査しておくことにより、これらの不正な処理の責任の所在を容易に明確にすることができる。
また、例えば、設置管理情報に示された関係人物名と、設置工事計画書上に記載されている人物名とが異なっている場合には、不正が行われていた可能性があるとして、その情報端末の利活用開始前にその不正箇所を修正することができる。
また、ある人物の不正が発覚したときには、その人物が関係した端末を瞬時に把握でき、その端末の不正箇所を修正して、被害を最小限度に留めるために必要な対応を迅速に行うことが可能となる。
なお、情報端末の設置者又は管理者が、所定の機関により本人の実在性が証明されているときには、各端末は、その機関が実在性を証明した人物に発行する個人識別ID、またはその実在性が証明された人物の情報が格納されたデータベースとリンクするための情報を併せて格納することが好ましい。
一方、認証システムサーバ10の総合DB11に、実在性が証明された情報端末の設置者及び管理者に関する情報が格納されているときには、各端末は、その設置者及び管理者の個人識別IDと、総合DB11とリンクするための情報と、を併せて格納することが好ましい。
(データベースの構成例の説明)
以下、各端末やサーバに備えられている各データベースの第1乃至第4の構成例について、順に説明を進める。
(第1のデータベースの構成例:全体構成例)
図10は、本発明の実施の形態における認証システムの第1のデータベースの構成例を示す図である。この図では、各端末に備えられている総合DB11,111,121,131,141,151,161の概略構成が示されている。
図に示すように、総合DB11は、履歴情報DB12と、検証情報DB13と、基礎情報DB14と、可否情報DB15とにより構成される。
なお、以下、これら認証システムサーバ10が管理し得るデータベース内の情報をまとめて、個人情報ということとする。
このうち、履歴情報DB12は、個人の履歴に関する情報を格納するデータベースである。また、検証情報DB13は、個人の実在性又はその個人情報の真正性の検証に関する処理工程、実行内容、証拠、証人などの情報を格納するデータベースである。また、基礎情報DB14は、個人情報の基礎情報を格納するデータベースである。また、可否情報DB15は、登録者の認証結果に基づいて認証後の動作進行の状況を決定する情報を格納するデータベースである。
以下同様に、総合DB111は、履歴情報DB112と、検証情報DB113と、基礎情報DB114と、可否情報DB115とにより構成される。
総合DB121は、履歴情報DB122と、検証情報DB123と、基礎情報DB124と、可否情報DB125とにより構成される。
総合DB131は、履歴情報DB132と、検証情報DB133と、基礎情報DB134と、可否情報DB135とにより構成される。
総合DB141は、履歴情報DB142と、検証情報DB143と、基礎情報DB144と、可否情報DB145とにより構成される。
総合DB151は、履歴情報DB152と、検証情報DB153と、基礎情報DB154と、可否情報DB155とにより構成される。
総合DB161は、履歴情報DB162と、検証情報DB163と、基礎情報DB164と、可否情報DB165とにより構成される。
履歴情報DB、検証情報DB、基礎情報DB及び可否情報DBは、それぞれ登録者の情報を、個人別の情報フォルダで管理することが望ましい。なお、これら各総合DBに格納する情報が存在しない場合、当該情報DBを当該端末に具備していないこともある。
総合DB11,111,121,131,141,151,161において、登録される又は利活用される情報が、当該端末内で、各登録者間で共通している場合又は限定されている場合には、個人フォルダを設けず、1つの共有DBを利活用するようにDBの構造自体を簡単にしていてもよい。
履歴情報DB12,112,122,132,142,152,162は、登録者個人が登録した活動データ、マネーデータ、学歴、職歴、行動歴、バイオメトリクス情報などを全て保管格納するための所定欄が設けられている。また、この中には、ユーザ端末20と、閲覧希望側端末30と、登録希望側端末40と、実在判断希望側端末50と、実在認証希望側端末60と、情報正当性認証希望側端末70と、確認先側端末80と、建物側端末110と、組織側端末120と、地域管理側端末130と、中継側端末140と、集約側端末150と、末端側端末160と、が実行した情報登録、閲覧要求、認証要求、正当性要求又は正当性回答などの履歴を保管する部分を有する。
検証情報DB13,113,123,133,143,153又は163は、登録者個人の実在性を検証するために用いた管理機関認証システムサーバ10、確認先側端末80等の関係者の行動記録、関係機関とのやり取り内容、証拠物、及び証人の映像/音声などを電子的情報に置き換えて保管している。
図11は、基礎情報DB14内で配列され、格納された情報の一例を示す図である。
図に示すように、基礎情報DB14は、履歴情報DB12,112,122,132,142,152,162及び検証情報DB13,113,123,133,143,153,163に格納されている情報のうち、最新の情報または登録者個人の個人情報の根幹を為すと判断された情報を、それぞれのデータベースより抽出して保管したものである。例えば、この抽出する情報としては、住所、氏名、生年月日などの登録者の一般的な標準情報、現在の勤務先情報又は最新保有資格一覧など主要項目を見出し的に抽出したものである。
また、同様に、基礎情報DB114は、履歴情報DB12,152,112,162と検証情報DB13,153,113,163とに格納されている情報のうち、最新の情報または登録者個人の個人情報の根幹を為すと判断した情報を、それぞれのデータベースより抽出して保管したものである。
以下同様に、基礎情報DB124は、履歴情報DB12,152,122,162と検証情報DB13,153,123,163より主要項目を見出し的に抽出したものである。
基礎情報DB134は、履歴情報DB12,152,132,162と検証情報DB13、153、133、163より主要項目を見出し的に抽出したものである。
基礎情報DB144は、履歴情報DB12,152,142,162と検証情報DB13,153,143,163より主要項目を見出し的に抽出したものである。
基礎情報DB154は、履歴情報DB12,152,112,122,132,142,162と検証情報DB13,153,113,123,133,143,163より主要項目を見出し的に抽出したものである。
基礎情報DB164は、履歴情報DB12,152,112,122、132、142162、と検証情報DB13,153,113,123,133、143、163,より主要項目を見出し的に抽出したものである。
基礎情報DB14で管理される見出し情報は、履歴情報DB12,112,122,132,142,152,162または検証情報DB13,113,123,133,143,153,163で管理される詳細情報にリンクされている。例えば、その見出し情報が端末のディスプレイ上に表示されるとき、閲覧希望者などは、その見出しをクリックすることで、その見出しに対応した詳細情報を容易に閲覧することができる。
同様に基礎情報DB114で管理される見出し情報は、履歴情報DB12,152,112,162及び検証情報DB13,153,113,163で管理される詳細事項にリンクされている。
以下同様に、基礎情報DB124の見出し情報は、履歴情報DB12,152,122,162及び検証情報DB13,153,123,163で管理される詳細事項にリンクされている。
基礎情報DB134の見出し情報は、履歴情報DB12,152,132,162及び検証情報DB13,153,133,163で管理される詳細事項にリンクされている。
基礎情報DB144の見出し情報は、履歴情報DB12,152、142、162及び検証情報DB13,153,143,163で管理される詳細事項にリンクされている。
基礎情報DB154の見出し情報は、履歴情報DB12,152,112,122,132,142,162及び検証情報DB13,153、113,123,133,143,163で管理される詳細事項にリンクされている。
基礎情報DB164の見出し情報は、履歴情報DB12,152,112,122,132,142,162及び検証情報DB13,153,113,123,133,143,163で管理される詳細事項にリンクされている。
可否情報DB15,115,125,135,145,155,165は、登録者個人の認証結果に基づいて、認証後の動作進行の状況を決定、指示、制御等を行う情報を管理する。
図12は、本発明の実施の形態である可否情報DBに格納された情報の一例を示す図である。可否情報DBでは、認証結果は次の主要3項目に分類される。
(1)本人認証が出来た場合、その認証が成功した人物を登録者個人とみなして、その認証が成功した人物が、その認証に用いた末端側端末160(または当該末端側端末160が含まれるシステム構成単位)により提供される動作、サービス利用、認証システム稼動又は制御解除等の処理を進行するために必要な情報を発信する。
(2)本人認証が出来なかった場合、その認証に失敗した人物が、その認証に用いた末端側端末160(または当該末端側端末160が含まれるシステム構成単位)の操作を継続できないようにしたり、以後の処理を全く進行させないようにしたり、関係機関に対してアラーム情報を発信したりといった動作を行う。
(3)個人認証を行うのに十分な情報読み取りが出来なかった場合、末端側端末160に対して再度認証処理を実行するよう指示する又は読み取りエラーが発生していることを通知する等の情報発信を行う。
(第1のデータベースの構成例:履歴情報DBのデータ構成例)
例えば、前述の履歴情報DBに登録される履歴情報としては、以下の(1)〜(20)が挙げられる。なお、原則として全ての情報には、その情報が発生した日時を示す時間情報が付与されている。
(1)パーソナルデータ
パーソナルデータは、自己の責任により登録されるものであり、その主要項目としては、氏名、住所、電話番号、携帯電話番号、メールアドレス、生年月日などの個人データである。また、そのサブ項目としては、最寄駅、趣味、信教、家族構成、親族関係、友人関係、血液型、プロフィールといった様々な任意項目が設けられている。また、このパーソナルデータは、パスポート、運転免許証又は住民基本台帳カード等の内容を示すものであってもよい。
(2)学歴データ
学歴データとしては、幼稚園、保育園、小学校、中学校、高校、大学、専門学校、大学院、などの卒業証明や成績証明などの登録が可能である。なお、これらの学歴データの証明書類としての卒業証明書や成績証明書は、スキャナ機能により登録することが可能である。
(3)資格データ
資格データとしては、国家資格から民間資格まで合格年度や合格番号、また登録番号といったデータの登録が可能である。
(4)職歴データ
職歴データとしては、勤務会社(所在地、所属部署、業種、資本金、従業員数等)、期間、雇用形態、雇用条件、仕事内容(成功談・失敗談、取得した技術・レベル・地位等)であり、サブ項目としては、社風、人脈(上司・部下・取引先等)、就職・退職・転職の理由、感想(会社・業界)、今後役立てたいこと、といった詳細な項目の登録が可能である。
(5)バイオメトリクス情報
バイオメトリクス情報としては、指紋、虹彩、声紋、網膜、静脈、遺伝子、顔輪郭などであり、人間のバイオメトリクス情報に関わる全ての登録が可能である。
(6)ビジュアルデータ
個人の活動を記録した映像、画像、音声又はこれらを複数組み合わせた情報をデータとして登録が可能である。この中には、特定個人を対象に記録されたものだけでなく、例えば、旅行の集合写真や祭典のドキュメンタリー映像など、登録者個人の実在を側面から補強できる情報を含むものとする。
(7)行動記録データ
申込書、入会証、参加証、表彰状、参加者名簿、参加データなどの行動の開始又は結果を示す詳細な項目の登録が可能である。
(8)マネーデータ
電子マネー残高、および利用履歴情報
(9)アカウントデータ
普通預金、定期預金、投資信託などの口座残高、およびその履歴情報
住宅ローン、カードローン、当座貸越などの借入残高、およびその履歴情報
保有する株式、債券(社債、国債等)等の残高、およびその履歴情報
貴金属(金、白金等)等の保有数、およびその履歴情報
商品取引所取り扱い品目(小豆、大豆、石油、砂糖等)等の保有数、およびその履歴情報
外国為替、オプション、デリバティブ等の保有数、およびその履歴情報
(10)クレジットデータ
クレジットカードの利用残高、利用可能残高、およびその履歴情報
(11)ポイントデータ
各種ポイントカード残高、各種マイレージカード残高、およびその履歴情報
(12)鍵データ
錠の開閉、スイッチのON/OFF、入退場(入退室)の承諾・否認、処理進行の承諾・否認、サービス開始の承諾・否認等の認証判断材料となる情報
(13)購買データ
購入商品名、利用サービス名、およびその履歴情報
(14)活動データ
登録者の日常行動の情報、組織側端末120、地域管理側端末130、中継側端末140、集約側端末150等により採取された情報、およびその履歴情報
(15)訪問データ
訪れた場所情報、建物側端末110により採取された情報、およびその履歴情報
(16)出入国データ
入出国管理窓口等による出入国情報、訪問渡航地情報、およびその履歴情報
(17)指定席データ
航空機又は列車又はバス等の指定席や乗車券の情報、演奏会又は映画館等のチケットの情報、日常生活で発生する日時と場所を特定して予約する行動に纏わる情報、およびその履歴情報
(18)医療データ
カルテ情報、投薬情報、検査情報、身体情報、およびその履歴情報
(19)保険データ
生命保険、損害保険、購入又は利用物の保証書、およびその履歴情報
(20)移動情報
以下の4点の情報を含むもの
1.空間情報(端末に付された端末識別ID、認識番号)
2.認証対象人物の個人識別ID
3.認証を行った時期を示す時間情報、または個人情報(バイオメトリクス情報)が読取/入力された時期を示す時間情報
4.実在認証の結果、「認証されている」ということを示す情報
(21)その他データ
その他、分類先が判定困難な情報
本認証システムは、人間生活全般を支援することを主眼としているため、データの範囲は列挙項目に限定されない。
(第1のデータベースの構成例:端末における情報の格納制限1)
図13は、本発明の実施の形態における総合DB内のデータ構成例を示す図である。
この図では、一例として、建物側端末110の総合DB111内のデータ構成について示されている。
図に示すように、建物側端末110の総合DB111内では、住所の最新情報に関連したものが保存されているに過ぎず、それ以前の住所情報は消去されていることを示している。このように、各端末の総合DBでは、必ずしもその各端末に到着した個人情報の全てを格納又は表示する訳ではない。
通常、履歴情報は随時更新されており、更新された古い情報を定期的又は任意の時期に上位サーバ又は端末のデータベースに移動させることによって、建物側端末110、組織側端末120、地域管理側端末130、中継側端末140、集約側端末150及び末端側端末160では最新情報のみ表示又は管理されているようにしてもよい。
(第1のデータベースの構成例:端末における情報の格納制限2)
図14は、本発明の実施の形態における異なる2つの端末にそれぞれ備えられたデータベースの各データ構成例を示す図である。
この図の例では、その役割(設置位置)が異なる建物側端末110A、110Bにそれぞれ備えられている履歴情報DB114A、114B内のデータ構成が示されている。
各端末の総合DBでは、同一機能を具備した端末であっても、格納されるデータは同一である必要はなく、その端末が担っている役割に対応した情報だけが格納されていてもよい。
各端末は、それぞれ利用目的に応じた機能を備え、その利用目的に応じた内容の情報を格納している。
図に示すように、履歴情報DB114Aは、登録者個人の自宅に設置された建物側端末110Aに備えられ、履歴情報DB114Bは、登録者個人の勤務先の建物に設置された建物側端末110Bに備えられている。
また、これら建物側端末114A、114Bに格納される固有情報データは、自宅又は勤務先の出入口の鍵を開閉させる認証システムを稼動させるために登録されたバイオメトリクス情報を示している。
履歴情報DB114A,114Bに格納される固有情報データは、同一のバイオメトリクス情報である必要はなく、また、基本情報は共通に存在している必要もない。
これから、本実施の形態における各端末は、その端末に要求された役割を利活用するのに必要最低限の情報が格納されてだけでもよい。
(第1のデータベースの構成例:端末における情報の格納制限3)
図15は、本発明の実施の形態における異なる3つの端末にそれぞれ備えられたデータベースの各データ構成例を示す図である。
この図の例では、建物側端末110、組織側端末120及び集約側端末150にそれぞれ備えられている履歴情報DB114、124、154内のデータ構成が示されている。
各端末にあるデータベースは、異なる種類の端末であれば、格納されるデータは同一である必要はなく、その端末が担っている役割に対応した情報だけが格納されていてもよい。
この図の例では、履歴情報DB114は、登録者個人が通学する学校の建物に設置されている建物側端末110に備えられたデータベースであり、この履歴情報DB114に格納される固有情報データは、校舎の出入口の鍵を開閉させるために登録されたバイオメトリクス情報を示している。
また、履歴情報DB124は、登録者個人が通学する学校内のいずれの場所に設置されている組織側端末120に備えられたデータベースであり、この履歴情報DB124に格納される固有情報データは、学籍簿として利活用させるために登録された情報を示している。
このように、この例においても、本認証システムでの各端末は、その端末に要求された役割を利活用するのに必要最低限の情報が格納されてだけでもよい。
(第2のデータベースの構成例:全体構成例)
図16は、本発明の実施の形態における認証システムの第2のデータベースの構成例を示す図である。この図では、認証システムサーバ10が管理するデータベースの構成例について示されている。
図10の例では、DB11は、履歴情報DB12と、検証情報DB13と、基礎情報DB14と、可否情報DB15とにより構成されていた。また、履歴情報DB12と、検証情報DB13と、基礎情報DB14と、可否情報DB15とは、それぞれ登録者の情報を、個人別の情報フォルダで管理することが望ましいとしていた。
しかし、この基本概略構成では認証システムサーバ10内で管理する登録者個人が増加するほど、個人別情報フォルダが比例的に増加する。また、各フォルダ内で管理する履歴情報は蓄積されていくため莫大になることが推量される。この結果、読取情報を認証システムサーバ内で照合するまでに長時間かかることが懸念される。
また、本人認証の結果により、特定サブサーバおよび末端側端末で利活用される可否情報は、複数の登録者間で共通であることもある。例えば、末端側端末160が勤務先建物の社員口ドアに設置され、建物内入室可否(ドアの開閉可否)に利活用するものである場合、認証後の可否情報は入室可(ドアを開く)又は入室不可(ドアを閉じたままとする)であって、全従業員に共通なものとなる。
図16に示す例では、認証システムサーバ10は、総合DB11と、可否情報DB15と、検索情報DB16とを並列的に具備する。また、総合DB11は、各個人の履歴情報を記録管理するためのデータベースであり、履歴情報DB12と、検証情報DB13と、基礎情報DB14とにより構成される。
また、可否情報DB15は、認証システムサーバ10又はこの認証システムサーバ10から見て下位に位置する各端末において、登録者個人の認証を行ったときに、その認証結果に基づいて認証後の動作進行の決定、指示又は制御等を行うための情報を保管格納するとともに、複数の登録者間で共通な可否情報を格納する。
(第2のデータベースの構成例:検索情報DBの特徴)
また、検索情報DB16は、認証システムサーバ10又はこの認証システムサーバ10から見て下位に位置する各端末に登録されている全個人情報から、登録者の検索を容易にするために抽出された全登録者の一覧情報を格納する。また、検索情報DB16では、この一覧情報を、総合DB11にある個人別フォルダにリンクさせて管理している。
認証システムサーバ10は、登録者の個人認証を行うときには、下位に位置する端末により読み取られた、又は入力された情報に該当するデータが、検索情報DB16の一覧情報に存在するか否かを検索する。
認証システムサーバ10は、検索情報DB16に該当するデータが存在した場合には、総合DB11内のリンク先の個人別フォルダ内の情報を参照し、認証処理を実行する。
一方、該当データ存在しない場合には、認証システムサーバ10は、その読み取られた又は入力された情報を集約側端末150に送信して、その登録者個人の認証又はその該当データの検索とともに、その認証/検索結果の返信を要求する。また、該当データが存在しない場合には、認証システムサーバ10は、その登録者の情報を読み取った、又は入力した端末に対して認証不可能な旨の回答を送信してもよい。
以上、認証システムサーバ10における第2のデータベースの構成例について説明したが、他の端末も同様の構成をとるものとする。
すなわち、建物側端末では、総合DB111と、可否情報DB115と、検索情報DB116とを並列的に具備する。
組織側端末110は、総合DB121と、可否情報DB125と、検索情報DB126とを並列的に具備する。
また、地域管理側端末130は、総合DB131と、可否情報DB135と、検索情報DB136とを並列的に具備する。
また、中継側端末140では、総合DB141と、可否情報DB145と、検索情報DB146とを並列的に具備する。
また、集約側端末150は、総合DB151と、可否情報DB155と、検索情報DB156とを並列的に具備する。
また、末端側端末160は、総合DB161と、可否情報DB165と、検索情報DB166とを並列的に具備する。
(第2のデータベースの構成例:検索情報DBのデータ構成例)
図17の(a)は、建物側端末110の下位に並列して末端側端末160A,160B,160Cが接続される構成例を示す図である。また、図17の(b)は、この構成例における建物側端末110が管理する検索情報DB116のデータ構成例を示す図である。
以下、これらの図を用いて、勤務先に建物側端末110が設置されるとともに、その勤務先の施設内に、その勤務先の従業員により操作される末端側端末160A〜160Cが設置されるときの、検索情報DB116のデータ構成について説明する。
ここでは、末端側端末160Aは正面玄関、末端側端末160Bは通用口玄関、末端側端末160Cは金庫室にそれぞれ設置されているものとする。
検索情報DB116には、図17の(b)に示すような各項目の情報が、建物側端末110および建物側端末110よりも下位に位置する端末の個人別フォルダから抽出され、整理されて格納される。
・個人識別ID:登録者(従業員)の個人別フォルダの名称、検索情報DB116とのリンク情報
・登録者氏名:従業員の氏名情報
・情報1:正面玄関出入りのため利用される、本人確認用バイオメトリクス情報
・情報2:通用口玄関出入りのため利用される、本人確認用バイオメトリクス情報
・情報3:金庫室出入りのため利用される、本人確認用バイオメトリクス情報
図17の(b)では、例えば生年月日や住所等の基本情報、所属部署や肩書き等の人事情報などは省略されている。これは、この建物側端末110と、その建物側端末110に接続されている末端側端末160A〜160Bにおいて、読み取り又は入力される情報を中心とするデータベースを構築することにより、使用頻度の低い情報を省き、データベースにおける情報検索時の負荷を軽減させ最適化を図るためである。
(第3のデータベースの構成例)
図18は、本発明の実施の形態における認証システムの第3のデータベースの構成例を示す図である。この図では、建物側端末110が管理するデータベースの構成例について示されている。
図に示すように、建物側端末110は、総合DB111と、この建物側端末110により読み取られた(入力された)個人情報又は他の端末から受信した個人情報を一時的に保管する一時保管DB117とを並列的に具備する。
以下同様に、認証システムサーバ10内には、総合DB11と、一時保管DB17とを並列的に具備する。
組織側端末120では、総合DB121と、一時保管DB127とを並列的に具備する。
地域管理側端末130では、総合DB131と、一時保管DB137とを並列的に具備する。
中継側端末140では、総合DB141と、一時保管DB147とを並列的に具備する。
集約側端末150では、総合DB151と、一時保管DB157とを並列的に具備する。
末端側端末160では、総合DB161と、一時保管DB167とを並列的に具備する。
(第4のデータベースの構成例:全体構成例)
また、図19は、本発明の実施の形態における認証システムの第4のデータベースの構成例を示す図である。この図では、建物側端末110が管理するデータベースの構成例について示されている。
建物側端末110内に、総合DB111と、可否情報DB115と、検索情報DB116とが存在する場合には、これらのデータベースと一時保管DB117とが並列的に具備されることになる。
なお、他の端末やサーバにおいて可否情報DB及び検索情報DBを備える場合も同様の構成となる。
(第4のデータベースの構成例:一時保管DBの説明)
一時保管DB17,117,127,137,147,157,167は、各端末にて読み取られた又は入力された個人情報や、他の端末より受信した個人情報を、処理を実行するまでに一時的に保管するためのデータベースである。
この保管動作としては、以下の(1)〜(5)が挙げられる。
(1)個人認証を行うために、認証システム内で検索されている待ち時間に保管
(2)当該端末又は当該端末に繋がった端末で利活用されるまで保管
(3)当該端末又は当該端末に繋がった端末で個人別フォルダ等に格納されるまで保管
(4)当該端末又は当該端末に繋がった端末でバックアップして格納するまで保管
(5)処理内容が(1)〜(4)のいずれか判定不能なため、未処理情報として保管
読み取り、又は入力された個人情報が利活用又は格納の工程中に消失してしまう場合のリスク分散のため、各端末は、登録者の個人情報の読み取り又は入力の処理を行ったとき、その個人情報を複製して自動的に自機内の一時保管DBに保管するようにしてもよい。また、各端末は、情報流出防止の観点から、その個人情報を複製せずに、一時保管DBに格納させ、この一時保管DBを経由して、その個人情報を必要とする端末やサーバのデータベースやソフトウェア等に情報を移動させてもよい。
前述の一時保管DB17、117、127、137、147、157、167は、当該DBに情報を格納してから一定時間を経過した後では、格納した個人情報が当該DBから自動的に消去されるよう設定されていてもよい。
一時保管DBは、情報の恒久的な保管場所ではない。また、目的の不明な情報が長時間放置されることは、認証システムによる情報処理への負荷と情報流出リスクの観点から望ましくない。このため、当該端末又は当該端末に繋がった端末で何らかの処理される平均時間や処理工程等を勘案して時間計算し、一時保管DBより自動的に消去される時間設定や、一時保管DB自身が一定時間毎に全消去されることが望ましい。
(端末による個人認証処理)
認証システムは、以上のような基本構成を備え、具体的には以下のような登録者の個人認証動作を行う。
図20は、本発明の実施の形態における認証システムによる登録者の個人認証処理の流れを示すシーケンスチャートである。
このシーケンスチャートでは、末端側端末160がバイオメトリクス情報を読み取り、建物側端末110がその読み取られたバイオメトリクス情報に基づいて登録者の個人認証を行う。
なお、このシーケンスチャートには、建物側端末110が検索情報DB116を備えていない場合の認証動作の流れが示されている。
まず、末端側端末160は、登録者の個人情報(バイオメトリクス情報)を読み取る(ステップS1)。
末端側端末160は、その読み取ったバイオメトリクス情報を建物側端末110に送信する(ステップS2)。
建物側端末110は、自身内に設けられた総合DB111の基礎情報DB114に情報を送り、末端側端末160より送られた情報に対応する情報が管理されているか検索を実行する(ステップS3)。
基礎情報DB114に該当情報が存在しない場合、建物側端末110は、更に履歴情報DB112を検索する(ステップS4)。
検索の結果、当該情報を確定できた場合、建物側端末110は、末端側端末160より受信した情報と照合し、認証の判定を行うこととなる(ステップS5)。
建物側端末110は、この照合の結果を末端側端末160に回答する(ステップS6)。
図21は、本発明の実施の形態における認証システムによる登録者の個人認証処理の他の流れを示すシーケンスチャートである。
このシーケンスチャートにおいても、末端側端末160がバイオメトリクス情報を読み取り、建物側端末110がその読み取られたバイオメトリクス情報に基づいて登録者の個人認証を行う。
なお、このシーケンスチャートには、建物側端末110が検索情報DB116を備えている場合の認証動作の流れが示されている。
まず、末端側端末160は、登録者のバイオメトリクス情報を読み取る(ステップS11)。
末端側端末160は、その読み取ったバイオメトリクス情報を建物側端末110に送信する(ステップS12)。
建物側端末110は、自身内に設けられた検索情報DB116に情報を送り、末端側端末160より送られた情報に対応する情報が、検索情報DB116内に管理されているか否か検索を実行する(ステップS13)。
検索の結果、当該情報を確定できた場合、建物側端末110は、検索情報DB116内の該当情報にリンクされている総合DB111内の情報を参照し(ステップS14)、認証の判定を行う(ステップS15)。
建物側端末110は、照合の結果を末端側端末160に回答する(ステップS16)。
このように、各端末またはサーバは、登録者の個人認証に必要な情報のみを管理する検索情報DBを備えることにより、情報検索の効率性の向上及び認証システム負荷の軽減が可能となり、同時期に大量の情報を容易に処理することが可能となる。
前述したように、認証システムにおける各端末やサーバは、入力又は読み取った情報、あるいは他の端末やサーバから受信した情報を用いて、登録者の認証を行う。
これら、登録者の認証時などに各端末やサーバ間で送受信される情報を移動情報といい、例えば、この移動情報は、以下の情報を含む。
1.空間情報(端末に付された端末識別ID,認識番号)
2.認証対象人物の個人識別ID
3.認証を行った時期を示す時間情報、または個人情報(バイオメトリクス情報)が読取/入力された時期を示す時間情報
4.実在認証の結果、「認証されている」ということを示す情報
各端末やサーバは、上記の1〜4の各項目の情報を全て受信した時点で、可否情報DBを用いて認証処理を開始するようにすることが望ましい。これにより、不十分な情報だけで認証を行い、信頼性に欠ける認証結果が出ることを防ぐことができる。
また、本認証システムは、各端末やサーバでその都度行われた認証に用いた各種情報及びその結果を登録者ごとに連結させ、その登録者個人にとっての一筋の情報の流れ、すなわち行動履歴を作成及び管理する。
例えば、上記の1〜4の各種情報の例では、1〜3で、「その認証対象人物が今どこにいるのか」を特定し、4で「その認証対象人物が実在する登録者本人であるか」を特定している。
なお、以下、移動情報には、前述の1〜4の各種情報のうち、1.空間情報と3.時間情報は必ず含まれているものとする。
<第1の実施の形態>
以下、本認証システムを初めて利用しようとする人物の利活用開始までの流れについて第1〜第3段階に分けて説明する。
(未登録者の初回登録: 第1段階:情報登録)
図22は、本発明の第1の実施の形態において、登録者が自身の履歴情報を初めて末端側端末160やサブサーバ群に登録するときの認証システムの動作例を示すシーケンスチャートである。
以下、この図を用いて、この認証システムの利活用を希望する人物による個人情報の登録処理について説明する。
本認証システムを利活用するには、当初、その利活用する人物の個人情報を登録することが必須となる。これは、個人情報を登録することにより、これ以降、その登録情報と読取情報とを比較することにより個人の認証を基礎とした認証システムの運営が可能になるからである。
ここでは、末端側端末160とサブサーバ群(建物側端末110、組織側端末120、地域管理側端末130及び中継側端末140)を、1つのユニットとして説明する。
まず、登録者個人は、末端側端末160に搭載されたバイオメトリクス情報読取機能を利用し、登録者のバイオメトリクス情報を読み取りさせる(ステップS21)。
このバイオメトリクス情報は、当該末端側端末160又は当該末端側端末160に繋がったサブサーバ群を利用するのに必要なもの、又は利用するのに効率がよいものであることとする。例えば、建築物にドアから入場しようとする場合、通常、そのドアノブを掴むことが多いことから、そのバイオメトリクス情報を読み取る末端側端末160が、建築物等のドアノブに設置されているときには、そのバイオメトリクス情報を指紋とすることで、その読み取りが容易となる。
併せて、登録者は、末端側端末160より登録者個人を特定するために必要な氏名や住所といった基本情報又は履歴情報を入力する(ステップS22)。
また、このとき、登録者個人の登録状況を認証システム内で検索することを容易にするために、登録者個人の住民基本台帳通知番号を入力するようにしてもよい。なお、住民基本台帳通知番号が不明な場合や、今回の登録時点で入力したくない場合には、パスポート番号、運転免許証番号又は住民基本台帳カード番号など代用の番号を入力してもよい。
なお、この際、末端側端末160に文字入力機能が付帯されていない場合や、読取機能が特定種別に限定されている場合には、当該末端側端末160に繋がった上位サブサーバ群や、そのサブサーバ群に繋がった別の末端側端末160にて処理を行うこともできる。
末端側端末160は、総合DB161、検索情報DB166、一時保管DB167を検索して、読み取った又は入力された情報が自機内に存在するか否かを判断する(ステップS23)。
なお、この処理の詳細に関しては、上述の図20又は図21に示した動作と同様である。
末端側端末160は、読み取った又は入力された情報が自機内に存在しないことを確認した場合、読み取った又は入力された情報を自機内にある一時保管DB167に格納する(ステップS24)。
この末端側端末160が一時保管DB167を有しない場合には、検索情報DB166や総合DB161に、この情報を、当該末端側端末160で初めて読み取った又は入力した情報である旨が判別できるようにして格納しておくものとする。
末端側端末160は、読み取った又は入力された情報を通信回線網200を通じて、当該末端側端末160の上位端末となるサブサーバ群に送信する(ステップS25)。
情報を受信したサブサーバ群は、登録者の個人情報が存在するか、総合DB又は検索情報DB等で検索を行う(ステップS26)。なお、この検索処理に関しては、上述の図20又は図21に示されている。
サブサーバ群は、検索結果として自機内に受信した登録者の個人情報がない、すなわち、当ユニット内では、登録者個人が未登録であることを確認した上で、登録者個人の個人情報を格納する個人別フォルダを作成する(ステップS27)。
また、サブサーバ群は、正式な個人識別IDが付与されるまで使用する、「仮個人識別ID」を登録者個人に付与する。仮個人識別IDは、該当端末の識別IDに登録時点の日付又は日付と時刻を加えたもののように、単純に設定できるものであってもよい。
サブサーバ群は、受信した情報を個人別フォルダに「仮個人識別ID」と共に格納し、登録する(ステップS28)。また、そのサブサーバ群のうち検索情報DBを有するものは、検索情報DBに対して必要な情報を個人別フォルダよりコピーして格納する。このとき、そのサブサーバ群は、個人別フォルダと検索情報DBとの間にリンクが設定される(ステップS29)。
サブサーバ群は、読取/入力情報がサブサーバ群に登録された旨の情報と付与した「仮個人識別ID」とを、通信回線網200を通じて、情報発信元の末端側端末160に送信する(ステップS30)。
末端側端末160は、上位端末での登録処理完了の旨の情報と「仮個人識別ID」とを受信すると、登録者個人の個人情報を格納する個人別フォルダを作成する。
末端側端末160は、読取/入力情報を個人別フォルダに「仮個人識別ID」と共に格納し、登録する(ステップS31)。この際、末端側端末160は、総合DB161が必要とする情報又は格納可能な情報のみを総合DB161の個人別フォルダに登録し、不要な情報を消去する(ステップS32)。
また、末端側端末160が検索情報DB166を有する場合には、検索情報DB166に対して必要な情報を個人別フォルダよりコピーして格納する。この際に、個人別フォルダと検索情報DB166との間にリンクが設定される(ステップS33)。
以上説明した動作(ステップS21〜S33)は、初回登録処理の一例であり、末端側端末160を介さず、直接にサブサーバ群に個人情報を読み取り、又は入力し、登録処理を実行してもよい。
この第1段階の処理により、本認証システム利活用のための認証用比較情報が発生することとなる。
(未登録者の初回登録 第2段階:名寄せ処理)
図23は、本発明の第1の実施の形態において、サブサーバ群が初回登録完了後に、本認証システム内で名寄せ処理を実行する時の動作例を示すシーケンスチャートである。
以下、この図に沿って、第1段階で個人情報を登録した後の名寄せ処理について説明する。
なお、名寄せ処理とは、認証システムの各端末やサーバにおける登録者個人の登録状況を確認し、1人の登録者に対して複数の異なる「個人識別ID」や「仮個人識別ID」が割り振られているとき、同一の登録者に対する個人識別IDを1つに統合して、管理する処理をいう。
前述の第1段階の登録処理では、登録者個人は当該ユニット内では未登録であることを確認できたが、本認証システム全体では既に登録がされている可能性もある。この名寄せ処理を行うことにより、登録者個人の重複登録を回避し、検索や認証処理の実行効率を向上させることができる。
まず、サブサーバ群は、検索を容易にするために、登録者個人が登録した個人情報の中から個人に共通的な項目を抽出する(ステップS41)。ここでいう、共通項目とは、氏名、生年月日及び各種証明書番号(住民基本台帳通知番号、パスポート番号又は運転免許証番号など)といった、認証システムの各端末やサーバで共通に管理される情報の項目をいう。
抽出完了後、サブサーバ群は、抽出情報と、名寄せのために検索を依頼する旨の情報と、を上位端末である集約側端末150が認識できるようにした上で、集約側端末150に対して送信する(ステップS42)。
情報を受信した集約側端末150は、登録者の個人情報が存在するか、総合DB151又は検索情報DB156等に検索を行う(ステップS43)。なお、この処理の詳細に関しては、上述の図20又は図21に示した動作と同様である。
集約側端末150は、情報が存在していた場合には(ステップS44/Yes)、登録が既にされている旨を示す情報と、正式な個人識別IDと、をサブサーバ群に送信する(ステップS45)。
サブサーバ群は、現在の仮個人識別IDを、受信した個人識別IDに置き換える(ステップS46)。
また、サブサーバ群は、当該情報に関わる末端側端末160に対して、正式な個人識別IDを送信し、同様に個人識別IDの変更を行わせる(ステップS47)。
集約側端末150は、検索結果として自機内に受信した登録者の個人情報がないことを確認した上で(ステップS44/No)、登録者個人の個人情報を格納する個人別フォルダを作成する(ステップS48)。
集約側端末150は、受信した情報を個人別フォルダに「仮個人識別ID」と共に格納し、登録する(ステップS49)。また、集約側端末150は、検索情報DB156を有する場合には、検索情報DB156に対して必要な情報を個人別フォルダよりコピーして格納する。この際に、個人別フォルダと検索情報DB156との間にリンクが設定される(ステップS50)。
集約側端末150は、ステップS41の動作と同様に、登録した個人情報の中から個人に共通的な項目を抽出する。抽出完了後、集約側端末150は、抽出情報と、名寄せのために検索を依頼する旨の情報と、を上位端末である認証システムサーバ10が認識できるようにした上で、認証システムサーバ10に対して送信する(ステップS51)。
情報を受信した認証システムサーバ10は、総合DB11又は検索情報DB16等を参照して、登録者の個人情報が存在するか否かを判断する(ステップS52)。なお、この処理の詳細に関しては、上述の図20又は図21に示した動作と同様である。
認証システムサーバ10は、情報が存在していた場合には(ステップS53/Yes)、登録が既にされている旨を示す情報と、正式な個人識別IDとを集約側端末150に送信する(ステップS54)。
集約側端末150は、受信した個人識別IDを仮個人識別IDに置き換える。
また、当該情報に関わるサブサーバ群と末端側端末160に対して、正式な個人識別IDを送信し、同様に個人識別IDの変更を行わせる。
認証システムサーバ10は、検索結果として自機内に受信した登録者の個人情報がない場合には(ステップS53/No)、登録者個人の個人情報を格納する個人別フォルダを作成する(ステップS55)。
認証システムサーバ10は、受信した登録者の個人情報を元に正式な個人識別IDを登録者個人に付与する(ステップS56)。認証システムサーバ10は、受信した情報を個人別フォルダに「個人識別ID」と共に格納し、登録する(ステップS57)。また、検索情報DB16を有する場合には、検索情報DB16に対して必要な情報を個人別フォルダよりコピーして格納する。この際に、個人別フォルダと検索情報DB16との間にリンクが設定される。
認証システムサーバ10は、認証システムサーバ10に当該個人情報を送信した集約側端末150に対して、正式な個人識別IDを送信する(ステップS58)。集約側端末150は、受信した個人識別IDを仮個人識別IDに置き換える。
また、この送信に併せて、登録者個人は本認証システム内で初回登録者であり、実在検証が必要な旨の情報を送信する。
認証システムサーバ10より受信した集約側端末150は、同様に正式な個人識別IDと検証処理情報とを、今回の登録に関わるサブサーバ群と末端側端末160に対して送信し、同様に個人識別IDの変更を行わせる(ステップS59)。
今回の登録に関わるサブサーバ群と末端側端末160は、現在まで使用してきた仮個人識別IDを、その受信した個人識別IDに置き換える。
そして、サブサーバ群は、その個人識別IDに置き換えられた登録者が保有する端末(PCや携帯端末など)に対して、その新たな個人識別IDと、以後本認証システム利活用時にこの個人識別IDが必要不可欠であるメッセージ情報とを送信して、通知する(ステップS60)。
以上説明したように、この名寄せ処理を実行することにより、同一人物に対し複数の個人識別IDや個人フォルダが作成され、個人情報の保管が分断されることを防止するとともに、本人の実在性度合い検証時にデータの偏りが生ずることを防止することが可能となる。また、認証システム内での情報量又は件数を必要以上に増加することを防止し、検索機能を容易に実行することが可能となる。
特に、一人の個人情報が複数の個人フォルダに分断されると、利活用頻度の低い又は利活用されない履歴情報を格納した個人フォルダが放置され、不正利用の温床となる懸念性を生ずる。しかし、名寄せを実行することで、これらのリスクを最小限度にすることが可能となる。
名寄せ作業の結果、古い個人フォルダが発見された場合は、発見された個人フォルダの格納履歴情報等を全て新個人フォルダに移し変えるか、新旧フォルダを互いにリンクさせるように設定し一体管理して、格納情報の散逸を防止する。
(未登録者の初回登録 第3段階:実在検証処理)
図24は、本発明の第1の実施の形態において、登録者が自身の個人情報を初めて登録した後に、登録者個人が実在する人物であるか、また登録情報が真正なものであるかを、検証処理を実行する時の動作例を示すシーケンスチャートである。
本認証システムでの登録者個人は、初回登録から一定時間経過までに登録者個人の実在検証処理が実行される。
以下、この図に沿って、第1及び第2段階における個人情報の登録、名寄せ処理の後に実行される、登録者個人の実在検証処理について説明する。
本実施の形態では、前述の名寄せ処理が完了した後に、集約側端末150が、その登録者の実在性の検証を行うものとする。
また、個人情報の読み取り、又は入力時に、可能な限り登録者個人以外の人物が立会い、情報の改ざん、変更又は不正取引が行われていないことを確認する。次に、立会者の証言や、読み取り、又は入力処理を電子画像・電子映像・電子音声等により各サーバや端末に保存するようにしておく。このとき、例えば、パスポートであれば外務省、運転免許証であれば発行警察署、勤務先であれば会社名、といった問合せ先の所在地や電話番号等も電子化されて同様に各サーバや端末に保存されていることが望ましい。
集約側端末150は、仮個人識別IDを個人識別IDに置き換えた後(ステップS61)、サブサーバ群又は末端側端末160に対して、個人識別IDと、登録者個人を特定するために必要な氏名や住所といった基本情報及び履歴情報を集約側端末150へ送信するように指示した情報と、今回の検証処理は集約側端末150で実行するのでサブサーバ群及び末端側端末160では処理不要である旨を示した情報と、を送信する(ステップS62)。
サブサーバ群又は末端側端末160は、個人識別IDと、指示された情報とを集約側端末150へ送信する(ステップS63)。
なお、これらステップS62、S63の処理に自動的に連動して、「検証処理は集約側端末で実行中」の注意情報が、サブサーバ群又は末端側端末160にて表示されるようにしておくことが望ましい。このようにすることにより、各端末で二重処理が起こることを防止することができる。
集約側端末150は、提示された証拠物が真正であること(偽造・変造・捏造などされたものでないこと)を集約側端末150の操作者の肉眼、端末内のソフトウェア又は検査機を用いて確認する(ステップS64)。真正が確認できた場合、履歴情報DB152と検証情報DB153のそれぞれ所定欄に、日時や照合結果や照合者等の情報と共に格納する。
集約側端末150は、当該真正を確認した情報が正当のものか否かの照会処理を、その情報の属性に従って最適な確認先側端末80に対して実行する(ステップS65)。
ここで、具体的には、集約側端末150は、真正を確認した情報が確認先側端末80側で真正な情報であるのか、または真正な証拠物に基づいたものであるのかについて回答を求める。
また、確認先側端末80側での回答者を明確にするため、集約側端末150は、回答者を特定する情報を回答時に付与することも確認先側端末80に要求する(ステップS66)。
なお、本実施の形態では、登録者個人が提出した証拠物(合格証、認定証、証明証などの画像・映像など)の発行団体または関係者に対し、電子画像・電子映像・電子音声などを公開し、その証拠物の真正および登録者個人の実在確認の回答を求めることの承諾を、認証システムの運営側が登録者個人から得ているものとする。
また、公的証明物に関しては、登録者の識別IDや暗証番号等の情報を各サーバや端末から入力することで、容易に状況確認できるようになっているものとする。
次に、確認先側端末80は、自端末に格納されている情報内容と、集約側端末150から受信した情報内容と、を比較し、その受信した情報内容が真正なものであるか否かを判断する(ステップS67)。
ここで、比較する情報としては、例えば、集約側端末150から送信されてきた登録者個人の合格証、認定証、証明証などの画像・映像などの電子情報と、確認先側端末80に既に格納されている登録者個人の履歴情報、証拠物又はその登録者に関係する人物の証言とがあげられる。
この結果、確認先側端末80は、集約側端末150からの情報内容が正当である又は存在すると判断した場合には、「正当である」又は「存在する」旨の回答情報と、この判断に関わった回答者を示す情報とを集約側端末150に送信する(ステップS68)。
なお、確認先側端末80が証拠物が不当である又は存在しないと判断した場合には、「誤っている」又は「存在しない」旨の回答情報と、この判断に関わった回答者を示す情報とを集約側端末150に送信する(ステップS68)。
また、当該Webサイト上の画像・映像などでは判断が困難な場合、「判断ができない」旨の回答情報と回答者特定を確認先側端末80により集約側端末150に対して行う(ステップS68)。
集約側端末150は、確認先側端末80より回答情報を受信すると、検証情報DB153に登録する(ステップS69)。
その際、情報に検証度合いに応じ、例えば「検証確認、真正」や「検証未実行」という結果を示す情報を格納する。
この一連の結果を踏まえ、集約側端末150は、登録者個人の実在性を総合的に判断し、登録時点における判断結果を基礎情報DB154に登録する(ステップS70)。
ここで、検証結果により、実在性を確認できた場合には、集約側端末150は、関連するサブサーバ群又は末端側端末160に結果を通知すると共に、認証システムサーバ10に対して検証情報DB153の内容を送信するようにする。
一方、検証処理の結果、登録者本人であることの実在が確認出来なかった場合は、登録者本人以外の第三者による、なりすましや情報の捏造等の疑いがあるため、今回検証を受けた人物に対する認証システム利活用を停止させる。また、異常データ発生の旨を関係機関に通知し、公的捜査の実行又は認証システム利活用停止等の安全対策を行うこととする。
なお、集約側端末150は、登録者個人が検証を拒否した場合や検証に必要な情報を提供しなかった場合には、その旨を基礎情報DB154や検証情報DB153に登録する。また、情報に不備等があり検証処理が遅れている、又は再検証処理になった場合も、集約側端末150は、その旨のメッセージ情報を同様に表示するものとする。
以上説明したように、この検証処理を実行することにより、悪意ある人物が容易に「なりすまし」や「架空の人物」として認証システムの利活用を行うことを、利用初期の段階から防止するとともに、このような不正利用防止のためにシステム運用中に投資されるセキュリティ費及び労働時間を大幅に軽減させることが可能となる。
また、登録者個人が第三者の立会いの下、情報の取得から検証処理実行までを実行するため、情報の改ざんや変更、不正取引を防止することが可能となる。
以上説明した例では、情報の検証の依頼元を集約側端末150としたが、その他、認証システムを構成する各端末やサーバであってもよい。
また、この例では、確認先側端末80が、その依頼を受けて実際に検証を行っていたが、検証処理を実行可能な機能を有していれば、その他の認証システムを構成する各端末やサーバが検証処理を実行するようにしてもよい。
このように、検証処理を実行する端末やサーバを複数設けることにより、1つの機器に全ての検証処理が集中することを防ぎ、その処理の負荷を軽減させることができる。
また、本実施の形態では、認証システムの利用者に対する実在性の検証を一箇所の特別な機関で行うだけでなく、この認証システムに関わる全ての個人の判断に基づいて、その実在性の検証処理を行うことができる。
このことで、会社、学校、病院又は入国管理等の様々な組織や個人でその実在性の検証を行うことができ、検証処理が1箇所の機関に集中し、処理が滞ることを防止することが可能となる。
(実在率の計算)
また、本実施の形態では、登録者個人に対して、その登録された個人情報に基づいて実在性を認証するか、又は本人の登録個人情報を数値化して実在点数、実在率又は実在格付けで評価し、認証度合いを客観化することで、認証システムを利活用する全ての登録者又は登録者が属する法人・学校・団体等に対して、セキュリティの高いサービスの提供することが可能となる。
このことで、インターネットのように、悪意ある人物が容易に「なりすまし」や「架空の人物」として利活用を行うことを、本認証システムでは、登録の初期段階で防止することが可能となる。
そして、その数値化した実在性の正当さに基づいて、この認証システムの利用範囲(端末やサーバ等の機器、場所、時間等)を制限することができ、認証システムのより安全な運営を実現することができる。
また、以上、パスポートや運転免許証等を用いて、登録者の実在性の検証を行っていたが、以下、その検証の信頼性を示す指標について説明する。
図25は、本発明の第1の実施の形態における認証システムによる実在点数の計算方法の一例を示す図である。
この実在点数とは、認証システムに自身の個人情報を登録した登録者の実在性に対する信頼度を示す指標である。なお、この「実在性」とは、その人物(登録者)が架空の人物ではなく実際に実在する人物であることを意味する。
この実在点数は、その登録者が認証システムに自身の個人情報を登録した際に用いた身分証明と実在証明に用いられるものに基づいて計算されるものであり、その身分証明に用いられたものが信頼に足る種類のものであればあるほど、又はその身分証明に用いられたものが多ければ多いほど、又はその身分証明に用いられたものの固有性が高いほど、その実在点数は高い値となり、信頼性も高いものと判断される。例えば、この身分証明に用いられるものとしては、運転免許証、パスポートといった身分証明書又はバイオメトリクス情報といった登録者固有の情報がある。
また、この実在点数は、登録者の個人情報の登録後に、その登録者が認証システムを利活用する際に、認証のためにシステム側に提示するものに基づいても計算される。この認証時に提示するものも同様に、そのものが信頼に足る種類のものであればあるほど、又はその身分証明に用いられたものが多ければ多いほど、又は、その身分証明に用いられたものの固有性が高いほど、その実在点数は高い値となり、信頼性も高いものと判断される。例えば、この認証時に提示するものとしては、バイオメトリクス情報又は後述する情報携帯可能物(ICカード、ユビキタス・コミュニケーター又は携帯電話等)がある。
以下、この実在点数の計算方法について説明する。
なお、前述した身分証明に用いられるもの及び認証時に提示するものをまとめて、以下、登録情報ということとする。
まず、認証システムサーバ10は、登録者個人の登録情報の種類を点数に換算する。
次に、認証システムサーバ10は、この点数に対し、それぞれ登録時間情報、検証結果情報、有効期限情報及び検証作業実施時期からの経過時間を示す情報(以下、検証経過時間情報とする)に付された配点を掛け合わせ、登録情報ごとに獲得点数を計算する。
そして、認証システムサーバ10は、その登録者に係る登録情報の種類ごとに、個々に、この獲得点数を計算していく。
認証システムサーバ10は、これら各登録情報ごとに計算した獲得点数を、当該登録者個人ごとに合計して、実在点数を算出する。
以下、その図の例を用いて実在点数の計算方法を説明する。
例えば、この図の例では、
・登録項目(前記登録者に係るデータが示された証明物の種類)(公的証明物:9点、準公的証明物:5点、その他の証明物:1点)
・検証結果情報(検証できた:3点、検証ができない:1点)
・登録時間情報(データベース11に登録してから経過した時間)(1ヶ月以内又は不変:9点、1ヶ月〜3ヶ月:5点、3ヶ月〜6ヶ月:3点、6ヶ月〜1年:2点、1年を超える:1点)
・検証時間情報(検証してから経過した時間)(1ヶ月以内又は不変:9点、1ヶ月〜3ヶ月:5点、3ヶ月〜6ヶ月:3点、6ヶ月〜1年:2点、1年を超える:1点)
・有効期限情報(証明物の有効期限)(期限内:3点、期限がない:3点、期限経過:1点)
と示されており、これらの値を掛け合わせることにより実在点数が算出される。
また、認証システムサーバ10は、前述の実在点数に、起こりうるリスクの要素を反映させた指標として、リスク率勘案点数を算出する。
図26は、本発明の第1の実施の形態における認証システムによるリスク率勘案点数の計算方法の一例を示す図である。
この図に示すように、リスク率勘案点数は、前述の実在点数に(1−リスク率)を掛けることにより計算される。
このリスク率は、以下に示す各種リスクを0〜1(リスクが最も高いときは1、最も低いときは0)で表したものである。
(1)登録される情報に起因するリスク
社員証、普通郵便物の封筒、源泉徴収票など容易に偽造・変造が可能なものを情報として活用する場合に発生するリスク
(2)検証方法に起因するリスク
確認先実在性未確認なままでの検証作業、証人だけでの検証作業など検証方法に内在するリスク
(3)その他のリスク
カントリーリスク(国の政治・経済・社会の不安定化から生じるリスク)や識別時点では識別分野が不明なため判別できるまで仮に付与するもの
また、実在性の検証結果の信頼度を示す他の指標としては、証人(人物又は団体)信用評価度数と、既往行動パターンの整合率とがある。
この信用評価度数は、登録者の実在性を証明した人物又は団体、あるいは実在性証明に用いた身分証明書等の発行機関の信用度を0〜1(信用度が最も高いときは1、最も低いときは0)で表したものである。
この登録者の実在性を証明したのが人物である場合には、この信用評価度数は、例えば、その人物の知名度や社会的地位が高いほど、高く決められるようにしてもよい。また、その人物が、登録者を客観的に評価できる人物か否かによりその信用評価度数を決めてもよく、例えば、その人物が登録者の家族の場合は低く設定し関係の薄い第三者的な人物であれば高く設定するようにしてもよい。
また、この登録者の実在性を証明したのが団体である場合には、その団体が公的なものか私的なものか、又はその会社等の資本金、設立年、社会的影響力の高さ等に応じて決められるようにしてもよい。例えば、公的な団体の方が私的な団体よりも高く設定し、資本金の高い団体、設立年の古い団体、社会的影響力が高い団体ほど高く設定するようにしてもよい。
また、既往行動パターンの整合率とは、登録者の過去の行動パターンに対して、最近の同一登録者の行動パターンがどれぐらい一致しているかを示す指標である。具体的には、認証システムサーバ10は、自機のデータベース内に格納されている、ある登録者の履歴情報や移動情報(時間・場所)に基づいて、登録者がどの時間帯のどの順でどの場所に行くといった行動パターンを検出し、その一致した割合を行動パターンの整合率として算出する。
前述の実在点数、リスク率勘案点数、信用評価度数及び既往行動パターンの整合率に基づいて、認証システムサーバ10は、登録者の実在性の真正の度合いを表す指標である実在率を以下の式1〜5のいずれかで計算する。
(式1)
実在率=1−リスク確率
例えば、リスク確率30%の場合、
実在率=1−30%=0.7
(式2)
実在率(%)=リスク率勘案点数/実在点数×100
このうち、リスク率勘案点数は以下のように計算される。実在点数を算出する際に用いた獲得点数に、前述のリスク確率を基に計算した存在率を掛け合わせて基礎点数を算出し、これら基礎点数を当該登録者分で合計してリスク率勘案点数を算出する。
また、実在点数については前述のものと同様である。
この式2においては、値の信頼性の観点から、実在点数は少なくとも2以上の獲得点数の総計として計算され、リスク率勘案点数は少なくとも2以上の基礎点数の総計として計算されることが好ましい。
図27は、この式2による基礎点数の計算例を示す図である。
図に示すように、式2における基礎点数は、獲得点数に情報起因リスク、検証起因リスク及びその他リスクを掛け合わせて算出される。
(式3)
実在率(%)=信用評価勘案点数/実在点数×100
図28は、この信用評価勘案点数の計算方法を示す図である。
以下、図を用いて、この信用評価勘案点数の計算方法を説明する。実在点数を算出する際に用いた獲得点数に、前述のリスク確率を基に計算された存在率を掛け合わせ、基礎点数を算出する。この基礎点数に、決定された信用評価度数を掛け合わせ、信用評価勘案点数を算出する。
また、実在点数については前述のものと同様である。
この式3においては、値の信頼性の観点から、実在点数は少なくとも2以上の獲得点数の総計として計算され、信用評価勘案点数は少なくとも2以上の信用評価点数の総計として計算されることが好ましい。
図29は、式3における信用評価勘案点数の計算例を示す図である。
図に示すように、信用評価勘案点数は、基礎点数に対して、登録者の実在性を証明した人物や団体(弁護士、教師、大企業、友人等)に応じて決められている信用評価度数を掛け合わせて算出される。
(式4)
この式4を適用するケースにおいては、日頃登録者が日常で繰り返している行動パターンを、その時間帯又は場所ごとに分類して認証システムサーバ10に予め登録しておくものとする。
そして、認証システムサーバ10は、登録者の実際の行動パターンを抽出すると、この抽出した行動パターンと前述の登録済みの行動パターンとを比較し、一致した率が高ければ、実在率(%)が高い値となり、その登録者の実在性が高いと評価される。
以下、式4の実在率の計算方法を具体的に説明する。
まず、認証システムサーバ10は、一定期間(例えば、過去一年間という条件設定)において、ある登録者の行動パターンを時間帯又は場所に基づき抽出して分類し、これら分類した各行動パターンが、その一定期間内でどれくらい行われたか、その回数を計数し自身に登録しておく。
次に、認証システムサーバ10は、直近の一定期間(例えば、直近一週間という条件設定)の行動パターンを同様に、時間帯又は場所に基づき抽出して分類し、各行動パターンの回数の計数を行う。
そして、認証システムサーバ10は、これら分類した各行動パターンごとに、マイニング率を計算する。このマイニング率は、以下の式で計算される。
検証基マイニング率=一定期間内回数/一定期間日数
対象先マイニング率=直近の一定期間内回数/直近の一定期間日数
マイニング率(%)=対象先マイニング率/検証基マイニング率
次に、認証システムサーバ10は、少なくとも2以上のマイニング率を合計してマイニング点数を計算する。
そして、認証システムサーバ10は、以下の式ように、このマイニング点数を分子とし、加算計算したマイニング率の個数を分母として実在率(%)を計算する。
実在率(%)=マイニング率の合計/加算に使用されたマイニング率の個数
図30は、この式4の計算例を示す図である。
以下、図を用いて、式4による計算方法の具体例について説明する。
この例において、行動パターン(1)は、「150A」→「150E」→「150H」→「150P」の順である登録者が各ユニット間を移動するというものである。この行動パターン(1)は、その登録者により6ヶ月間で120回で繰り返され、直近の45日間で32回繰り返されている。
これから、検証基マイニング率=120÷180=0.67
対象先マイニング率=32÷45=0.71
マイニング率=0.71÷0.67=1.06
と計算される。
同様に、行動パターン(2)のマイニング率は0.65、行動パターン(3)のマイニング率は1.17と計算される。
以上から、実在率=(1.06+0.65+1.17)÷3=0.96=96%と計算される。
(式5)
式1〜3によって算出した各実在率に、式4によって算出した実在率を掛け合わせ、各実在率を算出とする。
実在率(%)=(式1から式3で計算した実在率)×(式4で計算した実在率)
図31は、本発明の第1の実施の形態において、実在率と認証システム利活用機能との相関の一例を示す図である。
この図に示す例では、実在率が高い登録者ほど、証拠物を所持せずに自動的に電子環境で各種サービスの提供を受けることが可能なことを表している。
認証システムを構成する各端末やサーバは、この図に示すような相関関係を示す情報を格納しており、この認証システムを利用しようとする人物の実在率に基づいて、この認証システムの利用を制限する。
実在率の高い登録者であれば、その登録者と認識される人物が認証システム内で行う各種手続は、制限を受けることが少なくされる。
一方、登録者の実在性が低いほど、他人による「なりすまし」の可能性が高くなるため、当該識別IDで示されている登録者個人に侵害が生じた場合、その損害が最小となる程度に認証システムの利用制限を行うことが望ましい。
以下では、登録者が実在する確かさを点数化した実在率、実在格付け、実在点数等と、利活用可能な機能との関係を「機能マトリクス」という。
このように、登録者個人に対し、自身の個人情報を認証システムに登録する時点、及び登録後の認証システム利活用時点等において、各端末やサーバは、その登録/利活用者個人が実在する人物であるか否か、その登録/利活用者個人の個人情報が認証システム内に登録済みの情報と一致するか否か、といった人物の実在性の検証(認証)を行い、その検証結果を検証情報DB13,113,123,133,143,153,163に格納する。
認証システムにおける各端末やサーバは、これらの実在性の検証結果(検証成功の有無、回数、項目など)に基づいて、各登録者の実在性の信頼度を点数化して計算し、この実在性の信頼度の情報を、登録者ごとにデータベースに格納しておくようにしてもよい。
この実在性の信頼度の情報は、登録者の認証の際に、その認証の材料として用いられてもよい。例えば、その認証を受けている人物が、実在確認がとれた、実在性点数の多い、実在性率の高い人物であるかどうかを、各端末やサーバは、その実在性の信頼度に基づいて認証システム利活用時に確認して、認証を行うようにしてもよい。
例えば、特殊施設へ入場するとき、実在性の信頼度の高い人物は、容易にその施設への入場処理が実行される。一方、実在性の信頼度が低い人物に対しては、認証の回数を増やしたり、様々な種類の情報に基づいて認証を行ったりして、多角的な実在検証を行うことで、認証システム運営のリスクの軽減を図ることができる。
図32は、本発明の第1の実施の形態において、実在率と個人識別IDとの組み合わせの一例を示す図である。
認証システムサーバ10は、実在率を計算すると、その計算した実在率に応じた一定の記号や文字情報を、その実在率を計算した人物の個人識別IDに自動的に付与するようになっていればよい。
登録者が認証システムを利用しようとするときに、各端末やサーバは、その図に示す受発信時に個人識別ID情報を参照することにより、その登録者の実在率が、どのレベルにあるのかを容易に判断できるようになる。
これにより、各端末やサーバは、各登録者の登録情報を全て検索することなく、個人識別IDに対応付けた、実在性の範囲を示すセグメント情報を参照することにより、可否情報の送信や一定動作の承諾等を容易に行うことが可能となる。
(認証システムの特徴)
また、本実施の形態では、その認証システム内で送受信される個人情報に、端末識別IDが対応付けられているため、その情報の送信元を容易に特定できることは言うまでもない。
また、登録者が個人識別IDを取得するときには、証拠物・証人・バイオメトリクス情報等により、多面的にその登録者の実在性を検証し、その登録者が実在する人物か判断した上で登録しているため、情報の送信元の特定が困難なインターネットにおいても、その特定を容易かつ確実に行うことができる。
現在、インターネットの利用環境では、その利用者に何ら制限を加えなかったために、悪意ある人物が内在し、各種ウイルスソフトの蔓延、フィッシング詐欺の発生、有害サイトの開設等の問題点が発生している。このため、ウイルス対策ソフトの開発と購入、詐取された現金やクレジットカード利用額等を考えると、莫大な社会的損失が発生している。また、その犯人を特定することと排除することが困難であり、根本的な解決は図られていないのが現状である。
本実施の形態における認証システムは、公共性が高く、汎用性が広いことを特徴とするものである。また、この認証システムは、1つの建物や特定地区に限らず、例えば日本国中または全世界等の広範囲にわたって構築され得る。
この認証システムは、個人識別IDを軸に情報の交換を行うため、認証システム内に不測な事態が発生した場合、原因者を容易に特定することが可能である。
<第2の実施の形態>
(既存登録者の再度の登録処理1)
本実施の形態では、第1の実施の形態において、一度個人情報を登録した登録者が、その登録に用いた端末と別の端末に登録する場合の流れを説明する。
図33は、本発明の第2の実施の形態において、登録者が一度登録した端末以外の別の末端側端末に自身の履歴情報を初めて登録する時の認証システムの動作例を示すシーケンスチャートである。
第1の実施の形態と同様に、まず、末端側端末160は、登録者の個人情報を入力/読み取り、その入力/読み取った個人情報が各データベース161,166,167に未登録である場合、その個人情報を一時保管DB167に保管する(ステップS71〜S74)。
次に、末端側端末160は、その個人情報をサブサーバ群に送信する(ステップS75)。その個人情報を受信したサブサーバ群は、自身の総合DBや検索情報DB内を検索し、その個人情報がそれらデータベースに登録済みであるか否かを判断する(ステップS76)。
サブサーバ群は、検索結果として自機内に、その受信した登録者の個人情報があることを確認すると、今回受信した登録者の個人情報を所定のDBに格納し登録する(ステップS77)。
また、そのサブサーバ群が検索情報DBを有する場合には、検索情報DBに、必要な情報を個人別フォルダよりコピーして格納する。この際に、個人別フォルダ内の個人情報と検索情報DB内の情報との間にリンクが設定される(ステップS78)。
サブサーバ群は、末端側端末160から受信した個人情報がサブサーバ群に登録された旨の情報と、個人識別IDとを通信回線網200を通じて、送信元の末端側端末160に送信する(ステップS79)。
末端側端末160は、上位端末での登録処理完了の旨の情報と個人識別IDとを受信後、登録者個人の個人情報を格納する個人別フォルダを作成する。
末端側端末160は、情報を個人別フォルダに個人識別IDと共に格納し、登録する(ステップS80)。
その後、第1の実施の形態と同様に、不必要なデータを消去し(ステップS81)、検索情報DB167への登録を行う(ステップS82)。
<第3の実施の形態>
(既存登録者の再度の登録処理2)
ここで、「ユニット」について説明する。ユニットとは、1つの上位端末とその端末に管理される1以上の下位端末からなる構成率位を指すものとする。
すなわち、「同一ユニットの端末」とは、同一の端末の管理下の端末同士をいい、「別ユニットの端末」とは、互いに異なる端末の管理下にある端末同士をいう。
なお、「ユニットで利活用する」とは、登録者が、そのユニットを構成するいずれかの端末から前述の錠の開閉等の各種サービスを受けることをいう。
図34は、本発明の第3の実施の形態において、登録者が登録したユニットと別ユニットを構成する末端側端末に自身の履歴情報を初めて登録する時の認証システムの動作例を示すシーケンスチャートである。
第2の実施の形態では、登録者は、同一ユニットの端末に再度個人情報の登録を行っていた。これに対し、本実施の形態では、別ユニットの端末に個人情報の再度の登録を行う場合について説明する。
末端側端末160での個人情報の登録から、名寄せ処理をし、認証システムサーバ10から個人情報が存在する旨の回答がなされる(ステップS91〜S104)までは第1の実施の形態の各処理(ステップS41〜S54)と同様である。
認証システムサーバ10より受信した集約側端末150は、自機内の「仮個人識別ID」を正式な個人識別IDに変更する(ステップS105)。
その後、集約側端末150は、今回の登録に関わるサブサーバ群と末端側端末160に対して個人識別IDを送信し(ステップS106)、同様に個人識別IDの変更を行わせる(ステップS107)。なお、これ以降については第1の実施の形態同様である。
<第4の実施の形態>
(既存登録者の再度の登録処理3)
本実施の形態においても、第3の実施の形態と同様に、登録者が別ユニットの端末に個人情報を再登録するときの認証システムの処理について説明する。
ただし、第3の実施の形態では、この再登録のとき、登録者本人は自分の個人識別IDを認識していなかったのに対し、本実施の形態では、認識済みであるものとする。
図35は、本発明の第4の実施の形態において、登録者が登録したユニットと別ユニットを構成する末端側端末に自身の履歴情報を初めて登録する時に、登録者個人が個人識別IDを認識している場合の認証システムの動作例を示すシーケンスチャートである。
以下、この図を用いて、説明を進める。
登録者が個人情報を登録するとき、まず、末端側端末160は、登録者が認証システムに個人情報を登録することが今回初めてか否かを問い合わせるメッセージを表示する。
ここで、登録者は、以前に個人情報を登録したことがある場合、今回の個人情報の登録の際に、通常の登録処理に加え、以前に割り当てられた個人識別IDを末端側端末160に入力する。
末端側端末160は、読み取った/入力された個人情報が、自機内の総合DB161、検索情報DB166及び一時保管DB167のうちの少なくとも1つに格納されているか否かを判断する(ステップS111)。
末端側端末160は、読み取った/入力された情報が自機内に存在しないことを確認すると、読み取った/入力された個人情報を自機内にある一時保管DB167に格納する。一時保管DB167を有しない場合には、検索情報DB166や総合DB161に、当該末端側端末160での初情報認識である旨が判別できるようにして格納しておくものとする。
なお、登録者に個人識別IDがすでに割り振られているので、末端側端末160は、その個人情報をIDに対応付けて格納する。
末端側端末160は、個人識別IDと、登録者個人を特定するために必要な氏名や住所といった基本情報又は履歴情報とを通信回線網200を通じて、当該末端側端末160の上位端末となるサブサーバ群に送信する(ステップS112)。
サブサーバ群は、同様に自機内のデータベースを検索し(ステップS113)、受信した情報が自機内のデータベースに存在しないことを確認すると(ステップS114/No)、個人識別IDと登録者個人を特定するために必要な氏名や住所といった基本情報又は履歴情報とを通信回線網200を通じて、当該サブサーバ群の上位端末となる集約側端末150に送信する(ステップS115)。
集約側端末150でも、前述のステップS113〜S115と同様な処理を実行する(ステップS116〜S118)。
認証システムサーバ10は、自機内のデータベースを検索し(ステップS119)、受信した情報が自機内に存在することを確認すると(ステップS120/Yes)、受信した個人識別IDの登録者が、自機内のデータベースに登録済みの個人と同一であり、実在するか検証する(ステップS121)。
例えば、この検証処理において、認証システムサーバ10は、自機内のデータベースにある個人情報と、受信した個人情報とを比較検証するようにしてもよいし、確認先側端末80に対して照会し、確認先側端末80からその検証結果を受信するようにしてもよい。
認証システムサーバ10は、その検証の結果、登録者が、正当な登録者として登録済みの登録者と同一であり、実在すると判断した場合には(ステップS122)、検証結果と当該個人識別IDを利用するべき旨の情報を集約側端末50に通知する(ステップS123)。
以下同様に、サブサーバ群、末端側端末160に通知される(ステップS124、S125)。
<第5の実施の形態>
(登録者の随時実在検証処理)
図36は、本発明の第5の実施の形態において、認証システム利活用を行っている任意の時間に登録者個人が実在する人物であるか、また登録情報が真正なものであるかを、検証処理を実行する時の動作例を示すシーケンスチャートである。
以下、この図に沿って、集約側端末150が、登録者の実在性を検証するものとして説明する。
サブサーバ群は、登録者の実在性を検証する新たな個人情報の登録を受け付ける(ステップS131)。これは、サブサーバ群は、個人情報を直接入力/読取を行ってもよいし、末端側端末160から受信するようにしてもよい。
サブサーバ群は、登録者個人の実在検証を追加して行うことを依頼する情報と、個人識別IDと、新たに登録された情報と、を集約側端末150へ送信する(ステップS132)。この際、今回の送信処理に自動的に連動して、「検証処理は集約側端末で実行中」の注意情報がサブサーバ群にて表示されるようにしておくことが望ましい。この対応により、各端末で二重処理が起こることを防止する。
集約側端末150は、提示された証拠物が真正であること(偽造・変造・捏造などされたものでないこと)を集約側端末150の操作者の肉眼、集約側端末150内のソフトウェア又は検査機を用いて確認する(ステップS133)。
真正が確認できた場合、履歴情報DB152及び検証情報DB153のそれぞれ所定欄に、日時や照合結果や照合者等の情報と共に格納する。これ以降のステップS134〜S139の処理については第1の実施の形態の処理(ステップS65〜S70)と同様である。
なお、集約側端末150に、今回受信した登録者個人の基本情報又は履歴情報と同一種類の既往情報が存在する場合には、受信した情報と存在する情報とを比較検討して照合する。
検証結果により、実在性を確認できた場合には、集約側端末150は、関連するサブサーバ群に結果を通知すると共に、認証システムサーバ10に対して検証情報DB153の内容を送信するようにする(ステップS140)。
認証システムサーバ10は、新たな実在検証結果を集約側端末150から受信すると、その受信した検証結果を自機内の検証情報DB13に格納し登録する。
この検証処理の結果、登録者本人の実在率や実在点数が変動あった場合には、その新結果を個人識別IDに対応付けられている実在率を示す情報や、図26で示した利活用ランクに反映させることが必要である。
また、集約側端末150と同様に、認証システムサーバ10は、今回受信した登録者個人の基本情報又は履歴情報と、同一種類の既往情報が自機内のデータベースに存在する場合には、受信した情報と存在する情報とを比較検討して照合することも実行してもよい。これは、集約側端末150に存在しないが、認証システムサーバ10には他の集約側端末150を通じて登録されていることも考えられるためである。
そこで、認証システムサーバ10は、新たな実在検証結果を従来の実在データに点数化して必要な計算を実行する(ステップS141)。
この結果、個人識別IDに対応付けられている実在率を示す情報や、図26で示した利活用ランクに変更が生じた場合には、認証システムサーバ10内の当該データを変更する(ステップS142)。
次に、変更を行った旨と新データとを集約側端末150やサブサーバ群に通知する(ステップS143)。
以上説明したように、実在性の検証処理が下位端末で不十分であると判断した場合には、上位端末が様々な端末から送信され、集中して保管中の個人情報を用いて改めて検証処理を実行することが可能である。
このように、上位端末やサーバが、常時、個人実在の検証を繰り返したり、多面的に判断したりすることにより、その精度が高まると共に、第三者によるなりすましや架空の人物となることが難しくなってくる。また、各下位端末の検証処理も軽減できる効果もあるのは当然である。
(実在認証の概念)
登録者の実在性を検証するとき、認証システムは、具体的には次の2つの処理を行う。
まず、第1の検証処理では、各端末やサーバは、認証システムのデータベースに格納されている既存の個人情報と、読み取った又は入力された情報と、が同一性を有しているか、又はしきい値以内であるかを判断して、登録者の実在性を検証する。
また、第2の検証処理では、各端末やサーバは、新たに読取/入力した情報と、認証システムのデータベースに格納されている既存の個人情報又は認証システム内の他の端末に存在する情報とが、時間情報及び空間情報の2点で整合性を有しているか否かを判断して、登録者の実在性を検証する。
ここで、前述の第2の検証処理について、さらに詳細に説明する。
この第2の検証処理では、各端末やサーバは、個人を特定するための個人情報(バイオメトリクス情報等)の読取/入力時期及び位置に基づいて、登録者による認証システム内で不正利活用の有無を検証することに加えて、各端末やサーバの存在意味や使用目的等を集積して、その検証を行う。
例えば、東京都千代田区丸の内で13時00分にATMにて銀行口座より現金引出しを行った人が、13時10分に東京都新宿区西新宿でバイオメトリクス情報による認証により図書館を利用することは、現在のところ不可能である。これは、時間情報上での不整合を表す。
一方、東京都千代田区丸の内の病院で10時00分に集中治療室管理を伴う手術を受ける認識がされていた場合、17時00分に京都府京都市内のATMにて銀行口座より現金100万円の引出しを行うことはありえない。これは、病院の集中管理室という場所で認識され、入院をしているという状態を示す端末目的との空間情報上での不整合を表す。
以下、第2の検証処理の具体的処理内容について説明する。
認証システムの各端末やサーバは、その設置場所を示す情報と、その設置場所の周囲の交通機関情報(周囲の駅や停留所の位置、時刻表等の情報)とを格納しているので、各端末間の移動に要する時間を計算することができる。
例えば、東京・新宿間を鉄道やバスで移動する場合、端末の直前稼動地の東京都千代田区丸の内に近接した複数の駅から、端末の最新稼動地の東京都新宿区西新宿に近接した複数の駅まで移動するときに、各端末やサーバは、その時間に乗車できる交通手段を検索し、乗車所要時間を加算計算する。
また、各端末やサーバは、各端末の設置位置から近接駅までの距離に基づいて、その各端末から周囲の駅までの移動に要する時間を、それぞれ直前及び最新稼動地の各端末について計算する。この駅移動所要時間は、例えば、各端末の設置位置から近接駅までの距離に、一定の数値(例えば、100メートル走の世界記録を時速に換算したもの)を乗算することにより計算される。
最後に、前述の乗車所要時間に、その直前及び最新稼動地の各端末における両駅移動所要時間を加算して、移動予測時間を計算する。
最新稼動地の端末(東京都新宿区西新宿)で個人情報を読取/入力した時期が、直前稼動地の端末(東京都千代田区丸の内)で個人情報を読取/入力した時期に、前述の移動予測時間を加算した、最速到着予定時間よりも早かった場合、各端末やサーバは、異常値とし、その直前又は最新稼動地における情報読取/入力が不正なものであると判定する。
なお、個人情報を読取/入力して航空券や指定券の予約を行った場合には、それぞれの端末の通過時刻が予測できるため、その通過時刻と最新稼動地の端末での読取/入力時刻とを比較してもよい。
本認証システムでは、現実空間に散りばめられた様々な端末やセンサーにより、個人情報は多岐に渡り収集される。その収集された情報を一筋の流れと見なす。次に、当該情報がその情報の前後の情報と比較して、時間的や場所的、また、その個人が存在している(置かれている)状況を想定した場合には考えられないズレがないかを検証し、人物の実在性を判断することができる。
<第6の実施の形態>
(端末単体での認証処理)
以上説明した例では、末端側端末160が読み取った個人情報をその上位端末が認証していたが、本実施の形態では、末端側端末160自体が、その個人情報の認証処理を行う。
図37は、本発明の第6の実施の形態において、個人情報を入力された端末が、自機内に有する情報と、読み取り、又は入力された情報とを比較して登録者個人が実在する人物であるか、また登録情報が真正なものであるかを、認証処理実行する時の動作例を示すシーケンスチャートである。
本実施の形態では、一例として、末端側端末160が、登録者のバイオメトリクス情報を読み取って認証を行うときの動作について説明する。
末端側端末160は、付帯したスキャナを用いて、登録者のバイオメトリクス情報を読取又は入力し、自機内に設けられたデータベースに情報を送格納する(ステップS151)。
次に、末端側端末160は、読み取った又は入力したバイオメトリクス情報と、自機内にある検索情報DB166にある既往登録バイオメトリクス情報と比較する。比較照合の結果、読み取った又は入力されたバイオメトリクス情報が既往登録バイオメトリクス情報と合致した場合には、末端側端末160は、そのバイオメトリクス情報を入力/読み取られた人物の個人識別IDを特定する(ステップS152)。
その後、末端側端末160は、特定された個人識別IDに基づき総合DB161内の、特定された個人識別IDの個人フォルダから該当する情報を抽出し(ステップS153)、その抽出した情報と読み取った又は入力されたバイオメトリクス情報とを比較照合した上で(ステップS154)、本人かどうかの認証判断を行う(ステップS155)。
照合の結果、本人として認証された場合には、末端側端末160は、可否情報DB165を用いて、他の端末やサーバに対して、前述の認証結果の発信処理を行う(ステップS156)。
次に、末端側端末160は、今回読み取った又は入力されたバイオメトリクス情報と、認証結果情報と、その認証を行った時期を示す時間情報と、を総合DB161のそれぞれの所定欄に格納し登録する(ステップS157)。
その後、更新の必要がある場合には、末端側端末160は、今回読み取った又は入力された情報等を検索情報DB166にある既存情報と置き換えることもある(ステップS158)。
認証システムでは、認証システムサーバ10だけではなく、加えて各端末やサーバが認証処理を実行することで、処理の効率化と一極集中を回避することができる。
このように、各端末やサーバが各自、認証機能を備えることにより、例えば災害時の停電や回線切断、関連上位端末の故障等の緊急事態により認証システムサーバ10を含む上位端末との通信が不可能である場合であっても、登録者は証明書や鍵といった証拠物による本人確認よりも、より厳密に実在確認を行うことが可能となる。
<第7の実施の形態>
(時間・場所の連続性に基づく認証処理)
以上、説明した実施の形態では、読み取った個人情報と、データベース内の個人情報とを照合し、登録者の個人認証を行っていた。これに対し、本実施の形態では、移動情報に含まれる個人情報の読取場所及び読取時期の情報に基づいて、登録者の実在性が時間的・空間的に連続して認証可能か否かを判断する。
図38は、本発明の第7の実施の形態において、個人情報を入力された端末が、読み取り、又は入力された情報と、自機内の既存情報と、本認証システム内の別の端末が持つ情報とを比較して登録者個人が実在する人物であるか、また登録情報が真正なものであるか、個人情報と実在性の連続性があるかを認証する処理実行時の動作例を示すシーケンスチャートである。
本実施の形態では、一例として、末端側端末160が、登録者のバイオメトリクス情報を読み取って認証を行うときの動作について説明する。
末端側端末160は、付帯したスキャナを用いて、登録者のバイオメトリクス情報を読取又は入力し、自機内に設けられたデータベースに情報を送格納する(ステップS161)。
次に、末端側端末160は、読み取った又は入力したバイオメトリクス情報と、自機内にある検索情報DB166にある既往登録バイオメトリクス情報と比較する。比較照合の結果、読み取った又は入力されたバイオメトリクス情報が既往登録バイオメトリクス情報と合致した場合には、末端側端末160は、そのバイオメトリクス情報を入力/読み取られた人物の個人識別IDを特定する(ステップS162)。
末端側端末160は、特定した個人識別IDと、読み取った又は入力されたバイオメトリクス情報の時間情報と、実在検証情報を要求する旨と、自機の識別IDとを上位端末であるサブサーバ群に送信する(ステップS163)。
このとき、末端側端末160は、読み取った又は入力されたバイオメトリクス情報そのものもサブサーバ群に送信してもよい。
サブサーバ群は、その末端側端末160から受信した個人識別IDに基づいて、自機内にある検索情報DB又は総合DB内を検索する(ステップS166)。
検索の結果、当該個人識別IDに関わる情報が、検索情報DB又は総合DBに格納されている場合には(ステップS167/Yes)、サブサーバ群は、その情報から最新の実在情報(登録者の実在が確認されたことを示す情報)とそれに関わる検証情報又は検証結果情報とを抽出して、末端側端末160に送信する(ステップS168)。
一方、検索の結果、当該個人識別IDに関わる情報が存在しない場合には(ステップS167/No)、サブサーバ群は、「該当情報なし」を示す情報を末端側端末160に送信する(ステップS168)。
また、サブサーバ群は、末端側端末160から受信した情報と、自機内の必要情報(最新の実在情報とそれに関わる検証情報又は検証結果情報)とを併せて上位端末である集約側端末150に送信する(ステップS169)。
集約側端末150でも、前述のステップS166〜S169と同様な処理を実行する(ステップS170〜S173)。また、ステップS172においては、集約側端末150は、サブサーバ群及び末端側端末160に送信し、ステップS173においては、認証システムサーバ10に送信する。
次に、認証システムサーバ10は、その集約側端末150から受信した個人識別IDに基づいて、自機内にある検索情報DB16又は総合DB11内を検索する(ステップS174)。
検索の結果、当該個人識別IDに関わる情報が、検索情報DB16又は総合DB11に格納されている場合には(ステップS175/Yes)、認証システムサーバ10は、その情報から最新の実在情報とそれに関わる検証情報又は検証結果情報とを抽出して、末端側端末160、サブサーバ群及び集約側端末150に送信する(ステップS176)。
その後、末端側端末160は、自機内、サブサーバ群、集約側端末150及び認証システムサーバ10等に格納されているバイオメトリクス情報と、読み取った又は入力されたバイオメトリクス情報と、を比較照合し(ステップS177)、登録者本人か実在するかどうかの認証判断を行う(ステップS178)。
また、このとき、末端側端末160は、自機内、サブサーバ群、集約側端末150及び認証システムサーバ10等に格納されている最新の実在情報と、読取/入力された個人情報(バイオメトリクス情報)の時間情報や空間情報と、を比較照合して認証を行ってもよい。
照合の結果、本人として認証された場合には、末端側端末160は、その端末が有する可否情報DB165を用いて、当該末端側端末が提供する各種サービスを許可する又は動作進行させる(ステップS179)。
次に、末端側端末160は、今回読み取った又は入力されたバイオメトリクス情報と、認証結果情報と、その認証を行った時期を示す時間情報と、を総合DB161のそれぞれの所定欄に格納し登録する(ステップS180)。
その後、更新の必要がある場合には、末端側端末160は、今回読み取った又は入力されたバイオメトリクス情報等を検索情報DB166にある既存情報と置き換えることもある(ステップS181)。
本認証システムの特徴である時間情報と空間情報との比較が、認証システム全体での整合性を基に実行されていくので、今回個人情報が読取/入力された当該端末のデータベースに存在する履歴情報だけで対応するよりも、認証システムに対するセキュリティを大幅に向上させることができる。
特に、バイオメトリクス情報、時間情報及び空間情報を組み合わせて登録者個人を総合的かつ広範囲に検証することにより、登録者個人を時間的に連続して特定することができ、「なりすまし」や「架空」を排除できることが可能となる。
また、認証システムを構成する各端末及びサーバは、ネットワークを介して接続されているので、各端末やサーバが有する各データベースを、1つのデータベースと見なして認証等の処理を行うことができ、物理的に離れた空間でも地理的隔絶及び時間的隔絶をなくし、実在認証情報を容易に比較することが可能となる。
<第8の実施の形態>
(情報記録媒体による認証処理)
以上説明した実施の形態では、認証システムが有するサーバや端末により登録者の個人認証を行っていた。これに対し、本実施の形態では、登録者が保有するICカード等のCPU内臓の情報記録媒体が、登録者の個人認証処理を行う。
図39は、本発明の第8の実施の形態において、バイオメトリクス情報の読取装置が、装置でバイオメトリクス情報を読み取るが、データベースを有しないため、装置外にあるデータベースと情報照合がされ、本人であるとの情報が送信される場合の動作例を示すシーケンスチャートである。
例えば、ICカード内に、個人を特定するためのバイオメトリクス情報と、当該情報と新たに読み取った又は入力されたバイオメトリクス情報と、を比較して整合率や「しきい値」等を計算して個人認証を行う認証ソフトウェアが実装されており、バイオメトリクス情報読取装置で読み取ったバイオメトリクス情報をICカード内で比較照合する。
登録者個人は、情報読取機に個人を特定するためのバイオメトリクス情報を格納したICカードを挿入する。そして、情報読取機に付帯したスキャナで、バイオメトリクス情報を読み取りさせ(ステップS191)、挿入したICカードに読取情報(入力情報)を送る(ステップS192)。
ICカードは、受信したバイオメトリクス情報を、自機内にある認証ソフトウェアに適合するように読取情報をデータ変換する(ステップS193)。
次に、ICカードは、その変換した読取情報と、あらかじめ自身に格納されていたデータとを比較し、整合率や「しきい値」等を計算し(ステップS194)、その読取情報が登録者本人のものか否かを判定する(ステップS195)。
データが合致した場合(ステップS195/Yes)、ICカードは、その読取情報と、本人個人名とデータが合致している旨の情報とを末端側端末160に送信する(ステップS196)。
なお、ICカード内に、個人を特定するためのバイオメトリクス情報に併せて、個人識別IDが格納されていることが望ましく、個人識別IDが存在する場合には、当該情報を含めて末端側端末160に送信する。
なお、ICカードは、無線・非接触で前述の情報を末端側端末160に送信するようにしてもよいし、末端側端末160に接触させて送信するようにしてもよい。
末端側端末160は、ICカードから受け取った個人識別IDと、検索情報DB166にある既往登録情報とを比較する。比較照合の結果、個人識別IDが既往登録情報と合致した場合には、個人識別IDを特定する(ステップS197)。
その後、末端側端末160は、特定された個人識別IDの個人フォルダ内にある総合DB161に格納されている情報と、ICカードより送信された情報と、を比較照合した上で、本人かどうかの認証判断を行う(ステップS198)。
なお、これ以降の処理(ステップS199〜S291)については、第1の実施の形態の処理(ステップS156〜S158)と同様である。
また、必要に応じて、第7の実施の形態のように、認証システム全体で実在性の認証が行われる。
以上説明したように、本実施の形態では、ICカードは、個人識別のために必要な基礎情報を格納し、また、その情報により個人認証を行う認証用のソフトウェアを実装している。
このように、登録者の個人情報の認証処理を汎用性の高いICカードで行うことにより、認証システム全体の処理の負荷を軽減させることが可能となる。
また、ICカードとは別に、他の端末やサーバにおいて、ICカードで認証されたことで許可される情報や認証システム全体での実在性連続を示す情報を格納しているため、実在認証情報と検証情報と許可情報等の必要情報を分断して保管しており、情報流出や盗難等の緊急時に起こるリスクを低減させる効果がある。
また、本実施形態のICカードに、さらに、従来の携帯電話機の機能を備えさせたり、パスポート、運転免許証又は住民基本台帳カード等の証明書の記載内容を格納させたりして、それらの電話機や証明書の機能又は用途を複合的に備えさせるようにしてもよい。
このようにすることにより、従来よりも利便性が向上するとともに、従来の証明書よりも登録者本人の実在性を精度よく検証できることが可能となる。
また、本実施の形態では、認証システムにおいて、登録者の個人情報(バイオメトリクス情報や行動履歴など)は、登録者が保有しているICカードと、各端末やサーバ内のデータベースとの両方に格納されている。このため、ICカードや端末等のいずれかの個人情報が不正に書き替えられた場合であっても、他の個人情報は元の内容で保管されているので、悪意のある第三者による使用を防止することができ、「なりすまし」に対しても適切に対処することができる。
<第9の実施の形態>
(読取順番や複数情報の合致性に基づく認証処理)
以上、説明した実施の形態では、読み取った登録者の個人情報と、データベース内の個人情報とを照合して、登録者の個人認証を行っていた。これに対し、本実施の形態では、その個人情報自体の照合に加え、それら複数の個人情報の照合を行うとき、登録者による個人情報の入力順が正しいか否かも考慮して個人認証を行う。
図40は、本発明の第9の実施の形態において、個人情報を入力された端末が、自機内に有する情報と、読み取り、又は入力された情報とを比較して登録者個人が実在する人物であるか、また登録情報が真正なものであるかを、認証処理実行する時に、個人情報の照合に加え、あらかじめ端末に登録した1つ又は複数の情報の読み取り、又は入力順番が正当であるかによって個人認証を行う動作例を示すシーケンスチャートである。
本実施の形態では、一例として、末端側端末160が、登録者のバイオメトリクス情報を読み取って認証を行うときの動作について説明する。
末端側端末160は、付帯したスキャナに、1以上の登録者のバイオメトリクス情報を読み取り又は入力させ、自機内のデータベースに格納する(ステップS211)。
このとき、複数のバイオメトリクス情報を読取/入力する場合は、予め末端側端末160に登録されている順番(例えば、指紋→虹彩→声紋の順など)で、各バイオメトリクス情報が読取/入力される。
なお、変造又は模造情報の悪用を防止するために、このバイオメトリクス情報の読取/入力の際に、一定時間内に完了しなければ無効とするようにしてもよい。例えば、親指→薬指→人指し指の順で指紋情報を読み取る場合、スキャナにかざす指の入れ替えは瞬時に可能であり、この入れ替えに2秒以上の間隔が発生した場合には、認証不可とするようにしてもよい。
末端側端末160は、読み取った又は入力されたバイオメトリクス情報を、自機内にある検索情報DB166にある既往登録バイオメトリクス情報と比較させる。比較照合の結果、読み取った又は入力されたバイオメトリクス情報が、検索情報DB166内の既往登録バイオメトリクス情報と合致した場合には、個人識別IDを特定する(ステップS212)。
その後、末端側端末160は、総合DB161内の、特定された個人識別IDの個人フォルダから該当する情報を抽出し(ステップS213)、その抽出した情報と読み取った又は入力された情報とを比較照合した上で(ステップS214)、本人かどうかの認証判断を行う(ステップS215)。
続いて、末端側端末160は、バイオメトリクス情報の読取/入力順を、検索情報DB166にある順番登録情報と比較する(ステップS216)。
比較照合の結果、バイオメトリクス情報を読み取った又は入力された順番が、検索情報DB166内の登録順番と合致した場合には(ステップS217/Yes)、登録者個人の実在性が認証されたものと判断する。
なお、これ以降の処理(ステップS218〜S220)は、第6の実施の形態におけるステップS156〜S158の処理と同様である。
以上説明したように、本実施の形態によれば、認証システムの各端末やサーバに個人情報とその読取順番を複数登録しておき、その合致状況に応じて認証を行うことにより、悪意のある第三者が、登録者が通常使用している端末と同一端末、又は登録者と同一の種類の個人情報を使用している場合でも、その第三者による「なりすまし」を容易に防止することが可能となり、実在性の認証の精度を向上させることになる。
すなわち、登録者の個人情報がその第三者に流出したとしても、第三者は、複数の個人情報の読取順番まで合致させて本人に「なりすます」ことは困難であり、実在認証用の個人情報を1個に限定した場合に比べて、安全性の確保を行うことができる。
このように、登録者の個人情報を複数用いて、その読取/入力順により認証を行うことにより、仮に情報流出してしまった場合であっても、バイオメトリクス情報等の個人情報を認証手段として安全に利用でき、認証システムを有効に活用することが可能となる。
なお、認証システム運用上では、
1.読取又は入力情報の随時又は任意の変更を可能とする。
2.情報の読取又は入力順番の設定を随時又は任意の変更を可能とする。
認証用の個人情報を定期的又は随時に変更を行えれば、バイオメトリクス情報等が流出した場合でも、本認証システムで実在認証用の個人情報の内容と順番の変更を行うことと、認証行為が空間情報と時間情報の整合性という4点認証方法を用いることの両面を組み合わせることで安全に利用継続可能になる。
<第10の実施の形態>
(各端末における登録情報量の一定化)
以下、本実施の形態では、各端末に格納すべき登録者の個人情報のデータ量が、自機内の記憶可能容量(件数)を超過する見込みの場合に、その超過分を上位端末へ移し替える処理について説明する。
図41は、本発明の第10の実施の形態における認証システムによる、前述のデータ移行処理の流れを示すシーケンスチャートである。
本実施の形態では、一例として、建物側端末110から集約側端末150へ登録者の個人情報を移し替える場合について説明する。
なお、各データベースには、当該データベースに登録可能な情報の件数又は容量を、あらかじめ設定してあるものとする。
建物側端末110は、新たに登録者により個人情報が入力されると、又は末端側端末160から登録者の個人情報を受信すると(ステップS221)、総合DB111の所定欄の登録可能残件数又は残容量を確認する(ステップS222、S223)。
今回、その入力/受信した個人情報のデータ量が、総合DB111の格納許容範囲内である場合には(ステップS224/Yes)、その受信した個人情報を登録する。
一方、総合DB111において、受信した個人情報を登録するのに必要な残件数又は残容量が存在しない場合(ステップS224/No)、建物側端末110は、既に総合DB111所定欄に格納されている個人情報のうち、一定量の個人情報を抽出し(ステップS225)、その抽出した個人情報を集約側端末150へ送信する(ステップS226)。
ここで、建物側端末110は、今回受信/入力した個人情報を新たに登録するために、その集約側端末150へ送信した個人情報を消去することとなるが、その消去対象の個人情報は、既往の総合DB111に格納された個人情報のうち、個人情報の登録時期の古い順番、又は当該サブサーバで利活用される優先順位が低い順番(予め設定されている)を基準に選ばれる。
集約側端末150は、建物側端末110より個人情報を受信すると、その受信した個人情報を総合DB151に登録する(ステップS227)。登録処理後、集約側端末150は、情報の登録が完了したことを確認し(ステップS228)、建物側端末110から受信した個人情報の登録が完了した旨の情報を建物側端末110へ送信する(ステップS229)。
建物側端末110は、集約側端末150より登録無事終了の旨の情報を受信すると、ステップS226で送信した情報を消去する処理を行う(ステップS230)。
建物側端末110は、この結果生じた総合DB111の空き格納領域に、新たに受信又は入力された個人情報を登録する(ステップS231)。
なお、ステップS229において集約側端末150から送信される登録完了情報には、建物側端末110に前述の消去処理の実行を要求する情報が含まれるようにし、建物側端末110がその消去処理の要求情報を受信すると、その要求情報に応じて消去処理を自動的に実行するように動作制御を行うようにすることが望ましい。
また、これ以降、各端末は、自機内に一定以上のデータ量の個人情報が登録されるごとに、以前に登録済みの個人情報の一部を、その登録に使用された端末の上位の端末やサーバに送信し、その送信した個人情報を消去することにより、認証システムにおいて、1つの端末への処理の集中を軽減させることが可能となる。
このように、本認証システム内では、個人情報の検索時や登録者の認証処理時に、各端末やサーバ間で大量の情報が送受信されることになるが、各端末の情報量を一定範囲に保つことで、各端末での情報の検索や認証処理にかかる負荷を抑制することができる。
下位端末では、不要又は古い個人情報を次々に消去し、その消去した個人情報を、例えば信用性の高い機関により管理されるサーバや端末に送信して管理させることで、認証システム全体でのセキュリティ管理が容易となる。また、各端末から個人情報流出した場合、過去に登録した個人情報全てが流出する訳ではなくなるので、登録者個人の安全性が高まる。
<第11の実施の形態>
(登録情報のバックアップ処理1)
以下、本実施の形態では、各端末における登録情報を、その上位端末においてバックアップする処理について説明する。
図42は、本発明の第11の実施の形態において、各端末が格納する個人情報をバックアップするために上位端末へ移し替え処理を実行する時の動作例を示すシーケンスチャートである。
本実施の形態では、一例として、建物側端末110が、個人情報のバックアップを目的に、個人情報を集約側端末150に移し替えるときの動作について説明する。
本実施の形態において、認証システム内で、個人情報のバックアップを行った場合に、バックアップを実行した日時と、バックアップした個人情報を有する端末の端末識別IDとが、その個人情報に付随してデータベースに格納されるようになっている。
建物側端末110は、総合DB111の所定欄に格納された個人情報のバックアップ状況を確認する。そして、建物側端末110は、所定欄に格納された情報の中から、バックアップ処理が未実行の個人情報を抽出して(ステップS241)、集約側端末150へ情報を送信する(ステップS242)。
集約側端末150は、建物側端末110より個人情報を受信すると、総合DB151及び検索情報DB156に登録処理を行う(ステップS243、S244)。この際、集約側端末150は、バックアップする個人情報が既に総合DB151及び検索情報DB156に格納されている個人情報と二重登録にならないか検証処理を実行した上で格納する。
本認証システムでは、情報の種別が同一であっても、情報の発生日時が異なる場合には、別情報として位置付けて格納し、上書き保存は原則させないものとする。
処理後、集約側端末150は、情報の登録が完了したことを確認し(ステップS245)、建物側端末110から受信した個人情報のバックアップ登録が完了した旨の情報を建物側端末110へと送信する(ステップS246)。
建物側端末110は、集約側端末150より登録完了の旨の情報を受信すると、ステップS242で送信した個人情報に、バックアップを実行した旨と、その日時と、バックアップの格納先の端末と、をそれぞれ示す情報を付帯させる処理を行う(ステップS247)。
なお、ステップS246において集約側端末150から送信される登録完了情報には、建物側端末110に前述のバックアップに係る各種情報を付帯する処理の実行を要求する情報が含まれるようにし、建物側端末110がその付帯処理の要求情報を受信すると、その要求情報に応じてバックアップに係る各種情報の付帯処理を自動的に実行するように動作制御を行うようにすることが望ましい。
また、バックアップ漏れを防止するために、一定の件数、一定の容量又は一定の日時毎に、自動的にバックアップ処理を実行するよう設定しておいてもよい。
全ての個人情報は、直接その情報を利活用する端末又はサブサーバにて保管されている(以下では、この情報のことをアクティブ情報とする)。
一方、アクティブ情報の消失や、アクティブ情報を有する端末との通信が断絶した場合に備えて、アクティブ情報を有する端末と別の端末で情報を管理する情報をバックアップ情報とする。
以上説明したように、本実施の形態では、認証システムでは、個人情報を2箇所以上で保管しているので、その個人情報が認証システム内で完全に消失することを防止することができる。その結果、時系列的に登録された複数の個人情報を用いて、登録者の実在性を連続的に認証することができ、その認証の精度を向上させることが可能となる。
<第12の実施の形態>
(登録情報のバックアップ処理2)
以上説明した第11の実施の形態では、建物側端末110は、バックアップのために、その上位端末である集約側端末150に登録情報を登録していた。本実施の形態では、さらに、集約側端末150が、バックアップのために、認証システムサーバ10にこの登録情報を登録する。
図43は、本発明の第12の実施の形態において、各端末が格納する個人情報を認証システムサーバ10へ移し替え処理を実行する時の動作例を示すシーケンスチャートである。
本実施の形態では、一例として、建物側端末110から集約側端末150に移し替えた個人情報を、さらに認証システムサーバ10に移し替えるときの動作について説明する。
建物側端末110が個人情報を抽出してから、集約側端末150にバックアップ処理を行い、その実行状況を建物側端末110が登録するまでの処理(ステップS251〜S257)は、上述の第11の実施の形態における処理(ステップS241〜S247)と同様である。
次に、集約側端末150は、総合DB151の所定欄に格納された個人情報が、認証システムサーバ10に登録されているか否かを判断する(ステップS258)。
そして、集約側端末150は、総合DB151に格納された個人情報のうち、認証システムサーバ10に登録されていないものを抽出し、その抽出した個人情報を認証システムサーバ10へ送信する(ステップS259)。
認証システムサーバ10は、集約側端末150より個人情報を受信すると、その受信した個人情報を総合DB11に登録する(ステップS260)。
この際、認証システムサーバ10は、その受信した個人情報が既に総合DB11に格納されている情報と二重登録にならないか検証処理を実行した上で格納する。
また、本認証システムでは、情報の種別が同一であっても、情報の発生日時が異なる場合には、別情報として位置付けて格納し、上書き保存は原則させないものとする。
また、移行漏れを防止するために、一定の件数、データ量又は日時毎に、自動的にこのバックアップ処理を実行するよう設定しておいてもよい。
認証システムサーバ10は、バックアップ処理実行後、個人情報の登録が完了したことを確認し(ステップS261)、集約側端末150から受信した個人情報のバックアップ登録が完了した旨の情報を集約側端末150へ送信する(ステップS262)。
集約側端末150は、認証システムサーバ10より登録無事終了の旨の情報を受信すると、建物側端末110から受信してバックアップ登録していた個人情報の一部又は全部を認証システムサーバ10へ移行した旨の情報を、建物側端末110へと送信する(ステップS263)。
その後、集約側端末150は、ステップS259で送信した個人情報を消去する(ステップS264)。
建物側端末110は、集約側端末150から認証システムサーバ10へ個人情報の登録が移行した旨の情報を受信すると、総合DB111内のステップS259で送信した情報に付帯した各種情報を、認証システムサーバ10へ移行した旨と、その日時と、を示す情報に変更する(ステップS265)。
なお、集約側端末150から送信される個人情報の移行が完了した旨の情報には、建物側端末110に前述の各種情報の変更処理の実行を要求する情報が含まれるようにし、建物側端末110がその要求情報を受信すると、その要求情報に応じて各種情報の変更処理を自動的に実行するように動作制御を行うようにすることが望ましい。
また、全ての個人情報は、最終的に認証システムサーバ10か外部機関認証システムサーバ300にて保管される。このことにより、第一の効果として、名寄せ処理の実行を確固たるものにすることが可能となる。また、第二の効果として、各端末に膨大な個人情報が蓄積されると、流出のリスクも高まり、流出した際の損害も莫大になることから、情報を厳格に管理できるサーバ(認証システムサーバ10、外部機関認証システムサーバ300)に集約し、不必要な情報を軽減させることになる。第三の効果としては、各端末における処理の負荷を軽減させることができる。
<第13の実施の形態>
(登録情報のバックアップ処理3)
以下、本実施の形態では、登録情報のバックアップ処理のときの、認証システムサーバ10による他の機器との接続/接続解除動作について説明する。
図44は、本発明の第13の実施の形態において、各端末が格納する個人情報を認証システムサーバ10へ移し替えた後に、さらに外部機関サーバ300へ移し替えたときの動作例を示すシーケンスチャートである。
本実施の形態では、一例として、集約側端末150に登録された個人情報を認証システムサーバ10に移し替え、その移し替えた個人情報をさらに外部機関サーバ300に移し替えるときについて説明する。
以下、第12の実施の形態における処理に追加する部分を中心に説明する。
集約側端末150は、総合DB151に格納された個人情報のうち、認証システムサーバ10に登録されていないものを抽出し(ステップS271)、その抽出した個人情報を認証システムサーバ10へ送信する(ステップS272)。
認証システムサーバ10は、集約側端末150より個人情報を受信すると、自身と外部機関サーバ300との接続を解除する旨の情報を、その外部機関サーバ300に送信し(ステップS273)、その外部機関サーバ300との接続を解除する。
次に、認証システムサーバ10は、集約側端末150から受信した個人情報を、総合DB11及び検索情報DB16に登録する(ステップS274、S275)。
そして、認証システムサーバ10は、情報の登録が完了したことを確認し(ステップS276)、集約側端末150から受信した個人情報のバックアップ登録が完了した旨の情報を集約側端末150へ送信する(ステップS277)。
次に、認証システムサーバ10は、総合DB11の所定欄に格納された個人情報が外部機関サーバ300に登録されているか否かを判断する。そして、所定欄に格納された情報の中から、外部機関サーバ300にバックアップが未処理である情報が存在し、バックアップ処理を実行する必要があるか判断する(ステップS279)。
認証システムサーバ10は、バックアップ処理が必要と判断した場合には、そのバックアップ対象の個人情報を総合DB11等から抽出する(ステップS279)。
また、認証システムサーバ10は、自身と集約側端末150との接続を解除する旨の情報を、その集約側端末150に送信し(ステップS280)、その集約側端末150との接続を解除する。
次に、認証システムサーバ10は、再度、外部機関サーバ300と接続し、その抽出したバックアップ対象の個人情報を外部機関サーバ300へ情報を送信する(ステップS281)。
外部機関サーバ300は、その認証システムサーバ10から受信した個人情報を、バックアップを目的として自機内に登録する(ステップS282)。
外部機関サーバ300は、その個人情報のバックアップ登録が完了したことを確認すると(ステップS283)、認証システムサーバ10から受信した個人情報のバックアップ登録が完了した旨の情報を認証システムサーバ10へと送信する(ステップS284)。
図45(a)、(b)は、第13の実施の形態における各端末・サーバ間の接続状況を示す図である。この図において、実線は接続中であり、点線は接続が解除されていることを示している。
図45(a)では、認証システムサーバ10は、外部機関サーバ300と接続しており、下位端末群とは接続されていない。一方、図45(b)では、認証システムサーバ10は、下位端末群と接続しており、外部機関サーバ300とは接続が解除されている。
同様に各端末においても、当該端末がその端末の上位端末と接続している場合には、その端末の下位端末と、当該端末がその端末の下位端末と接続している場合には、その端末の上位端末とは、接続がされないように設定されるようにしてもよい。
本実施の形態では、認証システム内では、ハッカーの侵入やウイルスの蔓延等の認証システム攻撃に対するセキュリティ対策の一環として、ネットワークを常時接続で対応しないようにしている。このため、認証システム内に、いわば袋小路ができることによって、問題が生じた場合、その先の端末への波及を防止することを可能とする。
<第14の実施の形態>
(登録情報のバックアップ処理4)
以下、本実施の形態では、個人情報のうち、氏名、生年月日、戸籍情報といった登録者個人の基本的重要情報と、登録者個人の実在性を認証するために登録されたバイオメトリクス情報とを、それらの情報の消去や変造等を防止するために、2ヶ所以上でデータベースによるバックアップを行う。
図46は、本発明の第14の実施の形態において、認証システムサーバ10が格納する個人情報を、2つの外部機関サーバへ同時に移し替えるときの動作例を示すシーケンスチャートである。
本実施の形態では、これら2つの外部機関サーバを、それぞれ外部機関サーバ300A、300Bとする。
認証システムサーバ10は、総合DB11の所定欄に格納された個人情報が、外部機関サーバ300A、300Bにそれぞれ登録されているか否かを確認する。
そして、認証システムサーバ10は、総合DB11の所定欄に格納された情報の中から、外部機関サーバ300A、300Bに未登録の個人情報を抽出して(ステップS291)、その抽出した個人情報を外部機関サーバ300A、300Bへそれぞれ同時に送信する(ステップS292)。
外部機関サーバ300A、300Bは、認証システムサーバ10よりその個人情報を受信すると、それぞれ自身内に設けられた総合DB311A、311Bに登録処理を行う(ステップS293、S294)。
この際、外部機関サーバ300A、300Bは、ここで受信した個人情報が既に総合DB311A、311Bに格納されている情報と二重登録にならないか検証処理を実行した上で格納する。また、このとき、外部機関サーバ300A、300Bでは、情報の種別が同一であっても、情報の発生日時が異なる場合には、別情報として位置付けて格納し、上書き保存は原則させないものとする。
個人情報の登録処理後、外部機関サーバ300A、300Bは、情報の登録が完了したことを確認すると(ステップS295、S296)、認証システムサーバ10から受信した個人情報のバックアップ登録が完了した旨の情報を認証システムサーバ10へ送信する(ステップS297)。
認証システムサーバ10は、総合DB311A内の情報と、総合DB311B内の情報とに対して、必要時、一定の件数、一定の容量又は一定の日時毎に、格納情報の比較照合処理を実行する(ステップS298)。
例えば、外部機関サーバ300Aは沖縄県内にあり、外部機関サーバ300Bは北海道内にあるといった地理的に隔絶されることもあれば、外部機関サーバ300Aは外務省の管轄下にあり、外部機関サーバ300Bは日本銀行の管轄下にあるといった組織的な隔絶されていることもある。
総合DB311A、311Bは、原則として同一の個人情報を格納していることになる。
認証システムサーバ10は、総合DB311A、DB311Bにそれぞれ格納された個人情報を比較し、照合処理を実行することで、データの不一致が見つかった場合には、データ改ざんや認証システム障害等のトラブルが発生している可能性があると判断する。
本認証システムでは、登録者の個人情報の連続性及び不変性を認証基準としているので、データの不一致が発生したことは個人情報に瑕疵が生じた状態とみなされ、該当者に注意情報を通報すると同時に、利活用機能を制限するように設定しておく。
なお、認証システムサーバ10は、自身に格納されている個人情報が2ヶ所以上での外部機関サーバのデータベースにバックアップ登録された旨の情報を受信すると、その自身に格納されている個人情報を消去することもある。
<第15の実施の形態>
(登録情報のバックアップ処理5)
本実施の形態では、認証システムサーバ10が、自機に格納する個人情報を、2つの外部機関サーバへ交互又は別々にバックアップするときの動作について説明する。
図47は、本発明の第15の実施の形態において、認証システムサーバ10が格納する個人情報を、2つの外部機関サーバへ交互又は別々に移し替えるときの動作例を示すシーケンスチャートである。
本実施の形態では、これら2つの外部機関サーバを、それぞれ外部機関サーバ300A、300Bとする。
認証システムサーバ10は、総合DB11の所定欄に格納された個人情報が、外部機関サーバ300A、300Bにそれぞれ登録されているか否かを確認する。
そして、認証システムサーバ10は、総合DB11の所定欄に格納された情報の中から、外部機関サーバ300A、300Bに未登録の個人情報を抽出する(ステップS301)。
次に、認証システムサーバ10は、現在の自機と外部機関サーバ300Bとの接続状況を確認し、外部機関サーバ300Bと接続されている場合、外部機関サーバ300Bに対して、接続を停止する旨の情報を送信し(ステップS302)、自機と外部機関サーバ300Bとの接続を解除する。
その後、認証システムサーバ10は、外部機関サーバ300Aへバックアップ対象の個人情報を送信する(ステップS303)。
外部機関サーバ300Aは、認証システムサーバ10より個人情報を受信すると、自身内に設けられた総合DB311Aに登録処理を行う(ステップS304)。
この際、外部機関サーバ300Aは、ここで受信した個人情報が既に総合DB311Aに格納されている情報と二重登録にならないか検証処理を実行した上で格納する。また、このとき、外部機関サーバ300Aでは、情報の種別が同一であっても、情報の発生日時が異なる場合には、別情報として位置付けて格納し、上書き保存は原則させないものとする。
個人情報の登録処理後、外部機関サーバ300Aは、情報の登録が完了したことを確認すると(ステップS305)、認証システムサーバ10から受信した個人情報のバックアップ登録が完了した旨の情報を認証システムサーバ10へ送信する(ステップS306)。
次に、認証システムサーバ10は、外部機関サーバ300Aに対して、接続を停止する旨の情報を送信し(ステップS307)、自機と外部機関サーバ300Aとの接続を解除する。
また、認証システムサーバ10は、外部機関サーバ300Bに対して接続を開始する旨の情報を送信し(ステップS308)、自機と外部機関サーバ300Bとの接続を再開する。
その後、認証システムサーバ10は、外部機関サーバ300Aとの間の処理(ステップS304〜S306)と同様に、外部機関サーバ300Bとの間でバックアップ処理(ステップS309〜S312)を行う。
また、認証システムサーバ10は、総合DB311A、311Bの格納情報を比較し、照合処理を実行することで、データの不一致が見つかった場合には、データ改ざんや認証システム障害等のトラブルが発生している可能性があると判断する(ステップS312)。
例えば、総合DB311Aにバックアップされた2つの指紋情報(東京都千代田区大手町の勤務先で読み取られた午前11時と午前11時20分の実在情報)があり、総合DB311Bにバックアップされた虹彩情報(東京都豊島区西池袋の銀行で読み取られた午前11時10分の実在情報)があった場合には、時間と場所の面から整合性が得られていないとする。
本認証システムでは、情報の連続性と不変性を認証基準としているので、データの不一致が発生したことは履歴情報に瑕疵が生じた状態となるので、該当者に注意情報を通報すると同時に、利活用機能を制限するように設定しておく。
第15の実施の形態では、認証システムサーバ10は、外部機関サーバ300A、300Bに対して、個別に個人情報のバックアップを行う。このため、それぞれの外部機関サーバ300A、300Bでは、個人情報を抽出時期や情報種類等に応じて分散して保管することができる。
第14の実施の形態では、総合DB311A、311Bには、同一の個人情報が格納されていたが、本実施の形態では、総合DB311A、311Bに格納される個人情報は必ずしも一致しない。
例えば、外部機関サーバ300Aは建物側端末110に関連したデータを集積してバックアップし、外部機関サーバ300Bは組織側端末120に関連したデータを集積してバックアップする。
また、午前中は外部機関サーバ300Aに個人情報を集積してバックアップし、午後は外部機関サーバ300Bに個人情報を集積してバックアップするようにしてもよい。
本実施の形態では、日常数多く発生する個人認証関係の情報や実在アリバイのための情報を、その情報の発生経緯に従って詳細にバックアップさせておくために、その情報を格納するのに最適な外部機関サーバに対してバックアップ処理を分散して行うものである。
例えば、読取方式の異なるバイオメトリクス情報の読取機により、登録者の指紋情報を読み取り、認証システムで保管する場合、その読取方式に応じて、データベースを個別に構築し、保管する方が効率的である。
この場合、本実施の形態のように、認証システムサーバ10は、読み取られた情報の形式に応じて移し替え処理を交互又は別々に実行し、バックアップ先のデータベースを振り分ければ良い。
<第16の実施の形態>
(登録情報のバックアップ処理6)
第14及び第15の実施形態では、個人情報の2重バックアップは行われていなかったが、本実施形態では、一部2重登録となることを容認した方式をとる。
図48は、本発明の第16の実施の形態において、認証システムサーバ10が格納する個人情報を、3つの外部機関サーバへ移し替え処理を交互又は別々に実行する時の動作例を示すシーケンスチャートである。
本実施の形態では、これら2つの外部機関サーバを、それぞれ外部機関サーバ300A、300B、300Cとする。
本実施の形態では、一例として、認証システムサーバ10は、個人情報の登録時刻(時期)に応じて、そのバックアップ先を振り分けるものとする。
例えば、外部機関サーバ300Aは付帯されている時間情報が0時00分より9時00分のものを格納する。外部機関サーバ300Bは付帯されている時間情報が8時00分より17時00分のものを格納する。外部機関サーバ300Cは付帯されている時間情報が16時00分より翌1時00分のものを格納する。
認証システムサーバ10は、総合DB11の所定欄に格納された個人情報が、外部機関サーバ300A、300B、300Cにそれぞれ登録されているか否かを確認する。
そして、認証システムサーバ10は、総合DB11の所定欄に格納された情報の中から、外部機関サーバ300A、300B、300Cに未登録の個人情報を抽出する(ステップS321)。
次に、認証システムサーバ10は、現在の自機と外部機関サーバ300B、300Cとの接続状況を確認し、外部機関サーバ300B、300Cと接続されている場合、接続中の外部機関サーバに対して、接続を停止する旨の情報を送信し(ステップS322)、自機と接続中の外部機関サーバとの接続を解除する。
その後、認証システムサーバ10は、バックアップ対象の個人情報を外部機関サーバ300Aへ送信する(ステップS323)。
所定時間経過後、認証システムサーバ10は、バックアップ対象の個人情報を抽出し(ステップS324)、外部機関サーバ300Bとの接続を再開して、その抽出した個人情報を外部機関サーバ300A、300Bの双方に送信する(ステップS325)。
外部機関サーバ300Aは、認証システムサーバ10より個人情報を受信すると、自身内に設けられた総合DB311Aに登録処理を行う(ステップS326)。
この際、外部機関サーバ300Aは、ここで受信した個人情報が既に総合DB311Aに格納されている情報と二重登録にならないか検証処理を実行した上で格納する。また、このとき、外部機関サーバ300Aでは、情報の種別が同一であっても、情報の発生日時が異なる場合には、別情報として位置付けて格納し、上書き保存は原則させないものとする。
個人情報の登録処理後、外部機関サーバ300Aは、情報の登録が完了したことを確認すると(ステップS327)、認証システムサーバ10から受信した個人情報のバックアップ登録が完了した旨の情報を認証システムサーバ10へ送信する(ステップS328)。
次に、認証システムサーバ10は、外部機関サーバ300Aに対して、接続を停止する旨の情報を送信し(ステップS329)、自機と外部機関サーバ300Aとの接続を解除する。
以下、認証システムサーバ10は、外部機関サーバ300Aとの間の処理(ステップS324〜S329)と同様の処理を、外部機関サーバ300B、300Cとの間で行う(ステップS330〜S341)。
また、認証システムサーバ10は、総合DB311A内の情報、総合DB311B内の情報及び総合DB311C内の情報に対して、必要時、一定の件数、一定の容量又は一定の日時毎に、格納情報の比較照合処理を実行する(ステップS342)。
本実施の形態では、不意の情報消去や通信回線の断続等に備え、実在比較検証するための個人情報を一部重複して保管するものである。上述の例では、外部機関サーバ300Bでの個人情報が消失した場合でも、外部機関サーバ300Aと外部機関サーバ300Cにあるデータを繋ぎ併せれば、その損失を最小限度にすることができる。
本認証システムでの、実在性の連続を担保するために、事故や消失が生じた場合にも、その時間的断絶を可能な限り短時間とするものである。
第11から第16の実施の形態では、認証システムサーバ10を中心に説明してきたが、本認証システムでは上述の実施形態に限らず、認証システム内の上位端末と下位端末同士でも、データの送受信時のみネットワークを介して接続するようにしてもよい。
<第17の実施の形態>
(端末接続順位)
前述したように、認証システムが個人情報の登録や登録者の認証等を行うとき、そのシステムを構成する各端末やサーバ間で情報の送受信が行われる。
本実施の形態では、各端末やサーバが、情報の送受信を行うために、予め設定されている優先順位に従って、他の端末やサーバと接続を行う。
本実施の形態では、認証システムは、集約側端末150Wが、下位の建物側端末110A、110C、組織側端末120Aを管理する構成をとるものとする。
図49は、本発明の第17の実施の形態において、建物側端末110Cの接続対象の端末を示す図である。
認証システムの各端末は、登録者の認証処理時等に、図のような自身が接続を行う端末の優先順位を示す情報を格納している。
図に示す例では、建物側端末110Cは、まず優先的に建物側端末110Aと接続を試みて、その接続が正常に行われなかった場合には、以下、組織側端末120A、集約側端末150D、集約側端末150B・・・の順に優先的に接続を試みていく。
また、緊急の場合には、建物側端末110Cは、集約側端末150Wとの接続を試みる。
図50は、本発明の第17の実施の形態において、その建物側端末110Cが他の端末に接続する時の動作例を示すシーケンスチャートである。
以下、図に沿って、本実施の形態における動作について説明する。
各端末は情報を発信する場合に、自機内に格納された平常時に最優先して接続される端末情報に基づきアクセスを行う。前述したように、建物側端末110Cの場合、平常時に最優先して接続される端末は建物側端末110Aである。
建物側端末110Cは、自身の総合DB111Cから所定の個人情報を抽出し(ステップS351)、その最優先に設定されている建物側端末110Aに、その抽出した個人情報を送信する(ステップS352)。
ここで、建物側端末110C・建物側端末110A間の接続が無事に行なわれ、必要な情報の交換が行なわれている場合には、建物側端末110Cは他の端末と接続がされない。
しかし、何らかの事情で、建物側端末110Cが、建物側端末110Aとの接続ができない(送信した情報が建物側端末110Aに届いていない)旨の状況を感知すると(ステップS354)、建物側端末110Cは、自機内の接続端末一覧に格納された情報に基づき、次の優先順位の組織側端末120Aに、前述の抽出した個人情報を送信する(ステップS355)。
個人情報の送信先の端末との接続が確立できない場合、前述の優先順に従って、建物側端末110Cは接続を試みていく(ステップS356〜S359)。
最終的には、建物側端末110Cは、緊急時接続端末(集約側端末150W)まで接続を行っていく。
なお、建物側端末110Cは、個人情報の送信先の端末へのアクセスが1回又は規定回失敗した場合に、次の優先順位の端末へのアクセスに切り替えることが望ましい。
このように、各端末には、最優先して接続する端末と、最優先端末に接続ができなかった場合に接続する端末、又は緊急時に接続を行う端末の情報が設定されている。
日常生活において、人間の行動範囲は、ある程度決められており、その行動範囲外に設置される大部分の端末に対する使用機会は著しく少ないのが通常である。
例えば、ある登録者が住宅地の道を歩いている場合、その道沿いの他人の建物に設置された建物側端末110や、他人の家族や会社組織を管理単位とする組織側端末120を使用する機会は、非常に少ない。
このため、ある端末が、他の端末に無制限に情報を送信することは、認証システムにおいて、データ処理の煩雑さ、回線の負荷の増大及び情報流出リスクの増大を招きかねない。
そこで、登録者の各個人情報は、各登録者の行動履歴を示す履歴情報と密接に関係させ、登録者本人と関係があると思われる端末にのみ送信を試みるようにしておくとよい。
インターネットやメッシュ無線情報システム等の従来の通信システムでは、情報は拡散され、複数の接続ポイントの中から、その時点で接続可能なポイントに、任意に接続されて受信先に向かう。これに対し、本認証システムでは、端末間を有線や、極短距離だけ電波が発信されるセンサーノードやICタグを繋ぎ併せてネットワークを構成することにより、情報を拡散させずに交換することができる。
インターネットやメッシュ無線情報システム等の従来の通信システムでは、通信回線網が一般に公開されているため、通信回線網自体に悪意ある人物が存在し、情報の不正閲覧や不正取得や不正改ざんを容易に行っている。これに対し、この認証システムでは、身近にある端末間は微弱無線通信や赤外線等の限られた範囲での通信回線技術を利活用することで、末端側端末160とサブサーバ群で稼動が終了する場合には、一般に公開された回線網を使用しないこともある。併せて、相互通信する端末が明確になっており、その端末の端末識別IDと接続端末一覧の情報とを比較照合する。この結果、2重のセキュリティから不正アクセスを防止することを可能とする。
従来の認証システムでは、無制限に情報が伝達され目的地に到着したが、本認証システムでは情報は制限下での伝達となる。
(緊急時のアクセス)
ある登録者が、日常利用している端末の設置地域において、地震や台風などの災害により、広範囲にわたって停電、通信不良及び器械故障等のアクシデントが発生したときには、このような災害によるアクシデントが発生していない地域に設置されている、すなわち、災害発生地域から大幅に地理的距離が離れた場所に設置されている端末にアクセスする。
このようにすることにより、緊急時において、登録者が使用する端末の上位端末が稼動しない場合に、その使用する端末が他の稼動する端末と接続され、個人実在認証のためのデータ比較や検証データの提供等を行うことが可能となる。
緊急時のアクセス先としては、認証システムサーバ10、外部機関サーバ300又は集約側端末150等がその役割を担い、登録者の使用端末の接続情報端末一覧で指定されている接続先の端末に格納されている個人情報の全て又は必要部分の情報をバックアップ又は原本として保管している。
緊急時のアクセス場所は、全国の行政機関が相互提携、又は日本と世界各国とが相互提携して対応できるようにしておくことが望ましい。また、情報の不必要な漏えいや改ざんを最小限度にするために、情報の経由地点の所在とその管理者を明確に判断できるようにしておき、その経由地点を、不正が起こりにくい公共性を有する場所、行政機関、金融機関、通信業者、病院等に設定しておくことが望ましい。
<第18の実施の形態>
(複数端末への送信機能)
以上説明した実施の形態では、原則として各端末は、1つの上位端末に対して個人情報を送信していた。これに対し、本実施の形態では、各端末は、2以上の相手先端末を指定して情報を送信する。
図51は、第18の実施の形態において、建物側端末110Cの接続対象の端末を示す図である。
認証システムの各端末は、登録者の認証処理時等に、図のような自身が接続を行う端末の優先順位を示す情報を格納している。また、この優先順位が付された接続先の端末(以下、メインルート端末)には、その接続先に送信すると同時に送信する他の接続先の端末(以下、反射端末)がそれぞれ端末ごとに設定されている。
図52は、本発明の第18の実施の形態において、建物側端末110Cが他の端末に通信を接続する時の動作例を示すシーケンスチャートである。本認証システムでは、各端末は情報を自動的に複数箇所に送信する機能を有している。
図に示すように、まず、末端側端末160は、バイオメトリクス情報を読み取った後(ステップS401)、その読み取ったバイオメトリクス情報と移動情報を建物側端末110A、110Bに送信する(ステップS402)。
この場合、建物側端末110Aは、接続情報端末一覧で指定された最優先接続端末(メインルート端末)であり、建物側端末110Bは副次的に送信された端末(反射端末)である。
建物側端末110Bは、末端側端末160からの受信情報を、自身に備えられた一時保管DBに格納し(ステップS403)、その後の指示に対して待機する。
末端側端末160は、何らかの事情で建物側端末110Aとの接続ができない旨の状況を感知すると(ステップS405)、接続情報端末一覧にある次の優先順位の端末との接続を行う。
一方、末端側端末160と建物側端末110Aとの接続が成功した場合(ステップS404/可)、建物側端末110Aは、末端側端末160から個人情報を受信した旨を表示するための情報を、末端側端末160に送信する(ステップS406)。
末端側端末160は、建物側端末110Aよりその受信した旨の情報を受信すると、建物側端末110Bの一時保管DBに格納した個人情報の消去を要求する旨の情報を、建物側端末110Bに送信する(ステップS407)。
建物側端末110Bは、末端側端末160から、その消去要求情報を受信すると、自身の一時保管DBに格納しておいた情報を削除する(ステップS408)。
本実施の形態における認証システムは、天災等により、個人情報の発信元の端末と受信先の端末の双方が同時に故障した場合でも、個人情報がバックアップされるように、本認証システム内の個人情報を預かる場所(反射端末)を確保するものである。
この反射端末は、緊急時のアクセス場所とは異なるため、当該個人の個人情報を全て保管してある訳でなく、あくまでも一時的に情報を保留しているだけである。また、情報読取場所の末端側端末等の機能に合わせ、読取機器の同一製品や同一メーカーの異場所設置端末を反射端末としておくことが情報の互換性から望ましい。
また、本実施の形態では、建物側端末110B(反射端末)は、消去要求情報を受信すると、自身の一時保管DBに格納しておいた情報を削除するものであるが、その他、一定時間経過後に自動的に消去するようにしてもよい。
<第19の実施の形態>
(認証システムサーバ間のネットワーク)
図53は、本発明の第19の実施の形態における認証システムにおいて、認証システムサーバ10同士のネットワークが構築されていることを示すイメージ図である。
認証システムサーバ10は、例えば、都道府県単位や区市町村単位といった行政単位ごとに設置されていてもよい。
このように、各地を一定の範囲で区切り、その一定範囲ごとに認証システムサーバ10を設置し、認証システムサーバ10が保有する個人フォルダの容量を分散しておくことにより、国単位など広範囲を1つの認証システムサーバ10で対応するよりも、認証システムの負荷を数箇所に分散することが可能となる。
<第20の実施の形態>
(認証システムサーバ10と外部機関サーバ300の格納情報比較照合)
前述したように、認証システムサーバ10は、自機の登録情報を外部機関サーバ300に登録し、バックアップを行う。本実施の形態では、この認証システムサーバ10における登録情報と、外部機関サーバ300における登録情報との比較照合を行い、登録情報が改ざんされていないか調べる。
図54は、本発明の第20の実施の形態において、認証システムサーバ10と外部機関サーバ300が任意時間に格納情報の比較照合処理を実行する時の動作例を示すシーケンスチャートである。
認証システムサーバ10の総合DB11と、外部機関サーバ300の総合DB311は、必要時、一定の件数、一定の容量又は一定の日時毎に、格納情報の比較照合処理を実行する。
この際、認証システムサーバ10及び外部機関サーバ300の双方が、この照合処理を開始することが可能である。本実施の形態では、外部機関サーバ300が、この照合処理を開始するものとする。
まず、外部機関サーバ300は、照合を実行する部分の個人情報を抽出する(ステップS411)。抽出の際には、格納している情報の全てを比較する必要はなく、過去の照合状況を踏まえ、直近の実在性検証情報や履歴情報といった範囲限定を行ってよい。
外部機関サーバ300は、抽出した情報と、認証システムサーバ10内に格納された情報との比較照合の実行要求をする旨の情報とを、認証システムサーバ10に送信する(ステップS412)
認証システムサーバ10は、それら抽出した情報及び照合要求情報を受信すると、その抽出情報に含まれる登録者の個人識別IDに基づいて、自機内の基本情報DB14から該当する登録者の個人情報を抽出し、その基本情報DB14内の情報と、受信情報との内容が一致するか比較を行う(ステップS413)。
ここで、比較した両者が不一致の部分が見つかった場合には、認証システムサーバ10は、登録者個人宛に電子メール等で緊急注意連絡を行うと共に、当該登録者個人の本認証システム利用を直ちに制限する。
一方、比較した両者が一致していた場合には、その後、履歴情報DB12、検証情報DB13等に格納された情報と、情報の内容が一致するか比較を行う(ステップS414、S415)。
不一致な情報が見つかった場合には、上述同様な連絡、利用制限を行う。
認証システムサーバ10は、各DB12〜14において、情報が双方合致したことを確認して場合には(ステップS416)、外部機関サーバ300に対して、「実行完了・問題なし」の情報を送信する(ステップS417)。
認証システムサーバ10は、外部機関サーバ300に回答情報を発信後、比較処理を実行した日時、処理者及び判定者を示す情報を入力し、これら入力情報を比較照合した情報に対応付けて格納する(ステップS418)。
その後、認証システムサーバ10は、外部機関サーバ300より受信した個人情報を消去する(ステップS419)。
一方、外部機関サーバ300は、回答情報を受信後、抽出した情報に比較処理を実行した日時と処理者と判定者を対応付けて格納する(ステップS420)。
その後、外部機関サーバ300は、抽出処理を終了させる(ステップS421)。
以上説明したように、本実施の形態では、認証システムサーバ10と外部機関サーバ300とに格納される登録者の個人情報等を比較して、改ざん、捏造、消去等がないことを検証するので、ハッカーや悪意あるプログラマーによって情報が操作されるリスクを防止することが可能となる。
この検証処理は、認証システムサーバ10と集約側端末150との間や、サブサーバ群と末端側端末160との間等でも同様に実行されるものとする。
<第21の実施の形態>
(登録者の移動開始・停止の認識)
人間の行動を分析してみると、人間は何らかの「モノ」に囲まれている状況と、「モノ」から開放されている状況との2つの空間状況の中で生活している。
「モノ」に囲まれている状況とは、人間が、自宅や勤務先や店舗や病院といった建物又は構築物等の建造物に囲まれている状況と、電車や航空機や車や船舶といった移動手段の中に存在していることをいう。
「モノ」から開放されている状況とは、人間が、道路を歩いている状況や、野外で運動をして過ごしている状況のように、建造物や移動手段の「モノ」の外に存在していることをいう。
人間が実在することとは、その人間が特定時間に特定の場所に物理的に存在していることである。このため、個人実在情報とは、その個人に固有な情報であって、かつ、個人の存在と密接な状況になければならないものである。
そこで、本実施の形態では、その個人実在情報から派生される個人の生活に利活用される情報(例えば当該個人所有の電子マネー情報の利用、当該個人に許可されたドアの開閉情報等)は、その個人が、ある空間において現に実在していることに密接に結びついている。
ここで、本実施形態では、一例として、前述の図6に示すように、建物側端末110に末端側端末160A、160B、160Cが接続されたユニットが、認証システムに含まれるものとする。
このような構成において、建物側端末110又は末端側端末160A、160B、160Cが、登録者個人が、建築物等(建物、構築物等の建造物、部屋、航空機、車両、車輌、自動車、トランク、箱、テント、カプセル、ロッカー等)の「モノ」に囲まれている状況に「ある」と認識した場合、建物側端末110は、この「モノ」に囲まれている登録者の個人情報の利活用を、このユニット内の端末に限定するか、または個人情報の利活用可能ユニットの移動を停止させる情報を発生させる機能を有する。
また、建物側端末110は、その登録者が「モノ」に囲まれた状態であることを認識すると、そのユニット外の端末等に対してその個人情報の利活用を強制停止させるような制御信号や、その登録者の個人情報がユニット外で利活用されることが異常であることを示す情報等を通信回線網を通じて送信する。
さらに、建物側端末110は、このユニット外でその個人情報が利活用されていることを認識すると、認証システム内の端末やサーバに対して、通信回線網を通じて警告情報を発信する。
一方、建物側端末110又は末端側端末160A、160B、160Cが、登録者個人が建築物等の「モノ」から開放されている状況に「ある」と認識した場合、建物側端末110は、この「モノ」から解放されている登録者の個人情報の利活用をこのユニット外の端末に限定するか、または個人情報の利活用可能ユニットの移動を可能とする情報を発生させる機能を有する。
また、建物側端末110は、その登録者が「モノ」から解放されている状態であると認識すると、当該ユニット外での情報の利活用を許可する旨の情報、またはユニット外でその登録者の個人情報が利活用がされることを正常値とする情報等を通信回線網を通じて他の端末やサーバに発信する。
図6の例では、ドアの外側のノブには末端側端末160Aが設けられている。一般的には、建築物等に入るとき、外側のドアノブをしっかりと掴むことから、この末端側端末160Aがバイオメトリクス情報を読み取るときは、人が建築物に入るときを示す。
一方、ドアの内側のノブには末端側端末160Bが設けられている。一般的には、建築物等から出るとき、内側のドアノブをしっかりと掴むことから、この末端側端末160Bがバイオメトリクス情報を読み取るときは、人が建築物から出るときを示す。
例えば、登録者個人が帰宅のため「19時10分に会社玄関を出た」情報を認識すると、勤務先建物内で、当該登録者が19時11分にパソコンを操作していることはありえないことである。この場合、認証システムは、19時10分以降には、勤務先建物内で「登録者個人を自称」又は「なりすまし」した人物に対して何も操作できないようにする。
この結果、個人の実在と個人情報とをリンクさせ、身近な安全性を確保することが容易に達成できるようになる。
人間は、行動の自由と行動の秘匿とを両立させることが可能なものであり、人物の存在を「ベール」に包まれた状況とすることが可能である。しかし、個人情報が今日のように価値を高めることになると、この「人物の存在のベール」を悪用したなりすまし事件や架空話を生じる要因ともなってきている。
また、一部地域を除けば、日常、人間は、「モノ」に囲まれている状況と「モノ」に囲まれている状況とを行き来して生活しているものである。例えば、人間の共通的生活として「モノ」に囲まれている状況の下で睡眠を行う。その後、生活の用を果たすために、「モノ」に囲まれている状況の下にある他人を訪ね、何らかの行為を実行する。
IT技術を駆使すれば、人間が一定の「モノ」に囲まれている状況か否かを把握することは容易である。例えば、人間を取り巻く「モノ」に対し各種読取機やセンサーを付帯させることで、当該個人の認識の有無に制約されずに、人物の存在を認識可能である。
人物を登録者個人が一定の「モノ」に囲まれている状況が判明すれば、その囲まれた空間内だけで個人情報が利活用されることが望ましく、当該空間外での個人情報の利活用は当該個人に付帯していない情報として取扱いを原則注意すればよい。
このように、人間は「モノ」に囲まれている状況の下で何かの行動を行っていることが多い。つまり、囲まれた空間を1つのユニットと考えれば、人はユニットとユニットとを結合させた時間と空間の連続の中で生きていると言えるのである。
そのために、人間が、ある一定のユニット内にいるとき、その人間に関わる個人情報の利活用の限度は、当該ユニットを構成する物理的枠組みの範囲内(電車内、建物内など)に限定される。
「モノ」に囲まれている状況を管理するのは、建物側端末110を上位端末とし、各種読取機やセンサーを末端側端末160とする構成により認証システムは成立する。
図55は、建物を中心に示したイメージ図である。図は仮想の住宅地図を表しているが、イメージ図の様に、どの建物にも必ず建物側端末110は存在しており、それぞれの建物毎に独立して構成可能である。
図56は、図55を本認証システムの端末構成のイメージに変換して示した図である。駅や病院やスーパーマーケットは大型の施設として、そのもの自体に集約側端末150を設置している。一方、個人宅は町内会毎に集約側端末150を設置している。
ここで、図56を用い、病院にて登録者がいる空間を特定するときの例について説明する。図の例では、病院には、建物側端末110Yと、それに直接接続される複数の末端側端末160とが設置されている。また、この病院には、病院職員の勤務履歴や患者の電子カルテを管理するための組織側端末120Gと、それに直接接続される末端側端末160も設置されている。さらに、この病院には、その建物側端末110Yと組織側端末120Gの2つのサブサーバにより構成されるユニットを統合管理するための集約側端末150Cが設置されている。
患者は、建物側端末110Yユニット内の端末に、自分自身の個人情報を読み取らせるとともに、必要に応じて、自分の氏名、年齢、通院歴等の情報を入力することで、その病院に来院したことが認識される。
この建物側端末110Yは、これらの個人情報を収集すると、この上位端末である集約側端末150Cに、その収集した個人情報を送信する。
集約側端末150Cは、この建物側端末110Yから受信した個人情報と、集約側端末150C自機内の総合DB151に格納されているカルテ閲覧、保険証番号等の診察、投薬のために必要な情報とを組織側端末120Gに送信する。
組織側端末120Gは、これらの診察に必要な個人情報を受信すると、自身のユニットが設置されている病院において患者に対する診察準備やカルテ準備を実行できるようになる。
<第22の実施の形態>
(メイン端末の設定)
現代社会においては、人間は、自宅のマンションや勤務先のビルといった建物が、その生活空間に含まれるのが一般的である。また、人間は、ある一定範囲の生活空間内において、通勤・通学や買い物等の日常行動を行うものである。
そこで、その登録者個人の生活空間内の建物を中心としたユニットを、当該登録者のメインユニットとして、情報の利活用許可情報が発生する基点とする。また、その登録者の個人情報の利活用許可情報は、その登録者の移動に伴って、そのメインユニットから別のユニットに対し移動経路に沿って順次伝播されていくように情報網を構築すれば、その登録者は常に自分自身の個人情報を用いて、様々なサービスを享受することができる。
このように、本実施の形態では、登録者の移動のタイミングに合わせて、その登録者の個人情報の利活用許可(または停止)情報もその移動位置の周囲の端末を経由して移動していく。
図57は、この概念を示すイメージ図である。従来は、携帯電話、ユビキタス・コミュニケーター、ICチップ又は磁気カード等の「モノ(記録媒体)」に情報を格納していた。そして、その「モノ」を媒体として情報を利活用させていた。このことは、認証の対象となる人物と情報との関係を隔絶させることになってしまっていた。
これに対し、本発明では、認証を行うための固有の情報を、その認証対象の人物のバイオメトリクス情報とし、その認証の結果、情報の利活用を許可し、且つ情報を利活用できる場所を当該バイオメトリクス情報の読み取り/入力した端末により構成される一定の空間内に限定することによって、人間=情報という一体型になり、情報利活用時のセキュリティを向上させることができる。
本実施の形態において、登録者は、前述の自分自身の移動に合わせて、自身の個人情報の利活用許可場所の移動を行わせるとき、まず、その個人情報の登録時に、末端側端末160等を用いて、当該登録者個人に関係が深い建物側端末110の端末識別IDを入力する。なお、この端末識別IDは、登録者個人が基点とする建物側端末110のものを複数登録してもよい。
本認証システムでは、登録者個人の居住する建物に設置された建物側端末110Aを指して「メイン端末」とし、その建物側端末110Aとその端末に管理される1以上の下位端末とからなる構成単位を「メインユニット」とし、その建物側端末110Aを下位端末として傘下に置く集約側端末150Aを、「メインサーバ」とする。
これに対し、副次的に学校や会社といった建物に設置された建物側端末110Bを指して「サブ端末」とし、その建物側端末110Bとその端末に管理される1以上の下位端末とからなる構成単位を「サブユニット」とし、その建物側端末110Bを下位端末として傘下に置く集約側端末150Bを、「サブサーバ」とする。
但し、建物側端末110Aや集約側端末150Aがない場合には、建物側端末110Bや集約側端末150Bを「メインユニット」とする。
<第23の実施の形態>
(情報の移動1)
本実施の形態では、登録者個人が自宅から勤務先に移動するときに、その登録者により利活用されるユニットが変わっていく。以下、この登録者により利活用されるユニットの移行について、登録者が自宅を出発する時点までを説明する。
図58は、本実施の形態において、登録者の日常の行動範囲における認証システムの構成例を示す図である。
この図において、線で結ばれている端末・サーバ間は、直接ネットワークにより接続されており、このうち、登録者が自宅から出た時点のその登録者の個人認識情報の移動経路が、実線で示されている。
また、図59は、本発明の第23の実施の形態において、建物側端末110Aから他の端末に情報利活用許可情報を移動させていく時の動作例を示すシーケンスチャートである。
まず、登録者個人は、自宅ドアのドアノブの内、室内側に設置されたドアノブを掴み、外出のためにドアノブを開ける。この際、ドアノブに付帯された末端側端末160Bは、登録者のバイオメトリクス情報(例えば指紋情報)を読み取り(ステップS431)、その読み取ったバイオメトリクス情報と移動情報を建物側端末110Aに送信する(ステップS432)。
建物側端末110Aは、自機内に予め格納されている登録者の個人情報と、その末端側端末160Bからの受信情報とを比較照合し(ステップS433)、登録者実在確認を実行すると同時に(ステップS434)、今回受信した情報の内から必要な情報を新たに自機内に格納する(ステップS435)。
また、認証システムの各端末やサーバには、各端末の使用目的を示す情報が格納されている。前述したように、末端側端末160Bの使用目的は、「建築物から外出」することである。
このことから、建物側端末110Aは、末端側端末160Bからバイオメトリクス情報と移動情報を受信すると、その登録者が外出したことを認識し、移動情報に、個人認証や個人情報利活用許可や認証システムによるサービスの提供等を求めるユニットが現在のユニットから移動することを示す情報を、加えた情報(以下、移動開始情報という)を作成する(ステップS436)。
建物側端末110Aは、この移動開始情報を自機内の一時保管DB117Aに保管する。
この移動開始情報又は移動停止情報(移動情報に、個人認証や個人情報利活用許可や認証システムによるサービスの提供等を求めるユニットが移動しなくなったことを示す情報又は存在情報を示す情報、を加えた情報)等は、本認証システムのどの端末でも統一して認識させるために、例えば、移動開始は「001」、停止は「999」といった単純な数値で示されるようにしてもよい。
(情報移動情報と連動した認証システム利用停止情報)
建物側端末110Aは、その登録者が外出したことから、建物側端末110Aとその管理下の末端側端末160A、160Bとにより構成されるユニット内に、登録者個人が存在しなくなったことを認識する(ステップS437)。
そして、建物側端末110Aは、そのユニット内において、その登録者の識別IDによる認証システムの利活用の停止命令を示す情報を作成し、管理下の末端側端末160A、160Bに送信する(ステップS438)。
このことにより、悪意のある第三者が、その登録者個人をなりすまして認証システムを利活用することを防止することができる。
例えば、その停止命令を送出後、このユニット内でその登録者の個人情報の利活用が要求された場合、建物側端末110Aは、その利活用の要求を異常と判定し、警告を発する又は異常値と認識し、その利活用を強制停止させる情報を、その利活用を要求した端末に対して送信する。
また、末端側端末160Bの第2の使用目的として、「鍵の施錠/解錠」が設定されている。末端側端末160Bは、登録者のバイオメトリクス情報を読み取るとともに、建物側端末110Aより、ドア鍵を施錠する指示情報を受信すると、鍵の施錠を実行する。
建物側端末110Aは、登録者が自宅から外出したことを認識するとともに、その自宅の施錠が行われたことを認識する。
このように、建物側端末110Aは、自宅鍵の施錠といった防犯面の管理を行うこともできる。
その後、建物側端末110Aは、自機を管理する上位端末である集約側端末150Dに対して、前述の移動開始情報を送信する(ステップS439)。
集約側端末150Dは、その移動開始情報を建物側端末110Aから受信すると、この受信情報を自機内の一時保管DB157Dに格納し(ステップS440)、その登録者の個人情報の利活用されるユニットの移動が開始した旨を認識する(ステップS441)。
その後、集約側端末150Dは、前述の受信情報に、自機が移動開始情報と認識した旨を示す情報を対応付けて、自機を管理する認証システムサーバ10Aに送信する(ステップS442)。
認証システムサーバ10Aは、それら情報を集約側端末150Dから受信すると、これら受信情報を自機内の一時保管DB17Aに格納し(ステップS443)、その登録者の個人情報の利活用されるユニットの移動が開始した旨を認識する(ステップS444)。
<第24の実施の形態>
(情報の移動2)
ここでは、登録者が自宅から勤務先に移動するときの、その登録者により利活用されるユニットの移行について、登録者が駅に到着した時点の認証動作を説明する。
図60(a)は、本実施の形態において、登録者の日常の行動範囲における認証システムの構成例を示す図である。
この図において、登録者が自宅を出て駅に到着するまでの個人情報の利活用されるユニットの移動経路が、実線で示されている。
また、図60(b)は、その駅構内における建物側端末110Wとその管理下の末端側端末160C、160D、160Cc、160Ddの設置例を示す図である。
この図では、駅の北口改札に末端側端末160Cc、160Ddが設置され、南口改札に末端側端末160C、160Dが設置されていることが示されている。
図61及び図62は、本発明の第24の実施の形態において、建物側端末110Aから建物側端末110Wに利活用許可情報を移動させていく時の動作例を示すシーケンスチャートである。
以下、このシーケンスチャートに沿って、説明を進めていく。
登録者個人は、最寄駅に到着すると、駅の改札機に設置された末端側端末160Dにタッチして指紋等のバイオメトリクス情報を読み取らせ(ステップS451)、末端側端末160Dは、その読み取ったバイオメトリクス情報と移動情報を建物側端末110Wに送信する(ステップS452)。
建物側端末110Wは、自機内に格納された情報と、その末端側端末160Dからの受信情報とを比較照合し(ステップS453)、登録者実在確認を実行すると同時に(ステップS454)、その今回受信した情報の内から必要な情報を新たに自機内に格納する(ステップS455)。
また、建物側端末110Wは、その登録者が自ユニット内に存在している旨の移動停止情報が自機内に格納されていないことを確認するとともに、移動予告情報(移動情報に、その登録者が自ユニットに、個人認証や個人情報利活用許可を求めるユニットが移動する可能性があることを通知する情報、を加えた情報)が自機内に格納されていないことを確認する(ステップS456)。
移動開始情報は登録者が実際に移動したときの履歴を示す情報であったのに対し、この移動予告情報は登録者の今後の移動予定を示す情報である。この移動予告情報は、具体的には、以下の1〜5のいずれかの情報を含むものとする。
1.認証対象人物(登録者)が今後使用する予定の端末に付された空間情報(端末識別ID,認識番号)
2.認証対象人物(登録者)がその端末を使用する予定時期を示す時間情報
3.移動予告情報の発信元の端末識別ID
4.行動の起点となる予定のユニット、又は登録者個人のメインユニットを管理する端末の端末識別ID,認識番号
5.自機(自ユニット)の次に関係する端末(ユニット)を示す情報
なお、ここで、登録者の移動予告情報、移動開始情報、移動停止情報(以下、移動関連情報とする)が格納されている場合については後述する。
併せて、建物側端末110Wは、自機内に格納されている各端末の使用目的を参照して、末端側端末160Dによるバイオメトリクス情報の読み取りにより、「登録者が移動手段に乗車を希望している」ことを認識し(ステップS457)、登録者が自ユニットの設置範囲内への移動を完了したことを示す移動停止情報を作成する(ステップS458)。
そして、建物側端末110Wは、その作成した移動停止情報を自機内の一時保管DB117Wに保管する。
また、建物側端末110Wは、その移動停止情報により、その登録者が自ユニット外に存在しなくなったと認識して、自ユニット外にて、その登録者の識別IDによる認証システムの利活用の停止命令を示す情報を作成し、集約側端末150Aに送信する準備を行う。
また、建物側端末110Wは、自ユニット内の設置範囲に、登録者が存在するようになったことを認識して、移動情報にその登録者個人が本認証システムを利活用する可能性がある旨を示す情報(以下、利用予告情報とする)を作成し、登録者の個人識別ID等と併せてユニット内の各末端側端末に送信する(ステップS459)。
このように、登録者が実際に末端側端末を利活用して認証処理等を行う前に、前もってその末端側端末に利活用する可能性がある旨を通知しておくことにより、その利用予告情報を受信したユニット内の各端末は、自機内の検索DBや一時保管DB等を参照し、その登録者の検索を行って、以降の認証処理等に対して準備しておくことができるようになる。その後、当該端末で登録者の個人情報の読み取りが行われた場合には、即時に比較照合することができ、効率的な認証システム運用を実行することが可能となる。
次に、建物側端末110Wは、上位端末である集約側端末150Aに対して、前述の自ユニット内に移動してきたことを示す移動停止情報と、自ユニット外での利活用停止を命令する情報とを送信する(ステップS461)。
例えば、その停止命令を送出後、このユニット外でその登録者の個人情報の利活が要求された場合、建物側端末110Wは、その利活用の要求を異常と判定し、警告を発する又は異常値と認識し、その利活用を強制停止させる情報を、その利活用を要求した端末に対して送信する。
集約側端末150Aは、建物側端末110Wより登録者個人の移動停止情報等を受信すると、当該受信情報を自機内の一時保管DB157Aに格納する(ステップS462)。
また、集約側端末150Aは、その受信情報から、個人認証や個人情報の利活用許可情報を求めるユニットが建物側端末110Wのユニットへ移動が完了した旨を認識する(ステップS463)。
また、集約側端末150Aは、以下に示す1〜4の端末やサーバ等から、登録者の移動関連情報を受信していないかを検索する(ステップS464)。
1.集約側端末150Aが管理するユニット内の他の下位端末
2.集約側端末150Aを管理する認証システムサーバ10A
3.集約側端末150Aとは別の集約側端末のユニット
4.集約側端末150Aを管理する認証システムサーバ10Aとは別の認証システムサーバ
集約側端末150Aは、検索の結果、上記の1〜4の端末やサーバから登録者の移動予告情報等を受信していないことを確認し、自機を管理する認証システムサーバ10Aに対して、前述の自ユニット内に移動してきたことを示す移動停止情報と、自ユニット外での利活用停止を命令する情報とを送信する(ステップS465)。
なお、検索の結果、登録者の移動関連情報が存在する場合については後述するものとする。
認証システムサーバ10Aは、集約側端末150Aより登録者個人の移動停止情報等を受信すると、当該受信情報を自機内の一時保管DB17Aに格納する(ステップS466)。
また、認証システムサーバ10Aは、その受信情報から、個人認証や個人情報の利活用許可情報を求めるユニットが、建物側端末110Wのユニットへの移動が完了した旨を認識する(ステップS467)。
また、認証システムサーバ10Aは、集約側端末150A及びその集約側端末150Aが管理するユニット内の他の下位端末以外から、登録者の移動予告情報等を受信していないかを検索する(ステップS468)。
検索の結果、認証システムサーバ10は、集約側端末150Aのユニット内の端末以外から移動停止情報等を受信していない場合には(ステップS469/No)、自機内に格納されているその登録者の個人情報の内容と、その集約側端末150Aより受信した個人情報の内容とが、場所及び時間の観点から整合するか否かを検証する(ステップS470、S471)。この検証処理は、第5の実施形態における処理と同様であるものとする。
なお、検索の結果、登録者の移動関連情報が存在する場合については後述するものとする。
認証システムサーバ10Aは、相互の情報内容整合の結果、その登録者の実在性が証明でき、かつその個人情報の入力履歴が場所的・時間的に整合がとれていると判断した場合には(ステップS472/Yes)、集約側端末150Aに対して、「実在連続性の検証が完了した」旨を示す情報を送信する(ステップS473)。
この送信情報は、集約側端末150Aが管理するユニット内において、登録者個人が、利活用を求めているサービスや認証システム動作を許可する情報でもある。
集約側端末150Aは、認証システムサーバ10Aよりその許可情報を受信すると、当該受信情報を自機内の一時保管DB157Aにある登録者移動停止情報に付随させて格納する(ステップS474)。
次に、集約側端末150Aは、この許可情報を建物側端末110Wに対して送信する(ステップS475)。
建物側端末110Wは、集約側端末150Aよりその許可情報を受信すると、当該情報を自機内の一時保管DB117Wにある、その登録者の移動停止情報に付随させて格納する(ステップS476)。
次に、建物側端末110Wは、この許可情報を基に、登録者個人が求めた本認証システムの利活用サービス、本実施形態では、電車に乗るために駅構内に入ることを許可する情報を、末端側端末160Dに対して送信する(ステップS477)。
末端側端末160Dは、建物側端末110Wよりその許可情報を受信すると、接続される改札扉を開けて、登録者個人の駅構内への入場を許可する(ステップS478)。
また、これは電車に乗ることを許可する行為でもある点は、端末設置目的にて定義しておけばよい。
一方、認証システムサーバ10Aに対して、集約側端末150A以外に移動関連情報を送信してきた集約側端末(これを集約側端末150Dとする)があった場合、認証システムサーバ10は、集約側端末150Dに対して、他ユニット移動完了情報(移動情報に、他ユニットに利活用ユニットが移動完了した旨を示す情報、を加えた情報)を送信する(ステップS479)。
この他ユニット移動完了情報は、集約側端末150Dが管理するユニット内に存在する、登録者の移動関連情報を消去させる情報でもある。
認証システムサーバ10、集約側端末150又はサブサーバ群は、自機内で移動開始情報を一時保管している場合、同一登録者に対する移動停止情報を受信すると、これらの移動開始情報と移動停止情報との間の情報の連続性の整合検証を実施する。この結果、整合していると判断されると、移動開始情報が他ユニット移動完了情報に変換され、移動開始情報の送信元に返信されるようにすることもできる。
集約側端末150Dは、認証システムサーバ10Aより他ユニット移動完了情報を受信すると、当該情報に含まれる個人識別IDを基に、自機内の一時保管DB157Dにある情報を検索し、以前に認証システムサーバ10に対して送信した移動開始情報の発信元の端末を示す情報を抽出する。
集約側端末150Dは、抽出後、移動開始情報の発信元になった建物側端末110Aを特定する。そして、今回受信した他ユニット移動完了情報をその発信元の建物側端末110Aに対して送信する(ステップS480)。
次に、集約側端末150Dは、自機内の一時保管DB157Dにある、当該登録者の移動開始情報を消去する(ステップS481)。
建物側端末110Aは、集約側端末150Dより他ユニット移動完了情報を受信すると、当該情報に含まれる個人識別IDを基に、自機内の一時保管DB117Dを検索し、当該登録者の移動開始情報を抽出し、消去する(ステップS482)。
一方、認証システムサーバ10Aは、相互の情報内容整合の結果、その登録者の実在性が証明できなかった場合、または、その個人情報の入力履歴が場所的・時間的に整合がとれていないと判断した場合には(ステップS472/No)、集約側端末150Aに対して、「実在性なし」を示す情報又は実在再検証を促す旨の情報を送信する(ステップS483)。
この送信情報は、集約側端末150Aが管理するユニット内で、登録者個人が、利活用を求めているサービスや認証システム動作を許可しない(禁止する)情報でもある。
集約側端末150Aは、認証システムサーバ10Aよりその不許可情報を受信すると、当該受信情報を自機内の一時保管DB157Aにある登録者の移動停止情報に付随させて格納する(ステップS484)。
なお、この集約側端末150Aのユニット内の各端末において、この不許可情報が移動停止情報に付随して格納されると、そのユニット内では登録者の認証システム利活用を制限する又は停止する制御情報がそれぞれ作成される。
次に、集約側端末150Aは、この不許可情報と、作成した利活用制限/停止情報とを建物側端末110Wに対して送信する(ステップS485)。
建物側端末110Wは、集約側端末150Aより不許可情報等を受信すると、当該情報を自機内の一時保管DB117Wにある登録者の移動停止情報に付随させて格納する(ステップS486)。
同様に、建物側端末110Wでも、その利活用制限/停止情報を作成する。
次に、建物側端末110Wは、この不許可情報と、利活用制限/停止情報とを末端側端末160Dに対して送信する(ステップS487)。
末端側端末160Dは、建物側端末110Wからそれらの情報を受信すると、該当する登録者個人に対して、再度個人情報を読取実行を依頼する旨のメッセージや、入場(乗車)を拒否する旨のメッセージ情報を表示等する(ステップS488)。
<第25の実施の形態>
(情報の移動3)
ここでは、登録者が、自宅の最寄駅から通勤先の最寄駅に到着する時点までの、その登録者により利活用されるユニットの移行について説明する。
図63は、本実施の形態において、登録者の自宅及び通勤先の周囲の認証システムの設置例を示す図である。
図の例では、自宅には建物側端末110A、自宅から最寄駅の途中に集約側端末150D、自宅の最寄駅には建物側端末110W、集約側端末150A、勤務先の最寄駅には建物側端末110WT、集約側端末150AT、勤務先には、建物側端末110HK、110CK、集約側端末150HK、110CK、組織側端末120HK、120CKが設置されている。
また、両駅に関連する交通機関が管理する組織側端末120Eが設けられている。
また、図64は、その認証システムを構成する各端末やサーバ間のネットワーク構成例を示す図である。
この図において、登録者が自宅の最寄駅から通勤先の最寄駅に到着するまでの間に移動する移動情報の移動経路が実線で示されている。
図65は、本発明の第25の実施の形態において、登録者により利活用される端末が、建物側端末110Aから建物側端末110Wに移行していく時の動作例を示すシーケンスチャートである。
以下、このシーケンスチャートに沿って、説明を進めていく。
前述のように、登録者個人は、自宅の最寄駅に到着すると、駅の改札機に設置された末端側端末160Dにタッチしてバイオメトリクス情報を読み取らせて、末端側端末160Dは、その読み取ったバイオメトリクス情報と移動情報を建物側端末110Wに送信し、その後、登録者は、駅構内への入場(乗車)が許可される(ステップS501)。
また、前述したように、建物側端末110Wは、集約側端末150Aに対して、前述の自ユニット内に移動してきたことを示す移動停止情報と、自ユニット外での利活用停止を命令する情報とを送信する(ステップS502)。
さらに、集約側端末150Aは、それら受信情報を認証システムサーバ10に送信する(ステップS503)。
また、建物側端末110Wは、その集約側端末150Aへ送信したものと同様の情報を組織側端末120Eにも送信する(ステップS504)。
この際、移動停止情報を作成した端末及びサブサーバが、移動手段に設置されたこと、又は移動手段を利用する目的のために設置されたことが明確な場合、移動停止情報は移動予告情報を自動作成して送信することになっている。
この組織側端末120Eは、鉄道会社で使用されているものであって、この会社の鉄道を利用する乗客の個人情報などがデータベース化されているものとする。
組織側端末120Eは、それら移動関連情報を受信すると、この情報に含まれる個人識別ID等を利用して、自機内にあるデータベースを検索し、登録者個人の定期券情報を抽出する(ステップS505)。
図66は、その登録者個人の定期券情報の一例を表すイメージ図である。
図の例では、自宅最寄駅をスタート端末とし、勤務先最寄駅をエンド端末としている。また、この定期券情報には、定期券有効期間や改札口で個人を特定するために使用するバイオメトリクス情報等が含まれている。
また、図67は、自宅及び勤務先の最寄駅に設置される末端側端末と、その設置位置(改札機)と、その上位端末とを管理する改札機データベースの一例を示す図である。組織側端末120Eは、この図に示されるようなデータベースを自機内で管理している。
まず、組織側端末120Eは、その受信した建物側端末110Wの端末識別IDをキーにして、前述の改札機DBを検索し、現在、登録者個人が存在する場所(駅)を特定する。
次に、組織側端末120Eは、定期券情報を参照し、その特定した場所(建物側端末110Wの設置駅)が、スタート端末側であるか、又はエンド端末側であるかを確認する。
この認識した場所情報が、スタート端末側であることを確認した場合には、抽出した定期券情報を基にエンド端末側を特定する。一方、エンド端末側であることを確認した場合には、抽出した定期券情報を基にスタート端末側を特定する。
なお、認識した場所情報が、スタート端末側又はエンド端末側でない場合については、組織側端末120E内で一時保管し、その後の移動関連情報の推移により処理を行う。
ここでは、組織側端末120Eは、建物側端末110Wをスタート端末側と認識し、建物側端末110WTをエンド端末側として特定する(ステップS506、S507)。
次に、組織側端末120Eは、前述の建物側端末110Wからの受信情報を、エンド端末側の建物側端末110WTに送信する(ステップS508)。
建物側端末110WTは、組織側端末120Eより移動予告情報等を受信すると、当該情報の所有者である登録者個人が、一定時間内に、自機が管理するユニット内で端末操作や実在認証等を行う可能性が高いことを認識する。
次に、建物側端末110WTは、自機内に格納された登録者の個人情報をあらかじめ検索し、その後ユニット内で動作が実行されたときに容易に格納情報を利活用できる、又は登録者個人を特定できる状態に準備しておく(ステップS509)。
また、建物側端末110WTは、受信した移動予告情報を、自機内の一時保管DB117WTに保管する。
登録者個人は、降車駅に到着すると、駅の改札機に設置された末端側端末160DTにタッチしてバイオメトリクス情報を読み取らせて(ステップS510)、末端側端末160DTは、その読み取ったバイオメトリクス情報と移動情報を、建物側端末110WTに送信する(ステップS511)。この動作については、第7の実施の形態等と同様であるものとする。
建物側端末110WTは、その末端側端末160DTから受信した情報と、予め自機内に格納された該当する登録者の個人情報等とを比較照合し、その登録者の実在性の確認を実行する(ステップS512)とともに、今回末端側端末160DTから受信した情報の内から必要な情報を新たに自機内に格納する。
また、建物側端末110WTは、登録者個人の移動予告情報が自機内に格納されているか否かを確認する(ステップS513)。
登録者の移動予告情報が格納されている場合には(ステップS513/Yes)、登録者が建物側端末110WTのユニット内に移動したことを認識する(ステップS514)。
この際、建物側端末110WTは、登録者の個人情報の移動予告情報と、末端側端末160DTから受信した情報との内容が、場所的又は時間的に整合するか検証処理を行い、検証結果が整合と判断しているものとする。
また、このように、建物側端末110WTは、登録者の個人情報の利活用場所の移動が開始した旨を示す移動予告情報を、あらかじめ格納していることによって、上位端末である集約側端末150ATや認証システムサーバ10Aが有する情報との照合を実行する前に、登録者個人の個人情報の利活用ユニットの移動を認識できるようになる。
併せて、建物側端末110WTは、登録者が個人認証を行ったり利活用許可を求めたりするユニットが移行する可能性があることを示す移動予告情報の通りに、登録者個人が移動したことを認証システム内で認識する情報(以下、移動予告達成情報という)を作成し、集約側端末150ATと認証システムサーバ10Aに送信する(ステップS516)。
この移動予告達成情報により、集約側端末150ATと認証システムサーバ10Aは、登録者個人が実在する最新のユニットが建物側端末110WTとなったことを認識する。また、集約側端末150AT及び認証システムサーバ10Aは、以前に格納した移動関連情報を消去する。
末端側端末160DTから受信した情報により作成された、新しい移動停止情報は、建物側端末110WT内の一時保管DB117WTに保管する。
この処理と平行して、建物側端末110WTは自機内にある端末設置目的により、当該末端側端末160DTより受信した情報は、第一定義である「降車希望情報」であると認識し、降車を許可する情報を作成し、送信する(ステップS515)。
末端側端末160Dは、建物側端末110WTより許可情報を受信すると、自機に付帯する改札扉を開けて、登録者個人の駅構外への退場を許可する。
記載以外の手順や考え方については、第23又は第24の実施形態を参照する。
<第26の実施の形態>
(情報の移動4)
ここでは、登録者が、通勤先の最寄駅から勤務先に到着する時点までの、その登録者により利活用されるユニットの移行について説明する。
図68は、本実施の形態の認証システムにおける登録者の通勤先の周囲の各端末の設置例を示す図である。
図の例では、勤務先のビルの通用口に末端側端末160HL、160hL、正面玄関に末端側端末160HK、160hK、これらビルに設置される末端側端末を管理する建物側端末110HK、この建物側端末110を管理する集約側端末150HKが設置されている。
また、そのビル内にある勤務先の入口には末端側端末160E、160Ee、これら勤務先に設置される末端側端末を管理する建物側端末110CK、この建物側端末110を管理する集約側端末150CKが設置されている。
また、図69は、その認証システムを構成する各端末やサーバ間のネットワーク構成例を示す図である。
この図において、登録者が通勤先の最寄駅から通勤先の入口ドアに到着するまでに関係する経路が実線で示されている。
本実施形態では、大型ビルの中の一室を勤務先事務所としている状況にあり、勤務先事務所が登録者個人を取り囲むユニットであり、大型ビルがそのユニットを取り囲む、より大きなユニットである。それと類似した形態としては、マンション全体の建物と所有居宅部分との関係や、立体駐車場とその中に駐車中の車や、空港施設と航空機との関係等がある。
勤務先事務所を「Bユニット」とし、大型ビルを「Aユニット」とした場合、「BユニットはAユニットに包含されている」と定義する。また、「Bユニット」を構成分子ユニットとし、「Aユニット」を母体ユニットとする。
ユニット同士が包含の関係にある場合、構成分子ユニット内で個人の実在が確認された場合、その実在情報が母体ユニットを構成する端末にも送信されて当該個人が母体ユニット内で存在すると認識されるように、端末の情報伝達は設計されている。
本実施の形態では、さらに、登録者がその母体ユニット内のどの構成分子ユニットに存在するかを認識するようにする。
例えば、登録者個人が、大型ビルという母体ユニット内に入ったことは認識されても、廊下やエレベータ内に存在していることもある。そこで、構成分子ユニットまで到達しているか否かを明確にするために、勤務先単位とビル単位とで個別のユニットを構築する。
図70は、建物側端末110HKとそれを管理する集約側端末150HKと、その建物内に設置されたその他の集約側端末との接続関係を示す図である。
この図の例では、建物側端末110HKは、その上位端末である、1階入口を管理する集約側端末150HKと接続されている。
また、建物側端末110HKは、集約側端末150HKを介して母体ユニット(建物全体)を管理する集約側端末150HZに接続することによって、間接的に各構成分子ユニットを管理する各集約側端末150CK、150HH、150HE、150HM、150HTとも接続されている。
建物側端末110HKは、登録者の認証後に、その認証の履歴等を、前述の接続される母体ユニットの集約側端末に対して送信する。
以下、その勤務先における登録者に対する認証システムによる認証動作について、2つのパターンを説明する。
(認証動作:パターン1)
以下、1つ目のパターンの認証動作について説明する。
なお、この認証動作については、前述した駅構内における認証動作とほぼ同様であるので、詳細については省略する。
登録者個人は、勤務先のビルに到着すると、ビル入口に設置された末端側端末160HLや末端側端末160HKにタッチしてバイオメトリクス情報を読み取らせ、末端側端末は、その読み取ったバイオメトリクス情報と移動情報を建物側端末110HKに送信に送信する。
建物側端末110HK等は、その送信されたバイオメトリクス情報等に基づいて、その登録者の認証を行う。ここで、認証が成功した場合、建物側端末110HKは、ビル内への入場を許可する旨の情報を、そのバイオメトリクス情報を読み取った末端側端末に送信する。
その許可情報を受信した末端側端末は、ドアを開く等して、その登録者に対してビル内への入場を許可する。
次いで、登録者は、勤務先事務所の入口に設置された末端側端末160Eにタッチしてバイオメトリクス情報を読み取らせ、末端側端末160Eは、その読み取ったバイオメトリクス情報と移動情報を建物側端末110CKに送信に送信する。
建物側端末110CK等は、その送信されたバイオメトリクス情報等に基づいて、その登録者の認証を行う。ここで、認証が成功した場合、建物側端末110CKは、勤務先事務所内への入室を許可する旨の情報を、そのバイオメトリクス情報を読み取った末端側端末に送信する。
その許可情報を受信した末端側端末は、ドアを開く等して、その登録者に対して勤務先事務所内への入室を許可する。
(認証動作:パターン2)
通常、登録者は、前述のパターン1のように、建築物の入口で認証を行い、次に勤務先の入口で認証を行う。しかし、例えば、朝の慌しい時間の中では、建築物の入口での認証行為を省くこともありうる。本パターンでは、このような、登録者がある地点での認証行為を省いたときの認証システムによる認証動作について説明する。
図71は、本発明の第26の実施の形態において、登録者により利活用される端末が、建物側端末110WTから建物側端末110CKに移行していく時の動作例を示すシーケンスチャートである。
以下、このシーケンスチャートに沿って、勤務先における2パターン目の認証動作について説明を進めていく。
なお、本パターンにおいても、前述した駅構内における認証動作と同様である箇所については省略して説明する。
登録者個人は、勤務先建物に到着後、末端側端末160HKでの個人認証処理は実行しない。そのまま、直接に勤務先事務所入口に設置された末端側端末160Eにタッチしてバイオメトリクス情報を読み取らせ(ステップS521)、末端側端末160Eは、その読み取ったバイオメトリクス情報と移動情報を建物側端末110CKに送信する(ステップS522)。
次に、建物側端末110CKは、前述の駅構内における処理と同様に、登録者の実在性の判定処理や、自機内への移動関連情報の格納の有無の確認処理などを実行する(ステップS523)。
その後、建物側端末110CKは、集約側端末150CKに対して、登録者の移動停止情報と、自機ユニット外での利活用停止を示す情報とを送信する(ステップS524)。
次いで、集約側端末150CKは、認証システムサーバ10Aに対して、登録者の移動停止情報と、自機ユニット外での利活用停止を示す情報とを送信する(ステップS525)。
認証システムサーバ10Aは、個人情報の時間的・空間的連続性を判定し(ステップS526)、その判定結果を含む許可情報を、集約側端末150CKに送信する(ステップS527)。
集約側端末150CKは、この受信した許可情報を格納する(ステップS528)。
また、認証システムサーバ10Aは、登録者が勤務先最寄駅のエリア外に出たことに基づいて、その勤務先最寄駅の集約側端末150ATに対して、集約側端末150ATの他ユニット移動完了情報を送信する(ステップS529)。
集約側端末150ATのユニット内の各端末は、この消去のための情報を受信すると、該当する登録者の移動関連情報を消去する。この結果、構成分子ユニットである集約側端末150CKが管理するユニット内で、登録者の認証処理や移動関連情報の保有が行われることとなる。
その後、集約側端末150CKは、前述の判定結果を含む許可情報を、自ユニット内の建物側端末110CKだけではなく、母体ユニットを管理する集約側端末150HZに対しても送信する(ステップS530)。
集約側端末150HZは、受信した許可情報を自機内に格納した後に(ステップS531)、自機の下位端末である建物側端末150HKに、その許可情報を送信する(ステップS532)。その許可情報を受信した集約側端末150HKは、自機内にその受信情報を格納する(ステップS533)。
一方、その許可情報を受信した建物側端末110CKは、その許可情報を自機内に格納した後に(ステップS534)、自機の下位端末であり、バイオメトリクス情報の読み取りを行った末端側端末160Eにその許可情報を送信する(ステップS535)。
末端側端末160Eは、その受信した許可情報に含まれる認証の判定結果に基づいて、その登録者に対する勤務先への入場の許可又は許否の動作を行う(ステップS536)。例えば、判定結果が入場を許可するものであれば、末端側端末160は、勤務先事務所へのドアの鍵を開錠して、入室を許可する。一方、その入場を拒否するものであれば、再度のバイオメトリクス情報の読み取りを促す旨のメッセージや、入室を拒否する旨のメッセージを表示する。
このように、ユニット同士が包含関係にある場合には、構成分子ユニット内のいずれかの端末と、母体ユニットを管理する集約側端末又はサブサーバ群とで同一の移動停止情報を有していることになる。この場合、構成分子ユニット側に存在するものを「表移動停止情報」をとし、母体ユニット側にあるものを「裏移動停止情報」とする。
「表移動停止情報」には、「裏移動停止情報」を有する端末を特定するための情報が付帯されているものとし、「裏移動停止情報」には、「表移動停止情報」を有する端末を特定するための情報が付帯されているものとする。
その後、登録者が、現在のユニットの管理エリア外へ移動することになった場合、前述の消去情報を受信した「表移動停止情報」を格納する端末は、自機内の移動停止情報を消去するとともに、「裏移動停止情報」を格納する端末に同様に消去情報を送信する。この消去情報を受信した「裏移動停止情報」を格納する端末は、同様に自機内の該当する移動停止情報を消去する。
また、「裏移動停止情報」の格納端末が消去情報を受信した場合も同様に、自機内の該当する移動停止情報を消去するとともに、この消去情報を「表移動停止情報」を格納する端末に送信し、その「表移動停止情報」を格納する端末は、該当する移動情報を消去する。
このようにして、「表移動停止情報」及び「裏移動停止情報」の双方が消去される。
<第27の実施の形態>
(情報の移動5)
この実施形態では、前述した例と同様に、登録者個人を取り囲むユニット(百貨店のテナント)が、より大きなユニット(百貨店)に取り囲まれて構成されている。
図72は、本実施の形態において、百貨店に認証システムを構築したときの各端末の設置例を示す図である。
この図の例では、この百貨店には、テナントC、Dが入っている。
図に示すように、この百貨店の建物の出入口には、末端側端末160A、160a、160B、160bが設置されている。また、テナントCの出入り口には末端側端末160C、160cが、そのテナント内には建物側端末110C、集約側端末150Cが設置されている。同様に、テナントDの出入り口には末端側端末160D、160dが、そのテナント内には建物側端末110D、集約側端末150Dが設置されている。さらに、建物側端末110A及び集約側端末150Aは、百貨店全体を管理している。
また、図73は、本実施の形態において、前述の百貨店に設置された各端末間のネットワークの接続例を示す図である。
この図の実線及び点線は、各端末間を接続するネットワークを示しており、そのうち、実線は、以下に説明する認証処理の際に情報が送受信される経路を示している。
図74は、本発明の第27の実施の形態において、集約側端末150Aが管理する建物内部で存在するユニット間で情報を移動させていく時の動作例を示すシーケンスチャートである。ここでは、個人が商業施設のビル内で移動する場合をイメージし説明する。
登録者個人は、この百貨店内に入場し、現在、テナントDを訪れている。登録者個人の移動停止情報は、集約側端末150Aと建物側端末110Dとで認識されているものとする。
登録者個人は、テナントDでの買い物を終え、移動しようとする際に、出口に設置された末端側端末160dにタッチしてバイオメトリクス情報を読み取らせ(ステップS541)、末端側端末160dは、その読み取ったバイオメトリクス情報と移動情報を建物側端末110Dに送信する(ステップS542)。
建物側端末110Dは、それらのバイオメトリクス情報と移動情報を受信すると、その登録者の現在までの行動履歴等と照らし合わせて、その登録者の認証を行う(ステップS543)。認証が成功すると、建物側端末110Dは、末端側端末160dによりバイオメトリクス情報が読み取られると、その登録者がテナントDユニットから退場したと認識し、移動開始情報を作成して集約側端末150Dに送信する(ステップS544)。
集約側端末150Dは、移動開始情報を受信後、必要処理を行う。次に、集約側端末150Dは、集約側端末150Aに対して移動開始情報を送信する(ステップS544)。これは、集約側端末150Aが管理する母体ユニットの中に集約側端末150Dが管理するユニットが含まれているからである。
その後、登録者個人は、テナントCに立ち寄ると、入口に設置された末端側端末160Cにタッチしてバイオメトリクス情報を読み取らせ(ステップS546)、末端側端末160Cは、その読み取ったバイオメトリクス情報と移動情報を建物側端末110Cに送信する(ステップS547)。
建物側端末110Cは、そのバイオメトリクス情報を受信すると、その登録者の現在までの行動履歴等と照らし合わせて、その登録者の認証を行う(ステップS548)。認証が成功すると、建物側端末110Cは、末端側端末160Cによるバイオメトリクス情報の読取により、その登録者がテナントCへ入場したと認識し、移動停止情報を作成して集約側端末150Dに送信する(ステップS549)。
集約側端末150Cは、移動停止情報を受信後、必要処理を行う。次に、集約側端末150Cは、集約側端末150Aに対して移動停止情報を送信する(ステップS550)。
次に、集約側端末150Aは、集約側端末150Dから受信していた移動開始情報と、集約側端末150Cから受信した移動停止情報との内容を照合し、該当する登録者の実在性及びその移動関連情報の時間的・空間的連続性について判定する(ステップS551)。
その結果、集約側端末150Aは、実在性及び情報の連続性があると認識できた場合には、「実在連続性の検証が完了した」旨を示す許可情報を、集約側端末150Cに送信する(ステップS552)。
さらに、集約側端末150Cは、その受信情報を建物側端末110Cに送信する(ステップS553)。建物側端末110Cは、その受信情報を自機内に格納した後に(ステップS554)、末端側端末160Cに送信する(ステップS555)。
末端側端末160Cは、その「実在連続性の検証が完了した」旨を示す許可情報を受信すると、「認証が行われた」旨のメッセージを表示したり、ある種のサービスを提供したりする(ステップS556)。
一方、集約側端末150Aは、実在性及び情報の連続性があると認識できた場合には、他ユニット移動完了情報を集約側端末150Dに送信する(ステップS557)。
集約側端末150Dは、その消去情報を受信すると、該当する登録者の移動開始情報を消去した後に、その消去情報を建物側端末110Dに送信する(ステップS558)。建物側端末110Dは、その消去情報を受信すると、該当する登録者の移動開始情報を消去する。
このように、包含関係にあるユニット内では、移動関連情報は、母体ユニットにある集約側端末150を介してそのユニット間で共有されていることになる。この結果、包含関係内のユニットを移動する際には、動作の都度、移動関連情報を認証システムサーバ10に対して送信して情報の連続性を検証するのでなく、母体ユニットを管理する集約側端末150にその機能を代行させる。
例えば、百貨店のような大型商業施設の場合、登録者がその百貨店建物内のいずれかの店舗を訪れていることが認識されれば、百貨店内にその登録者が存在することが認証システムにより認識される。当該登録者が買い物に伴って百貨店内を移動した際には、その登録者は百貨店の建物の外に出た訳でなく、百貨店ユニットという母体ユニットの中で存在位置を移動したにすぎない。そこで、その登録者が、百貨店の母体ユニット内で移動したことが認識されれば、その登録者の実在性及び移動情報の連続性が証明されたことになる。
このとき、登録者個人は、母体ユニット内に留まっているのであって、その内部以外での情報の利活用は存在しない。このため、母体ユニットの集約側端末150で認証を行うことで登録者の実在性及び移動情報の連続性は十分に証明されることとなるので、認証システムサーバ10による認証は必要がなくなり、認証システムサーバ10の負荷軽減を図ることが可能となる。
また、このとき、母体ユニット外での情報の利活用が停止された状態であるので、個人情報を悪用できなくなり、個人情報保護の高度なセキュリティが実現される。
なお、以上説明した構成及び動作は、百貨店だけでなく、母体ユニットとして、勤務先や通学先の建物と執務室や教室、マンションの建物と自宅部分、病院と病室、空港や駅、商業施設等の建物内に区分を有する建物に対して全て適用可能である。当然、一戸建て居宅であっても、その中に構成分子ユニットが存在する部分を設ければ適応可能である。
<第28の実施の形態>
(情報の移動6)
以下、登録者が航空機等の移動手段を利用して移動するときの、認証システムによる認証処理について説明する。なお、以下に示す例では、登録者は、自宅から最寄の空港(羽田空港)へ移動して航空機に搭乗し、移動先の空港(福岡空港)に向かうものとする。
なお、以下、特記しない限り、本実施の形態における処理は、前述の登録者の通勤時の処理と同様であるものとする。
図75は、この登録者が航空機等の移動手段を利用して移動するときの、認証システムの各端末やサーバの設置例を示す図である。
図に示すように、登録者の自宅には、集約側端末150A、建物側端末110B、組織側端末120A、末端側端末160A、160Bが設置されている。このうち、自宅の室内には汎用PC等の末端側端末160Aが設置され、自宅入口のドアノブには末端側端末160Bが設置されている。
また、自宅の最寄の羽田空港には、集約側端末150E、建物側端末110F、組織側端末120E、末端側端末160E、160Fが設置されている。このうち、空港構内には末端側端末160Eが設置され、搭乗改札機には末端側端末160Fが設置されている。
また、移動目的地の最寄の福岡空港には、集約側端末150G、建物側端末110H、組織側端末120G、末端側端末160G、160Hが設置されている。このうち、空港構内には末端側端末160Gが設置され、搭乗改札機には末端側端末160Hが設置されている。
また、これらの航空業務を行う航空会社(の事業所などの会社施設)には、集約側端末150C、建物側端末110D、組織側端末120C、末端側端末160C、160Dが設置されている。このうち、会社施設内には末端側端末160Cが設置され、会社施設入口には末端側端末160Dが設置されている。
図76は、その登録者が航空機等の移動手段を利用して移動するときの、認証システムを構成する各端末やサーバ間のネットワーク構成例を示す図である。
この図において、登録者が自宅の末端側端末160Aを用いて航空券を予約購入する間に関係する移動関連情報の移動経路が実線で示されている。
図77は、本発明の第28の実施の形態において、登録者個人が決められたスケジュールに沿って行動する際に、その登録者により利活用されるユニットを移行させていく時の動作例を示すシーケンスチャートである。ここでは、個人が航空機を予約して移動するイメージを4段階に分けて説明する内の第1段階である。
まず、登録者個人が帰宅した場合、ドアノブに設置される末端側端末160Bにその登録者のバイオメトリクス情報を読み取らせ(ステップS)、末端側端末160Bは、そのバイオメトリクス情報と移動情報を末端側端末160B自体の一時保管DBと、その上位端末の建物側端末110B及び集約側端末150Aの一時保管DBに格納する。
この際に末端側端末160Bから受信したバイオメトリクス情報による個人実在認証の結果、建物側端末110Bより移動停止情報が作成の上、送信されている。集約側端末150Aは、建物側端末110Bより受信した移動停止情報と、他ユニットの集約側端末150より受信した移動開始情報とを整合させ、登録者個人が個人宅というユニット内に存在し、その登録者の移動情報が連続性を有していることを認識していることとなる。なお、この処理については、前述のものと同様であるので、詳細については省略する。
その後、航空機に搭乗を希望する登録者個人は、自宅にある末端側端末160Aにより、バイオメトリクス情報を読み取らせ(ステップS601)、末端側端末160Aは、その読み取ったバイオメトリクス情報と移動情報を組織側端末120Aに送信する(ステップS602)。
組織側端末120Aは、その受信した個人情報と、自機内に格納された個人情報と、を照合する。この照合処理は、前述のものと同様であるので、詳細については省略する。
ここで、個人情報の照合が整合した場合、組織側端末120Aは、次にその登録者個人が移動履歴との整合性を有しているか判定して、総合的な個人の実在を検証することになる。(ステップS603)
次に、組織側端末120Aは、登録者個人宅を包括的に管理する集約側端末150Aに対して、集約側端末150Aが管理するユニット内に登録者個人の存在を示す移動停止情報が格納されているか否かの検証を依頼する旨の情報とともに、前述の作成した移動停止情報を送信する(ステップS604)。
次に、集約側端末150Aは、組織側端末120Aから検証依頼情報を受信すると、同時に受信した移動停止情報と、自機内に格納されている移動関連情報とを比較し、登録者の実在性及び移動情報の連続等が整合するか否かを検証する(ステップS605)。
この結果、情報が整合する場合には、集約側端末150Aは、登録者個人が実在すると判断し、登録者個人が組織側端末120Aや末端側端末160Aを利活用すること認める許可情報を、組織側端末120A及び末端側端末160Aに対して送信する(ステップS606)。
登録者個人は、組織側端末120Aや末端側端末160Aを利用して、搭乗を希望する航空会社の搭乗名簿を管理する組織側端末120Cにアクセスする(ステップS607)。
この組織側端末120Cは、当該航空会社が搭乗予約処理や、顧客別マイレージ管理や、搭乗状況管理等を行うために設けた顧客管理DBを管理する。
次に、登録者個人は、末端側端末160Aを用いて、航空会社が求める搭乗希望者名や日時や便名等の所定の事項を入力し、組織側端末120Cに送信させ(ステップS608)、搭乗希望便の予約処理を行う。この際、登録者個人は、搭乗当日の行動の基点となる予定のユニットを示す情報の入力を行うことが望ましい。
ここで、「行動の基点」とは、登録者が所定の行動を行う場合に、その行動を開始する地点を示す。本実施の形態では、登録者は、航空機搭乗日に、まず自宅から出発するので、「行動の基点」は自宅となる。また、「行動の基点となる予定のユニット」とは、この自宅において登録者の行動を管理する集約側端末150Aが管理するユニット(端末150A、110B、120A、160A、160Bからなるユニット)を示す。
組織側端末120Cは、登録者個人の実在を確認し、搭乗者を確定した上で予約処理を行う(ステップS609)。
組織側端末120Cは、予約処理完了後に、移動予告情報を作成し、登録者個人が当日の行動の基点となる予定のユニットを示す情報と共に、自機を管理する航空会社の集約側端末150Cに送信する(ステップS610)。
移動予告情報等を受信した航空会社の集約側端末150Cは、自機内の一時保管DB157Cにその受信情報を格納する(ステップS611)。
次に、集約側端末150Cは、その受信した移動予告情報等を自機を管理する認証システムサーバ10Bに送信する(ステップS612)。
移動予告情報等を受信した認証システムサーバ10Bは、その受信情報を自機内の一時保管DB17Bに格納する(ステップS613)。次に、認証システムサーバ10Bは、その受信した移動予告情報等を、登録者個人が当日の行動の基点となる予定のユニットを管理する認証システムサーバ10Aに送信する(ステップS614)。
移動予告情報等を受信した認証システムサーバ10Aは、その受信情報を自機内の一時保管DB17Aに格納する(ステップS615)。次に、認証システムサーバ10Aは、その受信した移動予告情報等を、登録者個人が当日の行動の基点となる予定のユニットを管理する集約側端末150Aに送信する(ステップS616)。
移動予告情報等を受信した集約側端末150Aは、その受信情報を自機内の一時保管DB157Aに格納する(ステップS617)。
以上のように、登録者が航空機に搭乗するときの行動予定が各端末に予め設定されることにより、搭乗日当日には、登録者の個人情報が、その登録者の行動に沿って円滑に移動されることになる。
<第29の実施の形態>
(情報の移動7)
以下、登録者が、航空機搭乗日に、自宅を出て空港に向かうときの、認証システムによる各種動作について説明する。ここでは、個人が航空機を予約して移動するイメージを4段階に分けて説明する内の第2段階である。
図78は、登録者が航空機等の移動手段を利用して移動するときの、認証システムを構成する各端末やサーバ間のネットワーク構成例を示す図である。この図において、登録者が航空機搭乗日に、自宅を出て空港に向かうときに関係する移動関連情報の移動経路が実線で示されている。
図79は、本発明の第29の実施の形態において、登録者個人が決められたスケジュールに沿って行動する際に、その登録者により利活用されるユニットを移行させていく時の動作例を示すシーケンスチャートである。
登録者個人は、搭乗日に行動の基点となる自宅を出発する。この際、自宅の末端側端末160Bにバイオメトリクス情報を読み取らせ(ステップS621)、末端側端末160Bは、その読み取ったバイオメトリクス情報と移動情報を建物側端末110Bに送信する(ステップS622)。
建物側端末110Bは、この受信した個人情報に基づいて認証を行い、この認証が成功すると、「登録者が外出した」と認識する(ステップS623)。
この外出情報認識がされると、建物側端末110Bは、個人宅の集約側端末150Aに対して、移動開始情報を送信する(ステップS624)。
個人宅の集約側端末150Aは、その受信した移動開始情報に基づいて登録者の実在性の連続等が整合するか検証する(ステップS625)。
次に、集約側端末150Aは、前述の航空券予約に係る移動予告情報が自機内に格納されているか否かを判断し(ステップS626)、その移動予告情報が格納されている場合には(ステップS626/Yes)、その移動予告情報と、その受信した移動開始情報との内容を比較照合する(ステップS627)。
集約側端末150Aは、その移動開始情報の内容が当該移動予告情報に合致していると認識した場合には、当該移動予告情報の送信元である認証システムサーバ10A、10B、集約側端末150C、組織側端末120Cに対して、移動予告情報に基づく行動が開始されたことを通知する移動通知情報を送信する(ステップS628)。
移動通知情報を受信した端末は、自機が含まれる又は管理するユニットの各端末に対し、利用可能性情報を送信することもある。利用可能性情報は、各端末が属するユニット内に登録者個人が存在していると認識されていないが、今後そのユニット内で登録者個人の個人情報の利活用が行なわれる可能性があるため、認証処理等の準備を促す旨を示す情報である。
当該移動予告情報の送信元である組織側端末120Cは、その移動通知情報を受信すると、自機内のデータベースから当該登録者個人に関わる情報を抽出し(ステップS629)、登録者が自宅外へ移動した状態である旨を認識する(ステップS630)。
以上説明したように、航空券の予約等により登録者の行動予定が予め設定されている場合には、登録者がその予定の行動を開始すると、その行動経路上で関係するユニットやユニット内の端末に対して、その登録者による認証処理がこれから一定時間内に実行される可能性が高く、その認証処理の準備を行う必要がある旨を通知する。
この通知により、登録者の行動経路上の端末等は、その登録者の個人情報の抽出を事前に行うことができるので、実際に登録者からのアクセスがあった場合に瞬時に情報処理を行うことが可能になる。
また、その行動予定とかけ離れたユニットや場所での個人情報の利活用は、異常値データとして認識することも可能となり、登録者の個人情報の悪用や流用を防止することが可能となる。
<第30の実施の形態>
(情報の移動8)
図80は、登録者が航空機等の移動手段を利用して移動するときの、認証システムを構成する各端末やサーバ間のネットワーク構成例を示す図である。
この図において、登録者が空港に到着し、航空機に搭乗するまでの間の移動関連情報の移動経路が実線で示されている。
図81は、本発明の第30の実施の形態において、登録者個人が決められたスケジュールに沿って行動する際に、その登録者により利活用されるユニットを移行させていく時の動作例を示すシーケンスチャートである。ここでは、個人が航空機を予約して移動するイメージを4段階に分けて説明する内の第3段階である。
前述のように、組織側端末120Cは、登録者個人の移動通知情報を受信すると、自機内に格納された搭乗予約内容を含む移動予告情報から搭乗予約内容等の情報を抽出する(ステップS641)。
次に、組織側端末120Cは、その抽出した情報を、自機を管理する集約型端末150Cを介して、登録者の航空機搭乗に関係するユニットや端末に対して送信する(ステップS642)。
この送信された抽出情報は、経由端末の故障や、情報の消失に備えて複数箇所で、それぞれの一時保管DBに格納されることが望ましい。
本実施の形態では、この抽出情報は、認証システムサーバ10B、集約側端末150E、建物側端末110F、組織側端末120Eの各一時保管DBに保管される(ステップS643〜S646)。
このうち、建物側端末110Fは、今後登録者個人が自機の管理するユニット内に移動してくる状況を認識するために必要な個人識別を行うための比較情報としてその抽出情報を格納する。
また、組織側端末120Eは、今後、その登録者の当日の搭乗便名やフライト状況に変更が生じたときに、その作業に対応するための情報としてその抽出情報を格納する。
登録者個人が空港に到着し、搭乗口に設置された末端側端末160Fにタッチしてバイオメトリクス情報を読み取らせ(ステップS647)、末端側端末160Fは、その読み取ったバイオメトリクス情報と移動情報を建物側端末110Fに送信する(ステップS648)。
次に、建物側端末110Fは、その受信したバイオメトリクス情報と、予め格納されていた個人識別を行うための比較情報とを比較して(ステップS649)、その移動関連情報の連続性や登録者の実在性の検証等を実施し(ステップS650)、判断する(ステップS651)。
建物側端末110Fは、ステップS647にてバイオメトリクス情報を入力した人物が、登録者個人が予約を行った当事者であり、搭乗希望者であることを確認できた場合、その個人情報を入力した人物に対して該当する航空機への搭乗を許可する許可情報を、末端側端末160Fに送信する(ステップS652)。
末端側端末160Fは、この許可情報を受信すると、末端側端末160Fが設置された改札機の扉を開扉させる(ステップS653)。
また、建物側端末110Fは、登録者個人が航空機に搭乗するためのユニット内に移動したことを受けて、これまでの移動関連情報や抽出情報を消去するための移動予告達成情報を、認証システムサーバ10B及び集約側端末150Eに送信する(ステップS654)。
本認証システムの運用により、個人は搭乗券という「モノ」に頼らずに、航空機に搭乗する資格を有している旨の情報を持ち運ぶことと、個人の実在性の認証とを可能にする。いわば、「自分の身1つ」で行動していても、必要情報はその登録者に付随して移動していることになる。
また、航空機搭乗のために登録者の個人情報を必要としなくなった端末やサーバは、その個人情報等を消去するので、第三者が登録者個人になりすまして、その個人情報を使用することが防止可能となる。
同様に、本認証システムを活用すれば、航空券や定期券や乗車券、紙幣や貨幣、各種カード、携帯電話や携帯端末といった媒体物は全て不要となり、「モノ」の紛失や盗難等のリスクは一切排除することが可能となる。
さらに、自宅から空港までの移動手段や経路や時刻表を端末内のソフトウェアやインターネット経由で検索した場合、その検索結果情報も移動関連情報として活用することが可能である。
この場合、登録者は、自宅などに設置される末端側端末160を用いて、自身のバイオメトリクス情報を読み取らせるとともに、移動経路や移動手段の検索を行うと、末端側端末160は、その検索した複数の経路の内、利用すると思われる経路をマイニング技術によって1つ又は複数認識して、その経路上に設置される端末に対して、その読み取ったバイオメトリクス情報を含む移動予告情報を送信する。
複数選択を行う理由は、第一予定経路が天候による不通や、事故による遅延等が発生した際に、迂回手段として利用することも考えられるためである。
また、末端側端末160に、従来の乗換情報サービスを提供するソフトウェアが実装されている場合、この乗換情報検索時に、入力された検索条件の中から移動予告情報を構成するのに必要な乗換情報、乗車駅、移動手段といった情報が自動的に抽出されるようにしておいてもよい。その後、この抽出された情報が、移動予告情報や実在性の検証結果を示す情報に付帯される。
また、末端側端末160は、登録者が移動に利用すると予想される主要交通機関を管理するユニット、例えば、自宅最寄駅、空港最寄駅及び両駅の間の乗換駅を管理する集約型端末や建物側端末に対して、搭乗予約日時に基づいて移動予告情報を送信しておいてもよい。
また、登録者の行動経路が予想されている場合には、当該ユニット又は端末での認識がされた後、次に移動が認識されることが推定されるユニット又は端末の端末識別IDを、あらかじめ各ユニットや端末に移動予告情報の付帯情報として送信しておくものとする。
この結果、登録者の行動が一度開始されれば、その移動関連情報が、現在地の次の目標地点に対して順々に送信されることになる。これは、陸上競技のリレーの次走者が、現在の走者の状況に応じてコース上で待受けるように、移動関連情報を受け取る予定のユニット又は端末は状況を事前に伝えられて、利活用の準備が行うことが可能となる。また、登録者の行動経路上の各端末やサーバは、実在認証やサービス提供等のために必要な情報処理を事前に開始する場合、処理行為を円滑又は優先的に実現させることが可能となる。
一方で、その登録者の個人情報を利活用するユニット及び端末を特定できるため、その登録者の行動経路外ユニットや端末での利活用を制限することを可能とし、利便性とセキュリティ確保の両面を図ることができる。
<第31の実施の形態>
(情報の移動9)
ここでは、個人が航空機を予約して移動するイメージを4段階に分けて説明する内の第4段階である。
以下、登録者が予約しておいた航空機に搭乗し目的地に到着するまでの、認証システムによる各種動作について説明する。
図82は、登録者が航空機等の移動手段を利用して移動するときの、認証システムを構成する各端末やサーバ間のネットワーク構成例を示す図である。
この図において、登録者が航空機に搭乗し目的地に到着するまでの間の移動関連情報の移動経路が実線で示されている。
登録者個人が、「モノ」によって囲まれた状況で移動している場合、その「モノ」を1つのユニットとみなすことは上述の通りである。
互いに遠距離に位置するユニット間を短時間で移動するときには、人間は航空機、電車又は車といった移動手段を1つのユニットとして利活用する。
この移動手段のユニットには、以下の機能が付帯されていくものとする。
第1の機能は、前述したように、バイオメトリクス情報を利用することで、搭乗者は航空券を所持することなく、チケットレスサービスが利用可能となる点である。
第2の機能は、その移動手段への搭乗確認を容易にし、座席に着席していない搭乗者の現在位置を容易に検索し、座席に着くように促す旨の必要な案内等を、その登録者に対して行うことができる点である。
図83は、本発明の第31の実施の形態において、登録者個人が決められたスケジュールに沿って行動する際に、その登録者により利活用されるユニットを移行させていく時の動作例を示すシーケンスチャートである。
まず、登録者個人は、機内の自分の予約した席に着席すると、各座席に設置された末端側端末160Mによってバイオメトリクス情報を読み取らせ(ステップS661)、末端側端末160Mは、その読み取ったバイオメトリクス情報と移動情報を建物側端末110Mに送信する(ステップS662)。
建物側端末110Mには、あらかじめ、組織側端末120Cから搭乗者を特定するために必要なバイオメトリクス情報等の情報が、格納されているものとする。
建物側端末110Mは、その予め自機内に格納されていたバイオメトリクス情報と、末端側端末160Mから受信したバイオメトリクス情報と、を比較照合し(ステップS663)、登録者と実際の搭乗者とが合致するか判断する(ステップS664)。
この際、合致した場合には、建物側端末110Mが構成するユニット外において、この登録者による本認証システム利活用を異常と判定するための移動停止情報を、関係端末に対して発信する。
一方、不一致だった場合には、航空機内にいる乗務員が操作する端末に対し、「不一致により確認作業必要」という内容を示す情報と、その不一致であった搭乗者の座席番号とを通知する。乗務員は、この不一致情報を確認して、再度の本人確認や、その搭乗者を正しい予約座席へ移動させる等の必要手続を行う。
建物側端末110Mは、当該航空機の離陸予定時間の一定前になると搭乗状況を検索し、搭乗名簿に登録されているが、未だに末端側端末160Mから着席情報が到着しない搭乗者の個人情報を抽出する(ステップS665)。
建物側端末110Mは、この抽出した未着席搭乗者情報を、認証システムサーバ10B、離陸側の空港を管理する集約側端末150E及び建物側端末110Fに送信する(ステップS666)。
未着席搭乗者情報を受信した認証システムサーバ10B、集約側端末150E及び建物側端末110Fは、自機内に未着席搭乗者の移動停止情報や利用予告情報等が存在するか検索する(ステップS667〜S669)。
存在する場合には、認証システムサーバ10B、集約側端末150E又は建物側端末110Fは、各自機内に格納されている、登録者が最後に個人情報の入力/読取を行った時期を互いに送信して確認し、本認証システム内で登録者個人を最後に認識したユニットを確定する(ステップS670)。
ユニット確定後、当該ユニットを管理する端末(本実施形態では、建物側端末110F)は、その確定したユニット内のアナウンス用の末端側端末160に対し、未着席搭乗者に搭乗の最終案内を告げるアナウンスを実施する旨の許可情報を送信する。
そのアナウンス用の末端側端末160は、その許可情報を受信すると、未着席搭乗者に搭乗の最終案内を告げるアナウンスを実行する(ステップS671)。
また、その確定したユニットを管理する端末(本実施形態では、建物側端末110F)は、管理下の端末の設置位置と、建物側端末110Mの位置と、を結ぶ通路上の端末を管理する端末に対して、未着席搭乗者に搭乗の最終案内を告げるアナウンスを実施する旨の許可情報を送信し、実行させる機能もある。
従来では、空港施設全体に呼出しアナウンスを行うことで、個人名と行先という個人情報が無制限に流出していたが、本実施形態により、アナウンス場所が限定され、個人情報流出が制限され、プライバシー保護を図ることになる。また、最終実在場所が判明することで、航空会社側は、最終実在場所と航空機までの経路に重点的に注意を払った対応が可能となり、業務の効率化が図れるようになる。
また、航空機等の移動手段の座席には、温感センサーや重量センサー等を内蔵しておくようにしてもよい。
前述の搭乗者確認が行われて着席した後でも、登録者が他のユニットに移動できる状態にある場合、センサーが搭乗者の一定時間以上の離席を感知すると、空席となったと認識して、認証システムの各端末に通知するようにしておくこともできる。
人間が他のユニットに移動できる状態とは、例えば、航空機であれば、離陸準備のため搭乗口が閉鎖される前と、着陸後に搭乗口が開けられた後とをいう。電車であれば、駅を出発するために乗車口ドアが閉められる前と、着駅で乗車口ドアが開いた後をいう。車であれば、発車のためにドアが閉められる前と、そのドアが開けられた後をいう。
当該ユニット外への移動不可能状態を認識するために、その移動手段のドアに開閉を感知するセンサーを付帯させ、その開閉情報を認識できるようにしておくことが望ましい。
その移動手段のユニット内の端末は、登録者を物理的に移動させる移動手段のユニットのドアが閉まった後で、そのユニット内で登録者本人の実在性が確認できると、登録者個人は、その移動手段と一緒に移動していると推測する。このとき、その移動手段内の端末は、その移動手段の目的地情報により移動関連情報をその後関係すると思われる他の端末やサーバに送信する。
例えば、車両の場合では、走行が始まると自動的にドアがロックされるものがある。車両のドア内側の取っ手に末端側端末160を設置しておき、車両が走行を始め全てのドアが自動的にロックされた状態で、その車両のユニット内で登録者個人の実在が確認されれば、登録者個人は車両と一緒に移動していると推測することは容易である。
なお、車両の場合では、車載GPS機能と時刻証明手段とを結合する運用構造にしておき、当該車両のドアがロック又は開錠した場合に、当該車両の位置と実施時間の双方をリンクさせて認識できるようにして、移動場所の把握を可能とする。
本実施形態では、航空機に設置された建物側端末110Mが、離陸前に航空機の搭乗口ドアが閉められたときを離陸時間(発車時間)と認識し、着陸後に搭乗口ドアが開けられたときを着陸時間(到着時間)と認識する。
航空機の離陸時に、建物側端末110Mは、離陸側の羽田空港で搭乗口のドアが閉まったときを計測すると(ステップS672)、これまでの個人情報の管理の最終集約先である認証システムサーバ10Bと、これから管理開始基点となる着陸側の福岡空港の集約側端末150Gとに対して、離陸時間情報を送信する(ステップS673)。
この離陸時間情報は、その計測された離陸時期を示す情報と、送信元の建物側端末110Mの端末識別IDと、その航空機への搭乗が確認済みの登録者の識別IDとを含むものである。
認証システムサーバ10Bは、この離陸時間情報を受信すると、登録者個人はその離陸側の地域には実在しなくなったと判定し(ステップS674)、これまでの登録者の移動経路上の端末やサーバ(ここでは、建物側端末110F及び集約側端末150E)に対し、移動関連情報の消去を行う旨を示す他ユニット移動完了情報を送信する(ステップS675)。
その後、航空機が目的地の福岡空港に到着し、その搭乗口ドアが開けられたとき、建物側端末110Mは、そのドアが開いたときを計測する(ステップS676)。
次に、建物側端末110Mは、これまでの個人情報の管理の最新集約先である認証システムサーバ10Bと、これから管理開始基点となる福岡空港の集約側端末150Gに対して、着陸時間情報を送信する(ステップS677)。
この着陸時間情報は、その計測された着陸時期を示す情報と、送信元の建物側端末110Mの端末識別IDと、その航空機への搭乗が確認済みの登録者の識別IDとを含むものである。
認証システムサーバ10Bは、この着陸時間情報を受信すると、自機内にある離陸時間情報や、離着陸時間情報の発信元端末が同一識別IDであるか等に基づいて、登録者個人の実在連続性を判定し(ステップS678)、これ以降、管理開始基点となる集約側端末150Gに対し、情報の連続性を認識した回答情報を送信する(ステップS679)。
これ以降、集約側端末150Gが管理するユニットが、起点となって、登録者の認証処理等を行っていくことになる。
このように、本実施の形態では、移動手段のユニット内に設置された端末は、移動手段の移動の開始時期及び終了時期から、目的地に到着するまでに実際にかかった時間を計測するので、正確な移動所要時間を得ることができる。
また、個人情報の認証により、登録者がこの移動手段内にいることが証明されたとき、その登録者個人の個人情報が、その移動手段のユニット外で入力されても、本認証システムの利活用を停止又は制限することで、第三者による登録者へのなりすましを抑止することが可能となる。
また、登録者個人が移動手段内にいる場合、移動途中でその移動手段の目的地が変更になると、その移動手段内に設置された端末から、他の端末やサーバに対して、その端末やサーバに格納されている移動関連情報内の目的地の情報の変更を要求する旨の情報が送信される。
各端末に対して、登録者が予定外の行動をしている場合にこのことを警戒する旨のアラームを報知するように設定されているときでも、前述のようにその変更要求が送信されることにより、無駄にそのアラームを報知することを防止することができる。
例えば、航空機が羽田空港を離陸後、天候により、目的地が福岡空港から長崎空港に変更されたとする。このとき、その航空機に設置された建物側端末110Mは、その変更を航空機の搭乗員からのキー入力等に基づいて認識すると(ステップS680)、移動目的地が、福岡空港の集約側端末150Gで管理するユニットから、長崎空港を管理する長崎空港の集約側端末150Mに変更になった旨を示す情報を、関係する端末に送信する(ステップS681)。
このように、目的地が変更された場合には、移動手段内の端末は、移動中に、移動関連情報の変更を要求する旨の情報を変更前の目的地の端末に送信するとともに、新たな移動関連情報を変更後の目的地の端末に送信するので、登録者の行動予定が急に変更した場合であっても、登録者個人の労力を使うことなく、その個人認証を円滑に行うことが可能となる。
以上説明した実施の形態では、端末が搭乗口ドアの開閉時刻等から実際に移動にかかった時間を測定していたが、予め端末内に格納されている時刻表データを用いて、移動手段の移動所要時間を計算するようにしてもよい。
<第32の実施の形態>
(情報の移動10:データマイニング1)
以下、本実施の形態では、登録者の過去の移動履歴から、登録者の移動経路を予測し、その予測した移動経路をマイニング情報として、関連する各端末に送信する。
図84は、本発明の第32の実施の形態において、登録者個人の履歴情報から利活用端末状況を抽出して予想経路を算定するための動作例を示すシーケンスチャートである。
例えば、通勤の場合であれば、乗車駅と降車駅とは毎日一定であり、利用する改札口もほぼ一定である。さらには、通勤時に、通過する改札機や乗車する車両の位置等も、無意識の内にほぼ固定化していることが多い。
また、帰省や出張のために交通機関を利用する場合でも、概ねの経路は一定である。
また、当然のことながら、同一人物が、同時に異なる場所に存在することはありえないことである。
そこで、本実施の形態では、認証システムは、蓄積された登録者の過去の履歴情報に基づいて、その登録者の行動をパターン化して、各登録者個々にカスタマイズされた予想移動経路をマイニング情報として作成するものとする。
認証システムは、登録者による個人情報入力の時期、入力した端末の識別ID、利用回数、登録者の交通機関の予約状況及び個人情報の入力目的(ドアの開扉等)等を分析し、予想移動経路の算出を行う。
また、認証システムの各端末やサーバは、この作成した予想移動経路情報を格納するようにしてもよいし、各自機の個人フォルダ内に既に存在する各種データベースの一部をマイニング情報として認識できるようにして準備するようにしてもよい。
図85は、一例として、直近の3ヶ月間における月曜日午前中に、登録者個人が利活用したユニットの集約側端末150を、その利用順(第1→・・・→最終ユニット)に示したものである。
本実施形態では、認証システムサーバ10Aは、登録者がある期間内(月曜日の午前中)に、利用したユニットの利用順(利用パターン)を抽出し、その利用パターンの頻度の多いものから順に並べ替えて基礎情報データベース14Aに格納する。
ここでは、一日を午前と午後に分割し、行動開始したユニット(第1ユニット)を管理する集約側端末150の端末識別IDと、経由したユニット(第2、第3ユニット)を管理する集約側端末150の端末識別IDと、目的地のユニット(最終ユニット)を管理する集約側端末150の端末識別IDとを表示している。
まず、認証システムサーバ10Aは、前述の予想移動経路情報を作成するに当って、その基となる履歴情報を抽出する期間と、その履歴情報を抽出する対象端末と、を決定するための条件を設定する(ステップS801)。
次に、認証システムサーバ10Aは、自機内に格納された履歴情報に付帯している端末の端末識別IDを基に、その識別IDの端末を管理する集約側端末150及び、付帯されている端末識別IDが集約側端末150であれば当該集約側端末に対して、前述の決定条件を送信し、履歴情報の抽出処理を指示する(ステップS802)。
各集約側端末150は、認証システムサーバ10Aからその抽出処理の指示情報を受信すると、自機内に格納された履歴情報に付帯している端末の端末識別IDを基に、必要情報を抽出する(ステップS803〜S805)。
この際、各集約側端末150は、全ての履歴情報を対象に抽出処理を行う必要はなく、各集約側端末150から認証システムサーバ10Aにバックアップ情報として未送信の履歴情報だけを抽出対象に限定することもできる。
各集約側端末150は、抽出処理完了後、認証システムサーバ10Aに対して、その抽出処理の結果情報を送信する(ステップS806)。
認証システムサーバ10Aは、各集約側端末150から受信した情報を一時保管すると共に(ステップS807)、自機内及び外部機関サーバ300に格納された履歴情報から前述と同様の抽出処理を実行する(ステップS808)。
次に、認証システムサーバ10Aは、これらの抽出した履歴情報を基に、登録者が所定の行動をとるときの、行動開始時間や行動開始場所といった項目を分析する(ステップS809)。
なお、登録者個人ごとに行動パターンは異なっており、毎日特定の場所に通学や通勤する人と、毎日ばらばらに必要関係先に出掛けている人では、その分析対象とする行動の内容が異なるようにしてもよい。
図85の例では、認証システムサーバ10Aは、「一定時間(曜日)に、どの端末からどの端末に移動したか」という抽出条件による関係端末と、その利用頻度によって予想移動経路情報(マイニング情報)を導き出している(ステップS810)。
この結果、以下に説明するパターン接続とポイント接続とを予想することが可能となる。
このパターン接続とは、ある端末を経由すると次に認識されると予想される端末が複数存在する場合である。図85の例では、第1ユニットの集約側端末150Aを経由すると、第2ユニットで次に予想される端末は集約側端末150Eと集約側端末150Gの2つがある場合である。
一方、ポイント接続とは、ある端末を経由すると次に認識されると予想される端末が、1つしか存在しない場合である。図83の例では、第3ユニットの集約側端末150Kを経由すると、第4ユニットで次に予想される端末は集約側端末150Pだけの場合である。
なお、第17の実施形態での接続先は、登録者の個人情報の登録や認証、データの一時保管等のために設けられた端末である。一方、本実施形態で定義する接続先とは移動関連情報の送信先の端末を指す。
認証システムサーバ10Aは、分析して作成した予想移動経路情報を自機内の所定場所に格納する(ステップS811)。
その後、認証システムサーバ10Aは、作成したマイニング情報を各集約側端末150に送信する(ステップS812)。
各集約側端末150は、そのマイニング情報を受信すると、その受信したマイニング情報を自機内の所定場所に格納し(ステップS813〜S815)、その後の移動情報の作成や移動関連情報の送信等の各種処理時に、このマイニング情報を利活用する。
なお、本実施形態では、前述のマイニング作業の頻度は任意であるが、1週間や1ヵ月といった短期的な一定期間で分析し見直しを実施する方が、過去のマイニング情報との比較分析が容易であり、かつ個人の行動パターンの変化に即応可能となるので望ましい。
本認証システム内に設置された各端末は、このマイニング情報を格納することにより、今後の登録者の行動予定を示す利用可能性情報の送信先を設定することができる。この結果、各端末は、認証処理時等に移動関連情報を即時発信が可能な状態をとること、いわば端末間において連携を図ることができ、認証システム内の個人情報の利活用ユニットの移動が円滑に進むことになる。
また、登録者本人の履歴情報が行動パターン情報に変換されているため、新たに履歴情報が認証システムに入力された場合、この行動パターン情報と比較することが可能になる。
比較の結果、各端末やサーバは、その新たに入力された履歴情報が、従来の行動パターン情報と不整合であると判断した場合には、「その個人情報を入力した人物は登録者個人ではない」と推定し、本認証システムの利活用を停止又は制限することや、アラーム情報により関係者に通知することで、登録者個人生活全般のセキュリティを高めることになる。
<第33の実施の形態>
(情報の移動11:データマイニング2)
本実施の形態では、マイニング情報から、将来的に登録者が向かう移動先を割り出し、その移動先に設置されている端末に対し、各処理の準備を予め行っておくように指示することで、処理の効率化を図る。
本実施形態では、登録者個人が休日午後に、自宅から買い物を目的として、スーパーマーケットに来店するときの、認証システムによる各種動作について説明する。
図86は、登録者の自宅及びスーパーマーケット周囲における認証システムを構成する各端末やサーバ間のネットワーク構成例を示す図である。
この図において、登録者が自宅からスーパーマーケットを訪れるときまでの間に関係する経路が実線で示されている。
図87は、本発明の第33の実施の形態において、登録者個人のマイニング情報から行動パターンを予想し、移動関連情報を送信するための動作例を示すシーケンスチャートである。
まず、登録者個人は、自宅から外出するとき、自身のバイオメトリクス情報を末端側端末160Bに読み取らせ(ステップS821)、末端側端末160Bは、その読み取ったバイオメトリクス情報と移動情報を建物側端末110Aに送信する(ステップS822)。
建物側端末110Aは、これらの情報に含まれる個人情報等を照合する(ステップS823)。
この結果、登録者の実在性が認められた場合、建物側端末110Aは、登録者が自宅から外出したことを認識し(ステップS824)、その登録者による末端側端末160Bからの認証システムの利活用を停止させる旨の情報を、末端側端末160Bに送信する(ステップS825)。
また、建物側端末110Aは、その受信した認証結果により、移動開始情報を作成し、集約側端末150Dに送信する(ステップS826)。
集約側端末150Dは、その移動開始情報を受信すると、当該登録者が利活用するユニットの移行が開始されたことを認識し(ステップS827)、その受信した移動開始情報と、自機内に格納されているマイニング情報とを比較照合して、そのマイニング情報に含まれる当該登録者の行動パターン情報から、最も頻度の高いものを抽出する(ステップS828)。
ここでは、一例として、曜日と行動を開始した時間帯との関係から、登録者が買い物のために外出したときの行動パターンを抽出したものとする。
次に、集約側端末150Dは、当該登録者が利活用するユニットの移行が開始されたことを認証システム内で認識し、今後、各端末が移動関連情報の認識を連続して容易に実施できるようにするために、集約側端末150Dの上位端末である認証システムサーバ10Aに対して、その移動開始情報を送信する(ステップS829)。
認証システムサーバ10Aは、その移動開始情報を受信すると、当該登録者が利活用するユニットの移行が開始されたことを認識する(ステップS830)。
一方で、集約側端末150Dは、マイニング情報との比較結果から、登録者が個人情報を入力する可能性の高いスーパーマーケットの建物側端末110Uの上位端末である集約側端末150Bに対して、移動予告情報を送信する(ステップS831)。
集約側端末150Bは、その移動予告情報を受信すると、今後の登録者による個人情報の入力に備えて、その登録者の個人情報を自機のデータベースから抽出しておく(ステップS832)。
このように、個人実在認証と移動関連情報をマイニング情報と連携させることで、次の2つの効果が生まれる。
第一に、マイニングによる予想ユニット又は端末では、登録者個人が自機ユニット内に移動してくることを予測し、事前準備を行うことで、その後のシステム処理を効率化させることが可能となる。
第二に、登録者個人が、マイニングによる予想先以外に移動することに備え、移動開始情報を認証システムサーバ10Aという広域をカバーする最上位端末にあらかじめ移動させることができる。
やがて登録者個人の個人情報を読み取った端末は、直前の移動開始情報を求めて当該端末の上位端末に順々に検索されることとなり、必然的に、読み取った端末の最上位認証システムサーバに対して検索を行うことになる。この結果、移動関連情報交換のために相互の検索や照会が実施できるのは、最上位認証システムサーバ同士だけとなり、移動関連情報の処理に関わる端末を最低限度に限定させることも可能となる。このため、システム全体に掛かる負荷を軽減することとなる。
<第34の実施の形態>
(情報の移動12:データマイニング3)
本実施形態では、登録者が、休日夜間に自宅から急に散歩に出掛けるといったように、予め認証システム内で特定されている行動パターン以外の行動をとり、次に個人情報が入力される端末が特定できない場合の、認証システムによる各種処理について説明する。
図88は、登録者の自宅周囲における認証システムを構成する各端末やサーバ間のネットワーク構成例を示す図である。
この図において、登録者が突然行動パターン外の行動をとったときの、移動関連情報の移動経路が実線で示されている。
図89は、本発明の第34の実施の形態において、登録者個人のマイニング情報からは行動パターン予想ができない場合に、システム内に移動関連情報を送信するための動作例を示すシーケンスチャートである。
まず、登録者個人は、自宅から外出するとき、自身のバイオメトリクス情報を末端側端末160Bに読み取らせ(ステップS841)、末端側端末160Bは、その読み取ったバイオメトリクス情報と移動情報を建物側端末110Aに送信する(ステップS842)。
建物側端末110Aは、その受信情報に含まれる個人情報等を照合する(ステップS843)。
この結果、登録者の実在性が認められた場合、建物側端末110Aは、登録者が自宅から外出したことを認識し(ステップS844)、建物側端末110Aは、認証結果により移動開始情報を作成し、集約側端末150Dに送信する(ステップS845)。
集約側端末150Dは、その移動開始情報を受信すると、当該登録者の個人情報の利活用場所が移動を開始したことを認識し(ステップS846)、その受信した移動開始情報と、自機内に格納されているマイニング情報とを比較照合して、そのマイニング情報に含まれる当該登録者の行動パターン情報から、最も頻度の高いものを抽出する(ステップS847)。
なお、ここでは、曜日と行動を開始した時間帯との関係から、該当するパターン情報がない旨の情報を抽出するものとする。
該当するパターン情報やポイント情報が存在しない場合には、第一に、自機が設置されている場所に隣接する集約側端末150、第二に、その他の時間帯に利用している近隣の集約側端末150を選択するようになっている。
次に、集約側端末150Dは、個人情報の利活用場所の移動が開始されたことを認証システム内で認識し、今後、各端末が移動関連情報の認識を連続して容易に実施できるようにするために、集約側端末150Dの上位端末である認証システムサーバ10Aに対して、その移動開始情報を送信する(ステップS848)。
認証システムサーバ10Aは、その移動開始情報を受信すると、当該登録者の個人情報の利活用場所の移動が開始されたことを認識する(ステップS849)。
一方で、集約側端末150Dは、登録者の個人情報を次に入力する可能性の高い集約側端末150が特定できていないため、集約側端末150Dが設置されている場所に隣接する集約側端末150E、150F、又は、その登録者の他の時間帯の行動パターン情報に存在する近隣の集約側端末150A、150B、150Cに対して移動予告情報を送信する(ステップS850)。
集約側端末150A、150B、150C、150E、150F(まとめて集約側端末150ABCEFと表記する)は、その移動予告情報を受信すると、今後の登録者による個人情報の入力に備えて、その登録者の個人情報を自機のデータベースから抽出しておく(ステップS851)。
この集約側端末150ABCEFのうち、登録者の個人情報が入力された集約側端末150は、移動停止情報を認証システムサーバ10Aに送信する(ステップS851〜S853)。
認証システムサーバ10Aは、その移動停止情報を受信すると、その受信した移動停止情報に基づいて、登録者の実在性及び移動情報の連続性を判定する(ステップS854)。
認証システムサーバ10Aは、その新たに個人情報が入力された集約側端末150に対して、鍵の開錠等の所定の動作を許可する許可情報を送信する(ステップS855)。
また、認証システムサーバ10Aは、集約側端末150Dに対して、他ユニット移動完了情報の送信を行う(ステップS856)。
集約側端末150Dは、認証システムサーバ10Aよりその他ユニット移動完了情報を受信すると、自機内の移動開始情報を消去させ、ステップS850で移動予告情報を送信した集約側端末150(ステップS851〜S853の動作を行った集約側端末150以外)に対して、その他ユニット移動完了情報の送信を行う(ステップS857)。
これにより、集約側端末150Dからの情報は存在しなくなり、新たな個人実在を確認した集約側端末150を起点とする体制が構築できるのである。
この結果、認証システムにおける全ての端末に対して、移動開始情報を発信する必要はなくなり、ある程度特定した端末との情報交換が行われることとなる。現在、登録者個人がいる空間から距離がある場合や、その登録者の個人情報を入力したことがない端末には、情報は伝送されないものとする。
例えば、現在のメッシュ無線情報システムでは、無線エリア内に存在し、無線を受信できる機能がある全ての端末に情報が伝送されてしまい、その結果、情報流出リスクが高く、システム全体では負荷も大きくなってしまう。
これに対し、本実施の形態における認証システムでは、端末が限定されるために情報流出リスクが低く、システム負荷も軽減が可能となっている。
また、認証システムにおけるサブサーバ群及び集約側端末150は、各登録者の行動パターンを分析し、個人情報の入力が連続して行われる場合には端末間において互いにリンクを設定しておき、認証システム内の情報移動の円滑化を進めるようにしてもよい。
<第35の実施の形態>
(情報の移動13)
図90は、本発明の第35の実施の形態において、移動先に個人実在情報があった場合の動作例を示すシーケンスチャートである。ここでは、個人が勤務先建物に到着した時点をイメージして説明する。
本実施形態では、登録者個人が出勤のため、勤務先建物入口で入館のために個人認証を求めたが、既に建物内に登録者個人を自称して入館している者が存在した場合をイメージする。
まず、登録者個人は、勤務先建物入口に設置された末端側端末160Bにタッチしてバイオメトリクス情報を読み取らせ(ステップS861)、末端側端末160Bは、その読み取ったバイオメトリクス情報と移動情報を建物側端末110Bに送信する(ステップS862)。
建物側端末110Bは、自機内に格納されている情報と、その受信情報とを比較照合し(ステップS863)、登録者の実在性の確認処理を実行するとともに(ステップS864)、今回受信した情報の内から必要な情報(個人情報を読み取った登録者の個人識別ID、読取時期、読み取った端末の端末識別ID等の履歴情報)を新たに自機内に格納する。
また、建物側端末110Bは、勤務先の建築物のユニット内に、登録者の移動停止情報が格納されているか確認する。
その結果、登録者の移動停止情報が、建物側端末110Bが管理するユニット内に存在した場合、建物側端末110Bは、末端側端末160Bから受信した情報の正当性が認められないと判断する(ステップS865)。
このように、同一人物が異なる場所に存在すると認識された場合、本件では勤務先の建物の入口に到着した人物が登録者本人である場合には、勤務先内で他人がその登録者に成りすまし行動している可能性がある。
そのため、建物側端末110Bは、末端側端末160Bから受信した移動情報の正当性が認められないと判断すると直ちに、異常事態を示す情報として「システム利用停止情報」を作成し、その作成情報を建物側端末110Bが管理するユニット内の全端末に送信する(ステップS866)。
また、このとき、認証システム全体の安全性を確保するために、建物側端末110Bは、集約側端末150や認証システムサーバ10にも通知しておくことが望ましい。
更に、建物側端末110Bが管理する端末が、例えば、関係者以外立入禁止の場所に設置されていたり、個人の金融資産に関わる手続きを行う動作を行っていたりといった、重要度の高いものである場合には、異常事態を示す情報を、登録者個人が予め設定した場所に連絡したり、警察に通報するシステムと連動させておいたりしてもよい。
各端末は、この「システム利用停止情報」を受信すると、登録者個人又は登録者個人に成りすましている人物に対して本認証システムの利活用を停止する(ステップS867)。
その後、建物側端末110Bは、登録者の個人情報入力の再実行を促す旨の情報を、末端側端末160Bに送信し、その旨を促す(ステップS868、S869)。
建物側端末110Bは、その登録者の実在性の再検証の結果を参照して、ユニット内に存在していた情報と、今回末端側端末160Bで読み取られた情報とのいずれが真実の個人の実在を示す情報かを検証した上で、そのバイオメトリクス情報入力による本認証システムの利活用を復活させる。
本実施形態では、あるユニットの外側から、そのユニット内側に人物を移動する場合に、そのユニット内側に既に当該人物の実在情報が存在した場合、情報移動やシステム利活用を停止させる。
同一人物が、2ヶ所以上で同時に存在することは、当然ありえないことである。
登録者本人と、その登録者の個人情報とが分離して存在し、流用や悪用等がなされている場合であっても、本認証システムは、このような異常事態を容易に把握し、アラームを報知する等するので、このような情報特有の脆弱性を補完することができる。
<第36の実施の形態>
(情報の移動14)
以下の本実施の形態では、登録者は、百貨店における客、店員又は警備員であって、その百貨店のビル内を移動する場合について説明する。
図91は、本実施の形態において、百貨店に認証システムを構築したときの各端末の設置例を示す図である。
この図の例では、この百貨店には、テナントC、Dが入っている。
図に示すように、この百貨店の建物の出入口には、末端側端末160Bが設置されている。また、テナントCの出入口には末端側端末160Cが、そのテナント内には建物側端末110C、集約側端末150Cが設置されている。同様に、テナントDの出入口には末端側端末160Dが、そのテナント内には建物側端末110D、集約側端末150Dが設置されている。また、エレベータの搭乗口(出入口)には、末端側端末160Eが設置され、閉鎖中のエリアの出入口には末端側端末160Fが設置されている。さらに、建物側端末110Bは、このフロア(百貨店ビルの1階)を管理し、建物側端末110A及び集約側端末150Aは、百貨店ビル全体を管理している。
また、図92は、本実施の形態において、この百貨店に設置された各端末間のネットワークの接続例を示す図である。
この図の実線及び点線は、各端末間を接続するネットワークを示しており、そのうち、実線は、以下に説明する認証処理の際に情報が送受信される経路を示している。
図93は、本発明の第36の実施の形態において、登録者個人が建物内に存在する場合、その存在場所を確認できるシステムの動作例を示すシーケンスチャートである。
まず、登録者個人は、ビル外側から内側に入る際に、ビル1階入口にある末端側端末160Bでバイオメトリクス情報を読み取らせ(ステップS871)、末端側端末160Bは、そのバイオメトリクス情報と移動情報を、ビル全体の管理を行っている建物側端末110Aに送信する(ステップS872)。
建物側端末110Aは、それらの情報を受信すると、その登録者の実在性認証や移動関連情報の連続性の確認等を行う(ステップS873)。
この結果、建物側端末110Aは、登録者の実在性等が確認できた場合、その受信した情報の中から、それらの情報の読取時期及び読取端末の識別IDを抽出し、この抽出情報を用いて、登録者の現在位置を示す現在位置表示ファイルを作成し、画面表示を行う(ステップS874)。
図94は、その現在位置表示ファイルの表示例を示す図である。
この図の例では、登録者がどの時期にどの場所にいたかについて、その登録者の個人情報を確認した末端側端末160の識別ID及び設置場所(建物、エリアの名称)と読取時間をテキスト情報で表示している。
また、図95は、現在位置表示ファイルの他の表示例を示す図である。
この図の例では、登録者がどの時期にどの場所にいたかについて、建物やエリアの地図情報上で視覚情報として表示している。
この図では、登録者の現在位置が星印で示されている。また、この登録者の現在位置を示す情報とともに、その登録者の個人識別ID及び氏名、並びに個人情報の入力時期を表示するようにしてもよい。
また、登録者が建築物入口からテナントD、次いでテナントC、他の階へ移動するためにエレベータEと移動した場合であっても、建物側端末110Aは、同様に、その現在位置を表示する(ステップS875〜S886)。
なお、例えばテナントDとテナントCとを移動する間の廊下や、テナントCとエレベータEとを移動する間の廊下等に末端側端末160をさらに設置する等すれば、登録者の現在位置をさらに詳細に把握することができる。
以上説明したように、ユニット内に存在することを認識された場合、存在を確認した端末の設置位置情報を利活用して、現在存在すると思われるユニットや場所を表示することが可能である。この存在位置情報は、デジタル情報化されているので、表として時系列に存在場所を確認することや、一覧表として関係者全員分を一瞥できるようにすることができる。
さらに、建物状況を表す2次元地図又は3次元地図、4次元情報に、登録者個人の存在場所を組み込んだ方法で表示することもできる。
例えば、デパートの売り場の場合、各売り場を1つ1つを構成分子ユニットとし、デパート全体を母体ユニットとすれば、従業員が移動する度に、移動先にある端末にて個人情報を読み取らせることで、その従業員の現在の位置が容易に相互に把握できる。
このシステムによって、会社や学校であれば特定者の居場所確認や活動状況等を把握できたり、商業施設であれば顧客の特定地域又は店舗への集中状況、顧客の流れの把握、不審者の抽出、建物内迷子の捜索及び助力が必要な人物の状況確認等が可能である。
また、緊急時には当該緊急事態発生場所に存在した人物の特定もでき、その他社会全般のあらゆる局面での利活用が可能となる。
このシステムでは、空間情報を端末の設置位置情報とリンクさせているため、登録者の3次元的位置も容易に認識することが可能である。また、各部屋に端末を設置することで、存在場所の区別も容易に実施することが可能であって、従来のGPSシステム等に生じがちな測定誤差の脆弱性を補完することができる。
また、従来から、建物内に無線システムやICタグや各種センサ等を設置しておき、個人が携帯型端末を持って行動することによって存在位置を確認する技術がある。この技術では、空間情報の脆弱性は補完されるものの、携帯型端末を身体又は身体近くに携帯しているために常時存在場所を監視され、プライバシーの侵害が生じるリスクが高い。
例えば、従来の技術では、デパートの従業員がトイレに行く場合であっても、本人の同意なしに、無意識な状態で行動履歴をとられてしまう危険性があった。
同様に顧客の場合も、立ち止まった場所や歩いた売り場内の通路の記録が本人の同意なしに、無意識な状態でとられてしまい、興味がある又は興味を引いた商品群やサービスが第三者に把握されることになる。
本認証システムでは、登録者が自発的に末端側端末160に個人情報を読み取らせるようにすることで、このようなプライバシーの侵害を避けることができる。
このため、従来の様々な技術を駆使し、例えば、携帯電話の電波を基地局で読み取ったり、街角のカメラによって顔認証システムを稼働させたりといった、個人の意思に関係なく、その存在を認識しようとしていた監視社会的な状況と一線を画することも運用上許容されるのである。
個人の意思が尊重され、又は自己責任や自己判断によって、到着したユニット内の一切の端末で個人情報を利活用しなければ、その場所で行う行動についてプライバシーが確保されることにもなる。
<第37の実施の形態>
(情報の移動15:登録者誘導処理1)
以下、本実施の形態では、登録者が建物内において現在位置から目的地まで移動するときに、認証システムが登録者を目的地まで誘導する処理を行う。
図96は、本実施の形態において、百貨店に認証システムを構築したときの各端末の設置例を示す図である。
この図の例では、この百貨店には、テナントC、Dが入っている。
図に示すように、この百貨店の建物の出入口には、末端側端末160Bが設置されている。また、テナントCの出入口には末端側端末160Cが、そのテナント内には建物側端末110C、集約側端末150Cが設置されている。同様に、テナントDの出入口には末端側端末160Dが、そのテナント内には建物側端末110D、集約側端末150Dが設置されている。また、エレベータの搭乗口(出入口)には、末端側端末160Eが設置され、閉鎖中のエリアの出入口には末端側端末160Fが設置されている。さらに、建物側端末110Bは、このフロア(百貨店ビルの1階)を管理し、建物側端末110A及び集約側端末150Aは、百貨店ビル全体を管理している。
また、このフロア内の通路上には、末端側端末(ナビ)160W1〜W13が設置されている。この末端側端末160W1〜W13には、画面表示、ライト点灯、音声出力等により登録者を目的地へ誘導する機能が備えられている。
図97は、本実施の形態において、この百貨店に設置された各端末間のネットワークの接続例を示す図である。
この図の実線及び点線は、各端末間を接続するネットワークを示しており、そのうち、実線は、以下に説明する誘導(ナビ)動作の際に情報が送受信される経路を示している。
図98は、本発明の第37の実施の形態において、登録者個人が建物内で移動する場合、その移動場所を誘導又は確認できるシステムの動作例を示すシーケンスチャートである。
ただし、この図において、末端側端末160Bと直接接続された建物側端末110Bは、末端側端末160Bと同一とみなし、シーケンスチャートに表記はしない。
また、末端側端末160W1〜160W13と直接接続された建物側端末110Wは、末端側端末160W1〜160W13と同一とみなし、シーケンスチャートに表記はしない。
まず、登録者個人は、ビル外側から内側に入る際に、ビル1階入口にある末端側端末160Bでバイオメトリクス情報を読み取らせ(ステップS901)、末端側端末160Bは、そのバイオメトリクス情報と移動情報を、ビル全体の管理を行っている建物側端末110Aに送信する(ステップS902)。
建物側端末110Aは、それらの情報を受信すると、個人情報の照合手続や登録者の実在確認等を行う(ステップS903)。
建物側端末110Aは、この結果、その個人情報の入力者を登録者個人として確認できた場合、その受信した情報の中から、その情報の読取時期及び読取端末の識別IDを抽出し、この抽出情報を用いて、登録者の現在位置を示す現在位置表示ファイルを作成し、画面表示を行う(ステップS904)。
その後、建物側端末110Aは、登録者個人の実在性又は存在を確認した旨を示す情報を、末端側端末160Bに対して送信する(ステップS905)。
末端側端末160Bは、その登録者個人の実在性又は存在を確認した旨を示す情報を受信すると、その旨を表示する。
登録者は、その表示内容を確認して、末端側端末160Bを用いて、これから自分が訪問しようとしている建物内部の場所を入力する(ステップS906)。ここでは、末端側端末160Bに液晶等のタッチパネル画面が設置されており、その画面上に表示された名称に触れることで、希望目的地を選択できるようになっている。なお、末端側端末160Bには、あらかじめ、その画面上に表示されるテナント名や名称と、その設置場所を明確に判定できる端末識別IDとが互いに対応付けられているテーブルが格納されている。
ここで、登録者は、画面上の「テナントC入口」を選択すると、テナントCの入口に設置された末端側端末160Cの情報を選択したことになるように、認証システム内部で設定されている。
末端側端末160Bは、目的地情報(テナントC入口)が入力されると、登録者個人が移動を開始しようとしていると認識して、その登録者に係る移動開始情報及び移動予告情報を作成し、このうち移動開始情報に、目的地(テナントC入口)に設置される末端側端末160Cの端末識別IDを対応付けて建物側端末110Aに送信する(ステップS907)。
建物側端末110Aは、末端側端末160Bから受信した移動開始情報及び端末識別IDの内容を認識し(ステップS908)、末端側端末160B、160Cの設置位置を参照して、最良の移動経路を算出する(ステップS909)。
この最良の移動経路は、今回移動しようとしている登録者の状況と、建物の状況とを加味しながら、算出するものとする。
例えば、通常、この移動経路は最短距離の経路が導き出されるが、移動予定者が高齢者の場合、多少回り道になったとしても、段差が少ない経路や、エレベータ等を利用する経路を選択するものとする。
建物側端末110Aは、経路の算出が終了すると、末端側端末160Bに対してナビが開始する旨とナビ方法を示す情報を送信する(ステップS910)。
このナビ方法は、今回移動しようとしている個人の状況と、建物の状況とを加味しながら、決定されるものとする。例えば、移動予定者が視覚障害者であれば音声誘導、聴覚障害者であれば視覚的誘導するようになっている。
また、建物側端末110Aは、今回の経路上に設置されている末端側端末160W1〜160W6に対して、それらの端末の作動する順番や、表示時間、作動方法等のナビシステム稼動用の情報を送信する(ステップS911)。
末端側端末160W1〜160W6は、その受信したナビシステム稼動用の情報を基に、ナビ表示の実行準備を行う(ステップS912)。
末端側端末160Bは、建物側端末110Aより受信したナビ方法を表示して登録者個人に通知する。ナビ方法を確認した登録者個人は、確認した旨の情報を末端側端末160Bに入力する(ステップS913)。
末端側端末160Bは、この入力動作により、登録者が行動を開始したと認識し、前述の作成済みの移動予告情報を目的地付近の末端側端末160Cに送信する(ステップS914)。末端側端末160Cは、この移動予告情報を受信すると、該当する登録者の個人情報等を自機内のデータベースから抽出して、登録者の移動に備える(ステップS915)。
その後、末端側端末160W1〜160W6は、音声、文字、画像等で、登録者にナビ情報が提供される(ステップS916)。
ここで、末端側端末160W1〜160W6によるナビ方法の具体例について説明する。
末端側端末160W1〜160W6が建物の床に設置されており、端末内に発光ダイオードや電球といった視覚情報発信装置を付属させている場合には、登録者個人は順番に点灯するナビ端末を辿ることによって目的地(テナントC)に誘導される(以下では、このナビ方法をナビライトとする)。
また、末端側端末160W1〜160W6は、発光ダイオードが点灯する速度を、今回移動しようとしている個人の状況により、健常者が歩く速度から、高齢者が歩く速度のように変化させることができる。
また、同時期に複数の人がナビライトを利用することもあるので、建物側端末110Aは、末端側端末160W1〜160W6に対して、点灯や表示をする際に、それぞれ特有の色となるよう通知しておくこともできる。
また、経路が複雑な場合や、登録者が発光ダイオードの点灯を見失った等の場合には、登録者は、その時点で近隣にある末端側端末160に個人情報を読み取りさせれば、その読み取った端末と目的地の間で再度経路が設定、表示されるようにすることも可能である。
また、本実施の形態においては、個人情報は、登録者個人の移動に伴って、登録者個人の存在場所でしか利活用されないようになっている。
まず、末端側端末160Bで認識されるまでは、ビル集約型端末150Aで管理されるユニットの外でしか、利活用されない。
次いで、末端側端末160Bでナビ情報が表示され、登録者個人が移動を開始すると、末端側端末160Bと末端側端末160Cとを繋ぐ、ビルの廊下又はホール内でしか、利活用されない。
最終目的地である末端側端末160Cで認識されると、テナントCを管理する店舗集約型端末150Cで管理されるユニットの中でしか、利活用されない。
そのため、利活用されるユニットは、登録者個人の行動に伴って移動するため、他人によるなりすましを防止することができる。
<第38の実施の形態>
(情報の移動16:登録者誘導処理2)
以下、第37の実施形態の登録者に対する移動経路の誘導動作の一部分について補足的に説明する。
なお、登録者個人の移動経路は既に認証システム内で認識されており、登録者はその移動途中にあるとする。
図99は、この登録者に対する移動経路の誘導動作を説明するための認証システムの各端末の設置例を示す図である。
図の例では、ビル全体を管理する集約側端末150が設置され、その管理下に、そのビル内の所定エリアの末端側端末160を管理する建物側端末110A、110Cが設置されている。また、建物側端末110Aに管理される末端側端末160A、160Bと、建物側端末110Cに管理される末端側端末160C、160Dとが設置されている。
このうち、末端側端末160A、160Dは、登録者の接近を感知し、その個人情報(顔認証が可能)を読み取るセンサーとしての機能を備えている。また、末端側端末160B、160Cは、音声により登録者に移動経路を誘導する機能を備えている。
また、図100は、本実施の形態において、このビル内に設置された各端末間のネットワークの接続例を示す図である。
この図の実線及び点線は、各端末間を接続するネットワークを示しており、そのうち、実線は、以下に説明する誘導(ナビ)動作の際に情報が送受信される経路を示している。
図101は、本発明の第38の実施の形態において、登録者個人が建物内で移動する場合、その移動場所を誘導又は確認できるシステムの動作例を示すシーケンスチャートである。
集約側端末150は、登録者が最後に個人情報を入力した末端側端末160から受信した移動開始情報を認識すると(ステップS921)、その移動開始情報に含まれる、その送信元及び目的地付近の端末の端末識別IDから、その経路を算出し(ステップS922)、その経路上の末端側端末160の設置場所を認識する(ステップS923)。
集約側端末150は、その算出した移動予告情報を建物側端末110Aに送信する(ステップS924)。この移動予告情報には、登録者の予想移動経路上において、この建物側端末110Aのユニットの次に移動するユニット(本実施の形態では末端側端末160Cのユニット)における端末の情報も含まれている。
建物側端末110Aは、その移動予告情報から個人情報を抽出して、個人情報の照合の準備を行う(ステップS925)。
末端側端末160Aは、登録者がエレベータを降りた瞬間にバイオメトリクス情報(ここでは顔情報)を読み取り(ステップS926)、そのバイオメトリクス情報と移動情報を、建物側端末110Aに情報を送信する(ステップS927)。
建物側端末110Aは、それらの情報を受信すると、その情報により登録者の実在照合を行った上で(ステップS928)、登録者が自機管理下の空間から次の空間に移動するために最適な文言を作成し(ステップS929)、末端側端末160Bに送信し(ステップS930)、末端側端末160Bにて音声誘導情報を発信させる(ステップS931)。本実施形態では、「エレベータを降りた状態のまま、右手方向に直進ください」という内容をアナウンスさせる。
また、建物側端末110Aは、次にバイオメトリクス情報(ここでは顔情報)を読み取る端末を管理する建物側端末110Cに移動開始情報を送信する(ステップS932)。
以下、登録者個人が移動することで、建物側端末110Cにおいても同様の処理(ステップS933〜S939)が実行される。
現在、糖尿病や緑内障等によって後天的に視覚に障害を持った人が、約40万人存在する。高齢化と成人病の増大により、これからその数は増加する一途と考えられる。先天的又は若年の内に視覚に障害を持ち、養護学校等で専門的な訓練を受けた人は、「点字」や「点字ブロック」等を容易に利活用できることが多いが、高齢になって視覚に障害を持った人には習得が困難である場合がほとんどである。
建物の出入口、エレベータ出入口、エレベータボタン、部屋のドア等に末端側端末が設置されている場合、登録者が視覚に障害を持っていることを本認証システム内で認識すれば、必要な移動支援情報を提供することもシステム運用の中から容易になる。
例えば、エレベータであれば、降車階数を入力するボタンに末端側端末を設置しておき、階数を押した際に、端末が押した人物の指紋等からその人物の状況を認識して、支援の必要があれば移動予告情報を降車予定階の各端末に送信しておくことも実現できるようになる。
本認証システム内で認識した、又は算出した移動経路情報はデジタル情報であるため、その情報を受信する機器に応じて様々に変化させることが容易である。このため、デジタル誘導情報は、聴覚を利用できる音声放送や、視覚を利用できる照明信号や、触覚を利用できる振動等に変換可能である。
本認証システムでは登録者の実在登録時に様々な個人情報を登録できるので、登録者個人に何らかの身体的な障害が存在した場合、その状況下にあっても登録者個人に容易に伝達できる方法にデジタル誘導情報が変換されるように設定しておくもできる。
現在考えられている移動支援技術は、特定の身体的な障害に対応するものであるが、本認証システムでは汎用的な対応も可能とする。また、従来の移動支援技術は、人間がその設置場所に到着して初めて必要な手順を実施するが、本認証システムでは、移動予告情報を活用することで、瞬時の対応を可能とし、円滑な移動補助を行うことができる。
<第39の実施の形態>
(情報の移動17:エレベータ動作制御)
本実施形態では、第37の実施形態の一部分について補足的に説明する。センサーはバイオメトリクス情報の内、顔認証システムを識別できる機能を有している。移動者は視覚障害者であり、マンションの5階に自宅があるものとする。
また、認証システムの各端末には、前述の登録者の行動履歴を表すマイニング情報が格納されているものとする。
図102は、本実施の形態において、自宅マンションにおける認証システムの各端末の設置例を示す図である。
図に示す例では、そのマンションの自宅には、その自宅ドアノブの外側と内側にそれぞれ末端側端末160A、160Bが設置され、自宅にはこれらの端末を管理する建物側端末110Aが設置されている。
また、エレベータの階指定及び動作ボタンに連動するように末端側端末160Cとともに、このエレベータの動作を制御する末端側端末160Dが設置されている。また、これら末端側端末160C、160Dを管理する建物側端末110Cがエレベータに設置されている。
図103は、本実施の形態において、このマンションに設置された各端末間のネットワークの接続例を示す図である。
この図の実線及び点線は、各端末間を接続するネットワークを示しており、そのうち、実線は、以下に説明するエレベータ動作制御の際に情報が送受信される経路を示している。
図104は、本発明の第39の実施の形態において、登録者個人が建物内で移動する場合、移動に応じて周辺機器が予備動作を実施するシステムの動作例を示すシーケンスチャートである。
まず、登録者個人が自宅ドアのドアノブの内、室内側に設置されたドアノブを掴み、外出のためにドアノブを開ける。このとき、ドアノブに付帯された末端側端末160Bは、バイオメトリクス情報を読み取り(ステップS941)、そのバイオメトリクス情報と移動情報を、建物側端末110Aに送信する(ステップS942)。
建物側端末110Aは、自機内に格納された情報と受信情報とを比較照合し、登録者実在確認を実施するとともに(ステップS943)、登録者個人が移動を開始したことを認識する(ステップS944)。
その後、建物側端末110Aは、集約側端末150に対し、その移動開始情報を送信する(ステップS945)。
集約側端末150は、移動開始情報を受信後、自機内にあるマイニング情報と比較して、予想される経路を分析する(ステップS946)。
本実施形態では、登録者は自宅を出発すると、5階から1階にエレベータにより移動することが認識される。
また、集約側端末150は、登録者が移動を開始したこと(登録者が利活用するユニットの移行が開始されたこと)を認識する(ステップS947)。
次に、集約側端末150は、エレベータを管理する建物側端末110Cに対して、マイニング情報等による移動予告情報と、移動開始情報の送信元(末端側端末160B)を示す情報とを送信する(ステップS948)。
エレベータを管理する建物側端末110Cは、それらの情報を集約側端末150から受信すると、登録者が移動を開始したこと(登録者が利活用するユニットの移行が開始されたこと)を認識する(ステップS949)。
本実施形態では、建物側端末110Cは、5階から1階に登録者個人が移動することを認識する。
次に、建物側端末110Cは、その受信した移動予告情報及び移動開始情報送信元情報と、自機の設置された空間情報とに基づいて、登録者が今後とる経路とその目的地を算出して推定する(ステップS950)。なお、この際に、自宅とエレベータドアとの既存の平均移動時間情報や、移動距離と平均歩速により算出した移動時間によって、エレベータドア前に到着する時間を予測しておいてもよい。
登録者個人が5階のエレベータドアに到着すると予想される時刻に、建物側端末110Cは、5階にエレベータが到着するように、末端側端末160Dに対して指示する(ステップS951)。
末端側端末160Dは、その建物側端末110Cからの指示に応じて、その到着予想時刻に5階に到着するようにエレベータの動作を制御する(ステップS952)。
以上説明したように、登録者の行動予測が、エレベータ等の所定の装置を制御する末端側端末160に送信されると、末端側端末160が登録者の到着前にエレベータを動作させるので、登録者は、自分の行動パターンに沿ったサービスを受けることができるようになる。
例えば、認証システムが、登録者が帰宅途上であることを認識すれば、自動的に自宅の冷暖房機が稼動を始めることや、室内外の照明を点けるといった動作が可能となる。また、通勤途上であることを認識すれば、勤務先のPCやコピー機等の機器の稼動を開始させることも可能である。
このように、本認証システムでは、登録者が利活用するユニットの移行を支援するシステムが運用されることにより、登録者の行動範囲全般で、機器に円滑に動作準備を実行させ、個人に合わせた機能を自動的に提供することできるようになる。
従来のユビキタス技術は、個々の独立した技術が、ばらばらに存在した構成となっているが、本認証システムでは、これらの技術は人の行動に従属した1つの連動した仕組みとなり、総合的なサービスを登録者に提供できるようになるのである。
<第40の実施の形態>
(情報の移動18:初回訪問時の脆弱性補完)
本認証システムでは、個人情報を利活用するとき、個人情報の照合による実在認証が必須である。このため、あらかじめ登録者個人は、関係している端末やサーバ等に対し、実在認証の基礎となる個人情報、例えば、バイオメトリクス情報を登録しておき、システムの利活用時に読み取った情報と比較照合して、実在認証を行うこととしている。
しかし、初めて訪問した場所には、原則的には比較照合する基礎個人情報が存在していない。
このようなとき、以下に説明する本実施の形態のように、電子記録媒体を介在させて、基礎個人情報が存在する端末と、現時点で利活用しようとする端末とをネットワーク上で接続させ、登録者が利活用するユニットの移行や移動関連情報の取得を補助させるものとする。
図105は、本発明の第40の実施の形態において、登録者個人が初めて訪問した場所で、情報の連続性を確保するためのシステムの動作例を示すシーケンスチャートである。
まず、登録者は、自分自身の個人情報等を末端側端末160等を用いて認証システムサーバ10に登録する。なお、この登録動作については、第1の実施形態と同様であるので、詳細については省略する。
認証システムサーバ10がこの登録者の個人情報等を受信すると受信した内容を表示し、このサーバの管理機関は、この個人情報等を検討して、その人物の実在性について検証する。この登録者の実在性が認められた場合、この認証システムサーバ10は、その登録者に対して正式な個人識別IDを決定する(ステップS961)。
認証システムサーバ10は、この決定された個人識別IDを集約側端末150Aに送信する(ステップS962)。
また、認証システムサーバ10は、集約側端末150Aに対して、登録者の個人情報や個人識別ID等が格納された誘導電子記録媒体を発行する旨の指示情報を送信する(ステップS963)。
この誘導電子記録媒体は、ICチップやICタグ等の電子記録媒体を示し、例えば、この誘導電子記録媒体は、ICカードやユビキタス・コミュニケーターや携帯電話等の情報携帯可能物に備えられている。
集約側端末150Aは、受信した個人識別ID等を、誘導電子記録媒体に書き込み、登録者専用の誘導電子記録媒体を発行する(ステップS964)。
集約側端末150Aは、認証システムサーバ10からの指示通り手続完了した場合には、その完了通知を認証システムサーバ10に送信する(ステップS965)。
図106は、この完了通知の内容の一例を示す図である。
図に示すように、この完了通知は、情報携帯可能物の名称や、電子記録媒体の種類、格納日時、手続担当者名、手続場所等といった情報を含んでいる。この情報は、認証システムサーバ10にある登録者個人の個人フォルダに格納される(ステップS966)。
その誘導電子記録媒体には、登録者の個人識別IDと、当該登録者個人のメインユニット又はサブユニットを管理する集約側端末150の端末識別IDのみが書き込まれる。これらの両IDをまとめて、以下、記録媒体格納IDという。
個人情報の流出を防止するため、個人名や住所等の基本情報さえも誘導電子記録媒体には格納はしないこととする。
また、個人情報の悪用を防止するため、誘導電子記録媒体を読み取った端末は、記録媒体格納IDのみを表示又は通知するようにし、他の内容は表示及び通知しないようにすることも可能である。
その誘導電子記録媒体が盗難や紛失にあった場合でも、誘導電子記録媒体の単体には登録者個人の個人情報等が最小限度しか格納されていないため、第三者は認証システムを全く利活用できないと共に、情報の流出リスクは最小限度に食い止められることとなり、セキュリティ効果が高められる。
登録者は、初めて訪問した先で、まだ自分の個人情報が登録されていない末端側端末160を用いて、個人実在検証や、個人情報の利活用等が必要になった場合には、情報携帯可能物に格納されている誘導電子記録媒体を利用する。
まず、登録者個人は、末端側端末160に誘導電子記録媒体の中にある記録媒体格納IDを読み取らせる(ステップS967)。
末端側端末160は、読み取った記録媒体格納IDから、集約側端末150Aが登録者個人の情報照会先であることを認識する(ステップS968)。
次いで、末端側端末160は、登録者個人のバイオメトリクス情報を読み取り(ステップS969)、その読み取ったバイオメトリクス情報と移動情報と、実在認証依頼する旨を示す情報と、を集約側端末150Aに送信する(ステップS970)。
集約側端末150Aは、バイオメトリクス情報を受信すると、その受信した情報を自機内にある個人情報と照合して実在性を検証すると共に、当該個人の移動関連情報をシステム内で検索して連続性を判定する(ステップS971、S972)。
この結果、集約側端末150Aは、登録者の実在性と移動情報の連続性を充足できたと判断した場合には、末端側端末160に対し、システム利活用の許可情報を送信する(ステップS973)。
末端側端末160は、この集約側端末150Aから送信された許可情報を受信する(ステップS974)。
一方で、集約側端末150Aは、検索で判明した当該個人の移動関連情報を有する端末(ここでは建物側端末110)に対して、現在の登録者個人が存在する端末(ここでは末端側端末160)の端末識別IDを送信する(ステップS975)。
建物側端末110は、この末端側端末160の端末識別IDを受信すると、登録者が末端側端末160に移動したこと(登録者が利活用する端末が末端側端末160に移行したこと)を認識し(ステップS976)、移動開始情報を末端側端末160に対して送信する(ステップS977)。
末端側端末160は、集約型端末150Aから許可情報を、建物側端末110から移動開始情報を受信する(ステップS978)と、登録者の確認がされたと判断して、鍵の開錠等の端末に求められた処理を実行する(ステップS979)。
以上説明したように、誘導電子記録媒体に格納された記録媒体格納IDを読み取った末端側端末160は、ネットワークを介して、当該個人の中心的情報集積場所である当該個人のメインユニットを管理する集約側端末150に照会を実施する。
この照会機能により、面前の人物から提供された個人情報がシステム内で比較照合することが可能となり、容易に本人実在を検証する仕組みが提供される。
なお、登録者個人が誘導電子記録媒体に頼らず、口頭や文書で個人識別IDと集約側端末150の端末識別IDの情報を伝えても、同様な効果があるのは言うまでもない。しかし、口頭の場合、個人識別IDや端末識別IDを間違って記憶していることや、入力の際に第三者に情報が認識されてしまうリスクがある。文書の場合では、「紙」という「モノ」に情報が記載されているために、文書の取扱い次第では、容易に第三者に情報が認識されてしまうリスクや、情報が回覧されてしまうリスクもあるので、極力、誘導電子記録媒体を利用することが望ましい。
また、本認証システムの移動関連情報を利用することによって、登録者が利活用するユニットが、登録者個人のその時点での現在位置のユニットに移行することとなり、現在いる場所で、自分が有する個人情報の全てを必要に応じた形で利活用することが可能となる。
例えば、登録者が初めて買い物や飲食のために入ったお店で個人実在認証を実施して、そのまま支払いのために電子マネーを使用することや、病院初診時に個人実在認証を実施して、既往の電子カルテ情報をその初診の病院側に提示し、銀行口座から引き落として診療費を支払うことができる。
このシステムにより、個人の実在と、社会活動で個人情報を利活用する行為、電子マネー、電子銀行口座、電子クレジットカード、電子身分証明書等が一体化された環境の中で運用されることになり、円滑な情報管理と安全性を提供することが可能となる。
<第41の実施の形態>
(情報の移動19:誘導電子記録媒体を用いた匿名による取引)
以下に示す実施の形態では、登録者は、自身の氏名等の個人情報を伏せたまま、個人識別IDを提示し、末端側端末160を介したサービスの利活用(鍵の解錠、情報の提示、電子マネーの使用、保険契約など)を希望しているものとする。
本認証システムを利活用できる個人は、あらかじめシステムに登録を行っており、その登録の際には個人の実在性が検証されている。本実施の形態では、さらに、補助手段として前述の誘導電子記録媒体を活用している。
この誘導電子記録媒体をシステム内で活用すれば、匿名性を保持したまま、様々な必要サービスの提供を受けることも可能である。
以下に説明する動作の流れの前に、前述の誘導電子記録媒体を用いた個人認証と、登録者が利活用するユニットの移行とが完了しているものとする。また、個人情報の開示範囲は登録者個人が決定し、その開示範囲が認証システム内の各個人情報に付与されているものとする。
図107は、本発明の第41の実施の形態において、登録者個人が匿名のままシステムを活用する際のシステムの動作例を示すシーケンスチャートである。
まず、登録者個人は、匿名で認証システムを利用する旨をその末端側端末160に入力する(ステップS1001)。
末端側端末160は、自機に設定されている利用目的(鍵の解錠、情報の提示、電子マネーの使用、保険契約など)を検討し、匿名での利用を許可するか否かを決定する。
匿名での利用が許可された場合、登録者は、自身の個人識別ID、利用内容及び日時の情報等を末端側端末160に登録する(ステップS1002)。
その後、その登録者による利用に問題がない場合には(ステップS1003/無)、末端側端末160は、その登録者個人の実名や住所等といった個人情報を認識しないままとなる。このまま、アフターサービスやクレーム申立て等の期間が経過すれば、その利用が完了した状態になる。
なお、登録者個人側から末端側端末160側に何らかの申立てや要求を行う場合には、ステップS1001にて登録した個人識別IDを末端側端末160側に提示することによって、認証システムの利用を行った本人であることを証明すればよい。
一方、登録者が利用に際し、違法な行動等を行い、問題が生じた場合には(ステップS1003/有)、末端側端末160は、警察等に設置されている組織側端末120に対して、登録者個人を特定するための捜査依頼を送信する(ステップS1004)。
組織側端末120は、この捜査依頼を受信すると、警察側の承認を意味する入力がされた上で、この依頼内容に沿った捜査令状の内容を示す捜査令状情報を作成する(ステップS1005)。
組織側端末120は、認証システムサーバ10に対し、この捜査令状情報とともに、このサーバの管理機関側に該当する登録者の個人情報の開示を要求する旨の情報を送信する(ステップS1006)。
認証システムサーバ10によりこれらの情報を受信すると、このサーバの管理機関側は、捜査令状といった法的な根拠に基づく開示要求であることを確認する。
その確認後、認証システムサーバ10は、登録者個人の登録情報からその捜査に必要部分(氏名、性別、生年月日、住所、勤務先等)を抽出して(ステップS1007)、警察内の組織側端末120に送信する(ステップS1008)。
組織側端末120は、その登録情報を受信すると、その情報内容の属性と、捜査令状の内容とに基づいて、各項目が情報公開に適当であるか否かを判断する(ステップS1009)。
このとき、警察側は、組織側端末120の画面上にその登録情報を表示し、その表示内容を確認して情報公開の可否を判断し、組織側端末120にその可否を項目ごとに入力していくようにしてもよい。
組織側端末120は、このようにして決定した情報の開示範囲の情報を末端側端末160に送信する(ステップS1010)。
末端側端末160は、その開示可能な登録者の個人情報を受信すると、その受信情報を表示する(ステップS1011)。
その後、警察や末端側端末160側は、違法な手続や取引を行った登録者の捜査や訴訟の手続を進行させる。
以上説明したように、本認証システムでは、登録者は登録時点で実在検証されている上に、移動関連情報の活用によって実在の連続性も確保されている。このため、登録者個人毎に割当てられた個人識別IDを活用し、実在認証の上で取引を実施すれば、実名取引や個人情報の提示といった行為は必要がない。
もし、問題が生じれば、個人識別IDの対象者の個人情報は、認証システム内にある登録情報から必要情報を抽出できるだけでなく、今時点で個人識別IDの対象者の居所さえ把握可能である。
単に、実名を仮名に変換する方式では、個人の実在性と連続性を確保していないので、なりすましが混在するリスクがある。しかし、本認証システムでは、登録者の本人確認も実施した上で取引を行い、行動記録も残しているので、第三者がなりすます余地もなく、匿名とはいえ、取引の安全性を確保しているのである。
ここでは、警察を介する実施の形態について説明したが、「公益法人実名調査委員会」を設け仲裁機関とすることや「弁護士会」や「消費者保護センター」といった第三者機関を介在機関とすることも考えられる。
また、問題発生時には、当事者同士が、直接、認証システムサーバ10の管理機関に対して、開示要求を行える旨を取り決めた場合には、その契約意思を尊重して管理機関が開示してもよい。
このように、本認証システムを用いることにより、問題発生時には個人識別IDを基に何らかの調査や措置が可能である一方で、自分も個人識別IDしか知られずにプライバシーを保護できるといった解決策を講じることができる。この結果、セキュリティとプライバシーのバランスを確保した安全で安心なシステムを提供することもできるのである。
この認証システムは、例えば、航空機の搭乗者と航空会社、又は搭乗者同士という公共交通機関利用にも応用できる。また、入院患者と病院、又は入院患者同士の例、宿泊客とホテル、又は宿泊客同士の例、講演会聴講者と主催者、又は聴講者同士という一定時間を共通空間で生活する例、CD又はビデオレンタル希望者とレンタル会社、又は民間私書箱の申込者と提供者、又はネットオークションの関係者といった実名非公開希望が多い商取引の場合にも応用できる。
<第42の実施の形態>
(情報の移動20:同一バイオメトリクスの異形態登録)
以下、登録者個人は、認証システムサーバ10の管理機関を訪問して、自身の登録手続を行うときの、認証システムによる各種動作について説明する。なお、各種処理については、特記しない限り、第1の実施の形態と同様であるものとする。
登録者が訪れる管理機関側では、末端側端末160A、160B、160Cが設置されており、それぞれは指紋情報をバイオメトリクス情報として読み取ることができる機能を有している。
また、末端側端末160AはA社製、末端側端末160BはB社製、末端側端末160CはC社製のものであり、それぞれの製造メーカー独自の読取方式によって指紋画像をデジタル処理化して照合するものとする。
図108は、本発明の第42の実施の形態において、登録者個人が、特定身体部分のバイオメトリクス情報を異なる読取方式によって同時に複数登録する際の認証システムの動作例を示すシーケンスチャートである。
まず、登録者個人は、末端側端末160Aに搭載されたバイオメトリクス情報読取機能を利用し、自身のバイオメトリクス情報を読み取らせる(ステップS1021)。
末端側端末160Aは、読み取った情報を通信回線網200を介して当該末端側端末160Aの上位端末となるサブサーバ群に送信する(ステップS1022)。
末端側端末160Aからバイオメトリクス情報を受信したサブサーバ群は、登録者個人の情報が存在するか否か、自機内のデータベースに検索を行い(ステップS1023)、登録者個人の情報がないことを確認した上で、登録者個人の個人情報を格納する個人別フォルダを準備し(ステップS1024)、格納する(ステップS1025)。
また、サブサーバ群は、「仮個人識別ID」を登録者個人に付与し(ステップS1026)、この仮個人識別IDとともに、登録完了を示す情報を末端側端末160Aに送信する(ステップS1027)。
末端側端末160Aは、その登録完了情報を受信すると、ステップS1021にて読み取った自機内にある情報を抹消する(ステップS1028)。
続いて、末端側端末160Bでもバイオメトリクス情報を読み取るとともに、付与された個人識別IDを入力し(ステップS1029)、この読取及び入力情報をサブサーバ群に送信する(ステップS1030)。
その後、情報登録での同様の処理を行い(ステップS1031〜S1033)、末端側端末160Cでも同様の処理を実行する(ステップS1034〜S1038)。
このようにして、互いに異なる方式により読み取られた同一内容のバイオメトリクス情報を、1つの(仮)個人識別IDに対応付けられる。
この結果、本実施形態では、「右手人差し指」の指紋について、3種類の認証方式でバイオメトリクス情報が登録されたことになる。
現在の運用状況では、読取方法やデータ変換の違い、データ分析方法の違い等(以下、読取方法とする)から、それぞれのバイオメトリクス読取情報は互換性ない。さらに、既にバイオメトリクス情報読取機器が読取方式の異なるままに複数のメーカーから世界市場に供給され、もはや1つの技術方式に統一が困難であるため、認証システムにおいて、同一のバイオメトリクス情報を異なるものと認識してしまう可能性がある。
このような場合であっても、本実施の形態における認証システムを用いることにより、以後の活用の際に、一度の作業でデータベース内の複数の情報と比較照合が可能となり、登録者個人の利便性が向上する。
なお、登録者個人が自己判断で読取方法を選択し、登録してもよく、全ての読取方法で登録する場合もあれば、一部分だけの登録方法もある。
図109は、バイオメトリクス情報が複数の読取方式で登録された場合に、どの読取方式で登録されたものかを表わした一覧表の一例を示す図である。
この図の例では、右手親指指紋を「101」、右手人指し指指紋を「102」、・・・と、各バイオメトリクス情報の内容をコードで示すことが定められている。
また、読取方式(読み取った末端側端末160)に応じて、「Aaa」、「Bbb」、・・・とコードが割り振られている。
例えば、末端側端末160Aで右手人指し指指紋を読み取った場合、そのバイオメトリクス情報のコードは、「Aaa102」となる。
設置された端末の端末識別IDの中に、この対象コードを含ませておけば、読取データの送信端末の端末識別IDと、データベース内の登録情報に付与された対象コードを比較照合することで、容易かつ瞬時に検索や識別を実行することができる。
また、認証システム内にハッカーが侵入した場合にも、定期的に対象コードを一括変更することや、対象コードと乱数を組み合わせることで、基礎データの種別把握を困難にすることができる。
<第43の実施の形態>
(情報の移動21:実在不一致のときのアラーム報知)
認証システムにおいて、登録者の個人情報の照合を行い、その結果不一致となる原因としては、「第三者によるなりすまし」の他に、個人情報の読み取りを行う端末の誤作動等、様々なものがある。
本実施の形態において、認証システムは、このような個人情報の照合の不一致が発生するごとに、その原因などが記された不一致情報登録票を作成し、集計する。
図110は、この不一致情報登録票の一例を示す図である。
図に示すように、この登録票には、不一致が発生した端末の識別ID、発生時間、発生原因、利活用者の個人識別ID、状況確認者の個人識別ID等といった情報が含まれている。この情報は、最終的には認証システムサーバ10に集約されて格納される。
図111は、本発明の第43の実施の形態において、本認証システムを利活用した際に、個人情報の照合や実在の検証が不一致であった場合に、その不一致となった原因を収集するための動作例を示すシーケンスチャートである。
まず、録者個人は、末端側端末160でバイオメトリクス情報を読み取らせ(ステップS1041)、末端側端末160は、そのバイオメトリクス情報と移動情報を、サブサーバ群に送信する(ステップS1042)。
サブサーバ群は、バイオメトリクス情報と移動情報を受信すると、その受信したバイオメトリクス情報と、自機内に格納されている登録者のバイオメトリクス情報とを照合する(ステップS1043)。
サブサーバ群は、照合の結果、末端側端末160で読み取ったバイオメトリクス情報が、当該登録者個人の登録情報と一致しないと判断した場合、その内容を示した不一致情報登録票を作成する(ステップS1044)。
この不一致情報登録票は、末端側端末160からのバイオメトリクス情報が、照合の結果、認証システム内に既に登録されている登録者の登録情報と不一致であった場合に作成されるファイルであって、その末端側端末160の端末識別ID、読取時間、検証時間、利活用者の個人識別ID等の情報を含むものである。
その後、サブサーバ群は、照合の結果が不一致となり認証システムの利活用を停止させるための情報と、再検証及び原因調査を依頼する旨を示す情報とを、末端側端末160に対して送信する(ステップS1045)。
なお、このとき、サブサーバ群は、今回作成した不一致情報登録票を併せて送信し、末端側端末160での原因入力や調査事項確認の資料として活用できるようにすることが望ましい。
末端側端末160は、サブサーバ群より不一致情報を受信すると、再検証のために再度バイオメトリクス情報の読取手続きを行うことを登録者個人に依頼する旨のメッセージの音声出力及び/又は画面表示を行う。
ここで読み取られたバイオメトリクス情報は、上述のステップS1041〜S1045の処理を繰り返すことになる。
末端側端末160又は末端側端末160を運営する人物は、登録者個人からの聴き取りや、端末の故障点検といった原因の調査を実施する(ステップS1046)。
この結果、判明した不一致原因を示す情報を末端側端末160よりサブサーバ群に送信し(ステップS1047)、サブサーバ群は、その不一致原因を示す情報を、不一致情報登録票に書き込む(ステップS1048)。
このとき、不一致情報登録票には、発生原因や、状況確認者の個人識別ID等の情報が書き込まれる。
その後、サブサーバ群は、一定期間又は一定件数又は上位端末から指示ある時に、格納した不一致情報登録票を、自機を管理する集約側端末150に送信する(ステップS1049)。
集約側端末150は、管理する下位端末から収集した不一致情報登録票を取りまとめて(ステップS1050)、認証システムサーバ10に送信する(ステップS1051)。
認証システムサーバ10は、各集約側端末150から集まった不一致情報登録票を集計し、情報の不一致が発生する原因や問題点を分析し(ステップS1052)、以後の技術開発やシステム運用に活用する。
例えば、不一致が発生することの主な原因が読取上の問題であった場合には、機器開発メーカーとの技術調整を行い、新製品の開発や機器の改良を促すことで、より登録者個人の利便性の高い端末を設置することが可能となる。
また、登録者個人の個人情報が流出し、連続性の問題点から不一致となった場合には、認証システムは、当該個人情報の真の所有者たる登録者の端末に、情報流出に注意を促す情報を通知することも可能である。
その上で、個人情報の流出頻度が高い個人については、移動関連情報と認証処理の集中管理を行うことで、登録者本人になりすましてのシステム利活用を防止することも可能であり、セキュリティを高める効果もある。
また、個人情報を盗用する犯罪者は、その盗用情報を使用した行為時点で、即時に登録者本人でないことが判明することになるので、盗用をできにくくなる。このため、犯罪の抑止効果が生じることになる。
<第44の実施の形態>
(情報の移動22:不正者の利活用制限1)
以下、なりすまし等により不正に認証システムを利活用した者に対する、認証システムの利活用制限処理について説明する。
図112は、本認証システムの利用を制限又は停止された人物の情報を管理するために使用する利用制限者登録票を示す図である。この登録票には、利用制限を認定された理由や、認定時間、制限内容や、制限解除予定時間等といった情報を含んでいる。この情報は、認証システムサーバ10に集約されて格納されている。
図113は、本認証システムの利用を制限又は停止を行う場合の、利用制限基準表を示す図である。この利用制限基準表には、制限又は停止処分を受ける基準が、明確に規定されており、不正利用した行為がこの基準表に合致すると、当該内容の制限又は停止処分が行われる。
例えば、この基準表に規定される不正行為は、罪刑法定主義に基づき、あらかじめ設定されている。その内容は、主に国際的に犯罪と共通認識される事象を対象とし、運用上は刑事裁判で有罪とされた以降に適応するようにしてもよい。その適応期間は、執行猶予期間であれば釈放後から、服役した場合には出所後から開始する。但し、IT環境やユビキタス環境の運用に、著しく阻害又は被害をもたらすと判断された行為は、刑事裁判の判決有無を問わず、適用することもある。
また、認証システムサーバ10は、登録者が本認証システム内で不正な利活用を行った場合、行った行為によってシステムの利活用の制限又は停止を行うこともできる。
図114は、本発明の第44の実施の形態において、登録者個人が本認証システム内で不正利用したことが判明した以降、システムの利活用を制限する際のシステムの動作例を示すシーケンスチャートである。
まず、認証システムサーバ10側は、前述の利用制限基準表に照らして、不正を行った登録者の行為が処分に該当するか、検討する。
この結果、認証システムサーバ10は、何らかの利活用制限又は停止が必要であると認定した場合には(ステップS1061)、登録者個人にその旨を通知した上で(ステップS1062)、前述の利用制限者登録票を作成し、自機内の所定場所に格納する。
併せて、認証システムサーバ10は、自機内のデータベース内の該当する登録者個人の個人識別IDに、利用制限者であることを示す情報を付帯させる(ステップS1063)。
その後、認証システムサーバ10は、前述のマイニング情報を活用して、利用制限された登録者個人に関係の深い集約側端末150やサブサーバ群等の端末を抽出する。
認証システムサーバ10は、その抽出した端末に対し、利用制限された登録者個人の個人識別IDと、利用制限されることになったことを示す情報とを送信する(ステップS1064)。
これらの情報を認証システムサーバ10から受信した集約側端末150やサブサーバ群等の端末は、受信した個人識別IDに基づいて、自機内にある当該登録者個人の個人フォルダを抽出し(ステップS1065、S1066)、利用制限されることになったことを示す情報を登録する(ステップS1067、S1068)。
この処理によって、認証システムサーバ10同様に、集約側端末150やサブサーバ群でも、不正を行った登録者個人の個人識別IDに、利用制限者であることを示す情報が付帯されることになる。
この登録後、不正を行った登録者個人が、本認証システムの利活用を希望した際に、末端側端末160でバイオメトリクス情報を読み取らせ(ステップS1069)、末端側端末160は、そのバイオメトリクス情報と移動情報を、サブサーバ群に送信し(ステップS1070)、読取情報の照合や実在検証する(ステップS1071)。
サブサーバ群は、その読取情報の照合の時に、個人識別IDに利用制限者であることを示す情報が付帯されていることを認識し、末端側端末160で読み取った情報の所有者が利用制限者であることを特定する(ステップS1072)。
サブサーバ群は、登録者個人が利用制限者であることを特定後、利用制限内容を確認するために、個人識別IDと、末端側端末160の端末識別IDと、求められている利活用内容等とを認証システムサーバ10に送信し、確認を依頼する(ステップS1073)。
認証システムサーバ10は、サブサーバ群からの依頼情報を受信すると、自機内に格納された利用制限者登録票を抽出し、認定状況に照らして回答を作成し(ステップS1074)、集約側端末150、サブサーバ群及び末端側端末160に通知する(ステップS1075)。
この結果、末端側端末160は、システム利活用の限定内容や範囲を認識し、登録者個人に求められた利活用内容を限定範囲内で提供する。
以上説明したように、本認証システムでは、登録者が不正利活用に関わったことが判明した場合、その登録者に対して、システム利用強制停止や利活用機能の一部制限を行うので、システム全体における高水準のセキュリティを実現するとともに、健全な本認証システム利活用者の権利が最大限に尊重され、円滑にシステムが稼動することが可能となる。
インターネットの脆弱性は、利用者の真の実在性が検証されていないために、第三者になりすますことや、架空な人物になりすますことによって不正利用する人物がシステム内に存在することである。さらに、不正利用が発覚後も、不正利用者をインターネット内から排除することが不可能で、容易にインターネットを再利用できることである。このために、犯罪事件が多発し経済的被害を受けると共に、ウイルス対策やソフトウェアの脆弱性補完のために莫大な経費が、企業と個人とを問わず出費され、世界的には巨額な経済損失を招いている。
本認証システムでは、登録段階での個人実在検証を行うことで、なりすまし利用を入口で防止する。一方で、犯罪的な不正利活用を行った人物については、一定の注意情報が付帯され、利活用が制限又は停止されるという出口を設け、安全性を確保する。
<第45の実施の形態>
(情報の移動23:不正者の利活用制限2)
以下、不正に認証システムを利活用した者に対して捜査を行うときの、認証システムによる処理について説明する。
図115は、本発明の第45の実施の形態において、登録者個人が本認証システム内で注意状況が設定されている場合、登録者個人が確認され次第、関係機関に連絡する際のシステムの動作例を示すシーケンスチャートである。
本実施形態では、犯罪容疑者を例にして説明する。
まず、警察側は捜査令状を取得した上で、警察側に設置される組織側端末120を用いて、その捜査令状の内容に関する情報を入力し(ステップS1081)、認証システムサーバ10の管理機関側に対する捜査協力の依頼と、容疑者個人を認識できるバイオメトリクス情報とを含む捜査協力情報を認証システムサーバ10に送信する(ステップS1082)。
認証システムサーバ10は、その捜査協力情報を受信すると、自機内に格納された個人フォルダを検索し、容疑者個人の個人識別IDを特定すると共に、前述の利用制限者登録票を作成し、その登録票の特記事項に「捜査協力を行う」旨を示す情報を登録した上で、自機内の所定場所に格納する。併せて、登録者個人の個人識別IDに、「捜査協力を行う対象人物」としての利用制限者であることを示す情報を付帯させる(ステップS1083)
なお、このとき、認証システムサーバ10は、登録者個人に対して、利用制限者登録票に登録された旨は通知しない。
その後、認証システムサーバ10は、捜査協力の対象人物である旨を認識可能な利用制限者情報をサブサーバ群に送信する(ステップS1084)。
これらの情報を認証システムサーバ10から受信したサブサーバ群等の端末は、受信した個人識別IDに基づいて、自機内にある当該登録者個人の個人フォルダを抽出し、利用制限されることになったことを示す情報(ここでは、捜査協力)を登録する。
この処理によって、認証システムサーバ10同様に、サブサーバ群でも、登録者個人の個人識別IDに、捜査協力対象人物であることを示す注意情報が付帯されることになる。
この登録後、登録者個人が、本認証システムの利活用を希望した際に、末端側端末160でバイオメトリクス情報を読み取らせ(ステップS1085)、末端側端末160は、そのバイオメトリクス情報と移動情報を、サブサーバ群に送信し(ステップS1086)、読取情報の照合や実在検証する(ステップS1087)。
サブサーバ群は、その読取情報の照合の時に、個人識別IDに捜査協力対象人物であることを示す情報が付帯されていることを認識し、末端側端末160で読み取った情報の所有者が捜査協力対象人物であることを特定する(ステップS1088)。
サブサーバ群は、登録者個人が捜査協力対象人物であることを特定後、捜査協力方法を確認するために、個人識別IDと、末端側端末160の端末識別IDと、求められている利活用内容等とを認証システムサーバ10に送信し、確認を依頼する(ステップS1089)。
認証システムサーバ10は、サブサーバ群からの依頼情報を受信すると、自機内に格納された該当する利用制限者登録票を抽出し(ステップS1090)、その登録者が、このサーバの管理機関側が捜査協力を行う対象の捜査協力対象人物であることを認識する(ステップS1091)。
そして、この認識によって認証システムサーバ10は、警察側の組織側端末120に対して、サブサーバ群から受信した情報に基づき、末端側端末160にて容疑者が存在することを示す情報と、読取時間情報と、端末設置場所情報等を送信する(ステップS1092)。
併せて、認証システムサーバ10は、このサーバの管理機関側が警察側からの回答を待受けている旨を示す情報を作成し、サブサーバ群及び末端側端末160に通知する(ステップS1093)。
警察側の組織側端末120は、認証システムサーバ10からの通報を受け、必要な状況判断を行って(ステップS1094)、認証システムサーバ10、サブサーバ群及び末端側端末160に対して、回答情報を作成し、通知する(ステップS1095)。
この結果、末端側端末160は、警察側の組織側端末120からの指示内容やその登録者に対する認証システムの利用可能範囲を認識し、登録者個人に必要行為を実施する(ステップS1096)。
本認証システムの応用形態では、個人の存在場所が特定されるために、様々な存在を把握したいニーズに対して情報提供を実施できる。
例えば実施形態で説明した犯罪者以外に、登下校中の子供や営業中の従業員といった現在地把握を行いたい場合、誘拐された子供や行方不明者の捜索といった場合、迷子や徘徊老人の特定を行いたい場合等、多岐にわたり応用可能であり、本実例はあくまでも一形態である。
<第46の実施の形態>
(情報の移動24:情報の保存期限)
本システムでは、登録された個人情報は、一定時間が経過された後は、自動的に消去され、プライバシーを保護するようになっている。
例えば、認証システム全体において、登録者が末端側端末160にバイオメトリクス情報等の個人情報や移動情報等の各種情報を最後に入力又は格納した時点から一定時間経過したときに、各端末やサーバは、それぞれ自機に格納されているその登録者に関する全情報を消去する。
また、各端末やサーバは、登録者に関する情報が、自機に入力又は格納された時点から一定時間がそれぞれ経過したときに、それら入力又は格納された情報を個別に消去するようにしてもよい。
なお、以上説明した例では、一定時間が経過したときに情報を消去することとしたが、この「一定時間」は、例えば、以下のように、この認証システムが設置される地域の法律や状況に基づいて決められる。
1.情報が入力又は格納されたときに、情報が入力又は格納された地域(国、県、市等)、又は登録者が属する地域が定める刑事訴訟法で規定される最長の犯罪時効期限を加算した時間
2.情報が入力又は格納されたときに、情報が入力又は格納された地域(国、県、市等)、又は登録者が属する地域が定める、パスポート、運転免許証、住民基本台帳カード、納税者番号カード又は社会保障IDカード等の公的証明物の有効期限を加算した時間
3.登録者個人の死亡から一定時間
4.上記1から3の時間に抵触しない時間で、登録者が設定した消去時間
5.その他
特に、移動関連情報については、人間が行動していることにリンクしているため、情報作成時から一定時間が経過すれば、消去されることが望ましい。
また、移動関連情報は、行動と密接に関係しているため、上記の一定時間とは異なり、1日や6時間といったサイクルの短い時間で消去処理を行ってもよい。これは、移動関連情報が自動消去されることで、登録者本人は新たな行動起点で本人実在確認から行動開始することとなり、実在性の検証精度を高めることができると共に、情報が未処理のまま長時間が経過することにより発生するなりすましや不正入手等による移動関連情報の悪用を防止する機能とを有する。
当然、登録者本人の申し出により、これら登録者自身の個人情報、移動情報及び移動関連情報を随時消去することも可能である。
図116は、本発明の第46の実施の形態において、認証システムサーバ10が、登録者個人の個人情報の保存期限を検証し、期限経過分を消去する際のシステムの動作例を示すシーケンスチャートである。
以下、この図に沿って、本実施の形態における認証システムによる登録者の個人情報の消去動作について説明するが、登録者個人は、登録情報の消去条件について設定していないものとする。
まず、認証システムサーバ10は、上述の条件に従って、格納されている個人フォルダの中から、消去に該当する情報について抽出する(ステップS1101)。
抽出後、認証システムサーバ10は、自サーバには無く他の端末にのみ登録されているといったような、登録者個人に関係した情報の登録漏れがないか、各端末に照会を実施し、必要があれば情報のバックアップ処理を行うよう旨を示す情報を送信する(ステップS1102)。
認証システムサーバ10より指示を受けた集約側端末150は、自機が管理するユニット内の端末を含め、前述の登録漏れがないか検証し(ステップS1103)、その抽出結果と内容とを報告する(ステップS1104)。
このステップS1103、S1104において、具体的には、以下のような処理が実行される。
集約側端末150は、認証システムサーバ10から、今回消去処理の対象の登録者に関する全情報を受信し格納する。次に、集約側端末150は、自機のデータベースを検索しその登録者に関する情報を抽出するとともに、自機の管理下の端末に対して、その登録者に関する情報の提供を要求する。集約側端末150は、管理下の端末からその登録者に関する情報を受信すると、この受信情報と自機のデータベースから抽出した情報を合わせたものと、前述の認証システムサーバ10から受信した情報と、を照合する。この照合の結果、集約側端末150は、自機及び管理下の端末に格納されている情報のなかに、認証システムサーバ10に格納されていないものがあれば、これを抽出し、前述の報告内容として認証システムサーバ10に送信する。
認証システムサーバ10は、この報告内容を受信すると、受信情報に含まれる登録者に関する情報を自機内に格納する(ステップS1105)。その上で、認証システムサーバ10は、再度、消去に該当する情報について抽出処理を実施し、消去処理を行うか判定する(ステップS1106)。
一度、情報を消去してしまうと復元が困難なため、このように抽出処理を2重に実行し、内容を十分に吟味することとする。
認証システムサーバ10は、最終判定により消去対象情報となった情報に対して消去処理を実行する(ステップS1107)。
その後、認証システムサーバ10は、自分が消去した情報や、消去対象の情報の抽出条件を集約側端末150や外部機関認証システムサーバ300に対し送信し(ステップS1108)、消去処理を行うよう指示をする。
この指示を受信した集約側端末150及び外部機関認証システムサーバ300は、当該対象の個人情報を抽出し(ステップS1109、S1110)、消去処理を実行する(ステップS1111、S1112)。消去処理完了後、集約側端末150及び外部機関認証システムサーバ300は、認証システムサーバ10に対し、完了報告を送信する(ステップS1113、S1114)。
<第47の実施の形態>
(情報の移動25:誘導電子記録媒体、情報携帯可能物の考察)
以下、本実施の形態では、携帯電話機と基地局との関係を利用して、登録者の現在位置を推定し、その推定した位置の機器に対して、各種処理の準備を促す。
図117は、本発明の第47の実施の形態において、登録者個人が誘導電子記録媒体又は情報携帯可能物を用いて、登録者が利活用するユニットの移行を補助させる際のシステムの動作例を示すシーケンスチャートである。ここでは、一例として、前述の情報携帯可能物が携帯電話であり、その携帯電話内に前述の誘導電子記録媒体が搭載されているものとして説明する。
以下、本実施の形態では、末端側端末160を誘導電子記録媒体(携帯電話機)とし、地域管理側端末130を携帯電話基地局として説明を進める。
登録者個人は、あらかじめ携帯電話が通信回線網によって外部機器(ここでは、携帯電話の基地局)との間で、自動的に通信することを承諾しているものとする。
この携帯電話は、「待受け」状態では、電波を出して携帯電話の基地局と交信している。この際、基地局との交信は記録として保存されており、かつ基地局での電波の受信アンテナによってある程度の位置が判定可能である。
例えば、基地局がカバーする範囲は、基地局から半径3キロメートル程度に設定されている。
登録者個人が、自宅にいる場合には、この自宅を含む領域を管理する携帯電話基地局130Aは、登録者個人の携帯電話と交信を行っている(ステップS1121)。
交信が行なわれた場合には、携帯電話基地局130Aは、サブ移動停止情報を作成し(ステップS1122)、メインユニットを管理する集約側端末150に対して、送信する(ステップS1123)。
このサブ移動停止情報は、各端末が構成するユニット内に登録者個人が存在することを推定した情報であって、当該ユニット外での登録者個人の個人情報の利活用要求があった場合には、本認証システムの各端末やサーバに対し、アラーム情報を発信するものである。
集約側端末150は、サブ移動停止情報を受信すると、自機内の検索DB156又は基礎情報DB154等に格納する。これは、登録者個人の移動関連情報、認証要求情報又は許可情報を受信すると、これらの受信情報とサブ移動停止情報との比較検証を容易に実施することを可能とするためである。
この格納処理により、集約側端末150は、登録者個人が携帯電話基地局130Aの設置場所周辺に存在していることを推定認識するようになる(ステップS1124)。
そこで、集約側端末150は、利用可能性情報を作成し(ステップS1125)、この作成した利用可能性情報を携帯電話基地局130Aの設置場所周辺の各端末(管理下の各端末)に送信し(ステップS1126)、登録者個人の認証処理等の準備作業を促すことが可能となる。
その後、登録者個人が携帯電話を携行して外出すると、外出先の場所を管理する携帯電話基地局130Bが、登録者個人の携帯電話と交信を行うことになる(ステップS1127)。
すると、携帯電話基地局130Bは、サブ移動停止情報を作成し(ステップS1128)、この作成したサブ移動停止情報をメインユニットを管理する集約側端末150に送信する(ステップS1129)。
集約側端末150は、このサブ移動停止情報を受信すると、自機内の検索DB156又は基礎情報DB154等に格納する。この格納処理により、集約側端末150は、登録者個人が携帯電話基地局130Bの設置場所周辺に存在していること(移動したこと)を推定認識するようになる(ステップS1130)。そこで、集約側端末150は、利用可能性情報を作成し(ステップS1131)、この作成した利用可能性情報を携帯電話基地局130Bの設置場所周辺の各端末に送信し(ステップS1132)、登録者個人の認証処理等の準備作業を促すことが可能となる。
このように、携帯電話の交信処理に併せて、登録者個人が移動している行動を認証システム内で認識すれば、登録者個人が利活用するユニットを、常に身近に準備された状態とすることも可能である。本実施形態では、登録者個人が無意識の内に、登録者個人が利活用するユニットが登録者本人の存在場所とともに移行しており、本認証システムの利便性の向上とともに、情報無断悪用の防止することが可能となる。
但し、携帯電話の所持者が必ずしも登録者本人であるとは限らないため、あくまでも利活用が容易になるように準備された状態に留め、実際の個人情報利活用要求に対しては、個人実在認証処理を実施することとする。
あくまでも、携帯電話は一例であって、ICチップ、ICタグ、ユビキタス・コミュニケータ、防犯ブザー等、人間が携行可能な通信端末であって、前述の携帯電話と同様の機能が搭載されていればよい。
<第48の実施の形態>
(情報の移動26:顔認証システムの考察)
本実施の形態では、認証用情報は顔の形状(輪郭)のバイオメトリクス情報であり、末端側端末160は、その顔の形状の読取機能を備え、街中に設置されているものとする。
図118は、本発明の第48の実施の形態において、登録者個人が顔認証システムを用いて、自身が利活用するユニットの移行を補助させる際のシステムの動作例を示すシーケンスチャートである。
登録者個人は、あらかじめ顔のバイオメトリクス情報により個人認証を随時行われることを承諾しているものとする。
登録者個人が、自宅から外出し、自宅の近隣に設置された末端側端末160Aの前を通過すると、末端側端末160Aは登録者個人の顔情報を読み取り(ステップS1141)、自機内に格納された個人情報を基に個人を特定する処理を行う(ステップS1142)。
末端側端末160Aは、個人を特定すると、サブ移動開始情報を作成し(ステップS1143)、この作成したサブ移動開始情報を自端末を管理する集約側端末150に送信する(ステップS1144)。
このサブ移動開始情報は、各端末が構成するユニット内から登録者個人が存在しなくなったこと(移動したこと)を推定した情報であって、当該ユニット内での登録者個人の個人情報の利活用要求があった場合には、本認証システムの各端末やサーバに対し、アラーム情報を発信するためものである。
集約側端末150は、サブ移動開始情報を受信すると、自機内の検索DB156又は基礎情報DB154等に格納する。これは、登録者個人の移動関連情報又は認証要求情報又は許可情報を受信すると、サブ移動開始情報と比較検証を容易に実施することを可能とするためである。
この格納処理により、集約側端末150は、登録者個人が末端側端末160Aの設置場所周辺に存在しなくなっていることを推定認識するようになる(ステップS1145)。
そこで、集約側端末150は、利用可能性情報を作成し(ステップS1146)、この作成した利用可能情報を、末端側端末160Aの設置場所隣接又は近接の末端側端末160Bに送信する(ステップS1147)。
末端側端末160Bは、この利用可能情報を受信すると、登録者個人の認証処理等の準備を行う(ステップS1148)。
登録者個人が、続いて末端側端末160Bの前を通過すると、末端側端末160Bは登録者個人の顔情報を読み取り(ステップS1149)、自機内に準備された個人情報を基に個人を特定する処理を行う(ステップS1150)。
末端側端末160Bは、個人を特定すると、サブ移動開始情報を作成し(ステップS1151)、この作成したサブ移動開始情報を、自端末を管理する集約側端末150に送信する(ステップS1152)。
集約側端末150は、サブ移動開始情報を受信すると、自機内の検索DB156又は基礎情報DB154等に格納する。この格納処理により、集約側端末150は、登録者個人が末端側端末160Bの設置場所周辺に存在しなくなっていることを推定認識するようになる(ステップS1153)。
そこで、集約側端末150は、利用可能性情報を作成する(ステップS1154)。
集約側端末150は、続いてマイニングデータを活用して、末端側端末160Bの設置場所通過後に次に通過すると推定される末端側端末160を選定し、その選定した末端側端末160に、その作成した利用可能性情報を送信し、登録者個人の認証処理等の準備作業を促す(ステップS1155)。
また、集約側端末150は、その送信先の末端側端末160の隣接又は近接の末端側端末160に対しても、同様に利用可能性情報を送信し、登録者個人の認証処理等の準備作業を促す。
このように、認証システムは、街角に設置された読取装置により読み取った登録者の顔形状から、登録者個人が移動している行動を認識することができ、登録者個人の情報利活用に備えて、常に準備された状態とすることが可能である。
また、本実施形態では、登録者個人が無意識の内に、登録者本人のその時点での存在場所とその近傍においてのみ認証システムを利活用することができるので、本認証システムの利便性の向上と、情報無断悪用の防止とを両立して実現することができる。
本実施の形態では、現在街角や建物内に既に設置されている監視カメラ(映像/画像)やモニター等を利用することで、携帯電話機を用いたときのように、登録者による認証システムの活用場所の制限を容易に行うことができる。
<第49の実施の形態>
(情報の移動27:認証情報/方法の変更)
認証情報や認証方法の変更するためには、その手続きを行うとする人物が、認証情報の正しい本人であるか、個人認証が必要となる。
詳細は、従来の個人認証手続きに準じるが、本人確認の上、従来の認証情報や方法の表示を行い、変更項目(入力順番、認証情報、情報携帯可能物名、メインユニット名等)の変更登録を実施する。
<第50の実施の形態>
(第50の実施の形態の概要)
学校、職場等の組織に属したり、銀行等の各種サービスを利用したりするときには、その構成員や利用者等(以下、登録者という)の管理を容易にするために何らかのローカルな識別ID(学生番号、社員番号、会員番号等)を付与することが一般的となっている。
各組織等では、その付与した識別IDに個人情報を対応付けてデータベース化し、その登録者の情報を管理している。
一般的に、その登録者は、それらの複数の機関や組織に属したり、複数のサービスを利用したりすることが多く、1人の登録者に対し複数の異なるローカルな識別IDが付与されることが多い。
そして、この登録者が、本実施形態における認証システムを利用する場合には、さらにシステムサーバ10が発行したこのシステム全体で利用される個人識別IDが付与されることになる。この登録者が、例えば学校内でこの認証システムを利用するとき、その学校内では、学校側で発行されたローカルな学生識別IDと、システム側で発行されたシステム全体で利用可能な個人識別IDとを利用することになる。
本実施の形態における認証システムは、このように複数の識別IDが付与された登録者であっても、それらIDを煩雑に使い分けをすることなく、容易に認証システムを利用することができるようにするものである。
以下、本実施の形態では、登録者は、通学先の学校に登校し、認証システムを利用するものとする。
(第50の実施の形態の構成)
図120は、本発明の第50の実施の形態における認証システムの構成を示す図である。
図に示すように、認証システムは、通学先で登録者の指紋を読み取り認証を行う末端側端末160Aと、その認証結果に基づいて登録者の特定を行う建物側端末110Aと、この建物側端末110Aからその登録者の移動情報を集約する集約側端末150と、この集約側端末150からその移動情報を集約する認証システムサーバ10とを有する。
なお、本実施の形態における認証システムは、他の実施の形態と同様に、他のサーバ及び他の端末を備えているが、本実施の形態ではその図示及び記載を省略する。
また、本実施の形態においては、登録者は、通学先では学生識別ID「1A025」で特定されているものとする。また、認証システム側は、この登録者に対し個人識別ID「1234567」を付与しているものとする。
建物側端末110Aは、この学生識別IDに対応付けて登録者の個人情報を管理するデータベースDB11と、この学生識別IDと個人識別IDとの対応を示すデータベースDB12とを備えている。
また、末端側端末160Aは、登録者の指紋情報を蓄積したデータベースDB61を備えている。
(第50の実施の形態の動作)
図121は、本発明の第50の実施の形態における認証システムによる動作の流れを示すシーケンスチャートである。以下、図に沿って、本実施の形態における認証システムの動作について説明する。
まず、登録者は、校舎入口に到着すると、入口に設置された末端側端末160Aに自身の指紋を読み取らせる(ステップS5001)。
末端側端末160Aは、読み取った指紋情報と、予め自端末に登録済みの指紋情報とを照合し、登録者の認証を行う(ステップS5002)。
登録者個人であることを認証できた場合には(ステップS5002/Yes)、末端側端末160Aは、成功した旨の認証結果情報と、認証した時刻を示す時間情報と、登録者個人に対応した識別ID(ここでは学生識別ID「1A025」)と、自端末を特定するための情報(空間情報)とを建物側端末110Aに送信する(ステップS5003)。
建物側端末110Aは、それらの情報を末端側端末160Aから受信すると、これらの受信した情報を自端末に一時的に保存する(ステップS5004)。
そして、建物側端末110Aは、これらの受信情報に基づき、登録者個人が建物側端末110Aのユニット内(校舎内)に存在することになったことを認識する(ステップS5005)。
次に、建物側端末110Aは、前述の保存した識別ID(学生識別ID「1A025」)を基に自機内にあるデータベースを検索し、その識別IDに対応した個人識別ID「1234567」を特定する(ステップS5006)。
その後、建物側端末110Aは、上述の保存した受信情報の内、空間情報、時間情報及び認証結果情報を抽出し、これら抽出した受信情報に、その特定した個人識別IDを対応付けて、移動情報を作成する(ステップS5007)。ここで、建物側端末110Aは、登録者がユニット内に存在するようになったことを認識しているので、その作成した移動情報は、その登録者がその校舎内へ移動を完了した旨の移動停止情報となる。
そして、建物側端末110Aは、この作成した移動停止情報をネットワークを介して集約側端末150に送信する(ステップS5008)。
(第50の実施の形態のまとめ)
以上説明したように、本実施の形態における認証システムは、複数の識別IDが付与された登録者であっても、それらIDを煩雑に使い分けをすることなく、容易に認証システムを利用することが可能となる。
(第50の実施の形態の変型例)
図122は、本実施の形態の変型例における認証システムの構成を示す図である。
図に示すように、この変型例では、データベースDB11,DB12を建物側端末110Aの外部に接続し、データベースDB61を末端側端末160Aの外部に接続する構成となっている。
本変型例において、これら各データベースDB11,DB12,DB61は、各端末に常時接続しておく必要はない。
例えば、学校では朝の登校時と夕方の下校時の際に接続され、移動情報を作成する機能の一部を構成すればよい。通常の場合、一度登校した生徒が日中に学校建物を中心とするユニットの外に移ることは稀である。そこで、常時接続し、ハッカー等による不正情報取得または流出のリスクに晒されるよりも、利用が見込まれる一定時間だけ接続する方が、セキュリティ面から望ましい。
また、建物側端末110Aは、末端側端末160Aから登録者の情報を受信した段階で、データベースDB11,DB12に接続するようにしてもよい。
また、建物側端末110Aは、登録者の個人識別IDが特定された段階で、データベースDB11,DB12との接続を切り離すようにしてもよい。
<第51の実施の形態>
(第51の実施の形態の概要)
前述した第50の実施の形態においては、建物側端末110Aは、所定の識別ID(学生識別ID)とシステム内で利用される個人識別IDとの対応を示すデータベースDB12を備えるものである。この建物側端末110Aは、そのデータベースDB12を参照することにより、登録者の所定の識別IDを個人識別IDに変換し、登録者が認証システムを利用可能となるようにする。
これに対し、本実施の形態では、建物側端末110Bが、その所定の識別IDを個人識別IDに変換するための計算プログラム及びアルゴリズムを実装しており、末端側端末160Bから受信した所定の識別IDをその計算プログラム及びアルゴリズムにより、システム内で利用可能な個人識別IDに変換できるようになっている。
以下、特記しない限り、本実施の形態は、第50の実施の形態と同様であるとして説明を進める。
なお、本実施の形態では、登録者は、勤務先に出社し、認証システムを利用するものとする。
(第51の実施の形態の構成)
図123は、本発明の第51の実施の形態における認証システムの構成を示す図である。
図に示すように、認証システムは、勤務先で登録者の指紋を読み取り認証を行う末端側端末160Bと、その認証結果に基づいて登録者の特定を行う建物側端末110Bと、この建物側端末110Bからその登録者の情報を集約する集約側端末150と、この集約側端末150からその移動情報を集約する認証システムサーバ10とを有する。
なお、本実施の形態における認証システムは、他の実施の形態と同様に、他のサーバ及び他の端末を備えているが、本実施の形態ではその図示及び記載を省略する。
また、本実施の形態においては、登録者は、勤務先では従業員識別ID「101」で特定されているものとする。また、認証システム側は、この登録者に対し個人識別ID「1234567」を付与しているものとする。
建物側端末110Bは、この従業員識別IDに対応付けて登録者の個人情報を管理するデータベースDB13を備えている。
また、末端側端末160Bは、登録者の指紋情報を蓄積したデータベースDB61を備えている。
(第51の実施の形態の動作)
図124は、本発明の第51の実施の形態における認証システムによる動作の流れを示すシーケンスチャートである。以下、図に沿って、本実施の形態における認証システムの動作について説明する。
まず、登録者は、勤務先入口に到着すると、入口に設置された末端側端末160Bに自身の指紋を読み取らせる(ステップS5101)。
末端側端末160Bは、読み取った指紋情報と、予め自端末に登録済みの指紋情報とを照合し、登録者の認証を行う(ステップS5102)。
登録者個人であることを認証できた場合には(ステップS5102/Yes)、末端側端末160Bは、成功した旨の認証結果情報と、認証した時刻を示す時間情報と、登録者個人に対応した識別ID(ここでは従業員識別ID「101」)と、自端末を特定するための情報(空間情報)とを建物側端末110Bに送信する(ステップS5103)。
建物側端末110Bは、それらの情報を末端側端末160Bから受信すると、これらの受信した情報を自端末に一時的に保存する(ステップS5104)。
そして、建物側端末110Bは、これらの受信情報に基づき、登録者個人が建物側端末110Bのユニット内(勤務先内)に存在することになったことを認識する(ステップS5105)。
次に、建物側端末110Bは、前述の保存した従業員識別ID「101」を所定の計算式やアルゴリズムにより演算し、その従業員識別IDを個人識別ID「1234567」に変換する(ステップS5106)。
その後、建物側端末110Bは、上述の保存した受信情報の内、空間情報、時間情報及び認証結果情報を抽出し、これら抽出した受信情報に、その変換した個人識別IDを対応付けて、移動情報を作成する(ステップS5107)。ここで、建物側端末110Bは、登録者がユニット内に存在するようになったことを認識しているので、その作成した移動情報は、その登録者がその勤務先建物内へ移動を完了した旨の移動停止情報となる。
そして、建物側端末110Bは、この作成した移動停止情報をネットワークを介して集約側端末150に送信する(ステップS5108)。
なお、本実施の形態では、前述の演算機能を利用して個人識別IDを所定の識別ID(従業員識別ID等)に変換することも可能である。
(第51の実施の形態のまとめ)
以上説明したように、本実施の形態によれば、建物側端末110Bは、末端側端末160Bから受信した所定の識別IDを、自機に実装されている計算プログラム及びアルゴリズムにより、システム内で利用可能な個人識別IDに変換するので、登録者に複数の識別IDが付与されていても、それらIDを煩雑に使い分けをすることなく、容易に認証システムを利用することが可能となる。
(第51の実施の形態の変型例)
図125は、本実施の形態の変型例における認証システムの構成を示す図である。
図に示すように、この変型例では、データベースDB13と、計算プログラム及びアルゴリズムの格納装置とを建物側端末110Aの外部に接続し、データベースDB61を末端側端末160Aの外部に接続する構成となっている。
本変型例においては、前述の第50の実施の形態と同様に、これら各データベースDB13,DB61と、計算プログラム及びアルゴリズムの格納装置は、各端末に必要な時間帯のみ接続することで、外部からハッキングされる可能性を著しく低減させることが可能となる。
また、建物側端末110Aは、末端側端末160Aから登録者の情報を受信した段階で、データベースDB13と、計算プログラム及びアルゴリズムの格納装置とに接続するようにしてもよい。
また、建物側端末110Aは、登録者の個人識別IDが特定された段階で、データベースDB13と、計算プログラム及びアルゴリズムの格納装置の接続を切り離すようにしてもよい。
<第52の実施の形態>
(第52の実施の形態の概要)
前述したように、第50の実施の形態においては、建物側端末110Aには、所定の識別IDと個人識別IDとの対応を示すデータベースDB12を備えている。
また、第51の実施の形態においては、建物側端末110Bは、識別IDの変換を行うための計算プログラム及びアルゴリズムを実装している。
これに対し、本実施の形態では、建物側端末外のサーバ又は端末が、前述のデータベースDB12を備え、前述の識別ID変換用の計算プログラム及びアルゴリズムを実装することで、建物側端末における処理や蓄積領域を分散し、負荷を軽減させるものである。
以下、特記しない限り、本実施の形態は、第50の実施の形態と同様であるとして説明を進める。
なお、本実施の形態では、登録者は、通学先の学校に登校し、認証システムを利用するものとする。
(第52の実施の形態の構成)
図126は、本発明の第52の実施の形態における認証システムの構成を示す図である。図に示すように、認証システムは、通学先で登録者の指紋を読み取り認証を行う末端側端末160Aと、その認証結果に基づいて登録者の特定を行う建物側端末110Aと、この建物側端末110Aからその登録者の移動情報を集約する集約側端末150と、この集約側端末150からその移動情報を集約する認証システムサーバ10とを有する。
なお、本実施の形態における認証システムは、他の実施の形態と同様に、他のサーバ及び他の端末を備えているが、本実施の形態ではその図示及び記載を省略する。
建物側端末110Aは、この学生識別IDに対応付けて登録者の個人情報を管理するデータベースDB11を備えている。
末端側端末160Aは、登録者の指紋情報を蓄積したデータベースDB61を備えている。
集約側端末150は、前述の学生識別IDと個人識別IDとの対応を示すデータベースDB12を備えている。また、集約側端末150は、その学生識別IDを個人識別IDに変換するための計算プログラム及びアルゴリズムを実装している。
(第52の実施の形態の動作)
図127は、本発明の第52の実施の形態における認証システムによる動作の流れを示すシーケンスチャートである。以下、図に沿って、本実施の形態における認証システムの動作について説明する。
登録者個人が校舎入口に到着し、建物側端末110Aが存在を認識する段階までは第52の実施の形態のステップS5001〜S5005と同様である(ステップS5201〜S5205)。
建物側端末110Aは、登録者が建物側端末110Aのユニット内(校舎内)に存在していることを認識後、移動停止情報を作成するための指示情報を作成する(ステップS5206)。
この指示情報は、前述の一時的に保存した認証結果情報と、時間情報と、登録者個人に対応した識別ID(ここでは学生識別ID「1A025」)と、建物側端末110Aを特定するための情報(空間情報)と、移動停止情報の作成指示情報とが含まれている。
建物側端末110Aは、この指示情報を集約側端末150に送信する(ステップS5207)。
集約側端末150は、その指示情報を受信すると、この受信した指示情報を一時的に自端末に保存する(ステップS5208)。
次に、集約側端末150は、この指示情報に含まれる識別ID(学生識別ID「1A025」)を基にデータベースDB51を検索し、その識別IDに対応した個人識別ID「1234567」を特定する(ステップS5209)。
次に、集約側端末150は、その特定した個人識別IDと、前述の指示情報に含まれる情報(認証結果情報、時間情報、空間情報)とを用いて、移動停止情報を作成する(ステップS5210)。
そして、集約側端末150は、この作成した移動停止情報をネットワークを介して認証システムサーバ10に送信する(ステップS5211)。
なお、以上、集約側端末150が、データベースDB51を用いて学生識別IDを個人識別IDに変換していたが、第51の実施の形態のように、自端末に実装されている変換用の計算プログラム及びアルゴリズムを利用して変換するようにしてもよい。
(第52の実施の形態のまとめ)
以上説明したように、本実施の形態によれば、集約側端末150が建物側端末110Aに代わって、識別IDの変換用のデータベースを備え、変化用のプログラム及びアルゴリズムを実装しているので、建物側端末110Aの処理や蓄積領域の負担を軽減することが可能となる。
また、建物側端末110A又は末端側端末160Aのセキュリティシステムがハッキングされ個人情報または個人識別IDが流出したとしても、個人識別ID自体は、建物側端末110A又は末端側端末160Aで使用されていないので、個人識別IDを直接的に特定することが難しくなり、システム運用の安全性を高めることが可能となる。
(第52の実施の形態の変型例)
図128の(a),(b)は、本実施の形態の変型例における認証システムの構成を示す図である。
図に示すように、この変型例では、データベースDB11,DB13を建物側端末110の外部に接続し、データベースDB12と、計算プログラム及びアルゴリズムの格納装置とを集約側端末150の外部に接続し、データベースDB61を末端側端末160の外部に接続する構成となっている。
本変型例においては、前述の第50又は第51の実施の形態と同様に、これら各データベースDB11,DB12,DB13,DB61と、計算プログラム及びアルゴリズムの格納装置は、各端末に必要な時間帯のみ接続することで、外部からハッキングされる可能性を著しく低減させることが可能となる。
また、建物側端末110は、末端側端末160から登録者の情報を受信した段階で、データベースDB11,DB13と、に接続するようにしてもよい。建物側端末110は、第13の実施形態のように、集約側端末150又は末端側端末160のいずれか一方に接続している場合には、他方には接続しないようにしておいてもよい。同様に集約側端末150は、建物側端末110から登録者の情報を受信した段階で、データベースDB12と計算プログラム及びアルコリズムの格納装置に接続するようにしてもよい。
また、建物側端末110と集約側端末150は、登録者の個人識別IDが特定された段階で、データベースDB11,DB12,DB13と、計算プログラム及びアルゴリズムの格納装置の接続を切り離すようにしてもよい。
<第53の実施の形態>
(第53の実施の形態の概要)
本実施の形態では、登録者は、認証システムを利用して金融取引を行うことができる。この金融取引とは、銀行等の金融機関における預金の引き出し、預け入れ又は振込み等の各取引を意味する。
本実施の形態では、この金融取引の一例として、登録者が銀行口座から預金の引き出しを行うときの認証システムの動作について説明する。
なお、特記しない限り、本実施の形態は、前述した他の実施の形態と同様であるものとする。
(第53の実施の形態の構成)
図129は、本発明の第53の実施の形態における認証システムの構成を示す図である。
図に示すように、認証システムは、登録者のバイオメトリクス情報等を読み取る末端側端末160Aと、この読取情報を末端側端末160Aから取得する建物側端末110Aと、その読取情報を建物側端末110Aから取得する組織側端末120Aと、建物側端末110Aの管理地域を包括するさらに広範囲な地域において登録者の情報の管理を行う地域管理側端末130と、これら各端末において利用される登録者の情報の管理を行う認証システムサーバ10と、登録者に関する各種情報を格納する情報携帯物500とを有する。
末端側端末160Aは、銀行等の金融機関の各本店又は支店に設置される情報処理装置である。この末端側端末160Aは、銀行等に通常設置されているATM(Automatic Teller Machine)の機能を備えている。
また、末端側端末160Aは、登録者のバイオメトリクス情報を読み取る機能を備えており、例えば、登録者の静脈パターン、指紋又は虹彩等、あらゆるバイオメトリクス情報を読み取ることが可能である。
建物側端末110Aは、基本的には、銀行等の金融機関の各本店又は支店ごとに設置される情報処理装置であり、その設置される各本店又は支店内の各末端側端末160Aから登録者の情報を収集する。
組織側端末120Aは、基本的には、各金融機関ごとに設置されるサーバ装置であり、その金融機関の各本店又は支店ごとにそれぞれ設置されている建物側端末110Aから登録者の情報を収集する。
情報携帯物500は、登録者が携帯する装置又は記録媒体であり、この登録者に関する情報の問合せ先のアドレス情報を格納する。例えば、この情報携帯物500は、携帯電話機、PHS、PDA、USBメモリ、ICタグ又はICカード等である。
(第53の実施の形態の動作)
図130〜132は、本発明の第53の実施の形態における認証システムの動作の流れを示すシーケンスチャートである。
以下、図に沿って、登録者個人が、複数の登録バイオメトリクス情報と移動情報とを利活用して金融取引を行う際の認証システムの動作例について説明する。
なお、本実施の形態では、認証用の個人情報を、一例として、手のひら静脈のバイオメトリクス情報とする。
登録者個人は、登録者個人の取引銀行支店であるA銀行丸の内支店のATMコーナーを訪れる。このATMコーナーには、末端側端末160Aが設置されている。
この末端側端末160Aには、モニター画面が取り付けられており、その画面上には希望する取引を選択してその取引の手続を進行させるための表示がされており、例えば、金融機関名の表示を切り替えるための複数のキーが表示されている。登録者は、このキーを選択することにより、「登録者個人が取引している全金融機関」、「A銀行のみ」、「その他の金融機関」といったように、モニター上に任意の金融機関名(本店、支店名)を表示できるようになっている。
ここで、登録者個人が「A銀行のみ」を選択すると(ステップS5301)、末端側端末160Aは、金融取引を求める対象先がA銀行に限定される旨を示す情報(例えば「JP1111ONLY」)を作成する(ステップS5302)。
続いて、登録者個人は、前述の第40の実施形態で説明した情報携帯物500にある「誘導電子記録媒体」を、末端側端末160Aにて読み取らせる。この結果、末端側端末160Aは、誘導電子記録媒体の中にある記録媒体格納IDを認識する(ステップS5303)。
末端側端末160Aは、読み取った記録媒体格納IDから、集約側端末150Aが登録者個人の情報照会先であることを認識する(ステップS5304)。
次いで、登録者個人は、末端側端末160Aにバイオメトリクス情報を読み取らせる(ステップS5305)。
その後、登録者は、モニター画面に表示されている取引種別から「預金引き出し」を選択し、「引き出し希望額」を入力する(ステップS5306)。
末端側端末160Aは、その読み取ったバイオメトリクス情報と、金融取引を求める対象先がA銀行である旨を示す情報と、末端側端末160Aを特定するための空間情報と、バイオメトリクス情報の読取時刻を示す時間情報と、引き出し許可を求める旨の情報と、登録者個人の情報照会先が集約側端末150Aである旨の情報とを建物側端末110Aに送信する(ステップS5307)。
建物側端末110Aは、上述の各種情報を末端側端末160Aから受信すると、一時的に自機内に保管する(ステップS5308)。
次に、A銀行の預金者データベースを管理する組織側端末120Aに対し、末端側端末160Aより受信した情報を送信する(ステップS5309)。
組織側端末120Aは、上述の各種情報を受信すると、一時的に自機内に保管する(ステップS5310)。
次に、組織側端末120Aは、受信したバイオメトリクス情報と、自機内に予め格納されているバイオメトリクス情報とを比較照合し、登録者個人の特定を行う(ステップS5311)。
組織側端末120Aは、登録者を特定すると、自端末内のデータベースを検索し、この特定した登録者個人の取引状況と個人識別IDとを抽出する(ステップS5312)。
以上で、預金引き出し処理の第一段階準備が完了する。
続いて、組織側端末120Aは、抽出した登録者個人の個人識別IDを基に、登録者個人の移動情報が建物側端末110Aを含むユニット内に存在しているか否か、確認を求める情報を建物側端末110Aに送信する(ステップS5313)。
建物側端末110Aは、その移動情報の確認要求に応じて、ユニット内において、その移動情報の検索を行う(ステップS5314)。
ここで、建物側端末110Aは、ユニット内においてその移動情報が存在する場合にはその移動情報を、ユニット内に移動情報が存在しない場合には「該当なし」を示す情報を、それぞれ組織側端末120Aに対し送信する(ステップS5315)。
組織側端末120Aは、「該当なし」の情報を建物側端末110Aから受信した場合の処理(ステップS5316/No)については後述する。
一方、組織側端末120Aは、移動情報を建物側端末110Aから受信した場合には(ステップS5316/Yes)、その受信した移動情報と、ステップS5310にて保管していた情報とを比較照合して、登録者の実在性認証を行う(ステップS5317)。
以下、この登録者の実在性が確認された場合(ステップS5317/Yes)と、確認されなかった場合(ステップS5317/No)とに分けて、認証システムの動作について説明する。また、前述の組織側端末120Aが「該当なし」の情報を受信した場合(ステップS5316/No)についても個別に説明する。
(1)登録者の実在性が確認された場合(ステップS5317/Yes)
前述の実在性の認証の結果、登録者本人の実在性が確認された場合には(ステップS5317/Yes)、組織側端末120Aは、移動停止情報と、金融取引許可情報とを作成する(ステップS5318)。
なお、この金融取引許可情報とは、登録者が認証システムを利活用して金融取引を行うことが許可されている旨の情報であり、その許可されている取引内容が定められている。
以上で、預金引き出し処理の第二段階準備が完了する。
次に、組織側端末120Aは、前述の金融取引許可情報を参照して、現在登録者が要求している預金の引き出し処理が、その登録者本人に認められる取引処理範囲内(ここでは、預金の引き出し限度額以内かどうか)か否かを判断する(ステップS5319)。
その預金の引き出し処理が許可できる場合には(ステップS5319/Yes)、組織側端末120Aは、預金引き出しを許可する旨の許可情報とともに、移動停止情報を建物側端末110Aに送信する(ステップS5320)。
建物側端末110Aは、組織側端末120Aからその許可情報及び移動停止情報を受信すると、その受信した移動停止情報を自端末内に格納する(ステップS5321)。また、建物側端末110Aは、その受信した許可情報を末端側端末160Aに送信する(ステップS5322)。
末端側端末160Aは、その許可情報を建物側端末110Aから受信すると、自端末の現金払出し口から登録者個人に現金の支払いを行う(ステップS5323)。
一方、金融取引許可情報を参照した結果、その預金の引き出しが登録者本人に認められる取引処理範囲内でない場合には(ステップS5319/No)、組織側端末120Aは、現金引き出しを許可しない旨の不許可情報と共に、移動停止情報を建物側端末110Aに送信する(ステップS5324)。
建物側端末110Aは、その不許可情報を組織側端末120Aから受信すると、その受信した移動停止情報を自端末内に格納する(ステップS5325)。また、建物側端末110Aは、その不許可情報を末端側端末160Aに送信する(ステップS5326)。
末端側端末160Aは、その不許可情報を建物側端末110Aから受信すると、自端末のモニター上に「残高不足による取引中止」といった文言を表示し、金額の再入力等を登録者に促す(ステップS5327)。
(2)登録者の実在性が確認されなかった場合(ステップS5317/No)
一方、前述の実在性の認証の結果、登録者の実在性の確認がとれなかった場合には(ステップS5317/No)、組織側端末120Aは、取引禁止情報を作成し(ステップS5330)、建物側端末110Aに送信する(ステップS5331)。
この取引禁止情報とは、その登録者に対して一切の金融取引を許可しない旨の情報である。
建物側端末110Aは、その取引禁止情報を受信すると、この取引禁止情報を末端側端末160Aに送信する(ステップS5332)。
末端側端末160Aは、その取引禁止情報を受信すると、自端末のモニター上に「取引できません」といった文言を表示する(ステップS5333)。
(3)組織側端末120Aが「該当なし」の情報を受信した場合(ステップS5316/No)
組織側端末120Aは、移動情報の「該当なし」を示す情報を建物側端末110Aから受信した場合には(ステップS5316/No)、自端末に予め格納されている、登録者の情報照会先を特定するための情報を参照する(ステップS5334)。
組織側端末120Aは、その特定情報から情報照会先が集約側端末150Aであることを認識すると、その集約側端末150Aに対し、登録者個人の移動情報の格納場所を認識しているか否かを問い合わせる(ステップS5335)。
集約側端末150Aは、その組織側端末120Aからの問い合わせを受けたとき、該当する登録者の移動情報の格納場所を認識していれば(ステップS5336/Yes)、その移動情報を格納している他の端末又はサーバに対し、その登録者が建物側端末110Aの管理するユニット内(支店内)に実在する旨の情報と、建物側端末110Aへその登録者の移動情報を送信すべき旨の情報とを送信する(ステップS5337)。
その後、その移動情報を格納している他の端末又はサーバから、建物側端末110Aを介し、最終的には組織側端末120Aに移動情報が送信される。
一方、集約側端末150Aは、移動情報の存在場所を認識していない場合には(ステップS5336/No)、より上位端末である認証システムサーバ10、建物側端末110Aの管理区域を含むさらに広範囲な地域を管理する地域管理側端末130A又は履歴情報のマイニングに基づいて推定した他の端末やサーバに対する照会を実行する(ステップS5338)。
(第53の実施の形態のまとめ)
以上説明したように、本実施の形態によれば、認証システムは、登録者が現金の引き出しといった金融取引を行うときに、登録者本人の実在性を容易に証明できるので、その取引の安全性が確保される。
特に、銀行カードの暗証番号のような個人情報が流出した場合であっても、不正入手した個人情報だけでは、登録者本人の実在性の証明が不可能であるため、不正に現金の引き出し等が行われることがなく、社会インフラとして生活の安全・安心の構築に大いに貢献することができるようになる。
なお、本実施の形態において、登録者個人の承諾がある場合には、情報携帯物500にある「誘導電子記録媒体」の中に、登録者の個人認証用の情報(手のひら静脈のバイオメトリクス情報のパターン等)を格納しておいてもよい。
このとき、末端側端末160Aは、登録者自身からバイオメトリクス情報を読み取ったとき、この情報携帯物500からもバイオメトリクス情報を読み取り、これら両バイオメトリクス情報を照合して登録者の個人認証を行う。
また、第8の実施の形態と同様に、この情報携帯物500に認証機能を備えるようにしてもよいし、登録者個人の金融取引の状況、預金口座番号又は名寄せコード等を特定できる情報を格納しておいてもよい。
本実施の形態では、認証システムについて銀行口座からの預金引き出しを例に挙げながら説明した。一方で、この認証システムは、他の分野においても利用することが可能である。
例えば、末端側端末160Aを店舗や病院等に設置し情報読取機能を持たせてもよい。また、組織側端末120Aを電子マネーの管理サーバ、クレジットカード会社の管理サーバ又はポイントカードの管理サーバとして機能させてもよい。
このように、認証システムは、金融取引の分野だけでなく、その他の分野を汎用的にカバー可能であることはいうまでもない。
また、認証システムは、パスポート、運転免許証、住民基本台帳カード、図書カード、学生証又は社員証を始め、航空券、乗車券又は入場券といった何らかの人物特定の役割を備えた証拠物が正当なものであることを証明したり、これらの証拠物を直接的に代替したりするときに利用することができる。
なお、通信中の情報流出を防止するために、送信情報に暗号化処理や乱数処理等の安全対策を行うことが望ましいことは言うまでもない。
<第54の実施の形態>
(電子マネー決済への利用)
第53の実施の形態における認証システムは、銀行等の金融取引の際、認証を行うことで、ATM等による金融取引の安全性を確保するものである。
本実施の形態では、この第53の実施の形態の変形例として、認証システムを電子マネーの使用時に利活用する。以下、特記しない限り、本実施の形態における構成及び動作は、第53の実施の形態におけるものと同様であるものとする。
電子マネーに認証システムを利用する場合、図129に示される認証システムの構成を次のように読み替える。
末端側端末160Aは、店舗や病院等の店頭に設置される情報処理装置である。この末端側端末160Aは、店舗等に通常設置されているレジスターの機能を備えている。
建物側端末110Aは、基本的には、店舗や病院ごとに設置される情報処理装置であり、その設置される店舗や病院内の各末端側端末160Aから登録者の情報を収集する。
組織側端末120Aは、基本的には、電子マネーサービス提供機関ごとに設置されるサーバ装置であり、店舗や病院ごとにそれぞれ設置されている建物側端末110Aから登録者の情報を収集する。
情報携帯物500は、登録者が携帯する装置又は記録媒体であり、この登録者に関する情報の問合せ先のアドレス情報や電子マネー情報等を格納する。例えば、この情報携帯物500は、携帯電話機、PHS、PDA、USBメモリ、ICタグ又はICカード等である。
以下、本実施の形態における認証システムの動作について説明する。
登録者個人は、電子マネー利用希望の旨を伝えた上で、店舗店頭の末端側端末160Aで情報携帯物500内の「誘導電子記録媒体」と個人情報を読み取らせる。
末端側端末160Aは、その読み取ったバイオメトリクス情報と、電子マネー処理を求める旨を示す情報と、末端側端末160Aを特定するための空間情報と、バイオメトリクス情報の読取時刻を示す時間情報と、レジスターに表示された購入金額(登録者個人の支払い金額)情報と、登録者個人の情報照会先が集約側端末150Aである旨の情報とを建物側端末110Aに送信する。
建物側端末110Aは、上述の各種情報を末端側端末160Aから受信すると、一時的に自機内に保管し、登録者個人の電子マネー情報を管理する組織側端末120Aに対し、末端側端末160Aより受信した情報を送信する。
組織側端末120Aは、上述の各種情報を受信すると、一時的に自機内に保管し、次に、組織側端末120Aは、受信したバイオメトリクス情報と、自機内に予め格納されているバイオメトリクス情報とを比較照合し、登録者個人の特定を行う。
組織側端末120Aは、登録者を特定すると、自端末内のデータベースを検索し、この特定した登録者個人の取引状況と個人識別IDとを抽出し、抽出した登録者個人の個人識別IDを基に、登録者個人の移動情報が建物側端末110Aを含むユニット内に存在しているか否か、確認を求める情報を建物側端末110Aに送信する。
組織側端末120Aは、移動情報を建物側端末110Aから受信した場合には、その受信した移動情報と、一時保管していた情報とを比較照合して、登録者の実在性認証を行う。
前述の実在性の認証の結果、登録者本人の実在性が確認された場合には、組織側端末120Aは、移動停止情報と、電子マネー決済取引許可情報とを作成する。
なお、この電子マネー決済取引許可情報とは、登録者の電子マネー勘定から末端側端末160Aまたは末端側端末160Aを管理する人物(組織・団体を含む)の勘定にマネー情報を振り替える取引を行うことを許可する旨の情報である。
次に、組織側端末120Aは、前述の電子マネー決済取引許可情報を参照して、現在登録者が要求している電子マネーの利用額が、登録者個人に認められている利用限度額内か否かを判断する。
利用限度額内の場合には、組織側端末120Aは、資金の決済を行い、その結果情報とともに、移動停止情報を建物側端末110Aに送信する。
建物側端末110Aは、組織側端末120Aからその結果情報及び移動停止情報を受信すると、その受信した移動停止情報を自端末内に格納する。また、建物側端末110Aは、その受信した結果情報を末端側端末160Aに送信する。
末端側端末160Aは、その許可情報を建物側端末110Aから受信すると、自端末に取引完了の旨を示す情報を表示する。
以上説明したように、本実施の形態によれば、認証システムは、偽造が困難な移動情報を用いて登録者の認証を行い、この認証が成功した場合のみ電子マネーによる決済を許可するので、第三者による「なりすまし」等の電子マネーの不正利用を防止することが可能となる。
なお、本実施の形態では、登録者の認証の際、情報携帯物500内の情報を用いるものであるが、この情報携帯物500内の情報を用いずに、登録者のバイオメトリクス情報による移動情報の認証のみを行うようにしてもよい。
<第55の実施の形態>
(クレジットカードへの利用)
第53の実施の形態における認証システムは、銀行等の金融取引の際、認証を行うことで、ATM等による金融取引の安全性を確保するものである。
本実施の形態では、この第53の実施の形態の変形例として、認証システムをクレジットカード使用時に利活用する。以下、特記しない限り、本実施の形態における構成及び動作は、第53の実施の形態におけるものと同様であるものとする。
クレジットカードに認証システムを利用する場合、図129に示される認証システムの構成を次のように読み替える。
末端側端末160Aは、店舗や病院等の店頭に設置される情報処理装置である。この末端側端末160Aは、店舗等に通常設置されているレジスターの機能を備えている。
建物側端末110Aは、基本的には、店舗や病院ごとに設置される情報処理装置であり、その設置される店舗や病院内の各末端側端末160Aから登録者の情報を収集する。
組織側端末120Aは、基本的には、クレジットカード会社ごとに設置されるサーバ装置であり、店舗や病院ごとにそれぞれ設置されている建物側端末110Aから登録者の情報を収集する。
情報携帯物500は、登録者が携帯する装置又は記録媒体であり、この登録者に関する情報の問合せ先のアドレス情報や取引クレジットカード情報等を格納する。例えば、この情報携帯物500は、携帯電話機、PHS、PDA、USBメモリ、ICタグ又はICカード等である。
以下、本実施の形態における認証システムの動作について説明する。
登録者個人は、クレジットカード利用希望の旨を伝えた上で、店舗店頭の末端側端末160Aで情報携帯物500内の「誘導電子記録媒体」と個人情報を読み取らせる。
末端側端末160Aは、その読み取ったバイオメトリクス情報と、クレジットカード処理を求める旨を示す情報と、末端側端末160Aを特定するための空間情報と、バイオメトリクス情報の読取時刻を示す時間情報と、レジスターに表示された購入金額(登録者個人の支払い金額)情報と、登録者個人の情報照会先が集約側端末150Aである旨の情報とを建物側端末110Aに送信する。
建物側端末110Aは、上述の各種情報を末端側端末160Aから受信すると、一時的に自機内に保管し、登録者個人のクレジットカード情報を管理する組織側端末120Aに対し、末端側端末160Aより受信した情報を送信する。
組織側端末120Aは、上述の各種情報を受信すると、一時的に自機内に保管し、次に、組織側端末120Aは、受信したバイオメトリクス情報と、自機内に予め格納されているバイオメトリクス情報とを比較照合し、登録者個人の特定を行う。
組織側端末120Aは、登録者を特定すると、自端末内のデータベースを検索し、この特定した登録者個人の取引状況と個人識別IDとを抽出し、抽出した登録者個人の個人識別IDを基に、登録者個人の移動情報が建物側端末110Aを含むユニット内に存在しているか否か、確認を求める情報を建物側端末110Aに送信する。
組織側端末120Aは、移動情報を建物側端末110Aから受信した場合には、その受信した移動情報と、一時保管していた情報とを比較照合して、登録者の実在性認証を行う。 前述の実在性の認証の結果、登録者本人の実在性が確認された場合には、組織側端末120Aは、移動停止情報と、クレジットカード決済取引許可情報とを作成する。
なお、このクレジットカード決済取引許可情報とは、登録者が末端側端末160Aまたは末端側端末160Aを管理する人物(組織・団体を含む)にクレジット扱いで資金決済処理を行うことの進行をクレジットカード会社として許可する旨の情報である。
次に、組織側端末120Aは、前述のクレジットカード決済取引許可情報を参照して、現在登録者が要求しているクレジットカードの利用額が、登録者個人に認められている利用限度額内か否かを判断する。
利用限度額内の場合には、組織側端末120Aは、クレジット扱い認証の決済を行い、その認証結果情報とともに、移動停止情報を建物側端末110Aに送信する。
建物側端末110Aは、組織側端末120Aからその認証結果情報及び移動停止情報を受信すると、その受信した移動停止情報を自端末内に格納する。また、建物側端末110Aは、その受信した認証結果情報を末端側端末160Aに送信する。
末端側端末160Aは、その許可情報を建物側端末110Aから受信すると、自端末に取引完了の旨を示す情報を表示する。
以上説明したように、本実施の形態によれば、認証システムは、偽造が困難な移動情報を用いて登録者の認証を行い、この認証が成功した場合のみクレジットカードによる決済を許可するので、第三者による「なりすまし」等のクレジットカードの不正利用を防止することが可能となる。
なお、本実施の形態では、登録者の認証の際、情報携帯物500内の情報を用いるものであるが、この情報携帯物500内の情報を用いずに、登録者のバイオメトリクス情報による移動情報の認証のみを行うようにしてもよい。
<第56の実施の形態>
(パスポートを始めとする身分証明書の代用)
第53の実施の形態における認証システムは、銀行等の金融取引の際、認証を行うことで、ATM等による金融取引の安全性を確保するものである。
本実施の形態では、この第53の実施の形態の変形例として、認証システムにより移動情報を用いて認証を行うことにより、パスポートや運転免許証といった身分証明書に代わって、登録者の身分証明を行う。以下、特記しない限り、本実施の形態における構成及び動作は、第53の実施の形態におけるものと同様であるものとする。
身分証明書の代わりに認証システムを利用する場合、図129に示される認証システムの構成を次のように読み替える。ここでは、パスポートを代表例として説明する。
末端側端末160Aは、出入国管理窓口に設置される情報処理装置である。
建物側端末110Aは、基本的には、空港や港湾施設や出入国手続建物ごとに設置される情報処理装置であり、その設置される空港や港湾施設や出入国手続建物内の各末端側端末160Aから登録者の情報を収集する。
組織側端末120Aは、基本的には、各国外務省や出入国管理局ごとに設置されるサーバ装置であり、空港や港湾施設や出入国手続建物ごとにそれぞれ設置されている建物側端末110Aから登録者の情報を収集する。
情報携帯物500は、登録者が携帯する装置又は記録媒体であり、この登録者に関する情報の問合せ先のアドレス情報等を格納する。例えば、この情報携帯物500は、携帯電話機、PHS、PDA、USBメモリ、ICタグ又はICカード、電子パスポート等である。
以下、本実施の形態における認証システムの動作について説明する。
登録者個人は、入国または出国希望の旨を伝えた上で、空港や港湾施設や出入国手続建物の末端側端末160Aで情報携帯物500内の「誘導電子記録媒体」と個人情報を読み取らせる。
末端側端末160Aは、その読み取ったバイオメトリクス情報と、入国または出国処理を求める旨を示す情報と、末端側端末160Aを特定するための空間情報と、バイオメトリクス情報の読取時刻を示す時間情報と、登録者個人の情報照会先が集約側端末150Aである旨の情報とを建物側端末110Aに送信する。
建物側端末110Aは、上述の各種情報を末端側端末160Aから受信すると、一時的に自機内に保管し、登録者個人のパスポート情報を管理する組織側端末120Aに対し、末端側端末160Aより受信した情報を送信する。
組織側端末120Aは、上述の各種情報を受信すると、一時的に自機内に保管し、次に、組織側端末120Aは、受信したバイオメトリクス情報と、自機内に予め格納されているバイオメトリクス情報とを比較照合し、登録者個人の特定を行う。
組織側端末120Aは、登録者を特定すると、自端末内のデータベースを検索し、この特定した登録者個人の取引状況と個人識別IDとを抽出し、抽出した登録者個人の個人識別IDを基に、登録者個人の移動情報が建物側端末110Aを含むユニット内に存在しているか否か、確認を求める情報を建物側端末110Aに送信する。
組織側端末120Aは、移動情報を建物側端末110Aから受信した場合には、その受信した移動情報と、一時保管していた情報とを比較照合して、登録者の実在性認証を行う。 前述の実在性の認証の結果、登録者本人の実在性が確認された場合には、組織側端末120Aは、移動停止情報と、入出国許可情報とを作成する。
組織側端末120Aは、その入出国許可情報とともに、移動停止情報を建物側端末110Aに送信する。
建物側端末110Aは、組織側端末120Aからその入出国許可情報及び移動停止情報を受信すると、その受信した移動停止情報を自端末内に格納する。また、建物側端末110Aは、その受信した入出国情報を末端側端末160Aに送信する。
末端側端末160Aは、その許可情報を建物側端末110Aから受信すると、自端末に入出国許可が下りた旨を示す情報を表示する。
以上説明したように、本実施の形態によれば、認証システムは、偽造が困難な移動情報を用いて登録者の認証を行い、この認証が成功した場合のみ登録者が身分証明書を提示したものとみなすので、パスポートの偽造といった第三者による「なりすまし」等の身分証明書の不正利用を防止することが可能となる。
なお、本実施の形態では、登録者の認証の際、情報携帯物500内の情報を用いるものであるが、この情報携帯物500内の情報を用いずに、登録者のバイオメトリクス情報による移動情報の認証のみを行うようにしてもよい。
<第57の実施の形態>
(指定券・航空券・定期券等のチケットレス)
第53の実施の形態における認証システムは、銀行等の金融取引の際、認証を行うことで、ATM等による金融取引の安全性を確保するものである。
本実施の形態では、この第53の実施の形態の変形例として、認証システムを指定券・航空券・定期券等のチケットレスサービスの利用時に利活用する。以下、特記しない限り、本実施の形態における構成及び動作は、第53の実施の形態におけるものと同様であるものとする。
チケットを用いた乗物への搭乗やある施設への入場等の各種サービス利用時に認証システムを利用する場合、図129に示される認証システムの構成を次のように読み替える。ここでは、航空券を代表例として説明する。
末端側端末160Aは、空港のカウンターや搭乗口に設置される情報処理装置である。
建物側端末110Aは、基本的には、空港ごとに設置される情報処理装置であり、その設置される空港内の各末端側端末160Aから登録者の情報を収集する。
組織側端末120Aは、基本的には、航空会社ごとに設置されるサーバ装置であり、空港ごとにそれぞれ設置されている建物側端末110Aから登録者の情報を収集する。
情報携帯物500は、登録者が携帯する装置又は記録媒体であり、この登録者に関する情報の問合せ先のアドレス情報や航空機予約情報等を格納する。例えば、この情報携帯物500は、携帯電話機、PHS、PDA、USBメモリ、ICタグ又はICカード等である。
以下、本実施の形態における認証システムの動作について説明する。
登録者個人は、搭乗希望の旨を伝えた上で、空港カウンターの末端側端末160Aで情報携帯物500内の「誘導電子記録媒体」と個人情報を読み取らせる。
末端側端末160Aは、その読み取ったバイオメトリクス情報と、搭乗許可処理を求める旨を示す情報と、末端側端末160Aを特定するための空間情報と、バイオメトリクス情報の読取時刻を示す時間情報と、航空機予約情報と、登録者個人の情報照会先が集約側端末150Aである旨の情報とを建物側端末110Aに送信する。
建物側端末110Aは、上述の各種情報を末端側端末160Aから受信すると、一時的に自機内に保管し、登録者個人の航空機予約情報を管理する組織側端末120Aに対し、末端側端末160Aより受信した情報を送信する。
組織側端末120Aは、上述の各種情報を受信すると、一時的に自機内に保管し、次に、組織側端末120Aは、受信したバイオメトリクス情報と、自機内に予め格納されているバイオメトリクス情報とを比較照合し、登録者個人の特定を行う。
組織側端末120Aは、登録者を特定すると、自端末内のデータベースを検索し、この特定した登録者個人の取引状況と個人識別IDとを抽出し、抽出した登録者個人の個人識別IDを基に、登録者個人の移動情報が建物側端末110Aを含むユニット内に存在しているか否か、確認を求める情報を建物側端末110Aに送信する。
組織側端末120Aは、移動情報を建物側端末110Aから受信した場合には、その受信した移動情報と、一時保管していた情報とを比較照合して、登録者の実在性認証を行う。 前述の実在性の認証の結果、登録者本人の実在性が確認された場合には、組織側端末120Aは、移動停止情報と、搭乗許可情報とを作成し、その搭乗許可情報とともに、移動停止情報を建物側端末110Aに送信する。
建物側端末110Aは、組織側端末120Aからその搭乗許可情報及び移動停止情報を受信すると、その受信した移動停止情報を自端末内に格納する。また、建物側端末110Aは、その受信した搭乗許可情報を末端側端末160Aに送信する。
末端側端末160Aは、その搭乗許可情報を建物側端末110Aから受信すると、自端末に搭乗を認める旨を示す情報を表示する。
以上説明したように、本実施の形態によれば、認証システムは、偽造が困難な移動情報を用いて登録者の認証を行い、この認証が成功した場合のみ登録者に対してチケットレスサービスの利用を許可するので、チケットの偽造といった不正行為を防止することが可能となる。
なお、本実施の形態では、登録者の認証の際、情報携帯物500内の情報を用いるものであるが、この情報携帯物500内の情報を用いずに、登録者のバイオメトリクス情報による移動情報の認証のみを行うようにしてもよい。
<第58の実施の形態>
(第58の実施の形態の構成)
図133は、本発明の第58の実施の形態における認証システムの構成を示す図である。
図に示すように、認証システムは、登録者の自宅にてその登録者の個人情報を読み取る末端側端末160Aと、この自宅全体で読み取られた個人情報を収集する建物側端末110Aと、この自宅を含む周辺で読み取られた個人情報を収集する集約側端末150Aと、末端側端末160Aが建物側端末110Aに接続不可能であった場合に緊急に接続される集約側端末150Wと、その末端側端末160Aで読み取られた個人情報をバックアップ用に格納する建物側端末110Mとを有する。
また、認証システムは、その自宅の最寄駅にてその登録者の個人情報を読み取る末端側端末160Bと、この駅全体で読み取られた個人情報を収集する建物側端末110Bと、この駅を含む周辺で読み取られた個人情報を収集する集約側端末150Bと、末端側端末160Bが建物側端末110Bに接続不可能であった場合に緊急に接続される集約側端末150Wと、その末端側端末160Bで読み取られた個人情報をバックアップ用に格納する建物側端末110Kとを有する。
また、認証システムは、病院にてその登録者の個人情報を読み取る末端側端末160Cと、この病院全体で読み取られた個人情報を収集する建物側端末110Cと、この病院を含む周辺で読み取られた個人情報を収集する集約側端末150Cとを有する。
また、認証システムは、その自宅及び駅を含む地域全体にて読み取られた個人情報を収集する地域管理側端末130Aと、その駅及び病院を含む地域全体にて読み取られた個人情報を収集する地域管理側端末130Bと、前述した認証システム全ての端末から個人情報を収集し管理する認証システムサーバ10とを有する。
本実施の形態における認証システムは、登録者のバイオメトリクス情報を各地で読み取る等して登録者が各時刻にどの場所にいたかを把握し、その事実間の整合性(本明細書では連続性という)を確認することで、その登録者のなりすましが行われているか否かを判断するものである。
例えば、ある登録者が正午12時00分に東京駅に存在し、その1分後に札幌駅でその存在が確認されたときは、その登録者の連続性が失われていると判断され、なりすまし等の第三者の行為が介在しているものとみなされる。
このように、この認証システムにより登録者の認証を連続的に行うためには、常時登録者のバイオメトリクス情報の読み取りや認証等の処理を行う必要がある。
一方で、大規模な自然災害等が発生した場合には、この認証システムも何らかの損傷を受ける可能性がある。
例えば、地震が発生し発電所や送電設備等が壊滅的な損傷を受けた場合、又は台風による床上浸水によって屋内電気回線が故障した場合等には、広範囲な停電が発生し、認証システム内の各種端末又は読取機が正常に作動できなくなり、その機能が制約される虞がある。この結果、認証システム内の各ユニットが各地で寸断される可能性がある。
また、このような状況下では、断線等が発生していないとしても、電力の供給不足から電気使用量が規定を超過しブレーカーが落ちたり、その他、コンセントの故障や端末ソケットの断線したりといった屋内配電の異常により、ある限定された地域内において停電状態になることも考えられる。
本実施の形態では、このような災害時においても、認証システムが緊急的に最低限度のサービスを登録者等に対して提供できるようになっている。
また、災害発生時において、各端末又はサーバは、通常の電線による電力供給が停止すると、自端末が自家発電機能を有しているか否かを検討し、自家発電機能を有している場合には、当該機能により自家発電を開始し、自端末への供給電力を確保する。
また、その他の方法としては、各端末又はサーバは、電力供給が可能な他の機器から有線又は無線によって電力供給を受けるようにしてもよい。例えば、これらの方法としては、自家用車のエンジンを動作させることにより発電した電気を有線により取り込む方法、又は携帯端末から電波に乗せて電気を受け取る方法等がある。
また、本実施の形態においては、災害時に発電所又は送電線のトラブル等により大規模な停電が発生した場合には、認証システムの運用モードを通常モードから緊急対応モードに切り替える。
この緊急対応モードに切り替わると、この認証システム内の各端末又はサーバは、登録者の認証動作を、自機のみ、又は自機に接続された少数の他の端末やサーバからなる最低限度のユニット内で実行するようになる。
また、この緊急対応モード時には、電力の節約のために、送受信する情報を限定しデータ量を削減する。
なお、この認証システム全体を政府等の公共団体が利活用している場合には、政府又は地方行政機関等は、災害発生時に緊急時の発令を行い、この認証システムを緊急対応モードに強制的に切り替えるようにしてもよい。
例えば、大型地震警戒警報が発令された場合、地震の初期微動を感知した場合、大型台風の上陸が予想される場合、集中豪雨が予想される場合には、このように緊急対応モードに切り替える。
なお、この緊急対応モード状況下で対応した事項については、あらかじめ免責又は責任負担が軽減することを法律又はシステム運用規約に明示するようにしてもよい。
(第58の実施の形態の動作)
(1)災害発生前の動作
図134,135は、本発明の第58の実施の形態における認証システムの動作の流れを示すシーケンスチャートである。
以下、図に沿って、本実施の形態における災害発生時の認証システムの認証動作について説明する。
登録者個人は、自宅出発時に末端側端末160Aに個人情報を読み取らせると(ステップS6001)、末端側端末160Aは、その読み取った個人情報を建物側端末110Aに送信する(ステップS6002)。
建物側端末110Aは、その個人情報を受信すると、その登録者が自宅から外出したことを認識する(ステップS6003)。
そして、建物側端末110Aは、その登録者が自宅を出て移動を開始した旨の移動開始情報を作成し(ステップS6004)、ネットワーク内に送信を行う(ステップS6005)。このとき、建物側端末110Aは、第17の実施形態でいう優先接続先に情報を送信するだけではなく、緊急接続先(集約側端末150W)や、第18の実施形態でいう反射接続先(建物側端末110K)に対しても送信している(ステップS6006〜S6008)。この移動開始情報を受信した各端末は、それぞれ当該情報を一時的に保管する。
(2)全端末の電気が停止したときの動作
その後、登録者は、自宅から最寄駅に到着し、その最寄駅改札にある末端側端末160Bに個人情報を読み取らせる(ステップS6009)。
ここで、この個人情報を読み取った直後に地震が起こって断線し、全ての端末への電力供給が停止したとする。このとき、認証システムによる情報の送受信や認証処理等は一旦停止する。
このとき、認証システムを前述の緊急対応モードに切り替えてもよい。
(3)末端側端末のみ電力確保ができたときの動作
その後、その最寄駅の予備電源の起動等により、その最寄駅改札にある末端側端末160Bにのみ電力の供給が回復した場合、末端側端末160Bは、優先接続順位(第17の実施の形態にて説明)に予め定められている端末に対して、現在通信が可能か否かを確認するための信号を送信する(ステップS6010)。このとき、例えば、末端側端末160Bは、建物側端末110B、集約側端末150Z及び建物側端末110Mに対して確認用の信号を送信し、現在通信が可能か否かを確認する。
このとき、通信が可能である端末からは、その確認用信号に対する応答信号が末端側端末160Bに返信される(ステップS6011)。末端側端末160Bに接続できる端末があった場合には(ステップS6012/Yes)、末端側端末160Bは、その接続が可能な端末のID(以下、接続可能端末IDという)を自機内に登録する(ステップS6013)。末端側端末160Bは、今後はこの接続可能な端末と協働して、ネットワークを介して情報の送受信を行っていく。
一方、末端側端末160Bは、自機に接続できる端末を発見できなかった場合には(ステップS6012/No)、所定時間を経過した後に、ステップS6010〜S6012の通信先の確認処理を再実行する。
本実施の形態では、一例として、末端側端末160Bは、前述の確認の結果、建物側端末110B,110Mとは通信が不可能であり、集約側端末150Zと通信可能であるものとする。
次いで、末端側端末160Bは、自機内に認証用の登録個人情報を有しているかどうかを検証する(ステップS6014)。ここで、第6の実施形態と同様に、末端側端末160B内に、登録者の個人情報等が蓄積された認証用のデータベースが存在する場合には、末端側端末160Bは、当該データベースの情報内の登録者の個人情報と、ステップS6009にて読み取った登録者の個人情報とを比較検証し(ステップS6015)、個人認証を実施する(ステップS6016)。
この結果、登録者本人であることを特定できた場合には、末端側端末160Bは、その登録者を駅構内に入場することを許可することになる。
このように、災害が発生し、末端側端末160Bと接続可能な端末やサーバが限られてしまうときであっても、自機で個人認証が可能である場合にはその個人認証処理を実行することで、登録者本人の確認をとることが可能となる。
なお、人間の生命の安全と安心を確保するために、駅関係者等の判断により個人認証をせずに入場許可を行うことが可能であるのは言うまでもない。
続いて、末端側端末160Bは、この登録者の認証が成功した旨の情報を、集約側端末150Zに向け送信する(ステップS6017)。
この際、送信される情報は、末端側端末160Bの電気確保量や消費量に考慮して、できるだけ長時間の稼動を可能にするために、登録者個人の個人識別ID、認証時刻、末端側端末160Bの位置情報という根幹情報に限定する。
このように、本実施の形態では、緊急時において末端側端末160Bが読み取った個人情報に基づいてそのまま認証処理を行うことにより、平常時に認証処理を行っている端末又はサーバと接続が不可能であったとしても、認証システムによる認証サービスを提供することが可能となる。
(4)災害発生後の復旧動作
次に、災害発生時に、認証システムのネットワークが一旦ダウンした後の復旧処理について説明する。
図136は、本発明の第58の実施の形態における末端側端末160Aの接続先の端末の一覧表データの一例を示す図である。
この一覧表データは、末端側端末160A内に格納されており、末端側端末160Aは、この一覧表データを参照して、この一覧表上の接続先と情報の送受信を行う。
図に示すように、末端側端末160Aは、登録者の個人情報を読み取ると、この読み取った個人情報を用いて移動情報を作成し、この作成した移動情報を優先的に「最優先」の集約側端末150Aに送信する。この集約側端末150Aと接続不可能である場合には、「次点」の組織側端末120Aに送信する。また、末端側端末160Aは、バックアップ用に移動情報を「反射」の建物側端末110Kに送信する。災害発生時等の緊急時には「緊急」の集約側端末150Wに送信する。
図137は、本発明の第58の実施の形態における認証システムの動作の流れを示すシーケンスチャートである。以下、図に沿って、本実施の形態において、災害時にネットワークが一部ダウンしたときの、認証システムによるネットワークの復旧動作について説明する。
災害が発生すると、建物側端末110Kは、平常時に移動情報の発信元となっている末端側端末160Aが設置されている地域が被災したことを知らせる情報を、認証システムサーバ10より受信する(ステップS6021)。
建物側端末110Kは、この情報を受信すると、末端側端末160Aが被災地域にあり、緊急対応モードになっていることを認識する(ステップS6022)。
建物側端末110Kは、この緊急対応モードになっていることを認識すると、自機内に保管している移動情報を末端側端末160A及びシステムサーバ10に向けて送信する。
末端側端末160Aが稼動していれば(ステップS6023/Yes)、建物側端末110Kから移動情報を受信し(ステップS6024)、その移動情報を元に個人認証の準備を行うとともに(ステップS6025)、優先接続先の端末又はサーバの稼働状況を確認する(ステップS6026)。
末端側端末160Aは、登録者個人が生存しておりその登録者の個人情報を読み取りできた場合、建物側端末110Kより受信している移動情報を加味して個人実在認証を検証していくことになる。
一方、末端側端末160Aに障害が発生する等し、建物側端末110Kから移動情報の受信が不可能な場合には(ステップS6023/No)、建物側端末110Kは、代わりにその移動情報を、末端側端末160Aを包含するユニットを管理する建物側端末110Aに送信する(ステップS6028)。
さらに、その建物側端末110Aに障害が発生する等し移動情報の受信が不可能な場合には(ステップS6027/No)、建物側端末110Kは、代わりに集約側端末150A(ステップS6032)に、さらに集約側端末150Aも受信が不可能状態の場合には(ステップS6031/No)、その地域を統括する地域側端末130Aに(ステップS6036)といった順番で移動情報を送信する。
(5)被災者データベースについて
また、このような災害が発生した場合には、認証システムは、一定の地域内に存在すると思われる人物のデータベース(以下、被災者データベースという)を緊急的に作成し、安否確認等に利用するようにしてもよい。
この被災者データベースは、例えば、以下のようにして作成される。
認証システムサーバ10又は地域管理側端末130等は、被災した一定地域でその直前の一定時間に発信された移動情報に該当する登録者をその地域の被災者として推定し、自機やその他の各端末(前述した反射端末や被災地域の接続可能端末等)にある移動情報を抽出し、それらの登録者の個人識別IDを基に被災者データベースを作成する。
また、認証システムサーバ10又は地域管理側端末130等は、自機やバックアップサーバ300等に保管されている住民基本台帳、学生台帳、従業員名簿、搭乗客名簿又は電子カルテ情報等のあらゆる情報から、被災地域に存在が推定できる人物の個人名や個人識別ID等を抽出して作成してもよい。
なお、この被災者データベースの作成については、あらかじめの運用法則として緊急時と認識した場合には、一定地域に存在すると思われる人物のデータベースを作成することを許可するようにしておくことが望ましい。
認証システムは、この被災者データベースを準備することで、前述の末端側端末160Bが送信した情報がネットワークを介して認証システムサーバ10等に到着し、登録者個人の安否確認が容易に実施できるようになる。
この被災者データベースは2つの機能を持つ。
一つ目は、安否確認資料であり、認証システムサーバ10等は、被災地域から人物を特定する情報を受信する度に、被災者データベース上の、受信した情報に関係する人物のデータを消去する。このことから、安否確認がとれていない人物だけデータベースのリスト上に残っていくので、関係者による不明者捜索活動が容易となる。家族や知人の安否を確認希望する人にとっても、このデータベースを閲覧可能にしておけば容易に必要情報を入手することが可能となる。
また、二つ目は、現在位置表示機能であり、認証システムサーバ10等は、被災地域から人物を特定する情報を受信する度に、受信した情報に関係する位置情報や時間(時刻)情報を被災者データベースに登録し、このデータベースにアクセスしてきた端末等に送信し個人別に表示させる。例えば、自家発電装置を有する病院や大型ビルの場合、早期に一部端末の復旧が可能である。そこで、家族・知人に生存を知らせたい人物は、避難場所や自宅等に向かう途中にある病院等に立ち寄り、そこで、その病院等に設置されている末端側端末160に個人識別IDや個人情報を読み取らせ、ネットワークを介して認証システムサーバ10等に移動情報を送信して、被災者データベースに無事生存している旨を登録できるようになる。
さらに、この二つ目の機能を利用して、一定地域に生存している人数を推定または把握し、必要な物資の送付や救援方式の検討等の対策に役立てることも可能である。
同時に、副次的機能として資金決済機能を拡張して登録することを可能としておくことが望ましい。被災者が必要な食料や備品を購入する際に、現金を失い、金融機関も閉鎖していることが考えられる。このため、資金決済が必要になった場合には、登録者個人の個人識別ID、認証時間、末端側端末160の位置情報という根幹情報に加え、金額を加えることによって、一時的に買掛け状態で商品購入・サービス提供等を可能にする効果を持たせる。
購入者は、店舗等にある端末で個人情報を読み取り、資金決済を望む旨を示す情報と金額をデータベースに送信することで、データベースは当該金額を登録者個人識別IDに付帯させその決済情報を登録することもできる。
(第58の実施の形態のまとめ)
このように、本実施の形態では、災害等で一部のネットワークが断線したり、端末が故障したりした場合であっても、各端末は、接続可能な端末又はサーバを探して接続し、自動的にネットワークを形成するので、緊急時においても認証システムによる認証サービス等を最大限可能な限り提供することができ、人命救助等に効果を発揮することが可能となる。
<実施の形態のまとめ>
なお、認証システムにおける各端末は、赤外線、温度、湿度、照度、人感、音、電波状況、電力状況、加速度、歪、振動、磁気等を把握できるセンサーを付帯又は搭載していてもよい。
また、検索情報総合DB16、116、126、136、146、156、166は、各端末を利活用する予定者の最低限の個人情報を集積したものであり、天災や停電等の緊急時には緊急認証システム稼動用の情報として活用してもよい。
また、前述の実施の形態において、全てのデータベース内の各種情報は、登録者固有の個人識別IDに対応付けられて格納されている。具体的には、この認証システム内で利活用されるデータベースは、必ずこの個人識別IDを格納している。
各端末またはサーバは、登録者個人の履歴情報を他の端末やサーバに送信する際に、その情報に自動的に個人識別IDを付与して送信することが望ましい。
また、登録者個人を識別するための情報として、前述の(仮)個人識別IDの他に、登録者識別情報がある。
例えば、この登録者識別情報は、登録者個人のバイオメトリクス情報や、登録者固有の電子情報であり、登録者が保有する電子記録媒体等に保存される。この登録者識別情報は、認証システムにおいて、登録者個人に対し1つ以上登録されている。
日本国内の場合、前述の登録者固有の個人識別IDは、住民基本台帳通知番号(住民票コードを指す)を基礎にして発行するようにしてもよい。この個人識別IDは、通知番号をそのまま利用する場合と、一定の計算方式や乱数によって別のデジタル情報に変換して利用する場合とがある。なお、実行にあたり、補助的手段として、パスポート番号や免許証番号や住民基本台帳カード番号といった国民に普及している番号をその個人識別IDに活用してもよい。
海外の場合には、その国にある自国民を統一的に網羅できる納税者番号、パスポート番号、住民番号といった固有の番号をその個人識別IDに援用するようにしてもよい。
また、その個人が有するパスポート番号に、パスポート発行政府機関コード、性別コード、本人の生年月日等の番号又は字を基に、一定の計算方式や乱数によって別のデジタル情報に変換して個人識別IDとするようにしてもよい。
特に、パスポートは、全世界において共通の身分証明書となり得るので、全世界で共通の個人識別IDを容易に割り当てることができる。
例えば、日本に入国を希望する外国人等、日本国内の身分証明書の番号がまだ付与されていない場合には、このパスポート番号に基づいて、容易に個人識別IDを割り当てることができる。
また、認証システムにおいて格納されるデータは複数の機器で重複していてもよい。
図119は、本発明の実施の形態である総合DB11,111,121,131,141,151,161の情報量を示すイメージ図である。総合DB11では、登録者に関わる全てのデータが保管されている。一方、総合DB111,121,131,141,151,161では、そこで利活用を行うことが想定されるデータを中心に保管されており、それぞれの総合DBに存在する履歴情報は重複する部分が存在してもよい。
このため、総合DB11の格納する登録者個人の個人情報量を100とした場合、端末111,121,131,141,151,161に存在する個人情報の総合計は100を上回ることもありうる。例えば、氏名や住所や生年月日等の基本情報と考えられるものは、各端末において重複して保存され、利活用されるので、この認証システムのデータの中では重複して存在する。
同様に、各端末においても、その端末に接続される下位端末の登録者個人の個人情報量の総合計は、上位端末が保有する登録者個人の個人情報量に合致しなくてもよい。
(端末の読み取り、方式、データ変換方式の連絡)
現在、世界中の様々なメーカーや大学の研究室がバイオメトリクス読取機の開発や製造を行っており、それぞれが主張する端末の読み取り方式、データ変換方式、整合率や「しきい値」等の計算方式、等の技術方式は千差万別である。
それぞれの技術には固有の特徴を有するが、相互の融通性は検討されておらず、社会全体のインフラと考えられない。例えば、同一の指紋で2台のバイオメトリクス読取機を使用する場合、それぞれのスキャナの読取方式が異なれば、相互で読み取った指紋データを検証の連続性、補強証拠として活用することはできない。
これでは、世界中にどれだけのバイオメトリクス読取機が設置されたとしても、個々の処理が完結するだけで、社会全体、登録者個人の利便性に寄与するものでない。
本実施の形態においては、各端末やサーバは、認証された場合に、認証システムを正常稼動させる上述の移動情報だけを送信する。すなわち、本実施の形態では、読取データの照合は、その読み取った機器が行い、その後は、認証が成功した事実を含む移動情報が認証システム内で送受信される。そのため、本実施の形態の認証システムを構成する機器のデータ読み取り方式は、互いに異なっていてもよいこととなる。
このことから、末端側端末160等の読取機器のメーカーは、「認証すれば移動情報を発信する」という最小限度の仕様の制約だけを守れば、その読取機器における自由度の高い開発や製造を行うことができ、その開発・製造段階における負担を軽減させることができる。
なお、読み取られたバイオメトリクス情報等のデータは、当該読取機器内で格納される。
また、各端末やサーバは、その端末とその端末やサーバが管理する下位端末とを開発又は製造したメーカーや研究機関の名称、当該メーカーや研究機関に使用されこれらメーカー等への連絡先とされる端末の端末識別ID、対応機器の読取方式やデータ変換方式や固有製造型番などを示す固有ID等を格納しているとしてもよい。
例えば、集約側端末150は、自機が管理する下位端末全ての機能を一覧化したデータベースを有する。このことにより、各端末やサーバが相互の読取情報を認証できる場合、その端末やサーバに登録されている登録情報の同一性を検証するときに容易に抽出することが可能となる。
また、このように、データベースにおいて自機が管理する端末の機能を管理することにより、認証システム全体で利活用されている機器の割合や頻度を検証して、その後の普及の方針に役立てることが可能である。
さらに、各端末やサーバの誤動作率や故障頻度等も集積できるので、改良や新技術開発にも役立てることが可能である。
また、各端末は、末端側端末160に備えられているバイオメトリクス情報等の個人情報の読取機能及び証拠物の真贋判定機能は、その他の端末にも同様に備えられていてもよい。
また、末端側端末160は、携帯電話、携帯端末、ユビキタス・コミュニケーター、ICカード、電子記録媒体であってもよいし、家庭用電化製品等の中に設置されていてもよい。なお、この末端側端末160は、登録者自身が所有または占有するものであってもよいし、認証システムの管理側等から登録者が貸借するものであってもよい。
また、前述の実施の形態における認証システムでは、登録者は、自分自身のバイオメトリクス情報を末端側端末160等に読み取らせることにより認証を行っていたが、文字、番号又は記号等、あるいはその組み合わせを示す電子情報を末端側端末160等に直接キー入力したり、それらの電子情報が書き込まれた情報記録媒体を読み込ませたりすることにより認証を行うようにしてもよい。
上記の認証システムにおける各端末やサーバは、主にCPUとメモリにロードされたプログラムによって実現される。ただし、それ以外の任意のハードウェアおよびソフトウェアの組合せによってこの装置またはサーバを構成することも可能であり、その設計自由度の高さは当業者には容易に理解されるところである。
また、上記の各端末やサーバをソフトウェアモジュール群として構成する場合、このプログラムは、光記録媒体、磁気記録媒体、光磁気記録媒体、または半導体等の記録媒体に記録され、上記の記録媒体からロードされるようにしてもよいし、所定のネットワークを介して接続されている外部機器からロードされるようにしてもよい。
なお、上記の実施例は本発明の好適な実施の一例であり、本発明の実施例は、これに限定されるものではなく、本発明の要旨を逸脱しない範囲において種々変形して実施することが可能となる。
本発明の実施の形態における認証システムの基本構成原理を示す図である。 本発明の実施形態における認証システムの概略構成を示すブロック図である。 本実施の形態における認証システムの構成を簡略化して示したブロック図である。 建物側端末内のデータベースの一例を示す概略構成のブロック図である。 建物側端末内の自機空間情報DBと関連空間情報DBに格納された情報の一例を示す図である。 本発明の実施の形態において、ある建築物に建築側端末110及び末端側端末160を設置したときのイメージを示す図である。 本発明の実施の形態である各端末の設置目的及び具体的動作の一例を示す図である。 本発明の実施の形態における端末識別IDの設定方法の例を示す図であり、(a)は端末識別IDを詳細に表すときの設定方法を示しており、(b)は簡略的に表すときの設定方法を示している 前述の各端末に格納されている各基本情報の例を示す図であり、(a)〜(c)には、それらの具体例が示されている。 本発明の実施の形態における認証システムの第1のデータベースの構成例を示す図である。 基礎情報DB内で配列され、格納された情報の一例を示す図である。 本発明の実施の形態である可否情報DBに格納された情報の一例を示す図である。 本発明の実施の形態における総合DB内のデータ構成例を示す図である。 本発明の実施の形態における異なる2つの端末にそれぞれ備えられたデータベースの各データ構成例を示す図である。 本発明の実施の形態における異なる3つの端末にそれぞれ備えられたデータベースの各データ構成例を示す図である。 本発明の実施の形態における認証システムの第2のデータベースの構成例を示す図である。 (a)は、建物側端末の下位に並列して末端側端末が接続される構成例を示す図であり、(b)は、この構成例における建物側端末が管理する検索情報DBのデータ構成例を示す図である。 本発明の実施の形態における認証システムの第3のデータベースの構成例を示す図である。 本発明の実施の形態における認証システムの第4のデータベースの構成例を示す図である。 本発明の実施の形態における認証システムによる登録者の個人認証処理の流れを示すシーケンスチャートである。 本発明の実施の形態における認証システムによる登録者の個人認証処理の他の流れを示すシーケンスチャートである。 本発明の第1の実施の形態において、登録者が自身の履歴情報を初めて末端側端末やサブサーバ群に登録するときの認証システムの動作例を示すシーケンスチャートである。 本発明の第1の実施の形態において、サブサーバ群が初回登録完了後に、本認証システム内で名寄せ処理を実行する時の動作例を示すシーケンスチャートである。 本発明の第1の実施の形態において、登録者が自身の個人情報を初めて登録した後に、登録者個人が実在する人物であるか、また登録情報が真正なものであるかを、検証処理を実行する時の動作例を示すシーケンスチャートである。 本発明の第1の実施の形態における認証システムによる実在点数の計算方法の一例を示す図である。 本発明の第1の実施の形態における認証システムによるリスク率勘案点数の計算方法の一例を示す図である。 式2による基礎点数の計算例を示す図である。 信用評価勘案点数の計算方法を示す図である。 式3における信用評価勘案点数の計算例を示す図である。 式4の計算例を示す図である。 本発明の第1の実施の形態において、実在率と認証システム利活用機能との相関の一例を示す図である。 本発明の第1の実施の形態において、実在率と個人識別IDとの組み合わせの一例を示す図である。 本発明の第2の実施の形態において、登録者が一度登録した端末以外の別の末端側端末に自身の履歴情報を初めて登録する時の認証システムの動作例を示すシーケンスチャートである。 本発明の第3の実施の形態において、登録者が登録したユニットと別ユニットを構成する末端側端末に自身の履歴情報を初めて登録する時の認証システムの動作例を示すシーケンスチャートである。 本発明の第4の実施の形態において、登録者が登録したユニットと別ユニットを構成する末端側端末に自身の履歴情報を初めて登録する時に、登録者個人が個人識別IDを認識している場合の認証システムの動作例を示すシーケンスチャートである。 本発明の第5の実施の形態において、認証システム利活用を行っている任意の時間に登録者個人が実在する人物であるか、また登録情報が真正なものであるかを、検証処理を実行する時の動作例を示すシーケンスチャートである。 本発明の第6の実施の形態において、個人情報を入力された端末が、自機内に有する情報と、読み取り、又は入力された情報とを比較して登録者個人が実在する人物であるか、また登録情報が真正なものであるかを、認証処理実行する時の動作例を示すシーケンスチャートである。 本発明の第7の実施の形態において、個人情報を入力された端末が、読み取り、又は入力された情報と、自機内の既存情報と、本認証システム内の別の端末が持つ情報とを比較して登録者個人が実在する人物であるか、また登録情報が真正なものであるか、個人情報と実在性の連続性があるかを認証する処理実行時の動作例を示すシーケンスチャートである。 本発明の第8の実施の形態において、バイオメトリクス情報の読取装置が、装置でバイオメトリクス情報を読み取るが、データベースを有しないため、装置外にあるデータベースと情報照合がされ、本人であるとの情報が送信される場合の動作例を示すシーケンスチャートである。 本発明の第9の実施の形態において、個人情報を入力された端末が、自機内に有する情報と、読み取り、又は入力された情報とを比較して登録者個人が実在する人物であるか、また登録情報が真正なものであるかを、認証処理実行する時に、個人情報の照合に加え、あらかじめ端末に登録した1つ又は複数の情報の読み取り、又は入力順番が正当であるかによって個人認証を行う動作例を示すシーケンスチャートである。 本発明の第10の実施の形態における認証システムによる、前述のデータ移行処理の流れを示すシーケンスチャートである。 本発明の第11の実施の形態において、各端末が格納する個人情報をバックアップするために上位端末へ移し替え処理を実行する時の動作例を示すシーケンスチャートである。 本発明の第12の実施の形態において、各端末が格納する個人情報を認証システムサーバへ移し替え処理を実行する時の動作例を示すシーケンスチャートである。 本発明の第13の実施の形態において、各端末が格納する個人情報を認証システムサーバへ移し替えた後に、さらに外部機関サーバへ移し替えたときの動作例を示すシーケンスチャートである。 (a)、(b)は、第13の実施の形態における各端末・サーバ間の接続状況を示す図である。この図において、実線は接続中であり、点線は接続が解除されていることを示している。 本発明の第14の実施の形態において、認証システムサーバが格納する個人情報を、2つの外部機関サーバへ同時に移し替えるときの動作例を示すシーケンスチャートである。 本発明の第15の実施の形態において、認証システムサーバ10が格納する個人情報を、2つの外部機関サーバへ交互又は別々に移し替えるときの動作例を示すシーケンスチャートである。 本発明の第16の実施の形態において、認証システムサーバが格納する個人情報を、3つの外部機関サーバへ移し替え処理を交互又は別々に実行する時の動作例を示すシーケンスチャートである。 本発明の第17の実施の形態において、建物側端末の接続対象の端末を示す図である。 本発明の第17の実施の形態において、その建物側端末が他の端末に接続する時の動作例を示すシーケンスチャートである。 第18の実施の形態において、建物側端末110Cの接続対象の端末を示す図である。 本発明の第18の実施の形態において、建物側端末が他の端末に通信を接続する時の動作例を示すシーケンスチャートである。本認証システムでは、各端末は情報を自動的に複数箇所に送信する機能を有している。 本発明の第19の実施の形態における認証システムにおいて、認証システムサーバ10同士のネットワークが構築されていることを示すイメージ図である。 本発明の第20の実施の形態において、認証システムサーバ10と外部機関サーバ300が任意時間に格納情報の比較照合処理を実行する時の動作例を示すシーケンスチャートである。 建物を中心に示したイメージ図である。 本認証システムの端末構成のイメージ図である。 登録者の移動のタイミングに合わせて、その登録者の個人情報の利活用許可(または停止)情報もその移動位置の周囲の端末を経由して移動していく概念を示すイメージ図である。 本実施の形態において、登録者の日常の行動範囲における認証システムの構成例を示す図である。 本発明の第23の実施の形態において、建物側端末から他の端末に情報利活用許可情報を移動させていく時の動作例を示すシーケンスチャートである。 (a)は、本実施の形態において、登録者の日常の行動範囲における認証システムの構成例を示す図であり、(b)は、その駅構内における建物側端末とその管理下の末端側端末の設置例を示す図である。 本発明の第24の実施の形態において、建物側端末から建物側端末に利活用許可情報を移動させていく時の動作例を示すシーケンスチャートである。 本発明の第24の実施の形態において、建物側端末110Aから建物側端末110Wに利活用許可情報を移動させていく時の動作例を示すシーケンスチャートである。 本実施の形態において、登録者の自宅及び通勤先の周囲の認証システムの設置例を示す図である。 その認証システムを構成する各端末やサーバ間のネットワーク構成例を示す図である。 本発明の第25の実施の形態において、登録者により利活用される端末が、移行していく時の動作例を示すシーケンスチャートである。 その登録者個人の定期券情報の一例を表すイメージ図である。 自宅及び勤務先の最寄駅に設置される末端側端末と、その設置位置と、その上位端末とを管理する改札機データベースの一例を示す図である。 本実施の形態の認証システムにおける登録者の通勤先の周囲の各端末の設置例を示す図である。 その認証システムを構成する各端末やサーバ間のネットワーク構成例を示す図である。 建物側端末とそれを管理する集約側端末と、その建物内に設置されたその他の集約側端末との接続関係を示す図である。 本発明の第26の実施の形態において、登録者により利活用される端末が移行していく時の動作例を示すシーケンスチャートである。 本実施の形態において、百貨店に認証システムを構築したときの各端末の設置例を示す図である。 本実施の形態において、前述の百貨店に設置された各端末間のネットワークの接続例を示す図である。 本発明の第27の実施の形態において、集約側端末が管理する建物内部で存在するユニット間で情報を移動させていく時の動作例を示すシーケンスチャートである。 この登録者が航空機等の移動手段を利用して移動するときの、認証システムの各端末やサーバの設置例を示す図である。 その登録者が航空機等の移動手段を利用して移動するときの、認証システムを構成する各端末やサーバ間のネットワーク構成例を示す図である。 本発明の第28の実施の形態において、登録者個人が決められたスケジュールに沿って行動する際に、その登録者により利活用されるユニットを移行させていく時の動作例を示すシーケンスチャートである。 登録者が航空機等の移動手段を利用して移動するときの、認証システムを構成する各端末やサーバ間のネットワーク構成例を示す図である。 本発明の第29の実施の形態において、登録者個人が決められたスケジュールに沿って行動する際に、その登録者により利活用されるユニットを移行させていく時の動作例を示すシーケンスチャートである。 登録者が航空機等の移動手段を利用して移動するときの、認証システムを構成する各端末やサーバ間のネットワーク構成例を示す図である。 本発明の第30の実施の形態において、登録者個人が決められたスケジュールに沿って行動する際に、その登録者により利活用されるユニットを移行させていく時の動作例を示すシーケンスチャートである。 登録者が航空機等の移動手段を利用して移動するときの、認証システムを構成する各端末やサーバ間のネットワーク構成例を示す図である。 本発明の第31の実施の形態において、登録者個人が決められたスケジュールに沿って行動する際に、その登録者により利活用されるユニットを移行させていく時の動作例を示すシーケンスチャートである。 本発明の第32の実施の形態において、登録者個人の履歴情報から利活用端末状況を抽出して予想経路を算定するための動作例を示すシーケンスチャートである。 直近の3ヶ月間における月曜日午前中に、登録者個人が利活用したユニットの集約側端末を、その利用順に示した図である。 登録者の自宅及びスーパーマーケット周囲における認証システムを構成する各端末やサーバ間のネットワーク構成例を示す図である。 本発明の第33の実施の形態において、登録者個人のマイニング情報から行動パターンを予想し、移動関連情報を送信するための動作例を示すシーケンスチャートである。 登録者の自宅周囲における認証システムを構成する各端末やサーバ間のネットワーク構成例を示す図である。 本発明の第34の実施の形態において、登録者個人のマイニング情報からは行動パターン予想ができない場合に、システム内に移動関連情報を送信するための動作例を示すシーケンスチャートである。 本発明の第35の実施の形態において、移動先に個人実在情報があった場合の動作例を示すシーケンスチャートである。 本実施の形態において、百貨店に認証システムを構築したときの各端末の設置例を示す図である。 本実施の形態において、この百貨店に設置された各端末間のネットワークの接続例を示す図である。 本発明の第36の実施の形態において、登録者個人が建物内に存在する場合、その存在場所を確認できるシステムの動作例を示すシーケンスチャートである。 現在位置表示ファイルの表示例を示す図である。 現在位置表示ファイルの他の表示例を示す図である。 本実施の形態において、百貨店に認証システムを構築したときの各端末の設置例を示す図である。 本実施の形態において、この百貨店に設置された各端末間のネットワークの接続例を示す図である。 本発明の第37の実施の形態において、登録者個人が建物内で移動する場合、その移動場所を誘導又は確認できるシステムの動作例を示すシーケンスチャートである。 この登録者に対する移動経路の誘導動作を説明するための認証システムの各端末の設置例を示す図である。 本実施の形態において、このビル内に設置された各端末間のネットワークの接続例を示す図である。 本発明の第38の実施の形態において、登録者個人が建物内で移動する場合、その移動場所を誘導又は確認できるシステムの動作例を示すシーケンスチャートである。 本実施の形態において、自宅マンションにおける認証システムの各端末の設置例を示す図である。 本実施の形態において、このマンションに設置された各端末間のネットワークの接続例を示す図である。 本発明の第39の実施の形態において、登録者個人が建物内で移動する場合、移動に応じて周辺機器が予備動作を実施するシステムの動作例を示すシーケンスチャートである。 本発明の第40の実施の形態において、登録者個人が初めて訪問した場所で、情報の連続性を確保するためのシステムの動作例を示すシーケンスチャートである。 完了通知の内容の一例を示す図である。 本発明の第41の実施の形態において、登録者個人が匿名のままシステムを活用する際のシステムの動作例を示すシーケンスチャートである。 本発明の第42の実施の形態において、登録者個人が、特定身体部分のバイオメトリクス情報を異なる読取方式によって同時に複数登録する際の認証システムの動作例を示すシーケンスチャートである。 バイオメトリクス情報が複数の読取方式で登録された場合に、どの読取方式で登録されたものかを表わした一覧表の一例を示す図である。 不一致情報登録票の一例を示す図である。 本発明の第43の実施の形態において、本認証システムを利活用した際に、個人情報の照合や実在の検証が不一致であった場合に、その不一致となった原因を収集するための動作例を示すシーケンスチャートである。 本認証システムの利用を制限又は停止された人物の情報を管理するために使用する利用制限者登録票を示す図である。 本認証システムの利用を制限又は停止を行う場合の、利用制限基準表を示す図である。 本発明の第44の実施の形態において、登録者個人が本認証システム内で不正利用したことが判明した以降、システムの利活用を制限する際のシステムの動作例を示すシーケンスチャートである。 本発明の第45の実施の形態において、登録者個人が本認証システム内で注意状況が設定されている場合、登録者個人が確認され次第、関係機関に連絡する際のシステムの動作例を示すシーケンスチャートである。 本発明の第46の実施の形態において、認証システムサーバが、登録者個人の個人情報の保存期限を検証し、期限経過分を消去する際のシステムの動作例を示すシーケンスチャートである。 本発明の第47の実施の形態において、登録者個人が誘導電子記録媒体又は情報携帯可能物を用いて、登録者が利活用するユニットの移行を補助させる際のシステムの動作例を示すシーケンスチャートである。 本発明の第48の実施の形態において、登録者個人が顔認証システムを用いて、自身が利活用するユニットの移行を補助させる際のシステムの動作例を示すシーケンスチャートである。 本発明の実施の形態である総合DBの情報量を示すイメージ図である。 本発明の第50の実施の形態における認証システムの構成を示す図である。 本発明の第50の実施の形態における認証システムによる動作の流れを示すシーケンスチャートである。 本実施の形態の変型例における認証システムの構成を示す図である。 本発明の第51の実施の形態における認証システムの構成を示す図である。 本発明の第51の実施の形態における認証システムによる動作の流れを示すシーケンスチャートである。 本実施の形態の変型例における認証システムの構成を示す図である。 本発明の第52の実施の形態における認証システムの構成を示す図である。 本発明の第52の実施の形態における認証システムによる動作の流れを示すシーケンスチャートである。 (a),(b)は、本実施の形態の変型例における認証システムの構成を示す図である。 本発明の第53の実施の形態における認証システムの構成を示す図である。 本発明の第53の実施の形態における認証システムの動作の流れを示すシーケンスチャートである。 本発明の第53の実施の形態における認証システムの動作の流れを示すシーケンスチャートである。 本発明の第53の実施の形態における認証システムの動作の流れを示すシーケンスチャートである。 本発明の第54の実施の形態における認証システムの構成を示す図である。 本発明の第54の実施の形態における認証システムの動作の流れを示すシーケンスチャートである。 本発明の第54の実施の形態における認証システムの動作の流れを示すシーケンスチャートである。 本発明の第54の実施の形態における末端側端末の接続先の端末の一覧表データの一例を示す図である。 本発明の第54の実施の形態における認証システムの動作の流れを示すシーケンスチャートである。
符号の説明
1 認証サーバ
2 管理サーバ
3 個人情報入力装置
10、10A、10B 認証システムサーバ
11、111、121、131、141、151、161、311 総合DB
12、112、122、132、142、152、162、312 履歴情報DB
13、113、123、133、143、153、163、313 検証情報DB
14、114、114A、114B、124、134、144、154、164、314 基礎情報DB
15、115、125、135、145、155、165、315 可否情報DB
16、116、126、136、146、156、166、316 検索情報DB
17、117、127、137、147、157、167 一時保管DB
20 ユーザ端末
30 閲覧希望側端末
40 登録希望側端末
50 実在判断希望側端末
60 実在認証希望側端末
70 情報正当性認証希望側端末
80 確認先側端末
110、110A〜110Y、110CK、110HK、110WT 建物側端末
120、120E〜120G、120N、120CK、120HK 組織側端末
130 地域管理側端末
140 中継側端末
150、150A〜150G、150M、150AT、150CK、150HK 集約側端末
160、160A〜160H、160M、160a〜160d、160Cc、160Dd、160Ee、160HK、160hK、160HL、160hL、160CT、160DT、160W1〜160W13 末端側端末
200 通信回線網
300、300A〜300C 外部機関サーバ
401 自機空間情報DB
402 関連空間情報DB
500 情報携帯物
DB11,DB12,DB13,DB61 データベース
かかる目的を達成するため、本発明は、登録者個人を特定するための個人情報を入力する機能を備えるとともに自装置が設置されている空間的位置を示す空間情報を格納する情報入力装置と、情報入力装置を複数管理する管理サーバとからなるネットワーク構成単位であるユニットを複数有し、入力に基づき登録者の認証を行う機能を備えた認証サーバがユニットを複数管理して構成されるシステムであって、ユニット内の情報入力装置によって登録者の個人情報が入力され、入力された個人情報及び空間情報を管理サーバを介して認証サーバが受信すると、認証サーバは、登録者が、ユニットが配置された物理空間内に存在すると判断し、判断後に、物理空間外に移動したことを認識していないとき、他のユニット内の情報入力装置による登録者の個人情報の入力を認識すると、ユニット内の情報入力装置に所定のサービスを登録者に提供する機能を備えている場合には情報入力装置のサービス提供機能の停止又は制限を行うことを特徴とする。
また、本発明は、登録者個人を特定するための個人情報を入力する機能を備えるとともに自装置が設置されている空間的位置を示す空間情報を格納する情報入力装置と、情報入力装置を複数管理する管理サーバとからなるネットワーク構成単位であるユニットを複数有し、入力に基づき登録者の認証を行う機能を備えた認証サーバがユニットを複数管理して構成されるシステムであって、ユニット内の情報入力装置によって登録者の個人情報が入力され、入力された個人情報及び空間情報を管理サーバを介して認証サーバが受信すると、認証サーバは、登録者が、ユニットが配置された物理空間から他のユニットが配置された物理空間に移動したと判断し、判断後に、移動前のユニット内の情報入力装置による登録者の個人情報の入力を認識すると、ユニット内の情報入力装置に所定のサービスを登録者に提供する機能を備えている場合には情報入力装置のサービス提供機能の停止又は制限を行うことを特徴とする。
また、本発明によれば、その情報入力装置は、さらに自装置が空間情報と、個人情報が入力された時間を示す時間情報とを管理サーバを介して認証サーバに送信し、認証サーバは、空間情報及び時間情報を複数の情報入力装置から受信すると、情報入力装置間の移動に要する時間を示す情報を空間情報に基づいて計算するとともに、時間情報に基づいて個人情報の入力時間間隔を計算し、入力時間間隔が、移動に要する時間よりも短い場合、個人情報の入力の際に不正が行われたと判断することを特徴とする。
また、本発明によれば、その認証サーバは、個人情報を管理するデータベースを備え、登録者により情報入力装置に入力された個人情報を情報入力装置から受信すると、受信した個人情報と、自身に備えられたデータベース内の個人情報とを照合し、両者が一致した場合に、所定の動作を実行することを特徴とする。
また、本発明によれば、その情報入力装置は、個人情報を管理するデータベースを備え、登録者により個人情報が入力されると、入力された個人情報と、自身に備えられたデータベース内の個人情報とを照合し、両者が一致した場合に、所定の動作を実行することを特徴とする。
また、本発明によれば、その認証サーバは、登録者の個人情報と、登録者の移動目的地を示す情報と、個人情報が入力された情報入力装置の空間情報とを情報入力装置から受信すると、受信した情報に基づいて、登録者の移動経路を予測し、予測した移動経路上に設置されている情報入力装置に対して、所定動作の実行準備を行わせるための制御情報を送信することを特徴とする。
また、本発明によれば、その情報入力装置は、実行準備を行わせるための制御情報を受信すると、音声、文字又は画像により目的地までの誘導動作を行うことを特徴とする。
また、本発明によれば、その認証サーバは、予測した移動経路外に設置されている情報入力装置から送信された、個人情報を受信すると、情報入力装置に対して、情報入力装置の所定動作の制限又は禁止するための制御情報を送信することを特徴とする。
また、本発明によれば、その管理サーバは、建築物、移動手段、施設、地域又は組織単位でまとめて情報入力装置を管理することを特徴とする。
また、本発明によれば、その認証サーバ又は管理サーバは、ユニットが配置された物理空間内に登録者が存在することを認識した後、物理空間外に移動したことを認識していないとき、物理空間内に設置された情報入力装置から個人情報を受信すると、認証を成功とし、情報入力装置に対して金融取引又は決済取引の実行を許可する旨の許可情報を送信することを特徴とする。
また、本発明によれば、その認証サーバ又は管理サーバは、ユニットが配置された物理空間内に登録者が存在することを認識した後、物理空間外に移動したことを認識していないとき、物理空間内に設置された情報入力装置から個人情報を受信すると、認証を成功とし、公的な身分証明書が提示されたとみなす旨の情報を、情報入力装置に送信することを特徴とする。
また、本発明によれば、その認証サーバ又は管理サーバは、限定された組織内で利用されるローカルな識別IDと、認証システム内で使用される登録者を特定するための個人識別IDとを変換することを特徴とする。
また、本発明における認証システムにおいて一時的にネットワーク間の断線が発生した場合、情報入力装置は、自装置に接続可能であった認証サーバ、管理サーバ及び他の情報入力装置に対して現在接続が可能であるか確認するための信号を送出し、接続が可能である認証サーバ、管理サーバ又は他の情報入力装置とネットワークを確立することを特徴とする。
また、本発明によれば、その情報入力装置は、自装置と接続が可能な認証サーバ、管理サーバ又は他の情報入力装置が示された一覧情報を格納し、一覧情報には接続の優先順位が示されており、情報入力装置は、認証システムにおいて一時的にネットワーク間の断線が発生した場合、優先順位に従って確認するための信号を送出しネットワークを確立することを特徴とする。
また、本発明によれば、その管理サーバ及び情報入力装置は、受信又は入力した情報の送信先の順位を予め設定しており、受信又は入力した情報の送信が失敗すると、失敗した送信先の次の順位の送信先に受信又は入力した情報を送信することを特徴とする。
また、本発明によれば、前述の個人情報は、バイオメトリクス情報を含むことを特徴とする。

Claims (21)

  1. 登録者の個人情報を管理するデータベースを備えるサーバ群と、前記登録者により操作される情報入力装置とが通信回線網を介して接続されてなる認証システムであって、
    前記情報入力装置は、前記登録者により入力された情報を含む移動情報を前記サーバ群に送信し、
    前記サーバ群は、前記情報入力装置から前記移動情報を受信すると、該受信した移動情報と、前記データベース内の個人情報とに基づいて、前記登録者の実在性を認証することを特徴とする認証システム。
  2. 前記サーバ群は、前記受信した移動情報と、前記データベース内の個人情報とを照合し、両者が一致した場合に、前記情報入力装置に所定の動作を許可するための許可情報を、前記情報入力装置に送信し、
    前記情報入力装置は、前記許可情報を受信すると、前記所定の動作を実行することを特徴とする請求項1記載の認証システム。
  3. 前記移動情報には、該移動情報送信元の情報入力装置の設置位置を示す位置情報と、前記登録者により情報が入力された時期を示す時期情報と、前記登録者固有の個人識別IDとが含まれ、
    前記サーバ群は、前記同一の個人識別IDを含む移動情報を複数受信すると、該受信した移動情報が示す登録者の情報入力場所及び時期に基づいて、前記登録者の実在性の連続性の認証を行うことを特徴とする請求項1または2記載の認証システム。
  4. 前記サーバ群及び前記情報入力装置は、前記登録者の移動経路に基づいて、前記移動情報を送信することを特徴とする請求項1から3のいずれか1項に記載の認証システム。
  5. 前記情報入力装置は、前記個人情報を管理するデータベースを備え、前記登録者により情報が入力されると、該入力された情報と、前記データベース内の個人情報とを照合し、両者が一致した場合に、所定の動作を実行することを特徴とする請求項1から4のいずれか1項に記載の認証システム。
  6. 前記サーバ群は、建築物、移動手段、施設、地域又は組織単位でまとめて前記情報入力装置を管理する前記管理サーバと、該管理サーバのデータベース内の情報を統括して管理するデータベースを備える認証サーバとからなることを特徴とする請求項1から5のいずれか1項に記載の認証システム。
  7. 前記認証システムは、それぞれ少なくとも1つの前記認証サーバ及び前記情報入力装置と該端末間を接続する通信回線網とからなるユニットを複数有し、
    前記認証サーバは、前記ユニット単位で、前記情報入力装置による所定動作の拒否を制御することを特徴とする請求項6記載の認証システム。
  8. 前記認証サーバは、前記情報入力装置からの移動情報を受信すると、前記情報入力装置が属するユニット以外に設置されている情報入力装置に対して、該情報入力装置の所定動作の制限又は禁止するための制御情報を送信することを特徴とする請求項6または7記載の認証システム。
  9. 前記認証サーバは、前記情報入力装置からの移動情報を受信した後に、該情報入力装置が属するユニット外の他の情報入力装置から送信された、同一の個人識別IDを含む移動情報を受信すると、
    前記個人識別IDにより特定される登録者に対する前記情報入力装置による所定動作の制限又は禁止するための制御情報を、前記情報入力装置に送信することを特徴とする請求項6または7記載の認証システム。
  10. 前記認証サーバは、前記情報入力装置から移動情報を受信すると、該情報入力装置が属するユニット外の情報入力装置及び管理サーバに対して、前記移動情報を消去させるための制御情報を、前記情報入力装置に送信することを特徴とする請求項6から9のいずれか1項に記載の認証システム。
  11. 前記認証サーバは、前記情報入力装置から移動情報を受信すると、前記情報入力装置が属するユニットに設置されている情報入力装置に対して、該情報入力装置の所定動作の制限又は禁止するための制御情報を送信することを特徴とする請求項6または7記載の認証システム。
  12. 前記認証サーバは、前記受信した移動情報を蓄積し、
    前記情報入力装置から移動情報を受信すると、該送信元の当業者情報入力装置の設置位置と、前記蓄積した移動情報とに基づいて、前記登録者の移動経路を予測し、該予測した移動経路上に設置されている情報入力装置に対して、前記所定動作の実行準備を行わせるための制御情報を送信することを特徴とする請求項6から11のいずれか1項に記載の認証システム。
  13. 前記認証サーバは、前記登録者が利用する移動手段の目的地を示す情報が含まれている前記移動情報を受信し、
    前記移動手段に関連する情報入力装置から移動情報を受信すると、前記目的地に関連する情報入力装置に対して、前記所定動作の実行準備を行わせるための制御情報を送信することを特徴とする請求項6から11のいずれか1項に記載の認証システム。
  14. 前記認証サーバは、前記予測した移動経路外に設置されている情報入力装置から送信された、前記移動情報を受信すると、前記情報入力装置に対して、該情報入力装置の所定動作の制限又は禁止するための制御情報を送信することを特徴とする請求項12または13記載の認証システム。
  15. 前記サーバ群及び前記情報入力装置は、受信又は入力した情報の送信先の順位を予め設定しており、該受信又は入力した情報の送信が失敗すると、該失敗した送信先の次の順位の送信先に前記受信又は入力した情報を送信することを特徴とする請求項1から14のいずれか1項に記載の認証システム。
  16. 前記認証動作は、前記移動情報に含まれる前記登録者のバイオメトリクス情報と、前記データベースに管理されるバイオメトリクス情報との照合により、前記登録者の実在性の認証を行うことを特徴とする請求項1から15のいずれか1項に記載の認証システム。
  17. 前記サーバ群は、限定された組織内で利用されるローカルな識別IDと、前記個人識別IDとを変換することを特徴とする請求項3記載の認証システム。
  18. 前記サーバ群は、前記情報入力装置から前記移動情報を受信すると、該受信した移動情報に基づいて認証を行い、該認証が成功すると、前記情報入力装置に対して金融取引又は決済取引の実行を許可する旨の許可情報を送信することを特徴とする請求項1または2記載の認証システム。
  19. 前記サーバ群は、前記情報入力装置から前記移動情報を受信すると、該受信した移動情報に基づいて認証を行い、該認証が成功すると、公的な身分証明書が提示されたとみなす旨の情報を、前記情報入力装置に送信することを特徴とする請求項1または2記載の認証システム。
  20. 前記認証システムにおいて一時的にネットワーク間の断線が発生した場合、
    前記情報入力装置は、自装置に接続可能であった前記サーバ群及び他の情報入力装置に対して現在接続が可能であるか確認するための信号を送出し、接続が可能である前記サーバ群又は前記他の情報入力装置とネットワークを確立することを特徴とする請求項1から19のいずれか1項に記載の認証システム。
  21. 前記情報入力装置は、自装置と接続が可能な前記サーバ群又は前記他の情報入力装置が示された一覧情報を格納し、該一覧情報には接続の優先順位が示されており、
    前記情報入力装置は、前記認証システムにおいて一時的にネットワーク間の断線が発生した場合、前記優先順位に従って前記確認するための信号を送出しネットワークを確立することを特徴とする請求項20記載の認証システム。
JP2006519659A 2005-03-23 2006-03-23 認証システム Active JP3946243B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2005083936 2005-03-23
JP2005083936 2005-03-23
PCT/JP2006/305826 WO2006101169A1 (ja) 2005-03-23 2006-03-23 認証システム

Publications (2)

Publication Number Publication Date
JP3946243B2 JP3946243B2 (ja) 2007-07-18
JPWO2006101169A1 true JPWO2006101169A1 (ja) 2008-09-04

Family

ID=37023826

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006519659A Active JP3946243B2 (ja) 2005-03-23 2006-03-23 認証システム

Country Status (5)

Country Link
US (2) US20090189736A1 (ja)
EP (1) EP1868132A4 (ja)
JP (1) JP3946243B2 (ja)
CN (1) CN101167080B (ja)
WO (1) WO2006101169A1 (ja)

Families Citing this family (157)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006101169A1 (ja) 2005-03-23 2006-09-28 Ihc Corp. 認証システム
US7941370B2 (en) * 2006-04-25 2011-05-10 Uc Group Limited Systems and methods for funding payback requests for financial transactions
JP5007886B2 (ja) * 2006-10-24 2012-08-22 株式会社Ihc 個人認証システム
JP4963225B2 (ja) * 2006-12-12 2012-06-27 三菱電機株式会社 個人認証システム
JP4728939B2 (ja) * 2006-12-13 2011-07-20 Necシステムテクノロジー株式会社 個人認証装置
JP5111879B2 (ja) * 2007-01-31 2013-01-09 株式会社三共 利用状況管理装置および電子マネーシステム
JP5090003B2 (ja) * 2007-01-31 2012-12-05 株式会社三共 利用状況管理装置および電子マネーシステム
US7979177B2 (en) * 2007-04-30 2011-07-12 Ford Motor Company System and method for updating vehicle computing platform configuration information
GB2449118A (en) * 2007-05-11 2008-11-12 Ericsson Telefon Ab L M Host Identity Protocol Rendezvous Servers which store information about nodes connected to other servers and forward address requests
JP5141102B2 (ja) * 2007-06-15 2013-02-13 沖電気工業株式会社 自動取引装置及び自動取引システム
US8063737B2 (en) * 2007-06-25 2011-11-22 WidePoint Corporation Emergency responder credentialing system and method
JP5034821B2 (ja) * 2007-09-21 2012-09-26 ソニー株式会社 生体情報記憶装置
JP2009116600A (ja) 2007-11-06 2009-05-28 Mitsubishi Electric Corp 入退室管理システム
US8693737B1 (en) * 2008-02-05 2014-04-08 Bank Of America Corporation Authentication systems, operations, processing, and interactions
EP2271968A1 (de) 2008-04-28 2011-01-12 Inventio AG Verfahren zum schalten von elektrischen verbrauchern in einem gebäude
US8417415B2 (en) * 2008-07-02 2013-04-09 Michael Phelan Driver authentication system and method for monitoring and controlling vehicle usage
US9045101B2 (en) * 2008-07-02 2015-06-02 Michael Phelan Driver authentication system and method for monitoring and controlling vehicle usage
US9493149B2 (en) * 2008-07-02 2016-11-15 Michael Phelan Driver authentication system and method for monitoring and controlling vehicle usage
US10043060B2 (en) * 2008-07-21 2018-08-07 Facefirst, Inc. Biometric notification system
JP5147593B2 (ja) * 2008-08-08 2013-02-20 アズビル株式会社 入退室管理システム、入退室管理方法、および受付装置
US20100180127A1 (en) * 2009-01-14 2010-07-15 Motorola, Inc. Biometric authentication based upon usage history
US20100301993A1 (en) * 2009-05-28 2010-12-02 International Business Machines Corporation Pattern based security authorization
US8621588B2 (en) * 2009-06-15 2013-12-31 National University Corporation Asahikawa Medical University Information processing system, terminal device, and server
US8384514B2 (en) 2009-08-07 2013-02-26 At&T Intellectual Property I, L.P. Enhanced biometric authentication
US20110153193A1 (en) * 2009-12-22 2011-06-23 General Electric Company Navigation systems and methods for users having different physical classifications
KR101055890B1 (ko) * 2010-01-27 2011-08-09 (주)디지털인터랙티브 사후 지문 등록을 이용한 근태 관리 방법 및 시스템
US20110316703A1 (en) * 2010-04-29 2011-12-29 Andy Butler System and Method for Ensuring Sanitation Procedures in Restrooms
US8548720B2 (en) * 2010-06-16 2013-10-01 Arbus Engineering Centre India System and method for aircraft taxi gate selection based on passenger connecting flight information
WO2012025977A1 (ja) * 2010-08-23 2012-03-01 株式会社日立製作所 スケジュール管理方法及びスケジュール管理サーバ
JP5875221B2 (ja) * 2010-10-12 2016-03-02 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 物体の管理方法及びその装置
JP5508223B2 (ja) * 2010-10-20 2014-05-28 株式会社日立製作所 個人識別システム及び方法
JP5656583B2 (ja) * 2010-11-25 2015-01-21 株式会社日本総合研究所 与信審査システム、与信審査方法、携帯型情報処理装置、及びコンピュータプログラム
US10037421B2 (en) 2010-11-29 2018-07-31 Biocatch Ltd. Device, system, and method of three-dimensional spatial user authentication
US11223619B2 (en) 2010-11-29 2022-01-11 Biocatch Ltd. Device, system, and method of user authentication based on user-specific characteristics of task performance
US10069837B2 (en) 2015-07-09 2018-09-04 Biocatch Ltd. Detection of proxy server
US10476873B2 (en) 2010-11-29 2019-11-12 Biocatch Ltd. Device, system, and method of password-less user authentication and password-less detection of user identity
US10474815B2 (en) 2010-11-29 2019-11-12 Biocatch Ltd. System, device, and method of detecting malicious automatic script and code injection
US9483292B2 (en) 2010-11-29 2016-11-01 Biocatch Ltd. Method, device, and system of differentiating between virtual machine and non-virtualized device
US10298614B2 (en) * 2010-11-29 2019-05-21 Biocatch Ltd. System, device, and method of generating and managing behavioral biometric cookies
US10055560B2 (en) 2010-11-29 2018-08-21 Biocatch Ltd. Device, method, and system of detecting multiple users accessing the same account
US10728761B2 (en) 2010-11-29 2020-07-28 Biocatch Ltd. Method, device, and system of detecting a lie of a user who inputs data
US10069852B2 (en) 2010-11-29 2018-09-04 Biocatch Ltd. Detection of computerized bots and automated cyber-attack modules
US10621585B2 (en) 2010-11-29 2020-04-14 Biocatch Ltd. Contextual mapping of web-pages, and generation of fraud-relatedness score-values
US10262324B2 (en) 2010-11-29 2019-04-16 Biocatch Ltd. System, device, and method of differentiating among users based on user-specific page navigation sequence
US10747305B2 (en) 2010-11-29 2020-08-18 Biocatch Ltd. Method, system, and device of authenticating identity of a user of an electronic device
US10776476B2 (en) 2010-11-29 2020-09-15 Biocatch Ltd. System, device, and method of visual login
US11269977B2 (en) 2010-11-29 2022-03-08 Biocatch Ltd. System, apparatus, and method of collecting and processing data in electronic devices
US11210674B2 (en) * 2010-11-29 2021-12-28 Biocatch Ltd. Method, device, and system of detecting mule accounts and accounts used for money laundering
US10970394B2 (en) 2017-11-21 2021-04-06 Biocatch Ltd. System, device, and method of detecting vishing attacks
US20190158535A1 (en) * 2017-11-21 2019-05-23 Biocatch Ltd. Device, System, and Method of Detecting Vishing Attacks
US10949757B2 (en) 2010-11-29 2021-03-16 Biocatch Ltd. System, device, and method of detecting user identity based on motor-control loop model
US10404729B2 (en) 2010-11-29 2019-09-03 Biocatch Ltd. Device, method, and system of generating fraud-alerts for cyber-attacks
US10685355B2 (en) 2016-12-04 2020-06-16 Biocatch Ltd. Method, device, and system of detecting mule accounts and accounts used for money laundering
US9747436B2 (en) * 2010-11-29 2017-08-29 Biocatch Ltd. Method, system, and device of differentiating among users based on responses to interferences
US10917431B2 (en) 2010-11-29 2021-02-09 Biocatch Ltd. System, method, and device of authenticating a user based on selfie image or selfie video
US10164985B2 (en) 2010-11-29 2018-12-25 Biocatch Ltd. Device, system, and method of recovery and resetting of user authentication factor
US10834590B2 (en) 2010-11-29 2020-11-10 Biocatch Ltd. Method, device, and system of differentiating between a cyber-attacker and a legitimate user
US10032010B2 (en) 2010-11-29 2018-07-24 Biocatch Ltd. System, device, and method of visual login and stochastic cryptography
US10083439B2 (en) 2010-11-29 2018-09-25 Biocatch Ltd. Device, system, and method of differentiating over multiple accounts between legitimate user and cyber-attacker
US10586036B2 (en) 2010-11-29 2020-03-10 Biocatch Ltd. System, device, and method of recovery and resetting of user authentication factor
US10949514B2 (en) 2010-11-29 2021-03-16 Biocatch Ltd. Device, system, and method of differentiating among users based on detection of hardware components
US10897482B2 (en) 2010-11-29 2021-01-19 Biocatch Ltd. Method, device, and system of back-coloring, forward-coloring, and fraud detection
US9531701B2 (en) * 2010-11-29 2016-12-27 Biocatch Ltd. Method, device, and system of differentiating among users based on responses to interferences
US10395018B2 (en) 2010-11-29 2019-08-27 Biocatch Ltd. System, method, and device of detecting identity of a user and authenticating a user
US8907763B2 (en) * 2010-12-02 2014-12-09 Viscount Security Systems Inc. System, station and method for mustering
US20120158602A1 (en) * 2010-12-16 2012-06-21 Aginfolink Holdings, Inc., A Bvi Corporation Intra-enterprise ingredient specification compliance
US10043229B2 (en) * 2011-01-26 2018-08-07 Eyelock Llc Method for confirming the identity of an individual while shielding that individual's personal data
BR112013022433A2 (pt) * 2011-03-18 2016-12-06 Fujitsu Frontech Ltd aparelho de verificação, programa de verificação, e método de verificação
US20120278251A1 (en) * 2011-04-26 2012-11-01 Michael Pinsker System and method for compliant integrated paperless workflow
EP3439267A1 (en) * 2011-06-03 2019-02-06 UC Group Limited Systems and methods for managing chargeback requests
US9253197B2 (en) 2011-08-15 2016-02-02 Bank Of America Corporation Method and apparatus for token-based real-time risk updating
US8806602B2 (en) 2011-08-15 2014-08-12 Bank Of America Corporation Apparatus and method for performing end-to-end encryption
US8789143B2 (en) * 2011-08-15 2014-07-22 Bank Of America Corporation Method and apparatus for token-based conditioning
US8752124B2 (en) 2011-08-15 2014-06-10 Bank Of America Corporation Apparatus and method for performing real-time authentication using subject token combinations
US8950002B2 (en) 2011-08-15 2015-02-03 Bank Of America Corporation Method and apparatus for token-based access of related resources
US8539558B2 (en) 2011-08-15 2013-09-17 Bank Of America Corporation Method and apparatus for token-based token termination
US9055053B2 (en) 2011-08-15 2015-06-09 Bank Of America Corporation Method and apparatus for token-based combining of risk ratings
US8726361B2 (en) * 2011-08-15 2014-05-13 Bank Of America Corporation Method and apparatus for token-based attribute abstraction
US8910290B2 (en) * 2011-08-15 2014-12-09 Bank Of America Corporation Method and apparatus for token-based transaction tagging
US8572683B2 (en) 2011-08-15 2013-10-29 Bank Of America Corporation Method and apparatus for token-based re-authentication
US8660322B2 (en) 2011-08-25 2014-02-25 King Saud University Passive continuous authentication method
US8909551B2 (en) * 2011-09-22 2014-12-09 Paul Pawlusiak System and method of expedited credit and loan processing
CN103810596A (zh) * 2012-02-29 2014-05-21 汪风珍 预留验证信息识别
WO2013145197A1 (ja) * 2012-03-28 2013-10-03 富士通株式会社 分散処理におけるサービス検索方法、プログラム、およびサーバ装置
CN103389694B (zh) * 2012-05-11 2016-04-27 北京北方微电子基地设备工艺研究中心有限责任公司 工厂自动化验证系统及方法
KR101378319B1 (ko) * 2012-05-21 2014-04-04 (주)싸이버원 보안처리시스템 및 방법
US10650378B2 (en) * 2012-12-19 2020-05-12 Ncr Corporation Customer verification
US8874454B2 (en) 2013-03-15 2014-10-28 State Farm Mutual Automobile Insurance Company Systems and methods for assessing a roof
US9721086B2 (en) 2013-03-15 2017-08-01 Advanced Elemental Technologies, Inc. Methods and systems for secure and reliable identity-based computing
US9231954B2 (en) * 2013-03-15 2016-01-05 Telmate, Llc Communications system for residents of secure facility
US9378065B2 (en) 2013-03-15 2016-06-28 Advanced Elemental Technologies, Inc. Purposeful computing
US20140303837A1 (en) * 2013-04-09 2014-10-09 Navteq Method and apparatus for authorizing access and utilization of a vehicle
US9509676B1 (en) 2013-04-30 2016-11-29 United Services Automobile Association (Usaa) Efficient startup and logon
US9430624B1 (en) 2013-04-30 2016-08-30 United Services Automobile Association (Usaa) Efficient logon
KR101343349B1 (ko) * 2013-10-15 2013-12-20 권영대 지문 인증을 수행하는 보안카드와 그에 따른 보안카드 처리 시스템 및 그 처리 방법
JP5930218B2 (ja) 2013-10-30 2016-06-08 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation ユーザの操作を制限する機能を有する情報処理装置、方法、及び、プログラム
US20160300232A1 (en) * 2013-11-13 2016-10-13 Rakuten, Inc. Monitoring assistance device
WO2015103100A1 (en) * 2014-01-02 2015-07-09 Chen, Chung-Chin Authentication method and system for screening network caller id spoofs and malicious phone calls
US9652915B2 (en) * 2014-02-28 2017-05-16 Honeywell International Inc. System and method having biometric identification intrusion and access control
WO2015191844A2 (en) * 2014-06-11 2015-12-17 Defensory, Inc. Improved alarm system
US20160026941A1 (en) * 2014-07-26 2016-01-28 International Business Machines Corporation Updating and synchronizing existing case instances in response to solution design changes
JP6397728B2 (ja) * 2014-11-07 2018-09-26 株式会社日立製作所 交通カード処理システムおよび交通カード処理システム
CN104680131B (zh) * 2015-01-29 2019-01-11 深圳云天励飞技术有限公司 基于身份证件信息和人脸多重特征识别的身份验证方法
CN107408352B (zh) 2015-03-31 2021-07-09 深圳市大疆创新科技有限公司 用于地理围栏装置通信的系统和方法
CN112908038A (zh) * 2015-03-31 2021-06-04 深圳市大疆创新科技有限公司 确定无人飞行器的位置的方法和空管系统
JP6423521B2 (ja) 2015-03-31 2018-11-14 エスゼット ディージェイアイ テクノロジー カンパニー リミテッドSz Dji Technology Co.,Ltd 無人航空機を制御するシステム
EP3295420A1 (en) * 2015-05-14 2018-03-21 Alclear, LLC Physical token-less security screening using biometrics
US10275587B2 (en) * 2015-05-14 2019-04-30 Alclear, Llc Biometric ticketing
GB2539705B (en) 2015-06-25 2017-10-25 Aimbrain Solutions Ltd Conditional behavioural biometrics
US11531737B1 (en) 2015-07-30 2022-12-20 The Government of the United States of America, as represented by the Secretary of Homeland Security Biometric identity disambiguation
CN105224849B (zh) * 2015-10-20 2019-01-01 广州广电运通金融电子股份有限公司 一种多生物特征融合身份鉴别方法以及装置
WO2017203698A1 (ja) * 2016-05-27 2017-11-30 三菱電機株式会社 登録先決定装置、登録装置、秘匿検索システム、登録先決定方法及び登録先決定プログラム
US10454939B1 (en) * 2016-06-30 2019-10-22 EMC IP Holding Company LLC Method, apparatus and computer program product for identifying excessive access rights granted to users
GB2552032B (en) 2016-07-08 2019-05-22 Aimbrain Solutions Ltd Step-up authentication
US10198122B2 (en) 2016-09-30 2019-02-05 Biocatch Ltd. System, device, and method of estimating force applied to a touch surface
CN107978034B (zh) * 2016-10-25 2020-05-22 杭州海康威视数字技术股份有限公司 一种门禁控制方法及系统、控制器及终端
US10579784B2 (en) 2016-11-02 2020-03-03 Biocatch Ltd. System, device, and method of secure utilization of fingerprints for user authentication
US11074325B1 (en) * 2016-11-09 2021-07-27 Wells Fargo Bank, N.A. Systems and methods for dynamic bio-behavioral authentication
US10339777B2 (en) * 2016-12-13 2019-07-02 Lenovo (Singapore) Pte. Ltd. Identifying an individual based on an electronic signature
CN107452166B (zh) * 2017-06-27 2023-08-22 长江大学 一种基于声纹识别的图书馆借书方法及装置
US10397262B2 (en) 2017-07-20 2019-08-27 Biocatch Ltd. Device, system, and method of detecting overlay malware
CN107403114B (zh) * 2017-07-25 2020-09-22 苏州浪潮智能科技有限公司 一种锁定输入的结构及方法
JP6838211B2 (ja) * 2017-07-31 2021-03-03 日立Astemo株式会社 自律運転制御装置、自律移動車及び自律移動車制御システム
TWI636355B (zh) * 2017-08-01 2018-09-21 群光電能科技股份有限公司 電子印章
CN109325325B (zh) 2017-08-01 2022-04-12 群光电能科技股份有限公司 数字认证系统
CN107426237A (zh) * 2017-08-10 2017-12-01 汪清翼嘉电子商务有限公司 一种用户个人信息的大数据网络验证系统和方法
EP3669334B1 (en) * 2017-08-18 2023-09-27 Carrier Corporation Method to create a building path for building occupants based on historic information
TWI646474B (zh) * 2017-08-28 2019-01-01 關楗股份有限公司 用於身分核實系統中的造假生物特徵過濾裝置
CN109426713B (zh) 2017-08-28 2022-05-24 关楗股份有限公司 用于身份核实系统中的造假生物特征过滤装置
US10909266B2 (en) * 2017-10-24 2021-02-02 Merck Sharp & Dohme Corp. Adaptive model for database security and processing
KR101915602B1 (ko) * 2017-12-28 2018-11-07 주식회사 신화시스템 출입통제시스템에 대한 출입권한 관리방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능한 기록매체
CN108182765A (zh) * 2018-02-02 2018-06-19 深圳爱影科技有限公司 用于实现vr眼镜共享的智能柜系统
GB2573262B (en) * 2018-03-08 2022-04-13 Benefit Vantage Ltd Mobile identification method based on SIM card and device-related parameters
US11228601B2 (en) * 2018-03-20 2022-01-18 Intel Corporation Surveillance-based relay attack prevention
KR102445320B1 (ko) * 2018-07-24 2022-09-21 미쓰비시 덴키 빌딩 솔루션즈 가부시키가이샤 방문 관리 기능을 구비한 콘텐츠 배포 장치
US11127013B1 (en) 2018-10-05 2021-09-21 The Government of the United States of America, as represented by the Secretary of Homeland Security System and method for disambiguated biometric identification
JP6998568B2 (ja) * 2019-03-04 2022-01-18 パナソニックIpマネジメント株式会社 顔認証システムおよび顔認証方法
US10756808B1 (en) * 2019-05-14 2020-08-25 The Boeing Company Methods and systems for transmitting terrestrial aircraft data using biometrically authenticated broadband over power line communication channels
US11743723B2 (en) 2019-09-16 2023-08-29 Microstrategy Incorporated Predictively providing access to resources
JP7432137B2 (ja) * 2019-09-20 2024-02-16 ブラザー工業株式会社 印刷装置及び通信処理システム
CN110825924B (zh) * 2019-11-01 2022-12-06 深圳市卡牛科技有限公司 一种数据检测方法、装置及存储介质
KR102614345B1 (ko) * 2020-02-14 2023-12-18 에코스솔루션(주) 대형건물 미세먼지 알림 시스템의 구동방법
WO2021176535A1 (ja) 2020-03-02 2021-09-10 日本電気株式会社 提示制御装置、システム、方法及びプログラムが格納された非一時的なコンピュータ可読媒体
US11470082B2 (en) * 2020-03-31 2022-10-11 Konica Minolta Business Solutions U.S.A., Inc. Authentication server and method that provide authentication information upon interruption of power supply
CN111461018B (zh) * 2020-04-01 2023-07-07 北京金和网络股份有限公司 特种设备监测方法及装置
CN112861170B (zh) * 2020-08-03 2023-03-31 德能森智能科技(成都)有限公司 一种保护隐私的智慧园区管理系统
US11797946B2 (en) 2020-11-10 2023-10-24 International Business Machines Corporation Transportation boarding time notification
DE102020214914A1 (de) * 2020-11-27 2022-06-02 Sivantos Pte. Ltd. Verfahren zur Unterstützung eines Nutzers eines Hörgerätes, Hörgerät und Computerprogrammprodukt
CN112968775B (zh) * 2021-02-01 2022-06-24 杭州齐令信息科技有限公司 人员生物特征识别系统
CN112883349B (zh) * 2021-04-29 2021-07-20 深圳市科力锐科技有限公司 数据还原方法、装置、设备及存储介质
CN113593082B (zh) * 2021-05-14 2023-05-23 国家电网有限公司技术学院分公司 一种基于区块链的五防锁具管理方法及系统
KR102533108B1 (ko) * 2021-05-28 2023-05-16 주식회사 아이피나우 특허 관리서버 및 이를 포함하는 특허 관리시스템
JP2022187268A (ja) * 2021-06-07 2022-12-19 東芝テック株式会社 情報処理システム、情報処理装置及びその制御プログラム
US20230015789A1 (en) * 2021-07-08 2023-01-19 Vmware, Inc. Aggregation of user authorizations from different providers in a hybrid cloud environment
US11606353B2 (en) 2021-07-22 2023-03-14 Biocatch Ltd. System, device, and method of generating and utilizing one-time passwords
CN113850945B (zh) * 2021-09-27 2023-02-17 杭州海康威视数字技术股份有限公司 一种门禁控制方法和多门禁主机反潜回系统
CN113677001B (zh) * 2021-10-25 2022-02-08 山东开创电气有限公司 具有自动智能补偿uwb定位精度装置及方法

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5229764A (en) * 1991-06-20 1993-07-20 Matchett Noel D Continuous biometric authentication matrix
US5268670A (en) * 1991-10-04 1993-12-07 Senior Technologies, Inc. Alert condition system usable for personnel monitoring
US6040783A (en) * 1995-05-08 2000-03-21 Image Data, Llc System and method for remote, wireless positive identity verification
US5719918A (en) * 1995-07-06 1998-02-17 Newnet, Inc. Short message transaction handling system
US6218945B1 (en) * 1997-09-10 2001-04-17 John E Taylor, Jr. Augmented monitoring system
JP2000040064A (ja) * 1998-07-24 2000-02-08 Ntt Data Corp ネットワークアクセスの認証方式
JP3797523B2 (ja) * 1998-08-12 2006-07-19 富士通サポートアンドサービス株式会社 指紋による個人認証システム
JP2000092567A (ja) 1998-09-07 2000-03-31 Toyota Motor Corp 端末装置の認証装置
JP2000090567A (ja) * 1998-09-09 2000-03-31 Sony Corp ディジタル信号の伝送装置、ディジタル信号の伝送方法及びディジタル信号の記録媒体
US6233588B1 (en) * 1998-12-02 2001-05-15 Lenel Systems International, Inc. System for security access control in multiple regions
AU4831500A (en) * 1999-05-10 2000-11-21 Andrew L. Di Rienzo Authentication
JP2002064861A (ja) * 2000-08-14 2002-02-28 Pioneer Electronic Corp 本人認証システム
US7551931B2 (en) * 2001-01-24 2009-06-23 Motorola, Inc. Method and system for validating a mobile station location fix
EP1388073B1 (en) * 2001-03-01 2018-01-10 Akamai Technologies, Inc. Optimal route selection in a content delivery network
US20030070100A1 (en) * 2001-10-05 2003-04-10 Winkler Marvin J. Computer network activity access apparatus incorporating user authentication and positioning system
JP2004086560A (ja) 2002-08-27 2004-03-18 Yamaha Corp 情報配信システム及び方法、並びに、情報配信制御装置、方法及びプログラム
JP2004204629A (ja) * 2002-12-26 2004-07-22 Yamatake Corp 入退室管理システムおよび方法
JP4776170B2 (ja) * 2003-01-29 2011-09-21 技研商事インターナショナル株式会社 ロケーション証明システム
JP4312523B2 (ja) * 2003-07-04 2009-08-12 ソフトバンクモバイル株式会社 ドア施錠解錠システム
JP4507520B2 (ja) * 2003-07-18 2010-07-21 株式会社日立製作所 ナビゲーションシステム
WO2006101169A1 (ja) 2005-03-23 2006-09-28 Ihc Corp. 認証システム

Also Published As

Publication number Publication date
US20090189736A1 (en) 2009-07-30
EP1868132A4 (en) 2014-06-18
US20120256725A1 (en) 2012-10-11
CN101167080A (zh) 2008-04-23
US8866586B2 (en) 2014-10-21
WO2006101169A1 (ja) 2006-09-28
CN101167080B (zh) 2012-01-04
EP1868132A1 (en) 2007-12-19
JP3946243B2 (ja) 2007-07-18

Similar Documents

Publication Publication Date Title
JP3946243B2 (ja) 認証システム
JP3828901B2 (ja) 個人認証システム
JP5007886B2 (ja) 個人認証システム
Hirose Privacy in public spaces: The reasonable expectation of privacy against the dragnet use of facial recognition technology
JP2007241501A (ja) 訪問者特定システムおよび訪問者特定方法
JP2003223449A (ja) 端末情報の登録およびその活用方法。
JP5125362B2 (ja) コンテンツ管理装置、そのプログラムおよびコンテンツ管理方法
Muller et al. Zurich main railway station: A typology of public CCTV systems
JP7089360B2 (ja) 設備機器作動システム
JP6829508B2 (ja) アプリケーションプログラム及び行動管理装置
WO2021225523A1 (en) Systems, devices, and methods for managing contact instances of persons of interest
WO2021029086A1 (ja) デジタル・スマートガイド・セキュリティシステム、方法及びプログラム
WO2020213058A1 (ja) デジタルスマート・ディフェンスセキュリティシステム、方法及びプログラム
JP2008025278A (ja) 出入管理システム及び方法
WO2022201746A1 (ja) 入退管理システム、入退管理方法、及び記録媒体
WO2022163870A1 (ja) 所有者連続認証システム、遺失物救済システム、所有物のスペア作成システム及び印鑑
Taavila Wearable technology as part of access control
KR102451177B1 (ko) 가상 스마트키를 이용한 비대면 체크인 시스템
WO2023170915A1 (ja) 防犯指標値算出システム、防犯指標値算出方法、及び、防犯指標値算出プログラムが格納された記録媒体
Hans Using a biometric system to control access and exit of vehicles at Tshwane University of Technology
US20230342440A1 (en) System for system for creating and storing verified digital identities
WO2020116023A1 (ja) 情報処理装置、情報処理システム、および情報処理方法、並びにプログラム
US20230012098A1 (en) Building system for private user communication
Craighead High-Rise Security
JP4273869B2 (ja) 訪問者対応装置

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070320

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070410

R150 Certificate of patent or registration of utility model

Ref document number: 3946243

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110420

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110420

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120420

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130420

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140420

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250