WO2020136763A1

WO2020136763A1 - 認証システム、認証装置、認証方法、及びプログラム

Info

Publication number: WO2020136763A1
Application number: PCT/JP2018/047906
Authority: WO
Inventors: 永男蔡
Original assignee: 楽天株式会社
Priority date: 2018-12-26
Filing date: 2018-12-26
Publication date: 2020-07-02
Also published as: JPWO2020136763A1; EP3706021A4; JP6757861B1; US20200250297A1; EP3706021B1; ES2926909T3; EP3706021A1; TWI785292B; US11436316B2; TW202029030A

Abstract

認証システム（Ｓ）の登録手段（１０５）は、ユーザごとに、第１の認証情報と第２の認証情報を記憶手段に登録する。第１認証手段（１０１）は、入力された第１の認証情報と、登録された第１の認証情報と、の類似性に基づいて、第１の認証をする。第２認証手段（１０２）は、入力された第２の認証情報と、登録された第２の認証情報と、の一致に基づいて、第２の認証をする。制限手段（１０４）は、第１の認証情報が互いに類似する複数のユーザに対し、互いに同じ第２の認証情報が登録されることを制限する。

Description

認証システム、認証装置、認証方法、及びプログラム

　本発明は、認証システム、認証装置、認証方法、及びプログラムに関する。

　従来、第三者による成りすましを防止する認証技術が知られている。例えば、特許文献１には、複数のパターンの顔写真を予め登録しておき、任意のパターンの顔写真を利用して顔認証を実行するシステムが記載されている。また例えば、非特許文献１には、顔認証と電話番号認証の二段階の認証を実行するシステムが記載されている。

特開第２００８－０７１３６６号公報

　上記のような認証技術には、認証情報の完全一致が要求される認証（例えば、パスワード認証）もあれば、認証情報の完全一致までは要求されず類似性によって判定される認証（例えば、生体認証）もある。特許文献１に記載の顔認証は、予め登録された複数のパターンの顔写真と、認証時に撮影された顔写真と、の類似性によって判定されるので、第三者の顔が似ていれば、どのパターンの顔写真を利用したとしても認証が成功してしまう可能性があり、セキュリティを十分に高めることはできない。

　この点、非特許文献１の技術は、二段階の認証を実行しているので、顔認証だけを利用する場合に比べるとセキュリティは向上する。しかしながら、電話番号は、他人に公開することを前提とした情報であり、比較的容易に入手することができるので、顔の似た第三者が電話番号を入手すれば認証が成功してしまう可能性があり、セキュリティを十分に高めることはできない。

　本発明は上記課題に鑑みてなされたものであって、その目的は、セキュリティを十分に高めることが可能な認証システム、認証装置、認証方法、及びプログラムを提供することである。

　上記課題を解決するために、本発明に係る認証システムは、ユーザごとに、第１の認証情報と第２の認証情報を記憶手段に登録する登録手段と、入力された前記第１の認証情報と、登録された前記第１の認証情報と、の類似性に基づいて、第１の認証をする第１認証手段と、入力された前記第２の認証情報と、登録された前記第２の認証情報と、の一致に基づいて、第２の認証をする第２認証手段と、前記第１の認証情報が互いに類似する複数のユーザに対し、互いに同じ前記第２の認証情報が登録されることを制限する制限手段と、を含むことを特徴とする。

　本発明に関わる認証装置は、認証システムに含まれる認証装置又は当該認証システムと通信可能な認証装置であって、入力操作を受け付ける受付手段と、前記入力操作に基づいて、前記第１の認証と前記第２の認証との各々に必要な情報を送信する送信手段と、前記第１の認証と前記第２の認証とが成功した場合に、所定の処理を実行する処理実行手段と、を含むことを特徴とする。

　本発明に係る認証方法は、ユーザごとに、第１の認証情報と第２の認証情報を記憶手段に登録する登録ステップと、入力された前記第１の認証情報と、登録された前記第１の認証情報と、の類似性に基づいて、第１の認証をする第１認証ステップと、入力された前記第２の認証情報と、登録された前記第２の認証情報と、の一致に基づいて、第２の認証をする第２認証ステップと、前記第１の認証情報が互いに類似する複数のユーザに対し、互いに同じ前記第２の認証情報が登録されることを制限する制限ステップと、を含むことを特徴とする。

　本発明に係るプログラムは、ユーザごとに、第１の認証情報と第２の認証情報を記憶手段に登録する登録手段、入力された前記第１の認証情報と、登録された前記第１の認証情報と、の類似性に基づいて、第１の認証をする第１認証手段、入力された前記第２の認証情報と、登録された前記第２の認証情報と、の一致に基づいて、第２の認証をする第２認証手段、前記第１の認証情報が互いに類似する複数のユーザに対し、互いに同じ前記第２の認証情報が登録されることを制限する制限手段、としてコンピュータを機能させる。

　本発明の一態様によれば、前記認証システムは、所定の登録申請をしたユーザの前記第１の認証情報を取得する取得手段を更に含み、前記制限手段は、前記登録申請をしたユーザと前記第１の認証情報が類似する他のユーザの前記第２の認証情報と同じにならないように、前記登録申請をしたユーザの前記第２の認証情報を設定し、前記登録手段は、前記制限手段により設定された前記第２の認証情報を、前記登録申請をしたユーザの前記第２の認証情報として登録する、ことを特徴とする。

　本発明の一態様によれば、前記取得手段は、前記登録申請をしたユーザにより指定された、前記第２の認証情報の一部分を更に取得し、前記制限手段は、前記他のユーザの前記第２の認証情報と同じにならないように、前記登録申請をしたユーザの前記第２の認証情報の残り部分を設定する、ことを特徴とする。

　本発明の一態様によれば、前記制限手段は、前記登録申請をしたユーザと前記一部分が同じ他のユーザの中から、前記第１の認証情報が類似しない他のユーザを特定し、当該特定された他のユーザの前記残り部分を、前記登録申請をしたユーザの前記残り部分として設定する、ことを特徴とする。

　本発明の一態様によれば、前記制限手段は、前記登録申請をしたユーザと前記一部分が同じ他のユーザの前記残り部分ごとに、前記登録申請をしたユーザと前記第１の認証情報が最も類似する他のユーザを特定し、当該特定された他のユーザのうち、前記登録申請をしたユーザと前記第１の認証情報が最も類似しない他のユーザの前記残り部分を、前記登録申請をしたユーザの前記残り部分として設定する、ことを特徴とする。

　本発明の一態様によれば、前記制限手段は、前記登録申請をしたユーザと前記一部分が同じ他のユーザの中に、前記第１の認証情報が類似しない他のユーザが存在しない場合に、使用されていない前記残り部分を、前記登録申請をしたユーザの前記残り部分として設定する、ことを特徴とする。

　本発明の一態様によれば、前記制限手段は、前記登録申請をしたユーザと前記第１の認証情報が類似する他のユーザの前記第２の認証情報と同じにならないように、前記登録申請をしたユーザの前記第２の認証情報をランダムに設定する、ことを特徴とする。

　本発明の一態様によれば、前記第１認証手段は、前記記憶手段に登録された前記第１の認証情報の中から、入力された前記第２の認証情報と一致するユーザの前記第１の認証情報を抽出し、入力された前記第１の認証情報と、抽出された前記第１の認証情報と、に基づいて、前記第１の認証をする、ことを特徴とする。

　本発明の一態様によれば、前記第１の認証情報は、生体認証情報であり、前記第１の認証は、生体認証であり、前記第２の認証情報は、所定桁数のパスコードであり、前記第２の認証は、パスコード認証であり、前記制限手段は、前記生体認証情報が互いに類似する複数のユーザに対し、互いに同じ前記パスコードが登録されることを制限する、ことを特徴とする。

　本発明の一態様によれば、前記登録手段は、前記第１の認証情報と前記第２の認証情報に関連付けて、決済情報を更に登録し、前記認証システムは、前記第１の認証と前記第２の認証とが成功した場合に、前記第１の認証と前記第２の認証とが成功したユーザの前記決済情報に基づいて決済処理を実行する処理実行手段、を更に含むことを特徴とする。

　本発明によれば、セキュリティを十分に高めることが可能となる。

認証システムの全体構成を示す図である。認証システムが利用される場面の一例を示す図である。ユーザ端末に表示される登録申請画面の一例を示す図である。登録完了画面の一例を示す図である。ユーザがセキュリティゲートを通過する様子を示す図である。本実施形態の認証システムで実現される機能の一例を示す機能ブロック図である。ユーザデータベースのデータ格納例を示す図である。制限部の処理の一例を説明するための図である。全く同じパスコードのユーザが複数人いた場合の例を示す図である。登録処理の一例を示すフロー図である。認証処理の一例を示すフロー図である。

［１．認証システムの全体構成］
　以下、本発明に係る認証システムの実施形態の例を説明する。図１は、認証システムの全体構成を示す図である。図１に示すように、認証システムＳは、サーバ１０、ユーザ端末２０、及び認証装置３０を含み、これらは、インターネットなどのネットワークＮに接続可能である。なお、図１では、サーバ１０、ユーザ端末２０、及び認証装置３０の各々を１台ずつ示しているが、これらは複数台あってもよい。

　サーバ１０は、サーバコンピュータである。サーバ１０は、制御部１１、記憶部１２、及び通信部１３を含む。制御部１１は、少なくとも一つのマイクロプロセッサを含む。制御部１１は、記憶部１２に記憶されたプログラムやデータに従って処理を実行する。記憶部１２は、主記憶部及び補助記憶部を含む。例えば、主記憶部はＲＡＭなどの揮発性メモリであり、補助記憶部は、ＲＯＭ、ＥＥＰＲＯＭ、フラッシュメモリ、又はハードディスクなどの不揮発性メモリである。通信部１３は、有線通信又は無線通信用の通信インタフェースであり、ネットワークＮを介してデータ通信を行う。

　ユーザ端末２０は、ユーザが操作するコンピュータである。例えば、ユーザ端末２０は、携帯電話機（スマートフォンを含む）、携帯情報端末（タブレット型コンピュータを含む）、又は、パーソナルコンピュータ等である。本実施形態では、ユーザ端末２０は、制御部２１、記憶部２２、通信部２３、操作部２４、表示部２５、及び撮影部２６を含む。制御部２１、記憶部２２、及び通信部２３の物理的構成は、それぞれ制御部１１、記憶部１２、及び通信部１３と同様であってよい。

　操作部２４は、入力デバイスであり、例えば、タッチパネルやマウス等のポインティングデバイス、キーボード、又はボタン等である。操作部２４は、ユーザによる操作内容を制御部２１に伝達する。表示部２５は、例えば、液晶表示部又は有機ＥＬ表示部等である。表示部２５は、制御部２１の指示に従って画像を表示する。

　撮影部２６は、少なくとも１台のカメラを含む。例えば、撮影部２６は、ＣＣＤイメージセンサやＣＭＯＳイメージセンサなどの撮像素子を含み、当該撮像素子が撮影した画像をデジタルデータとして記録する。画像は、静止画であってもよいし、所定のフレームレートで連続的に撮影された動画であってもよい。

　認証装置３０は、認証に使用されるコンピュータである。例えば、認証装置３０は、携帯電話機、携帯情報端末、又は、パーソナルコンピュータ等である。本実施形態では、認証装置３０は、制御部３１、記憶部３２、通信部３３、操作部３４、表示部３５、及び撮影部３６を含む。制御部３１、記憶部３２、通信部３３、操作部３４、表示部３５、及び撮影部３６の物理的構成は、それぞれ制御部１１、記憶部１２、通信部１３、操作部２４、表示部２５、及び撮影部２６と同様であってよい。

　なお、記憶部１２，２２，３２に記憶されるものとして説明するプログラム及びデータは、ネットワークＮを介して供給されるようにしてもよい。また、上記説明した各コンピュータのハードウェア構成は、上記の例に限られず、種々のハードウェアを適用可能である。例えば、コンピュータ読み取り可能な情報記憶媒体を読み取る読取部（例えば、光ディスクドライブやメモリカードスロット）や外部機器とデータの入出力をするための入出力部（例えば、ＵＳＢポート）が含まれていてもよい。例えば、情報記憶媒体に記憶されたプログラムやデータが読取部や入出力部を介して、各コンピュータに供給されるようにしてもよい。

［２．認証システムの概要］
　認証システムＳは、任意の場面においてユーザの正当性を確認するために、認証を実行する。認証は、ユーザが所定の資格を有するか否かを確認する行為であり、相手認証又は本人認証と呼ばれることもある。認証システムＳは、種々のタイプの認証を実行可能であり、例えば、生体認証、パスコード認証、パスワード認証、電子スタンプ認証、又は合言葉認証を実行可能である。

　なお、生体認証は、人間の身体的特徴又は行動的特徴を利用する認証方法である。例えば、身体的特徴を利用する生体認証には、顔認証、指紋認証、ＤＮＡ認証、掌形認証、網膜認証、虹彩認証、静脈認証、又は音声認証がある。また例えば、行動的特徴を利用する生体認証には、筆跡認証、キーストローク認証、リップムーブメント認証、まばたき認証、又は歩行認証がある。

　本実施形態では、ユーザがセキュリティゲートを通過する場面を例に挙げて、認証システムＳの処理を説明する。なお、認証システムＳは、後述する変形例のように、種々の場面に適用可能であり、認証システムＳが適用される場面は、本実施形態の例に限られない。

　図２は、認証システムＳが利用される場面の一例を示す図である。図２に示すように、セキュリティゲートＳＧは、回転式のドアを含み、認証装置３０が接続されている。セキュリティゲートＳＧのドアは、ロック機構によりロックされており、ユーザの認証が成功すると、ロックが解除される。ロックが解除されると、ユーザはドアを押して通過することができる。ドアは、所定角度だけ回転すると再びロックされる。なお、ドアは、開閉式であってもよいし、電子錠によって開閉が制御されてもよい。

　例えば、セキュリティゲートＳＧは、勤務先の会社や公共施設などの任意の施設に配置され、入場する資格を有する者だけが通過することができる。一般的には、カードキーを利用したセキュリティゲートが主流であるが、ユーザがカードキーを紛失すると、カードキーを取得した第三者が、ユーザに成りすましてセキュリティゲートを通過する可能性がある。

　この点、生体認証を利用すれば、カードキーのように紛失する心配はなくなるが、従来技術で説明したように、生体認証は、顔などの完全一致までは要求されず、類似性によって成否が決まるので、例えば、ユーザと顔が似ている他人が、ユーザに成りすましてセキュリティゲートを通過する可能性がある。

　また、従来技術で説明したように、生体認証と電話番号認証の二段階の認証をしたとしても、電話番号は公開されることを前提とした情報なので、セキュリティを十分に向上させることはできない。この点、電話番号認証に代えてパスコード認証を利用した場合、パスコードは、通常は公開される情報ではないので、ある程度はセキュリティを向上させることができる。

　しかしながら、パスコードは、比較的短い情報（例えば、４桁の数字）であり、互いに顔が似ている複数のユーザが、偶然同じパスコードを使用することもある。この場合、あるユーザＡが別のユーザＢとして認証されてしまい、ユーザＡがユーザＢに成りすましてセキュリティゲートを通過する可能性がある。

　そこで、認証システムＳは、互いに顔が似ている複数のユーザの各々が、互いに同じパスコードを使用することを制限している。詳細は後述するが、制限の仕方は、複数の方法を利用可能であり、本実施形態では、ユーザに、認証に必要な情報として、顔写真とパスコードを登録させる場合に、登録時にパスコードの全部を指定させるのではなく、一部分だけを指定させるようにしている。そして、顔が似たユーザ同士で同じパスコードにならないように、サーバ１０側でパスコードの残り部分を決定することで、上記のような成りすましを防止している。

　図３は、ユーザ端末２０に表示される登録申請画面の一例を示す図である。登録申請画面は、ユーザが顔写真などの登録申請をするための画面である。図３に示すように、登録申請画面Ｇ１には、ユーザＩＤを入力するための入力フォームＦ１０、パスワードを入力するための入力フォームＦ１１、顔写真をアップロードするための入力フォームＦ１２、パスコードの下４桁を入力するための入力フォームＦ１３、及び登録申請をするためのボタンＢ１４が表示される。

　ユーザＩＤは、ユーザを一意に識別する情報である。パスワードは、ユーザが指定した任意の長さの記号列であり、上記説明したパスコードとは異なる情報である。記号とは、数字と文字の両方を意味する。ユーザは、予め認証システムＳのユーザ登録を済ませており、ユーザＩＤが発行され、パスワードを指定済みであるものとする。本実施形態では、パスワードは、セキュリティゲートＳＧを通過するために利用されるのではなく、自身の登録情報の変更などの他の目的で利用される。

　例えば、ユーザ端末２０の記憶部２２にユーザの顔写真が記憶されておりユーザは、入力フォームＦ１２に顔写真のファイル名を入力して、アップロードする顔写真を指定する。即ち、ユーザは、入力フォームＦ１２に、顔認証で用いる顔写真を指定する。本実施形態では、説明の簡略化のために、顔写真を１枚だけ登録する場合を説明するが、複数の顔写真が登録されてもよい。なお、ユーザは、撮影部２６を起動して、その場で顔写真を撮影してもよい。

　また例えば、ユーザは、入力フォームＦ１３に任意の４桁の数値を入力する。ユーザが、入力フォームＦ１０～Ｆ１３の各々に情報を入力してボタンＢ１４を選択すると、サーバ１０側でパスコードの上１桁が決定され、登録が完了したことを示す登録完了画面が表示部２５に表示される。

　図４は、登録完了画面の一例を示す図である。図４に示すように、登録完了画面Ｇ２には、登録が完了したことを示すメッセージとともに、登録申請をしたユーザのユーザＩＤ、ユーザデータベースＤＢに登録された顔写真、及びユーザのパスコードが表示される。

　図４の例では、ユーザのパスコードは「５－１４２７」である。１桁目の「５」は、顔が似た他のユーザと同じパスコートにならないように、サーバ１０により決定された数値であり、２桁目～５桁目の「１４２７」は、ユーザにより指定された数値である。例えば、顔が似た他のユーザが登録申請時に「１４２７」を指定していた場合、当該他のユーザは、「１－１４２７」や「３－１４２７」といったパスコードが割り当てられているかもしれないが、上１桁目が異なるので、パスコードが同じにはならず、成りすましを防止できる。

　なお、１桁目と２桁目の間のハイフンは、パスコードを構成するものではなく、ユーザはハイフンを入力する必要はない。顔写真とパスコードの登録が完了すると、ユーザは、セキュリティゲートＳＧを通過するための認証を受けることができるようになる。

　図５は、ユーザがセキュリティゲートＳＧを通過する様子を示す図である。図５に示すように、ユーザは、認証装置３０の表示部３５に表示された案内に従い、撮影部３６に自身の顔を撮影させる。例えば、表示部３５の表示領域Ａ３５には、撮影部３６により撮影された画像が表示される。ユーザは、操作部３４を操作して、表示部３５に表示された入力フォームＦ３５に、登録完了画面Ｇ２で通知された５桁のパスコードを入力する。

　ユーザが決定ボタンＢ３５を選択すると、撮影部３６により撮影された画像と、入力フォームＦ３５に入力されたパスコードと、がサーバ１０に送信され、顔認証とパスコード認証が実行される。図５に示すように、これら２つの認証が成功すると、セキュリティゲートＳＧのロックが解除され、ユーザは、セキュリティゲートＳＧを通過することができる。

　以上のように、本実施形態の認証システムＳは、顔が似ているユーザ同士で同じパスコードとならないように、パスコードの一部分をユーザに指定させ、パスコードの残り部分を認証システムＳ側で決定することでセキュリティを十分に高めるようにしている。以降、この技術の詳細を説明する。

［３．認証システムにおいて実現される機能］
　図６は、本実施形態の認証システムＳで実現される機能の一例を示す機能ブロック図である。ここでは、サーバ１０、ユーザ端末２０、及び認証装置３０の各々で実現される機能を説明する。

［３－１．サーバにおいて実現される機能］
　図６に示すように、サーバ１０では、データ記憶部１００、第１認証部１０１、第２認証部１０２、取得部１０３、制限部１０４、登録部１０５、及び処理実行部１０６が実現される。

[データ記憶部]
　データ記憶部１００は、記憶部１２を主として実現される。データ記憶部１００は、認証に必要なデータを記憶する。ここでは、データ記憶部１００が記憶するデータの一例として、ユーザに関する各種情報が格納されたユーザデータベースＤＢについて説明する。

　図７は、ユーザデータベースＤＢのデータ格納例を示す図である。図７示すように、ユーザデータベースＤＢには、ユーザＩＤ、ユーザの氏名、パスワード、アップロードされた顔写真のデータ、顔写真から計算された顔の特徴量、及びパスコードが格納される。なお、ユーザデータベースＤＢに格納される情報は、これらに限られず、ユーザの連絡先や住所といった任意の情報が格納されてよい。

　パスワード、顔の特徴量、及びパスコードは、認証情報の一種である。認証情報とは、認証時に参照される情報であり、認証方法によって呼び名が異なる。例えば、電子スタンプ認証であれば、スタンプのマルチタッチパターンが認証情報となり、合言葉認証であれば、合言葉が認証情報となる。パスワード、顔の特徴量、及びパスコードの各々は、任意の目的で利用されてよい。本実施形態では、パスワードは、ユーザが登録申請をしたり登録済みの情報を編集したりするために利用され、顔の特徴量とパスコードは、ユーザがセキュリティゲートを通過するために利用される。

　顔の特徴量は、顔の特徴を数値化した情報であり、例えば、顔のパーツの相対位置、大きさ、又は形状などの特徴が示されている。本実施形態では、顔写真が示す顔の特徴量を予め計算しておくものとするが、顔の特徴量は、認証時にその場で計算されてもよい。複数の顔写真が登録される場合には、顔写真ごとに、顔の特徴量が計算される。顔認証自体は、種々の手法を適用可能であり、例えば、主成分分析、線形判別分析、弾性マッチング、又は隠れマルコフモデルといった手法を利用可能であり、特徴量は、これらの手法に応じた計算式で計算されるようにすればよい。例えば、顔の特徴量は、多次元のベクトルで示されるものとするが、配列や単一の数値といった他の形式で示されてもよい。顔の特徴量は、本発明に係る第１の認証情報の一例である。

　第１の認証情報とは、第１の認証で利用される認証情報である。第１の認証は、認証情報の類似性に基づく認証である。類似性とは、入力された認証情報と、登録された認証情報と、が類似しているか否かである。別の言い方をすれば、類似性とは、入力された認証情報と、登録された認証情報と、の差又は違いである。

　入力された認証情報とは、認証時にコンピュータに対して入力された認証情報であり、例えば、ユーザの操作により入力された認証情報であってもよいし、撮影部３６などのセンサの検出結果により入力された認証情報であってもよい。本実施形態では、入力フォームＦ１１に対して入力されたパスワード、撮影部３６の撮影画像が示す顔の特徴量、及び入力フォームＦ３５に対して入力されたパスコードは、入力された認証情報の一例である。

　登録された認証情報とは、予め登録された認証情報であり、認証時の正解となりうる認証情報である。別の言い方をすれば、登録された認証情報は、入力された認証情報と比較される情報である。本実施形態では、ユーザデータベースＤＢに格納されたパスワード、顔の特徴量、及びパスコードは、登録された認証情報の一例である。

　第１の認証では、入力された認証情報と、登録された認証情報と、に基づいて、類似度が計算される。類似度とは、類似の程度を示す指標である。別の言い方をすれば、類似度とは、これら認証情報の差又は違いの小ささを示す指標である。類似度が高いほど、互いの認証情報が類似していることを示し、類似度が小さいほど、互いの認証情報が類似していないことを示す。類似度は、認証情報が類似する蓋然性ということもできる。類似度は、０％～１００％の間のパーセンテージで示されてもよいし、他の数値範囲の中で示されてもよい。

　本実施形態では、第１の認証情報が生体認証情報であり、第１の認証が生体認証である場合を例に挙げて説明する。更に、生体認証情報の具体例として顔の特徴量を説明し、生体認証の具体例として顔認証を説明する。このため、本実施形態で生体認証情報又は顔の特徴量と記載した箇所は、第１の認証情報と読み替えることができ、生体認証又は顔認証と記載した箇所は、第１の認証と読み替えることができる。

　パスコードは、先述したように、認証のために用いられる所定桁数の番号である。パスコードは、ＰＩＮ（Personal Identification Number）又は暗証番号と呼ばれることもある。パスコードとパスワードは、似た概念であるが、パスコードが数字のみから構成されるのに対し、パスワードは、任意の種類の記号によって構成される点で異なる。また、本実施形態では、パスコードは、桁数が決められているのに対し、パスワードは、任意の桁数で設定可能な点でも異なる。なお、パスコードは、桁数が決められていなくてもよい。パスコードは、第２の認証情報の一例である。

　第２の認証情報とは、第２の認証で利用される認証情報である。第２の認証は、認証情報の一致に基づく認証である。一致とは、入力された認証情報と、登録された認証情報と、が同一であることを意味する。ここでの一致は、部分一致ではなく、完全一致を意味する。このため、第２の認証は、認証情報が一部でも異なっていれば成功しない。

　本実施形態では、第２の認証情報が所定桁数のパスコードであり、第２の認証がパスコード認証である場合を例に挙げて説明する。このため、本実施形態でパスコードと記載した箇所は、第２の認証情報と読み替えることができ、パスコード認証と記載した箇所は、第２の認証と読み替えることができる。

[第１認証部]
　第１認証部１０１は、制御部１１を主として実現される。第１認証部１０１は、入力された第１の認証情報と、登録された第１の認証情報と、の類似性に基づいて、第１の認証をする。本実施形態では、第１の認証情報が顔の特徴量であり、第１の認証が顔認証なので、第１認証部１０１は、入力された顔の特徴量と、登録された顔の特徴量と、の類似性に基づいて、顔認証をする。

　例えば、認証装置３０によってユーザの顔が撮影される場合、第１認証部１０１は、認証装置３０により撮影された画像に基づいて、入力された顔の特徴量を計算する。また、第１認証部１０１は、ユーザデータベースＤＢを参照し、登録された顔の特徴量を取得する。第１認証部１０１は、入力された顔の特徴量と、登録された顔の特徴量と、が類似する場合に認証成功と判定し、これらが類似しない場合に認証失敗と判定する。

　例えば、第１認証部１０１は、入力された顔の特徴量と、登録された顔の特徴量と、に基づいて、類似度を計算する。第１認証部１０１は、これらの特徴量の差（例えば、特徴量が示すベクトル同士の距離）をそのまま類似度としてもよいし、これらの特徴量を所定の計算式（例えば、特徴量が示すベクトルの要素ごとに重み付けをした計算式）に代入することで類似度を計算してもよい。第１認証部１０１は、類似度が閾値以上の場合に認証成功と判定し、類似度が閾値未満の場合に認証失敗と判定する。

　なお、第１の認証情報として、顔の特徴量ではなく、顔写真そのものを利用する場合には、第１認証部１０１は、入力された顔写真と、登録された顔写真と、の類似度を計算してもよい。画像同士の類似度を計算する方法自体は、種々の手法を適用可能であり、例えば、画像内の画素の画素値の差を計算する方法を利用してもよいし、機械学習における類似度計算を利用してもよい。

　第１の認証である顔認証では、ユーザデータベースＤＢに登録された全ての顔の特徴量が比較対象となってもよいが、本実施形態では、第１認証部１０１は、ユーザデータベースＤＢに登録された顔の特徴量の中から、入力されたパスコードと一致するユーザの顔の特徴量を抽出する。即ち、本実施形態では、第２の認証であるパスコード認証が先に実行され、第１の認証で比較対象とする顔の特徴量が絞り込まれた後に、第１の認証である生体認証が実行される。第１認証部１０１は、ユーザデータベースＤＢのうち、上記抽出した顔の特徴量を、入力された顔の特徴量との比較対象とする。即ち、第１認証部１０１は、ユーザデータベースＤＢのうち、入力されたパスコードと一致するレコードを、入力された顔の特徴量との比較対象にする。

　なお、認証時にユーザにユーザＩＤ又は氏名を入力させてもよく、この場合には、第１認証部１０１は、当該入力されたユーザＩＤ又は氏名に関連付けられた顔の特徴量だけを比較対象としてもよい。

[第２認証部]
　第２認証部１０２は、制御部１１を主として実現される。第２認証部１０２は、入力された第２の認証情報と、登録された第２の認証情報と、の一致に基づいて、第２の認証をする。本実施形態では、第２の認証情報が所定桁数のパスコードであり、第２の認証がパスコード認証なので、第２認証部１０２は、入力されたパスコードと、登録されたパスコードと、の一致に基づいて、パスコード認証をする。第２認証部１０２は、これらが一致する場合には認証成功と判定し、これらが一致しない場合に認証失敗と判定する。

　本実施形態では、パスコード認証を先に実行して、顔認証における比較対象となる顔の特徴量が絞り込まれるので、ユーザデータベースＤＢに登録された全てのパスコードが比較対象となる。このため、第２認証部１０２は、入力されたパスコードと一致するパスコードが格納された全てのレコードを特定する。第２認証部１０２は、入力されたパスコードと一致するレコードが見つからなければ、認証失敗と判定し、入力されたパスコードと一致するレコードが１つでも見つかれば、認証成功と判定する。認証成功した場合に発見したレコードに格納された顔の特徴量は、顔認証における比較対象となる。

　なお、本実施形態とは逆に、第１の認証である生体認証が先に実行され、第２の認証であるパスコード認証が後に実行されてもよい。この場合、ユーザデータベースＤＢに登録された全ての顔の特徴量が、生体認証における比較対象となり、パスコード認証における比較対象となるパスコードが絞り込まれる。この場合、生体認証が成功したと判定されたレコードに格納されたパスコードだけが、パスコード認証における比較対象となる。

[取得部]
　取得部１０３は、制御部１１を主として実現される。取得部１０３は、所定の登録申請をしたユーザの第１の認証情報を取得する。本実施形態では、顔の特徴量が第１の認証情報なので、取得部１０３は、ユーザの顔の特徴量を取得する。取得部１０３は、ユーザ端末２０から取得した顔写真に基づいて、顔の特徴量を計算し、ユーザデータベースＤＢに格納する。

　登録申請は、第１の認証情報及び第２の認証情報を登録するための申請であり、ここでは、顔の特徴量とパスコードを登録するための申請である。登録申請は、予め定められた手順で手続きをすることによって、登録申請が行われる。本実施形態では、登録申請が電子的に行われるものとして説明するが、登録申請が書類で行われて、オペレータなどによって顔写真などの情報が登録されてもよい。先述したように、本実施形態では、ユーザは、認証システムＳにユーザ登録を済ませており、ユーザＩＤとパスワードを登録しているものとする。その後、ユーザは、サーバ１０にアクセスすると、登録申請画面Ｇ１が表示部２５に表示され、登録申請が可能となる。

　なお、第１の認証情報として顔写真そのものを利用する場合には、第１認証部１０１は、ユーザ端末２０から取得した顔写真を、そのまま第１の認証情報としてユーザデータベースＤＢに格納してもよい。

　取得部１０３は、顔の特徴量だけを取得してもよいが、本実施形態では、取得部１０３は、登録申請をしたユーザにより指定された、パスコードの一部分を取得する。ここでの一部分とは、第２の認証情報を構成する部分である。一部分は、第２の認証情報の前半部分、後半部分、又は中段部分の何れであってもよく、その長さ（情報量）も任意であってよい。

　なお、第２の認証情報のうち、どの部分をユーザに指定させるかは、ユーザに応じて異なってもよいが、本実施形態では、ユーザに指定させる部分は、予め決められており、全てのユーザで共通である場合を説明する。例えば、あるユーザについては、パスコードの下４桁を指定させ、別のユーザについては、パスコードの上４桁を指定させるといったことはせず、全てのユーザについて、パスコードの下４桁を指定させるものとする。これは、システム側で生成する部分（例えば、パスコードの上１桁）でユーザをグルーピングしやすくするためである。

　本実施形態のように、パスコードが第２の認証情報の場合、パスコードをｎ桁（ｎは２以上の整数）とすると、その中のｋ桁（ｋは１以上ｎ未満の整数）が一部分に相当する。本実施形態では、後述する制限部１０４がパスコードの上「ｎ－ｋ」桁を決定するので、ユーザがパスコードの下ｋ桁を指定する場合を説明する。図４の例であれば、ｎの値は５であり、ｋの値は４であり、ユーザは下４桁を指定することになる。

　なお、制限部１０４がパスコードの下「ｎ－ｋ」桁を決定するようにしてもよく、この場合には、ユーザは、パスコードの上ｋ桁を指定することになる。例えば、ユーザが「１４２７」を指定し、制限部１０４が「５」を決定したとすると、ユーザのパスコードは「１４２７－５」となる。

　また、パスコードのうちユーザが指定する割合（ｎに対するｋの割合）は任意であってよいが、この割合が高いほど、ユーザが指定する部分が多くなるので忘れにくくなり、この割合が低いほど、システム側で生成する部分が多くなるのでセキュリティが高くなる。上記割合は、忘れにくさとセキュリティとのトレードオフといえる。本実施形態では、ユーザが指定するパスコードの一部分は、システム側で生成するパスコードの残り部分よりも多く、忘れにくさを重視しているが、当該残り部分が当該一部分よりも多く、セキュリティを重視してもよい。

[制限部]
　制限部１０４は、制御部１１を主として実現される。制限部１０４は、第１の認証情報が互いに類似する複数のユーザに対し、互いに同じ第２の認証情報が登録されることを制限する。

　第１の認証情報が互いに類似するとは、複数のユーザの各々の第１の認証情報が類似することである。ここでの類似とは、類似度が閾値以上であることを意味する。互いに同じ第２の認証情報とは、複数のユーザの各々の第２の認証情報が一致することである。一致の意味は、先述した通りであり、本実施形態では、これらの第２の認証情報が完全一致することが一致することに相当し、一部でも異なっていれば一致しないことになる。

　制限とは、第１の認証情報が互いに類似する複数のユーザに対し、互いに同じ第２の認証情報を登録しないようにすることである。制限の方法としては、複数の方法があり、本実施形態では、その中の１つを説明し、他の方法については変形例で説明する。なお、本実施形態では、第１の認証情報が顔の特徴量であり、第２の認証情報がパスコードなので、顔の特徴量（生体認証情報の一例）が互いに類似する複数のユーザに対し、互いに同じパスコードが登録されることを制限する方法について説明する。

　例えば、制限部１０４は、登録申請をしたユーザと顔の特徴量が類似する他のユーザのパスコードと同じにならないように、登録申請をしたユーザのパスコードを設定する。ここでの設定とは、パスコードの一部又は全部の内容をコンピュータ側で決定することである。

　本実施形態では、登録申請をしたユーザがパスコードの一部分を指定するため、制限部１０４は、他のユーザのパスコードと同じにならないように、登録申請をしたユーザのパスコードの残り部分を設定する。

　残り部分とは、第２の認証情報のうち、ユーザが指定する一部分以外の部分である。残り部分は、第２の認証情報の前半部分、後半部分、又は中段部分の何れであってもよく、その長さも任意であってよい。例えば、ユーザが前半部分を指定する場合には、残り部分は後半部分となる。また例えば、ユーザが後半部分を指定する場合には、残り部分は前半部分となる。また例えば、ユーザが中段部分を指定する場合には、残り部分は前半部分及び後半部分となる。

　本実施形態のように、パスコードが第２の認証情報の場合、パスコードのｎ桁のうち、ユーザが指定したｋ桁以外の「ｎ－ｋ」桁が一部分に相当する。図６の例では、ｎの値は５であり、ｋの値が４であり、ユーザが上４桁を指定するので、残り部分は、下１桁となる。なお、残り部分は、ユーザが指定する桁数に応じて決定されるようにすればよく、例えば、ユーザが３桁以下の桁数を指定するのであれば、残り部分である「ｎ－ｋ」桁は２以上となる。また例えば、ユーザが上ｋ桁を指定するのであれば、残り部分は、下「ｎ―ｋ」桁となる。

　図８は、制限部１０４の処理の一例を説明するための図である。ここでは、ユーザの顔の特徴量がｍ（ｍは自然数）次元のベクトルで示される場合を説明する。実際には、顔の特徴量は、数十～数百次元のベクトルで表現されることが多いが、図８では、説明の簡略化のために、ｍの値が２であり、顔の特徴量が２次元座標で示される場合を説明する。

　例えば、ユーザＡが登録申請を行い、顔写真とともに、「１４２７」の４桁を指定したものとする。登録済みのユーザの中に、顔が似ているユーザがいたとしても、「１４２７」を指定していなければ、ユーザＡとパスコードが同じになることはない。このため、制限部１０４は、ユーザデータベースＤＢを参照し、登録申請をしたユーザＡが指定した「１４２７」と同じ４桁を指定したユーザ（パスコードの下４桁が「１４２７」のユーザ）を探索する。

　上記探索されたユーザの中に、ユーザＡと顔が似ているユーザがいれば、そのユーザについては、パスコードの残り１桁も同じにしてしまうと、顔が類似しており、パスコードも完全に一致するので、互いに成りすましが可能になってしまう。このような成りすましを避けるために、制限部１０４は、上記探索されたユーザのうち、ユーザＡと顔が類似するユーザとパスコードが完全に一致しないように、ユーザＡのパスコードの残り１桁を決定する。

　制限部１０４は、ユーザＡのパスコードの残り１桁として、上記探索されたユーザが誰も使用していない数値を決定してもよいが、この場合には、パスコードの上１桁の数値がすぐに枯渇する可能性がある。この点、ユーザＡと顔が全く似つかないユーザであれば、パスコードが一致しても、そもそも顔認証が成功しないので、成りすましにあう確率は極めて低い。

　そこで、本実施形態では、制限部１０４は、登録申請をしたユーザとパスコードの一部分（ここでは、下４桁）が同じ他のユーザの中から、顔の特徴量が類似しない他のユーザを特定し、当該特定された他のユーザのパスコードの残り部分（ここでは、上１桁）を、登録申請をしたユーザの残り部分として設定する。

　例えば、制限部１０４は、当該特定された他のユーザのうち、登録申請をしたユーザと顔の特徴量が最も類似しない他のユーザの残り部分を、登録申請をしたユーザの残り部分として設定する。最も類似しないとは、類似度が最も低いことであり、図８の座標系における距離が最も遠いことである。

　図８の例であれば、制限部１０４は、顔写真などを登録済みのユーザＢ～Ｅの中から、登録申請をしたユーザＡと顔の特徴量が類似しないユーザを特定する。図８のような２次元座標上では、顔の特徴量の違いは距離に表れるので、距離が離れているほど顔の特徴量が類似しないことを意味する。このため、制限部１０４は、ユーザＡの顔の特徴量と、ユーザＢ～Ｅの各々の顔の特徴量と、の距離に基づいて、顔の特徴量が類似しないユーザを特定する。

　図８の例であれば、ユーザＥがユーザＡから最も離れているので、ユーザＥは、ユーザＡと最も顔が類似しないユーザとなる。このため、制限部１０４は、ユーザＥのパスコードの上１桁の「５」を、ユーザＡのパスコードの上１桁として決定する。この場合、ユーザＡとユーザＥは、互いに同じパスコード「５－１４２７」となるが、ユーザＡとユーザＥは、そもそも顔が全く似ていないので、第１の認証が成功することはない。このため、セキュリティ性を担保しつつ、パスコードの上１桁が枯渇しにくくなる。

　なお、制限部１０４は、上記のように、距離が最も離れたユーザを特定してもよいが、距離が閾値以上であれば、顔認証が成功しないことが保証されるので、制限部１０４は、距離が最も離れたユーザではなく、距離が閾値以上のユーザの中の任意のユーザを特定してもよい。制限部１０４は、当該特定したユーザが使用している残り部分を、ユーザＡの残り部分として決定してもよい。

　また、パスコードの下４桁が同じ他のユーザの全員が、登録申請をしたユーザと顔が似ていることもある。制限部１０４は、登録申請をしたユーザとパスコードの一部分が同じ他のユーザの中に、顔の特徴量が類似しない他のユーザが存在しない場合には、使用されていないパスコードの残り部分を、登録申請をしたユーザの残り部分として設定する。

　図８の例において、もし仮にユーザＢ～Ｅの全員がユーザＡと顔が似ていたとすると、ユーザＡの上１桁は、誰にも付与されていない数値が付与される。例えば、制限部１０４は、ユーザＢ～Ｅが使用している上１桁である「１」、「２」、「５」、「９」以外の任意の数値（例えば、「７」）を、ユーザＡの上１桁として決定する。もし、０～９の全ての数値を、ユーザＡと顔が似ている他のユーザが使用していた場合には、２桁の数値がユーザＡの残り部分として設定されてもよいし、数値の代わりにアルファベットが代用されてもよい。

　また、上記のようにパスコードを設定すると、５桁のパスコードが全く同じになるユーザが複数人いることがある。図８の例であれば、ユーザＡとユーザＥのパスコードは、全く同じになる。このような場合、登録申請をしたユーザが指定した下４桁が同じ他のユーザ全員の中から、顔の特徴量が類似しないユーザを特定してもよいが、パスコードが全く同じ複数のユーザについては、距離的に最も近いユーザだけを比較対象とすれば十分である。

　そこで、制限部１０４は、登録申請をしたユーザと一部分が同じ他のユーザの残り部分（ここでは、上１桁）ごとに、登録申請をしたユーザと顔の特徴量が最も類似する他のユーザを特定し、当該特定された他のユーザのうち、登録申請をしたユーザと顔の特徴量が最も類似しない他のユーザの残り部分を、登録申請をしたユーザの残り部分として設定してもよい。

　例えば、制限部１０４は、登録申請をしたユーザが指定したパスコードの下４桁が同じ他のユーザを、パスコードの上１桁でグルーピングする。パスコードの上１桁は、グループの識別情報といえる。そして、制限部１０４は、グループごとに、登録申請をしたユーザと最も顔が似ている他のユーザを特定し、当該特定した他のユーザ以外は、登録申請をしたユーザの顔の特徴量との比較対象とせず、当該特定した他のユーザを比較対象として決定する。

　図９は、全く同じパスコードのユーザが複数人いた場合の例を示す図である。図９に示すように、ユーザＥとパスコードが全く同じユーザＦがいたとする。ユーザＥとＦは、パスコードは全く同じであるが、互いに距離が離れており（顔が似ておらず）、互いに成りすますことはできないので、パスコードが全く同じでも問題はない。顔が似たユーザ同士で同じパスコードが付与されていないので、顔が似たユーザは互いに異なるグループに属するように、グルーピングがなされていることになる。

　例えば、ユーザＥは、パスコードが同じユーザＦよりも、ユーザＡと顔が似ており、ユーザＦよりも距離が近いものとする。この場合、ユーザＡとユーザＥとの顔が似ていないことさえ確認できれば、より遠くにいるユーザＦは、当然のことながらユーザＡと顔が似ていないことになる。このため、制限部１０４は、ユーザＦについては、ユーザＡとの顔の比較対象から除外してもよい。

　図９の例であれば、制限部１０４は、ユーザＦについてはユーザＡとの比較対象とせず、ユーザＢ～Ｅを比較対象とする。これら４人の中に、ユーザＡと顔が似ていないユーザがいれば、そのユーザの上１桁をユーザＡの上１桁とする。これら４人が全てユーザＡと顔が似ていれば、ユーザＡの上１桁は、誰にも付与されていない数値が付与される。

　なお、制限部１０４の処理は、以上説明した例に限られない。例えば、制限部１０４は、登録申請をしたユーザと顔の特徴量が類似する他のユーザのパスコードと同じにならないように、登録申請をしたユーザのパスコードをランダムに設定してもよい。この場合、制限部１０４は、登録申請をしたユーザと顔の特徴量が類似する他のユーザを特定し、当該特定した他のユーザのパスコードを参照する。制限部１０４は、参照したパスコードの上１桁として使用されていない数値をランダムに決定する。例えば、制限部１０４は、ある程度の登録数が貯まるまでは、パスコードの上１桁をランダムに決定してもよい。

[登録部]
　登録部１０５は、制御部１１を主として実現される。登録部１０５は、ユーザごとに、第１の認証情報と第２の認証情報をデータ記憶部１００に登録する。登録部１０５は、ユーザＩＤに関連付けて、第１の認証情報と第２の認証情報をデータ記憶部１００に登録する。なお、登録とは、メモリにデータを書き込むことであり、データデータベースにデータを格納することである。ユーザと、第１の認証情報と第２の認証情報の組み合わせと、は１対１の関係になる。別の言い方をすれば、１人のユーザに対し、１セットの第１の認証情報と第２の認証情報が登録される。

　本実施形態では、顔の特徴量が第１の認証情報であり、パスコードが第２の認証情報なので、登録部１０５は、ユーザごとに、顔の特徴量とパスコードをユーザデータベースＤＢに登録する。例えば、パスコードは、ユーザが登録申請をした場合に制限部１０４により設定されるので、登録部１０５は、制限部１０４により設定されたパスコードを、登録申請をしたユーザのパスコードとして登録する。

[処理実行部]
　処理実行部１０６は、制御部１１を主として実現される。処理実行部１０６は、第１の認証及び第２の認証の各々の結果に基づいて、所定の処理を実行する。例えば、処理実行部１０６は、第１の認証又は第２の認証の何れか一方が失敗した場合には、所定の処理を実行せず、第１の認証と第２の認証の両方が成功した場合に、所定の処理を実行する。

　所定の処理は、認証が成功した場合に実行が許可される処理である。本実施形態では、セキュリティゲートＳＧのロックを解除するための処理が所定の処理に相当する場合を説明するが、所定の処理は、任意の処理を適用可能である。例えば、所定の処理は、サーバ又は端末へのログイン処理、コンピュータのロックを解除する処理、データの閲覧を許可する処理、データの書き込みを許可する処理、自動ドアを開閉する処理、電子投票を許可する処理、又は公的文書の取得を許可する処理であってよい。

　処理実行部１０６は、第１の認証又は第２の認証の何れか一方が失敗した場合には、セキュリティゲートＳＧのロックの解除を許可せず、第１の認証と第２の認証の両方が成功した場合に、セキュリティゲートＳＧのロックを解除することを許可する。処理実行部１０６がロック解除の制御をしてもよいが、本実施形態では、認証装置３０の処理実行部３０３がロック解除の制御を実行するので、処理実行部１０６は、認証装置３０に対し、認証結果を通知する。例えば、処理実行部１０６は、第１の認証又は第２の認証の何れか一方が失敗した場合には、認証が成功したことを示す通知を送信せず、第１の認証及び第２の認証の両方が成功した場合に、認証が成功したことを示す通知を送信する。なお、ユーザによる認証が一定回数成功しなかった場合には、ユーザが入力したパスコードが格納されたレコード、又は、ユーザと顔が類似する特徴量が格納されたレコードの認証情報がロックされて使用できなくなるようにしてもよい。

［３－２．ユーザ端末において実現される機能］
　図６に示すように、ユーザ端末２０では、データ記憶部２００、受付部２０１、及び送信部２０２が実現される。

［データ記憶部］
　データ記憶部２００は、記憶部２２を主として実現される。データ記憶部２００は、登録申請に必要なデータを記憶する。例えば、データ記憶部２００は、ユーザの顔写真のデータを記憶する。また例えば、データ記憶部２００は、ユーザＩＤ及びパスワードを記憶してもよい。

［受付部］
　受付部２０１は、制御部２１を主として実現される。受付部２０１は、ユーザが登録申請をするための入力操作を受け付ける。例えば、受付部２０１は、入力フォームＦ１０に対するユーザＩＤの入力操作を受け付ける。また例えば、受付部２０１は、入力フォームＦ１１に対するパスワードの入力操作を受け付ける。また例えば、受付部２０１は、入力フォームＦ１２に対する顔写真のファイル名などの入力操作を受け付ける。また例えば、受付部２０１は、入力フォームＦ１３に対するパスコードの一部分の指定を受け付ける。なお、受付部２０１が受け付ける入力操作は、これらに限られず、他の種々の入力操作を受け付け可能である。

［送信部］
　送信部２０２は、制御部２１を主として実現される。送信部２０２は、受付部２０１により受け付けられた入力操作に基づいて、登録申請をするためのデータを送信する。本実施形態では、登録部１０５がサーバ１０により実現される場合を説明するので、送信部２０２は、サーバ１０にデータを送信する場合を説明するが、他のコンピュータによって登録部１０５が実現される場合には、当該他のコンピュータにデータを送信してもよい。例えば、送信部２０２は、入力フォームＦ１０～Ｆ１３の各々に対する入力操作に基づいて、ユーザＩＤ、パスワード、顔写真のデータ、及びパスコードの一部分を送信する。なお、送信部２０２が送信するデータは、これらに限られず、他の種々のデータを送信可能である。

［３－３．認証装置において実現される機能］
　図６に示すように、認証装置３０では、データ記憶部３００、受付部３０１、送信部３０２、及び処理実行部３０３が実現される。なお、本実施形態では、認証装置３０が認証システムＳに含まれる場合を説明するが、認証装置３０は、認証システムＳと通信可能な外部装置であってもよい。

［データ記憶部］
　データ記憶部３００は、記憶部３２を主として実現される。データ記憶部３００は、認証に必要なデータを記憶する。例えば、データ記憶部３００は、サーバ１０のＩＰアドレス等の情報を記憶する。また例えば、データ記憶部３００は、表示部３５に入力フォームＦ３５などを表示させるためのデータ（例えば、ＨＴＭＬデータや画像データ）を記憶する。

［受付部］
　受付部３０１は、制御部３１を主として実現される。受付部３０１は、入力操作を受け付ける。入力操作は、認証に必要な入力操作であればよく、本実施形態では、顔認証についてはユーザの入力操作は要しないので、受付部３０１は、パスコードの入力操作を受け付ける。例えば、受付部３０１は、入力フォームＦ３５に対するパスコードの入力を受け付ける。

　なお、受付部３０１は、認証システムＳで利用する認証の種類に応じた入力操作を受け付ければよく、例えば、指紋認証が利用される場合には、ユーザがカメラなどの上に指を置く入力操作を受ける。また例えば、筆跡認証が利用される場合には、ユーザがタッチパネルなどの上で文字を書く入力操作を受け付ける。また例えば、パスワード認証又は合言葉認証が利用される場合には、受付部３０１は、パスワード又は合言葉の入力操作を受け付ける。

［送信部］
　送信部３０２は、制御部３１を主として実現される。送信部３０２は、入力操作に基づいて、第１の認証と第２の認証との各々に必要な情報を送信する。送信部３０２は、認証情報そのものを送信してもよいし、認証情報を特定するための情報を送信してもよい。

　なお、本実施形態では、第１認証部１０１と第２認証部１０２がサーバ１０により実現される場合を説明するので、送信部２０２は、サーバ１０にデータを送信する場合を説明するが、他のコンピュータによって第１認証部１０１と第２認証部１０２が実現される場合には、当該他のコンピュータにデータを送信してもよい。例えば、第１認証部１０１と第２認証部１０２が別々のコンピュータで実現される場合には、送信部２０２は、これらのコンピュータに情報を送信すればよい。

　本実施形態では、第１の認証が顔認証であり、第２の認証がパスコード認証なので、送信部３０２は、撮影部３６により撮影された画像（顔写真）と、入力フォームＦ３５に入力されたパスコードと、を送信する。なお、認証装置３０側で顔の特徴量が計算されてもよく、この場合には、送信部３０２は、画像の代わりに、当該計算された顔の特徴量を送信する。

　なお、送信部３０２は、認証システムＳで利用する認証の種類に応じた情報を送信すればよく、例えば、指紋認証が利用される場合には、送信部３０２は、ユーザの指の画像を送信してもよいし、画像から計算された指の特徴量を送信してもよい。また例えば、筆跡認証が利用される場合には、送信部３０２は、ユーザがタッチパネルなどの上に書いた文字の画像を送信してもよいし、タッチ位置の変化を示す座標情報を送信してもよい。また例えば、パスワード認証又は合言葉認証が利用される場合には、送信部３０２は、ユーザが入力したパスワード又は合言葉を送信する。

［処理実行部］
　処理実行部３０３は、制御部３１を主として実現される。処理実行部３０３は、第１の認証と第２の認証とが成功した場合に、所定の処理を実行する。処理実行部３０３は、第１の認証と前記第２の認証とが成功した場合に、所定の処理を実行する。所定の処理の意味は、先述した通りであり、認証が成功した場合に実行が許可される処理である。

　本実施形態では、認証が成功した場合に、セキュリティゲートＳＧのロックが解除されるので、処理実行部３０３は、認証が成功したことを示す通知を受信した場合には、ロック機構のモータを回転等させることによってロックを解除し、認証が成功したことを示す通知を受信しなかった場合には、ロックを解除しない。なお、サーバ１０の処理実行部１０６は、第１の認証及び第２の認証が成功した場合に、認証が成功したことを示す通知ではなく、ロック機構を解除させるための信号を送信してもよく、この場合には、認証装置３０の処理実行部３０３は、当該信号に基づいてロックを解除すればよい。

［４．本実施形態において実行される処理］
　次に、認証システムＳにおいて実行される処理について説明する。ここでは、ユーザが顔写真やパスコードを登録するための登録処理と、ユーザがセキュリティゲートＳＧを通過するための認証処理と、について説明する。

［４－１．登録処理］
　図１０は、登録処理の一例を示すフロー図である。図１０に示す登録処理は、制御部１１，２１が、それぞれ記憶部１２，２２に記憶されたプログラムに従って動作することによって実行される。下記に説明する処理は、図６に示す機能ブロックにより実行される処理の一例である。なお、登録処理が実行されるにあたり、ユーザは、ユーザ登録を済ませており、自身のユーザＩＤ及びパスワードが発行済みであるものとする。

　図１０に示すように、まず、ユーザ端末２０がサーバ１０にアクセスすると、サーバ１０からユーザ端末２０に登録申請画面Ｇ１の表示データ（例えば、ＨＴＭＬデータ又は画像データ）が送信され、制御部２１は、登録申請画面Ｇ１を表示部２５に表示させる（Ｓ１）。登録申請画面Ｇ１は、ウェブブラウザ上で表示されてもよいし、ユーザ端末２０に記憶されたアプリケーション上で表示されてもよい。

　制御部２１は、操作部２４の検出信号に基づいて、ボタンＢ１４が選択された場合に、サーバ１０に対し、入力フォームＦ１０～Ｆ１３の各々に入力された情報を送信する（Ｓ２）。Ｓ２においては、制御部２１は、ユーザにより入力された、ユーザＩＤ、パスワード、顔写真の画像データ、及びパスコードの下４桁を送信する。

　サーバ１０においては、ユーザ端末２０からユーザＩＤなどを受信すると、制御部１１は、ユーザデータベースＤＢと、受信したユーザＩＤ及びパスワードと、に基づいて、パスワード認証をする（Ｓ３）。Ｓ３においては、制御部１１は、ユーザデータベースＤＢの中に、受信したユーザＩＤ及びパスワードの組み合わせが格納されたレコードが存在するか否かを判定する。レコードが存在する場合には認証成功となり、レコードが存在しない場合には認証失敗となる。

　パスワード認証が失敗した場合（Ｓ３；失敗）、制御部１１は、ユーザ端末２０に対し、所定のエラーメッセージを送信し（Ｓ４）、本処理は終了する。なお、ユーザ端末２０においては、エラーメッセージを受信すると、当該エラーメッセージが表示される。この場合、ユーザの登録申請が受け付けられないことになる。

　一方、パスワード認証が成功した場合（Ｓ３；成功）、制御部１１は、Ｓ３で受信した顔写真に基づいて、登録申請をしたユーザの顔の特徴量を計算する（Ｓ５）。Ｓ５においては、制御部１１は、顔のパーツの相対位置などを検出し、顔の特徴量を計算する。

　制御部１１は、ユーザデータベースＤＢに基づいて、登録申請をしたユーザとパスコードの下４桁が一致する他のユーザを特定する（Ｓ６）。Ｓ６においては、制御部１１は、ユーザが指定したパスコードの下４桁をクエリとし、ユーザデータベースＤＢに格納されたパスコードの下４桁をインデックスとした検索を実行する。

　制御部１１は、Ｓ６で特定した他のユーザの上１桁のパスコードごとに、登録申請をしたユーザの顔の特徴量との距離が最も近い他のユーザを特定する（Ｓ７）。Ｓ７においては、制御部１１は、Ｓ６で特定した他のユーザを、上１桁のパスコードでグルーピングし、グループごとに、登録申請をしたユーザと最も距離が近い他のユーザを特定する。

　制御部１１は、Ｓ７で特定した他のユーザのうち、登録申請をしたユーザの顔の特徴量から最も離れた他のユーザを特定する（Ｓ８）。Ｓ８においては、制御部１１は、Ｓ７でグルーピングした複数のグループの中から、登録申請をしたユーザとの距離が最も近いグループを特定する。

　制御部１１は、登録申請をしたユーザの顔の特徴量と、Ｓ８で特定した他のユーザの顔の特徴量と、の距離が閾値以上であるか否かを判定する（Ｓ９）。この閾値は、認証処理で利用される閾値と同じであってもよいし、認証処理で利用される閾値よりも高い閾値を利用して、より厳格な判定をしてもよい。

　距離が閾値以上であると判定された場合（Ｓ９；Ｙ）、制御部１１は、Ｓ８で特定した他のユーザの上１桁を、登録申請をしたユーザの上１桁として決定する（Ｓ１０）。この場合、登録申請をしたユーザは、Ｓ８で特定された他のユーザと顔が似ていないので、同じパスコートとなっても問題はない。

　一方、距離が閾値未満であると判定された場合（Ｓ９；Ｎ）、制御部１１は、登録申請をしたユーザと下４桁のパスコードが一致する他のユーザが誰も使用していない上１桁を、登録申請をしたユーザの上１桁として決定する（Ｓ１１）。この場合、登録申請をしたユーザは、Ｓ８で特定された他のユーザと顔が似ているので、誰も使用していない上１桁が付与される。

　制御部１１は、ユーザデータベースＤＢに、ユーザの顔写真、顔の特徴量、及びパスコードを登録する（Ｓ１２）。Ｓ１２においては、制御部１１は、ユーザデータベースＤＢのうち、登録申請をしたユーザのユーザＩＤが格納されたレコードに、Ｓ３で受信した顔写真、Ｓ５で計算した顔の特徴量、及びＳ１０又はＳ１１で決定したパスコードを格納する。

　制御部１１は、ユーザ端末２０に対し、登録が完了したことを示す完了通知を送信する（Ｓ１３）。完了通知は、所定形式のデータが送信されることによって行われ、例えば、登録された顔写真とパスコードが含まれる。

　ユーザ端末２０においては、完了通知を受信すると、制御部２１は、登録完了画面Ｇ２を表示部２５に表示させ（Ｓ１４）、本処理は終了する。Ｓ１４においては、制御部２１は、完了通知に含まれる顔写真とパスコードを登録完了画面Ｇ２に表示させる。以降、ユーザは、パスコードを忘れないように記憶し、セキュリティゲートＳＧを通過するときに入力する。

［４－２．認証処理］
　図１１は、認証処理の一例を示すフロー図である。図１１に示す認証処理は、制御部１１，３１が、それぞれ記憶部１２，３２に記憶されたプログラムに従って動作することによって実行される。下記に説明する処理は、図６に示す機能ブロックにより実行される処理の一例である。なお、認証処理が実行されるにあたり、登録処理が完了しているものとする。

　図１１に示すように、まず、認証装置３０において、制御部３１は、撮影部３６の検出信号に基づいて、撮影画像を取得する（Ｓ２１）。Ｓ２１に置いては、制御部３１は、撮影部３６が生成した撮影画像を取得し、表示部３５の表示領域Ａ３５に表示させる。なお、表示部３５には、入力フォームＦ３５とボタンＢ３５も表示されており、ユーザによるパスコードの入力を受付可能な状態となっている。

　制御部３１は、操作部３４の検出信号に基づいて、ユーザによるパスコードの入力を受け付ける（Ｓ２２）。Ｓ２２においては、制御部３１は、入力フォームＦ３５に対する５桁のパスコードの入力を受け付ける。

　制御部３１は、ユーザがボタンＢ１４を選択したことに応じて、サーバ１０に対し、Ｓ２１で取得した撮影画像と、Ｓ２２で入力されたパスコードと、を送信する（Ｓ２３）。

　サーバ１０においては、撮影画像とパスコードを受信すると、制御部１１は、ユーザデータベースＤＢに基づいて、パスコード認証をする（Ｓ２４）。Ｓ２４においては、制御部１１は、パスコードが一致するユーザがいるか否かを判定し、パスコードが一致するユーザがいる場合は認証成功となり、パスコードが一致するユーザがいない場合には認証失敗となる。

　本実施形態では、パスコードが一致するユーザ全てが特定されるので、Ｓ２４においては、制御部１１は、ユーザが入力した５桁のパスコードをクエリとし、ユーザデータベースＤＢに格納された５桁のパスコードをインデックスとした検索を実行することになる。この検索は、パスコードの完全一致が判定される。検索で誰かヒットすれば認証成功となり、検索で誰もヒットしなければ認証失敗となる。

　パスコード認証が失敗した場合（Ｓ２４；失敗）、制御部１１は、認証装置３０に対し、所定のエラーメッセージを送信し（Ｓ２５）、本処理は終了する。この場合、認証装置３０の表示部３５に、エラーメッセージが表示され、パスコードが違うことがユーザに通知される。

　一方、パスコード認証が成功した場合（Ｓ２４；成功）、制御部１１は、Ｓ２４で受信した撮影画像の顔の特徴量と、パスコードが一致するユーザの顔の特徴量と、に基づいて、顔認証をする（Ｓ２６）。Ｓ２６においては、制御部１１は、これらの特徴量の差に基づいて類似度を計算し、類似度が閾値以上であるユーザが存在するか否かを判定する。類似度が閾値以上であるユーザが存在する場合は認証成功となり、類似度が閾値以上であるユーザが存在しない場合は認証失敗となる。

　顔認証が失敗した場合（Ｓ２６；失敗）、Ｓ２５の処理に移行し、エラーメッセージが送信され、本処理は終了する。この場合、認証装置３０の表示部３５に、エラーメッセージが表示され、顔認証が成功しなかったことがユーザに通知される。

　一方、顔認証が成功した場合（Ｓ２６；成功）、制御部１１は、認証装置３０に対し、パスコード認証と顔認証の両方が成功したことを示す認証成功通知を送信する（Ｓ２７）。認証成功通知は、所定形式のデータが送信されることにより行われ、認証が成功したユーザの名前が含まれるものとする。

　認証装置３０においては、通知を受信すると、制御部３１は、セキュリティゲートＳＧのロックを解除し（Ｓ２８）、認証が成功したユーザの名前を表示部３５に表示させ（Ｓ２９）、本処理は終了する。ユーザは、自身の名前が表示部３５に表示されたことを確認し、セキュリティゲートのドアを押して通過する。なお、この場合には、サーバ１０にユーザの氏名や現在日時などの情報が通行記録として残ってもよい。

　認証システムＳによれば、顔認証とパスコード認証の二段階の認証が実行される場合に、顔の特徴量が互いに類似する複数のユーザに対し、互いに同じパスコードが登録されることを制限するので、顔が類似する他のユーザによる成りすましを防止し、セキュリティを十分に高めることができる。

　また、登録申請をしたユーザと顔の特徴量が類似する他のユーザのパスコードと同じにならないように、登録申請をしたユーザのパスコードが認証システムＳ側で設定することで、セキュリティを高めつつ、顔が類似する他のユーザとは異なるパスコードになるまで、ユーザが何度もパスコードを指定しなおすといった手間を省くことができる。

　また、登録申請をするユーザにパスコードの一部分を指定させ、顔が類似する他のユーザと同じにならないように、パスコードの残り部分を設定することで、ユーザが記憶しやすい部分を含むパスコードを設定することができ、ユーザがパスコードを忘れてしまうことを防止することができる。例えば、５桁のパスコードの全てを認証システムＳ側で生成すると、ユーザがパスコードを忘れてしまう可能性があるが、その中の４桁をユーザが指定することで、５桁中の４桁については、ユーザが確実に覚えている情報とすることができるので、ユーザがパスコードを忘れてしまうことを防止することができる。この場合も、顔が類似する他のユーザとは異なるパスコードとなるように、残りの１桁の数値が決定され、当該数値は当該他のユーザは知ることができないので、セキュリティ性を担保することができる。

　また、登録申請をしたユーザとパスコードの一部分が同じ他のユーザの中から、顔が類似しない他のユーザが特定され、当該特定された他のユーザのパスコードの残り部分を、登録申請をしたユーザのパスコードの残り部分として設定することで、パスコードの残り部分が枯渇することを防止することができる。また、顔が類似しないユーザ同士であれば、パスコードが同じであっても認証が成功しないので、セキュリティ性を担保することができる。

　また、登録申請をしたユーザとパスコードの一部分が同じ他のユーザの残り部分ごとに、登録申請をしたユーザと顔が最も類似する他のユーザを特定し、当該特定された他のユーザのうち、登録申請をしたユーザと顔が最も類似しない他のユーザのパスコードの残り部分を、登録申請をしたユーザのパスコードの残り部分として設定することで、比較対象とする他のユーザの数を減らすことができ、パスコードを設定する処理を高速化することができる。更に、余計な比較をしないことで、サーバ１０の処理負荷を軽減することもできる。

　また、登録申請をしたユーザとパスコードの一部分が同じ他のユーザの中に、顔の特徴量が類似しない他のユーザが存在しない場合に、当該他のユーザが誰も使用していないパスコードの残り部分を、登録申請をしたユーザのパスコードの残り部分として設定することで、顔が類似する他のユーザと同じパスコードになってしまうことを確実に防止し、セキュリティを向上させることができる。

　また、登録申請をしたユーザと顔の特徴量が類似する他のユーザのパスコードと同じにならないように、登録申請をしたユーザのパスコードをランダムに設定することで、比較的簡易な処理によって、顔が類似する他のユーザと同じパスコードになってしまうことを確実に防止し、セキュリティを向上させつつ、パスコードを設定する処理を高速化することができる。パスコードを設定する処理を簡易化することで、サーバ１０の処理負荷を軽減することもできる。

　また、ユーザデータベースＤＢの全てのレコードが顔認証の対象となるのではなく、パスコードが一致するレコードだけが顔認証の対象となるので、顔認証の処理を高速化することができる。更に、顔認証の際に余計な比較をしないことで、サーバ１０の処理負荷を軽減することもできる。

　また、第１の認証として生体認証を利用し、第２の認証としてパスコード認証を利用することで、ユーザがカードキーなどを持たず手ぶらであったとしても、セキュリティを担保した認証をすることができる。更に、ユーザが認証情報を覚える必要のない生体認証と、認証情報を忘れにくいパスコード認証と、の二段階の認証とすることで、セキュリティを向上しつつ、ユーザの利便性を向上させるもできる。また例えば、生体認証として、指紋認証やＤＮＡ認証などに比べて抵抗が少ない顔認証を利用することで、ユーザの利便性をより向上させることができる。

［５．変形例］
　なお、本発明は、以上に説明した実施の形態に限定されるものではない。本発明の趣旨を逸脱しない範囲で、適宜変更可能である。

　（１）例えば、実施形態では、ユーザがセキュリティゲートＳＧを通過する場面を例に挙げたが、認証システムＳは、ユーザが商品を購入したりサービスを利用したりする場面にも適用可能である。この場合、例えば、認証装置３０は、自動販売機、券売機、ＰＯＳ端末、又は店舗における支払端末である。ユーザは、認証装置３０の撮影部３６に顔を向けて操作部３４からパスコードを入力し、顔認証とパスコード認証が成功すると、決済処理が実行され、商品を購入したり、サービスを利用したりすることができる。

　本変形例の登録部１０５は、顔の特徴量とパスコードに関連付けて、決済情報を登録しておき、処理実行部１０６は、顔認証とパスコード認証とが成功した場合に、顔認証とパスコード認証とが成功したユーザの決済情報に基づいて決済処理を実行してもよい。決済処理の際に参照される決済情報は、顔認証とパスコード認証とが成功したユーザに関連付けられた決済情報である。

　決済情報は、決済をするために必要な情報であり、例えば、クレジットカード情報、電子バリュー（例えば、電子マネー又はポイント）のアカウント情報、仮想通貨のアカウント情報、銀行口座情報、又はデビットカード情報などである。決済情報は、ユーザ登録時などに登録され、例えば、ユーザデータベースＤＢに、ユーザＩＤに関連付けて決済情報が格納されているものとする。なお、決済情報は、ユーザデータベースＤＢとは異なるデータベースに格納されていてもよい。

　処理実行部１０６は、決済情報に応じた決済処理を実行すればよく、例えば、クレジットカード情報に基づく与信処理、電子バリューの残高を減少させる処理、仮想通貨の残高を減少させる処理、銀行口座から引き落としや振り込みをする処理、又はデビットカード情報が示す口座の残高を減少させる処理などを実行する。処理実行部１０６は、顔認証又はパスコード認証の何れか一方が失敗した場合には決済処理を実行せず、顔認証とパスコード認証とが成功した場合に決済処理を実行する。

　決済処理が実行された場合、認証装置３０の表示部３５又は店舗の端末などに、その旨が表示され、ユーザは商品を受け取ったり、サービスを利用したりする。例えば、認証装置３０が店舗などに設置されたデジタルサイネージ装置である場合、サーバ１０から認証成功通知を受信すると、認証が成功したことを示すメッセージが表示部３５に表示される。店舗のスタッフは、当該メッセージを確認すると、ユーザに商品を渡したりサービスを提供したりする。なお、メッセージは、認証装置３０ではなく、店舗のスタッフが操作する端末などの他のコンピュータに転送されて表示されてもよい。また例えば、認証装置３０が自動販売機であれば、サーバ１０から認証成功通知を受信すると、認証装置３０は、ユーザが指定した商品を排出したり、コーヒーやインスタント食品などの商品を調理したりする。

　以上説明した変形例によれば、顔が類似する他のユーザが成りすまして決済し、不正に商品を購入したりサービスを利用したりすることを防止し、商品の購入時やサービスの利用時におけるセキュリティを十分に高めることができる。また、ユーザからしてみれば手ぶらで店舗に行ったとしても、セキュリティを担保した決済が可能になるので、ユーザの利便性を向上させることができる。店舗からしてみても、クレジットカードの読取装置などの専用の装置を用意しなくても決済が可能となるので、店舗の利便性を向上させることもできる。

　（２）また例えば、顔の特徴量が互いに類似する複数のユーザに対し、互いに同じパスコードが登録されることを制限する方法は、実施形態で説明した例に限られない。本変形例では、制限部１０４による制限方法の他の例について説明する。

　（２－１）例えば、登録申請画面Ｇ１において、ユーザにパスワードの下４桁を入力させずに、制限部１０４は、アップロードされた顔写真が示す顔の特徴量と類似する他のユーザを検索し、当該検索された他のユーザが使用するパスコードとは異なるバスコードを生成し、登録申請をしたユーザのパスコードとして登録してもよい。この場合、５桁のパスコードの全部がサーバ１０側で生成されることになる。即ち、制限部１０４は、実施形態で説明したように、パスコードの一部だけでなく、全部を決定してもよい。

　制限部１０４により生成された５桁のパスコードは、特にユーザの承認を得ることなく、ユーザデータベースＤＢに登録されてもよいし、当該パスコードがユーザに通知され、ユーザの承認を得たうえでユーザデータベースＤＢに登録されてもよい。ユーザが承認しなかった場合には、制限部１０４は、別のパスコードを生成し、ユーザが承認するまで、パスコードの生成を繰り返してもよい。

　（２－２）また例えば、制限部１０４は、顔の特徴量が類似する他のユーザが使用していないパスコードを複数生成し、これら複数のパスコードの中から、登録申請をしたユーザに、使用するパスコードを選択させてもよい。この場合、制限部１０４が生成した複数のパスコードが、登録申請をしたユーザに通知され、ユーザは、何れか１つを選択する。登録部１０５は、制限部１０４が生成した複数のパスコードのうち、ユーザが選択したパスコードを登録する。

　（２－３）また例えば、制限部１０４は、登録申請をしたユーザが指定した下４桁のパスコードを、顔の特徴量が類似する他のユーザが使用していた場合に、別の下４桁を使用する旨を提案してもよい。この場合、変形例（２－１）又は（２－２）のように、制限部１０４は、顔の特徴量が類似する他のユーザが使用していないパスコードを提案してもよい。また例えば、登録申請をしたユーザにパスコードの全桁を指定させてもよく、制限部１０４は、顔が似ている他のユーザが使用していないパスコードを指定するまで、ユーザに繰り返しパスコードの指定を促してもよい。

　（３）また例えば、上記変形例を組み合わせてもよい。

　また例えば、認証装置３０の撮影部３６で撮影された画像に基づいて、生体認証が実行される場合を説明したが、赤外線センサ又は超音波センサなどといった他のセンサを利用して生体認証が実行されてもよい。認証システムＳは、第１の認証として利用する生体認証に応じたセンサを含めばよい。

　また例えば、認証装置３０に対して認証情報が入力される場合を説明したが、ユーザ端末２０又は他のコンピュータに対して認証情報が入力されてもよい。ユーザ端末２０に対して認証情報が入力される場合には、サーバ１０側で決定したパスコードの上１桁をユーザ端末２０の記憶部２２に記憶させておき、認証時には、パスコードの下４桁だけをユーザに入力させてもよい。この場合、ユーザ端末２０の記憶部２２に記憶された上１桁と、ユーザが操作部２４から入力した下４桁と、を含むパスコードがサーバ１０に送信され、パスコード認証が実行されてもよい。このようにすれば、ユーザは、自分が指定した４桁だけを覚えておけばよいので、ユーザの利便性を向上させることができる。また例えば、ユーザがユーザ端末２０で決済をするときには、上記のように４桁だけを入力させ、ユーザが認証装置３０で手ぶらで決済をするときには、５桁の全てを入力させるといったように、状況に応じて入力させる内容を異ならせてもよい。

　また例えば、第１の認証として生体認証を説明したが、第１の認証は、類似性に基づく認証であればよく、生体認証に限られない。例えば、タッチパネル上で所定の軌跡を描くパターン認証が第１の認証として用いられてもよい。また例えば、第１の認証は、合言葉の類似性に基づく認証であってもよい。この場合、ユーザが入力した合言葉と、ユーザデータベースＤＢに登録された合言葉と、が類似する（一致する部分の割合が閾値以上）であれば認証成功となり、類似しなければ認証失敗となる。また例えば、第１の認証は、複数の生体認証が複合的に利用されてもよいし、パターン認証と合言葉認証が複合的に利用されてもよい。

　また例えば、第２の認証としてパスコード認証を説明したが、第２の認証は、複数の認証が組み合わされていてもよい。例えば、第２の認証は、合言葉認証と、パスコード認証と、を組み合わせてもよい。この場合、第２の認証情報は、合言葉とパスコードの組み合わせである。例えば、ユーザが指定したパスコードがそのままパスコード認証で利用され、制限部１０４は、顔が類似し、かつ、同じパスコードを使用する他のユーザと同じにならないような合言葉を、登録申請したユーザの合言葉として設定してもよい。他にも例えば、合言葉に代えて、複数の画像の中から正解の画像を選択させる画像選択認証を第２の認証の一部として利用する場合には、制限部１０４は、顔が類似し、かつ、同じパスコードを使用する他のユーザと同じにならないような画像を、登録申請したユーザの正解の画像として設定してもよい。また例えば、第２の認証は、パスワード認証、秘密鍵認証、又は電子証明書認証といった他の認証が用いられてもよい。

　また例えば、主な機能がサーバ１０で実現される場合を説明したが、各機能は、複数のコンピュータで分担されてもよい。例えば、サーバ１０、ユーザ端末２０、及び認証装置３０の各々で機能が分担されてもよい。例えば、認証処理がサーバ１０で実行されるのではなく、ユーザ端末２０又は認証装置３０で実行されてもよい。また例えば、認証システムＳが複数のサーバコンピュータを含む場合には、これら複数のサーバコンピュータで機能が分担されてもよい。また例えば、データ記憶部１００で記憶されるものとして説明したデータは、サーバ１０以外のコンピュータによって記憶されてもよい。

Claims

　ユーザごとに、第１の認証情報と第２の認証情報を記憶手段に登録する登録手段と、
　入力された前記第１の認証情報と、登録された前記第１の認証情報と、の類似性に基づいて、第１の認証をする第１認証手段と、
　入力された前記第２の認証情報と、登録された前記第２の認証情報と、の一致に基づいて、第２の認証をする第２認証手段と、
　前記第１の認証情報が互いに類似する複数のユーザに対し、互いに同じ前記第２の認証情報が登録されることを制限する制限手段と、
　を含むことを特徴とする認証システム。
　前記認証システムは、所定の登録申請をしたユーザの前記第１の認証情報を取得する取得手段を更に含み、
　前記制限手段は、前記登録申請をしたユーザと前記第１の認証情報が類似する他のユーザの前記第２の認証情報と同じにならないように、前記登録申請をしたユーザの前記第２の認証情報を設定し、
　前記登録手段は、前記制限手段により設定された前記第２の認証情報を、前記登録申請をしたユーザの前記第２の認証情報として登録する、
　ことを特徴とする請求項１に記載の認証システム。
　前記取得手段は、前記登録申請をしたユーザにより指定された、前記第２の認証情報の一部分を更に取得し、
　前記制限手段は、前記他のユーザの前記第２の認証情報と同じにならないように、前記登録申請をしたユーザの前記第２の認証情報の残り部分を設定する、
　ことを特徴とする請求項２に記載の認証システム。
　前記制限手段は、
　前記登録申請をしたユーザと前記一部分が同じ他のユーザの中から、前記第１の認証情報が類似しない他のユーザを特定し、
　当該特定された他のユーザの前記残り部分を、前記登録申請をしたユーザの前記残り部分として設定する、
　ことを特徴とする請求項３に記載の認証システム。
　前記制限手段は、
　前記登録申請をしたユーザと前記一部分が同じ他のユーザの前記残り部分ごとに、前記登録申請をしたユーザと前記第１の認証情報が最も類似する他のユーザを特定し、
　当該特定された他のユーザのうち、前記登録申請をしたユーザと前記第１の認証情報が最も類似しない他のユーザの前記残り部分を、前記登録申請をしたユーザの前記残り部分として設定する、
　ことを特徴とする請求項４に記載の認証システム。
　前記制限手段は、前記登録申請をしたユーザと前記一部分が同じ他のユーザの中に、前記第１の認証情報が類似しない他のユーザが存在しない場合に、使用されていない前記残り部分を、前記登録申請をしたユーザの前記残り部分として設定する、
　ことを特徴とする請求項４又は５に記載の認証システム。
　前記制限手段は、前記登録申請をしたユーザと前記第１の認証情報が類似する他のユーザの前記第２の認証情報と同じにならないように、前記登録申請をしたユーザの前記第２の認証情報をランダムに設定する、
　ことを特徴とする請求項２～６の何れかに記載の認証システム。
　前記第１認証手段は、
　前記記憶手段に登録された前記第１の認証情報の中から、入力された前記第２の認証情報と一致するユーザの前記第１の認証情報を抽出し、
　入力された前記第１の認証情報と、抽出された前記第１の認証情報と、に基づいて、前記第１の認証をする、
　ことを特徴とする請求項１～７の何れかに記載の認証システム。
　前記第１の認証情報は、生体認証情報であり、
　前記第１の認証は、生体認証であり、
　前記第２の認証情報は、所定桁数のパスコードであり、
　前記第２の認証は、パスコード認証であり、
　前記制限手段は、前記生体認証情報が互いに類似する複数のユーザに対し、互いに同じ前記パスコードが登録されることを制限する、
　ことを特徴とする請求項１～８の何れかに記載の認証システム。
　前記登録手段は、前記第１の認証情報と前記第２の認証情報に関連付けて、決済情報を更に登録し、
　前記認証システムは、前記第１の認証と前記第２の認証とが成功した場合に、前記第１の認証と前記第２の認証とが成功したユーザの前記決済情報に基づいて決済処理を実行する処理実行手段、
　を更に含むことを特徴とする請求項１～９の何れかに記載の認証システム。
　請求項１～１０の何れかに記載の認証システムに含まれる認証装置又は当該認証システムと通信可能な認証装置であって、
　入力操作を受け付ける受付手段と、
　前記入力操作に基づいて、前記第１の認証と前記第２の認証との各々に必要な情報を送信する送信手段と、
　前記第１の認証と前記第２の認証とが成功した場合に、所定の処理を実行する処理実行手段と、
　を含むことを特徴とする認証装置。
　ユーザごとに、第１の認証情報と第２の認証情報を記憶手段に登録する登録ステップと、
　入力された前記第１の認証情報と、登録された前記第１の認証情報と、の類似性に基づいて、第１の認証をする第１認証ステップと、
　入力された前記第２の認証情報と、登録された前記第２の認証情報と、の一致に基づいて、第２の認証をする第２認証ステップと、
　前記第１の認証情報が互いに類似する複数のユーザに対し、互いに同じ前記第２の認証情報が登録されることを制限する制限ステップと、
　を含むことを特徴とする認証方法。
　ユーザごとに、第１の認証情報と第２の認証情報を記憶手段に登録する登録手段、
　入力された前記第１の認証情報と、登録された前記第１の認証情報と、の類似性に基づいて、第１の認証をする第１認証手段、
　入力された前記第２の認証情報と、登録された前記第２の認証情報と、の一致に基づいて、第２の認証をする第２認証手段、
　前記第１の認証情報が互いに類似する複数のユーザに対し、互いに同じ前記第２の認証情報が登録されることを制限する制限手段、
　としてコンピュータを機能させるためのプログラム。