WO2022196138A1

WO2022196138A1 - セキュリティデバイス、情報管理システムおよび情報管理プログラム

Info

Publication number: WO2022196138A1
Application number: PCT/JP2022/003742
Authority: WO
Inventors: 裕人三澤; 美月宇野
Original assignee: 株式会社東芝; 東芝インフラシステムズ株式会社
Priority date: 2021-03-18
Filing date: 2022-02-01
Publication date: 2022-09-22
Also published as: EP4310705A1; US20240004979A1

Abstract

実施形態によれば、セキュリティデバイスは、インターフェースとセキュアメモリとプロセッサとを有する。インターフェースは、情報を開示する機能を有する携帯端末と通信する。セキュアメモリは、認証に用いる情報を記憶する。プロセッサは、インターフェースにより携帯端末におけるセキュリティ管理すべき情報の開示指示に伴う認証要求を受信し、認証要求の内容に応じてセキュアメモリが記憶する情報を用いて実行すべき認証処理を特定し、特定した認証処理を実行した認証結果を携帯端末へ通知する。

Description

セキュリティデバイス、情報管理システムおよび情報管理プログラム

　本発明の実施形態は、セキュリティデバイス、情報管理システムおよび情報管理プログラムに関する。

　近年、スマートフォン、タブレットＰＣおよび携帯電話機などの携帯端末には、個人情報などのセキュリティ対策が必要な情報が保持されている。例えば、近年、運転免許証を含む身分証明機能をスマートフォン等のモバイル機器に持たせるための取り組みが進行している。

　一例としては、スマートフォン等の携帯端末を運転免許証として利用するモバイル運転免許証がある。モバイル運転免許証は、携帯端末が実行可能な運転免許証として利用されるアプリケーションプログラムとして提供される。携帯端末に搭載するモバイル運転免許証は、個人情報を含む免許証の情報をセキュアに管理する必要がある。しかしながら、携帯端末だけでは、セキュリティ対策に限界があるという問題がある。

日本国特開２０１９－０４７３２５号公報

　上記の課題を解決するために、本発明は、情報をセキュアに管理できるセキュリティデバイス、情報管理システムおよび情報管理プログラムを提供することを目的とする。

図１は、第１実施形態に係るセキュリティデバイスとしてのスマートウォッチを含む情報管理システムの構成例を概略的に示す図である。図２は、第１実施形態に係るセキュリティデバイスの構成例を示すブロック図である。図３は、第１実施形態に係る情報管理システムにおける携帯端末の構成例を示すブロック図である。図４は、第１実施形態に係る情報管理システムにおけるサーバの構成例を示すブロック図である。図５は、第１実施形態に係る情報管理システムにおける携帯端末の動作例を説明するためのフローチャートである。図６は、第１実施形態に係る情報管理システムにおけるセキュリティデバイスの動作例を説明するためのフローチャートである。図７は、第１実施形態に係る情報管理システムのセキュリティデバイスにおける認証状態のアンロック処理を説明するためのフローチャートである。図８は、第２実施形態に係る情報管理システムを実現する装置の構成例を概略的に示す図である。図９は、第２実施形態に係る情報管理システムにおけるセキュリティデバイスの構成例を示すブロック図である。図１０は、第２実施形態に係る情報管理システムにおける携帯端末の構成例を示すブロック図である。図１１は、第２実施形態に係る情報管理システムにおけるサーバの構成例を示すブロック図である。図１２は、第２実施形態に係る情報管理システムにおける携帯端末による保存設定の動作例を説明するためのフローチャートである。図１３は、第２実施形態に係る情報管理システムにおける携帯端末による免許情報の表示処理の動作例を説明するためのフローチャートである。図１４は、第２実施形態に係る情報管理システムにおけるサーバの動作例を説明するためのフローチャートである。

実施形態

　以下、第１および第２実施形態について、図面を参照しつつ説明する。　
　（第１実施形態）
　まず、第１実施形態に係るセキュリティデバイスを含む情報管理システム１について説明する。　
　図１は、第１実施形態に係るセキュリティデバイスを含む情報管理システム１の構成例を模式的に示す図である。　
　図１に示す構成例において、情報管理システム１は、セキュリティデバイス２、携帯端末３およびサーバ４を有する。セキュリティデバイス２とサーバ４とは、インターネットなどのネットワーク５を介して通信接続される。

　セキュリティデバイス２は、ユーザが保持する電子デバイスである。セキュリティデバイス２は、例えば、スマートウォッチなどのウエアラブルデバイスである。セキュリティデバイス２は、携帯端末３と通信する通信インターフェース、サーバ４と通信する通信インターフェース、生体センサ（指紋センサ、静脈センサ、カメラなど）、セキュアメモリ、内部時計（クロック）などを有する。

　また、セキュリティデバイス２としてのウエアラブルデバイスは、図１に示すように、各部を備える本体２ａと本体２ａをユーザが保持（装着）するための装着部２ｂとを備える。例えば、セキュリティデバイス２としてのスマートウォッチは、ユーザが本体２ａを装着するための装着部２ｂとしてのベルトを備える。

　第１実施形態において、セキュリティデバイス２は、主として、生体情報としての指紋を用いて生体認証を行う機能を有するスマートウォッチであることを想定して説明するものとする。ただし、第１実施形態に係るセキュリティデバイス２は、スマートウォッチに限定されるものではなく、ユーザが携帯端末３とともに所持するデバイスであれば良い。また、第１実施形態に係るセキュリティデバイス２は、生体情報として指紋による指紋（生体）認証を行うものに限定されるものではない。

　携帯端末３は、ユーザが所持する情報処理装置である。携帯端末３は、例えば、スマートフォン、携帯電話機、タブレットＰＣなどである。携帯端末３は、身分証明書で示される個人情報を含む証明書情報などの各種の情報を表示するためのアプリケーションプログラム（以下、アプリとも称する）がロードされる。第１実施形態において、携帯端末３は、運転免許証として利用可能なモバイル運転免許証（以下、ｍＤＬとも称する）を実現するためのアプリがロードされるものとする。携帯端末３は、ユーザ自身が操作するものであって、ｍＤＬとしての運転免許証で証明される各種の情報を表示する。

　携帯端末３は、セキュリティデバイス２と通信する機能、および、ネットワーク５を介してサーバ４と通信する機能を備える。また、携帯端末３は、生体センサ（指紋センサ、静脈センサ、カメラなど）を備え、生体センサで取り込んだ生体情報による生体認証を行う機能も有するものとする。

　サーバ４は、セキュリティデバイス２および携帯端末３と通信する機能を有する。サーバ４は、セキュリティデバイス２の識別情報およびオンライン認証に必要な情報を保存するデータベースを備える。オンライン認証に必要な情報としては、セキュリティデバイス２に保持する秘密情報を検証できる情報（例えば、セキュリティデバイス２が保持する秘密鍵に対応する公開鍵）などである。

　次に、第１実施形態に係る情報管理システム１におけるセキュリティデバイス２の構成について説明する。　
　図２は、第１実施形態に係るセキュリティデバイス２における制御系の構成例を示すブロック図である。　
　図２に示す構成例において、セキュリティデバイス２は、プロセッサ１１、ＲＯＭ１２、ＲＡＭ１３、データメモリ１４、セキュアメモリ１５、インターフェース（Ｉ／Ｆ）１６、通信部１７、表示部１８、入力部１９、生体センサ２０、および、クロック２１などを有する。

　なお、セキュリティデバイス２としてのウエアラブルデバイスは、図２に示す構成を備える本体２ａとユーザが装着するための装着部２ｂとを備える。例えば、セキュリティデバイス２としてのスマートウォッチは、図２に示す構成を備える本体２ａとユーザが腕などに装着するための装着部２ｂとしてのベルトなどを備える。

　プロセッサ１１は、種々の処理を実行する回路を含む。プロセッサ１１は、例えば、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。プロセッサ１１は、セキュリティデバイス２全体の制御を司る。プロセッサ１１は、ＲＯＭ１２あるいはデータメモリ１４に記憶されているプログラムを実行することにより、種々の処理機能を実現する。ただし、後述するプロセッサ１１が実行する各種の機能のうちの一部又は全部は、ハードウエア回路により実現されるようにしても良い。

　ＲＯＭ１２は、プログラムメモリとして機能する不揮発性のメモリである。ＲＯＭ１２は、予め制御用のプログラムおよび制御データなどが記憶される。ＲＯＭ１２は、製造段階で制御プログラムや制御データなどが記憶された状態でセキュリティデバイス２の筐体内に組み込まれる。ＲＯＭ１２に記憶される制御プログラムや制御データは、予め当該セキュリティデバイス２の仕様等に応じて組み込まれる。

　ＲＡＭ１３は、ワーキングメモリとして機能する揮発性のメモリである。また、ＲＡＭ１３は、プロセッサ１１が処理中のデータなどを一時保管するバッファとしても機能する。例えば、ＲＡＭ１３は、通信部１７を介してサーバ４との間で送受信するデータを一時保管する通信バッファとして機能する。

　データメモリ１４は、データの書き込みおよび書き換えが可能な不揮発性のメモリである。データメモリ１４は、例えば、ＥＥＰＲＯＭ（登録商標）（Ｅｌｅｃｔｒｉｃａｌｌｙ　Ｅｒａｓａｂｌｅ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）などで構成する。データメモリ１４には、当該セキュリティデバイス２の運用用途に応じたプログラムや種々のデータが書き込まれる。データメモリ２４には、プログラムファイルあるいはデータファイルなどが定義され、それらのファイルに制御プログラムや種々のデータが書き込まれる。

　セキュアメモリ１５は、セキュアにデータが格納できる耐タンパー性を有するメモリである。セキュアメモリ１５は、セキュリティデバイス２が認証処理を行うための情報を記憶する。例えば、セキュアメモリ１５は、後述するサーバ４を用いたオンライン認証に用いる秘密情報としての秘密鍵を記憶する。

　また、セキュアメモリ１５は、当該セキュリティデバイス２の所有者（登録者）であるユーザを認証するための認証情報を記憶する。セキュアメモリ１５に記憶する認証情報は、セキュリティデバイス２が備える認証処理方式に対応する各種の認証情報を記憶する。例えば、認証情報としては、生体認証に用いる生体情報、および、暗証番号（ＰＩＮ）による認証に用いる暗証番号などがある。また、生体情報としては、セキュリティデバイス２が備える生体センサ２０が取得する生体情報に対応する登録者の生体情報を記憶する。例えば、セキュリティデバイス２が生体認証として指紋認証を行う機能を有する場合、セキュアメモリ１５は、登録者の生体情報として指紋情報を記憶する。

　インターフェース１６は、携帯端末３と通信接続するためのインターフェースである。インターフェース１６は、当該セキュリティデバイス２をユーザが保持した状態（例えば、腕に装着した状態）で携帯端末３と通信接続できるものであれば良く、例えば、ブルートゥース（登録商標）などの無線通信を行うインターフェースである。

　通信部１７は、外部装置と通信するための通信インターフェースである。通信部１７は、ネットワーク５を介してサーバ４と通信するものであれば良い。通信部１７は、３Ｇ、ＬＴＥ（登録商標）あるいは５Ｇなどの携帯電話通信網で通信するものであっても良い、Ｗｉｆｉなどの無線ＬＡＮによりサーバ４と通信するものであっても良い。

　表示部１８は、液晶パネル等の表示デバイスである。入力部１９は、携帯端末３に対して操作指示を入力する操作デバイスである。入力部１９は、例えば、タッチパネルを含む。表示部１８と入力部１９とは、タッチパネル付き表示装置（以下、タッチスクリーンと称する）で構成しても良い。また、入力部１９は、ボタンスイッチで構成する操作キー、静電容量の変化に基づいて操作者の手指が触れたことを検出するタッチセンサなどを含むものであっても良い。

　生体センサ２０は、生体認証処理に用いる認証情報として人物の生体情報を取得するセンサである。生体センサ２０は、例えば、指紋センサ、静脈センサ、あるいは、カメラなどである。生体センサ２０としての指紋センサは、ユーザの指紋を読み取るものであり、例えば、表示部１８に設けたタッチパネルで実現するようにしても良い。生体センサ２０としての静脈センサは、セキュリティデバイス２としてのスマートウォッチを腕に装着した状態で装着部位にある静脈パターンを読み取る。また、生体センサ２０としてのカメラは、顔認証に用いる顔画像あるいは虹彩認証に用いる虹彩などの光学的に撮影可能な生体情報を取得する。

　クロック２１は、日時を計時するものである。クロック２１は、セキュリティデバイス２の内部クロックであり、独立して日時を計時できるものである。ただし、クロック２１は、通信部１７によりネットワーク５を介して接続する外部機器あるいはインターフェース１６を介して接続する携帯端末３から日時情報に基づいて内部クロックを補正（設定）するようにしても良い。

　次に、第１実施形態に係る情報管理システム１における携帯端末３の構成について説明する。　
　図３は、第１実施形態に係る情報管理システム１における携帯端末３の構成例を示すブロック図である。　
　図３に示す構成例において、携帯端末３は、プロセッサ３１、ＲＯＭ３２、ＲＡＭ３３、データメモリ３４、通信部３５、カードリーダライタ（ＲＷ）３６、表示部３７、および、入力部３８などを有する。

　プロセッサ３１は、プログラムを実行することにより各種の処理を実行する。プロセッサ３１は、例えば、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。プロセッサ３１は、システムバスを介して携帯端末３内の各部と接続され、各部との間でデータを送受信する。プロセッサ３１は、ＲＯＭ３２およびＲＡＭ３３と協働して携帯端末３における制御およびデータ処理などの動作を実行する。例えば、プロセッサ３１は、ＲＯＭ３２あるいはデータメモリ３４に記憶されているアプリケーションプログラムを実行することにより種々の処理機能を実現する。ただし、後述するプロセッサ３１が実行する各種の機能のうちの一部又は全部は、ハードウエア回路により実現されるようにしても良い。

　ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）３２は、携帯端末３の基本的な動作を実現するためのプログラムおよび制御データなどを記憶する不揮発性のメモリである。例えば、ＲＯＭ３２は、オペレーティングシステム（ＯＳ）などの基本動作を司るプログラムを記憶する。また、ＲＯＭ３２は、携帯端末３が具備する機能を実現するためのアプリケーションプログラムなどを記憶しても良い。ＲＯＭ３２は、書き換え可能な不揮発性のメモリで構成しても良い。例えば、書き換え可能なＲＯＭ３２としては、ＥＥＰＲＯＭ（Ｅｌｅｃｔｒｉｃａｌｌｙ　Ｅｒａｓａｂｌｅ　Ｐｒｏｇｒａｍｍａｂｌｅ　ＲＯＭ）又はフラッシュＲＯＭなどで実現される。

　ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）３３は、データを一時的に記憶する揮発性のメモリである。ＲＡＭ３３は、プロセッサ３１がプログラムを実行する場合にワーキングメモリとして機能する。

　データメモリ３４は、各種のデータを記憶する記憶部である。データメモリ３４は、データの書き換えが可能な不揮発性のメモリで構成される。例えば、データメモリ３４は、フラッシュＲＯＭ、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）などの半導体素子メモリ、あるいは、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｃ　Ｄｒｉｖｅ）などの記憶装置が用いられる。データメモリ３４は、アプリケーションプログラム、動作設定値、個人情報などを記憶する。また、データメモリ３４は、ＯＳプログラムを記憶するようにしても良い。

　通信部３５は、外部装置と通信するための通信インターフェースである。通信部３５は、インターフェースを介してサーバ４と通信するものである。通信部３５は、３Ｇ、ＬＴＥあるいは５Ｇなどの携帯電話通信網（移動体通信）で通信するものであっても良いし、Ｗｉｆｉなどの無線ＬＡＮによりサーバ４と通信するものであっても良い。

　セキュリティデバイスインターフェース（Ｉ／Ｆ）３６は、セキュリティデバイス２と通信接続するためのインターフェースである。セキュリティデバイスインターフェース３６は、ユーザが保持した状態のセキュリティデバイス２と通信接続できるものであれば良く、例えば、ブルートゥースなどの無線通信を行うインターフェースである。

　表示部３７は、液晶パネル等の表示デバイスである。入力部３８は、携帯端末３に対して操作指示を入力する操作デバイスである。入力部３８は、例えば、タッチパネルを含む。表示部３７と入力部３８とは、タッチパネル付き表示装置（以下、タッチスクリーンと称する）で構成しても良い。また、入力部３８は、ボタンスイッチで構成する操作キー、静電容量の変化に基づいて操作者の手指が触れたことを検出するタッチセンサなどを含むものであっても良い。

　生体センサ３９は、生体認証処理に用いる認証情報として人物の生体情報を取得するセンサである。生体センサ３９は、例えば、指紋センサ、静脈センサ、あるいは、カメラなどである。生体センサ３９は、セキュリティデバイス２が備える生体センサ２０と同じものであっても良いし、異なるものであっても良い。また、携帯端末３は、複数種類の生体センサを備えるものであっても良い。

　次に、第１実施形態に係る情報管理システム１におけるサーバ４の構成について説明する。　
　図４は、第１実施形態に係る情報管理システム１におけるサーバ４の構成例を示すブロック図である。　
　図４に示すように、サーバ４は、プロセッサ４１、ＲＯＭ４２、ＲＡＭ４３、データメモリ４４、インターフェース４５、通信部４６、および、データベース４７を有する。

　プロセッサ４１は、プログラムを実行することにより各種の処理を実行する。プロセッサ４１は、例えば、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。プロセッサ４１は、システムバスを介してサーバ４内の各部と接続され、各部との間でデータを送受信する。プロセッサ４１は、ＲＯＭ４２およびＲＡＭ４３と協働してサーバ４における制御およびデータ処理などの動作を実行する。

　ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）４２は、サーバ４としての基本的な動作を実現するためのプログラムおよび制御データなどを記憶する不揮発性のメモリである。　
　ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）４３は、データを一時的に記憶する揮発性のメモリである。ＲＡＭ４３は、プロセッサ４１がプログラムを実行する場合にワーキングメモリとして機能する。　
　データメモリ４４は、各種のデータを記憶する記憶部である。データメモリ４４は、データの書き換えが可能な不揮発性のメモリで構成される。例えば、データメモリ４４は、ＯＳプログラム、アプリケーションプログラム、動作設定情報などを記憶する。

　通信部４６は、外部装置と通信するための通信インターフェースである。通信部４６は、無線で通信を行うものであって良いし、有線で通信を行うものであっても良い。本第１実施形態において、通信部４６は、インターネットなどの広域のネットワークを介してユーザが保持するセキュリティデバイス２および携帯端末３と通信するものであれば良い。

　データベース４７は、セキュリティデバイス２とのオンライン認証を行うためのデータを記憶するメモリである。データベース４７は、例えば、セキュリティデバイス２の識別情報（ＩＤ）とオンライン認証に必要な情報としてセキュリティデバイスの秘密情報を検証できる情報（例えば、秘密鍵に対応する公開鍵など)と対応づけて記憶する。

　次に、第１実施形態に係る情報管理システム１において携帯端末３がモバイル運転免許証の情報を利用するための動作例について説明する。　
　まず、第１実施形態に係る情報管理システム１における携帯端末３の動作例について説明する。　
　図５は、第１実施形態に係る情報管理システムにおける携帯端末の動作例を説明するためのフローチャートである。

　まず、ユーザは、携帯端末３においてｍＤＬを起動させた後、開示を要求する情報を示す指示を入力部３８を用いて入力する。携帯端末３のプロセッサ３１は、ユーザが入力部３８に用いて入力する開示を要求する情報を指定する操作指示を受け付ける（ＳＴ１０）。例えば、ユーザは、携帯端末３の表示部３７に表示させたいｍＤＬの情報（免許証情報）を入力部３８により指示する。ここで、ユーザは、使用用途あるいは使用用途に応じて表示することが必要な情報などを指示するものとする。

　プロセッサ３１は、ｍＤＬの使用指示が入力されると、指示内容に応じて携帯端末３での生体認証が必要であるか否かを判断する（ＳＴ１１）。例えば、データメモリ３４は、ユーザが指定する指示内容に応じて実施すべき認証などの処理内容を示す設定情報を記憶しているものとする。プロセッサ３１は、データメモリ３４に記憶する設定情報に基づいて、ユーザが指定した指示内容に応じて携帯端末３での生体認証が必要であるか否かを判断する。

　携帯端末３での生体認証が必要であると判断すると（ＳＴ１１、ＹＥＳ）、プロセッサ３１は、携帯端末３において生体認証を実行する（ＳＴ１２）。携帯端末３での生体認証として、プロセッサ３１は、生体センサ３９を取得し、生体センサ３９が取得する生体情報とデータメモリ３４に保存している登録者としてのユーザの生体情報とを照合することにより生体認証を行う。なお、ＳＴ１２の携帯端末３における生体認証は、生体認証以外のユーザ認証に置き換えても良い。例えば、携帯端末３における生体認証は、暗証番号によるユーザ認証に置き換えても良い。

　携帯端末３における生体認証が成功した場合（ＳＴ１３、ＹＥＳ）、プロセッサ３１は、ＳＴ１４へ進む。また、携帯端末３での生体認証が必要でないと判断した場合（ＳＴ１１、ＮＯ）、プロセッサ３１は、携帯端末３での生体認証を省略し、ＳＴ１４へ進む。

　ＳＴ１４において、プロセッサ３１は、指示内容に応じてセキュリティデバイス２での認証が必要であるか否かを判断する（ＳＴ１４）。プロセッサ３１は、データメモリ３４に記憶する設定情報に基づいて、ユーザが指定した指示内容に応じてセキュリティデバイス２での認証が必要であるか否かを判断する。

　セキュリティデバイス２での認証が不要であると判断した場合（ＳＴ１４、ＮＯ）、プロセッサ３１は、ユーザが指定した内容に応じてｍＤＬの情報を提示する（ＳＴ１８）。例えば、プロセッサ３１は、ユーザが免許証情報の一部の表示を指示した場合、ユーザが指定した情報をｍＤＬによって読み出して表示部３７に表示させる。

　セキュリティデバイス２での認証が必要であると判断した場合（ＳＴ１４、ＹＥＳ）、プロセッサ３１は、ユーザが指定した指示内容に応じてセキュリティデバイス２において実行することが必要となる認証処理をセキュリティデバイス２に要求する（ＳＴ１５）。プロセッサ３１は、セキュリティデバイスインターフェース３６を介して通信接続するセキュリティデバイス２に対して認証要求を送信する。

　例えば、プロセッサ３１は、セキュリティデバイス２で実行すべき認証処理の内容を示す情報として、セキュリティデバイス２に要求するセキュリティレベル（認証レベル）を通知するようにしても良い。また、プロセッサ３１は、セキュリティデバイス２で実行すべき認証処理の具体的な内容を判断し、セキュリティデバイス２に実行すべき認証処理の内容を認証要求とともに通知する。また、プロセッサ３１は、ユーザが指定する指示内容をセキュリティデバイス２に通知することによりセキュリティデバイス２に実行すべき認証処理の内容を判断させるようにしても良い。

　セキュリティデバイス２に認証要求を送信した後、プロセッサ３１は、セキュリティデバイス２からの認証結果の受信待ちとなる（ＳＴ１６）。セキュリティデバイス２から認証結果を取得した場合、プロセッサ３１は、指示内容に応じたセキュリティデバイス２での認証処理が成功したか否かを判断する（ＳＴ１７）。

　セキュリティデバイス２での認証が成功した場合（ＳＴ１７、ＹＥＳ）、プロセッサ３１は、ユーザが指定した内容に応じてｍＤＬの情報を提示する（ＳＴ１８）。例えば、プロセッサ３１は、ユーザが表示を要求した免許証情報をｍＤＬによって読み出して表示部３７に表示させる。

　セキュリティデバイス２での認証が失敗した場合（ＳＴ１７、ＮＯ）、又は、携帯端末３における生体認証が失敗した場合（ＳＴ１７、ＮＯ）、プロセッサ３１は、ｍＤＬの使用不可を報知する（ＳＴ１９）。例えば、プロセッサ３１は、表示部３７に指定された生体認証が失敗したためｍＤＬが使用できない旨の警告を表示部３７に表示する。

　以上のような処理によれば、第１実施形態に係る情報処理システムは、携帯端末でユーザが提示を要求する指示内容に応じて携帯端末およびセキュリティデバイスで実施すべき認証処理を実行し、携帯端末およびセキュリティデバイスにおける認証が成功した場合に、ユーザが指示した内容の情報を提示する。

　これにより、第１実施形態に係る情報処理システムによれば、携帯端末だけでなく、携帯端末と連携するセキュリティデバイスを用いた認証を前提して携帯端末が保持する情報を提示するようにできる。この結果として、第１実施形態に係る情報処理システムは、利便性の高いｍＤＬなどの携帯端末で実現する身分証明書機能が提示可能とする情報に対しても強固な情報セキュリティを実現できる。

　次に、第１実施形態に係る情報管理システム１におけるセキュリティデバイス２の動作について説明する。　
　図６は、第１実施形態に係る情報管理システムにおけるセキュリティデバイスの動作例を説明するためのフローチャートである。　
　セキュリティデバイス２のプロセッサ１１は、携帯端末３とインターフェース１６を介して通信接続した状態で稼働しているものとする。この状態において、プロセッサ１１は、携帯端末３から情報の開示に伴う認証要求を取得する（ＳＴ２１）。

　認証要求を受けた場合、プロセッサ１１は、携帯端末３又は携帯端末３のアプリ（ここでは、ｍＤＬとする）からの認証要求が有効であるか否かを判断する（ＳＴ２２）。例えば、セキュリティデバイス２は、接続設定されている携帯端末３又は携帯端末３のｍＤＬに対して認証要求を受付け可能とする有効期限を設けても良い。この場合、プロセッサ１１は、有効期限内であれば携帯端末３又はｍＤＬからの認証要求を実行し、有効期限外（失効期間）であれば携帯端末３又はｍＤＬからの認証要求を実行不可とする。

　認証要求が有効であると判断した場合（ＳＴ２２、ＹＥＳ）、プロセッサ１１は、携帯端末３から認証要求とともに取得する情報に基づいて実行すべき認証処理の内容を特定する。ここでは、図６に示すように３段階で設定された認証レベルに応じて認証処理を行う動作例について説明する。

　すなわち、プロセッサ１１は、携帯端末３から取得した認証要求が有効である場合、認証要求に応じて実行すべき認証処理の認証レベル（又は認証処理内容）を特定する。例えば、携帯端末３から認証レベルが指定された場合、プロセッサ１１は、携帯端末３から指定される認証レベルに応じて実行すべき認証処理の内容を特定する。また、プロセッサ１１は、携帯端末３から提示が要求された内容を示す情報を取得し、取得した情報に基づいて認証レベルを特定するようにして良い。なお、各認証レベルに応じた認証処理の内容については、データメモリ１４等に記憶しておくようにすれば良い。

　高レベルの認証処理が必要であると判断した場合（ＳＴ２３、ＹＥＳ）、プロセッサ１１は、高レベルの認証処理を実行する（ＳＴ２４）。例えば、各種の手続き（例えば、銀行カード、クレジットカードの発行、役所等での公的な手続き）を行うための個人の証明としてｍＤＬが示す情報が必要である場合、セキュリティデバイス２における高レベルの認証処理が必要であるものとする。

　高レベルの認証処理としては、例えば、サーバ４と連携したオンライン認証、および、生体認証との両方を実行すべき認証処理であるものとする。この場合、セキュリティデバイス２は、オンライン認証および生体認証の成功を認証成功の条件とすることで、高度なセキュリティ性を持つ認証結果を携帯端末３へ提供できる。

　また、サーバ４と連携したオンライン認証としては、例えば、ＰＫＩ（公開鍵暗号基板：Ｐｕｂｌｉｃ　Ｋｅｙ　Ｉｎｔｒａｓｔｒｕｃｔｕｒｅ）に基づくチャレンジレスポンス認証がある。具体例としては、セキュリティデバイス２には公開鍵ペアのうち秘密鍵が保存され、サーバ４には公開鍵が保存される構成とする。セキュリティデバイス２は、サーバ４からのチャレンジを秘密鍵で暗号化しレスポンスする。サーバ４は、セキュリティデバイス２からのレスポンスを対応する公開鍵で検証する。

　また、認証処理のレベル（認証処理の内容）は、内部時計としてのクロック２１が計時する日時に基づいて特定するようにしても良い。セキュリティデバイス２の内部時計としてのクロックが計時する日時を用いて認証処理のレベルや認証処理の内容を特定することにより、情報管理システム１としては、外部のデバイスに依存せずにセキュリティデバイス２内だけで時間経過等に応じた認証方法の制御が実現できる。

　例えば、前回オンライン認証を行ってから（前回オンライン認証が成功してから）の経過した期間に応じて認証処理のレベルを特定するようにしても良い。具体的には、セキュリティデバイス２は、オンライン認証が成功した日時をデータメモリ１４に保持しておき、前回オンライン認証が成功してからの経過時間が所定基準値を超えた場合、高レベルの認証処理が必要であると判断するようにしても良い。

　また、前回オンライン認証を行ってから（前回オンライン認証が成功してから）オフラインで実施された認証処理（生体認証又はＰＩＮ認証）の回数（又は、認証情報としての生体情報又はＰＩＮの読出し回数）に応じて認証処理のレベルを特定するようにしても良い。具体的には、セキュリティデバイス２は、オンライン認証が成功してからオフラインで実施された認証処理の回数をデータメモリ１４に保持しておき、前回オンライン認証が成功してからオフラインで実施された認証処理の回数が所定基準値を超えた場合、高レベルの認証処理が必要であると判断するようにしても良い。

　また、認証処理に要求されるセキュリティレベルが高レベルでないと判断した場合（ＳＴ２３、ＮＯ）、プロセッサ１１は、携帯端末３から要求された認証処理の認証レベルが中レベルである否かを判断する（ＳＴ２５）。

　中レベルの認証処理が必要であると判断した場合（ＳＴ２５、ＹＥＳ）、プロセッサ１１は、中レベルの認証処理を実行する（ＳＴ２６）。例えば、個人を確認（例えば、警察からの任意聴取、又は、チケットと個人の紐付けの確認など）を行うためにｍＤＬが示す個人を証明する情報を提示することが必要である場合、セキュリティデバイス２における中レベルの認証処理が必要であるものとする。

　中レベルの認証処理としては、例えば、セキュリティデバイス２におけるオフラインでの生体認証が実行すべき認証処理であるものとする。この場合、セキュリティデバイス２は、サーバ４と連携したオンライン認証が要求されずに、セキュリティデバイス２におけるオフラインでの生体認証の成功を条件とすることで、利便性を確保しつつ生体認証によるセキュリティ性を維持できる認証結果を携帯端末３へ提供することができる。

　また、認証処理に要求されるセキュリティレベルが中レベルでないと判断した場合（ＳＴ２５、ＮＯ）、プロセッサ１１は、携帯端末３から要求された認証処理の認証レベルが低レベルであると判断する。例えば、低レベルの認証処理としては、一部の個人情報の確認（例えば、たばこ、又は、酒類を購入するための年齢確認）を行うためにｍＤＬが示す個人情報の一部だけを提示することが必要である場合、セキュリティデバイス２においては、低レベルの認証処理が必要であるものとする。

　低レベルの認証処理としては、例えば、セキュリティデバイス２においてオフラインでのＰＩＮ認証が実行すべき認証処理であるものとする。この場合、セキュリティデバイス２は、サーバ４と連携したオンライン認証および生体認証が要求されずに、セキュリティデバイス２におけるオフラインでのＰＩＮ認証の成功を条件とすることで、利便性を確保しつつ一定のセキュリティ性を維持できる認証結果を携帯端末３へ提供することができる。

　認証要求に応じて特定したレベルの認証処理を行うと、プロセッサ１１は、セキュリティデバイス２としての認証が成功したか否かを判定する（ＳＴ２８）。　
　認証要求に応じたセキュリティデバイス２における認証が成功した場合（ＳＴ２８、ＹＥＳ）、プロセッサ１１は、セキュリティデバイス２における認証が成功した旨を認証要求元の携帯端末３へ通知する（ＳＴ３１）。

　また、認証要求に応じたセキュリティデバイス２における認証が失敗した場合（ＳＴ２８、ＮＯ）、プロセッサ１１は、認証処理がリトライ可能な状態であるか否かを判断する（ＳＴ２９）。リトライ可能な状態である場合（ＳＴ２９、ＹＥＳ）、プロセッサ１１は、ＳＴ２３へ戻り、上述した認証処理を再度実行する。

　リトライ不可の状態となった場合（ＳＴ２９、ＮＯ）、プロセッサ１１は、当該セキュリティデバイス２における認証要求元の携帯端末３又は携帯端末３のｍＤＬに対する認証状態をロック状態にする（ＳＴ３０）。認証状態をロック状態とした場合、プロセッサ１１は、認証要求に応じた認証が失敗した旨と認証状態がロック状態となった旨とを示す認証結果を携帯端末３へ送信する（ＳＴ３１）。

　以上のような処理によれば、第１実施形態に係る情報処理システムにおいて、セキュリティデバイスは、ｍＤＬを実行する携帯端末からの認証要求の内容に応じた内容の認証処理を特定し、認証要求の内容に応じた認証処理の結果を認証結果として携帯端末へ通知する。これにより、第１実施形態に係る情報処理システムによれば、ｍＤＬを実行する携帯端末とは別の機器であるセキュリティデバイスにおける認証結果に基づいてｍＤＬの情報を提供することができ、ｍＤＬの情報に対するセキュリティ性を向上できる。

　また、上述した動作例によれば、第１実施形態に係る情報処理システムにおいて、セキュリティデバイスは、ｍＤＬを実行する携帯端末からの認証要求に応じて内部クロックが計時する計時情報などに応じた実行すべき認証処理の内容を特定する。これにより、セキュリティデバイスは、外部のデバイスに依存せずにセキュリティデバイス自身が時間経過等に伴って必要とされる認証方法で認証処理を実行することでき、強固なセキュリティ性を維持できる。

　次に、第１実施形態に係るセキュリティデバイス２における認証状態のロック状態をアンロックするアンロック処理について説明する。　
　図７は、第１実施形態に係るセキュリティデバイス２における認証ロック状態をアンロック状態にするためのアンロック処理を説明するためのフローチャートである。　
　上述した図６に示す動作例によれば、セキュリティデバイス２は、所定のリトライ中に認証処理が成功しなければ認証状態をロック状態とする。ロック状態となった場合、セキュリティデバイス２がアンロック処理によってロック状態を解除しなければ、携帯端末３のｍＤＬが使用不可となる。

　第１実施形態に係る情報管理システムにおけるセキュリティデバイス２は、所定の手続きによるロック状態を解除するアンロック処理を実行する機能を有するものとする。図７に示す動作例においては、セキュリティデバイス２は、サーバ４との連携によるオンライン認証が成功すればロック状態を解除できるものとする。

　まず、セキュリティデバイス２のプロセッサ１１は、インターフェース１６を介して通信接続する携帯端末３からアンロックのための認証要求（アンロック要求）を取得する（ＳＴ４１）。

　アンロック要求を受けると、プロセッサ１１は、ロック状態を解除するための所定の手続きとしてオンライン認証を行うために、サーバ４と通信接続する（ＳＴ４２）。プロセッサ１１は、サーバ４との通信接続が確立すると、オンライン認証を実行する（ＳＴ４３）。オンライン認証としては、例えば、上述したようなＰＫＩに基づくセキュリティデバイス２が保持する秘密鍵とサーバ４が保持する公開鍵とを用いた認証が適用できる。

　オンライン認証が成功した場合（ＳＴ４４、ＹＥＳ）、プロセッサ１１は、携帯端末３又は携帯端末３のｍＤＬに対する認証状態のロック状態をアンロックする（ＳＴ４５）。オンライン認証の成功に伴ってロック状態を解除した場合、プロセッサ１１は、認証状態のロックを解除した旨の処理結果を携帯端末３へ送信する（ＳＴ４７）。　
　また、オンライン認証が成功しなかった場合（ＳＴ４４、ＮＯ）、プロセッサ１１は、携帯端末３又は携帯端末３のｍＤＬに対する認証状態のロック状態を維持し（ＳＴ４６）、認証状態のロック状態のままである旨の処理結果を携帯端末３へ送信する（ＳＴ４７）。

　以上の処理によれば、第１実施形態に係るセキュリティデバイスは、サーバとのオンライン認証などの所定の手続きによって携帯端末又はｍＤＬに対する認証のロック状態を解除する。これにより、セキュリティデバイスにおいて有効期限切れなど含む様々な要因で認証状態がロックされた場合であっても所定の手続きによるロック状態を解除することができ、セキュリティ性を保持しながら安定した運用が可能となる。

　（第２実施形態）
　以下、第２実施形態について、図面を参照しつつ説明する。　
　まず、第２実施形態に係るセキュリティデバイス２０２を含む情報管理システム２０１について説明する。　
　図８は、第２実施形態に係るセキュリティデバイス２０２を含む情報管理システム２０１の構成例を模式的に示す図である。　
　図８に示す構成例において、情報管理システム２０１は、セキュリティデバイス２０２、携帯端末２０３およびサーバ２０４を有する。携帯端末２０３とサーバ２０４とは、インターネットなどのネットワーク２０５を介して通信接続される。また、セキュリティデバイス２０２とサーバ２０４とがネットワークを介して通信するようにしても良い。

　セキュリティデバイス２０２は、携帯端末２０３と接続する通信インターフェースおよびセキュアに情報を記憶するセキュアメモリを備える電子デバイスである。セキュリティデバイス２０２は、携帯端末２０３内にセットされるものであっても良いし、携帯端末２０３と通信接続するデバイスであっても良い。また、情報管理システム２０１において、携帯端末２０３に接続するセキュリティデバイスは、複数あっても良い。

　携帯端末２０３内にセットされるセキュリティデバイス２０２の例としては、ＳＩＭ（Ｓｕｂｓｃｒｉｂｅｒ　Ｉｄｅｎｔｉｆｉｃａｔｉｏｎ　Ｍｏｄｕｌｅ）カード、ｓＳＩＭ（Ｅｍｂｅｄｄｅｄ　ＳＩＭ）、メモリカードなどがある。また、携帯端末２０３に通信接続するセキュリティデバイス２０２の例としては、スマートウォッチなどのウエアラブルデバイス、ＩＣカード、外部セキュリティデバイスなどがある。

　携帯端末２０３は、ユーザが携帯する情報処理装置である。携帯端末２０３は、例えば、スマートフォン、携帯電話機、タブレットＰＣなどである。携帯端末２０３は、ユーザインターフェースとしての表示部および入力部などを備え、セキュリティデバイス２０２と接続する機能、および、ネットワーク２０５を介してサーバ２０４と通信する機能などを備える。

　携帯端末２０３は、身分証明書で示される個人情報を含む証明書情報などの各種の情報を表示するためのアプリケーションプログラム（以下、アプリとも称する）がロードされる。第２実施形態では、携帯端末２０３は、身分証明証の一例である運転免許証として利用可能なモバイル運転免許証（以下、ｍＤＬとも称する）を実現するためのアプリがロードされるものとする。また、携帯端末２０３は、ユーザ自身が操作するものであって、モバイル運転免許証の機能として運転免許証で証明される各種の情報を表示部に表示する。

　サーバ２０４は、セキュリティデバイス２０２および携帯端末２０３と通信する機能を有する。また、サーバ２０４は、セキュリティデバイス２０２と通信する機能を有する。サーバ２０４は、携帯端末２０３を介してセキュリティデバイス２０２と通信する機能を備えるものであっても良いし、携帯端末２０３を介さずにネットワーク２０５を介してセキュリティデバイス２０２と通信する機能を備えるものであっても良いし、両者の機能を備えるものであっても良い。

　サーバ２０４は、携帯端末２０３がモバイル運転免許証の機能として表示する免許証情報を保持するデータベースを有する。サーバ２０４は、各ユーザの携帯端末２０３にインストールされるモバイル運転免許証に対する秘密鍵の保管場所を示す情報（保管場所情報）を携帯端末２０３から取得する。サーバ２０４は、携帯端末２０３から取得する保管場所情報を示すセキュリティデバイス２０２などの保管場所から秘密鍵を取得し、取得した秘密鍵を用いて各ユーザの免許証情報を携帯端末２０３に表示させる制御を行う。

　次に、第２実施形態に係る情報管理システム２０１におけるセキュリティデバイス２０２の構成について説明する。　
　図９は、第２実施形態に係るセキュリティデバイス２０２における制御系の構成例を示すブロック図である。　
　図９に示す構成例において、セキュリティデバイス２０２は、プロセッサ２１１、ＲＯＭ２１２、ＲＡＭ２１３、データメモリ２１４、セキュアメモリ２１５、インターフェース（Ｉ／Ｆ）２１６、および、通信部２１７などを有する。

　プロセッサ２１１は、種々の処理を実行する回路を含む。プロセッサ２１１は、例えば、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。プロセッサ２１１は、セキュリティデバイス２０２全体の制御を司る。プロセッサ２１１は、ＲＯＭ２１２あるいはデータメモリ２１４に記憶されているプログラムを実行することにより、種々の処理機能を実現する。ただし、後述するプロセッサ２１１が実行する各種の機能のうちの一部又は全部は、ハードウエア回路により実現されるようにしても良い。

　ＲＯＭ２１２は、プログラムメモリとして機能する不揮発性のメモリである。ＲＯＭ２１２は、予め制御用のプログラムおよび制御データなどが記憶される。ＲＯＭ２１２は、製造段階で制御プログラムや制御データなどが記憶された状態でセキュリティデバイス２０２の筐体内に組み込まれる。ＲＯＭ２１２に記憶される制御プログラムや制御データは、予め当該セキュリティデバイス２０２の仕様等に応じて組み込まれる。

　ＲＡＭ２１３は、ワーキングメモリとして機能する揮発性のメモリである。また、ＲＡＭ２１３は、プロセッサ２１１が処理中のデータなどを一時保管するバッファとしても機能する。例えば、ＲＡＭ２１３は、通信部２１７を介してサーバ２０４との間で送受信するデータを一時保管する通信バッファとして機能する。

　データメモリ２１４は、データの書き込みおよび書き換えが可能な不揮発性のメモリである。データメモリ２１４は、例えば、ＥＥＰＲＯＭ（登録商標）（Ｅｌｅｃｔｒｉｃａｌｌｙ　Ｅｒａｓａｂｌｅ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）などで構成する。データメモリ２１４には、当該セキュリティデバイス２０２の運用用途に応じたプログラムや種々のデータが書き込まれる。データメモリ２４には、プログラムファイルあるいはデータファイルなどが定義され、それらのファイルに制御プログラムや種々のデータが書き込まれる。

　セキュアメモリ２１５は、セキュアにデータが格納できる耐タンパー性を有するメモリである。セキュアメモリ２１５は、接続された携帯端末２０３のモバイル運転免許証に対応する秘密鍵を保管する。

　インターフェース２１６は、携帯端末２０３と接続するためのインターフェースである。インターフェース２１６は、携帯端末２０３が備えるインターフェースと物理的に接触して接続されるものであっても良いし、携帯端末２０３と通信接続できるものであっても良い。例えば、携帯端末２０３と通信接続するインターフェースとしては、ブルートゥース（登録商標）などの近距離無線通信、非接触ＩＣカードと非接触で通信するための非接触通信、あるい、Ｗｉｆｉ（登録商標）などの無線通信などのインターフェースである。

　また、通信部２１７は、外部装置と通信するための通信インターフェースである。通信部２１７は、ネットワーク２０５を介してサーバ２０４と通信する。通信部２１７は、３Ｇ、ＬＴＥ（登録商標）あるいは５Ｇなどの携帯電話通信網で通信するものであっても良いし、Ｗｉｆｉなどの無線ＬＡＮによりサーバ２０４と通信するものであっても良い。なお、セキュリティデバイス２０２が携帯端末２０３を介してサーバ２０４と通信する形態とする場合、セキュリティデバイス２０２の構成としては通信部２１７を省略しても良い。

　次に、第２実施形態に係る情報管理システム２０１における携帯端末２０３の構成について説明する。　
　図１０は、第２実施形態に係る情報管理システム２０１における携帯端末２０３の構成例を示すブロック図である。　
　図１０に示す構成例において、携帯端末２０３は、プロセッサ２３１、ＲＯＭ２３２、ＲＡＭ２３３、データメモリ２３４、通信部２３５、インターフェース（Ｉ／Ｆ）２３６、表示部２３７、および、入力部２３８などを有する。

　プロセッサ２３１は、プログラムを実行することにより各種の処理を実行する。プロセッサ２３１は、例えば、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。プロセッサ２３１は、システムバスを介して携帯端末２０３内の各部と接続され、各部との間でデータを送受信する。プロセッサ２３１は、ＲＯＭ２３２およびＲＡＭ２３３と協働して携帯端末２０３における制御およびデータ処理などの動作を実行する。例えば、プロセッサ２３１は、ＲＯＭ２３２あるいはデータメモリ２３４に記憶されているアプリケーションプログラムを実行することにより種々の処理機能を実現する。ただし、後述するプロセッサ２３１が実行する各種の機能のうちの一部又は全部は、ハードウエア回路により実現されるようにしても良い。

　ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）２３２は、携帯端末２０３の基本的な動作を実現するためのプログラムおよび制御データなどを記憶する不揮発性のメモリである。例えば、ＲＯＭ２３２は、オペレーティングシステム（ＯＳ）などの基本動作を司るプログラムを記憶する。また、ＲＯＭ２３２は、携帯端末２０３が具備する機能を実現するためのアプリケーションプログラムなどを記憶しても良い。ＲＯＭ２３２は、書き換え可能な不揮発性のメモリで構成しても良い。例えば、書き換え可能なＲＯＭ２３２としては、ＥＥＰＲＯＭ（Ｅｌｅｃｔｒｉｃａｌｌｙ　Ｅｒａｓａｂｌｅ　Ｐｒｏｇｒａｍｍａｂｌｅ　ＲＯＭ）又はフラッシュＲＯＭなどで実現される。

　ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）２３３は、データを一時的に記憶する揮発性のメモリである。ＲＡＭ２３３は、プロセッサ２３１がプログラムを実行する場合にワーキングメモリとして機能する。

　データメモリ２３４は、各種のデータを記憶する記憶部である。データメモリ２３４は、データの書き換えが可能な不揮発性のメモリで構成される。例えば、データメモリ２３４は、フラッシュＲＯＭ、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）などの半導体素子メモリ、あるいは、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｃ　Ｄｒｉｖｅ）などの記憶装置が用いられる。データメモリ２３４は、アプリケーションプログラム、動作設定値、個人情報などを記憶する。また、データメモリ２３４は、ＯＳプログラムを記憶するようにしても良い。

　通信部２３５は、外部装置と通信するための通信インターフェースである。通信部２３５は、インターフェースを介してサーバ２０４と通信するものである。通信部２３５は、３Ｇ、ＬＴＥあるいは５Ｇなどの携帯電話通信網（移動体通信）で通信するものであっても良いし、Ｗｉｆｉなどの無線ＬＡＮによりサーバ２０４と通信するものであっても良い。

　インターフェース（Ｉ／Ｆ）２３６（２３６ａ、２３６ｂ、…）は、セキュリティデバイス２０２と通信接続するためのセキュリティデバイスインターフェースである。インターフェース２３６は、少なくても１つのセキュリティデバイス２０２と接続できるように構成される。図１０では、インターフェース２３６は、第１のインターフェース２３６ａおよび第２のインターフェース２３６ｂを含むことを例示する。各インターフェース２３６は、それぞれが各種のセキュリティデバイス２０２に対応するインターフェースで構成する。

　例えば、第１のインターフェース２３６ａは、携帯端末２０３の所定位置にセット（携帯端末２０３の装着）されるセキュリティデバイス（例えば、ＳＩＭカード、ｅＳＩＭ、メモリカード等）２０２ａに対応するインターフェースである。第２のインターフェース２３６ｂは、携帯端末２０３と通信接続する外部デバイスとしてのセキュリティデバイス（例えば、スマートウォッチ等のウエアラブルデバイス、ＩＣカード、外部セキュリティデバイスなど）２０２ｂに対応するインターフェースである。第２のインターフェース２３６ｂとしては、ブルートゥースなどの無線通信を行うインターフェース、あるいは、ＩＣカードリーダライタなどがある。

　表示部２３７は、液晶パネル等の表示装置（表示デバイス）である。入力部２３８は、携帯端末２０３に対して操作指示を入力する入力デバイスである。入力部２３８は、例えば、タッチパネルを含む。表示部２３７と入力部２３８とは、タッチパネル付き表示装置（以下、タッチスクリーンと称する）で構成しても良い。また、入力部２３８は、ボタンスイッチで構成する操作キー、静電容量の変化に基づいて操作者の手指が触れたことを検出するタッチセンサなどを含むものであっても良い。

　次に、第２実施形態に係る情報管理システム２０１におけるサーバ２０４の構成について説明する。　
　図１１は、第２実施形態に係る情報管理システム２０１におけるサーバ２０４の構成例を示すブロック図である。　
　図１１に示すように、サーバ２０４は、プロセッサ２４１、ＲＯＭ２４２、ＲＡＭ２４３、データメモリ２４４、通信部２４６、および、データベース２４７を有する。

　プロセッサ２４１は、プログラムを実行することにより各種の処理を実行する。プロセッサ２４１は、例えば、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。プロセッサ２４１は、システムバスを介してサーバ２０４内の各部と接続され、各部との間でデータを送受信する。プロセッサ２４１は、ＲＯＭ２４２およびＲＡＭ２４３と協働してサーバ２０４における制御およびデータ処理などの動作を実行する。

　ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）２４２は、サーバ２０４としての基本的な動作を実現するためのプログラムおよび制御データなどを記憶する不揮発性のメモリである。　
　ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）２４３は、データを一時的に記憶する揮発性のメモリである。ＲＡＭ２４３は、プロセッサ２４１がプログラムを実行する場合にワーキングメモリとして機能する。　
　データメモリ２４４は、各種のデータを記憶する記憶部である。データメモリ２４４は、データの書き換えが可能な不揮発性のメモリで構成される。例えば、データメモリ２４４は、ＯＳプログラム、アプリケーションプログラム、動作設定情報などを記憶する。

　通信部２４６は、外部装置と通信するための通信インターフェースである。通信部２４６は、無線で通信を行うものであって良いし、有線で通信を行うものであっても良い。本第２実施形態において、通信部２４６は、インターネットなどの広域のネットワークを介してユーザが保持するセキュリティデバイス２０２および携帯端末２０３と通信するものであれば良い。

　データベース２４７は、モバイル運転免許証の情報として携帯端末２０３に表示可能な免許証情報を保存する。例えば、データベース２４７には、ユーザの携帯端末２０３にモバイル運転免許証としてのアプリがインストールされると、当該モバイル運転免許証によって表示する免許証情報が登録される。

　次に、第２実施形態に係る情報管理システム２０１において携帯端末２０３がモバイル運転免許証としての免許証情報を表示するための動作について説明する。　
　まず、第２実施形態に係る情報管理システム２０１における携帯端末２０３におけるモバイル運転免許証に対応する秘密鍵の保管設定の動作例について説明する。　
　図１２は、第２実施形態に係る情報管理システム２０１の携帯端末２０３におけるモバイル運転免許証に対応する秘密鍵の保管設定の動作例を説明するためのフローチャートである。

　まず、ユーザは、携帯端末２０３のインターフェース２３６にセキュリティデバイス２０２を接続させる操作を行う。プロセッサ２３１は、ユーザ操作などに応じてインターフェース２３６を介したセキュリティデバイス２０２との接続を確立させる（ＳＴ２１１）。例えば、ユーザは、ＳＩＭカードなどのセキュリティデバイス２０２ａを携帯端末２０３における所定位置にセットする。所定位置にセットされたセキュリティデバイス２０２ａがインターフェース２３６ａのコンタクト部に接触すると、プロセッサ２３１は、インターフェース２３６ａを介してセキュリティデバイス２０２ａとの通信状態を確立させる。

　また、外部デバイスとしてのセキュリティデバイス２０２ｂを接続する場合、プロセッサ２３１は、ユーザ操作などに応じてインターフェース２３６ｂによりセキュリティデバイス２０２ｂとの通信接続を試行することによりインターフェース２３６ｂを介してセキュリティデバイス２０２ｂとの通信状態を確立させる。

　インターフェース２３６にセキュリティデバイス２０２が接続されると、プロセッサ２３１は、通信部２３５によりサーバ２０４にアクセスする（ＳＴ２１２）。さらに、プロセッサ２３１は、インターフェース２３６に接続されているセキュリティデバイス２０２から鍵の保管場所が選択可能であるかを判断する（ＳＴ２１３）。例えば、プロセッサ２３１は、インターフェース２３６に接続されているセキュリティデバイス２０２が秘密鍵を保管可能なセキュアメモリを備えているか否かなどにより鍵の保管場所として選択可能であるか否かを判断する。

　鍵の保管場所として選択不可能である場合（ＳＴ２１３、ＮＯ）、プロセッサ２３１は、秘密鍵の保管設定処理を終了する。　
　鍵の保管場所として選択可能である場合（ＳＴ２１３、ＹＥＳ）、プロセッサ２３１は、鍵の保管場所をユーザに選択させるための選択画面を表示部２３７に表示する（ＳＴ２１４）。例えば、プロセッサ２３１は、鍵の保管場所とすることが可能なセキュリティデバイス２０２の一覧を選択画面に表示する。ユーザは、表示部２３７に表示された選択画面において選択肢として示されるセキュリティデバイス２０２のいずれかを秘密鍵を保管する保管場所として入力部２３８を用いて選択指示する。

　例えば、インターフェース２３６ａに第１のセキュリティデバイス２０２ａとしてのＳＩＭカードが接続され、インターフェース２３６ｂに第２のセキュリティデバイス２０２ｂとしてのスマートウォッチが接続されている場合、プロセッサ２３１は、ＳＩＭカード又はスマートウォッチのいずれかを鍵の保管場所として選択させる選択画面を表示部２３７に表示する。この場合、ユーザは、入力部２３８を用いてＳＩＭカードもしくはスマートウォッチを秘密鍵の保管場所として選択する。

　選択画面に表示した選択肢から鍵の保管場所が選択された場合（ＳＴ２１５、ＹＥＳ）、プロセッサ２３１は、ユーザにより選択された保管場所としてのセキュリティデバイス２０２に秘密鍵を保存する（ＳＴ２１６）。例えば、プロセッサ２３１は、選択されたセキュリティデバイス２０２のセキュアメモリに当該携帯端末２０３にインストールされてるモバイル運転免許証に対応する秘密鍵を書き込む。

　ユーザが選択した保管場所に秘密鍵を保存すると、プロセッサ２３１は、秘密鍵を保管した保管場所としてのセキュリティデバイス２０２を示す保管場所情報を生成し、生成した保管場所情報をデータメモリ２３４に保存する（ＳＴ２１７）。

　以上のような処理によれば、第２実施形態に係る情報処理システムにおける携帯端末は、ユーザが選択するセキュリティデバイスを秘密鍵の保管場所として登録することができる。携帯端末は、ユーザが指定する秘密鍵の保管場所としてのセキュリティデバイスを示す保管場所情報を生成し、生体した保管場所情報をメモリに保存おくことができる。

　次に、第２実施形態に係る情報管理システム２０１における携帯端末２０３に免許情報を表示させる表示処理の動作について説明する。　
　図１３は、第２実施形態に係る情報管理システム２０１における携帯端末２０３に免許情報を表示させる処理の動作例を説明するためのフローチャートである。　
　ユーザは、携帯端末２０３においてモバイル運転免許証のアプリを起動させ、入力部２３８を用いて表示させたい免許情報を指定する。プロセッサ２３１は、ユーザ操作に応じてモバイル運転免許証のアプリを起動させ、入力部２３８を用いて指定される免許情報の表示指示を受け付ける。

　携帯端末２０３のプロセッサ２３１は、入力部２３８により免許情報の表示指示が入力された場合（ＳＴ２３１、ＹＥＳ）、通信部２３５によりサーバ２０４と通信する（ＳＴ２３２）。サーバ２０４との通信が確立した後、プロセッサ２３１は、入力部２３８を用いて表示指示された免許情報の開示をサーバ２０４に要求する（ＳＴ２３３）。

　携帯端末２０３のプロセッサ２３１は、サーバ２０４に免許情報の開示要求を送信した後、サーバ２０４からの要求に応じて鍵（秘密鍵）の保管場所（セキュリティデバイス）を示す保管場所情報をサーバ２０４へ送信する（ＳＴ２３４）。保管場所情報は、上述したように保管設定によって登録される情報であり、ユーザのモバイル運転免許証に対応する秘密鍵の保管場所を示す情報である。

　鍵の保管場所を示す保管場所情報を送信した後、プロセッサ２３１は、サーバ２０４から開示を要求した表示部２３７に表示させるための免許情報を取得する（ＳＴ２３５）。サーバ２０４から免許情報を取得すると、プロセッサ２３１は、取得した免許情報を表示部２３７に表示する（ＳＴ２３６）。

　以上のような処理によれば、第２実施形態に係る情報処理システムにおいて、携帯端末は、入力部により入力される免許情報の表示指示に応じてサーバに免許情報の開示要求を送信する。携帯端末は、免許情報の開示要求を送信したサーバから要求に応じてモバイル運転免許証に対応する秘密鍵の保管場所を示す保管場所情報をサーバに通知する。保管場所情報した後、携帯端末は、サーバから取得する免許情報を表示部に表示する。これにより、携帯端末とは別のセキュアメモリを有するセキュリティデバイスにモバイル運転免許証を利用するための秘密鍵を保存しておくことができ、その秘密鍵の保管場所をサーバに通知することが可能となる。

　次に、第２実施形態に係る情報管理システム２０１におけるサーバ２０４の動作について説明する。　
　図１４は、第２実施形態に係る情報管理システム２０１におけるサーバ２０４の動作例を説明するためのフローチャートである。　
　携帯端末２０３は、図１３に示すような動作により、ユーザ操作に応じてモバイル運転免許証として表示する免許情報をサーバ２０４へ要求する。サーバ２０４は、通信部２４６にネットワーク２０５を介して携帯端末２０３と通信する。サーバ２０４のプロセッサ２４１は、通信部２４６により携帯端末２０３からの免許情報の開示要求を取得する（ＳＴ２５１）。

　携帯端末２０３の免許情報の開示要求を取得すると、プロセッサ２４１は、当該携帯端末２０３にユーザの免許情報を表示させるために、当該携帯端末２０３にインストールされているモバイル運転免許証に対応する秘密鍵を取得する処理を行う。サーバ２０４のプロセッサ２４１は、秘密鍵を取得するため、携帯端末２０３に対して保管場所情報を要求する（ＳＴ２５２）。サーバ２０４のプロセッサ２４１は、保管場所情報を要求した後、通信部２４６により携帯端末２０３から保管場所情報を取得する（ＳＴ２５３）。

　保管場所情報を取得すると、プロセッサ２４１は、取得した保管場所情報が示す保管場所から秘密鍵を取得する（ＳＴ２５４）。ここで、保管場所としてのセキュリティデバイス２０２が携帯端末２０３を介さずに当該サーバ２０４と通信する機能を有するものであれば、プロセッサ２４１は、携帯端末２０３を経由することなく通信部２４６により通信するセキュリティデバイス２０２から秘密鍵を取得する。また、保管場所としてのセキュリティデバイス２０２が携帯端末２０３を介して当該サーバ２０４と通信するものであれば、プロセッサ２４１は、携帯端末２０３を介して保管場所としてのセキュリティデバイス２０２から秘密鍵を取得する。

　秘密鍵を取得すると、プロセッサ２４１は、取得した秘密鍵を利用して携帯端末２０３の表示部２３７に表示させるためのユーザの免許情報を携帯端末２０３へ出力する（ＳＴ２５５）。

　以上のような処理によれば、第２実施形態に係る情報処理システムにおいて、サーバは、携帯端末からの免許情報の開示要求を受けた場合に携帯端末から秘密鍵の保管場所を示す保管場所情報を取得し、保管場所情報が示す保管場所から取得する秘密鍵を利用してユーザの免許情報を携帯端末に表示させる。これにより、第２実施形態によれば、情報管理システムは、携帯端末とは別のユーザが指定するセキュアメモリを有するセキュリティデバイスに秘密鍵を用いてユーザの免許情報を携帯端末に表示させることができる。これにより、秘密鍵をセキュアに管理することができ、秘密鍵を用いて提供される情報のセキュリティを向上することができる。

　上述の各実施形態で説明した機能は、ハードウエアを用いて構成するに留まらず、ソフトウエアを用いて各機能を記載したプログラムをコンピュータに読み込ませて実現することもできる。また、各機能は、適宜ソフトウエア、ハードウエアのいずれかを選択して構成するものであっても良い。

　本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。

Claims

　情報を開示する機能を有する携帯端末と通信するインターフェースと、
　認証に用いる情報を記憶するセキュアメモリと、
　前記インターフェースにより前記携帯端末におけるセキュリティ管理すべき情報の開示指示に伴う認証要求を受信し、前記認証要求の内容に応じて前記セキュアメモリが記憶する情報を用いて実行すべき認証処理を特定し、特定した認証処理を実行した認証結果を携帯端末へ通知するプロセッサと、
　を有するセキュリティデバイス。
　さらに、前記インターフェース、前記セキュアメモリおよび前記プロセッサを備える本体と、
　前記本体をユーザに装着させる装着部と、を備える、
　請求項１に記載のセキュリティデバイス。
　生体情報を取得する生体センサを有し、
　前記セキュアメモリは、生体情報を含む認証情報を記憶し、
　前記プロセッサは、前記セキュアメモリが記憶する生体情報を用いた生体認証を含む複数の認証処理の中から前記認証要求の内容に応じて実行すべき認証処理を特定する、
　請求項１又は２のいずれか１項に記載のセキュリティデバイス。
　サーバと通信する通信部を有し、
　前記セキュアメモリは、前記サーバが保持する鍵に対応する鍵を記憶し、
　前記プロセッサは、前記セキュアメモリが記憶する鍵と前記サーバが保持する鍵とを用いたオンライン認証を含む複数の認証処理の中から前記認証要求の内容に応じて実行すべき認証処理を特定する、
　請求項１乃至３のいずれか１項に記載のセキュリティデバイス。
　前記プロセッサは、前記認証要求の内容に基づいて認証レベルを特定し、認証レベルに応じた認証処理を特定する、
　請求項１乃至４のいずれか１項に記載のセキュリティデバイス。
　日時を計時するクロックを有し、
　前記プロセッサは、前記クロックが計時する日時に基づいて実行すべき認証処理を特定する、
　請求項１乃至５のいずれか１項に記載のセキュリティデバイス。
　さらに、日時を計時するクロックと、
　前記オンライン認証が成功した日時を記憶するメモリと、を有し、
　前記プロセッサは、前記クロックが計時する日時と前記メモリが記憶する情報とに基づく前回オンライン認証が成功してから経過した時間が基準値を超えた場合に実行すべき認証処理として前記オンライン認証を含む認証処理を特定する、
　請求項４に記載のセキュリティデバイス。
　さらに、日時を計時するクロックと、
　前記オンライン認証が成功してから実施した認証処理の回数を示す情報を記憶するメモリと、を有し、
　前記プロセッサは、前記メモリが記憶する情報に基づく前回オンライン認証が成功してから実施した認証処理の実行回数が基準値を超えた場合に実行すべき認証処理として前記オンライン認証を含む認証処理を特定する、
　請求項４に記載のセキュリティデバイス。
　携帯端末とセキュリティデバイスとを有する情報管理システムにおいて、
　前記携帯端末は、
　前記セキュリティデバイスと通信するセキュリティデバイスインターフェースと、
　ユーザが情報の開示を指示するための入力部と、
　前記入力部で指示された情報を開示するために前記セキュリティデバイスでの認証が必要である場合、前記セキュリティデバイスに認証要求を送り、前記セキュリティデバイスにおける認証が成功した場合に前記情報を開示する第１のプロセッサと、を有し、
　前記セキュリティデバイスは、
　前記携帯端末と通信するインターフェースと、
　認証に用いる情報を記憶するセキュアメモリと、
　前記インターフェースにより前記携帯端末が情報を開始するための認証要求を受信した場合、前記認証要求の内容に応じて前記セキュアメモリが記憶する情報を用いて実行すべき認証処理を特定し、特定した認証処理を実行した認証結果を携帯端末へ通知する第２のプロセッサと、
　を有する情報管理システム。
　サーバと通信する通信部を有し、
　前記セキュアメモリは、前記サーバが保持する鍵に対応する鍵を記憶し、
　前記第２のプロセッサは、前記セキュアメモリが記憶する鍵と前記サーバが保持する鍵とを用いたオンライン認証を含む複数の認証処理の中から前記認証要求の内容に応じて実行すべき認証処理を特定する、
　請求項９に記載の情報管理システム。
　日時を計時するクロックを有し、
　前記第２のプロセッサは、前記クロックが計時する日時に基づいて実行すべき認証処理の内容を特定する、
　請求項９又は１０のいずれか１項に記載の情報管理システム。
　日時を計時するクロックと、
　前記オンライン認証が成功した日時を記憶するメモリと、を有し、
　前記第２のプロセッサは、前記クロックを計時する日時と前記メモリが記憶する情報とに基づく前回オンライン認証が成功してから経過した時間が基準値を超えた場合に実行すべき認証処理として前記オンライン認証を含む認証処理を特定する、
　請求項１０に記載の情報管理システム。
　日時を計時するクロックと、
　前記オンライン認証が成功してから実施した認証処理の回数を示す情報を記憶するメモリと、を有し、
　前記第２のプロセッサは、前記メモリが記憶する情報に基づく前回オンライン認証が成功してから実施した認証処理の回数が基準値を超えた場合に実行すべき認証処理として前記オンライン認証を含む認証処理を特定する、
　請求項１０に記載の情報管理システム。
　携帯端末とサーバとを有する情報管理システムであって、
　前記携帯端末は、
　メモリと、
　表示装置と、
　ユーザ操作を受け付ける入力デバイスと、
　セキュリティデバイスを接続する少なくとも１つのインターフェースと、
　前記サーバと通信する第１通信部と、
　　前記インターフェースに接続されるセキュリティデバイスから秘密鍵の保管場所をユーザに選択させるための選択画面を前記表示装置に表示し、
　　前記選択画面を表示した場合に前記入力デバイスを用いてユーザが秘密鍵の保管場所として指定したセキュリティデバイスを示す保管場所情報を前記メモリに記憶し、
　　前記第１通信部により通信する前記サーバに前記保管場所情報を送信し、
　　前記保管場所情報を送信した前記サーバからの情報を前記表示装置に表示させる、第１のプロセッサと、を有し、
　前記サーバは、
　前記携帯端末と通信する第２通信部と、
　前記第２通信部により前記携帯端末から前記保管場所情報を取得し、前記保管場所情報が示すセキュリティデバイスから取得する秘密鍵を用いて前記携帯端末の表示装置に表示させる前記ユーザに関する情報を前記携帯端末に出力する、第２のプロセッサと、を有する、
　情報管理システム。
　前記携帯端末の前記インターフェースは、前記携帯端末に装着するセキュリティデバイスに接続するためのインターフェースを含む、
　請求項１４に記載の情報管理システム。
　前記携帯端末の前記インターフェースは、前記携帯端末の外部デバイスとしてのセキュリティデバイスと通信するインターフェースを含む、
　請求項１４に記載の情報管理システム。
　前記サーバは、前記秘密鍵を用いて前記携帯端末の表示装置に表示させる前記ユーザに関する情報として前記ユーザの免許情報を保持するデータベースを有する、
　請求項１４に記載の情報管理システム。
　メモリと、表示装置と、入力デバイスと、セキュリティデバイスを接続する少なくとも１つのインターフェースと、サーバと通信する通信部と、プロセッサと、を備える携帯端末において、前記プロセッサに、
　前記インターフェースに接続されるセキュリティデバイスから秘密鍵の保管場所をユーザに選択させるための選択画面を前記表示装置に表示させ、
　前記選択画面を表示した場合に前記入力デバイスを用いてユーザが秘密鍵の保管場所として指定するセキュリティデバイスを示す保管場所情報を前記メモリに記憶させ、
　前記通信部により前記サーバに保管場所情報を送信させ、
　前記保管場所情報を送信した前記サーバからの情報を前記表示装置に表示させる、
　ことを実行させるための情報管理プログラム。
　前記インターフェースは、前記携帯端末に装着するセキュリティデバイスに接続するためのインターフェースを含む、
　請求項１８に記載の情報管理プログラム。
　前記インターフェースは、前記携帯端末の外部デバイスとしてのセキュリティデバイスと通信するインターフェースを含む、
　請求項１８に記載の情報管理プログラム。