WO2012144105A1

WO2012144105A1 - 生体認証システム

Info

Publication number: WO2012144105A1
Application number: PCT/JP2011/078025
Authority: WO
Inventors: 陽介加賀; 高田　治; 磯部　義明
Original assignee: 株式会社日立製作所
Priority date: 2011-04-19
Filing date: 2011-12-05
Publication date: 2012-10-26
Also published as: JPWO2012144105A1; JP5710748B2

Abstract

　認証時に利用者から取得した生体情報を登録し、次回以降の認証精度を向上させる。この際、既存の登録生体情報の一部が大きな誤差を含んでいた場合でも、高精度な認証を実現する。過去の認証時に利用者から取得した複数の生体情報と、当該生体情報間の類似度に基づいて評価した各生体情報の信頼度を保持し、利用者の認証時には、利用者の生体情報と複数の登録生体情報間の類似度を算出し、各登録生体情報に対応する類似度と信頼度に基づいて、利用者が本人である確率を示す本人確率を算出し、当該本人確率が所定のしきい値を超えたか否かによって利用者が本人であるか否かを判定することで高精度な認証を実現し、利用者が本人であると判定された際には、利用者から取得した生体情報を登録生体情報として追加登録して次回以降の認証で用いる。

Description

生体認証システム

　本発明は、生体認証技術に関し、特に複数の登録生体情報に基づき生体認証を行う技術に関する。

　生体認証システムは、指紋、静脈、虹彩、顔、音声、筆跡等の生体情報に基づき個人認証を行う。一般に、生体認証システムでは、まず利用者の生体情報を取得して予め登録しておき、認証時に取得した利用者の生体情報（以降、「認証生体情報」という）と予め登録しておいた生体情報（以降、「登録生体情報」という）との類似度が一定のしきい値を超えるか否かで本人認証を実現する。ここで、当該生体認証システムにおいて、登録生体情報と本人から取得した認証生体情報との類似度が、しきい値より低い値となった場合、本人が認証されない事象（以降、「本人拒否」という）が発生し、システムの利便性低下に繋がる。この本人拒否が発生する確率（以降、「本人拒否率」という）は、利用者の生体情報に経年変化が起きた場合や、生体情報を取得する際の周辺環境（気温、湿度、照明環境等）が変化して生体情報に誤差が生じた場合等に高くなる。

　この問題を解決するためには、経年変化後の生体情報や、様々な周辺環境において取得した生体情報を複数登録しておき、その生体情報を認証に用いる方式が考えられる。

　特許文献１では、認証時に利用者から取得した生体情報を登録し、次回以降の認証に用いる生体認証システムが開示されている。当該生体認証システムは、認証生体情報と登録生体情報の類似度に一定の範囲を設定し、その範囲に含まれる認証生体情報を追加登録する。次回以降の認証では、追加登録された生体情報を含む複数の登録生体情報に基づき、認証を行う。

　非特許文献１では、複数種類の生体情報（例えば、指紋と顔等）を取得してそれらを事前に取得した生体情報と照合し、得られた類似度の融合判定を行うことで本人確認を行う生体認証方式が開示されている。当該生体認証方式は、各類似度から尤度比を算出し、得られた尤度比に対する検定を行うことで本人であるか否かを判定する。

　特許文献１では、認証生体情報と複数の登録生体情報の類似度に基づき、認証対象者が事前登録した人物と同一か否かを判定する。当該判定方式には、全ての類似度の平均値から判定する方式、最も大きい（あるいは、小さい）数値の類似度から判定する方式、数値の大きい上位いくつかの類似度から判定する方式等を適用することができる。

特開２００６－１２７２３６号公報Ｋ．Ｎａｎｄａｋｕｍａｒ、Ｓ．Ｃ．Ｄａｓｓ、Ａ．Ｋ．Ｊａｉｎ、「Ｌｉｋｅｌｉｈｏｏｄ　Ｒａｔｉｏ　Ｂａｓｅｄ　Ｂｉｏｍｅｔｒｉｃ　Ｓｃｏｒｅ　Ｆｕｓｉｏｎ」、Ｐａｔｔｅｒｎ　Ａｎａｌｙｓｉｓ　ａｎｄ　Ｍａｃｈｉｎｅ　Ｉｎｔｅｌｌｉｇｅｎｃｅ、ＩＥＥＥ、ｖｏｌ３０、ｐｐ３４２－３４７、２００８

　しかしながら、これらの判定方式は、登録生体情報の一つ（あるいは、複数）に大きな誤差が含まれている場合は、十分な認証精度を達成できない可能性がある。

　そこで、本発明は、登録生体情報の一部に、生体情報の経年変化、周辺環境の変化、生体情報取得時のノイズ等に起因する誤差を含むものがある場合でも、高精度な認証を行うことを目的とする。

　代表的な一例は、利用者の生体情報を取得する入力装置と、当該入力装置に接続されたプロセッサと、記憶装置と、を備える生体認証システムであって、前記記憶装置には、過去に前記利用者を認証した際の前記利用者の生体情報である複数の登録生体情報と、前記複数の登録生体情報の間の誤差を示す信頼度とが格納され、前記プロセッサは、前記利用者の認証時に、前記入力装置から入力された前記利用者の生体情報である入力生体情報を受け取り、前記入力生体情報と前記複数の登録生体情報の各々との間の第１の類似度を算出し、前記第１の類似度と前記信頼度に基づいて、前記利用者が本人である確率を示す本人確率を算出し、前記本人確率が所定の認証しきい値を超えた場合には、前記利用者が本人であると認証し、前記利用者が本人であると判定された場合は、前記入力生体情報を前記登録生体情報に追加して前記記憶装置に登録することを特徴とする生体認証システムを提供する。

　本発明の一実施形態によれば、認証用に取得した生体情報を複数登録しその生体情報を次回以降の認証に用いる際に、登録生体情報の一部に大きな誤差を含むものが存在している場合でも、認証精度を落とすことなく高精度な認証を実現することができる。

本発明の第一の実施形態の、認証端末、認証サーバのシステム構成を示す図である。本発明の第一の実施形態の、登録生体情報格納部の中に蓄積される情報を示した図である。本発明の第一の実施形態の、仮登録生体情報格納部の中に蓄積される情報を示した図である。本発明の第一の実施形態の、尤度比配列格納部の中に保存する情報を示した図である。本発明の第一の実施形態の、認証しきい値格納部の中に保存する情報を示した図である。本発明の第一の実施形態において、認証端末を利用者が操作し、生体情報の登録をバッチ処理にて行う場合の手順を示す図である。本発明の第一の実施形態において、認証端末を利用者が操作し、生体情報の登録をリアルタイム処理にて行う場合の手順を示す図である。本発明の第二の実施形態において、認証端末をオペレータが操作し、生体情報の登録をバッチ処理にて行う場合の手順を示す図である。本発明の第二の実施形態において、認証端末をオペレータが操作し、生体情報の登録をリアルタイム処理にて行う場合の手順を示す図である。本発明の第三の実施形態において、認証端末をオペレータが操作し、生体情報の登録をバッチ処理にて行う場合の手順を示す図である。本発明の第三の実施形態において、認証端末をオペレータが操作し、生体情報の登録をリアルタイム処理にて行う場合の手順を示す図である。本発明の第一の実施形態において、生体情報照合の手順を示す図である。本発明の第一の実施形態において、本人確率算出の手順を示す図である。本発明の第一の実施形態において、本人判定の手順を示す図である。本発明の第一の実施形態において、生体情報仮登録の手順を示す図である。本発明の第一の実施形態において、生体情報本登録の手順を示す図である。本発明の第一の実施形態の生体認証システムにおける認証端末、認証サーバのハードウェア構成を示すブロック図である。本発明の第三の実施形態の、ブラックリストの中に蓄積される情報を示した図である。

　特許文献１、非特許文献２の判定方式は、登録生体情報の一つ（あるいは、複数）に大きな誤差が含まれている場合は、十分な認証精度を達成できない可能性がある。例えば、全ての類似度の平均値から判定する方式、または最も小さな数値の類似度から判定する方式では、登録生体情報の一つ（あるいは、複数）に大きな誤差が含まれていた場合は、本人拒否率が高くなる。また、最も大きい数値の類似度から判定する方式は、大きな誤差が含まれた登録生体情報と、他人の生体情報が類似していた際に、他人を本人と誤って判定してしまう確率（以降、「他人受入率」という）が高くなる。数値の大きい上位いくつかの類似度から判定する方式では、用いる類似度の個数というパラメータによって認証精度が変化するが、当該パラメータとして適切な値は生体認証システムの運用環境（利用者の慣れ、認証毎の周辺環境変化等）によって異なるので、常に高い認証精度で運用することは困難であると考えられる。

　また、非特許文献１では、各類似度に対する尤度比を算出して、得られた尤度比を用いて融合判定を行うことで、認証対象者が事前登録した人物と同一か否かを判定する（以降、「尤度比検定方式」という）。尤度比検定方式を用いることで、本人の生体情報同士を照合した際の類似度が従う分布（以降、「本人分布」という）と他人の生体情報同士を照合した際の類似度が従う分布（以降、「他人分布」という）が既知である場合に、一定の他人受入率の制約の下で本人拒否率を最小化することが可能となる。

　しかしながら、登録生体情報の一つ（あるいは、複数）に大きな誤差が含まれていた場合には、誤差を含む登録生体情報と本人の生体情報との類似度分布が、予め学習により求めた本人分布と異なり、認証精度が低下する問題が発生する。

　＜第一の実施形態＞
　第一の実施形態は、利用者自身が操作する認証端末と認証サーバを用いて、予め登録された複数の生体情報（以降、「登録生体情報」という）に対して、生体情報に含まれる誤差を示す信頼度を付与しておき、利用者の認証を行う際には、利用者から取得した生体情報（以降、「認証生体情報」という）と複数の登録生体情報との類似度、および各登録生体情報に対する信頼度に基づき、利用者が事前に登録した人物と同一人物である確率（以降、「本人確率」という）を算出することで本人か否かの判定を行い、認証が成功した際には認証生体情報を認証サーバへ自動で登録するシステムである。

　以下、図面を参照して、詳細に説明する。

　図１は、本発明の第一の実施形態の、認証端末、および認証サーバのシステム構成を示す図である。

　この図において、符号１０１は認証端末、符号１０２は認証情報取得部、符号１０３は認証結果表示部、符号１０４は認証サーバ、符号１０５は生体情報照合部、符号１０６は生体情報選択部、符号１０７は生体情報登録部、符号１０８は信頼度算出部、符号１０９は信頼度登録部、符号１１０は本人確率算出部、符号１１１は登録生体情報格納部、符号１１２は仮登録生体情報格納部、符号１１３は尤度比配列格納部、符号１１４は認証しきい値格納部である。

　認証端末１０１は例えば入退室管理システムにおける端末、ＰＣログインシステムにおけるＰＣ、出入国管理システムにおける審査端末や自動化ゲート等に相当し、認証対象である利用者自身、または端末を担当しているオペレータが操作する端末である。認証端末１０１は、認証情報取得部１０２、認証結果表示部１０３を含んで構成されており、認証サーバ１０４と接続されている。

　認証情報取得部１０２は、利用者から利用者ＩＤと生体情報を取得する。生体情報は、指紋、静脈、虹彩、顔、音声、筆跡等、個人を特定することが可能な行動的あるいは身体的特徴である。

　認証結果表示部１０３は認証結果を、認証端末１０１を操作している利用者、またはオペレータに対して表示する。

　認証サーバ１０４は、例えば入退室管理システムやＰＣログインシステム、出入国管理システムにおいて、生体情報の管理・照合を行うサーバである。認証サーバ１０４は、生体情報照合部１０５、生体情報選択部１０６、生体情報登録部１０７、信頼度算出部１０８、信頼度登録部１０９、本人確率算出部１１０、登録生体情報格納部１１１、仮登録生体情報格納部１１２、尤度比配列格納部１１３、認証しきい値格納部１１４を含んで構成されており、認証端末１０１と接続されている。

　生体情報照合部１０５は、二つの生体情報を照合し、生体情報間の類似度、または非類似度を算出する。当該類似度、または非類似度は、例えば０～１００のように一定の範囲を持つ数値で表される、生体情報がどの程度類似しているかを表す指標である。当該類似度、または非類似度は、例えば指紋認証の場合、二つの指紋画像における特徴点の位置・方向に基づいて画像間の類似性を評価することで求められる。また、画像マッチングに基づく指静脈認証では、例えば二つの指静脈パターンを重ね合わせ、一致する画素の数に基づいてパターン間の類似性を評価することで求められる。

　生体情報選択部１０６は、複数の生体情報から登録する生体情報を選択する。生体情報の選択に用いる基準としては、生体情報間の類似度、生体情報の登録日時、生体情報の品質等を適用することが可能である。

　生体情報登録部１０７は、生体情報を利用者ＩＤと紐付けて登録生体情報格納部１１１に登録する。

　信頼度算出部１０８は、登録生体情報に対する信頼度を算出する。信頼度は、各登録生体情報が、どの程度誤差を含んでいるかを示す値であり、当該信頼度を考慮して本人判定を行うことで、登録生体情報に誤差が含まれていた場合でも高精度な判定が可能となる。当該信頼度算出には、生体情報間の類似度、生体情報の登録日時、生体情報の品質等を用いることが可能である。例えば、信頼度算出の対象とする登録生体情報と、同一の生体から取得されたその他の登録生体情報との類似度（Ｍ－１個）の平均値は、対象とする登録生体情報に含まれる誤差に依存するため、対象とする登録生体情報の信頼度として用いることができる。なお、平均値に代わり、対象とする登録生体情報と、同一の生体情報から取得されたその他の登録生体情報との類似度から、統計的手法を用いて登録生体情報に含まれる誤差を推定し、それを信頼度としても良い。

　信頼度登録部１０９は、信頼度算出部１０８で算出した信頼度を登録生体情報格納部１１１へ登録する。

　本人確率算出部１１０は、生体情報間の類似度と各生体情報に対する信頼度に基づき、利用者に対する本人確率を算出する。

　登録生体情報格納部１１１は、利用者ＩＤ、生体情報、信頼度を格納する。

　仮登録生体情報格納部１１２は、登録生体情報格納部１１１に格納される前の利用者ＩＤと生体情報を格納する。仮登録生体情報格納部１１２に格納された情報は、その後バッチ処理にて登録生体情報格納部１１１へ登録される。

　尤度比配列格納部１１３は、生体情報の信頼度および生体情報間の類似度に対応する尤度比を格納する。信頼度ｒ、類似度ｓに対応する尤度比Ｌ（ｒ，ｓ）は、Ｌ（ｒ，ｓ）＝Ｇ（ｒ，ｓ）／Ｉ（ｒ，ｓ）と表される。ここで、Ｇ（ｒ、ｓ）は信頼度ｒ、類似度ｓのときの本人分布の値、Ｉ（ｒ，ｓ）は信頼度ｒ、類似度ｓのときの他人分布の値を示す。本人分布Ｇ（ｒ，ｓ）、他人分布Ｉ（ｒ，ｓ）は、事前に生体情報を収集し、当該生体情報が従う分布を学習することで得られる。この学習は、具体的には、本人同士および他人同士の生体情報の組に対して信頼度ｒ、類似度ｓを算出し、2次元の頻度分布を取得する。この頻度分布に対して、正規分布に代表される分布関数を用いたパラメトリック推定や、カーネル密度推定に代表されるノンパラメトリック推定等による分布推定を行うことで、本人分布Ｇ（ｒ，ｓ）および他人分布Ｉ（ｒ，ｓ）を求める。

　認証しきい値格納部１１４は、本人確率に対する認証しきい値を格納する。認証しきい値は、本人確率に基づき認証対象者が本人であるか否かを判定する時に用いられ、本人確率が認証しきい値以上である時は本人であると判定し、本人確率が認証しきい値未満である時は他人であると判定する。認証しきい値は、事前に生体情報を収集し、精度要件を満たす認証しきい値を算出することで決定される。また、認証しきい値は、要求される精度要件によって適切な値が変わるため、精度要件とそれに対応する認証しきい値を予め決定して保持しておく。ここでは、精度要件として、他人を誤って本人と判定してしまう確率（以降、「他人受入率」という）を用いる。

　図１の各部の詳細については、図２～図５の図面を参照して説明する。

　図２は、本発明の第一の実施形態の、登録生体情報格納部１１１の中に蓄積される情報を示した図である。

　「利用者ＩＤ」２０１は各利用者に割り当てられた固有のＩＤであり、例えば英数字により構成される。行２０４は「利用者ＩＤ」が「０００１」であるものに関する記述であり、行２０５は「利用者ＩＤ」が「０００１」であるものに関する記述であり、行２０６は「利用者ＩＤ」が「０００２」であるものに関する記述である。

　「登録生体情報」２０２には、利用者から取得した登録生体情報が記載される。例えば行２０４の「登録生体情報」２０２には、「利用者ＩＤ」が「０００１」である利用者が１回目に利用した際に取得した生体情報が格納されている。

　「信頼度」２０３には、利用者ＩＤがｉの利用者が、ｊ回目の利用時に取得した生体情報に対する信頼度Ｒ（ｉ，ｊ）が記載される。信頼度は、ある一定の範囲の数値で表され、対応する登録生体情報がどの程度の誤差を含んでいるかを示す値であり、前記信頼度算出部１０８にて算出が行われる。

　図３は、本発明の第一の実施形態の、仮登録生体情報格納部１１２の中に蓄積される情報を示した図である。本実施形態では、生体情報を登録する方法にはバッチ処理とリアルタイム処理の二つがあり、仮登録生体情報格納部１１２は、バッチ処理で登録を行う際にバッチ適用前の情報を格納するために用いられる。

　「利用者ＩＤ」３０１は各利用者に割り当てられた固有のＩＤであり、例えば英数字により構成される。行３０３は「利用者ＩＤ」が「０００１」であるものに関する記述であり、行３０４は「利用者ＩＤ」が「０００１」であるものに関する記述であり、行３０５は「利用者ＩＤ」が「０００２」であるものに関する記述である。

　「仮登録生体情報」３０２には、利用者から取得した仮登録生体情報が記載される。例えば、行３０３の「仮登録生体情報」３０２は、利用者ＩＤが「０００１」である利用者が３回目に利用した際に取得した生体情報を格納している。

　図４は、本発明の第一の実施形態の、尤度比配列格納部１１３の中に保存する情報を示した図である。本実施形態では、事前に学習した本人分布Ｇ（ｒ，ｓ）、他人分布Ｉ（ｒ，ｓ）に基づき、信頼度ｒ、類似度ｓのときの尤度比Ｌ（ｒ，ｓ）を算出し、得られた尤度比を尤度比配列格納部１１３に格納する。この尤度比に基づき本人確率を算出し、認証対象者が本人であるか否かを判定することで、個人認証が実現する。

　「信頼度」４０１には、登録生体情報の信頼度ｒ（例えば、１０、２０、・・・）が記載される。

　「類似度」４０２には、生体情報間の類似度ｓが取りうる値（例えば、０～１００）が記載される。

　「尤度比」４０３には、信頼度ｒ、類似度ｓのときの尤度比Ｌ（ｒ，ｓ）が格納される。当該尤度比Ｌ（ｒ，ｓ）は、予め学習用に収集した生体情報に基づき算出し、システムの運用開始前に「尤度比」４０３に書き込んでおく。

　図５は、本発明の第一の実施形態の、認証しきい値格納部１１４の中に保存する情報を示した図である。

　「精度要件(ＦＡＲ)」５０１は認証の精度に対する要件であり、行５０３は「精度要件(ＦＡＲ)」が「０.００１」であるものに関する記述であり、行５０４は「精度要件(ＦＡＲ)」が「０.０００１」であるものに関する記述であり、行５０５は「精度要件(ＦＡＲ)」が「０.００００１」であるものに関する記述である。
「認証しきい値」５０２には、本人確率に対して適用する認証しきい値が記載される。

　「精度要件(ＦＡＲ)」５０１は認証の精度に対するセキュリティ要件である。例えば、誤って他人を受け入れる確率を１０００回に１回程度（すなわち、ＦＡＲ＝０.００１）に抑えたい場合は、行５０３に従って認証しきい値を「Ｔ（０．００１）」に設定する。この場合、本人確率が「Ｔ（０．００１）」を上回った時に認証成功となり、下回った場合に認証失敗となる。

　図６、図７は、本発明の第一の実施形態において、利用者の認証、および生体情報の登録を行う手順を示す図である。本発明における第一の実施形態では、認証対象者である利用者自身が認証端末１０１を操作する。また、生体情報の登録を行う方法には、バッチ処理とリアルタイム処理の二つがあり、図６ではバッチ処理により生体情報を登録する場合の手順、図７ではリアルタイム処理により生体情報を登録する場合の手順を示す。さらに、図６、図７の処理の詳細な手順は、図１２～図１６に示されている。

　図６は、本発明の第一の実施形態において、認証端末を利用者が操作し、生体情報の登録をバッチ処理にて行う場合の手順を示す図である。

　最初に、認証端末１０１は利用者ＩＤを取得する処理６０３を行う。利用者ＩＤを取得する方法には、数字キーにより手入力を行う方法、磁気カードやＩＣカードからＩＤを取得する方法、紙に印字された文字列をスキャナで読み取る方法、等が適用可能である。

　次に、認証端末１０１は生体情報を取得する処理６０４を行う。生体情報の取得では、認証情報取得部１０２に含まれる、指紋や静脈、虹彩、筆跡等を読み取る専用装置、顔を撮影するカメラ、音声を取得するマイク等を用いる。次に、認証端末１０１は、認証情報（利用者ＩＤ・生体情報）６０５を認証サーバ１０４へ送信する。次に、認証サーバ１０４は生体情報を照合する処理６０６を行う。処理６０６では、利用者の生体情報（１件）と複数の登録生体情報（Ｎ件）との照合を行い、Ｎ個の類似度（または、非類似度）を算出する。処理６０６の具体的な処理手順を図１２に示す。次に、認証サーバ１０４は本人確率を算出する処理６０７を行う。処理６０７の中で、認証サーバ１０４は利用者から取得した生体情報と登録生体情報との類似度、および登録生体情報の信頼度に基づき、本人確率算出を行う。生体情報間の類似度は、処理６０６にて算出された、生体情報がどの程度類似しているかを示す指標であり、類似度が大きい場合、二つの生体情報は同一人物から取得されたものであると判断できる。登録生体情報の信頼度は、以前に利用者が認証を行った際に、生体情報本登録６１２にて事前に算出されており、登録生体情報がどの程度誤差を含んでいるかを示している。処理６０７の具体的な処理手順を図１３に示す。次に、認証サーバ１０４は本人であるか否かを判定する処理６０８を行う。処理６０８では、生体情報間の類似度と各登録生体情報の信頼度から尤度比を算出し、その尤度比を統合することで本人確率算出を行い、得られた本人確率に対して認証しきい値を適用することで利用者が本人であるか否かの判定を行う。この際、本実施形態では、登録生体情報の信頼度を尤度比算出に含め、登録生体情報に含まれる誤差を考慮した本人確率算出を行う。これにより、生体情報間の類似度のみから本人判定を行う方式に比べ、登録生体情報の一部が大きな誤差を含んでいた場合でも、高精度な認証が可能となる。処理６０８の具体的な処理手順を図１４に示す。次に、認証サーバ１０４は生体情報を仮登録する処理６０９を行う。処理６０９の具体的な処理手順を図１５に示す。次に、認証サーバ１０４は、認証結果６１０を認証端末１０１へ送信する。認証結果６１０には、利用者の認証が成功したか否かを示す情報が含まれている。次に、認証端末１０１は認証結果を出力する処理６１１を行う。処理６１１では、認証結果表示部１０５を用いて利用者へ認証結果を伝える。

　利用者ＩＤ取得処理６０３から認証結果出力処理６１１までの認証処理を繰り返すことで、生体情報仮登録６０９が複数回実行され、複数の生体情報が仮登録生体情報格納部１１２へ蓄積される。その後、本実施形態では、バッチ処理として生体情報本登録６１２を行う。処理６１２の具体的な手順を図１６に示す。これにより、複数の生体情報が登録され、次回以降の認証で活用される。

　このように生体情報仮登録６０９を複数回実行し、その後生体情報本登録６１２を行う方式（以降、「生体情報一括登録方式」という）では、利用者の認証時に、認証に必要な処理（処理６０６～処理６０８）と生体情報仮登録６０９を行う。生体情報仮登録６０９は、比較的計算機負荷が低いため、生体情報一括登録方式採用によりパフォーマンスを落とすことなく、迅速な認証処理を行うことが可能である。従って、単位時間当たりの認証回数が多い大規模生体認証システムでは生体情報一括登録方式を採ることが望ましい。生体情報一括登録方式では、認証時に各登録生体情報間の類似度算出、および信頼度算出を行わず、生体情報本登録６１２にてバッチ処理として行う。

　第一の実施形態における処理の詳細な手順を図１２～図１６に示す。以下、図面を参照して、詳細に説明する。

　図１２は、本発明の第一の実施形態において、生体情報照合の手順を示す図である。

　ステップ１２０１は、利用者ＩＤに基づき、登録生体情報格納部１１４に格納されている登録生体情報２０２を読み出す処理である。登録生体情報格納部１１４には複数の登録生体情報を格納することが可能であるため、ここで読み出す登録生体情報は、一つ、または複数である。

　ステップ１２０２は認証端末１０１から受信した生体情報と、ステップ１２０１にて読み出したＮ件の登録生体情報をそれぞれ照合する処理である。この処理により、Ｎ件の登録生体情報に対して、Ｎ件の類似度が算出される。

　図１３は、本発明の第一の実施形態において、本人確率算出の手順を示す図である。

　ステップ１３０１は利用者ＩＤに基づき、登録生体情報格納部１１４に格納されている各登録生体情報に対する信頼度２０３を読み出す処理である。登録生体情報格納部１１４には複数の登録生体情報を格納することが可能であるため、ここで読み出す信頼度２０３は、一つ、または複数である。

　ステップ１３０２はステップ１３０１で読み出した各登録生体情報の信頼度ｒと、ステップ１２０２で算出した類似度ｓに基づき、尤度比配列格納部１１３から尤度比Ｌ（ｒ，ｓ）を読み出す処理である。

　ステップ１３０３は、ステップ１３０２で求めた尤度比を統合して、本人確率を算出する処理である。具体的には、各登録生体情報に対する尤度比同士を掛け合わせて登録生体情報全体に対する尤度比Ｌ’を求め、ベイズの定理に基づき事後確率Ｐ’＝（Ｌ’×Ｐ）／（Ｌ’×Ｐ＋１－Ｐ）を算出する。ただし、Ｐは本人に対する事前確率であり、利用者本人が認証を試みる確率を予め代入しておく。当該事前確率は、予め全ての利用者に同じ値（例えば０．５）を付与しておいても良い。なお、利用者が認証を行う確率に差がある場合には、その確率に応じて利用者毎に異なる事前確率を割り当てても良い。ステップ１３０３は、得られた事後確率Ｐ’を本人確率として出力する。

　ここで、各尤度比Ｌは各登録生体情報に対応する信頼度と類似度に基づき算出される。各尤度比Ｌは、信頼度が高い（つまり、登録生体情報に含まれる誤差が小さい）ときに大きな値をとり、信頼度が低い（つまり、登録生体情報に含まれる誤差が大きい）ときに小さな値をとる。これにより、誤差が小さいと判定された登録生体情報を重視した判定が行われ、登録生体情報の一部が大きな誤差を含む場合でも、その影響は小さくなり、高精度な認証が可能となる。

　なお、本人判定を行う方式には、上記尤度比を用いた方式に限らず、様々な方式を採用することができる。例えば、ＳＶＭ、Ｂｏｏｓｔｉｎｇに代表される機械学習手法において、各登録生体情報の信頼度を考慮して最終的な出力値を得ることで、同様の効果を得ることが可能となる。

　図１４は、本発明の第一の実施形態において、本人判定の手順を示す図である。
ステップ１４０１は、ステップ１３０４にて算出した本人確率に対して、認証しきい値５０２を適用する処理である。

　ステップ１４０２は、本人確率が認証しきい値５０２より大きいか否かを判定する処理である。もし本人確率が認証しきい値５０２より大きければ、ステップ１４０３へ進む。もし本人確率が認証しきい値５０２より小さければ、ステップ１４０４へ進む。

　ステップ１４０３は認証結果に認証成功を示す情報を代入する処理である。

　ステップ１４０４は認証結果に認証失敗を示す情報を代入する処理である。

　図１５は、本発明の第一の実施形態において、生体情報仮登録の手順を示す図である。

　ステップ１５０１は利用者ＩＤ取得処理６０３で取得した利用者ＩＤと生体情報取得処理６０４で取得した生体情報を、仮登録生体情報格納部１１２へ登録する処理である。登録された生体情報は、次回以降の認証にはまだ用いられず、図１６に示す生体情報本登録が行われた際に、登録生体情報格納部１１１へ登録される。

　図１６は、本発明の第一の実施形態において、生体情報本登録の手順を示す図である。

　ステップ１６０１は認証端末１０１から受信した利用者ＩＤ・生体情報、および仮登録生体情報格納部１１２に記録された利用者ＩＤ・生体情報を、登録生体情報格納部１１１に登録する処理である。この際、既に利用者ＩＤに紐付いた生体情報が登録生体情報格納部１１１に存在する場合は、既存の生体情報は残したまま生体情報を追加登録する。なお、追加登録を繰り返して登録生体情報を増加させて行くと、必要な記憶容量や生体情報の照合に要する時間が比例して増加していくため、生体情報の登録数には上限を設けることもできる。生体情報の登録数を上限以下に保つためには、登録数が上限を超えた際に生体情報を選択・削除する必要がある。この削除する生体情報の選択は、生体情報選択部１０６において、生体情報登録日時、生体情報間の類似度、生体情報の品質を示す値、等に基づいて行われる。例えば、最も登録日時の古い生体情報、他の生体情報との類似度の最大値（または最小値）・平均値・中央値・上位（または下位）数件の平均値等が最大（または最小）となる生体情報、品質を示す値が最も低い生体情報、等を選択し、削除することで、生体情報の登録数を上限以下に保つことが可能となる。

　なお、生体情報を削除した場合、認証に用いる情報が少なくなり、次回以降の認証精度が低下する恐れがある。この精度低下を防ぐためには、例えば各登録生体情報に対する重みを設けて、生体情報の削除時に当該生体情報に類似する生体情報に対する重みを増加させる方法が考えられる。認証時には、この重みを考慮して本人確率を求めることで、生体情報削除による認証精度低下を抑えることが可能となる。

　ステップ１６０２は、利用者ＩＤが等しい登録生体情報について、全ての組み合わせを照合し、類似度を取得する処理である。例えば、ある利用者ＩＤに対応する登録生体情報がＮ件登録されている場合は、登録生体情報同士の照合は（Ｎ－１）×Ｎ回行われ、（Ｎ－１）×Ｎ個の類似度が得られる。

　ステップ１６０３は登録生体情報間の類似度に基づき、各登録生体情報の信頼度を算出する処理である。信頼度は、各登録生体情報が、どの程度誤差を含んでいるかを示す値であり、当該信頼度を考慮して本人判定を行うことで、登録生体情報に誤差が含まれていた場合でも高精度な判定が可能となる。当該信頼度としては、例えば対象とする登録生体情報とその他の登録生体情報との類似度（Ｎ－１個）の平均値を採用することができる。なお、当該信頼度は、対象とする登録生体情報とその他の登録生体情報との類似度（Ｍ－１個）の最小値、平均値、中央値、最大値、上位（または下位）数件の平均値等、および、生体情報を登録してからの経過時間、生体情報の品質を示す値、のうち、１つまたは複数を用いて算出することもできる。

　ステップ１６０４はステップ１６０３で算出した信頼度を登録生体情報格納部１１１の信頼度２０３へ登録する処理である。

　図１７は、第一の実施形態の生体認証システムにおける認証端末、認証サーバのハードウェア構成を示すブロック図である。

　この図において、符号１７０１はＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、符号１７０２はメモリ、符号１７０３はＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）、符号１７０４は入力装置、符号１７０５は出力装置、符号１７０６は通信装置である。

　ＣＰＵ１７０１は認証サーバ１０４の生体情報照合部１０５、生体情報選択部１０６、生体情報登録部１０７、信頼度算出部１０８、信頼度登録部１０９、本人確率算出部１１０に対応するプログラムを実行する。メモリ１７０２は認証サーバ１０４の生体情報照合部１０５、生体情報選択部１０６、生体情報登録部１０７、信頼度算出部１０８、信頼度登録部１０９、本人確率算出部１１０に対応するプログラムを格納する。これらのプログラムをＣＰＵ１７０１が実行することで、各々の処理が実現する。ＨＤＤ１７０３は認証サーバ１０１における登録生体情報格納部１１１、仮登録生体情報格納部１１２、尤度比配列格納部１１３、認証しきい値格納部１１４に相当する。各部が格納するデータは、ＨＤＤ１７０３上のデータとして蓄積される。入力装置１７０４は認証端末１０１における生体情報取得部１０２に相当する。生体情報取得部１０２では、利用者から指紋、静脈、虹彩、音声、筆跡等の生体情報を取得する。出力装置１７０５は認証端末１０１の認証結果表示部１０３に相当する。認証結果表示部１０３では、例えばディスプレイ等を通して認証端末１０１を操作している利用者、またはオペレータに対して、認証結果を伝える。通信装置１７０６は認証端末１０１と認証サーバ１０４の間で、認証情報や認証結果を送受信する際に用いられる。

　図７は、本発明の第一の実施形態において、認証端末を利用者が操作し、生体情報の登録をリアルタイム処理にて行う場合の手順を示す図である。

　最初に、認証端末１０１は利用者ＩＤを入力処理７０３を行う。利用者ＩＤを取得する方法には、数字キーにより手入力を行う方法、磁気カードやＩＣカードからＩＤを取得する方法、紙に印字された番号をスキャナで読み取る方法、等が適用可能である。次に、認証端末１０１は生体情報を取得する処理７０４を行う。生体情報の取得では、認証情報取得部１０２に含まれる、指紋や静脈、虹彩、筆跡等を読み取る専用装置、顔を撮影するカメラ、音声を取得するマイク等を用いる。次に、認証端末１０１は、認証情報（利用者ＩＤ・生体情報）７０５を認証サーバ１０４へ送信する。次に、認証サーバ１０４は生体情報を照合する処理７０６を行う。処理７０６の具体的な処理手順を、図１２に示す。次に、認証サーバ１０４は本人確率を算出する処理７０７を行う。処理７０７の具体的な処理手順を、図１３に示す。次に、認証サーバ１０４は本人を判定する処理７０８を行う。処理７０８の具体的な処理手順を、図１４に示す。次に、認証サーバ１０４は生体情報本登録する処理７０９を行う。処理７０９の具体的な手順は、図１６に示す。次に、認証サーバ１０４は、認証結果７１０を認証端末１０１へ送信する。認証結果７１０には、利用者の認証が成功したか否かを示す情報が含まれている。最後に、認証端末１０１は認証結果を出力する処理７１１を行う。処理７１１では、認証結果表示部１０３を用いて利用者へ認証結果を伝える。

　このように認証時に生体情報本登録７０９を行う方式（以降、「生体情報逐次登録方式」という）では、利用者の認証時に本人判定に必要な処理（処理７０６～処理７０８）と生体情報本登録７０９を行う。生体情報本登録７０９は、比較的計算機負荷が高いため、生体情報逐次登録方式の大規模生体認証システムへの適用は困難である。しかしながら、生体情報逐次登録方式では認証時に即座に生体情報を本登録するため、バッチ処理を待たずに認証精度の向上を行うことが可能となる。従って、単位時間当たりの認証回数が少なく、同一人物が短時間に何度も認証を行うような生体認証システムでは効果が大きいと考えられる。

　以上の本発明の第一の実施形態によれば、複数の登録生体情報の一部に大きな誤差が含まれていた場合でも、高精度な本人確認を行うことができる。

　＜第二の実施形態＞
　第二の実施形態は、オペレータが操作する認証端末と認証サーバを用いて、利用者から取得した生体情報（以降、認証生体情報）を認証サーバへ自動で登録し、登録された複数の生体情報（以降、登録生体情報）に対して、登録生体情報間の類似度に基づく信頼度を付与し、利用者の認証時には認証生体情報と複数の登録生体情報との類似度と各登録生体情報に対する信頼度に基づき本人確率を算出することで本人か否かの判定を行うシステムである。ただし、認証端末は操作するオペレータから利用者の身分事項に関する確認結果を受理することができる。例えば、認証サーバにおける生体情報照合に失敗し、生体情報に基づく本人確認が行えなかった場合は、当該確認結果を受理することで本人確認が完了したとする。

　以下、図面を参照して、第二の実施形態を詳細に説明する。

　図８は、本発明の第二の実施形態において、認証端末をオペレータが操作し、生体情報の登録をバッチ処理にて行う場合の手順を示す図である。

　最初に、認証端末１０１は利用者ＩＤを入力する処理８０３を行う。利用者ＩＤを取得する方法には、第一の実施形態と同様に、数字キーにより手入力を行う方法、磁気カードやＩＣカードからＩＤを取得する方法、紙に印字された番号をスキャナで読み取る方法、等が適用可能である。次に、認証端末１０１は生体情報を取得する処理８０４を行う。生体情報の取得でも、第一の実施形態と同様に、認証情報取得部１０２に含まれる、指紋や静脈、虹彩、筆跡等を読み取る専用装置、顔を撮影するカメラ、音声を取得するマイク等を用いる。次に、認証端末１０１は、認証情報（利用者ＩＤ・生体情報）８０５を認証サーバ１０４へ送信する。次に、認証サーバ１０４は生体情報を照合する処理８０６を行う。処理８０６の具体的な処理手順を、図１２に示す。次に、認証サーバ１０４は本人確率を算出する処理８０７を行う。処理８０７の具体的な処理手順を、図１３に示す。次に、認証サーバ１０４は本人であるか否かの判定をする処理８０８を行う。処理８０８の具体的な処理手順を、図１４に示す。次に、認証サーバ１０４は、認証結果８０９を認証端末１０１へ送信する。認証結果８０９には、利用者の認証が成功したか否かを示す情報が含まれている。次に、認証端末１０１は認証結果を出力する処理８１０を行い、出力装置１７０５を通してオペレータへ利用者の認証が成功したか否かを提示する。次に、認証端末１０１は認証結果の確認結果を受け付ける処理８１１を行う。

　当該確認結果には、利用者の認証結果に応じて、４つの種類が考えられる。利用者の認証が成功した場合は、認証結果を受け入れて利用者を本人と認める確認結果と、認証結果に反して利用者を本人と認めない確認結果を選択することができる。利用者に関する生体情報以外の身分事項（例えば、身分証明書等）に問題が無い場合は、前者を選択することで、最終的な本人確認が成功とみなされ、利用者から取得した生体情報の追加登録を行うことが可能となる。一方で、利用者に関する生体情報以外の身分事項に問題があり、利用者を本人と認めることができない場合は、後者を選択することで本人確認を失敗とし、生体情報の追加登録を中止することが可能となる。

　また、利用者の認証が失敗した場合は、認証結果に反して利用者を本人と認める確認結果と、認証結果を受け入れて本人と認めない確認結果を選択することができる。利用者に関する生体情報以外の身分事項から本人確認が行えた場合には、前者を選択することで、最終的な本人確認が成功とみなされ、利用者から取得した生体情報の追加登録を行うことが可能となる。一方で、利用者に関する生体情報以外の身分事項を用いても本人確認を行うことが困難であった場合には、後者を選択することで、本人確認を失敗とし、生体情報の追加登録を行わないことが可能となる。

　次に、認証端末１０１は、上記の確認結果８１２を認証サーバ１０４へ送信する。確認結果８１２に、本人確認成功を示す情報が含まれていた場合は、認証サーバ１０４は生体情報仮登録処理８１３を実行する。処理８１３の具体的な手順を、図１５で示す。一方、確認結果８１２に本人確認失敗を示す情報が含まれていた場合には、その後の生体情報仮登録処理８１３を行わずに、処理を終了する。

　利用者ＩＤ入力８０３から生体情報仮登録８１３までの認証処理を繰り返すことで、生体情報仮登録８１３が複数回実行される。その後、本実施形態では、バッチ処理として生体情報本登録８１４を行う。処理８１４の具体的な手順を、図１６に示す。これにより、利用者の生体情報が複数登録される。

　本実施例では、生体情報に基づく認証結果が認証端末１０１へ送信された後、オペレータの確認結果を受け付けることができる。これにより、既存の登録生体情報と利用者から取得した生体情報との類似度が低く、正規の利用者が認証に失敗した場合でも、認証端末１０１のオペレータによる生体情報以外の身分事項に基づく本人確認結果を、認証サーバ１０６へ送信することが可能となる。これにより、認証サーバ１０６は生体情報に基づく本人確認に失敗した場合でも、生体情報の追加登録を行うことができる。

　図９は、本発明の第二の実施形態において、認証端末をオペレータが操作し、生体情報の登録をリアルタイム処理にて行う場合の手順を示す図である。

　最初に、認証端末１０１は利用者ＩＤを入力処理９０３を行う。利用者ＩＤを取得する方法には、数字キーにより手入力を行う方法、磁気カードやＩＣカードからＩＤを取得する方法、紙に印字された番号をスキャナで読み取る方法、等が適用可能である。次に、認証端末１０１は生体情報を取得する処理９０４を行う。処理９０４では、認証情報取得部１０２に含まれる、指紋や静脈、虹彩、筆跡等を読み取る専用装置、顔を撮影するカメラ、音声を取得するマイク等を用いる。次に、認証端末１０１は、認証情報（利用者ＩＤ・生体情報）９０５を認証サーバ１０４へ送信する。次に、認証サーバ１０４は生体情報を照合する処理９０６を行う。処理９０６の具体的な処理手順を、図１２で示す。次に、認証サーバ１０４は本人確率を算出する処理９０７を行う。処理９０７の具体的な処理手順を、図１３で示す。次に、認証サーバ１０４は本人を判定する処理９０８を行う。処理９０８の具体的な処理手順を、図１４で示す。次に、認証サーバ１０４は、認証結果９０９を認証端末１０１へ送信する。認証結果９０９には、利用者の認証が成功したか否かを示す情報が含まれている。次に、認証端末１０１は認証結果を出力する処理９１０を行い、出力装置１７０５を通してオペレータへ利用者の認証が成功したか否かを提示する。次に、認証端末１０１は認証結果の確認結果を受け付ける処理９１１を行う。次に、認証端末１０１は、確認結果９１２を認証サーバ１０４へ送信する。最後に、認証サーバ１０４は生体情報本登録する処理９１３を行う。処理９１３の具体的な処理手順を、図１６で示す。

　以上の手順により、本実施形態では、認証時に取得した生体情報を追加登録し、複数の登録生体情報を用いて認証を行う生体認証システムにおいて、登録生体情報の一部に大きな誤差が含まれていた場合でも、高精度な認証を行うことが可能である。また、正規の利用者が生体認証に失敗した場合は、オペレータによる審査結果を受け付けることで生体情報の追加登録を行い、次回以降の認証精度を向上させることが可能である。
＜第三の実施形態＞
　第三の実施形態は、オペレータが操作する認証端末と認証サーバを用いて、利用者から第一生体情報と第二生体情報の２種類の生体情報を取得し、第一生体情報を用いた本人確認と第二生体情報を用いたブラックリスト照合を活用することで効率的な審査を行うシステムである。第一生体情報は、指紋、静脈、虹彩、顔、音声、筆跡等の生体情報であり、第二生体情報は、第一生体情報とは異なる種類の生体情報である。例えば、第一生体情報として静脈、第二生体情報として指紋を採用することが可能である。また、ブラックリスト照合は、犯罪者等の要注意人物から取得した生体情報をブラックリストとして蓄積し、利用者の生体情報と照合を行うことで、利用者が要注意人物か否かを判定するものである。ブラックリストの一例を、図１８に示す。「利用者ＩＤ」１８０１は各利用者に割り当てられた固有のＩＤであり、例えば英数字により構成される。「身分情報」１８０２は利用者の身分に関する情報であり、例えば氏名、国籍、性別、生年月日等を含む。「生体情報」１８０３は利用者の生体情報であり、利用者から取得した登録第二生体情報を格納する。このブラックリストは、認証サーバ１０４のＨＤＤ１７０３、または、認証サーバ１０４が参照可能な別のサーバにおけるＨＤＤ１７０３に保存されている。
本実施形態は、入国審査に代表される、生体認証を活用したブラックリスト照合を行っているシステムに適用可能である。

　本人確認は、第二の実施形態と同様に、以前認証を行った際に登録した生体情報に基づき本人であるか否かを判定することで実現する。この際、本人確認用の生体情報データベースには、ブラックリストに登録されていない利用者のみを登録することで、第一生体情報に基づく本人確認により利用者がブラックリストに登録されていないことを保証することが可能となる。

　一方、ブラックリスト照合は、ブラックリストに含まれる第二生体情報と利用者から取得した第二生体情報との照合を行うことで実現する。ブラックリスト照合の結果一致する生体情報が無ければ、利用者は要注意人物ではないと判断され、審査を通過することができる。

　以下、図面を参照して、第三の実施形態を詳細に説明する。

　図１０は本発明の第三の実施形態において、認証端末をオペレータが操作し、利用者に対するブラックリスト照合を含む審査を行う場合の手順を示す図である。

　最初に、認証端末１０１は利用者ＩＤを入力処理１００３を行う。利用者ＩＤを取得する方法には、第一の実施形態と同様に、数字キーにより手入力を行う方法、磁気カードやＩＣカードからＩＤを取得する方法、紙に印字された番号をスキャナで読み取る方法、等が適用可能である。特に、入国審査を適用対象とした場合は、旅券に印字されている旅券番号を読み取ることで、渡航者を一意に定めることが可能となる。

　次に、認証端末１０１は第一生体情報と第二生体情報を取得する処理１００４を行う。生体情報の取得では、第一の実施形態と同様に、認証情報取得部１０２に含まれる、指紋や静脈、虹彩等を読み取る専用装置、顔を撮影するカメラ、等を用いる。ただし、本実施形態では第一生体情報と第二生体情報の２種類を取得する必要がある。２種類の生体情報を取得する方法には、第一生体情報（例えば、静脈）を取得する装置と第二生体情報（例えば、指紋）を取得する装置を併用する方法、および第一生体情報と第二生体情報を一度に取得する装置を活用する方法、が適用可能である。

　次に、認証端末１０１は、認証情報（利用者ＩＤ・第一生体情報）１００５を認証サーバ１０４へ送信する。次に、認証サーバ１０４は生体情報照合（第一生体情報）する処理１００６を行う。処理１００６の具体的な処理手順を、図１２に示す。処理１００６の内容は、第一の実施形態における処理６０６と同様である。

　次に、認証サーバ１０４は本人確率を算出する処理１００７を行う。処理１００７の具体的な処理手順を、図１３に示す。処理１００７の内容は、第一の実施形態における処理６０７と同様である。

　次に、認証サーバ１０４は本人を判定する処理１００８を行う。処理１００８の具体的な処理手順を、図１４に示す。処理１００８の内容は、第一の実施形態における処理６０８と同様である。

　次に、認証サーバ１０４は、第一照合結果１００９を認証端末１０１へ送信する。第一照合結果１００９には、利用者の認証が成功したか否かを示す情報が含まれている。

　次に、認証端末１０１は第一照合結果を出力する処理１０１０を行い、出力装置１７０５を通してオペレータへ利用者の認証が成功したか否かを提示する。本実施形態は、利用者がブラックリストに登録された要注意人物であるか否かを判定することを目的としている。このため、第一照合結果１００９において、認証が成功したことを示す情報が含まれている場合には、下記の処理１０１１～処理１０１４においてブラックリスト照合を行わなくても良い。一方で、第一照合結果１００９において、認証失敗、または登録生体情報が存在しないことを示す情報が含まれていた場合には、下記の処理１０１１～処理１０１４でブラックリスト照合を行い、利用者が要注意人物か否かを判定する必要がある。

　次に、認証端末１０１は、認証情報（第二生体情報）１０１１を認証サーバ１０４へ送信する。

　次に、認証サーバ１０４は第二生体情報に基づくブラックリスト照合を行う処理１０１２を行う。処理１０１２では、複数の要注意人物から事前に取得した第二生体情報と、利用者から取得した生体情報を照合することで、利用者が要注意人物であるか否かを判定する。

　次に、認証サーバ１０４は、第二照合結果１０１３を認証端末１０１へ送信する。第二照合結果１０１３には、利用者が要注意人物と判定されたか否かを示す情報が含まれている。

　次に、認証端末１０１は第二照合結果を出力する処理１０１４を行い、出力装置１７０５を通してオペレータへ利用者が要注意人物であるか否かを提示する。

　次に、認証端末１０１はオペレータの確認結果を受け付ける処理１０１５を行う。確認結果には、第一生体情報を登録するか否かを示す情報が含まれている。利用者が要注意人物ではない場合は、第一生体情報を登録することで次回以降にブラックリスト照合を必要としないスムーズな審査を実現することができる。一方、利用者が要注意人物である場合は、第一生体情報を登録せず、審査を完了する。ここでオペレータは、第二照合結果１０１３において利用者が要注意人物であると判定された場合でも、利用者の生体情報以外の身分事項に基づく審査で利用者が要注意人物ではないと確認されれば、第一生体情報登録を実行することができる。これは、利用者の第二生体情報と要注意人物の第二生体情報が類似している場合、要注意人物以外の利用者が要注意人物と誤判定される可能性があるためである。このように、要注意人物と類似する第二生体情報を持つ利用者は、第二生体情報に基づくブラックリスト照合を行う度に要注意人物と誤判定されて利便性が低下する危険性があるが、第一生体情報を登録することでブラックリスト照合を不要とし、利便性の確保を行うことが可能となる。

　次に、認証端末１０１は、確認結果１０１６を認証サーバ１０４へ送信する。

　ここで、認証サーバ１０４は、確認結果１０１６に含まれる情報に応じて処理を分岐する。確認結果１０１６に第一生体情報登録を行うとの情報が含まれている場合は、処理１０１７～処理１０１８を行う。確認結果１０１６に第一生体情報登録を行わないとの情報が含まれている場合には、ここで処理を終了する。

　処理１０１７では、第一生体情報の仮登録を行う。処理１０１７の具体的な処理手順を、図１５で示す。処理１００３～処理１０１７を繰り返すことで、複数の第一生体情報が仮登録生体情報格納部１１５に蓄積する。

　最後に、認証サーバ１０４は第一生体情報を登録する処理１０１８を行う。処理１０１８の具体的な処理手順を、図１６に示す。処理１００３～処理１０１７を繰り返すことで蓄積した第一生体情報の登録が完了する。

　図１１は、本発明の第三の形態において、認証端末をオペレータが操作し、利用者に対するブラックリスト照合を含む審査を行う場合の手順を示す図である。処理１１０３～処理１１１６は図１０と同様であるが、その後の生体情報本登録（第一生体情報）１１１７を実行するタイミングが図１０と異なる。図１０では生体情報仮登録（第一生体情報）１０１７を繰り返すことで仮登録生体情報格納部１１５へ生体情報を蓄積した後、生体情報本登録（第一生体情報）１０１８にてバッチ処理で生体情報を登録生体情報格納部１１４に本登録する。この生体情報仮登録を伴う方式では、認証時の計算負荷が低いが、仮登録生体情報を蓄積するためのテーブルが必要となり、ＤＢの容量が増加する。一方、図１１では、生体情報の仮登録は行わず、リアルタイムで生体情報本登録（第一生体情報）１１１７を行い、登録生体情報格納部１１４へ生体情報を登録する。このリアルタイムに生体情報本登録を行う方式では、認証時の計算負荷が高いが、仮登録生体情報を蓄積するテーブルが不要となり、必要なＤＢ容量が小さくなる。

　以上により、第二生体情報に基づくブラックリスト照合を含む審査を行う生体認証システムにおいて、第一生体情報を複数登録し、本人確認に活用することが可能となる。本実施形態を用いることで、ブラックリスト内の生体情報と一致しない利用者は、第一生体情報に基づく本人確認によりスムーズな審査を行うことが可能となる。また、要注意人物と第二生体情報が類似する利用者は、生体情報以外の身分事項に基づく審査で要注意人物ではないと確認されれば、第一生体情報を登録し、次回以降ブラックリスト照合の誤判別なしに審査を受けることが可能となる。

１０１…認証端末
１０２…認証情報取得部
１０３…認証結果表示部
１０４…認証サーバ
１０５…生体情報照合部
１０６…生体情報選択部
１０７…生体情報登録部
１０８…信頼度算出部
１０９…信頼度登録部
１１０…本人確率算出部
１１１…登録生体情報格納部
１１２…仮登録生体情報格納部
１１３…尤度比配列格納部
１１４…認証しきい値格納部
２０１…利用者ＩＤ
２０２…登録生体情報
２０３…信頼度
３０１…利用者ＩＤ
３０２…仮登録生体情報
４０１…信頼度
４０２…類似度
４０３…尤度比
５０１…精度要件（ＦＡＲ）
５０２…認証しきい値
６０３…利用者ＩＤ取得
６０４…生体情報取得
６０５…認証情報（利用者ＩＤ・生体情報）
６０６…生体情報照合
６０７…本人確率算出
６０８…本人判定
６０９…生体情報仮登録
６１０…認証結果
６１１…認証結果出力
６１２…生体情報本登録
７０３…利用者ＩＤ入力
７０４…生体情報取得
７０５…認証情報（利用者ＩＤ・生体情報）
７０６…生体情報照合
７０７…本人確率算出
７０８…本人判定
７０９…生体情報本登録
７１０…認証結果
７１１…認証結果出力
８０３…利用者ＩＤ入力
８０４…生体情報取得
８０５…認証情報（利用者ＩＤ・生体情報）
８０６…生体情報照合
８０７…本人確率算出
８０８…本人判定
８０９…認証結果
８１０…認証結果出力
８１１…確認結果入力
８１２…確認結果
８１３…生体情報仮登録
８１４…生体情報本登録
９０３…利用者ＩＤ入力
９０４…生体情報取得
９０５…認証情報（利用者ＩＤ・生体情報）
９０６…生体情報照合
９０７…本人確率算出
９０８…本人判定
９０９…認証結果
９１０…認証結果出力
９１１…確認結果入力
９１２…確認結果
９１３…生体情報本登録
１００３…利用者ＩＤ入力
１００４…第一・第二生体情報取得
１００５…認証情報（利用者ＩＤ・第一生体情報）
１００６…生体情報照合（第一生体情報）
１００７…本人確率算出
１００８…本人判定
１００９…第一照合結果
１０１０…第一照合結果出力
１０１１…認証情報（利用者ＩＤ・第二生体情報）
１０１２…生体情報照合（第二生体情報）
１０１３…第二照合結果
１０１４…第二照合結果出力
１０１５…確認結果入力
１０１６…確認結果
１０１７…生体情報仮登録（第一生体情報）
１０１８…生体情報本登録（第一生体情報）
１１０３…利用者ＩＤ入力
１１０４…第一・第二生体情報取得
１１０５…認証情報（利用者ＩＤ・第一生体情報）
１１０６…生体情報照合（第一生体情報）
１１０７…本人確率算出
１１０８…本人判定
１１０９…第一照合結果
１１１０…第一照合結果出力
１１１１…認証情報（利用者ＩＤ・第二生体情報）
１１１２…生体情報照合（第二生体情報）
１１１３…第二照合結果
１１１４…第二照合結果出力
１１１５…確認結果入力
１１１６…確認結果
１１１７…生体情報本登録（第一生体情報）
１２０１…利用者ＩＤに基づき登録生体情報(Ｎ件)を参照する処理
１２０２…受信した生体情報と、Ｎ件の登録生体情報を照合する処理
１２０３…Ｎ件の類似度を算出する処理
１３０１…利用者ＩＤに基づき、各登録生体情報に対する信頼度を読み出しする処理
１３０２…登録生体情報の信頼度と類似度に基づき、尤度比を読み出しする処理
１３０３…各登録生体情報に対応する尤度比を統合して、本人確率を算出する処理
１４０１…本人確率に対して、予め設定した認証しきい値を適用する処理
１４０２…本人確率>認証しきい値かどうか調べる処理
１４０３…認証結果に認証成功を代入する処理
１４０４…認証結果に認証失敗を代入する処理
１５０１…利用者ＩＤと利用者から取得した生体情報を、仮登録生体情報格納部へ登録す
る処理
１６０１…利用者ＩＤと生体情報を、登録生体情報格納部に登録する処理
１６０２…利用者ＩＤが等しい登録生体情報同士を照合し、類似度を取得する処理
１６０３…登録生体情報間の類似度に基づき、各登録生体情報の信頼度を算出する処理
１６０４…信頼度を登録生体情報格納部へ登録する処理
１７０１…ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）
１７０２…メモリ
１７０３…ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）
１７０４…入力装置
１７０５…出力装置
１７０６…通信装置
１８０１…利用者ＩＤ
１８０２…身分情報
１８０３…生体情報

Claims

　利用者の生体情報を取得する入力装置と、当該入力装置に接続されたプロセッサと、記憶装置と、を備える生体認証システムであって、
　前記記憶装置には、
　過去に前記利用者を認証した際の前記利用者の生体情報である複数の登録生体情報と、前記複数の登録生体情報の間の誤差を示す信頼度とが格納され、
　前記プロセッサは、前記利用者の認証時に、
　前記入力装置から入力された前記利用者の生体情報である入力生体情報を受け取り、
　前記入力生体情報と前記複数の登録生体情報の各々との間の第１の類似度を算出し、
　前記第１の類似度と前記信頼度に基づいて、前記利用者が本人である確率を示す本人確率を算出し、
　前記本人確率が所定の認証しきい値を超えた場合には、前記利用者が本人であると認証し、
　前記利用者が本人であると判定された場合は、前記入力生体情報を前記登録生体情報に追加して前記記憶装置に登録する
　ことを特徴とする生体認証システム。
　請求項１に記載した生体認証システムであって、
　前記プロセッサは、
　　前記登録生体情報の信頼度を算出する際に、
　　前記登録生体情報の各々の間の第２の類似度を算出し、
　　当該類似度に基づき前記登録生体情報に含まれる誤差を見積もる
　ことを特徴とする生体認証システム。
　請求項２に記載した生体認証システムであって、
　前記プロセッサは、前記利用者の登録生体情報の各々について前記第２の類似度の平均値を前記誤差として求めることを特徴とする生体認証システム。
　請求項１に記載した生体認証システムであって、
　前記記憶装置はさらに、他の利用者の登録生体情報を記憶し、
　前記プロセッサは、
　　前記利用者の登録生体情報の信頼度および類似度に関する第１の尤度比と、
　　前記他の利用者の登録生体情報の信頼度および類似度に関する第２の尤度比と
　を推定して前記記憶装置に格納し、
　前記第１の尤度比と前記第２の尤度比を用いて前記本人確率を算出する
　ことを特徴とする生体認証システム。
　請求項１に記載した生体認証システムであって、
　認証端末をさらに備え、
　前記プロセッサは、
　　前記利用者の認証結果を前記認証端末に出力し、
　　前記認証結果を受け入れることを示す第１の情報、または、生体情報以外の身分事項に基づく審査結果を示す第２の情報を前記認証端末から受け取り、
　　前記第１の情報を受け取った場合には前記認証結果を、前記第２の情報を受け取った場合には前記審査結果を、最終的な認証結果とし、
　　前記最終的な認証結果により、認証が成功した場合には、前記入力生体情報を前記複数の登録生体情報に追加して登録する
　ことを特徴とする生体認証システム。
　請求項５に記載した生体認証システムであって、
　前記記憶装置はさらにブラックリストを格納し、前記ブラックリストには利用者の生体情報が格納され、
　前記プロセッサは、
　　前記利用者から、前記利用者の第１の生体情報と前記第１の生体情報とは異なる前記利用者の第２の生体情報を受け取り、
　　前記第１の生体情報に基づいて本人であることを認証し、
　　前記第２の生体情報と前記ブラックリスト内に格納されている生体情報とに基づいて前記利用者が前記ブラックリストに含まれる利用者であることを認証し、
　前記利用者が前記ブラックリストに登録された要注意人物ではないと判明した場合は、
　前記第１の生体情報を
　前記複数の登録生体情報に追加して登録する
ことを特徴とする生体認証システム。
　請求項１に記載した生体認証システムであって、
　生体情報の登録数に上限を設け、
　閾値を超える生体情報が登録された際には、各登録生体情報の登録日時、登録情報間の類似度、各登録生体情報の品質を示す値、等に基づき保持する生体情報を選択し、
　それ以外の生体情報を削除することを特徴とする生体認証システム。
　請求項１に記載した生体認証システムであって、
　利用者の認証に成功した際に、利用者から取得した生体情報を一旦仮登録し、
　その後バッチ処理にて各仮登録生体情報に対する信頼度を算出し、
　仮登録生体情報とその信頼度を本登録することを特徴とする生体認証システム。