WO2024004556A1

WO2024004556A1 - 情報管理方法及び情報管理装置

Info

Publication number: WO2024004556A1
Application number: PCT/JP2023/021171
Authority: WO
Inventors: 達哉岡部; 陽彦並木; 貴一村上
Original assignee: 株式会社デンソー
Priority date: 2022-06-27
Filing date: 2023-06-07
Publication date: 2024-01-04
Also published as: JP2024003677A

Abstract

報告者端末（５０）は、管理者（ＡＤＭ）の管理下にあるサプライヤ（ＳＲ）にて収集される情報を管理する。報告者端末（５０）にて実施される情報管理方法においては、サプライヤ（ＳＲ）側にて準備される報告者データに基づく送信データが、管理者（ＡＤＭ）に紐づく情報記録サーバ（１００ｒ）に送信される。加えて、送信データのバックアップが準備されると共に、このバックアップが改変されていないことの確認に用いる確認用情報がさらに準備される。そして、バックアップは、確認用情報と共に報告者データベース（ＳＤＢ）に格納される。

Description

情報管理方法及び情報管理装置

関連出願の相互参照

　この出願は、２０２２年６月２７日に日本に出願された特許出願第２０２２－１０２９８９号を基礎としており、基礎の出願の内容を、全体的に、参照により援用している。

　この明細書による開示は、情報管理の技術に関する。

　特許文献１に開示されたサプライチェーン管理システムでは、サプライチェーンを構成する取引者にて取得されたアイテムの納入記録等の情報が、サプライチェーンを管理する管理者のデータ管理サーバに送信される。その結果、サプライチェーンにおける取引記録を、改ざん困難に蓄積することが可能になる。

国際公開第２０２１／００２２２６号

　特許文献１のサプライチェーン管理システムにおいて、個々の取引者は、送信データのバックアップを自らのデータベースに残すことが可能である。しかし、取引者側のバックアップが改変された場合、改変の有無を確認することが困難となる。

　本開示は、バックアップが改変されたことを確認可能な情報管理方法及び情報管理装置の提供を目的とする。

　上記目的を達成するため、開示された一つの態様は、コンピュータによって実施され、管理者の管理下にある報告者にて収集される情報を管理する情報管理方法であって、少なくとも一つのプロセッサにて実行される処理に、報告者側にて準備される報告者データに基づく送信データを、管理者に紐づく送信先に送信し、送信データのバックアップを準備し、バックアップが改変されていないことの確認に用いる確認用情報をさらに準備し、確認用情報と共にバックアップを報告者のデータベースに格納する、というステップを含む情報管理方法とされる。

　また開示された一つの態様は、管理者の管理下にある報告者にて取得される情報を管理する情報管理装置であって、報告者側にて準備される報告者データに基づく送信データを、管理者に紐づく送信先に送信するデータ送信部と、送信データのバックアップを準備し、バックアップが改変されていないことの確認に用いる確認用情報をさらに準備し、確認用情報と共にバックアップを報告者のデータベースに格納するデータ格納部と、を備える情報管理装置とされる。

　これらの態様では、送信データのバックアップが改変されていないことの確認に用いる確認用情報が準備され、バックアップと共に報告者のデータベースに格納される。故に、確認用情報を用いることで、バックアップが改変されたことの確認が可能となる。

　尚、請求の範囲における括弧内の参照番号は、後述する実施形態における具体的な構成との対応関係の一例を示すものにすぎず、技術的範囲を何ら制限するものではない。また、特に組み合わせに支障が生じなければ、請求の範囲において明示していない請求項同士の組み合せも可能である。

本開示の第一実施形態によるトレーサビリティ管理の全体像を示す図である。トレーサビリティ管理に関連するシステム及び端末等の電気的な構成を示すブロック図である。情報記録サーバ及び報告者端末にて実施される主要な処理の全体像を示す図である。報告者端末にて実施される報告者処理の詳細を示すフローチャートである。報告者データベースに保存されるバックアップの一例を示す図である。報告者データベースに保存される確認データの一例を示す図である。確認データを生成する処理の１つのパターンを図８と共に示す図である。確認データを生成する処理の１つのパターンを図７と共に示す図である。確認データを生成する処理の別のパターンを図７と共に示す図である。確認データを生成する処理のさらに別のパターンを図１１と共に示す図である。確認データを生成する処理のさらに別のパターンを図１０と共に示す図である。バックアップが変更された場合に記録される意思確認記録の一例を示す図である。第二実施形態にて実施される主要な処理の全体像を示す図である。

　以下、複数の実施形態を図面に基づいて説明する。尚、各実施形態において対応する構成要素には同一の符号を付すことにより、重複する説明を省略する場合がある。各実施形態において構成の一部分のみを説明している場合、当該構成の他の部分については、先行して説明した他の実施形態の構成を適用することができる。また、各実施形態の説明において明示している構成の組み合わせばかりではなく、特に組み合わせに支障が生じなければ、明示していなくても複数の実施形態の構成同士を部分的に組み合せることができる。

　（第一実施形態）
　図１に示す本開示の第一実施形態におけるサプライチェーンＳＣは、工業製品、農業製品及び水産物等をエンドユーザＵＳに届けるための取引者同士の繋がりである。サプライチェーンＳＣは、複数のサプライヤＳＲ及び完成品メーカーＭＦ等を取引者として含むことによって構築されている。サプライチェーンＳＣによって供給される最終製品は、例えば自動車、バッテリ、半導体、生鮮食品、水産物、食品、花き類、医薬品、及び化学薬品等、種々の物品であってよい。

　一例として、工業製品をエンドユーザＵＳに届けるためのサプライチェーンＳＣでは、材料採掘業者、材料生産者及び加工業者等がサプライヤＳＲとして含まれている。各サプライヤＳＲは、バージン材及びリサイクル材等の原材料、又は（及び）前工程のサプライヤＳＲから納入されたアイテムＩＭ等に対して加工等の処理を行い、別のアイテムＩＭとして次工程のサプライヤＳＲ又は完成品メーカーＭＦに出荷する。サプライチェーンＳＣには、アイテムＩＭ及び最終製品の流通に関連する運送業者及び販売業者等がさらに含まれていてもよい。加えて、最終製品を使用するエンドユーザＵＳ、並びに最終製品のリユース、リビルド、リサイクル及び廃棄等を行う２次利用者Ｕ２及びリサイクル業者ＲＣ等が、サプライチェーンＳＣに含まれていてもよい。

　サプライチェーンＳＣは、管理者ＡＤＭによって管理される。管理者ＡＤＭは、例えば完成品メーカーＭＦから管理業務を委託された代行業者であってもよく、或いは最終製品の属するカテゴリに対し監督権限を持つ監督官庁又は監督官庁から管理及び監査の業務を委託された代行機関であってもよい。図１～図３に示すように、管理者ＡＤＭは、トレーサビリティ管理システム１００を運用し、サプライチェーンＳＣにおいて記録された種々の情報を管理する。

　トレーサビリティ管理システム１００は、報告者端末５０、メーカー端末１０ａ、及びユーザ端末１０ｂ等とネットワークを通じて通信可能である。最終製品（例えば、自動車等）が通信機能を有している場合、トレーサビリティ管理システム１００は、最終製品とも通信可能であってよい。トレーサビリティ管理システム１００は、ブロックチェーンＢＣの技術を利用した情報管理により、ネットワークを通じて取得した情報を実質的に改ざん不可能な状態で保存する。加えて、トレーサビリティ管理システム１００は、管理者ＡＤＭ（又は監督官庁）、エンドユーザＵＳ及び完成品メーカーＭＦ等の要求に応じて、個々のサプライヤＳＲ等の管理下にある情報を収集し、要求元に開示する。

　報告者端末５０は、サプライヤＳＲによって運用される情報処理装置である。報告者端末５０は、個々のサプライヤＳＲに紐づいている。報告者端末５０は、アイテムＩＭに関連する履歴情報ＴＲＩ等を蓄積する。履歴情報ＴＲＩは、どのような取引会社（前工程のサプライヤＳＲ）から原材料又は部品等を購入しているか、いつ取得したものなのか等の情報である。さらに、コストに関連する情報、及びアイテムＩＭの製造によって排出された温室効果ガスの排出量（カーボンフットプリント）等が、履歴情報ＴＲＩとして記録されてもよい。

　履歴情報ＴＲＩは、報告者端末５０によって保管され、状況に応じて外部に開示される。例えば、アイテムＩＭ又は最終製品に何らかの不具合が発生した場合又は発生する可能性がある場合、履歴情報ＴＲＩは、管理者ＡＤＭを通じて、他の取引者、完成品メーカーＭＦ又はエンドユーザＵＳ等に提供される。提供された履歴情報ＴＲＩは、不具合の原因調査等のために利用される。以上のように、履歴情報ＴＲＩの少なくとも一部は、アイテムＩＭのトレーサビリティを実現するための情報となる。

　報告者端末５０は、アイテムＩＭを識別する固有の識別情報（以下、アイテム識別情報ＵＩＤ）の発行を、トレーサビリティ管理システム１００から受ける。アイテム識別情報ＵＩＤは、互いに重複しない一意の識別子（unique identification）である。一例として、アイテム識別情報ＵＩＤは、３２桁の文字列とされる。アイテム識別情報ＵＩＤは、部品等だけでなく、リサイクル材等にも発行されてよい。アイテム識別情報ＵＩＤは、サプライヤＳＲから出荷されるアイテムＩＭに添付され、アイテムＩＭと共に次工程の取引者に納入される。報告者端末５０は、特定のアイテムＩＭについて、履歴情報ＴＲＩを含む元データから生成したハッシュ値ＨＶを、発行されたアイテム識別情報ＵＩＤと関連付けて、トレーサビリティ管理システム１００にアップロードする。

　メーカー端末１０ａは、完成品メーカーＭＦによって運用される情報処理装置である。メーカー端末１０ａは、最終製品を識別する製品識別情報ＰＩＤと、その最終製品に使用された１つ又は複数のアイテムＩＭのアイテム識別情報ＵＩＤとを紐づけるリンク情報ＬＩ（図１参照）を生成する。メーカー端末１０ａは、製品識別情報ＰＩＤ、アイテム識別情報ＵＩＤ、及びリンク情報ＬＩをトレーサビリティ管理システム１００にアップロードする。

　ユーザ端末１０ｂは、エンドユーザＵＳ、２次利用者Ｕ２又はリサイクル業者ＲＣによって利用される情報処理装置である。例えば、スマートフォン又はタブレット端末等が、ユーザ端末１０ｂとして利用可能である。ユーザ端末１０ｂは、２次利用者Ｕ２又はリサイクル業者ＲＣによって利用される場合、最終製品に使用されていたアイテムＩＭの利用態様の変更を示す変更情報ＸＩ（図１参照）を、トレーサビリティ管理システム１００にアップロードする。例えば、アイテムＩＭの消失を示す変更情報ＸＩ、又はリンク情報ＬＩの修正又は移管を要請する変更情報ＸＩ等がトレーサビリティ管理システム１００に通知される。

　メーカー端末１０ａ及びユーザ端末１０ｂは、製品識別情報ＰＩＤ又はアイテム識別情報ＵＩＤを用いて、最終製品又はアイテムＩＭに関連する履歴情報ＴＲＩの開示を、トレーサビリティ管理システム１００に要求可能である。メーカー端末１０ａ及びユーザ端末１０ｂは、トレーサビリティ管理システム１００から履歴情報ＴＲＩを取得し、ディスプレイ等に表示する。以上のように、エンドユーザＵＳ、２次利用者Ｕ２、リサイクル業者ＲＣ、及び完成品メーカーＭＦは、メーカー端末１０ａ又はユーザ端末１０ｂを照会端末１０ｃとして利用し、履歴情報ＴＲＩを閲覧できる。

　次に、トレーサビリティ管理システム１００及び報告者端末５０の各詳細を、図１～図３に基づき、さらに説明する。

　トレーサビリティ管理システム１００は、アプリ配信サーバ１００ａ、情報記録サーバ１００ｒ、及び情報照会サーバ１００ｉを備えている。各サーバ１００ａ，１００ｒ，１００ｉは、制御回路１００ｃを主体とする情報処理装置である。制御回路１００ｃは、プロセッサ１１、ＲＡＭ（Random Access Memory）１２、記憶部１３、入出力インターフェース１４及びこれらを接続するバス等を備え、演算処理を実施するコンピュータとして機能する。プロセッサ１１は、ＲＡＭ１２と結合された演算処理のためのハードウェアであり、記憶部１３に格納されたプログラムを実行する。

　アプリ配信サーバ１００ａは、ハッシュ化アプリＨＡＰを配信するサーバ装置として機能する。ハッシュ化アプリＨＡＰは、各報告者端末５０にインストールされるアプリケーションプログラムである。ハッシュ化アプリＨＡＰは、各報告者端末５０において、管理者ＡＤＭの指定するルールに基づき、履歴情報ＴＲＩを少なくとも含む報告者データをハッシュ化するハッシュ化処理を実施し、ハッシュ値ＨＶを生成する。ハッシュ化アプリＨＡＰは、定期的な更新により、トレーサビリティ管理におけるセキュリティの維持を可能にする。尚、ハッシュ化アプリＨＡＰの配信は、報告者端末５０を動作させるオペレーティングシステムのプラットフォーマーによって実施されてもよい。

　情報記録サーバ１００ｒは、アイテムＩＭに関連した情報を管理する管理者ＡＤＭ側の情報管理装置として機能する。情報記録サーバ１００ｒは、管理者ＡＤＭの管理下にあるサプライヤＳＲ等にて収集され、管理者ＡＤＭ側に提出された種々の情報を管理する。情報記録サーバ１００ｒは、記憶部１３に格納された情報管理プログラムをプロセッサ１１にて実行させることにより、発行部３１及び格納部３２等の機能部を有する（図２参照）。

　発行部３１は、ＩＤ発行処理の実施により、各サプライヤＳＲに紐づく報告者端末５０に、アイテム識別情報ＵＩＤを発行する（図３　Ｓ１１参照）。発行部３１は、サプライヤＳＲ（報告者端末５０）からの要請に応じてＩＤ発行処理を実施し、サプライヤＳＲが必要とする数のアイテム識別情報ＵＩＤを発行する。発行部３１は、所定数のアイテム識別情報ＵＩＤを纏めて発行するバッチ処理、アイテム識別情報ＵＩＤを随時発行する処理、及びアイテム識別情報ＵＩＤを後発行する処理の少なくとも一つを実施可能である。詳記すると、報告者側となるサプライヤＳＲの生産計画等に基づく要請を受けた場合、発行部３１は、こうした要請に応じて、必要となる一定件数のアイテム識別情報ＵＩＤを予め発行する。また、発行部３１は、サプライヤＳＲでの保管対象データの発生毎にアイテム識別情報ＵＩＤの発番リクエストを受け付け、このリクエストに応じてアイテム識別情報ＵＩＤをオンデマンド発行する。さらに、発行部３１は、報告者端末５０によってアップロードされたデータ（ハッシュ値ＨＶ）であって、アイテム識別情報ＵＩＤが紐づいていないデータに対して、アイテム識別情報ＵＩＤを後発行する。この場合、管理者ＡＤＭ側でのアイテム識別情報ＵＩＤの引当て実績の通知をうけて、アップロードされたデータは、後述の処理にて格納される。

　格納部３２は、データ格納処理の実施により、報告者端末５０から取得する情報をブロックチェーンデータベース（以下、ＢＣデータベース）ＢＤＢに格納する。ＢＣデータベースＢＤＢは、アイテム識別情報ＵＩＤに紐づくハッシュ値ＨＶ及び付加データ等の保管対象データを、ブロックチェーンＢＣの技術を利用して実質的に改ざん不可能な状態で保管する。一例として、ＢＣデータベースＢＤＢは、取得した保管対象データをトランザクションとし、プライベート型又はコンソーシアム型のブロックチェーンＢＣのブロックに格納する。ＢＣデータベースＢＤＢは、一つのブロックに格納された情報をハッシュ化し、次のブロックに格納することで、各ブロックに格納された保管対象データの改ざんを困難にする。尚、ブロックチェーンＢＣの形式は、プライベート型及びコンソーシアム型に限定されない。別の一例では、パブリック型のブロックチェーンＢＣが利用される。具体的に、ＢＣデータベースＢＤＢは、保管対象データから生成したハッシュ値を、パブリック型のブロックチェーンＢＣのブロックに保存することで、保管対象データの改ざんを実質的に不可能にする。

　格納部３２は、データ格納処理にて、報告者端末５０から取得したハッシュ値ＨＶの正当性を検証する。但し、報告者端末５０にてハッシュ値ＨＶの生成に使用された元データである履歴情報ＴＲＩ等は、情報記録サーバ１００ｒには提供されない。故に、格納部３２は、正しいハッシュ化アプリＨＡＰが報告者端末５０にて使用されており、かつ、ハッシュ化アプリＨＡＰが正常に稼動している場合に、ハッシュ値ＨＶが正しい値であると判断する。

　具体的に、格納部３２は、報告者端末５０から取得する付加データのアプリ情報（後述する）に基づき、報告者端末５０にて稼動するハッシュ化アプリＨＡＰのバージョンをチェックする（図３　Ｓ５１参照）。出所不明のアプリ、又は使用不可となった旧バージョン等、不適切なハッシュ化アプリＨＡＰが報告者端末５０にて使用されている場合、格納部３２は、ハッシュ値ＨＶの正当性を担保できない旨のＮＧ判定を行う。

　格納部３２は、報告者端末５０にて適切なハッシュ化アプリＨＡＰが使用されている場合、ハッシュ化アプリＨＡＰが正常に稼動しているか否かをさらにチェックする（図３　Ｓ５２参照）。情報記録サーバ１００ｒは、履歴情報ＴＲＩの替わりにハッシュ化アプリＨＡＰに投入する検証用のダミーデータを、報告者端末５０に提供する。格納部３２は、ダミーデータに基づく検証用のハッシュ値を報告者端末５０から取得する。格納部３２は、検証用のハッシュ値が正しい値である場合、ハッシュ化アプリＨＡＰが正常に稼動しており、ハッシュ値ＨＶの正当性を担保できる状態であると判定する。この場合、格納部３２は、ハッシュ値ＨＶ及び付加データ等をアイテム識別情報ＵＩＤに紐づく状態でＢＣデータベースＢＤＢに格納する（図３　Ｓ５３参照）。以上により、保管対象データは、ブロックチェーンＢＣに登録された状態となる。

　情報照会サーバ１００ｉは、メーカー端末１０ａ及びユーザ端末１０ｂ等を照会端末１０ｃとして利用した照会者への履歴情報ＴＲＩ等の開示処理を実施するサーバ装置である。具体的に、情報照会サーバ１００ｉは、照会端末１０ｃから開示要求を受け付けると、開示要求と共に取得する製品識別情報ＰＩＤ又はアイテム識別情報ＵＩＤに基づき、履歴情報ＴＲＩの収集対象となるアイテム識別情報ＵＩＤを特定する。情報照会サーバ１００ｉは、特定したアイテム識別情報ＵＩＤに基づき、履歴情報ＴＲＩの提供を要求するサプライヤＳＲ（報告者端末５０）を特定する。情報照会サーバ１００ｉは、特定した各報告者端末５０に履歴情報ＴＲＩの提供要求を送信し、各報告者端末５０から履歴情報ＴＲＩ等の元データの提供を受ける。情報照会サーバ１００ｉは、各報告者端末５０から取得した履歴情報ＴＲＩの改ざんの有無を確認する。情報照会サーバ１００ｉは、改ざんされていないことが確認できた履歴情報ＴＲＩを用いて提供用のデータを生成し、生成した提供用データを開示要求の要求元である照会端末１０ｃに提供する。

　以上の情報記録サーバ１００ｒ及び情報照会サーバ１００ｉは、管理者ＡＤＭ又はプラットフォーマー等によって物理的に管理されたオンプレミスなサーバ装置であってもよく、又はクラウド上に設けられた仮想の構成であってもよい。即ち、上述の各機能部は、制御回路１００ｃに構築されるものに限定されず、管理者ＡＤＭ又はプラットフォーマー等の委託を受けた第３者のサーバ内に構築されてよい。さらに、ＢＣデータベースＢＤＢも、クラウド上に設けられた仮想のファイルサーバ内に構築されてもよい。

　報告者端末５０は、制御回路５０ｃを主体とする構成であり、ディスプレイ５６、スキャナ５７、及びプリンタ５８等と電気的に接続されている。ディスプレイ５６、スキャナ５７、及びプリンタ５８の少なくとも一部は、報告者端末５０と一体的な構成であってもよい。さらに、例えばエラー処理等のため、キーボード等の入力装置が報告者端末５０に接続されていてもよい。

　ディスプレイ５６は、液晶パネル又は有機ＥＬパネル等を主体とする表示デバイスである。ディスプレイ５６は、制御回路５０ｃによる表示制御に基づき、種々の画像を画面に表示する。例えば、ディスプレイ５６は、提供用データに基づく履歴情報ＴＲＩを提示する画像、情報記録サーバ１００ｒから受信したエラー情報を通知する画像等を表示する。ディスプレイ５６は、ユーザ操作を受け付けるタッチパネルの機能を有してもよい。

　スキャナ５７は、添付ラベルＬＢ（図１参照）を読み取る読取機器である。スキャナ５７は、例えばＣＣＤ素子を２次元配列させてなるエリアセンサを含む構成である。添付ラベルＬＢは、２次元コードＣＤｑが印刷されてなる紙媒体又はフィルム媒体等である。２次元コードＣＤｑは、例えばＱＲコード（登録商標）等である。２次元コードＣＤｑには、アイテム識別情報ＵＩＤが記録されている。スキャナ５７は、添付ラベルＬＢに印刷された２次元コードＣＤｑを読み取り、２次元コードＣＤｑから抽出したアイテム識別情報ＵＩＤを制御回路５０ｃに出力する。尚、２次元コードＣＤｑは、ディスプレイ及び電子ペーパー等の表示デバイスに表示されてもよく、或いはレーザーマーカー又はインクジェットプリンタ等を用いてアイテムＩＭに直接刻印又は印字されていてもよい。

　プリンタ５８は、添付ラベルＬＢを出力する出力機器である。プリンタ５８は、情報記録サーバ１００ｒより提供されたアイテム識別情報ＵＩＤに基づく２次元コードＣＤｑを紙媒体（シール等）に印刷し、添付ラベルＬＢとして出力する。添付ラベルＬＢは、例えばアイテムＩＭの外表面に貼り付けられ、アイテムＩＭと共に流通する。尚、プリンタ５８からのオンデマンド出力される添付ラベルＬＢに替えて、管理者ＡＤＭにて事前に印字発行され、サプライヤＳＲに支給された添付ラベルＬＢが、アイテムＩＭと共に流通してもよい。また、２次元コードＣＤｑがアイテムＩＭに直接刻印又は印字される場合、プリンタ５８に替えて、上述のレーザーマーカー等が出力機器として利用可能である。

　報告者端末５０の制御回路５０ｃは、プロセッサ５１、ＲＡＭ５２、記憶部５３、入出力インターフェース５４及びこれらを接続するバス等を備え、演算処理を実施するコンピュータとして機能する。プロセッサ５１は、ＲＡＭ５２と結合された演算処理のためのハードウェアである。記憶部５３には、報告者側の情報管理プログラム及びハッシュ化アプリＨＡＰ等が格納されている。報告者端末５０は、記憶部５３に格納されたプログラム及びアプリ等の実行により、データ収集部６１、情報受信部６２、ＩＤ出力部６３、データ生成部６４、データ送信部６５、及びデータ管理部６６等の機能部を有する（図２参照）。報告者端末５０は、各機能部の連携によって報告者処理（図４参照）を実施する。

　データ収集部６１は、サプライヤＳＲに納入されたアイテムＩＭの添付ラベルＬＢを読み取ったスキャナ５７から、アイテム識別情報ＵＩＤのデータを取得する。加えて、データ収集部６１は、報告者処理において、報告者データをハッシュ化の対象データとして準備する（図４　Ｓ３１参照）。報告者データは、サプライヤＳＲ側にて収集により準備される情報であって、サプライヤＳＲから出荷されるアイテムＩＭに関連する情報である。報告者データには、履歴情報ＴＲＩに加えて、出荷されるアイテムＩＭ（製品）の種別を示す製品情報、及び製品のロットを示すロット情報等が含まれている（図５参照）。データ収集部６１は、サプライヤＳＲの拠点に設置された他のサーバ装置から報告者データを自動取得してもよく、予め規定された管理プロセスに従いサプライヤＳＲの作業者によって手動入力された報告者データを取得してもよい。

　情報受信部６２は、サプライヤＳＲから出荷するアイテムＩＭに付属させるアイテム識別情報ＵＩＤの発行を、発行部３１に要請する。情報受信部６２は、発行要請に基づき発行されたアイテム識別情報ＵＩＤを発行部３１から受領する（図３　Ｓ１２参照）。情報受信部６２は、受領したアイテム識別情報ＵＩＤ群をプールし、アイテムＩＭの出荷に合わせてＩＤ出力部６３及びデータ生成部６４にアイテム識別情報ＵＩＤを提供する。加えて情報受信部６２は、ハッシュ化アプリＨＡＰの正常稼動判定に用いるダミーデータを情報記録サーバ１００ｒから取得し、データ生成部６４に提供する。

　ＩＤ出力部６３は、プリンタ５８と接続されている。ＩＤ出力部６３は、プリンタ５８に添付ラベルＬＢを出力させる。ＩＤ出力部６３は、情報受信部６２から提供されるアイテム識別情報ＵＩＤのデータを用いて、アイテム識別情報ＵＩＤを記録した２次元コードＣＤｑを生成する。ＩＤ出力部６３は、２次元コードＣＤｑを含む印刷データをプリンタ５８に出力し、プリンタ５８に添付ラベルＬＢを印刷させる。尚、上述したように、アイテム識別情報ＵＩＤを印字した添付ラベルＬＢが管理者ＡＤＭから支給される形態では、ＩＤ出力部６３及びプリンタ５８は、報告者端末５０に設けられなくてもよい。

　データ生成部６４は、データ収集部６１にて収集された報告者データを用いて、情報記録サーバ１００ｒにアップロードする送信データを生成する。データ生成部６４は、報告者処理において、履歴情報ＴＲＩを含む報告者データをハッシュ化アプリＨＡＰに送信し、ハッシュ値ＨＶを生成する（図３及び図４　Ｓ３２参照）。さらに、データ生成部６４は、ハッシュ値ＨＶに付加する付加データを生成する（Ｓ３３参照）。データ生成部６４は、ハッシュ化アプリＨＡＰに関連するアプリ情報と、アイテムＩＭに関連するアイテム情報とを、付加データとして準備する。アプリ情報には、例えば稼動中のハッシュ化アプリＨＡＰのバージョンを示す情報、ハッシュ化アプリＨＡＰの提供者を示す情報等が含まれる。

　データ生成部６４は、アイテム識別情報ＵＩＤを情報受信部６２から取得する。データ生成部６４は、取得したアイテム識別情報ＵＩＤに、ハッシュ値ＨＶ及び付加データを紐づけることにより、送信データを生成する（Ｓ３４参照）。送信データに含まれるハッシュ値ＨＶ及び付加データは、作業者による確認のため、ディスプレイ５６に表示される（Ｓ３５参照）。このとき、送信に同意するか否かの問い合わせが、作業者に対して実施されてもよい。

　データ送信部６５は、報告者端末５０から情報記録サーバ１００ｒへ向けた情報の送信を制御する。データ送信部６５は、例えばダミーデータに基づくハッシュ値を情報記録サーバ１００ｒへ向けて送信する。加えてデータ送信部６５は、報告者処理において、報告者データに基づく送信データを、管理者ＡＤＭに紐づく送信先である情報記録サーバ１００ｒへ向けて送信する（図３及び図４　Ｓ３６参照）。

　データ送信部６５は、データロガー５９と接続されている。データロガー５９は、情報記録サーバ１００ｒに送信されるデータの送信ログを記録する。データロガー５９は、情報記録サーバ１００ｒに送信された送信データのバックアップを、送信ログと共にデータ管理部６６に提供する。送信ログには、どの送信先にどういった内容のデータを送信したのかを示す情報が記録される。尚、データロガー５９の機能は、サプライヤＳＲ側に設けられなくてもよい。サプライヤＳＲ及び管理者ＡＤＭの合意のもと設けられた共有領域に設けられていてもよい。さらに、データロガー５９の機能は、サプライヤＳＲ及び管理者ＡＤＭの合意のもと設けられた管理者側の領域（トレーサビリティ管理システム１００）の一部に設けられていてもよい。

　データロガー５９は、チェッカー部６９を有している。チェッカー部６９は、バックアップと同一内容の送信データが情報記録サーバ１００ｒに送信されたことをチェックする。チェッカー部６９は、データ管理部６６に提供されるバックアップと、情報記録サーバ１００ｒに送信した送信データとが同一内容であることを示す情報を、データ管理部６６に提供される送信ログに記録する。チェッカー部６９にて、２つのデータが同一内容であると判定された場合のみ、データロガー５９は、データ送信を正常終了する。２つのデータが同一内容でなと判定された場合、データロガー５９は、情報記録サーバ１００ｒ及びデータ管理部６６の少なくとも一方にエラー通知を送信してもよい。

　データ管理部６６は、報告者データベースＳＤＢと接続されている。データ管理部６６は、報告者データベースＳＤＢに蓄積されたデータを管理する。報告者データベースＳＤＢには、履歴情報ＴＲＩ等、送信データの元データとなった報告者データが蓄積されている。報告者データベースＳＤＢは、サプライヤＳＲの拠点に設けられたローカルな記憶装置であってもよく、又はクラウド上のストレージであってもよい。データ管理部６６は、報告者データベースＳＤＢへの情報蓄積、及び報告者データベースＳＤＢからの情報抽出に関連する処理を実施する。

　データ管理部６６は、報告者処理において、送信データの送信ログをデータロガー５９から取得する（図４　Ｓ３７参照）。加えて、データ管理部６６は、データロガー５９からの情報取得により、送信データのバックアップを準備する（図３及び図４　Ｓ３８参照）。さらに、データ管理部６６は、バックアップが改変されていないことの確認に用いる確認用情報をさらに準備する（Ｓ３９参照）。確認用情報は、報告者端末５０に設けられた不正防止機能に関連する情報である。データ管理部６６は、確認用情報として、後述するファイルナンバー及びハッシュ化データを生成する。データ管理部６６は、バックアップ、確認用情報、及び送信ログを、報告者データと紐づけて、報告者データベースＳＤＢに格納する（Ｓ４０参照）。

　データ管理部６６は、情報照会サーバ１００ｉからの提供要求を受け付ける。提供要求は、サプライチェーンＳＣ（図１参照）において後工程側（下流側）に位置するサプライヤＳＲ及び完成品メーカーＭＦ、並びにサプライチェーンＳＣの管理者ＡＤＭ及び監督官庁等によって実施される。エンドユーザＵＳ、２次利用者Ｕ２及びリサイクル業者ＲＣが、提供要求の実施者であってもよい。提供要求は、アイテムＩＭに関連する履歴情報ＴＲＩの開示請求、開示情報の正当性確認、及びその他の目的のため実施される。データ管理部６６は、提供要求と共に通知されるアイテム識別情報ＵＩＤを把握し、アイテム識別情報ＵＩＤに紐づく履歴情報ＴＲＩ（報告者データ）を、報告者データベースＳＤＢから抽出する。データ管理部６６は、抽出した履歴情報ＴＲＩ等を情報照会サーバ１００ｉに提供する。

　次に、報告者データベースＳＤＢに保存されるバックアップ及び確認用情報の各詳細を、図５～図１２に基づき、図１～図３を参照しつつ、さらに説明する。

　データ管理部６６は、報告者データから生成された送信データのバックアップに、ファイルナンバーを付与する。ファイルナンバーは、所定の桁数の連続する管理番号であり、バックアップが削除されていないことの確認に用いられる確認用情報である。データ管理部６６は、ファイルナンバーを付与したバックアップを管理用データとする。管理用データでは、１つのファイルナンバーに、アイテム識別情報ＵＩＤ、アイテム情報及びアプリ情報を含む付加データ、並びにハッシュ値ＨＶが紐づけられる。データ管理部６６は、管理用データを、バックアップの元データである報告者データと組み合わせることにより、報告者データベースＳＤＢに蓄積する蓄積データ（図５参照）を生成する。

　データ管理部６６は、ハッシュ関数を用いてバックアップ（管理用データ）をハッシュ化したハッシュ化データをさらに生成する。ハッシュ化データは、バックアップの内容が改ざんされていないことの確認に用いられる確認用情報である。データ管理部６６は、ハッシュ化データの生成に、ハッシュ化アプリＨＡＰを用いてもよく、ハッシュ化アプリＨＡＰとは異なるハッシュ関数（例えば、ＳＨＡ－２５６等）を用いてもよい。データ管理部６６は、ファイルナンバー、アイテム識別情報ＵＩＤ、付加データ、及びハッシュ値ＨＶをそれぞれハッシュ化した値をハッシュ化データとして生成する（図６参照）。

　データ管理部６６は、セキュリティ向上のため、報告者データをバックアップと組み合わせてハッシュ化し、ハッシュ化データを生成可能である。データ管理部６６は、報告者データ、ファイルナンバー、付加データ、アイテム識別情報ＵＩＤ、及びハッシュ値ＨＶを、それぞれ個別にハッシュ関数に投入し、ハッシュ化された各値を取得する。さらに、データ管理部６６は、ハッシュ化された値をそれぞれ２分割する（図７参照）。

　ここで、以下の説明では、報告者データをハッシュ化した値の前半部分及び後半部分を、それぞれ「報－０１」及び「報－０２」と記載し、ファイルナンバーをハッシュ化した値の前半部分及び後半部分を、それぞれ「ファ－０１」及び「ファ－０２」と記載する。また、付加データをハッシュ化した値の前半部分及び後半部分を、それぞれ「付－０１」及び「付－０２」と記載し、アイテム識別情報ＵＩＤをハッシュ化した値の前半部分及び後半部分を、それぞれ「Ｕ－０１」及び「Ｕ－０２」と記載する。さらに、ハッシュ値ＨＶをハッシュ化した値の前半部分及び後半部分を、それぞれ「Ｈ－０１」及び「Ｈ－０２」と記載する。

　データ管理部６６は、報告者データをハッシュ化した値をベースに、他のハッシュ化した値を組み合わせた文字列をさらにハッシュ化する（図８参照）。具体的に、「報－０１」、「ファ－０１」、「報－０２」、「ファ－０２」を順に並べた文字列をハッシュ関数に投入した値が、ハッシュ化したファイルナンバーの値とされる。同様に、「報－０１」、「付－０１」、「報－０２」、「付－０２」を順に並べた文字列をハッシュ関数に投入した値が、ハッシュ化した付加データの値とされる。また、「報－０１」、「Ｕ－０１」、「報－０２」、「Ｕ－０２」を順に並べた文字列をハッシュ関数に投入した値が、ハッシュ化したアイテム識別情報ＵＩＤの値とされる。さらに、「報－０１」、「Ｈ－０１」、「報－０２」、「Ｈ－０２」を順に並べた文字列をハッシュ関数に投入した値が、ハッシュ化したハッシュ値ＨＶの値とされる。データ管理部６６は、ハッシュ化した各値（ハッシュ化データ）を報告者データと組み合わせ、確認データとして報告者データベースＳＤＢに保存する。

　データ管理部６６は、報告者データをハッシュ化する処理の内容を、所定のトリガに基づき変更する。データ管理部６６は、ハッシュ化した値の分割方法、分割した値（文字列）の並べ方、及び並べ替えた値をハッシュ化する手法等を、所定のトリガに基づき変更する。データ管理部６６は、例えば、所定期間の経過、日時変更又はハッシュ化アプリＨＡＰのバージョン変更等を所定のトリガとして、ハッシュ化処理のパターンを変更する。データ管理部６６は、適用したハッシュ化処理のパターンを示すパターン識別子を、確認データに記録する（図８参照）。上述したハッシュ化処理は、便宜的に「パターン１」のハッシュ化処理とされる。

　ここで、データ管理部６６にて実施されるハッシュ化処理の別パターンをさらに説明する。「パターン２」のハッシュ化処理（図９参照）では、「報－０１」及び「ファ－０１」をハッシュ化した値と、「報－０２」及び「ファ－０２」をハッシュ化した値とがそれぞれ生成される。そして、各値のマークルルートが、ハッシュ化したファイルナンバーの値とされる。同様に、「報－０１」及び「付－０１」と、「報－０２」及び「付－０２」とのマークルルートが、ハッシュ化した付加データの値とされる。また、「報－０１」及び「Ｕ－０１」と、「報－０２」及び「Ｕ－０２」とのマークルルートが、ハッシュ化したアイテム識別情報ＵＩＤの値とされる。さらに、「報－０１」及び「Ｈ－０１」と、「報－０２」及び「Ｈ－０２」とのマークルルートが、ハッシュ化したハッシュ値ＨＶの値とされる。

　さらに、「パターン３」のハッシュ化処理にて、データ管理部６６は、報告者データ、ファイルナンバー、付加データ、アイテム識別情報ＵＩＤ、及びハッシュ値ＨＶを個別のハッシュ化し、ハッシュ化した各値をそれぞれ４分割する（図１０参照）。こうした処理により、「報－０１」～「報－０４」及び「ファ－０１」～「ファ－０４」等が準備される。

　データ管理部６６は、分割した値を昇順で組み換えて、ハッシュ関数に投入することで、ハッシュ化した各値を生成する。具体的には、「報－０１」、「ファ－０１」、「報－０２」、「ファ－０２」、「報－０３」、「ファ－０３」、「報－０４」、「ファ－０４」を順に並べた文字列をハッシュ関数に投入した値が、ハッシュ化したファイルナンバーの値とされる（図１１参照）。データ管理部６６は、付加データ、アイテム識別情報ＵＩＤ、及びハッシュ値ＨＶについても同様のハッシュ化処理を実施し、各項目についてのハッシュ化した値を生成する。

　データ管理部６６は、報告者データベースＳＤＢに蓄積された管理用データ（バックアップ）に改変があったか否かを、ハッシュ化された確認データ（図６参照）との比較によって検証可能である。確認データでは、管理用データが値（項目）毎にハッシュ化されているため、データ管理部６６は、どの部分が改竄されているかを検知できる。詳記すると、データ管理部６６は、管理用データの検証処理にて、管理用データの各値を、ハッシュ化データを生成したときと同一のハッシュ化処理によってハッシュ化する。データ管理部６６は、ハッシュ化した各値と、確認データとして保存されていた各値とが相違していないかをチェックする。

　一例として、管理用データのうちでアイテム識別情報ＵＩＤだけが改ざんされていた場合、管理用データから再算出したアイテム識別情報ＵＩＤのハッシュ値は、確認データのアイテム識別情報ＵＩＤに登録された値と異なる。こうした値の相違に基づき、データ管理部６６は、管理用データの改ざん箇所を特定する。

　また別の一例として、報告者データが改ざんされていた場合、再算出された全ての項目のハッシュ値が、確認データに登録された値と異なってくる。故に、再算出された全ての値が確認データの値と整合しない場合、データ管理部６６は、報告者データの改ざんの可能性が高いと推定する。

　データ管理部６６は、過失を装った偽装を防止するため、蓄積データの編集を原則的に禁止する。データ管理部６６は、蓄積データに何らかの変更を加える場合、作業者の意思確認を実施すると共に、適用された変更の詳細を記録する意思確認記録を、蓄積データに追加する。意思確認記録では、変更動作の内容（例えば、消去等）、変更日時、変更理由（例えば、出荷停止及び輸送時破損等）、及び変更を行った作業者等が記録される（図１２参照）。データ管理部６６は、作業者による変更作業の開始に基づき、変更記録処理を開始し、蓄積データ（バックアップ）に加えた変更の内容を把握する。データ管理部６６は、把握した変更内容に基づき、意思確認記録を生成する。データ管理部６６は、生成した意思確認記録を、バックアップを含む蓄積データに紐づけて報告者データベースＳＤＢに保存する。

　ここまで説明した第一実施形態では、送信データのバックアップ（管理用データ）が改変されていないことの確認に用いる確認用情報が準備され、バックアップと共に報告者データベースＳＤＢに格納される。故に、確認用情報を用いることで、バックアップが改変されたことの確認が可能となる。

　また第一実施形態では、送信データのバックアップが報告者であるサプライヤＳＲ側に残される。故に、管理者ＡＤＭによる送信データ（保管対象データ）の抜き取りがあった場合、こうした抜き取りの発生が、報告者側のバックアップを用いて検証可能になる。さらに、報告者側でのバックアップの改変がないことを、確認用情報を用いて検証可能となれば、管理者ＡＤＭによる送信データの抜き取りがないことも、報告者側のバックアップ及び確認用情報から証明可能となる。以上によれば、不正なデータ抜き取りを行っていないことが、管理者ＡＤＭ及び報告者の間で共有され得る。

　加えて第一実施形態では、確認用情報として、報告者データベースＳＤＢに格納するバックアップに、連続する管理番号としてのファイルナンバーが付与される。故に、報告者データベースＳＤＢに格納されたバックアップが報告者データと共に削除された場合であっても、報告者端末５０は、ファイルナンバーが連続していないことに基づき、バックアップの削除を検知できる。以上によれば、不正なデータ消去を行っていないことが確認できるため、報告者データベースＳＤＢに蓄積された蓄積データを、記録維持状況に関する監査時のエビデンスとして利用することが可能になる。

　また第一実施形態では、確認用情報として、ハッシュ関数を用いてバックアップをハッシュ化したハッシュ化データが生成される。故に、報告者データベースＳＤＢに格納されたバックアップの特定項目が変更された場合でも、ハッシュ化された確認データとの比較に基づき、改ざんされていることが検知可能になる。

　さらに第一実施形態では、バックアップの各項目を個別にハッシュ化した値が、確認データのテーブルに登録されている。故に、バックアップ（管理用データ）の検証処理にて、検証用に再算出したハッシュ値と、確認データに登録されたハッシュ化との個別の比較に基づき、管理用データのどの項目が改ざんされているのかを特定することが可能になる。

　さらに第一実施形態では、報告者データをバックアップと組み合わせてハッシュ化したハッシュ化データが生成される。故に、報告者データベースＳＤＢに保管された報告者データに改ざんがあったことも、バックアップのハッシュ化データを用いて確認することが可能になる。

　加えて第一実施形態では、バックアップをハッシュ化する処理の内容が、任意又は定期的に変更される。こうしたパターン変更が行われれば、漏洩及び推測への耐性が向上する。故に、バックアップとハッシュ化データの両方が互いに整合するよう改ざんされてしまい、ハッシュ化データを用いたバックアップの改ざん検知が機能しなくなる事態は回避され得る。その結果、バックアップのセキュリティレベルは、高く維持可能となる。

　また第一実施形態では、バックアップと同一内容の送信データが送信先に送信されたことを記録する送信ログが、データ管理部６６によって取得される。データ管理部６６は、送信ログをバックアップと共にデータベースに格納する。故に、送信ログに基づき、サプライヤＳＲ（送信側）の意図しない形又は把握しない形での管理者ＡＤＭ側での送信データの抜き取りのないことが証明可能となる。

　さらに第一実施形態では、バックアップに変更が加えられた場合に、バックアップに加えた変更の内容を記録する意思確認記録が、バックアップに紐づけて保存される。このように、意思確認を明確にしたうえで、変更内容が記録されることによれば、過失によるバックアップの消去と、悪意を持った意図的なバックアップの消去とが層別され得る。こうして、変更の履歴を追うことが可能になれば、蓄積データは、記録維持状況に関する監査時のエビデンスとして、いっそう有効となる。

　尚、上記第一実施形態では、報告者端末５０が「情報管理装置」に相当し、制御回路５０ｃが「コンピュータ」に相当し、データ管理部６６が「データ格納部」に相当する。加えて、報告者データベースＳＤＢが「データベース」に相当し、情報記録サーバ１００ｒが「送信先」に相当し、意思確認記録が「変更記録」に相当する。

　（第二実施形態）
　図１３に示す本開示の第二実施形態による報告者端末５０では、サプライヤＳＲによる履歴情報ＴＲＩの流用の検知が可能となっている。以下、第二実施形態の報告者処理におけるデータ収集部６１及びデータ生成部６４の動作の詳細を、図１３に基づき、図１，図２及び図４を参照しつつ説明する。

　データ収集部６１は、履歴本体データ及び履歴メタデータを含む報告者データを準備する（Ｓ３１参照）。履歴本体データは、サプライヤＳＲ側にて記録される情報であり、第一実施形態の報告者データと同様に、製品情報、ロット情報及び履歴情報ＴＲＩ等を含んでいる。履歴本体データが、複製及び流用されたか否かの検知対象となる。履歴メタデータは、履歴本体データに付帯する情報である。履歴メタデータは、例えば履歴本体データが生成又は登録された日時を示す情報を含んでいる。履歴メタデータは、作成されるタイミングによって内容が変化する。

　データ生成部６４は、報告者データとして、履歴本体データ及び履歴メタデータをデータ収集部６１から取得する。データ生成部６４は、履歴メタデータを含まない処理前データをハッシュ化した第１ハッシュ値と、履歴メタデータを少なくとも含む処理前データをハッシュ化した第２ハッシュ値とを算出する。

　具体的に、データ生成部６４は、履歴本体データをハッシュ化アプリＨＡＰに送信し（図４及び図１３　Ｓ３２参照）、第１ハッシュ値を生成する。さらに、データ生成部６４は、履歴メタデータをハッシュ化アプリＨＡＰに送信し（Ｓ３２参照）、第２ハッシュ値を生成する。データ生成部６４は、履歴本体データ及び履歴メタデータの両方を含む処理前データをハッシュ化アプリＨＡＰに送信することで、第２ハッシュ値を生成してもよい。

　データ生成部６４は、情報受信部６２から取得したアイテム識別情報ＵＩＤに、第１ハッシュ値、第２ハッシュ値及び付加データを紐づけることにより、送信データを生成する（Ｓ３４参照）。以上により、第１ハッシュ値及び第２ハッシュ値を含む送信データが、データロガー５９を経由して、情報記録サーバ１００ｒに送信される。さらに、第１ハッシュ値及び第２ハッシュ値を含むバックアップが、管理用データとして、報告者データベースＳＤＢに保存される。

　ここまで説明した第二実施形態でも、バックアップと共に確認用情報が報告者データベースＳＤＢに格納されるため、第一実施形態と同様の効果を奏し、バックアップが改変されたことの確認が可能となる。

　加えて第二実施形態では、データ収集部６１にて準備される報告者データに、サプライヤＳＲ側にて記録される履歴本体データと、履歴本体データに付帯する履歴メタデータとが含まれている。そして、データ管理部６６は、ハッシュ関数を用いて履歴本体データをハッシュ化した第１ハッシュ値と、履歴メタデータを少なくとも含む処理前データを、ハッシュ関数を用いてハッシュ化した第２ハッシュ値とを、送信データに含む情報として生成する。

　以上のように、履歴メタデータから分割した履歴本体データをハッシュ化し、第１ハッシュ値を生成すれば、履歴本体データをコピーし、他のアイテムＩＭに流用した場合に、複数のアイテム識別情報ＵＩＤに紐づく第１ハッシュ値が同一の値となる。故に、各第１ハッシュ値が互いに相違しているか否かの監視により、悪意あるサプライヤＳＲでの履歴本体データの不正な流用が検知可能となる。

　また、履歴メタデータに基づく第２ハッシュ値が第１ハッシュ値とは別に生成され、ＢＣデータベースＢＤＢ及び報告者データベースＳＤＢに保管されるため、履歴メタデータの改ざんの検証も可能になる。尚、データ流用を検知する処理は、送信データを取得した情報記録サーバ１００ｒにて実施されてもよく、又はバックアップの保存に際してデータ管理部６６により実施されてもよい。

　（他の実施形態）
　以上、本開示の複数の実施形態について説明したが、本開示は、上記実施形態に限定して解釈されるものではなく、本開示の要旨を逸脱しない範囲内において種々の実施形態及び組み合わせに適用することができる。

　上記第一実施形態において、報告者データをバックアップと組み合わせてハッシュ化する処理は、省略されてもよい。例えば、上記実施形態の変形例１では、連続するファイルナンバーの付与のみが実施される。反対に、上記実施形態の変形例２では、ファイルナンバーの付与が省略され、バックアップをハッシュ化した値を確認データデーブルに登録する処理のみが実施される。

　上記実施形態におけるアイテム識別情報ＵＩＤの態様、具体的には、文字列の桁数や、アイテム識別情報ＵＩＤに埋め込まれる情報の数及び種類等は、適宜変更されてよい。また、添付ラベルＬＢには、２次元コードＣＤｑに替えて、アイテム識別情報ＵＩＤを記録したバーコード等の１次元コードが印刷されていてもよい。さらに、アイテム識別情報ＵＩＤは、アイテムＩＭに添付されるＲＦＩＤ（radio frequency identifier）又はマイクロチップ等の記録媒体に電子データとして記録されていてもよい。

　尚、ＲＦＩＤ又はマイクロチップ等にアイテム識別情報ＵＩＤが記録される変形例において、報告者端末５０には、読取機器及び出力機器としてリーダ及びライタが接続される。リーダは、記憶媒体に電子データとして記録されたアイテム識別情報ＵＩＤを読み出し、制御回路５０ｃに出力する。ライタは、制御回路５０ｃによって生成されたアイテム識別情報ＵＩＤの電子データを、記憶媒体に書き込む。

　上記実施形態のハッシュ値ＨＶの生成には、種々のハッシュ関数が利用されてよい。ハッシュ関数は、違う入力から同一のハッシュ値を出力することがなく、且つ、出力されたハッシュ値から入力を推測することが実質不可能という特性を有する。こうした特性を有していれば、例えば、ＳＨＡ－２５６、ＳＨＡ－１、ＳＨＡ－２及びＳＨＡ－３等の暗号化アルゴリズムが、必要とされる出力長（ビット数）に合わせて適宜使用可能である。

　上記実施形態にて、報告者端末５０及び各サーバ１００ｒ，１００ｉによって提供されていた各機能は、ソフトウェア及びそれを実行するハードウェア、ソフトウェアのみ、ハードウェアのみ、あるいはそれらの複合的な組合せによっても提供可能である。こうした機能がハードウェアとしての電子回路によって提供される場合、各機能は、多数の論理回路を含むデジタル回路、又はアナログ回路によっても提供可能である。

　上記実施形態の各プロセッサは、ＣＰＵ（Central Processing Unit）及びＧＰＵ（Graphics Processing Unit）等の演算コアを少なくとも一つ含む構成であってよい。さらに、プロセッサは、ＦＰＧＡ（Field-Programmable Gate Array）及び他の専用機能を備えたＩＰコア等をさらに含む構成であってよい。

　上記実施形態の各記憶部として採用され、本開示の情報管理方法の実現に関連した各プログラムを記憶する記憶媒体（non-transitory tangible storage medium）の形態も、適宜変更されてよい。例えば記憶媒体は、回路基板上に設けられた構成に限定されず、メモリカード等の形態で提供され、スロット部に挿入されて、コンピュータのバスに電気的に接続される構成であってよい。さらに、記憶媒体は、コンピュータへのプログラムのコピー基となる光学ディスク及びのハードディスクドライブ等であってもよい。

　本開示に記載の制御部及びその手法は、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサを構成する専用コンピュータにより、実現されてもよい。あるいは、本開示に記載の装置及びその手法は、専用ハードウェア論理回路により、実現されてもよい。もしくは、本開示に記載の装置及びその手法は、コンピュータプログラムを実行するプロセッサと一つ以上のハードウェア論理回路との組み合わせにより構成された一つ以上の専用コンピュータにより、実現されてもよい。また、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されていてもよい。

　（技術的思想の開示）
　この明細書は、以下に列挙する複数の項に記載された複数の技術的思想を開示している。いくつかの項は、後続の項において先行する項を択一的に引用する多項従属形式（a multiple dependent form）により記載されている場合がある。さらに、いくつかの項は、他の多項従属形式の項を引用する多項従属形式（a multiple dependent form referring to another multiple dependent form）により記載されている場合がある。これらの多項従属形式で記載された項は、複数の技術的思想を定義している。

　（技術的思想１）
　コンピュータ（５０ｃ）によって実施され、管理者（ＡＤＭ）の管理下にある報告者（ＳＲ）にて収集される情報を管理する情報管理方法であって、
　少なくとも一つのプロセッサ（５１）にて実行される処理に、
　前記報告者側にて準備される報告者データに基づく送信データを、前記管理者に紐づく送信先（１００ｒ）に送信し（Ｓ３６）、
　前記送信データのバックアップを準備し（Ｓ３８）、
　前記バックアップが改変されていないことの確認に用いる確認用情報をさらに準備し（Ｓ３９）、
　前記確認用情報と共に前記バックアップを前記報告者のデータベース（ＳＤＢ）に格納する（Ｓ４０）、
　というステップを含む情報管理方法。
　（技術的思想２）
　前記確認用情報として、前記データベースに格納する前記バックアップに、連続する管理番号を付与する技術的思想１に記載の情報管理方法。
　（技術的思想３）
　前記確認用情報として、ハッシュ関数を用いて前記バックアップをハッシュ化したハッシュ化データを生成する技術的思想１又は２に記載の情報管理方法。
　（技術的思想４）
　前記報告者データを前記バックアップと組み合わせてハッシュ化した前記ハッシュ化データを生成する技術的思想３に記載の情報管理方法。
　（技術的思想５）
　前記バックアップをハッシュ化する処理の内容を変更する、というステップをさらに含む技術的思想３又は４に記載の情報管理方法。
　（技術的思想６）
　前記バックアップと同一内容の前記送信データが前記送信先に送信されたことを記録する送信ログを取得する（Ｓ３７）、というステップをさらに含み、
　前記バックアップを格納するステップでは、前記送信ログを前記バックアップと共に前記データベースに格納する技術的思想１～５のいずれか一項に記載の情報管理方法。
　（技術的思想７）
　前記報告者データには、前記報告者側にて記録される履歴本体データと、前記履歴本体データに付帯する履歴メタデータとが含まれており、
　ハッシュ関数を用いて前記履歴本体データをハッシュ化した第１ハッシュ値と、前記履歴メタデータを少なくとも含む処理前データを、ハッシュ関数を用いてハッシュ化した第２ハッシュ値とを、前記送信データに含む情報として生成する（Ｓ３２）、というステップをさらに含む技術的思想１～６のいずれか一項に記載の情報管理方法。
　（技術的思想８）
　前記バックアップに変更が加えられた場合に、前記バックアップに加えた変更の内容を記録した変更記録を前記バックアップに紐づけて前記データベースに保存する、というステップをさらに含む技術的思想１～７のいずれか一項に記載の情報管理方法。
　（技術的思想９）
　管理者（ＡＤＭ）の管理下にある報告者（ＳＲ）にて取得される情報を管理する情報管理装置であって、
　前記報告者側にて準備される報告者データに基づく送信データを、前記管理者に紐づく送信先（１００ｒ）に送信するデータ送信部（６５）と、
　前記送信データのバックアップを準備し、前記バックアップが改変されていないことの確認に用いる確認用情報をさらに準備し、前記確認用情報と共に前記バックアップを前記報告者のデータベース（ＳＤＢ）に格納するデータ格納部（６６）と、
　を備える情報管理装置。

Claims

　コンピュータ（５０ｃ）によって実施され、管理者（ＡＤＭ）の管理下にある報告者（ＳＲ）にて収集される情報を管理する情報管理方法であって、
　少なくとも一つのプロセッサ（５１）にて実行される処理に、
　前記報告者側にて準備される報告者データに基づく送信データを、前記管理者に紐づく送信先（１００ｒ）に送信し（Ｓ３６）、
　前記送信データのバックアップを準備し（Ｓ３８）、
　前記バックアップが改変されていないことの確認に用いる確認用情報をさらに準備し（Ｓ３９）、
　前記確認用情報と共に前記バックアップを前記報告者のデータベース（ＳＤＢ）に格納する（Ｓ４０）、
　というステップを含む情報管理方法。
　前記確認用情報として、前記データベースに格納する前記バックアップに、連続する管理番号を付与する請求項１に記載の情報管理方法。
　前記確認用情報として、ハッシュ関数を用いて前記バックアップをハッシュ化したハッシュ化データを生成する請求項１に記載の情報管理方法。
　前記報告者データを前記バックアップと組み合わせてハッシュ化した前記ハッシュ化データを生成する請求項３に記載の情報管理方法。
　前記バックアップをハッシュ化する処理の内容を変更する、というステップをさらに含む請求項３に記載の情報管理方法。
　前記バックアップと同一内容の前記送信データが前記送信先に送信されたことを記録する送信ログを取得する（Ｓ３７）、というステップをさらに含み、
　前記バックアップを格納するステップでは、前記送信ログを前記バックアップと共に前記データベースに格納する請求項１～５のいずれか一項に記載の情報管理方法。
　前記報告者データには、前記報告者側にて記録される履歴本体データと、前記履歴本体データに付帯する履歴メタデータとが含まれており、
　ハッシュ関数を用いて前記履歴本体データをハッシュ化した第１ハッシュ値と、前記履歴メタデータを少なくとも含む処理前データを、ハッシュ関数を用いてハッシュ化した第２ハッシュ値とを、前記送信データに含む情報として生成する（Ｓ３２）、というステップをさらに含む請求項１～５のいずれか一項に記載の情報管理方法。
　前記バックアップに変更が加えられた場合に、前記バックアップに加えた変更の内容を記録した変更記録を前記バックアップに紐づけて前記データベースに保存する、というステップをさらに含む請求項１～５のいずれか一項に記載の情報管理方法。
　管理者（ＡＤＭ）の管理下にある報告者（ＳＲ）にて取得される情報を管理する情報管理装置であって、
　前記報告者側にて準備される報告者データに基づく送信データを、前記管理者に紐づく送信先（１００ｒ）に送信するデータ送信部（６５）と、
　前記送信データのバックアップを準備し、前記バックアップが改変されていないことの確認に用いる確認用情報をさらに準備し、前記確認用情報と共に前記バックアップを前記報告者のデータベース（ＳＤＢ）に格納するデータ格納部（６６）と、
　を備える情報管理装置。