WO2023195247A1

WO2023195247A1 - センサ装置、制御方法、情報処理装置、情報処理システム

Info

Publication number: WO2023195247A1
Application number: PCT/JP2023/005753
Authority: WO
Inventors: 宗毅海老原; 智一日比野; 良仁浴; 浩之奥村
Original assignee: ソニーセミコンダクタソリューションズ株式会社
Priority date: 2022-04-06
Filing date: 2023-02-17
Publication date: 2023-10-12

Abstract

ＡＩ機能を有する撮像装置についてＡＩモデルをサブスクリプション的に使用させるにあたり、不正行為等によりＡＩモデルが不正使用されてしまうことの防止を図る。　本技術に係るセンサ装置は、被写体を撮像する撮像部と、撮像部による撮像画像を対象としてＡＩモデルを用いた処理であるＡＩ処理を行うＡＩ処理部と、ＡＩモデルに関する使用上限条件を示すライセンスデータを外部装置から受信し、使用上限条件を満たすようにＡＩ処理部によるＡＩ処理の実行制御を行う制御部とを備えている。

Description

センサ装置、制御方法、情報処理装置、情報処理システム

　本技術は、被写体を撮像することにより得られた撮像画像についてＡＩ（Artificial Intelligence）モデルを用いた処理であるＡＩ処理を行う機能を有したセンサ装置と、そのようなセンサ装置における制御方法と、センサ装置に係る処理を行う情報処理装置と、センサ装置と情報処理装置とを備えた情報処理システムとに関する。

　撮像画像についてＡＩ（Artificial Intelligence：人工知能）モデルを用いた処理であるＡＩ処理を行う撮像装置（以下「ＡＩカメラ」と表記する）を用いたソリューションビジネスが考えられる。例えば、ＡＩカメラを店舗内に１又は複数台配置し、例えば画像認識処理により顧客の属性（例えば性別、年齢層等）や行動パターンについての認識結果を得、この認識結果をインターネット等を介してユーザに提示するといったシステムを提供するビジネス等が考えられる。
　ＡＩカメラ側でＡＩ処理を行うことから、サーバ装置側が各カメラから取得した撮像画像に基づきＡＩ処理を行うシステムと比較して、処理分散が図られると共に、通信データ量の低減を図ることができる。

　なお、関連する従来技術については下記特許文献１を挙げることができる。下記特許文献１には、サーバ装置からＡＩカメラに対してＡＩモデルを配信する技術が開示されている。

国際公開第２０２０／１００９２２号

　ここで、上記のようなＡＩカメラを用いたソリューションビジネスにおいては、ＡＩモデルを、例えばオンラインレンタルビデオサービス等のように、サブスクリプション的に使用させることが考えられる。例えば、１ヶ月等の使用期間を定めた契約により、ＡＩカメラにおけるＡＩモデルの使用を許可するといったものである。

　このようにＡＩモデルをサブスクリプション的に使用させるサービスを考えた場合、不正行為により、例えば契約者以外の者がＡＩモデルを使用できてしまったり、契約者が使用期間後もＡＩモデルを使用できてしまったりする等、不正使用が行われることがないように図られるべきである。

　本技術は上記事情に鑑み為されたものであり、ＡＩ機能を有する撮像装置についてＡＩモデルをサブスクリプション的に使用させるにあたり、不正行為等によりＡＩモデルが不正使用されてしまうことの防止を図ることを目的とする。

　本技術に係るセンサ装置は、被写体を撮像する撮像部と、前記撮像部による撮像画像を対象としてＡＩモデルを用いた処理であるＡＩ処理を行うＡＩ処理部と、前記ＡＩモデルに関する使用上限条件を示すライセンスデータを外部装置から受信し、前記使用上限条件を満たすように前記ＡＩ処理部によるＡＩ処理の実行制御を行う制御部と、を備えるものである。
　上記構成によれば、ＡＩ処理部は撮像部を有するセンサ装置内に設けられる。そして、上記構成によれば、ＡＩ機能を有する撮像装置についてＡＩモデルをサブスクリプション的に使用させようとした場合に、例えば使用期限等の使用上限条件を満たすためのＡＩ処理の実行制御がセンサ装置内で行われる。このように使用上限条件を満たすためのＡＩ処理の実行制御がセンサ装置内で行われることで、センサ装置と撮像装置内におけるセンサ装置外部のプロセッサとの間の通信路が攻撃されたとしても使用上限条件が不正に操作され難くなるようにすることが可能となる。

　また、本技術に係る制御方法は、被写体を撮像する撮像部と、前記撮像部による撮像画像を対象としてＡＩモデルを用いた処理であるＡＩ処理を行うＡＩ処理部とを備えたセンサ装置における制御方法であって、前記ＡＩモデルに関する使用上限条件を示すライセンスデータを外部装置から受信し、前記使用上限条件を満たすように前記ＡＩ処理部によるＡＩ処理の実行制御を行う制御方法である。
　このような制御方法によっても、上記した本技術に係るセンサ装置と同様の作用が得られる。

　本技術に係る情報処理装置は、被写体を撮像する撮像部と、前記撮像部による撮像画像を対象としてＡＩモデルを用いた処理であるＡＩ処理を行うＡＩ処理部と、前記ＡＩモデルに関する使用上限条件を示すライセンスデータに基づき、前記使用上限条件を満たすように前記ＡＩ処理部によるＡＩ処理の実行制御を行う制御部と、を備えるセンサ装置に対し、前記ライセンスデータを送信する送信部を備えたものである。
　このような情報処理装置により、センサ装置におけるＡＩモデル使用条件を定めることができる。

　本技術に係る情報処理システムは、被写体を撮像する撮像部と、前記撮像部による撮像画像を対象としてＡＩモデルを用いた処理であるＡＩ処理を行うＡＩ処理部と、前記ＡＩモデルに関する使用上限条件を示すライセンスデータに基づき、前記使用上限条件を満たすように前記ＡＩ処理部によるＡＩ処理の実行制御を行う制御部と、を有するセンサ装置と、前記センサ装置に対し、前記ライセンスデータを送信する送信部を有する情報処理装置と、を備えたものである。
　このような情報処理システムにより、ＡＩ機能を有する撮像装置においてＡＩモデルが不正使用されてしまうことの防止を図ることが可能となる。

実施形態としての情報処理システムの概要構成例を示したブロック図である。実施形態としての情報処理システムが備える情報処理装置のハードウェア構成例を示したブロック図である。実施形態としてのセンサ装置を備えた撮像装置の構成例を示したブロック図である。実施形態としてのセンサ装置の構造例についての説明図である。実施形態における情報処理装置（サーバ装置）が有する実施形態としての機能を説明するための機能ブロック図である。実施形態におけるライセンスデータの構造例を示した図である。実施形態のセンサ装置が有する実施形態としての機能を説明するための機能ブロック図である。実施形態としての情報処理システムにおけるユーザのアカウント登録時に対応した処理のフローチャートである。実施形態としての情報処理システムにおけるＡＩモデルの購入からデプロイまでに対応した処理のフローチャートである。使用許可契約期間に基づくＡＩ処理の実行管理のために情報処理システムにおいて行うべき処理を示したフローチャートである。実施形態におけるライセンスデータ送信、及びチャレンジレスポンス認証に係る処理を示したフローチャートである。

　以下、添付図面を参照し、本技術に係る実施形態を次の順序で説明する。
＜１．情報処理システム＞
（1-1．システム全体構成）
（1-2．情報処理装置の構成）
（1-3．撮像装置の構成）
＜２．実施形態としての機能＞
＜３．処理手順＞
＜４．変形例＞
＜５．実施形態のまとめ＞
＜６．本技術＞

＜１．情報処理システム＞
（1-1．システム全体構成）
　図１は、本技術に係る実施形態としての情報処理システム１００の概略構成例を示したブロック図である。
　図示のように情報処理システム１００は、サーバ装置１と、１又は複数のユーザ端末２と、複数のカメラ３と、フォグサーバ４と、ＡＩ（Artificial Intelligence：人工知能）モデル開発者端末６とを備えている。本例において、サーバ装置１は、ユーザ端末２、フォグサーバ４、及びＡＩモデル開発者端末６との間で例えばインターネット等とされたネットワーク５を介した相互通信を行うことが可能に構成されている。

　サーバ装置１、ユーザ端末２、フォグサーバ４、及びＡＩモデル開発者端末６は、ＣＰＵ（Central Processing Unit）、ＲＯＭ(Read Only Memory)、及びＲＡＭ( Random Access Memory)を有するマイクロコンピュータを備えた情報処理装置として構成されている。

　ここで、ユーザ端末２は、情報処理システム１００を用いたサービスの受け手であるユーザによって使用されることが想定される情報処理装置である。また、サーバ装置１は、サービスの提供者によって使用されることが想定される情報処理装置である。

　各カメラ３は、例えばＣＣＤ（Charge Coupled Device）型イメージセンサやＣＭＯＳ（Complementary Metal Oxide Semiconductor）型イメージセンサ等のイメージセンサを備え、被写体を撮像してデジタルデータとしての画像データ（撮像画像データ）を得る。また、後述するように各カメラ３は、撮像画像についてＡＩモデルを用いた処理であるＡＩ処理を行う機能も有している。
　各カメラ３は、フォグサーバ４とデータ通信可能に構成され、例えばＡＩモデルを用いた画像処理の結果を示す処理結果情報等の各種データをフォグサーバ４に送信したり、フォグサーバ４から各種データを受信したりすることが可能とされる。

　ここで、図１に示す情報処理システム１００については、各カメラ３のＡＩ処理で得られるＡＩ処理結果を示す情報（以下、「処理結果情報」と表記する）に基づき、フォグサーバ４又はサーバ装置１が被写体の分析情報を生成し、生成した分析情報をユーザ端末２を介してユーザに閲覧させるといった用途が想定される。
　この場合、各カメラ３の用途としては、各種の監視カメラの用途が考えられる。例えば、店舗やオフィス、住宅等の屋内についての監視カメラ、駐車場や街中等の屋外を監視するための監視カメラ（交通監視カメラ等を含む）、ＦＡ（Factory Automation）やＩＡ（Industrial Automation）における製造ラインの監視カメラ、車内や車外を監視する監視カメラ等の用途を挙げることができる。

　例えば、店舗における監視カメラの用途であれば、複数のカメラ３を店舗内の所定位置にそれぞれ配置し、ユーザが来店客の客層（性別や年齢層など）や店舗内での行動（動線）等を確認できるようにすることが考えられる。その場合、上記した分析情報としては、これら来店客の客層の情報や店舗内での動線の情報、及び精算レジにおける混雑状態の情報（例えば、精算レジの待ち時間情報）等を生成することが考えられる。
　或いは、交通監視カメラの用途であれば、各カメラ３を道路近傍の各位置に配置し、ユーザが通過車両についてのナンバー（車両番号）や車の色、車種等の情報を認識できるようにすることが考えられ、その場合、上記した分析情報としては、これらナンバーや車の色、車種等の情報を生成することが考えられる。

　また、駐車場に交通監視カメラを用いた場合は、駐車されている各車両を監視できるようにカメラを配置し、不審な行動をしている不審者が各車両の周りにいないかなどを監視し、不審者がいた場合には、不審者がいることやその不審者の属性（性別や年齢層、服装等）などを通知することが考えられる。
　さらに、街中や駐車場の空きスペースを監視して、ユーザに車を駐車できるスペースの場所を通知すること等も考えられる。

　フォグサーバ４は、例えば上記した店舗の監視用途においては各カメラ３と共に監視対象の店舗内に配置される等、監視対象ごとに配置されることが想定される。このように店舗などの監視対象ごとにフォグサーバ４を設けることで、監視対象における複数のカメラ３からの送信データをサーバ装置１が直接受信する必要がなくなり、サーバ装置１の処理負担軽減が図られる。

　なお、フォグサーバ４は、監視対象とする店舗が複数あり、それら店舗が全て同一系列に属する店舗である場合には、店舗ごとに設けるのではなく、それら複数の店舗につき一つ設けることも考えられる。すなわち、フォグサーバ４は、監視対象ごとに一つ設けることに限定されず、複数の監視対象に対して一つのフォグサーバ４を設けることも可能なものである。

　なお、サーバ装置１、又は各カメラ３側に処理能力があるなどの理由で、フォグサーバ４の機能をサーバ装置１又は各カメラ３側に持たせることができる場合は、情報処理システム１００においてフォグサーバ４を省略し、各カメラ３を直接ネットワーク５に接続させて、複数のカメラ３からの送信データをサーバ装置１が直接受信するようにしてもよい。

　ＡＩモデル開発者端末６は、ＡＩモデルの開発者が使用する情報処理装置である。

　サーバ装置１は、情報処理システム１００を統括的に管理する機能を有する情報処理装置とされる。
　サーバ装置１は、情報処理システム１００の管理に係る機能として、図示のようにライセンスオーソリ機能Ｆ１、アカウントサービス機能Ｆ２、マーケットプレイス機能Ｆ３、及びＡＩサービス機能Ｆ４を有する。

　ライセンスオーソリ機能Ｆ１は、各種の認証に係る処理を行う機能である。具体的に、ライセンスオーソリ機能Ｆ１では、各カメラ３のデバイス認証に係る処理や、カメラ３で使用されるＡＩモデル等のデータについての認証に係る処理が行われる。

　ライセンスオーソリ機能Ｆ１において、カメラ３の認証については、カメラ３とネットワーク５を介して接続された場合（本例ではフォグサーバ４を介した接続となる）に、カメラ３ごとにデバイスＩＤを発行する処理が行われる。
　また、ＡＩモデルの認証については、ＡＩモデル開発者端末６から登録申請されたＡＩモデルについて、固有のＩＤ（ＡＩモデルＩＤ）を発行する処理が行われる。
　また、ライセンスオーソリ機能Ｆ１では、カメラ３やＡＩモデル開発者端末６とサーバ装置１との間でセキュアな通信が行われるようにするための各種の鍵や証明書等をカメラ３の製造業者（特に後述するイメージセンサ３０の製造業者）やＡＩモデル開発者に発行する処理が行われると共に、証明効力の停止や更新のための処理も行われる。
　さらに、ライセンスオーソリ機能Ｆ１では、以下で説明するアカウントサービス機能Ｆ２によりユーザ登録（ユーザＩＤの発行を伴うアカウント情報の登録）が行われた場合に、ユーザが購入したカメラ３（上記デバイスＩＤ）とユーザＩＤとを紐付ける処理も行われる。

　アカウントサービス機能Ｆ２は、ユーザのアカウント情報の生成や管理を行う機能である。アカウントサービス機能Ｆ２では、ユーザ情報の入力を受け付け、入力されたユーザ情報に基づいてアカウント情報を生成する（少なくともユーザＩＤとパスワード情報とを含むアカウント情報の生成を行う）。
　また、アカウントサービス機能Ｆ２では、ＡＩモデル開発者についての登録処理（アカウント情報の登録）も行われる。

　マーケットプレイス機能Ｆ３は、本例では、ユーザにＡＩモデルをサブスクリプション的に使用させるための、購入手続きに係る処理を行う機能である。ここで言うサブスクリプションとは、ユーザが購入代金を支払うことで、契約で定められた使用条件によりＡＩモデルの使用を許可するサービスを意味する。具体的に本例では、ユーザが購入代金を支払うことで、例えば１ヶ月等の所定の期間、ＡＩモデルの使用が許可されるサービスとされる。このとき、使用期間等のＡＩモデルの使用条件は、複数の条件のうちからユーザが選択可能とされている。また、使用条件に応じて、異なる購入代金が設定され得る。
　ここで、本明細書においては、「使用許可契約期間」なる語を用いる。この使用許可契約期間とは、ＡＩモデルのサブスクリプションサービスの契約において定められたＡＩモデルの使用許可期間を意味するものである。例えば、上記で例示した１ヶ月の契約であれば、１ヶ月の期間が使用許可契約期間に該当する。

　ユーザは、マーケットプレイス機能Ｆ３により提供されるサブスクリプション契約用のＷＥＢサイト（契約用サイト）を介して、ＡＩモデルの使用許可を得るための購入手続きを行うことが可能とされる。例えば、契約用サイトでは、ユーザが使用対象とするＡＩモデルの選択や使用許可契約期間の選択を行うことが可能とされる。ユーザが使用対象とするＡＩモデルと使用許可契約期間を選択すると、それに対応した購入代金が表示され、ユーザが該購入代金を支払うことでＡＩモデルの使用契約が成立する。

　ＡＩサービス機能Ｆ４は、ＡＩカメラとしてのカメラ３の利用に関するサービスをユーザに提供するための機能とされる。
　このＡＩサービス機能Ｆ４の一つとしては、例えば、前述した分析情報の生成に係る機能を挙げることができる。すなわち、カメラ３におけるＡＩ処理の処理結果情報に基づき被写体の分析情報を生成し、生成した分析情報をユーザ端末２を介してユーザに閲覧させるための処理を行う機能である。

　ここで、上記では、サーバ装置１単体でライセンスオーソリ機能Ｆ１、アカウントサービス機能Ｆ２、マーケットプレイス機能Ｆ３、及びＡＩサービス機能Ｆ４を実現する構成を例示したが、これらの機能を複数の情報処理装置が分担して実現する構成とすることも可能である。例えば、上記の機能をそれぞれ１台の情報処理装置が担う構成とすることが考えられる。或いは、上記した機能のうち単一の機能を複数の情報処理装置が分担して行うといったことも可能である。

（1-2．情報処理装置の構成）
　図２は、サーバ装置１のハードウェア構成例を示したブロック図である。
　図示のようにサーバ装置１は、ＣＰＵ１１を備えている。ＣＰＵ１１は、これまでにサーバ装置１の処理として説明した各種の処理を行う演算処理部として機能し、ＲＯＭ１２や例えばＥＥＰ－ＲＯＭ（Electrically Erasable Programmable Read-Only Memory）などの不揮発性メモリ部１４に記憶されているプログラム、又は記憶部１９からＲＡＭ１３にロードされたプログラムに従って各種の処理を実行する。ＲＡＭ１３にはまた、ＣＰＵ１１が各種の処理を実行する上において必要なデータなども適宜記憶される。

　ＣＰＵ１１、ＲＯＭ１２、ＲＡＭ１３、及び不揮発性メモリ部１４は、バス２３を介して相互に接続されている。このバス２３にはまた、入出力インタフェース（Ｉ／Ｆ）１５も接続されている。

　入出力インタフェース１５には、操作子や操作デバイスよりなる入力部１６が接続される。例えば、入力部１６としては、キーボード、マウス、キー、ダイヤル、タッチパネル、タッチパッド、リモートコントローラ等の各種の操作子や操作デバイスが想定される。
　入力部１６によりユーザの操作が検知され、入力された操作に応じた信号はＣＰＵ１１によって解釈される。

　また入出力インタフェース１５には、ＬＣＤ（Liquid Crystal Display）或いは有機ＥＬ（Electro-Luminescence）パネルなどよりなる表示部１７や、スピーカなどよりなる音声出力部１８が一体又は別体として接続される。
　表示部１７は各種の情報表示に用いられ、例えばコンピュータ装置の筐体に設けられるディスプレイデバイスや、コンピュータ装置に接続される別体のディスプレイデバイス等により構成される。

　表示部１７は、ＣＰＵ１１の指示に基づいて表示画面上に各種の画像処理のための画像や処理対象の動画等の表示を実行する。また表示部１７はＣＰＵ１１の指示に基づいて、各種操作メニュー、アイコン、メッセージ等、即ちＧＵＩ（Graphical User Interface）としての表示を行う。

　入出力インタフェース１５には、ＨＤＤ（Hard Disk Drive）や固体メモリなどより構成される記憶部１９や、モデムなどより構成される通信部２０が接続される場合もある。

　通信部２０は、インターネット等の伝送路を介しての通信処理や、各種機器との有線／無線通信、バス通信などによる通信を行う。

　入出力インタフェース１５にはまた、必要に応じてドライブ２１が接続され、磁気ディスク、光ディスク、光磁気ディスク、或いは半導体メモリなどのリムーバブル記憶媒体２２が適宜装着される。

　ドライブ２１により、リムーバブル記憶媒体２２から各処理に用いられるプログラム等のデータファイルなどを読み出すことができる。読み出されたデータファイルは記憶部１９に記憶されたり、データファイルに含まれる画像や音声が表示部１７や音声出力部１８で出力されたりする。またリムーバブル記憶媒体２２から読み出されたコンピュータプログラム等は必要に応じて記憶部１９にインストールされる。

　上記のようなハードウェア構成を有するコンピュータ装置では、例えば本実施形態の処理のためのソフトウェアを、通信部２０によるネットワーク通信やリムーバブル記憶媒体２２を介してインストールすることができる。或いは、当該ソフトウェアは予めＲＯＭ１２や記憶部１９等に記憶されていてもよい。

　ＣＰＵ１１が各種のプログラムに基づいて処理動作を行うことで、前述したサーバ装置１としての必要な情報処理や通信処理が実行される。
　なお、サーバ装置１は、図２のようなコンピュータ装置が単一で構成されることに限らず、複数のコンピュータ装置がシステム化されて構成されてもよい。複数のコンピュータ装置は、ＬＡＮ（Local Area Network）等によりシステム化されていてもよいし、インターネット等を利用したＶＰＮ（Virtual Private Network）等により遠隔地に配置されたものでもよい。複数のコンピュータ装置には、クラウドコンピューティングサービスによって利用可能なサーバ群（クラウド）としてのコンピュータ装置が含まれてもよい。

（1-3．撮像装置の構成）
　図３は、カメラ３の構成例を示したブロック図である。
　図示のようにカメラ３は、イメージセンサ３０、撮像光学系３１、光学系駆動部３２、制御部３３、メモリ部３４、通信部３５、及びセンサ部３６を備えている。イメージセンサ３０、制御部３３、メモリ部３４、通信部３５、及びセンサ部３６は、バス３７を介して接続され、相互にデータ通信を行うことが可能とされている。

　撮像光学系３１は、カバーレンズ、ズームレンズ、フォーカスレンズ等のレンズや絞り（アイリス）機構を備える。この撮像光学系３１により、被写体からの光（入射光）が導かれ、イメージセンサ３０の受光面に集光される。

　光学系駆動部３２は、撮像光学系３１が有するズームレンズ、フォーカスレンズ、及び絞り機構の駆動部を包括的に示したものである。具体的に、光学系駆動部３２は、これらズームレンズ、フォーカスレンズ、絞り機構それぞれを駆動するためのアクチュエータ、及び該アクチュエータの駆動回路を有している。

　制御部３３は、例えばＣＰＵ、ＲＯＭ、及びＲＡＭを有するマイクロコンピュータを備えて構成され、ＣＰＵがＲＯＭに記憶されているプログラム、又はＲＡＭにロードされたプログラムに従って各種の処理を実行することで、カメラ３の全体制御を行う。

　また、制御部３３は、光学系駆動部３２に対してズームレンズ、フォーカスレンズ、絞り機構等の駆動指示を行う。光学系駆動部３２はこれらの駆動指示に応じてフォーカスレンズやズームレンズの移動、絞り機構の絞り羽根の開閉等を実行させることになる。

　また、制御部３３は、メモリ部３４に対する各種データの書き込みや読み出しについての制御を行う。
　メモリ部３４は、例えばＨＤＤやフラッシュメモリ装置等の不揮発性の記憶デバイスとされ、制御部３３が各種処理を実行する上で用いるデータの記憶に用いられる。また、メモリ部３４は、イメージセンサ３０から出力された画像データの保存先（記録先）としても用いることができる。

　制御部３３は、通信部３５を介して外部装置との間で各種データ通信を行う。本例における通信部３５は、少なくとも図１に示したフォグサーバ４との間でのデータ通信を行うことが可能に構成されている。
　或いは、通信部３５としては、ネットワーク５を介した通信が可能とされて、サーバ装置１との間でデータ通信が行われる場合もある。

　センサ部３６は、カメラ３が備えるイメージセンサ３０以外のセンサを包括的に表している。センサ部３６が有するセンサとしては、例えば、カメラ３の位置や高度を検出するためのＧＮＳＳ（Global Navigation Satellite System）センサや高度センサ、環境温度を検出するための温度センサ、カメラ３の動きを検出するための加速度センサや角速度センサ等の動きセンサ等を挙げることができる。

　イメージセンサ３０は、例えばＣＣＤ型、ＣＭＯＳ型等の固体撮像素子として構成され、図示のように撮像部４１、画像信号処理部４２、センサ内制御部４３、ＡＩ画像処理部４４、メモリ部４５、コンピュータビジョン処理部４６、通信インタフェース（Ｉ／Ｆ）４７、及び乱数生成部４９を備えている。これら各部のうち、乱数生成部４９を除く各部はそれぞれがバス４８を介して相互にデータ通信可能とされている。
　このイメージセンサ３０は、本技術に係るセンサ装置の一実施形態である。

　撮像部４１は、フォトダイオード等の光電変換素子を有する画素が二次元に配列されてた画素アレイ部と、画素アレイ部が備える各画素から光電変換によって得られた電気信号を読み出す読み出し回路とを備えている。
　この読み出し回路では、光電変換により得られた電気信号について、例えばＣＤＳ(Correlated Double Sampling)処理、ＡＧＣ(Automatic Gain Control)処理などを実行し、さらにＡ／Ｄ(Analog/Digital)変換処理を行う。

　画像信号処理部４２は、Ａ／Ｄ変換処理後のデジタルデータとしての撮像画像信号に対して、前処理、同時化処理、ＹＣ生成処理、解像度変換処理、コーデック処理等を行う。
前処理では、撮像画像信号に対してＲ（赤）、Ｇ（緑）、Ｂ（青）の黒レベルを所定のレベルにクランプするクランプ処理や、Ｒ、Ｇ、Ｂの色チャンネル間の補正処理等を行う。同時化処理では、各画素についての画像データが、Ｒ、Ｇ、Ｂ全ての色成分を有するようにする色分離処理を施す。例えば、ベイヤー配列のカラーフィルタを用いた撮像素子の場合は、色分離処理としてデモザイク処理が行われる。ＹＣ生成処理では、Ｒ、Ｇ、Ｂの画像データから、輝度（Ｙ）信号および色（Ｃ）信号を生成（分離）する。解像度変換処理では、各種の信号処理が施された画像データに対して、解像度変換処理を実行する。
　コーデック処理では、上記の各種処理が施された画像データについて、例えば記録用や通信用の符号化処理、ファイル生成を行う。コーデック処理では、動画のファイル形式として、例えばＭＰＥＧ－２（ＭＰＥＧ：Moving Picture Experts Group）やＨ．２６４などの形式によるファイル生成を行うことが可能とされる。また静止画ファイルとしてＪＰＥＧ（Joint Photographic Experts Group）、ＴＩＦＦ（Tagged Image File Format）、ＧＩＦ（Graphics Interchange Format）等の形式のファイル生成を行うことも考えられる。

　センサ内制御部４３は、例えばＣＰＵ、ＲＯＭ、ＲＡＭ等を有して構成されたマイクロコンピュータを備えて構成され、イメージセンサ３０の動作を統括的に制御する。例えばセンサ内制御部４３は、撮像部４１に対する指示を行って撮像動作の実行制御を行う。また、ＡＩ画像処理部４４や画像信号処理部４２、コンピュータビジョン処理部４６に対しても処理の実行制御を行う。
　また、センサ内制御部４３は、後述するようにサーバ装置１からイメージセンサ３０にＡＩモデルが送信された際に、該ＡＩモデルがＡＩ画像処理部４４に設定されるようにする処理を行う。すなわち、ＡＩ画像処理部４４が該ＡＩモデルを使用したＡＩ処理を実行可能となるように、ＡＩ画像処理部４４に該ＡＩモデルをセッティングする処理である。

　センサ内制御部４３は、不揮発性メモリ部４３ｎと、揮発性メモリ部４３ｖと有している。不揮発性メモリ部４３ｎは、センサ内制御部４３のＣＰＵが各種の処理で用いるデータの記憶に用いられる。また、揮発性メモリ部４３ｖには、センサ内制御部４３のＣＰＵが各種の処理で用いるデータが一時的に記憶される。

　後述もするが、本例において不揮発性メモリ部４３ｎには、ＡＩモデル等、サーバ装置１から送信されるデータの暗号化を解くための各種鍵の情報が記憶される。この鍵は、例えば前述したライセンスオーソリ機能Ｆ１を通じて、サーバ装置１と認証済みのカメラ３との間で共有される鍵となる。

　また、センサ内制御部４３において、揮発性メモリ部４３ｖは、後述するライセンスデータの一時記憶にも用いられる。

　また、センサ内制御部４３には、乱数生成部４９が接続されている。この乱数生成部４９は、撮像部４１により得られた撮像画像データに基づいて、後述するサーバ装置１とイメージセンサ３０（センサ内制御部４３）との間の認証処理を行う際に用いられる乱数を生成する。なお、この認証処理を含め、乱数生成部４９については後に改めて説明する。

　ＡＩ画像処理部４４は、例えばＣＰＵやＦＰＧＡ（Field Programmable Gate Array)、ＤＳＰ（Digital Signal Processor）等、プログラマブルな演算処理装置を有して構成され、撮像画像についてＡＩ処理を行う。
　ＡＩ画像処理部４４によるＡＩ処理としては、例えば、人物や車両等の特定のターゲットとしての被写体を認識する画像認識処理を挙げることができる。或いは、ＡＩ処理としては、被写体の種類を問わず、何らかの物体の有無を検出する物体検出処理として行われることも考えられる。

　ＡＩ画像処理部４４によるＡＩ処理の機能は、ＡＩモデル（ＡＩ処理のアルゴリズム）を変更することにより切り替えることが可能とされる。以下では、ＡＩ処理が画像認識処理である場合の例を説明する。
　具体的な画像認識の機能種別については種々考えられるが、例えば以下に例示するような種別を挙げることができる。
　・クラス識別
　・セマンティックセグメンテーション
　・人物検出
　・車両検出
　・ターゲットのトラッキング
　・ＯＣＲ（Optical Character Recognition：光学文字認識）

　上記の機能種別のうち、クラス識別は、ターゲットのクラスを識別する機能である。ここで言う「クラス」とは、物体のカテゴリを表す情報であり、例えば「人」「自動車」「飛行機」「船」「トラック」「鳥」「猫」「犬」「鹿」「蛙」「馬」等を区別するものである。
　ターゲットのトラッキングとは、ターゲットとされた被写体の追尾を行う機能であり、該被写体の位置の履歴情報を得る機能と換言できるものである。

　メモリ部４５は、不揮発性メモリにより構成され、ＡＩ画像処理部４４によるＡＩ処理を行う上で必要なデータの記憶に用いられる。具体的には、ＡＩモデルのセッティングデータ（例えば、ニューラルネットワークに畳み込み演算で用いる各種の重み係数や、ニューラルネットワーク構造を示すデータ等）は、メモリ部４５に記憶される。
　また、本例において、メモリ部４５は、画像信号処理部４２で処理された撮像画像データの保持にも用いられる。

　コンピュータビジョン処理部４６は、撮像画像データに対する画像処理として、ルールベースによる画像処理を施す。ここでのルールベースによる画像処理としては、例えば超解像処理等を挙げることができる。

　通信インタフェース４７は、イメージセンサ３０外部における制御部３３やメモリ部３４等、バス３７を介して接続された各部との間で通信を行うインタフェースである。例えば通信インタフェース４７は、センサ内制御部４３の制御に基づき、ＡＩ画像処理部４４が用いるＡＩモデルなどを外部から取得するための通信を行う。
　また、通信インタフェース４７を介して、ＡＩ画像処理部４４によるＡＩ処理の処理結果情報がイメージセンサ３０の外部に出力される。

　ここで、イメージセンサ３０において、センサ内制御部４３は、通信インタフェース４７、通信部３５、及びフォグサーバ４を介して、サーバ装置１との間でデータ通信を行うことが可能とされている。これによりセンサ内制御部４３は、後述するようにＡＩモデル等の各種データをサーバ装置１から受信したり、ＡＩ画像処理部４４による処理結果情報等の各種データをサーバ装置１に対して送信したりすることが可能とされる。

　ところで、上記説明のように本例では、イメージセンサ３０が、画素アレイ部を有する撮像部４１以外に、ＡＩ処理を行うＡＩ画像処理部４４や、コンピュータ装置としてのセンサ内制御部４３等を有するものとされている。このようなイメージセンサ３０の構造例を図４を参照して説明しておく。なお、図４に示す構造はあくまで一例であり、もちろん他の構造を採ることも可能なものである。

　図４に示すように、本例におけるイメージセンサ３０は、ダイＤ１とダイＤ２の二つのダイを積層した２層構造（積層構造）を有するものとされる。具体的に、本例におけるイメージセンサ３０は、ダイＤ１とダイＤ２とを貼り合わせた１チップの半導体装置として構成されている。ダイＤ１は、撮像部４１が形成されたダイであり、ダイＤ２は、画像信号処理部４２、センサ内制御部４３、ＡＩ画像処理部４４、メモリ部４５、コンピュータビジョン処理部４６、通信インタフェース４７、及び乱数生成部４９を備えたダイである。
　ダイＤ１とダイＤ２は、例えば、Ｃｕ－Ｃｕ接合等のチップ間接合技術により物理的且つ電気的に接続されている。

＜２．実施形態としての機能＞
　本実施形態において、サーバ装置１は、実施形態としての機能として、以下のような各種の機能を有する。

　図５は、サーバ装置１のＣＰＵ１１が有する実施形態としての機能を説明するための機能ブロック図である。
　図示のようにサーバ装置１は、使用準備処理部１１ａ、使用開始時処理部１１ｂ、及び使用制御部１１ｃとしての機能を有している。

　使用準備処理部１１ａは、ユーザが情報処理システム１００によるサービスの提供を受けるための準備に係る処理を行う。

　ここで、本例においてユーザは、情報処理システム１００によるサービスの提供を受けるにあたり、情報処理システム１００での使用に対応する対応品としてのカメラ３の購入を行う。

　そして、使用開始前の手続きとしてユーザは、購入したカメラ３やユーザアカウントについての登録手続きを行う。
　具体的にユーザは、購入した使用したい全てのカメラ３を指定されたクラウド、つまり本例ではサーバ装置１にネットワーク接続させる。
　この状態で、ユーザは、ユーザ端末２を用いてサーバ装置１（前述したアカウントサービス機能Ｆ２）に対しカメラ３やユーザアカウントの登録のための情報入力を行う。

　使用準備処理部１１ａは、ユーザからの入力情報に基づき、ユーザのアカウント情報を生成する。具体的には、少なくともユーザＩＤとパスワード情報とを含むアカウント情報の生成を行う。

　また、使用準備処理部１１ａは、ユーザのアカウント情報を生成すると共に、接続されたカメラ３よりセンサＩＤ（イメージセンサ３０のＩＤ）、カメラＩＤ（カメラ３のＩＤ）、Ｒｅｇｉｏｎ情報（カメラ３の設置場所情報）等を取得し、取得した情報を生成したアカウント情報に紐付ける処理を行う。

　また、使用準備処理部１１ａは、前述したライセンスオーソリ機能Ｆ１を利用して、アカウント登録されたユーザのカメラ３について、ＩＤを付与する処理を行う。すなわち、接続されたカメラ３ごとに、対応するデバイスＩＤを発行し、例えば上記したカメラＩＤとの紐付けを行う。これによりサーバ装置１では、デバイスＩＤにより各カメラ３を識別することが可能となる。

　さらに、使用準備処理部１１ａは、ユーザからのＡＩモデルの購入受け付けや購入に対応した処理を行う。すなわち、前述したマーケットプレイスにおけるＡＩモデルの購入受け付け処理、具体的に本例では、使用するＡＩモデルの選択や使用許可契約期間の選択や購入代金の支払い手続きを受け付けるための処理を行うと共に、購入代金の支払いに応じて、購入されたＡＩモデルとユーザＩＤとを紐付ける処理を行う。

　ここで、本例においてサーバ装置１は、ＡＩモデルをコンテンツＩＤにより管理している。コンテンツＩＤは、ＡＩモデルを購入可能単位で識別するために用いるＩＤである。例えば、単体でのみ購入可能なＡＩモデルについては、それらＡＩモデルごとに異なるコンテンツＩＤが割り振られる。また、複数１セットでの購入が可能とされたＡＩモデルについては、それら複数のＡＩモデルに対して一つのコンテンツＩＤが割り振られる。サーバ装置１においては、このコンテンツＩＤにより、ユーザがどのＡＩモデルを購入したかを管理することが可能とされている。

　また使用準備処理部１１ａは、ＡＩモデルについての暗号化処理を行う。本例では、この暗号化処理は、上記のコンテンツＩＤに所定の鍵情報を掛け合わせてＡＩモデル暗号鍵を生成し、該ＡＩモデル暗号鍵により対応するコンテンツＩＤが付されたＡＩモデルを暗号化する処理として行う。

　使用開始時処理部１１ｂは、カメラ３の使用開始時に対応した処理を行う。具体的に、使用開始時処理部１１ｂは、暗号化したＡＩモデルをイメージセンサ３０にデプロイする処理を行う。
　ここで言うＡＩモデルの「デプロイ」とは、イメージセンサ３０にＡＩモデルをインストールさせるために送信することを意味する。

　使用制御部１１ｃは、イメージセンサ３０におけるＡＩモデルの使用を制御するための処理を行う。具体的には、前述した使用許可契約期間に基づくＡＩモデルの使用制御である。

　ここで、上述したような使用開始時処理部１１ｂによるＡＩモデルのデプロイが行われた後において、センサ内制御部４３は、所定条件の成立に応じて、サーバ装置１に対してＡＩモデルの使用開始要求を行う。
　使用制御部１１ｃは、このようなイメージセンサ３０側からのＡＩモデルの使用開始要求に応じて、該イメージセンサ３０に紐付く使用許可契約期間の情報に基づき、ライセンスデータの生成を行う。
　ここで言うライセンスデータは、ＡＩモデルに関する使用上限条件を示す情報（以下「使用上限条件情報」と表記する）を含んだデータであり、これをイメージセンサ３０側に送信することで、イメージセンサ３０側で該使用上限条件を満たすようにＡＩ処理の実行制御を行わせることが可能となる。
　また、本例では、ライセンスデータには、ＡＩモデル暗号鍵を含ませるものとしている。これにより、イメージセンサ３０側では、ライセンスデータを受信しなければ、暗号化されたＡＩモデルの復号化が不能となる。すなわち、ＡＩモデルの使用が不能となる。

　図６は、ライセンスデータのデータ構造例を示している。
　図示のように本例におけるライセンスデータは、コンテンツＩＤと、ＡＩモデル暗号鍵と、センサＩＤと、使用上限条件情報とを少なくとも含む。
　本例において、ライセンスデータには、規定データ領域Ａ１とオプションデータ領域Ａ２とが定められている。規定データ領域Ａ１は、イメージセンサ３０側で読み込み時に未知の値があれば受信したライセンスデータを無効として扱うデータ領域である。オプションデータ領域Ａ２は、イメージセンサ３０側で読み込み時に未知の値があっても受信したライセンスデータを無効として扱わないデータ領域である。
　図示のようにセンサＩＤと使用上限条件情報は、前者の規定データ領域Ａ１内に格納される。また、コンテンツＩＤとＡＩモデル暗号鍵は、規定データ領域Ａ１、オプションデータ領域Ａ２の何れにも属さないデータ領域に格納される。

　規定データ領域Ａ１には、リザーブ領域が確保されている。また、オプションデータ領域Ａ２にもリザーブ領域が確保されている。
　規定データ領域Ａ１内のリザーブ領域には、例えばＡＩ画像処理部４４による画像認識回数の上限情報等、使用上限条件情報とは異なる条件を指定するための情報を格納すること等が考えられる。また、オプションデータ領域Ａ２内のリザーブ領域には、例えば他のマーケットプレイスへの変換出力可能フラグの情報等を格納することが考えられる。

　ライセンスデータにおいて、センサＩＤとしては、使用開始要求を行ったイメージセンサ３０のセンサＩＤを格納しておく。ライセンスデータにセンサＩＤを格納するのは、使用開始要求を行った対応品としてのイメージセンサ３０以外のイメージセンサ３０（非対応品）がＡＩモデルを不正に使用できてしまうことの防止を図るためである。

　また、ライセンスデータにおいて、使用上限条件情報としては、本例では、使用許可契約期間よりも短い使用期間を示す情報を格納しておく。

　なお、ライセンスデータにおいて、ＡＩモデル暗号鍵としては、何らかの鍵で暗号化したものを格納しておくこともできる。

　また、ライセンスデータについて、格納する情報は上記の例に限定されない。
　例えば、イメージセンサ３０側における使用上限条件の管理手法として、複数の管理手法を選択可能とされる場合において、何れの管理手法で使用上限条件を管理すべきかを示す情報をライセンスデータに含ませることも考えられる。

　ここで、本例において、カメラ３は、２４時間連続稼働ではなく、例えば店舗の営業時間外の時間帯等、１日における所定の時間帯は電断されることを前提としている。換言すれば、カメラ３は、日ごとに電断、起動を繰り返すものである。
　そして本例では、イメージセンサ３０は、起動ごとにＡＩモデルの使用開始要求を行う仕様とされているとする。

　本例において、使用制御部１１ｃは、ライセンスデータに格納する使用上限条件情報として、上述のように使用許可契約期間内よりも短い期間の使用期間を示す情報を格納しておき、そのようなライセンスデータを、使用許可契約期間内において複数回、イメージセンサ３０側に送信する。つまり、本例では、イメージセンサ３０が起動に応じてＡＩモデルの使用開始要求を行うごと（本例では日ごととなる）に、要求元のイメージセンサ３０に対して送信する。
　このとき、ライセンスデータには、使用許可契約期間よりも短い使用期間を示す情報、具体的に、例えば上記のように日ごとに電断される前提であれば、例えば２４時間以下の所定の使用期間を示す情報を格納する。

　イメージセンサ３０側からの使用開始要求があった場合、使用制御部１１ｃは、要求元のイメージセンサ３０のセンサＩＤの情報に基づいて、対応する契約内容、具体的には使用許可契約期間を確認し、使用許可契約期間内であれば、使用許可契約期間よりも短い使用期間を示す使用上限条件情報を含むライセンスデータを生成する。具体的に本例では、該使用上限条件情報と、要求元のイメージセンサ３０から取得したセンサＩＤとを含むライセンスデータを生成する。そして、該ライセンスデータを要求元のイメージセンサ３０（センサ内制御部４３）に送信する。

　イメージセンサ３０側では、センサ内制御部４３が、サーバ装置１から受信したライセンスデータに従ってＡＩ処理の実行制御を行う。本例では、このＡＩ処理の実行制御は、使用許可契約期間内においてサーバ装置１からライセンスデータを受信するごとに（本例では日ごとに）、ＡＩ処理の実行期間が例えば２４時間以下の所定の使用期間を超えることがないようにして行われる。
　この結果、イメージセンサ３０におけるＡＩモデルの使用期間を、使用許可契約期間内に制限することができる。

　ここで、使用制御部１１ｃは、イメージセンサ３０側へのライセンスデータの送信の際、センサ内制御部４３との間でライセンスデータについての認証処理を行う。本例では、この認証処理として、チャレンジレスポンス認証を行う。チャレンジレスポンス認証を採用することで、反射攻撃（リプレイアタック）に対する耐性を高めることができる。
　また、ライセンスデータの認証処理にチャレンジレスポンス認証を採用することで、ライセンスデータの暗号鍵は、１セッションのみ有効な鍵となる。換言すれば、ライセンスデータは、１セッションのみ有効な揮発性ライセンスとなる。このようにライセンスデータが揮発性ライセンスとされることで、ライセンスデータとしては、使用上限条件として、使用許可契約期間よりも短い使用上限期間に対応した条件を定めたものを、使用許可契約期間内において複数回イメージセンサ３０に送信することが可能となる。
　なお、チャレンジレスポンス認証については後に改めて説明する。

　続いて、上記のようなサーバ装置１による実施形態の機能、具体的には使用制御部１１ｃの機能に対応してセンサ内制御部４３が有する機能を、図７の機能ブロック図を参照して説明する。
　図７に示すように、センサ内制御部４３は、認証処理部４３ａと実行制御部４３ｂとを有する。

　認証処理部４３ａは、サーバ装置１側からライセンスデータが送信されるごとに、サーバ装置１（ＣＰＵ１１）との間で認証処理を行う。具体的に本例では、上述したチャレンジレスポンス認証を行う。
　また、本例の認証処理部４３ａは、ライセンスデータの認証が成立した場合に、ライセンスデータ内に含まれるＡＩモデル暗号鍵に基づき、デプロイされた暗号化ＡＩモデルの復号化を行う。
　さらに、本例の認証処理部４３ａは、ライセンスデータに含まれるセンサＩＤに基づく認証処理も行う。具体的には、ライセンスデータに格納されたセンサＩＤと、自装置（イメージセンサ３０）に格納されたセンサＩＤとを照合し、両ＩＤが一致するか否かを判定する。このセンサＩＤに基づく認証処理は、ライセンスデータの受信ごと（ライセンスデータの認証成立ごと）に行われる。

　また、本例では、サーバ装置１からは、ライセンスデータと共にライセンスデータの改竄有無判定用のデータである改竄判定用データが送信される。
　認証処理部４３ａは、この改竄判定用データに基づき、ライセンスデータの改竄有無を判定する処理も行う。

　認証処理部４３ａによるサーバ装置１側との間の認証（チャレンジレスポンス認証）、上述したようなセンサＩＤを用いた認証、及び上記改竄判定用データに基づく改竄判定による認証のうち、何れか一つでも認証が成立しなかった場合は、受信したライセンスデータに基づくＡＩ処理の実行制御は行われない。つまり、イメージセンサ３０側においてＡＩ処理は実行されない。

　ここで、本例では、ライセンスデータは暗号化されてサーバ装置１から送信される。このため、認証処理部４３ａは、暗号化されたライセンスデータを復号化する処理も行う。
　なお、このようなライセンスデータの復号化も含め、認証処理部４３ａによる処理の詳細については改めて説明する。

　実行制御部４３ｂは、ライセンスデータに含まれる使用上限条件情報に基づき、該使用上限条件情報が示す使用上限条件を満たすようにＡＩ画像処理部４４によるＡＩ処理の実行制御を行う。具体的には、上述した認証処理部４３ａによる各種の認証が成立したことを条件として、上記のような使用上限条件に基づくＡＩ処理の実行制御を行う。

　ここで、本例において実行制御部４３ｂは、使用上限条件を満たすためのＡＩ処理の実行制御を、ＡＩ画像処理部４４による処理フレーム数のカウント値に基づいて行う。ＡＩ画像処理部４４の処理フレームレートは既知であるため、ＡＩ画像処理部４４による処理フレーム数をカウントすることで、ＡＩ処理の処理時間を計時することができる。
　本例における実行制御部４３ｂは、このようにＡＩ画像処理部４４の処理フレームレートと処理フレーム数のカウント値とに基づき計時されるＡＩ処理の処理時間が、ライセンスデータにおける使用上限条件情報が示す使用期間を超えたか否かを判定し、上記処理時間が上記使用期間を超えていなければＡＩ画像処理部４４のＡＩ処理を継続させ、上記処理時間が上記使用期間を超えた場合にはＡＩ画像処理部４４のＡＩ処理を停止させる。

　なお、上記では処理フレーム数のカウント値を時間に換算して使用期間と比較する例としたが、ライセンスデータにおいて、使用上限条件情報としてフレーム数の値を格納しておくことも可能であり、その場合には、処理フレーム数のカウント値を時間に換算する処理は不要である。一例として、例えば処理フレームレート＝３０ｆｐｓに対する２４時間相当のフレーム数は、「２４ｈ×３０ｍ×３０ｓ×３０ｆｐｓ」より２５９２０００フレームであり、例えば使用期間＝２４時間を前提とする場合には、使用上限条件情報としてこの「２５９２０００」のフレーム数を示す情報を格納すればよい。

＜３．処理手順＞
　上記により説明した実施形態としての機能を実現するために情報処理システム１００において行われるべき具体的な処理の手順例を図８から図１０のフローチャートを参照して説明する。

　図８は、ユーザのアカウント登録時に対応した処理のフローチャートであり、図９は、ＡＩモデルの購入（サブスクリプション購入）からデプロイまでに対応した処理のフローチャートである。
　これら図８、図９において、「サーバ装置」として示す処理はサーバ装置１のＣＰＵ１１が実行する処理であり、「センサ」として示す処理はカメラ３のイメージセンサ３０におけるセンサ内制御部４３が実行する処理である。なお、「ユーザ端末」として示す処理はユーザ端末２におけるＣＰＵが実行する。
　なお、図８、図９に示す処理が開始されるにあたっては、ユーザ端末２及びイメージセンサ３０がそれぞれサーバ装置１とネットワーク５を介して通信可能に接続された状態にあるとする。

　図８において、ユーザ端末２はステップＳ２０１でユーザ情報入力処理を行う。すなわち、アカウント登録のための情報（少なくともユーザＩＤ及びパスワードの情報）をユーザの操作入力に基づいてサーバ装置１に対して入力する処理である。

　サーバ装置１は、ユーザ端末２からの情報入力を受け付ける共に、ステップＳ１０１で、アカウント登録についての必要情報の送信をイメージセンサ３０に対して行う。具体的には、ユーザＩＤとの紐付けが行われるべき、前述したセンサＩＤ、カメラＩＤ、Ｒｅｇｉｏｎ情報等の送信要求を行う（前述した使用準備処理部１１ａの機能を参照）。

　イメージセンサ３０は、ステップＳ３０１の要求情報送信処理として、サーバ装置１より要求された情報をサーバ装置１に対して送信する処理を行う。

　イメージセンサ３０より要求情報を受信したサーバ装置１は、ステップＳ１０２のユーザ登録処理として、ユーザ端末２から入力されたユーザ情報に基づくアカウント情報の生成や、ユーザＩＤに対し、イメージセンサ３０から受信した上記の要求情報を紐付ける処理を行う。

　続いて、図９の処理を説明する。
　先ず、ユーザ端末２が、ステップＳ２１０でＡＩ商品購入処理を実行する。すなわち、前述したマーケットプレイスにおけるＡＩモデルの購入のための処理である。具体的にユーザ端末２は、ステップＳ２１０の処理として、ユーザの操作入力に基づきサーバ装置１に対し使用対象とするＡＩモデルや選択された使用許可契約期間を指示する情報の送信や、購入代金の支払いに係る処理等を行う。

　サーバ装置１は、ステップＳ１１０の購入対応処理として、ユーザ端末２より購入が指示されたＡＩモデル及び使用許可契約期間の情報が、購入者としてのユーザに紐付けられるようにするための処理を行う。具体的には、購入が指示されたＡＩモデルのＩＤ（ＡＩモデルＩＤ）及びコンテンツＩＤや、選択された使用許可契約期間の情報を、購入者としてのユーザのユーザＩＤに紐付ける処理を行う。

　ステップＳ１１０に続くステップＳ１１１でサーバ装置１は、暗号鍵の生成を行う。すなわち、購入されたＡＩモデルを暗号化するために用いるＡＩモデル暗号鍵を生成する処理である。先に例示したように、本例においてＡＩモデル暗号鍵は、コンテンツＩＤに所定の鍵情報を掛け合わせて生成する。

　ステップＳ１１１に続くステップＳ１１２でサーバ装置１は、購入されたＡＩモデルの暗号化を行う。具体的には、購入されたＡＩモデルをステップＳ１１１で生成した暗号鍵を用いて暗号化する。

　なお、ここではＡＩモデルの暗号化をＡＩモデルの購入に応じて行う例としているが、これは必須でない。例えば、ＡＩモデルの暗号化は、例えばＡＩモデル開発者端末６によりマーケットプレイスにＡＩモデルが登録され、該ＡＩモデルに対するコンテンツＩＤが割り振られたタイミング等、購入処理よりも前のタイミングで行っておくことが考えられる。

　上記のようなＡＩ商品の購入に係る処理が行われた後、ユーザは、購入したＡＩモデルを各イメージセンサ３０にデプロイさせたいとした場合に、ユーザ端末２を用いて、サーバ装置１に対するデプロイ要求を行う（ステップＳ２１１「ＡＩデプロイ要求」）。

　サーバ装置１では、上述したステップＳ１１２の処理を実行した後、ステップＳ１１３で、このデプロイ要求を待機する。
　デプロイ要求があった場合、サーバ装置１はステップＳ１１４で、暗号化したＡＩモデルのデプロイ処理を行う。すなわち、ステップＳ１１２で得られた暗号化データ（暗号化ＡＩモデル）を、該当するイメージセンサ３０に送信する処理を行う。

　サーバ装置１から送信された暗号化ＡＩモデルを受信したイメージセンサ３０は、ステップＳ３１０で暗号化ＡＩモデルを記憶するための処理を行う。すなわち、受信した暗号化ＡＩモデルを不揮発性メモリ部４３ｎ等の所定の不揮発性の記憶装置に記憶させる処理を行う。

　なお、ここでは、暗号化ＡＩモデルのデプロイが、イメージセンサ３０側からのＡＩモデルの使用開始要求よりも前に行われる例としたが、暗号化ＡＩモデルのデプロイは、例えばイメージセンサ３０からの初回の使用開始要求に応じて行う等も考えられる。

　図１０は、使用許可契約期間に基づくＡＩ処理の実行管理のためにサーバ装置１、及びイメージセンサ３０が行うべき処理を示したフローチャートである。
　なお、図１０においても、「サーバ装置」として示す処理はサーバ装置１のＣＰＵ１１が実行し、「センサ」として示す処理はイメージセンサ３０におけるセンサ内制御部４３が実行する。また、図１０に示す処理が開始されるにあたっては、イメージセンサ３０がサーバ装置１とネットワーク５を介して通信可能に接続された状態にあるとする。
　本例において、イメージセンサ３０（センサ内制御部４３）は、図１０に示す処理を起動ごとに実行する。

　先ず、ステップＳ３２０でイメージセンサ３０は、サーバ装置１に対する使用開始要求を行う。すなわち、ＡＩモデルの使用開始要求である。

　ステップＳ３２０の使用開始要求を受けてサーバ装置１は、ステップＳ１２０で契約期間内か否かを判定する。すなわち、使用開始要求を行ったイメージセンサ３０から取得したセンサＩＤに基づき、使用開始要求の要求元のイメージセンサ３０に対応する使用許可契約期間の情報を取得し、現在が使用許可契約期間内であるか否かを判定する。
　ステップＳ１２０において、契約期間内でないと判定した場合、サーバ装置１は図１０に示す一連の処理を終える。つまりこの場合は、イメージセンサ３０に対するライセンスデータの送信は行われず、イメージセンサ３０側で後述するステップＳ３２４の実行制御が行われないものとなるので、イメージセンサ３０ではＡＩモデルを使用不能となる。

　一方、ステップＳ１２０で契約期間内であると判定した場合、サーバ装置１はステップＳ１２１に進み、対応するライセンスデータを生成する。すなわち、先の図６を参照して説明したように少なくともコンテンツＩＤ、ＡＩモデル暗号鍵、センサＩＤ、及び使用上限条件情報を含むライセンスデータを生成する。
　前述のように本例では、使用上限条件情報としては、使用許可契約期間よりも短い使用期間を示す情報をライセンスデータに格納する。例えば、前述のように使用許可契約期間が１ヶ月等の複数日でなる期間とされ、イメージセンサ３０（カメラ３）が日ごとに電断される前提であれば、例えば２４時間以下の所定時間長による使用期間を示す使用上限条件情報をライセンスデータに格納する。

　ステップＳ１２１に続くステップＳ１２２でサーバ装置１は、イメージセンサ３０に対して認証開始通知を行う。
　この認証開始通知に応じ、イメージセンサ３０とサーバ装置１との間で認証処理が行われる（図中、ステップＳ３２１及びステップＳ１２３参照）。具体的に本例では、後述するチャレンジレスポンス認証の処理が行われる。

　ここで、図１０では図示を省略しているが、サーバ装置１では、ステップＳ１２３の認証処理の過程において、ライセンスデータの暗号化、及び暗号化されたライセンスデータとライセンスデータの改竄判定用データとをイメージセンサ３０に送信する処理が行われる。

　サーバ装置１は、ステップＳ１２３の認証処理を実行したことに応じて図１０に示す一連の処理を終える。

　一方、イメージセンサ３０は、ステップＳ３２１の認証処理に続くステップＳ３２２において、認証成立か否かを判定する。具体的に、本例におけるステップＳ３２２の処理は、図７の認証処理部４３ａの認証処理として説明した、サーバ装置１側との間の認証（チャレンジレスポンス認証）、及びライセンスデータの改竄判定用データに基づく改竄判定による認証の双方の認証が成立したか否かを判定する処理となる。
　ステップＳ３２２において、認証が成立しなかったと判定した場合、イメージセンサ３０は図１０に示す一連の処理を終える。つまりこの場合は、ステップＳ３２４の暗号化ＡＩモデルの復号化処理は行われないものとなるため、イメージセンサ３０においてＡＩモデルを使用不能となる。

　一方、ステップＳ３２２において認証が成立したと判定した場合、イメージセンサ３０はステップＳ３２３でセンサＩＤが一致するか否かを判定する。すなわち、復号化したライセンスデータに含まれるセンサＩＤが自身のセンサＩＤと一致するか否かを判定する。
　ステップＳ３２３において、センサＩＤが一致しないと判定した場合、イメージセンサ３０は図１０に示す一連の処理を終える。すなわち、この場合もイメージセンサ３０においてＡＩモデルが使用不能となる。

　ステップＳ３２３において、センサＩＤが一致すると判定した場合、イメージセンサ３０はステップＳ３２４に進み、暗号化ＡＩモデルを復号化する。すなわち、ライセンスデータに含まれるＡＩモデル暗号鍵に基づき、先のステップＳ３１０（図９）で記憶された暗号化ＡＩモデルを復号化する。これにより、イメージセンサ３０において、購入したＡＩモデルを使用可能な状態となる。

　ステップＳ３２４に続くステップＳ３２５でイメージセンサ３０は、ライセンスデータが示す使用上限条件を満たすようにＡＩ処理の実行制御を行う。すなわち、先ずイメージセンサ３０は、ＡＩ画像処理部４４によるＡＩ処理の実行を許可するモードとする。そして、ＡＩ画像処理部４４がＡＩ処理の実行を開始したことに応じて、計時動作、具体的に本例ではＡＩ処理の処理フレーム数のカウント値に基づく計時を行う。そして、このように計時されるＡＩ処理の処理時間が、ライセンスデータにおける使用上限条件情報が示す使用期間を超えたか否かを判定し、上記処理時間が上記使用期間を超えていなければＡＩ画像処理部４４のＡＩ処理を継続させ、上記処理時間が上記使用期間を超えた場合にはＡＩ画像処理部４４のＡＩ処理を停止させる。

　イメージセンサ３０は、ステップＳ３２５の処理を実行したことに応じて図１０に示す一連の処理を終える。

　なお、上記した図９及び図１０の説明から理解されるように、本例では、ライセンスデータは、ＡＩモデルのデータとは別データとしてサーバ装置１からイメージセンサ３０に送信されるものである。
　そして、ライセンスデータは、使用許可契約期間内において、イメージセンサ３０に対して複数回送信されるものである。具体的に本例では、例えば日ごと等、使用許可契約期間内に複数回電断されるイメージセンサ３０が、起動ごとに行う使用開始要求に応じてサーバ装置１がイメージセンサ３０にライセンスデータを送信するため、ライセンスデータは使用許可契約期間内において複数回送信されるものである。

　図１１は、サーバ装置１とイメージセンサ３０との間で行われるライセンスデータ送信、及びチャレンジレスポンス認証に係る処理を示したフローチャートである。
　なお図１１においても、「サーバ装置」として示す処理はサーバ装置１のＣＰＵ１１が実行し、「センサ」として示す処理はイメージセンサ３０におけるセンサ内制御部４３が実行する。
　サーバ装置１は、図１１に示す処理を、図１０に示した認証開始通知（Ｓ１２２）を行ったことに応じて開始する。つまり、図１１に示すサーバ装置、イメージセンサ３０の処理は、それぞれ図１０に示したステップＳ１２３の認証処理、ステップＳ３２２の認証処理に対応するものとなる。

　先ず、ステップＳ１３０でサーバ装置１は、サーバ側の乱数：Challenge_Hostを生成する。この乱数：Challenge_Hostについては、真の乱数であってもよいし擬似乱数であってもよい。
　そして、ステップＳ１３０に続くステップＳ１３１でサーバ装置１は、生成したChallenge_Hostをイメージセンサ３０に対して送信する。

　イメージセンサ３０は、ステップＳ１３１で送信されたChallenge_Hostを受信したことに応じ、ステップＳ３３０でセンサ側の乱数：Challenge_Sensorを生成するための処理を行う。この乱数：Challenge_Sensorについても、真の乱数であってもよいし擬似乱数であってもよい。

　ここで、本例では、イメージセンサ３０に擬似乱数を生成するにあたって必要とされるメモリを確保できない場合を想定しており、Challenge_Sensorとしては、真の乱数を生成する。具体的に、本例においてChallenge_Sensorとしての乱数は、図３に示した乱数生成部４９により生成する。
　乱数生成部４９は、撮像部４１により得られる撮像画像に生じるノイズに基づき乱数を生成する。ここで言う撮像画像に生じるノイズとは、撮像部４１が有する電子回路の熱に起因して生じる熱雑音としてのノイズを意味している。
　撮像画像に生じるノイズの検出手法については種々の手法が考えられる。例えば、撮像光学系３１がメカニカルシャッタを有する構成であれば、センサ内制御部４３が撮像光学系３１においてシャッタを閉じさせた状態で撮像部４１に撮像動作を実行させる。それにより得られた撮像画像には、熱雑音としてのノイズ成分のみが存在する（受光面に光が入射していないため）ため、乱数生成部４９に該撮像画像を入力させて、該撮像画像の各画素の信号値（輝度値）に基づいて乱数（真の乱数）を生成させる。
　或いは、メカニカルシャッタを有さない場合であっても、各画素の信号値における最下位１ビットは熱雑音による影響を受けているとみなすことができるため、各画素の最下位１ビットの値を用いて乱数を生成することも考えられる。

　上記のような乱数生成部４９を用いることで、チャレンジレスポンス認証を可能とするにあたり、乱数生成のための専用のハードウェアをセンサ装置に設ける必要がなくなる。
　また、擬似乱数生成のためのメモリが確保されていないイメージセンサ３０においても、チャレンジレスポンス認証のための乱数生成を行うことができるようになる。

　ステップＳ３３０に続くステップＳ３３１でイメージセンサ３０は、センサ側の応答：Response_Sensorを計算する。具体的には、サーバ装置１から受信したChallenge_Host（Ch_H）と、ステップＳ３３０で得られたChallenge_Sensor（Ch_S）と、事前にサーバ装置１との間で共有された認証鍵である「Key_Auth」と、Magic Wordとしての“Auth1”とに基づき、下記の［式１］によりResponse_Sensorを計算する。

　Response_Sensor＝Hash(Key_Auth||“Auth1”||Ch_H||Ch_S)　・・・［式１］

　なお、Hash()は、例えばＳＨＡ－２５６等のハッシュ関数を意味している。

　ここで、サーバ装置１とイメージセンサ３０との間でチャレンジレスポンス認証やライセンスデータの暗号化／復号化、ライセンスデータの改竄有無判定を実現するにあたっては、サーバ装置１とイメージセンサ３０との間で、前述したライセンスオーソリ機能Ｆ１によって上記の「Key_Auth」（認証鍵）、及び上記の“Auth1”や後述する“Auth2"MAC"ENC”の各Magic Wordが共有されている。イメージセンサ３０において、これら「Key_Auth」や “Auth1"Auth2"MAC"ENC”の各Magic Wordの情報は、例えば図３に示した不揮発性メモリ部４３ｎ等、イメージセンサ３０内における所定の不揮発性のメモリに記憶され、センサ内制御部４３による読み出しが可能とされている。

　ステップＳ３３１でResponse_Sensorを計算したことに応じ、イメージセンサ３０はステップＳ３３２でChallenge_Host及びResponse_Sensorをサーバ装置１に対して送信する。

　上記ステップＳ３３２の処理でイメージセンサ３０側から送信されたChallenge_Host及びResponse_Sensorを受信したサーバ装置１は、ステップＳ１３２でResponse_Sensorを検算する。すなわち、ステップＳ１３１で自身が生成したChallenge_Host（Ch_H）とイメージセンサ３０から受信したChallenge_Sensor（Ch_S）、及びイメージセンサ３０側と共有されているKey_Authと “Auth1”を用いて［式１］によりResponse_Sensorを計算する。
　そして、ステップＳ１３２に続くステップＳ１３３でサーバ装置１は、一致判定処理として、ステップＳ１３２で計算（検算）したResponse_Sensorとイメージセンサ３０側から受信したResponse_Sensorとが一致するか否かを判定する。

　ステップＳ１３３において、両Response_Sensorが一致しないと判定した場合、サーバ装置１はステップＳ１３９に進んで認証不成立と判定し、図１１に示す一連の処理を終える。つまりこの場合は、後述するステップＳ１３８によるライセンスデータの送信が行われないものとなるため、イメージセンサ３０において、ＡＩモデルを使用不能となる。

　一方、ステップＳ１３３において両Response_Sensorが一致すると判定した場合、サーバ装置１はステップＳ１３４からＳ１３７の処理により、イメージセンサ３０側に送信すべきResponse_Host、暗号化されたライセンスデータ（暗号化ライセンスデータ）、及びライセンスデータの改竄判定用データを生成するための処理を行う。

　具体的に、ステップＳ１３４でサーバ装置１は、サーバ側の応答：Response_Hostを計算する。すなわち、先のステップＳ１３０で得られたChallenge_Host（Ch_H）と、イメージセンサ３０から受信したChallenge_Sensor（Ch_S）と、事前にイメージセンサ３０との間で共有されたKey_Authと、Magic Wordとしての“Auth2”とに基づき、下記の［式２］によりResponse_Hostを計算する。

　Response_Host＝Hash(Key_Auth||“Auth2”||Ch_H||Ch_S)　・・・［式２］

　ステップＳ１３４に続くステップＳ１３５でサーバ装置１は、ライセンス改竄判定用のＭＡＣ（Message Authentication Code）値を計算する。ＭＡＣ値は、ライセンスデータの改竄判定用データの一例であり、具体的には下記［式３］により計算する。

　MAC＝Hash(Key_Auth||“MAC”||ライセンスデータ||Ch_H||Ch_S)　・・・［式３］

　［式３］において、ライセンスデータは、先のステップＳ１２１（図１０）で生成したライセンスデータである。

　ステップＳ１３５に続くステップＳ１３６でサーバ装置１は、ライセンス暗号化用の鍵：Enc_Keyを、下記［式４］により計算する。

　Enc_Key＝Hash(Key_Auth||“ENC”||Ch_H||Ch_S)　・・・［式４］

　ステップＳ１３６に続くステップＳ１３７でサーバ装置１は、Enc_Keyによりライセンスデータを暗号化する。すなわち、先のステップＳ１２１で生成したライセンスデータをEnc_Keyにより暗号化する。

　ステップＳ１３７に続くステップＳ１３８でサーバ装置１は、Response_Host、暗号化ライセンスデータ、及びＭＡＣ値をイメージセンサ３０に送信する。

　上記ステップＳ１３７で送信されたResponse_Host、暗号化ライセンスデータ、及びＭＡＣ値を受信したイメージセンサ３０は、ステップＳ３３３でResponse_Hostを検算する。すなわち、サーバ装置１から受信したChallenge_Host（Ch_H）と、先のステップＳ１３０で得られたChallenge_Sensor（Ch_S）と、サーバ装置１との間で共有されたKey_Authと “Auth2”とを用いて、先の［式２］によりResponse_Hostを計算する。

　ステップＳ３３３に続くステップＳ３３４でイメージセンサ３０は、一致判定処理として、ステップＳ３３３で計算（検算）したResponse_Hostとサーバ装置１側から受信したResponse_Hostとが一致するか否かを判定する。
　ステップＳ３３４において、両Response_Hostが一致しないと判定した場合、イメージセンサ３０はステップＳ３３９に進んで認証不成立と判定し、図１１に示す一連の処理を終える。つまりこの場合は、ステップＳ３２４による暗号化ＡＩモデルの復号化が行われないものとなるため、イメージセンサ３０において、ＡＩモデルを使用不能となる。

　一方、ステップＳ３３４において両Response_Hostが一致すると判定した場合、イメージセンサ３０はステップＳ３３５に進み、Enc_Keyを計算する。すなわち、ステップＳ１３０で得られたChallenge_Sensor（Ch_S）と、サーバ装置１から受信されたChallenge_Host（Ch_H）と、サーバ装置１との間で共有されたKey_Authと“ENC”とに基づき、先の［式４］によりEnc_Keyを計算する。
　そして、ステップＳ３３５に続くステップＳ３３６でイメージセンサ３０は、Enc_Keyにより暗号化ライセンスデータを復号化する。

　ステップＳ３３６に続くステップＳ３３７でイメージセンサ３０は、ＭＡＣ値を検算する。すなわち、ステップＳ１３０で得られたChallenge_Sensor（Ch_S）と、サーバ装置１から受信されたChallenge_Host（Ch_H）と、サーバ装置１との間で共有されたKey_Auth及び “MAC”と、ステップＳ３３６で復号化されたライセンスデータとに基づき、先の［式３］によりＭＡＣ値を計算する。
　そして、ステップＳ３３７に続くステップＳ３３８でイメージセンサ３０は、一致判定処理として、サーバ装置１から受信したＭＡＣ値とステップＳ３３７で計算（検算）したＭＡＣ値とが一致するか否かを判定する。すなわち、ライセンスデータの改竄有無判定である。

　ステップＳ３３８において、両ＭＡＣ値が一致しないと判定した場合、イメージセンサ３０はステップＳ３３９で認証不成立と判定し、図１１に示す一連の処理を終える。つまりライセンスデータの改竄有無判定により改竄有りと判定された場合は、イメージセンサ３０においてＡＩモデルを使用不能となる。

　一方、ステップＳ３３８において両ＭＡＣ値が一致すると判定した場合、イメージセンサ３０は先に説明したステップＳ３２３の処理、すなわち、ライセンスデータにおけるセンサＩＤと自身のセンサＩＤとが一致するか否かを判定する処理を行う。
　先に説明したように、両センサＩＤが一致しない場合にはステップＳ３２４の処理は行われず、イメージセンサ３０においてＡＩモデルを使用不能となる。
　一方で、両センサＩＤが一致する場合は、先に説明したステップＳ３２４の処理で暗号化ＡＩモデルが復号化された上で、ステップＳ３２５の処理が実行される。すなわち、ライセンスデータに含まれる使用上限条件を満たすようにＡＩ画像処理部４４のＡＩ処理の実行制御が行われるものである。

　なお、上記ではライセンスデータの全体を認証鍵（Key_Auth）に基づき暗号化してチャレンジレスポンス認証を行うものとしたが、これに代えて、ライセンスデータにおけるＡＩモデル暗号鍵のみを認証鍵（Key_Auth）に基づき暗号化してチャレンジレスポンス認証を行うことも考えられる。

＜４．変形例＞
　なお、実施形態としては上記した具体例に限定されるものでなく、多様な変形例としての構成を採り得る。
　例えば、上記では、イメージセンサ３０が起動ごとにサーバ装置１に対して使用開始要求を行う例を挙げたが、これはあくまで一例に過ぎず、使用開始要求は、起動以外の他の所定条件の成立に応じて行うことも考えられる。
　例えば、２４時間連続稼働を想定した場合には、例えば日付の切り替わりタイミングごと等、所定時間ごとにイメージセンサ３０がサーバ装置１に対して使用開始要求を行う等が考えられる。

　また、イメージセンサ３０がサーバ装置１に対して使用開始要求を行うことは必須ではない。例えば、２４時間連続稼働を想定した場合において、例えば日付の切り替わりタイミングごと等の所定時間ごとに、サーバ装置１がイメージセンサ３０にライセンスデータを送信することが考えられる。

　また、上記では、ライセンスデータの認証処理をチャレンジレスポンス認証により行うものとしたが、ライセンスデータの認証は、チャレンジレスポンス認証に限定されない。例えば、イメージセンサ３０に予め格納しておいたマスターキーを用いた認証とすることが考えられる。ここで言うマスターキーとは、対応品としてのイメージセンサ３０に対し製造時等の装置使用開始前に格納させた鍵情報を意味する。このマスターキーは、例えばセンサ内制御部４３における不揮発性メモリ部４３ｎ等、イメージセンサ３０内の所定の不揮発性のメモリに格納させておくことが考えられる。
　なお、マスターキーは、イメージセンサ３０の型番ごとに共通の値を割り振ることが想定される。或いは、別例として、製造のロットごとに共通の値としたり、ファームウェアバージョンごとに共通の値としたりすること等も考えられる。
　この場合、ライセンスデータは、上記のマスターキーに基づく暗号鍵により暗号化してサーバ装置１からイメージセンサ３０に送信する。ライセンスデータを受信したイメージセンサ３０では、自身に記憶されたマスターキーに基づき生成した鍵によりライセンスデータを復号化する。

　ここで、上記のようにマスターキーをライセンスデータの暗号鍵として用いる場合には、ライセンスデータの暗号鍵は、チャレンジレスポンス認証を行う場合のような揮発性の鍵（１回限り有効な鍵）とはならない。このため、通信路の盗聴が成功してしまった場合（つまり鍵が特定された場合）には、同じライセンスデータをイメージセンサ３０側に送ることで、ライセンスデータの暗号化を解くことができてしまう。換言すれば、上記で例示した２４時間等の使用上限を定めたライセンスデータを要求に応じて何度も送信する手法を採る場合には、盗聴に成功したライセンスデータをイメージセンサ３０側に送り続けることで、ＡＩモデルを永久に使い続けることが可能となってしまう。
　このため、マスターキーを用いてライセンスデータを暗号化する場合には、使用上限条件として、絶対期限を定める、つまりは使用可能な期間の少なくとも終了日時を定めることを要する。

　これに伴い、マスターキーを用いてライセンスデータを暗号化する手法を採る場合は、イメージセンサ３０にリアルタイムクロックを設けて、センサ内制御部４３は、該リアルタイムクロックの計時情報と上記のように絶対期限を定めた使用上限条件情報とに基づきＡＩ処理の実行制御を行う。或いは、リアルタイムクロックは、イメージセンサ３０外部の例えば制御部３３に設けることも考えられ、その場合、センサ内制御部４３は、このようにイメージセンサ３０外に設けられたリアルタイムクロックの計時情報に基づき、使用上限条件情報に従ったＡＩ処理の実行制御を行う。

　ここで、これまでの説明では、カメラ３が撮像画像としてカラー画像を得る構成とされた場合を例示したが、本明細書において「撮像」とは、被写体を捉えた画像データを得ることを広く意味する。ここで言う画像データは、複数の画素データで成るデータを総称したもので、画素データとしては、被写体からの受光量の強度を示すデータのみでなく、例えば被写体まで距離や偏光情報、温度の情報等を広く含む概念である。すなわち、「撮像」により得られる「画像データ」には、画素ごとに受光量の強度の情報を示す階調画像としてのデータや、画素ごとに被写体までの距離の情報を示す距離画像としてのデータ、或いは画素ごとに入射光の偏光情報を示す偏光画像としてのデータ、画素ごとに温度の情報を示すサーマル画像としてのデータ等を含むものである。

　また、これまでの説明では、ライセンスデータが示す使用上限条件として、期間的な条件を例示したが、本技術において使用上限条件とは、ＡＩモデルの使用上限に係る条件を広く意味するものである。
　例えば、期間以外の使用上限条件の例としては、ＡＩ処理の処理量に係る条件を挙げることができる。例えば、日ごと等、使用許可契約期間内に複数回送信するライセンスデータにおける使用上限条件として、物体検出処理を行うＡＩモデルについて、物体検出数の上限値を定めること等を挙げることができる。この場合、イメージセンサ３０（センサ内制御部４３）は、ライセンスデータの受信に応じて、ＡＩ画像処理部４４による物体検出数が、該ライセンスデータにおける使用上限条件情報が示す物体検出数の上限値を超えないように、ＡＩ画像処理部４４によるＡＩ処理の実行制御を行うことになる。

　また、これまでの説明では、チャレンジレスポンス認証等の認証処理で扱うデータの例としてライセンスデータを例示したが、認証処理で扱うデータとしてはこれらに限るものではなく、例えば、イメージセンサ３０の画質調整パラメータを扱うようにすることも考えられる。ここで言う画質調整パラメータとは、シャッタスピードやゲイン、その他の画質調整に係るパラメータを広く意味する。また、画質調整パラメータの情報には、パラメータ設定の手動設定／自動設定の別を指示するフラグ情報を含ませてもよい。
　例えば、画質調整パラメータを暗号化して転送し、ＭＡＣ値にて改竄有無を判定することで、ライセンスデータの場合と同様に、画質調整パラメータの情報についても機密性・完全性を担保することができる。

＜５．実施形態のまとめ＞
　以上で説明したように実施形態としてのセンサ装置（イメージセンサ３０）は、被写体を撮像する撮像部（同４１）と、撮像部による撮像画像を対象としてＡＩモデルを用いた処理であるＡＩ処理を行うＡＩ処理部（ＡＩ画像処理部４４）と、ＡＩモデルに関する使用上限条件を示すライセンスデータを外部装置から受信し、使用上限条件を満たすようにＡＩ処理部によるＡＩ処理の実行制御を行う制御部（センサ内制御部４３）と、を備えるものである。
　上記構成によれば、ＡＩ処理部は撮像部を有するセンサ装置内に設けられる。そして、上記構成によれば、ＡＩ機能を有する撮像装置についてＡＩモデルをサブスクリプション的に使用させようとした場合に、例えば使用期限等の使用上限条件を満たすためのＡＩ処理の実行制御がセンサ装置内で行われる。このように使用上限条件を満たすためのＡＩ処理の実行制御がセンサ装置内で行われることで、センサ装置と撮像装置内におけるセンサ装置外部のプロセッサとの間の通信路が攻撃されたとしても使用上限条件が不正に操作され難くなるようにすることが可能となる。
　従って、ＡＩ機能を有する撮像装置についてＡＩモデルをサブスクリプション的に使用させるにあたり、不正行為等により使用上限条件を逸脱するＡＩモデルの使用が行われてしまうことの防止を図ることができる。すなわち、ＡＩモデルが不正使用されてしまうことの防止を図ることができる。

　また、実施形態としてのセンサ装置においては、ＡＩ処理部は、使用するＡＩモデルを変更可能に構成され、制御部は、外部装置より受信されたＡＩモデルをＡＩ処理部が使用するＡＩモデルとして設定する処理を行い、ライセンスデータは、ＡＩモデルとは別データとして外部装置より送信されるデータとされている。
　これにより、ＡＩモデルをサブスクリプション的に使用させようとした場合において、センサ装置に対し、ＡＩモデルの送信タイミングとは異なるタイミングでライセンスデータを送信することが可能となる。例えば、ＡＩモデルは、代金支払い等の契約完了のタイミングで送信しておき、ライセンスデータは、センサ装置が実際にＡＩモデルの使用を開始するタイミングで送信するといったことが可能となる。
　従って、ＡＩモデルの使用開始時に外部装置やセンサ装置が送受信するデータ量が増大して外部装置やセンサ装置の処理負荷が増大してしまうことの防止を図ることができる。
　また、特に、ライセンスデータを揮発性として使用許可契約期間内においてセンサ装置に複数回送信する構成を採る場合には、ライセンスデータと共にＡＩモデルを送信する必要がなくなる。ＡＩモデルは、例えば数メガバイト等の比較的大きなデータ容量を有するため、複数回のＡＩモデルの送信が不要となることで、ＡＩモデルの送信側の処理負担を軽減することができる。特に、ＡＩモデルの送信側が、複数のセンサ装置についてＡＩモデルの送信管理を行う場合には、送信すべきデータ量を大幅に削減でき、処理負担も大幅に軽減することができる。さらに、実施形態のようにセキュリティ対策のためＡＩモデルを暗号化して送信する場合には、使用許可契約期間内においてＡＩモデルを複数回暗号化処理する必要もなくなるので、処理負担のさらなる軽減を図ることができる。

　さらに、実施形態としてのセンサ装置においては、外部装置は、センサ装置に対し、ＡＩモデルを暗号化して送信すると共に、ライセンスデータとして、ＡＩモデルの暗号鍵を含むデータを送信し、制御部は、ライセンスデータに含まれる暗号鍵に基づいてＡＩモデルの復号化を行っている。
　これにより、ＡＩモデルを受信しなければＡＩモデルの使用が不能となるようにすることが可能となる。
　従って、ライセンスデータを受信せずに不正にＡＩモデルを使用可能となってしまうことの防止を図ることができ、セキュリティの向上を図ることができる。

　さらにまた、実施形態としてのセンサ装置においては、制御部は、外部装置との間で、ライセンスデータについての認証処理としてチャレンジレスポンス認証の処理を行っている。
　これにより、反射攻撃（リプレイアタック）としての不正アクセスに対する耐性を高めることが可能となり、ライセンスデータの改竄等の不正行為の発生防止効果を高めることが可能となる。
　従って、使用上限条件を逸脱するＡＩモデルの使用が行われてしまうことの防止を図ることができる。

　また、実施形態としてのセンサ装置においては、ライセンスデータは、ＡＩモデルの使用許可契約期間内において複数回送信され、制御部は、ライセンスデータの受信ごとに、受信したライセンスデータに基づいて実行制御を行っている。
　ライセンスデータの認証処理にチャレンジレスポンス認証を採用したことで、ライセンスデータの暗号鍵は、１セッションのみ有効な鍵となる。換言すれば、ライセンスデータは、１セッションのみ有効な揮発性ライセンスとなる。このようにライセンスデータが揮発性ライセンスとされることで、ライセンスデータとしては、使用上限条件として、使用許可契約期間よりも短い使用上限期間に対応した条件を定めたものを、上記構成のように使用許可契約期間内において複数回センサ装置に送信することが可能となる。
　仮に、１ヶ月の使用許可に対し、１ヶ月分の使用可能期間を示す一つのライセンスデータを一度のみセンサ装置に送信する手法を採った場合には、そのライセンスデータの盗聴が成功してしまった場合に、契約による使用許可条件を逸脱した使用が可能となってしまう。これに対し、上記のように契約による使用許可期間内で複数回に分けて揮発性のライセンスデータを送信する手法を採ることで、一つのライセンスデータについて盗聴に成功したとしても、他のタイミングで送信されたライセンスデータについてはセキュリティを保つことが可能となり、ＡＩモデルが契約条件から逸脱して不正に使用されてしまうことの防止を図ることができる。

　また、実施形態としてのセンサ装置においては、制御部は、ライセンスデータと、ＡＩ処理部による処理フレーム数のカウント値とに基づいて実行制御を行っている。
　上記構成によれば、ライセンスデータに従った使用上限条件の管理は、ＡＩ処理部による処理フレーム数のカウント値に基づいて行うことができるため、使用上限条件の管理のためにセンサ装置にリアルタイムクロックを設ける必要はなくなる。
　従って、センサ装置にリアルタイムクロック駆動のために電源を供給し続ける必要がなくなり、消費電力削減を図ることができる。

　さらに、実施形態としてのセンサ装置においては、チャレンジレスポンス認証に用いられる乱数を撮像画像に生じるノイズに基づき生成する乱数生成部（同４９）を備えている。
　これにより、チャレンジレスポンス認証を可能とするにあたり、乱数生成のための専用のハードウェアをセンサ装置に設ける必要がなくなる。
　従って、センサ装置の構成部品点数の削減、及びコスト削減を図ることができる。
　また、擬似乱数生成のためのメモリが確保されていないセンサ装置においても、チャレンジレスポンス認証のための乱数生成を行うことができるようになる。

　さらにまた、実施形態としてのセンサ装置においては、ライセンスデータには、使用上限条件を示す情報と共に、センサ装置を識別するためのセンサＩＤが含まれ、制御部は、ライセンスデータに含まれるセンサＩＤと、自装置のセンサＩＤとを照合した結果に基づいて実行制御を行っている。
　これにより、センサ装置では、自装置のセンサＩＤがライセンスデータに含まれるセンサＩＤと一致する場合のみＡＩ処理が行われるように制御するといったことが可能となる。
　従って、契約対象のセンサ装置でのみＡＩモデルが使用されるように図ることができ、契約対象外のセンサ装置がＡＩモデルを不正に使用できてしまうことの防止を図ることができる。

　また、実施形態としてのセンサ装置においては、自装置内の所定のメモリに鍵情報（認証鍵：Key_Auth）が記憶されており、ライセンスデータは、鍵情報と同一の鍵情報に基づき暗号化されてセンサ装置に送信され、制御部は、暗号化されたライセンスデータである暗号化ライセンスデータを受信し、暗号化ライセンスデータをメモリに記憶された鍵情報に基づき復号化して実行制御に用いている。
　これにより、予め鍵情報が記憶された対応品としてのセンサ装置のみがライセンスデータを復号化できるようにすることが可能となる。
　従って、鍵情報が記憶されていない非対応品としてのセンサ装置がライセンスデータを受信してＡＩモデルを使用可能となってしまうことの防止を図ることができる。

　さらに、実施形態としてのセンサ装置においては、外部装置より、ライセンスデータと共にライセンスデータの改竄有無判定用のデータである改竄判定用データが送信され、制御部は、改竄判定用データに基づきライセンスデータの改竄が無いと判定したことを条件に、ライセンスデータに基づく実行制御を行っている。
　これにより、正しいライセンスデータ以外のデータに基づいてＡＩモデルが使用されてしまうことの防止を図ることが可能となる。
　従って、ＡＩモデルの不正使用防止を図ることができる。

　また、実施形態としての制御方法は、被写体を撮像する撮像部と、撮像部による撮像画像を対象としてＡＩモデルを用いた処理であるＡＩ処理を行うＡＩ処理部とを備えたセンサ装置における制御方法であって、ＡＩモデルに関する使用上限条件を示すライセンスデータを外部装置から受信し、使用上限条件を満たすようにＡＩ処理部によるＡＩ処理の実行制御を行う制御方法である。
　このような制御方法によっても、上記した実施形態としてのセンサ装置と同様の作用及び効果を得ることができる。

　実施形態としての情報処理装置（サーバ装置１）は、被写体を撮像する撮像部と、撮像部による撮像画像を対象としてＡＩモデルを用いた処理であるＡＩ処理を行うＡＩ処理部と、ＡＩモデルに関する使用上限条件を示すライセンスデータに基づき、使用上限条件を満たすようにＡＩ処理部によるＡＩ処理の実行制御を行う制御部と、を備えるセンサ装置（イメージセンサ３０）に対し、ライセンスデータを送信する送信部（通信部２０）を備えたものである。
　このような情報処理装置により、センサ装置におけるＡＩモデル使用条件を定めることができる。

　また、実施形態としての情報処理システム（同１００）は、被写体を撮像する撮像部と、撮像部による撮像画像を対象としてＡＩモデルを用いた処理であるＡＩ処理を行うＡＩ処理部と、ＡＩモデルに関する使用上限条件を示すライセンスデータに基づき、使用上限条件を満たすようにＡＩ処理部によるＡＩ処理の実行制御を行う制御部と、を有するセンサ装置（イメージセンサ３０）と、センサ装置に対し、ライセンスデータを送信する送信部を有する情報処理装置（サーバ装置１）と、を備えたものである。
　このような情報処理システムにより、ＡＩ機能を有する撮像装置においてＡＩモデルが不正使用されてしまうことの防止を図ることができる。

　なお、本明細書に記載された効果はあくまでも例示であって限定されるものではなく、また他の効果があってもよい。

＜６．本技術＞
　本技術は以下のような構成を採ることもできる。
（１）
　被写体を撮像する撮像部と、
　前記撮像部による撮像画像を対象としてＡＩモデルを用いた処理であるＡＩ処理を行うＡＩ処理部と、
　前記ＡＩモデルに関する使用上限条件を示すライセンスデータを外部装置から受信し、前記使用上限条件を満たすように前記ＡＩ処理部によるＡＩ処理の実行制御を行う制御部と、を備える
　センサ装置。
（２）
　前記ＡＩ処理部は、使用するＡＩモデルを変更可能に構成され、
　前記制御部は、外部装置より受信されたＡＩモデルを前記ＡＩ処理部が使用するＡＩモデルとして設定する処理を行い、
　前記ライセンスデータは、前記ＡＩモデルとは別データとして外部装置より送信されるデータとされた
　前記（１）に記載のセンサ装置。
（３）
　前記外部装置は、前記センサ装置に対し、前記ＡＩモデルを暗号化して送信すると共に、前記ライセンスデータとして、前記ＡＩモデルの暗号鍵を含むデータを送信し、
　前記制御部は、前記ライセンスデータに含まれる前記暗号鍵に基づいて前記ＡＩモデルの復号化を行う
　前記（１）又は（２）に記載のセンサ装置。
（４）
　前記制御部は、前記外部装置との間で、前記ライセンスデータについての認証処理としてチャレンジレスポンス認証の処理を行う
　前記（１）から（３）の何れかに記載のセンサ装置。
（５）
　前記ライセンスデータは、前記ＡＩモデルの使用許可契約期間内において複数回送信され、
　前記制御部は、前記ライセンスデータの受信ごとに、受信した前記ライセンスデータに基づいて前記実行制御を行う
　前記（４）に記載のセンサ装置。
（６）
　前記制御部は、前記ライセンスデータと、前記ＡＩ処理部による処理フレーム数のカウント値とに基づいて前記実行制御を行う
　前記（５）に記載のセンサ装置。
（７）
　前記チャレンジレスポンス認証に用いられる乱数を前記撮像画像に生じるノイズに基づき生成する乱数生成部を備えた
　前記（４）から（６）の何れかに記載のセンサ装置。
（８）
　前記ライセンスデータには、前記使用上限条件を示す情報と共に、センサ装置を識別するためのセンサＩＤが含まれ、
　前記制御部は、前記ライセンスデータに含まれる前記センサＩＤと、自装置のセンサＩＤとを照合した結果に基づいて前記実行制御を行う
　前記（１）から（７）の何れかに記載のセンサ装置。
（９）
　自装置内の所定のメモリに鍵情報が記憶されており、
　前記ライセンスデータは、前記鍵情報と同一の鍵情報に基づき暗号化されて前記センサ装置に送信され、
　前記制御部は、暗号化された前記ライセンスデータである暗号化ライセンスデータを受信し、前記暗号化ライセンスデータを前記メモリに記憶された前記鍵情報に基づき復号化して前記実行制御に用いる
　前記（１）から（８）の何れかに記載のセンサ装置。
（１０）
　前記外部装置より、前記ライセンスデータと共に前記ライセンスデータの改竄有無判定用のデータである改竄判定用データが送信され、
　前記制御部は、前記改竄判定用データに基づき前記ライセンスデータの改竄が無いと判定したことを条件に、前記ライセンスデータに基づく前記実行制御を行う
　前記（１）から（９）の何れかに記載のセンサ装置。
（１１）
　被写体を撮像する撮像部と、前記撮像部による撮像画像を対象としてＡＩモデルを用いた処理であるＡＩ処理を行うＡＩ処理部とを備えたセンサ装置における制御方法であって、
　前記ＡＩモデルに関する使用上限条件を示すライセンスデータを外部装置から受信し、前記使用上限条件を満たすように前記ＡＩ処理部によるＡＩ処理の実行制御を行う
　制御方法。
（１２）
　被写体を撮像する撮像部と、前記撮像部による撮像画像を対象としてＡＩモデルを用いた処理であるＡＩ処理を行うＡＩ処理部と、前記ＡＩモデルに関する使用上限条件を示すライセンスデータに基づき、前記使用上限条件を満たすように前記ＡＩ処理部によるＡＩ処理の実行制御を行う制御部と、を備えるセンサ装置に対し、前記ライセンスデータを送信する送信部を備えた
　情報処理装置。
（１３）
　被写体を撮像する撮像部と、前記撮像部による撮像画像を対象としてＡＩモデルを用いた処理であるＡＩ処理を行うＡＩ処理部と、前記ＡＩモデルに関する使用上限条件を示すライセンスデータに基づき、前記使用上限条件を満たすように前記ＡＩ処理部によるＡＩ処理の実行制御を行う制御部と、を有するセンサ装置と、
　前記センサ装置に対し、前記ライセンスデータを送信する送信部を有する情報処理装置と、を備えた
　情報処理システム。

１　サーバ装置
３　カメラ
Ｆ１　ライセンスオーソリ機能
Ｆ２　アカウントサービス機能
Ｆ３　マーケットプレイス機能
Ｆ４　ＡＩサービス機能
３０　イメージセンサ
３１　撮像光学系
３２　光学系駆動部
３３　制御部
３４　メモリ部
３５　通信部
３６　センサ部
３７　バス
４１　撮像部
４２　画像信号処理部
４３　センサ内制御部
４３ｎ　不揮発性メモリ部
４３ｖ　揮発性メモリ部
４３ａ　認証処理部
４３ｂ　実行制御部
４４　ＡＩ画像処理部
４５　メモリ部
４６　コンピュータビジョン処理部
４７　通信インタフェース
４８　バス
４９　乱数生成部

Claims

　被写体を撮像する撮像部と、
　前記撮像部による撮像画像を対象としてＡＩモデルを用いた処理であるＡＩ処理を行うＡＩ処理部と、
　前記ＡＩモデルに関する使用上限条件を示すライセンスデータを外部装置から受信し、前記使用上限条件を満たすように前記ＡＩ処理部によるＡＩ処理の実行制御を行う制御部と、を備える
　センサ装置。
　前記ＡＩ処理部は、使用するＡＩモデルを変更可能に構成され、
　前記制御部は、外部装置より受信されたＡＩモデルを前記ＡＩ処理部が使用するＡＩモデルとして設定する処理を行い、
　前記ライセンスデータは、前記ＡＩモデルとは別データとして外部装置より送信されるデータとされた
　請求項１に記載のセンサ装置。
　前記外部装置は、前記センサ装置に対し、前記ＡＩモデルを暗号化して送信すると共に、前記ライセンスデータとして、前記ＡＩモデルの暗号鍵を含むデータを送信し、
　前記制御部は、前記ライセンスデータに含まれる前記暗号鍵に基づいて前記ＡＩモデルの復号化を行う
　請求項１に記載のセンサ装置。
　前記制御部は、前記外部装置との間で、前記ライセンスデータについての認証処理としてチャレンジレスポンス認証の処理を行う
　請求項１に記載のセンサ装置。
　前記ライセンスデータは、前記ＡＩモデルの使用許可契約期間内において複数回送信され、
　前記制御部は、前記ライセンスデータの受信ごとに、受信した前記ライセンスデータに基づいて前記実行制御を行う
　請求項４に記載のセンサ装置。
　前記制御部は、前記ライセンスデータと、前記ＡＩ処理部による処理フレーム数のカウント値とに基づいて前記実行制御を行う
　請求項５に記載のセンサ装置。
　前記チャレンジレスポンス認証に用いられる乱数を前記撮像画像に生じるノイズに基づき生成する乱数生成部を備えた
　請求項４に記載のセンサ装置。
　前記ライセンスデータには、前記使用上限条件を示す情報と共に、センサ装置を識別するためのセンサＩＤが含まれ、
　前記制御部は、前記ライセンスデータに含まれる前記センサＩＤと、自装置のセンサＩＤとを照合した結果に基づいて前記実行制御を行う
　請求項１に記載のセンサ装置。
　自装置内の所定のメモリに鍵情報が記憶されており、
　前記ライセンスデータは、前記鍵情報と同一の鍵情報に基づき暗号化されて前記センサ装置に送信され、
　前記制御部は、暗号化された前記ライセンスデータである暗号化ライセンスデータを受信し、前記暗号化ライセンスデータを前記メモリに記憶された前記鍵情報に基づき復号化して前記実行制御に用いる
　請求項１に記載のセンサ装置。
　前記外部装置より、前記ライセンスデータと共に前記ライセンスデータの改竄有無判定用のデータである改竄判定用データが送信され、
　前記制御部は、前記改竄判定用データに基づき前記ライセンスデータの改竄が無いと判定したことを条件に、前記ライセンスデータに基づく前記実行制御を行う
　請求項１に記載のセンサ装置。
　被写体を撮像する撮像部と、前記撮像部による撮像画像を対象としてＡＩモデルを用いた処理であるＡＩ処理を行うＡＩ処理部とを備えたセンサ装置における制御方法であって、
　前記ＡＩモデルに関する使用上限条件を示すライセンスデータを外部装置から受信し、前記使用上限条件を満たすように前記ＡＩ処理部によるＡＩ処理の実行制御を行う
　制御方法。
　被写体を撮像する撮像部と、前記撮像部による撮像画像を対象としてＡＩモデルを用いた処理であるＡＩ処理を行うＡＩ処理部と、前記ＡＩモデルに関する使用上限条件を示すライセンスデータに基づき、前記使用上限条件を満たすように前記ＡＩ処理部によるＡＩ処理の実行制御を行う制御部と、を備えるセンサ装置に対し、前記ライセンスデータを送信する送信部を備えた
　情報処理装置。
　被写体を撮像する撮像部と、前記撮像部による撮像画像を対象としてＡＩモデルを用いた処理であるＡＩ処理を行うＡＩ処理部と、前記ＡＩモデルに関する使用上限条件を示すライセンスデータに基づき、前記使用上限条件を満たすように前記ＡＩ処理部によるＡＩ処理の実行制御を行う制御部と、を有するセンサ装置と、
　前記センサ装置に対し、前記ライセンスデータを送信する送信部を有する情報処理装置と、を備えた
　情報処理システム。