WO2022269683A1

WO2022269683A1 - 認証システム、認証方法、及びプログラム

Info

Publication number: WO2022269683A1
Application number: PCT/JP2021/023396
Authority: WO
Inventors: 祥子福島; 永男蔡
Original assignee: 楽天グループ株式会社
Priority date: 2021-06-21
Filing date: 2021-06-21
Publication date: 2022-12-29
Also published as: JP7335456B2; TW202316297A; US20240211562A1; JPWO2022269683A1

Abstract

認証システム（Ｓ）の第１認証手段（１０２）は、第１ユーザが第１場所にいる又は来た場合に、第１ユーザに関する第１認証を実行可能である。予定判定手段（１０９）は、第１場所への来訪予定に関する予定情報に基づいて、第１ユーザが第１場所にいる又は来る第１予定日又は第１予定日時に、第１認証で第１ユーザとして認証される可能性がある第２ユーザが第１場所にいる又は来るか否かを判定する。処理実行手段（１０５）は、第１予定日又は第１予定日時に、第２ユーザが第１場所にいる又は来ると判定されない場合に、第１認証に基づいて、第１ユーザに関する第１処理を実行する。

Description

認証システム、認証方法、及びプログラム

　本開示は、認証システム、認証方法、及びプログラムに関する。

　従来、生体認証やパスコード認証といった種々の認証技術が知られている。例えば、特許文献１には、施設内の端末から入力されたユーザの生体情報を記憶部に記憶し、このユーザが施設内のサービスを利用する場合に、生体情報を利用して生体認証を実行するシステムが記載されている。例えば、特許文献２には、ユーザが自身の端末を利用して施設にチェックインすると、この施設内において、ユーザの生体情報を利用した生体認証が可能になるシステムが記載されている。

特開２００４－２２７１３４号公報特開２０１９－０６７０７５号公報

　しかしながら、特許文献１及び特許文献２の技術では、生体情報が互いに類似する複数のユーザ（例えば、互いに顔が似た複数のユーザ）が同じ施設にいる場合には、なりすましが可能になる。例えば、ユーザＡの生体情報と、ユーザＢの生体情報と、が類似し、かつ、ユーザＡ及びユーザＢが同じ施設にいる場合には、ユーザＡがユーザＢとして認証される可能性がある。逆に、ユーザＢがユーザＡとして認証される可能性もある。このため、特許文献１及び特許文献２の技術では、悪意のある第三者によるなりすましが可能であり、セキュリティが十分ではない。この点は、特許文献１及び特許文献２の技術を、生体認証以外の認証に適用した場合も同様である。従来の技術では、セキュリティが十分ではなかった。

　本開示の目的の１つは、セキュリティを高めることである。

　本開示の一態様に係る認証システムは、第１ユーザが第１場所にいる又は来た場合に、前記第１ユーザに関する第１認証を実行可能な第１認証手段と、前記第１場所への来訪予定に関する予定情報に基づいて、前記第１ユーザが前記第１場所にいる又は来る第１予定日又は第１予定日時に、前記第１認証で前記第１ユーザとして認証される可能性がある第２ユーザが前記第１場所にいる又は来るか否かを判定する予定判定手段と、前記第１予定日又は前記第１予定日時に、前記第２ユーザが前記第１場所にいる又は来ると判定されない場合に、前記第１認証に基づいて、前記第１ユーザに関する第１処理を実行する処理実行手段と、を含む。

　本開示によれば、セキュリティが高まる。

認証システムの全体構成の一例を示す図である。第１実施形態のチェックインサービスの一例を示す図である。第１ユーザ及び第２ユーザの各々が第１場所にチェックインした場合の一例を示す図である。第１実施形態の認証システムで実現される機能の一例を示す機能ブロック図である。ユーザデータベースのデータ格納例を示す図である。チェックインデータベースのデータ格納例を示す図である。第１実施形態の認証システムで実行される処理の一例を示すフロー図である。第２実施形態の認証システムの一例を示す図である。第２実施形態の認証システムの一例を示す図である。第２実施形態の認証システムで実現される機能の一例を示す機能ブロック図である。第２実施形態のチェックインデータベースのデータ格納例を示す図である。第２実施形態の認証システムで実行される処理の一例を示すフロー図である。第３実施形態の認証システムの一例を示す図である。第３実施形態の認証システムで実現される機能の一例を示す機能ブロック図である。予定情報データベースのデータ格納例を示す図である。第３実施形態の認証システムで実行される処理の一例を示すフロー図である。第１実施形態に係る変形例における機能ブロック図の一例である。変形例１－１の認証システムの一例を示す図である。変形例１－１の認証システムの一例を示す図である。変形例１－５の認証システムの一例を示す図である。第２実施形態に係る変形例における機能ブロック図の一例である。変形例２－１の認証システムの一例を示す図である。変形例２－２の認証システムの一例を示す図である。第３実施形態に係る変形例における機能ブロック図の一例である。変形例３－２の認証システムの一例を示す図である。変形例３－３の認証システムの一例を示す図である。

［１．第１実施形態］
　本開示に係る認証システムの実施形態の一例である第１実施形態を説明する。

［１－１．認証システムの全体構成］
　図１は、認証システムの全体構成の一例を示す図である。図１に示すように、認証システムＳは、サーバ１０、ユーザ端末２０、チェックイン端末３０、及び認証端末４０を含む。サーバ１０、ユーザ端末２０、チェックイン端末３０、及び認証端末４０の各々は、インターネット等のネットワークＮに接続可能である。認証システムＳは、少なくとも１つのコンピュータを含めばよい。認証システムＳに含まれるコンピュータは、図１の例に限られない。例えば、サーバ１０、ユーザ端末２０、チェックイン端末３０、及び認証端末４０の各々は、複数台あってもよい。

　サーバ１０は、サーバコンピュータである。サーバ１０は、制御部１１、記憶部１２、及び通信部１３を含む。制御部１１は、少なくとも１つのプロセッサを含む。記憶部１２は、ＲＡＭ等の揮発性メモリと、ハードディスク等の不揮発性メモリと、を含む。通信部１３は、有線通信用の通信インタフェースと、無線通信用の通信インタフェースと、の少なくとも一方を含む。

　ユーザ端末２０は、ユーザが操作するコンピュータである。例えば、ユーザ端末２０は、スマートフォン、タブレット端末、ウェアラブル端末、又はパーソナルコンピュータである。ユーザ端末２０は、制御部２１、記憶部２２、通信部２３、操作部２４、表示部２５、撮影部２６、ＩＣチップ２７、及びＧＰＳ受信部２８を含む。制御部２１、記憶部２２、及び通信部２３の物理的構成は、それぞれ制御部１１、記憶部１２、及び通信部１３と同様である。

　操作部２４は、タッチパネル等の入力デバイスである。表示部２５は、液晶ディスプレイ又は有機ＥＬディスプレイである。撮影部２６は、少なくとも１つのカメラを含む。ＩＣチップ２７は、任意の規格のチップであってよく、例えば、ＦｅｌｉＣａ（登録商標）のチップ、又は、非接触型規格におけるいわゆるＴｙｐｅＡ若しくはＴｙｐｅＢのチップである。ＧＰＳ受信部２８は、衛星からの信号を受信する受信機を含む。ＧＰＳ受信部２８は、現在位置又は現在日時の取得に利用される。なお、ユーザ端末２０は、ＧＰＳ以外の任意のＧＮＳＳを利用可能である。ユーザ端末２０は、利用するＧＮＳＳに応じた受信機を含めばよい。

　チェックイン端末３０は、所定の場所に配置されたコンピュータである。例えば、チェックイン端末３０は、パーソナルコンピュータ、タブレット端末、又はスマートフォンである。チェックイン端末３０は、制御部３１、記憶部３２、通信部３３、操作部３４、表示部３５、撮影部３６、及び読取部３７を含む。制御部３１、記憶部３２、通信部３３、操作部３４、表示部３５、及び撮影部３６の物理的構成は、それぞれ制御部１１、記憶部１２、通信部１３、操作部２４、表示部２５、及び撮影部２６と同様である。読取部３７は、コードリーダ又はリーダライタを含む。撮影部３６及び読取部３７は、チェックイン端末３０の外部に接続されていてもよい。

　認証端末４０は、所定の場所に配置されたコンピュータである。例えば、認証端末４０は、パーソナルコンピュータ、タブレット端末、又はスマートフォンである。認証端末４０は、制御部４１、記憶部４２、通信部４３、操作部４４、表示部４５、撮影部４６、及び読取部４７を含む。制御部４１、記憶部４２、通信部４３、操作部４４、表示部４５、撮影部４６、及び読取部４７の物理的構成は、それぞれ制御部１１、記憶部１２、通信部１３、操作部２４、表示部２５、撮影部２６、及び読取部３７と同様である。撮影部４６及び読取部４７は、認証端末４０の外部に接続されていてもよい。

　なお、サーバ１０、ユーザ端末２０、チェックイン端末３０、及び認証端末４０の各々に記憶されるプログラム及びデータの少なくとも一方は、ネットワークＮを介して供給されてもよい。また、サーバ１０、ユーザ端末２０、チェックイン端末３０、及び認証端末４０の各々に、コンピュータ読み取り可能な情報記憶媒体を読み取る読取部（例えば、光ディスクドライブやメモリカードスロット）と、外部機器とデータの入出力をするための入出力部（例えば、ＵＳＢポート）と、の少なくとも一方が含まれてもよい。例えば、情報記憶媒体に記憶されたプログラム及びデータの少なくとも一方が、読取部及び入出力部の少なくとも一方を介して供給されてもよい。

［１－２．第１実施形態の認証システムの概要］
　第１実施形態では、ユーザが所定の場所にいる又は来たことを検知するチェックインサービスに、認証システムＳを適用する場合を例に挙げる。認証システムＳは、種々のサービスに適用可能である。他のサービスへの適用例は、後述の変形例で説明する。例えば、ユーザは、勤務先の企業が入居するオフィスビルがある場所にチェックインする。ユーザは、この場所にチェックインした後に、自身が勤務する企業の部屋に入る。以降、この場所を、第１場所と記載する。

　例えば、第１場所へのチェックイン時と、部屋への入室時と、の各々において、認証が実行される。認証自体は、公知の種々の方法を利用可能である。例えば、生体認証、知識認証、所持認証（所有物認証）、又はこれらの組み合わせを利用可能である。第１実施形態では、第１場所へのチェックイン時に、ユーザ端末２０に表示させたコードを利用したコード認証が実行される場合を例に挙げる。第１場所にあるオフィスビル内の部屋に入る時に、顔認証が実行される場合を例に挙げる。コード認証は、所持認証の一例である。顔認証は、生体認証の一例である。

　図２は、第１実施形態のチェックインサービスの一例を示す図である。図２に示すように、第１場所Ｐ１にあるオフィスビルには、複数のチェックイン端末３０を含むセキュリティゲートＧが配置されている。ユーザＵは、チェックインサービスの利用登録を済ませている。利用登録では、ユーザＵの氏名や顔写真等の情報がサーバ１０に登録される。利用登録が完了すると、ユーザは、チェックインサービスを利用してオフィスビルにチェックインし、セキュリティゲートＧを通過できる。

　ユーザＵのユーザ端末２０には、チェックインサービスを利用するためのアプリケーション（以降、チェックインアプリ）がインストールされている。ユーザＵがユーザ端末２０のチェックインアプリを起動すると、チェックイン用のコードＣが表示部２５に表示される。図２の例では、コードＣの一例として、二次元コードを示している。コードＣは、種々のタイプを利用可能である。例えば、コードＣは、バーコード又は時間経過に応じて変化するコードであってよい。

　コードＣは、ユーザＵを識別可能なコードＩＤを含む。コードＩＤは、コード認証で利用される認証情報である。コードＩＤは、サーバ１０により発行される。サーバ１０により発行されたコードＩＤは、ユーザ端末２０に記録される。コードＩＤには、有効期限が設定される。ユーザＵは、コードＩＤの有効期限内に、コードＣを利用してチェックインできる。コードＩＤの有効期限が経過すると、サーバ１０は、コードＩＤを更新する。更新後のコードＩＤは、ユーザ端末２０に記録される。更新後のコードＩＤにも、有効期限が設定される。

　ユーザＵは、チェックイン端末３０の読取部３７にコードＣをかざす。チェックイン端末３０は、読取部３７でコードＣを読み取ると、サーバ１０に、コードＣに含まれるコードＩＤを送信する。サーバ１０は、コードＩＤの正当性を確認すると、チェックイン端末３０に確認結果を送信する。チェックイン端末３０は、コードＩＤが正当である旨の確認結果を受信した場合、セキュリティゲートＧを開ける。チェックイン端末３０は、コードＩＤが正当ではない旨の確認結果を受信した場合、セキュリティゲートＧを開けない。この場合、ユーザＵは、コードＩＤを更新して再度の認証を試みる。コードＣを利用した認証が成功しない時の代替となる他の認証が存在する場合には、ユーザＵは、他の認証を試みてもよい。

　図２の例では、ユーザＵが勤務する企業は、第１場所Ｐ１のオフィスビルに部屋Ｘ～Ｚを契約している。部屋Ｘ～Ｚは、部外者が入室できないように、ドアがロックされている。部屋Ｘ～Ｚの入口には、認証端末４０が配置されている。ユーザＵは、部屋Ｘ～Ｚに入室するためには、認証端末４０で顔認証を成功させる必要がある。図２の例では、ユーザＵが部屋Ｙに入る場合が示されている。ユーザＵは、部屋Ｙの入口に配置された認証端末４０の撮影部４６に自身の顔を撮影させる。

　認証端末４０は、サーバ１０に、撮影部４６により生成された撮影画像を送信する。サーバ１０は、撮影画像を受信すると、撮影画像から顔の特徴量を計算する。サーバ１０は、当該計算された顔の特徴量と、サーバ１０に登録された顔の特徴量と、に基づいて、顔認証を実行する。サーバ１０は、認証端末４０に、顔認証の実行結果を送信する。認証端末４０は、顔認証が成功した旨の実行結果を受信した場合、部屋Ｙのドアのロックを解除する。この場合、ユーザＵは、部屋Ｙに入る。認証端末４０は、顔認証が失敗した旨の実行結果を受信した場合、部屋Ｙのロックを解除しない。この場合、ユーザＵは、再度の顔認証を試みる。顔認証が成功しない時の代替となる他の認証が存在する場合には、ユーザＵは、他の認証を試みてもよい。

　ユーザＵは、他の部屋Ｘ，Ｚも同様に、顔認証によりドアのロックを解除できる。ただし、互いに顔が似た他のユーザＵがいた場合、顔認証では、互いを区別できない可能性がある。あるユーザＵが他のユーザＵとして認証される可能性もある。そこで、第１実施形態では、互いに顔が似た複数のユーザＵが第１場所Ｐ１にチェックインしてセキュリティゲートＧを通過した場合、顔認証だけでなく、パスコード認証も実行されるようになっている。以降、互いに顔が似た複数のユーザＵの一例として、第１ユーザＵ１及び第２ユーザＵ２を説明するが、３人以上のユーザＵの顔が互いに似ていてもよい。

　図３は、第１ユーザＵ１及び第２ユーザＵ２の各々が第１場所Ｐ１にチェックインした場合の一例を示す図である。図３では、第１ユーザＵ１が、図２で説明した流れで第１場所Ｐ１にチェックイン済みであるものとする。第１ユーザＵ１と顔が似た第２ユーザＵ２も、同様の流れで第１場所Ｐ１にチェックインする。第１実施形態では、第２ユーザＵ２は、第１ユーザＵ１と同じ企業に勤務する場合を説明するが、第２ユーザＵ２は、同じオフィスビルに入居する他の企業に勤務してもよい。他にも例えば、第２ユーザＵ２は、第１場所Ｐ１に何らかの形でチェックイン可能な部外者であってもよい。

　第２ユーザＵ２が第１場所Ｐ１にチェックインしてセキュリティゲートＧを通過した場合、互いに顔が似た第１ユーザＵ１及び第２ユーザＵ２の両方が第１場所Ｐ１にいる状態になる。この状態になると、サーバ１０は、部屋Ｙの認証端末４０の前にいる者が第１ユーザＵ１なのか第２ユーザＵ２なのかを区別できない。他にも例えば、第１ユーザＵ１が、第２ユーザＵ２として認証される可能性もある。逆に、第２ユーザＵ２が認証端末４０で顔認証をしようとした場合に、第１ユーザＵ１として認証される可能性もある。

　このため、図３の状態になると、第１ユーザＵ１及び第２ユーザＵ２の各々に対し、部屋Ｘ～Ｚへの入室時の認証として、顔認証だけではなくパスコード認証も要求される。ただし、第１ユーザＵ１のパスコードと、第２ユーザＵ２のパスコードと、は異なるものとする。第１ユーザＵ１及び第２ユーザＵ２と顔が似ていない第３ユーザＵ３は、自身と顔が似た者が第１場所Ｐ１にチェックインしていなければ、顔認証だけで部屋Ｘ～Ｚに入室できる。

　図３の例では、第１ユーザＵ１が部屋Ｙに入室する場合を示している。サーバ１０は、部屋Ｙの入口に配置された認証端末４０を利用して、第１ユーザＵ１の顔認証及びパスコード認証を実行する。顔認証は、図２を参照して説明した流れと同様の流れで実行される。パスコード認証は、部屋Ｙの入口に配置された認証端末４０の操作部３４から、第１ユーザＵ１にパスコードを入力させることによって実行される。認証端末４０は、サーバ１０から顔認証及びパスコード認証が成功した旨の実行結果を受信した場合、部屋Ｙのドアのロックを解除する。認証端末４０は、顔認証及びパスコード認証の少なくとも一方が失敗した旨の実行結果を受信した場合、部屋Ｙのドアのロックを解除しない。

　第２ユーザＵ２が部屋Ｘ～Ｚの何れかに入室する場合にも、第１ユーザＵ１と同様の流れで、顔認証及びパスコード認証が実行される。第１ユーザＵ１がオフィスビルからチェックアウトすると、第２ユーザＵ２は、顔認証だけで部屋Ｘ～Ｚに入室できるようになる。第１実施形態では、チェックアウトは、チェックインと同様の流れで実行されるものとする。例えば、第１ユーザＵ１は、自身のユーザ端末２０に表示させたコードＣをチェックイン端末３０にかざすことによって、オフィスビルからチェックアウトする。同様に、第２ユーザＵ２がオフィスビルからチェックアウトすると、第１ユーザＵ１は、再び顔認証だけで部屋Ｘ～Ｚに入室できるようになる。

　以上のように、第１実施形態の認証システムＳは、第１ユーザＵ１が第１場所Ｐ１にチェックインした場合に、第２ユーザＵ２が第１場所Ｐ１にチェックインしていなければ、顔認証だけで部屋Ｘ～Ｚへの入室を許可する。認証システムＳは、第２ユーザＵ２が第１場所Ｐ１にチェックインした後は、第１ユーザＵ１が顔認証及びパスコード認証を成功させた場合に、部屋Ｘ～Ｚへの入室を許可する。これにより、なりすましを防止してセキュリティが高まる。以降、第１実施形態の認証システムＳの技術の詳細を説明する。

［１－３．第１実施形態の認証システムで実現される機能］
　図４は、第１実施形態の認証システムＳで実現される機能の一例を示す機能ブロック図である。なお、第１ユーザＵ１及び第２ユーザＵ２を区別しない時は、単にユーザＵと記載する。第１ユーザＵ１及び第２ユーザＵ２以外の者も想定する時も、単にユーザＵと記載する。

［１－３－１．サーバで実現される機能］
　図４に示すように、サーバ１０では、データ記憶部１００、チェックイン部１０１、第１認証部１０２、第２認証部１０３、第２ユーザ判定部１０４、及び処理実行部１０５が実現される。データ記憶部１００は、記憶部１２を主として実現される。他の各機能は、制御部１１を主として実現される。

［データ記憶部］
　データ記憶部１００は、認証システムＳにおける処理に必要なデータを記憶する。例えば、データ記憶部１００は、ユーザデータベースＤＢ１と、チェックインデータベースＤＢ２と、を記憶する。

　図５は、ユーザデータベースＤＢ１のデータ格納例を示す図である。図５に示すように、ユーザデータベースＤＢ１は、チェックインサービスの利用登録をしたユーザＵに関する情報が格納されたデータベースである。例えば、ユーザデータベースＤＢ１には、個々のユーザＵのユーザＩＤ、パスワード、コードＩＤ、コードＩＤの有効期限、氏名、顔写真、顔の特徴量、パスコード、及び顔が似た他のユーザＵのユーザＩＤが格納される。あるユーザＵがチェックインサービスの利用登録をすると、このユーザＵに対応するレコードがユーザデータベースＤＢ１に作成され、このユーザＵのユーザＩＤ等の情報が格納される。

　ユーザＩＤは、ユーザＵを識別可能な情報である。ユーザＵは、ユーザＩＤではなく、他の名前で呼ばれる情報によって識別されてもよい。例えば、ユーザＵは、ユーザアカウント又はメールアドレスといった他の情報によって識別されてもよい。パスワードは、チェックインサービスにログインするための認証情報である。例えば、ユーザＵは、ユーザ端末２０からチェックインサービスにログインし、自身の顔写真やパスコードを更新できる。

　コードＩＤは、任意のタイミングで発行されてユーザデータベースＤＢ１に格納される。コードＩＤの発行ルール自体は、公知のルールを適用可能である。サーバ１０は、あるユーザＵのコードＩＤを発行する場合、有効期限内の他のユーザＵのコードＩＤと重複しないように、コードＩＤを発行する。例えば、コードＩＤは、コードＣを表示させるためのアプリケーションがユーザ端末２０で起動した場合、コードＣが表示されてから一定時間が経過した場合、又はユーザＵが所定の操作をした場合に更新される。コードＩＤの有効期限は、コードＩＤが生成されてから所定時間（例えば、５分～３０分程度）だけ後の時間が設定される。コードＩＤには、有効期限が設定されなくてもよい。

　顔写真は、ユーザＵの顔が撮影された画像である。例えば、ユーザＵは、ユーザ端末２０の撮影部２６で自身の顔を撮影し、サーバ１０に顔写真をアップロードする。顔写真は、ユーザ端末２０又は他のコンピュータに予め記憶されていてもよい。顔の特徴量は、顔の特徴を数値化した情報である。例えば、顔の特徴量は、顔のパーツの相対位置、大きさ、又は形状などの特徴が示されている。本実施形態では、顔写真が示す顔の特徴量を予め計算しておくものとするが、顔の特徴量は、認証時にその場で計算されてもよい。ユーザデータベースＤＢ１に登録された顔の特徴量は、顔認証における正解となる認証情報である。

　なお、顔認証自体は、種々の方法を適用可能である。例えば、顔認証は、主成分分析、線形判別分析、弾性マッチング、又は隠れマルコフモデルといった方法を利用可能である。顔の特徴量は、これらの方法に応じた計算式で計算されるようにすればよい。例えば、顔の特徴量は、多次元のベクトルで表現される。顔の特徴量の形式は、ベクトルに限られない。顔の特徴量は、配列又は単一の数値といった他の形式で表現されてもよい。顔認証では、複数枚の顔写真の各々の顔の特徴量が利用されてもよい。顔認証は、いわゆる３Ｄ顔認証が利用されてもよい。

　ユーザデータベースＤＢ１に登録されたパスコードは、パスコード認証における正解となる情報である。パスコードの桁数は、全ユーザＵで同じであってもよいし、ユーザＵが任意に指定できてもよい。例えば、パスコードは、２桁～８桁程度であってもよい。パスコードは、ユーザＵが指定してもよいし、認証システムＳが自動的に生成してもよい。パスコードは、顔が似たユーザＵ同士で同じにならないように制限されているものとする。例えば、サーバ１０は、あるユーザＡが利用登録時又はその後の任意のタイミングでパスコードを指定した場合に、ユーザデータベースＤＢ１を参照し、ユーザＡと顔が似たユーザＢが同じパスコードを登録しているか否かを判定する。

　顔が似ているとは、顔の特徴量の違いが閾値未満であることである。別の言い方をすれば、顔の特徴量が類似することは、顔が似ていることに相当する。例えば、顔の特徴量がベクトル形式で表現される場合、ベクトル空間上の距離は、顔の特徴量の違いに相当する。顔の特徴量が他の形式で表現する場合も同様に、顔の特徴量同士の類似性を示す指標が閾値未満であることは、顔が似ていることに相当する。

　例えば、サーバ１０は、ユーザＡがパスコードを指定した場合に、ユーザＡが指定したパスコードと、顔が似たユーザＢの登録済みのパスコードと、が一致しない場合、ユーザＡが指定したパスコードをユーザデータベースＤＢ１に登録する。サーバ１０は、ユーザＡが指定したパスコードと、ユーザＢの登録済みのパスコードと、が一致する場合、ユーザＡが指定したパスコードをユーザデータベースＤＢ１に登録しない。この場合、サーバ１０は、ユーザＡに、他のパスコードを指定するように促す。

　ユーザデータベースＤＢ１には、個々のユーザＵのレコードに、顔が似た他のユーザＵのユーザＩＤも格納される。サーバ１０は、ユーザＵの利用登録時又は顔写真の更新時等の任意のタイミングで、個々のユーザＵの顔の特徴量と、他のユーザＵの顔の特徴量と、に基づいて、顔が似たユーザＵの組み合わせを特定する。サーバ１０は、この特定結果に基づいて、顔が似た他のユーザＵのユーザＩＤをユーザデータベースＤＢ１に格納する。

　図５のデータ格納例であれば、ユーザＩＤ「ｔａｒｏ．ｙａｍａｄａ１２３」のユーザＵと、ユーザＩＤ「ｙｏｓｈｉｄａ１１１ｊｉｒｏ」のユーザＵと、は互いに顔が似ている。このため、ユーザＩＤ「ｔａｒｏ．ｙａｍａｄａ１２３」のレコードには、顔が似た他のユーザＵのユーザＩＤとして「ｙｏｓｈｉｄａ１１１ｊｉｒｏ」が格納される。ユーザＩＤ「ｙｏｓｈｉｄａ１１１ｊｉｒｏ」のレコードには、顔が似た他のユーザＵのユーザＩＤとして「ｔａｒｏ．ｙａｍａｄａ１２３」が格納される。ユーザＩＤ「ｈａｎａｋｏ９９９」のユーザＵは、顔が似た他のユーザＵが存在しない。

　図６は、チェックインデータベースＤＢ２のデータ格納例を示す図である。図６に示すように、チェックインデータベースＤＢ２は、第１場所Ｐ１にチェックインしたユーザＵに関する情報が格納されるデータベースである。例えば、チェックインデータベースＤＢ２には、チェックイン済みのユーザＵのユーザＩＤ、チェックイン日時、パスコード認証フラグ、顔の特徴量、及びパスコードが格納される。チェックインデータベースＤＢ２は、あるユーザＵが第１場所Ｐ１にチェックインすると、このユーザＵに対応するレコードが新たに追加される。このレコードに格納されるユーザＩＤ、顔の特徴量、及びパスコードは、ユーザデータベースＤＢ１に格納されたものと同じである。チェックイン日時は、チェックインが実行された時の現在日時が格納される。これらの処理は、後述のチェックイン部１０１により実行される。

　パスコード認証フラグは、パスコード認証の必要があるか否かを示すフラグである。図６の例では、パスコード認証フラグが「１」のユーザＵについては、パスコード認証の必要がある。パスコード認証フラグが「０」のユーザＵについては、パスコード認証の必要がない。例えば、あるユーザＵが第１場所Ｐ１にチェックインすると、ユーザデータベースＤＢ１のうち、このユーザＵに関連付けられた顔が似た他のユーザＵのユーザＩＤが参照される。このユーザＩＤが示す他のユーザＵが既にチェックイン済みであれば、パスコード認証フラグが「１」になる。このユーザＩＤが存在しない場合、又は、このユーザＩＤが示す他のユーザＵがチェックインしていなければ、パスコード認証フラグが「０」になる。これらの処理は、後述のチェックイン部１０１により実行される。チェックインデータベースＤＢ２のうち、パスコード認証フラグが「０」のレコードについては、パスコードが格納されなくてもよい。

　なお、複数の第１場所Ｐ１が存在する場合には、個々の場所ごとにチェックインデータベースＤＢ２が存在してもよいし、複数の第１場所Ｐ１を一括管理する１つのチェックインデータベースＤＢ２が存在してもよい。第１場所Ｐ１は、図２及び図３で説明したオフィスビルがある場所に限られず、任意の場所であってよい。例えば、第１場所Ｐ１は、宿泊施設、観光施設、公共施設、イベント会場、百貨店、ショッピングモール、競技場、空港、又は駅といった施設がある場所であってもよい。他にも例えば、第１場所Ｐ１は、屋外のスペースやバス停のように特段の施設が存在しない場所であってもよい。

　また、データ記憶部１００に記憶されるデータは、上記の例に限られない。データ記憶部１００は、任意のデータを記憶可能である。例えば、データ記憶部１００は、チェックイン端末３０及び認証端末４０の各々を識別可能な端末ＩＤを記憶してもよい。認証システムＳを複数の第１場所Ｐ１に適用する場合には、第１場所Ｐ１を識別可能な場所ＩＤごとに、この第１場所Ｐ１に配置されたチェックイン端末３０及び認証端末４０の各々の端末ＩＤを記憶してもよい。

［チェックイン部］
　チェックイン部１０１は、複数のユーザＵの各々を、第１場所Ｐ１にチェックインさせる。例えば、チェックイン部１０１は、第１ユーザＵ１が第１場所Ｐ１にいる又は来た場合に、第１ユーザＵ１を第１場所Ｐ１にチェックインさせる。チェックイン部１０１は、第２ユーザＵ２が第１場所Ｐ１にいる又は来た場合に、第２ユーザＵ２を第１場所Ｐ１にチェックインさせる。第１場所Ｐ１にいるとは、第１場所Ｐ１に来てからある程度の時間が経過していることを意味する。第１場所Ｐ１にいることと第１場所Ｐ１に滞在することは同じ意味である。第１場所Ｐ１に来たとは、他の場所から第１場所Ｐ１に移動したことを意味する。第１場所Ｐ１に来ることと第１場所Ｐ１を訪れることは同じ意味である。

　チェックインとは、ユーザＵが第１場所Ｐ１にいる又は来たことを検知することである。第１場所Ｐ１にいる又は来たユーザＵを特定することは、チェックインに相当する。ユーザＵがいる又は来た第１場所Ｐ１を特定することは、チェックインに相当する。例えば、第１場所Ｐ１にいる又は来たユーザＵに関する情報をチェックインデータベースＤＢ２に格納することは、チェックインに相当する。例えば、ユーザＵが来た第１場所Ｐ１のチェックイン端末３０又は認証端末４０に、ユーザＵに関する情報を送信することは、チェックインに相当する。

　例えば、ユーザＵがチェックイン端末３０にコードＣをかざすと、チェックイン端末３０は、自身の端末ＩＤと、コードＣに含まれるコードＩＤと、をサーバ１０に送信する。サーバ１０が端末ＩＤ及びコードＩＤを受信すると、チェックイン部１０１は、このコードＩＤにより識別されるユーザＵを、第１場所Ｐ１にチェックインさせる。例えば、チェックイン部１０１は、ユーザデータベースＤＢ１を参照し、このコードＩＤに関連付けられたユーザＩＤ、顔の特徴量、及びパスコードの組み合わせを取得してチェックインデータベースＤＢ２に格納することによって、ユーザＵを第１場所Ｐ１にチェックインさせる。チェックイン部１０１は、顔が似た他のユーザＵがチェックイン済みであれば、パスコード認証フラグを「１」に設定する。チェックイン部１０１は、顔が似た他のユーザＵが存在しない場合、又は、顔が似た他のユーザＵがチェックインしていなければ、パスコード認証フラグを「０」に設定する。

　なお、チェックアウトも同様の流れで実行されてよい。例えば、チェックイン中のユーザＵがチェックイン端末３０にコードＣをかざすと、チェックイン端末３０は、自身の端末ＩＤと、コードＣに含まれるコードＩＤと、をサーバ１０に送信する。サーバ１０が端末ＩＤ及びコードＩＤを受信すると、チェックイン部１０１は、このコードＩＤにより識別されるユーザＵを、オフィスビルからチェックアウトさせる。例えば、チェックイン部１０１は、ユーザデータベースＤＢ１を参照し、このコードＩＤに関連付けられたユーザＩＤを取得する。チェックイン部１０１は、チェックインデータベースＤＢ２から、当該取得されたユーザＩＤが格納されたレコードを削除することによって、ユーザＵを第１場所Ｐ１からチェックアウトさせる。チェックイン部１０１は、チェックアウトしたユーザＵのパスコード認証フラグが「１」であれば、このユーザＵと顔が似た他のユーザＵのパスコード認証フラグを「０」に設定する。ただし、当該他のユーザＵと顔が似た他のユーザＵが更に存在し、チェックイン中である場合には、パスコード認証フラグは「０」にならない。

［第１認証部］
　第１認証部１０２は、第１ユーザＵ１が第１場所Ｐ１にいる又は来た場合に、第１ユーザＵ１に関する顔認証を実行可能である。第１ユーザＵ１に関する顔認証とは、第１ユーザＵ１の本人確認のための顔認証である。第１実施形態では、第１場所Ｐ１へのチェックインが発生するので、第１場所Ｐ１にチェックイン済みであることは、第１場所Ｐ１にいることに相当する。第１場所Ｐ１にチェックインすることは、第１場所Ｐ１に来たことに相当する。

　顔認証は、第１認証の一例である。このため、顔認証について説明している箇所は、第１認証と読み替えることができる。第１認証自体は、任意の認証方法を利用可能である。例えば、第１認証は、顔認証以外の生体認証（例えば、指紋認証、静脈認証、声紋認証、又は虹彩認証）であってもよい。生体認証は、身体的特徴を利用したものに限られない。生体認証は、筆跡や歩行といった行動的特徴を利用したものであってもよい。

　なお、第１実施形態では、顔認証のように認証情報の類似性に基づいて成否が決定される認証が第１認証に相当する場合を説明するが、パスワード認証等のように認証情報の一致に基づいて成否が決定される認証が第１認証に相当してもよい。例えば、第１認証は、パスコード認証又はパスワード認証といった知識認証であってもよい。例えば、第１認証は、ユーザ端末２０又はＩＣカードといったユーザＵの所有物を利用した所持認証であってもよい。

　第１認証部１０２は、第１ユーザＵ１が第１場所Ｐ１にいる又は来た場合に、必ず顔認証を実行しなければならないというわけではなく、任意のタイミングで顔認証を実行する。このため、第１認証部１０２は、第１ユーザＵ１が第１場所Ｐ１にいる又は来た場合に、顔認証を実行可能な状態であればよい。第１認証部１０２は、認証端末４０を利用して取得された顔の特徴量と、予めサーバ１０に登録された顔の特徴量と、に基づいて、第１ユーザＵ１の顔認証を実行する。これらの顔の特徴量の違いが閾値未満であれば、顔認証が成功する。これらの顔の特徴量の違いが閾値以上であれば、顔認証が失敗する。

　第１実施形態では、第１場所Ｐ１へのチェックインが実行されるので、第１認証部１０２は、第１ユーザＵ１がチェックイン済みの第１場所Ｐ１にいる場合に、顔認証を実行可能である。例えば、第１ユーザＵ１は、認証端末４０の撮影部４６に自身の顔を撮影させる。認証端末４０は、サーバ１０に、撮影部４６により生成された撮影画像を送信する。第１認証部１０２は、この撮影画像に基づいて、顔の特徴量を計算する。

　第１認証部１０２は、チェックインデータベースＤＢ２を参照し、当該計算された顔の特徴量との違いが閾値未満の顔の特徴量が格納されたレコードが存在するか否かを判定する。このレコードが存在すれば、顔認証が成功する。このレコードが存在しなければ、顔認証が失敗する。ユーザデータベースＤＢ１を利用して顔認証が実行されてもよいが、ユーザデータベースＤＢ１には、チェックインしていないユーザＵのレコードも存在するので、チェックインデータベースＤＢ２を利用することによって、顔認証時に比較すべき顔の特徴量を減らすことができる。

［第２認証部］
　第２認証部１０３は、第１ユーザＵ１が第１場所Ｐ１にいる又は来た場合に、第１ユーザＵ１に関するパスコード認証を実行可能である。第１実施形態では、第１場所Ｐ１へのチェックインが実行されるので、第２認証部１０３は、第１ユーザＵ１がチェックイン済みの第１場所Ｐ１にいる場合に、パスコード認証を実行可能である。

　パスコード認証は、第２認証の一例である。このため、パスコード認証について説明している箇所は、第２認証と読み替えることができる。第２認証自体は、任意の認証方法を利用可能である。例えば、第２認証は、パスワード認証、合言葉認証、又は電話番号等の個人情報を入力させる認証といった他の知識認証を利用してもよい。第２認証は、生体認証又は所持認証であってもよい。第２認証は、第１認証とは異なる種類の認証であればよい。

　第１実施形態では、第２認証は、第１認証よりも認証率が高い認証方法である場合を説明するが、第１認証の方が第２認証よりも認証率が高くてもよい。ここでの認証率は、誤認証が発生しない確率を意味する。第１実施形態では、パスコード認証のように認証情報の一致に基づいて成否が決定される認証が第２認証に相当する場合を説明するが、生体認証のように認証情報の類似性に基づいて成否が決定される認証が第２認証に相当してもよい。例えば、第２認証として指紋認証又は虹彩認証を利用する場合には、第１認証である顔認証よりも認証率が高くなる。ただし、ユーザＵからすると、第２認証の方が、第１認証よりも多少は手間がかかる又は処理に時間を要することがある。

　第２認証部１０３は、第１ユーザＵ１が第１場所Ｐ１にいる又は来た場合に、必ずパスコード認証を実行しなければならないというわけではなく、任意のタイミングでパスコード認証を実行する。このため、第２認証部１０３は、第１ユーザＵ１が第１場所Ｐ１にいる又は来た場合に、パスコード認証を実行可能な状態であればよい。第２認証部１０３は、認証端末４０を利用して取得されたパスコードと、予めサーバ１０に登録されたパスコードと、に基づいて、パスコード認証を実行する。これらが一致すれば、パスコード認証が成功する。これらが一致しなければ、パスコード認証が失敗する。パスコード認証では、パスコードだけでなくユーザＩＤも利用されてもよいが、第１実施形態では、ユーザＩＤは利用されずに、パスコードだけが利用されるものとする。

　第１実施形態では、パスコード認証が顔認証よりも後に実行される場合を説明するが、顔認証は、パスコード認証よりも前に実行されてもよい。顔認証及びパスコード認証の何れか一方が先に実行されるのではなく、顔認証及びパスコード認証の両方が同時並行で実行されてもよい。パスコード認証が顔認証よりも後に実行される場合、パスコード認証は、顔認証の追加認証に相当する。例えば、第２認証部１０３は、チェックインデータベースＤＢ２を参照し、顔認証が成功したと判定された顔の特徴量が格納されたレコードのパスコード認証フラグを参照する。第２認証１０３は、パスコード認証フラグが「０」であれば、パスコード認証を実行せず、パスコード認証フラグが「１」であれば、パスコード認証を実行する。

　第２認証部１０３は、パスコード認証フラグが「１」の場合、認証端末４０に、パスコード認証を要求する。認証端末４０は、サーバ１０に、ユーザＵが入力したパスコードを送信する。第２認証部１０３は、認証端末４０から取得されたパスコードと、顔認証が成功したと判定された顔の特徴量が格納されたレコードのパスコードと、に基づいて、パスコード認証を実行する。これらが一致すれば、パスコード認証が成功する。これらが一致しなければ、パスコード認証が失敗する。ユーザデータベースＤＢ１を利用してパスコード認証が実行されてもよいが、ユーザデータベースＤＢ１には、チェックインしていないユーザＵのレコードも存在するので、チェックインデータベースＤＢ２を利用することによって、パスコード認証時に比較すべきパスコードを減らすことができる。

［第２ユーザ判定部］
　第２ユーザ判定部１０４は、顔認証で第１ユーザＵ１として認証される可能性がある第２ユーザＵ２が第１場所Ｐ１にいる又は来たか否かを判定する。第１実施形態では、顔認証が利用されるので、第１ユーザＵ１と顔が似ていることは、顔認証で第１ユーザＵ１として認証される可能性があることに相当する。

　顔認証以外の生体認証が利用される場合には、生体認証で利用される生体情報が第１ユーザＵ１と類似又は一致することは、生体認証で第１ユーザＵ１として認証される可能性があることに相当する。ここでの類似も、顔認証と同様、生体情報の違いが閾値未満であることを意味する。ここでの一致は、可能性は低いが、生体情報が同じことを意味する。生体情報は、生体認証に応じた種類のものを利用可能である。例えば、指紋認証であれば指紋パターンが生体情報に相当する。虹彩認証であれば虹彩パターンが生体情報に相当する。

　生体認証以外の認証が第１認証として利用される場合には、この認証で利用される認証情報が第１ユーザＵ１と類似又は一致する者が第２ユーザＵ２に相当すればよい。ここでの類似も、生体認証と同様、認証情報の違いが閾値未満であることを意味する。ここでの一致は、認証情報が同じことを意味する。認証情報は、認証に応じた種類のものを利用可能である。例えば、パスコード認証であれば、パスコードが認証情報に相当する。パスワード認証であれば、パスワードが認証情報に相当する。

　第２ユーザ判定部１０４は、第２ユーザＵ２のユーザ端末２０と、第１場所Ｐ１に配置されたチェックイン端末３０又は認証端末４０と、の少なくとも一方を利用して、第２ユーザＵ２が第１場所Ｐ１にいる又は来たか否かを判定する。第１実施形態では、第１場所Ｐ１へのチェックインが発生するので、第２ユーザ判定部１０４は、チェックイン端末３０を利用して、第２ユーザＵ２が第１場所Ｐ１にいる又は来たか否かを判定する場合を説明するが、第２ユーザ判定部１０４の判定方法は、第１実施形態の例に限られない。第２ユーザ判定部１０４は、後述の変形例のように、他の判定方法を利用してもよい。

　例えば、第２ユーザ判定部１０４は、第１ユーザＵ１がチェックイン済みの第１場所Ｐ１にいる場合に、第２ユーザＵ２が第１場所Ｐ１にいる又は来たか否かを判定する。第２ユーザ判定部１０４は、第２ユーザＵ２が第１場所Ｐ１にチェックインしたか否かを判定することによって、第２ユーザＵ２が第１場所Ｐ１にいる又は来たか否かを判定する。第２ユーザ判定部１０４は、チェックインデータベースＤＢ２に第２ユーザＵ２に対応するレコードが存在する場合に、第２ユーザＵ２が第１場所Ｐ１にいると判定する。第２ユーザ判定部１０４は、チェックインデータベースＤＢ２に第２ユーザＵ２に対応するレコードが追加された場合に、第２ユーザＵ２が第１場所Ｐ１に来たと判定する。これらの判定は、パスコード認証フラグによって行われてもよいし、特にパスコード認証フラグのような情報を用意せずに、その場で顔の特徴量の類似が判定されてもよい。

［処理実行部］
　処理実行部１０５は、第２ユーザＵ２が第１場所Ｐ１にいる又は来たと判定されない場合に、第１認証に基づいて、第１ユーザＵ１に関する第１処理を実行する。第１処理は、第１認証が成功した場合に許可される処理である。第１処理は、第１認証を成功させたユーザＵに関する何らかの情報を利用して実行される処理であってもよい。第１実施形態では、部屋Ｘ～Ｚのドアのロックを解除するロック解除処理が第１処理に相当する場合を説明する。このため、ロック解除処理について説明している箇所は、第１処理と読み替えることができる。第１処理は、任意の処理であってよい。第１処理の他の例は、後述の変形例で説明する。例えば、第１処理は、電子決済サービスにおける決済処理であってもよい。

　処理実行部１０５は、第２ユーザＵ２が第１場所Ｐ１にいる又は来たと判定されない場合に、顔認証に基づいて、ロック解除処理を実行する。第１実施形態では、処理実行部１０５は、第２ユーザＵ２がオフィスビルにいる又は来たと判定された場合に、顔認証と、パスコード認証と、に基づいて、ロック解除処理を実行する。処理実行部１０５は、顔認証及びパスコード認証の両方が成功した場合に、ロック解除処理を実行する。処理実行部１０５は、顔認証及びパスコード認証の少なくとも一方が失敗した場合には、ロック解除処理を実行しない。

　例えば、処理実行部１０５は、第２ユーザＵ２が第１場所Ｐ１にいる又は来たと判定された後に、第２ユーザＵ２が第１場所Ｐ１にいる又は来たと判定されなくなった場合には、顔認証に基づいて、ロック解除処理を実行する。処理実行部１０５は、第１ユーザＵ１がチェックイン済みの第１場所Ｐ１にいる場合に、顔認証に基づいて、ロック解除処理を実行する。第２ユーザＵ２が第１場所Ｐ１にいる又は来たと判定された場合には、顔認証を成功させること以外のことを条件として、ロック解除処理が実行されてもよい。

［１－３－２．ユーザ端末で実現される機能］
　図４に示すように、ユーザ端末２０では、データ記憶部２００と、表示制御部２０１と、が実現される。データ記憶部２００は、記憶部２２を主として実現される。表示制御部２０１は、制御部２１を主として実現される。

[データ記憶部]
　データ記憶部２００は、チェックインに必要なデータを記憶する。例えば、データ記憶部２００は、チェックインアプリと、コードＩＤと、を記憶する。ユーザ端末２０は、サーバ１０により発行されたコードＩＤを受信して自身のデータ記憶部２００に記録する。ユーザ端末２０は、コードＩＤの有効期限も受信した場合には、有効期限も自身のデータ記憶部２００に記録する。

［表示制御部］
　表示制御部２０１は、コードＣを表示部２５に表示させる。例えば、表示制御部２０１は、チェックインアプリに基づいて、コードＩＤを含むコードＣを表示可能である。表示制御部２０１は、データ記憶部２００に記憶されたコードＩＤをコード化し、コードＣを表示させる。

［１－３－３．チェックイン端末で実現される機能］
　図４に示すように、チェックイン端末３０では、データ記憶部３００、受付部３０１、及び送信部３０２が実現される。データ記憶部３００は、記憶部３２を主として実現される。他の各機能は、制御部３１を主として実現される。

[データ記憶部]
　データ記憶部３００は、チェックインに必要なデータを記憶する。例えば、データ記憶部３００は、チェックイン端末３０を識別可能な端末ＩＤと、サーバ１０を識別可能な情報と、を記憶する。他にも例えば、データ記憶部３００は、チェックイン端末３０が配置された場所を識別可能な情報を記憶してもよい。

［受付部］
　受付部３０１は、任意の操作を受け付ける。受付部３０１により受け付けられた操作の内容は、送信部３０２によりサーバ１０に送信される。

［送信部］
　送信部３０２は、サーバ１０に、チェックインに必要な情報を送信する。例えば、送信部３０２は、チェックイン端末３０により取得されたコードＩＤを送信する。第１実施形態では、ユーザ端末２０のデータ記憶部２００にコードＩＤが記録されているので、送信部３０２は、ユーザ端末２０に記録されたコードＩＤを取得する。例えば、第１実施形態では、送信部３０２は、コードＣがチェックイン端末３０で読み取られた場合に、コードＩＤを取得する。チェックイン端末３０は、コードＩＤを取得するための端末であればよく、コードＩＤの取得方法に応じた端末であればよい。

　コードＩＤは、光学的に取得されなくてもよく、通信によって取得されてもよい。この場合、ユーザ端末２０と通信可能な通信機器がチェックイン端末に相当してもよい。通信自体は、任意のプロトコルを利用可能であり、例えば、Ｗｉ－Ｆｉ（登録商標）、Ｂｌｕｅｔｏｏｔｈ（登録商標）、又は赤外線通信であってもよいし、公知のＩＣカードで採用されている近距離無線通信であってもよい。

［１－３－４．認証端末で実現される機能］
　図４に示すように、認証端末４０では、データ記憶部４００、受付部４０１、及び送信部４０２が実現される。データ記憶部４００は、記憶部４２を主として実現される。他の各機能は、制御部４１を主として実現される。

[データ記憶部]
　データ記憶部４００は、認証に必要なデータを記憶する。例えば、データ記憶部４００は、認証端末４０を識別可能な端末ＩＤと、サーバ１０を識別可能な情報と、を記憶する。他にも例えば、データ記憶部４００は、認証端末４０が配置された場所を識別可能な情報を記憶してもよい。

［受付部］
　受付部４０１は、パスコードの入力を受け付ける。受付部４０１は、他の任意の操作を受付可能である。受付部４０１により受け付けられた操作の内容は、送信部４０２によりサーバ１０に送信される。

［送信部］
　送信部４０２は、サーバ１０に、顔認証及びパスコード認証の各々に必要な情報を送信する。例えば、送信部４０２は、サーバ１０に、認証端末４０の撮影部４６により撮影された撮影画像を送信する。サーバ１０が顔の特徴量を計算するのではなく、認証端末４０が顔の特徴量を計算してもよい。この場合、送信部４０２は、サーバ１０に、認証端末４０により計算された顔の特徴量を送信する。例えば、送信部４０２は、サーバ１０に、受付部４０１が入力を受け付けたパスコードを送信する。

［１－４．第１実施形態の認証システムで実行される処理］
　図７は、第１実施形態の認証システムＳで実行される処理の一例を示すフロー図である。図７に示す処理は、制御部１１，２１，３１，４１の各々が記憶部１２，２２，３２，４２の各々に記憶されたプログラムに従って動作することによって実行される。図７の処理は、図４の機能ブロックにより実行される処理の一例である。図７の処理が実行されるにあたり、ユーザＵは利用登録を済ませているものとする。なお、図７では、第１ユーザＵ１及び第２ユーザＵ２を区別せず、単にユーザＵと記載する。

　まず、ユーザＵが第１場所Ｐ１に来てチェックインアプリを起動させると、記憶部２２に記憶されたコードＩＤに基づいて、コードＣを表示部２５に表示させる。この処理は、図７では省略する。図７に示すように、チェックイン端末３０は、ユーザＵがコードＣをチェックイン端末３０の読取部３７にかざすと、読取部３７により読み取られたコードＣに含まれるコードＩＤを取得する（Ｓ１００）。チェックイン端末３０は、サーバ１０に、記憶部３２に記憶された自身の端末ＩＤと、Ｓ１００で取得されたコードＩＤと、を送信する（Ｓ１０１）。

　サーバ１０は、端末ＩＤ及びコードＩＤを受信すると、ユーザデータベースＤＢ１を参照し、チェックインを実行する（Ｓ１０２）。Ｓ１０２では、サーバ１０は、コードＩＤ及び有効期限を確認する。サーバ１０は、有効期限内のコードＩＤであれば、このコードＩＤに関連付けられたユーザＩＤ、顔の特徴量、及びパスコードを取得し、チェックイン日時及びパスコード認証フラグとともにチェックインデータベースＤＢ２に格納する。サーバ１０は、チェックイン端末３０に、チェックインの実行結果を送信する。なお、受信したコードＩＤが有効でない場合には、チェックインが実行されずに本処理は終了する。

　チェックイン端末３０は、チェックインの実行結果を受信すると、セキュリティゲートＧを開けるための処理を実行する（Ｓ１０３）。Ｓ１０３では、チェックイン端末３０は、チェックインが実行された旨を示す実行結果が受信された場合に、セキュリティゲートＧを開けるための処理を実行する。チェックインが実行されなかった旨を示す実行結果が受信された場合には、セキュリティゲートＧを開けるための処理は実行されない。この処理は、セキュリティゲートＧのドアが開くようにモータを制御する処理等である。

　以降、ユーザＵは、第１場所Ｐ１のオフィスビルに入場し、顔認証によってロック解除処理を実行できるようになる。ユーザＵが、任意の部屋の認証端末４０の前に移動し、認証端末４０の撮影部４６に自身の顔を撮影させると、認証端末４０は、サーバ１０に、自身の端末ＩＤと、撮影部４６により生成された撮影画像と、を送信する（Ｓ１０４）。サーバ１０は、撮影画像を受信すると、チェックインデータベースＤＢ２に基づいて、顔認証を実行する（Ｓ１０５）。

　Ｓ１０５では、サーバ１０は、撮影画像に撮影された顔の特徴量を計算する。サーバ１０は、チェックインデータベースＤＢ２を参照し、撮影画像を送信した認証端末４０の端末ＩＤに関連付けられた顔の特徴量を取得する。サーバ１０は、撮影画像から計算された顔の特徴量と、チェックインデータベースＤＢ２から取得された顔の特徴量と、に基づいて顔認証を実行する。サーバ１０は、これらの違いが閾値未満のものが１つでも存在すれば、顔認証が成功したと判定する。互いに顔が似たユーザＵがチェックイン中の場合には、複数の顔の特徴量で顔認証が成功することになる。

　複数の顔の特徴量で顔認証が成功した場合（Ｓ１０５；複数）、即ち、第２ユーザＵ２が第１場所Ｐ１にチェックインしており、顔認証が成功した顔の特徴量が格納されたレコードのパスコード認証フラグが「１」の場合、サーバ１０は、認証端末４０に、パスコード認証を要求する（Ｓ１０６）。認証端末４０は、要求を受信すると、パスコードの入力を促す画面を表示部４５に表示させ、パスコードの入力を受け付ける（Ｓ１０７）。認証端末４０は、サーバ１０に、自身の端末ＩＤと、操作部４４から入力されたパスコードと、を送信する（Ｓ１０８）。

　サーバ１０は、パスコード及び端末ＩＤを受信すると、パスコード認証を実行する（Ｓ１０９）。Ｓ１０９では、サーバ１０は、チェックインデータベースＤＢ２を参照し、Ｓ１０５で顔認証が成功したレコードに格納されたパスコードを取得する。サーバ１０は、当該取得したパスコードと、認証端末４０から受信したパスコードと、が一致するか否かを判定する。これらが一致する場合に、パスコード認証が成功する。

　パスコード認証が成功した場合（Ｓ１０９；成功）、サーバ１０は、認証端末４０に、認証が成功したことを示す成功通知を送信する（Ｓ１１０）。認証端末４０は、成功通知を受信すると、ドアのロックを解除するためのロック解除処理を実行し（Ｓ１１１）、本処理は終了する。Ｓ１１１では、電子錠を解錠するための信号の出力等が実行される。ユーザＵは、顔認証及びパスコード認証成功させたので、部屋に入室できる。パスコード認証が失敗した場合（Ｓ１０９；失敗）、所定のエラーメッセージが認証端末４０の表示部４５に表示され、本処理は終了する。

　Ｓ１０５において、１つの顔の特徴量だけで顔認証が成功した場合（Ｓ１０５；１つ）、即ち、第２ユーザＵ２がオフィスビルにチェックインしておらず、顔認証が成功した顔の特徴量が格納されたレコードのパスコード認証フラグが「０」の場合、パスコード認証が要求されることなく、Ｓ１１０の処理に移行する。この場合、ユーザＵは、顔認証だけで部屋に入室できる。Ｓ１０５において、顔認証が成功しなかった場合（Ｓ１０５；失敗）、所定のエラーメッセージが認証端末４０の表示部４５に表示され、本処理は終了する。

　第１実施形態の認証システムＳによれば、顔認証で第１ユーザＵ１として認証される可能性がある第２ユーザＵ２が第１場所Ｐ１にいる又は来たと判定されない場合に、顔認証に基づいて、ロック解除処理を実行する。これにより、第１ユーザＵ１及び第２ユーザＵ２を互いに区別できないといったことを防止し、本人確認を確実に実行してセキュリティが高まる。例えば、第２ユーザＵ２が第１ユーザＵ１になりすまして部屋に入ることを防止できる。逆に、第１ユーザＵ１が第２ユーザＵ２になりすまして部屋に入ることを防止できる。第１ユーザＵ１は、第２ユーザＵ２が第１場所Ｐ１にいる又は来たと判定されない場合には、顔認証だけで部屋に入ることができるので、第１ユーザＵ１の利便性が高まる。また、この場合にはパスコード認証を実行する必要がないので、認証システムＳの処理負荷を軽減できる。

　また、認証システムＳは、第２ユーザＵ２が第１場所Ｐ１にいる又は来たと判定された後に、第２ユーザＵ２が第１場所Ｐ１にいる又は来たと判定されなくなった場合には、顔認証に基づいて、ロック解除処理を実行する。第２ユーザＵが第１場所Ｐ１からいなくなったので、顔認証だけを利用しても、第１ユーザＵ１及び第２ユーザＵ２を互いに区別できないといったことが発生しない。このため、本人確認を確実に実行してセキュリティが高まる。第１ユーザＵ１は、顔認証だけで部屋に入ることができるので、第１ユーザＵ１の利便性が高まる。また、この場合にはパスコード認証を実行する必要がないので、認証システムＳの処理負荷を軽減できる。

　また、認証システムＳは、第２ユーザＵ２が第１場所Ｐ１にいる又は来たと判定された場合に、顔認証と、パスコード認証と、に基づいて、ロック解除処理を実行する。これにより、第１ユーザＵ１及び第２ユーザＵ２を互いに区別できない状態だったとしても、パスコード認証によって本人確認を確実に実行してセキュリティが高まる。

　また、認証システムＳは、第１ユーザＵ１がチェックイン済みの第１場所Ｐ１にいる場合に、顔認証に基づいて、ロック解除処理を実行する。これにより、第１ユーザＵ１がチェックインした第１場所Ｐ１におけるなりすましを防止し、この第１場所Ｐ１における本人確認を確実に実行してセキュリティが高まる。

　また、認証システムＳは、第２ユーザＵ２が第１場所Ｐ１にチェックインしたか否かを判定することによって、第２ユーザＵ２が第１場所Ｐ１にいる又は来たか否かを判定する。これにより、第２ユーザＵ２が第１場所Ｐ１にいる又は来たか否かを確実に判定できる。また、第２ユーザＵ２がチェックインした第１場所Ｐ１におけるなりすましを防止し、この第１場所Ｐ１における本人確認を確実に実行してセキュリティが高まる。

［２．第２実施形態］
　次に、認証システムＳの第２実施形態を説明する。第１実施形態では、第２ユーザＵ２が第1ユーザＵ１と同じ場所にチェックインする場合を例に挙げた。第２実施形態では、第２ユーザＵ２が第１ユーザＵ１とは異なる場所にチェックインする場合を例に挙げる。なお、第２実施形態では、第１実施形態と同様の内容は、説明を省略する。

［２－１．第２実施形態の認証システムの概要］
　図８及び図９は、第２実施形態の認証システムＳの一例を示す図である。第２実施形態では、第２ユーザＵ２は、第１ユーザＵ１と同じ企業に勤務するものとする。この企業は、第１場所Ｐ１にある第１オフィスビルと、第２場所Ｐ２にある第２オフィスビルと、の各々に入居している。第１場所Ｐ１及び第２場所Ｐ２の各々には、第１実施形態と同様のセキュリティゲートＧが配置されている。

　第２実施形態では、第１ユーザＵ１は、第１場所Ｐ１及び第２場所Ｐ２のうちの任意の方にチェックインできる。例えば、第１ユーザＵ１は、第１場所Ｐ１にチェックインした後に、第２場所Ｐ２に移動できる。第２ユーザＵ２も、第１場所Ｐ１及び第２場所Ｐ２のうちの任意の方にチェックインできる。例えば、第２ユーザＵ２は、第２場所Ｐ２にチェックインした後に、第１場所Ｐ１に移動できる。

　チェックイン時の認証は、第１実施形態と同じであってもよいが、第２実施形態では、チェックイン時の認証として、顔認証が利用される場合を例に挙げる。即ち、第１場所Ｐ１及び第２場所Ｐ２の各々へのチェックイン時に、顔認証が実行される場合を例に挙げる。ただし、第１ユーザＵ１及び第２ユーザＵ２は互いに顔が似ているので、チェックイン時に、顔認証だけでなく、原則としてパスコード認証も実行されるものとする。

　例えば、第１ユーザＵ１及び第２ユーザＵ２の各々が第１場所Ｐ１又は第２場所Ｐ２の何れにもチェックインしていない状態で、第２ユーザＵ２が第２場所Ｐ２にチェックインしようとしたとする。この場合、認証システムＳは、第２場所Ｐ２にチェックインしようしている者が第１ユーザＵ１なのか第２ユーザＵ２なのかを顔認証だけでは判定できないので、顔認証だけではなく、パスコード認証も要求される。

　第２ユーザＵ２は、第２場所Ｐ２のチェックイン端末３０から顔認証及びパスコード認証を実行する。第２ユーザＵ２の顔認証及びパスコード認証が成功した場合、第２ユーザＵ２は、第２場所Ｐ２にチェックインする。第２ユーザＵ２は、第２場所Ｐ２のセキュリティゲートＧを通過する。第２場所Ｐ２にあるオフィスビル内の部屋への入室時の流れは、第１実施形態と同様であってもよいが、第２実施形態では、この流れは省略する。

　第２ユーザＵ２の顔認証及びパスコード認証が成功した場合、認証システムＳは、第２ユーザＵ２が第２場所Ｐ２にいること把握できる。第１場所Ｐ１及び第２場所Ｐ２の間は、ある程度の距離があるので、第２ユーザＵ２が第２場所Ｐ２にチェックインした場合、第２ユーザは、ある程度の時間が経過しなければ、第１場所Ｐ１に移動できない。そこで、第２実施形態では、第２ユーザＵ２が第１場所Ｐ１に移動できないと予測される期間内であれば、第１ユーザＵ１を顔認証だけで第１場所Ｐ１にチェックインさせるようにしている。以降、この期間を、予測期間と記載する。

　例えば、第１場所Ｐ１と第２場所Ｐ２との間の移動に要する移動時間が１時間だったとする。図９に示すように、第２ユーザＵ２が１１：３０に第２場所Ｐ２にチェックインした場合、１１：３０から１時間後の１２：３０までは、第２ユーザＵ２は、第１場所Ｐ１に移動できないと予測される。このため、第１ユーザＵ１は、１２：３０までであれば、顔認証だけで第１場所Ｐ１にチェックインできる。

　例えば、第１ユーザＵ１が１２：００に顔認証だけで第１場所Ｐ１にチェックインした場合、１２：００から１時間後の１３：００までは、第１ユーザＵ１は、第２場所Ｐ２に移動できないと予測される。このため、第２ユーザＵ２は、例えば昼食のために第２場所Ｐ２から一時的に離れたとしても、１３：００までであれば、顔認証だけで第２場所Ｐ２にチェックインできる。

　なお、第１場所Ｐ１及び第２場所Ｐ２の各々からのチェックアウトが実行されてもよいが、第２実施形態では、チェックアウトは実行されないものとする。このため、第２ユーザＵ２が第２場所Ｐ２から離れたとしても、認証システムＳは、第２ユーザＵ２が第２場所Ｐ２から離れたことを把握できないものとする。同様に、第１ユーザＵ１が第１場所Ｐ１から離れたとしても、認証システムＳは、第１ユーザＵ１が第１場所Ｐ１から離れたことを把握できないものとする。

　例えば、第２ユーザＵ２が、第２場所Ｐ２から一時的に離れた後に、１２：５０に、第２場所Ｐ２にチェックインしようとしたとする。この場合、第１ユーザＵ１が第２場所Ｐ２に移動できないと予測される予測期間内なので、第２ユーザＵ２は、顔認証だけで第２場所Ｐ２にチェックインできる。この場合、１２：５０から１時間後の１３：５０までは、第２ユーザＵ２は、第１場所Ｐ１に移動できないと予測される。このため、第１ユーザＵ１は、第１場所Ｐ１から一時的に離れたとしても、１３：５０までであれば、顔認証だけで第１場所Ｐ１にチェックインできる。

　ただし、１３：５０を過ぎると、第２ユーザＵ２が第２場所Ｐ２を離れて第１場所Ｐ１に来る可能性があるので、第１ユーザＵ１は、顔認証だけでは第１場所Ｐ１にチェックインできなくなる。例えば、第１ユーザＵ１が、第１場所Ｐ１から一時的に離れた後に、第１場所Ｐ１に１４：１０に再入場しようとしたとする。この場合、１３：５０を過ぎているので、第１ユーザＵ１は、第１場所Ｐ１にチェックインするために、顔認証及びパスコード認証を成功させる必要がある。第１ユーザＵ１が、顔認証及びパスコード認証を成功させて第１場所Ｐ１にチェックインすると、第２ユーザＵ２は、１４：１０から１時間後の１５：１０までは、顔認証だけで第２場所Ｐ２にチェックインできるようになる。

　以上のように、第２実施形態の認証システムＳでは、第２ユーザＵ２が第２場所Ｐ２にチェックインした場合に、第２ユーザＵ２が第１場所Ｐ１に移動できないと予測される予測期間であれば、第１ユーザＵ１は、顔認証だけで第１場所Ｐ１にチェックインできる。第２ユーザＵ２についても同様であり、第１ユーザＵ１が第２場所Ｐ２に移動できないと予測される予測期間であれば、第２ユーザＵ２は、顔認証だけで第２場所Ｐ２にチェックインできる。これにより、セキュリティを高めつつ、第１ユーザＵ１及び第２ユーザＵ２の利便性が高まる。以降、第２実施形態の詳細を説明する。

［２－２．第２実施形態の認証システムで実現される機能］
　図１０は、第２実施形態の認証システムＳで実現される機能の一例を示す機能ブロック図である。図１０に示すように、サーバ１０では、データ記憶部１００、チェックイン部１０１、第１認証部１０２、第２認証部１０３、処理実行部１０５、予測部１０６、及び第１制限部１０７が実現される。予測部１０６及び第１制限部１０７の各々は、制御部１１を主として実現される。

［データ記憶部］
　データ記憶部１００は、第１実施形態と概ね同様のデータを記憶するが、チェックインデータベースＤＢ２の内容が第１実施形態とは異なる。なお、データ記憶部１００は、第１場所Ｐ１及び第２場所Ｐ２に関するデータベースを記憶してもよい。このデータベースには、第１場所Ｐ１に関する第１場所情報と、第２場所Ｐ２に関する第２場所情報と、が格納されているものとする。これらの位置は、任意の情報によって特定可能であり、例えば、緯度経度情報、住所、郵便番号、座標情報、又はこれらの組み合わせによって特定可能である。第２実施形態では、第１場所情報が第１場所Ｐ１の緯度経度情報であり、第２場所情報が第２場所Ｐ２の緯度経度情報である場合を説明する。

　図１１は、第２実施形態のチェックインデータベースＤＢ２のデータ格納例を示す図である。第２実施形態では、第１場所Ｐ１へのチェックインと、第２場所Ｐ２へのチェックインと、が１つのチェックインデータベースＤＢ２で管理される場合を説明するが、これらは別々のチェックインデータベースＤＢ２で管理されてもよい。図１１に示すように、チェックインデータベースＤＢ２には、第１場所Ｐ１及び第２場所Ｐ２の各々の場所ＩＤ、チェックイン済みのユーザＵのユーザＩＤ、チェックイン日時、予測期間、及び顔認証だけでのチェックインが許可されたユーザＵの顔の特徴量が格納される。

　図１１のデータ格納例であれば、第１場所Ｐ１の場所ＩＤ「ｐ００００１」には、ユーザＩＤ「ｔａｒｏ．ｙａｍａｄａ１２３」が示す第１ユーザＵ１がチェックインしている。第１場所Ｐ１には、第１ユーザＵ１が顔認証だけでチェックインできる予測期間として「２０２１年６月１０日１３：００：４１」が設定されている。この予測期間は、第２ユーザＵ２が直近で第２場所Ｐ２にチェックインしたチェックイン日時「２０２１年６月１０日１２：００：４１」の１時間後である。図１１に示す「特徴量１」は、第１ユーザＵ１の顔の特徴量である。第１ユーザＵ１が顔認証だけで第１場所Ｐ１にチェックインする場合には、この「特徴量１」が顔認証における正解の顔の特徴量となる。

　第２場所Ｐ２の場所ＩＤ「ｐ００００２」には、ユーザＩＤ「ｙｏｓｈｉｄａ１１１ｊｉｒｏ」が示す第２ユーザＵ２がチェックインしている。第２場所Ｐ２には、第２ユーザＵ２が顔認証だけでチェックインできる予測期間として「２０２１年６月１０日１２：３０：２５」が設定されている。この予測期間は、第１ユーザＵ１が直近で第１場所Ｐ１にチェックインしたチェックイン日時「２０２１年６月１０日１１：３０：２５」の１時間後である。図１１に示す「特徴量２」は、第２ユーザＵ２の顔の特徴量である。第２ユーザＵ２が顔認証だけで第２場所Ｐ２にチェックインする場合には、この「特徴量２」が顔認証における正解の顔の特徴量となる。

［チェックイン部・第１認証部・第２認証部］
　チェックイン部１０１、第１認証部１０２、及び第２認証部１０３は、第１実施形態と概ね同様であるが、第１認証部１０２による顔認証と、第２認証部１０３によるパスコード認証と、の各々は、第１実施形態では部屋の入室時に実行されたが、第２実施形態ではチェックイン時に実行される。顔認証及びパスコード認証自体は、第１実施形態で説明した通りである。第１実施形態では、認証端末４０から撮影画像及びパスコードが取得される場合を説明したが、第２実施形態では、チェックイン端末３０から撮影画像及びパスコードが取得される。

　例えば、第１ユーザＵ１及び第２ユーザＵ２の各々がまだ第１場所Ｐ１又は第２場所Ｐ２の何れにもチェックインしていない場合に、チェックイン部１０１は、第１ユーザＵ１を第１場所Ｐ１にチェックインさせる。また、チェックイン部１０１は、第２ユーザＵ２を第２場所Ｐ２にチェックインさせる。第１ユーザＵ１又は第２ユーザＵ２の何れかのチェックインが完了した後に予測期間が設定された場合には、処理実行部１０５によりチェックインが実行される。第２実施形態では、予測期間外のチェックインは、チェックイン部１０１の処理として説明し、予測期間内のチェックインは、処理実行部１０５の処理として説明する。

　例えば、チェックイン部１０１は、第２ユーザＵ２が第２場所Ｐ２のチェックイン端末３０から顔認証及びパスコード認証を成功させた場合に、チェックインデータベースＤＢ２に、第２ユーザＵ２のユーザＩＤ及びチェックイン日時を格納する。また、チェックイン部１０１は、予測部１０６により予測された予測期間と、ユーザデータベースＤＢ１に格納された第１ユーザＵ１の顔の特徴量と、を格納する。チェックイン部１０１は、ユーザデータベースＤＢ１に格納された全ユーザＵの中から、第２場所Ｐ２にチェックインした第２ユーザＵ２と顔が似た第１ユーザＵ１を特定してもよいし、第１実施形態で説明したように、予め第２ユーザＵ２と第１ユーザＵ１との顔が似ていることをユーザデータベースＤＢ１に格納しておいてもよい。

［予測部］
　予測部１０６は、顔認証で第１ユーザＵ１として認証される可能性がある第２ユーザＵ２が第２場所Ｐ２にいた又は来た第２時間に関する第２時間情報と、第２場所Ｐ２に関する第２場所情報と、の少なくとも一方に基づいて、第２ユーザＵ２が第１場所Ｐ１にいない又は来ない予測期間を予測する。第２実施形態では、第２時間情報及び第２場所情報の両方に基づいて予測期間が予測される場合を説明するが、第２時間情報又は第２場所情報の何れか一方に基づいて予測期間が予測されてもよい。

　第２実施形態では、第２ユーザＵ２が第２場所Ｐ２にチェックインするので、第２場所Ｐ２へのチェックイン日時が第２時間に相当する。なお、時間は、日時ではなく、時刻だけを意味してもよいし、日付だけを意味してもよい。また、時間は、ある一定の長さを有する時間帯を意味してもよい。第２場所Ｐ２へのチェックイン時間について説明している箇所は、第２時間と読み替えることができる。第２場所Ｐ２へのチェックインが発生しない場合には、第２ユーザＵ２が第２場所Ｐ２にいた又は来たことが何らかの形で検知された時の時間が第２時間に相当すればよい。この検知方法については、後述の変形例で説明する。

　例えば、予測部１０６は、第１場所Ｐ１に関する第１場所情報と、第２場所情報と、に基づいて、第１場所Ｐ１と第２場所Ｐ２との間の距離を取得し、第２時間情報と、距離に応じた移動時間と、に基づいて、予測期間を予測する。この移動時間は、公知のナビゲーションアルゴリズムを利用して計算されるようにすればよい。例えば、徒歩、自動車、自転車、電車、又はバスといった移動手段ごとに標準的な移動速度が定められている。予測部１０６は、この移動速度と、第１場所Ｐ１と第２場所Ｐ２との間の距離と、に基づいて、移動時間を計算する。予測部１０６は、第２時間情報が示す第２時間から、移動時間だけ後までの期間を、予測期間として予測する。

　なお、予測期間の予測方法は、上記の例に限られない。予測期間は、第２時間情報及び第２場所情報の少なくとも一方に基づいて予測されるようにすればよい。例えば、予測部１０６は、第２時間情報が示す第２時間から所定時間だけ後までの期間を、予測期間として予測してもよい。この場合、第２場所情報が利用されずに予測期間が取得される。他にも例えば、予測部１０６は、第２場所情報に関連付けられた期間を、予測期間として予測してもよい。この場合、第２時間情報が利用されずに予測期間が取得される。

　第２実施形態では、予測部１０６は、第２時間情報及び第２場所情報の少なくとも一方が更新された場合に、当該更新された第２時間情報及び第２場所情報の少なくとも一方に基づいて、予測期間を更新する。更新後の情報が利用されるという点だけで異なり、予測期間の予測方法自体は、先述した通りである。第２実施形態では、第２場所Ｐ２へのチェックインが発生するので、予測部１０６は、第２ユーザＵ２が第２場所Ｐ２にチェックインした場合に、予測期間を予測する。

［第１制限部］
　第１制限部１０７は、予測期間が経過した場合には、顔認証に基づいてチェックインが実行されることを制限する。第２実施形態では、第１場所Ｐ１へのチェックインが第１処理に相当する。このため、第２実施形態で第１場所Ｐ１へのチェックインについて説明している箇所は、第１処理と読み替えることができる。第１実施形態の第１処理と、第２実施形態の第１処理と、は処理内容が異なるが、第２実施形態でも、第１実施形態で説明したロック解除処理が第１処理に相当してもよい。第１処理が任意の処理であってよい点は、第１実施形態で説明した通りである。

　例えば、第１制限部１０７は、顔認証と、パスコード認証と、に基づいてチェックインが実行されるように、パスコード認証を要求することによって、顔認証に基づいてチェックインが実行されることを制限する。なお、第１制限部１０７による制限方法は、第２実施形態の例に限られない。例えば、第１制限部１０７は、顔認証を実行せずに、他の認証を要求することによって、顔認証に基づいてチェックインが実行されることを制限してもよい。他の認証としては、第１実施形態で説明したようなユーザ端末２０を利用した認証であってもよいし、指紋認証又は虹彩認証といったようにより認識率の高い認証であってもよい。他にも例えば、第１制限部１０７は、オフィスビルの管理人に対し、対面でのチェックインを要求することによって、顔認証に基づいてチェックインが実行されることを制限してもよい。

［処理実行部］
　処理実行部１０５は、予測期間に実行された顔認証に基づいて、第１場所Ｐ１へのチェックインを実行する。処理実行部１０５は、予測期間に実行された顔認証が成功した場合に、第１場所Ｐ１へのチェックインを実行する。処理実行部１０５は、予測期間が経過した場合には、顔認証だけに基づいては、第１場所Ｐ１へのチェックインは実行しない。この場合のチェックインは、チェックイン部１０１により実行されるものであり、パスコード認証も要求されるチェックインである。処理実行部１０５のチェックインの処理自体は、チェックイン部１０１の処理と同様である。

［２－３．第２実施形態の認証システムで実行される処理］
　図１２は、第２実施形態の認証システムＳで実行される処理の一例を示すフロー図である。図１２に示す処理は、制御部１１，２１，３１，４１の各々が記憶部１２，２２，３２，４２の各々に記憶されたプログラムに従って動作することによって実行される。図１２の処理は、図１０の機能ブロックにより実行される処理の一例である。図１２の処理が実行されるにあたり、ユーザＵは利用登録を済ませているものとする。

　なお、第１ユーザＵ１は、第１場所Ｐ１にチェックインすることなく、第２場所Ｐ２にチェックインすることもできる。逆に、第２ユーザＵ２は、第２場所Ｐ２にチェックインすることなく、第１場所Ｐ１にチェックインすることもできる。このため、図１２では、第１ユーザＵ１及び第２ユーザＵ２を区別せずに、単にユーザＵと記載する。このユーザＵは、第１場所Ｐ１又は第２場所Ｐ２の何れかにチェックインしようとしている者である。同様に、第１場所Ｐ１及び第２場所Ｐ２を区別せずに、単に場所Ｐと記載する。この場所Ｐは、ユーザＵがチェックインしようとしている場所である。

　図１２に示すように、ユーザＵがある場所Ｐにいる又は来た場合に、この場所Ｐにあるチェックイン端末３０は、撮影部３６を利用してユーザＵの顔を撮影する（Ｓ２００）。チェックイン端末３０は、サーバ１０に、自身の端末ＩＤと、ユーザＵの顔が撮影された撮影画像と、を送信する（Ｓ２０１）。サーバ１０は、撮影画像及び端末ＩＤを受信すると、撮影画像に撮影された顔の特徴量を取得し、チェックインデータベースＤＢ２のうち、受信した端末ＩＤに対応する場所ＩＤが格納されたレコードに、撮影画像から取得された顔の特徴量と類似する顔の特徴量が格納されているか否かを判定する（Ｓ２０２）。

　類似する顔の特徴量が格納されていると判定されない場合（Ｓ２０２；Ｎ）、サーバ１０は、ユーザデータベースＤＢ１に、Ｓ２０２で取得した顔の特徴量と類似する顔の特徴量が格納されているか否かを判定する（Ｓ２０３）。Ｓ２０２で取得した顔の特徴量と類似する顔の特徴量が格納されていると判定されない場合（Ｓ２０３；Ｎ）、所定のエラーメッセージがチェックイン端末３０の表示部３５に表示され、本処理は終了する。

　Ｓ２０３において、Ｓ２０２で取得した顔の特徴量と類似する顔の特徴量が複数個格納されていると判定された場合（Ｓ２０３；複数）、サーバ１０は、チェックイン端末３０に、パスコード認証を要求する（Ｓ２０４）。チェックイン端末３０は、パスコード認証が要求されると、パスコードの入力を促す画面を表示部４５に表示させ、パスコードの入力を受け付ける（Ｓ２０５）。チェックイン端末３０は、サーバ１０に、操作部３４から入力されたパスコードと、自身の端末ＩＤと、を送信する（Ｓ２０６）。

　サーバ１０は、パスコード及び端末ＩＤを受信すると、パスコード認証を実行する（Ｓ２０７）。Ｓ２０７では、サーバ１０は、ユーザデータベースＤＢ１を参照し、Ｓ２０３で顔認証が成功したレコードに格納されたパスコードを取得する。サーバ１０は、当該取得したパスコードと、チェックイン端末３０から受信したパスコードと、が一致するか否かを判定する。これらが一致する場合に、パスコード認証が成功する。

　パスコード認証が成功した場合（Ｓ２０７；成功）、サーバ１０は、チェックインを実行し（Ｓ２０８）、チェックイン端末３０に、認証が成功したことを示す成功通知を送信する（Ｓ２０９）。チェックイン端末３０は、この通知を受信すると、セキュリティゲートＧを開けるための処理を実行し（Ｓ２１０）、本処理は終了する。Ｓ２１０では、セキュリティゲートＧを開けるための信号の出力等が実行される。ユーザＵは、顔認証及びパスコード認証を成功させたので、部屋に入室できる。パスコード認証が失敗した場合（Ｓ２０７；失敗）、所定のエラーメッセージがチェックイン端末３０の表示部３５に表示され、本処理は終了する。

　Ｓ２０２において類似する顔の特徴量が格納されていると判定された場合（Ｓ２０２；Ｙ）、サーバ１０は、予測期間であるか否かを判定する（Ｓ２１１）。予測期間であると判定されない場合（Ｓ２１１；Ｎ）、Ｓ２０４の処理に移行してパスコード認証が実行される。即ち、予測期間が経過しているので、パスコード認証が要求される。予測期間であると判定された場合（Ｓ２１１；Ｙ）、Ｓ２０８の処理に移行し、チェックインが実行される。即ち、顔認証だけでチェックインが実行される。

　第２実施形態の認証システムＳによれば、第２ユーザＵ２が第２場所Ｐ２にいた又は来た第２時間に関する第２時間情報と、第２場所Ｐ２に関する第２場所情報と、の少なくとも一方に基づいて、第２ユーザＵ２が第１場所Ｐ１にいない又は来ない予測期間を予測し、予測期間に実行された第１認証に基づいて、第１場所Ｐ１へのチェックインを実行する。これにより、第１ユーザＵ１及び第２ユーザＵ２を互いに区別できないといったことを防止し、本人確認を確実に実行してセキュリティが高まる。例えば、第２ユーザＵ２が第１ユーザＵ１になりすましてチェックインすることを防止できる。第１ユーザＵ１は、予測期間内であれば顔認証だけでチェックインできるので、第１ユーザＵ１の利便性が高まる。また、この場合にはパスコード認証を実行する必要がないので、認証システムＳの処理負荷を軽減できる。

　また、認証システムＳは、第１場所Ｐ１に関する第１場所情報と、第２場所情報と、に基づいて、第１場所Ｐ１と第２場所Ｐ２との間の距離を取得し、第２時間情報と、距離に応じた移動時間と、に基づいて、予測期間を予測することによって、予測期間を正確に予測できる。正確な予測期間を予測することによって、第１ユーザＵ１及び第２ユーザＵ２を互いに区別できないといったことをより確実に防止し、本人確認を確実に実行してセキュリティが高まる。

　また、認証システムＳは、第２時間情報及び第２場所情報の少なくとも一方が更新された場合に、当該更新された第２時間情報及び第２場所情報の少なくとも一方に基づいて、予測期間を更新する。これにより、最新の情報に基づいて予測期間を予測しなおすことができる。その結果、第１ユーザＵ１が顔認証だけでチェックインできる予測期間を延びるので、第１ユーザＵ１の利便性が高まる。

　また、認証システムＳは、予測期間が経過した場合には、顔認証に基づいて第１場所Ｐ１へのチェックインが実行されることを制限する。これにより、第２ユーザＵ２が第１場所Ｐ１に来る可能性がある期間になった場合には、第１ユーザＵ１を顔認証だけでチェックインさせないようにして、第１ユーザＵ１及び第２ユーザＵ２を互いに区別できないといったことを防止し、本人確認を確実に実行してセキュリティが高まる。例えば、第２ユーザＵ２が第１ユーザＵ１になりすましてチェックインすることを防止できる。逆に、第１ユーザＵ１が第２ユーザＵ２になりすましてチェックインすることを防止できる。

　また、認証システムＳは、第２ユーザＵ２を第２場所Ｐ２にチェックインした場合に、予測期間を予測することによって、第２ユーザＵ２が第２場所Ｐ２にいる又は来たことを確実に検知し、予測期間を正確に予測できる。正確な予測期間を予測することによって、第１ユーザＵ１及び第２ユーザＵ２を互いに区別できないといったことをより確実に防止し、本人確認を確実に実行してセキュリティが高まる。

［３．第３実施形態］
　次に、認証システムＳの第３実施形態を説明する。第１実施形態及び第２実施形態では、第２ユーザＵ２のチェックインによって、第２ユーザＵ２が第１場所Ｐ１又は第２場所Ｐ２に来たことが検知される場合を説明したが、第１ユーザＵ１及び第２ユーザＵ２の各々が何らかの予約等をすれば、いつどこにいる又は来るか事前に分かっていることがある。このため、第３実施形態では、第１ユーザＵ１が第１場所Ｐ１にチェックインする予定日又は予定日時に、第２ユーザＵ２が第１場所Ｐ１にチェックインしないことが事前に分かっていれば、第１ユーザＵ１を顔認証だけで第１場所Ｐ１にチェックインさせる場合を説明する。なお、第３実施形態では、第１実施形態及び第２実施形態と同様の内容は、説明を省略する。

［３－１．第３実施形態の認証システムの概要］
　図１３は、第３実施形態の認証システムＳの一例を示す図である。第３実施形態では、第１場所Ｐ１にあるオフィスビルにおいて、所定の日時にセミナーが開催されていたとする。更に、第１ユーザＵ１及び第２ユーザＵ２の各々は、セミナーを予約した者だったとする。この場合、認証システムＳは、第１ユーザＵ１及び第２ユーザＵ２の各々がいつ第１場所Ｐ１に来るかを事前に把握できる。更に、第１ユーザＵ１及び第２ユーザＵ２がチェックインサービスの利用登録を済ませていれば、互いに顔が似ていることも事前に把握できる。

　第３実施形態では、認証システムＳは、第１ユーザＵ１及び第２ユーザＵ２の各々が、同じ日時のセミナーを予約していなければ、第１ユーザＵ１を顔認証だけで第１場所Ｐ１にチェックインさせる。同様に、第２ユーザＵ２を顔認証だけで第２場所Ｐ２にチェックインさせる。例えば、第１ユーザＵ１が、２０２１年６月１０日の１４：００のセミナーに予約したとする。第２ユーザＵ２が、２０２１年６月１２日の１１：００のセミナーを予約したとする。この場合、第１ユーザＵ１及び第２ユーザＵ２の各々は、互いに別々の日時に第１場所Ｐ１を訪れるため、顔認証だけでチェックインさせる。

　一方、第１ユーザＵ１が、２０２１年６月１０日の１４：００のセミナーに予約したとする。第２ユーザＵ２も、２０２１年６月１０日の１４：００のセミナーに予約したとする。この場合、第１ユーザＵ１及び第２ユーザＵ２の各々は、互いに同じ又は略同じ日時に第１場所Ｐ１を訪れるため、顔認証だけではチェックインさせず、パスコード認証も要求する。顔認証及びパスコード認証を利用したチェックインの流れは、第２実施形態で説明した通りである。

　以上のように、第３実施形態の認証システムＳは、第１ユーザＵ１及び第２ユーザＵ２の各々が互いに同じ又はほぼ同じ日時に第１場所Ｐ１にいる又は来ると判定されない場合に、顔認証だけで第１場所Ｐ１にチェックインできるようにする。これにより、セキュリティを高めつつ、第１ユーザＵ１の利便性が高まる。以降、第３実施形態の詳細を説明する。

［３－２．第３実施形態の認証システムで実現される機能］
　図１４は、第３実施形態の認証システムＳで実現される機能の一例を示す機能ブロック図である。図１４に示すように、サーバ１０では、データ記憶部１００、第１認証部１０２、第２認証部１０３、処理実行部１０５、抽出部１０８、及び予定判定部１０９が実現される。抽出部１０８及び予定判定部１０９の各々は、制御部１１を主として実現される。

［データ記憶部］
　データ記憶部は、第１実施形態及び第２実施形態と概ね同様のデータを記憶するが、他のデータとして、予定情報データベースＤＢ３を記憶する。図１５は、予定情報データベースＤＢ３のデータ格納例を示す図である。図１５に示すように、予定情報データベースＤＢ３は、第１場所Ｐ１への来訪予定に関する予定情報が格納されたデータベースである。例えば、予定情報データベースＤＢ３には、セミナーの予定日又は予定日時、出席予定のユーザＵのユーザＩＤ、氏名、パスコード認証フラグ、顔の特徴量、及びパスコードが格納される。パスコード認証フラグは、第１実施形態で説明した通りである。第３実施形態では、セミナーの予定日又は予定日時は、このセミナーを予約したユーザＵが第１場所Ｐ１にいる又は来る予定の予定日又は予定日時である。１日に１回だけ開催されるセミナーであれば、時刻を含まない日付だけの予定日であってよい。

　サーバ１０は、ユーザＵによるセミナーの予約を受け付けると、予定情報データベースＤＢ３に新たなレコードを追加する。ユーザＵは、自身が参加するセミナーの予定日又は予定日時を指定する。サーバ１０は、ユーザＵにより指定されたセミナーの予定日又は予定日時、このユーザＵのユーザＩＤ、氏名、パスコード認証フラグ、顔の特徴量、及びパスコードを格納する。パスコード認証フラグは、顔が似た他のユーザＵが同じ予定日又は予定日時のセミナーを予約済みであれば、当該他のユーザＵのパスコード認証フラグも含めて「１」になる。なお、パスコード認証フラグが「０」のユーザＵについては、予定情報データベースＤＢ３にパスコードが格納されなくてもよい。これらの処理は、後述の抽出部１０８又は予定判定部１０９により実行される。

［抽出部］
　第２実施形態では、第１予定日又は第１予定日時は、第１ユーザＵ１を含む複数のユーザが第１場所Ｐ１にいる又は来る予定であり、抽出部１０８は、複数のユーザの各々の顔の特徴量を予めユーザデータベースＤＢ１から抽出する。抽出部１０８は、ユーザデータベースＤＢ１から抽出された顔の特徴量及びパスコードを、予定情報データベースＤＢ３に格納する。第２実施形態では、抽出部１０８は、顔の特徴量だけでなく、パスコードもユーザデータベースＤＢ１から抽出して予定情報データベースＤＢ３に格納する場合を説明するが、パスコードは特に抽出しなくてもよい。

［第１認証部・第２認証部］
　第１認証部１０２及び第２認証部１０３は、第１実施形態及び第２実施形態と概ね同様である。ただし、第２実施形態では、第１認証部１０２は、ユーザデータベースＤＢ１から抽出された複数のユーザＵの各々の認証情報に基づいて、複数のユーザＵの各々に関する顔認証を実行する。第１認証部１０２は、顔認証を実行する際に、ユーザベータベースを参照してもよいが、比較対象となる顔の特徴量が多くなるため、予定情報データベースＤＢ３を参照して顔認証を実行する。予定情報データベースＤＢ３には、セミナーの予定日又は予定日時にいる又は来る予定のユーザＵの顔の特徴量だけが格納されているので、顔認証時の比較対象となる顔の特徴量を減らすことができる。

［予定判定部］
　予定判定部１０９は、第１場所Ｐ１への来訪予定に関する予定情報に基づいて、第１ユーザＵ１が第１場所Ｐ１にいる又は来る第１予定日又は第１予定日時に、第１認証で第１ユーザＵ１として認証される可能性がある第２ユーザＵ２が第１場所Ｐ１にいる又は来るか否かを判定する。例えば、第１ユーザＵ１が第２ユーザＵ２よりも後にセミナーの予約をする場合には、予定判定部１０９は、第１ユーザＵ１がセミナーを予約する際に第１予定日又は第１予定日時を指定した場合に、予定情報データベースＤＢ３を参照し、顔が似た第２ユーザＵ２が同じ日又は日時に予約済みであるか否かを判定する。

　第２ユーザＵ２が第１ユーザＵ１よりも後にセミナーの予約をする場合には、予定判定部１０９は、第２ユーザＵ２がセミナーを予約する際に、予定情報データベースＤＢ３を参照し、顔が似た第２ユーザＵ２が予約済みの第１予定日又は第１予定日時を第２ユーザＵ２が指定したか否かを判定する。予定判定部１０９は、これらの判定結果に基づいて、予定情報データベースＤＢ３のパスコード認証フラグの値を決定する。第１予定日又は第１予定日時に第２ユーザＵ２が第１場所Ｐ１にいる又は来ると判定された場合には、パスコード認証フラグは「１」になる。第１予定日又は第１予定日時に第２ユーザＵ２が第１場所Ｐ１にいる又は来ると判定されない場合には、パスコード認証フラグは「０」になる。

［処理実行部］
　処理実行部１０５は、第１予定日又は第１予定日時に、第２ユーザＵ２が第１場所Ｐ１にいる又は来ると判定されない場合に、顔認証に基づいて、第１場所Ｐ１にチェックインするための処理を実行する。第３実施形態では、第１場所Ｐ１にチェックインするための処理が、第１ユーザＵ１に関する第１処理の一例である。このため、第１場所Ｐ１にチェックインするための処理について説明している箇所は、第１処理と読み替えることができる。チェックインの処理自体は、第１実施形態及び第２実施形態で説明した通りである。チェックインデータベースＤＢ２には、チェックインしたユーザＵに対応するレコードが作成される。チェックイン済みか否かを示す情報は、予定情報データベースＤＢ３に格納されていてもよい。この場合、この情報が更新されることによってチェックインが実行される。

　例えば、処理実行部１０５は、第１予定日又は第１予定日時に、第２ユーザＵ２が第１場所Ｐ１にいる又は来ると判定された場合に、顔認証と、パスコード認証と、に基づいて、第１場所Ｐ１へのチェックインを実行する。第１ユーザＵ１及び第２ユーザＵ２の各々は、第１場所Ｐ１にチェックイン可能であり、第１認証は、生体認証であり、予定情報は、第１場所Ｐ１へのチェックインの予定に関する情報である。第２ユーザＵ２は、生体認証で利用される生体情報が第１ユーザＵ１と類似するユーザＵである。

［３－３．第３実施形態の認証システムで実行される処理］
　図１６は、第３実施形態の認証システムＳで実行される処理の一例を示すフロー図である。図１６に示す処理は、制御部１１，２１，３１，４１の各々が記憶部１２，２２，３２，４２の各々に記憶されたプログラムに従って動作することによって実行される。図１６の処理は、図１４の機能ブロックにより実行される処理の一例である。図１６の処理が実行されるにあたり、ユーザＵは利用登録を済ませているものとする。

　図１６に示すように、ユーザ端末２０は、ユーザＵが操作部２４から第１場所Ｐ１で開催されるセミナーを予約するための操作を行うと、サーバ１０に、セミナーへの予約申込を送信する（Ｓ３００）。Ｓ３００では、ユーザＵは、複数の候補日又は候補日時の中から、自身が参加するセミナーの日又は日時を、第１予定日又は第１予定日時として指定する。予約申込には、ユーザＵが指定した第１予定日又は第１予定日時が含まれる。

　サーバ１０は、予約申込を受信すると、予定情報データベースＤＢ３に基づいて、顔が似た他のユーザＵが第１予定日又は第１予定日時のセミナーを予約済みであるか否かを判定する（Ｓ３０１）。顔が似た他のユーザＵが第１予定日又は第１予定日時のセミナーを予約済みであると判定された場合（Ｓ３０１；Ｙ）、サーバ１０は、ユーザデータベースＤＢ１に基づいて、パスコード認証フラグがオンになるように、予定情報データベースを更新する（Ｓ３０２）。Ｓ３０２では、サーバ１０は、予約申込をしたユーザＵと、顔が似た他のユーザＵと、の各々の顔の特徴量及びパスコードを取得する。サーバ１０は、これらのユーザＵに対応するレコードに、顔の特徴量及びパスコードを格納し、パスコード認証フラグをオンにする。

　顔が似た他のユーザが第１予定日又は第１予定日時のセミナーを予約済みであると判定されない場合（Ｓ３０１；Ｎ）、サーバ１０は、ユーザデータベースＤＢ１に基づいて、パスコード認証フラグがオフになるように、予定情報データベースを更新する（Ｓ３０３）。Ｓ３０２では、サーバ１０は、予約申込をしたユーザＵの顔の特徴量を取得する。サーバ１０は、このユーザＵに対応するレコードに、顔の特徴量を格納し、パスコード認証フラグをオフにする。

　以上の処理により、ユーザＵによるセミナーの予約が完了する。ユーザＵは、自身が予約したセミナーの日時が近づくと、第１場所Ｐ１に移動する。ユーザＵは、第１場所Ｐ１にいる又は来ると、チェックイン端末３０の撮影部３６に自身の顔を撮影させる（Ｓ３０４）。続くＳ３０５の処理は、Ｓ２０１の処理と同様である。サーバ１０は、端末ＩＤ及び撮影画像を受信すると、撮影画像に基づいて顔の特徴量を取得し、予定情報データベースに、類似する顔の特徴量が格納されているか否かを判定する（Ｓ３０６）。Ｓ３０６では、予定情報データベースＤＢ３に格納された予定情報のうち、現在日時に近い予定日又は予定日時のセミナーの予定情報が判定対象となる。

　類似する顔の特徴量が格納されていると判定された場合（Ｓ３０６；Ｙ）、サーバ１０は、予定情報データベースＤＢ３に基づいて、顔認証が成功したレコードのパスコード認証フラグを参照する（Ｓ３０７）。パスコード認証フラグがオンの場合（Ｓ３０７；オン）、続くＳ３０８～Ｓ３１４の処理は、Ｓ２０４～Ｓ２１０の処理と同様であり、パスコード認証が実行されてパスコード認証が成功するとセキュリティゲートＧが開く。パスコード認証フラグがオフの場合（Ｓ３０７；オフ）、Ｓ３１２に移行する。この場合、パスコード認証が実行されず、顔認証だけでチェックインできる。

　第３実施形態の認証システムＳによれば、第１予定日又は第１予定日時に、第２ユーザＵ２が第１場所Ｐ１にいる又は来ると判定されない場合に、顔認証に基づいて、第１ユーザＵ１が第１場所Ｐ１にチェックインするための処理を実行する。これにより、第１ユーザＵ１及び第２ユーザＵ２を互いに区別できないといったことを防止し、本人確認を確実に実行してセキュリティが高まる。例えば、第２ユーザＵ２が第１場所Ｐ１にいる又は来ると判定されなければ、第１ユーザＵ１が顔認証だけでチェックインすることを許可しても、第２ユーザＵ２がそもそも第１場所Ｐ１にチェックインしようとしない可能性が高いので、第２ユーザＵ２が第１ユーザＵ１になりすましてチェックインすることを防止できる。第２ユーザＵ２が第１場所Ｕ１にいる又は来ると判定されない場合に、第１ユーザＵ１は、顔認証だけでチェックインできるので、第１ユーザＵ１の利便性が高まる。また、この場合にはパスコード認証を実行する必要がないので、認証システムＳの処理負荷を軽減できる。

　また、認証システムＳは、第１予定日又は第１予定日時に、第２ユーザＵ２が第１場所Ｐ１にいる又は来ると判定された場合に、顔認証と、パスコード認証と、に基づいて、第１ユーザＵ１が第１場所Ｐ１にチェックインするための処理を実行する。これにより、第１ユーザＵ１及び第２ユーザＵ２を互いに区別できない状態だったとしても、パスコード認証によって本人確認を確実に実行してセキュリティが高まる。

　また、認証システムＳは、第１予定日又は第１予定日時になった又は近づいた場合に、複数のユーザＵの各々の顔の特徴量を予めユーザデータベースＤＢ１から抽出し、ユーザデータベースＤＢ１から抽出された複数のユーザＵの各々の顔の特徴量に基づいて、複数のユーザＵの各々に関する顔認証を実行する。これにより、顔認証時に比較対象となる顔の特徴量の数が減るので、サーバ１０の処理負荷を軽減できる。更に、顔認証を迅速に完了できる。

　また、認証システムＳは、第２ユーザＵ２は、顔認証で利用される顔の特徴量が第１ユーザＵ１と類似するユーザＵであり、顔認証により、第１場所Ｐ１にチェックインするための処理が実行される、これにより、第１場所Ｐ１にチェックインする時のセキュリティが高まる。

［４．変形例］
　なお、本開示は、以上に説明した実施の形態に限定されるものではない。本開示の趣旨を逸脱しない範囲で、適宜変更可能である。

［４－１．第１実施形態に係る変形例］
　第１実施形態に係る変形例を説明する。図１７は、第１実施形態に係る変形例における機能ブロック図の一例である。図１７に示すように、第１実施形態に係る変形例では、第１実施形態で説明した図４の機能の他に、予測部１０６、予定判定部１０９、及び第３認証部１１０が実現される。第３認証部１１０は、制御部１１を主として実現される。予測部１０６及び予定判定部１０９の各々は、第２実施形態及び第３実施形態で説明した内容と異なる点を説明する。

［変形例１－１］
　例えば、認証システムＳは、任意のサービスに適用可能である。以降説明する第１実施形態に係る変形例では、電子決済サービスに認証システムＳを適用した場合を例に挙げる。この点は、第２実施形態に係る変形例についても同様である。電子決済サービスは、ユーザＵの決済手段を利用して電子決済を提供するサービスである。ユーザＵが利用可能な決済手段は、任意の種類であってよく、例えば、クレジットカード、デビットカード、電子マネー、電子キャッシュ、ポイント、銀行口座、ウォレット、仮想通貨、又はこれらの組み合わせであってもよい。

　例えば、ユーザ端末２０には、電子決済サービスのアプリケーション（以降、電子決済アプリ）がインストールされている。ユーザＵは、ユーザ端末２０の電子決済アプリを起動し、第１実施形態と同様のコードＣを表示させる。チェックイン用のコードＣと、電子決済用のコードＣと、は異なってもよい。変形例１－１では、このコードＣは、所定の場所へのチェックインだけでなく、電子決済にも利用可能である。コードＣを利用した決済方法自体は、公知の方法を利用可能である。

　ユーザデータベースＤＢ１には、ユーザＵの決済手段に関する決済情報が登録されており、コードＩＤに関連付けられた決済情報に基づいて、電子決済が実行される。決済情報は、決済手段に応じた情報を含めばよく、例えば、クレジットカード番号、デビットカード番号、電子マネーＩＤ、電子キャッシュＩＤ、ポイントＩＤ、銀行口座情報、ウォレット情報、又は仮想通貨ＩＤ等である。バーコード又は二次元コードを利用した決済もバーコード決済又は二次元コード決済と呼ばれることがあるので、これらのコードも決済手段の１つである。

　図１８は、変形例１－１の認証システムＳの一例を示す図である。図１８に示すように、変形例１－１では、第１ユーザＵ１及び第２ユーザＵ２の各々は、野球場等のスタジアムにチェックインする場合を例に挙げる。第１ユーザＵ１及び第２ユーザＵ２の各々は、試合のチケットを事前に購入しているものとする。コードＣは、電子決済を実行するためだけではなく、電子チケットも兼ねているものとする。電子チケット自体は、公知の種々のものを利用可能である。サーバ１０には、電子チケットを識別可能な電子チケットＩＤが記憶されており、コードＣにも電子チケットＩＤが含まれているものとする。

　図１８に示すように、スタジアムのエントランスには、チェックイン端末３０が配置されている。例えば、第１ユーザＵ１は、ユーザ端末２０に表示させたコードＣをチェックイン端末３０にかざし、スタジアムにチェックインする。この時のチェックインの流れは、公知の電子チケットにおけるチェックインの流れを利用可能である。第１ユーザＵ１は、スタジアムにチェックインすると、エントランスからスタジアムの場内に入る。サーバ１０は、ユーザ端末２０を利用したチェックインにより、第２ユーザＵ２ではなく第１ユーザＵ１がチェックインしたことを把握できる。サーバ１０は、第１実施形態と同様にして、第１ユーザＵ１の顔の特徴量やパスコード等の情報が格納されるように、チェックインデータベースＤＢ２を更新する。

　第１ユーザＵ１は、スタジアムにチェックインすると、スタジアムの場内では、顔認証による電子決済が可能になる。スタジアム内の店舗には、認証端末４０が配置されている。第１ユーザＵ１は、顔認証による電子決済を利用する場合、認証端末４０の撮影部４６に自身の顔を撮影させる。認証端末４０は、サーバ１０に撮影画像を送信する。サーバ１０は、第１実施形態と同様にして顔認証を実行する。即ち、この顔認証は、ユーザデータベースＤＢ１ではなく、チェックインデータベースＤＢ２が参照される。この時点では、第２ユーザＵ２がスタジアムにチェックインしていないので、第１ユーザＵ１及び第２ユーザＵ２が区別できないといったことは発生しない。スタジアム内の店舗からの決済処理であるか否かは、端末ＩＤ等によって判定されるようにすればよい。

　サーバ１０は、第１ユーザＵ１の顔認証が成功すると、ユーザデータベースＤＢ１に格納された第１ユーザＵ１の決済情報に基づいて、決済処理を実行する。変形例１－１では、第１ユーザＵ１の決済情報を利用した決済処理が第１処理に相当する。この点は、以降説明する変形例１－２～１－８も同様である。決済処理自体は、公知の処理を利用可能である。例えば、決済手段としてクレジットカードが利用される場合には、与信処理等が実行される。決済手段として電子マネーが利用される場合には、電子マネーの残高を減少させる処理が実行される。他の決済手段が利用される場合には、その決済手段に応じた処理が実行されるようにすればよい。

　なお、変形例１－１では、第１ユーザＵ１は、スタジアムの外にある店舗では、原則として顔認証では電子決済サービスを利用できないものとする。第１ユーザＵ１は、ユーザ端末２０を利用してチェックインしたスタジアムの敷地内において、顔認証により電子決済サービスを利用できる。第１ユーザＵ１は、スタジアム内において、顔認証ではなく、ユーザ端末２０に表示させたコードＣを利用して電子決済サービスを利用してもよい。他にも例えば、第１ユーザＵ１は、ユーザ端末２０のＩＣチップ２７を利用して電子決済サービスを利用してもよい。

　図１８に示すように、第２ユーザＵ２は、自身のユーザ端末２０にコードＣを表示させ、チェックイン端末３０にかざしてスタジアムにチェックインする。この場合、第１ユーザＵ１及び第２ユーザＵ２の各々がスタジアム内にいる状態になるので、サーバ１０は、第１ユーザＵ１及び第２ユーザＵ２を区別できない状態になる。そこで、処理実行部１０５は、顔認証と、パスコード認証と、に基づいて、決済処理を実行する。これら２つの認証が実行される時の処理の流れは、第１実施形態で説明した通りである。

　例えば、第１ユーザＵ１が、スタジアム内の店舗の認証端末４０から顔認証及びパスコード認証を成功させると、処理実行部１０５は、第１ユーザＵ１の決済情報に基づいて、決済処理を実行する。同様に、第２ユーザＵ２が、スタジアム内の店舗の認証端末４０から顔認証及びパスコード認証を成功させると、処理実行部１０５は、第２ユーザＵ２の決済情報に基づいて、決済処理を実行する。

　第２ユーザＵ２がスタジアムからチェックアウトすると、第１ユーザＵ１は、再び顔認証だけで電子決済サービスを利用できるようになる。チェックアウトの流れは、第１実施形態と同様であり、スタジアムのエントランスのチェックイン端末３０にコードＣをかざすことによってチェックアウトが実行される。同様に、第１ユーザＵ１がスタジアムからチェックアウトすると、第２ユーザＵ２は、顔認証だけで電子決済サービスを利用できるようになる。

　なお、認証システムＳは、スタジアム以外の任意の施設における電子決済サービスに適用可能である。例えば、ショッピングモール、宿泊施設、アミューズメントパーク、観光施設、スーパーマーケット、コンビニエンスストア、飲食店、日帰りの温泉施設、イベント会場、又は百貨店等の施設における電子決済サービスにも認証システムＳを適用可能である。他にも例えば、屋外のイベント会場のように特段の施設がない場所における電子決済サービスにも認証システムＳを適用可能である。例えば、ある特定の１つの第１場所Ｐ１だけで顔認証による決済処理が許可されるのではなく、複数の第１場所Ｐ１のうちの任意の第１場所Ｐ１で顔認証による決済処理が許可されるようにしてもよい。

　図１９は、変形例１－１の認証システムＳの一例を示す図である。図１９に示すように、複数の第１場所Ｐ１の各々には飲食店があり、これらの飲食店が協力して開催するイベントにも認証システムＳを適用可能である。例えば、このイベントは、ビールや花見のイベントであり、このイベントに参加するには、事前の予約が必要であるものとする。この予約は、第３実施形態で説明した予約と同様にして行われてよい。サーバ１０は、イベントに予約したユーザＵに関する情報が格納された予定情報データベースＤＢ３を記憶しているものとする。なお、個々の第１場所Ｐ１の店舗には、チェックイン端末３０及び認証端末４０の少なくとも一方が配置されているものとする。これらは、店舗のＰＯＳ端末であってもよい。

　サーバ１０は、予定情報データベースＤＢ３を参照し、第１ユーザＵ１及び第２ユーザＵ２の各々がイベントを予約したか否かを判定する。例えば、第１ユーザＵ１がイベントを予約し、かつ、第２ユーザＵ２がイベントを予約しなかったとする。この場合、第２ユーザＵ２が第１場所Ｐ１に来ないと予測されるので、第１ユーザＵ１は、個々の第１場所Ｐ１の店舗において、顔認証だけで電子決済サービスを利用できる。この場合でも、第１ユーザＵ１は、イベントに来て初めて電子決済サービスを利用する時には、ユーザ端末２０を利用してイベントにチェックインしてもよい。このチェックインは、第１ユーザＵ１が訪れた第１場所Ｐ１の店舗に配置されたチェックイン端末３０又は認証端末４０にコードＣをかざすことによって行われてもよいし、他の方法によって行われてもよい。

　一方、第１ユーザＵ１がイベントを予約し、かつ、第２ユーザＵ２もイベントを予約したとする。この場合、第２ユーザＵ２が第１場所Ｐ１に来るので、第１ユーザＵ１及び第２ユーザＵ２の各々は、個々の第１場所Ｐ１の店舗において、顔認証及びパスコード認証により電子決済サービスを利用できる。第１ユーザＵ１又は第２ユーザＵ２の何れかがイベントからチェックアウトした場合には、顔認証だけで電子決済サービスが利用できるようになってもよい。

　変形例１－１によれば、顔認証を利用して決済処理が実行される場合のセキュリティが高まる。例えば、第１ユーザＵ１及び第２ユーザＵ２の各々がスタジアムにチェックインしたりイベントにチェックインしたりしても、パスコード認証によって互いを区別できるので、なりすましによる不正な決済処理の実行を防止できる。

［変形例１－２］
　例えば、処理実行部１０５は、第２ユーザＵ２が第１場所Ｐ１にいる又は来たと判定された場合に、顔認証には基づかずにパスコード認証に基づいて、決済処理を実行してもよい。この場合、顔認証は実行されないようにしてもよいし、顔認証自体は実行されるが、顔認証の実行結果が決済処理を実行するか否かの条件にならないようにしてもよい。ただし、顔が似ていないユーザＵ同士でパスコードが同じ場合もあるので、変形例１－２のパスコード認証は、ユーザＩＤも利用されるものとする。処理実行部１０５は、第２ユーザＵ２が第１場所Ｐ１にいる又は来たと判定された場合に、顔認証には基づかずに、ユーザＩＤ及びパスコードを利用したパスコード認証に基づいて、決済処理を実行する。

　例えば、図１８の例であれば、スタジアム内の認証端末４０は、ユーザＩＤ及びパスコードの入力を受け付ける。認証端末４０は、サーバ１０に、入力されたユーザＩＤ及びパスコードを送信する。サーバ１０は、ユーザＩＤ及びパスコードを受信すると、当該受信されたユーザＩＤ及びパスコードの組み合わせがユーザデータベースＤＢ１に存在するか否かを判定する。この組み合わせが存在する場合、パスコード認証は成功する。この組み合わせが存在しない場合、パスコード認証は失敗する。

　なお、第１実施形態で説明したように、顔認証は、第１認証の一例である。パスコード認証は、第２認証の一例である。第１認証及び第２認証の組み合わせは、任意の組み合わせであってよい。例えば、第１認証が顔認証であり、第２認証が指紋認証又は虹彩認証であってもよい。他にも例えば、第１認証が顔認証であり、第２認証が第１実施形態で説明したようなユーザ端末２０のコードＣを利用した認証であってもよい。

　変形例１－２によれば、第２ユーザＵ２が第１場所Ｐ１にいる又は来たと判定された場合に、顔認証には基づかずにパスコード認証に基づいて、決済処理を実行する。これにより、例えば、図１８のスタジアム内に第１ユーザＵ１及び第２ユーザＵ２の各々がいて互いに区別できない状態だったとしても、パスコード認証によって本人確認を確実に実行してセキュリティが高まる。

［変形例１－３］
　例えば、認証システムＳは、第１場所Ｐ１へのチェックインの予定に関する予定情報に基づいて、第１ユーザＵ１が第１場所Ｐ１にチェックインする第１予定日又は第１予定日時に、第２ユーザＵ２が第１場所Ｐ１にチェックインする予定であるか否かを判定する予定判定部１０９を更に含んでもよい。予定判定部１０９の処理は、第３実施形態で説明した通りである。例えば、図１８で説明したスタジアムの試合や図１９で説明したイベントのように、第１ユーザＵ１及び第２ユーザＵ２の各々は、第１場所Ｐ１に来る前に、事前に予約をしているものとする。予定情報データベースＤＢ３には、第１ユーザＵ１及び第２ユーザＵ２の各々が第１場所Ｐ１に来るか否かを示す予定情報が格納されている。第１場所Ｐ１に来る予定の場合には、その予定日又は予定日時も予定情報に含まれている。

　チェックイン部１０１は、第１予定日又は第１予定日時に第２ユーザＵ２が第１場所Ｐ１にチェックインする予定であると判定されない場合に、顔認証に基づいて、第１ユーザＵ１を第１場所Ｐ１にチェックインさせる。チェックイン部１０１の処理は、第３実施形態で説明した処理実行部１０５と同様である。この処理は、変形例１－３でも処理実行部１０５の処理として実行されてもよい。即ち、処理実行部１０５は、チェックイン部１０１の機能を含んでもよい。例えば、図１８の例であれば、第２ユーザＵ２がスタジアムにチェックインする予定であると判定されない場合には、第１ユーザＵ１は、スタジアムのエントランスのチェックイン端末３０で顔認証だけでチェックインできる。図１９の例も同様であり、第１場所Ｐ１の店舗でチェックインが発生する場合には、顔認証だけでチェックインできる。

　変形例１－２によれば、第１予定日又は第１予定日時に第２ユーザＵ２が第１場所Ｐ１にチェックインする予定であると判定されない場合に、顔認証に基づいて、第１ユーザＵ１を第１場所Ｐ１にチェックインさせる。これにより、第１ユーザＵ１及び第２ユーザＵ２を互いに区別できないといったことを防止し、本人確認を確実に実行してセキュリティが高まる。例えば、第２ユーザＵ２が第１場所Ｐ１にいる又は来ると判定されなければ、第１ユーザＵ１が顔認証だけでチェックインすることを許可しても、第２ユーザＵ２がそもそも第１場所Ｐ１にチェックインしようとしない可能性が高いので、第２ユーザＵ２が第１ユーザＵ１になりすましてチェックインすることを防止できる。第２ユーザＵ２が第１場所Ｕ１にいる又は来ると判定されない場合に、第１ユーザＵ１は、顔認証だけでチェックインできるので、第１ユーザＵ１の利便性が高まる。また、この場合にはパスコード認証を実行する必要がないので、認証システムＳの処理負荷を軽減できる。

［変形例１－４］
　例えば、第１実施形態では、第１ユーザＵ１がチェックインした場所が第１場所Ｐ１に相当する場合を説明したが、第１ユーザＵ１が電子決済サービスを利用した場所が第１場所Ｐ１に相当してもよい。

　例えば、図１８の例であれば、第１ユーザＵ１が紙のチケットでスタジアムに入場したとする。この場合、サーバ１０は、第１ユーザＵ１がスタジアムに入場したことを検知できない。このため、第１ユーザＵ１は、顔認証だけでは電子決済サービスを利用できない。この点、第１ユーザＵ１がユーザ端末２０に表示させたコードＣを利用してスタジアム内で電子決済サービスを利用すると、サーバ１０は、第１ユーザＵ１がスタジアムにいることを検知できる。この場合に、第１ユーザＵ１は、スタジアム内において、顔認証で電子決済サービスを利用できるようになってもよい。

　図１９の例も同様であり、第１ユーザＵ１がユーザ端末２０に表示させたコードＣを利用して任意の店舗で電子決済サービスを利用すると、サーバ１０は、第１ユーザＵ１が店舗にいることを検知できる。この場合に、第１ユーザＵ１は、イベントを開催している各店舗において、顔認証で電子決済サービスを利用できるようになってもよい。

　変形例１－４の認証システムＳは、第１ユーザＵ１が第１場所Ｐ１にいる又は来た場合に、第１ユーザＵ１に関する第３認証を実行可能な第３認証部１１０を更に含む。ユーザ端末２０のコードＣを利用したコード認証が第３認証に相当する。このため、コード認証と記載した箇所は第３認証と読み替えることができる。第３認証は、第１認証及び第２認証とは異なる認証である。例えば、第３認証は、任意の認証であってよいが、顔認証のように第１ユーザＵ１及び第２ユーザＵ２を区別できないものではなく、第１ユーザＵ１及び第２ユーザＵ２を区別できるものとする。例えば、第１認証が顔認証であり、第２認証がパスコード認証だったとすると、第３認証は、これらとは異なる指紋認証、虹彩認証、パスワード認証、又は合言葉認証であってもよい。

　変形例１－４の処理実行部１０５は、コード認証に基づいて、決済処理を実行する。処理実行部１０５は、コード認証が成功した場合に決済処理を実行する。処理実行部１０５は、コード認証が失敗した場合には決済処理を実行しない。第１認証部１０２は、コード認証に基づく決済処理が実行された後に、顔認証を実行可能である。第２ユーザ判定部１０４は、コード認証に基づく決済処理が実行された後に、第２ユーザＵ２が第１場所Ｐ１にいる又は来たか否かを判定する。

　処理実行部１０５は、コード認証に基づく決済処理が実行された後に、顔認証に基づいて、決済処理を実行する。図１８に示すように、コード認証の決済処理により、第１ユーザＵ１がスタジアムにいることが検知されると、処理実行部１０５は、顔認証に基づいて、決済処理を実行する。第２ユーザＵ２のチェックインが検知されたり、第２ユーザＵ２がスタジアム内でコード認証に基づく決済処理を実行したりした場合には、顔認証だけでは決済処理は実行されず、パスコード認証も要求される。図１９の例も同様であり、第２ユーザＵ２がイベントに来たことが検知されると、顔認証だけでは決済処理は実行されず、パスコード認証も要求される。

　変形例１－４によれば、コード認証に基づく決済処理が実行された後に、第２ユーザＵ２が第１場所Ｐ１にいる又は来たか否かを判定し、コード認証に基づく決済処理が実行された後に、顔認証に基づいて、決済処理を実行する。これにより、コード認証に基づく決済処理によって第１ユーザＵ１がどの第１場所Ｐ１にいる又は来たかを確実に検知し、本人確認を確実に実行してセキュリティが高まる。

［変形例１－５］
　例えば、ユーザ端末２０は、第１ユーザＵ１の第１位置に関する第１位置情報を取得してもよい。第１位置は、第１ユーザＵ１の現在位置である。第１位置情報を取得する方法自体は、任意の方法であってよい。例えば、ＧＰＳ受信部２８等のＧＮＳＳを利用した方法、無線ＬＡＮのアクセスポイントを利用した方法、又は通信基地局を利用した方法を利用可能である。第１位置情報は、第１場所情報と同様、任意の形式であってよい。例えば、第１位置情報は、緯度経度情報、住所情報、又は座標情報であってよい。

　図２０は、変形例１－５の認証システムＳの一例を示す図である。図２０に示すように、第１ユーザＵ１の第１位置から一定距離以内の範囲をＡ１の符号で示す。変形例１－５では、複数の第１場所Ｐ１のうち、範囲Ａ１に含まれる第１場所Ｐ１は、顔認証だけで決済処理が可能になる。サーバ１０は、第１位置情報を取得することにより、この第１場所Ｐ１に第１ユーザＵ１がいることを検知できる。即ち、他の第１場所Ｐ１には第１ユーザＵ１がいないことを検知できる。

　ユーザ端末２０の第１位置情報が何らかの原因で取得できない場合には、決済処理を実行するためにコード認証が必要になる。例えば、第１認証部１０２は、第１ユーザＵ１の第１位置に関する第１位置情報が示す当該第１位置が第１場所Ｐ１又はその付近である場合に、顔認証を実行可能であってもよい。即ち、第１位置にある第１場所Ｐ１又は第１位置付近にある第１場所Ｐ１が、顔認証だけで決済処理の実行が可能な場所になる。

　第１位置が第１場所Ｐ１であるとは、第１位置が第１場所Ｐ１の領域に含まれることである。図２０の例であれば、第１場所Ｐ１にある店舗の敷地内に第１位置が含まれることは、第１位置が第１場所Ｐ１であることに相当する。第１位置が第１場所Ｐ１の付近であるとは、第１位置と第１場所の位置との距離が閾値未満であることを意味する。図２０の例であれば、範囲Ａ１の中に第１場所Ｐ１の店舗が含まれることである。

　第２ユーザ判定部１０４は、第１位置情報が示す第１位置が第１場所Ｐ１又はその付近である場合に、第２ユーザＵ２が第１場所Ｐ１にいる又は来たか否かを判定する。この判定方法は、コード認証によって判定されてもよいし、後述の変形例１－７のように、第２ユーザＵ２についても、第２ユーザＵ２のユーザ端末２０を利用して取得された第２位置情報に基づいて判定されてもよい。

　処理実行部１０５は、第１位置情報が示す第１位置が第１場所Ｐ１又はその付近である場合に、顔認証に基づいて、決済処理を実行する。他の第１場所Ｐ１では、顔認証だけでは決済処理は実行されない。このため、第１ユーザＵ１と顔が似た何者か又は第２ユーザＵ２が他の第１場所Ｐ１で顔認証による決済処理を試みても、顔認証による決済処理が許可されていないので、決済処理は失敗する。あくまで、第１位置情報が示す第１位置又はその付近の第１場所Ｐ１だけで、顔認証による決済処理が成功する。

　変形例１－５によれば、第１位置情報が示す第１位置が第１場所Ｐ１又はその付近である場合に、顔認証に基づいて、決済処理を実行する。これにより、第１ユーザＵ１が確実にいる第１場所Ｐ１だけで顔認証による決済処理の実行が可能になり、他の第１場所Ｐ１でのなりすましを防止し、セキュリティが高まる。また、第１ユーザＵ１は、自身がいる第１場所Ｐ１で顔認証による決済処理の実行が可能になり、利便性が高まる。

［変形例１－６］
　例えば、処理実行部１０５は、第２ユーザＵ２が第１場所Ｐ１にいる又は来た場合に、第２ユーザＵ２に関する決済処理を実行してもよい。決済処理は、第２処理の一例である。このため、決済処理について説明している箇所は、第２処理と読み替えることができる。第２処理は、任意の処理であってよい。例えば、第２処理は、第１実施形態で説明したロック解除処理又はチェックインであってもよい。

　第２ユーザ判定部１０４は、決済処理が実行されたか否かを判定することによって、第２ユーザＵ２が第１場所Ｐ１にいる又は来たか否かを判定してもよい。例えば、図１８の例であれば、第２ユーザＵ２が紙のチケットでスタジアムに入ったとしても、第２ユーザＵ２がスタジアム内でコード認証によって決済処理を実行した場合には、サーバ１０は、第２ユーザＵ２がスタジアムにいることを検知できる。

　図１９の例であれば、第２ユーザＵ２が複数の第１場所Ｐ１のうちの何れかでコード認証によって決済処理を実行した場合には、サーバ１０は、この第１場所Ｐ１に第２ユーザＵ２がいることを検知できる。なお、決済処理は、コード認証以外の任意の方法によって実行されてよい。例えば、ユーザ端末２０のＩＣチップ２７又は第２ユーザＵ２が所有するＩＣカードによって決済処理が実行されてもよい。

　変形例１－６によれば、第２ユーザＵ２による決済処理が実行されたか否かを判定することによって、第２ユーザＵ２が第１場所Ｐ１にいる又は来たか否かを判定する。これにより、第２ユーザＵ２が第１場所Ｐ１にいる又は来たことを確実に検知し、第１ユーザＵ１の本人確認を確実に実行してセキュリティが高まる。

［変形例１－７］
　例えば、第２ユーザ判定部１０４は、第２ユーザＵ２の第２位置に関する第２位置情報が示す当該第２位置が第１場所Ｐ１又はその付近であるか否かを判定することによって、第２ユーザＵ２が第１場所Ｐ１にいる又は来たか否かを判定してもよい。第２位置情報を取得する方法自体が任意の方法であってよい点は、第１位置情報と同様である。第２位置は、第２ユーザＵ２の現在位置である。図２０に示すように、ユーザ端末２０を利用して第２ユーザＵ２の位置情報を取得できるのであれば、第２ユーザＵ２が第１場所Ｐ１又はその付近にいるか否かを判定できるので、第２ユーザＵ２と区別できないといったことを防止できる。

　変形例１－７によれば、第２ユーザＵ２の第２位置に関する第２位置情報が示す当該第２位置が第１場所Ｐ１又はその付近であるか否かを判定することによって、第２ユーザＵ２が第１場所Ｐ１にいる又は来たか否かを判定する。これにより、第２ユーザＵ２が第１場所Ｐ１にいる又は来たことを確実に検知し、第１ユーザＵ１の本人確認を確実に実行してセキュリティが高まる。

［変形例１－８］
　例えば、認証システムＳは、第２ユーザＵ２が第２場所Ｐ２にいた又は来た第２時間に関する第２時間情報と、第２場所Ｐ２に関する第２場所情報と、の少なくとも一方に基づいて、第２ユーザＵ２が第１場所Ｐ１にいない又は来ない予測期間を予測する予測部１０６を更に含んでもよい。予測部１０６は、第２実施形態と同様である。処理実行部１０５は、予測期間に実行された第１認証に基づいて、決済処理を実行する。例えば、図１９の例において、第２ユーザＵ２が、ある第１場所Ｐ１にチェックインした又はある第１場所Ｐ１で決済処理を実行させた場合に、個々の第１場所Ｐ１に予測期間が設定される。第１ユーザＵ１は、この予測期間であれば、顔認証だけで決済処理を実行できるようになる。

　変形例１－８によれば、第２ユーザＵ２が第２場所Ｐ２にいた又は来た第２時間に関する第２時間情報と、第２場所Ｐ２に関する第２場所情報と、の少なくとも一方に基づいて、第２ユーザＵ２が第１場所Ｐ１に来ないと予測された予測期間に実行された顔認証に基づいて、決済処理を実行する。これにより、第１ユーザＵ１及び第２ユーザＵ２を互いに区別できないといったことを防止し、本人確認を確実に実行してセキュリティが高まる。例えば、第２ユーザＵ２が第１ユーザＵ１になりすまして決済処理を実行することを防止できる。第１ユーザＵ１は、予測期間内であれば顔認証だけで決済処理を実行できるので、第１ユーザＵ１の利便性が高まる。また、この場合にはパスコード認証を実行する必要がないので、認証システムＳの処理負荷を軽減できる。

［４－２．第２実施形態に係る変形例］
　第２実施形態に係る変形例を説明する。図２１は、第２実施形態に係る変形例における機能ブロック図の一例である。図２１に示すように、第２実施形態に係る変形例では、第２実施形態で説明した図１０の機能の他に、第２ユーザ判定部１０４が実現される。第２ユーザ判定部１０４は、第１実施形態で説明した内容と異なる点を説明する。

［変形例２－１］
　図２２は、変形例２－１の認証システムＳの一例を示す図である。図２２に示すように、認証システムＳを電子決済サービスに適用した場合、第１ユーザＵ１の決済情報を利用した決済処理が、第２実施形態で説明した第１処理に相当する。変形例２－１の決済処理は、第２実施形態のチェックインと同様に、最初は顔認証及びパスコード認証の両方を成功させた場合に実行される。

　例えば、図２２に示すように、第２ユーザＵ２が１１：３０に第２場所Ｐ２で顔認証及びパスコード認証で決済処理が実行された場合、１１：３０から１時間後の１２：３０までは、第２ユーザＵ２は、第１場所Ｐ１に移動できないと予測される。このため、第１ユーザＵ１は、１２：３０までであれば、顔認証だけで第１場所Ｐ１で決済処理を実行できるようになる。

　例えば、第１ユーザＵ１が１２：００に顔認証だけで第１場所Ｐ１で決済処理が実行された場合、１２：００から１時間後の１３：００までは、第１ユーザＵ１は、第２場所Ｐ２に移動できないと予測される。このため、第２ユーザＵ２は、第２場所Ｐ２に滞在していたとすると、１３：００までであれば、顔認証だけで第２場所Ｐ２で決済処理を実行できる。

　変形例２－１によれば、顔認証を利用して決済処理を実行する場合のセキュリティが高まる。例えば、第２ユーザＵ２が第１場所Ｐ１に来ないと予測される予測期間において、第１ユーザＵ１が顔認証だけで第１場所Ｐ１で決済処理を実行できるので、第１ユーザＵ１の利便性が高まる。予測期間が経過した後は、第２ユーザＵ２が第１場所Ｐ１にくるかもしれないので、パスコード認証も要求されることによって、セキュリティが高まる。

［変形例２－２］
　図２３は、変形例２－２の認証システムＳの一例を示す図である。図２３に示すように、第１ユーザＵ１と顔が似た第２ユーザＵ２は、複数人存在することがある。この場合、予測部１０６は、複数の第２ユーザＵ２の各々に対応する第２時間情報と、複数の第２ユーザＵ２の各々に対応する第２場所情報と、の少なくとも一方に基づいて、予測期間を予測してもよい。第２実施形態と同様に、第２時間情報及び第２場所情報の両方に基づいて予測期間が予測される場合を説明するが、第２時間情報又は第２場所情報の何れかに基づいて予測時間が予測されてもよい。

　図２３の例では、第１ユーザＵ１と顔が似た２人の第２ユーザＵ２がいる場合を示している。また、２人の第２ユーザの各々が別々の第２場所Ｐ２にいるものとする。例えば、１人目の第２ユーザＵ２が、１１：３０に第２場所Ｐ２で顔認証及びパスコード認証で決済処理が実行されたとする。この第２場所Ｐ２と第１場所Ｐ１との間の移動に１時間要するものとする。この時点では、２人目の第２ユーザＵ２がまだどこにいるか分からないので、第１ユーザＵ１は、顔認証だけで決済処理を実行できるようにはならない。

　例えば、２人目の第２ユーザＵ２が、１１：３５に別の第２場所Ｐ２で決済処理が実行されたとする。この第２場所Ｐ２と第１場所Ｐ１との間の移動に３０分要するものとする。この場合、１人目の第２ユーザＵ２が第１場所Ｐ１に来ないと予測される予測期間は、１２：３０までとなる。２人目の第２ユーザＵ２が第１場所Ｐ１に来ないと予測される予測期間は、１２：０５までとなる。この場合、第１ユーザＵ１は、早い方の予測期間である１２：０５までであれば、顔認証だけで第１場所Ｐ１で決済処理を実行できる。

　以上のように、予測部１０６は、複数の第２ユーザＵ２がいる場合、第２ユーザＵ２ごとに予測期間を予測する。処理実行部１０５は、複数の第２ユーザＵ２の各々に対応する予測期間のうち、最も早い予測期間に実行された顔認証に基づいて、決済処理を実行する。即ち、処理実行部１０５は、複数の第２ユーザＵ２の各々に対応する予測期間のうち、最も早く終わる予測期間であれば、第１ユーザＵ１が顔認証だけで第１場所Ｐ１で決済処理を実行することを許可する。

　変形例２－２によれば、複数の第２ユーザＵ２の各々に対応する第２時間情報と、複数の第２ユーザＵ２の各々に対応する第２場所情報と、の少なくとも一方に基づいて、予測期間を予測する。これにより、第１ユーザＵ１と顔が似た第２ユーザＵ２が複数人いたとしても、第１ユーザＵ１及び第２ユーザＵ２を互いに区別できないといったことを防止し、本人確認を確実に実行してセキュリティが高まる。第１ユーザＵ１は、予測期間内であれば顔認証だけで決済処理を実行できるので、第１ユーザＵ１の利便性が高まる。また、この場合にはパスコード認証を実行する必要がないので、認証システムＳの処理負荷を軽減できる。

［変形例２－３］
　例えば、第１ユーザＵ１を第１場所Ｐ１にチェックインさせたうえで、予測期間に実行された顔認証に基づいて決済処理が実行されるようにしてもよい。即ち、第１場所Ｐ１は、第１ユーザＵ１がチェックインした場所であってもよい。例えば、図２２又は図２３の第１場所Ｐ１に、変形例１－１で説明した図１８のようなスタジアムがあったとする。この場合、チェックイン部１０１は、変形例１－１と同様にして、第１ユーザＵ１をチェックインさせる。

　第１認証部１０２は、第１ユーザＵ１が第１場所Ｐ１にチェックインして第１場所Ｐ１にいる場合に、顔認証を実行可能であってもよい。処理実行部１０５は、第１ユーザＵ１が第１場所Ｐ１にチェックインして第１場所Ｐ１にいる場合に、決済処理を実行する。この場合も、スタジアムがある第１場所Ｐ１とは異なる第２場所Ｐ２において、第２ユーザＵ２がチェックイン又は決済処理が実行された場合に、予測期間が予測される。

　処理実行部１０５は、第１場所Ｐ１にチェックインした後に、予測期間に実行された顔認証に基づいて、決済処理を実行する。変形例１－１で説明した図１８のように、第２ユーザＵ２が第１場所Ｐ１のスタジアムにチェックインした場合には、第１ユーザＵ１及び第２ユーザＵ２が同じ場所にいるので、第１ユーザＵ１は、顔認証だけでは決済処理を実行できなくなる。

　変形例２－３によれば、第１ユーザＵ１が第１場所Ｐ１にチェックインして第１場所Ｐ１にいる場合に、決済処理を実行する。これにより、第１ユーザＵ１によるチェックインにより、第１ユーザＵ１がいる第１場所Ｐ１を確実に特定できる。このため、第１ユーザＵ１が訪れない場所で顔認証による決済処理が許可されてしまい、予測期間に顔が似た何者かが訪れて決済処理が実行されてしまうといったことを防止し、本人確認を確実に実行してセキュリティが高まる。

［変形例２－４］
　例えば、第１ユーザＵ１が第１場所Ｐ１でパスコード認証により決済処理を実行させた後に、予測期間に実行された顔認証に基づいて決済処理が実行されるようにしてもよい。即ち、第１ユーザＵ１がパスコード認証を成功させて、第１場所Ｐ１にいることが確実に分かる状態で、予測期間に実行された顔認証に基づいて決済処理が実行されるようにしてもよい。

　例えば、第２認証部１０３は、第１ユーザＵ１が第１場所Ｐ１にいる又は来た場合に、パスコード認証を実行可能である。このパスコード認証は、ユーザＩＤ及びパスコードを入力させる認証である。第２認証がパスコード認証以外の認証であってもよいことは、先述した通りである。例えば、ユーザ端末２０に表示させたコードＣを利用したコード認証であってもよい。

　処理実行部１０５は、パスコード認証に基づいて、決済処理を実行する。第１認証部１０２は、パスコード認証に基づく決済処理が実行された後に、顔認証を実行可能である。予測部１０６は、パスコード認証に基づく決済処理が実行された後に、予測期間を予測する。処理実行部１０５は、パスコード認証に基づく決済処理が実行された後に、予測期間に実行された顔認証に基づいて、決済処理を実行する。

　変形例２－４によれば、パスコード認証に基づく決済処理が実行された後に、予測期間に実行された顔認証に基づいて、決済処理を実行する。これにより、第１ユーザＵ１によるパスコード認証に基づく決済処理により、第１ユーザＵ１がいる第１場所Ｐ１を確実に特定できる。このため、第１ユーザＵ１が訪れない場所で顔認証による決済処理が許可されてしまい、予測期間に顔が似た何者かが訪れて決済処理が実行されてしまうといったことを防止し、本人確認を確実に実行してセキュリティが高まる。

［変形例２－５］
　例えば、変形例１－５と同様に、ユーザ端末２０は、第１ユーザＵ１の第１位置に関する第１位置情報を取得してもよい。第１認証部１０２は、第１ユーザＵ１の第１位置に関する第１位置情報が示す当該第１位置が第１場所Ｐ１又はその付近である場合に、顔認証を実行可能であってもよい。例えば、変形例１－５の図２０で説明したように、第１ユーザＵ１の第１位置を含む範囲Ａ１にある第１場所Ｐ１だけで、予測期間に実行された顔認証による決済処理が許可されてもよい。

　予測部１０６は、第１位置情報が示す第１位置が第１場所Ｐ１又はその付近である場合に、予測期間を予測する。即ち、予測部１０６は、第１ユーザＵ１が訪れることができる第１場所Ｐ１が複数存在したとしても、範囲Ａ１内にある第１場所Ｐ１だけについて予測期間を予測する。処理実行部１０５は、第１位置情報が示す位置が第１場所Ｐ１又はその付近である場合に、予測期間に実行された顔認証に基づいて、決済処理を実行する。他の第１場所Ｐ１が存在したとしても、予測期間が予測されていないので、他の第１場所Ｐ１については、顔認証だけでは決済処理を実行できない。

　変形例２－５によれば、第１位置情報が示す位置が第１場所Ｐ１又はその付近である場合に、予測期間に実行された第１認証に基づいて、決済処理を実行する。これにより、第１ユーザＵ１が確実にいる第１場所Ｐ１だけで顔認証による決済処理の実行が可能になり、他の第１場所Ｐ１でのなりすましを防止し、セキュリティが高まる。また、第１ユーザＵ１は、自身がいる第１場所Ｐ１で顔認証による決済処理の実行が可能になり、利便性が高まる。また、第１ユーザＵ１がいる第１場所Ｐ１だけに予測期間が予測されるので、余計な予測期間の計算をする必要がなくなるので、認証システムＳの処理負荷を軽減できる。

［変形例２－６］
　例えば、処理実行部１０５は、第２ユーザＵ２が第２場所Ｐ２にいる又は来た場合に、第２ユーザＵ２に関するチェックインを実行してもよい。このチェックインは、第２場所Ｐ２へのチェックインである。変形例２－６では、チェックインが第２処理に相当する。第２処理は、チェックイン以外の任意の処理であってよい。第２処理は、第２ユーザＵ２がいることを何らか検知できればよく、決済処理であってもよい。

　例えば、図２２又は図２３の例では、第２ユーザＵ２が第２場所Ｐ２で決済処理を実行させた場合に予測期間が予測される場合を説明したが、第２場所Ｐ２で決済処理ではなくチェックインが実行される場合であったとしても、第２ユーザＵ２が第２場所Ｐ２にいることを検知できる。このため、予測部１０６は、第２ユーザに関するチェックインが実行された場合に、予測期間を予測してもよい。

　変形例２－６によれば、第２ユーザＵ２が第２場所Ｐ２にいる又は来た場合に、第２ユーザＵ２のチェックインを実行し、チェックインが実行された場合に、予測期間を予測する。これにより、第２ユーザＵ２が第２場所Ｐ２にいる又は来たことを確実に検知し、第１ユーザＵ１の本人確認を確実に実行してセキュリティが高まる。

［変形例２－７］
　例えば、第２時間は、第２ユーザＵ２の第２位置に関する第２位置情報が取得された時間であってもよい。変形例２－７では、第２場所Ｐ２は、第２位置に相当する。例えば、第２ユーザＵ２のユーザ端末２０は、第２位置情報が取得された場合に、第２時間情報を取得する。第２時間情報は、ＧＰＳ受信部２８を利用して取得されてもよいし、リアルタイムクロック等を利用して取得されてもよい。第２位置情報が第２場所Ｐ２のチェックイン端末３０又は認証端末４０が配置された場所を示すのではなく、第２ユーザＵ２のユーザ端末２０の位置を示す点で第２実施形態と異なるだけであり、第２位置情報及び第２時間情報を利用した処理の流れは、第２実施形態と同様である。

　変形例２－７によれば、第２時間は、第２ユーザＵ２の第２位置に関する第２位置情報を取得する第２位置取得部により当該第２位置情報が取得された時間であり、第２場所Ｐ２は、第２位置である。これにより、第２場所Ｐ２にいる又は来たことを確実に検知し、第１ユーザＵ１の本人確認を確実に実行してセキュリティが高まる。

［変形例２－８］
　例えば、認証システムＳは、第２ユーザＵ２が第１場所Ｐ１にいる又は来たか否かを判定する第２ユーザ判定部１０４を更に含んでもよい。第２ユーザ判定部１０４は、第１実施形態で説明した通りであり、例えば、第２ユーザＵ２によるチェックインによって第１場所Ｐ１にいる又は来たことが検知される。他にも例えば、第２ユーザＵ２が第１場所Ｐ１で顔認証及びパスコード認証により決済処理を実行させた場合に、第２ユーザＵ２が第１場所Ｐ１にいる又は来たと判定されてもよい。

　処理実行部１０５は、第２ユーザＵ２が第１場所Ｐ１にいる又は来たと判定されない場合に、予測期間に実行された顔認証に基づいて、決済処理を実行する。例えば、処理実行部１０５は、第２ユーザＵ２が第１場所Ｐ１にいる又は来たと判定された場合に、予測期間に実行された顔認証だけでなく、パスコード認証に基づいて、決済処理を実行する。この場合、変形例１－２と同様に、顔認証が実行されなくてもよい。

　変形例２－８によれば、第２ユーザＵ２が第１場所Ｐ１にいる又は来たと判定されない場合に、予測期間に実行された顔認証に基づいて、決済処理を実行する。第２ユーザＵ２が第１場所Ｐ１にいる又は来ておらず、かつ、予測期間であれば、第２ユーザＵ２が第１場所Ｐ１にいないことがより確実なので、この場合に顔認証に基づいて決済処理を実行することによって、本人確認を確実に実行してセキュリティが高まる。

［４－３．第３実施形態に係る変形例］
　第３実施形態に係る変形例を説明する。図２４は、第３実施形態に係る変形例における機能ブロック図の一例である。図２４に示すように、第３実施形態に係る変形例では、第３実施形態で説明した図１４の機能の他に、第２ユーザ判定部１０４、予測部１０６、第２制限部１１１、許可部１１２、第１送信部１１３、及び第２送信部１１４が実現される。これらの各機能は、制御部１１を主として実現される。

［変形例３－１］
　例えば、処理実行部１０５は、第１予定日又は第１予定日時に、第２ユーザＵ２が第１場所Ｐ１にいる又は来ると判定された場合に、顔認証には基づかずにパスコード認証に基づいて、チェックインを実行してもよい。この場合、顔認証は実行されないようにしてもよいし、顔認証自体は実行されるが、顔認証の実行結果がチェックインを実行するか否かの条件にならないようにしてもよい。

　なお、顔が似ていないユーザＵ同士でパスコードが同じ場合もあるので、本変形例のパスコード認証は、ユーザＩＤも利用するものとする。即ち、処理実行部１０５は、第２ユーザＵ２が第１場所Ｐ１にいる又は来たと判定された場合に、顔認証には基づかずに、ユーザＩＤ及びパスコードを利用したパスコード認証に基づいて、チェックインを実行する。このパスコード認証は、変形例１－１で説明した通りである。第１認証及び第２認証の組み合わせが任意の組み合わせであってよい点も変形例１－１で説明した通りである。

　変形例３－１によれば、第１予定日又は第１予定日時に、第２ユーザＵ２が第１場所Ｐ１にいる又は来ると判定された場合に、顔認証には基づかずにパスコード認証に基づいて、チェックインを実行する。これにより、第１ユーザＵ１及び第２ユーザＵ２の各々が同じ時期に第１場所Ｐ１にいる又は来る予定があり、第１ユーザＵ１及び第２ユーザＵ２を互いに区別できない状態だったとしても、パスコード認証によって本人確認を確実に実行してセキュリティが高まる。

［変形例３－２］
　図２５は、変形例３－２の認証システムＳの一例を示す図である。図２５に示すように、認証システムＳは、第１予定日又は第１予定日時に、第２ユーザＵ２が第１場所Ｐ１にいる又は来ると判定された場合に、第１ユーザＵ１が第１場所Ｐ１にいる又は来る前に、第２ユーザＵ２が第１場所Ｐ１にいる又は来たか否かを判定する第２ユーザ判定部１０４を更に含んでもよい。第２ユーザ判定部１０４の処理は、概ね第１実施形態と同様であり、第２ユーザＵ２のチェックインの有無が判定される。

　図２５の例では、第１ユーザＵ１及び第２ユーザＵ２の各々が、２０２１年６月１０日の１４：００のセミナーを予約した場合を示している。この場合、第１ユーザＵ１及び第２ユーザＵ２の各々が同じ時期に第１場所Ｐ１を訪れるので、原則として、顔認証及びパスコード認証が要求される。例えば、第２ユーザＵ２が先に訪れて、第３実施形態で説明した流れと同様に、顔認証及びパスコード認証を実行したとする。第２ユーザ判定部１０４は、第２ユーザＵ２がチェックインした場合に、第２ユーザＵ２が第１場所Ｐ１にいる又は来たと判定する。この場合、第２ユーザＵ２が第１場所Ｐ１に既にいることが分かっているので、図２５に示すように、第１ユーザＵ１は、顔認証だけで第１場所Ｐ１にチェックインできるようにしてもよい。

　処理実行部１０５は、第１ユーザＵ１が第１場所Ｐ１にいる又は来る前に、第２ユーザＵ２が第１場所Ｐ１にいる又は来たと判定された場合に、パスコード認証には基づかずに顔認証に基づいて、チェックインを実行する。この場合、パスコード認証は実行されないようにしてもよいし、パスコード認証自体は実行されるが、パスコード認証の実行結果がチェックインを実行するか否かの条件にならないようにしてもよい。

　変形例３－２によれば、第１ユーザＵ１が第１場所Ｐ１にいる又は来る前に、第２ユーザＵ２が第１場所Ｐ１にいる又は来たと判定された場合に、パスコード認証には基づかずに顔認証に基づいて、チェックインを実行する。これにより、第１ユーザＵ１は、顔認証だけで第１場所Ｐ１にチェックインできるので、第１ユーザＵ１の利便性が高まる。また、認証システムＳは、第１ユーザＵ１のパスコード認証を実行しないので、認証システムＳの処理負荷を軽減できる。

［変形例３－３］
　図２６は、変形例３－３の認証システムＳの一例を示す図である。図２６に示すように、第１ユーザＵ１は、ユーザ端末２０を操作して、セミナーの予約申込を行う。ユーザ端末２０には、セミナーの開催日時の一覧が表示される。ユーザＵは、任意の開催日時を選択してセミナーを予約できる。この場合、認証システムＳは、予定情報に基づいて、第２ユーザＵ２が第１場所Ｐ１にいる又は来る第２予定日又は第２予定日時が第１予定日又は第１予定日時として指定されることを制限する第２制限部１１１を更に含んでもよい。

　例えば、図２６の例であれば、第２ユーザＵ２が２０２１年６月１０日の１４：００のセミナーを予約していたとする。この場合、第１ユーザＵ１がこの日時のセミナーを予約すると、第１ユーザＵ１及び第２ユーザＵ２の各々は、第１場所Ｐ１に顔認証でチェックインできなくなってしまう。このため、第２制限部１１１は、この日時をユーザ端末２０から選択できないように制限する。この制限の方法としては、この日時を選択するための入力フォームを表示させないこと、この入力フォームを無効にすること、又はこの日時を表示させないようにすること等である。

　変形例３－３によれば、予定情報に基づいて、第２ユーザＵ２が第１場所Ｐ１にいる又は来る第２予定日又は第２予定日時が第１予定日又は第１予定日時として指定されることを制限する。これにより、第１ユーザＵ１及び第２ユーザＵ２が同じセミナーに来てしまい、顔認証だけでは互いに区別できないといったことを防止し、本人確認を確実に実行してセキュリティが高まる。

［変形例３－４］
　認証システムＳは、第１ユーザＵ１が顔認証とは異なる他の認証を指定した場合には、第２予定日又は第２予定日時が第１予定日又は第１予定日時として指定されることを許可する許可部１１２を更に含んでもよい。例えば、第１ユーザＵ１が顔認証ではなく、パスコード認証又はユーザ端末２０を利用したコード認証といった他の認証方法でチェックインすることを選択した場合には、第２ユーザＵ２と同じ日時のセミナーを指定できるようにしてもよい。例えば、第１ユーザＵ１は、図２６のような画面でセミナーを予約する場合に、当日の認証方法を指定できるものとする。第１ユーザＵ１が指定した認証方法は、予定情報データベースＤＢ３に格納されるものとする。第１ユーザＵ１は、セミナーの当日に、自身が指定した認証方法でチェックインする。この認証自体は、公知の種々の方法を利用可能である。

　変形例３－４によれば、第１ユーザＵ１が第１認証とは異なる他の認証を指定した場合には、第２予定日又は第２予定日時が第１予定日又は第１予定日時として指定されることを許可する。これにより、第１ユーザＵ１及び第２ユーザＵ２を互いに区別できないといったことを防止し、本人確認を確実に実行してセキュリティが高まる。

［変形例３－５］
　認証システムＳは、第１ユーザＵ１が他の認証を指定した場合に、第１ユーザＵ１に、第１場所Ｐ１で顔認証を実行しないことを促す通知を送信する第１送信部１１３を更に含んでもよい。この通知は、任意の方法で送信可能であり、例えば、電子メール、ＳＮＳ、ＳＭＳ、又はメッセージアプリによって送信可能である。この通知のフォーマットは、データ記憶部１００に記憶されているものとする。この通知は、第１ユーザＵ１が第２ユーザＵ２とは異なる日時のセミナーを予約した場合には送信されない。この通知は、第１場所Ｐ１で顔認証を実行しないことを示すメッセージを含む。第１ユーザＵ１は、パスコード認証又はコード認証といった他の認証方法を利用する。

　変形例３－５によれば、第１ユーザＵ１が他の認証を指定した場合に、第１ユーザＵ１に、第１場所Ｐ１で第１認証を実行しないことを促す通知を送信する。これにより、第１ユーザＵ１及び第２ユーザＵ２を互いに区別できなくなるといったことを防止し、本人確認を確実に実行してセキュリティが高まる。

［変形例３－６］
　例えば、第２ユーザＵ２は、第１予定日時と同じ日における第２予定日時に、第１場所Ｐ１にいる又は来る予定であってもよい。即ち、第１ユーザＵ１と第２ユーザＵ２は、同じ日に第１場所Ｐ１に来る予定であるが、時間は多少異なっているものとする。例えば、第１ユーザＵ１が第１場所Ｐ１に来る時間と、第２ユーザＵ２が第１場所Ｐ２に来る時間とは、数分～半日程度は異なる。

　この場合に、認証システムＳは、第１ユーザＵ１に、第１予定日時に第１場所Ｐ１で顔認証を行うことと、第１予定日時と同じ日における他の時間に第１場所Ｐ１にいる又は来る場合には他の認証を利用することと、を促す通知を送信する第２送信部１１４を更に含んでもよい。変形例３－５と同様に、この通知は、任意の方法で送信可能である。この通知は、第１ユーザＵ１が第２ユーザＵ２とは異なる日のセミナーを予約した場合には送信されない。この通知には、自身が第１場所Ｐ１にくる時間又はその時間から所定時間以内の期間だけで顔認証を実行することを示すメッセージを含む。また、この通知は、この期間以外に第１場所Ｐ１に来る場合には、顔認証以外の他の認証を実行することを示すメッセージを含む。第１ユーザＵ１は、パスコード認証又はコード認証といった他の認証方法を利用する。

　変形例３－６によれば、第１ユーザＵ１に、第１予定日時に第１場所Ｐ１で顔認証を行うことと、第１予定日時と同じ日における他の時間に第１場所Ｐ１にいる又は来る場合には他の認証を利用することと、を促す通知を送信する。これにより、第１ユーザＵ１及び第２ユーザＵ２を互いに区別できないといったことを防止し、本人確認を確実に実行してセキュリティが高まる。

［変形例３－７］
　例えば、認証システムＳは、第１予定日又は第１予定日時に、第２ユーザＵ２が第１場所Ｐ１にいる又は来ると判定された場合に、第２ユーザＵ２が第２場所Ｐ２にいた又は来た第２時間に関する第２時間情報と、第２場所Ｐ２に関する第２場所情報と、の少なくとも一方に基づいて、第２ユーザＵ２が第１場所Ｐ１にいない又は来ない予測期間を予測する予測部１０６を更に含んでもよい。予測部１０６は、第２実施形態で説明した通りである。例えば、第２実施形態で説明したように、予測部１０６は、第１場所Ｐ１に関する第１場所情報と、第２場所情報と、に基づいて、第１場所Ｐ１と第２場所Ｐ２との距離を取得し、第２時間情報と、距離に応じた移動時間と、に基づいて、予測期間を予測してもよい。他にも例えば、第２実施形態で説明したような予測期間の予測方法を利用可能である。

　処理実行部１０５は、第１予定日又は第１予定日時に、第２ユーザＵ２が第１場所Ｐ１にいる又は来ると判定された場合に、予測期間に実行された顔認証に基づいて、チェックインを実行する。チェックインを実行するか否かの条件となるのが、第１予定日又は第１予定日時に、第２ユーザＵ２が第１場所Ｐ１にいる又は来るか否かになるのが第２実施形態とは異なる。処理実行部１０５の他の点については、第２実施形態で説明した通りである。

　変形例３－７によれば、第１予定日又は第１予定日時に、第２ユーザＵ２が第１場所Ｐ１にいる又は来ると判定された場合に、予測期間に実行された顔認証に基づいて、第１処理を実行する。これにより、第１ユーザＵ１及び第２ユーザＵ２を互いに区別できないといったことを防止し、本人確認を確実に実行してセキュリティが高まる。例えば、第２ユーザＵ２が第１ユーザＵ１になりすましてチェックインすることを防止できる。第１ユーザＵ１は、予測期間内であれば顔認証だけでチェックインできるので、第１ユーザＵ１の利便性が高まる。また、この場合にはパスコード認証を実行する必要がないので、認証システムＳの処理負荷を軽減できる。

　また、認証システムＳは、第１場所Ｐ１に関する第１場所情報と、第２場所情報と、に基づいて、第１場所Ｐ１と第２場所Ｐ２との距離を取得し、第２時間情報と、距離に応じた移動時間と、に基づいて、予測期間を予測することによって、予測期間を正確に予測できる。正確な予測期間を予測することによって、第１ユーザＵ１及び第２ユーザＵ２を互いに区別できないといったことをより確実に防止し、本人確認を確実に実行してセキュリティが高まる。

［変形例３－８］
　変形例３－７で説明した第２場所情報は、第１場所Ｐ１に関する予約を受け付けるためのアプリケーションとは異なる他のアプリケーションを利用して取得された位置に関する情報であってもよい。予約を受け付けるためのアプリケーションは、図２６の画面を表示させるためのアプリケーションである。他のアプリケーションは、起動した時にＧＰＳ受信部２８を利用して位置情報を取得できるアプリケーションである。例えば、電子決済アプリ等のアプリケーションである。アプリケーションの起動時に位置情報を取得する方法自体は、公知の方法を利用可能である。複数のアプリケーション間で連携しており、情報のやり取りが可能であるものとする。

　変形例３－８によれば、第２場所情報は、第１場所Ｐ１に関する予約を受け付けるためのアプリケーションとは異なる他のアプリケーションを利用して取得された位置に関する情報であることによって、第２場所情報を正確に取得してセキュリティが高まる。

［４－４．その他変形例］
　例えば、上記説明した変形例を組み合わせてもよい。

　例えば、第２認証として利用されるのは、電話番号やメールアドレスといった個人情報を入力させるものであってもよい。この場合、個人情報は、ユーザデータベースＤＢ１に格納されているものとする。サーバ１０は、ユーザデータベースＤＢ１に基づいて、第１ユーザＵ１及び第２ユーザＵ２の間で個人情報が異なる部分（例えば、電話番号の下４桁又はメールアドレスの所定桁）を特定し、この部分を入力させるような認証を実行してもよい。他にも例えば、サーバ１０は、第１ユーザＵ１及び第２ユーザＵ２が同じ第１場所Ｐ１にチェックインした場合に、第２認証用のＩＤを自動生成し、第１ユーザＵ１及び第２ユーザＵ２の各々のユーザ端末２０に送信してもよい。第２認証として、このＩＤが利用されてもよい。この場合、このＩＤをコード化して認証端末４０等に読み取らせることで認証が実行されてもよいし、近距離無線通信を利用して認証端末４０等に送信されてもよい。例えば、第２実施形態において、第１ユーザＵ１がいる第１場所Ｐ１と、第２ユーザＵ２がいる第２場所Ｐ２と、の中間地点に、第１ユーザＵ１及び第２ユーザＵ２の各々が移動できる場所が存在することがある。この場所については、第１ユーザＵ１及び第２ユーザＵ２の各々の移動を考慮して、予測期間が設定されてもよい。

　例えば、ユーザＵがユーザ端末２０をチェックイン端末３０にかざすことによってチェックインが実行される場合を説明したが、画像を利用するのではなく、ＩＣチップ２７に記録された何らかのＩＤをチェックイン端末３０に読み取らせてチェックインが実行されてもよい。また例えば、ユーザ端末２０又はチェックイン端末３０の何れか一方のみによってチェックインが実行されてもよい。例えば、第１場所Ｐ１に掲示又は何らかのコンピュータに表示されたコードがユーザ端末２０の撮影部２６で撮影された場合に、ユーザ端末２０からサーバ１０に、この場所を識別可能な情報と、ユーザ端末２０に記憶されたコードＩＤと、が送信されてもよい。この場合、チェックイン端末３０は不要になる。

　例えば、ユーザ端末２０のＧＰＳ受信部２８によって検出された現在位置が第１場所Ｐ１の付近になった場合に、チェックインが実行されてもよい。この場合、チェックイン端末３０は不要になる。また例えば、ユーザが物理カード又は磁気カードをチェックイン端末３０で読み取ることによってチェックインが実行されてもよい。この場合、ユーザ端末２０は不要になる。他にも例えば、ユーザＵがチェックイン端末３０からの生体認証でチェックインが実行されてもよい。この場合もユーザ端末２０は不要になる。

　例えば、認証システムＳは、チェックインサービス及び電子決済サービス以外の任意のサービスに適用可能である。また例えば、チェックイン先の場所は、予約等の申し込みが発生しない場所であってもよい。例えば、この場所は、ショッピングモール、スーパーマーケット、コンビニエンスストア、日帰りの温泉施設、ゲームセンター、又は百貨店等の施設であってもよい。ユーザＵは、特に予約をせずに、これらの施設を訪れる。ユーザＵは、第１実施形態、第２実施形態、第３実施形態、及び変形例と同様の手順により、これらの施設に配置されたチェックイン端末３０からチェックインを実行すればよい。

　例えば、サーバ１０で実現されるものとして説明した機能は、複数のコンピュータで分担されてもよい。サーバ１０に記憶されるものとして説明したデータは、外部コンピュータに記憶されていてもよい。各機能は、少なくとも１つのコンピュータで実現されるようにすればよい。

Claims

　第１ユーザが第１場所にいる又は来た場合に、前記第１ユーザに関する第１認証を実行可能な第１認証手段と、
　前記第１場所への来訪予定に関する予定情報に基づいて、前記第１ユーザが前記第１場所にいる又は来る第１予定日又は第１予定日時に、前記第１認証で前記第１ユーザとして認証される可能性がある第２ユーザが前記第１場所にいる又は来るか否かを判定する予定判定手段と、
　前記第１予定日又は前記第１予定日時に、前記第２ユーザが前記第１場所にいる又は来ると判定されない場合に、前記第１認証に基づいて、前記第１ユーザに関する第１処理を実行する処理実行手段と、
　を含む認証システム。
　前記認証システムは、前記第１ユーザが前記第１場所にいる又は来た場合に、前記第１ユーザに関する第２認証を実行可能な第２認証手段を更に含み、
　前記処理実行手段は、前記第１予定日又は前記第１予定日時に、前記第２ユーザが前記第１場所にいる又は来ると判定された場合に、前記第１認証と、前記第２認証と、に基づいて、前記第１処理を実行する、
　請求項１に記載の認証システム。
　前記認証システムは、前記第１ユーザが前記第１場所にいる又は来た場合に、前記第１ユーザに関する第２認証を実行可能な第２認証手段を更に含み、
　前記処理実行手段は、前記第１予定日又は前記第１予定日時に、前記第２ユーザが前記第１場所にいる又は来ると判定された場合に、前記第１認証には基づかずに前記第２認証に基づいて、前記第１処理を実行する、
　請求項１に記載の認証システム。
　前記認証システムは、前記第１予定日又は前記第１予定日時に、前記第２ユーザが前記第１場所にいる又は来ると判定された場合に、前記第１ユーザが前記第１場所にいる又は来る前に、前記第２ユーザが前記第１場所にいる又は来たか否かを判定する第２ユーザ判定手段を更に含み、
　前記処理実行手段は、前記第１ユーザが前記第１場所にいる又は来る前に、前記第２ユーザが前記第１場所にいる又は来たと判定された場合に、前記第２認証には基づかずに前記第１認証に基づいて、前記第１処理を実行する、
　請求項２又は３に記載の認証システム。
　前記第１ユーザは、任意の日又は日時を、前記第１予定日又は前記第１予定日時として指定可能であり、
　前記認証システムは、前記予定情報に基づいて、前記第２ユーザが前記第１場所にいる又は来る第２予定日又は第２予定日時が前記第１予定日又は前記第１予定日時として指定されることを制限する制限手段を更に含む、
　請求項１～４の何れかに記載の認証システム。
　前記認証システムは、前記第１ユーザが前記第１認証とは異なる他の認証を指定した場合には、前記第２予定日又は前記第２予定日時が前記第１予定日又は前記第１予定日時として指定されることを許可する許可手段、
　を更に含む請求項５に記載の認証システム。
　前記認証システムは、前記第１ユーザが前記他の認証を指定した場合に、前記第１ユーザに、前記第１場所で前記第１認証を実行しないことを促す通知を送信する第１送信手段、
　請求項６に記載の認証システム。
　前記第２ユーザは、前記第１予定日時と同じ日における第２予定日時に、前記第１場所にいる又は来る予定であり、
　前記認証システムは、前記第１ユーザに、前記第１予定日時に前記第１場所で前記第１認証を行うことと、前記第１予定日時と同じ日における他の時間に前記第１場所にいる又は来る場合には他の認証を利用することと、を促す通知を送信する第２送信手段を更に含む、
　請求項１～７の何れかに記載の認証システム。
　前記第１予定日又は前記第１予定日時には、前記第１ユーザを含む複数のユーザが前記第１場所にいる又は来る予定であり、
　前記認証システムは、前記複数のユーザの各々の認証情報を予めデータベースから抽出する抽出手段を更に含み、
　前記第１認証手段は、前記データベースから抽出された前記複数のユーザの各々の前記認証情報に基づいて、前記複数のユーザの各々に関する前記第１認証を実行する、
　請求項１～８の何れかに記載の認証システム。
　前記認証システムは、前記第１予定日又は前記第１予定日時に、前記第２ユーザが前記第１場所にいる又は来ると判定された場合に、前記第２ユーザが第２場所にいた又は来た第２時間に関する第２時間情報と、前記第２場所に関する第２場所情報と、の少なくとも一方に基づいて、前記第２ユーザが前記第１場所にいない又は来ない予測期間を予測する予測手段を更に含み、
　前記処理実行手段は、前記第１予定日又は前記第１予定日時に、前記第２ユーザが前記第１場所にいる又は来ると判定された場合に、前記予測期間に実行された前記第１認証に基づいて、前記第１処理を実行する、
　請求項１～９の何れかに記載の認証システム。
　前記予測手段は、
　前記第１場所に関する第１場所情報と、前記第２場所情報と、に基づいて、前記第１場所と前記第２場所との距離を取得し、
　前記第２時間情報と、前記距離に応じた移動時間と、に基づいて、前記予測期間を予測する、
　請求項１０に記載の認証システム。
　前記第２場所情報は、前記第１場所に関する予約を受け付けるためのアプリケーションとは異なる他のアプリケーションを利用して取得された位置に関する情報である、
　請求項１０又は１１に記載の認証システム。
　前記第１ユーザ及び前記第２ユーザの各々は、前記第１場所にチェックイン可能であり、
　前記第１認証は、生体認証であり、
　前記予定情報は、前記第１場所へのチェックインの予定に関する情報である、
　前記第２ユーザは、前記生体認証で利用される生体情報が前記第１ユーザと類似するユーザであり、
　前記第１処理は、前記第１場所にチェックインするための処理である、
　請求項１～１３の何れかに記載の認証システム。
　第１ユーザが第１場所にいる又は来た場合に、前記第１ユーザに関する第１認証を実行可能な第１認証ステップと、
　前記第１場所への来訪予定に関する予定情報に基づいて、前記第１ユーザが前記第１場所にいる又は来る第１予定日又は第１予定日時に、前記第１認証で前記第１ユーザとして認証される可能性がある第２ユーザが前記第１場所にいる又は来るか否かを判定する予定判定ステップと、
　前記第１予定日又は前記第１予定日時に、前記第２ユーザが前記第１場所にいる又は来ると判定されない場合に、前記第１認証に基づいて、前記第１ユーザに関する第１処理を実行する処理実行ステップと、
　を含む認証方法。
　第１ユーザが第１場所にいる又は来た場合に、前記第１ユーザに関する第１認証を実行可能な第１認証手段、
　前記第１場所への来訪予定に関する予定情報に基づいて、前記第１ユーザが前記第１場所にいる又は来る第１予定日又は第１予定日時に、前記第１認証で前記第１ユーザとして認証される可能性がある第２ユーザが前記第１場所にいる又は来るか否かを判定する予定判定手段、
　前記第１予定日又は前記第１予定日時に、前記第２ユーザが前記第１場所にいる又は来ると判定されない場合に、前記第１認証に基づいて、前記第１ユーザに関する第１処理を実行する処理実行手段、
　としてコンピュータを機能させるためのプログラム。