WO2022202813A1

WO2022202813A1 - 記録媒体の生産方法、装置及びコンピュータプログラム

Info

Publication number: WO2022202813A1
Application number: PCT/JP2022/013169
Authority: WO
Inventors: 健太今井田; 琢磨瀬川; 栄信広川; 建保李; 秀惠黄
Original assignee: 株式会社ミックウェア; 華騰國際科技股▲ふん▼有限公司
Priority date: 2021-03-22
Filing date: 2022-03-22
Publication date: 2022-09-29
Also published as: TW202238542A; JP2022146484A; EP4300330A1; US20240012949A1

Abstract

コンテンツを示すコンテンツ情報と、コンテンツ情報に対するセキュリティのためのセキュリティ情報とが記録された記録領域を有する記録媒体の生産方法を提供する。記録媒体の記録領域には、記録媒体自身を一意に識別する媒体特定情報が予め記録されている。方法は、媒体特定情報とは異なる所与の情報を含む仮セキュリティ情報、及び、コンテンツ情報を記録領域に書き込むステップと、記録領域から媒体特定情報及び仮セキュリティ情報を読み出すステップと、仮セキュリティ情報内の所与の情報を、媒体特定情報に置き換えるステップと、置き換え後の仮セキュリティ情報を暗号化して、セキュリティ情報を生成するステップと、生成したセキュリティ情報を、セキュリティ情報に記録させるステップとを包含する。

Description

記録媒体の生産方法、装置及びコンピュータプログラム

　本発明は、記録媒体の生産方法、装置及びコンピュータプログラムに関する。

　従来、ナビゲーションシステムで使用される地図データにはセキュリティ対策が施されてきた。

　例えば特許文献１は、地図データの不正な使用を禁止することが可能な地図更新システムを開示する。特許文献１では、ユーザは、配信センタから配信される地図データを記録媒体に記録し、その記録媒体をナビゲーション装置に接続することでナビゲーション装置の地図データを更新する。地図データの更新に用いられる記録媒体には、ナビゲーション装置に付与されたユニークな個体ＩＤが予め記録される。ユーザがパソコンに記録媒体をセットすると、パソコンは、記録媒体に記憶されている個体ＩＤを配信センタに送信する。配信センタは、更新用の地図データに当該個体ＩＤを属性データとして付加して更新用の地図データを配信する。更新用の地図データは、パソコンにセットされている記録媒体に書き込まれる。

　記録媒体がパソコンから取り外されてナビゲーション装置にセットされると、当該装置は、記録媒体上の地図データに付加された個体ＩＤと自らの個体ＩＤとが一致するかどうかを判断する。一致する場合には記録媒体上の地図データがハードディスクにコピーされ、一致しない場合にはコピーは禁止される。これにより、更新用の地図データの不正な使用を効果的に防止することが可能となる。

特開２００５‐３３１５７９号公報

　特許文献１の技術では、地図データを更新したいナビゲーション装置の個体ＩＤが予め読み取られてしまうと、更新用の地図データの不正な使用が可能となる。

　本発明の目的は、記録媒体に複製された地図その他のコンテンツの適正な使用を担保するための技術を提供することにある。

　本発明による例示的な実施形態にかかる第１の開示の方法は、コンテンツを示すコンテンツ情報と、上記コンテンツ情報に対するセキュリティのためのセキュリティ情報とが記録された記録領域を有する記録媒体の生産方法である。上記記録領域には、上記記録媒体自身を一意に識別する媒体特定情報が予め記録されている。
　当該方法は、
（ａ）上記媒体特定情報とは異なる所与の情報を含む仮セキュリティ情報、及び、上記コンテンツ情報を、上記記録領域に書き込むステップと、
（ｂ）上記記録領域から上記媒体特定情報及び上記仮セキュリティ情報を読み出すステップと、
（ｃ）上記仮セキュリティ情報内の上記所与の情報を、上記媒体特定情報に置き換えるステップと、
（ｄ）上記所与の情報が上記媒体特定情報に置き換えられた上記仮セキュリティ情報を暗号化して、上記セキュリティ情報を生成するステップと、
（ｅ）上記ステップ（ｄ）で生成された上記セキュリティ情報を、上記記録領域に記録させるステップと
　を包含する。

　第２の開示の生産方法は、第１の開示において、（ｆ）上記仮セキュリティ情報及び上記コンテンツ情報の各々の原本を記録したホスト記録媒体から、上記仮セキュリティ情報及び上記コンテンツ情報を、上記記録媒体とは異なる記録媒体に複製するステップをさらに包含する。当該方法は、上記ステップ（ｆ）の後に上記ステップ（ａ）を実行する。

　第３の開示の生産方法は、第２の開示において、（ｇ）上記ステップ（ａ）によって書き込まれた上記仮セキュリティ情報が、上記仮セキュリティ情報の原本と一致するか否かを検証し、かつ、上記ステップ（ａ）によって書き込まれた上記コンテンツ情報が、上記原本と一致するか否かを検証するステップをさらに包含する。

　第４の開示の生産方法は、第３の開示において、上記ステップ（ｇ）の各検証結果の少なくとも１つが不一致を示す場合にはエラーを報知する。

　第５の開示の生産方法は、第４の開示において、上記エラーが報知された場合、上記ステップ（ｇ）をリトライする。

　第６開示の生産方法は、第３の開示において、上記ステップ（ｇ）による両方の検証結果が一致を示す場合には、上記ステップ（ｂ）から上記ステップ（ｅ）までを実行する。

　第７の開示の生産方法は、第１から第６のいずれかの開示において、（ｈ）上記記録媒体の上記記録領域から上記セキュリティ情報を読み出し、読み出した上記セキュリティ情報内の上記媒体特定情報が、上記ステップ（ｄ）で暗号化された上記媒体特定情報と一致するか否かを検証するステップをさらに包含する。当該方法は、上記ステップ（ｅ）の後に上記ステップ（ｈ）を実行する。

　第８の開示の生産方法は、第７の開示にかかる生産方法である。上記ステップ（ｈ）の検証結果が不一致を示す場合にはエラーを報知する。

　第９の開示の生産方法は、第８の開示にかかる生産方法である。上記エラーが報知された場合、上記ステップ（ｈ）をリトライする。

　第１０の開示の生産方法は、第１から第９のいずれかの開示にかかる生産方法である。上記コンテンツ情報は、上記コンテンツとして地図を示す地図情報である。

　第１１の開示の生産方法は、第１０の開示にかかる生産方法である。上記ステップ（ａ）において書き込まれる上記仮セキュリティ情報は、上記地図情報が使用される車両を特定する車両特定情報、及び、上記地図情報のバージョンを示すバージョン情報をさらに含む。上記ステップ（ｄ）は、上記車両特定情報、及び、上記バージョン情報を暗号化する。

　第１２の開示の生産方法は、第１１の開示にかかる生産方法である。上記仮セキュリティ情報は予め暗号化されている。当該方法は、（ｉ）暗号化されている上記仮セキュリティ情報を復号するステップをさらに包含する。当該方法は、上記ステップ（ｂ）の後に上記ステップ（ｉ）を実行し、かつ、上記ステップ（ｉ）の後に上記ステップ（ｃ）を実行する。

　第１３の開示の生産方法は、第１から第１２のいずれかの開示にかかる生産方法である。上記記録媒体は、ＳＤメモリカードである。上記記録領域は、ユーザがデータを書き換え可能なユーザ領域及び、上記ユーザがデータを書き換え不可能な非ユーザ領域を有している。上記非ユーザ領域には上記媒体特定情報が予め記録されている。上記ステップ（ａ）は、上記ユーザ領域に、上記仮セキュリティ情報及び上記コンテンツ情報を書き込む。上記ステップ（ｂ）は、上記非ユーザ領域から上記媒体特定情報を読み出すためのリードコマンドを上記記録媒体に送信し、上記リードコマンドに応答した上記記録媒体から送信された上記媒体特定情報を取得することによって上記媒体特定情報を読み出し、かつ、上記ユーザ領域から上記仮セキュリティ情報を読み出す。

　第１４の開示の生産方法は、第１から第１３のいずれかの開示において、（ｊ）記録対象の上記記録媒体の用意が完了したことを示す通知を受信するステップをさらに包含する。当該方法は、上記通知を受信した後、上記ステップ（ａ）を実行する。

　第１５の開示の生産方法は、第１４の開示にかかる生産方法である。上記ステップ（ｊ）において受信される上記通知は、複数の上記記録媒体の用意が完了したことを示す信号である。

　第１６の開示の生産方法は、第４、５、８及び９のいずれかの開示にかかる生産方法である。上記記録媒体は複数存在する。上記エラーの報知は、複数の上記記録媒体のうちの、上記検証結果が不一致を示した上記記録媒体を特定する情報を含む。

　本発明による例示的な実施形態にかかる第１７の開示の装置は、外部機器と通信する通信インタフェースと、記憶装置と、演算回路とを備え、上記演算回路を用いて第１の開示から第１６の開示のいずれかの生産方法を実行する装置である。上記記憶装置は、上記コンテンツ情報、及び、上記所与の情報を含む上記仮セキュリティ情報を格納している。
　上記演算回路は、上記信号の受信に応答して、
　　上記記憶装置から上記コンテンツ情報及び上記仮セキュリティ情報を読み出して、上記通信インタフェースを介して上記機能検査装置に送信し、
　　上記機能検査装置に上記ステップ（ａ）及び（ｂ）を実行させ、
　　上記機能検査装置から上記通信インタフェースを介して上記媒体特定情報及び上記仮セキュリティ情報を受信し、
　　上記ステップ（ｄ）を実行し、
　　上記ステップ（ｄ）の実行によって生成された上記セキュリティ情報を、上記通信インタフェースを介して上記機能検査装置に送信し、
　　上記機能検査装置に上記ステップ（ｅ）を実行させる。

　本発明による例示的な実施形態にかかる第１８の開示のコンピュータプログラムは、第１７の開示にかかる装置の上記演算回路に、
　　上記記憶装置から上記コンテンツ情報及び上記仮セキュリティ情報を読み出させる処理と、
　　上記コンテンツ情報及び上記仮セキュリティ情報を、上記通信インタフェースを介して上記機能検査装置に送信させる処理と、
　　上記機能検査装置に上記ステップ（ａ）及び（ｂ）を実行させるための指令を送信させる処理と、
　　上記機能検査装置から上記通信インタフェースを介して上記媒体特定情報及び上記仮セキュリティ情報を受信させる処理と、
　　上記ステップ（ｄ）を実行させる処理と、
　　上記ステップ（ｄ）の実行によって生成された上記セキュリティ情報を、上記通信インタフェースを介して上記機能検査装置に送信させる処理と、
　　上記機能検査装置に上記ステップ（ｅ）を実行させるための指令を送信させる処理と
　を実行させる。

　本発明の例示的な実施形態によれば、記録媒体に複製された地図その他のコンテンツの適正な使用を担保するための技術を提供することが可能になる。

ＳＤメモリカードの構造を示す図ＳＤメモリカードの記録領域を示す図記録媒体を生産する生産システムの構成を示す図ＰＣの構成を示す図地図情報の販売供給元である地図ベンダが行う処理を説明するための図地図ベンダからゴールデンサンプルを受け取った製造者が行う処理を説明するための図ゴールデンサンプルのセキュリティ情報から、各ＳＤメモリカード用のセキュリティ情報を生成する処理を説明するための図ＳＤテスタに装填された複数枚のＳＤメモリカードの配置例を示す図各ＳＤメモリカードに記録される情報の変遷を示す図ＰＣによって行われる処理の手順を示すフローチャート図１０のステップＳ１２の詳細な処理の手順を示すフローチャート図１０のステップＳ１６の詳細な処理の手順を示すフローチャート

　以下、適宜図面を参照しながら、実施の形態を詳細に説明する。但し、必要以上に詳細な説明は省略する場合がある。例えば、既によく知られた事項の詳細説明や実質的に同一の構成に対する重複説明を省略する場合がある。これは、以下の説明が不必要に冗長になるのを避け、当業者の理解を容易にするためである。

　なお、本発明者らは、当業者が本開示を十分に理解するために添付図面および以下の説明を提供するのであって、これらによって特許請求の範囲に記載の主題を限定することを意図しない。

　まず、本発明者らが本発明を完成させるにいたった経緯を説明し、その後、本発明を構成する記録媒体の生産方法及び装置等を説明する。
　本発明者らは、ＳＤ（Secure Digital）メモリカードを利用して、カーナビゲーション装置が利用する既存の地図情報を更新する用途を想定して開発を進めた。ＳＤメモリカードには更新用の地図情報が予め格納されており、ユーザは当該ＳＤメモリカードをカーナビゲーション装置に装填して既存の地図情報を更新する。本発明者らは、更新用の地図情報が地図提供者以外の者によって複製された場合でも、当該地図情報を使用できないようにするための方策を検討した。以下、その方策を具体的に説明する。

　なお、地図情報は更新用であることに限定される必要はない。そこで以下では、更新用であるか否かにかかわらず、地図を示す情報を「地図情報」と記述する。ここでいう地図は、例えば世界のいずれかの国または地域の地図、当該国または地域の一部の地図、または、所定の時期以降に変更があった地域のみの更新用の地図のいずれであってもよい。また、以下ではＳＤメモリカードを例として挙げながら説明するが、ＳＤメモリカードであることは必須ではなく、任意の記録媒体を採用し得る。

　［ＳＤメモリカードの構成］
　本発明者らが検討した方策は、ＳＤメモリカードに記録された、各ＳＤメモリカードに固有に付与された情報を利用する。そこで、まずＳＤメモリカードの構造を、図１を用いて説明する。なお、以下では、インタフェース（interface）という語を「Ｉ／Ｆ」と記述する。
　ＳＤメモリカード１００は、ピンＩ／Ｆ１０１と、Ｉ／Ｆドライバ１０２と、Ｉ／Ｆコントローラ１０３と、パワーオン検出部１０４と、レジスタ群１０５と、フラッシュメモリコントローラ１０６と、フラッシュメモリ１０７とを有している。

　ピンＩ／Ｆ１０１は、９本のピンを含む。９本のピンは、例えばデータ入出力用ピン、カード検出用ピン、グランド用ピン、電源用ピン、クロック信号用ピンを含む。ユーザの指が直接ピンに触れることを回避するため、９本のピンの各々は不図示のガードによって仕切られている。

　Ｉ／Ｆドライバ１０２は、ＳＤメモリカード１００が使用されるホスト機器からのコマンドまたは指令、及びデータを受信して適切なデータ形式に変換する。ホスト機器とは、ＳＤメモリカード１００が装填される機器、例えばカーナビゲーション装置、ＰＣである。またＩ／Ｆドライバ１０２は、フラッシュメモリ１０７内のデータやレジスタの情報を読み出して適切なデータ形式に変換し、ピン群１０１を介してホスト機器に送信する。なお、ＳＤメモリカード１００とホスト機器とのデータの送受信は、ホスト機器から供給されるクロック信号に同期して行われる。

　Ｉ／Ｆコントローラ１０３は、ＳＤメモリカード１００を構成する種々の要素と接続されている。Ｉ／Ｆコントローラ１０３は、例えばＩ／Ｆドライバ１０２と接続されており、Ｉ／Ｆドライバ１０２が上述の動作を行うようＩ／Ｆドライバ１０２に指令を与える。またＩ／Ｆコントローラ１０３は、レジスタ群１０５、パワーオン検出部１０４、フラッシュメモリコントローラ１０６とも接続され、それぞれと通信可能である。

　パワーオン検出部１０４は、ＳＤメモリカード１００がホスト機器に装着されることによってホスト機器と接続されると共に電源がＯＮ状態になっているかどうかの判別を行う。

　レジスタ群１０５は複数のレジスタから構成される。例えばレジスタ群１０５は、ＣＩＤ（Card IDentification）レジスタ１０５ａを有する。ＣＩＤレジスタ１０５ａには、あらゆるＳＤメモリカードを一意に識別可能な情報が予め格納されている。このような情報を本明細書では「ＣＩＤ」または「媒体特定情報」と記述する。なお、「予め」とは、ＳＤメモリカード１００の製造者が製造を完了させた時点で、という意味である。本実施形態との関係では、地図情報の販売供給元である地図ベンダによって、地図情報がＳＤメモリカード１００に記録される時点では、ＣＩＤは既にＳＤメモリカード１００に格納されている。以下では、ＳＤメモリカード１００の製造者を、単に「製造者」と記述する。

　ＣＩＤは種々の情報の集合である。例えばＣＩＤは、ＳＤメモリカード１００の製造者を識別するＩＤ（IDentification）、その製品の名称、リビジョン、シリアル番号および製造日の情報を含む。ＣＩＤは、製造者によって各ＳＤメモリカード１００に書き込まれた後はもはや変更されることはなく、読み出されるのみである。ホスト機器は特別な指令をＳＤメモリカード１００に送信することによってＣＩＤを読み出すことができる。

　フラッシュメモリコントローラ１０６は、フラッシュメモリ１０７にデータを書き込む制御を行い、またフラッシュメモリ１０７からデータを読み出す制御を行う。

　フラッシュメモリ１０７は、例えば１２８ＧＢ（ギガバイト）の大容量の記録可能領域を有しており、コンテンツの情報を記憶する。「コンテンツ」とは、地図、音楽、映像であり得る。ＳＤメモリカード１００がカーナビゲーション装置で利用される場合、コンテンツは、オービスの最新の設置位置データ、カーナビゲーション装置または自動車のシステムの動作を制御するＯＳ（Operation System）のアップデートデータを含み得る。本明細書では、このようなコンテンツを示す情報を「コンテンツ情報」と記述する。なお本明細書では、理解の便宜のため地図情報を例示しながら説明する。

　ＳＤメモリカード１００の記録領域１２０を図２に示している。記録領域１２０は、非ユーザ領域１２１と、ユーザ領域１２２とに大別し得る。さらに、非ユーザ領域１２１は、ファームウェア領域１２１ａと、管理領域１２１ｂとを含む。

　非ユーザ領域１２１にはユーザが書き換え不可能な情報が記録され、ユーザ領域１２２にはユーザが書き換え可能な情報が記録される。図示される態様とは異なり、現実には、記録領域１２０は連続したメモリ空間として設けられている必要はない。書き換え不可能な情報が記録される記録領域を、概念的に「非ユーザ領域１２１」と呼び、書き換え可能な情報が記録される記録領域を、概念的に「ユーザ領域１２２」と呼ぶに過ぎない。製造者の工場においてＳＤメモリカード１００が適切に動作することが確認された後は、ＳＤメモリカード１００には図２に記載の記録領域１２０が形成されている。

　非ユーザ領域１２１のファームウェア領域１２１ａには、ファームウェアが記録される。ファームウェアは、フラッシュメモリコントローラ１０６を動作させるためのプログラムである。管理領域１２１ｂには、種々の管理情報が記録されている。管理情報は、レジスタ群１０５を構成する種々のレジスタに記録された情報を含む。すなわち、種々のレジスタは管理領域１２１ｂを構成する。上述のＣＩＤは管理情報の一例である。

　ユーザ領域１２２はフラッシュメモリ１０７内に確保される領域である。ユーザ領域１２２には地図情報等が読み書き可能に記録される。

　ＳＤメモリカード１００と接続されたホスト機器は、ユーザ領域１２２のデータを随時読み出し可能であるが、非ユーザ領域１２１には通常アクセスできない。非ユーザ領域１２１にアクセスできるのは、非ユーザ領域１２１のうちの管理領域１２１ｂに記録された管理情報を読み出すための指令が実装されたホスト機器のみである。例えばＳＤメモリカード１００の製造者は、そのような指令が実装されたホスト機器であるＰＣを所有している。

　いま、地図情報を正規の流通経路で頒布する態様として、地図ベンダが、地図情報が記録されたＳＤメモリカード１００を販売することを考える。地図情報はＳＤメモリカード１００のユーザ領域１２２に記録されているため、ＰＣ等を利用することで技術的には容易に他のＳＤメモリカードにコピーされ得る。そのようにコピーされた地図情報を不正に使用されないようにする必要がある。本発明者らは、地図情報と、当該地図情報が記録されたＳＤメモリカード１００とを紐付ける方法を検討した。互いに紐付けられたＳＤメモリカード１００から読み出された地図情報の使用は許可し、そうでない地図情報の使用を制限する。このような動作を保証するための仕組みが必要である。

　そこで本発明者らは、地図情報が記録される各ＳＤメモリカード１００のＣＩＤ等を暗号化したセキュリティ情報を生成し、そのセキュリティ情報を利用して地図情報の使用の許否を判定する、という仕組みを導入することとした。カーナビゲーション装置には、装填された記録媒体のＣＩＤを読み出す指令を実装し、その指令を用いて読み出したＣＩＤとその地図情報において暗号化されているＣＩＤとが一致するか否かを判定させる。そして一致する場合のみ、カーナビゲーション装置は地図情報の利用を許可する。

　上記対策は一見すると容易に実現するように思われるが、実際には大きな問題が存在する。その問題とは、地図ベンダは、頒布する多数のＳＤメモリカードのＣＩＤを読み出すことができないため、自身でそのＣＩＤ等を暗号化したセキュリティ情報を作成できない、ということである。
　上記問題を回避するため、本発明者らは以下のような対策を採用した。

　（１）ＣＩＤが予め判明している特定の記録媒体を地図ベンダが用意する。地図ベンダは、当該ＣＩＤを含むセキュリティ情報を生成する。セキュリティ情報は、少なくとも当該ＣＩＤを含む。地図ベンダは、そのようなセキュリティ情報を暗号化し、または暗号化せず、仮のセキュリティ情報として地図情報とともに製造者に提供する。「仮」と呼ぶ理由は、次に説明されるように、当該セキュリティ情報が個々の記録媒体のＣＩＤ等に応じて書き換えられることを想定しているからである。以下、仮のセキュリティ情報を「仮セキュリティ情報」と呼ぶ。

　（２）製造者は、仮セキュリティ情報を読み出す。そして、仮セキュリティ情報が暗号化されている場合には、製造者は予め用意された手順または復号プログラムで復号する。

　（３）製造者は、多数のブランクのＳＤメモリカード１００を用意している。製造者は、各ＳＤメモリカード１００のＣＩＤを読み出すことが可能である。地図ベンダから提供された仮セキュリティ情報中のＣＩＤを、地図情報を記録しようとする個々のＳＤメモリカード１００のＣＩＤに置き換える。そして、ＣＩＤを特定のＳＤメモリカード１００のＣＩＤに置き換えた後の仮セキュリティ情報を暗号化する。この結果、そのＳＤメモリカード１００固有のＣＩＤを含む「セキュリティ情報」が生成される。つまり、この時点で、「仮セキュリティ情報」が本来必要とされる「セキュリティ情報」に変換されたと言える。カーナビゲーション装置に、装填された記録媒体のＣＩＤを読み出す指令を実装し、その指令を用いて読み出したＣＩＤと、暗号化されたセキュリティ情報内のＣＩＤとが一致するか否かを判定させる。そして一致する場合のみ、カーナビゲーション装置は地図情報の利用を許可する。

　上述の仮セキュリティ情報は、地図情報が使用される車両を特定する車両特定情報、及び、地図情報のバージョンを示すバージョン情報をさらに含んでもよい。なお、ＳＤメモリカード１００が販売されない状況では、地図情報が実際に使用される車両を特定できない場合、すなわち車両特定情報を決定できない場合もあり得る。そのような場合は、全てのＳＤメモリカード１００に共通の車両特定情報を割り当ててもよい。そのような共通の車両特定情報は、販売後、各ユーザの車両に使用された時点以降の所定のタイミングで、その車両を一意に特定する車両特定情報に書き換えられてもよい。

　上記（３）の過程では、製造者が、個々のＳＤメモリカード１００のＣＩＤを暗号化する必要が生じる。地図ベンダにとっては、暗号化方法はセキュリティの根幹に関わるため、その具体的な暗号化方法の社外への開示は可能な限り控えたい。また、暗号化されたＣＩＤの復号方法の社外への開示も可能な限り控えたい。そこで地図ベンダは、具体的な仕様を開示することなく、暗号化を行うためのソフトウェアまたはライブラリを製造者に提供する。ライブラリによって行われている具体的な暗号化処理は通常容易には知られ得ないため、地図ベンダにとっては、保持したい暗号化方法の具体的な開示を避けることができる。上記（２）の過程において、復号する必要がある場合も同様に復号を行うためのソフトウェアまたはライブラリを製造者に提供しておけばよい。

　一方、製造者にとっても、各ＳＤメモリカード１００のＣＩＤ自体、またはＣＩＤを読み出すための指令の社外への開示を避けることができる。これにより、双方の事業に配慮しつつ、個々のＳＤメモリカード１００のＣＩＤを暗号化することができる。

　上述の仕組みを導入することにより、仮に、上記（２）の過程で作成されたセキュリティ情報が窃取等されて外部に漏洩したとしても、他のＳＤメモリカード１００に記録された地図情報の不正な使用を回避できる。漏洩したセキュリティ情報を利用しても、そのセキュリティ情報内のＣＩＤと、他のＳＤメモリカードのＣＩＤとが一致せず、任意のＳＤメモリカード１００で地図情報を利用することはできないからである。また、ＣＩＤを読み出すための指令、及び、ＣＩＤを利用して新たなセキュリティ情報を作成するための暗号化方法も一般には入手できない。よって、任意のＳＤメモリカード１００に正当なセキュリティ情報を書き込むことができない。
　以上の方法により、ＳＤメモリカード１００に記録されて頒布される地図情報の不正な使用を防ぐ仕組みを提供することが可能になる。

　以下、本発明の例示的な実施形態を説明する。
１．［実施形態］
　以下、添付の図面を参照しながら、本開示の例示的な実施形態を説明する。
　［生産システムの構成］
　まず、記録媒体を生産する生産システム１の構成を、図３を用いて説明する。

　生産システム１は、ＰＣ２と、ディスプレイ４と、機能検査装置６と、インジケータ８とを備えている。

　ＰＣ２は、後述のフローチャートに記載された処理を実行するコンピュータシステムである。ＰＣ２の具体的な構成は図４を参照しながら後述する。ＰＣ２は、他の形態のコンピュータ、例えば、ワークステーションやタブレット端末であってもよい。ＰＣ２には後述のＵＳＢ（Universal Serial Bus）ドングル２４が接続され得る。本実施形態において、ＵＳＢドングル２４にはＰＣ２によって実行される暗号化プログラムが記録されている。ディスプレイ４はＰＣ２と接続されて、ＰＣ２から出力される映像情報を表示する。

　機能検査装置６は、ＰＣ２と接続され、ＰＣ２とともにＳＤメモリカード１００を検査するために用いられる。機能検査装置６は、セントラルボード１０と、テスタ台１２と、ＳＤテスタ１４とを有している。セントラルボード１０及びＳＤテスタ１４は、テスタ台１２の上に配置される。

　機能検査装置６のセントラルボード１０は、ＰＣ２及びインジケータ８と接続され、ＰＣ２からの指令に従って、ＳＤテスタ１４に装填されたＳＤメモリカード１００の機能を検査する。セントラルボード１０とＰＣ２とは、例えばＵＳＢケーブル１８を介して接続される。また、セントラルボード１０とインジケータ８とは、例えばＲＪ４５ケーブル２０を介して接続される。さらにインジケータ８とＰＣ２とは、例えばＵＳＢケーブル２２を介して接続される。

　機能検査装置６のＳＤテスタ８には複数の端子が設けられている。ＳＤメモリカード１００がＳＤテスタ１４に装填されると、ＳＤテスタ１４の各端子がピンＩ／Ｆ１０１（図１）の各ピンと通信可能に接続される。

　ＳＤメモリカード１００の機能検査の概要は以下の通りである。まず、ＳＤメモリカード１００が装填されると、装填を検出することによって自動的に、またはユーザの操作により、機能検査装置６のセントラルボード１０は、記録媒体の用意が完了したことを示す通知をＰＣ２に送信する。通知を受信したＰＣ２は、セントラルボード１０に書き込み指令または読み出し指令を送信する。指令の内容に応答して、セントラルボード１０は、ＳＤテスタ１４の各端子及びＳＤメモリカード１００の各ピンを介して、ＳＤメモリカード１００に情報を書き込み、またはＳＤメモリカード１００に書き込まれた情報を読み出す。セントラルボード１０は、読み出した情報をＰＣ２に送る。ＰＣ２は、ＳＤテスタ８から受け取った情報が、書き込みを指示した情報と一致しているか否かを検証する。検証結果が一致している場合は、ＳＤメモリカード１００への情報の記録及びＳＤメモリカード１００からの情報の読み出しが正しく行われている。一方、検証結果が一致していない場合は、ＳＤメモリカード１００における情報の記録または読み出しの少なくとも一方が正しく行われていない。このような検証動作を、ＳＤメモリカード１００の動作検証と呼ぶ。

　なお、本実施形態において、ＳＤテスタ１４は、ＳＤメモリカード１００を複数枚装填するための不図示の配置枠を有する。例えば、ＳＤテスタ１４の配置枠には４行×８列の合計３２枚のＳＤメモリカード１００が装填され、各ＳＤメモリカード１００について独立して上述の動作検証が行われ得る。個々のＳＤメモリカード１００の動作検証の結果、検証結果が一致していないＳＤメモリカード１００が存在する場合、ＰＣ２または機能検査装置６はインジケータ８を利用してエラーを報知する。

　インジケータ８は複数の点光源１６を有するボード状の装置である。各点光源１６は、例えばＬＥＤ（Light Emitting Diode）、白熱電球である。図３に示すように、複数の点光源１６はＳＤテスタ１４の配置枠の行数及び列数と同じ行数及び列数で配置されている。インジケータ８は、上述の検証結果が一致していないＳＤメモリカード１００の位置に対応する位置の点光源１６を点灯させることにより、生産システム１のユーザにエラーを報知する。例えば、ＳＤテスタ１４の配置枠の第２行第３列に装填されたＳＤメモリカード１００の検証結果が一致しなかった場合、インジケータ８は、ＰＣ２または機能検査装置６からの信号により、第２行第３列の点光源１６を点灯させる。点光源１６の点灯方法は任意である。例えば、点光源１６を消灯状態から点灯状態へ変化させてもよいし、点滅させてもよい。

　次に、ＰＣ２の構成を、図４を用いて説明する。
　ＰＣ２は、図４に示すように、演算回路２０２と、記憶装置２０４と、通信Ｉ／Ｆ２０６とを有している。演算回路２０２は、ＰＣ２に実装されたコンピュータであり、いわゆるＣＰＵと呼ばれる半導体集積回路である。以下、演算回路２０２を「ＣＰＵ２０２」と記述する。通信Ｉ／Ｆ２０６は、例えばＵＳＢ（登録商標）および／またはイーサネット（登録商標）などの通信規格に準拠する通信を行うための端子である。図４には、通信Ｉ／Ｆ２０６であるＵＳＢ端子に接続されるＵＳＢドングル２４、及び、ＵＳＢケーブル１８及び２２が例示されている。ＰＣ２は、例えばＩＥＥＥ８０２．１１規格に準拠した無線通信を行ってもよい。その場合、通信Ｉ／Ｆ２０６は、無線通信回路であり得る。

　記載の便宜のため、以下ではＰＣ２またはＣＰＵ２０２が、機能検査装置６及びインジケータ８等の外部機器との間で情報の授受を行うと説明する。ただし実際には、ＣＰＵ２０２が当該外部機器に情報を送信し、当該外部機器から情報を受信するよう、通信Ｉ／Ｆ２０６に指示し、または通信Ｉ／Ｆ２０６を制御している。

　記憶装置２０４はＲＡＭ(Random Access Memory)、ＲＯＭ(Read Only Memory)、および／または、ハードディスクドライブ等の二次記憶装置、である。記憶装置２０４は、コンピュータプログラム２０４ａを記憶している。例えば、記憶装置２０４であるＲＯＭは、コンピュータプログラム２０４ａを記憶する。コンピュータプログラム２０４ａは、ＣＰＵ２０２によって読み出され、同じく記憶装置２０４であるＲＡＭに展開される。これにより、ＣＰＵ２０２はコンピュータプログラム２０４ａを実行することができる。以下に説明するＰＣ２の動作は、ＰＣ２にインストールされ、実行されるコンピュータプログラム２０４ａによって実現される。

　なお、記憶装置２０４には、後述の地図情報及びセキュリティ情報も記憶される。地図情報はコンテンツ情報の一例であり、ＳＤメモリカード１００に格納されて頒布される。セキュリティ情報は、地図情報の使用許否を判断するために用いられる情報であり、少なくとも特定のＳＤメモリカード１００のＣＩＤを所定の暗号化方法で暗号化することによって生成される。本実施形態では、セキュリティ情報にはＣＩＤの他、車両特定情報の初期値、及び、地図情報のバージョンを示すバージョン情報が暗号化されて含められている。暗号化処理の具体的な説明は後述する。

　なお、「車両特定情報」は、地図情報が使用される車両を特定する情報であり、例えば車台番号、ＶＩＮ（vehicle identification Number）、車両に搭載した機器の製造番号などを利用できる。ただし、ＳＤメモリカード１００の出荷時には、各ＳＤメモリカード１００がどの車両で使用されるかは決定され得ない。つまり、地図ベンダ及び製造者は、車両特定情報を決定し得ない。そこで、セキュリティ情報には予め定められた車両特定情報の初期値が記述されている。当該初期値は、将来、特定の車両で使用が開始された後にその車両の車両特定情報に書き換えられる。車両特定情報、ＣＩＤ及びバージョン情報は、暗号化された１つのファイルとしてＳＤメモリカード１００に書き込まれる。当該ファイルは、「車両特定ファイル」とも呼ばれ得る。

　［地図ベンダにおけるゴールデンサンプルの生産処理］
　次に、地図情報の販売供給元である地図ベンダが行う処理を、図５を用いて説明する。
　地図ベンダは、地図を示す地図情報と、当該地図の使用許否を判断するために用いられるセキュリティ情報とを製造者に送る。このとき地図ベンダが行う処理及び処理の手順が図５に示されている。

　まず、地図ベンダは、ＣＩＤが判明している特定のＳＤメモリカードを準備する。図５では、既知のＣＩＤ－Ｇ３００が記録されたＳＤメモリカード１００Ｇとして記載されている。そのようなＳＤメモリカード１００Ｇは、例えば製造者から地図ベンダにＣＩＤ３００を示す情報とともに特に提供されたＳＤメモリカード１００であり得る。

　図５の処理（１）では、地図ベンダのＰＣ２００に、ＣＩＤ－Ｇ３００が入力されている様子を示している。併せて処理（１）では、地図ベンダのＰＣ２００に、車両特定情報３０２、地図バージョン情報３０４、及び地図情報３０６が入力されていることも示されている。上述のとおり、車両特定情報３０２は予め定められた初期値である。なお、地図ベンダのＰＣ２００のハードウェア構成は、図４と同等であるため、図示は省略する。

　図５の処理（２）では、地図ベンダのＰＣ２００は、ＣＩＤ－Ｇ３００、車両特定情報３０２及び地図バージョン情報３０４を所定の暗号化方法で暗号化する。暗号化方法として、例えば、予め用意された秘密鍵を利用する可逆の暗号化方法、製造者から予め取得した公開暗号鍵を利用する可逆の暗号化方法、ハッシュ関数を利用する不可逆の暗号化方法を採用し得る。上述の予め用意された秘密鍵及びハッシュ関数は地図ベンダ及び製造者の間で事前に共有されている。秘密鍵は共通鍵とも呼ばれ得る。なお、ＣＩＤ－Ｇ３００、車両特定情報３０２及び地図バージョン情報３０４を暗号化することは必須ではない。

　暗号化処理により、仮セキュリティ情報３０８が生成される。仮セキュリティ情報３０８は、それぞれ暗号化された、ＣＩＤ－Ｇ３０８ａ、車両特定情報３０８ｂ及び地図バージョン情報３０８ｃを含む。図５及び図６以降の図面では、暗号化されていることを示すため、情報の名称に「＊」を付している。

　次に、地図ベンダのＰＣ２００は処理（３）を実行する。処理（３）では、地図ベンダのＰＣ２００は、ＳＤメモリカード１００Ｇのユーザ領域１２２（図２）に、地図情報３０６及び生成した仮セキュリティ情報３０８を複製する。これにより、ＳＤメモリカード１００Ｇには、地図情報３０６の他、自身を一意に識別するＣＩＤ－Ｇ３００と、仮セキュリティ情報３０８とが記録されている状態になる。この時点では、ＣＩＤ－Ｇ３００と、仮セキュリティ情報３０８内のＣＩＤ－Ｇ３０８ａとは一致するため、ＳＤメモリカード１００Ｇは正当なＳＤメモリカードであると言える。処理（３）によって得られたＳＤメモリカード１００Ｇは、「ゴールデンサンプル」とも呼ばれる。また本明細書では、メモリカード１００Ｇを「ホスト記録媒体」と呼ぶことがある。

　製造業において用いられる「ゴールデンサンプル」という語は、製品の製造者によって作成された最終的な製品のサンプルを言う。一方、本明細書でいう「ゴールデンサンプル」は、厳密には最終的な製品のサンプルではない。後述のように、ＳＤメモリカード１００Ｇの内容がそのまま消費者に頒布されるのではないからである。各消費者に販売される各ＳＤメモリカード１００では、各ＣＩＤを利用して、セキュリティ情報３０８中の暗号化されたＣＩＤ－Ｇ３０８ａが書き換えられて頒布される。

　そのような事情に鑑みると、ゴールデンサンプルに含まれる仮セキュリティ情報３０８内に、ＣＩＤ－Ｇ３０８ａが含まれていることは必須ではなく、任意のダミーデータであってもよい。暗号化されていることも必須ではない。例えば、ＳＤメモリカード１００ＧのＣＩＤ－Ｇ３００のビット数と同じビット数を有する任意のデータであればよい。最終的には、消費者に頒布される際のＳＤメモリカード１００上で、非ユーザ領域に記録されたＣＩＤと、セキュリティ情報内の暗号化されたＣＩＤとが対応していればよいからである。

　最後に、処理（４）において、地図ベンダは得られたＳＤメモリカード１００Ｇを製造者に送付する。

　［製造者におけるＳＤメモリカードの生産処理］
　次に、地図ベンダによる処理（４）に続けて、地図ベンダからゴールデンサンプルを受け取った製造者側の処理（５）～（１０）を、図６を用いて説明する。製造者は、図３に示すＰＣ２を利用して不特定多数のＳＤメモリカード１００に地図情報を複製し、各ＳＤメモリカード１００のＣＩＤを暗号化したセキュリティ情報を記録して、最終製品であるＳＤメモリカードを生産する。

　処理（５）において、製造者のＰＣ２は、地図ベンダから入手したＳＤメモリカード１００Ｇから、地図情報３０６及び仮セキュリティ情報３０８を読み出して記憶装置２０４に格納する。すなわちＰＣ２は、地図情報３０６及び仮セキュリティ情報３０８を、ホスト記録媒体であるＳＤメモリカード１００Ｇから、後述のＳＤメモリカード１００Ａとは異なる記録媒体である記憶装置２０４に複製する。

　処理（６）において、ＰＣ２は、製造者が用意した新たなＳＤメモリカード１００Ａに、ＰＣ２に格納されている地図情報３０６及び仮セキュリティ情報３０８を複製する。ＳＤメモリカード１００Ａの管理領域１２１ｂには、そのＳＤメモリカード１００ＡのＣＩＤ－Ａ３２０が記録されている。この時点では、仮セキュリティ情報３０８内に存在するのは暗号化されたＣＩＤ－Ｇ３０８ａ、車両特定情報３０８ｂ及び地図バージョン情報３０８ｃである。

　なお、ＳＤメモリカード１００Ａは、機能検査装置６（図３）のＳＤテスタ１４に装填されている。ＰＣ２による、ＳＤメモリカード１００Ａに対する情報の書き込みおよび／または読み出しの操作はセントラルボード１０を介して行われる。記載の簡略化のため、以下ではセントラルボード１０を介して行われるという記載は省略し、ＰＣ２が情報を読み出し、書き込むなどと記述する。

　処理（７）において、ＰＣ２は、ＳＤメモリカード１００Ａに格納されていた仮セキュリティ情報３０８を復号する。その結果、復号されたＣＩＤ－Ｇ３０８ａ、車両特定情報３０８ｂ及び地図バージョン情報３０８ｃが得られる。

　次に、処理（８）において、ＰＣ２は、ＳＤメモリカード１００ＡからＣＩＤ－Ａ３２０を読み出す。具体的には、ＰＣ２は、自身が知っているＣＩＤを読み出すための指令をＳＤメモリカード１００Ａに送信して、ＣＩＤ－Ａ３２０を取得する。そして処理（７）において得られていた、復号されたＣＩＤ－Ｇ３０８ａを、読み出したＣＩＤ－Ａ３２０で置き換える。その結果、ＣＩＤ－Ａ３２０、車両特定情報３０８ｂ及び地図バージョン情報３０８ｃを含むセキュリティ情報３２２が得られる。

　セキュリティ情報３０８からセキュリティ情報３２２を生成する処理を、図７を用いてより具体的に説明する。

　同じ製造者が製造したＳＤメモリカード１００Ｇ及びＳＤメモリカード１００Ａであれば、ＣＩＤ－Ｇ３００及びＣＩＤ－Ａ３２０は同じビット数の数値列で表現されているという前提を置くことができる。そのため、復号されたセキュリティ情報３０８内のＣＩＤ－Ｇ３０８ａの先頭ビット位置に、読み出されたＣＩＤ－Ａ３２０の先頭ビットを配置し、以降、ＣＩＤ－Ｇ３０８ａをＣＩＤ－Ａ３２０で置き換えていくと、もとのＣＩＤ－Ｇ３０８ａと１ビットもずれることなく、ＣＩＤ－Ａ３２０に置き換えることができる。仮セキュリティ情報３０８のＣＩＤ－Ｇ３０８ａが、ＣＩＤ－Ａ３２０に書き換えられると、ＳＤメモリカード１００Ａ固有のセキュリティ情報３２２が得られる。

　なお、上述の説明では、セキュリティ情報３０８が復号される例を挙げたが、暗号化された状態でも書き換えは可能である。例えば、暗号化された仮セキュリティ情報３０８内で、ＣＩＤ－Ｇ３００、車両特定情報３０８ｂ及び地図バージョン情報３０８ｃがそれぞれ分離可能に存在し、かつ、それぞれの先頭ビット位置及びデータ長が固定されている場合である。ＣＩＤ－Ａ３２０は読み出されて予め暗号化されている。ＰＣ２は、ＣＩＤ－Ｇ３０８ａの先頭ビット位置から、暗号化されたＣＩＤ－Ａ３２０を書き込めばよい。ただしこのとき、暗号化されたＣＩＤ－Ｇ３００及びＣＩＤ－Ａ３２０のデータ長も一致している必要がある。このような処理によっても、暗号化されたＣＩＤ－Ｇ３０８ａと１ビットもずれることなく、暗号化されたＣＩＤ－Ａ３２２ａに書き換えることができる。セキュリティ情報３０８の暗号化されたＣＩＤ－Ｇ３０８ａが、暗号化されたＣＩＤ－Ａ３２２ａに書き換えられると、セキュリティ情報３２２が得られる。

　再び図６を参照する。
　処理（９）において、ＰＣ２は、地図ベンダから指定された暗号化方法で、セキュリティ情報３２２を暗号化する。例えば、地図ベンダは製造者に、予め定めた暗号化方法による暗号化を行うためのソフトウェアまたはライブラリを記憶させたＵＳＢドングル２４を提供しておく。ＰＣ２が、セキュリティ情報３２２をソフトウェアまたはライブラリに入力すると、その処理の結果として、暗号化されたセキュリティ情報３２２が出力される。ＰＣ２は、ＳＤメモリカード１００Ａに既に存在している仮セキュリティ情報３０８を、暗号化したセキュリティ情報３２２に書き換える。地図情報３０６はそのまま維持され、また書き換え不可の非ユーザ領域１２１に記録されているＣＩＤ－Ａ３２０もそのまま維持されている。地図情報３０６はそのまま維持され、また書き換え不可の非ユーザ領域１２１に記録されているＣＩＤ－Ａ３２０もそのまま維持されている。これにより、ＳＤメモリカード１００Ａには、ＣＩＤ－Ａ３２０、地図情報３０６及び暗号化されたセキュリティ情報３２２が記録されている。
　上述のＰＣ２の動作により、製造者側で新たに用意されたＳＤメモリカード１００Ａのセキュリティ情報３２２には、そのＳＤメモリカード１００ＡのＣＩＤ－Ａ３２０が含まれることになる。これにより、そのＳＤメモリカードのＣＩＤが暗号化されてセキュリティ情報に含まれている場合にのみ、地図情報３０６の使用を許可する仕組みを実現できる。地図情報３０６が複製等されたとしても、地図情報３０６の不正な使用を回避できる。

　なお、上述したセキュリティ情報３２２を作成する処理（７）から（９）は一例であり、種々の変形例が考えられる。例えばＰＣ２は、処理（７）によって得られたセキュリティ情報３０８から車両特定情報３０８ｂ及び地図バージョン情報３０８ｃを抽出する。ＰＣ２は、ＣＩＤ－Ａ３２０と、車両特定情報３０８ｂと、地図バージョン情報３０８ｃとを、例えば図６に示すような順序でメモリ上に配置してセキュリティ情報３２２を作成する。そしてＰＣ２は、セキュリティ情報３２２を暗号化して、ＳＤメモリカード１００Ａ内のセキュリティ情報３０８を、暗号化したセキュリティ情報３２２に書き換えてもよい。

　上述の処理及びその変形例は、結論として処理（６）によって得られたＳＤメモリカード１００Ａ内の暗号化された仮セキュリティ情報３０８が、暗号化されたセキュリティ情報３２２に書き換えられていると言える。上述した処理以外の方法を採用したとしても、暗号化された仮セキュリティ情報３０８が、暗号化されたセキュリティ情報３２２に書き換えられている場合には、本発明の範疇である。

　上述の処理は、便宜上、１枚のＳＤメモリカードのみを用いて説明した。機能検査装置６には複数枚のＳＤメモリカード１００を装填可能であり、その各々に独立かつ並列的に情報を書き込んだり、読み出したりできる。例えば、ＳＤテスタ１４に装填された複数枚のＳＤメモリカード１００Ａ～１００Ｚの配置例が図８に示されている。また、各ＳＤメモリカード１００Ａ～１００Ｚに記録される情報の変遷が、図９に示されている。

　ＳＤメモリカード１００Ａ～１００Ｚは、各ユーザ領域１２２に情報が存在しない状態、すなわちブランク状態４０２にある。上述の処理により、ＳＤメモリカード１００Ａ～１００Ｚの各ユーザ領域１２２には、共通の地図情報３０６及び仮セキュリティ情報３０８が記録される。その結果、ＳＤメモリカード１００Ａ～１００Ｚは、ゴールデンサンプルを単に複製した状態４０４に遷移する。その後、各ＳＤメモリカード１００Ａ～１００Ｚの仮セキュリティ情報３０８は、各ＳＤメモリカード１００Ａ～１００ＺのＣＩＤに応じたセキュリティ情報３２２、３２４、・・・、３２６に書き換えられる。その結果、ＳＤメモリカード１００Ａ～１００Ｚごとのセキュリティ情報３２２、３２４、・・・、３２６が記録された状態４０６に遷移する。

　このように、ＳＤテスタ１４に装填された全てのＳＤメモリカードについて、個々のＣＩＤに応じたセキュリティ情報に書き換えることができる。

　次に、上述したＰＣ２の処理を、図１０を用いて説明する。なお、以下では上述のＣＩＤを「媒体特定情報」と記述し、ＳＤメモリカードを単に「カード」と記述する。

　ステップＳ１０において、ＰＣ２のＣＰＵ２０２は、機能検査装置６から、全てのカードの用意が完了したことを示す信号を受信する。次のステップＳ１１において、ＣＰＵ２０２は、ゴールデンサンプルのコンテンツ情報、及び仮セキュリティ情報を機能検査装置６に送信する。

　ステップＳ１２において、ＣＰＵ２０２は、機能検査装置６に指令を送信し、ゴールデンサンプルのコンテンツ情報、及び仮セキュリティ情報を、各カードのユーザ領域に書き込ませる。本ステップのより具体的な処理は後述する。

　ステップＳ１３において、ＣＰＵ２０２は、機能検査装置６に、仮セキュリティ情報及び媒体特定情報の読み出しを要求する司令を送信する。これにより、ＣＰＵ２０２は機能検査装置６に、各カードのユーザ領域から仮セキュリティ情報を読み出させ、非ユーザ領域から媒体特定情報を読み出させて、各仮セキュリティ情報及び媒体特定情報をＰＣ２に送信させる。ステップＳ１４において、ＣＰＵ２０２は、機能検査装置６から各仮セキュリティ情報及び媒体特定情報を受信する。

　ステップＳ１５において、ＣＰＵ２０２は、受信した仮セキュリティ情報を復号し、仮セキュリティ情報内のゴールデンサンプルの媒体特定情報を各媒体特定情報に置き換えてセキュリティ情報を生成し、暗号化する。上述のとおり、暗号化は地図ベンダから提供された暗号化のためのソフトウェアまたはライブラリが利用される。

　ステップＳ１６において、ＣＰＵ２０２は機能検査装置６に指令及び暗号化したセキュリティ情報を送信し、各カードに記録されている仮セキュリティ情報を、暗号化したセキュリティ情報に書き換えさせる。

　以上の処理により、ＰＣ２は、機能検査装置６に装填された各ＳＤメモリカード１００に、地図情報３０６と、各ＳＤメモリカード１００の媒体特定情報に応じて書き換えられたセキュリティ情報３２２、３２４、３２６とを記録することができる。なお、上述のステップＳ１０は実際上あることが好ましいが、必須ではなく、省略可能である。

　次に、ステップＳ１２及びＳ１６の処理の詳細を説明する。いずれも、カードへの書き込みが適切に行われたことを検証する処理である。

　まず、ステップＳ１２の詳細を、図１１を用いて説明する。
　ステップＳ１２１において、ＰＣ２のＣＰＵ２０２は、機能検査装置６に、各カードのユーザ領域１２２への書き込み指令、書き込むべき地図情報３０６、及びゴールデンサンプルのセキュリティ情報３０８を送信する。

　ステップＳ１２２において、ＣＰＵ２０２は、機能検査装置６から、書き込み完了の通知を受信する。

　続くステップＳ１２３以降は、書き込まれるべき情報が正しく書き込まれたかを検証する処理である。ステップＳ１２３において、ＣＰＵ２０２は、機能検査装置６に、各カードのユーザ領域１２２に書き込まれた地図情報、及びセキュリティ情報の読み出し指令を送信する。読み出し指令は、読み出された情報をＣＰＵ２０２に送信する指令を含む。

　ステップＳ１２４において、ＣＰＵ２０２は、各カードのユーザ領域１２２から読み出された地図情報、及びセキュリティ情報を、機能検査装置６から受信する。
　ステップＳ１２５において、ＣＰＵ２０２は、全てのカードについて、機能検査装置６に送信した地図情報３０６と機能検査装置６から受信した地図情報との一致／不一致を検証する。同様にＣＰＵ２０２は、全てのカードについて、機能検査装置６に送信したセキュリティ情報３０８と機能検査装置６から受信したセキュリティ情報との一致／不一致を検証する。

　ステップＳ１２６において、ＣＰＵ２０２は、全てのカードについて検証結果が一致したか否かを判定する。一致した場合、ＣＰＵ２０２はステップＳ１２の処理を終了し、図１０のステップＳ１３の処理に進む。一方、検証結果が１枚でも一致しないことを示している場合、処理はステップＳ１２７に進む。

　ステップＳ１２７において、ＣＰＵ２０２は、不一致を示すカードの位置の通知を機能検査装置６から取得する。ＣＰＵ２０２は、インジケータ８の、通知された不一致を示すカードの位置に対応する位置の点光源１６を点灯させて、ユーザにエラーを報知する。

　ステップＳ１２８において、ＣＰＵ２０２は、エラー報知が１回目であるか否かを判定する。エラー報知が初めて行われた場合、すなわち１回目である場合、処理はステップＳ１２１からリトライされる。このとき製造者は、例えばＳＤテスタ１４の各端子とカードの各ピンとの接触不良がないかどうかを確認する。経験的に、接触不良に伴う書き込みエラーが発生することが多いことが判明している。そのため、接触不良の確認後に再度ステップＳ１２１から処理を開始すると、多くの場合、検証結果は一致する。

　一方、エラー報知が以前にも行われており２回目である場合には、ＣＰＵ２０２はカードにエラーが存在するとして処理を停止する。

　次に、図１０のステップＳ１６の詳細を、図１２を用いて説明する。
　ステップＳ１６１において、ＰＣ２のＣＰＵ２０２は、機能検査装置６に、情報の書き換え指令と、書き換えに用いられる、各カードの暗号化済みセキュリティ情報を送信する。書き換え指令に応答して、機能検査装置６は、各カードについて、仮セキュリティ情報３０８を、暗号化済みセキュリティ情報３２２に書き換える。ステップＳ１６２において、ＣＰＵ２０２は、機能検査装置６から、書き換え完了の通知を受信する。

　ステップＳ１６３において、ＣＰＵ２０２は、機能検査装置６に、各カードのセキュリティ情報の読み出し指令を送信する。読み出し指令に応答して、機能検査装置６は、各カードのセキュリティ情報を読み出す。ステップＳ１６４において、ＣＰＵ２０２は、各カードから読み出されたセキュリティ情報を、機能検査装置６から受信する。

　ステップＳ１６５において、ＣＰＵ２０２は、全てのカードについて、機能検査装置６に送信した後、引き続き保持していた暗号化済みセキュリティ情報と、機能検査装置６から受信したセキュリティ情報との一致／不一致を検証する。

　ステップＳ１６６、Ｓ１６７及びＳ１６８の処理は、図１１のステップＳ１２６、Ｓ１２７及びＳ１２８の処理とそれぞれ同じである。

　ステップＳ１６６において、ＣＰＵ２０２は、検証結果が一致したか否かを判定する。一致した場合、ＣＰＵ２０２はステップＳ１６の処理を終了する。つまり、図１０の処理も終了する。一方、検証結果が１枚でも一致しないことを示している場合、処理はステップＳ１６７に進む。

　ステップＳ１６７において、ＣＰＵ２０２は、不一致を示すカードの位置の通知を機能検査装置６から取得する。ＣＰＵ２０２は、インジケータ８の、通知された不一致を示すカードの位置に対応する位置の点光源１６を点灯させて、ユーザにエラーを報知する。

　ステップＳ１６８において、ＣＰＵ２０２は、エラー報知が１回目であるか否かを判定する。エラー報知が初めて行われた場合、すなわち１回目である場合、処理はステップＳ１６１からリトライされる。このとき製造者は、例えばＳＤテスタ１４の各端子とカードの各ピンとの接触不良がないかどうかを確認する。

　以上の処理によって生産されたＳＤメモリカード１００のユーザ領域１２２には、地図情報及びセキュリティ情報が記録されている。セキュリティ情報には、バージョン情報と、各ＳＤメモリカード１００のＣＩＤと、車両特定情報とが暗号化されて含まれている。地図情報が、セキュリティ情報とともに、またはセキュリティ情報なしで、他のＳＤメモリカードに複製された場合、カーナビゲーション装置はその地図情報の使用を許可しない。複製先のＳＤメモリカードのＣＩＤを含むセキュリティ情報が存在しないからである。これにより、ＳＤメモリカードを利用して地図情報を頒布したとしても、地図ベンダから正規に購入したユーザのみが、カーナビゲーション装置でその地図情報を使用できる。

　上述のＳＤメモリカード１００の例では、非ユーザ領域１２１内の管理領域１２１ｂには、ＳＤメモリカード１００のＣＩＤが記録されていると説明した。ユーザは非ユーザ領域１２１のデータを書き換え不可能であるため、管理領域１２１ｂにＣＩＤを記録するとＣＩＤの改ざんを防ぐことができ、セキュリティをより高く保つことができる。しかしながら、そのような非ユーザ領域１２１が存在せず、ユーザがデータを書き換え可能なユーザ領域のみが設けられたメモリカードにＣＩＤが記憶され、このＣＩＤに基づいてセキュリティ情報を書き換える構成であってもよい。

　上述の説明では、ＳＤメモリカード１００に記録されていた仮セキュリティ情報を、上書きすることによって暗号化済みセキュリティ情報に書き換えた。しかしながら、上書きによる書き換える処理は必須ではない。例えば、ＳＤメモリカード１００Ａから仮セキュリティ情報３０８をＰＣ２のメモリその他の記録媒体に移動して、ＳＤメモリカード１００上から仮セキュリティ情報３０８を一旦消去する。その後、ＰＣ２で生成したセキュリティ情報３２２をＳＤメモリカード１００Ａの記録領域に書き込んでもよい。または、ＳＤメモリカード１００Ａ上に仮セキュリティ情報３０８を残しつつ、ＰＣ２で生成したセキュリティ情報３２２を追記してもよい。要するに、最終的にセキュリティ情報３２２がＳＤメモリカード１００Ａ上に記録されていればよい。

　以上、本発明の実施形態を説明した。本発明は、上述した実施形態には限定されることはなく、適宜、変更、置き換え、付加、省略などを行った他の実施形態も本発明の範疇である。例えば、ＳＤメモリカードに記録された地図情報の使用許否は、セキュリティ情報内の、ＳＤメモリカードのＣＩＤを利用して判断される。そのため、セキュリティ情報には、少なくともＳＤメモリカードのＣＩＤが含まれていればよく、地図のバージョン情報および／または車両特定情報が含まれていることは必須ではない。

　また、本発明の実施形態を説明するために、添付図面および詳細な説明を提供した。添付図面および詳細な説明には、課題解決のためには必須でない内容も含まれており、その全てが課題解決のためには必須ではないことに留意されたい。

　１　生産システム
　２　ＰＣ
　４　ディスプレイ
　６　機能検査装置
　８　インジケータ
　１０　セントラルボード
　１４　ＳＤテスタ
　１６　点光源
　２４　ＵＳＢドングル
　１００　ＳＤメモリカード
　２０２　演算回路（ＣＰＵ）
　２０４　記憶装置
　２０６　通信Ｉ／Ｆ（インタフェース）

Claims

　コンテンツを示すコンテンツ情報と、前記コンテンツ情報に対するセキュリティのためのセキュリティ情報とが記録された記録領域を有する記録媒体の生産方法であって、
　前記記録領域には、前記記録媒体自身を一意に識別する媒体特定情報が予め記録されており、
（ａ）前記媒体特定情報とは異なる所与の情報を含む仮セキュリティ情報、及び、前記コンテンツ情報を、前記記録領域に書き込むステップと、
（ｂ）前記記録領域から前記媒体特定情報及び前記仮セキュリティ情報を読み出すステップと、
（ｃ）前記仮セキュリティ情報内の前記所与の情報を、前記媒体特定情報に置き換えるステップと、
（ｄ）前記所与の情報が前記媒体特定情報に置き換えられた前記仮セキュリティ情報を暗号化して、前記セキュリティ情報を生成するステップと、
（ｅ）前記ステップ（ｄ）で生成された前記セキュリティ情報を、前記記録領域に記録させるステップと
　を包含する記録媒体の生産方法。
　（ｆ）前記仮セキュリティ情報及び前記コンテンツ情報の各々の原本を記録したホスト記録媒体から、前記仮セキュリティ情報及び前記コンテンツ情報を、前記記録媒体とは異なる記録媒体に複製するステップをさらに包含し、
　前記ステップ（ｆ）の後に前記ステップ（ａ）を実行する、請求項１に記載の生産方法。
　（ｇ）前記ステップ（ａ）によって書き込まれた前記仮セキュリティ情報が、前記仮セキュリティ情報の原本と一致するか否かを検証し、かつ、前記ステップ（ａ）によって書き込まれた前記コンテンツ情報が、前記原本と一致するか否かを検証するステップをさらに包含する、請求項２に記載の生産方法。
　前記ステップ（ｇ）の各検証結果の少なくとも１つが不一致を示す場合にはエラーを報知する、請求項３に記載の生産方法。
　前記エラーが報知された場合、前記ステップ（ｇ）をリトライする、請求項４に記載の生産方法。
　前記ステップ（ｇ）による両方の検証結果が一致を示す場合には、前記ステップ（ｂ）から前記ステップ（ｅ）までを実行する、請求項３に記載の生産方法。
（ｈ）前記記録媒体の前記記録領域から前記セキュリティ情報を読み出し、読み出した前記セキュリティ情報内の前記媒体特定情報が、前記ステップ（ｄ）で暗号化された前記媒体特定情報と一致するか否かを検証するステップをさらに包含し、
　前記ステップ（ｅ）の後に前記ステップ（ｈ）を実行する、請求項１から６のいずれか１項に記載の生産方法。
　前記ステップ（ｈ）の検証結果が不一致を示す場合にはエラーを報知する、請求項７に記載の生産方法。
　前記エラーが報知された場合、前記ステップ（ｈ）をリトライする、請求項８に記載の生産方法。
　前記コンテンツ情報は、前記コンテンツとして地図を示す地図情報である、請求項１から９のいずれか１項に記載の生産方法。
　前記ステップ（ａ）において書き込まれる前記仮セキュリティ情報は、前記地図情報が使用される車両を特定する車両特定情報、及び、前記地図情報のバージョンを示すバージョン情報をさらに含み、
　前記ステップ（ｄ）は、前記車両特定情報、及び、前記バージョン情報を暗号化する、請求項１０に記載の生産方法。
　前記仮セキュリティ情報は予め暗号化されており、
　（ｉ）暗号化されている前記仮セキュリティ情報を復号するステップをさらに包含し、
　前記ステップ（ｂ）の後に前記ステップ（ｉ）を実行し、かつ、前記ステップ（ｉ）の後に前記ステップ（ｃ）を実行する、請求項１１に記載の生産方法。
　前記記録媒体は、ＳＤメモリカードであり、
　前記記録領域は、ユーザがデータを書き換え可能なユーザ領域及び、前記ユーザがデータを書き換え不可能な非ユーザ領域を有し、
　前記非ユーザ領域には前記媒体特定情報が予め記録されており、
　前記ステップ（ａ）は、前記ユーザ領域に、前記仮セキュリティ情報及び前記コンテンツ情報を書き込み、
　前記ステップ（ｂ）は、
　　前記非ユーザ領域から前記媒体特定情報を読み出すためのリードコマンドを前記記録媒体に送信し、前記リードコマンドに応答した前記記録媒体から送信された前記媒体特定情報を取得することによって前記媒体特定情報を読み出し、かつ、
　　前記ユーザ領域から前記仮セキュリティ情報を読み出す、
　請求項１から１２のいずれか１項に記載の生産方法。
　（ｊ）記録対象の前記記録媒体の用意が完了したことを示す通知を受信するステップをさらに包含し、
　前記通知を受信した後、前記ステップ（ａ）を実行する、請求項１から１３のいずれか１項に記載の生産方法。
　前記ステップ（ｊ）において受信される前記通知は、複数の前記記録媒体の用意が完了したことを示す信号である、請求項１４に記載の生産方法。
　前記記録媒体は複数存在し、
　前記エラーの報知は、複数の前記記録媒体のうちの、前記検証結果が不一致を示した前記記録媒体を特定する情報を含む、請求項４、５、８及び９のいずれか１項に記載の生産方法。
　外部機器と通信する通信インタフェースと、
　記憶装置と、
　演算回路と
　を備え、前記演算回路を用いて請求項１から１６のいずれか１項に記載の生産方法を実行する装置であって、
　前記記憶装置は、前記コンテンツ情報、及び、前記所与の情報を含む前記仮セキュリティ情報を格納しており、
　前記演算回路は、前記信号の受信に応答して、
　　前記記憶装置から前記コンテンツ情報及び前記仮セキュリティ情報を読み出して、前記通信インタフェースを介して前記機能検査装置に送信し、
　　前記機能検査装置に前記ステップ（ａ）及び（ｂ）を実行させ、
　　前記機能検査装置から前記通信インタフェースを介して前記媒体特定情報及び前記仮セキュリティ情報を受信し、
　　前記ステップ（ｄ）を実行し、
　　前記ステップ（ｄ）の実行によって生成された前記セキュリティ情報を、前記通信インタフェースを介して前記機能検査装置に送信し、
　　前記機能検査装置に前記ステップ（ｅ）を実行させる
　装置。
　請求項１７に記載の装置の前記演算回路に、
　　前記記憶装置から前記コンテンツ情報及び前記仮セキュリティ情報を読み出させる処理と、
　　前記コンテンツ情報及び前記仮セキュリティ情報を、前記通信インタフェースを介して前記機能検査装置に送信させる処理と、
　　前記機能検査装置に前記ステップ（ａ）及び（ｂ）を実行させるための指令を送信させる処理と、
　　前記機能検査装置から前記通信インタフェースを介して前記媒体特定情報及び前記仮セキュリティ情報を受信させる処理と、
　　前記ステップ（ｄ）を実行させる処理と、
　　前記ステップ（ｄ）の実行によって生成された前記セキュリティ情報を、前記通信インタフェースを介して前記機能検査装置に送信させる処理と、
　　前記機能検査装置に前記ステップ（ｅ）を実行させるための指令を送信させる処理と
　を実行させるコンピュータプログラム。