WO2023139972A1

WO2023139972A1 - 利用管理システム、利用制御装置、管理装置、利用管理方法、およびプログラム

Info

Publication number: WO2023139972A1
Application number: PCT/JP2022/045752
Authority: WO
Inventors: 祐樹江尻; 寛司山本
Original assignee: 株式会社ビットキー
Priority date: 2022-01-20
Filing date: 2022-12-12
Publication date: 2023-07-27

Abstract

利用対象の利用制御技術において、利便性を向上させつつセキュリティ上のリスクを低減し、かつ利用対象に対する所定の利用を正当な利用者のみに限定する。利用制御装置（１）は、近距離無線通信（６３）を介して利用者端末（４）から利用制限解除要求を受信すると、この利用制限解除要求に含まれている署名を、自利用制御装置（１）に設定されている公開鍵で検証し、検証成立したならば、この利用制限解除要求に含まれている利用許可証の利用条件を満足する場合に、車両（５）に対する第１の利用制限（ドアロック、キーボックス（１０）のロック）を解除する。さらに、第１の利用制限が解除された場合に、カメラ（２）で撮影された運転席の利用者の顔画像を含む撮影データと、この利用制限解除要求に含まれている顔認証情報と、を用いて顔認証を実施し、顔認証が成立したならば、車両５に対する第２の利用制限（エンジンの起動ロック）を解除する。

Description

利用管理システム、利用制御装置、管理装置、利用管理方法、およびプログラム

　本発明は、車両（自動車、自動二輪車、自転車等）、船舶等の移動体、ホテル、旅館、民泊施設、家屋、倉庫等の施設、および電子カルテ、電子書籍等の電子媒体の閲覧端末を含む、施錠・解錠、起動制御、アクセス制御、あるいは暗号化・復号化により利用を制限可能な利用対象の利用管理技術に関する。特に、利用対象を予約した人物と、予約された利用対象を実際に利用する人物との確認が必要な利用管理技術全般に広く利用できる。また、顔写真付きの個人証明書（ＩＤカード等）と利用対象を利用する人物との照合が必要な利用管理技術全般に広く利用できる。

　特許文献１には、企業、病院、遊技場、公共施設等の施設内において、ルームキーを携帯するだけで、部屋の解錠および施錠を含む各種サービスを利用することができるシステムが開示されている。

　このシステムは、ルームナンバ、暗証番号、顧客情報等の情報を記憶した読み書き可能なＲＦＩＤ（Ｒａｄｉｏ　Ｆｒｅｑｕｅｎｃｙ　Ｉｄｅｎｔｉｆｉｃａｔｉｏｎ）無線タグを有するルームキーと、ルームキーのＲＦＩＤ無線タグに対して情報の読み書きをするために施設内の各所に設置されたＲＦＩＤリーダと、施設内の各部屋および各設備に関する情報を記憶したデータベースと、ネットワークを介してＲＦＩＤリーダおよびデータベースに接続され、施設内の各部屋および各設備の管理を行うサーバと、を備えている。そして、例えば、施設内の各部屋のドア、部屋内等に設置されたＲＦＩＤリーダが、ルームキーのＲＦＩＤ無線タグに記憶されている情報を読み取ってサーバに送信し、これを受けたサーバが、ＲＦＩＤリーダから受信した情報に含まれているルームナンバとこのＲＦＩＤリーダが設置されている部屋のルームナンバとを照合して、この部屋の解錠および施錠を行う。

特開２００３－１３２４３５号公報

　しかしながら、特許文献１のシステムは、企業、病院、遊技場、公共施設等の施設の受付において、ルームキーの貸与および返却が行われることを前提としている。このため、ユーザは、例えば、インターネット上で施設の予約をした場合でも、この施設を管理する管理部門の受付に立ち寄ってルームキーを借りてから、予約した施設に移動しなければならない。また、施設の利用後には、この管理部門の受付に立ち寄ってルームキーを返却しなければならない。したがって、例えば、予約した施設とこの施設を管理する管理部門の受付とが地理的に離れている場合、利便性が悪い。

　また、特許文献１のシステムでは、施設内の各所に設置されたＲＦＩＤリーダが、ルームキーのＲＦＩＤ無線タグに記憶されている情報を読み取って、ネットワーク経由でサーバに送信している。このため、例えばサーバが施設外に設置されており、施設内の各所に設置されたＲＦＩＤリーダと施設外に設置されたサーバとがインターネット経由で接続されている場合、ＲＦＩＤリーダがルームキーのＲＦＩＤ無線タグから情報を読み取る都度、この読み取った情報がインターネット上を伝送することとなる。したがって、セキュリティ上のリスクが高くなる。

　さらに、特許文献１システムにおいては、貸与されたルームキーを携帯して施設を利用するユーザが、この施設の利用を許可された正当な利用者であるか否かを確認することについて何ら考慮されていない。

　本発明は上記事情に鑑みてなされたものであり、その目的は、車両、船舶等の移動体、ホテル、旅館、民泊施設、家屋、倉庫等の施設、および電子カルテ、電子書籍等の電子媒体の閲覧端末を含む、施錠・解錠、起動制御、アクセス制御、あるいは暗号化・復号化により利用を制限可能な利用対象の利用管理技術において、利便性を向上させつつ、セキュリティ上のリスクを低減することができ、さらには、利用対象に対する所定の利用を正当な利用者のみに限定可能とすることを目的とする。

　上記課題を解決するために、本発明は、利用許可証に基づいて、施錠・解錠、起動制御、アクセス制御、あるいは暗号化・復号により利用対象の利用を制御する利用制御装置と、利用対象の利用者を撮影する撮影装置と、利用制御装置を利用対象に対応付けて管理する管理装置と、利用制御装置に利用許可証を通知する利用者端末と、を備えている。

　ここで、管理装置は、利用制御装置に記憶されている公開鍵と対の秘密鍵と、利用者の顔認証情報と、を記憶している。また、管理装置は、利用者によって利用対象が予約されると、利用対象の利用条件を含む利用許可証を生成し、利用制御装置に記憶されている公開鍵と対の秘密鍵を用いて利用許可証に対する署名を生成する。そして、利用許可証、顔認証情報、および署名を利用者端末に送信する。

　利用者端末は、管理装置から受信した利用許可証および署名を、近距離無線通信により利用制御装置に送信する。

　利用制御装置は、自装置に対応付けられて管理装置に記憶されている秘密鍵と対の公開鍵を記憶している。そして、利用制御装置は、近距離無線通信を介して利用者端末から利用許可証および顔認証情報を署名とともに受信すると、この署名を、自装置が所有する公開鍵で検証し、検証成立したならば、利用許可証に含まれている利用条件を満足する場合に、利用対象に対する第１の利用制限を解除する。さらに、利用対象に対する第１の利用制限が解除された場合に、撮影装置により撮影された利用者の顔画像を含む撮影データと顔認証情報とを用いて顔認証を実施し、顔認証が成立したならば、利用対象に対する第２の利用制限を解除する。

　例えば、本発明は、
　利用対象の利用を管理する利用管理システムであって、
　前記利用対象の利用条件を含む利用許可証に基づいて、施錠・解錠、起動制御、アクセス制御、あるいは暗号化・復号により前記利用対象の利用を制御する利用制御装置と、
　前記利用対象の利用者の顔を撮影して、その撮影データを前記利用制御装置に送信する撮影装置と、
　前記利用制御装置を前記利用対象に対応付けて管理する管理装置と、
　前記利用制御装置に前記利用許可証を通知する利用者端末と、を備え、
　前記管理装置は、
　前記利用制御装置に対応付けて、当該利用制御装置に設定されている公開鍵と対の秘密鍵を管理する鍵管理手段と、
　利用者の顔認証情報を管理する顔認証情報管理手段と、
　前記鍵管理手段により管理されている前記秘密鍵を用いて、前記利用許可証に対する署名を生成し、前記利用許可証および前記顔認証情報を前記署名とともに前記利用者端末に送信する利用許可証送信手段と、を有し、
　前記利用者端末は、
　前記管理装置から受信した前記利用許可証、前記顔認証情報および前記署名を含む利用制限解除要求を、近距離無線通信により前記利用制御装置に送信する利用制限解除要求手段を有し、
　前記利用制御装置は、
　近距離無線通信により前記利用者端末から受信した前記利用制限解除要求に含まれている前記署名を、自装置に設定されている前記公開鍵で検証する署名検証手段と、
　前記署名検証手段による署名検証が成立した場合に、前記利用制限解除要求に含まれている前記利用許可証の前記利用条件を満足するならば、前記利用対象に対する第１の利用制限を解除する第１の解除手段と、
　前記第１の解除手段により前記利用対象に対する第１の利用制限が解除された場合に、前記撮影装置から受信した撮影データと、前記利用制限解除要求に含まれている前記顔認証情報と、を用いて顔認証を実施する顔認証手段と、
　前記顔認証手段による顔認証が成立したならば、前記利用対象に対する第２の利用制限を解除する第２の解除手段と、を有する。

　本発明において、利用制御装置は、利用許可証および顔認証情報を利用者端末から近距離無線通信を利用して取得しており、取得した利用許可証および顔認証情報を外部へ出力することなく、これら利用許可証および顔認証情報を用いて利用対象の利用制限の解除可否を判断する。また、利用許可証は、公開鍵を用いて署名を検証することによりその正当性が証明される。したがって、セキュリティ上のリスクが低減される。

　また、本発明では、利用許可証に含まれている利用条件を満足する場合にのみ利用対象に対する第１の利用制限が解除され（例えば利用対象が自動車ならばドアのロック解除）、満足しない場合には利用対象に対する第１の利用制限は解除されない。このため、利用日時、利用回数等の利用条件を設定することで、利用条件に合致しない利用許可証は、たとえその正当性が証明されても無効となるため、利用者（利用者端末の所有者）から利用許可証を返却してもらう必要がない。したがって、利便性が向上する。

　さらに、本発明では、利用対象に対する第１の利用制限が解除された場合に、撮影装置により撮影された利用者の顔画像を含む撮影データと、顔認証情報と、を用いて顔認証を実施し、顔認証が成立したならば、利用対象に対する第２の利用制限を解除する（例えば利用対象が自動車ならばエンジンの起動ロック解除）。このため、利用許可証の正当性が証明され、かつ利用許可証に含まれている利用条件に合致する場合でも、利用対象の利用者が、管理装置で管理されている正当な利用者でないならば、利用対象に対する第２の利用制限は解除されない。したがって、利用対象に対する所定の利用（第２の利用制限の解除）を正当な利用者のみに限定することができる。

　このように、本発明によれば、施錠・解錠、起動制御、アクセス制御、あるいは暗号化・復号により利用を制限可能な利用対象の利用管理技術において、利便性を向上させつつ、セキュリティ上のリスクを低減でき、さらには、利用対象に対する所定の利用を正当な利用者のみに限定することができる。

図１は、本発明の一実施の形態に係る車両利用管理システムの概略構成図である。図２は、本発明の一実施の形態に係る車両利用管理システムにおける利用者のアカウント登録動作の一例を示すシーケンス図である。図３は、本発明の一実施の形態に係る車両利用管理システムにおける利用者の顔認証情報登録動作の一例を示すシーケンス図である。図４は、本発明の一実施の形態に係る車両利用管理システムにおける車両５の予約動作の一例を示すシーケンス図である。図５は、本発明の一実施の形態に係る車両利用管理システムにおける車両５の利用制限解除動作の一例を示すシーケンス図である。図６は、本発明の一実施の形態に係る車両利用管理システムにおける車両５の利用制限解除動作の一例を示すシーケンス図であり、図５の続きである。図７は、利用制御装置１の概略機能構成図である。図８は、利用制御装置１の動作を説明するためのフロー図である。図９は、利用制御装置１の動作を説明するためのフロー図であり、図８の続きである。図１０は、利用者端末４の概略機能構成図である。図１１（Ａ）は、利用者端末４のアカウント登録要求動作を説明するためのフロー図であり、図１１（Ｂ）は、利用者端末４のログイン要求動作を説明するためのフロー図である。図１２（Ａ）は、利用者端末４の顔認証情報登録要求動作を説明するためのフロー図であり、図１２（Ｂ）は、利用者端末４の利用制限解除要求動作を説明するためのフロー図である。図１３は、利用者端末４の予約要求動作を説明するためのフロー図である。図１４は、管理装置３の概略機能構成図である。図１５は、利用者情報記憶部３０の登録内容例を模式的に表した図である。図１６は、利用制御装置情報記憶部３１の登録内容例を模式的に表した図である。図１７は、予約情報記憶部３２の登録内容例を模式的に表した図である。図１８（Ａ）は、管理装置３のアカウント登録要求処理動作を説明するためのフロー図であり、図１８（Ｂ）は、管理装置３のログイン要求処理動作を説明するためのフロー図である。図１９は、管理装置３の顔認証情報登録要求処理動作を説明するためのフロー図である。図２０は、管理装置３の予約要求処理動作を説明するためのフロー図である。

　以下、本発明の一実施の形態について、本発明を車両利用管理システムに適用した場合を例にとり説明する。

　図１は、本実施の形態に係る車両利用管理システムの概略構成図である。

　図示するように、本実施の形態に係る車両利用管理システムは、利用制御装置１と、カメラ２と、管理装置３と、利用者端末４と、を備えている。

　利用制御装置１は、利用対象である車両（レンタカー）５毎に設けられ、例えば車両５のグローブボックス内に設置されており、車両５以外とは、ＩｒＤＡ（Ｉｎｆｒａｒｅｄ　Ｄａｔａ　Ａｓｓｏｃｉａｔｉｏｎ）、Ｂｌｕｅｔｏｏｔｈ（登録商標）等の近距離無線通信６３でのみ通信可能である。利用制御装置１は、車両キーを収容するためのキーボックス１０を備えており、利用許可証に基づいてキーボックス１０のロックの解除を制御する。さらに、利用制御装置１は、車両５の車載ネットワーク（不図示）に接続されており、利用許可証に基づいて車両５のドアロックの解除を制御するとともに、利用許可証および顔認証情報に基づいて車両５のエンジン起動ロックの解除を制御する。

　カメラ２は、運転席に着座した運転手の顔を撮影可能な位置に設置されており、運転席に着座した運転手を検出する赤外線センサ等の人検知センサ（不図示）を有している。そして、人検知センサが運転席に着座した運転手を検出すると、この運転手の顔画像を含む撮影データを利用制御装置１に送信する。

　管理装置３は、利用制御装置１を、この利用制御装置１が設置された車両５に対応付けて管理する。また、管理装置３は、車両５の予約状況を管理しており、ＷＡＮ（Ｗｉｄｅ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）６０を介して利用者端末４から予約要求を受け付けると、この予約要求に含まれている車種の車両５を、この予約要求に含まれている利用日時に利用するための利用許可証および顔認証情報を利用者端末４に送信する。

　利用者端末４は、利用者毎に設けられ、無線ＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）等の無線ネットワーク６２および中継装置６１を介してＷＡＮ６０に接続されている。また、利用者端末４は、管理装置３に予約要求を送信して、管理装置３から利用許可証および顔認証情報を受信する。そして、管理装置３から受信した利用許可証および顔認証情報を、近距離無線通信６３により利用制御装置１に送信する。

　図２は、本実施の形態に係る車両利用管理システムにおける利用者のアカウント登録動作の一例を示すシーケンス図である。

　利用者端末４は、利用者から、利用者の個人情報を伴うアカウント登録操作を受け付けると（Ｓ１００）、無線ネットワーク６２、中継装置６１およびＷＡＮ６０を介して管理装置３に、利用者の個人情報を含むアカウント登録要求を送信する（Ｓ１０１）。

　これを受けて、管理装置３は、アカウント情報（ユーザＩＤ、パスワード（ＰＷ））を生成し（Ｓ１０２）、このアカウント情報を、アカウント登録要求に含まれている利用者の個人情報に紐付けて登録する（Ｓ１０３）。それから、管理装置３は、ＷＡＮ６０、中継装置６１および無線ネットワーク６２を介して、アカウント登録要求の送信元である利用者端末４に、アカウント情報を含むアカウント登録完了通知を送信する（Ｓ１０４）。

　図３は、本実施の形態に係る車両利用管理システムにおける利用者の顔認証情報登録動作の一例を示すシーケンス図である。

　まず、利用者端末４は、アカウント情報（ユーザＩＤ、パスワード）を伴うログイン操作を利用者から受け付けると（Ｓ１１０）、このアカウント情報を含むログイン要求を管理装置３に送信する（Ｓ１１１）。

　これを受けて、管理装置３は、ログイン要求に含まれているアカウント情報と、管理装置３に登録されているアカウント情報と、を用いて認証処理を実施する（Ｓ１１２）。そして、認証が成立したならば、ログイン要求の送信元である利用者端末４のログインを許可し、この利用者端末４にログイン許可通知を送信する（Ｓ１１３）。

　つぎに、利用者端末４は、利用者から顔認証情報登録操作を受け付けると（Ｓ１１４）、利用者端末４の内蔵カメラあるいは外付けカメラを用いて利用者の顔および運転免許証（以下、免許証）を所定の順番で撮影する（Ｓ１１５）。そして、利用者の顔および免許証各々の撮影データを含む顔認証情報登録要求を管理装置３に送信する（Ｓ１１６）。

　これを受けて、管理装置３は、顔の撮影データおよび免許証の撮影データ各々から顔の特徴量を抽出する（Ｓ１１７）。それから、管理装置３は、顔の撮影データおよび免許証の撮影データ各々から抽出した顔の特徴量を用いて、利用者の顔認証を実施する（Ｓ１１８）。具体的には、顔の撮影データから抽出された顔の特徴量と免許証の撮影データから抽出された顔の特徴量とのマッチング度合いを解析し、このマッチング度合いが所定値以上である場合に顔認証成立と判断し、所定値未満の場合は顔認証不成立と判断する。管理装置３は、顔認証が成立したならば、顔の撮影データあるいは免許証の撮影データから抽出された顔の特徴量を、利用者の顔認証情報として、免許証の撮影データとともに利用者のアカウント情報に紐付けて登録する（Ｓ１１９）。

　それから、管理装置３は、顔認証情報登録要求の送信元である利用者端末４に顔認証情報登録完了通知を送信する（Ｓ１２０）。

　図４は、本実施の形態に係る車両利用管理システムにおける車両５の予約動作の一例を示すシーケンス図である。

　まず、利用者端末４は、アカウント情報（ユーザＩＤ、パスワード）を伴うログイン操作を利用者から受け付けると（Ｓ１３０）、このアカウント情報を含むログイン要求を管理装置３に送信する（Ｓ１３１）。

　これを受けて、管理装置３は、ログイン要求に含まれているアカウント情報と、管理装置３に登録されているアカウント情報と、を用いて認証処理を実施する（Ｓ１３２）。そして、認証が成立したならば、ログイン要求の送信元である利用者端末４のログインを許可し、この利用者端末４にログイン許可通知を送信する（Ｓ１３３）。

　つぎに、利用者端末４は、利用日時を伴う閲覧操作を利用者から受け付けると（Ｓ１３４）、この利用日時を含む閲覧要求を管理装置３に送信する（Ｓ１３５）。

　これを受けて、管理装置３は、閲覧要求に含まれている利用日時に利用可能な車両５の車種を予約状況から検索する（Ｓ１３６）。そして、この利用日時に利用可能な車種の一覧データを利用者端末４に送信する（Ｓ１３７）。

　つぎに、利用者端末４は、管理装置３から受信した利用可能車種の一覧データを表示して、利用者から、予約する車種の選択を伴う予約操作を受け付ける（Ｓ１３８）。そして、予約操作により選択された車種と閲覧操作で指定された利用日時とを含む予約要求を管理装置３に送信する（Ｓ１３９）。

　これを受けて、管理装置３は、予約要求に含まれている車種の車両５を、この予約要求に含まれている利用日時に予約する予約処理を実施する（Ｓ１４０）。そして、予約された利用日時を利用条件として含む利用許可証を発行するとともに（Ｓ１４１）、利用者のアカウント情報に紐付けられて登録されている顔認証情報を検索する（Ｓ１４２）。

　つぎに、管理装置３は、予約された車両５に対応付けて管理されている利用制御装置１に設定されている共通鍵を用いて利用許可証および顔認証情報を暗号化して暗号情報を生成するとともに、この利用制御装置１に設定されている公開鍵と対の秘密鍵を用いて、暗号情報に対する署名を生成する（Ｓ１４３）。それから、管理装置３は、暗号情報および署名を利用者端末４に送信する（Ｓ１４４）。

　図５および図６は、本実施の形態に係る車両利用管理システムにおける車両５の利用制限解除動作の一例を示すシーケンス図である。

　利用者が、利用者端末４を携帯して、予約した車両５の近くまで移動したものとする。ここで、利用者端末４は、利用者から利用制限解除操作を受け付けると（Ｓ１５０）、予約した車両５について近距離無線通信６３により管理装置３から受信した暗号情報および署名を含む利用制限解除要求を利用制御装置１に送信する（Ｓ１５１）。

　これを受けて、利用制御装置１は、自装置１に設定されている公開鍵を用いて、管理装置３から受信した利用制限解除要求に暗号情報とともに含まれている、この暗号情報に対する署名を検証する（Ｓ１５２）。署名検証が成立したならば、自装置１に設定されている共通鍵を用いて、利用制限解除要求に含まれている暗号情報を利用許可証および顔認証情報に復号する（Ｓ１５３）。

　それから、利用制御装置１は、利用許可証に含まれている利用条件を満足するか否かを確認する（Ｓ１５４）。具体的には、現在日時が、利用条件として利用許可証に含まれている利用日時の時間帯（利用開始日時から利用終了日時までの時間帯）に属していることを確認する。そして、利用条件を満足していることを確認したならば、車両５のドアのロックを解除するとともに、キーボックス１０のロックを解除する（Ｓ１５５）。これにより、利用者は、車両５のドアを開けて車内に乗り込み、キーボックス１０から車両キーを入手することができる（Ｓ１５６）。

　また、利用制御装置１は、車両５のエンジン起動をロックする（Ｓ１５７）。このため、このタイミングでは、車両キーを用いて車両５のイグニッションをオンにすることはできるが、エンジン起動のロックを解除しなければ車両５のエンジンを起動することはできない。

　つぎに、利用者が運転手として車両５の運転席に着座し、車両キーを用いて車両５のイグニッションをオンにしたものとする。これにより、カメラ２に電源が投入され、カメラ２が起動する（Ｓ１５８）。そして、カメラ２は、運転席に着座する運転手の有無を人検知センサにより監視し、運転手が着座していることを人検知センサの出力により検出すると（Ｓ１５９）、この運転手を撮影あるいはキャプチャして（Ｓ１６０）、この運転手の顔画像を含む撮影データを利用制御装置１に送信する（Ｓ１６１）。

　利用制御装置１は、カメラ２から撮影データを受信すると、この撮影データに映っている運転手の顔の特徴量を抽出する（Ｓ１６２）。それから、利用制御装置１は、カメラ２の撮影データから抽出した顔の特徴量と、利用者端末４から受信した利用制限解除要求に含まれている顔認証情報と、を用いて、運転手の顔認証を実施する（Ｓ１６３）。具体的には、撮影データから抽出された顔の特徴量と顔認証情報とのマッチング度合いを解析し、このマッチング度合いが所定値以上である場合には顔認証成立と判断し、所定値未満の場合には顔認証不成立と判断する。

　利用制御装置１は、顔認証が成立したならば、車両５のエンジン起動のロックを解除する（Ｓ１６４）。これにより、車両５の予約を行った利用者端末４の利用者（車両５の予約者）本人であれば、車両キーを用いてエンジンを起動し、運転手として車両５を運転することができる。一方、車両５の予約者以外の利用者（同乗者等）は、車両５の予約者から利用者端末４あるいは車両キーを借りて車両５に乗り込むことはできても、車両５のエンジンを起動することはできない。

　つぎに、本実施の形態に係る利用管理システムを構成する利用制御装置１、利用者端末４、および管理装置３の詳細を説明する。なお、カメラ２には、人検知センサを備えた既存のカメラを利用できるので、その詳細な説明を省略する。

　まず、利用制御装置１の詳細を説明する。

　図７は、利用制御装置１の概略機能構成図である。

　図示するように、利用制御装置１は、キーボックス１０と、近距離無線通信部１１と、車載ネットワーク接続部１２と、ホールデータ記憶部１３と、利用制限解除要求受信部１４と、署名検証部１５と、復号部１６と、撮影データ取得部１７と、特徴量抽出部１８と、顔認証部１９と、利用制限解除部２０と、を備えている。

　キーボックス１０は、車両キーの収納箱であり、オートロック機能を備えている。

　近距離無線通信部１１は、ＩｒＤＡ、Ｂｌｕｅｔｏｏｔｈ（登録商標）等の近距離無線通信６３により利用者端末４と通信を行う。

　車載ネットワーク接続部１２は、車両５の車載ネットワーク（不図示）に接続するためのインターフェースである。

　ホールデータ記憶部１３は、公開鍵（自利用制御装置１に割り当てられた秘密鍵と対の公開鍵）および共通鍵（自利用制御装置１と管理装置３との間で秘密裏に保持する共通鍵）を含むホールデータが記憶されている。

　利用制限解除要求受信部１４は、利用許可証および顔認証情報の暗号情報およびこの暗号情報に対する署名を含む利用制限解除要求を、近距離無線通信部１１を介して利用者端末４より受信する。

　署名検証部１５は、ホールデータ記憶部１３に記憶されているホールデータに含まれている公開鍵を用いて、利用制限解除要求受信部１４により受信された利用制限解除要求に含まれている署名を検証する。

　復号部１６は、ホールデータ記憶部１３に記憶されているホールデータに含まれている共通鍵を用いて、利用制限解除要求受信部１４により受信された利用制限解除要求に含まれている暗号情報を利用許可証および顔認証情報に復号する。

　撮影データ取得部１７は、車載ネットワーク接続部１２を介してカメラ２から、運転手の顔画像を含む撮影データを取得する。

　特徴量抽出部１８は、撮影データ取得部１７により取得された運転手の撮影データから運転手の顔の特徴量を抽出する。

　顔認証部１９は、特徴量抽出部１８により抽出された運転手の顔の特徴量と、復号部１６により復号された顔認証情報と、を用いて、顔認証を実施する。具体的には、運転手の顔の特徴量と顔認証情報とのマッチング度合いを解析し、このマッチング度合いが所定値以上である場合には顔認証成立、所定値未満の場合には顔認証不成立と判断する。

　利用制限解除部２０は、署名検証部１５による署名検証が成立するとともに、復号部１６により復号された利用許可証に含まれている利用条件を満足している場合に、キーボックス１０のロックを解除するとともに、車載ネットワーク接続部１２を介して車両５にドアロックの解除命令およびエンジン起動のロック命令を送信する。キーボックス１０およびドアのロックが解除され、かつエンジンの起動がロックされた状態において、顔認証部１９による顔認証が成立した場合に、利用制限解除部２０は、車載ネットワーク接続部１２を介して車両５にエンジンの起動ロックの解除命令を送信する。

　なお、図７に示す利用制御装置１の概略機能構成は、ＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）、ＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）等の集積ロジックＩＣによりハード的に実現されるものでもよいし、あるいはＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）等の計算機によりソフトウエア的に実現されるものでもよい。または、ＣＰＵと、メモリと、フラッシュメモリ等の補助記憶装置と、ＩｒＤＡ通信装置、Ｂｌｕｅｔｏｏｔｈ（登録商標）通信装置等の近距離無線通信装置と、車載ネットワークインターフェース装置と、を備えた汎用コンピュータにおいて、ＣＰＵが所定のプログラムを補助記憶装置からメモリ上にロードして実行することによりプロセスとして実現されるものでもよい。

　図８および図９は、利用制御装置１の動作を説明するためのフロー図である。

　このフローは、利用制限解除要求受信部１４が近距離無線通信部１１を介して利用者端末４から利用制限解除要求を受信することにより開始される。

　まず、利用制限解除要求受信部１４は、利用者端末４から受信した利用制限解除要求に含まれている暗号情報および署名を署名検証部１５に渡す。これを受けて、署名検証部１５は、ホールデータ記憶部１３に記憶されているホールデータに含まれている公開鍵を用いて、暗号情報に対する署名を検証する（Ｓ２００）。具体的には、公開鍵を用いて署名を復号し、その復号情報が暗号情報あるいはそのメッセージダイジェスト（ハッシュ値）と一致するか否かを判断することにより、署名の正当性を検証する。

　署名検証部１５は、署名検証が失敗したならば（Ｓ２０１でＮＯ）、近距離無線通信部１１を介して利用者端末４にその旨を通知する等の所定のエラー処理を実施して（Ｓ２０２）、このフローを終了する。

　一方、署名検証が成立したならば（Ｓ２０１でＹＥＳ）、署名検証部１５は、暗号情報を復号部１６に渡す。これを受けて、復号部１６は、ホールデータ記憶部１３に記憶されているホールデータに含まれている共通鍵を用いて、署名検証部１５より受け取った暗号情報を利用許可証および顔認証情報に復号する（Ｓ２０３）。そして、利用許可証および顔認証情報を利用制限解除部２０に渡す。

　つぎに、利用制限解除部２０は、復号部１６から受け取った利用許可証に含まれている利用条件を満足しているか否かを確認する（Ｓ２０４）。例えば、現在日時が、利用条件として利用許可証に含まれている利用日時の時間帯（利用開始日時から利用終了日時までの時間帯）に属しているか否かを確認する。そして、利用条件を満足していないならば（Ｓ２０５でＮＯ）、利用制限解除部２０は、近距離無線通信部１１を介して利用者端末４にその旨を通知する等の所定のエラー処理を実施して（Ｓ２０２）、このフローを終了する。

　一方、利用条件を満足している場合（Ｓ２０５でＹＥＳ）、利用制限解除部２０は、車載ネットワーク接続部１２を介して車両５に、ドアロックの解除命令を送信して車両５にドアのロックを解除させるとともに、キーボックス１０のロックを解除する（Ｓ２０６）。これにより、利用者端末４の利用者は、車両５のドアを開けて車内に乗り込み、キーボックス１０から車両キーを入手することができる。それから、利用制限解除部２０は、車載ネットワーク接続部１２を介して車両５に、エンジン起動のロック命令を送信して、車両５にエンジン起動をロックさせる（Ｓ２０７）。このため、車両５は、このとき、車両キーを用いて車両５のイグニッションをオンにすることはできるが、エンジン起動のロックを解除しなければエンジンを起動することはできない状態である。

　つぎに、利用制限解除部２０は、車載ネットワーク接続部１２を介して車両５のイグニッション状態を監視しながら、利用条件の満足状態を維持しているか否かを確認する。そして、利用制限解除部２０は、イグニッションオフ状態において（Ｓ２０８でＮＯ）、利用条件を満足しなくなったならば（Ｓ２０９でＮＯ）、このフローを終了する。一方、利用制限解除部２０は、イグニッションオン状態においては（Ｓ２０８でＹＥＳ）、顔認証部１９から顔認証結果が送られてくるのを待つ。

　つぎに、イグニッションオン状態において（Ｓ２０８でＹＥＳ）、撮影データ取得部１７は、車載ネットワーク接続部１２を介してカメラ２から撮影データを受信すると（Ｓ２１０でＹＥＳ）、この撮影データを特徴量抽出部１８に渡す。これを受けて、特徴量抽出部１８は、撮影データ取得部１７から受け取った撮影データから運転手の顔の特徴量を抽出して（Ｓ２１１）、顔認証部１９に渡す。そして、顔認証部１９は、復号部１６により復号された顔認証情報を利用制限解除部２０から入手し、この顔認証情報と、特徴量抽出部１８から受け取った運転手の顔の特徴量とを用いて、顔認証を実施し（Ｓ２１２）、その顔認証結果を利用制限解除部２０に渡す。

　利用制限解除部２０は、顔認証部１９から顔認証結果を受け取ると、この顔認証結果が顔認証成立を示しているならば（Ｓ２１３でＹＥＳ）、車載ネットワーク接続部１２を介して車両５にエンジンの起動ロックの解除命令を送信して、車両５にエンジン起動のロックを解除させる（Ｓ２１４）。これにより、車両５の予約を行った利用者端末４の利用者（車両５の予約者）は、車両キーを用いてエンジンを起動して、運転手として車両５を運転することができる。

　一方、顔認証部１９から受け取った顔認証結果が顔認証不成立を示しているならば（Ｓ２１３でＮＯ）、利用制限解除部２０は、エンジン起動のロックを解除することなく、車載ネットワーク接続部１２を介して車両５にエラーメッセージを出力する等の所定のエラー処理を実施する（Ｓ２１５）。このため、車両５の予約者以外の利用者（同乗者等）は、車両５の予約者から利用者端末４あるいは車両キーを借りて車両５に乗り込んだとしても、車両５のエンジンを起動することはできない。

　また、利用制限解除部２０は、車両５のイグニッションがオン状態からオフ状態に変化したならば（Ｓ２１６でＹＥＳ）、Ｓ２０７に戻って、車両５のエンジン起動をロックする。

　つぎに、利用者端末４の詳細を説明する。

　図１０は、利用者端末４の概略機能構成図である。

　図示するように、利用者端末４は、マンマシンインターフェース部４０と、無線ネットワークインターフェース部４１と、近距離無線通信部４２と、内蔵あるいは外付けされたカメラ４３と、アカウント情報記憶部４４と、暗号情報記憶部４５と、アカウント登録要求部４６と、ログイン要求部４７と、顔認証情報登録要求部４８と、予約要求部４９と、利用制限解除要求部５０と、を備えている。

　マンマシンインターフェース部４０は、利用者に情報を提示したり、利用者から各種操作を受け付けたりするためのインターフェースであり、例えばタッチパネルディスプレイを有する。

　無線ネットワークインターフェース部４１は、無線ネットワーク６２および中継装置６１を介してＷＡＮ６０に接続するためのインターフェースである。

　近距離無線通信部４２は、ＩｒＤＡ、Ｂｌｕｅｔｏｏｔｈ（登録商標）等の近距離無線通信６３により利用制御装置１と通信を行う。

　アカウント情報記憶部４４には、利用者端末４が管理装置３にログインするためのアカウント情報（ユーザＩＤ、パスワード）が記憶される。

　暗号情報記憶部４５には、利用許可証および顔認証情報の暗号情報およびこの暗号情報に対する署名が記憶される。

　アカウント登録要求部４６は、マンマシンインターフェース部４０を介して利用者から受け付けたアカウント登録操作に従い、管理装置３にアカウント登録要求を送信して管理装置３からアカウント情報を取得し、アカウント情報記憶部４４に記憶する。

　ログイン要求部４７は、マンマシンインターフェース部４０を介して利用者から受け付けたログイン操作に従い、アカウント情報記憶部４４に記憶されているアカウント情報を含むログイン要求を管理装置３に送信して、管理装置３にログインする。

　顔認証情報登録要求部４８は、マンマシンインターフェース部４０を介して利用者から受け付けた顔認証情報登録操作に従い、カメラ４３に利用者端末４の利用者の顔および免許証をそれぞれ撮影させ、これらの撮影データを含む顔認証情報登録要求を管理装置３に送信して、利用者端末４の利用者の顔認証情報を管理装置３に登録する。

　予約要求部４９は、マンマシンインターフェース部４０を介して利用者から受け付けた閲覧操作に従い、利用者が希望する利用日時に利用可能な車両５の車種の一覧データを管理装置３から取得して、マンマシンインターフェース部４０に表示する。また、予約要求部４９は、マンマシンインターフェース部４０を介して利用者から、マンマシンインターフェース部４０に一覧表示された車種のいずれかを選択する予約操作を受け付けると、この車種および利用者が希望する利用日時を含む予約要求を管理装置３に送信する。これにより、希望の利用日時に希望の車種の車両５を利用するために必要な、利用許可証および顔認証情報の暗号情報と、この暗号情報に対する署名とを管理装置３から取得して、暗号情報記憶部４５に記憶する。

　利用制限解除要求部５０は、マンマシンインターフェース部４０を介して利用者から受け付けた利用制限解除操作に従い、近距離無線通信部４２を介して利用制御装置１に、暗号情報記憶部４５に記憶されている暗号情報および署名を含む利用制限解除要求を送信する。

　なお、図１０に示す利用者端末４の概略機能構成は、ＡＳＩＣ、ＦＰＧＡ等の集積ロジックＩＣによりハード的に実現されるものでもよいし、あるいはＤＳＰ等の計算機によりソフトウエア的に実現されるものでもよい。または、ＣＰＵと、メモリと、フラッシュメモリ等の補助記憶装置と、ＩｒＤＡ通信装置、Ｂｌｕｅｔｏｏｔｈ（登録商標）通信装置等の近距離無線通信装置と、無線ＬＡＮアダプタ等の無線ネットワーク通信装置と、カメラと、を備えたスマートホン、タブレットＰＣ等のネットワーク端末において、ＣＰＵが所定のプログラムを補助記憶装置からメモリ上にロードして実行することによりプロセスとして実現されるものでもよい。

　図１１（Ａ）は、利用者端末４のアカウント登録要求動作を説明するためのフロー図である。

　このフローは、アカウント登録要求部４６が、マンマシンインターフェース部４０を介して利用者からアカウント登録操作を受け付けることにより開始される。

　まず、アカウント登録要求部４６は、マンマシンインターフェース部４０を介して利用者から個人情報（例えば、氏名、住所、連絡先等）を受け付ける（Ｓ３００）。それから、無線ネットワークインターフェース部４１を介して管理装置３に、利用者より受け付けた個人情報等を含むアカウント登録要求を送信する（Ｓ３０１）。

　つぎに、アカウント登録要求部４６は、無線ネットワークインターフェース部４１を介して管理装置３からアカウント登録完了通知を受信すると（Ｓ３０２でＹＥＳ）、このアカウント登録完了通知に含まれているアカウント情報（ユーザＩＤ、パスワード）をアカウント情報記憶部４４に記憶する（Ｓ３０３）。

　図１１（Ｂ）は、利用者端末４のログイン要求動作を説明するためのフロー図である。

　このフローは、アカウント情報登録後において、ログイン要求部４７が、マンマシンインターフェース部４０を介して利用者からログイン操作を受け付けることにより開始される。

　まず、ログイン要求部４７は、アカウント情報記憶部４４からアカウント情報を読み出し、このアカウント情報を含むログイン要求を、無線ネットワークインターフェース部４１を介して管理装置３に送信する（Ｓ３１０）。

　つぎに、ログイン要求部４７は、無線ネットワークインターフェース部４１を介して管理装置３からログイン許可通知を受信すると（Ｓ３１１でＹＥＳ）、管理装置３への自利用者端末４のログイン状態を「ログイン中」に設定する（Ｓ３１２）。一方、ログイン要求部４７は、無線ネットワークインターフェース部４１を介して管理装置３からログイン拒否通知を受信すると（Ｓ３１１でＮＯ）、管理装置３へのログインが拒否された旨のエラーメッセージをマンマシンインターフェース部４０に表示する等の所定のエラー処理を実施して、管理装置３への自利用者端末４のログイン状態を「ログアウト中」のままとする（Ｓ３１３）。

　図１２（Ａ）は、利用者端末４の顔認証情報登録要求動作を説明するためのフロー図である。

　このフローは、利用者端末４が管理装置３にログイン中である場合において、顔認証情報登録要求部４８が、マンマシンインターフェース部４０を介して利用者から顔認証情報登録操作を受け付けることにより開始される。

　まず、顔認証情報登録要求部４８は、カメラ４３に利用者の顔を撮影させるためのガイダンスをマンマシンインターフェース部４０から出力して、カメラ４３に利用者の顔を撮影させる（Ｓ３２０）。それから、顔認証情報登録要求部４８は、カメラ４３に利用者の免許証を撮影させるためのガイダンスをマンマシンインターフェース部４０から出力して、カメラ４３に利用者の免許証を撮影させる（Ｓ３２１）。なお、利用者の顔および免許証は、上位の撮影順番と逆の順場で撮影されてもよいし、同時に撮影されてもよい。

　つぎに、顔認証情報登録要求部４８は、利用者の顔および免許証それぞれの撮影データを含む顔認証情報登録要求を、無線ネットワークインターフェース部４１を介して管理装置３に送信する（Ｓ３２２）。そして、管理装置３から顔認証情報登録完了通知を受信して（Ｓ３２３でＹＥＳ）、本フローを終了する。

　図１３は、利用者端末４の予約要求動作を説明するためのフロー図である。

　このフローは、顔認証情報登録後、利用者端末４が管理装置３にログイン中である場合において、予約要求部４９が、マンマシンインターフェース部４０を介して利用者から閲覧操作を受け付けることにより開始される。

　まず、予約要求部４９は、マンマシンインターフェース部４０を介して利用者から、希望する車両５の利用日時（利用開始日時および利用終了日時）を受け付ける（Ｓ３３０）。それから、無線ネットワークインターフェース部４１を介して管理装置３に、利用者より受け付けた利用日時を含む閲覧要求を送信する（Ｓ３３１）。

　つぎに、予約要求部４９は、無線ネットワークインターフェース部４１を介して管理装置３から利用可能車種の一覧データを受信したならば（Ｓ３３２でＹＥＳ）、この利用可能車種の一覧データをマンマシンインターフェース部４０に表示して、利用者から、予約する車種の選択を伴う予約操作を受け付ける（Ｓ３３３）。そして、無線ネットワークインターフェース部４１を介して管理装置３に、選択された車種および利用日時を含む予約要求を送信する（Ｓ３３４）。

　つぎに、予約要求部４９は、無線ネットワークインターフェース部４１を介して管理装置３から、暗号情報および署名を、予約された車両５の車両ナンバおよび保管場所を含む案内情報とともに受信すると（Ｓ３３５でＹＥＳ）、マンマシンインターフェース部４０から案内情報を出力するとともに、暗号情報記憶部４５に暗号情報および署名を記憶する（Ｓ３３６）。

　図１２（Ｂ）は、利用者端末４の利用制限解除要求動作を説明するためのフロー図である。

　このフローは、利用制限解除要求部５０が、マンマシンインターフェース部４０を介して利用者から利用制限解除操作を受け付けることにより開始される。

　まず、利用制限解除要求部５０は、近距離無線通信部４２が最寄りの利用制御装置１と近距離無線通信６３による通信が可能であるか否かを判断する（Ｓ３４０）。

　最寄りの利用制御装置１と近距離無線通信６３による通信が可能である場合（Ｓ３４０でＹＥＳ）、利用制限解除要求部５０は、暗号情報記憶部４５に記憶されている暗号情報および署名を読み出して、これらを含む利用制限解除要求を近距離無線通信部４２から利用制御装置１に近距離無線通信６３により送信する（Ｓ３４１）。

　一方、最寄りの利用制御装置１と近距離無線通信６３による通信が不可能である場合（Ｓ３４０でＮＯ）、利用制限解除要求部５０は、予約した車両５の近くで利用制限解除操作を行うことを促すメッセージをマンマシンインターフェース部４０に表示するなどの所定のエラー処理を実施する（Ｓ３４２）。

　つぎに、管理装置３の詳細を説明する。

　図１４は、管理装置３の概略機能構成図である。

　図示するように、管理装置３は、ＷＡＮインターフェース部２９と、利用者情報記憶部３０と、利用制御装置情報記憶部３１と、予約情報記憶部３２と、利用者管理部３３と、利用制御装置管理部３４と、予約管理部３５と、アカウント登録要求処理部３６と、ログイン処理部３７と、顔認証情報登録要求処理部３８と、予約処理部３９と、を備えている。

　ＷＡＮインターフェース部２９は、ＷＡＮ６０に接続するためのインターフェースである。

　利用者情報記憶部３０には、利用者毎に、利用者のアカウント情報および顔認証情報を含む利用者情報が記憶される。

　図１５は、利用者情報記憶部３０の登録内容例を模式的に表した図である。

　図示するように、利用者情報記憶部３０には、利用者毎に利用者情報のレコード３００が記憶されている。利用者情報のレコード３００は、利用者のユーザＩＤおよびパスワードを含むアカウント情報が登録されたフィールド３０１と、利用者端末４のＷＡＮ６０上のアドレス情報が登録されたフィールド３０２と、利用者の氏名、住所、連絡先等の個人情報が登録されたフィールド３０３と、利用者の免許証データが登録されたフィールド３０４と、利用者の顔認証情報が登録されたフィールド３０５と、利用者のログイン状態（ログイン中またはログアウト中）が登録されるフィールド３０６と、を有する。

　利用制御装置情報記憶部３１には、利用制御装置１毎に、利用制御装置１に設定されているホールデータおよび利用制御装置１が設置されている車両５の車両ナンバを含む利用制御装置情報が記憶されている。

　図１６は、利用制御装置情報記憶部３１の登録内容例を模式的に表した図である。

　図示するように、利用制御装置情報記憶部３１には、利用制御装置１毎に利用制御装置情報のレコード３１０が記憶されている。利用制御装置情報のレコード３１０は、利用制御装置１の識別情報であるオブジェクトＩＤが登録されたフィールド３１１と、利用制御装置１に設定されている公開鍵および共通鍵を含むホールデータが登録されたフィールド３１２と、利用制御装置１に設定されている公開鍵と対の秘密鍵が登録されたフィールド３１３と、利用制御装置１が設置されている車両５の車両ナンバが登録されたフィールド３１４と、を有する。

　予約情報記憶部３２には、車両５毎に、車両５の車両ナンバ、車種、保管場所を含む車両情報に紐付けられて車両５の予約情報が記憶されている。

　図１７は、予約情報記憶部３２の登録内容例を模式的に表した図である。

　図示するように、予約情報記憶部３２には、車両５毎に、車両５の予約情報のテーブル３２０が、車両５の車両ナンバ３２２、車種３２３、および保管場所３２４を含む車両情報３２１に紐付けられて記憶されている。予約情報のテーブル３２０には、日付３２６毎に、その日の予約状況３２７を示すレコード３２５が記憶される。

　利用者管理部３３は、利用者情報記憶部３０を用いて、利用者を、この利用者が所持する利用者端末４に紐付けて管理する。

　利用制御装置管理部３４は、利用制御装置情報記憶部３１を用いて、利用制御装置１を、この利用制御装置１が設置された車両５に紐付けて管理する。

　予約管理部３５は、予約情報記憶部３２を用いて車両５の予約状況を管理する。

　アカウント登録要求処理部３６は、利用者管理部３３と連携して、利用者端末４から受信したアカウント登録要求を処理する。

　ログイン処理部３７は、利用者管理部３３と連携して、利用者端末４から受信したログイン要求を処理する。

　顔認証情報登録要求処理部３８は、利用者管理部３３と連携して、利用者端末４から受信した顔認証情報登録要求を処理する。

　そして、予約処理部３９は、予約管理部３５と連携して、利用者端末４から受信した閲覧要求および予約要求を処理する。

　なお、図１４に示す管理装置３の概略機能構成は、ＡＳＩＣ、ＦＰＧＡ等の集積ロジックＩＣによりハード的に実現されるものでもよいし、あるいはＤＳＰ等の計算機によりソフトウエア的に実現されるものでもよい。または、ＣＰＵと、メモリと、フラッシュメモリ、ハードディスクドライブ等の補助記憶装置と、ＮＩＣ（Ｎｅｔｗｏｒｋ　Ｉｎｔｅｒｆａｅ　Ｃａｒｄ）等の通信装置と、を備えた汎用コンピュータにおいて、ＣＰＵが所定のプログラムを補助記憶装置からメモリ上にロードして実行することによりプロセスとして実現されるものでもよい。また、複数台の汎用コンピュータの連携からなる分散システム上に実現されるものでも構わない。例えば、利用者情報記憶部３０、利用者管理部３３、アカウント登録要求処理部３６、ログイン処理部３７、および顔認証情報登録要求処理部３８（図２示すアカウント登録動作、図３に示すログイン動作および顔認証情報登録動作を受け持つ機能構成）と、利用制御装置情報記憶部３１、予約情報記憶部３２、利用制御装置管理部３４、予約管理部３５、および予約処理部３９（図４に示す予約動作（但し、ログイン動作Ｓ１３２、Ｓ１３３を除く）を受け持つ機能構成）とは、それぞれ別個のコンピュータ上で実現されるものでもよい。

　図１８（Ａ）は、管理装置３のアカウント登録要求処理動作を説明するためのフロー図である。

　このフローは、アカウント登録要求処理部３６が、ＷＡＮインターフェース部２９を介して利用者端末４からアカウント登録要求を受信することにより開始される。

　まず、アカウント登録要求処理部３６は、アカウント情報（ユーザＩＤ、パスワード）を生成し（Ｓ４００）、このアカウント情報とアカウント登録要求に含まれている個人情報とを、アカウント登録要求の送信元である利用者端末４のアドレス情報とともに利用者管理部３３に渡す。これを受けて、利用者管理部３３は、利用者情報記憶部３０に新たな利用者情報のレコード３００を追加して、このレコード３００のフィールド３０１～３０３に、アカウント登録要求処理部３６より受け取ったアカウント情報、アドレス情報、および個人情報を登録する（Ｓ４０１）。

　それから、アカウント登録要求処理部３６は、ＷＡＮインターフェース部２９を介して、アカウント登録要求の送信元である利用者端末４に、アカウント情報を含むアカウント登録完了通知を送信する（Ｓ４０２）。

　図１８（Ｂ）は、管理装置３のログイン要求処理動作を説明するためのフロー図である。

　このフローは、ログイン処理部３７が、ＷＡＮインターフェース部２９を介して利用者端末４からログイン要求を受信することにより開始される。

　まず、ログイン処理部３７は、利用者管理部３３と連携し、利用者端末４から受信したログイン要求に含まれているアカウント情報を用いてログイン認証を実施する（Ｓ４１０）。具体的には、アカウント情報に含まれているユーザＩＤを伴うパスワード検索を利用者管理部３３に依頼する。これを受けて、利用者管理部３３は、ログイン処理部３７より受け取ったユーザＩＤをキーにして、このユーザＩＤを含むレコード３００を利用者情報記憶部３０から検索する。該当するレコード３００を検出できたならば、このレコード３００に登録されているパスワードをログイン処理部３７に通知し、該当するレコード３００を検出できなかったならば、該当レコードが存在しない旨をログイン処理部３７に通知する。これを受けて、ログイン処理部３７は、利用者管理部３３から受け取ったパスワードとログイン要求のアカウント情報に含まれているパスワードとが一致するならば、ログインを許可し（認証成立）、一致しないならば、あるいは利用者管理部３３から該当レコードが存在しない旨を通知されたならば、ログインを拒否する（認証不成立）。

　つぎに、ログイン処理部３７は、ログインを許可したならば（Ｓ４１１でＹＥＳ）、ログイン要求に含まれているアカウント情報のユーザＩＤをキーにして利用者情報記憶部３０から検出した利用者情報のレコード３００のフィールド３０６に登録されているログイン状態を更新するとともに、ＷＡＮインターフェース部２９を介してログイン要求の送信元の利用者端末４にログイン許可通知を送信する（Ｓ４１２）。一方、ログインを拒否したならば（Ｓ４１１でＮＯ）、ＷＡＮインターフェース部２９を介してログイン要求の送信元の利用者端末４にその旨のメッセージを送信する等の所定のエラー処理を実施する（Ｓ４１３）。

　図１９は、管理装置３の顔認証情報登録要求処理動作を説明するためのフロー図である。

　このフローは、顔認証情報登録要求処理部３８が、ＷＡＮインターフェース部２９を介して、ログイン中の利用者が所持する利用者端末４（利用者情報記憶部３０に、自身のアドレス情報がフィールド３０２に格納され、かつ、フィールド３０６のログイン状態が「ログイン中」である利用者情報のレコード３００が登録されている利用者端末４）から顔認証情報登録要求を受信することにより開始される。

　まず、顔認証情報登録要求処理部３８は、顔認証情報登録要求に含まれている利用者の顔の撮影データおよび免許証の撮影データに画像処理を施して、それぞれの撮影データから顔の特徴量を抽出する（Ｓ４２０）。

　つぎに、顔認証情報登録要求処理部３８は、利用者の顔の撮影データおよび免許証の撮影データからそれぞれ抽出した顔の特徴量を用いて顔認証処理を実施する（Ｓ４２１）。具体的には、顔の撮影データから抽出された顔の特徴量と免許証の撮影データから抽出された顔の特徴量とのマッチング度合いを解析し、このマッチング度合いが所定値以上である場合には顔認証成立、所定値未満の場合には顔認証不成立と判断する。

　顔認証が成立したならば（Ｓ４２２でＹＥＳ）、顔認証情報登録要求処理部３８は、顔の撮影データあるいは免許証の撮影データから抽出された顔の特徴量を利用者管理部３３に渡し、利用者管理部３３は、この特徴量を、顔認証情報として、利用者情報記憶部３０に登録されたログイン中の利用者の利用者情報のレコード３００（顔認証情報登録要求の送信元のアドレス情報がフィールド３０２に登録されている利用者情報のレコード３００）のフィールド３０５に登録する（Ｓ４２３）。それから、顔認証情報登録要求処理部３８は、ＷＡＮインターフェース部２９を介して顔認証情報登録要求の送信元の利用者端末４に顔認証情報登録完了通知を送信する（Ｓ４２４）。

　一方、顔認証が不成立ならば（Ｓ４２２でＮＯ）、顔認証情報登録要求処理部３８は、ＷＡＮインターフェース部２９を介して顔認証情報登録要求の送信元の利用者端末４にその旨のメッセージを送信する等の所定のエラー処理を実施する（Ｓ４２５）。

　図２０は、管理装置３の予約要求処理動作を説明するためのフロー図である。

　このフローは、予約処理部３９が、ＷＡＮインターフェース部２９を介して、ログイン中の利用者が所持する利用者端末４から閲覧要求を受信することにより開始される。

　まず、予約処理部３９は、閲覧要求に含まれている利用日時（利用開始日時および利用終了日時）を予約管理部３５に通知して利用可能車種の検索を指示する。これを受けて、予約管理部３５は、予約情報記憶部３２を参照し、利用日時の時間帯（利用開始日時から利用終了日時までの時間帯）における利用可能車種を検索する（Ｓ４３０）。具体的には、利用日時の時間帯に予約されていない車両５の予約情報のテーブル３２０を予約情報記憶部３２から検索する。そして、検索したテーブル３２０に紐付けられている車両情報３２１に含まれている車種３２３を利用可能車種として特定する。

　つぎに、予約管理部３５は、利用可能車種の一覧を予約処理部３９に通知する。これを受けて、予約処理部３９は、ＷＡＮインターフェース部２９を介して閲覧要求の送信元の利用者端末４に、利用可能車種の一覧データを送信する（Ｓ４３１）。

　つぎに、予約処理部３９は、ＷＡＮインターフェース部２９を介して閲覧要求の送信元の利用者端末４から予約要求を受信すると（Ｓ４３２でＹＥＳ）、予約管理部３５に、予約要求で指定されている車種および利用日時を渡して車両予約を指示する。予約管理部３５は、Ｓ４３０で検索した予約情報のテーブル３２０の中から、渡された車種と一致する車種３２３を含む車両情報３２１に紐付けられている予約情報のテーブル３２０を一つ特定する。そして、特定した予約情報のテーブル３２０に、渡された利用日時の時間帯（利用開始日時から利用終了日時までの時間帯）の予約を追加して、予約情報を更新する（Ｓ４３３）。なお、渡された利用日時の時間帯の予約がＳ４３０以降にすでに登録されていた場合には、Ｓ４３０で検索した予約情報のテーブル３２０の中から、渡された車種と一致する車種３２３を含む車両情報３２１に紐付けられている他の予約情報のテーブル３２０を一つ特定して予約情報を更新する。

　それから、予約処理部３９は、予約管理部３５により予約された利用日時を利用条件として含む利用許可証を発行する（Ｓ４３４）。また、予約処理部３９は、予約要求の送信元の利用者端末４のアドレス情報を利用者管理部３３に通知して、顔認証情報の取得を指示する。これを受けて、利用者管理部３３は、利用者情報記憶部３０から、予約処理部３９から通知されたアドレス情報がフィールド３０２に登録されている利用者情報のレコード３００を検索し、このレコード３００のフィールド３０５に登録されている顔認証情報を予約処理部３９に通知する（Ｓ４３５）。

　つぎに、予約処理部３９は、Ｓ４３３において予約情報が更新された予約情報のテーブル３２０に紐付けられている車両情報３２１の車両ナンバ３２２を利用制御装置管理部３４に通知して、この車両ナンバ３２２が付与された車両５に設置されている利用制御装置１の利用制御装置情報の検索を指示する。これを受けて、利用制御装置管理部３４は、利用制御装置情報記憶部３１から、通知された車両ナンバがフィールド３１４に登録されている利用制御装置情報のレコード３１０を検索して、検索した利用制御装置情報のレコード３１０を予約処理部３９に渡す。

　つぎに、予約処理部３９は、必要に応じて、発行した利用許可証に、利用制御装置管理部３４から受け取った利用制御装置情報のレコード３１０のフィールド３１１、３１４に登録されているオブジェクトＩＤ、車両ナンバを追加して、この利用許可証および利用者管理部３３から受け取った顔認証情報を、この利用制御装置情報のレコード３１０のフィールド３１２に登録されている共通鍵で暗号化して暗号情報を生成する。また、この利用制御装置情報のレコード３１０のフィールド３１３に登録されている秘密鍵を用いて、この暗号情報に対する署名を生成する（Ｓ４３６）。

　それから、予約処理部３９は、ＷＡＮインターフェース部２９を介して予約要求の送信元の利用者端末４に、暗号情報およびこれに対する署名を、Ｓ４３３において予約情報が更新された予約情報のテーブル３２０に紐付けられている車両情報３２１を含む案内情報とともに送信する（Ｓ４３７）。

　以上、本発明の一実施の形態を説明した。

　本実施の形態において、利用制御装置１は、利用対象である車両５の利用制限を解除するために用いる利用許可証および顔認証情報を、近距離無線通信６３を利用して利用者端末４から取得しており、取得した利用許可証および顔認証情報を外部へ出力することなく、これら利用許可証および顔認証情報を用いて車両５の利用制限の解除の可否を判断する。また、利用許可証および顔認証情報は、公開鍵を用いて署名が検証され、これによりその正当性が証明される。したがって、セキュリティ上のリスクが低減される。

　また、本実施の形態では、利用許可証に含まれている利用条件を満足する場合にのみ、車両５のドアロックおよびキーボックス１０のロック（第１の利用制限）が解除され、満足しない場合には車両５のドアロックおよびキーボックス１０のロックは解除されない。このため、利用条件が合致しない利用許可証は、たとえその正当性が証明されても無効となるため、利用者端末４の利用者から利用許可証を返却してもらう必要がない。したがって、利便性が向上する。

　さらに、本実施の形態では、車両５のドアロックおよびキーボックス１０のロック（第１の利用制限）が解除された場合において、利用者が車両５の運転席に着座して、キーボックス１０から取得した車両キーを使って車両５のイグニッションをオンにした場合に、カメラ２により撮影された利用者の顔画像を含む撮影データと、顔認証情報と、を用いて顔認証が実施される。そして、顔認証が成立したならば、車両５のエンジン起動ロック（第２の利用制限）を解除する。このため、利用許可証の正当性が証明され、かつ利用許可証に含まれている利用条件に合致する場合でも、運転席の利用者が、管理装置３で管理されている利用者端末４の正当な利用者でないならば、車両５のエンジンを起動することができない。したがって、車両５の運転を正当な利用者のみに限定することができる。

　このように、本実施の形態によれば、車両５の利用管理技術において、利便性を向上させつつ、セキュリティ上のリスクを低減でき、さらには、車両５の運転を正当な利用者のみに限定することができる。

　また、本実施の形態では、事前に免許証を登録しておくことにより、免許証が登録されていない人物が運転するのを防止することができる。これにより、車両のシェアリングサービスにおいて、予約した人物（免許証を事前登録した人物）以外の、例えば保険に入っていない人物や運転資格のない人物が運転することを防止することができ、リスクコントロールが可能となる。

　また、本実施の形態において、利用者端末４は、カメラ４３により撮影された利用者の顔の撮影データおよび免許証の撮影データを含む顔認証情報登録要求を管理装置３に送信する。そして、管理装置３は、利用者端末４から受信した顔認証情報登録要求に含まれている利用者の顔の撮影データおよび免許証の撮影データ各々から顔の特徴量を抽出して顔認証を実施し、顔認証が成立した場合に、利用者の顔の撮影データあるいは免許証の撮影データから抽出した顔の特徴量を利用者の顔認証情報として管理する。したがって、本実施の形態によれば、利用者は、利用者端末４を用いて自身の顔認証情報を管理装置３に登録することができ、利便性が向上する。本実施の形態においては、利用者の顔認証情報の登録時の顔認証に運転免許証を利用しているが、運転免許証に限らず、身分証明書として利用可能な顔写真付き証明書（例えば、行政機関等が交付するパスポート等の顔写真付き文書）を利用してもよい。

　また、本実施の形態において、管理装置３は、利用制御装置１に対する利用許可証および顔認証情報を、この利用制御装置１に対応付けられている共通鍵を用いて暗号化して暗号情報を生成するとともに、この利用制御装置１に対応付けられている秘密鍵を用いて暗号情報に対する署名を生成し、暗号情報および署名を利用者端末４に送信する。そして、利用制御装置１は、利用者端末４から暗号情報とともに受信した署名を、自利用制御装置１に設定されている公開鍵で検証し、署名検証が成立したならば、自利用制御装置１に設定されている共通鍵を用いて暗号情報を利用許可証および顔認証情報に復号する。したがって、本実施の形態によれば、利用許可証および顔認証情報に対するセキュリティをさらに強化することができる。

　なお、本発明は上記の実施の形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。

　例えば、上記の実施の形態において、管理装置３に、予約情報記憶部３２、予約管理部３５、および予約処理部３９を設けて、車両５の予約要求を処理させている。しかし、本発明はこれに限定されない。管理装置３とは別に、予約情報記憶部３２、予約管理部３５、および予約処理部３９を有する予約サーバを設けて、この予約サーバに車両５の予約要求を処理させてもよい。すなわち、予約サーバは、利用者端末４から閲覧要求を受信して、この閲覧要求で指定されている利用日時における利用可能車種の一覧データを利用者端末４に送信する。そして、利用者端末４から予約要求を受信して、この予約要求で指定されている車種であって、かつこの予約要求で指定されている利用日時に利用可能な車両５を特定し、この車両５および利用日時を、予約要求元の利用者端末４のアドレス情報とともに管理装置３に通知する。これを受けて、管理装置３は、予約サーバから通知された利用日時を利用条件として含む利用許可証を発行するとともに、予約サーバから通知された車両５に設置されている利用制御装置１に紐付けられている秘密鍵を用いて、この利用許可証および予約要求元の利用者端末４の利用者に紐付けられている顔認証情報の暗号情報に対する署名を生成し、暗号情報および署名を予約要求元の利用者端末４に送信する。この場合、管理装置３から、予約情報記憶部３２、予約管理部３５、および予約処理部３９を省略することができる。

　また、上記の実施の形態では、管理装置３と利用制御装置１との間で秘密裏に共有した共通鍵を用いて、管理装置３は、利用者端末４に送信する利用許可証および顔認証情報を暗号化し、利用制御装置１は、利用者端末４から受信した暗号情報を利用許可証および顔認証情報に復号している。しかし、本発明はこれに限定されない。利用許可証および顔認証情報は、暗号化せずに、平文のまま、利用者端末４経由で管理装置３から利用制御装置１へ送信されるようにしてもよい。

　また、上記の実施の形態において、管理装置３は、利用制御装置１に設定されている公開鍵と対の秘密鍵を用いて、利用許可証および顔認証情報に対する署名を生成している。しかし、本発明はこれに限定されない。管理装置３は、利用制御装置１に設定されている公開鍵と対の秘密鍵を用いて、利用許可証あるいはその一部に対する署名を生成するものでもよい。

　また、上記の実施の形態において、キーボックス１０は、利用制御装置１に予め組み込まれたものでもよいし、あるいは、利用制御装置１に後から外付けされたたものでもよい。

　また、上記の実施の形態では、車両キーを用いて（車両キーをキーシリンダに差し込んで）車両５のイグニッションをオンにすることを前提としている。しかし、本発明はこれに限定されない。車両５は、車両キーが車内あるいは車両５の近傍にあることを条件に、イグニッションボタンを操作することにより、イグニッションをオンにできるものでもよい。この場合、車両キーのキーボックス１０からの出し入れが不要となるので、利用制御装置１は、利用許可証に含まれている利用条件を満足する場合でも、キーボックス１０をロックしたままとしてもよい。また、車両５は、いわゆるキーレスタイプのものでもよい。この場合、キーボックス１０を省略することができる。

　また、上記の実施の形態において、利用制御装置１は、車両５のドアロック（第１の利用制限）を解除した状態で、利用者が車両５の運転席に着座して車両５のイグニッションをオンにした場合に、カメラ２により撮影された利用者の顔画像を含む撮影データと、利用者端末４から署名とともに受信した暗号情報を復号化することにより利用許可証とともに得られた顔認証情報と、を用いて顔認証を実施する。そして、顔認証が成立した場合に、車両５のエンジン起動ロック（第２の利用制限）を解除している。しかし、本発明はこれに限定されない。

　例えば、顔認証情報に代えて、指紋認証情報、静脈認証情報等のその他の生体認証情報を用いてもよい。すなわち、カメラ２に代えて生体認証情報読装置を車両５の運転席近傍に設置する。そして、利用制御装置１は、車両５のドアロック（第１の利用制限）を解除した状態で、利用者が車両５の運転席に着座して車両５のイグニッションをオンにした場合に、生体認証情報読装置により読み取られた利用者の生体認証情報と、利用者端末４から署名とともに受信した暗号情報を復号化することにより利用許可証とともに得られた生体認証情報と、を用いて生体認証を実施する。そして、生体認証が成立した場合に、車両５のエンジン起動ロック（第２の利用制限）を解除する。

　この場合、利用者端末４は、図１２（Ａ）に示すフローのＳ３２２において、利用者端末４が備える生体認証情報読取装置により読み取った生体認証情報を、Ｓ３２０で取得した利用者の顔の撮影データおよびＳ３２１で取得した利用者の免許証の撮影データとともに、管理装置３に送信する。そして、管理装置３は、図１９に示すフローのＳ４２３において、利用者端末４から受け取った生体認証情報を、利用者情報記憶部３００に登録されている利用者の利用者情報のレコード３００のフィールド３０５に、顔認証情報に代えて登録する。また、管理装置３は、図２０に示すフローのＳ４３５～Ｓ４３７において、利用者情報記憶部３００から利用者の利用情報のレコード３００を検索し、このレコード３００のフィールド３０５に登録されている生体認証情報およびＳ４３４で発行した利用許可証を暗号化するとともに、この暗号情報に対する署名を生成して、暗号情報および署名を利用者端末４に送信する。

　また、上記の実施の形態において、管理装置３が利用許可証を発行する際に（図２０に示すフローのＳ４３４）、利用者情報記憶部３００に登録されている利用者の利用者情報のレコード３００のフィールド３０３に登録されている利用者の個人情報を利用許可証に含めるとともに、利用制御装置１に、車両５の運転を許可される人物の個人情報のリストを予め登録しておき、利用許可証に含まれている個人情報が利用制御装置１に予め登録されていない場合は、上述の顔認証・生体認証の成立如何にかかわらず、車両５のエンジン起動ロック（第２の利用制限）を解除しないようにしてもよい。

　また、上記の実施の形態において、車両５の運転席近傍にアルコール検知センサを設置し、このアルコール検知センサにより運転席に着座した利用者から所定量以上のアルコールが検出された場合は、上述の顔認証・生体認証の成立如何にかかわらず、車両５のエンジン起動ロック（第２の利用制限）を解除しないようにしてもよい。

　また、上記の実施の形態において、管理装置３が利用許可証を発行する際に（図２０に示すフローのＳ４３４）、利用者情報記憶部３００に登録されている利用者の利用者情報のレコード３００のフィールド３０４に登録されている免許証データ（例えば免許証番号）を検索キーにして、ＷＡＮ６０に接続された、免許証取得者の加入保険情報を管理する保険情報データベースあるいは免許証取得者の事故歴情報を管理する事故歴情報データベースから、利用者の加入保険情報あるいは事故歴情報を取得して利用許可証に含めるとともに、利用制御装置１に、車両５の運転を許可される人物の加入保険の契約内容あるいは事故歴内容を予め登録しておき、利用許可証に含まれている加入保険情報あるいは事故歴情報が利用制御装置１に予め登録されている加入保険の契約内容あるいは事故歴内容を満足しない場合、上述の顔認証・生体認証の成立如何にかかわらず、車両５のエンジン起動ロック（第２の利用制限）を解除しないようにしてもよい。

　なお、上述の、利用許可証に含まれている個人情報が利用制御装置１に登録されている個人情報のリストに含まれているか否かを判断する場合、アルコール検知センサにより運転席に着座した利用者から所定量以上のアルコールが検出されたか否かを判断する場合、および、利用許可証に含まれている加入保険情報あるいは事故歴情報が利用制御装置１に予め登録されている加入保険の契約内容あるいは事故歴内容を満足するか否かを判断する場合は、上述の顔認証・生体認証を省略してもよい。

　すなわち、利用許可証に含まれている個人情報が利用制御装置１に登録されている個人情報のリストに含まれている場合、アルコール検知センサにより運転席に着座した利用者から所定量以上のアルコールが検出されなかった場合、および、利用許可証に含まれている加入保険情報あるいは事故歴情報が利用制御装置１に予め登録されている加入保険の契約内容あるいは事故歴内容を満足する場合に、利用制御装置１が、車両５のエンジン起動ロック（第２の利用制限）を解除してもよい。

　また、上記の実施の形態では、管理装置３に、利用者情報記憶部３０、利用制御装置情報記憶部３１、および予約情報記憶部３２を配置している。しかし、本発明はこれに限定されない。これらの記憶部３０～３２は、ＷＡＮ６０に接続されたファイルサーバに保持されてもよい。この場合、利用者情報記憶部３０、利用制御装置情報記憶部３１、および予約情報記憶部３２を、それぞれ別のファイルサーバに保持させてもよい。あるいは、それぞれを複数に分割して複数台のファイルサーバに分散保持させてもよい。また、これらの記憶部３０～３２に記憶される情報は、ブロックチェーン技術等を利用してその正当性が保証されていてもよい。

　また、上記の実施の形態では、利用制御装置１を、ドアロック機構を有する車両５の利用制限（ドアロック、キーボックス１０のロック、およびエンジン起動のロック）の解除に用いる場合を例にとり説明した。しかし、本発明はこれに限定されない。ドアロック機構に代わるロック機構を有する車両（自動二輪車、自転車等）の利用制限の解除に利用制御装置１を用いてもよいし、船舶等の、車両５以外の移動体の利用制限の解除に利用制御装置１を用いてもよい。

　あるいは、ホテル、旅館、民泊施設、家屋、倉庫等の施設を利用対象とし、この利用対象の利用制限（出入口のロック、施設に設置された設備の起動ロック等）の解除に利用制御装置１を用いてもよい。すなわち、利用制御装置１は、利用者端末４から利用許可証および顔認証情報とともに受信した署名の検証が成立し、かつ利用許可証に含まれている利用条件を満足する場合に、施設の出入口のロック等を解除し、さらに、施設の出入口のロック等が解除された場合に、撮影装置により撮影された利用者の顔画像を含む撮影データと顔認証情報とを用いて顔認証を実施し、顔認証が成立したならば、施設に設置された設備の起動ロック等を解除する。

　または、電子カルテ、電子書籍等の電子媒体の閲覧端末等を利用対象とし、この利用対象の利用制限（アクセスロック、書き込みロック）の解除に利用制御装置１を用いてもよい。すなわち、利用制御装置１は、利用者端末４から利用許可証および顔認証情報とともに受信した署名の検証が成立し、かつ利用許可証に含まれている利用条件を満足する場合に、閲覧端末によるファイルへのアクセスロック等を解除し、さらに、閲覧端末によるファイルへのアクセスロック等が解除された場合に、撮影装置により撮影された利用者の顔画像を含む撮影データと顔認証情報とを用いて顔認証を実施し、顔認証が成立したならば、閲覧端末によるファイルへの書き込みロック等を解除する。

　また、本発明は、これらの例に限定されず、利用対象を予約した人物と、予約された利用対象を実際に利用する人物との確認が必要な利用管理技術全般に広く利用できる。また、顔写真付きの個人証明書（ＩＤカード等）と利用対象を利用する人物との照合が必要な利用管理技術全般に広く利用できる。

　また、上記の実施の形態では、利用許可証に含める利用条件として利用日時（利用開始日時および利用了日時）を用いた場合を例にとり説明した。しかし、本発明はこれに限定されない。利用許可証に含める利用条件は、利用対象の利用制限の解除に関する条件を定めるものであればよい。例えば、利用日時に代えて、あるいは利用日時に加えて利用回数を含めるようにしてもよい。この場合、利用制御装置１において、利用許可証毎に、利用許可証の利用回数を管理することで、利用条件を満足するか否かを判断すればよい。

　１：利用制御装置　　２：カメラ　　３：管理装置　　４：利用者端末
　５：車両　　１０：キーボックス　　１１：近距離無線通信部
　１２：車載ネットワーク接続部　　１３：ホールデータ記憶部
　１４：利用制限解除要求受信部　　１５：署名検証部　　１６：復号部
　１７：撮影データ取得部　　１８：特徴量抽出部　　１９：顔認証部
　２０：利用制限解除部　　２９：ＷＡＮインターフェース部
　３０：利用者情報記憶部　　３１：利用制御装置情報記憶部
　３２：予約情報記憶部　　３３：利用者管理部
　３４：利用制御装置管理部　　３５：予約管理部
　３６：アカウント登録要求処理部　　３７：ログイン処理部
　３８：顔認証情報登録要求処理部　　３９：予約処理部
　４０：マンマシンインターフェース部
　４１：無線ネットワークインターフェース部　　４２：近距離無線通信部
　４３：カメラ　　４４：アカウント情報記憶部　　４５：暗号情報記憶部
　４６：アカウント登録要求部　　４７：ログイン要求部
　４８：顔認証情報登録要求部　　４９：予約要求部　　５０：利用制限解除要求部
　６３：近距離無線通信

Claims

　利用対象の利用を管理する利用管理システムであって、
　前記利用対象の利用条件を含む利用許可証に基づいて、施錠・解錠、起動制御、アクセス制御、あるいは暗号化・復号により前記利用対象の利用を制御する利用制御装置と、
　前記利用対象の利用者の顔を撮影して、その撮影データを前記利用制御装置に送信する撮影装置と、
　前記利用制御装置を前記利用対象に対応付けて管理する管理装置と、
　前記利用制御装置に前記利用許可証を通知する利用者端末と、を備え、
　前記管理装置は、
　前記利用制御装置に対応付けて、当該利用制御装置に設定されている公開鍵と対の秘密鍵を管理する鍵管理手段と、
　利用者の顔認証情報を管理する顔認証情報管理手段と、
　前記鍵管理手段により管理されている前記秘密鍵を用いて、前記利用許可証に対する署名を生成し、前記利用許可証および前記顔認証情報を前記署名とともに前記利用者端末に送信する利用許可証送信手段と、を有し、
　前記利用者端末は、
　前記管理装置から受信した前記利用許可証、前記顔認証情報および前記署名を含む利用制限解除要求を、近距離無線通信により前記利用制御装置に送信する利用制限解除要求手段を有し、
　前記利用制御装置は、
　近距離無線通信により前記利用者端末から受信した前記利用制限解除要求に含まれている前記署名を、自装置に設定されている前記公開鍵で検証する署名検証手段と、
　前記署名検証手段による署名検証が成立した場合に、前記利用制限解除要求に含まれている前記利用許可証の前記利用条件を満足するならば、前記利用対象に対する第１の利用制限を解除する第１の解除手段と、
　前記第１の解除手段により前記利用対象に対する第１の利用制限が解除された場合に、前記撮影装置から受信した撮影データと、前記利用制限解除要求に含まれている前記顔認証情報と、を用いて顔認証を実施する顔認証手段と、
　前記顔認証手段による顔認証が成立したならば、前記利用対象に対する第２の利用制限を解除する第２の解除手段と、を有する
　ことを特徴とする利用管理システム。
　請求項１に記載の利用管理システムであって、
　前記利用者端末は、
　内蔵あるいは外付けされた撮影手段により撮影された利用者の顔の撮影データおよび顔写真付き証明書の撮影データを含む顔認証情報登録要求を前記管理装置に送信する顔認証情報登録要求手段をさらに有し、
　前記管理装置は、
　前記利用者端末から受信した前記顔認証情報登録要求に含まれている前記利用者の顔の撮影データおよび前記顔写真付き証明書の撮影データ各々から顔の特徴量を抽出して顔認証を実施する顔認証手段をさらに有し、
　前記顔認証情報管理手段は、
　前記顔認証手段による顔認証が成立した場合に、前記利用者の顔の撮影データあるいは前記顔写真付き証明書の撮影データから抽出した顔の特徴量を、前記利用者の顔認証情報として管理する
　ことを特徴とする利用管理システム。
　請求項１または２に記載の利用管理システムであって、
　前記管理装置において、
　前記鍵管理手段は、前記利用制御装置に対応付けて、当該利用制御装置に設定されている共通鍵も管理しており、
　前記利用許可証送信手段は、前記鍵管理手段により管理されている前記共通鍵を用いて前記利用許可証および前記顔認証情報を暗号化して暗号情報を生成するとともに、前記鍵管理手段により管理されている前記秘密鍵を用いて、前記暗号情報に対する前記署名を生成し、前記暗号情報および前記署名を前記利用者端末に送信し、
　前記利用者端末において、
　前記利用制限解除要求手段は、前記管理装置から受信した前記暗号情報および前記署名を含む前記利用制限解除要求を、近距離無線通信により前記利用制御装置に送信し、
　前記利用制御装置において、
　前記署名検証手段は、前記利用者端末から受信した前記利用制限解除要求に含まれている前記署名を、自装置に設定されている前記公開鍵で検証し、検証が成立したならば、自装置に設定されている前記共通鍵を用いて、前記利用制限解除要求に含まれている前記暗号情報を前記利用許可証および前記顔認証情報に復号する
　ことを特徴とする利用管理システム。
　利用対象の利用条件を含む利用許可証に基づいて、施錠・解錠、起動制御、アクセス制御、あるいは暗号化・復号により当該利用対象の利用を制御する利用制御装置であって、
　近距離無線通信により利用者端末から受信した利用制限解除要求に含まれている署名を、自装置に設定されている公開鍵で検証する署名検証手段と、
　前記署名検証手段による署名検証が成立した場合に、前記利用制限解除要求に含まれている前記利用許可証の前記利用条件を満足するならば、前記利用対象に対する第１の利用制限を解除する第１の解除手段と、
　前記第１の解除手段により前記利用対象に対する第１の利用制限が解除された場合に、撮影装置から前記利用対象の利用者の顔画像を含む撮影データを取得し、当該撮影データと、前記利用制限解除要求に含まれている顔認証情報と、を用いて顔認証を実施する顔認証手段と、
　前記顔認証手段による顔認証が成立したならば、前記利用対象に対する第２の利用制限を解除する第２の解除手段と、を有する
　ことを特徴とする利用制御装置。
　利用対象の利用条件を含む利用許可証に基づいて、施錠・解錠、起動制御、アクセス制御、あるいは暗号化・復号により当該利用対象の利用を制御する利用制御装置を管理する管理装置であって、
　前記利用制御装置に対応付けて、当該利用制御装置に設定されている公開鍵と対の秘密鍵を管理する鍵管理手段と、
　利用者の顔認証情報を管理する顔認証情報管理手段と、
　前記鍵管理手段により管理されている前記秘密鍵を用いて、前記利用許可証に対する署名を生成し、前記利用許可証および前記顔認証情報を前記署名とともに、近距離無線通信により前記利用制御装置に通知する利用者端末に送信する利用許可証送信手段と、を有する
　ことを特徴とする管理装置。
　利用対象の利用条件を含む利用許可証に基づいて、施錠・解錠、起動制御、アクセス制御、あるいは暗号化・復号により当該利用対象の利用を制御する利用制御装置と、前記利用対象の利用者を撮影する撮影装置と、前記利用制御装置を前記利用対象に対応付けて管理する管理装置と、前記利用制御装置に前記利用許可証を通知する利用者端末と、を用いて、前記利用対象の利用を管理する利用管理方法であって、
　前記管理装置は、
　前記利用制御装置に対応付けて、当該利用制御装置に設定されている公開鍵と対の秘密鍵を管理するとともに、前記利用者の顔認証情報を管理し、
　前記秘密鍵を用いて、前記利用許可証に対する署名を生成し、
　前記利用許可証および前記顔認証情報を前記署名とともに前記利用者端末に送信し、
　前記利用者端末は、
　前記管理装置から受信した前記利用許可証、前記顔認証情報および前記署名を含む利用制限解除要求を、近距離無線通信により前記利用制御装置に送信し、
　前記撮影装置は、
　前記利用者の顔画像を含む撮影データを前記利用制御装置に送信し、
　前記利用制御装置は、
　近距離無線通信により前記利用者端末から受信した前記利用制限解除要求に含まれている前記署名を、自装置に設定されている公開鍵で検証し、
　前記署名の検証が成立した場合に、前記利用制限解除要求に含まれている前記利用許可証の前記利用条件を満足するならば、前記利用対象に対する第１の利用制限を解除し、
　前記利用対象に対する第１の利用制限が解除された場合に、前記撮影装置から受信した撮影データと、前記利用制限解除要求に含まれている前記顔認証情報と、を用いて顔認証を実施し、
　前記顔認証が成立したならば、前記利用対象に対する第２の利用制限を解除する
　ことを特徴とする利用管理方法。
　利用対象の利用条件を含む利用許可証に基づいて、施錠・解錠、起動制御、アクセス制御、あるいは暗号化・復号により当該利用対象の利用を制御する利用制御装置として、コンピュータを動作させるプログラムであって、
　前記プログラムは、
　前記コンピュータを、
　近距離無線通信により利用者端末から受信した利用制限解除要求に含まれている署名を、自装置に設定されている公開鍵で検証する署名検証手段、
　前記署名検証手段による署名検証が成立した場合に、前記利用制限解除要求に含まれている前記利用許可証の前記利用条件を満足するならば、前記利用対象に対する第１の利用制限を解除する第１の解除手段、
　前記第１の解除手段により前記利用対象に対する第１の利用制限が解除された場合に、撮影装置から前記利用対象の利用者の顔画像を含む撮影データを取得し、当該撮影データと、前記利用制限解除要求に含まれている顔認証情報と、を用いて顔認証を実施する顔認証手段、および
　前記顔認証手段による顔認証が成立したならば、前記利用対象に対する第２の利用制限を解除する第２の解除手段として機能させる
　ことを特徴とするプログラム。
　利用対象の利用条件を含む利用許可証に基づいて、施錠・解錠、起動制御、アクセス制御、あるいは暗号化・復号により当該利用対象の利用を制御する利用制御装置を管理する管理装置として、コンピュータを動作させるプログラムであって、
　前記プログラムは、
　前記コンピュータを、
　前記利用制御装置に対応付けて、当該利用制御装置に設定されている公開鍵と対の秘密鍵を管理する鍵管理手段、
　利用者の顔認証情報を管理する顔認証情報管理手段、および
　前記鍵管理手段により管理されている前記秘密鍵を用いて、前記利用許可証に対する署名を生成し、前記利用許可証および前記顔認証情報を前記署名とともに、近距離無線通信により前記利用制御装置に通知する利用者端末に送信する利用許可証送信手段として機能させる
　ことを特徴とするプログラム。