WO2022059179A1

WO2022059179A1 - 履歴管理装置、履歴管理システム、履歴管理方法及び非一時的なコンピュータ可読媒体

Info

Publication number: WO2022059179A1
Application number: PCT/JP2020/035506
Authority: WO
Inventors: 麻耶齋藤; 耕平沖中
Original assignee: 日本電気株式会社
Priority date: 2020-09-18
Filing date: 2020-09-18
Publication date: 2022-03-24
Also published as: JP2023133323A; JPWO2022059179A1; US20230316840A1

Abstract

履歴管理装置（１）は、生体認証により入場を制限する領域における利用者の利用申請情報（１１１）を記憶する記憶部（１１）と、所定の訪問者が領域の入口における生体認証に成功し、かつ、利用申請情報を満たす場合、当該領域への入場制限を解除する解除制御部（１２）と、生体認証に成功した訪問者の履歴情報を記憶部（１１）に登録する履歴登録部（１３）と、所定の開示要求者の端末から履歴情報の開示要求を受け付けた場合、当該開示要求者の属性に応じて履歴情報に対して所定の加工を行った開示情報を生成する生成部（１４）と、開示情報を端末へ出力する出力部（１５）と、を備える。

Description

履歴管理装置、履歴管理システム、履歴管理方法及び非一時的なコンピュータ可読媒体

　本発明は、履歴管理装置、履歴管理システム、履歴管理方法及び非一時的なコンピュータ可読媒体に関し、特に、所定の領域への訪問者の入場の履歴を管理するための履歴管理装置、履歴管理システム、履歴管理方法及び非一時的なコンピュータ可読媒体に関する。

　マンション等の集合住宅には、住居以外に共用施設が存在する。住民が共用施設を利用するには、事前に利用者を申請して予約し、利用に応じた費用の支払いも行う。また、利用者には、住民以外の訪問者も含めることができる。また、近年、集合住宅ではセキュリティ強化のため、生体認証による共用施設や住居への入場制限が行われることが増えている。

　特許文献１には、事前に顔画像が登録された人物について、施設の入口等で顔認証を行うことにより、施設内への入場を通行制御を行うアクセス制御システムに関する技術が開示されている。当該アクセス制御システムは、入場を許可した人物に対する入場履歴を記憶する。

　特許文献２には、複数の部屋がまとまっている集合住宅等において、顔認証により各部屋への入場（入室）を管理する入場管理装置に関する技術が開示されている。また、当該入場管理装置は、認証履歴を保持し、要求に応じて認証履歴を提示する。

国際公開第２００８／０６６１３０号特開２００２－３５２２９１号公報

　しかしながら、特許文献１及び２には、認証の履歴情報の開示について多様な開示要求者に対して開示範囲を調整することができなかった。例えば、開示要求者には、集合住宅の住人の他に、管理人や集合住宅の開発業者等があり得る。その際、開示範囲を調整する必要がある。

　本開示は、このような問題点を解決するためになされたものであり、認証により入場制限が解除される施設への認証履歴について、開示要求者に応じた適切な開示範囲の制御を行うための履歴管理装置、履歴管理システム、履歴管理方法及び非一時的なコンピュータ可読媒体を提供することを目的とする。

　本開示の第１の態様にかかる履歴管理装置は、
　生体認証により入場を制限する領域における利用者の利用申請情報を記憶する記憶手段と、
　所定の訪問者が前記領域の入口における生体認証に成功し、かつ、前記利用申請情報を満たす場合、当該領域への入場制限を解除する解除制御手段と、
　前記生体認証に成功した訪問者の履歴情報を前記記憶手段に登録する履歴登録手段と、
　所定の開示要求者の端末から前記履歴情報の開示要求を受け付けた場合、当該開示要求者の属性に応じて前記履歴情報に対して所定の加工を行った開示情報を生成する生成手段と、
　前記開示情報を前記端末へ出力する出力手段と、
　を備える。

　本開示の第２の態様にかかる履歴管理システムは、
　生体認証により入場を制限する領域の入口に設置された認証端末と、
　入場制限の解除の履歴情報を管理する履歴管理装置と、
　前記履歴情報に対する開示要求者の端末と、
　を備え、
　前記履歴管理装置は、
　前記領域における利用者の利用申請情報を記憶する記憶手段と、
　所定の訪問者が前記認証端末を介した生体認証に成功し、かつ、前記利用申請情報を満たす場合、当該領域への入場制限を解除する解除制御手段と、
　前記生体認証に成功した訪問者の履歴情報を前記記憶手段に登録する履歴登録手段と、
　前記端末から前記履歴情報の開示要求を受け付けた場合、当該開示要求者の属性に応じて前記履歴情報に対して所定の加工を行った開示情報を生成する生成手段と、
　前記開示情報を前記端末へ出力する出力手段と、
　を備える。

　本開示の第３の態様にかかる履歴管理方法は、
　コンピュータが、
　生体認証により入場を制限する領域の入口における生体認証に所定の訪問者が成功し、かつ、前記領域における利用者の利用申請情報を満たす場合、当該領域への入場制限を解除し、
　前記生体認証に成功した訪問者の履歴情報を記憶装置に登録し、
　所定の開示要求者の端末から前記履歴情報の開示要求を受け付けた場合、当該開示要求者の属性に応じて前記履歴情報に対して所定の加工を行った開示情報を生成し、
　前記開示情報を前記端末へ出力する。

　本開示の第４の態様にかかる履歴管理プログラムが格納された非一時的なコンピュータ可読媒体は、
　生体認証により入場を制限する領域の入口における生体認証に所定の訪問者が成功し、かつ、前記領域における利用者の利用申請情報を満たす場合、当該領域への入場制限を解除する処理と、
　前記生体認証に成功した訪問者の履歴情報を記憶装置に登録する処理と、
　所定の開示要求者の端末から前記履歴情報の開示要求を受け付けた場合、当該開示要求者の属性に応じて前記履歴情報に対して所定の加工を行った開示情報を生成する処理と、
　前記開示情報を前記端末へ出力する処理と、
　をコンピュータに実行させる。

　本開示により、認証により入場制限が解除される施設への認証履歴について、開示要求者に応じた適切な開示範囲の制御を行うための履歴管理装置、履歴管理システム、履歴管理方法及び非一時的なコンピュータ可読媒体を提供することができる。

本実施形態１にかかる履歴管理装置の構成を示すブロック図である。本実施形態１にかかる履歴管理方法の流れを示すフローチャートである。本実施形態２にかかる履歴管理システムの全体構成を示すブロック図である。本実施形態２にかかる認証装置の構成を示すブロック図である。本実施形態２にかかる認証端末の構成を示すブロック図である。本実施形態２にかかる履歴管理装置の構成を示すブロック図である。本実施形態２にかかる利用申請処理の流れを示すフローチャートである。本実施形態２にかかる入場制御処理の流れを示すフローチャートである。本実施形態２にかかる履歴開示処理の流れを示すフローチャートである。本実施形態２にかかる開示情報の例を示す図である。本実施形態２にかかる開示情報の例を示す図である。本実施形態３にかかる履歴管理装置の構成を示すブロック図である。

　以下では、本開示の実施形態について、図面を参照しながら詳細に説明する。各図面において、同一又は対応する要素には同一の符号が付されており、説明の明確化のため、必要に応じて重複説明は省略される。

＜実施形態１＞
　図１は、本実施形態１にかかる履歴管理装置１の構成を示すブロック図である。履歴管理装置１は、生体認証により入場を制限する領域において、事前に利用申請された訪問者の生体認証に応じた入場制限の解除の履歴を蓄積し、所定の開示要求者に対して履歴の開示を行うための情報処理装置である。ここで、履歴管理装置１は、ネットワーク（不図示）に接続される。ネットワークは、有線であっても無線であってもよい。また、当該ネットワークには、領域への入場制限を行うための認証端末（施錠システム、不図示）と、履歴情報の開示要求者の端末と接続されている。そして、施錠システムは、領域の入口に設置されており、履歴管理装置１から解除指示に応じて当該入口の施錠を解除できる。また、端末は、開示要求者が操作する情報端末である。

　履歴管理装置１は、記憶部１１、解除制御部１２、履歴登録部１３、生成部１４及び出力部１５を備える。記憶部１１は、生体認証により入場を制限する領域における利用者の利用申請情報１１１を記憶する記憶装置である。解除制御部１２は、所定の訪問者が領域の入口における生体認証に成功し、かつ、利用申請情報１１１を満たす場合、当該領域への入場制限を解除する。履歴登録部１３は、生体認証に成功した訪問者の履歴情報を記憶部１１に登録する。生成部１４は、所定の開示要求者の端末から履歴情報の開示要求を受け付けた場合、当該開示要求者の属性に応じて履歴情報に対して所定の加工を行った開示情報を生成する。出力部１５は、開示情報を端末へ出力する。

　図２は、本実施形態１にかかる履歴管理方法の流れを示すフローチャートである。前提として、記憶部１１には、利用申請情報１１１が予め登録されているものとする。そして、所定の訪問者が領域の入口に到着したものとする。そして、領域の入口に設置された認証端末は、訪問者から生体情報を取得し、履歴管理装置１へ生体情報を含めた生体認証要求を送信する。

　ここで、解除制御部１２は、受信した生体認証要求に含まれる生体情報について、事前に登録された複数の人物の生体情報との生体認証を制御する。尚、複数の人物の生体情報が予め履歴管理装置１に保存されている場合、解除制御部１２は、認証処理を行う。または、複数の人物の顔特徴情報が予め履歴管理装置１の外部の認証装置（不図示）に保存されている場合、解除制御部１２は、認証装置に認証を行わせ、認証結果を取得する。

　そして、解除制御部１２は、生体認証に成功したか否かを判定する。生体認証に成功した場合、解除制御部１２は、生体認証に成功したユーザ（訪問者）が利用者として利用申請情報１１１を満たすか否かを判定する（Ｓ１１）。

　ステップＳ１１において、訪問者が生体認証に成功、かつ、利用申請情報１１１を満たす場合、解除制御部１２は、領域への入場制限を解除する（Ｓ１２）。例えば、解除制御部１２は、領域の入口に設置された認証端末（施錠システム）に対して解除指示を送信する。これに応じて、認証端末は、領域への入場制限を解除する。そして、履歴登録部１３は、生体認証に成功した訪問者の履歴情報を記憶部１１に登録する（Ｓ１３）。

　その後、生成部１４は、所定の開示要求者の端末から履歴情報の開示要求を受け付けたか否かを判定する（Ｓ１４）。開示要求を受け付けた場合、生成部１４は、当該開示要求者の属性に応じて履歴情報に対して所定の加工を行った開示情報を生成する（Ｓ１５）。そして、出力部１５は、開示情報を端末へ出力する（Ｓ１６）。

　このように、本実施形態では、事前に利用申請された訪問者が領域の入口で生体認証に成功し、かつ、利用申請情報を満たす場合、当該領域への入場制限が解除され、その際、履歴情報が保存される。ここで、履歴情報には、認証に関する情報に加え、訪問者、利用申請の申請者に関する情報等が含まれ、訪問者や申請者の個人情報が含まれる。そこで、履歴管理装置１は、開示要求者の属性に応じて履歴情報に対して所定の加工を行った開示情報を生成し、開示要求へ提示する。つまり、ある開示要求者に対する開示情報には、個人情報を含め、他の開示要求者に対する開示情報には、個人情報を除外することもできある。そのため、認証により入場制限が解除される施設への認証履歴について、開示要求者に応じた適切な開示範囲の制御を行うことができる。

　尚、履歴管理装置１は、図示しない構成としてプロセッサ、メモリ及び記憶装置を備えるものである。また、当該記憶装置には、本実施形態にかかる履歴管理方法の処理が実装されたコンピュータプログラムが記憶されている。そして、当該プロセッサは、記憶装置からコンピュータプログラムを前記メモリへ読み込ませ、当該コンピュータプログラムを実行する。これにより、前記プロセッサは、解除制御部１２、履歴登録部１３、生成部１４及び出力部１５の機能を実現する。

　または、解除制御部１２、履歴登録部１３、生成部１４及び出力部１５は、それぞれが専用のハードウェアで実現されていてもよい。また、各装置の各構成要素の一部又は全部は、汎用または専用の回路（circuitry）、プロセッサ等やこれらの組合せによって実現されもよい。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。各装置の各構成要素の一部又は全部は、上述した回路等とプログラムとの組合せによって実現されてもよい。また、プロセッサとして、ＣＰＵ（Central Processing Unit）、ＧＰＵ（Graphics Processing Unit）、ＦＰＧＡ（field-programmable gate array）、量子プロセッサ（量子コンピュータ制御チップ）等を用いることができる。

　また、履歴管理装置１の各構成要素の一部又は全部が複数の情報処理装置や回路等により実現される場合には、複数の情報処理装置や回路等は、集中配置されてもよいし、分散配置されてもよい。例えば、情報処理装置や回路等は、クライアントサーバシステム、クラウドコンピューティングシステム等、各々が通信ネットワークを介して接続される形態として実現されてもよい。また、履歴管理装置１の機能がＳａａＳ（Software as a Service）形式で提供されてもよい。

＜実施形態２＞
　実施形態２は、上述した実施形態１の具体例である。図３は、本実施形態２にかかる履歴管理システム１０００の全体構成を示すブロック図である。履歴管理システム１０００は、集合住宅７００に存在する各領域（エントランス３００ａ、ＥＶホール３００ｂ、シアタールーム３００ｃ、住居３００ｄ及び住居３００ｅ）への入場を制御するための情報システムである。尚、集合住宅７００の領域の例や配置はこれらに限定されない。履歴管理システム１０００は、認証端末１００ａ～１００ｅ、ゲート装置２００ａ～２００ｅ、端末４０１及び４０２、履歴管理装置５００並びに認証装置６００を含む。また、認証端末１００ａ～１００ｅ、端末４０１及び４０２、履歴管理装置５００並びに認証装置６００のそれぞれは、ネットワークＮを介して接続されている。ここで、ネットワークＮは、有線又は無線の通信回線である。尚、以下の説明では、生体認証を顔認証とし、生体情報を顔特徴情報とするが、生体認証及び生体情報は撮影画像を利用する他の技術を適用可能である。例えば、生体情報は、指紋、声紋、静脈、網膜、瞳の虹彩の模様（パターン）といった個人に固有の身体的特徴から計算されるデータ（特徴量）を用いても構わない。

　まず、集合住宅７００の住人Ｕ１１、住人Ｕ１２等は、自身の顔画像や個人情報（氏名、性別、クレジット情報等）や使用する端末情報を履歴管理装置５００及び認証装置６００に登録済みとする。つまり、住人Ｕ１１等は、集合住宅７００の正規ユーザの一例である。また、集合住宅７００は、住居の他に共用施設（スタディルーム、シアタールーム、駐車場等）が存在する。そして、住居及び共用施設のそれぞれを「領域」と呼ぶものとする。特に、住人Ｕ１１等は、共用施設を利用するためには予約が必要であり、費用がかかるものとする。

　エントランス３００ａ、ＥＶホール３００ｂ、シアタールーム３００ｃ、住居３００ｄ及び住居３００ｅは、生体認証により入場を制限する領域の一例である。尚、エントランス３００ａ、ＥＶホール３００ｂ及びシアタールーム３００ｃは、集合住宅７００の共用施設の一例である。エントランス３００ａの入口には、認証端末１００ａ及びゲート装置２００ａが設置されている。エントランス３００ａとＥＶホール３００ｂ及びシアタールーム３００ｃは隣接するものとする。そのため、エントランス３００ａとＥＶホール３００ｂの境界には、ＥＶホール３００ｂの入口に設置された認証端末１００ｂ及びゲート装置２００ｂが設置されている。また、エントランス３００ａとシアタールーム３００ｃの境界には、シアタールーム３００ｃの入口に設置された認証端末１００ｃ及びゲート装置２００ｃが設置されている。また、ＥＶホール３００ｂ内には１以上のエレベータ（ＥＶ）が設置され、あるエレベータにより住居３００ｄ及び３００ｅのフロアへ移動が可能とする。住居３００ｄの入口には、認証端末１００ｄ及びゲート装置２００ｄが設置されている。また、住居３００ｅの入口には、認証端末１００ｅ及びゲート装置２００ｅが設置されている。

　例えば、集合住宅７００の住人Ｕ１１は、訪問者Ｕ２１がエントランス３００ａに入室するための利用申請を、端末４０１を用いて事前に行っているものとする。その場合、訪問者Ｕ２１は、認証端末１００ａを介した顔認証に成功し、ゲート装置２００ａが解錠され、エントランス３００ａに入室できる。
　また、例えば、集合住宅７００の住人Ｕ１２は、友人Ｕ２２とシアタールーム３００ｃを利用するために、住人Ｕ１２と友人Ｕ２２の利用申請を自己の端末（不図示）を用いて事前に行っているものとする。その場合、友人Ｕ２２は、認証端末１００ａを介した顔認証に成功し、ゲート装置２００ａが解錠され、エントランス３００ａに入室、続いて、認証端末１００ｃを介した顔認証に成功し、ゲート装置２００ｃが解錠され、シアタールーム３００ｃに入室できる。しかし、友人Ｕ２２は、認証端末１００ｂによる顔認証には失敗するため、ＥＶホール３００ｂや住居３００ｄ及び３００ｅには入室できない。

　また、例えば、集合住宅７００の住居３００ｄの住人（不図示）は、住居３００ｄの住人（家族）が不在の間に、家事代行者Ｕ２３に清掃をさせるために、家事代行者Ｕ２３が住居３００ｄに入室するための利用申請を、当該住人の端末（不図示）を用いて事前に行っているものとする。その場合、家事代行者Ｕ２３は、認証端末１００ａ、１００ｂ及び１００ｄを介した顔認証に成功する。よって、家事代行者Ｕ２３は、エントランス３００ａ及びＥＶホール３００ｂを経由して住居３００ｄに入室できる。しかし、家事代行者Ｕ２３は、シアタールーム３００ｃや住居３００ｅには入室できない。

　尚、以下の説明において、エントランス３００ａ～住居３００ｅは、単に領域３００と呼ぶ場合がある。同様に、認証端末１００ａ～１００ｅは、単に認証端末１００と呼ぶ場合がある。また、ゲート装置２００ａ～２００ｅは、単に、ゲート装置２００と呼ぶ場合がある。また、認証端末１００ａ～１００ｅのそれぞれは、施錠システムの一例である。また、ゲート装置２００は、例えば、フラッパーゲート、自動ドアや通常のドアであるが、接続された認証端末１００から解除指示応じて鍵の解錠（入場制限の解除）を行えるものとする。

　認証装置６００は、複数の人物の顔特徴情報を記憶する情報処理装置である。また、認証装置６００は、外部から受信した顔認証要求に応じて、当該要求に含まれる顔画像又は顔特徴情報について、各ユーザの顔特徴情報と照合を行い、照合結果（認証結果）を要求元へ返信する。

　図４は、本実施形態２にかかる認証装置６００の構成を示すブロック図である。認証装置６００は、顔情報ＤＢ（DataBase）６１０と、顔検出部６２０と、特徴点抽出部６３０と、登録部６４０と、認証部６５０とを備える。顔情報ＤＢ６１０は、ユーザＩＤ６１１と当該ユーザＩＤの顔特徴情報６１２とを対応付けて記憶する。顔特徴情報６１２は、顔画像から抽出された特徴点の集合である。尚、認証装置６００は、顔特徴情報６１２の登録ユーザからの要望に応じて、顔特徴ＤＢ６１０内の顔特徴情報６１２を削除してもよい。または、認証装置６００は、顔特徴情報６１２の登録から一定期間経過後に削除してもよい。

　顔検出部６２０は、顔情報を登録するための登録画像に含まれる顔領域を検出し、特徴点抽出部６３０に出力する。特徴点抽出部６３０は、顔検出部６２０が検出した顔領域から特徴点を抽出し、登録部６４０に顔特徴情報を出力する。また、特徴点抽出部６３０は、履歴管理装置５００、端末４０１又は認証端末１００等から受信した顔画像に含まれる特徴点を抽出し、認証部６５０に顔特徴情報を出力する。

　登録部６４０は、顔特徴情報の登録に際して、ユーザＩＤ６１１を新規に発行する。登録部６４０は、発行したユーザＩＤ６１１と、登録画像から抽出した顔特徴情報６１２とを対応付けて顔情報ＤＢ６１０へ登録する。尚、登録部６４０は、登録後、ユーザＩＤ６１１及び顔画像もしくは顔特徴情報６１２を履歴管理装置５００へ通知する。認証部６５０は、顔特徴情報６１２を用いた顔認証を行う。具体的には、認証部６５０は、顔画像から抽出された顔特徴情報と、顔情報ＤＢ６１０内の顔特徴情報６１２との照合を行う。認証部６５０は、照合に成功した場合、照合された顔特徴情報６１２に対応付けられたユーザＩＤ６１１を特定する。認証部６５０は、顔特徴情報の一致の有無を顔認証結果として履歴管理装置５００に返信する。顔特徴情報の一致の有無は、認証の成否に対応する。尚、顔特徴情報が一致する（一致有）とは、一致度が所定値以上である場合をいうものとする。また、顔認証結果は、顔認証に成功した場合、特定されたユーザＩＤを含むものとする。

　尚、認証部６５０は、顔情報ＤＢ６１０内の全ての顔特徴情報６１２との照合を試みる必要はない。例えば、認証部６５０は、顔認証要求を受け付けた当日から数日前までの期間に登録が行われた顔特徴情報と優先的に照合を試みるとよい。これにより、照合速度が向上し得る。また、上記優先的な照合に失敗した場合、残り全ての顔特徴情報と照合を行うようにするとよい。

　続いて、認証端末１００は、所定の領域の入口に設置され、同様に入口に設置されたゲート装置２００と接続された情報処理装置である。図５は、本実施形態２にかかる認証端末（施錠システム）１００の構成を示すブロック図である。認証端末１００は、カメラ１１０、記憶部１２０、通信部１３０、入出力部１４０及び制御部１５０を備える。

　カメラ１１０は、制御部１５０の制御に応じて撮影を行う撮影装置である。記憶部１２０は、認証端末１００の各機能を実現するためのプログラムが格納される記憶装置である。通信部１３０は、ネットワークＮとの通信インタフェースである。入出力部１４０は、画面等の表示装置（表示部）と入力装置を含む。入出力部１４０は、例えば、タッチパネルであってもよい。制御部１５０は、認証端末１００が有するハードウェアの制御を行う。制御部１５０は、撮影制御部１５１と、登録部１５２と、認証制御部１５３と、表示制御部１５４と、施錠制御部１５５とを備える。

　撮影制御部１５１は、カメラ１１０を制御し、所定の領域の入口にいる利用者の登録画像又は認証用画像を撮影する。登録画像及び認証用画像は、少なくとも当該利用者（住人又は訪問者等）の顔領域を含む画像である。撮影制御部１５１は、登録画像を登録部１５２へ出力する。また、撮影制御部１５１は、認証用画像を認証制御部１５３へ出力する。

　登録部１５２は、登録画像を含む顔情報登録要求をネットワークＮを介して認証装置６００へ送信する。認証制御部１５３は、認証用画像を含む顔認証要求をネットワークＮを介して履歴管理装置５００へ送信する。このとき、認証制御部１５３は、対応する所定の領域の領域ＩＤ及び認証用画像（顔画像）の撮影時刻を顔認証要求に含める。尚、領域ＩＤの代わりに認証端末１００の識別情報（端末ＩＤ）であってもよい。表示制御部１５４は、履歴管理装置５００からネットワークＮを介して各種画面データを受信し、受信した画面データを入出力部１４０に表示する。施錠制御部１５５は、履歴管理装置５００からネットワークＮを介して解除指示を受信した場合、対応するゲート装置２００に対して解除指示を出力する。

　図３に戻り説明を続ける。端末４０１は、住人Ｕ１１が所持する情報端末である。尚、住人Ｕ１１は、住居３００ｅの住人（正規ユーザ）であるものとする。端末４０１は、例えば、携帯電話端末、スマートフォン、タブレット端末、カメラを搭載又は接続したＰＣ（Ｐｅｒｓｏｎａｌ　Ｃｏｍｐｕｔｅｒ）等である。端末４０１は、住人Ｕ１１のユーザＩＤ又は顔特徴情報と対応付けられている。つまり、端末４０１は、履歴管理装置５００においてユーザＩＤ又は顔特徴情報により特定可能な端末である。例えば、端末４０１は、住人Ｕ１１が自身のユーザＩＤによりログイン済みの端末である。

　端末４０１は、住人Ｕ１１により入力された利用者名、特定領域（利用を申請する領域）及び利用申請期間を含めた利用申請をネットワークＮを介して履歴管理装置５００へ送信する。また、端末４０１は、履歴管理装置５００からネットワークＮを介して申請結果（許可又は却下）を受信し、画面等に表示する。また、端末４０１は、利用者である訪問者Ｕ２１等の顔画像を含めた登録要求を、ネットワークＮを介して履歴管理装置５００へ送信してもよい。または、端末４０１は、ネットワークＮを介して履歴管理装置５００へ登録先要求を送信し、履歴管理装置５００から返信された登録先情報をネットワークＮを介して、訪問者Ｕ２１等の端末（不図示）へ送信してもよい。または、端末４０１は、利用申請した利用者名が外部からの訪問者である場合、履歴管理装置５００からネットワークＮを介して登録先情報を受信し、訪問者Ｕ２１等の端末へ送信してもよい。ここで、登録先情報は、認証装置６００のＵＲＬ（Uniform Resource Locator）等であってもよい。そして、端末４０１は、履歴管理装置５００からネットワークＮを介して訪問者Ｕ２１等に対して発行されたユーザＩＤと訪問者Ｕ２１等の顔画像を受信する。端末４０１は、受信した顔画像を画面に表示する。端末４０１は、住人Ｕ１１の入力により、訪問者Ｕ２１等の行動可能範囲の指定を受け付けても良い。端末４０１は、住人Ｕ１１が訪問者Ｕ２１等の顔画像の表示を確認し、承認の入力を受け付けた場合、承認の旨をネットワークＮを介して履歴管理装置５００へ送信する。

　尚、訪問者Ｕ２１等の端末（不図示）は、端末４０１からネットワークＮを介して登録先情報を受信した場合、自身の顔画像をネットワークＮを介して登録先情報が示す宛先へ送信する。

　また、端末４０１は、住人Ｕ１１の入力に応じて住居３００ｅへの入室（認証成功）の履歴情報の開示要求をネットワークＮを介して履歴管理装置５００へ送信する。このとき、開示要求には、住人Ｕ１１のユーザＩＤ、住居３００ｅの領域ＩＤが含まれる。また、開示要求には、開示対象期間が含まれていても良い。端末４０１は、履歴管理装置５００からネットワークＮを介して開示情報を受信し、画面に開示情報を表示する。

　端末４０２は、集合住宅７００の開発業者Ｕ３が所持する情報端末である。尚、開発業者Ｕ３は、集合住宅７００の正規ユーザ以外である。集合住宅７００の正規ユーザ以外としては、集合住宅７００の管理人（管理組合）を含む。端末４０２は、開発業者Ｕ３の入力に応じてシアタールーム３００ｃへの入室（認証成功）の履歴情報の開示要求をネットワークＮを介して履歴管理装置５００へ送信する。このとき、開示要求には、開発業者Ｕ３のユーザＩＤ、シアタールーム３００ｃの領域ＩＤが含まれる。また、開示要求には、開示期間が含まれていても良い。端末４０２は、履歴管理装置５００からネットワークＮを介して開示情報を受信し、画面に開示情報を表示する。

　履歴管理装置５００は、所定の領域への利用者（住人又は訪問者等）の入場を制御し、入場（認証）の履歴を管理するための情報処理装置である。履歴管理装置５００は、複数台のサーバに冗長化されてもよく、各機能ブロックが複数台のコンピュータで実現されてもよい。

　次に、履歴管理装置５００について詳細に説明する。図６は、本実施形態２にかかる履歴管理装置５００の構成を示すブロック図である。履歴管理装置５００は、記憶部５１０と、メモリ５２０と、ＩＦ（InterFace）部５３０と、制御部５４０とを備える。記憶部５１０は、ハードディスク、フラッシュメモリ等の記憶装置の一例である。記憶部５１０は、プログラム５１１と、利用申請情報５１２と、住人情報５１３と、履歴開示者情報５１４と、認証履歴５１５とを記憶する。プログラム５１１は、本実施形態２にかかる履歴管理方法の処理が実装されたコンピュータプログラムである。

　利用申請情報５１２は、住人Ｕ１１等の申請者からの特定領域の利用申請について許可されたものを管理する情報である。利用申請情報５１２は、申請者ＩＤ５１２１と、利用者ＩＤ５１２２と、利用者情報５１２３と、利用申請期間５１２４と、利用目的５１２５と、行動可能範囲５１２６とが対応付けられている。

　申請者ＩＤ５１２１は、利用申請を行った住人Ｕ１１等のユーザＩＤである。そのため、申請者ＩＤ５１２１は、上述した顔情報ＤＢ６１０のユーザＩＤ６１１、後述する住人情報５１３のユーザＩＤ５１３１、後述するユーザＩＤ５１４１と対応する場合がある。

　利用者ＩＤ５１２２は、利用申請された利用者（住人や訪問者）のユーザＩＤである。そのため、利用者ＩＤ５１２２は、少なくとも上述した顔情報ＤＢ６１０のユーザＩＤ６１１と対応する。つまり、顔情報ＤＢ６１０と利用申請情報５１２はユーザＩＤを介して関連付けられている。

　利用者情報５１２３は、利用者ＩＤ５１２２に対応するユーザに関する詳細な情報であり、個人情報や属性情報を含む。利用者情報５１２３の個人情報には、例えば、利用者の氏名、年齢、連絡先（携帯電話番号）等が含まれる。利用者情報５１２３の属性情報には、例えば、利用者が友人なのか、家事代行者なのかといった情報や、年齢層（例えば、３０代）、性別等が含まれる。

　利用申請期間５１２４は、利用者が行動可能範囲５１２６内を利用可能な期間である。言い換えると、利用申請期間５１２４は、利用者が特定領域に至るまでに経由する各領域の通過と、特定領域の滞在を許可された期間である。

　利用目的５１２５は、利用者が利用申請された特定領域を利用する目的を示す情報である。利用目的５１２５は、例えば、「清掃」「遊び」「鑑賞」等である。尚、利用目的５１２５は、訪問目的と呼んでも良い。

　行動可能範囲５１２６は、利用者が通過又は滞在を許可された領域の集合である。行動可能範囲５１２６は、１以上の領域ＩＤを含む。つまり、行動可能範囲５１２６は、少なくとも利用申請された特定領域に対応する領域ＩＤを含む。そして、施設の入口から利用申請された特定領域に至るまでに複数の領域を経由する場合には、行動可能範囲５１２６は、経由する各領域の領域ＩＤを含む。

　住人情報５１３は、集合住宅７００の住人を管理するため情報である。住人情報５１３は、上述した登録情報の一例である。住人情報５１３は、ユーザＩＤ５１３１と、属性５１３２と、住人個人情報５１３３とが対応付けられている。ユーザＩＤ５１３１は、住人の識別情報である。属性５１３２は、ユーザＩＤ５１３１に対応する住人の属性情報である。属性５１３２は、例えば、住人が住居の世帯主、世帯主の配偶者、世帯主の子、成人か未成年か、性別、所有又は契約している住居のグレード等を示す情報である。属性５１３２は、対応付けられたユーザＩＤ５１３１の同居人のユーザＩＤを含んでも良い。また、属性５１３２は、同居人の中での家族関係（親、子）を示す情報を含んでも良い。また、属性５１３２は、同居人の中での権限の強弱を示す情報を含んでも良い。例えば、属性５１３２は、同居人の中で世帯主やその配偶者の権限が相対的に強く、世帯主の子の権限が相対的に弱いことを示す情報であってもよい。また、属性５１３２は、成人の権限を未成年の権限より強くしてもよい。また、属性５１３２は、住居のグレードに応じた権限を示す情報であってもよい。住人個人情報５１３３は、例えば、ユーザＩＤ５１３１に対応する住人の氏名、年齢、連絡先（携帯電話番号）、クレジット情報（引き落とし口座番号）等が含まれる。

　履歴開示者情報５１４は、履歴情報の開示を許可されたユーザとその属性を定義した情報である。履歴開示者情報５１４は、ユーザＩＤ５１４１と属性５１４２とが対応付けられている。ユーザＩＤ５１４１は、住人（正規ユーザ）のユーザＩＤと、開発業者Ｕ３等（正規ユーザ以外）のユーザＩＤとを含む。属性５１４２は、住人（正規ユーザ）であるか、住人以外（正規ユーザ以外）であるかを示す情報である。

　認証履歴５１５は、所定の領域（認証場所）での生体認証の履歴情報である。ここでは、認証履歴５１５は、生体認証に成功し、利用申請情報５１２を満たすと判定され、領域の入場制限が解除された場合に記録された情報とする。但し、認証履歴５１５には、認証に失敗した履歴を含めても良い。

　認証履歴５１５は、認証日時５１５１と、認証場所５１５２と、認証者ＩＤ５１５３と、顔画像５１５４と、利用申請情報５１５５とが対応付けられている。認証日時５１５１は、生体認証に成功した日時を示す情報である。認証日時５１５１は、認証端末１００から受信した顔認証要求に含まれる撮影時刻であってもよい。認証場所５１５２は、生体認証が行われた場所を示す情報である。例えば、認証場所５１５２は、認証端末１００から受信した顔認証要求に含まれる領域ＩＤ又は当該領域ＩＤに対応する領域名であってもよい。認証者ＩＤ５１５３は、生体認証に成功した際の顔認証結果に含まれるユーザＩＤである。顔画像５１５４は、認証端末１００から受信した顔認証要求に含まれる顔画像である。ここでは、顔画像５１５４は、顔認証に成功した際の顔画像となる。利用申請情報５１５５は、生体認証に成功し、利用申請情報５１２を満たすと判定された際の利用申請情報である。利用申請情報５１５５は、利用申請情報５１２の識別情報であってもよい。

　メモリ５２０は、ＲＡＭ（Random Access Memory）等の揮発性記憶装置であり、制御部５４０の動作時に一時的に情報を保持するための記憶領域である。ＩＦ部５３０は、ネットワークＮとの通信インタフェースである。

　制御部５４０は、履歴管理装置５００の各構成を制御するプロセッサつまり制御装置である。制御部５４０は、記憶部５１０からプログラム５１１をメモリ５２０へ読み込ませ、プログラム５１１を実行する。これにより、制御部５４０は、申請登録部５４１、認証制御部５４２、解除制御部５４３、履歴登録部５４４及び履歴開示制御部５４５の機能を実現する。

　申請登録部５４１は、端末４０１から受け付けた利用申請について、申請を許可する場合に利用申請情報５１２として記憶部５１０に登録する。また、申請登録部５４１は端末４０１から登録先要求を受信した場合、端末４０１に対して認証装置６００の宛先情報を登録先情報として返信してもよい。

　認証制御部５４２は、認証端末１００から受け付けた顔認証要求に含まれる顔画像に対する顔認証を制御する。すなわち、認証制御部５４２は、顔画像について、認証装置６００に対して顔認証を行わせる。例えば、認証制御部５４２は、取得された顔画像を含めた顔認証要求を、ネットワークＮを介して認証装置６００へ送信し、認証装置６００から顔認証結果を受信する。尚、認証制御部５４２は、顔画像から利用者の顔領域を検出し、顔領域の画像を顔認証要求に含めてもよい。または、認証制御部５４２は、顔領域から顔特徴情報を抽出し、顔特徴情報を顔認証要求に含めてもよい。認証制御部５４２は、認証装置６００からネットワークＮを介して顔認証結果を取得し、顔認証結果を解除制御部５４３へ出力する。

　解除制御部５４３は、上述した解除制御部１２の一例である。解除制御部５４３は、所定の訪問者がある領域の入口における顔認証に成功し、かつ、利用申請情報１１１を満たす場合、当該領域への入場制限を解除する。言い換えると、解除制御部５４３は、顔認証に成功したユーザについて、利用申請情報５１２の条件を満たす場合、顔認証要求を行った認証端末１００に対して解除指示を出力する。

　履歴登録部５４４は、上述した履歴登録部１３の一例である。履歴登録部５４４は、解除制御部５４３により解除指示が出力された場合に、顔認証に成功した訪問者（認証者）の認証履歴５１５を記憶部５１０に登録する。

　履歴開示制御部５４５は、上述した生成部１４及び出力部１５の一例である。履歴開示制御部５４５は、端末４０１又は端末４０２から履歴情報の開示要求を受け付ける。履歴開示制御部５４５は、受け付けた開示要求の開示要求者の属性に応じて履歴情報に対して所定の加工を行った開示情報を生成する。そして、履歴開示制御部５４５は、開示情報を要求元の端末へ出力する。

　具体的には、まず、履歴開示制御部５４５は、開示要求に含まれるユーザＩＤから、履歴開示者情報５１４に基づいて、開示要求者の属性５１４２を特定する。そして、履歴開示制御部５４５は、特定した属性が、住人か住人以外（開発業者等）かを判定する。履歴開示制御部５４５は、開示要求者の属性が、集合住宅７００の正規ユーザ以外である場合、履歴情報から個人情報を除外する加工を行うとよい。例えば、履歴開示制御部５４５は、利用者の個人情報及び申請者の個人情報を除外して開示情報を生成する。

　また、履歴開示制御部５４５は、開示要求者の属性が、集合住宅７００の正規ユーザ（住人）である場合、履歴情報から訪問者が正規ユーザである場合の情報を除外する加工を行うとよい。つまり、履歴開示制御部５４５は、認証履歴５１５のうち認証者ＩＤ５１５３が住人情報５１３のユーザＩＤ５１３１である情報を除外して開示情報を生成する。

　また、履歴開示制御部５４５は、認証履歴５１５内の利用申請情報５１５５の中から、履歴情報に対応する申請者情報を特定し、特定した申請者情報を含めて開示情報を生成するとよい。

　また、履歴開示制御部５４５は、認証履歴５１５内の利用申請情報５１５５の中から履歴情報に対応する利用目的を特定し、特定した利用目的を含めて開示情報を生成するとよい。

　また、履歴開示制御部５４５は、訪問者が生体認証に成功した場所に関する情報（例えば、認証場所５１５２）を含めて開示情報を生成するとよい。

　図７は、本実施形態２にかかる利用申請処理の流れを示すフローチャートである。ここでは、住人Ｕ１１が訪問者Ｕ２１がエントランス３００ａを利用（入場）するための利用申請を行うものとする。

　まず、端末４０１は、住人Ｕ１１により入力された利用者名（訪問者Ｕ２１の氏名）、特定領域（エントランス３００ａの領域ＩＤ）及び利用申請期間を含む利用申請をネットワークＮを介して履歴管理装置５００へ送信する。尚、端末４０１は、端末４０１（の利用申請アプリケーション等）にログインしている住人Ｕ１１のユーザＩＤを申請者ＩＤとして利用申請に含めるものとする。また、端末４０１は、利用者の個人情報及び属性情報を利用申請に含めても良い。また、端末４０１は、利用者の顔画像を利用申請に含めても良い。または、端末４０１は、利用者の利用者ＩＤが既知の場合（例えば、集合住宅７００の住人の場合や過去に利用申請された訪問者等）、顔画像に代えて利用者ＩＤを利用申請に含めても良い。また、端末４０１は、利用者の利用目的をを利用申請に含めても良い。

　これに応じて、履歴管理装置５００の申請登録部５４１は、ネットワークＮを介して利用申請を受信することにより、利用申請を受け付ける（Ｓ２０１）。次に、申請登録部５４１は、利用申請を許可するか否かを判定する（Ｓ２０２）。すなわち、申請登録部５４１は、申請者の属性又は申請者による利用申請履歴（不図示）に基づいて、利用申請を許可するか否かを判定する。具体的には、申請登録部５４１は、住人情報５１３の中から、利用申請に含まれる申請者ＩＤ（ユーザＩＤ５１３１）に対応付けられた属性５１３２を特定し、特定した属性に応じて申請された領域の利用申請の許否を判定する。例えば、特定領域が住居３００ｄであり、特定された属性が住居３００ｄの住人を示す場合、申請登録部５４１は、当該利用申請を許可すると判定する。また、利用申請履歴に基づく申請者の利用頻度が所定回数以下である場合、申請登録部５４１は、当該利用申請を許可すると判定してもよい。

　ステップＳ２０２において、利用申請を許可しないと判定した場合、申請登録部５４１は、利用申請却下の旨を出力する（Ｓ２０５）。例えば、履歴管理装置５００は、利用申請却下の旨を出示すメッセージをネットワークＮを介して端末４０１へ送信する。

　一方、ステップＳ２０２において、利用申請を許可すると判定した場合、申請登録部５４１は、利用申請情報５１２を生成し、記憶部５１０に登録する（Ｓ２０３）。例えば、申請登録部５４１は、利用申請に含まれる申請者ＩＤ５１２１及び利用申請期間５１２４を利用申請情報５１２に含めて生成する。

　また、利用申請された利用者が訪問者Ｕ２１等である場合、次のように処理される。まず、利用申請に利用者の個人情報及び属性情報並びに利用目的が含まれていない場合、申請登録部５４１は、端末４０１にこれらを要求し、端末４０１から取得した利用者の個人情報及び属性情報を利用者情報５１２３とし、取得した利用目的を利用目的５１２５として利用申請情報５１２に含めて生成する。また、利用申請に利用者ＩＤが含まれていれば、申請登録部５４１は、これを利用者ＩＤ５１２２として利用申請情報５１２に含める。一方、利用申請に利用者ＩＤが含まれておらず顔画像が含まれていれば、申請登録部５４１は、顔画像を含めた顔情報登録要求をネットワークＮを介して認証装置６００へ送信する。これにより、認証装置６００は、ユーザＩＤを発行し、発行したユーザＩＤ６１１と、顔画像から抽出された顔特徴情報６１２とを対応付けて顔情報ＤＢ６１０に登録する。そして、認証装置６００は、発行したユーザＩＤを履歴管理装置５００へ返信する。これに応じて、申請登録部５４１は、発行されたユーザＩＤをネットワークＮを介して認証装置６００から受信し、当該ユーザＩＤを利用者ＩＤ５１２２として利用申請情報５１２に含める。

　尚、利用申請された利用者ＩＤが住人を示す場合、申請登録部５４１は、当該利用者ＩＤ（ユーザＩＤ５１３１）に対応する属性５１３２及び住人個人情報５１３３を住人情報５１３から取得し、利用者情報５１２３として利用申請情報５１２に含める。

　また、申請登録部５４１は、申請者の属性と集合住宅７００の各領域の配置情報（不図示）とに基づいて、行動可能範囲５１２６を特定し、利用申請情報５１２に含める。申請登録部５４１は、集合住宅７００の入口から特定領域に至るまでに経由する各領域を含めて行動可能範囲５１２６を特定する。ここでは、申請登録部５４１は、エントランス３００ａの領域ＩＤを行動可能範囲５１２６に含める。但し、例えば、利用申請にかかる特定領域が住居３００ｄである場合、申請登録部５４１は、エントランス３００ａ、ＥＶホール３００ｂ及び住居３００ｄの各領域ＩＤを行動可能範囲５１２６に含める。

　その後、申請登録部５４１は、利用申請許可の旨を出力する（Ｓ２０４）。例えば、履歴管理装置５００は、利用申請許可の旨を出示すメッセージをネットワークＮを介して端末４０１へ送信する。

　図８は、本実施形態２にかかる入場制御処理の流れを示すフローチャートである。ここでは、図７の利用申請処理が済んでいるものとする。まず、訪問者Ｕ２１が集合住宅７００のエントランス３００ａの入口に到着したものとする。ここで、認証端末１００ａは、訪問者Ｕ２１の顔画像を撮影する。そして、認証端末１００ａは、撮影した顔画像、エントランス３００ａの領域ＩＤ及び撮影時刻を含めた顔認証要求を、ネットワークＮを介して履歴管理装置５００へ送信する。これに応じて、履歴管理装置５００の認証制御部５４２は、認証端末１００ａからネットワークＮを介して顔認証要求に含まれる顔画像、領域ＩＤ及び撮影時刻を取得する（Ｓ２１１）

　そして、認証制御部５４２は、取得された顔画像を含めた顔認証要求を、ネットワークＮを介して認証装置６００へ送信する（Ｓ２１２）。認証装置６００は、履歴管理装置５００からネットワークＮを介して顔認証要求を受信し、顔認証要求に含まれる顔画像に基づいて顔認証処理を行う。具体的には、顔検出部６２０は、顔画像から顔領域を検出する。そして、特徴点抽出部６３０は、顔領域から顔特徴情報を抽出する。そして、認証部６５０は、抽出した顔特徴情報を、顔情報ＤＢ６１０の顔特徴情報６１２と照合する。顔特徴情報が一致した場合、つまり、顔特徴情報の一致度が所定値以上である場合、認証部６５０は、顔特徴情報が一致したユーザのユーザＩＤ６１１を特定し、顔認証に成功した旨と特定したユーザＩＤとを含めた顔認証結果を生成する。一方、一致する顔特徴情報が存在しない場合、認証部６５０は、顔認証に失敗した旨を含めた顔認証結果を生成する。その後、認証部６５０は、生成した顔認証結果をネットワークＮを介して履歴管理装置５００へ送信する。

　これに応じて、履歴管理装置５００の認証制御部５４２は、は、認証装置６００からネットワークＮを介して顔認証結果を受信し、顔認証結果を解除制御部５４３へ出力する。そして、解除制御部５４３は、顔認証結果に基づき顔認証に成功したか否か（第１の条件）を判定する（Ｓ２１３）。顔認証に成功したと判定した場合、解除制御部５４３は、顔認証結果に含まれるユーザＩＤを特定する（Ｓ２１４）。そして、解除制御部５４３は、特定したユーザＩＤを利用者ＩＤ５１２２として、利用者ＩＤ５１２２を含む利用申請情報５１２を特定する（Ｓ２１５）。

　そして、解除制御部５４３は、利用申請条件を満たすか否かを判定する（Ｓ２１６）。具体的には、解除制御部５４３は、特定した利用申請情報５１２の中から、利用申請期間５１２４及び行動可能範囲５１２６を取得する。そして、解除制御部５４３は、ステップＳ２１１で取得した領域ＩＤが、特定した行動可能範囲内であるか否か（第２の条件）を判定する。また、解除制御部５４３は、ステップＳ２３１で取得した撮影時刻が、特定した利用申請期間を含む所定期間の範囲内であるか否か（第３の条件）を判定する。尚、所定期間は、利用申請期間の前後１５分程度を含めても良い。

　ステップＳ２１６において利用申請条件（第２の条件及び第３の条件）を満たすと判定した場合、解除制御部５４３は、ステップＳ２１１で取得した領域ＩＤに対応する領域に設置された認証端末１００ａに対して、ネットワークＮを介して解除指示を送信する（Ｓ２１７）。言い換えると、解除制御部５４３は、顔認証要求の要求元である認証端末１００ａに対して、解除指示を行う。これに応じて、認証端末１００ａの施錠制御部１５５は、履歴管理装置５００からネットワークＮを介して解除指示を受信し、ゲート装置２００ａへ解除指示を出力する。そして、ゲート装置２００ａは、受け付けた解除指示に応じてゲートを解除する。これにより、訪問者Ｕ２１は、エントランス３００ａへ入室できる。

　その後、履歴登録部５４４は、認証履歴（履歴情報）５１５を記憶部５１０に登録する（Ｓ２１８）。具体的には、履歴登録部５４４は、ステップＳ２１１で取得した撮影時刻又はステップＳ２１３で顔認証に成功したと判定した時刻を認証日時５１５１とする。また、履歴登録部５４４は、ステップＳ２１１で取得した領域ＩＤ又は当該領域ＩＤに対応する領域名（エントランス３００ａ）を認証場所５１５２とする。また、履歴登録部５４４は、ステップＳ２１４で特定されたユーザＩＤを認証者ＩＤ５１５３とする。また、履歴登録部５４４は、ステップＳ２１１で取得した顔画像を顔画像５１５４とする。また、履歴登録部５４４は、ステップＳ２１５で特定された利用申請情報５１２を利用申請情報５１５５とする。そして、履歴登録部５４４は、上記の認証日時５１５１、認証場所５１５２、認証者ＩＤ５１５３、顔画像５１５４及び利用申請情報５１５５を対応付けて認証履歴５１５として記憶部５１０に保存する。

　ステップＳ２１３において顔認証に失敗したと判定した場合、又は、ステップＳ２１６において利用申請条件を満たさないと判定された場合、解除制御部５４３は、認証端末１００ａに対して、ネットワークＮを介して解除不可の旨を送信（出力）する（Ｓ２１９）。

　図９は、本実施形態２にかかる履歴開示処理の流れを示すフローチャートである。ここでは、住人Ｕ１１が端末４０１を用いて履歴情報の開示要求を行う場合について説明する。まず、履歴開示制御部５４５は、端末４０１からネットワークＮを介して履歴情報の開示要求を受け付ける（Ｓ２２１）。ここで、開示要求には、開示要求者である住人Ｕ１１のユーザＩＤ、履歴開示対象場所を示す情報（住居３００ｅの領域ＩＤ）及び開示対象期間が含まれているものとする。

　次に、履歴開示制御部５４５は、受け付けた開示要求に対応する履歴情報を取得する（Ｓ２２２）。すなわち、履歴開示制御部５４５は、開示要求に含まれる領域ＩＤを認証場所５１５２とし、開示対象期間に含まれる認証日時５１５１の履歴情報を認証履歴５１５の中から検索する。ここでは、１以上の履歴情報が検索にヒットしたものとする。

　そして、履歴開示制御部５４５は、開示要求者が住人か否かを判定する（Ｓ２２３）。具体的には、履歴開示制御部５４５は、履歴開示者情報５１４から、開示要求に含まれるユーザＩＤ５１４１に対応付けられた属性５１４２を特定する。そして、履歴開示制御部５４５は、特定した属性が住人を示すか否かを判定する。ここでは、開示要求者が住人であると判定したものとする。

　そして、履歴開示制御部５４５は、履歴情報から住人の履歴を除外して開示情報を生成する（Ｓ２２４）。具体的には、まず、履歴開示制御部５４５は、ステップＳ２２２で取得した履歴情報の中から、認証者ＩＤ５１５３が開示要求者又はその同居人である履歴を除外する。または、履歴開示制御部５４５は、住人情報５１３から、履歴開示対象場所である住居３００ｅの住人のユーザＩＤのリストを取得し、認証者ＩＤ５１５３が当該ユーザＩＤのリストに含まれる履歴情報を除外する。

　そして、履歴開示制御部５４５は、除外した履歴情報を用いて開示情報を生成する。例えば、履歴開示制御部５４５は、除外した履歴情報のうち、認証日時５１５１、認証場所５１５２及び顔画像５１５４を開示情報に含める。また、履歴開示制御部５４５は、除外した履歴情報のうち認証者ＩＤ５１５３と利用申請情報５１５５の利用者情報５１２３から認証者名を特定し、開示情報に含める。また、履歴開示制御部５４５は、除外した履歴情報のうち利用申請情報５１５５の申請者ＩＤ５１２１を特定し、住人情報５１３の中から特定した申請者ＩＤ（ユーザＩＤ５１３１）に対応付けられた住人個人情報５１３３を特定する。そして、履歴開示制御部５４５は、特定した住人個人情報５１３３から申請者名を特定し、開示情報に含める。尚、履歴開示制御部５４５は、上記した各情報を所定のレイアウトで配置した画面情報として開示情報を生成してもよい。

　その後、履歴開示制御部５４５は、生成した開示情報を出力する（Ｓ２２６）。つまり、履歴開示制御部５４５は、開示情報をネットワークＮを介して端末４０１へ送信する。これに応じて、端末４０１は、履歴管理装置５００からネットワークＮを介して開示情報を受信し、画面に開示情報を表示する。

　図１０は、本実施形態２にかかる開示情報の例を示す図である。ここでは、端末４０１に２件の履歴情報についての開示情報が表示された例を示す。１件目の開示情報は、顔画像８１１、認証日時８１２、認証場所８１３、利用目的８１４、認証者名８１５及び申請者名８１６を含む。顔画像８１１は、認証場所８１３「５０１号室」の入口に設置された認証端末１００において認証日時８１２「２０２０／９／９（水）１０：００」に顔認証（又は撮影）された認証者名８１５「タナカさん」の顔画像を示す。利用目的８１４は、認証者の利用目的が「清掃」であることを示す。また、申請者名８１６は、当該認証者の利用申請が「スズキ　カズコさん」により行われたことを示す。

　２件目の開示情報は、顔画像８２１、認証日時８２２、認証場所８２３、利用目的８２４、認証者名８２５及び申請者名８２６を含む。顔画像８２１は、認証場所８２３「５０１号室」の入口に設置された認証端末１００において認証日時８２２「２０２０／９／８（火）１５：００」に顔認証（又は撮影）された認証者名８２５「サトウさん」の顔画像を示す。利用目的８２４は、認証者の利用目的が（住人の子供との）「遊び」であることを示す。また、申請者名８２６は、当該認証者の利用申請が「スズキ　ミチオさん」により行われたことを示す。

　このように、本実施形態では、集合住宅７００の住人が自己の住居の訪問者（住人以外）の訪問履歴を参照できる。このとき、図１０のように、申請者の情報（氏名等）も開示されるため、住人Ｕ１１本人が申請していなかったとしても家族の誰が申請したのかを把握することができる。

　また、住人Ｕ１１が開示要求する際、履歴開示対象場所として自身の住居の他、共用施設（例えば、シアタールーム３００ｃやスタディルーム等）を指定してもよい。また、履歴開示制御部５４５は、開示要求者が住人である場合であっても履歴情報に、開示要求者及び同居人の履歴を残しても良い。例えば、端末４０１は、履歴開示対象場所として住居３００ｅ及びシアタールーム３００ｃの領域ＩＤを含めた開示要求を履歴管理装置５００へ送信する。この場合、履歴開示制御部５４５は、認証履歴５１５の中から、認証場所５１５２が住居３００ｅに対応する第１の履歴情報を取得する。このとき、履歴開示制御部５４５は、取得した第１の履歴情報から開示要求者及び同居人の履歴を除外しなくてもよい。尚、第１の履歴情報は、住居の各住人（家族）単位でしか参照できないものとする。プライバシー保護が必要な場所での認証履歴であるためである。また、履歴開示制御部５４５は、認証履歴５１５の中から、認証場所５１５２がシアタールーム３００ｃに対応する第２の履歴情報を取得する。このとき、履歴開示制御部５４５は、取得した第２の履歴情報から訪問者（友人等）に加えて住居３００ｅの住人を含めてもよい。例えば、履歴開示制御部５４５は、シアタールーム３００ｃにおける認証履歴について、申請者が住居３００ｅの住人である場合の履歴情報を抽出する。尚、第２の履歴情報は、共用施設の認証履歴であるため、集合住宅７００の住人であれば、他の住居の住人の履歴も含めて参照できるものとする。そして、履歴開示制御部５４５は、第１の履歴情報と第２の履歴情報を合成して開示情報を生成する。そのため、端末４０１は、上記生成された開示情報を表示する。これにより、住人Ｕ１１は、自身の住居３００ｅ以外にも、家族が共用施設を利用していることを確認することができる。併せて、住人Ｕ１１は、上記同様、自身の住居３００ｅに家事代行者が訪問した履歴も確認することができる。

　次に、集合住宅７００の開発業者Ｕ３が端末４０２を用いて履歴情報の開示要求を行う場合について説明する。まず、履歴開示制御部５４５は、端末４０２からネットワークＮを介して履歴情報の開示要求を受け付ける（Ｓ２２１）。ここで、開示要求には、開示要求者である開発業者Ｕ３のユーザＩＤ、履歴開示対象場所を示す情報（シアタールーム３００ｃの領域ＩＤ）及び開示対象期間が含まれているものとする。ステップＳ２２２は、上記と同様である。そして、ステップＳ２２３において、履歴開示制御部５４５は、開示要求者が住人以外と判定する。

　そして、履歴開示制御部５４５は、履歴情報から個人情報を除外して開示情報を生成する（Ｓ２２５）。具体的には、まず、履歴開示制御部５４５は、ステップＳ２２２で取得した履歴情報の中から、顔画像５１５４、利用申請情報５１５５内の利用者情報５１２３のうち個人情報を除外する。さらに、履歴開示制御部５４５は、除外した履歴情報の中から、利用申請情報５１５５内の申請者ＩＤ５１２１（ユーザＩＤ５１３１）に対応付けられた住人個人情報５１３３を除外する。言い換えると、履歴開示制御部５４５は、ステップＳ２２２で取得した履歴情報の中から、利用者及び申請者にかかる属性情報を残す。

　そして、履歴開示制御部５４５は、除外した履歴情報を用いて開示情報を生成する。例えば、履歴開示制御部５４５は、除外した履歴情報のうち、認証日時５１５１及び認証場所５１５２を開示情報に含める。また、履歴開示制御部５４５は、除外した履歴情報のうち認証者ＩＤ５１５３と利用申請情報５１５５の利用者情報５１２３から属性情報を特定し、開示情報に含める。また、履歴開示制御部５４５は、除外した履歴情報のうち利用申請情報５１５５の申請者ＩＤ５１２１を特定し、住人情報５１３の中から特定した申請者ＩＤ（ユーザＩＤ５１３１）に対応付けられた属性５１３２を特定する。そして、履歴開示制御部５４５は、特定した属性５１３２を開示情報に含める。尚、履歴開示制御部５４５は、上記した各情報を所定のレイアウトで配置した画面情報として開示情報を生成してもよい。

　その後、履歴開示制御部５４５は、生成した開示情報を出力する（Ｓ２２６）。つまり、履歴開示制御部５４５は、開示情報をネットワークＮを介して端末４０２へ送信する。これに応じて、端末４０２は、履歴管理装置５００からネットワークＮを介して開示情報を受信し、画面に開示情報を表示する。

　図１１は、本実施形態２にかかる開示情報の例を示す図である。ここでは、端末４０２に２件の履歴情報についての開示情報が表示された例を示す。１件目の開示情報は、認証日時８３２、認証場所８３３、利用目的８３４、認証者属性８３５及び申請者属性８３６を含む。認証者属性８３５は、認証者の個人情報が特定されない情報を示す。ここでは、認証者属性８３５は、住人ではないことや年代及び性別を属性として示す。また、申請者属性８３６は、申請者のの個人情報が特定されない情報を示す。ここでは、申請者属性８３６は、申請者が５０１号室の住人であり、世帯主の配偶者であり、３０代女性であることを示す。

　２件目の開示情報は、認証日時８４２、認証場所８４３、利用目的８４４、認証者属性８４５及び申請者属性８４６を含む。認証者属性８３５は、住人であり、申請者属性８３６と同じ属性であることを示す。

　このように、本実施形態では、集合住宅７００の住人以外が共用施設の利用状況を参照できる。このとき、図１１のように、個人情報が保護される。一方で、マンションのディベロッパー等においては、共用施設の利用者の属性を詳細に把握できる。よって、マンション開発のマーケティング等に活用することができる。また、集合住宅７００の住人以外が管理人である場合、共用施設の利用状況を把握することを通じて、当該共用施設の修繕の必要性を検討することができる。また、管理組合には住人が含まれるが、管理組合の立場として（住居の正規ユーザ以外の立場として）共用施設の利用状況を参照する場合には、住人や訪問者の個人情報がマスクされていることが望ましい。

　また、共用施設の利用状況を住人が参照してもよい。つまり、開示要求者は、集合住宅７００の任意の住人としてよい。その場合も上記図１１と同様に、個人情報がマスクされた状態で、任意の住人が集合住宅７００の共用施設の利用状況を確認できる。

＜実施形態３＞
　本実施形態３は、上述した実施形態２の変形例である。本実施形態３は、生体認証機能を履歴管理装置に内蔵させたものである。本実施形態３にかかる履歴管理システムは、上述した履歴管理システム１０００のうち認証装置６００が履歴管理装置５００ａに内蔵されたものと同様であるため、図示及び説明を省略する。

　図１２は、本実施形態３にかかる履歴管理装置５００ａの構成を示すブロック図である。履歴管理装置５００ａの記憶部５１０は、上述した履歴管理装置５００と比べて、プログラム５１１がプログラム５１１ａに置き換わり、利用申請情報５１２に顔特徴情報５１２７が追加されたものである。尚、顔特徴情報５１２７は、生体情報の一例である。また、履歴管理装置５００ａの制御部２４０は、上述した履歴管理装置５００と比べて、認証制御部５４２が認証制御部５４２ａに置き換わったものである。

　プログラム５１１ａは、本実施形態３にかかる履歴管理方法の処理が実装されたコンピュータプログラムである。

　顔特徴情報５１２７は、上述した認証装置６００の顔特徴情報６１２に相当するものである。顔特徴情報５１２７は、利用者ＩＤ５１２２と対応付けられている。つまり、利用申請情報５１２は、上述した顔情報ＤＢ６１０を包含するものである。

　認証制御部５４２ａは、複数の人物の顔特徴情報と訪問者の顔特徴情報とを照合して顔認証を制御する。すなわち、認証制御部５４２ａは、取得した顔画像に含まれるユーザの顔領域から抽出された顔特徴情報と、記憶部５１０に記憶された顔特徴情報５１２７とを照合して顔認証を行うことにより、顔認証結果を取得する。

　尚、本実施形態では、上述した図８のステップ２１２が、認証制御部５４２ａによる履歴管理装置５００ａ内での顔認証処理に置き換わる。

　このように、本実施形態３においても上述した実施形態２と同様の効果を奏することができる。

＜その他の実施形態＞
　尚、上述した生体認証は原則として顔認証（シングルモーダル）として説明したが、よりセキュリティの求められる住居のドアや決済においては顔認証＋虹彩認証（マルチモーダル）を用いても良い。その場合、認証端末はカメラ１１０に加えて、赤外線カメラを備えるものとする。

　上述した履歴管理装置５００及び５００ａは、解除制御部５４３により領域への入場制限が解除された場合に、その旨を領域に対する利用申請を行った申請者の端末へ通知する通知手段をさらに備えてもよい。これにより、利用申請した訪問者の実際の訪問を、申請者がリアルタイムに把握できる。

　尚、上述の実施形態では、ハードウェアの構成として説明したが、これに限定されるものではない。本開示は、任意の処理を、ＣＰＵにコンピュータプログラムを実行させることにより実現することも可能である。

　上述の例において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体（non-transitory computer readable medium）を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体（tangible storage medium）を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体（例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ）、光磁気記録媒体（例えば光磁気ディスク）、ＣＤ－ＲＯＭ（Read Only Memory）、ＣＤ－Ｒ、ＣＤ－Ｒ／Ｗ、ＤＶＤ（Digital Versatile Disc）、半導体メモリ（例えば、マスクＲＯＭ、ＰＲＯＭ（Programmable ROM）、ＥＰＲＯＭ（Erasable PROM）、フラッシュＲＯＭ、ＲＡＭ（Random Access Memory））を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体（transitory computer readable medium）によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。

　なお、本開示は上記実施形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。また、本開示は、それぞれの実施形態を適宜組み合わせて実施されてもよい。

　上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
　（付記Ａ１）
　生体認証により入場を制限する領域における利用者の利用申請情報を記憶する記憶手段と、
　所定の訪問者が前記領域の入口における生体認証に成功し、かつ、前記利用申請情報を満たす場合、当該領域への入場制限を解除する解除制御手段と、
　前記生体認証に成功した訪問者の履歴情報を前記記憶手段に登録する履歴登録手段と、
　所定の開示要求者の端末から前記履歴情報の開示要求を受け付けた場合、当該開示要求者の属性に応じて前記履歴情報に対して所定の加工を行った開示情報を生成する生成手段と、
　前記開示情報を前記端末へ出力する出力手段と、
　を備える履歴管理装置。
　（付記Ａ２）
　前記生成手段は、
　前記開示要求者の属性が前記領域を含む施設の正規ユーザ以外である場合、前記履歴情報から個人情報を除外する加工を行う
　付記Ａ１に記載の履歴管理装置。
　（付記Ａ３）
　前記生成手段は、
　前記開示要求者の属性が前記領域を含む施設の正規ユーザである場合、前記履歴情報から前記訪問者が前記正規ユーザである場合の情報を除外する加工を行う
　付記Ａ１又はＡ２に記載の履歴管理装置。
　（付記Ａ４）
　前記利用申請情報は、前記領域に対する利用申請を行った申請者情報を含み、
　前記生成手段は、
　前記利用申請情報の中から前記履歴情報に対応する前記申請者情報を特定し、
　前記特定した申請者情報を含めて前記開示情報を生成する
　付記Ａ１乃至Ａ３のいずれか１項に記載の履歴管理装置。
　（付記Ａ５）
　前記利用申請情報は、前記利用者の前記領域の利用目的をさらに含み、
　前記生成手段は、
　前記利用申請情報の中から前記履歴情報に対応する前記利用目的を特定し、
　前記特定した利用目的を含めて前記開示情報を生成する
　付記Ａ１乃至Ａ４のいずれか１項に記載の履歴管理装置。
　（付記Ａ６）
　前記生成手段は、
　前記訪問者が前記生体認証に成功した場所に関する情報を含めて前記開示情報を生成する
　付記Ａ１乃至Ａ５のいずれか１項に記載の履歴管理装置。
　（付記Ａ７）
　前記解除制御手段により前記領域への入場制限が解除された場合に、その旨を前記領域に対する利用申請を行った申請者の端末へ通知する通知手段をさらに備える
　付記Ａ１乃至Ａ６のいずれか１項に記載の履歴管理装置。
　（付記Ｂ１）
　生体認証により入場を制限する領域の入口に設置された認証端末と、
　入場制限の解除の履歴情報を管理する履歴管理装置と、
　前記履歴情報に対する開示要求者の端末と、
　を備え、
　前記履歴管理装置は、
　前記領域における利用者の利用申請情報を記憶する記憶手段と、
　所定の訪問者が前記認証端末を介した生体認証に成功し、かつ、前記利用申請情報を満たす場合、当該領域への入場制限を解除する解除制御手段と、
　前記生体認証に成功した訪問者の履歴情報を前記記憶手段に登録する履歴登録手段と、
　前記端末から前記履歴情報の開示要求を受け付けた場合、当該開示要求者の属性に応じて前記履歴情報に対して所定の加工を行った開示情報を生成する生成手段と、
　前記開示情報を前記端末へ出力する出力手段と、
　を備える履歴管理システム。
　（付記Ｂ２）
　前記生成手段は、
　前記開示要求者の属性が前記領域を含む施設の正規ユーザ以外である場合、前記履歴情報から個人情報を除外する加工を行う
　付記Ｂ１に記載の履歴管理システム。
　（付記Ｃ１）
　コンピュータが、
　生体認証により入場を制限する領域の入口における生体認証に所定の訪問者が成功し、かつ、前記領域における利用者の利用申請情報を満たす場合、当該領域への入場制限を解除し、
　前記生体認証に成功した訪問者の履歴情報を記憶装置に登録し、
　所定の開示要求者の端末から前記履歴情報の開示要求を受け付けた場合、当該開示要求者の属性に応じて前記履歴情報に対して所定の加工を行った開示情報を生成し、
　前記開示情報を前記端末へ出力する、
　履歴管理方法。
　（付記Ｄ１）
　生体認証により入場を制限する領域の入口における生体認証に所定の訪問者が成功し、かつ、前記領域における利用者の利用申請情報を満たす場合、当該領域への入場制限を解除する処理と、
　前記生体認証に成功した訪問者の履歴情報を記憶装置に登録する処理と、
　所定の開示要求者の端末から前記履歴情報の開示要求を受け付けた場合、当該開示要求者の属性に応じて前記履歴情報に対して所定の加工を行った開示情報を生成する処理と、
　前記開示情報を前記端末へ出力する処理と、
　をコンピュータに実行させる履歴管理プログラムが格納された非一時的なコンピュータ可読媒体。

　以上、実施形態（及び実施例）を参照して本願発明を説明したが、本願発明は上記実施形態（及び実施例）に限定されものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　１　履歴管理装置
　１１　記憶部
　１１１　利用申請情報
　１２　解除制御部
　１３　履歴登録部
　１４　生成部
　１５　出力部
　１０００　履歴管理システム
　１００　認証端末
　１１０　カメラ
　１２０　記憶部
　１３０　通信部
　１４０　入出力部
　１５０　制御部
　１５１　撮影制御部
　１５２　登録部
　１５３　認証制御部
　１５４　表示制御部
　１５５　施錠制御部
　１００ａ～１００ｅ　認証端末
　２００　ゲート装置
　２００ａ～２００ｅ　ゲート装置
　３００　領域
　３００ａ　エントランス
　３００ｂ　ＥＶホール
　３００ｃ　シアタールーム
　３００ｄ　住居
　３００ｅ　住居
　４０１　端末
　４０２　端末
　５００　履歴管理装置
　５００ａ　履歴管理装置
　５１０　記憶部
　５１１　プログラム
　５１１ａ　プログラム
　５１２　利用申請情報
　５１２１　申請者ＩＤ
　５１２２　利用者ＩＤ
　５１２３　利用者情報
　５１２４　利用申請期間
　５１２５　利用目的
　５１２６　行動可能範囲
　５１２７　顔特徴情報
　５１３　住人情報
　５１３１　ユーザＩＤ
　５１３２　属性
　５１３３　住人個人情報
　５１４　履歴開示者情報
　５１４１　ユーザＩＤ
　５１４２　属性
　５１５　認証履歴
　５１５１　認証日時
　５１５２　認証場所
　５１５３　認証者ＩＤ
　５１５４　顔画像
　５１５５　利用申請情報
　５２０　メモリ
　５３０　ＩＦ部
　５４０　制御部
　５４１　申請登録部
　５４２　認証制御部
　５４２ａ　認証制御部
　５４３　解除制御部
　５４４　履歴登録部
　５４５　履歴開示制御部
　６００　認証装置
　６１０　顔情報ＤＢ
　６１１　ユーザＩＤ
　６１２　顔特徴情報
　６２０　顔検出部
　６３０　特徴点抽出部
　６４０　登録部
　６５０　認証部
　７００　集合住宅
　８１１　顔画像
　８１２　認証日時
　８１３　認証場所
　８１４　利用目的
　８１５　認証者名
　８１６　申請者名
　８２１　顔画像
　８２２　認証日時
　８２３　認証場所
　８２４　利用目的
　８２５　認証者名
　８２６　申請者名
　８３２　認証日時
　８３３　認証場所
　８３４　利用目的
　８３５　認証者属性
　８３６　申請者属性
　Ｎ　ネットワーク
　Ｕ１１　住人
　Ｕ１２　住人
　Ｕ２１　訪問者
　Ｕ２２　友人
　Ｕ２３　家事代行者
　Ｕ３　開発業者

Claims

　生体認証により入場を制限する領域における利用者の利用申請情報を記憶する記憶手段と、
　所定の訪問者が前記領域の入口における生体認証に成功し、かつ、前記利用申請情報を満たす場合、当該領域への入場制限を解除する解除制御手段と、
　前記生体認証に成功した訪問者の履歴情報を前記記憶手段に登録する履歴登録手段と、
　所定の開示要求者の端末から前記履歴情報の開示要求を受け付けた場合、当該開示要求者の属性に応じて前記履歴情報に対して所定の加工を行った開示情報を生成する生成手段と、
　前記開示情報を前記端末へ出力する出力手段と、
　を備える履歴管理装置。
　前記生成手段は、
　前記開示要求者の属性が前記領域を含む施設の正規ユーザ以外である場合、前記履歴情報から個人情報を除外する加工を行う
　請求項１に記載の履歴管理装置。
　前記生成手段は、
　前記開示要求者の属性が前記領域を含む施設の正規ユーザである場合、前記履歴情報から前記訪問者が前記正規ユーザである場合の情報を除外する加工を行う
　請求項１又は２に記載の履歴管理装置。
　前記利用申請情報は、前記領域に対する利用申請を行った申請者情報を含み、
　前記生成手段は、
　前記利用申請情報の中から前記履歴情報に対応する前記申請者情報を特定し、
　前記特定した申請者情報を含めて前記開示情報を生成する
　請求項１乃至３のいずれか１項に記載の履歴管理装置。
　前記利用申請情報は、前記利用者の前記領域の利用目的をさらに含み、
　前記生成手段は、
　前記利用申請情報の中から前記履歴情報に対応する前記利用目的を特定し、
　前記特定した利用目的を含めて前記開示情報を生成する
　請求項１乃至４のいずれか１項に記載の履歴管理装置。
　前記生成手段は、
　前記訪問者が前記生体認証に成功した場所に関する情報を含めて前記開示情報を生成する
　請求項１乃至５のいずれか１項に記載の履歴管理装置。
　前記解除制御手段により前記領域への入場制限が解除された場合に、その旨を前記領域に対する利用申請を行った申請者の端末へ通知する通知手段をさらに備える
　請求項１乃至６のいずれか１項に記載の履歴管理装置。
　生体認証により入場を制限する領域の入口に設置された認証端末と、
　入場制限の解除の履歴情報を管理する履歴管理装置と、
　前記履歴情報に対する開示要求者の端末と、
　を備え、
　前記履歴管理装置は、
　前記領域における利用者の利用申請情報を記憶する記憶手段と、
　所定の訪問者が前記認証端末を介した生体認証に成功し、かつ、前記利用申請情報を満たす場合、当該領域への入場制限を解除する解除制御手段と、
　前記生体認証に成功した訪問者の履歴情報を前記記憶手段に登録する履歴登録手段と、
　前記端末から前記履歴情報の開示要求を受け付けた場合、当該開示要求者の属性に応じて前記履歴情報に対して所定の加工を行った開示情報を生成する生成手段と、
　前記開示情報を前記端末へ出力する出力手段と、
　を備える履歴管理システム。
　前記生成手段は、
　前記開示要求者の属性が前記領域を含む施設の正規ユーザ以外である場合、前記履歴情報から個人情報を除外する加工を行う
　請求項８に記載の履歴管理システム。
　コンピュータが、
　生体認証により入場を制限する領域の入口における生体認証に所定の訪問者が成功し、かつ、前記領域における利用者の利用申請情報を満たす場合、当該領域への入場制限を解除し、
　前記生体認証に成功した訪問者の履歴情報を記憶装置に登録し、
　所定の開示要求者の端末から前記履歴情報の開示要求を受け付けた場合、当該開示要求者の属性に応じて前記履歴情報に対して所定の加工を行った開示情報を生成し、
　前記開示情報を前記端末へ出力する、
　履歴管理方法。
　生体認証により入場を制限する領域の入口における生体認証に所定の訪問者が成功し、かつ、前記領域における利用者の利用申請情報を満たす場合、当該領域への入場制限を解除する処理と、
　前記生体認証に成功した訪問者の履歴情報を記憶装置に登録する処理と、
　所定の開示要求者の端末から前記履歴情報の開示要求を受け付けた場合、当該開示要求者の属性に応じて前記履歴情報に対して所定の加工を行った開示情報を生成する処理と、
　前記開示情報を前記端末へ出力する処理と、
　をコンピュータに実行させる履歴管理プログラムが格納された非一時的なコンピュータ可読媒体。