WO2019031339A1

WO2019031339A1 - 情報処理装置、サーバおよびデータ伝送システム

Info

Publication number: WO2019031339A1
Application number: PCT/JP2018/028822
Authority: WO
Inventors: 久保　誠雄; 出野　徹; 秀規近藤
Original assignee: オムロンヘルスケア株式会社; オムロン株式会社
Priority date: 2017-08-09
Filing date: 2018-08-01
Publication date: 2019-02-14
Also published as: DE112018004052T5; US11317290B2; JP6918626B2; CN110999358A; CN110999358B; US20200145832A1; JP2019033451A

Abstract

本発明の一態様によれば、情報処理装置は、センサ装置から受信した片方向通信用の第１のパケットから抽出された識別子が、情報処理装置とは異なる情報処理装置を正当な宛先として表す第１の値、情報処理装置のユーザとは異なるユーザを正当な宛先として表す第２の値および情報処理装置に関連付けられるセンサ装置とは異なるセンサ装置を送信元として表す第３の値のうち少なくとも１つを含むか否かを判定する判定部と、識別子が、第１の値、第２の値および第３の値のうち少なくとも１つを含む場合には、この値を格納した第２のパケットを生成する生成部と、第２のパケットをサーバへ送信する送信部とを含む。

Description

情報処理装置、サーバおよびデータ伝送システム

　本発明は、センサ装置と情報処理装置との間で行われる通信のセキュリティに関する。

　血圧データをユーザの携帯情報端末に伝送する機能を備えた血圧計が市場投入されている。携帯情報端末としては、例えばスマートフォンやタブレット型端末、ノート型パーソナルコンピュータが用いられる。かかる機能を利用すれば、ユーザは様々な状況下での自己の血圧の測定結果を携帯情報端末で一覧することができる。また、血圧データの伝送には、近距離無線通信技術、特にＢｌｕｅｔｏｏｔｈ（登録商標）技術が典型的には使用される。一般に、Ｂｌｕｅｔｏｏｔｈの通信（コネクション）は、ＷＬＡＮ（Ｗｉｒｅｌｅｓｓ　Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）通信に比べると、小規模かつ省電力に実現可能である。Ｂｌｕｅｔｏｏｔｈの仕様のバージョン４．０は、ＢＬＥ（Ｂｌｕｅｔｏｏｔｈ　Ｌｏｗ　Ｅｎｅｒｇｙ）とも呼ばれ、従前の仕様に比べて消費電力をさらに少なくすることが可能である。

　ＢＬＥでは、コネクションと呼ばれる双方向通信を行うことができる。しかしながら、コネクションは、ペアリングのためにユーザに課される操作が煩雑である、ペアリング後の通信手順が煩雑である、携帯情報端末側がＢＬＥをサポートしている必要がある、携帯情報端末ばかりでなく血圧計にも高性能なハードウェア（プロセッサ、メモリ）が必要となる、開発／評価コストが高い、通信のオーバーヘッド量が大きく小容量のデータ送信に向かない、などの問題がある。

　他方、ＢＬＥでは、アドバタイジングと呼ばれる片方向通信を行うこともできる。特許第５８５２６２０号公報には、アドバタイズメントパケットのデータフィールドの余白部分に任意のデータを含めて送信する技術が開示されている。

　アドバタイジングを利用して血圧データを送信すれば、ペアリングやその後の煩雑な通信手順が不要となるので、先の問題は解消または軽減される。しかしながら、例えば血圧計が片方向の送信機能しか実装していなければ、携帯情報端末から血圧計に制御データを送って制御したり、逆に、血圧計から携帯情報端末の状態（データの受信状況など）を参照したりすることができなくなる。

　また、一般に血圧計から無線送信されるデータは、その電波の伝播状況次第で、ユーザの携帯情報端末以外のデータ受信装置によっても受信可能である。このとき、仮に血圧データが暗号化されずに送信されていれば、ユーザの血圧データが他人に見られるおそれがある。このようなユーザの健康状態を表す情報の漏洩を予防して、血圧データの伝送機能の安全性を高めることが求められる。前述のように、例えば血圧計が片方向の送信機能しか実装していなければ、血圧計は、携帯情報端末におけるデータの受信状況を参照することはできないので、携帯情報端末においてデータ欠損が生じないように、必要以上に大きな電力でパケットを送信したり、暗号化されていないデータを送信したりすることがあるかもしれない。かかる場合には、ユーザの健康状態を表す情報の漏洩が生じやすくなる。

　本発明は、センサデータが正当でない情報処理装置によって受信された場合に正当な宛先装置のユーザに対して注意喚起することを目的とする。

　本発明の第１の態様によれば、データ伝送システムは、サーバと、前記サーバと通信する第１の情報処理装置と、前記サーバと通信する第２の情報処理装置とを含む。前記第１の情報処理装置は、センサ装置から片方向通信用の第１のパケットを受信し、センサデータと、前記第１のパケットの送信元または正当な宛先を表す識別子とを前記第１のパケットから抽出する第１の受信部と、前記識別子が、前記第１の情報処理装置とは異なる情報処理装置を前記正当な宛先として表す第１の値、前記第１の情報処理装置のユーザとは異なるユーザを前記正当な宛先として表す第２の値および前記第１の情報処理装置に関連付けられる第１のセンサ装置とは異なるセンサ装置を前記送信元として表す第３の値のうち少なくとも１つを含むか否かを判定する判定部と、前記識別子が、前記第１の値、前記第２の値および前記第３の値のうち少なくとも１つを含む場合には、前記第１の値、前記第２の値および前記第３の値のうち少なくとも１つを格納した第２のパケットを生成する生成部と、前記第２のパケットを前記サーバへ送信する送信部とを含む。前記サーバは、前記第１の情報処理装置から前記第２のパケットを受信し、前記前記第２のパケットのペイロードに格納されたデータを抽出する受信部と、前記ペイロードに格納されたデータが識別子を含む場合に、当該識別子が、前記第１の値、前記第２の値および前記第３の値のうち少なくとも１つを含むか否かを判定する判定部と、前記識別子が前記第１の値、前記第２の値および前記第３の値のうち少なくとも１つを含む場合には、前記第１の値、前記第２の値および前記第３の値の少なくとも１つに関連付けられる前記第２の情報処理装置のユーザのためのアラートデータを生成する生成部と、前記アラートデータを前記第２の情報処理装置へ送信する送信部とを含む。前記アラートデータは、前記第２の情報処理装置に関連付けられる第２のセンサ装置からのセンサデータの伝送に関わるセキュリティを強化するように前記第２の情報処理装置のユーザを動機付けるための出力に用いられるデータを含む。故に、このデータ伝送システムにおいて、第１の情報処理装置は、センサ装置から受信した片方向通信用のパケットに格納された識別子が不適切であった場合にその旨をサーバへ報告できる。そして、このサーバが、パケットの正当な宛先装置である第２の情報処理装置へ例えば注意喚起のための出力に用いられるアラートデータを送信することで、当該パケットの送信元であるセンサ装置に片方向通信の送信機能のみが実装されていたとしても、当該センサ装置に対して適切なセキュリティ対策を講じるようにユーザを動機付けることができる。すなわち、センサデータが正当でない情報処理装置によって受信された場合に正当な宛先装置のユーザに対して注意喚起することができる。

　本発明の第２の態様によれば、情報処理装置は、サーバと通信する。前記情報処理装置は、センサ装置から片方向通信用の第１のパケットを受信し、センサデータと、前記第１のパケットの送信元または正当な宛先を表す識別子とを前記第１のパケットから抽出する第１の受信部と、前記識別子が、前記情報処理装置とは異なる情報処理装置を前記正当な宛先として表す第１の値、前記情報処理装置のユーザとは異なるユーザを前記正当な宛先として表す第２の値および前記情報処理装置に関連付けられるセンサ装置とは異なるセンサ装置を前記送信元として表す第３の値のうち少なくとも１つを含むか否かを判定する判定部と、前記識別子が、前記第１の値、前記第２の値および前記第３の値のうち少なくとも１つを含む場合には、前記第１の値、前記第２の値および前記第３の値のうち少なくとも１つを格納した第２のパケットを生成する生成部と、前記第２のパケットを前記サーバへ送信する送信部とを具備する。故に、この情報処理装置は、センサ装置から受信した片方向通信用のパケットに格納された識別子が不適切であった場合にその旨をサーバへ報告できる。そして、このサーバが、例えばパケットの正当な宛先装置へ例えば注意喚起のための出力に用いられるアラートデータを送信することで、当該パケットの送信元であるセンサ装置に片方向通信の送信機能のみが実装されていたとしても、当該センサ装置に対して適切なセキュリティ対策を講じるようにユーザを動機付けることができる。すなわち、センサデータが正当でない情報処理装置によって受信された場合に正当な宛先装置のユーザに対して注意喚起することができる。

　本発明の第３の態様によれば、情報処理装置は、前記サーバから、アラートデータを受信する第２の受信部と、前記アラートデータに基づいて、前記情報処理装置に関連付けられるセンサ装置からのセンサデータの伝送に関わるセキュリティを強化するように前記情報処理装置のユーザを動機付けるための出力を行う出力部とをさらに具備する。故に、この情報処理装置によれば、当該情報処理装置に関連付けられるセンサ装置に片方向通信の送信機能のみが実装されていたとしても、当該センサ装置に対して適切なセキュリティ対策を講じるようにユーザを動機付けることができる。

　本発明の第４の態様によれば、前記アラートデータは、前記情報処理装置に関連付けられるセンサ装置による前記センサデータに対する暗号化を有効にする、または、当該暗号化に用いられる暗号化キーまたは暗号化方法を変更するためのユーザ入力を促す出力に用いられるデータを含む。故に、この情報処理装置によれば、当該情報処理装置に関連付けられるセンサ装置に片方向通信の送信機能のみが実装されていたとしても、当該センサ装置によるセンサデータに対する暗号化を有効にしたり、当該暗号化に用いられる暗号化キーまたは暗号化方法を変更したりすることでセキュリティを強化するように、ユーザを動機付けることができる。

　本発明の第５の態様によれば、前記アラートデータは、前記情報処理装置に関連付けられるセンサ装置が前記センサデータを送信するために用いる送信電力を下げるユーザ入力を促す出力に用いられるデータを含む。故に、この情報処理装置によれば、当該情報処理装置に関連付けられるセンサ装置に片方向通信の送信機能のみが実装されていたとしても、当該センサ装置がセンサデータを送信するために用いる送信電力を下げることでセキュリティを強化するように、ユーザを動機付けることができる。

　本発明の第６の態様によれば、前記センサデータは、生体データを含む。故に、この情報処理装置は、血圧データなどの生体データの伝送のセキュリティ向上に寄与する。

　本発明の第７の態様によれば、サーバは、第１の情報処理装置および第２の情報処理装置と通信する。前記サーバは、前記第１の情報処理装置からパケットを受信し、前記パケットのペイロードに格納されたデータを抽出する受信部と、前記ペイロードに格納されたデータが識別子を含む場合に、当該識別子が、前記第１の情報処理装置とは異なる情報処理装置を表す第１の値、前記第１の情報処理装置のユーザとは異なるユーザを表す第２の値および前記第１の情報処理装置に関連付けられる第１のセンサ装置とは異なるセンサ装置を表す第３の値のうち少なくとも１つを含むか否かを判定する判定部と、前記識別子が前記第１の値、前記第２の値および前記第３の値のうち少なくとも１つを含む場合には、前記第１の値、前記第２の値および前記第３の値の少なくとも１つに関連付けられる第２の情報処理装置のユーザのためのアラートデータを生成する生成部と、前記アラートデータを前記第２の情報処理装置へ送信する送信部とを具備し、前記アラートデータは、前記第２の情報処理装置に関連付けられる前記第２のセンサ装置からのセンサデータの伝送に関わるセキュリティを強化するように前記第２の情報処理装置のユーザを動機付けるための出力に用いられるデータを含む。故に、このサーバは、第１の情報処理装置がセンサ装置から受信した片方向通信用のパケットに格納された識別子が不適切であった場合に、当該パケットの正当な宛先装置へ注意喚起のための出力に用いられるアラートデータを送信することで、当該パケットの送信元であるセンサ装置に片方向通信の送信機能のみが実装されていたとしても、当該センサ装置に対して適切なセキュリティ対策を講じるようにユーザを動機付けることができる。すなわち、センサデータが正当でない情報処理装置によって受信された場合に正当な宛先装置のユーザに対して注意喚起することができる。

　本発明の第８の態様によれば、前記アラートデータは、前記第２のセンサ装置によって前記センサデータに施される暗号化の暗号化キーまたは暗号化方法を変更するためのユーザ入力を促す出力に用いられるデータを含む。故に、このサーバによれば、第２のセンサ装置に片方向通信の送信機能のみが実装されていたとしても、当該第２のセンサ装置によるセンサデータに対する暗号化を有効にしたり、当該暗号化に用いられる暗号化キーまたは暗号化方法を変更したりすることでセキュリティを強化するように、ユーザを動機付けることができる。

　本発明の第９の態様によれば、前記アラートデータは、前記第２のセンサ装置が前記センサデータを送信するために用いる送信電力を下げるユーザ入力を促す出力に用いられるデータを含む。このサーバによれば、第２のセンサ装置に片方向通信の送信機能のみが実装されていたとしても、当該第２のセンサ装置がセンサデータを送信するために用いる送信電力を下げることでセキュリティを強化するように、ユーザを動機付けることができる。

　本発明の第１０の態様によれば、前記センサデータは、生体データを含む。故に、このサーバは、血圧データなどの生体データの伝送のセキュリティ向上に寄与する。

　本発明によれば、センサデータが正当でない情報処理装置によって受信された場合に正当な宛先装置のユーザに対して注意喚起することができる。

図１は、実施形態に係る情報処理装置の適用例を示すブロック図である。図２は、実施形態に係るセンサ装置、情報処理装置およびサーバを含むデータ伝送システムを例示する図である。図３は、実施形態に係る情報処理装置のハードウェア構成を例示するブロック図である。図４は、実施形態に係るセンサ装置のハードウェア構成を例示するブロック図である。図５は、実施形態に係るサーバのハードウェア構成を例示するブロック図である。図６は、実施形態に係る情報処理装置の機能構成を例示するブロック図である。図７は、ＢＬＥにおいて行われるアドバタイジングの説明図である。図８は、ＢＬＥにおいて送受信されるパケットのデータ構造を例示する図である。図９は、アドバタイズメントパケットのＰＤＵフィールドのデータ構造を例示する図である。図１０は、実施形態に係る情報処理装置が受信するパケットのＰＤＵフィールドのペイロードに格納されるデータを例示する図である。図１１は、実施形態に係るセンサ装置の機能構成を例示するブロック図である。図１２は、実施形態に係るサーバの機能構成を例示するブロック図である。図１３は、実施形態に係る情報処理装置の動作を例示するフローチャートである。図１４は、実施形態に係るサーバの動作を例示するフローチャートである。

　以下、本発明の一側面に係る実施の形態（以下、「本実施形態」とも表記する）を、図面に基づいて説明する。

　なお、以降、説明済みの要素と同一または類似の要素には同一または類似の符号を付し、重複する説明については基本的に省略する。例えば、複数の同一または類似の要素が存在する場合に、各要素を区別せずに説明するために共通の符号を用いることがあるし、各要素を区別して説明するために当該共通の符号に加えて枝番号を用いることもある。

　§１　適用例　
　まず、図１を用いて、本発明の一適用例について説明する。図１は、本実施形態に係る情報処理装置２００の適用例を模式的に示す。情報処理装置２００は、少なくとも、第１の受信部２０１と、判定部２０２と、生成部２０３と、送信部２０４とを含む。

　第１の受信部２０１は、図１には示されないセンサ装置１００（パケットの送信元）から、後述される片方向通信用のパケットを受信する。このパケットは、センサデータと、センサデータに関連付けられる日時データと、パケットの送信元または正当な宛先を表す識別子とを格納する。具体的には、識別子は、パケットの送信元装置または正当な宛先装置若しくはそのユーザのうち少なくとも１つを表す。第１の受信部２０１は、センサデータ、日時データおよび識別子をパケットから抽出し、判定部２０２へ送る。

　判定部２０２は、第１の受信部２０１から、センサデータ、日時データおよび識別子を受け取り、当該識別子に基づいて情報処理装置２００が上記片方向通信用パケットの正当な宛先装置であるか否かを判定する。

　例えば、識別子が、情報処理装置２００とは異なる情報処理装置を正当な宛先として表す第１の値、情報処理装置２００のユーザとは異なるユーザを正当な宛先として表す第２の値および情報処理装置２００に関連付けられるセンサ装置１００（図１には示されない）とは異なるセンサ装置を送信元として表す第３の値のうち少なくとも１つを含む場合に、判定部２０２は情報処理装置２００が正当な宛先装置ではないと判定する。

　受信したパケットに格納された識別子がかかる値を含むことは、当該パケット（に格納されたセンサデータ）が正当でない情報処理装置によって受信されたことを意味する。本実施形態では、このような場合に、情報処理装置２００が不適切なパケットを受信したことをサーバ３００（図１には示されない）へ報告し、報告を受けたサーバ３００は当該パケットの正当な宛先ユーザへ注意喚起を行う。

　判定部２０２は、情報処理装置２００が上記片方向通信用パケットの正当な宛先装置ではないと判定すると、少なくともこのパケットに格納された識別子をサーバ３００へ報告するために、生成部２０３へ送る。

　生成部２０３は、判定部２０２から識別子を受け取り、この識別子を格納したパケットを生成する。このパケットは、例えば、移動通信（３Ｇ、４Ｇなど）、ＷＬＡＮなどにおける伝送パケットに相当する。生成部２０３は、生成したパケットを送信部２０４へ送る。

　送信部２０４は、生成部２０３からパケットを受け取り、これをネットワーク経由でサーバ３００へ送信する。送信部２０４は、例えば移動通信またはＷＬＡＮを利用する。

　具体的には、センサ装置１００、情報処理装置２００およびサーバ３００は、図２に例示されるデータ伝送システムを実現する。すなわち、センサ装置１００によって測定されたセンサデータは、まず、当該センサ装置１００に関連付けられた情報処理装置２００へ送信される。それから、各情報処理装置２００に蓄積されたセンサデータは、サーバ３００へ集約される。図２の例では、センサ装置１００として腕時計型のウェアラブル血圧計の外観が示されているが、センサ装置１００の外観はこれに限られず据え置き型の血圧計であってもよいし、他の生体情報または活動情報に関する量を測定するセンサ装置であり得る。

　図２の例において、センサ装置１００－１から送信されるアドバタイズメントパケットの正当な宛先装置が情報処理装置２００－１であって、センサ装置１００－２から送信されるアドバタイズメントパケットの正当な宛先装置が情報処理装置２００－２であるとする。

　仮に、センサ装置１００－１から送信された片方向通信用のパケットを情報処理装置２００－２が受信したとする。この場合には、情報処理装置２００－２は、パケットに格納された識別子に基づいて、当該情報処理装置２００－２が受信パケットの正当な宛先装置でないと判定し、この識別子をサーバ３００へ報告する。サーバ３００は、この識別子に基づいて、情報処理装置２００－２が受信したパケットの正当な宛先装置である情報処理装置２００－１を特定し、当該情報処理装置２００－１へ後述されるアラートデータを送信し、ユーザへ注意喚起を行う。

　このように、情報処理装置２００は、センサ装置１００から受信した片方向通信用のパケットについて当該情報処理装置２００が正当な宛先でないと判定した場合に、当該パケットに格納された識別子をサーバ３００へ報告する。そして、サーバ３００がパケットの正当な宛先ユーザへ注意喚起を行うことで、例えばユーザは、センサデータの暗号化を有効にしたり、暗号化に用いられる暗号化キーまたは暗号化方法を変更したり、センサ装置１００の送信電力を下げたりするように促される。故に、センサ装置１００に片方向通信の送信機能のみが実装されていたとしても、当該センサ装置１００のユーザは、センサデータの伝送に関わるセキュリティを必要に応じて強化することができる。

　§２　構成例　
　［ハードウェア構成］　
　＜情報処理装置＞　
　次に、図３を用いて、本実施形態に係る情報処理装置２００のハードウェア構成の一例について説明する。図３は、情報処理装置２００のハードウェア構成の一例を模式的に示す。

　図３に示されるとおり、情報処理装置２００は、制御部２１１と、記憶部２１２と、通信インタフェース２１３と、入力装置２１４と、出力装置２１５と、外部インタフェース２１６とが電気的に接続されたコンピュータ、典型的にはスマートフォンである。なお、図３では、通信インタフェース及び外部インタフェースをそれぞれ、「通信Ｉ／Ｆ」及び「外部Ｉ／Ｆ」と記載している。

　制御部２１１は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）などを含む。ＣＰＵは、記憶部２１２に格納されたプログラムをＲＡＭに展開する。そして、ＣＰＵがこのプログラムを解釈および実行することで、制御部２１１は、様々な情報処理、例えば機能構成の項目において説明される機能ブロックの処理、を実行可能となる。

　記憶部２１２は、いわゆる補助記憶装置であり、例えば、内蔵または外付けのフラッシュメモリなどの半導体メモリであり得る。記憶部２１２は、制御部２１１で実行されるプログラム、制御部２１１によって使用されるデータ（例えば、識別子、日時データ、センサデータ、アラートデータ）などを記憶する。なお、情報処理装置２００が、ラップトップまたはデスクトップコンピュータなどである場合には、記憶部２１２は、ハードディスクドライブ（ＨＤＤ：Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）、ソリッドステートドライブ（ＳＳＤ：Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）などであり得る。

　通信インタフェース２１３は、主に、ＢＬＥ、移動通信（３Ｇ、４Ｇなど）およびＷＬＡＮなどの各種無線通信モジュールであって、ネットワークを介して無線通信を行うためのインタフェースである。なお、通信インタフェース２１３が、有線ＬＡＮモジュールなどの有線通信モジュールをさらに備えていてもよい。

　入力装置２１４は、例えばタッチスクリーン、キーボード、マウスなどのユーザ入力を受け付けるための装置である。出力装置２１５は、例えば、ディスプレイ、スピーカなどの出力を行うための装置である。

　外部インタフェース２１６は、ＵＳＢ（Ｕｎｉｖｅｒｓａｌ　Ｓｅｒｉａｌ　Ｂｕｓ）ポート、メモリカードスロットなどであり、外部装置と接続するためのインタフェースである。

　なお、情報処理装置２００の具体的なハードウェア構成に関して、実施形態に応じて、適宜、構成要素の省略、置換及び追加が可能である。例えば、制御部２１１は、複数のプロセッサを含んでもよい。情報処理装置２００は、複数台の情報処理装置で構成されてもよい。また、情報処理装置２００は、提供されるサービス専用に設計された情報処理装置の他、汎用のデスクトップＰＣ（Ｐｅｒｓｏｎａｌ　Ｃｏｍｐｕｔｅｒ）、タブレットＰＣ等が用いられてもよい。

　＜センサ装置＞
　次に、図４を用いて、本実施形態に係るセンサ装置１００のハードウェア構成の一例について説明する。図４は、センサ装置１００のハードウェア構成の一例を模式的に示す。

　図４に示されるとおり、センサ装置１００は、制御部１１１と、記憶部１１２と、通信インタフェース１１３と、入力装置１１４と、出力装置１１５と、外部インタフェース１１６と、バッテリ１１７とが電気的に接続されたコンピュータ、典型的には、血圧計、体温計、活動量計、歩数計、体組成計、体重計などのユーザの生体情報または活動情報に関する量を日常的に測定するセンサ装置である。なお、図４では、通信インタフェース及び外部インタフェースをそれぞれ、「通信Ｉ／Ｆ」及び「外部Ｉ／Ｆ」と記載している。

　制御部１１１は、ＣＰＵ、ＲＡＭ、ＲＯＭなどを含む。ＣＰＵは、記憶部１１２に格納されたプログラムをＲＡＭに展開する。そして、ＣＰＵがこのプログラムを解釈および実行することで、制御部１１１は、様々な情報処理、例えば機能構成の項目において説明される機能ブロックの処理、を実行可能となる。

　記憶部１１２は、いわゆる補助記憶装置であり、例えば、内蔵または外付けのフラッシュメモリなどの半導体メモリ、ＨＤＤ、ＳＳＤであり得る。記憶部１１２は、制御部１１１で実行されるプログラム、制御部１１１によって使用されるデータ（例えばセンサデータ）などを記憶する。

　通信インタフェース１１３は、少なくとも、ＢＬＥなどの片方向通信の可能な無線モジュールを含む。入力装置１１４は、例えばタッチスクリーン、ボタン、スイッチなどのユーザ入力を受け付けるための装置と、ユーザの生体情報または活動情報に関する量を検知するためのセンサとを含む。出力装置１１５は、例えば、ディスプレイ、スピーカなどの出力を行うための装置である。

　外部インタフェース１１６は、ＵＳＢポート、メモリカードスロットなどであり、外部装置と接続するためのインタフェースである。

　バッテリ１１７は、センサ装置１００の電源電圧を供給する。バッテリ１１７は、交換可能であってもよい。なお、センサ装置１００は、ＡＣ（Ａｌｔｅｒｎａｔｉｎｇ　Ｃｕｒｒｅｎｔ）アダプタを介して商用電源に接続可能であってもよい。この場合には、バッテリ１１７は省略され得る。

　なお、センサ装置１００の具体的なハードウェア構成に関して、実施形態に応じて、適宜、構成要素の省略、置換及び追加が可能である。例えば、制御部１１１は、複数のプロセッサを含んでもよい。センサ装置１００は、複数台のセンサ装置で構成されてもよい。

　＜サーバ＞　
　次に、図５を用いて、本実施形態に係るサーバ３００のハードウェア構成の一例について説明する。図５は、サーバ３００のハードウェア構成の一例を模式的に示す。

　図５に示されるとおり、サーバ３００は、制御部３１１と、記憶部３１２と、通信インタフェース３１３と、入力装置３１４と、出力装置３１５と、外部インタフェース３１６とが電気的に接続されたコンピュータである。なお、図５では、通信インタフェース及び外部インタフェースをそれぞれ、「通信Ｉ／Ｆ」及び「外部Ｉ／Ｆ」と記載している。

　制御部３１１は、ＣＰＵ、ＲＡＭ、ＲＯＭなどを含む。ＣＰＵは、記憶部３１２に格納されたプログラムをＲＡＭに展開する。そして、ＣＰＵがこのプログラムを解釈および実行することで、制御部３１１は、様々な情報処理、例えば機能構成の項目において説明される機能ブロックの処理、を実行可能となる。

　記憶部３１２は、いわゆる補助記憶装置であり、例えば、内蔵または外付けのＨＤＤ、ＳＳＤ、半導体メモリ（例えばフラッシュメモリ）などであり得る。記憶部３１２は、制御部３１１で実行されるプログラム、制御部３１１によって使用されるデータ（例えば、識別子、日時データ、センサデータ、アラートデータ）などを記憶する。

　通信インタフェース３１３は、例えば、無線ＬＡＮモジュールなどの無線通信モジュールおよび／または有線ＬＡＮなどの有線通信モジュールであって、ネットワークを介して通信を行うためのインタフェースである。

　入力装置３１４は、例えばタッチスクリーン、キーボード、マウスなどのユーザ入力を受け付けるための装置である。出力装置３１５は、例えば、ディスプレイ、スピーカなどの出力を行うための装置である。

　外部インタフェース３１６は、ＵＳＢポート、メモリカードスロットなどであり、外部装置と接続するためのインタフェースである。

　なお、サーバ３００の具体的なハードウェア構成に関して、実施形態に応じて、適宜、構成要素の省略、置換及び追加が可能である。例えば、制御部３１１は、複数のプロセッサを含んでもよい。サーバ３００は、複数台の情報処理装置で構成されてもよい。また、サーバ３００は、提供されるサービス専用に設計された情報処理装置の他、汎用のデスクトップＰＣ等が用いられてもよい。

　［機能構成］　
　＜情報処理装置＞　
　次に、図６を用いて、本実施形態に係る情報処理装置２００の機能構成の一例を説明する。図６は、情報処理装置２００の機能構成の一例を模式的に示す。

　図３の制御部２１１は、記憶部２１２に格納されているプログラムをＲＡＭに展開する。そして、制御部２１１は、このプログラムをＣＰＵにより解釈および実行して、図３に示した各種のハードウェア要素を制御する。これにより、図６に示されるとおり、情報処理装置２００は、第１の受信部２０１と、判定部２０２と、生成部２０３と、送信部２０４と、データ管理部２０５と、データ記憶部２０６と、第２の受信部２０７と、出力部２０８とを備えるコンピュータとして機能する。

　第１の受信部２０１は、情報処理装置２００に関連付けられるセンサ装置１００または他のセンサ装置から、例えばセンサデータと当該センサデータに関連付けられた日時データとを含むパケットを受信する。このパケットは、例えばＢＬＥにおけるアドバタイズメントパケットである。ただし、ＢＬＥは、将来的に他の低消費電力・片方向通信可能な通信規格に置き換わる可能性がある。その場合には、以降の説明を適宜読み替えればよい。

　ここで、ＢＬＥのアドバタイズメントについて概略的に説明する。　
　ＢＬＥにおいて採用されるパッシブスキャン方式では、図７に例示するように、新規ノードは自己の存在を周知するアドバタイズメントパケットを定期的に送信する。この新規ノードは、アドバタイズメントパケットを一度送信してから次に送信するまでの間に、低消費電力のスリープ状態に入ることで消費電力を節約できる。また、アドバタイズメントパケットの受信側も間欠的に動作するので、アドバタイズメントパケットの送受信に伴う消費電力は僅かである。

　図８にＢＬＥ無線通信パケットの基本構造を示す。ＢＬＥ無線通信パケットは、１バイトのプリアンブルと、４バイトのアクセスアドレスと、２～３９バイト（可変）のプロトコルデータユニット（ＰＤＵ：Ｐｒｏｔｏｃｏｌ　Ｄａｔａ　Ｕｎｉｔ）と、３バイトの巡回冗長チェックサム（ＣＲＣ：Ｃｙｃｌｉｃ　Ｒｅｄｕｎｄａｎｃｙ　Ｃｈｅｃｋｓｕｍ）とを含む。ＢＬＥ無線通信パケットの長さは、ＰＤＵの長さに依存し、１０～４７バイトである。１０バイトのＢＬＥ無線通信パケット（ＰＤＵは２バイト）は、Ｅｍｐｔｙ
　ＰＤＵパケットとも呼ばれ、マスタとスレイブ間で定期的に交換される。

　プリアンブルフィールドは、ＢＬＥ無線通信の同期のために用意されており、「０１」または「１０」の繰り返しが格納される。アクセスアドレスは、アドバタイジングチャネルでは固定数値、データチャネルでは乱数のアクセスアドレスが格納される。本実施形態では、アドバタイジングチャネル上で伝送されるＢＬＥ無線通信パケットであるアドバタイズメントパケットを対象とする。ＣＲＣフィールドは、受信誤りの検出に用いられる。ＣＲＣの計算範囲は、ＰＤＵフィールドのみである。

　次に、図９を用いて、アドバタイズメントパケットのＰＤＵフィールドについて説明する。なお、データチャネル上で伝送されるＢＬＥ無線通信パケットであるデータ通信パケットのＰＤＵフィールドは図９とは異なるデータ構造を有するが、本実施形態ではデータ通信パケットを対象としていないので説明を省略する。

　アドバタイズメントパケットのＰＤＵフィールドは、２バイトのヘッダと、０～３７バイト（可変）のペイロードとを含む。ヘッダは、さらに、４ビットのＰＤＵ　Ｔｙｐｅフィールドと、２ビットの未使用フィールドと、１ビットのＴｘＡｄｄフィールドと、１ビットのＲｘＡｄｄフィールドと、６ビットのＬｅｎｇｔｈフィールドと、２ビットの未使用フィールドとを含む。

　ＰＤＵ　Ｔｙｐｅフィールドには、このＰＤＵのタイプを示す値が格納される。「接続可能アドバタイジング」、「非接続アドバタイジング」などのいくつかの値が定義済みである。ＴｘＡｄｄフィールドには、ペイロード中に送信アドレスがあるか否かを示すフラグが格納される。同様に、ＲｘＡｄｄフィールドには、ペイロード中に受信アドレスがあるか否かを示すフラグが格納される。Ｌｅｎｇｔｈフィールドには、ペイロードのバイトサイズを示す値が格納される。

　ペイロードには、任意のデータを設定することができる。そこで、センサ装置１００は、例えば図１０に例示されるようなデータ構造を用いて、識別子、日時データおよびセンサデータをペイロードに格納する。図１０のデータ構造は、１人のユーザの血圧および脈拍の１回分のセンサデータを伝送するために使用可能である。なお、図１０のデータ構造は、複数回分のセンサデータを伝送するように変形されてもよい。

　ＩＤフィールドは、識別子が格納される。前述のように、識別子は、パケットの送信元装置または正当な宛先装置若しくはそのユーザのうち少なくとも１つを表す値を含む。図１０のデータ構造ではＩＤフィールドの数は１つであるが、格納される識別子の数に応じてその数は２個以上に増加し得る。

　Ｔｉｍｅフィールドは、日時データが格納される。Ｓｙｓ、ＤｉａおよびＰｕｌｓｅフィールドは、それぞれ、日時データに関連付けられる収縮期血圧（Ｓｙｓｔｏｌｉｃ　Ｂｌｏｏｄ　Ｐｒｅｓｓｕｒｅ）、拡張期血圧（Ｄｉａｓｔｏｌｉｃ　Ｂｌｏｏｄ　Ｐｒｅｓｓｕｒｅ）および脈拍数のデータが格納される。このように日時データに関連付けられるセンサデータは、１種に限られず複数種であってもよい。

　情報処理装置２００の機能構成の説明に戻ると、第１の受信部２０１は、ＢＬＥのアドバタイズメントパケットからＰＤＵのペイロードを抽出する。第１の受信部２０１は、抽出されたセンサデータ、日時データおよび識別子を判定部２０２へ送る。

　判定部２０２は、第１の受信部２０１から、センサデータ、日時データおよび識別子を受け取り、当該識別子に基づいて情報処理装置２００が受信アドバタイズメントパケットの正当な宛先装置であるか否かを判定する。具体的には、判定部２０２は、適切な識別子の値を参照可能であって、第１の受信部２０１から受け取った識別子の値がこの適切な識別子の値に一致するか否かによって判定を行うことができる。すなわち、判定部２０２は、パケットの送信元を表す識別子の値とセンサ装置１００を表す値とを比較したり、パケットの正当な宛先装置を表す識別子の値と情報処理装置２００を表す値とを比較したり、パケットの正当な宛先装置のユーザを表す値と情報処理装置２００のユーザを表す値とを比較したりすることで、前述の判定を実現する。

　なお、受信アドバタイズメントパケットにどのような識別子が格納されるかは当該パケットのデータ構造に依存するが、パケットの正当な宛先を直接的または間接的に表すのに必要な情報、すなわち、パケットの送信元装置または正当な宛先装置若しくはそのユーザのうち少なくとも１つを含むことが想定される。これらのうち複数の識別子が受信アドバタイズメントパケットに格納されている場合には、判定部２０２は、全ての識別子が適切であるか否かを判定する必要がある。例えば、パケットの送信元装置を表す識別子が適切であっても、正当な宛先装置若しくはそのユーザを表す識別子が適切でなければ、判定部２０２は、情報処理装置２００が受信アドバタイズメントパケットの正当な宛先装置でないと判定する。

　判定部２０２は、情報処理装置２００が受信アドバタイズメントパケットの正当な宛先装置であると判定した場合には、日時データおよびセンサデータをデータ管理部２０５へ送る。他方、判定部２０２は、情報処理装置２００が受信アドバタイズメントパケットの正当な宛先装置でない、すなわち、識別子が、情報処理装置２００とは異なる情報処理装置を正当な宛先として表す第１の値、情報処理装置２００のユーザとは異なるユーザを正当な宛先として表す第２の値およびセンサ装置１００とは異なるセンサ装置を送信元として表す第３の値のうち少なくとも１つを含む、と判定した場合には、少なくとも当該識別子を生成部２０３へ送る。

　なお、判定部２０２は、情報処理装置２００が受信アドバタイズメントパケットの正当な宛先装置でないと判定した場合に、識別子に加えて日時データおよびセンサデータを生成部２０３へ送ってもよい。識別子に加えて日時データおよびセンサデータをサーバ３００へ送信することにより、正当な宛先装置が当該日時データおよびセンサデータを受信していなかった場合に、サーバ３００が当該日時データおよびセンサデータの欠落を補うことができる。

　生成部２０３は、情報処理装置２００が正当でない宛先装置として受信したアドバタイズメントパケットに格納されていた識別子を判定部２０２から受け取る。そして、生成部２０３は、この識別子をペイロードに格納し、情報処理装置２００を表す識別子をヘッダに格納したパケットを生成し、送信部２０４へ送る。

　また、生成部２０３は、情報処理装置２００が正当な宛先装置として受信したアドバタイズメントパケットに格納されていた日時データおよびセンサデータをデータ管理部２０５から受け取る。そして、生成部２０３は、この日時データおよびセンサデータをペイロードに格納し、情報処理装置２００を表す識別子をヘッダに格納したパケットを生成し、送信部２０４へ送る。

　データ管理部２０５は、判定部２０２から日時データおよびセンサデータを受け取り、これらを関連付けてデータ記憶部２０６に書き込む。また、データ管理部２０５は、例えば図示されない上位アプリケーション、例えば生体データの管理アプリケーション、からの命令に従って、データ記憶部２０６に格納されている日時データおよびセンサデータのセットを読み出し、生成部２０３または図示されない表示部へ送る。

　データ記憶部２０６は、データ管理部２０５によって日時データおよびセンサデータのセットを読み書きされる。

　第２の受信部２０７は、サーバ３００からネットワーク経由で、アラートデータを受信する。第２の受信部２０７は、アラートデータを出力部２０８へ送る。

　アラートデータは、情報処理装置２００のユーザに、当該情報処理装置２００に関連付けられるセンサ装置１００からのセンサデータの伝送に関わるセキュリティを強化するように動機付けるための出力（例えば、テキスト、画像または音声の出力）に用いられるデータである。アラートデータは、実際に出力されることになるデータそのものを含んでいてもよいし、実際に出力されることになるデータを特定するためのデータ、例えばメッセージを特定するインデックスを含んでいてもよい。

　具体的には、アラートデータは、センサ装置１００によるセンサデータに対する暗号化を有効にする、または、当該暗号化に用いられる暗号化キーまたは暗号化方法を変更するためのユーザ入力を促す出力に用いられるデータを含んでもよい。アラートデータは、センサデータの送信に適用されるセンサ装置１００の送信電力を下げるユーザ入力を促す出力に用いられるデータを含んでもよい。

　さらに、アラートデータは、センサ装置１００によるセンサデータに対する暗号化を有効にする、当該暗号化に用いられる暗号化キーまたは暗号化方法を変更する、または、センサデータの送信に適用されるセンサ装置１００の送信電力を下げるためにユーザに要求される操作手順を表すデータを出力するために用いられるデータを含み得る。かかるアラートデータに基づいて出力を行うことで、ユーザはセンサ装置１００のマニュアルを確認する手間を省くことができる。

　或いは、アラートデータは、単に、情報処理装置２００に関連付けられるセンサ装置１００によって送信されたセンサデータが当該情報処理装置２００とは異なる情報処理装置によって受信されたことを当該情報処理装置２００のユーザに知らせるために用いられるデータであってもよい。かかるアラートデータに基づいて出力を行うことで、操作に慣れたユーザに、冗長に感じさせることなく、センサデータの伝送に関わるセキュリティを強化するように動機付けることができる。

　出力部２０８は、第２の受信部２０７からアラートデータを受け取り、これに基づいて出力を行う。アラートデータに基づく出力を知覚したユーザは、センサ装置１００を操作して、センサデータに対する暗号化を有効にしたり、当該暗号化に用いられる暗号化キーまたは暗号化方法を変更したり、送信電力を下げたりするように促される。

　＜センサ装置＞　
　次に、図１１を用いて、本実施形態に係るセンサ装置１００の機能構成の一例を説明する。図１１は、センサ装置１００の機能構成の一例を模式的に示す。

　図４の制御部１１１は、記憶部１１２に格納されているプログラムをＲＡＭに展開する。そして、制御部１１１は、このプログラムをＣＰＵにより解釈および実行して、図４に示した各種のハードウェア要素を制御する。これにより、図１１に示されるとおり、センサ装置１００は、生体センサ１０１と、動きセンサ１０２と、時計部１０３と、入力部１０４と、データ管理部１０５と、データ記憶部１０６と、送信制御部１０７と、送信部１０８と、表示制御部１０９と、表示部１１０とを備えるコンピュータとして機能する。

　生体センサ１０１は、ユーザの生体情報に関する量を測定することで生体データを得る。生体センサ１０１の動作は、例えば図示されないセンサ制御部によって制御される。生体センサ１０１は、生体データを時計部１０３から受け取った日時データに関連付けて、データ管理部１０５へ送る。生体センサ１０１は、典型的には、ユーザの血圧を測定することで血圧データを得る血圧センサを含む。この場合に、生体データは血圧データを含む。血圧データは、例えば、収縮期血圧および拡張期血圧の値と脈拍数とを含み得るが、これに限られない。このほか、生体データは、心電データ、脈波データ、体温データなどを含むことができる。

　血圧センサは、ユーザの血圧を１拍毎に連続測定可能な血圧センサ（以降、連続型の血圧センサと称する）を含むことができる。連続型の血圧センサは、脈波伝播時間（ＰＴＴ；Ｐｕｌｓｅ　Ｔｒａｎｓｉｔ　Ｔｉｍｅ）からユーザの血圧を連続測定してもよいし、トノメトリ法または他の技法により連続測定を実現してもよい。

　血圧センサは、連続型の血圧センサに代えて、または、加えて、連続測定不可能な血圧センサ（以降、非連続型の血圧センサと称する）を含むこともできる。非連続型の血圧センサは、例えば、カフを圧力センサとして用いてユーザの血圧を測定する（オシロメトリック法）。

　非連続型の血圧センサ（特に、オシロメトリック方式の血圧センサ）は、連続型の血圧センサに比べて、測定精度が高い傾向にある。故に、血圧センサは、例えば、何らかの条件が満足する（例えば、連続型の血圧センサによって測定されたユーザの血圧データが所定の状態を示唆した）ことをトリガとして、連続型の血圧センサに代えて非連続型の血圧センサを作動させることにより、血圧データをより高い精度で測定してもよい。

　動きセンサ１０２は、例えば、加速度センサまたはジャイロセンサであり得る。動きセンサ１０２は、当該動きセンサ１０２の受ける加速度／角速度を検出することで３軸の加速度／角速度データを得る。動きセンサ１０２の動作は、例えば図示されないセンサ制御部によって制御される。この加速度／角速度データは、センサ装置１００を装着しているユーザの活動状態（姿勢および／または動作）を推定するために用いることができる。動きセンサ１０２は、加速度／角速度データを時計部１０３から受け取った日時データに関連付けて、データ管理部１０５へ送る。

　なお、生体センサ１０１および動きセンサ１０２のうち一方が省略されてもよい。また、生体センサ１０１および動きセンサ１０２に加えて、または、代えて、環境センサが設けられてもよい。環境センサは、例えば、温度センサ、湿度センサ、気圧センサなどを含み得る。すなわち、センサデータとは、センサが予め定められた物理量を測定し、測定結果に基づいて生成する任意のデータであり得る。

　時計部１０３は、日時を指示する。時計部１０３は、例えば、固定周波数で振動する水晶発振器と、その出力を分周して１Ｈｚの信号を得る分周回路と、この信号をカウントして日時を示すシリアル値を得るカウンタとを含む。時計部１０３は、現在日時を示す日時データ（例えば上記シリアル値）を生体センサ１０１および動きセンサ１０２へ送る。日時データは、生体センサ１０１による生体データの測定日時、動きセンサ１０２による加速度／角速度データの測定日時などとして用いることができる。このほか、日時データは、表示部１１０へ表示するために表示制御部１０９によって参照される。

　時計部１０３（の保持するシリアル値）は、例えば、ユーザ入力によって調整（時刻合わせ）可能に設計されてもよいが、敢えて、かかる設計としないことで、入力装置１１４を簡素化（ボタン数の削減等）してもよい。なお、この場合にも、例えば、「１０分前」、「２時間前」、「昨日」、「１週間前」などの現在日時を基準とした相対的な日時をユーザに提示することは可能である。

　入力部１０４は、ユーザ入力を受け付ける。ユーザ入力は、例えば、送信部１０８によるデータ送信を制御するためのものであったり、表示部１１０によるデータ表示を制御するためのものであったり、生体センサ１０１または動きセンサ１０２による測定を開始するためのものであったりする。

　送信部１０８によるデータ送信を制御するためのユーザ入力は、例えば、センサデータに対する暗号化の有効化、または、当該暗号化に用いられる暗号化キー若しくは暗号化方法の変更を明示的または黙示的に指示するもの、特定の日時データおよびセンサデータのセットの送信を明示的または黙示的に指示するもの、送信電力の増加または減少を明示的または黙示的に指示するものなどであり得る。

　入力部１０４は、送信部１０８によるデータ送信を制御するためのユーザ入力を送信制御部１０７へ送り、表示部１１０によるデータ表示を制御するためのユーザ入力を表示制御部１０９へ送り、生体センサ１０１または動きセンサ１０２による測定を開始するためのユーザ入力を図示されないセンサ制御部へ送る。

　データ管理部１０５は、生体センサ１０１または動きセンサ１０２から日時データに関連付けられたセンサデータ（生体データまたは加速度／角速度データ）を受け取り、これらをデータ記憶部１０６に書き込む。データ管理部１０５は、日時データおよびセンサデータを新たに受け取った場合に、これらを自動的に送信制御部１０７または表示制御部１０９へ送ってもよい。また、データ管理部１０５は、送信制御部１０７または表示制御部１０９からの命令をトリガとして、データ記憶部１０６に格納されている日時データおよびセンサデータのセットを読み出し、送信制御部１０７または表示制御部１０９へ送ってもよい。

　データ記憶部１０６は、データ管理部１０５によって日時データおよびセンサデータのセットを読み書きされる。

　送信制御部１０７は、データ管理部１０５から日時データおよびセンサデータのセットを受け取り、これらに基づいて、図８、図９および図１０を用いて説明したようなＢＬＥのアドバタイズメントパケットを生成する。なお、送信制御部１０７は、アドバタイズメントパケットに格納されるセンサデータを暗号化してもよい。また、送信制御部１０７は、生成したアドバタイズメントパケットを送信部１０８へ送る。さらに、送信制御部１０７は、送信部１０８の送信電力を制御する。

　送信制御部１０７は、入力部１０４から、送信部１０８によるデータ送信を制御するためのユーザ入力を受け取ることがある。この場合に、送信制御部１０７は、センサデータに対する暗号化を有効にしたり、暗号化に用いられる暗号化キーまたは暗号化方法を変更したり、送信部１０８に設定する送信電力を増加または減少させたり、ユーザ入力に基づいてデータ管理部１０５に特定の日時データおよびセンサデータのセットを要求したりする。なお、変更後の暗号化キーまたは暗号化方法は、センサ装置１００によって自動的に決定されてもよいし、ユーザ入力によって指定されてもよい。その他、送信制御部１０７は、過去に送信したデータの再送や、略最新の日時データの報知などのために、ユーザ入力に関わらず、アドバタイズメントパケットを生成し得る。

　送信部１０８は、送信制御部１０７からＢＬＥのアドバタイズメントパケットを受け取り、送信制御部１０７によって設定された送信電力に従って、当該アドバタイズメントパケットを送信（アドバタイジング）する。

　表示制御部１０９は、データ管理部１０５から日時データおよびセンサデータのセットを受け取り、これらに基づいて表示部１１０の表示データを生成する。また、表示制御部１０９は、時計部１０３を参照して、時計部１０３の保持する日時データを表示部１１０に表示させるための表示データを生成することもある。さらに、表示制御部１０９は、センサデータに対する暗号化設定（暗号化の有効／無効、暗号化に用いられる暗号化キーまたは暗号化方法）を表示部１１０に表示させるための表示データ、または、送信部１０８に設定されている送信電力を表示部１１０に表示させるための表示データを生成することもある。表示制御部１０９は、生成した表示データを表示部１１０へ送る。

　表示制御部１０９は、入力部１０４から、表示部１１０によるデータ表示を制御するためのユーザ入力を受け取ることがある。この場合に、表示制御部１０９は、ユーザ入力に基づいてデータ管理部１０５に特定の日時データおよびセンサデータのセットを要求したり、時計部１０３に略最新の日時データを要求したり、送信制御部１０７に、センサデータに対する暗号化設定または送信部１０８の送信電力設定のデータを要求したりする。

　表示部１１０は、表示制御部１０９から表示データを受け取り、これを表示する。

　＜サーバ＞　
　次に、図１２を用いて、本実施形態に係るサーバ３００の機能構成の一例を説明する。図１２は、サーバ３００の機能構成の一例を模式的に示す。

　図５の制御部３１１は、記憶部３１２に格納されているプログラムをＲＡＭに展開する。そして、制御部３１１は、このプログラムをＣＰＵにより解釈および実行して、図５に示した各種のハードウェア要素を制御する。これにより、図１２に示されるとおり、サーバ３００は、受信部３０１と、判定部３０２と、生成部３０３と、送信部３０４と、データ管理部３０５と、データ記憶部３０６とを備えるコンピュータとして機能する。

　サーバ３００は、多数のユーザのセンサデータ（主に生体データ）を管理するデータベースに相当する。サーバ３００は、ユーザ自身のほか、例えば、ユーザの健康指導、保険加入査定、健康増進プログラムの成績評価などに供するために、健康指導者、保険会社またはプログラム運営者のＰＣなどからのアクセスに応じて当該ユーザの生体データを送信してもよい。

　受信部３０１は、情報処理装置２００からネットワーク経由で、パケットを受信する。受信部３０１は、パケットから、当該パケットの送信元である情報処理装置２００を表す識別子（以降、送信元識別子と称される）と、ペイロードに格納されたデータ（例えば、識別子および／または日時データおよびセンサデータ）とを判定部３０２へ送る。

　判定部３０２は、受信部３０１から、送信元識別子と、ペイロードから抽出されたデータとを受け取る。判定部３０２は、ペイロードから抽出されたデータが識別子を含む場合に、当該識別子が、受信パケットの送信元である情報処理装置２００とは異なる情報処理装置を表す第１の値、情報処理装置２００のユーザとは異なるユーザを表す第２の値および情報処理装置２００に関連付けられるセンサ装置とは異なるセンサ装置を表す第３の値のうち少なくとも１つを含むか否かを判定する。判定部３０２は、ペイロードから抽出された識別子が第１の値、第２の値および第３の値のうち少なくとも１つを含んでいたならば、当該識別子を生成部３０３へ送る。そうでなければ、判定部３０２は、ペイロードから抽出された日時データおよびセンサデータと、当該日時データおよびセンサデータに関連付けられる識別子とをデータ管理部３０５へ送る。日時データおよびセンサデータに関連付けられる識別子は、受信パケットのデータ構造次第では受信パケットのペイロードに格納されているかもしれないし、送信元識別子に基づいて特定する必要があるかもしれない。

　なお、判定部３０２は、係る判定を実現するために、受信パケットの送信元である情報処理装置２００またはそのユーザを表す識別子の値、または、当該情報処理装置２００に関連付けられるセンサ装置を表す識別子の値が、送信元識別子に対応付けられたテーブルにアクセス可能であってもよい。或いは、かかるテーブルは、受信パケットのペイロードにセンサデータおよび日時データに関連付けられる識別子が格納されることのないデータ構造が採用される場合に、かかる識別子を特定するためにも利用可能である。

　或いは、情報処理装置２００は、当該情報処理装置２００が不適切なパケットを受信したことをサーバ３００へ報告する場合と、当該情報処理装置２００に蓄積された日時データおよびセンサデータをサーバ３００へアップロードする場合とで、異なる値が設定されるフラグを送信パケットに格納してもよい。この場合には、判定部３０２は、かかるフラグを参照すれば判定を実現することができる。

　また、判定部３０２は、ペイロードから抽出された識別子が第１の値、第２の値および第３の値のうち少なくとも１つを含んでいた場合であっても、ペイロードから日時データおよびセンサデータがさらに抽出されていた場合には、当該識別子、日時データおよびセンサデータをデータ管理部３０５へ送ってもよい。かかる日時データおよびセンサデータは、正当でない情報処理装置２００によって受信されたデータではあるが、サーバ３００がデータの欠落を補うために活用することができる。

　生成部３０３は、判定部３０２から識別子を受け取ると、当該識別子に関連付けられる情報処理装置２００のユーザのためのアラートデータを生成し、これをパケット化して送信部３０４へ送る。また、生成部３０３は、データ管理部３０５から、識別子、日時データおよびセンサデータのセットを受け取ると、これらを格納したパケットを生成して送信部３０４へ送る。

　送信部３０４は、生成部３０３からパケット化されたアラートデータを受け取り、これをネットワーク経由で情報処理装置２００へ送る。また、送信部３０４は、生成部３０３から識別子、日時データおよびセンサデータを格納したパケットを受け取り、これをネットワーク経由で適切な宛先装置、例えば、情報処理装置２００、または健康指導者、保険会社若しくはプログラム運営者のＰＣなど、へ送る。

　データ管理部３０５は、判定部３０２から、識別子、日時データおよびセンサデータを受け取り、これらを関連付けてデータ記憶部３０６に書き込む。また、データ管理部３０５は、例えば図示されない上位アプリケーション、例えば生体データの管理アプリケーション、からの命令に従って、データ記憶部３０６に格納されている識別子、日時データおよびセンサデータのセットを読み出し、生成部３０３へ送る。

　データ記憶部３０６は、データ管理部３０５によって識別子、日時データおよびセンサデータのセットを読み書きされる。

　＜その他＞
　情報処理装置２００およびサーバ３００の各機能に関しては後述する動作例で詳細に説明する。なお、本実施形態では、センサ装置１００、情報処理装置２００およびサーバ３００の各機能がいずれも汎用のＣＰＵによって実現される例について説明している。しかしながら、以上の機能の一部又は全部が、１又は複数の専用のプロセッサにより実現されてもよい。また、センサ装置１００、情報処理装置２００およびサーバ３００それぞれの機能構成に関して、実施形態に応じて、適宜、機能の省略、置換及び追加が行われてもよい。

　§３　動作例　
　＜情報処理装置＞　
　次に、図１３を用いて、情報処理装置２００の動作例を説明する。図１３は、情報処理装置２００の動作の一例を例示するフローチャートである。なお、以下で説明する処理手順は一例に過ぎず、各処理は可能な限り変更されてよい。また、以下で説明する処理手順について、実施の形態に応じて、適宜、ステップの省略、置換、及び追加が可能である。

　図１３の動作例は、情報処理装置２００の第１の受信部２０１が、センサ装置１００からＢＬＥのアドバタイズメントパケットを受信し、ペイロードに格納された識別子、日時データおよびセンサデータを抽出することで開始する。

　判定部２０２は、受信したアドバタイズメントパケットから抽出された識別子が適切か、すなわち、情報処理装置２００が当該パケットの正当な宛先装置であるか否かを前述のように判定する（ステップＳ４０１）。識別子が適切であれば処理はステップＳ４０４へ進み、そうでなければ処理はステップＳ４０２へ進む。

　ステップＳ４０２において、生成部２０３は、受信したアドバタイズメントパケットのから抽出された識別子を格納したパケットを生成する。そして、送信部２０４は、ステップＳ４０２において生成されたパケットをネットワーク経由でサーバ３００へ送信し、処理は終了する。これにより、情報処理装置２００は、不適切なパケットを受信したことをサーバ３００へ報告できる。

　他方、ステップＳ４０４では、データ管理部２０５は、受信したアドバタイズメントパケットから抽出された日時データおよびセンサデータを関連付けてデータ記憶部２０６に書き込み、処理は終了する。

　＜サーバ＞　
　次に、図１４を用いて、サーバ３００の動作例を説明する。図１４は、サーバ３００の動作の一例を例示するフローチャートである。なお、以下で説明する処理手順は一例に過ぎず、各処理は可能な限り変更されてよい。また、以下で説明する処理手順について、実施の形態に応じて、適宜、ステップの省略、置換、及び追加が可能である。

　図１４の動作例は、サーバ３００の受信部３０１が、情報処理装置２００からパケットを受信し、ヘッダに格納された送信元識別子と、ペイロードに格納されたデータとを抽出することで開始する。

　判定部３０２は、ペイロードから抽出されたデータが識別子を含む場合に、当該識別子が適切であるか否か、すなわち、送信元識別子の表す情報処理装置２００は不適切なパケットを受信したことを報告しているのか、それとも当該情報処理装置２００に蓄積された日時データおよびセンサデータをアップロードしているのか、を前述のように判定する（ステップＳ５０１）。識別子が適切であれば処理はステップＳ５０４へ進み、そうでなければ処理はステップＳ５０２へ進む。

　ステップＳ５０２において、生成部３０３は、ペイロードから抽出された識別子に関連付けられる情報処理装置２００のユーザのためのアラートデータを生成し、これをパケット化する。そして、送信部３０４は、ステップＳ５０２において生成されたパケットをネットワーク経由で、この識別子に関連付けられる情報処理装置２００へ送信し、処理は終了する。これにより、サーバ３００は、情報処理装置２００によって受信されたパケットの正当な宛先装置である情報処理装置２００のユーザへ注意喚起をすることができる。

　他方、ステップＳ５０４では、データ管理部３０５は、受信したアドバタイズメントパケットから抽出された識別子、日時データおよびセンサデータを関連付けてデータ記憶部３０６に書き込み、処理は終了する。

　［作用・効果］
　以上説明したように、本実施形態では、情報処理装置は、センサ装置から送信された片方向通信用のパケットを受信し、そのパケットに格納された識別子が適切であるか否かを判定し、不適切であった場合にはその旨をサーバへ報告する。サーバは、かかる報告があった場合には、この片方向通信用のパケットの正当な宛先装置へ、注意喚起のための出力に用いられるアラートデータを送信する。正当な宛先装置に相当する情報処理装置は、サーバからアラートデータを受信すると、これに基づいて出力を行う。故に、この情報処理装置およびサーバによれば、センサ装置に片方向通信の送信機能のみが実装されていたとしても、当該センサ装置に対して適切なセキュリティ対策を講じるようにユーザを動機付けることができる。すなわち、センサデータが正当でない情報処理装置によって受信された場合に正当な宛先装置のユーザに対して注意喚起することができる。

　§４　変形例
　以上、本発明の実施の形態を詳細に説明してきたが、前述までの説明はあらゆる点において本発明の例示に過ぎない。本発明の範囲を逸脱することなく種々の改良や変形を行うことができることは言うまでもない。

　ただし、ここまで説明した実施形態は全て、あらゆる点において本発明の例示に過ぎない。本発明の範囲を逸脱することなく種々の改良や変形を行うことができることは言うまでもない。つまり、本発明の実施にあたって、実施形態に応じた具体的構成が適宜採用されてもよい。なお、各実施形態において登場するデータを自然言語により説明しているが、より具体的には、コンピュータが認識可能な疑似言語、コマンド、パラメータ、マシン語等で指定される。

　§５　付記　
　上記各実施形態の一部または全部は、特許請求の範囲のほか以下の付記に示すように記載することも可能であるが、これに限られない。　
　（付記１）　
　サーバと、
　前記サーバと通信する第１の情報処理装置と、
　前記サーバと通信する第２の情報処理装置と
　を具備する、データ伝送システムであって、
　前記第１の情報処理装置は、
　メモリと、
　前記メモリに接続されたプロセッサと
　を具備し、
　前記プロセッサは、
　（ａ）センサ装置から片方向通信用の第１のパケットを受信し、センサデータと、前記第１のパケットの送信元または正当な宛先を表す識別子とを前記第１のパケットから抽出する第１の受信部と、
　（ｂ）前記識別子が、前記第１の情報処理装置とは異なる情報処理装置を前記正当な宛先として表す第１の値、前記第１の情報処理装置のユーザとは異なるユーザを前記正当な宛先として表す第２の値および前記第１の情報処理装置に関連付けられる第１のセンサ装置とは異なるセンサ装置を前記送信元として表す第３の値のうち少なくとも１つを含むか否かを判定する判定部と、
　（ｃ）前記識別子が、前記第１の値、前記第２の値および前記第３の値のうち少なくとも１つを含む場合には、前記第１の値、前記第２の値および前記第３の値のうち少なくとも１つを格納した第２のパケットを生成する生成部と、
　（ｄ）前記第２のパケットを前記サーバへ送信する送信部
　として機能するように構成され、
　前記サーバは、
　メモリと、
　前記メモリに接続されたプロセッサと
　を具備し、
　前記プロセッサは、
　（ｅ）前記第１の情報処理装置から前記第２のパケットを受信し、前記前記第２のパケットのペイロードに格納されたデータを抽出する受信部と、
　（ｆ）前記ペイロードに格納されたデータが識別子を含む場合に、当該識別子が、前記第１の値、前記第２の値および前記第３の値のうち少なくとも１つを含むか否かを判定する判定部と、
　（ｇ）前記識別子が前記第１の値、前記第２の値および前記第３の値のうち少なくとも１つを含む場合には、前記第１の値、前記第２の値および前記第３の値の少なくとも１つに関連付けられる前記第２の情報処理装置のユーザのためのアラートデータを生成する生成部と、
　（ｈ）前記アラートデータを前記第２の情報処理装置へ送信する送信部
　として機能するように構成され、
　前記アラートデータは、前記第２の情報処理装置に関連付けられる第２のセンサ装置からのセンサデータの伝送に関わるセキュリティを強化するように前記第２の情報処理装置のユーザを動機付けるための出力に用いられるデータを含む、
　データ伝送システム。

　（付記２）　
　情報処理装置であって、
　メモリと、
　前記メモリに接続されたプロセッサと
　を具備し、
　前記プロセッサは、
　（ａ）センサ装置から片方向通信用の第１のパケットを受信し、センサデータと、前記第１のパケットの送信元または正当な宛先を表す識別子とを前記第１のパケットから抽出する第１の受信部と、
　（ｂ）前記識別子が、前記情報処理装置とは異なる情報処理装置を前記正当な宛先として表す第１の値、前記情報処理装置のユーザとは異なるユーザを前記正当な宛先として表す第２の値および前記情報処理装置に関連付けられるセンサ装置とは異なるセンサ装置を前記送信元として表す第３の値のうち少なくとも１つを含むか否かを判定する判定部と、
　（ｃ）前記識別子が、前記第１の値、前記第２の値および前記第３の値のうち少なくとも１つを含む場合には、前記第１の値、前記第２の値および前記第３の値のうち少なくとも１つを格納した第２のパケットを生成する生成部と、
　（ｄ）前記第２のパケットをサーバへ送信する送信部
　として機能するように構成される、情報処理装置。

　（付記３）　
　メモリと、
　前記メモリに接続されたプロセッサと
　を具備し、
　前記プロセッサは、
　（ａ）第１の情報処理装置からパケットを受信し、前記パケットのペイロードに格納されたデータを抽出する受信部と、
　（ｂ）前記ペイロードに格納されたデータが識別子を含む場合に、当該識別子が、前記第１の情報処理装置とは異なる情報処理装置を表す第１の値、前記第１の情報処理装置のユーザとは異なるユーザを表す第２の値および前記第１の情報処理装置に関連付けられる第１のセンサ装置とは異なるセンサ装置を表す第３の値のうち少なくとも１つを含むか否かを判定する判定部と、
　（ｃ）前記識別子が前記第１の値、前記第２の値および前記第３の値のうち少なくとも１つを含む場合には、前記第１の値、前記第２の値および前記第３の値の少なくとも１つに関連付けられる第２の情報処理装置のユーザのためのアラートデータを生成する生成部と、
　（ｄ）前記アラートデータを前記第２の情報処理装置へ送信する送信部
　として機能するように構成され、
　前記アラートデータは、前記第２の情報処理装置に関連付けられる第２のセンサ装置からのセンサデータの伝送に関わるセキュリティを強化するように前記第２の情報処理装置のユーザを動機付けるための出力に用いられるデータを含む、
　サーバ。

　１００・・・センサ装置
　１０１・・・生体センサ
　１０２・・・動きセンサ
　１０３・・・時計部
　１０４・・・入力部
　１０５，２０５，３０５・・・データ管理部
　１０６，２０６，３０６・・・データ記憶部
　１０７・・・送信制御部
　１０８，２０４，３０４・・・送信部
　１０９・・・表示制御部
　１１０・・・表示部
　１１１，２１１，３１１・・・制御部
　１１２，２１２，３１２・・・記憶部
　１１３，２１３，３１３・・・通信インタフェース
　１１４，２１４，３１４・・・入力装置
　１１５，２１５，３１５・・・出力装置
　１１６，２１６，３１６・・・外部インタフェース
　１１７・・・バッテリ
　２００・・・情報処理装置
　２０１・・・第１の受信部
　２０２，３０２・・・判定部
　２０３，３０３・・・生成部
　２０７・・・第２の受信部
　２０８・・・出力部
　３００・・・サーバ
　３０１・・・受信部

Claims

　サーバと、
　前記サーバと通信する第１の情報処理装置と、
　前記サーバと通信する第２の情報処理装置と
　を具備する、データ伝送システムであって、
　前記第１の情報処理装置は、
　センサ装置から片方向通信用の第１のパケットを受信し、センサデータと、前記第１のパケットの送信元または正当な宛先を表す識別子とを前記第１のパケットから抽出する第１の受信部と、
　前記識別子が、前記第１の情報処理装置とは異なる情報処理装置を前記正当な宛先として表す第１の値、前記第１の情報処理装置のユーザとは異なるユーザを前記正当な宛先として表す第２の値および前記第１の情報処理装置に関連付けられる第１のセンサ装置とは異なるセンサ装置を前記送信元として表す第３の値のうち少なくとも１つを含むか否かを判定する判定部と、
　前記識別子が、前記第１の値、前記第２の値および前記第３の値のうち少なくとも１つを含む場合には、前記第１の値、前記第２の値および前記第３の値のうち少なくとも１つを格納した第２のパケットを生成する生成部と、
　前記第２のパケットを前記サーバへ送信する送信部と
　を具備し、
　前記サーバは、
　前記第１の情報処理装置から前記第２のパケットを受信し、前記前記第２のパケットのペイロードに格納されたデータを抽出する受信部と、
　前記ペイロードに格納されたデータが識別子を含む場合に、当該識別子が、前記第１の値、前記第２の値および前記第３の値のうち少なくとも１つを含むか否かを判定する判定部と、
　前記識別子が前記第１の値、前記第２の値および前記第３の値のうち少なくとも１つを含む場合には、前記第１の値、前記第２の値および前記第３の値の少なくとも１つに関連付けられる前記第２の情報処理装置のユーザのためのアラートデータを生成する生成部と、
　前記アラートデータを前記第２の情報処理装置へ送信する送信部と
　を具備し、
　前記アラートデータは、前記第２の情報処理装置に関連付けられる第２のセンサ装置からのセンサデータの伝送に関わるセキュリティを強化するように前記第２の情報処理装置のユーザを動機付けるための出力に用いられるデータを含む、
　データ伝送システム。
　サーバと通信する情報処理装置であって、
　センサ装置から片方向通信用の第１のパケットを受信し、センサデータと、前記第１のパケットの送信元または正当な宛先を表す識別子とを前記第１のパケットから抽出する第１の受信部と、
　前記識別子が、前記情報処理装置とは異なる情報処理装置を前記正当な宛先として表す第１の値、前記情報処理装置のユーザとは異なるユーザを前記正当な宛先として表す第２の値および前記情報処理装置に関連付けられるセンサ装置とは異なるセンサ装置を前記送信元として表す第３の値のうち少なくとも１つを含むか否かを判定する判定部と、
　前記識別子が、前記第１の値、前記第２の値および前記第３の値のうち少なくとも１つを含む場合には、前記第１の値、前記第２の値および前記第３の値のうち少なくとも１つを格納した第２のパケットを生成する生成部と、
　前記第２のパケットを前記サーバへ送信する送信部と
　を具備する、情報処理装置。
　前記サーバから、アラートデータを受信する第２の受信部と、
　前記アラートデータに基づいて、前記情報処理装置に関連付けられるセンサ装置からのセンサデータの伝送に関わるセキュリティを強化するように前記情報処理装置のユーザを動機付けるための出力を行う出力部と
　をさらに具備する、請求項２に記載の情報処理装置。
　前記アラートデータは、前記情報処理装置に関連付けられるセンサ装置による前記センサデータに対する暗号化を有効にする、または、当該暗号化に用いられる暗号化キーまたは暗号化方法を変更するためのユーザ入力を促す出力に用いられるデータを含む、請求項３に記載の情報処理装置。
　前記アラートデータは、前記情報処理装置に関連付けられるセンサ装置が前記センサデータを送信するために用いる送信電力を下げるユーザ入力を促す出力に用いられるデータを含む、請求項３または請求項４に記載の情報処理装置。
　前記センサデータは、生体データを含む、請求項２乃至請求項５のいずれか１項に記載の情報処理装置。
　第１の情報処理装置および第２の情報処理装置と通信するサーバであって、
　前記第１の情報処理装置からパケットを受信し、前記パケットのペイロードに格納されたデータを抽出する受信部と、
　前記ペイロードに格納されたデータが識別子を含む場合に、当該識別子が、前記第１の情報処理装置とは異なる情報処理装置を表す第１の値、前記第１の情報処理装置のユーザとは異なるユーザを表す第２の値および前記第１の情報処理装置に関連付けられる第１のセンサ装置とは異なるセンサ装置を表す第３の値のうち少なくとも１つを含むか否かを判定する判定部と、
　前記識別子が前記第１の値、前記第２の値および前記第３の値のうち少なくとも１つを含む場合には、前記第１の値、前記第２の値および前記第３の値の少なくとも１つに関連付けられる前記第２の情報処理装置のユーザのためのアラートデータを生成する生成部と、
　前記アラートデータを前記第２の情報処理装置へ送信する送信部と
　を具備し、
　前記アラートデータは、前記第２の情報処理装置に関連付けられる第２のセンサ装置からのセンサデータの伝送に関わるセキュリティを強化するように前記第２の情報処理装置のユーザを動機付けるための出力に用いられるデータを含む、
　サーバ。
　前記アラートデータは、前記第２のセンサ装置によって前記センサデータに施される暗号化の暗号化キーまたは暗号化方法を変更するためのユーザ入力を促す出力に用いられるデータを含む、請求項７に記載のサーバ。
　前記アラートデータは、前記第２のセンサ装置が前記センサデータを送信するために用いる送信電力を下げるユーザ入力を促す出力に用いられるデータを含む、請求項７または請求項８に記載のサーバ。
　前記センサデータは、生体データを含む、請求項７乃至請求項９のいずれか１項に記載のサーバ。