WO2021020408A1

WO2021020408A1 - 制御方法、サーバ、及び、プログラム

Info

Publication number: WO2021020408A1
Application number: PCT/JP2020/028947
Authority: WO
Inventors: 勇二海上; 淳児道山; 添田　純一郎; 直央西田; 雄揮廣瀬; 哲司渕上; 大森　基司
Original assignee: パナソニックインテレクチュアルプロパティコーポレーションオブアメリカ
Priority date: 2019-08-01
Filing date: 2020-07-28
Publication date: 2021-02-04
Also published as: US20220147984A1; JPWO2021020408A1; CN114127773A

Abstract

制御方法は、事業者から提供されたサービスをグループ単位で利用した場合における一のグループに属するユーザ毎の利用実績に関する実績情報を生成する生成装置と、複数のサーバとを備えるシステムにおける、複数のサーバのうちの第１サーバによって実行される制御方法であって、一のグループに属する第１ユーザによるサービスの第１利用実績に関する第１実績情報を生成装置から取得し（Ｓ１０７）、取得した第１実績情報が、第１サーバに記憶されている第１ユーザおよび事業者の間で締結された契約に基づくルールで許容されるか否かを判定し（Ｓ１１１）、判定による判定結果を含む第１トランザクションデータを、複数のサーバのうちの第１サーバとは異なる複数の第２サーバに転送し（Ｓ１１３）、かつ、第１トランザクションデータを含む第１ブロックを第１サーバが管理する分散台帳に格納する（Ｓ１１４）。

Description

制御方法、サーバ、及び、プログラム

　本開示は、制御方法、サーバ、及び、プログラムに関する。

　例えば特許文献１には、各ユーザで使用する必要な最大電流容量を把握し、把握した最大電流容量に応じて契約電流を決定する方法が開示されている。

特開２００２－１５９１３８号公報

　しかしながら、特許文献１に開示されている方法では、電力会社などの事業者と各ユーザとが個別契約するため、事業者と一人のユーザとが結託し、他のユーザと比べると公平でない契約内容で契約される場合を抑制することができないという問題がある。

　例えば、マンションなどの集合住宅において、各戸のユーザと電力会社とが個別契約するとする。この場合、電力会社と一人のユーザとが結託し、当該ユーザの住宅のみ電力量の配分を多くしてもらったり１ｋｗ当たりの料金を安くしてもらったりと他のユーザと比べて優遇された契約内容で契約する場合がある。ここで、集合住宅の各戸の契約内容を集合住宅全体で閲覧可能に管理されていたとしても、各戸のユーザが他のユーザの契約内容を積極的に見に行き、公平な契約であるかを確認するというようなことは担保できない。つまり、事業者と各ユーザとが個別契約する場合、電力会社と一人のユーザとが結託し、優遇された契約内容で契約することを抑制することができない。

　また、例えば、自動車を含む車両のシェアリングサービスにおいて、利用者である各ユーザとサービス提供事業者とで個別契約するとする。この場合にも、サービス提供事業者と一人のユーザとが結託し、他のユーザと同一料金で当該ユーザのみシェア時間を多くしてもらうなど他のユーザと比べて優遇された契約内容で契約する場合がある。このような場合、利用者である各ユーザの契約内容を利用者全体で閲覧可能に管理されていても、上記と同様に、各ユーザが他のユーザの契約内容を積極的に見に行き、公平な契約であるかを確認するというようなことは担保できない。つまり、サービス提供事業者と各ユーザとが個別契約する場合、サービス提供事業者と一人のユーザとが結託し、優遇された契約内容で契約することを抑制することができない。

　本開示は、上述の事情を鑑みてなされたもので、新たに締結された契約をより確実に監査させることができる制御方法、サーバ、及び、プログラムを提供することを目的とする。

　本開示の一態様に係る制御方法は、事業者から提供されたサービスをグループ単位で利用した場合における一のグループに属するユーザ毎の利用実績に関する実績情報を生成する生成装置と、複数のサーバとを備えるシステムにおける、前記複数のサーバのうちの第１サーバによって実行される制御方法であって、前記一のグループに属する第１ユーザによる第１利用実績に関する第１実績情報を前記生成装置から取得し、取得した前記第１実績情報が、前記第１サーバに記憶されている前記第１ユーザおよび前記事業者の間で締結された契約の契約内容に基づくルールで許容されるか否かを判定し、前記判定による判定結果を含む第１トランザクションデータを、前記複数のサーバのうちの前記第１サーバとは異なる複数の第２サーバに転送し、かつ、前記第１トランザクションデータを含む第１ブロックを前記第１サーバが管理する分散台帳に格納する。

　なお、これらの包括的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータで読み取り可能なＣＤ－ＲＯＭなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラム及び記録媒体の任意な組み合わせで実現されてもよい。

　本開示によれば、新たに締結された契約をより確実に監査させることができる。

図１は、実施の形態１に係る管理システムの構成の一例を示す図である。図２は、実施の形態１に係る事業者端末の構成の一例を示す図である。図３は、実施の形態１に係る生成装置の構成の一例を示す図である。図４は、実施の形態１に係る端末の構成の一例を示す図である。図５は、実施の形態１に係る認証サーバの構成の一例を示す図である。図６は、実施の形態１に係る管理システムの監査処理を示すシーケンス図である。図７は、実施の形態１に係る管理システムの監査処理を示すシーケンス図である。図８は、実施の形態１の変形例１に係る管理システムの監査処理を示すシーケンス図である。図９は、実施の形態１の変形例２に係る管理システムの監査処理を示すシーケンス図である。図１０は、実施の形態２に係る管理システムの構成の一例を示す図である。図１１は、シェアリングサービス提供事業の事業者とユーザとの間の契約について説明するための図である。図１２は、実施の形態２に係る生成装置の構成の一例を示す図である。図１３は、実施の形態２に係る端末の構成の一例を示す図である。図１４は、実施の形態２に係る管理システムの監査処理を示すシーケンス図である。図１５は、実施の形態２に係る管理システムの監査処理を示すシーケンス図である。図１６は、実施の形態２の変形例１に係る管理システムの監査処理を示すシーケンス図である。図１７は、実施の形態２の変形例２に係る管理システムの監査処理を示すシーケンス図である。図１８は、実施の形態３に係る管理システムの構成の一例を示す図である。図１９は、実施の形態３に係る事業者端末の構成の一例を示す図である。図２０は、実施の形態３に係る端末の構成の一例を示す図である。図２１は、実施の形態３に係る管理システムの監査処理を示すシーケンス図である。図２２は、実施の形態３に係る管理システムの監査処理を示すシーケンス図である。図２３は、実施の形態３の変形例１に係る管理システムの構成の一例を示す図である。図２４は、実施の形態３の変形例１に係るエージェントサーバの構成の一例を示す図である。図２５は、実施の形態３の変形例１に係る管理システムの監査処理を示すシーケンス図である。図２６は、実施の形態３の変形例１に係る管理システムの監査処理を示すシーケンス図である。図２７は、実施の形態３の変形例２に係る管理システムの構成の一例を示す図である。図２８は、実施の形態３の変形例２に係る認証サーバの構成の一例を示す図である。図２９は、実施の形態３の変形例２に係る管理システムの監査処理を示すシーケンス図である。図３０は、実施の形態３の変形例２に係る管理システムの監査処理を示すシーケンス図である。

　これにより、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かを容易に判定することができる。

　また、例えば、さらに、第１のタイミングが到来したか否かを判定し、前記第１のタイミングが到来したと判定した場合、前記第１実績情報が前記ルールで許容されるか否かを判定してもよい。

　このため、判定する回数を抑制することができる。

　また、例えば、さらに、前記判定結果が、前記第１実績情報が前記ルールで許容されないことを示す場合、前記第１ユーザとは異なり、かつ、前記一のグループに属する第２ユーザの端末へ、前記契約内容および前記第１実績情報を送信し、前記端末から前記契約内容および前記第１実績情報についての前記第２ユーザによる確認結果を取得し、取得した前記確認結果を、前記複数の第２サーバに転送し、かつ、前記確認結果を含む第２ブロックを前記分散台帳に格納してもよい。

　このため、第２ユーザに確認させる契約内容及び実績情報を、第１実績情報がルールで許容されないおそれがある第１ユーザの契約内容及び第１実績情報に絞り込むことができる。よって、第２ユーザに通知される契約内容及び実績情報の情報量を抑制することができ、通信量を低減することができる。

　また、例えば、さらに、取得した前記第１実績情報を、前記複数の第２サーバに転送し、かつ、前記第１実績情報を含む第３ブロックを前記分散台帳に格納してもよい。

　これにより、判定結果が分散台帳に格納されるので、その判定結果が、後日に改ざんされることを防止することができる。

　また、例えば、前記第１ブロックを前記分散台帳に格納する際、前記複数の第２サーバとともに、前記第１トランザクションデータを含むトランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行し、前記コンセンサスアルゴリズムによって前記トランザクションデータの正当性について合意された場合、前記トランザクションデータを含むブロックを前記分散台帳に格納してもよい。

　また、例えば、前記システムは、前記ユーザ毎にそれぞれ使用される複数の端末をさらに備え、前記複数の端末はそれぞれ、前記分散台帳を有し、前記第１トランザクションデータを含むブロックを前記分散台帳に格納する際、前記複数の端末とともに、前記第１トランザクションデータを含むトランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行し、前記コンセンサスアルゴリズムによって前記トランザクションデータの正当性について合意された場合、前記トランザクションデータを含むブロックを前記分散台帳に格納してもよい。

　また、例えば、前記トランザクションデータを含むブロックを前記分散台帳に格納する際、前記トランザクションデータをブロックチェーンのトランザクションデータとして前記分散台帳に格納してもよい。

　また、例えば、前記第１実績情報は、前記第１ユーザによる前記サービスの利用量、または、利用時間が増加するにしたがって増加する実績値を含み、前記ルールでは、前記第１実績情報が前記契約内容に含まれる閾値を超えることが許容されなくてもよい。

　本開示の一態様に係るサーバは、事業者から提供されたサービスをグループ単位で利用した場合における一のグループに属するユーザ毎の利用実績に関する実績情報を生成する生成装置と、複数のサーバとを備えるシステムにおける、前記複数のサーバのうちの一つのサーバであって、プロセッサと、メモリと、を備え、前記プロセッサは、一のグループに属する第１ユーザによる第１利用実績に関する第１実績情報を前記生成装置から取得し、取得した前記第１実績情報が、前記サーバに記憶されている前記第１ユーザおよび前記事業者の間で締結された契約に基づくルールで許容されるか否かを判定し、前記判定による判定結果を含む第１トランザクションデータを、前記複数のサーバのうちの前記一つのサーバとは異なる複数の他のサーバに転送し、かつ、前記第１トランザクションデータを含む第１ブロックを前記サーバが管理する分散台帳に格納する。

　本開示の一態様に係るプログラムは、事業者から提供されたサービスをグループ単位で利用した場合における一のグループに属するユーザ毎の利用実績に関する実績情報を生成する生成装置と、複数のサーバとを備えるシステムにおける、前記複数のサーバのうちの第１サーバによって実行される制御方法をコンピュータに実行させるためのプログラムであって、一のグループに属する第１ユーザによる第１利用実績に関する第１実績情報を前記生成装置から取得し、取得した前記第１実績情報が、前記第１サーバに記憶されている前記第１ユーザおよび前記事業者の間で締結された契約に基づくルールで許容されるか否かを判定し、前記判定による判定結果を含む第１トランザクションデータを、前記複数のサーバのうちの前記第１サーバとは異なる複数の第２サーバに転送し、かつ、前記第１トランザクションデータを含む第１ブロックを前記第１サーバが管理する分散台帳に格納することをコンピュータに実行させるためのプログラムである。

　以下、図面を参照しながら、実施の形態について説明する。なお、以下で説明する実施の形態は、いずれも本開示の一具体例を示すものである。つまり、以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置及び接続形態、ステップ、ステップの順序などは、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素は、本開示の課題を達成するために必ずしも必要ではないが、より好ましい形態を構成する構成要素として説明される。

　（実施の形態１）
　まず、本開示に係るシステム構成について説明する。

　本開示に係る管理システムは、それぞれユーザにより使用される３以上の端末と、１以上の認証サーバとを備え、新たに締結された契約の契約書つまり契約内容を監査させ、監査結果を受けて有効化された契約書を台帳に格納する。以下では、図面を参照しながら、本実施の形態に係る管理システムの構成等の説明を行う。

　［管理システム］
　図１は、実施の形態１に係る管理システムの構成の一例を示す図である。

　本実施の形態に係る管理システムは、図１に示すように、例えば、事業者端末１０と、生成装置２０ａ～２０ｘと、端末３０ａ～３０ｘと、認証サーバ５０ａ～５０ｃとを備える。これらは、ネットワークＮで接続されている。ネットワークＮは、例えば、インターネット、携帯電話のキャリアネットワークなどであるが、どのような通信回線またはネットワークから構成されてもよい。生成装置２０ａ～２０ｘのうちの１つと、端末３０ａ～３０ｘのうちの１つとは、住宅４０ａ～４０ｘのうちの１つと対応付けられている。例えば、生成装置２０ａと端末３０ａとは、ユーザＡの住宅４０ａと対応付けられている。

　なお、以下では、生成装置２０ａ～生成装置２０ｘのそれぞれを生成装置２０とも称するが、生成装置２０ａ～生成装置２０ｘを生成装置Ａ～生成装置Ｘと称する場合もある。また、端末３０ａ～端末３０ｘのそれぞれを端末３０とも称するが、端末３０ａ～端末３０ｘを端末Ａ～端末Ｘと称する場合もある。

　以下、事業者端末１０について説明する。

　［事業者端末１０］
　事業者端末１０は、事業者により使用される端末の一例である。事業者は、グループ単位で利用できるサービスを提供する。グループには、複数のユーザが含まれる。事業者は、一のグループに含まれる複数のユーザのそれぞれと、提供するサービスについて個別に契約を締結し、締結された契約に応じたサービスを提供する。例えば、事業者は、締結された契約に応じた量のサービスを提供する。なお、サービスを提供する事業者は管理システムのユーザの一例であり、事業者からサービスの提供を受けるユーザは管理システムのユーザの一例である。

　本実施の形態では、事業者端末１０は、事業者により使用される端末である。事業者端末１０は、例えばパーソナルコンピュータであってもよいし、スマートフォン及びタブレットなどの携帯端末であってもよい。なお、事業者は、例えば、電力事業、通信事業、シェアリングサービス提供事業などの事業を営む者自身であってもよいし、それらの従業者であってもよい。事業者とユーザとの間で締結される契約は例えば個別契約の一つである。

　本実施の形態では、複数のユーザで共通するグループは、例えば、複数のユーザがそれぞれ居住している住宅４０ａ～４０ｘを含む集合住宅である。例えば、事業者により提供される事業が電力事業である場合、共通するグループに属する複数のユーザは、共通する受電事業者からの電力の供給を受ける。この場合の事業者は、複数のユーザが居住する住宅を含む集合住宅の管理会社である。

　図２は、実施の形態１に係る事業者端末１０の構成の一例を示す図である。

　本実施の形態に係る事業者端末１０は、通信部１０１と、入力部１０２と、表示部１０３と、情報生成部１０４と、トランザクションデータ生成部１０５とを備える。

　＜通信部１０１＞
　通信部１０１は、事業者とユーザとの間の契約の契約内容と、ユーザの電子署名とを含む契約情報を含む契約トランザクションデータを、認証サーバ５０に送信する。

　本実施の形態では、通信部１０１は、ネットワークＮを介して情報を認証サーバ５０に送信したり、認証サーバ５０からの通知を受信したりする。また、通信部１０１は、ネットワークＮを介して端末３０に情報を送信したり、端末３０から情報を受信したりする。

　このように、通信部１０１は、ネットワークＮを介して端末３０ａ～３０ｘまたは認証サーバ５０との間で通信を行う。なお、この通信は、ＴＬＳ（Transport Layer Security）によりなされてもよく、ＴＬＳ通信用の暗号鍵は通信部１０１で保持してもよい。

　＜入力部１０２＞
　入力部１０２は、事業者の操作による情報入力を受け付ける。入力部１０２は、受け付けた情報入力を、表示部１０３に表示したり、情報生成部１０４に送信したり、通信部１０１に送信したりする。

　本実施の形態では、入力部１０２は、事業者の操作により入力された、ユーザＡと合意した契約書に関する事項と事業者の電子署名とを受け付ける。この契約書は、事業者とユーザとの間で締結される契約の一例であり、当該契約の契約内容を含むデータである。入力部１０２は、受け付けた当該事項と事業者の電子署名とを、情報生成部１０４に送信する。また、入力部１０２は、事業者の操作により、表示部１０３に表示された通知を確認した旨を受け付ける。

　＜表示部１０３＞
　表示部１０３は、入力部１０２が受け付けた情報入力を表示する。表示部１０３は、認証サーバ５０から通知された情報を表示する。

　＜情報生成部１０４＞
　情報生成部１０４は、契約に関する第１情報を生成する。

　本実施の形態では、情報生成部１０４は、入力部１０２が受け付けたユーザＡと合意した契約書に関する事項と事業者の電子署名とに基づいて、この契約書に関する契約情報を生成する。このユーザＡは、事業者からサービスの提供を受けるユーザの一例、つまり、ユーザである。

　ここで、契約情報は、契約書のデータと、時間情報と、契約締結者ＩＤと、契約情報の生成者の電子署名とを含む。さらに、契約情報には、契約が締結された順番を把握するためのシリアル番号を含んでいてもよい。契約書のデータは、契約の契約内容を示すデータであり、契約書の契約内容が暗号化されたデータであってもよいし、契約書の契約内容を特定するためのハッシュ値であってもよい。時間情報は、契約情報が生成された時間を示していてもよいし、契約が締結された時間を示してもよい。また、時間情報は、契約情報が通信部３０１で認証サーバ５０に送信された時間を示していてもよい。なお、ここでの契約情報の生成者は、事業者である。契約締結者ＩＤは、事業者との間の契約を合意したユーザ、すなわちユーザＡのＩＤである。

　＜トランザクションデータ生成部１０５＞
　トランザクションデータ生成部１０５は、契約トランザクションデータを生成する。

　本実施の形態では、トランザクションデータ生成部１０５は、端末３０から受信した契約情報を含む契約トランザクションデータを生成する。

　ここで、契約情報を含む契約トランザクションデータは、契約書のデータと、時間情報と、契約締結者ＩＤと、契約情報の生成者の電子署名とを含む。さらに、契約情報を含む契約トランザクションデータには、契約が締結された順番を把握するためのシリアル番号を含んでいてもよい。

　トランザクションデータ生成部１０５は、通信部１０１を介して、生成した契約トランザクションデータを認証サーバ５０に送信する。

　なお、事業者端末１０は、トランザクションデータ生成部１０５を備えていなくても良い。事業者端末１０は、トランザクションデータ生成部１０５を備えていない場合、情報生成部１０４が、通信部１０１を介して、生成した契約情報を認証サーバ５０に送信する。これにより、認証サーバ５０は、契約情報を事業者端末１０から取得する。

　続いて、生成装置２０ａ～生成装置２０ｘについて説明する。なお、生成装置２０ａ～生成装置２０ｘの構成は共通しているので、生成装置２０と称して説明する。

　[生成装置２０]
　生成装置２０は、ユーザ毎のサービスの利用実績に関する実績情報を生成する装置の一例である。生成装置２０のいずれかは、事業者との間で契約を合意した複数のユーザのうちの第１ユーザにより使用される装置である。また、生成装置２０のいずれかは、事業者との間で契約を合意した複数のユーザのうちの第１ユーザとは異なる第２ユーザにより使用される装置である。

　生成装置２０は、例えば、事業者が電力事業を営む場合にはスマートメータである。生成装置２０は、例えば、事業者が移動体のシェアリング事業を営む場合には移動体である。この場合の移動体は、例えば、自動車、自転車などの車両であってもよいし、船舶であってもよいし、航空機であってもよい。生成装置２０は、例えば、事業者が移動体通信事業を営む場合には、スマートフォン及びタブレットなどの携帯端末であってもよく、この場合、生成装置２０は、端末３０であってもよい。

　本実施の形態では、複数の生成装置２０のうち、生成装置２０ａすなわち生成装置Ａが、第１ユーザにより使用される装置であるとして説明する。また、複数の生成装置２０のうち、生成装置２０ｂすなわち生成装置Ｂが、第２ユーザにより使用される装置であるとして説明する。なお、第２ユーザは、例えば、第１ユーザと同じグループに属し、第１ユーザと共に共通するサービスの提供を事業者から受けるユーザである。第２ユーザは、第１ユーザとは別に、事業者との間で契約を合意している。つまり、事業者と第１ユーザとの間で締結された契約と、事業者と第２ユーザとの間で締結された契約とは異なる。

　図３は、実施の形態１に係る生成装置２０の構成の一例を示す図である。

　本実施の形態に係る生成装置２０は、通信部２０１と、計測部２０２と、判断部２０３と、情報生成部２０４と、トランザクションデータ生成部２０５とを備える。

　＜通信部２０１＞
　通信部２０１は、ネットワークＮを介して情報を認証サーバ５０に送信する。また、通信部２０１は、認証サーバ５０から情報を受信したりまたは通知されたりしてもよい。また、通信部２０１は、ネットワークＮを介して、事業者端末１０に情報を送信してもよいし、事業者端末１０からの情報を受信してもよい。

　このように、通信部２０１は、ネットワークＮを介して事業者端末１０または認証サーバ５０との間で通信を行う。なお、この通信は、ＴＬＳ（Transport Layer Security）によりなされてもよく、ＴＬＳ通信用の暗号鍵は通信部２０１で保持してもよい。

　例えば、生成装置２０が生成装置Ａである場合、通信部２０１は、認証サーバ５０から、第１情報を受信する。通信部２０１は、第２ユーザによる第１契約に対する同意または非同意を示す確認結果と、第２ユーザの電子署名とを第１情報に加えた第２情報を事業者端末１０に送信する。

　＜計測部２０２＞
　計測部２０２は、事業者から提供されたサービスの、ユーザによる利用実績を計測する。計測部２０２は、例えば、事業者により提供されるサービスが電力である場合、ユーザによる電力の利用量を計測する。電力の利用量は、例えば、ユーザの住宅４０により消費された消費電力量である。計測部２０２は、事業者により提供されるサービスが移動体通信である場合、ユーザによる通信の利用量を計測する。通信の利用量は、例えば、ユーザの端末３０により通信に利用された通信データ量である。計測部２０２は、事業者により提供されるサービスが移動体のシェアリングサービスである場合、ユーザによる移動体の利用量を計測する。移動体の利用量は、例えば、移動体の走行距離、走行時間、消費燃料、および消費電力量のうちの少なくとも１つである。計測部２０２は、計測結果、つまり、計測したユーザによる利用実績を、情報生成部２０４に送信したり、通信部２０１に送信したりする。

　＜判断部２０３＞
　判断部２０３は、所定のタイミングが到来したか否かを判定する。判断部２０３は、例えば、計測部２０２により計測が開始されてから第１期間が経過したことで所定のタイミングが到来したと判定してもよいし、前回所定のタイミングが到来したと判定してから第１期間が経過したことで所定のタイミングが到来したと判定してもよい。第１期間は、例えば、１２時間、１日、１週間、１ヶ月などであってもよい。判断部２０３は、所定のタイミングが到来したことを通信部２０１または情報生成部２０４に通知する。

　＜情報生成部２０４＞
　情報生成部２０４は、第１期間において計測部２０２により計測されることで得られた第１期間における第１ユーザによる第１利用実績と、第１ユーザの電子署名とを含む第１実績情報を生成する。情報生成部２０４は、判断部２０３により所定のタイミングが到来したと判定されたときに、計測部２０２により計測されたサービスの利用量に基づいて第１実績情報を生成する。情報生成部２０４は、計測部２０２が第１ユーザによるサービスの利用開始からの累積利用量を計測している場合には、前回のタイミングで第１実績情報を生成する基になった累積利用量を、今回のタイミングにおける計測部２０２により計測された累積利用量から減算することで、前回のタイミングから今回のタイミングまでの第１期間における第１ユーザによる第１利用実績を算出する。情報生成部２０４は、計測部２０２が前回のタイミングからの第１ユーザによる第１利用実績を計測している場合には、計測部２０２により今回のタイミングにおいて計測された利用量を、前回のタイミングから今回のタイミングまでの第１期間における第１ユーザによる第１利用実績として取得する。第１実績情報は、第１利用実績が計測された時間を含んでいてもよい。なお、第１実績情報は、単に実績情報とも称する。

　＜トランザクションデータ生成部２０５＞
　トランザクションデータ生成部２０５は、実績トランザクションデータを生成する。

　本実施の形態では、トランザクションデータ生成部２０５は、情報生成部２０４により生成された第１実績情報を含む実績トランザクションデータを生成する。

　ここで、第１実績情報を含む実績トランザクションデータは、第１実績情報と、時間情報と、第１ユーザの電子署名とを含む。時間情報は、第１実績情報が生成された時間を示す情報である。

　トランザクションデータ生成部２０５は、通信部２０１を介して、生成した実績トランザクションデータを認証サーバ５０に送信する。

　なお、生成装置２０は、トランザクションデータ生成部２０５を備えていなくてもよい。生成装置２０は、トランザクションデータ生成部２０５を備えていない場合、情報生成部２０４が、通信部２０１を介して、生成した第１実績情報を認証サーバ５０に送信する。これにより、認証サーバ５０は、第１実績情報を生成装置２０から取得する。

　なお、生成装置２０は、少なくとも計測部２０２を備える構成であってもよく、計測部２０２以外の処理部を備えていない構成であってもよい。この場合、生成装置２０とは別体の装置が、通信部２０１、判断部２０３、情報生成部２０４およびトランザクションデータ生成部２０５を備えていてもよい。この別の装置と、生成装置２０とは、通信可能に接続されている。当該別の装置では、生成装置２０から計測部２０２による計測結果を通信部２０１が取得する。次に、情報生成部２０４は、取得した計測結果を用いて、判断部２０３が判断したタイミングまでの間の第１期間における第１利用実績に関する第１実績情報を生成する。次に、トランザクションデータ生成部２０５は、第１実績情報を含む実績トランザクションデータを生成し、通信部２０１を介して、実績トランザクションデータを認証サーバ５０に送信する。生成装置２０と別の装置とは、例えば、１対１の対の関係にある。別の装置が備える各処理部は、後述する端末３０が備えていてもよい。

　続いて、端末３０ａ～端末３０ｘについて説明する。なお、端末３０ａ～端末３０ｘの構成は共通しているので、端末３０と称して説明する。

　［端末３０］
　端末３０は、ユーザにより使用される端末の一例である。端末３０は、例えばパーソナルコンピュータであってもよいし、スマートフォン及びタブレットなどの携帯端末であってもよい。端末３０のいずれかは、事業者との間で契約を合意した複数のユーザのうちの第１ユーザにより使用される端末である。また、端末３０のいずれかは、事業者との間で契約を合意した複数のユーザのうちの第１ユーザとは異なる第２ユーザにより使用される端末である。

　本実施の形態では、複数の端末３０のうち、端末３０ａすなわち端末Ａが、第１ユーザにより使用される端末であるとして説明する。また、複数の端末３０のうち、端末３０ｂすなわち端末Ｂが、第２ユーザにより使用される端末であるとして説明する。

　図４は、実施の形態１に係る端末３０の構成の一例を示す図である。

　本実施の形態に係る端末３０は、通信部３０１と、入力部３０２と、表示部３０３と、情報生成部３０４と、トランザクションデータ生成部３０５とを備える。

　＜通信部３０１＞
　通信部３０１は、ネットワークＮを介して情報を認証サーバ５０に送信したり、認証サーバ５０から情報を受信したりまたは通知されたりする。また、通信部３０１は、ネットワークＮを介して、事業者端末１０に情報を送信したり、事業者端末１０からの情報を受信したりする。

　このように、通信部３０１は、ネットワークＮを介して事業者端末１０または認証サーバ５０との間で通信を行う。なお、この通信は、ＴＬＳ（Transport Layer Security）によりなされてもよく、ＴＬＳ通信用の暗号鍵は通信部３０１で保持してもよい。

　例えば、端末３０が端末Ａである場合、通信部３０１は、認証サーバ５０から、後述する確認結果を受信する。また、例えば、端末３０が端末Ｂである場合、通信部３０１は、認証サーバ５０から、事業者および第１ユーザで締結された契約の契約内容と、第１ユーザによる第１期間における第１利用実績に関する第１実績情報とを受信する。

　＜入力部３０２＞
　入力部３０２は、ユーザの操作による情報入力を受け付ける。入力部３０２は、受け付けた情報入力を、表示部３０３に表示したり、情報生成部３０４に送信したり、通信部３０１に送信したりする。

　例えば、端末３０が端末Ｂである場合、入力部３０２は、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かを第２ユーザに確認するための表示（ＵＩ：Ｕｓｅｒ　Ｉｎｔｅｒｆａｃｅ）への入力を、第２ユーザの確認結果として受け付ける。この表示（ＵＩ）は、表示部３０３に表示される。入力部３０２は、第２ユーザの電子署名を受け付けてもよい。入力部３０２は、受け付けた確認結果と電子署名とを、情報生成部３０４に送信する。

　＜表示部３０３＞
　表示部３０３は、入力部３０２が受け付けた情報入力を表示する。表示部３０３は、認証サーバ５０から送信された情報を表示する。

　例えば、端末３０が端末Ｂである場合、表示部３０３は、認証サーバ５０から送信された契約内容および第１実績情報に基づいて、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かを第２ユーザに確認するための表示（ＵＩ：Ｕｓｅｒ　Ｉｎｔｅｒｆａｃｅ）を表示する。

　＜情報生成部３０４＞
　情報生成部３０４は、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かの第２ユーザによる確認結果と、第２ユーザの電子署名とを含む確認情報を生成する。

　＜トランザクションデータ生成部３０５＞
　トランザクションデータ生成部３０５は、確認トランザクションデータを生成する。

　本実施の形態では、トランザクションデータ生成部３０５は、情報生成部３０４により生成された確認情報を含む確認トランザクションデータを生成する。

　ここで、確認情報を含む確認トランザクションデータは、確認情報と、時間情報と、第２ユーザの電子署名とを含む。時間情報は、確認情報が生成された時間を示す情報である。なお、確認トランザクションデータは、時間情報の代わりに、確認情報により確認の対象となった第１利用実績を特定するための情報を含んでいてもよい。第１利用実績を特定するための情報とは、第１利用実績の第１実績情報が生成された時間、第１利用実績の第１実績情報を特定するためのＩＤ、シリアル番号などであってもよい。

　トランザクションデータ生成部３０５は、通信部３０１を介して、生成した確認トランザクションデータを認証サーバ５０に送信する。

　続いて、認証サーバ５０について説明する。

　［認証サーバ５０］
　認証サーバ５０は、第１サーバの一例である。

　図５は、実施の形態１に係る認証サーバ５０の構成の一例を示す図である。

　認証サーバ５０は、図５に示すように、通信部５０１と、判断部５０２と、トランザクションデータ検証部５０３と、記録部５０４と、分散台帳５０５とを備える。認証サーバ５０は、プロセッサがメモリを用いて所定のプログラムを実行することで実現され得る。以下、各構成要素について説明する。

　＜通信部５０１＞
　通信部５０１は、事業者端末１０から契約情報を含む契約トランザクションデータを受信する。通信部５０１は、事業者端末１０から契約トランザクションデータを受信することで契約情報を取得する。通信部５０１は、事業者端末１０から契約情報を直接受信してもよい。

　また、通信部５０１は、生成装置２０から第１実績情報を含む実績トランザクションデータを受信する。通信部５０１は、生成装置２０から実績トランザクションデータを受信することで第１実績情報を取得する。通信部５０１は、生成装置２０から第１実績情報を直接受信してもよい。

　また、通信部５０１は、第１ユーザの契約情報および実績情報を第２ユーザの端末３０ｂに送信してもよい。この場合、通信部５０１は、第２ユーザの端末３０ｂから確認結果の確認情報を含む確認トランザクションデータを受信する。通信部５０１は、端末３０ｂから確認トランザクションデータを受信することで確認情報を取得する。通信部５０１は、端末３０ｂから確認情報を直接受信してもよい。

　また、通信部５０１は、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かの結果（監査結果）を事業者端末１０または第１ユーザの端末３０ａに送信する。監査結果は、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されることを示す情報、または、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されないことを示す情報を含む。

　また、通信部５０１は、他の認証サーバ５０との間で各トランザクションデータのやり取りを行う。具体的には、通信部５０１は、他の認証サーバ５０へ各トランザクションデータを転送したり、他の認証サーバ５０から転送された各トランザクションデータを受信する。なお、各トランザクションデータは、契約トランザクションデータ、実績トランザクションデータ、判定トランザクションデータ、および確認トランザクションデータのうちの１つを含む。

　このように、通信部５０１は、ネットワークＮを介して事業者端末１０、生成装置２０、または端末３０との間で通信を行う。なお、この通信は、ＴＬＳ（Transport Layer Security）によりなされてもよく、ＴＬＳ通信用の暗号鍵は通信部５０１で保持してもよい。

　＜判断部５０２＞
　判断部５０２は、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かを判定する。契約内容のルールでは、第１実績情報が契約内容に含まれる閾値を超えることが許容されない。つまり、このルールでは、例えば、第１期間においてユーザにより利用されたサービスの利用量の上限が定められている。なお、第１実績情報は、ユーザによるサービスの利用量、または、サービスの利用時間が増加するにしたがって増加する実績値を含む。この実績値は、例えば、事業者により提供されるサービスが電力である場合、ユーザによる電力の利用量である。電力の利用量は、例えば、ユーザの住宅４０により消費された消費電力量である。また、実績値は、事業者により提供されるサービスが移動体通信である場合、ユーザによる通信の利用量である。通信の利用量は、例えば、ユーザの端末３０により通信に利用された通信データ量である。また、実績値は、事業者により提供されるサービスが移動体のシェアリングサービスである場合、ユーザによる移動体の利用量である。移動体の利用量は、例えば、移動体の走行距離、走行時間、消費燃料、および消費電力量のうちの少なくとも１つである。

　例えば、判断部５０２は、第１期間においてユーザにより利用されたサービスの利用量が契約内容のルールで定められている上限を超える場合、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されないと判定する。判断部５０２は、第１期間においてユーザにより利用されたサービスの利用量が契約内容のルールで定められている上限以下の場合、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されると判定する。

　判断部５０２は、確認のタイミングが到来したか否かを判定し、確認のタイミングが到来したと判定した場合、第１実績情報が許容されるか否かを判定してもよい。確認のタイミングは、具体的には、サービスの利用料をユーザに請求するタイミング、契約書に記載されているタイミングなどの予め定められたタイミングであってもよい。また、確認のタイミングは、前回確認のタイミングが到来したと判定してから利用されたサービスの利用量が所定の利用量を超えたタイミングであってもよい。所定の利用量は、第１期間における第１ユーザによるサービスの利用量よりも大きくてもよい。また、確認のタイミングは、前回確認のタイミングが到来したと判定してから第２期間が経過したことで確認のタイミングが到来したと判定してもよい。第２期間は、第１期間よりも長い期間であってもよいし、第１期間と同じ期間であってもよい。第１期間と第２期間とが同じ期間である場合には、判断部５０２は、生成装置２０から第１実績情報を取得したときに、確認のタイミングが到来したと判定してもよい。第２期間は、例えば、１２時間、１日、１週間、１ヶ月などであってもよい。判断部５０２は、確認のタイミングが到来したことを通信部５０１に通知する。なお、確認のタイミングは、第１のタイミングの一例である。

　判断部５０２は、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されないと判定した場合、つまり、この判定の結果が、第１実績情報がこのルールで許容されないことを示す場合、第１ユーザとは異なり、かつ、第１ユーザと同じグループに属する第２ユーザの端末３０へ、契約内容および第１実績情報を送信してもよい。具体的には、判断部５０２は、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されないと判定した場合、ユーザＢの端末３０ｂへ、第１ユーザの契約内容、および、第１期間における第１ユーザによるサービスの利用量を送信する。これにより、ユーザＢは、端末３０ｂを用いて、ユーザＡの契約内容および第１実績情報に基づく監査を行うことができる。

　判断部５０２は、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かの判定結果を含む判定トランザクションデータを生成する。判断部５０２は、生成した判定トランザクションデータを通信部５０１に転送させる。

　＜トランザクションデータ検証部５０３＞
　トランザクションデータ検証部５０３は、通信部５０１がトランザクションデータを受信したとき、そのトランザクションデータの正当性を検証する。例えば、トランザクションデータ検証部５０３は、通信部５０１が受信したトランザクションデータに、正しい方法で生成された電子署名が付与されているかなどを検証する。なお、この検証はスキップされてもよい。ここで、通信部５０１が受信するトランザクションデータは、契約トランザクションデータ、実績トランザクションデータ、判定トランザクションデータ、および確認トランザクションデータのいずれかである。

　また、トランザクションデータ検証部５０３は、他の認証サーバ５０とともに、トランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行する。

　ここで、コンセンサスアルゴリズムには、ＰＢＦＴ（Practical Byzantine Fault Tolerance）が用いられてもよいし、その他の公知のコンセンサスアルゴリズムが用いられてもよい。公知のコンセンサスアルゴリズムとしては、例えばＰｏＷ（Proof of Work）またはＰｏＳ（Proof of Stake）などがある。コンセンサスアルゴリズムにＰＢＦＴが用いられる場合、トランザクションデータ検証部５０３は、他の認証サーバ５０のそれぞれからトランザクションデータの検証が成功したか否かを示す報告を受け取り、当該報告の数が所定の数を超えたか否かを判定する。そして、トランザクションデータ検証部５０３は、当該報告の数が所定の数を超えたとき、コンセンサスアルゴリズムによってトランザクションデータの正当性が検証されたと判定すればよい。

　トランザクションデータ検証部５０３は、トランザクションデータの正当性を確認した場合、記録部５０４にそのトランザクションデータを記録させる。

　本実施の形態では、トランザクションデータ検証部５０３は、通信部５０１が受信した契約トランザクションデータ、実績トランザクションデータ、判定トランザクションデータ、および確認トランザクションデータの正当性を検証する。

　＜記録部５０４＞
　記録部５０４は、トランザクションデータ検証部５０３により正当性の検証がなされたトランザクションデータをブロックに含めて分散台帳５０５に格納することで、トランザクションデータを記録する。

　なお、記録部５０４は、分散台帳５０５が内部に構成されていてもよい。

　＜分散台帳５０５＞
　分散台帳５０５は、契約情報を含む契約トランザクションデータ、実績情報を含む実績トランザクションデータ、判定結果を含む判定トランザクションデータ、および、確認情報を含む確認トランザクションデータを格納している。

　［管理システムの動作等］
　次に、以上のように構成された管理システムの動作について説明する。

　図６及び図７は、実施の形態１に係る管理システムの監査処理を示すシーケンス図である。図７は、図６に示す処理の続きの処理を示す。

　まず、事業者端末１０を使用する事業者は、ユーザＡとの間で契約について合意したとする。事業者端末１０は、この契約を示す契約情報を含む契約トランザクションデータを認証サーバ５０へ送信する（Ｓ１０１）。なお、事業者は、他のユーザＢおよびユーザＣとの間でも上記と同様に、個別に契約を締結し、締結した契約を示す契約情報を含む契約トランザクションデータを認証サーバ５０へ送信する。なお、事業者端末１０は、契約情報を含む契約トランザクションデータを、認証サーバＡ～Ｃにブロードキャスト送信してもよい。

　次に、認証サーバＡは、契約トランザクションデータを受信し、受信した契約トランザクションデータを他の認証サーバＢおよび認証サーバＣに転送する（Ｓ１０２）。

　次に、認証サーバＡ、認証サーバＢ及び認証サーバＣは、コンセンサスアルゴリズムを実行し、契約トランザクションデータを含むブロックを生成して、分散台帳５０５に格納する（Ｓ１０３）。

　事業者とユーザＡとの間で個別に契約が締結されると事業者によりユーザＡへサービスが提供される。そして、ユーザＡの住宅Ａでは、住宅Ａの生成装置２０（つまり、生成装置Ａ）が、事業者により提供されたサービスのユーザＡによる利用量の実測値を計測する（Ｓ１０４）。事業者は、他のユーザＢおよびユーザＣとの間においても、上記と同様に、個別に契約が締結されると事業者によりユーザＢおよびユーザＣへサービスが提供される。そして、ユーザＢの住宅Ｂでは、生成装置Ｂが、事業者により提供されたサービスのユーザＢによる利用量の実測値を計測し、ユーザＣの住宅Ｃでは、生成装置Ｃが、事業者により提供されたサービスのユーザＣによる利用量の実測値を計測する。

　次に、住宅Ａの生成装置２０は、所定のタイミングが到来したか否かを判定する（Ｓ１０５）。

　次に、住宅Ａの生成装置２０は、所定のタイミングが到来したと判定されたときに、計測されたサービスの利用量に基づいて第１実績情報を生成し、生成した第１実績情報を含む実績トランザクションデータを生成する（Ｓ１０６）。

　次に、住宅Ａの生成装置２０は、生成した実績トランザクションデータを認証サーバＡ～Ｃへ送信する（Ｓ１０７）。なお、生成装置２０は、実績情報を含む実績トランザクションデータを、認証サーバＡ～Ｃにブロードキャスト送信してもよい。

　ここで、図６では、図示されていないが、住宅Ｂの生成装置２０および住宅Ｃの生成装置２０でも、住宅Ａの生成装置２０と同様に、ステップＳ１０５～ステップＳ１０７の処理が行われる。このため、ユーザＡ～Ｃにより利用されたサービスの利用量に関する実績情報を含む実績トランザクションデータは、認証サーバＡ～Ｃに送信される。

　次に、認証サーバＡは、実績トランザクションデータを受信し、受信した実績トランザクションデータを他の認証サーバＢおよび認証サーバＣに転送する（Ｓ１０８）。

　次に、認証サーバＡ、認証サーバＢ及び認証サーバＣは、コンセンサスアルゴリズムを実行し、実績トランザクションデータを含むブロックを生成して、分散台帳５０５に格納する（Ｓ１０９）。

　次に、認証サーバＡは、確認のタイミングが到来したか否かを判定する（Ｓ１１０）。

　認証サーバＡは、確認のタイミングが到来したと判定した場合（Ｓ１１０でＹｅｓ）、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かを判定する（Ｓ１１１）。なお、認証サーバＡは、確認のタイミングが到来していないと判定した場合（Ｓ１１０でＮｏ）、ステップＳ１１０に戻る。

　次に、認証サーバＡは、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かの判定結果を含む判定トランザクションデータを生成する（Ｓ１１２）。

　次に、認証サーバＡは、生成した判定トランザクションデータを他の認証サーバＢおよび認証サーバＣに転送する（Ｓ１１３）。

　次に、認証サーバＡ、認証サーバＢ及び認証サーバＣは、コンセンサスアルゴリズムを実行し、判定トランザクションデータを含むブロックを生成して、分散台帳５０５に格納する（Ｓ１１４）。

　次に、認証サーバＡは、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かの判定の結果が否定的であるか否かを判定する（Ｓ１１５）。

　認証サーバＡは、判定の結果が否定的であると判定した場合（Ｓ１１５でＹｅｓ）、否定的な判定結果を事業者端末１０またはユーザＡの端末Ａ（つまり、端末３０ａ）へ通知する（Ｓ１１６）。

　認証サーバＡは、ステップＳ１１６が終了する、または、判定結果が肯定的であると判定した場合（Ｓ１１５でＮｏ）、監査処理を終了する。

　［効果等］
　以上のように、実施の形態１に係る管理システム等によれば、事業者により提供されたサービスのユーザによる利用実績に関する第１実績情報が、契約に基づくルールで許容されるか否かを判定することができるだけでなく、その判定結果を含む判定トランザクションデータを分散台帳に格納することができる。

　これにより、事業者により提供されたサービスのユーザによる利用実績が契約に基づくルールで許容されるかを監査することができるので、事業者とユーザとが結託して契約することを抑制できる。また、判定結果が分散台帳に格納されるので、その判定結果が、後日に改ざんされることを防止することができる。よって、事業者とユーザとが結託して契約することをより確実に抑制できる。

　（変形例１）
　管理システムの監査処理のうち、図７を用いて説明したステップＳ１１０以降の処理について、図８に示すように一部の処理を置き換えてもよい。

　図８は、実施の形態１の変形例１に係る管理システムの監査処理を示すシーケンス図である。なお、ステップＳ１１０以前の処理は、実施の形態１で説明した監査処理と同じである。

　認証サーバＡは、確認のタイミングが到来したか否かを判定する（Ｓ１１０）。

　認証サーバＡは、確認のタイミングが到来したと判定した場合（Ｓ１１０でＹｅｓ）、ユーザＡ以外のユーザであって、ユーザＡと同一のグループに属するユーザＢおよびユーザＣを含む複数のユーザの中から監査員を決定する（Ｓ１２１）。認証サーバＡは、ユーザＡ以外のユーザであって、ユーザＡと同一のグループに属するユーザＢおよびユーザＣ複数のユーザの中から監査員を決定する場合、ランダムに決定してもよいし、図示しない住民台帳に基づいて決定してもよいし、この複数のユーザを含む予め定められたテーブルに基づいて決定してもよい。なお、認証サーバＡは、確認のタイミングが到来していないと判定した場合（Ｓ１１０でＮｏ）、ステップＳ１１０に戻る。

　認証サーバＡは、監査員を決定すると、決定した監査員のユーザが使用する端末３０へ契約情報および実績情報を送信する（Ｓ１２２）。例えば、認証サーバＡは、ユーザＢを監査員として決定すると、ユーザＢが使用する端末３０ｂへ、ユーザＡの契約情報および実績情報を送信する。このとき送信される実績情報は、分散台帳に格納されている実績情報のうちの最新の実績情報であってもよいし、最新の実績情報を含む実績情報であってもよいし、最新の実績情報を除く過去の実績情報であってもよい。

　端末３０ｂは、契約情報および実績情報を受信した場合、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かをユーザＢに確認する（Ｓ１２３）。具体的には、端末３０ｂは、契約情報および実績情報を受信した場合、認証サーバＡから送信された契約情報および実績情報に基づいて、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かを第２ユーザに確認するための表示（ＵＩ：Ｕｓｅｒ　Ｉｎｔｅｒｆａｃｅ）を表示部３０３に表示する。これにより、端末３０ｂは、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かを示す入力を、ユーザＢに入力部３０２を用いて行うように促す。

　端末３０ｂは、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かを示す入力が入力部３０２により受け付けられた場合、当該入力が示す確認結果を含む確認トランザクションデータを生成する（Ｓ１２４）。

　端末３０ｂは、生成した確認結果を含む確認トランザクションデータを認証サーバＡへ送信する（Ｓ１２５）。

　次に、認証サーバＡは、確認トランザクションデータを受信し、受信した確認トランザクションデータを他の認証サーバＢおよび認証サーバＣに転送する（Ｓ１２６）。

　次に、認証サーバＡ、認証サーバＢ及び認証サーバＣは、コンセンサスアルゴリズムを実行し、確認トランザクションデータを含むブロックを生成して、分散台帳５０５に格納する（Ｓ１２７）。

　以降のステップＳ１１５およびステップＳ１１６は、実施の形態１で説明した通りであるので説明を省略する。

　（変形例２）
　管理システムの監査処理のうち、図７を用いて説明したステップＳ１１０以降の処理について、図９に示すように一部の処理を置き換えてもよい。

　図９は、実施の形態１の変形例２に係る管理システムの監査処理を示すシーケンス図である。なお、ステップＳ１１０以前の処理は、実施の形態１で説明した監査処理と同じである。

　認証サーバＡは、確認のタイミングが到来したと判定した場合（Ｓ１１０でＹｅｓ）、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かを判定する（Ｓ１３１）。ステップＳ１３１は、ステップＳ１１１と同じである。なお、認証サーバＡは、確認のタイミングが到来していないと判定した場合（Ｓ１１０でＮｏ）、ステップＳ１１０に戻る。

　次に、認証サーバＡは、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されると判定された場合（Ｓ１３２でＹｅｓ）、監査処理を終了する。認証サーバＡは、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されないと判定された場合（Ｓ１３２でＮｏ）、ステップＳ１２１～ステップＳ１２７に進む。

　ステップＳ１２１～ステップＳ１２７は、実施の形態１の変形例１で説明したステップＳ１２１～Ｓ１２７と同じであるので説明を省略する。

　ステップＳ１２７が終了すると、ステップＳ１１５およびステップＳ１１６が行われる。ステップＳ１１５およびステップＳ１１６は、実施の形態１で説明した通りであるので説明を省略する。

　（実施の形態２）
　図１０は、実施の形態２に係る管理システムの構成の一例を示す図である。

　実施の形態２に係る管理システムは、図１０に示すように、実施の形態１に係る管理システムと比較して、生成装置２１および端末３１ａ～３１ｘの構成が異なる。具体的には、実施の形態２に係る管理システムは、実施の形態１に係る管理システムと比較して、生成装置２１が端末３１ａ～３１ｘと１対１の関係にないことが異なる。実施の形態１では、各ユーザにより利用されたサービスの利用量は、各ユーザに個別に対応する生成装置２０によって計測されるとしたが、実施の形態２では、各ユーザにより利用されたサービスの利用量は、複数のユーザで共通する生成装置２１によって計測されてもよい。

　なお、以下では、端末３１ａ～端末３１ｘのそれぞれを端末３１とも称するが、端末３１ａ～端末３１ｘを端末Ａ～端末Ｘと称する場合もある。

　例えば、図１１に示すように、事業者は、シェアリングサービス提供事業などの事業を営む者自身であってもよいし、それらの従業者であってもよい。シェアリングサービス提供事業は、例えば、１台の移動体利用サービスを複数のユーザからなるグループに提供する事業である。この場合の移動体は、例えば、自動車、自転車などの車両であってもよいし、船舶であってもよいし、航空機であってもよい。生成装置２１は、例えば、移動体である。複数のユーザからなるグループは、当該複数のユーザで共通する１以上の移動体を利用するグループである。

　［生成装置２１］
　図１２は、実施の形態２に係る生成装置２１の構成の一例を示す図である。図３と同様の要素には同一の符号を付しており、詳細な説明を省略する。

　図１２に示す生成装置２１は、実施の形態１に係る生成装置２０に対して、さらに認証部２１６を備える点で構成が異なる。

　＜認証部２１６＞
　認証部２１６は、端末３１から認証情報を受信し、受信した認証情報に基づいて端末３１を使用するユーザが、生成装置２１を含む移動体の利用が許可されているユーザであるか否かを認証する。認証部２１６は、具体的には、受信した認証情報が予め記憶されている情報に含まれるか否かを判定する。認証部２１６は、端末３１から受信した認証情報が当該情報に含まれる場合、端末３１を使用するユーザが生成装置２１を含む移動体の利用が許可されているユーザであると判定し、当該認証情報が当該情報に含まれない場合、端末３１を使用するユーザが移動体の利用が許可されていないユーザであると判定する。

　なお、計測部２０２は、認証部２１６により認証されたタイミングから次に、端末３１を使用するユーザが移動体の利用を終了することを示す終了情報を生成装置２１が受信するタイミングまでの期間において、認証部２１６により認証されたユーザによる移動体の利用量を計測する。このため、生成装置２１は、次に他のユーザが使用する端末３１からの認証情報を受信することで、他のユーザの移動体の利用を認証した場合、その認証を行ったタイミングから次に、端末３１を使用するユーザが移動体の利用を終了することを示す終了情報を生成装置２１が受信するタイミングまでの期間において、他のユーザによる移動体の利用量を計測する。移動体の利用量は、実施の形態１において説明した通りであるので説明を省略する。

　［端末３１］
　図１３は、実施の形態２に係る端末３１の構成の一例を示す図である。図４と同様の要素には同一の符号を付しており、詳細な説明を省略する。

　図１３に示す端末３１は、実施の形態１に係る端末３０に対して、さらに記憶部３１６を備える点で構成が異なる。

　＜記憶部３１６＞
　記憶部３１６は、生成装置２１を含む移動体の利用を認証するための認証情報を記憶している。記憶部３１６に記憶されている認証情報は、例えば、端末３１のユーザによる認証のための入力が入力部３０２により受け付けられると、通信部３０１により生成装置２１へ送信される。認証情報は、ユーザが端末３１を操作することで、移動体の利用するための登録を外部サーバとの間で行うことにより、外部サーバから端末３１が受信した情報であってもよい。

　図１４及び図１５は、実施の形態２に係る管理システムの監査処理を示すシーケンス図である。図１５は、図１４に示す処理の続きの処理を示す。

　まず、事業者端末１０を使用する事業者は、ユーザＡとの間で契約について合意したとする。事業者端末１０は、この契約を示す契約情報を含む契約トランザクションデータを認証サーバ５０へ送信する（Ｓ２０１）。なお、事業者は、他のユーザＢおよびユーザＣとの間でも上記と同様に、個別に契約を締結し、締結した契約を示す契約情報を含む契約トランザクションデータを認証サーバ５０へ送信する。なお、事業者端末１０は、契約情報を含む契約トランザクションデータを、認証サーバＡ～Ｃにブロードキャスト送信してもよい。

　次に、認証サーバＡは、契約トランザクションデータを受信し、受信した契約トランザクションデータを他の認証サーバＢおよび認証サーバＣに転送する（Ｓ２０２）。

　次に、認証サーバＡ、認証サーバＢ及び認証サーバＣは、コンセンサスアルゴリズムを実行し、契約トランザクションデータを含むブロックを生成して、分散台帳５０５に格納する（Ｓ２０３）。

　次に、移動体を利用するユーザＡにより、認証のための操作が端末Ａで受け付けられることで、端末Ａは、認証情報を移動体の生成装置２１に送信する（Ｓ２０４）。

　生成装置２１は、端末Ａから認証情報を受信し、受信した認証情報に基づいて端末Ａを使用するユーザＡが、生成装置２１を含む移動体の利用が許可されているユーザであるか否かを認証する認証処理を行う（Ｓ２０５）。

　次に、生成装置２１は、認証成功である場合（Ｓ２０６でＹｅｓ）、つまり、受信した認証情報に基づいて端末Ａを使用するユーザＡが、生成装置２１を含む移動体の利用が許可されているユーザであると判定した場合、移動体を利用可能な状態に遷移させる（Ｓ２０７）。生成装置２１は、認証失敗である場合（Ｓ２０６でＮｏ）、移動体を利用不可能な状態のままとし、ステップＳ２０６に戻る。なお、生成装置２１は、移動体の室内に入るためのドアのロックを解除することで移動体を利用可能な状態に遷移させてもよいし、移動体を駆動するスイッチをＯＮにすることで移動体を利用可能な状態に遷移させてもよい。逆に言うと、生成装置２１は、移動体の室内に入るためのドアをロックすることで移動体を利用不可能な状態としてもよいし、移動体を駆動するスイッチをＯＦＦのままにすることで移動体を利用不可能な状態としてもよい。

　次に、生成装置２１は、所定のタイミングが到来したか否かを判定する（Ｓ２０８）。

　次に、生成装置２１は、所定のタイミングが到来したと判定されたときに、計測されたサービスの利用量に基づいて第１実績情報を生成し、生成した第１実績情報を含む実績トランザクションデータを生成する（Ｓ２０９）。第１実績情報は、ステップＳ２０５で認証されたユーザを特定するためのユーザ情報を含んでいてもよい。なお、生成装置２１は、端末Ａを使用するユーザＡが移動体の利用を終了することを示す終了情報を生成装置２１が受信したときに所定のタイミングが到来したと判定してもよい。

　次に、生成装置２１は、生成した実績トランザクションデータを認証サーバＡ～Ｃへ送信する（Ｓ２１０）。なお、生成装置２１は、実績情報を含む実績トランザクションデータを、認証サーバＡ～Ｃにブロードキャスト送信してもよい。

　ここで、図１４では、図示されていないが、生成装置２１は、端末Ａ以外の端末（例えば端末Ｂ）から認証情報を受信することで、端末Ａから認証情報を受信した場合と同様に、ステップＳ２０５～ステップＳ２１０の処理を行う。このため、ユーザＡ～Ｃにより利用されたサービスの利用量に関する実績情報を含む実績トランザクションデータは、認証サーバＡ～Ｃに送信される。

　次に、認証サーバＡは、実績トランザクションデータを受信し、受信した実績トランザクションデータに含まれる実績情報に基づいて、実績情報で示される利用量のサービスの利用料金を算出する（Ｓ２１１）。

　次に、認証サーバＡは、算出した利用料金を含む料金トランザクションデータを生成する（Ｓ２１２）。

　次に、認証サーバＡは、生成した料金トランザクションデータを他の認証サーバＢおよび認証サーバＣに転送する（Ｓ２１３）。

　次に、認証サーバＡ、認証サーバＢ及び認証サーバＣは、コンセンサスアルゴリズムを実行し、実績トランザクションデータを含むブロック、及び、料金トランザクションデータを含むブロックを生成して、分散台帳５０５に格納する（Ｓ２１４）。

　次に、認証サーバＡ～Ｃのいずれかは、ステップＳ２１１で算出した利用料金の支払い請求を端末Ａに送信する（Ｓ２１５）。

　次に、端末Ａは、ユーザＡに利用料金の支払い請求を促す表示（ＵＩ）を表示することで、ユーザＡから支払いのための入力を受け付けることで、支払いを行う（Ｓ２１６）。

　次に、認証サーバＡは、確認のタイミングが到来したか否かを判定する（Ｓ２１７）。

　認証サーバＡは、確認のタイミングが到来したと判定した場合（Ｓ２１７でＹｅｓ）、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かを判定する（Ｓ２１８）。なお、認証サーバＡは、確認のタイミングが到来していないと判定した場合（Ｓ２１７でＮｏ）、ステップＳ２１７に戻る。

　次に、認証サーバＡは、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かの判定結果を含む判定トランザクションデータを生成する（Ｓ２１９）。

　次に、認証サーバＡは、生成した判定トランザクションデータを他の認証サーバＢおよび認証サーバＣに転送する（Ｓ２２０）。

　次に、認証サーバＡ、認証サーバＢ及び認証サーバＣは、コンセンサスアルゴリズムを実行し、判定トランザクションデータを含むブロックを生成して、分散台帳５０５に格納する（Ｓ２２１）。

　次に、認証サーバＡは、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かの判定の結果が否定的であるか否かを判定する（Ｓ２２２）。

　認証サーバＡは、判定の結果が否定的であると判定した場合（Ｓ２２２でＹｅｓ）、否定的な判定結果を事業者端末１０またはユーザＡの端末Ａ（つまり、端末３０ａ）へ通知する（Ｓ２２３）。

　認証サーバＡは、ステップＳ２２３が終了する、または、判定結果が肯定的であると判定した場合（Ｓ２２２でＮｏ）、監査処理を終了する。

　［効果等］
　以上のように、実施の形態２に係る管理システム等によれば、１つの生成装置２１が複数のユーザによるサービスの利用実績をユーザ毎に個別に計測する場合であっても、事業者により提供されたサービスのユーザによる利用実績に関する第１実績情報が、契約に基づくルールで許容されるか否かを判定することができるだけでなく、その判定結果を含む判定トランザクションデータを分散台帳に格納することができる。

　（変形例１）
　管理システムの監査処理のうち、図１５を用いて説明したステップＳ２１７以降の処理について、図１６に示すように一部の処理を置き換えてもよい。

　図１６は、実施の形態２の変形例１に係る管理システムの監査処理を示すシーケンス図である。なお、ステップＳ２１７以前の処理は、実施の形態２で説明した監査処理と同じである。

　認証サーバＡは、確認のタイミングが到来したか否かを判定する（Ｓ２１７）。

　認証サーバＡは、確認のタイミングが到来したと判定した場合（Ｓ２１７でＹｅｓ）、ユーザＡ以外のユーザであって、ユーザＡと同一のグループに属するユーザＢおよびユーザＣを含む複数のユーザの中から監査員を決定する（Ｓ２３１）。認証サーバＡは、ユーザＡ以外のユーザであって、ユーザＡと同一のグループに属するユーザＢおよびユーザＣ複数のユーザの中から監査員を決定する場合、ランダムに決定してもよいし、図示しない住民台帳に基づいて決定してもよいし、この複数のユーザを含む予め定められたテーブルに基づいて決定してもよい。なお、認証サーバＡは、確認のタイミングが到来していないと判定した場合（Ｓ２１７でＮｏ）、ステップＳ２１７に戻る。

　認証サーバＡは、監査員を決定すると、決定した監査員のユーザが使用する端末３０へ契約情報および実績情報を送信する（Ｓ２３２）。例えば、認証サーバＡは、ユーザＢを監査員として決定すると、ユーザＢが使用する端末３０ｂへ、ユーザＡの契約情報および実績情報を送信する。このとき送信される実績情報は、分散台帳に格納されている実績情報のうちの最新の実績情報であってもよいし、最新の実績情報を含む実績情報であってもよいし、最新の実績情報を除く過去の実績情報であってもよい。

　端末３０ｂは、契約情報および実績情報を受信した場合、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かをユーザＢに確認する（Ｓ２３３）。具体的には、端末３０ｂは、契約情報および実績情報を受信した場合、認証サーバＡから送信された契約情報および実績情報に基づいて、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かを第２ユーザに確認するための表示（ＵＩ：Ｕｓｅｒ　Ｉｎｔｅｒｆａｃｅ）を表示部３０３に表示する。これにより、端末３０ｂは、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かを示す入力を、ユーザＢに入力部３０２を用いて行うように促す。

　端末３０ｂは、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かを示す入力が入力部３０２により受け付けられた場合、当該入力が示す確認結果を含む確認トランザクションデータを生成する（Ｓ２３４）。

　端末３０ｂは、生成した確認結果を含む確認トランザクションデータを認証サーバＡへ送信する（Ｓ２３５）。

　次に、認証サーバＡは、確認トランザクションデータを受信し、受信した確認トランザクションデータを他の認証サーバＢおよび認証サーバＣに転送する（Ｓ２３６）。

　次に、認証サーバＡ、認証サーバＢ及び認証サーバＣは、コンセンサスアルゴリズムを実行し、確認トランザクションデータを含むブロックを生成して、分散台帳５０５に格納する（Ｓ２３７）。

　以降のステップＳ２２２およびステップＳ２２３は、実施の形態２で説明した通りであるので説明を省略する。

　（変形例２）
　管理システムの監査処理のうち、図１５を用いて説明したステップＳ２１７以降の処理について、図１７に示すように一部の処理を置き換えてもよい。

　図１７は、実施の形態２の変形例２に係る管理システムの監査処理を示すシーケンス図である。なお、ステップＳ２１７以前の処理は、実施の形態２で説明した監査処理と同じである。

　認証サーバＡは、確認のタイミングが到来したと判定した場合（Ｓ２１７でＹｅｓ）、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かを判定する（Ｓ２４１）。ステップＳ２４１は、ステップＳ２１８と同じである。なお、認証サーバＡは、確認のタイミングが到来していないと判定した場合（Ｓ２１７でＮｏ）、ステップＳ２１７に戻る。

　次に、認証サーバＡは、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されると判定された場合（Ｓ２４２でＹｅｓ）、監査処理を終了する。認証サーバＡは、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されないと判定された場合（Ｓ２４２でＮｏ）、ステップＳ２３１～ステップＳ２３７に進む。

　ステップＳ２３１～ステップＳ２３７は、実施の形態２の変形例１で説明したステップＳ２３１～Ｓ２３７と同じであるので説明を省略する。

　ステップＳ２３７が終了すると、ステップＳ２２２およびステップＳ２２３が行われる。ステップＳ２２２およびステップＳ２２３は、実施の形態２で説明した通りであるので説明を省略する。

　（実施の形態３）
　実施の形態２では、管理システムが備える複数の認証サーバ５０の分散台帳に、各トランザクションデータに含まれる情報を格納するとして説明したが、これに限らない。管理システムは、認証サーバを備えず、それぞれが分散台帳を有する事業者端末及び複数の端末を備えてもよい。そして、このような場合に、事業者端末及び複数の端末の分散台帳に監査結果を受けて有効化された契約に格納してもよい。以下、実施の形態１及び実施の形態２と、異なる点を中心に説明する。

　［管理システム］
　図１８は、実施の形態３に係る管理システムの構成の一例を示す図である。図１及び図１０と同様の要素には同一の符号を付しており、詳細な説明を省略する。

　図１８に示す管理システムは、実施の形態２に係る管理システムに対して、複数の認証サーバ５０を備えない点と、事業者端末１１の構成及び端末３２ａ～３２ｘの構成とが異なる。なお、以下では、端末３２ａ～端末３２ｘのそれぞれを端末３２とも称するが、端末３２ａ～端末３２ｘを端末Ａ～端末Ｘと称する場合もある。

　まず、事業者端末１１について説明する。

　［事業者端末１１］
　事業者端末１１は、事業者端末１０と同様に、事業者により使用される端末の一例である。事業者端末１１は、例えばパーソナルコンピュータであってもよいし、スマートフォン及びタブレットなどの携帯端末であってもよい。

　図１９は、実施の形態３に係る事業者端末１１の構成の一例を示す図である。図２と同様の要素には同一の符号を付しており、詳細な説明を省略する。

　図１９に示す事業者端末１１は、実施の形態２に係る事業者端末１０に対して、さらにトランザクションデータ検証部１１６と、記録部１１７と、分散台帳１１８とを備える点で構成が異なる。

　＜トランザクションデータ検証部１１６＞
　トランザクションデータ検証部１１６は、通信部１０１がトランザクションデータを受信したとき、そのトランザクションデータの正当性を検証する。なお、この検証はスキップされてもよい。

　また、トランザクションデータ検証部１１６は、複数の端末３２とともに、トランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行する。トランザクションデータ検証部１１６は、トランザクションデータの正当性を確認した場合、記録部１１７にトランザクションデータを記録させる。

　本実施の形態では、トランザクションデータ検証部１１６は、トランザクションデータ生成部１０５が生成した契約トランザクションデータまたは通信部１０１が受信した実績トランザクションデータ、判定トランザクションデータ、および確認トランザクションデータの正当性を検証する。

　さらに、トランザクションデータ検証部１１６は、各トランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行する。そして、トランザクションデータ検証部１１６は、各トランザクションデータの正当性を確認した場合、記録部１１７に各トランザクションデータを記録させる。

　＜記録部１１７＞
　記録部１１７は、トランザクションデータ検証部１１６により正当性の検証がなされたトランザクションデータをブロックに含めて分散台帳１１８に格納することで、そのトランザクションデータを記録する。

　なお、記録部１１７は、分散台帳１１８が内部に構成されていてもよい。

　＜分散台帳１１８＞
　分散台帳１１８は、契約情報を含む契約トランザクションデータ、実績情報を含む実績トランザクションデータ、判定結果を含む判定トランザクションデータ、および、確認情報を含む確認トランザクションデータを格納している。

　続いて、端末３２ａ～端末３２ｘについて説明する。なお、端末３２ａ～端末３２ｘの構成は共通しているので、端末３２と称して説明する。

　［端末３２］
　端末３２は、端末３０と同様に、ユーザにより使用される端末の一例である。端末３２は、例えばパーソナルコンピュータであってもよいし、スマートフォン及びタブレットなどの携帯端末であってもよい。端末３２のいずれかは、事業者との間で契約を合意した複数のユーザのうちの第１ユーザにより使用される端末である。また、端末３２のいずれかは、事業者との間で契約を合意した複数のユーザのうちの第１ユーザとは異なる第２ユーザにより使用される端末である。

　本実施の形態では、複数の端末３２のうち、端末３２ａすなわち端末Ａが、第１ユーザにより使用される端末であるとして説明する。また、複数の端末３２のうち、端末３２ｂすなわち端末Ｂが、第２ユーザにより使用される端末であるとして説明する。

　図２０は、実施の形態３に係る端末３２の構成の一例を示す図である。図４と同様の要素には同一の符号を付しており、詳細な説明を省略する。

　図２０に示す端末３２は、実施の形態１に係る端末３０に対して、さらにトランザクションデータ検証部３２５と、記録部３２６と、分散台帳３２７とを備える点で構成が異なる。

　＜トランザクションデータ検証部３２５＞
　トランザクションデータ検証部３２５は、通信部３０１がトランザクションデータを受信したとき、そのトランザクションデータの正当性を検証する。なお、この検証はスキップされてもよい。

　また、トランザクションデータ検証部３２５は、他の端末３２及び事業者端末１１とともに、トランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行する。トランザクションデータ検証部３２５は、トランザクションデータの正当性を確認した場合、記録部３２６にトランザクションデータを記録させる。

　本実施の形態では、トランザクションデータ検証部３２５は、通信部３０１が受信した契約トランザクションデータ、実績トランザクションデータ、判定トランザクションデータ、および確認トランザクションデータの正当性を検証する。

　さらに、トランザクションデータ検証部３２５は、各トランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行する。そして、トランザクションデータ検証部３２５は、各トランザクションデータの正当性を確認した場合、記録部３２６に各トランザクションデータを記録させる。

　＜記録部３２６＞
　記録部３２６は、トランザクションデータ検証部３２５により正当性の検証がなされたトランザクションデータをブロックに含めて分散台帳３２７に格納することで、そのトランザクションデータを記録する。

　なお、記録部３２６は、分散台帳３２７が内部に構成されていてもよい。

　＜分散台帳３２７＞
　分散台帳３２７は、契約情報を含む契約トランザクションデータ、実績情報を含む実績トランザクションデータ、判定結果を含む判定トランザクションデータ、および、確認情報を含む確認トランザクションデータを格納している。

　図２１及び図２２は、実施の形態３に係る管理システムの監査処理を示すシーケンス図である。図２２は、図２１で示す処理の続きの処理を示す。

　まず、事業者端末１１を使用する事業者は、ユーザＡとの間で契約について合意したとする。事業者端末１１は、この契約を示す契約情報を含む契約トランザクションデータを複数の端末３２へ転送する（Ｓ３０１）。なお、事業者は、他のユーザＢおよびユーザＣとの間でも上記と同様に、個別に契約を締結し、締結した契約を示す契約情報を含む契約トランザクションデータを複数の端末３２へ送信する。なお、事業者端末１１は、契約情報を含む契約トランザクションデータを、複数の端末３２にブロードキャスト送信してもよい。

　次に、事業者端末１１及び複数の端末３２は、コンセンサスアルゴリズムを実行し、契約トランザクションデータを含むブロックを生成して、分散台帳１１８、３２７に格納する（Ｓ３０２）。

　次に、移動体を利用するユーザＡにより、認証のための操作が端末Ａで受け付けられることで、端末Ａは、認証情報を移動体の生成装置２１に送信する（Ｓ３０３）。

　生成装置２１は、端末Ａから認証情報を受信し、受信した認証情報に基づいて端末Ａを使用するユーザＡが、生成装置２１を含む移動体の利用が許可されているユーザであるか否かを認証する認証処理を行う（Ｓ３０４）。

　次に、生成装置２１は、認証成功である場合（Ｓ３０５でＹｅｓ）、つまり、受信した認証情報に基づいて端末Ａを使用するユーザＡが、生成装置２１を含む移動体の利用が許可されているユーザであると判定した場合、移動体を利用可能な状態に遷移させる（Ｓ３０６）。生成装置２１は、認証失敗である場合（Ｓ３０５でＮｏ）、移動体を利用不可能な状態のままとし、ステップＳ３０５に戻る。なお、生成装置２１は、移動体の室内に入るためのドアのロックを解除することで移動体を利用可能な状態に遷移させてもよいし、移動体を駆動するスイッチをＯＮにすることで移動体を利用可能な状態に遷移させてもよい。逆に言うと、生成装置２１は、移動体の室内に入るためのドアをロックすることで移動体を利用不可能な状態としてもよいし、移動体を駆動するスイッチをＯＦＦのままにすることで移動体を利用不可能な状態としてもよい。

　次に、生成装置２１は、所定のタイミングが到来したか否かを判定する（Ｓ３０７）。

　次に、生成装置２１は、所定のタイミングが到来したと判定されたときに、計測されたサービスの利用量に基づいて第１実績情報を生成し、生成した第１実績情報を含む実績トランザクションデータを生成する（Ｓ３０８）。第１実績情報は、ステップＳ３０４で認証されたユーザを特定するためのユーザ情報を含んでいてもよい。なお、生成装置２１は、端末Ａを使用するユーザＡが移動体の利用を終了することを示す終了情報を生成装置２１が受信したときに所定のタイミングが到来したと判定してもよい。

　次に、生成装置２１は、生成した実績トランザクションデータを事業者端末１１及び複数の端末３２へ送信する（Ｓ３０９）。なお、生成装置２１は、実績情報を含む実績トランザクションデータを、事業者端末１１及び複数の端末３２にブロードキャスト送信してもよい。

　ここで、図２１では、図示されていないが、生成装置２１は、端末Ａ以外の端末（例えば端末Ｂ）から認証情報を受信することで、端末Ａから認証情報を受信した場合と同様に、ステップＳ３０４～ステップＳ３０９の処理を行う。このため、ユーザＡ～Ｃにより利用されたサービスの利用量に関する実績情報を含む実績トランザクションデータは、事業者端末１１及び複数の端末３２に送信される。以降では、事業者端末１１において処理が行われるものとして説明するが、複数の端末３２において事業者端末１１における処理と同様の処理が行われてもよい。

　次に、事業者端末１１は、実績トランザクションデータを受信し、受信した実績トランザクションデータに含まれる実績情報に基づいて、実績情報で示される利用量のサービスの利用料金を算出する（Ｓ３１０）。

　次に、事業者端末１１は、算出した利用料金を含む料金トランザクションデータを生成する（Ｓ３１１）。

　次に、事業者端末１１は、生成した料金トランザクションデータを複数の端末３２に転送する（Ｓ３１２）。なお、端末３２がトランザクションデータを転送する場合、事業者端末１１及び他の端末３２にトランザクションデータを転送する。

　次に、事業者端末１１及び複数の端末３２は、コンセンサスアルゴリズムを実行し、実績トランザクションデータを含むブロック、及び、料金トランザクションデータを含むブロックを生成して、分散台帳１１８、３２７に格納する（Ｓ３１３）。

　次に、事業者端末１１及び複数の端末３２のいずれかは、ステップＳ３１０で算出した利用料金の支払い請求を端末Ａに送信する（Ｓ３１４）。

　次に、端末Ａは、ユーザＡに利用料金の支払い請求を促す表示（ＵＩ）を表示することで、ユーザＡから支払いのための入力を受け付けることで、支払いを行う（Ｓ３１５）。

　次に、事業者端末１１は、確認のタイミングが到来したか否かを判定する（Ｓ３１６）。

　事業者端末１１は、確認のタイミングが到来したと判定した場合（Ｓ３１６でＹｅｓ）、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かを判定する（Ｓ３１７）。なお、事業者端末１１は、確認のタイミングが到来していないと判定した場合（Ｓ３１６でＮｏ）、ステップＳ３１６に戻る。

　次に、事業者端末１１は、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かの判定結果を含む判定トランザクションデータを生成する（Ｓ３１８）。

　次に、事業者端末１１は、生成した判定トランザクションデータを複数の端末３２に転送する（Ｓ３１９）。

　次に、事業者端末１１及び複数の端末３２は、コンセンサスアルゴリズムを実行し、判定トランザクションデータを含むブロックを生成して、分散台帳１１８、３２７に格納する（Ｓ３２０）。

　次に、事業者端末１１は、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かの判定の結果が否定的であるか否かを判定する（Ｓ３２１）。

　事業者端末１１は、判定の結果が否定的であると判定した場合（Ｓ３２１でＹｅｓ）、否定的な判定結果をユーザＡの端末Ａ（つまり、端末３２ａ）へ通知する（Ｓ３２２）。

　事業者端末１１は、ステップＳ３２２が終了する、または、判定結果が肯定的であると判定した場合（Ｓ３２１でＮｏ）、監査処理を終了する。

　［効果等］
　以上のように、実施の形態３に係る管理システム等によれば、１つの生成装置２１が複数のユーザによるサービスの利用実績をユーザ毎に個別に計測する場合であっても、事業者により提供されたサービスのユーザによる利用実績に関する第１実績情報が、契約に基づくルールで許容されるか否かを判定することができるだけでなく、その判定結果を含む判定トランザクションデータを分散台帳に格納することができる。

　（変形例１）
　上記の実施の形態３では、事業者端末１１および端末Ａなどの複数の端末３２のいずれかが、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かの判定を行う場合について説明したが、これに限らない。エージェントサーバが事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かの判定を行ってもよい。

　本変形例では、エージェントサーバが事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かの判定を行う場合について説明する。また、本変形例では、エージェントサーバと複数の端末３２と事業者端末１１とが同一内容の複数の台帳からなる分散台帳を有する場合について説明する。以下では、実施の形態２等と異なる点を中心に説明する。

　［管理システム］
　図２３は、実施の形態３の変形例１に係る管理システムの構成の一例を示す図である。図１８と同様の要素には同一の符号を付しており、詳細な説明を省略する。

　図２３に示す管理システムは、実施の形態３に係る管理システムに対して、さらにエージェントサーバ６０を備える点で構成が異なる。なお、以下でも、端末３２ａ～端末３２ｘのそれぞれを端末３２とも称するが、端末３２ａ～端末３２ｘを端末Ａ～端末Ｘと称する場合もある。

　以下、エージェントサーバ６０について説明する。

　［エージェントサーバ６０］
　エージェントサーバ６０は、第１サーバの一例である。

　図２４は、実施の形態３の変形例１に係るエージェントサーバ６０の構成の一例を示す図である。

　エージェントサーバ６０は、図２４に示すように、通信部６０１と、判断部６０２と、トランザクションデータ検証部６０３と、記録部６０４と、分散台帳６０５とを備える。エージェントサーバ６０は、プロセッサがメモリを用いて所定のプログラムを実行することで実現され得る。以下、各構成要素について説明する。

　＜通信部６０１＞
　通信部６０１は、事業者端末１１から契約情報を含む契約トランザクションデータを受信する。通信部６０１は、事業者端末１１から契約トランザクションデータを受信することで契約情報を取得する。通信部６０１は、事業者端末１１から契約情報を直接受信してもよい。

　また、通信部６０１は、生成装置２１から第１実績情報を含む実績トランザクションデータを受信する。通信部６０１は、生成装置２１から実績トランザクションデータを受信することで第１実績情報を取得する。通信部６０１は、生成装置２１から第１実績情報を直接受信してもよい。

　また、通信部６０１は、第１ユーザの契約情報および実績情報を第２ユーザの端末３２ｂに送信してもよい。この場合、通信部６０１は、第２ユーザの端末３２ｂから確認結果の確認情報を含む確認トランザクションデータを受信する。通信部６０１は、端末３２ｂから確認トランザクションデータを受信することで確認情報を取得する。通信部６０１は、端末３２ｂから確認情報を直接受信してもよい。

　また、通信部６０１は、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かの結果（監査結果）を事業者端末１１または第１ユーザの端末３２ａに送信する。監査結果は、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されることを示す情報、または、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されないことを示す情報を含む。

　また、通信部６０１は、事業者端末１１及び複数の端末３２との間で各トランザクションデータのやり取りを行う。具体的には、通信部６０１は、事業者端末１１及び複数の端末３２へ各トランザクションデータを転送したり、事業者端末１１及び複数の端末３２から転送された各トランザクションデータを受信する。なお、各トランザクションデータは、契約トランザクションデータ、実績トランザクションデータ、判定トランザクションデータ、および確認トランザクションデータのうちの１つを含む。

　このように、通信部６０１は、ネットワークＮを介して事業者端末１１、生成装置２１、または複数の端末３２との間で通信を行う。なお、この通信は、ＴＬＳ（Transport Layer Security）によりなされてもよく、ＴＬＳ通信用の暗号鍵は通信部６０１で保持してもよい。

　＜判断部６０２＞
　判断部６０２は、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かを判定する。契約内容のルールでは、第１実績情報が契約内容に含まれる閾値を超えることが許容されない。つまり、このルールでは、例えば、第１期間においてユーザにより利用されたサービスの利用量の上限が定められている。なお、第１実績情報は、ユーザによるサービスの利用量、または、サービスの利用時間が増加するにしたがって増加する実績値を含む。この実績値は、例えば、事業者により提供されるサービスが移動体のシェアリングサービスである場合、ユーザによる移動体の利用量である。移動体の利用量は、例えば、移動体の走行距離、走行時間、消費燃料、および消費電力量のうちの少なくとも１つである。

　判断部６０２は、確認のタイミングが到来したか否かを判定し、確認のタイミングが到来したと判定した場合、第１実績情報が許容されるか否かを判定してもよい。確認のタイミングは、具体的には、サービスの利用料をユーザに請求するタイミング、契約書に記載されているタイミングなどの予め定められたタイミングであってもよい。また、確認のタイミングは、前回確認のタイミングが到来したと判定してから利用されたサービスの利用量が所定の利用量を超えたタイミングであってもよい。所定の利用量は、第１期間における第１ユーザによるサービスの利用量よりも大きくてもよい。また、確認のタイミングは、前回確認のタイミングが到来したと判定してから第２期間が経過したことで確認のタイミングが到来したと判定してもよい。第２期間は、第１期間よりも長い期間であってもよいし、第１期間と同じ期間であってもよい。第１期間と第２期間とが同じ期間である場合には、判断部６０２は、生成装置２１から第１実績情報を取得したときに、確認のタイミングが到来したと判定してもよい。第２期間は、例えば、１２時間、１日、１週間、１ヶ月などであってもよい。判断部６０２は、確認のタイミングが到来したことを通信部６０１に通知する。なお、確認のタイミングは、第１のタイミングの一例である。

　判断部６０２は、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されないと判定した場合、つまり、この判定の結果が、第１実績情報がこのルールで許容されないことを示す場合、第１ユーザとは異なり、かつ、第１ユーザと同じグループに属する第２ユーザの端末３２ｂへ、契約内容および第１実績情報を送信してもよい。具体的には、判断部６０２は、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されないと判定した場合、ユーザＢの端末３２ｂへ、第１ユーザの契約内容、および、第１期間における第１ユーザによるサービスの利用量を送信する。これにより、ユーザＢは、端末３２ｂを用いて、ユーザＡの契約内容および第１実績情報に基づく監査を行うことができる。

　判断部６０２は、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かの判定結果を含む判定トランザクションデータを生成する。判断部６０２は、生成した判定トランザクションデータを通信部６０１に転送させる。

　＜トランザクションデータ検証部６０３＞
　トランザクションデータ検証部６０３は、通信部６０１がトランザクションデータを受信したとき、そのトランザクションデータの正当性を検証する。例えば、トランザクションデータ検証部６０３は、通信部６０１が受信したトランザクションデータに、正しい方法で生成された電子署名が付与されているかなどを検証する。なお、この検証はスキップされてもよい。ここで、通信部６０１が受信するトランザクションデータは、契約トランザクションデータ、実績トランザクションデータ、判定トランザクションデータ、および確認トランザクションデータのいずれかである。

　また、トランザクションデータ検証部６０３は、事業者端末１１及び複数の端末３２とともに、トランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行する。

　ここで、コンセンサスアルゴリズムには、ＰＢＦＴ（Practical Byzantine Fault Tolerance）が用いられてもよいし、その他の公知のコンセンサスアルゴリズムが用いられてもよい。公知のコンセンサスアルゴリズムとしては、例えばＰｏＷ（Proof of Work）またはＰｏＳ（Proof of Stake）などがある。コンセンサスアルゴリズムにＰＢＦＴが用いられる場合、トランザクションデータ検証部６０３は、事業者端末１１及び複数の端末３２のそれぞれからトランザクションデータの検証が成功したか否かを示す報告を受け取り、当該報告の数が所定の数を超えたか否かを判定する。そして、トランザクションデータ検証部６０３は、当該報告の数が所定の数を超えたとき、コンセンサスアルゴリズムによってトランザクションデータの正当性が検証されたと判定すればよい。

　トランザクションデータ検証部６０３は、トランザクションデータの正当性を確認した場合、記録部６０４にそのトランザクションデータを記録させる。

　本実施の形態では、トランザクションデータ検証部６０３は、通信部６０１が受信した契約トランザクションデータ、実績トランザクションデータ、判定トランザクションデータ、および確認トランザクションデータの正当性を検証する。

　＜記録部６０４＞
　記録部６０４は、トランザクションデータ検証部６０３により正当性の検証がなされたトランザクションデータをブロックに含めて分散台帳６０５に格納することで、トランザクションデータを記録する。

　なお、記録部６０４は、分散台帳６０５が内部に構成されていてもよい。

　＜分散台帳６０５＞
　分散台帳６０５は、契約情報を含む契約トランザクションデータ、実績情報を含む実績トランザクションデータ、判定結果を含む判定トランザクションデータ、および、確認情報を含む確認トランザクションデータを格納している。

　図２５及び図２６は、実施の形態３の変形例１に係る管理システムの監査処理を示すシーケンス図である。図２６は、図２５で示す処理の続きの処理を示す。

　まず、事業者端末１１を使用する事業者は、ユーザＡとの間で契約について合意したとする。事業者端末１１は、この契約を示す契約情報を含む契約トランザクションデータを複数の端末３２及びエージェントサーバ６０へ転送する（Ｓ４０１）。なお、事業者は、他のユーザＢおよびユーザＣとの間でも上記と同様に、個別に契約を締結し、締結した契約を示す契約情報を含む契約トランザクションデータを複数の端末３２及びエージェントサーバ６０へ送信する。なお、事業者端末１１は、契約情報を含む契約トランザクションデータを、複数の端末３２及びエージェントサーバ６０にブロードキャスト送信してもよい。

　次に、事業者端末１１、複数の端末３２及びエージェントサーバ６０は、コンセンサスアルゴリズムを実行し、契約トランザクションデータを含むブロックを生成して、分散台帳１１８、３２７、６０５に格納する（Ｓ４０２）。

　次に、移動体を利用するユーザＡにより、認証のための操作が端末Ａで受け付けられることで、端末Ａは、認証情報を移動体の生成装置２１に送信する（Ｓ４０３）。

　生成装置２１は、端末Ａから認証情報を受信し、受信した認証情報に基づいて端末Ａを使用するユーザＡが、生成装置２１を含む移動体の利用が許可されているユーザであるか否かを認証する認証処理を行う（Ｓ４０４）。

　次に、生成装置２１は、認証成功である場合（Ｓ４０５でＹｅｓ）、つまり、受信した認証情報に基づいて端末Ａを使用するユーザＡが、生成装置２１を含む移動体の利用が許可されているユーザであると判定した場合、移動体を利用可能な状態に遷移させる（Ｓ４０６）。生成装置２１は、認証失敗である場合（Ｓ４０５でＮｏ）、移動体を利用不可能な状態のままとし、ステップＳ４０５に戻る。なお、生成装置２１は、移動体の室内に入るためのドアのロックを解除することで移動体を利用可能な状態に遷移させてもよいし、移動体を駆動するスイッチをＯＮにすることで移動体を利用可能な状態に遷移させてもよい。逆に言うと、生成装置２１は、移動体の室内に入るためのドアをロックすることで移動体を利用不可能な状態としてもよいし、移動体を駆動するスイッチをＯＦＦのままにすることで移動体を利用不可能な状態としてもよい。

　次に、生成装置２１は、所定のタイミングが到来したか否かを判定する（Ｓ４０７）。

　次に、生成装置２１は、所定のタイミングが到来したと判定されたときに、計測されたサービスの利用量に基づいて第１実績情報を生成し、生成した第１実績情報を含む実績トランザクションデータを生成する（Ｓ４０８）。第１実績情報は、ステップＳ４０４で認証されたユーザを特定するためのユーザ情報を含んでいてもよい。なお、生成装置２１は、端末Ａを使用するユーザＡが移動体の利用を終了することを示す終了情報を生成装置２１が受信したときに所定のタイミングが到来したと判定してもよい。

　次に、生成装置２１は、生成した実績トランザクションデータを事業者端末１１、複数の端末３２及びエージェントサーバ６０へ送信する（Ｓ４０９）。なお、生成装置２１は、実績情報を含む実績トランザクションデータを、事業者端末１１、複数の端末３２及びエージェントサーバ６０にブロードキャスト送信してもよい。

　ここで、図２５では、図示されていないが、生成装置２１は、端末Ａ以外の端末（例えば端末Ｂ）から認証情報を受信することで、端末Ａから認証情報を受信した場合と同様に、ステップＳ４０４～ステップＳ４０９の処理を行う。このため、ユーザＡ～Ｃにより利用されたサービスの利用量に関する実績情報を含む実績トランザクションデータは、エージェントサーバ６０に送信される。

　次に、エージェントサーバ６０は、実績トランザクションデータを受信し、受信した実績トランザクションデータに含まれる実績情報に基づいて、実績情報で示される利用量のサービスの利用料金を算出する（Ｓ４１０）。

　次に、エージェントサーバ６０は、算出した利用料金を含む料金トランザクションデータを生成する（Ｓ４１１）。

　次に、エージェントサーバ６０は、生成した料金トランザクションデータを事業者端末１１及び複数の端末３２に転送する（Ｓ４１２）。

　次に、事業者端末１１、複数の端末３２及びエージェントサーバ６０は、コンセンサスアルゴリズムを実行し、実績トランザクションデータを含むブロック、及び、料金トランザクションデータを含むブロックを生成して、分散台帳１１８、３２７、６０５に格納する（Ｓ４１３）。

　次に、エージェントサーバ６０は、ステップＳ４１０で算出した利用料金の支払い請求を端末Ａに送信する（Ｓ４１４）。

　次に、端末Ａは、ユーザＡに利用料金の支払い請求を促す表示（ＵＩ）を表示することで、ユーザＡから支払いのための入力を受け付けることで、支払いを行う（Ｓ４１５）。

　次に、エージェントサーバ６０は、確認のタイミングが到来したか否かを判定する（Ｓ４１６）。

　エージェントサーバ６０は、確認のタイミングが到来したと判定した場合（Ｓ４１６でＹｅｓ）、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かを判定する（Ｓ４１７）。なお、エージェントサーバ６０は、確認のタイミングが到来していないと判定した場合（Ｓ４１６でＮｏ）、ステップＳ４１６に戻る。

　次に、エージェントサーバ６０は、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かの判定結果を含む判定トランザクションデータを生成する（Ｓ４１８）。

　次に、エージェントサーバ６０は、生成した判定トランザクションデータを事業者端末１１及び複数の端末３２に転送する（Ｓ４１９）。

　次に、事業者端末１１、複数の端末３２及びエージェントサーバ６０は、コンセンサスアルゴリズムを実行し、判定トランザクションデータを含むブロックを生成して、分散台帳１１８、３２７に格納する（Ｓ４２０）。

　次に、エージェントサーバ６０は、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かの判定の結果が否定的であるか否かを判定する（Ｓ４２１）。

　エージェントサーバ６０は、判定の結果が否定的であると判定した場合（Ｓ４２１でＹｅｓ）、否定的な判定結果をユーザＡの端末Ａ（つまり、端末３２ａ）へ通知する（Ｓ４２２）。

　エージェントサーバ６０は、ステップＳ４２２が終了する、または、判定結果が肯定的であると判定した場合（Ｓ４２１でＮｏ）、監査処理を終了する。

　（変形例２）
　上記の実施の形態３の変形例１では、エージェントサーバと複数の端末３２と事業者端末１１とが、同一内容の複数の台帳からなる分散台帳を有する場合について説明したが、これに限らない。エージェントサーバと複数の認証サーバが同一内容の複数の台帳からなる分散台帳を有し、複数の端末３２と事業者端末１１とは当該分散台帳を有さないとしてもよい。

　本変形例では、エージェントサーバと複数の認証サーバが同一内容の複数の台帳からなる分散台帳を有する場合について説明する。また、本変形例では、エージェントサーバが新たに締結された契約の契約書を監査する先契約者を特定したり、特定した先契約者が当該契約書に同意したか否かを検証する場合について説明する。以下、上記で説明した変形例１等と異なる点を中心に説明する。

　［管理システム］
　図２７は、実施の形態３の変形例２に係る管理システムの構成の一例を示す図である。図１８及び図２３と同様の要素には同一の符号を付しており、詳細な説明を省略する。

　図２７に示す管理システムは、図１８に示す管理システムに対して、さらにエージェントサーバ６０と、認証サーバ５１ａ～認証サーバ５１ｃとを備える点で構成が異なる。なお、図２７に示すエージェントサーバ６０は、実施の形態３の変形例１で説明した通りであるので、ここでの説明は省略する。また、以下でも、端末３２ａ～端末３２ｘのそれぞれを端末３２とも称するが、端末３２ａ～端末３２ｘを端末Ａ～端末Ｘと称する場合もある。同様に、認証サーバ５１ａ～認証サーバ５１ｃそれぞれを、認証サーバ５１とも称するが、認証サーバ５１ａ～５１ｃを認証サーバＡ～認証サーバＣと称する場合もある。

　［認証サーバ５１］
　ここでは、認証サーバ５１ａ～認証サーバ５１ｃの構成は共通しているので、認証サーバ５１と称して説明する。

　認証サーバ５１は、第１サーバの一例である。

　図２８は、実施の形態３の変形例２に係る認証サーバ５１の構成の一例を示す図である。図５と同様の要素には同一の符号を付しており、詳細な説明を省略する。

　図２８に示す認証サーバ５１は、図５に示す認証サーバ５０に対して、判断部５０２の構成がない点で構成が異なる。認証サーバ５１も、プロセッサがメモリを用いて所定のプログラムを実行することで実現され得る。

　図２９及び図３０は、実施の形態３の変形例２に係る管理システムの監査処理を示すシーケンス図である。図３０は、図２９で示す処理の続きの処理を示す。

　まず、事業者端末１１を使用する事業者は、ユーザＡとの間で契約について合意したとする。事業者端末１１は、この契約を示す契約情報を含む契約トランザクションデータを複数の認証サーバ５１及びエージェントサーバ６０へ転送する（Ｓ５０１）。なお、事業者は、他のユーザＢおよびユーザＣとの間でも上記と同様に、個別に契約を締結し、締結した契約を示す契約情報を含む契約トランザクションデータを複数の認証サーバ５１及びエージェントサーバ６０へ送信する。なお、事業者端末１１は、契約情報を含む契約トランザクションデータを、複数の認証サーバ５１及びエージェントサーバ６０にブロードキャスト送信してもよい。

　次に、複数の認証サーバ５１及びエージェントサーバ６０は、コンセンサスアルゴリズムを実行し、契約トランザクションデータを含むブロックを生成して、分散台帳５０５、６０５に格納する（Ｓ５０２）。

　次に、移動体を利用するユーザＡにより、認証のための操作が端末Ａで受け付けられることで、端末Ａは、認証情報を移動体の生成装置２１に送信する（Ｓ５０３）。

　生成装置２１は、端末Ａから認証情報を受信し、受信した認証情報に基づいて端末Ａを使用するユーザＡが、生成装置２１を含む移動体の利用が許可されているユーザであるか否かを認証する認証処理を行う（Ｓ５０４）。

　次に、生成装置２１は、認証成功である場合（Ｓ５０５でＹｅｓ）、つまり、受信した認証情報に基づいて端末Ａを使用するユーザＡが、生成装置２１を含む移動体の利用が許可されているユーザであると判定した場合、移動体を利用可能な状態に遷移させる（Ｓ５０６）。生成装置２１は、認証失敗である場合（Ｓ５０５でＮｏ）、移動体を利用不可能な状態のままとし、ステップＳ５０５に戻る。なお、生成装置２１は、移動体の室内に入るためのドアのロックを解除することで移動体を利用可能な状態に遷移させてもよいし、移動体を駆動するスイッチをＯＮにすることで移動体を利用可能な状態に遷移させてもよい。逆に言うと、生成装置２１は、移動体の室内に入るためのドアをロックすることで移動体を利用不可能な状態としてもよいし、移動体を駆動するスイッチをＯＦＦのままにすることで移動体を利用不可能な状態としてもよい。

　次に、生成装置２１は、所定のタイミングが到来したか否かを判定する（Ｓ５０７）。

　次に、生成装置２１は、所定のタイミングが到来したと判定されたときに、計測されたサービスの利用量に基づいて第１実績情報を生成し、生成した第１実績情報を含む実績トランザクションデータを生成する（Ｓ５０８）。第１実績情報は、ステップＳ５０４で認証されたユーザを特定するためのユーザ情報を含んでいてもよい。なお、生成装置２１は、端末Ａを使用するユーザＡが移動体の利用を終了することを示す終了情報を生成装置２１が受信したときに所定のタイミングが到来したと判定してもよい。

　次に、生成装置２１は、生成した実績トランザクションデータを複数の認証サーバ５１及びエージェントサーバ６０へ送信する（Ｓ５０９）。なお、生成装置２１は、実績情報を含む実績トランザクションデータを、複数の認証サーバ５１及びエージェントサーバ６０にブロードキャスト送信してもよい。

　ここで、図２９では、図示されていないが、生成装置２１は、端末Ａ以外の端末（例えば端末Ｂ）から認証情報を受信することで、端末Ａから認証情報を受信した場合と同様に、ステップＳ５０４～ステップＳ５０９の処理を行う。このため、ユーザＡ～Ｃにより利用されたサービスの利用量に関する実績情報を含む実績トランザクションデータは、エージェントサーバ６０に送信される。

　次に、エージェントサーバ６０は、実績トランザクションデータを受信し、受信した実績トランザクションデータに含まれる実績情報に基づいて、実績情報で示される利用量のサービスの利用料金を算出する（Ｓ５１０）。

　次に、エージェントサーバ６０は、算出した利用料金を含む料金トランザクションデータを生成する（Ｓ５１１）。

　次に、エージェントサーバ６０は、生成した料金トランザクションデータを複数の認証サーバ５１に転送する（Ｓ５１２）。

　次に、複数の認証サーバ５１及びエージェントサーバ６０は、コンセンサスアルゴリズムを実行し、実績トランザクションデータを含むブロック、及び、料金トランザクションデータを含むブロックを生成して、分散台帳５０５、６０５に格納する（Ｓ５１３）。

　次に、エージェントサーバ６０は、ステップＳ５１０で算出した利用料金の支払い請求を端末Ａに送信する（Ｓ５１４）。

　次に、端末Ａは、ユーザＡに利用料金の支払い請求を促す表示（ＵＩ）を表示することで、ユーザＡから支払いのための入力を受け付けることで、支払いを行う（Ｓ５１５）。

　次に、エージェントサーバ６０は、確認のタイミングが到来したか否かを判定する（Ｓ５１６）。

　エージェントサーバ６０は、確認のタイミングが到来したと判定した場合（Ｓ５１６でＹｅｓ）、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かを判定する（Ｓ５１７）。なお、エージェントサーバ６０は、確認のタイミングが到来していないと判定した場合（Ｓ５１６でＮｏ）、ステップＳ５１６に戻る。

　次に、エージェントサーバ６０は、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かの判定結果を含む判定トランザクションデータを生成する（Ｓ５１８）。

　次に、エージェントサーバ６０は、生成した判定トランザクションデータを複数の認証サーバ５１に転送する（Ｓ５１９）。

　次に、複数の認証サーバ５１及びエージェントサーバ６０は、コンセンサスアルゴリズムを実行し、判定トランザクションデータを含むブロックを生成して、分散台帳１１８、３２７に格納する（Ｓ５２０）。

　次に、エージェントサーバ６０は、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かの判定の結果が否定的であるか否かを判定する（Ｓ５２１）。

　エージェントサーバ６０は、判定の結果が否定的であると判定した場合（Ｓ５２１でＹｅｓ）、否定的な判定結果をユーザＡの端末Ａ（つまり、端末３２ａ）へ通知する（Ｓ５２２）。

　エージェントサーバ６０は、ステップＳ５２２が終了する、または、判定結果が肯定的であると判定した場合（Ｓ５２１でＮｏ）、監査処理を終了する。

　［その他の実施の形態等］
　以上のように、本開示について上記の実施の形態に基づいて説明してきたが、本開示は、上記の実施の形態に限定されないのはもちろんである。以下のような場合も本開示に含まれる。

　（１）上記実施の形態では、認証サーバ及びエージェントサーバ等が、事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かを判定することについて説明したが、これに限らない。認証サーバ及びエージェントサーバ等はさらに、ＡＩ（Artificial Intelligence）を搭載してもよい。この場合、認証サーバ及びエージェントサーバ等は、当該ＡＩに事業者および第１ユーザで締結された契約の契約内容のルールで第１実績情報が許容されるか否かを判定させてもよい。

　（２）上記の実施の形態における各装置は、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記ＲＡＭまたはハードディスクユニットには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

　（３）上記の実施の形態における各装置は、構成する構成要素の一部または全部は、１個のシステムＬＳＩ（Large Scale Integration：大規模集積回路）から構成されているとしてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどを含んで構成されるコンピュータシステムである。前記ＲＡＭには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、システムＬＳＩは、その機能を達成する。

　また、上記の各装置を構成する構成要素の各部は、個別に１チップ化されていても良いし、一部またはすべてを含むように１チップ化されてもよい。

　また、ここでは、システムＬＳＩとしたが、集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ、ウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路または汎用プロセッサで実現してもよい。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Field Programmable Gate Array）や、ＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。

　さらには、半導体技術の進歩または派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。

　（４）上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なＩＣカードまたは単体のモジュールから構成されているとしてもよい。前記ＩＣカードまたは前記モジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどから構成されるコンピュータシステムである。前記ＩＣカードまたは前記モジュールは、上記の超多機能ＬＳＩを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ＩＣカードまたは前記モジュールは、その機能を達成する。このＩＣカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。

　（５）本開示は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。

　また、本開示は、前記コンピュータプログラムまたは前記デジタル信号をコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕ－ｒａｙ（登録商標）　Ｄｉｓｃ）、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよい。

　また、本開示は、前記コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

　また、本開示は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記録しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。

　また、前記プログラムまたは前記デジタル信号を前記記録媒体に記録して移送することにより、または前記プログラムまたは前記デジタル信号を、前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　（６）上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。

　本開示は、制御方法、サーバ、及び、プログラムに利用でき、例えば車両のシェアリングサービスなどで事業者とユーザとが個人契約を行う場合に、事業者および第１ユーザで締結された契約の契約内容のルールで実績情報が許容されるか否かを判定することができる制御方法、サーバ、及び、プログラムなどに利用可能である。

　１０、１１　　事業者端末
　２０、２０ａ、２０ｂ、２０ｃ、２０ｘ、２１　　生成装置
　３０、３０ａ、３０ｂ、３０ｃ、３０ｘ、３１、３１ａ、３１ｂ、３１ｃ、３１ｘ、３２、３２ａ、３２ｂ、３２ｃ、３２ｘ　　端末
　４０ａ、４０ｂ、４０ｃ、４０ｘ　　住宅
　５０、５０ａ、５０ｂ、５０ｃ、５１、５１ａ、５１ｂ、５１ｃ　　認証サーバ
　６０　　エージェントサーバ
　１０１、２０１、３０１、５０１、６０１　　通信部
　１０２、３０２　　入力部
　１０３、３０３　　表示部
　１０４、２０４、３０４　　情報生成部
　１０５、２０５、３０５　　トランザクションデータ生成部
　１１６、３２５、５０３、６０３　　トランザクションデータ検証部
　１１７、３２６、５０４、６０４　　記録部
　１１８、３２７、５０５、６０５　　分散台帳
　２０２　　計測部
　２０３、５０２、６０２　　判断部
　２１６　　認証部
　３１６　　記憶部

Claims

　事業者から提供されたサービスをグループ単位で利用した場合における一のグループに属するユーザ毎の利用実績に関する実績情報を生成する生成装置と、複数のサーバとを備えるシステムにおける、前記複数のサーバのうちの第１サーバによって実行される制御方法であって、
　前記一のグループに属する第１ユーザによる第１利用実績に関する第１実績情報を前記生成装置から取得し、
　取得した前記第１実績情報が、前記第１サーバに記憶されている前記第１ユーザおよび前記事業者の間で締結された契約の契約内容に基づくルールで許容されるか否かを判定し、
　前記判定による判定結果を含む第１トランザクションデータを、前記複数のサーバのうちの前記第１サーバとは異なる複数の第２サーバに転送し、かつ、前記第１トランザクションデータを含む第１ブロックを前記第１サーバが管理する分散台帳に格納する
　制御方法。
　さらに、
　第１のタイミングが到来したか否かを判定し、
　前記第１のタイミングが到来したと判定した場合、前記第１実績情報が前記ルールで許容されるか否かを判定する
　請求項１に記載の制御方法。
　さらに、
　前記判定結果が、前記第１実績情報が前記ルールで許容されないことを示す場合、前記第１ユーザとは異なり、かつ、前記一のグループに属する第２ユーザの端末へ、前記契約内容および前記第１実績情報を送信し、
　前記端末から前記契約内容および前記第１実績情報についての前記第２ユーザによる確認結果を取得し、
　取得した前記確認結果を、前記複数の第２サーバに転送し、かつ、前記確認結果を含む第２ブロックを前記分散台帳に格納する
　請求項１または２に記載の制御方法。
　さらに、
　取得した前記第１実績情報を、前記複数の第２サーバに転送し、かつ、前記第１実績情報を含む第３ブロックを前記分散台帳に格納する
　請求項１から３のいずれか１項に記載の制御方法。
　前記第１ブロックを前記分散台帳に格納する際、
　前記複数の第２サーバとともに、前記第１トランザクションデータを含むトランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行し、
　前記コンセンサスアルゴリズムによって前記トランザクションデータの正当性について合意された場合、前記トランザクションデータを含むブロックを前記分散台帳に格納する
　請求項１から４のいずれか１項に記載の制御方法。
　前記システムは、前記ユーザ毎にそれぞれ使用される複数の端末をさらに備え、
　前記複数の端末はそれぞれ、前記分散台帳を有し、
　前記第１トランザクションデータを含むブロックを前記分散台帳に格納する際、
　前記複数の端末とともに、前記第１トランザクションデータを含むトランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行し、
　前記コンセンサスアルゴリズムによって前記トランザクションデータの正当性について合意された場合、前記トランザクションデータを含むブロックを前記分散台帳に格納する
　請求項１から４のいずれか１項に記載の制御方法。
　前記トランザクションデータを含むブロックを前記分散台帳に格納する際、
　前記トランザクションデータをブロックチェーンのトランザクションデータとして前記分散台帳に格納する
　請求項５または６に記載の制御方法。
　前記第１実績情報は、前記第１ユーザによる前記サービスの利用量、または、利用時間が増加するにしたがって増加する実績値を含み、
　前記ルールでは、前記第１実績情報が前記契約内容に含まれる閾値を超えることが許容されない
　請求項１から７のいずれか１項に記載の制御方法。
　事業者から提供されたサービスをグループ単位で利用した場合における一のグループに属するユーザ毎の利用実績に関する実績情報を生成する生成装置と、複数のサーバとを備えるシステムにおける、前記複数のサーバのうちの一つのサーバであって、
　プロセッサと、
　メモリと、を備え、
　前記プロセッサは、
　　一のグループに属する第１ユーザによる第１利用実績に関する第１実績情報を前記生成装置から取得し、
　　取得した前記第１実績情報が、前記サーバに記憶されている前記第１ユーザおよび前記事業者の間で締結された契約に基づくルールで許容されるか否かを判定し、
　　前記判定による判定結果を含む第１トランザクションデータを、前記複数のサーバのうちの前記一つのサーバとは異なる複数の他のサーバに転送し、かつ、前記第１トランザクションデータを含む第１ブロックを前記サーバが管理する分散台帳に格納する
　サーバ。
　事業者から提供されたサービスをグループ単位で利用した場合における一のグループに属するユーザ毎の利用実績に関する実績情報を生成する生成装置と、複数のサーバとを備えるシステムにおける、前記複数のサーバのうちの第１サーバによって実行される制御方法をコンピュータに実行させるためのプログラムであって、
　一のグループに属する第１ユーザによる第１利用実績に関する第１実績情報を前記生成装置から取得し、
　取得した前記第１実績情報が、前記第１サーバに記憶されている前記第１ユーザおよび前記事業者の間で締結された契約に基づくルールで許容されるか否かを判定し、
　前記判定による判定結果を含む第１トランザクションデータを、前記複数のサーバのうちの前記第１サーバとは異なる複数の第２サーバに転送し、かつ、前記第１トランザクションデータを含む第１ブロックを前記第１サーバが管理する分散台帳に格納することを
　コンピュータに実行させるためのプログラム。