WO2014024428A1

WO2014024428A1 - 機器制御方法、機器制御システム及びサーバ装置

Info

Publication number: WO2014024428A1
Application number: PCT/JP2013/004651
Authority: WO
Inventors: 中野　稔久; 小塚　雅之; 賢尚南; 大森　基司; 剛志松尾; 坂田　毅; 史章鈴木
Original assignee: パナソニック株式会社
Priority date: 2012-08-07
Filing date: 2013-08-01
Publication date: 2014-02-13
Also published as: US20150180880A1; JP6160930B2; TW201419878A; WO2014024441A1; US9882915B2; US9774608B2; JP6160929B2; JPWO2014024428A1; US20150168930A1; TW201429264A; JPWO2014024441A1

Abstract

　操作端末を用いて、サーバ装置を介して機器の遠隔操作を行う機器制御システムにおける機器制御方法であって、前記機器を操作するための操作指示を前記操作端末から受け付けると、前記機器及び前記操作端末の少なくとも一方に係る環境情報を取得し、前記操作指示に応じた処理を実行するか否かの判定を、前記環境情報が予め定められた条件を満たすか否かに基づいて行い、前記判定ステップで肯定的な判定を行った場合には、前記機器に、前記操作指示に応じた処理を行うための実行コマンドを実行させ、否定的な判定を行った場合には、前記実行コマンドを実行させないことを特徴とする。

Description

機器制御方法、機器制御システム及びサーバ装置

　本発明は、機器の制御システムに関し、特に、遠隔操作による機器の制御技術に関する。

　インターネットや携帯電話等の通信網を介して、操作端末を用いた遠隔操作に対応した電化機器がある。このような遠隔操作に対応した複数の電化機器を一括管理する家電遠隔制御システムが特許文献１に開示されている。特許文献１に開示の家電遠隔制御システムでは、予め、電化機器ごとに、当該電化機器を特定するための識別情報と遠隔操作用コマンドとを関連付けてセンター装置に登録する。そして、ユーザは、遠隔操作を行う際には、携帯通信端末等の操作端末を用いて、センター装置にアクセスして、操作対象の電化機器の情報をセンター装置から読み出し、当該電化機器に対する操作指示を行う。ユーザからの操作指示を受けたセンター装置は、操作指示に対応した遠隔操作用コマンドを電化機器に送信し、電化機器は、受信した遠隔操作用コマンドに従って処理を実行する。

特開２００３－３１９４７１号公報

　しかしながら、上述の家電遠隔制御システムでは、ユーザが、所望の操作指示とは異なった操作指示を誤って行った場合であったり、操作指示が行われる際の電化機器の動作状態において、その操作を行うことが適切ではない場合であったりしても、センター装置は、その操作指示に対応した遠隔操作用コマンドを操作対象の電化機器に送信する。また、正当な操作権限を持たない第三者であっても、センター装置にアクセスすることができれば、操作指示を行うことが可能であり、このような場合、電化機器は、受信した遠隔操作用コマンドに従って処理を実行することになる。つまり、このような実行されるべきではない操作指示（以下、「不適切な操作指示」と呼ぶ。）がなされた場合であっても、その操作指示に従って処理を実行してしまうという問題がある。

　本発明は、係る問題に鑑みてなされたものであり、このような不適切な操作指示による機器の遠隔操作を抑止し得る機器制御方法を提供することを目的とする。

　上記課題を解決するために、本発明に係る機器制御方法は、操作端末を用いて、サーバ装置を介して機器の遠隔操作を行う機器制御システムにおける機器制御方法であって、前記機器を操作するための操作指示を前記操作端末から受け付ける操作指示受付ステップと、前記操作指示を受け付けた際に、前記機器及び前記操作端末の少なくとも一方に係る環境情報を取得する環境情報取得ステップと、前記操作指示に応じた処理を実行するか否かの判定を、前記環境情報が予め定められた条件を満たすか否かに基づいて行う判定ステップと、前記判定ステップで肯定的な判定を行った場合には、前記機器に、前記操作指示に応じた処理を行うための実行コマンドを実行させ、否定的な判定を行った場合には、前記実行コマンドを実行させない実行制限ステップとを含むことを特徴とする。

　上述の構成により、本発明に係る機器制御方法によると、遠隔操作を行う際の機器及び操作端末に係る環境情報に基づいて、操作指示で示された処理を実行するか否かを判断するので、不適切な操作指示による機器の遠隔操作を抑止し得る。

実施の形態１における機器制御システム１００のシステム構成を示す概略図。操作端末１３０の一例における外観の概略図。操作端末１３０のハードウェア構成図。操作端末１３０の主要部の機能ブロック図。操作端末情報４００のデータ構造とデータの一例を示す図。第１セキュリティモジュール１１０のハードウェア構成図。第１セキュリティモジュール１１０の主要部の機能ブロック図。機器１４０の一例における外観の概略図。機器１４０のハードウェア構成図。機器１４０の主要部の機能ブロック図。機器情報１０００のデータ構造とデータの一例を示す図。第２セキュリティモジュール１２０のハードウェア構成図。第２セキュリティモジュール１２０の主要部の機能ブロック図。ホームゲートウェイ１５０のハードウェア構成図。ホームゲートウェイ１５０の主要部の機能ブロック図。サーバ装置１６０のハードウェア構成図。サーバ装置１６０の主要部の機能ブロック図。ユーザ情報１８００のデータ構造とデータの一例を示す図。機能情報１９００のデータ構造とデータの一例を示す図。コマンド情報２０００のデータ構造とデータの一例を示す図。動作条件情報３０００のデータ構造とデータの一例を示す図。位置条件情報３１００のデータ構造とデータの一例を示す図。日時条件情報３２００のデータ構造とデータの一例を示す図。気温条件情報３３００のデータ構造とデータの一例を示す図。在室時条件情報３４００のデータ構造とデータの一例を示す図。操作指示を行う際の操作端末１３０の処理のフローチャート。実施の形態１におけるサーバ装置１６０の処理のフローチャート。操作指示で示される機能の実行を許可するか否かの判定の具体的な処理の一例を示すフローチャート。機器１４０の処理のフローチャート。操作端末１３０におけるＵＩ（ユーザインタフェース）の一例。機器制御システム１００の遠隔操作時の処理シーケンスの一例。実施の形態２における機器制御システム１００Ｂの概念図。ユーザ情報１８００Ｂのデータ構造とデータの一例を示す図。実施の形態２のサーバ装置１６０における処理のフローチャート。実施の形態２の機器制御システム１００Ｂにおける遠隔操作時の処理シーケンスの一例。実施の形態３の操作端末１３０の処理フローチャート。実施の形態３のサーバ装置１６０における処理のフローチャート。実施の形態３の機器制御システム１００Ｃにおける遠隔操作時の処理シーケンスの一例。実施の形態３の操作端末１３０におけるＵＩの一例。変形例のユーザ情報１８００Ｃのデータ構造とデータの一例を示す図。変形例のユーザ情報１８００Ｄのデータ構造とデータの一例を示す図。実施の形態３の操作端末１３０におけるＵＩの変形例。

＜１．実施の形態１＞
　＜１．１　概要＞
　以下、本発明に係る機器制御方法の一実施形態として、宅内に配置されている機器を、宅外に持ち出した操作端末を用いて制御することができる機器制御システムについて説明する。

　この機器制御システムにおいて、サーバ装置は操作端末からの操作指示を受け付けると、操作端末と操作対象の機器とから環境情報を取得する。そして、その操作指示で示された機能ごとに予め記憶している環境条件を参照して、取得した環境情報がこれらの環境条件を満たす場合にのみ、操作指示で示された機能を操作対象の機器に実行させるように制御する。

　ここで、環境情報とは、操作端末や操作対象の機器についての、位置を示す情報、動作状態を示す情報、季節や日時に関する情報、周囲の状況（例えば、気温、湿度、明るさ、周囲に人がいるか否か等）、及び操作に関する権限や優先順位に関する情報等であり、操作端末、機器、及びこれらに備えられたセンサー等で取得し得る情報である。

　本発明に係る機器制御方法によると、ユーザが、遠隔操作による機器の操作指示を行ったとしても、その操作指示が行われた際の環境情報が、予め定められた環境条件を満たさない場合には、サーバ装置がその機能の実行を抑止するため、不適切な操作指示と判断された機能の実行を抑制することができる。

　＜１．２　構成＞
　＜１．２．１　機器制御システム１００＞
　図１は、本実施の形態に係る機器制御システム１００のシステム構成を示す概略図である。

　同図に示されるように、機器制御システム１００は、操作端末１３０と、第１セキュリティモジュール１１０と、機器１４０Ａ～機器１４０Ｃと、第２セキュリティモジュール１２０Ａ～第２セキュリティモジュール１２０Ｃと、ホームゲートウェイ１５０と、サーバ装置１６０と、ネットワーク１７０と、基地局１８０とから構成される。

　以下、機器制御システム１００を構成するこれら構成要素について順に説明する。

　＜１．２．２　ネットワーク１７０、基地局１８０＞
　図１において、ネットワーク１７０は、ホームゲートウェイ１５０とサーバ装置１６０と基地局１８０とに接続されるネットワーク網であり、接続される装置間の信号を伝達する機能を有する。

　図１において、基地局１８０は、ネットワーク１７０に接続され、商用携帯電話用無線通信回線を利用して、操作端末１３０と通信する、いわゆる、電気通信業務用の無線基地局であり、操作端末１３０とサーバ装置１６０とが行う通信を中継する機能を有する。

　＜１．２．３　操作端末１３０＞
　＜＜回路構成＞＞
　図２は、操作端末１３０と第１セキュリティモジュール１１０との外観を示す斜視図である。

　操作端末１３０は、いわゆるスマートフォン型携帯通信端末であって、第１セキュリティモジュール１１０を着脱可能に装着する。

　同図に示されるように、操作端末１３０は、その筐体の主表面に、レシーバ２７０から出力される音声を筐体外部に伝えるためのレシーバ孔７１０と、筐体外部の音声をマイク２８０に伝えるためのマイク孔７２０とが形成され、更に、タッチパネル２４０の主表面が配置されている。また、その筐体の側面に、セキュリティモジュール挿入孔７３０が形成されている。そして、セキュリティモジュール挿入孔７３０の奥には、コネクタ２６０が配置されている。

　第１セキュリティモジュール１１０は、その筐体自体が、コネクタ５６０を兼用している。そして、第１セキュリティモジュール１１０の筐体、すなわち、コネクタ５６０が、セキュリティモジュール挿入孔７３０に挿入されることで、コネクタ２６０とコネクタ５６０とが接続され、操作端末１３０に第１セキュリティモジュール１１０が装着されることとなる。

　コネクタ２６０は、複数の金属製電極によって構成される電極群７４０を有し、第１セキュリティモジュール１１０の筐体、すなわち、コネクタ５６０は、複数の金属製電極によって構成される電極群７５０を有する。そして、操作端末１３０に第１セキュリティモジュール１１０が装着される状態において、電極群７４０を構成する電極のそれぞれと、電極群７５０を構成する電極のそれぞれとが、互いに電気的に接続される。このことによって、操作端末１３０と第１セキュリティモジュール１１０とは、有線にて通信することが可能となる。

　図３は、操作端末１３０の回路図である。

　同図に示されるように、操作端末１３０は、ＣＰＵ（Central Processing Unit）２００と、通信用ＬＳＩ（Large Scale Integration）２１０と、アンテナ２２０と、タッチパネルコントローラ２３０と、タッチパネル２４０と、メモリ２５０と、コネクタ２６０と、レシーバ２７０と、マイク２８０と、バッテリ２９０とから構成される。

　（アンテナ２２０）
　アンテナ２２０は、通信用ＬＳＩ２１０に接続され、通信用ＬＳＩ２１０が行う通信に利用される、例えば、金属製のモノポールアンテナである。

　（通信用ＬＳＩ２１０）
　通信用ＬＳＩ２１０は、アンテナ２２０とＣＰＵ２００とに接続され、ＣＰＵ２００によって制御され、ＣＰＵ２００から送られて来た送信用信号を変調する変調機能と、変調した信号を、アンテナ２２０を利用して基地局１８０に送信する送信機能と、基地局１８０から送信された信号を、アンテナ２２０を利用して受信する受信機能と、受信した信号を復調してＣＰＵ２００へ送る復調機能とを有する。

　ここで、通信用ＬＳＩ２１０と基地局１８０との間でなされる通信は、例えば、ＬＴＥ（Long Term Evolution）といった通信規格に準拠する商用携帯電話用無線通信回線を利用してなされる。

　（タッチパネルコントローラ２３０、タッチパネル２４０）
　タッチパネル２４０は、タッチパネルコントローラ２３０に接続され、タッチパネルコントローラ２３０によって制御され、画像を表示する機能と、操作端末１３０を利用するユーザからの接触操作を電気信号に変換して出力する機能とを有する。

　タッチパネルコントローラ２３０は、ＣＰＵ２００とタッチパネル２４０とに接続され、ＣＰＵ２００によって制御され、ＣＰＵ２００から送られてくる画像信号に基づく画像をタッチパネル２４０に表示させる機能と、操作端末１３０を利用するユーザによる、タッチパネル２４０を用いて行う接触操作を受け付けて、受け付けた接触操作を示す信号をＣＰＵ２００に送る機能とを有する。

　（コネクタ２６０）
　コネクタ２６０は、ＣＰＵ２００に接続され、以下の３つの機能を有する。

　機能１：第１セキュリティモジュール１１０のコネクタ５６０（後述）と接続することで、操作端末１３０に、第１セキュリティモジュール１１０を着脱可能に装着させる機能。

　機能２：操作端末１３０に、第１セキュリティモジュール１１０が装着されている場合において、操作端末１３０と第１セキュリティモジュール１１０とを、有線にて通信可能に接続する機能。

　機能３：操作端末１３０に、第１セキュリティモジュール１１０が装着されている場合において、バッテリ２９０から供給される電力を、第１セキュリティモジュール１２０に伝達する機能。

　（レシーバ２７０、マイク２８０）
　レシーバ２７０は、ＣＰＵ２００に接続され、ＣＰＵ２００によって制御され、ＣＰＵ２００から送られる電気信号を音声に変換して出力する機能を有する。

　マイク２８０は、ＣＰＵ２００に接続され、音声を電気信号に変換して、変換した電気信号をＣＰＵ２００へ送る機能を有する。

　（メモリ２５０）
　メモリ２５０は、ＣＰＵ２００に接続され、ＲＡＭ（Random Access Memory）とＲＯＭ（Read Only Memory）とフラッシュメモリとから構成され、ＣＰＵ２００の動作を規定するプログラムと、ＣＰＵ２００が利用するデータとを記憶する。

　（ＣＰＵ２００）
　ＣＰＵ２００は、通信用ＬＳＩ２１０とタッチパネルコントローラ２３０とメモリ２５０とコネクタ２６０とレシーバ２７０とマイク２８０とに接続され、メモリ２５０に記憶されているプログラムを実行することで、通信用ＬＳＩ２１０とタッチパネルコントローラ２３０、レシーバ２７０、及びＧＰＳ（Global Positioning System）受信機２８５を制御して、操作端末１３０に、主として、以下の３つの機能を実現させる機能を有する。

　スマートフォン制御機能：操作端末１３０を制御して、操作端末１３０に、従来のスマートフォンが有する、スマートフォンとしての一般的な機能と同等な機能、例えば、通話機能、インターネットサイト閲覧機能、メール送受信機能、待ち受け機能等を実現させる機能。

　機器操作機能Ａ：操作端末１３０を制御して、機器制御システム１００を構成する他の構成要素と協働して、機器制御システム１００の行う機器操作処理を実現する機能。

　環境情報取得機能Ａ：ＧＰＳ受信機２８５を制御し、ＧＰＳを利用して、操作端末１３０の環境情報としての自端末の位置情報の取得処理を実現する機能。

　（ＧＰＳ受信機２８５）
　ＧＰＳ受信機２８５は、ＣＰＵ２００から要求があると、要求があった時点での位置情報（緯度経度の値）を取得し、環境情報としてＣＰＵ２００に出力する機能を有する。

　（バッテリ２９０）
　バッテリ２９０は、繰り返し充電され得る二次電池であって、操作端末１３０を構成する電子部品に電力を供給する機能を有する。

　＜＜機能構成＞＞
　以下、上記回路構成を備える操作端末１３０について、機能面から見た構成について説明する。

　図４は、操作端末１３０の機能構成を示すブロック図である。

　同図に示されるように、操作端末１３０は、制御手段３００と、表示手段３１０と、操作受付手段３２０と、ＳＭ（セキュリティモジュール）通信手段３３０と、音声処理手段３４０と、通信手段３５０と、暗号処理手段３６０と、操作端末情報格納手段３７０とから構成される。

　（表示手段３１０）
　表示手段３１０は、プログラムを実行するＣＰＵ２００と、タッチパネルコントローラ２３０と、タッチパネル２４０とによって実現され、制御手段３００によって制御され、操作端末１３０を利用するユーザに提示する画像を生成してタッチパネル２４０に表示する機能を有する。

　（操作受付手段３２０）
　操作受付手段３２０は、プログラムを実行するＣＰＵ２００と、タッチパネルコントローラ２３０と、タッチパネル２４０とによって実現され、制御手段３００によって制御され、操作端末１３０を利用するユーザからの、タッチパネル２４０への接触操作を受け付ける機能を有する。

　（環境情報取得手段３２５）
　環境情報取得手段３２５は、プログラムを実行するＣＰＵ２００と、ＧＰＳ受信機２８５とによって実現され、自機の環境情報（例えば、現在の位置情報）を取得する機能を備える。環境情報取得手段３２５は、例えば、環境情報が位置情報の場合には、操作受付手段３２０が操作指示をユーザから受け付けた際の現在位置をＧＰＳ受信機２８５から取得する。取得した環境情報（位置情報）は、通信手段３５０を介して、サーバ装置１６０に送信される。

　（ＳＭ通信手段３３０）
　ＳＭ通信手段３３０は、プログラムを実行するＣＰＵ２００と、コネクタ２６０とによって実現され、制御手段３００によって制御され、操作端末１３０に第１セキュリティモジュール１１０が装着されている場合において、第１セキュリティモジュール１１０と有線にて通信する機能を有する。

　（音声処理手段３４０）
　音声処理手段３４０は、プログラムを実行するＣＰＵ２００と、レシーバ２７０と、マイク２８０とによって実現され、制御手段３００によって制御され、操作端末１３０の行う通話における音声の入出力処理を行う機能を有する。

　（通信手段３５０）
　通信手段３５０は、プログラムを実行するＣＰＵ２００と、通信用ＬＳＩ２１０と、アンテナ２２０とによって実現され、制御手段３００によって制御され、商用携帯電話用無線通信回線を利用して基地局１８０と通信する機能と、基地局１８０とネットワーク１７０とを介して、サーバ装置１６０と通信する機能を有する。

　（暗号処理手段３６０）
　暗号処理手段３６０は、プログラムを実行するＣＰＵ２００によって実現され、制御手段３００によって制御され、データの秘匿性、完全性を保つための暗号化処理を実行する暗号処理機能、暗号技術を用いた認証処理を実行する認証処理機能、暗号技術を用いた鍵共有処理を実行する鍵共有処理機能を有する。ここで、暗号処理手段３６０は、これら、暗号処理機能、認証処理機能、鍵共有処理機能を実現するために、ＡＥＳ（Advanced Encrypting Standard）暗号技術、ＥＣＤＳＡ（Elliptic Curve Digital Signature Standard）技術、ＥＣＤＨ（Elliptic Curve Diffie-Hellman）技術、ＳＳＬ（Secure Socket Layer）／ＴＳＬ（Transport Layer Security）技術等を利用する。

　（操作端末情報格納手段３７０）
　操作端末情報格納手段３７０は、プログラムを実行するＣＰＵ２００と、メモリ２５０に含まれる記憶領域の一部とによって実現され、操作端末情報４００を記憶する機能を有する。なお、操作端末情報４００については後述する。

　（制御手段３００）
　制御手段３００は、プログラムを実行するＣＰＵ２００によって実現され、表示手段３１０、操作受付手段３２０、環境情報取得手段３２５、ＳＭ通信手段３３０、音声処理手段３４０、通信手段３５０、暗号処理手段３６０、及び操作端末情報格納手段３７０を制御して、操作端末１３０に、前述の、スマートフォン制御機能と機器操作機能Ａと環境情報取得機能Ａとを実現させる機能を有する。

　＜１．２．４　第１セキュリティモジュール１１０＞
　＜＜回路構成＞＞
　図６は、第１セキュリティモジュール１１０の回路図である。

　同図に示されるように、第１セキュリティモジュール１１０は、ＣＰＵ５００と、メモリ５５０と、コネクタ５６０とから構成される。

　（コネクタ５６０）
　コネクタ５６０は、ＣＰＵ５００に接続され、以下の３つの機能を有する。

　機能１：操作端末１３０のコネクタ２６０と接続することで、第１セキュリティモジュール１１０を、操作端末１３０に着脱可能に装着させる機能。

　機能３：操作端末１３０に、第１セキュリティモジュール１１０が装着されている場合において、コネクタ２６０から伝達される電力を、第１セキュリティモジュール１１０を構成する電子部品に伝達する機能。

　（メモリ５５０）
　メモリ５５０は、ＣＰＵ５００に接続され、ＲＡＭとＲＯＭとフラッシュメモリとから構成され、ＣＰＵ５００の動作を規定するプログラムと、ＣＰＵ５００が利用するデータとを記憶する。

　（ＣＰＵ５００）
　ＣＰＵ５００は、メモリ５５０とコネクタ５６０とに接続され、メモリ５５０に記憶されているプログラムを実行することで、第１セキュリティモジュール１１０に、以下の２つの機能を実現させる機能を有する。

　機器操作機能Ｂ：第１セキュリティモジュール１１０を制御して、機器制御システム１００を構成する他の構成要素と協働して、機器制御システム１００の行う機器操作処理を実現する機能。

　環境情報送信機能Ｂ：第１セキュリティモジュール１１０を制御して、操作端末１３０の環境情報をサーバ装置１６０へ送信する処理を実現する機能。

　＜＜機能構成＞＞
　以下、上記回路構成を備える第１セキュリティモジュール１１０について、機能面から見た構成について説明する。

　図７は、第１セキュリティモジュール１１０の機能構成を示すブロック図である。

　同図に示されるように、第１セキュリティモジュール１１０は、制御手段６００と、操作端末通信手段６１０と、ＩＤ情報格納手段６２０とから構成される。

　（ＩＤ情報格納手段６２０）
　ＩＤ情報格納手段６２０は、プログラムを実行するＣＰＵ５００と、メモリ５５０に含まれる記憶領域の一部とによって実現され、自モジュールを一意に識別するセキュリティモジュールＩＤを記憶する機能を有する。

　ここで、このセキュリティモジュールＩＤは、第１セキュリティモジュール１１０の製造時において、メモリ５５０を構成するＲＯＭにおける所定の記憶領域に書き込まれる。このことによって、セキュリティモジュールＩＤが改竄されてしまうことを防止している。

　また、ＩＤ情報格納手段６２０は、ソフトウエア又はハードウエアを利用する暗号化技術を利用して、記憶するセキュリティモジュールＩＤに対して耐タンパ性を有している。

　（操作端末通信手段６１０）
　操作端末通信手段６１０は、プログラムを実行するＣＰＵ５００と、コネクタ５６０とによって実現され、制御手段６００によって制御され、操作端末１３０に第１セキュリティモジュール１１０が装着されている場合において、操作端末１３０と有線にて通信する機能を有する。

　（制御手段６００）
　制御手段６００は、プログラムを実行するＣＰＵ５００によって実現され、操作端末通信手段６１０とＩＤ情報格納手段６２０とを制御して、第１セキュリティモジュール１１０に、前述の機器操作機能Ｂと環境情報送信機能Ｂとを実現させる機能を有する。

　＜１．２．５　機器１４０＞
　図１に示される、機器１４０Ａ～機器１４０Ｃは、それぞれ、インターネットを含む様々なネットワークに接続する機能を有する家電機器、設備機器である。具体的には、エアコン、冷蔵庫、電子レンジ、ホームベーカリー、トースター、給湯器リモコン、洗濯機、乾燥機、食器洗い乾燥機、掃除機、ガステーブル、ＩＨ機器、炊飯器、温水洗浄便座、電子錠、ドアホン、各種照明機器、空気洗浄機、加湿器、各種セキュリティセンサー（人感センサー、防犯センサー）、ホームサーバ、洗面台、電動歯ブラシ、ドライヤー、美容家電機器、マッサージチェアや活動量計や体組成計などの健康家電機器、パソコン、タブレット端末、スマートフォン等の情報機器、携帯電話、ＦＡＸ、ゲーム機、テレビ、レコーダ機器、オーディオ機器及びそれらのリモコン等である。

　＜＜回路構成＞＞
　以下、機器１４０Ａ～機器１４０Ｃについて、これら機器を個別に説明するのではなく、これら機器を代表して、機器１４０を用いて説明する。

　機器１４０は、後述するホームゲートウェイ１５０に接続され、ホームゲートウェイ１５０を介して、外部のサーバ装置１６０と通信を行う。

　図８は、機器１４０と第２セキュリティモジュール１２０との外観を示す斜視図である。

　図８に示すように機器１４０は、例えば、エアコンである。

　同図に示されるように、機器１４０は、その筐体の側面に、セキュリティモジュール挿入孔１３３０が形成されている。そして、セキュリティモジュール挿入孔１３３０の奥には、コネクタ８６０が配置されている。

　第２セキュリティモジュール１２０は、その筐体自体が、コネクタ１１６０を兼用している。そして、第２セキュリティモジュール１２０の筐体、すなわち、コネクタ１１６０が、セキュリティモジュール挿入孔１３３０されることで、コネクタ８６０とコネクタ１１６０とが接続され、機器１４０に第２セキュリティモジュール１２０が装着されることとなる。

　コネクタ８６０は、複数の金属製電極によって構成される電極群１３４０を有し、第２セキュリティモジュール１２０の筐体、すなわち、コネクタ１１６０は、複数の金属製電極によって構成される電極群１３５０を有する。そして、機器１４０に第２セキュリティモジュール１２０が装着される状態において、電極群１３４０を構成する電極のそれぞれと、電極群１３５０を構成する電極のそれぞれとが、互いに電気的に接続される。このことによって、機器１４０と第２セキュリティモジュール１２０とは、有線にて通信することが可能となる。

　図９は、機器１４０の回路図である。

　同図に示されるように、機器１４０は、制御部８１０、機器本体部８２０、及びセンサー８８５から構成される。

　（制御部８１０）
　制御部８１０は、更に、ＣＰＵ８００と、コネクタ８６０と、メモリ８５０と、入力装置８７０と、出力装置８８０とから構成される。また、機器本体部８２０は、機器本体ハードウェア８９０によって構成される。

　（コネクタ８６０）
　コネクタ８６０は、ＣＰＵ８００に接続され、以下の３つの機能を有する。

　機能１：第２セキュリティモジュール１２０（後述）のコネクタ１１６０（後述）と接続することで、機器１４０に、第２セキュリティモジュール１２０を着脱可能に装着させる機能。

　機能２：機器１４０に、第２セキュリティモジュール１２０が装着されている場合において、機器１４０と第２セキュリティモジュール１２０とを、有線にて通信可能に接続する機能。

　機能３：機器１４０に、第２セキュリティモジュール１２０が装着されている場合において、第２セキュリティモジュール１２０に電力を供給する機能。

　（入力装置８７０）
　入力装置８７０は、ＣＰＵ８００に接続され、機器１４０を利用するユーザによってなされる操作を電気信号に変換して、ＣＰＵ８００に送る機能を有する。例えば、操作パネルにより実現される。

　（出力装置８８０）
　出力装置８８０は、ＣＰＵ８００に接続され、ＣＰＵ８００から送られてくる画像信号に基づく画像、音声等を表示する機能を有する。例えば、液晶ディスプレイ、スピーカにより実現される。

　（メモリ８５０）
　メモリ８５０は、ＣＰＵ８００に接続され、ＲＡＭとＲＯＭとフラッシュメモリとから構成され、ＣＰＵ８００の動作を規定するプログラムと、ＣＰＵ８００が利用するデータとを記憶する。

　（ＣＰＵ８００）
　ＣＰＵ８００は、メモリ８５０、コネクタ８６０、入力装置８７０、出力装置８８０、センサー８８５、及び機器本体ハードウェア８９０とに接続され、メモリ８５０に記憶されているプログラムを実行することで、センサー８８５、機器本体ハードウェア８９０、入力装置８７０、及び出力装置８８０を制御して、機器１４０に、以下の３つの機能を実現させる機能を有する。

　機器制御機能：機器１４０を制御して、機器１４０に、従来の機器が有する、機器としての一般的な機能と同等な機能、例えば、機器がテレビであれば、番組再生機能、チャンネル切替機能等であり、例えば、機器が洗濯機であれば、すすぎ機能、脱水機能等を実現させる機能である。

　機器操作機能Ｃ：機器１４０を制御して、機器制御システム１００を構成する他の構成要素と協働して、機器制御システム１００の行う機器操作処理を実現する機能。

　環境情報取得機能Ｃ：センサー８８５を制御して、機器１４０の環境情報の取得処理を実現する機能。

　（機器本体部８２０）
　機器本体部８２０の主要な構成要素は、機器本体ハードウェア８９０である。

　機器本体ハードウェア８９０は、ＣＰＵ８００に接続され、ＣＰＵ８００によって制御され、ＣＰＵ８００によって制御されることで、電子機器である機器１４０が、その電子機器としての機能を実現するためのハードウェア群である。例えば、機器１４０がエアコンであるとすれば、機器本体ハードウェア８９０は、エアコンとしての機能を実現するための、コンプレッサ、熱交換器、送風ファン等からなるハードウェア群が該当することとなる。

　（センサー８８５）
　センサー８８５は、機器１４０に係る環境情報を取得するためのセンサーである。

　例えば、センサー８８５は、温度センサーであり、ＣＰＵ８００からの制御を受けて機器１４０の周囲の気温を測定し、その測定結果をＣＰＵ８００に出力する。また、センサー８８５は、赤外線センサー等の人感センサーであり、機器１４０の周囲に人がいるか否かを検知し、その検知結果をＣＰＵ８００に出力する。センサー８８５は、その他、ＧＰＳ受信機や、湿度計、時計等の装置であってもよく、これらのセンサー群であってもよい。なお、機器１４０の種類によって、それぞれの機器１４０が有するセンサーは異なっていてもよい。

　＜＜機能構成＞＞
　以下、上記回路構成を備える機器１４０について、機能面から見た構成について説明する。

　図１０は、機器１４０の機能構成を示すブロック図である。

　同図に示されるように、機器１４０は、制御手段９００、コマンド受付手段９１０、実行手段９２０、ＳＭ通信手段９３０、入力手段９４０、出力手段９５０、環境情報取得手段９６０、機器情報格納手段９７０とから構成される。

　（コマンド受付手段９１０）
　コマンド受付手段９１０は、プログラムを実行するＣＰＵによって実現され、コネクタ８６０を介して第２セキュリティモジュール１２０が操作端末１３０から受信した実行コマンドを受け付け、制御手段９００に出力する機能を有する。

　（実行手段９２０）
　実行手段９２０は、プログラムを実行するＣＰＵ８００と、機器本体ハードウェア８９０とによって実現され、制御手段９００によって制御され、制御手段９００から、機器本体ハードウェア８９０に所定の動作をさせる旨を示す実行コマンドが送られて来た場合に、機器本体ハードウェア８９０を用いて、その実行コマンドの示す所定の動作を実行する機能を有する。

　（ＳＭ通信手段９３０）
　ＳＭ通信手段９３０は、プログラムを実行するＣＰＵ８００と、コネクタ８６０とによって実現され、制御手段９００によって制御され、機器１４０に第２セキュリティモジュール１２０が装着されている場合において、第２セキュリティモジュール１２０と有線にて通信する機能を有する。

　（入力手段９４０）
　入力手段９４０は、プログラムを実行するＣＰＵ８００と、入力装置８７０とによって実現され、制御手段９００によって制御され、機器１４０を利用するユーザによる、入力装置８７０を用いてなされる操作を受け付ける機能と、ユーザによる操作を受け付けた場合において、その操作が、機器本体ハードウェア８９０に所定の動作をさせる旨を示す操作であるときに、機器本体ハードウェア８９０にその所定の動作をさせる旨を示す実行コマンドを生成して、制御手段９００に送る機能を有する。

　（出力手段９５０）
　出力手段９５０は、プログラムを実行するＣＰＵ８００と、出力装置８８０とによって実現され、制御手段９００によって制御され、機器１４０を利用するユーザに提示する画像を生成して出力装置８８０に表示する機能を有する。

　（環境情報取得手段９６０）
　環境情報取得手段９６０は、プログラムを実行するＣＰＵ８００と、センサー８８５とによって実現され、制御手段９００によって制御され、機器１４０の環境情報を取得する機能を有する。環境情報取得手段９６０は、取得した環境情報を制御手段９００に出力する。

　（機器情報格納手段９７０）
　機器情報格納手段９７０は、プログラムを実行するＣＰＵ８００と、メモリ８５０に含まれる記憶領域の一部とによって実現され、機器情報１０００を記憶する機能を有する。なお、機器情報１０００については後述する。

　（制御手段９００）
　制御手段９００は、プログラムを実行するＣＰＵ８００によって実現され、コマンド受付手段９１０、実行手段９２０、ＳＭ通信手段９３０、入力手段９４０、出力手段９５０、環境情報取得手段９６０、及び機器情報格納手段９７０とを制御して、機器１４０に、前述の、機器制御機能と機器操作機能Ｃと環境情報取得機能Ｃとを実現させる機能を有する。

　＜１．２．６　第２セキュリティモジュール＞
　＜＜回路構成＞＞
　図１に示される、第２セキュリティモジュール１２０Ａ～第２セキュリティモジュール１２０Ｃは、それぞれ、互いに同様の構成を有し、互いに同様の機能を有している。

　従って、以下では、第２セキュリティモジュール１２０Ａ～第２セキュリティモジュール１２０Ｃについて、第２セキュリティモジュール１２０を用いて説明する。

　図１２は、第２セキュリティモジュール１２０の回路図である。

　同図に示されるように、第２セキュリティモジュール１２０は、ＣＰＵ１１００と、通信用ＬＳＩ１１１０と、アンテナ１１２０と、メモリ１１５０と、コネクタ１１６０とから構成される。

　（アンテナ１１２０、通信用ＬＳＩ１１１０）
　アンテナ１１２０は、通信用ＬＳＩ１１１０に接続され、通信用ＬＳＩ１１１０が行う通信に利用される、例えば、金属製のモノポールアンテナである。

　通信用ＬＳＩ１１１０は、アンテナ１１２０とＣＰＵ１１００とに接続され、ＣＰＵ１１００によって制御され、ＣＰＵ１１００から送られて来た送信用信号を変調する変調機能と、変調した信号を、アンテナ１１２０を利用してホームゲートウェイ１５０に送信する送信機能と、ホームゲートウェイ１５０から送信された信号を、アンテナ１１２０を利用して受信する受信機能と、受信した信号を復調してＣＰＵ１１００へ送る復調機能とを有する。

　なお、通信用ＬＳＩ１１１０とホームゲートウェイ１５０との間でなされる通信は、Bluetooth（登録商標）規格に準拠して行われる。

　（コネクタ１１６０）
　コネクタ１１６０は、ＣＰＵ１１００に接続され、以下の３つの機能を有する。

　機能１：機器１４０のコネクタ８６０と接続することで、第２セキュリティモジュール１２０を、機器１４０に着脱可能に装着させる機能。

　機能３：機器１４０に、第２セキュリティモジュール１２０が装着されている場合において、コネクタ５６０から伝達される電力を、第２セキュリティモジュール１２０を構成する電子部品に伝達する機能。

　（メモリ１１５０）
　メモリ１１５０は、ＣＰＵ１１００に接続され、ＲＡＭとＲＯＭとフラッシュメモリとから構成され、ＣＰＵ１１００の動作を規定するプログラムと、ＣＰＵ１１００が利用するデータとを記憶する。

　（ＣＰＵ１１００）
　ＣＰＵ１１００は、通信用ＬＳＩ１１１０とメモリ１１５０とコネクタ１１６０とに接続され、メモリ１１５０に記憶されているプログラムを実行することで、通信用ＬＳＩ１１１０を制御して、第２セキュリティモジュール１２０に、以下の２つの機能を実現させる機能を有する。

　機器操作機能Ｄ：第２セキュリティモジュール１２０を制御して、機器制御システム１００を構成する他の構成要素と協働して、機器制御システム１００の行う機器操作処理を実現する機能。

　環境情報送信機能Ｄ：第２セキュリティモジュール１２０を制御して、機器１４０から出力された環境情報を、アンテナ１１２０を介して、操作端末１３０へ送信する処理を実現する機能。

　＜＜機能構成＞＞
　以下、上記回路構成を備える第２セキュリティモジュール１２０について、機能面から見た構成について説明する。

　図１３は、第２セキュリティモジュール１２０の機能構成を示すブロック図である。

　同図に示されるように、第２セキュリティモジュール１２０は、制御手段１２００、コマンド確認手段１２１０、機器通信手段１２３０、ＩＤ情報格納手段１２４０、通信手段１２５０、及び暗号処理手段１２６０とから構成される。

　（通信手段１２５０）
　通信手段１２５０は、プログラムを実行するＣＰＵ１１００と、通信用ＬＳＩ１１１０と、アンテナ１１２０とによって実現され、制御手段１２００によって制御され、Bluetooth規格に準拠してホームゲートウェイ１５０と通信する機能と、ホームゲートウェイ１５０とネットワーク１７０とを介して、サーバ装置１６０と通信する機能とを有する。

　（暗号処理手段１２６０）
　暗号処理手段１２６０は、プログラムを実行するＣＰＵ１１００によって実現され、制御手段１２００によって制御され、データの秘匿性、完全性を保つための暗号化処理を実行する暗号処理機能、暗号技術を用いた認証処理を実行する認証処理機能、暗号技術を用いた鍵共有処理を実行する鍵共有処理機能を有する。ここで、暗号処理手段１２６０は、これら、暗号処理機能、認証処理機能、鍵共有処理機能を実現するために、ＡＥＳ暗号技術、ＥＣＤＳＡ技術、ＥＣＤＨ技術、ＳＳＬ／ＴＳＬ技術等を利用する。

　（コマンド確認手段１２１０）
　コマンド確認手段１２１０は、プログラムを実行するＣＰＵ１１００によって実現され、制御手段１２００によって制御され、以下の２つの機能を有する。

　コマンド確認機能：通信手段１２５０が、サーバ装置１６０から、署名付き実行コマンドを受信した場合に、暗号処理手段１２６０を用いて、その署名付き実行コマンドの署名が正当なものであることを検証する署名検証処理を行う機能。

　署名検証結果通知機能：署名検証処理を行った場合において、署名が正当なものであることを検証できたときに、署名検証処理の対象となった署名付きコマンドに含まれるコマンドを生成し、生成したコマンドと、署名が正当なものである旨を示す信号とを、制御手段１２００へ送り、署名が正当なものであることを検証できなかったときに、署名が正当なものでない旨を示す信号を制御手段１２００に送る機能。

　（機器通信手段１２３０）
　機器通信手段１２３０は、プログラムを実行するＣＰＵ１１００と、コネクタ１１６０とによって実現され、制御手段１２００によって制御され、機器１４０に第２セキュリティモジュール１２０が装着されている場合において、機器１４０と有線にて通信する機能を有する。

　（ＩＤ情報格納手段１２４０）
　ＩＤ情報格納手段１２４０は、プログラムを実行するＣＰＵ１１００と、メモリ１１５０に含まれる記憶領域の一部とによって実現され、自モジュールを一意に識別するセキュリティモジュールＩＤ子を記憶する機能を有する。

　ここで、このセキュリティモジュールＩＤは、第２セキュリティモジュール１２０の製造時において、メモリ１１５０を構成するＲＯＭにおける所定の記憶領域に書き込まれる。このことによって、セキュリティモジュールＩＤが改竄されてしまうことを防止している。

　また、ＩＤ情報格納手段１２４０は、ソフトウエア又はハードウエアを利用する暗号化技術を利用して、記憶するセキュリティモジュールＩＤに対して耐タンパ性を有している。

　（制御手段１２００）
　制御手段１２００は、プログラムを実行するＣＰＵ１１００によって実現され、コマンド確認手段１２１０、機器通信手段１２３０、ＩＤ情報格納手段１２４０、通信手段１２５０、及び暗号処理手段１２６０を制御して、第２セキュリティモジュール１２０に、前述の機器操作機能Ｄと環境情報送信機能Ｄとを実現させる機能を有する。

　＜１．２．７　ホームゲートウェイ１５０＞
　図１４は、ホームゲートウェイ１５０の回路図である。

　同図に示されるように、ホームゲートウェイ１５０は、ＣＰＵ１４００、通信用ＬＳＩ１４１０、アンテナ１４２０、メモリ１４５０、及びネットワーク接続回路１４６０から構成される。

　（アンテナ１４２０、通信用ＬＳＩ１４１０）
　アンテナ１４２０は、通信用ＬＳＩ１４１０に接続され、通信用ＬＳＩ１４１０が行う通信に利用される、例えば、金属製のモノポールアンテナである。

　通信用ＬＳＩ１４１０は、アンテナ１４２０とＣＰＵ１４００とに接続され、ＣＰＵ１４００によって制御され、ＣＰＵ１４００から送られて来た送信用信号を変調する変調機能と、変調した信号を、アンテナ１４２０を利用して第２セキュリティモジュール１２０に送信する送信機能と、第２セキュリティモジュール１２０から送信された信号を、アンテナ１４２０を利用して受信する受信機能と、受信した信号を復調してＣＰＵ１４００へ送る復調機能とを有する。

　なお、通信用ＬＳＩ１４１０と第２セキュリティモジュール１２０との間でなされる通信は、Bluetooth規格に準拠して行われる。

　（メモリ１４５０）
　メモリ１４５０は、ＣＰＵ１４００に接続され、ＲＡＭとＲＯＭとフラッシュメモリとから構成され、ＣＰＵ１４００の動作を規定するプログラムと、ＣＰＵ１４００が利用するデータとを記憶する。

　（ネットワーク接続回路１４６０）
　ネットワーク接続回路１４６０は、ＣＰＵ１４００とネットワーク１７０とに接続され、ＣＰＵ１４００によって制御され、ネットワーク１７０を介して外部装置から送られて来た信号を受信してＣＰＵ１４００へ送る機能と、ＣＰＵ１４００から送られて来た信号を、ネットワーク１７０を介して外部装置へ送信する機能とを有する。

　（ＣＰＵ１４００）
　ＣＰＵ１４００は、通信用ＬＳＩ１４１０とメモリ１４５０とネットワーク接続回路１４６０とに接続され、メモリ１４５０に記憶されているプログラムを実行することで、通信用ＬＳＩ１４１０とネットワーク接続回路１４６０とを制御して、ホームゲートウェイ１５０に、サーバ装置１６０と第２セキュリティモジュール１２０とが行う通信を中継する通信中継機能を実現させる機能を有する。

　＜＜機能構成＞＞
　以下、上記回路構成を備えるホームゲートウェイ１５０について、機能面から見た構成について説明する。

　図１５は、ホームゲートウェイ１５０の機能構成を示すブロック図である。

　同図に示されるように、ホームゲートウェイ１５０は、制御手段１５００、ＳＭ通信手段１５１０、及びサーバ通信手段１５２０とから構成される。

　（ＳＭ通信手段１５１０）
　ＳＭ通信手段１５１０は、プログラムを実行するＣＰＵ１４００と、通信用ＬＳＩ１４１０と、アンテナ１４２０とによって実現され、制御手段１５００によって制御され、Bluetooth規格に準拠して第２セキュリティモジュール１２０と通信する機能を有する。

　（サーバ通信手段１５２０）
　サーバ通信手段１５２０は、プログラムを実行するＣＰＵ１４００と、ネットワーク接続回路１４６０とによって実現され、制御手段１５００によって制御され、ネットワーク１７０を介してサーバ装置１６０と通信する機能を有する。

　（制御手段１５００）
　制御手段１５００は、プログラムを実行するＣＰＵ１４００によって実現され、ＳＭ通信手段１５１０とサーバ通信手段１５２０とを制御して、ホームゲートウェイ１５０に、前述の通信中継機能を実現させる機能を有する。

　＜１．２．８　サーバ装置１６０＞
　＜＜回路構成＞＞
　図１６は、サーバ装置１６０の回路図である。

　サーバ装置１６０は、ネットワーク１７０に接続される、いわゆる、コンピュータ装置であって、図１６に示されるように、ＣＰＵ１６００、ネットワーク接続回路１６６０、メモリ１６５０、及びハードディスクドライブ１６１０とから構成される。

　（ネットワーク接続回路１６６０）
　ネットワーク接続回路１６６０は、ＣＰＵ１６００とネットワーク１７０とに接続され、ＣＰＵ１６００によって制御され、ネットワーク１７０を介して外部装置から送られて来た信号を受信してＣＰＵ１６００へ送る機能と、ＣＰＵ１６００から送られて来た信号を、ネットワーク１７０を介して外部装置へ送信する機能とを有する。

　（メモリ１６５０）
　メモリ１６５０は、ＣＰＵ１６００に接続され、ＲＡＭとＲＯＭとフラッシュメモリとから構成され、ＣＰＵ１６００の動作を規定するプログラムと、ＣＰＵ１６００が利用するデータとを記憶する。

　（ハードディスクドライブ１６１０）
　ハードディスクドライブ１６１０は、ＣＰＵ１６００に接続され、ハードディスクを内蔵し、ＣＰＵ１６００が利用するデータを記憶する。

　（ＣＰＵ１６００）
　ＣＰＵ１６００は、ネットワーク接続回路１６６０、メモリ１６５０、及びハードディスクドライブ１６１０に接続され、メモリ１６５０に記憶されているプログラムを実行することで、ネットワーク接続回路１６６０とハードディスクドライブ１６１０とを制御して、サーバ装置１６０に、以下の３つの機能を実現させる機能を有する。

　機器登録機能Ｅ：サーバ装置１６０を制御して、機器制御システム１００を構成する他の構成要素と協働して、機器制御システム１００の行う機器登録処理を実現する機能。

　機器操作機能Ｅ：サーバ装置１６０を制御して、機器制御システム１００を構成する他の構成要素と協働して、機器制御システム１００の行う機器操作処理を実現する機能。

　環境情報取得機能Ｅ：サーバ装置１６０を制御して、操作端末１３０及び機器１４０とからそれぞれの環境情報を取得する処理を実現する機能。

　＜＜機能構成＞＞
　以下、上記回路構成を備えるサーバ装置１６０について、機能面から見た構成について説明する。

　図１７は、サーバ装置１６０の機能構成を示すブロック図である。

　同図に示されるように、サーバ装置１６０は、制御手段１７００、暗号処理手段１７１０、判断手段１７２０、ユーザ情報管理手段１７３０、環境条件記憶手段１７３５、機能情報管理手段１７４０、環境情報取得手段１７４５、通信手段１７５０、及びコマンド発行手段１７６０から構成される。

　（通信手段１７５０）
　通信手段１７５０は、プログラムを実行するＣＰＵ１６００と、ネットワーク接続回路１６６０とによって実現され、制御手段１７００によって制御され、ネットワーク１７０とホームゲートウェイ１５０とを介して第２セキュリティモジュール１２０と通信する機能と、ネットワーク１７０と基地局１８０とを介して操作端末１３０と通信する機能とを有する。

　（暗号処理手段１７１０）
　暗号処理手段１７１０は、プログラムを実行するＣＰＵ１６００によって実現され、制御手段１７００によって制御され、データの秘匿性、完全性を保つための暗号化処理を実行する暗号処理機能、暗号技術を用いた認証処理を実行する認証処理機能、暗号技術を用いた鍵共有処理を実行する鍵共有処理機能を有する。ここで、暗号処理手段１７１０は、これら、暗号処理機能、認証処理機能、鍵共有処理機能を実現するために、ＡＥＳ暗号技術、ＥＣＤＳＡ技術、ＥＣＤＨ技術、ＳＳＬ／ＴＳＬ技術等を利用する。

　（ユーザ情報管理手段１７３０）
　ユーザ情報管理手段１７３０は、プログラムを実行するＣＰＵ１６００と、ハードディスクドライブ１６１０に含まれる記憶領域の一部とによって実現され、ユーザ情報１８００を記憶する機能と、記憶するユーザ情報１８００を更新する機能とを有する。なお、ユーザ情報１８００については後述する。

　（機能情報管理手段１７４０）
　機能情報管理手段１７４０は、プログラムを実行するＣＰＵ１６００と、ハードディスクドライブ１６１０に含まれる記憶領域の一部とによって実現され、機能情報１９００及びコマンド情報２０００とを記憶する機能と、記憶する機能情報１９００及びコマンド情報２０００を更新する機能とを有する。なお、機能情報１９００及びコマンド情報２０００については後述する。

　（コマンド発行手段１７６０）
　コマンド発行手段１７６０は、プログラムを実行するＣＰＵ１６００によって実現され、制御手段１７００によって制御され、以下の２つの機能を有する。

　コマンド生成機能：機能情報管理手段１７４０によって記憶されている機能情報１９００とコマンド情報２０００とを参照して、制御対象とする機器１４０に制御対象とする機能を実現させるための実行コマンドを生成する機能。

　署名付与機能：実行コマンドを生成した場合に、暗号処理手段１２６０を用いて、その実行コマンドが正当なものである旨を示す電子署名を行って、署名付き実行コマンドを生成する機能。

　（環境条件記憶手段１７３５）
　ユーザ情報管理手段１７３０は、プログラムを実行するＣＰＵ１６００と、ハードディスクドライブ１６１０に含まれる記憶領域の一部とによって実現され、環境条件情報として、動作条件情報３０００、位置条件情報３１００、日時条件情報３２００、気温条件情報３３００、及び在室時条件情報３４００を記憶する機能を有する。なお、これら環境条件情報については後述する。

　（環境情報取得手段１７４５）
　環境情報取得手段は、プログラムを実行するＣＰＵ１６００と、ネットワーク接続回路１６６０とによって実現され、制御手段１７００によって制御され、操作端末１３０と機器１４０とからそれぞれの環境情報を取得し、制御手段１７００に出力する機能を有する。

　（判断手段１７２０）
　判断手段は、プログラムを実行するＣＰＵ１６００によって実現され、制御手段１７００によって制御され、環境条件記憶手段１７３５に記憶されている環境条件情報を参照し、環境情報取得手段１７４５が操作端末１３０及び機器１４０から得た環境情報に基づいて、操作端末１３０からの操作指示に応じた機能の実行を行うか否かを判断する機能を有する。

　（制御手段１７００）
　制御手段１７００は、プログラムを実行するＣＰＵ１６００によって実現され、暗号処理手段１７１０、判断手段１７２０、ユーザ情報管理手段１７３０、環境条件記憶手段１７３５、機能情報管理手段１７４０、環境情報取得手段１７４５、通信手段１７５０、及びコマンド発行手段１７６０を制御して、サーバ装置１６０に、前述の機器登録機能Ｅと機器操作機能Ｅと環境情報取得機能Ｅとを実現させる機能を有する。

　＜１．３　データ＞
　以下、機器制御システム１００で利用する各データについて説明する。
（操作端末情報４００）
　図５は、操作端末情報格納手段３７０によって記憶される操作端末情報４００の一例についてのデータ構成図である。

　同図に示されるように、操作端末情報４００は、端末種別４１０と型番４２０とが対応付けられて構成される。

　端末種別４１０は、操作端末１３０の種別を示す情報である。

　型番４２０は、操作端末１３０の型番を示す情報である。

　この例では、操作端末１３０の端末種別はスマートフォンであり、型番はＰ－０６Ｄである場合の例となっている。

　なお、操作端末情報４００は、操作端末１３０の製造時に、製造メーカーによって予め操作端末１３０の操作端末情報格納手段３７０に格納される。

　（機器情報１０００）
　図１１は、機器情報格納手段９７０によって記憶される機器情報１０００の一例についてのデータ構成図である。

　同図に示されるように、機器情報１０００は、機種１０１０と型番１０２０と機能１０３０とセキュアレベル１０４０とコマンド１０５０とが対応付けられて構成される。

　機種１０１０は、機器１４０の機種を示す情報である。

　型番１０２０は、機器１４０の型番を示す情報である。

　機能１０３０は、機器１４０の有する電子機器としての機能のうち、操作端末１３０によって制御可能となる機能を示す情報である。

　セキュアレベル１０４０は、対応付けられている機能１０３０を、操作端末１３０を利用して制御する際に必要となる、操作端末１３０のセキュアレベルを示す情報である。

　ここで、操作端末１３０のセキュアレベルとは、操作端末１３０の状態のことをいい、操作端末１３０に第１セキュリティモジュール１１０が装着されている状態を、操作端末１３０のセキュアレベルが１であるといい、操作端末１３０に第１セキュリティモジュール１１０が装着されていない状態を、操作端末１３０のセキュアレベルが２であるという。

　セキュアレベル１は、セキュアレベル２よりも優位なレベルであって、セキュアレベルが１の操作端末１３０は、セキュアレベル１に対応付けられている、操作端末１３０によって制御可能となる機能と、セキュアレベル２に対応付けられている、操作端末１３０によって制御可能となる機能との双方が制御可能となるが、セキュアレベルが２の操作端末１３０は、セキュアレベル２に対応付けられている、操作端末１３０によって制御可能となる機能のみが制御可能となる。

　コマンド１０５０は、対応付けられている機能１０３０を、機器１４０に実現させるための実行コマンドである。

　この例では、機器１４０の機種はエアコンであり、型番はＣＳ―Ｘ２５２Ｃであり、操作端末１３０によって制御可能となる機能は、電源ＯＮと電源ＯＦＦと運転切替とタイマセットとであり、セキュアレベルが１の操作端末１３０によって制御可能となる機能は、電源ＯＮと電源ＯＦＦと運転切替とタイマセットとであり、セキュアレベルが２の操作端末１３０によって制御可能となる機能は、電源ＯＦＦである場合の例となっている。

　なお、機器情報１０００は、機器１４０の製造時に、製造メーカーによって予め機器１４０の機器情報格納手段９７０に格納される。

　（ユーザ情報１８００）
　図１８は、ユーザ情報管理手段１７３０によって記憶されるユーザ情報１８００の一例についてのデータ構成図である。

　同図に示されるように、ユーザ情報１８００は、ユーザ名１８１０とユーザアカウント１８２０とパスワード１８３０と属性情報１８４０と機種１８５０と型番１８６０とセキュリティモジュールＩＤ１８７０とが対応付けられて構成される。

　ユーザ名１８１０は、機器制御システム１００を利用するユーザの氏名を示す情報である。

　ユーザアカウント１８２０は、対応付けられているユーザ名１８１０によって示されるユーザが、サーバ装置１６０にログインする際に利用するアカウントを示す情報である。

　パスワード１８３０は、対応付けられているユーザ名１８１０によって示されるユーザが、サーバ装置１６０にログインする際に利用するパスワードのハッシュ値を示す情報である。ログインパスワードは、ユーザが任意に決定し、変更することができる。ユーザがサーバ装置１６０にログインして、所定の手順でパスワードを変更すると、変更したユーザに該当するパスワード１８３０の値が書き換えられる。

　属性情報１８４０は、対応付けられているユーザ名１８１０によって示されるユーザの属性情報（例えば、住所、電話番号、生年月日等）を示す情報である。

　機種１８５０は、機器制御システム１００に含まれる機器１４０及び操作端末１３０のうち、対応付けられているユーザ名１８１０によって示されるユーザによって利用される機器１４０又は操作端末１３０の機種を示す情報である。

　型番１８６０は、対応付けられている機種１８５０によって示される機種の機器１４０又は操作端末１３０についての型番を示す情報である。

　セキュリティモジュールＩＤ１８７０は、対応付けられている型番１８６０によって示される型番の機器１４０又は操作端末１３０に挿入される、第１セキュリティモジュール１１０又は第２セキュリティモジュール１２０の記憶するセキュリティモジュールＩＤを示す情報である。

　遠隔操作の対象の機器は、ユーザが、サーバ装置１６０にログインして、所定の手順で登録を行う。ユーザは、遠隔操作する機器を複数登録することができ、登録する機種の情報を書き換えることによって、機器を追加したり、削除したりすることができる。

　（機能情報１９００）
　図１９は、機能情報管理手段１７４０によって記憶される機能情報１９００の一例についてのデータ構成図である。

　機能情報１９００は、各機器に格納されている機器情報１０００をまとめたものである。機種、型番で特定される機器ごとに遠隔操作できる機能及びセキュアレベルが対応付けられて、一元的にサーバ装置１６０の機能情報管理手段１７４０に記憶される。

　同図に示されるように、機能情報１９００は、機種１９１０と型番１９２０と機能１９３０とセキュアレベル１９４０とが対応付けられて構成される。

　機種１９１０は、機器制御システム１００に含まれる機器１４０の機種を示す情報である。

　型番１９２０は、機器制御システム１００に含まれる機器１４０の型番を示す情報である。

　機能１９３０は、対応付けられている型番１９２０によって示される型番の機器１４０の有する電子機器としての機能のうち、操作端末１３０によって制御可能となる機能を示す情報である。

　セキュアレベル１９４０は、対応付けられている機能１９３０を、操作端末１３０を利用して制御する際に必要となる、操作端末１３０のセキュアレベルを示す情報であって、セキュアレベル１０４０（図１１参照）と同様のものである。

　（コマンド情報２０００）
　図２０に、コマンド情報２０００のデータ構造とデータの一例を示す。

　コマンド情報２０００は、図２０に示すように、項目として、機種２０１０、型番２０２０、機能２０３０、及びコマンド２０４０を有する。

　機種２０１０、型番２０２０、機能２０３０の項目は、それぞれ図１９に示した機能情報１９００の機種１９１０、型番１９２０、機能１９３０と同じである。

　コマンド２０４０は、機能２０３０で示される機能それぞれに対応し、機器にその機能を実行させるための実行コマンドを格納するための項目である。コマンド情報２０００は、機能情報１９００と同様に機能情報管理手段１７４０に記憶される。

　サーバ装置１６０は、操作端末１３０から操作指示を受け取った場合に、このコマンド情報２０００に基づいて、その操作指示で示された機能に対応した実行コマンドを操作対象の機器に送信する。

　（動作条件情報３０００）
　図２１に、動作条件情報３０００のデータ構造とデータの一例を示す。

　動作条件情報３０００は、図２１に示すように、項目として、機種３０１０、型番３０２０、機能３０３０、動作条件３０４０を有する。

　機種３０１０、型番３０２０、機能３０３０の項目は、それぞれ図１９に示した機能情報１９００の機種１９１０、型番１９２０、機能１９３０と同じである。

　動作条件３０４０は、操作対象の機器が動作条件３０４０に示される動作中に、機能３０３０で示される機能を実行させる操作指示がなされた場合、機能３０３０で示される機能を実行するか否かを判断するための条件を格納する項目である。例えば、図２１の例では、機種３０１０が「エアコン」であり、型番３０２０が「ＣＳ－Ｘ２５２０Ｃ」である機器の場合、「電源ＯＦＦ」を示す操作指示は、このエアコンが「運転中」であるとすると、「拒否」するように設定されている。すなわち、この条件が設定されていると、エアコンが運転中であれば、遠隔操作によってこのエアコンの電源をＯＦＦにする操作を行うことはできない。また、同様に運転の切り替えも「運転中」は、行うことはできない。なお、ここで、「運転中」とは、エアコンの電源がＯＮされており、稼働している状態をいう。

　図２１の例では、型番が「ＤＭＲ－ＢＺＴ８２０」のレコーダは、録画中には、電源ＯＦＦの操作は行えないように設定されている。また、型番が「ＮＡ－ＶＨ３００Ｌ」の洗濯機は、「洗濯中」に、型番が「ＳＲ－ＳＰＸ１０３」の炊飯器は、「炊飯中」に、電源をＯＦＦにする操作は行えないように設定されている。

　なお、動作条件３０４０が「－」で示されている機能については、動作条件が設定されていないことを意味し、例えば、図２１の例では、型番３０２０が「ＣＳ－Ｘ２５２Ｃ」のエアコンは、どのような動作状態であっても、「タイマセット」を遠隔操作によって行えることを示す。

　（位置条件情報３１００）
　図２２に、位置条件情報３１００のデータ構造とデータの一例を示す。

　位置条件情報３１００は、図２２に示すように、項目として、機種３１１０、型番３１２０、機能３１３０、位置条件３１４０を有する。

　機種３１１０、型番３１２０、機能３１３０の項目は、それぞれ図１９に示した機能情報１９００の機種１９１０、型番１９２０、機能１９３０と同じである。

　位置条件３１４０は、機能３０３０で示される機能を実行させるための操作指示がなされた場合に、操作指示を行った操作端末１３０と操作対象の機器１４０との距離に基づいて、機能３１３０で示される機能の実行を行うか否かを判断するための条件を格納する項目である。例えば、図２２の例では、型番が「ＣＳ－Ｘ２５２Ｃ」のエアコンは、操作指示を行った際の操作端末１３０とこのエアコンとの距離が１０ｋｍ以下の場合に、「電源ＯＮ」、「運転切替」、及び「タイマセット」の機能の実行は許可され、１０ｋｍを越える場合には、これらの機能の実行は拒否される。

　なお、位置条件３１４０が「－」で示されている機能については、動作条件情報３０００の動作条件３０４０と同様に、条件が設定されていないことを意味する。例えば、図２２の例では、型番３１２０が「ＣＳ－Ｘ２５２Ｃ」のエアコンは、操作端末１３０とこのエアコンの設置位置との距離に関係なく、「電源ＯＦＦ」の機能の実行を許可するように設定されている。

　（日時条件情報３２００）
　図２３に、日時条件情報３２００のデータ構造とデータの一例を示す。

　日時条件情報３２００は、図２３に示すように、項目として、機種３２１０、型番３２２０、機能３２３０、日時条件３２４０を有する。

　機種３２１０、型番３２２０、機能３２３０の項目は、図１９に示した機能情報１９００の機種１９１０、型番１９２０、機能１９３０の項目とそれぞれ同じである。

　日時条件３２４０は、機能３２３０で示される機能を実行させるための操作指示がなされた場合に、操作指示を行った際の日時に基づいて、機能３２３０で示される機能の実行を行うか否かを判断するための条件を格納する項目である。例えば、図２３の例では、型番が「ＣＳ－Ｘ２５２Ｃ」のエアコンは、「運転切替」の機能において、「暖房」運転に切り替える操作指示がされた場合、その操作指示が６月～９月の間にされたときは、「暖房」運転に切り替える操作指示の実行を拒否するように設定されている。また、「冷房」運転に切り替える操作指示を１１月～３月の間に行ったとしても、その操作指示を拒否するように設定されている。なお、日時条件が「－」で示されている機能については、条件が設定されていないことを示す。例えば、図２３の例では、型番が「ＣＳ－Ｘ２５２Ｃ」のエアコンは、「電源ＯＮ」、「電源ＯＦＦ」、及び「タイマセット」の機能は、日時に関係なくその機能の実行が許可される。

　また、型番が「ＮＡ－ＶＨ３００Ｌ」の洗濯機は、「２２時～翌５時」までの間に、操作端末１３０が「電源ＯＮ」の機能を実行させる操作指示を行っても、その機能の実行を拒否し、それ以外の時間においては、「電源ＯＮ」の機能の実行を許可するように設定されている。

　なお、ここでいう日時は、時間に関する広い意味で用いており、単に「日」や「時刻」だけではなく、例えば「年」、「月」及び「季節」を含む。

　（気温条件情報３３００）
　図２４に、気温条件情報３３００のデータ構造とデータの一例を示す。

　気温条件情報３３００は、図２４に示すように、項目として、機種３３１０、型番３３２０、機能３３３０、気温条件３３４０を有する。

　機種３３１０、型番３３２０、機能３３３０の項目は、それぞれ図１９に示した機能情報１９００の機種１９１０、型番１９２０、機能１９３０と同じである。

　気温条件３３４０は、機能３３３０で示される機能を実行させるための操作指示がなされた場合に、操作指示を行った際の、対象機器の設置場所における気温に基づいて、機能３３３０で示される機能の実行を行うか否かを判断するための条件を格納する項目である。例えば、図２４の例では、型番が「ＣＳ－Ｘ２５２Ｃ」のエアコンは、「運転切替」の機能において、「暖房」運転に切り替える操作指示がされた場合、気温が摂氏２５度以上あるときには、その機能の実行を拒否するように設定されている。また、「冷房」運転に切り替える操作指示がされた場合、気温が摂氏２０度以下のときには、その機能を拒否するように設定されている。
なお、気温条件が「－」で示されている機能については、条件が設定されていないことを示す。例えば、図２４の例では、型番が「ＣＳ－Ｘ２５２Ｃ」のエアコンは、「電源ＯＮ」、「電源ＯＦＦ」、及び「タイマセット」の機能は、気温に関係なくその機能の実行が許可されるように設定されている。

　（在室時条件情報３４００）
　図２５に、在室時条件情報３４００のデータ構造とデータの一例を示す。

　在室時条件情報３４００は、図２５に示すように、項目として、機種３４１０、型番３４２０、機能３４３０、在室時３４４０を有する。

　機種３４１０、型番３４２０、機能３４３０の項目は、それぞれ図１９に示した機能情報１９００の機種１９１０、型番１９２０、機能１９３０と同じである。

　在室時３４４０、機能３２３０で示される機能を実行させるための操作指示がなされた場合に、操作対象の機器の周囲に人のいることが検知されているときに、その機能の実行を行うか否かの条件を格納する項目である。在室時３４４０の値が「拒否」は、操作対象の機器の周囲に人のいることが検知されている場合には、実行されない設定であることを示し、「許可」は、人が検知されている場合でもその機能の実行を許可する設定であることを示す。なお、人が検知されない場合には、これらの機能の実行は許可される。

　例えば、図２５の例では、型番が「ＣＳ－Ｘ２５２Ｃ」のエアコンは、その周囲に人が検知されている場合には、「電源ＯＮ」、「電源ＯＦＦ」、及び「運転切替」の機能は、その実行を拒否するように設定されており、「タイマセット」の機能は、人が検知されている場合でも、その実行を許可するように設定されている。また、型番が「ＤＭＲ－ＢＺＴ８２０」のレコーダは、その周囲に人が検知されている場合には、「電源ＯＮ」及び「電源ＯＦＦ」の機能は、その実行を拒否するように設定されており、「録画予約」の機能は、人が検知されている場合でも、その実行を許可するように設定されている。

　＜１．４　動作＞
　次に、以上のように構成される機器制御システム１００の行う動作について、図面を参照しながら説明する。

　＜１．４．１　操作端末１３０の動作＞
　まず、操作端末１３０の処理動作について説明する。

　図２６は、操作端末１３０における操作指示を行う際の処理のフローチャートである。

　ユーザは、機器１４０を遠隔操作する場合には、操作端末１３０を用いて、サーバ装置１６０にログインを行い、操作メニューに従って操作指示を行う。

　操作端末１３０は、ユーザがサーバ装置１６０にログインするために入力したユーザアカウントとログインパスワードとを受け付ける（ステップＳ１０）。

　受け付けたユーザアカウントとログインパスワードを、操作端末１３０の通信手段３５０を介してサーバ装置１６０に送信する。このとき、第１セキュリティモジュールから受け取ったセキュリティモジュールＩＤもサーバ装置１６０に送信する（ステップＳ１１）。

　次に、サーバ装置１６０によって、ログイン承認されたか否かを判定する（ステップＳ１２）。具体的には、サーバ装置１６０から送られてくるログインを許可するか否かを示す情報によって承認されたか否かを判定する。

　サーバ装置１６０からログインを拒否する旨の情報を受け取った場合（ステップＳ１２：ＮＯ）には、ステップＳ１０に戻る。

　一方、サーバ装置１６０からログインを許可する旨の情報を受け取った場合（ステップＳ１２：ＹＥＳ）、遠隔操作可能な機器の一覧を、サーバ装置１６０から取得する（ステップＳ１３）。

　表示手段３１０は、取得した機器の一覧をタッチパネル２４０に表示し、その表示を見ながら、ユーザはタッチパネル２４０を操作して、操作対象の機器を選択する。

　操作受付手段３２０は、このユーザの操作を受け付け、制御手段３００は、受け付けた操作に基づいて操作対象の機器を決定する（ステップＳ１４）。

　ユーザは、更に、タッチパネル２４０を操作して、操作対象の機器に実行させる機能を選択する。操作受付手段３２０は、選択された機能を受け付け、制御手段３００は、この選択された機能に基づいて操作指示を決定する（ステップＳ１５）。

　制御手段３００は、決定した操作指示を、通信手段３５０を介してサーバ装置１６０に送信する（ステップＳ１６）。

　次に、制御手段３００は、環境情報取得手段３２５で取得した環境情報を、通信手段３５０を介して送信する。ここで、操作端末１３０が送信する環境情報は、具体的には、ＧＰＳ受信機２８５で取得した位置に係る情報に基づく操作端末１３０の現在の位置情報（例えば、緯度経度の値）である。

　＜１．４．２　サーバ装置１６０の処理動作＞
　次に、サーバ装置１６０の処理動作について説明する。

　図２７は、操作端末１３０から遠隔操作に係るアクセスがあった場合のサーバ装置１６０における処理のフローチャートである。

　サーバ装置１６０の制御手段１７００は、通信手段１７５０を介して、操作端末１３０が図２６のステップＳ１１で送信したログイン情報を受信する（ステップＳ２０）。

　制御手段１７００は、受信したログイン情報の認証を行う（ステップＳ２１）。

　制御手段１７００は、操作端末１３０のログインを許可しないと判断した場合（ステップＳ２２：ＮＯ）、ログインを拒否する旨の情報を、通信手段１７５０を介して操作端末１３０に送信し（ステップＳ２３）、ステップＳ２０に戻り、操作端末１３０からのログイン情報の入力を待つ。

　一方、制御手段１７００は、操作端末１３０のログインを許可すると判断した場合（ステップＳ２２：ＹＥＳ）、ログインを許可する旨の情報を、通信手段１７５０を介して操作端末１３０に送信する（ステップＳ２３）。

　次に、制御手段１７００は、ユーザ情報管理手段１７３０に格納されているユーザ情報１８００を参照して、ログインを許可したユーザアカウントに登録されている機器の一覧を抽出する。また、制御手段１７００は、機能情報管理手段１７４０に格納されている機能情報１９００を参照して、抽出した機器ごとに、操作可能な機能を抽出する。そして、制御手段１７００は、通信手段１７５０を介して、抽出した機器の一覧と機器ごとに操作可能な機能の一覧を操作端末１３０に送信する（ステップＳ２５）。

　制御手段１７００は、操作端末１３０からの操作指示を待ち（ステップＳ２６）、操作端末１３０から操作指示を受信する（ステップＳ２６：ＹＥＳ）と、操作指示を行った操作端末１３０に環境情報（例えば、操作端末の現在の位置情報）を要求する（ステップＳ２７）。そして、操作端末１３０が図Ｓ２６のステップＳ１７で送信した環境情報（例えば、操作端末の現在の位置情報）を受信する（ステップＳ２８）。

　次に、制御手段１７００は、操作対象の機器１４０に対して通信手段１７５０を介して、環境情報を要求する（ステップＳ２９）。ここで、制御手段１７００が要求する機器の環境情報は、例えば、機器の動作状態（例えば、稼働中か否か等の情報）、機器の設置位置（例えば、設置場所の緯度経度）、現在の日時（年月を含む）の情報、機器周辺の気温、機器周辺に人がいるか否かを示す情報である。本実施の形態のサーバ装置１６０は、これらの環境情報を全て操作対象の機器１４０に要求するものとする。

　制御手段１７００は、操作対象の機器１４０から、機器１４０に係る環境情報を、通信手段１７５０を介して受信する（ステップＳ３０）。

　判断手段１７２０は、制御手段１７００が受信した環境情報と、環境条件記憶手段１７３５に記憶されている動作条件情報３０００、位置条件情報３１００、日時条件情報３２００、気温条件情報３３００、及び在室時条件情報３４００とを比較し、操作対象に機器に対して操作指示で示された機能の実行を許可するか否かの判定を行う（ステップＳ３１）。判断手段１７２０が、操作指示で示された機能の実行を許可しないと判定した場合（ステップＳ３１：ＮＯ）には、制御手段１７００は、操作指示を行った操作端末１３０へ、通信手段１７５０を介して、実行不許可を示す情報を送信し（ステップＳ３２）、ステップＳ２６に戻り、操作端末１３０からの操作指示を待つ。

　一方、判断手段１７２０が、操作指示で示された機能の実行を許可すると判定した場合（ステップＳ３１：ＹＥＳ）、コマンド発行手段１７６０は、機能情報管理手段１７４０に記憶されているコマンド情報２０００を参照して、実行する機能に対応した実行コマンドを抽出し、抽出した実行コマンドを、通信手段１７５０を介して、操作対象の機器１４０に送信する（ステップＳ３３）。

　以下、具体的な例として、操作端末１３０から、ユーザＡが操作可能なエアコンとして登録されているセキュリティモジュールＩＤが「０ｘＣ６３６９４ＡＤ」である型番が「ＣＳ－Ｘ２５２Ｃ」のエアコン（図１８参照）に対して、実行させる機能として「運転切替（ここでは、暖房運転への切り替え）」を示す操作指示を行う場合の機能の実行を許可するか否かの判定の手順を説明する。

　図２８は、操作対象の機器１４０であるエアコンの運転を暖房運転に切り替える操作指示の際のサーバ装置１６０における運転切替を許可するか否かを判定する処理のフローチャートである。

　判断手段１７２０は、エアコンが「運転中」であるか否かを判定する（ステップＳ４０）。具体的には、図２７のステップＳ３０で取得した環境情報の１つである機器の動作状態が、「運転中」を示す場合に、機器１４０が運転中であると判断する。ステップＳ４０でＹＥＳの場合には、動作条件情報３０００において、機能３０３０が「運転切替」に対応する動作条件３０４０は、「運転中：拒否」であるので、暖房運転への運転切替を拒否して、実行コマンドを機器１４０に送信しない（ステップＳ４６）。

　一方、エアコンが運転中でない場合（ステップＳ４０：ＮＯ）、判断手段１７２０は、操作指示を行った操作端末１３０と、エアコンの設置場所との距離を計算し、その距離が１０ｋｍ以上であるか否かを判定する。具体的には、図２７のステップＳ２８で取得した操作端末１３０の位置情報（例えば、緯度経度の値）と、同図のステップＳ３０で取得したエアコンの設置位置（例えば、緯度経度の値）とから距離を計算する。計算した距離が１０ｋｍ以上と判定した場合（ステップＳ４１：ＹＥＳ）、ステップＳ４６の処理を行う。計算した距離が１０ｋｍ未満の場合（ステップＳ４１：ＮＯ）、操作指示が行われた時期が６月～９月の間であるか否かを判定する（ステップＳ４２）。具体的には、図２７のステップＳ３０で取得した現在の日時から「月」の情報を抽出し、６月～９月に該当するか否かを判断する。抽出した「月」の情報が６月～９月であれば（ステップＳ４２：ＹＥＳ）、ステップＳ４６の処理を行う。一方、６月～９月でなければ（ステップＳ４２：ＮＯ）、エアコンの設置場所の気温が摂氏２５度以上であるか否かを判定する（ステップＳ４３）。具体的には、図２７のステップＳ３０で取得した機器周辺の気温で示される温度が、摂氏２５度以上であるか否かを判断する。この機器周辺の気温で示される温度が摂氏２５度以上である場合（ステップＳ４３：ＹＥＳ）、ステップＳ４６の処理を行う。

　一方、摂氏２５度未満の場合には、判断手段１７２０は、エアコンの周囲に人がいるか否かを判定する（ステップＳ４４）。具体的には、図２７のステップＳ３０で取得した機器周辺に人がいるか否かを示す情報に基づいて判断する。機器周辺に人がいるか否かを示す情報が機器周辺に人がいることを示す場合（ステップＳ４４：ＹＥＳ）、ステップＳ４６の処理を行う。一方、機器周辺に人がいるか否かを示す情報が機器周辺に人いることを示していない場合（ステップＳ４５：ＮＯ）、判断手段１７２０は、暖房運転への切替の機能の実行を許可する（ステップＳ４５）。

　なお、条件の比較（ステップＳ４０～ステップＳ４４）の順番は、図２８に示す順番に限らない。登録されている条件との比較の順番はどのような順番であってもよい。そして、操作指示で示される機能の実行を許可する条件が複数ある場合、どれか１つでも実行を許可する条件が満たされなければ、判断手段１７２０は、その機能の実行を拒否し、全ての条件が満たされる場合に、その機能の実行を許可する。

　ここで、ステップＳ４１で用いた１０ｋｍという値は、固定された値ではなく、位置条件情報３１００の位置条件３１４０に設定されている１０ｋｍであり、位置条件３１４０に異なる値が設定されている場合には、その異なる値を用いる。例えば、型番が「ＤＭＲ－ＢＺＴ８２０」のレコーダの「電源ＯＮ」を許可するか否かの判断に用いる場合の値は５０ｋｍである。

　また、ステップＳ４２における「６月～９月」や、ステップＳ４３における「摂氏２５度」についても、固定された値ではなく、それぞれ、機能ごとに日時条件３２４０に設定されている値、気温条件３３４０に設定されている値を用いる。

　＜１．４．３　機器１４０の処理動作＞
　次に、操作対象である機器１４０の処理動作について説明する。

　図２９は、操作端末１３０が操作指示を行った際の、操作対象である機器１４０の処理のフローチャートである。

　機器１４０の制御手段９００は、ＳＭ通信手段９３０を介して、機器１４０のコネクタ８６０で接続されている第２セキュリティモジュール１２０と通信を行い、第２セキュリティモジュール１２０を介して、サーバ装置１６０が図２７のステップＳ２９で送信した環境情報の取得要求を受信する（ステップＳ５０：ＹＥＳ）。サーバ装置１６０から環境情報の取得要求を受信しない場合（ステップＳ５０：ＮＯ）、環境情報の取得要求の受信を待つ。

　ステップＳ５０でＹＥＳの場合に、機器１４０の制御手段９００は、サーバ装置１６０から取得要求のあった環境情報を、環境情報取得手段９６０に指示し、環境情報取得手段９６０は、制御手段９００の指示に従い、環境情報を取得し、取得した環境情報を制御手段９００に出力する。そして、制御手段９００は、ＳＭ通信手段９３０を介して環境情報を第２セキュリティモジュール１２０に出力し、第２セキュリティモジュール１２０の制御手段１２００は、受け取った環境情報を、通信手段を介して、サーバ装置１６０に送信する（ステップＳ５１）。

　次に、制御手段９００は、サーバ装置１６０からの実行コマンドを、第２セキュリティモジュール１２０を介して受信したか否かを判定し、受信コマンドを受信していない（ステップＳ５２：ＮＯ）場合にはステップＳ５０からの処理を繰り返す。一方、サーバ装置からの実行コマンドを、コマンド受付手段９１０が受信する（ステップＳ５２：ＹＥＳ）と、制御手段９００は、受信した実行コマンドを実行手段９２０に出力し、実行手段９２０は、機器本体ハードウェア８９０に実行コマンドに対応した処理を実行させる（ステップＳ５３）。

　＜１．５　遠隔操作を行う際の機器制御システム１００の動作の具体例＞
　以下、上記機能を備えた操作端末１３０、機器１４０、及びサーバ装置１６０を備えた機器制御システムにおいて、操作端末１３０を用いて機器１４０を遠隔操作する場合の一例について処理動作を具体的に説明する。

　図３０は、操作端末１３０の表示手段３１０に表示されるＵＩ（ユーザインタフェース）の一例を示す。また、図３１は、遠隔操作の際の処理シーケンスの一例である。

　まず、ユーザは、機器１４０の遠隔操作を行う際に、図３０で示されるようなログイン画面４０００に、サーバ装置１６０に登録している自身のユーザアカウントとパスワードを入力し、サーバ装置１６０へのログインを行う（ステップＳ１１０）。具体的には、ユーザがユーザアカウントとパスワードを入力し［ＯＫ］ボタンを押すと、操作端末１３０の制御手段３００は、ログイン情報として、入力されたユーザアカウントとパスワードと第１セキュリティモジュール１１０のセキュリティＩＤとを暗号処理手段で暗号化して、通信手段３５０を介してサーバ装置１６０に送信する。

　サーバ装置１６０は、受信したログイン情報の認証を行う（ステップＳ１１１）。具体的には、操作端末１３０が送信したログイン情報を受信し、受信したログイン情報を暗号処理手段１７１０で復号し、ユーザ情報管理手段１７３０に格納されているユーザ情報１８００を参照して、受信したログイン情報の正当性を検証する。

　ログインが正当であると判断した場合には、サーバ装置１６０は、ユーザアカウントで特定されるユーザが遠隔操作する機器として予めユーザ情報１８００に登録されている機器を抽出し、抽出した機器のリストを操作端末１３０に送信する（ステップＳ１１２）。

　操作端末１３０は、サーバ装置１６０から送信された機器のリストを受信し、受信した機器のリストに基づいて、図３０の機器メニュー４０１０のように、このユーザが遠隔操作できる機器リストを表示手段３１０に表示する（ステップＳ１１３）。

　ユーザは、機器メニュー４０１０に表示されている機器のリストから遠隔操作したい機器を選択する。具体的には、例えば、図３０の機器メニュー４０１０で、ユーザがエアコンの操作を選択するために、エアコンのプルダウンボタン４０１１を押す操作をすると、同図の機能メニュー４０２０で示すように、操作できる機能のリストが表示される。

　ユーザは、更に、表示されている機能のリストから、操作指示を行う機能を選択する。同図の機能メニュー４０２０の例では、電源ＯＮ／ＯＦＦの機能４０２１を選択している。ユーザが、電源ＯＮ／ＯＦＦの機能４０２１を選択すると、操作端末１３０は、表示手段３１０に電源ＯＮ／ＯＦＦの機能４０２１の設定メニュー４０３０を表示する。ユーザは、表示された設定メニュー４０３０で設定したい操作を選択する。図３０の例では、電源をＯＮにする操作を選択している。ユーザが操作を選択し、設定ボタンを押すと、操作端末１３０は、選択された操作に対応した操作指示をサーバ装置１６０に送信する（ステップＳ１１４）。

　サーバ装置１６０は、操作端末１３０が送信した操作指示を受信する（ステップＳ１１５）。サーバ装置１６０は、操作端末１３０から操作指示を受信すると、操作指示を送信した操作端末１３０に、操作端末１３０の環境情報（例えば、現在の位置情報）の要求を送信する（ステップＳ１１６）。

　操作端末１３０は、サーバ装置１６０に環境情報（例えば、現在の位置情報）を送信する（ステップＳ１１７）。

　サーバ装置１６０は、操作端末１３０が送信した環境情報を受信する（ステップＳ１１８）と、操作対象の機器１４０に対して、環境情報を要求する（ステップＳ１１９）。

　機器１４０は、サーバ装置１６０から環境情報の要求があると、自機の環境情報をサーバ装置１６０に送信する（ステップＳ１２０）。

　サーバ装置１６０は、機器１４０からの環境情報を受信する（ステップＳ１２１）と、操作端末１３０から受信した環境情報と、機器１４０から受信した環境情報とに基づいて、予め記憶している環境条件を参照して、操作指示を実行するか否かの判定を行う（ステップＳ１２２）。サーバ装置１６０は、操作端末１３０からの操作指示に示された機能の実行を行わないと判定した場合（ステップＳ１２２：ＮＯ）は、操作端末１３０に、操作指示で示された機能を実行しなかった旨のメッセージを送信する（ステップＳ１２６）。

　操作端末１３０は、サーバ装置１６０が送信したメッセージを受信する（ステップＳ１２７）と表示手段３１０にメッセージを表示し、ユーザに告知する（ステップＳ１２８）。

　一方、サーバ装置１６０は、操作端末１３０からの操作指示で示された機能の実行を行うと判定した場合（ステップＳ１２２：ＹＥＳ）は、操作指示で示された機能に対応した実行コマンドを操作対象の機器１４０に送信する（ステップＳ１２３）。

　機器１４０は、サーバ装置１６０から実行コマンドを受信する（ステップＳ１２４）と、実行コマンドで示される処理を実行する（ステップＳ１２５）。
＜２．実施の形態２＞
　＜２．１　概要＞
　実施の形態１の機器制御システム１００では、サーバ装置１６０が、操作端末１３０からの操作指示の実行を行わないと判断すると、サーバ装置１６０は、機器１４０に対して実行コマンドを送信しないので、機器１４０では、遠隔操作による機能の実行は行われない。

　本実施の形態に係る機器制御システム１００Ｂでは、サーバ装置１６０が、一旦、操作端末１３０からの操作指示で示された機能の実行を行わないと判断しても、再度、ユーザに対して、操作指示で示された機能の実行を強制的に行うか否かの確認を行う。そして、所定の条件を満たした場合には、強制的に操作指示で示された機能の実行コマンドを機器１４０に送信する。

　以下、機器制御システム１００と共通の構成については、説明を省略し、異なる点を重点的に説明する。

　＜２．２　構成＞
（機器制御システム１００Ｂ）
　機器制御システム１００Ｂの構成は、実施の形態１の機器制御システム１００と基本的に同じであるが、機器制御システム１００の構成に加えて、更に操作端末１３０Ｂを備える点で異なる。
（操作端末１３０Ｂ）
　操作端末１３０Ｂの構成及び機能は、操作端末１３０と基本的に同じである。操作端末１３０Ｂは、操作端末１３０の機能に加えて、後述するユーザ情報１８００ＢのＥメールアドレス１８３５に登録されているＥメールアドレス宛てに送信されたＥメールを受信する機能を有する。また、送信されたＥメールに従って、強制的に実行させるための操作指示を行う機能を備える。

　（サーバ装置１６０）
　サーバ装置１６０のユーザ情報管理手段１７３０がユーザ情報１８００の代わりに後述するユーザ情報１８００Ｂを格納している点が異なる。

　更に、本実施の形態のサーバ装置１６０は、実施の形態１のサーバ装置１６０の機能に加えて、操作端末１３０からの操作指示で示される機能の実行を拒否した場合に、その操作指示を行ったユーザに対応したＥメールアドレスに、強制実行を行うか否かを問い合わせるためのＥメールを送信する機能を有する。更に、操作端末１３０Ｂからの強制実行の操作指示を検証し、強制実行を行うか否かの判断を行い、その判断に基づいて強制実行の制御を行う機能を備える。

　＜２．３　データ＞
　（ユーザ情報１８００Ｂ）
　ユーザ名１８１０、ユーザアカウント１８２０、パスワード１８３０、属性情報１８４０、機種１８５０、型番１８６０、セキュリティモジュールＩＤ１８７０は、実施の形態１のユーザ情報１８００の項目と同じである。

　ユーザ情報１８００Ｂには、ユーザ情報１８００に比べて、Ｅメールアドレス１８３５と権限レベル１８３６との項目が追加されている。

　Ｅメールアドレス１８３５の項目は、一旦、操作指示で示される機能の実行を拒否した場合に、強制実行を行うか否かの問い合わせを行うためのＥメールの送信先のＥメールアドレスを格納する項目である。

　権限レベル１８３６の項目は、強制実行を行う権限を有するか否かを示す情報を格納するための項目である。権限レベルが「１」の場合には、強制実行の権限があることを示し、「０」の場合は、強制実行の権限がないことを示す。

　＜２．４　動作＞
　次に、以上のように構成される機器制御システム１００Ｂの行う動作について、図面を参照しながら説明する。

　操作端末１３０の処理動作及び、機器１４０の処理動作は、実施の形態１の操作端末１３０と同じである。

　＜２．４．１　サーバ装置１６０の動作＞
　以下、サーバ装置１６０の処理動作について説明する。

　図３４は、操作端末１３０から遠隔操作に係るアクセスがあった場合のサーバ装置１６０における処理のフローチャートである。

　なお、図３４において、ステップＳ３１より前の処理については、図２７のステップＳ２０～ステップＳ３０と同じであるので省略し、ステップＳ３１から図示している。

　また、ステップＳ３１でＹＥＳの場合の後の処理は、図２７で説明した処理と同じ処理であるのでステップＳ３１でＮＯの場合の処理について説明する。

　ステップＳ３１でＮＯ、すなわち操作端末１３０からの操作指示で示される機能の実行を許可しないと判断した場合には、サーバ装置１６０の制御手段１７００は、ユーザ情報１８００Ｂを参照して、Ｅメールアドレス１８３５に登録されているＥメールアドレス宛てに、強制実行を行うか否かを問い合わせるＥメールを送信する（ステップＳ６０）。なお、本実施の形態では、このＥメールアドレスを受信するのは、操作端末１３０ではなく、操作端末１３０Ｂであるとする。

　次に、制御手段１７００は、所定の時間（例えば５分）強制実行の要求の受信を待ち、所定の時間までに操作端末１３０Ｂから強制実行の要求がなければ（ステップＳ６１：ＮＯ）処理を終了する。一方、通信手段１７５０を介して、所定の時間以内に操作端末１３０Ｂから強制実行の要求を受信した場合（ステップＳ６１：ＹＥＳ）、判断手段１７２０は、受信した強制実行の要求が正当な強制実行の要求か否かを判定する（ステップＳ６２）。具体的には、制御手段１７００は、例えば、Ｅメールを送信する際に、操作指示ごとにユニークなパスフレーズ（例えば、任意の文字列）を生成し、生成したパスフレーズをＥメールの内容に含めて送信する。判断手段１７２０は、受信した強制実行の要求に、制御手段１７００で生成したユニークなパスフレーズと同じパスフレーズが含まれているか否かによって正当な強制実行の要求か否かを判断する。受信した強制実行の要求に含まれるパスフレーズが、制御手段１７００が送信したＥメールに含まれるパスフレーズと一致する場合にのみ、その強制実行の要求が正当であると判断し、受信した強制実行の要求にパスフレーズが含まれていない、又は、パスフレーズが一致しない場合には、正当でないと判断する。

　判断手段１７２０が、正当な強制実行の要求でないと判断した場合（ステップＳ６２：ＮＯ）は、制御手段１７００は、ステップＳ６１でＮＯの場合と同じく、処理を終了する。一方、正当な強制実行の要求であると判断した場合（ステップＳ６２：ＹＥＳ）、判断手段１７２０は、その強制実行の要求が、強制実行の権限があるユーザからの強制実行の要求であるかを判断する（ステップＳ６３）。具体的には、判断手段１７２０は、ユーザ情報１８００Ｂを参照し、強制実行の要求を行ったユーザに対応する権限レベル１８３６に記憶されている情報が「１」である場合には、強制実行の権限があると判断し、「１」以外（例えば「０」）である場合には、強制実行の権限がないと判断する。

　判断手段１７２０が、強制実行の権限がないと判断した場合（ステップＳ６３：ＮＯ）には、制御手段１７００は、制御手段１７００は、ステップＳ６１やステップＳ６２でＮＯの場合と同じく、処理を終了する。一方、強制実行の権限があると判断した場合（ステップＳ６３：ＹＥＳ）、コマンド発行手段１７６０は、機能情報管理手段１７４０に記憶されているコマンド情報２０００を参照して、実行する機能に対応した実行コマンドを抽出し、抽出した実行コマンドを、通信手段１７５０を介して、操作対象の機器１４０に送信する（ステップＳ３３）。

　＜２．５　遠隔操作を行う際の機器制御システム１００Ｂの動作の具体例＞
　以下、上記機能を備えた操作端末１３０、操作端末１３０Ｂ、機器１４０、及びサーバ装置１６０を備えた機器制御システム１００Ｂにおいて、操作端末１３０及び操作端末１３０Ｂを用いて機器１４０を遠隔操作する場合の一例について処理動作を具体的に説明する。

　図３５は、実施の形態２における遠隔操作の際の処理シーケンスの一例である。

　なお、図３５において、ステップＳ１３０より前の動作については、図３１のステップＳ１１０～ステップＳ１２８と同じである。図３５では、説明の便宜上、ステップＳ１２１までは省略し、ステップＳ１２２から図示している。

　ステップＳ１２２でＮＯの場合、サーバ装置１６０は、操作指示を行った操作端末１３０には、操作指示に示された機能の実行を拒否した旨を示すメッセージを送信し（ステップＳ１２６）、ユーザ情報１８００ＢのＥメールアドレス１８３５に登録されているＥメールアドレスに強制実行を行うか否かの問い合わせのＥメールを送信する（ステップＳ１３０）。このＥメールアドレス宛てに送られたＥメールは、操作端末１３０ではなく、操作端末１３０Ｂが受信する（ステップＳ１３１）。

　ユーザは、そのＥメールの内容を確認し、強制実行を行うか否かを判断する。ユーザが強制実行を行うと判断した場合には、ユーザは強制実行を行う指示を操作端末１３０Ｂに入力する。ユーザからの入力を受け付けた操作端末１３０Ｂは、強制実行の要求を送信する（ステップＳ１３２）。

　サーバ装置１６０は、操作端末１３０Ｂから強制実行の要求を受信し、その強制実行の要求が正当であるか否かを判定する（ステップＳ１３３）。なお、正当であるか否かの判定方法については、図３４のステップＳ６２で既に説明している。サーバ装置１６０は、強制実行の要求が正当であると判断した場合（ステップＳ１３３：ＹＥＳ）、強制実行の要求を行ったユーザに強制実行の権限があるか否かを判定する（ステップＳ１３４）。なお、強制実行の権限があるか否かの判定方法については、図３４のステップＳ６３で既に説明している。

　サーバ装置１６０は、強制実行の要求を行ったユーザに強制実行の権限があると判定した場合には、実行コマンドを操作対象である機器１４０に送信する（ステップＳ１３５）。

　機器１４０は、サーバ装置１６０が送信した実行コマンドを受信し（ステップＳ１３６）、実行コマンドに応じた処理を実行する（ステップＳ１３７）。

　一方、ステップＳ１３３又はステップＳ１３４でＮＯの場合には操作端末１３０Ｂに強制実行不許可を示すメッセージを送信する（ステップＳ１３８）。

　操作端末１３０Ｂは、強制実行不許可を示すメッセージを受信し（ステップＳ１３９）、強制実行不許可のメッセージを自機の表示手段３１０に表示する（ステップＳ１４０）。

　＜２．６　まとめ＞
　本実施の形態の機器制御システム１００Ｂは、操作端末１３０からの操作指示で示された機能の実行をサーバ装置１６０が、一旦、その実行を拒否した場合であっても、当該ユーザのＥメールアドレスに、操作端末１３０から送信した操作指示で示された機能を強制的に実行するか否かを問い合わせ、その操作対象の機器を操作する権限を有する正当なユーザからの指示によって、一旦、拒否した操作指示で示された機能の実行を再度判断し、実行することができる。

　これにより、例えば、第三者が不正に機器１４０の操作指示を行い、サーバ装置１６０が、その操作を拒否した場合、不正な操作指示を行った第三者ではなく、サーバ装置１６０に予め登録されている正当なユーザのＥメールアドレスに、問い合わせが送信される。このため、不正な操作指示がされたされたことを正当なユーザは知ることができる。また、もし、正当なユーザによる操作指示による機能の実行が拒否された場合であっても、サーバ装置１６０は、強制実行を行うか否かの問い合わせを行い、ユーザはこの問い合わせに応答することによって、操作指示で示される機能を強制的に実行させることができる。
＜３．実施の形態３＞
　＜３．１　概要＞
　実施の形態１の機器制御システム１００では、ユーザが操作端末１３０を操作して機器１４０の操作指示を行った際に、その操作対象の機器１４０の環境情報を取得した。

　本実施の形態の機器制御システムでは、ユーザがサーバ装置１６０にログインした際に、サーバ装置１６０は、そのユーザが登録している機器の環境情報を取得し、それぞれの機器の機能の実行が可能か否かを判定し、可能な機能のみを操作端末１３０に送信する点で実施の形態１の機器制御システム１００と異なる。

　これにより、ユーザは、サーバ装置１６０へログインした際に、登録している機器ごとに、操作できない機能を知ることができる。すなわち、操作指示を行う前に、操作できる機器及び機能を知ることができ、操作することのできる機能のみから操作を選択して、操作指示を行うことができる。

　以下、実施の形態１の機器制御システム１００と同じ構成、動作については説明を省略し、異なる点を重点的に説明する。

　＜３．２　構成＞
　本実施の形態の機器制御システム１００Ｃは、実施の形態１の機器制御システム１００の構成と同じであるので、説明の便宜上、実施の形態１と同じ符号を用いて説明する。

　本実施の形態のサーバ装置１６０は、操作端末１３０を用いて自機にログインされると、ユーザが操作指示の操作を行う前に、そのユーザが登録している機器それぞれに対して、環境情報取得要求を行い、取得した環境情報に基づいて、各機器のそれぞれの機能について、操作可能であるか否かを判断する。そして、その判断結果に基づいて、操作可能な機器及び機能の情報を操作端末１３０に送信する機能を備える点が、実施の形態１のサーバ装置１６０と異なる。

　また、本実施の形態の操作端末１３０は、ユーザが自端末を操作して、サーバ装置１６０にログインした後、機器メニューを表示する前に、サーバ装置１６０から操作可能な機器及び機能の情報を受信する機能を備える点が実施の形態１の操作端末１３０と異なる。

　＜３．３　動作＞
　次に、以上のように構成される機器制御システム１００Ｃ行う動作について、図面を参照しながら説明する。

　＜３．３．１　操作端末１３０の動作＞
　まず、操作端末１３０の処理動作について説明する。

　図３６は、操作端末１３０における操作指示を行う際の処理のフローチャートである。

　操作端末１３０の操作受付手段３２０は、ユーザがサーバ装置１６０にログインするために入力したユーザアカウントとログインパスワードとを受け付け、受け付けたユーザアカウントとログインパスワードとを制御手段３００へ出力する（ステップＳ７０）。

　制御手段３００は、受け付けたユーザアカウントとログインパスワードとを、操作端末１３０の通信手段３５０を介してサーバ装置１６０に送信する。このとき、第１セキュリティモジュールから受け取ったセキュリティモジュールＩＤもサーバ装置１６０に送信する（ステップＳ７１）。なお、ユーザアカウント、ログインパスワード、及びセキュリティモジュールＩＤは暗号処理手段３６０によって暗号化され、暗号化された情報がサーバ装置１６０に送信される。

　次に、サーバ装置１６０によってログイン承認されたか否かを判定する（ステップＳ７２）。具体的には、サーバ装置１６０から送られてくるログインを許可するか否かを示す情報によって承認されたか否かを判定する。

　サーバ装置１６０からログインを拒否する旨の情報を受け取った場合（ステップＳ７２：ＮＯ）には、ステップＳ７０に戻る。

　一方、サーバ装置１６０からログインを許可する旨の情報を受け取った場合（ステップＳ７２：ＹＥＳ）、自機の環境情報をサーバ装置１６０に送信する（ステップＳ７３）。ステップＳ７３で送信する環境情報は、図２６のステップＳ１７で送信する環境情報と同様の環境情報である。

　次に、遠隔操作可能な機器の一覧を、サーバ装置１６０から取得する（ステップＳ７４）。
なお、実施の形態１のステップＳ１３で取得する機器の一覧が、このユーザが登録している機器全てであったのに対して、このステップＳ７４で取得する機器の一覧は、ユーザが登録している機器のうち、ログインした時点において、操作指示があった場合にその機能の実行を許可し得るとサーバ装置１６０が判断した機能を持った機器のみの一覧である。

　操作受付手段３２０は、このユーザの操作を受け付け、制御手段３００は、受け付けた操作に基づいて操作対象の機器を決定する（ステップＳ７５）。

　ユーザは、更に、タッチパネル２４０を操作して、操作対象の機器に実行させる機能を選択する。なお、ここでタッチパネル２４０には、その機能の実行が可能な機能のみが表示される。すなわち、ユーザが操作指示を行ったとしてもその機能の実行が行われないものについては表示されない。

　操作受付手段３２０は、選択された機能を受け付け、制御手段３００は、この選択された機能に基づいて操作指示を決定する（ステップＳ７６）。

　制御手段３００は、決定した操作指示を、通信手段３５０を介してサーバ装置１６０に送信する（ステップＳ７７）。

　＜３．３．２　サーバ装置１６０の処理動作＞
　次に、サーバ装置１６０の処理動作について説明する。

　図３７は、操作端末１３０から遠隔操作に係るアクセスがあった場合のサーバ装置１６０における処理のフローチャートである。

　図３７のステップＳ８０～ステップＳ８４の処理は、実施の形態１で既に説明した図２７のステップＳ２０～ステップＳ２４の処理とそれぞれ同じである。

　制御手段１７００は、ステップＳ２４の処理を行うと、次に、操作端末１３０に環境情報の取得要求を送信する（ステップＳ８５）。そして、制御手段１７００は、その応答として、操作端末１３０から環境情報を受信する（ステップＳ８６）。

　次に、制御手段１７００は、ユーザ情報１８００を参照し、ログインしているユーザが登録している機器全てに対して、通信手段１７５０を介して、環境情報の取得要求を送信する（ステップＳ８７）。ここで、制御手段１７００が要求する機器の環境情報は、実施の形態１で既に説明した図２７のステップＳ２９で要求する環境情報と同じである。

　次に、判断手段１７２０は、操作端末１３０とユーザが登録している機器とから取得した環境情報に基づいて、ユーザが登録している全ての機器について、機能ごとにその機能の実行が可能か否かの判断を行う。具体的には、実施の形態１の図２７のステップＳ３１で行った方法と同様の方法で、各機能について実行を許可するか否かの判断を行う。そして、判断を行った結果に基づいて操作可能な機器と機能との情報だけを操作端末１３０に送信する（ステップＳ８９）。

　制御手段１７００は、操作端末１３０からの操作指示を待ち（ステップＳ９０）、操作端末１３０から操作指示を受信する（ステップＳ９０：ＹＥＳ）と、コマンド発行手段１７６０は、機能情報管理手段１７４０に記憶されているコマンド情報２０００を参照して、実行する機能に対応した実行コマンドを抽出し、抽出した実行コマンドを、通信手段１７５０を介して、操作対象の機器１４０に送信する（ステップＳ９１）。

　＜３．４　遠隔操作を行う際の機器制御システム１００の動作の具体例＞
　以下、操作端末１３０、機器１４０、及びサーバ装置１６０を備えた機器制御システム１００Ｃにおいて、操作端末１３０を用いて機器１４０を遠隔操作する場合の一例について処理動作を具体的に説明する。

　図３８は、操作端末１３０の表示手段３１０に表示されるＵＩ（ユーザインタフェース）の一例を示す。また、図３９は、本実施の形態の機器制御システム１００Ｃにおける遠隔操作の際の処理シーケンスの一例である。

　まず、ユーザは、機器１４０の遠隔操作を行う際に、図３８で示されるようなログイン画面４１００に、サーバ装置１６０に登録している自身のユーザアカウントとパスワードを入力し、サーバ装置１６０へのログインを行う（ステップＳ２１０）。具体的には、ユーザがユーザアカウントとパスワードを入力し［ＯＫ］ボタンを押すと、操作端末１３０の制御手段３００は、ログイン情報として、入力されたユーザアカウントとパスワードと第１セキュリティモジュール１１０のセキュリティＩＤとを暗号処理手段３６０で暗号化して、通信手段３５０を介してサーバ装置１６０に送信する。

　サーバ装置１６０は、受信したログイン情報の認証を行う（ステップＳ２１１）。具体的には、操作端末１３０が送信したログイン情報を受信し、受信したログイン情報を暗号処理手段１７１０で復号し、ユーザ情報管理手段１７３０に格納されているユーザ情報１８００を参照して、受信したログイン情報の正当性を検証する。

　ログインが正当であると判断した場合には、サーバ装置１６０は、操作端末１３０に環境情報の取得要求を送信し、操作端末１３０は、その取得要求の応答として、環境情報をサーバ装置１６０に送信する（ステップＳ２１２）。そして、サーバ装置１６０は、操作端末１３０から送信された環境情報を受信する（ステップＳ２１３）。

　次に、サーバ装置１６０は、ユーザ情報１８００を参照し、ログインしているユーザが登録している機器全てに対して、環境情報の取得要求を行う（ステップＳ２１４）。

　サーバ装置１６０から、環境情報の取得要求を受信した機器１４０は、その応答として自機の環境情報をサーバ装置１６０に送信する（ステップＳ２１５）。

　サーバ装置１６０は、環境情報の取得要求を送信した機器から、それぞれの機器の環境情報を受信する（ステップＳ２１６）。

　サーバ装置１６０は、操作端末１３０と、それぞれの機器とからの環境情報に基づいて、環境条件記憶手段１７３５に記憶している環境条件情報を参照し、それぞれの機器の機能ごとに、その機能の実行を許可するか否かの判断を行う（ステップＳ２１７）。そして、実行を許可すると判断した機器及び機能の情報である機器リストと操作許可機能情報とを操作端末１３０に送信する（ステップＳ２１８）。

　操作端末１３０は、サーバ装置１６０から送信された機器のリストを受信し、受信した機器のリストに基づいて、図３８の機器メニュー４１１０のように、このユーザが遠隔操作できる機器のリストを表示手段３１０に表示する（ステップＳ２１９）。

　ユーザは、機器メニュー４１１０に表示されている機器のリストから遠隔操作したい機器を選択する。具体的には、例えば、図３８の機器メニュー４１１０で、ユーザがエアコンの操作を選択するために、エアコンのプルダウンボタン４１１１を押す操作をすると、同図の機能メニュー４１２０で示すように、操作できる機能のリストが表示される。なお、図３８の例では、サーバ装置１６０は、エアコンの「電源ＯＮ」と「タイマセット」との機能の実行は、拒否すると判断しており、この場合、図３０の機能メニュー４０２０とは異なり、図３８の機能メニュー４１２０では、これら「電源ＯＮ」と「タイマセット」の機能は表示されていない。

　ユーザは、表示されている機能のリストから、操作指示を行う機能を選択する。同図の機能メニュー４１２０の例では、「運転切り替え」の機能４１２１を選択している。ユーザが、「運転切り替え」の機能４０２１を選択すると、操作端末１３０は、表示手段３１０に「運転切り替え」の機能４１２１の設定メニュー４１３０を表示する。ユーザは、表示された設定メニュー４１３０で設定したい操作を選択する。図３８の例では、冷房に切り替える操作を選択している。ユーザが操作を選択し、設定ボタンを押すと、操作端末１３０は、選択された操作に対応した操作指示をサーバ装置１６０に送信する（ステップＳ２２０）。

　サーバ装置１６０は、操作端末１３０が送信した操作指示を受信する（ステップＳ２２１）。サーバ装置１６０は、操作端末１３０から操作指示を受信すると、操作指示に対応した実行コマンドを操作対象の機器１４０に送信する（ステップＳ２２２）。

　機器１４０は、サーバ装置１６０から実行コマンドを受信する（ステップＳ２２３）と、実行コマンドで示される処理を実行する（ステップＳ２２４）。
＜３．５　まとめ＞
　本実施の形態の機器制御システム１００Ｃでは、サーバ装置１６０から操作端末１３０に、ログイン時の状態において遠隔操作が可能な機能についての情報だけが送信されることになる。すなわち、操作端末１３０がユーザに提示する機器を操作するための機能の一覧は、ログイン時における各機器の状態において実行可能な機能だけであり、ユーザは、操作指示を行う前に、操作指示を行おうとしている機能が実行可能な機能であるか否かを知ることができる。
＜４．変形例＞
　以上、本発明に係る機器制御システムを、実施の形態に基づいて説明したが、以下のように変形することも可能であり、本発明は上述した実施の形態で示した通りの機器制御システムに限られないことは勿論である。

　（１）実施の形態１～３において、サーバ装置１６０は、環境条件を満たすか否かを判断に用いるための環境情報を全て操作対象の機器１４０から取得するとしたが、環境条件の取得は、全てを操作対象の機器から得ることに限らない。環境条件を満たすか否かの判断に用いる環境情報が得られれば、どこから環境情報を得てもよい。例えば、環境情報の一部を、機器１４０とは異なる機器やセンサーから取得してもよいし、サーバ装置１６０が管理しているユーザ情報や機能管理情報等から得てもよい。具体的な例を示すと、操作対象の機器１４０の位置情報は、機器１４０から得るのではなく、ユーザ情報１８００の属性情報１８４０に登録している住所に基づいて算出してもよい。また、図４０のユーザ情報１８００Ｃで示すように、ユーザ情報１８００に位置情報１８８０の項目を追加し、ユーザが登録した機器それぞれについて予め、その位置情報（緯度経度）を登録するようにしておき、この位置情報１８８０から位置情報を取得してもよい。

　また、機器１４０の周囲の状況に係る情報（例えば、人がいるか否かの情報）は、機器１４０と同じ領域に設置された人感センサー等から得てもよい。また、気温や、湿度、年月日時刻等の情報も、機器と同じ領域に設置された、専用のセンサーからそれぞれ得るようにしてもよい。

　これにより、各機器は、環境情報を取得するための同じようなセンサーを搭載する必要がなくなり、サーバ装置は、環境情報を取得する際に、効率よく環境情報を取得することができる。

　（２）実施の形態１及び２において、サーバ装置１６０は、操作指示を行った操作端末１３０の環境情報を取得するとしたが、操作端末１３０の環境情報は、必ず取得することに限らない。操作端末１３０の環境情報は、環境条件に応じて、実行の許否判断に必要な場合に取得すればよい。例えば、操作端末と機器との位置関係に基づく条件が設定されていない機能を実行する操作指示の場合には、操作端末１３０の位置を示す環境情報は必要ないので、取得する必要はない。

　（３）実施の形態１において、機器から環境情報として、機器の動作状態（例えば、稼働中か否か等の情報）、機器の設置位置（例えば、設置場所の緯度経度）、現在の日時（年月を含む）の情報、機器周辺の気温、機器周辺に人がいるか否かを示す情報を全て取得するとしたが、環境情報は、全てを取得することに限らない。操作指示に示される機能を実行するか否かを判断する際に、設定されている環境条件を満たすか否かを判断するために必要な環境情報を取得できればよい。例えば、実施の形態１の機器制御システム１００の場合、レコーダの電源ＯＦＦを実行させる操作指示が行われたときには、少なくともレコーダの動作状態（録画中か否か）及び機器周辺に人がいるか否かの環境情報を取得すればよく、その他の環境情報は取得しなくてもよい。

　（４）実施の形態１～３では、位置条件情報３１００の位置条件を、操作端末１３０と操作対象の機器１４０との距離に基づいて設定し、操作端末と機器との距離に基づいて、操作指示の実行の許否判断を行ったが、許否判断は、操作端末と機器との距離に限られない。機器を操作しようとしている時点での操作端末と機器との位置関係に基づいて、操作指示の機能の実行の許否判断ができればよい。

　例えば、予めある範囲のエリアを定め、操作端末と機器との所在が同じエリアであるか否かに基づいて拒否判断を行うようにしてもよい。例えば、エリアとして、国単位で定めて、機器の設置位置が「日本」である場合に、操作指示を行った操作端末の所在するエリアが「アメリカ」であれば、その操作指示は拒否するようにし、同じエリア、すなわち操作端末の所在するエリアも「日本」であれば、その操作指示の実行を許可するようにしてもよい。なお、エリアの区分は、国単位に限ったものではなく、ある程度まとまりのある単位ごとに区切ることができれば、どのような区分であってもよい。例えば、「都道府県」単位や「市区町村」単位等の行政区画単位であってもよい。

　また、操作端末から機器の操作指示を行い、その操作指示の実行を許可されたときの操作端末と機器との距離を操作履歴として記憶しておき、新たに操作指示を行った際の操作端末と機器との距離と、操作履歴から得られる操作端末と機器との距離との差が、一定の範囲である場合には、新たに行った操作指示の実行を許可するようにしてもよい。

　（５）実施の形態１～３では、複数の環境条件を設定し、機能ごとに設定された環境条件の全てに基づいて、操作指示で示された機能の実行の許否を判断したが、実行許否の判断はこれに限らない。環境条件の設定は１つであってよいし、複数設定されている環境条件のうち、特定の環境条件だけを用いて、操作指示で示された機能の実行許否の判断を行ってもよい。また、環境条件に優先条件を設定して、優先順位の高い環境条件と優先順位の低い環境条件とで、異なる判断結果を生じた場合には、優先順位の高い方の環境条件の判断結果を用いるようにしてもよい。

　（６）実施の形態１～３では、ユーザ情報は、ユーザごとに操作する機器を登録するようにしたが、操作する機器の登録はユーザごとでなくてもよい。ログインしたユーザに対して、操作する機器を特定できればよい。例えば、複数のユーザに同じ機器を登録できるようにしてもよい。具体的には、複数のユーザでグループを作り、そのグループに対して、操作できる機器を登録するようにしてもよい。

　図４１は、グループ単位で登録する場合に、ユーザ情報のデータ構造の一例である。

　（ユーザ情報１８００Ｄ）
　図４１で示すユーザ情報１８００Ｄのユーザ名１８１０、ユーザアカウント１８２０、パスワード１８３０、Ｅメールアドレス１８３５、権限レベル１８３６、属性情報１８４０、機種１８５０、型番１８６０、セキュリティモジュールＩＤ１８７０の項目は、実施の形態２のユーザ情報１８００Ｂの項目と同じである。

　ユーザ情報１８００Ｄは、ユーザ情報１８００Ｂに比べて、グループ１８０１及び種別１８９５の項目が追加されている。

　グループ１８０１は、同一の機器を操作できる複数のユーザのグループを示す情報を格納する項目である。なお、１グループに含まれるユーザは１ユーザであってもよい。

　種別１８９５は、操作される側の機器か操作する側の操作端末であるかを識別するための項目である。種別１８９５の「機器」は操作される側の機器であることを示し、「操作端末」は操作する側の操作端末であることを示す。

　図４１の例では、グループＧには、ユーザＡとユーザＢとが含まれ、同図の機種１８５０で示される「エアコン」、「冷蔵庫」、「レコーダ」、「洗濯機」、「炊飯器」、「スマートフォン」は、グループＧのユーザ、すなわちユーザＡとユーザＢとのどちらもが操作できる機器として登録されていることを示す。機器を操作する場合に、ユーザＡ又はユーザＢは、型番１８６０が「Ｐ－０６Ｄ」又は「Ｐ－０２Ｄ」のスマートフォンを用いて操作指示を行う。

　（７）実施の形態２では、強制実行するか否かの判断をユーザごとに設定した権限レベルで判断を行っていたが、強制実行の権限は、ユーザごとに設定することに限らない。強制実行の要求が行われた場合に、強制実行の権限が確認できればよい。例えば、権限レベルはユーザごとではなく、操作端末ごとに設定されていてもよい。このようにすることで、操作端末が異なれば、ユーザのユーザアカウントとパスワードを不正に使用された場合であっても、強制実行を行える権限レベルが設定されている操作端末でなければ強制実行を行えないので、機器が不正に遠隔操作されることを更に抑止できる。

　また、権限レベルの設定として、強制実行の権限がある（「１」）か、ない（「０」）かの設定であったが、権限レベルの設定は、あるかないかの設定に限らない。強制実行の権限があるかないかを判別できる設定であればよい。例えば、権限レベルを「１」か「０」ではなく順位をつけて設定し、ある一定の順位以上の場合に強制実行の権限があるとしてもよい。

　上述の変形例（３）のように複数のユーザが、同じ機器を操作できる場合において、権限レベルに差をつけて設定してもよい。これにより、異なるユーザから、相反するような操作指示が行われた場合には、権限レベルが上位のユーザからの操作指示を優先するといった処理が行い得る。

　（８）実施の形態２において、強制実行の要求の正当性を、サーバ装置１６０が送信したＥメールに含まれるユニークなパスフレーズが、操作端末１３０からの強制実行の要求に含まれているか否かに基づいて判断したが、強制実行の要求の正当性の判断は、これに限らない。強制実行の要求の正当性が判断できればどのような方法であってもよい。例えば、サーバ装置１６０は、遠隔操作用の通常の操作メニューではなく、強制実行の要求の受付専用の操作メニューを設け、その操作メニューへのアクセス方法をユーザに通知し、その専用の操作メニューにおいて、所定の操作に基づいてユーザが、強制実行の要求を行ったかに基づいて判断してもよい。また、サーバ装置１６０は、一定期間だけ有効な認証パスワードを、操作指示を行ったユーザに発行し、その認証パスワードを用いてアクセスしたか否かに基づいて正当性を判断してもよい。

　更には、サーバ装置を管理して遠隔操作のサービスを行っているサービス提供者のサービスをユーザが利用している場合においては、専用のオペレータへのアクセス方法をＥメールで通知し、そのサービス提供者のオペレータが、アクセスしてきたユーザが正当なユーザか否かを判断して、ユーザが行った操作指示に基づく実行コマンドを操作対象の機器に送信するようにしてもよい。

　（９）サーバ装置１６０が記憶しているユーザ情報１８００のパスワード１８３０には、ログインパスワードのハッシュ値を格納するとしたが、パスワード１８３０に格納する情報はこれに限らない。ユーザがサーバ装置１６０にログインする際に入力したパスワードと比較することによって、ログイン認証ができる情報であればよい。例えば、ログインパスワードそのものを格納してもよいし、ログインパスワードを暗号化した値を格納してもよい。

　（１０）実施の形態２では、操作指示を行った操作端末１３０とサーバ装置１６０から送信されるが、強制実行の問い合わせのＥメールを受信する操作端末１３０Ｂは異なるとしたが、同じ操作端末であってもよい。ユーザ情報に登録されている正当なユーザに対して強制実行の問い合わせが送信できれば、はじめに操作指示を行う操作端末と強制実行の要求を行う際の操作端末は異なっていなくてもよい。

　（１１）実施の形態２では、機器メニュー４１１０及び機能メニュー４１２０において、ユーザがサーバ装置１６０にログインした時点で操作可能な機器や、実行可能な機能のみが表示されるとしたが、これらメニューの表示態様は、これに限らない。操作できる機器であるか否か、及び実行可能な機能であるか否かがユーザに識別できるように表示できれば、どのような表示態様であってもよい。例えば、図４２の機能メニュー４２２０で示すように、実行不可の機能（同図の例では電源ＯＮ及びタイマセット）を実行可能の機能と異なる態様（例えば、反転表示、異なる色での表示、グレーアウトでの表示等）で表示するようにしてもよい。更に、ユーザが実行不可の機能を選択できないような態様で表示してもよい。

　ある１つの機器について、実行できる機能が１つもなければ、機器メニュー４２１０において、その機器についての表示を行わないようにしてもよいし、実行できる機能がある機器と異なる態様（例えば、反転表示、異なる色での表示、グレーアウトでの表示等）で表示してもよい。また、実行できる機能がない機器は選択できないような態様で表示してもよい。

　（１２）実施の形態１～３では、通信用ＬＳＩ１１１０とホームゲートウェイ１５０との間でなされる通信は、Bluetooth規格に準拠して行われるとしたが、通信用ＬＳＩ１１１０とホームゲートウェイ１５０との通信はBluetoothに規格に限られない。通信用ＬＳＩ１１１０とホームゲートウェイ１５０との間で通信ができればどのような通信方法であってもよい。例えば、WiFi（登録商標）のような無線通信であってもよいし、有線ＬＡＮで接続した通信であってもよい。

　（１３）実施の形態１～３では、ユーザアカウント、パスワードを用いて、サーバ装置へログインを認証するとしたが、これに限定されるものではない。それらに加えて、又はそれらの代わりに、指紋や虹彩などの生体情報（生体認証）を利用して認証する構成であってもよい。また、ユーザアカウントやパスワードを入力せず、セキュリティモジュールのＩＤ情報を送信することでログイン状態にしたり、操作可能な操作端末の一覧を受信したりする構成であってもよい。

　（１４）実施の形態１～３では、宅外の操作端末を用いて宅内の機器を操作する構成としたが、操作端末は宅外に限らない。サーバ装置と通信できれば、操作する際の操作端末の位置は、どこにあってもよい。例えば、操作端末は、宅内であってもよく、宅内の同じ部屋又は別の部屋の機器を遠隔操作する構成であってもよい。

　また、操作端末は、スマートフォンに限らない。機器を遠隔から操作するための操作指示を行えれば、どのようなものであってもよい。例えば、操作遠隔操作専用のコントローラであってもよいし、パソコン等の情報機器であってもよい。

　更に、操作される側の機器は、一般家庭で用いられる家電機器に限らない。車・電車・飛行機等に設置されている機器、病院に設置されている医療機器、オフィス・工場の業務用機器等であってもよい。

　（１５）実施の形態１～３において、サーバ装置が、各機器からの環境情報の取得、環境情報に基づいた操作指示に示された機能の実行の許否を判断する機能を備えるとしたが、これらの機能を１つのサーバ装置で行うことに限らない。機器制御システム全体で、上述した機器の遠隔操作の制御が行えれば、サーバ装置で行うこれらの機能を複数の装置で行ってもよい。また、その他の機能も機器制御システムを構成するどの装置で行ってもよい。例えば、ホームゲートウェイ１５０が、自機と通信可能な機器から環境情報を取得する機能や、操作指示に示される実行コマンドの発行を行って、操作対象の機器に送信する機能を備えてもよい。この場合、ホームゲートウェイ１５０は、取得した環境情報をサーバ装置１６０に送信し、操作指示をサーバ装置１６０から受信する。

　また、操作端末１３０に、自機によって操作できる機器について、サーバ装置１６０が管理している環境条件情報と同じ環境条件情報を予め記憶させておき、操作端末１３０で、
ユーザが指示した操作指示に示された機能を実行するか否かの判断をしてもよい。このとき、サーバ装置１６０は、自機が取得した機器１４０の環境情報を操作端末１３０に送信する。

　（１６）実施の形態において説明した各構成要素のうち、全部又は一部を１チップ又は複数チップの集積回路で実現してもよいし、コンピュータのプログラムで実現してもよいし、その他どのような形態で実現してもよい。

　また、実施の形態において説明した各構成要素は、サーバ装置、操作端末、機器、及び第１、第２セキュリティモジュールが有するプロセッサと協働することにより、その機能を実現する。

　（１７）本発明に係る機器制御方法を、コンピュータプログラムを用いてコンピュータにより実現してもよいし、前記コンピュータプログラムからなるデジタル信号として伝送してもよい。

　また、本発明は、前記コンピュータプログラム又は前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ―ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕ－ｒａｙ　Ｄｉｓｃ）（登録商標）、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記コンピュータプログラム又は前記デジタル信号であるとしてもよい。

　また、本発明に係るコンピュータプログラム又はデジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

　（１８）上記実施の形態及び上記変形例をそれぞれ適宜組み合わせるとしてもよい。
＜５．補足＞
　以下、更に本発明の一実施形態としての機器制御システムの構成及びその変形例と効果について説明する。

　（１）本発明に係る機器制御方法は、操作端末を用いて、サーバ装置を介して機器の遠隔操作を行う機器制御システムにおける機器制御方法であって、前記機器を操作するための操作指示を前記操作端末から受け付ける操作指示受付ステップと、前記操作指示を受け付けた際に、前記機器及び前記操作端末の少なくとも一方に係る環境情報を取得する環境情報取得ステップと、前記操作指示に応じた処理を実行するか否かの判定を、前記環境情報が予め定められた条件を満たすか否かに基づいて行う判定ステップと、前記判定ステップで肯定的な判定を行った場合には、前記機器に、前記操作指示に応じた処理を行うための実行コマンドを実行させ、否定的な判定を行った場合には、前記実行コマンドを実行させない実行制限ステップとを含むことを特徴とする。

　この構成の機器制御方法を用いると、操作端末から機器の操作指示があった場合の環境情報を取得し、取得した環境情報に基づいて、定められた環境条件を満たすか否かを判断して、その操作指示に応じた処理を実行するか否かを判断することができる。

　従って、機器を遠隔操作する場合において、環境条件を満たさない不適切な操作指示による機能の実行を抑止し得る。

　（２）ここで、更に、前記機器の機能ごとに、当該機器の動作状態において当該機能に応じた処理の実行を許可するか否かを示す操作条件を記憶する操作条件記憶ステップを備え、前記環境情報は、前記機器の動作状態を示す情報を含み、前記操作指示は、前記機能のうちの一の機能に係る操作指示であり、前記判定ステップは、前記操作条件を参照し、前記環境情報で示される動作状態において、当該一の機能に応じた処理の実行が許可されていると判断した場合に肯定的な判定を行う、としてもよい。

　この構成の機器制御方法を用いると、操作指示が行われた際の操作対象の機器の動作状態に基づいて、操作指示に応じた処理の実行の許否を判断することができる。

　（３）ここで、前記環境情報は、前記操作端末及び前記機器の位置に係る位置情報を含み、前記判定ステップは、前記位置情報に基づく当該操作端末と当該機器との位置関係に係る情報が予め定められた範囲内を示すと判断した場合に肯定的な判定を行う、としてもよい。

　この構成の機器制御方法を用いると、操作指示が行われた際の、操作指示を行った操作端末と、操作対象の機器との位置関係に基づいて、操作指示に応じた処理の実行の許否を判断することができる。

　（４）ここで、前記操作端末は、ＧＰＳ（Global Positioning System）を利用した測位装置を有し、前記環境情報取得ステップは、前記操作端末の前記位置情報を前記測位装置が出力する位置情報から得る、としてもよい。

　この構成の機器制御方法を用いると、操作端末の位置は、ＧＰＳを利用して正確にその位置の情報を得ることができる。

　（５）ここで、前記環境情報は、前記操作端末が前記操作指示を行う際の時間に係る情報を含み、前記判定ステップは、前記操作指示と前記時間との関係に係る条件において、前記時間に係る情報が予め定められた期間内を示す場合に肯定的な判定を行う、としてもよい。

　この構成の機器制御方法を用いると、操作指示が行われた際の時間に係る情報に基づいて、操作指示に応じた処理の実行の許否を判断することができる。

　（６）ここで、前記環境情報は、前記機器の周囲の温度に係る情報を含み、前記判定ステップは、前記操作指示と前記温度との関係に係る条件において、前記温度に係る情報が予め定められた温度範囲内を示す場合に肯定的な判定を行う、としてもよい。

　この構成の機器制御方法を用いると、操作指示が行われた際の、操作対象の機器周辺の温度に係る情報に基づいて、操作指示に応じた処理の実行の許否を判断することができる。

　（７）ここで、更に、前記機器の周囲の予め定められた範囲内に人がいるか否かの検知を行う検知ステップを含み、前記判定ステップは、前記操作指示と前記検知との関係に係る条件において、前記検知ステップが前記人がいないと検知した場合に肯定的な判定を行う、としてもよい。

　この構成の機器制御方法を用いると、操作指示が行われた際に、操作対象の機器周辺に人がいるか否かの情報に基づいて、操作指示に応じた処理の実行の許否を判断することができる。

　（８）ここで、更に、前記判定ステップで否定的な判定を行った場合に、その旨を示す情報を前記機器のユーザへ報知を行う報知ステップと、前記報知を受けたユーザからの前記操作指示に係る情報の入力を受け付けるユーザ入力受付ステップと、前記ユーザの前記入力に基づいて、前記操作指示に応じた処理を実行させるための操作権限に係る実行権限情報を出力する実行権限情報出力ステップと、前記実行権限情報を受け付ける実行権限情報受付ステップと、前記実行権限情報に基づいて、前記処理を強制的に実行させるための権限を有するか否かの検証を行う検証ステップとを備え、前記実行制限ステップは、前記検証ステップで肯定的な判定を行った場合には、例外的に前記機器における前記処理を実行させる、としてもよい。

　この構成の機器制御方法を用いると、一旦、その操作指示に応じた処理の実行が拒否された場合であっても、一旦拒否された操作指示に応じた処理の実行を強制的に行うことができる。

　（９）ここで、更に、前記機器の操作に係る処理を強制的に実行させる権限を有するユーザか否かの判定に係るユーザ情報を記憶するユーザ情報記憶ステップを備え、前記実行権限情報には、前記操作指示を行ったユーザを特定するためのユーザ特定情報が含まれ、前記検証ステップは、前記ユーザ特定情報と前記ユーザ情報とを照合することにより前記検証を行う、としてもよい。

　この構成の機器制御方法を用いると、予め記憶している強制実行を行う権限があるか否の情報を参照することによって、強制実行の要求を行ったユーザが強制実行を行う権限があるか否かを検証することができる。

　従って、強制実行を行う権限がないユーザから強制実行の要求があった場合に、その実行を抑制することができる。

　（１０）また、本発明に係る機器制御方法は、操作端末を用いて、サーバ装置を介して機器の遠隔操作を行う機器制御システムにおける機器制御方法であって、前記遠隔操作を行う際の前記機器及び前記操作端末の少なくとも一方に係る環境情報を取得する環境情報取得ステップと、前記機器における機能ごとに、当該機能に応じた処理を実行するか否かの判定を、前記環境情報が予め定められた条件を満たすか否かに基づいて行う判定ステップと、前記許否判定の結果を示す許否判定情報を前記操作端末に通知する許否判定情報通知ステップと、前記許否判定情報おいて処理の実行を許可されたことを示す機能のうちの一の機能に係る操作指示を前記操作端末から出力する操作指示出力ステップと、前記操作指示の入力を受け付ける操作指示入力ステップと、前記機器により前記操作指示に応じた処理の実行制御を行う機器制御ステップとを含むことを特徴とする。

　この構成の機器制御方法を用いると、ユーザは、ログインした時点での各機器における操作可能な機能を知ることができ、その時点で操作可能な機能だけから選択して操作指示を行うことができる。

　（１１）本発明に係る機器制御システムは、サーバ装置と、操作端末と、機器とを含み、前記サーバ装置を介して、前記操作端末の操作指示によって前記機器の遠隔操作を行うための機器制御システムであって、前記サーバ装置は、前記操作端末及び前記機器と通信を行う通信手段と、前記操作指示を、自機の通信手段を介して、前記操作端末から受け付ける操作指示受付手段と、前記操作指示を受け付けた際に前記機器及び前記操作端末の少なくとも一方に係る環境情報を、前記通信手段を介して、取得する環境情報取得手段と、前記操作指示に応じた処理を実行するか否かの判定を、前記環境情報が予め定められた条件を満たすか否かに基づいて行う判定手段と、前記判定手段で肯定的な判定を行った場合には、自機の通信手段を介して、前記機器に、前記操作指示に応じた処理を行うための実行コマンドを送信し、否定的な判定を行った場合には、前記実行コマンドの送信を行わない実行制限手段とを備え、前記操作端末は、前記サーバ装置と通信を行う通信手段と、前記機器を操作するための操作指示を、自機の通信手段を介して、前記サーバ装置に送信する操作指示手段と自機の環境情報を、自機の通信手段を介して、前記サーバ装置に送信する環境情報出力手段とを備え、前記機器は、前記サーバ装置との通信を行う通信手段と、自機の環境情報を、自機の通信手段を介して、前記サーバ装置に送出する環境情報送出手段と、前記サーバ装置から、自機の通信手段を介して、前記実行コマンドを受け付ける実行指示受付手段と、前記実行コマンドを受け取った場合に、当該実行コマンドに基づく処理の実行を行うコマンド実行手段とを備える。

　この構成の機器制御システムは、操作端末から機器の操作指示があった場合の環境情報を取得し、取得した環境情報に基づいて、定められた環境条件を満たすか否かを判断して、その操作指示に応じた処理を実行するか否かを判断することができる。

　従って、本発明に係る機器制御システムは、機器を遠隔操作する場合において、環境条件を満たさない不適切な操作指示で示される機能の実行を抑止し得る。

　（１２）本発明に係るサーバ装置は、機器の遠隔操作を行うための機器制御システムで用いられ、操作端末から前記機器の遠隔操作を行うための操作指示を受け付け、前記操作指示に応じた処理の実行制御を行うサーバ装置であって、前記操作端末及び前記機器との通信を行う通信手段と、前記機器を操作するための操作指示を、前記通信手段を介して前記操作端末から受け付ける操作指示受付手段と、前記操作指示を受け付けた際に前記機器及び前記操作端末の少なくとも一方に係る環境情報を、前記通信手段を介して取得する環境情報取得手段と、前記操作指示に応じた処理を実行するか否かの判定を、前記環境情報が予め定められた条件を満たすか否かに基づいて行う判定ステップと、前記判定手段で肯定的な判定を行った場合には、前記通信手段を介して、前記機器に対して、前記操作指示に応じた処理を行うための実行コマンドを送信し、否定的な判定を行った場合には、前記実行コマンドの送信を行わない実行制限手段とを備える。

　この構成のサーバ装置は、操作端末から機器の操作指示があった場合の環境情報を取得し、取得した環境情報に基づいて、定められた環境条件を満たすか否かを判断して、その操作指示に応じた処理を実行するか否かを判断することができる。

　従って、本発明に係るサーバ装置は、操作端末を用いて機器を遠隔操作する場合において、環境条件を満たさない不適切な操作指示で示される機能の実行を抑止し得る。

　本発明は、外部のサーバ装置を介して、操作端末を用いて機器の遠隔操作を行う制御技術として利用可能である。

１００、１００Ｂ、１００Ｃ　機器制御システム
１１０、１２０、１２０Ａ、１２０Ｂ、１２０Ｃ　セキュリティモジュール
１３０、１３０Ｂ　操作端末
１４０、１４０Ａ、１４０Ｂ、１４０Ｃ　機器
１５０　ホームゲートウェイ
１６０　サーバ装置
１７０　ネットワーク
１８０　基地局
３２５　環境情報取得手段
３７０　操作端末情報格納手段
４００　操作端末情報
９１０　コマンド受付手段
９６０　環境情報取得手段
９７０　機器情報格納手段
１０００　機器情報
１２１０　コマンド確認手段
１７２０　判断手段
１７３０　ユーザ情報管理手段
１７３５　環境条件記憶手段
１７４０　機能情報管理手段
１７４５　環境情報取得手段
１７６０　コマンド発行手段
１８００、１８００Ｂ、１８００Ｃ、１８００Ｄ　ユーザ情報
１９００　機能情報
２０００　コマンド情報
３０００　動作条件情報
３１００　位置条件情報
３２００　日時条件情報
３３００　気温条件情報
３４００　在室時条件情報
４０００、４１００、４２００　ログイン画面
４０１０、４１１０、４２１０　機器メニュー
４０２０、４１２０、４２２０　機能メニュー
４０３０、４１３０、４２３０　設定メニュー

Claims

　操作端末を用いて、サーバ装置を介して機器の遠隔操作を行う機器制御システムにおける機器制御方法であって、
　前記機器を操作するための操作指示を前記操作端末から受け付ける操作指示受付ステップと、
　前記操作指示を受け付けた際に、前記機器及び前記操作端末の少なくとも一方に係る環境情報を取得する環境情報取得ステップと、
　前記操作指示に応じた処理を実行するか否かの判定を、前記環境情報が予め定められた条件を満たすか否かに基づいて行う判定ステップと、
　前記判定ステップで肯定的な判定を行った場合には、前記機器に、前記操作指示に応じた処理を行うための実行コマンドを実行させ、否定的な判定を行った場合には、前記実行コマンドを実行させない実行制限ステップとを含む
　ことを特徴とする機器制御方法。
　更に、前記機器の機能ごとに、当該機器の動作状態において当該機能に応じた処理の実行を許可するか否かを示す操作条件を記憶する操作条件記憶ステップを備え、
　前記環境情報は、前記機器の動作状態を示す情報を含み、
　前記操作指示は、前記機能のうちの一の機能に係る操作指示であり、
　前記判定ステップは、前記操作条件を参照し、前記環境情報で示される動作状態において、当該一の機能に応じた処理の実行が許可されていると判断した場合に肯定的な判定を行う
　ことを特徴とする請求項１記載の機器制御方法。
　前記環境情報は、前記操作端末及び前記機器の位置に係る位置情報を含み、
　前記判定ステップは、前記位置情報に基づく当該操作端末と当該機器との位置関係に係る情報が予め定められた範囲内を示すと判断した場合に肯定的な判定を行う
　ことを特徴とする請求項１記載の機器制御方法。
　前記操作端末は、ＧＰＳ（Global Positioning System）を利用した測位装置を有し、
　前記環境情報取得ステップは、前記操作端末の前記位置情報を前記測位装置が出力する位置情報から得る
　ことを特徴とする請求項３記載の機器制御方法。
　前記環境情報は、前記操作端末が前記操作指示を行う際の時間に係る情報を含み、
　前記判定ステップは、前記操作指示と前記時間との関係に係る条件において、前記時間に係る情報が予め定められた期間内を示す場合に肯定的な判定を行う
　ことを特徴とする請求項１記載の機器制御方法。
　前記環境情報は、前記機器の周囲の温度に係る情報を含み、
　前記判定ステップは、前記操作指示と前記温度との関係に係る条件において、前記温度に係る情報が予め定められた温度範囲内を示す場合に肯定的な判定を行う
　ことを特徴とする請求項１記載の機器制御方法。
　更に、前記機器の周囲の予め定められた範囲内に人がいるか否かの検知を行う検知ステップを含み、
　前記判定ステップは、前記操作指示と前記検知との関係に係る条件において、前記検知ステップが前記人がいないと検知した場合に肯定的な判定を行う
　ことを特徴とする請求項１記載の機器制御方法。
　更に、前記判定ステップで否定的な判定を行った場合に、その旨を示す情報を前記機器のユーザへ報知を行う報知ステップと、
　前記報知を受けたユーザからの前記操作指示に係る情報の入力を受け付けるユーザ入力受付ステップと、
　前記ユーザの前記入力に基づいて、前記操作指示に応じた処理を実行させるための操作権限に係る実行権限情報を出力する実行権限情報出力ステップと、
　前記実行権限情報を受け付ける実行権限情報受付ステップと、
　前記実行権限情報に基づいて、前記処理を強制的に実行させるための権限を有するか否かの検証を行う検証ステップとを備え、
　前記実行制限ステップは、前記検証ステップで肯定的な判定を行った場合には、例外的に前記機器における前記処理を実行させる
　ことを特徴とする請求項１記載の機器制御方法。
　更に、前記機器の操作に係る処理を強制的に実行させる権限を有するユーザか否かの判定に係るユーザ情報を記憶するユーザ情報記憶ステップを備え、
　前記実行権限情報には、前記操作指示を行ったユーザを特定するためのユーザ特定情報が含まれ、
　前記検証ステップは、前記ユーザ特定情報と前記ユーザ情報とを照合することにより前記検証を行う
　ことを特徴とする請求項８記載の機器制御方法。
　操作端末を用いて、サーバ装置を介して機器の遠隔操作を行う機器制御システムにおける機器制御方法であって、
　前記遠隔操作を行う際の前記機器及び前記操作端末の少なくとも一方に係る環境情報を取得する環境情報取得ステップと、
　前記機器における機能ごとに、当該機能に応じた処理を実行するか否かの判定を、前記環境情報が予め定められた条件を満たすか否かに基づいて行う判定ステップと、
　前記許否判定の結果を示す許否判定情報を前記操作端末に通知する許否判定情報通知ステップと、
　前記許否判定情報おいて処理の実行を許可されたことを示す機能のうちの一の機能に係る操作指示を前記操作端末から出力する操作指示出力ステップと、
　前記操作指示の入力を受け付ける操作指示入力ステップと、
　前記機器により前記操作指示に応じた処理の実行制御を行う機器制御ステップとを含む
　ことを特徴とする機器制御方法。
　サーバ装置と、操作端末と、機器とを含み、前記サーバ装置を介して、前記操作端末の操作指示によって前記機器の遠隔操作を行うための機器制御システムであって、
　前記サーバ装置は、
　前記操作端末及び前記機器と通信を行う通信手段と、
　前記操作指示を、自機の通信手段を介して、前記操作端末から受け付ける操作指示受付手段と、
　前記操作指示を受け付けた際に前記機器及び前記操作端末の少なくとも一方に係る環境情報を、前記通信手段を介して、取得する環境情報取得手段と、
　前記操作指示に応じた処理を実行するか否かの判定を、前記環境情報が予め定められた条件を満たすか否かに基づいて行う判定手段と、
　前記判定手段で肯定的な判定を行った場合には、自機の通信手段を介して、前記機器に、前記操作指示に応じた処理を行うための実行コマンドを送信し、否定的な判定を行った場合には、前記実行コマンドの送信を行わない実行制限手段とを備え、
　前記操作端末は、
　前記サーバ装置と通信を行う通信手段と、
　前記機器を操作するための操作指示を、自機の通信手段を介して、前記サーバ装置に送信する操作指示手段と
　自機の環境情報を、自機の通信手段を介して、前記サーバ装置に送信する環境情報出力手段とを備え、
　前記機器は、
　前記サーバ装置との通信を行う通信手段と、
　自機の環境情報を、自機の通信手段を介して、前記サーバ装置に送出する環境情報送出手段と、
　前記サーバ装置から、自機の通信手段を介して、前記実行コマンドを受け付ける実行指示受付手段と、
　前記実行コマンドを受け取った場合に、当該実行コマンドに基づく処理の実行を行うコマンド実行手段とを備える
　ことを特徴とする機器制御システム。
　機器の遠隔操作を行うための機器制御システムで用いられ、操作端末から前記機器の遠隔操作を行うための操作指示を受け付け、前記操作指示に応じた処理の実行制御を行うサーバ装置であって、
　前記操作端末及び前記機器との通信を行う通信手段と、
　前記機器を操作するための操作指示を、前記通信手段を介して前記操作端末から受け付ける操作指示受付手段と、
　前記操作指示を受け付けた際に前記機器及び前記操作端末の少なくとも一方に係る環境情報を、前記通信手段を介して取得する環境情報取得手段と、
　前記操作指示に応じた処理を実行するか否かの判定を、前記環境情報が予め定められた条件を満たすか否かに基づいて行う判定ステップと、
　前記判定手段で肯定的な判定を行った場合には、前記通信手段を介して、前記機器に対して、前記操作指示に応じた処理を行うための実行コマンドを送信し、否定的な判定を行った場合には、前記実行コマンドの送信を行わない実行制限手段とを備える
　ことを特徴とするサーバ装置。