WO2022070338A1

WO2022070338A1 - 情報処理方法、情報処理プログラム、および情報処理装置

Info

Publication number: WO2022070338A1
Application number: PCT/JP2020/037242
Authority: WO
Inventors: 秀暢小栗; 孝一伊藤
Original assignee: 富士通株式会社
Priority date: 2020-09-30
Filing date: 2020-09-30
Publication date: 2022-04-07
Also published as: JPWO2022070338A1; JP7456513B2; EP4224783A4; US20230208650A1; EP4224783A1

Abstract

情報処理装置（２００）は、連結署名（Ｇ１）に対応する信頼性に関する評価項目についての第１の評価値と、署名（Ｓ１）に対応する信頼性に関する評価項目についての第２の評価値とを取得する。情報処理装置（２００）は、取得した第１の評価値と第２の評価値とが異なるか否かを判定する。情報処理装置（２００）は、異なると判定した場合、評価項目の種別が、データ的トラストの項目であるか、または、社会的トラストの項目であるかを判定する。情報処理装置（２００）は、データ的トラストの項目であると判定した場合、下位の階層にある署名に対応する第２の評価値を用いて、上位の階層にある連結署名に対応する第１の評価値を変更する制御を行う。情報処理装置（２００）は、社会的トラストの項目であると判定した場合、上位の階層にある連結署名に対応する第１の評価値を用いて、下位の階層にある署名に対応する第２の評価値を変更する制御を行う。

Description

情報処理方法、情報処理プログラム、および情報処理装置

　本発明は、情報処理方法、情報処理プログラム、および情報処理装置に関する。

　従来、データの改ざん防止のため、データの信頼性を保証する電子的な署名が、データに付与されることがある。署名は、例えば、データが改ざんされていないことを保証する。また、それぞれ異なるデータに対して付与された複数の署名を、単一の署名に集約するアグリゲートシグネチャと呼ばれる技術がある。

　先行技術としては、例えば、複数の署名を組み合わせて、ＷＦ（Ｗｏｒｋ　Ｆｌｏｗ）型の署名を生成するものがある。

米国特許出願公開第２０１０／０２８７３７７号明細書

　しかしながら、従来技術では、データの信頼性を検証することが難しい場合がある。例えば、複数の署名を集約した単一の署名では、複数の署名のそれぞれの署名で用いられた認証局の情報などが失われており、検証者は、複数の署名を集約した単一の署名を参照するだけでは、データの信頼性を検証することが難しい。

　１つの側面では、本発明は、データの信頼性を検証し易くすることを目的とする。

　１つの実施態様によれば、複数の署名を集約して得た連結署名に対応する信頼性に関する評価項目についての第１の評価値と、前記複数の署名のいずれかの署名に対応する信頼性に関する前記評価項目についての第２の評価値とを取得し、取得した前記第１の評価値と前記第２の評価値とが異なる場合、前記評価項目の種別に基づいて、前記連結署名と、前記いずれかの署名との階層関係に応じて、前記第１の評価値を用いて前記第２の評価値を変更し、または、前記第２の評価値を用いて前記第１の評価値を変更する制御を行う情報処理方法、情報処理プログラム、および情報処理装置が提案される。

　一態様によれば、データの信頼性を検証し易くすることが可能になる。

図１は、実施の形態にかかる情報処理方法の一実施例を示す説明図（その１）である。図２は、実施の形態にかかる情報処理方法の一実施例を示す説明図（その２）である。図３は、信頼性管理システム３００の一例を示す説明図である。図４は、情報処理装置２００のハードウェア構成例を示すブロック図である。図５は、署名が付与されたデータの一例を示す説明図である。図６は、評価項目の定義の一例を示す説明図（その１）である。図７は、評価項目の定義の一例を示す説明図（その２）である。図８は、評価基準表８００の一例を示す説明図である。図９は、ＷＦヒエラルキー表９００の一例を示す説明図である。図１０は、トラストベクトルＤＢ１０００の一例を示す説明図である。図１１は、トラストベクトル基準ＤＢ１１００の一例を示す説明図である。図１２は、情報処理装置２００の機能的構成例を示すブロック図である。図１３は、情報処理装置２００の動作の一例を示す説明図（その１）である。図１４は、情報処理装置２００の動作の一例を示す説明図（その２）である。図１５は、情報処理装置２００の動作の一例を示す説明図（その３）である。図１６は、情報処理装置２００の動作の一例を示す説明図（その４）である。図１７は、情報処理装置２００の動作の一例を示す説明図（その５）である。図１８は、情報処理装置２００の動作の一例を示す説明図（その６）である。図１９は、情報処理装置２００の動作を纏めた具体例を示す説明図である。図２０は、情報処理装置２００を適用するユースケースの一例を示す説明図である。図２１は、従来手法と比較する一例を示す説明図である。図２２は、トラストマッピング処理手順の一例を示すフローチャートである。図２３は、トップダウン更新処理手順の一例を示すフローチャートである。図２４は、ボトムアップ更新処理手順の一例を示すフローチャートである。図２５は、重み付け処理手順の一例を示すフローチャートである。

　以下に、図面を参照して、本発明にかかる情報処理方法、情報処理プログラム、および情報処理装置の実施の形態を詳細に説明する。

（実施の形態にかかる情報処理方法の一実施例）
　図１および図２は、実施の形態にかかる情報処理方法の一実施例を示す説明図である。図２に後述する情報処理装置２００は、データの信頼性を検証し易くするためのコンピュータである。データは、例えば、文書などである。

　従来、データの改ざん、または、なりすましによる不正なデータの作成などを防止するため、データの真正性を保証することにより、データの真正性の観点から、データの信頼性を保証することが望まれている。このため、データに、電子的な署名が付与されることがある。署名は、データの信頼性を保証するための情報である。署名は、例えば、データの真正性を保証するための情報である。真正性は、改ざんされていないことを示す。署名は、公開鍵暗号を活用して実現される。署名は、例えば、データが改ざんされていないことを保証することにより、データ的な信頼性を保証する。

　さらに、データに関する社会的事項の信頼性を保証することにより、社会的事項の信頼性の観点から、データの信頼性を保証することが望まれている。社会的事項の信頼性は、例えば、データを作成した作成者、または、作成者が属する組織などが信頼可能であるか否かを示す。社会的事項の信頼性は、データの中身が、規則、契約、または、社会通念などにおいて妥当であり、信頼可能であるか否かを示す。これに対し、複数のデータのそれぞれのデータに対して付与された署名を、ＷＦ型の署名に集約することが考えられる。ＷＦは、例えば、複数人による、複数のデータの承認（ワークフロー）を行う作業や、階層構造による承認作業を示す。ＷＦ型の署名は、複数のデータに対するＷＦの真正性を保証する。

　しかしながら、ＷＦ型の署名を活用しても、複数のデータのそれぞれのデータの信頼性を、多面的に検証可能にすることは難しい。例えば、ＷＦ型の署名では、複数人による複数のデータの承認作業の真正性以外の観点から、社会的事項の信頼性を保証することはできない。具体的には、ＷＦ型の署名では、個人の評価、組織の評価、組織の実在性、または、署名方式の種別などの観点から、社会的事項の信頼性を保証することはできない。

　また、例えば、ＷＦ型の署名では、集約される元の署名の暗号的強度の記録、および、認証局の安全性の情報などが失われてしまうため、データの真正性の観点から、それぞれのデータの信頼性を検証することは難しくなる。具体的には、検証者は、ＷＦ型の署名を参照するのみでは、それぞれのデータの真正性を検証することができず、複数のデータの中に、改ざんされたデータがあるか否かを検証することができない。

　また、具体的には、検証者は、それぞれのデータの真正性を検証するためには、ＷＦ型の署名を参照した後、複数の署名のそれぞれの署名も参照しなければならない。また、具体的には、検証者は、署名によるデータの真正性と、データの中身とを確認して、業務を進める上で妥当なデータであるか否かを判断しなければならない。このため、検証者は、作業負担の増大化を招くことになる。

　従って、データの真正性の観点、および、社会的事項の信頼性の観点の両面から、署名が付与された複数のデータのそれぞれのデータの信頼性を容易に検証可能にし、複数のデータの信頼性を検証する際にかかる作業負担の低減化を図ることが望まれる。

　例えば、図１に示すように、提供者となるＡさん、Ｂさん、Ｃさんが、データとなる清算書類、明細書１、明細書２に署名を付与した後、３つの署名を集約したＷＦ型の署名が生成されている状況が考えられる。Ｂさんが付与した署名は、不正な方式であり、信頼性が相対的に低い。加えて、常識的に見て店名が記載されていないなどの不備があり、社会的事項の信頼性が少ない。この状況では、検証者が、それぞれのデータの信頼性を、データの真正性の観点、および、社会的事項の信頼性の観点の両面から、容易に検証可能にした上で、データを検証可能にすることが望まれる。例えば、Ｂさんが付与した署名が、不正な方式であり、信頼性が相対的に低いことを、検証者が容易に把握可能にすることが望まれる。

　そこで、本実施の形態では、データの真正性の観点、および、社会的事項の信頼性の観点の両面から、複数のデータのそれぞれのデータの信頼性を検証し易くすることができる情報処理方法について説明する。

　図２において、それぞれ異なる署名が付与された複数のデータが存在する。また、図２において、それぞれのデータに付与された署名を集約した署名が生成されている。以下の説明では、複数の署名を集約し、組織的な同意、組織的な同意の順序、組織的な同意の階層構造、組織的な同意にかかるワークフローなどの社会的なトラスト要素を含む署名を「連結署名」と表記する場合がある。連結署名は、例えば、ＷＦ型の署名である。連結署名は、例えば、集約された複数の署名より１つ上位の階層に存在すると扱われる。

　また、それぞれの署名に対して、データの信頼性に関する評価項目についての評価値が設定されている。評価項目は、例えば、データの真正性の観点から、データの信頼性を評価する項目である。評価項目は、例えば、データに関する社会的事項の信頼性の観点から、データの信頼性を評価する項目である。また、連結署名に対して、同様に、データの信頼性に関する評価項目についての評価値が設定されている。

　以下の説明では、データの真正性の観点から評価されるデータの信頼性を「データ的トラスト」と表記する場合がある。以下の説明では、データに関する社会的事項の信頼性の観点から評価されるデータの信頼性を「社会的トラスト」と表記する場合がある。

　図２の例では、明細書１．ｐｄｆのデータに、署名Ｓ１が付与されている。また、図２の例では、明細書２．ｐｄｆのデータに、署名Ｓ２が付与されている。また、図２の例では、署名Ｓ１と署名Ｓ２とを集約した連結署名Ｇ１が生成されている。また、図２の例では、署名Ｓ１と、署名Ｓ２と、連結署名Ｇ１とに対して、評価値が設定されている。

　（２－１）情報処理装置２００は、複数の署名を集約して得た連結署名に対応する信頼性に関する評価項目についての第１の評価値と、複数の署名のいずれかの署名に対応する信頼性に関する評価項目についての第２の評価値とを取得する。

　図２の例では、情報処理装置２００は、連結署名Ｇ１に対応する信頼性に関する評価項目についての第１の評価値と、署名Ｓ１に対応する信頼性に関する評価項目についての第２の評価値とを取得する。具体的には、情報処理装置２００は、連結署名Ｇ１に対応する、データの真正性の観点からの第１の評価値と、署名Ｓ１に対応する、データの真正性の観点からの第２の評価値とを取得する。また、具体的には、情報処理装置２００は、連結署名Ｇ１に対応する、社会的事項の信頼性の観点からの第１の評価値と、署名Ｓ１に対応する、社会的事項の信頼性の観点からの第２の評価値とを取得してもよい。

　（２－２）情報処理装置２００は、取得した第１の評価値と第２の評価値とが異なるか否かを判定する。情報処理装置２００は、異なると判定した場合、評価項目の種別に基づいて、連結署名と、いずれかの署名との階層関係に応じて、第１の評価値を用いて第２の評価値を変更し、または、第２の評価値を用いて第１の評価値を変更する制御を行う。階層関係は、連結署名を生成した生成主体と、いずれかの署名を生成した生成主体との社会的な上下関係に対応することがある。

　図２の例では、情報処理装置２００は、評価項目の種別が、データ的トラストの項目であるか、または、社会的トラストの項目であるかを判定する。ここで、情報処理装置２００は、データ的トラストの項目であると判定した場合、下位の階層にある署名に対応する第２の評価値を用いて、上位の階層にある連結署名に対応する第１の評価値を変更する制御を行う。具体的には、情報処理装置２００は、署名Ｓ１に対応する、データの真正性の観点からの第２の評価値を用いて、連結署名Ｇ１に対応する、データの真正性の観点からの第１の評価値を変更する制御を行う。より具体的には、情報処理装置２００は、連結署名Ｇ１に対応する第１の評価値を、署名Ｓ１に対応する第２の評価値と同じ値に変更する。

　一方で、情報処理装置２００は、社会的トラストの項目であると判定した場合、上位の階層にある連結署名に対応する第１の評価値を用いて、下位の階層にある署名に対応する第２の評価値を変更する制御を行う。具体的には、情報処理装置２００は、連結署名Ｇ１に対応する、データの真正性の観点からの第１の評価値を用いて、署名Ｓ１に対応する、データの真正性の観点からの第２の評価値を変更する制御を行う。より具体的には、情報処理装置２００は、署名Ｓ１に対応する第２の評価値を、連結署名Ｇ１に対応する第１の評価値と同じ値に変更する。

　これにより、情報処理装置２００は、データの信頼性を検証し易くすることができる。例えば、下位の階層にある署名が、データ的トラストの観点からの信頼性が比較的低い署名である場合が考えられる。この場合、上位の階層にある集約書面は、信頼性が比較的低い署名を集約しているため、同様に、データ的トラストの観点からの信頼性が比較的低い連結署名と扱われることが好ましい。これに対し、情報処理装置２００は、下位の階層にある署名に対応するデータ的トラストの項目の評価値で、上位の階層にある連結署名に対応するデータ的トラストの項目の評価値を修正することができる。

　このため、情報処理装置２００は、連結署名に対応するデータ的トラストの項目の評価値を、連結署名の状態を正確に表すよう修正することができる。そして、情報処理装置２００は、検証者が、連結署名に対応するデータ的トラストの項目の評価値を参照して、連結署名の状態を把握し、データの信頼性を正確に検証可能にすることができる。また、情報処理装置２００は、検証者が、下位の階層にある署名に対応する評価値を検証せずとも、上位の階層にある連結署名に対応する評価値を検証すれば、複数のデータの信頼性を検証可能にすることができる。このため、情報処理装置２００は、検証者の作業負担の低減化を図ることができる。

　また、例えば、下位の階層にある署名が、社会的トラストの観点からの信頼性が比較的低い署名である場合が考えられる。しかしながら、上位の階層にある連結署名が、社会的トラストの観点からの信頼性が比較的高い署名であれば、連結署名を作成した作成者が、下位の階層にある署名に対応する、社会的トラストの観点からの信頼性を保証しているものと扱ってよい状況が考えられる。具体的には、親会社が、子会社によって作成された複数の署名を集約し、連結署名を作成したという状況が考えられる。また、具体的には、上司が、部下によって作成された複数の署名を集約し、連結署名を作成したという状況が考えられる。これに対し、情報処理装置２００は、上位の階層にある連結署名に対応する社会的トラストの項目の評価値で、下位の階層にある署名に対応する社会的トラストの項目の評価値を修正することができる。

　このため、情報処理装置２００は、署名に対応する社会的トラストの項目の評価値を、署名の状態を正確に表すよう修正することができる。情報処理装置２００は、例えば、階層関係に応じて、連結署名を生成した生成主体と、いずれかの署名を生成した生成主体との社会的な上下関係を考慮して、署名に対応する社会的トラストの項目の評価値を、署名の状態を正確に表すよう修正することができる。そして、情報処理装置２００は、検証者が、署名に対応する社会的トラストの項目の評価値を参照して、署名の状態を把握し、データの信頼性を正確に検証可能にすることができる。このため、情報処理装置２００は、検証者の作業負担の低減化を図ることができる。

　また、情報処理装置２００は、連結署名と、連結署名に対応する評価値と、署名と、署名に対応する評価値とにより、データの真正性を保証し、データの改ざん、または、なりすましによる不正なデータの作成などを防止することができる。また、情報処理装置２００は、連結署名と、連結署名に対応する評価値と、署名と、署名に対応する評価値とにより、ＷＦの真正性の他、データに関する社会的事項の信頼性を保証することができる。情報処理装置２００は、例えば、個人の評価、組織の評価、組織の実在性、または、署名方式の種別などの信頼性を保証し、データの信頼性を保証することができる。

　また、情報処理装置２００は、連結署名により、ＷＦの真正性を保証し、データの信頼性を保証することができる。また、情報処理装置２００は、評価値により、集約される元の署名の暗号的強度の記録、および、認証局の安全性の情報などを表すことができ、データの真正性の観点から、それぞれのデータの信頼性を検証し易くすることができる。

（信頼性管理システム３００の一例）
　次に、図３を用いて、図２に示した情報処理装置２００を適用した、信頼性管理システム３００の一例について説明する。

　図３は、信頼性管理システム３００の一例を示す説明図である。図３において、信頼性管理システム３００は、情報処理装置２００と、作成者側装置３０１と、利用者側装置３０２とを含む。

　信頼性管理システム３００において、情報処理装置２００と作成者側装置３０１とは、有線または無線のネットワーク３１０を介して接続される。ネットワーク３１０は、例えば、ＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）、ＷＡＮ（Ｗｉｄｅ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）、インターネットなどである。また、信頼性管理システム３００において、情報処理装置２００と利用者側装置３０２とは、有線または無線のネットワーク３１０を介して接続される。

　情報処理装置２００は、データに付与された署名に対応する複数の評価項目のいずれかの評価項目についての評価値を変更可能なコンピュータである。データは、例えば、明細書、または、清算書類などである。データの一例は、具体的には、図５を用いて後述する。複数の評価項目は、例えば、データ的トラストに関する種別の評価項目、および、社会的トラストに関する種別の評価項目などを含む。評価項目の定義は、具体的には、図６および図７を用いて後述する。

　情報処理装置２００は、例えば、データを、情報処理装置２００とは異なる装置から受信する。情報処理装置２００とは異なる装置は、例えば、作成者側装置３０１である。情報処理装置２００は、例えば、受信したデータに、電子的な署名を付与する。データは、例えば、情報処理装置２００とは異なる装置によって、既に署名が付与されていてもよい。

　情報処理装置２００は、例えば、署名に対応する複数の評価項目のそれぞれの評価項目についての評価値を設定する。情報処理装置２００は、具体的には、評価基準表８００に基づいて、署名に対応する複数の評価項目のそれぞれの評価項目についての評価値を設定する。評価基準表８００の一例は、具体的には、図８を用いて後述する。署名は、例えば、情報処理装置２００とは異なる装置によって、既に評価値が設定されていてもよい。

　情報処理装置２００は、例えば、複数の署名を集約したＷＦ型の署名を生成する。情報処理装置２００は、複数の署名と、複数の署名を集約したＷＦ型の署名との階層関係を、ＷＦヒエラルキー表９００に記憶する。ＷＦヒエラルキー表９００の一例は、具体的には、図９を用いて後述する。

　情報処理装置２００は、例えば、複数の署名を集約したＷＦ型の署名を、情報処理装置２００とは異なる装置から受信してもよい。情報処理装置２００は、例えば、ＷＦ型の署名に対応する複数の評価項目のそれぞれの評価項目についての評価値を設定する。ＷＦ型の署名は、例えば、情報処理装置２００とは異なる装置によって、既に評価値が設定されていてもよい。情報処理装置２００は、例えば、設定した各種評価値を、トラストベクトルＤＢ（ＤａｔａＢａｓｅ）１０００に記憶する。情報処理装置２００は、具体的には、設定した各種評価値を要素とするトラストベクトルを、トラストベクトルＤＢ１０００に記憶する。トラストベクトルＤＢ１０００の一例は、具体的には、図１０を用いて後述する。

　情報処理装置２００は、例えば、いずれかの評価項目の種別に基づいて、複数の署名と、ＷＦ型の署名との階層関係に応じて、署名に対応する当該評価項目についての評価値、または、ＷＦ型の署名に対応する当該評価項目についての評価値を変更する。

　情報処理装置２００は、例えば、複数の署名と、ＷＦ型の署名との階層関係を、検証者が参照可能に出力する。情報処理装置２００は、例えば、複数の署名と、ＷＦ型の署名との階層関係を、利用者側装置３０２に表示させ、利用者側装置３０２を用いる検証者が参照可能にする。情報処理装置２００は、複数の署名と、ＷＦ型の署名とを、検証者が参照可能に出力する。情報処理装置２００は、例えば、複数の署名と、ＷＦ型の署名とを、利用者側装置３０２に表示させ、利用者側装置３０２を用いる検証者が参照可能にする。

　情報処理装置２００は、例えば、複数の署名のそれぞれの署名に対応する複数の評価項目のそれぞれの評価項目についての評価値と、ＷＦ型の署名に対応する複数の評価項目のそれぞれの評価項目についての評価値とを、検証者が参照可能に出力する。

　情報処理装置２００は、例えば、複数の署名のそれぞれの署名に対応する複数の評価項目のそれぞれの評価項目についての評価値を、利用者側装置３０２に表示させ、利用者側装置３０２を用いる検証者が参照可能にする。情報処理装置２００は、例えば、ＷＦ型の署名に対応する複数の評価項目のそれぞれの評価項目についての評価値を、利用者側装置３０２に表示させ、利用者側装置３０２を用いる検証者が参照可能にする。

　情報処理装置２００は、例えば、トラストベクトル基準ＤＢ１１００に基づいて、トラストベクトルの正当性を検証してもよい。トラストベクトル基準ＤＢ１１００の一例は、具体的には、図１１を用いて後述する。情報処理装置２００は、例えば、トラストベクトルの正当性を検証した結果を、利用者側装置３０２に表示させ、利用者側装置３０２を用いる検証者が参照可能にしてもよい。情報処理装置２００は、例えば、サーバ、または、ＰＣ（Ｐｅｒｓｏｎａｌ　Ｃｏｍｐｕｔｅｒ）などである。

　作成者側装置３０１は、データを作成する作成者によって用いられるコンピュータである。データは、例えば、明細書、または、清算書類などである。作成者側装置３０１は、作成者の操作入力に従い、データを作成する。作成者側装置３０１は、作成したデータを、情報処理装置２００に送信する。作成者側装置３０１は、例えば、サーバ、ＰＣ、タブレット端末、または、スマートフォンなどである。

　利用者側装置３０２は、データの信頼性を検証する検証者によって用いられるコンピュータである。利用者側装置３０２は、情報処理装置２００の制御に従い、複数の署名と、ＷＦ型の署名との階層関係を、検証者が参照可能に表示する。利用者側装置３０２は、情報処理装置２００の制御に従い、複数の署名と、ＷＦ型の署名とを、検証者が参照可能に表示する。

　利用者側装置３０２は、情報処理装置２００の制御に従い、複数の署名のそれぞれの署名に対応する複数の評価項目のそれぞれの評価項目についての評価値を、検証者が参照可能に表示する。利用者側装置３０２は、情報処理装置２００の制御に従い、ＷＦ型の署名に対応する複数の評価項目のそれぞれの評価項目についての評価値を、検証者が参照可能に表示する。利用者側装置３０２は、例えば、サーバ、ＰＣ、タブレット端末、または、スマートフォンなどである。

　信頼性管理システム３００は、例えば、組織間の取引が行われる際に利用される。信頼性管理システム３００は、具体的には、ある組織において、それぞれ異なる従業員が作成した複数のデータのそれぞれのデータに署名が付与されており、複数の署名を集約したＷＦ型の署名が作成されている状況に利用される。そして、信頼性管理システム３００は、具体的には、データを基に、他の組織と取引が行われる際に利用される。

　ここでは、情報処理装置２００が、作成者側装置３０１とは異なる装置である場合について説明したが、これに限らない。例えば、情報処理装置２００が、作成者側装置３０１としての機能を有する場合があってもよい。この場合、信頼性管理システム３００は、作成者側装置３０１を含まなくてもよい。

　ここでは、情報処理装置２００が、利用者側装置３０２とは異なる装置である場合について説明したが、これに限らない。例えば、情報処理装置２００が、利用者側装置３０２としての機能を有する場合があってもよい。この場合、信頼性管理システム３００は、利用者側装置３０２を含まなくてもよい。

　ここでは、作成者側装置３０１が、利用者側装置３０２とは異なる装置である場合について説明したが、これに限らない。例えば、作成者側装置３０１が、利用者側装置３０２としての機能を有する場合があってもよい。この場合、信頼性管理システム３００は、利用者側装置３０２を含まなくてもよい。

　ここでは、情報処理装置２００が、データに、電子的な署名を付与する場合について説明したが、これに限らない。例えば、信頼性管理システム３００が、情報処理装置２００以外に、データに、電子的な署名を付与する他の装置を含む場合があってもよい。この場合、他の装置が、データに、電子的な署名を付与し、情報処理装置２００に送信する。

　ここでは、情報処理装置２００が、署名に対応する複数の評価項目のそれぞれの評価項目についての評価値を設定する場合について説明したが、これに限らない。例えば、信頼性管理システム３００が、情報処理装置２００以外に、署名に対応する複数の評価項目のそれぞれの評価項目についての評価値を設定する他の装置を含む場合があってもよい。この場合、他の装置が、署名に対応する複数の評価項目のそれぞれの評価項目についての評価値を設定し、情報処理装置２００に送信する。

　ここでは、情報処理装置２００が、複数の署名を集約したＷＦ型の署名を生成する場合について説明したが、これに限らない。例えば、信頼性管理システム３００が、情報処理装置２００以外に、複数の署名を集約したＷＦ型の署名を生成する他の装置を含む場合があってもよい。この場合、他の装置が、複数の署名を集約したＷＦ型の署名を生成し、情報処理装置２００に送信する。

　ここでは、情報処理装置２００が、ＷＦ型の署名に対応する複数の評価項目のそれぞれの評価項目についての評価値を設定する場合について説明したが、これに限らない。例えば、信頼性管理システム３００が、情報処理装置２００以外に、ＷＦ型の署名に対応する複数の評価項目のそれぞれの評価項目についての評価値を設定する他の装置を含む場合があってもよい。この場合、他の装置が、ＷＦ型の署名に対応する複数の評価項目のそれぞれの評価項目についての評価値を設定し、情報処理装置２００に送信する。

（情報処理装置２００のハードウェア構成例）
　次に、図４を用いて、図３に示した信頼性管理システム３００に含まれる情報処理装置２００のハードウェア構成例について説明する。

　図４は、情報処理装置２００のハードウェア構成例を示すブロック図である。図４において、情報処理装置２００は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）４０１と、メモリ４０２と、ネットワークＩ／Ｆ（Ｉｎｔｅｒｆａｃｅ）４０３と、記録媒体Ｉ／Ｆ４０４と、記録媒体４０５とを有する。また、各構成部は、バス４００によってそれぞれ接続される。

　ここで、ＣＰＵ４０１は、情報処理装置２００の全体の制御を司る。メモリ４０２は、例えば、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）およびフラッシュＲＯＭなどを有する。具体的には、例えば、フラッシュＲＯＭやＲＯＭが各種プログラムを記憶し、ＲＡＭがＣＰＵ４０１のワークエリアとして使用される。メモリ４０２に記憶されるプログラムは、ＣＰＵ４０１にロードされることにより、コーディングされている処理をＣＰＵ４０１に実行させる。

　ネットワークＩ／Ｆ４０３は、通信回線を通じてネットワーク３１０に接続され、ネットワーク３１０を介して他のコンピュータに接続される。そして、ネットワークＩ／Ｆ４０３は、ネットワーク３１０と内部のインターフェースを司り、他のコンピュータからのデータの入出力を制御する。ネットワークＩ／Ｆ４０３は、例えば、モデムやＬＡＮアダプタなどである。

　記録媒体Ｉ／Ｆ４０４は、ＣＰＵ４０１の制御に従って記録媒体４０５に対するデータのリード／ライトを制御する。記録媒体Ｉ／Ｆ４０４は、例えば、ディスクドライブ、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）、ＵＳＢ（Ｕｎｉｖｅｒｓａｌ　Ｓｅｒｉａｌ　Ｂｕｓ）ポートなどである。記録媒体４０５は、記録媒体Ｉ／Ｆ４０４の制御で書き込まれたデータを記憶する不揮発メモリである。記録媒体４０５は、例えば、ディスク、半導体メモリ、ＵＳＢメモリなどである。記録媒体４０５は、情報処理装置２００から着脱可能であってもよい。

　情報処理装置２００は、上述した構成部のほか、例えば、キーボード、マウス、ディスプレイ、プリンタ、スキャナ、マイク、スピーカーなどを有してもよい。また、情報処理装置２００は、記録媒体Ｉ／Ｆ４０４や記録媒体４０５を複数有していてもよい。また、情報処理装置２００は、記録媒体Ｉ／Ｆ４０４や記録媒体４０５を有していなくてもよい。

（署名が付与されたデータの一例）
　次に、図５を用いて、署名が付与されたデータの一例について説明する。

　図５は、署名が付与されたデータの一例を示す説明図である。図５の例では、Ｃさんが作成したデータとして、明細書１．ｐｄｆが存在する。明細書１．ｐｄｆは、信頼性が比較的高い認証局を用いて、Ｃさんにより作成された署名が付与されており、データ的トラストの観点で信頼性が比較的高い。明細書１．ｐｄｆの中身は、領収書５０１である。領収書５０１は、店舗の印鑑があり、宛名および但し書きが明確であるため、社会的トラストの観点でも信頼性が比較的高い。

　また、Ｂさんが作成したデータとして、明細書２．ｐｄｆが存在する。明細書２．ｐｄｆは、信頼性が比較的低く安全性が比較的低い認証局を用いて、Ｂさんにより作成された署名が付与されており、データ的トラストの観点で信頼性が比較的低い。明細書２．ｐｄｆの中身は、領収書５０２である。領収書５０２は、店舗の印鑑がなく、宛名および但し書きが明確ではないため、社会的トラストの観点でも信頼性が比較的低い。

　また、Ａさんが作成したデータとして、清算書類．ｐｄｆが存在する。Ａさんは、具体的には、明細書１．ｐｄｆと、明細書２．ｐｄｆとを纏めて、清算書類．ｐｄｆを作成している。清算書類．ｐｄｆは、信頼性が比較的高い認証局を用いて、Ａさんにより作成された署名が付与されており、データ的トラストの観点で信頼性が比較的高い。清算書類．ｐｄｆの中身は、経費請求書５０３である。経費請求書５０３は、社会的トラストの観点で信頼性が比較的低い領収書５０２の一部を含むため、社会的トラストの観点では信頼性が比較的低いと扱われることが好ましい。

（評価項目の定義の一例）
　次に、図６および図７を用いて、評価項目の定義の一例について説明する。

　図６および図７は、評価項目の定義の一例を示す説明図である。評価項目は、例えば、図６の表６００に示すように定義される。データ的トラストに関する評価項目は、例えば、認証トラストを含む。認証トラストは、性能評価と、リスク項目との少なくともいずれかの観点から評価される。性能評価の観点は、認証トラストが高いか否かを評価する観点である。性能評価の観点は、正当な利用法で、情報、または、手法などを利用した場合における、性能の違いを評価することにより、認証トラストの高さを評価する。リスク項目の観点は、認証トラストが低いか否かを評価する観点である。リスク項目の観点は、情報、または、手法などを、悪用、または、改ざんする攻撃が可能であるか否かを評価することにより、認証トラストの低さを評価する。

　認証トラストは、例えば、個人、または、企業について、安全性が比較的高い署名を用いているか否かに基づき、性能評価の観点から評価される。また、認証トラストは、例えば、個人について、パスワードチェックアップ、または、ダークウェブ調査などの結果に基づき、リスク項目の観点から評価される。認証トラストは、例えば、企業について、ｅシールの格付け、または、ＢＥＣ（Ｂｕｓｉｎｅｓｓ　Ｅ－ｍａｉｌ　Ｃｏｍｐｒｏｍｉｓｅ）被害レポートなどに基づき、リスク項目の観点から評価される。

　社会的トラストに関する評価項目は、例えば、社会的地位トラストを含む。社会的地位トラストは、性能評価と、リスク項目との少なくともいずれかの観点から評価される。性能評価の観点は、社会的地位トラストが高いか否かを評価する観点である。性能評価の観点は、正当な利用法で、情報、または、手法などを利用した場合における、性能の違いを評価することにより、社会的地位トラストの高さを評価する。リスク項目の観点は、社会的地位トラストが低いか否かを評価する観点である。リスク項目の観点は、情報、または、手法などを、悪用、または、改ざんする攻撃が可能であるか否かを評価することにより、社会的地位トラストの低さを評価する。

　社会的地位トラストは、例えば、個人について、所属会社、または、犯罪歴に基づき、性能評価の観点から評価される。また、社会的地位トラストは、例えば、企業について、帝国データバンク、または、ＩＲレポートなどに基づき、性能評価の観点から評価される。また、社会的地位トラストは、例えば、個人について、個人スコア、または、虚偽データの利用歴などに基づき、リスク項目の観点から評価される。社会的地位トラストは、例えば、企業について、企業の評判、金融機関借入状況などに基づき、リスク項目の観点から評価される。

　社会的トラストに関する評価項目は、例えば、署名者トラストを含む。署名者トラストは、性能評価と、リスク項目との少なくともいずれかの観点から評価される。性能評価の観点は、署名者トラストが高いか否かを評価する観点である。性能評価の観点は、正当な利用法で、情報、または、手法などを利用した場合における、性能の違いを評価することにより、署名者トラストの高さを評価する。リスク項目の観点は、署名者トラストが低いか否かを評価する観点である。リスク項目の観点は、情報、または、手法などを、悪用、または、改ざんする攻撃が可能であるか否かを評価することにより、署名者トラストの低さを評価する。

　署名者トラストは、例えば、署名方式に基づき、性能評価の観点から評価される。署名方式の一例について、具体的には、図７を用いて後述する。また、署名者トラストは、例えば、署名生成機能を提供する署名サービスの種類、ＣＡの安全性評価、または、ＴＡの安全性評価などに基づき、リスク項目の観点から評価される。次に、図７の説明に移行する。

　図７に示すように、当事者型、立会人型、および、リモート署名などの署名方式が存在する。当事者型は、作成者側装置３０１が、署名を生成するための鍵を生成し、管理する署名方式である。当事者型では、作成者側装置３０１が、データ７０１に署名を付与し、付与後のデータ７０２を外部に提供することになる。外部は、例えば、情報処理装置２００、または、利用者側装置３０２などである。

　立会人型は、署名の立会人が、データ７０１を確認し、立会人が有する立会人側装置が、署名を生成するための鍵を生成し、鍵管理ＤＢ７１０で管理する署名方式である。立会人型では、立会人が有する立会人側装置が、データ７０１に署名を付与し、付与後のデータ７０２を外部に提供することになる。外部は、例えば、情報処理装置２００、または、利用者側装置３０２などである。

　リモート署名は、作成者が利用するクラウド環境に、署名生成機能を実装し、作成者側装置３０１が、データ７０１を含む鍵生成依頼を、クラウド環境に送信する署名方式である。クラウド環境は、署名を生成するための鍵を生成し、鍵管理ＤＢ７１０で管理する。クラウド環境は、データ７０１に署名を付与し、付与後のデータ７０２を外部に提供することになる。外部は、例えば、情報処理装置２００、または、利用者側装置３０２などである。

（評価基準表８００の一例）
　次に、図８を用いて、評価基準表８００の一例について説明する。評価基準表８００は、例えば、図４に示した情報処理装置２００のメモリ４０２や記録媒体４０５などの記憶領域により実現される。

　図８は、評価基準表８００の一例を示す説明図である。図８に示すように、評価基準表８００は、Ｎｏ．と、属性値と、値と、値修正条件とのフィールドを有する。評価基準表８００は、属性値ごとに各フィールドに情報を設定することにより、評価基準情報が記憶される。

　Ｎｏ．のフィールドには、属性値に対応する番号が設定される。属性値のフィールドには、評価項目の種別が設定される。評価項目の種別は、データ的トラスト、または、社会的トラストである。属性値のフィールドには、さらに、上記評価項目の内容が設定される。属性値のフィールドには、さらに、閾値および基準の区分けが設定される。

　値のフィールドには、上記区分けに従い、閾値および基準が設定される。値のフィールドには、基準として、データ的トラスト、または、社会的トラストを評価する要素が設定される。値のフィールドには、閾値として、上記基準が、データ的トラスト、または、社会的トラストを保証する条件を満たすか否かが設定される。閾値により、複数の基準のうち、データ的トラスト、または、社会的トラストが保証される基準と、データ的トラスト、または、社会的トラストが保証されない基準との境界が判別可能になる。

　閾値は、０であれば、上記基準が、データ的トラスト、または、社会的トラストを保証する条件を満たさないことを示す。閾値は、１であれば、上記基準が、データ的トラスト、または、社会的トラストを保証する条件を満たすことを示す。閾値は、そのまま、上記基準を満たす場合に、データ的トラスト、または、社会的トラストの大きさを示すトラスト値として用いられる。

　値修正条件のフィールドには、データ的トラスト、または、社会的トラストの大きさを示すトラスト値を修正する条件、および、条件を満たした場合のトラスト値の修正内容が設定される。上記基準に該当しても、トラスト値を修正する条件を満たせば、上記修正内容に従い、トラスト値が修正されることになる。

（ＷＦヒエラルキー表９００の一例）
　次に、図９を用いて、ＷＦヒエラルキー表９００の一例について説明する。ＷＦヒエラルキー表９００は、例えば、図４に示した情報処理装置２００のメモリ４０２や記録媒体４０５などの記憶領域により実現される。

　図９は、ＷＦヒエラルキー表９００の一例を示す説明図である。図９に示すように、ＷＦヒエラルキー表９００は、上位の階層にある署名と、下位の階層にある署名との組み合わせごとに、０または１の値を対応付ける表である。図９の例では、それぞれの行に、署名を示す署名ＩＤが対応付けられる。また、図９の例では、それぞれの列に、署名を示す署名ＩＤが対応付けられる。

　行に対応する署名ＩＤの署名が、列に対応する署名ＩＤの署名の１つ上位の階層にある署名であれば、当該行に対応する署名ＩＤの署名と、当該列に対応する署名ＩＤの署名との組み合わせに、１の値が対応付けられる。一方で、行に対応する署名ＩＤの署名が、列に対応する署名ＩＤの署名の１つ上位の階層にはない署名であれば、当該行に対応する署名ＩＤの署名と、当該列に対応する署名ＩＤの署名との組み合わせに、０の値が対応付けられる。

　図９のＷＦヒエラルキー表９００の状態は、グラフ９１０に示す署名間の階層関係を表す。グラフ９１０は、ＷＦ型の署名Ｇ１が、署名ｓ２および署名ｓ３の１つ上の階層にあることを表し、署名ｓ２および署名ｓ３を集約していることを表す。また、グラフ９１０は、ＷＦ型の署名Ｇ２が、署名ｓ１および署名Ｇ１の１つ上の階層にあることを表し、署名ｓ１および署名Ｇ１を集約していることを表す。

　ここで、署名ｓ２と署名ｓ３とを一旦署名Ｇ１に集約した後、さらに、署名Ｇ１と署名ｓ１とを署名Ｇ２に集約することにより、清算書類．ｐｄｆが、明細書１．ｐｄｆと明細書２．ｐｄｆとを包含することを表している。

（トラストベクトルＤＢ１０００の一例）
　次に、図１０を用いて、トラストベクトルＤＢ１０００の一例について説明する。トラストベクトルＤＢ１０００は、例えば、図４に示した情報処理装置２００のメモリ４０２や記録媒体４０５などの記憶領域により実現される。

　図１０は、トラストベクトルＤＢ１０００の一例を示す説明図である。図１０に示すように、トラストベクトルＤＢ１０００は、署名ＩＤと、電子データと、認証鍵と、作成日と、トラスト値ｔと、総合トラスト値Ｔと、重み付けと、最終値とのフィールドを有する。トラストベクトルＤＢ１０００は、署名ごとに各フィールドに情報を設定することにより、トラストベクトル情報が記憶される。

　署名ＩＤのフィールドには、署名を示す署名ＩＤが設定される。電子データのフィールドには、上記署名が付与された電子データの名称が設定される。認証鍵のフィールドには、上記署名を生成する際に用いられた認証鍵を示す鍵ＩＤが設定される。作成日のフィールドには、上記電子データの作成日が設定される。

　トラスト値ｔのフィールドには、データ的トラスト、または、社会的トラストの大きさを示すトラスト値ｔが設定される。図１０の例では、トラストベクトルＤＢ１０００は、トラスト値ｔ１～ｔ３のフィールドを有する。トラスト値ｔ１のフィールドには、データ的トラストの大きさを示すトラスト値ｔ１が設定される。トラスト値ｔ２，ｔ３のフィールドには、社会的トラストの大きさを示すトラスト値ｔ２，ｔ３が設定される。

　総合トラスト値Ｔのフィールドには、トラスト値ｔの平均値が設定される。重み付けのフィールドには、上記総合トラスト値Ｔにかかる重み係数が設定される。最終値のフィールドには、上記総合トラスト値Ｔに、重みをかけて得た最終値が設定される。トラスト値ｔ、総合トラスト値Ｔ、および、最終値により、電子データの信頼性が精度よく表現されることになる。

（トラストベクトル基準ＤＢ１１００の一例）
　次に、図１１を用いて、トラストベクトル基準ＤＢ１１００の一例について説明する。トラストベクトル基準ＤＢ１１００は、例えば、図４に示した情報処理装置２００のメモリ４０２や記録媒体４０５などの記憶領域により実現される。

　図１１は、トラストベクトル基準ＤＢ１１００の一例を示す説明図である。図１１に示すように、トラストベクトル基準ＤＢ１１００は、企業ＩＤと、企業名と、トラスト値ｔとのフィールドを有する。トラストベクトル基準ＤＢ１１００は、企業ごとに各フィールドに情報を設定することにより、トラストベクトル基準情報が記憶される。

　企業ＩＤのフィールドには、企業を示す企業ＩＤが設定される。企業名のフィールドには、上記企業の名称が設定される。トラスト値ｔのフィールドには、上記企業の企業ポリシーに従い、データ的トラスト、または、社会的トラストの大きさを示すトラスト値ｔが、どのような値以上であることが好ましいかが設定される。

　図１１の例では、トラストベクトル基準ＤＢ１１００は、トラスト値ｔ１～ｔ４のフィールドを有する。トラスト値ｔ１，ｔ２のフィールドには、データ的トラストの大きさを示すトラスト値ｔ１，ｔ２が設定される。トラスト値ｔ３，ｔ４のフィールドには、社会的トラストの大きさを示すトラスト値ｔ３，ｔ４が設定される。

　情報処理装置２００は、トラストベクトルＤＢ１０００と、トラストベクトル基準ＤＢ１１００とを照合することにより、電子データに対応するトラストベクトルが、企業ポリシーに沿っているか否かを検証可能にすることができる。

（作成者側装置３０１のハードウェア構成例）
　図３に示した信頼性管理システム３００に含まれる作成者側装置３０１のハードウェア構成例は、具体的には、図４に示した情報処理装置２００のハードウェア構成例と同様であるため、説明を省略する。

（利用者側装置３０２のハードウェア構成例）
　図３に示した信頼性管理システム３００に含まれる利用者側装置３０２のハードウェア構成例は、具体的には、図４に示した情報処理装置２００のハードウェア構成例と同様であるため、説明を省略する。

（情報処理装置２００の機能的構成例）
　次に、図１２を用いて、情報処理装置２００の機能的構成例について説明する。

　図１２は、情報処理装置２００の機能的構成例を示すブロック図である。情報処理装置２００は、記憶部１２００と、取得部１２０１と、変更部１２０２と、算出部１２０３と、出力部１２０４とを含む。

　記憶部１２００は、例えば、図４に示したメモリ４０２や記録媒体４０５などの記憶領域によって実現される。以下では、記憶部１２００が、情報処理装置２００に含まれる場合について説明するが、これに限らない。例えば、記憶部１２００が、情報処理装置２００とは異なる装置に含まれ、記憶部１２００の記憶内容が情報処理装置２００から参照可能である場合があってもよい。

　取得部１２０１～出力部１２０４は、制御部の一例として機能する。取得部１２０１～出力部１２０４は、具体的には、例えば、図４に示したメモリ４０２や記録媒体４０５などの記憶領域に記憶されたプログラムをＣＰＵ４０１に実行させることにより、または、ネットワークＩ／Ｆ４０３により、その機能を実現する。各機能部の処理結果は、例えば、図４に示したメモリ４０２や記録媒体４０５などの記憶領域に記憶される。

　記憶部１２００は、各機能部の処理において参照され、または更新される各種情報を記憶する。記憶部１２００は、例えば、データと、当該データに付与された署名とを記憶する。データは、例えば、清算書類、または、明細書などである。署名は、データの真正性を保証する情報である。記憶部１２００は、例えば、複数の署名を集約した連結署名を記憶する。連結署名は、ＷＦ型の署名である。集約される複数の署名は、例えば、他の連結署名を含んでいてもよい。

　連結署名は、例えば、ハッシュチェーン型の暗号で実現される。連結署名は、例えば、複数人が作成した暗号に対して順序性が存在することを条件として有する。連結署名は、例えば、集約署名によって実現される場合があってもよい。この場合、連結署名は、具体的には、それぞれのデータに付与された署名を集約し、組織的な同意、順序、階層、ワークフローなどを示すことができる集約署名によって実現される。

　記憶部１２００は、例えば、署名に対応付けて、信頼性に関する評価項目についての評価値を記憶する。評価項目は、社会的事項についての信頼性に関する種別の評価項目、または、データの真正性についての信頼性に関する種別の評価項目などである。社会的事項は、例えば、個人、または、組織である。社会的事項は、例えば、データの中身であってもよい。評価項目は、社会的事項についての信頼性、および、データの真正性についての信頼性とは別の観点に関する種別の評価項目であってもよい。

　評価項目は、具体的には、社会的事項が、予め登録された社会的事項リストに包含されているか否かに基づき、社会的事項についての信頼性を評価する評価項目である。評価項目は、具体的には、社会的事項と署名作成者との関係性に基づき、社会的事項についての信頼性を評価する評価項目である。評価項目は、具体的には、署名検証に基づき、データの真正性についての信頼性を評価する評価項目である。

　取得部１２０１は、各機能部の処理に用いられる各種情報を取得する。取得部１２０１は、取得した各種情報を、記憶部１２００に記憶し、または、各機能部に出力する。また、取得部１２０１は、記憶部１２００に記憶しておいた各種情報を、各機能部に出力してもよい。取得部１２０１は、例えば、ユーザの操作入力に基づき、各種情報を取得する。取得部１２０１は、例えば、情報処理装置２００とは異なる装置から、各種情報を受信してもよい。

　取得部１２０１は、例えば、署名が付与されたデータを取得する。取得部１２０１は、例えば、署名に対応する信頼性に関する評価項目についての評価値を取得する。取得部１２０１は、具体的には、連結署名に対応する信頼性に関する評価項目についての第１の評価値と、連結署名に集約された複数の署名のいずれかの署名に対応する信頼性に関する評価項目についての第２の評価値とを取得する。

　取得部１２０１は、より具体的には、第１の評価値と、第２の評価値とを、記憶部１２００から読み出すことにより取得する。取得部１２０１は、より具体的には、第１の評価値と、第２の評価値とを、他のコンピュータから受信することにより取得してもよい。取得部１２０１は、例えば、ユーザによる所定の操作入力があった場合、第１の評価値と、第２の評価値とを取得する。

　取得部１２０１は、いずれかの機能部の処理を開始する開始トリガーを受け付けてもよい。開始トリガーは、例えば、ユーザによる所定の操作入力があったことである。開始トリガーは、例えば、他のコンピュータから、所定の情報を受信したことであってもよい。開始トリガーは、例えば、いずれかの機能部が所定の情報を出力したことであってもよい。

　変更部１２０２は、取得した第１の評価値と第２の評価値とが異なるか否かを判定する。そして、変更部１２０２は、異なると判定した場合、評価項目の種別に基づいて、連結署名と、いずれかの署名との階層関係に応じて、第１の評価値を用いて第２の評価値を変更し、または、第２の評価値を用いて第１の評価値を変更する制御を行う。

　変更部１２０２は、例えば、評価項目の種別が、社会的事項についての信頼性に関する種別であるか、または、データの真正性についての信頼性に関する種別であるかを判定する。そして、変更部１２０２は、例えば、評価項目の種別が、社会的事項についての信頼性に関する種別であると判定した場合、第１の評価値を用いて第２の評価値を変更する制御を行う。一方で、変更部１２０２は、例えば、評価項目の種別が、データの真正性についての信頼性に関する種別であると判定した場合、第２の評価値を用いて第１の評価値を変更する制御を行う。

　変更部１２０２は、具体的には、評価項目の種別が、データ的トラストの項目であるか、または、社会的トラストの項目であるかを判定する。そして、変更部１２０２は、具体的には、評価項目の種別が、データ的トラストの項目であると判定した場合、下位の階層にある署名に対応する第２の評価値を用いて、上位の階層にある連結署名に対応する第１の評価値を変更する制御を行う。

　これにより、変更部１２０２は、データの信頼性を検証し易くすることができる。変更部１２０２は、例えば、下位の階層にある署名が、データ的トラストの観点から信頼性が比較的低ければ、上位の階層にある集約書面を、下位の階層にある署名に合わせて、データ的トラストの観点から信頼性が比較的低いと扱うことができる。このため、変更部１２０２は、例えば、連結署名に対応する評価値と、連結署名に集約された複数の署名のそれぞれの署名に対応する評価値とを網羅的に確認しなくても、データの信頼性を精度よく検証することができる。

　変更部１２０２は、具体的には、評価項目の種別が、データ的トラストの項目であるか、または、社会的トラストの項目であるかを判定する。そして、変更部１２０２は、具体的には、評価項目の種別が、社会的トラストの項目であると判定した場合、上位の階層にある連結署名に対応する第１の評価値を用いて、下位の階層にある署名に対応する第２の評価値を変更する制御を行う。

　これにより、変更部１２０２は、データの信頼性を検証し易くすることができる。変更部１２０２は、例えば、上位の階層にある連結署名が、社会的トラストの観点から信頼性が比較的高ければ、下位の階層にある署名も、上位の階層にある連結署名に合わせて、社会的トラストの観点から信頼性が比較的高いと扱うことができる。このため、変更部１２０２は、例えば、連結署名に対応する評価値と、連結署名に集約された複数の署名のそれぞれの署名に対応する評価値とを網羅的に確認しなくても、データの信頼性を精度よく検証することができる。

　算出部１２０３は、連結署名に集約された複数の署名のそれぞれの署名に対応する信頼性に関する複数の評価項目のそれぞれの評価項目についての評価値に基づいて、当該信頼性に関する総合的な評価値を算出する。算出部１２０３は、例えば、複数の署名のそれぞれの署名に対応する信頼性に関する複数の評価項目のそれぞれの評価項目についての評価値の統計値を、総合的な評価値として算出する。統計値は、例えば、平均値、最頻値、中央値、合計値、最小値、最大値、または、分散などである。

　これにより、算出部１２０３は、データ的トラストの観点、および、社会的トラストの観点の両面を考慮し、それぞれの署名の対応する信頼性に関する総合的な評価値を算出することができる。このため、算出部１２０３は、それぞれの署名に対応する信頼性を検証し易くすることができる。

　算出部１２０３は、算出した総合的な評価値に基づいて、統計的な評価値を算出する。算出部１２０３は、例えば、算出した総合的な評価値の統計値を、統計的な評価値として算出する。統計値は、例えば、平均値、最頻値、中央値、合計値、最小値、最大値、または、分散などである。

　これにより、算出部１２０３は、連結署名に集約された複数の署名に対応する信頼性に関する総合的な評価値のばらつきを考慮し、連結署名に対応する信頼性に関する統計的な評価値を算出することができる。このため、算出部１２０３は、連結署名に対応する信頼性を検証し易くすることができる。

　算出部１２０３は、例えば、算出した総合的な評価値の集まりでの総合的な評価値ごとの出現率に基づいて、算出した総合的な評価値のそれぞれに重み付けした状態で、統計的な評価値を算出してもよい。

　これにより、算出部１２０３は、連結署名に集約された複数の署名に対応する信頼性に関する総合的な評価値のばらつきを精度よく考慮し、連結署名に対応する信頼性に関する統計的な評価値を算出することができる。このため、算出部１２０３は、連結署名に対応する信頼性を、さらに検証し易くすることができる。

　出力部１２０４は、少なくともいずれかの機能部の処理結果を出力する。出力形式は、例えば、ディスプレイへの表示、プリンタへの印刷出力、ネットワークＩ／Ｆ４０３による外部装置への送信、または、メモリ４０２や記録媒体４０５などの記憶領域への記憶である。これにより、出力部１２０４は、少なくともいずれかの機能部の処理結果をユーザに通知可能にし、情報処理装置２００の利便性の向上を図ることができる。

（情報処理装置２００の動作の一例）
　次に、図１３～図１８を用いて、情報処理装置２００の動作の一例について説明する。

　図１３～図１８は、情報処理装置２００の動作の一例を示す説明図である。図１３において、情報処理装置２００は、署名をノードとしたグラフ１３００を生成する。グラフ１３００では、ＷＦ型の署名のノードと、ＷＦ型の署名に集約された署名のノードとがエッジで接続される。情報処理装置２００は、署名の階層関係を表すノードの接続状態を、ＷＦヒエラルキー表９００に記憶する。

　情報処理装置２００は、トラストベクトルＤＢ１０００に基づいて、署名ごとに、トラスト値ｔｎの平均値Σ（ｔｎ）／ｎを、トラスト量Ｔとして算出する。情報処理装置２００は、算出したトラスト量Ｔを、トラストベクトルＤＢ１０００に記憶する。次に、図１４の説明に移行する。

　図１４において、情報処理装置２００は、ＷＦヒエラルキー表９００に基づいて、署名間の階層関係に応じて、トラスト値を修正する。情報処理装置２００は、例えば、上位の階層にある署名の社会的トラストのトラスト値ｔｎで、下位の階層にある署名の社会的トラストのトラスト値ｔｎを修正する。社会的トラストのトラスト値ｔｎは、署名に対応する企業名が、企業ＤＢ１４００に存在するか否かに基づき設定されている。

　図１４の例では、情報処理装置２００は、下位の階層にある署名Ｓ３の企業ＤＢに関する社会的トラスト値０を、上位の階層にあるＷＦ型の署名Ｇ１の企業ＤＢに関する社会的トラスト値１で上書きする。ここで、情報処理装置２００は、トラスト値ｔｎの修正に合わせて、トラスト量Ｔを修正してもよい。これにより、情報処理装置２００は、下位の階層にある署名の社会的トラストのトラスト値ｔｎを、実態に合った値に変更することができる。

　例えば、子会社が、明細書のデータを作成し、データに署名を付与している状況で、親会社が、署名を集約したＷＦ型の署名を生成している場合が考えられる。この場合、親会社が、子会社の作成した明細書のデータについて責任を有することが慣習上好ましい。

　これに対し、情報処理装置２００は、上位の階層にあるＷＦ型の署名の社会的トラストのトラスト値ｔｎで、ＷＦ型の署名に集約された、下位の階層にある署名の社会的トラストのトラスト値ｔｎを修正することができる。このため、情報処理装置２００は、慣習上の親会社と子会社との関係を考慮し、下位の階層にある署名の社会的トラストのトラスト値ｔｎを、実態に合った値に変更することができる。

　また、例えば、立会人型の署名方式で署名が複数生成され、生成された複数の署名を集約し、当事者型の署名方式でＷＦ型の署名が生成されている場合が考えられる。この場合、当事者型の署名方式の方が、立会人型の署名方式よりも、社会的トラストの観点で信頼性が高いと判断される。

　これに対し、情報処理装置２００は、上位の階層にあるＷＦ型の署名の社会的トラストのトラスト値ｔｎで、ＷＦ型の署名に集約された、下位の階層にある署名の社会的トラストのトラスト値ｔｎを修正することができる。このため、情報処理装置２００は、署名方式を考慮し、下位の階層にある署名の社会的トラストのトラスト値ｔｎを、実態に合った値に変更することができる。

　ここでは、情報処理装置２００が、上位の階層にある署名の社会的トラストのトラスト値ｔｎで、下位の階層にある署名の社会的トラストのトラスト値ｔｎを修正する場合について説明したが、これに限らない。例えば、情報処理装置２００が、下位の階層にある署名の社会的トラストのトラスト値ｔｎで、上位の階層にある署名の社会的トラストのトラスト値ｔｎを修正する場合があってもよい。情報処理装置２００は、例えば、作成者などのセキュリティポリシーに従い、下位の階層にある署名の社会的トラストのトラスト値ｔｎ、または、上位の階層にある署名の社会的トラストのトラスト値ｔｎを修正することになる。次に、図１５の説明に移行する。

　図１５において、情報処理装置２００は、ＷＦヒエラルキー表９００に基づいて、署名間の階層関係に応じて、トラスト値を修正する。情報処理装置２００は、例えば、下位の階層にある署名のデータ的トラストのトラスト値ｔｎで、上位の階層にある署名のデータ的トラストのトラスト値ｔｎを修正する。

　図１５の例では、情報処理装置２００は、上位の階層にあるＷＦ型の署名Ｇ１の認証方式に関するデータ的トラスト値１を、下位の階層にある署名Ｓ２，Ｓ３の認証方式に関するデータ的トラスト値｛１，０｝のうちの最小値０で上書きする。ここで、情報処理装置２００は、トラスト値ｔｎの修正に合わせて、トラスト量Ｔを修正してもよい。これにより、情報処理装置２００は、上位の階層にある署名のデータ的トラストのトラスト値ｔｎを、実態に合った値に変更することができる。

　例えば、安全性が比較的低い認証局を介して、署名が複数生成されており、生成された複数の署名を集約し、安全性が比較的高い認証局を介して、ＷＦ型の署名が生成されている場合が考えられる。安全性が比較的高い認証局は、国内外で認定された認証局などである。安全性が比較的低い認証局は、個人が作成した認証局などである。この場合、ＷＦ型の署名は、安全性が比較的高い認証局を介して生成されていたとしても、安全性が低い認証局を介して生成された署名を包含するため、信頼性が比較的低いと扱われることが好ましい。

　これに対し、情報処理装置２００は、ＷＦ型の署名に集約された、下位の階層にある署名のデータ的トラストのトラスト値ｔｎで、上位の階層にあるＷＦ型の署名のデータ的トラストのトラスト値ｔｎを修正することができる。このため、情報処理装置２００は、認証局を考慮し、上位の階層にあるＷＦ型の署名のデータ的トラストのトラスト値ｔｎを、実態に合った値に変更することができる。

　例えば、なりすまし可能な個人認証方式で、署名が複数生成されており、生成された複数の署名を集約し、信頼性が比較的高い認証方式で、ＷＦ型の署名が生成されている場合が考えられる。この場合、ＷＦ型の署名は、信頼性が比較的高い認証方式で生成されていたとしても、安全性が低い認証局を介して生成された署名を包含するため、信頼性が比較的低いと扱われることが好ましい。

　これに対し、情報処理装置２００は、ＷＦ型の署名に集約された、下位の階層にある署名のデータ的トラストのトラスト値ｔｎで、上位の階層にあるＷＦ型の署名のデータ的トラストのトラスト値ｔｎを修正することができる。このため、情報処理装置２００は、なりすましが可能な認証方式などを考慮し、上位の階層にあるＷＦ型の署名のデータ的トラストのトラスト値ｔｎを、実態に合った値に変更することができる。

　ここでは、情報処理装置２００が、下位の階層にある署名のデータ的トラストのトラスト値ｔｎで、上位の階層にある署名のデータ的トラストのトラスト値ｔｎを修正する場合について説明したが、これに限らない。例えば、情報処理装置２００が、上位の階層にある署名のデータ的トラストのトラスト値ｔｎで、下位の階層にある署名のデータ的トラストのトラスト値ｔｎを修正する場合があってもよい。情報処理装置２００は、例えば、作成者のセキュリティポリシーに従い、下位の階層にある署名のデータ的トラストのトラスト値ｔｎ、または、上位の階層にある署名のデータ的トラストのトラスト値ｔｎを修正することになる。次に、図１６および図１７の説明に移行する。

　図１６および図１７において、情報処理装置２００は、下位の階層にある署名のデータ的トラストのトラスト値ｔｎのばらつきを考慮し、上位の階層にあるＷＦ型の署名のトラスト量に対して重み付けを行う。

　これにより、情報処理装置２００は、下位の階層にある署名のデータ的トラストのトラスト値ｔｎのばらつきを検証し易くすることができる。このため、情報処理装置２００は、下位の階層にある一部の署名のデータ的トラストのトラスト値ｔｎが特異に低いのか、下位の階層にある複数の署名のデータ的トラストのトラスト値ｔｎが全体的に低いのかを検証し易くすることができる。

　図１６および図１７において、情報処理装置２００は、例えば、ＷＦ型の署名ごとに、ＷＦ型の署名の配下にある署名のトラスト量の集まりにおける、それぞれの署名に対応するトラスト量の出現率ｐ_iを算出する。情報処理装置２００は、例えば、算出した出現率ｐ_iを用いて、正規化エントロピーＳを算出する。

　例えば、正規化エントロピーＳ＝１＋Σ_i=1 ⁿ（ｐ_i×ｌｏｇ（ｐ_i）／ｌｏｇ（ｎ））である。ｎは、ＷＦ型の署名の配下にある署名の数である。ｉは、説明の都合上付与された、ＷＦ型の署名の配下にある署名の番号である。ｌｏｇの底は、例えば、２である。例えば、正規化エントロピーＳ＝１＋ｍｉｎ｛ｐ_i×ｌｏｇ（ｐ_i）／ｌｏｇ（ｎ）：ｉ＝１，２，・・・，ｎ｝であってもよい。

　図１６の例では、署名の階層関係は、グラフ１６００に示す通りである。ＷＦ型の署名Ｇ１の配下に、署名Ｓ１～Ｓ４が存在する。ＷＦ型の署名Ｇ１に対応するトラスト値、トラスト値の合計、および、トラスト量は、グラフ１６００に示す通りである。署名Ｓ１～Ｓ４のそれぞれに対応するトラスト値、トラスト値の合計、および、トラスト量は、グラフ１６００に示す通りである。グラフ１６００における鍵マークの大きさは、署名の信頼性の大きさを示す。

　情報処理装置２００は、具体的には、ＷＦ型の署名Ｇ１の配下にある署名Ｓ１～Ｓ４のトラスト量の集まりにおける、それぞれの署名に対応するトラスト量の出現率ｐ_i＝（４／４）を算出する。情報処理装置２００は、算出した出現率ｐ_iを用いて、正規化エントロピーＳ＝１－（４／４）×ｌｏｇ（４／４）／ｌｏｇ（４）＝１を算出する。情報処理装置２００は、ＷＦ型の署名Ｇ１に対応するトラスト量Ｔ＝Σ（ｔｎ）／ｎ＝０．３３に、正規化エントロピーＳ＝１を重みとして乗算し、最終値０．３３を算出する。情報処理装置２００は、重みと、最終値とを、トラストベクトルＤＢ１０００に記憶する。

　図１７の例では、署名の階層関係は、グラフ１７００に示す通りである。ＷＦ型の署名Ｇ１の配下に、署名Ｓ１～Ｓ４が存在する。ＷＦ型の署名Ｇ１に対応するトラスト値、トラスト値の合計、および、トラスト量は、グラフ１７００に示す通りである。署名Ｓ１～Ｓ４のそれぞれに対応するトラスト値、トラスト値の合計、および、トラスト量は、グラフ１７００に示す通りである。グラフ１７００における鍵マークの大きさは、署名の信頼性の大きさを示す。

　情報処理装置２００は、具体的には、ＷＦ型の署名Ｇ１の配下にある署名Ｓ１～Ｓ４のトラスト量の集まりにおける、署名Ｓ１～Ｓ３のそれぞれに対応するトラスト量の出現率ｐ_i＝（３／４）を算出する。また、情報処理装置２００は、具体的には、ＷＦ型の署名Ｇ１の配下にある署名Ｓ１～Ｓ４のトラスト量の集まりにおける、署名Ｓ４に対応するトラスト量の出現率ｐ_i＝（１／４）を算出する。

　情報処理装置２００は、算出した出現率ｐ_iを用いて、正規化エントロピーＳ＝１－（１／４）×ｌｏｇ（１／４）／ｌｏｇ（４）＝０．７５を算出する。情報処理装置２００は、ＷＦ型の署名Ｇ１に対応するトラスト量Ｔ＝Σ（ｔｎ）／ｎ＝０．３３に、正規化エントロピーＳ＝０．７５を重みとして乗算し、最終値０．２４を算出する。情報処理装置２００は、重みと、最終値とを、トラストベクトルＤＢ１０００に記憶する。

　これにより、情報処理装置２００は、最終値により、ＷＦ型の署名の配下に存在する複数の署名の全体についての信頼性を表すことができる。情報処理装置２００は、例えば、ＷＦ型の署名の配下に存在する複数の署名の全体の信頼性が比較的低い図１６の例と、ＷＦ型の署名の配下に存在する複数の署名の一部の信頼性が比較的低い図１７の例との違いを、最終値で表すことができる。そして、情報処理装置２００は、最終値により、ＷＦ型の署名の配下に存在する複数の署名における信頼性のばらつきを検証可能にすることができる。このため、情報処理装置２００は、検証者が、データの信頼性を検証し易くすることができる。次に、図１８の説明に移行する。

　図１８において、情報処理装置２００は、ＷＦ間の階層関係を表すグラフ１８００を含む画面１８１０を、利用者側装置３０２に表示させる制御を行う。グラフ１８００における鍵マークは、署名に対応する。鍵マークの大きさは、署名に対応する信頼性の大きさを表す。鍵マークの大きさは、例えば、署名に対応するトラスト量、または、最終値などの大きさを表す。これにより、情報処理装置２００は、検証者が、画面１８１０のグラフ１８００により、署名に対応する信頼性の大きさを直感的に把握可能にすることができる。

　情報処理装置２００は、グラフ１８００の鍵マークがクリックされると、画面１８１０に、鍵マークが示す署名に対応するトラスト値、および、トラスト量の表を表示させる制御を行う。例えば、署名Ｇ２を示す鍵マークがクリックされると、表１８０１が表示される。例えば、署名Ｇ１を示す鍵マークがクリックされると、表１８０２が表示される。例えば、署名Ｓ３を示す鍵マークがクリックされると、表１８０３が表示される。例えば、署名Ｓ１を示す鍵マークがクリックされると、表１８０４が表示される。例えば、署名Ｓ２を示す鍵マークがクリックされると、表１８０５が表示される。これにより、情報処理装置２００は、署名に対応するトラスト値、および、トラスト量を検証し易くすることができる。

　情報処理装置２００は、表示した表に、トラスト値が比較的低い評価項目があれば、当該評価項目に対応付けて、！マークを表示する制御を行う。情報処理装置２００は、！マークがクリックされると、！マークが表示された評価項目のトラスト値が比較的低くなった原因となる、下位の階層にある署名に対応する表を、画面１８１０に表示させる制御を行う。これにより、情報処理装置２００は、検証者が、ＷＦ型の署名で、トラスト値が比較的低くなった原因となる、ＷＦ型の署名の配下に存在する署名を把握し易くすることができる。

（情報処理装置２００の動作を纏めた具体例）
　次に、図１９を用いて、情報処理装置２００の動作を纏めた具体例について説明する。

　図１９は、情報処理装置２００の動作を纏めた具体例を示す説明図である。図１９において、Ｘは、作成者、または、作成者が利用するクラウド環境に対応する。Ｔは、トラストサービスを示し、情報処理装置２００に対応する。

　作成者は、ＸのＡｕｔｈ機能１９０１にアクセスする。Ａｕｔｈ機能１９０１は、ＦｅｄｅｒａｔｉｏｎおよびＳＳＯを、ＴのＡｕｔｈ機能１９１１に送信し、Ｔにサインインする。Ｔは、サインインしたＸのＩＤを、記憶装置に登録し、Ｘ用のトラストベクトルＤＢ１０００を用意する。

　作成者は、データｆ１～ｆｎを、Ｘに登録する。ＸのＰｌｕｇ－ｉｎ機能１９０２は、データｆ１～ｆｎのＩＤとハッシュ値とを、Ｔに送信する。ＴのＧｅｎｅｒａｔｅ機能１９１２は、データｆｉに付与する署名を生成する際に用いられるＰｋｅｙ（ｆｉ）およびＳｋｅｙ（ｆｉ）を生成し、Ｐｕｂｌｉｓｈ　ｅ－Ｓｉｇｎ機能１９１３に出力する。ｉ＝１～ｎである。Ｐｋｅｙは、公開鍵である。Ｓｋｅｙは、秘密鍵である。また、ＴのＧｅｎｅｒａｔｅ機能１９１２は、ＷＦ型の署名Ｇｊを生成する際に用いられるＰｋｅｙ（Ｇｊ）およびＳｋｅｙ（Ｇｊ）を生成し、Ｐｕｂｌｉｓｈ　ｅ－Ｓｉｇｎ機能１９１３に送信する。

　Ｐｕｂｌｉｓｈ　ｅ－Ｓｉｇｎ機能１９１３は、Ｓｋｅｙ（ｆｉ）を用いて、データｆｉに付与する署名Ｓｉを生成する。また、Ｐｕｂｌｉｓｈ　ｅ－Ｓｉｇｎ機能１９１３は、Ｓｋｅｙ（Ｇｊ）を用いて、署名Ｓｉを集約したＷＦ型の署名Ｇｊを生成する。ｊ＝１～ｙである。｛Ｓｉ，Ｇｊ｝＝Ｓ１～Ｓｚとする。ｚ＝ｎ＋ｙである。Ｐｕｂｌｉｓｈ　ｅ－Ｓｉｇｎ機能１９１３は、Ｐｋｅｙ（ｆｉ）およびＰｋｅｙ（Ｇｊ）を、Ｘ用のトラストベクトルＤＢ１０００に記憶し、Ｓ１～Ｓｚを、Ｘに送信する。ＸのＰｌｕｇ－ｉｎ機能１９０２は、Ｓ１～Ｓｚのうち、最上位の階層に存在する最終的なＷＦ型の署名Ｇｊ＝Ｓを、データｆ１～ｆｎに付与する。

　Ｔは、Ｘ用のトラストベクトルＤＢ１０００に、トラスト値を設定する。Ｔは、図１４と同様に、データ的トラストのトラスト値を修正する。Ｔは、図１５と同様に、社会的トラストのトラスト値を修正する。Ｔは、署名ごとのトラスト値の平均値を、トラスト量として算出し、Ｘ用のトラストベクトルＤＢ１０００に記憶する。Ｔは、図１６および図１７と同様に、署名ごとの重み、および、最終値を算出し、Ｘ用のトラストベクトルＤＢ１０００に記憶する。

（ユースケースの一例）
　次に、図２０を用いて、情報処理装置２００を適用するユースケースの一例について説明する。

　図２０は、情報処理装置２００を適用するユースケースの一例を示す説明図である。図２０において、Ｘは、作成者Ｕ１～Ｕｎ、または、作成者Ｕ１～Ｕｎが利用するクラウド環境に対応する。Ｔは、トラストサービスを示し、情報処理装置２００に対応する。Ｙは、検証者Ｖ１～Ｖｍ、または、検証者Ｖ１～Ｖｍが利用するクラウド環境に対応する。

　作成者Ｕ１～Ｕｎは、ＸのＡｕｔｈ機能２００１にログインする。Ａｕｔｈ機能２００１は、ＦｅｄｅｒａｔｉｏｎおよびＳＳＯを、ＴのＡｕｔｈ機能２０１１に送信し、Ｔにサインインする。Ｔは、サインインしたＸのＩＤを、記憶装置に登録し、Ｘ用のトラストベクトルＤＢ１０００を用意する。

　作成者Ｕ１～Ｕｎは、データｆ１～ｆｎを、Ｘに登録する。ＸのＰｌｕｇ－ｉｎ機能２００２は、データｆ１～ｆｎのＩＤとハッシュ値とを、Ｔに送信する。ＴのＧｅｎｅｒａｔｅ機能２０１２は、データｆｉに付与する署名を生成する際に用いられるＰｋｅｙ（ｆｉ）およびＳｋｅｙ（ｆｉ）を生成し、Ｐｕｂｌｉｓｈ　ｅ－Ｓｉｇｎ機能２０１３に出力する。ｉ＝１～ｎである。Ｐｋｅｙは、公開鍵である。Ｓｋｅｙは、秘密鍵である。また、ＴのＧｅｎｅｒａｔｅ機能２０１２は、ＷＦ型の署名Ｇｊを生成する際に用いられるＰｋｅｙ（Ｇｊ）およびＳｋｅｙ（Ｇｊ）を生成し、Ｐｕｂｌｉｓｈ　ｅ－Ｓｉｇｎ機能２０１３に送信する。

　Ｐｕｂｌｉｓｈ　ｅ－Ｓｉｇｎ機能２０１３は、Ｓｋｅｙ（ｆｉ）を用いて、データｆｉに付与する署名Ｓｉを生成する。また、Ｐｕｂｌｉｓｈ　ｅ－Ｓｉｇｎ機能２０１３は、Ｓｋｅｙ（Ｇｊ）を用いて、署名Ｓｉを集約したＷＦ型の署名Ｇｊを生成する。ｊ＝１～ｙである。｛Ｓｉ，Ｇｊ｝＝Ｓ１～Ｓｚとする。ｚ＝ｎ＋ｙである。Ｐｕｂｌｉｓｈ　ｅ－Ｓｉｇｎ機能２０１３は、Ｐｋｅｙ（ｆｉ）およびＰｋｅｙ（Ｇｊ）を、Ｘ用のトラストベクトルＤＢ１０００に記憶し、Ｓ１～Ｓｚを、Ｘに送信する。ＸのＰｌｕｇ－ｉｎ機能２００２は、Ｓ１～Ｓｚのうち、最上位の階層に存在する最終的なＷＦ型の署名Ｇｊ＝Ｓを、データｆ１～ｆｎに付与する。作成者Ｕ１～Ｕｎは、署名Ｓが付与されたデータｆ１～ｆｎを、検証者Ｖ１～Ｖｍに提供する。

　Ｙは、データｆｉのハッシュ値とＷＦ型の署名Ｓを、Ｔに送信する。ＴのＣｈｅｃｋ　ｅ－Ｓｉｇｎ機能２０１４は、ＷＦ型の署名Ｓに対応する認証鍵ＰＫを取得し、ＷＦ型の署名Ｓの正当性を検証し、検証結果Ｒｅｓｕｌｔ（ｆ１，・・・，ｆｎ）を、Ｙに送信する。また、ＴのＶｉｓｕａｌｉｚａｔｉｏｎ機能２０１５は、署名間の階層関係を示すグラフを、Ｙに提供する。これにより、Ｙは、検証結果と、グラフとに基づいて、データ的トラストと、社会的トラストとの信頼性を検証することができる。

（従来手法と比較する一例）
　次に、図２１を用いて、情報処理装置２００を、従来手法と比較する一例について説明する。

　図２１は、従来手法と比較する一例を示す説明図である。例えば、データに、一般的な署名を付与するだけの従来手法１が考えられる。従来手法１では、社会的トラストを検証可能にすることができないという問題がある。また、例えば、署名を集約したＷＦ型の署名を生成する従来手法２が考えられる。従来手法２では、例えば、画面２１００を表示し、検証者に、署名を参照させることが考えられる。

　画面２１００では、例えば、署名の作成者、および、作成日などが参照可能なウィンドウ２１０１～２１０５が表示可能である。ウィンドウ２１０１，２１０２では、例えば、さらに、ＷＦ型の署名が、いずれの署名を集約しているのかが参照可能である。

　従来手法２では、社会的トラストの一部しか検証可能にすることができないという問題がある。また、従来手法２では、ＷＦ型の署名で、集約された署名のデータ的トラストの情報が失われ、検証にかかる作業負担の増大化を招くという問題がある。ここで、検証者は、上位の階層にある署名から順に確認し、下位の階層にある署名の信頼性に問題が発生した場合、再度、上位の階層にある署名から順に確認し直し、責任の所在を検証することになり、作業負担の増大化を招く。

　これに対し、情報処理装置２００は、データ的トラスト、および、社会的トラストの両面から、データの信頼性を検証し易くすることができる。情報処理装置２００は、ＷＦ型の署名のデータ的トラストのトラスト値を、下位の階層にある署名のデータ的トラストのトラスト値で修正した上で、検証者に検証可能に出力することができる。このため、情報処理装置２００は、検証者が、ＷＦ型の署名を検証する際、データ的トラストの観点での信頼性を、正確に検証可能にすることができる。

　情報処理装置２００は、設定された基準に基づいて、署名ごとに、データ的トラスト、および、社会的トラストの両面から、信頼性を示すトラスト値を設定することができる。このため、情報処理装置２００は、社会的トラストの一部に限らず、様々な種別のデータ的トラスト、および、様々な種別の社会的トラストの観点から、データの信頼性を検証可能にすることができる。また、情報処理装置２００は、トラスト値を要素とするトラストベクトルにより、署名同士での信頼性の違いを検証し易くすることができる。また、情報処理装置２００は、データ的トラスト、および、社会的トラストの定義が変更された場合に適用し易くすることができる。また、情報処理装置２００は、総合的なトラスト量を算出し、総合的にデータの信頼性を検証し易くすることができる。

　情報処理装置２００は、署名間の階層関係に応じて、データ的トラスト、または、社会的トラストのトラスト値を修正することができる。このため、情報処理装置２００は、データ的トラスト、または、社会的トラストのトラスト値を、実態に合った値に変更することができる。そして、情報処理装置２００は、検証者が、データ的トラスト、または、社会的トラストのトラスト値に基づいて、データの信頼性を正確に検証し易くすることができる。

（トラストマッピング処理手順）
　次に、図２２を用いて、情報処理装置２００が実行する、トラストマッピング処理手順の一例について説明する。トラストマッピング処理は、例えば、図４に示したＣＰＵ４０１と、メモリ４０２や記録媒体４０５などの記憶領域と、ネットワークＩ／Ｆ４０３とによって実現される。

　図２２は、トラストマッピング処理手順の一例を示すフローチャートである。図２２において、情報処理装置２００は、署名が付与された複数のデータのうち、まだ選択していないデータを選択する（ステップＳ２２０１）。

　次に、情報処理装置２００は、認証局を介して、選択したデータに付与された署名の正当性を検証する（ステップＳ２２０２）。そして、情報処理装置２００は、検証結果がＯＫであるか否かを判定する（ステップＳ２２０３）。

　ここで、認証結果がＯＫである場合（ステップＳ２２０３：Ｙｅｓ）、情報処理装置２００は、ステップＳ２２０４の処理に移行する。一方で、認証結果がＯＫではない場合（ステップＳ２２０３：Ｎｏ）、情報処理装置２００は、トラストマッピング処理を終了する。

　ステップＳ２２０４では、情報処理装置２００は、ＷＦ鍵を用いて、検証済みの複数の署名を集約したＷＦ型の署名を作成し、ＷＦヒエラルキー表９００を更新する（ステップＳ２２０４）。

　次に、情報処理装置２００は、認証方式、企業ＤＢ、ユーザＤＢ、または、署名者などに関するトラスト情報を取得する（ステップＳ２２０５）。そして、情報処理装置２００は、評価基準表８００に基づいて、トラスト値を評価する基準を取得し、トラスト情報と照合することにより、トラスト値を算出する（ステップＳ２２０６）。

　次に、情報処理装置２００は、算出したトラスト値を、用いたＷＦ鍵と対応付けて、トラストベクトルＤＢ１０００に格納する（ステップＳ２２０７）。そして、情報処理装置２００は、複数のデータのうち、まだ選択していないデータが残っているか否かを判定する（ステップＳ２２０８）。

　ここで、まだ選択していないデータが残っている場合（ステップＳ２２０８：Ｙｅｓ）、情報処理装置２００は、ステップＳ２２０１の処理に戻る。一方で、選択していないデータが残っていない場合（ステップＳ２２０８：Ｎｏ）、情報処理装置２００は、トラストマッピング処理を終了する。

（トップダウン更新処理手順）
　次に、図２３を用いて、情報処理装置２００が実行する、トップダウン更新処理手順の一例について説明する。トップダウン更新処理は、例えば、図４に示したＣＰＵ４０１と、メモリ４０２や記録媒体４０５などの記憶領域と、ネットワークＩ／Ｆ４０３とによって実現される。

　図２３は、トップダウン更新処理手順の一例を示すフローチャートである。図２３において、情報処理装置２００は、ＷＦヒエラルキー表９００を取得する（ステップＳ２３０１）。

　次に、情報処理装置２００は、ＷＦヒエラルキー表９００に基づいて、上位の方の階層から順に、まだ選択していない署名を選択する（ステップＳ２３０２）。そして、情報処理装置２００は、評価基準表８００に基づいて、社会的トラストのトラスト値を修正する条件を取得する（ステップＳ２３０３）。

　次に、情報処理装置２００は、選択した署名より１つ下位の階層が存在するか否かを判定する（ステップＳ２３０４）。ここで、１つ下位の階層が存在する場合（ステップＳ２３０４：Ｙｅｓ）、情報処理装置２００は、ステップＳ２３０５の処理に移行する。一方で、１つ下位の階層が存在しない場合（ステップＳ２３０４：Ｎｏ）、情報処理装置２００は、ステップＳ２３０６の処理に移行する。

　ステップＳ２３０５では、情報処理装置２００は、取得した条件を満たせば、選択した署名についての社会的トラストのトラスト値で、選択した署名より１つ下位の階層にある他の署名についての社会的トラストのトラスト値を更新する（ステップＳ２３０５）。そして、情報処理装置２００は、ステップＳ２３０６の処理に移行する。

　ステップＳ２３０６では、情報処理装置２００は、まだ選択していない署名が残っているか否かを判定する（ステップＳ２３０６）。ここで、まだ選択していない署名が残っている場合（ステップＳ２３０６：Ｙｅｓ）、情報処理装置２００は、ステップＳ２３０２の処理に戻る。一方で、選択していない署名が残っていない場合（ステップＳ２３０６：Ｎｏ）、情報処理装置２００は、トップダウン更新処理を終了する。

（ボトムアップ更新処理手順）
　次に、図２４を用いて、情報処理装置２００が実行する、ボトムアップ更新処理手順の一例について説明する。ボトムアップ更新処理は、例えば、図４に示したＣＰＵ４０１と、メモリ４０２や記録媒体４０５などの記憶領域と、ネットワークＩ／Ｆ４０３とによって実現される。

　図２４は、ボトムアップ更新処理手順の一例を示すフローチャートである。図２４において、情報処理装置２００は、ＷＦヒエラルキー表９００を取得する（ステップＳ２４０１）。

　次に、情報処理装置２００は、ＷＦヒエラルキー表９００に基づいて、下位の方の階層から順に、まだ選択していない署名を選択する（ステップＳ２４０２）。そして、情報処理装置２００は、評価基準表８００に基づいて、データ的トラストのトラスト値を修正する条件を取得する（ステップＳ２４０３）。

　次に、情報処理装置２００は、選択した署名より１つ上位の階層が存在するか否かを判定する（ステップＳ２４０４）。ここで、１つ上位の階層が存在する場合（ステップＳ２４０４：Ｙｅｓ）、情報処理装置２００は、ステップＳ２４０５の処理に移行する。一方で、１つ上位の階層が存在しない場合（ステップＳ２４０４：Ｎｏ）、情報処理装置２００は、ステップＳ２４０６の処理に移行する。

　ステップＳ２４０５では、情報処理装置２００は、取得した条件を満たせば、選択した署名についてのデータ的トラストのトラスト値で、選択した署名より１つ上位の階層にある他の署名についてのデータ的トラストのトラスト値を更新する（ステップＳ２４０５）。そして、情報処理装置２００は、ステップＳ２４０６の処理に移行する。

　ステップＳ２４０６では、情報処理装置２００は、まだ選択していない署名が残っているか否かを判定する（ステップＳ２４０６）。ここで、まだ選択していない署名が残っている場合（ステップＳ２４０６：Ｙｅｓ）、情報処理装置２００は、ステップＳ２４０２の処理に戻る。一方で、選択していない署名が残っていない場合（ステップＳ２４０６：Ｎｏ）、情報処理装置２００は、ボトムアップ更新処理を終了する。

（重み付け処理手順）
　次に、図２５を用いて、情報処理装置２００が実行する、重み付け処理手順の一例について説明する。重み付け処理は、例えば、図４に示したＣＰＵ４０１と、メモリ４０２や記録媒体４０５などの記憶領域と、ネットワークＩ／Ｆ４０３とによって実現される。

　図２５は、重み付け処理手順の一例を示すフローチャートである。図２５において、情報処理装置２００は、複数のＷＦ型の署名のうち、まだ選択していないＷＦ型の署名を選択する（ステップＳ２５０１）。

　次に、情報処理装置２００は、ＷＦヒエラルキー表９００を取得する（ステップＳ２５０２）。そして、情報処理装置２００は、取得したＷＦヒエラルキー表９００に基づいて、選択したＷＦ型の署名の配下に存在する各署名に関する、データ的トラストについてのトラスト値を取得する（ステップＳ２５０３）。

　次に、情報処理装置２００は、取得したＷＦヒエラルキー表９００に基づいて、選択したＷＦ型の署名の配下に存在する一署名を選択する（ステップＳ２５０４）。そして、情報処理装置２００は、選択した一署名について、正規化エントロピーを算出し、当該署名に関する最終値を更新する（ステップＳ２５０５）。

　次に、情報処理装置２００は、ＷＦ型の署名の配下に、まだ選択していない署名が残っているか否かを判定する（ステップＳ２５０６）。ここで、まだ選択していない署名が残っている場合（ステップＳ２５０６：Ｙｅｓ）、情報処理装置２００は、ステップＳ２５０４の処理に戻る。一方で、選択していない署名が残っていない場合（ステップＳ２５０６：Ｎｏ）、情報処理装置２００は、ステップＳ２５０７の処理に移行する。

　ステップＳ２５０７では、情報処理装置２００は、算出した正規化エントロピーに基づいて、ＷＦ型の署名の重み付けを算出し、ＷＦ型の署名に関する最終値を更新する（ステップＳ２５０７）。次に、情報処理装置２００は、まだ選択していないＷＦ型の署名が残っているか否かを判定する（ステップＳ２５０８）。

　ここで、まだ選択していない署名が残っている場合（ステップＳ２５０８：Ｙｅｓ）、情報処理装置２００は、ステップＳ２５０３の処理に戻る。一方で、選択していない署名が残っていない場合（ステップＳ２５０８：Ｎｏ）、情報処理装置２００は、重み付け処理を終了する。

　以上説明したように、情報処理装置２００によれば、複数の署名を集約して得た連結署名に対応する信頼性に関する評価項目についての第１の評価値を取得することができる。情報処理装置２００によれば、複数の署名のいずれかの署名に対応する信頼性に関する評価項目についての第２の評価値を取得することができる。情報処理装置２００によれば、取得した第１の評価値と第２の評価値とが異なるか否かを判定することができる。情報処理装置２００によれば、異なると判定した場合、評価項目の種別に基づいて、連結署名と、いずれかの署名との階層関係に応じて、第１の評価値を用いて第２の評価値を変更し、または、第２の評価値を用いて第１の評価値を変更する制御を行うことができる。これにより、情報処理装置２００は、データの信頼性を検証し易くすることができる。

　情報処理装置２００によれば、種別が、社会的事項についての信頼性に関する種別である場合、第１の評価値を用いて第２の評価値を変更する制御を行うことができる。これにより、情報処理装置２００は、社会的事項についての信頼性に関する種別の評価項目についての評価値を、実態に合った値に変更することができる。このため、情報処理装置２００は、検証者が、データの信頼性を正確に検証し易くすることができる。

　情報処理装置２００によれば、種別が、データの真正性についての信頼性に関する種別である場合、第２の評価値を用いて第１の評価値を変更する制御を行うことができる。これにより、情報処理装置２００は、データの真正性についての信頼性に関する種別の評価項目についての評価値を、実態に合った値に変更することができる。このため、情報処理装置２００は、検証者が、データの信頼性を正確に検証し易くすることができる。

　情報処理装置２００によれば、複数の署名のそれぞれの署名に対応する信頼性に関する複数の評価項目のそれぞれの評価項目についての評価値に基づいて、当該信頼性に関する総合的な評価値を算出することができる。情報処理装置２００によれば、算出した総合的な評価値に基づいて、統計的な評価値を算出することができる。これにより、情報処理装置２００は、連結署名に集約された複数の署名の全体についての信頼性を、容易に検証可能にすることができる。

　情報処理装置２００によれば、算出した総合的な評価値の集まりでの総合的な評価値ごとの出現率に基づいて、算出した総合的な評価値のそれぞれに重み付けした状態で、統計的な評価値を算出することができる。これにより、情報処理装置２００は、連結署名に集約された複数の署名の全体についての信頼性を、精度よく表し、容易に検証可能にすることができる。

　情報処理装置２００によれば、社会的事項が、予め登録された社会的事項リストに包含されているか否かに基づき、社会的事項についての信頼性を評価する評価項目を採用することができる。これにより、情報処理装置２００は、社会的事項が、予め登録された社会的事項リストに包含されているか否かに基づき、社会的事項についての信頼性を評価する評価項目についての評価値を変更対象とすることができる。

　情報処理装置２００によれば、署名方式に基づき、社会的事項についての信頼性を評価する評価項目を採用することができる。これにより、情報処理装置２００は、署名方式に基づき、社会的事項についての信頼性を評価する評価項目についての評価値を、変更対象とすることができる。

　情報処理装置２００によれば、署名検証に基づき、データの真正性についての信頼性を評価する評価項目を採用することができる。これにより、情報処理装置２００は、署名検証に基づき、データの真正性についての信頼性を評価する評価項目についての評価値を、変更対象とすることができる。

　なお、本実施の形態で説明した情報処理方法は、予め用意されたプログラムをＰＣやワークステーションなどのコンピュータで実行することにより実現することができる。本実施の形態で説明した情報処理プログラムは、コンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行される。記録媒体は、ハードディスク、フレキシブルディスク、ＣＤ（Ｃｏｍｐａｃｔ　Ｄｉｓｃ）－ＲＯＭ、ＭＯ（Ｍａｇｎｅｔｏ　Ｏｐｔｉｃａｌ　ｄｉｓｃ）、ＤＶＤ（Ｄｉｇｉｔａｌ　Ｖｅｒｓａｔｉｌｅ　Ｄｉｓｃ）などである。また、本実施の形態で説明した情報処理プログラムは、インターネットなどのネットワークを介して配布してもよい。

　２００　情報処理装置
　３００　信頼性管理システム
　３０１　作成者側装置
　３０２　利用者側装置
　３１０　ネットワーク
　４００　バス
　４０１　ＣＰＵ
　４０２　メモリ
　４０３　ネットワークＩ／Ｆ
　４０４　記録媒体Ｉ／Ｆ
　４０５　記録媒体
　５０１，５０２　領収書
　５０３　経費請求書
　６００，１８０１～１８０５　表
　７０１，７０２　データ
　７１０　鍵管理ＤＢ
　８００　評価基準表
　９００　ＷＦヒエラルキー表
　９１０，１３００，１６００，１７００，１８００　グラフ
　１０００　トラストベクトルＤＢ
　１１００　トラストベクトル基準ＤＢ
　１２００　記憶部
　１２０１　取得部
　１２０２　変更部
　１２０３　算出部
　１２０４　出力部
　１８１０，２１００　画面
　１９０１，１９１１，２００１，２０１１　Ａｕｔｈ機能
　１９０２，２００２　Ｐｌｕｇ－ｉｎ機能
　１９１２，２０１２　Ｇｅｎｅｒａｔｅ機能
　１９１３，２０１３　Ｐｕｂｌｉｓｈ　ｅ－Ｓｉｇｎ機能
　２０１４　Ｃｈｅｃｋ　ｅ－Ｓｉｇｎ機能
　２０１５　Ｖｉｓｕａｌｉｚａｔｉｏｎ機能

Claims

　複数の署名を集約して得た連結署名に対応する信頼性に関する評価項目についての第１の評価値と、前記複数の署名のいずれかの署名に対応する信頼性に関する前記評価項目についての第２の評価値とを取得し、
　取得した前記第１の評価値と前記第２の評価値とが異なる場合、前記評価項目の種別に基づいて、前記連結署名と、前記いずれかの署名との階層関係に応じて、前記第１の評価値を用いて前記第２の評価値を変更し、または、前記第２の評価値を用いて前記第１の評価値を変更する制御を行う、
　処理をコンピュータが実行することを特徴とする情報処理方法。
　前記制御を行う処理は、
　前記種別が、社会的事項についての信頼性に関する種別である場合、前記第１の評価値を用いて前記第２の評価値を変更する制御を行う、ことを特徴とする請求項１に記載の情報処理方法。
　前記制御を行う処理は、
　前記種別が、データの真正性についての信頼性に関する種別である場合、前記第２の評価値を用いて前記第１の評価値を変更する制御を行う、ことを特徴とする請求項１または２に記載の情報処理方法。
　前記複数の署名のそれぞれの署名に対応する信頼性に関する複数の評価項目のそれぞれの評価項目についての評価値に基づいて、当該信頼性に関する総合的な評価値を算出し、算出した前記総合的な評価値に基づいて、統計的な評価値を算出する、
　処理を前記コンピュータが実行することを特徴とする請求項１～３のいずれか一つに記載の情報処理方法。
　前記算出する処理は、
　算出した前記総合的な評価値の集まりでの前記総合的な評価値ごとの出現率に基づいて、算出した前記総合的な評価値のそれぞれに重み付けした状態で、前記統計的な評価値を算出する、ことを特徴とする請求項４に記載の情報処理方法。
　前記種別は、社会的事項についての信頼性に関する種別であり、
　前記評価項目は、前記社会的事項が、予め登録された社会的事項リストに包含されているか否かに基づき、前記社会的事項についての信頼性を評価する評価項目である、ことを特徴とする請求項１～５のいずれか一つに記載の情報処理方法。
　前記種別は、社会的事項についての信頼性に関する種別であり、
　前記評価項目は、署名方式に基づき、前記社会的事項についての信頼性を評価する評価項目である、ことを特徴とする請求項１～６のいずれか一つに記載の情報処理方法。
　前記種別が、データの真正性についての信頼性に関する種別であり、
　前記評価項目は、署名検証に基づき、前記データの真正性についての信頼性を評価する評価項目である、ことを特徴とする請求項１～７のいずれか一つに記載の情報処理方法。
　複数の署名を集約して得た連結署名に対応する信頼性に関する評価項目についての第１の評価値と、前記複数の署名のいずれかの署名に対応する信頼性に関する前記評価項目についての第２の評価値とを取得し、
　取得した前記第１の評価値と前記第２の評価値とが異なる場合、前記評価項目の種別に基づいて、前記連結署名と、前記いずれかの署名との階層関係に応じて、前記第１の評価値を用いて前記第２の評価値を変更し、または、前記第２の評価値を用いて前記第１の評価値を変更する制御を行う、
　処理をコンピュータに実行させることを特徴とする情報処理プログラム。
　複数の署名を集約して得た連結署名に対応する信頼性に関する評価項目についての第１の評価値と、前記複数の署名のいずれかの署名に対応する信頼性に関する前記評価項目についての第２の評価値とを取得し、
　取得した前記第１の評価値と前記第２の評価値とが異なる場合、前記評価項目の種別に基づいて、前記連結署名と、前記いずれかの署名との階層関係に応じて、前記第１の評価値を用いて前記第２の評価値を変更し、または、前記第２の評価値を用いて前記第１の評価値を変更する制御を行う、
　制御部を有することを特徴とする情報処理装置。