WO2021192193A1

WO2021192193A1 - 管理サーバ、システム、トークン発行方法及び記憶媒体

Info

Publication number: WO2021192193A1
Application number: PCT/JP2020/013892
Authority: WO
Inventors: 悠渡邉; 武史笹本
Original assignee: 日本電気株式会社
Priority date: 2020-03-27
Filing date: 2020-03-27
Publication date: 2021-09-30
Also published as: EP4131135A4; US20240070557A1; CN114586054A; JP7006865B1; EP4131135A1; JPWO2021192193A1

Abstract

生体認証を用いた搭乗手続きシステムを利用する資格を備えていない利用者を排除する、管理サーバを提供する。管理サーバは、受信部と、生成部と、を備える。受信部は、端末から、少なくとも搭乗券に記載された搭乗券情報及びパスポートに記載されたパスポート情報を含むトークン発行要求を受信する。生成部は、搭乗券情報とパスポート情報の整合性に関する第１の判定を行い、第１の判定の結果に基づき、利用者が生体情報を用いた搭乗手続きを利用するためのトークンを生成する。

Description

管理サーバ、システム、トークン発行方法及び記憶媒体

　本発明は、管理サーバ、システム、トークン発行方法及び記憶媒体に関する。

　特許文献１には、旅客の生体情報（顔画像）を用いて、空港内の複数のチェックポイント（チェックインロビー、保安検査場、搭乗ゲート等）において顔認証により各種の手続を行うチケットレス搭乗システムが開示されている。

特開２００７－０７９６５６号公報

　特許文献１は、空港内における特定の業務に顔認証を利用するための構成を開示するに留まり、顔認証を利用するためのシステム登録に関する条件等は開示していない。

　国際線の搭乗では、航空機への搭乗を許可された利用者が航空機に搭乗することが原則である。生体認証を用いた搭乗手続きにおいても、同様であり、搭乗券の発行を受けた利用者が、生体認証を利用した搭乗手続きを経て航空機に搭乗できる。即ち、生体認証を用いた搭乗手続きを希望する利用者の適格性に関する検証が行われることが必要であって、搭乗券の発行を受けていない利用者は生体認証を用いた搭乗手続きを利用する資格がない。

　本発明は、生体認証を用いた搭乗手続きシステムを利用する資格を備えていない利用者を排除することに寄与する、管理サーバ、システム、トークン発行方法及び記憶媒体を提供することを主たる目的とする。

　本発明の第１の視点によれば、端末から、少なくとも搭乗券に記載された搭乗券情報及びパスポートに記載されたパスポート情報を含むトークン発行要求を受信する、受信部と、前記搭乗券情報と前記パスポート情報の整合性に関する第１の判定を行い、前記第１の判定の結果に基づき、利用者が生体情報を用いた搭乗手続きを利用するためのトークンを生成する、生成部と、を備える、管理サーバが提供される。

　本発明の第２の視点によれば、端末と、前記端末と接続された管理サーバと、を含み、前記管理サーバは、前記端末から、少なくとも搭乗券に記載された搭乗券情報及びパスポートに記載されたパスポート情報を含むトークン発行要求を受信する、受信部と、前記搭乗券情報と前記パスポート情報の整合性に関する第１の判定を行い、前記第１の判定の結果に基づき、利用者が生体情報を用いた搭乗手続きを利用するためのトークンを生成する、生成部と、を備える、システムが提供される。

　本発明の第３の視点によれば、管理サーバにおいて、端末から、少なくとも搭乗券に記載された搭乗券情報及びパスポートに記載されたパスポート情報を含むトークン発行要求を受信し、前記搭乗券情報と前記パスポート情報の整合性に関する第１の判定を行い、前記第１の判定の結果に基づき、利用者が生体情報を用いた搭乗手続きを利用するためのトークンを生成する、トークン発行方法が提供される。

　本発明の第４の視点によれば、管理サーバに搭載されたコンピュータに、端末から、少なくとも搭乗券に記載された搭乗券情報及びパスポートに記載されたパスポート情報を含むトークン発行要求を受信する処理と、前記搭乗券情報と前記パスポート情報の整合性に関する第１の判定を行い、前記第１の判定の結果に基づき、利用者が生体情報を用いた搭乗手続きを利用するためのトークンを生成する処理と、を実行させるためのプログラムを記憶する、コンピュータ読取可能な記憶媒体が提供される。

　本発明の各視点によれば、生体認証を用いた搭乗手続きシステムを利用する資格を備えていない利用者を排除することに寄与する、管理サーバ、システム、トークン発行方法及び記憶媒体が提供される。なお、本発明の効果は上記に限定されない。本発明により、当該効果の代わりに、又は当該効果と共に、他の効果が奏されてもよい。

一実施形態の概要を説明するための図である。第１の実施形態に係る搭乗手続きシステムの概略構成の一例を示す図である。第１の実施形態に係るチェックイン端末の処理構成の一例を示す図である。第１の実施形態に係るシステム登録部の動作を説明するための図である。第１の実施形態に係るシステム登録部の処理構成の一例を示す図である。トークン発行要求の一例を示す図である。第１の実施形態に係る手荷物預け機の処理構成の一例を示す図である。第１の実施形態に係る管理サーバの処理構成の一例を示す図である。トークンＩＤ情報データベースの一例を示す図である。業務情報データベースの一例を示す図である。第１の実施形態に係る搭乗手続きシステムの動作の一例を示すシーケンス図である。管理サーバのハードウェア構成の一例を示す図である。

　はじめに、一実施形態の概要について説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、この概要の記載はなんらの限定を意図するものではない。また、特段の釈明がない場合には、各図面に記載されたブロックはハードウェア単位の構成ではなく、機能単位の構成を表す。各図におけるブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号（データ）の流れを模式的に示すものであり、双方向性を排除するものではない。なお、本明細書及び図面において、同様に説明されることが可能な要素については、同一の符号を付することにより重複説明が省略され得る。

　一実施形態に係る管理サーバ１００は、受信部１０１と、生成部１０２と、を備える（図１参照）。受信部１０１は、端末から、少なくとも搭乗券に記載された搭乗券情報及びパスポートに記載されたパスポート情報を含むトークン発行要求を受信する。生成部１０２は、搭乗券情報とパスポート情報の整合性に関する第１の判定を行い、第１の判定の結果に基づき、利用者が生体情報を用いた搭乗手続きを利用するためのトークンを生成する。

　上述のように、生体認証を用いた搭乗手続きシステムを利用する資格を備えていない利用者は排除されなければならない。ここで、国際線の搭乗には、搭乗者本人が搭乗券（ＢＰ；Boarding Pass）と旅券（ＰＰ；Passport）を所持している必要がある。生体認証によらない搭乗手続きでは、搭乗券とパスポートに記載された氏名が同一であることを航空会社のスタッフが目視にて確認している。しかし、このようなスタッフによる本人確認は、生体認証を用いた搭乗手続きでは行うことができない。生体認証を用いた搭乗手続きでは、コンピュータ（サーバ、端末）により自動化され人が介入する余地は殆どない。そのため、搭乗券とパスポートに記載された氏名のスペルが異なっていたり、氏名の一部が省略されたり、記載の順序（姓、名の順序）が異なっていたりすると、搭乗券とパスポートに記載された人物が同一人物か否かの判断が非常に難しくなる。即ち、生体認証を用いた搭乗手続きでは、２つの媒体（搭乗券、パスポート）に記載された氏名の突合に関する問題が生じ得る。このような問題に対処するため、氏名の突合を省略することも考えられるが、このような対応を行うと、搭乗券を不正に入手した第三者が航空機に搭乗することを許す余地がある。

　このような問題に対応するため、上記管理サーバ１００は、端末を介して取得した搭乗券とパスポートの整合性を確認する。例えば、管理サーバ１００は、取得した搭乗券情報を航空会社が管理するサーバ（後述する、航空会社サーバ３０）に送信し、当該搭乗券情報に対応するパスポート情報の問い合わせを行う。管理サーバ１００は、端末に提示されたパスポート情報と航空会社から得られたパスポート情報が一致すれば、航空機への搭乗が許可された搭乗者のパスポートが端末に提示されたと判断し、生体認証を用いた搭乗手続きを受けるためのトークンを発行する。換言すれば、上記２つのパスポート情報が一致しなければ、管理サーバ１００は、搭乗券の発行を受けていない第三者（生体認証を用いた搭乗手続きを利用する資格がない利用者）が端末にパスポートを提示していると判断し、トークンを発行しない。このように、管理サーバ１００は、搭乗券情報の基礎となった予約情報を記憶する航空会社サーバ（ＤＣＳ；Departure Control System）が有するパスポート情報と、利用者が搭乗日に有するパスポート情報と、を照合することで本人確認を行う。その結果、生体認証を用いた搭乗手続きシステムを利用する資格を備えていない第三者に対してトークンは発行されず、当該第三者は生体認証を用いた搭乗手続きの対象から除外される。

　以下に具体的な実施形態について、図面を参照してさらに詳しく説明する。

［第１の実施形態］
　第１の実施形態について、図面を用いてより詳細に説明する。

［システムの構成］
　図２は、第１の実施形態に係る搭乗手続きシステムの概略構成の一例を示す図である。第１の実施形態に係る搭乗手続きシステムは、空港における一連の手続き（荷物預け入れ、セキュリティチェック等）を生体認証にて実現するシステムである。図２に示す搭乗手続きシステムは、例えば、入出国の管理局等の公的機関や当該公的機関から業務の委託を受けた受託者により運営される。

　なお、本願開示において、「搭乗手続き」は、チェックインから航空機に搭乗するまでに行われる一連の手続きを示す。

　図２を参照すると、搭乗手続きシステムには、チェックイン端末１０、手荷物預け機１１、旅客通過システム１２、ゲート装置１３、搭乗ゲート装置１４と、管理サーバ２０、航空会社サーバ３０と、が含まれる。

　チェックイン端末１０、手荷物預け機１１、旅客通過システム１２、ゲート装置１３及び搭乗ゲート装置１４は空港に設置された端末（タッチポイント）である。これらの端末は、ネットワークを介して管理サーバ２０と接続されている。図２に示すネットワークは、空港の構内通信網を含むＬＡＮ（Local Area Network）、ＷＡＮ（Wide Area Network）、移動体通信網等により構成されている。接続方式は、有線方式に限らず、無線方式でもよい。

　管理サーバ２０と航空会社サーバ３０もネットワークを介して接続されている。管理サーバ２０や航空会社サーバ３０は、空港会社や航空会社等の施設内に設置されている。あるいは、これらのサーバはネットワーク上のクラウドに設置されたサーバであってもよい。

　なお、図２に示す構成は例示であって、搭乗手続きシステムの構成を限定する趣旨ではない。搭乗手続きシステムには、図示していない端末等が含まれていてもよい。

　利用者の搭乗手続きは、図２に示す各端末により行われる。具体的には、利用者が出国する際の一連の手続きは、５か所に設置された端末にて順次実施される。図２に示す搭乗手続きシステムでは、利用者の搭乗手続きは生体情報を用いた認証（生体認証）により実現される。

　生体認証による搭乗手続きを希望する利用者（システム利用者）は、空港に到着すると、チェックイン端末１０を操作して「チェックイン手続き」を行う。システム利用者は、紙の航空券、搭乗情報が記載された二次元バーコード、ｅチケットの控えを表示する携帯端末等をチェックイン端末１０に提示する。チェックイン端末１０は、チェックイン手続きが終了すると、搭乗券を出力する。なお、搭乗券には、紙媒体の搭乗券と電子媒体の搭乗券が含まれる。

　チェックイン手続きが終了した利用者であって、生体認証による搭乗手続きを希望するシステム利用者は、チェックイン端末１０を用いてシステム登録を行う。具体的には、システム利用者は、取得した搭乗券とパスポートをチェックイン端末１０に読み込ませる。また、チェックイン端末１０は、システム利用者の生体情報（例えば、顔画像）を取得する。

　チェックイン端末１０は、これら（搭乗券、パスポート、生体情報）に関する情報を管理サーバ２０に送信する。

　管理サーバ２０は、チェックイン端末１０から取得した情報の正当性を確認する。具体的には、管理サーバ２０は、搭乗券とパスポートの整合性やチェックイン端末１０に提示されたパスポートの正当性を判定する。管理サーバ２０は、チェックイン端末１０から取得した情報の正当性を確認すると、システム利用者の登録を行う。具体的には、管理サーバ２０は、当該システム登録された利用者の搭乗手続きに用いられるトークンを発行する。

　発行されたトークンは、トークンＩＤ（Identifier）により識別される。搭乗手続きに必要な情報（例えば、生体情報、搭乗手続きに必要な業務情報等）はトークンＩＤを介して対応付けられる。即ち、「トークン」は、システム利用者の登録と共に発行され、当該登録されたシステム利用者が生体情報を利用した搭乗手続きを受けるための識別情報である。トークン（トークンＩＤ）が発行されると、システム利用者は、生体認証を用いた搭乗手続きを利用することができる。

　トークンが発行されたシステム利用者が、端末（例えば、手荷物預け機１１等）に到着すると、当該端末にて生体情報（例えば、顔画像）が取得される。端末は、顔画像を含む認証要求を管理サーバ２０に送信する。

　管理サーバ２０は、端末から取得した生体情報とシステム登録された生体情報を用いた照合処理（１対Ｎ照合；Ｎは正の整数、以下同じ）によりトークンＩＤを特定する。利用者の搭乗手続きは、当該特定されたトークンＩＤに関連付けられた業務情報に基づき実施される。

　一連の搭乗手続きが終了し、利用者が出国すると（利用者が搭乗ゲート装置１４を通過すると）、トークンＩＤは削除される。

　チェックイン端末１０は、空港内のチェックインロビーに設置されている。上述のように、利用者は、チェックイン端末１０を用いて生体認証を用いた搭乗手続きを実現するためのシステム登録を行う。また、システム利用者は、チェックイン端末１０を操作してチェックイン手続きを行う。即ち、チェックイン端末１０は、利用者が操作することによって、チェックイン手続を行うためのセルフ端末でもある。チェックイン端末１０は、ＣＵＳＳ（Common Use Self Service）端末とも称される。利用者は、チェックイン手続を完了すると、手荷物の預け場所あるいは保安検査場へ移動する。

　手荷物預け機１１は、空港内の手荷物カウンタ（有人カウンタ）の隣接領域あるいはチェックイン端末１０の近傍領域に設置されている。手荷物預け機１１は、利用者が操作することにより、航空機内に持ち込まない手荷物を預ける手続（手荷物預け手続）を行うためのセルフ端末である。手荷物預け機１１は、ＣＵＢＤ（Common Use Bag Drop）端末とも称される。利用者は、手荷物預け手続を完了すると、保安検査場へ移動する。なお、利用者が、手荷物を預けない場合には、手荷物預け手続は省略される。

　旅客通過システム１２は、空港内の保安検査場の入口に設置されているゲート装置である。旅客通過システム１２は、ＰＲＳ（Passenger Reconciliation System）とも称され、保安検査場の入口において利用者の通過可否を判定するシステムである。利用者は、旅客通過システム１２を通過した後に保安検査手続を完了すると、出国審査場へ移動する。

　ゲート装置１３は、空港内の出国審査場に設置されている。ゲート装置１３は、利用者の出国審査手続を自動的に行う装置である。利用者は、出国審査手続を完了すると、免税店や搭乗ゲートが設けられている出国エリアに移動する。

　搭乗ゲート装置１４は、出国エリアの搭乗ゲートごとに設置された通行制御装置である。搭乗ゲート装置１４は、ＡＢＧ（Automated Boarding Gates）端末とも称される。搭乗ゲート装置１４は、利用者が搭乗ゲートから搭乗可能な航空機の搭乗者であることを確認する。利用者は、搭乗ゲート装置１４を通過すると、航空機に搭乗し、第２国へ向けて出国する。

　なお、図２に示す各装置（チェックイン端末１０、手荷物預け機１１、旅客通過システム１２、ゲート装置１３、搭乗ゲート装置１４）による生体認証を用いた搭乗手続きは一例であって、手続きに使用される装置を限定する趣旨ではない。例えば、上記装置とは異なる装置が搭乗手続きに使用されてもよいし、上記各装置のうち一部の装置が手続きに使用されてなくともよい。例えば、ゲート装置１３が搭乗手続きシステムに含まれていなくともよい。

　管理サーバ２０は、上記搭乗手続きを支援、管理するためのサーバ装置である。管理サーバ２０は、トークンＩＤを管理する。具体的には、管理サーバ２０は、トークンＩＤの発行や無効化を行う。また、管理サーバ２０は、空港内の各種端末からの認証要求を処理する。

　航空会社サーバ３０は、航空会社が管理するサーバ装置である。航空会社サーバ３０は、航空券の予約情報を記憶するデータベースを備える。航空会社サーバ３０は、航空券の予約時に取得したパスポートに関する情報と航空券の予約情報を対応付けて記憶する。航空会社サーバ３０は、ＤＣＳ（Departure Control System）とも称される。なお、航空会社サーバ３０は、パスポートに記載された全ての情報と予約情報を対応付けて記憶してもよいし、パスポートに記載された一部の情報と予約情報を対応付けて記憶していてもよい。

　以降の説明において、搭乗券に記載された情報（搭乗券に記載された一部又は全部の情報）を「搭乗券情報」と表記する。搭乗券情報は、航空会社サーバ３０が記憶する予約情報の全部又は一部である。即ち、搭乗券には、予約情報の全部又は一部が表記されている。

　また、以降の説明において、パスポートに記載された情報（パスポートに記載された一部又は全部の情報）を「パスポート情報」と表記する。

［システムの概略動作］
　続いて、図２を参照しつつ、搭乗手続きシステムの概略動作について説明する。

　空港に到着し、チェックイン手続きを完了した利用者のうち、生体認証を用いた搭乗手続きを希望する利用者（システム利用者）は、チェックイン端末１０を操作してシステム登録を行う。上述のとおり、利用者は、所持する搭乗券、パスポートをチェックイン端末１０に読み込ませる。その際、チェックイン端末１０は、利用者の生体情報（例えば、顔画像）を取得する。

　チェックイン端末１０は、取得した３つの情報（搭乗券情報、パスポート情報、生体情報）を含む「トークン発行要求」を生成する。チェックイン端末１０は、当該生成したトークン発行要求を管理サーバ２０に送信する。

　管理サーバ２０は、トークン発行要求に含まれる搭乗券情報、パスポート情報を取り出す。管理サーバ２０は、当該２つの情報を用いてチェックイン端末１０に提示された搭乗券とパスポートの整合性を判定する。具体的には、管理サーバ２０は、搭乗券が発行された航空機への搭乗が許可された人物と、チェックイン端末１０に提示されたパスポートの発行を受けた人物が一致するか否かを判定する。

　管理サーバ２０は、上記整合性の判定のため、航空会社サーバ３０に対してチェックイン端末１０から取得した搭乗券情報（予約情報の全部又は一部）を送信する。

　航空会社サーバ３０は、取得した搭乗券情報をキーとしてデータベースを検索し、対応するパスポート情報を管理サーバ２０に送信する。

　管理サーバ２０は、チェックイン端末１０から取得したパスポート情報と航空会社サーバ３０から取得したパスポート情報を突き合わせ、これらの情報が一致するか否かを判定する。

　管理サーバ２０は、上記２つのパスポート情報が一致した場合、チェックイン端末１０に提示された搭乗券とパスポートは整合性を備えると判定する。

　その後、管理サーバ２０は、チェックイン端末１０に提示されたパスポートの正当性に関する判定を行う。具体的には、管理サーバ２０は、チェックイン端末１０にパスポートを提示した人物と、当該パスポートの発行を受けた人物と、が同一人物か否かを判定する。より詳細には、管理サーバ２０は、パスポート情報に含まれる顔画像（以下、パスポート顔画像と表記する）とチェックイン端末１０が撮像した顔画像が実質的に一致するか否かを判定する。

　管理サーバ２０は、２つの顔画像（生体情報）が実質的に一致した場合に、システム利用者が正しいパスポートをチェックイン端末１０に提示したと判定する（チェックイン端末１０に提示されたパスポートは正当であると判定する）。

　管理サーバ２０は、２つの判定（搭乗券情報とパスポート情報の整合性に関する判定、チェックイン端末１０に提示されたパスポートの正当性に関する判定）に問題が発見されない場合、システム利用者が搭乗手続きを受けるためのトークンを生成する。

　当該トークンの生成に応じて、管理サーバ２０は、生成したトークンの詳細情報を記憶するデータベース、業務情報を記憶するデータベースそれぞれにエントリを追加する。

　２つの判定の少なくとも一方に問題を発見した場合、管理サーバ２０はチェックイン端末１０からのトークン発行要求を拒否（拒絶）する。

　続いて、第１の実施形態に係る搭乗手続きシステムに含まれる各装置の詳細について説明する。以降の説明では、生体情報として利用者の「顔画像」を例にとり説明を行う。

［チェックイン端末］
　上述のように、チェックイン端末１０は、システム利用者に対して、チェックイン手続とシステム登録に関する操作を提供する装置である。

　図３は、第１の実施形態に係るチェックイン端末１０の処理構成（処理モジュール）の一例を示す図である。図３を参照すると、チェックイン端末１０は、通信制御部２０１と、システム登録部２０２と、トークン発行要求部２０３と、メッセージ出力部２０４と、チェックイン実行部２０５と、記憶部２０６と、を含む。

　通信制御部２０１は、他の装置との間の通信を制御する手段である。具体的には、通信制御部２０１は、管理サーバ２０、航空会社サーバ３０からデータ（パケット）を受信する。また、通信制御部２０１は、管理サーバ２０、航空会社サーバ３０に向けてデータを送信する。通信制御部２０１は、他の装置から受信したデータを他の処理モジュールに引き渡す。通信制御部２０１は、他の処理モジュールから取得したデータを他の装置に向けて送信する。このように、他の処理モジュールは、通信制御部２０１を介して他の装置とデータの送受信を行う。通信制御部２０１は、送信部及び受信部として機能する。

　システム登録部２０２は、生体認証による搭乗手続きを希望する利用者のシステム登録を行う手段である。例えば、システム登録部２０２は、チェックイン手続きの終了後に、利用者が「顔画像を用いた搭乗手続き」を希望するか否かを確認するためのＧＵＩ（Graphical User Interface）を当該利用者に提供する（図４参照）。

　利用者がシステム登録を希望すると、システム登録部２０２は、３つの情報（搭乗券情報、パスポート情報、生体情報）を取得するためのＧＵＩを用いて当該３つの情報を取得する。

　システム登録部２０２は、３つのサブモジュールを備える。図５は、第１の実施形態に係るシステム登録部２０２の処理構成（処理モジュール）の一例を示す図である。図５に示すように、システム登録部２０２は、搭乗券情報取得部２１１と、パスポート情報取得部２１２と、生体情報取得部２１３と、を備える。

　搭乗券情報取得部２１１は、システム利用者が所持する搭乗券から搭乗券情報を取得する手段である。搭乗券情報取得部２１１は、スキャナー等の読取機（図示せず）を制御し、搭乗券に記載された情報（搭乗券情報）を取得する。

　搭乗券情報には、氏名（姓、名）、エアラインコード、便名、搭乗日、出発地（搭乗空港）、目的地（到着空港）、シート番号、搭乗時間、到着時間等が含まれる。

　パスポート情報取得部２１２は、システム利用者が所持するパスポートからパスポート情報を取得する手段である。パスポート情報取得部２１２は、スキャナー等の読取機を制御し、パスポートに記載された情報（パスポート情報）を取得する。

　パスポート情報には、パスポート顔画像、氏名、性別、国籍、パスポート番号、パスポート発行国等が含まれる。

　生体情報取得部２１３は、システム利用者の生体情報を取得する手段である。生体情報取得部２１３は、カメラを制御し、システム利用者の顔画像を取得する。例えば、生体情報取得部２１３は、常時又は定期的に撮影する画像中に顔を検出すると、利用者の顔を撮影してその顔画像を取得する。

　生体情報取得部２１３は、顔画像を撮影する前に、メッセージ出力部２０４を介して顔画像の撮影に関する案内メッセージを表示するのが望ましい。例えば、生体情報取得部２１３は、「お客様の顔画像を撮影し、システムに登録いたします。登録された顔画像は、搭乗完了後にシステムから削除されます」といったメッセージを表示する。

　システム登録部２０２は、取得した３つの情報（搭乗券情報、パスポート情報、生体情報）をトークン発行要求部２０３に引き渡す。

　図３に示すトークン発行要求部２０３は、管理サーバ２０に対してトークンの発行を要求する手段である。トークン発行要求部２０３は、搭乗券情報、パスポート情報及び生体情報（顔画像）を含むトークン発行要求を生成する。例えば、トークン発行要求部２０３は、自装置の識別子（以下、チェックイン端末識別子と表記する）、上記搭乗券情報等を含むトークン発行要求を生成する（図６参照）。チェックイン端末識別子には、チェックイン端末１０のMAC（Media Access Control）アドレスやIP（Internet Protocol）アドレスを用いることができる。トークン発行要求部２０３は、生成したトークン発行要求を管理サーバ２０に送信する。

　トークン発行要求部２０３は、管理サーバ２０から取得した応答（トークン発行要求に対する応答）をメッセージ出力部２０４に引き渡す。

　メッセージ出力部２０４は、種々のメッセージを出力する手段である。例えば、メッセージ出力部２０４は、管理サーバ２０から取得した応答に応じたメッセージを出力する。

　トークンの発行に成功した旨の応答（肯定応答）を受信した場合には、メッセージ出力部２０４は、その旨を出力する。例えば、メッセージ出力部２０４は、「今後の手続きは顔認証により行うことができます」といったメッセージを出力する。

　トークンの発行に失敗した旨の応答（否定応答）を受信した場合には、メッセージ出力部２０４は、その旨を出力する。例えば、メッセージ出力部２０４は、「申し訳ありません。顔認証による手続きは行えません。有人のブースに向かってください」といったメッセージを出力する。

　チェックイン実行部２０５は、利用者のチェックイン手続きを行う手段である。チェックイン実行部２０５は、利用者が提示した航空券に基づいて座席の選択等のチェックイン手続きを実行する。例えば、チェックイン実行部２０５は、航空券に記載された情報をＤＣＳ（航空会社サーバ３０）に送信し、当該ＤＣＳから搭乗券に記載する情報を取得する。なお、チェックイン実行部２０５の動作は既存のチェックイン端末の動作と同一とすることができるのでより詳細な説明を省略する。

　記憶部２０６は、チェックイン端末１０の動作に必要な情報を記憶する手段である。

［手荷物預け機］
　図７は、第１の実施形態に係る手荷物預け機１１の処理構成（処理モジュール）の一例を示す図である。図７を参照すると、手荷物預け機１１は、通信制御部３０１と、生体情報取得部３０２と、認証要求部３０３と、機能実現部３０４と、記憶部３０５と、を含む。

　通信制御部３０１は、他の装置との間の通信を制御する手段である。具体的には、通信制御部３０１は、管理サーバ２０からデータ（パケット）を受信する。また、通信制御部３０１は、管理サーバ２０に向けてデータを送信する。通信制御部３０１は、他の装置から受信したデータを他の処理モジュールに引き渡す。通信制御部３０１は、他の処理モジュールから取得したデータを他の装置に向けて送信する。このように、他の処理モジュールは、通信制御部３０１を介して他の装置とデータの送受信を行う。通信制御部３０１は、送信部及び受信部として機能する。

　生体情報取得部３０２は、カメラ（図示せず）を制御し、利用者の生体情報を取得する手段である。生体情報取得部３０２は、定期的又は所定のタイミングにおいて自装置の前方を撮像する。生体情報取得部３０２は、取得した画像に人の顔画像が含まれるか否かを判定し、顔画像が含まれる場合には取得した画像データから顔画像を抽出する。

　なお、生体情報取得部３０２による顔画像の検出処理や顔画像の抽出処理には既存の技術を用いることができるので詳細な説明を省略する。例えば、生体情報取得部３０２は、ＣＮＮ（Convolutional Neural Network）により学習された学習モデルを用いて、画像データの中から顔画像（顔領域）を抽出してもよい。あるいは、生体情報取得部３０２は、テンプレートマッチング等の手法を用いて顔画像を抽出してもよい。

　生体情報取得部３０２は、抽出した顔画像を認証要求部３０３に引き渡す。

　認証要求部３０３は、管理サーバ２０に対して面前の利用者に関する認証を要求する手段である。認証要求部３０３は、取得した顔画像を含む認証要求を生成し、管理サーバ２０に送信する。

　認証要求部３０３は、認証要求に対する管理サーバ２０からの応答を受信する。

　認証要求部３０３は、認証結果が「認証失敗」であれば、その旨を訪問者に通知する。

　認証要求部３０３は、認証結果が「認証成功」であれば、その旨を機能実現部３０４に通知する。また、認証要求部３０３は、管理サーバ２０から取得した「業務情報」を機能実現部３０４に引き渡す。

　機能実現部３０４は、手荷物預け機１１の「手荷物預け入れ」機能を実現する手段である。機能実現部３０４は、取得した業務情報から利用者が預け入れを行った手荷物の搭乗便を特定し、手荷物が当該搭乗便に収容されるようにラベル等を付与する。なお、機能実現部３０４の動作は既存の手荷物預け機の動作と同一とすることができるので詳細な説明を省略する。

　記憶部３０５は、手荷物預け機１１の動作に必要な情報を記憶する手段である。

［他の端末］
　搭乗手続きシステムに含まれる他の端末（旅客通過システム１２、ゲート装置１３、搭乗ゲート装置１４）の基本的な処理構成は、図７に示す手荷物預け機１１の処理構成と同一とすることができるので詳細な説明を省略する。いずれの端末も、システム利用者の生体情報（顔画像）を取得し、当該取得した生体情報を用いた認証を管理サーバ２０に要求する。認証に成功すると、各端末に割り当てられた機能が実行される。

［管理サーバ］
　図８は、第１の実施形態に係る管理サーバ２０の処理構成（処理モジュール）の一例を示す図である。図８を参照すると、管理サーバ２０は、通信制御部４０１と、トークン生成部４０２と、データベース管理部４０３と、認証要求処理部４０４と、記憶部４０５と、を含む。

　通信制御部４０１は、他の装置との間の通信を制御する手段である。具体的には、通信制御部４０１は、チェックイン端末１０等からデータ（パケット）を受信する。また、通信制御部４０１は、チェックイン端末１０等に向けてデータを送信する。通信制御部４０１は、他の装置から受信したデータを他の処理モジュールに引き渡す。通信制御部４０１は、他の処理モジュールから取得したデータを他の装置に向けて送信する。このように、他の処理モジュールは、通信制御部４０１を介して他の装置とデータの送受信を行う。通信制御部４０１は、送信部及び受信部として機能する。

　トークン生成部４０２は、チェックイン端末１０からのトークン生成要求に応じてトークンを生成する手段である。トークン生成部４０２は、上記説明した２つの判定に成功した場合に、トークンを発行する。

　第１の判定は、搭乗券情報とパスポート情報の整合性に関する判定である。第２の判定は、チェックイン端末１０に提示されたパスポートの正当性に関する判定である。

　トークン生成部４０２は、第１の判定を行う。トークン生成部４０２は、搭乗券が発行された航空機への搭乗が許可された人物とチェックイン端末１０に提示されたパスポートの発行を受けた人物が一致するか否かの判定を行う。具体的には、トークン生成部４０２は、ＤＣＳ（航空会社サーバ３０）に搭乗者として利用者Ａが登録されながら、チェックイン端末１０に提示されたパスポートは利用者Ｂに発行されているような状況が発生していないことを確認する。即ち、トークン生成部４０２は、搭乗券（航空券）を発行する際の基礎となったパスポートと、システム登録時に提示されたパスポートの同一性を第１の判定にて確認している。

　トークン生成部４０２は、チェックイン端末１０から取得した搭乗券情報を航空会社サーバ３０に送信する。具体的には、トークン生成部４０２は、航空会社サーバ３０に記憶された複数の予約情報のうち１つの予約情報を特定可能な搭乗券情報を航空会社サーバ３０に送信する。例えば、トークン生成部４０２は、エアラインコード、便名、搭乗日、シート番号等の搭乗券情報として航空会社サーバ３０に送信する。

　航空会社サーバ３０は、データベースを検索し、取得した搭乗券情報に対応するパスポート情報を特定する。航空会社サーバ３０は、当該特定したパスポート情報を管理サーバ２０に送信（返信）する。

　トークン生成部４０２は、チェックイン端末１０から取得したパスポート情報と、航空会社サーバ３０から取得したパスポート情報と、を比較し両者が一致するか否かを判定する。その際、トークン生成部４０２は、パスポートに記載された全ての情報が一致することを確認してもよいし、一部の情報が一致することを確認してもよい。

　一部の情報が一致するか否かを判定する場合には、例えば、トークン生成部４０２は、２つのパスポート情報に含まれる、パスポート番号と発行国のそれぞれが一致するか否かを判定する。なお、氏名については、同一性の判定に不向きな側面もあるので、２つのパスポート情報が一致するか否かの判定には、氏名とは異なる情報（パスポート番号、発行国の組み合わせ）が用いられるのが望ましい。

　トークン生成部４０２は、上記２つのパスポート情報が一致すると、チェックイン端末１０に提示された搭乗券とパスポートの整合性は取れていると判断する。トークン生成部４０２は、上記２つのパスポート情報が一致しないと、チェックイン端末１０に提示された搭乗券とパスポートの整合性は取れていないと判断する。

　トークン生成部４０２は、第２の判定を行う。トークン生成部４０２は、チェックイン端末１０にパスポートを提示した人物と、当該パスポートの発行を受けた人物と、が同一人物か否かを判定する。具体的には、チェックイン端末１０に提示されたパスポートは利用者Ｃに対して発行されたが、チェックイン端末１０の前に立つ利用者は利用者Ｄであるような状況が発生してないことを確認する。即ち、チェックイン端末１０は、システム利用者が別人に発行されたパスポートをチェックイン端末１０に提示していないことの確認を行う。

　第２の判定を実行するため、トークン生成部４０２は、トークン生成要求に含まれる顔画像（システム利用者の顔画像）とパスポート情報に含まれるパスポート顔画像を抽出する。トークン生成部４０２は、これら２つの顔画像が実質的に一致するか否かを判定する。

　トークン生成部４０２は、上記２枚の顔画像の照合（１対１照合）を実行する。トークン生成部４０２は、２つの画像それぞれから特徴ベクトルを算出する。トークン生成部４０２は、当該２つの画像の類似度（例えば、ユークリッド距離）を算出し、当該算出した類似度に対する閾値処理の結果に基づき、２つの画像が同一人物の顔画像か否かを判定する。例えば、類似度が所定の値よりも大きければ（距離が所定の値よりも短ければ）、トークン生成部４０２は、２つの顔画像は同一人物によるものと判定する。

　トークン生成部４０２は、搭乗券及びパスポートの整合性判定（第１の判定）と、生体情報を用いたパスポートの正当性判定（第２の判定）に成功すると、トークンを発行する。例えば、トークン生成部４０２は、処理時の日時やシーケンス番号等に基づいて固有な値をトークンＩＤとして生成する。

　トークン生成部４０２は、トークン（トークンＩＤ）を生成すると、チェックイン端末１０に対して肯定応答（トークン発行）を送信する。トークン生成部４０２は、トークンＩＤの生成に失敗すると、チェックイン端末１０に対して否定応答（トークン非発行）を送信する。

　トークン生成部４０２は、トークンＩＤの生成（発行）に成功すると、生成したトークンＩＤ、搭乗券情報、パスポート情報、顔画像（システム利用者の顔画像）をデータベース管理部４０３に引き渡す。

　データベース管理部４０３は、管理サーバ２０に構築された各種データベースを管理する手段である。

　管理サーバ２０は、トークンＩＤ情報データベースと業務情報データベースと、を備える。

　トークンＩＤ情報データベースは、少なくともトークンＩＤと利用者の生体情報を対応付けて記憶する。図９は、トークンＩＤ情報データベースの一例を示す図である。図９を参照すると、トークンＩＤ情報データベースは、トークンＩＤ、登録顔画像、特徴量、トークン発行時刻、トークン発行デバイス名、無効フラグ及び無効化時刻を記憶するフィールド等を有する。

　上述のように、トークンＩＤは一時的に発行される識別子である。利用者が搭乗ゲート装置１４での手続きを終えると、当該トークンＩＤは無効化される。即ち、トークンＩＤは、永続的に使用される識別子ではなく、有効期間（ライフサイクル）を有するワンタイムＩＤである。

　登録顔画像は、システム利用者の顔画像である。例えば、登録顔画像は、チェックイン端末１０が撮像した利用者の顔画像であってもよいし、パスポート顔画像であってもよい。特徴量は、顔画像から生成される特徴ベクトルである。トークン発行時刻は、管理サーバ２０がトークンＩＤを発行した時刻である。デバイス名は、トークンＩＤの発行の契機となった登録顔画像の取得元のデバイス名（チェックイン端末１０）である。無効フラグは、トークンＩＤが現時点で有効であるか否かを示すフラグ情報である。無効フラグは、トークンＩＤが有効であれば「１」にセットされ、無効であれば「０」にクリアされる。無効化時刻は、トークンＩＤが無効化されたときのタイムスタンプである。

　業務情報データベースは、利用者の搭乗手続きを行う際に必要な情報（業務情報）を管理するデータベースである。図１０は、業務情報データベースの一例を示す図である。図１０を参照すると、業務情報データベースは、トークンＩＤ、搭乗者名、出発地、目的地、エアラインコード、便番号、運行年月日等を記憶するフィールドを有する。業務情報データベースは、上記フィールドに加え、シート番号、国籍、旅券番号、姓、名、生年月日及び性別等を記憶するフィールドを有していてもよい。業務情報データベースは、所定の業務（各タッチポイントで行われる手続き業務）に関する業務情報をトークンＩＤごとに記憶している。

　業務情報データベースに格納される上記情報は、搭乗券情報及びパスポート情報から取得される。

　データベース管理部４０３は、トークン生成部４０２からトークンＩＤを取得すると（トークンＩＤが発行されると）、上記２つのデータベースに新規エントリを追加する。データベース管理部４０３は、各データベースのフィールドに設定値を設定する。例えば、データベース管理部４０３は、登録顔画像から特徴量を生成し、当該生成した特徴量をトークンＩＤ情報データベースに登録する。なお、設定値を設定できないフィールドに関しては、データベース管理部４０３は、初期値（デフォルト値）を設定してもよい。

　認証要求処理部４０４は、端末から取得する認証要求を処理する手段である。認証要求には、被認証者の生体情報が含まれる。認証要求処理部４０４は、認証要求に含まれる生体情報とトークンＩＤ情報データベースに含まれる生体情報を用いた照合処理（１対Ｎ照合）を実行する。

　認証要求処理部４０４は、端末から取得した顔画像から特徴量を生成する。認証要求処理部４０４は、顔画像から特徴点を抽出する。なお、特徴点の抽出処理に関しては既存の技術を用いることができるのでその詳細な説明を省略する。例えば、認証要求処理部４０４は、顔画像から目、鼻、口等を特徴点として抽出する。その後、認証要求処理部４０４は、特徴点それぞれの位置や各特徴点間の距離を特徴量として計算し、複数の特徴量からなる特徴ベクトルを生成する。

　認証要求処理部４０４は、当該生成した特徴量（特徴ベクトル）を照合側の特徴量、トークンＩＤ情報データベースに登録された特徴量を登録側の特徴量にそれぞれ設定する。認証要求処理部４０４は、照合側の特徴量と登録側の複数の特徴量それぞれとの間の類似度を計算する。当該類似度には、カイ二乗距離やユークリッド距離等を用いることができる。なお、距離が離れているほど類似度は低く、距離が近いほど類似度が高い。

　認証要求処理部４０４は、トークンＩＤ情報データベースに登録された複数の特徴量のうち、照合対象の特徴量との間の類似度が所定の値以上の特徴量が存在すれば認証に成功したと判断する。

　認証に成功すると、認証要求処理部４０４は、類似度の最も高い特徴量に対応するトークンＩＤを特定する。認証要求処理部４０４は、特定されたトークンＩＤをキーとして業務情報データベースを検索し、対応する業務情報（搭乗者名、出発地等）を特定する。

　認証要求処理部４０４は、認証結果を端末に送信する（認証要求に応答する）。認証に成功した場合には、認証要求処理部４０４は、その旨（認証成功）と業務情報を含む応答を端末に送信する。認証に失敗した場合には、認証要求処理部４０４は、その旨（認証失敗）を含む応答を端末に送信する。

　記憶部４０５は、管理サーバ２０の動作に必要な各種情報を記憶する。記憶部４０５には、トークンＩＤ情報データベース、業務情報データベースが構築される。

［システム動作］
　続いて、第１の実施形態に係る搭乗手続きシステムの動作を説明する。図１１は、第１の実施形態に係る搭乗手続きシステムの動作の一例を示すシーケンス図である。なお、図１１を用いて利用者のシステム登録をする際の動作を説明する。

　チェックイン端末１０は、トークン発行要求を管理サーバ２０に送信する（ステップＳ０１）。

　トークン発行要求を受信すると、管理サーバ２０は、搭乗券情報とパスポート情報の整合性に関する判定を実行する（第１の判定を実行する）。

　管理サーバ２０は、チェックイン端末１０から取得した搭乗券情報の全部又は一部を航空会社サーバ３０に送信する（ステップＳ０２）。

　航空会社サーバ３０は、データベースを検索し、取得した搭乗券情報に対応するパスポート情報の全部又は一部を管理サーバ２０に送信する（ステップＳ０３）。

　管理サーバ２０は、チェックイン端末１０から取得したパスポート情報と航空会社サーバ３０から取得したパスポート情報が一致するか否かを判定する（ステップＳ０４）。即ち、管理サーバ２０は、上記２つのパスポート情報が同じパスポートに記載された情報（同じパスポートから得られる情報）であるか否かを判定する。

　２つのパスポート情報が一致しなければ（ステップＳ０４、Ｎｏ分岐）、管理サーバ２０は、トークン発行要求を拒否する。この場合、管理サーバ２０は、チェックイン端末１０に対して否定応答を送信する（ステップＳ０８）。

　２つのパスポート情報が一致すれば（ステップＳ０４、Ｙｅｓ分岐）、管理サーバ２０は、パスポートの正当性に関する判定を実行する（第２の判定を実行する）。

　管理サーバ２０は、チェックイン端末１０が撮像した顔画像とパスポート顔画像が一致するか否かを判定する（ステップＳ０５）。

　２つの顔画像が一致しなければ（ステップＳ０５、Ｎｏ分岐）、管理サーバ２０は、トークン発行要求を拒否する。この場合、管理サーバ２０は、チェックイン端末１０に対して否定応答を送信する（ステップＳ０８）。

　２つの顔画像が一致すれば（ステップＳ０５、Ｙｅｓ分岐）、管理サーバ２０は、トークンを発行する（ステップＳ０６）。この場合、管理サーバ２０は、チェックイン端末１０に対して肯定応答を送信する（ステップＳ０７）。

　以上のように、第１の実施形態に係る管理サーバ２０は、チェックイン端末１０から、少なくとも搭乗券情報とパスポート情報を含むトークン発行要求を受信する。管理サーバ２０は、搭乗券情報とパスポート情報の整合性に関する第１の判定を行う。管理サーバ２０は、第１の判定の結果に基づき、利用者が生体情報を用いた搭乗手続きを利用するためのトークンを生成する。より詳細には、管理サーバ２０は、取得した搭乗券情報を航空会社サーバ３０に送信し、当該航空会社サーバ３０から送信された搭乗券情報に対応したパスポート情報を受信する。管理サーバ２０は、トークン発行要求に含まれるパスポート情報と航空会社サーバ３０から受信したパスポート情報が一致し、提示されたパスポートが正当である場合に、トークンを生成する。その結果、生体認証を用いた搭乗手続きを受ける資格がない利用者に対し、当該手続きを利用するためのトークンは発行されない。そのため、生体認証を用いた搭乗手続きを利用する資格を備えていない利用者は、生体認証を用いた搭乗手続きの対象から排除される。

　また、管理サーバ２０は、パスポートの正当性に関する第２の判定を実行することで、他人のパスポートを利用して生体認証を用いて搭乗手続きを利用しようとする利用者を排除する。第１の実施形態に係る搭乗手続きシステムでは、パスポート（パスポート情報）を起点として、搭乗者とチェックイン端末１０を操作する利用者（システム利用者）の同一性と、パスポートの発行を受けた利用者とシステム利用者の同一性と、を確認している。このような２つの判定により、真に生体認証を受ける資格を有する利用者に対してトークンが発行されることが担保され、搭乗券やパスポートを不正に入手した利用者（搭乗者等になりすました利用者）に対してトークンが発行されることを防止する。

　続いて、搭乗手続きシステムを構成する各装置のハードウェアについて説明する。図１２は、管理サーバ２０のハードウェア構成の一例を示す図である。

　管理サーバ２０は、情報処理装置（所謂、コンピュータ）により構成可能であり、図１２に例示する構成を備える。例えば、管理サーバ２０は、プロセッサ３１１、メモリ３１２、入出力インターフェイス３１３及び通信インターフェイス３１４等を備える。上記プロセッサ３１１等の構成要素は内部バス等により接続され、相互に通信可能に構成されている。

　但し、図１２に示す構成は、管理サーバ２０のハードウェア構成を限定する趣旨ではない。管理サーバ２０は、図示しないハードウェアを含んでもよいし、必要に応じて入出力インターフェイス３１３を備えていなくともよい。また、管理サーバ２０に含まれるプロセッサ３１１等の数も図１２の例示に限定する趣旨ではなく、例えば、複数のプロセッサ３１１が管理サーバ２０に含まれていてもよい。

　プロセッサ３１１は、例えば、ＣＰＵ（Central Processing Unit）、ＭＰＵ（Micro Processing Unit）、ＤＳＰ（Digital Signal Processor）等のプログラマブルなデバイスである。あるいは、プロセッサ３１１は、ＦＰＧＡ（Field Programmable Gate Array）、ＡＳＩＣ（Application Specific Integrated Circuit）等のデバイスであってもよい。プロセッサ３１１は、オペレーティングシステム（ＯＳ；Operating System）を含む各種プログラムを実行する。

　メモリ３１２は、ＲＡＭ（Random Access Memory）、ＲＯＭ（Read Only Memory）、ＨＤＤ（Hard Disk Drive）、ＳＳＤ（Solid State Drive）等である。メモリ３１２は、ＯＳプログラム、アプリケーションプログラム、各種データを格納する。

　入出力インターフェイス３１３は、図示しない表示装置や入力装置のインターフェイスである。表示装置は、例えば、液晶ディスプレイ等である。入力装置は、例えば、キーボードやマウス等のユーザ操作を受け付ける装置である。

　通信インターフェイス３１４は、他の装置と通信を行う回路、モジュール等である。例えば、通信インターフェイス３１４は、ＮＩＣ（Network Interface Card）等を備える。

　管理サーバ２０の機能は、各種処理モジュールにより実現される。当該処理モジュールは、例えば、メモリ３１２に格納されたプログラムをプロセッサ３１１が実行することで実現される。また、当該プログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント（non-transitory）なものとすることができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。また、上記プログラムは、ネットワークを介してダウンロードするか、あるいは、プログラムを記憶した記憶媒体を用いて、更新することができる。さらに、上記処理モジュールは、半導体チップにより実現されてもよい。

　なお、チェックイン端末１０、航空会社サーバ３０等も管理サーバ２０と同様に情報処理装置により構成可能であり、その基本的なハードウェア構成は管理サーバ２０と相違する点はないので説明を省略する。チェックイン端末１０等は、カメラやスキャナー等を備えていればよい。

　管理サーバ２０は、コンピュータを搭載し、当該コンピュータにプログラムを実行させることで管理サーバ２０の機能が実現できる。また、管理サーバ２０は、当該プログラムによりトークン発行方法を実行する。

［変形例］
　なお、上記実施形態にて説明した搭乗手続きシステムの構成、動作等は例示であって、システムの構成等を限定する趣旨ではない。

　上記実施形態では、第１の判定と第２の判定の両方で問題が検出されない場合、トークンが発行される場合について説明した。しかし、利用者が正しいパスポートを所持していることが他の装置等で確認できていれば、管理サーバ２０が第２の判定を実行しなくともよい。あるいは、空港や航空会社のスタッフ等により、パスポートの正当性に関する事前検証が行われているような場合にも、第２の判定は不要となる。この場合、管理サーバ２０は、少なくとも搭乗券情報とパスポート情報を含むトークン発行要求を受信し、第１の判定をすればよい。

　上記実施形態では、利用者のチェックイン手続きの後にシステム登録がされることを説明したが、チェックイン手続きの前にシステム登録がなされてもよい。この場合、チェックイン手続きの前に搭乗券は発行されていないので、管理サーバ２０は、搭乗券に替えて航空券とパスポートの整合性を確認すればよい。即ち、チェックイン端末１０は、航空券情報（航空券に記載された全部又は一部の情報）を管理サーバ２０に送信する。管理サーバ２０は、航空券情報を航空会社サーバ３０に送信し、対応するパスポート情報を取得する。管理サーバ２０は、２つのパスポート情報の一致を確認することで、第１の判定を実行してもよい。

　上記実施形態では、チェックイン端末１０にてシステム登録（生体認証を用いた搭乗手続きを実現するための登録）を行う場合について説明した。しかし、システム登録は、チェックイン端末１０以外の装置、端末にて行われてもよい。例えば、システム登録専用の装置が空港に設置されてもよいし、手荷物預け機１１、旅客通過システム１２等の端末（タッチポイント）でシステム登録が行われてもよい。

　上記実施形態では、一連の搭乗手続きが生体認証により行われる場合について説明したが、一部の手続きが生体認証により行われてもよい。例えば、図２において、手荷物預け機１１にてシステム登録がされ、手荷物預け入れ以降の手続き（保安検査等）が生体認証により行われてもよい。換言するならば、一連の搭乗手続きのうち一部の手続きに関しては有人のブース等にて実施されてもよい。

　上記実施形態では、管理サーバ２０と航空会社サーバ３０は別の装置として説明したが、これらの装置の機能は１つの装置（サーバ）にて実現されてもよい。あるいは、管理サーバ２０に構築される、トークンＩＤ情報データベースや業務情報データベースは、管理サーバ２０とは異なるデータベースサーバに構築されていてもよい。即ち、搭乗手続きシステムには、上記実施形態にて説明した各種手段（例えば、トークン生成手段）等が含まれていればよい。

　上記実施形態では、認証要求には顔画像が含まれる場合について説明したが、認証要求には顔画像から生成された特徴量が含まれていてもよい。この場合、管理サーバ２０は、認証要求から取り出した特徴量とトークンＩＤ情報データベースに登録された特徴量を用いて認証要求を処理すればよい。

　チェックイン端末１０等と管理サーバ２０の間のデータ送受信の形態は特に限定されないが、これら装置間で送受信されるデータは暗号化されていてもよい。搭乗券情報やパスポート情報には個人情報が含まれ、当該個人情報を適切に保護するためには、暗号化されたデータが送受信されることが望ましい。

　上記説明で用いた流れ図（フローチャート、シーケンス図）では、複数の工程（処理）が順番に記載されているが、実施形態で実行される工程の実行順序は、その記載の順番に制限されない。実施形態では、例えば各処理を並行して実行する等、図示される工程の順番を内容的に支障のない範囲で変更することができる。

　上記の実施形態は本願開示の理解を容易にするために詳細に説明したものであり、上記説明したすべての構成が必要であることを意図したものではない。また、複数の実施形態について説明した場合には、各実施形態は単独で用いてもよいし、組み合わせて用いてもよい。例えば、実施形態の構成の一部を他の実施形態の構成に置き換えることや、実施形態の構成に他の実施形態の構成を加えることも可能である。さらに、実施形態の構成の一部について他の構成の追加、削除、置換が可能である。

　上記の説明により、本発明の産業上の利用可能性は明らかであるが、本発明は、空港等における搭乗手続きシステムなどに好適に適用可能である。

　上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
［付記１］
　端末から、少なくとも搭乗券に記載された搭乗券情報及びパスポートに記載されたパスポート情報を含むトークン発行要求を受信する、受信部と、
　前記搭乗券情報と前記パスポート情報の整合性に関する第１の判定を行い、前記第１の判定の結果に基づき、利用者が生体情報を用いた搭乗手続きを利用するためのトークンを生成する、生成部と、
　を備える、管理サーバ。
［付記２］
　前記生成部は、前記搭乗券が発行された航空機への搭乗が許可された人物と前記端末に提示されたパスポートの発行を受けた人物が一致する場合に、前記トークンを生成する、付記１に記載の管理サーバ。
［付記３］
　前記生成部は、前記トークン発行要求に含まれる搭乗券情報を、航空券の予約時に取得したパスポートの情報と前記航空券の予約情報を対応付けて記憶する航空会社サーバに送信し、前記航空会社サーバから前記送信された搭乗券情報に対応したパスポート情報を受信し、
　前記トークン発行要求に含まれるパスポート情報と前記航空会社サーバから受信したパスポート情報が一致する場合に、前記トークンを生成する、付記１又は２に記載の管理サーバ。
［付記４］
　前記生成部は、氏名とは異なる情報を用いて、前記トークン発行要求に含まれるパスポート情報と前記航空会社サーバから受信したパスポート情報が一致するか否かを判定する、付記３に記載の管理サーバ。
［付記５］
　前記生成部は、パスポート番号及び発行国に基づいて、前記トークン発行要求に含まれるパスポート情報と前記航空会社サーバから受信したパスポート情報が一致するか否かを判定する、付記３又は４に記載の管理サーバ。
［付記６］
　前記生成部は、前記端末に提示されたパスポートの正当性に関する第２の判定を行い、前記第１及び第２の判定の結果に基づき、前記トークンを生成する、付記１乃至５のいずれか一に記載の管理サーバ。
［付記７］
　前記生成部は、前記端末にパスポートを提示した人物と、前記端末に提示されたパスポートの発行を受けた人物と、が同一人物か否かを判定することで、前記パスポートの正当性に関する第２の判定を行う、付記６に記載の管理サーバ。
［付記８］
　前記トークン発行要求には、前記利用者の生体情報が含まれ、
　前記生成部は、前記トークン発行要求に含まれる生体情報とパスポートに記載された生体情報を用いた１対１照合により、前記第２の判定を行う、付記６又は７に記載の管理サーバ。
［付記９］
　前記トークン発行要求に対する応答を、前記端末に送信する、送信部をさらに備える、付記１乃至８のいずれか一に記載の管理サーバ。
［付記１０］
　端末と、
　前記端末と接続された管理サーバと、
　を含み、
　前記管理サーバは、
　前記端末から、少なくとも搭乗券に記載された搭乗券情報及びパスポートに記載されたパスポート情報を含むトークン発行要求を受信する、受信部と、
　前記搭乗券情報と前記パスポート情報の整合性に関する第１の判定を行い、前記第１の判定の結果に基づき、利用者が生体情報を用いた搭乗手続きを利用するためのトークンを生成する、生成部と、
　を備える、システム。
［付記１１］
　管理サーバにおいて、
　端末から、少なくとも搭乗券に記載された搭乗券情報及びパスポートに記載されたパスポート情報を含むトークン発行要求を受信し、
　前記搭乗券情報と前記パスポート情報の整合性に関する第１の判定を行い、前記第１の判定の結果に基づき、利用者が生体情報を用いた搭乗手続きを利用するためのトークンを生成する、トークン発行方法。
［付記１２］
　管理サーバに搭載されたコンピュータに、
　端末から、少なくとも搭乗券に記載された搭乗券情報及びパスポートに記載されたパスポート情報を含むトークン発行要求を受信する処理と、
　前記搭乗券情報と前記パスポート情報の整合性に関する第１の判定を行い、前記第１の判定の結果に基づき、利用者が生体情報を用いた搭乗手続きを利用するためのトークンを生成する処理と、
　を実行させるためのプログラムを記憶する、コンピュータ読取可能な記憶媒体。

　なお、引用した上記の先行技術文献の各開示は、本書に引用をもって繰り込むものとする。以上、本発明の実施形態を説明したが、本発明はこれらの実施形態に限定されるものではない。これらの実施形態は例示にすぎないということ、及び、本発明のスコープ及び精神から逸脱することなく様々な変形が可能であるということは、当業者に理解されるであろう。即ち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得る各種変形、修正を含むことは勿論である。

１０　チェックイン端末
１１　手荷物預け機
１２　旅客通過システム
１３　ゲート装置
１４　搭乗ゲート装置
２０、１００　管理サーバ
３０　航空会社サーバ
１０１　受信部
１０２　生成部
２０１、３０１、４０１　通信制御部
２０２　システム登録部
２０３　トークン発行要求部
２０４　メッセージ出力部
２０５　チェックイン実行部
２０６、３０５、４０５　記憶部
２１１　搭乗券情報取得部
２１２　パスポート情報取得部
２１３、３０２　生体情報取得部
３０３　認証要求部
３０４　機能実現部
３１１　プロセッサ
３１２　メモリ
３１３　入出力インターフェイス
３１４　通信インターフェイス
４０２　トークン生成部
４０３　データベース管理部
４０４　認証要求処理部

Claims

　端末から、少なくとも搭乗券に記載された搭乗券情報及びパスポートに記載されたパスポート情報を含むトークン発行要求を受信する、受信部と、
　前記搭乗券情報と前記パスポート情報の整合性に関する第１の判定を行い、前記第１の判定の結果に基づき、利用者が生体情報を用いた搭乗手続きを利用するためのトークンを生成する、生成部と、
　を備える、管理サーバ。
　前記生成部は、前記搭乗券が発行された航空機への搭乗が許可された人物と前記端末に提示されたパスポートの発行を受けた人物が一致する場合に、前記トークンを生成する、請求項１に記載の管理サーバ。
　前記生成部は、前記トークン発行要求に含まれる搭乗券情報を、航空券の予約時に取得したパスポートの情報と前記航空券の予約情報を対応付けて記憶する航空会社サーバに送信し、前記航空会社サーバから前記送信された搭乗券情報に対応したパスポート情報を受信し、
　前記トークン発行要求に含まれるパスポート情報と前記航空会社サーバから受信したパスポート情報が一致する場合に、前記トークンを生成する、請求項１又は２に記載の管理サーバ。
　前記生成部は、氏名とは異なる情報を用いて、前記トークン発行要求に含まれるパスポート情報と前記航空会社サーバから受信したパスポート情報が一致するか否かを判定する、請求項３に記載の管理サーバ。
　前記生成部は、パスポート番号及び発行国に基づいて、前記トークン発行要求に含まれるパスポート情報と前記航空会社サーバから受信したパスポート情報が一致するか否かを判定する、請求項３又は４に記載の管理サーバ。
　前記生成部は、前記端末に提示されたパスポートの正当性に関する第２の判定を行い、前記第１及び第２の判定の結果に基づき、前記トークンを生成する、請求項１乃至５のいずれか一項に記載の管理サーバ。
　前記生成部は、前記端末にパスポートを提示した人物と、前記端末に提示されたパスポートの発行を受けた人物と、が同一人物か否かを判定することで、前記パスポートの正当性に関する第２の判定を行う、請求項６に記載の管理サーバ。
　前記トークン発行要求には、前記利用者の生体情報が含まれ、
　前記生成部は、前記トークン発行要求に含まれる生体情報とパスポートに記載された生体情報を用いた１対１照合により、前記第２の判定を行う、請求項６又は７に記載の管理サーバ。
　前記トークン発行要求に対する応答を、前記端末に送信する、送信部をさらに備える、請求項１乃至８のいずれか一項に記載の管理サーバ。
　端末と、
　前記端末と接続された管理サーバと、
　を含み、
　前記管理サーバは、
　前記端末から、少なくとも搭乗券に記載された搭乗券情報及びパスポートに記載されたパスポート情報を含むトークン発行要求を受信する、受信部と、
　前記搭乗券情報と前記パスポート情報の整合性に関する第１の判定を行い、前記第１の判定の結果に基づき、利用者が生体情報を用いた搭乗手続きを利用するためのトークンを生成する、生成部と、
　を備える、システム。
　管理サーバにおいて、
　端末から、少なくとも搭乗券に記載された搭乗券情報及びパスポートに記載されたパスポート情報を含むトークン発行要求を受信し、
　前記搭乗券情報と前記パスポート情報の整合性に関する第１の判定を行い、前記第１の判定の結果に基づき、利用者が生体情報を用いた搭乗手続きを利用するためのトークンを生成する、トークン発行方法。
　管理サーバに搭載されたコンピュータに、
　端末から、少なくとも搭乗券に記載された搭乗券情報及びパスポートに記載されたパスポート情報を含むトークン発行要求を受信する処理と、
　前記搭乗券情報と前記パスポート情報の整合性に関する第１の判定を行い、前記第１の判定の結果に基づき、利用者が生体情報を用いた搭乗手続きを利用するためのトークンを生成する処理と、
　を実行させるためのプログラムを記憶する、コンピュータ読取可能な記憶媒体。