WO2009119079A1

WO2009119079A1 - データ暗号化装置

Info

Publication number: WO2009119079A1
Application number: PCT/JP2009/001313
Authority: WO
Inventors: 横田薫; 野仲真佐男; 布田裕一; 松崎なつめ
Original assignee: パナソニック株式会社
Priority date: 2008-03-25
Filing date: 2009-03-25
Publication date: 2009-10-01
Also published as: EP2244414A1; CN101978649A; US20110022851A1; CN101978649B; JP5436412B2; US8683229B2; JPWO2009119079A1

Abstract

　可搬型のデータセンサータグ（２）であって、メモリ（２４）と、外部端末から無線の起動信号を受信し、受信した前記起動信号により発生する起電力で動作することにより前記外部端末から暗号鍵を受信し、受信した前記暗号鍵をメモリ（２４）に格納するデータ通信回路（２０）と、電力を供給する電源（２３）と、前記電源（２３）からの電力供給をＯＦＦ状態からＯＮ状態に切替える絶縁体（２７）と、前記電源（２３）からの電力供給がＯＮ状態に切替えられた後、前記電源（２３）から供給される電力で動作し、前記メモリ（２４）から前記暗号鍵を読み出し、読み出した前記暗号鍵を用いて計測データを暗号化し、暗号化された計測データを前記メモリ（２４）に格納するセンサー回路（２２）とを具備する。

Description

データ暗号化装置

　本発明は、ユーザ側で計測されたユーザの体重、血圧などの健康情報を通信ネットワーク経由で受信し、前記健康情報を元に健康アドバイスなどをユーザに返送するヘルスケア管理サービスにおいて、健康情報の機密性を保護することが可能なセキュアヘルスケア管理システムに関する。

　温度センサー、化学センサー、圧力センサー、バイオセンサーなどの各種センサー機能と、ＲＦＩＤ（Ｒａｄｉｏ　Ｆｒｅｑｕｅｎｃｙ　Ｉｄｅｎｔｉｆｉｃａｔｉｏｎ）などの通信機能との両方の機能を兼ね備えたタグの開発が進められている。また、それらタグを用いた各種アプリケーションも検討されている。例えば、輸送する生鮮食料品や美術品に、温度センサーや湿度センサーなどのセンサー機能を有するタグを付けて、輸送時の温度、湿度を管理をするような応用が考えられる。他にも、体温、血糖値、心拍数などを長期間あるいは定期的に計測する必要のある患者向けの健康管理用途が考えられる。それらの生体情報計測機能を有するタグ（以降、「センサータグ」と呼ぶ）を患者の体に貼り付けることにより、定期的に生体情報を計測することができる。計測した生体情報は、センサータグ内に蓄積しておく。センサータグは、一定期間の計測が終わった後に、患者の体から取り外され、内部に蓄積されたデータが読み出される。センサータグを超小型化することにより、患者が意識することなく定期的な生体情報計測が可能となる。

　上記の健康管理用途にセンサータグを用いる場合、センサータグ内に蓄積される計測情報の機密性担保が必要となる。即ち、計測した生体情報は、被計測者にとってはプライバシー情報である。このため、例えば、体に貼り付けていたセンサータグが気づかないうちに剥がれ落ちて第三者に拾得された場合や、データ読出し後のセンサータグの管理の不徹底により第三者の手に渡った場合には、内部に記録されている計測データが漏洩してしまう恐れがある。そのようなデータ漏洩を防止するために、計測した生体情報をセンサータグ内部で暗号化して蓄積するような仕組みが必要である。

　センサータグ内で暗号化処理を行う場合、鍵は商品（センサータグ）の出荷後に設定できる必要がある。健康管理用途の場合、センサータグは病院が購入し病院から患者に提供される。したがって、ある病院の鍵が漏洩することで、他の病院の患者の計測情報が漏洩してしまう恐れがないように、鍵は病院ごとに異ならせることが必要である。即ち、センサータグは、鍵が設定されていない状態で出荷されて病院に納入され、各病院で鍵の設定ができるようにする必要がある。

　また、センサータグは、計測中は電力が供給されている必要があり、かつ、計測中はセンサータグ外部から電力供給する手段がないために、電池内蔵式である。さらに、常時患者の身に貼り付けておくことから、超小型形状である必要がある。このため、電源からの電力供給をＯＮ、ＯＦＦするようなスイッチ機構を設けることは難しい。したがって、例えば、電池とセンサータグ回路との間に絶縁体を装着しておき、使用時には絶縁体を取り除いて電源からの電力供給をＯＮとするような仕組みを取らざるを得ない。この場合、一旦除去した絶縁体を再び電池とセンサータグとの間に装着することは難しい。即ち、電源からの電力供給をＯＦＦの状態からＯＮの状態に一旦すると、電源からの電力供給をＯＦＦの状態に戻すことは（電池が切れるまでは）できない。

　上記の前提の下で、従来のセンサータグに暗号化機能を付加すると、以下の通りになる。まず、鍵が設定されていないセンサータグが、病院に納入される。病院では、センサータグの電源からの電力供給をＯＮにして、鍵を設定する。病院は鍵設定済みのセンサータグを患者に提供し、患者は受け取ったセンサータグを体に貼り付けて生体情報の計測を行う。センサータグは体に貼り付けられている間、生体情報を計測し設定されている鍵で暗号化して内部に蓄積してゆく。計測が完了した後、患者は計測済みのセンサータグを病院に引き渡す。そして、病院は、センサータグから計測された暗号化生体情報を読出し、病院が保持している鍵で復号して、平文の生体情報を得る。センサータグ内の生体情報は暗号化されている。このため、たとえセンサータグが第三者の手に渡ったとしても、第三者は鍵を持っていないため平文の生体情報を得ることはできず、情報漏洩の心配はない。
特開２００６－１９７２０２号公報

　しかしながら、従来技術においては、鍵の設定を行う際にセンサータグの電源からの電力供給をＯＮにする必要がある。このため、計測開始までに電池が消耗してしまうという課題を有している。即ち、センサータグは、構成上小さくする必要があり、電源スイッチをできるだけ簡略化した構成、例えば片方向のスイッチにすることが考えられる。しかし、この構成では、一度電源からの電力供給をＯＮにするとＯＦＦにすることができないため、鍵の設定を行ってから患者がセンサータグを体に装着するまでの間は、電源からの電力供給がＯＮのままになり、電池を無駄に消耗してしまう。これを避けるためには、病院は患者にセンサータグを渡す直前に鍵の設定を行う必要があり、患者はセンサータグを受け取るとできるだけ早く体に貼り付けて計測を開始する必要がある。しかし、病院は、まとめ買いしたセンサータグを入手後、一括して鍵設定を行い在庫として保管するような運用ができなくなり、また、長期に渡って継続的な計測が必要な患者に対して、まとまった数のセンサータグを渡すことができず、運用面で多大な負担を強いることになる。

　また以下のような別の課題もある。センサータグは体につけるものであるため、滅菌処理したうえでパッケージに入った状態で出荷されることが想定される。この場合、病院で鍵を設定するために、パッケージを破って電源からの電力供給をＯＮにする必要がある。しかし、患者である被計測者が使用するより前に滅菌処理されたパッケージが破られてしまうのは、衛生上問題を生じると考えられる。

　特許文献１には、電波により電源エネルギーの供給を受けるパッシブ構造体と内部の電源から電源エネルギーの供給を受けるアクティブ構造体とを搭載した電子タグが開示されている。この電子タグでは、パッシブ構造体において識別情報を受信し、アクティブ構造体において受信した識別情報を送信する。即ち、特許文献１が開示する電子タグにおいては、識別情報の設定時には、パッシブ構造体が用いられるため、内部電源からの電力供給をＯＮにする必要がない。しかし、特許文献１では、電子タグに設定するのは、物品などの識別情報だけであり、電子タグ内で暗号処理を行う方法や、鍵を設定するための方法については開示されておらず、前記課題を解決することはできない。

　本発明は、前記課題を解決するもので、使用する前に事前の鍵設定が必要となるセンサータグシステムにおいて、鍵設定者やセンサータグ使用者に運用上の負担を強いることがなく、かつ、センサータグが使用される直前まで衛生的な状態を保つことが可能な暗号化機能付きセンサータグを提供することを目的とする。

　上記目的を達成するために、本発明に係るデータ暗号化装置は、可搬型のデータ暗号化装置であって、記憶部と、外部端末から無線の起動信号を受信し、受信した前記起動信号により発生する起電力で動作することにより前記外部端末から暗号鍵を受信し、受信した前記暗号鍵を前記記憶部に格納する無線通信回路と、電力を供給する一次電池と、前記一次電池からの電力供給をＯＦＦ状態からＯＮ状態に切替える切替手段と、前記一次電池からの電力供給がＯＮ状態に切替えられた後、前記一次電池から供給される電力で動作し、前記記憶部から前記暗号鍵を読み出し、読み出した前記暗号鍵を用いて所定の暗号化対象のデータを暗号化し、暗号化されたデータを前記記憶部に格納する暗号化回路と、を具備する。

　本態様によると、無線通信回路は、外部端末から無線の起動信号を受信し、この受信した起動信号により発生する起電力で動作して前記外部端末から暗号鍵を受信し、記憶部に格納する。一方、暗号化回路は、一次電池からの電力供給がＯＮ状態になったとき前記一次電池から供給された電力で動作し、前記暗号鍵を読み出して所定の暗号化対象のデータを暗号化して前記記憶部に格納する。これによると、前記無線通信回路が外部装置から暗号鍵を受信する際には、データ暗号化装置内の一次電池を使用しないので、前記暗号鍵の受信から前記所定の暗号化対象のデータの暗号化までに時間が経過する場合であっても、前記暗号化回路が所定の暗号化対象のデータを暗号化する際に装置内の一次電池が消耗されているという事態を防止できる。

　また、電源として寿命の短い一次電池を用いた場合であっても、前記無線通信回路が外部装置から暗号鍵を受信する際には前記一次電池の電力を使用しないので、前記暗号化回路が所定の暗号化対象のデータを暗号化する際に前記一次電池の電力が消耗されているという事態を防止できる。

　また、無線で暗号鍵を受信できるため、滅菌処理されたパッケージを破ることなくデータ暗号化装置に暗号鍵を設定することができる。よって、データ暗号化装置が使用される直前まで衛生的な状態を保つことができる。

　好ましくは、上述のデータ暗号化装置は、さらに、前記無線通信回路から前記記憶部へのアクセスと、前記暗号化回路から前記記憶部へのアクセスと、を制御する記憶部制御部を備え、前記記憶部制御部は、前記暗号化回路が前記一次電池から供給された電力で動作するとき、前記無線通信回路から前記記憶部へのデータの書込みを禁止する。

　本態様によると、前記暗号化回路が前記一次電池から供給された電力で動作したとき、前記記憶部制御部は前記無線通信回路から前記記憶部へのデータの書込みを禁止する。これによると、前記暗号化対象のデータの暗号化が開始されるときには、あらたな暗号鍵を前記記憶部に記憶できないので、前記暗号化対象のデータの暗号化が開始されるときに、誤って暗号鍵が書き換えられるのを防止できる。

　さらに好ましくは、前記暗号化回路は、前記データ暗号化装置のユーザの生体データを計測するセンサー回路であって、前記記憶部から前記暗号鍵を読み出し、読み出した前記暗号鍵を用いて前記生体データを暗号化し、暗号化された生体データを前記記憶部に格納する。

　本態様によると、前記暗号化回路を、データ暗号化装置のユーザの生体データを計測するセンサー回路とし、センサー回路が、前記記憶部から前記暗号鍵を読み出して前記生体データを暗号化して前記記憶部に格納することができる。この場合、前記データ暗号化装置を、ユーザの生体データを計測する計測装置として用いることができる。

　また、上述のデータ暗号化装置は、さらに、ユーザの生体データを計測する外部の計測装置から、前記生体データを入力として受け付ける入力部を備え、前記暗号化回路は、前記生体データを前記所定の暗号化対象のデータとして暗号化し、暗号化された生体データを前記記憶部に格納してもよい。

　本態様によると、入力部が、ユーザの生体データを計測する外部の計測装置から前記生体データを入力として受け、前記暗号化回路が、前記生体データを前記所定の暗号化対象のデータとして暗号化して前記記憶部に格納することができる。この場合、前記データ暗号化装置を、ユーザの生体データを計測する計測装置とは別体のデータ暗号化装置として用いることができる。

　また、前記記憶部に前記暗号鍵が記憶されていない状態で、前記一次電池からの電力供給がＯＮ状態になって前記暗号化回路が前記一次電池から供給された電力で動作する場合、前記暗号化回路は前記所定の暗号化対象のデータを暗号化せずに前記記憶部に格納してもよい。

　本態様によると、前記記憶部に前記暗号鍵が記憶されていない状態で、前記一次電池からの電力供給がＯＮ状態になって前記暗号化回路が前記一次電池から供給された電力で動作した場合、前記所定の暗号化対象のデータを暗号化せずに前記記憶部に格納することができる。

　また、前記記憶部に前記暗号鍵が記憶されていない状態で、前記一次電池からの電力供給がＯＮ状態になって前記暗号化回路が前記一次電池から供給された電力で動作する場合、前記暗号化回路は前記所定の暗号化対象のデータを破棄して前記記憶部への格納は行わなくてもよい。

　本態様によると、前記記憶部に前記暗号鍵が記憶されていない状態で、前記一次電池からの電力供給がＯＮ状態になって前記暗号化回路が前記一次電池から供給された電力で動作した場合、前記所定の暗号化対象のデータを破棄して前記記憶部への格納は行わないようにすることができる。この場合、前記記憶部には暗号化されない状態で、前記所定の暗号化対象のデータが格納されることはないので、前記所定の暗号化対象のデータの秘匿性を保障できる。

　好ましくは、前記切替手段は、前記一次電池からの電力供給をＯＦＦ状態からＯＮ状態への一方向にのみ切替える。

　本態様によると、前記切替手段を、前記一次電池からの電力供給をＯＦＦ状態からＯＮ状態への一方向にのみ切替えることができる。この場合、前記一次電池からの電力供給をＯＮ状態とする機構を簡易にできる。その結果、データ暗号化装置を小型化できる。

　さらに好ましくは、前記一次電池と前記暗号化回路とは、互いに接触する方向に付勢されており、前記切替手段は、付勢された前記一次電池と前記暗号化回路との間に介在する絶縁体である。

　本態様によると、前記切替手段を、前記一次電池と前記暗号化回路との間に介在する絶縁体とすることができる。この場合、前記絶縁体をデータ暗号化装置本体から引き抜けば、前記一次電池からの電力供給をＯＮ状態にできる。その結果、データ暗号化装置の構成を簡易にしつつ小型化を図ることができる。

　好ましくは、前記暗号化対象データは、前記データ暗号化装置のユーザの個人情報である。

　本態様によると、前記暗号化対象データを、データ暗号化装置のユーザの個人情報とすることができる。

　また、前記暗号化回路は、前記データ暗号化装置が付与されている物品の周囲の環境情報を計測するセンサー回路であって、前記記憶部から前記暗号鍵を読み出し、読み出した前記暗号鍵を用いて前記環境情報を暗号化し、暗号化された環境情報を前記記憶部に格納してもよい。

　本態様によると、前記暗号化回路を、データ暗号化装置が付与されている物品の周囲の環境情報を計測するセンサー回路とし、前記記憶部から前記暗号鍵を読み出して前記環境情報を暗号化して前記記憶部に格納することができる。この場合、例えば、輸送中の生鮮食料品にデータ暗号化装置を付けて、データ暗号化装置に輸送中の温度、湿度、照度などの環境情報を格納することができる。

　また、前記無線通信回路は、ＲＦＩＤ（Radio Frequency Identification）の通信回路であってもよい。

　本態様によると、前記無線通信回路を、ＲＦＩＤの通信回路とすることができる。この場合、データ暗号化装置をＲＦＩＤタグとして用いることができる。

　また、上述のデータ暗号化装置は、さらに、前記記憶部が前記暗号鍵を記憶していることを示す表示を行う表示部を備えていてもよい。

　本態様によると、前記記憶部が前記暗号鍵を記憶していることを示す表示を行う表示部を設けることにより、前記記憶部に前記暗号鍵が格納された状態か否かをデータ暗号化装置を外部から視認することにより用意に確認できる。そのため、ユーザは、前記記憶部に前記暗号鍵が格納されていることを確認した上で、本データ暗号化装置を使用することができ、前記所定の暗号化対象のデータの秘匿性を保障できる。

　また、上述のデータ暗号化装置は、さらに、前記無線通信回路から前記記憶部へのアクセスと、前記暗号化回路から前記記憶部へのアクセスと、を制御する記憶部制御部を備え、前記記憶部制御部は、前記暗号化回路が前記一次電池から供給された電力で動作するとき、前記暗号化回路から前記記憶部へのデータの書込みを許可し、前記無線通信回路から前記記憶部へのデータの書込みを禁止し、前記暗号化回路は、前記データ暗号化装置のユーザの生体データを計測するセンサー回路であって、前記記憶部から前記暗号鍵を読み出し、読み出した前記暗号鍵を用いて前記生体データを暗号化し、暗号化されたデータを前記記憶部に格納し、前記記憶部制御部は、前記無線通信回路から前記記憶部に格納された前記暗号化されたデータの取得依頼を受けた場合、前記暗号化回路から前記記憶部へのデータの書込みを禁止し、前記無線通信回路は、前記暗号化回路から前記記憶部へのデータの書込みを禁止された後、前記記憶部に格納された前記暗号化されたデータを所定の宛先に送信してもよい。

　本態様によると、前記記憶部制御部は、前記無線通信回路から前記記憶部に格納された暗号化されたデータの取得依頼を受けた場合、前記暗号化回路から前記記憶部へのデータの書込みを禁止する。一方、前記無線通信回路は、前記暗号化回路から前記記憶部へのデータの書込みを禁止された後、前記暗号化回路が暗号化して前記記憶部に格納した暗号化されたデータを読み出して所定の宛先に送信する。これにより、前記無線通信回路によるデータ送信中に前記暗号化回路による前記記憶部への書込みは行われないので、前記記憶部内に格納された暗号化されたデータの送信データ漏れを防止できる。

　さらに好ましくは、前記記憶部制御部は、前記無線通信回路から前記記憶部に格納された前記暗号化されたデータの取得依頼を受けた場合、所定期間内に前記暗号化回路から前記記憶部への書き込みがあったか否かを判断し、前記暗号化回路から前記記憶部への書き込みが前記所定期間無かったと判断した場合、前記暗号化回路から前記記憶部へのデータの書込みを禁止する。

　本態様によると、前記記憶部制御部は、前記暗号化回路から前記記憶部への書き込みが所定期間無かった場合、前記一次電池の電力が消耗したものとみなして、前記暗号化回路から前記記憶部へのデータの書込みを禁止する。これにより、前記記憶部に、無線通信回路に送信すべき暗号化されたデータが十分格納された場合に、前記無線通信回路は前記記憶部から前記暗号化されたデータを読み出して所定の宛先に送信できる。そのため、例えば、前記一次電池からの電力供給がＯＮ状態となった直後に前記無線通信回路による取得依頼を受けた場合のように、前記記憶部に、無線通信回路に送信すべき暗号化されたデータが十分格納されていない状態で、前記記憶部から前記暗号化されたデータが送信される非効率を簡易な構成で防止できる。

　さらに好ましくは、前記記憶部制御部は、前記無線通信回路から前記記憶部に格納された前記暗号化されたデータの取得依頼を受けた場合、所定期間内に前記暗号化回路から前記記憶部への書き込みがあったか否かを判断し、前記暗号化回路から前記記憶部への書き込みが前記所定期間内にあったと判断した場合、前記暗号化回路から前記記憶部へのデータの書込みを許可し、前記無線通信回路から前記記憶部へのデータの書込みを禁止する状態を維持する。

　本態様によると、前記記憶部制御部は、前記暗号化回路から前記記憶部への書き込みが前記所定期間内に存在する場合、前記一次電池の電力の寿命はまだあると判断して、前記暗号化回路から前記記憶部へのデータの書込みを許可し、前記無線通信回路から前記記憶部へのデータの書込みを禁止する状態を維持する。これにより、前記一次電池の電力の寿命はまだあると判断した場合には、前記無線通信回路から前記記憶部に格納された暗号化データの取得依頼を受けた場合であっても、前記記憶部に、無線通信回路に送信すべき暗号化されたデータを格納する処理を継続する。そのため、例えば、前記一次電池からの電力供給がＯＮ状態となった直後に前記無線通信回路による取得依頼を受けた場合のように、前記記憶部に、無線通信回路に送信すべき暗号化されたデータが十分格納されていない状態で、前記記憶部から前記暗号化されたデータが送信される非効率を簡易な構成で防止できる。

　また、前記記憶部制御部は、前記無線通信回路から前記記憶部に格納された前記暗号化されたデータの取得依頼を受けた場合、前記暗号化回路が動作状態にあることを確認する所定の信号を前記暗号化回路に出力し、所定期間内に応答があったか否かを判断し、前記応答が前記所定期間内に無かったと判断した場合、前記暗号化回路から前記記憶部へのデータの書込みを禁止してもよい。

　本態様によると、前記記憶部制御部は、前記暗号化回路からの応答が所定期間内に無かった場合、前記一次電池の電力が消耗したものとみなして、前記暗号化回路から前記記憶部へのデータの書込みを禁止する。これにより、前記記憶部に、無線通信回路に送信すべき暗号化されたデータが十分格納された場合に、前記無線通信回路は前記記憶部から前記暗号化されたデータを読み出して所定の宛先に送信できる。そのため、例えば、前記一次電池からの電力供給がＯＮ状態となった直後に前記無線通信回路による取得依頼を受けた場合のように、前記記憶部に、無線通信回路に送信すべき暗号化されたデータが十分格納されていない状態で、前記記憶部から前記暗号化されたデータが送信される非効率を簡易な構成で防止できる。

　さらに好ましくは、前記記憶部制御部は、前記無線通信回路から前記記憶部に格納された前記暗号化されたデータの取得依頼を受けた場合、前記暗号化回路が動作状態にあることを確認する所定の信号を前記暗号化回路に出力し、所定期間内に応答があったか否かを判断し、前記応答が前記所定期間内にあったと判断した場合、前記暗号化回路から前記記憶部へのデータの書込みを許可し、前記無線通信回路から前記記憶部へのデータの書込みを禁止する状態を維持する。

　本態様によると、前記記憶部制御部は、前記暗号化回路からの応答が前記所定期間内に存在した場合、前記一次電池の電力の寿命はまだあると判断して、前記暗号化回路から前記記憶部へのデータの書込みを許可し、前記無線通信回路から前記記憶部へのデータの書込みを禁止する状態を維持する。これにより、前記一次電池の電力の寿命はまだあると判断した場合には、前記無線通信回路から前記記憶部に格納された暗号化されたデータの取得依頼を受けた場合であっても、前記記憶部に、無線通信回路に送信すべき暗号化されたデータを格納する処理を継続する。そのため、例えば、前記一次電池からの電力供給がＯＮ状態となった直後に前記無線通信回路による取得依頼を受けた場合のように、前記記憶部に、無線通信回路に送信すべき暗号化されたデータが十分格納されていない状態で、前記記憶部から前記暗号化されたデータが送信される非効率を簡易な構成で防止できる。

　また、上述のデータ暗号化装置は、さらに、前記無線通信回路から前記記憶部へのアクセスと、前記暗号化回路から前記記憶部へのアクセスと、を制御する記憶部制御部を備え、前記記憶部制御部は、前記暗号化回路が前記一次電池から供給された電力で動作するとき、前記暗号化回路から前記記憶部へのデータの書込みを許可し、前記無線通信回路から前記記憶部へのデータの書込みを禁止し、前記暗号化回路は、前記データ暗号化装置のユーザの生体データを計測するセンサー回路であって、前記記憶部から前記暗号鍵を読み出して前記生体データを暗号化して前記記憶部に格納し、前記生体データを所定回数計測した場合、前記記憶部制御部に、前記生体データを前記所定回数計測した旨を通知し、前記記憶部制御部は、前記生体データを前記所定回数計測した旨の通知を受けると、前記暗号化回路から前記記憶部へのデータの書込みを禁止し、前記無線通信回路は、前記暗号化回路から前記記憶部へのデータの書込みが禁止された後、前記記憶部に格納された暗号化された生体データを所定の宛先に送信してもよい。

　本態様によると、前記生体データを所定回数計測した旨の通知を前記記憶部制御部が前記暗号化回路から受けた場合、前記記憶部制御部は、前記暗号化回路から前記記憶部へのデータの書込みを禁止する。一方、前記無線通信回路は、前記暗号化回路が暗号化して前記記憶部に格納した暗号化されたデータを読み出して所定の宛先に送信する。これにより、前記無線通信回路による暗号化されたデータの送信中に前記暗号化回路による前記記憶部への書込みは行われないので、前記記憶部内に格納された暗号化されたデータの送信データ漏れを防止できる。

　また、上述のデータ暗号化装置は、さらに、前記無線通信回路から前記記憶部へのアクセスと、前記暗号化回路から前記記憶部へのアクセスと、を制御する記憶部制御部を備え、前記記憶部制御部は、前記暗号化回路が前記一次電池から供給された電力で動作するとき、前記暗号化回路から前記記憶部へのデータの書込みを許可し、前記無線通信回路から前記記憶部へのデータの書込みを禁止し、前記暗号化回路は、前記データ暗号化装置のユーザの生体データを計測するセンサー回路であって、前記記憶部から前記暗号鍵を読み出して前記生体データを暗号化して前記記憶部に格納し、前記記憶部制御部は、前記一次電池からの電力供給がＯＮ状態になってから所定時間が経過すると、前記暗号化回路から前記記憶部へのデータの書込みを禁止し、前記無線通信回路は、前記暗号化回路から前記記憶部へのデータの書込みが禁止された後、前記記憶部に格納された暗号化された生体データを所定の宛先に送信してもよい。

　本態様によると、前記記憶部制御部は、所定時間が経過すると、前記暗号化回路から前記記憶部へのデータの書込みを禁止する。一方、前記無線通信回路は、前記暗号化回路が暗号化して前記記憶部に格納した暗号化されたデータを読み出して所定の宛先に送信する。これにより、前記無線通信回路による暗号化されたデータの送信中に前記暗号化回路による前記記憶部への書込みは行われないので、前記記憶部内に格納された暗号化されたデータの送信データ漏れを防止できる。

　なお、本発明は、このような特徴的な処理部を備えるデータ暗号化装置として実現することができるだけでなく、データ暗号化装置に含まれる特徴的な処理部をステップとするデータ暗号化方法として実現したり、データ暗号化方法に含まれる特徴的なステップをコンピュータに実行させるプログラムとして実現したりすることもできる。そして、そのようなプログラムは、ＣＤ－ＲＯＭ（Compact Disc-Read Only Memory）等の記録媒体やインターネット等の通信ネットワークを介して流通させることができるのは言うまでもない。

　本発明のセンサータグによれば、ＯＮ・ＯＦＦを自由に切り替え可能なスイッチ機構が実装できない小型センサータグのような場合であっても、暗号鍵設定時に内蔵電池からの電力供給をＯＦＦからＯＮにする必要がないので、課題として述べた計測開始までの電池消耗課題は起こらないという効果がある。

図１は、本発明の実施の形態１および２に係るセンサータグシステムの構成を示すブロック図である。図２は、本発明の実施の形態１および２に係るセンサータグシステムの使用態様を示す図である。図３は、本発明の実施の形態１および２に係るセンサータグの構成を示すブロック図である。図４は、本発明の実施の形態１および２に係るデータ通信回路の構成を示すブロック図である。図５は、本発明の実施の形態１および２に係るセンサー回路の構成を示すブロック図である。図６は、本発明の実施の形態１および２に係る暗号鍵書込み装置の構成を示すブロック図である。図７は、本発明の実施の形態１および２に係る計測データ読取装置の構成を示すブロック図である。図８は、本発明の実施の形態１および２に係るセンサータグの全体動作を示すフローチャートである。図９は、本発明の実施の形態１および２に係る暗号鍵取得処理の詳細なフローチャートである。図１０は、本発明の実施の形態１および２に係る暗号鍵設定処理の詳細なフローチャートである。図１１は、本発明の実施の形態１に係る電力ＯＮ検知処理の詳細なフローチャートである。図１２は、本発明の実施の形態１に係るモード変更処理の詳細なフローチャートである。図１３は、本発明の実施の形態１に係るセンサー計測処理の詳細なフローチャートである。図１４は、本発明の実施の形態１に係る計測データ蓄積処理の詳細なフローチャートである。図１５は、本発明の実施の形態１および２に係る暗号化計測データ群の構成を示すブロック図である。図１６は、本発明の実施の形態１および２に係るデータ取得依頼処理の詳細なフローチャートである。図１７は、本発明の実施の形態１および２に係る計測停止処理の詳細なフローチャートである。図１８は、本発明の実施の形態１および２に係るデータ取得処理の詳細なフローチャートである。図１９は、本発明の実施の形態１および２に係るデータ出力処理の詳細なフローチャートである。図２０は、本発明の実施の形態１に係るメモリアクセス制御回路２５が保持するメモリアクセス制御規則（モード）の遷移について説明するための図である。図２１は、本発明の実施の形態１の変形例１に係る計測停止処理の詳細なフローチャートである。図２２は、本発明の実施の形態１の変形例２に係る計測停止処理の詳細なフローチャートである。図２３は、本発明の実施の形態１の変形例３に係るセンサー計測処理の詳細なフローチャートである。図２４は、本発明の実施の形態２に係るセンサータグ２の全体動作を示すフローチャートである。図２５は、本発明の実施の形態２に係る電力ＯＮ検知処理の詳細なフローチャートである。図２６は、本発明の実施の形態２に係るモード変更処理の詳細なフローチャートである。図２７は、本発明の実施の形態２に係るセンサー計測処理の詳細なフローチャートである。図２８は、本発明の実施の形態２に係る計測データ蓄積処理の詳細なフローチャートである。

符号の説明

　　　１　センサータグシステム
　　　２　センサータグ
　　　３　鍵設定処理
　　　４　計測処理
　　　５　計測データ読取処理
　　　６　暗号化計測データ群
　　１１　暗号鍵書込み装置
　　１２　被計測者
　　１３　計測データ読取装置
　　２０　データ通信回路
　　２１　アンテナ
　　２２　センサー回路
　　２３　電源
　　２４　メモリ
　　２５　メモリアクセス制御回路
　　２６　メモリアクセス制御規則更新部
　　２７　絶縁体
　　２８　受信回路
　　２９　表示部
　　３０　起電力発生回路
　１１０、１３０、２００　データ通信部
　１１１　暗号鍵記憶部
　１１２　暗号鍵送付部
　１１３　ＩＤ受付部
　１１４　ＩＤ送付部
　１１５、１３１、２０１　認証部
　１３２、２０４　計測データ読取部
　１３３　データ復号部
　１３４　計測データ蓄積部
　１３５　復号鍵保管部
　２０２　暗号鍵書込み部
　２０３　ＩＤ書込み部
　２２０　生体データ計測部
　２２１　タイマー部
　２２２　暗号鍵読取部
　２２３　データ暗号化部
　２２４　計測データ書込み部
　２２５　電源状態検知部

（実施の形態１）
　以下、本発明の実施の形態１について、図面を参照しながら説明する。

　＜概要＞
　図１は、センサータグシステム１の構成を示すブロック図である。

　センサータグシステム１は、センサータグ２、暗号鍵書込み装置１１、計測データ読取装置１３を含む。また、センサータグシステム１内で行われる処理としては、鍵設定処理３、計測処理４、計測データ読取処理５の３つの処理がある。

　センサータグ２は、被計測者１２の体温、脈拍、心拍数、心音などの生体情報を定期的に計測する。計測した生体情報は、センサータグ２の内部に予め設定された暗号鍵を用いて暗号化され、センサータグ２の内部に蓄積される。

　暗号鍵書込み装置１１は、暗号鍵が未設定のセンサータグ２に対して、暗号鍵を書き込むための装置である。

　被計測者１２は、センサータグ２に体温、脈拍、心拍数、心音などの生体情報を計測される人のことである。

　計測データ読取装置１３は、生体情報の計測が終わったセンサータグ２から、センサータグ２の内部に蓄積された暗号化計測データを読出すための装置である。さらに、計測データ読取装置１３は、読み出した暗号化計測データを、復号鍵を用いて復号し、平文の計測データを算出する。

　鍵設定処理３は、暗号鍵が未設定の状態であるセンサータグ２に対して、暗号鍵書込み装置１１が暗号鍵を設定する処理である。

　計測処理４は、図２に示すように被計測者１２に貼り付けられた暗号鍵設定済みのセンサータグ２が、被計測者１２の生体情報を計測して、暗号化した上で、内部に蓄積する処理である。

　計測データ読取処理５は、計測データ読取装置１３が、計測が終わったセンサータグ２から、暗号化計測データを読み取って復号を行い、平文の計測データを算出する処理である。

　センサータグシステム１の具体的な適用例としては、以下のようなものが考えられる。暗号鍵書込み装置１１、計測データ読取装置１３は、病院が保持、管理しており、病院は、暗号鍵が未設定のセンサータグ２を、センサータグメーカーから買い入れる。病院は、暗号鍵書き込み装置１１を用いて、買い入れた前記センサータグ２に暗号鍵を設定する。暗号鍵設定済みのセンサータグ２は、病院の患者である被計測者１２に提供される。被計測者１２は、病院の指示に従って、適切なタイミングで暗号鍵設定済みのセンサータグ２を自身の体に貼り付けて、生体情報の計測を行う。被計測者１２は、計測が終わったセンサータグ２を、体から取り外して、病院に提出する。病院は、計測データ読取装置１３を用いて、提出された計測済みセンサータグ２から暗号化計測データを読み取り、さらに、復号鍵を用いて暗号化計測データを復号して、平文の計測データを得る。病院は、得られた計測データを元に、患者である被計測者１２の診断などを行う。

　＜構成＞
　次に、センサータグシステム１の構成について説明する。

　１．センサータグ２
　図３は、センサータグ２の構成を示すブロック図である。図３に示す通り、センサータグ２は、データ通信回路２０、アンテナ２１、センサー回路２２、電源２３、メモリ２４、メモリアクセス制御回路２５、メモリアクセス制御規則更新部２６、絶縁体２７、受信回路２８、表示部２９、起電力発生回路３０を含む。

　起電力発生回路３０は、アンテナ２１が受信する起動信号から起電力を発生する回路である。

　データ通信回路２０は、起電力発生回路３０が発生した起電力で動作する回路であり、ＲＦＩＤの通信回路である。データ通信回路２０は、暗号鍵書込み装置１１から送付される暗号鍵をメモリ２４に設定する。また、データ通信回路２０は、計測データ読取装置１３の要求に応じて、メモリ２４に蓄積されている暗号化計測データを読み出して計測データ読取装置１３に送付する。データ通信回路２０の内部構成については後で説明する。

　アンテナ２１は、暗号鍵書込み装置１１や計測データ読取装置１３からの信号を受信してデータ通信回路２０に出力する。また、アンテナ２１は、データ通信回路２０から出力された信号を、所定周波数の電波、電磁波、又はマイクロ波などに乗せて、暗号鍵書込み装置１１や計測データ読取装置１３に送信する。

　センサー回路２２は、電源２３から供給される電力により動作する回路であり、被計測者１２から定期的に生体情報を計測して、メモリ２４に記憶されている暗号鍵を用いて暗号化した上で、メモリ２４に蓄積する処理を行う。センサー回路２２の内部構成については、後で説明する。

　電源２３は、センサータグ２の内蔵の一次電池であり、センサー回路２２などに電力を供給する。

　メモリ２４は、センサー回路２２、データ通信回路２０の両方の回路によって共有されている不揮発のデータ記憶素子であり、暗号鍵データや、暗号化計測データなどの各種データを記憶している。メモリ２４は、センサー回路２２からアクセスされる場合には、センサー回路２２から（即ち、電源２３から）電力の供給を受け、データ通信回路２０からアクセスされる場合には、データ通信回路２０から（即ち、起電力発生回路３０から）電力の供給を受ける。

　メモリアクセス制御回路２５は、センサー回路２２、データ通信回路２０からメモリ２４へのメモリアクセスを制御する。センサー回路２２、データ通信回路２０からメモリ２４へのデータ書込み、データ読出し要求は、メモリアクセス制御回路２５が受け付けて、内部に保持するメモリアクセス制御規則に基づいて、その可否を判断する。判断の結果、データ書込み、データ読出しを許可する場合には、要求に従って、メモリ２４への所定のデータ書込み、メモリ２４からの所定のデータ読出しを行う。メモリアクセス制御回路２５は、センサー回路２２からアクセスされる場合には、センサー回路２２から（即ち、電源２３から）電力の供給を受け、データ通信回路２０からアクセスされる場合には、データ通信回路２０から（即ち、起電力発生回路３０から）電力の供給を受ける。

　メモリアクセス制御規則更新部２６は、センサー回路２２が、初めて電源２３から電力の供給を受け動作する時に、メモリアクセス制御回路２５の内部に保持するメモリアクセス制御規則を更新する。メモリアクセス制御回路２５は、それ以降は、更新されたメモリアクセス制御規則に基づいて、センサー回路２２、データ通信回路２０からのデータアクセスを制御する。メモリアクセス制御規則更新部２６のひとつの実現例としては、センサー回路２２が最初に動作したときに実行する初期化プログラムの一部として実装され、センサー回路２２の初期化処理の一部として実行されることが考えられる。

　絶縁体２７は、センサータグ２の出荷時は、センサー回路２２と電源２３の電気的な接続を遮断する形で装着され、これにより、センサー回路２２への電力供給は遮断されている。絶縁体２７は、その一部分がセンサータグ２の外部に露出しているなど、外部から除去が可能な状態で装着されており、被計測者１２は、絶縁体２７を除去することで、電源２３からセンサー回路２２への電力供給を開始して、好きなときに生体情報の計測を開始することができる。なお、センサー回路２２と電源２３とは互いに接触する方向に付勢されており、絶縁体２７は、電源２３からの電力供給をＯＦＦ状態からＯＮ状態への一方向にのみ切替える。つまり、絶縁体２７を一度除去すると、センサー回路２２と電源２３との間に絶縁体２７を挿入することはできない。これにより、センサータグ２の構成を簡易にしつつ小型化を図ることができる。

　受信回路２８は、被計測者１２の生体データを計測する外部の計測装置から、生体データを入力として受け付ける。受け付けられた生体データは、センサー回路２２において暗号化が施された後、メモリ２４に蓄積される。

　表示部２９は、メモリ２４が暗号鍵を記憶していることを示す。表示部２９は、例えば、ＬＥＤなどにより構成され、メモリアクセス制御回路２５からの制御により、メモリ２４に暗号鍵が記憶されているときに点灯し、暗号鍵が記憶されていないときに消灯する。これにより、ユーザが誤って暗号鍵が未設定のセンサータグ２を使用して計測を開始してしまうことが防止できる。よって、計測データの秘匿性を保障できる。

　１．１．データ通信回路２０
　図４は、データ通信回路２０の構成を示すブロック図である。図４に示す通り、データ通信回路２０は、データ通信部２００、認証部２０１、暗号鍵書込み部２０２、ＩＤ書込み部２０３、計測データ読取部２０４を含む。

　データ通信部２００は、アンテナ２１が、暗号鍵書込み装置１１、計測データ読取装置１３から受信して、出力するデータを受け取って、データ通信回路２０内の適切な処理部に出力する。また、データ通信部２００は、データ通信回路２０内の他の処理部から出力されるデータを受け取って、アンテナ２１を介して暗号鍵書込み装置１１、計測データ読取装置１３に送信する。

　認証部２０１は、内部に保管する認証検証用データを用いて、データ通信回路２０とデータ送受信を行おうとしている暗号鍵書込み装置１１、計測データ読取装置１３の正当性を認証する。

　暗号鍵書込み部２０２は、暗号鍵書込み装置１１から送付される暗号鍵データを、メモリアクセス制御回路２５を介してメモリ２４に書き込む。

　ＩＤ書込み部２０３は、暗号鍵書込み装置１１から送付されるＩＤデータを、メモリアクセス制御回路２５を介してメモリ２４に書き込む。

　計測データ読取部２０４は、計測データ読取装置１３からの要求に応じて、メモリアクセス制御回路２５を介してメモリ２４から暗号化計測データを読み出して、計測データ読取装置１３に送付する。

　１．２．センサー回路２２
　図５は、センサー回路２２の構成を示すブロック図である。図５に示す通り、センサー回路２２は、生体データ計測部２２０、タイマー部２２１、暗号鍵読取部２２２、データ暗号化部２２３、計測データ書込み部２２４、電源状態検知部２２５を含む。

　生体データ計測部２２０は、タイマー部２２１のカウント値に基づいて、所定間隔で被計測者から生体情報を計測して計測データとし、タイマーデータ（カウント値）とともに、データ暗号化部２２３に出力する。

　タイマー部２２１は、一定間隔ごとにカウント値をインクリメント（１加える）し、カウント値が所定の値になるたびに、所定の値に到達したことをカウント値とともに生体データ計測部２２０に通知する。

　暗号鍵読取部２２２は、データ暗号化部２２３の要求に応じて、メモリアクセス制御回路２５を介して、メモリ２４から暗号鍵を読み出して、データ暗号化部２２３に出力する。

　データ暗号化部２２３は、生体データ計測部２２０から計測データを受け付けると、暗号鍵読取部２２２に暗号鍵取得を指示して暗号鍵を受け取る。そして、暗号鍵読取部２２２から受け取った暗号鍵で生体データ計測部２２０から受け取った計測データを暗号化して暗号化計測データとし、計測データ書込み部２２４に出力する。

　計測データ書込み部２２４は、データ暗号化部２２３から受け付けた暗号化計測データを、メモリアクセス制御回路２５を介して、メモリ２４に書き込む。

　電源状態検知部２２５は、電源２３の状態、つまり、電源２３からの電力供給がＯＮ状態にあるか否かを検知する。

　２．暗号鍵書込み装置１１
　図６は、暗号鍵書込み装置１１の構成を示すブロック図である。図６に示す通り、暗号鍵書込み装置１１は、データ通信部１１０、暗号鍵記憶部１１１、暗号鍵送付部１１２、ＩＤ受付部１１３、ＩＤ送付部１１４、認証部１１５を含む。

　データ通信部１１０は、センサータグ２とのデータ送受信を行う。

　暗号鍵記憶部１１１は、暗号鍵書込み装置１１の管理者が設定した暗号鍵を保管している。

　暗号鍵送付部１１２は、暗号鍵記憶部１１１に保管する暗号鍵を読み出して、データ通信部１１０を介して、センサータグ２に送付する。

　ＩＤ受付部１１３は、暗号鍵書込み装置１１外部からのＩＤデータ入力を受け付けて、受け付けたＩＤデータをＩＤ送付部１１４に出力する。

　ＩＤ送付部１１４は、ＩＤ受付部１１３から出力されたＩＤデータを、データ通信部１１０を介して、センサータグ２に送付する。

　認証部１１５は、内部に保管する認証用データを用いて、センサータグ２に対して暗号鍵書込み装置１１の正当性を証明するための認証処理を行う。

　３．計測データ読取装置１３
　図７は、計測データ読取装置１３の構成を示すブロック図である。図７に示す通り、計測データ読取装置１３は、データ通信部１３０、認証部１３１、復号鍵保管部１３５、計測データ読取部１３２、データ復号部１３３、計測データ蓄積部１３４を含む。

　データ通信部１３０は、センサータグ２とのデータ送受信を行う。

　認証部１３１は、内部に保管する認証用データを用いて、センサータグ２に対して計測データ読取装置１３の正当性を証明するための認証処理を行う。

　復号鍵保管部１３５は、計測データ読取装置１３の管理者が設定した復号鍵を保管している。

　計測データ読取部１３２は、データ通信部１３０を介して、センサータグ２から、暗号化計測データを受け取って、データ復号部１３３に出力する。

　データ復号部１３３は、復号鍵保管部１３５から読み出した復号鍵を用いて、計測データ読取部１３２から受け取った暗号化計測データを復号して、平文の計測データを算出する。データ復号部１３３は、算出した平文の計測データを、計測データ蓄積部１３４に出力する。

　計測データ蓄積部１３４は、データ復号部１３３から受け取った平文の計測データを、保管する。

　＜動作＞
　以下、センサータグ２が行う処理について図面を参照しながら説明する。

　図８は、センサータグ２の全体動作を示すフローチャートである。同図では、センサー回路２２と、メモリアクセス制御回路２５と、データ通信回路２０との間での処理の流れを示している。

　センサータグ２が行なう処理は、大きく分けて、鍵設定処理３、計測処理４、計測データ読取処理５の３つに分類される。

　まず、鍵設定処理３が行なわれる。つまり、暗号鍵書込み装置１１のデータ通信部１１０は、センサータグ２のアンテナ２１に起動信号を送信する。アンテナ２１は、受信した前記起動信号を起電力発生回路３０に出力し、起電力発生回路３０は、起動信号から起電力を発生して、データ通信回路２０を含むセンサータグ２内の各回路を動作させる（Ｓ２）。以下、データ通信回路２０は、暗号鍵書込み装置１１のデータ通信部１１０から適宜受信した起動信号により発生する起電力で動作しながら処理を行う。

　データ通信回路２０は、暗号鍵書込み装置１１より、暗号鍵を取得する（Ｓ４）。

　メモリアクセス制御回路２５は、取得した暗号鍵をメモリ２４に設定する（Ｓ６）。

　ここまでの処理で、メモリ２４に暗号鍵が設定されることとなる。なお、Ｓ４およびＳ６の処理については後に詳述する。

　その後、絶縁体２７がセンサータグ２より除去されると、計測処理４が開始される。つまり、電源２３がＯＮ状態に切替えられ、電源状態検知部２２５が電源２３のＯＮ状態を検知する（Ｓ８）。電源２３のＯＮ状態が検知されると、メモリアクセス制御回路２５は、メモリアクセス制御規則（モード）を変更する（Ｓ１０）。つまり、データ通信回路２０からのメモリ２４への暗号鍵書込みとＩＤ書込みを禁止する。このモード変更により、これ以降は、暗号鍵を更新することが不可能となる（Ｓ１６、Ｓ１８、Ｓ２０）。よって、計測データが暗号化されるときに、誤って暗号鍵が書き換えられるのを防止できる。

　電源２３がＯＮ状態になると、センサー回路２２は、被計測者１２の生体情報を計測し、計測データをメモリアクセス制御回路２５に出力する（Ｓ１２）。メモリアクセス制御回路２５は、出力された計測データをメモリ２４に蓄積する（Ｓ１４）。以降、Ｓ１２およびＳ１４の処理が繰り返し実行される。なお、Ｓ８～Ｓ１４の処理については後に詳述する。

　次に、計測データ読取処理５が行なわれる。つまり、計測データ読取装置１３のデータ通信部１３０は、センサータグ２のアンテナ２１に起動信号を送信する。アンテナ２１は、受信した前記起動信号を起電力発生回路３０に出力し、起電力発生回路３０は、起動信号から起電力を発生して、データ通信回路２０を含むセンサータグ２内の各回路を動作する（Ｓ２２）。以下、データ通信回路２０は、計測データ読取装置１３のデータ通信部１３０から適宜受信した起動信号により発生する起電力で動作しながら処理を行う。

　データ通信回路２０は、計測データ読取装置１３からの計測データ取得依頼に基づいて、メモリアクセス制御回路２５へ計測データ取得依頼信号を出力する（Ｓ２４）。メモリアクセス制御回路２５は、計測データ取得依頼信号に応答して、センサー回路２２による生体情報の計測を停止させる（Ｓ２６）。その後、メモリアクセス制御回路２５は、メモリ２４に蓄積された計測データを読み出し、データ通信回路２０に出力する（Ｓ２８）。データ通信回路２０は、メモリアクセス制御回路２５より計測データを受け取り、計測データ読取装置１３に出力する（Ｓ３０）。なお、Ｓ２４～Ｓ３０の処理については後に詳述する。

　１．鍵設定処理３（Ｓ４、Ｓ６）
　次に、鍵設定処理３の詳細について説明する。鍵設定処理３は、図１の左側に示すとおり、暗号鍵書込み装置１１が、暗号鍵が未設定のセンサータグ２に、暗号鍵を設定する処理である。典型的には、暗号鍵書込み装置１１は、病院が保持・管理し、鍵設定処理３は、病院が暗号鍵未設定のセンサータグ２を買い入れたときに行われる。

　［データ設定など］
　図６の暗号鍵書込み装置１１において、暗号鍵記憶部１１１には、当該暗号鍵書込み装置１１の管理者が予め設定した暗号鍵が、保管されている。認証部１１５には、所定桁数のパスワードデータが格納されている。また、センサータグ２のデータ通信回路２０内部にある認証部２０１には、前記パスワードデータに対してハッシュ関数を計算した結果であるハッシュ値が、認証検証用データとして保管されている。

　センサータグ２のメモリアクセス制御回路２５には、以下のメモリアクセスだけを許可し、それ以外のメモリアクセスは拒否するようなメモリアクセス制御規則が設定されている。

　　　　（１）データ通信回路２０からの暗号鍵書込み
　　　　（２）データ通信回路２０からのＩＤ書込み
　　　　（３）データ通信回路２０からの暗号化計測データ読出し
　　　　（４）センサー回路２２からの暗号鍵読出し
　　　　（５）センサー回路２２からの暗号化計測データ書込み
　鍵設定処理３を行う時点では、図３に示すセンサータグ２は、絶縁体２７が装着された状態なので、センサー回路２２は、電源２３からの電力供給を受けておらず、動作していない。

　［暗号鍵取得処理（Ｓ４）］
　図９は、暗号鍵取得処理（Ｓ４）の詳細なフローチャートである。

　暗号鍵書込み装置１１の認証部１１５は、保管している認証データであるパスワードデータを、データ通信部１１０を介してセンサータグ２に送付する。センサータグ２のアンテナ２１は、前記認証データを受信し、データ通信回路２０のデータ通信部２００を介して、認証部２０１に転送する。認証部２０１は、受け取った認証データに対してハッシュ関数を計算した結果であるハッシュ値を計算する。認証部２０１は、計算したハッシュ値と、内部に保管している認証検証用データとの比較を行い、両者が一致すれば、暗号鍵書込み装置１１を正当なものとし、以降の鍵設定処理を行うことを認める。一致しなければ、暗号鍵書込み装置１１が正当ではないものとし、以降の鍵設定処理を中止する（Ｓ４０２）。

　暗号鍵書込み装置１１の操作者は、センサータグ２に設定したいＩＤを、暗号鍵書込み装置１１に入力する。入力されたＩＤは、ＩＤ受付部１１３にて受け付けられ、ＩＤ送付部１１４を介してデータ通信部１１０に転送される。それと同時に、暗号鍵送付部１１２は、暗号鍵記憶部１１１に保管されている暗号鍵を読出し、データ通信部１１０に転送する。データ通信部１１０は、前記のＩＤと暗号鍵を、センサータグ２に送信する。センサータグ２のアンテナ２１は、暗号鍵書込み装置１１から送信されたＩＤと暗号鍵を受信する。アンテナ２１は、受信したＩＤと暗号鍵を、データ通信回路２０のデータ通信部２００に転送する。データ通信部２００は、前記ＩＤをＩＤ書込み部２０３に転送し、前記暗号鍵を暗号鍵書込み部２０２に、ぞれぞれ、転送する（Ｓ４０４）。

　ＩＤ書込み部２０３は、受け取った前記ＩＤを、メモリアクセス制御回路２５に転送する（Ｓ４０６）。

　暗号鍵書込み部２０２は、受け取った前記暗号鍵を、メモリアクセス制御回路２５に転送する（Ｓ４０８）。

　［暗号鍵設定処理（Ｓ６）］
　次に、暗号鍵設定処理（Ｓ６）について説明する。

　図１０は、暗号鍵設定処理（Ｓ６）の詳細なフローチャートである。

　メモリアクセス制御回路２５は、ＩＤ書込み部２０３よりＩＤを受け取り、暗号鍵書込み部２０２より暗号鍵を受け取る（Ｓ６０２）。

　メモリアクセス制御回路２５は、内部に設定されているメモリアクセス制御規則をチェックして、データ通信回路２０からのＩＤ書込みおよびデータ通信回路２０からの暗号鍵書込みが許可されていることを確認して（Ｓ６０４でＹｅｓ）メモリ２４のＩＤ記憶領域にＩＤを書き込み、メモリ２４の暗号鍵記憶領域に暗号鍵を書き込む（Ｓ６０６）。

　以上の一連の処理（Ｓ４、Ｓ６）により、鍵設定処理３が完了する。

　２．計測処理４（Ｓ８～Ｓ１４）
　次に、計測処理４の詳細について説明する。計測処理４は、図１の中程に示すとおり、暗号鍵設定済みのセンサータグ２が、被計測者１２の生体情報を定期的に計測する処理である。典型的には、病院から暗号鍵設定済みのセンサータグ２を提供された患者である被計測者１２が、自宅などで、センサータグ２を体に装着して生体情報の計測を行うときに行われる。

　［電源ＯＮ検知処理（Ｓ８）］
　図１１は、電源ＯＮ検知処理（Ｓ８）の詳細なフローチャートである。

　電源状態検知部２２５は、電源２３からの電力供給の状態を確認する（Ｓ８０２）。被計測者１２は、計測を開始時に、センサータグ２から絶縁体２７を除去する。これにより、センサー回路２２に電源２３から電力が供給されるようになり、センサー回路２２が動作を開始する。以下、センサー回路２２は、電源２３から供給される電力で動作しながら処理を行う。

　電源２３からの電力供給がＯＦＦ状態からＯＮ状態に変更されたことを確認すると（Ｓ８０４でＹｅｓ）、電源状態検知部２２５は、メモリアクセス制御回路２５に対し、データ通信回路２０からのメモリ２４への暗号鍵書込みとＩＤ書込みを禁止させることを指示する暗号鍵書込不可信号を出力する（Ｓ８０６）。

　［モード変更処理（Ｓ１０）］
　図１２は、モード変更処理（Ｓ１０）の詳細なフローチャートである。

　メモリアクセス制御回路２５は、センサー回路２２からデータを受信する（Ｓ１００２）。メモリアクセス制御回路２５が受信したデータが暗号鍵書込不可信号である場合には（Ｓ１００４でＹｅｓ）、メモリアクセス制御規則更新部２６は、データ通信回路２０からのメモリ２４への暗号鍵書込みとＩＤ書込みを禁止するように、メモリアクセス制御規則（モード）を変更する（Ｓ１００６）。つまり、メモリアクセス制御規則更新部２６は、メモリアクセス制御回路２５の内部に設定されているメモリアクセス制御規則を以下のメモリアクセスだけを許可し、それ以外のメモリアクセスは拒否するように更新する。

　　　　（３）データ通信回路２０からの暗号化計測データ読出し
　　　　（４）センサー回路２２からの暗号鍵読出し
　　　　（５）センサー回路２２からの暗号化計測データ書込み
　上述したように、このメモリアクセス制御規則の更新により、これ以降は、暗号鍵を更新することが不可能となる（図８のＳ１６、Ｓ１８、Ｓ２０）。

　［センサー計測処理（Ｓ１２）］
　図１３は、センサー計測処理（Ｓ１２）の詳細なフローチャートである。

　生体データ計測部２２０は、被計測者１２から生体情報を計測する。計測した生体情報（以下、「計測データ」と呼ぶ）に、タイマー部２２１から転送されたカウント値を付加したものを、データ暗号化部２２３に転送する（Ｓ１２０２）。

　暗号鍵読取部２２２は、メモリアクセス制御回路２５に、暗号鍵を要求する（Ｓ１２０４）。

　暗号鍵読取部２２２が、メモリアクセス制御回路２５より暗号鍵を取得した場合には（Ｓ１２０６でＹｅｓ）、データ暗号化部２２３は、暗号鍵読取部２２２から暗号鍵を受け取り、その暗号鍵を用いて、生体データ計測部２２０から受け取った計測データを暗号化して、暗号化計測データを生成する（Ｓ１２０８）。なお、ここでは、カウント値は、暗号化しないものとするが、暗号化してもよい。

　データ暗号化部２２３は、暗号化計測データに、生体データ計測部２２０から受け取ったカウント値を付加して、計測データ書込み部２２４に転送する。計測データ書込み部２２４は、データ暗号化部２２３から受け取った暗号化計測データとカウント値を、メモリアクセス制御回路２５に転送して、メモリ２４への書込み要求を行う（Ｓ１２１０）。

　暗号鍵読取部２２２が、メモリアクセス制御回路２５より暗号鍵を取得していない場合には（Ｓ１２０６でＮｏ）、データ暗号化部２２３は、計測データを暗号化することなく、計測データに、生体データ計測部２２０から受け取ったカウント値を付加して、計測データ書込み部２２４に転送する。計測データ書込み部２２４は、データ暗号化部２２３から受け取った暗号化されていない計測データとカウント値を、メモリアクセス制御回路２５に転送して、メモリ２４への書込み要求を行う（Ｓ１２１０）。

　［計測データ蓄積処理（Ｓ１４）］
　図１４は、計測データ蓄積処理（Ｓ１４）の詳細なフローチャートである。

　メモリアクセス制御回路２５は、センサー回路２２より暗号鍵の要求を受け取る（Ｓ１４０２）。メモリアクセス制御回路２５は、内部に保持するメモリアクセス制御規則をチェックして、センサー回路２２からの暗号鍵読出しが許可されていることを確認する。メモリアクセス制御回路２５は、前記のことが確認できれば、メモリ２４に暗号鍵が設定されているか否かを確認する（Ｓ１４０４）。

　暗号鍵が設定されていれば（Ｓ１４０４でＹｅｓ）、メモリアクセス制御回路２５は、メモリ２４の暗号鍵記憶領域から暗号鍵を読み出して、センサー回路２２の暗号鍵読取部２２２に転送する（Ｓ１４０６）。

　メモリアクセス制御回路２５は、センサー回路２２の計測データ書込み部２２４から暗号化計測データとカウント値とを受信するまで待機する（Ｓ１４０８）。暗号化計測データとカウント値とを受信すると（Ｓ１４０８でＹｅｓ）、メモリアクセス制御回路２５は、内部に保持するメモリアクセス制御規則をチェックして、センサー回路２２からの暗号化計測データ書込みが許可されていることを確認する。メモリアクセス制御回路２５は、前記のことが確認できれば、センサー回路２２の計測データ書込み部２２４から受け取った暗号化計測データとカウント値とを、メモリ２４の暗号化計測データ記憶領域に書き込む（Ｓ１４１０）。なお、メモリ２４に暗号鍵が設定されていない場合には（Ｓ１４０４でＮｏ）、暗号化されていない計測データに対して同様の処理（Ｓ１４０８、Ｓ１４１０）が実行される。

　以上の一連の計測処理４（Ｓ１２、Ｓ１４）が繰り返し実行される。

　［計測処理４終了後のメモリ２４内のデータ］
　計測処理４では、定期的に被計測者１２の生体情報が計測されて、逐次、メモリ２４に追記される。計測処理４が終了後には、メモリ２４には、暗号鍵以外に、図１５に示すような暗号化計測データ群６が記憶されている。暗号化計測データ群６は、１個のＩＤ６０と、１組以上のタイマーデータ（タイマーデータ６１０、６２０、６３０、・・・）と暗号化計測データ（暗号化計測データ６１１、６２１、６３１、・・・）からなるデータ組（データ組６１、６２、６３、・・・）とからなる。ＩＤ６０は、鍵設定処理３で、暗号鍵とともにセンサータグ２に設定されたＩＤである。タイマーデータと暗号化計測データは、計測処理４において、計測データ蓄積処理が実行される度に１組ずつ追記されていく。

　３．計測データ読取処理５（Ｓ２４～Ｓ３０）
　次に、計測データ読取処理５の詳細について説明する。計測データ読取処理５は、図１の右側に示すとおり、計測データ読取装置１３が、計測処理済みのセンサータグ２から、暗号化計測データを読み出す処理である。典型的な例として、病院において、計測データ読取装置１３を用いて、患者である被計測者１２から提出された計測処理済みのセンサータグ２から暗号化計測データを読み出すときに行われる。

　［データ設定など］
　図７の計測データ読取装置１３において、復号鍵保管部１３５には、当該計測データ読取装置１３の管理者が予め設定した復号鍵が、保管されている。復号鍵は、暗号鍵書込み装置１１の暗号鍵記憶部１１１に記憶されている暗号鍵と対をなすものである。即ち、あるデータを暗号鍵で暗号化した暗号化データを復号鍵で復号すると、元のデータが得られるようになっている。認証部１３１には、暗号鍵書込み装置１１の認証部１１５に保管されているものと同じパスワードデータが格納されている。

　また、センサータグ２のメモリ２４には、先ほど説明したとおり、図１５に示すような暗号化計測データ群６が、記憶されている。

　［データ取得依頼処理（Ｓ２４）］
　図１６は、データ取得依頼処理（Ｓ２４）の詳細なフローチャートである。

　計測データ読取装置１３の認証部１３１は、保管している認証データであるパスワードデータを、データ通信部１３０を介してセンサータグ２に送付する。センサータグ２のアンテナ２１は、前記認証データを受信し、データ通信回路２０のデータ通信部２００を介して、認証部２０１に転送する。認証部２０１は、受け取った認証データに対してハッシュ関数を計算した結果であるハッシュ値を計算する。認証部２０１は、計算したハッシュ値が、内部に保管している認証検証用データと比較を行い、一致すれば、計測データ読取装置１３を正当なものとし、以降の計測データ読取処理を行うことを認める。一致しなければ、計測データ読取装置１３が正当ではないものとし、以降の計測データ読取処理を中止する（Ｓ２４０２）。

　計測データ読取部１３２は、計測データ取得依頼信号を、データ通信部１３０を介して、センサータグ２に送信する。センサータグ２のアンテナ２１は、計測データ読取装置１３から送信された計測データ取得依頼信号を受信する。アンテナ２１は、受信した計測データ取得依頼信号を、データ通信回路２０のデータ通信部２００に転送する。さらに、データ通信部２００は、計測データ取得依頼信号を計測データ読取部２０４に転送する（Ｓ２４０４）。そして、計測データ読取部２０４は、計測データ取得依頼信号を、メモリアクセス制御回路２５に送信する（Ｓ２４０６）。

　［計測停止処理（Ｓ２６）］
　図１７は、計測停止処理（Ｓ２６）の詳細なフローチャートである。

　メモリアクセス制御回路２５は、データ通信回路２０の計測データ読取部２０４より、計測データ取得依頼信号を受け取ると（Ｓ２６０２）、計測停止信号をセンサー回路２２に出力する（Ｓ２６０４）。それとともに、メモリアクセス制御規則更新部２６は、センサー回路２２からメモリ２４への暗号化計測データの書込みを禁止するように、メモリアクセス制御回路２５の内部に設定されているメモリアクセス制御規則（モード）を変更する。これにより、データ通信回路２０による暗号化計測データの送信中にセンサー回路２２によるメモリ２４への暗号化計測データの書込みは行われないので、メモリ２４内に格納された暗号化された暗号化計測データの送信漏れを防止できる。

　計測停止信号を受け取ったセンサー回路２２は、それ以降の生体情報の計測を停止させる。なお、センサー回路２２が計測を停止するのではなく、メモリアクセス制御回路２５が、暗号化計測データをメモリ２４に格納しないようにしても良い。

　［データ取得処理（Ｓ２８）］
　図１８は、データ取得処理（Ｓ２８）の詳細なフローチャートである。

　メモリアクセス制御回路２５は、内部に設定されているメモリアクセス制御規則をチェックして、データ通信回路２０からの暗号化計測データ読出しが許可されていることを確認する。メモリアクセス制御回路２５は、前記の確認ができれば、メモリ２４から暗号化計測データ群６を読出して（Ｓ２８０２）、計測データ読取部２０４に転送する（Ｓ２８０４）。

　［データ出力処理（Ｓ３０）］
　図１９は、データ出力処理（Ｓ３０）の詳細なフローチャートである。

　計測データ読取部２０４は、メモリアクセス制御回路２５より転送された暗号化計測データ群６を受け取る（Ｓ３００２）。計測データ読取部２０４は、受け取った暗号化計測データ群６を、データ通信部２００、アンテナ２１を経て計測データ読取装置１３に送信する（Ｓ３００４）。

　暗号化計測データ群６は、計測データ読取装置１３のデータ通信部１３０、計測データ読取部１３２を経て、データ復号部１３３に転送される。データ復号部１３３は、復号鍵保管部１３５から読み出した復号鍵を用いて、受け取った暗号化計測データ群６の暗号化計測データ６１１、６２１、６３１を復号し、それらの平文計測データを得る。そして、暗号化計測データ群６の暗号化計測データ６１１、６２１、６３１を、それぞれ前記の平文計測データに置き換えたものを、計測データ群として、計測データ蓄積部１３４に転送する。

　計測データ蓄積部１３４は、受け取った平文の計測データ群を保管する。

　以上の一連の処理（Ｓ２４～Ｓ３０）により、計測データ読取処理５が完了する。

　計測データ蓄積部１３４には、１個のＩＤと、１組以上のタイマーデータおよび平文の計測データの組とからなる、計測データ群が保管されている。設定するＩＤは、暗号鍵書込み装置１１、計測データ読取装置１３を管理する管理者の運用形態に応じて決めればよい。例えば、センサータグを識別するために、センサータグＩＤとしても良いし、センサータグを渡す患者（被計測者）を識別する被計測者ＩＤとしても良い。前者の運用の場合、設定するＩＤはセンサータグごとに異なるが、後者の運用の場合には、ある患者に渡すセンサータグには全て同一のＩＤ（患者ＩＤ）が設定される。各計測データと対となっているタイマーデータは、その計測データが計測された時間情報として使用される。

　計測データ蓄積部１３４に保管されている計測データ群は、必要に応じて、読み出されて、患者である被計測者１２の健康管理や健康診断などに利用される。

　図２０は、メモリアクセス制御回路２５が保持するメモリアクセス制御規則（モード）の遷移について説明するための図である。

　初期状態（Ｓ４００１）では、電源２３からの電力供給はＯＦＦ状態であり、計測は行なわれていない。また、メモリ２４にも暗号鍵が設定されておらず、メモリアクセス制御規則では、データ通信回路２０からの暗号鍵書込みが許可されている。

　この状態で、絶縁体２７がセンサータグ２より除去されると（Ｓ４００２）、上述のモード変更処理（Ｓ１０）が実行され、次の状態（Ｓ４００３）に移行する。状態（Ｓ４００３）では、電源２３からの電力供給がＯＮ状態となるが、計測は行なわれていない状態となる。また、依然としてメモリ２４には暗号鍵が設定されていない。さらに、メモリアクセス制御規則では、データ通信回路２０からの暗号鍵書込みが禁止される。

　この状態で、センサー計測処理（Ｓ１２）および計測データ蓄積処理（Ｓ１４）が開始されると、暗号化処理が施されない計測データが蓄積される状態（Ｓ４００４）に移行し、計測処理が終了するまでその状態が維持される。計測処理が終了すると（Ｓ４００５でＹｅｓ）、計測停止処理（Ｓ２６）が実行された後、生体情報の計測が停止した状態（Ｓ４００７）に移行する。その後、取得処理（Ｓ２４）が実行され、一連の処理が終了する。

　また、初期状態（Ｓ４００１）において、暗号鍵設定処理（Ｓ６）が実行されると、暗号鍵が設定済みの状態（Ｓ４００８）に移行する。

　この状態で、センサー計測処理（Ｓ１２）および計測データ蓄積処理（Ｓ１４）が開始されると、暗号化処理が施された計測データが蓄積される状態（Ｓ４００９）に移行し、計測処理が終了するまでその状態が維持される。計測処理が終了すると（Ｓ４０１１でＹｅｓ）、計測停止処理（Ｓ２６）が実行された後、生体情報の計測が停止した状態（Ｓ４００７）に移行する。その後、取得処理（Ｓ２４）が実行され、一連の処理が終了する。

　＜まとめ＞
　以上のように、本実施の形態のセンサータグ２では、暗号鍵の設定処理を行うデータ通信回路は、暗号鍵書込み装置１１から受信する起動信号から生起される電力によって動作するので、暗号鍵設定時に、絶縁体２７を除去して、内蔵の電源２３から電力供給を受ける必要がない。このために、電源２３からの電力供給のＯＮ、ＯＦＦを自由に切り替え可能なスイッチ機構が実装できない小型センサータグのような場合であっても、暗号鍵設定時に、内蔵電池からの電力供給をＯＦＦからＯＮにする必要がないので、課題として述べた、計測開始までの電池消耗課題は起こらない。

　また、無線で暗号鍵を受信できるため、滅菌処理されたパッケージを破ることなくセンサータグ２に暗号鍵を設定することができる。よって、センサータグ２が使用される直前まで衛生的な状態を保つことができる。

　また、一旦、電源２３からセンサー回路２２へ電力が供給されると、メモリアクセス制御規則更新部２６は、暗号鍵の書き込みができなくなるように、メモリアクセス制御回路２５のメモリアクセス制御規則を更新する。これにより、電源２３からセンサー回路２２へ電力が供給され、計測が開始された後に、誤って暗号鍵を書き換えてしまうような誤操作が防止できる。

　（実施の形態１の変形例１）
　実施の形態１の図１７に示した計測停止処理（Ｓ２６）の代わりに、以下に説明する計測停止処理（Ｓ２６）を実行するようにしてもよい。

　図２１は、実施の形態１の変形例１に係る計測停止処理（Ｓ２６）の詳細なフローチャートである。

　メモリアクセス制御回路２５は、データ通信回路２０の計測データ読取部２０４より、計測データ取得依頼信号を受け取ると（Ｓ２６０２）、現在を基準として過去の所定期間内にセンサー回路２２からメモリ２４への暗号化計測データの書込み処理があったかどうかを判断する（Ｓ２６１２）。

　所定期間内にセンサー回路２２からメモリ２４への暗号化計測データの書込み処理があったと判断した場合には（Ｓ２６１２でＹｅｓ）、メモリアクセス制御規則更新部２６は、センサー回路２２からメモリ２４への暗号化計測データの書込みを許可するように、メモリアクセス制御回路２５の内部に設定されているメモリアクセス制御規則（モード）を変更する（Ｓ２６１４）。

　所定期間内にセンサー回路２２からメモリ２４への暗号化計測データの書込み処理がなかったと判断した場合には（Ｓ２６１２でＮｏ）、メモリアクセス制御規則更新部２６は、センサー回路２２からメモリ２４への暗号化計測データの書込みを禁止するように、メモリアクセス制御回路２５の内部に設定されているメモリアクセス制御規則（モード）を変更する（Ｓ２６１６）。

　Ｓ２６１６の処理の後、メモリアクセス制御回路２５は、計測停止信号をセンサー回路２２に出力する（Ｓ２６０４）。

　以上説明したように、本変形例によると、メモリアクセス制御回路２５は、センサー回路２２からメモリ２４への書き込みが所定期間無かった場合、電源２３の電力が消耗したものとみなして、センサー回路２２からメモリ２４へのデータの書込みを禁止する。これにより、メモリ２４に、データ通信回路２０に送信すべき暗号化計測データが十分格納された場合に、データ通信回路２０はメモリ２４から暗号化計測データを読み出して所定の宛先に送信できる。そのため、例えば、電源２３からの電力供給がＯＮ状態となった直後にデータ通信回路２０による取得依頼を受けた場合のように、メモリ２４に、データ通信回路２０に送信すべき暗号化計測データが十分格納されていない状態で、メモリ２４から暗号化計測データが送信される非効率を簡易な構成で防止できる。

　また、メモリアクセス制御回路２５は、暗号化回路からメモリ２４への書き込みが所定期間内に存在する場合、電源２３の電力の寿命はまだあると判断して、センサー回路２２からメモリ２４へのデータの書込みを許可し、データ通信回路２０からメモリ２４へのデータの書込みを禁止する状態を維持する。これにより、電源２３の電力の寿命はまだあると判断した場合には、データ通信回路２０からメモリ２４に格納された暗号化計測データの取得依頼を受けた場合であっても、メモリ２４に、データ通信回路２０に送信すべき暗号化計測データを格納する処理を継続する。そのため、例えば、電源２３からの電力供給がＯＮ状態となった直後にデータ通信回路２０による取得依頼を受けた場合のように、メモリ２４に、データ通信回路２０に送信すべき暗号化計測データが十分格納されていない状態で、メモリ２４から暗号化計測データが送信される非効率を簡易な構成で防止できる。

　（実施の形態１の変形例２）
　実施の形態１の図１７に示した計測停止処理（Ｓ２６）の代わりに、以下に説明する計測停止処理（Ｓ２６）を実行するようにしてもよい。

　図２２は、実施の形態１の変形例２に係る計測停止処理（Ｓ２６）の詳細なフローチャートである。

　メモリアクセス制御回路２５は、データ通信回路２０の計測データ読取部２０４より、計測データ取得依頼信号を受け取ると（Ｓ２６０２）、センサー回路２２が動作状態にあることを確認するための動作確認信号をセンサー回路２２に出力する（Ｓ２６２２）。動作状態にあるセンサー回路２２は、動作確認信号を受け取ると、応答信号をメモリアクセス制御回路２５に出力するものとする。

　メモリアクセス制御回路２５は、所定期間内に、センサー回路２２から応答信号を受信したか否かを判断する（Ｓ２６２４）。

　動作確認信号を受信した場合には（Ｓ２６２４でＹｅｓ）、メモリアクセス制御規則更新部２６は、センサー回路２２からメモリ２４への暗号化計測データの書込みを許可するように、メモリアクセス制御回路２５の内部に設定されているメモリアクセス制御規則（モード）を変更する（Ｓ２６１４）。

　動作確認信号を受信しなかった場合には（Ｓ２６２４でＮｏ）、メモリアクセス制御規則更新部２６は、センサー回路２２からメモリ２４への暗号化計測データの書込みを禁止するように、メモリアクセス制御回路２５の内部に設定されているメモリアクセス制御規則（モード）を変更する（Ｓ２６１６）。

　以上説明したように、本変形例によると、メモリアクセス制御回路２５は、センサー回路２２からの応答が所定期間内に無かった場合、電源２３の電力が消耗したものとみなして、センサー回路２２からメモリ２４へのデータの書込みを禁止する。これにより、メモリ２４に、データ通信回路２０に送信すべき暗号化計測データが十分格納された場合に、データ通信回路２０はメモリ２４から暗号化計測データを読み出して所定の宛先に送信できる。そのため、例えば、電源２３からの電力供給がＯＮ状態となった直後にデータ通信回路２０による取得依頼を受けた場合のように、メモリ２４に、データ通信回路２０に送信すべき暗号化計測データが十分格納されていない状態で、メモリ２４から暗号化計測データが送信される非効率を簡易な構成で防止できる。

　また、メモリアクセス制御回路２５は、センサー回路２２からの応答が所定期間内にあった場合、電源２３の電力の寿命はまだあると判断して、センサー回路２２からメモリ２４へのデータの書込みを許可し、データ通信回路２０からメモリ２４へのデータの書込みを禁止する状態を維持する。これにより、電源２３の電力の寿命はまだあると判断した場合には、データ通信回路２０から、メモリ２４に格納された暗号化計測データの取得依頼を受けた場合であっても、メモリ２４に、データ通信回路２０に送信すべき暗号化計測データを格納する処理を継続する。そのため、例えば、電源２３からの電力供給がＯＮ状態となった直後にデータ通信回路２０による取得依頼を受けた場合のように、メモリ２４に、データ通信回路２０に送信すべき暗号化計測データが十分格納されていない状態で、メモリ２４から暗号化計測データが送信される非効率を簡易な構成で防止できる。

　（実施の形態１の変形例３）
　実施の形態１の図１３に示したセンサー計測処理（Ｓ１２）では、暗号鍵読取部２２２が暗号鍵を取得できなかった場合には（図１３のＳ１２０６）、センサー回路２２は、計測データを暗号化することなくメモリアクセス制御回路２５に転送していた。

　これに対して、暗号鍵読取部２２２が暗号鍵を取得できなかった場合には、センサー回路２２は、計測データを破棄してメモリアクセス制御回路２５に転送しないようにしても良い。

　図２３は、実施の形態１の変形例３に係るセンサー計測処理（Ｓ１２）の詳細なフローチャートである。各処理は、図７に示したものと同様であるが、上述したように、暗号鍵読取部２２２が暗号鍵を取得できなかった場合には（Ｓ１２０８でＮｏ）、センサー回路２２は、何も処理を実行しない。これにより、計測データが破棄され、メモリアクセス制御回路２５に送信されることがなくなる。

　本変形例によると、メモリ２４に暗号化されていない計測データが蓄積されることがない。このため、計測データの秘匿性を保障できる。

　（実施の形態２）
　次に、本発明の実施の形態２について、図面を参照しながら説明する。実施の形態１では、センサー回路２２による生体情報の計測は、計測データ読取装置１３からセンサータグ２に対して計測データ取得依頼が行なわれた時点で終了する。これに対して、実施の形態２では、センサー回路２２により、所定回数または所定時間、生体情報の計測が行なわれた時点で、センサー回路２２による生体情報の計測が終了する。

　センサータグシステム１と、センサータグシステム１を構成するセンサータグ２、暗号鍵書込み装置１１および計測データ読取装置１３との構成は、実施の形態１に示したものと同様である。このため、その詳細な説明はここでは繰り返さない。

　実施の形態２では、センサー回路２２が実行する計測処理４が、実施の形態１と一部異なる。以下、異なる点を中心に説明を行なう。

　図２４は、センサータグ２の全体動作を示すフローチャートである。同図では、図８と同様に、センサー回路２２と、メモリアクセス制御回路２５と、データ通信回路２０との間での処理の流れを示している。

　鍵設定処理３（Ｓ２～Ｓ６）は、実施の形態１に示したものと同様である。このため、その詳細な説明はここでは繰り返さない。

　鍵設定処理３の後に、絶縁体２７がセンサータグ２より除去されると、計測処理４が開始される。つまり、電源２３からの電力供給がＯＮ状態に切替えられ、電源状態検知部２２５が電源２３からの電力供給のＯＮ状態を検知する（Ｓ３８）。電源２３からの電力供給のＯＮ状態が検知されると、メモリアクセス制御回路２５は、メモリアクセス制御規則（モード）を変更する（Ｓ４０）。つまり、データ通信回路２０からのメモリ２４への暗号鍵書込みとＩＤ書込みを禁止する。また、データ通信回路２０からの暗号化計測データの読み出しも禁止する。このモード変更により、これ以降は、暗号鍵を更新することが不可能となる（Ｓ１６、Ｓ１８、Ｓ２０）。また、暗号化計測データを取得することが不可能となる（Ｓ２２、Ｓ２４、Ｓ２８）。

　電源２３からの電力供給がＯＮ状態になると、センサー回路２２は、被計測者１２の生体情報を計測し、計測データをメモリアクセス制御回路２５に出力する（Ｓ４２）。メモリアクセス制御回路２５は、出力された計測データをメモリ２４に蓄積する（Ｓ４４）。以降、Ｓ４２およびＳ１４の処理が所定回数だけ繰り返し実行される。これにより、所定回数分の計測データがメモリ２４に蓄積される。なお、Ｓ４２およびＳ４４の処理については後に詳述する。

　所定回数分の計測データを計測するとセンサー計測処理（Ｓ４２）は終了する。センサー計測処理（Ｓ４２）が終了すると、データ通信回路２０からの暗号化計測データの読出しが許可され、計測データ読取処理５（Ｓ２２～Ｓ３０）が行なわれる。

　［電源ＯＮ検知処理（Ｓ３８）］
　次に、図２５を参照して、電源ＯＮ検知処理（Ｓ３８）について説明する。

　Ｓ８０２～Ｓ８０６の処理は、図１１に示したものと同様であるため、その詳細な説明はここでは繰り返さない。実施の形態２では、さらに、電源２３からの電力供給がＯＦＦ状態からＯＮ状態に変更されたことを確認すると（Ｓ８０４でＹｅｓ）、電源状態検知部２２５は、メモリアクセス制御回路２５に対し、データ通信回路２０によるメモリ２４からの暗号化計測データの読出しを禁止させることを指示する計測データ読出し不可信号を出力する（Ｓ８１２）。

　［モード変更処理（Ｓ４０）］
　図２６を参照して、モード変更処理（Ｓ４０）について説明する。

　Ｓ１００２～Ｓ１００６の処理は、図１２に示したものと同様であるため、その詳細な説明はここでは繰り返さない。実施の形態２では、さらに、Ｓ１００６の処理の後、メモリアクセス制御回路２５は、計測データ読出し不可信号を受信したか否かを判断する（Ｓ１０１２）。計測データ読出し不可信号を受信した場合には（Ｓ１０１２でＹｅｓ）、メモリアクセス制御規則更新部２６は、データ通信回路２０によるメモリ２４からの暗号化計測データの読出しを禁止するように、メモリアクセス制御規則（モード）を変更する（Ｓ１０１４）。つまり、メモリアクセス制御規則更新部２６は、メモリアクセス制御回路２５の内部に設定されているメモリアクセス制御規則を以下のメモリアクセスだけを許可し、それ以外のメモリアクセスは拒否するように更新する。

　　　　（４）センサー回路２２からの暗号鍵読出し
　　　　（５）センサー回路２２からの暗号化計測データ書込み
　上述したように、このメモリアクセス制御規則の更新により、これ以降は、暗号化計測データを取得することが不可能となる（Ｓ２２、Ｓ２４、Ｓ２８）。

　［センサー計測処理（Ｓ４２）］
　図２７を参照して、センサー計測処理（Ｓ４２）について説明する。

　Ｓ１２０２～Ｓ１２１０の処理は、図１３に示したものと同様であるため、その詳細な説明はここでは繰り返さない。実施の形態２では、さらに、Ｓ１２１０の後、生体データ計測部２２０が、内部に記憶している計測回数を１つ増加させる（Ｓ１２１２）。なお、計測回数は計測開始時には予め０にセットされているものとする。

　生体データ計測部２２０は、現在の計測回数が予め定められた閾値を超えているか否かを判断する（Ｓ１２１４）。閾値を超えていると判断した場合には（Ｓ１２１４でＹｅｓ）、生体データ計測部２２０は、生体情報の計測を停止する（Ｓ１２１６）。また、計測データ書込み部２２４は、メモリアクセス制御回路２５に対して、生体情報の計測を停止したことを示す計測停止信号を出力する（Ｓ１２１８）。これにより、生体情報の計測が所定回数行なわれた後、生体情報の計測が終了する。なお、センサー回路２２が計測を停止するのではなく、メモリアクセス制御回路２５が、暗号化計測データをメモリ２４に格納しないようにしても良い。

　［計測データ蓄積処理（Ｓ４４）］
　図２８を参照して、計測データ蓄積処理（Ｓ４４）について説明する。

　Ｓ１４０２～Ｓ１４１０の処理は、図１４に示したものと同様であるため、その詳細な説明はここでは繰り返さない。実施の形態２では、さらに、Ｓ１４１０の後、メモリアクセス制御回路２５が計測停止信号を受信したか否かを判断する（Ｓ１４１２）。計測停止信号を受信したと判断した場合には（Ｓ１４１２でＹｅｓ）、メモリアクセス制御規則更新部２６は、センサー回路からの暗号化計測データの書込みを禁止し、データ通信回路２０からの暗号化計測データの読出しを許可するように、メモリアクセス制御規則（モード）を変更する（Ｓ１４１３、Ｓ１４１４）。つまり、メモリアクセス制御規則更新部２６は、メモリアクセス制御回路２５の内部に設定されているメモリアクセス制御規則を以下のメモリアクセスだけを許可し、それ以外のメモリアクセスは拒否するように更新する。

　　　　（３）データ通信回路２０からの暗号化計測データ読出し
　　　　（４）センサー回路２２からの暗号鍵読出し
　これにより、生体情報の計測が終了した後、メモリ２４内の暗号化計測データは更新されることがなくなり、データ通信回路２０からの暗号化計測データの読出しが可能となる。

　なお、実施の形態２では、計測回数が所定の閾値を越えた時点で、生体情報の計測を停止することとしたが、停止条件はこれに限定されるものではない。例えば、センサー回路２２の生体データ計測部２２０は、タイマー部２２１のタイマーデータ（カウント値）を監視し、カウント値が所定の閾値を越えた場合に、生体情報の計測を停止する構成としても良い。また、タイマー部２２１が計測開始からの時間を管理し、生体データ計測部２２０が計測開始からの時間を監視し、当該時間が所定の閾値を超えた場合に、生体情報の計測を停止する構成としても良い。

　以上説明したように、実施の形態２は、実施の形態１と同様の効果を奏する。

　それに加えて、データ通信回路２０により暗号化計測データが読み出されている最中には、センサー回路２２によるメモリ２４への書込みは行われない。このため、メモリ２４内に格納された暗号化計測データの読み出しの漏れを防止できる。

　＜変形例＞
　なお、本発明は、上記の実施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる。

　（１）暗号化、復号に用いる暗号方式は、特定のアルゴリズムに限定されない。ＲＳＡ（Rivest Shamir Adleman）暗号方式、楕円曲線暗号方式、ＥｌＧａｍａｌ暗号方式などの公開鍵暗号方式であっても良いし、ＡＥＳ（Advanced Encryption Standard）暗号、ＤＥＳ（Data Encryption Standard）暗号などの共通鍵暗号方式であってもよい。各データのデータサイズ、データ個数は、特定のサイズ、個数に限定されない。

　（２）暗号化対象は、上述の実施の形態に記載のデータのみに限らない。例えば、計測データとともに当該計測データが計測を開始してから何番目のデータであるかを示すカウンタ情報を記録するものとし、このカウンタ情報も暗号化するようにしてもよい。さらに、センサータグ２に書き込むデータは、センサータグ２による計測データに限定されない。例えば、患者の氏名や住所、電話番号といった個人情報を書き込んでも良い。その場合、設定される鍵で暗号化してもよい。

　（３）センサータグ２は、２種類以上のセンサー回路を備えていてもよい。即ち、センサータグ２は、２種類以上の計測データを計測して内部に蓄積してもよい。その場合、計測データの種類を識別するための、センサー種別ＩＤを加えて、計測データとともに蓄積するようにしてもよい。また、計測データの種類に依存して、暗号化して保存したり暗号化せずに保存したり設定できても良い。さらに、計測データの種類からその計測データを暗号化するかどうかを判定する規則を、外部から設定できるようにしてもよい。規則の設定処理は、鍵設定時にできるようにしてもよいし、計測途中に外部からの指示により変更できるようにしてもよい。

　（４）上述の実施の形態では、センサータグ２に設定できる暗号鍵の個数を１つとしているが、センサータグ２に複数の暗号鍵を設定できるようにしても良い。この場合、計測データの種類に依存してその計測データの暗号化に用いる暗号鍵を設定してもよいし、その計測データを計測した時間や場所に依存して暗号鍵を変えても良い。さらに、前記のような使用する暗号鍵を決定する規則は、センサータグ２の内部で取得できる仕組みを有していても良いし、センサータグ２の外部から取得してもよい。

　（５）センサータグ２が暗号鍵書込み装置１１、計測データ読取装置１３の正当性を認証する方法としては、上記の実施の形態に示したハッシュ値を用いる方法に限定されるものではなく、例えば、共通鍵暗号方式や公開鍵暗号方式を用いたチャレンジ―レスポンス式認証であってもよい。また、センサータグ２と暗号鍵書込み装置１１または計測データ読取装置１３との間の通信データは、ＳＳＬ（Ｓｅｃｕｒｅ　Sｏｃｋｅｔ　Ｌａｙｅｒ）などを用いて暗号化してもよい。さらに、計測データ読取処理時において、センサータグ２が計測データ読取装置１３を認証する認証方式が複数あって、用いた認証方式の種類に依存して、計測データ読取装置１３がセンサータグ２から取得できる情報を変えても良い。また、複数の計測データ読取装置が存在した場合に、その装置毎にセンサータグ２が与える情報を変えても良い。

　（６）センサータグ２は、センサー回路２２内の生体データ計測部２２０で生体情報を計測しているが、生体情報の計測機能は、センサータグ２以外の機器が行うようにしてもよい。この場合、センサータグ２以外に、生体情報計測装置があり、生体情報計測装置は、計測した生体データを、センサータグ２に無線通信などで送信する。センサータグ２の受信回路２８は、前記送信されてくる生体データを受信する。この場合、センサータグ２を、生体情報計測装置とは別体のセンサータグ２として用いることができる。

　（７）センサータグシステム１の適用例として、暗号鍵書込み装置１１と計測データ読取装置１３を病院が管理して、暗号鍵設定後のセンサータグ２を患者に提供する、というモデルを説明したが、このモデルに限定されない。例えば、暗号鍵書込み装置１１と計測データ読取装置１３を、患者が管理して、患者が独自に決定した暗号鍵をセンサータグ２に設定できるようにしてもよい。

　（８）暗号鍵書込み装置１１や計測データ読取装置１３は、ネットワークを介してサーバに接続していてもよい。このとき、暗号鍵、復号鍵はサーバが保持しており、暗号鍵をセンサータグ２に設定するときや、計測済みセンサータグ２から暗号化計測データを読み取って復号する際には、暗号鍵書込み装置１１や計測データ読取装置１３は、前記サーバから暗号鍵、復号鍵を取得するようにしてもよい。

　（９）センサータグ２は、計測データを暗号化するだけでなく、計測データの改ざん検出データを生成してもよい。改ざん検出データの生成方法としては、公知の暗号鍵を用いたＭＡＣ（Ｍｅｓｓａｇｅ　Ａｕｔｈｅｎｔｉｃａｔｉｏｎ　Ｃｏｄｅ）生成方法を用いればよい。

　（１０）センサータグシステム１は、生体情報の計測というユースケースに限定されるものでない。例えば、輸送中の生鮮食料品の環境管理にも用いることができる。この場合、センサータグ２は、生鮮食料品もしくはそれを輸送しているコンテナに設置して、輸送中の温度、湿度、照度などを計測して蓄積する。また、センサー回路２２は、加速度センサーやＧＰＳ（Ｇｌｏｂａｌ　Ｐｏｓｉｔｉｏｎｉｎｇ　Ｓｙｓｔｅｍ）受信モジュールであり、センサータグシステム１を位置履歴や移動速度を計測する行動追跡システムとして使用してもよい。この場合、センサータグ２を身に着けている被計測者の位置履歴や移動速度を暗号化してセンサータグ２内部に記録することが可能になる。さらに、本発明は、センサー機能付きタグに限定されるものではなく、例えば、設定された暗号鍵を用いたチャレンジ―レスポンス式認証を行うような認証タグであっても良い。つまり、装置内部で暗号処理を行い、その暗号処理に用いる暗号鍵を外部から設定できるような暗号処理装置であれば本発明が適用可能である。

　（１１）電源２３からセンサー回路２２への電力供給をＯＦＦ状態からＯＮ状態にする方法として、装着されている絶縁体２７の除去により行ったが、これに限定されない。例えば、磁気スイッチや赤外線スイッチなどの仕組みにより、電源２３からセンサー回路２２への電力供給をＯＦＦからＯＮにするようにしてもよい。

　（１２）計測データ読取装置１３が、センサータグ２から計測データを読み取るための通信方法として、アンテナ２１を介した非接触の無線通信を用いたが、これに限定されるものではなく、接触式の通信であってもよい。また、データ読取時の電力供給は、計測データ読取装置１３からの起動信号によるものに限られず、センサータグ２に内蔵の電源２３から供給されてもよい。

　（１３）センサータグ２への暗号鍵設定処理の際、暗号鍵書込み装置１１は、センサータグ２に設定する暗号鍵を、暗号鍵書込み装置１１内部に保持していても良いし、装置外部から入力されるようにしてもよい。さらに、暗号鍵書込み装置１１は、ネットワークを介して、暗号鍵設定処理の際に暗号鍵管理装置に接続し、暗号鍵管理装置から送付を受け、センサータグ２に設定するようにしても良い。

　（１４）センサータグ２からの計測データ読取処理の際、計測データ読取装置１３は、インターネットなどのネットワークを介してセンサータグ２に接続して、暗号化計測データ群を読み出すようにしても良い。

　（１５）電源２３からセンサー回路２２に電力供給されたときのメモリアクセス制御回路２５のメモリアクセス制御規則更新の方法は、上述の実施の形態に記載の方法に限定されない。例えば、メモリアクセス制御規則の異なる二つ以上のメモリアクセス制御回路があって、センサー回路２２に電源２３からの電力が供給されると、使用するアクセス制御回路が切り替わるようにしてもよい。あるいは、絶縁体２７を除去することにより、暗号鍵を書き込むための信号線が切断されて、暗号鍵を書き込むことが物理的に不可能になるようにしても良い。

　（１６）電池消耗や電源からの電力供給がＯＦＦ状態になることにより、電源２３からセンサー回路２２へ電力が供給されている状態から供給されていない状態になった場合には、「暗号鍵書込み不可」の状態から「暗号鍵書込み可」の状態になるようにしてもよい。

　（１７）上記の各装置は、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記ＲＡＭまたはハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

　（１８）上記の各装置を構成する構成要素の一部または全部は、１個のシステムＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）から構成されているとしてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどを含んで構成されるコンピュータシステムである。前記ＲＡＭには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、システムＬＳＩは、その機能を達成する。

　（１９）上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なＩＣカードまたは単体のモジュールから構成されているとしてもよい。前記ＩＣカードまたは前記モジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどから構成されるコンピュータシステムである。前記ＩＣカードまたは前記モジュールは、上記の超多機能ＬＳＩを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ＩＣカードまたは前記モジュールは、その機能を達成する。このＩＣカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。

　（２０）本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。

　また、本発明は、前記コンピュータプログラムまたは前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕ－ｒａｙ　Ｄｉｓｃ）、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよい。

　また、本発明は、前記コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

　また、本発明は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。

　また、前記プログラムまたは前記デジタル信号を前記記録媒体に記録して移送することにより、または前記プログラムまたは前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　（２１）上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。

　今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される

　本発明にかかるセンサータグは、内蔵電池からの電力供給の自由なＯＮ，ＯＦＦ機構が実装できない場合であっても、内蔵電池を無駄に消耗せずに、暗号鍵設定が可能になるという特徴を有するので、電池容量や実装サイズの厳しい制約の下で蓄積するセンサー情報の暗号化の必要性があるようなセンサータグの実現に有用である。

Claims

　可搬型のデータ暗号化装置であって、
　記憶部と、
　外部端末から無線の起動信号を受信し、受信した前記起動信号により発生する起電力で動作することにより前記外部端末から暗号鍵を受信し、受信した前記暗号鍵を前記記憶部に格納する無線通信回路と、
　電力を供給する一次電池と、
　前記一次電池からの電力供給をＯＦＦ状態からＯＮ状態に切替える切替手段と、
　前記一次電池からの電力供給がＯＮ状態に切替えられた後、前記一次電池から供給される電力で動作し、前記記憶部から前記暗号鍵を読み出し、読み出した前記暗号鍵を用いて所定の暗号化対象のデータを暗号化し、暗号化されたデータを前記記憶部に格納する暗号化回路と、
　を具備するデータ暗号化装置。
　さらに、前記無線通信回路から前記記憶部へのアクセスと、前記暗号化回路から前記記憶部へのアクセスと、を制御する記憶部制御部を備え、
　前記記憶部制御部は、前記暗号化回路が前記一次電池から供給された電力で動作するとき、前記無線通信回路から前記記憶部へのデータの書込みを禁止する
　ことを特徴とする請求項１記載のデータ暗号化装置。
　前記暗号化回路は、前記データ暗号化装置のユーザの生体データを計測するセンサー回路であって、前記記憶部から前記暗号鍵を読み出し、読み出した前記暗号鍵を用いて前記生体データを暗号化し、暗号化された生体データを前記記憶部に格納する
　ことを特徴とする請求項２記載のデータ暗号化装置。
　さらに、ユーザの生体データを計測する外部の計測装置から、前記生体データを入力として受け付ける入力部を備え、
　前記暗号化回路は、前記生体データを前記所定の暗号化対象のデータとして暗号化し、暗号化された生体データを前記記憶部に格納する
　ことを特徴とする請求項２記載のデータ暗号化装置。
　前記記憶部に前記暗号鍵が記憶されていない状態で、前記一次電池からの電力供給がＯＮ状態になって前記暗号化回路が前記一次電池から供給された電力で動作する場合、前記暗号化回路は前記所定の暗号化対象のデータを暗号化せずに前記記憶部に格納する
　ことを特徴とする請求項２記載のデータ暗号化装置。
　前記記憶部に前記暗号鍵が記憶されていない状態で、前記一次電池からの電力供給がＯＮ状態になって前記暗号化回路が前記一次電池から供給された電力で動作する場合、前記暗号化回路は前記所定の暗号化対象のデータを破棄して前記記憶部への格納は行わない
　ことを特徴とする請求項２記載のデータ暗号化装置。
　前記切替手段は、前記一次電池からの電力供給をＯＦＦ状態からＯＮ状態への一方向にのみ切替える
　ことを特徴とする請求項１記載のデータ暗号化装置。
　前記一次電池と前記暗号化回路とは、互いに接触する方向に付勢されており、
　前記切替手段は、付勢された前記一次電池と前記暗号化回路との間に介在する絶縁体である
　ことを特徴とする請求項７記載のデータ暗号化装置。
　前記暗号化対象データは、前記データ暗号化装置のユーザの個人情報である
　ことを特徴とする請求項１記載のデータ暗号化装置。
　前記暗号化回路は、前記データ暗号化装置が付与されている物品の周囲の環境情報を計測するセンサー回路であって、前記記憶部から前記暗号鍵を読み出し、読み出した前記暗号鍵を用いて前記環境情報を暗号化し、暗号化された環境情報を前記記憶部に格納する
　ことを特徴とする請求項１記載のデータ暗号化装置。
　前記無線通信回路は、ＲＦＩＤ（Radio Frequency Identification）の通信回路である
　ことを特徴とする請求項１記載のデータ暗号化装置。
　さらに、前記記憶部が前記暗号鍵を記憶していることを示す表示を行う表示部を備える
　ことを特徴とする請求項１記載のデータ暗号化装置。
　さらに、前記無線通信回路から前記記憶部へのアクセスと、前記暗号化回路から前記記憶部へのアクセスと、を制御する記憶部制御部を備え、
　前記記憶部制御部は、前記暗号化回路が前記一次電池から供給された電力で動作するとき、前記暗号化回路から前記記憶部へのデータの書込みを許可し、前記無線通信回路から前記記憶部へのデータの書込みを禁止し、
　前記暗号化回路は、前記データ暗号化装置のユーザの生体データを計測するセンサー回路であって、前記記憶部から前記暗号鍵を読み出し、読み出した前記暗号鍵を用いて前記生体データを暗号化し、暗号化されたデータを前記記憶部に格納し、
　前記記憶部制御部は、
　前記無線通信回路から前記記憶部に格納された前記暗号化されたデータの取得依頼を受けた場合、前記暗号化回路から前記記憶部へのデータの書込みを禁止し、
　前記無線通信回路は、
　前記暗号化回路から前記記憶部へのデータの書込みを禁止された後、前記記憶部に格納された前記暗号化されたデータを所定の宛先に送信する
　ことを特徴とする請求項１記載のデータ暗号化装置。
　前記記憶部制御部は、
　前記無線通信回路から前記記憶部に格納された前記暗号化されたデータの取得依頼を受けた場合、所定期間内に前記暗号化回路から前記記憶部への書き込みがあったか否かを判断し、前記暗号化回路から前記記憶部への書き込みが前記所定期間無かったと判断した場合、前記暗号化回路から前記記憶部へのデータの書込みを禁止する
　ことを特徴とする請求項１３記載のデータ暗号化装置。
　前記記憶部制御部は、
　前記無線通信回路から前記記憶部に格納された前記暗号化されたデータの取得依頼を受けた場合、所定期間内に前記暗号化回路から前記記憶部への書き込みがあったか否かを判断し、前記暗号化回路から前記記憶部への書き込みが前記所定期間内にあったと判断した場合、前記暗号化回路から前記記憶部へのデータの書込みを許可し、前記無線通信回路から前記記憶部へのデータの書込みを禁止する状態を維持する
　ことを特徴とする請求項１４記載のデータ暗号化装置。
　前記記憶部制御部は、
　前記無線通信回路から前記記憶部に格納された前記暗号化されたデータの取得依頼を受けた場合、前記暗号化回路が動作状態にあることを確認する所定の信号を前記暗号化回路に出力し、所定期間内に応答があったか否かを判断し、前記応答が前記所定期間内に無かったと判断した場合、前記暗号化回路から前記記憶部へのデータの書込みを禁止する
　ことを特徴とする請求項１４記載のデータ暗号化装置。
　前記記憶部制御部は、
　前記無線通信回路から前記記憶部に格納された前記暗号化されたデータの取得依頼を受けた場合、前記暗号化回路が動作状態にあることを確認する所定の信号を前記暗号化回路に出力し、所定期間内に応答があったか否かを判断し、前記応答が前記所定期間内にあったと判断した場合、前記暗号化回路から前記記憶部へのデータの書込みを許可し、前記無線通信回路から前記記憶部へのデータの書込みを禁止する状態を維持する
　ことを特徴とする請求項１６記載のデータ暗号化装置。
　さらに、前記無線通信回路から前記記憶部へのアクセスと、前記暗号化回路から前記記憶部へのアクセスと、を制御する記憶部制御部を備え、
　前記記憶部制御部は、前記暗号化回路が前記一次電池から供給された電力で動作するとき、前記暗号化回路から前記記憶部へのデータの書込みを許可し、前記無線通信回路から前記記憶部へのデータの書込みを禁止し、
　前記暗号化回路は、前記データ暗号化装置のユーザの生体データを計測するセンサー回路であって、前記記憶部から前記暗号鍵を読み出して前記生体データを暗号化して前記記憶部に格納し、前記生体データを所定回数計測した場合、前記記憶部制御部に、前記生体データを前記所定回数計測した旨を通知し、
　前記記憶部制御部は、前記生体データを前記所定回数計測した旨の通知を受けると、前記暗号化回路から前記記憶部へのデータの書込みを禁止し、
　前記無線通信回路は、前記暗号化回路から前記記憶部へのデータの書込みが禁止された後、前記記憶部に格納された暗号化された生体データを所定の宛先に送信する
　ことを特徴とする請求項１記載のデータ暗号化装置。
　さらに、前記無線通信回路から前記記憶部へのアクセスと、前記暗号化回路から前記記憶部へのアクセスと、を制御する記憶部制御部を備え、
　前記記憶部制御部は、前記暗号化回路が前記一次電池から供給された電力で動作するとき、前記暗号化回路から前記記憶部へのデータの書込みを許可し、前記無線通信回路から前記記憶部へのデータの書込みを禁止し、
　前記暗号化回路は、前記データ暗号化装置のユーザの生体データを計測するセンサー回路であって、前記記憶部から前記暗号鍵を読み出して前記生体データを暗号化して前記記憶部に格納し、
　前記記憶部制御部は、前記一次電池からの電力供給がＯＮ状態になってから所定時間が経過すると、前記暗号化回路から前記記憶部へのデータの書込みを禁止し、
　前記無線通信回路は、前記暗号化回路から前記記憶部へのデータの書込みが禁止された後、前記記憶部に格納された暗号化された生体データを所定の宛先に送信する
　ことを特徴とする請求項１記載のデータ暗号化装置。
　外部端末から無線の起動信号を受信し、受信した前記起動信号により発生する起電力で動作する無線通信回路と、データの記憶部と、電力を供給する一次電池と、前記一次電池からの電力供給をＯＦＦ状態からＯＮ状態に切替える切替手段と、前記一次電池から供給された電力で動作する暗号化回路と、を具備した可搬型のデータ暗号化装置の制御方法であって、
　前記一次電池からの電力供給がＯＦＦ状態のとき、前記無線通信回路にて前記外部端末から暗号鍵を受信して前記暗号鍵を前記記憶部に格納し、
　前記切替手段により前記一次電池からの電力供給がＯＦＦ状態からＯＮ状態に切替えられた後、前記暗号化回路にて前記記憶部から前記暗号鍵を読み出し、所定の暗号化対象のデータを暗号化して前記記憶部に格納する
　ことを特徴とする制御方法。
　可搬型の集積回路であって、
　記憶部と、
　外部端末から無線の起動信号を受信し、受信した前記起動信号により発生する起電力で動作することにより前記外部端末から暗号鍵を受信し、受信した前記暗号鍵を前記記憶部に格納する無線通信回路と、
　電力を供給する一次電池と、
　前記一次電池からの電力供給をＯＦＦ状態からＯＮ状態に切替える切替手段と、
　前記一次電池からの電力供給がＯＮ状態に切替えられた後、前記一次電池から供給される電力で動作し、前記記憶部から前記暗号鍵を読み出し、読み出した前記暗号鍵を用いて所定の暗号化対象のデータを暗号化し、暗号化されたデータを前記記憶部に格納する暗号化回路と、
　を具備する集積回路。