WO2021100831A1

WO2021100831A1 - 制御方法、装置、及び、プログラム

Info

Publication number: WO2021100831A1
Application number: PCT/JP2020/043283
Authority: WO
Inventors: 直央西田; 勇二海上
Original assignee: パナソニックインテレクチュアルプロパティコーポレーションオブアメリカ
Priority date: 2019-11-21
Filing date: 2020-11-19
Publication date: 2021-05-27
Also published as: JPWO2021100831A1; CN114730436A; US20220270102A1

Abstract

制御方法は、分散台帳を保有する複数の装置を備える電子取引における不正取引通報システムにおいて、複数の装置のうちの一の装置が実行する制御方法であって、一の取引が不正である疑いの通報を示す通報情報を含む通報トランザクションデータを取得し（Ｓ１０１）、取得した通報トランザクションデータを複数の装置のうちの複数の他の装置に転送し（Ｓ１０２）、かつ、通報トランザクションデータを一の装置の分散台帳（１０７）に格納し（Ｓ１０３）、通報に対する賛否情報を含む賛否トランザクションデータを取得し（Ｓ１０４、Ｓ１０５）、取得した賛否トランザクションデータを複数の他の装置に転送し（Ｓ１０６）、かつ、賛否トランザクションデータを一の装置の分散台帳（１０７）に格納し（Ｓ１０７）、賛否トランザクションデータに含まれる賛否情報に基づいて、通報が正しいか否かを判定する。

Description

制御方法、装置、及び、プログラム

　本開示は、制御方法、装置、及び、プログラムに関する。

　従来、電子商取引の普及により、個人間で電子商取引が行われており、その取引の中に不正取引が含まれることが問題となっている。

　例えば、特許文献１には、取引データを分析し、分析済みの取引データと、不正取引者データベースに格納された不正取引者データとを比較し、一部同じデータが検知された場合に警告する不正取引検知システムが開示されている。

特開２００６－９９９１３号公報

　しかしながら、特許文献１に開示されている方法では、不正取引を検知するための不正取引者データベースに一定以上の精度が要求されるため、適切に不正取引を検知することが難しいという問題がある。

　本開示は、上述の事情を鑑みてなされたもので、適切に不正取引を検知することができる制御方法、サーバ、及び、プログラムを提供することを目的とする。

　本開示の一態様に係る制御方法は、分散台帳を保有する複数の装置を備える電子取引における不正取引通報システムにおいて、前記複数の装置のうちの一の装置が実行する制御方法であって、一の取引が不正である疑いの通報を示す通報情報を含む通報トランザクションデータを取得し、取得した前記通報トランザクションデータを前記複数の装置のうちの複数の他の装置に転送し、かつ、前記通報トランザクションデータを前記一の装置の分散台帳に格納し、前記通報に対する賛否情報を含む賛否トランザクションデータを取得し、取得した前記賛否トランザクションデータを前記複数の他の装置に転送し、かつ、前記賛否トランザクションデータを前記一の装置の分散台帳に格納し、前記賛否トランザクションデータに含まれる前記賛否情報に基づいて、前記通報が正しいか否かを判定する。

　なお、これらの包括的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータで読み取り可能なＣＤ－ＲＯＭなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラム及び記録媒体の任意な組み合わせで実現されてもよい。

　本開示によれば、適切に不正取引を検知することができる。

図１は、実施の形態１に係る管理システムの構成の一例を示す図である。図２は、実施の形態１に係る取引サーバの構成の一例を示す図である。図３は、実施の形態１に係る端末の構成の一例を示す図である。図４は、実施の形態１に係る管理システムの不正取引検知処理の第１の例を示すシーケンス図である。図５は、実施の形態１に係る管理システムの不正取引検知処理の第１の例を示すシーケンス図である。図６は、実施の形態１に係る管理システムの不正取引検知処理の第２の例を示すシーケンス図である。図７は、実施の形態１に係る管理システムの不正取引検知処理の第２の例を示すシーケンス図である。図８は、実施の形態１における集計処理の一例を示すフローチャートである。図９は、実施の形態１に係る管理システムの不正取引検知処理の第３の例を示すシーケンス図である。図１０は、実施の形態２に係る管理システムの構成の一例を示す図である。図１１は、実施の形態２に係る端末の構成の一例を示す図である。図１２は、実施の形態２に係る管理システムの不正取引検知処理の第１の例を示すシーケンス図である。図１３は、実施の形態２に係る管理システムの不正取引検知処理の第１の例を示すシーケンス図である。図１４は、実施の形態２に係る管理システムの不正取引検知処理の第２の例を示すシーケンス図である。図１５は、実施の形態２に係る管理システムの不正取引検知処理の第２の例を示すシーケンス図である。図１６は、実施の形態２に係る管理システムの不正取引検知処理の第３の例を示すシーケンス図である。

　これによれば、分散台帳に格納されることで改ざんされにくい賛否情報に基づいて通報が正しいか否かを判定できる。このため、適切に不正取引を検知することができる。

　また、前記賛否トランザクションデータの取得では、複数のユーザが所有する複数の端末から複数の賛否トランザクションデータを取得し、前記判定では、前記複数の賛否トランザクションデータに含まれる複数の賛否情報に基づいて、前記複数の賛否情報のうちで賛成を示す賛否情報の数が所定の閾値よりも多い場合に前記通報が正しいと判定し、前記賛成を示す賛否情報の数が前記所定の閾値よりも少ない場合に前記通報が正しくないと判定してもよい。

　これによれば、複数の賛否情報を用いて、賛成の数が所定の閾値より多い場合に通報が正しいと判定し、所定の閾値よりも少ない場合に通報が正しくないと判定するため、より適切に不正取引を検知することができる。

　また、さらに、前記複数の賛否トランザクションデータを送信した前記複数のユーザのそれぞれに付与する第１のトークンの量を含む第１トークントランザクションデータを前記複数の他の装置に送信し、かつ、前記第１トークントランザクションデータを前記一の装置の分散台帳に格納してもよい。

　このため、投票者に投票を促すインセンティブを付与することができる。よって、投票者の数を増やすことができ、通報に対して偏った判定が為されることを抑制することができ、より適切に不正取引を検知することができる。

　また、さらに、前記複数の賛否トランザクションデータを送信した前記複数のユーザのそれぞれの第１信頼度が大きくなるように前記第１信頼度を更新し、更新された第１信頼度を含む第１信頼度トランザクションデータを前記複数の他の装置に転送し、かつ、前記第１信頼度トランザクションデータを前記一の装置の分散台帳に格納し、前記判定では、前記賛成の数を前記第１信頼度に基づく重みを用いて算出してもよい。

　このため、ユーザの信頼性が高いほど大きい重みが設定されるため、不正な投票により不正取引の誤検知をすることを抑制することができる。

　また、さらに、前記判定において前記通報が正しいと判定された場合、前記取引を中止してもよい。

　このため、不正取引が継続されることを抑制することができる。

　また、さらに、前記判定において前記通報が正しいと判定された場合、前記通報トランザクションデータを送信したユーザである通報者に付与する第２のトークンの量を含む第２トークントランザクションデータを前記複数の他の装置に送信し、かつ、前記第２トークントランザクションデータを前記一の装置の分散台帳に格納してもよい。

　このため、通報者に正しい通報を促すインセンティブを付与することができる。よって、より適切に不正取引を検知することができる。

　また、さらに、前記判定において前記通報が正しくないと判定された場合、前記通報トランザクションデータを送信したユーザである通報者に請求する第３のトークンの量を含む第３トークントランザクションデータを前記複数の他の装置に送信し、かつ、前記第３トークントランザクションデータを前記一の装置の分散台帳に格納してもよい。

　このため、通報者が不正な通報を行うことを抑制することができる。よって、より適切に不正取引を検知することができる。

　また、さらに、前記判定において前記通報が正しいと判定された場合、前記通報トランザクションデータを送信したユーザである通報者の信頼度が大きくなるように前記信頼度を更新し、更新された信頼度を含む信頼度トランザクションデータを前記複数の他の装置に転送し、かつ、前記信頼度トランザクションデータを前記一の装置の分散台帳に格納し、前記判定では、前記分散台帳に格納されている前記分散台帳の前記通報者の前記更新された信頼度が大きいほど小さい値に設定した前記所定の閾値を用いてもよい。

　このため、通報者が不正な通報をしても不正な通報が正しいと判定されにくくすることができる。よって、不正取引の誤検知を抑制することができる。

　また、さらに、前記取引のための第４のトークンの量を含む申し込み情報を、前記取引の申込者により操作された端末から取得し、前記取引に対する前記通報がなかった場合、又は、前記通報があっても正しくないと判定された場合、前記第４のトークンの量と同じ量のトークンを前記申込者に返還し、前記取引に対する前記通報があり、当該通報が正しいと判定された場合、前記第４のトークンの量と同じ量のトークンを前記申込者に返還しなくてもよい。

　これにより、通報者により、不正の疑いがない取引や、不正の疑いが薄い取引に対して通報が行われることを抑制することができる。

　また、前記第４のトークンの量は、前記申込者に定められた信頼度に応じた量に設定されてもよい。

　また、さらに、前記判定を実行させるための実行情報を含む実行トランザクションデータを取得し、前記複数の装置が保有する複数の分散台帳のそれぞれは、前記実行トランザクションデータに基づいて前記判定を実行するためのコントラクトコードを含み、前記判定では、前記実行トランザクションデータを取得すると、前記一の装置の分散台帳に含まれる前記コントラクトコードを実行することで前記判定を実行してもよい。

　また、前記賛否トランザクションデータに含まれる前記賛否情報は、暗号化されており、前記賛否トランザクションデータを送信した装置又は端末に、暗号化された前記賛否情報を復号する復号鍵を要求するための要求情報を送信することで、前記装置又は前記端末から前記復号鍵を取得し、暗号化された前記賛否情報を前記復号鍵で復号し、復号された前記賛否情報に基づいて、前記通報が正しいか否かを判定してもよい。

　また、前記要求情報の送信では、前記要求情報を含む要求トランザクションデータを前記複数の他の装置に送信し、かつ、前記要求トランザクションデータを前記一の装置の分散台帳に格納し、前記復号鍵の取得では、前記復号鍵を含む復号鍵トランザクションデータを前記複数の他の装置から取得し、前記復号鍵トランザクションデータを前記一の装置の分散台帳に格納してもよい。

　また、本開示の一態様に係る装置は、分散台帳を保有する複数の装置を備える電子取引における不正取引通報システムにおいて、前記複数の装置のうちの一の装置であって、プロセッサと、メモリと、を備え、前記プロセッサは、前記メモリを用いて、取引が不正である疑いの通報を示す通報情報を含む通報トランザクションデータを取得し、取得した前記通報トランザクションデータを前記複数の装置のうちの複数の他の装置に転送し、かつ、前記通報トランザクションデータを前記一の装置の分散台帳に格納し、前記通報に対する賛否情報を含む賛否トランザクションデータを取得し、取得した前記賛否トランザクションデータを前記複数の他の装置に転送し、かつ、前記賛否トランザクションデータを前記一の装置の分散台帳に格納し、前記賛否トランザクションデータに含まれる前記賛否情報に基づいて、前記通報が正しいか否かを判定する。

　また、本開示の一態様に係るプログラムは、分散台帳を保有する複数の装置を備える電子取引における不正取引通報システムにおいて、前記複数の装置のうちの一の装置が実行する制御方法をコンピュータに実行させるためのプログラムであって、取引が不正である疑いの通報を示す通報情報を含む通報トランザクションデータを取得し、取得した前記通報トランザクションデータを前記複数の装置のうちの複数の他の装置に転送し、かつ、前記通報トランザクションデータを前記一の装置の分散台帳に格納し、前記通報に対する賛否情報を含む賛否トランザクションデータを取得し、取得した前記賛否トランザクションデータを前記複数の他の装置に転送し、かつ、前記賛否トランザクションデータを前記一の装置の分散台帳に格納し、前記賛否トランザクションデータに含まれる前記賛否情報に基づいて、前記通報が正しいか否かを判定することをコンピュータに実行させるためのプログラムである。

　以下、図面を参照しながら、実施の形態について説明する。なお、以下で説明する実施の形態は、いずれも本開示の一具体例を示すものである。つまり、以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置及び接続形態、ステップ、ステップの順序などは、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素は、本開示の課題を達成するために必ずしも必要ではないが、より好ましい形態を構成する構成要素として説明される。

　（実施の形態１）
　まず、本開示に係るシステム構成について説明する。

　本開示に係る管理システムは、それぞれユーザにより使用される３以上の端末と、１以上の認証サーバとを備え、新たに締結された契約の契約書つまり契約内容を監査させ、監査結果を受けて有効化された契約書を台帳に格納する。以下では、図面を参照しながら、本実施の形態に係る管理システムの構成等の説明を行う。

　［管理システム］
　図１は、実施の形態１に係る管理システムの構成の一例を示す図である。

　本実施の形態に係る管理システムは、図１に示すように、例えば、取引サーバ１０と、端末２０ａ～２０ｘとを備える。これらは、ネットワークＮで接続されている。ネットワークＮは、例えば、インターネット、携帯電話のキャリアネットワークなどであるが、どのような通信回線またはネットワークから構成されてもよい。

　なお、以下では、端末２０ａ～端末２０ｘのそれぞれを端末２０とも称するが、端末２０ａ～端末２０ｘを端末Ａ～端末Ｘと称する場合もある。

　以下、取引サーバ１０について説明する。

　［取引サーバ１０］
　取引サーバ１０は、分散台帳を保有する複数の装置のうちの一の装置の一例である。取引サーバ１０は、取引事業者により管理されるサーバである。取引事業者は、例えば、複数のユーザに対して、電子商取引サービスを提供する事業者である。電子商取引サービスは、例えば、事業者と個人との間の取引のためのサービスを含んでいてもよいし、個人と個人との間の取引のためのサービスを含んでいてもよい。つまり、電子商取引サービスは、複数のユーザ間における取引のためのサービスを含んでいてもよい。電子商取引サービスによる取引は、ユーザ間において、物品とトークンとを交換する取引であってもよいし、サービスとトークンとを交換する取引であってもよい。

　図２は、実施の形態１に係る取引サーバ１０の構成の一例を示す図である。

　取引サーバ１０は、図２に示すように、通信部１０１と、判定部１０２と、情報生成部１０３と、トランザクションデータ生成部１０４と、トランザクションデータ検証部１０５と、記録部１０６と、分散台帳１０７とを備える。取引サーバ１０は、プロセッサがメモリを用いて所定のプログラムを実行することで実現され得る。以下、各構成要素について説明する。

　＜通信部１０１＞
　通信部１０１は、端末２０から、通報情報を含む通報トランザクションデータを受信する。通信部１０１は、端末２０から通報トランザクションデータを受信することで通報情報を取得する。通報情報は、取引が不正である疑いの通報を示す情報である。通報情報は、例えば、取引識別情報と、当該取引識別情報で示される取引に不正の疑いがあることを示す不正情報とを含む。通報情報は、さらに、通報したユーザを識別するユーザ識別情報を含んでいてもよい。ユーザ識別情報は、通報したユーザの電子署名であってもよい。不正情報は、対象の取引に不正の疑いがあることを示すだけでなく、不正の内容が示されていてもよい。不正の内容は、例えば、取引の対象となる物品又はサービスの実体が当該取引の名目とは異なる物品であること、取引の対象となる物品又はサービスに対して設定されている価格が標準的な価格から乖離していることなどである。標準的な価格から乖離しているとは、例えば、設定されている価格と標準的な価格との差が、標準的な価格の所定の割合の価格分より大きいことである。標準的な価格は、当該物品又は当該サービスと、同じ、同種又は同等の物品又はサービスが過去に取引されている実績に基づいて算出されてもよい。

　取引識別情報は、取引サービスにおいて扱われている取引を識別する情報である。取引識別情報は、例えば、取引ＩＤであってもよいし、取引の対象となる物品またはサービスを提供するユーザのユーザＩＤと、当該ユーザが取り扱う物品またはサービスのシリアル番号との組み合わせであってもよい。通信部１０１は、端末２０から通報情報を直接受信してもよい。

　また、通信部１０１は、端末２０から、賛否情報を含む賛否トランザクションデータを受信する。通信部１０１は、複数の端末２０から複数の賛否トランザクションデータを受信する。つまり、通信部１０１は、各端末２０から賛否トランザクションデータを受信することで、複数の賛否トランザクションデータを取得する。賛否情報は、通報に対する賛否を示す情報、つまり、通報に対して賛成であるか反対であるかを示す情報である。賛否情報は、端末２０のユーザによる、通報に対する賛否を示す情報を含む。賛否情報は、例えば、賛否の対象となる通報を示す通報情報を識別する通報識別情報と、当該通報に対する賛否を示す情報とを含む。賛否情報は、さらに、賛否の判定を行ったユーザを識別するユーザ識別情報を含んでいてもよい。ユーザ識別情報は、賛否の判定を行ったユーザの電子署名であってもよい。賛否情報は、賛成および反対の他に不明を示してもよい。

　また、賛否情報は、暗号化されていてもよい。賛否情報は、例えば、当該賛否情報が含まれる賛否トランザクションデータを送信した端末２０が保有する秘密鍵により暗号化されていてもよい。通信部１０１は、複数の端末２０から賛否情報を直接受信してもよい。

　また、通信部１０１は、要求情報を含む要求トランザクションデータを複数の端末２０に送信する。要求情報は、暗号化された賛否情報を復号する復号鍵を、当該賛否情報が含まれる賛否トランザクションデータを送信した複数の端末２０に要求するための情報である。要求する復号鍵は、例えば、各端末２０が保有する秘密鍵と対の関係にある公開鍵であってもよい。通信部１０１は、各端末２０へ要求情報を直接送信してもよい。

　また、通信部１０１は、復号鍵を含む復号鍵トランザクションデータを受信する。具体的には、通信部１０１は、要求情報を含む要求トランザクションデータを複数の端末２０へ送信することで、復号鍵を複数の端末２０から取得する。通信部１０１は、複数の端末２０から復号鍵を直接受信してもよい。

　また、通信部１０１は、第１のトークンの量を含む第１トークントランザクションデータを複数の端末２０に送信する。第１のトークンの量は、複数の賛否トランザクションデータを送信した複数のユーザである複数の投票者に付与するトークンの量を示す。言い換えると、第１のトークンの量は、複数の投票者に渡すトークンの量を示す。なお、第１のトークンの量は、賛否トランザクションデータを送信したユーザが１人である場合、１人の投票者に付与するトークンの量を示す。

　また、通信部１０１は、第２のトークンの量を含む第２トークントランザクションデータを複数の端末２０に送信する。第２のトークンの量は、通報トランザクションデータを送信したユーザである通報者に付与するトークンの量を示す。言い換えると、第２のトークンの量は、通報者に渡すトークンの量を示す。

　また、通信部１０１は、第３のトークンの量を含む第３トークントランザクションデータを複数の端末２０に送信する。第３のトークンの量は、通報トランザクションデータを送信したユーザである通報者から徴収するトークンの量を示す。言い換えると、第３のトークンの量は、通報者から受け取るトークンの量を示す。

　また、通信部１０１は、複数の端末２０との間で各トランザクションデータのやり取りを行う。具体的には、通信部１０１は、複数の端末２０へ各トランザクションデータを転送したり、複数の端末２０から転送された各トランザクションデータを受信したりする。なお、各トランザクションデータは、通報トランザクションデータ、賛否トランザクションデータ、要求トランザクションデータ、復号鍵トランザクションデータ、第１トークントランザクションデータ、第２トークントランザクションデータ及び第３トークントランザクションデータのうちの１つを含む。

　このように、通信部１０１は、ネットワークＮを介して複数の端末２０との間で通信を行う。なお、この通信は、ＴＬＳ（Transport Layer Security）によりなされてもよく、ＴＬＳ通信用の暗号鍵は通信部１０１で保持してもよい。

　＜判定部１０２＞
　判定部１０２は、通信部１０１により取得された賛否トランザクションデータに含まれる賛否情報に基づいて、通信部１０１により取得された通報トランザクションデータに含まれる通報情報で示される通報が正しいか否かを判定する。具体的には、判定部１０２は、通信部１０１により取得された複数の賛否トランザクションデータに含まれる複数の賛否情報に基づいて、当該複数の賛否情報のうちで賛成を示す賛否情報の数が所定の閾値よりも多い場合に通報が正しいと判定し、賛成を示す賛否情報の数が所定の閾値よりも少ない場合に通報が正しくないと判定する。つまり、取引サーバ１０は、複数の端末２０から複数の賛否情報を集めることで、複数のユーザが通報に対する賛否の投票を受け付け、投票結果において賛成票が所定の閾値よりも多い場合に通報が正しいと判定し、賛成票が所定の閾値よりも少ない場合に通報が正しくないと判定する。なお、賛成票が所定の閾値と等しい場合は、通報が正しいと判定してもよいし、通報が正しくないと判定してもよいし、不明と判定してもよい。

　所定の閾値は、例えば、通信部１０１により取得された賛否トランザクションデータの数、又は、賛否情報の数を基準として算出される過半数であってもよいし、賛否トランザクションデータの数、又は、賛否情報の数に所定の割合を乗じることで算出される数であってもよい。所定の割合は、例えば、４０％～６０％のうちの固定値であってもよいし、４０％～６０％のうちで所定の条件に応じて変動する変動値であってもよい。

　＜情報生成部１０３＞
　情報生成部１０３は、例えば、要求情報を生成する。また、情報生成部１０３は、例えば、第１のトークンの量を生成する。また、情報生成部１０３は、例えば、第２のトークンの量を生成する。また、情報生成部１０３は、例えば、第３のトークンの量を生成する。要求情報、第１のトークンの量、第２のトークンの量、及び、第３のトークンの量の詳細の説明は、上述において説明したため、省略する。

　＜トランザクションデータ生成部１０４＞
　トランザクションデータ生成部１０４は、要求トランザクションデータを生成する。本実施の形態では、トランザクションデータ生成部１０４は、情報生成部１０３により生成された要求情報を含む要求トランザクションデータを生成する。

　また、トランザクションデータ生成部１０４は、第１トークントランザクションデータを生成する。本実施の形態では、トランザクションデータ生成部１０４は、情報生成部１０３により生成された第１のトークンの量を含む第１トークントランザクションデータを生成する。第１トークントランザクションデータは、第１のトークンの量の他に、投票者であるユーザを識別するユーザ識別情報を含んでいてもよい。

　また、トランザクションデータ生成部１０４は、第２トークントランザクションデータを生成する。本実施の形態では、トランザクションデータ生成部１０４は、情報生成部１０３により生成された第２のトークンの量を含む第２トークントランザクションデータを生成する。第２トークントランザクションデータは、第２のトークンの量の他に、通報者であるユーザを識別するユーザ識別情報を含んでいてもよい。

　また、トランザクションデータ生成部１０４は、第３トークントランザクションデータを生成する。本実施の形態では、トランザクションデータ生成部１０４は、情報生成部１０３により生成された第３のトークンの量を含む第３トークントランザクションデータを生成する。第３トークントランザクションデータは、第３のトークンの量の他に、通報者であるユーザを識別するユーザ識別情報を含んでいてもよい。

　トランザクションデータ生成部１０４は、通信部１０１を介して、生成した要求トランザクションデータを複数の端末２０に送信する。また、トランザクションデータ生成部１０４は、通信部１０１を介して、生成した第１トークントランザクションデータを複数の端末２０に送信する。また、トランザクションデータ生成部１０４は、通信部１０１を介して、生成した第２トークントランザクションデータを複数の端末２０に送信する。また、トランザクションデータ生成部１０４は、通信部１０１を介して、生成した第３トークントランザクションデータを複数の端末２０に送信する。

　＜トランザクションデータ検証部１０５＞
　トランザクションデータ検証部１０５は、通信部１０１がトランザクションデータを受信したとき、そのトランザクションデータの正当性を検証する。例えば、トランザクションデータ検証部１０５は、通信部１０１が受信したトランザクションデータに、正しい方法で生成された電子署名が付与されているかなどを検証する。なお、この検証はスキップされてもよい。ここで、通信部１０１が受信するトランザクションデータは、通報トランザクションデータ、賛否トランザクションデータ、要求トランザクションデータ、復号鍵トランザクションデータ、第１トークントランザクションデータ、第２トークントランザクションデータ及び第３トークントランザクションデータのいずれかである。

　また、トランザクションデータ検証部１０５は、複数の端末２０とともに、トランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行する。

　ここで、コンセンサスアルゴリズムには、ＰＢＦＴ（Practical Byzantine Fault Tolerance）が用いられてもよいし、その他の公知のコンセンサスアルゴリズムが用いられてもよい。公知のコンセンサスアルゴリズムとしては、例えばＰｏＷ（Proof of Work）またはＰｏＳ（Proof of Stake）などがある。コンセンサスアルゴリズムにＰＢＦＴが用いられる場合、トランザクションデータ検証部１０５は、複数の端末２０のそれぞれからトランザクションデータの検証が成功したか否かを示す報告を受け取り、当該報告の数が所定の数を超えたか否かを判定する。そして、トランザクションデータ検証部１０５は、当該報告の数が所定の数を超えたとき、コンセンサスアルゴリズムによってトランザクションデータの正当性が検証されたと判定すればよい。

　トランザクションデータ検証部１０５は、トランザクションデータの正当性を確認した場合、記録部１０６にそのトランザクションデータを記録させる。

　本実施の形態では、トランザクションデータ検証部１０５は、通信部１０１が受信した通報トランザクションデータ、賛否トランザクションデータ、要求トランザクションデータ、復号鍵トランザクションデータ、第１トークントランザクションデータ、第２トークントランザクションデータ及び第３トークントランザクションデータの正当性を検証する。

　＜記録部１０６＞
　記録部１０６は、トランザクションデータ検証部１０５により正当性の検証がなされたトランザクションデータをブロックに含めて分散台帳１０７に格納することで、トランザクションデータを記録する。

　なお、記録部１０６は、分散台帳１０７が内部に構成されていてもよい。

　＜分散台帳１０７＞
　分散台帳１０７は、取引情報及び通報情報を含む通報トランザクションデータ、通報情報及び賛否情報を含む賛否トランザクションデータ、要求情報を含む要求トランザクションデータ、復号鍵を含む復号鍵トランザクションデータ、第１のトークンの量を含む第１トークントランザクションデータ、第２のトークンの量を含む第２トークントランザクションデータ、及び、第３のトークンの量を含む第３トークントランザクションデータを格納している。

　続いて、端末２０ａ～端末２０ｘについて説明する。なお、端末２０ａ～端末２０ｘの構成は共通しているので、端末２０と称して説明する。

　［端末２０］
　端末２０は、ユーザにより使用される端末の一例である。端末２０は、例えばパーソナルコンピュータであってもよいし、スマートフォン及びタブレットなどの携帯端末であってもよい。複数の端末２０は、取引サーバ１０により提供される電子商取引サービスを利用している複数のユーザにより使用される端末である。複数のユーザは、例えば、取引の対象となる物品またはサービスを提供する第１ユーザと、第１ユーザにより提供される物品またはサービスと取引を行う第２ユーザとを含む。第１ユーザは、例えば、物品又はサービスの出品者であり、第２ユーザは、例えば、物品又はサービスの購入者である。

　図３は、実施の形態１に係る端末２０の構成の一例を示す図である。

　本実施の形態に係る端末２０は、通信部２０１と、入力部２０２と、表示部２０３と、情報生成部２０４と、トランザクションデータ生成部２０５と、トランザクションデータ検証部２０６と、記録部２０７と、分散台帳２０８と、記憶部２０９とを備える。

　＜通信部２０１＞
　通信部２０１は、ネットワークＮを介して情報を取引サーバ１０又は他の端末２０に送信したり、取引サーバ１０又は他の端末２０から情報を受信したりまたは通知されたりする。やり取りする情報は、各種のトランザクションデータを含む。

　このように、通信部２０１は、ネットワークＮを介して取引サーバ１０又は他の端末２０との間で通信を行う。なお、この通信は、ＴＬＳ（Transport Layer Security）によりなされてもよく、ＴＬＳ通信用の暗号鍵は通信部２０１で保持してもよい。

　＜入力部２０２＞
　入力部２０２は、ユーザの操作による情報入力を受け付ける。入力部２０２は、受け付けた情報入力を、表示部２０３に表示したり、情報生成部２０４に送信したり、通信部２０１に送信したりする。

　例えば、入力部２０２は、取引サーバ１０により提供されている取引に不正の疑いがあることを示す入力を通報として受け付けてもよい。入力部２０２は、当該取引を示す表示（ＵＩ：Ｕｓｅｒ　Ｉｎｔｅｒｆａｃｅ）において、通報と共にユーザの電子署名を受け付けてもよい。入力部２０２は、受け付けた通報と、ユーザの電子署名とを、情報生成部２０４に送信する。

　例えば、入力部２０２は、通報情報で示される通報に対する賛否を端末２０のユーザに確認するための表示（ＵＩ）への入力を、当該ユーザによる賛否の結果として受け付ける。この表示（ＵＩ）は、表示部２０３に表示される。入力部２０２は、ユーザの電子署名を受け付けてもよい。入力部２０２は、受け付けた賛否の結果と、ユーザの電子署名とを、情報生成部２０４に送信する。

　＜表示部２０３＞
　表示部２０３は、入力部２０２が受け付けた情報入力を表示する。表示部２０３は、取引サーバ１０から送信された情報を表示する。

　例えば、表示部２０３は、取引を示す表示（ＵＩ：Ｕｓｅｒ　Ｉｎｔｅｒｆａｃｅ）を表示してもよい。また、例えば、表示部２０３は、通報情報で示される通報に対する賛否を端末２０のユーザに確認するための表示（ＵＩ）を表示する。

　＜情報生成部２０４＞
　情報生成部２０４は、例えば、通報情報を生成する。また、情報生成部２０４は、例えば、賛否情報を生成する。情報生成部２０４は、賛否情報を暗号化してもよい。情報生成部２０４は、例えば、記憶部２０９に記憶されている端末２０の秘密鍵を用いて賛否情報を暗号化してもよい。なお、通報情報及び賛否情報の詳細の説明は、上述において説明したため、省略する。

　＜トランザクションデータ生成部２０５＞
　トランザクションデータ生成部２０５は、通報トランザクションデータを生成する。本実施の形態では、トランザクションデータ生成部２０５は、情報生成部２０４により生成された通報情報を含む通報トランザクションデータを生成する。

　また、トランザクションデータ生成部２０５は、賛否トランザクションデータを生成する。本実施の形態では、トランザクションデータ生成部２０５は、情報生成部２０４により生成された賛否情報を含む賛否トランザクションデータを生成する。

　また、トランザクションデータ生成部２０５は、復号鍵トランザクションデータを生成する。本実施の形態では、トランザクションデータ生成部２０５は、記憶部２０９に記憶されている端末２０の復号鍵を含む復号鍵トランザクションデータを生成する。復号鍵トランザクションデータは、復号鍵の他に、端末２０のユーザを識別するユーザ識別情報を含んでいてもよい。ユーザ識別情報は、端末２０のユーザの電子署名であってもよい。復号鍵は、例えば、端末２０に記憶されている秘密鍵と対の関係にある公開鍵である。

　トランザクションデータ生成部２０５は、通信部２０１を介して、生成した通報トランザクションデータを取引サーバ１０に送信する。また、トランザクションデータ生成部２０５は、通信部２０１を介して、生成した賛否トランザクションデータを取引サーバ１０に送信する。

　＜トランザクションデータ検証部２０６＞
　トランザクションデータ検証部２０６は、通信部２０１がトランザクションデータを受信したとき、そのトランザクションデータの正当性を検証する。なお、この検証はスキップされてもよい。

　また、トランザクションデータ検証部２０６は、他の端末２０及び取引サーバ１０とともに、トランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行する。トランザクションデータ検証部２０６は、トランザクションデータの正当性を確認した場合、記録部２０７にトランザクションデータを記録させる。

　本実施の形態では、トランザクションデータ検証部２０６は、通信部２０１が受信した通報トランザクションデータ、賛否トランザクションデータ、要求トランザクションデータ、復号鍵トランザクションデータ、第１トークントランザクションデータ、第２トークントランザクションデータ及び第３トークントランザクションデータの正当性を検証する。

　さらに、トランザクションデータ検証部２０６は、各トランザクションデータの正当性について合意するためのコンセンサスアルゴリズムを実行する。そして、トランザクションデータ検証部２０６は、各トランザクションデータの正当性を確認した場合、記録部２０７に各トランザクションデータを記録させる。

　＜記録部２０７＞
　記録部２０７は、トランザクションデータ検証部２０６により正当性の検証がなされたトランザクションデータをブロックに含めて分散台帳２０８に格納することで、そのトランザクションデータを記録する。

　なお、記録部２０７は、分散台帳２０８が内部に構成されていてもよい。

　＜分散台帳２０８＞
　分散台帳２０８は、取引情報及び通報情報を含む通報トランザクションデータ、通報情報及び賛否情報を含む賛否トランザクションデータ、要求情報を含む要求トランザクションデータ、復号鍵を含む復号鍵トランザクションデータ、第１のトークンの量を含む第１トークントランザクションデータ、第２のトークンの量を含む第２トークントランザクションデータ、及び、第３のトークンの量を含む第３トークントランザクションデータを格納している。

　＜記憶部２０９＞
　記憶部２０９は、端末２０の暗号化を行うための暗号鍵、及び、当該暗号鍵で暗号化されたデータを復号する復号鍵を記憶している。暗号鍵と復号鍵とは、対の関係にある。暗号鍵は、例えば、秘密鍵であり、復号鍵は、例えば、公開鍵である。

　［管理システムの動作等］
　次に、以上のように構成された管理システムの動作について説明する。

　図４及び図５は、実施の形態１に係る管理システムの不正取引検知処理の第１の例を示すシーケンス図である。図５は、図４の続きの処理を示す。

　図４及び図５で示される端末Ａ、端末Ｂ及び端末Ｃは、それぞれ、ユーザＡ、ユーザＢ及びユーザＣにより操作される端末２０である。つまり、端末Ａ、端末Ｂ及び端末Ｃは、複数の端末２０に含まれる。端末Ａは、取引サーバ１０により提供されている電子商取引サービスに、ユーザＡのユーザＩＤを用いて認証された端末である。端末Ｂは、取引サーバ１０により提供されている電子商取引サービスに、ユーザＢのユーザＩＤを用いて認証された端末である。端末Ｃは、取引サーバ１０により提供されている電子商取引サービスに、ユーザＣのユーザＩＤを用いて認証された端末である。

　まず、端末ＣのユーザＣが端末Ｃを用いて、電子商取引サービスで扱われている複数の取引のうちの一の取引に不正の疑いがあることを示す入力を行ったものとする。つまり、ユーザＣは、通報を行う通報者である。また、ユーザＡ及びユーザＢは、賛否について投票する投票者である。

　端末Ｃは、入力に基づいて生成された通報情報を含む通報トランザクションデータを取引サーバ１０へ送信する（Ｓ１０１）。

　次に、取引サーバ１０は、端末Ｃから受信した通報トランザクションデータを、端末Ｃを含む複数の端末２０へ転送する（Ｓ１０２）。

　次に、取引サーバ１０及び複数の端末２０は、コンセンサスアルゴリズムを実行し、通報トランザクションデータを含むブロックを生成して、分散台帳１０７、２０８に格納する（Ｓ１０３）。

　次に、端末Ａ及び端末Ｂのそれぞれは、賛否トランザクションデータを生成し、賛否トランザクションデータを取引サーバ１０へ送信する（Ｓ１０４、Ｓ１０５）。具体的には、端末Ａは、ステップＳ１０３の後で、通報トランザクションデータに含まれる通報情報で示される通報に対する賛否を確認するための表示（ＵＩ）を表示することで、ユーザＡに当該賛否の入力を促す。そして、端末Ａは、ユーザＡから賛否の入力を受け付けることで、賛否情報を生成し、生成された賛否情報を含む賛否トランザクションデータを生成する。なお、端末Ｂについても同様の処理が行われることで、賛否トランザクションデータが生成される。

　次に、取引サーバ１０は、端末Ａから受信した賛否トランザクションデータ、及び、端末Ｂから受信した賛否トランザクションデータを、端末Ａ及び端末Ｂを含む複数の端末２０へ転送する（Ｓ１０６）。

　次に、取引サーバ１０及び複数の端末２０は、コンセンサスアルゴリズムを実行し、賛否トランザクションデータを含むブロックを生成して、分散台帳１０７、２０８に格納する（Ｓ１０７）。なお、ステップＳ１０７では、端末Ａから受信した賛否トランザクションデータ、及び、端末Ｂから受信した賛否トランザクションデータをまとめて処理してもよいし、個別に処理してもよい。

　次に、取引サーバ１０は、投票終了条件が満たされたか否かを判定する（Ｓ１０８）。投票終了条件は、通報が行われた日時を基準として設定される当該日時よりも後の投票期限を過ぎることである。投票期限は、具体的には、通報が行われた日時から所定期間後の日時に設定される。投票期限は、所定期間で示されてもよいし、所定期間後の日時で示されてもよい。通報が行われた日時は、例えば、通報情報が生成された日時であってもよいし、取引サーバ１０が通報トランザクションデータを受信した日時であってもよい。また、投票終了条件は、取引サーバ１０が受信した通報トランザクションデータの数が所定の数に達することである。所定の数は、通報者以外のユーザの数の所定の割合の数であってもよい。

　取引サーバ１０は、投票終了条件が満たされたと判定した場合（Ｓ１０８でＹｅｓ）次のステップＳ１０９の処理を実行し、投票終了条件が満たされていないと判定した場合（Ｓ１０８でＮｏ）、端末Ａ及び端末Ｂからの賛否トランザクションデータの受信、転送、及び、コンセンサスアルゴリズムの実行を待機する。

　ステップＳ１０９では、取引サーバ１０は、要求トランザクションデータを生成し、要求トランザクションデータを複数の端末２０へ送信する（Ｓ１０９）。

　次に、取引サーバ１０及び複数の端末２０は、コンセンサスアルゴリズムを実行し、要求トランザクションデータを含むブロックを生成して、分散台帳１０７、２０８に格納する（Ｓ１１０）。

　次に、端末Ａ及び端末Ｂのそれぞれは、復号鍵トランザクションデータを生成し、復号鍵トランザクションデータを取引サーバ１０へ送信する（Ｓ１１１、Ｓ１１２）。具体的には、端末Ａは、ステップＳ１１０の後で、要求トランザクションデータに含まれる要求情報に応じて、記憶部２０９に記憶されている復号鍵を含む復号鍵トランザクションデータを生成する。なお、端末Ｂについても同様の処理が行われることで、復号鍵トランザクションデータが生成される。

　次に、取引サーバ１０は、端末Ａから受信した復号鍵トランザクションデータ、及び、端末Ｂから受信した復号鍵トランザクションデータを、端末Ａ及び端末Ｂを含む複数の端末２０へ転送する（Ｓ１１３）。

　次に、取引サーバ１０及び複数の端末２０は、コンセンサスアルゴリズムを実行し、復号鍵トランザクションデータを含むブロックを生成して、分散台帳１０７、２０８に格納する（Ｓ１１４）。

　次に、取引サーバ１０は、端末Ａ及び端末Ｂのそれぞれから取得した賛否トランザクションデータ及び復号鍵トランザクションデータを用いて、投票結果を集計する（Ｓ１１５）。具体的には、取引サーバ１０は、各端末２０から取得した復号鍵トランザクションデータに含まれる復号鍵を用いて、当該端末２０から取得した賛否トランザクションデータに含まれる暗号化された賛否情報を復号する。取引サーバ１０は、例えば、復号した賛否情報が賛成を示している場合、賛成のカウント値に１を加える。さらに、取引サーバ１０は、例えば、復号した賛否情報が反対を示している場合、反対のカウント値に１を加えてもよい。取引サーバ１０は、受信した複数の賛否トランザクションデータのそれぞれについて、上記の処理を繰り返すことで、賛成の数（あるいは反対の数）をカウントする。賛成の数は、言い換えると、取引サーバ１０が受信した複数の賛否トランザクションデータに含まれる複数の賛否情報のうちで、賛成を示す賛否情報の数である。このように、取引サーバ１０は、賛成の数（あるいは反対の数）をカウントすることで、投票結果を集計する。

　次に、取引サーバ１０は、通報が成功したか否かを判定する（Ｓ１１６）。具体的には、取引サーバ１０は、賛成の数（つまり賛成を示す賛否情報の数）が所定の閾値よりも多い場合に通報が成功したと判定し、賛成の数が所定の閾値よりも少ない場合に通報が失敗したと判定する。通報が成功したとは、通報が正しいと言い換えることもでき、通報が失敗したとは、通報が正しくないと言い換えることもできる。

　取引サーバ１０は、通報が成功したと判定した場合（Ｓ１１６でＹｅｓ）、通報された取引を中止する（Ｓ１１７）。具体的には、取引サーバ１０は、通報された取引が中止されたか否かを示すフラグをＯＮにする、つまり、フラグの値を、取引中であることを示す値から中止されたことを示す値に切り替えることで、取引を中止してもよい。取引サーバ１０は、取引が中止されると、電子商取引サービスにおいて、当該取引が中止されていることを示す表示をしてもよいし、当該取引に対するユーザからの入力を受け付けない状態に変更してもよい。

　次に、取引サーバ１０は、第１トークントランザクションデータ及び第２トークントランザクションデータを生成する（Ｓ１１８）。

　次に、取引サーバ１０は、生成した第１トークントランザクションデータ及び第２トークントランザクションデータを複数の端末２０に送信する（Ｓ１１９）。

　次に、取引サーバ１０及び複数の端末２０は、コンセンサスアルゴリズムを実行し、第１トークントランザクションデータを含むブロック、及び、第２トークントランザクションデータを含むブロックを生成して、これらのブロックを分散台帳１０７、２０８に格納する（Ｓ１２０）。これにより、取引サーバ１０では、投票者には第１のトークンの量のトークンが付与される処理が実行され、通報者には第２のトークンの量のトークンが付与される処理が実行される。取引サーバ１０は、各投票者の端末２０に対して、当該投票者に第１のトークンの量のトークンが付与された旨の通知を行ってもよい。また、取引サーバ１０は、通報者の端末２０に対して、当該通報者に第２のトークンの量のトークンが付与された旨の通知を行ってもよい。

　なお、取引サーバ１０は、ステップＳ１１８において、第１のトークンの量及び第２のトークンの量を含むトークントランザクションデータを生成してもよい。取引サーバ１０は、ステップＳ１１９において、生成したトークントランザクションデータを複数の端末２０に送信してもよい。そして、取引サーバ１０及び複数の端末２０は、ステップＳ１２０において、コンセンサスアルゴリズムを実行し、トークントランザクションデータを含むブロックを生成して、分散台帳１０７、２０８に格納してもよい。

　取引サーバ１０は、通報が失敗したと判定した場合（Ｓ１１６でＮｏ）、第３トークントランザクションデータを生成する（Ｓ１２１）。

　次に、取引サーバ１０は、生成した第３トークントランザクションデータを複数の端末２０に送信する（Ｓ１２２）。

　次に、取引サーバ１０及び複数の端末２０は、コンセンサスアルゴリズムを実行し、第３トークントランザクションデータを含むブロックを生成して、分散台帳１０７、２０８に格納する（Ｓ１２３）。これにより、取引サーバ１０では、通報者から第３のトークンの量のトークンを徴収する処理が実行される。取引サーバ１０は、通報者の端末２０に対して、当該通報者に第３のトークンの量のトークンが徴収された旨の通知を行ってもよい。

　なお、取引サーバ１０は、ステップＳ１２１において、さらに第１トークントランザクションデータを生成してもよい。この場合、取引サーバ１０は、ステップＳ１２２において、さらに生成した第１トークントランザクションデータを複数の端末２０に送信する。そして、取引サーバ１０及び複数の端末２０は、ステップＳ１２３において、さらに、コンセンサスアルゴリズムを実行し、第１トークントランザクションデータを含むブロックを生成して、分散台帳１０７、２０８に格納してもよい。これにより、取引サーバ１０では、投票者には第１のトークンの量のトークンが付与される処理が実行される。取引サーバ１０は、各投票者の端末２０に対して、当該投票者に第１のトークンの量のトークンが付与された旨の通知を行ってもよい。

　図６及び図７は、実施の形態１に係る管理システムの不正取引検知処理の第２の例を示すシーケンス図である。図７は、図６の続きの処理を示す。

　第２の例は、第１の例において行われる各処理をスマートコントラクトで実行する例である。つまり、第２の例では、分散台帳１０７、２０８に、第１の例において行われる各処理を実行するコントラクトコードが格納されている。各処理とは、賛否情報を受け付ける処理（つまり、投票する処理）、投票終了条件を判定する処理、賛否情報を復号する処理、投票結果を集計する処理、通報が正しいか否かを判定する処理、取引を中止する処理、及び、トークンを通報者又は投票者に付与又は徴収する処理のいずれかを含む。図６及び図７では、これらの処理の全てがスマートコントラクトで実行される例について説明するが、これに限らない。例えば、これらの処理の一部がスマートコントラクトで実行され、残りの一部がスマートコントラクトで実行されずに取引サーバ１０及び複数の端末２０のうちの１つの装置により実行されてもよい。

　図６及び図７で示される端末Ａ、端末Ｂ及び端末Ｃは、第１の例と同じである。また、ユーザＡ、ユーザＢ及びユーザＣも、第１の例と同じである。

　まず、第１の例のステップＳ１０１～Ｓ１０７と同じ処理が行われる。

　次に、取引サーバ１０及び複数の端末２０は、賛否トランザクションデータについてコンセンサスアルゴリズムが実行されると、スマートコントラクトによって投票関数を実行する（Ｓ１３１～Ｓ１３４）。第２の例では、賛否トランザクションデータは、スマートコントラクトアドレスと、実行関数としての投票関数と、引数としての賛否情報と、各ユーザのユーザＩＤとを含む。各ユーザのユーザＩＤは、賛否トランザクションデータを生成した端末２０を保有するユーザのユーザＩＤである。投票関数は、賛否を投票する処理を実行するための関数である。ステップＳ１３１～Ｓ１３４のそれぞれの処理は、賛否トランザクションデータの数だけ行われる。つまり、ステップＳ１３１～Ｓ１３４のそれぞれの処理は、投票の数だけ行われる。

　次に、端末Ａ及び端末Ｂのそれぞれは、確認トランザクションデータを生成し、確認トランザクションデータを取引サーバ１０へ送信する（Ｓ１３５、Ｓ１３６）。具体的には、端末Ａは、ステップＳ１３１の後で、投票が終了したか否かの確認を実行するための確認関数を含む確認トランザクションデータを生成し、生成した確認トランザクションデータを取引サーバ１０へ送信する。確認トランザクションデータは、スマートコントラクトアドレスと、実行関数としての終了確認関数と、引数としての現在時刻と、各ユーザのユーザＩＤとを含む。各ユーザのユーザＩＤは、確認トランザクションデータを生成した端末２０を保有するユーザのユーザＩＤである。つまり、ユーザＩＤは、端末２０が端末Ａの場合には、ユーザＡのユーザＩＤである。端末Ａは、ステップＳ１３１の後で定期的に、確認トランザクションデータを生成し、生成した確認トランザクションデータを取引サーバ１０へ送信する。なお、端末Ｂについても同様の処理が行われることで、確認トランザクションデータが生成され、生成された確認トランザクションデータが取引サーバ１０へ送信される。

　次に、取引サーバ１０は、端末Ａから受信した確認トランザクションデータ、及び、端末Ｂから受信した確認トランザクションデータを、端末Ａ及び端末Ｂを含む複数の端末２０へ転送する（Ｓ１３７）。

　次に、取引サーバ１０及び複数の端末２０は、コンセンサスアルゴリズムを実行し、確認トランザクションデータを含むブロックを生成して、分散台帳１０７、２０８に格納する（Ｓ１３８）。

　次に、取引サーバ１０及び複数の端末２０のそれぞれは、確認トランザクションデータについてコンセンサスアルゴリズムが実行されると、スマートコントラクトによって終了確認関数を実行する（Ｓ１３９～Ｓ１４６）。終了確認関数は、投票終了条件を判定するための関数である。具体的には、取引サーバ１０及び複数の端末２０のそれぞれは、終了確認関数を実行することで、投票終了条件が満たされたか否かを判定する（Ｓ１３９～Ｓ１４２）。この処理は、第１の例のステップＳ１０８と同様であるので詳細な説明を省略する。投票終了条件が満たされたと判定した場合（Ｓ１３９～Ｓ１４２でＹｅｓ）、取引サーバ１０及び複数の端末２０は、投票完了フラグをＯＮにする、つまり、フラグの値を投票が未完了を示す値から投票が完了したことを示す値に切り替える（Ｓ１４３～Ｓ１４６）。取引サーバ１０及び複数の端末２０のそれぞれは、投票終了条件が満たされていないと判定した場合（Ｓ１３９～Ｓ１４２でＮｏ）、ステップＳ１３９～Ｓ１４２の処理に戻る。

　次に、端末Ａ及び端末Ｂは、投票完了フラグがＯＮであることを確認する（Ｓ１４７、Ｓ１４８）。

　次に、端末Ａ及び端末Ｂは、投票完了フラグがＯＮである場合、復号鍵トランザクションデータを生成し、復号鍵トランザクションデータを取引サーバ１０へ送信する（Ｓ１４９、Ｓ１５０）。具体的には、端末Ａは、ステップＳ１４７の後で、復号鍵トランザクションデータを生成し、生成した復号鍵トランザクションデータを取引サーバ１０へ送信する。第２の例において、復号鍵トランザクションデータは、スマートコントラクトアドレスと、実行関数としての復号関数と、引数としての復号鍵と、各ユーザのユーザＩＤとを含む。各ユーザのユーザＩＤは、復号鍵トランザクションデータを生成した端末２０を保有するユーザのユーザＩＤである。つまり、ユーザＩＤは、端末２０が端末Ａの場合には、ユーザＡのユーザＩＤである。なお、端末Ｂについても同様の処理が行われることで、復号鍵トランザクションデータが生成され、生成された復号鍵トランザクションデータが取引サーバ１０へ送信される。

　次に、取引サーバ１０は、端末Ａから受信した復号鍵トランザクションデータ、及び、端末Ｂから受信した復号鍵トランザクションデータを、端末Ａ及び端末Ｂを含む複数の端末２０へ転送する（Ｓ１５１）。

　次に、取引サーバ１０及び複数の端末２０は、コンセンサスアルゴリズムを実行し、確認トランザクションデータを含むブロックを生成して、分散台帳１０７、２０８に格納する（Ｓ１５２）。

　次に、取引サーバ１０及び複数の端末２０は、復号鍵トランザクションデータについてコンセンサスアルゴリズムが実行されると、スマートコントラクトによって復号関数を実行する（Ｓ１５３～Ｓ１５６）。復号関数は、暗号化された賛否情報を、復号鍵を用いて復号するための関数である。具体的には、取引サーバ１０及び複数の端末２０のそれぞれは、各端末２０から取得した復号鍵トランザクションデータに含まれる復号鍵を用いて、当該端末２０から取得した賛否トランザクションデータに含まれる暗号化された賛否情報を復号する。復号結果は、例えば、取引サーバ１０及び複数の端末２０のそれぞれが備える記憶部に記憶される。復号結果は、一時的に記憶部に記憶されてもよい。ステップＳ１５３～Ｓ１５６のそれぞれの処理は、復号鍵トランザクションデータの数だけ行われる。つまり、ステップＳ１５３～Ｓ１５６のそれぞれの処理は、復号鍵の数だけ行われる。

　次に、端末Ａ及び端末Ｂのそれぞれは、集計トランザクションデータを生成し、集計トランザクションデータを取引サーバ１０へ送信する（Ｓ１５７、Ｓ１５８）。具体的には、端末Ａは、ステップＳ１５３の後で、投票結果を集計するための集計関数を含む集計トランザクションデータを生成し、生成した集計トランザクションデータを取引サーバ１０へ送信する。集計トランザクションデータは、スマートコントラクトアドレスと、実行関数としての集計関数と、引数としての現在時刻と、各ユーザのユーザＩＤとを含む。各ユーザのユーザＩＤは、集計トランザクションデータを生成した端末２０を保有するユーザのユーザＩＤである。つまり、ユーザＩＤは、端末２０が端末Ａの場合には、ユーザＡのユーザＩＤである。端末Ａは、ステップＳ１５３の後で定期的に、集計トランザクションデータを生成し、生成した集計トランザクションデータを取引サーバ１０へ送信する。なお、端末Ｂについても同様の処理が行われることで、集計トランザクションデータが生成され、生成された集計トランザクションデータが取引サーバ１０へ送信される。

　次に、取引サーバ１０は、端末Ａから受信した集計トランザクションデータ、及び、端末Ｂから受信した集計トランザクションデータを、端末Ａ及び端末Ｂを含む複数の端末２０へ転送する（Ｓ１５９）。

　次に、取引サーバ１０及び複数の端末２０は、コンセンサスアルゴリズムを実行し、集計トランザクションデータを含むブロックを生成して、分散台帳１０７、２０８に格納する（Ｓ１６０）。

　次に、取引サーバ１０及び複数の端末２０のそれぞれは、集計トランザクションデータについてコンセンサスアルゴリズムが実行されると、スマートコントラクトによって集計関数を実行する（Ｓ１６１～Ｓ１６８）。具体的には、取引サーバ１０及び複数の端末２０のそれぞれは、投票終了条件が満たされたか否かを判定する（Ｓ１６１～Ｓ１６４）。投票終了条件が満たされたと判定した場合（Ｓ１６１～Ｓ１６４でＹｅｓ）、取引サーバ１０及び複数の端末２０のそれぞれは、集計関数を実行する（Ｓ１６５～Ｓ１６８）。集計関数は、投票結果を集計するための関数である。取引サーバ１０及び複数の端末２０は、集計関数を実行することで、集計処理を行う。取引サーバ１０及び複数の端末２０は、投票終了条件が満たされていないと判定した場合（Ｓ１６１～Ｓ１６４でＮｏ）、ステップＳ１６１～Ｓ１６４の処理に戻る。

　図８は、実施の形態１における集計処理の一例を示すフローチャートである。

　集計処理が開始されると、取引サーバ１０及び複数の端末２０のそれぞれは、投票結果を集計する（Ｓ１７１）。具体的には、取引サーバ１０及び複数の端末２０のそれぞれは、例えば、復号した賛否情報が賛成を示している場合、賛成のカウント値に１を加える。さらに、取引サーバ１０及び複数の端末２０は、例えば、復号した賛否情報が反対を示している場合、反対のカウント値に１を加えてもよい。取引サーバ１０及び複数の端末２０は、受信した複数の賛否トランザクションデータのそれぞれについて、上記の処理を繰り返すことで、賛成の数（あるいは反対の数）をカウントする。賛成の数は、言い換えると、取引サーバ１０が受信した複数の賛否トランザクションデータに含まれる複数の賛否情報のうちで、賛成を示す賛否情報の数である。このように、取引サーバ１０及び複数の端末２０のそれぞれは、賛成の数（あるいは反対の数）をカウントすることで、投票結果を集計する。

　次に、取引サーバ１０及び複数の端末２０のそれぞれは、通報が成功したか否かを判定する（Ｓ１７２）。この判定は、第１の例のステップＳ１１６と同じであるので詳細な説明を省略する。

　取引サーバ１０及び複数の端末２０のそれぞれは、通報が成功したと判定した場合（Ｓ１７２でＹｅｓ）、通報された取引を中止する（Ｓ１７３）。この処理は、第１の例のステップＳ１１７と同じであるので詳細な説明を省略する。

　次に、取引サーバ１０及び複数の端末２０のそれぞれは、通報者に対して第２のトークンの量のトークンを付与する処理を実行する（Ｓ１７４）。なお、取引サーバ１０及び複数の端末２０のそれぞれは、投票者に第１のトークンの量のトークンが付与する処理を実行してもよい。

　一方で、取引サーバ１０及び複数の端末２０のそれぞれは、通報が失敗したと判定した場合（Ｓ１７２でＮｏ）、通報者に対して第３のトークンの量のトークンを徴収する処理を実行する（Ｓ１７５）。なお、取引サーバ１０及び複数の端末２０のそれぞれは、投票者に第１のトークンの量のトークンが付与する処理を実行してもよい。

　図９は、実施の形態１に係る管理システムの不正取引検知処理の第３の例を示すシーケンス図である。第３の例は、前半部分の処理が第２の例と共通しているため、第２の例と異なる処理について主に説明する。具体的には、第３の例は、第２の例の図６で説明した処理が共通している。図９は、図６の続きの処理を示す。

　第２の例では、復号処理と集計処理とを別々で行うとしたが、第３の例では、復号処理及び集計処理をまとめて行う。

　図６の続きの処理から説明する。

　ステップＳ１４７は、第２の例と同じである。

　次に、端末Ａ及び端末Ｂは、投票完了フラグがＯＮである場合、格納トランザクションデータを生成し、格納トランザクションデータを取引サーバ１０へ送信する（Ｓ１８１、Ｓ１８２）。具体的には、端末Ａは、ステップＳ１４７の後で、格納トランザクションデータを生成し、生成した格納トランザクションデータを取引サーバ１０へ送信する。格納トランザクションデータは、スマートコントラクトアドレスと、実行関数としての格納関数と、引数としての復号鍵と、各ユーザのユーザＩＤとを含む。各ユーザのユーザＩＤは、格納トランザクションデータを生成した端末２０を保有するユーザのユーザＩＤである。つまり、ユーザＩＤは、端末２０が端末Ａの場合には、ユーザＡのユーザＩＤである。なお、端末Ｂについても同様の処理が行われることで、格納トランザクションデータが生成され、生成された復号鍵トランザクションデータが取引サーバ１０へ送信される。

　次に、取引サーバ１０は、端末Ａから受信した格納トランザクションデータ、及び、端末Ｂから受信した格納トランザクションデータを、端末Ａ及び端末Ｂを含む複数の端末２０へ転送する（Ｓ１８３）。

　次に、取引サーバ１０及び複数の端末２０は、コンセンサスアルゴリズムを実行し、格納トランザクションデータを含むブロックを生成して、分散台帳１０７、２０８に格納する（Ｓ１８４）。

　次に、取引サーバ１０及び複数の端末２０は、格納トランザクションデータについてコンセンサスアルゴリズムが実行されると、スマートコントラクトによって格納関数を実行する（Ｓ１８５～Ｓ１８８）。格納関数は、復号鍵を各記憶部に格納するための関数である。具体的には、取引サーバ１０及び複数の端末２０は、各端末２０から取得した格納トランザクションデータに含まれる復号鍵を取引サーバ１０及び複数の端末２０のそれぞれが備える記憶部に格納する。ステップＳ１８５～Ｓ１８８のそれぞれの処理は、格納トランザクションデータの数だけ行われる。つまり、ステップＳ１８５～Ｓ１８８のそれぞれの処理は、復号鍵の数だけ行われる。

　次に、第２の例におけるステップＳ１５７～Ｓ１６０と同様の処理が行われる。

　次に、取引サーバ１０及び複数の端末２０は、集計トランザクションデータについてコンセンサスアルゴリズムが実行されると、スマートコントラクトによって集計関数を実行する（Ｓ１６１～Ｓ１６８、Ｓ１８９～Ｓ１９２）。具体的には、取引サーバ１０及び複数の端末２０は、投票終了条件が満たされたか否かを判定する（Ｓ１６１～Ｓ１６４）。投票終了条件が満たされたと判定した場合（Ｓ１６１～Ｓ１６４でＹｅｓ）、取引サーバ１０及び複数の端末２０のそれぞれは、賛否情報を復号する（Ｓ１８９～Ｓ１９２）。そして、取引サーバ１０及び複数の端末２０のそれぞれは、集計関数を実行する（Ｓ１６５～Ｓ１６８）。集計関数は、投票結果を集計するための関数である。取引サーバ１０及び複数の端末２０は、集計関数を実行することで、集計処理を行う。取引サーバ１０及び複数の端末２０は、投票終了条件が満たされていないと判定した場合（Ｓ１６１～Ｓ１６４でＮｏ）、ステップＳ１６１～Ｓ１６４の処理に戻る。なお、集計処理は、第２の例と同じであるため詳細な説明を省略する。

　［効果等］
　以上のように、実施の形態１に係る管理システム等によれば、分散台帳に格納されることで改ざんされにくい賛否情報に基づいて通報が正しいか否かを判定できる。このため、適切に不正取引を検知することができる。

　また、実施の形態１に係る管理システム等によれば、複数の賛否情報を用いて、賛成の数が所定の閾値より多い場合に通報が正しいと判定し、所定の閾値よりも少ない場合に通報が正しくないと判定するため、より適切に不正取引を検知することができる。

　また、実施の形態１に係る管理システム等によれば、投票者にトークンを渡すため、投票者に投票を促すインセンティブを付与することができる。よって、投票者の数を増やすことができ、通報に対して偏った判定が為されることを抑制することができ、より適切に不正取引を検知することができる。

　また、実施の形態１に係る管理システム等によれば、通報が正しいと判定された場合、取引を中止するため、不正取引が継続されることを抑制することができる。

　また、実施の形態１に係る管理システム等によれば、正しい通報を行った通報者に対してトークンを付与するため、通報者に正しい通報を促すインセンティブを付与することができる。よって、より適切に不正取引を検知することができる。

　また、実施の形態１に係る管理システム等によれば、不正な通報を行った通報者からトークンを徴収するため、通報者が不正な通報を行うことを抑制することができる。よって、より適切に不正取引を検知することができる。

　（実施の形態２）
　図１０は、実施の形態２に係る管理システムの構成の一例を示す図である。

　実施の形態２に係る管理システムは、図１０に示すように、実施の形態１に係る管理システムと比較して、複数の取引サーバ１０ａ～１０ｃを含む点、及び、端末２１ａ～２１ｘの構成が異なる。

　なお、以下では、取引サーバ１０ａ～取引サーバ１０ｃのそれぞれを取引サーバ１０とも称するが、取引サーバ１０ａ～取引サーバ１０ｃを取引サーバＡ～取引サーバＣと称する場合もある。また、端末２１ａ～端末２１ｘのそれぞれを端末２１とも称するが、端末２１ａ～端末２１ｘを端末Ａ～端末Ｘと称する場合もある。

　取引サーバ１０の構成は、実施の形態１と同様であるので詳細な説明を省略する。

　［端末２１］
　図１１は、実施の形態２に係る端末２１の構成の一例を示す図である。図３と同様の要素には同一の符号を付しており、詳細な説明を省略する。

　図１１に示す端末２１は、実施の形態１に係る端末２０からトランザクションデータ検証部２０６、記録部２０７、分散台帳２０８及び記憶部２０９を備えていない点で構成が異なる。なお、端末２１は、端末２０と同様の構成を有していてもよい。

　図１２及び図１３は、実施の形態２に係る管理システムの不正取引検知処理の第１の例を示すシーケンス図である。図１３は、図１２に示す処理の続きの処理を示す。

　図１２及び図１３で示される端末Ａ、端末Ｂ及び端末Ｃは、それぞれ、ユーザＡ、ユーザＢ及びユーザＣにより操作される端末２１である。つまり、端末Ａ、端末Ｂ及び端末Ｃは、複数の端末２１に含まれる。端末Ａは、取引サーバ１０ａ～１０ｃにより提供されている電子商取引サービスに、ユーザＡのユーザＩＤを用いて認証された端末である。端末Ｂは、取引サーバ１０ａ～１０ｃにより提供されている電子商取引サービスに、ユーザＢのユーザＩＤを用いて認証された端末である。端末Ｃは、取引サーバ１０ａ～１０ｃにより提供されている電子商取引サービスに、ユーザＣのユーザＩＤを用いて認証された端末である。

　端末Ｃは、入力に基づいて生成された通報情報を含む通報トランザクションデータを取引サーバ１０ａへ送信する（Ｓ２０１）。

　次に、取引サーバ１０ａは、端末Ｃから受信した通報トランザクションデータを、他の取引サーバ１０ｂ及び取引サーバ１０ｃへ転送する（Ｓ２０２）。

　次に、取引サーバ１０ａ～１０ｃは、コンセンサスアルゴリズムを実行し、通報トランザクションデータを含むブロックを生成して、分散台帳１０７に格納する（Ｓ２０３）。

　次に、取引サーバ１０ａは、通報トランザクションデータに含まれる通報情報を端末Ａ及び端末Ｂに通知する（Ｓ２０４）。

　なお、取引サーバ１０ａは、投票者として通報者以外のユーザ全員を選んでもよいし、投票者として通報者も含むユーザ全員を選んでもよいし、通報者以外の複数のユーザから一部のユーザをランダムに選んでもよい。取引サーバ１０ａは、投票者として選んだユーザが所有する端末２１へ通報情報を送信する。

　次に、端末Ａ及び端末Ｂのそれぞれは、賛否トランザクションデータを生成し、賛否トランザクションデータを取引サーバ１０ａへ送信する（Ｓ２０５、Ｓ２０６）。具体的には、端末Ａは、ステップＳ２０４の後で、通報情報で示される通報に対する賛否を確認するための表示（ＵＩ）を表示することで、ユーザＡに当該賛否の入力を促す。そして、端末Ａは、ユーザＡから賛否の入力を受け付けることで、賛否情報を生成し、生成された賛否情報を含む賛否トランザクションデータを生成する。なお、端末Ｂについても同様の処理が行われることで、賛否トランザクションデータが生成される。

　次に、取引サーバ１０ａは、端末Ａから受信した賛否トランザクションデータ、及び、端末Ｂから受信した賛否トランザクションデータを、他の取引サーバ１０ｂ及び取引サーバ１０ｃへ転送する（Ｓ２０７）。

　次に、取引サーバ１０ａ～１０ｃは、コンセンサスアルゴリズムを実行し、賛否トランザクションデータを含むブロックを生成して、分散台帳１０７に格納する（Ｓ２０８）。なお、ステップＳ２０８では、端末Ａから受信した賛否トランザクションデータ、及び、端末Ｂから受信した賛否トランザクションデータをまとめて処理してもよいし、個別に処理してもよい。

　次に、取引サーバ１０ａは、投票終了条件が満たされたか否かを判定する（Ｓ２０９）。なお、取引サーバ１０ｂ及び取引サーバ１０ｃも、ステップＳ２０９の判定を行ってもよい。ステップＳ２０９の判定は、ステップＳ１０８と同様である。

　取引サーバ１０ａは、投票終了条件が満たされた判定した場合（Ｓ２０９でＹｅｓ）次のステップＳ２１０の処理を実行し、投票終了条件が満たされていないと判定した場合（Ｓ２０９でＮｏ）、端末Ａ及び端末Ｂからの賛否トランザクションデータの受信、転送、及び、コンセンサスアルゴリズムの実行を待機する。

　ステップＳ２１０では、取引サーバ１０ａは、要求情報を生成し、生成した要求情報を複数の端末２１へ送信する（Ｓ２１０）。要求情報は、暗号化された賛否情報を復号する復号鍵を、当該賛否情報が含まれる賛否トランザクションデータを送信した複数の端末２１に要求するための情報である。

　次に、端末Ａ及び端末Ｂのそれぞれは、復号鍵トランザクションデータを生成し、復号鍵トランザクションデータを取引サーバ１０ａへ送信する（Ｓ２１１、Ｓ２１２）。具体的には、端末Ａは、ステップＳ２１０の後で、要求トランザクションデータに含まれる要求情報に応じて、記憶部２０９に記憶されている復号鍵を含む復号鍵トランザクションデータを生成する。なお、端末Ｂについても同様の処理が行われることで、復号鍵トランザクションデータが生成される。

　次に、取引サーバ１０ａは、端末Ａから受信した復号鍵トランザクションデータ、及び、端末Ｂから受信した復号鍵トランザクションデータを、取引サーバ１０ｂ及び取引サーバ１０ｃへ転送する（Ｓ２１３）。

　次に、取引サーバ１０ａ～１０ｃは、コンセンサスアルゴリズムを実行し、復号鍵トランザクションデータを含むブロックを生成して、分散台帳１０７に格納する（Ｓ２１４）。

　次に、取引サーバ１０ａは、端末Ａ及び端末Ｂのそれぞれから取得した賛否トランザクションデータ及び復号鍵トランザクションデータを用いて、投票結果を集計する（Ｓ２１５）。具体的には、取引サーバ１０ａは、各端末２１から取得した復号鍵トランザクションデータに含まれる復号鍵を用いて、当該端末２１から取得した賛否トランザクションデータに含まれる暗号化された賛否情報を復号する。取引サーバ１０ａは、例えば、復号した賛否情報が賛成を示している場合、賛成のカウント値に１を加える。さらに、取引サーバ１０ａは、例えば、復号した賛否情報が反対を示している場合、反対のカウント値に１を加えてもよい。取引サーバ１０ａは、受信した複数の賛否トランザクションデータのそれぞれについて、上記の処理を繰り返すことで、賛成の数（あるいは反対の数）をカウントする。賛成の数は、言い換えると、取引サーバ１０ａが受信した複数の賛否トランザクションデータに含まれる複数の賛否情報のうちで、賛成を示す賛否情報の数である。このように、取引サーバ１０ａは、賛成の数（あるいは反対の数）をカウントすることで、投票結果を集計する。

　次に、取引サーバ１０ａは、通報が成功したか否かを判定する（Ｓ２１６）。具体的には、取引サーバ１０ａは、賛成の数（つまり賛成を示す賛否情報の数）が所定の閾値よりも多い場合に通報が成功したと判定し、賛成の数が所定の閾値よりも少ない場合に通報が失敗したと判定する。通報が成功したとは、通報が正しいと言い換えることもでき、通報が失敗したとは、通報が正しくないと言い換えることもできる。

　取引サーバ１０ａは、通報が成功したと判定した場合（Ｓ２１６でＹｅｓ）、通報された取引を中止する（Ｓ２１７）。具体的には、取引サーバ１０ａは、通報された取引が中止されたか否かを示すフラグをＯＮにする、つまり、フラグの値を、取引中であることを示す値から中止されたことを示す値に切り替えることで、取引を中止してもよい。取引サーバ１０ａは、取引が中止されると、電子商取引サービスにおいて、当該取引が中止されていることを示す表示をしてもよいし、当該取引に対するユーザからの入力を受け付けない状態に変更してもよい。

　次に、取引サーバ１０ａは、第１トークントランザクションデータ及び第２トークントランザクションデータを生成する（Ｓ２１８）。

　次に、取引サーバ１０ａは、生成した第１トークントランザクションデータ及び第２トークントランザクションデータを取引サーバ１０ｂ及び取引サーバ１０ｃに送信する（Ｓ２１９）。

　次に、取引サーバ１０ａ～１０ｃは、コンセンサスアルゴリズムを実行し、第１トークントランザクションデータを含むブロック、及び、第２トークントランザクションデータを含むブロックを生成して、これらのブロックを分散台帳１０７に格納する（Ｓ２２０）。これにより、取引サーバ１０ａでは、投票者には第１のトークンの量のトークンが付与される処理が実行され、通報者には第２のトークンの量のトークンが付与される処理が実行される。取引サーバ１０ａは、各投票者の端末２１に対して、当該投票者に第１のトークンの量のトークンが付与された旨の通知を行ってもよい。また、取引サーバ１０ａは、通報者の端末２１に対して、当該通報者に第２のトークンの量のトークンが付与された旨の通知を行ってもよい。

　なお、取引サーバ１０ａは、ステップＳ２１８において、第１のトークンの量及び第２のトークンの量を含むトークントランザクションデータを生成してもよい。取引サーバ１０ａは、ステップＳ２１９において、生成したトークントランザクションデータを取引サーバ１０ｂ及び取引サーバ１０ｃに送信してもよい。そして、取引サーバ１０ａ～１０ｃは、ステップＳ２２０において、コンセンサスアルゴリズムを実行し、トークントランザクションデータを含むブロックを生成して、分散台帳１０７に格納してもよい。

　次に、取引サーバ１０ａは、複数の端末２１に対して、トークンの付与が行われたことを示す通知を行う（Ｓ２２１）。具体的には、取引サーバ１０ａは、各投票者の端末２１に対して、当該投票者に第１のトークンの量のトークンが付与された旨の通知を行ってもよい。また、取引サーバ１０ａは、通報者の端末２１に対して、当該通報者に第２のトークンの量のトークンが付与された旨の通知を行ってもよい。

　取引サーバ１０ａは、通報が失敗したと判定した場合（Ｓ２１６でＮｏ）、第３トークントランザクションデータを生成する（Ｓ２２２）。

　次に、取引サーバ１０ａは、生成した第３トークントランザクションデータを取引サーバ１０ｂ及び取引サーバ１０ｃに送信する（Ｓ２２３）。

　次に、取引サーバ１０ａは、コンセンサスアルゴリズムを実行し、第３トークントランザクションデータを含むブロックを生成して、分散台帳１０７に格納する（Ｓ２２４）。これにより、取引サーバ１０ａでは、通報者から第３のトークンの量のトークンを徴収する処理が実行される。

　なお、取引サーバ１０ａは、ステップＳ２２２において、さらに第１トークントランザクションデータを生成してもよい。この場合、取引サーバ１０ａは、ステップＳ２２３において、さらに生成した第１トークントランザクションデータを取引サーバ１０ｂ及び取引サーバ１０ｃに送信する。そして、取引サーバ１０ａ～１０ｃは、ステップＳ２２４において、さらに、コンセンサスアルゴリズムを実行し、第１トークントランザクションデータを含むブロックを生成して、分散台帳１０７に格納してもよい。これにより、取引サーバ１０ａでは、投票者には第１のトークンの量のトークンが付与される処理が実行される。

　次に、取引サーバ１０ａは、各投票者の端末２１に対して、トークンの付与または徴収が行われたことを示す通知を行う（Ｓ２２５）。具体的には、取引サーバ１０ａは、各投票者の端末２１に対して、当該投票者に第１のトークンの量のトークンが付与された旨の通知を行ってもよい。取引サーバ１０ａは、通報者の端末２１に対して、当該通報者に第３のトークンの量のトークンが徴収された旨の通知を行ってもよい。

　実施の形態２に係る処理において取引サーバ１０ａが単独で行うとした処理は、取引サーバ１０ａ～１０ｃのそれぞれにおいて行われてもよい。

　図１４及び図１５は、実施の形態２に係る管理システムの不正取引検知処理の第２の例を示すシーケンス図である。図１５は、図１４の続きの処理を示す。

　第２の例は、第１の例において行われる各処理をスマートコントラクトで実行する例である。つまり、第２の例では、分散台帳１０７に、第１の例において行われる各処理を実行するコントラクトコードが格納されている。各処理とは、賛否情報を受け付ける処理（つまり、投票する処理）、投票終了条件を判定する処理、賛否情報を復号する処理、投票結果を集計する処理、通報が正しいか否かを判定する処理、取引を中止する処理、及び、トークンを通報者又は投票者に付与又は徴収する処理のいずれかを含む。図１４及び図１５では、これらの処理の全てがスマートコントラクトで実行される例について説明するが、これに限らない。例えば、これらの処理の一部がスマートコントラクトで実行され、残りの一部がスマートコントラクトで実行されずに取引サーバ１０ａ～１０ｃのうちの１つの装置により実行されてもよい。

　図１４及び図１５で示される端末Ａ、端末Ｂ及び端末Ｃは、第１の例と同じである。また、ユーザＡ、ユーザＢ及びユーザＣも、第１の例と同じである。

　まず、第１の例のステップＳ２０１～Ｓ２０８と同じ処理が行われる。

　次に、取引サーバ１０ａ～１０ｃのぞれぞれは、賛否トランザクションデータについてコンセンサスアルゴリズムが実行されると、スマートコントラクトによって投票関数を実行する（Ｓ２３１）。なお、図１４では、取引サーバ１０ａのみがステップＳ２３１を実行するように図示されているが、取引サーバ１０ｂ及び取引サーバ１０ｃも同様にステップＳ２３１の処理を実行する。賛否トランザクションデータは、実施の形態１における第２の例で説明した賛否トランザクションデータと同じである。ステップＳ２３１の処理は、賛否トランザクションデータの数だけ行われる。つまり、ステップＳ２３１のそれぞれの処理は、投票の数だけ行われる。

　次に、端末Ａ及び端末Ｂのそれぞれは、確認トランザクションデータを生成し、確認トランザクションデータを取引サーバ１０ａへ送信する（Ｓ２３２、Ｓ２３３）。具体的には、端末Ａは、ステップＳ２０５の後で、投票が終了したか否かの確認を実行するための確認関数を含む確認トランザクションデータを生成し、生成した確認トランザクションデータを取引サーバ１０ａへ送信する。確認トランザクションデータは、実施の形態１で説明した確認トランザクションデータと同じである。端末Ａは、ステップＳ２０５の後で定期的に、確認トランザクションデータを生成し、生成した確認トランザクションデータを取引サーバ１０ａへ送信する。なお、端末Ｂについても同様の処理が行われることで、確認トランザクションデータが生成され、生成された確認トランザクションデータが取引サーバ１０ａへ送信される。

　次に、取引サーバ１０ａは、端末Ａから受信した確認トランザクションデータ、及び、端末Ｂから受信した確認トランザクションデータを、取引サーバ１０ｂ及び取引サーバ１０ｃへ転送する（Ｓ２３４）。

　次に、取引サーバ１０ａ～１０ｃは、コンセンサスアルゴリズムを実行し、確認トランザクションデータを含むブロックを生成して、分散台帳１０７に格納する（Ｓ２３５）。

　次に、取引サーバ１０ａ～１０ｃのそれぞれは、確認トランザクションデータについてコンセンサスアルゴリズムが実行されると、スマートコントラクトによって終了確認関数を実行する（Ｓ２３６）。終了確認関数は、投票終了条件を判定するための関数である。具体的には、取引サーバ１０ａ～１０ｃのそれぞれは、終了確認関数を実行することで、投票終了条件が満たされたか否かを判定する（Ｓ２３６）。この処理は、実施の形態１の第１の例のステップＳ１０８と同様であるので詳細な説明を省略する。投票終了条件が満たされたと判定した場合（Ｓ２３６でＹｅｓ）、取引サーバ１０ａ～１０ｃのそれぞれは、投票完了フラグをＯＮにする、つまり、フラグの値を投票が未完了を示す値から投票が完了したことを示す値に切り替える（Ｓ２３７）。取引サーバ１０ａ～１０ｃのそれぞれは、投票終了条件が満たされていないと判定した場合（Ｓ２３６でＮｏ）、ステップＳ２３６の処理に戻る。なお、図１４では、取引サーバ１０ａのみがステップＳ２３６及びステップＳ２３７を実行するように図示されているが、取引サーバ１０ｂ及び取引サーバ１０ｃも同様にステップＳ２３６及びステップＳ２３７の処理を実行する。

　次に、取引サーバ１０ａは、投票完了フラグがＯＮであることを確認する（Ｓ２３８）。

　次に、取引サーバ１０ａは、投票完了フラグがＯＮである場合、要求情報を生成し、生成した要求情報を複数の端末２１へ送信する（Ｓ２１０）。

　次に、ステップＳ２１１～Ｓ２１４と同様の処理が行われる。

　次に、取引サーバ１０ａ～１０ｃのそれぞれは、復号鍵トランザクションデータについてコンセンサスアルゴリズムが実行されると、スマートコントラクトによって復号関数を実行する（Ｓ２３９）。復号関数は、暗号化された賛否情報を、復号鍵を用いて復号するための関数である。具体的には、取引サーバ１０ａ～１０ｃのそれぞれは、各端末２１から取得した復号鍵トランザクションデータに含まれる復号鍵を用いて、当該端末２１から取得した賛否トランザクションデータに含まれる暗号化された賛否情報を復号する。復号結果は、例えば、取引サーバ１０ａ～１０ｃのそれぞれが備える記憶部に記憶される。復号結果は、一時的に記憶部に記憶されてもよい。ステップＳ２３９の処理は、復号鍵トランザクションデータの数だけ行われる。つまり、ステップＳ２３９の処理は、復号鍵の数だけ行われる。なお、図１５では、取引サーバ１０ａのみがステップＳ２３９を実行するように図示されているが、取引サーバ１０ｂ及び取引サーバ１０ｃも同様にステップＳ２３９の処理を実行する。

　次に、取引サーバ１０ａは、集計トランザクションデータを生成し、集計トランザクションデータを取引サーバ１０ｂ及び取引サーバ１０ｃへ送信する（Ｓ２４０）。具体的には、取引サーバ１０ａは、ステップＳ２３９の後で、投票結果を集計するための集計関数を含む集計トランザクションデータを生成し、生成した集計トランザクションデータを取引サーバ１０ｂ及び取引サーバ１０ｃへ送信する。集計トランザクションデータは、実施の形態１で説明した集計トランザクションデータと同じである。取引サーバ１０ａは、ステップＳ２３９の後で定期的に、集計トランザクションデータを生成し、生成した集計トランザクションデータを取引サーバ１０ｂ及び取引サーバ１０ｃへ送信する。なお、取引サーバ１０ｂ及び取引サーバ１０ｃについても同様の処理が行われることで、集計トランザクションデータが生成され、生成された集計トランザクションデータが他の取引サーバ１０へ送信されてもよい。

　次に、取引サーバ１０ａ～１０ｃは、コンセンサスアルゴリズムを実行し、集計トランザクションデータを含むブロックを生成して、分散台帳１０７に格納する（Ｓ２４１）。

　次に、取引サーバ１０ａ～１０ｃのそれぞれは、集計トランザクションデータについてコンセンサスアルゴリズムが実行されると、スマートコントラクトによって集計関数を実行する（Ｓ２４２、Ｓ２４３）。具体的には、取引サーバ１０ａ～１０ｃのそれぞれは、投票終了条件が満たされたか否かを判定する（Ｓ２４２）。投票終了条件が満たされたと判定した場合（Ｓ２４２でＹｅｓ）、取引サーバ１０ａ～１０ｃのそれぞれは、集計関数を実行する（Ｓ２４３）。集計関数は、投票結果を集計するための関数である。取引サーバ１０ａ～１０ｃは、集計関数を実行することで、集計処理を行う。取引サーバ１０ａ～１０ｃは、投票終了条件が満たされていないと判定した場合（Ｓ２４２でＮｏ）、ステップＳ２４２の処理に戻る。なお、図１５では、取引サーバ１０ａのみがステップＳ２４２及びステップＳ２４３を実行するように図示されているが、取引サーバ１０ｂ及び取引サーバ１０ｃも同様にステップＳ２４２及びステップＳ２４３の処理を実行する。

　集計処理は、実施の形態１において図８を用いて説明した集計処理と同じであるため、詳細な説明を省略する。

　図１６は、実施の形態２に係る管理システムの不正取引検知処理の第３の例を示すシーケンス図である。第３の例は、前半部分の処理が第２の例と共通しているため、第２の例と異なる処理について主に説明する。具体的には、第３の例は、第２の例の図１４で説明した処理が共通している。図１６は、図１４の続きの処理を示す。

　図１４の続きの処理から説明する。

　ステップＳ２３８は、第２の例と同じである。

　取引サーバ１０ａは、投票完了フラグがＯＮである場合、要求情報を生成し、生成した要求情報を複数の端末２１へ送信する（Ｓ２５１）。要求情報は、暗号化された賛否情報を復号する復号鍵を含む格納トランザクションデータを、当該賛否情報が含まれる賛否トランザクションデータを送信した複数の端末２１に要求するための情報である。

　次に、端末Ａ及び端末Ｂのそれぞれは、格納トランザクションデータを生成し、格納トランザクションデータを取引サーバ１０ａへ送信する（Ｓ２５２、Ｓ２５３）。格納トランザクションデータは、実施の形態１で説明した格納トランザクションデータと同じである。具体的には、端末Ａは、ステップＳ２５１の後で、要求情報に応じて、記憶部２０９に記憶されている復号鍵を含む格納トランザクションデータを生成する。なお、端末Ｂについても同様の処理が行われることで、格納トランザクションデータが生成される。

　次に、取引サーバ１０ａは、端末Ａから受信した格納トランザクションデータ、及び、端末Ｂから受信した格納トランザクションデータを、取引サーバ１０ｂ及び取引サーバ１０ｃへ転送する（Ｓ２５４）。

　次に、取引サーバ１０ａ～１０ｃは、コンセンサスアルゴリズムを実行し、格納トランザクションデータを含むブロックを生成して、分散台帳１０７に格納する（Ｓ２５５）。

　次に、取引サーバ１０ａ～１０ｃは、格納トランザクションデータについてコンセンサスアルゴリズムが実行されると、スマートコントラクトによって格納関数を実行する（Ｓ２５６）。格納関数は、復号鍵を各記憶部に格納するための関数である。具体的には、取引サーバ１０ａ～１０ｃは、各端末２１から取得した格納トランザクションデータに含まれる復号鍵を取引サーバ１０ａ～１０ｃのそれぞれが備える記憶部に格納する。ステップＳ２５６の処理は、格納トランザクションデータの数だけ行われる。つまり、ステップＳ２５６の処理は、復号鍵の数だけ行われる。

　次に、第２の例におけるステップＳ２４０及びステップＳ２４１と同様の処理が行われる。

　次に、取引サーバ１０ａ～１０ｃのそれぞれは、集計トランザクションデータについてコンセンサスアルゴリズムが実行されると、スマートコントラクトによって集計関数を実行する（Ｓ２４２、Ｓ２４３、Ｓ２５４）。具体的には、取引サーバ１０ａ～１０ｃのそれぞれは、投票終了条件が満たされたか否かを判定する（Ｓ２４２）。投票終了条件が満たされたと判定した場合（Ｓ２４２でＹｅｓ）、取引サーバ１０ａ～１０ｃのそれぞれは、賛否情報を復号する（Ｓ２５４）。そして、取引サーバ１０ａ～１０ｃのそれぞれは、集計関数を実行する（Ｓ２４３）。集計関数は、投票結果を集計するための関数である。取引サーバ１０ａ～１０ｃのそれぞれは、集計関数を実行することで、集計処理を行う。取引サーバ１０ａ～１０ｃは、投票終了条件が満たされていないと判定した場合（Ｓ２４２でＮｏ）、ステップＳ２４２の処理に戻る。なお、集計処理は、第２の例と同じであるため詳細な説明を省略する。

　［効果等］
　以上のように、実施の形態２に係る管理システム等によれば、分散台帳に格納されることで改ざんされにくい賛否情報に基づいて通報が正しいか否かを判定できる。このため、適切に不正取引を検知することができる。

　（変形例１）
　実施の形態１及び２に係る管理システムでは、取引サーバ１０がトランザクションデータについてコンセンサスアルゴリズムを実行して、トランザクションデータを含むブロックを生成して、生成したブロックを各取引サーバ１０が備える分散台帳１０７に格納するとしたがこれに限らない。例えば、取引サーバ１０を含まない複数の装置がトランザクションデータを含むブロックを生成して、生成したブロックを当該複数の装置のそれぞれが備える分散台帳に格納してもよい。この場合、取引サーバ１０は、複数の装置の分散台帳に格納されたデータを、複数の装置にアクセスすることで参照する、または、処理に必要な情報の要求を複数の装置に送信することで当該必要な情報を取得してもよい。これにより、取引サーバ１０は、実施の形態１及び２に係る管理システムにおいて取引サーバ１０が実行すると説明した処理のうち、トランザクションを含むブロックを生成して、生成したブロックを分散台帳に格納する処理を除く処理を実行してもよい。

　（変形例２）
　上記実施の形態１及び２に係る管理システムでは、取引サーバ１０は、通報が成功したか否かに応じて、通報者にトークンを付与したり徴収したりするとしたが、通報者の信頼度を増減させてもよい。例えば、取引サーバ１０は、通報が成功したと判定した場合、通報者の信頼度が大きくなるように、つまり、通報者の信頼性が高くなるように当該信頼度を更新してもよい。また、取引サーバ１０は、通報が失敗したと判定した場合、通報者の信頼度が小さくなるように当該信頼度を更新してもよい。信頼度は、ユーザが信頼できるか否かを示す指標であり、例えば、信頼度が示す数値が大きいほどユーザがより信頼できることを示す。取引サーバ１０は、更新した信頼度を含むトランザクションデータを生成し、当該トランザクションデータに対するコンセンサスアルゴリズムを他の装置と共に実行することで、当該トランザクションデータを含むブロックを生成し、生成したブロックを取引サーバ１０が備える分散台帳１０７に格納してもよい。

　また、取引サーバ１０は、通報が成功したか否かの判定に用いる所定の閾値を、ユーザの信頼度に応じて変更してもよい。取引サーバ１０は、例えば、所定の閾値を、信頼度が大きいほど小さい値になるように設定してもよい。これにより、信頼度が小さいユーザが行った通報は、成功しにくくなる。例えば、不正の疑いがないのに通報を乱発するユーザの通報が成功しにくくなり、信頼度が更新されることで信頼度を小さくできる。よって、不正の疑いがないのに取引が不正であると誤判定されることを抑制することができる。反対に、信頼度が大きいユーザが行った通報は、成功しやすくなる。信頼度が大きいユーザは、真摯に取引の不正を判定している可能性が高いため、賛成の数が過半数を満たさない場合でも不正取引を検知することができる。例えば、不正取引に対しても悪意を持って反対する組織票で賛成の数が過半数を満たさない場合であっても、不正取引を検知することができる。

　また、取引サーバ１０により提供されている電子商取引サービスにおいて、物品又はサービスを提供する第１ユーザに対して、信頼度に応じて同時に出品できる品数が変更されてもよい。例えば、同時に出品できる品数は、ユーザの信頼度が小さいほど、少なくなるように設定されてもよい。また、物品又はサービスを購入する第２ユーザに対して、信頼度に応じて１つの物品又はサービスを購入する購入額の上限が変更されてもよい。例えば、購入額の上限は、ユーザの信頼度が小さいほど、少なくなるように設定されてもよい。

　また、投票者による賛否情報の投票の１票のカウントの重みが、投票者の信頼度に応じて変更されてもよい。例えば、１票のカウントの重みは、ユーザの信頼度が小さいほど、小さくなるように設定されてもよい。例えば、信頼性が高いユーザの１票は、重みが１．５に設定され、１．５票としてカウントされてもよい。信頼性が低いユーザの１票は、重みが０．８に設定され、０．８票としてカウントされてもよい。つまり、通報が正しいか否かの判定では、賛成の数を信頼度に基づく重みを用いて算出する。

　（変形例３）
　実施の形態１及び２に係る管理システムでは、取引サーバ１０により提供されている電子商取引サービスにおいて、物品又はサービスを提供する第１ユーザに対して、当該取引を行うためのデポジットとしてのトークンが予め徴収されてもよい。第１ユーザは、物品又はサービスを提供する申込者である。そして、管理システムは、当該取引に対する通報がなかった場合、又は、当該通報があっても正しくないと判定された場合、デポジットとして徴収されているトークンを申込者に返還してもよい。また、管理システムは、当該取引に対する通報があり、当該通報が正しいと判定された場合、デポジットとして徴収されているトークンを申込者に返還しなくてもよい。返還しないと決定されたトークンは、通報を行った通報者に報酬として付与されてもよい。これにより、申込者により、不正の取引が提供されることを抑制することができる。

　また、取引サーバ１０により提供されている電子商取引サービスにおいて、通報者に対して、通報を行うためのデポジットとしてのトークンが予め徴収されてもよい。そして、管理システムは、通報者による通報が正しいと判定された場合、デポジットとして徴収されているトークンを通報者に返還してもよい。また、管理システムは、通報者による通報が正しくないと判定された場合、デポジットとして徴収されているトークンを通報者に返還しなくてもよい。返還しないと決定されたトークンは、取引を提供している申込者に付与されてもよいし、投票者に対して付与されてもよいし、電子商取引サービスのサービサに付与されてもよいし、廃棄されてもよい。これにより、通報者により、不正の疑いがない取引や、不正の疑いが薄い取引に対して通報が行われることを抑制することができる。

　ここで設定されるデポジットの量は、変形例２で説明した信頼度に応じて変更されてもよい。例えば、デポジットの量は、ユーザの信頼度が小さいほど、多くなるように設定されてもよい。

　（変形例４）
　実施の形態１及び２に係る管理システムにおいて用いられる、賛否情報を暗号化する方法は、準同型暗号、完全準同型暗号、又は、秘密分散法であってもよい。準同型暗号、完全準同型暗号、又は、秘密分散法により暗号化されたデータは、データを復号することなく加算処理を実行することができる。例えば、賛成を示すデータを＋１に、反対を示すデータを－１に設定することで、暗号化されたまま賛成及び反対の票数をカウントすることができる。つまり、集計処理では、暗号化されたままの賛否情報を用いて集計が行われてもよい。その後に、暗号化された賛否情報は、復号されてもよい。この場合に集計処理は、取引サーバ１０が行ってもよいし、取引サーバ１０とは異なる装置が行ってもよい。

　（変形例５）
　実施の形態１及び２に係る管理システムでは、複数の投票者がそれぞれ複数の端末を用いて通報に対する賛否を示す入力を行うことで、賛否の投票を行うとしたが、これに限らない。投票者とは異なる情報処理装置が、通報が正しいか否かを判定してもよい。この場合の情報処理装置は、例えば、機械学習により得られたモデルを用いて、通報が正しいか否かを判定してもよいし、予め定められたアルゴリズムを用いて、通報が正しいか否かを判定してもよい。例えば、情報処理装置は、過去の取引に対する通報と、当該取引の内容（物品又はサービスの内容及びその価格）と、通報が正しいか否かの判定結果とを用いて、機械学習を行うことでモデルを生成してもよい。また、予め定められたアルゴリズムは、不正の内容に基づいて生成されてもよい。不正の内容は、例えば、取引の対象となる物品又はサービスの実体が当該取引の名目とは異なる物品であること、取引の対象となる物品又はサービスに対して設定されている価格が標準的な価格から乖離していることなどである。標準的な価格から乖離しているとは、例えば、設定されている価格と標準的な価格との差が、標準的な価格の所定の割合の価格分より大きいことである。標準的な価格は、当該物品又は当該サービスと、同じ、同種又は同等の物品又はサービスが過去に取引されている実績に基づいて算出されてもよい。

　この場合、情報処理装置のみが、通報が正しいか否かの判定結果を賛否情報として取引サーバ１０に送信してもよい。そして、取引サーバ１０は、情報処理装置から送信された賛否情報のみに基づいて通報が正しいか否かの判定を行ってもよい。なお、情報処理装置において通報が正しいと判定された場合、情報処理装置は、賛成を示す賛否情報を取引サーバ１０へ送信する。反対に、情報処理装置において通報が正しくないと判定された場合、情報処理装置は、反対を示す賛否情報を取引サーバ１０へ送信する。このときに送信される賛否情報は、賛否トランザクションデータに含まれる情報として送信されてもよい。つまり、情報処理装置は、賛否トランザクションデータを取引サーバ１０へ送信してもよい。

　（変形例６）
　実施の形態１及び２に係る管理システムでは、取引サーバ１０によって電子商取引サービスが提供されるとしたが、提供される取引サービスは電子商取引サービスに限らない。例えば、複数のユーザが所有する端末から、端末の動作ログ及び／又は検知ログを取得し、これらのログを分析して、各ユーザに分析結果を通知するサービスを提供してもよい。この場合の取引は、動作ログ及び／又は検知ログを含むログの取引である。通報では、ログに不正がある疑いがあることが通報されてもよいし、ユーザが不正なユーザである疑いがあることが通報されてもよい。

　（変形例７）
　実施の形態１及び２に係る管理システムでは、取引の中止処理をブロックチェーンの仕組みを用いて行ってもよい。例えば、取引サーバ１０は、取引中止処理において、取引中止トランザクションを生成し、生成した取引中止トランザクションを用いて複数の他の装置との間でコンセンサスアルゴリズムを実行し、取引中止トランザクションデータを含むブロックを生成して、生成したブロックを、取引サーバ１０が備える分散台帳１０７及び複数の他の装置が備える分散台帳に格納してもよい。取引中止トランザクションデータは、スマートコントラクトアドレスと、実行関数としての取引中止関数と、引数としての通報ＩＤとを含む。そして、取引サーバ１０及び複数の他の装置のそれぞれは、取引中止関数を実行することで、取引中止処理を行う。

　（変形例８）
　実施の形態１及び２に係る管理システムでは、取引サーバ１０は、投票者として通報者以外のユーザ全員を選ぶ例で説明したがこれに限らない。取引サーバ１０は、通報者以外の複数のユーザから一部のユーザをランダムに選んでもよいし、通報者を含むユーザ全員を投票者として選んでもよい。取引サーバ１０は、投票者として選んだユーザが所有する端末２０へ賛否トランザクションデータを送信する。

　（変形例９）
　実施の形態１及び２に係る管理システムでは、賛否トランザクションデータは、復号鍵のハッシュ値、又は、平文の賛否情報のハッシュ値を含んでいてもよい。これにより、端末Ａ及び端末Ｂが、正しい復号鍵を送ったか否か、正しい賛否情報を送ったか否かを判定することができる。

　（変形例１０）
　実施の形態１及び２に係る管理システムでは、投票者全員に第１のトークンの量のトークンを付与するとしたが、これに限らない。通報が成功した場合、通報に賛成した投票者に第１のトークンの量のトークンを付与し、通報に反対した投票者から第５のトークンの量のトークンを徴収するとしてもよい。また、通報が失敗した場合、通報に賛成した投票者から第５のトークンの量のトークンを徴収し、通報に反対した投票者に第１のトークンの量のトークンを付与するとしてもよい。

　（変形例１１）
　実施の形態１及び２において、ユーザにトークンを付与することを当該ユーザの信頼度を大きくすることに置き換えてもよいし、ユーザにトークンを付与すると共にさらに当該ユーザの信頼度を大きくしてもよい。また、ユーザのトークンを徴収することをユーザの信頼度を小さくすることに置き換えてもよいし、ユーザのトークンを徴収すると共にさらに当該ユーザの信頼度を小さくしてもよい。

　［その他の実施の形態等］
　以上のように、本開示について上記の実施の形態に基づいて説明してきたが、本開示は、上記の実施の形態に限定されないのはもちろんである。以下のような場合も本開示に含まれる。

　（１）上記の実施の形態における各装置は、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記ＲＡＭまたはハードディスクユニットには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

　（２）上記の実施の形態における各装置は、構成する構成要素の一部または全部は、１個のシステムＬＳＩ（Large Scale Integration：大規模集積回路）から構成されているとしてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどを含んで構成されるコンピュータシステムである。前記ＲＡＭには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、システムＬＳＩは、その機能を達成する。

　また、上記の各装置を構成する構成要素の各部は、個別に１チップ化されていても良いし、一部またはすべてを含むように１チップ化されてもよい。

　また、ここでは、システムＬＳＩとしたが、集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ、ウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路または汎用プロセッサで実現してもよい。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Field Programmable Gate Array）や、ＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。

　さらには、半導体技術の進歩または派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。

　（３）上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なＩＣカードまたは単体のモジュールから構成されているとしてもよい。前記ＩＣカードまたは前記モジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどから構成されるコンピュータシステムである。前記ＩＣカードまたは前記モジュールは、上記の超多機能ＬＳＩを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ＩＣカードまたは前記モジュールは、その機能を達成する。このＩＣカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。

　（４）本開示は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。

　また、本開示は、前記コンピュータプログラムまたは前記デジタル信号をコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕ－ｒａｙ（登録商標）　Ｄｉｓｃ）、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよい。

　また、本開示は、前記コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

　また、本開示は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記録しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。

　また、前記プログラムまたは前記デジタル信号を前記記録媒体に記録して移送することにより、または前記プログラムまたは前記デジタル信号を、前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　（５）上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。

　本開示は、制御方法、サーバ、及び、プログラムに利用でき、例えば取引において不正取引を適切に検知することができる制御方法、サーバ、及び、プログラムなどに利用可能である。

　１０、１０ａ～１０ｃ　　取引サーバ
　２０、２０ａ～２０ｘ、２１、２１ａ～２１ｘ　　端末
１０１、２０１　　通信部
１０２　　判定部
１０３、２０４　　情報生成部
１０４、２０５　　トランザクションデータ生成部
１０５、２０６　　トランザクションデータ検証部
１０６、２０７　　記録部
１０７、２０８　　分散台帳
２０２　　入力部
２０３　　表示部
２０９　　記憶部

Claims

　分散台帳を保有する複数の装置を備える電子取引における不正取引通報システムにおいて、前記複数の装置のうちの一の装置が実行する制御方法であって、
　一の取引が不正である疑いの通報を示す通報情報を含む通報トランザクションデータを取得し、
　取得した前記通報トランザクションデータを前記複数の装置のうちの複数の他の装置に転送し、かつ、前記通報トランザクションデータを前記一の装置の分散台帳に格納し、
　前記通報に対する賛否情報を含む賛否トランザクションデータを取得し、
　取得した前記賛否トランザクションデータを前記複数の他の装置に転送し、かつ、前記賛否トランザクションデータを前記一の装置の分散台帳に格納し、
　前記賛否トランザクションデータに含まれる前記賛否情報に基づいて、前記通報が正しいか否かを判定する
　制御方法。
　前記賛否トランザクションデータの取得では、複数のユーザが所有する複数の端末から複数の賛否トランザクションデータを取得し、
　前記判定では、前記複数の賛否トランザクションデータに含まれる複数の賛否情報に基づいて、前記複数の賛否情報のうちで賛成を示す賛否情報の数が所定の閾値よりも多い場合に前記通報が正しいと判定し、前記賛成を示す賛否情報の数が前記所定の閾値よりも少ない場合に前記通報が正しくないと判定する
　請求項１に記載の制御方法。
　さらに、
　前記複数の賛否トランザクションデータを送信した前記複数のユーザのそれぞれに付与する第１のトークンの量を含む第１トークントランザクションデータを前記複数の他の装置に送信し、かつ、前記第１トークントランザクションデータを前記一の装置の分散台帳に格納する
　請求項２に記載の制御方法。
　さらに、
　前記複数の賛否トランザクションデータを送信した前記複数のユーザのそれぞれの第１信頼度が大きくなるように前記第１信頼度を更新し、更新された第１信頼度を含む第１信頼度トランザクションデータを前記複数の他の装置に転送し、かつ、前記第１信頼度トランザクションデータを前記一の装置の分散台帳に格納し、
　前記判定では、前記賛成の数を前記第１信頼度に基づく重みを用いて算出する
　請求項２または３に記載の制御方法。
　さらに、
　前記判定において前記通報が正しいと判定された場合、前記取引を中止する
　請求項１から４のいずれか１項に記載の制御方法。
　さらに、
　前記判定において前記通報が正しいと判定された場合、前記通報トランザクションデータを送信したユーザである通報者に付与する第２のトークンの量を含む第２トークントランザクションデータを前記複数の他の装置に送信し、かつ、前記第２トークントランザクションデータを前記一の装置の分散台帳に格納する
　請求項１から５のいずれか１項に記載の制御方法。
　さらに、
　前記判定において前記通報が正しくないと判定された場合、前記通報トランザクションデータを送信したユーザである通報者に請求する第３のトークンの量を含む第３トークントランザクションデータを前記複数の他の装置に送信し、かつ、前記第３トークントランザクションデータを前記一の装置の分散台帳に格納する
　請求項１から６のいずれか１項に記載の制御方法。
　さらに、
　前記判定において前記通報が正しいと判定された場合、前記通報トランザクションデータを送信したユーザである通報者の信頼度が大きくなるように前記信頼度を更新し、更新された信頼度を含む信頼度トランザクションデータを前記複数の他の装置に転送し、かつ、前記信頼度トランザクションデータを前記一の装置の分散台帳に格納し、
　前記判定では、前記分散台帳に格納されている前記分散台帳の前記通報者の前記更新された信頼度が大きいほど小さい値に設定した前記所定の閾値を用いる
　請求項１から７のいずれか１項に記載の制御方法。
　さらに、
　前記取引のための第４のトークンの量を含む申し込み情報を、前記取引の申込者により操作された端末から取得し、
　前記取引に対する前記通報がなかった場合、又は、前記通報があっても正しくないと判定された場合、前記第４のトークンの量と同じ量のトークンを前記申込者に返還し、
　前記取引に対する前記通報があり、当該通報が正しいと判定された場合、前記第４のトークンの量と同じ量のトークンを前記申込者に返還しない
　請求項１から８のいずれか１項に記載の制御方法。
　前記第４のトークンの量は、前記申込者に定められた信頼度に応じた量に設定される
　請求項９に記載の制御方法。
　さらに、
　前記判定を実行させるための実行情報を含む実行トランザクションデータを取得し、
　前記複数の装置が保有する複数の分散台帳のそれぞれは、前記実行トランザクションデータに基づいて前記判定を実行するためのコントラクトコードを含み、
　前記判定では、前記実行トランザクションデータを取得すると、前記一の装置の分散台帳に含まれる前記コントラクトコードを実行することで前記判定を実行する
　請求項１から１０のいずれか１項に記載の制御方法。
　前記賛否トランザクションデータに含まれる前記賛否情報は、暗号化されており、
　前記賛否トランザクションデータを送信した装置又は端末に、暗号化された前記賛否情報を復号する復号鍵を要求するための要求情報を送信することで、前記装置又は前記端末から前記復号鍵を取得し、
　暗号化された前記賛否情報を前記復号鍵で復号し、
　復号された前記賛否情報に基づいて、前記通報が正しいか否かを判定する
　請求項１から１１のいずれか１項に記載の制御方法。
　前記要求情報の送信では、前記要求情報を含む要求トランザクションデータを前記複数の他の装置に送信し、かつ、前記要求トランザクションデータを前記一の装置の分散台帳に格納し、
　前記復号鍵の取得では、前記復号鍵を含む復号鍵トランザクションデータを前記複数の他の装置から取得し、前記復号鍵トランザクションデータを前記一の装置の分散台帳に格納する
　請求項１２に記載の制御方法。
　分散台帳を保有する複数の装置を備える電子取引における不正取引通報システムにおいて、前記複数の装置のうちの一の装置であって、
　プロセッサと、
　メモリと、を備え、
　前記プロセッサは、前記メモリを用いて、
　取引が不正である疑いの通報を示す通報情報を含む通報トランザクションデータを取得し、
　取得した前記通報トランザクションデータを前記複数の装置のうちの複数の他の装置に転送し、かつ、前記通報トランザクションデータを前記一の装置の分散台帳に格納し、
　前記通報に対する賛否情報を含む賛否トランザクションデータを取得し、
　取得した前記賛否トランザクションデータを前記複数の他の装置に転送し、かつ、前記賛否トランザクションデータを前記一の装置の分散台帳に格納し、
　前記賛否トランザクションデータに含まれる前記賛否情報に基づいて、前記通報が正しいか否かを判定する
　装置。
　分散台帳を保有する複数の装置を備える電子取引における不正取引通報システムにおいて、前記複数の装置のうちの一の装置が実行する制御方法をコンピュータに実行させるためのプログラムであって、
　取引が不正である疑いの通報を示す通報情報を含む通報トランザクションデータを取得し、
　取得した前記通報トランザクションデータを前記複数の装置のうちの複数の他の装置に転送し、かつ、前記通報トランザクションデータを前記一の装置の分散台帳に格納し、
　前記通報に対する賛否情報を含む賛否トランザクションデータを取得し、
　取得した前記賛否トランザクションデータを前記複数の他の装置に転送し、かつ、前記賛否トランザクションデータを前記一の装置の分散台帳に格納し、
　前記賛否トランザクションデータに含まれる前記賛否情報に基づいて、前記通報が正しいか否かを判定することを
　コンピュータに実行させるためのプログラム。