WO2023042825A1

WO2023042825A1 - 情報管理システム、認証デバイスおよび個人情報サーバ

Info

Publication number: WO2023042825A1
Application number: PCT/JP2022/034254
Authority: WO
Inventors: 亜紀福田
Original assignee: 株式会社東芝; 東芝インフラシステムズ株式会社
Priority date: 2021-09-17
Filing date: 2022-09-13
Publication date: 2023-03-23
Also published as: JP2023044038A

Abstract

個人ごとに管理する情報を複雑な操作なしで安全に運用することができる情報管理システム、認証デバイスおよび個人情報サーバを提供する。　実施形態によれば、情報管理システムは、認証デバイスと個人情報サーバとを有する。認証デバイスは、センサとメモリとインターフェースと第１プロセッサとを有する。個人情報サーバは、通信部とデータメモリと第２プロセッサとを有する。センサは、人物の生体情報を取得する。メモリは、所持者の生体情報を記憶する。インターフェースは、端末装置と接続する。第１プロセッサは、センサが取得する生体情報とメモリが記憶する生体情報との生体照合が成功した場合に個人情報サーバの場所を示す情報を端末装置へ出力する。通信部は、端末装置と通信する。データメモリは、認証デバイスの所持者の個人情報を保管する。第２プロセッサは、認証デバイスが接続された端末装置からの要求に応じてデータメモリが保管する認証デバイスの所持者の個人情報を端末装置へ供給する。

Description

情報管理システム、認証デバイスおよび個人情報サーバ

　本発明の実施形態は、情報管理システム、認証デバイスおよび個人情報サーバに関する。

　近年、自己主権型アイデンティティのシステムが検討されている。自己主権型アイデンティティのシステムは、従来の中央集権型のデータ管理から個人がデータを管理する概念に基づくシステムである。自己主権型アイデンティティのシステムは、スマートフォンのようなモバイルデバイスあるいはパーソナルコンピュータ（ＰＣ）などを利用して、個人の資格情報を受け取ったり提供したりすることを想定している。

　従来の中央集権型のシステムでは、データをプラットフォーム提供者が一括管理するため、一括管理するデータに対するセキュリティ攻撃が発生した場合の大人数の個人情報が漏洩したり第３者による大規模なデータの不正利用が発生したりするなどのプライバシーおよびデータ保護の観点で大きなリスクを持つ。これに対して、自己主権型アイデンティティのシステムでは、情報を分散管理し、個人がデータの取り扱いを行い、かつ、信頼できる相手との１対１でのデータの受け渡しなどを行うことによりデータの保護に関するリスクを低減することが期待される。

　しかしながら、高齢者などの個人は、スマートフォンやＰＣなどの情報機器の操作に不慣れなことが多い。このような情報機器の利用に不慣れな個人は、自己主権型アイデンティティのシステムを用いて自分のデータを管理することは難しいと考えられる。このため、自己主権型アイデンティティのシステムを実現するには、わかりやすいユーザインターフェースなどを用いた運用が必要であると考えられる。さらに、自己主権型アイデンティティのシステムでは、秘密鍵などの情報を利用者自身が安全に管理および保管する必要がある。利用者自身が安全に情報を保管する運用を想定すると、利用者自身が所持するスマートフォンやＰＣでは、コンピュータウイルスなどの攻撃による鍵の漏洩などが懸念されるという問題がある。

日本国特開２００１ー３１２４７７号公報

　上記した課題を解決するために、個人ごとに管理する情報を複雑な操作なしで安全に運用することができる情報管理システム、認証デバイスおよび個人情報サーバを提供する。

　実施形態によれば、情報管理システムは、認証デバイスと個人情報サーバとを有する。認証デバイスは、センサとメモリとインターフェースと第１プロセッサとを有する。個人情報サーバは、通信部とデータメモリと第２プロセッサとを有する。センサは、人物の生体情報を取得する。メモリは、所持者の生体情報を記憶する。インターフェースは、端末装置と接続する。第１プロセッサは、センサが取得する生体情報とメモリが記憶する生体情報との生体照合が成功した場合に個人情報サーバの場所を示す情報を端末装置へ出力する。通信部は、端末装置と通信する。データメモリは、認証デバイスの所持者の個人情報を保管する。第２プロセッサは、認証デバイスが接続された端末装置からの要求に応じてデータメモリが保管する認証デバイスの所持者の個人情報を端末装置へ供給する。

図１は、実施形態に係る情報管理システムで利用する認証デバイスとしてのＩＣカードを発行するためのシステム構成例を示す図である。図２は、実施形態に係る情報管理システムで利用する認証デバイスとしてのＩＣカードの構成例を示すブロック図である。図３は、実施形態に係る情報管理システムで利用する認証デバイスとしてのＩＣカードを発行するための登録装置の構成例を示すブロック図である。図４は、実施形態に係る情報管理システムで利用する認証デバイスとしてのＩＣカードを発行する発行処理を説明するためのシーケンスである。図５は、実施形態に係る情報管理システムが認証デバイスとしてのＩＣカードの所持者の情報を提供するためのシステム構成例を示す図である。図６は、実施形態に係る情報管理システムにおけるＩＣカードの所持者のリポジトリである個人情報サーバの構成例を示すブロック図である。図７は、実施形態に係る情報管理システムにおいてＩＣカードと個人情報サーバと窓口端末との認証手続きを説明するためのシーケンスである。図８は、実施形態に係る情報管理システムが窓口端末に個人情報サーバが保管するＩＣカードの所持者の情報を提供する処理を説明するためのシーケンスである。図９は、実施形態に係る情報管理システムが窓口端末からの情報をＩＣカードの所持者のリポジトリである個人情報サーバに保管する処理を説明するためのシーケンスである。

実施形態

　以下、実施形態について、図面を参照しつつ説明する。　
　まず、実施形態に係る情報管理システムに用いる認証デバイスの発行（登録）手続きについて説明する。　
　図１は、実施形態に係る情報管理システムに利用可能な認証デバイスとしてのＩＣカード２を発行（登録）するためのシステム構成例を模式的に示す図である。　
　図１に示す構成例において、情報管理システムは、端末（ユーザ端末）１、ＩＣカード２、登録装置３、および、個人情報サーバ４などを有する。

　ＩＣカード２は、生体認証を実行する機能を有する認証デバイスの一例である。認証デバイスとしてのＩＣカード２は、個々の個人ごとに発行され、所持者本人であることを生体情報によって認証する機能を有する。

　認証デバイスとしてのＩＣカード２は、人物から取得する認証情報としての生体情報を取得するための生体センサ２０を備える。本実施形態において、認証デバイスとしてのＩＣカード２は、生体センサ２０として、生体情報の一例である指紋を読み取る指紋センサを備える指紋認証カード（指紋センサカード）であるものとして説明する。ＩＣカード２は、指紋センサ（生体センサ）２０が読み取る指紋とＩＣカード２内のメモリに予め登録されている所持者（登録者）の指紋とを照合することにより本人確認としての指紋認証（生体認証）を実行する。

　なお、実施形態に係る認証デバイスは、指紋センサを備えるＩＣカードである指紋センサカードに限定されるものではない。例えば、認証デバイスは、指紋以外の生体情報によって生体認証を行う携帯可能電子装置であっても良いし、スマートフォンなどのハードウエアであっても良い。

　本実施形態において、ＩＣカード２を所持する所持者は、本人の個人情報および資格情報などの情報を管理する個人情報サーバ４を持っているものとする。個人情報サーバ４は、リポジトリと呼ばれる。個人情報サーバ４は、個人ごとに情報を分散管理し、各個人がデータの取り扱いを行う自己主権型アイデンティティのシステムを構成するものである。自己主権型アイデンティティのシステムは、データをプラットフォーム提供者が一括管理する中央集権型のデータ管理システムとは異なり、個人ごとの個人情報サーバ４が分散管理する個人の資格情報などのデータを認証デバイスによる個人認証を利用してセキュアに受け渡しすることによりデータのプライバシー保護を向上させる。

　個人情報サーバ４は、資格情報などの個人情報を管理する対象者となるＩＣカード２の所持者ごとに設けられる。個人情報サーバ４は、ＩＣカード２の所持者に関する情報として資格情報などの個人情報を保管する。個人情報サーバ４は、認証デバイスとしてのＩＣカード２との相互認証によって当該ＩＣカード２とセキュアに通信する機能を有する。ＩＣカード２の所持者のリポジトリである個人情報サーバ４は、ネットワークに接続される。個人情報サーバは、ＵＲＬなどのネットワーク上におけるアドレスによって場所（サーバの場所）が示される。

　端末１は、認証デバイスとしてのＩＣカード２と通信するカードインターフェースと登録装置３と通信するネットワークインターフェースとを備える情報処理装置である。端末１は、ＩＣカードと登録装置３との通信を仲介できるものであれば良い。また、端末１は、ＩＣカード２と通信するカードインターフェース（カードリーダライタ）を備える装置に限定されるものではく、外部機器としてのカードリーダライタに接続するためのインターフェースを備えるものであっても良い。端末１は、例えば、ユーザ自身が操作するスマートフォン、タブレットＰＣ、パーソナルコンピュータ（ＰＣ）などのユーザ端末であるものとする。

　登録装置３は、ネットワークを介して外部装置と通信する機能を有し、個人の情報が登録されたＨＳＭ（ハードウエアセキュリティモジュール：Ｈａｒｄｗａｒｅ　Ｓｅｃｕｒｉｔｙ　Ｍｏｄｕｌｅ）３Ａを管理する装置である。登録装置３は、例えば、公的機関が運用するサーバであり、公的機関で管理する各個人の生体（指紋）情報とリポジトリのＵＲＬ（アドレスなどのサーバの場所）とを含む個人情報を保存するＨＳＭ３Ａを管理する。

　ＨＳＭ３Ａは、セキュアに情報を保存するデバイスである。また、本実施形態において、ＨＳＭ３Ａは、保存している登録済みの指紋情報と端末１および登録装置３を介して与えられるＩＣカード２が取得する指紋情報との指紋照合（生体認証）を行う機能を有する。さらに、ＨＳＭ３Ａは、秘密鍵と公開鍵との鍵ペアを生成し、秘密鍵をセキュアに保存する機能を有する。

　次に、実施形態に係る認証デバイスとしてのＩＣカード２における制御系の構成について説明する。　
　図２は、実施形態に係る認証デバイスとしてのＩＣカード２の構成例を示すブロック図である。　
　ＩＣカード２は、外部装置から供給される電力により活性化する（動作可能な状態になる）認証デバイスである。ＩＣカード２は、スマートカードとも称される。図２に示すように、ＩＣカード２は、本体Ｃを有する。本体Ｃは、プラスチックなどによりカード状に形成される。ＩＣカード２の本体Ｃ内には、制御モジュールＭが埋設される。制御モジュールＭは、１つ又は複数のＩＣチップに通信インターフェースが接続された状態で一体的に形成される。

　図２に示す構成例において、制御モジュールＭは、プロセッサ２１、ＲＯＭ２２、ＲＡＭ２３、データメモリ２４および通信インターフェース２５を有する。また、ＩＣカード２の本体Ｃ内において、制御モジュールＭには、表示器２６および生体センサとしての指紋センサ２０が接続される。

　プロセッサ２１は、種々の処理を実行する回路を含む。プロセッサ２１は、例えば、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。プロセッサ２１は、ＩＣカード２全体の制御を司る。プロセッサ２１は、ＲＯＭ２２あるいはデータメモリ２４に記憶されているプログラムを実行することにより、種々の処理機能を実現する。ただし、後述するプロセッサ２１が実行する各種の機能のうち一部又は全部は、ハードウエア回路により実現されるようにしても良い。

　ＲＯＭ２２は、プログラムメモリとして機能する不揮発性のメモリである。ＲＯＭ２２は、予め制御用のプログラムおよび制御データなどが記憶される。ＲＯＭ２２は、製造段階で制御プログラムや制御データなどが記憶された状態でＩＣカード２内に組み込まれるものである。ＲＯＭ２２に記憶される制御プログラムや制御データは、予め当該ＩＣカード２の仕様に応じて組み込まれる。例えば、ＲＯＭ２２には、外部装置（カードリーダライタ）から受信するコマンドに応じた処理をプロセッサ２１が実行するためのプログラムが記憶される。

　ＲＡＭ２３は、ワーキングメモリとして機能する揮発性のメモリである。また、ＲＡＭ２３は、プロセッサ２１が処理中のデータなどを一時保管するバッファとしても機能する。例えば、ＲＡＭ２３は、通信インターフェース２５を介して外部装置との間で送受信するデータを一時保管する通信バッファとして機能する。

　データメモリ２４は、データの書き込みおよび書換えが可能な不揮発性のメモリである。データメモリ２４は、例えば、ＥＥＰＲＯＭ（登録商標）（Ｅｌｅｃｔｒｉｃａｌｌｙ　Ｅｒａｓａｂｌｅ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）などで構成する。データメモリ２４には、当該ＩＣカード２の運用用途に応じたプログラムや種々のデータが書き込まれる。データメモリ２４には、プログラムファイルあるいはデータファイルなどが定義され、それらのファイルに制御プログラムや種々のデータが書き込まれる。データメモリ２４は、一部又は全部の領域が耐タンパー性を有し、セキュアにデータが格納できる。例えば、データメモリ２４におけるセキュアにデータを記憶できる記憶領域には、鍵情報などの情報が記憶される。

　データメモリ２４は、当該ＩＣカード２の所持者の生体情報を記憶する記憶領域２４ａを有する。ＩＣカード２が指紋を用いた生体情報を行う指紋センサカードである場合、ＩＣカード２の記憶領域２４ａには、所持者であるユーザの生体情報としての指紋情報が書き込まれる。以下に説明する本実施形態では、ＩＣカード２は、データメモリ２４の記憶領域２４ａに所持者本人の生体情報としての指紋情報が書き込まれた状態でユーザが所持しているものであることを前提とする。

　通信インターフェース２５は、通信制御部とインターフェース部とを有し、通信部を構成する。通信インターフェース２５は、端末１および窓口端末５（図５参照）などの端末装置が備えるカードインターフェース（カードリーダライタ）又は端末装置とインターフェースを介して接続されるカードリーダライタと通信接続するためのインターフェースである。通信インターフェース２５は、端末装置（端末１および窓口端末５）が備えるカードインターフェースに対応した通信方式による通信機能を実現する。また、通信インターフェース２５は、複数の通信方式（例えば、接触通信と非接触通信）をサポートするものとして構成しても良い。

　当該ＩＣカード２が非接触型のＩＣカードとして実現される場合、通信インターフェース２５は、端末装置が備えるカードインターフェース又は端末装置とインターフェースを介して接続されるカードリーダライタ（ＲＷ）と非接触（無線）で通信する通信部を構成する。この場合、通信インターフェース２５は、電波の送受信を行うアンテナを備え、アンテナから送信する電波を生成するための変調回路およびアンテナが受信した電波から信号を生成するための復調回路などにより構成される。

　また、当該ＩＣカード２が接触型のＩＣカードとして実現される場合、通信インターフェース２５は、端末装置が備えるカードインターフェース又は端末装置とインターフェースを介して接続されるカードＲＷと接触して通信する通信部を構成する。この場合、通信インターフェース２５は、カードＲＷに設けられたコンタクト部と物理的かつ電気的に接触するコンタクト部を備え、コンタクト部を介した信号の送受信を制御する通信制御回路などにより構成される。

　生体センサ２０は、認証情報を取得する認証情報取得部の一例である。生体センサ２０は、認証処理に用いる認証情報として人物の生体情報を取得するセンサである。本実施形態において、生体センサ２０は、利用者の指紋情報（指紋画像）を読み取る指紋センサであるものとする。生体センサとしての指紋センサ２０は、指紋を読み取るセンサがカード本体Ｃの表面に露出するように設けられ、露出したセンサ部分に翳された人物の指の指紋を読み取る。指紋センサ２０が読み取る指紋情報が、データメモリ２４の記憶領域２４ａに記憶されている指紋情報と照合されることで指紋照合が実行される。

　なお、生体センサ２０は、指紋センサに限定されるものではなく、指紋以外の生体情報（例えば、掌紋、静脈、虹彩等）を取得するセンサであっても良い。指紋以外の生体情報を取得するセンサを備える場合、ＩＣカード２は、センサが取得する生体情報に対応した生体認証を行う機能（例えば、掌紋照合、静脈照合、虹彩照合等を実行するＩＣチップ）を備えるようにすれば良い。

　次に、実施形態に係る情報管理システムに利用する認証デバイスとしてのＩＣカード２を発行（登録）するための登録装置３の構成について説明する。　
　図３は、実施形態に係る発行システムにおける登録装置３の構成例を示すブロック図である。　
　図３に示すように、登録装置３は、プロセッサ３１、ＲＯＭ３２、ＲＡＭ３３、データメモリ３４、通信部３５、および、インターフェース３６を有する。

　プロセッサ３１は、プログラムを実行することにより各種の処理を実行する。プロセッサ３１は、例えば、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。プロセッサ３１は、システムバスを介して登録装置３内の各部と接続され、各部との間でデータを送受信する。プロセッサ３１は、ＲＯＭ３２およびＲＡＭ３３と協働して登録装置３における制御およびデータ処理などの動作を実行する。

　ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）３２は、登録装置３の基本的な動作を実現するためのプログラムおよび制御データなどを記憶する不揮発性のメモリである。　　ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）３３は、データを一時的に記憶する揮発性のメモリである。ＲＡＭ３３は、プロセッサ３１がプログラムを実行する場合にワーキングメモリとして機能する。

　データメモリ３４は、各種のデータを記憶する記憶部である。データメモリ３４は、データの書き換えが可能な不揮発性のメモリで構成される。例えば、データメモリ３４は、ＯＳプログラム、アプリケーションプログラム、動作設定情報などを記憶する。

　通信部３５は、外部装置と通信するための通信インターフェースである。通信部３５は、無線で通信を行うものであって良いし、有線で通信を行うものであっても良い。本実施形態において、通信部３５は、インターネットなどの広域のネットワークを介して、ユーザが使用する端末１と通信する。プロセッサ３１は、通信部３５により端末１を介してＩＣカード２とのセキュアな通信を実行する。

　インターフェース３６は、ＨＳＭ３Ａにアクセスするためのインターフェースである。インターフェース３６は、ＨＳＭ３Ａが備えるインターフェース規格に対応したものであれば良い。ここで、ＨＳＭ３Ａは、インターフェース３６を介して接続される登録装置３に接続される装置であっても良い。

　ＨＳＭ３Ａは、ＩＣカード２の所持者の生体情報としての指紋情報とリポジトリのアドレス（ＵＲＬ）とを含む情報をセキュアに保存する。また、ＨＳＭ３Ａは、登録装置３から入力される生体情報と保存している生体情報との生体照合を実行し、その生体照合結果を出力する機能を有する。ＨＳＭ３Ａは、保存している生体情報を外部に出力することなく生体照合を行えるためセキュアに生体照合を実現できる。

　次に、本実施形態に係る情報管理システムで利用するＩＣカード２を発行（登録）するための発行処理について説明する。　
　図４は、認証デバイスとしてのＩＣカード２を情報管理システムで利用可能なＩＣカード２として発行（登録）する発行処理の動作例を説明するためのシーケンスである。　　図４に示す動作例では、前提条件として、ＩＣカード２が所持者本人の指紋情報を記憶し、ＨＳＭ３ＡがＩＣカード２の所持者に関する指紋情報とリポジトリのＵＲＬとを保管しているものとする。また、ＩＣカード２とＨＳＭ３Ａとは、端末１および登録装置３を介してセキュアに通信する機能を有するものとする。

　ＩＣカード２のプロセッサ２１は、通信Ｉ／Ｆ２５により端末１に接続し、端末１のネットワーク通信機能により登録装置３と通信する。ＩＣカード２のプロセッサ２１は、端末１を介して登録装置３との通信状態が確立すると、ＩＣカード２とＨＳＭ３Ａとの相互認証を実行する（ＳＴ１１）。

　ＩＣカード２とＨＳＭ３Ａとの相互認証が成功すると、ＩＣカード２のプロセッサ２１は、データメモリ２４の記憶領域２４ａに保存している当該ＩＣカード２の所持者の指紋情報を登録装置３のＨＳＭ３Ａへ送信する（ＳＴ１２）。ＨＳＭ３Ａは、ＩＣカード２から取得した指紋情報と保管している登録済みの指紋情報との指紋照合を実行する（ＳＴ１３）。ＩＣカード２から取得した指紋情報と登録済みの指紋情報との照合が成功した場合、ＨＳＭ３Ａは、登録装置３および端末１を介してＩＣカード２に照合成功を通知する（ＳＴ１４）。

　ＨＳＭ３Ａは、ＩＣカード２から取得した指紋情報に対する指紋照合が成功した後、秘密鍵と公開鍵との鍵ペアを生成する（ＳＴ１５）。鍵ペアを生成すると、ＨＳＭ３Ａは、生成した秘密鍵をセキュアに保存（登録）する（ＳＴ１６）。秘密鍵を登録した後、ＨＳＭ３Ａは、公開鍵をＩＣカード２へ送信する（ＳＴ１９）。

　一方、ＩＣカード２のプロセッサ２１は、指紋センサ２０で読み取った指紋に対するＨＳＭ３Ａにおける指紋照合が成功した旨の通知を受けた場合、秘密鍵と公開鍵との鍵ペアを生成する（ＳＴ１７）。鍵ペアを生成すると、プロセッサ２１は、生成した秘密鍵をデータメモリ２４におけるセキュアな記憶領域に保存（登録）する（ＳＴ１８）。秘密鍵を保存した後、プロセッサ２１は、保存した秘密鍵に対応する公開鍵をＨＳＭ３Ａへ送信する（ＳＴ１９）。

　すなわち、相互認証が成功したＩＣカード２とＨＳＭ３Ａとは、ＩＣカード２が取得する指紋情報とＨＳＭ３Ａが保管する指紋情報との照合が成功した場合、それぞれが秘密鍵と公開鍵との鍵ペアを生成する。ＩＣカード２とＨＳＭ３Ａとは、自身が生成した秘密鍵を自身で保存し、それらの秘密鍵に対応する公開鍵を交換する。ＩＣカード２とＨＳＭ３Ａとは、それぞれが生成した鍵ペアを使用することによりデータの暗号化および検証が可能となる。

　ＨＳＭ３Ａは、ＩＣカード２が生成した公開鍵を取得すると、秘密鍵を用いてＩＣカード２が生成した公開鍵と当該ＩＣカード２の所持者のリポジトリのＵＲＬとに対して電子署名を行う（ＳＴ２０）。電子署名付きの公開鍵とＵＲＬとを生成すると、ＨＳＭ３Ａは、生成した電子署名付きの公開鍵とＵＲＬとをＩＣカード２へ送信する（ＳＴ２１）。

　ＩＣカード２は、通信インターフェース２５によりＨＳＭ３Ａが生成した電子署名付きの公開鍵とＵＲＬとを受信する。ＩＣカード２のプロセッサ２１は、ＨＳＭ３Ａからの電子署名付きの公開鍵とＵＲＬとを受信した場合、ＨＳＭ３Ａによる電子署名付きの公開鍵とＵＲＬとをデータメモリ２４に記憶する（ＳＴ２２）。ＩＣカード２のプロセッサ２１は、ＨＳＭ３Ａが電子署名した当該ＩＣカード２が生成した公開鍵を確認することにより自身が生成した公開鍵と共に受信したＵＲＬ（所持者のリポジトリのＵＲＬ）が正しいことを確認する。

　次に、実施形態に係る情報管理システムにおいてＩＣカード２の所持者のリポジトリである個人情報サーバ４が保存する資格情報を提供する処理および個人情報サーバ４に資格情報を登録する処理について説明する。　
　図５は、実施形態に係る情報管理システムにおいてＩＣカード２を用いて個人情報サーバ４が保持する情報を提供するためのシステム構成例を模式的に示す図である。　
　図５に示す構成例において、情報管理システムは、ＩＣカード２、個人情報サーバ４および窓口端末５などを有する。

　ＩＣカード２は、図２に示すように、生体センサとしての指紋センサ２０を備える構成を有する。図５に示すＩＣカード２は、登録装置３による発行手続きによって発行された認証デバイスの一例であるものとする。ＩＣカード２は、所持者本人であることが確認する生体認証としての指紋認証（指紋照合）機能を有し、所持者本人のリポジトリである個人情報サーバ４を示す情報を保持する認証デバイスである。

　窓口端末５は、認証デバイスとしてのＩＣカード２と通信するカードインターフェースとネットワークを経由して個人情報サーバ４と通信するネットワークインターフェースとを備える情報処理装置である。窓口端末５は、ＩＣカード２と個人情報サーバ４との通信を仲介する機能を有する。窓口端末５は、利用者が提示するＩＣカード２をカードインターフェースに接続し、個人情報サーバ４が保持する当該ＩＣカード２の所持者に関する資格情報などの情報を取得する。例えば、窓口端末５は、個人情報サーバ４が保持するＩＣカード２の所持者の資格情報を取得し、所得した資格情報に基づいて当該人物に対する各種サービスの手続きを行う。また、窓口端末５は、ＩＣカード２の所持者に関する資格情報などの情報を個人情報サーバ４に登録する（書き込む）手続きを行うものであっても良い。例えば、窓口端末５は、ＩＣカード２の所持者に関する資格情報を当該人物のリポジトリである個人情報サーバ４に書き込むことを依頼する。

　個人情報サーバ４は、ＩＣカード２の所持者のリポジトリである。個人情報サーバ４は上述したように、ＩＣカード２を所持する所持者本人に関する情報（例えば、資格情報などの個人情報）の情報を管理する。個人情報サーバ４は、ＩＣカード２が接続された端末装置からの要求に応じて保管している当該ＩＣカード２の所持者の情報を提供する。また、個人情報サーバ４は、ＩＣカード２が接続された端末装置からの依頼に応じて新たな資格情報などの情報を当該ＩＣカード２の所持者の情報として登録（保存）する。

　図６は、実施形態に係る情報管理システムにおける個人情報サーバ４の構成例を示すブロック図である。　
　図６に示すように、個人情報サーバ４は、プロセッサ４１、ＲＯＭ４２、ＲＡＭ４３、データメモリ４４、および、通信部４５を有する。

　プロセッサ３１は、プログラムを実行することにより各種の処理を実行する。プロセッサ３１は、例えば、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。プロセッサ３１は、システムバスを介して個人情報サーバ４の各部との間でデータを送受信する。プロセッサ４１は、ＲＯＭ４２およびＲＡＭ４３と協働して個人情報サーバ４における制御およびデータ処理などの動作を実行する。

　ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）４２は、個人情報サーバ４の基本的な動作を実現するためのプログラムおよび制御データなどを記憶する不揮発性のメモリである。　
　ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）４３は、データを一時的に記憶する揮発性のメモリである。ＲＡＭ４３は、プロセッサ４１がプログラムを実行する場合にワーキングメモリとして機能する。

　データメモリ４４は、各種のデータを記憶する記憶部である。データメモリ４４は、データの書き換えが可能な不揮発性のメモリで構成される。例えば、データメモリ４４は、ＯＳプログラム、アプリケーションプログラム、動作設定情報などを記憶する。

　通信部４５は、外部装置と通信するための通信インターフェースである。通信部４５は、無線で通信を行うものであって良いし、有線で通信を行うものであっても良い。本実施形態において、通信部４５は、インターネットなどの広域のネットワークを介して、窓口端末５と通信する。プロセッサ４１は、通信部４５により窓口端末５を介したＩＣカード２とのセキュアな通信を実行する。

　次に、本実施形態に係る情報管理システムにおいてＩＣカード２を用いて個人情報サーバ４が保持する情報を提供する情報提供処理について説明する。　
　図７および図８は、個人情報サーバ４が保持するＩＣカード２の所持者の資格情報を窓口端末５へ提供する情報提供処理（読取処理）の動作例を説明するためのシーケンスである。　
　図７および図８に示す動作例の説明としては、ＩＣカード２の所持者がサービス開始に必要な個人情報サーバ４が保管する資格情報をサービス提供者の窓口で係員が操作する窓口端末５に提示することを想定する。具体例としては、ＩＣカード２の所持者が金融機関で口座を開設する場合に、口座開設に必要な個人情報サーバ４が保管する資格情報を金融機関の係員が操作する窓口端末５に提示することを想定する。

　サービスの開始手続きを受け付ける窓口の係員は、利用者から要求に応じてサービス開始の手続き開始を窓口端末５の操作部（図示しない）に指示入力し、利用者が所持する認証デバイスとしてのＩＣカード２を窓口端末５のＩＣカード用のインターフェース（図示しない）に提示させる。利用者がＩＣカード２を窓口端末５に提示すると、窓口端末５は、指紋照合コマンドをＩＣカード２に供給する（ＳＴ３１）。

　ＩＣカード２は、通信インターフェース２５により窓口端末５からの指紋照合コマンドを受信する。指紋照合コマンドを受信すると、ＩＣカード２のプロセッサ２１は、指紋センサ２０により指紋を読み取り、指紋センサ２０により読み取る指紋と記憶領域２４ａに保持している所持者本人の指紋とを照合する指紋照合を実行する（ＳＴ３２）。

　ＩＣカード２のプロセッサ２１は、指紋照合コマンドに応じた指紋照合を実行すると、その指紋照合の結果を窓口端末５へ送信する。ここでは、ＩＣカード２における指紋照合が成功したものとする。指紋照合が成功すると、プロセッサ２１は、指紋照合コマンドに対する応答として指紋照合が成功したことを窓口端末５へ通知する（ＳＴ３３）。

　窓口端末５は、ＩＣカード２から指紋照合が成功した旨の通知を受信すると、指紋照合が成功したことを窓口端末５の表示部（図示しない）に表示する。これにより、窓口端末５を操作する係員は、ＩＣカード２を提示した人物がＩＣカード２の所持者本人であると確認する。係員は、ＩＣカード２の所持者本人であることを確認した後、窓口端末５の操作部によりＩＣカード２の所持者本人に関する情報の格納場所（リポジトリ）を示す情報の取得を指示する。窓口端末５は、操作指示に応じて当該ＩＣカード２に対して所持者本人のリポジトリを示す情報（ここでは、リポジトリのＵＲＬとする）の読み出しを要求する読み出しコマンドを供給する（ＳＴ３４）。

　ＩＣカード２は、通信インターフェース２５により窓口端末５からのリポジトリのＵＲＬの読み出しを要求する読み出しコマンドを受信する。読み出しコマンドを受信すると、ＩＣカード２のプロセッサ２１は、当該コマンドで読み出しが指定されたリポジトリのＵＲＬをデータメモリ２４から読み出す。プロセッサ２１は、データメモリ２４から読み出したリポジトリのＵＲＬをセットした読み出しコマンドに対するレスポンスデータを生成し、生成したレスポンスデータを窓口端末５へ送信する（ＳＴ３５）。

　窓口端末５は、ＩＣカード２からリポジトリのＵＲＬを含むレスポンスデータを受信すると、ＩＣカード２から取得したリポジトリのＵＲＬにアクセスする。これにより、ＩＣカード２の所持者のリポジトリである個人情報サーバ４と窓口端末５とはネットワークを介した通信を開始する。

　個人情報サーバ４のプロセッサ４１は、通信部４５により窓口端末５からのアクセスを受けて当該窓口端末５とのセッションを確立させる（ＳＴ３６）。個人情報サーバ４のプロセッサ４１は、窓口端末５とのセッションが確立すると、窓口端末５を識別する端末識別情報を窓口端末５から受信する（ＳＴ３７）。

　窓口端末５の端末識別情報を受信すると、個人情報サーバ４のプロセッサ４１は、受信した端末識別情報で指定される窓口端末５に接続されているＩＣカード２との相互認証を実行する（ＳＴ３８）。個人情報サーバ４とＩＣカード２とは、ネットワークおよび窓口端末５を介して通信することによりお互いを認証する相互認証を行う。相互認証が成功すると、個人情報サーバ４のプロセッサ４１とＩＣカード２のプロセッサ２１とは、窓口端末５を介したセキュアチャネルを確立させる（ＳＴ３９）。

　個人情報サーバ４のプロセッサ４１は、ＩＣカード２とのセキュアチャネルが確立すると、窓口端末５の公開鍵を示す公開鍵ＩＤを窓口端末５から取得する（ＳＴ４０）。個人情報サーバ４のプロセッサ４１は、窓口端末５の公開鍵ＩＤを取得すると、公開鍵ＩＤが示す窓口端末５の公開鍵を取得する（ＳＴ４１）。窓口端末５の公開鍵を取得すると、個人情報サーバ４のプロセッサ４１は、ＩＣカード２に対して鍵ペアの生成を要求するコマンドを送信する（ＳＴ４２）。

　ＩＣカード２は、窓口端末５を介して通信インターフェース２５により個人情報サーバ４からの鍵ペアの生成を要求するコマンドを受信する。個人情報サーバ４からの鍵ペアの生成を要求するコマンドを受信した場合、ＩＣカード２のプロセッサ２１は、秘密鍵と公開鍵との鍵ペアを生成する（ＳＴ４３）。鍵ペアを生成すると、プロセッサ２１は、生成した秘密鍵と公開鍵を示す公開鍵ＩＤとをデータメモリ２４に記憶する（ＳＴ４４）。

　プロセッサ２１は、少なくとも秘密鍵をデータメモリ２４におけるセキュアなメモリ領域に保存する。秘密鍵と公開鍵ＩＤとを記憶した後、ＩＣカード２のプロセッサ４１は、窓口端末５を介した個人情報サーバ４とのセキュアな通信によって公開鍵と公開鍵ＩＤとを個人情報サーバ４へ送信する（ＳＴ４５）。

　個人情報サーバ４は、窓口端末５を介してＩＣカード２からの公開鍵と公開鍵ＩＤとを受信する。個人情報サーバ４のプロセッサ４１は、ＩＣカード２から受信した公開鍵をデータメモリ４４に記憶する（ＳＴ４６）。ＩＣカード２の公開鍵を保存すると、個人情報サーバ４のプロセッサ４１は、ＩＣカード２の公開鍵を示す公開鍵ＩＤを通信部４５によりネットワークを経由して窓口端末５へ送信する（ＳＴ４７）。

　窓口端末５は、個人情報サーバ４からＩＣカード２の公開鍵を示す公開鍵ＩＤを取得する（ＳＴ４８）。これにより、窓口端末５は、個人情報サーバ４が公開するＩＣカード２の公開鍵を取得することができる。この状態において、窓口端末５は、個人情報サーバ４が管理する当該ＩＣカード２の所持者に関する情報が取得可能となる。

　すなわち、ＩＣカードの公開鍵ＩＤを取得した後、窓口端末５は、当該ＩＣカード２の所持者に対して口座開設などのサービスの提供を開始するために当該人物に関する情報として取得すべき情報（資格情報）を特定する（ＳＴ５１）。例えば、窓口端末５は、取得すべき資格情報を表示部に表示する。窓口の係員は、表示部に表示した取得すべき資格情報を確認して当該資格情報の取得を操作部によって指示する。窓口端末５は、取得すべき資格情報が特定されると、取得すべき資格情報を示す識別情報（資格情報識別子）を含む読出し要求を個人情報サーバ４へ送信する（ＳＴ５２）。

　個人情報サーバ４は、通信部４５によりＩＣカード２の所持者の資格情報の読出し要求を窓口端末５から受信する（ＳＴ５３）。個人情報サーバ４のプロセッサ４１は、窓口端末５から資格情報の読出し要求を受信すると、読出しが要求された資格情報を取得する（ＳＴ５３）。

　個人情報サーバ４のプロセッサ４１は、読出し要求に含まれる資格情報識別子によって読み出すべき資格情報を特定し、データメモリ４４に保存しているＩＣカード２の所持者に関する情報から特定した資格情報を読み出す。読出しが要求された資格情報を読み出すと、プロセッサ４１は、セキュアチャネルが確立しているＩＣカード２に対してデータメモリ４４から読み出した資格情報を送信する（ＳＴ５４）。

　ＩＣカード２は、個人情報サーバ４とのセキュアな通信によって個人情報サーバ４がデータメモリ４４から読み出した当該ＩＣカード２の所持者本人の資格情報を受信する。ＩＣカード２のプロセッサ２１は、個人情報サーバ４から資格情報を受信すると、受信した資格情報に対して電子署名を付与する（ＳＴ５５）。ここで、プロセッサ２１は、上述したＳＴ４４でデータメモリ２４に保存した秘密鍵を用いて個人情報サーバ４から受信した資格情報に対して電子署名を付与する。個人情報サーバ４からの資格情報に署名を付与した後、プロセッサ２１は、電子署名を付与した署名済みの資格情報を個人情報サーバ４へ送信する（ＳＴ５６）。

　個人情報サーバ４は、ＩＣカード２とのセキュアな通信によってＩＣカード２が署名した資格情報を受信する。個人情報サーバ４のプロセッサ４１は、ＩＣカード２から署名済みの資格情報を受信すると、受信した署名済みの資格情報をＲＡＭ４３又はデータメモリ４４に保持する。

　個人情報サーバ４のプロセッサ４１は、ＩＣカード２が署名した資格情報を保持した状態でワンタイムトークンを発行する（ＳＴ５６）。ワンタイムトークンを発行すると、プロセッサ４１は、ＩＣカード２とのセキュアメッセージングによってワンタイムトークンを暗号化してＩＣカード２へ送信する（ＳＴ５７）。

　ＩＣカード２は、セキュアメッセージングによって窓口端末５を経由して個人情報サーバ４から暗号化されたワンタイムトークンを受信する。ＩＣカード２のプロセッサ２１は、個人情報サーバ４からセキュアメッセージングによる暗号化されたトークンを受信すると、受信したデータを復号することによりワンタイムトークンを取得する（ＳＴ５８）。また、プロセッサ２１は、個人情報サーバからのセキュアメッセージングの認証子を確認する（ＳＴ５９）。

　ＩＣカード２のプロセッサ２１は、個人情報サーバ４からのセキュアメッセージングの認証子を確認した後、個人情報サーバ４から取得したトークン（ワンタイムトークン）を窓口端末５へ供給する（ＳＴ６０）。

　窓口端末５は、カードインターフェースに接続されたＩＣカード２から当該ＩＣカード２が復号したワンタイムトークンを取得する。窓口端末５は、ＩＣカード２から取得したワンタイムトークンを個人情報サーバ４へ送信する（ＳＴ６１）。このワンタイムトークンは、個人情報サーバ４が発行し、暗号化してＩＣカード２に送信したデータである。窓口端末５は、個人情報サーバ４が暗号化したワンタイムトークンをＩＣカード２で復号化した後に取得する。従って、個人情報サーバ４による暗号化とＩＣカード２による復号化とが正常に実行されていれば、窓口端末５が個人情報サーバ４へ送信するワンタイムトークンは、元々個人情報サーバ４が生成したワンタイムトークンと一致するものとなる。

　個人情報サーバ４は、セキュアメッセージングにより暗号化したワンタイムトークンをＩＣカード２へ送信した後、窓口端末５からワンタイムトークン（ワンタイムトークンのチャレンジデータ）を受信する。個人情報サーバ４のプロセッサ４１は、窓口端末５からワンタイムトークンを受信すると、窓口端末５から受信したワンタイムトークンが当該個人情報サーバ４が発行してセキュアメッセージングでＩＣカード２へ送信したワンタイムトークンと一致するかを確認する（ＳＴ６２）。

　窓口端末５から受信したトークンと自身が発行したワンタイムトークンとが一致する場合、個人情報サーバ４のプロセッサ４１は、窓口端末５に資格情報を提供することを示す履歴情報をデータメモリ４４に保存し（ＳＴ６３）、ＲＡＭ等の保持しているＩＣカード２が署名した署名済みの資格情報を窓口端末５へ送信する（ＳＴ６４）。

　窓口端末５は、ＩＣカード２から受信したワンタイムトークンを個人情報サーバ４へ送信した後、個人情報サーバ４からＩＣカード２が署名した署名済みの資格情報を受信する。窓口端末５は、個人情報サーバ４からＩＣカード２による署名済みの資格情報を受信すると、ＳＴ４８で個人情報サーバ４から取得した公開鍵ＩＤによってＩＣカード２の公開鍵を取得する。窓口端末５は、ＩＣカード２の公開鍵によってＩＣカード２が署名した資格情報を復号化することによりＩＣカード２の所持者本人の資格情報を取得する（ＳＴ６５）。

　以上の処理によれば、利用者が所持するＩＣカードを窓口端末に接続させて指紋認証することで、個人情報サーバが保管している当該ＩＣカードの所持者の情報を窓口端末に提供できる。これにより、利用者は、ＩＣカードで指紋認証するだけで複雑な操作を行うことなく、個人情報サーバが保存する本人の資格情報などの情報を窓口端末に提供でき、窓口端末の表示部に本人の資格情報を表示などの運用ができる。

　また、上述した実施形態によれば、個人情報サーバは、指紋認証でＩＣカードの所持者であることが確認された後、窓口端末から要求されるＩＣカードの所持者の資格情報をＩＣカードへ送信する。ＩＣカードは、個人情報サーバから受信する資格情報に電子署名した署名済みの資格情報を個人情報サーバへ送信する。個人情報サーバは、ＩＣカードから取得するＩＣカードによる署名済みの資格情報を窓口端末へ提供する。窓口端末は、個人情報サーバからＩＣカードによる署名済みの資格情報を受信し、ＩＣカードの公開鍵を用いて資格情報を取得する。すなわち、実施形態に係る情報管理システムは、個人情報サーバが保管する資格情報を生体認証で本人確認したＩＣカードで電子署名した後で窓口端末に提供でき、個人情報サーバが保管する資格情報を安全に窓口端末に提供できる。

　また、上述した実施形態によれば、個人情報サーバは、ワンタイムトークンを発行し、発行したワンタイムトークンをセキュアメッセージングによってＩＣカードへ送信する。ＩＣカードは、個人情報サーバからセキュアメッセージングで受信するワンタイムトークンを復号し、復号したワンタイムトークンを窓口端末へ送信する。窓口端末は、ＩＣカードが復号化したワンタイムトークンを個人情報サーバへ送信する。個人情報サーバは、窓口端末から受信するワンタイムトークンが正しければＩＣカードの所持者の情報を窓口端末へ提供する。これにより、窓口端末が送信するワンタイムトークンが生体認証で本人確認したＩＣカードを経由して得られる正当なワンタイムトークンであることを確認した後に個人情報サーバが保管する情報を窓口端末に提供することができる。

　次に、本実施形態に係る情報管理システムにおいてＩＣカード２を用いて個人情報サーバ４が保持する情報を提供する情報提供処理について説明する。　
　図９は、窓口端末５からの資格情報を個人情報サーバ４が保持するＩＣカード２の所持者の資格情報として保存する保存処理の動作例を説明するためのシーケンスである。　　図９に示す動作例は、ＩＣカード２の所持者に関する新たな情報を窓口端末５を用いて個人情報サーバ４に登録する処理（書き込む処理）を想定する。具体例としては、窓口端末５を用いてＩＣカード２の所持者が新たに取得した資格情報をＩＣカード２の所持者のリポジトリとしての個人情報サーバ４に登録する処理が想定される。

　図９に示す処理は、上述した図７に示す処理の後に実行されるものとする。すなわち、個人情報サーバ４に資格情報を登録する利用者が所持するＩＣカード２が窓口端末５に接続される。窓口端末５とＩＣカード２は、図７に示すＳＴ３１～３５と同様な処理を実行する。これにより、窓口端末５は、ＩＣカード２が指紋照合によって所持者本人であることを確認した後に当該所持者のリポジトリのＵＲＬを取得する。

　窓口端末５とリポジトリのＵＲＬで示される個人情報サーバ４とは、図７に示すＳＴ３６と同様な処理によって通信用のセッションを確立し、個人情報サーバ４は、図７に示すＳＴ３６と同様な処理によって窓口端末５の端末識別情報を取得する。

　さらに、ＩＣカード２と個人情報サーバ４とは、図７に示すＳＴ３８ー３７と同様な処理によって相互認証を行ってセキュアチャネルを確立する。これにより、ＩＣカード２と個人情報サーバ４とは、窓口端末５を含む外部装置に解読されないデータの送受信が可能なセキュアメッセージングを実行できる状態となる。

　また、個人情報サーバ４は、図７に示すＳＴ４０ー４１と同様な処理によって窓口端末５の公開鍵を取得する。　
　さらに、図７に示すＳＴ４０ー４１と同様な処理によって、個人情報サーバ４とのセキュアチャネルが確立したＩＣカード２は、個人情報サーバ４から要求に応じて鍵ペアを生成し、秘密鍵を保存する。ＩＣカード２の公開鍵は、個人情報サーバ４および窓口端末５に登録される。

　ＩＣカード２の公開鍵を取得した後、窓口端末５は、当該ＩＣカード２の所持者のリポジトリである個人情報サーバ４に登録（保管）すべき資格情報（書き込む情報）が指定される（ＳＴ７１）。ここで、窓口端末５は、個人情報サーバ４に登録すべきＩＣカード２の所持者の新たな資格情報を保持した状態であるものとする。

　例えば、窓口端末５は、ＩＣカード２の所持者のリポジトリである個人情報サーバ４に登録（保管）すべき資格情報を表示部に表示する。窓口の係員は、表示部に表示したリポジトリに登録すべき資格情報を確認して当該資格情報の保存を操作部によって指示する。窓口端末５は、リポジトリに登録すべき資格情報が指定されると、登録すべき資格情報（書き込み情報）の書き込み依頼を個人情報サーバ４へ送信する（ＳＴ７２）。

　個人情報サーバ４は、通信部４５によりＩＣカード２の所持者に関する情報としての資格情報の書き込み要求を窓口端末５から受信する。個人情報サーバ４のプロセッサ４１は、窓口端末５から資格情報の書き込み依頼を受信すると、ワンタイムトークンを発行する（ＳＴ７３）。ワンタイムトークンを発行すると、プロセッサ４１は、ＩＣカード２とのセキュアメッセージングによってワンタイムトークンを暗号化してＩＣカード２へ送信する（ＳＴ７４）。

　ＩＣカード２は、セキュアメッセージングによって個人情報サーバ４から暗号化されたワンタイムトークンを受信する。ＩＣカード２のプロセッサ２１は、個人情報サーバ４からセキュアメッセージングによる暗号化されたワンタイムトークンを含むデータを受信すると、受信したデータに含まれる暗号化されたワンタイムトークンを復号する（ＳＴ７５）。また、プロセッサ２１は、個人情報サーバ４からのセキュアメッセージングの認証子を確認する（ＳＴ７６）。

　ＩＣカード２のプロセッサ２１は、個人情報サーバ４からのセキュアメッセージングの認証子を確認した後、個人情報サーバ４から受信したデータに含まれる復号化したワンタイムトークンを窓口端末５へ供給する（ＳＴ７７）。

　窓口端末５は、カードインターフェースに接続されるＩＣカード２から当該ＩＣカード２が復号したワンタイムトークンを受信する。窓口端末５は、ＩＣカード２からワンタイムトークンを受信すると、ＩＣカード２の所持者に関する情報としてリポジトリとしての個人情報サーバ４に登録（保存）すべき資格情報に署名を付与する（ＳＴ７８）。窓口端末５は、個人情報サーバ４に通知した公開鍵に対応する秘密鍵を保持しており、その秘密鍵を用いて個人情報サーバ４に保存すべき資格情報に電子署名を付与する。

　窓口端末５は、自身の秘密鍵を用いて登録すべき資格情報に電子署名した場合、ＩＣカード２から取得したワンタイムトークン（ワンタイムトークンのチャレンジデータ）と当該資格情報を識別する資格情報識別子と署名済みの資格情報を含むデータを個人情報サーバ４へ送信する（ＳＴ７９）。

　個人情報サーバ４は、セキュアメッセージングによりＩＣカード２へワンタイムトークンを送信した後、窓口端末５からワンタイムトークン、署名情報識別子および署名済みの資格情報を含むデータを受信する。個人情報サーバ４のプロセッサ４１は、窓口端末５からワンタイムトークンを含むデータを受信すると、窓口端末５から受信したワンタイムトークンと当該個人情報サーバ４自身が発行したセキュアメッセージングでＩＣカード２へ送信したワンタイムトークンとが一致するかを確認する（ＳＴ８０）。

　窓口端末５から受信したワンタイムトークンと自身が発行したワンタイムトークンとが一致する場合、個人情報サーバ４のプロセッサ４１は、窓口端末５から登録が要求された資格情報を書き込みすることを示す履歴情報をデータメモリ４４に保存する（ＳＴ８１）。プロセッサ４１は、窓口端末５から受信した署名済みの資格情報を当該窓口端末５の公開鍵で復号し、当該ＩＣカード２の所持者の資格情報としてデータメモリ４４に書き込む（ＳＴ８２）。資格情報（書き込み情報）を書き込んだ後、プロセッサ４１は、窓口端末５に対して登録が依頼された資格情報を正常に書き込んだ旨を通知する（ＳＴ８３）。

　以上の処理によれば、利用者が所持するＩＣカードを窓口端末に接続させて指紋認証することで、窓口端末がＩＣカードの所持者の新たな情報を個人情報サーバに書き込むことができる。これにより、利用者は、ＩＣカードで指紋認証するだけで複雑な操作を行うことなく、窓口端末が表示部に表示する本人の新たな資格情報などの情報を個人情報サーバに保存することができる。

　また、上述した実施形態によれば、窓口端末は、指紋認証でＩＣカードの所持者であることが確認された後、ＩＣカードから取得したリポジトリのＵＲＬが示す個人情報サーバにＩＣカードの所持者の新たな資格情報（書き込み情報）の書き込みを依頼する。窓口端末は、個人情報サーバに登録する資格情報を自身の秘密鍵を用いて電子署名し、電子署名した署名済みの資格情報を個人情報サーバに送信する。個人情報サーバは、窓口端末の公開鍵を用いて窓口端末から受信した署名済みの資格情報に基づく資格情報をＩＣカードの所持者の情報として書き込む。これにより、実施形態に係る情報管理システムは、生体認証で本人確認したＩＣカードを接続した窓口端末がＩＣカードの所持者の情報として保管すべき新たな資格情報などの情報を安全に個人情報サーバへ供給でき、個人情報サーバに安全に保管できる。

　また、上述した実施形態によれば、窓口端末から情報書き込み依頼を受けた個人情報サーバは、ワンタイムトークンを発行し、発行したワンタイムトークンをセキュアメッセージングによってＩＣカードへ送信する。ＩＣカードは、個人情報サーバからセキュアメッセージングで受信するワンタイムトークンを復号し、復号したワンタイムトークンを窓口端末へ送信する。窓口端末は、ＩＣカードからのワンタイムトークンと登録すべき資格情報（書き込み情報）とを個人情報サーバへ送信する。個人情報サーバは、窓口端末から受信するワンタイムトークンが正しければ窓口端末が書き込みを要求する資格情報を当該ＩＣカードの所持者の情報として書き込む。これにより、個人情報サーバは、窓口端末からのワンタイムトークンが生体認証で本人確認したＩＣカードを経由して得られる正当なワンタイムトークンであることを確認した後に窓口端末が書き込みを依頼する書き込み情報を個人情報サーバに書き込んで保管できる。

　本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。

Claims

　認証デバイスと個人情報サーバとを有する情報管理システムであって、
　前記認証デバイスは、
　人物の生体情報を取得するセンサと、
　所持者の生体情報を記憶するメモリと、
　端末装置と接続するインターフェースと、
　前記センサが取得する生体情報と前記メモリが記憶する生体情報との生体照合が成功した場合に前記個人情報サーバの場所を示す情報を前記端末装置へ出力する第１プロセッサと、を有し、
　前記個人情報サーバは、
　前記端末装置と通信する通信部と、
　前記認証デバイスの所持者の個人情報を保管するデータメモリと、
　前記認証デバイスが接続された前記端末装置からの要求に応じて前記データメモリが保管する前記認証デバイスの所持者の個人情報を前記端末装置へ供給する第２プロセッサと、を有する、
　情報管理システム。
　前記個人情報サーバの前記第２プロセッサは、ワンタイムトークンを発行し、前記認証デバイスにセキュアメッセージングによって前記ワンタイムトークンを送信した後に前記端末装置から受信するデータが前記発行したワンタイムトークンと一致すれば、前記個人情報を前記端末装置へ送信し、
　前記認証デバイスの前記第１プロセッサは、前記個人情報サーバからのセキュアメッセージングによって受信するデータを復号することで得られる前記個人情報サーバが発行したワンタイムトークンを前記端末装置へ送信する、
　請求項１に記載の情報管理システム。
　前記認証デバイスの前記第１プロセッサは、前記個人情報サーバから受信する前記所持者の個人情報に電子署名した署名済み個人情報を前記個人情報サーバへ送信し、
　前記個人情報サーバの前記第２プロセッサは、前記認証デバイスから取得する前記認証デバイスの公開鍵を前記端末装置に開示し、前記端末装置からの要求に応じて前記データメモリが保管する前記認証デバイスの所持者の個人情報を前記認証デバイスに送信した後に前記認証デバイスが電子署名した署名済み個人情報を前記端末装置へ供給する、
　請求項１に記載の情報管理システム。
　前記認証デバイスの前記第１プロセッサは、前記個人情報サーバからのセキュアメッセージングによって受信するデータを復号することで得られる前記個人情報サーバが発行するワンタイムトークンを前記端末装置へ送信し、
　前記個人情報サーバの前記第２プロセッサは、前記ワンタイムトークンを発行し、前記認証デバイスにセキュアメッセージングによって前記ワンタイムトークンを送信した後に、前記端末装置から受信するワンタイムトークンのチャレンジデータが前記発行したワンタイムトークンと一致すれば、前記署名済み個人情報を前記端末装置へ送信する、
　請求項３に記載の情報管理システム。
　前記認証デバイスは、カード状の本体を有し、
　前記認証デバイスの前記センサは、生体情報として指紋を読み取る指紋センサであり、　前記認証デバイスの前記第１プロセッサは、前記指紋センサが取得する指紋情報と前記メモリが記憶する指紋情報との指紋照合が成功した場合に前記個人情報サーバの場所を示す情報を前記端末装置へ出力する、
　請求項１乃至４の何れか１項に記載の情報管理システム。
　人物の生体情報を取得するセンサと、
　所持者の生体情報を記憶するメモリと、
　端末装置と接続するインターフェースと、
　前記センサが取得する生体情報と前記メモリが記憶する生体情報との生体照合が成功した場合に前記所持者の個人情報を保管する個人情報サーバの場所を示す情報を前記端末装置へ出力するプロセッサと、
　を有する認証デバイス。
　センサが取得する生体情報と登録済みの所持者の生体情報に対する生体照合を行う認証デバイスが接続される端末装置と通信する通信部と、
　前記認証デバイスの所持者の個人情報を保管するデータメモリと、
　前記端末装置に接続された前記認証デバイスにおける所持者の生体照合が成功した場合に前記端末装置からの要求に応じて前記データメモリが保管する前記認証デバイスの所持者の個人情報を前記端末装置へ供給するプロセッサと、
　を有する個人情報サーバ。
　認証デバイスと個人情報サーバとを有する情報管理システムであって、
　前記認証デバイスは、
　人物の生体情報を取得するセンサと、
　所持者の生体情報を記憶するメモリと、
　端末装置と接続するインターフェースと、
　前記センサが取得する生体情報と前記メモリが記憶する生体情報との生体照合が成功した場合に前記個人情報サーバの場所を示す情報を前記端末装置へ出力する第１プロセッサと、を有し、
　前記個人情報サーバは、
　前記端末装置と通信する通信部と、
　前記認証デバイスの所持者の個人情報を保管するデータメモリと、
　前記認証デバイスが接続された前記端末装置からの書き込み依頼に応じて前記端末装置から供給される書き込み情報を前記認証デバイスの所持者の個人情報として前記データメモリに書き込む第２プロセッサと、を有する、
　情報管理システム。
　前記認証デバイスの前記第１プロセッサは、前記個人情報サーバからのセキュアメッセージングによって受信するデータを復号することで得られる前記個人情報サーバが発行するワンタイムトークンを前記端末装置へ送信し、
　前記個人情報サーバの前記第２プロセッサは、前記ワンタイムトークンを発行し、前記認証デバイスにセキュアメッセージングによって前記ワンタイムトークンを送信した後に、前記端末装置から受信するワンタイムトークンのチャレンジデータが前記発行したワンタイムトークンと一致すれば、前記端末装置からの前記書き込み情報を前記データメモリに書き込む、
　請求項８に記載の情報管理システム。
　前記個人情報サーバの前記第２プロセッサは、前記端末装置が前記書き込み情報に電子署名した署名済み書き込み情報を前記端末装置から取得し、前記署名済み書き込み情報を前記端末装置の公開鍵を用いて確認した後に前記書き込み情報を前記データメモリに書き込む、
　請求項８に記載の情報管理システム。
　前記認証デバイスの前記第１プロセッサは、前記個人情報サーバからのセキュアメッセージングによって受信するデータを復号することで得られる前記個人情報サーバが発行するワンタイムトークンを前記端末装置へ送信し、
　前記個人情報サーバの前記第２プロセッサは、前記ワンタイムトークンを発行し、前記認証デバイスにセキュアメッセージングによって前記ワンタイムトークンを送信した後に、前記端末装置から受信するワンタイムトークンのチャレンジデータが前記発行したワンタイムトークンと一致すれば、前記端末装置からの前記署名済み書き込み情報を前記端末装置の公開鍵を用いて確認した後に前記書き込み情報を前記データメモリに書き込む、　請求項１０に記載の情報管理システム。
　前記認証デバイスは、カード状の本体を有し、
　前記認証デバイスの前記センサは、生体情報として指紋を読み取る指紋センサであり、　前記認証デバイスの前記第１プロセッサは、前記指紋センサが取得する指紋情報と前記メモリが記憶する指紋情報との指紋照合が成功した場合に前記個人情報サーバの場所を示す情報を前記端末装置へ出力する、
　請求項８乃至１１の何れか１項に記載の情報管理システム。
　センサが取得する生体情報と登録済みの所持者の生体情報に対する生体照合を行う認証デバイスが接続される端末装置と通信する通信部と、
　前記認証デバイスの所持者の個人情報を保管するデータメモリと、
　前記端末装置に接続された前記認証デバイスにおける所持者の生体照合が成功した場合に前記端末装置からの書き込み依頼に応じて前記端末装置から供給される書き込み情報を前記認証デバイスの所持者の個人情報として前記データメモリに書き込むプロセッサと、　を有する個人情報サーバ。