WO2020158540A1

WO2020158540A1 - センサ装置、暗号化方法

Info

Publication number: WO2020158540A1
Application number: PCT/JP2020/002121
Authority: WO
Inventors: 高塚　進; 河本　献太; 鉄川　弘樹
Original assignee: ソニー株式会社
Priority date: 2019-01-30
Filing date: 2020-01-22
Publication date: 2020-08-06
Also published as: CN113330499B; EP3920165A4; CN113330499A; US11955032B2; US20220028302A1; US20240119867A1; KR20210121025A; TW202040989A; EP3920165A1

Abstract

アレイセンサでの撮像により得られる画像信号の暗号化について、セキュリティの向上を図る。　センサ装置は、可視光又は非可視光の受光素子を有する画素が一次元又は二次元に複数配列されたアレイセンサと、アレイセンサの画素からの読み出し信号に対して暗号化を行う暗号化部とを備える。読み出し信号に対して暗号化を行うことで、メモリに平文による画像信号が保存されないようにすることが可能とされ、セキュリティの向上を図ることができる。

Description

センサ装置、暗号化方法

　本技術はセンサ装置及び暗号化方法に関し、特にアレイセンサで得られた画像信号を対象とした暗号化についての技術分野に関する。

　受光素子が複数配列されたアレイセンサ（イメージセンサ）での撮像により得られた画像信号について、暗号化を行う場合がある。例えば、監視カメラでの撮像により得られた画像信号について、被写体としての人物個人が特定されないように画像信号に対する暗号化を行うこと等が考えられる。

　なお、関連する従来技術として、下記特許文献１には、撮像画像を暗号化することが開示されている。

特開２００９－０２７３３３号公報

　従来、この種の暗号化は、アレイセンサから読み出され一旦外部メモリに平文により保存された画像信号を対象に行われている。その為、マルウェアなどを使って、暗号化のタイミングで意図的にエラーを起こし、メモリ内容をダンプファイルで出力させてメモリに置かれた平文をコピーするハッキングのリスクがあった。

　本技術は上記事情に鑑み為されたものであり、アレイセンサでの撮像により得られる画像信号の暗号化について、セキュリティの向上を図ることを目的とする。

　本技術に係るセンサ装置は、可視光又は非可視光の受光素子を有する画素が一次元又は二次元に複数配列されたアレイセンサと、前記アレイセンサの前記画素からの読み出し信号に対して暗号化を行う暗号化部と、を備えるものである。

　このように読み出し信号に対して暗号化を行うことで、メモリに平文による画像信号が保存されないようにすることが可能とされる。

　上記した本技術に係るセンサ装置においては、前記暗号化部は、アナログ信号による前記読み出し信号の振幅制御を行う第一振幅制御部を有し、前記第一振幅制御部において暗号鍵に応じた振幅制御を実行することで、前記読み出し信号の暗号化を行うことが考えられる。

　アナログ信号による読み出し信号をセンサ装置外部から取得することは非常に困難である。

　上記した本技術にセンサ装置においては、前記暗号化部は、Ａ／Ｄ変換器によりデジタル信号に変換された前記読み出し信号の振幅制御を行う第二振幅制御部を有し、前記第二振幅制御部において暗号鍵に応じた振幅制御を実行することで、前記読み出し信号の暗号化を行うことが考えられる。

　これにより、暗号化はデジタル信号に対する振幅制御として行われ、アナログ信号に対する振幅制御を行う場合よりも暗号化処理の正確性向上が図られる。

　上記した本技術に係るセンサ装置においては、前記アレイセンサと前記暗号化部とが１パッケージ内に構成されたものとすることが考えられる。

　これにより、ハードウェア面での耐タンパー化を図ることが可能とされる。

　上記した本技術にセンサ装置においては、前記暗号化部は、前記アレイセンサによる光電変換に基づき得られる乱数である光電乱数に基づき暗号鍵を生成し、生成した前記暗号鍵に基づいて前記読み出し信号に対する暗号化を行うことが考えられる。

　これにより、疑似乱数を用いる場合よりも暗号鍵の解読が困難な暗号化を実現することが可能とされる。

　上記した本技術に係るセンサ装置においては、前記暗号化部は、暗号化の対象とする前記読み出し信号のフレーム期間とは異なるフレーム期間に得られた前記光電乱数に基づき前記暗号鍵を生成することが考えられる。

　これにより、暗号化画像から暗号鍵が推定されることの困難性が高められる。

　上記した本技術にセンサ装置においては、前記暗号化部は、センサ装置外部からの不正アクセスが検知されたことに応じて前記光電乱数を再取得することが考えられる。

　これにより、外部からの不正アクセスが検知された以降は、再取得した光電乱数に基づく暗号化を行うことが可能とされる。

　上記した本技術に係るセンサ装置においては、前記暗号化部は、前記光電乱数を再取得したことに応じて、過去に生成した前記暗号鍵をメモリ上から消去することが考えられる。

　これにより、過去に暗号化に用いた光電乱数の流出防止を図ることが可能とされる。

　上記した本技術にセンサ装置においては、前記暗号化部は、前記暗号鍵の生成に応じて、前記光電乱数の元となった画像信号をメモリ上から消去することが考えられる。

　これにより、光電乱数の元となった画像が流出して光電乱数が推定されてしまうことの防止を図ることが可能とされる。

　本技術に係る暗号化方法は、可視光又は非可視光の受光素子を有する画素が一次元又は二次元に複数配列されたアレイセンサの前記画素からの読み出し信号に対して暗号化を行う暗号化方法である。

　このような暗号化方法によっても、上記した本技術に係るセンサ装置と同様の作用が得られる。

本技術に係る実施形態としてのセンサ装置のブロック図である。光電乱数に基づき暗号化フィルタ(暗号鍵）を生成する手法の例を示した図である。実施形態における振幅制御回路による読み出し信号の暗号化のイメージを示した図である。デジタル信号による読み出し信号に対して暗号化を施す場合のセンサ装置の構成例を示した図である。実施形態としてのセンサ装置の構造例を示した図である。実施形態としてのセンサ装置の構造の別例を示した図である。実施形態としてのセンサ装置の構造のさらに別例を示した図である。第一実施形態としての暗号化を実現するために実行すべき処理の手順を示したフローチャートである。第一実施形態における分析結果データの出力についての説明図である。画像の受け手側に復号化のための鍵をセキュアに受け渡すための手法の例を説明するための図である。ターゲットのクラスが人物である場合における段階的な暗号化のイメージを示した図である。ターゲットのクラスが車両である場合における段階的な暗号化のイメージを示した図である。段階的な暗号化の具体的手法の例を説明するための図である。秘匿レベルの変化例についての説明図である。第二実施形態としての暗号化の具体的な手法の例を説明するための図である。第二実施形態におけるＲＯＩの変形例について説明するための図である。第二実施形態におけるシードフレームの撮像から暗号鍵の元となる乱数の保存までに対応した処理を示しフローチャートである。第二実施形態において生成した暗号鍵に基づき対象画像を暗号化するための処理を示したフローチャートである。第二実施形態における分析結果データの出力についての説明図である。カラーユニット単位で乱数値を割り当てた暗号鍵の生成例についての説明図である。

　以下、実施の形態を次の順序で説明する。
＜１．第一実施形態＞
［1-1．センサ装置の構成］
［1-2．暗号化に用いる乱数について］
［1-3．処理対象とする信号について］
［1-4．耐タンパー化について］
［1-5．処理手順］
［1-6．分析情報の出力例］
［1-7．鍵の受け渡しについて］
＜２．第二実施形態＞
［2-1．第二実施形態の暗号化手法］
［2-2．処理手順］
［2-3．分析情報の出力例］
＜３．変形例＞
＜４．実施形態のまとめ＞
＜５．本技術＞

　なお以下で説明する実施形態としては、受光素子アレイを有し、検出信号として画像信号を出力するイメージセンサとしてのセンサ装置１を例に挙げる。特に実施形態のセンサ装置１は、画像解析による物体検出機能を備えるものとし、インテリジェントアレイセンサと呼ぶことのできる装置である。

＜１．第一実施形態＞
［1-1．センサ装置の構成］

　センサ装置１の構成例を図１に示す。なお図１にはセンサ装置１とデータ通信を行う外部装置として外部プロセッサ１１、外部センサ１２も示している。外部プロセッサ１１はセンサ装置１と通信接続される汎用プロセッサが想定される。

　センサ装置１は、ハードウェアとしては、イメージセンサデバイス、ＤＲＡＭ（Dynamic Random Access Memory）等のメモリデバイス、ＡＩ（artificial intelligence）機能プロセッサとしての構成部位を有している。そして、これら三つが３レイヤー積層構造とされたり、１レイヤーでいわゆる平置き構成とされたり、或いは２レイヤー（例えばメモリデバイスとＡＩ機能プロセッサが同一レイヤー）積層構造とされたりするなどして一体型のデバイスとされている。

　図１のようにセンサ装置１は、アレイセンサ２、振幅制御回路１０、ＡＤＣ（Analog to Digital Converter）／ピクセルセレクタ３、バッファ４、ロジック部５、メモリ６、インターフェース部７、演算部８を有する。

　アレイセンサ２は、検出素子が可視光又は非可視光の受光素子とされ、受光素子を有する画素が１次元又は２次元に複数配列されて構成されている。例えば、行方向及び列方向の２次元に多数の画素が配列され、各画素の受光素子における光電変換により二次元画像信号を出力する構成とされる。
　なお、以下の説明では、アレイセンサ２はイメージセンサとして二次元の画像信号を出力するものとするが、センサ装置１内のアレイセンサ２としては、音波検出素子を配列したセンサアレイモジュールや、触覚情報検出素子を配列したセンサアレイモジュールなどとして構成されることもある。

　振幅制御回路１０は、アレイセンサ２によって光電変換された電気信号（アナログ信号）の振幅制御を行う。本例では、振幅制御回路１０は、演算部８からの指示に基づき増幅率を変更可能に構成されているが、この点については後に改めて説明する。

　ＡＤＣ／ピクセルセレクタ３には、アレイセンサ２によって光電変換された電気信号が振幅制御回路１０を介して入力される。ＡＤＣ／ピクセルセレクタ３は、入力したアナログ信号としての電気信号をデジタルデータ化し、デジタルデータとしての画像信号を出力する。
　また、ＡＤＣ／ピクセルセレクタ３は、アレイセンサ２の画素（撮像素子）に対するピクセル選択の機能を持つ。これにより、アレイセンサ２における選択した画素のみについて、光電変換信号を取得してデジタルデータ化して出力することが可能とされている。つまりＡＤＣ／ピクセルセレクタ３は、通常は１フレームの画像を構成する有効な画素の全てについて光電変換信号のデジタルデータ化出力を行うが、選択した画素のみについての光電変換信号のデジタルデータ化出力を行うことも可能とされている。

　ＡＤＣ／ピクセルセレクタ３によって、フレーム単位で画像信号が取得されるが、この各フレームの画像信号はバッファ４に一時記憶され、適切なタイミングで読み出されてロジック部５の処理に供される。

　ロジック部５では、入力される各フレーム画像信号に対して各種必要な信号処理（画像処理）を行う。
　例えばロジック部５では、色補正、ガンマ補正、色階調処理、ゲイン処理、輪郭強調処理等の処理により画質調整を行うことが想定される。またロジック部５ではデータ圧縮処理、解像度変換、フレームレート変換など、データサイズを変更する処理を行うことも想定される。
　これらロジック部５で行われる各処理については、それぞれの処理に用いるパラメータが設定される。例えば色や輝度の補正係数、ゲイン値、圧縮率、フレームレートなどの設定値がある。ロジック部５では、それぞれの処理について設定されたパラメータを用いて必要な処理を行う。本実施形態では、これらのパラメータを演算部８が設定する場合がある。

　ロジック部５で処理された画像信号は例えばＤＲＡＭ等で構成されたメモリ６に記憶される。
　なお、メモリ６としてはＤＲＡＭ、ＳＲＡＭ（Static Random Access Memory）、ＭＲＡＭ（Magnetoresistive Random Access Memory ：磁気抵抗メモリ）などが想定される。ＭＲＡＭは、磁気によってデータを記憶するメモリであり、磁気コアの代わりにＴＭＲ素子（tunneling magnetoresistive）を使用するものが知られている。ＴＭＲ素子は数原子分という極めて薄い絶縁物の層を磁性体で挟んだもので、磁性体の層の磁化の方向によって電気抵抗が変化する。ＴＭＲ素子の磁化の方向は電源が切られても変化せず、不揮発性のメモリとなる。微細化すればするほど書き込み電流を大きくする必要があるため、メモリセルを微細化するためには、磁界を使わず、スピンがそろった電子を流して書き込むスピン注入磁化反転方式（ＳＴＴ：spin torque transfer）を用いたＳＴＴ－ＭＲＡＭが知られている。もちろんメモリ６の具体例としてはこれら以外の記憶素子でもよい。
　メモリ６に記憶された画像信号は、必要なタイミングでインターフェース部７により外部プロセッサ１１等に送信出力される。

　外部プロセッサ１１では、センサ装置１から送信されてきた画像信号について、画像解析、画像認識処理を行って、必要な物体検出等を実行する。
　外部プロセッサ１１は外部センサ１２の検出情報を参照することもできる。

　ここで、外部プロセッサ１１は、有線又は無線でセンサ装置１と接続されることが考えられる。
　なお、センサ装置１を備える撮像装置がネットワーク通信機能を有し、例えばインターネットやＬＡＮ（Local Area Network）等のネットワークを介して、センサ装置１で得られた画像信号（撮像画像信号）をネットワーク経由で撮像装置外部のコンピュータ装置（例えばクラウドサーバ等）に送信可能な構成を採ることもできる。例えばそのような場合、外部プロセッサ１１としては、例えばクラウドコンピューティングシステムにおけるプロセッサとされることもある。

　演算部８は、例えば一つのＡＩプロセッサとして構成される。そして、実行可能な演算機能として図示のようにキーフレーム選択部８１、物体領域認識部８２、クラス識別部８３、パラメータ選択部８４、暗号化制御部８５、及び不正アクセス検知部８６を備える。なおこれらの演算機能が複数のプロセッサにより構成されてもよい。

　キーフレーム選択部８１は、所定のアルゴリズム又は指示に応じて、動画としての画像信号のフレームの内からキーフレームを選択する処理を行う。

　物体領域認識部８２は、アレイセンサ２で光電変換され、ＡＤＣ／ピクセルセレクタ３によって取得される画像信号のフレームに対して、検出の候補となる物体の領域の検出や、検出対象の物体について画像（フレーム）内での当該物体を囲う領域（バウンディングボックス）の認識処理を行う。
　画像信号から検出される物体とは、画像からの認識を目的として検出対象となり得る物体のことをいう。センサ装置１や外部プロセッサ１１の検出の目的、処理能力、アプリケーション種別などに応じて、どのような物体が検出対象とされるかは異なるが、あらゆる物体が、ここでいう検出対象の物体とされる可能性がある。あくまで一部であるが例示すると、動物、移動体（自動車、自転車、航空機等）、自然物（野菜、植物等）、工業製品／部品、建造物、施設、山、海、川、星、太陽、雲など、あらゆる物体が該当する可能性がある。
　また、本例における物体領域認識部８２は、バウンディングボックスに基づいて、処理の対象とすべき領域（関心領域）を示す領域情報であるＲＯＩ（Region of Interest）を算出する処理を実行する。

　クラス識別部８３は、物体領域認識部８２が検出した物体についてクラス分類を行う。
　クラスとは、物体のカテゴリーを表す情報であり、例えば「人」「自動車」「飛行機」「船」「トラック」「鳥」「猫」「犬」「鹿」「蛙」「馬」などのように、検出すべき物体をクラス分けしたものである。

　パラメータ選択部８４は、各クラスに応じた信号処理用のパラメータを記憶しており、クラス識別部８３が識別した検出物体のクラスやバウンディングボックス等を用いて、対応する１又は複数のパラメータを選択する。そしてその１又は複数のパラメータをロジック部５に設定する。

　ここで、上記した演算部８による各種機能の処理は、通常イメージセンサ内では行わなかった処理であり、本実施形態では、物体検出やクラス認識、及びこれらに基づく制御をイメージセンサ内で実行する。これにより、外部プロセッサ１１へ供給する画像信号を、検出目的に沿った適切なものとしたり、検出性能の低下を招かないようにデータ量を適切に削減したりするといったことが可能とされる。

　暗号化制御部８５は、アレイセンサ２での撮像により得られる画像信号について暗号化が行われるように制御する。なお、このような画像信号の暗号化のために暗号化制御部８５が行う処理の具体例については改めて説明する。

　不正アクセス検知部８６は、センサ装置１外部からの不正アクセスを検知する。具体的に、本例における不正アクセス検知部８６は、メモリ６に保存されたデータに対する外部からの不正アクセスを検知する。
　不正アクセス検知部８６は、不正アクセスを検知した場合には、そのログ情報（例えば検知日時や不正アクセスの種別を表す情報等）をメモリ６の所定領域に記録する。

［1-2．暗号化に用いる乱数について］

　ここで、本実施形態のセンサ装置１は、画像信号に対する暗号化を行うものであるが、従来、暗号化に用いる乱数としては多くの場合、ソフトウェアで生成した疑似乱数が用いられている。しかしながら、疑似乱数は数値を計算するアルゴリズムで生成されるものであり、真の乱数を生成することはできないため、暗号鍵が解読され複製されるリスクがあった。

　この点を考慮し、本実施形態では、暗号鍵の生成に光電乱数を用いる。
　光電乱数とは、アレイセンサ２による光電変換に基づき得られる乱数を意味する。具体的に、本例では、アレイセンサ２の光電変換により得られる画素ごとの電気信号の値を光電乱数として取得し、暗号鍵を生成する。

　図２は、光電乱数に基づき暗号化フィルタ(暗号鍵）を生成する手法の例を示している。
　先ず、図中左側は、アレイセンサ２の光電変換により得られる画素ごとの電気信号の値を例示している。具体的に、本例では、光電乱数として、アレイセンサ２での撮像により得られる画像（静止画）の各画素値（輝度値）を用いる。
　ここで以下、光電乱数を得るために撮像されたフレーム画像、換言すれば、光電乱数の元となったフレーム画像のことを「シードフレーム」と表記する。

　本例では、このような画素ごとの電気信号の値そのものを暗号鍵として用いるのではなく、図中の右側に例示するように、画素ごとの電気信号の値の少なくとも一部を、該電気信号の値が得られた画素位置とは異なる画素位置に割り当てた形式による暗号鍵を生成する。換言すれば、光電乱数として得た画素ごとの電気信号の値について、画素位置をシャッフルさせて暗号鍵を生成する。
　これにより、画素ごとの電気信号の値をそれら電気信号の値が得られた画素位置にそのまま割り当てた暗号鍵を用いる場合と比較して、暗号鍵の解読が困難とされ、セキュリティを高めることができる。

　ここで、暗号鍵の生成にあたっては、画素ごとの電気信号の値を所定のアルゴリズムにより変調して用いることもできる。例えば、画素ごとの電気信号の値に所定の係数を乗じて得た値をその画素の乱数値とすることが挙げられる。或いは、画素ごとの電気信号の値が小数点以下の値を含む場合において、小数下数桁の値を整数化して得た値をその画素位置における乱数値とするなどの手法を採ることもできる。
　なお、暗号鍵の生成にあたっては、上記のような画素位置のシャッフルを行うことは必須でなく、画素ごとの電気信号の値そのものを暗号鍵として用いることもできる。

［1-3．処理対象とする信号について］

　従来において、アレイセンサ２での撮像により得られる画像信号について暗号化を行う場合には、アレイセンサ２から読み出された画像信号を一旦平文の状態でメモリに保存し、該保存した画像信号に対し暗号化を施すことが通常である。
　しかしながら、このような暗号化手法を採った場合には、マルウェアなどを使って暗号化のタイミングで意図的にエラーを起こし、メモリ内容をダンプファイルで出力させ、メモリに置かれた平文をコピーするというハッキングが可能となってしまう。

　そこで本実施形態では、アレイセンサ２の画素からの読み出し信号に対して暗号化を行うことで、メモリに平文による画像信号が保存されないようにする。
　具体的に、本例では、図１に示した振幅制御回路１０により、アレイセンサ２の画素からの読み出し信号に対し図２に示した暗号鍵に応じた係数による振幅制御を実行させることで、読み出し信号に対する暗号化を実現する。

　図３は、振幅制御回路１０による読み出し信号の暗号化のイメージを示した図である。
　図示のようにアレイセンサ２における各画素からの読み出し信号（この場合は電荷信号）に対し、振幅制御回路１０が備えるアンプによって暗号鍵に応じた係数を乗じる。　　図１に示したセンサ装置１では、このように画素ごとの読み出し信号がアナログ信号の段階で振幅制御された上で、ＡＤＣ／ピクセルセレクタ３によりＡ／Ｄ変換され、バッファ４及びロジック部５を介してメモリ６に保存される。

　暗号化制御部８５は、暗号鍵に応じた係数を上記のアンプに設定することで、アレイセンサ２における各画素からの読み出し信号に対する暗号化が行われるようにする。

　なお、図３はあくまでもイメージ図であり、振幅制御回路１０において、アンプが画素ごとに設けられることは必須ではない。例えば、ＣＣＤ（Charged-coupled devices）イメージセンサのように一括読み出しが行われる場合、振幅制御回路１０が備えるアンプは各画素に共通の一つとされる場合もある。なおその場合、画素ごとの振幅制御は時分割により行う。

　ここで、個々の画素の読み出し信号は、画像信号を構成する信号であると言うことができる。すなわち、個々の画素の読み出し信号は、画像信号の一部を構成する信号という意味で、画像信号に属するものである。

　上記では、読み出し信号に対する暗号化の例として、アナログ信号による読み出し信号に暗号化を施す例を挙げたが、Ａ／Ｄ変換後のデジタル信号による読み出し信号に対して暗号化を施すこともできる。

　図４は、デジタル信号による読み出し信号に対して暗号化を施す場合のセンサ装置１の構成例を示している。
　この場合のセンサ装置１には、振幅制御回路１０に代えて、ＡＤＣ／ピクセルセレクタ３によりデジタル信号に変換された読み出し信号について振幅制御を行う振幅制御回路１０Ａが設けられる。

　なお、この場合における暗号化制御部８５による処理は、暗号鍵に応じた画素ごとの係数の設定対象が振幅制御回路１０から振幅制御回路１０Ａに変更される以外は同様となるため、重複説明は避ける。

　ここで、上述のようにアナログの読み出し信号に対する暗号化を施すものとすれば、アナログ信号を外部から不正取得することは非常に困難であるため、セキュリティの向上が図られる。

　なお、アナログ読み出し信号に対する暗号化を施す場合には、暗号化画像を復号して得た画像について、画像の再現性が低下することが懸念される。
　しかしながら、例えば対象とする画像が人物等のターゲットの属性や行動の分析に用いられる場合には、画像の再現性としてはターゲットの検出や分析が可能な程度であればよく、実用上の問題は生じないと考えられる。

　一方で、デジタル読み出し信号に対する暗号化を施す場合には、暗号化処理の正確性が向上し、画像の再現性の向上を図ることができる。

　ここで、上記のように読み出し信号に対して行う暗号化は、ストリーム暗号方式による暗号化の一種である。ストリーム暗号方式は、平文をビット単位やバイト単位等の所定のデータ単位で暗号化する暗号方式である。
　ストリーム暗号方式では、暗号化の対象信号についてデータの長さを揃える必要がなく、
そのため、対象信号に対する暗号化の前処理が不要とされる。従って、ストリーム暗号方式の採用により、暗号化処理の高速化を図ることができる。

［1-4．耐タンパー化について］

　本例のセンサ装置１は、ハードウェア面での耐タンパー化を図るべく、図５に例示するようにアレイセンサ２、メモリ６、演算部８の各チップが１パッケージ化されている。図５の例では、演算部８としてのチップ上にメモリ６としてのチップが積層され、さらにメモリ６としてのチップ上にアレイセンサ２としてのチップが積層されている。
　本例において、読み出し信号に対する暗号化を施す暗号化部は、例えばアレイセンサ２としてのチップ内に形成されている。
　また、光電乱数に基づく暗号鍵を生成し、暗号化部に該暗号鍵に基づく暗号化を実行させる暗号化制御部８５は、演算部８としてのチップに含まれている。

　本例では、各チップの電気的な接続がＣｕ（銅）製のパッド同士を接続するＣｕ－Ｃｕ接続により行われており、センサ装置１の分解を試みるとこれらの電気的接続部分が破壊される。つまりこれにより、ハードウェア面での耐タンパー化が図られている。

　図６は、センサ装置１の構造の別例を示しており、図５との差は演算部８とメモリ６との上下関係が入れ替わった点である。
　図７は、センサ装置１の構造のさらに別例を示しており、図５との差はメモリ６としてのチップが複数積層された点（図の例では２層）である。
　なお、図示は省略したが、センサ装置１としては、メモリ６を演算部８と同レイヤに形成して２レイヤの構造としたり、アレイセンサ２、メモリ６、及び演算部８を同レイヤに形成した１レイヤの構造とすることもできる。

　図５から図７で例示したような１パッケージ化の構成を採ることで、上記したＣｕ－Ｃｕ接続など、分解によるメモリ６からの不正な情報取得に対する耐性を高めるための対策を施すことが可能となり、ハードウェア面での耐タンパー化を図ることが可能とされる。

［1-5．処理手順］

　続いて、上記により説明した第一実施形態としての暗号化を実現するために演算部８が実行する処理の手順について、図８のフローチャートを参照して説明する。
　なお、以下で説明する処理のうち少なくとも一部についてはハードウェアによる処理として実現することもできる。

　先ず前提として、本例の演算部８は、図８に示す処理を、起動時、及び不正アクセス検知部８６により不正アクセスが検知されたことに応じて開始する。
　不正アクセスの検知に応じて図８に示す処理を開始することで、光電乱数の取得（Ｓ１０１）や暗号鍵の生成（Ｓ１０５）が不正アクセスの検知に応じて実行される。すなわち、不正アクセスの検知に応じて光電乱数が再取得され、再取得された光電乱数に基づき暗号鍵が再生成される。これにより、ソフトウェア面での耐タンパー化が図られる。
　なお、図８に示す処理は、外部からの指示（例えば操作入力に応じた指示）に応じて開始する、或いは、一定時間おきに開始する等、他の条件に基づき開始することもできる。

　図８において、演算部８はステップＳ１０１で、静止画撮像処理を実行する。この静止画撮像処理は、暗号鍵の生成の元となる静止画を撮像するための処理であり、演算部８はアレイセンサ２を制御して１フレーム分の画像の撮像（画素ごとの電荷の読み出し）を実行させる。
　ここで、以下、暗号鍵の生成の元となる１フレーム分の画像（静止画）のことを「シードフレーム」と表記する。
　ステップＳ１０１の静止画撮像処理が実行されることで、メモリ６にシードフレームとしての画像データが保存される。

　ステップＳ１０１に続くステップＳ１０２で演算部８は、画素値の均一性チェック処理を実行する。この均一性チェック処理は、シードフレームについて画素ごとの輝度値の均一性をチェック処理であり、具体的に演算部８は、輝度値がゼロや飽和値（最大値）となっている画素の数をカウントする。
　なお、画素値の均一性チェック処理としては、読み出し信号の値を対象とした均一性のチェック処理として実行することもできる。

　ステップＳ１０２に続くステップＳ１０３で演算部８は、均一性が過剰であるか否かを判定する。具体的には、ステップＳ１０２でカウントした画素の数が所定閾値（例えば、有効画素数の３０％～５０％に対応した値）以上であるか否かを判定する。
　ステップＳ１０２でカウントした画素の数が上記閾値以上であり、均一性が過剰であるとの判定結果を得た場合、演算部８はステップＳ１０４に進んでシードフレームを消去する処理、すなわちメモリ６に保存されたシードフレームとしての画像データを消去する処理を実行した上で、ステップＳ１０１に戻る。
　これにより、シードフレームの画素値のランダム性が低い場合に対応して、シードフレームを撮像し直すことができる。すなわち、光電乱数のランダム性が低い場合に対応して、光電乱数を取得し直すことができる。
　従って、ランダム性の低い乱数に基づく暗号鍵により暗号化が行われてしまうことの防止を図ることが可能とされ、セキュリティの向上を図ることができる。

　一方、ステップＳ１０３において、カウントした画素の数が上記閾値以上ではなく、均一性が過剰ではないとの判定結果を得た場合、演算部８はステップＳ１０５に進んで暗号鍵を生成する。具体的に本例では、シードフレームにおける各画素の輝度値に基づき、振幅制御回路１０（又は１０Ａ）における各アンプに設定すべき係数を表す暗号鍵を生成する。

　ここで、本例において、ステップＳ１０５の処理では、画素ごとの輝度値をそれら輝度値が得られた画素位置にそのまま割り当てた形式の暗号鍵を生成するものとはせず、画素ごとの輝度値の少なくとも一部を、該輝度値が得られた画素位置とは異なる画素位置に割り当てた形式による暗号鍵を生成する。
　これにより、暗号鍵の解読が困難とされ、セキュリティの向上を図ることができる。

　ステップＳ１０５に続くステップＳ１０６で演算部８は、シードフレームを消去する処理、すなわち、ステップＳ１０１の撮像処理によりメモリ６に保存されたシードフレームとしての画像データを消去する処理を実行する。
　このシードフレームの消去処理を行うことで、光電乱数の元となった画像が流出して光電乱数が推定されてしまうことの防止を図ることができる。
　なお、例えば演算部８の処理能力が高い場合やシードフレームの画像サイズが小さい場合等には、シードフレームを一旦メモリ６に保存させることは必須ではない。その場合、演算部８（暗号化制御部８５）は、例えば振幅制御回路１０（又は１０Ａ）から光電乱数を受け取り、ステップＳ１０２及びＳ１０３の処理を経由してステップＳ１０５で暗号鍵の生成を行う。この場合には、ステップＳ１０６の消去処理は不要である（勿論、ステップＳ１０４の消去処理も不要である）。

　続くステップＳ１０７で演算部８は、既存鍵があれば消去する。例えば、図８に示す処理が一定時間ごとに開始される等の場合には、過去に行われたステップＳ１０８の処理により、メモリ６には暗号鍵が保存されている。ステップＳ１０７の処理は、このようにメモリ６に既存の暗号鍵が保存されている場合に、該暗号鍵を消去する処理となる。
　このような既存鍵の消去処理を行うことで、過去に暗号化に用いた暗号鍵の流出防止を図ることが可能とされ、過去に暗号化した信号が不正に復号されてしまうことの防止を図ることができる。

　続くステップＳ１０８で演算部８は、暗号鍵の保存処理を実行する。すなわち、ステップＳ１０５で生成した暗号鍵をメモリ６に保存する処理を実行する。
　ステップＳ１０８の保存処理を実行したことに応じ、演算部８は図８に示す一連の処理を終える。

　センサ装置１においては、ステップＳ１０８で保存された暗号鍵を用いて、アレイセンサ２での撮像により得られる画像信号を対象とした暗号化が行われる。具体的に、演算部８（暗号化制御部８５）は、図８に示した処理の終了後、保存された暗号鍵に基づく画素ごとの係数を振幅制御回路１０（又は１０Ａ）における各アンプに設定して、アレイセンサ２での撮像により得られる画像信号に該保存された暗号鍵に基づく暗号化が施されるようにする。
　本例では、アレイセンサ２は動画像の撮像を行うものとされ、振幅制御回路１０（又は１０Ａ）による暗号化は動画像を構成する各フレーム画像に対して行われる。

　ここで、上記説明から理解されるように、本例では、画像信号に対する暗号化は、暗号化対象の画像信号とは異なるフレーム期間に得た光電乱数に基づき行うものとしている。
　これにより、暗号化画像から暗号鍵が推定されることの困難性が高められ、セキュリティの向上を図ることができる。
　なお、暗号化対象の画像信号と同一フレーム期間に得た光電乱数に基づき画像信号の暗号化を行うことも可能である。

［1-6．センサ装置の出力情報について］

　ここで、演算部８は、ターゲットとする物体、具体的に本例では前述したクラスのうちターゲットとするクラスの物体について、その属性や動作についての分析を行うことができる。
　例えば、アレイセンサ２での撮像により得られる画像が店内の監視画像である場合において、画像解析により、ターゲットとしての顧客（人物）の人数や性別、年齢、身長、体重、眼鏡の有無、防止の有無等の属性を分析したり、店内における顧客の移動軌跡（動線）や姿勢の変化等、顧客の動作を分析するということが可能とされている。
　或いは、アレイセンサ２での撮像により得られる画像が道路を通行する車両の監視画像である場合において、ターゲットとしての車両について、その車種や色、搭乗者数、搭乗者の性別等の属性を分析したり、道路上での動線、車速などの動作を分析することが可能とされている。

　図９に示すように、センサ装置１としては、上述した実施形態としての暗号化を施した動画データ（図中「暗号化動画データ」）と共に、上記の分析の結果を表すデータ（図中「分析結果データ」）を外部プロセッサ１１に出力する構成を採ることもできる。
　このとき、インターフェース部７は、分析結果データを暗号化動画データのメタデータとして出力することができる。或いは、暗号化動画データとは独立して出力することもできる。
　また、分析結果データについては、例えば外部プロセッサ１１側が、インターフェース部７に対して必要な情報を指示し、インターフェース部７がそれに応じた情報を出力することも考えられる。

　ここで、本例の暗号化手法では、読み出し信号の時点で暗号化が施されるため、演算部８が物体検出や上記の分析を行うためには、暗号化された画像信号を復号化することを要する。本例において、演算部８は、これら物体検出や分析の処理を、メモリ６に保存された暗号化画像データをオンザフライ方式で復号しながら行う。オンザフライ方式は、暗号化されたデータをバイト単位やワード単位で復号しながら処理する方式である。
　これにより、画像からの物体検出や検出物体の解析を行う際に平文状態の画像信号が流出してしまう可能性を低減することが可能とされ、セキュリティの向上を図ることができる。

［1-7．鍵の受け渡しについて］

　図１０を参照し、画像の受け手側に復号化のための鍵をセキュアに受け渡すための手法の例について説明しておく。該手法は、公開鍵暗号を使用して共通鍵を受け渡す手法となる。
　先ず、画像の受け手側は、公開鍵と秘密鍵を作成し、公開鍵をセンサ装置１を有するカメラ装置１００に受け渡す（図１０Ａ）。

　公開鍵を取得したカメラ装置１００側では、前述のように光電乱数に基づき生成した暗号鍵を共通鍵として、該共通鍵を公開鍵により暗号化し、画像の受け手側に送信する（図１０Ｂ）。
　そして、画像の受け手側においては、送信された共通鍵（復号鍵）を、図１０Ａにおいて作成した秘密鍵を用いて復号化する（図１０Ｃ）。
　これにより以降、画像の受け手側においては、カメラ装置１００から受信される暗号化動画データを、復号した共通鍵を用いて高速に復号化することができる。図１０Ｄでは、カメラ装置１００側において共通鍵を用いて画像暗号化が行われることを模式的に表し、図１０Ｅでは、共通鍵により暗号化された画像データを画像の受け手側が共通鍵を用いて復号化することを模式的に表している。

　なお、図１０Ｂの公開鍵による共通鍵の暗号化、及び図１０Ｃの共通鍵の秘密鍵による復号化にはそれぞれ数秒程度の時間を要するが、これらの暗号化、復号化を要するのは一つの鍵の受け渡しにつき１度のみである。

＜２．第二実施形態＞
［2-1．第二実施形態の暗号化手法］

　続いて、第二実施形態としての暗号化手法について説明する。
　なお、以下の説明において、既に説明済みとなった部分と同様となる部分については同一符号を付して説明を省略する。第二実施形態においても、センサ装置１の構成については図１に示したものと同様となるため重複説明は避ける。

　第二実施形態では、画像信号におけるターゲット領域を対象とした暗号化を行う。
　具体的に、第二実施形態では、画像全体とターゲット領域とで異なる暗号鍵に基づく暗号化を行うと共に、ターゲット領域については、特定部位の領域とそれ以外の領域とで異なる暗号鍵に基づく暗号化を行うことで、画像の受け手側に保有させる復号鍵の別によって情報の秘匿レベルを段階的に変化させる。

　図１１、図１２は、第二実施形態における段階的な暗号化のイメージを説明するための図である。
　図１１は、ターゲットのクラスが人物である場合における段階的な暗号化のイメージを示している。
　図１１Ａは暗号化前の画像を示している。この場合、ターゲット領域ＡＴは、画像内で人物が映し出されている部分の全域とされる。またこの場合、特定部位の領域である特定領域ＡＳは、人物の顔の領域とされる。
　図１１Ｂは、特定領域ＡＳのみが暗号化された画像、図１１Ｃは特定領域ＡＳを含むターゲット領域ＡＴのみが暗号化された画像、図１１Ｄは画像全域が暗号化された画像を示している。

　図１２は、ターゲットのクラスが車両である場合における段階的な暗号化のイメージを示しており、図１２Ａは、暗号化前の画像を示している。
　この場合、ターゲット領域ＡＴは、画像内で車両が映し出されている部分の全域とされ、特定領域ＡＳは、車両の搭乗者、及びナンバープレートの領域とされる。
　図１２Ｂは、特定領域ＡＳのみが暗号化された画像、図１２Ｃは特定領域ＡＳを含むターゲット領域ＡＴのみが暗号化された画像、図１２Ｄは画像全域が暗号化された画像である。

　ここで、図１２Ａに示す暗号化前の画像は、搭乗者もナンバープレートも示されているので個人特定が可能な個人情報である。そのため、マーケティングデータ等に使用するには不向きである。
　図１２Ｂに示す特定領域ＡＳのみ暗号化された画像であれば、運転手を含む搭乗者やナンバープレート等の個人を特定できる情報を取得せずに、例えば車メーカーのマーケティングの用途の為に車種と台数を判断することが可能となる。図１２Ｃに示すターゲット領域ＡＴのみ暗号化された画像であれば個人情報や車種情報を取得しないで車の台数と動きの情報のみを取得することができる。例えば混雑状況を判断することができる。

　図１１、図１２の例の場合、暗号鍵としては、画像全域の暗号化に対応した第一暗号鍵と、ターゲット領域ＡＴのみの暗号化に対応した第二暗号鍵と、特定領域ＡＳのみの暗号化に対応した第三暗号鍵の３種を少なくとも生成する。

　図１３は、段階的な暗号化の具体的手法の例を説明するための図である。
　本例では、対象の画像に対し第一、第二、第三暗号鍵に基づく暗号化をそれぞれ個別に施すことはせず、これら複数の暗号鍵を合成した合成鍵に基づき対象の画像に対する暗号化を行う。

　先ず、特定領域ＡＴを暗号化するための第三暗号鍵、ターゲット領域ＡＴ全域を暗号化するための第二暗号鍵、画像全域を暗号化するための第一暗号鍵をそれぞれ用意する。これら３種の暗号鍵を生成するにあたっては、３種の光電乱数を得る（つまりシードフレームを３種撮像する）ようにしてもよいが、本例では、暗号鍵生成に要する時間の短縮化のため、共通の光電乱数から３種の暗号鍵を生成する。具体的に、本例では、３種の暗号鍵の生成にあたっては、先ず、共通の光電乱数における画素ごとの数値の配置をそれぞれ異ならせた３種の乱数（以下、それぞれ第一乱数、第二乱数、第三乱数と表記する）を生成する。
　そして、第三暗号鍵については、第三乱数の数値のうち、特定領域ＡＳの各画素の数値を抽出した暗号鍵として生成する。
　また、第二暗号鍵については、第二乱数の数値のうち、ターゲット領域ＡＴの各画素の数値を抽出した暗号鍵として生成する。
　第一暗号鍵については、第一乱数をそのまま適用した暗号鍵として生成する。

　その上で、合成鍵として、図示のようにこれら第一、第二、及び第三暗号鍵を合成した暗号鍵を生成する。
　そして、該合成鍵に基づき、対象の画像の暗号化が行われるようにする。

　上記のような段階的な暗号化を行うことで、画像の受け手側が保有する復号鍵の別によって、情報の秘匿レベルを変化させることが可能とされる。
　図１４は、秘匿レベルの変化例についての説明図である。
　ここでは、鍵の保有に関するレベルとして、レベル０からレベル３までの４レベルを定義する。図示のようにレベル０は鍵なし、レベル１は第一暗号鍵のみ保有、レベル２は第一、第二暗号鍵の合成鍵を保有、レベル３は第一、第二、及び第三暗号鍵の合成鍵を保有、をそれぞれ意味する。

　レベル０の場合には、画像の受け手側において暗号化画像を復号できず、全域が暗号化された画像が得られる。
　レベル１の場合、画像の受け手側では第一暗号鍵を用いてターゲット領域ＡＴ以外の領域を復号化することができ、従ってターゲット領域ＡＴのみが暗号化された画像が得られる。

　レベル２の場合、画像の受け手側では第一、第二暗号鍵の合成鍵を用いて特定領域ＡＳ以外の領域を復号化することができ、ターゲットにおける特定領域ＡＳのみが暗号化された画像が得られる。
　レベル３の場合、画像の受け手側では第一、第二、及び第三暗号鍵の合成鍵を用いて画像全域を復号化することができ、この場合には情報の秘匿のない画像を得ることができる。

　ここで、本例では、暗号化対象の画像は動画像とされるため、画像内に映し出されるターゲットとしての物体は時間経過と共に画像内で変位する可能性がある。このため、上記のようなターゲット領域ＡＴを対象とした暗号化を行う場合には、ターゲットの追尾を行うことを要する。

　以下、このようなターゲットを追尾を含む、第二実施形態としての暗号化の具体的な手法の例について、図１５を参照して説明する。
　なお、図１５において、ターゲットのクラスは「人物」であるとする。また、図１５では説明の便宜上、ターゲット領域ＡＴにおいて特定領域ＡＣとそれ以外の領域とを区別せず、画像内のターゲット領域ＡＴとそれ以外の領域とについてのみ暗号化し分ける例を挙げる。

　先ず、図１５Ａに示すフレームＦ１は、ターゲットクラスである人物が未だフレームインしていない状態を示している。なお、ここでは、画像内にターゲットクラスではない「木」としての物体が識別されている例としている。

　ここで、画像全域に対する暗号化は、ターゲットの有無に拘わらず行われるものである。つまり、本例では、各フレームＦの画像は、画像全域に対応した第一暗号鍵に基づき振幅制御回路１０（又は１０Ａ）において暗号化された後、メモリ６に保存される。図１５の各分図に示す白抜きの鍵マークは、出力画像として、このような画像全域を対象とした暗号化が施されていることを表している。

　ターゲットの追尾のためには、演算部８は、画像内における物体の領域の検出やクラス識別を行うことになる（前述した物体領域認識部８２やクラス識別部８３の処理）。これらの処理を行うために、演算部８は、上記のように暗号化されて保存されたフレーム画像を復号化する。すなわち、演算部８は、ターゲット追尾のための処理を、第一暗号鍵に基づき暗号化されたフレーム画像を復号化しながら実行する。
　演算部８は、この際の復号化をオンザフライ方式により行う。これにより、ターゲットの追尾を行う際に平文状態の画像信号が流出してしまう可能性を低減することが可能とされ、セキュリティの向上を図ることができる。

　図１５Ｂに示すフレームＦ２は、ターゲットクラスである「人物」がフレームインした状態を示している。この状態では、既に識別されている「木」と共に、ターゲットクラスである「人物」が識別される。
　このようにターゲットクラスとしての物体を識別した場合、演算部８（物体領域認識部８２）は、当該物体のエリアを囲う正確な位置座標のバウンディングボックス２０の算出を行う。
　例えば図１５Ｃにターゲットクラスである人物の画像についてのバウンディングボックス２０の例を示している。すなわちバウンディングボックス２０はターゲットクラスに該当する物体のより正確な領域として計算される。
　さらに演算部８（物体領域認識部８２）は、バウンディングボックス２０を元に、関心領域であるＲＯＩ２１を算出する。

　図１５Ｄに、ＲＯＩ２１とバウンディングボックス２０を示している。ＲＯＩ２１は、例えばバウンディングボックス２０の縦横サイズ（ｘ×ｙ）を拡大（ａｘ×ｂｙ）して計算される。拡大の縮尺ａ，ｂは縦横別に設定でき、拡大率は固定でもよいが、センサ装置１の外部（例えば外部プロセッサ１１など）より指定されるようにすることも考えられる。

　本例では、このＲＯＩ２１をターゲット領域ＡＴとして、画像全域とは異なる暗号鍵を用いた暗号化を行う。

　ここで、フレームＦ２は、画像内にターゲットクラスが新たに識別されたフレームであり、ターゲットクラス発見フレームと換言することができる。
　本例では、画素からの読み出し信号に対して暗号化を施す手法を採るため、ターゲットクラス発見フレームについては、ＲＯＩ２１に対し第二暗号鍵に基づく暗号化を施すことができない。ターゲットクラス発見フレームについては、既に第一暗号鍵のみに基づく暗号化が施されてメモリ６に保存されている。このように第一暗号鍵のみに基づく暗号化が施されたターゲットクラス発見フレームがそのまま出力されてしまうと、第一暗号鍵のみの保有者に対し、ＲＯＩ２１の画像領域が秘匿されずに開示されてしまうことになる。

　そこで、本例では、ターゲットクラス発見フレームについてはメモリ６から消去するものとし、画像の受け手側が保有する復号鍵の別に応じた適切な情報秘匿レベルが実現されるようにする。

　図１５Ｅは、フレームＦ２の次のフレームであるフレームＦ３を表している。
　ターゲットクラス発見フレームの次のフレームＦより、ＲＯＩ２１を対象とした第二暗号鍵に基づく暗号化を施す。ここでのＲＯＩ２１は、ターゲットクラス発見フレームであるフレームＦ２の時点で算出されたＲＯＩ２１である。
　ターゲットクラスとしての「人物」が移動している場合には、フレームＦ３では、フレームＦ２よりも人物が移動方向側に進むことになるが、ＲＯＩ２１がバウンディングボックス２０よりも大きな範囲とされることで、フレームＦ３においてＲＯＩ２１内にターゲットクラスとしての人物が収まることになる。すなわち、ターゲットクラスとしての人物が第二暗号鍵に基づく暗号化の対象範囲内に収まる。

　フレームＦ３以降においても、同様にターゲットクラスについてのバウンディングボックス２０及びＲＯＩ２１の算出を行い、これによりターゲットクラスが追尾されるようにする（図１５Ｆ参照）。
　そして、フレームＦ４以降では、フレームＦ３と同様に、一つ前のフレームＦで算出されたＲＯＩ２１を対象として、第二暗号鍵に基づく暗号化が施されるようにする（図１５Ｇ参照）。

　図１５Ｈは、ターゲットクラスとしての「人物」がフレームアウトした後のフレームＦｎを表している。ターゲットクラスがフレームアウトしたことで、ＲＯＩ２１は算出されなくなる。このため、フレームＦｎの画像については、第一暗号鍵のみに基づく暗号化が行われる。

　なお、上記説明では、バウンディングボックス２０を拡大した矩形の領域をＲＯＩ２１とする例を述べたが、ＲＯＩ２１は矩形の領域に限られるものではない。
　例えばセマンティックセグメンテーション、すなわち画素レベルでの物体エリア検出を用いて、そのターゲットクラスの物体のエリアからＲＯＩ２１を計算してもよい。

　図１６はセマンティックセグメンテーションに基づくＲＯＩ２１を示している。これは物体（例えば人物）としての画素領域を広げて、非矩形のＲＯＩ２１を設定した例である。
　例えば突起物のあるトラック、自転車に乗っている人など、矩形のＲＯＩ２１では一部が含まれなかったり、或いは大きすぎる状態になってしまうことがある。画素レベルの物体位置に応じて非矩形のＲＯＩ２１を生成すれば、ターゲットに係る秘匿領域を過不足なく適切に設定することが可能となる。

［2-2．処理手順］

　上記により説明した第二実施形態としての暗号化を実現するために演算部８が実行する処理の手順について、図１７及び図１８のフローチャートを参照して説明する。
　図１７は、シードフレームの撮像から暗号鍵の元となる乱数の保存までに対応した処理を示している。なお、図１７において、既に図８で説明した処理と同様の処理については同一ステップ番号を付して説明を省略する。
　図８の処理と同様、図１７の処理は、起動時、及び不正アクセス検知部８６により不正アクセスが検知されたことに応じて開始する。或いは、一定時間おきに開始する等、他の条件に基づき開始することもできる。
　なお、図１７及び図１８で説明する処理のうち少なくとも一部についてはハードウェアによる処理として実現することもできる。

　図１７において、この場合の演算部８は、ステップＳ１０３で均一性が過剰と判定した場合に、ステップＳ２０１に進んで各レベルの乱数を生成する。ここでは、ターゲット領域ＡＴにおいて特定領域ＡＳを区別しないため、乱数としては前述した第一乱数と第二乱数の２種を生成する。
　なお、シードフレームの光電乱数に基づき各種の乱数を生成する手法については既に説明したため重複説明は避ける。

　この場合の演算部８は、ステップＳ２０１の乱数生成処理を実行したことに応じ、ステップＳ１０６でシードフレームの消去処理を実行する。
　そして、ステップＳ１０６の消去処理を実行したことに応じ、演算部８はステップＳ２０２で既存乱数があれば消去する処理を実行する。すなわち、過去に実行されたステップＳ２０３の処理でメモリ６に保存された各レベルの乱数（第一乱数と第二乱数）があれば、それらの乱数を消去する処理である。
　ステップＳ２０２に続くステップＳ２０３で演算部８は、ステップＳ２０１で生成した各レベルの乱数をメモリ６に保存する処理を行い、図１７に示す一連の処理を終える。

　図１８は、生成した暗号鍵に基づき対象画像を暗号化するための処理を示している。
　先ず、演算部８はステップＳ３０１で、暗号化対象とする画像の撮像開始を待機しており、撮像開始となったら、ステップＳ３０２で第一暗号鍵による暗号化処理を実行する。すなわち、振幅制御回路１０（又は１０Ａ）に第一暗号鍵に基づく画素ごとの係数を指示してアレイセンサ２の読み出し信号に対する暗号化を実行させる。先の説明から理解されるように、本例では、第一暗号鍵は、第一乱数をそのまま適用した暗号鍵とされる。

　ステップＳ３０２に続くステップＳ３０３で演算部８は、物体領域認識処理を実行し、さらに続くステップＳ３０４でクラス識別処理を実行する。ステップＳ３０３の物体領域認識処理は、前述した物体領域認識部８２の処理であり、現フレームの画像から候補となる物体の検出及びその物体領域の認識処理を行う。また、ステップＳ３０４のクラス識別処理は、前述したクラス識別部８３の処理であり、上記の物体領域認識処理で検出された物体についてクラス識別を行う。複数の物体や複数種類の物体が検出された場合、それぞれについてクラス識別が行われ、各クラスに分類される。例えば、先の図１５Ｂの場合、「木」というクラスの物体が１つ、「人物」というクラスの物体が１つというようにクラス識別及び分類が行われる。
　なお、演算部８は、ステップＳ３０３及びＳ３０４の処理については、ステップＳ３０２や後述するステップＳ３１３で暗号化されたフレーム画像をオンザフライ方式で復号化しながら実行する。

　ステップＳ３０４に続くステップＳ３０５で演算部８は、ターゲットクラスが存在するか否かを判定する。すなわち、ステップＳ３０４で識別されたクラスのうちにターゲットクラスが存在したか否かを判定する。
　ターゲットクラスが存在しなければ、演算部８はステップＳ３０６で次のフレームを待機（次のフレーム期間の到来を待機）した上で、ステップＳ３０２に戻る。すなわち、ターゲットクラスが検出されるまで、ステップＳ３０２による画像全域の暗号化処理、ステップＳ３０３の物体領域認識処理、及びステップＳ３０４のクラス識別処理がフレームごとに繰り返し実行される。

　ステップＳ３０５でターゲットクラスが存在すると判定した場合、演算部８はステップＳ３０７に進んでバウンディングボックス２０の算出を行い、続くステップＳ３０８でＲＯＩ２１の算出を行う。
　さらに、続くステップＳ３０９で演算部８は、ＲＯＩ２１のみに第二乱数の数値を適用した第二暗号鍵と、第一暗号鍵とを合成した合成鍵を生成する。

　ステップＳ３０９で合成鍵を生成したことに応じ、演算部８はステップＳ３１０でターゲットクラス発見フレームであるか否かを判定する。現フレームがターゲットクラス発見フレームであれば、演算部８はステップＳ３１１でターゲットクラス発見フレームを消去する処理を実行する。これにより、ターゲットクラス発見フレームについて、鍵の保有レベルがレベル１であるにも拘わらずターゲットの画像部分が秘匿されなくなってしまうことの防止が図られる。

　ステップＳ３１０において、現フレームがターゲットクラス発見フレームでなければ、演算部８はステップＳ３１１の消去処理をパスして、ステップＳ３１２で次のフレームを待機する処理を行う。また、演算部８は、ステップＳ３１１の消去処理を実行した場合も、ステップＳ３１２で次のフレームを待機する処理を行う。

　ステップＳ３１２の待機処理を実行したことに応じ、演算部８はステップＳ３１３で一つ前のフレームで生成した合成鍵による暗号化処理を実行する。すなわち、振幅制御回路１０（又は１０Ａ）に当該合成鍵に基づく画素ごとの係数を指示してアレイセンサ２の読み出し信号に対する暗号化を実行させる。

　ステップＳ３１３に続くステップＳ３１４で演算部８は、撮像終了か否か、すなわち、例えば外部からの撮像終了指示が行われる等、暗号化対象の画像の撮像を終了すべき状態となったか否かを判定する。
　撮像終了でなければ、演算部８はステップＳ３０３に戻る。これにより、撮像終了となるまで、これまで説明した処理が繰り返される。すなわち、引き続きターゲットクラスが存在すれば、該ターゲットクラスについてのＲＯＩの算出、及び算出したＲＯＩに基づく合成鍵の生成、及び一つ前のフレームで生成した合成鍵に基づく暗号化処理が行われ、ターゲットクラスが存在しなくなった場合は、合成鍵による暗号化処理が行われず、第一暗号鍵による暗号化処理が実行される。

　撮像終了であれば、演算部８は図１８に示す一連の処理を終える。

　なお、本例では、ＲＯＩ２１については、次のフレームにおいてターゲットとしての物体を包含できるようにバウンディングボックス２０を広げた領域として設定しているが、縦横サイズ（ｘ×ｙ）を拡大（ａｘ×ｂｙ）するときの拡大の縮尺ａ、ｂは、フレームレートに応じたものとすることも考えられる。
　例えば、フレームレートが低いと、フレーム間隔の時間が長くなり人物などの物体の移動量も大きくなるため、フレームレートが高い場合よりもＲＯＩ２１を広くすることが考えられる。

　なお、ターゲット領域ＡＴについて、特定部位とそれ以外の領域とを区別して暗号化を行う場合には、特定部位について、上記で説明した手法と同様の手法によりバウンディングボックス２０及びＲＯＩ２１を算出し、算出したＲＯＩ２１に第三乱数の数値を適用した第三暗号鍵を生成する。その上で、第一、第二、第三暗号鍵を合成した合成鍵を生成し、次のフレームの画像の暗号化に用いるようにすればよい。

［2-3．分析情報の出力例］

　なお、第二実施形態においても、センサ装置１としては、暗号化動画データと共に分析結果データを外部に出力するように構成することもできる（図９参照）。
　この際、第二実施形態では、ターゲット領域ＡＴを対象とした暗号化を行うことから、分析結果データとしては、テキストによるデータに限らず、例えば図１９に例示するように画像として表示できるデータとすることもできる。
　図１９において、図１９Ａは暗号化前の元画像を表している。
　図１９Ｂは、ターゲット（ここでは「人物」）について分析された属性情報を画像上に表示する例として、ターゲットの性別情報を、暗号化された状態のターゲット領域に付す色によって表示し分けるものである。
　図１９Ｃは、さらに、暗号化された状態のターゲット領域に、ターゲットの分析処理により得られた姿勢情報Ｉｂを重畳表示する例である。

　このように、ターゲットの領域を対象とした暗号化を行うことにより、個人情報の秘匿性を担保しながら、ターゲットの属性や行動についての分析結果をより把握し易くした画像を提供することが可能となる。
　近年では、店内のカメラ映像をマーケティングデータとして使用するケースが増えてきている。その場合、来店客の個人を特定する必要は無く、来店客の属性分析や行動分析などが必要な情報となる。図１９Ａの画像のままでは個人が特定できるデータで、秘匿性の高い情報であり、高いセキュリティ対策を施したシステムが必要となり高コストとなる。図１９Ｂに示す画像では、顧客の店内の動線や男女の属性が分かるのでマーケティングデータとして有用である。図１９Ｃに示す画像ではさらに顧客の姿勢が認識できるので、商品を手に取ったり、試着を行ったが購入しなかった客の動作も判断できるようになり、価値の高いマーケティングデータとして利用することができる。
　図１９Ｂの画像、図１９Ｃの画像は共に個人特定ができないので、図１９Ａの画像と比較して低コストのセキュリティ対策のシステムで運用することができるというメリットがある。また、実施形態としてのセンサ装置１を搭載したカメラを用いているので、店内カメラにマルウェアをインストールされても平文データが存在しないので、ハッキングされるリスクが無いという効果がある。

＜３．変形例＞

　なお、実施形態としては、これまでに説明した具体例に限定されるものではなく、多様な変形例が考えられる。
　例えば、上記では特に言及しなかったが、アレイセンサ２として例えばベイヤー配列等によるカラーフィルタを有するものを用いるものとし、撮像画像としてカラー画像を得る場合にも本技術は好適に適用することができる。
　カラーフィルタを有するアレイセンサ２を用いた場合には、例えば縦×横＝複数画素×複数画素で成る所定複数の画素を一つのカラーユニットとして、カラーユニットごとに画素値を合成してＲＧＢ値等の色信号値を得ることが行われる。例えば、ベイヤー配列が採用される場合には、ＲＧＧＢによるカラーフィルタが形成された縦×横＝２×２＝４画素が一つのカラーユニットとされ、カラーユニットごとにＲＧＧＢの各画素値（輝度値）が合成されて１組のＲＧＢ値が得られる。
　カラーフィルタを有するアレイセンサ２を用いる場合には、画像暗号化のための暗号鍵として、上記のカラーユニット単位で乱数値を割り当てた暗号鍵を生成することもできる。

　図２０は、カラーユニット単位で乱数値を割り当てた暗号鍵の生成例についての説明図である。
　図２０Ａの例は、カラーユニット内における一つの画素の輝度値を、そのユニット内の各画素の乱数値として割り当てるものである。具体的に、図中の例では、カラーユニットごとに、左上の画素の輝度値をそのユニット内の各画素の乱数値として割り当てている。

　図２０Ｂの例は、カラーユニットごとに、ユニット内の画素の輝度値を用いた所定演算により算出される値を各画素の乱数値として割り当てるものである。具体例としては、カラーユニットごとに、ユニット内の各画素の輝度値の平均値をそのユニット内の各画素の乱数値として割り当てることが考えられる。すなわち、図中の最も左上に位置するカラーユニットで言えば、Ｖｍｉｘ１＝（Ｖ１＋Ｖ２＋Ｖ７＋Ｖ８）／４とするものである。
　このとき、ユニット内の全画素の輝度値を用いた演算とすることは必須ではなく、一部の画素の輝度値のみを用いた演算とすることもできる。例えば、Ｖｍｉｘ１＝（Ｖ１＋Ｖ７）／２とする等である。また、ユニットごとに平均化した値を用いることも必須ではない。例えば、Ｖｍｉｘ１＝Ｖ１＋Ｖ２＋Ｖ７＋Ｖ８等、ユニットごとに各画素の輝度値の合計値を割り当てるといったことが考えられる。

　上記のようにカラーユニット単位で乱数値を割り当てた暗号鍵を生成することで、画素ごとに乱数値を割り当てる場合よりも処理負担軽減を図ることができる。

　また、上記では、光電乱数を用いた暗号化について、暗号化の対象信号を画像信号とする例を挙げたが、暗号化の対象信号は画像信号に限定されない。

　また、上記では、アレイセンサ２の画素からの読み出し信号に対して暗号化を行う手法、及びターゲット領域を対象とした暗号化を行う手法に関して、暗号化に光電乱数を用いる例を挙げたが、これらの手法に関して、暗号化に用いる乱数は光電乱数に限定されない。例えば、疑似乱数を用いることもできる。或いは、真の乱数を用いるのであれば、例えば熱や音の変化など、予測や再現が実質的に不可能な自然現象を対応するセンサで検知して、その値を基に乱数を生成する手法を挙げることができる。

＜４．実施形態のまとめ＞

　上記のように実施形態の暗号化装置（センサ装置１）は、第一実施形態で説明したように、可視光又は非可視光の受光素子を有する画素が一次元又は二次元に複数配列されたアレイセンサ（同２）による光電変換に基づき得られる乱数である光電乱数に基づき、暗号鍵を生成する暗号鍵生成部（暗号化制御部８５）と、暗号鍵生成部が生成した暗号鍵に基づいて対象信号の暗号化を行う暗号化部（振幅制御回路１０又は１０Ａ）と、を備えている。

　これにより、疑似乱数を用いる場合よりも暗号鍵の解読が困難な暗号化を実現することが可能とされる。
　従って、セキュリティの向上を図ることができる。

　また、実施形態としての暗号化装置においては、暗号鍵生成部は、光電変換により得られる画素ごとの電気信号の値を光電乱数として取得して暗号鍵を生成している。

　これにより、解読が困難な暗号鍵を生成することが可能とされる。
　従って、セキュリティの向上を図ることができる。

　さらに、実施形態としての暗号化装置においては、暗号化部は、アレイセンサでの撮像により得られる画像信号に対し暗号鍵に基づく暗号化を行っている。

　これにより、アレイセンサの画素ごとに暗号化のための係数を割り当てた暗号鍵によって画像信号に対する暗号化を行うことが可能とされる。
　従って、画像信号の暗号化のために複雑な演算処理を行う必要がなく、暗号化処理の高速化を図ることができる。

　さらにまた、実施形態としての暗号化装置においては、暗号鍵生成部は、画素ごとの電気信号の値の少なくとも一部を、該電気信号の値が得られた画素位置とは異なる画素位置に割り当てた形式による暗号鍵を生成している。

　これにより、画素ごとの電気信号の値をそれら電気信号の値が得られた画素位置にそのまま割り当てた暗号鍵を用いる場合と比較して、暗号鍵の解読が困難とされる。
　従って、セキュリティの向上を図ることができる。

　また、実施形態としての暗号化装置においては、暗号鍵生成部は、暗号化部が暗号化の対象とする画像信号のフレーム期間とは異なるフレーム期間に得られた光電乱数に基づき暗号鍵を生成している。

　これにより、暗号化画像から暗号鍵が推定されることの困難性が高められる。
　従って、セキュリティの向上を図ることができる。

　さらに、実施形態としての暗号化装置においては、暗号鍵生成部は、少なくとも一部の画素において電気信号の値の均一性が認められた場合は、光電乱数を再取得している。

　これにより、ランダム性の低い乱数に基づく暗号鍵により暗号化が行われてしまうことの防止を図ることが可能とされる。
　従って、セキュリティの向上を図ることができる。

　さらにまた、実施形態としての暗号化装置においては、暗号鍵生成部及び暗号化部とアレイセンサとが１パッケージ内に構成されている。

　これにより、ハードウェア面での耐タンパー化を図ることが可能とされる。
　従って、セキュリティの向上を図ることができる。

　また、実施形態としての暗号化装置においては、暗号鍵生成部は、暗号化装置外部からの不正アクセスが検知されたことに応じて光電乱数を再取得している。

　これにより、外部からの不正アクセスが検知された以降は、再取得した光電乱数に基づく暗号化を行うことが可能とされる。
　従って、セキュリティの向上を図ることができる。

　さらに、実施形態としての暗号化装置においては、暗号鍵生成部は、光電乱数を再取得したことに応じて、過去に生成した暗号鍵をメモリ上から消去している。

　これにより、過去に暗号化に用いた暗号鍵の流出防止を図ることが可能とされる。
　従って、過去に暗号化した信号が不正に復号されてしまうことの防止を図ることができ、セキュリティの向上を図ることができる。

　さらにまた、実施形態としての暗号化装置においては、暗号鍵生成部は、暗号鍵の生成に応じて、光電乱数の元となった画像信号をメモリ上から消去している。

　これにより、光電乱数の元となった画像が流出して光電乱数が推定されてしまうことの防止を図ることが可能とされる。
　従って、セキュリティの向上を図ることができる。

　また、実施形態としての暗号化装置においては、暗号化部は、対象信号をストリーム暗号方式により暗号化している。

　これにより、対象信号に対する暗号化の前処理が不要とされる。
　従って、暗号化処理の高速化を図ることができる。

　また、実施形態の暗号化方法は、可視光又は非可視光の受光素子を有する画素が一次元又は二次元に複数配列されたアレイセンサによる光電変換に基づき得られる乱数である光電乱数に基づき、暗号鍵を生成し、生成した暗号鍵に基づいて対象信号の暗号化を行う暗号化方法である。
　このような暗号化方法によっても、上記した実施形態としての暗号化装置と同様の作用及び効果を得ることができる。

　また、実施形態のセンサ装置（同１）は、第一実施形態で説明したように、可視光又は非可視光の受光素子を有する画素が一次元又は二次元に複数配列されたアレイセンサ（同２）と、アレイセンサの画素からの読み出し信号に対して暗号化を行う暗号化部（振幅制御回路１０又は１０Ａ、暗号化制御部８５）と、を備えている。

　このように読み出し信号に対して暗号化を行うことで、メモリに平文による画像信号が保存されないようにすることが可能とされる。
　従って、セキュリティの向上を図ることができる。

　また、実施形態としてのセンサ装置においては、暗号化部は、アナログ信号による読み出し信号の振幅制御を行う第一振幅制御部（振幅制御回路１０）を有し、第一振幅制御部において暗号鍵に応じた振幅制御を実行することで、読み出し信号の暗号化を行っている。

　アナログ信号による読み出し信号をセンサ装置外部から取得することは非常に困難である。
　従って、セキュリティの向上を図ることができる。

　さらに、実施形態としてのセンサ装置においては、暗号化部は、Ａ／Ｄ変換器によりデジタル信号に変換された読み出し信号の振幅制御を行う第二振幅制御部（振幅制御回路１０Ａ）を有し、第二振幅制御部において暗号鍵に応じた振幅制御を実行することで、読み出し信号の暗号化を行っている。

　これにより、暗号化はデジタル信号に対する振幅制御として行われ、アナログ信号に対する振幅制御を行う場合よりも暗号化処理の正確性向上が図られる。
　従って、暗号化画像を復号した際の画像内容の再現性向上を図ることができる。

　さらにまた、実施形態としてのセンサ装置においては、アレイセンサと暗号化部とが１パッケージ内に構成されている。

　また、実施形態としてのセンサ装置においては、暗号化部は、アレイセンサによる光電変換に基づき得られる乱数である光電乱数に基づき暗号鍵を生成し、生成した暗号鍵に基づいて読み出し信号に対する暗号化を行っている。

　さらに、実施形態としてのセンサ装置においては、暗号化部は、暗号化の対象とする読み出し信号のフレーム期間とは異なるフレーム期間に得られた光電乱数に基づき暗号鍵を生成している。

　さらにまた、実施形態としてのセンサ装置においては、暗号化部は、センサ装置外部からの不正アクセスが検知されたことに応じて光電乱数を再取得している。

　また、実施形態としてのセンサ装置においては、暗号化部は、光電乱数を再取得したことに応じて、過去に生成した暗号鍵をメモリ上から消去している。

　これにより、過去に暗号化に用いた光電乱数の流出防止を図ることが可能とされる。
　従って、過去に暗号化した信号が不正に復号されてしまうことの防止を図ることができ、セキュリティの向上を図ることができる。

　さらに、実施形態としてのセンサ装置においては、暗号化部は、暗号鍵の生成に応じて、光電乱数の元となった画像信号をメモリ上から消去している。

　また、実施形態の別の暗号化方法は、可視光又は非可視光の受光素子を有する画素が一次元又は二次元に複数配列されたアレイセンサの前記画素からの読み出し信号に対して暗号化を行う暗号化方法である。
　このような暗号化方法によっても、上記した実施形態としてのセンサ装置と同様の作用及び効果を得ることができる。

　また、実施形態の別のセンサ装置（同１）は、第二実施形態で説明したように、可視光又は非可視光の受光素子を有する画素が１次元又は２次元に複数配列されたアレイセンサ（同２）と、アレイセンサでの撮像により得られる画像信号に基づき、画像内に映し出されるターゲットの領域をターゲット領域として検出する検出部（演算部８：特に物体領域認識部８２、クラス識別部８３）と、検出部が検出したターゲット領域の情報に基づき、画像信号におけるターゲット領域を対象とした暗号化を行う暗号化部（振幅制御回路１０又は１０Ａ、暗号化制御部８５）と、を備えている。

　これにより、アレイセンサでの撮像により得られる画像信号について、少なくとも個人が特定されない程度の暗号化をイメージセンサ内で行うことが可能とされる。
　従って、画像の受け手側において個人情報の流出対策を講じる必要がなくなり、コスト削減を図ることができる。
　また、画像の受け手側における復号鍵の保有状況に応じて、個人情報を秘匿しつつ画像の一部内容を視認させることが可能となる。すなわち、情報の過度な秘匿の防止が図られた画像暗号化を実現することができる。
　例えば、どの店舗での撮影画像であるか等、撮影場所の把握すら困難な過度な情報秘匿が行われてしまうことの防止を図ることができ、個人情報の秘匿と画像の有用性が過度に毀損されてしまうことの防止との両立を図ることができる。

　また、実施形態としてのセンサ装置においては、暗号化部は、画像信号の暗号化として、画像全体を第一暗号鍵に基づき暗号化し、ターゲット領域を第一暗号鍵と第一暗号鍵とは異なる第二暗号鍵とに基づき暗号化している。

　これにより、画像の受け手側が保有する復号鍵の別によって画像内の復号できる部分が区別される。具体的に、第一暗号鍵に対応した復号鍵のみを保有している場合には、画像内におけるターゲット領域以外の領域のみを復号可能となり、第一暗号鍵及び第二暗号鍵に対応した復号鍵を保有している場合にはターゲット領域を含む画像全体を復号可能となる。
　従って、画像の受け手側に保有させる復号鍵の別によって情報の秘匿レベルを段階的に変化させることのできる有用な暗号化手法を実現することができる。

　さらに、実施形態としてのセンサ装置においては、検出部は、ターゲットの特定部位を認識する処理を行い、暗号化部は、ターゲット領域における特定部位の領域とそれ以外の領域とで異なる暗号鍵に基づく暗号化を行っている。

　これにより、画像の受け手側が保有する復号鍵の別によってターゲットの秘匿レベルを変化させることが可能とされる。例えば、ターゲットが人物である場合において、全身の秘匿、顔のみの秘匿といった秘匿レベルの区分を行うことが可能とされる。
　従って、画像の利用態様に応じた適切な秘匿レベルによる暗号化画像を提供することができる。

　さらにまた、実施形態としてのセンサ装置においては、前記ターゲットの属性又は動作についての分析を行う分析部（演算部８）と、分析部による分析の結果を表す情報を出力する出力部（インターフェース部７）とを備えている。

　これにより、画像の受け手側が復号鍵を保有していない場合であっても、ターゲットの属性や動作についての分析結果を提供することができる。

　また、実施形態としてのセンサ装置においては、検出部は、第一暗号鍵に基づき暗号化された画像信号をオンザフライ方式で復号化してターゲットの検出を行っている。

　これにより、平文状態の画像信号が流出する可能性を低減することが可能とされる。
　従って、セキュリティの向上を図ることができる。

　さらに、実施形態としてのセンサ装置においては、暗号化部は、複数の暗号鍵を合成した合成鍵に基づき画像信号の暗号化を行っている。

　これにより、個人情報の秘匿レベルを段階的に変化させる暗号化の実現にあたり、必要な暗号化処理の実行回数の削減が図られる。
　従って、暗号化に係る処理負担軽減を図ることができる。

　さらにまた、実施形態としてのセンサ装置においては、暗号化部は、ターゲットを追尾しつつターゲット領域を対象とした暗号化を行っている。

　これにより、暗号化対象の画像が動画像である場合において、動きのあるターゲットを適切に秘匿することができる。

　また、実施形態としてのセンサ装置においては、暗号化部は、ストリーム暗号方式により画像信号の暗号化を行っている。

　これにより、画像信号に対する暗号化の前処理が不要とされる。
　従って、暗号化処理の高速化を図ることができる。

　さらに、実施形態としてのセンサ装置においては、アレイセンサと検出部と暗号化部とが１パッケージ内に構成されている。

　さらにまた、実施形態としてのセンサ装置においては、暗号化部は、アレイセンサによる光電変換に基づき得られる乱数である光電乱数に基づき暗号鍵を生成し、生成した暗号鍵に基づいて画像信号に対する暗号化を行っている。

　また、実施形態としてのセンサ装置においては、暗号化部は、アレイセンサの画素からの読み出し信号に対して暗号化を行っている。

　これにより、暗号化にあたりメモリに平文による画像信号が保存されないようにすることが可能とされる。
　従って、セキュリティの向上を図ることができる。

　また、実施形態のさらに別の暗号化方法は、可視光又は非可視光の受光素子を有する画素が１次元又は２次元に複数配列されたアレイセンサでの撮像により得られる画像信号に基づき、画像内に映し出されるターゲットの領域をターゲット領域として検出し、検出したターゲット領域の情報に基づき、画像信号におけるターゲット領域を対象とした暗号化を行う暗号化方法である。
　このような暗号化方法によっても、上記した実施形態の別のセンサ装置と同様の作用及び効果を得ることができる。

　なお、本明細書に記載された効果はあくまでも例示であって限定されるものではなく、また他の効果があってもよい。

＜５．本技術＞

　本技術は以下のような構成も採ることができる。
（１）
　可視光又は非可視光の受光素子を有する画素が一次元又は二次元に複数配列されたアレイセンサと、
　前記アレイセンサの前記画素からの読み出し信号に対して暗号化を行う暗号化部と、を備える
　センサ装置。
（２）
　前記暗号化部は、
　アナログ信号による前記読み出し信号の振幅制御を行う第一振幅制御部を有し、前記第一振幅制御部において暗号鍵に応じた振幅制御を実行することで、前記読み出し信号の暗号化を行う
　前記（１）に記載のセンサ装置。
（３）
　前記暗号化部は、
　Ａ／Ｄ変換器によりデジタル信号に変換された前記読み出し信号の振幅制御を行う第二振幅制御部を有し、前記第二振幅制御部において暗号鍵に応じた振幅制御を実行することで、前記読み出し信号の暗号化を行う
　前記（１）に記載のセンサ装置。
（４）
　前記アレイセンサと前記暗号化部とが１パッケージ内に構成された
　前記（１）から（３）の何れかに記載のセンサ装置。
（５）
　前記暗号化部は、
　前記アレイセンサによる光電変換に基づき得られる乱数である光電乱数に基づき暗号鍵を生成し、生成した前記暗号鍵に基づいて前記読み出し信号に対する暗号化を行う
　前記（１）から（４）の何れかに記載のセンサ装置。
（６）
　前記暗号化部は、
　暗号化の対象とする前記読み出し信号のフレーム期間とは異なるフレーム期間に得られた前記光電乱数に基づき前記暗号鍵を生成する
　前記（５）に記載のセンサ装置。
（７）
　前記暗号化部は、
　センサ装置外部からの不正アクセスが検知されたことに応じて前記光電乱数を再取得する
　前記（５）又は（６）に記載のセンサ装置。
（８）
　前記暗号化部は、
　前記光電乱数を再取得したことに応じて、過去に生成した前記暗号鍵をメモリ上から消去する
　前記（７）に記載のセンサ装置。
（９）
　前記暗号化部は、
　前記暗号鍵の生成に応じて、前記光電乱数の元となった画像信号をメモリ上から消去する
　前記（５）から（８）の何れかに記載のセンサ装置。

　１　センサ装置、２　アレイセンサ、３　ＡＤＣ／ピクセルセレクタ、４　バッファ、５　ロジック部、６　メモリ、７　インターフェース部、８　演算部、１０、１０Ａ　振幅制御回路、２０　バウンディングボックス、２１　ＲＯＩ、８２　物体領域認識部、８３　クラス識別部、８５　暗号化制御部、８６　不正アクセス検知部、１００　カメラ装置

Claims

　可視光又は非可視光の受光素子を有する画素が一次元又は二次元に複数配列されたアレイセンサと、
　前記アレイセンサの前記画素からの読み出し信号に対して暗号化を行う暗号化部と、を備える
　センサ装置。
　前記暗号化部は、
　アナログ信号による前記読み出し信号の振幅制御を行う第一振幅制御部を有し、前記第一振幅制御部において暗号鍵に応じた振幅制御を実行することで、前記読み出し信号の暗号化を行う
　請求項１に記載のセンサ装置。
　前記暗号化部は、
　Ａ／Ｄ変換器によりデジタル信号に変換された前記読み出し信号の振幅制御を行う第二振幅制御部を有し、前記第二振幅制御部において暗号鍵に応じた振幅制御を実行することで、前記読み出し信号の暗号化を行う
　請求項１に記載のセンサ装置。
　前記アレイセンサと前記暗号化部とが１パッケージ内に構成された
　請求項１に記載のセンサ装置。
　前記暗号化部は、
　前記アレイセンサによる光電変換に基づき得られる乱数である光電乱数に基づき暗号鍵を生成し、生成した前記暗号鍵に基づいて前記読み出し信号に対する暗号化を行う
　請求項１に記載のセンサ装置。
　前記暗号化部は、
　暗号化の対象とする前記読み出し信号のフレーム期間とは異なるフレーム期間に得られた前記光電乱数に基づき前記暗号鍵を生成する
　請求項５に記載のセンサ装置。
　前記暗号化部は、
　センサ装置外部からの不正アクセスが検知されたことに応じて前記光電乱数を再取得する
　請求項５に記載のセンサ装置。
　前記暗号化部は、
　前記光電乱数を再取得したことに応じて、過去に生成した前記暗号鍵をメモリ上から消去する
　請求項７に記載のセンサ装置。
　前記暗号化部は、
　前記暗号鍵の生成に応じて、前記光電乱数の元となった画像信号をメモリ上から消去する
　請求項５に記載のセンサ装置。
　可視光又は非可視光の受光素子を有する画素が一次元又は二次元に複数配列されたアレイセンサの前記画素からの読み出し信号に対して暗号化を行う
　暗号化方法。