WO2021049041A1

WO2021049041A1 - 車両制御システム、情報処理装置、媒体、車両制御装置及びコンピュータプログラム

Info

Publication number: WO2021049041A1
Application number: PCT/JP2019/036247
Authority: WO
Inventors: 豊幸小林; 田畑　雅章; 年秀武笠; 友秀菅谷; 博美渡邉; 大山　永昭; 小尾　高史; 鈴木　裕之; 奈緒子平良; 佳寿美成田
Original assignee: エヌ・ティ・ティ・コミュニケーションズ株式会社; 国立大学法人東京工業大学
Priority date: 2019-09-13
Filing date: 2019-09-13
Publication date: 2021-03-18
Also published as: EP4006866A4; EP4006866A1; JPWO2021049041A1; JP7286118B2

Abstract

本発明の一態様は、車両の利用者に対して固有の情報である利用者情報を含む利用許可証を生成する利用許可証生成部と、前記利用許可証に対し、所定の秘密鍵を用いて電子署名を付与する暗号化部と、電子署名が付与された前記利用許可証について、前記秘密鍵に対応する公開鍵を用いて正当な利用許可証であることを示す所定の条件が満たされると判定された場合には、前記利用許可証を記憶する記憶媒体と、車両を利用しようとしている利用者の利用者情報又は利用者情報と対となる情報を記憶する個人識別媒体に記憶される情報と、前記記憶媒体に記憶された前記利用許可証に含まれる前記利用者情報と、が所定の条件を満たす場合に、前記利用者が前記車両の操作を可能にする動作を行う車両制御部と、を備える車両制御システムである。

Description

車両制御システム、情報処理装置、媒体、車両制御装置及びコンピュータプログラム

　本発明は、車両の利用の制御技術に関する。

　近年、カーシェアリングやレンタカー等、複数の者によって車両が利用される場面が生じてきている。従来は、車両の物理的な鍵を有していないと、車両を利用することはできなかった。そのため、車両の物理的な鍵をやりとりすることによって、その車両を利用できる者を制限していた。

　しかしながら、物理的な鍵のやりとりには、受け渡す者と受け取る者との間で直接の受け渡しや郵送などの手続を取る必要があり、決して利便性は高くなかった。このような課題に対し、ネットワークを介して電子的な一時利用権限を送受信することで、物理的な鍵のやりとりを不要にし、利便性を向上させる技術が提案されている。

特開２０１９－１３３２３６号公報

　しかしながら、悪意を有した者によって車両が利用されてしまうと、車両の所有者には不足の不利益が生じてしまうおそれがある。そのため、たとえ一時的であったとしても、車両の利用権限が第三者に不正に取得されることの無いように、セキュリティを向上させる必要があった。

　上記事情に鑑み、本発明は、他者による車両の利用をより安全に制御することができる技術の提供を目的としている。

　本発明の一態様は、上記の車両制御システムであって、前記記憶媒体は、前記車両に関する自動車検査証を示す電子情報が記録された記憶媒体である。

　本発明の一態様は、上記の車両制御システムであって、前記利用許可証は、前記利用者に対して発行される識別媒体である個人識別媒体に記憶されている情報を含む。

　本発明の一態様は、上記の車両制御システムであって、前記利用許可証は、前記利用者によってなされた前記車両の利用に関する申請の内容を示す利用申請情報をさらに含み、前記記憶媒体は、情報を出力可能な情報処理装置から受ける要求に応じて、前記利用申請情報を前記情報処理装置に送信する。

　本発明の一態様は、上記の車両制御システムであって、前記利用申請情報は、前記車両の提供に関して申請された情報である複数の提供申請情報のうち、前記利用者による条件を満たした提供申請情報に基づいて生成される。

　本発明の一態様は、上記の車両制御システムであって、前記車両の利用の実績に関する情報を取得し、記憶部に記録する実績管理部をさらに備える。

　本発明の一態様は、車両の利用者に対して固有の情報である利用者情報を含む利用許可証を生成する利用許可証生成部と、前記利用許可証に対し、所定の秘密鍵を用いて電子署名を付与する暗号化部と、電子署名が付与された前記利用許可証について、前記秘密鍵に対応する公開鍵を用いて正当な利用許可証であることを示す所定の条件が満たされると判定された場合には、前記利用許可証を記憶する記憶媒体に前記利用許可証が記憶されるように前記利用許可証を送信する、通信部と、を備える情報処理装置である。

　本発明の一態様は、車両の利用者に対して固有の情報である利用者情報を含み所定の秘密鍵を用いて電子署名を付与された前記利用許可証について、前記秘密鍵に対応する公開鍵を用いて正当な利用許可証であることを示す所定の条件が満たされると判定された場合には、前記利用許可証を記憶する記憶媒体、を備える媒体である。

　本発明の一態様は、車両の利用者に対して固有の情報である利用者情報を含み所定の秘密鍵を用いて電子署名を付与された前記利用許可証について、前記秘密鍵に対応する公開鍵を用いて正当な利用許可証であることを示す所定の条件が満たされると判定された場合には、前記利用許可証を記憶する記憶媒体と通信する通信部と、車両を利用しようとしている利用者の利用者情報又は利用者情報と対となる情報を記憶する個人識別媒体に記憶される情報と、前記記憶媒体に記憶された前記利用許可証に含まれる前記利用者情報と、が所定の条件を満たす場合に、前記利用者が前記車両の操作を可能にする動作を行う車両制御部と、を備える車両制御装置である。

　本発明の一態様は、車両の利用者に対して固有の情報である利用者情報を含み所定の秘密鍵を用いて電子署名を付与された前記利用許可証について、前記秘密鍵に対応する公開鍵を用いて正当な利用許可証であることを示す所定の条件が満たされると判定された場合に、前記利用許可証を記憶媒体に記録するコンピュータプログラムである。

　本発明により、他者による車両の利用をより安全に制御することが可能となる。

本発明の制御システム１００のシステム構成を示す概略ブロック図である。個人識別媒体１０の機能構成例を示す図である。通信装置２０の機能構成例を示す図である。個人認証装置３０の機能構成例を示す図である。車両認証装置４０の機能構成例を示す図である。サービス管理装置５０の機能構成例を示す図である。車両６０の機能構成例を示す図である。車両識別媒体７０の機能構成例を示す図である。制御システム１００の基本動作の例を示すシーケンスチャートである。車両６０の利用を希望する利用希望者がサービス管理装置５０に登録する際の処理の流れを示す図である。車両６０の利用を希望する利用希望者がサービス管理装置５０に登録する際の処理の流れを示す図である。車両６０の提供を希望する提供希望者が、サービス管理装置５０への登録の際に必要となる車両電子証明書を取得するための処理の流れを示す図である。車両６０の提供を希望する提供希望者がサービス管理装置５０に登録する際の処理の流れを示す図である。車両６０の提供を希望する提供希望者がサービス管理装置５０に登録する際の処理の流れを示す図である。車両６０の提供を希望する提供希望者がサービス管理装置５０に提供の申請を行う際の処理の流れを示す図である。車両６０の利用を希望する利用希望者がサービス管理装置５０に利用の申請を行う際の処理の流れを示す図である。車両６０の利用を希望する利用希望者がサービス管理装置５０に利用の申請を行う際の処理の流れを示す図である。既に利用申請情報５２２が登録されている利用希望者が車両６０を利用する際の処理の流れを示す図である。既に利用申請情報５２２が登録されている利用希望者が車両６０を利用する際の処理の流れの具体例を示す図である。既に利用申請情報５２２が登録されている利用希望者が車両６０を利用する際の処理の流れの他の具体例を示す図である。運転代行サービスの提供を希望する代行提供者がサービス管理装置５０に登録する際の処理の流れを示す図である。運転代行サービスの提供を希望する代行提供者がサービス管理装置５０に登録する際の処理の流れを示す図である。車両６０の代行運転の依頼を希望する代行依頼者が、サービス管理装置５０への登録の際に必要となる車両電子証明書を取得するための処理の流れを示す図である。車両６０の運転代行の依頼を希望する代行依頼者がサービス管理装置５０に登録する際の処理の流れを示す図である。車両６０の運転代行の依頼を希望する代行依頼者がサービス管理装置５０に登録する際の処理の流れを示す図である。車両６０の運転代行の依頼を希望する代行依頼者がサービス管理装置５０に依頼の申請を行う際の処理の流れを示す図である。車両６０の運転代行を希望する代行提供者がサービス管理装置５０に運転代行の申請を行う際の処理の流れを示す図である。車両６０の運転代行を希望する代行提供者がサービス管理装置５０に運転代行の申請を行う際の処理の流れを示す図である。既に利用申請情報５２２が登録されている代行提供者が車両６０を利用する（運転代行する）際の処理の流れを示す図である。輸送を希望する運転希望者がサービス管理装置５０に登録する際の処理の流れを示す図である。輸送を希望する運転希望者がサービス管理装置５０に登録する際の処理の流れを示す図である。車両６０の運転の依頼を希望する輸送依頼者が、サービス管理装置５０への登録の際に必要となる車両電子証明書を取得するための処理の流れを示す図である。車両６０の運転の依頼を希望する輸送依頼者がサービス管理装置５０に登録する際の処理の流れを示す図である。車両６０の運転の依頼を希望する輸送依頼者がサービス管理装置５０に登録する際の処理の流れを示す図である。車両６０の運転の依頼を希望する輸送依頼者がサービス管理装置５０に依頼の申請を行う際の処理の流れを示す図である。車両６０の運転を希望する運転希望者がサービス管理装置５０に運転の申請を行う際の処理の流れを示す図である。車両６０の運転を希望する運転希望者がサービス管理装置５０に運転の申請を行う際の処理の流れを示す図である。既に利用申請情報５２２が登録されている運転希望者が車両６０を利用する（運転する）際の処理の流れを示す図である。

　以下、本発明の具体的な構成例について、図面を参照しながら説明する。
　図１は、本発明の制御システム１００のシステム構成を示す概略ブロック図である。制御システム１００は、個人識別媒体１０、通信装置２０、個人認証装置３０、車両認証装置４０、サービス管理装置５０、車両６０及び車両識別媒体７０を含む。個人識別媒体１０と通信装置２０とは有線通信又は無線通信を行うことでデータを送受信する。車両識別媒体７０と通信装置２０とは有線通信又は無線通信を行うことでデータを送受信する。車両識別媒体７０と車両６０とは有線通信又は無線通信を行うことでデータを送受信する。通信装置２０、個人認証装置３０、車両認証装置４０、サービス管理装置５０及び車両６０は、ネットワークを介して通信可能に接続される。通信装置２０、個人認証装置３０、車両認証装置４０、サービス管理装置５０及び車両６０の一部は、他の装置が接続されているネットワークとは異なるネットワークを介して通信を行うように構成されてもよい。例えば、通信装置２０、個人認証装置３０、車両認証装置４０、サービス管理装置５０及び車両６０は、インターネットを介して通信可能に構成されてもよい。

　個人認証装置３０は、個人認証局３００によって運用される。個人認証局３００は、個人識別媒体１０に記録される個人を示す情報について、所定の水準を超えて実際の情報であることを担保できる機関である。例えば、個人認証局３００は、個人識別媒体１０の発行に際して、その本人による申請であることとその本人に対して受け渡されることなどについて一定の厳格な確認を行うことができる機関である。個人認証局３００は、例えば行政機関や、行政機関に準ずる機関（例えば地方公共団体情報システム機構）であってもよい。個人認証局３００は、上記の一定の厳格な確認を行うことができる機関であれば、民間の機関であってもよい。個人識別媒体１０の具体例として、ユーザが所属する国や行政機関などによって発行される個人識別のための媒体（例えば日本のマイナンバーカード）がある。

　車両認証装置４０は、車両認証局４００によって運用される。車両認証局４００は、車両識別媒体７０に記録される車両を示す情報について、所定の水準を超えて実際の情報であることを担保できる機関であることが望ましい。例えば、車両認証局４００は、車両識別媒体７０に記録される所定の情報の発行に際して、その車両の正当な所有者による申請であることとその所有者に対して受け渡されることなどについて一定の厳格な確認を行うことができる機関であることが望ましい。車両認証局４００は、例えば制御システム１００の提供に関与する法人又は個人によって運用される機関であってもよい。車両認証局４００は、例えばサービス管理装置５０の運用に関与する法人又は個人によって運用される機関であってもよい。車両認証局４００は、上記の一定の厳格な確認を行うことができる機関であれば、公的な機関であってもよい。

　図２は、個人識別媒体１０の機能構成例を示す図である。個人識別媒体１０は、例えばＩＣチップが搭載されたカード状の媒体である。ただし、個人識別媒体１０の実装形態は、上述したカード状の媒体に限定されない。例えば、携帯電話機等の情報機器を用いて実装されてもよいし、ＲＦＩＤが搭載された媒体（例えば人体に装着可能な物体や、携帯可能な物体）に実装されてもよい。個人識別媒体１０は、通信部１１、記憶部１２及び制御部１３を備える。

　通信部１１は、他の装置との間で有線通信又は無線通信を行う。通信部１１が通信可能な他の装置の具体例として、通信装置２０がある。個人識別媒体１０が接触型ＩＣチップを用いて構成されている場合には、通信部１１は所定のプロトコルに準拠した有線通信（接触部分を介した通信）を他の装置との間で行う。個人識別媒体１０がＲＦＩＤ等の非接触型ＩＣチップを用いて構成されている場合には、通信部１１は所定のプロトコルに準拠した無線通信を他の装置との間で行う。

　記憶部１２は、半導体記憶装置等の記憶装置を用いて構成される。記憶部１２は、第一電子証明書１２１、第一秘密鍵１２２、第二電子証明書１２３及び第二秘密鍵１２４を記憶する。第一電子証明書１２１は、例えば個人認証局３００によって発行されてもよい。第一電子証明書１２１は、例えば個人情報、第一識別情報及び第一公開鍵を含む。個人情報は、個人情報は、個人識別媒体１０が発行された自然人に関する情報である。個人情報は、例えば基本四情報（氏名・生年月日・性別・住所）であってもよい。第一識別情報は、第一電子証明書に対して一意に付与された識別情報である。第一公開鍵は、公開鍵暗号方式（Public Key Cryptography）で生成された公開鍵である。第一電子証明書１２１の具体例として、日本におけるマイナンバーカードの署名用電子証明書がある。

　第一秘密鍵１２２は、公開鍵暗号方式で生成された秘密鍵である。第一秘密鍵１２２は、第一電子証明書１２１に含まれる第一公開鍵に対応する鍵である。第一秘密鍵１２２は、乱数もしくは電子文書（又はそのハッシュ値）に対してデジタル署名を行う際に使用される秘密鍵である。言い換えると、第一秘密鍵１２２は、公開鍵基盤（ＰＫＩ）を用いた電子認証を実現するために用いられる。電子文書は、例えばサービス管理装置５０に対して申請される情報や登録される情報を示すデータであってもよい。

　第二電子証明書１２３は、例えば個人認証局３００によって発行されてもよい。第二電子証明書１２３は、第一電子証明書１２１と対応付けて発行される。第二電子証明書１２３は、例えば個人情報を含まないように構成されてもよい。第二電子証明書１２３は、例えば第二識別情報及び第二公開鍵を含む。第二識別情報は、第二電子証明書に対して一意に付与された識別情報である。第一識別情報と第二識別番号とは、一致した情報でなくてもよいが、個人認証装置３０において対応付けて記憶されていることが望ましい。第二公開鍵は、公開鍵暗号方式で生成された公開鍵である。第二電子証明書１２３の具体例として、日本におけるマイナンバーカードの利用者証明用電子証明書がある。なお、以下の説明では、第一秘密鍵及び第二秘密鍵をまとめて個人秘密鍵とよび、第一公開鍵及び第二公開鍵をまとめて個人公開鍵とよぶ。以下の説明で、個人秘密鍵といった場合には、第一秘密鍵又は第二秘密鍵のいずれか一方のみが含まれていてもよいし、その両方が含まれていてもよい。以下の説明で、個人公開鍵といった場合には、第一公開鍵又は第二公開鍵のいずれか一方のみが含まれていてもよいし、その両方が含まれていてもよい。

　第二秘密鍵１２４は、公開鍵暗号方式で生成された秘密鍵である。第二秘密鍵１２４は、第二電子証明書１２３に含まれる第二公開鍵に対応する鍵である。第二秘密鍵１２４は、乱数もしくは電子文書（又はそのハッシュ値）に対してデジタル署名を行う際に使用される秘密鍵である。言い換えると、第二秘密鍵１２４は、公開鍵基盤（ＰＫＩ）を用いた電子認証を実現するために用いられる。電子文書は、例えばサービス管理装置５０に対して申請される情報や登録される情報を示すデータであってもよい。

　制御部１３は、プロセッサーを用いて構成される。制御部１３は、プロセッサーがプログラムを実行することによって、通信制御部１３１及び暗号化部１３２として機能する。制御部１３の各機能の全て又は一部は、ＡＳＩＣ（Application Specific Integrated Circuit）やＰＬＤ（Programmable Logic Device）やＦＰＧＡ（Field Programmable Gate Array）等のハードウェアを用いて実現されても良い。プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ＲＯＭ、ＣＤ－ＲＯＭ、半導体記憶装置（例えばＳＳＤ：Solid State Drive）等の可搬媒体、コンピュータシステムに内蔵されるハードディスクや半導体記憶装置等の記憶装置である。プログラムは、電気通信回線を介して送信されても良い。

　通信制御部１３１は、他の装置から受信される要求に応じて、他の装置から受信される個人第一認証情報に基づいて個人第一認証処理を行う。他の装置が認証された場合には、通信制御部１３１は暗号化部１３２に対し、他の装置による要求を通知する。通信制御部１３１は、暗号化部１３２によって処理が行われた情報を他の装置へ送信する。個人第一認証情報は、個人識別媒体１０を利用しようとしている者が正当な利用者であることを確認するための情報である。個人第一認証情報は、例えば正当な利用者に対して予め通知されているコード（例えばＰＩＮコード）や、指紋等の生体情報など、どのような態様の情報であってもよい。個人第一認証処理は、個人第一認証情報に基づいて、個人識別媒体１０を利用しようとしている者が正当な利用者であることを確認するための認証処理である。

　暗号化部１３２は、デジタル署名を他の装置から要求された場合には、第一秘密鍵１２２を用いて乱数もしくは電子文書（又はそのハッシュ値）にデジタル署名を行う。暗号化部１３２は、デジタル署名がなされたデータ（例えば署名付き電子文書）を、通信部１１を介して他の装置に送信する。暗号化部１３２は、デジタル署名を他の装置から要求された場合には、第二秘密鍵１２４を用いて乱数もしくは電子文書（又はそのハッシュ値）にデジタル署名を行う。なお、暗号化部１３２は、他の秘密鍵が自装置に記録されている場合には、他の秘密鍵を用いて乱数もしくは電子文書（又はそのハッシュ値）にデジタル署名を行ってもよい。なお、上述したように、電子文書は、例えばサービス管理装置５０に対して申請される情報や登録される情報を示すデータであってもよい。

　図３は、通信装置２０の機能構成例を示す図である。通信装置２０は、例えばパーソナルコンピューターやスマートフォンやタブレット等の情報処理装置である。通信装置２０は、特定のプログラムの実行のみに関して利用可能に構成された情報機器（専用機器）であってもよい。この場合の特定のプログラムとは、例えば個人識別媒体１０を利用することによって車両６０を利用可能にするためのプログラムであってもよいし、車両識別媒体７０を利用することによって車両６０を他者に提供可能にするためのプログラムであってもよい。通信装置２０は、第一通信部２１、第二通信部２２、入力部２３、出力部２４、記憶部２５及び制御部２６を備える。

　第一通信部２１は、他の装置との間で有線通信又は無線通信を行う。第一通信部２１には近距離通信が採用されてもよい。第一通信部２１が通信可能な他の装置の具体例として、個人識別媒体１０又は車両識別媒体７０がある。第一通信部２１には、通信対象である個人識別媒体１０又は車両識別媒体７０に搭載されている通信方式に適応した通信方式が実装される。例えば、第一通信部２１は、接触型ＩＣチップと通信するための通信インターフェースを用いて構成されてもよいし、非接触型ＩＣチップと通信するための通信インターフェースを用いて構成されてもよい。第一通信部２１は、例えば所謂リーダーライターを用いて構成されてもよい。

　第二通信部２２は、ネットワークを介して他の装置との間で通信を行う。第二通信部２２は、いわゆるネットワークインターフェースを用いて構成されてもよい。第二通信部２２が通信可能な他の装置の具体例として、個人認証装置３０、車両認証装置４０、サービス管理装置５０及び車両６０がある。

　入力部２３は、キーボード、ポインティングデバイス（マウス、タブレット等）、ボタン、タッチパネル等の既存の入力装置を用いて構成される。入力部２３は、ユーザーの生体情報を取得して通信装置２０に入力する装置を用いて構成されてもよい。入力部２３は、ユーザーの指示を通信装置２０に入力する際にユーザーによって操作される。入力部２３は、入力装置を通信装置２０に接続するためのインターフェースであっても良い。この場合、入力部２３は、入力装置においてユーザーの入力に応じ生成された入力信号を通信装置２０に入力する。入力部２３は、マイク及び音声認識装置を用いて構成されてもよい。この場合、入力部２３はユーザーによって発話された文言を音声認識し、認識結果の文字列情報を通信装置２０に入力する。入力部２３は、ユーザーの指示を通信装置２０に入力可能な構成であればどのように構成されてもよい。

　出力部２４は、出力装置を用いて構成され、通信装置２０のユーザーに対してデータの出力を行う。出力装置は、例えば画像や文字を画面に出力する装置を用いて構成されてもよい。例えば、出力装置は、ＣＲＴ（Cathode Ray Tube）や液晶ディスプレイや有機ＥＬ（Electro-Luminescent）ディスプレイ等を用いて構成できる。また、出力装置は、文字を音声に変換して出力する装置を用いて構成されてもよい。この場合、出力装置は、音声合成装置及び音声出力装置（スピーカー）を用いて構成できる。出力部２４は、出力装置を通信装置２０に接続するためのインターフェースであってもよい。出力部２４は、例えば通信制御部２６１によって車両識別媒体７０から読み出された利用許可証に含まれる許可申請情報を出力してもよい。

　記憶部２５は、磁気ハードディスク装置や半導体記憶装置等の記憶装置を用いて構成される。記憶部２５は、例えば通信装置２０が動作するために必要なデータやプログラムを記憶する。

　制御部２６は、ＣＰＵ（Central Processing Unit）等のプロセッサーを用いて構成される。制御部２６は、プログラムを実行することによって通信制御部２６１として機能する。制御部２６の各機能の全て又は一部は、ＡＳＩＣやＰＬＤやＦＰＧＡ等のハードウェアを用いて実現されても良い。プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ＲＯＭ、ＣＤ－ＲＯＭ、半導体記憶装置（例えばＳＳＤ）等の可搬媒体、コンピュータシステムに内蔵されるハードディスクや半導体記憶装置等の記憶装置である。プログラムは、電気通信回線を介して送信されても良い。

　通信制御部２６１は、入力部２３を介して入力されたユーザーの指示に応じて、第一通信部２１又は第二通信部２２を制御して他の装置と通信する。通信制御部２６１は、他の装置から受信された情報に応じて出力部２４を介して情報をユーザーに出力する。例えば、ユーザーが車両６０の利用に関する申請を行うことを目的として通信装置２０を操作している場合、通信制御部２６１は他の装置と通信することによって上記の申請をサービス管理装置５０に対して行う。

　図４は、個人認証装置３０の機能構成例を示す図である。個人認証装置３０は、例えばパーソナルコンピューターやサーバー装置等の情報処理装置である。個人認証装置３０は、そのハードウェアが物理的に高いセキュリティで保護されてもよい。個人認証装置３０は、通信部３１、記憶部３２及び制御部３３を備える。

　通信部３１は、ネットワークを介して他の装置との間で通信を行う。通信部３１は、いわゆるネットワークインターフェースを用いて構成されてもよい。通信部３１が通信可能な他の装置の具体例として、通信装置２０、車両認証装置４０、サービス管理装置５０及び車両６０がある。

　記憶部３２は、磁気ハードディスク装置や半導体記憶装置等の記憶装置を用いて構成される。記憶部３２は、例えば個人電子証明書情報３２１及び失効情報３２２を記憶する。個人電子証明書情報３２１は、過去に発行された第一電子証明書１２１と第二電子証明書１２３とを含む。個人電子証明書情報３２１では、同一の人物に対して発行された第一電子証明書１２１と第二電子証明書１２３とを対応付けて有する。個人電子証明書情報３２１は、第一秘密鍵１２２及び第二秘密鍵１２４をさらに含んでもよい。失効情報３２２は、個人識別媒体１０に対して過去に発行された第一電子証明書１２１や第二電子証明書１２３の失効に関する情報である。

　制御部３３は、ＣＰＵ等のプロセッサーを用いて構成される。制御部３３は、プログラムを実行することによって証明制御部３３１及び失効判定部３３２として機能する。制御部３３の各機能の全て又は一部は、ＡＳＩＣやＰＬＤやＦＰＧＡ等のハードウェアを用いて実現されても良い。プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ＲＯＭ、ＣＤ－ＲＯＭ、半導体記憶装置（例えばＳＳＤ）等の可搬媒体、コンピュータシステムに内蔵されるハードディスクや半導体記憶装置等の記憶装置である。プログラムは、電気通信回線を介して送信されても良い。

　証明制御部３３１は、個人電子証明書情報３２１の発行や失効に関する処理を行う。失効判定部３３２は、通信部３１を介して他の装置から要求された失効判定要求に応じて、処理対象の第一電子証明書１２１や第二電子証明書１２３が失効しているか否かについて判定する。失効判定部３３２は、判定結果を、要求元である他の装置に対して送信する。

　図５は、車両認証装置４０の機能構成例を示す図である。車両認証装置４０は、例えばパーソナルコンピューターやサーバー装置等の情報処理装置である。車両認証装置４０は、そのハードウェアが物理的に高いセキュリティで保護されてもよい。車両認証装置４０は、通信部４１、記憶部４２及び制御部４３を備える。

　通信部４１は、ネットワークを介して他の装置との間で通信を行う。通信部４１は、いわゆるネットワークインターフェースを用いて構成されてもよい。通信部４１が通信可能な他の装置の具体例として、通信装置２０、個人認証装置３０、サービス管理装置５０及び車両６０がある。

　記憶部４２は、磁気ハードディスク装置や半導体記憶装置等の記憶装置を用いて構成される。記憶部４２は、例えば車両電子証明書情報４２１及び失効情報４２２を記憶する。車両電子証明書情報４２１は、過去に発行された車両電子証明書７２４に関する情報を含む。車両電子証明書情報４２１は、車両秘密鍵７２５をさらに含んでもよい。失効情報４２２は、車両識別媒体７０に対して過去に発行された車両電子証明書７２４の失効に関する情報である。

　制御部４３は、ＣＰＵ等のプロセッサーを用いて構成される。制御部４３は、プログラムを実行することによって証明制御部４３１及び失効判定部４３２として機能する。制御部４３の各機能の全て又は一部は、ＡＳＩＣやＰＬＤやＦＰＧＡ等のハードウェアを用いて実現されても良い。プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ＲＯＭ、ＣＤ－ＲＯＭ、半導体記憶装置（例えばＳＳＤ）等の可搬媒体、コンピュータシステムに内蔵されるハードディスクや半導体記憶装置等の記憶装置である。プログラムは、電気通信回線を介して送信されても良い。

　証明制御部４３１は、車両電子証明書情報４２１の発行や失効に関する処理を行う。失効判定部４３２は、通信部４１を介して他の装置から要求された失効判定要求に応じて、処理対象の車両電子証明書情報４２１が失効しているか否かについて判定する。失効判定部４３２は、判定結果を、要求元である他の装置に対して送信する。

　図６は、サービス管理装置５０の機能構成例を示す図である。サービス管理装置５０は、例えばパーソナルコンピューターやサーバー装置等の情報処理装置である。サービス管理装置５０は、通信部５１、記憶部５２及び制御部５３を備える。

　通信部５１は、ネットワークを介して他の装置との間で通信を行う。通信部５１は、いわゆるネットワークインターフェースを用いて構成されてもよい。通信部５１が通信可能な他の装置の具体例として、通信装置２０、個人認証装置３０、車両認証装置４０及び車両６０がある。

　記憶部５２は、磁気ハードディスク装置や半導体記憶装置等の記憶装置を用いて構成される。記憶部５２は、例えば提供申請情報５２１、利用申請情報５２２、実績情報５２３及び鍵情報５２４を記憶する。

　提供申請情報５２１は、車両６０の提供に関して申請された情報である。提供申請情報５２１は、例えば提供される対象の車両６０に関する情報、提供される場所に関する情報、提供される時期を示す情報（例えば、提供開始可能な日時と、提供が終了する日時と、を示す情報）を含む。その他にも提供申請情報５２１は、車両６０の利用に関する制限事項を示す情報を含んでもよい。例えば、提供申請情報５２１は、車両６０内における喫煙に関する情報、車両６０を利用可能な地域や環境（路面状態、道路の種別、天候など）に関する情報を含んでもよい。なお、車両６０の提供はどのような形で実現されてもよい。たとえば、車両６０を所有している者から、その車両６０を借り受けて使用したいと希望する者に対して車両６０が提供されてもよい（カーシェアリング）。例えば、車両６０を所有している者が、その車両６０の運転を代行する者に対して車両６０が提供されてもよい（運転代行）。例えば、輸送手段としての車両６０を第一の地点から他の第二の地点まで運転することを請け負う運転手に対して車両６０が提供されてもよい（乗り継ぎ輸送）。

　利用申請情報５２２は、車両６０の利用に関する申請のうち、車両６０の利用の予定が確定した申請に関する情報である。利用申請情報５２２は、例えば利用者に関する情報、利用される予定の対象の車両６０に関する情報、利用が開始される場所に関する情報、利用される時期を示す情報（例えば、利用開始の日時と、利用終了の日時と、を示す情報）を含む。

　実績情報５２３は、車両６０の利用の実績に関する情報である。実績情報５２３は、例えば実際に車両６０を利用した利用者に関する情報、実際に利用された車両６０に関する情報、実際に利用が開始された場所に関する情報、実際に利用された時期を示す情報（例えば、実際に利用が開始された日時と、実際に利用が終了した日時と、を示す情報）を含む。実績情報５２３は、さらに利用された車両６０が通った経路を含んでもよい。

　鍵情報５２４は、サービス管理装置５０において使用される公開鍵（以下「サービス公開鍵」という。）及び秘密鍵（以下「サービス秘密鍵」という。）を含む。鍵情報５２４に含まれるサービス公開鍵は利用許可証に含められる。鍵情報５２４に含まれるサービス秘密鍵は、利用許可証に対するデジタル署名で使用される。鍵情報５２４に含まれるサービス秘密鍵は、車両識別媒体７０にも記録されてもよい。

　制御部５３は、ＣＰＵ等のプロセッサーを用いて構成される。制御部５３は、プログラムを実行することによって情報取得部５３１、決定部５３２、利用許可証生成部５３３及び実績管理部５３４として機能する。制御部５３の各機能の全て又は一部は、ＡＳＩＣやＰＬＤやＦＰＧＡ等のハードウェアを用いて実現されても良い。プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ＲＯＭ、ＣＤ－ＲＯＭ、半導体記憶装置（例えばＳＳＤ）等の可搬媒体、コンピュータシステムに内蔵されるハードディスクや半導体記憶装置等の記憶装置である。プログラムは、電気通信回線を介して送信されても良い。

　情報取得部５３１は、通信装置２０等の装置から受信された提供の申請や利用の申請に基づいて、提供申請情報５２１又は利用の申請に関する情報を取得する。情報取得部５３１は、例えば、申請に必要な情報の入力欄を有した申請用画面のデータを通信装置２０等の装置に送信し、入力欄に入力された各値を受信することによって、申請に必要な情報を取得してもよい。情報取得部５３１は、取得された情報を記憶部５２に記録する。

　決定部５３２は、提供申請情報５２１と利用の申請に関する情報とに基づいて、所定の条件を満たす提供申請と利用申請とを対応付け、車両６０の利用に関する情報を決定する。決定部５３２は、決定に基づいて、利用申請情報５２２を生成する。決定部５３２は、生成された利用申請情報５２２を記憶部５２に記録する。例えば、カーシェアリングの場合、情報取得部５３１によって取得された利用の申請に関する情報に基づいて、利用の申請に応じた提供申請情報５２１を検索する。申請された利用の条件に応じた提供申請情報５２１であって予約がなされていない提供申請情報５２１が存在する場合には、その提供申請情報５２１を、利用の申請者に対して提供される車両６０の情報として決定する。決定部５３２は、決定された提供申請情報５２１と利用の申請で取得された情報とに基づいて、利用申請情報５２２を生成する。決定部５３２は、生成された利用申請情報５２２を記憶部５２に記録する。

　利用許可証生成部５３３は、決定部５３２において提供される車両６０が決定されると、その車両６０に関して許可された利用に関する情報を含む利用許可証を生成する。利用許可証は、例えば、利用申請情報５２２の一部又は全部を含んでもよい。すなわち、利用許可証は、例えば、利用者に関する情報、利用される予定の対象の車両６０に関する情報、利用が開始される場所に関する情報、利用される時期を示す情報を含んでもよい。例えば、利用許可証は、利用者の個人識別媒体１０に記録されている個人公開鍵を含んでもよい。利用許可証はさらに、鍵情報５２４に含まれるサービス公開鍵を含んでもよい。利用許可証生成部５３３は、鍵情報５２４に含まれるサービス秘密鍵を用いて、利用許可証に対してデジタル署名を行う。そして、利用許可証生成部５３３は、デジタル署名がなされた利用許可証を、その利用許可証によって利用される対象の車両６０に対して送信する。

　実績管理部５３４は、利用許可証が送信された先の車両６０の利用の実績に関する情報を取得し、実績情報５２３として記憶部５２に記録する。実績管理部５３４は、例えば利用されている車両６０から定期的に位置情報を取得することで利用された車両６０が通った経路に関する情報を取得してもよい。実績管理部５３４は、経路上の各位置における、車両６０の通過時刻をさらに取得して実績情報５２３として記録してもよい。

　図７は、車両６０の機能構成例を示す図である。車両６０は、人が移動手段として利用可能な移動体である。車両６０は、例えば自動二輪車、自動四輪車、自転車などのように１又は複数の車輪を備えた移動体であってもよい。車両６０は、車輪とは異なる移動手段（例えば駆動可能な球体）を備えた移動体であってもよい。図７には示していないが、車両６０は、移動体として必要な様々な機器を備えている。これらの機器は、後述する車両制御部６５によって制御される。車両６０は、これらの機器に加えてさらに、第一通信部６１、第二通信部６２、第三通信部６３、記憶部６４及び車両制御部６５を備える。

　第一通信部６１は、他の装置との間で有線通信又は無線通信を行う。第一通信部６１には近距離通信が採用されてもよい。第一通信部６１が通信可能な他の装置の具体例として車両識別媒体７０がある。第一通信部６１は、通信装置２０の第一通信部２１と同様に構成されてもよい。

　第二通信部６２は、ネットワークを介して他の装置との間で通信を行う。第二通信部６２は、いわゆるネットワークインターフェースを用いて構成されてもよい。第二通信部６２が通信可能な他の装置の具体例として、通信装置２０、個人認証装置３０、車両認証装置４０及びサービス管理装置５０がある。

　第三通信部６３は、他の装置との間で有線通信又は無線通信を行う。第三通信部６３には近距離通信が採用されてもよい。第三通信部６３が通信可能な他の装置の具体例として個人識別媒体１０がある。第三通信部６３は、通信装置２０の第一通信部２１と同様に構成されてもよい。

　記憶部６４は、磁気ハードディスク装置や半導体記憶装置等の記憶装置を用いて構成される。記憶部６４は、例えば車両制御部６５が動作するために必要なデータやプログラムを記憶する。

　車両制御部６５は、ＣＰＵ等のプロセッサーを用いて構成される。車両制御部６５は、プログラムを実行することによって主制御部６５１及び利用判定部６５２として機能する。車両制御部６５の各機能の全て又は一部は、ＡＳＩＣやＰＬＤやＦＰＧＡ等のハードウェアを用いて実現されても良い。プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ＲＯＭ、ＣＤ－ＲＯＭ、半導体記憶装置（例えばＳＳＤ）等の可搬媒体、コンピュータシステムに内蔵されるハードディスクや半導体記憶装置等の記憶装置である。プログラムは、電気通信回線を介して送信されても良い。

　主制御部６５１は、車両６０が移動体として機能するための一般的な各機能を制御する。主制御部６５１は、例えば車両６０に設けられたドアの鍵の開け閉めや、車両６０のエンジンのオン又はオフや、車両６０のエンジンの動作や、トランスミッションなどを制御する。

　利用判定部６５２は、車両６０の利用の要求について、利用が許可されるべき者であるか否か判定する。利用判定部６５２は、利用が許可されるべき者によって利用の要求がなされていると判定すると、主制御部６５１に対し車両６０の利用を可能にすることを指示する。利用を可能にする指示を受けた主制御部６５１は、車両６０の利用（操作）を可能にする制御を行う。例えば、主制御部６５１は、鍵が掛かっていたドアの鍵を開錠し、エンジンをオンにする。そして、主制御部６５１は、ハンドルのロックを解除し、利用者が自由に車両６０を運転できるように各機器を制御する。

　図８は、車両識別媒体７０の機能構成例を示す図である。車両識別媒体７０は、例えばＩＣチップが搭載されたカード状の媒体である。ただし、車両識別媒体７０の実装形態は、上述したカード状の媒体に限定されない。例えば、車両識別媒体７０は、携帯電話機等の情報機器を用いて実装されてもよいし、ＲＦＩＤが搭載された媒体（例えば人体に装着可能な物体や、携帯可能な物体）に実装されてもよい。例えば、車両識別媒体７０は、車両６０の車体のいずれか一部に組み込まれてもよいし、車両６０に搭載された車載装置に組み込まれてもよい。車両識別媒体７０は、例えば自動車検査証が記録される専用媒体であってもよい。車両識別媒体７０は、通信部７１、記憶部７２及び制御部７３を備える。

　通信部７１は、他の装置との間で有線通信又は無線通信を行う。通信部７１が通信可能な他の装置の具体例として、通信装置２０や車両６０がある。車両識別媒体７０が接触型ＩＣチップを用いて構成されている場合には、通信部７１は所定のプロトコルに準拠した有線通信（接触部分を介した通信）を他の装置との間で行う。車両識別媒体７０がＲＦＩＤ等の非接触型ＩＣチップを用いて構成されている場合には、通信部７１は所定のプロトコルに準拠した無線通信を他の装置との間で行う。

　記憶部７２は、半導体記憶装置等の記憶装置を用いて構成される。記憶部７２は、車両識別情報７２１、車両属性情報７２２、所有者情報７２３、車両電子証明書７２４、車両秘密鍵７２５、利用許可証情報７２６、サービスＡＰ７２７及びサービス秘密鍵７２８を記憶する。

　車両識別情報７２１は、車両６０を一意に識別するための識別情報である。ただし、車両識別情報７２１は、全世界で車両６０を一意に識別できる必要は無く、所定の地域（例えば特定の行政区画、所定の国（例えば日本国内）など）で一意に識別できればよい。例えば、自動車検査証に用いられる自動車登録番号や車台番号などが車両識別情報として用いられてもよい。

　車両属性情報７２２は、車両の属性情報を示す。車両属性情報７２２は、必ずしも一つの値に限られる必要は無い。車両属性情報７２２は、例えば車体の形状や車両重量など自動車検査証に用いられる項目の値であってもよい。

　所有者情報７２３は、車両の所有者を示す情報である。所有者情報７２３は、例えば第一電子証明書１２１の第一識別情報や、第二電子証明書１２３の第二識別情報が所有者情報７２３として用いられてもよい。

　車両電子証明書７２４及び車両秘密鍵７２５は、証明制御部４３１によって発行される。車両秘密鍵７２５は、公開鍵暗号方式で生成された秘密鍵である。車両秘密鍵７２５は、車両電子証明書７２４に含まれる車両公開鍵に対応する鍵である。車両秘密鍵７２５は、乱数もしくは電子文書（又はそのハッシュ値）に対してデジタル署名を行う際に使用される秘密鍵である。

　利用許可証情報７２６は、サービス管理装置５０の利用許可証生成部５３３によって発行される。サービスＡＰ７２７は、サービス管理装置５０によるサービスのために使用されるアプリケーションのプログラムである。サービス秘密鍵７２８は、サービス管理装置５０によって発行され車両識別媒体７０に記録される秘密鍵である。

　制御部７３は、プロセッサーを用いて構成される。制御部７３は、プロセッサーがプログラムを実行することによって、通信制御部７３１及び暗号化部７３２として機能する。制御部７３の各機能の全て又は一部は、ＡＳＩＣやＰＬＤやＦＰＧＡ等のハードウェアを用いて実現されても良い。プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ＲＯＭ、ＣＤ－ＲＯＭ、半導体記憶装置（例えばＳＳＤ）等の可搬媒体、コンピュータシステムに内蔵されるハードディスクや半導体記憶装置等の記憶装置である。プログラムは、電気通信回線を介して送信されても良い。

　通信制御部７３１は、他の装置から受信される要求に応じて、他の装置に対し認証要求を行う。通信制御部７３１は、他の装置から受信される認証情報に基づいて認証処理を行う。他の装置が認証された場合には、通信制御部７３１は暗号化部７３２に対し、他の装置による要求を通知する。通信制御部７３１は、暗号化部７３２によって処理が行われた情報を他の装置へ送信する。

　暗号化部７３２は、デジタル署名を他の装置から要求された場合には、車両秘密鍵７２５を用いて乱数もしくは電子文書（又はそのハッシュ値）にデジタル署名を行う。暗号化部７３２は、デジタル署名がなされたデータを、通信部７１を介して他の装置に送信する。
　制御部７３は、サービスＡＰ７２７を実行することにより、サービスの利用や提供に関する処理を行ってもよい。

　［基本動作］
　図９は、制御システム１００の基本動作の例を示すシーケンスチャートである。サービス管理装置５０が利用許可証を生成し（ステップＳ００１）、利用許可証に対しデジタル署名を行う（ステップＳ００２）。サービス管理装置５０は署名付き利用許可証を、利用許可証の対象となっている車両識別媒体７０が接続された通信装置２０又は車両６０に送信する（ステップＳ００３）。図９では、車両６０に署名付き利用許可証が送信される。車両６０は、署名付き利用許可証を受信すると、受信された署名付き利用許可証について、車両公開鍵を用いて改ざんされていないか判定する（ステップＳ００４）。改ざんされている場合には、車両６０は処理を停止する。一方、改ざんされていない場合には、車両６０は自装置に接続されている車両識別媒体７０に対して利用許可証を書き込むための動作を行う（ステップＳ００５）。車両識別媒体７０の制御部７３は、車両６０による制御に応じて利用許可証を記憶部７２に記録する（ステップＳ００６）。

　その後、利用許可証に含まれる利用者識別情報（例えば第二電子証明書１２３）を記憶している個人識別媒体１０を有した利用者が車両６０を使用しようとした場合、車両６０は、車両６０に接続された車両識別媒体７０から、記録されている利用許可証そのもの又は利用許可証に含まれる情報を読み出す（ステップＳ００７）。利用者の個人識別媒体１０は、認証に用いられる情報（認証用情報）を送信する（ステップＳ００８）。その後、利用者が正当な利用者（利用許可証が発行された利用者）であることを示す所定の条件が満たされる場合には、車両６０は車両６０の利用を許可することを判定する（ステップＳ００９）。一方、上記の所定の条件が満たされない場合には、車両６０は自車両の利用を許可しないことを判定する。この判定結果に応じて、車両６０の主制御部６５１は車両６０の利用を可能にする動作を行う（ステップＳ０１０）。

　車両６０における判定の具体例について説明する。車両６０は、車両識別媒体７０から取得した利用許可証から個人公開鍵を取得する。車両６０は、特定の方法で認証用の基礎情報を生成する。例えば、車両６０は認証用の基礎情報として乱数を発生させてもよい。この場合、車両６０は、乱数を個人識別媒体１０に送信する。個人識別媒体１０は、個人秘密鍵を用いて乱数を暗号化することにより認証用情報を生成し、車両６０に出力する。車両６０は、個人識別媒体１０から取得した認証用情報を、個人公開鍵で復号する。車両６０は、発生させた乱数と、復号された値と、が一致するか否か判定する。車両６０は、一致する場合には、車両６０の利用を許可することを判定する。車両６０は、一致しない場合には、車両６０の利用を許可しないことを判定する。なお、車両６０における判定の処理は上述した具体例には限定されない。

　［カーシェアリング］
　図１０～図１８は、制御システム１００がカーシェアリングに適用された場合の動作の流れの具体例を示すシーケンスチャートである。まず、図１０及び図１１を用いて、車両６０の利用を希望する利用希望者がサービス管理装置５０に登録する際の処理の流れについて説明する。利用希望者は、カーシェアリングにおいて、他者が所有している車両６０を借りて運転を希望する者である。また、サービス管理装置５０は、カーシェアリングにおいて、利用希望者と後述する提供希望者とをとりつぐ仲介業者等によって運用されてもよい。まず、利用希望者は、通信装置２０の入力部２３に対し、サービス管理装置５０への登録のための操作を行う（ステップＳ１０１）。通信装置２０は、利用希望者による操作に応じて、登録要求をサービス管理装置５０に送信する（ステップＳ１０２）。サービス管理装置５０は、登録要求を受信すると、受信された登録要求に応じて利用者情報要求を通信装置２０に送信する（ステップＳ１０３）。利用者情報要求とは、利用希望者に対して固有の情報（利用者情報）の要求である。利用者情報は、例えば第一電子証明書１２１であってもよい。

　通信装置２０は、利用者情報要求を受信すると、個人第一認証情報の入力を促す表示を出力部２４に出力させる。利用希望者は、入力部２３を操作することによって個人第一認証情報を入力する（ステップＳ１０４）。個人第一認証情報とは、例えば予め設定されているＰＩＮコードであってもよい。通信装置２０は、入力部２３を介して入力された個人第一認証情報を個人識別媒体１０に送信する（ステップＳ１０５）。個人識別媒体１０は、受信された個人第一認証情報に基づいて認証処理を実行する（ステップＳ１０６）。通信装置２０は、個人識別媒体１０に対し、登録対象となる利用者情報に関するデジタル署名を要求する（ステップＳ１０７）。登録対象となる利用者情報は、利用希望者に関する情報である。利用者情報は、通信装置２０においてユーザーによって入力されたユーザーの情報（例えば氏名、年齢、住所、性別など）が含まれてもよい。利用者情報には、第一電子証明書１２１に含まれる個人情報が含まれてもよい。

　ステップＳ１０６における個人第一認証処理の結果、利用希望者が認証された場合には、個人識別媒体１０は、ステップＳ１０７における要求に応じて、登録対象となる利用者情報について第一秘密鍵１２２を用いてデジタル署名を行う（ステップＳ１０８）。デジタル署名は、例えば利用者情報から得られるハッシュ値に対して第一秘密鍵を用いた暗号化処理を行うことによって実現されてもよい。個人識別媒体１０は、デジタル署名がなされた利用者情報（署名付き利用者情報）を通信装置２０に送信する（ステップＳ１０９）。通信装置２０は、個人識別媒体１０から受信された利用者情報をサービス管理装置５０へ送信する（ステップＳ１１０）。サービス管理装置５０は、受信された利用者情報について、第二認証処理を実行する（ステップＳ１１１）。第二認証処理では、サービス管理装置５０は利用者情報について改ざんの有無を判定する。

　改ざんがあると判定された場合、サービス管理装置５０はこれ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。一方、改ざんがないと判定された場合、サービス管理装置５０は、受信された利用者情報に含まれる第一電子証明書について失効判定要求を個人認証装置３０に送信する（ステップＳ１１２）。個人認証装置３０は、失効判定要求を受信すると、処理の対象となっている第一電子証明書について失効判定を行う（ステップＳ１１３）。個人認証装置３０は、失効判定の判定結果を含む失効判定応答をサービス管理装置５０へ送信する（ステップＳ１１４）。

　サービス管理装置５０は、失効判定結果が失効を示す場合、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。一方、失効判定結果が失効を示していない場合、サービス管理装置５０は、ステップＳ１１０で受信された利用者情報に含まれる氏名、住所などの情報や、第一電子証明書に含まれる個人情報や第一識別情報を利用会員情報として記憶部５２に登録する（ステップＳ１１５）。サービス管理装置５０は、利用会員情報の登録が完了したことを通信装置２０に通知する（ステップＳ１１６）。通信装置２０は、利用会員情報の登録完了通知を受信すると、登録が完了したことを示す情報を、出力部２４を介して出力する。例えば、通信装置２０は、登録が完了したことを示す画面を出力部２４に表示する（ステップＳ１１７）。

　次に、図１２を用いて、車両６０の提供を希望する提供希望者が、サービス管理装置５０への登録の際に必要となる車両電子証明書を取得するための処理の流れについて説明する。提供希望者は、カーシェアリングにおいて、自身が所有している車両６０を他者に貸すことを希望する者である。まず、提供希望者は、通信装置２０の入力部２３に対し、車両認証装置４０への登録のための操作を行う（ステップＳ２０１）。通信装置２０は、提供希望者による操作に応じて、新規登録要求を車両認証装置４０に送信する（ステップＳ２０２）。新規登録要求は、車両識別媒体７０に記録されている車両識別情報を含む。車両認証装置４０は、新規登録要求を受信すると、受信された新規登録要求に含まれる車両識別情報に対応した車両用鍵ペア（車両秘密鍵及び車両公開鍵）を生成する（ステップＳ２０３）。車両認証装置４０は、生成された車両秘密鍵及び車両公開鍵を用いて、車両電子証明書を生成する（ステップＳ２０４）。車両電子証明書には、例えば車両識別情報、車両公開鍵等の情報が含まれる。車両認証装置４０は、生成された車両電子証明書を記憶部４２に新規登録する（ステップＳ２０５）。

　車両認証装置４０は、新規登録が完了したことを示す新規登録応答を生成する。新規登録応答には、生成された車両電子証明書及び車両秘密鍵が含まれる。車両認証装置４０は、通信装置２０の操作者（車両識別媒体７０の所有者）に対し、セキュリティが確保された手段で、新規登録応答を送信する（ステップＳ２０６）。新規登録応答の送信は、セキュリティを確保可能な方法であればどのような方法によって実現されてもよい。通信装置２０は、新規登録応答を受信すると、受信された新規登録応答に含まれる車両電子証明書及び車両秘密鍵を車両識別媒体７０に送信する（ステップＳ２０７）。車両識別媒体７０の制御部７３は、受信された新規登録情報を記憶部７２に記録する（ステップＳ２０８）。

　次に、図１３及び図１４を用いて、車両６０の提供を希望する提供希望者がサービス管理装置５０に登録する際の処理の流れについて説明する。まず、提供希望者は、通信装置２０の入力部２３に対し、サービス管理装置５０への登録のための操作を行う（ステップＳ３０１）。通信装置２０は、提供希望者による操作に応じて、登録要求をサービス管理装置５０に送信する（ステップＳ３０２）。サービス管理装置５０は、登録要求を受信すると、受信された登録要求に応じて提供者／車両情報要求を通信装置２０に送信する（ステップＳ３０３）。提供者／車両情報要求とは、提供希望者を示す識別情報と、提供対象となっている車両を示す識別情報と、の要求である。

　通信装置２０は、提供者／車両情報要求を受信すると、情報取得プロセスを実行することによって、提供希望者の個人識別媒体１０を用いて署名付き提供者情報を取得する。署名付き提供者情報とは、第一秘密鍵を用いたデジタル署名がなされた提供者情報である。署名付き提供者情報を取得するプロセスは、図１０のステップＳ１０４～Ｓ１０９において署名付き利用者情報が取得されるプロセスと同様である。そのため、詳細の説明を省略する。なお、提供者情報は、提供希望者に関する情報である。提供者情報は、通信装置２０においてユーザーによって入力されたユーザーの情報（例えば氏名、年齢、住所、性別など）が含まれてもよい。提供者情報には、第一電子証明書１２１に含まれる個人情報が含まれてもよい。

　また、通信装置２０は、車両第一認証情報の入力を促す表示を出力部２４に出力させる。提供希望者は、入力部２３を操作することによって車両第一認証情報を入力する（ステップＳ３０４）。車両第一認証情報とは、例えば予め設定されているＰＩＮコードであってもよい。通信装置２０は、入力部２３を介して入力された車両第一認証情報を車両識別媒体７０に送信する（ステップＳ３０５）。車両識別媒体７０は、受信された車両第一認証情報に基づいて車両第一認証処理を実行する（ステップＳ３０６）。通信装置２０は、車両識別媒体７０に対し、デジタル署名を要求する（ステップＳ３０７）。このとき、通信装置２０は例えばデジタル署名に用いられる乱数もしくは電子文書（又はそのハッシュ値）を生成し、車両識別媒体７０に送信する。

　ステップＳ３０６における認証処理の結果、提供希望者が認証された場合には、車両識別媒体７０は、ステップＳ３０７における要求に応じて、通信装置２０から送信されたデータ（乱数、電子文書、ハッシュ値など）に対し車両秘密鍵７２５を用いてデジタル署名を行う（ステップＳ３０８）。車両識別媒体７０は、デジタル署名がなされたデータと車両電子証明書とを含むデジタル署名応答を通信装置２０に送信する（ステップＳ３０９）。通信装置２０は、車両識別媒体７０から受信されたデジタル署名応答と、情報取得プロセスで取得された提供希望者の提供者情報と、をサービス管理装置５０へ送信する（ステップＳ３１０）。サービス管理装置５０は、受信された提供者情報の第一電子証明書と車両電子証明書とについて、改ざんの有無を判定する（ステップＳ３１１）。

　改ざんがあると判定された場合、サービス管理装置５０はこれ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。一方、改ざんがないと判定された場合、サービス管理装置５０は、受信された第一電子証明書と車両電子証明書とについて失効判定を行う。第一電子証明書については、個人認証装置３０に対して個人失効判定プロセスを実行する。個人失効判定プロセスは、ステップＳ１１２～Ｓ１１４に記載の処理と同様の処理であるため、説明を省略する。車両電子証明書については、失効判定要求を車両認証装置４０に送信する（ステップＳ３１２）。車両認証装置４０は、失効判定要求を受信すると、処理の対象となっている車両電子証明書について失効判定を行う（ステップＳ３１３）。車両認証装置４０は、失効判定の判定結果を含む失効判定応答をサービス管理装置５０へ送信する（ステップＳ３１４）。

　サービス管理装置５０は、いずれかの失効判定結果が失効を示す場合、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。一方、いずれの失効判定結果も失効を示していない場合、サービス管理装置５０は、ステップＳ３１０で受信された提供者情報と車両電子証明書に含まれる車両識別情報とを提供会員情報として記憶部５２に登録する（ステップＳ３１５）。サービス管理装置５０は、提供会員情報の登録が完了したことを通信装置２０に通知する（ステップＳ３１６）。通信装置２０は、提供会員情報の登録完了通知を受信すると、登録が完了したことを示す情報を、出力部２４を介して出力する。例えば、通信装置２０は、登録が完了したことを示す画面を出力部２４に表示する（ステップＳ３１７）。また、サービス管理装置５０は、提供初期情報を記憶部５２に登録する（ステップＳ３１８）。提供初期情報には、鍵情報５２４が含まれる。例えば、このステップＳ３１８のタイミングで、サービス管理装置５０が提供希望者に対する鍵情報５２４を生成し、提供希望者の第一電子証明書１２１や車両電子証明書と対応付けて記憶してもよい。サービス管理装置５０は、提供初期情報を、車両識別媒体７０に記録する（ステップＳ３１９）。このとき、車両識別媒体７０には、例えばサービスＡＰ７２７と、サービス秘密鍵７２８と、サービス管理装置５０の公開鍵が記録されてもよい。特にサービス秘密鍵７２８については、セキュアな手段を用いて車両識別媒体７０に記録されることが望ましい。

　次に、図１５を用いて、車両６０の提供を希望する提供希望者がサービス管理装置５０に提供の申請を行う際の処理の流れについて説明する。まず、提供希望者は、通信装置２０の入力部２３に対し、サービス管理装置５０への提供申請のための操作を行う（ステップＳ４０１）。通信装置２０は、提供希望者による操作に応じて、提供申請要求をサービス管理装置５０に送信する（ステップＳ４０２）。サービス管理装置５０は、提供申請要求を受信すると、受信された提供申請要求に応じて、提供者情報要求を通信装置２０に送信する（ステップＳ４０３）。提供者情報要求とは、提供対象となっている車両６０の提供元である提供者を示す識別情報の要求である。

　次に、通信装置２０と個人識別媒体１０との間で情報取得プロセス（ステップＳ１０４～Ｓ１０９）が実行される。情報取得プロセスの実行によって、提供者の個人識別媒体１０から提供者情報が取得される。通信装置２０は、提供者情報をサービス管理装置５０へ送信する（ステップＳ４０４）。サービス管理装置５０は、受信された提供者情報の第一証明書について、改ざんの有無を判定する（ステップＳ４０５）。改ざんがあると判定された場合、サービス管理装置５０はこれ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。一方、改ざんがないと判定された場合、サービス管理装置５０は、受信された第一電子証明書について失効判定を行う。第一電子証明書については、個人認証装置３０に対して個人失効判定プロセスを実行する。個人失効判定プロセスは、ステップＳ１１２～Ｓ１１４に記載の処理と同様の処理であるため、説明を省略する。

　サービス管理装置５０は、失効判定結果が失効を示す場合、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。一方、失効判定結果が失効を示していない場合、サービス管理装置５０は、提供条件要求を通信装置２０に送信する（ステップＳ４０６）。提供条件要求は、提供対象となっている車両の提供に関する条件を示す情報の要求である。

　通信装置２０は、提供条件要求を受信すると、提供対象となっている車両の提供に関する条件を入力することを提供希望者に対して促すための出力を行う。例えば、通信装置２０は、条件を入力するための画面を出力部２４に表示する。提供希望者は、入力部２３を操作することによって、提供の条件を通信装置２０に入力する（ステップＳ４０７）。通信装置２０は、入力された提供の条件を示す提供条件応答をサービス管理装置５０へ送信する（ステップＳ４０８）。

　サービス管理装置５０は、提供条件応答を受信すると、提供対象として登録された車両６０に関する車両識別媒体７０に対し、存在判定プロセスを実行する（ステップＳ４０９）。存在判定プロセスは、例えば特定の信号を車両識別媒体７０に対して送信することによって、提供対象の車両６０に関する車両識別媒体７０が利用可能な状態になっていることを確認するためのプロセスである。存在判定プロセスにおいて、提供対象の車両６０が利用可能な状態になっていることが確認された場合、サービス管理装置５０は、受信された提供条件を示す情報を提供申請情報５２１として記憶部５２に登録する（ステップＳ４１０）。一方、存在判定プロセスにおいて、提供対象の車両６０が利用可能な状態になっていることが確認されなかった場合、サービス管理装置５０は、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。サービス管理装置５０は、登録が完了すると、提供条件の登録が完了したことを通信装置２０に通知する（ステップＳ４１１）。通信装置２０は、提供条件の登録通知を受信すると、登録が完了したことを示す情報を、出力部２４を介して出力する。例えば、通信装置２０は、登録が完了したことを示す画面を出力部２４に表示する（ステップＳ４１２）。

　次に、図１６及び図１７を用いて、車両６０の利用を希望する利用希望者がサービス管理装置５０に利用の申請を行う際の処理の流れについて説明する。なお、図１６及び図１７において、車両識別媒体７０は車両６０の第一通信部６１と通信可能に接続されている。例えば、第一通信部６１が車載装置を用いて構成されている場合には、車載装置に設けられた差し込み口等の物理的インターフェースに車両識別媒体７０が差し込まれたままの状態であってもよい。まず、利用希望者は、通信装置２０の入力部２３に対し、サービス管理装置５０への利用申請のための操作を行う（ステップＳ５０１）。通信装置２０は、利用希望者による操作に応じて、利用申請要求をサービス管理装置５０に送信する（ステップＳ５０２）。サービス管理装置５０は、利用申請要求を受信すると、受信された利用申請要求に応じて、利用者情報要求を通信装置２０に送信する（ステップＳ５０３）。利用者情報要求とは、利用希望者を示す識別情報の要求である。

　通信装置２０は、利用者情報要求を受信すると、情報取得プロセスを実行することによって、利用希望者の個人識別媒体１０を用いて署名付き利用者情報を取得する。署名付き利用者情報を取得するプロセスは、図１０のステップＳ１０４～Ｓ１０９と同様である。そのため、詳細の説明を省略する。通信装置２０は、署名付き利用者情報をサービス管理装置５０へ送信する（ステップＳ５０４）。サービス管理装置５０は、受信された署名付き利用者情報について、改ざんの有無を判定する（ステップＳ５０５）。改ざんがあると判定された場合、サービス管理装置５０はこれ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。一方、改ざんがないと判定された場合、サービス管理装置５０は、受信された署名付き利用許可証に含まれる第一電子証明書について失効判定を行う。第一電子証明書については、個人認証装置３０に対して個人失効判定プロセスを実行する。個人失効判定プロセスは、ステップＳ１１２～Ｓ１１４に記載の処理と同様の処理であるため、説明を省略する。

　サービス管理装置５０は、失効判定結果が失効を示す場合、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。一方、失効判定結果が失効を示していない場合、サービス管理装置５０は、利用条件要求を通信装置２０に送信する（ステップＳ５０６）。利用条件要求は、車両の利用に関する条件を示す情報の要求である。利用に関する条件は、例えば車両６０に関する情報（車種など）、利用の場所に関する情報、利用の時期を示す情報（例えば、利用開始日時と、利用終了日時と、を示す情報）を含む。利用に関する条件は、その他の条件をさらに有してもよい。

　通信装置２０は、利用条件要求を受信すると、車両の利用に関する条件を入力することを利用希望者に対して促すための出力を行う。例えば、通信装置２０は、条件を入力するための画面を出力部２４に表示する。利用希望者は、入力部２３を操作することによって、利用の条件を通信装置２０に入力する（ステップＳ５０７）。通信装置２０は、入力された利用の条件を示す利用条件応答をサービス管理装置５０へ送信する（ステップＳ５０８）。

　サービス管理装置５０は、利用条件応答を受信すると、記憶部５２に登録されている提供申請情報５２１のうち、受信された利用条件を満たす提供申請情報５２１を検索する。そして、サービス管理装置５０は、利用条件を満たす提供申請情報５２１の中から一つの提供申請情報５２１を選択し、選択された提供申請情報５２１に対応する車両を利用予定車両として決定する（ステップＳ５０９）。サービス管理装置５０は、選択された提供申請情報５２１と、利用希望者に関する情報と、に基づいて利用申請情報５２２を生成し、記憶部５２に登録する。そして、サービス管理装置５０は、決定した利用予定車両を示す情報を通信装置２０に通知する（ステップＳ５１０）。通信装置２０は、利用予定車両の情報通知を受信すると、利用予定車両を示す情報を、出力部２４を介して出力する。例えば、通信装置２０は、利用申請情報５２２の一部又は全てを示す画面を出力部２４に表示する（ステップＳ５１１）。

　サービス管理装置５０は、利用申請情報５２２に基づいて利用許可証を生成する（ステップＳ５１２）。サービス管理装置５０は、生成された利用許可証に対しデジタル署名を行う（ステップＳ５１３）。サービス管理装置５０は、署名付き利用許可証を、利用許可証の対象となっている車両６０に送信する（ステップＳ５１４）。その後、受信された署名付き利用許可証について、サービス管理装置５０の公開鍵とデジタル署名とを用いて改ざんされていないかが判定される（ステップＳ５１５）。この判定処理は、車両６０において行われてもよいし、車両識別媒体７０において行われてもよい。改ざんされている場合には、車両６０は処理を停止する。一方、改ざんされていない場合には、車両６０は自装置に接続されている車両識別媒体７０に対して利用許可証を書き込むための動作を行う（ステップＳ５１６）。車両識別媒体７０の制御部７３は、車両６０による制御に応じて利用許可証を記憶部７２に記録する（ステップＳ５１７）。

　次に、図１８を用いて、既に利用申請情報５２２が登録されている利用希望者が車両６０を利用する際の処理の流れについて説明する。まず、利用希望者は、利用申請の際に用いられた個人識別媒体１０を、利用希望の車両６０に通信可能に接続する。車両６０は、自装置に個人識別媒体１０が接続されたことを検知すると、車両６０に接続された車両識別媒体７０から、記録されている利用許可証そのもの又は利用許可証に含まれる情報を読み出す（ステップＳ６０１）。また、車両６０は、利用者の個人識別媒体１０から、認証に用いられる情報（認証用情報）を読み出す（ステップＳ６０２）。

　車両６０は、利用者が正当な利用者（利用許可証が発行された利用者）であることを示す所定の条件を満たす場合には、車両６０の利用を許可することを判定する（ステップＳ６０３）。一方、上記の所定の条件が満たされない場合には、車両６０は自車両の利用を許可しないことを判定する。判定結果に応じて、車両６０の主制御部６５１は車両６０の利用を可能にする動作を行う（ステップＳ６０４）。車両６０は、操作の許可がなされると、利用希望者による利用が終了するまで利用希望者による車両６０の操作の履歴を記録する（ステップＳ６０５）。車両６０は、利用希望者による利用が終了すると、それまでの間に記録された操作の履歴をサービス管理装置５０へ送信する。サービス管理装置５０は、操作の履歴を受信すると、受信された履歴の情報を実績情報５２３として記憶部５２に記録する。

　次に、図１９を用いて、既に利用申請情報５２２が登録されている利用希望者が車両６０を利用する際の処理の流れの具体例について説明する。図１９の具体例では、チャレンジレスポンスが採用されている。まず、利用希望者は、利用申請の際に用いられた個人識別媒体１０を、利用希望の車両６０に通信可能に接続する。車両６０は、自装置に個人識別媒体１０が接続されたことを検知すると、車両６０に接続された車両識別媒体７０から、車両識別媒体７０において生成された乱数を取得する（ステップＳ７０１）。車両６０は、取得された乱数を個人識別媒体１０に送信し、デジタル署名を要求する（ステップＳ７０２）。個人識別媒体１０は、車両６０から乱数を受信すると、自身に記録されている秘密鍵を用いて乱数に対してデジタル署名を行う（ステップＳ７０３）。このとき使用される秘密鍵は、第一秘密鍵であってもよいし、第二秘密鍵であってもよい。ただし、いずれの秘密鍵が使用されるかについては、他の装置との間で予め決められている。

　車両６０は、車両識別媒体７０から利用許可証を取得する（ステップＳ７０４）。個人識別媒体１０は、署名付きの乱数を署名結果として車両６０に送信する（ステップＳ７０５）。このとき送信される署名結果は、図９のステップＳ００８における認証用情報に相当する。車両６０は、利用許可証の電子証明書に含まれる公開鍵と、署名結果と、を用いて車両６０の利用者が正当な利用者であるか否か判定する（ステップＳ７０６）。このとき使用される公開鍵は、ステップＳ７０３の処理で用いられた秘密鍵に対応する公開鍵である。

　車両６０は、利用者が正当な利用者（利用許可証が発行された利用者）であることを示す所定の条件を満たす場合には、車両６０の利用を許可することを判定する。一方、上記の所定の条件が満たされない場合には、車両６０は自車両の利用を許可しないことを判定する。判定結果に応じて、車両６０の主制御部６５１は車両６０の利用を可能にする動作を行う（ステップＳ７０７）。車両６０は、操作の許可がなされると、利用希望者による利用が終了するまで利用希望者による車両６０の操作の履歴を記録する（ステップＳ７０８）。

　次に、図２０を用いて、既に利用申請情報５２２が登録されている利用希望者が車両６０を利用する際の処理の流れの他の具体例について説明する。図２０の具体例でも、チャレンジレスポンスが採用されている。まず、利用希望者は、利用申請の際に用いられた個人識別媒体１０を、利用希望の車両６０に通信可能に接続する。車両６０は、自装置に個人識別媒体１０が接続されたことを検知すると、車両６０に接続された車両識別媒体７０から、車両識別媒体７０において生成された乱数を取得する（ステップＳ８０１）。車両６０は、取得された乱数を個人識別媒体１０に送信し、デジタル署名を要求する（ステップＳ８０２）。個人識別媒体１０は、車両６０から乱数を受信すると、自身に記録されている秘密鍵を用いて乱数に対してデジタル署名を行う（ステップＳ８０３）。このとき使用される秘密鍵は、第一秘密鍵であってもよいし、第二秘密鍵であってもよい。ただし、いずれの秘密鍵が使用されるかについては、他の装置との間で予め決められている。

　個人識別媒体１０は、署名付きの乱数を署名結果として車両６０に送信する（ステップＳ８０５）。このとき送信される署名結果は、図９のステップＳ００８における認証用情報に相当する。車両６０は、個人識別媒体１０から署名結果を受信すると、受信された署名結果を車両識別媒体７０へ送信する（ステップＳ８０５）。車両識別媒体７０は、利用許可証の電子証明書に含まれる公開鍵と、署名結果と、を用いて車両６０の利用者が正当な利用者であるか否か判定する（ステップＳ８０６）。このとき使用される公開鍵は、ステップＳ８０３の処理で用いられた秘密鍵に対応する公開鍵である。

　車両識別媒体７０は、判定結果を車両６０に送信する（ステップＳ８０７）。車両６０は、利用者が正当な利用者（利用許可証が発行された利用者）であることを示す判定結果が得られた場合には、車両６０の利用を許可することを判定する。一方、上記の所定の条件が満たされないという判定結果が得られた場合には、車両６０は自車両の利用を許可しないことを判定する。判定結果に応じて、車両６０の主制御部６５１は車両６０の利用を可能にする動作を行う（ステップＳ８０８）。車両６０は、操作の許可がなされると、利用希望者による利用が終了するまで利用希望者による車両６０の操作の履歴を記録する（ステップＳ８０９）。

　なお、図１９及び図２０は、図１８の処理の具体例にすぎない。図１８の具体例として他の処理が適用されてもよい。例えば、図１８のステップＳ６０２において、認証用情報として個人識別媒体１０から第一識別情報又は第二識別情報（以下単に「識別情報」という。）が車両６０に送信されてもよい。この場合、車両６０は、判定処理（ステップＳ６０３）において、車両識別媒体７０から取得された利用許可証に含まれる識別情報と、個人識別媒体１０から取得された識別情報とが、同一人物を示す場合（例えば一致する場合）に利用を許可すると判断してもよい。

　このように構成された制御システム１００では、個人識別媒体１０に記録されている情報を含む利用許可証がサービス管理装置５０において生成される。サービス管理装置５０において生成された利用許可証は、提供対象の車両６０に接続された車両識別媒体７０に記録される。そして、利用者が車両６０を利用する際には、利用者の個人識別媒体１０に記録されている情報を用いて、利用許可証において車両６０の使用を許可されている正当な利用者であるかが判定される。そのため、車両６０を正当な利用者に対して簡便に提供しつつ、不当な利用者に車両６０が提供されてしまうことを防止することが可能となる。

　また、個人識別媒体１０は、一定の厳格な機関である個人認証局３００において発行された情報を記憶する。このような個人認証局３００において発行された情報を用いて、車両６０の正当な利用者であるか否かが判定される。そのため、不当な利用者に車両６０が提供されてしまうことを防止することがより厳格に可能となる。また、このような仕組みにより、“正当な利用者”の身元を担保することが可能となり、単にサービス管理装置５０にユーザー登録しただけの身元が不明な者に対して車両６０が提供されてしまうことを防止することが可能となる。例えば、日本国内においては、マイナンバーカードの署名用電子証明書や利用者証明用電子証明書などを用いることによって、このような厳格な防止が実現されてもよい。

　また、車両６０において正当な利用者であるか否かの判定が行われる際には、車両６０から個人識別媒体１０に対して特定の情報（例えば乱数）が与えられ、その乱数が個人秘密鍵で暗号化された情報を用いて車両６０で判定が行われてもよい。この場合、車両６０は、車両識別媒体７０に記録されている利用許可証に含まれた個人公開鍵を用いて、暗号化された乱数を復号し、復号で得られた値と、個人識別媒体１０に与えられた乱数とが一致する場合に正当な利用者であると判断してもよい。このように構成されることにより、不当な利用者に車両６０が提供されてしまうことをより確実に防止することが可能となる。

　また、車両識別媒体７０は、一定の厳格な機関である車両認証局４００において発行された情報を記憶する。このような車両認証局４００において発行された情報を用いて、提供希望者のサービス管理装置５０への登録が行われる。そして、このようにして登録された提供希望者によって提供される車両６０が、利用者に対して提供される。そのため、何らかの不正な事情を有している車両６０が利用者に対して提供されてしまうことを防止することが可能となる。

　また、提供希望者がサービス管理装置５０へ登録する際には、提供希望者の個人識別媒体１０が必要となる。上述したように、個人識別媒体１０は、一定の厳格な機関である個人認証局３００において発行された情報を記憶する。そのため、“車両６０の提供者”の身元を担保することが可能となり、単にサービス管理装置５０にユーザー登録しただけの身元が不明な者によって車両６０が提供されてしまうことを防止することが可能となる。この観点でも、例えば、日本国内においては、マイナンバーカードの署名用電子証明書や利用者証明用電子証明書などを用いることによって、このような効果が実現されてもよい。

　また、ステップＳ４０９において存在判定プロセスが実行されることによって、提供対象として登録された車両６０が使用可能な状態になることが担保される。そのため、その後にこの提供条件に基づいて利用することが決定された利用者が車両６０を利用できない、という事態が発生してしまうことを防止できる。

　（変形例）
　サービス管理装置５０は、図１５に示される存在判定プロセス（ステップＳ４０９）において、車両識別媒体７０に記録されている車両状態情報が所定の条件を満たしているか否かを判定してもよい。車両状態情報とは、提供対象の車両６０の状態に関する情報である。例えば、車両状態情報は、車両６０に関する自動車検査登録制度の登録状況を示す情報であってもよいし、車両６０が受けた整備に関する情報であってもよい。車両状態情報は、個別に記憶部７２に記録されてもよいし、車両属性情報７２２に含まれてもよいし、車両電子証明書７２４に含まれてもよい。車両状態情報の所定の条件とは、車両６０の利用に際して故障や法的問題や安全面での問題が生じないことを示す条件である。車両状態情報の所定の条件とは、例えば自動車検査登録制度における登録が切れていないことであってもよいし、特定の整備を受けていることであってもよいし、自動車損害賠償責任保険が切れていない（有効である）ことであってもよい。この場合、サービス管理装置５０は、存在判定プロセスにおいて、提供対象の車両６０が利用可能な状態になっていることが確認される条件の一つとして、車両状態情報が所定の条件を満たしていることを判定する。

　サービス管理装置５０は、ステップＳ１１５における利用会員情報登録を実行する条件や、ステップＳ５１２における利用許可証生成の条件として、利用希望者の個人情報が所定の条件を満たしていることを判定してもよい。個人情報が所定の条件を満たしていることの具体例として、利用希望者が車両６０を利用することについて安全面での問題や法律面での問題を有していないことがある。より具体的には、利用希望者が所定の年齢未満（例えば７５歳未満、８０歳未満など）であることや、有効な運転免許を有していること等が個人情報の所定の条件であってもよい。このような条件について判定が行われることによって、運転を行うことについて法律面での問題や安全面での問題を有している者によって車両６０が利用されてしまうことを未然に防止することが可能となる。

　サービス管理装置５０は、特定の運転手に関する情報を取得し、その情報に合致する利用者を検索して出力してもよい。特定の運転手とは、例えば交通違反を行った運転手である。特定の運転手に関する情報とは、交通違反車両について判明している情報であり、例えば車両のナンバープレートに関する情報であってもよいし、車体の特徴に関する情報であってもよいし、交通違反が行われた日時及び場所に関する情報であってもよい。サービス管理装置５０は、実績情報５２３や提供申請情報５２１を参照することによって、上述したような特定の運転手に関する情報に合致する利用者を検索し出力する。このような構成により、誰が、いつ、どの区間を運転していたかを把握できるため、違反をした運転手を特定することができる。

　［運転代行サービス］
　次に、制御システム１００が運転代行サービスに適用された場合の動作の流れの具体例について説明する。運転代行サービスでは、車両６０を提供する者は、運転代行のサービスを受けることを依頼する依頼者（代行依頼者）である。運転代行サービスでは、車両６０を利用する者は、運転代行のサービスを提供するために車両６０の運転を代行する者である。このように、運転代行サービスでは、車両６０の提供は運転代行サービスの依頼に相当し、車両６０の利用は運転代行サービスの提供に相当する。

　図２１～図２９は、制御システム１００が運転代行サービスに適用された場合の動作の流れの具体例を示すシーケンスチャートである。まず、図２１及び図２２を用いて、運転代行サービスの提供を希望する代行提供者がサービス管理装置５０に登録する際の処理の流れについて説明する。代行提供者は、運転代行サービスにおいて、他者が所有している車両６０の運転代行を行うことを希望する者である。また、サービス管理装置５０は、運転代行サービスにおいて、代行提供者と後述する代行依頼者とをとりつぐ仲介業者等によって運用されてもよい。まず、代行提供者は、通信装置２０の入力部２３に対し、サービス管理装置５０への登録のための操作を行う（ステップＳ１１０１）。通信装置２０は、代行提供者による操作に応じて、登録要求をサービス管理装置５０に送信する（ステップＳ１１０２）。サービス管理装置５０は、登録要求を受信すると、受信された登録要求に応じて代行者情報要求を通信装置２０に送信する（ステップＳ１１０３）。運転代行サービスにおいて、代行者情報要求とは、代行提供者を示す識別情報（代行者情報）の要求である。代行者情報は、例えば第一電子証明書１２１であってもよい。

　通信装置２０は、代行者情報要求を受信すると、個人第一認証情報の入力を促す表示を出力部２４に出力させる。代行提供者は、入力部２３を操作することによって個人第一認証情報を入力する（ステップＳ１１０４）。個人第一認証情報とは、例えば予め設定されているＰＩＮコードであってもよい。通信装置２０は、入力部２３を介して入力された個人第一認証情報を個人識別媒体１０に送信する（ステップＳ１１０５）。個人識別媒体１０は、受信された個人第一認証情報に基づいて認証処理を実行する（ステップＳ１１０６）。通信装置２０は、個人識別媒体１０に対し、登録対象となる代行者情報に関するデジタル署名を要求する（ステップＳ１１０７）。登録対象となる代行者情報は、代行提供者に関する情報である。代行者情報は、通信装置２０においてユーザーによって入力されたユーザーの情報（例えば氏名、年齢、住所、性別など）が含まれてもよい。代行者情報には、第一電子証明書１２１に含まれる個人情報が含まれてもよい。

　ステップＳ１１０６における個人第一認証処理の結果、代行提供者が認証された場合には、個人識別媒体１０は、ステップＳ１１０７における要求に応じて、登録対象となる代行者情報について第一秘密鍵１２２を用いてデジタル署名を行う（ステップＳ１１０８）。デジタル署名は、例えば代行者情報から得られるハッシュ値に対して第一秘密鍵を用いた暗号化処理を行うことによって実現されてもよい。個人識別媒体１０は、デジタル署名がなされた代行者情報（署名付き代行者情報）を通信装置２０に送信する（ステップＳ１１０９）。通信装置２０は、個人識別媒体１０から受信された代行者情報をサービス管理装置５０へ送信する（ステップＳ１１１０）。サービス管理装置５０は、受信された代行者情報について、第二認証処理を実行する（ステップＳ１１１１）。第二認証処理では、サービス管理装置５０は代行者情報について改ざんの有無を判定する。

　改ざんがあると判定された場合、サービス管理装置５０はこれ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。一方、改ざんがないと判定された場合、サービス管理装置５０は、受信された代行者情報に含まれる第一電子証明書について失効判定要求を個人認証装置３０に送信する（ステップＳ１１１２）。個人認証装置３０は、失効判定要求を受信すると、処理の対象となっている第一電子証明書について失効判定を行う（ステップＳ１１１３）。個人認証装置３０は、失効判定の判定結果を含む失効判定応答をサービス管理装置５０へ送信する（ステップＳ１１１４）。

　サービス管理装置５０は、失効判定結果が失効を示す場合、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。一方、失効判定結果が失効を示していない場合、サービス管理装置５０は、ステップＳ１１１０で受信された代行者情報に含まれる氏名、住所などの情報や、第一電子証明書に含まれる個人情報や第一識別情報を代行会員情報として記憶部５２に登録する（ステップＳ１１１５）。サービス管理装置５０は、代行会員情報の登録が完了したことを通信装置２０に通知する（ステップＳ１１１６）。通信装置２０は、代行会員情報の登録完了通知を受信すると、登録が完了したことを示す情報を、出力部２４を介して出力する。例えば、通信装置２０は、登録が完了したことを示す画面を出力部２４に表示する（ステップＳ１１１７）。

　次に、図２３を用いて、車両６０の代行運転の依頼を希望する代行依頼者が、サービス管理装置５０への登録の際に必要となる車両電子証明書を取得するための処理の流れについて説明する。代行依頼者は、運転代行サービスにおいて、自身が所有している車両６０を、運転代行を行う他者（代行提供者）に運転代行を依頼することを希望する者である。まず、代行依頼者は、通信装置２０の入力部２３に対し、車両認証装置４０への登録のための操作を行う（ステップＳ１２０１）。通信装置２０は、代行依頼者による操作に応じて、新規登録要求を車両認証装置４０に送信する（ステップＳ１２０２）。ステップＳ１２０２以降の処理は、図１２におけるステップＳ２０２以降の処理と同じである。そのため、説明を省略する。

　次に、図２４及び図２５を用いて、車両６０の運転代行の依頼を希望する代行依頼者がサービス管理装置５０に登録する際の処理の流れについて説明する。まず、代行依頼者は、通信装置２０の入力部２３に対し、サービス管理装置５０への登録のための操作を行う（ステップＳ１３０１）。通信装置２０は、代行依頼者による操作に応じて、登録要求をサービス管理装置５０に送信する（ステップＳ１３０２）。サービス管理装置５０は、登録要求を受信すると、受信された登録要求に応じて依頼者／車両情報要求を通信装置２０に送信する（ステップＳ１３０３）。依頼者／車両情報要求とは、代行依頼者を示す識別情報と、運転代行の対象となっている車両を示す識別情報と、の要求である。

　通信装置２０は、依頼者／車両情報要求を受信すると、情報取得プロセスを実行することによって、代行依頼者の個人識別媒体１０を用いて署名付き依頼者情報を取得する。署名付き依頼者情報とは、第一秘密鍵を用いたデジタル署名がなされた依頼者情報である。署名付き依頼者情報を取得するプロセスは、図２１のステップＳ１１０４～Ｓ１１０９において署名付き代行者情報が取得されるプロセスと同様である。そのため、詳細の説明を省略する。なお、依頼者情報は、代行依頼者に関する情報である。依頼者情報は、通信装置２０においてユーザーによって入力されたユーザーの情報（例えば氏名、年齢、住所、性別など）が含まれてもよい。依頼者情報には、第一電子証明書１２１に含まれる個人情報が含まれてもよい。

　また、通信装置２０は、車両第一認証情報の入力を促す表示を出力部２４に出力させる。代行依頼者は、入力部２３を操作することによって車両第一認証情報を入力する（ステップＳ１３０４）。車両第一認証情報とは、例えば予め設定されているＰＩＮコードであってもよい。通信装置２０は、入力部２３を介して入力された車両第一認証情報を車両識別媒体７０に送信する（ステップＳ１３０５）。車両識別媒体７０は、受信された車両第一認証情報に基づいて車両第一認証処理を実行する（ステップＳ１３０６）。通信装置２０は、車両識別媒体７０に対し、デジタル署名を要求する（ステップＳ１３０７）。このとき、通信装置２０は例えばデジタル署名に用いられる乱数もしくは電子文書（又はそのハッシュ値）を生成し、車両識別媒体７０に送信する。

　ステップＳ１３０６における認証処理の結果、代行依頼者が認証された場合には、車両識別媒体７０は、ステップＳ１３０７における要求に応じて、通信装置２０から送信されたデータ（乱数、電子文書、ハッシュ値など）に対し車両秘密鍵７２５を用いてデジタル署名を行う（ステップＳ１３０８）。車両識別媒体７０は、デジタル署名がなされたデータと車両電子証明書とを含むデジタル署名応答を通信装置２０に送信する（ステップＳ１３０９）。通信装置２０は、車両識別媒体７０から受信されたデジタル署名応答と、情報取得プロセスで取得された代行依頼者の依頼者情報と、をサービス管理装置５０へ送信する（ステップＳ１３１０）。サービス管理装置５０は、受信された依頼者情報の第一電子証明書と車両電子証明書とについて、改ざんの有無を判定する（ステップＳ１３１１）。

　改ざんがあると判定された場合、サービス管理装置５０はこれ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。一方、改ざんがないと判定された場合、サービス管理装置５０は、受信された第一電子証明書と車両電子証明書とについて失効判定を行う。第一電子証明書については、個人認証装置３０に対して個人失効判定プロセスを実行する。個人失効判定プロセスは、ステップＳ１１１２～Ｓ１１１４に記載の処理と同様の処理であるため、説明を省略する。車両電子証明書については、失効判定要求を車両認証装置４０に送信する（ステップＳ１３１２）。車両認証装置４０は、失効判定要求を受信すると、処理の対象となっている車両電子証明書について失効判定を行う（ステップＳ１３１３）。車両認証装置４０は、失効判定の判定結果を含む失効判定応答をサービス管理装置５０へ送信する（ステップＳ１３１４）。

　サービス管理装置５０は、いずれかの失効判定結果が失効を示す場合、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。一方、いずれの失効判定結果も失効を示していない場合、サービス管理装置５０は、ステップＳ１３１０で受信された依頼者情報と車両電子証明書に含まれる車両識別情報とを依頼会員情報として記憶部５２に登録する（ステップＳ１３１５）。サービス管理装置５０は、依頼会員情報の登録が完了したことを通信装置２０に通知する（ステップＳ１３１６）。通信装置２０は、依頼会員情報の登録完了通知を受信すると、登録が完了したことを示す情報を、出力部２４を介して出力する。例えば、通信装置２０は、登録が完了したことを示す画面を出力部２４に表示する（ステップＳ１３１７）。また、サービス管理装置５０は、依頼初期情報を記憶部５２に登録する（ステップＳ１３１８）。依頼初期情報には、鍵情報５２４が含まれる。例えば、このステップＳ１３１８のタイミングで、サービス管理装置５０が代行依頼者に対する鍵情報５２４を生成し、代行依頼者の第一電子証明書１２１や車両電子証明書と対応付けて記憶してもよい。サービス管理装置５０は、依頼初期情報を、車両識別媒体７０に記録する（ステップＳ１３１９）。このとき、車両識別媒体７０には、例えばサービスＡＰ７２７と、サービス秘密鍵７２８と、サービス管理装置５０の公開鍵が記録されてもよい。特にサービス秘密鍵７２８については、セキュアな手段を用いて車両識別媒体７０に記録されることが望ましい。

　次に、図２６を用いて、車両６０の運転代行の依頼を希望する代行依頼者がサービス管理装置５０に依頼の申請を行う際の処理の流れについて説明する。まず、代行依頼者は、通信装置２０の入力部２３に対し、サービス管理装置５０への依頼申請のための操作を行う（ステップＳ１４０１）。通信装置２０は、代行依頼者による操作に応じて、依頼申請要求をサービス管理装置５０に送信する（ステップＳ１４０２）。サービス管理装置５０は、依頼申請要求を受信すると、受信された依頼申請要求に応じて、依頼者情報要求を通信装置２０に送信する（ステップＳ１４０３）。依頼者情報要求とは、運転代行の対象となっている車両６０の依頼主である依頼希望者を示す識別情報の要求である。

　次に、通信装置２０と個人識別媒体１０との間で情報取得プロセス（ステップＳ１１０４～Ｓ１１０９）が実行される。情報取得プロセスの実行によって、依頼希望者の個人識別媒体１０から依頼者情報が取得される。通信装置２０は、依頼者情報をサービス管理装置５０へ送信する（ステップＳ１４０４）。サービス管理装置５０は、受信された依頼者情報の第一証明書について、改ざんの有無を判定する（ステップＳ１４０５）。改ざんがあると判定された場合、サービス管理装置５０はこれ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。一方、改ざんがないと判定された場合、サービス管理装置５０は、受信された第一電子証明書について失効判定を行う。第一電子証明書については、個人認証装置３０に対して個人失効判定プロセスを実行する。個人失効判定プロセスは、ステップＳ１１１２～Ｓ１１１４に記載の処理と同様の処理であるため、説明を省略する。

　サービス管理装置５０は、失効判定結果が失効を示す場合、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。一方、失効判定結果が失効を示していない場合、サービス管理装置５０は、依頼条件要求を通信装置２０に送信する（ステップＳ１４０６）。依頼条件要求は、運転代行の依頼に関する条件を示す情報の要求である。

　通信装置２０は、依頼条件要求を受信すると、運転代行サービスの依頼に関する条件を入力することを代行依頼者に対して促すための出力を行う。例えば、通信装置２０は、条件を入力するための画面を出力部２４に表示する。代行依頼者は、入力部２３を操作することによって、依頼の条件を通信装置２０に入力する（ステップＳ１４０７）。通信装置２０は、入力された依頼の条件を示す依頼条件応答をサービス管理装置５０へ送信する（ステップＳ１４０８）。

　サービス管理装置５０は、依頼条件応答を受信すると、運転代行サービスの対象として登録された車両６０に関する車両識別媒体７０に対し、存在判定プロセスを実行する（ステップＳ１４０９）。存在判定プロセスは、例えば特定の信号を車両識別媒体７０に対して送信することによって、運転代行サービスの対象の車両６０に関する車両識別媒体７０が利用可能な状態になっていることを確認するためのプロセスである。存在判定プロセスにおいて、運転代行サービスの対象の車両６０が利用可能な状態になっていることが確認された場合、サービス管理装置５０は、受信された依頼条件を示す情報を提供申請情報５２１として記憶部５２に登録する（ステップＳ１４１０）。一方、存在判定プロセスにおいて、運転代行サービスの対象の車両６０が利用可能な状態になっていることが確認されなかった場合、サービス管理装置５０は、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。サービス管理装置５０は、登録が完了すると、依頼条件の登録が完了したことを通信装置２０に通知する（ステップＳ１４１１）。通信装置２０は、依頼条件の登録通知を受信すると、登録が完了したことを示す情報を、出力部２４を介して出力する。例えば、通信装置２０は、登録が完了したことを示す画面を出力部２４に表示する（ステップＳ１４１２）。

　次に、図２７及び図２８を用いて、車両６０の運転代行を希望する代行提供者がサービス管理装置５０に運転代行の申請を行う際の処理の流れについて説明する。なお、図２７及び図２８において、車両識別媒体７０は車両６０の第一通信部６１と通信可能に接続されている。例えば、第一通信部６１が車載装置を用いて構成されている場合には、車載装置に設けられた差し込み口等の物理的インターフェースに車両識別媒体７０が差し込まれたままの状態であってもよい。まず、代行提供者は、通信装置２０の入力部２３に対し、サービス管理装置５０への代行申請のための操作を行う（ステップＳ１５０１）。通信装置２０は、代行提供者による操作に応じて、代行申請要求をサービス管理装置５０に送信する（ステップＳ１５０２）。サービス管理装置５０は、代行申請要求を受信すると、受信された代行申請要求に応じて、代行者情報要求を通信装置２０に送信する（ステップＳ１５０３）。代行者情報要求とは、代行提供者を示す識別情報の要求である。

　通信装置２０は、代行者情報要求を受信すると、情報取得プロセスを実行することによって、代行提供者の個人識別媒体１０を用いて署名付き代行者情報を取得する。署名付き代行者情報を取得するプロセスは、図１０のステップＳ１０４～Ｓ１０９と同様である。そのため、詳細の説明を省略する。通信装置２０は、署名付き代行者情報をサービス管理装置５０へ送信する（ステップＳ１５０４）。サービス管理装置５０は、受信された署名付き代行者情報について、改ざんの有無を判定する（ステップＳ１５０５）。改ざんがあると判定された場合、サービス管理装置５０はこれ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。一方、改ざんがないと判定された場合、サービス管理装置５０は、受信された署名付き代行者情報に含まれる第一電子証明書について失効判定を行う。第一電子証明書については、個人認証装置３０に対して個人失効判定プロセスを実行する。個人失効判定プロセスは、ステップＳ１１１２～Ｓ１１１４に記載の処理と同様の処理であるため、説明を省略する。

　サービス管理装置５０は、失効判定結果が失効を示す場合、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。一方、失効判定結果が失効を示していない場合、サービス管理装置５０は、代行条件要求を通信装置２０に送信する（ステップＳ１５０６）。代行条件要求は、車両の運転代行に関する条件を示す情報の要求である。運転代行に関する条件は、例えば車両６０に関する情報（車種や大きさなど）、運転代行の場所に関する情報、運転代行の時期を示す情報（例えば、利用開始日時と、利用終了日時と、を示す情報）を含む。運転代行に関する条件は、その他の条件をさらに有してもよい。

　通信装置２０は、代行条件要求を受信すると、車両の運転代行に関する条件を入力することを代行提供者に対して促すための出力を行う。例えば、通信装置２０は、条件を入力するための画面を出力部２４に表示する。代行提供者は、入力部２３を操作することによって、運転代行の条件を通信装置２０に入力する（ステップＳ１５０７）。通信装置２０は、入力された運転代行の条件を示す代行条件応答をサービス管理装置５０へ送信する（ステップＳ１５０８）。

　サービス管理装置５０は、代行条件応答を受信すると、記憶部５２に登録されている提供申請情報５２１のうち、受信された代行条件を満たす提供申請情報５２１を検索する。そして、サービス管理装置５０は、代行条件を満たす提供申請情報５２１の中から一つの提供申請情報５２１を選択し、選択された提供申請情報５２１に対応する車両を代行予定車両として決定する（ステップＳ１５０９）。サービス管理装置５０は、選択された提供申請情報５２１と、代行提供者に関する情報と、に基づいて利用申請情報５２２を生成し、記憶部５２に登録する。そして、サービス管理装置５０は、決定した代行予定車両を示す情報を通信装置２０に通知する（ステップＳ１５１０）。通信装置２０は、代行予定車両の情報通知を受信すると、代行予定車両を示す情報を、出力部２４を介して出力する。例えば、通信装置２０は、利用申請情報５２２の一部又は全てを示す画面を出力部２４に表示する（ステップＳ１５１１）。

　サービス管理装置５０は、利用申請情報５２２に基づいて利用許可証を生成する（ステップＳ１５１２）。サービス管理装置５０は、生成された利用許可証に対しデジタル署名を行う（ステップＳ１５１３）。サービス管理装置５０は、署名付き利用許可証を、利用許可証の対象となっている車両６０に送信する（ステップＳ１５１４）。その後、受信された署名付き利用許可証について、サービス管理装置５０の公開鍵とデジタル署名とを用いて改ざんされていないかが判定される（ステップＳ１５１５）。上述したように、この判定処理は、車両６０において行われてもよいし、車両識別媒体７０において行われてもよい。改ざんされている場合には、車両６０は処理を停止する。一方、改ざんされていない場合には、車両６０は自装置に接続されている車両識別媒体７０に対して利用許可証を書き込むための動作を行う（ステップＳ１５１６）。車両識別媒体７０の制御部７３は、車両６０による制御に応じて利用許可証を記憶部７２に記録する（ステップＳ１５１７）。

　次に、図２９を用いて、既に利用申請情報５２２が登録されている代行提供者が車両６０を利用する（運転代行する）際の処理の流れについて説明する。まず、代行提供者は、代行申請の際に用いられた個人識別媒体１０を、代行提供の車両６０に通信可能に接続する。車両６０は、自装置に個人識別媒体１０が接続されたことを検知すると、車両６０に接続された車両識別媒体７０から、記録されている利用許可証そのもの又は利用許可証に含まれる情報を読み出す（ステップＳ１６０１）。また、車両６０は、利用者（代行提供者）の個人識別媒体１０から、認証に用いられる情報（認証用情報）を読み出す（ステップＳ１６０２）。

　車両６０は、利用者（代行提供者）が正当な利用者（利用許可証が発行された代行提供者）であることを示す所定の条件を満たす場合には、車両６０の利用を許可することを判定する（ステップＳ１６０３）。一方、上記の所定の条件が満たされない場合には、車両６０は自車両の利用を許可しないことを判定する。判定結果に応じて、車両６０の主制御部６５１は車両６０の利用を可能にする動作を行う（ステップＳ１６０４）。車両６０は、操作の許可がなされると、代行提供者による利用が終了するまで代行提供者による車両６０の操作の履歴を記録する（ステップＳ１６０５）。車両６０は、代行提供者による利用が終了すると、それまでの間に記録された操作の履歴をサービス管理装置５０へ送信する。サービス管理装置５０は、操作の履歴を受信すると、受信された履歴の情報を実績情報５２３として記憶部５２に記録する。なお、図２９に示された処理の具体例として、図１９や図２０に示された処理が適用されてもよい。

　このように運転代行サービスに適用された制御システム１００においても、カーシェアリングに適用された制御システム１００と同趣旨の効果を奏することができる。また、このように運転代行サービスに適用された制御システム１００は、カーシェアリングに適用された制御システム１００と同趣旨の変形がなされてもよい。この場合、図１５に示される存在判定プロセス（ステップＳ４０９）は、図２６に示される存在判定プロセス（ステップＳ１４０９）に相当する。また、ステップＳ１１５における利用会員情報登録を実行する条件や、ステップＳ５１２における利用許可証生成の条件は、それぞれステップＳ１１１５における代行会員情報登録を実行する条件や、ステップＳ１５１２における利用許可証生成の条件に相当する。

　［乗り継ぎ輸送］
　次に、制御システム１００が乗り継ぎ輸送に適用された場合の動作の流れの具体例について説明する。乗り継ぎ輸送とは、少なくとも１台の車両６０をある地点（始点）から他の地点（終点）まで運転により移動させる際に、複数の運転手で乗り継ぎを行うことである。乗り継ぎ輸送では、車両６０を提供する者は、乗り継ぎ輸送を依頼する依頼者（輸送依頼者）である。乗り継ぎ輸送では、車両６０を利用する者は、車両６０の運転を行う者である。このように、乗り継ぎ輸送では、車両６０の提供は輸送の依頼に相当し、車両６０の利用は車両６０の運転に相当する。

　乗り継ぎ輸送では、サービス管理装置５０は、輸送依頼者によって登録された始点と終点との間に複数の中継地点が設定される。複数の中継地点の設定は、輸送依頼者によって行われてもよいし、サービス管理装置５０によって行われてもよい。サービス管理装置５０によって行われる場合には、例えばサービスエリア等の駐車が容易な地点として予めサービス管理装置５０に登録されている地点の中から、上記中継地点が設定されてもよい。この場合、例えば始点、各中継地点、終点の各間隔が所定の条件を満たすように自動で設定されてもよい。所定の条件とは、例えば予め定められた一般的な速度で移動した場合に要する所要時間が基準値に基づく条件（例えば基準値から前後１０分以内）を満たすような条件であってもよいし、予め定められた距離に基づく条件（例えば上記距離から前後１０キロメートル以内）を満たすような条件であってもよい。また、輸送依頼者によって設定された数で始点から終点までが分割されるように、略等間隔に分割することで中継地点が設定されてもよい。

　図３０～図３８は、制御システム１００が乗り継ぎ輸送に適用された場合の動作の流れの具体例を示すシーケンスチャートである。まず、図３０及び図３１を用いて、輸送を希望する運転希望者がサービス管理装置５０に登録する際の処理の流れについて説明する。運転希望者は、乗り継ぎ輸送において、他者が所有している車両６０の運転を、他者と乗り継ぎなら行うことを希望する者である。また、サービス管理装置５０は、乗り継ぎ輸送において、運転希望者と後述する輸送依頼者とをとりつぐ仲介業者等によって運用されてもよい。まず、運転希望者は、通信装置２０の入力部２３に対し、サービス管理装置５０への登録のための操作を行う（ステップＳ２１０１）。通信装置２０は、運転希望者による操作に応じて、登録要求をサービス管理装置５０に送信する（ステップＳ２１０２）。サービス管理装置５０は、登録要求を受信すると、受信された登録要求に応じて運転者情報要求を通信装置２０に送信する（ステップＳ２１０３）。乗り継ぎ輸送において、運転者情報要求とは、運転希望者を示す識別情報（運転者情報）の要求である。運転者情報は、例えば第一電子証明書１２１であってもよい。

　通信装置２０は、運転者情報要求を受信すると、個人第一認証情報の入力を促す表示を出力部２４に出力させる。運転希望者は、入力部２３を操作することによって個人第一認証情報を入力する（ステップ２１０４）。個人第一認証情報とは、例えば予め設定されているＰＩＮコードであってもよい。通信装置２０は、入力部２３を介して入力された個人第一認証情報を個人識別媒体１０に送信する（ステップＳ２１０５）。個人識別媒体１０は、受信された個人第一認証情報に基づいて認証処理を実行する（ステップＳ２１０６）。通信装置２０は、個人識別媒体１０に対し、登録対象となる運転者情報に関するデジタル署名を要求する（ステップＳ２１０７）。登録対象となる運転者情報は、運転希望者に関する情報である。運転者情報は、通信装置２０においてユーザーによって入力されたユーザーの情報（例えば氏名、年齢、住所、性別など）が含まれてもよい。運転者情報には、第一電子証明書１２１に含まれる個人情報が含まれてもよい。

　ステップＳ２１０６における個人第一認証処理の結果、運転希望者が認証された場合には、個人識別媒体１０は、ステップＳ２１０７における要求に応じて、登録対象となる運転者情報について第一秘密鍵１２２を用いてデジタル署名を行う（ステップＳ２１０８）。デジタル署名は、例えば運転者情報から得られるハッシュ値に対して第一秘密鍵を用いた暗号化処理を行うことによって実現されてもよい。個人識別媒体１０は、デジタル署名がなされた運転者情報（署名付き運転者情報）を通信装置２０に送信する（ステップＳ２１０９）。通信装置２０は、個人識別媒体１０から受信された運転者情報をサービス管理装置５０へ送信する（ステップＳ２１１０）。サービス管理装置５０は、受信された運転者情報について、第二認証処理を実行する（ステップＳ２１１１）。第二認証処理では、サービス管理装置５０は運転者情報について改ざんの有無を判定する。

　改ざんがあると判定された場合、サービス管理装置５０はこれ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。一方、改ざんがないと判定された場合、サービス管理装置５０は、受信された運転者情報に含まれる第一電子証明書について失効判定要求を個人認証装置３０に送信する（ステップＳ２１１２）。個人認証装置３０は、失効判定要求を受信すると、処理の対象となっている第一電子証明書について失効判定を行う（ステップＳ２１１３）。個人認証装置３０は、失効判定の判定結果を含む失効判定応答をサービス管理装置５０へ送信する（ステップＳ２１１４）。

　サービス管理装置５０は、失効判定結果が失効を示す場合、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。一方、失効判定結果が失効を示していない場合、サービス管理装置５０は、ステップＳ２１１０で受信された運転者情報に含まれる氏名、住所などの情報や、第一電子証明書に含まれる個人情報や第一識別情報を運転会員情報として記憶部５２に登録する（ステップＳ２１１５）。サービス管理装置５０は、運転会員情報の登録が完了したことを通信装置２０に通知する（ステップＳ２１１６）。通信装置２０は、運転会員情報の登録完了通知を受信すると、登録が完了したことを示す情報を、出力部２４を介して出力する。例えば、通信装置２０は、登録が完了したことを示す画面を出力部２４に表示する（ステップＳ２１１７）。

　次に、図３２を用いて、車両６０の運転の依頼を希望する輸送依頼者が、サービス管理装置５０への登録の際に必要となる車両電子証明書を取得するための処理の流れについて説明する。輸送依頼者は、乗り継ぎ輸送において、自身が所有している車両６０を、運転を行う他者（運転希望者）に運転を依頼することを希望する者である。まず、輸送依頼者は、通信装置２０の入力部２３に対し、車両認証装置４０への登録のための操作を行う（ステップＳ２２０１）。通信装置２０は、輸送依頼者による操作に応じて、新規登録要求を車両認証装置４０に送信する（ステップＳ２２０２）。ステップＳ２２０２以降の処理は、図１２におけるステップＳ２０２以降の処理と同じである。そのため、説明を省略する。

　次に、図３３及び図３４を用いて、車両６０の運転の依頼を希望する輸送依頼者がサービス管理装置５０に登録する際の処理の流れについて説明する。まず、輸送依頼者は、通信装置２０の入力部２３に対し、サービス管理装置５０への登録のための操作を行う（ステップＳ２３０１）。通信装置２０は、輸送依頼者による操作に応じて、登録要求をサービス管理装置５０に送信する（ステップＳ２３０２）。サービス管理装置５０は、登録要求を受信すると、受信された登録要求に応じて依頼者／車両情報要求を通信装置２０に送信する（ステップＳ２３０３）。依頼者／車両情報要求とは、輸送依頼者を示す識別情報と、運転の対象となっている車両を示す識別情報と、の要求である。

　通信装置２０は、依頼者／車両情報要求を受信すると、情報取得プロセスを実行することによって、輸送依頼者の個人識別媒体１０を用いて署名付き依頼者情報を取得する。署名付き依頼者情報とは、第一秘密鍵を用いたデジタル署名がなされた依頼者情報である。署名付き依頼者情報を取得するプロセスは、図３０のステップＳ２１０４～Ｓ２１０９において署名付き運転者情報が取得されるプロセスと同様である。そのため、詳細の説明を省略する。なお、依頼者情報は、代行依頼者に関する情報である。依頼者情報は、通信装置２０においてユーザーによって入力されたユーザーの情報（例えば氏名、年齢、住所、性別など）が含まれてもよい。依頼者情報には、第一電子証明書１２１に含まれる個人情報が含まれてもよい。

　また、通信装置２０は、車両第一認証情報の入力を促す表示を出力部２４に出力させる。輸送依頼者は、入力部２３を操作することによって車両第一認証情報を入力する（ステップＳ２３０４）。車両第一認証情報とは、例えば予め設定されているＰＩＮコードであってもよい。通信装置２０は、入力部２３を介して入力された車両第一認証情報を車両識別媒体７０に送信する（ステップＳ２３０５）。車両識別媒体７０は、受信された車両第一認証情報に基づいて車両第一認証処理を実行する（ステップＳ２３０６）。通信装置２０は、車両識別媒体７０に対し、デジタル署名を要求する（ステップＳ２３０７）。このとき、通信装置２０は例えばデジタル署名に用いられる乱数もしくは電子文書（又はそのハッシュ値）を生成し、車両識別媒体７０に送信する。

　ステップＳ２３０６における認証処理の結果、輸送依頼者が認証された場合には、車両識別媒体７０は、ステップＳ２３０７における要求に応じて、通信装置２０から送信されたデータ（乱数、電子文書、ハッシュ値など）に対し車両秘密鍵７２５を用いてデジタル署名を行う（ステップＳ２３０８）。車両識別媒体７０は、デジタル署名がなされたデータと車両電子証明書とを含むデジタル署名応答を通信装置２０に送信する（ステップＳ２３０９）。通信装置２０は、車両識別媒体７０から受信されたデジタル署名応答と、情報取得プロセスで取得された輸送依頼者の依頼者情報と、をサービス管理装置５０へ送信する（ステップＳ２３１０）。サービス管理装置５０は、受信された依頼者情報の第一電子証明書と車両電子証明書とについて、改ざんの有無を判定する（ステップＳ２３１１）。

　改ざんがあると判定された場合、サービス管理装置５０はこれ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。一方、改ざんがないと判定された場合、サービス管理装置５０は、受信された第一電子証明書と車両電子証明書とについて失効判定を行う。第一電子証明書については、個人認証装置３０に対して個人失効判定プロセスを実行する。個人失効判定プロセスは、ステップＳ２１１２～Ｓ２１１４に記載の処理と同様の処理であるため、説明を省略する。車両電子証明書については、失効判定要求を車両認証装置４０に送信する（ステップＳ２３１２）。車両認証装置４０は、失効判定要求を受信すると、処理の対象となっている車両電子証明書について失効判定を行う（ステップＳ２３１３）。車両認証装置４０は、失効判定の判定結果を含む失効判定応答をサービス管理装置５０へ送信する（ステップＳ２３１４）。

　サービス管理装置５０は、いずれかの失効判定結果が失効を示す場合、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。一方、いずれの失効判定結果も失効を示していない場合、サービス管理装置５０は、ステップＳ２３１０で受信された依頼者情報と車両電子証明書に含まれる車両識別情報とを依頼会員情報として記憶部５２に登録する（ステップＳ２３１５）。サービス管理装置５０は、依頼会員情報の登録が完了したことを通信装置２０に通知する（ステップＳ２３１６）。通信装置２０は、依頼会員情報の登録完了通知を受信すると、登録が完了したことを示す情報を、出力部２４を介して出力する。例えば、通信装置２０は、登録が完了したことを示す画面を出力部２４に表示する（ステップＳ２３１７）。また、サービス管理装置５０は、依頼初期情報を記憶部５２に登録する（ステップＳ２３１８）。依頼初期情報には、鍵情報５２４が含まれる。例えば、このステップＳ２３１８のタイミングで、サービス管理装置５０が輸送依頼者に対する鍵情報５２４を生成し、輸送依頼者の第一電子証明書１２１や車両電子証明書と対応付けて記憶してもよい。サービス管理装置５０は、依頼初期情報を、車両識別媒体７０に記録する（ステップＳ２３１９）。このとき、車両識別媒体７０には、例えばサービスＡＰ７２７と、サービス秘密鍵７２８と、サービス管理装置５０の公開鍵が記録されてもよい。特にサービス秘密鍵７２８については、セキュアな手段を用いて車両識別媒体７０に記録されることが望ましい。

　次に、図３５を用いて、車両６０の運転の依頼を希望する輸送依頼者がサービス管理装置５０に依頼の申請を行う際の処理の流れについて説明する。まず、輸送依頼者は、通信装置２０の入力部２３に対し、サービス管理装置５０への依頼申請のための操作を行う（ステップＳ２４０１）。通信装置２０は、輸送依頼者による操作に応じて、依頼申請要求をサービス管理装置５０に送信する（ステップＳ２４０２）。サービス管理装置５０は、依頼申請要求を受信すると、受信された依頼申請要求に応じて、依頼者情報要求を通信装置２０に送信する（ステップＳ２４０３）。依頼者情報要求とは、運転の対象となっている車両６０の依頼主である依頼希望者を示す識別情報の要求である。

　次に、通信装置２０と個人識別媒体１０との間で情報取得プロセス（ステップＳ２１０４～Ｓ２１０９）が実行される。情報取得プロセスの実行によって、依頼希望者の個人識別媒体１０から依頼者情報が取得される。通信装置２０は、依頼者情報をサービス管理装置５０へ送信する（ステップＳ２４０４）。サービス管理装置５０は、受信された依頼者情報の第一証明書について、改ざんの有無を判定する（ステップＳ２４０５）。改ざんがあると判定された場合、サービス管理装置５０はこれ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。一方、改ざんがないと判定された場合、サービス管理装置５０は、受信された第一電子証明書について失効判定を行う。第一電子証明書については、個人認証装置３０に対して個人失効判定プロセスを実行する。個人失効判定プロセスは、ステップＳ２１１２～Ｓ２１１４に記載の処理と同様の処理であるため、説明を省略する。

　サービス管理装置５０は、失効判定結果が失効を示す場合、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。一方、失効判定結果が失効を示していない場合、サービス管理装置５０は、依頼条件要求を通信装置２０に送信する（ステップＳ２４０６）。依頼条件要求は、運転の依頼に関する条件を示す情報の要求である。

　通信装置２０は、依頼条件要求を受信すると、運転の依頼に関する条件を入力することを輸送依頼者に対して促すための出力を行う。例えば、通信装置２０は、条件を入力するための画面を出力部２４に表示する。輸送依頼者は、入力部２３を操作することによって、依頼の条件を通信装置２０に入力する（ステップＳ２４０７）。通信装置２０は、入力された依頼の条件を示す依頼条件応答をサービス管理装置５０へ送信する（ステップＳ２４０８）。

　サービス管理装置５０は、依頼条件応答を受信すると、運転の対象として登録された車両６０に関する車両識別媒体７０に対し、存在判定プロセスを実行する（ステップＳ２４０９）。存在判定プロセスは、例えば特定の信号を車両識別媒体７０に対して送信することによって、対象の車両６０に関する車両識別媒体７０が利用可能な状態になっていることを確認するためのプロセスである。存在判定プロセスにおいて、対象の車両６０が利用可能な状態になっていることが確認された場合、サービス管理装置５０は、受信された依頼条件を示す情報を提供申請情報５２１として記憶部５２に登録する（ステップＳ２４１０）。一方、存在判定プロセスにおいて、対象の車両６０が利用可能な状態になっていることが確認されなかった場合、サービス管理装置５０は、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。サービス管理装置５０は、登録が完了すると、依頼条件の登録が完了したことを通信装置２０に通知する（ステップＳ２４１１）。通信装置２０は、依頼条件の登録通知を受信すると、登録が完了したことを示す情報を、出力部２４を介して出力する。例えば、通信装置２０は、登録が完了したことを示す画面を出力部２４に表示する（ステップＳ２４１２）。

　次に、図３６及び図３７を用いて、車両６０の運転を希望する運転希望者がサービス管理装置５０に運転の申請を行う際の処理の流れについて説明する。なお、図３６及び図３７において、車両識別媒体７０は車両６０の第一通信部６１と通信可能に接続されている。例えば、第一通信部６１が車載装置を用いて構成されている場合には、車載装置に設けられた差し込み口等の物理的インターフェースに車両識別媒体７０が差し込まれたままの状態であってもよい。まず、運転希望者は、通信装置２０の入力部２３に対し、サービス管理装置５０への運転申請のための操作を行う（ステップＳ２５０１）。通信装置２０は、運転希望者による操作に応じて、運転申請要求をサービス管理装置５０に送信する（ステップＳ２５０２）。サービス管理装置５０は、運転申請要求を受信すると、受信された運転申請要求に応じて、運転者情報要求を通信装置２０に送信する（ステップＳ２５０３）。運転者情報要求とは、運転希望者を示す識別情報の要求である。

　通信装置２０は、運転者情報要求を受信すると、情報取得プロセスを実行することによって、運転希望者の個人識別媒体１０を用いて署名付き運転者情報を取得する。署名付き運転者情報を取得するプロセスは、図１０のステップＳ１０４～Ｓ１０９と同様である。そのため、詳細の説明を省略する。通信装置２０は、署名付き運転者情報をサービス管理装置５０へ送信する（ステップＳ２５０４）。サービス管理装置５０は、受信された署名付き運転者情報について、改ざんの有無を判定する（ステップＳ２５０５）。改ざんがあると判定された場合、サービス管理装置５０はこれ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。一方、改ざんがないと判定された場合、サービス管理装置５０は、受信された署名付き運転者情報に含まれる第一電子証明書について失効判定を行う。第一電子証明書については、個人認証装置３０に対して個人失効判定プロセスを実行する。個人失効判定プロセスは、ステップＳ２１１２～Ｓ２１１４に記載の処理と同様の処理であるため、説明を省略する。

　サービス管理装置５０は、失効判定結果が失効を示す場合、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置５０は、通信装置２０に対してエラーを通知してもよい。一方、失効判定結果が失効を示していない場合、サービス管理装置５０は、運転条件要求を通信装置２０に送信する（ステップＳ２５０６）。運転条件要求は、車両の運転に関する条件を示す情報の要求である。運転に関する条件は、例えば車両６０に関する情報（車種や大きさなど）、運転の場所に関する情報、運転の時期を示す情報（例えば、利用開始日時と、利用終了日時と、を示す情報）を含む。運転に関する条件は、その他の条件をさらに有してもよい。

　通信装置２０は、運転条件要求を受信すると、車両の運転に関する条件を入力することを運転希望者に対して促すための出力を行う。例えば、通信装置２０は、条件を入力するための画面を出力部２４に表示する。運転希望者は、入力部２３を操作することによって、運転の条件を通信装置２０に入力する（ステップＳ２５０７）。通信装置２０は、入力された運転の条件を示す運転条件応答をサービス管理装置５０へ送信する（ステップＳ２５０８）。

　サービス管理装置５０は、運転条件応答を受信すると、記憶部５２に登録されている提供申請情報５２１のうち、受信された運転条件を満たす提供申請情報５２１を検索する。そして、サービス管理装置５０は、運転条件を満たす提供申請情報５２１の中から一つの提供申請情報５２１を選択し、選択された提供申請情報５２１に対応する車両を運転予定車両として決定する（ステップＳ２５０９）。サービス管理装置５０は、選択された提供申請情報５２１と、運転希望者に関する情報と、に基づいて利用申請情報５２２を生成し、記憶部５２に登録する。そして、サービス管理装置５０は、決定した運転予定車両を示す情報を通信装置２０に通知する（ステップＳ２５１０）。通信装置２０は、運転予定車両の情報通知を受信すると、運転予定車両を示す情報を、出力部２４を介して出力する。例えば、通信装置２０は、利用申請情報５２２の一部又は全てを示す画面を出力部２４に表示する（ステップＳ２５１１）。

　サービス管理装置５０は、利用申請情報５２２に基づいて利用許可証を生成する（ステップＳ２５１２）。サービス管理装置５０は、生成された利用許可証に対しデジタル署名を行う（ステップＳ２５１３）。サービス管理装置５０は、署名付き利用許可証を、利用許可証の対象となっている車両６０に送信する（ステップＳ２５１４）。その後、受信された署名付き利用許可証について、サービス管理装置５０の公開鍵とデジタル署名とを用いて改ざんされていないかが判定される（ステップＳ２５１５）。上述したように、この判定処理は、車両６０において行われてもよいし、車両識別媒体７０において行われてもよい。改ざんされている場合には、車両６０は処理を停止する。一方、改ざんされていない場合には、車両６０は自装置に接続されている車両識別媒体７０に対して利用許可証を書き込むための動作を行う（ステップＳ２５１６）。車両識別媒体７０の制御部７３は、車両６０による制御に応じて利用許可証を記憶部７２に記録する（ステップＳ２５１７）。

　次に、図３８を用いて、既に利用申請情報５２２が登録されている運転希望者が車両６０を利用する（運転する）際の処理の流れについて説明する。まず、運転希望者は、運転申請の際に用いられた個人識別媒体１０を、提供の車両６０に通信可能に接続する。車両６０は、自装置に個人識別媒体１０が接続されたことを検知すると、車両６０に接続された車両識別媒体７０から、記録されている利用許可証そのもの又は利用許可証に含まれる情報を読み出す（ステップＳ２６０１）。また、車両６０は、利用者（運転希望者）の個人識別媒体１０から、認証に用いられる情報（認証用情報）を読み出す（ステップＳ２６０２）。

　車両６０は、利用者（運転希望者）が正当な利用者（利用許可証が発行された運転希望者）であることを示す所定の条件を満たす場合には、車両６０の利用を許可することを判定する（ステップＳ２６０３）。一方、上記の所定の条件が満たされない場合には、車両６０は自車両の利用を許可しないことを判定する。判定結果に応じて、車両６０の主制御部６５１は車両６０の利用を可能にする動作を行う（ステップＳ２６０４）。車両６０は、操作の許可がなされると、運転希望者による利用が終了するまで運転希望者による車両６０の操作の履歴を記録する（ステップＳ２６０５）。車両６０は、運転希望者による利用が終了すると、それまでの間に記録された操作の履歴をサービス管理装置５０へ送信する。サービス管理装置５０は、操作の履歴を受信すると、受信された履歴の情報を実績情報５２３として記憶部５２に記録する。なお、図３８に示された処理の具体例として、図１９や図２０に示された処理が適用されてもよい。

　このように乗り継ぎ輸送に適用された制御システム１００においても、カーシェアリングに適用された制御システム１００と同趣旨の効果を奏することができる。また、このように乗り継ぎ輸送に適用された制御システム１００は、カーシェアリングに適用された制御システム１００と同趣旨の変形がなされてもよい。この場合、図１５に示される存在判定プロセス（ステップＳ４０９）は、図３５に示される存在判定プロセス（ステップＳ２４０９）に相当する。また、ステップＳ１１５における利用会員情報登録を実行する条件や、ステップＳ５１２における利用許可証生成の条件は、それぞれステップＳ２１１５における運転会員情報登録を実行する条件や、ステップＳ２５１２における利用許可証生成の条件に相当する。
　以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。

　本発明は、車両の利用の制御技術に適用可能である。

１００…制御システム，　１０…個人識別媒体，　１２１…第一電子証明書，　１２２…第一秘密鍵，　１２３…第二電子証明書，　１２４…第二秘密鍵，　１３１…通信制御部，　１３２…暗号化部，　２０…通信装置，　３００…個人認証局，　３０…個人認証装置，　３２１…個人電子証明書情報，　３２２…失効情報，　３３１…証明制御部，　３３２…失効判定部，　４００…車両認証局，　４０…車両認証装置，　４２１…車両電子証明書情報，　４２２…失効情報，　４３１…証明制御部，　４３２…失効判定部，　５０…サービス管理装置，　５２１…提供申請情報，　５２２…利用申請情報，　５２３…実績情報，　５２４…鍵情報，　５３１…情報取得部，　５３２…決定部，　５３３…利用許可証生成部，　５３４…実績管理部，　６０…車両，　７０…車両識別媒体，　７２１…車両識別情報，　７２２…車両属性情報，　７２３…所有者情報，　７２４…車両電子証明書，　７２５…車両秘密鍵，　７２６…利用許可証情報，　７２７…サービスＡＰ，　７２８…サービス秘密鍵

Claims

　車両の利用者に対して固有の情報である利用者情報を含む利用許可証を生成する利用許可証生成部と、
　前記利用許可証に対し、所定の秘密鍵を用いて電子署名を付与する暗号化部と、
　電子署名が付与された前記利用許可証について、前記秘密鍵に対応する公開鍵を用いて正当な利用許可証であることを示す所定の条件が満たされると判定された場合には、前記利用許可証を記憶する記憶媒体と、
　車両を利用しようとしている利用者の利用者情報又は利用者情報と対となる情報を記憶する個人識別媒体に記憶される情報と、前記記憶媒体に記憶された前記利用許可証に含まれる前記利用者情報と、が所定の条件を満たす場合に、前記利用者が前記車両の操作を可能にする動作を行う車両制御部と、
を備える車両制御システム。
　前記記憶媒体は、前記車両に関する自動車検査証を示す電子情報が記録された記憶媒体である、請求項１に記載の車両制御システム。
　前記利用許可証は、前記利用者に対して発行される識別媒体である個人識別媒体に記憶されている情報を含む、請求項１又は２に記載の車両制御システム。
　前記利用許可証は、前記利用者によってなされた前記車両の利用に関する申請の内容を示す利用申請情報をさらに含み、
　前記記憶媒体は、情報を出力可能な情報処理装置から受ける要求に応じて、前記利用申請情報を前記情報処理装置に送信する、
請求項１から３のいずれか一項に記載の車両制御システム。
　前記利用申請情報は、前記車両の提供に関して申請された情報である複数の提供申請情報のうち、前記利用者による条件を満たした提供申請情報に基づいて生成される、請求項１から４のいずれか一項に記載の車両制御システム。
　前記車両の利用の実績に関する情報を取得し、記憶部に記録する実績管理部をさらに備える、請求項１から５のいずれか一項に記載の車両制御システム。
　車両の利用者に対して固有の情報である利用者情報を含む利用許可証を生成する利用許可証生成部と、
　前記利用許可証に対し、所定の秘密鍵を用いて電子署名を付与する暗号化部と、
　電子署名が付与された前記利用許可証について、前記秘密鍵に対応する公開鍵を用いて正当な利用許可証であることを示す所定の条件が満たされると判定された場合には、前記利用許可証を記憶する記憶媒体に前記利用許可証が記憶されるように前記利用許可証を送信する、通信部と、
を備える情報処理装置。
　車両の利用者に対して固有の情報である利用者情報を含み所定の秘密鍵を用いて電子署名を付与された前記利用許可証について、前記秘密鍵に対応する公開鍵を用いて正当な利用許可証であることを示す所定の条件が満たされると判定された場合には、前記利用許可証を記憶する記憶媒体、を備える媒体。
　車両の利用者に対して固有の情報である利用者情報を含み所定の秘密鍵を用いて電子署名を付与された前記利用許可証について、前記秘密鍵に対応する公開鍵を用いて正当な利用許可証であることを示す所定の条件が満たされると判定された場合には、前記利用許可証を記憶する記憶媒体と通信する通信部と、
　車両を利用しようとしている利用者の利用者情報又は利用者情報と対となる情報を記憶する個人識別媒体に記憶される情報と、前記記憶媒体に記憶された前記利用許可証に含まれる前記利用者情報と、が所定の条件を満たす場合に、前記利用者が前記車両の操作を可能にする動作を行う車両制御部と、
を備える車両制御装置。
　車両の利用者に対して固有の情報である利用者情報を含み所定の秘密鍵を用いて電子署名を付与された前記利用許可証について、前記秘密鍵に対応する公開鍵を用いて正当な利用許可証であることを示す所定の条件が満たされると判定された場合に、前記利用許可証を記憶媒体に記録するコンピュータプログラム。