WO2018212278A1

WO2018212278A1 - 映像記録装置及び映像記録検証システム並びに映像記録方法及び映像検証方法

Info

Publication number: WO2018212278A1
Application number: PCT/JP2018/019110
Authority: WO
Inventors: 大志淺野; 健二立花; 俊介齊藤; 将治廣幡
Original assignee: パナソニックＩｐマネジメント株式会社
Priority date: 2017-05-17
Filing date: 2018-05-17
Publication date: 2018-11-22
Also published as: US20200184083A1; EP3627812A4; EP3627812A1; EP3627812B1; JPWO2018212278A1; JP7170278B2; US11409890B2

Abstract

映像記録装置（１００）は、変調した照明光を照射する照明装置（３０）と、照明装置を制御する制御装置（１０）と、照明光と被写体を同時に撮像して映像データを生成する撮像装置（５０）と、撮像装置で生成された映像データを格納する格納装置と、を備える。制御装置（１０）は、撮像装置により撮像された映像データの少なくとも一部と、日時に応じて変化するように生成され、暗号化に使用する情報である暗号化情報とを用いて暗号データを生成し、生成した暗号データで照明光が変調されるように照明装置を制御する。

Description

映像記録装置及び映像記録検証システム並びに映像記録方法及び映像検証方法

　本開示は、記録した映像の改竄の有無の検証を可能とするように映像データを記録する映像記録装置及び改竄の有無の検証するシステムに関する。

　映像記録デバイスやネットワークの高性能化，低価格化により、大量の映像データを取得することが可能となった。大量のデータを有効に活用するため、映像がいつ、どこで取得されたかを正確に記録することが課題となっている。

　特許文献１は、撮像する画像及びその付帯情報を含む画像ファイルに改竄防止処理を施す撮像装置と、画像ファイルが改竄されていないことを検証する画像検証装置とを有する画像検証システムを開示する。撮像装置は、付帯情報のうち改竄防止処理の対象とする項目をユーザに選択させるためのユーザインタフェースを提供するユーザインタフェース提供手段と、ユーザインタフェースにより選択された付帯情報を暗号化した暗号化付帯情報を作成する暗号化手段と、暗号化付帯情報を画像ファイルに付加して付加画像ファイルを作成する付加手段と、を有する。画像検証装置は、暗号化付帯情報を復号化して復号化付帯情報を作成する復号化手段と、復号化付帯情報の各項目と、対応する付帯情報の各項目と、を照合する照合手段と、を有する。

　特許文献１の画像検証システムによれば、画像ファイルの付帯情報のうち改竄防止対象とする項目をその画像ファイルの用途に応じて指定し、画像ファイルの一部が改変された場合に、改変された箇所を改変されていない箇所と区別して検知することが可能となる。

特開２００６－３４５４５０号公報

　特許文献１に示すような、従来の電子証明書付与システムは，電子証明書付与以降の改竄がないことを証明するものであるが、映像の生成時から改竄がなされていないことを証明するものではない。例えば、撮影により得られた映像データの一部を編集して新たな電子ファイルを作成する場合、新たな電子ファイルに新たに電子証明を付与する必要があり、映像編集時における改ざんを防止することができない。

　本開示は、映像データの生成時から改竄がなされていないことを証明することを可能とする映像記録及び検証システムを提供する。

　本開示の第１の態様において、映像記録装置が提供される。映像記録装置は、変調した照明光を照射する照明装置と、照明装置を制御する制御装置と、照明光と被写体を同時に撮像して映像データを生成する撮像装置と、撮像装置で生成された映像データを格納する格納装置と、を備える。制御装置は、撮像装置により撮像された映像データの少なくとも一部と、日時に応じて変化するように生成され、暗号化に使用する情報である暗号化情報とを用いて暗号データを生成し、生成した暗号データで照明光が変調されるように照明装置を制御する。

　本開示の第２の態様において、上記の映像記録装置と、日時に応じて変化する暗号化情報を生成するとともに、映像記録装置で記録された映像データの改竄の有無を検証する検証装置と、を備えた映像記録検証システムが提供される。

　本開示の第３の態様において、映像記録装置を用いて被写体の映像を記録する映像記録方法が提供される。映像記録方法は、暗号化に使用する情報である暗号化情報を日時に応じて変化させながら生成するステップと、暗号化情報を用いて暗号データを生成するステップと、暗号データに基づき変調した照明光を生成するステップと、照明光と被写体を同時に撮像して映像データを生成するステップと、撮像装置で生成された映像データを記録媒体に格納するステップと、を含む。暗号データを生成するステップにおいて、撮像装置により撮像された映像データの少なくとも一部と、暗号化情報とを用いて暗号データを生成する。

　本開示の第４の態様において、上記の映像記録方法により記録された映像データの改竄の有無を検証する第１の映像検証方法が提供される。第１の映像検証方法は、映像記録装置から映像データを受信するステップと、受信した映像データから、日時を示す日時情報と暗号データを抽出するステップと、抽出した日時情報に基づき暗号化情報を特定するステップと、特定した暗号化情報と受信した映像データの少なくとも一部から暗号データを生成するステップと、生成した暗号データと抽出した暗号データとを比較することにより改竄の有無を判定するステップとを含む。

　本開示の第５の態様において、上記の映像記録方法により記録された映像データの改竄の有無を検証する第２の映像検証方法が提供される。第２の映像検証方法は、映像記録装置から、映像データに含まれる暗号データと、暗号データの生成に使用した映像データの部分と、暗号データに関連する日時を示す日時情報とを受信するステップと、受信した日時情報に基づき暗号化情報を特定するステップと、特定した暗号化情報を用いて暗号データを復号して映像データを得るステップと、復号により得られた映像データと、受信した映像データの部分とを比較することにより改竄の有無を判定するステップと、を含む。

　本開示の第６の態様において、上記の映像記録方法により記録された映像データの改竄の有無を検証する第３の映像検証方法が提供される。第３の映像検証方法は、映像記録装置から、暗号データが記録された映像データの第１の部分と、暗号データの生成に使用した映像データの第２の部分と、暗号データに関連する日時を示す日時情報とを受信するステップと、映像データの第１の部分から暗号データを抽出するステップと、受信した日時情報に基づき暗号化情報を特定するステップと、特定した暗号化情報を用いて抽出した暗号データを復号して映像データを得るステップと、復号により得られた映像データと、受信した映像データの第２の部分とを比較することにより改竄の有無を判定するステップと、を含む。

　本開示によれば、映像データの生成時において電子認証情報を映像中に埋め込めることから、映像データの生成時から改竄がなされていないことを証明することを可能とする。

本開示の映像記録検証システムの構成の一例を示す図映像記録検証システムにおける記録制御装置の構成を示すブロック図映像記録検証システムにおける管理サーバの構成を示すブロック図実施の形態１に係る映像記録検証システムの動作を説明するための図照明光に埋め込まれる情報の例を示した図照明光に埋め込まれる情報の別の例を示した図実施の形態１に係る映像記録検証システムにおける暗号化生成処理を示すフローチャート実施の形態１に係る映像記録検証システムにおける照明光の制御処理を示すフローチャート実施の形態１に係る映像記録検証システムにおける映像撮像・送信処理を示すフローチャート実施の形態１に係る映像記録検証システムにおける映像データ検証・保存処理を示すフローチャート実施の形態２に係る映像記録検証システムの動作を説明するための図実施の形態２に係る映像記録検証システムにおける暗号化生成処理を示すフローチャート実施の形態２に係る映像記録検証システムにおける照明光の制御処理を示すフローチャート実施の形態２に係る映像記録検証システムにおける映像撮像・送信処理を示すフローチャート実施の形態２に係る映像記録検証システムにおける映像データ検証・保存処理を示すフローチャート

　以下、適宜図面を参照しながら、実施の形態を詳細に説明する。但し、必要以上に詳細な説明は省略する場合がある。例えば、既によく知られた事項の詳細説明や実質的に同一の構成に対する重複説明を省略する場合がある。これは、以下の説明が不必要に冗長になるのを避け、当業者の理解を容易にするためである。
　なお、発明者（ら）は、当業者が本開示を十分に理解するために添付図面および以下の説明を提供するのであって、これらによって特許請求の範囲に記載の主題を限定することを意図するものではない。

　（実施の形態１）
　１－１．構成
　本開示の映像記録検証システムは、被写体を撮影して映像データを記録するとともに、その映像データの改竄の有無を検証するシステムである。図１は、本開示の実施の形態１における映像記録検証システムの構成を示す図である。

　図１に示すように、映像記録検証システム１は、被写体９０の画像を撮像し映像データを生成する映像記録装置１００と、映像記録装置１００で生成された映像データの改竄の有無を検証する管理サーバ３００とで構成される。映像記録装置１００と管理サーバ３００はネットワーク２００を介してデータのやりとりが可能である。

　本実施の形態では、映像記録装置１００は車両８０に搭載されている。映像記録装置１００は、被写体９０に照明光を照射して照明する照明装置３０と、被写体９０を撮像し画像データを生成するカメラ５０と、照明装置３０及びカメラ５０を制御する記録制御装置１０とを備える。

　照明装置３０は、発光素子と、発光素子を駆動する駆動回路とを含む。照明装置３０は例えば白色光を照明光として出力する。なお、カメラ５０が、可視光領域に加えて、非可視光領域の画像も撮影できるものであれば、照明装置３０は赤外光のような非可視光を出力してもよい。発光素子は、ＬＥＤのような、高速に明滅や輝度、色度を制御できる発光素子である。照明装置３０は、記録制御装置１０の制御にしたがい電子認証情報等により変調した照明光を生成して出力する。

　カメラ５０は、所定のフレームレートで被写体を撮像して動画データを生成する。カメラ５０は、レンズ等の光学系と、光学情報を電気信号に変換するＣＣＤまたはＣＭＯＳイメージセンサ等の撮像素子と、撮像素子からのアナログ画像信号をデジタル信号に変換し、画像データを生成するＡＤ変換器とを含む。なお、カメラ５０は可視光領域の画像を撮像可能である。なお、カメラ５０が、可視光領域に加えて、非可視光領域の画像をも撮影できるものであれば、照明装置３０は赤外線光のような非可視光を照射してもよい。

　図２は、映像記録装置１００における記録制御装置１０の構成を示すブロック図である。同図に示すように、記録制御装置１０は、所定のプログラムを実行することによって所定の機能を実現する制御部１１を含む。制御部１１は、ＣＰＵ、ＭＰＵ等の汎用プロセッサである。制御部１１は、所定の機能を実現するように専用に設計されたプロセッサを用いてもよい。すなわち、制御部１１はＣＰＵ、ＭＰＵ、ＧＰＵ、ＤＳＰ、ＦＰＧＡ、ＡＳＩＣ等、種々のプロセッサを含むことができる。

　さらに、記録制御装置１０は、ＲＡＭ１２と、ＲＯＭ１３と、データ記憶部１４とを備える。ＲＡＭ１２は、制御部１１が演算を実行するにあたって、必要な情報やプログラムを一時的に記憶するメモリであり、制御部１１から適宜アクセスされる作業領域である。ＲＯＭ１３は制御部１１で実行されるプログラムを記憶するメモリである。なお、制御部１１で実行されるプログラムは、通信回線を介してサーバからダウンロードされてもよいし、光ディスクやメモリカード等の記録媒体を介して記録制御装置１０に提供されてもよい。

　データ記憶部１４は、記録制御装置１０の制御において参照する種々の情報を記録する記録媒体である。データ記憶部１４は、例えば、ハードディスク（ＨＤＤ）、ソリッドステートドライブ（ＳＳＤ）、光ディスク装置等で構成できる。

　さらに、記録制御装置１０は、第１ないし第３通信インタフェース１５～１７を備える。第１通信インタフェース１５はインターネットのようなネットワーク２００に接続してデータのやりとりを行うための通信回路または通信モジュールである。第２通信インタフェース１６は、照明装置３０との間でデータのやりとりを行うための通信回路または通信モジュールである。第３通信インタフェース１７は、カメラ５０との間でデータのやりとりを行うための通信回路または通信モジュールである。第１ないし第３通信インタフェース１５～１７は、ＵＳＢ、ＨＤＭＩ（登録商標）、Ｗｉ－Ｆｉ、ＬＡＮ等の任意の通信規格にしたがい通信を行なう。

　さらに、記録制御装置１０は、操作部２１と表示部２３とを備える。操作部２１はキーボード、マウス、操作ボタンを含む。操作ボタンには、記録制御装置１０の本体に物理的に設けられたボタンや、表示部２３とタッチパネル機能により実現される仮想的なボタンが含まれる。表示部２３は例えば液晶ディスプレイや有機ＥＬディスプレイで構成される。

　さらに、記録制御装置１０は、位置情報を取得するためのＧＰＳモジュール２４を備える。ＧＰＳモジュール２４は、測位衛星からの電波を受信して記録制御装置１０の位置を特定し、その位置を示す情報を出力する回路である。

　図３は、映像記録検証システム１における管理サーバ３００の構成を示すブロック図である。同図に示すように、管理サーバ３００は、所定のプログラムを実行することによって所定の機能を実現する制御部３１１を含む。制御部３１１は、ＣＰＵ、ＭＰＵ等の汎用プロセッサである。制御部３１１は、所定の機能を実現するように専用に設計されたプロセッサを用いてもよい。すなわち、制御部３１１はＣＰＵ、ＭＰＵ、ＧＰＵ、ＤＳＰ、ＦＰＧＡ、ＡＳＩＣ等、種々のプロセッサを含むことができる。

　さらに、管理サーバ３００は、ＲＡＭ３１２と、ＲＯＭ３１３と、データ記憶部３１４とを備える。ＲＡＭ３１２は、制御部３１１が演算を実行するにあたって、必要な情報やプログラムを一時的に記憶するメモリであり、制御部３１１から適宜アクセスされる作業領域である。ＲＯＭ３１３は制御部３１１で実行されるプログラムを記憶するメモリである。なお、制御部３１１で実行されるプログラムは、通信回線を介してサーバからダウンロードされてもよいし、光ディスクやメモリカード等の記録媒体を介して管理サーバ３００に提供されてもよい。

　データ記憶部３１４は、管理サーバ３００の制御において参照する種々の情報を記録する記録媒体である。データ記憶部３１４は、例えば、ハードディスク（ＨＤＤ）、ソリッドステートドライブ（ＳＳＤ）、光ディスク装置等で構成できる。

　さらに、管理サーバ３００は、ネットワーク２００に接続してデータのやりとりを行うための通信回路または通信モジュールである通信インタフェース３１６を備える。通信インタフェース３１６は、Ｗｉ－Ｆｉ、ＬＡＮ等の通信規格にしたがい通信を行なう。

　さらに、管理サーバ３００は、操作部３２１と表示部３２３とを備える。操作部３２１はキーボード、マウス、操作ボタンを含む。操作ボタンには、管理サーバ３００の本体に物理的に設けられたボタンや、表示部２３とタッチパネル機能により実現される仮想的なボタンが含まれる。表示部２３は例えば液晶ディスプレイや有機ＥＬディスプレイで構成される。

　なお、映像記録検証システム１は映像記録検証システムの一例である。映像記録装置１００は映像記録装置の一例である。管理サーバ３００は検証装置の一例である。カメラ５０は撮像装置の一例である。暗号化キーは暗号化情報の一例である。記録制御装置１０は制御装置の一例である。照明装置３０は照明装置の一例である。データ記憶部１４、３１４は格納装置の一例である。

　１－２．動作
　以上のように構成された映像記録検証システム１について、その動作を以下説明する。

　図４は、本実施の形態における映像記録検証システム１の動作を説明するための図である。映像記録検証システム１は、被写体９０を撮影して映像データを生成するが、その際、映像データにおいて、映像データの正当性を示す電子認証情報としての暗号化キーと、映像データの撮影日時や位置を示す付加情報とを同時に記録する。電子認証情報は暗号データを含む。付加情報は、映像データ撮影時の日時を示す日時情報と、映像データ撮影時の位置を示す位置情報とを含む。映像データの撮影後に、管理サーバ３００により、映像データに記録された電子認証情報を解析することで、映像データが撮影後に改竄されたか否かを判定することができる。

　特に本実施の形態では、映像データにおいて電子認証情報と付加情報を記録するために、照明装置３０は、電子認証情報と付加情報で変調された照明光を照射する。具体的には、電子認証情報と付加情報に基づき照明光を明滅させたり、照明光の輝度及び／または色相を電子認証情報と付加情報に基づき変化させたりする。

　図５は、照明装置３０から出力される照明光に重畳される電子認証情報と付加情報のシーケンスを説明した図である。図５の例では、照明光の明滅（パルス変調）によって電子認証情報等を照明光に重畳させる例を示している。図５において横軸は時間軸である。照明光において、ヘッダと、日時情報と、位置情報と、暗号データとが重畳されている。

　「ヘッダ」は所定のパターンを有し、電子認証情報等の書き込み開始位置を定義する情報である。映像データにおいては、ヘッダに続く位置に、日時情報、位置情報、暗号データが記録される。映像データにおいてヘッダの位置に基づき、暗号データの作成に使用される直前の映像データの位置（フレーム位置）が決定される。

　「日時情報」は、映像データが生成された日時を示す情報である。「日時情報」が示す日時に基づき、改竄の有無の判定時に使用する暗号化キーが特定される。管理サーバ３００において暗号化きーが生成された日時と映像データが生成された日時とは実質的に近いことから、本実施の形態では、管理サーバ３００において暗号化きーが生成された日時を、映像データが生成された日時として取り扱う。

　「位置情報」は、映像データが撮影された位置を示す位置情報である。本実施の形態では、記録制御装置１０の位置を映像データが撮影された位置とする。この位置情報は、記録制御装置１０のＧＰＳモジュール２４から取得する。

　「暗号データ」は、直前の映像データと暗号化キーを使用して生成されるデータである。暗号データは、例えば、直前の映像データを暗号化キーで可逆的または不可逆的に暗号化して生成される。

　「演算バッファー時間」は、直前の映像データと暗号化キーから暗号データを生成するために要する時間である。照明光において、日時情報の後、演算バッファー時間だけ遅延させて暗号データ（または第１暗号データ）が重畳される。

　図６は、照明光に埋め込まれる情報の別の例を示した図である。図６の例では、ヘッダに続いて、日時情報、第１暗号データ、第２暗号データが配置される。ヘッダ及び日時情報は、図５で説明したものと同様である。

　「第１暗号データ」は、直前の映像データと暗号化キーを使用して生成された暗号データである。すなわち、「第１暗号データ」は図５に示す暗号データと同じである。

　「第２暗号データ」は、位置情報と暗号化キーを使用して生成された暗号データである。図６の例では、第２暗号データは、位置情報を暗号化して生成されたデータである。

　図７Ａ～７Ｄは、本実施の形態における映像記録検証システム１における映像記録動作のフローチャートである。以下、図４、図７Ａ～７Ｄを参照して、映像記録検証システム１における映像記録動作を説明する。映像記録検証システム１においては、図７Ａ～７Ｄに示す制御シーケンスが所定の周期で繰り返し実行される。

　図４に示すように、映像データの記録動作において、記録制御装置１０は管理サーバ３００から定期的に暗号化キーと日時情報とを受信し、これらの情報を用いて暗号データを生成する。さらに、記録制御装置１０は、生成した暗号データ等に基づき変調した照明光を被写体９０に照射して被写体９０を撮像し、得られた映像データを記録する。

　より具体的には、管理サーバ３００は、図７Ａに示すように、作成時の日時に基づいて変化する暗号化キーを生成する（Ｓ１１）。暗号化キーは、暗号データを生成するために用いる情報であり、例えば、ＳＨＡ－２５６のようなハッシュ関数である。暗号化キーは、例えば、１０秒毎、１０分毎というように所定の時間毎に生成される。本実施の形態では、１０秒毎に暗号化キーが生成されるとする。日時情報は暗号化キー（例えばハッシュ関数）が生成された日時を示す情報である。

　次に、管理サーバ３００は、暗号化キーを作成した日時を示す日時情報を生成する（Ｓ１２）。なお、日時情報を生成する代わりに、暗号化キーにおいて日時情報を含めても良い。日時情報については、必要な情報の精度や使用可能なデータサイズ等に応じて、情報の精度を設定することができる。

　そして、管理サーバ３００は、生成した暗号化キーと生成した日時情報とを対応付けて、対応情報として、データ記憶部３１４に記録する（Ｓ１３）。この場合、暗号化キーの漏洩を防ぐために、データ記憶部３１４に対して暗号化を行っても良い。

　その後、管理サーバ３００は、ネットワーク２００を介して、暗号化キーと日時情報を記録制御装置１０に送信する（Ｓ１４）。この場合、暗号化キーの漏洩を防ぐために、暗号化キー自体を暗号化して送信してもよい。

　記録制御装置１０は、管理サーバ３００から受信した暗号化キーと日時情報を用いて照明装置３０の照明光を制御する。図７Ｂは、記録制御装置１０による照明光の制御動作を示すフローチャートである。

　図７Ｂに示すように、記録制御装置１０は、管理サーバ３００から暗号化キーと日時情報を受信すると（Ｓ２１）、受信した暗号化キーと、所定時間（例えば、１０秒）前に撮像した映像データの１フレーム（または複数フレーム）の全部（または一部）のデータとを使用して暗号データを生成する（Ｓ２２）。例えば、記録制御装置１０は、管理サーバ３００から、暗号化キーとしてハッシュ関数を受信し、受信したハッシュ関数を用いて、所定時間（例えば、１０秒）前に撮像した映像データから暗号データとしてハッシュ値を生成する。

　記録制御装置１０は、ＧＰＳモジュール２４から位置情報を取得する（Ｓ２３）。位置情報を取得する方法としては、ＧＰＳモジュール２４から以外に、各種通信電波（携帯電話基地局からの電波、ビーコン、Ｗｉ－Ｆｉ、Ｂｌｕｅｔｏｏｔｈ（登録商標）等）、インターネット（ＩＰアドレスからの位置取得）等を用いることができる。

　記録制御装置１０は、図５に示すフォーマットで、ヘッダ、受信した日時情報と、取得した位置情報と、生成した暗号データとで変調された照明光が照射されるように照明装置３０を制御する（Ｓ２４）。これにより、照明光において、ヘッダ、受信した日時情報と、取得した位置情報と、生成した暗号データとが重畳される。このような照明光で照明された被写体を撮影することで、ヘッダ、受信した日時情報と、取得した位置情報と、生成した暗号データとが記録された（埋め込まれた）映像データが生成される。ここで、映像データにおいて暗号化キー等の情報を確実に記録されるようにするために、同じ情報を、一定時間繰り返し出力するように制御してもよい。また、繰り返し出力する回数を増やし、確実に情報を記録するために、日時情報等のデータサイズを小さくしてもよい。

　なお、取得した位置情報を、暗号化キーを使用して暗号し、第２暗号データを生成してもよい。この場合は、図６に示すようなフォーマットで、ヘッダ、日時情報と、第１暗号データ（映像データを暗号化キーを用いて暗号化したもの）、第２暗号データとが重畳された照明光が照射されるように照明装置３０を制御する。

　以上のように照明装置３０の照明光が制御されることにより、被写体９０は、暗号データ（電子認証情報）等が重畳された照明光により照明される。このように照明された被写体９０がカメラ５０により撮像され、生成された映像データ（動画データ）において、電子認証情報としての暗号データと、付加情報とが記録される。

　図７Ｃは、被写体９０を撮影した映像データに対する記録制御装置１０の処理を示すフローチャートである。図７Ｃに示すように、記録制御装置１０は、カメラ５０から撮像された映像データ（動画データ）を取得する（Ｓ３１）。記録制御装置１０は、取得した映像データをデータ記憶部１４に記録する。その際、１フレーム中に複数ビットの情報を記録するために、１フレーム中の画面を時間分割してデータを記録してもよい。また、単位時間当たりのフレーム数を増やすことにより、記録する情報量を増やしてもよい。また、データ抜けを補完できるように、異なるフレームにおいて同じ情報を繰り返し記録するようにしてもよい。

　記録制御装置１０は、カメラ５０から映像データを取得しながら（すなわち、映像データを撮影しながら）、取得した映像データを、ネットワーク２００を介して管理サーバ３００に送信する（Ｓ３２）。なお、記録制御装置１０は、映像データの撮影が完了した後に、すなわち、一旦映像データのデータ記憶部１４への記録が完了した後に、データ記憶部１４に記録された映像データをネットワーク２００を介して管理サーバ３００に送信するようにしてもよい。

　管理サーバ３００は、映像記録装置１００の記録制御装置１０から受信した映像データに対して改竄の有無の判定を行った後、映像データをデータ記憶部３１４に保存する。図７Ｄは、その際の管理サーバ３００の処理を示すフローチャートである。

　図７Ｄに示すように、管理サーバ３００は、映像データを受信すると（Ｓ４１）、受信した映像データを解析し、映像データから、ヘッダ、日時情報、暗号データ等を抽出する（Ｓ４２）。管理サーバ３００は、対応情報を参照して、抽出した日時情報に基づき、日時情報に対応した暗号化キーを特定する（Ｓ４３）。管理サーバ３００は、受信した映像データと、特定した暗号化キーを使用して暗号データを生成する（Ｓ４４）。ここで、暗号データの生成に使用する映像データのフレームは、映像データから抽出したヘッダを基準にして特定する。例えば、ヘッダを構成する先頭のフレームの位置から所定時間（例えば１０秒）前のフレームを暗号データの生成に使用するフレームとして特定する。

　管理サーバ３００は、生成した暗号データと、映像データから抽出した暗号データとを比較して、改竄の有無を判定する（Ｓ４５）。両者が一致していない場合、映像データが改竄されたと判定される。管理サーバ３００は、改竄の判定とともに、当該映像データをデータ記憶部３１４に保存する。なお、抽出した位置情報及び日時情報をインデックスとして映像データに付加して保存してもよい。映像データの漏洩を防ぐために、管理サーバ３００のデータ記憶部３１４において映像データの暗号化が行われても良い。

　以上の構成によれば、映像データの生成時に効率的に電子認証情報及び付加情報が映像データ中に埋め込むことができる。また、映像データに光学的に電子認証情報及び付加情報を埋め込むため、映像データのみからこれらの情報を抽出することができる。

　１－３．効果等
　以上のように本実施の形態の映像記録装置１００は、変調した照明光を照射する照明装置３０と、照明装置３０を制御する記録制御装置１０と、照明光と被写体を同時に撮像して映像データを生成するカメラ５０と、カメラ５０で生成された映像データを格納するデータ記憶部１４、３１４と、を備える。記録制御装置１０は、カメラ５０により撮像された映像データの少なくとも一部と、日時に応じて変化するように生成され、暗号化に使用する情報である暗号化キー（暗号化情報）とを用いて暗号データを生成し、生成した暗号データで照明光が変調されるように照明装置３０を制御する。

　本実施の形態の映像記録装置１００によれば、暗号データで変調された照明光で照明された被写体をカメラ５０で撮影した映像データを得るため、映像データにおいて暗号データが含まれる。よって、映像データの生成（撮影）時に暗号データを映像データ中に埋め込むことができ、埋め込まれた暗号データを参照することで、映像データの生成時点からの改竄の有無を判定することが可能となる。また、映像データ中に電子認証情報が埋め込まれているため、映像データの一部を切り出した場合でも、新たに電子認証情報を付加する必要がない。

　また、照明光において、映像データの撮影日時を示す日時情報と、映像データの撮影位置を示す位置情報とに基づいてさらに照明光を変調することで、映像データにおいて、暗号データとともに、日時情報と位置情報を埋め込むことができる。

　また、管理サーバ３００は、映像記録装置１００から映像データを受信し（Ｓ４１）、受信した映像データから、日時を示す日時情報と暗号データを抽出し（Ｓ４２）、抽出した日時情報に基づき暗号化キー（暗号化情報）を特定し（Ｓ４３）、特定した暗号化キーと受信した映像データの少なくとも一部から暗号データを生成し（Ｓ４４）、生成した暗号データと抽出した暗号データとを比較することにより改竄の有無を判定する（Ｓ４５）。このように映像データに埋め込まれた暗号データから、映像データの改竄の有無を判定することができる。

　また、本実施の形態は、映像記録装置１００を用いて被写体の映像を記録する映像記録方法を開示する。その映像記録方法は、暗号化に使用する情報である暗号化キーを日時に応じて変化させながら生成するステップと、暗号化キーを用いて暗号データを生成するステップと、暗号データに基づき変調した照明光を生成するステップと、照明光と被写体を同時に撮像して映像データを生成するステップと、撮像装置で生成された映像データを記録媒体に格納するステップと、を含む。暗号データを生成するステップにおいて、撮像装置により撮像された映像データの少なくとも一部と、暗号化キーとを用いて暗号データを生成する。

　また、本実施の形態は、上記の映像記録方法により記録された映像データの改竄の有無を検証する映像検証方法を開示する。映像検証方法は、映像記録装置から映像データを受信するステップと、受信した映像データから、日時を示す日時情報と前記暗号データを抽出するステップと、抽出した日時情報に基づき暗号化キーを特定するステップと、特定した暗号化キーと受信した映像データの少なくとも一部から暗号データを生成するステップと、生成した暗号データと抽出した暗号データとを比較することにより改竄の有無を判定するステップとを含む。

　（実施の形態２）
　本実施の形態では、記録制御装置１０と管理サーバ３００の間のデータ通信量を実施の形態１の場合よりも削減できる構成を説明する。本実施の形態の映像記録検証システムのハードウェア構成は実施の形態１のものと同様である。

　図８は、実施の形態２に係る映像記録検証システムの動作を説明するための図である。実施の形態１では、記録制御装置１０は、改竄検証のために、管理サーバ３００へ映像データ全体を送信していた。これに対して、本実施の形態では、改竄検証のために、記録制御装置１０は、暗号データと、暗号データの生成に使用したフレームに関する映像データと、日時情報とのみを送信する。

　図９Ａ～９Ｄは、本実施の形態における映像記録検証システム１における映像記録動作のフローチャートである。以下、図８、図９Ａ～７Ｄを参照して、映像記録検証システム１における映像記録動作を説明する。映像記録検証システム１においては、図９Ａ～９Ｄに示す処理は所定の周期で繰り返し実行される。

　本実施の形態では、図８に示すように、記録制御装置１０は管理サーバ３００から定期的に公開鍵と日時情報とを受信し、これらの情報を用いて暗号データを生成する。さらに、記録制御装置１０は、生成した暗号データ等に基づき変調した照明光を被写体９０に照射して被写体９０を撮像し、得られた映像データを記録する。

　より具体的には、管理サーバ３００は、図９Ａに示すように、作成時の日時に基づいて変化する暗号化キーとして、暗号データを生成するための公開鍵と暗号データを復号するための秘密鍵を生成する（Ｓ１１１）。公開鍵と秘密鍵は、例えば、ＲＳＡ暗号方式にしたがい求められる。本実施の形態では、暗号化キーは、例えば、１０秒毎、１０分毎というように所定の時間毎に生成される。日時情報は暗号化キーが生成された日時を示す情報である。

　次に、管理サーバ３００は、公開鍵と秘密鍵を作成した日時を示す日時情報を生成する（Ｓ１１２）。なお、日時情報を生成する代わりに、公開鍵と秘密鍵において日時情報を含めても良い。日時情報については、必要な情報の精度や使用可能なデータサイズ等に応じて、情報の精度を設定することができる。

　そして、管理サーバ３００は、生成した公開鍵および秘密鍵と生成した日時情報とを対応付けて対応情報として、データ記憶部３１４に記録する（Ｓ１１３）。この場合、暗号化キーの漏洩を防ぐために、データ記憶部３１４に対して暗号化を行っても良い。

　その後、管理サーバ３００は、ネットワーク２００を介して、公開鍵と日時情報を記録制御装置１０に送信する（Ｓ１１４）。この場合、公開鍵自体を暗号化して送信してもよい。

　記録制御装置１０は、管理サーバ３００から受信した公開鍵と日時情報を用いて照明装置３０の照明光を制御する。図９Ｂは、記録制御装置１０による照明光の制御動作を示すフローチャートである。

　図９Ｂに示すように、記録制御装置１０は、管理サーバ３００から公開鍵と日時情報を受信すると（Ｓ１２１）、受信した公開鍵と、所定時間（例えば、１０秒）前に撮像した映像データの１フレーム（または複数フレーム）の全部（または一部）のデータとを使用して暗号データを生成する（Ｓ１２２）。すなわち、記録制御装置１０は、受信した公開鍵を用いて、所定時間（例えば、１０秒）前に撮像した映像データの１フレーム（または複数フレーム）の全部（または一部）のデータを暗号化することにより暗号データを生成する。

　記録制御装置１０は、ＧＰＳモジュール２４から位置情報を取得する（Ｓ１２３）。記録制御装置１０は、図５に示すフォーマットで、ヘッダ、受信した日時情報と、取得した位置情報と、生成した暗号データとが重畳された照明光が照射されるように照明装置３０を制御する（Ｓ１２４）。映像データにおいて暗号化キー等の情報を確実に記録されるようにするために、同じ情報を、一定時間繰り返し出力するように制御してもよい。また、繰り返し出力する回数を増やし、確実に情報を記録するために、日時情報等のデータサイズを小さくしてもよい。

　なお、取得した位置情報を、公開鍵を使用して暗号し、第２暗号データを生成してもよい。この場合は、図６に示すようなフォーマットで、ヘッダ、日時情報と、第１暗号データ（映像データを公開鍵を用いて暗号化したもの）、第２暗号データとが重畳された照明光が照射されるように照明装置３０を制御する。

　以上のように照明装置３０の照明光が制御されることにより、被写体９０は、暗号データ（電子認証情報）等が重畳された照明光により照明される。このように照明された被写体９０がカメラ５０により撮像され、映像データ（動画データ）が生成される。この映像データには、暗号データと付加情報が光学的情報（輝度変化、色度変化、等）として記録される。

　図９Ｃは、記録制御装置１０における、そのように照明された被写体９０を撮影した映像データを取得する処理を示すフローチャートである。

　図９Ｃに示すように、記録制御装置１０は、カメラ５０から撮像された映像データ（動画データ）を取得する（Ｓ１３１）。記録制御装置１０は、１フレーム中に複数ビットの情報を記録するために、１フレーム中の画面を時間分割してデータを記録してもよい。また、単位時間当たりのフレーム数を増やすことにより、記録する情報量を増やしてもよい。また、データ抜けを補完できるように、異なるフレームにおいて同じ情報を繰り返し記録するようにしてもよい。

　記録制御装置１０は、取得した映像データから、ヘッダ、日時情報、位置情報、暗号データを抽出する（Ｓ１３２）。その後、記録制御装置１０は、映像データを取得しながら、取得した映像データを順次データ記憶部１４に保存する（Ｓ１３３）。

　記録制御装置１０は、抽出した暗号データと、その暗号データの生成に使用した映像データの部分と、抽出した日時情報とを、管理サーバ３００に送信する（Ｓ１３４）。なお、暗号データの生成に使用した映像データの部分（１または複数フレーム）は、抽出したヘッダの位置に基づく特定できる。例えば、抽出したヘッダを構成する先頭のフレームの位置から所定時間（例えば１０秒）前のフレームを暗号データの生成に使用するフレームとして特定できる。

　管理サーバ３００は、映像記録装置１００の記録制御装置１０から受信したデータに基づき、映像記録装置１００で記録された映像データに対する改竄の有無の判定を行う。図９Ｄは、その際の管理サーバ３００の処理を示すフローチャートである。

　図９Ｄに示すように、管理サーバ３００は、映像データ、暗号データ、日時情報を受信すると（Ｓ１４１）、受信した日時情報に基づき対応情報を参照して秘密鍵を特定する（Ｓ１４２）。管理サーバ３００は、受信した暗号データと、特定した秘密鍵を使用して映像データを復号する（Ｓ１４３）。

　管理サーバ３００は、受信した映像データと、復号した映像データとを比較して、改竄の有無を判定する（Ｓ１４４）。両者が一致していない場合、映像データが改竄されたと判定される。管理サーバ３００は改竄の判定結果を映像記録装置１００の記録制御装置１０に送信する（Ｓ１４５）。

　記録制御装置１０は、受信した判定結果を表示部２３に表示してもよいし、当該映像データのインデックスに判定結果を付加してもよい。

　以上のように本実施の形態の管理サーバ３００は、映像記録装置１００から、映像データに含まれる暗号データと、暗号データの生成に使用した映像データの部分と、暗号データに関連する日時を示す日時情報とを受信する（Ｓ１４１）。管理サーバ３００は、受信した日時情報に基づき秘密鍵を特定し（Ｓ１４２）、特定した秘密鍵を用いて暗号データを復号して映像データを得る（Ｓ１４３）。そして、管理サーバ３００は、復号により得られた映像データと、受信した映像データの部分とを比較することにより改竄の有無を判定する（Ｓ１４４）。このような検証方法によっても、映像データの改竄の有無を判定することができる。

　なお、上記の例では、記録制御装置１０から管理サーバ３００へ、映像データに含まれる暗号データと、暗号データの生成に使用した映像データの部分と、暗号データに関連する日時を示す日時情報とを送信した。これらの情報に代えて、記録制御装置１０から管理サーバ３００へ、暗号データが記録された映像データの第１の部分と、暗号データの生成に使用した映像データの第２の部分と、暗号データに関連する日時を示す日時情報とを送信してもよい。その場合、管理サーバ３００は、受信した映像データの第１の部分から暗号データを抽出する。さらに、管理サーバ３００は、受信した日時情報に基づき対応情報から秘密鍵を特定する。管理サーバ３００は、特定した秘密鍵を用いて抽出した暗号データを復号して映像データを得て、復号により得られた映像データと、受信した映像データの第２の部分とを比較することにより改竄の有無を判定すればよい。

　（他の実施の形態）
　以上のように、本出願において開示する技術の例示として、実施の形態１～２を説明した。しかしながら、本開示における技術は、これに限定されず、適宜、変更、置き換え、付加、省略などを行った実施の形態にも適用可能である。また、上記実施の形態１～２で説明した各構成要素を組み合わせて、新たな実施の形態とすることも可能である。そこで、以下、他の実施の形態を例示する。

　上記の実施の形態では、電子認証情報等に基づき変調した照明光を被写体９０に照射し、被写体の画像を撮像したが、変調した照明光を直接カメラ５０に照射してもよい。すなわち、カメラ５０は、被写体９０で反射した照明光を撮像する代わりに、被写体とともに直接照明光を撮像してもよい。

　上記の実施の形態において、一例として車両に搭載して照明装置を使用したが、照明装置はこれに限定されず、携帯型ライトであってもよい。または、街灯や信号機のような固定された照明であってもよい。

　上記の実施の形態において、映像データを保存する格納部の例として、記録制御装置１０または管理サーバ３００に内蔵されたデータ記憶部１４、３１４とを示したが、格納部は、記録制御装置１０または管理サーバ３００とは独立した装置であってもよい。

　以上のように、本開示における技術の例示として、実施の形態を説明した。そのために、添付図面および詳細な説明を提供した。

　したがって、添付図面および詳細な説明に記載された構成要素の中には、課題解決のために必須な構成要素だけでなく、上記技術を例示するために、課題解決のためには必須でない構成要素も含まれ得る。そのため、それらの必須ではない構成要素が添付図面や詳細な説明に記載されていることをもって、直ちに、それらの必須ではない構成要素が必須であるとの認定をするべきではない。

　また、上述の実施の形態は、本開示における技術を例示するためのものであるから、特許請求の範囲またはその均等の範囲において種々の変更、置き換え、付加、省略などを行うことができる。

　本開示は、映像データの生成時において電子認証情報を映像データに埋め込むことができるため、改竄の検証の必要性のある映像を記録する映像記録装置に有用である。

１　映像記録検証システム
１０　記録制御装置
１１　記録制御装置の制御部
１４　記録制御装置のデータ記憶部
３０　照明装置
５０　カメラ
８０　車両
９０　被写体
１００　映像記録装置
２００　ネットワーク
３００　管理サーバ
３１１　管理サーバの制御部
３１４　管理サーバのデータ記憶部

Claims

　変調した照明光を照射する照明装置と、
　前記照明装置を制御する制御装置と、
　前記照明光と被写体を同時に撮像して映像データを生成する撮像装置と、
　前記撮像装置で生成された映像データを格納する格納装置と、
を備え、
　前記制御装置は、前記撮像装置により撮像された映像データの少なくとも一部と、日時に応じて変化するように生成され、暗号化に使用する情報である暗号化情報とを用いて暗号データを生成し、前記生成した暗号データで前記照明光が変調されるように前記照明装置を制御する、
映像記録装置。
　前記制御装置は、さらに、映像データの撮影日時を示す日時情報と、映像データの撮影位置を示す位置情報とに基づいて前記照明光が変調されるように、前記照明装置を制御する、請求項１に記載の映像記録装置。
　前記暗号化情報は所定の時間毎に生成される、請求項１に記載の映像記録装置。
　前記制御装置は、同じ暗号データが所定回数繰り返して照明光に含まれるように、前記照明装置を制御する、請求項３に記載の映像記録装置。
　前記暗号化情報はハッシュ関数である、請求項１に記載の映像記録装置。
　請求項１ないし５のいずれかに記載の映像記録装置と、
　日時に応じて変化する前記暗号化情報を生成するとともに、前記映像記録装置で記録された映像データの改竄の有無を検証する検証装置と、
を備えた映像記録検証システム。
　前記検証装置は、
　　前記映像記録装置から映像データを受信し、
　　前記受信した映像データから、日時を示す日時情報と前記暗号データを抽出し、
　　前記抽出した日時情報に基づき暗号化情報を特定し、
　　前記特定した暗号化情報と前記受信した映像データの少なくとも一部から暗号データを生成し、
　　前記生成した暗号データと前記抽出した暗号データとを比較することにより改竄の有無を判定する、
請求項６に記載の映像記録検証システム。
　前記検証装置は、
　　前記映像記録装置から、映像データに含まれる暗号データと、前記暗号データの生成に使用した映像データの部分と、前記暗号データに関連する日時を示す日時情報とを受信し、
　　前記受信した日時情報に基づき暗号化情報を特定し、
　　前記特定した暗号化情報を用いて前記暗号データを復号して映像データを得て、
　　前記復号により得られた映像データと、前記受信した映像データの部分とを比較することにより改竄の有無を判定する、
請求項６に記載の映像記録検証システム。
　前記検証装置は、
　　前記映像記録装置から、暗号データが記録された映像データの第１の部分と、前記暗号データの生成に使用した映像データの第２の部分と、前記暗号データに関連する日時を示す日時情報とを受信し、
　　前記映像データの第１の部分から暗号データを抽出し、
　　前記受信した日時情報に基づき暗号化情報を特定し、
　　前記特定した暗号化情報を用いて前記抽出した暗号データを復号して映像データを得て、
　　前記復号により得られた映像データと、前記受信した映像データの第２の部分とを比較することにより改竄の有無を判定する、
請求項６に記載の映像記録検証システム。
　映像記録装置を用いて被写体の映像を記録する映像記録方法であって、
　暗号化に使用する情報である暗号化情報を日時に応じて変化させながら生成するステップと、
　前記暗号化情報を用いて暗号データを生成するステップと、
　前記暗号データに基づき変調した照明光を生成するステップと、
　前記照明光と被写体を同時に撮像して映像データを生成するステップと、
　撮像装置で生成された映像データを記録媒体に格納するステップと、を含み、
　前記暗号データを生成するステップにおいて、前記撮像装置により撮像された映像データの少なくとも一部と、前記暗号化情報とを用いて暗号データを生成する、
映像記録方法。
　請求項１０に記載の映像記録方法により記録された映像データの改竄の有無を検証する方法であって、
　前記映像記録装置から映像データを受信するステップと、
　前記受信した映像データから、日時を示す日時情報と前記暗号データを抽出するステップと、
　前記抽出した日時情報に基づき暗号化情報を特定するステップと、
　前記特定した暗号化情報と前記受信した映像データの少なくとも一部から暗号データを生成するステップと、
　　前記生成した暗号データと前記抽出した暗号データとを比較することにより改竄の有無を判定するステップと、
を含む映像検証方法。
　請求項１０に記載の映像記録方法により記録された映像データの改竄の有無を検証する方法であって、
　前記映像記録装置から、映像データに含まれる暗号データと、前記暗号データの生成に使用した映像データの部分と、前記暗号データに関連する日時を示す日時情報とを受信するステップと、
　前記受信した日時情報に基づき暗号化情報を特定するステップと、
　前記特定した暗号化情報を用いて前記暗号データを復号して映像データを得るステップと、
　前記復号により得られた映像データと、前記受信した映像データの部分とを比較することにより改竄の有無を判定するステップと、
を含む映像検証方法。
　請求項１０に記載の映像記録方法により記録された映像データの改竄の有無を検証する方法であって、
　前記映像記録装置から、暗号データが記録された映像データの第１の部分と、前記暗号データの生成に使用した映像データの第２の部分と、前記暗号データに関連する日時を示す日時情報とを受信するステップと、
　　前記映像データの第１の部分から暗号データを抽出するステップと、
　　前記受信した日時情報に基づき暗号化情報を特定するステップと、
　　前記特定した暗号化情報を用いて前記抽出した暗号データを復号して映像データを得るステップと、
　　前記復号により得られた映像データと、前記受信した映像データの第２の部分とを比較することにより改竄の有無を判定するステップと、
を含む映像検証方法。