WO2010140191A1

WO2010140191A1 - 情報通信ネットワーク

Info

Publication number: WO2010140191A1
Application number: PCT/JP2009/002476
Authority: WO
Inventors: 小山雄二
Original assignee: 株式会社新興機材
Priority date: 2009-06-02
Filing date: 2009-06-02
Publication date: 2010-12-09

Abstract

　情報通信ネットワーク上で逐一生体情報そのものの送信・提供を行わずに安全な本人認証ができ、認証を受けた本人の属性に応じた適切なサービスを提供する仕組みを構築する。本発明は、携帯可能で、本人を認証できる情報を読み込み、保存あるいは既に存在する情報との照合をおこなう照合手段および前記照合の結果だけを出力する出力手段を備えた認証端末と、前記照合手段の照合結果を検出できる手段と、有線/無線により通信を行う通信手段と、その通信を利用するものを登録し、識別し、検索できる装置とを具備したことを特徴とする情報通信ネットワークを用いる。これにより、本人認証自体は本人と認証端末との間で完結し、その照合結果のみを他の認証プロセスで用いることで情報セキュリティの向上と手続き的な簡便性、およびシステム的な簡素化を両立できる。

Description

情報通信ネットワーク

　本発明は、たとえば情報通信ネットワークに係り、特に持ち運び可能な電子的な個人識別・認証デバイスの分野、公共通信網の情報セキュリティの向上、およびそれを利用する際の安全性向上の分野に属する情報通信ネットワークに関する。

個人識別と認証を、持ち運び可能な電子デバイスで行い、その認証結果のみを出力することで、自らを識別する情報をサービス提供者側に個別に、際限なく提供し続けるということにより生じる情報漏えいやなりすましの危険性を減ずることに貢献すると思われる技術には、以下のようなものがある。

特許文献１の発明によれば、ユーザのクライアント端末と複数設置した認証サーバとが接続されるキャンセラブル生体認証システムにおいて、認証サーバ間で安全にテンプレートを共有することにより、ユーザやサービスプロバイダにとっての登録に関する負担を軽減することができる。また、クライアント端末において、既存の記憶媒体のメモリ容量で多数の認証サーバに対応可能とすることができる。

しかし、認証サーバー各個においてクライアントの生体情報を保存するという基本的な仕組みは何も変わっておらず、自分を特定しうる情報を提供するという抵抗感、およびそれが際限なく広がっていくという不安感は払拭できない。

特許文献２の発明によれば、自らの個人情報を提供する際、生体認証を用いて本人の意思でそれが提供されるものか否かを厳密に検証することで、商品・サービス提供者側における個人情報漏洩のリスク負担を低減し、セキュアな環境で効率的な顧客サービスの提供が可能となる。

しかし、用途が個人情報の漏洩リスクの軽減および窓口業務における本人確認の厳格化というところに焦点を当てており、実施できる局面は限定されている。また、この窓口を持つ法人といった単位でシステムを構築しなければならず、生体情報を集中管理する仕組みは必須である。つまり、認証サーバー各個においてクライアントの生体情報を保存するという基本的な仕組みは何も変わっておらず、自分を特定しうる情報を提供するという抵抗感、およびそれが際限なく広がっていくという不安感は払拭できない。

特許文献３の発明によれば、第三者による生体情報の使用に伴う利用者及びサービス提供者の損失を防止しつつ、通信ネットワークを介して生体情報に基づいた利用者認証を行うことができる生体認証方法、移動体端末装置、サーバ装置、認証サーバ及び生体認証システムを提供することが可能となる。

しかし、読み取った生体情報を携帯端末で本人の認証に使うわけではなく、暗号化した生体情報をネットワーク経由で送信し、認証は送り先のサーバーに委ねるという仕組みを取っている以上、上記諸技術と同様に、認証サーバー各個においてクライアントの生体情報を保存するという基本的な仕組みは何も変わっておらず、自分を特定しうる情報を提供するという抵抗感、およびそれが際限なく広がっていくという不安感は払拭できない。
特開２００９－６４２０２号公報特開２００８－２８２３３４号公報特開２００７－１０８９９７号公報

インターネットを含む情報通信ネットワークの発展は近年著しいが、利便性の反面、行き過ぎた匿名性が加害者特定の障害となり、振り込め詐欺等の犯罪行為の温床になる、特定個人に対する誹謗中傷を行う等の犯罪的行為の抑制が効かないといった、副作用の部分が看過できない状況になってきている。

こういった状況下で、企業やそれに準ずる組織・団体は自らのネットワークに種々のアクセスポリシーを課すなど、独自の対処・防衛手段を講じている。しかし、一定の規模を持ったネットワークに関しては上述のような防衛手段が取られているところ、個人レベルでのアクセスポリシーに関しては未だ野放図の状態となっており、特に未成年が携帯電話を使ってインターネットの不適切なサイトへのアクセスを行った結果、種々のトラブルに巻き込まれたという事例は枚挙に暇がなく、利用者の属性に応じた確たる制約を設けることが喫緊の課題であると言える。

これらの課題を解決の一助とする為に、情報通信ネットワークへのアクセス用端末においてその利用者の本人性を確認するための最も優れた手段として種々の生体認証手段がある。しかし現在のところ、認証を要求する第三者（サービス提供者）の数だけそれぞれの所持するデータベースに際限なく逐一生体情報を送信しては登録するという一般的・典型的手続には、人権的な問題と登録を行う個人の感情的な抵抗という問題があり、標準的なものとして一般に普及しているという状況ではない。

この発明の目的は、情報通信ネットワーク上で逐一生体情報そのものの送信・提供を行わずに安全な本人認証ができ、認証を受けた本人の属性に応じた適切なサービスを提供する仕組みを構築することである。

かかる課題を解決するために、請求項１記載の本発明は、携帯可能で、本人を認証できる情報を読み込み、保存あるいは既に存在する情報との照合をおこなう照合手段および前記照合の結果だけを出力する出力手段を備えた認証端末と、前記照合手段の照合結果を検出できる手段と、有線/無線により通信を行う通信手段と、その通信を利用するものを登録し、識別し、検索できる装置とを具備したことを特徴とする。システム的な簡素化とは、たとえば認証に必要な生体情報を集中管理し、認証を行うためのサーバーを構築・維持するといった必要がなくなることである。これにより、本人認証自体は本人と認証端末との間で完結し、その照合結果のみを他の認証プロセスで用いることで情報セキュリティの向上と手続き的な簡便性、およびシステム的な簡素化を両立できる。

請求項２記載の本発明は、前記情報通信ネットワークにおいて、携帯可能で、本人を認証できる情報を読み込み、保存するあるいは既に存在する情報との照合をおこなう照合手段と、前記照合結果だけを出力し、本人を認証できる情報自体は出力しない出力手段とを備えたことを特徴とする。これにより、ネットワーク上に自らを特定しうる情報を発信することなく、本人認証を得ることができる。

請求項３記載の本発明は、前記情報通信ネットワークにおいて、有線/無線により通信を行う通信手段と、その通信を利用するものを登録し、識別し、検索できる装置と、通信の可否を前記照合結果により判断する手段とを備えたことを特徴とする。これにより、認証を得ていない者が情報通信ネットワークに介入することを防ぐことができる。

請求項４記載の本発明は、前記情報通信ネットワークにおいて、前記認証端末にて行う本人認証以外の認証プロセスでは、前記認証端末での照合結果をもって認証の代替とすることを特徴とする。これにより、サービスの提供側は本人認証に必要な情報を集中管理する必要から解放される。

以上本発明により、通信サービスの提供主体はその利用客を認証する為の個人情報を一元的に管理することから解放され、情報漏えいのリスクを自ら負うことを無くすことができる。また利用客側からみれば、自らを特定しうる個人情報をサービスの提供主体へ逐一登録するという煩雑さ、それらのうち一つ以上から情報が漏洩するというリスク、そもそもそれを提供するという心理的抵抗感から解放されることになる。携帯型の本人認証端末を一つ持ち歩くのみで、あらゆる認証手続が行えるようになる。

本発明の一実施形態に係る通信ネットワークの全体構成を示す概念図である。本発明の一実施形態に係る通信ネットワークの全体構成を示す機能ブロック図である。本発明の一実施形態に係る認証端末１０（または認証端末２０）の内容を、担う機能の部分単位でより具体的に示す機能ブロック図である。本発明の一実施形態に係る加入者交換機３０の内容を、担う機能の部分単位でより具体的に示す機能ブロック図である。本発明の一実施形態に係る認証端末１０（または認証端末２０）を用いて、本人確認を行った後に通話が開始されるまでの全体的なプロセスを示すフローチャートである。本発明の一実施形態に係る認証端末１０を入手したユーザー１がまず最初に、自分の情報（氏名など）とその確認情報（指紋、静脈パターンなど）を認証端末１０に登録するプロセスを示すフローチャートである。本発明の一実施形態に係る認証端末１０でのユーザー１の本人認証手続を示す具体的プロセスを示すフローチャートである。本発明の一実施形態に係る通信ネットワークへの新規加入者など、新たにそのネットワークを使用するユーザーを登録するプロセスを示すフローチャートである。本発明の一実施形態に係る加入者交換機３０での本人認証結果確認から発信先相手への接続までのプロセスを示すフローチャートである。本発明の別の実施形態に係る個人認証装置の構成の一例を示すブロック図である。本発明の別の実施形態に係る個人認証装置の構成の別の一例を示すブロック図である。本発明の別の実施形態に係る個人認証のための特徴原本データの登録、改竄防止符号の登録の詳細手順を説明するためのフローチャートである。本発明の別の実施形態に係る個人認証のための特徴原本データの登録、改竄防止符号の登録の詳細手順の説明するためのイメージ図である。本発明の別の実施形態に係る個人認証のための特徴原本データの登録、改竄防止符号の登録の詳細手順の説明するためのイメージ図である。本発明の別の実施形態に係る個人認証のための特徴原本データの登録、改竄防止符号の登録の詳細手順の説明するためのイメージ図である。本発明の別の実施形態に係る個人認証のための特徴原本データの登録、改竄防止符号の登録の詳細手順の説明するためのイメージ図である。本発明の別の実施形態に係る個人認証のための認証機能の詳細手順を説明するためのフローチャートである。クレジットカードについての暗証番号の盗用・成りすましのシステム的原理を説明するための概念図である。クレジットカードについての暗証番号の盗用・成りすましをシステム的に防止する本発明の考え方を説明するための概念図である。本発明の本人認証付き携帯電話、クレジットカード携帯電話申込の考え方を示すためのタイミング・フローチャートである。本発明に係る決済前の本人確認パターンの考え方を説明するための概念図である。本発明に係る決済要求データ入力後の本人確認パターンの考え方を説明するための概念図である。

発明を実施するための形態

以下、図面を参照して本発明の実施形態を説明する。

図１は本発明の一実施形態に係る通信ネットワークの全体構成を示す概念図、図１Ａは本発明の一実施形態に係る通信ネットワークの全体構成を示す機能ブロック図である。

同図に示すように、本発明に係る情報通信ネットワークは、認証を受ける対象であり、また通信サービスを受け、さらに通話・情報発信を行う主体としてのユーザー１およびその相手先ユーザー２と、無線等による通信と本人の認証を行うための情報を取り込むインターフェースを備え、また事前に登録した本人情報・本人確認情報が認証手続の際に入力された情報に一致するかの照合を行う機能を持つ認証端末１０および認証端末２０と、通信ネットワークの加入者情報を保持し、認証端末同士の回線を仲介する機能を持つ加入者交換機３０と、加入者交換機に新規の加入者の登録、脱退者の抹消等を行う入力者４０とを少なくとも備えて構成される。

「本人確認情報」とは、たとえば指紋認証、静脈認証、虹彩認証といった個人に特有で重複のほぼ有り得ない特徴を主体とした、その情報の持ち主を特定でき、かつ本人以外が所持していることが難しい情報である。

「本人情報」とは、本人に関わる情報のなかで本人確認情報以外の情報であり、たとえば名前や生年月日など、本人特定の手掛かりとはなるものの必ずしも特定にまで至ることが保証されない情報である。

図２は、認証端末１０（または認証端末２０）のさらに具体的な機能構成を示した機能ブロック図である。同図に示すように、本発明に係る認証端末１０は、生体情報等の本人に固有で偽造のし難い情報を入力することのできる本人確認情報入力インターフェース１０１と、本人確認情報入力インターフェースから入力された本人確認情報を保存できる本人確認情報記憶部１０３と、認証の必要性が生じる都度、事前に登録され上記記憶部１０３に保存されている本人確認情報が、上記インターフェース１０１から入力される本人確認情報に合致するか否かの照合を行い、その結果を出力する本人確認情報照合部１０２と、音声などのコミュニケーション手段で情報を伝達する通話部１０４と、無線通信を担う通信部１０５とを少なくとも備えて構成される。

本人確認情報入力インターフェース１０１は、生体情報（指紋、静脈、虹彩、声紋）などの本人に固有で偽造のし難い情報を読み取り、記憶媒体に保存可能な電気的信号に変換する機能を持つシステムである。

本人確認情報照合部１０２は、既に認証端末１０内に登録され電気的信号として記録されている本人確認情報が、認証手続の都度本人確認情報入力インターフェース１０１から入力される本人確認情報と合致するか否かの照合を行うプログラムを持ち、その照合結果のみを出力する機能を持つシステムである。

本人確認情報記憶部１０３は、本人確認情報入力インターフェース１０１から入力され、電気的信号に変換された本人確認情報を格納する記憶媒体である。

通話部１０４は、音声・音楽・特定のパターンを持った音の信号などのコミュニケーション手段で情報を入出力でき、音を電気的信号へ変換し、また電気的信号を音へ変換するシステムである。

通信部１０５は、有線・無線の別を問わず、認証端末１０がそれ以外の機材と情報の通信を行う為に、認証端末１０内から外へ出す情報を電波などの規格に則った電気的信号に変換して発信するシステムである。

図３は、加入者交換機３０のさらに具体的な機能構成を示した機能ブロック図である。同図に示すように、本発明に係る加入者交換機３０は、発信を行ってきた認証端末との通信を担う通信部３０１と、通信ネットワークの加入者情報を登録することができる加入者情報記憶部３０３と、予め登録された加入者情報の中から、認証端末の要求に応じて発信先加入者を検索し、抽出する加入者情報照合部３０２とを少なくとも備えて構成される。

通信部３０１は、有線・無線の別を問わず、加入者交換機３０がそれ以外の機材と情報の通信を行う為に、加入者交換機３０内から外へ出す情報を電波などの規格に則った電気的信号に変換して発信するシステムである。

加入者情報照合部３０２は、加入者情報記憶部３０３に予め登録された加入者情報（端末番号、使用回線事業者、回線種別など）の中から、認証端末の要求に応じて発信先の加入者を検索し、抽出して出力するシステムである。

加入者情報記憶部３０３は、本発明の情報通信ネットワークの加入者情報（端末番号、使用回線事業者、回線種別など）を登録することができるデータベース型の大容量な電気的記憶媒体である。

次に、上記のように構成される本発明に係る情報通信ネットワークの動作について説明する。まず、通信確立プロセスの動作について説明する。

図４は、認証端末１０（または認証端末２０）を用いて、本人確認を行った後に通話が開始されるまでの全体的なプロセスを示したフローチャートである。

まず、ユーザー１は認証端末１０に対して、発信操作を行う。ユーザー１であることを形式的に示す事前に登録されたID等の本人情報を入力する（STEP1）。次に、認証端末１０は、ユーザー１と関連付けられた本人確認情報を記憶部から検索し、読み込んでおく。そして、本人確認情報の入力を促すメッセージをユーザー１に対して表示する（STEP2）。このメッセージを受け、ユーザー１は自らが事前に登録したものと同じ本人確認情報（指紋や声紋、虹彩、静脈パターンなど）を本人確認情報入力インターフェース１０１に入力する（STEP3）。そして、認証端末１０内部で、入力された本人確認情報と事前に登録された本人確認情報との照合作業を行う（STEP4）。ここで、本人確認情報の照合作業の結果が「合致」であれば、今回ユーザー１が行っている発信操作に関して、本人が行っているものであるという認証済みフラグを付与する（STEP5）。これを受け、認証済みフラグを確認した認証端末が発信の手続を開始する（STEP6）。

次に、認証端末１０から行われた発信を加入者交換機３０が認識し、着信する（STEP7）。
着信を受け、加入者交換機３０は、当該着信が発信元の認証端末にて適正な本人認証が行われたものかをフラグの有無で確認する。フラグがあれば、次の手続に移行する（STEP8）。次に、認証端末１０が望んでいる通話先の登録者を検索する（STEP9）。そして、その通話先の登録者が存在することを確認し、回線の交換手続を行う（STEP10）。その後、望まれている通話先の認証端末へむけて発信の手続を行う（STEP11）。

認証端末２０が加入者交換機３０からの発信信号を受け、着信する（STEP12）。次に、認証端末１０の持ち主であるユーザー１が通話したいと考えていると推定される、認証端末２０の持ち主であるユーザー２が通話を受けるという形を確実にするためにユーザー２に向けて認証端末２０は本人確認情報の入力指示を行う（STEP13）。これをうけ、ユーザー２は認証端末２０の指示に従って自らが事前に認証端末２０に登録した本人確認情報と同じものを認証端末２０に入力する（STEP14）。認証端末２０は入力された本人確認情報を、事前に登録された本人確認情報と合致するかの照合作業を行う（STEP15）。こうして、照合作業の結果が「合致」であれば、今回の通信について認証済みのフラグを付与する（STEP16）。

ユーザー２は、最終的にその着信を受けるか否かの判断を行う（STEP17）。最後に、ユーザー２が着信を承諾するということであれば、通話が開始される（STEP18）。

このように、本発明に係る情報通信ネットワークにおける本人確認のプロセスによれば、通信サービスの提供主体はその利用客を認証する為の個人情報を一元的に管理することから解放され、情報漏えいのリスクを自ら負うことを無くすことができる。また利用客側からみれば、自らを特定しうる個人情報をサービスの提供主体へ逐一登録するという煩雑さ、それらのうち一つ以上から情報が漏洩するというリスク、そもそもそれを提供するという心理的抵抗感から解放されることになる。携帯型の本人認証端末を一つ持ち歩くのみで、あらゆる認証手続が行えるようになる。

次に、認証端末での本人確認情報登録プロセスの動作について説明する。

図５は、認証端末１０を入手したユーザー１がまず最初に、本人情報（氏名など）とその本人確認情報（指紋、静脈パターンなど）を認証端末１０に登録するプロセスを示したフローチャートである。

まず初めに、ユーザー１は本人情報登録の手続を開始する（STEP1）。これを受けて、上記手続の開始を受けた本人確認情報入力インターフェース１０１および本人情報記憶部１０３が起動する（STEP2）。次に、まずユーザー１が何者であるのかを示す形式的な情報（氏名、社員番号など）を入力する（STEP3）。ここで、本人情報記憶部１０３内に、ユーザー１用の本人情報および本人確認情報を格納する領域が確保される（STEP4）。
次に、本人情報記憶部１０３は、前ステップで登録された本人情報に関連付けられる本人確認情報の入力を要請する（STEP5）。

次に、本人情報記憶部１０３の要請を受けた本人確認情報入力インターフェース１０１は、読み取り状態を開始する（STEP6）。ここで、ユーザー１は自らの本人確認情報（指紋、静脈パターンなど）を、本人確認情報入力インターフェース１０１に入力する（STEP7）。本人確認情報入力インターフェース１０１は、ユーザー１から入力された本人確認情報を読み取る（STEP8）。次に、本人情報記憶部１０３は、上記ステップで入力された本人情報に、STEP8で入力された本人確認情報を関連付けて保存する（STEP9）。こうして、認証端末１０におけるユーザー１の本人認証用データが完成する（STEP10）。
このように、本発明に係る情報通信ネットワークにおける認証端末への本人確認情報の登録プロセスを行うことによれば、本人認証は本人と認証端末の間で完結させることができ、その認証結果のみを出力することができる。

次に、端末での本人認証プロセスの動作について説明する。

図６は、認証端末１０でのユーザー１の本人認証手続を示す具体的プロセスを示したフローチャートである。

まず初めに、ユーザー１は本人認証手続を開始する（STEP1）。これを受け、本人認証手続の開始を受けて、本人確認情報入力インターフェース１０１、本人情報照合部１０２、および本人情報記憶部１０３が起動する（STEP2）。ここで、ユーザー１は認証対象となる形式的な本人情報（氏名、社員番号など）を入力する（STEP3）。次に、人情報照合部１０２は、事前に本人情報記憶部１０３に登録された本人情報の検索を開始する（STEP4）。本人情報記憶部１０３は保持するデータベースからデータを本人情報照合部１０２に提供する（STEP5）。一瞬の間を経て、本人情報照合部１０２は、検索対象となっている本人情報と、それに関連付けられた本人確認情報を抽出する（STEP6）。そして、本人確認情報の入力を促すメッセージをユーザー１に対して示す（STEP7）。

次に、ユーザー１は自らが事前に登録したものとおなじ本人確認情報を入力する（STEP8）。本人確認情報入力インターフェース１０１は、入力された本人確認情報を読み取る（STEP9）。本人情報照合部１０２は、入力された本人確認情報と事前に登録された本人確認情報とを照合する（STEP10）。最後に、本人情報照合部１０２は、本人確認情報の照合結果を出力する（STEP11）。

このように、本発明に係る情報通信ネットワークにおける認証端末を用いることによれば、本人の認証手続は本人と認証端末の間で完結し、外部に大規模な認証用サーバーを設置するなどの集中的管理の仕組みを省くことができ、サービス提供側は費用を大幅に軽減できる。

次に、加入者交換機への加入者登録プロセスの動作について説明する。

図７は、通信ネットワークへの新規加入者など、新たにそのネットワークを使用するユーザーを登録するプロセスを示したフローチャートである。

まず初めに、入力者４０は、新規加入者を獲得する（STEP1）。この新規加入者の情報を、加入者交換機へ入力する手続を開始し（STEP2）、新規加入者の情報（電話番号、使用通信事業者、氏名など）を入力する（STEP3）。最後に、入力された新規加入者の情報が加入者交換機３０のデータベースに保存される（STEP4）。

このように、本発明に係る情報通信ネットワークにおける加入者交換機への加入者登録を行うことによれば、端末間の伝送路を共用し効率を高めることができる。

次に、加入者交換機での認証および発信フローの動作について説明する。

図８は、加入者交換機３０での本人認証結果確認から発信先相手への接続までのプロセスを示したフローチャートである。

まず初めに、ユーザーが認証端末１０を用いた発信手続が開始され（STEP1）、ユーザーの本人認証手続が行われる（STEP2）。ここで、本人認証手続が完了する（STEP3）と、認証済みフラグが今回の接続手続に付与される（STEP4）。これを受けて、発信が行われる（STEP5）。

認証端末１０からの発信を加入者交換機３０が着信する（STEP6）。これを受けて、本人の認証を経た正当な発信かを確認するため、本人認証が行われた証拠となる認証済みフラグの有無を確認する。フラグが存在すれば、次のステップに進む（STEP7）。発信先の相手の情報をデータベースから検索し（STEP8）該当者が存在すれば、加入者交換機３０からの発信操作を行う（STEP9）。最後に、認証端末２０で着信する（STEP10）。

このように、本発明に係る情報通信ネットワークにおける加入者交換機による認証と通信のプロセスを経ることによれば、本人以外の人間が本人になりすまして行うあらゆる不正な行為を抑制することができる。

以上詳述したように、本実施形態によれば、通信サービスの提供主体はその利用客を認証する為の個人情報を一元的に管理することから解放され、情報漏えいのリスクを自ら負うことを無くすことができる。また利用客側からみれば、自らを特定しうる個人情報をサービスの提供主体へ逐一登録するという煩雑さ、それらのうち一つ以上から情報が漏洩するというリスク、そもそもそれを提供するという心理的抵抗感から解放されることになる。携帯型の本人認証端末を一つ持ち歩くのみで、あらゆる認証手続が行えるようになる。

厳格な本人認証を末端の端末と本人との間のみで行う為、“かたり”や“なりすまし”を極力排除することができる。これは、振り込め詐欺などに見られるなりすまし行為を抑制することにつながる。

　本人の認証を厳格に行うことができるため、発信者本人の属性に応じた適切なサービスの提供、例えば未成年に対して不適切なWEBコンテンツのアクセス禁止などをより緻密に、正確に行うことができる。

また、認証端末の操作は本人のみができるため、これと携帯電話などを一体化することで端末盗難の際の情報漏えい防止にもつながる。

認証部分に生体認証などを用いて誤認を極力排除することで、金銭の決済、年金の授受、税金の納付など、本人確認が非常に重要な局面で特に効果を発揮する。

例えば、近年サービスを提供する事業者が増えてきているMVNO（仮想移動体通信事業者：Mobile
Virtual Network Operator)においては、学内のみで使える携帯電話網の提供や、特定地域のみで利用が可能な携帯電話網、決済に特化した通信網など、加入者の希望、属性に応じた細かいサービス区分が定義され提供されるという傾向が見られる。これらの仕組みの中に本発明の認証プロセスを含ませることで、事業者側は、本人認証作業に特化した巨大な生態情報データベースの構築といった大規模な投資を行わずにサービスの提供ができるというメリット、またユーザー側は今まで煩雑だった認証の手続を非常に簡略にできるというメリットがあると思われる。

　次に、本発明の別の実施形態について説明する。

　本発明に係る技術の構成要素は、一実現形態として、１．個人が占有している情報端末に生体情報を入力する装置、２．照合の根拠となる原本情報を登録する記録装置と、原本として登録された生体情報が改ざんされるとか、入れ換えられていないことを照合する機能、３．本人確認が必要になった時に入力する生体情報と登録済みの原本情報を照合して判定する機能、４．第三者機関によって本人確認時に登録済み原本が非改竄であることを証明する機能、５．本人確認を要求している相手方に照合の判定結果を送信する機能を具備している。

　以下、本発明の実施の形態につき説明する。

（Ａ）システム全体
　図９は、本発明の実施の形態に係る個人認証装置の構成を示すブロック図である。同図に示すように、本発明の一実施形態に係る個人認証装置１００は、カメラ付携帯電話機２００に内包されている。個人認証装置１００は、原本画像記録装置１０１と、認証時の顔画像データ処理部１０２と、画像照合装置１０５と、照合判定結果保存装置１０６と、照合判定結果添付・送出装置１０７と、カメラ１０８と、撮像フラッシュ装置１０９とを具備して構成される。

　カメラ１０８および撮像フラッシュ１０９は、装置使用開始時に、当該装置の所有者または占有使用者の本人確認のための照合用原本情報を取得したり、照合用の新たな個人情報を取得するのに用いられる。もちろん、個人認証用の情報を取得する以外にも、通常の撮影のために用いることができる。フラッシュ１０９は、保存する画像としてはっきりとした画像を確保する上で照度がかなり大きなポイントになることから、重要である。太陽光や照明が逆光になった場合は照合精度が落ちてしまう。

　原本画像記録装置１０１は、カメラ付携帯電話機の所有者または占有使用者が携帯電話機を占有した時最初に撮影した自己の顔画像を記録するものであり、一度だけ書き込め必要に応じて読み出しが可能であるが映像の改変または再撮影は出来ない構造である。またこの原本画像記録装置１０１は、原本画像記録装置１０１に記録された映像のデータに関するバイト数を映像データと別途保存し、必要に応じて第三者に、できれば自動的に送信して保存することが可能な機構を備えていてもよい。カメラ付携帯電話機２００の工場出荷段階で決められる製造番号が出荷時に第三者に登録されている場合、この製造番号と最初に撮像した画像のデータ容量（バイト数）と併せて第三者に保存することにより、本発明の装置および方法に係る個人認証が極めて正確になるとともに、社会的な信頼性を確保することも可能となる。利用者が情報端末に登録した照合用の生体情報の原本性確認は、利用者が情報端末の使用開始時に登録した生体情報のデータ容量の照合によって行うことができる。

　本発明では、個人情報となる生体情報を個人が占有する端末機器から外部に出さないために、外部すなわち第三者に送信可能なのは、原本画像記録装置１０１に記録された原本情報のデータ容量のみである。

　認証時の顔画像データ処理部１０２は、撮像動画像記録装置１０３と、静止画像選別装置１０４で構成されている。

　認証時に映像照合装置１０５で照合される映像は、ダミーの静止画の撮像による照合を避けるため、カメラ１０８で撮像され照合される映像は動画像から顔画像データ処理部１０２で選択された複数枚の映像によるものである。所有者の写真を撮影することで成りすましの恐れがあるので、動画像を選択するようにすること、動画像から任意に選択した複数枚を選択して照合することによって照合の精度を上げることができる。

　照合時に所有者の顔をカメラ１０８で撮像すると、顔画像データ処理部１０２が撮像動画像から複数画像と原本画像記憶装置１０１に登録されている原本画像とを照合し、双方の画像から同一人と判定されればその結果を照合判定結果保存装置１０６に保存するようになっている。照合時に使用される画像照合については次項に詳説する。

　所有者は認証要求がある、通信の相手先に対して必要な情報を通信する際に、保存しているカメラ付携帯電話機の照合判定結果添付・送出装置１０７を経由して相手先に送付する。繰り返しになるが、本発明では、認証要求のある通信の相手先には、照合の判定結果のみを送付するのであって、生体情報そのものについては個人が占有する端末機器からは外部に出さない。

　カメラ付携帯電話機２００は、認証部１００に備わった認証に必要な各装置・処理部を使い、その照合結果を用いて最終的に、本人であるか否か確認を行うものである。これらの認証に応える動作は、カメラ付携帯電話機２００全体もしくはその一部の操作を制御するものではなく、画像照合の判定結果を送信するものであり、このような動作は照合の結果に係わらない。

　上記説明においては、顔画像を動画像として撮影し、これから抽出する静止画像を使って照合する認証方式を用いたが、無論静止画として撮像して照合することも可能であり、本発明では、静止画による照合も可能な機能を備えている。さらに、上記説明においては、個人情報として生体情報のうち、顔画像を採用したが、顔画像に替えて、または顔画像に加えて、新たに虹彩、指紋、掌紋、網膜情報、耳介情報、静脈パターン、声紋および遺伝子情報のいずれかを用いてもよい。すなわち、カメラによる顔画像の撮像機能を使った入力方式の他に、指紋や掌紋情報を取り込む光学方式、静電方式、感熱方式、電界方式、圧力方式などのセンサー機能を持つ入力デバイス、声紋情報を取り込むマイクロフォン、遺伝子情報をスキャニングするセンサー機能を持つ入力デバイスを使用して生体情報を取り込むことも可能である。前記情報は２つ以上組み合わせて用いるように設定することも可能である。さらにパスワードやＩＤ番号認証機能を加えて、本人確認の精度をあげることも可能である。

　複数の生体情報である、たとえば個人の顔画像、音声、指紋、或いは特定のパスワード又はＩＤ番号の認証結果のうち何れかを組み合わせて用いられた、本人確認の判定結果は必ずカメラ付携帯電話機等、情報端末内の照合装置で処理され、照合に使われた生体情報は一切外部に通信されない構造を保持する。

　虹彩情報を取得する装置は、たとえば、特開平１１－１４６５０７号、特開２００２－３０７７１５号および特開２００２－３３０３１８号に記載のものが使用できる。指紋情報を取得する装置は、たとえば、特開２００１－３４４５４４号に記載のものが使用できる。声紋情報を取得する装置は、たとえば、特開２０００－２５９８２８号記載のものが使用できる。その他、公知の技術を用いて個人情報を取得することができ、取得した生体情報を認証装置の外には出さず、照合結果のみを出力する本発明に供することができる。

　図９では便宜的にカメラ付携帯電話機に搭載された個人認証装置で本発明の装置および方法の説明を行ったが、本発明に係る装置および方法の認証機能である本人確認の仕組みは、家庭用のTV電話機、パーソナルコンピュータなど、家族が共有で使うことになる通信機能をもつ端末や移動用のパソコンなどを始め、酒類、タバコ、飲料等の自動販売機、交通機関、娯楽施設の自動券売機、有価証券類、住民票等の自動発行機、クレジットカードのキャッシュディスペンサー、金融機関のＡＴＭ装置、公衆電話機など事業者のサービス提供用の機器など社会的なサービスを提供している装置（無人サービス提供機）にも広く利用することができる。更に、外国人および／または日本人の入出国管理、不動産売買／賃貸契約に伴う本人確認、病院での本人確認など、本人確認が必要とされる社会のあらゆる場面に応用可能である。簡便かつ正確な個人認証／本人確認を行うことができる。

　カメラ付携帯電話機等、情報端末内の原本画像記録装置１０１に記録された画像情報の他、その他の生体情報を用いる原本情報記憶装置に記録されている情報を外部機関によって認証を受ける場合に必要な情報は、顔画像情報等の個人認識可能な情報ではない。照合用に撮影された画像として特徴原本データに登録した画像の指定された１ライン（図１４のライン１）上の画素の濃度を加算器にて加算し結果をｎビットレジスタに累積し、オーバフローする上位ビットは無視し、下位ｎビットを改竄防止符号として登録する。

　カメラ付携帯電話機を含み、テレビ電話機又は携帯テレビ電話機に備えられ特定個人であると認証する機構が、認証の結果によって各々の端末の動作を制御する機能ではなく、操作した本人と登録済みの本人を画像もしくはその他の生体情報によって照合しその結果だけを外部送信して相手先の認証に資するデータを提供することを実現しているのは、前記の改竄防止符号を使って特徴原本データの非改竄、言い換えれば原本性保証を第三者機関によって証明されるからである。

　（Ｂ）システム全体／カメラ付き携帯電話の外部接続端子利用型

　図１０は、本発明の別の実施の形態に係る個人認証装置の構成を示すブロック図である。同図に示すように、本発明の一実施形態に係る個人認証装置３００は、カメラ付携帯電話機２００の外部接続端子に取り付けられて使用される。個人認証装置３００は、原本画像記録装置３０１と、認証時の顔画像データ処理部３０２と、画像照合装置３０５と、照合判定結果保存装置３０６と、照合判定結果添付・送出装置３０７と、カメラ３０８と、撮像フラッシュ装置３０９とを具備して構成される。

　カメラ１０８および撮像フラッシュ１０９は、個人認証装置３００の使用開始時に、該装置の所有者または占有使用者の本人確認のための照合用原本情報取得し、また照合用の新たな個人情報として本人の顔画像を取得するために用いられる。もちろん、個人認証用の情報を取得する以外にも、通常の撮影のために用いることができる。フラッシュ１０９は、保存する画像としてはっきりとした画像を確保する上で照度がかなり大きなポイントになることから、重要である。太陽光や照明が逆光になった場合は照合精度が落ちてしまう。

　原本画像記録装置３０１は、カメラ付携帯電話機の所有者または占有使用者が携帯電話機を占有した時最初に撮影した自己の顔画像を記録するものであり、一度だけ書き込め必要に応じて読み出しが可能であるが映像の改変または再撮影は出来ない構造である。またこの原本画像記録装置３０１は、原本画像記録装置３０１に記録された映像のデータに関するバイト数を映像データと別途保存し、必要に応じて第三者に自動的に送信して保存することが可能な機構を備えている。個人認証装置３００の工場の製造段階で決められる製造番号を、生産者の管理下で製品の工場出荷時に第三者機関に登録しておくことによって、製品を購入または確保した本人がこの個人認証装置３００の製造番号を、最初に撮像した画像のデータ容量（バイト数）と併せて第三者機関に送信して保存することにより、本発明の個人認証方法とプログラム実行システムに係る個人認証が極めて正確になるとともに、社会的な信頼性を確保することも可能になる。利用者が自ら占有する情報端末機器に登録した照合用の生体情報の原本性確認を行う場合は、利用者が情報端末機器の使用開始時に登録した生体情報のデータ容量の照合する他、すでに登録してある製造番号と原本性証明の要求時に、改めて製造番号の照合することで証明の確度を高めることができる。

　本発明の特徴は、個人情報である生体情報を個人が占有する情報端末機器から外部に出さないことであり、外部すなわち第三者機関に送信可能なのは、原本画像記録装置３０１に記録された改竄防止符号原本データのデータ容量のみである。

　認証時の顔画像データ処理部３０２は、撮像動画像記録装置３０３と、静止画像選別装置３０４で構成されている。

　認証時に映像照合装置３０５で照合される映像は、所有者の顔写真を撮影するダミーによる成り済ましを可能にする静止画の撮像による照合を避け、携帯電話機のカメラ１０８で撮像され照合される映像は動画像から顔画像データ処理部３０２で予め設定されたプログラムによって選択された複数枚の映像である。所有者の写真を撮影することで成りすましの恐れがあるので、動画像から静止画像を選択、複数枚を使って照合することによって照合の精度を上げることができる。

　照合時に所有者の顔をカメラ１０８で撮像すると、顔画像データ処理部３０２が、撮像動画像から選択した複数画像と原本画像記憶装置３０１に登録されている原本画像とを照合し、双方の画像から同一人と判定されればその結果を照合判定結果を正解率という数値データで保存装置３０６に保存するようになっている。照合時に使用される画像照合については次項に詳説する。

　所有者は認証要求がある、通信の相手先に対して必要な情報を通信する際に、保存している照合判定結果を照合判定結果添付・送出装置３０７を経由して相手先に送付する。前記の繰り返しになるが、本発明では、認証要求のある通信の相手先には、照合の判定結果のみの数値データを送付するのであって、生体情報そのものについては個人が占有する端末機器機からは外部に出さないことが重要である個人認証方法とプログラム実行システムである。

　カメラ付携帯電話機２００において、その外部接続端子に差し込まれたコネクタもしくは接続されたコンピュータ、さらにはＩＣカードやメモリーカードなど個人情報を保存し読み出しができるデバイスから情報を読み取ることが可能な情報端末装置の認証部３００に備わった認証に必要な各装置・処理部を使い、その照合結果を用いて最終的に、本人であるか否か確認を行うこれらの認証に応える動作は、カメラ付携帯電話機２００全体もしくはその一部の操作を制御するものではなく、カメラ付携帯電話機２００をコントロールして画像照合の判定結果を相手先に送信するものであり、このような動作は照合の結果に係わらないものである。

　前記コネクタもしくは接続されたコンピュータなど、カメラ付携帯電話機２００の外部接続端子に差し込まれる情報端末認証部３００には、本人確認認証プログラムが内装されている。このプログラムは、カメラ付携帯電話機の電源によって動作し、携帯電話機の操作ボタンによって起動するのが好ましい。また、情報端末認証部３００に内装されている本人確認認証プログラムと携帯電話機２００とを中継して外部にデータの送信を行う装置を介在させ、同装置から送るデータによって携帯電話機の機能を可能にするようにしてもよい。

　情報端末認証部３００をカメラ付携帯電話機２００に最初に差し込んだ段階で、撮影装置を起動して撮像した画像は、コネクタなど情報端末認証部３００の記録装置３０３に原本画像として登録されることが望ましい。

　前記情報端末認証部内の記録装置に保存した原本画像が符号化され、改竄防止符号原本データとして、接続した携帯電話機を中継して外部の第三者機関に送信され、認証保証センターの専用サーバーに記録されるようなプログラムが内装されていることが望ましい。この際、外部の第三者機関の通信先が予め指定されており、カメラ付携帯電話のデータ通信機能によって送信されることが望ましい。また、カメラ付携帯電話から最初にコネクタなど情報端末認証部に画像を送信して、改竄防止のための原本画像情報が登録された場合に、改竄防止符号原本データを、カメラ付携帯電話の通信機能を使って外部の認証機関に自動的に送信するようにしておいてもよい。

　この改竄防止符号原本データは、前記原本画像情報（特徴原本画像情報、特徴原本データ）に係る画像の任意の１本の横線もしくは縦線上の画素、もしくは前記特徴原本情報にかかるデータのビット数の少なくともいずれか１つであることが好ましい。また、改竄防止符号原本データとして自動的に複数のデータを保存しており、第三者機関に登録する改竄防止符号原本データは本人確認手続きを行うたびに、保存してある複数の原本の非改竄を証明するデータを入れ替える機能を有していることが好ましい。

　第三者機関に改竄防止符号原本データを登録するとき、使用するカメラ付携帯電話、もしくはコネクタやコンピュータなどの情報端末認証部の登録ＩＤ番号を送信して、該番号を改竄防止符号原本データと同時に登録する機能を有してもよい。また、第三者機関に登録した改竄防止符号原本データを参照する場合、使用するカメラ付携帯電話、もしくはコネクタやコンピュータなどの情報端末認証部の登録ＩＤ番号を送信して該番号を改竄防止符号原本データと同時に照合する機能を有してもよい。

　認証時には、携帯電話機の通信をオフすることなく、外部の第三者から受信した原本画像の非改竄を証明するデータと、コネクタなど情報端末認証部内で照合した結果を含む記憶装置に記憶されている各種の情報を一緒に通信中の相手先に送信するようにしてもいい。通信の相手先から本人確認と個人認証を請求された際に、携帯電話機の電話通信を維持したまま、外部の第三者から受信した原本画像の非改竄を証明するデータと、コネクタなど情報端末認証部内で照合した結果を一緒にして相手先に該データのパケット通信が可能なようにしてもいい。また、通信の相手先から本人確認と個人認証を請求された際に、携帯電話機のメール通信機能を使って、外部の第三者から受信した原本画像の非改竄を証明するデータと、コネクタなど情報端末認証部内で照合した結果を添付して、カメラ付携帯電話で作成したメール本文と一緒に相手先に送信可能なようにしてもいい。

　本人確認認証プログラムを内装したコネクタなど情報端末認証部が外部接続端子に差し込まれている状態で、本体のカメラ付携帯電話の操作機能を使ってコネクタなど情報端末認証部内の各種プログラムを有効とするモードが設定されていてもよい。

　本人確認認証プログラムを内装したコネクタなど情報端末認証部（本人確認認証プログラム実行装置）に外部からのデータを受信させるようにしてもよく、この実行装置とカメラ付携帯電話が接続され、携帯電話機が受信したデータを変換して実行装置に送る中継装置を更に有してもいい。この中継装置には、カメラ付携帯電話から送られる動画像データから静止画像を抽出して記憶する装置と、原本画像と照合可能なコネクタなど情報端末認証部対応のデータに変換する装置を含んでもよい。

　照合の実行を可能とするプログラムによって、カメラ付携帯電話で撮像された顔画像を読み取って原本として記録された記録媒体と、本人確認用に撮像された動画像から照合用顔画像データを抽出するステップと具体的に照合して正解率を計算するステップを一体的に処理できるプログラムを搭載したチップとを内装してもよい。

　個人情報の種類、本発明に係る装置および方法の認証機能である本人確認の仕組みの利用範囲などは、図１０においても、図９と同様であることはいうまでもない。

　本発明は、カメラ付携帯電話もしくは携帯電話に取り付けられて機能拡張端子を使ってこれらの通信端末機器の機能自体を写真付きの身分証明書の機能と、契約行為に必要なハンコの機能の二つを同時にしたものと解釈すべきものである。

　現在、運転免許証、パスポートなどの公的証明書、また学生証、社員証、一部のクレジットカード、キャッシュカード、その他の会員カードなど、身分証明書には「顔写真」が添付されている。さらに身分証明書は学生証、社員証、免許証、パスポートなどは、本人が所属する組織が学校印、社印、公安委員会印、外務省印など印判を使う形式で必ず第三者が見て明らかな視認確認が可能な発行者の存在が不可欠である。また、特に免許証やパスポートなど重要な証明書は本人の成り済ましを防ぐために顔写真が改竄できないような工夫がこらされている。

　これら身分証明書の形式は全て、目の前の人間が本人の顔と証明書を見較べながら本人確認を行うためのものである。最近は、コピーやファクスでも認証用の手続きとして認められるケースが増えて来ているが、基本的にはフェースツーフェイスを前提とする認証方式である。

　本発明が目標としている具体的な目的の内、身分証明書の機能は次の二点である。

　(１)本人の所属の有無に係わらないで身分証明に代わる認証行為の設定を可能にする。
　(２)通信手段を用いて直接の面談を伴わない本人確認の方式を実現する。

　ハンコには、本人が所有し本人を特定する印判を使って本人の契約行為の意志を証する印影を、相手方が受取る紙媒体に捺印することで、相互の意志を認証する割付方式の保証書の役割をもっている。印判は本人が所有し、印影は相手方が保存することで後日に契約行為の存在を証明することが可能になる。

　もうひとつ本発明の目標としている具体的な目的の内、ハンコの機能は次の二点である。

　(１)所有者本人の原本登録顏写真のデータ容量（印判に彫込んだ名前）を、相手側に送ることで（捺印して）契約行為の意志確認の証書となる。
　(２)同上の原本登録顔写真のデータ容量を第三者機関に登録し（印鑑登録）、第三者機関経由で同データ容量を送信することで一般にいう印鑑証明書付きの契約行為となる。

　上記の二つの機能を満足できるように、たとえば本発明を適用したカメラ付携帯電話端末は工場出荷後、撮像機構が未使用の場合に限り、初回に撮像しCD-R方式（一度だけ書込み可能。読出し自由）で記録する本人の顔画像データを原本写真とデータ容量に分けて端末内に保存できる装置を備えていることには重要な意義があるのである。またデータ容量については端末側に保存すると同時に外部に送信して指定の第三者機関が保存する機能が付加されている。

　このように、本発明に係る一実施形態においては、上述の説明にあるように、バイオメトリクス情報そのものという秘密情報を直接送受信の対象としない。原データを自己装置内に購入時に撮像・登録し、照合の必要な際に撮像した照合必要時撮像データを原データと比較した結果（おそらく数バイト程度のデータ）をサービス提供者側に送信する。それと共に、かかる原データが改竄されていない保証として、やはり装置購入時に原データの撮像画像から（詳細について後述する）一定の符号化した改竄防止用原符号化データを作成、第３者機関に送信・保存させ、照合必要時に撮像した照合必要時撮像データから当該符号化を施した改竄防止用照合用符号化データを作成、当該第３者機関に送信し、当該第３者機関ではこの送られた改竄防止用照合用符号化データを先に保存されている改竄防止用原符号化データと比較して改竄がなされているかを判定し、その結果を先のサービス提供者側に送信する。当該サービス提供者側では、サービス要求者側から上記の送られた照合結果データを、第３者機関から改竄がされていないかどうかの判定データを受け取ることになり、このダブルの認証をもって本人確認を行うことができる。そしてこのときに、サービス要求者にとっては、バイオメトリクス情報という極めて個人的な秘密性の高い情報を他に委ねる危険を冒すことなく、本人認証を受けることが可能となる。

　上記の説明では、認証に用いる比較データとして例えば顔写真を例にとって説明したが、これは本人の認証に用いることが可能なデータであれば原理的に何でも可能である。したがって、バイオメトリクス情報、本人しか知り得ず（持ち得ない）常時（或いは照合要求時）身につけている情報であればよい。具体的には、顔写真のほか、声紋、指紋、虹彩、遺伝子情報等であっても原理的に同様の効果を奏することが可能である。

　また、第三者認証を使ってクレジットカード機能をたとえばカメラ付き携帯電話にもたせることが可能になる。

（Ｃ）特徴原本データの登録、改竄防止符号の登録の詳細手順

　図１１は、特徴原本データの登録、改竄防止符号の登録の詳細手順を説明するためのフローチャートである。

　動画像を撮影し、正面顔が撮影された画像を選択し、選択された画像を個別に処理して各画像の特徴量を算出し、特徴量を統計的に処理して最終結果を得る。この結果を、特徴原本データとして登録する。特徴原本データとして登録するデータの一部を符号化し、改竄防止符号として登録し、第3者機関に送信する。

　この一連の動作を同図に沿って下記に説明する。

　（ステップS-1）動画像撮影、取り込み

　顔を連続的に撮影し動画像を得る。カラー画像でもモノクロ画像でもよい。

　（ステップS-２）正面顔の検出

　多数の顔のデータベースなどから、図１２のようなマスク画像を作成し、原画像を左上から右下に走査して両眼を含む部分を検出する。具体的には、両眼を含んだマスク画像で、図１３のように、原画像上にマスク画像を置き、画素ごとに濃度を比較して類似度を計算し、スコアとする。この操作を原画像の左上から１画素ずつ右方向へずらせて繰り返す。右端に達したら１画素下へ移動し左端から右方向へ繰り返す。この操作を右下へ到達するまで繰り返し、最大スコアを閾値と比較し、閾値以上であれば、正面顔と判断する。顔の大きさは、個人差、撮影距離などにより一定ではないため、マスクのサイズを数段階に変化させて以上の処理を繰り返す。顔が回転している可能性がある場合には、たとえばマスクを時計回り、反時計回りに数度ずつ回転し、以上の処理を繰り返す。

　この探索は、１画素ずつずらして走査する方法のほかに、はじめに10画素程度ずつずらせて大域的に探索しスコアを計算し、次にスコアの大きな場所を重点的に探索することもできる。画像ピラミッドを利用して粗い画像を作成し、大域的に探索することもできる。文献（小杉
信、“個人識別のための多重ピラミッドを用いたシーン中の顔の探索・位置決め”、電子情報通信学会論文誌、Vol.J77-D-II,No.4,pp.672-681,April 1994）。ずらせ方は１画素に限定されない。原画像の左上から右下まですべて探索することなく、顔のある確率の高い部分だけ探索することもできる。画像そのままでなくウェーブレット変換などの変換をしたのち係数の類似度を計算することもできる。その他さまざまな方法が、文献（M.H.Yang et al “Detecting Faces in Images: A Survey” IEEE Tans. on Pattern Analysis and Machine
Intelligence, Vol.24, No.1, Jan. 2002.）に紹介されている。

　（ステップS-３）正面顔画像の選択

　以上の処理を画像ごとに行い、スコアの大きい順に複数枚の画像を選択する。

　（ステップS-４）顔画像正規化

　選択した画像ごとに、眼及び口の位置を検出する。眼の位置、口の位置にもとづいて、画像を拡大縮小し、正規化する。明るさ、コントラストも、調節する。

　（ステップS-５）特徴原本データの登録

　複数枚の画像を重ね合わせ、図１４に示すように、眼およびその周囲、鼻およびその周囲、口およびその周囲の画素について、画素ごとに、濃度の平均値、分散を計算してこれを顔特徴として画素ごとに記録し、特徴原本データとする。また顔の幅なども特徴として特徴原本データに記録する。

　以上のように画像データそのものを顔特徴として記録する方法のほかに、画像そのままでなくウェーブレット変換などの変換をしたのち係数を顔特徴とし特徴原本データとして記録することもできる。

　（ステップS-６）改竄防止符号の登録

　特徴原本データに登録した画像の指定された１ライン（図１４のライン１）上の画素の濃度を加算器にて加算し結果をｎビットレジスタに累積し、オーバフローする上位ビットは無視し、下位ｎビットを改竄防止符号として登録する。

　（ステップS-７）改竄防止符号を第３者機関に送信する。

　（Ｄ）認証機能

　次に、認証機能の詳細について説明する。動画像を撮影し、正面顔が撮影された画像を選択し、選択された画像を個別に処理して各画像の特徴量を算出し、特徴量を統計的に処理して最終結果を得る。

　この結果を、特徴原本データと照合し、判定結果と改竄防止符号とを送信する。

　図１６は、これを説明するためのフローチャートである。この一連の動作を同図に沿って下記に説明する。

　・動画像撮影、取り込み
　上記ステップS-1　と同様。

　・正面顔の検出
　上記ステップS-２　と同様。

　・正面顔画像の選択
　上記ステップS-３　と同様。

　・顔画像正規化
　上記ステップS-４　と同様。

　・個別顔画像の照合

　正規化した複数枚の原画像の１枚を特徴原本データと最適に重ね合わせ、眼およびその周囲、鼻およびその周囲、口およびその周囲を特徴原本データと比較し、スコアを計算する。特徴原本データとの比較は画素ごとに濃淡を比較して類似度を計算し、スコアとする。

　原画像と特徴原本データとの比較方法としては、画素ごとの差の２乗の累積値を比較したり、画素配列を特徴ベクトルと考え、特徴ベクトルの内積を求める方法、あるいは画像をウェーブレット変換などの変換をした時の係数を比較する方法等がある。

　・顔認証

　複数の画像で照合した結果のスコアの平均値を最終結果とする。最終結果としては、中央値、最大値、最大値と分散などを考えることもできる。最終結果が設定した閾値より大きければ、本人と判定する。

　結果の送信

　判定結果と、改竄防止符号とを送信する。判定結果が否であれば、改竄防止符号は送信する必要はない。

　改竄防止符号は、記憶装置に記録されたデータをそのまま送信してもよいが、ステップS-６　改竄防止符号の登録と同様の処理をして、ここで新たに得られた改竄防止符号を送信してもよい。

（実施例１）　
次に、上記の実施形態の一実施例について詳細に説明する。

　本人確認に利用する生体情報を顔画像とし、情報端末側に必要な照合装置と照合に使う原本情報の原本性保証機能を備えた通信システムを開発する。

　その他の生体情報（指紋、掌紋、声紋、虹彩、遺伝子）については、情報端末の入力機構が異なるだけで、登録された情報や照合するシステムについてはほとんど同じ機構で対応可能であると考える。

　本実施例で実現する顔画像認識装置よる認証システムは、一般のモバイル端末である携帯端末機器／PDAやノートブック型パソコンで機動するシステムを前提にしているが、市場性のあるカメラ付き携帯電話に搭載することも、また、カメラ付き携帯電話の外部接続端子に差し込んで使う専用の情報処理機能をもつ情報端末装置をも想定した開発である。

　また、個人用ゲーム用端末やゲームセンター、他の娯楽施設で使われるゲーム機器、また酒類、タバコ、飲料等の自動販売機、交通機関、娯楽施設の自動券売機、有価証券類、住民票等の自動発行機、クレジットカードのキャッシュディスペンサー、金融機関のATM装置、公衆電話機など事業者のサービス提供用の機器など社会的なサービスを提供している装置などに、公衆通信網に接続して通信が可能な装置を持たせた場合にも、本発明による認証システムが有効である。

　以下に、カメラ付き携帯電話を使って本人確認用のための顔画像の特徴原本データを登録する手続きと同画像を用いた個人認証手続きを説明し、この手続きを有効とする技術開発の詳細を概説する。

　システムの利用手続き

（Ａ）原本情報の登録

　通信手段と撮像装置を備える情報端末で、本人照合用の特徴原本データが未登録の場合、最初に撮像されて登録される画像は自動的に情報端末内の記憶装置に登録され、照合用の原本情報となる。

　１．情報端末機器を起動し、画面メニューから「本人確認」を選択する。
　２．レンズを自分の顔に向けて、画面一杯の顔画像を撮像する。
　３．撮像後、画面に表示された画像を確認し、画面上の「登録する」「やりなおし」を選択して登録、もしくは撮影をやり直す。
　４．前項の記録装置は、最初に登録された画像の書換えもしくは改竄ができない機構を採用する。
　５．前項の登録された画像の原本性確認のため、画像データから特定の情報（改竄防止データ）を抽出して記録装置内に保存する。
　６．前項の特徴原本データと改竄防止データの登録と同時に、情報端末機器の通信機能を起動し予め設定している第三者機関に接続し、端末機器の情報（IPアドレス、登録済み電話番号）、5.記載の画像照合データを同機関に送信して登録する。
　７．上記5.から6.までの操作は自動的に行われ、登録が完了した段階で情報端末機器の画面に「登録されました」と表示する。
　８．本項目記載のプログラムは、上記記載の撮像装置を、接触センサー読取り装置、音声収録装置、タブレット装置等の入力装置に置き換えて、各々に対応する具体的な生体情報の採録を可能にすることによって、顔画像以外の個人識別情報の場合も同じように動作するプログラムである。

　（Ｂ）本人確認の手続きー電子メール型

　メール機能を使って、本人確認の結果と第三者（認証センター）の原本保証を添付して個人認証を要求する相手先に情報を送信する場合

　１．情報端末機器の認証に関するメニュー表示から「本人確認」を選択する。
　２．表示された「電話」「メール」の内「メール」を選択する。
　３．撮像機能が立ち上がる。
　４．表示画面一杯に顔画像を写して、シャッターを押して撮像する。
　５．撮像した画像と情報端末に保存されている原本情報が自動的に照合され、正解率が算出され判定結果は一旦保存される。
　６．前項の原本情報と照合する撮像画像は、動画像から選定した複数枚の顔画像を使う（顔写真など静止画データを利用した成り済ましを防ぐための機能だが、簡易型の認証では静止画－静止画の照合も可能である）。
　７．情報端末機器内で前項の処理を行うと同時に通信機能を起動し、予め設定されているプログラムで特徴原本データから原本の改竄防止データを抽出して、改竄防止データを登録してある第三者機関と交信して原本性を保証したデータ（１６ビットの暗号）を取得する。
　８．1.から7.までの手続きによって本人確認と原本性確認の処理が完了した段階で、表示画面には「照合しました」もしくは「もう一度撮影してください」のどちらかが表示される。（「もう一度・・」が表示された場合はくり返す）
　９．「照合しました」という表示は「送信する・保存する」に切り替わり、「送信する」を選択すると自動的に新規メール作成画面が立ち上がる。（自動的に判定結果と原本性保証のデータが添付される）
　１０．必要な項目を入力してからメール画面の「送信」ボタンをクリックすれば相手方に作成した本文と一緒に照合結果原本性の証明データが相手先に送信される。
　１１．本人確認を要求しているメールに返信する場合は、受信メールから「返信」を選択してから、メニューボタンで「本人確認」を選んで上記の2.から10.まで記載した一連の操作を行い、表示された「照合しました／送信する・保存する」から「送信する」を選択すれば自動的に相手に送信される。

　１２．メール操作の前に、本人確認操作を行うことも可能である。その場合、「照合しました」の後から表示される「送信する・保存する」の「保存する」を選択してから、メール作成を行い編集メニューの「本人確認添付」を選択して送信する。

　註；この保存機能は、電話による通話でも利用できる。事前に登録してある照合結果を送信することで、簡単に本人確認を行えるようにすることも可能である。

　註；保存機能には時間的制約を前提に原本性保証データ取得から送信までの時間を制限する機能を搭載している。当該発明の目的は本人確認については通話もしくはデータ送信行為の当事者を行為と同時に認証することだからである。

（Ｃ）本人確認の手続きーカメラ付き携帯電話または電話型

　電話機能を使って通話中、相手から本人確認を求められた場合。

　１．通話を中断しないで、メニューから「本人確認」を選ぶ。
　２．表示された「電話」「メール」の内「電話」を選択する。
　３．画面の指示に従って、カメラ機能を使って、表示画面一杯に顔画像を撮像する。
　４．画面には「照合しました」もしくは「もう一度撮影してください」のどちらかが表示される。（「もう一度・・」が表示された場合は1. から4. までの操作をくり返す）
　５．「照合しました」の表示に続いて「送信する・認証する」が表示され、「送信する」を選べばそのまま相手に原本照合の結果を送信、「認証する」を選択すると、第三者機関に改竄防止データが送信される。
　６．記録されている情報端末内の原本と照合した判定結果（正当率）と第三者機関から送られる改竄防止データの照合結果は暗号化する。

　電話機を使った個人認証では、ここで、「照合しました」と表示された後で、第三者機関に対して原本性の照合を要求するか否かの選択メニューが表示されるプログラムとなる。第三者機関は、予め登録された改竄防止データを照合して非改竄証明を行うことが役割であるが、実際に非改竄証明を請求するのはカメラ付き携帯電話はその他の情報端末機器を使用している利用者である。電話による個人認証は利用者の使っている情報端末内で完結する簡易型の本人確認手続きと、第三者機関による個人の情報端末機器内の本人確認用の特徴原本データの非改竄証明書を添付する「保証人付」の個人認証に分けられる。

　次に、本機能を実現するための詳細な技術につき、順次説明する。

　（１）本人の顔の認証機能の開発
　（２）登録画像データ原本保証用暗号化機能の開発
　（３）認証を行うための通信機能の開発
　（４）携帯端末GUI機能および、初期登録データの改竄防止機能の開発
　（５）携帯端末（PDA）へのソフトの移植

　（１）本人の顔の認証機能の開発実施例

　ここでは、本人成りすましを防ぐため、正面顔のみでなく、左右上下の動きのあるビデオ画像を用いて顔の認証を行う技術を開発する。ただし、前記に記述したが、サービス提供者もしくは利用者本人が簡易な認証で構わないと判断した場合は、顔画像を静止画として撮像して照合することも可能である。カメラ付き携帯電話やその外部接続端子に接続する様々な認証機能を備えて情報端末機器の情報処理能力（主に処理速度及び記録容量）を勘案して、静止画による照合も可能な機能を包含するものとして設計されている。

　基本的には、例えばヘブライ大学アムノン・シャシュア（Amnon Shashua）教授の「ビデオ画像を用いたカーネルプリンシプルアングル法による認証技術」を利用して開発を行う。

　＜技術の概要＞

　画像を用いる顔の認証方法として、スチール写真を用いる方法と、ビデオ画像を用いる方法の２つがあるが、現時点では殆どの認証システムがスチール写真認証法を用いている。

　スチール写真を用いる顔の認証法では、１枚の写真で認証するため写真を用いた成りすましに対しては、これを防ぐのが困難である。また、この方法では登録時の顔の撮影アングルと、実際に認証するための顔のアングルが殆ど同じでないと認証精度が大幅に低下する。このため殆どの認証方法は、登録時と同一カメラで、同一の場所で、同じ顔のアングルで撮影することを要する。

　ここでは個人の認証を主要用途とするため、成りすましが最大の問題であり、その問題を回避するため顔の認証方法としてビデオ画像方式を用いる。ビデオ画像を用いると、顔の３次元的画像を得ることが可能であり、成りすましは非常に難しい。

　本実施例では、ビデオ画像を用いた認証方式として、「カーネルプリンシプルアングル法」を用いた認証法を用いる。この方法は、画像データを高次元ベクトル化し、この画像ベクトルの類似性をカーネルプリンシプルアングル法（類似性をベクトルの内積で計る。）により、その類似性を検証し、ある閾値以上の類似性を示した場合本人であると認証する方法である。

　具体的には、携帯電話のカメラで顔のビデオ画像を撮影し、この画像データを用いて、登録してあるビデオ画像を数値化した登録データ値（ベクトル値）と比較し、カーネルプリンシプルアングル値を算出し、類似度を測定し、その類似度を、例えばパーセンテージ（＜８０％＞等）で出力し認証を行う。

　本実施例に係る機能を実現するための以下の技術の詳細については上述したことを参考に、ここでは割愛する。

　・画像の多次元ベクトル化法の開発
　・多次元ベクトル間のカーネルプリンシプルアングル算出法の開発
　・サポートベクターマシン法を用いた学習法の開発
　・照明変化に対してロバストな認証法の開発
　・本人認証結果送受信用フォーマットの開発

　（２）登録画像データ原本保証用暗号化機能の開発の実施例
　登録された認証用画像データが改竄されて悪用されることを防ぐため、携帯端末に登録されている認証用画像データが改竄されていないことを保証する原本情報（認証用画像データ）の原本性保証機能を備えた通信システムを開発する。

　＜技術の概要：２＞

　登録された複数枚の認証用画像データのある特定のエリア（例えば各画像の１００番目の走査線から１１０番目の走査線のエリア：特に認証に用いられるエリアが好ましい）の輝度デジタルデータの和を算出し、その和のうちデジタルで下１６ビット（例えば宝くじの下５桁の数字）を登録する。もし一部でも改竄されるとこの数字が変化するため、原本性を検証することが可能となる。この下１６ビットのデータを原本保証センターに登録する。本人認証を行う時に携帯端末の原本データの該当する１６ビットデータを送信して、センターにて登録データと照合して原本性を確認し、その旨の証明を原本保証センターから送受信する機能。

　・複数毎の輝度データの最適抽出エリアの自動抽出法の開発
　・輝度データの下１６ビット化法の開発
　・原本保証登録方式と照合方式の開発
　・原本保証結果送受信用フォーマットの開発

　（３）認証を行うための通信機能の開発の実施例

　上記（１）、（２）では顔認証機能および原本保証機能の個々の機能の開発を行うが、ここでは、システム全体の通信機能の開発を行う。特に、携帯端末を紛失した場合の対応方式、同時に多数のタスクが来た場合の対応、データの修正、改訂に関してのシステムとしての堅牢性等を実現するための開発を行う。

　・認証結果送受信、原本保証結果の送受信に関する通信システムの開発
　・携帯端末紛失等の処理システムの開発
　・データの改訂、修正システムの開発
　・通信の堅牢性を保持するための開発

　（４）携帯端末GUI機能の開発及び初期登録データ改竄防止機能の開発の実施例

携帯端末は、直接ユーザとコンタクトする機器であり、その使い勝手が本システムの普及率を左右する可能性が大きい。ここでは、ユーザが使い易いGUIを開発し、簡単に、何時でも何処でも使えるシステムとする。また、初期登録データ改竄防止機能の開発も行う。

　・認証登録操作用GUIの開発
　・原本保証操作用GUIの開発
　・本人認証操作用GUIの開発
　・初期登録データ改竄防止機能の開発

　（５）携帯端末（PDA）へのソフトの移植の実施

　本実施例は、最終的には本機能の携帯電話への搭載を目的とするが、ここでは本機能の有効性の検証を主眼とするため、携帯端末としてはPDAを用いて実証を行い、その有効性を確認する。ここでは、上記開発されたソフトをPDAに移植し、その機能を確認する。その目的は、今後考えられる高度情報化社会における電子決済機能を通信手段を介して求めるサービス提供者とサービス享受者との間での契約行為で、通信手段を使って何等かの決済が必要となった場合で、既存のサービス提供装置の認証手段として移植可能なプログラムであることが前提になっているからである。

　・本人登録機能の移植
　・顔認証機能の移植
　・原本性保証機能の移植
　・GUI機能の移植
　・通信機能の移植

　最後に、本人確認を行うタグの利用パターン例を挙げておく。この中には、一部カメラ付携帯電話やその他の情報端末を使う事例も含まれる。

　■金融機関の窓口で口座開設をする。

　■通信手段を介して出金と送金を行う。

　・銀行口座の預金出金と口座振替時には、銀行は口座開設者が手続きを行っていることを必ず認証しなければならない。
　・認証の基本は、銀行側が手続きをしようとする口座開設者が本人であることを確認することである。
　・本人確認の方法には、窓口の行員が本人の顔や持参した通帳とハンコの印影または署名を確認する方法と、ＡＴＭや通信を介する場合の、登録済の暗証番号かパスワードを確認する方法がある。
　・本人確認の実際は、厳密な意味での本人を直接確認しているわけではない。
　・本人が確保している前提の通帳とハンコ、本人以外が知らないという前提の番号やパスワードを使い、結果として本人確認をしたことにしているのである。
　・ただし、通帳とハンコでは手続きをした人間を銀行側が視認していること、ＡＴＭでは手続きをした人間をビデオカメラで撮影して認証のバックアップをしている。
　・通信を介した銀行口座の預金出金と口座振替では、ATMと同じように暗証番号もしくはパスワードを使うが実際にはだれが端末を操作したかを後から確認する方法はない。
　・本発明では、通信機能をもつ情報端末を操作して銀行口座にアクセスしている人間が口座を登録した本人であることを確認することを可能にしている。
　・本発明では、口座の決済に使う情報端末内、もしくは情報端末の拡張端子に予め登録された口座開設者本人の生体情報を、本人確認に利用する。
　・本発明では、本人確認に使う予め登録した生体情報が改竄されていないことを第三者が証明するため、改竄防止情報を当該第三者に登録しておく必要がある。

　■具体的な使用方法を以下に説明する。

　・口座開設者が、預金出金と口座振替をする目的で銀行またはその他の金融機関にアクセスし、銀行から本人確認を要求された場合は、その通信を維持したまま本人の生体情報を保存してある拡張端子を携帯電話の外部端子に差し込む。
　・顔画像を使う場合は、カメラ付き携帯電話や情報端末に取り付けられているデジタルカメラで自分の顔画像を撮像し、本人確認の操作を行う。
　・本人確認用に撮像された画像は情報端末内の記録装置に登録済みの原本と照合され、その正解確率が算出される。
　・「本人確認されました」という表示を本人が確認した上で、第三者機関に非改竄の証明を要求し、証明した結果を情報端末で受信する。
　・証明データの受信を確認して、必要な口座手続きの端末操作を行った上で、本人確認の結果、証明データといっしょに送信して手続きを完了する。
　・上記の手続きは、指紋、掌紋、静脈パターン、声紋、虹彩、網膜パターン、遺伝子を使う場合も、生体情報を入力する装置を除いて手続きは同じである。
　・同時に、記録装置に保存してある改竄防止情報を第三者機関に送信して原本が非改竄であることを証明するデータを受信した上で、本人確認の照合結果と合わせて本人確認データとして、口座手続き操作データと一緒に銀行に送信して手続きを完了する。
　・生体情報が顔画像の場合は、カメラ付き携帯電話もしくは情報端末に接続したデジタルカメラで撮像した顔画像を使って照合を行う。
　・生体情報が指紋、掌紋、静脈パターンの場合は、センサ、声紋はマイク、遺伝子の場合は専用のセンサを使って情報を入力して原本と照合する。改竄防止データを第三者機関に送って非改竄を証明してもらう方法は同一である。

　■カメラ付き携帯電話をつかった口座取引

　■金融機関／銀行・証券会社の本人確認

　インターネット、ｉモードを使ってメイルで口座振り替えなどの手続きをする場合は次の通りである。

　・口座振り替え用の入力画面を呼び出して、本人の個人情報、口座番号などのデータ、振替先の口座番号と氏名など、金融機関が要求する項目に記入する。
　・「送信する」ボタンを選択して相手方のセンターに接続すると、本人確認が必要な場合は、「本人確認手続きをして下さい」と応答して来る。
　・「本人確認をする」ボタンを選択して、カメラ付き携帯電話で自分の顔を撮像し電話機内で本人照合、第三者機関から非改竄証明データを受け取って、「本人確認が終了」の状況を確認して、振替用の入力画面に戻り改めて送信し手続きを完了する。

　証券会社、保険会社、クレジットカード会社、消費者金融機関等、電子決済を行う場合は同じ方法で本人確認をすることが可能である。カメラ付き携帯電話もしくはその他の通信機能をもつ情報端末にセットして使用する認証タグは、金融機関が直接発行し管理している認証機能ではないため、全ての組織で本人確認を行う個人認証手続きに利用可能である。

　■優良顧客のプライベートバンキングに活用

　銀行が取引きを重視する資産家に対するプライベートバンキングの営業の考え方が、外資系銀行からわが国の金融機関に広がっている。

　資産運用のコンサルティングを含んで、クレジットカード利用額の無制限、テレフォンバンキング、ネットバンキング口座の活用など、便利さとともに銀行、顧客とも金　融決済事務手続きや資産に係わる個人情報漏洩など事故や犯罪防止の必要性が非常に大きくなっている。

　通信手段を介して金融機関とやり取りする情報の安全性を高めるために本発明である認証タグを口座開設者に配付することによって、常時、本人確認による個人認証手続きが容易になる。

　本人確認には次のような方法がある。ただし、１と２のケースは、利用者が航空券を所持してカウンターで搭乗を申込む場合に限られる。有価証券として取扱われる航空券に記載された個人データは利用者の権利と責任の所在を証明するものであり、利用者が限定される航空券では本人確認が必要になるが、航空券を所持していない場合は、航空券の購入者と利用者の特定が問題になる。本発明は、インターネットや電話を使って申込まれた利用者限定の航空券の本人確認が可能なシステムを提供するものである。

　１；運転免許証、パスポート、航空会社によっては社員証、学生証など写真が添付されているＩＤカードの視認。
　２；本人の写真がプリントされているクレジットカード（磁気カードとＩＣカード）の視認と通信を介した発行者に対する有効確認。
　３；本人の生体情報の原本情報が記録されている情報媒体（認証用タグ、ＩＣカード、携帯電話、PDAなど）と、窓口で入力する原本に対応する個人情報の照合と、第三者に対する改竄防止データの確認。

　回数券や年齢制限、家族割引など利用者を特定する必要がある航空券を電話またはインターネットの電子決済で購入する場合は、本人確認用の認証用タグを使って利用者名と認証で使用した装置の認識番号（または電話番号、メイルアドレス）を登録する。

　指紋照合の場合も手続きは同じ手続きを踏襲する。航空会社のカウンターに設置された専用端末に備えられた指紋入力装置に指紋の形状を認識させて、登録済みの原本データと照合して本人を確認する。

　乗客は、発券センターとの通話を維持したまま、カメラ付き携帯電話で自分の顔を撮像して、電話機または拡張端子に登録されている原本画像と照合した結果と、同時に改竄防止データを使って第三者機関から取得した非改竄証明結果を。発券センターに送信して、本人確認を終える。

　■住基カードなどＩＣカードで本人確認をする方法

　住基カードに生体情報を登録して本人確認をする方法は次の通りである。

　１．住基カード搭載の記憶媒体で、住民が自由に書込み読み出して利用できる記録部分に、本人確認用に生体情報を登録する。
　２．同情報から抽出した改竄防止データもチップに登録すると同時に、第三者機関に改竄防止データだけを送信し登録を行う。
　３．住民の本人確認が必要な場合は、窓口に備えられた専用端末にカードを挿入し、同端末に内蔵または接続された生体情報読取り装置で入力した申請者の生体情報とカードに登録した情報を使って、カード持参者とカード登録者を照合する。
　４．住基カードに生体情報を登録して本人確認手続きを提供するサービスと、同情報の改竄防止データを使って非改竄証明を行うサービスの提供は、自治体もしくは民間事業者どちらが行うことも可能である。
　５．１から４に記載される生体情報は、顔写真だけではなく、指紋、掌紋、静脈パターン、虹彩、声紋、遺伝子などについても有効である。

　■クレジットカードの決済に本人確認を使う

　クレジットカードの不正利用が急増している。クレジットカードはカードを所持している人間が、正当の利用者と想定して成立する信用決済手続きである。基本的に、従来の通帳とハンコまたはサイン（自署署名）の組み合わせによる決済手段が通信手段を介して行われると解釈して成立している決済システムである。

　そのシステムの信用秩序が成立し、信用供与機能が成立したのは、クレジットカードを申込んだ人物の事前審査が厳密だったからである。しかし市場競争が激化して入り口での信用調査はほとんど機能しなくなっている。サインについても決済に対する物証能力は乏しく、成り済ましやデータ改竄、スキミングなどの被害は保険でまかなっているのが現実である。

　本発明である本人確認装置である認証タグは、カードの所持者とカード名義人を同一人物であると確認することを可能にする装置である。具体的な流れを以下に説明する。

　・クレジットカードの発行時に、顔画像データをクレジットカード本体の記録媒体に記録する。
　・同時に原本とする同画像データから抽出した改竄防止データも登録しておく。
　・カードが本人に送られた段階で、カードから改竄防止データを認証タグに備えられたＩＣチップ読取り装置で読取って第三者機関に送信、カードを特定する番号といっしょに登録する。同第三者機関は、カード発行機関が認証サービスを行う場合も考えられるが、仕組みは同じである。
　・カードを利用する場合は、所有しているカメラ付き携帯電話にＩＣチップに登録してある顔画像データを読取る装置を備えた認証タグをカメラ付き携帯電話の外部接続端子に差し込んで、カメラ付き携帯電話のカメラで撮像した顔画像と照合して本人を確認する。
　・本人確認を実行すると同時に、改竄防止データを使って非改竄の証明データを取得する。

　この非改竄証明は、カード会社が定める期間内にバッチシステムで証明して、その結果をクレジットカード本体の記録装置に記録して本人確認の結果のバックアップに利用することも可能である。

　また、クレジット会社または第三者機関から受付けた非改竄証明データがカードの記録部分登録されていない限り、サービス提供者が使用する決済センターにデータを送信する専用の端末装置とカードのデータチップが情報の通信を行うことが出来ないようにすることによって、クレジットカードから個人情報やカード決済情報が読み取れないようにすることが出来る。

　この方式は、クレジットカードのセキュリティを解読し、決済データを盗んで成り済ましの犯罪に悪用されることを防ぐ目的がある。通信を介して決済直前に個人が占有する専用端末でアクセスした結果を暗号化してクレジットカードに登録し、各店鋪やサービス拠点の情報端末で読取ってカードセンターに接続することで、カードからのデータ読み出しとデータの改竄を防ぐことが容易になる。

　カードの発行会社は、カード発行時に個人情報を登録した申込者に不正被害が発生することがなくなるアドバンテージを提供しサービスの向上に利用することが可能である。

（実施例２）　
　次に、上記の実施形態の別の一実施例について詳細に説明する。
＜クレジットカードの決済システムの問題点と解決手段＞
　成り済ましによる被害が多発するクレジットカード決済の問題点は、カードのクレジットラインがリニアであること、閉じることで責任をカード発行者に一元化していることにある。カードの発行からカードの使用、カードの決済まで相当な時間が要するため、カード発行会社とカード所有者がその事実を確認する段階ではすでに被害が発生した後にならざるを得ないからである。この模様を図１７に示す。

　カード所有者のカードデータのスキミングと、カード利用者が通信を使ってカードデータを送信する際にデータを盗まれるケースが被害のほとんどである。カード利用者によるカード所有者の本人確認は署名によるためカードが偽造されている場合は成り済ましの防ぎようがない。
犯罪者は、世界中に散らばっている数百万軒のカード利用ポイントをカード発行者と所有者のラインから切り離すことによって、そのポイントから商品やサービスを盗み出すことが簡単に出来る。

　クレジットカードシステムの決済構造の改革
　本発明者が設計したクレジットカード決済システムは、これまでリニアに閉じていた発行者と所有者、利用者のクレジットラインを各々独立させ、かつカード使用時の決済をリアルタイムでパラレルなダブルラインで行うようにするものである。最も難しいカード所有者とカード利用者の間で発生していた本人確認手続きを止めてデータ盗聴の可能性を完全に排除したことである。

　図１８に示すように、カード所有者はカードを使用する場合は、カード決済機能をもつ携帯電話を使って本人確認を行いカード発行者のカード認証センター（仮称）にその結果を送信する。カード利用者は本人確認の結果を待ってその携帯番号と請求金額を店鋪の決済端末に入力してカード認証センターに送信する。カード認証センターはそれらの手続きを確認してカード所有者の携帯電話に結果を送信し、カード所有者は送られて来たメイル記載の決済データを確認した上でカード認証センターに送信して全ての手続きを終えることになる。

　この方式による決済方式では、カード所有者を認証する携帯電話や携帯電話番号が盗まれた場合でも、カード決済に手続きでの成り済ましが成立しない。盗んだ電話で本人認証をする場合は、携帯電話番号に登録してある生体情報と所有者を照合するために携帯電話だけではカードセンターに本人確認データが送信できない。携帯番号は既知の情報として扱われているため、仮にその番号で第三者がカードセンターにアクセスしても携帯電話を使った本人確認通知がない限り、センターはその第三者に正当性を通知できないことになる。

　本人が自分の携帯電話でセンターに本人確認通知を行い、その携帯番号を知った第三者が他の決済端末（成り済ましの端末）から、センターにアクセスしその携帯番号を入力すれば正当性確認の通知が来て請求金額を送信することによって決済は可能である。ただしその場合でも本人の携帯電話には請求金額と店鋪名が送信されるためその段階で決済しても本人の被害は発生しないことになる。言い換えれば、購入した商品やサービスは本人に占有または消費されており、決済端末に成り済ましても犯罪が成立しないのである。

　携帯番号を搾取しても、生体情報の改竄をしない限りカード決済に必要な本人確認が不可能である。携帯電話に搭載する原本の非改竄データを第三者の認証機関が保有することで原本の非改竄証明が可能となる。カード決済時には、第三者の認証機関経由で非改竄証明書がカード認証センターに送られる。

　カードの成り済ましは、カードの正当性と決済確認の時間ギャップを利用したものであるが、本人確認をカード所有者が行うことによって犯罪に使われる。この模様を図１９に示す。

クレジット決済のパターン
クレジット決済の前に事前に本人確認を行う場合
　カード利用者（サービス提供者）の請求額の入力前に本人確認を行う。レストランで着席したまま決済する場合に有効である。携帯電話の所有者の正当性確認を素早く行うことが出来る。またクレジット会社の規定によって、毎回の決済時に本人確認を行わず、一定の間隔（例えば、８時間、２４時間、または１週間など）で本人確認を有効とする方法も考えられる。
１；決済前の本人確認パターン
　図２０に示す。
２；決済要求データ入力後の本人確認パターン
　図２１に示す。

　以上詳細に説明したように、本発明によれば、昨今増加の一途を辿っているクレジットカードの（組織的）犯罪を有効に防止することにも十分資することができる。

　なお、本発明は上記の実施形態に限定されるものではなく、例えば以下のように、発明の趣旨から逸脱しない範囲で適宜変更して具体化することもできる。

　本発明には、被認証者本人のみの能力に依存しない、低コストで実現可能な認証方法及び認証システムに係る次の態様が包含される。

　固有の識別情報を記録した識別媒体をそれぞれ持つ複数の個人の内の少なくとも２人が互いに認証し合うための認証方法であって、自分の前記識別媒体の前記識別情報に関係づけられた本人確認情報を前記少なくとも２人の個人が前記少なくとも２人の内の他の個人に提示することにより、前記少なくとも２人の個人が前記各識別媒体の保有者本人であることを互いに確認し合う確認段階と、前記確認し合ったことを示すために、前記識別媒体から前記識別情報を読み取るための識別情報読取装置に対して、前記少なくとも２人の個人の前記識別情報を略同時に読取可能な状態で前記少なくとも２人の個人の前記識別媒体をセットするセット段階とを含む態様。

　複数の個人の内の少なくとも２人が互いに認証し合うための認証システムであって、固有の識別情報を記録した、前記各個人が持つための識別媒体と、前記少なくとも２人の個人が前記各識別媒体の保有者本人であることを互いに確認し合うために、自分の前記識別媒体の前記識別情報に関係づけられた本人確認情報を前記少なくとも２人の個人が前記少なくとも２人の内の他の個人に提示する本人確認情報提示手段と、前記確認し合ったことを示すために、前記少なくとも２人の個人の前記識別情報を略同時に読取可能な状態で前記少なくとも２人の個人の前記識別媒体をセットすることができる識別情報読取装置とを含む態様。

　これらのうち、本人確認情報及び本人確認情報提示手段としては、特に限定されないが、次の態様がを例示的に含むことができる。なお、本発明の認証方法において、本人確認情報提示手段とは、「自分の前記識別媒体の前記識別情報に関係づけられた本人確認情報を前記少なくとも２人の個人が前記少なくとも２人の内の他の個人に提示する」ときに使用する手段を意味している。

　（１－１）本人確認情報は、本人の肖像であり、本人確認情報提示手段は、識別媒体に肖像を表示する、又は識別媒体とは別の媒体に識別情報に関係づけて肖像を表示する表示部を設けることである態様。

　（１－２）本人確認情報は、本人の特徴を示す表現であり、本人確認情報提示手段は、識別媒体に当該表現を表示する、又は識別媒体とは別の媒体に識別情報に関係づけて当該表現を表示する表示部を設けることである態様。

　（１－３）本人確認情報は、本人の肖像データ又は音声データであり、本人確認情報提示手段は、識別媒体に記録された、又は識別媒体とは別の媒体に識別情報に関係づけられて記録された肖像データ又は音声データを出力手段に出力することである態様。

　（１－４）本人確認情報は、本人の特徴を示す表現データであり、本人確認情報提示手段は、識別媒体に記録された、又は識別媒体とは別の媒体に識別情報に関係づけられて記録された表現データを出力手段に出力することである態様。

　認証方法としては、特に限定されないが、認証した履歴を保管する履歴保管段階を含む態様を例示的に含むことができる。また、認証システムとしては、特に限定されないが、認証した履歴を保管する履歴保管手段を備えた態様を例示的に含むことができる。

　また、本形態には、上記の課題を解決し、細分化された多岐に渡る個人情報を客観的かつ合理的に管理・開示することができるアクセス資格設定装置、情報開示装置、及びデータベースシステムを提供する態様も含まれる。

　アクセス資格設定装置として、少なくとも２人の個人の組み合わせが要求する情報を開示するために使用される手段であって、前記個人の組み合わせに関する情報に基づいて、該個人の組み合わせに開示可能な情報の範囲を示すアクセス資格情報を設定するアクセス資格設定手段を備える態様。

　情報開示装置として、少なくとも２人の個人の組み合わせが要求する情報を開示するために使用される手段であって、前記個人の組み合わせに開示可能な情報の範囲を示すアクセス資格情報が示す範囲に含まれる情報を前記個人の組み合わせに対して開示する情報開示手段を備える態様。

　データベースシステムとして、少なくとも２人の個人の組み合わせが要求する情報を開示するデータベースシステムであって、前記個人の組み合わせに関する情報に基づいて、該個人の組み合わせに開示可能な情報の範囲を示すアクセス資格情報を設定するアクセス資格設定手段と、該アクセス資格情報が示す範囲に含まれる情報を前記個人の組み合わせに対して開示する情報開示手段とを備える態様。

　データベースシステムとして、少なくとも２人の個人の組み合わせが要求する情報を開示するデータベースシステムであって、前記各個人の本人認証をする本人認証手段と、前記個人の組み合わせに関する情報に基づいて、該個人の組み合わせに開示可能な情報の範囲を示すアクセス資格情報を設定するアクセス資格設定手段と、該アクセス資格情報が示す範囲に含まれる情報を、前記本人認証が済んだ前記個人の組み合わせに対して開示する情報開示手段とを備える態様。

　個人の組み合わせに関する情報は、各個人に関する情報と、各個人に関する情報の組み合わせとである態様を例示的に含むことができる。また、要求される前記情報は、いずれかの個人の個人情報を含む態様を例示的に含むことができる。

　アクセス資格設定装置としては、特に限定されないが、利用された履歴を保管する履歴保管手段を備えた態様を例示的に含むことができる。また、情報開示装置としては、特に限定されないが、利用された履歴を保管する履歴保管手段を備えた態様を例示できる。また、データベースシステムとしては、特に限定されないが、利用された履歴を保管する履歴保管手段を備えた態様を例示的に含むことができる。

　ここで、非接触型ＩＣカード対応電子錠１０を有する非接触型ＩＣカード電子錠電子認証通信システムの実施例について説明する。
★第三者認証付ＩＣカード鍵電子ロック
ＩＣカードを鍵に生成する手続きで使用する顔画像照合システム
登録用のＰＣ端末に搭載する不正アクセス抑止用の顔画像照合システム
　●　ＰＣ端末の使用を管理者から認められた登録者だけが操作できるようにする顔画像照合技術を使ったシステム。
　●　管理者はＰＣ端末使用を認めた人間を特定してＩＣカード又は記憶装置を有する媒体を交付する。
　●　管理者は、操作者の顔画像を撮像し、ＩＣカード等の記憶媒体に記録する。
　●　ＩＣカード等に記録された顔画像から非改ざん証明データを抽出し、管理者側のデータベースに記録し、保存する。
　●　前項のデータベースには、管理者の管理下にあるＰＣ端末操作者の、本人確認のためのＩＣカード等から非改ざんデータの照合要求に対して、前項のデータベースとマッチングし、非改ざんである事実の有無をＰＣ端末に返す。
　●　管理者は自己の管理下にあるＰＣ端末にＩＣカード等の媒体からデータを読み出すことのできる読み取り機を接続する。
　●　ＰＣ端末の操作者は本人に発行された自己の顔画像データを記憶しているＩＣカード等の媒体をＲ／Ｗを通じて顔画像データをＰＣ端末に読み込んで顔画像照合を行う。
　●　前項のＰＣ端末の操作時の度にＩＣカード等からデータを読み込む手続きに代えて、ＰＣ端末側の記憶媒体に顔画像データを記録保持し、同画像を顔画像照合することができる。
　●　操作者はＰＣ端末を立ち上げて、管理者が指定するデータセンター或いは、外部、内部ネットワークにアクセスする場合、あるいは管理者が指定した操作を行う。
　●　操作者はパソコン画面に相対して操作する姿勢を維持し、パソコン画面上部或いは正対する位置に取り付けられたカメラで自己の顔画像を動画撮像し、ＰＣ端末に取り込む状態でＰＣ画像に取り込まれた顔画像は、予め定められたランダム指標に従って、複数の静止画像を切り取る。
　●　前項の複数枚の静止画像を照合し、動画撮像であることを確認する。
　●　前項で動画像から切り取られたことが証明された各画像と予め撮像されていたＩＣカード等に記録されている動画像を照合して本人確認を行う。
　●　ＰＣ端末側で各顔画像間の照合結果に基づいて照合の正答確率数値を算出する。
　●　ＰＣ端末側では、ＩＣカード等に記録されている顔画像の非改ざん証明データ、あるいはＰＣ端末にＩＣカード等のデータから記録保存されている非改ざん証明データと、前項の正答確率数値をデータセンターに送伝する。
　●　データセンター側のアクセス管理のサーバでは、管理下のＰＣ端末から送られた非改ざんデータと登録操作者の時の非改ざんデータをマッチングする。
　●　管理サーバが登録済の顔画像データが非改ざんであることを確認した場合、管理者が予め指定している正答確率の基準に照らして、本人確認を行う。
　●　管理サーバは前項の照合結果を管理下のＰＣ端末に返す。
　●　ＰＣ端末は、アクセス管理サーバから返された信号を受けて、データセンター、或いは内外のネットワークアクセスが可能となる。

（実施例３）　
＜目的＞
1. 特定のエリア（地域）において学童のために安全＆安心な通信環境を提供する移動体通信網事業を行う。

＜対象者＞
2.  小中学生から高校生までを対象（18歳まで）とし、その家族（二親等）まで申し込めるものとする。
3.    小中学生に配布する場合は、地元の教育委員会（地方公共団体）を経由し、学校と保護者が話し合った上で教育委員会に申し込む。
4.    高校生の場合は、保護者と本人が話し合った上で学校に申し込む。

＜セキュリティポリシー＞
5.    携帯電話を利用することで予期せぬ犯罪や事件に巻き込まれることを防ぐために、登録されていない送信者、もしくは本人を確認できない端末からのアクセスを接続しない。
6.    携帯電話の通話とデータ送受信の通信履歴（注1）は、移動体通信会社（MVNO。以下、通信会社という）が予め指定する通信会社から自律したかたちの通信管理センター（仮称、以下「通信管理センター」という）に記録され、一定期間保管される（注2）。
7.    通常の場合、携帯電話の通信記録は予め契約された内容に従って利用者本人又は契約者の求めによって開示される。ただし、利用者本人の生命、身体又は財産の保護が必要な場合や、児童の健全な育成に必要と判断された場合は、契約者又は教育関係者の求めに応じて開示することができる。
（注1）記録される基本データは、携帯電話番号（機器ID）、通信開始時刻と終了時刻、相手先電話番号又はメールアドレス及びインターネットURLである。
（注2）通信会社は、通信記録を記録保管する主体を会社と別法人格を有する組織に委託し、利用者又は契約者からの開示請求があった場合は契約時に定めたルールに従って独自の判断で開示する。当該組織は、個人情報保護法第37条に定める認定個人情報保護団体として登録する。

＜通信ポリシー＞
8.    特定の地域内で契約した携帯電話を使用する場合、利用登録者（注3）が当該携帯電話を使って直接携帯電話でアクセスできる相手先は、契約時に申し出て登録された先に限られる。
9.    特定の地域内における二親等以内の家族との通話、データ送受信は「使いホーダイ」であり基本料金に含まれる。
10.   利用登録者が事前登録先以外に通話又はデータ送信する場合は、通信接続料を負担して通信管理センターを経由して行い、通信履歴が記録される。
11.   利用登録者が特定の地域の外に出た場合は、一般の携帯電話と同じように通信先は原則として自由（注4）となるが、通信履歴は通信管理センターに記録される。通信接続料は有料となる。
（注3）本事業の契約者は、利用者が未成年の場合、保護者または学校が指定した者であり、利用登録者とは日常的に携帯電話を所持して利用する者として登録されている者である。
（注4）移動体通信網のシステムのなかで、契約済みの携帯電話を特定する第一種通信事業者の加入者交換機に、特定の地域内の通信制限をする携帯電話を識別するプログラムを設定、該携帯電話が同地域外にある場合は、通常の携帯電話と同じように通信が行えるものとする。

＜通信会社と通信管理センターの体制＞
個人情報保護法に定められる規定に対し、以下の条項に従って通信会社と通信管理センターの責務と権限を整理する。
12.   通信会社は、学校が学童・生徒の個人情報を通信管理センターに開示し登録することについて保護者と学校が協議して合意した場合、携帯電話の契約の付帯契約として文書でその旨を確認し、通信管理センターに提示しなければならない。（第15条　利用目的の特定）　
13.   通信会社は、通信管理と情報開示の下記項目に対して、該携帯電話の契約において、書面をもって契約者である保護者と利用者本人の同意をえなければならない。
（1）利用者の携帯電話の通信管理を行うこと。
（2）利用者の通信を記録する目的を確認し、保護者及び利用者本人以外に通信記録を開示しないこと。
（3）ただし、人の生命、身体又は財産の保護、児童の健全な育成を目的とする場合、本人確認なしで、保護者又は学校関係者に通信記録の開示すること。
（4）前項の条件で開示した場合、通知の内容、通知の方法について利用者本人は、開示された情報について、改めて通信管理センターに直接開示を請求できること。
（以上　第16条　利用目的による制限　第23条　第三者提供の制限）
14.   通信管理センターは、通信会社と保護者（契約者）と結ばれた契約に基づき、利用者の通信記録（前掲）を管理する。
15.   通信管理センターは、利用者本人、保護者又は学校関係者の求めに応じて保管している通信記録を開示しなければならない。（第24条　保有個人データに関する事項の公表等　第25条　開示）
16.   通信管理センターは、前項の開示に必要な本人確認用の個人情報を予め、本人、保護者、学校関係者から取得する。（第17条　適正な取得）
17.   通信管理センターは、個人情報開示請求を受けた場合は、通信会社の承諾を得て開示することができる。ただし、通信会社に連絡が取れない場合、もしくは承認が確認できない倍はセンターの判断で開示できることができるものとし、事後に通信会社に報告する。（第16条３項　利用目的による制限）

＜移動体通信事業が実現するインフラ＞
　　認証の社会インフラ
18.   Ｒ＆Ｄが提供するID認証サービスは、日１常生活で使用されている印鑑の鑑の役割を担うことである。
19.   携帯電話と携帯電話保有者の関係認証、さらに携帯電話保有者と在籍組織との関係認証が可能になる。
　　社会的な防犯・防災インフラ。
20.   110番119番を呼出して接続した段階で自動的にＧＰＳ機能から位置情報を通知するとともに、動画撮像モードを起動する機構を搭載する。
21.   事故や犯罪の被害を受ける、もしくは現場に遭遇した時、もしくは事故や犯罪被害を防ぐ目的で、実況中継状態を維持する。
　　交流を活性化するインフラ。
22.   契約時に登録した家族の携帯電話番号あるいは携帯メールアドレスは、契約時に登録した友人知人の電話帳にアップする※ことができる。該携帯電話間の通信は予め決められている制限を適用されず、通話通信料金も徴収されない。
（注；家族同士の交流がベースになる地域コミュニティを活性化するインフラとして、携帯電話以前では一般的であった固定の家庭単位の電話番号と同じ状態を復活し「～ちゃんから電話ですよ」という状況を再生させる）
保護者間交流のインフラ。
23.   保護者が該携帯電話の契約時にPTA登録をしている場合、通信管理センターにアクセスして、氏名と学年から検索した登録済みの保護者に連絡することができる。

＜付加的なサービス機能＞
付加サービス１．位置情報通知；
24.   ＭＮＯの探知機能を使って、携帯電話の加入者交換機登録エリアを離れた場合、指定された端末にその旨を自動的に通知する。
25.   GPSの機能を使って、携帯電話の位置情報を指定した端末に通知する。※（本人同意が必要なサービス。以下同じ）
26.   GPSの機能を使って、行動パターン分析によって、指定された端末にその旨を自動的に通知する。※
１）  通学
２）  通塾
３）  登録住所との往来
　　　　登録携帯端末とのマッチング
付加サービス２．おこずかい出入金管理；
27.   オサイフケータイに定期的に、或は必要に応じて送金し出入金データを通知する。※
付加サービス３．健康情報管理
28.   学校の保健室で管理している健康データにアクセスし、アレルギー、持病、投薬している薬、血液型等の情報を確認する。
付加サービス４．本人確認支援
29.   第三者が本人の携帯電話を使って二次元バーコードからID認証センターにアクセスして、下記サービスを選択して本人確認を受けることができる。
（1）学生証機能
センターは登録済みの本人の顔写真を受信し画面で本人を確認する。
（2）在籍証明機能（学割申告等）
センターは、該携帯電話を使って本人の顔画像を撮像して送信された顔画像を保存してある顔画像本人を確認した上で、学校のデータベースから受信した本人データ（学校名、氏名、生年月日、性別、学年）を指定された端末に送信する。
（3）卒業証明機能（履歴書作成等）
同上の手続きをした上で、学校のデータベースから受信した本人データ（学校名、氏名、生年月日、性別、卒業年次）を指定された端末に送信する。

（実施例４）　
　次に、移動体通信会社（MVNO事業者）のポータルサイトの運営と、ID管理を行う通信管理センターの運営に係る実施例について説明する。
＜特定の地域内の通信（注1）の内容＞

■Ｒ＆Ｄの携帯電話で電話を掛ける。
１）登録済みの相手先
ダイヤルする。送信ボタンを押す。
相手先の携帯、固定電話に繋がる。
登録済みの相手先との通話は無料。
２）未登録の相手先
「交換台ポータル」にアクセスする。
相手先の姓名（企業名）と電話番号を入力し、送信する。
「この相手先と通話時刻が記録される」と掲示される。
「OK」をクリックして通信を切る。
20分以内にダイヤルすれば繋がる（ただし、一通信だけ）。
この通話は有料である。

■Ｒ＆Ｄ（通信管理センター）の携帯電話でメールを送る。
１）登録済みの相手先
アドレスを入力する。送信ボタンを押す。
相手先の携帯に送る。
登録済みの相手先との通話は無料。
２）未登録の相手先
「交換台ポータル」にアクセスする。
相手先の姓名（企業名）とアドレスを入力し、送信する。
「この相手先と送信時刻が記録される」と掲示される。
「OK」をクリックして通信を切る。
20分以内に送信すれば通じる（ただし、20分以内は何度でも送信可能）。
この通信は有料である。

■Ｒ＆Ｄ（通信管理センター）の携帯電話でインターネットを閲覧する。
１）アクセス制限機能（注2）をもつサーバを経由する。
「交換台ポータル」にアクセスする。
「URLと連続通信予定時間」（注3）を入力する。送信ボタンを押す。
「この通信は管理されます」と掲示される。
「OK」をクリックして接続する。
（注1）Ｒ＆Ｄ（通信管理センター）の携帯電話が行う、登録地域の加入者交換機が扱う範囲での通信をいう。
（注2）大学や企業もしくはプライベートに有害サイトへのアクセスをブロックするサーバ又はプロバイダーを経由することで通信を制限する。児童生徒のアクセス制限内容は常時見直す。
（注3）20分以内を原則とする。20分を超えると自動的に通信が切れる。40分以内は連続してアクセスすることはできない。

■本人と保護者への通知
１）同一相手先への通信（電話とメール）回数及び通信時間が、予め契約で定められている期間内に回数及び時間を超えた場合、本人に「電話番号、アドレス、期間日時と延べ回数と延べ時間、及び通話通信料金」を通知する。
２）学校関係者が個人情報保護法第16条の規定により必要と認めた場合は、利用者本人（以下本人という）又は保護者あるいは本人と保護者に通知をすることができる。

■付加サービス（逆オプション機能）特定の地域外からもアクセス可能
１）本人確認
Ｒ＆Ｄ（通信管理センター）の携帯電話は、本人が日常生活のうえで自らの所属、姓名等を明らかにして自分を証明することができる。
ア；身分証明書
「交換台ポータル」にアクセスして「学校」ボタン→「証明書」→「身分証明書」ボタンを押す。
「交換台ポータル」は、登録済みの学籍情報、本人氏名、生年月日、顔写真を同携帯電話に画像データとして送信する。
イ；在籍証明書（オプション）
「交換台ポータル」にアクセスして「学校」ボタン→「証明書」→「在籍証明書」ボタンを押す。
画面に本人の「アカウント」「パスワード」を入力し、証明書を開示する相手の「姓名」又は「組織名＋担当者名」と在籍証明書データの送信先を入力して、送信する。
（相手先を確認する顔画像を撮像して送信することもできる=オプション）。
「交換台ポータル」は、登録済みの学籍情報、本人氏名、生年月日、本人住所を前項の送信先携帯電話に画像データとして送信する。
送信済みのデータと送信結果を本人の携帯電話及び学校に送信する。
ハ；「卒業証明書」在籍証明書と同じ手続きで発行する。

２）健康情報通知
Ｒ＆Ｄ（通信管理センター）の携帯電話は、本人及び保護者が急な疾病で健康データが必要となった場合、自らの所属、姓名等を明らかにして学校の保健室のデータベースで健康情報を閲覧することができる。
本人または保護者は、本人又は保護者がもつＲ＆Ｄ（通信管理センター）の携帯電話で「交換台ポータル」にアクセスして「学校」ボタン→「健康」→「保健室」ボタンを押す。
画面に本人の「姓名」「生年月日」を入力し、証明書を開示する病院名と医師の「姓名」を入力し、健康情報閲覧データの送信先を入力して、送信する。
（相手先を確認する顔画像を撮像して送信することもできる=オプション）。
「交換台ポータル」は、登録済みの保健室の健康情報データベースにアクセスし、本人の携帯電話用の健康情報ファイルをダウンロードして、要求のあった送信先に送信する。
同時に、それ以外の保護者、学校関係者にも送信結果を送信する。（ファイル内容は送信しない）

３）金銭出納簿通知
Ｒ＆Ｄ（通信管理センター）の携帯電話は、本人の承諾を得たうえで保護者が本人に送金するお小遣いの出金に関する出納簿の送信を請求できる。出納データの送信を受けるには、電子マネー会社とのデータ送受信が必要である。

４）位置情報通知
保護者は自ら契約した家族の携帯電話の位置情報を取得することができる※。
保護者は、「交換台ポータル」に接続し「地域」→「位置情報」ボタンを押してサービスの提供を求める。
画面の保護者本人確認の「アカウント」「パスワード」を入力して送信、位置情報を得たい携帯電話情報の入力画面を呼出す。
入力画面に、携帯電話番号と姓名、生年月日（18歳を超える場合は位置情報を請求できない）を入力して送信する。
「交換台ポータル」から通信会社（通信管理センターではない）は、提携先の第一種通信事業者から携帯電話の位置情報の提供を受け、同上の携帯電話にメールで通報する。

　なお、本発明は上述した実施形態に限定されるものではなく、本発明の主旨を逸脱しない範囲内で種々変更して実施することが可能である。

　また、上述したものは本願にかかる技術思想を具現化するための実施形態の一例を示したにすぎないものであり、他の実施形態でも本願にかかる技術思想を適用することが可能である。

　さらにまた、本願発明を用いて生産される装置、方法、システムが、その２次的生産品に登載されて商品化された場合であっても、本願発明の価値は何ら減ずるものではない。

　以上詳述したように、近年サービスを提供する事業者が増えてきているMVNO（仮想移動体通信事業者：Mobile
Virtual Network Operator)においては、学内のみで使える携帯電話網の提供や、特定地域のみで利用が可能な携帯電話網、決済に特化した通信網など、加入者の希望、属性に応じた細かいサービス区分が定義され提供されるという傾向が見られる。これらの仕組みの中に本発明の認証プロセスを含ませることで、事業者側は、本人認証作業に特化した巨大な生態情報データベースの構築といった大規模な投資を行わずにサービスの提供ができるというメリット、またユーザー側は今まで煩雑だった認証の手続を非常に簡略にできるというメリットがあるので、本発明は情報産業を初めとする各種産業において利用可能性を有する。

Claims

携帯可能で、本人を認証できる情報を読み込み、保存あるいは既に存在する情報との照合をおこなう照合手段および前記照合の結果だけを出力する出力手段を備えた認証端末と、前記照合手段の照合結果を検出できる手段と、有線/無線により通信を行う通信手段と、その通信を利用するものを登録し、識別し、検索できる装置とを具備したことを特徴とする情報通信ネットワーク。
請求項１記載の情報通信ネットワークにおいて、携帯可能で、本人を認証できる情報を読み込み、保存するあるいは既に存在する情報との照合をおこなう照合手段と、前記照合結果だけを出力し、本人を認証できる情報自体は出力しない出力手段とを備えたことを特徴とする認証端末。
請求項１記載の情報通信ネットワークにおいて、有線/無線により通信を行う通信手段と、その通信を利用するものを登録し、識別し、検索できる装置と、通信の可否を前記照合結果により判断する手段とを備えたことを特徴とする加入者交換機。
請求項１記載の情報通信ネットワークにおいて、前記認証端末にて行う本人認証以外の認証プロセスでは、前記認証端末での照合結果をもって認証の代替とすることを特徴とする本人認証装置。