WO2019031338A1

WO2019031338A1 - 情報処理システム、データ送信装置、データ受信装置、情報処理方法及びプログラム

Info

Publication number: WO2019031338A1
Application number: PCT/JP2018/028821
Authority: WO
Inventors: 久保　誠雄; 出野　徹; 秀規近藤
Original assignee: オムロンヘルスケア株式会社; オムロン株式会社
Priority date: 2017-08-09
Filing date: 2018-08-01
Publication date: 2019-02-14
Also published as: JP2019033450A

Abstract

片方向通信において、機密性が要求されるデータのセキュリティを確保した通信を行なう。　本発明の一側面に係る情報処理装置は、片方向通信において使用される第１パケットにおいて送信される第１データをもとに暗号鍵を生成し、当該暗号鍵を使用して、データである生体情報を暗号化する暗号化部と、前記暗号化された生体情報を、前記第１パケットの送信後に送信される片方向通信において使用される第２パケットにおいて送信するデータ送信部とを具備する。

Description

情報処理システム、データ送信装置、データ受信装置、情報処理方法及びプログラム

　この発明は、データの暗号化又は復号化を行なう情報処理システム、データ送信装置、データ受信装置、情報処理方法及びそのプログラムに関する。

　近年の無線通信技術の発達により、生体情報などの機密性を要するデータを異なる装置間で伝送するケースが増えている。その際、データのセキュリティを確保するために、データの機密性を担保する必要がある。データの機密性を担保するための技術として、暗号化／復号化技術が良く知られている。例えば、公開鍵及び秘密鍵を使用する公開鍵暗号化方式では、受信者側で公開鍵と秘密鍵を生成し、送信者側に公開鍵を送付する。このため、公開鍵暗号化方式を採用する場合、ペアリング処理を行なう必要がある。また、共通鍵暗号化方式を採用する場合には、暗号化と復号に同じ鍵を使用するため、鍵の交換が必要となる。

　例えば、Ｂｌｕｅｔｏｏｔｈ（登録商標）に代表される無線通信規格の中には、装置の消費電力を低減するために、ペアリング処理を行なわずにデータを伝送する方式がある。

　日本国特許第５８５２６２０号公報には、ＢＬＥ（Ｂｌｕｅｔｏｏｔｈ　Ｌｏｗ　Ｅｎｅｒｇｙ）において使用されるアドバタイズメントパケットのデータフィールドの余白部分に任意の通信データを含めることが開示されている。

　しかしながら、ＢＬＥのアドバタイズメントパケットのような片方向通信に使用されるパケットにデータを含めて伝送する場合、装置間でペアリング処理を行わないため、上記した公開鍵暗号化方式や共通鍵暗号化方式を適用することができない。このため、データの機密性を担保することが困難となる。

　本発明は、上記実情に鑑みてなされたものであり、片方向通信において、機密性が要求されるデータのセキュリティを確保した通信を行なうことができる情報処理システム、データ送信装置、データ受信装置、情報処理方法及びそのプログラムを提供することを目的とする。

　上記課題を解決するために本発明の第１の態様は、データ送信装置からデータ受信装置へ片方向通信を用いてデータを伝送する情報処理システムにおいて、前記データ送信装置は、前記片方向通信において使用される第１パケットにより送信される第１データをもとに暗号鍵を生成し、当該暗号鍵を使用して前記データを暗号化する暗号化部と、前記暗号化されたデータを、前記第１パケットの送信後に前記片方向通信において使用される第２パケットにより送信するデータ送信部とを具備し、前記データ受信装置は、前記第１パケットと、前記第２パケットを受信する受信部と、前記受信された第１パケットに含まれる第１データをもとに、復号鍵を生成し、当該復号鍵を使用して、前記暗号化の方法に対応する復号化の方法により、前記受信された第２パケットに含まれる暗号化されたデータを復号化する復号化部とを具備する、情報処理システムである。

　第１の態様の情報処理システムによれば、暗号化部が片方向通信において使用される第１パケットにより送信される第１データをもとに暗号鍵を生成し、当該暗号鍵を使用してデータを暗号化する。そして、データ送信部が暗号化されたデータを、第１パケットの送信後に片方向通信において使用される第２パケットにより送信する。そして、データ受信装置は、受信部が第１パケットと、第２パケットを受信すると、受信された第１パケットに含まれる第１データをもとに、復号鍵を生成し、当該復号鍵を使用して、暗号化の方法に対応する復号化の方法により、受信された第２パケットに含まれる暗号化されたデータを復号化する。これにより、片方向通信において、機密性が要求されるデータのセキュリティを確保した通信を行なうことができる。

　この発明の第２の態様は、第１の態様の情報処理システムにおいて、前記データ送信部は、前記ユーザからの送信指示を受け付けた場合に、前記第１パケットを送信する。第２の態様の情報処理装置によれば、例えば、自宅などのユーザがセキュリティを確保することができる場所においてのみデータを送信することができる。

　この発明の第３の態様は、第１の態様の情報処理システムにおいて、前記データ送信装置の位置を測定する位置測定部をさらに具備し、前記データ送信部は、前記測定された情報処理装置の位置に応じて、前記第１パケットを送信するか否かを決定する。

　第３の態様の情報処理システムによれば、ユーザが登録したデータ送信装置の位置のみでデータを送信することができるので、データのセキュリティを確保することができる。

　この発明の第４の態様は、第１の態様の情報処理システムにおいて、前記第１パケット及び前記第２パケットは、ＢＬＥ（Ｂｌｕｅｔｏｏｔｈ　Ｌｏｗ　Ｅｎｅｒｇｙ）のアドバタイズメントパケットである。

　第４の態様の情報処理システムによれば、ＢＬＥのアドバタイズメントパケットを使用してデータを送信することにより、ペアリング処理を行なうことなくデータの送信を行なうことができるので、片方向通信において機密性の確保されたデータ送信を行なうことができる。

　この発明の第５の態様は、データ送信装置からデータ受信装置へ片方向通信を用いてデータを伝送するシステムにおける前記データ送信装置であって、前記片方向通信において使用される第１パケットにより送信される第１データをもとに暗号鍵を生成し、当該暗号鍵を使用して前記データを暗号化する暗号化部と、前記暗号化されたデータを、前記第１パケットの送信後に前記片方向通信において使用される第２パケットにより送信するデータ送信部とを具備する、データ送信装置である。

　第５の態様のデータ送信装置によれば、暗号化部が、片方向通信において使用される第１パケットにより送信される第１データをもとに暗号鍵を生成し、当該暗号鍵を使用してデータを暗号化する。そして、データ送信部により、暗号化されたデータを、第１パケットの送信後に片方向通信において使用される第２パケットにより送信するので、片方向通信において、機密性が要求されるデータのセキュリティを確保した通信を行なうことができる。

　この発明の第６の態様は、データ送信装置からデータ受信装置へ片方向通信を用いてデータを伝送するシステムにおける前記データ受信装置であって、前記データ送信装置から前記片方向通信により送信された、第１データを含む第１パケットと、前記データ送信装置から前記第１のパケットの送信後に前記片方向通信により送信された、暗号化されたデータを含む第２パケットを受信する受信部と、前記受信された第１パケットに含まれる第１データをもとに復号鍵を生成し、当該復号鍵を使用して、前記受信された第２パケットに含まれる暗号化されたデータを復号化する復号化部とを具備する、データ受信装置である。

　第６の態様のデータ受信装置によれば、受信部がデータ送信装置から片方向通信により送信された、第１データを含む第１パケットと、データ送信装置から第１のパケットの送信後に片方向通信により送信された、暗号化されたデータを含む第２パケットを受信する。そして、復号化部が受信された第１パケットに含まれる第１データをもとに復号鍵を生成し、当該復号鍵を使用して、受信された第２パケットに含まれる暗号化されたデータを復号化するので、片方向通信において、機密性が要求されるデータのセキュリティを確保した通信を行なうことができる。

　この発明の第７の態様は、データ送信装置からデータ受信装置へ片方向通信を用いてデータを伝送するシステムにおける前記データ送信装置が実行する情報処理方法であって、前記片方向通信において使用される第１パケットにより送信される第１データをもとに暗号鍵を生成し、当該暗号鍵を使用して、前記データを暗号化し、前記暗号化されたデータを、前記第１パケットの送信後に前記片方向通信において使用される第２パケットにより送信する、データ送信装置における情報処理方法である。

　この発明の第８の態様は、データ送信装置からデータ受信装置へ片方向通信を用いてデータを伝送するシステムにおける前記データ受信装置が実行する情報処理方法であって、前記データ送信装置から前記片方向通信により送信された、第１データを含む第１パケットと、前記データ送信装置から前記第１のパケットの送信後に前記片方向通信により送信された、暗号化されたデータを含む第２パケットを受信し、前記受信された第１パケットに含まれる第１データをもとに復号鍵を生成し、当該復号鍵を使用して、前記受信された第２パケットに含まれる暗号化されたデータを復号化する、データ受信装置における情報処理方法である。

　この発明の第９の態様は、データ送信装置からデータ受信装置へ片方向通信を用いてデータを伝送するシステムにおける前記データ送信装置において使用されるプログラムであって、前記データ送信装置に、前記片方向通信において使用される第１パケットにより送信される第１データをもとに暗号鍵を生成し、当該暗号鍵を使用して、前記データを暗号化させ、前記暗号化されたデータを、前記第１パケットの送信後に前記片方向通信において使用される第２パケットにおいて送信させる、プログラムである。

　この発明の第１０の態様は、データ送信装置からデータ受信装置へ片方向通信を用いて被測定者のデータを伝送するシステムにおける前記データ受信装置において使用されるプログラムであって、前記データ受信装置に、前記データ送信装置から前記片方向通信により送信された第１データを含む第１パケットと、前記データ送信装置から前記第１のパケットの送信後に前記片方向通信により送信された、暗号化されたデータを含む第２パケットを受信させ、前記受信された第１パケットに含まれる第１データをもとに復号鍵を生成し、当該復号鍵を使用して、前記受信された第２パケットに含まれる暗号化されたデータを復号化させる、プログラム、である。

　従って、第７の態様乃至第１０の態様においても、片方向通信において、機密性が要求されるデータのセキュリティを確保した通信を行なうことができる。

　本発明によれば、片方向通信において、機密性が要求されるデータのセキュリティを確保した通信を行なうことができる。

図１は、本実施形態に係るデータ送信装置１００の適用例を模式的に示す図である。図２は、本実施形態に係るデータ受信装置２００の適用例を模式的に示す図である。図３は、データ送信装置１００のハードウェア構成の一例を模式的に示す図である。図４は、データ受信装置２００のハードウェア構成の一例を模式的に示す図である。図５は、データ送信装置１００のソフトウェア機能構成の一例を模式的に示す図である。図６は、ＢＬＥにおいて行なわれるアドバタイジングの説明図である。図７は、ＢＬＥ無線通信パケットの基本構造を示す図である。図８は、アドバタイズメントパケットのＰＤＵフィールドについての説明図である。図９は、アドバタイズメントパケットのＰＤＵフィールドに格納されるデータを示す図である。図１０は、データ受信装置２００のソフトウェア機能構成の一例を模式的に示す図である。図１１は、データ送信装置１００及びデータ受信装置２００を含む暗号化／復号化システムを示す図である。図１２は、データ送信装置１００の動作の一例を示すフローチャートである。図１３は、データ受信装置２００の動作の一例を示すフローチャートである。図１４は、ユーザからの送信指示を待って、送信を行なうデータ受信装置２００の動作の一例を示すフローチャートである。図１５は、位置測定部１１８が設けられたデータ送信装置１００のハードウェア構成を示す図である。図１６は、位置測定部１１８が設けられたデータ送信装置１００のソフトウェアの機能を示す図である。図１７は、位置測定部１１８が設けられたデータ送信装置１００の動作を説明するためのフローチャートである。

　以下、本発明の一側面に係る実施の形態（以下、「本実施形態」とも表記する）を、図面に基づいて説明する。ただし、以下で説明する本実施形態は、あらゆる点において本発明の例示に過ぎない。本発明の範囲を逸脱することなく種々の改良や変形を行うことができることは言うまでもない。つまり、本発明の実施にあたって、実施形態に応じた具体的構成が適宜採用されてもよい。なお、本実施形態において登場するデータを自然言語により説明しているが、より具体的には、コンピュータが認識可能な疑似言語、コマンド、パラメータ、マシン語等で指定される。

　なお、以降、説明済みの要素と同一または類似の要素には同一または類似の符号を付し、重複する説明については基本的に省略する。　
　§１　適用例　
　まず、図１及び図２を用いて、本発明の一適用例について説明する。図１は、本実施形態に係るデータ送信装置１００の適用例を模式的に示す。データ送信装置１００は、少なくとも、データ記憶部１１、暗号化部１２及び送信部１３を含む。

　データ記憶部１１は、片方向通信において使用されるパケットにおいて送信されるデータを記憶する。

　暗号化部１２は、データ記憶部１１に記憶されたデータを暗号化して、送信部１３に暗号化されたデータを出力する。具体的には、片方向通信に使用される最初のパケットにおいて送信される暗号化されていないデータを暗号鍵として使用して、片方向通信に使用される第２番目以降のパケットにおいて送信される暗号化されていないデータを暗号化する。

　送信部１３は、データ記憶部１１に記憶されたデータ（暗号化されていないデータ）又は、暗号化部１２により暗号化されたデータを、片方向通信に使用されるパケットを使用して、図２に示すデータ受信装置２００に出力する。具体的には、送信部１３は、片方向通信に使用される最初のパケットにおいて暗号化されていないデータを送信し、片方向通信に使用される第２番目以降のパケットにおいて暗号化されたデータを送信する。

　実施形態では、送信部１３は、片方向通信に使用される最初のパケットにおいて暗号化されていない最初のデータを送信し、第２番目以降の片方向通信に使用されるパケットにおいて暗号化部１２により暗号化されたデータを送信するものとするが、これに限られるものではない。例えば、最初のパケット、第２番目のパケットにおいて暗号化されていないデータを送信し、第３番目以降の片方向通信に使用されるパケットにおいて、第２番目のパケットにおいて送信された暗号化されていないデータを使用して暗号化されたデータを送信しても良い。

　図２は、本実施形態に係るデータ受信装置２００の適用例を模式的に示す。データ受信装置２００は、少なくとも、受信部２１と、データ記憶部２２と、復号化部２３とを含む。

　受信部２１は、片方向通信に使用される最初のパケットにおいて送信された暗号化されていないデータを受信し、当該パケットに含まれるデータをデータ記憶部２０２に格納する。また、受信部２１は、片方向通信に使用されるパケットにおいて送信され、暗号化されたデータを復号化部２３に送信する。

　復号化部２３は、データ記憶部２２に記憶された最初のパケットにおいて送信された暗号化されていないデータを復号鍵として使用して、片方向通信に使用される第２番目以降のパケットにおいて送信された暗号化されたデータを復号化する。なお、最初のパケット、第２番目のパケットにおいて暗号化されていないデータが送信される場合には、復号化部２３は、データ記憶部２２に記憶された第２番目のパケットにおいて送信された暗号化されていないデータを復号鍵として使用して、片方向通信に使用される第３番目以降のパケットにおいて送信された暗号化されたデータを復号化する。

　これにより、データ送信装置１００及びデータ受信装置２００は、最初のパケットにおいて送信された暗号化されていないデータを双方ともに認識しているので、当該最初のパケットにおけるデータを鍵として使用して、データの暗号化及び復号化を行なうことができ、その結果、データのセキュリティを確保することができる。

　§２　構成例　
　［ハードウェア構成］　
　＜データ送信装置＞
　次に、図３を用いて、本実施形態に係るデータ送信装置１００のハードウェア構成の一例について説明する。図３は、データ送信装置１００のハードウェア構成の一例を模式的に示す。

　図３に示されるとおり、データ送信装置１００は、制御部１１１と、記憶部１１２と、通信インタフェース１１３と、入力装置１１４と、出力装置１１５と、外部インタフェース１１６と、バッテリ１１７とが電気的に接続されたコンピュータ、典型的には、血圧計、体温計、活動量計、歩数計、体組成計、体重計などのユーザの生体情報または活動情報に関する量を日常的に測定するセンサ装置である。なお、図３では、通信インタフェース及び外部インタフェースをそれぞれ、「通信Ｉ／Ｆ」及び「外部Ｉ／Ｆ」と記載している。

　制御部１１１は、ＣＰＵ、ＲＡＭ、ＲＯＭなどを含む。ＣＰＵは、記憶部１１２に格納されたプログラムをＲＡＭに展開する。そして、ＣＰＵがこのプログラムを解釈および実行することで、制御部１１１は、様々な情報処理、例えば、ソフトウェア機能構成の項目において説明される機能ブロックの処理を実行可能となる。

　記憶部１１２は、いわゆる補助記憶装置であり、例えば、内蔵または外付けのフラッシュメモリなどの半導体メモリ、ＨＤＤ、ＳＳＤであり得る。記憶部１１２は、制御部１１１で実行されるプログラム、制御部１１１によって使用されるデータ（例えば日時データおよびセンサデータ）などを記憶する。

　通信インタフェース１１３は、少なくとも、ＢＬＥなどの片方向通信の可能な無線モジュールを含む。入力装置１１４は、例えばタッチスクリーン、ボタン、スイッチなどのユーザ入力を受け付けるための装置と、ユーザの生体情報または活動情報に関する量を検知するためのセンサとを含む。出力装置１１５は、例えば、ディスプレイ、スピーカなどの出力を行うための装置である。

　外部インタフェース１１６は、ＵＳＢポート、メモリカードスロットなどであり、外部装置と接続するためのインタフェースである。

　バッテリ１１７は、データ送信装置１００の電源電圧を供給する。バッテリ１１７は、交換可能であってもよい。なお、データ送信装置１００がバッテリ駆動されることは必須ではなく、ＡＣ（Ａｌｔｅｒｎａｔｉｎｇ　Ｃｕｒｒｅｎｔ）アダプタを介して商用電源に接続可能であってもよい。この場合には、バッテリ１１７は省略され得る。

　なお、データ送信装置１００の具体的なハードウェア構成に関して、実施形態に応じて、適宜、構成要素の省略、置換及び追加が可能である。例えば、制御部１１１は、複数のプロセッサを含んでもよい。データ送信装置１００は、複数台のセンサ装置で構成されてもよい。

　＜データ受信装置＞　
　次に、図４を用いて、本実施形態に係るデータ受信装置２００のハードウェア構成の一例について説明する。図４は、データ受信装置２００のハードウェア構成の一例を模式的に示す。

　図４に示されるとおり、データ受信装置２００は、制御部２１１と、記憶部２１２と、通信インタフェース２１３と、入力装置２１４と、出力装置２１５と、外部インタフェース２１６とが電気的に接続されたコンピュータ、典型的にはスマートフォンである。なお、図４では、通信インタフェース及び外部インタフェースをそれぞれ、「通信Ｉ／Ｆ」及び「外部Ｉ／Ｆ」と記載している。

　制御部２１１は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）などを含む。ＣＰＵは、記憶部２１２に格納されたプログラムをＲＡＭに展開する。そして、ＣＰＵがこのプログラムを解釈および実行することで、制御部２１１は、様々な情報処理、例えば、ソフトウェア機能構成の項目において説明される機能ブロックの処理を実行可能となる。

　記憶部２１２は、いわゆる補助記憶装置であり、例えば、内蔵または外付けのフラッシュメモリなどの半導体メモリであり得る。記憶部２１２は、制御部２１１で実行されるプログラム、制御部２１１によって使用されるデータ（例えば、識別子、日時データおよびセンサデータ）などを記憶する。なお、データ受信装置２００が、ラップトップまたはデスクトップコンピュータなどである場合には、記憶部２１２は、ハードディスクドライブ（ＨＤＤ：Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）、ソリッドステートドライブ（ＳＳＤ：Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）などであり得る。

　通信インタフェース２１３は、主に、ＢＬＥ、移動通信（３Ｇ、４Ｇなど）および無線ＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）などのための各種無線通信モジュールであって、ネットワークを介して無線通信を行うためのインタフェースである。なお、通信インタフェース２１３が、有線ＬＡＮモジュールなどの有線通信モジュールをさらに備えていてもよい。

　入力装置２１４は、例えばタッチスクリーン、キーボード、マウスなどのユーザ入力（ユーザの操作情報）を受け付けるための装置である。出力装置２１５は、例えば、ディスプレイ、スピーカなどの出力を行うための装置である。

　外部インタフェース２１６は、ＵＳＢ（Ｕｎｉｖｅｒｓａｌ　Ｓｅｒｉａｌ　Ｂｕｓ）ポート、メモリカードスロットなどであり、外部装置と接続するためのインタフェースである。

　なお、データ受信装置２００の具体的なハードウェア構成に関して、実施形態に応じて、適宜、構成要素の省略、置換及び追加が可能である。例えば、制御部２１１は、複数のプロセッサを含んでもよい。データ受信装置２００は、複数台の情報処理装置で構成されてもよい。また、データ受信装置２００は、提供されるサービス専用に設計された情報処理装置の他、汎用のデスクトップＰＣ（Ｐｅｒｓｏｎａｌ　Ｃｏｍｐｕｔｅｒ）、タブレットＰＣ等が用いられてもよい。

　［ソフトウェア機能構成］　
　＜データ送信装置＞　
　次に、図５を用いて、本実施形態に係るデータ送信装置１００のソフトウェア機能構成の一例を説明する。図５は、データ送信装置１００のソフトウェア機能構成の一例を模式的に示す。

　図３に示した制御部１１１は、記憶部１１２に格納されているプログラムをＲＡＭに展開する。そして、制御部１１１は、このプログラムをＣＰＵにより解釈および実行して、図３に示した各種のハードウェア要素を制御する。これにより、図５に示されるとおり、データ送信装置１００は、生体センサ１０１と、動きセンサ１０２と、時計部１０３と、入力部１０４と、データ管理部１０５と、データ記憶部１０６と、送信／暗号化制御部１０７と、送信部１０８と、表示制御部１０９と、表示部１１０と、位置測定部１１８とを備えるコンピュータとして機能する。

　生体センサ１０１は、ユーザの生体情報に関する量を測定する。生体センサ１０１の動作は、例えば図示されないセンサ制御部によって制御される。生体センサ１０１は、生体情報に関する量を時計部１０３から受け取った日時データに関連付けて、データ管理部１０５へ送る。生体センサ１０１は、典型的には、ユーザの血圧を測定することで血圧データを得る血圧センサを含む。この場合に、生体情報は血圧データを含む。血圧データは、例えば、収縮期血圧および拡張期血圧の値と脈拍数とを含み得るが、これに限られない。このほか、生体情報は、心電データ、脈波データ、体温データなどを含むことができる。

　血圧センサは、ユーザの血圧を１拍毎に連続測定可能な血圧センサ（以降、連続型の血圧センサと称する）を含むことができる。連続型の血圧センサは、脈波伝播時間（ＰＴＴ；Ｐｕｌｓｅ　Ｔｒａｎｓｉｔ　Ｔｉｍｅ）からユーザの血圧を連続測定してもよいし、トノメトリ法または他の技法により連続測定を実現してもよい。

　血圧センサは、連続型の血圧センサに代えて、または、加えて、連続測定不可能な血圧センサ（以降、非連続型の血圧センサと称する）を含むこともできる。非連続型の血圧センサは、例えば、カフを圧力センサとして用いてユーザの血圧を測定する（オシロメトリック法）。

　非連続型の血圧センサ（特に、オシロメトリック方式の血圧センサ）は、連続型の血圧センサに比べて、測定精度が高い傾向にある。故に、血圧センサは、例えば、何らかの条件が満足する（例えば、連続型の血圧センサによって測定されたユーザの血圧データが所定の状態を示唆した）ことをトリガとして、連続型の血圧センサに代えて非連続型の血圧センサを作動させることにより、血圧データをより高い精度で測定してもよい。

　動きセンサ１０２は、例えば、加速度センサまたはジャイロセンサであり得る。動きセンサ１０２は、当該動きセンサ１０２の受ける加速度／角速度を検出することで３軸の加速度／角速度データを得る。動きセンサ１０２の動作は、例えば図示されないセンサ制御部によって制御される。この加速度／角速度データは、データ送信装置１００を装着しているユーザの活動状態（姿勢および／または動作）を推定するために用いることができる。動きセンサ１０２は、加速度／角速度データを時計部１０３から受け取った日時データに関連付けて、データ管理部１０５へ送る。

　なお、生体センサ１０１および動きセンサ１０２のうち一方が省略されてもよい。また、生体センサ１０１および動きセンサ１０２に加えて、または、代えて、環境センサが設けられてもよい。環境センサは、例えば、温度センサ、湿度センサ、気圧センサなどを含み得る。すなわち、センサデータとは、センサが予め定められた物理量を測定し、測定結果に基づいて生成する任意のデータであり得る。

　時計部１０３は、日時を指示する。時計部１０３は、例えば、固定周波数で振動する水晶発振器と、その出力を分周して１Ｈｚの信号を得る分周回路と、この信号をカウントして日時を示すシリアル値を得るカウンタとを含む。時計部１０３は、現在日時を示す日時データ（例えば上記シリアル値）を生体センサ１０１および動きセンサ１０２へ送る。日時データは、生体センサ１０１による生体情報に関する量の測定日時、動きセンサ１０２による加速度／角速度データの測定日時などとして用いることができる。

　時計部１０３（の保持するシリアル値）は、例えば、ユーザ入力によって調整（時刻合わせ）可能に設計されてもよいが、データ受信装置２００はデータ送信装置１００のローカル日時の正誤に関わらず、日時データを適宜書き換えることができる。故に、敢えて、かかる設計としないことで、入力装置１１４を簡素化（ボタン数の削減等）してもよい。なお、この場合にも、例えば、「１０分前」、「２時間前」、「昨日」、「１週間前」などの現在日時を基準とした相対的な日時をユーザに提示することは可能である。

　入力部１０４は、ユーザ入力を受け付ける。ユーザ入力は、例えば、送信部１０８によるデータ送信を制御するためのものであったり、表示部１１０によるデータ表示を制御するためのものであったり、生体センサ１０１または動きセンサ１０２による測定を開始するためのものであったりする。

　送信部１０８によるデータ送信を制御するためのユーザ入力は、例えば、特定の日時データおよびセンサデータのセットの送信を明示的または黙示的に指示するものなどであり得る。

　入力部１０４は、送信部１０８によるデータ送信を制御するためのユーザ入力を送信／暗号化制御部１０７へ送り、表示部１１０によるデータ表示を制御するためのユーザ入力を表示制御部１０９へ送り、生体センサ１０１または動きセンサ１０２による測定を開始するためのユーザ入力を図示されないセンサ制御部へ送る。

　データ管理部１０５は、生体センサ１０１または動きセンサ１０２から日時データに関連付けられたセンサデータ（生体情報または加速度／角速度データに関する量）を受け取り、これらをデータ記憶部１０６に書き込む。データ管理部１０５は、日時データおよびセンサデータを新たに受け取った場合に、これらを自動的に送信／暗号化制御部１０７または表示制御部１０９へ送ってもよい。また、データ管理部１０５は、送信／暗号化制御部１０７または表示制御部１０９からの命令をトリガとして、データ記憶部１０６に格納されている日時データおよびセンサデータのセットを読み出し、送信／暗号化制御部１０７または表示制御部１０９へ送ってもよい。

　データ記憶部１０６は、データ管理部１０５によって日時データおよびセンサデータのセットを読み書きされる。

　送信／暗号化制御部１０７は、データ管理部１０５から日時データおよびセンサデータのセットを受け取り、これらに基づいて、図７～図９に示したＢＬＥのアドバタイズメントパケットを生成する。ＢＬＥのアドバタイズメントパケットについては、後述する。

　送信／暗号化制御部１０７は、最初に送信される日時データおよびセンサデータのセットをＢＬＥのアドバタイズメントパケットのペイロードフィールドに格納する。また、送信／暗号化制御部１０７は、第２番目以降に送信される日時データおよびセンサデータのセットについては、最初に送信される日時データおよびセンサデータのセットを暗号鍵として使用して暗号化を行ない、暗号化された日時データおよびセンサデータのセットを第２番目以降のＢＬＥのアドバタイズメントパケットのペイロードフィールドに格納する。そして、送信／暗号化制御部１０７は、生成したアドバタイズメントパケットを送信部１０８へ送る。

　より具体的には、送信／暗号化制御部１０７は、最初に送信される暗号化されない日時データおよびセンサデータのセットを暗号鍵として使用して、所定の暗号化アルゴリズムに基づいて、第２番目以降に送信される日時データおよびセンサデータのセットを暗号化して、第２番目以降のＢＬＥのアドバタイズメントパケットのペイロードフィールドに格納する。

　暗号化アルゴリズムは、任意の暗号化アルゴリズムであってよく、特定の暗号化アルゴリズムに限定されるものではない。例えば、暗号化アルゴリズムとして、ＤＥＳ（Ｄａｔａ　Ｅｎｃｒｙｐｔｉｏｎ　Ｓｔａｎｄａｒｄ）、トリプルＤＥＳ、ＦＥＡＬ（ｔｈｅ　Ｆａｓｔ　Ｅｎｃｉｐｈｅｒｍｅｎｔ　Ａｌｇｏｒｉｔｈｍ）、ＩＤＥＡ（Ｉｎｅｔｅｒｎａｔｉｏｎａｌ　Ｄａｔａ　Ｅｎｃｒｙｐｔｉｏｎ　Ａｌｇｏｒｉｔｈｍ）を使用しても良い。

　アドバタイズメントパケットのペイロードに格納される、暗号鍵として使用されるセンサデータと、暗号化アルゴリズムで使用される鍵の長さが異なる場合、送信／暗号化制御部１０７は、暗号鍵として使用されるセンサデータの長さを調整しても良い。例えば、ＤＥＳ暗号化アルゴリズムでは、５６ビットの長さの暗号鍵が使用されるが、センサデータが５６ビットの長さに満たない場合、センサデータに所定のビットを付加して、暗号化アルゴリズムに使用しても良い。

　送信／暗号化制御部１０７は、入力部１０４から、送信部１０８によるデータ送信を制御するためのユーザ入力を受け取ることがある。この場合に、送信／暗号化制御部１０７は、ユーザ入力に基づいてデータ管理部１０５に特定の日時データおよびセンサデータのセットを要求する。

　送信部１０８は、送信／暗号化制御部１０７からＢＬＥのアドバタイズメントパケットを受け取り、これを送信（アドバタイジング）する。

　表示制御部１０９は、データ管理部１０５から日時データおよびセンサデータのセットを受け取り、これらに基づいて表示部１１０の表示データを生成する。また、表示制御部１０９は、時計部１０３を参照して、時計部１０３の保持する日時データを表示部１１０に表示させるための表示データを生成することもある。表示制御部１０９は、生成した表示データを表示部１１０へ送る。

　表示制御部１０９は、入力部１０４から、表示部１１０によるデータ表示を制御するためのユーザ入力を受け取ることがある。この場合に、表示制御部１０９は、ユーザ入力に基づいてデータ管理部１０５に特定の日時データおよびセンサデータのセットを要求したり、時計部１０３に略最新の日時データを要求したりする。

　表示部１１０は、表示制御部１０９から表示データを受け取り、これを表示する。

　ここで、ＢＬＥのアドバタイズメントについて概略的に説明する。　
　ＢＬＥにおいて採用されるパッシブスキャン方式では、図６に例示するように、新規ノードは自己の存在を周知するアドバタイズメントパケットを定期的に送信する。この新規ノードは、アドバタイズメントパケットを一度送信してから次に送信するまでの間に、低消費電力のスリープ状態に入ることで消費電力を節約できる。また、アドバタイズメントパケットの受信側も間欠的に動作するので、アドバタイズメントパケットの送受信に伴う消費電力は僅かである。

　図７にＢＬＥ無線通信パケットの基本構造を示す。ＢＬＥ無線通信パケットは、１バイトのプリアンブルと、４バイトのアクセスアドレスと、２～３９バイト（可変）のプロトコルデータユニット（ＰＤＵ：Ｐｒｏｔｏｃｏｌ　Ｄａｔａ　Ｕｎｉｔ）と、３バイトの巡回冗長チェックサム（ＣＲＣ：Ｃｙｃｌｉｃ　Ｒｅｄｕｎｄａｎｃｙ　Ｃｈｅｃｋｓｕｍ）とを含む。ＢＬＥ無線通信パケットの長さは、ＰＤＵの長さに依存し、１０～４７バイトである。１０バイトのＢＬＥ無線通信パケット（ＰＤＵは２バイト）は、Ｅｍｐｔｙ　ＰＤＵパケットとも呼ばれ、マスタとスレイブ間で定期的に交換される。

　プリアンブルフィールドは、ＢＬＥ無線通信の同期のために用意されており、「０１」または「１０」の繰り返しが格納される。アクセスアドレスは、アドバタイジングチャネルでは固定数値、データチャネルでは乱数のアクセスアドレスが格納される。本実施形態では、アドバタイジングチャネル上で伝送されるＢＬＥ無線通信パケットであるアドバタイズメントパケットを対象とする。ＣＲＣフィールドは、受信誤りの検出に用いられる。ＣＲＣの計算範囲は、ＰＤＵフィールドのみである。

　次に、図８を用いて、アドバタイズメントパケットのＰＤＵフィールドについて説明する。なお、データチャネル上で伝送されるＢＬＥ無線通信パケットであるデータ通信パケットのＰＤＵフィールドは図８とは異なるデータ構造を有するが、本実施形態ではデータ通信パケットを対象としていないので説明を省略する。

　アドバタイズメントパケットのＰＤＵフィールドは、２バイトのヘッダと、０～３７バイト（可変）のペイロードとを含む。ヘッダは、さらに、４ビットのＰＤＵ　Ｔｙｐｅフィールドと、２ビットの未使用フィールドと、１ビットのＴｘＡｄｄフィールドと、１ビットのＲｘＡｄｄフィールドと、６ビットのＬｅｎｇｔｈフィールドと、２ビットの未使用フィールドとを含む。

　ＰＤＵ　Ｔｙｐｅフィールドには、このＰＤＵのタイプを示す値が格納される。「接続可能アドバタイジング」、「非接続アドバタイジング」などのいくつかの値が定義済みである。ＴｘＡｄｄフィールドには、ペイロード中に送信アドレスがあるか否かを示すフラグが格納される。同様に、ＲｘＡｄｄフィールドには、ペイロード中に受信アドレスがあるか否かを示すフラグが格納される。Ｌｅｎｇｔｈフィールドには、ペイロードのバイトサイズを示す値が格納される。

　ペイロードには、任意のデータを格納することができる。そこで、データ送信装置１００は、例えば図９に例示されるようなデータ構造を用いて、センサデータおよび日時データをペイロードに格納する。図９のデータ構造は、１人のユーザの血圧および脈拍の１回分のセンサデータを伝送するために使用可能である。なお、図９のデータ構造は、１人のユーザの血圧および脈拍の複数回分のセンサデータを伝送するように変形されてもよい。

　Ｕｓｅｒ　ＩＤフィールドは、ユーザを特定する識別子が格納される。なお、ユーザの識別子の代わりに、或いは、これに加えて、データ送信装置１００またはデータ受信装置２００を特定する識別子が格納されてもよい。

　Ｔｉｍｅフィールドは、日時データが格納される。Ｓｙｓ、ＤｉａおよびＰｕｌｓｅフィールドは、それぞれ、日時データに関連付けられる収縮期血圧（Ｓｙｓｔｏｌｉｃ　Ｂｌｏｏｄ　Ｐｒｅｓｓｕｒｅ）、拡張期血圧（Ｄｉａｓｔｏｌｉｃ　Ｂｌｏｏｄ　Ｐｒｅｓｓｕｒｅ）および脈拍数のデータが格納される。このように日時データに関連付けられるセンサデータは、１種に限られず複数種であってもよい。

　＜データ受信装置＞　
　次に、図１０を用いて、本実施形態に係るデータ受信装置２００のソフトウェア機能構成の一例を説明する。図１０は、データ受信装置２００のソフトウェア機能構成の一例を模式的に示す。

　図４に示した制御部２１１は、記憶部２１２に格納されているプログラムをＲＡＭに展開する。そして、制御部２１１は、このプログラムをＣＰＵにより解釈および実行して、図４に示した各種のハードウェア要素を制御する。これにより、図１０に示されるとおり、データ受信装置２００は、受信部３０２、復号化部３０３及び送信部３０４とを備えるコンピュータとして機能する。

　受信部３０２は、データ送信装置１００から、センサデータと当該センサデータに関連付けられた日時データとを含むパケットを受信する。このパケットは、例えばＢＬＥにおけるアドバタイズメントパケットである。ただし、ＢＬＥは、将来的に他の低消費電力・片方向通信可能な通信規格に置き換わる可能性がある。その場合には、以降の説明を適宜読み替えればよい。

　受信部３０２は、例えば、ＢＬＥのアドバタイズメントパケットからＰＤＵのペイロードを抽出する。そして、受信部３０２は、図９のＵｓｅｒ　ＩＤフィールドの値が不適切であるならば受信パケットを破棄してもよい。Ｕｓｅｒ　ＩＤフィールドの値が不適切である場合とは、受信パケットのＰＤＵのペイロードに格納されたユーザＩＤと、受信装置２００に予め格納されたユーザＩＤとが一致しない場合である。

　他方、受信部３０２は、図９のＵｓｅｒ　ＩＤフィールドの値が適切である（自己のユーザの値に一致する）ならば、Ｔｉｍｅフィールドに格納された日時データと、Ｓｙｓ，ＤｉａおよびＰｕｌｓｅフィールドに格納されたセンサデータとを復号化部３０３又はデータ記憶部３０１へ送る。

　実施形態では、受信部３０２は、最初のアドバタイズメントパケットにおける暗号化されていない日時データ及びセンサデータのセットをデータ記憶部３０１に格納する。また、受信部３０２は、第２番目以降のアドバタイズメントパケットにおける暗号化された日時データ及びセンサデータのセットを復号化部３０３に送る。最初のアドバタイズメントパケットであるか否かは、例えば、時間的に最初に受信したアドバタイズメントパケットにおける暗号化されていない日時データ及びセンサデータのセットを復号鍵として、後述する復号化部３０３により、第２番目以降のアドバタイズメントパケットにおける暗号化された日時データ及びセンサデータのセットを復号化した場合に、当該暗号化された日時データ及びセンサデータのセットが正常に復号化することができた場合、最初のアドバタイズメントパケットであると認定する。

　復号化部３０３は、データ記憶部３０１に格納された暗号化されていない日時データ及びセンサデータのセットを復号鍵として使用して、第２番目以降のアドバタイズメントパケットにおける暗号化された日時データ及びセンサデータのセットを復号化する。そして、復号化部３０３は、復号化された第２番目以降のアドバタイズメントパケットにおける暗号化された日時データ及びセンサデータのセットをデータ記憶部３０１に格納する。

　より具体的には、復号化部３０３は、最初のアドバタイズメントパケットにおける暗号化されていない日時データ及びセンサデータのセットを復号鍵として使用して、送信／暗号化制御部１０７において暗号化に使用されている暗号化アルゴリズムに対応する復号化アルゴリズムに基づいて、第２番目以降のアドバタイズメントパケットのペイロードフィールドに格納された日時データおよびセンサデータのセットを復号化する。

　アドバタイズメントパケットのペイロードに格納される復号鍵として使用されるセンサデータと、復号化アルゴリズムで使用される鍵の長さが異なる場合、復号化部３０３は、復号鍵として使用されるセンサデータの長さを調整しても良い。例えば、ＤＥＳ暗号化アルゴリズムでは、５６ビットの長さの復号鍵が使用されるが、センサデータが５６ビットの長さに満たない場合、センサデータに所定のビットを付加して、復号化アルゴリズムに使用しても良い。

　送信部３０４は、データ記憶部３０１に格納された第１番目から第ｎ番目までの暗号化されていない日時データ及びセンサデータのセットを受け取り、これらをネットワーク経由でサーバ３００へ送信する（図１１参照）。送信部３０４は、例えば移動通信またはＷＬＡＮを利用する。なお、図１１の例では、データ送信装置１００として腕時計型のウェアラブル血圧計の外観が示されているが、データ送信装置１００の外観はこれに限られず据え置き型の血圧計であってもよいし、他の生体情報または活動情報に関する量を測定するセンサ装置であり得る。

　サーバ３００は、多数のユーザのセンサデータ（主に生体情報に関する量）を管理するデータベースに相当する。サーバ３００は、ユーザ自身のほか、例えば、ユーザの健康指導、保険加入査定、健康増進プログラムの成績評価などに供するために、健康指導者、保険会社またはプログラム運営者のＰＣなどからのアクセスに応じて当該ユーザの生体情報を送信してもよい。

　§３　動作例　
　図１２は、データ送信装置１００の動作の一例を示すフローチャートである。なお、以下で説明する処理手順は一例に過ぎず、各処理は可能な限り変更されてよい。また、以下で説明する処理手順について、実施の形態に応じて、適宜、ステップの省略、置換、及び追加が可能である。

　図１２の動作例は、図示されないセンサ制御部が生体センサ１０１に測定を開始するための命令を与えることで開始する。なお、図１２の動作例に限らず、データ送信装置１００は、予め定められた様々なトリガに応じて、時計部１０３の略最新の（日時の関連付けに使用可能な）日時データをＢＬＥのアドバタイズメントパケットに格納して送信することができる。略最新の日時データは、センサデータに関連付けられて送信されてもよいし、センサデータとは独立に送信されてもよい。

　生体センサ１０１は、ユーザの個人情報である生体情報に関する量を測定してセンサデータを生成する。このセンサデータは、時計部１０３の日時データと関連付けて、データ管理部１０５へ送られる。データ管理部１０５は、日時データおよびセンサデータのセットをデータ記憶部１０６へ書き込む。

　すなわち、最初に送信される第１アドバタイジングパケットにおいて送信される日時データおよびセンサデータを含む第１セットと、第２番目以降に送信される第２アドバタイジングパケットにおいて送信される日時データおよびセンサデータを含む第２セットがデータ記憶部１０６に書き込まれる（Ｓ１１）。

　次に、送信／暗号化制御部１０７が、データ管理部１０５を介して、データ記憶部１０６に格納された第１セットを読み出す（Ｓ１２）。そして、日時データおよびセンサデータを含む第１セットが格納された最初に送信される第１アドバタイジングパケットを生成し、送信部１０８に出力する（Ｓ１３）。送信部１０８は、第１セットが格納された第１アドバタイジングパケットをネットワークを介してデータ受信装置２００に送信する（Ｓ１４）。

　その後、送信／暗号化制御部１０７は、データ管理部１０５を介して、データ記憶部１０６に格納された第２セットを読み出す（Ｓ１５）。次に、送信／暗号化制御部１０７は、第１セットに基づいて生成した暗号鍵を使用して、第２セットを暗号化する（Ｓ１６）。

　このとき、暗号鍵は例えば次のように生成する。すなわち、センサデータとしての生体情報が血圧情報の場合、収縮期の血圧値と拡張期の血圧値との合計値又は差分値、或いは収縮期の血圧値、拡張期の血圧値及び脈拍値の合計値等を使用して暗号鍵を生成する。つまり、収縮期の血圧値、拡張期の血圧値及び脈拍値を予め定めた演算ルールにより演算した値をもとに暗号鍵を生成する。なお、センサデータが血圧情報以外に体温や歩数、活動量等の他の情報を含む場合には、これら複数種のセンサデータを予め決められたルールに従い組み合わせ、その各値をもとに暗号鍵を生成するようにしてもよい。

　そして、暗号化された第２セットを含む第２アドバタイジングパケットを生成し、送信部１０８に出力する（Ｓ１７）。送信部１０８は、第２セットが格納された第２アドバタイジングパケットをネットワークを介してデータ受信装置２００に送信する（Ｓ１８）。

　このようにして、第２番目以降に送信される第２アドバタイジングパケットに格納される第２セットは、最初に送信された第１アドバタイジングパケットに含まれる第１セットに基づいて生成した暗号鍵を使用して暗号化され、第２アドバタイジングパケットとして送信される。

　図１３は、データ受信装置２００の動作の一例を示すフローチャートである。同図に示すように、まず、受信部３０２が第１アドバタイジングパケットを受信する（Ｓ２１）。

　次に、受信部３０２が第１アドバタイジングパケットの暗号化されていない第１データセットをデータ記憶部３０１に格納する（Ｓ２２）とともに、送信部３０４がデータ記憶部３０１に格納された第１アドバタイジングパケットの暗号化されていない第１データセットをサーバ３００に送信する（Ｓ２３）。

　次に、受信部３０２が第２アドバタイジングパケットを受信すると（Ｓ２４）、受信部３０２は、第２アドバタイジングパケットの暗号化された第２データセットを復号化部３０３に送信する（Ｓ２５）。

　復号化部３０３は、第２アドバタイジングパケットの暗号化された第２データセットを、データ記憶部３０１に記憶された第１データセットをもとに生成した復号鍵を使用して、復号化する（Ｓ２６）。上記複合鍵も、先に述べた暗号鍵を生成する際に使用したルールと同一のルールに基づいて生成する。

　そして、復号化部３０３は、復号化された第２アドバタイジングパケットの第２データセットをデータ記憶部３０１に記憶し（Ｓ２７）、送信部３０４がデータ記憶部３０１に格納された第２アドバタイジングパケットの復号化された第２データセットをサーバ３００に送信する（Ｓ２８）。

　なお、上述の実施形態では、データ送信装置１００は、第１のセンサデータ及び第２のセンサデータを受信した場合に、これらのセンサデータを順次第１アドバタイジングパケット及び第２アドバタイジングパケットにより送信する場合について説明したが、送信／暗号化制御部１０７はユーザからの送信指示を待ってから、第１アドバタイジングパケットを送信しても良い。

　図１２の動作例では、第１アドバタイズメントパケットにより送信される第１のセンサデータは暗号化されていないので、データの機密性の確保という観点からは、第１アドバタイズメントパケットの送信も周囲に他人がいない状況下で行なうことが望ましい。　図１４は、ユーザからの送信指示を待って、送信タイミングを決定する場合のデータ送信装置１００の動作を説明するためのフローチャートである。

　上述のように、Ｓ１１において、最初に送信される第１アドバタイジングパケットにおいて送信される日時データおよびセンサデータを含む第１セット及び第２番目以降に送信される第２アドバタイジングパケットにおいて送信される日時データおよびセンサデータを含む第２セットがデータ記憶部１０６に書き込まれる。

　その後、送信／暗号化制御部１０７がユーザからの指示を受信したかの判断が行なわれ（Ｓ３１）、ユーザからの指示を受信したと判断された場合、図１２に示したＳ１２の処理に移る。

　以上したように、ユーザが周辺に他人が存在しない状況下で送信指示を入力し、この送信指示の入力に応じて、第１のデータセットを含む第１アドバタイズメントパケットを送信することで、例えば、病院などの人混みの中でデータを送信することを避けて、ユーザが自宅でのみ送信を行なうことができル。その結果、暗号化されない第１のデータセットを周辺の他人の端末等で傍受されることなく送信することが可能となり、これにより第１のデータセットのセキュリティを高めることが可能となる。

　また、データ送信装置１００の位置情報に基づいて、送信のタイミングを決定しても良い。例えば、データ送信装置１００に、図１５に示すように位置測定部１１８を設け、この位置測定部１１８によりデータ送信装置１００の位置を検出し、当該検出された位置が例えば自宅内やオフィス内のように不特定の他人が周囲に存在しない場所に対応する場合に、第１のデータセットを含む第１アドバタイズメントパケットを送信する。このようにすると、ユーザが送信指示を入力しなくても、暗号化されない第１のデータセットを不特定の他人の端末等で傍受されることなく送信することが可能となり、これにより第１のデータセットのセキュリティを高めることが可能となる。

　なお、位置測定部１１８は、例えばＧＰＳ（Ｇｌｏｂａｌ　Ｐｏｓｉｔｉｏｎｉｎｇ　Ｓｙｓｔｅｍ）を利用したもので、データ送信装置１００の現在位置を緯度経度として算出する。

　また、送信／暗号化制御部１０７には、図１６に示すように、位置測定部１１８からデータ送信装置１００の位置情報が入力される。送信／暗号化制御部１０７は、位置測定部１１８からのデータ送信装置１００の位置情報に基づいて、第１アドバタイジングパケット及び第２アドバタイジングパケットの送信のタイミングを決定する。

　図１７は、位置情報を使用して、送信タイミングを決定する場合のデータ送信装置１００の動作を説明するためのフローチャートである。

　その後、送信／暗号化制御部１０７が位置測定部１１８からデータ送信装置１００の位置情報を受信する（Ｓ４１）。そして、受信したデータ送信装置１００の位置情報に基づいて、データ送信装置１００の位置が所定の位置であるかの判断が行なわれる（Ｓ４２）。所定の位置は、例えば、ユーザにより設定されることが可能であり、自宅や病院の位置が設定される。

　Ｓ４２において、データ送信装置１００の位置が所定の位置であると判断された場合、図１２に示したＳ１２の処理に移る。

　［作用・効果］
　従って、本実施形態によれば、データ送信装置１００は、ＢＬＥの第１アドバタイズメントパケットにおいて送信される第１データをもとに生成される暗号鍵を使用して、被測定者の生体情報を暗号化する。そして、暗号化された生体情報を、第１アドバタイズメントパケットに送信されるＢＬＥの第１アドバタイズメントパケットの送信後に送信される第２アドバタイズメントパケットにおいて送信する。したがって、片方向通信においてペアリング処理を必要とせず、また、第１アドバタイズメントパケットの送信後に送信される第２アドバタイズメントパケットで送信される生体情報の暗号化を行なうことにより、機密性を担保することができる。

　また、データ受信装置２００は、第１アドバタイズメントパケット及び第２アドバタイズメントパケットを受信し、受信した第１アドバタイズメントパケットに含まれる第１データをもとに生成される復号鍵を使用して、第２アドバタイズメントパケットに含まれる暗号化された生体情報を復号化する。従って、データ受信装置２００は、暗号化されていない第１データを使用して生体情報を復号化することができるので、片方向通信においてペアリング処理を必要としない。また、第１アドバタイズメントパケットの送信後に送信される第２アドバタイズメントパケットで送信される暗号化された生体情報の復号化を行なうことができるので、機密性を担保することができる。

　以上、本発明の実施の形態を詳細に説明してきたが、前述までの説明はあらゆる点において本発明の例示に過ぎない。本発明の範囲を逸脱することなく種々の改良や変形を行うことができることは言うまでもない。例えば、以下のような変更が可能である。なお、以下では、上記実施形態と同様の構成要素に関しては同様の符号を用い、上記実施形態と同様の点については、適宜説明を省略した。以下の変形例は適宜組み合わせ可能である。

　§４　変形例　
　＜４．１＞
　例えば、送信部１０８は、片方向通信に使用される最初のパケットにおいて暗号化されていない最初のデータを送信し、第２番目以降の片方向通信に使用されるパケットにおいて送信／暗号化制御部１０７により暗号化されたデータを送信するものとしたが、最初のパケットにかかわらず、任意の順番のパケットにおいて暗号化されていないデータを送信し、当該任意の順番におけるデータを使用して、データを暗号化して、任意の順番のパケットが送信された後のパケットにおいて暗号化されたデータを送信しても良い。

　この場合、復号化部３０３は、当該任意の順番のパケットにおける暗号化されていないデータを使用して、任意の順番のパケットが送信された後のパケットにおけるデータを復号する。

　また、暗号化されていないデータを定期的に片方向通信に使用されるパケットにおいて送信しても良い。これにより、片方向通信に使用される最初のパケットにおけるデータを受信できなかった場合であっても、その後に、定期的に送信される暗号化されていないデータを利用することにより、データを復号することができる。

　＜４．２＞
　送信／暗号化制御部１０７は、最初に送信されるＢＬＥのアドバタイズメントパケットに含まれる日時データおよびセンサデータをもとに生成される暗号鍵を使用して、第２番目以降のアドバタイズメントパケットにおいて送信される日時データおよびセンサデータを暗号化する場合について説明したが、上記暗号鍵は日時データ又はセンサデータのいずれか一方を使用して生成しても良いし、日時データ及びセンサデータの予め決められた一部を使用して生成しても良い。

　同様に、復号化部３０３は、最初に送信されるＢＬＥのアドバタイズメントパケットに含まれる日時データおよびセンサデータを元に生成される復号鍵を使用して、第２番目以降のアドバタイズメントパケットに送信される日時データおよびセンサデータを復号化する場合について説明したが、復号鍵は日時データ又はセンサデータのいずれか一方を使用して生成しても良いし、日時データ及びセンサデータの一部を使用して生成しても良い。

　従って、ＢＬＥのアドバタイズメントパケットのペイロードフィールドに、日時データおよびセンサデータのセットを格納する場合について説明したが、これに限られるものではない。例えば、センサデータのみを格納しても良いし、センサデータの一部のみを格納しても良い。

　要するにこの発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。

　上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られるものではない。　
　（付記１）
　データ送信装置からデータ受信装置へ片方向通信を用いてデータ伝送するシステムにおける前記データ送信装置であって、
　メモリと、
　前記メモリに接続されたプロセッサと
を具備し、
　前記プロセッサは、
　前記片方向通信において使用される第１パケットにより送信される第１データをもとに暗号鍵を生成し、当該暗号鍵を使用して前記データを暗号化し、
　前記暗号化されたデータを、前記第１パケットの送信後に前記片方向通信において使用される第２パケットにより送信するように構成される、データ送信装置。

　（付記２）
　データ送信装置からデータ受信装置へ片方向通信を用いてデータを伝送するシステムにおける前記データ受信装置であって、
　メモリと、
　前記メモリに接続されたプロセッサと
を具備し、
　前記プロセッサは、
　前記データ送信装置から前記片方向通信により送信された、第１データを含む第１パケットと、前記データ送信装置から前記第１のパケットの送信後に前記片方向通信により送信された、暗号化されたデータを含む第２パケットを受信し、
　前記受信された第１パケットに含まれる第１データをもとに復号鍵を生成し、当該復号鍵を使用して、前記受信された第２パケットに含まれる暗号化された個人情報を復号化するように構成される、データ受信装置。

　１１、２２・・・データ記憶部
　１２・・・暗号化部
　１３・・・送信部
　２１・・・受信部
　２３・・・復号化部
　１００・・・データ送信装置
　１０１・・・生体センサ
　１０２・・・動きセンサ
　１０３・・・時計部
　１０４・・・入力部
　１０５，２０４・・・データ管理部
　１０６，２０５・・・データ記憶部
　１０７・・・送信／暗号化制御部
　１０８，２０６・・・送信部
　１０９・・・表示制御部
　１１０・・・表示部
　１１１，２１１・・・制御部
　１１２，２１２・・・記憶部
　１１３，２１３・・・通信インタフェース
　１１４，２１４・・・入力装置
　１１５，２１５・・・出力装置
　１１６，２１６・・・外部インタフェース
　１１７・・・バッテリ
　３００・・・サーバ
　３０１・・・データ記憶部
　３０２・・・受信部
　３０３・・・復号化部
　３０４・・・送信部。

Claims

　データ送信装置からデータ受信装置へ片方向通信を用いてデータを伝送する情報処理システムにおいて、
　前記データ送信装置は、
　前記片方向通信において使用される第１パケットにより送信される第１データをもとに暗号鍵を生成し、当該暗号鍵を使用して前記データを暗号化する暗号化部と、
　前記暗号化されたデータを、前記第１パケットの送信後に前記片方向通信において使用される第２パケットにより送信するデータ送信部と
を具備し、
　前記データ受信装置は、
　前記第１パケットと、前記第２パケットを受信する受信部と、
　前記受信された第１パケットに含まれる第１データをもとに、復号鍵を生成し、当該復号鍵を使用して、前記暗号化の方法に対応する復号化の方法により、前記受信された第２パケットに含まれる暗号化されたデータを復号化する復号化部と
を具備する、情報処理システム。
　前記データ送信部は、前記ユーザからの送信指示を受け付けた場合に、前記第１パケットを送信する、請求項１記載の情報処理システム。
　前記データ送信装置の位置を測定する位置測定部をさらに具備し、
　前記データ送信部は、前記測定された情報処理装置の位置に応じて、前記第１パケットを送信するか否かを決定する、
請求項１記載の情報処理システム。
　前記第１パケット及び前記第２パケットは、ＢＬＥ（Ｂｌｕｅｔｏｏｔｈ　Ｌｏｗ　Ｅｎｅｒｇｙ）のアドバタイズメントパケットである、請求項１記載の情報処理システム。
　データ送信装置からデータ受信装置へ片方向通信を用いてデータを伝送するシステムにおける前記データ送信装置であって、
　前記片方向通信において使用される第１パケットにより送信される第１データをもとに暗号鍵を生成し、当該暗号鍵を使用して前記データを暗号化する暗号化部と、
　前記暗号化されたデータを、前記第１パケットの送信後に前記片方向通信において使用される第２パケットにより送信するデータ送信部と
を具備する、データ送信装置。
　データ送信装置からデータ受信装置へ片方向通信を用いてデータを伝送するシステムにおける前記データ受信装置であって、
　前記データ送信装置から前記片方向通信により送信された、第１データを含む第１パケットと、前記データ送信装置から前記第１のパケットの送信後に前記片方向通信により送信された、暗号化されたデータを含む第２パケットを受信する受信部と、
　前記受信された第１パケットに含まれる第１データをもとに復号鍵を生成し、当該復号鍵を使用して、前記受信された第２パケットに含まれる暗号化されたデータを復号化する復号化部と
を具備する、データ受信装置。
　データ送信装置からデータ受信装置へ片方向通信を用いてデータを伝送するシステムにおける前記データ送信装置が実行する情報処理方法であって、
　前記片方向通信において使用される第１パケットにより送信される第１データをもとに暗号鍵を生成し、当該暗号鍵を使用して、前記データを暗号化し、
　前記暗号化されたデータを、前記第１パケットの送信後に前記片方向通信において使用される第２パケットにより送信する、
データ送信装置における情報処理方法。
データ送信装置からデータ受信装置へ片方向通信を用いてデータを伝送するシステムにおける前記データ受信装置が実行する情報処理方法であって、　前記データ送信装置から前記片方向通信により送信された、第１データを含む第１パケットと、前記データ送信装置から前記第１のパケットの送信後に前記片方向通信により送信された、暗号化されたデータを含む第２パケットを受信し、
　前記受信された第１パケットに含まれる第１データをもとに復号鍵を生成し、当該復号鍵を使用して、前記受信された第２パケットに含まれる暗号化されたデータを復号化する、
データ受信装置における情報処理方法。
　データ送信装置からデータ受信装置へ片方向通信を用いてデータを伝送するシステムにおける前記データ送信装置において使用されるプログラムであって、
　前記データ送信装置に、
　前記片方向通信において使用される第１パケットにより送信される第１データをもとに暗号鍵を生成し、当該暗号鍵を使用して、前記データを暗号化させ、
　前記暗号化されたデータを、前記第１パケットの送信後に前記片方向通信において使用される第２パケットにおいて送信させる、
プログラム。
　データ送信装置からデータ受信装置へ片方向通信を用いて被測定者のデータを伝送するシステムにおける前記データ受信装置において使用されるプログラムであって、
　前記データ受信装置に、
　前記データ送信装置から前記片方向通信により送信された第１データを含む第１パケットと、前記データ送信装置から前記第１のパケットの送信後に前記片方向通信により送信された、暗号化されたデータを含む第２パケットを受信させ、
　前記受信された第１パケットに含まれる第１データをもとに復号鍵を生成し、当該復号鍵を使用して、前記受信された第２パケットに含まれる暗号化されたデータを復号化させる、
プログラム。