WO2023181802A1

WO2023181802A1 - 情報送受信システム

Info

Publication number: WO2023181802A1
Application number: PCT/JP2023/007298
Authority: WO
Inventors: 睦渡辺
Original assignee: 株式会社東芝; 東芝インフラシステムズ株式会社
Priority date: 2022-03-24
Filing date: 2023-02-28
Publication date: 2023-09-28
Also published as: JP2023141724A

Abstract

安全に電子データを送受信でき、受信者が確実に電子データを取得できる情報送受信システムを提供する。実施形態によれば、情報送受信システムは、送信装置と受信装置とを有する。受信装置は、第１の通信部とインターフェースと記憶部と第１のプロセッサとを有する。送信装置は、第２の通信部と第２のプロセッサとを有する。インターフェースは、受信者の生体認証を行う生体認証装置に接続する。記憶部は、生体認証装置によって生体認証が成功した受信者の第１鍵と第１鍵に対応する第２鍵とを記憶する。第１のプロセッサは、送信装置が受信者の第２鍵で施錠した電子データを保存し、生体認証装置によって生体認証が成功した受信者の第１鍵を用いて受信者の第２鍵で施錠された電子データを解錠する。第２のプロセッサは、受信者の第２鍵で施錠した電子データを受信装置へ送信する。

Description

情報送受信システム

　本発明の実施形態は、情報送受信システムに関する。

　従来、機密情報などを電子メールで送信する場合、パスワードを設定した機密情報を含む電子データとしてのファイルを電子メールに添付する形で送信することが多い。このような場合、送信者は、電子メールに添付したファイルに設定したパスワードを当該電子メールとは別の送信方法で送信先の相手（受信者）に通知する。

　しかしながら、電子メールに添付されたファイルに設定されたパスワードは、当該電子メールとは別の送信方法で受信者に通知されるため、喪失してしまうことがある。当然ながら、パスワードを喪失すると、パスワードが設定されファイルは、開くことができなくなる。このため、電子メールに添付するファイルなどの電子データを安全に送受信でき、かつ、受信者が確実にデータを開くことができるシステムが要望されている。

日本国特開２０１３ー１５２５１１号公報

　上記した課題を解決するために、安全に電子データを送受信でき、受信者が確実に電子データを取得できる情報送受信システムを提供する。

　実施形態によれば、情報送受信システムは、送信装置と受信装置とを有する。受信装置は、第１の通信部とインターフェースと記憶部と第１のプロセッサとを有する。送信装置は、第２の通信部と第２のプロセッサとを有する。第１の通信部は、送信装置と通信する。インターフェースは、受信者の生体認証を行う生体認証装置に接続する。記憶部は、生体認証装置によって生体認証が成功した受信者の第１鍵と第１鍵に対応する第２鍵とを記憶する。第１のプロセッサは、送信装置が受信者の第２鍵で施錠した電子データを保存し、生体認証装置によって生体認証が成功した受信者の第１鍵を用いて受信者の第２鍵で施錠された電子データを解錠する。第２の通信部は、受信装置と通信する。第２のプロセッサは、受信者の第２鍵で施錠した電子データを受信装置へ送信する。

図１は、実施形態に係る情報送受信システムの構成例を概略的に示す図である。図２は、実施形態に係る情報送受信システムにおける送信装置の構成例を示すブロック図である。図３は、実施形態に係る情報送受信システムにおける受信装置の構成例を示すブロック図である。図４は、実施形態に係る情報送受信システムにおける第１動作例を概略的に説明するための図である。図５は、実施形態に係る情報送受信システムにおける第１動作例を説明するためのシーケンスである。図６は、実施形態に係る情報送受信システムにおける第２動作例を概略的に説明するための図である。図７は、実施形態に係る情報送受信システムにおける第２動作例を説明するためのシーケンスである。図８は、実施形態に係る情報送受信システムにおける第３動作例を概略的に説明するための図である。図９は、実施形態に係る情報送受信システムにおける第３動作例を説明するためのシーケンスである。図１０は、実施形態に係る情報送受信システムにおける第４動作例を概略的に説明するための図である。図１１は、実施形態に係る情報送受信システムにおける第４動作例を説明するためのシーケンスである。図１２は、実施形態に係る情報送受信システムにおける第５動作例を概略的に説明するための図である。図１３は、実施形態に係る情報送受信システムにおける第５動作例を説明するためのシーケンスである。図１４は、実施形態に係る情報送受信システムにおける第５動作例を説明するためのシーケンスである。

実施形態

　以下、実施形態について、図面を参照しつつ説明する。
　まず、実施形態に係る情報送受信システムに用いる認証デバイスの発行（登録）手続きについて説明する。
　図１は、実施形態に係る情報送受信システムの構成例を概略的に示す図である。
　図１に示す構成例において、情報送受信システム１は、送信装置１１、および、受信装置１２を有する。送信装置１１と受信装置１２とは、メールサーバ１３、１４およびネットワーク１５を介して保護対象とする電子データとしてのファイルを添付した電子メールの送受信を行う。また、情報送受信システム１において、送信装置１１と受信装置１２とは、メールサーバ１３、１４を介さずに保護対象とする電子データを送受信するようにしても良い。

　送信装置１１は、電子メールを送信する送信者が使用する端末装置である。受信装置１２は、電子メールを受信する受信者が使用する端末装置である。送信装置１１および受信装置１２は、電子データを送受信する機能を有する電子装置である。例えば、送信装置１１および受信装置１２は、電子メールを送受信するためのアプリケーションプログラムがインストールされたパーソナルコンピュータ（ＰＣ）、スマートフォン、通信装置などである。

　送信装置１１および受信装置１２は、生体情報によってユーザ認証を行う生体認証を実行する生体認証装置を接続するインターフェースを備える。また、送信装置１１および受信装置１２は、生体情報によってユーザ認証を行う生体認証を実行する生体認証部を備える構成であっても良い。なお、送信者の生体認証が不要な運用として実施される情報送受信システム１であれば、送信装置１１は、生体認証装置を接続しなくても良い。

　次に、実施形態に係る情報送受信システム１における送信装置１１の構成について説明する。
　図２は、実施形態に係る情報送受信システム１における送信装置１１の構成例を示すブロック図である。
　図２に示すように、送信装置１１は、プロセッサ２１、ＲＯＭ２２、ＲＡＭ２３、記憶部２４、通信部２５、操作部２７、表示部２８およびインターフェース２９を有する。

　プロセッサ２１は、プログラムを実行することにより各種の処理を実行する。プロセッサ２１は、例えば、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。プロセッサ２１は、システムバスを介して送信装置１１内の各部と接続され、各部との間でデータを送受信する。プロセッサ２１は、ＲＯＭ２２およびＲＡＭ２３と協働して送信装置１１における制御およびデータ処理などの動作を実行する。

　ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）２２は、送信装置１１の基本的な動作を実行するためのプログラムおよび制御データなどを記憶する不揮発性のメモリである。
　ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）２３は、データを一時的に記憶する揮発性のメモリである。ＲＡＭ２３は、プロセッサ２１がプログラムを実行する場合にワーキングメモリとして機能する。

　記憶部２４は、各種のデータを記憶するメモリである。記憶部２４は、データの書き換えが可能な不揮発性のメモリで構成される。例えば、記憶部２４は、ＯＳプログラム、アプリケーションプログラム、動作設定情報などを記憶する。本実施形態において、記憶部２４は、電子メールを送受信するためのプログラム、鍵情報を用いたデータ処理を実行するためのプログラム、および、後述する各種の処理を実行するためのプログラムなどが記憶されるものとする。

　また、記憶部２４は、セキュアな記憶領域を有し、送信者が保持しておくべき鍵情報（例えば、送信者の公開鍵および秘密鍵）などの情報をセキュアに記憶するものとする。また、記憶部３４は、当該送信装置１１を使用するユーザである登録者（送信者）の生体情報（生体認証に用いる生体情報）を記憶するようにしても良いし、送信者が保持しておくべき鍵情報（例えば、送信者の第１鍵および第２鍵）などをセキュアな記憶領域に保持するようにしても良い。

　通信部２５は、外部装置と通信するための通信インターフェースである。通信部２５は、無線で通信を行うものであって良いし、有線で通信を行うものであっても良い。本実施形態において、通信部２５は、メールサーバ１３およびネットワーク１５を介して受信装置１２宛の電子メールを送信する。

　操作部２７は、ユーザ（送信者）が操作指示を入力する入力デバイスである。操作部２７は、例えば、キーボード、タッチパネル、マウスなどで構成される。表示部２８は、情報を表示するディスプレイである。例えば、表示部２８は、電子メールにファイルを添付して送信する場合に、送信先、添付するファイル、あるいは、ファイルに不可する条件情報などを指示するための設定画面などを表示する。また、操作部２７および表示部２８は、タッチパネル付きの表示装置によって構成しても良い。

　インターフェース２９は、外部装置を接続する。インターフェース２９は、後述する受信装置１２に接続される生体認証装置４０と同様な構成で、送信装置１１を操作するユーザである送信者に対する生体認証を実行する。また、送信装置１１は、送信者に対する生体認証を実行する生体認証部を備える構成としても良い。

　次に、実施形態に係る情報送受信システム１における受信装置１２の構成について説明する。
　図３は、実施形態に係る情報送受信システム１における受信装置１２の構成例を示すブロック図である。
　図３に示すように、受信装置１２は、プロセッサ３１、ＲＯＭ３２、ＲＡＭ３３、記憶部３４、通信部３５、インターフェース３６、操作部３７および表示部３８を有する。

　プロセッサ３１は、プログラムを実行することにより各種の処理を実行する。プロセッサ３１は、例えば、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。プロセッサ３１は、システムバスを介して受信装置１２内の各部と接続され、各部との間でデータを送受信する。プロセッサ３１は、ＲＯＭ３２およびＲＡＭ３３と協働して受信装置１２における制御およびデータ処理などの動作を実行する。

　ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）３２は、受信装置１２の基本的な動作を実現するためのプログラムおよび制御データなどを記憶する不揮発性のメモリである。
　ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）３３は、データを一時的に記憶する揮発性のメモリである。ＲＡＭ３３は、プロセッサ３１がプログラムを実行する場合にワーキングメモリとして機能する。

　記憶部３４は、各種のデータを記憶するメモリである。記憶部３４は、データの書き換えが可能な不揮発性のメモリで構成される。例えば、記憶部３４は、ＯＳプログラム、アプリケーションプログラム、動作設定情報などを記憶する。本実施形態において、記憶部２４は、電子メールを送受信するためのプログラム、鍵情報を用いたデータ処理を実行するためのプログラム、および、後述する各種の処理を実行するためのプログラムなどが記憶されるものとする。また、記憶部２４は、セキュアな記憶領域を有し、受信者が保持しておくべき鍵情報（例えば、受信者の第１鍵および第２鍵）などがセキュアな記憶領域に記憶されるものとする。また、記憶部３４は、当該受信装置を使用するユーザである登録者（受信者）の生体情報を記憶するようにしても良い。

　通信部３５は、外部装置と通信するための通信インターフェースである。通信部３５は、無線で通信を行うものであって良いし、有線で通信を行うものであっても良い。本実施形態において、通信部３５は、インターネットなどの広域のネットワーク１５を介して、送信装置１１と通信する。

　インターフェース３６は、外部装置を接続する。図３に示す例において、インターフェース３６は、生体認証装置４０を接続する。生体認証装置４０は、生体センサ４１を備える。生体認証装置４０は、生体センサ４１が取得する生体情報に基づく人物認証（生体認証）を実行する。生体センサ４１は、認証処理に用いる認証情報として人物の生体情報を取得するセンサである。生体認証装置４０は、生体センサ４１が読み取る生体情報と予め登録されている登録者であるユーザ（受信者）の生体情報と照合することにより、生体センサ４１が生体情報を読み取った人物が予め登録されているユーザ（受信者）であることを認証する。

　生体センサ４１は、例えば、利用者の指紋情報（指紋画像）を読み取る指紋センサである。生体センサ４１は、指紋センサに限定されるものではなく、指紋以外の生体情報（例えば、顔画像、掌紋、静脈、虹彩等）を取得するセンサであっても良い。生体認証装置４０は、生体センサ４１が取得する生体情報に対応した生体認証を実行する機能（例えば、指紋照合、顔照合、掌紋照合、静脈照合、虹彩照合等を実行するＩＣチップ）を備える。

　なお、生体認証装置４０は、生体センサ４１が取得する生体情報をプロセッサ３１へ供給するものとし、生体センサ４１が取得する生体情報に基づく生体認証をプロセッサ３１が実行する構成としても良い。
　また、受信装置１２は、生体認証装置４０と同等の生体認証を実行する生体認証部を備える構成であっても良い。また、受信装置１２は、生体認証に用いる登録者であるユーザ（受信者）の生体情報を記憶部３４に登録するようにしても良いし、生体認証装置４０に設けたメモリに登録するようにしても良い。

　操作部３７は、ユーザが操作指示を入力する入力デバイスである。操作部３７は、例えば、キーボード、タッチパネル、マウスなどである。表示部３８は、情報を表示するディスプレイである。例えば、表示部３８は、施錠されていたファイルを鍵データで開錠した場合にファイル内のデータを表示する。また、操作部３７および表示部３８は、タッチパネル付きの表示装置によって構成しても良い。

　なお、情報送受信システム１は、受信装置１２が受信する電子メールあるいは電子メールに添付されたファイルをファイルサーバなどの外部装置に保存する構成としても良い。この場合、受信装置１２は、受信した電子メールあるいは電子メールに添付されたファイルを保存するための外部装置としてのファイルサーバにアクセスするためのインターフェースを備えるようにしても良い。

　次に、本実施形態に係る情報送受信システム１によるファイル（電子データ）の送受信処理について説明する。
　まず、本実施形態に係る情報送受信システム１によるファイルの送受信処理の第１動作例について説明する。
　図４は、実施形態に係る情報送受信システム１によるファイルの送受信処理の第１動作例を概略的に説明するための図である。
　図４に示すように、第１動作例では、送信者Ｏが１人の受信者Ａにファイルを送信する場合を想定して説明する。送信装置１１は、送信者Ｏの公開鍵（公開鍵Ｏ）と秘密鍵（秘密鍵Ｏ）とを保持しているものとする。また、受信装置１２（１２Ａ）は、受信者Ａの生体情報が登録され、受信者Ａに対する生体認証が実行できるようになっているものとする。

　まず、送信装置１１は、ファイルを送信する前に、送信者Ｏの公開鍵Ｏを受信者Ａの受信装置１２Ａに供給する。受信装置１２Ａは、送信者Ｏの公開鍵Ｏを取得すると、受信者Ａであることを認証するための生体認証を実行する。生体認証が成功すると（受信者Ａであることが確認されると）、受信装置１２Ａは、受信者Ａの第１鍵Ａと第１鍵Ａに関する第２鍵Ａとを生成する。受信装置１２Ａは、第１鍵および第２鍵Ａを生成すると、第２鍵Ａを公開鍵Ｏで暗号化したデータを送信装置１１へ送信する。

　送信装置１１は、受信装置１２Ａから公開鍵Ｏで第２鍵Ａを暗号化したデータを取得すると、公開鍵Ｏに対応する秘密鍵を用いて暗号化された第２鍵Ａを復号化（解錠）することにより第２鍵Ａを取得する。送信装置１１は、第２鍵を取得すると、受信者Ａへ送信すべきファイルを第２鍵Ａで施錠（暗号化）する。送信装置１１は、第２鍵Ａで施錠したファイルを受信者Ａの受信装置１２Ａへ送信する。

　受信装置１２Ａは、送信者Ｏから受信した第２鍵Ａで施錠されたファイルを保存する。受信者Ａは、第２鍵Ａで施錠されたファイル（送信装置１１から受信したファイル）を閲覧する場合、受信装置１２Ａで生体認証を実行する。受信装置１２Ａは、受信者Ａによる操作に応じて受信者Ａの生体情報を取得して生体認証を実行する。生体認証により受信者Ａであることが確認されると、受信装置１２Ａは、受信者Ａの第１鍵Ａを取得し、受信者Ａの第１鍵Ａを用いて第２鍵Ａで施錠されたファイルを解錠する。これにより、受信装置１２Ａは、送信者Ｏから受信した第２鍵Ａで施錠されたファイルを閲覧可能とする。

　次に、実施形態に係る情報送受信システム１によるファイル送受信処理の第１動作例における送信装置１１および受信装置１２（１２Ａ）の動作について説明する。
　図５は、実施形態に係る情報送受信システム１によるファイル送受信処理の第１動作例における送信装置１１と受信装置１２Ａとの動作例を説明するためのシーケンスである。
　例えば、送信者Ｏは、送信装置１１の操作部２７により受信者Ａにセキュリティ設定を施したファイル（保護対象となる電子データ）の送信を指示する。送信装置１１のプロセッサ２１は、送信者Ｏによる操作指示に応じて送信先（受信者）および送信するファイルなどを設定する（ＳＴ１１）。

　送信装置１１のプロセッサ２１は、送信先として受信者Ａを設定すると、通信部２５により受信者Ａに対して送信者Ｏの公開鍵Ｏを送信（開示）し、受信者Ａの受信装置１２Ａが生体認証に紐づけて生成する第２鍵を要求する（ＳＴ１２）。例えば、プロセッサ２１は、公開鍵Ｏを含む第２鍵Ａの要求を受信者Ａ宛の電子メールによって送信しても良い。第２鍵Ａは、受信者Ａの生体認証が成功した場合に生成される第１鍵Ａに対応する鍵データであり、例えば、第１鍵Ａから所定のアルゴリズムによって生成される。

　受信者Ａの受信装置１２Ａは、通信部３５により送信者Ｏから受信者Ａ宛の第２鍵の要求と公開鍵Ｏとを受信する。受信装置１２Ａのプロセッサ３１は、送信者Ｏからの第２鍵の要求を受信すると、インターフェース３６に接続した生体認証装置４０によって受信者Ａの生体認証を実行する（ＳＴ１３）。プロセッサ３１は、受信者Ａに対する生体認証が成功すると、生体認証が成功した受信者Ａの第１鍵Ａを生成する（ＳＴ１３）。プロセッサ３１は、第１鍵Ａを生成すると、第１鍵Ａと対になる第２鍵Ａを生成する（ＳＴ１４）。すなわち、プロセッサ３１は、受信者Ａに対する生体認証の成功に応じて受信者Ａ用の鍵のペアとして第１鍵Ａと第２鍵Ａとを生成する。例えば、プロセッサ３１は、受信者Ａに対する生体認証が成功した場合に読み出せるように第１鍵Ａと第２鍵Ａとを記憶部３４に保存する。

　第１鍵Ａは、例えば、受信者Ａの生体情報などから特定のアルゴリズムによって生成される。また、第１鍵Ａは、所定のアルゴリズムを用いることにより受信者Ａの生体情報から再現できるようにしても良い。この場合、受信装置などの不具合によって第１鍵Ａを喪失しても受信者Ａの生体情報から第１鍵Ａを取得することができる。また、第２鍵Ａは、第１鍵Ａから特定のアルゴリズムで生成される。例えば、第２鍵Ａは、所定のアルゴリズムを用いることにより第１鍵Ａから再現できるようにしても良い。この場合、受信装置などの不具合によって第２鍵Ａを喪失しても第１鍵Ａから第２鍵Ａを取得することができる。

　また、第１鍵Ａは、受信者Ａ以外はアクセスできないように秘匿した状態で保管され、受信者Ａの生体認証が成功した場合にアクセスできるように保存される。例えば、第１鍵Ａ（又は、第１鍵Ａおよび第２鍵Ａ）は、受信装置１２Ａの記憶部３４に保存されるものに限定されるものではなく、生体認証装置４０内のメモリ又は外部記憶装置にセキュアに保管するようにしても良い。

　受信装置１２Ａのプロセッサ３１は、第２鍵Ａを生成すると、生成した第２鍵Ａを公開鍵Ｏで暗号化（施錠）する（ＳＴ１６）。プロセッサ３１は、第２鍵Ａを公開鍵Ｏで暗号化すると、通信部３５により公開鍵Ｏで暗号化した第２鍵Ａのデータを送信者Ｏの送信装置１１へ送信する（ＳＴ１７）。

　送信者Ｏの送信装置１１は、通信部２５により受信者Ａの受信装置１２Ａが公開鍵Ｏで暗号化した第２鍵Ａのデータを受信する。送信装置１１のプロセッサ２１は、公開鍵Ｏで暗号された第２鍵Ａを受信すると、公開鍵Ｏに対応する秘密鍵Ｏにより公開鍵Ｏで暗号化（施錠）された第２鍵Ａのデータを復号化（解錠）する（ＳＴ１８）。プロセッサ２１は、秘密鍵Ｏで復号化（解錠）したデータとして第２鍵Ａを取得する（ＳＴ１９）。

　送信装置１１のプロセッサ２１は、第２鍵Ａを取得すると、取得した第２鍵Ａに受信者Ａに送信すべきファイルを暗号化（施錠）する（ＳＴ２０）。プロセッサ２１は、第２鍵Ａでファイルを暗号化（施錠）すると、第２鍵Ａで施錠したファイルを添付した電子メールを作成する。ここで、プロセッサ２１は、送信者Ｏが受信者Ａ宛の電子メールの本文を作成するようにしても良い。

　また、プロセッサ２１は、電子メールに添付する第２鍵Ａで施錠したファイルに解錠条件（閲覧可能とする条件）を付加しても良い。例えば、プロセッサ２１は、送信者Ｏが操作部２７を用いて指定する解錠条件を第２鍵Ａで施錠したファイルに対して設定する。解錠条件としては、第２鍵Ａで施錠したファイルに対する解錠（閲覧）を可能とする期限であっても良いし、解錠を可能とする装置であっても良い。前者の場合、プロセッサ２１は、例えば、送信者Ｏが操作部２７を用いて指定する任意の期限を解錠期限（解錠条件）として設定するようにしても良い。また、後者の場合、プロセッサ２１は、例えば、公開鍵Ｏで暗号化した第２鍵Ａの送信（生成）元である受信装置１２を解錠可能な装置として設定するようにしても良い。

　送信装置１１のプロセッサ２１は、第２鍵Ａで施錠したファイルを添付した受信者Ａ宛の電子メールを作成すると、作成した受信者Ａ宛の電子メールを通信部２５によりメールサーバ１３へ送信する（ＳＴ２１）。メールサーバ１３は、ネットワーク１５を介してメールサーバ１４へ受信者Ａ宛の電子メールを送信する。メールサーバ１４は、受信者Ａ宛の電子メールを受信者Ａの受信装置１２へ送信する。

　受信装置１２Ａは、通信部３５により第２鍵Ａで施錠されたファイルが添付された受信者Ａ宛の電子メールを受信する。受信装置１２Ａのプロセッサ３１は、受信した電子メールに添付された第２鍵Ａが施錠されたファイルを記憶部３４に保存する（ＳＴ２２）。プロセッサ３１は、第２鍵Ａで施錠されたファイルを添付された電子メールとともに保存しても良いし、第２鍵Ａで施錠されたファイルを保存しても良い。また、プロセッサ３１は、第２鍵Ａで施錠されたファイルをファイルサーバなどの外部装置に保存するようにしても良い。

　受信装置１２Ａのプロセッサ３１は、操作部３７を操作する受信者Ａによる保存した第２鍵Ａで施錠されたファイルに対する解錠要求を受け付ける。ここで、プロセッサ３１は、第２鍵Ａで施錠されたファイルに解錠条件が設定されていれば、解錠要求を受けた場合に解錠条件を満たしているか否かによりファイルの解錠を受け付けるか否かを判断するようにしても良い。

　受信装置１２Ａのプロセッサ３１は、解錠要求に応じてファイルの解錠を実行する場合（ＳＴ２３、ＹＥＳ）、インターフェース３６に接続した生体認証装置４０による受信者Ａの生体認証を実行する（ＳＴ２４）。プロセッサ３１は、受信者Ａに対する生体認証が成功すると、生体認証が成功した受信者Ａの第１鍵Ａを取得する（ＳＴ２５）。ここでは、公開鍵Ｏを受信した場合に実行した受信者Ａの生体認証の成功に応じて生成した第２鍵Ａと対になる第１鍵Ａが記憶部３４のセキュアな記憶領域に保存されているものとする。

　受信装置１２Ａのプロセッサ２１は、第１鍵Ａを取得すると、取得した第１鍵Ａを用いて第２鍵Ａで施錠されたファイルを解錠する（ＳＴ２６）。プロセッサ３１は、第１鍵Ａを用いてファイルを解錠すると、解錠したファイルを開いて閲覧可能な状態とする（ＳＴ２７）。例えば、プロセッサ３１は、第１鍵Ａで解錠したファイルのデータを表示部３８に表示することによりファイルの内容を受信者Ａに開示する。

　以上のような第１動作例によれば、実施形態に係る情報送受信システムは、送信者から受信者の生体認証で取得できる鍵で施錠されたファイルを受信でき、鍵で保護された状態のファイルを保存しておくことができる。受信者Ａは、生体認証によって取得できる鍵によって任意のタイミングで保護されたファイルを取得することできる。この結果、実施形態に係る情報送受信システムによれば、パスワードなどを紛失でファイルが閲覧不可能となることがなく、閲覧権限のある人（生体認証を成功させることができる人）なら任意のタイミングで確実に閲覧可能とすることができる。

　また、第１動作例として説明したように、実施形態に係る情報送受信システムでは、鍵で保護するファイルに解錠（閲覧）期限などの解錠条件を付加することもできる。例えば、送信者が閲覧期限を１年に指定した場合、鍵で保護するファイルには閲覧を１年間とする解錠条件を付加することができる。このように、実施形態に係る情報送受信システムによれば、閲覧権限のある受信者（生体認証を成功させることができる人）に対しても解錠条件によって閲覧を制限することも可能となる。

　次に、本実施形態に係る情報送受信システム１によるファイルの送受信処理の第２動作例について説明する。

　図６は、実施形態に係る情報送受信システム１によるファイルの送受信処理の第２動作例を概略的に説明するための図である。
　図６に示すように、第２動作例では、送信者Ｏが複数の受信者Ａ、Ｂ、Ｃにファイルを送信する場合を想定して説明する。すなわち、第２動作例に係る情報送受信システム１は、送信装置１１と複数の受信装置１２（１２Ａ、１２Ｂ、１２Ｃ）とを含むものとする。また、送信装置１１は、送信者Ｏの公開鍵（公開鍵Ｏ）と秘密鍵とを保持しているものとする。また、受信者Ａの受信装置１２（１２Ａ）、受信者Ｂの受信装置１２（１２Ｂ）、受信者Ｃの受信装置１２（１２Ｃ）は、それぞれ受信者Ａ、Ｂ、Ｃの生体情報が登録され、受信者Ａ、Ｂ、Ｃに対する生体認証が実行できるようになっているものとする。

　まず、送信装置１１は、ファイルを送信する前に、送信者Ｏの公開鍵Ｏを受信者Ａ、Ｂ、Ｃの受信装置１２にそれぞれ供給する。
　各受信者Ａ、Ｂ、Ｃの受信装置１２は、送信者Ｏの公開鍵Ｏを取得すると、それぞれ受信者Ａ、Ｂ、Ｃであることを認証するための生体認証を実行する。受信者Ａの生体認証が成功した受信装置１２は、受信者Ａの第１鍵Ａと第１鍵Ａと対になる第２鍵Ａとを生成する。受信者Ｂの生体認証が成功した受信装置１２は、受信者Ｂの第１鍵Ｂと第１鍵Ｂと対になる第２鍵Ｂとを生成する。受信者Ｃの生体認証が成功した受信装置１２は、受信者Ｃの第１鍵Ｃと第１鍵Ｃと対になる第２鍵Ｃとを生成する。受信者Ａ、Ｂ、Ｃの各受信装置１２Ａ、１２Ｂ、１２Ｃは、それぞれ生成した第２鍵Ａ、Ｂ、Ｃを公開鍵Ｏで暗号化したデータを送信装置１１へ送信する。

　送信装置１１は、受信装置１２Ａ、１２Ｂ、１２Ｃから公開鍵Ｏで暗号化された第２鍵Ａ、Ｂ、Ｃを取得し、公開鍵Ｏに対応する秘密鍵Ｏを用いて暗号化された第２鍵Ａ、Ｂ、Ｃをそれぞれ復号化（解錠）することにより第２鍵Ａ、Ｂ、Ｃを取得する。送信装置１１は、全ての受信者Ａ、Ｂ、Ｃの第２鍵Ａ、Ｂ、Ｃを取得すると、受信者Ａ、Ｂ、Ｃへ送信すべきファイルを第２鍵Ａ、Ｂ、Ｃで施錠（暗号化）する。ここで、送信装置１１が第２鍵Ａ、Ｂ、Ｃで施錠（暗号化）したファイルは、第２鍵Ａ、Ｂ、Ｃに対応する第１鍵Ａ、第１鍵Ｂ又は第１鍵Ｃで解錠できるものとする。送信装置１１は、第２鍵Ａ、Ｂ、Ｃで施錠したファイルを受信者Ａの受信装置１２へ送信する。

　受信者Ａの受信装置１２は、送信者Ｏから受信した第２鍵Ａ、Ｂ、Ｃで施錠されたファイルを保存する。受信者Ａは、第２鍵Ａ、Ｂ、Ｃで施錠されたファイルを閲覧する場合、受信装置１２で生体認証を実行する。受信者Ａの生体認証が成功した受信装置１２Ａは、受信者Ａの第１鍵Ａを用いて第２鍵Ａ、Ｂ、Ｃで施錠されたファイルを解錠する。これにより、受信者Ａは、送信者Ｏから受信したファイルが閲覧可能となる。

　同様に、受信者Ｂの受信装置１２Ｂは、受信者Ｂの生体認証が成功した場合に受信者Ｂの第１鍵Ｂを用いて送信者Ｏから受信した第２鍵Ａ、Ｂ、Ｃで施錠されたファイルを解錠する。これにより、受信者Ｂも、送信者Ｏから受信したファイルが閲覧可能となる。また、受信者Ｃの受信装置１２Ｃは、受信者Ｃの生体認証が成功した場合に受信者Ｃの第１鍵Ｃを用いて送信者Ｏから受信した第２鍵Ａ、Ｂ、Ｃで施錠されたファイルを解錠する。これにより、受信者Ｃも、送信者Ｏから受信したファイルが閲覧可能となる。

　次に、実施形態に係る情報送受信システム１によるファイル送受信処理の第２動作例を実行する場合の送信装置１１および受信装置１２（１２Ａ、１２Ｂ、１２Ｃ）の動作について説明する。

　図７は、実施形態に係る情報送受信システム１によるファイル送受信処理の第１動作例における送信装置１１と受信装置１２（１２Ａ、１２Ｂ、１２Ｃ）との動作例を説明するためのシーケンスである。
　例えば、送信者Ｏは、送信装置１１の操作部２７により複数の送信先（受信者Ａ、Ｂ、Ｃ）にセキュリティ設定を施したファイル（保護対象となる電子データ）を送信することを指示する。送信装置１１のプロセッサ２１は、送信者Ｏによる操作指示に応じて各受信者Ａ、Ｂ、Ｃと各受信者Ａ、Ｂ、Ｃへ送信するファイルなどを設定する（ＳＴ３１）。

　プロセッサ２１は、送信先として受信者Ａ、Ｂ、Ｃを設定すると、通信部２５により受信者Ａ、Ｂ、Ｃに対して送信者Ｏの公開鍵Ｏを送信（開示）し、各受信者Ａ、Ｂ、Ｃの受信装置１２Ａ、１２Ｂ、１２Ｃに生体認証に紐づけて生成する第２鍵Ａ、Ｂ、Ｃを要求する（ＳＴ３２）。例えば、プロセッサ２１は、第２鍵Ａの要求と公開鍵Ｏとを受信者Ａ宛の電子メールで送信し、第２鍵Ｂの要求と公開鍵Ｏとを受信者Ｂ宛の電子メールで送信し、第２鍵Ｃの要求と公開鍵Ｏとを受信者Ｃ宛の電子メールで送信しても良い。

　各受信者Ａ、Ｂ、Ｃの各受信装置１２Ａ、１２Ｂ、１２Ｃのプロセッサ３１は、送信者Ｏからの第２鍵の要求を受信すると、それぞれインターフェース３６に接続した生体認証装置４０による受信者Ａ、Ｂ、Ｃの生体認証を実行する（ＳＴ３３）。プロセッサ３１は、受信者Ａ（Ｂ、Ｃ）に対する生体認証が成功すると、生体認証が成功した受信者Ａ（Ｂ、Ｃ）の第１鍵Ａ（Ｂ、Ｃ）を生成する（ＳＴ３４）。プロセッサ３１は、第１鍵Ａ（Ｂ、Ｃ）を生成すると、第１鍵Ａ（Ｂ、Ｃ）と対になる第２鍵Ａ（Ｂ、Ｃ）を生成する（ＳＴ３５）。各受信装置１２Ａ、１２Ｂ、１２Ｃが生成する第１鍵Ａ、Ｂ、Ｃおよび第２鍵Ａ、Ｂ、Ｃは、第１動作例で説明したものと同様のもので良い。

　受信装置１２Ａ（１２Ｂ、１２Ｃ）のプロセッサ３１は、第２鍵Ａ（Ｂ、Ｃ）を生成すると、生成した第２鍵Ａ（Ｂ、Ｃ）を公開鍵Ｏで暗号化（施錠）する（ＳＴ３６）。プロセッサ３１は、第２鍵Ａ（Ｂ、Ｃ）を公開鍵Ｏで暗号化すると、通信部３５により公開鍵Ｏで暗号化した第２鍵Ａ（Ｂ、Ｃ）のデータを送信者Ｏの送信装置１１へ送信する（ＳＴ３７）。公開鍵Ｏで暗号化した第２鍵Ａ、公開鍵Ｏで暗号化した第２鍵Ｂおよび公開鍵Ｏで暗号化した第２鍵Ｃは、それぞれの受信装置１２Ａ、１２Ｂ、１２Ｃが送信装置１１へ送信するものとする。ただし、公開鍵Ｏで暗号化した第２鍵Ａ、公開鍵Ｏで暗号化した第２鍵Ｂおよび公開鍵Ｏで暗号化した第２鍵Ｃは、何れかの受信装置１２Ａ、１２Ｂ、１２Ｃなどがまとめて送信するようにしても良い。

　送信者Ｏの送信装置１１は、通信部３５により各受信者Ａ、Ｂ、Ｃの各受信装置１２Ａ、１２Ｂ、１２Ｃから公開鍵Ｏで暗号化された第２鍵Ａ、Ｂ、Ｃのデータを受信する。送信装置１１のプロセッサ２１は、公開鍵Ｏで暗号された第２鍵Ａ（Ｂ、Ｃ）を受信するごとに、公開鍵Ｏに対応する秘密鍵を用いて公開鍵Ｏで暗号化（施錠）された第２鍵Ａ（Ｂ、Ｃ）のデータを復号化（解錠）する（ＳＴ３８）。これにより、プロセッサ２１は、受信装置１２Ａ（１２Ｂ、１２Ｃ）からのデータを秘密鍵で復号化（解錠）したデータとして第２鍵Ａ（Ｂ、Ｃ）を取得する（ＳＴ３９）。

　プロセッサ２１は、受信者Ａ、Ｂ、Ｃの受信装置１２Ａ、１２Ｂ、１２Ｃの何れかから第２鍵を取得するごとに、ファイルの送信先である全ての受信者Ａ、Ｂ、Ｃからの第２鍵Ａ、Ｂ、Ｃを取得したか否かを判断する（ＳＴ４０）。

　プロセッサ２１は、ファイルの送信先である全ての受信者Ａ、Ｂ、Ｃから第２鍵Ａ、Ｂ、Ｃを取得した場合（ＳＴ４０、ＹＥＳ）、取得した全ての第２鍵Ａ、Ｂ、Ｃで各受信者Ａ、Ｂ、Ｃに送信すべきファイルを暗号化（施錠）する（ＳＴ４１）。ここで、プロセッサ２１は、第１鍵Ａ、第１鍵Ｂ又は第１鍵Ｃの何れかで解錠できるように、第２鍵Ａ、Ｂ、Ｃでファイルを施錠（暗号化）する。

　プロセッサ２１は、第２鍵Ａ、Ｂ、Ｃでファイルを暗号化（施錠）すると、第２鍵Ａ、Ｂ、Ｃで施錠したファイルを添付した電子メールを作成する。ここで、プロセッサ２１は、送信者Ｏの操作によってファイルを添付する電子メールの本文を作成するようにしても良い。さらに、プロセッサ２１は、電子メールに添付する第２鍵Ａ、Ｂ、Ｃで施錠したファイルに、第１動作例で説明したような解錠条件を付加しても良い。

　プロセッサ２１は、第２鍵Ａ、Ｂ、Ｃで施錠したファイルを添付した電子メールを作成すると、作成した電子メールを各受信者Ａ、Ｂ、Ｃ宛の電子メールとして通信部３５によりメールサーバ１３へ送信する（ＳＴ４２）。メールサーバ１３は、ネットワーク１５を介してメールサーバ１４へ受信者Ａ、Ｂ、Ｃ宛の電子メールを送信する。メールサーバ１４は、各受信者Ａ、Ｂ、Ｃ宛に電子メールを送信する。

　各受信装置１２Ａ、１２Ｂ、１２Ｃは、それぞれ通信部２５により第２鍵Ａ、Ｂ、Ｃで施錠されたファイルが添付された各受信者Ａ、Ｂ、Ｃ宛の電子メールを受信する。受信装置１２Ａ（１２Ｂ、１２Ｃ）のプロセッサ３１は、受信した電子メールに添付された第２鍵Ａ、Ｂ、Ｃで施錠されたファイルを記憶部３４に保存する（ＳＴ４３）。ここで、プロセッサ３１は、第２鍵Ａ、Ｂ、Ｃで施錠されたファイルをファイルサーバなどの外部装置に保存するようにしても良い。

　例えば、受信装置１２Ａ（１２Ｂ、１２Ｃ）のプロセッサ３１は、操作部３７を操作する受信者Ａによる保存した第２鍵Ａ、Ｂ、Ｃで施錠されたファイルに対する解錠要求を受け付ける。ここで、プロセッサ３１は、第２鍵Ａ、Ｂ、Ｃで施錠されたファイルに解錠条件が設定されていれば、解錠要求を受けた場合に解錠条件を満たしているか否かによりファイルの解錠を受け付けるか否かを判断するようにしても良い。

　解錠要求に応じてファイルの解錠を実行する場合（ＳＴ４４、ＹＥＳ）、受信装置１２Ａ（１２Ｂ、１２Ｃ）のプロセッサ３１は、インターフェース３６に接続した生体認証装置４０による受信者Ａ（Ｂ、Ｃ）の生体認証を実行する（ＳＴ４５）。プロセッサ３１は、受信者Ａ（Ｂ、Ｃ）に対する生体認証が成功すると、生体認証が成功した受信者Ａ（Ｂ、Ｃ）の第１鍵Ａ（Ｂ、Ｃ）を取得する（ＳＴ４６）。ここで、公開鍵Ｏを受信した場合に実行した受信者Ａ（Ｂ、Ｃ）の生体認証の成功に応じて生成した第２鍵Ａ（Ｂ、Ｃ）と対になる第１鍵Ａ（Ｂ、Ｃ）が受信装置１２Ａ（１２Ｂ、１２Ｃ）の記憶部３４のセキュアな記憶領域に保存されているものとする。この場合、プロセッサ３１は、記憶部３４から当該受信者Ａ（Ｂ、Ｃ）の第１鍵Ａ（Ｂ、Ｃ）を取得する。

　受信装置１２Ａ（１２Ｂ、１２Ｃ）のプロセッサ３１は、第１鍵Ａ（Ｂ、Ｃ）を取得すると、取得した第１鍵Ａ（Ｂ、Ｃ）を用いて第２鍵Ａ、Ｂ、Ｃで施錠されたファイルを解錠する（ＳＴ４７）。受信装置１２Ａ（１２Ｂ、１２Ｃ）のプロセッサ３１は、第１鍵Ａ（Ｂ、Ｃ）を用いてファイルを解錠すると、解錠したファイルを開いて閲覧可能な状態とする（ＳＴ４８）。例えば、プロセッサ３１は、第１鍵Ａ（Ｂ、Ｃ）で開錠したファイルのデータを表示部３８に表示することにより受信者Ａに開示する。

　以上のような第２動作例によれば、送信者Ｏから複数の受信者にファイルを送信する場合であっても、複数の受信者がそれぞれの生体認証で取得する複数の鍵で施錠されたファイルを送信装置から複数の受信装置へ安全に送信でき、各受信装置では鍵で保護された状態のファイルを保存しておくことができる。各受信者は、自身の生体認証によって取得できる鍵を用いて任意のタイミングで保護されたファイルを開くことできる。この結果、複数の受信者が、パスワードなどを紛失でファイルを閲覧できなくなることがなく、閲覧権限のある人（生体認証を成功させることができる人）であれば誰でも任意のタイミングで確実に閲覧可能とすることができる。

　また、第２動作例においても、鍵で保護するファイルに解錠（閲覧）期限などの解錠条件を付加することが可能となる。これにより、複数の受信者にファイルを配信する場合であっても、閲覧権限のある各受信者（生体認証を成功させることができる人）に対して解錠条件によって閲覧を制限することも可能なる。

　次に、本実施形態に係る情報送受信システム１によるファイルの送受信処理の第３動作例について説明する。

　図８は、実施形態に係る情報送受信システム１によるファイルの送受信処理の第３動作例を概略的に説明するための図である。
　図８に示すように、第３動作例では、上述した第２動作例によって送信者Ｏが複数の受信者Ａ、Ｂ、Ｃに第２鍵Ａ、Ｂ、Ｃで施錠したファイルを送信した後、さらに、別の受信者Ｄを当該ファイルの受信者に追加する場合を想定して説明する。ここでは、第２動作例で説明した前提条件に加えて、受信者Ｄの受信装置１２（１２Ｄ）は、受信者Ｄの生体情報が登録され、受信者Ｄに対する生体認証が実行できるようになっているものとする。

　また、第３動作例の説明として、図８に示すように、送信装置１１は、ファイルを送付済みの受信者ＡＢＣの第２鍵Ａ、Ｂ、Ｃを保持し、受信装置１２Ａ（Ｂ、Ｃ）は、送信装置１１が第２鍵Ａ、Ｂ、Ｃで施錠したファイルと第１鍵Ａ（Ｂ、Ｃ）と第２鍵Ａ（Ｂ、Ｃ）とを保持しているものとする。この状態において、受信者Ｄをファイルの受信者として追加する処理を実行する。

　まず、送信装置１１は、送信者Ｏの公開鍵Ｏを受信者Ｄの受信装置１２Ｄに供給する。受信者Ｄの受信装置１２Ｄは、送信者Ｏの公開鍵Ｏを取得すると、受信者Ｄであることを認証するための生体認証を実行する。受信者Ｄの生体認証が成功した受信装置１２Ｄは、受信者Ｄの第１鍵Ｄと第１鍵Ｄと対になる第２鍵Ｄとを生成する。受信装置１２Ｄは、生体した第２鍵Ｄを公開鍵Ｏで暗号化したデータを送信装置１１へ送信する。

　送信装置１１は、受信装置１２Ｄから公開鍵Ｏで暗号化された第２鍵Ｄを取得し、公開鍵Ｏに対応する秘密鍵Ｏを用いて暗号化された第２鍵Ｄを復号化（解錠）することにより第２鍵Ｄを取得する。送信装置１１は、受信者Ｄの第２鍵Ｄを取得すると、新たに取得した受信者Ｄの第２鍵Ｄを加えた４つの第２鍵Ａ、Ｂ、Ｃ、Ｄでファイルを施錠（暗号化）する。ここで、送信装置１１が第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠（暗号化）したファイルは、第１鍵Ｄで解錠できるものとする。

　送信装置１１は、第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠したファイルを受信者Ｄの受信装置１２Ｄへ送信する。受信者Ｄの受信装置１２Ｄは、送信者Ｏから受信した第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルを保存する。受信装置１２Ｄは、送信者Ｏから受信した第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルを保存した後、受信者Ｄの生体認証が成功した場合に受信者Ｄの第１鍵Ｄを用いて第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルを解錠することにより、追加受信者である受信者Ｄも当該ファイルが閲覧可能となる。

　また、送信装置１１は、第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠したファイルを受信者Ａ、Ｂ、Ｃの受信装置１２Ａ、１２Ｂ、１２Ｃにも送信するようにして良い。受信装置１２Ａ、１２Ｂ、１２Ｃは、送信者Ｏから受信した第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルを保存し、受信者Ａ、Ｂ、Ｃの生体認証が成功した場合に受信者Ａ、Ｂ、Ｃの第１鍵Ａ、Ｂ、Ｃを用いて第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルを解錠できる。

　次に、実施形態に係る情報送受信システム１によるファイル送受信処理の第３動作例のける送信装置１１および受信装置１２の動作について説明する。
　図９は、実施形態に係る情報送受信システム１によるファイル送受信処理の第３動作例における送信装置１１と受信装置１２（１２Ａ、１２Ｂ、１２Ｃ）との動作例を説明するためのシーケンスである。
　ここで、図９に示す処理は、図８に示すように、受信装置１２Ａ（Ｂ、Ｃ）が送信装置１１から受信済みの第２鍵Ａ、Ｂ、Ｃで施錠されたファイルを保持しているものとする。この状態において、図９に示す処理が開始されるものとする。

　例えば、送信者Ｏは、送信装置１１の操作部２７により受信者Ｄにセキュリティ設定を施したファイル（保護対象となる電子データ）の送信先に追加することを指示する。送信装置１１のプロセッサ２１は、送信者Ｏによる操作指示に応じて受信者Ｄをファイルの追加送信先（追加受信者）に設定する（ＳＴ５１）。

　プロセッサ２１は、追加送信先として受信者Ｄを設定すると、通信部２５により受信者Ｄに対して送信者Ｏの公開鍵Ｏを送信（開示）し、受信者Ｄの受信装置１２Ｄに生体認証に紐づけて生成する第２鍵Ｄを要求する（ＳＴ５２）。例えば、プロセッサ２１は、第２鍵Ｄの要求と公開鍵Ｏとを受信者Ｄ宛の電子メールで送信するようにしても良い。

　受信者Ｄの受信装置１２Ｄのプロセッサ３１は、送信者Ｏからの第２鍵Ｄの要求を受信すると、インターフェース３６に接続した生体認証装置４０による受信者Ｄの生体認証を実行する（ＳＴ５３）。プロセッサ３１は、受信者Ｄに対する生体認証が成功すると、生体認証が成功した受信者Ｄの第１鍵Ｄを生成する（ＳＴ５４）。プロセッサ３１は、第１鍵Ｄを生成すると、第１鍵Ｄと対になる第２鍵Ｄを生成する（ＳＴ５５）。受信装置１２Ｄが生成する第１鍵Ｄおよび第２鍵Ｄは、第１動作例で説明したものと同様の手順で生成されるもので良い。

　受信装置１２Ｄのプロセッサ３１は、第２鍵Ｄを生成すると、生成した第２鍵Ｄを公開鍵Ｏで暗号化（施錠）する（ＳＴ５６）。プロセッサ３１は、第２鍵Ｄを公開鍵Ｏで暗号化すると、通信部３５により公開鍵Ｏで暗号化した第２鍵Ｄのデータを送信者Ｏの送信装置１１へ送信する（ＳＴ５７）。

　送信者Ｏの送信装置１１は、通信部３５により受信者Ｄの受信装置１２Ｄから公開鍵Ｏで暗号化された第２鍵Ｄのデータを受信する。送信装置１１のプロセッサ２１は、公開鍵Ｏで暗号された第２鍵Ｄを受信すると、公開鍵Ｏに対応する秘密鍵Ｏにより公開鍵Ｏで暗号化（施錠）された第２鍵Ｄのデータを復号化（解錠）する（ＳＴ５８）。これにより、プロセッサ２１は、秘密鍵Ｏで復号化（解錠）したデータとして第２鍵Ｄを取得する（ＳＴ５９）。

　送信装置１１のプロセッサ２１は、追加する受信者である受信者Ｄの受信装置１２Ｄから第２鍵Ｄを取得すると、追加受信者である受信者Ｄを含むファイル（保護対象とする電子データ）の全ての送信先である受信者Ａ、Ｂ、Ｃ、Ｄの第２鍵Ａ、Ｂ、Ｃ、Ｄでファイルを暗号化（施錠）する（ＳＴ６０）。ここで、プロセッサ２１は、第２鍵Ｄに対応する第１鍵Ｄで施錠できるようにファイルを第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠（暗号化）する。

　プロセッサ２１は、第２鍵Ａ、Ｂ、Ｃ、Ｄでファイルを暗号化（施錠）すると、第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠したファイルを添付した電子メールを作成する。ここで、プロセッサ２１は、送信者Ｏが第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠したファイルを添付する電子メールの本文を作成するようにしても良い。また、プロセッサ２１は、電子メールに添付する第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠したファイルに対して、第１動作例で説明したような解錠条件を付加しても良い。プロセッサ２１は、第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠したファイルを添付した電子メールを作成すると、作成した電子メールを受信者Ｄ宛に送信する（ＳＴ６１）。

　追加受信者である受信者Ｄの受信装置１２Ｄは、通信部３５により第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルが添付された電子メールを受信する。受信装置１２Ｄのプロセッサ３１は、受信した電子メールに添付された第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルを記憶部３４に保存する（ＳＴ６２）。

　第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルを保存した後、受信装置１２Ｄのプロセッサ３１は、第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルに対する解錠要求を受け付ける。プロセッサ３１は、第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルに解錠条件が設定されていれば、解錠要求を受けた場合に解錠条件を満たしているか否かによりファイルの解錠を受け付けるか否かを判断する。

　受信装置１２Ｄのプロセッサ３１は、解錠要求に応じてファイルの解錠を実行する場合（ＳＴ６３、ＹＥＳ）、インターフェース３６に接続した生体認証装置４０による受信者Ｄの生体認証を実行する（ＳＴ６４）。プロセッサ３１は、受信者Ｄに対する生体認証が成功すると、生体認証が成功した受信者Ｄの第１鍵Ｄを取得する（ＳＴ６５）。プロセッサ３１は、第１鍵Ｄを用いて第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルを解錠し（ＳＴ６６）、解錠したファイルを開放して閲覧可能な状態とする（ＳＴ６７）。

　また、送信装置１１のプロセッサ２１は、第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠したファイルを添付した電子メールを受信者Ａ、Ｂ、Ｃ宛にも送信するようにしても良い。この場合、受信者Ａ、Ｂ、Ｃの各受信装置１２Ａ、１２Ｂ、１２Ｃは、それぞれ通信部３５により第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルが添付された電子メールを受信する。

　各受信装置１２Ａ、１２Ｂ、１２Ｃのプロセッサ３１は、第２鍵Ａ、Ｂ、Ｃで施錠されたファイルを新たに受信した電子メールに添付されている第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルに更新するようにしても良い。各受信装置１２Ａ、１２Ｂ、１２Ｃのプロセッサ３１は、第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルを保存した場合、受信者Ａ、Ｂ、Ｃの生体認証によって取得する第１鍵Ａ、Ｂ、Ｃを用いて第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルを解錠するようにすれば良い。

　以上のような第３動作例によれば、送信者から既に受信者にファイルが送信された後であっても、既存の受信者以外に当該ファイルを閲覧可能な新たな受信者を追加できる。送信装置は、追加受信者の生体認証で取得する鍵と送信済み受信者の鍵とを含む複数の鍵で施錠されたファイルを送信装置から複数の受信装置へ安全に送信でき、各受信装置では鍵で保護された状態のファイルを保存しておくことができる。

　この結果、追加受信者を含む複数の受信者は、自身の生体認証によって取得できる鍵を用いて任意のタイミングで保護されたファイルを開くことできる。また、追加可能な複数の受信者が、パスワードなどを紛失でファイルを閲覧できなくなることがなく、閲覧権限のある人（生体認証を成功させることができる人）であれば誰でも任意のタイミングで確実に閲覧可能とすることができる。

　次に、本実施形態に係る情報送受信システム１によるファイルの送受信処理の第４動作例について説明する。
　図１０は、実施形態に係る情報送受信システム１によるファイルの送受信処理の第４動作例を概略的に説明するための図である。
　図１０に示すように、第４動作例では、上述した第２動作例によって送信者Ｏが複数の受信者Ａ、Ｂ、Ｃに第２鍵Ａ、Ｂ、Ｃで施錠したファイルを送信した後、当該ファイルを既に受信している受信者Ａが別の受信者Ｄをファイルの受信者に追加する場合を想定して説明する。ここで、受信者Ｄの受信装置１２（１２Ｄ）は、第３動作例で説明した前提条件と同様に、受信者Ｄの生体情報が登録され、受信者Ｄに対する生体認証が実行できるようになっているものとする。

　第４動作例の説明として、図１０に示すように、送信装置１１は、第２鍵Ａ、Ｂ、Ｃで施錠したファイルに対して受信者Ａにファイル受信者の追加を許可する権限（追加特権）を付与することを示す追加特権情報を付加し、追加特権情報を付加したファイルを受信者Ａへ送信するものとする。受信者Ａの受信装置１２Ａは、送信装置１１から受信する追加特権情報が付与されたファイルを保存するものとする。

　この状態において、ファイルを閲覧する追加受信者として受信者Ｄを追加するものとする。追加特権情報によって受信者を追加する権限が与えられた受信者Ａの受信装置１２Ａは、受信者Ａ（追加権限者Ａ）の公開鍵Ａを受信者Ｄの受信装置１２Ｄに供給する。受信者Ｄの受信装置１２Ｄは、受信者（追加権限者）Ａの公開鍵Ａを取得すると、受信者Ｄ自身であることを認証するための生体認証を実行する。受信者Ｄの生体認証が成功した受信装置１２Ｄは、受信者Ｄの第１鍵Ｄと第１鍵Ｄと対になる第２鍵Ｄとを生成する。受信装置１２Ｄは、生成した第２鍵Ｄを公開鍵Ａで暗号化（施錠）したデータを受信装置１２Ａへ送信する。

　受信装置１２Ａは、受信装置１２Ｄから公開鍵Ａで暗号化された第２鍵Ｄを取得し、公開鍵Ａに対応する秘密鍵Ａを用いて暗号化された第２鍵Ｄを復号化（解錠）することにより第２鍵Ｄを取得する。受信装置１２Ａは、受信者Ｄの第２鍵Ｄを取得すると、新たに取得した受信者Ｄの第２鍵Ｄを加えた４つの第２鍵Ａ、Ｂ、Ｃ、Ｄでファイルを施錠（暗号化）する。ここで、受信装置１２Ａが第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠（暗号化）したファイルは、第１鍵Ｄで解錠できるものとする。

　受信装置１２Ａは、第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠したファイルを受信者Ｄの受信装置１２Ｄへ送信する。受信者Ｄの受信装置１２Ｄは、送信者Ｏから受信した第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルを保存する。受信装置１２Ｄは、送信者Ｏから受信した第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルを保存した後、受信者Ｄの生体認証が成功した場合に受信者Ｄの第１鍵Ｄを用いて第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルを解錠することにより当該ファイルが閲覧可能となる。

　また、受信装置１２Ａは、第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠したファイルを保存するとともに、第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠したファイルを受信者Ｂ、Ｃの受信装置１２Ｂ、１２Ｃに送信するようにしても良い。この場合、受信装置１２Ｂ、１２Ｃは、受信者Ａから受信した第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルを保存する。これにより、第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルを保存した受信装置１２Ａ、１２Ｂ、１２Ｃは、受信者Ａ、Ｂ、Ｃの生体認証が成功した場合に第１鍵Ａ、Ｂ、Ｃで第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルが解錠できるようになる。

　次に、実施形態に係る情報送受信システム１によるファイル送受信処理の第４動作例のける送信装置１１および各受信装置１２の動作について説明する。
　図１１は、実施形態に係る情報送受信システム１によるファイル送受信処理の第４動作例における送信装置１１と受信装置１２（１２Ａ、１２Ｄ）との動作例を説明するためのシーケンスである。

　まず、送信装置１１のプロセッサ２１は、第２鍵Ａ、Ｂ、Ｃで施錠したファイルに対して、受信者Ａにファイル受信者の追加を許可する権限を付与することを示す追加特権情報（以下、追加特権Ａと称する）を設定する（ＳＴ７１）。例えば、プロセッサ２１は、第２鍵Ａ、Ｂ、Ｃで施錠したファイルに対する属性情報として追加特権Ａを付加するようにしても良い。

　送信装置１１のプロセッサ２１は、追加特権Ａを付加した第２鍵Ａ、Ｂ、Ｃで施錠したファイルを受信者Ａ宛に送信する（ＳＴ７２）。例えば、プロセッサ２１は、図７におけるＳＴ４２の処理として各受信者Ａ、Ｂ、Ｃへ第２鍵Ａ、Ｂ、Ｃで施錠したファイルを電子メールに添付して送信する前に第２鍵Ａ、Ｂ、Ｃで施錠したファイルに追加特権Ａを付加する。また、送信装置１１のプロセッサ２１は、図７に示す処理とは別の処理として、追加特権Ａを付加した第２鍵Ａ、Ｂ、Ｃで施錠したファイルを受信者Ａに送信するようにしても良い。

　受信者Ａの受信装置１２Ａは、送信装置１１から追加特権Ａが付加された第２鍵Ａ、Ｂ、Ｃで施錠したファイルを受信する。受信装置１２Ａのプロセッサ３１は、送信装置１１から受信した追加特権Ａ付きの第２鍵Ａ、Ｂ、Ｃで施錠したファイルを記憶部３４などに保存する（ＳＴ８１）。

　この状態において、ファイルの受信者（ファイルの閲覧が許可される者）を追加する権限を与えられた受信者Ａが追加受信者として受信者Ｄを追加するものとする。例えば、受信者Ａは、受信装置１２Ａの操作部３７により受信者Ｄにファイル（保護対象となる電子データ）の送信先（受信者）に追加することを指示する。受信装置１２Ａのプロセッサ３１は、受信者Ａによる操作指示に応じて受信者Ｄをファイルの追加送信先に設定する（ＳＴ８２）。

　プロセッサ３１は、ファイルの追加受信者として受信者Ｄを設定すると、通信部３５により受信者Ｄに対して受信者Ａの公開鍵Ａを送信（開示）し、受信装置１２Ｄが受信者Ｄの生体認証に紐づけて生成する第２鍵Ｄを要求する（ＳＴ８３）。例えば、受信装置１２Ａのプロセッサ３１は、第２鍵Ｄの要求と公開鍵Ａとを受信者Ｄ宛の電子メールで送信するようにしても良い。

　受信者Ｄの受信装置１２Ｄのプロセッサ３１は、受信者（追加権限者）Ａからの第２鍵Ｄの要求を受信すると、インターフェース３６に接続した生体認証装置４０による受信者Ｄの生体認証を実行する（ＳＴ８４）。受信装置１２Ｄのプロセッサ３１は、受信者Ｄに対する生体認証が成功すると、生体認証が成功した受信者Ｄの第１鍵Ｄを生成する（ＳＴ８５）。受信装置１２Ｄのプロセッサ３１は、第１鍵Ｄを生成すると、第１鍵Ｄと対になる第２鍵Ｄを生成する（ＳＴ８６）。受信装置１２Ｄが生成する第１鍵Ｄおよび第２鍵Ｄは、第１動作例で説明したものと同様のものであっても良い。

　受信装置１２Ｄのプロセッサ３１は、第２鍵Ｄを生成すると、生成した第２鍵Ｄを公開鍵Ａで暗号化（施錠）する（ＳＴ８７）。受信装置１２Ｄのプロセッサ３１は、第２鍵Ｄを公開鍵Ａで暗号化すると、通信部３５により公開鍵Ａで暗号化した第２鍵Ｄのデータを受信者Ａの受信装置１２Ａへ送信する（ＳＴ８８）。

　受信者Ａの受信装置１２Ａは、通信部３５により受信者Ｄの受信装置１２Ｄから公開鍵Ａで暗号化された第２鍵Ｄのデータを受信する。受信装置１２Ａのプロセッサ３１は、公開鍵Ａで暗号された第２鍵Ｄを受信すると、公開鍵Ａに対応する秘密鍵Ａにより公開鍵Ａで暗号化（施錠）された第２鍵Ｄのデータを復号化（解錠）する（ＳＴ８９）。これにより、受信装置１２Ａのプロセッサ３１は、秘密鍵Ａで復号化（解錠）したデータとして第２鍵Ｄを取得する（ＳＴ９０）。

　受信装置１２Ａのプロセッサ３１は、追加する受信者である受信者Ｄの受信装置１２Ｄから第２鍵Ｄを取得すると、第２鍵Ａ、Ｂ、Ｃで施錠されているファイルに追加受信者である受信者Ｄの第２鍵Ｄを追加する（ＳＴ９１）。ここで、受信装置１２Ａのプロセッサ３１は、第２鍵Ｄに対応する第１鍵Ｄでファイルを解錠できるように第２鍵Ｄを用いてファイルを施錠（暗号化）する。

　受信装置１２Ａのプロセッサ３１は、第２鍵Ａ、Ｂ、Ｃ、Ｄでファイルを暗号化（施錠）すると、第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠したファイルを添付した電子メールを作成する。ここで、受信装置１２Ａのプロセッサ３１は、受信者Ｄ宛の電子メールの本文を作成するようにしても良い。受信装置１２Ａのプロセッサ３１は、第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠したファイルを添付した電子メールを受信者Ｄ宛として通信部３５により送信する（ＳＴ９２）。

　追加受信者である受信者Ｄの受信装置１２Ｄは、通信部３５により第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルが添付された電子メールを受信する。受信装置１２Ｄのプロセッサ３１は、受信した電子メールに添付された第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルを記憶部３４に保存する（ＳＴ９３）。

　受信装置１２Ｄのプロセッサ３１は、第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルを保存した後、第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルに対する解錠要求を受け付ける。受信装置１２Ｄのプロセッサ３１は、第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルに解錠条件が設定されていれば、解錠要求を受けた場合に解錠条件を満たしているか否かによりファイルの解錠を受け付けるか否かを判断する。

　解錠要求に応じてファイルの解錠を実行する場合（ＳＴ９４、ＹＥＳ）、受信装置１２Ｄのプロセッサ３１は、インターフェース３６に接続した生体認証装置４０による受信者Ｄの生体認証を実行する（ＳＴ９５）。プロセッサ３１は、受信者Ｄに対する生体認証が成功すると、生体認証が成功した受信者Ｄの第１鍵Ｄを取得する（ＳＴ９６）。プロセッサ３１は、第１鍵Ｄを用いて第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルを解錠し（ＳＴ９７）、解錠したファイルを開放して閲覧可能な状態とする（ＳＴ９８）。

　また、受信装置１２Ａのプロセッサ３１は、第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠したファイルを添付した電子メールを受信者Ｂ、Ｃ宛にも送信するようにしても良い。この場合、受信者Ｂ、Ｃの各受信装置１２Ｂ、１２Ｃは、それぞれ第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルが添付された電子メールを受信し、第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルを保存する。

　各受信装置１２Ｂ、１２Ｃのプロセッサ３１は、第２鍵Ａ、Ｂ、Ｃで施錠されたファイルを新たに受信した電子メールに添付されている第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルに更新するようにしても良い。各受信装置１２Ｂ、１２Ｃのプロセッサ３１は、第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルを保存した場合、受信者Ｂ、Ｃの生体認証によって取得する第１鍵Ｂ、Ｃを用いて第２鍵Ａ、Ｂ、Ｃ、Ｄで施錠されたファイルを解錠するようにすれば良い。

　以上のような第４動作例によれば、送信者から既に受信者にファイルが送信された後であっても、受信者を追加する権限が与えられた追加権限者が既存の受信者以外に当該ファイルを閲覧可能な新たな受信者を追加できる。追加権限者の受信装置は、追加受信者の生体認証で取得する鍵と送信済み受信者の鍵とを含む複数の鍵で施錠したファイルを追加受信者の受信装置へ安全に送信でき、受信装置では各受信者の鍵で保護されたファイルを保存しておくことができる。

　この結果、追加受信者を含む各受信者は、自身の生体認証によって取得できる鍵を用いて任意のタイミングで保護されたファイルを開くことできる。また、追加可能な複数の受信者が、パスワードなどを紛失でファイルを閲覧できなくなることがなく、閲覧権限のある人（生体認証を成功させることができる人）であれば誰でも任意のタイミングで確実に閲覧可能とすることができる。

　次に、本実施形態に係る情報送受信システム１によるファイルの送受信処理の第５動作例について説明する。
　図１２は、実施形態に係る情報送受信システム１によるファイルの送受信処理の第５動作例を概略的に説明するための図である。
　第５動作例では、ファイルの改ざん防止を実施する。第５動作例で説明するファイルの改ざん防止は、上述した第１、第２、第３および第４動作例に適用可能である。ここでは、第５動作例として、上述した第１動作例に改ざん防止を適用する場合の動作例について説明するものとする。第５動作例では、ファイルの送信者が作成する電子証明書（以下、証明書とも称する）によって受信者へ送信されるファイルの正当性を確認する。

　第５動作例に係る情報送受信システム１では、送信装置１１が送信者Ｏであることを確認するための生体認証を実行する機能を備えるものとする。例えば、送信装置１１は、生体認証部を備えるものとしても良いし、生体認証を実行する生体認証装置を接続するインターフェースを備えるものとする。ここでは、送信装置１１が生体認証部を備えることを想定して説明するものとする。

　図１２に示す例において、第５動作例では、上述した図４に示すうような第１動作例に加えて、送信者の送信装置１１が生体認証を伴う証明書の作成を実行し、受信者の受信装置１２が受信したファイルの添付される証明書の確認を実行する。また、図１２に示す例において、送信装置１１は、送信者Ｏの生体情報が登録され、送信者Ｏに対する生体認証が実行できるようになっているものとする。受信装置１２Ａは、受信者Ａの公開鍵（公開鍵Ａ）と秘密鍵とを保持しているものとする。

　送信装置１１は、受信者Ａが確認可能な証明書を作成する場合、受信者Ａの公開鍵Ａを受信者Ａの受信装置１２Ａから取得する。送信装置１１は、受信者Ａの公開鍵Ａを取得すると、操作者が送信者Ｏであることを認証するための生体認証を実行する。生体認証が成功すると（送信者Ｏであることが確認すると）、送信装置１１は、送信者Ｏの第１鍵Ｏと第１鍵Ｏに対応する第２鍵Ｏとを生成する。送信装置１１は、第１鍵Ｏに対応する第２鍵Ｏを生成すると、第２鍵Ｏを公開鍵Ａで暗号化したデータを受信装置１２Ａへ送信する。

　受信装置１２Ａは、送信装置１１から公開鍵Ａで暗号化（施錠）された第２鍵Ｏを受信する。受信装置１２Ａは、公開鍵Ａに対応する秘密鍵を用いて送信装置１１から受信した暗号化された第２鍵Ａを復号化（解錠）することにより第２鍵Ｏを取得し、取得した第２鍵を保持する。

　また、送信装置１１は、送信者Ｏの生体認証に伴って第１鍵Ｏを生成すると、第１鍵Ｏを用いて証明書を作成する。例えば、送信装置１１は、受信者Ａへ送信するファイルのハッシュ値を算出し、算出したハッシュ値を第１鍵Ｏで暗号化する。ファイルのハッシュ値を第１鍵Ｏで暗号化する証明書は、送信者Ｏの第１鍵と対になる第２鍵Ｏで確認可能なデータとなる。送信装置１１は、第２鍵Ｏでチェック可能な証明書を作成すると、受信者Ａへ送信する証明書付きのファイルを作成する。

　また、送信装置１１は、上述した第１動作例と同様な流れの処理によって、受信者Ａの第２鍵Ａを取得する。送信装置１１は、第２鍵Ａを取得すると、受信者Ａの第２鍵Ａを用いて証明書付きのファイルを施錠（暗号化）し、施錠したファイルを受信者Ａの受信装置１２Ａへ送信する。

　受信装置１２は、送信者Ｏから第２鍵Ａで施錠された証明書付きのファイルを受信して保存する。受信者Ａは、第２鍵Ａで施錠されたファイルを閲覧する場合、受信装置１２で生体認証を実行する。受信装置１２は、生体認証により受信者Ａであることが確認されると、受信者Ａの第１鍵Ａを用いて第２鍵Ａで施錠されたファイルを解錠する。

　受信装置１２Ａは、第２鍵Ａでファイルを解錠すると、さらに、ファイルに添付されている証明書を送信者Ｏから取得した第２鍵Ｏを用いてチェックする。例えば、受信装置１２Ａは、第２鍵Ａで解錠したファイルのハッシュ値を算出するとともに、上述した手続きで送信装置１１から取得した送信者Ｏの第１鍵Ｏで証明書を復号化する。

　受信装置１２Ａは、ファイルから算出したハッシュ値と第１鍵で復号化した証明書のデータとが一致するか否かを判定する。例えば、受信装置１２Ａは、ファイルのハッシュ値と証明書のデータとが一致する場合、ファイルが改ざんのない正当なデータであると判定して、当該ファイルを閲覧可能とする。また、受信装置１２Ａは、ファイルのハッシュ値と証明書のデータとが一致しない場合、改ざんの疑いがあるため、当該ファイルの閲覧を不可とする。

　次に、実施形態に係る情報送受信システム１によるファイル送受信処理の第５動作例における送信装置１１および受信装置１２の動作について説明する。

　図１３および図１４は、実施形態に係る情報送受信システム１によるファイル送受信処理の第５動作例における送信装置１１と受信装置１２との動作例を説明するためのシーケンスである。
　送信者Ｏは、送信装置１１の操作部２７により証明書付きでファイル（保護対象となる電子データ）の受信者Ａへ送信することを指示する。送信装置１１のプロセッサ２１は、送信者Ｏによる操作指示に応じて送信先（受信者）および送信するファイルなどを設定する（ＳＴ１１０）。

　送信装置１１のプロセッサ２１は、送信先として受信者Ａを設定すると、受信者Ａの公開鍵Ｏを取得する（ＳＴ１１１）。送信装置１１のプロセッサ２１は、受信者Ａの公開鍵を取得すると、生体認証部による送信者Ｏの生体認証を実行する（ＳＴ１１２）。プロセッサ２１は、送信者Ｏの生体認証が成功すると、生体認証が成功した送信者Ｏの第１鍵Ｏを生成する（ＳＴ１１３）。プロセッサ２１は、第１鍵Ｏを生成すると、第１鍵Ｏと対になる第２鍵Ｏを生成する（ＳＴ１１４）。すなわち、プロセッサ２１は、送信者Ｏに対する生体認証の成功に応じて送信者Ｏ用の鍵のペアを生成する。送信装置１１のプロセッサ２１による第１鍵Ｏおよび第２鍵Ｏを生成する処理は、第１動作例として説明した受信装置１２による第１鍵Ａおよび第２鍵Ａを生成する処理と同様な処理によって実現可能である。

　送信装置１１のプロセッサ２１は、第２鍵Ｏを生成すると、生成した第２鍵Ｏを公開鍵Ａで暗号化（施錠）する（ＳＴ１１５）。プロセッサ２１は、第２鍵Ｏを公開鍵Ａで暗号化すると、通信部３５により公開鍵Ａで暗号化した第２鍵Ｏのデータを受信者Ａの受信装置１２Ａへ送信する（ＳＴ１６）。

　受信者Ａの受信装置１２Ａは、通信部３５により送信装置１１が公開鍵Ａで暗号化した第２鍵Ｏのデータを受信する。受信装置１２Ａのプロセッサ２１は、公開鍵Ａで暗号された第２鍵Ｏを受信すると、公開鍵Ａに対応する秘密鍵により公開鍵Ａで暗号化（施錠）された第２鍵Ｏを復号化（解錠）する（ＳＴ１１７）。これにより、受信装置１２Ａのプロセッサ３１は、第２鍵Ａを取得し（ＳＴ１１８）、取得した第２鍵Ａを保持する。

　また、送信装置１１のプロセッサ２１は、第１鍵Ｏを生成した後、第１鍵Ｏを用いて受信者Ａへ送信するファイルに対する証明書を作成する（ＳＴ１２０）。プロセッサ２１は、受信者Ａへ送信するファイルのハッシュ値を算出し（ＳＴ１２０ａ）、算出したハッシュ値を第１鍵Ｏで暗号化する（ＳＴ１２０ｂ）。プロセッサ２１は、ファイルのハッシュ値を第１鍵Ｏで暗号化したデータをファイルの送信者（所有者）が送信者Ｏであることを証明書とする。

　また、送信装置１１のプロセッサ２１は、受信者Ａへ送信するファイルを施錠するために、上述した第１動作例と同様な流れで受信者Ａの第２鍵を取得する処理を実行する。すなわち、送信装置１１のプロセッサ２１は、受信者Ａに対して送信者Ｏの公開鍵Ｏを送信（開示）し（ＳＴ１２１）、受信者Ａの第２鍵を要求する。

　受信者Ａの受信装置１２Ａのプロセッサ３１は、送信者Ｏからの第２鍵Ａの要求を受信すると、インターフェース３６に接続した生体認証装置４０による受信者Ａの生体認証を実行する（ＳＴ１２２）。受信装置１２Ａのプロセッサ３１は、受信者Ａに対する生体認証が成功すると、生体認証が成功した受信者Ａの第１鍵Ａを生成する（ＳＴ１２３）。プロセッサ３１は、第１鍵Ａを生成すると、第１鍵Ａと対になる第２鍵Ａを生成する（ＳＴ１２４）。プロセッサ３１は、生成した第２鍵Ａを公開鍵Ｏで暗号化（施錠）し（ＳＴ１２５）、公開鍵Ｏで暗号化した第２鍵Ａのデータを送信者Ｏの送信装置１１へ送信する（ＳＴ１２６）。

　送信者Ｏの送信装置１１のプロセッサ２１は、受信装置１２Ａから公開鍵Ｏで暗号された第２鍵Ａを受信すると、公開鍵Ｏに対応する秘密鍵により公開鍵Ｏで暗号化（施錠）された第２鍵Ａのデータを復号化（解錠）し（ＳＴ１２８）、秘密鍵で復号化（解錠）したデータとして第２鍵Ａを取得する（ＳＴ１２９）。

　送信装置１１のプロセッサ２１は、第２鍵Ａを取得すると、第２鍵Ａを用いて受信者Ａに送信するファイルと証明書とを暗号化（施錠）する（ＳＴ１３０）。送信装置１１のプロセッサ２１は、第２鍵Ａで施錠した証明書付きのファイルを添付した電子メールを作成する。ここで、プロセッサ２１は、電子メールに添付する第２鍵Ａで施錠したファイルには解錠条件を付加しても良い。

　送信装置１１のプロセッサ２１は、第２鍵Ａで施錠した証明書付きのファイルを添付した電子メールを受信者Ａへ送信する（ＳＴ１３１）。これにより、受信者Ａの受信装置１２Ａは、通信部３５により第２鍵Ａで施錠されたファイルが添付された受信者Ａ宛の電子メールを受信する。受信装置１２Ａのプロセッサ３１は、受信した電子メールに添付された第２鍵Ａが施錠された証明書付きのファイルを記憶部３４に保存する（ＳＴ１３２）。プロセッサ３１は、第２鍵Ａで施錠されたファイルを添付された電子メールとともに保存しても良いし、第２鍵Ａで施錠されたファイルを保存しても良い。また、プロセッサ３１は、第２鍵Ａで施錠されたファイルをファイルサーバなどの外部装置に保存するようにしても良い。

　送信装置１１のプロセッサ３１は、受信者Ａからの解錠要求に応じてファイルの解錠を実行する場合（ＳＴ１３３、ＹＥＳ）、インターフェース３６に接続した生体認証装置４０による受信者Ａの生体認証を実行する（ＳＴ１３４）。プロセッサ３１は、受信者Ａに対する生体認証が成功すると、生体認証が成功した受信者Ａの第１鍵Ａを取得する（ＳＴ２５）。プロセッサ３１は、第１鍵Ａを取得すると、取得した第１鍵Ａを用いて第２鍵Ａで施錠された証明書付きのファイルを解錠する（ＳＴ１３６）。

　受信装置１２Ａのプロセッサ３１は、第２鍵Ａで施錠された証明書付きのファイルを解錠すると、解錠したファイルの付いていた証明書のチェックを実行する（ＳＴ１３６）。受信装置１２Ａのプロセッサ３１は、証明書のチェックとして、第２鍵Ａで解錠したファイルのハッシュ値を算出する（ＳＴ１３７ａ）。プロセッサ３１は、ファイルのハッシュ値を算出すると、ＳＴ１１８で取得した送信者Ｏの第１鍵Ｏで証明書としてのデータを復号化する（ＳＴ１３７ｂ）。プロセッサ３１は、ファイルから算出したハッシュ値と第１鍵Ｏで復号化した証明書のデータとを照合することにより証明書の正当性をチェックする（ＳＴ１３７ｃ）。受信装置１２Ａのプロセッサ３１は、ファイルのハッシュ値と第１鍵Ｏで復号化した証明書とが一致した場合、第２鍵Ａで解錠したファイルが正常であるものとする。

　受信装置１２Ａのプロセッサ３１は、ファイルのハッシュ値と第１鍵Ｏで復号化した証明書とが一致した場合、つまり、証明書によってファイルの正当性が確認された場合、解錠したファイルを閲覧可能とする（ＳＴ１３８）。また、受信装置１２Ａのプロセッサ３１は、ファイルのハッシュ値と第１鍵Ｏで復号化した証明書のデータとが一致しない場合、当該ファイルに改ざんの疑いがあるため、当該ファイルの閲覧を不可とする。

　なお、上述した第５動作例は、図１３および図１４に示す手順で実施されるものに限定されない。例えば、ＳＴ１１１－ＳＴ１１３、ＳＴ１２０の処理は、ＳＴ１３０の前であればどの手順で実行しても良い。また、ＳＴ１１５－ＳＴ１１８の処理は、ＳＴ１３７の前であればどの手順で実行しても良い。

　また、図１３および図１４を参照して説明した上述の動作例では、第５動作例を第１動作例に組み合わせて実施した場合について説明したが、第５動作例は、第１動作例だけでなく、第２、第３又は第４動作例とを組み合わせて実施するようにしても良い。

　以上のような第５動作例によれば、実施形態に係る情報送受信システムは、受信者の生体認証で取得できる鍵で施錠されたファイル（電子データ）に証明書を付けて送受信できる。これにより、受信者は、鍵で保護され、証明書で改ざんがないことを確認できる状態のファイルを保存しておくことができる。この結果、受信者は、生体認証によって取得できる鍵によって任意のタイミングで保護されたファイルを取得でき、取得したファイルに改ざんがないことも確認できる。

　すなわち、第５動作例によれば、実施形態に係る情報送受信システムは、パスワードなどを紛失でファイルが閲覧不可能となることがなく、閲覧権限のある人（生体認証を成功させることができる人）が任意のタイミングで改ざんがないことが確認されたファイルを閲覧することができる。

　本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。

Claims

　送信装置と受信装置とを有する情報送受信システムであって、
　前記受信装置は、
　前記送信装置と通信する第１の通信部と、
　受信者の生体認証を行う生体認証装置に接続するインターフェースと、
　前記生体認証装置によって生体認証が成功した受信者の第１鍵と前記第１鍵に対応する第２鍵とを記憶する記憶部と、
　前記送信装置が前記受信者の第２鍵で施錠した電子データを保存し、前記生体認証装置によって生体認証が成功した受信者の第１鍵を用いて前記受信者の第２鍵で施錠された電子データを解錠する第１のプロセッサと、を有し、
　前記送信装置は、
　前記受信装置と通信する第２の通信部と、
　前記受信者の第２鍵で施錠した電子データを前記受信装置へ送信する第２のプロセッサと、を有する、
　情報送受信システム。
　前記受信装置において、
　前記第１のプロセッサは、前記電子データを送信する送信者の公開鍵で施錠した前記受信者の第２鍵を前記送信装置へ送信し、
　前記送信装置において、
　前記第２のプロセッサは、前記受信装置が前記送信者の公開鍵で施錠した受信者の第２鍵を解錠する、
　請求項１に記載の情報送受信システム。
　前記受信装置は、複数であり、
　各受信装置において、
　前記インターフェースは、それぞれが受信者の生体認証を行う生体認証装置に接続し、　前記記憶部は、それぞれが前記インターフェースに接続する前記生体認証装置によって生体認証が成功した受信者の第１鍵と前記第１鍵に対応する第２鍵とを記憶し、
　前記第２のプロセッサは、前記送信装置が前記電子データの解錠を許可する複数の受信者の第２鍵で施錠した前記電子データを前記生体認証装置による生体認証が成功した受信者の第１鍵を用いて解錠し、
　前記送信装置において、
　前記第２の通信部は、前記複数の受信装置と通信し、
　前記第２のプロセッサは、前記電子データの解錠を許可する複数の受信者の第２鍵で施錠した前記電子データを前記複数の受信者へ送信する、
　請求項１に記載の情報送受信システム。
　各受信装置において、
　前記第１のプロセッサは、前記電子データを送信する送信者の公開鍵で施錠した前記受信者の第２鍵を前記送信装置へ送信し、
　前記送信装置において、
　前記第２のプロセッサは、前記電子データの送信先とする各受信者の受信装置が前記送信者の公開鍵で施錠した各受信者の第２鍵を解錠する、
　請求項３に記載の情報送受信システム。
　前記送信装置において、
　前記第２のプロセッサは、前記電子データの解錠を許可した受信者の第２鍵で施錠した電子データを送信した後、前記電子データの解錠を許可する受信者を追加する場合、さらに追加する受信者の第２鍵で施錠した電子データを前記追加する受信者へ送信する、
　請求項３に記載の情報送受信システム。
　前記複数の受信装置のうち前記電子データの解錠を許可する受信者を追加する権限が与えられた追加権限者の受信装置において、
　前記第１のプロセッサは、さらに前記追加権限者が前記電子データの解錠を許可する追加受信者の第２鍵で施錠した電子データを前記追加受信者へ送信する、
　請求項３に記載の情報送受信システム。
　前記追加受信者の受信装置における前記第１のプロセッサは、前記追加権限者の公開鍵で施錠した前記追加受信者の第２鍵を前記追加権限者の受信装置へ送信し、
　前記追加権限者の受信装置における前記第１のプロセッサは、前記追加受信者の受信装置によって前記追加権限者の公開鍵で施錠された前記追加受信者の第２鍵を解錠する、
　請求項６に記載の情報送受信システム。
　前記送信装置において、
　前記第２のプロセッサは、前記電子データを閲覧可能とする解錠条件を設定し、前記受信者の第２鍵で施錠した前記解錠条件付きの電子データを前記受信装置へ送信する、
　前記受信装置において、
　前記第１のプロセッサは、前記送信装置が前記受信者の第２鍵で施錠した解錠条件付きの電子データを保存し、前記生体認証装置によって生体認証が成功した場合に前記解錠条件を満たす場合には前記受信者の第１鍵を用いて前記第２鍵で施錠された前記電子データを解錠し、
　請求項１乃至７の何れか１項に記載の情報送受信システム。
　前記送信装置において、
　前記第２のプロセッサは、前記受信装置が前記電子データの正当性を示す電子証明書を作成し、前記受信者の第２鍵で施錠した電子データに前記電子証明書を添えて前記受信装置へ送信し、
　前記受信装置において、
　前記第１のプロセッサは、前記生体認証装置によって生体認証が成功した受信者の第１鍵を用いて施錠した電子メールに添付された前記電子証明書を用いて前記電子データの正当性が確認された場合に前記電子データを閲覧可能とする、
　請求項１乃至８の何れか１項に記載の情報送受信システム。
　前記送信装置において、
　さらに、送信者の生体認証を行う生体認証装置に接続する第２のインターフェースを有し、
　前記第２のプロセッサは、前記第２のインターフェースに接続する生体認証装置による生体認証が成功した場合に前記電子データの正当性を示す電子証明書を作成する、
　請求項９に記載の情報送受信システム。
　前記送信装置において、
　前記第２のプロセッサは、前記第２のインターフェースに接続する生体認証装置による生体認証が成功した送信者の第１鍵と前記第１鍵に対応する第２鍵とを生成し、前記電子データのハッシュ値を前記送信者の第１鍵で暗号化した電子証明書を作成し、
　前記受信装置において、
　前記第１のプロセッサは、前記受信者の第２鍵で解錠した電子データのハッシュ値と前記電子証明書を前記送信者の第２鍵で復号化した結果とが一致する場合に前記電子データを閲覧可能とする、
　請求項１０に記載の情報送受信システム。
　前記送信装置において、
　前記第２のプロセッサは、前記受信者の公開鍵で施錠した前記送信者の第２鍵を前記受信装置へ送信し、
　前記受信装置において、
　前記第１のプロセッサは、前記送信装置が前記受信者の公開鍵で施錠した送信者の第２鍵を解錠する、
　請求項１１に記載の情報送受信システム。