WO2020208745A1

WO2020208745A1 - 認証システム、認証端末、ユーザ端末、認証方法、及びプログラム

Info

Publication number: WO2020208745A1
Application number: PCT/JP2019/015637
Authority: WO
Inventors: 永男蔡
Original assignee: 楽天株式会社
Priority date: 2019-04-10
Filing date: 2019-04-10
Publication date: 2020-10-15
Also published as: TWI745891B; EP3787225A1; JP6757482B1; TW202040454A; US20220027443A1; EP3787225A4; JPWO2020208745A1

Abstract

認証システム（Ｓ）の認証手段（１０２）は、認証端末（３０）を利用して取得された認証情報と、認証端末（３０）の付近にいるユーザの識別情報に関連付けられて記憶手段（１００）に登録された認証情報と、に基づいて、認証を行う。可能性判定手段（１０３）は、認証端末（３０）の付近に複数のユーザがいる場合に、一のユーザが他のユーザとして認証される可能性があるか否かを判定する。制限手段（１０４）は、可能性があると判定された場合に、認証の成功を制限する。

Description

認証システム、認証端末、ユーザ端末、認証方法、及びプログラム

　本発明は、認証システム、認証端末、ユーザ端末、認証方法、及びプログラムに関する。

　従来、認証端末に近づいたユーザの認証を行う技術が知られている。例えば、特許文献１には、ユーザがプリンタに近づいた場合に、ユーザ端末とプリンタとの間で無線認証を行い、無線認証が成功した場合に、生体認証を実行してプリンタの使用を許可する技術が記載されている。また例えば、特許文献２には、自動販売機の周囲に複数の携帯端末が存在する場合に、ユーザが自動販売機に対して認証情報を入力すると、自動販売機から各携帯端末に対し、当該認証情報が送信され、携帯端末内で認証が実行される技術が記載されている。

特開２０１９－００８４８７号公報特許第６４６７５５９号公報

　しかしながら、特許文献１の技術では、例えば、あるユーザＡがプリンタを使用する場合に、顔などの生体認証情報が似たユーザＢがプリンタの近くにいた場合には、無線認証も生体認証も成功する可能性がある。例えば、ユーザＢの気付かないところでユーザＢの無線認証が成功していた場合に、ユーザＢの生体認証情報が認証時の比較対象となり、ユーザＡは、ユーザＢになりすましてプリンタを使用する可能性がある。

　この点は、特許文献２も同じであり、あるユーザＸが自動販売機で商品を購入する場合に、その付近に、顔などの生体認証情報が似たユーザＹがいたとすると、ユーザＸの顔写真を撮影したとしても、ユーザＹの端末内で顔認証が成功する可能性がある。即ち、ユーザＹの気付かないところでユーザＹの端末と自動販売機が通信し、ユーザＹの端末内で顔認証が成功してしまい、ユーザＸは、ユーザＹになりすましてユーザＹのカード番号で商品を購入できてしまう可能性がある。

　本発明は上記課題に鑑みてなされたものであって、その目的は、なりすましを防止してセキュリティを高めることが可能な認証システム、認証端末、ユーザ端末、認証方法、及びプログラムを提供することである。

　上記課題を解決するために、本発明に係る認証システムは、認証端末を利用して取得された認証情報と、前記認証端末の付近にいるユーザの識別情報に関連付けられて記憶手段に登録された認証情報と、に基づいて、認証を行う認証手段と、前記認証端末の付近に複数のユーザがいる場合に、一のユーザが他のユーザとして認証される可能性があるか否かを判定する可能性判定手段と、前記可能性があると判定された場合に、前記認証の成功を制限する制限手段と、含むことを特徴とする。

　本発明に係る認証端末は、上記又は下記に記載の認証端末であって、前記認証端末の付近にいるユーザの認証情報を取得する認証情報取得手段と、当該取得された認証情報を送信する送信手段と、を含むことを特徴とする。

　本発明に係るユーザ端末は、上記又は下記に記載の認証端末の位置に関する認証端末位置情報を取得する第１取得手段と、自身の位置に関するユーザ端末位置情報を取得する第２取得手段と、前記認証端末位置情報と前記ユーザ端末位置情報とに基づいて、前記認証端末に近づいたか否かを判定する接近判定手段と、前記認証端末に近づいたと判定された場合に、前記識別情報を送信する送信手段と、を含むことを特徴とする。

　本発明に係る認証方法は、認証端末を利用して取得された認証情報と、前記認証端末の付近にいるユーザの識別情報に関連付けられて記憶手段に登録された認証情報と、に基づいて、認証を行う認証ステップと、前記認証端末の付近に複数のユーザがいる場合に、一のユーザが他のユーザとして認証される可能性があるか否かを判定する可能性判定ステップと、前記可能性があると判定された場合に、前記認証の成功を制限する制限ステップと、を含むことを特徴とする。

　本発明に係るプログラムは、上記又は下記に記載の認証端末を、前記認証端末の付近にいるユーザの認証情報を取得する認証情報取得手段、当該取得された認証情報を送信する送信手段、として機能させる。

　本発明に係るプログラムは、上記又は下記に記載の認証端末の位置に関する認証端末位置情報を取得する第１取得手段、自身の位置に関するユーザ端末位置情報を取得する第２取得手段、前記認証端末位置情報と前記ユーザ端末位置情報とに基づいて、前記認証端末に近づいたか否かを判定する接近判定手段、前記認証端末に近づいたと判定された場合に、前記識別情報を送信する送信手段、としてコンピュータを機能させるためのプログラム。

　本発明の一態様によれば、前記制限手段は、前記可能性があると判定されて前記認証の成功が制限された後に、前記可能性があると判定されなくなった場合に、前記認証の成功を許可する、ことを特徴とする。

　本発明の一態様によれば、前記認証手段は、前記取得された認証情報と前記登録された認証情報とが一致又は類似するか否かを判定することによって、前記認証を行い、前記可能性判定手段は、前記取得された認証情報と一致又は類似する前記登録された認証情報が複数存在する場合に、前記可能性があると判定する、ことを特徴とする。

　本発明の一態様によれば、前記認証システムは、前記可能性があると判定された場合に、前記複数のユーザのうちの少なくとも１人に対し、所定の通知を行う通知手段、を更に含むことを特徴とする。

　本発明の一態様によれば、前記認証システムは、前記認証端末に近づいたユーザ端末から前記識別情報を取得する識別情報取得手段を更に含み、前記認証手段は、前記ユーザ端末から取得された識別情報に基づいて前記登録された認証情報を取得し、前記認証を行う、ことを特徴とする。

　本発明の一態様によれば、前記認証システムは、前記認証端末に近づいたユーザ端末が前記認証端末から離れた場合に、前記登録された認証情報が前記認証で使用されないように除外する除外手段、を更に含むことを特徴とする。

　本発明の一態様によれば、前記認証システムは、前記ユーザ端末を含み、前記ユーザ端末は、前記認証端末の位置に関する認証端末位置情報を取得する第１取得手段と、前記ユーザ端末の位置に関するユーザ端末位置情報を取得する第２取得手段と、前記認証端末位置情報と前記ユーザ端末位置情報とに基づいて、前記認証端末に近づいたか否かを判定する接近判定手段と、前記認証端末に近づいたと判定された場合に、前記識別情報を送信する識別情報送信手段と、を含むことを特徴とする。

　本発明の一態様によれば、前記ユーザ端末は、前記認証端末位置情報と前記ユーザ端末位置情報とに基づいて、前記認証端末から離れたか否かを判定する離脱判定手段と、前記認証端末から離れたと判定された場合に、所定の通知を送信する通知送信手段と、を更に含み、前記認証システムは、前記所定の通知を受信した場合に、前記登録された認証情報が前記認証で使用されないように除外する除外手段、を更に含むことを特徴とする。

　本発明の一態様によれば、前記認証システムは、前記認証端末とユーザ端末との間で行われた近距離無線通信の通信内容に基づいて、前記認証端末の付近にユーザがいるか否かを判定する通信内容判定手段を更に含み、前記可能性判定手段は、前記近距離無線通信の通信内容に基づいて前記認証端末の付近に複数のユーザがいると判定された場合に、前記可能性があるか否かを判定する、ことを特徴とする。

　本発明の一態様によれば、前記近距離無線通信では、前記認証端末と前記ユーザ端末との距離を計測可能であり、前記通信内容判定手段は、前記近距離無線通信により計測された距離に基づいて、前記認証端末の付近にユーザがいるか否かを判定する、ことを特徴とする。

　本発明の一態様によれば、前記可能性判定手段は、前記認証端末の付近にいる前記複数のユーザの各々の前記登録された認証情報を互いに比較することによって、前記可能性があるか否かを判定する、ことを特徴とする。

　本発明の一態様によれば、前記可能性判定手段は、前記認証端末を利用して取得された、前記認証端末の付近にいる前記複数のユーザの各々の認証情報を互いに比較することによって、前記可能性があるか否かを判定する、ことを特徴とする。

　本発明の一態様によれば、前記認証手段は、前記認証端末を利用して取得された生体認証情報と、前記登録された生体認証情報と、に基づいて、前記認証を行う、ことを特徴とする。

　本発明の一態様によれば、前記制限手段は、前記判定手段により前記可能性があると判定された場合に、前記認証の成功を制限することによって、前記認証端末を利用したサービスの提供を制限する、ことを特徴とする。

　本発明によれば、なりすましを防止してセキュリティを高めることが可能となる。

実施形態１に係る認証システムの全体構成を示す図である。認証システムが利用される場面の一例を示す図である。ユーザが認証端末に近づく様子を示す図である。認証端末による認証が成功する様子を示す図である。互いに顔が似た複数のユーザが認証可能領域の中にいる場合を示す図である。互いに顔が似ていない複数のユーザが認証可能領域の中にいる場合を示す図である。実施形態１において実現される機能の一例を示す機能ブロック図である。ユーザデータベースのデータ格納例を示す図である。認証端末リストのデータ格納例を示す図である。接近ユーザリストのデータ格納例を示す図である。通信相手リストのデータ格納例を示す図である。実施形態１において実行される処理を示すフロー図である。実施形態１において実行される処理を示すフロー図である。実施形態２の機能ブロック図である。実施形態２において実行される処理を示すフロー図である。第２無線通信部がＷｉ－Ｆｉである場合のフロー図である。第２無線通信部がＷｉ－Ｆｉである場合のフロー図である。

［１．実施形態１］
　以下、本発明に係る認証システムの第１の実施形態（以降、実施形態１）の例を説明する。

［１－１．認証システムの全体構成］
　図１は、実施形態１に係る認証システムの全体構成を示す図である。図１に示すように、認証システムＳは、サーバ１０、ユーザ端末２０、及び認証端末３０を含み、これらは、インターネットなどのネットワークＮに接続可能である。

　なお、図１では、図面の簡略化のために、サーバ１０、ユーザ端末２０、及び認証端末３０の各々を１台ずつ示しているが、これらは複数台あってもよい。本実施形態では、複数のユーザの各々がユーザ端末２０を使用し、複数のユーザ端末２０が存在する。また、複数の場所の各々に認証端末３０が配置され、複数の認証端末３０が存在する。

　サーバ１０は、サーバコンピュータである。サーバ１０は、制御部１１、記憶部１２、及び通信部１３を含む。制御部１１は、少なくとも１つのプロセッサを含む。制御部１１は、記憶部１２に記憶されたプログラムやデータに従って処理を実行する。記憶部１２は、主記憶部及び補助記憶部を含む。例えば、主記憶部はＲＡＭなどの揮発性メモリであり、補助記憶部は、ＲＯＭ、ＥＥＰＲＯＭ、フラッシュメモリ、又はハードディスクなどの不揮発性メモリである。通信部１３は、有線通信又は無線通信用の通信インタフェースであり、ネットワークＮを介してデータ通信を行う。

　ユーザ端末２０は、ユーザが操作するコンピュータである。ユーザ端末２０は、可搬型の端末であり、例えば、携帯電話機（スマートフォンを含む）、携帯情報端末（タブレット型コンピュータ及びウェアラブル端末を含む）、又は、パーソナルコンピュータ等である。本実施形態では、ユーザ端末２０は、制御部２１、記憶部２２、通信部２３、操作部２４、表示部２５、及びＧＰＳ受信部２６を含む。制御部２１、記憶部２２、及び通信部２３の物理的構成は、それぞれ制御部１１、記憶部１２、及び通信部１３と同様であってよい。

　本実施形態では、通信部２３は、複数の通信インタフェースを含み、例えば、第１無線通信部２３Ａ及び第２無線通信部２３Ｂを含む。第１無線通信部２３Ａ及び第２無線通信部２３Ｂの各々は、互いに異なる通信規格の通信インタフェースである。通信規格自体は、任意の通信規格であってよく、例えば、携帯電話用の通信規格、Ｂｌｕｅｔｏｏｔｈ（登録商標）、Ｗｉ－Ｆｉ（いわゆる無線ＬＡＮの一例）、Ｗｉ－Ｆｉダイレクト（登録商標）、又は赤外線通信などを利用可能である。

　本実施形態では、第１無線通信部２３Ａが携帯電話用の通信規格又はＷｉ－Ｆｉであり、第２無線通信部２３ＢがＢｌｕｅｔｏｏｔｈ（登録商標）である場合を例に挙げる。なお、Ｂｌｕｅｔｏｏｔｈ（登録商標）には、ＢＬＥ等の拡張仕様が含まれるものとする。また、通信部２３に含まれる通信インタフェースの数は、２つに限られず、１つだけであってもよいし、３つ以上であってもよい。

　操作部２４は、入力デバイスであり、例えば、タッチパネルやマウス等のポインティングデバイス、キーボード、又はボタン等である。操作部２４は、操作内容を制御部２１に伝達する。表示部２５は、例えば、液晶表示部又は有機ＥＬ表示部等である。表示部２５は、制御部２１の指示に従って画像を表示する。

　ＧＰＳ受信部２６は、衛星からの信号を受信する受信部の一例である。
なお、ＧＰＳ以外のＧＮＳＳ（例えば、ＧＬＯＮＡＳＳ、Ｇａｌｉｌｅｏ、又はＱＺＳＳ）を利用してもよく、受信部は、利用するＧＮＳＳに応じた受信機を含むようにすればよい。例えば、ＧＰＳ受信部２６は、信号を受信するアンテナを含み、受信した信号に基づいて位置情報や時刻情報などを検出する。

　認証端末３０は、認証に使用されるコンピュータである。例えば、認証端末３０は、携帯電話機、携帯情報端末、又は、パーソナルコンピュータ等である。認証端末３０は、可搬型の端末であってもよいし、据置型の端末であってもよい。本実施形態では、認証端末３０は、制御部３１、記憶部３２、通信部３３、操作部３４、表示部３５、及び撮影部３６を含む。制御部３１、記憶部３２、通信部３３、操作部３４、及び表示部３５の物理的構成は、それぞれ制御部２１、記憶部２２、通信部２３、操作部２４、及び表示部２５と同様であってよい。

　本実施形態では、通信部３３は、第１無線通信部２３Ａと同じ通信規格の第１無線通信部３３Ａと、第２無線通信部２３Ｂと同じ通信規格の第２無線通信部３３Ｂと、を含む場合を説明する。なお、第１無線通信部３３Ａは、第１無線通信部２３Ａと異なる通信規格であってもよく、第２無線通信部３３Ｂは、第２無線通信部２３Ｂと異なる通信規格であってもよい。また、通信部３３に含まれる通信インタフェースの数と、通信部２３に含まれる通信インタフェースの数と、は同じであってもよいし異なっていてもよい。

　撮影部３６は、少なくとも１台のカメラを含む。例えば、撮影部３６は、ＣＣＤイメージセンサやＣＭＯＳイメージセンサなどの撮像素子を含み、当該撮像素子が撮影した画像をデジタルデータとして記録する。画像は、静止画であってもよいし、所定のフレームレートで連続的に撮影された動画であってもよい。

　なお、記憶部１２，２２，３２に記憶されるものとして説明するプログラム及びデータは、ネットワークＮを介して供給されるようにしてもよい。また、上記説明した各コンピュータのハードウェア構成は、上記の例に限られず、種々のハードウェアを適用可能である。例えば、コンピュータ読み取り可能な情報記憶媒体を読み取る読取部（例えば、光ディスクドライブやメモリカードスロット）や外部機器とデータの入出力をするための入出力部（例えば、ＵＳＢポート）が含まれていてもよい。例えば、情報記憶媒体に記憶されたプログラムやデータが読取部や入出力部を介して、各コンピュータに供給されるようにしてもよい。

［１－２．認証システムの概要］
　認証システムＳは、任意の場面においてユーザの正当性を確認するために、認証を実行する。認証は、ユーザが所定の資格を有するか否かを確認する行為であり、相手認証又は本人認証と呼ばれることもある。認証システムＳは、種々のタイプの認証を実行可能であり、例えば、生体認証、パスコード認証、パスワード認証、電子スタンプ認証、又は合言葉認証を実行可能である。

　生体認証は、人間の身体的特徴又は行動的特徴を利用する認証方法である。例えば、身体的特徴を利用する生体認証には、顔認証、指紋認証、ＤＮＡ認証、掌形認証、網膜認証、虹彩認証、静脈認証、又は音声認証がある。また例えば、行動的特徴を利用する生体認証には、筆跡認証、キーストローク認証、リップムーブメント認証、まばたき認証、又は歩行認証がある。

　本実施形態では、ユーザがセキュリティゲートを通過する場面を例に挙げて、認証システムＳの処理を説明する。なお、認証システムＳは、後述する変形例のように、種々の場面に適用可能であり、認証システムＳが適用される場面は、本実施形態の例に限られない。

　図２は、認証システムＳが利用される場面の一例を示す図である。図２に示すように、セキュリティゲートＳＧは、回転式のドアを含み、認証端末３０が接続されている。セキュリティゲートＳＧのドアは、ロック機構によりロックされており、ユーザの認証が成功すると、ロックが解除される。ロックが解除されると、ユーザはドアを押して通過することができる。ドアは、所定角度だけ回転すると再びロックされる。なお、ドアは、開閉式であってもよいし、電子錠によって開閉が制御されてもよい。

　例えば、セキュリティゲートＳＧは、勤務先の会社や公共施設などの任意の施設に配置され、入場する資格を有する者だけが通過することができる。本実施形態では、複数の施設の各々にセキュリティゲートＳＧが配置されている。このため、認証システムＳは、複数の認証端末３０を含み、施設ごとに、セキュリティゲートＳＧ及び認証端末３０が配置されている。

　一般的には、カードキーを利用したセキュリティゲートが主流であるが、このようなセキュリティゲートでは、ユーザは、カードキーを取り出してカードリーダにかざす必要があるので手間がかかる。また、ユーザがカードキーを紛失すると、カードキーを取得した第三者が、ユーザになりすましてセキュリティゲートを通過する可能性もある。

　この点、顔認証などの生体認証を利用すれば、カードキーのように取り出す手間を省くことができ、紛失する心配もない。しかしながら、生体認証は、顔などの完全一致までは要求されず、類似性によって成否が決まるので、例えば、ユーザと顔が似ている他人が、ユーザになりすましてセキュリティゲートを通過する可能性がある。

　そこで、本実施形態の認証システムＳは、ユーザが認証端末３０に近づくこと、及び、認証端末３０を利用した生体認証が成功すること、の２つを条件として、セキュリティゲートＳＧのロックを解除する。悪意のある第三者は、顔の似た他人になりすまそうとしても、他人のユーザ端末２０を持っていないので、他人になりすましてセキュリティゲートＳＧを通過することができない。

　図３は、ユーザが認証端末３０に近づく様子を示す図である。なお、図３では、サーバ１０についても図示しているが、実際には、サーバ１０は、ユーザ及び認証端末３０から離れた場所に配置されている。図３に示すように、認証端末３０の周囲には、通信可能領域Ａ１及び認証可能領域Ａ２が設定されている。なお、通信可能領域Ａ１及び認証可能領域Ａ２の各々を円形で示すが、これらは、任意の形状及びサイズであってよく、例えば、半円、楕円、又は多角形などであってもよい。

　通信可能領域Ａ１は、認証端末３０の第２無線通信部３３Ｂの通信範囲を示す領域である。通信可能領域Ａ１は、利用する通信規格や通信環境に応じて異なり、例えば、３メートルから５メートル程度である。ユーザ端末２０が通信可能領域Ａ１内に移動すると、ユーザ端末２０と認証端末３０との間で直接的な通信が可能となる。ただし、本実施形態では、ペアリングまでは実行されず、ペアリングの前段階の通信だけが行われるものとする。

　認証可能領域Ａ２は、認証が許可される領域である。認証可能領域Ａ２は、通信可能領域Ａ１よりも小さい。別の言い方をすれば、認証可能領域Ａ２は、通信可能領域Ａ１に含まれており、認証可能領域Ａ２の端部は、通信可能領域Ａ１の端部よりも認証端末３０に近い。例えば、認証可能領域Ａ２は、１メートル程度である。

　本実施形態では、ユーザ端末２０は、認証端末３０の緯度経度情報又は座標情報を記憶している。このため、ユーザ端末２０は、ＧＰＳ受信部２６が検出した現在位置に基づいて、通信可能領域Ａ１の中にユーザが移動したことを検出できる。

　例えば、ユーザが、ポケット又は鞄にユーザ端末２０を入れたまま、認証端末３０に近づいたとする。図３に示すように、ユーザ端末２０は、通信可能領域Ａ１の中にユーザが入ったことを検出すると、第１無線通信部２３Ａを利用して、サーバ１０に対し、ユーザが認証端末３０に近づいたことを示す通知を送信する。

　図３に示すように、上記の通知には、ユーザが近づいた認証端末３０を識別する認証端末ＩＤ、ユーザを識別するユーザＩＤ、及び第２無線通信部２３Ｂを識別する無線通信ＩＤが含まれる。サーバ１０は、これらの情報を受信することにより、ユーザが通信可能領域Ａ１内に入ったことを検出する。

　また、ユーザが通信可能領域Ａ１の中に入ると、ユーザ端末２０の第２無線通信部２３Ｂと、認証端末３０の第２無線通信部３３Ｂと、の間で、直接的な通信が可能な状態になる。ただし、この時点でペアリングをしようとすると、ユーザがポケット又は鞄からユーザ端末２０を取り出して、ペアリングのための操作をする必要があるので、本実施形態では、ユーザの手間を省くために、ペアリングは行わないものとする。

　ユーザが認証端末３０に更に近づいて認証可能領域Ａ２の中に入ると、認証を開始できるようになる。本実施形態では、認証端末３０の表示部３５には、認証を開始するためのボタンＢ３５が表示されており、ユーザは、撮影部３６に自分の顔を撮影させて認証を開始するために、ボタンＢ３５をタッチする。

　ユーザがボタンＢ３５を選択すると、認証端末３０は、撮影部３６を利用してユーザの顔を撮影する。更に、認証端末３０は、第２無線通信部３３Ｂを利用して、ユーザ端末２０に対し、第２無線通信部２３Ｂの無線通信ＩＤを要求する。この要求は、ペアリングの前段階の通信により送信され、例えば、アドバタイジングパケット等を利用して送信される。

　ユーザ端末２０は、要求を受信すると、認証端末３０に対し、第２無線通信部２３Ｂの無線通信ＩＤを送信する。アドバタイジングパケット等を利用して送信可能な情報は、予め定められており、ここでは、無線通信ＩＤが送信されるように設定されている。このため、本実施形態では、認証端末３０は、ユーザ端末２０からユーザＩＤは受信することができない。

　認証端末３０は、ユーザ端末２０から無線通信ＩＤを受信すると、サーバ１０に対し、自身の認証端末ＩＤ、当該受信された無線通信ＩＤ、及び、撮影部３６により撮影された画像を送信する。なお、詳細は後述するが、認証端末３０は、認証可能領域Ａ２の中にいるユーザを特定するために、第２無線通信部３３Ｂが検出した信号の強度（ＲＳＳＩ：Received Signal Strength Indication）をスキャンしてユーザ端末２０との距離を計測し、所定距離以内にいるユーザ端末２０から受信した無線通信ＩＤだけをフィルタリングする。

　サーバ１０は、認証端末３０から認証端末ＩＤ及び無線通信ＩＤを受信すると、ユーザ端末２０から予め受信していたユーザＩＤ、認証端末ＩＤ、及び無線通信ＩＤを参照し、認証可能領域Ａ２の中にいるユーザのユーザＩＤを特定する。先述したように、認証端末３０は、ユーザ端末２０からユーザＩＤを受信することができないので、サーバ１０は、認証可能領域Ａ２の中にいるユーザのユーザＩＤを特定するために、認証端末３０から受信した認証端末ＩＤ及び無線通信ＩＤに関連付けられたユーザＩＤを参照することになる。

　サーバ１０は、認証可能領域Ａ２の中にいるユーザのユーザＩＤを特定すると、認証端末３０から受信した画像が示す顔の特徴量と、当該特定されたユーザＩＤに関連付けられて予め登録された顔の特徴量と、に基づいて、認証を行う。認証が成功すると、セキュリティゲートＳＧのロックが解除される。

　図４は、認証端末３０による認証が成功する様子を示す図である。図４に示すように、認証が成功すると、認証端末３０の表示部３５には、認証が成功したユーザの名前などの情報が表示され、セキュリティゲートＳＧの通行が許可されたことが通知される。その後、ユーザは、セキュリティゲートＳＧを通過する。

　以上のように、本実施形態では、ユーザが認証端末３０に近づくこと、及び、認証端末３０を利用した生体認証が成功すること、の２つを条件として、認証が成功するようになっている。しかしながら、このようにしたとしても、認証端末３０の付近に、互いに顔が似た複数のユーザがいた場合には、なりすましを防止できないことがある。

　例えば、ユーザＡがボタンＢ３５をタッチしたときに、認証可能領域Ａ２の中に、ユーザＡと顔が似たユーザＢがいたとする。この場合、認証システムＳでは、ユーザＡ及びユーザＢの各々が認証可能領域Ａ２の中にいることが検出されているので、ユーザＢの気付かないところで、ユーザＡがユーザＢとして認証される可能性がある。このため、ユーザＡがユーザＢになりすましてセキュリティゲートＳＧを通過する可能性がある。

　そこで、本実施形態の認証システムＳでは、互いに顔が似た複数のユーザがセキュリティゲートＳＧの付近にいる場合には、認証の成功を制限し、なりすましを防止してセキュリティを高めるようにしている。

　図５は、互いに顔が似た複数のユーザが認証可能領域Ａ２の中にいる場合を示す図である。この場合、一方のユーザが他方のユーザとして認証されてしまう可能性があるので、図５に示すように、認証システムＳは、認証を成功させず、セキュリティゲートＳＧをロックさせたままとなる。この場合、認証端末３０の表示部３５には、認証が成功しないことを示すメッセージが表示される。

　図５に示すメッセージが表示部３５に表示されると、例えば、何れかのユーザは、近くにいる他のユーザに対し、セキュリティゲートＳＧから離れることを促す。他のユーザがセキュリティゲートＳＧから離れて認証可能領域Ａ２の外に出ると、認証の制限が解除される。この場合、図４と同様にして認証が成功し、セキュリティゲートＳＧのロックが解除される。

　図６は、互いに顔が似ていない複数のユーザが認証可能領域Ａ２の中にいる場合を示す図である。互いに顔が似ていなければ、一方のユーザが他方のユーザとして認証されないので、図６に示すように、認証の成功が制限されない。即ち、本実施形態では、複数のユーザが認証可能領域Ａ２の中にいる場合に、強制的に認証の成功を制限するのではなく、なりすましの可能性がない場合には、認証の成功を許可して利便性を高めるようにしている。

　以上のように、認証システムＳは、互いに顔が似た複数のユーザが認証可能領域Ａ２の中にいる場合に、認証の成功を制限することによって、なりすましを防止してセキュリティを高めるようにしている。以降、この技術の詳細を説明する。

［１－３．実施形態１において実現される機能］
　図７は、実施形態１において実現される機能の一例を示す機能ブロック図である。ここでは、サーバ１０、ユーザ端末２０、及び認証端末３０の各々で実現される機能を説明する。

［１－３－１．サーバにおいて実現される機能］
　図７に示すように、サーバ１０では、データ記憶部１００、識別情報取得部１０１、認証部１０２、可能性判定部１０３、制限部１０４、通知部１０５、及び除外部１０６が実現される。

[データ記憶部]
　データ記憶部１００は、記憶部１２を主として実現される。データ記憶部１００は、本実施形態で説明する処理を実行するために必要なデータを記憶する。ここでは、データ記憶部１００が記憶するデータの一例として、ユーザデータベースＤＢ、認証端末リストＬ１、及び接近ユーザリストＬ２について説明する。

　図８は、ユーザデータベースＤＢのデータ格納例を示す図である。図８に示すように、ユーザデータベースＤＢは、ユーザに関する各種情報が格納されたデータベースである。例えば、ユーザデータベースＤＢには、ユーザＩＤ、ユーザの氏名、パスワード、顔写真、及び顔の特徴量が格納される。例えば、ユーザがサーバ１０に所定の利用登録をすると、ユーザＩＤが新たに発行され、ユーザデータベースＤＢに新たなレコードが作成される。当該レコードには、ユーザが入力した氏名及びパスワードと、ユーザがアップロードした顔写真及び当該顔写真に基づいて計算された特徴量と、が格納される。なお、ユーザデータベースＤＢに格納される情報は、図８の例に限られず、ユーザの連絡先や住所といった任意の情報が格納されてよい。

　パスワード及び顔の特徴量は、認証情報の一種である。認証情報とは、認証時に参照される情報であり、認証方法によって呼び名が異なる。例えば、電子スタンプ認証であれば、スタンプのマルチタッチパターンが認証情報となり、合言葉認証であれば、合言葉が認証情報となる。パスワード及び顔の特徴量の各々は、任意の目的で利用されてよい。本実施形態では、パスワードは、ユーザが顔写真の登録申請をしたり登録済みの情報を編集したりするために利用され、顔の特徴量は、ユーザがセキュリティゲートＳＧを通過するために利用される。なお、顔写真が認証情報に相当してもよい。

　顔の特徴量は、顔の特徴を数値化した情報であり、例えば、顔のパーツの相対位置、大きさ、又は形状などの特徴が示されている。本実施形態では、顔写真が示す顔の特徴量を予め計算しておくものとするが、顔の特徴量は、認証時にその場で計算されてもよい。複数の顔写真が登録される場合には、顔写真ごとに、顔の特徴量が計算される。顔認証自体は、種々の手法を適用可能であり、例えば、主成分分析、線形判別分析、弾性マッチング、又は隠れマルコフモデルといった手法を利用可能であり、特徴量は、これらの手法に応じた計算式で計算されるようにすればよい。例えば、顔の特徴量は、多次元のベクトルで示されるものとするが、配列や単一の数値といった他の形式で示されてもよい。

　図９は、認証端末リストＬ１のデータ格納例を示す図である。図９に示すように、認証端末リストＬ１は、認証システムＳに含まれる複数の認証端末３０に関するリストである。例えば、認証端末リストＬ１には、認証端末３０を一意に識別する認証端末ＩＤ、認証端末３０の名前を示す認証端末名、及び認証端末位置情報が格納される。

　認証端末位置情報は、認証端末３０の位置に関する情報である。認証端末位置情報は、認証端末３０の位置を特定可能な情報であればよく、例えば、緯度経度情報、座標情報、住所情報、アクセスポイント情報、ビーコン情報、又は携帯基地局情報である。なお、認証端末位置情報は、認証端末３０が配置された領域を示してもよい。領域は、認証端末３０の大まかな位置であり、例えば、都市名、エリア、郵便番号、駅名、空港名、又は停留所名であってもよいし、緯度経度情報又は座標情報がプロットされる地図上又は座標上の領域であってもよい。

　認証端末位置情報は、認証システムＳの管理者によって入力されてもよいし、認証端末３０から取得されてもよい。例えば、認証端末３０がＧＰＳ受信部を含む場合には、認証端末３０がＧＰＳ受信部を利用して取得した認証端末位置情報が認証端末リストＬ１に登録される。また例えば、認証端末３０の通信部３３により取得された認証端末位置情報が認証端末リストＬ１に登録される。また例えば、認証端末３０の操作部３４から入力された認証端末位置情報が認証端末リストＬ１に登録される。

　図１０は、接近ユーザリストＬ２のデータ格納例を示す図である。図１０に示すように、接近ユーザリストＬ２は、認証端末３０に近づいたユーザを示すリストである。本実施形態では、複数の認証端末３０が含まれているため、接近ユーザリストＬ２には、認証端末３０ごとに、近づいたユーザが示されている。例えば、接近ユーザリストＬ２には、認証端末ＩＤごとに、認証端末３０に近づいたユーザのユーザＩＤと、第２無線通信部２３Ｂを一意に識別する無線通信ＩＤと、が格納される。

　無線通信ＩＤは、無線通信インタフェースを識別可能な情報であればよく、例えば、ＵＵＩＤ又はＢＬＥ－ＩＤなどである。無線通信ＩＤは、任意の記号列によって示される。無線通信ＩＤは、ユーザが編集できないように固定されていてもよいし、ユーザによる編集が可能であってもよい。図３を参照して説明したように、本実施形態では、ユーザが通信可能領域Ａ１の中に移動すると、認証端末ＩＤ、ユーザＩＤ、及び無線通信ＩＤがアップロードされるので、接近ユーザリストＬ２には、これらアップロードされた情報が格納される。

［識別情報取得部］
　識別情報取得部１０１は、制御部１１を主として実現される。識別情報取得部１０１は、認証端末３０に近づいたユーザ端末２０から識別情報を取得する。

　認証端末３０に近づいたユーザ端末２０とは、認証端末３０から所定距離以内にいるユーザのユーザ端末２０である。本実施形態では、第２無線通信部３３Ｂが通信可能な範囲を示す通信可能領域Ａ１の中に入ることが、認証端末３０に近づくことに相当する場合を説明する。

　なお、認証端末３０に近づいたか否かを判定するための領域は、通信可能な範囲に関係なく定められていてもよい。例えば、第２無線通信部３３Ｂの通信可能な範囲の最大距離よりも短い距離まで近づいた場合に認証端末３０に近づいたと判定されてもよいし、通信可能領域Ａ１の外ではあるがある程度近づいた場合に認証端末３０に近づいたと判定されてもよい。

　識別情報は、ユーザを識別可能な情報であればよく、例えば、ユーザＩＤ、ユーザ端末２０の個体識別情報、ユーザ端末２０の電話番号、又は無線通信ＩＤである。本実施形態では、ユーザＩＤが識別情報に相当する場合を説明する。このため、本実施形態でユーザＩＤと記載した箇所は、識別情報と読み替えることができる。

　識別情報取得部１０１は、ユーザ端末２０が通信可能領域Ａ１の中に入った場合に、当該ユーザ端末２０からユーザＩＤを取得する。例えば、ユーザ端末２０は、認証端末３０に近づいた場合に自発的にユーザＩＤをアップロードし、識別情報取得部１０１は、自発的にアップロードされたユーザＩＤを取得する。

　なお、ユーザＩＤは、ユーザ端末２０が認証端末３０に近づいた場合に自発的にアップロードされるのではなく、ユーザ端末２０からサーバ１０に対し、定期的にアップロードされてもよい。即ち、ユーザ端末２０は、認証端末３０の近くにいるか否かに関係なく、定期的にユーザＩＤをアップロードしてもよい。この場合、識別情報取得部１０１は、ユーザ端末２０のユーザＩＤとともに位置情報を取得し、認証端末３０に近づいたユーザ端末２０を特定し、当該ユーザ端末２０から受信していたユーザＩＤを、認証端末３０に近づいたユーザ端末２０の識別情報として取得してもよい。

［認証部］
　認証部１０２は、制御部１１を主として実現される。認証部１０２は、認証端末３０を利用して取得された認証情報（以降、単に「取得された認証情報」と記載する。）と、認証端末３０の付近にいるユーザのユーザＩＤに関連付けられてデータ記憶部１００に登録された認証情報（以降、単に「登録された認証情報」と記載する。）と、に基づいて、認証を行う。

　取得された認証情報とは、認証端末３０が自身で取得した認証情報を意味してもよいし、認証端末３０が取得した情報に基づいて他のコンピュータが取得した認証情報を意味してもよい。本実施形態では、顔の特徴量が認証情報に相当し、サーバ１０が顔の特徴量を計算するので、取得された認証情報は、サーバ１０が認証端末３０から取得した画像に基づいて計算する。なお、認証端末３０は、撮影部３６により撮影された画像に基づいて、顔の特徴量を計算し、当該計算された顔の特徴量をサーバ１０にアップロードしてもよい。

　取得された認証情報は、登録された認証情報と比較される情報である。別の言い方をすれば、取得された認証情報は、認証時のクエリとなる情報である。一方、登録された認証情報は、ユーザにより登録された認証情報であり、認証時の正解となりうる認証情報である。別の言い方をすれば、登録された認証情報は、入力された認証情報と比較される情報であり、認証時のインデックスとなる情報である。本実施形態では、ユーザデータベースＤＢに格納された顔の特徴量は、登録された認証情報に相当する。

　なお、顔の特徴量は、ユーザＩＤに関連付けられてユーザデータベースＤＢに登録されており、無線通信ＩＤには関連付けられていない。このため、本実施形態では、登録された認証情報を特定するためには、ユーザＩＤが必要であり、ユーザ端末２０の個体識別情報、ユーザ端末２０の電話番号、又は無線通信ＩＤでは、登録された認証情報を特定することができないようになっている。

　認証端末３０の付近にいるユーザとは、認証端末３０から所定距離以内にいるユーザである。本実施形態では、認証が可能になる認証可能領域Ａ２の中にいることが、認証端末３０に付近にいることに相当する場合を説明する。本実施形態では、「認証端末３０に近づく」とは、通信可能領域Ａ１の中に入ることを意味し、「認証端末３０の付近にいる」とは、認証可能領域Ａ２の中にいることを意味し、これらを区別する。なお、これらの意味が同じであってもよく、認証可能領域Ａ２の中に入ることが認証端末３０に近づくことを意味してもよいし、通信可能領域Ａ１の中にいることが認証端末３０の付近にいることを意味してもよい。

　関連付けられるとは、複数の情報が互いに紐づけられることである。ある情報を利用して他の情報を検索可能な場合には、これらの情報が関連付けられていることを意味する。本実施形態では、ユーザデータベースＤＢにおいて、ユーザＩＤと認証情報が同じレコードに格納されており、ユーザＩＤと認証情報が関連付けられて登録されている。

　認証部１０２は、取得された認証情報と、登録された認証情報と、を比較することによって、認証を行う。例えば、認証部１０２は、取得された認証情報と登録された認証情報とが一致又は類似するか否かを判定することによって、認証を行う。認証部１０２は、取得された認証情報と登録された認証情報とが一致又は類似しない場合には、認証が成功しないと判定し、取得された認証情報と登録された認証情報とが一致又は類似する場合に、認証が成功したと判定する。

　一致とは、入力された認証情報と、登録された認証情報と、が同一であることを意味する。ここでの一致は、部分一致ではなく、完全一致を意味する。このため、認証情報の一致が判定される場合には、認証情報が一部でも異なっていれば、認証が成功しない。例えば、パスワード認証では、パスワードの一致が判定される。

　類似とは、取得された認証情報と、登録された認証情報と、が類似しているか否かである。別の言い方をすれば、類似性とは、入力された認証情報と、登録された認証情報と、の差又は違いである。例えば、生体認証では、生体認証情報の類似が判定される。

　本実施形態では、認証情報の類似が判定される場合を説明する。例えば、認証部１０２は、取得された認証情報と、登録された認証情報と、に基づいて、類似度を計算する。認証部１０２は、類似度が閾値未満であれば、認証が成功しないと判定し、類似度が閾値以上であれば、認証が成功したと判定する。

　類似度とは、類似の程度を示す指標である。別の言い方をすれば、類似度とは、これら認証情報の差又は違いの小ささを示す指標である。類似度が高いほど、互いの認証情報が類似していることを示し、類似度が小さいほど、互いの認証情報が類似していないことを示す。類似度は、認証情報が類似する蓋然性ということもできる。類似度は、０％～１００％の間のパーセンテージで示されてもよいし、他の数値範囲の中で示されてもよい。

　本実施形態では、生体認証が用いられるので、認証部１０２は、認証端末３０を利用して取得された生体認証情報と、登録された生体認証情報と、に基づいて、認証を行う。例えば、認証部１０２は、取得された生体認証情報が示す特徴量と、登録された生体認証情報が示す特徴量と、に基づいて、類似度を計算する。これらの特徴量の差をそのまま類似度にしてもよいし、これらの特徴量を所定の計算式に代入することによって類似度が計算されてもよい。特徴量がベクトルで表現される場合には、ベクトル間の距離が類似度となってもよい。

　本実施形態では、ユーザが認証端末３０に近づいた場合に、ユーザ端末２０からサーバ１０にユーザＩＤが送信されるので、認証部１０２は、ユーザ端末２０から取得されたユーザＩＤに基づいて、登録された認証情報を取得し、認証を行う。ユーザ端末２０から受信したユーザＩＤは、接近ユーザリストＬ２に格納されるので、認証部１０２は、接近ユーザリストＬ２に格納されたユーザＩＤに関連付けられて登録された認証情報に基づいて、認証を行う。

［可能性判定部］
　可能性判定部１０３は、制御部１１を主として実現される。可能性判定部１０３は、認証端末３０の付近に複数のユーザがいる場合に、一のユーザが他のユーザとして認証される可能性があるか否かを判定する。

　ここでの可能性とは、認証端末３０の付近にいる複数のユーザのうちの少なくとも１人によるなりすましの可能性である。別の言い方をすれば、認証端末３０の付近にいる複数のユーザの何れかのユーザが他のユーザとして誤って認証される可能性である。以降、可能性判定部１０３が判定する可能性を、なりすましの可能性と記載する。このため、本実施形態でなりすましの可能性と記載した箇所は、単に可能性と読み替えることができる。

　可能性判定部１０３は、取得された認証情報と、登録された認証情報と、の少なくとも一方に基づいて、なりすましの可能性があるか否かを判定する。本実施形態では、可能性判定部１０３が、これら両方に基づいて、なりすましの可能性があるか否かを判定する場合を説明するが、後述する変形例のように、可能性判定部１０３は、これらの一方のみに基づいて、なりすましの可能性を判定してもよい。

　例えば、可能性判定部１０３は、取得された認証情報と一致又は類似する登録された認証情報が複数存在する場合に、なりすましの可能性があると判定する。別の言い方をすれば、可能性判定部１０３は、認証端末３０の付近にいる複数のユーザの中に、取得された認証情報で認証が成功しうるユーザが複数人いる場合に、なりすましの可能性があると判定する。

　可能性判定部１０３は、認証端末３０の付近にいる複数のユーザの中にいる、取得された認証情報と類似する登録された認証情報を有するユーザの人数を特定する。可能性判定部１０３は、当該特定した人数が１人であれば、なりすましの可能性があると判定せず、当該特定した人数が複数人（２人以上）であれば、なりすましの可能性があると判定する。

　本実施形態では、近距離無線通信を利用して認証端末３０の付近にいるユーザが検出されるので、可能性判定部１０３は、近距離無線通信の通信内容に基づいて認証端末３０の付近に複数のユーザがいると判定された場合に、なりすましの可能性があるか否かを判定する。認証端末３０の付近にユーザが誰もいなかったり１人だけいたりした場合には、可能性判定部１０３は、なりすましの可能性を判定する処理を実行しなくてもよい。

　なお、近距離無線通信は、端末間で直接的に通信可能な通信規格を利用すればよく、本実施形態では、Ｂｌｕｅｔｏｏｔｈ（登録商標）を説明するが、先述したＷｉ－Ｆｉなどの他の通信規格を利用してもよい。近距離無線通信では、複数の端末の各々が互いの通信範囲内にいる場合に、他の機器を介さない直接的な通信が可能となる。近距離無線通信の通信範囲は、通信規格で定められた範囲であればよく、例えば、１メートル～１００メートル程度である。

［制限部］
　制限部１０４は、制御部１１を主として実現される。制限部１０４は、なりすましの可能性があると判定された場合に、認証の成功を制限する。制限部１０４は、なりすましの可能性があると判定されない場合には、認証の成功を制限しない。

　認証の成功を制限とは、認証部１０２により認証成功と判定されないようにすることである。別の言い方をすれば、取得された認証情報と登録された認証情報とが一致又は類似していたとしても、認証成功と判定されないようにすることは、認証の成功を制限することに相当する。ここでの制限は、禁止と同じ意味であり、許可とは反対の意味である。

　本実施形態では、認証が成功すると、サーバ１０は、所定の処理を実行する。制限部１０４により認証の成功が制限されると、当該所定の処理が実行されない。このため、認証の成功を制限することは、所定の処理の実行を禁止するということもできる。当該所定の処理は、認証が成功したことを条件として実行が許可される処理であればよく、本実施形態では、認証端末３０に対し、認証が成功したことを示す情報を送信すること、又は、セキュリティゲートＳＧのロック解除の命令を送信することである。なお、所定の処理は、認証システムＳを利用する場面に応じて定めておけばよく、例えば、決済処理であってもよいし、サービスの利用を許可する画像を表示させる処理であってもよい。

　制限部１０４による制限は、任意のタイミングで解除されてよく、例えば、制限部１０４は、なりすましの可能性があると判定されて認証の成功が制限された後に、なりすましの可能性があると判定されなくなった場合に、認証の成功を許可する。制限部１０４は、なりすましの可能性があると判定されなくなるまでは、認証の成功の制限を継続して実行する。

［通知部］
　通知部１０５は、制御部１１を主として実現される。通知部１０５は、なりすましの可能性があると判定された場合に、複数のユーザのうちの少なくとも１人に対し、所定の通知を行う。

　所定の通知とは、認証の成功が制限されることを示す通知である。別の言い方をすれば、所定の通知は、なりすましの可能性があると判定された場合に行われる通知である。以降、通知部１０５により行われる通知を、認証制限通知をいう。

　認証制限通知は、人間が知覚可能な通知であればよい。本実施形態では、視覚的な通知を例に挙げるが、音声を利用した聴覚的な通知であってもよいし、振動などを利用した触覚的な通知であってもよい。認証制限通知の内容は、認証システムＳの管理者により編集可能であってよく、例えば、認証端末３０から離れることを促す内容、顔が似たユーザがいることを示す内容、又は認証が成功しないことを示す内容などである。

　本実施形態では、サーバ１０によって通知部１０５が実現されるので、通知部１０５は、ユーザ端末２０又は認証端末３０に対し、認証制限通知をするためのデータを送信することによって、認証制限通知を行う。このデータは、任意の形式のデータであってよく、例えば、メッセージ、画像、プッシュ通知、又は電子メールなどである。認証制限通知をするためのデータは、データ記憶部１００に予め記憶されており、通知部１０５は、データ記憶部１００に記憶されたデータに基づいて、認証制限通知を行う。

　なお、認証制限通知は、認証端末３０を利用するのではなく、ユーザ端末２０を利用して行われてもよい。例えば、通知部１０５は、認証端末の付近にいる複数のユーザの少なくとも１人のユーザ端末２０に対し、認証制限通知を送信してもよい。この場合、これら複数のユーザの全員に対して認証制限通知が行われてもよいし、一部のユーザに対してだけ認証制限通知が行われてもよい。

［除外部］
　除外部１０６は、制御部１１を主として実現される。除外部１０６は、認証端末３０に近づいたユーザ端末２０が認証端末３０から離れた場合に、登録された認証情報が認証で使用されないように除外する。

　認証端末３０から離れるとは、認証端末３０から所定距離以上の位置に移動することである。即ち、認証端末３０に近づいた状態から認証端末３０に近づいていない状態に変化することは、認証端末３０から離れることに相当する。本実施形態では、第２無線通信部３３Ｂが通信可能な範囲を示す通信可能領域Ａ１の中に入ることが、認証端末３０に近づくことに相当するので、通信可能領域Ａ１の中から外に出ることが、認証端末３０から離れることに相当する。

　除外とは、取得された認証情報との比較対象とはならないようにすること、又は、認証部１０２による参照対象とはならないようにすることである。即ち、認証時のインデックスとはならないようにすることが除外に相当する。本実施形態では、接近ユーザリストＬ２に格納されたユーザＩＤを削除することによって除外が行われる場合を説明するが、ユーザＩＤを削除するのではなく、フラグ等の情報を変更して除外が行われてもよい。

　本実施形態では、ユーザ端末２０が認証端末３０から離れた場合に、認証制限通知が送信されるので、除外部１０６は、認証制限通知を受信した場合に、登録された認証情報が認証で使用されないように除外する。除外部１０６は、認証制限通知を受信したことを条件として、登録された認証情報が認証で使用されないように除外する。このため、除外部１０６は、認証制限通知を受信するまでは除外をせずに、認証制限通知を受信したことに応じて除外をする。

［１－３－２．ユーザ端末において実現される機能］
　図７に示すように、ユーザ端末２０では、データ記憶部２００、第１取得部２０１、第２取得部２０２、接近判定部２０３、識別情報送信部２０４、離脱判定部２０５、及び通知送信部２０６が実現される。

［データ記憶部］
　データ記憶部２００は、記憶部２２を主として実現される。データ記憶部２００は、本実施形態で説明する処理を実行するために必要なデータを記憶する。例えば、データ記憶部２００は、ユーザの顔写真のデータを記憶する。また例えば、データ記憶部２００は、ユーザＩＤ、パスワード、ユーザ端末２０の個体識別情報、ユーザ端末２０の電話番号、又は通信部２３のＩＤを記憶してもよい。本実施形態では、第１無線通信部２３Ａ及び第２無線通信部２３Ｂが通信部２３に含まれているので、通信部２３のＩＤには、第１無線通信部２３Ａの無線通信ＩＤと、第２無線通信部２３Ｂの無線通信ＩＤと、が含まれる。

　本実施形態では、データ記憶部２００は、認証端末リストＬ１を記憶する。認証端末リストＬ１のデータ格納例は、図９を参照して説明した通りである。なお、データ記憶部２００に記憶された認証端末リストＬ１には、全ての認証端末３０の情報が示される必要はなく、一部の認証端末３０の情報だけが示されてもよい。例えば、データ記憶部２００は、ユーザが通過可能なセキュリティゲートＳＧに接続された認証端末３０の情報だけを示す認証端末リストＬ１を記憶してもよい。

［第１取得部］
　第１取得部２０１は、制御部２１を主として実現される。第１取得部２０１は、認証端末３０の位置に関する認証端末位置情報を取得する。本実施形態では、認証端末リストＬ１に認証端末位置情報が格納されているので、第１取得部２０１は、データ記憶部２００に記憶された認証端末リストＬ１を参照し、認証端末位置情報を取得する。なお、データ記憶部２００に認証端末リストＬ１を記憶させない場合には、第１取得部２０１は、サーバ１０のデータ記憶部２００に記憶された認証端末リストＬ１を参照し、認証端末位置情報を取得してもよい。

［第２取得部］
　第２取得部２０２は、制御部２１を主として実現される。第２取得部２０２は、ユーザ端末２０の位置に関するユーザ端末位置情報を取得する。

　ユーザ端末位置情報は、ユーザ端末２０の現在位置を識別可能な情報であり、例えば、緯度経度情報、座標情報、アクセスポイント情報、ビーコン情報、又は携帯基地局情報である。本実施形態では、ユーザ端末位置情報が緯度経度情報又は座標情報であり、第２取得部２０２は、ユーザ端末２０のＧＰＳ受信部２６により受信された信号に基づいて、ユーザ端末位置情報を取得する場合を説明する。

　なお、ユーザ端末位置情報がアクセスポイント情報、ビーコン情報、又は携帯基地局情報である場合には、第２取得部２０２は、ユーザ端末２０の通信部２３の通信内容に基づいて、ユーザ端末位置情報を取得する。また、第２取得部２０２は、他の方法に基づいて、ユーザ端末位置情報を取得してもよい。例えば、ユーザ端末２０が撮影部を含む場合には、第２取得部２０２は、撮影部により撮影された画像に基づいて、ユーザ端末位置情報を取得してもよい。

［接近判定部］
　接近判定部２０３は、制御部２１を主として実現される。接近判定部２０３は、認証端末位置情報とユーザ端末位置情報とに基づいて、認証端末３０に近づいたか否かを判定する。例えば、接近判定部２０３は、認証端末位置情報が示す位置と、ユーザ端末位置情報が示す位置と、の距離を計算し、当該距離が閾値未満である場合に、認証端末３０に近づいたと判定する。本実施形態では、通信可能領域Ａ１の中に入ることが認証端末３０に近づくことに相当するので、接近判定部２０３は、認証端末位置情報に基づいて設定される通信可能領域Ａ１の中にユーザ端末２０が入ったか否かを判定する。

　なお、アクセスポイント情報などを利用する場合には、接近判定部２０３は、認証端末位置情報とユーザ端末位置情報とが一致するか否かを判定してもよい。接近判定部２０３は、これらが一致する場合に、認証端末３０に近づいたと判定する。また例えば、接近判定部２０３は、認証端末位置情報が示す領域に、ユーザ端末位置情報が示す位置が含まれるか否かを判定してもよい。接近判定部２０３は、認証端末位置情報が示す領域に、ユーザ端末位置情報が示す位置が含まれる場合に、認証端末３０に近づいたと判定する。

［識別情報送信部］
　識別情報送信部２０４は、制御部２１を主として実現される。識別情報送信部２０４は、認証端末３０に近づいたと判定された場合に、ユーザＩＤを送信する。識別情報送信部２０４は、認証端末３０に近づいたと判定されることを条件として、ユーザＩＤを送信する。識別情報送信部２０４は、認証端末３０に近づいたと判定されるまでは、ユーザＩＤの送信をせず、認証端末３０に近づいたことに応じてユーザＩＤを送信する。本実施形態では、ユーザＩＤの送信先がサーバ１０である場合を説明するが、送信先は、他のコンピュータであってもよく、他のコンピュータ経由でサーバ１０にユーザＩＤが送信されてもよい。

［離脱判定部］
　離脱判定部２０５は、制御部２１を主として実現される。離脱判定部２０５は、認証端末位置情報とユーザ端末位置情報とに基づいて、認証端末３０から離れたか否かを判定する。例えば、離脱判定部２０５は、認証端末位置情報が示す位置と、ユーザ端末位置情報が示す位置と、の距離を計算し、当該距離が閾値以上である場合に、認証端末３０から離れたと判定する。本実施形態では、通信可能領域Ａ１の外に出ることが認証端末３０から離れることに相当するので、接近判定部２０３は、認証端末位置情報に基づいて設定される通信可能領域Ａ１の外にユーザ端末２０が出たか否かを判定する。

　また例えば、アクセスポイント情報などを利用する場合には、離脱判定部２０５は、認証端末位置情報とユーザ端末位置情報とが一致するか否かを判定してもよい。離脱判定部２０５は、これらが一致しない場合に、認証端末３０から離れたと判定する。また例えば、離脱判定部２０５は、認証端末位置情報が示す領域に、ユーザ端末位置情報が示す位置が含まれるか否かを判定してもよい。離脱判定部２０５は、認証端末位置情報が示す領域に、ユーザ端末位置情報が示す位置が含まれない場合に、認証端末３０から離れたと判定する。

［通知送信部］
　通知送信部２０６は、制御部２１を主として実現される。通知送信部２０６は、認証端末３０から離れたと判定された場合に、所定の通知を送信する。本実施形態では、通知の送信先がサーバ１０である場合を説明するが、送信先は、他のコンピュータであってもよく、他のコンピュータ経由でサーバ１０に通知が送信されてもよい。ここでの所定の通知は、認証端末３０から離れたことを示す通知である。以降、通知送信部２０６により行われる通知を、離脱通知をいう。通知送信部２０６は、ユーザが認証端末３０から離れたことを示す所定形式のデータを送信することによって、離脱通知を送信する。

［１－３－３．認証端末において実現される機能］
　図７に示すように、認証端末３０では、データ記憶部３００及び通信内容判定部３０１が実現される。なお、本実施形態では、認証端末３０が認証システムＳに含まれる場合を説明するが、認証端末３０は、認証システムＳと通信可能な外部装置であってもよい。

［データ記憶部］
　データ記憶部３００は、記憶部３２を主として実現される。データ記憶部３００は、本実施形態で説明する処理を実行するために必要なデータを記憶する。例えば、データ記憶部３００は、認証端末３０の認証端末ＩＤ及び通信相手リストＬ３を記憶する。

　図１１は、通信相手リストＬ３のデータ格納例を示す図である。図１１に示すように、通信相手リストＬ３は、認証端末３０の第２無線通信部３３Ｂの通信可能領域Ａ１の中にいるユーザ端末２０のリストである。例えば、通信相手リストＬ３には、通信可能領域Ａ１の中にいるユーザ端末２０の第２無線通信部２３Ｂの無線通信ＩＤと、当該ユーザ端末２０と認証端末３０との間の距離と、が格納される。

　無線通信ＩＤは、ユーザ端末２０と認証端末３０との間で行われる近距離無線通信によって取得される。距離は、ユーザ端末２０と認証端末３０との間で行われる近距離無線通信の信号強度によって計測される。なお、距離は、近距離無線通信ではなく、撮影部３６の画像を解析することによって取得されてもよいし、深度センサ又は超音波センサなどの他の方法を利用して取得されてもよい。

［通信内容判定部］
　通信内容判定部３０１は、制御部３１を主として実現される。通信内容判定部３０１は、認証端末３０とユーザ端末２０との間で行われた近距離無線通信の通信内容に基づいて、認証端末３０の付近にユーザがいるか否かを判定する。本実施形態では、通信内容は、ユーザ端末２０の第２無線通信部２３Ｂと、認証端末３０の第２無線通信部３３Ｂと、の間でやり取りされたデータの内容である。

　通信内容判定部３０１は、近距離無線通信により、ユーザ端末２０から無線通信ＩＤを受信したか否かを判定することによって、認証端末３０の付近にユーザがいるか否かを判定する。通信内容判定部３０１は、無線通信ＩＤを受信しない場合には、認証端末３０の付近にユーザがいると判定せず、無線通信ＩＤを受信した場合に、認証端末３０の付近にユーザがいると判定する。

　なお、本実施形態では、近距離無線通信の一例として、Ｂｌｕｅｔｈｏｏｔｈ（登録商標）を説明するが、端末間で直接的に通信可能な近距離無線通信であればよく、他の通信規格を利用してもよい。例えば、Ｗｉ－Ｆｉ又は赤外線通信などが利用されてもよい。

　本実施形態の近距離無線通信は、認証端末３０とユーザ端末２０との距離を計測可能であり、通信内容判定部３０１は、近距離無線通信により計測された距離に基づいて、認証端末３０の付近にユーザがいるか否かを判定する。距離の計測方法自体は、通信規格で定められた方法を利用可能であり、近距離無線通信における信号強度を利用すればよい。例えば、信号強度が強いほど計測される距離が短くなり、信号強度が弱いほど計測される距離が長くなる。

　通信内容判定部３０１は、認証端末３０とユーザ端末２０との距離が閾値以上である場合には、認証端末３０の付近にユーザがいるとは判定せず、距離が閾値未満である場合に、認証端末３０の付近にユーザがいると判定する。本実施形態では、認証可能領域Ａ２の中にいることが認証端末３０の付近にいることに相当するので、通信内容判定部３０１は、認証端末３０から所定距離以内の領域である認証可能領域Ａ２の中にユーザがいるか否かを判定する。

［１－４．実施形態１において実行される処理］
　図１２及び図１３は、実施形態１において実行される処理を示すフロー図である。図１２及び図１３に示す処理は、制御部１１，２１，３１が、それぞれ記憶部１２，２２，３２に記憶されたプログラムに従って動作することによって実行される。下記に説明する処理は、図７に示す機能ブロックにより実行される処理の一例である。

　図１２に示すように、まず、ユーザ端末２０において、制御部２１は、ＧＰＳ受信部２６により受信された信号に基づいて、ユーザ端末位置情報を取得する（Ｓ１００）。Ｓ１００の処理は、定期的に実行され、制御部２１は、最新の現在位置を示すユーザ端末位置情報を繰り返し取得する。

　制御部２１は、記憶部２２に記憶された認証端末リストＬ１に基づいて、ユーザが認証端末３０に近づいたか否かを判定する（Ｓ１０１）。Ｓ１０１においては、制御部２１は、認証端末リストＬ１に格納された認証端末ＩＤごとに、認証端末位置情報とユーザ端末位置情報とに基づいて計算される距離が閾値以上であるか否かを判定する。

　なお、本実施形態では、Ｓ１０１で用いられる閾値は、図３の通信可能領域Ａ１の半径である場合を説明するが、閾値は、任意の値であってよい。制御部２１は、距離が閾値以上の場合には、ユーザが認証端末３０に近づいたと判定せず、距離が閾値未満の場合に、ユーザが認証端末３０に近づいたと判定する。Ｓ１０１においては、制御部２１は、ユーザが通信可能領域Ａ１内に移動したか否かを判定することになる。

　ユーザが認証端末３０に近づいたと判定されない場合（Ｓ１０１；Ｎ）、Ｓ１００の処理に戻る。一方、ユーザが認証端末３０に近づいたと判定した場合（Ｓ１０１；Ｙ）、制御部２１は、第１無線通信部２３Ａを利用して、サーバ１０に対し、認証端末３０に近づいたことを示す接近通知を送信する（Ｓ１０２）。接近通知は、所定形式のデータが送信されることで行われるようにすればよく、例えば、ユーザが近づいた認証端末３０の認証端末ＩＤ、ユーザＩＤ、及び第２無線通信部２３Ｂの無線通信ＩＤを含む。

　サーバ１０においては、接近通知を受信すると、制御部１１は、認証端末３０に近づいたユーザを接近ユーザリストＬ２に追加する（Ｓ１０３）。Ｓ１０３においては、制御部１１は、受信した接近通知に含まれる認証端末ＩＤ、ユーザＩＤ、及び無線通信ＩＤを接近ユーザリストＬ２に追加する。

　制御部３１は、操作部３４の検出信号に基づいて、表示部３５に表示されたボタンＢ３５が選択されたか否かを判定する（Ｓ１０４）。ボタンＢ３５が選択されたと判定されない場合（Ｓ１０４；Ｎ）、再びＳ１０４の処理に戻り、ボタンＢ３５の選択が待ち受けられる。

　一方、ボタンＢ３５が選択されたと判定された場合（Ｓ１０４；Ｙ）、認証端末３０からユーザ端末２０に対し、無線通信ＩＤが要求され、ユーザ端末２０の制御部２１は、第２無線通信部２３Ｂを利用して、認証端末３０に対し、第２無線通信部２３Ｂの無線通信ＩＤを送信する（Ｓ１０５）。Ｓ１０５においては、ユーザ端末２０の第２無線通信部２３Ｂは、アドバタイズパケットを利用して、ペアリングを確立することなく、認証端末３０に対し、無線通信ＩＤを送信する。

　認証端末３０においては、無線通信ＩＤを受信すると、制御部３１は、通信相手リストＬ３に追加し（Ｓ１０６）、第２無線通信部２３Ｂが受信した信号の強度をスキャンし、ユーザ端末２０との距離を計測する（Ｓ１０７）。なお、Ｓ１０５～Ｓ１０７の処理は、ボタンＢ３５がタッチされる前に実行されてもよい。

　制御部３１は、リストに基づいて、認証端末３０から所定距離以内にあるユーザ端末２０の無線通信ＩＤを取得する（Ｓ１０８）。Ｓ１０８においては、制御部３１は、リストに格納された無線通信ＩＤのうち、Ｓ１０７で計測された距離が閾値未満の無線通信ＩＤを取得する。本実施形態では、この閾値は、認証可能領域Ａ２に合わせて設定されているので、Ｓ１０８においては、制御部３１は、認証可能領域Ａ２の中にいるユーザ端末２０の無線通信ＩＤを取得する。

　制御部３１は、撮影部３６を利用してユーザの顔を撮影する（Ｓ１０９）。Ｓ１０９においては、制御部３１は、撮影部３６の検出信号に基づいて、撮影結果を示す画像データを生成する。

　制御部３１は、サーバ１０に対し、認証処理の実行を要求するための認証要求を送信する（Ｓ１１０）。認証要求は、所定形式のデータが送信されることで行われるようにすればよく、例えば、記憶部３２に記憶された認証端末ＩＤ、Ｓ１０８で取得した無線通信ＩＤ、及びＳ１０９で撮影された画像を含む。

　サーバ１０においては、認証要求を受信すると、制御部１１は、認証要求に含まれる画像に基づいて、認証端末３０の前にいるユーザの顔の特徴量を計算する（Ｓ１１１）。Ｓ１１１において計算される顔の特徴量は、認証端末３０を利用して取得される認証情報である。

　制御部１１は、接近ユーザリストＬ２のうち、認証端末３０から所定距離以内にいるユーザのユーザＩＤを取得する（Ｓ１１２）。Ｓ１１２においては、制御部１１は、接近ユーザリストＬ２のうち、認証処理に含まれる認証端末ＩＤ及び無線通信ＩＤが格納されたレコードのユーザＩＤを取得する。別の言い方をすれば、制御部１１は、認証要求に含まれる認証端末ＩＤ及び無線通信ＩＤをクエリにして接近ユーザリストＬ２を検索し、ヒットしたレコードに格納されたユーザＩＤを取得する。

　図１３に移り、制御部１１は、ユーザデータベースＤＢに基づいて、Ｓ１１１で取得したユーザＩＤに関連付けられて登録された顔の特徴量を取得する（Ｓ１１３）。Ｓ１１３においては、制御部１１は、ユーザデータベースＤＢのうち、Ｓ１１２で取得したユーザＩＤが格納されたレコードを参照し、当該レコードに格納された顔の特徴量を取得する。Ｓ１１３で取得される顔の特徴量は、登録された認証情報である。

　制御部１１は、取得された顔の特徴量と、登録された顔の特徴量と、を比較する（Ｓ１１４）。Ｓ１１４においては、制御部１１は、Ｓ１１２で取得したユーザＩＤごとに、取得された顔の特徴量と、登録された顔の特徴量と、の類似度を計算し、類似度が閾値以上であるか否かを判定する。

　Ｓ１１４においては、制御部１１は、類似度が閾値以上となるユーザＩＤが複数存在する場合に、なりすましの可能性があると判定する。制御部１１は、類似度が閾値以上となるユーザＩＤが１つだけである場合に、なりすましの可能性がないと判定する。制御部１１は、類似度が閾値以上となるユーザＩＤが存在しない場合に、認証が失敗したと判定する。

　Ｓ１１４において、なりすましの可能性があると判定された場合（Ｓ１１４；可能性あり）、制御部１１は、認証の成功を制限し、認証端末３０に対し、認証制限通知を送信する（Ｓ１１５）。この場合、後述するＳ１１９の処理が実行されず、セキュリティゲートＳＧのロックが解除されない。

　認証端末３０においては、認証制限通知を受信すると、制御部３１は、認証制限通知を表示部３５に表示させ（Ｓ１１６）、Ｓ１０４の処理に戻る。Ｓ１１６の処理が実行されると、認証端末３０は、図５の状態となり、セキュリティゲートＳＧのロックは解除されない。

　一方、Ｓ１１４において、認証が失敗したと判定された場合（Ｓ１１４；失敗）、制御部１１は、認証端末３０に対し、認証に失敗したことを示す認証失敗通知を送信する（Ｓ１１７）。認証失敗通知は、所定形式のデータが送信されることで行われるようにすればよい。認証端末３０においては、認証失敗通知を受信すると、制御部３１は、表示部３５に認証が失敗したことを表示させ（Ｓ１１８）、Ｓ１０４の処理に戻る。

　一方、Ｓ１１４において、なりすましの可能性がないと判定された場合（Ｓ１１４；成功）、制御部１１は、認証の成功を許可し、認証端末３０に対し、認証が成功したことを示す認証成功通知を送信する（Ｓ１１９）。認証成功通知は、所定形式のデータが送信されることで行われるようにすればよく、例えば、セキュリティゲートＳＧのロックを解除する命令を示すコードを含む。

　認証端末３０においては、認証成功通知を受信すると、制御部３１は、表示部３５に認証が成功したことを表示させる（Ｓ１２０）。Ｓ１２０の処理が実行されると、認証端末３０は、図４又は図６の状態となり、セキュリティゲートＳＧのロックが解除される。

　一方、ユーザ端末２０においては、制御部２１は、ＧＰＳ受信部２６により受信された信号に基づいて、ユーザ端末位置情報を取得する（Ｓ１２１）。Ｓ１２１の処理は、Ｓ１００と同様である。

　制御部２１は、ユーザが認証端末３０から離れたか否かを判定する（Ｓ１２２）。Ｓ１２２においては、制御部２１は、Ｓ１０１において近づいたと判定された認証端末３０の認証端末位置情報と、Ｓ１２１において取得されたユーザ端末位置情報と、に基づいて計算される距離が閾値以上であるか否かを判定する。なお、本実施形態では、Ｓ１２２で用いられる閾値と、Ｓ１０１で用いられる閾値と、が同じ場合を説明するが、これらは異なってもよい。

　ユーザが認証端末３０から離れたと判定されない場合（Ｓ１２２；Ｎ）、Ｓ１２１の処理に戻る。一方、ユーザが認証端末３０から離れたと判定された場合（Ｓ１２２；Ｙ）、制御部２１は、第１無線通信部２３Ａを利用して、サーバ１０に対し、認証端末３０から離れたことを示す離脱通知を送信する（Ｓ１２３）。離脱通知は、所定形式のデータが送信されることで行われるようにすればよく、例えば、ユーザが離れた認証端末３０の認証端末ＩＤ、ユーザＩＤ、及び第２無線通信部２３Ｂの無線通信ＩＤを含む。

　サーバ１０においては、離脱通知を受信すると、制御部１１は、認証端末３０から離れたユーザを接近ユーザリストＬ２から削除し（Ｓ１２４）、本処理は終了する。Ｓ１２４においては、制御部１１は、受信した離脱通知に含まれる認証端末ＩＤ、ユーザＩＤ、及び無線通信ＩＤを接近ユーザリストＬ２から削除する。

　以上説明した認証システムＳによれば、認証端末３０の付近に複数のユーザがいる場合に、なりすましの可能性があるか否かを判定し、なりすましの可能性があると判定された場合に、認証の成功を制限することによって、なりすましを防止してセキュリティを高めることができる。また、認証端末３０の付近に複数のユーザがいる場合に、互いに顔が似ているか否かに関係なく、強制的に認証の成功を制限したとすると、なりすましの可能性がないにも関わらず、認証の成功が制限され、ユーザの利便性が低減してしまう。この点、認証システムＳでは、認証端末３０の付近にいる複数のユーザの顔が互いに似ておらず、なりすましの可能性がない場合には、認証の成功が制限されないので、ユーザの利便性を高めることができる。

　また、なりすましの可能性があると判定されて認証の成功が制限された後に、なりすましの可能性があると判定されなくなった場合に、認証の成功を許可することにより、顔が似たユーザが認証端末３０の付近から立ち去ったにも関わらず認証が成功しないといったことを防止でき、ユーザの利便性を高めることができる。

　また、取得された認証情報と一致又は類似する登録された認証情報が複数存在する場合に、なりすましの可能性があると判定されることで、なりすましの可能性の有無を正確に判定することができる。

　また、なりすましの可能性があると判定された場合に、複数のユーザのうちの少なくとも１人に対し、認証制限通知が行われることで、なりすましの可能性があることをユーザに把握させることができる。正当なユーザは、なぜ認証が成功しないのかを把握することができ、認証を成功させるためには、顔が似た他のユーザに離れてもらうなどの対策を取ることができる。

　また、認証端末３０に近づいたユーザ端末２０から取得されたユーザＩＤに基づいて、登録された認証情報が取得されて認証が実行されるので、認証端末３０に近づいたユーザを正確に特定することができる。ユーザ端末２０が自発的にユーザＩＤを送信することにより、ユーザがポケット又は鞄などからユーザ端末２０を取り出さなくても認証を実行することができ、ユーザの手間を省くことができる。

　また、認証端末３０に近づいたユーザ端末２０が認証端末３０から離れた場合に、登録された認証情報が認証で使用されないように除外することで、顔が似たユーザが認証端末３０から離れたにも関わらず認証が成功しないといったことを防止し、ユーザの利便性を高めることができる。

　また、ユーザ端末２０において、認証端末位置情報とユーザ端末位置情報とに基づいて、ユーザが認証端末３０に近づいたか否かを判定し、認証端末３０に近づいたと判定された場合に、ユーザＩＤがアップロードされることで、ユーザが認証端末３０に近づいたか否かをサーバ１０が判定する必要がなくなり、サーバ１０の処理負荷を軽減することができる。また、ユーザが認証端末３０に近づいたか否かをサーバ１０が判定する場合には、ユーザ端末２０からサーバ１０にユーザ端末位置情報を常にアップロードする必要があり、ネットワークＮの通信負荷が高まる懸念があるところ、ユーザ端末２０において判定することによって、ユーザ端末位置情報をアップロードする必要がなくなり、ネットワークＮの通信負荷を軽減することができる。

　また、ユーザ端末２０において、認証端末位置情報とユーザ端末位置情報とに基づいて、ユーザが認証端末３０から離れたか否かを判定し、認証端末３０から離れたと判定された場合に、離脱通知がアップロードされることで、ユーザが認証端末３０から離れたか否かをサーバ１０が判定する必要がなくなり、サーバ１０の処理負荷を軽減することができる。また、ユーザが認証端末３０から離れたか否かをサーバ１０が判定する場合には、ユーザ端末２０からサーバ１０にユーザ端末位置情報を常にアップロードする必要があり、ネットワークＮの通信負荷が高まる懸念があるところ、ユーザ端末２０において判定することによって、ユーザ端末位置情報をアップロードする必要がなくなり、ネットワークＮの通信負荷を軽減することができる。

　また、認証端末３０とユーザ端末２０との間で行われた近距離無線通信の通信内容に基づいて、認証端末３０の付近にユーザがいるか否かを判定することで、認証端末３０の付近にいるユーザを正確に特定することができる。

　また、認証端末３０とユーザ端末２０との距離を計測可能な近距離無線通信を利用して計測された距離に基づいて、認証端末３０の付近にユーザがいるか否かを判定することで、認証端末３０の付近にいるユーザをより正確に特定することができる。

　また、顔認証などの生体認証では、認証情報の類似性によって認証の成否が判定されるので、比較的なりすましに合いやすいが、認証端末３０の付近に複数のユーザがいる場合に、なりすましの可能性があるか否かを判定することによって、生体認証を利用したとしても、なりすましを防止してセキュリティを高めることができる。

［２．実施形態２］
　次に、第２の実施形態（以降、実施形態２）について説明する。実施形態１では、ユーザ端末２０の第２無線通信部２３Ｂがオン状態になっており、ユーザが認証端末３０に近づいた場合に、互いの第２無線通信部２３Ｂ，３３Ｂを利用して近距離無線通信が行われる場合を説明した。この点、第２無線通信部２３Ｂがオフ状態になっている場合、ユーザは、認証を実行する前に、第２無線通信部２３Ｂを手動でオン状態にする必要があり手間がかかる。また、第２無線通信部２３Ｂが常にオン状態になっていると、近距離無線通信の必要がないときに無駄な電力を消費してしまう。

　そこで、実施形態２では、第２無線通信部２３Ｂがオフ状態の場合に、ユーザ端末２０は、認証端末３０に近づいたことを条件にして、第２無線通信部２３Ｂをオフ状態からオン状態に自動的に切り替えることで、ユーザの手間をかけずに電力消費を抑えるようにしている。以降、実施形態２の詳細を説明する。なお、実施形態２では、実施形態１と同様の構成については説明を省略する。

［２－１．実施形態２において実現される機能］
　図１４は、実施形態２の機能ブロック図である。図１４に示すように、実施形態２では、サーバ１０及びユーザ端末２０において実現される機能について説明する。

［２－１－１．サーバにおいて実現される機能］
　サーバ１０においては、データ記憶部１００及び認証部１０２が実現される。なお、図１４では省略しているが、実施形態２においても、実施形態１で説明した識別情報取得部１０１、可能性判定部１０３、制限部１０４、通知部１０５、及び除外部１０６が実現されてもよい。

　例えば、データ記憶部１００は、実施形態１で説明した機能と同様の機能を有し、ユーザデータベースＤＢ、認証端末リストＬ１、及び接近ユーザリストＬ２を記憶する。

　認証部１０２についても、実施形態１で説明した機能と同様の機能を有する。実施形態２では、ユーザが認証端末３０に近づいた場合の第２無線通信部２３Ｂがオフ状態である場合を想定しているので、認証部１０２は、切替部２０９によりオフ状態からオン状態に切り替わった第２無線通信部２３Ｂと認証端末３０との通信内容に基づいて、認証を行う。認証処理の詳細は、実施形態１で説明した通りである。

　オフ状態とは、無線通信機能が無効の状態である。オフ状態は、第２無線通信部２３Ｂに通電されていない状態であり、電源が切られている状態である。オン状態とは、無線通信機能が有効の状態である。オン状態は、第２無線通信部２３Ｂに通電されている状態であり、電源が入っている状態である。ユーザ端末２０に対してユーザが所定の操作をすることにより、オフ状態とオン状態を切り替えることができる。

　なお、実施形態２における認証は、実施形態１とは異なる処理により実現されてもよい。例えば、実施形態２では、ユーザが認証端末３０に近づいたときに、ユーザ端末２０から認証端末３０に認証情報が送信されてもよい。この場合、認証部１０２は、認証端末３０を介してユーザ端末２０から取得した認証情報に基づいて、認証を行ってもよい。認証の成否を判定する方法は、実施形態１で説明した通りである。

［２－１－２．ユーザ端末において実現される機能］
　ユーザ端末２０においては、データ記憶部２００、位置情報取得部２０７、場所情報取得部２０８、及び切替部２０９が実現される。なお、図１４では省略しているが、実施形態２においても、実施形態１で説明した接近判定部２０３、識別情報送信部２０４、離脱判定部２０５、及び通知送信部２０６が実現されてもよい。例えば、データ記憶部２００は、実施形態１で説明した機能と同様の機能を有し、認証端末リストＬ１を記憶する。

［位置情報取得部］
　位置情報取得部２０７は、制御部２１を主として実現される。位置情報取得部２０７は、第２無線通信部２３Ｂの位置に関する位置情報を取得する。位置情報は、第２無線通信部２３Ｂの位置を特定可能な情報であればよく、例えば、第２無線通信部２３Ｂを含むユーザ端末２０の位置であってもよいし、第２無線通信部２３Ｂがユーザ端末２０とは別の筐体に存在する場合には、当該筐体の位置であってもよい。

　本実施形態では、位置情報取得部２０７の機能が実施形態１の第１取得部２０１と同じ機能である場合を説明する。このため、実施形態１で説明したユーザ端末位置情報が実施形態２の位置情報に相当する。位置情報取得部２０７が位置情報を取得する方法は、実施形態１の第１取得部２０１で説明した通りであり、実施形態１の第１取得部２０１という記載を位置情報取得部２０７に読み替えればよい。例えば、位置情報取得部２０７は、ＧＰＳ受信部２６により受信された信号に基づいて、位置情報を取得する。

［場所情報取得部］
　場所情報取得部２０８は、制御部２１を主として実現される。場所情報取得部２０８は、第２無線通信部２３Ｂの通電状態を切り替える切替場所に関する場所情報を取得する。

　切替場所とは、第２無線通信部２３Ｂをオン状態からオフ状態に切り替えるべき場所、又は、第２無線通信部２３Ｂをオフ状態からオン状態に切り替えるべき場所である。例えば、認証端末３０の付近、ユーザの自宅、ユーザの勤務先、又は、第２無線通信部２３Ｂが通信したことのある通信機器の付近などのように、第２無線通信部２３Ｂによる通信を必要とする場所は、第２無線通信部２３Ｂをオフ状態からオン状態に切り替えるべき場所に相当する。また例えば、認証端末３０から離れた場所、公共施設、公共交通機関、飛行機、又は病院などのように、第２無線通信部２３Ｂによる通信を控えるべき場所は、第２無線通信部２３Ｂをオン状態からオフ状態に切り替えるべき場所に相当する。

　通電状態は、第２無線通信部２３Ｂの回路に対する電力供給の有無であり、第２無線通信部２３Ｂのオン／オフのことである。オン状態からオフ状態に変更すること、又は、オフ状態からオン状態に変更することは、通電状態を切り替えることに相当する。別の言い方をすれば、第２無線通信部２３Ｂの回路に電力を供給するスイッチを切り替えることは、通電状態を切り替えることに相当する。

　場所情報は、切替場所を特定可能な情報であればよく、例えば、切替場所の位置に関する情報であってもよいし、切替場所の領域に関する情報であってもよい。領域とは、切替場所の大まかな位置であり、一定の広さを有する。例えば、領域は、切替場所を示す所定形状の範囲で示されてもよいし、都市名、エリア、郵便番号、駅名、空港名、又は停留所名であってもよいし、緯度経度情報又は座標情報がプロットされる地図上又は座標上の領域であってもよい。

　本実施形態では、切替場所が認証端末３０の付近（通信可能領域Ａ１）であり、場所情報が認証端末位置情報である場合を例に挙げて説明する。このため、場所情報取得部２０８の機能が実施形態１の第２取得部２０２と同じ機能である場合を説明する。場所情報取得部２０８が場所情報を取得する方法は、実施形態１の第２取得部２０２で説明した通りであり、実施形態１の第２取得部２０２という記載を場所情報取得部２０８に読み替えればよい。

［切替部］
　切替部２０９は、制御部２１を主として実現される。切替部２０９は、位置情報と場所情報とに基づいて、第２無線通信部２３Ｂの通電状態を切り替える。

　切り替えとは、第２無線通信部２３Ｂをオン状態からオフ状態に変更すること、又は、第２無線通信部２３Ｂをオフ状態からオン状態に変更することを意味する。別の言い方をすれば、第２無線通信部２３Ｂの通電状態を変更することは、第２無線通信部２３Ｂの通電状態を切り替えることに相当する。本実施形態では、切替部２０９が第２無線通信部２３Ｂをオフ状態からオン状態に切り替える場合を説明するが、これとは逆に、切替部２０９は、第２無線通信部２３Ｂをオン状態からオフ状態に切り替えてもよい。

　切替部２０９は、第２無線通信部２３Ｂの回路内のスイッチを制御することによって、通電状態を切り替える。スイッチは、ユーザ端末２０の電源からの電力を、第２無線通信部２３Ｂの回路内に通電させるためのスイッチである。切替部２０９は、当該スイッチをオン状態にするための第１の命令を第２無線通信部２３Ｂに送ることにより、第２無線通信部２３Ｂをオン状態にして、当該スイッチをオフ状態にするための第２の命令を第２無線通信部２３Ｂに送ることにより、第２無線通信部２３Ｂをオフ状態にする。

　切替部２０９は、位置情報と場所情報とに基づいて、ユーザが切替場所又はその付近にいるか否かを判定する。切替部２０９は、切替場所又はその付近にいると判定しない場合には、第２無線通信部２３Ｂの通電状態を切り替えず、切替場所又はその付近にいると判定した場合に、第２無線通信部２３Ｂの通電状態を切り替える。

　本実施形態では、場所情報は、切替場所の位置を示すので、切替部２０９は、位置情報が示す位置と、場所情報が示す位置と、の距離が閾値未満になったか否かを判定する。例えば、位置情報と場所情報が緯度経度情報又は座標情報で示される場合には、切替部２０９は、緯度経度情報又は座標情報に基づいて、距離を計算する。

　例えば、切替部２０９は、上記計算された距離が閾値未満になったと判定された場合に、第２無線通信部２３Ｂの通電状態を切り替える。別の言い方をすれば、切替部２０９は、距離が閾値未満になったことを条件として、第２無線通信部２３Ｂの通電状態を切り替える。切替部２０９は、距離が閾値以上の状態から距離が閾値未満の状態に変化した場合に、第２無線通信部２３Ｂの通電状態を切り替える。

　本実施形態の第２無線通信部２３Ｂは、オン状態の場合に、オフ状態とは異なるアイドル状態に移行可能であり、切替部２０９は、位置情報と場所情報とに基づいて、無線通信部をオフ状態からオン状態に切り替える。

　アイドル状態は、第２無線通信部２３Ｂの回路に通電されている状態ではあるが、オン状態よりも機能が制限された状態である。アイドル状態は、オン状態よりも消費電力が少ない。例えば、アイドル状態は、他の機器と通信をする頻度がオン状態よりも少ない。また例えば、アイドル状態は、他の機器との通信量がオン状態よりも少ない。また例えば、アイドル状態は、他の機器との通信速度がオン状態よりも遅い。

　本実施形態では、切替場所には、認証端末３０が配置されており、切替部２０９は、第２無線通信部２３Ｂが認証端末３０に近づいた場合に、第２無線通信部２３Ｂをオフ状態からオン状態に切り替える。認証端末３０に近づくことの意味は、実施形態１で説明した通りであり、ここでは、通信可能領域Ａ１内に入ることを意味する。切替部２０９は、第２無線通信部２３Ｂが通信可能領域に入った場合に、第２無線通信部２３Ｂをオフ状態からオン状態に切り替える。

［２－２．実施形態２において実行される処理］
　図１５は、実施形態２において実行される処理を示すフロー図である。実施形態２においても、実施形態１と同様の処理が実行されてよく、第２無線通信部２３Ｂがオフ状態の場合に、以降説明する処理が実行される。図１５に示す処理は、制御部２１が記憶部２２に記憶されたプログラムに従って動作することによって実行される。下記に説明する処理は、図１３に示す機能ブロックにより実行される処理の一例である。

　まず、図１５に示すように、ユーザ端末２０においては、制御部２１は、ＧＰＳ受信部２６により受信された信号に基づいて、第２無線通信部２３Ｂの位置情報を取得する（Ｓ２００）。Ｓ２００の処理は、Ｓ１００及びＳ１２１と同様である。

　制御部２１は、記憶部２２に記憶された認証端末リストＬ１を参照し、認証端末３０の場所情報を取得する（Ｓ２０１）。Ｓ２０１においては、制御部２１は、認証端末リストＬ１に格納された場所情報を参照する。

　制御部２１は、Ｓ２００で取得した位置情報と、Ｓ２０１で取得した場所情報と、に基づいて、第２無線通信部２３Ｂが切替場所にいるか否かを判定する（Ｓ２０２）。Ｓ２０２の処理は、Ｓ１０１の処理と同様である。

　第２無線通信部２３Ｂが切替場所にいると判定されない場合（Ｓ２０２；Ｎ）、Ｓ２００の処理に戻る。一方、第２無線通信部２３Ｂが切替場所にいると判定された場合（Ｓ２０２；Ｙ）、制御部２１は、第２無線通信部２３Ｂをオフ状態からオン状態に切り替え（Ｓ２０３）、本処理は終了する。Ｓ２０３においては、制御部２１は、第２無線通信部２３Ｂに対し、回路内を通電させるためのスイッチをオンにするための命令を送る。以降、第２無線通信部２３Ｂがオン状態になり、実施形態１で説明したＳ１０２以降の処理が実行される。

　以上説明した実施形態２によれば、位置情報と場所情報とに基づいて、第２無線通信部２３Ｂの通電状態を切り替えることによって、第２無線通信部２３Ｂを必要なときにだけ自動的にオン状態にすることができ、ユーザの手間をかけずに電力消費を抑えることができる。例えば、ユーザは、第２無線通信部２３Ｂを利用する必要のないときはオフ状態にしておき、第２無線通信部２３Ｂを利用したい切替場所に近づいたときに第２無線通信部２３Ｂが自動的にオン状態にする場合、ユーザは、第２無線通信部２３Ｂをオン状態にする操作をする必要がなくなる。また例えば、ユーザは、第２無線通信部２３Ｂの利用を制限すべき切替場所から離れた場所にいるときはオン状態にしておき、切替場所に近づいたときに第２無線通信部２３Ｂが自動的にオフ状態になるので、ユーザは、第２無線通信部２３Ｂをオフ状態にする操作をする必要がなくなる。

　また、衛星からの信号を受信するＧＰＳ受信部により受信された信号に基づいて位置情報を取得することで、切替場所にいることを正確に特定し、第２無線通信部２３Ｂの通電状態を切り替えることができる。例えば、第２無線通信部２３Ｂがオフ状態であったとしても、他の手段を利用して位置情報を取得することができる。

　また、位置情報が示す位置と、場所情報が示す位置と、の距離が閾値未満になったか否かを判定し、距離が閾値未満になったと判定された場合に、第２無線通信部２３Ｂの通電状態を切り替えることで、切替場所にいることを正確に特定し、第２無線通信部２３Ｂの通電状態を切り替えることができる。

　また、オン状態の場合に、オフ状態とは異なるアイドル状態に移行可能な第２無線通信部２３Ｂをオフ状態からオン状態に切り替えることで、アイドル状態よりも電力消費を抑えることができる。

　また、切替場所に認証端末３０が配置されており、第２無線通信部２３Ｂがオフ状態からオン状態に切り替わった場合に認証が行われることで、ユーザの手間をかけずに認証を行い、認証時の電力消費を抑えることもできる。

［３．変形例］
　なお、本発明は、以上に説明した実施の形態に限定されるものではない。本発明の趣旨を逸脱しない範囲で、適宜変更可能である。

［３－１．実施形態１に係る変形例］
　（１－１）まず、実施形態１に係る変形例について説明する。例えば、実施形態１では、取得された認証情報と一致又は類似する登録された認証情報の数に基づいて、なりすましの可能性の有無が判定される場合を説明したが、なりすましの可能性の有無を判定する方法は、実施形態１で説明した例に限られない。

　本変形例の可能性判定部１０３は、認証端末３０の付近にいる複数のユーザの各々の登録された認証情報を互いに比較することによって、なりすましの可能性があるか否かを判定してもよい。登録された認証情報を取得する方法は、実施形態１で説明した通りであり、可能性判定部１０３は、ユーザデータベースＤＢ及び接近ユーザリストＬ２を参照し、認証端末３０の付近にいる複数のユーザの各々のユーザＩＤに関連付けられた認証情報を取得すればよい。

　可能性判定部１０３は、認証端末３０の付近にいる複数のユーザの登録された認証情報が互いに一致又は類似しない場合には、なりすましの可能性があると判定せず、これらが互いに一致又は類似する場合に、なりすましの可能性があると判定する。別の言い方をすれば、可能性判定部１０３は、互いに一致又は類似する認証情報の組み合わせが存在しない場合には、なりすましの可能性があると判定せず、この組み合わせが１組以上存在する場合に、なりすましの可能性があると判定する。

　実施形態１では、図１３に示すＳ１１４の処理により、なりすましの可能性があるか否かが判定されたが、本変形例では、Ｓ１１４の処理が実行される前に、認証端末３０の付近にいる複数のユーザの各々の認証情報が互いに比較されることによって、なりすましの可能性があるか否かが判定される。また例えば、ユーザがボタンＢ３５をタッチする前に、接近ユーザリストＬ２が参照され、接近ユーザリストＬ２にユーザＩＤが格納されたユーザの認証情報が互いに比較されることによって、なりすましの可能性があるか否かが判定されるようにしてもよい。

　変形例（１－１）によれば、認証端末３０の付近にいる複数のユーザの各々の登録された認証情報を互いに比較し、なりすましの可能性があると判定されることで、なりすましの可能性の有無を正確に判定することができる。また、なりすましの可能性を判定するために、認証端末３０を利用して取得された認証情報を参照しないので、なりすましの可能性の判定をより早い段階で実行することができる。これにより、ユーザがボタンＢ３５をタッチする前に、早い段階で認証制限通知を認証端末３０に表示させることができる。ユーザは、認証の成功が制限されることを早い段階で知り、周囲にいる他のユーザに対し、認証端末３０から離れるように促すことができるので、ユーザの利便性を高めることができる。更に、ボタンＢ３５がタッチされると、撮影部３６により撮影された画像から顔の特徴量を計算したり、取得された認証情報と登録された認証情報とを比較する処理を実行したりする必要があり、サーバ１０の処理負荷が高まる可能性があるが、なりすましの可能性を事前に判定し、認証の成功を制限することで、これらの処理を実行する必要がなくなり、サーバ１０の処理負荷を低減することができる。

　（１－２）また例えば、認証端末３０の撮影部３６がユーザの顔を撮影した場合に、その付近にいる他のユーザの顔も撮影されている場合には、画像に撮影された顔を比較することによって、顔の似たユーザがいるか否かを判定することができる。このため、可能性判定部１０３は、認証端末３０を利用して取得された、認証端末３０の付近にいる複数のユーザの各々の認証情報を互いに比較することによって、なりすましの可能性があるか否かを判定してもよい。

　可能性判定部１０３は、認証端末３０の付近にいる複数のユーザの各々の取得された認証情報が互いに一致又は類似しない場合には、なりすましの可能性があると判定せず、これらが互いに一致又は類似する場合に、なりすましの可能性があると判定する。別の言い方をすれば、可能性判定部１０３は、互いに一致又は類似する認証情報の組み合わせが存在しない場合には、なりすましの可能性があると判定せず、この組み合わせが１組以上存在する場合に、なりすましの可能性があると判定する。

　実施形態１では、図１３に示すＳ１１４の処理により、なりすましの可能性があるか否かが判定されたが、本変形例では、Ｓ１１４の処理が実行される前に、認証端末３０の付近にいる複数のユーザの各々の取得された認証情報が互いに比較されることによって、なりすましの可能性があるか否かが判定される。この処理は、サーバ１０によって実行されてもよいし、認証端末３０によって実行されてもよい。認証端末３０によってなりすましの可能性の有無が判定される場合には、サーバ１０に画像などを送信することなく、認証の成功が制限されるか否かを判定することができる。

　変形例（１－２）によれば、認証端末３０の付近にいる複数のユーザの各々の取得された認証情報を互いに比較し、なりすましの可能性があると判定されることで、なりすましの可能性の有無を正確に判定することができる。また、なりすましの可能性を判定するために、サーバ１０に登録された認証情報を参照しないので、なりすましの可能性の判定をより早い段階で実行することができる。これにより、より早い段階で認証制限通知を認証端末３０に表示させることができる。ユーザは、認証の成功が制限されることを早い段階で知り、周囲にいる他のユーザに対し、認証端末３０から離れるように促すことができるので、ユーザの利便性を高めることができる。更に、サーバ１０が、撮影部３６により撮影された画像から顔の特徴量を計算したり、取得された認証情報と登録された認証情報とを比較する処理を実行したりすると、サーバ１０の処理負荷が高まる可能性があるが、なりすましの可能性を認証端末３０側で事前に判定し、認証の成功を制限することで、これらの処理を実行する必要がなくなり、サーバ１０の処理負荷を低減することができる。

　（１－３）また例えば、実施形態１では、ユーザがセキュリティゲートＳＧを通過する場面を例に挙げたが、認証システムＳは、任意の場面で利用可能である。例えば、認証システムＳは、サービスを提供する場面においても利用可能である。サービスは、任意のサービスであってよく、例えば、商品の販売サービス、飲食物の提供サービス、散髪やエステなどの美容サービス、金融サービス、又は保険サービスなどである。

　制限部１０４は、可能性判定部１０３によりなりすましの可能性があると判定された場合に、認証の成功を制限することによって、認証端末３０を利用したサービスの提供を制限することになる。サービスの提供を制限するとは、サービスを提供するための情報処理を実行しないことであり、例えば、決済処理を実行しないこと、及び、商品を購入した場合に表示される「ありがとうございます」等のメッセージを表示させないことなどである。

　本変形例では、例えば、認証端末３０は、自動販売機、券売機、ＰＯＳ端末、又は店舗における支払端末である。ユーザは、認証端末３０の撮影部３６に顔を向けて顔認証が成功すると、決済処理が実行され、商品を購入したり、サービスを利用したりすることができる。例えば、サーバ１０は、顔認証が成功した場合に、顔認証が成功したユーザの決済情報に基づいて決済処理を実行してもよい。決済処理の際に参照される決済情報は、顔認証が成功したユーザに関連付けられた決済情報である。

　決済情報は、決済をするために必要な情報であり、例えば、クレジットカード情報、電子バリュー（例えば、電子マネー又はポイント）のアカウント情報、仮想通貨のアカウント情報、銀行口座情報、又はデビットカード情報などである。決済情報は、ユーザ登録時などに登録され、例えば、ユーザデータベースＤＢに、ユーザＩＤに関連付けて決済情報が格納されているものとする。なお、決済情報は、ユーザデータベースＤＢとは異なるデータベースに格納されていてもよい。

　サーバ１０は、決済情報に応じた決済処理を実行すればよく、例えば、クレジットカード情報に基づく与信処理、電子バリューの残高を減少させる処理、仮想通貨の残高を減少させる処理、銀行口座から引き落としや振り込みをする処理、又はデビットカード情報が示す口座の残高を減少させる処理などを実行する。サーバ１０は、認証端末３０の付近に、互いに顔が似た複数のユーザがいる場合には決済処理を実行せず、互いに顔が似た複数のユーザがおらず、認証が成功した場合に決済処理を実行する。

　決済処理が実行された場合、認証端末３０の表示部３５又は店舗の端末などに、その旨が表示され、ユーザは商品を受け取ったり、サービスを利用したりする。例えば、認証端末３０が店舗などに設置されたデジタルサイネージ装置である場合、サーバ１０から認証成功通知を受信すると、認証が成功したことを示すメッセージが表示部３５に表示される。店舗のスタッフは、当該メッセージを確認すると、ユーザに商品を渡したりサービスを提供したりする。なお、メッセージは、認証端末３０ではなく、店舗のスタッフが操作する端末などの他のコンピュータに転送されて表示されてもよい。また例えば、認証端末３０が自動販売機であれば、サーバ１０から認証成功通知を受信すると、認証端末３０は、ユーザが指定した商品を排出したり、コーヒーやインスタント食品などの商品を調理したりする。

　変形例（１－３）によれば、顔が類似する他のユーザがなりすまして決済し、不正に商品を購入したりサービスを利用したりすることを防止し、商品の購入時やサービスの利用時におけるセキュリティを十分に高めることができる。また、ユーザからしてみれば、ユーザ端末２０だけを持って財布を持たなくても、セキュリティを担保した決済が可能になるので、ユーザの利便性を向上させることができる。店舗からしてみても、クレジットカードの読取装置などの専用の装置を用意しなくても決済が可能となるので、店舗の利便性を向上させることもできる。

　（１－４）また例えば、第２無線通信部２３Ｂは、Ｂｌｕｅｔｏｏｔｈ（登録商標）以外の通信規格であってもよい。例えば、第２無線通信部２３Ｂは、Ｗｉ－Ｆｉであってもよい。この場合、認証端末３０は、認証端末３０の付近にいるユーザの無線通信ＩＤを自発的に取得することができないので、ユーザ端末２０において、認証端末３０の付近にいるか否かが判定されてもよい。

　図１６及び図１７は、第２無線通信部２３ＢがＷｉ－Ｆｉである場合のフロー図である。図１６及び図１７に示す処理は、制御部１１，２１，３１が、それぞれ記憶部１２，２２，３２に記憶されたプログラムに従って動作することによって実行される。

　図１６に示すように、Ｓ３００及びＳ３０１の処理は、Ｓ１００及びＳ１０１の処理と同様である。認証端末３０に近づいたと判定された場合（Ｓ３０１；Ｙ）、制御部２１は、第２無線通信部２３Ｂが受信した信号の強度（ＲＳＳＩ）をスキャンし、認証端末３０との距離を計測する（Ｓ３０２）。Ｓ３０２の処理は、Ｓ１０７の処理と同様であるが、Ｓ１０７ではＢｌｕｅｔｏｏｔｈ（登録商標）の信号強度が用いられるのに対し、Ｓ３０２ではＷｉ－Ｆｉの信号強度が用いられる点で異なる。

　制御部２１は、認証端末３０との距離が閾値未満であるか否かを判定する（Ｓ３０３）。Ｓ３０３においては、制御部２１は、ユーザが認証可能領域Ａ２の中にいるか否かを判定する。

　認証端末３０との距離が閾値以上であると判定されない場合（Ｓ３０３；Ｎ）、Ｓ３０２の処理に戻る。一方、認証端末３０との距離が閾値未満であると判定された場合（Ｓ３０３；Ｙ）、制御部２１は、第１無線通信部２３Ａを利用して、サーバ１０に対し、接近通知を送信する（Ｓ３０４）。Ｓ３０４の処理は、Ｓ１０２の処理と同様であるが、Ｓ１０２においては、ユーザが通信可能領域Ａ１の中に入った場合に接近通知が送信されるのに対し、Ｓ３０４においては、ユーザが認証可能領域Ａ２の中に入った場合に接近通知が送信される点で異なる。

　続くＳ３０５～Ｓ３０８の処理は、Ｓ１０３、Ｓ１０４、Ｓ１０９、Ｓ１１０の処理と同様である。ただし、本変形例の認証端末３０は、ユーザ端末２０の第２無線通信部２３Ｂの無線通信ＩＤを取得しないので、Ｓ３０８において送信される認証要求には、無線通信ＩＤが含まれない。即ち、Ｓ３０８において送信される認証要求は、認証端末ＩＤ及び撮影部３６が撮影した画像だけが含まれる。

　続くＳ３０９～Ｓ３２２の処理は、Ｓ１１１～Ｓ１２４の処理と同様である。ただし、Ｓ１１２においては、接近ユーザリストＬ２のうち、認証要求に含まれる認証端末ＩＤ及び無線通信ＩＤに関連付けられたユーザＩＤが取得されるが、Ｓ３１０においては、接近ユーザリストＬ２のうち、認証要求に含まれる認証端末ＩＤに関連付けられたユーザＩＤが参照される点で異なる。また、Ｓ３２０においては、制御部２１は、ユーザが認証可能領域Ａ２の中にいるか否かを判定する。

　変形例（１－４）によれば、Ｗｉ－Ｆｉなどのように、認証端末３０側でユーザ端末２０との距離を計算できない通信規格を利用した場合であったとしても、なりすましを防止してセキュリティを高めることができる。

［３－２．実施形態２に係る変形例］
　（２－１）次に、実施形態２に係る変形例について説明する。実施形態２では、ＧＰＳ受信部２６により受信された信号に基づいて、切替場所にいるか否かが判定される場合を説明したが、切替場所にいるか否かを判定する方法は、ＧＰＳ受信部２６を利用した方法に限られない。

　例えば、ユーザ端末２０が、第２無線通信部２３Ｂと、第２無線通信部２３Ｂとは異なる他の無線通信部である第１無線通信部２３Ａと、を含む場合には、位置情報取得部２０７は、他の無線通信部である第１無線通信部２３Ａの通信内容に基づいて、位置情報を取得してもよい。本変形例では、位置情報は、アクセスポイント情報、ビーコン情報、又は携帯基地局情報であり、場所情報は、認証端末３０又はその付近にあるアクセスポイント、ビーコン、又は携帯基地局の識別情報となる。

　切替部２０９は、位置情報が示すアクセスポイント情報、ビーコン情報、又は携帯基地局情報と、場所情報が示すアクセスポイント情報、ビーコン情報、又は携帯基地局情報と、が一致するか否かを判定することによって、ユーザが切替場所又はその付近にいるか否かを判定する。切替部２０９は、これらが一致すると判定されない場合には、ユーザが切替場所又はその付近にいると判定せず、これらが一致すると判定された場合に、ユーザが切替場所又はその付近にいると判定する。ユーザが切替場所又はその付近にいると判定された後の処理は、実施形態２で説明した通りである。

　変形例（２－１）によれば、第２無線通信部２３Ｂとは異なる他の無線通信部である第１無線通信部２３Ａの通信内容に基づいて位置情報を取得することで、切替場所にいることを正確に特定し、第２無線通信部２３Ｂの通電状態を切り替えることができる。例えば、第２無線通信部２３Ｂがオフ状態であったとしても、他の手段を利用して位置情報を取得することができる。

　（２－２）また例えば、場所情報は、切替場所の位置をピンポイントで示すのではなく、一定の広さを有する切替場所の領域を示してもよい。

　切替部２０９は、位置情報が示す位置が、場所情報が示す領域に含まれるか否かを判定する。例えば、位置情報が緯度経度情報又は座標情報である場合には、場所情報は、地図上又はｎ次元空間（ｎは座標情報の次元数を示す数値）内に設定された一定の広さを有する領域となる。切替部２０９は、第２無線通信部２３Ｂの位置に関する緯度経度情報又は座標情報が、地図上又はｎ次元空間内の領域に含まれるか否かを判定することによって、ユーザが切替場所又はその付近にいるか否かを判定する。

　切替部２０９は、位置情報が示す位置が、場所情報が示す領域に含まれると判定された場合に、第２無線通信部２３Ｂの通電状態を切り替える。例えば、切替部２０９は、位置情報が示す位置が、場所情報が示す領域に含まれると判定された場合に、第２無線通信部２３Ｂをオン状態からオフ状態に切り替える。また例えば、切替部２０９は、位置情報が示す位置が、場所情報が示す領域に含まれると判定された場合に、第２無線通信部２３Ｂをオフ状態からオン状態に切り替える。

　変形例（２－２）によれば、位置情報が示す位置が、場所情報が示す領域に含まれるか否かを判定し、含まれると判定された場合に、第２無線通信部２３Ｂの通電状態を切り替えることで、切替場所にいることを正確に特定し、第２無線通信部２３Ｂの通電状態を切り替えることができる。

　（２－３）また例えば、ユーザが切替場所に移動した後に切替場所から出た場合に、第２無線通信部２３Ｂを元の状態に戻してもよい。

　切替部２０９は、位置情報と場所情報とに基づいて、ユーザが切替場所から遠ざかったか否かを判定する。例えば、場所情報が切替場所の位置を示す場合、切替部２０９は、位置情報が示す位置と、場所情報が示す位置と、の距離が、閾値未満の状態から閾値以上の状態になったか否かを判定することによって、ユーザが切替場所から遠ざかったか否かを判定する。また例えば、場所情報が切替場所の領域を示す場合、切替部２０９は、位置情報が示す位置が場所情報が示す領域に含まれる状態から含まれない状態になったか否かを判定することによって、ユーザが切替場所から遠ざかったか否かを判定する。

　例えば、切替部２０９は、第２無線通信部２３Ｂが切替場所に近づいた場合に、第２無線通信部２３Ｂをオフ状態からオン状態に切り替えて、第２無線通信部２３Ｂが場所から遠ざかった場合に、第２無線通信部２３Ｂをオン状態からオフ状態に切り替える。

　また例えば、切替部２０９は、第２無線通信部２３Ｂが切替場所に近づいた場合に、第２無線通信部２３Ｂをオン状態からオフ状態に切り替えて、第２無線通信部２３Ｂが切替場所から遠ざかった場合に、第２無線通信部２３Ｂをオフ状態からオン状態に切り替える。

　変形例（２－３）によれば、第２無線通信部２３Ｂが切替場所から遠ざかった場合に、第２無線通信部２３Ｂを元の状態に戻すことによって、ユーザの手間をかけずに電力消費を抑えることができる。

　（２－４）また例えば、実施形態２に係る無線通信システムは、任意の場面に適用可能であり、認証システムＳ以外に適用してもよい。例えば、切替場所が飛行機の機内の場合、ユーザが飛行機の機内に乗り込んだときに、無線通信システムは、第２無線通信部２３Ｂをオン状態からオフ状態に切り替えてもよい。また例えば、無線通信システムは、ユーザが飛行機から出たときに第２無線通信部２３Ｂをオフ状態からオン状態に切り替えてもよい。また例えば、切替場所が映画館や試験会場の場合、ユーザが映画館や試験会場に入ったときに、無線通信システムは、第２無線通信部２３Ｂをオン状態からオフ状態に切り替えてもよい。また例えば、無線通信システムは、ユーザが映画館や試験会場から出たときに第２無線通信部２３Ｂをオフ状態からオン状態に切り替えてもよい。

　また例えば、ユーザが切替場所を指定してもよい。例えば、ユーザは、自宅や勤務先などを切替場所として指定してもよい。また例えば、第２無線通信部２３Ｂの通信内容に基づいて、位置情報が取得されてもよい。この場合、切替部２０９は、第２無線通信部２３Ｂがオン状態の場合に、第２無線通信部２３Ｂの通信内容に基づいて、第２無線通信部２３Ｂをオン状態からオフ状態に切り替える。また例えば、切替部２０９は、第２無線通信部２３Ｂではなく、第１無線通信部２３Ａの通電状態を切り替えてもよい。

［３－３．その他の変形例］
　（３）また例えば、上記変形例を組み合わせてもよい。

　また例えば、撮影部３６は、ユーザがボタンＢ３５をタッチした場合に撮影するのではなく、特にユーザが操作をしなくても撮影してもよい。撮影部３６は、所定のフレームレートに基づいて、連続的に撮影をしてもよい。他にも例えば、撮影部３６は、ユーザが所定の音声を発したり所定のジェスチャをしたりした場合に、ユーザの顔を撮影してもよい。また例えば、ユーザ端末２０と認証端末３０とがペアリングしない場合を説明したが、これらはペアリングしてもよい。

　また例えば、認証端末３０の撮影部３６で撮影された画像に基づいて、生体認証が実行される場合を説明したが、赤外線センサ又は超音波センサなどといった他のセンサを利用して生体認証が実行されてもよい。認証システムＳは、利用する生体認証に応じたセンサを含めばよい。また例えば、生体認証以外の認証を利用してもよい。例えば、ユーザが認証端末３０に対してパスワードを入力してもよい。この場合、認証端末３０の付近に、互いに同じパスワードを利用する複数のユーザがいる場合のなりすましを防止することができる。

　また例えば、各機能は、複数のコンピュータで分担されてもよい。例えば、サーバ１０、ユーザ端末２０、及び認証端末３０の各々で機能が分担されてもよい。例えば、認証処理がサーバ１０で実行されるのではなく、ユーザ端末２０又は認証端末３０で実行されてもよい。また例えば、認証システムＳが複数のサーバコンピュータを含む場合には、これら複数のサーバコンピュータで機能が分担されてもよい。また例えば、データ記憶部１００で記憶されるものとして説明したデータは、サーバ１０以外のコンピュータによって記憶されてもよい。

Claims

　認証端末を利用して取得された認証情報と、前記認証端末の付近にいるユーザの識別情報に関連付けられて記憶手段に登録された認証情報と、に基づいて、認証を行う認証手段と、
　前記認証端末の付近に複数のユーザがいる場合に、一のユーザが他のユーザとして認証される可能性があるか否かを判定する可能性判定手段と、
　前記可能性があると判定された場合に、前記認証の成功を制限する制限手段と、
　含むことを特徴とする認証システム。
　前記制限手段は、前記可能性があると判定されて前記認証の成功が制限された後に、前記可能性があると判定されなくなった場合に、前記認証の成功を許可する、
　ことを特徴とする請求項１に記載の認証システム。
　前記認証手段は、前記取得された認証情報と前記登録された認証情報とが一致又は類似するか否かを判定することによって、前記認証を行い、
　前記可能性判定手段は、前記取得された認証情報と一致又は類似する前記登録された認証情報が複数存在する場合に、前記可能性があると判定する、
　ことを特徴とする請求項１又は２に記載の認証システム。
　前記認証システムは、前記可能性があると判定された場合に、前記複数のユーザのうちの少なくとも１人に対し、所定の通知を行う通知手段、
　を更に含むことを特徴とする請求項１～３の何れかに記載の認証システム。
　前記認証システムは、前記認証端末に近づいたユーザ端末から前記識別情報を取得する識別情報取得手段を更に含み、
　前記認証手段は、前記ユーザ端末から取得された識別情報に基づいて前記登録された認証情報を取得し、前記認証を行う、
　ことを特徴とする請求項１～４の何れかに記載の認証システム。
　前記認証システムは、前記認証端末に近づいたユーザ端末が前記認証端末から離れた場合に、前記登録された認証情報が前記認証で使用されないように除外する除外手段、
　を更に含むことを特徴とする請求項５に記載の認証システム。
　前記認証システムは、前記ユーザ端末を含み、
　前記ユーザ端末は、
　前記認証端末の位置に関する認証端末位置情報を取得する第１取得手段と、
　前記ユーザ端末の位置に関するユーザ端末位置情報を取得する第２取得手段と、
　前記認証端末位置情報と前記ユーザ端末位置情報とに基づいて、前記認証端末に近づいたか否かを判定する接近判定手段と、
　前記認証端末に近づいたと判定された場合に、前記識別情報を送信する識別情報送信手段と、
　を含むことを特徴とする請求項５又は６に記載の認証システム。
　前記ユーザ端末は、
　前記認証端末位置情報と前記ユーザ端末位置情報とに基づいて、前記認証端末から離れたか否かを判定する離脱判定手段と、
　前記認証端末から離れたと判定された場合に、所定の通知を送信する通知送信手段と、
　を更に含み、
　前記認証システムは、前記所定の通知を受信した場合に、前記登録された認証情報が前記認証で使用されないように除外する除外手段、
　を更に含むことを特徴とする請求項７に記載の認証システム。
　前記認証システムは、前記認証端末とユーザ端末との間で行われた近距離無線通信の通信内容に基づいて、前記認証端末の付近にユーザがいるか否かを判定する通信内容判定手段を更に含み、
　前記可能性判定手段は、前記近距離無線通信の通信内容に基づいて前記認証端末の付近に複数のユーザがいると判定された場合に、前記可能性があるか否かを判定する、
　ことを特徴とする請求項１～８の何れかに記載の認証システム。
　前記近距離無線通信では、前記認証端末と前記ユーザ端末との距離を計測可能であり、
　前記通信内容判定手段は、前記近距離無線通信により計測された距離に基づいて、前記認証端末の付近にユーザがいるか否かを判定する、
　ことを特徴とする請求項９に記載の認証システム。
　前記可能性判定手段は、前記認証端末の付近にいる前記複数のユーザの各々の前記登録された認証情報を互いに比較することによって、前記可能性があるか否かを判定する、
　ことを特徴とする請求項１～１０の何れかに記載の認証システム。
　前記可能性判定手段は、前記認証端末を利用して取得された、前記認証端末の付近にいる前記複数のユーザの各々の認証情報を互いに比較することによって、前記可能性があるか否かを判定する、
　ことを特徴とする請求項１～１１の何れかに記載の認証システム。
　前記認証手段は、前記認証端末を利用して取得された生体認証情報と、前記登録された生体認証情報と、に基づいて、前記認証を行う、
　ことを特徴とする請求項１～１２の何れかに記載の認証システム。
　前記制限手段は、前記判定手段により前記可能性があると判定された場合に、前記認証の成功を制限することによって、前記認証端末を利用したサービスの提供を制限する、
　ことを特徴とする請求項１～１３の何れかに記載の認証システム。
　請求項１～１４の何れかに記載の認証端末であって、
　前記認証端末の付近にいるユーザの認証情報を取得する認証情報取得手段と、
　当該取得された認証情報を送信する送信手段と、
　を含むことを特徴とする認証端末。
　請求項１～１４の何れかに記載の認証端末の位置に関する認証端末位置情報を取得する第１取得手段と、
　自身の位置に関するユーザ端末位置情報を取得する第２取得手段と、
　前記認証端末位置情報と前記ユーザ端末位置情報とに基づいて、前記認証端末に近づいたか否かを判定する接近判定手段と、
　前記認証端末に近づいたと判定された場合に、前記識別情報を送信する送信手段と、
　を含むことを特徴とするユーザ端末。
　認証端末を利用して取得された認証情報と、前記認証端末の付近にいるユーザの識別情報に関連付けられて記憶手段に登録された認証情報と、に基づいて、認証を行う認証ステップと、
　前記認証端末の付近に複数のユーザがいる場合に、一のユーザが他のユーザとして認証される可能性があるか否かを判定する可能性判定ステップと、
　前記可能性があると判定された場合に、前記認証の成功を制限する制限ステップと、
　を含むことを特徴とする認証方法。
　請求項１～１４の何れかに記載の認証端末を、
　前記認証端末の付近にいるユーザの認証情報を取得する認証情報取得手段、
　当該取得された認証情報を送信する送信手段、
　として機能させるためのプログラム。
　請求項１～１４の何れかに記載の認証端末の位置に関する認証端末位置情報を取得する第１取得手段、
　自身の位置に関するユーザ端末位置情報を取得する第２取得手段、
　前記認証端末位置情報と前記ユーザ端末位置情報とに基づいて、前記認証端末に近づいたか否かを判定する接近判定手段、
　前記認証端末に近づいたと判定された場合に、前記識別情報を送信する送信手段、
　としてコンピュータを機能させるためのプログラム。