WO2007023657A1 - 情報記憶装置及び情報記憶プログラム及び検証装置及び情報記憶方法 - Google Patents

Abstract

信頼性の高い情報を記録できる情報記憶装置を提供する。移動体情報記憶装置３は、移動体１に装備される情報記憶装置であり、移動体１に関する情報を検出するセンサが検出した情報に基づく移動体情報を記憶する移動体情報記憶部３２と、移動体１を特定可能な特定情報を取得し、取得した前記特定情報と前記移動体情報記憶部３２が記憶した前記移動体情報とに基づき、前記特定情報と移動体情報との少なくともいずれかに対する改ざんの有無を検証するために使用する完全性情報を生成する改ざん防止部２０と、改ざん防止部２０が生成した完全性情報を記憶する完全性情記憶部３３とを備えた。

Description

明 細 書

情報記憶装置及び情報記憶プログラム及び検証装置及び情報記憶方法 技術分野

[0001] この発明は、センサが検出した情報を収集して記憶する報記憶装置、情報記憶プ ログラム、情報記憶方法及び前記情報の正当性を検証する検証装置に関する。

[0002] この発明は、例えば、移動体の移動状態に関わる移動体情報を収集して記憶する 情報記憶装置に関する。

[0003] また、この発明は、例えば食料品（野菜、魚、ワインなど）、動物 (競走馬や闘犬など )、割れ物、薬品、写真、芸術品、骨董品、公的書類 (紙での書類や遺書など)、ゴミ などの物の運搬環境や保管環境に関わる情報、例えば温度、湿度、照度、時間、位 置、ゆれ、重量、傾斜、圧力、音、風力、不純物度、扉や蓋の開閉などの環境情報を 収集して記憶する環境情報記憶装置や、これらの情報を処理する環境情報保証シス テムに関する。

背景技術

[0004] (1)自動車税の税額は、従来、自動車の種類、用途、排気量などにより決められてい る。近年では、自動車税の税額は、排出ガスや燃費の性能に応じて変わる。これらは 運転状況により決定されるものではなぐ使用している自動車の仕様によって決定さ れていると言える。例えば、燃費性能が良い自動車であれば、急発進や急停止など の乱暴な運転をする運転者であっても税金は優遇されることになる。

(2)また、自動車保険も、自動車の種類や用途、運転者の年齢、過去の事故歴、走 行距離など力 決定される。この自動車保険も、乱暴な運転する者であっても、事故 を起こしていない運転者であれば、保険料が安くなり、実際に運転者がどのような運 転を行って 、るかと 、う運転状況に見合った保険料の算出方法ではな 、。

[0005] これらを解決するために、いくつかの発明がある。

[0006] 特開 2004— 145489号公報 (特許文献 1)は、自動車保険料決定方法に関わるシ ステムを開示していいる。前記特許文献 1が開示するシステムは、タイヤ空気圧等の 管理をこまめに行って!/ヽるような安全性が高!ヽ自動車及び所有者は事故を起こす可 能性が低いとみなし、保険料を減額する。すなわち、自動車のタイヤ空気圧に関する 時系列的情報を取得する車輛状況解析部と、この車輛状況解析部が取得した情報 を外部へ送信する通信装置とを備えた車載装置と、受信した情報に基づ 、て当該自 動車のタイヤ空気圧管理状況を評価する車輛管理状態診断部と、この車輛管理状 態診断部による評価結果に基づいて自動車保険の保険料及び Z又は保険金を算 出する保険料算出部とを備えた中央装置とからなるシステムである。これによつて、タ ィャ空気圧などの情報が、インタネットを介して保険事業者のサーバに送信され、受 信した情報を基に車両管理状態を診断し、事故を起こす可能性が低!、自動車の所 有者に対して、保険料を減額するなど保険料が算出される。

[0007] また、特開 2002— 279298号公報 (特許文献 2)は、車両履歴情報に基づくビジネ ス手法として、車両の運転歴ゃ維持管理履歴などの車両履歴情報を個人情報と共 に車両に設けられた記憶媒体に記録し、車検 'メンテナンス時や保険契約，更新時に これらの情報を用いて料金を設定する手法を開示している。この中には、各種センサ 情報を車載管理コンピュータによって処理された自動車の運転歴に対するユーザ側 の改ざんを不能にするというデータ保護機能を有する記憶媒体を使用している例が 記述されている。

[0008] また、特開 2002- 183456号公報 (特許文献 3)は、取得した自動車の走行状態 情報や GPS (Global Positioning System)による位置情報、地図情報、交通規 制情報を基に運転評価結果を演算して、演算結果を記録する運転評価装置にぉ ヽ て、保険会社以外の人間に記録内容を解読されるのを防ぐために、すなわち、記録 内容の機密性を維持するために、暗号化もしくはパスワードによって保護している例 を開示している。

[0009] しかし、従来のシステムでは、自動車の所有者が車載装置を改良し、偽の情報を保 険事業者に送信することができる。すなわち、実際にはタイヤ空気圧等の管理をして いないにもかかわらず、こまめに行っているように見せかけたり、他の自動車の情報を 送信したりして、安!ヽ保険料を得ることが可能であると ヽぅ問題点があった。

[0010] さらに、通信中の情報が改ざんされる、すなわち情報の完全性を維持できない恐れ 力 Sあり、保険会社などが実際に使用する情報を信頼できないという信頼性が欠けると いう問題点があった。

[0011] また、通信中の情報が改ざんされた場合や、車載装置内に記録している情報が改 ざんされた場合、保険会社などは受信した情報が改ざんされて 、ることを検知するこ とができないという問題があった。これは、情報を暗号ィ匕する'しないに問わず発生す る問題である。すなわち、暗号ィ匕によって情報の機密性は維持できるが、改ざんされ たことは検知できな 、、つまり完全性を維持できな!/、からである。

[0012] (3)また、従来、物の運搬や保管を依頼した依頼者 (以下、依頼者と記す)は、運搬 や保管を実施する業者 (以下、業者と記す)を信頼し、運搬や保管を依頼していた。 例えば、魚市場から新鮮な魚を市場に運搬する場合、魚市場で運搬を依頼した依頼 者は、運搬中の魚の環境、すなわち温度や湿度などが新鮮な状態に保たれている か知ることが出来な力 た。また、魚を使用する料理店などの物を受け取る人 (以下、 使用者と記す)も運搬された魚の鮮度状態を確認することはできず、経験に基づく目 視による確認によって、鮮度状態を把握していた。

また、貸し倉庫に物を保管する場合、使用者 (依頼者と同じ場合もある）は、入'出庫 する際の保管物の検量ゃ状態等の比較することで、保管中の物の状態を推測してい た。

[0013] さらに、保冷車の運行管理装置に関する特開平 11— 348647号公報では、保冷 庫内の温度センサが検出した温度情報を車両力 事務所に送信 ·管理することで、 運転者の負荷を減らす発明が記述されており、温度センサの情報を車両に設けられ たメモリカードに記録し、後で運転中の記録証明が可能であるとの記述がある。

[0014] 従来技術では、依頼者や使用者が、運搬中や保管中の環境に関しては、業者を信 用するしか方法がなぐその運搬環境や保管環境を確認することは困難であった。ま た、メモリカードなど記録媒体に記録された環境の情報を業者が改ざんし、改ざんさ れた業者に都合の良い偽の情報を依頼者や使用者に提出し、問題なく見せ力 4ナるこ とが可能であるという課題があった。

特許文献 1 :特開 2004— 145489号公報

特許文献 2：特開 2002— 279298号公報

特許文献 3 :特開 2002— 183456号公報 特許文献 4:特開 2002— 7718号公報

特許文献 5：特開 2002— 373258号公報

特許文献 6：特開 2002— 297910号公報

特許文献 7：特開平 11― 348647号公報

発明の開示

発明が解決しょうとする課題

[0015] この発明は、信頼性の高!、移動体の移動体情報を記録できる移動体情報記憶装 置を提供することを目的とする。また、保険、税金、交通違反などに関するサービスを 利用者に提供するサービス提供者が、移動体情報記憶装置が記録した移動体情報 を安心して利用でき、これらの移動体情報が改ざんされたことをサービス提供者が検 知できる移動体情報検証装置、システムを提供することを目的とする。

[0016] さらに、この発明は、運搬中や保管中の物の環境に関する情報を記録でき、依頼 者や利用者がその情報を確認できる信頼性の高い環境情報記憶装置や環境情報 保証システムを提供することを目的とする。

課題を解決するための手段

[0017] 本発明の情報記憶装置は、

移動体に装備され、前記移動体に関する情報を記憶する情報記憶装置において、 前記移動体に関する情報を検出するセンサが検出した情報に基づくセンサ情報を 記憶するセンサ情報記憶部と、

前記移動体を特定可能な特定情報を取得し、取得した前記特定情報と前記センサ 情報記憶部が記憶した前記センサ情報とに基づいて、前記特定情報と前記センサ 情報との少なくとも 、ずれかに対する改ざんの有無を検証するために使用する改ざ ん検証用情報を生成する改ざん検証用情報生成部と、

前記改ざん検証用情報生成部が生成した前記改ざん検証用情報を記憶する改ざ ん検証用情報記憶部と

を備えたことを特徴とする。

[0018] 前記情報記憶装置は、さらに、

前記特定情報を装置側特定情報として記憶する装置側特定情報記憶部を備え、 前記改ざん検証用情報生成部は、

前記装置側特定情報記憶部が記憶した前記装置側特定情報を取得することを特 徴とする。

[0019] 前記移動体は、

前記特定情報を移動体側特定情報として記憶する移動体側特定情報記憶部を備 え、

前記改ざん検証用情報生成部は、

前記移動体側特定情報記憶部が記憶した前記移動体側特定情報を取得すること を特徴とする。

[0020] 前記情報記憶装置は、さらに、

自己と前記移動体とが分離しているかどうかを検出する分離検出部を備えたことを 特徴とする。

[0021] 前記情報記憶装置は、さらに、

自己が装備された前記移動体である前記装備移動体が、予め装備されることが指 定された指定移動体かどうかを判断する移動体判断部を備えたこと特徴とする。

[0022] 前記情報記憶装置は、さらに、

前記移動体判断部が前記装備移動体は前記指定移動体ではないと判断した場合 に、前記センサ情報記憶部が記憶した前記センサ情報を消去する情報消去部を備 えたことを特徴とする。

[0023] 前記装備移動体は、

移動体である自己を特定可能な移動体側特定情報を記憶する移動体側特定情報 記憶部を備え、

前記情報記憶装置は、さらに、

前記指定移動体を特定可能な装置側特定情報を記憶する装置側特定情報記憶 部を備え、

前記移動体判断部は、

前記装置側特定情報記憶部が記憶した前記装置側特定情報と前記移動体側特 定情報記憶部が記憶した前記移動体側特定情報とを入力し、入力した前記装置側 特定情報と前記移動体側特定情報とに基づ!、て、前記装備移動体が前記指定移動 体かどうかを判断することを特徴とする。

[0024] 前記改ざん検証用情報生成部は、

前記移動体判断部が前記装備移動体を前記指定移動体と判断した場合に、前記 移動体判断部が入力した前記装置側特定情報と前記移動体側特定情報とのうちの Vヽずれかを選択対象として選択して取得し、取得した前記選択対象と前記センサ情 報記憶部が記憶した前記センサ情報とに基づいて、前記選択対象と前記センサ情 報との少なくともいずれかに対する改ざんの有無を検証するために使用する改ざん 検証用情報を生成することを特徴とする。

[0025] 前記装備移動体は、

通信により認証要求を受け付けて、予め設定された規則に基いて認証処理を実行 する移動体側認証実行部を備え、

前記移動体判断部は、

前記移動体側認証実行部に前記認証要求を送信し、前記予め設定された規則に 基いて前記移動体側認証実行部との間で認証処理を実行することにより、前記装備 移動体が前記指定移動体かどうかを判断することを特徴とする。

[0026] 前記情報記憶装置は、さらに、

前記センサが正当かどうかを確認するセンサ確認部を備えたことを特徴とする。

[0027] この発明の情報記憶装置は、

移動体に装備され、前記移動体に関する情報を記憶する情報記憶装置において、 前記移動体に関する情報を検出する複数のセンサのそれぞれが検出したそれぞ れの情報に基づくぞれぞれのセンサ情報を入力し、予め設定された条件に基づいて 前記それぞれのセンサ情報のうちから少なくとも一つのセンサ情報を選択する選択 部と、

前記選択部が選択したセンサ情報力 構成されるグループを示す選択情報群を記 憶する選択情報群記憶部と、

前記移動体を特定可能な特定情報を取得し、取得した前記特定情報と前記選択 情報群記憶部が記憶した前記選択情報群とに基づ!、て、前記特定情報と前記選択 情報群に含まれる前記センサ情報との少なくともいずれかに対する改ざんの有無を 検証するために使用する改ざん検証用情報を生成する改ざん検証用情報生成部と 前記改ざん検証用情報生成部が生成した前記改ざん検証用情報を記憶する改ざ ん検証用情報記憶部と

を備えたことを特徴とする。

[0028] この発明の情報記憶装置は、

移動体に装備され、前記移動体に関する情報を記憶する情報記憶装置において、 前記移動体に関する情報を検出する複数のセンサのそれそれが検出したそれぞ れの情報に基づくそれぞれのセンサ情報を記憶するセンサ情報記憶部と、

予め設定された条件に基づ!、て、前記センサ情報記憶部が記憶した前記それぞれ のセンサ情報のうちから少なくとも一つのセンサ情報を選択する選択部と、

前記移動体を特定可能な特定情報を取得し、取得した前記特定情報と前記選択 部が選択したセンサ情報力 構成されるグループを示す前記選択情報群とに基づい て、前記特定情報と前記選択情報群に含まれる前記センサ情報との少なくともいず れかに対する改ざんの有無を検証するために使用する改ざん検証用情報を生成す る改ざん検証用情報生成部と、

前記改ざん検証用情報生成部が生成した前記改ざん検証用情報を記憶する改ざ ん検証用情報記憶部と

を備えたことを特徴とする。

[0029] 前記情報記憶装置は、さらに、

前記センサ情報を入力し、入力した前記センサ情報が予め設定された条件に合致 するかどうかを判定し、前記条件に合致すると判定した場合に、入力した前記センサ 情報を前記

センサ情報記憶に記憶させる条件判定部を備えたことを特徴とする。

[0030] 前記情報記憶装置は、さらに、

前記センサ情報記憶部が記憶した前記センサ情報と、前記改ざん検証用情報生 成部が取得した前記特定情報と、前記改ざん検証用情報記憶部が記憶した前記改 ざん検証用情報とを出力する出力部を備えたことを特徴とする。

[0031] 前記出力部は、

前記センサ情報と前記特定情報と前記改ざん検証用情報とを出力する場合に、出 力先が予め指定された指定装置カゝどうかを認証する出力先認証部を備えたことを特 徴とする。

[0032] 前記出力部は、

情報を記憶可能であるとともに携帯が可能である携帯型記憶媒体に、前記センサ 情報と前記特定情報と前記改ざん検証用情報とを出力することを特徴とする。

[0033] 前記出力部は、

予め設定された時間間隔で、前記センサ情報と前記特定情報と前記改ざん検証用 情報とを出力することを特徴とする。

[0034] 前記情報記憶装置は、さらに、

操作者による操作を受け付け、受け付けた前記操作に基いて、前記出力部に対し て出力を命じる命令部を備え、

前記出力部は、

前記命令部から出力を命じられた場合に、前記センサ情報と前記特定情報と前記 改ざん検証用情報とを出力することを特徴とする。

[0035] 前記情報記憶装置は、さらに、

前記命令部が受け付けた前記操作者による前記操作に基づ ヽて、前記操作者が 正当であるかどうかを認証する操作者認証部を備え、

前記命令部は、

前記操作者認証部が前記操作者を正当と認証した場合に、前記出力部に対して 出力を命じることを特徴とする。

[0036] この発明の情報記憶プログラムは、

移動体に装備され、前記移動体の情報を記憶するコンピュータである情報記憶装 置に以下の処理を実行させることを特徴とする。

( 1)前記移動体に関する情報を検出するセンサが検出した情報に基づくセンサ情報 を記憶する処理 (2)前記移動体を特定可能な特定情報を取得し、取得した前記特定情報と記憶した 前記センサ情報とに基づいて、前記特定情報と前記センサ情報との少なくともいずれ かに対する改ざんの有無を検証するために使用する改ざん検証用情報を生成する 処理

(3)生成した前記改ざん検証用情報を記憶する処理

[0037] この発明の情報記憶装置は、

情報を検出するセンサ力 前記センサが検出した情報を入力する情報入力部と、 前記情報入力部が前記センサから入力した情報に基づくセンサ情報を記憶するセ ンサ情報記憶部と、

前記センサ情報記憶部が記憶した前記センサ情報に基づ!/、て、前記センサ情報に 対する改ざんの有無を検証するために使用する改ざん検証用情報を生成する改ざ ん検証用情報生成部と、

前記改ざん検証用情報生成部が生成した前記改ざん検証用情報を記憶する改ざ ん検証用情報記憶部と

を備えたことを特徴とする。

[0038] 前記情報記憶装置は、さらに、

所定の情報を記憶する装置側特定情報記憶部を備え、

前記改ざん検証用情報生成部は、

前記センサ情報記憶部が記憶した前記センサ情報と前記装置側特定情報記憶部 が記憶した前記所定の情報とに基づ!/、て、前記所定の情報と前記センサ情報との少 なくともいずれかに対する改ざんの有無を検証するために使用する改ざん検証用情 報を生成することを特徴とする。

[0039] 前記センサは、

自己が配置されている環境に関する情報を検出し、

前記装置側特定情報記憶部は、

前記所定の情報として、前記センサが配置される前記環境と自己である前記環境 情報記憶装置が配置される場所との少なくともいずれかを特定可能な特定情報を記 憶することを特徴とする。 [0040] 前記情報記憶装置は、さらに、

前記センサが配置されて 、る環境に所定の物が継続して置かれて 、るかどうかを 検出する存在検出部を備え、

前記改ざん検証用情報生成部は、

前記センサ情報記憶部が記憶した前記センサ情報と前記存在検出部が検出した 検出結果とに基づいて、前記センサ情報と前記検出結果との少なくともいずれかに 対する改ざんの有無を検証するために使用する改ざん検証用情報を生成することを 特徴とする。

[0041] 前記情報記憶装置は、さらに、

前記センサ情報記憶部が記憶した前記センサ情報と、前記装置側特定情報記憶 部が記憶した前記所定の情報と、前記改ざん検証用情報記憶部が記憶した前記改 ざん検証用情報とを他の装置に出力する出力部を備えたことを特徴とする。

[0042] 前記出力部は、

前記センサ情報と前記所定の情報と前記改ざん検証用情報とを出力する場合に、 前記他の装置を認証する出力先認証部を備えたことを特徴とする。

[0043] 前記情報記憶装置は、さらに、

前記センサが正当かどうかを確認するセンサ確認部を備えたことを特徴とする。

[0044] 前記情報記憶装置は、

所定の情報を格納する格納機器力 前記所定の情報を入力する外部インタフエ一 ス部と、

前記外部インタフェース部が前記格納機器から前記所定の情報を入力する場合に 前記格納機器との間で通信を行うことにより前記格納機器が正当であるかどうかを認 証し、正当と判断した場合に、前記所定の情報を前記装置側特定情報記憶部に記 憶する格納制御部と

を備えたことを特徴とする。

[0045] 前記情報記憶装置は、

所定の情報を格納する格納機器力 前記所定の情報を入力する外部インタフエ一 ス部と、 前記外部インタフェース部が入力した前記所定の情報が正当であるかどうかを認証 し、正当と判断した場合に、前記所定の情報を前記装置側特定情報記憶部に記憶 する格納制御部と

を備えたことを特徴とする。

[0046] この発明の検証装置は、

情報を検出するセンサ力 前記センサが検出した情報を入力する情報入力部と、 前記情報入力部が前記センサから入力した情報に基づくセンサ情報を記憶するセ ンサ情報記憶部と、

前記センサ情報記憶部が記憶した前記センサ情報に基づ!/、て、前記センサ情報に 対する改ざんの有無を検証するために使用する改ざん検証用情報を生成する改ざ ん検証用情報生成部と、

前記改ざん検証用情報生成部が生成した前記改ざん検証用情報を記憶する改ざ ん検証用情報記憶部と、

前記センサ情報記憶部が記憶した前記センサ情報と、前記改ざん検証用情報記 憶部が記憶した前記改ざん検証用情報とを出力する出力部とを備えた情報記憶装 置から、

前記情報記憶装置が出力した前記センサ情報と前記改ざん検証用情報とを入力し 、入力した前記センサ情報と前記改ざん検証用情報とを用いることにより前記センサ 情報の正当性を検証する検証部を備えたことを特徴とする。

[0047] この発明の情報記憶方法は、

コンピュータである情報記憶装置が行なう情報記憶方法において、

情報入力部が、情報を検出するセンサ力 前記センサが検出した情報を入力し、 センサ情報記憶部が、前記情報入力部が前記センサから入力した情報に基づくセ ンサ情報を記憶し、

改ざん検証用情報生成部が、前記センサ情報記憶部が記憶した前記センサ情報 に基づ!/、て、前記センサ情報に対する改ざんの有無を検証するために使用する改ざ ん検証用情報を生成し、

改ざん検証用情報記憶部が、前記改ざん検証用情報生成部が生成した前記改ざ ん検証用情報を記憶することを特徴とする。

[0048] この発明の情報記憶プログラムは、

以下の処理をコンピュータに実行させることを特徴とする。

(1)情報を検出するセンサ力 前記センサが検出した情報を入力する処理

(2)前記センサから入力した情報に基づくセンサ情報を記憶する処理

(3)記憶した前記センサ情報に基づ!/、て、前記センサ情報に対する改ざんの有無を 検証するために使用する改ざん検証用情報を生成する処理

(4)生成した前記改ざん検証用情報を記憶する処理

発明の効果

[0049] 本発明により、移動体との関連性が明確であり、かつ、改ざんに対して信頼性の高 い移動体情報を記録できる移動体情報記憶装置を提供することができる。 発明を実施するための最良の形態

[0050] 実施の形態 1.

図 1〜図 4を参照して、実施の形態 1を説明する。実施の形態 1は、センサが検出し た移動体に関する情報である移動体情報 (センサ情報)を記憶する移動体情報記憶 装置 (情報記憶装置）に関する。ここで、「移動体情報」とは、自動車、バイク、船、飛 行機、遊具 (例えば、ジェットコースター（登録商標））などの移動体ついての、速度、 距離、エンジン回転数、 GPS (GPS位置）、ジャイロ、タイヤ空気圧、車間距離、ゆれ 、ステアリング (舵角）、加速度、上昇度、アクセルの空ぶかし、蛇行運転の長さや時 間、急ブレーキの回数、急発進の回数、運転者のいねむり状況、ブレーキ踏み圧、 シートベルト装着などの移動状況や移動状態に関わる情報をいう。

[0051] 図 1は、実施の形態 1の移動体情報記憶装置 3の使用状態の一例を示す図である 。移動体情報記憶装置 3は、例えば、自動車のような移動体に装備される。以下では 、移動体情報記憶装置 3が装備される移動体を「装備移動体」と呼ぶ場合がある。ま た、移動体情報記憶装置 3は、あらかじめ、装備されるべき移動体が指定されている 。移動体情報記憶装置 3が、あらかじめ装備されることが指定された移動体を「指定 移動体」と呼ぶ場合がある。

[0052] (1)移動体情報記憶装置 3は、図 1のように装備移動体である移動体 1に装備されて いる。

(2)移動体情報記憶装置 3は、複数のセンサ力 構成されるセンサ群 2の各センサが 検出した各移動体情報を入力して記憶する。後述のようにセンサ群 2はセンサ 2a,セ ンサ 2b,センサ 2c等力 構成される。

(3)移動体情報記憶装置 3は、記憶した移動体情報と後述の固有情報とに基づき、 後述の「完全性情報」を生成し、「完全性情報」と「移動体情報」と「固有情報」とを、例 えば公衆回線を介して、保険会社のサービスセンターに配置された移動体情報検証 装置 600に送信する。

(4)移動体情報検証装置 600は、受信した「完全性情報」に基づき、「移動体情報」 の正当性を検証する。

[0053] 図 2は、実施の形態 1の移動体情報記憶装置 3の構成ブロック図である。図 2は、移 動体 1に装備された状態を示している。移動体情報記憶装置 3は、センサ 2a〜セン サ 2cから移動体情報を入力する。

[0054] 図 2において、移動体 1は、自動車、バイク、船、飛行機、遊具 (例えば、ジェットコ 一スター (登録商標)や観覧車)など、人が乗車可能である。

[0055] センサ 2a等は、移動体 1に設置されており、移動体 1の速度、走行距離、エンジン 回転数、 GPSを利用した位置、ジャイロ、タイヤや客室の空気圧、車間距離、ゆれ、 高度、傾き、ステアリング (舵角）、温度、湿度など、移動状況や移動状態を示す「移 動体情報」を検出する。なお、後述する実施の形態 20では、移動体情報記憶装置 3 がセンサを内蔵する例を示して 、る。

[0056] 本実施の形態 1では、センサ 2a等は、自身が検出した情報を演算し、演算結果を 移動体情報として移動体情報記憶装置 3に出力するもので構わない。このような演算 結果で得られる移動体情報には、例えば、加速度、上昇度、アクセルの空ぶかし、蛇 行運転の長さや時間、急ブレーキの回数、急発進の回数、車内外の映像情報などが ある。

[0057] なお、センサ 2a等が、自身の検出した情報を演算せず、移動体情報記憶装置 3で 演算する場合を実施の形態 2に示す。後述する本実施の形態 2では、移動体情報記 憶装置 3の装置側演算部 201による演算結果を「移動体情報」として記憶しているが 、前記のようにセンサ自身が検出した情報も「移動体情報」である。このように、本明 細書において、「移動体情報」とは、センサ自身が検出した情報、及びセンサ自身が 検出した情報を処理した結果 (演算結果）とのいずれをも含むものである。すなわち、 「移動体情報」（センサ情報)とは、移動体に関する情報を検出するセンサが検出した 情報に基づく情報である。ここで「基づく」とは、前記のように、センサ自身が検出した 情報と、この情報を演算した結果の情報の両者を含む意味である。

[0058] 移動体情報記憶装置 3 (情報記憶装置）は、移動体情報を記憶する記憶部 21と、 制御部 22と、改ざん防止部 20 (改ざん検証用情報生成部）とを備える。また、記憶部 21は、装置側固有情報記憶部 31 (装置側特定情報記憶部）と、移動体情報記憶部 32 (セ

ンサ情報記憶部）と、完全性情報記憶部 33 (改ざん検証用情報記憶部）とを備える。 図 2では記憶部 21が装置側固有情報記憶部 31等をそなえるが、装置側固有情報記 憶部 31、移動体情報記憶部 32等は、それぞれ独立して存在しても構わない。記憶 部 21は、例えば、ハードディスク、あるいは EEPROM (Electronically Erasable and Programmable Read Only Memory)、： RAMなどの半導体メモリである。

[0059] 装置側固有情報記憶部 31は、後述の「装置側固有情報」（装置側特定情報)を記 憶する。移動体情報記憶部 32は、「移動体情報」を記憶する。完全性情報記憶部 33 は、後述の「完全性情報」を記憶する。

[0060] 改ざん防止部 20は、装置側固有情報記憶部 31に格納されている「装置側固有情 報」と、移動体情報記憶部 32に記録されている「移動体情報」とに基いて、これらの 情報の完全性を証明する「完全性情報」を生成する。

[0061] 制御部 22は、これらの動作を制御する。

[0062] 次に、図 3を参照して、移動体情報記憶装置 3の動作について説明する。図 3は、 移動体情報記憶装置 3の動作を説明するフローチャートである。

[0063] (1)移動体情報記憶装置 3は、必要なタイミングから、センサ 2a等が検出（S101)し た移動体情報の記録を開始する。このタイミングは、例えば自動車やバイクなどであ ればエンジン始動、ジェットコースター（登録商標）などの遊具であれば電源がオンに なった場合が考えられる。これらはサービス提供者によって決定される。 (2)制御部 22には、接続しているすべてのセンサ 2a等が検出した移動体情報が入 力される。制御部 22は、移動体情報を移動体情報記憶部 32に記憶する（S102)。

(3)そして、必要なタイミングで、制御部 22の命令により、改ざん防止部 20は、装置 側固有情報記憶部 31に記憶されて 、る「装置側固有情報」と、移動体情報記憶部 3 2に記憶されて 、る「移動体情報」とに基づ!/、て、「完全性情報」を生成する（S 103)

。ここで「装置側固有情報」とは、移動体情報記憶装置 3が予め装備されることが指定 されている移動体である「指定移動体」を特定可能な情報である。「装置側固有情報 」とは、具体的には、「指定移動体」が自動車とすれば、ナンバープレート情報や車体 番号、製造番号など指定移動体を一意に区別できる情報である。

(4)また、「完全性情報」（改ざん検証用情報)とは、「移動体情報」と「装置側固有情 報」とが改ざんされていないことを確認するための情報を意味する。すなわち、「完全 性情報」は、「装置側固有情報」と「移動体情報」との少なくともいずれかに対する改 ざんの有無を検証するために使用する情報である。例えば、デジタル署名がある。「 完全性情報」の生成の具体例は、移動体情報検証装置 600を備えるシステムである 実施の形態 6で詳しく述べる。

(5)生成された「完全性情報」は、必要に応じて制御部 22により、完全性情報記憶部 33に記憶される。制御部 22は、「完全性情報」を記録する際、「完全性情報」と、その 生成の基になった「移動体情報」との対応関係を管理してもよ!、。この対応関係を管 理することによって、「移動体情報」と「完全性情報」との対応関係が明確になる (S 10 4)。

(6)図 4は、「移動体情報」と「完全性情報」の対応関係の管理例を示す。図 4におい て、「移動体情報 a」は「完全性情報 a」と対応し、「移動体情報 b」は「完全性情報 と 対応する。「移動体情報 c」については、対応する「完全性情報 c」が、まだ生成されて いない状態を表している。このような管理により、「完全性情報」とその生成の基にな つた「移動体情報」の対応関係が明確になる。

(7)「完全性情報」の生成のタイミングは、本実施の形態 1の適用先に依存するが、例 えば、エンジン始動時に「完全性情報」が生成されて!、な 、「移動体情報」が移動体 情報記憶部 32にあった時や、「移動体情報」を移動体情報記憶装置 3の外部に出力 する時、「移動体情報」が移動体情報記憶装置 3に入力された時、移動体 1に事故や 不具合が発生した時などがある。

[0064] 以上のように、移動体情報記憶装置 3内部において、改ざん防止部 20が、「移動体 情報」と「装置側固有情報」との完全性を証明する「完全性情報」を生成するので、移 動体 1と「移動体情報」との対応が明確になり、信頼性の高 ヽ「移動体情報」を記憶す る移動体情報記憶装置 3をサービス提供者に提供することができる。

[0065] 実施の形態 2.

次に図 5を参照して実施の形態 2を説明する。実施の形態 2は、制御部 22が、セン サ群 2が検出した信号を演算する装置側演算部 201を備えた場合である。

[0066] 装置側演算部 201は、接続されているセンサ群 2が検出した情報を演算する機能 を有する。このような構成において、センサ群 2が検出した情報を制御部 22の装置側 演算部 201で演算し、演算結果を「移動体情報」として記憶部 21に記憶する。

[0067] このような演算結果で得られる情報には、例えば、加速度、上昇度、アクセルの空 ぶかし、蛇行運転の長さや時間、急ブレーキの回数、急発進の回数、車内外の映像

†青報などがある。

[0068] 例えば、速度センサの信号を演算することにより加速度をえることができる。このた め、加速度センサは不要となる。よって、センサ群 2が検出した信号を演算することに よりセンサに代替する場合は、センサを追加する必要がなくなるという効果がある。

[0069] 実施の形態 3.

次に、図 6〜図 10を参照して、実施の形態 3を説明する。実施の形態 3は、移動体 情報記憶装置 3が、装備されることが予め指定されている指定移動体である移動体 1 に装備された場合、移動体 1から分離することを防ぐ分離防止手段を移動体情報記 憶装置 3に設けた実施形態である。

[0070] (1.特殊ネジ）

分離防止手段の一例として、特殊ネジの使用が挙げられる。図 6は、「特殊ネジ 30 3」の一例を示す。このように、市販されている「プラスネジ」や「マイナスネジ」ではなく 、特殊な形状をした「特殊ネジ 303」を用いて、移動体情報記憶装置 3を指定移動体 である移動体 1に固定する。これにより、移動体情報記憶装置 3を外すためには、こ の「特殊ネジ 303」に対応した特殊なドライバーなどの工具が必要となり、容易に移動 体情報記憶装置 3をはずすことはできな 、。

[0071] (2.分離防止シール）

他の分離防止手段を説明する。図 7は、改ざん防止シールや封印シール等の「シ ール 60」によって移動体情報記憶装置 3を封印した場合の、移動体 1への移動体情 報記憶装置 3の取り付け状態を示す。「シール 60」は、一度貼り付けた後にはがすと 、表面に「開封済」などの文字が現れる。移動体 1に移動体情報記憶装置 3を固定し た後、「シール 60」を、移動体 1と移動体情報記憶装置 3とをまたぐように貼る。これに より、移動体情報記憶装置 3を移動体 1から外した場合、「シール 60」には上記「開封 済」などの文字が現れる。このため、サービス提供者は、移動体情報記憶装置 3を外 したことを検出することができる。また、このようなシールを貼っているので、ユーザ等 力 移動体情報記憶装置 ₃を移動体 1から外す試みを抑止することができる。

[0072] (3.施錠）

図示はしていないが、他の分離防止手段として、移動体情報記憶装置 3と移動体 1 を両方同時に物理錠により施錠することや物理錠により移動体情報記憶装置 3を移 動体 1に固定することでも実現できる。

[0073] (4.電気的分離防止）

また、他の分離防止手段として、電気的に実現した例を説明する。図 8は、実施の 形態 3における移動体情報記憶装置 3の構成ブロック図である。図 8に示す移動体情 報記憶装置 3は、図 2に示す実施の形態 1の移動体情報記憶装置 3に対して、分離 防止部 302 (分離検出部の一例、移動体判断部の一例)を備える。分離防止部 302 は、指定移動体との分離を防止するとともに、装備移動体が指定移動体であるかどう かを判断する。

[0074] 移動体 1は、移動体側固有情報処理部 301 (移動体側認証実行部の一例）を備え る。移動体側固有情報処理部 301は、移動体側固有情報記憶部 311を備える。移 動体側固有情報記憶部 311は、移動体側固有情報 (移動体側特定情報)を記憶す る。「移動体側固有情報」とは、移動体 1が保有する情報であって、移動体 1を特定可 能な情報である。「移動体側固有情報」とは、具体的には、移動体 1が自動車とすれ ば、ナンバープレート情報や車体番号、製造番号など、移動体 1を一意に区別できる 情報を意味する。

[0075] 移動体側固有情報処理部 301は、分離防止部 302との間で認証処理を行なう。図 8では、移動体 1の移動体側固有情報処理部 301は、移動体情報記憶装置 3の制御 部 22に接続されている。そして、分離防止部 302は、制御部 22を介して移動体側固 有情報処理部 301と通信する構成である。しかし、これに限定するものではなぐ分 離防止部 302を直接に移動体側固有情報処理部 301に接続し、通信する構成でも よい。

[0076] 次に動作について、図 9を用いて説明する。図 9は、移動体側固有情報処理部 30 1と分離防止部 302とのやりとりを示すシーケンス図である。図 9では、分離防止部 30 2は、装置側固有情報記憶部 31が記憶した装置側固有情報と、移動体側固有情報 記憶部 311が記憶した移動体側固有情報とを入力し、入力した装置側固有情報と移 動体側固有情報とに基づいて、移動体 1が指定移動体かどうかを判断する。図 9を参 照して具体的に説明する。

[0077] (1)移動体側固有情報処理部 301は、移動体 1の「移動体側固有情報」を移動体側 固有情報記憶部 311に格納している。この「移動体側固有情報」は、移動体 1が指定 移動体であれば、移動体情報記憶装置 3の装置側固有情報記憶部 31に格納されて いる装置側固有情報と同一性があるべきものである。なお同一である必要はなぐそ れぞれから同一の移動体が特定できればよ!、。

(2)分離防止部 302は、必要なタイミングで、移動体側固有情報処理部 301と通信し 、移動体 1が保有する「移動体側固有情報」を取得する (S 1)。

(3)そして、分離防止部 302は、取得した「移動体側固有情報」と、装置側固有情報 記憶部 31に保管して 、る「装置側固有情報」との比較を行う（S2)。

(3)比較結果が正しければ正常終了（S3)し、例えば、記憶部 21に正常終了した内 容を記録する。正しくなければ異常終了（S4)し、例えば、記憶部 21に異常終了した 旨を記録する。

[0078] なお、分離防止部 302が移動体側固有情報処理部 301と通信するタイミングは、ェ ンジン始動時、「完全性情報」の生成時、一定もしくはランダムな時間毎などである。 これにより、移動体情報記憶装置 3が移動体 1から分離して異なる移動体に装着され たことを検出することができる。よって、本機能が移動体情報記憶装置 3に搭載され ていること

をユーザに知らせることにより、移動体情報記憶装置 ₃を移動体から外す試みを抑止 することができる。

[0079] 次に、図 10参照して、移動体側固有情報処理部 301と分離防止部 302との間で認 証処理を行う場合の例を説明する。図 10は、移動体側固有情報処理部 301と分離 防止部 302との間で行なわれる認証処理のフローチャートである。分離防止部 302 は、移動体側固有情報処理部 301 (移動体側認証実行部）に認証要求を送信する。 そして、分離防止部 302は、「予め設定された規則」に基いて、移動体側固有情報処 理部 301との間で認証処理を実行することにより、自己 (移動体情報記憶装置 3)が 装備された装備移動体が指定移動体カゝどうかを判断する。以下に、さらに説明する。

[0080] 図 10の場合は、「予め設定された規則」として、「乱数の暗号化、復号化」の場合を 示している。移動体情報記憶装置 3と移動体 1の移動体側固有情報処理部 301は暗 号鍵（図示して 、な 、）を持って!/、る。

[0081] (1)移動体情報記憶装置 3の分離防止部 302は、乱数 (R)を生成し (S6)、移動体 1 の移動体側固有情報処理部 301に送信する (認証要求の一例） (S7)。

(2)移動体側固有情報処理部 301は乱数 (R)を受信 (S8)し、暗号ィ匕 (e (R) )した (S 9)後、移動体情報記憶装置 3に送信する（S10)。

(3)移動体情報記憶装置 3の分離防止部 302では、応答データ (e (R') )を受信し（ S11)、それを復号し (S12)、先に生成した乱数と比較する（S13)。

(4)分離防止部 302は、比較結果により、装備移動体である移動体 1が指定移動体 力どうかを判断する。分離防止部 302は、比較結果が一致した場合、移動体 1を指定 移動体であると判断し、比較結果が一致しない場合は、移動体 1を指定移動体では ないと判断する。

(5)比較結果が一致していた場合 (S14)、正常終了し、一致していない場合 (S 15) 、異常終了する。

[0082] (別の例 1) 「予め設定された規則」として次の場合がある。図 10の場合は、移動体情報記憶装 置 3にて、移動体側固有情報処理部 301から受信した暗号化された乱数を復号し (S 12)、その後に比較を行っている（S13)。しかし、生成した乱数を移動体情報記憶装 置 3の分離防止部 302で暗号ィ匕し、その結果と移動体側固有情報処理部 301から 受信した暗号化された乱数を比較しても良！ヽ。

[0083] (別の例 2)

「予め設定された規則」として次の場合がある。図 10の場合は、移動体側固有情報 処理部 301で暗号ィ匕（S9)した乱数を、分離防止部 302で確認している。しかし、移 動体側固有情報処理部 301が受信した乱数に対して、メッセージ認証子やデジタル 署名を生成し、それらを分離防止部 302が検証しても良 ヽ。

[0084] (別の例 3)

さらに、「予め設定された規則」として、前述の図 9で説明した固有情報を確認する 方法と組み合わせて実現してもよい。すなわち、移動体側固有情報処理部 301にて 乱数を暗号化する際、乱数と移動体側固有情報の両方を暗号化し、分離防止部 30 2にて復号した乱数、移動体側固有情報を、生成した乱数、保管している装置側固 有情報と比較する方法でもよ!/ヽ。

[0085] 以上の前記で述べた「予め設定された規則」により、分離防止部 302は、移動体情 報記憶装置 3が移動体 1から分離され、異なる移動体に装着されたことを検出するこ とがで

きる。また、暗号化を行っているので、前述の移動体側固有情報、装置側固有情報 の確認よりも信頼性の高!、移動体情報記憶装置 3を実現できる。本機能が移動体情 報記憶装置 3に搭載されていることをユーザに知らせることにより、移動体情報記憶 装置 3を外す試みを抑止することができる。

[0086] 以上のように、移動体情報記憶装置 3に分離防止部 302を設けることによって、移 動体情報記憶装置 3と移動体 1との対応関係が明確になり、移動体情報記憶装置 3 を他の移動体に装着し、偽の「移動体情報」を収集することを防ぐことが出来る。よつ て、信頼性の高 、移動体情報記憶装置 3をサービス提供者に提供することができる。 また、移動体情報記憶装置 3が保管している装置側固有情報、取得した他の移動体 の移動体側固有情報や、移動体情報記憶装置 3が他の移動体へ装着されたという 情報をサービス提供者に提供する構成にすることにより、サービス提供者が、それら の情報を基に利用者へ警告することが可能になる。

[0087] 実施の形態 4.

次に、図 11、図 12を参照して、実施の形態 4を説明する。実施の形態 4は、図 8の 分離防止部 302が、電力を供給するバッテリ 401 (電源)を備えた実施形態である。 図 11は、実施の形態 4の移動体情報記憶装置 3の構成を示すブロック図である。図 1 1は、実施の形態 3の図 8に対して、分離防止部 302がバッテリ 401を備えている点が 異なる。

[0088] 図 11では、ノ ッテリ 401は、分離防止部 302が内蔵している力 これは一例である 。ノ ッテリ 401は、移動体情報記憶装置 3に備えられていればよい。すなわち、移動 体情報記憶装置 3が移動体 1と分離した場合であっても、電源が供給される構成であ ればよい。

[0089] 図 11の分離防止部 302は、一定もしくはランダムな時間毎に実施の形態 3の図 9で 示した移動体 1の移動体側固有情報の取得や、あるいは図 10で示した乱数による認 証を行う。このような構成であるため、移動体情報記憶装置 3が移動体 1から分離され た場合でも、分離防止部 302は、ノ ッテリ 401を稼動電源として、必要なタイミングで 、移動体側固有情報の取得や認証を実施することは可能である。しかし、移動体情 報記憶装置 3は移動体 1と接続されていないため、分離防止部 302は、移動体 1から の応答を得ることができない。これにより、分離防止部 302は、移動体 1から分離して 、ることを検出する。

[0090] すなわち、移動体情報記憶装置 3は、電力を供給するバッテリ 401 (電源)を備えて いる。前記のように、ノ ッテリ 401は、分離防止部 302が備えることに限定することは なぐ移動体情報記憶装置 3に備えられていれば構わない。分離防止部 302は、分 離された場合であってもノ ッテリ 401 (電源)から電力の供給を受けることにより、移動 体の移動体側固有情報処理部 301に、移動体側固有情報の送信を要求する「送信 要求信号」を送信し応答を求め、あるいは、認証処理の開始要求する「認証処理開 始要求信号」を送信し応答を求める。これら分離防止部 302が送信する、「送信要求 信号」や「認証処理開始要求信号」は、分離防止部 302が、移動体情報記憶装置 3 が移動体に装備されて 、るかどうか、すなわち移動体から分離されて 、るかどうかを 確認する「分離確認信号」の機能を果たす。また、移動体の移動体側固有情報処理 部 301は、「分離確認信号」に対して応答する「応答部」の機能を果たす。このよう〖こ 、分離防止部 302は、移動体側固有情報処理部 301 (応答部）に向けて、「分離確認 信号」を送信することにより移動体側固有情報処理部 301からの応答を求め、応答が ない場合に、移動体と分離したと判断する。

[0091] 次に、図 12を参照して、分離防止部 302の別の例を説明する。図 12は、移動体 1 において、分離防止部 302の別の例を示すブロック図である。信号線 402は、分離 防止部 302から移動体 1を経て再び分離防止部 302に入力される。移動体 1と分離 防止部 302は、例えば図に示す様に、コネクタで接続される。このような構成におい て、次に動作を説明する。

[0092] 分離防止部 302は、バッテリ 401を電源として信号線 402に電流を流す。移動体情 報記憶装置 3が移動体 1に装着されて!ヽる場合は、信号線 402には電流が流れて ヽ る。しかし、移動体情報記憶装置 3が移動体 1から分離した場合、信号線 402は寸断 される。よって、電流は流れなくなる。つまり、分離防止部 302は、信号線 402に流れ る電流を観測することによって、移動体情報記憶装置 3が移動体 1から分離したことを 検出することができる。

[0093] 以上のように、移動体情報記憶装置 3にバッテリ 401を備えることにより、移動体情 報記憶装置 3が移動体 1から分離した事実を正確に検出することが出来る。このため 、信頼性の高い移動体情報記憶装置 3をサービス提供者に提供することができる。ま た、移動体情報記憶装置 3が保管している装置側固有情報や、移動体から取得した 移動体側固有情報や、移動体情報記憶装置 3が移動体 1から分離したという情報を サービス提供者に提供する構成にすることにより、サービス提供者が、それらの情報 を基に利用者へ警告することが可能になる。

[0094] 実施の形態 5.

次に、図 13を参照して実施の形態 5を説明する。実施の形態 5は、分離防止部 30 2が移動体との分離を検出した場合に、移動体情報記憶装置 3の記憶して 、る情報 を消去する分離防止部 302を備えた場合の実施形態について説明する。

[0095] 図 13に示す様に、分離防止部 302は、情報消去部 501を備える。情報消去部 501 は、分離防止部 302が移動体 1との分離を検出した場合に、記憶部 21の情報を消去 する。例えば、情報消去部 501は、分離防止部 302が自己 (移動体情報記憶装置 3) が装備される装備移動体は指定移動体ではな 、と判断した場合に、移動体情報記 憶部 32が記憶した移動体情報を消去する。

[0096] このような構成において、分離防止部 302は、一定もしくはランダムな時間毎に実 施の形態 2や実施の形態 3で示した図 9の移動体 1の移動体側固有情報の取得や、 図 10の乱数による認証などにより、分離したことを検出する。そして、移動体情報記 憶装置 3内の情報、例えば、前記のように移動体情報記憶部 32に記憶されている「 移動体情報」などを消去する。どの情報を消去するかは、設定することができる。

[0097] 以上のように、情報消去部 501は、移動体情報記憶装置 3が移動体と分離した場 合に、記憶部 21の情報を消去する。このため、サービス提供者は確実に分離したこ とを知ることができ、また、サービス提供者がその情報を基に利用者への警告が可能 になる。従って、信頼性の高い移動体情報記憶装置 3をサービス提供者に提供する ことができる。

[0098] 実施の形態 6.

次に図 14、図 15を参照して、実施の形態 6を説明する。実施の形態 6は、移動体 情報記憶装置 3と移動体情報検証装置 600とからなる移動体情報保証システムの実 施形態である。本実施の形態 6は、実施の形態 1に対応し、実施の形態 1に対して移 動体情報検証装置 600を備えることにより、システムとした実施形態である。

[0099] 移動体情報検証装置 600は、検証部 601を備える。図 14は、実施の形態 6の移動 体情報保証システムの構成図である。図 14の移動体情報記憶装置 3は、図 2の移動 体情報記憶装置 3と同様である。図 14において、移動体情報検証装置 600は、サー ビス提供者が保有する。検証部 601は、入力された情報に対する改ざんの有無を検 証する。なお、他の実施の形態と同様に、移動体情報記憶装置 3には分離防止部 3 02を設けても良い。

[0100] 次に、図 15を参照して実施の形態 6の移動体情報保証システムの動作について説 明する。

[0101] 移動体情報記憶装置 3の動作は、実施の形態 1の場合と同様である。すなわち、移 動体情報記憶装置 3は、「移動体情報」を保管し、「完全性情報」を生成する。そして

、移動体情報検証装置 600の検証部 601は、「完全性情報」を用いて、「移動体情報

」が改ざんされて 、な 、ことを確認する。

[0102] なお、移動体情報記憶装置 3と移動体情報検証装置 600との間の情報のやり取り は、実施の形態 8で後述する「通信」、あるいは実施の形態 10で後述する「ICカード」 を用いることを想定している。

[0103] 図 15に、改ざん防止部 20と検証部 601とによる処理のフローを示す。図 15は、デ ジタル署名を用いた場合を示している。このデジタル署名は、「完全性情報」を生成 する場合の一例である。

(1)改ざん防止部 20は、「移動体情報」と「装置側固有情報」とをハッシュ関数に入力 してハッシュ値を求める（S40)。そして、そのハッシュ値を署名鍵で暗号ィ匕して「完全 性情報」を生成する（S41)。署名鍵は、予め移動体情報記憶装置 3の記憶部 21に 格納される。

(2)検証部 601では、「移動体情報」と「装置側固有情報」とから、改ざん防止部 20と 同様にハッシュ値を求める（S42)。

(3)一方で「完全性情報」を検証鍵で復号し (S43)、前記ハッシュ値と復号結果のハ ッシュ値を比較する（S44)。

(4)検証部 601は、比較した結果、前記ハッシュ値が同一と認めれば、「移動体情報 」は正当な情報、すなわち改ざんされていないと判断する。前記ハッシュ値が異なつ ていた場合、検証部 601は、「移動体情報」、あるいは「装置側移動体情報」の少なく ともいずれかは、改ざんされていると判断する。

[0104] 図 15は、改ざん防止部 20が、「移動体情報」と「装置側固有情報」とに基づいて「完 全性情報」を生成している。図 15に示す改ざん防止部 20の処理とは、別の例を説明 する。改ざん防止部 20は「装置側固有情報」を用いているが、移動体 1が記憶する「 移動体側固有情報」と「移動体情報」とから、「完全性情報」を生成することもできる。 この場合、図 8に示すように、移動体 1は、移動体側固有情報記憶部 311を備えてい ることが前提である。

[0105] 図 15は、改ざん防止部 20が、「移動体情報」と「装置側固有情報」とに基づいて「完 全性情報」を生成している。図 15に示す改ざん防止部 20の処理とは、別の例を説明 する。まず、移動体情報記憶装置 3では、分離防止部 302が、図 9に示す「装置側固 有情報」と「移動体側固有情報」との比較検証処理を実施する。そして、分離防止部 302による検証の結果、「装置側固有情報」と「移動体側固有情報」とが同一の移動 体に関する情報と判明した場合に、改ざん防止部 20が、「装置側固有特定情報」と「 移動体側固有情報」とのうちのいずれかを選択対象として選択して取得する。そして

、改ざん防止部 20は、取得した選択対象と移動体情報記憶部 32が記憶した移動体 情報とに基づいて、完全性情報を生成する。この場合は、移動体が正当であることが 判明した後に完全性情報

を生成するので、移動情報に対する信頼をより高めることができる。

[0106] 以上のように、「移動体情報」と「装置側固有情報」（あるいは移動体側固有情報)と が改ざんされて 、な 、ことを検証できるので、信頼性の高 、移動体情報検証装置 60 0および移動体情報保証システムをサービス提供者に提供することができる。

[0107] なお、図 15ではデジタル署名を用いた例を示したが、「完全性情報」は、「移動体 情報」と「装置側固有情報」とが改ざんされて 、な 、ことを確認することができればよく 、デジタル署名に限らず、例えばメッセージ認証子や電子透力しゃ CRC (Cyclic R edundancy Check)を ffl ヽてもよ ヽ₀

[0108] 実施の形態 7.

次に図 16を参照して実施の形態 7を説明する。実施の形態 7は、実施の形態 6の 移動体情報検証装置 600が、さらに、処理部 701を備えた構成である。図 16は、実 施の形態 7の移動体情報保証システムの構成図である。図 16は、図 14に対して、移 動体情報検証装置 600が、さらに、処理部 701を備えた点が異なる。

[0109] 図 16において、処理部 701は、検証部 601による検証結果を基に「移動体情報」を 処理する。なお、他の実施の形態と同様に、移動体情報記憶装置 3には分離防止部 302を設けても良い。

[0110] 次に動作について説明する。 (1)移動体情報記憶装置 3の動作は、実施の形態 1、あるいは実施の形態 6と同様で ある。すなわち、移動体情報記憶装置 3は、「移動体情報」を保管し、「完全性情報」 を生成する。

(2)そして、例えば、実施の形態 6で示した方法により、サービス提供者は、移動体情 報検証装置の検証部 601にて、「完全性情報」を用いて、「移動体情報」と「装置側固 有情報」が改ざんされて 、な 、ことを確認する。

(3)そして、これらの情報が改ざんされていない場合、処理部 701にて「移動体情報」 や「装置側固有情報」を処理する。この「処理」とは、「移動体情報」や「装置側固有情 報」に基づいて、保険料を決定し、あるいは自動車税を決定し、あるいは警察におい て交通違反の検出を行うなどが考えられる。

[0111] 以上のように、移動体情報検証装置 600が処理部 701を備えるので、「移動体情報 」と「装置側固有情報」（あるいは「移動体側固有情報」 )が改ざんされて 、な 、ことを 検証した上で、その検証結果を反映してユーザに対するサービスを決定できる。この ため、サービス提供者は信頼性の高い移動体情報保証システムを用いて、木目細か V、サービスをユーザに提供することができる。

[0112] 実施の形態 8.

次に図 17、図 18を参照して実施の形態 8を説明する。実施の形態 8は、移動体情 報記憶装置 3と移動体情報検証装置 600とが通信を行なう実施形態である。図 17は 、実施の形態 8の移動体情報保証システムの構成図である。図 17は、実施の形態 7 の図 16において、移動体情報記憶装置 3が記憶側通信部 801 (出力部の一例）を備 え、移動体情報検証装置 600が、検証側通信部 802を備えた構成である。記憶側通 信部 801は、「移動体情報」と、「装置側固有情報」と、「完全性情報」とを送信（出力） する。記憶側通信部 801は、例えば、移動体情報検証装置 600に送信する。ここで、 記憶側通信部 801は、無線'有線 LAN、 RS232C、 BluetootM登録商標）、 DSR C (専用狭帯域通信)、携帯電話、 PHS (登録商標)などを利用して通信を行なう。検 証側通信部 802は、移動体情報記憶装置 3の記憶側通信部 801と通信する移動体 情報検証装置 600の通信部である。なお、他の実施の形態と同様に、移動体情報記 憶装置 3には、分離防止部 302を設けても良い。 [0113] 次に図 18を参照して実施の形態 8の移動体情報保証システムの動作を説明する。 図 18は、実施形態 6で示したデジタル署名を改ざん防止部 20と検証部 601に適用 した場合のフロー例である。

[0114] (1)移動体情報検証装置 600 (サービス提供者)は、移動体情報記憶装置 3に署名 鍵を格納し、検証鍵を保管する（S30)。

(2)移動体情報記憶装置 3の移動体情報記憶部 32は、「移動体情報」を記録 (S31) する。

(3)そして、移動体情報記憶装置 3の改ざん防止部 20は、必要なタイミングで、署名 鍵を用いて「完全性情報」を生成する（S32)。

(4)そして、制御部 22は、記憶側通信部 801を介して、移動体情報検証装置 600 ( サービス提供者)に「移動体情報」と、「装置側固有情報」と、「完全性情報」とを送信 する（S33)。

(5)サービス提供者の移動体情報検証装置 600は、検証側通信部 802で「移動体 情報」と、「装置側固有情報」と、「完全性情報」とを受信する (S34)。

(6)検証部 601が検証鍵を用いて検証 (S35)した後に、

(7)処理部 701が「移動体情報」、「装置側固有情報」の処理を行う (S36)。

(8)なお、図 18の例では、「完全性情報」を作成した後、「移動体情報」と、「装置側 体固有情報」と、「完全性情報」とを送信しているが、図 4のように、複数の「完全性情 報」を作成した後、まとめて送信するようにしてもよい。

[0115] 以上のように、「移動体情報」、「移動体固有情報」、「完全性情報」を記憶側通信部 801により移動体情報検証装置 600に送信し、改ざんされて 、な 、ことを検証した上 でユーザに対するサービスを決定できるので、サービス提供者が信頼性の高 、移動 体情報保証システムを用いて、木目細か 、サービスをユーザに提供することができる

[0116] 実施の形態 9.

次に図 19を参照して実施の形態 9を説明する。図 19は、実施の形態 9の移動体情 報保証システムを示す構成図である。実施の形態 9は、実施の形態 8の図 17に対し て、移動体情報記憶装置 3の記憶側通信部 801が通信先（出力先)を認証する通信 先認証部 901 (出力先認証部）を備えた構成である。なお、他の実施の形態と同様に

、移動体情報記憶装置 3には、分離防止部 302を設けても良い。

[0117] 通信先認証部 901は、「移動体情報」、「装置側固有情報」、「完全性情報」を出力 する場合に、送信先（出力先)を認証する。

[0118] 次に動作について説明する。移動体情報記憶装置 3の動作は実施の形態 1、ある

Vヽは実施の形態 8と同様である。

(1)すなわち、移動体情報記憶装置 3は、「移動体情報」を保管し、「完全性情報」を 生成する。

(2)そして、通信先認証部 901は、記憶側通信部 801が移動体情報検証装置 600 ( サービス提供者)に「移動体情報」、「装置側固有情報」、及び「完全性情報」を転送 する前に、通信先である移動体情報検証装置 600 (検証側通信部 802)を認証する 。認証する方法は、図 10に示したような乱数を使用する方法でもよい。

(3)そして、認証が成功した場合に、記憶側通信部 801は、「移動体情報」、「装置側 固有情報」、及び「完全性情報」を移動体情報検証装置 600に送信する。

(4)認証が失敗した場合、「移動体情報」等の送信は行わない。例えば、制御部 22 は

、通信先認証部 901による認証が失敗した情報を記憶部 21に記録する。

(5)その後、移動体情報検証装置 600は、検証側通信部 802が受信した「移動体情 報」、「装置側固有情報」、「完全性情報」を使用して、検証及び処理を行う。後の処 理は実施の形態 8と同様である。

[0119] 以上のように、移動体情報記憶装置 3は、記憶側通信部 801により通信先（出力先 )を認証し、正しい通信先であることを確認した後、「移動体情報」、「装置側固有情 報」、「完全性情報」を送信（出力）する。このため、通信データを解析するなどの不正 行為を防ぐことができ、サービス提供者に信頼性の高い移動体情報記憶装置 3、ある いは移動体情報保証システムを提供することができる。

[0120] 実施の形態 10.

次に図 20、図 21を参照して実施の形態 10を説明する。実施の形態 10は、実施の 形態 8を元にし、実施の形態 8を示す図 17に対して、さらに ICカード 1001を備えた システムである。実施の形態 10では、記憶側通信部 801は ICカード 1001と通信す る。なお、 ICカード 101は、情報を記憶可能であるとともに携帯が可能である携帯型 記憶媒体の一例である。例えば、携帯可能なメモリカードでもよい。あるいは、情報の 記憶が可能な携帯電話でもよ 、。

[0121] 図 20は、実施の形態 10の移動体情報保証システムを示す構成図である。実施の 形態 10は、実施の形態 8の図 17に対し ICカードを追加した点が異なる。

[0122] 記憶側通信部 801は、 ICカード 1001と通信し、「移動体情報」、「装置側固有情報 」、及び「完全性情報」を ICカード 1001に送信（出力）する。

[0123] 検証側通信部 802は、 ICカード 1001と通信し、 ICカード 1001内の情報を読み出 す。

[0124] ICカード 1001は、交換型記憶媒体である。

[0125] 検証側通信部 802は、 ICカード 1001がユーザの自宅の PC (Personal

Computer)に接続された場合に、前記 PCからインタネットや携帯電話を介して「 移動体情報」等を受信する構成でもよ ヽ。

[0126] あるいは、検証側通信部 802は、サービス提供者の事務所に設置された専用端末 、また、ガソリンスタンド、コンビニエンスストア、カーディーラ、車両整備工場に設置さ れたサービス提供者の専用端末に ICカード 1001が接続された場合、前記専用端末 からインタネットや携帯電話を介して「移動体情報」等を受信する構成でもよ!ヽ。イン タネットを使用する場合、安全な通信路を構成するために SSL (Secure Socket Layer)やバーチャルプライベートネットワークなどを使用すればよ！ヽ。

[0127] なお、他の実施の形態と同様に、移動体情報記憶装置 3には、分離防止部 302や 通信先認証部 901を設けても良い。この場合、通信先認証部 901は、 ICカード 1001 を認証する。

[0128] 次に動作について図 21を用いて説明する。図 21は、実施の形態 6で示したデジタ ル署名を改ざん防止部 20と検証部 601に適用した場合のフロー例である。

(1)移動体情報検証装置 600 (サービス提供者)は、移動体情報記憶装置 3に署名 鍵を格納し、検証鍵を保管する。

(2)移動体情報記憶装置 3の移動体情報記憶部 32は、「移動体情報」を記録する。 (3)改ざん防止部 20は、必要なタイミングで署名鍵を用いて「完全性情報」を生成す る。

(4)そして、記憶側通信部 801は、 ICカード 1001に「移動体情報」、「装置側固有情 報」、及び「完全性情報」とを送信する (S33)。

(5)これらの情報が ICカード 1001に記録される（S40)。

(6) ICカード 1001内の情報は、検証側通信部 802によって読み出される（S34)。

(7)移動体情報検証装置 600の検証部 601が検証鍵を用いて検証した後に、処理 部 701が「移動体情報」や「装置側固有情報」の処理を行う。

[0129] 図 21の例では、「完全性情報」を作成した後、「移動体情報」、「装置側固有情報」 及び「完全性情報」を送信しているが、図 4のように、複数の「完全性情報」を作成し た後、まとめて送信するようにしてもよい。

[0130] 以上のように、 ICカード 1001を使用するので、システムを簡便に構築することがで きる。

[0131] 実施の形態 11.

次に図 22を参照して実施の形態 11を説明する。システム構成は、図 17の実施の 形態 8と同様である。なお、他の実施の形態と同様に、移動体情報記憶装置 3には、 分離防止部 302や通信先認証部 901を設けても良い。

[0132] 実施の形態 11は、記憶側通信部 801が、予め設定された時間間隔で、「移動体情 報」、「装置側固有情報」、及び「完全性情報」を送信（出力)する実施形態である。 「予め設定された時間間隔」として、

まずは「移動体情報 a」、「完全性情報 a」、「装置側固有情報 a」を送信し、 次に、「移動体情報 b」、「完全性情報 b」、「装置側固有情報 a」を送信し、 次に、「移動体情報 c」、「完全性情報 c」、「装置側固有情報 a」を送信というように、 記憶側通信部 801が、できる限り休み無く常時、送信するように「時間間隔」を設定し ておく。ここで「装置側固有情報 a」のみ変わらないが、「装置側固有情報 a」は移動体 を特定するための情報であり通常、変化はない。

[0133] 図 22は、実施の形態 6で示したデジタル署名を改ざん防止部 20と検証部 601に適 用し、常時、「移動体情報」等を送信する場合のフロー例である。 (1)移動体情報検証装置 600 (サービス提供者)は、移動体情報記憶装置 3に署名 鍵を格納し、検証鍵を保管する（S30)。

(2)移動体情報記憶装置 3の移動体情報記憶部 32は、「移動体情報」を記録する (S 31)。

(3)移動体情報記憶装置 3の改ざん防止部 20は、署名鍵を用いて「完全性情報」を 生成する（S32)。

(4)そして、記憶側通信部 801は移動体情報検証装置 600 (サービス提供者）に「移 動体情報」、「装置側固有情報」と「完全性情報」を送信する (S33)。

(5)移動体情報記憶装置 3は、この処理を繰り返す。移動体情報検証装置 600は、 検証側通信部 802で「移動体情報」、「装置側固有情報」、「完全性情報」を受信 (S3 4)する。

(6)検証部 601は、検証鍵を用いて検証 (S35)し、

(7)その後に、処理部 701が「移動体情報」や「装置側固有情報」の処理を行う（S36

) o

なお、通信先認証部 901を備えた図 19と同一の構成を用いても実現できることはい うまでもない。この場合、通信開始時や通信路が途切れて、再接続した場合に通信 先を認証

するようにすればよい。

[0134] 以上のように、記憶側通信部 801が、「移動体情報」、「装置側固有情報」、「完全性 情報」を、移動体情報検証装置 600 (サービス提供者)に、常時、送信する時間間隔 で送信して 、るので、記憶部 21の記憶容量を少なくすることができる。

[0135] 実施の形態 12.

次に図 23を参照して実施の形態 12を説明する。以上の実施の形態では、移動体 情報記憶装置 3から出力される情報の完全性を証明していたが、移動体 1に設置さ れたセンサ 2a等が改ざんされた場合には対抗できていない。そこで、実施の形態 12 では、センサ 2a等が正当なものであることを確認する実施形態を示す。

[0136] 図 23は、センサを認証する場合の移動体情報保証システムにおける移動体情報 記憶装置 3の構成図である。図 23は、実施の形態 1を示す図 2に対して、センサ確認 部 1201を追加した構成である。なお、他の実施の形態と同様に、移動体情報記憶 装置 3には、分離防止部 302、記憶側通信部 801、通信先認証部 901等を設けても 良い。

[0137] センサ確認部 1201は、移動体情報記憶装置 3に設けられ、移動体情報記憶装置 3に接続されているセンサ 2a等を確認する機能を有する。図 23は、センサ確認部 12 01は、制御部 22を介してセンサ 2a等を確認する構成になっている力 センサ 2a等と 直接接続して確認する構成でもよ ヽ。

[0138] 次に動作について説明する。

(1)センサ確認部 1201は、必要なタイミングで、移動体情報記憶装置 3に接続され ているセンサ 2a,センサ 2b,センサ 2c等の確認を行う。確認する方法は、図 9、ある いは図 10に示したような移動体を確認する方法と同様の方法を採ることができる。す なわち、図 9に示した方法と同様に、センサ 2a等の有する「センサ固有情報」を用い た方法でもよし、あるいは、図 10に示したような乱数を使用した方法でもよい。

(2)センサ確認部 1201による確認の結果、センサ 2a等が正当であれば、制御部 22 は、「移動体情報」を移動体情報記憶部 32に記録する。以上の処理を移動体情報記 憶装置 3は、接続されて!、るすべてのセンサに対して行う。

[0139] センサの確認を行うタイミングは、エンジン始動時、一定もしくはランダムな時間毎、 「移動体情報」の取出し時などでよい。応答が無力つた場合や確認の結果が不正な センサである場合の処理は、サービス提供者に依存するが、「移動体情報」の記録を 中止しても良!、。あるいは応答が無力つたことを記憶部 21に記録し「装置側固有情 報」とともに移動体情報検証装置 600に送信してもよい。あるいは、不正なセンサで あることを記憶部 21に記録し、「装置側固有情報」とともに移動体情報検証装置 600 に送信してもよい。

[0140] 以上のように、移動体情報記憶装置 3は、センサ確認部 1201が接続されているセ ンサが正当であるかどうかを確認するので、センサに対する不正を防ぎ、さらに情報 の信頼性を高めることができる。

[0141] 実施の形態 13.

次に図 24、図 25を参照して実施の形態 13を説明する。以上の実施の形態では、 移動体情報記憶装置 3において、すべての「移動体情報」を移動体情報記憶部 32 に記録する例を示していた。すなわち、移動体情報が速度情報とすれば、いかなる 速度でも記録していた。実施の形態 13では、記憶するべき移動体情報について条 件を設定しておき、設定済みの条件に合致する移動体情報のみを記録する実施形 態である。

[0142] 図 24は、実施の形態 13の移動体情報記憶装置 3の構成図である。図 24は、実施 の形態 1の図 2に対して範囲判定部 1301 (条件判定部）を備えた構成である。なお、 他の実施の形態と同様に、移動体情報記憶装置移動体情報記憶装置 3には、分離 防止部 302、記憶側通信部 801、通信先認証部 901、センサ確認部 1201等を設け ても良い。

[0143] 図において、範囲判定部 1301は、「移動体情報」が、「予め設定された条件」に合 致するかどうかを判定し、合致すると判定した場合に移動情報を移動体情報記憶部 32に記憶させる。その例えば、範囲判定部 1301は、「移動体情報」が設定された範 囲を超えた場合に記録する。範囲判定部 1301は、「予め設定された範囲」（条件の 一例）にある力否かを判定する。なお、本実施の形態 13では、範囲判定部 1301は 制御部 22に接続されている力 センサと制御部 22の間に設置し、範囲外の場合 (範 囲を超える場合）に制御部 22に「移動体情報」を出力し、範囲内の場合は出力しな い構成にしてもよい。

[0144] 次に、図 25を参照して動作を説明する。図 25は、センサとして速度センサを例に、 この速度センサが検出した速度情報を例とした「移動体情報」と時間経過との関係を 示す。移動体情報記憶装置 3に入力もしくは生成された「移動体情報」は、範囲判定 部 1301により設定された範囲外であるか判定される。範囲外の場合、移動体情報記 憶部 32に、該当する「移動体情報」（例えば前記速度情報)を記録する。図 25中、点 線までが設定された範囲とすると、実施の形態 13では、点線を超える斜線の部分に 相当する速度情報を記録する。

[0145] また、他の例では、急発進の回数が設定された規定回数以上になった場合に、そ の旨を「移動体情報」として記録することもできる。

[0146] 以上のように、実施の形態 13の移動体情報記憶装置 3では、範囲判定部が、あら 力じめ設定された範囲外の「移動体情報」を記録し、範囲内の「移動体情報」は記録 しな!/、ので、移動体情報記憶部の記憶容量を少なくすることができる。

[0147] 実施の形態 14.

次に、図 26〜図 28を参照して実施の形態 14を説明する。以上の実施の形態では

、ユーザは、一つのサービスしか受けることができな力つた。本実施の形態 14は、複 数のサービス受けることが可能な実施形態を示す。

[0148] 図 26は、実施の形態 14の移動体情報保証システムにおける移動体情報記憶装置

3の構成図である。図 26は、図 2の移動体情報記憶装置 3に対して、選択部 1401を 備えた構成である。なお、他の実施の形態と同様に、移動体情報記憶装置 3には、 分離防止部 302、記憶側通信部 801、通信先認証部 901、センサ確認部 1201、範 囲判定部 1301等を設けても良 、。

[0149] 図 26において、移動体情報記憶装置 3内の選択部 1401は、サービス提供者に対 応する複数のサービス情報を管理し、それぞれに対応する「移動体情報」を作成する

[0150] 図 26において、選択部 1401は、それぞれのセンサに基づくそれぞれの移動体情 報を入力し、サービス情報として予め設定された条件に基づいて、それぞれの移動 体情報のうちから少なくとも一つの移動体情報を選択する。移動体情報群記憶部 34 は、選択部 1401が選択した一つあるいは複数の移動体情報力も構成されるグルー プを移動体情報群として記憶する。改ざん防止部 20は、移動体を特定可能な特定 情報を取得し、取得した

特定情報と移動体情報群記憶部が記憶した移動体情報群とに基づ!、て、前記特定 情報と前記移動体情報群に含まれる前記移動体情報との少なくともいずれかに対す る改ざんの有無を検証するために使用する「完全性情報」を生成する。完全性情報 記憶部 33は、改ざん防止部 20が生成した完全性情報情報を記憶する。

[0151] 次に図 27を参照して移動体情報記憶装置 3の具体的な動作を説明する。図 27は 、移動体情報記憶装置 3と各移動体情報検証装置 600A、 600Bとのやり取り示すシ 一ケンス図である。ここで各移動体情報検証装置 600A、 600Bは、例えば実施の形 態 6に示した移動体情報検証装置 600と同様である。図 27は、実施の形態 6で示し たデジタル署名を改ざん防止部 20と検証部 601に適用した場合のフロー例である。 図 27の例では、複数のサービス提供者として、サービス提供者 Aとサービス提供者 B を示している。

(1)サービス提供者 A (移動体情報検証装置 600A)は、移動体情報記憶装置 3に署 名鍵 Aと使用する「移動体情報」を示したサービス情報 Aとを格納し、検証鍵 Aを保管 する（S50)。

(2)同様の処理をサービス提供者 B (移動体情報検証装置 600B)も行う（S51)。

(3)移動体情報記憶装置 3の選択部 1401は、格納された各サービス情報を基に、 例えば図 28に示すサービス管理テーブル 1402を作成する。図 28の例では、「1」は 使用すること、「0」は使用しないことを示している。すなわち、サービス Aでは「移動体 情報 X」と「移動体情報 Y」を使用し、サービス Βでは「移動体情報 X」と「移動体情報 Ζ 」を使用する。また、選択部 1401は、格納された署名鍵と対応するサービスの関係も 管理する。

(4)そして、選択部 1401は、各移動体情報とサービス管理テーブル 1402とを用い て、各サービスに必要な「移動体情報」を選択して、「移動体情報群 Α」（選択情報群 )と「移動体情報群 Β」（選択情報群)を作成する (S52)。

(5)選択された「各移動体情報群」は、記憶部 21の移動体情報群記憶部 34 (選択情 報群記憶部）に記録される。

(6)改ざん防止部 20は、必要なタイミングで、それぞれに対応した署名鍵を用いて、 「移動体情報群」と「装置側固有情報」とに基づき、「完全性情報」を生成する (S53) 。この時、選択部 1401は、格納された署名鍵と対応するサービスの関係も管理して いるので、改ざん防止部 20は、対応する署名鍵を用いて「完全性情報」を生成するこ とがでさる。

(7)そして、移動体情報記憶装置 3は、サービス提供者 (移動体情報検証装置）に応 じて、「移動体情報群」、「装置側固有情報」、「完全性情報」を出力する。

(8)図 27では、「移動体情報群 Α」、「装置側固有情報」、「完全性情報 Α」を出力す る（S54)。

(9)サービス提供者 Aの移動体情報検証装置 600Aは、「移動体情報群」、「装置側 固有情報」と「完全性情報」を取得し、検証'処理する。例えば、サービス提供者 Aの 移動体情報検証装置 600Aは「移動体情報群 A」、「装置側固有情報」と「完全性情 報 A」を取得（S55)し、検証 (S56)，処理（S57)を行う。

[0153] なお、この例では、「完全性情報」を作成した後、「移動体情報」、「装置固有情報」 と「完全性情報」を出力して!/、るが、「完全性情報」を記憶部 21の完全性情報記憶部 33に記録される前に作成した後、まとめて出力する形態でもよいし、実施の形態 11 を示す図 22のように、常時、「移動体情報群」と「完全性情報」とを出力する形態でも よい。

[0154] 以上のように、移動体情報記憶装置 3では複数のサービスに対応した「移動体情報 」を

管理 ·記録することができるので、 1台の移動体情報記憶装置 3で複数のサービスを 受けることができ、また、サービスを追加することが出来る。

[0155] 実施の形態 15.

実施の形態 14の移動体情報記憶装置 3では、サービスに対応して複数の「移動体 情報」を記録していた。実施の形態 15は、記録された「移動体情報」から選択して、 複数のサービスに対応した「移動体情報群」を作成する実施形態を示す。

このような場合の移動体情報保証システムにおける移動体情報記憶装置 3とセンサ 群 2は、実施の形態 14の図 26と同じ構成で実現できる。なお、他の実施の形態と同 様に、移動体情報記憶装置 3には、分離防止部 302、記憶側通信部 801、通信先認 証部 901、センサ確認部 1201、範囲判定部 1301、選択部 1401を設けても良い。

[0156] 次に動作について説明する。

(1)移動体情報記憶装置 3は、すべての「移動体情報」を記憶部 21の移動体情報記 憶部 32に記録する。

(2)そして、「移動体情報」を移動体情報記憶装置 3の外部に出力する際に、選択部 1401が、サービス情報を参照し、移動体情報記憶部 32から必要な種類の「移動体 情報」を選択する。

(3)改ざん防止部 20は、選択部 1401により選択された移動体情報力も構成される「 移動体情報群」（選択情報群)と、「装置側固有情報」（特定情報)とから「完全性情報 」を作成する。

(4)この時、選択部 1401は、格納された署名鍵と対応するサービスの関係も管理し ているので、改ざん防止部 20は、「完全性情報」の生成に際し、対応する署名鍵を用 いることがでさる。

(5)その後、サービス提供者の移動体情報検証装置 600は、選択された「移動体情 報群」、「装置側固有情報」とその「完全性情報」を取得し、検証 ·処理を行う。

[0157] このように、実施の形態 15の移動体情報記憶装置 3は、選択部 1401が、記録され た「移動体情報」力 必要な情報を選択して送信するので、複数のサービスに対応可 能することができるとともに、少ない記憶容量で複数サービスに対応することができる 。また、サービスを追加することが出来る。

[0158] 実施の形態 16.

次に図 29を参照して実施の形態 16を説明する。以上の実施の形態では、ユーザ の了解を得た上で移動体情報記憶装置 3から「移動体情報」を出力することはできな かった。例えば、実施の形態 8において、通信方式に携帯電話を用いた場合は、通 信コストがかかる。よって、情報の送信時にユーザの同意を得ることは重要である。そ こで、実施の形態 16では、「移動体情報」を出力する際に、ユーザに同意を求める実 施形態を示す。

[0159] 図 29は、実施の形態 16の移動体情報保証システムにおける移動体情報記憶装置 3の構成図である。図 29は、実施の形態 1の図 20の移動体情報記憶装置 3に対して マンマシンインタフェース部 1601 (命令部の一例）を備えた構成である。なお、他の 実施の形態と同様に、移動体情報記憶装置 3には、分離防止部 302、記憶側通信 部 801、通信先認証部 901、センサ確認部 1201等を設けても良い。

[0160] マンマシンインタフェース部 1601は、ユーザに移動体情報記憶装置 3の操作を提 供し、処理結果等を応答する。マンマシンインタフェース部 1601は、操作者による操 作を受け付け、受け付けた操作に基いて、記憶側通信部 801に対して送信（出力）を 命じる。記憶側通信部 801は、マンマシンインタフェース部 1601からの命令に応答 して、「移動体情報」、「装置側固有情報」、「完全性情報」とを出力する。

[0161] 具体的には、このような構成において、「移動体情報」を出力する必要がある場合に 、マンマシンインタフェース部 1601は、ユーザから、所定の操作による出力命令を受 け付ける。マンマシンインタフェース部 1601は、ユーザからの出力命令を受け付ける と、記憶側通信部 801に出力を命じる。記憶側通信部 801は、マンマシンインタフエ ース部 1601から出力を命じられた場合、記録されている「移動体情報」、「装置固有 情報」、「完全性情報」を出力する。

[0162] また、マンマシンインタフェース部 1601が、ユーザから出力命令を入力された後に 「移動体情報」と「装置側固有情報」とから「完全性情報」を生成し、これらを出力する 構成でもよい。なお、「移動体情報」を出力するタイミングは、サービス提供者のユー ザへの要求、記憶部 21の残記憶容量から、移動体情報記憶装置 3が判断してマン マシンインタフェース部 1601を介してユーザに推奨してもよい。

[0163] このように、出力時にユーザの同意を得ることができるので、ユーザは自身が納得し た通信コストによってサービス提供者は「移動体情報」を取得することができる。

[0164] 実施の形態 17.

次に図 30、図 31を参照して実施の形態 17を説明する。以上の実施の形態では、 正当なユーザやサービス提供者以外の第三者によって移動体情報記憶装置 ₃から「 移動体情報」が出力されてしまう恐れがあった。例えば、実施の形態 10では、第三者 が保有する自身の ICカードを利用して「移動体情報」を移動体情報記憶装置 3から 取り出し、正当なユーザがサービスを受けられなくなる恐れがある。また、実施の形態 16にお 、て、第三者が勝手に「移動体情報」や「完全性情報」を転送してしまう恐れ がある。そこで、実施の形態 17では、「移動体情報」を出力する際に、正当なユーザ やサービス提供者であることを認証する場合の実施形態を示す。

[0165] 図 30は、このような場合の移動体情報保証システムにおける移動体情報記憶装置 3の構成図である。図 30は、実施の形態 16の図 29に対して、さらに操作者認証部 1 701を備えた構成である。操作者認証部 1701は、「移動体情報」を出力する前に、 マンマシンインタフェース部 1601から入力された情報を認証する。すなわち、操作者 認証部 1701は、マンマシンインタフェース部 1601が操作者カゝら受け付けた操作に 基づいて、前記操作者が正当であるかどうかを認証する。そして、マンマシンインタフ エース部 1601は、操作者認証部 1701が操作者を正当と認証した場合に、記憶側 通信部 801に対して出力を命じる。

[0166] 操作者は、正当なユーザもしくはサービス提供者である。なお、他の実施の形態と 同様に、分離防止部 302、記憶側通信部 801、通信先認証部 901、センサ確認部 1 201、範囲判定部 1301、選択部 1401を移動体情報記憶装置 3に設けても良い。

[0167] このような構成において、「移動体情報」を出力する際に、移動体情報記憶装置 3 は、マンマシンインタフェース部 1601により、操作者に認証するための情報の入力（ 操作）を要求する。例えば、マンマシンインタフェース部 1601がタツチパネルを備え る構成を図 31に示す。図 31は、認証のメカニズムに操作者のみが知っている暗証番 号を用いた場合のタツチパネル操作画面の例を示して 、る。タツチパネル 62には、 入力された暗証番号に対応してアスタリスクを表示する暗証番号応答画面 61が表示 される。操作者は、本タツチパネル 62で暗証番号を入力（操作の一例）する。操作者 認証部 1701は、入力された暗証番号が、あらかじめ移動体情報記憶装置 3に設定 された暗証番号と一致すると判断した場合、正当な操作者であると認識 (認証)する。 マンマシンインタフェース部 1601は、操作者認証部 1701が、操作者を正当と認証し た場合に、記憶側通信

部 801に対して出力を命じる。記憶側通信部 801は、この命令に応答して、「移動体 情報」、「装置側固有情報」、「完全性情報」とを出力する。操作者認証部 1701が、一 致しない、すなわち操作者が正当ではないと判断した場合は、マンマシンインタフエ ース部 1601は、出力を命じない。よって記憶側通信部 801は、「移動体情報」、「装 置側固有情報」、「完全性情報」を出力せずに、例えば、一致しない旨をタツチパネ ル 62に表示し、入力 (操作)した操作者に報告する。

[0168] このように、実施の形態 17の移動体情報記憶装置 3は、操作者認証部を備えるの で、操作者を認証することで、正当な操作者のみによって「移動体情報」、「装置側固 有情報」、「完全性情報」が移動体情報記憶装置 3から出力ため、信頼性が高くなる。

[0169] 実施の形態 18.

次に図 32を参照して実施の形態 18を説明する。以上の実施の形態では、「移動体 情報」の完全性を維持するシステムであるが、機密性が維持されていない、すなわち 第三者に盗聴される恐れがある。そこで、実施の形態 18は、「移動体情報」の機密性 を維持するシステムの実施形態を示す。

[0170] 図 32は、このような場合の移動体情報保証システムの構成図である。図 32は、実 施の形態 7を示す図 16に対して、移動体情報記憶装置 3が暗号部 1801を備え、移 動体情報検証装置 600が復号部 1802を備えた構成である。

[0171] 暗号部 1801は、「移動体情報」を暗号ィ匕する。復号部 1802は、取得した情報を復 号する。なお、他の実施の形態と同様に、移動体情報記憶装置 3には、分離防止部 302、記憶側通信部 801、通信先認証部 901、センサ確認部 1201、範囲判定部 13 01、選択部 1401、マンマシンインタフェース部 1601などを設けても良い。

[0172] このような構成において、移動体情報記憶装置 3は、「移動体情報」を出力する前 に、他の実施の形態と同様に「完全性情報」を作成する。そして、「移動体情報」を暗 号部 1801により暗号ィ匕する。実施の形態 18では、「移動体情報」を暗号対象として いるが、「完全性情報」や「装置側固有情報」を含めて暗号化してもよい。「完全性情 報」を暗号対象にする場合、図 15で示したハッシュ値をそのまま「完全性情報」として 使用することもできる。すなわち、「移動体情報」と合わせて暗号ィ匕しているので、署 名鍵でハッシュ値を暗号ィ匕しなくてもよい。暗号化に使用する暗号鍵は、サービス提 供者が予め移動体情報記憶装置 3に格納しておく。そして、出力された暗号化され た「移動体情報」は移動体情報検証装置 600の復号部 1802により復号され、他の実 施の形態と同じように処理される。

[0173] このように、暗号化された「移動体情報」を出力して!/、るので、例えば通信路で盗聴 された場合でも、 ICカード 1001を紛失した場合でも、「移動体情報」というユーザに 関わる個人情報の機密性を維持することができ、サービス提供者は安心してサービ スを提供することができる。

[0174] 実施の形態 19.

次に図 33を参照して実施の形態 19を説明する。以上の実施の形態では、「移動体 情報」は、実施の形態 6を示す図 14や実施の形態 7を示す図 16のように、直接サー ビス提供者 (移動体情報検証装置）に出力される。本実施の形態 19では、仲介業者 を介して出力するような場合の実施形態を示す。なお、他の実施形態と同様に、移動 体情報記憶装置 3には、分離防止部 302、記憶側通信部 801、通信先認証部 901、 センサ確認咅 I 201、範囲半 IJ定咅 I 301、選択咅 1401、マンマシンインタフェース咅 1601を設けても良い。

[0175] 図 33は、このような場合の移動体情報保証システム全体の構成を示すブロック図で ある。図 33は、実施の形態 7を示す図 16において、移動体情報検証装置 600の検 証部 601と処理部 701を分割して、移動体情報検証装置 600a,移動体情報検証装 置 600bとした構成である。検証部 601を仲介業者の所有する移動体情報検証装置 600aに設け、サービス提供者の所有する移動体情報検証装置 600bには処理部 70 1のみを設ける。

[0176] 以上の構成において、他の実施の形態と同様の手順にて、仲介業者は「移動体情 報」、「装置側固有情報」、「完全性情報」を取得する。そして、検証部 601にて「完全 性情報」が検証され、改ざんされて ヽな ヽことが確認された「移動体情報」を保管する 。サービス提供者は、仲介業者から「移動体情報」を受領して、処理部 701で処理す る。

[0177] 以上のように、仲介業者が「移動体情報」の完全性を証明し、サービス提供者はそ の証明された「移動体情報」を利用することができるので、サービス提供者は、サービ スの提供にリソースを投入することができる。また、ユーザは、サービス提供者が変わ つた場合、例えば保険事業者 Aから保険事業者 Bに変更した場合でも、署名鍵を変 更する必要がないので、移動体情報記憶装置 3を変更することなく使用し続けること ができる。さらに、異なる複数のサービス提供者のサービスを受ける場合、仲介業者 は移動体情報記憶装置 3からのすベての「移動体情報」を取得し、サービス提供者 は必要な情報のみを仲介業者から入手することができるので、移動体情報記憶装置 3に複数のサービスに対応した署名鍵や情報を格納する必要がなぐ記憶部 21の記 憶容量を少なくすることができる。

[0178] 実施の形態 20.

次に図 34を参照して実施の形態 20を説明する。実施の形態 20は、移動体情報記 憶装置 3が少なくとも一つのセンサを備える構成である。実施の形態 1〜実施の形態 19では、センサ群 2は、移動体 1側に装備されていた。図 34に示すように、実施の形 態 20では、センサ群 2は、移動体情報記憶装置 3の内部に備えられている。 [0179] 実施の形態 21.

次に図 35、図 36を用いて実施の形態 21を説明する。実施の形態 21は、実施の形 態 1の移動体情報記憶装置 3の動作を、プログラム及びプログラムを記録した記録媒 体により実施する実施形態である。

[0180] 前記の実施の形態 1においては、移動体情報記憶装置 3における「〜部」として示 した各構成要素の動作は互いに関連しており、動作の関連を考慮しながら、コンビュ ータに実施させる一連の処理 (プログラム）に置き換えることができる。各構成要素の 動作を一連の処理に置き換えることにより、情報記憶プログラムの実施形態とすること ができる。また、この情報記憶プログラムを、コンピュータ読み取り可能な記録媒体に 記録させることで、プログラムを記録したコンピュータ読み取り可能な記録媒体の実施 の形態とすることができる。

[0181] 図 35は、図 2に示した移動体情報記憶装置 3の

(1)移動体情報記憶部 32の動作、

(2)改ざん防止部 20の動作、

(3)完全性情報記憶部 33の動作、

コンピュータに実施させるための一連の処理に置き換えて移動体情報記憶プロダラ ムの実施形態としたフローチャートを示す。

[0182] S201は、センサが検出した情報に基づく「移動体情報」（センサ情報)を記憶する 処理である。

[0183] S202は、移動体を特定可能な固有情報 (特定情報)を取得し、取得した固有情報 と記憶した「移動体情報」とに基づ!、て「完全性情報」（改ざん検証用情報)を生成す る処理である。

[0184] プログラムの実施の形態及びプログラムを記録したコンピュータ読み取り可能な記 録媒体の実施の形態は、すべてコンピュータで動作可能なプログラムにより構成する ことができる。

[0185] 図 36は、移動体情報記憶装置 3の動作を実行するコンピュータシステム 805のハ 一ドウエア構成図である。図 36において、コンピュータシステム 805は、プログラムを 実行する CPU (Central Processing Unit) 810を備えている。 CPU810は、バス 825を介して ROM811、センサ 812、通信ボード 813及び磁気ディスク装置 820と 接続されている。

[0186] 磁気ディスク装置 820には、オペレーティングシステム（OS) 821、プログラム群 82 3、フアイノレ群 824力記'隐されている。プログラム群 823は、 CPU810, OS821により 実行される。

[0187] 上記プログラム群 823には、実施の形態 1の説明において「〜部」として説明した機 能を実行するプログラムが記憶されている。プログラムは、 CPU810により読み出さ れ実行される。

[0188] また、ファイル群 824には実施の形態 1で説明した「装置側固有情報」、「移動体情 報」「完全性情報」などが記憶されている。

[0189] 図 2において「〜部」として説明したものは、 ROM811に記憶されたファームウェア で実現されていても構わない。或いは、ソフトウェアのみ、或いは、ハードウェアのみ、 或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組 み合わせで実施されても構わな!/、。

[0190] プログラムの実施の形態及びプログラムを記録したコンピュータ読み取り可能な記 録媒体の実施の形態における各処理は、プログラムで実行される力 このプログラム は、前述のようにプログラム群 823に記録されている。そして、プログラム群 823から C PU810に読み込まれ、 CPU810によって、プログラムの各処理が実行される。また、 ソフトウェア、あるいはプログラムは、 ROM811に記憶されたファームウェアで実行さ れても構わない。あるいは、ソフトウェアとファームウェアとハードウェアの組み合わせ でプログラムを実行しても構わな 、。

[0191] この実施の形態 21のプログラムは、「移動体情報」と固有情報との完全性を証明す る「完全性情報」を生成する処理をコンピュータである移動体情報記憶装置に実行さ せるので、移動体 1と「移動体情報」との対応が明確になり、信頼性の高い「移動体情 報」を記憶する移動体情報記憶装置をサービス提供者に提供することができる。

[0192] 以上の実施の形態では、移動状況や移動状態に関わる情報を検出する複数のセ ンサを有した、人が乗車可能な移動体において、前記センサの情報を記憶する記憶 手段と、記憶している情報と移動体の固有情報の改ざんを防止する改ざん防止手段 と、これらの動作を制御する制御手段とを備えた移動体情報記憶装置を説明した。

[0193] 以上の実施の形態では、前記制御手段は、前記センサの情報を演算することを特 徴とする移動体情報記憶装置を説明した。

[0194] 以上の実施の形態では、前記移動体情報記憶装置が移動体から分離することを防 ぐ分離防止手段を備えたことを特徴とする移動体情報記憶装置を説明した。

[0195] 以上の実施の形態では、前記分離防止手段は、ノ ッテリを備えたことを特徴とする 移動体情報記憶装置を説明した。

[0196] 以上の実施の形態では、前記分離防止手段は、分離した場合に移動体情報記憶 装置内の情報を消去することを特徴とする移動体情報記憶装置を説明した。

[0197] 以上の実施の形態では、前記移動体情報記憶装置で生成された情報に対する改 ざんの有無を検証する検証部を備えたことを特徴とする移動体情報検証装置を説明 した。

[0198] 以上の実施の形態では、移動状況や移動状態に関わる情報を検出する複数のセ ンサを有した、人が乗車可能な移動体において、前記センサの情報を記憶する記憶 手段と、記録された情報の改ざんを防止する改ざん防止手段と、これらの動作を制御 する制御手段とを備えた移動体情報記憶装置と、及び Zまたは前記センサの情報を 演算する演算手段と、及び Zまたは前記移動体情報記憶装置が移動体から分離す ることを防ぐ分離防止手段と、入力された情報に対する改ざんの有無を検証する検 証部とを備えたことを特徴とする移動体情報保証システムを説明した。

[0199] 以上の実施の形態では、移動状況や移動状態に関わる情報を検出する複数のセ ンサを有した、人が乗車可能な移動体において、前記センサの情報を記録する記録 手段と、記録された情報の改ざんを防止する改ざん防止手段と、これらの動作を制御 する制御手段とを備えた移動体情報記憶装置と、及び Zまたは前記センサの情報を 演算する演算手段と、及び Zまたは前記移動体情報記憶装置が移動体から分離す ることを防ぐ分離防止手段と、入力された情報に対する改ざんの有無を検証する検 証部と、前記検証部の出力を参照して処理を行う処理手段とを備えたことを特徴とす る移動体情報保証システムを説明した。

[0200] 以上の実施の形態では、前記移動体情報記憶装置は、移動体外部の機器と通信 する通信手段を備えたことを特徴とする移動体情報記憶装置及び移動体情報保証 システムを説明した。

[0201] 以上の実施の形態では、前記通信手段は、通信先を認証し、正 、通信先の場合 にのみ通信することを特徴とする移動体情報記憶装置及び移動体情報保証システ ムを説明した。

[0202] 以上の実施の形態では、前記通信手段は、 ICカードと通信し、装置に記憶してい る情報を ICカードに送信することを特徴とする移動体情報記憶装置及び移動体情報 保証システムを説明した。

[0203] 以上の実施の形態では、装置内の情報を移動体外部の機器に無線通信にて常時 送信することを特徴とする移動体情報記憶装置及び移動体情報保証システムを説明 した。

[0204] 以上の実施の形態では、前記移動体情報記憶装置は、前記センサの真正性を確 認する手段を備えたことを特徴とする移動体情報記憶装置及び移動体情報保証シ ステムを説明した。

[0205] 以上の実施の形態では、前記移動体情報記憶装置は、設定された範囲外の情報 を記録す

ることを特徴とする移動体情報記憶装置及び移動体情報保証システムを説明した。

[0206] 以上の実施の形態では、前記移動体情報記憶装置は、複数のサービス提供者の サービス情報を記録し、前記サービス情報に基づき、複数のサービスに対応した複 数の情報を記録することを特徴とする移動体情報記憶装置及び移動体情報保証シ ステムを説明した。

[0207] 以上の実施の形態では、前記移動体情報記憶装置は、複数のサービス提供者の サービス情報を記録し、前記サービス情報に基づき、記録されたすベての移動体情 報力 選択して必要な情報を取り出すことを特徴とする移動体情報記憶装置及び移 動体情報保証システムを説明した。

[0208] 以上の実施の形態では、前記移動体情報記憶装置は、ユーザの指示を受けるマ ンマシンインタフェース手段を備え、ユーザの指示によって移動体情報を出力するこ とを特徴とする移動体情報記憶装置及び移動体情報保証システムを説明した。 [0209] 以上の実施の形態では、前記移動体情報記憶装置は、移動体情報を出力する際 にユーザを認証することを特徴とする移動体情報記憶装置及び移動体情報保証シ ステムを説明した。

[0210] 以上の実施の形態では、前記移動体情報記憶装置は、移動体情報を暗号化する 手段を備えたことを特徴とする移動体情報記憶装置及び移動体情報保証システムを 説明した。

[0211] 以上の実施の形態では、入力された情報に対する改ざんの有無を検証する検証部 と、前記検証部の出力を参照して処理を行う処理手段とを異なるサーバで構成したこ とを特徴とする移動体情報保証システムを説明した。

[0212] 実施の形態 22.

図 37〜図 39を用いて実施の形態 22を説明する。実施の形態 22は、「環境情報」 を収集し記憶する環境情報記憶装置に関する実施形態である。実施の形態 22は、 実施の形態 1に対応する。ここで「環境情報」とは、物の運搬環境や保管環境などに かかわる情報であって、例えば、温度、湿度、照度、空気圧、 日時、位置、ゆれ、重 量、傾斜、圧力、音、風力、不純物度、扉の開閉などの情報である。

[0213] 図 37は、この実施の形態 22の環境情報記憶装置 2003 (情報記憶装置の一例）の 構成を示すブロック図である。環境情報記憶装置 2003は、複数のセンサ 2002a〜2 002cからなるセンサ群 2002の各センサ力も情報を入力する。具体的には、環境情 報記憶装置 2003は、車両や鉄道、航空機、船舶など物を運搬可能な交通手段にお ける荷室や荷台、貨物室、コンテナ、あるいは倉庫などの運搬、保管のために物を置 く場所に配置されたセンサ群 2002の各センサ力も情報を入力する。

[0214] 図 37において、

(1)物 2001は、保管中や運搬中の何らかの物である。

(2)センサ群 2002を構成する各センサ 2002a等は、上記の「荷室や荷台、貨物室、 コンテナ、倉庫」などの場所に設置される。各センサ 2002a等は、物の運搬環境や保 管環境に関わる環境情報を検出する。

(3)環境情報記憶装置 2003は、接続されているセンサ 2002a等が検出した環境情 報を記憶する。 [0215] センサ 2002a等は、自身が検出した情報を演算し、演算結果を環境情報として環 境情報記憶装置 2003に出力しても構わない。あるいは後述の実施の形態 23のよう に、環境情報記憶装置 2003は、各センサ 2002a等から情報を入力して演算処理し 、処理結果を環境情報として記憶する構成でも構わない。あるいは、環境情報記憶 装置 2003は、センサが検出した演算前の情報を入力し、入力した情報を演算処理 することなく環境情報として記憶する構成でも構わない。センサによる演算結果、ある いは環境情報記憶装置 2003による演算結果、あるいはセンサから入力した情報とし ての環境情報には、例えば、設定された範囲外に達した異常な温度や湿度、その回 数、扉の開閉回数、運搬中や保管中の映像情報などがある。このように、本明細書に おいて、「環境情報」とは、センサが検出した情報であって演算していない情報、セン サ自身が検出であってセンサが演算処理した情報、及びセンサが検出した情報であ つて環境情報記憶装置 2003が演算処理した情報 (演算結果)との!/、ずれをも含むも のである。すなわち、「環境情報」（センサ情報の一例）とは、センサから入力した情報 に基づく情報である。ここで「基づく」とは、前記のように、センサが検出した情報であ つて演算処理していない情報と、センサが検出した情報であってセンサが演算処理 した情報と、センサが検出した情報であって環境情報記憶装置 2003が演算処理し た情報との 、ずれも含む意味である。

[0216] また、環境情報記憶装置 2003は、センサと同じ場所に設置されてもよいし、センサ とは別の場所に設置されても構わない。例えば倉庫の場合を例にとれば、センサと環 境情報記憶装置 2003とを倉庫内に設置してもよいし、環境情報記憶装置 2003を倉 庫外の事務所などに設置してもよい。

[0217] さらに、センサと環境情報記憶装置 2003との間の接続は、有線による接続でも良 いし、無線による接続でも構わない。

[0218] 図 37を参照して環境情報記憶装置 2003の構成を説明する。環境情報記憶装置 2 003は、環境情報や後述する特定情報、後述する完全性情報を記憶する記憶部 20 21と、記憶部 2021に記録されて 、る環境情報の完全性 (改ざんされて 、な 、こと）を 証明する完全性情報を生成する改ざん防止部 2020 (改ざん検証用情報生成部の 一例）と、これらの動作を制御する制御部 2022 (情報入力部の一例）とを備える。記 憶部 2021は、特定情報を記憶する装置側特定情報記憶部 2031と、環境情報を記 憶する環境情報記憶部 2032 (センサ情報記憶部の一例）と、完全性情報を記憶す る完全性情報記憶部 2033 (改ざん検証用情報記憶部の一例）とを備える。記憶部 2 021は、ハードディスクや EEPROM、 RAMなどの半導体メモリを用いて実現するこ とがでさる。

次に、図 38を用いて動作を説明する。

(1)環境情報記憶装置 2003の制御部 2022は、「必要なタイミング」から、センサが 検出（S2101)した環境情報の記録を開始する。この「必要なタイミング」は、一例とし て、交通手段であればエンジン始動時であり、倉庫や貨物室、コンテナであれば扉 が閉まった時である。あるいは、この「必要なタイミング」は、環境情報記憶装置 2003 に別途設けられたスィッチ（図示して 、な 、）がオンされた時や、照度センサで明るさ を検出し暗くなつた時のように、一つあるいは複数のセンサが検出した環境情報が、 予め設定された範囲内に入った時など、物の運搬や保管が開始されるタイミングでよ い。

(2)制御部 2022には、接続しているすべてのセンサが検出した環境情報が入力さ れる。そして、制御部 2022は、環境情報を記憶部 2021の環境情報記憶部 2032に 記憶する（S2102)。

(3)装置側特定情報記憶部 2031は、予め特定情報を記憶している。ここで「特定情 報」とは、センサが配置される環境、あるいは環境情報記憶装置 2003が予め装備さ れることが指定される場所を特定可能な情報であり、具体的には、「特定情報」とは、 荷室が一つのトラックなどの運搬自動車であれば、そのナンバープレート情報や車体 番号、製造番号などであり、荷室やコンテナを特定できる情報である。そして、改ざん 防止部 2020は、必要なタイミングに、制御部 2022の命令により、記憶部 2021の環 境情報記憶部 2032に記憶されて 、る環境情報と、記憶部 2021の装置側特定情報 記憶部 2031に記憶されて 、るその環境を特定できる特定情報とを基に、完全性情 報を生成する（S2103)。

(4)ここで「完全性情報」（改ざん検証用情報の一例）とは、環境情報などが改ざんさ れているかどうかを検証するために使用する情報である。本実施の形態 22では、改 ざん防止部 2020は、環境情報と特定情報とを基に完全性情報を生成する。この場 合、完全性情報は、特定情報と環境情報との少なくともいずれかに対する改ざんの 有無を検証するために使用される。また、実施の形態 27の図 49で後述するように、 改ざん防止部 2020は、環境情報を基に完全性情報を生成しても構わない。この場 合、完全性情報は、環境情報に対する改ざんの有無を検証するために使用される。 完全性情報を生成する方法としては、一例として、デジタル署名がある。改ざん防止 部 2020が生成する「完全性情報」の具体例は、実施の形態 26で後述する。

(5)生成された完全性情報は、記憶部 2021の完全性情報記憶部 2033に記憶され る。あるいは完全性情報記憶部 2033に記憶された完全性情報は、環境情報記憶装 置 2003の外へ環境情報と共に出力される。これらは、環境情報記憶装置 2003が適 用されているシステムに依存する。環境情報記録装置 20003の制御部 2022は、改 ざん防止部 2020の生成した完全情報を完全性情報記憶部 2033に記録する際、完 全性情報と、その生成の基になった環境情報との対応関係を管理する。この管理に より、完全性情報とその生成の基になった環境情報との対応関係が明確になる（S21 04)。

(6)図 39は、環境情報と完全性情報との対応関係の管理例を示す。図 39において 、「環境情報 a」は「完全性情報 a」に対応し、「環境情報 b」は「完全性情報 b」に対応 する。「環境情報 c」については、対応する完全性情報がまだ生成されていない状態 を表している。このような管理により、完全性情報とその生成の基になった環境情報と の対応関係が明確になる。

(7)完全性情報の生成タイミングは、本実施の形態 22の環境情報記憶装置 2003の 適用先に依存するが、例えば、扉の開閉などのイベント発生時に完全性情報が生成 されて!/、な!/、環境情報が記憶部 2021にあった時や、環境情報を環境情報記憶装 置 2003外に出力する時、環境情報が環境情報記憶装置 2003に入力された時、予 め設定されたイベントが発生した時などがある。

以上のように、環境情報記憶装置 2003の内部にて、改ざん防止部 2020が環境情 報の完全性を証明する完全性情報を生成するので、環境情報を記憶する信頼性の 高 、環境情報記憶装置を実現することができる。 [0221] 実施の形態 23.

次に、図 40を用いて実施の形態 23を説明する。実施の形態 23は、環境情報記憶 装置 2003の制御部 2022が、センサの検出した信号を処理する実施形態である。本 実施の形態 23は、実施の形態 2に対応する。

[0222] 図 40は、本実施の形態 23の環境情報記憶装置 2003の構成を示す。図 40の環境 情報記憶装置 2003は、図 37の環境情報記憶装置 2003と同様の構成であるが、図 40の場合、制御部 2022が、接続されているセンサの検出した情報を処理する装置 側演算部 2201を備える点が異なる。このような構成において、制御部 2022は、セン サが検出した情報を装置側演算部 2201により処理し、処理結果を環境情報として 記憶部 2021の環境情報記憶部 2032に記憶する。このような処理結果で得られる情 報には、例えば、環境情報が設定された範囲外に達した時の情報や、イベントが発 生した時の環境情報やその回数、扉の開閉回数、運搬中や保管中の映像情報など がある。

[0223] 以上のように、制御部 2022が、センサの検出した信号を演算処理する装置側演算 部 2201を備えたので、取得するべき情報によっては、センサを追加することなく多種 多様の移動状況や移動状態を取得して記憶できる。また、環境情報記憶装置 2003 は、設定された範囲外の環境情報やイベントが発生した回数だけを環境情報記憶部 2032に記録できるので、環境情報記憶装置 2003のメモリ容量を減らすことができる

[0224] なお、本実施の形態 23では演算結果を環境情報として記憶して 、るが、センサが 検出した情報も合わせて環境情報として記憶する構成でもよい。

[0225] また、以降の実施の形態における環境情報は、センサが検出した情報 (演算処理し ていない情報、演算処理した情報）、及び制御部 2022が演算した結果のいずれをも 含むものとする。

[0226] 実施の形態 24.

次に図 41、図 42を参照して実施の形態 24を説明する。実施の形態 22、実施の形 態 23では、環境情報記憶装置 2003が、運搬中や保管中の物の環境情報を記憶す る場合を説明した。しかし、実際に運搬中や保管中の物が、その環境に存在している ことを確認していない。そこで、実施の形態 24は、物と環境との対応関係を明確にす る構成を説明する。

[0227] 図 41は、運搬中や保管中の物を置いておく場所における、本実施の形態 24の環 境情報記憶装置 2003の構成を示すブロック図である。図 41の環境情報記憶装置 2 003は、図 37に示した実施の形態 22の環境情報記憶装置 2003に対し、さらに、物 2001の存在を検出する存在検出部 2023を備える。

[0228] 存在検出部 2023は、物 2001の存在を検出した場合に存在情報を出力する。図 4 1の構成において、環境情報記憶装置 2003は、存在検出部 2023が出力した存在 情報を環境情報とともに記憶部 2021の環境情報記憶部 2032に記憶する。そして、 改ざん防止部 2020は、環境情報と、特定情報と存在情報とをまとめた情報に対して 完全性情報を生成する。

即ち、実施の形態 22では、改ざん防止部 2020は、

「環境情報 +特定情報→完全性情報」

のように、環境情報と特定情報とから完全性情報を生成した。

これに対して実施の形態 24では、改ざん防止部 2020は、

「環境情報 +特定情報 +存在情報→完全性情報」

のように、環境情報と特定情報と存在情報とから完全性情報を生成する。環境情報と 特定情報と存在情報とから生成される完全性情報は、環境情報と特定情報と存在情 報とのうち、少なくともいずれかに対する改ざんの有無を検証するために使用する情 報である。

[0229] さらに具体的な場合を説明する。図 42は、運搬中や保管中の物を置いておく場所 における、この実施の形態 24の環境情報記憶装置 2003とセンサとの構成を示すブ ロック図である。

(1)倉庫 Zコンテナ 2040は、運搬中や保管中の物 2001を置いておく倉庫あるいは コンテナを示す。

(2)扉 Z蓋 2041は、倉庫やコンテナに設けられた扉や蓋を示す。

(3)開閉検知センサ 2042は、扉や蓋の開閉を検知する。

(4)無線タグ 2043は、物 2001に搭載されるとともに、ユニークな識別情報を有する。 (5)無線タグリーダ 2044は、無線タグ 2043の識別情報を読み取る。

(6)識別情報比較部 2045は、制御部 2022に接続している。また、識別情報比較部 2045は、無線タグリーダ 2044から識別情報を入力し、前回入力した識別情報と今 回入力した識別情報とを比較し、比較結果を存在情報として環境情報記憶部 2032 に出力する。図 41の存在検出部 2023は、無線タグ 2043と、無線タグリーダ 2044と 、識別情報比較部 2045とにより構成される。

(7)なお、実施の形態 22で述べたように、環境情報記憶装置 2003は、倉庫やコンテ ナの外に設置されてもよい。

[0230] 図 42のような構成において、扉 Z蓋 2041が開いて物 2001が運び込まれると、環 境情報記憶装置 2003の制御部 2022は、開閉検知センサ 2042からの信号により、 扉が開いたことを検知する。この検知に連動して、識別情報比較部 2045は、無線タ グリーダ 2044を介して無線タグ 2043の識別情報を読み取り、記録する。識別情報 比較部 2045は、物 2001が複数ある場合には、無線タグリーダ 2044を介して、それ ぞれの物に取り付けられたすべての無線タグの識別情報を読み取る。また、環境情 報記憶装置 2003の制御部 2022は、環境情報の記録を開始する。

[0231] 運搬中や保管中、識別情報比較部 2045は、無線タグリーダ 2044を介して、必要 なタイミングで、無線タグ 2043の識別情報を読み取る。このタイミングは、常時読み 取り続けてもよいし、一定時間毎でもよいし、また、扉や蓋が開閉した場合や、完全性 情報を作成する場合でもよい。そして、環境情報記憶装置 2003の識別情報比較部 2045は、無線タグリーダ 2044が最初に読み取った識別情報よりも後の識別情報、 すなわち 2回目以降に読み取った識別情報と最初に読み取った識別情報とを比較し 、その比較結果を「存在情報」として出力する。また、改ざん防止部 2020が完全性情 報を作成する時に無線タグリーダ 2044が識別情報を読み取る場合には、改ざん防 止部 2020は、無線タグリーダ 2044が読み取った識別情報を存在情報として、この 存在情報と環境情報とを基に完全性情報を作成してもよ！/ヽ。このように識別情報をそ のまま存在情報として用いる場合には、識別情報比較部 2045は、無線タグリーダ 20 44から入力した識別情報をそのまま記憶部 2021の環境情報記憶部 2032へ出力す る。 [0232] 以上のように、環境情報記憶装置は存在検出部を備えたので、環境情報記憶装置 の記録して 、る環境に物が存在して 、るかどうかを検出することができる。このため、 環境情報と物との対応関係を確実にすることができ、より信頼性の高い環境情報記 憶装置を実現することができる。

[0233] 実施の形態 25.

次に図 43を用いて実施の形態 25を説明する。実施の形態 25は、環境情報記憶装 置 2003が複数のセンサ群の各センサ力も情報を入力する実施形態である。以上の 実施の形態 22〜実施の形態 24では、倉庫やコンテナに配置された一つのセンサ群 に対して、一つの環境情報記憶装置を設置していた。これに対して、実施の形態 25 は、複数のセンサ群に対して、一つの環境情報記憶装置を設置する場合である。

[0234] 図 43は、運搬中や保管中の物 2001を置いておく場所における、本実施の形態 25 の環境情報記憶装置 2003とセンサとの構成を示すブロック図である。図 43に示すよ うに、環境情報記憶装置 2003は、倉庫 Zコンテナ 2040a,倉庫 Zコンテナ 2040b の外部に設置される。そして、倉庫あるいは、コンテナの内部に配置されたセンサ群 2002— 1及びセンサ群 2002— 2の各センサと環境情報記憶装置 2003とを接続す る。図 43【こ示すよう【こ、センサ群 2002— 1 ίま物 2001a【こ対応し、センサ群 2002— 2 は物 2001bに対応する。なお、実施の形態 24と同様に、存在検出部 2023を倉庫や コンテナに設置して、一つの環境情報記憶装置 2003に接続しても良 、。

[0235] このような構成において、環境情報記憶装置 2003は、倉庫やコンテナに設置され たセンサ群 2002— 1,センサ群 2002— 2の各センサ力も環境情報を取得し、記憶 する。そして、環境情報記憶装置 2003は、センサ群 2002— 1の各センサ力も取得し た環境情報については、倉庫 Zコンテナ 2040aを特定することができる特定情報を 基に完全性情報を生成する。また、環境情報記憶装置 2003は、センサ群 2002— 2 の各センサから取得した環境情報にっ 、ては、倉庫 Zコンテナ 2040bを特定するこ とができる特定情報を基に完全性情報を生成する。

[0236] 以上のように、実施の形態 25の環境情報記憶装置は、複数の倉庫やコンテナなど の互いに異なる環境に配置された複数のセンサ群力 環境情報を取得して記録する 。このため、環境情報記憶装置のコストを低減することができる。 [0237] 実施の形態 26.

次に図 44〜図 46を用いて実施の形態 26を説明する。実施の形態 26は、環境情 報記憶装置 2003と、環境情報記憶装置 2003から環境情報、特定情報及び完全性 情報を入力して環境情報及び特定情報の正当性を検証する端末装置 2600(検証装 置の一例）とを備えた環境情報保証システム 2000に関する。この実施の形態 26は、 実施の形態 6に対応する。

[0238] 以上の実施の形態 22〜実施の形態 25は、環境情報記憶装置 2003に関するもの であった。この実施の形態 26は、環境情報記憶装置 2003と端末装置 2600とを備え た環境情報保証システム 2000において、端末装置 2600が、環境情報及び特定情 報の正当性を検証する検証部 2601を備えた場合を説明する。

[0239] 図 44は、本実施の形態 26における環境情報保証システム 2000の構成を示すブロ ック図である。図 44において、端末装置 2600は、環境情報が改ざんされていないこ とを検証する確認者が使用可能な端末装置である。端末装置 2600は、例えば、携 帯電話や PC (Personal Computer)である。確認者は、依頼者、使用者の他、公 的に認められた第三者機関である。端末装置 2600の検証部 2601は、環境情報が 改ざんされているかどうかを検証する。なお、他の実施の形態と同様に、環境情報記 憶装置 2003は、存在検出部 2023を備えてもよい。

[0240] 次に動作を説明する。環境情報記憶装置 2003の動作は、実施の形態 22〜実施 の形態 25と同様である。すなわち、環境情報記憶装置 2003は、環境情報や特定情 報を保管し、あるいは場合によっては実施の形態 24で述べた存在情報を保管し、完 全性情報を生成する。そして、端末装置 2600は、検証部 2601が完全性情報を用い て、環境情報や存在情報が改ざんされていないことを検証する。以下に図 45を参照 して検証の流れを説明する。

[0241] (検証の例）

図 45は、改ざん防止咅 2020と検証咅 2601とのやり取りのフローである。図 45は、 デジタル署名を用いた例を示して 、る。改ざん防止部 2020による完全性情報の生 成は、実施の形態 22の場合に対応する。このデジタル署名は、完全性情報を生成 する場合の一例である。 [0242] (環境情報記憶装置 2003)

(1)改ざん防止部 2020は、環境情報 (存在情報を含んでもよ!ヽ)と完全性情報とを ノ、ッシュ関数に入力してハッシュ値を求める（S2001)。本実施の形態 26では、環境 情報に存在情報を含まない場合を説明する。改ざん防止部 2020は、そのハッシュ 値を署名鍵で暗号ィ匕して完全性情報を生成する（S2002)。署名鍵は、端末装置 26 00が持つ検証鍵と対応したものが予め環境情報記憶装置 2003の記憶部 2021に 格納されている。

[0243] (端末装置 2600)

(2)端末装置 2600は、環境情報、完全性情報及び完全性情報を取得する。取得方 法は、記憶媒体を介して取得してもよいし、端末装置 2600と環境情報記憶装置 200 3との通信によって取得してもよ!/、。

(3)端末装置 2600の検証部 2601は、取得した環境情報と特定情報とから、改ざん 防止咅 2020と同様にノヽッシュ値を求める（S2003)。

(4)一方で、検証部 2601は、環境情報記憶装置 2003から取得した完全性情報を 予め格納している検証鍵で復号し (S 2004)、前記ハッシュ値と復号結果のハッシュ 値とを比較する（S2005)。

(5)検証部 2601は、比較した結果、ノ、ッシュ値どうしを同一と認めれば、環境情報は 正当な情報、すなわち改ざんされていないと判断する。ノ、ッシュ値どうしが異なってい た場合、検証部 2601は、環境情報もしくは完全性情報とのうち少なくともいずれかは 改ざんされて ヽると判断する。

[0244] (検証の別の例）

また、図 46は、検証の別の例を示す図である。図 46は、環境情報と特定情報との それぞれから完全性情報を生成する場合における、改ざん防止部 2020と検証部 26 01とのやり取りの別の例を示す。この例では、デジタル署名を用いた例を示している

[0245] (環境情報記憶装置 2003)

(1)改ざん防止部 2020は、環境情報 (存在情報を含んでもよ!ヽ）をハッシュ関数に 入力してハッシュ値 aを求める（S2001a)。 (2)同様に、改ざん防止部 2020は、特定情報のハッシュ値 bを求める（S2001b)。

(3)そして、改ざん防止部 2020は、環境情報のハッシュ値 aと、特定情報のハッシュ 値 bとをそれぞれ署名鍵で暗号ィヒし、環境情報に対応する「完全性情報 a」と、特定 情報に対応する「完全性情報 b」とを生成する（S2002a、 S2002b)。

[0246] (端末装置 2600)

(4)端末装置 2600は、環境情報、特定情報、完全性情報 a、完全性情報 bを取得す る。取得方法は、記憶媒体を介してもよいし、端末装置 2600と環境情報記憶装置 2 003との通信によってもよ!、。

(5)次に、端末装置 2600の検証部 2601は、改ざん防止部 2020と同様に、環境情 報から「ハッシュ値 a」を求めるとともに、特定情報から「ハッシュ値 b」を求める（S200 3a、 S2003b)。

(6)一方で検証部 2601は、「完全性情報 a」及び「完全性情報 b」を検証鍵で復号し（ S2004a、 S2004b)、「ハッシュ値 a」及び「ノヽッシュ値 b」と、復号結果のハッシュ値と をそれぞれ【こつ ヽて it較する（S2005a、 S2005b)。

(7)検証部 2601は、比較した結果、それぞれの対応するべきハッシュ値どうしが同 一であると判断した場合、環境情報と特定情報とは正当な情報、すなわち改ざんされ ていないと判断する。検証部 2601は、比較の結果、異なっていると判断した場合、 異なっていると判断した情報は、改ざんされていると判断する。なお、この別の例は、 環境情報に存在情報を含むことが可能な例を示して 、るが、環境情報に存在情報を 含むことなく存在情報を基にする完全性情報を生成してもよい。

[0247] なお、本実施の形態 26ではデジタル署名を用いた例を示したが、環境情報 (存在 情報を含んでも良い）、特定情報、あるいは存在情報が改ざんされていないことを確 認する完全性情報を生成できればよぐ他にも例えばメッセージ認証子や電子透か しゃ CRC (Cyclic Redundancy Check)を用いてもよい。

[0248] 以上のように、端末装置 2600は、検証部 2601を備えたので、業者ではない確認 者が環境情報、存在情報、特定情報が改ざんされていないことを検証できる。このた め、信頼性の高い環境情報保証システムが実現できる。

[0249] 実施の形態 27. 次に図 47〜図 50を用いて実施の形態 27を説明する。実施の形態 27は、実施の 形態 26の環境情報保証システム 2000にお 、て、環境情報記憶装置 2003と端末装 置 2600とが、通信する構成である。本実施の形態 27は、実施の形態 8に対応する。

[0250] 図 47は、実施の形態 27の環境情報保証システム 2000の構成を示すブロック図で ある。本実施の形態 27の環境情報記憶装置 2003は、図 37に示す実施の形態 22の 環境情報記憶装置 2003に対して、さらに、端末装置 2600と通信する記憶側通信部 2801 (出力部の一例）を備えた。また、本実施の形態 27の端末装置 2600は、図 44 に示す実施の形態 26の端末装置 2600に対して、さらに、環境情報記憶装置 2003 と通信を行なう検証側通信部 2802と、環境情報などを処理する処理部 2701とを備

(1)記憶側通信部 2801(出力部の一例)は、環境情報記憶装置 2003に設けられた 通信部であって、無線 ·有線 LAN (Local Area Network)、 RS 232C、： Blue to oth (登録商標）、 DSRC (Dedicated Short Range Communication)、携帯 電話などを利用して、環境情報記憶装置 2003の外部機器と通信する。

(2)また、端末装置 2600の検証側通信部 2802は、記憶側通信部 2801から送信さ れた情報を受信する。図 47では、検証側通信部 2802が、記憶側通信部 2801から 送信された情報を直接に受信する。これは一例であり、検証側通信部 2802は、通信 経路上に設けられた中継器を介して記憶側通信部 2801から情報を受信してもよい。

(3)処理部 2701は、環境情報を処理する。例えば、処理部 2701は、環境情報を基 に運搬中や保管中の環境状態を表示し、あるいは環境情報の異常な場合を検索し て表示する。

(4)なお、他の実施の形態と同様に、環境情報記憶装置 2003は、存在検出部 202 3を備えても良い。

[0251] 次に、図 48、図 49を参照して動作を説明する。図 48は、本実施の形態 27の環境 情報保証システムにおける環境情報記憶装置と確認者が使用可能な端末間のフロ 一を示したものである。本実施の形態 27の環境情報記憶装置 2003は、図 49に示 すように環境情報に基づき完全性情報を生成する。

[0252] (環境情報記憶装置 2003) (1)環境情報記憶装置 2003は、環境情報を記録する（S2010)。

(2)そして、改ざん防止咅 2020は、必要なタイミングで、図 49の S2031と S2032に 示すように、完全性情報を生成する（S2011)。改ざん防止部 2020は、環境情報を ノヽッシュする。

(3)記憶側通信部 2801は、環境情報と完全性情報とを端末装置 2600に送信する（ S2012) _o

[0253] (端末装置 2600)

(4)確認者が使用可能な端末装置 2600は、検証側通信部 2802が環境情報と完全 性情報とを受信する（S2013)。

(5)検証部 2601は、図 49の S2033〜S2035に示すように、完全性情報の検証を 行う（S 2014)。

(6)その後、検証部 2601による認証結果が正当である場合には、処理部 2701が、 環境情報を処理する（S2015)。

[0254] 上記（1)〜（6)の例では、環境情報記憶装置 2003は、完全性情報を作成した後、 環境情報と完全性情報とを送信する（S2011, S2012)。しかし、図 39に示したよう に、環境情報記憶装置 2003は、複数の完全性情報を作成した後、複数の完全性情 報とこれらに対応する環境情報とをまとめて送信してもよい。すなわち、環境情報記 憶装置 2003が完全性情報を作成するタイミングと、環境情報と完全性情報とを送信 するタイミングとは、次の（a)〜（e)のうちの、、ずれでも構わな 、。

(a)常時、（b)運搬や保管が終わった時、（c)予め設定されたイベント発生時、（d)— 定時間毎、（e)通信可能時。

[0255] なお、図 48では端末装置 2600において検証された後に環境情報を処理するフロ 一を示した (S2014、 S2015)。しかし、端末装置 2600は、受信した環境情報を処 理し、必要に応じて環境情報を処理して検証するフローでも構わな ヽ。

[0256] 図 50は、本実施の形態 27における環境情報保証システム 2000の他の構成を示 すブロック図である。図 50は、図 47の端末装置 2600を端末装置 2600aと端末装置 2600bとに分けた構成である。図 50に示すように、第一の端末装置 2600aは、検証 側通信部 2802と処理部 2701とを備える。また、第二の端末装置 2600bは、検証部 2601を備える。このような構成の場合、依頼者や使用者が第一の端末装置 2600a ( 例えば携帯電話)を用いて環境情報力も環境状態を確認する。そして、必要に応じ て、公的に認められた第三者機関が、確認者として第二の端末装置 2006b (検証装 置)を用いて完全性情報を検証することにより環境情報の正当性を検証する。

[0257] 以上のように、実施の形態 27の環境情報記憶装置 2003は、環境情報と完全性情 報とを記憶側通信部 2801により外部の装置に送信する。外部の装置は、これらの情 報を検証'処理できるので、利便性が高い環境情報保証システムを実現することがで きる。

[0258] 実施の形態 28.

次に図 51を参照して実施の形態 28を説明する。実施の形態 28は、環境情報保証 システム 2000において、環境情報記憶装置 2003が、内部にセンサを備えた実施形 態である。実施の形態 28は、実施の形態 20に相当する。

[0259] 図 51は、本実施の形態 28の環境情報保証システム 2000の構成を示すブロック図 である。図 51【こお!ヽて、環境†青報を検出するセンサ 2002a、センサ 2002b、センサ 2

002c等は、環境情報記憶装置 2003の内部に設けられている。環境情報記憶装置

2003は、物が置かれている環境に設置されても良いし、物に取り付けられても良い。

[0260] 次に、本実施の形態 28の環境情報記憶装置 2003の動作を説明するが、環境情 報記憶装置 2003がセンサ 2002a等を内部に備える他は、実施の形態 22と同様で ある。

[0261] 環境情報記憶装置 2003は、必要なタイミングから、センサ 2002a等が検出した環 境情報の記録を開始する。このタイミングは、交通手段であればエンジン始動時、倉 庫や貨物室、コンテナの扉が閉まった時、環境情報記憶装置 2003に別途設けられ たスィッチをオンした時、照度センサで明るさを検出し暗くなつた時のように、一つあ るいは複数のセンサの環境情報が設定された範囲内に入った時など、運搬や保管 が開始されるタイミングでよ 、。

[0262] 制御部 2022には、接続しているすべてのセンサが検出した環境情報が入力される 。そして、制御部 2022は、環境情報を記憶部 2021の装置側特定情報記憶部 2031 に記憶する。そして、必要なタイミングに、制御部 2022の命令により、改ざん防止部 2020は、実施の形態 27を示す図 49に示したの S2031、 S2032と同様に、装置佃 J 特定情報記憶部 2031に記憶されて 、る環境情報の完全性情報を生成する。そして 、完全性情報と環境情報は、記憶側通信部 2801を介して送信される。確認者が使 用可能な端末装置 2600は、検証側通信部 2802が、環境情報と完全性情報とを受 信する。そして、検証部 2601が完全性情報の検証を行い、また処理部 2701が環境 情報の処理を行う。

[0263] 本実施の形態 28では、完全性情報を作成した後、環境情報と完全性情報を送信 しているが、複数の完全性情報を作成した後、まとめて送信するようにしてもよい。す なわち、完全性情報の作成するタイミングと、環境情報と完全性情報を送信するタイ ミングは以下の（a)〜（e)のどのタイミングでも構わない。（a)常時、（b)運搬や保管が 終わった時、（c)予め設定されたイベント発生時、（d)—定時間毎、（e)通信可能時。 さらに、図 50に示すように、検証側通信部 2802と処理部 2701とを有する第一の端 末装置 2600aと、検証部 2601を有する別の第二の端末装置 2600bとに分ける構成 でもよい。

[0264] 以上のように、環境情報記憶装置 2003がセンサを内部に持つにより、荷室や荷台 、貨物室、コンテナ、倉庫などに新たにセンサを設置するなどの改修の必要ないので 、低コストで信頼性の高 、環境情報保証システムを実現することができる。

[0265] 実施の形態 29.

次に図 52、図 53を用いて実施の形態 29を説明する。以上の実施の形態 27、実施 の形態 28では、環境情報記憶装置 2003が、不正な端末装置 2600に情報を送信 する可能性があった。そこで、本実施の形態 29では、環境情報記憶装置 2003が、 記憶側通信部 2801に通信先認証部 2901 (出力先認証部の一例）を備えた構成を 説明する。本実施の形態 29は、実施の形態 9に対応する。

[0266] 図 52は、本実施の形態 29の環境情報保証システム 2000の構成を示すブロック図 である。図 52は、図 51に対して、記憶側通信部 2801が通信先認証部 2901を備え た点が異なる。通信先認証部 2901は、通信先を認証する。なお、他の実施の形態と 同様に、環境情報記憶装置 2003は、存在検出部 2023を備えても良いし、内部にセ ンサを備えてもよい。 [0267] 次に動作を説明する。本実施の形態 29の環境情報保証システム 2000の動作は、 他の実施の形態と同様である。すなわち、環境情報記憶装置 2003は、環境情報を 記録し、完全性情報を生成する。そして、環境情報記憶装置 2003は、記憶側通信 部 2801を介して端末装置 2600に環境情報と完全性情報とを転送する。本実施の 形態 29の特徴は、この転送前に、通信先認証部 2901が通信先である端末装置 26 00を認証する点にある。

[0268] 図 53は、通信先認証部 2901による認証方法の一例を示す図である。図 53におい て、環境情報記憶装置 2003と端末装置 2600とは、暗号鍵を持っているものとする。

(1)通信先認証部 2901は、乱数 (R)を生成し (S2020)、端末装置 2600に送信す る（S2021)。

(2)端末装置 2600は、乱数 (R)を受信（S2022)し、暗号ィ匕 (e (R) )した後（S2023 )、環境情報記憶装置 2003に送信する（S2024)。

(3)環境情報記憶装置 2003の通信先認証部 2901は、応答データ (e (R') )を受信 し (S2025)、それを復号し (S2026)、先に生成した乱数 (R)と比較する（S2027)。

(4)比較結果が一致していた場合 (S2028)、正常終了し、一致していない場合 (S2 029)、異常終了する。

[0269] なお、本実施の形態 29では、環境情報記憶装置 2003の通信先認証部 2901は、 受信した暗号ィ匕された乱数を復号した後に、比較を行っている（S2027)。しかし、こ れは一例であり、通信先認証部 2901は、自己の生成した乱数を暗号ィ匕し、その結 果と端末装置 2600から受信した暗号化された乱数とを比較しても良い。そして、認 証が成功した場合、記憶側通信部 2801は、環境情報と完全性情報とを端末装置 26 00に送信する。端末装置 2600は、検証側通信部 2802にて受信した環境情報と完 全性情報とを使用して、検証及び処理を行う。認証が失敗した場合、記憶側通信部 2 801は端末装置 2600と通信を行わなず、記憶部 2021に認証失敗の情報を記録す る。

[0270] 本実施の形態 29では、端末装置で暗号ィ匕した乱数を通信先認証部 2901で確認 しているが（S2027)、端末装置は受信した乱数に対してメッセージ認証子やデジタ ル署名を生成して環境情報記憶装置 2003に返信し、環境情報記憶装置 2003の通 信先認証部 2901が、それらを検証する方法でも良!ヽ。

[0271] 以上のように、記憶側通信部 2801が、通信先を認証するとともに、正しい通信先で あることを確認した後、環境情報と完全性情報とを通信先に送信するので、環境情報 や完全性情報を解析するなどの不正行為を防ぐことができ、さらに信頼性の高 、環 境情報記憶装置や環境情報保証システムを実現できる。

[0272] 実施の形態 30.

次に図 54、図 55を用いて実施の形態 30を説明する。以上の実施の形態 22〜実 施の形態 29では、環境情報記憶装置 2003から出力される情報の完全性 (改ざんさ れていないこと）を証明していた。しかし、センサが改ざんされた場合には、センサの 改ざんを検出できない。そこで、本実施の形態 30は、センサが正当なものかどうかを 確認する実施形態を示す。本実施の形態 30は、実施の形態 12に対応する。

[0273] 図 54は、本実施の形態 30の環境情報記憶装置 2003の構成を示す。図 54の環境 情報記憶装置 2003は、図 37に示した実施の形態 22の環境情報記憶装置 2003と 同様の構成であるが、制御部 2022 (センサ確認部の一例）が、それぞれのセンサが 正当かどうかを確認する機能を有する点が異なる。なお、制御部 2022が、センサの 正当性を検出するが、他の構成要素がセンサの正当性を確認する構成でも構わな い。また、他の実施の形態と同様に、環境情報記憶装置 2003は、存在検出部 2023 や通信先認証部 2901を備えてもよい。また、環境情報記憶装置 2003は、内部にセ ンサを備えても良い。

[0274] 次に図 55を用いて動作を説明する。制御部 2022は、必要なタイミングで、接続さ れているセンサの確認を行う。図 55は、確認方法の一例を示すフローチャートである

[0275] (1)センサは、センサ固有の「固有情報」（以下、センサ側固有情報という）を保持して いるものとする。環境情報記憶装置 2003は、この「センサ側固有情報」に対応する「 記憶装置側固有情報」を格納して 、るものとする。センサが改ざんされて 、な 、正規 品であれば、「センサ側固有情報」と「記憶装置側固有情報」とは一致する。制御部 2 022は、必要なタイミングで、センサから「センサ側固有情報」を取得する（S2040)。 (2)そして、制御部 2022は、取得した「センサ側固有情報」と保管されている「記憶 装置側固有情報」との比較を行う（S2041)。

(3)制御部 2022は、比較結果が一致した場合、正常と判断して正常終了（S2042) し、記憶部 2021に正常終了した内容を記録する。制御部 2022は、比較結果が一致 しない場合や、「センサ側固有情報」を取得できない場合は、異常と判断して終了（S 2043)し、記憶部 2021に異常終了した旨を記録する。制御部 2022は、以上の処理 を接続されて ヽるすべてのセンサに対して行う。

[0276] 以上のように、環境情報記憶装置 2003の制御部 2022は、センサが正当であること を確認するので、センサに対する不正を防ぎ、さらに信頼性の高い環境情報記憶装 置や環境情報保証システムを実現できる。

[0277] 実施の形態 31.

次に図 56を用いて実施の形態 31を説明する。以上の実施の形態 22〜実施の形 態 30は、環境情報の完全性のみを維持するシステムであるが、機密性が維持されて いない。すなわち、環境情報は、第三者に盗聴される恐れがある。そこで、本実施の 形態 31は、環境情報の機密性を維持する場合を示す。本実施の形態 31は、実施の 形態 18に対応する。

[0278] 図 56は、本実施の形態 31の環境情報保証システム 2000の構成を示すブロック図 である。図 56では、実施の形態 26の図 44に対して、環境情報記憶装置 2003が暗 号部 3801を備えるとともに、端末装置 2600が復号部 3802を備えた構成である。暗 号部 3801は、環境情報を暗号化する。復号部 3802は、取得した情報を復号する。 なお、他の実施の形態と同様に、環境情報記憶装置 2003は、存在検出部 2023、 通信先認証部 2901、あるいはセンサを確認する機能を備えてもよい。また、環境情 報記憶装置 2003は、内部にセンサを備えてもよい。

[0279] 図 56に示す構成において、環境情報記憶装置 2003は、環境情報を出力する前 や、完全性情報を作成した後に、暗号部 3801により環境情報を暗号ィ匕する。本実 施の形態 31は、環境情報を暗号対象するが、特定情報や完全性情報などの他の情 報を含めて暗号ィ匕してもよい。そして、暗号化され出力された環境情報は、端末装置 2600の復号部 3802により復号され、他の実施の形態と同じように検証される。

[0280] このように、本実施の形態 31の環境情報記憶装置 2003は、暗号部 3801により暗 号化された環境情報を出力するので、通信経路で環境情報を盗聴された場合でも、 環境情報の機密性を維持可能な環境情報記憶装置や環境情報保証システムを実 現することができる。

[0281] 実施の形態 32.

次に図 57を参照して実施の形態 32を説明する。本実施の形態 32は、環境情報記 憶装置 2003が後述の格納情報を格納する実施形態である。

[0282] 以上の実施の形態 22〜実施の形態 31では、環境を特定するための特定情報（実 施の形態 22)、認証に使用する鍵 (実施の形態 29)や暗号ィ匕で使用する暗号鍵 (実 施の形態 31)などの情報は、事前に環境情報記憶装置 2003に格納されているとし て説明した。これら特定情報などのような事前に環境情報記憶装置に格納される「格 納情報」は、システムを運用する組織や環境によって異なる。このため、それぞれの 環境情報記憶装置 2003は、通常、異なる値を持つ。また、一旦格納された格納情 報は、格納後に変更が必要となるケースもある。従って、格納情報は、環境情報記憶 装置の出荷後に記録 ·変更できなければならな 、。

[0283] 一方、格納情報は、環境情報の完全性を維持するシステムでは重要な情報である 。このため、環境情報記憶装置 2003への格納情報の格納は、正当な組織やそれに 属する人、正当な端末、機器によって行われるべきである。もしくは、正しい格納情報 だけが、格納情報として格納されなければならない。そこで、次に、格納情報を環境 情報記憶装置 2003に格納する実施形態を示す。

[0284] 図 57は、本実施の形態 32の環境情報記憶装置 2003の構成を示すブロック図で ある。図 57の環境情報記憶装置 2003は、図 37に示す実施の形態 22の環境情報 記憶装置 2003に対して、さらに、外部インタフェース部 2051と格納制御部 2052と を備えている。

(1)格納機器 2050は、接触式'非接触式 ICカードや PC (Personal Computer)の ような、外部インタフェース部 2051と通信して格納情報を環境情報記憶装置 2003 に転送する機器である。

(2)外部インタフェース部 2051は、接触式'非接触式 ICカードインタフェース、無線' 有線 LANのインタフェース、 RS232Cのインタフェース、 Blue tooth (登録商標）の インタフェースなど、格納情報を格納するために環境情報記憶装置 2003に設けられ たインタフェースである。

(3)格納制御部 2052は、外部インタフ ース部 2051を介して格納機器の正当性及 び Zまたは転送された格納情報の正当性を確認する。

(4)なお、他の実施の形態と同様に、環境情報記憶装置 2003は、存在検出部 202 3、通信先認証部 2901、あるいはセンサを確認する機能を備えてもよい。また、環境 情報記憶装置 2003は、内部にセンサを備えてもよい。

[0285] (格納機器の認証）

このような図 57の構成において、環境情報記憶装置 2003は、格納機器 2050から 転送された格納情報を格納する前に、格納制御部 2052が格納機器を認証する。格 納制御部 2052は、外部インタフェース部 2051が格納機器 2050から格納情報 (所 定の情報)を入力する場合に、格納機器 2050との間で通信を行うことにより格納機 器 2050が正当であるかどうかを認証し、正当と判断した場合に、格納情報を装置側 特定情報記憶部 2031に記憶する。格納制御部 2052は、格納情報を入力する前に 格納機器 2050を認証し、正当な場合にのみ格納機器 2050から格納情報を入力す る。あるいは、格納制御部 2052は、格納制御部 2052から格納情報を入力後に格納 制御部 2052を認証し、正当な場合にのみ格納情報を格納するようにしてもよい。格 納機器 2050の認証方法は、事前に環境情報記憶装置 2003に格納された暗証番 号による方法、実施の形態 29の図 53で示した認証方法などがある。この認証に使用 する暗証番号や暗号化で使用する暗号鍵は、環境情報記憶装置 2003の製造時に 格納しておけばよい。格納制御部 2052は、この認証により、正当な格納機器であれ ば、転送された格納情報を記憶部 2021に格納する。

[0286] (格納情報の認証）

また、環境情報記憶装置 2003は、格納機器から転送された格納情報を格納する 前に、格納制御部 2052が、これらの格納情報の正当性を確認してもよい。すなわち 、格納制御部 2052は、外部インタフェース部 2051が入力した格納情報が正当であ るかどうかを認証し、格納情報を正当と判断した場合に、格納情報を装置側特定情 報記憶部 2031に記憶する。この場合の認証方法は、実施の形態 26の図 45、図 46 などで述べた完全性情報の完全性を維持する方法と同様の方法を利用すればよい 。すなわち、格納情報の完全性 (改ざんの有無）を確認する方法である。

[0287] なお、格納機器 2050の認証や格納情報の確認は、それぞれどちらを実施してもよ い。また両者の認証を組み合わせて使用してもよい。また、格納機器 2050から転送 される格納情報は、実施の形態 31のように暗号ィ匕してもょ 、。

[0288] なお、図 57では、格納制御部 2052は、制御部 2022、記憶部 2021、改ざん防止 部 2020と接続している。しかしこれは一例であり、格納制御部 2052は、記憶部 202 1にのみ接続するような構成でもよ 、。

[0289] このように、実施の形態 32の環境情報記憶装置 2003は格納制御部を備えたので 、正当な組織やそれに属する人、正当な端末、機器による格納情報が格納され、あ るいは正当な格納情報だけが格納される。このため、実施の形態 32の環境情報記 憶装置 2003は、システムの利便性を向上すると共に、より安全な環境情報保証シス テムを実現できる。また、格納制御部 2052が使用する暗証番号や暗号鍵などを変 更する際にも、本手段を用いた手続きを経た上で変更可能な構成とすることで、環境 情報記憶装置 2003の信頼性'安全性を向上させると共に利便性も向上させることが できる。

[0290] 実施の形態 33.

次に、図 58を参照して実施の形態 33を説明する。実施の形態 33は、環境情報記 憶装置 2003が日時に関する情報を生成する時計部 2060を備えた実施形態である

[0291] 図 58は、実施の形態 33の環境情報記憶装置 2003の構成を示す図である。実施 の形態 33の環境情報記憶装置 2003は、図 37に示す実施の形態 22の環境情報記 憶装置 2003に対して、さらに、時計部 2060を備えた点が異なる。

[0292] 時計部 2060は、制御部 2022に接続されているとともに、日時に関する情報、例え ば、 日付と時刻とを生成する。なお、他の実施の形態と同様に、環境情報記憶装置 2 003は、存在検出部 2023、通信先認証部 2901、あるいはセンサを確認する機能を 備えてもよい。また、環境情報記憶装置 2003は、内部にセンサを備えてもよい。

[0293] このような図 58の構成において、環境情報記憶装置 2003では、制御部 2022が記 憶部 2021に環境情報を記録する際、時計部 2060が生成した情報を使用する。例 えば、制御部 2022は、環境情報を取得した時刻や特定のイベントが発生している時 間を算出する際に、時計部 2060が提供する情報を使用し、取得した時刻や算出し た時間を環境情報に付加する。

[0294] 以上のように、環境情報記憶装置 2003は、内部に時計部 2060を備えたので、環 境情報記憶装置 2003外部から日時の情報を取得することが不要になる。このため、 日時情報を改ざんすることが困難になる。従って、信頼性の高い環境情報記憶装置 を提供することができる。

[0295] なお、時計部 2060が保持する日時情報の調整には、実施の形態 32で述べた構 成を用いることにより、時計部 2060の日時も信頼性の高い情報になる。つまり、時計 部 2060が保持する日時情報を調整するために、実施の形態 32に示したように、格 納機器 2050から情報を取得する。この場合、格納制御部 2052が、格納機器 2050 を認証し、あるいは取得する情報を認証する構成とする。また、本実施の形態 33で は時計部 2060を設けた力 時計部 2060の機能を制御部 2022に組み込んでもよ 、

[0296] 実施の形態 34.

次に、図 59を参照して実施の形態 34を説明する。実施の形態 34では、環境情報 記憶装置 2003が、日時に関する情報を自動調整する自動調整部 2061を備えた場 合を説明する。

[0297] 図 59は、実施の形態 34の環境情報記憶装置 2003の構成を示す図である。実施 の形態 34の環境情報記憶装置 2003は、図 58の環境情報記憶装置 2003に対して 、さらに、自動調整部 2061を備えた点が異なる。自動調整部 2061は、環境情報記 憶装置 2003の外部力も標準時刻に関する情報を受信し、受信した情報に基づき時 計部 2060を調整する。なお、他の実施の形態と同様に、環境情報記憶装置 2003 は、存在検出部 2023、通信先認証部 2901、あるいはセンサを確認する機能を備え てもよい。また、環境情報記憶装置 2003は、内部にセンサを備えてもよい。

[0298] このような図 58の構成において、環境情報記憶装置 2003は、自動調整部 2061に より修正された時計部 2060が提供する日時の情報を使用する。例えば、環境情報 を取得した時刻や特定のイベントが発生している時間を算出する際には修正された 時計部 2060が提供する情報を使用する。

[0299] 以上のように、環境情報記憶装置 2003は、内部に日時情報を自動的に調整する 自動調整部 2061を備えたので、日時情報を改ざんすることが困難になり、また、調 整するための保守も不要になる。従って、環境情報記憶装置の信頼性と利便性を向 上することができる。

[0300] 実施の形態 35.

次に、図 60、図 61を参照して実施の形態 35を説明する。実施の形態 35は、実施 の形態 21に対応する。実施の形態 35は、実施の形態 22に示した環境情報記憶装 置 2003を環境情報記憶方法及び環境情報記憶プログラムとして把握した実施形態 である。環境情報記憶装置 2003はコンピュータである。コンピュータである環境情報 記憶装置 2003の制御部 2022 (情報入力部）、環境情報記憶部 2032 (センサ情報 記憶部）、改ざん防止部 2020 (改ざん検証用情報生成部）、完全性情報記憶部 203 3 (改ざん検証用情報記憶部）の一連の動作は互いに関連しており、これらの一連の 動作を環境情報記憶方法として把握することができる。

[0301] 図 60は、図 37の環境情報記憶装置 2003の制御部 2022等の動作を環境情報記 憶プログラムとして把握した場合のフローチャートを示す。

[0302] (1) S2201において、制御部 2022が、情報を検出するセンサ力も前記センサが検 出した情報を入力する。

(2) S2202において、環境情報記憶部 2032が、制御部 2022が前記センサ力も入 力した情報に基づく環境情報 (センサ情報)を記憶する。

(3) S2203において、改ざん防止部 2020が、環境情報記憶部 2032が記憶した環 境情報に基づいて、環境情報に対する改ざんの有無を検証するために使用する完 全性情報 (改ざん検証用情報)を生成する。

(4) S2204において、完全性情報記憶部 2033が、改ざん防止部 2020が生成した 完全性情報を記憶する。

[0303] また、図 61は、コンピュータである図 37の環境情報記憶装置 2003に実行させる環 境情報記憶プログラムのフローチャートを示す。 (1) S2301は、情報を検出するセンサ力も前記センサが検出した情報を入力する処 理である。

(2) S2302は、前記センサから入力した情報に基づく環境情報 (センサ情報)を記憶 する処理である。

(3) S2303は、記憶した環境情報に基づいて、環境情報に対する改ざんの有無を検 証するために使用する完全性情報を生成する処理である。

(4) S2304は、生成した完全性情報を記憶する処理である。

[0304] 以上のように、環境情報記憶方法、環境情報記憶プログラムは、環境情報の完全 性を証明する完全性情報を生成するので、環境情報を記憶する信頼性の高 、環境 情報記憶装置を実現することができる。

[0305] 以上の実施の形態では、運搬中や保管中における物の環境に関わる情報を検出 する複数のセンサを有し、物の状態 ·環境を監視するシステムにおいて、前記センサ の情報と環境を特定可能な特定情報とを記憶する記憶部と、記憶して!/、る情報の改 ざんを防止する改ざん防止部と、これらの動作を制御する制御部と

を備えた環境情報記憶装置を説明した。

[0306] 以上の実施の形態では、制御部はセンサの情報を演算し、記憶部は制御部の演 算結果を記録する環境情報記憶装置を説明した。

[0307] 以上の実施の形態では、存在検出部は物がその環境に存在していることを検出し 、記憶部は存在検出部の出力情報も記録する環境情報記憶装置を説明した。

[0308] 以上の実施の形態では、環境情報記憶装置と検証装置とを備えた環境情報保証 システムにおいて、環境情報記憶装置は、センサの情報や制御部の演算結果や環 境を特定可能な特定情報を記憶する記憶部と、記憶して!/、る情報の改ざんを防止す る改ざん防止部と、これらの動作を制御し、センサの情報を演算する制御部と、物が その環境に存在していることを検出する存在検出部とを備え、検証装置は、入力され た情報に対する改ざんの有無を検証する検証部を備えた環境情報保証システムを 説明した。

[0309] 以上の実施の形態では、環境情報記憶装置と検証装置とを備えた環境情報保証 システムにおいて、前記環境情報記憶装置は、センサの情報や制御部の演算結果 や環境を特定可能な特定情報を記憶する記憶部と、記憶して!/、る情報の改ざんを防 止する改ざん防止部と、これらの動作を制御し、センサの情報を演算する制御部と、 物がその環境に存在して ヽることを検出する存在検出部と、外部の機器と通信する 通信部とを備え、前記検証装置は、入力された情報に対する改ざんの有無を検証す る検証部と、外部の機器力 情報を受信する受信部と、検証部の出力を参照して処 理を行う処理部とを備えた環境情報保証システムを説明した。

[0310] 以上の実施の形態では、運搬中や保管中における物の環境に関わる情報を検出 する複数のセンサと、物がその環境に存在していることを検出する存在検出部と、セ ンサと存在検出部が検出した情報や演算結果の改ざんを防止する改ざん防止部と、 動作を制御し、センサの情報を演算する制御部と、外部の機器と通信する通信部と、 センサと存在検出部が検出した情報や改ざん防止部の出力や環境を特定可能な特 定情報を記憶する記憶部とを備えた環境情報記憶装置を説明した。

[0311] 以上の実施の形態では、環境情報記憶装置と検証装置とを備えた環境情報保証 システムにおいて、前記環境情報記憶装置は、運搬中や保管中における物の環境 に関わる情報を検出する複数のセンサと、物がその環境に存在して 、ることを検出す る存在検出部と、センサと存在検出部が検出した情報や演算結果の改ざんを防止す る改ざん防止部と、動作を制御し、センサの情報を演算する制御部と、装置外部の機 器と通信する通信部と、センサと存在検出部が検出した情報や改ざん防止部の出力 環境を特定可能な特定情報を記憶する記憶部とを備え、前記検証装置は、入力され た情報に対する改ざんの有無を検証する検証部と、前記環境情報記憶装置から情 報を受信する受信部と、前記検証部の出力を参照して処理を行う処理部とを備えた 環境情報保証システムを説明した。

[0312] 以上の実施の形態では、環境情報記憶装置は、通信先を認証する通信先認証部 を備え、正しい通信先の場合にのみ通信する環境情報記憶装置を説明した。

[0313] 以上の実施の形態では、センサの真正性を確認する環境情報記憶装置を説明し た。

[0314] 以上の実施の形態では、環境情報や、環境を特定可能な特定情報を暗号化する 環境情報記憶装置を説明した。 [0315] 以上の実施の形態では、格納情報を格納する前に格納機器もしくは格納情報の正 当性を確認する環境情報記憶装置を説明した。

[0316] 以上の実施の形態では、日時に関する情報を自己の内部で生成する環境情報記 憶装置を説明した。

[0317] 以上の実施の形態では、日時に関する情報を自己の内部で自動的に調整可能な 環境情報記憶装置を説明した。

図面の簡単な説明

[0318] [図 1]実施の形態 1における移動体情報記憶装置 3の使用状態の一例を示す。

[図 2]実施の形態 1における移動体情報記憶装置 3の構成図である。

[図 3]実施の形態 1における移動体情報記憶装置 3の動作を示すフローチャートであ る。

[図 4]実施の形態 1における移動体情報と完全性情報との対応関係を示す。

[図 5]実施の形態 2における移動体情報記憶装置 3の構成図である。

[図 6]実施の形態 3における特殊ネジの一例を示す。

[図 7]実施の形態 3におけるシールを示す。

[図 8]実施の形態 3における移動体情報記憶装置 3の構成図である。

[図 9]実施の形態 3における移動体側固有情報処理部と分離防止部との固有情報の 比較のシーケンスである。

[図 10]実施の形態 3における移動体側固有情報処理部と分離防止部との認証処理 のシーケンスを示す。

[図 11]実施の形態 4における移動体情報記憶装置 3の構成図である。

[図 12]実施の形態 4における別の例の移動体情報記憶装置 3の構成図である。

[図 13]実施の形態 5における移動体情報記憶装置 3の構成図である。

[図 14]実施の形態 6における移動体情報保証システムの構成図である。

[図 15]実施の形態 6における移動体情報記憶装置 3と移動体情報検証装置とのやり 取りを示す。

[図 16]実施の形態 7における移動体情報保証システムの構成図である。

[図 17]実施の形態 8における移動体情報保証システムの構成図である。 [図 18]実施の形態 8における移動体情報記憶装置 3と移動体情報検証装置とのやり 取りを示す。

[図 19]実施の形態 9における移動体情報保証システムの構成図である。

[図 20]実施の形態 10における移動体情報保証システムの構成図である。

圆 21]実施の形態 10における移動体情報記憶装置 3と ICカードと移動体情報検証 装置とのやり取りを示す。

[図 22]実施の形態 11における移動体情報記憶装置 3と移動体情報検証装置とのや り取りを示す。

[図 23]実施の形態 12における移動体情報保証システムの構成図である。

[図 24]実施の形態 13における移動体情報保証システムの構成図である。

圆 25]実施の形態 13における範囲判定部の動作を説明する図である。

[図 26]実施の形態 14における移動体情報保証システムの構成図である。

[図 27]実施の形態 14における移動体情報記憶装置 3と各移動体情報検証装置との やり取りを示す。

[図 28]実施の形態 14におけるサービス管理テーブルの一例を示す。

[図 29]実施の形態 16における移動体情報保証システムの構成図である。

[図 30]実施の形態 17における移動体情報保証システムの構成図である。

[図 31]実施の形態 17におけるタツチパネル表示の一例を示す。

[図 32]実施の形態 18における移動体情報保証システムの構成図である。

[図 33]実施の形態 19における移動体情報保証システムの構成図である。

[図 34]実施の形態 20における移動体情報保証システムの構成図である。

[図 35]実施の形態 21における情報記憶プログラムの処理を示すフローチャートであ る。

[図 36]実施の形態 21におけるコンピュータシステムのハードウェア構成を示す。

[図 37]実施の形態 22における環境情報記憶装置 2003の構成図である。

[図 38]実施の形態 22における環境情報記憶装置 2003の動作のフローチャートであ る。

圆 39]実施の形態 22における環境情報と完全性情報との対応関係を示す図である [図 40]実施の形態 23における環境情報記憶装置 2003の構成図である。

[図 41]実施の形態 24における環境情報記憶装置 2003の構成図である。

[図 42]実施の形態 24における具体例を示す図である。

[図 43]実施の形態 25における複数のセンサ群と環境情報記憶装置 2003との関係を 示す図である。

[図 44]実施の形態 26における環境情報保障システム 2000の構成図である。

[図 45]実施の形態 26における認証動作を示す図である。

[図 46]実施の形態 26における別の認証動作を示す図である。

[図 47]実施の形態 27における環境情報保障システム 2000の構成図である。

[図 48]実施の形態 27における動作を示す図である。

[図 49]実施の形態 27における認証動作を示す図である。

[図 50]実施の形態 27における別のシステム構成を示す図である。

[図 51]実施の形態 28における環境情報保障システム 2000の構成図である。

[図 52]実施の形態 29における環境情報保障システム 2000の構成図である。

[図 53]実施の形態 29における認証動作を示す図である。

[図 54]実施の形態 30における環境情報記憶装置 2003の構成図である。

[図 55]実施の形態 30における認証動作を示す図である。

[図 56]実施の形態 31における環境情報保障システム 2000の構成図である。

[図 57]実施の形態 32における環境情報記憶装置 2003の構成図である。

[図 58]実施の形態 33における環境情報記憶装置 2003の構成図である。

[図 59]実施の形態 34における環境情報記憶装置 2003の構成図である。

[図 60]実施の形態 35における環境情報記憶方法のフローチャートである。

[図 61]実施の形態 35における環境情報記憶プログラムのフローチャートである。 符号の説明

1 移動体、 2 センサ群、 2a, 2b, 2c センサ、 3 移動体情報記憶装置、 20 改ざ ん防止部、 21 記憶部、 22 制御部、 31 装置側固有情報記憶部、 32 移動体情 報記憶部、 33 完全性情報記憶部、 34 移動体情報群記憶部、 60 シール、 61 暗証番号応答画面、 62 タツチパネル、 201 装置側演算部、 301 移動体側固有 情報処理部、 302 分離防止部、 303 特殊ネジ、 311 移動体側固有情報記憶部 、 401 ノ ッテリ、 402 信号線、 501 情報消去部、 600, 600a, 600b 移動体情 報検証装置、 601 検証部、 701 処理部、 801 記憶側通信部、 802 検証側通信 部、 805 コンピュータシステム、 810 CPU, 811 ROM, 812 センサ、 813 通 信ボード、 820 磁気ディスク装置、 821 OS、 823 プログラム群、 824 フアイノレ群 、 901 通信先認証部、 1001 ICカード、 1201 センサ確認部、 1301 範囲判定 部、 1401 選択部、 1402 サービス管理テーブル、 1601 マンマシンインタフエ一 ス部、 1701 操作者認証部、 1801 暗号部、 1802 復号部、 2000 環境情報保 証システム、 2001 物、 2002 センサ群、 2002— 1, 2002— 2 センサ群、 2002a , 2002b,2002c センサ、 2003 環境情報記憶装置、 2020 改ざん防止部、 202 1 記憶部、 2022 制御部、 2023 存在検出部、 2031 特定情報記憶部、 2032 環境情報記憶部、 2033 完全性情報記憶部、 2040, 2040a, 2040b 倉庫 Zコン テナ、 2041 扉 Z蓋、 2042 開閉検知センサ、 2043 無線タグ、 2044 無線タグリ ーダ、 2045 識別情報比較部、 2050 格納機器、 2051 外部インタフェース部、 2 052 格納制御部、 2060 時計部、 2061 自動調整部、 2201 装置側演算部、 26 00, 2600a, 2600b 端末装置、 2601 検証部、 2701 処理部、 2801 記憶側通 信部、 2802 検証側通信部、 2901 通信先認証部、 3201 センサ確認部、 3801 暗号部、 3802 復号部。

Claims

請求の範囲

[1] 移動体に装備され、前記移動体に関する情報を記憶する情報記憶装置において、 前記移動体に関する情報を検出するセンサが検出した情報に基づくセンサ情報を 記憶するセンサ情報記憶部と、

前記移動体を特定可能な特定情報を取得し、取得した前記特定情報と前記センサ 情報記憶部が記憶した前記センサ情報とに基づいて、前記特定情報と前記センサ 情報との少なくとも 、ずれかに対する改ざんの有無を検証するために使用する改ざ ん検証用情報を生成する改ざん検証用情報生成部と、

前記改ざん検証用情報生成部が生成した前記改ざん検証用情報を記憶する改ざ ん検証用情報記憶部と

を備えたことを特徴とする情報記憶装置。

[2] 前記情報記憶装置は、さらに、

前記特定情報を装置側特定情報として記憶する装置側特定情報記憶部を備え、 前記改ざん検証用情報生成部は、

前記装置側特定情報記憶部が記憶した前記装置側特定情報を取得することを特 徴とする請求項 1記載の情報記憶装置。

[3] 前記移動体は、

前記特定情報を移動体側特定情報として記憶する移動体側特定情報記憶部を備 え、

前記改ざん検証用情報生成部は、

前記移動体側特定情報記憶部が記憶した前記移動体側特定情報を取得すること を特徴とする請求項 1記載の情報記憶装置。

[4] 前記情報記憶装置は、さらに、

自己と前記移動体とが分離しているかどうかを検出する分離検出部を備えたことを 特徴とする請求項 1記載の情報記憶装置。

[5] 前記情報記憶装置は、さらに、

自己が装備された前記移動体である前記装備移動体が、予め装備されることが指 定された指定移動体かどうかを判断する移動体判断部を備えたこと特徴とする請求 項 1記載の情報記憶装置。

[6] 前記情報記憶装置は、さらに、

前記移動体判断部が前記装備移動体は前記指定移動体ではないと判断した場合 に、前記センサ情報記憶部が記憶した前記センサ情報を消去する情報消去部を備 えたことを特徴とする請求項 5記載の情報記憶装置。

[7] 前記装備移動体は、

移動体である自己を特定可能な移動体側特定情報を記憶する移動体側特定情報 記憶部を備え、

前記情報記憶装置は、さらに、

前記指定移動体を特定可能な装置側特定情報を記憶する装置側特定情報記憶 部を備え、

前記移動体判断部は、

前記装置側特定情報記憶部が記憶した前記装置側特定情報と前記移動体側特 定情報記憶部が記憶した前記移動体側特定情報とを入力し、入力した前記装置側 特定情報と前記移動体側特定情報とに基づ!、て、前記装備移動体が前記指定移動 体かどうかを判断することを特徴とする請求項 5記載の情報記憶装置。

[8] 前記改ざん検証用情報生成部は、

前記移動体判断部が前記装備移動体を前記指定移動体と判断した場合に、前記 移動体判断部が入力した前記装置側特定情報と前記移動体側特定情報とのうちの Vヽずれかを選択対象として選択して取得し、取得した前記選択対象と前記センサ情 報記憶部が記憶した前記センサ情報とに基づいて、前記選択対象と前記センサ情 報との少なくともいずれかに対する改ざんの有無を検証するために使用する改ざん 検証用情報を生成することを特徴とする請求項 7記載の情報記憶装置。

[9] 前記装備移動体は、

通信により認証要求を受け付けて、予め設定された規則に基いて認証処理を実行 する移動体側認証実行部を備え、

前記移動体判断部は、

前記移動体側認証実行部に前記認証要求を送信し、前記予め設定された規則に 基いて前記移動体側認証実行部との間で認証処理を実行することにより、前記装備 移動体が前記指定移動体かどうかを判断することを特徴とする請求項 5記載の情報 記憶装置。

[10] 前記情報記憶装置は、さらに、

前記センサが正当かどうかを確認するセンサ確認部を備えたことを特徴とする請求 項 1記載の情報記憶装置。

[11] 移動体に装備され、前記移動体に関する情報を記憶する情報記憶装置において、 前記移動体に関する情報を検出する複数のセンサのそれぞれが検出したそれぞ れの情報に基づくぞれぞれのセンサ情報を入力し、予め設定された条件に基づいて 前記それぞれのセンサ情報のうちから少なくとも一つのセンサ情報を選択する選択 部と、

前記選択部が選択したセンサ情報力 構成されるグループを示す選択情報群を記 憶する選択情報群記憶部と、

前記移動体を特定可能な特定情報を取得し、取得した前記特定情報と前記選択 情報群記憶部が記憶した前記選択情報群とに基づ!、て、前記特定情報と前記選択 情報群に含まれる前記センサ情報との少なくともいずれかに対する改ざんの有無を 検証するために使用する改ざん検証用情報を生成する改ざん検証用情報生成部と 前記改ざん検証用情報生成部が生成した前記改ざん検証用情報を記憶する改ざ ん検証用情報記憶部と

を備えたことを特徴とする情報記憶装置。

[12] 移動体に装備され、前記移動体に関する情報を記憶する情報記憶装置において、 前記移動体に関する情報を検出する複数のセンサのそれそれが検出したそれぞ れの情報に基づくそれぞれのセンサ情報を記憶するセンサ情報記憶部と、

予め設定された条件に基づ!、て、前記センサ情報記憶部が記憶した前記それぞれ のセンサ情報のうちから少なくとも一つのセンサ情報を選択する選択部と、

前記移動体を特定可能な特定情報を取得し、取得した前記特定情報と前記選択 部が選択したセンサ情報力 構成されるグループを示す前記選択情報群とに基づい て、前記特定情報と前記選択情報群に含まれる前記センサ情報との少なくともいず れかに対する改ざんの有無を検証するために使用する改ざん検証用情報を生成す る改ざん検証用情報生成部と、

前記改ざん検証用情報生成部が生成した前記改ざん検証用情報を記憶する改ざ ん検証用情報記憶部と

を備えたことを特徴とする情報記憶装置。

[13] 前記情報記憶装置は、さらに、

前記センサ情報を入力し、入力した前記センサ情報が予め設定された条件に合致 するかどうかを判定し、前記条件に合致すると判定した場合に、入力した前記センサ 情報を前記

センサ情報記憶に記憶させる条件判定部を備えたことを特徴とする請求項 1記載の 情報記憶装置。

[14] 前記情報記憶装置は、さらに、

前記センサ情報記憶部が記憶した前記センサ情報と、前記改ざん検証用情報生 成部が取得した前記特定情報と、前記改ざん検証用情報記憶部が記憶した前記改 ざん検証用情報とを出力する出力部を備えたことを特徴とする請求項 1記載の情報 記憶装置。

[15] 前記出力部は、

前記センサ情報と前記特定情報と前記改ざん検証用情報とを出力する場合に、出 力先が予め指定された指定装置カゝどうかを認証する出力先認証部を備えたことを特 徴とする請求項 14記載の情報記憶装置。

[16] 前記出力部は、

情報を記憶可能であるとともに携帯が可能である携帯型記憶媒体に、前記センサ 情報と前記特定情報と前記改ざん検証用情報とを出力することを特徴とする請求項 14記載の情報記憶装置。

[17] 前記出力部は、

予め設定された時間間隔で、前記センサ情報と前記特定情報と前記改ざん検証用 情報とを出力することを特徴とする請求項 14記載の情報記憶装置。

[18] 前記情報記憶装置は、さらに、

操作者による操作を受け付け、受け付けた前記操作に基いて、前記出力部に対し て出力を命じる命令部を備え、

前記出力部は、

前記命令部から出力を命じられた場合に、前記センサ情報と前記特定情報と前記 改ざん検証用情報とを出力することを特徴とする請求項 14記載の情報記憶装置。

[19] 前記情報記憶装置は、さらに、

前記命令部が受け付けた前記操作者による前記操作に基づ ヽて、前記操作者が 正当であるかどうかを認証する操作者認証部を備え、

前記命令部は、

前記操作者認証部が前記操作者を正当と認証した場合に、前記出力部に対して 出力を命じることを特徴とする請求項 18記載の情報記憶装置。

[20] 移動体に装備され、前記移動体の情報を記憶するコンピュータである情報記憶装 置に以下の処理を実行させる情報記憶プログラム

(1)前記移動体に関する情報を検出するセンサが検出した情報に基づくセンサ情報 を記憶する処理

(2)前記移動体を特定可能な特定情報を取得し、取得した前記特定情報と記憶した 前記センサ情報とに基づいて、前記特定情報と前記センサ情報との少なくともいずれ かに対する改ざんの有無を検証するために使用する改ざん検証用情報を生成する 処理

(3)生成した前記改ざん検証用情報を記憶する処理

[21] 情報を検出するセンサ力 前記センサが検出した情報を入力する情報入力部と、 前記情報入力部が前記センサから入力した情報に基づくセンサ情報を記憶するセ ンサ情報記憶部と、

前記センサ情報記憶部が記憶した前記センサ情報に基づ!/、て、前記センサ情報に 対する改ざんの有無を検証するために使用する改ざん検証用情報を生成する改ざ ん検証用情報生成部と、

前記改ざん検証用情報生成部が生成した前記改ざん検証用情報を記憶する改ざ ん検証用情報記憶部と

を備えたことを特徴とする情報記憶装置。

[22] 前記情報記憶装置は、さらに、

所定の情報を記憶する装置側特定情報記憶部を備え、

前記改ざん検証用情報生成部は、

前記センサ情報記憶部が記憶した前記センサ情報と前記装置側特定情報記憶部 が記憶した前記所定の情報とに基づ!/、て、前記所定の情報と前記センサ情報との少 なくともいずれかに対する改ざんの有無を検証するために使用する改ざん検証用情 報を生成することを特徴とする請求項 21の情報記憶装置。

[23] 前記センサは、

自己が配置されている環境に関する情報を検出し、

前記装置側特定情報記憶部は、

前記所定の情報として、前記センサが配置される前記環境と自己である前記環境 情報記憶装置が配置される場所との少なくともいずれかを特定可能な特定情報を記 憶することを特徴とする請求項 22記載の情報記憶装置。

[24] 前記情報記憶装置は、さらに、

前記センサが配置されて 、る環境に所定の物が継続して置かれて 、るかどうかを 検出する存在検出部を備え、

前記改ざん検証用情報生成部は、

前記センサ情報記憶部が記憶した前記センサ情報と前記存在検出部が検出した 検出結果とに基づいて、前記センサ情報と前記検出結果との少なくともいずれかに 対する改ざんの有無を検証するために使用する改ざん検証用情報を生成することを 特徴とする請求項 21記載の情報記憶装置。

[25] 前記情報記憶装置は、さらに、

前記センサ情報記憶部が記憶した前記センサ情報と、前記装置側特定情報記憶 部が記憶した前記所定の情報と、前記改ざん検証用情報記憶部が記憶した前記改 ざん検証用情報とを他の装置に出力する出力部を備えたことを特徴とする請求項 22 記載の情報記憶装置。

[26] 前記出力部は、

前記センサ情報と前記所定の情報と前記改ざん検証用情報とを出力する場合に、 前記他の装置を認証する出力先認証部を備えたことを特徴とする請求項 25記載の 情報記憶装置。

[27] 前記情報記憶装置は、さらに、

前記センサが正当かどうかを確認するセンサ確認部を備えたことを特徴とする請求 項 21記載の情報記憶装置。

[28] 前記情報記憶装置は、

所定の情報を格納する格納機器力 前記所定の情報を入力する外部インタフエ一 ス部と、

前記外部インタフェース部が前記格納機器から前記所定の情報を入力する場合に 前記格納機器との間で通信を行うことにより前記格納機器が正当であるかどうかを認 証し、正当と判断した場合に、前記所定の情報を前記装置側特定情報記憶部に記 憶する格納制御部と

を備えたことを特徴とする請求項 22記載の情報記憶装置。

[29] 前記情報記憶装置は、

所定の情報を格納する格納機器力 前記所定の情報を入力する外部インタフエ一 ス部と、

前記外部インタフェース部が入力した前記所定の情報が正当であるかどうかを認証 し、正当と判断した場合に、前記所定の情報を前記装置側特定情報記憶部に記憶 する格納制御部と

を備えたことを特徴とする請求項 22記載の情報記憶装置。

[30] 情報を検出するセンサ力 前記センサが検出した情報を入力する情報入力部と、 前記情報入力部が前記センサから入力した情報に基づくセンサ情報を記憶するセ ンサ情報記憶部と、

前記センサ情報記憶部が記憶した前記センサ情報に基づ!/、て、前記センサ情報に 対する改ざんの有無を検証するために使用する改ざん検証用情報を生成する改ざ ん検証用情報生成部と、 前記改ざん検証用情報生成部が生成した前記改ざん検証用情報を記憶する改ざ ん検証用情報記憶部と、

前記センサ情報記憶部が記憶した前記センサ情報と、前記改ざん検証用情報記 憶部が記憶した前記改ざん検証用情報とを出力する出力部とを備えた情報記憶装 置から、

前記情報記憶装置が出力した前記センサ情報と前記改ざん検証用情報とを入力し 、入力した前記センサ情報と前記改ざん検証用情報とを用いることにより前記センサ 情報の正当性を検証する検証部を備えたことを特徴とする検証装置。

[31] コンピュータである情報記憶装置が行なう情報記憶方法にお!、て、

情報入力部が、情報を検出するセンサ力 前記センサが検出した情報を入力し、 センサ情報記憶部が、前記情報入力部が前記センサから入力した情報に基づくセ ンサ情報を記憶し、

改ざん検証用情報生成部が、前記センサ情報記憶部が記憶した前記センサ情報 に基づ!/、て、前記センサ情報に対する改ざんの有無を検証するために使用する改ざ ん検証用情報を生成し、

改ざん検証用情報記憶部が、前記改ざん検証用情報生成部が生成した前記改ざ ん検証用情報を記憶することを特徴とする情報記憶方法。

[32] 以下の処理をコンピュータに実行させることを特徴とする情報記憶プログラム

(1)情報を検出するセンサ力 前記センサが検出した情報を入力する処理

(2)前記センサから入力した情報に基づくセンサ情報を記憶する処理

(3)記憶した前記センサ情報に基づ!/、て、前記センサ情報に対する改ざんの有無を 検証するために使用する改ざん検証用情報を生成する処理

(4)生成した前記改ざん検証用情報を記憶する処理